发布时间:2023-10-11 17:33:49
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇国内信息安全的立法状况范例,将为您的写作提供有力的支持和灵感!
一、 云计算综述
虽然最早的云计算思想可以追溯至20世纪60年代的麦卡锡,他曾提出“计算迟早有一天会变成一种公用基础设施”,即“将计算能力作为一种象水和电一样的公用事业提供给用户”。然而云计算作为一种全新的商业和应用计算方式被提出并得到公众的关注,成为产业界、学术界研究的热点是在2007年ibm和google宣布在云计算领域的合作。到目前为止,学术界和理论界对云计算没有一个统一的定义,美国国家标准与技术研究院将云计算定义为这样一种计算模式:一种可利用的、便利的付费使用模式。在这一模式下,通过网络按需访问结构化的计算资源共享池(如网络、服务器、存储库、应用软件、服务等),快捷地获取所需要资源,并只需要做少量的管理工作。hewitt认为云计算系统是将数据以及程序永久地存储在云计算平台中的服务器机群上,客户可以使用台式机、笔记本、手持终端等设备通过网络获得云计算系统提供的强大计算能力和存储能力。虽然对于云计算的定义众说纷坛,但是普遍认为云计算的基本原理是通过使计算分布在大量的分布式计算机上,企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
云计算系统可以简单地看成由网络浏览器和“云”两部分组成,所谓云,buyya等认为是由内部互连的众多虚拟机组成的并行分布式计算系统,能够根据服务提供商和客户之间协商好的服务等级协议动态提供计算资源。在云计算的模式下,用户基本上不再拥有使用信息技术所需的基础设施,而仅仅是租用并访问云服务供应商所提供的服务,这就是云计算的重要特征之一,一切即服务(xasa service,xaas),包括基础设施即服务(infrastructure as a service)、平台即服务(platform as a service)和软件即服务(software as a service)。由于云计算采用分布式计算技术将计算扩展到更多的计算资源,具有超强的计算能力和以用户为中心的突出优势,目前微软、ibm、亚马逊、google等国际技术巨头积极部署和推出云计算服务。
通过对大量的文献进行分析,发现国内外目前对云计算的研究,主要集中在云计算技术架构、面向企业的应用、情报信息领域的应用和云计算理论探讨等方面,但对于云计算对国家信息安全威胁的研究,公开发表的文献不多。本文拟从维护国家信息安全的角度,对美国国家信息安全战略的最新动态进行研究分析,深入探讨云计算时代维护国家信息安全的对策措施。
二、 云计算对我国信息安全的威胁
云计算是信息技术领域的一次重大变革,“云”的出现使pc硬盘损坏,资料丢失的状况即使发生,也不会造成太大的影响,因为有“云”替我们做存储和计算的工作,但云计算带来的最大风险就是信息安全的风险。
1. 云计算对国家信息安全的威胁。“云”中包含了几十万台、甚至上百万台计算机,其中的计算机可以随时更新,这既保证“云”长生不老,又可以为用户提供方便、可靠的信息服务,规模化、集中式的云服务催生了“信息工业化”。信息工业化意味着巨大的规模化资源池的建设,这是一个大型的存储中心、数据中心、用户中心……
以美国为代表的发达国家,为了占领这一制高点,纷纷投入巨额资金和科研力量进入云计算领域,在标准、技术等方面逐步推进各自的云计算战略。2010年11月12日,ibm宣布将领导一项有15个欧洲合作伙伴参加的联合研究计划,以开发一个基于对象的标准化的“智能云”存储架构。这些欧洲的合作伙伴包括标准组织以及电信、健康医疗和媒体等行业的公司。这个计划的名称是“vision cloud-virtualized storage services for the future internet”(梦想云-未来互联网的虚拟化存储服务)。微软已经与戴尔、富士通、日立、惠普、ibm和nec等6家主要硬件厂商签署协议,这项计划名为“hyper-v cloud fast track”计划。此项合作以提供参考架构,帮助企业构建私有iaas式的云计算为目标。这些公司将与微软合作提供一些蓝图,详细介绍如何组装和配置它们的硬件以便运行私有云计算。微软将向这6个合作伙伴的每一个合作伙伴提供一个参考架构,详细说明应购买某个合作伙伴的哪一种硬件以及如何安装微软的软件以便运行这种设备。这个参考架构将解决整个的设计问题,如网络和存储层如何设计、应该部署多少台虚拟服务器和物理服务器以及容错机制如何工作等。苹果斥资10亿美元、花费数年时间建造的占地50万平方英尺的数据中心即将开业。数据中心投入使用后,人们能够使用mac机进行基于云计算的交互。2010年11月2日,作为实现其“2015年云愿景”的重要一步,英特尔宣布创建“开放式数据中心联盟”,这个联盟由全球70多家金融、电信、石油、汽车、酒店、互联网服务商等行业领先企业组成。该联盟成员将共同制定未来云计算、数据中心建设所需要的技术和架构,“共同推动云计算的标准化和普及化”。可以预见,随着美国对云计算平台建设力度的加大,在标准、技术、人才和信息资源等方面的控制力越来越强,美国政府可以通过对云计算平台的控制,进而控制全球的信息资源。如果未来国家的数据都高度集中在“云计算”的平台上,国家信息面临着“去国家化”的风险,而更进一步,我国的信息一旦被整合、分析并被加以不良地利用,势必对我国的国家安全构成严重威胁。
2. 云计算对企业和产业信息安全的威胁。从“以信息化带动工业化、以工业化促进信息化”到“发展现代产业体系、大力推进信息化与工业化融合”,我国工业加速了信息化的进程。工业产品在研发、设计、生产过程控制到市场营销这一价值链上,充分运用了计算机技术、软件技术、集成电路技术、通信技术与网络技术等现代信息技术手段,工业化和信息化的结合比以往任何时候都要紧密。此外,在产业层面,不同产业之间利用it技术搭建互联互通的信息流和服务流平台,加速彼此的融合,形成了“生产过程自动化、经营管理智能化、商业贸易电子化”的格局。钢铁、石化、纺织等国家支柱产业在产品和工业辅助设计、采购和供应管理、生产调度指挥等方面已经广泛运用管理信息系统,尤其对于重点项目,大中型企业更多采用的都是技术实力雄厚的大型跨国公司提供的软件,如oracle和sap的erp软件。云计算时代,管理信息系统将统一架构在虚拟资源池上,形成一个大型服务器集群,以便满足用户对信息访问、服务使用的需求,即“企业级云计算”。在这一个大平台上,企业的关键机密信息有被暴露的可能,这极大地威胁了企业的正常运营,进而影响了我国的产业安全。
三、 加强云计算时代我国信息安全的建议
作为下一代互联网技术的一项重大变革,云计算在给我国带来安全威胁的同时,也让我们面临了新的机遇,因为这是全球信息产业一次重新洗牌和分工的机会。错过了这次机会,将意味着我国失去了在信息技术领域的话语权和发展的主动权,而我国的信息安全也难以得到有效的保护。在这场刚刚拉开序幕的云计算竞赛中,对维护和加强我国的信息安全,提出以下几点建议:
1. 正确认识和分析云计算的利弊。云计算是网络基础设施普及发展到一定程度的产物,云计算的发展无论滞后还是超前于这一阶段,都不能使我们真正享受到它的便利和优越。要客观评估我国当前通信基础设施的发展状况,顺应信息产业的发展规律,正确看待云计算的积极作用和消极影响。
2. 主动参与云计算技术、标准和平台的建设。云计算被各国视为21世纪争夺和保持竞争优势的重要方式。美国总统奥巴马2009年任命了新的联邦政府首席信息官,负责监管高新技术的推广和应用,其核心就是“云计算”。英国在新的“数字英国报告”中,呼吁加强政府的“云计算”部署。韩国政府2009年12月决定,在2014年之前向“云计算”领域投入巨资,争取使韩国“云计算”市场的规模扩大为目前的4倍,并将韩国相关企业的全球“云计算”市场占有率提高至10%。显然,云计算构成今后信息产业的核心竞争力,已是未来发展的大势。我国应把云计算建设提升到国家战略高度,及早制定和部署,解决科研机构、企业和运营商研发过程中遇到的一些障碍,比如云基础设施的建设、数据格式和标准的统一性、信息和应用的可移植性等,理顺这些关系,构建良好的环境,推动企业研发出我国自主知识产权的云计算技术、标准和平台,这会为我国的产业安全、信息安全提供坚实保障。
3. 争取云计算平台的控制权,避免盲目跟进。实践云计算要避免盲目跟进,尤其不能通过购买获得国外的自主知识产权后,不加以认真研究就使用。如果我们运用控制在国外企业手中的关键技术,大规模地进行云计算平台的建设,就会增加国外控制我国的手段。要努力把云计算整个产业链上的每一根链条都控制在我国手中,一旦某个环节被别人控制,我国的信息安全乃至国家安全就可能会受制于人。
4. 推进公平竞争,加快发展我国的信息服务业。“十二五”时期,国家大力倡导发展生产业,信息服务业由于涉及到电信、互联网、电子商务、电子政务等诸多领域,成为生产业的一个重要组成部分。要建立公平竞争的机制,在网络、服务、设备、应用程序和内容等方面构建健康良好的网络竞争环境,培育一批规模化、专业化的信息服务提供商,为云计算的未来发展和普及打下好的基础。
5. 加强信息安全、数据安全立法方面的工作。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。发达国家在维护信息安全方面,都建立了完善的法规体系。比如美国,既是世界上第一个引入信息战概念的国家,也是信息安全法律规范体系建设较系统的国家,历来重视打击危害信息安全的犯罪行为,以国内法弥补国际法的不足,并坚持与时俱进,不断强化信息安全的法律保护。2008年12月,美国开展了为期2天的“模拟网络战”,总计有230名来自军方、政府和企业的代表参与了这次演习活动。2009年5月26日,了《总统关于白宫国土安全和反恐组织的声明》,成立“国家安全参谋部”,由国家安全协调官领导,统一支持国土安全委员会和国家安全委员会。2009年5月29日,奥巴马在白宫东厅公布了名为《网络空间政策评估-保障可信和强健的信息和通信基础设施》的报告,强调美国21世纪的经济繁荣将依赖于网络空间安全。美国政府的这份报告还在附录回顾了现代通信技术在美国的发展情况以及信息安全相关法律和法规框架的制定情况。美国在维护信息安全方面的一系列举动,也再次提示我国要加强国家层面的信息安全统一领导和协调,加大信息安全、数据安全立法方面的工作,尽快填补目前的法律空白。
四、 结论
电子政务是政务工作的电子化,其范围包括各级行政机关系统的政务工作信息化,涉及了国家政治、军事和经济的各个层面。对电子政务信息管理和保护的缺失,人为的攻击、网络病毒等不安定因素的影响,会造成政务信息的丢失、泄密,影响政府为社会提供公共服务的质量。
1.网络安全现状
电子政务带来的经济和社会效益是巨大的,网络病毒等不安全的因素造成的损失也逐年上升,安全意识、安全管理滞后于电子政务的发展,其表现为以下几个方面:
1.1安全意识淡薄
在网络安全问题上还存在不少认知盲区。许多人一接触就忙着用于学习、工作和娱乐等,对网络信息的安全性无暇顾及。某国的谍报机构声称,在他们获得的情报中,近80%来自“公开的信息”来自于互联网。原因主要有:一是网民的疏忽,在网上发表关于的科技论文。二是收购信息,外国特工人员常常在聊天室、论坛故意发帖子引诱网友泄密或暴露身份,甚至明码标价收购信息;三是管理上的漏洞,比如政务信息时把关不严。
1.2 信息处理能力滞后
计算机及其网络技术的飞速发展,而人们的信息处理能力并不能及时更新提升。一个计算机新产品往往会带来新的安全问题。当U盘成为人们交流资源的重要载体,一种叫摆渡木马病毒将的文件悄然传递出去。当U盘在被感染的上网电脑上使用时,也会被感染上这个木马。如果这个U盘再用于的办公电脑,木马就会自动收集硬盘上的文档资料和敏感信息,并悄悄地打包存储到U盘上。
1.3 缺乏自主产权的核心技术
我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,电子政务建设中硬件、软件产品大多依赖进口。我们的网络发展很快,但安全状况愈来愈令人担忧。每一个进口的设备都会有隐患。由于过多的依赖外来技术,会使网络安全处于极脆弱的状态。
1.4 安全防护能力较弱
信息犯罪在我国有快速发展趋势。不少政府电子政务部门单位没有从管理制度上建立相应的安全防范机制,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。不完善的管理内部人士自身的违法行为;境外黑客对我国信息网络进行攻击;国内也有部分人利用漏洞进行网络犯罪,例如传播病毒、窃取他人银行账号等。
2.网络安全问题产生的原因
网络安全产生的原因有人为和非人为两类威胁。非人为威胁是计算机硬件、软件和网络协议三个方面导致网络的信息安全。
一是计算机硬件安全性。它是指电脑所用的芯片、板卡及输入输出等设备。显示器的电磁辐射会把电脑信号扩散到几百米甚至达到一公里以外的地方。电脑CPU、打印机中存储芯片可预先置 “逻辑炸弹”人武器里或敌方计算机系统中;
二是软件的漏洞。一个操作系统的程序有几百万行的语句,由不同的程序员编程。其本身存在不可避免的错误,这些错误或者说漏洞需要长时间的调试才能得以解决,但为了尽快进入市场,占领市场,于是采取先进入市场,找漏洞,公布漏洞的方法,由用户自己打补丁。除了操作系统以外,应用软件开发着往往为了尽快进入市场,绕过操作系统的访问机制,造成大量的安全漏洞。零日漏洞是指被发现后可以立即被恶意利用的安全漏洞,如果企业或个人对此漏洞缺少防范意识或缺乏相关技术手段,就可能遭受巨大损失。
三是网络协议的漏洞。美国用于军事、科研上的研究,在70年代设计出TCP/IP(Transmission Control Protocol/Internet Protocol的简写,中文译名为传输控制协议/互联网络协议),它是用于不同的网络之间的数据传送,TCP/IP协议开始存在着协议的漏洞。其中DNS(domain name system,域名解析系统) 的安全漏洞可能会导致“钓鱼”诈骗攻击。诈骗分子可以把人们引诱到假冒的银行和信用卡公司等商业网页,欺骗用户泄漏自己的账户号码、口令和其他信息。
人为威胁是指电子政务系统的正常运转实施或无意破坏的个人或组织结构。有四类:一是系统用户的误操作,或利用系统的安全漏洞实施主动攻击,进而从中渔利。二是犯罪集团恶意攻击。这些集团有丰富的资源和强大的技术实力,甚至还可以实施跨国际犯罪。三是国外政府。
3.提高网络安全的对策
电子政务的安全目标是保护政务信息资源价值不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容抵御威胁而具保密性、完整性、真实性、可用性和可控性的能力。
网络环境的复杂性决定了网络安全威胁的客观存在,信息网络安全是一个系统工程,每一个环节都可能引发网络安全事故。要增强信息网络的防护能力、隐患发现能力、网络的应急反应能力和信息对抗能力。就政府层面来说,解决网络安全问题应当尽快采纳以下几点建议:
一是加快出台相关法律法规。法律、法规是保障电子政务信息安全的最有力手段,我国电子政务立法的工作虽然已经取得了很大的进展,但仍然存在着一定的问题,主要表现在立法无统一规范、立法层次不高且结构不清晰,缺乏操作性的现状。应完善我国信息安全的法规体系,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
二是提高信息保障技术。信息保障技术有物理安全、网络安全、系统及应用安全。物理安全就是保证对物理设施的合法访问,避免人为破坏,并将自然灾难的影响降到最低。针对自然灾害造成的破坏最好的办法就是异地容灾。所以异地容灾,是将全部数据的拷贝保存在异地,一旦发生灾难能够将服务提供快速由本地转移到异地;应避免内网的违规操作:1、误用:操作失误造成的泄密或系统瘫痪;2、滥用,把计算机拿回家上互联网。
三是完善电子政务基础设施,在不安全的互联网上构建安全的可信通道,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施等系统),与政府电子政务信息安全管理体系相互支撑和配合。
四是加强运行管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况,提高政府的管理职能和效率。
五是高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
4.结束语
总之,电子政务安全是一个系统工程,信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全,必须由国家统筹规划、社会积极,即国家主导、社会参与、全局治理、积极防御。才能有效保障电子政务安全。
[摘要]本文针对我国近年来频繁发生于互联网的网络消费者个人信息被公开、交易以及被利用为进行诈骗、窃取消费者账户资金的犯罪工具等现象,通过对个人信息词义的解读为起点,阐述网络消费个人信息安全现状,提出包括立法规制等几方面的建议。
[
关键词 ]电子商务;网络消费者;个人信息安全;法律规制
随着网络技术的日新月异与大数据时代的到来,电子商务也随之不断发展从而逐渐成为当前重要的一种商业模式。根据CNNIC于2015年的《第35次中国互联网络发展状况统计报告》显示,截至2014年12月,我国使用网上支付的用户规模达到3.04亿人。其中,49.0%的网民表示互联网不太安全或非常不安全,在此背景下,网络消费过程中消费者个人信息遭泄露和遭遇不法侵害的案件数量也呈递增趋势,个人信息安全及保护问题已被广泛提上议程成为公众日益关注的重点并亟待良策。
一、个人信息的内涵及外延
1、个人信息的界定
从世界各国立法来看,对个人信息的称谓并不一致,有的采用“个人资料”,有的采用“个人隐私”,有的称之“个人数据”,有的学者认为这些称谓之间可以通用,有的则认为通用会引起不可避免的歧义。我国有学者对“个人资料”与“个人信息”进行了详细的区别,再结合国内外大多数学者共识以及国内语言使用习惯等方面的因素来看,将“个人信息”这个名词作为首选是具有可行性的,但在欧盟的数据保护指令中所呈现出的个人信息的定义却采用了抽象概括的方式。这些定义在进行法律认定时可能造成一定难度,所以我国大多数学者认为在抽象概括的方式下,再进行列举较为合理,这需要立法技术的进一步完善。
2、个人信息的外延
在对个人信息做出阐释后,有学者指出,网络用户的网上行动轨迹是可被记录和收集的,其中包括大量做广义解释的个人信息,而经营者一般都有很好的理由去收集这些信息。经营者可以在网上通过cookies的存取对消费者的购物行为进行信息整合后进行隐蔽营销。在市场经济下,网络消费者的个人信息对各种商家而言是可以产生一定的经济效益的,因此,近年来频繁发生消费者个人信息在商家之间秘密交易的事件,给消费者的工作生活带来困扰,更增加了诈骗等案件的发生几率。
二、网络消费个人信息的安全隐患与法律规制现状
1、经营者对消费者个人信息的非正当用途
据上文可知,在市场经济下,消费者个人信息对于市场来说是十分具有经济效益与社会价值的。采集信息的经营者只需利用数据整理软件对信息进行整理就可以清楚掌握每位消费者的性别、年龄、工作等隐私信息。从隐性消费意义上看,消费者的个人信息对经营者来说就如同一笔隐形财富,因为它代表着产品的不特定的潜在消费者。由此,网络消费者个人信息交易市场悄然运行甚至催生出一些专门从事信息搜集交易的公司。从近年来频发的信息泄露事件来看,这种交易行为损害了不特定多数网络消费者的权益,给网络消费者权益造成损失,危害了社会经济秩序和国家经济安全。
2、我国法律对网络消费个人信息安全的保护现状
基于近年来网络安全隐患,我国《消费者权益保护法》第二十九条、《刑法》第二百五十三条对这些情况或多或少做了规定,加之2013年2月1日起实施的关于保护网络个人信息里程碑式的《信息安全技术、公共及商用服务信息系统个人信息保护指南》。可是,从以上这些零散分布的法律法规来看,其实际操作性与可诉性并不强,内容也较空泛,特别是对于有关网络消费这一块都没有做出较明确的规定,都需要进一步完善。由于网络的虚拟性、远程性等特点,在发生个人信息泄露事件时,消费者的不重视、取证难、维权成本高等问题都造成了网络消费个人信息安全保护的举步维艰。
三、关于完善保护网络消费个人信息安全体系的建议
1、立法与司法规制
由于我国有着与其他国家不同的独特法律文化与历史背景,因此,在完善关于个人信息安全保护的立法规制时,应当结合我国的基本国情,并吸取世界上先进国家的立法经验。因此,一方面为了我们的长远经济效益与市场的平衡发展,不宜对当今繁荣的网络消费作出严格立法规制,以免打击了相关行业发展的积极性,使其失去发展良机;另一方面,我们也不能对侵害消费者个人信息的做法放任自流,必须建立起关于保护个人信息安全的法律法规体系,如制定专门的《个人信息保护法》,在此法中除一般的个人信息保护外,还要将以往零散的、分布于各个法律部门中的关于保护网络消费者个人信息安全的法律规范进行整合并完善。对采用信息的主体资格、相关权利义务进行规制,明确相关的违反义务的法律责任与责任承担方式,可以在此引入禁止令与公益诉讼机制,再适当运用刑罚的手段进行威慑。当然,在诉讼程序中也要明确关于侵犯网络消费个人信息的审理程序,尤其是对案件的管辖、立案标准、举证责任、审理方式等进行具体规定。
另外,在如今关于个人信息保护法律体系尚不完善的前提下,我们可以先通过司法手段对混乱现象进行规制,用司法推动立法。比如司法机关可以联合行政机关、行业协会、社会媒体等共同树立几个典型案例,一方面可以引起公民注意起到普法作用,一方面可以对信息交易乱象起到震慑作用。
2、建立行业自律机制
在电商行业自律方面我们可以借鉴一下网购发达国家的做法,消费者可以选择有隐私保护标志的网站进行网络消费,隐私标志程序提供了第三方对网络上信息流动的认证和监督,在美国最著名的第三方鉴定隐私保护标志项目由TRUSTe(电子信任)和BBBOnline(商业促进局在线组织)两个机构运作。据美国的成功经验来看,这些措施确实能够加强互联网网商行业自律,增强从业者的守法意识,增加其违法成本。但是,联系实际我们也应当看到,要切实保护网络消费者个人信息安全,仅靠行业自律是达不到目的的,行业自律缺乏外在性的强制力,关于行业自律的形式仅可以对法律规制起辅助作用。
3、培养网络消费者自身保护意识
保护网络消费个人信息安全,除了以上提出的方法之外,网络购物的重要参与者——消费者,其自身信息保护意识的建立也是重要且关键的一环。作为个人信息所有者的消费者,一定要养成良好的网络安全购物习惯,事前稍加注意就能避免事后无限困扰。比如有网络消费习惯的公民可以定期修改密码并保管好密码;定时查银行账户或者开通短信银行,资金有异动情况发生时能够第一时间掌握;选择安全的浏览器进行网上消费并减少非必要的信息输入行为。相信当网络消费者自身保护意识普遍提高时,信息交易以及利用信息进行犯罪的乱象也一定能够得以遏制。
参考文献
前言
对于个人信息的概念界定,目前在国际和国内立法上比较倾向于采用识别法,主要是通过利用个人信息所提供的信号能否可以直接或间接识别出信息主体的的一种识别定义方法。其中详细包括信息个人的姓名、族别、性别、身高、血型、年龄、身份证号、联系方式、家庭住址、身体健康状况、以及网络使用过程中的IP地址和网银支付信息等。在我国学术界和立法界对这种以“识别”作为基本要素的个人信息定义方法得到了普遍认可和适用。[1]当前,网络作为继报纸、电视、广播之后出现的一种新型的社会资源。随着互联网信息技术日新月异迅猛发展,伴随而来的计算机网络安全问题也日益凸显,在网络犯罪、网络病毒、黑客入侵等方面网络安全问题亟待解决。个人信息安全的问题随着新兴技术的产生发展层出不群,近几年来,“人肉搜索”和“艳照门”事件不断引发公众热议,带来十分恶劣的影响,以及关于个人网络信息的泄密事件频发,使我国对于个人信息网络安全问题必须置于一个新高度关注。
一、个人信息网络安全保护的必要性分析
(一)侵犯主体十分广泛
个人网络信息的侵权主体可以包括自然人和单位,而自然人不仅包括完全民事行为能力人,主体扩大至限制民事行为能力人和无民事行为能力人,最大的区别点即在于不同主体承担责任的方式不同。这里我们所指的自然人实际上即指网络使用者,他们主要通过以互联网为媒介泄露国家或他人信息和秘密窃取、篡改个人信息等方式进行一些侵权行为。此外,还包括网络服务提供商(InternetServiceProvider,简称ISP)和网络内容提供商(InternetContentProvider,简称ICP)两大主体。网络服务提供商是指一些大型经营机构主要为互联网使用者提供信息存储、传递、处理等服务的一些提供商,ISP在中国主要存在的企业形式有中国电信通讯、中国联通通讯和中国移动通讯。[2]违反限制其行为时就会构成侵权行为的发生:一方面为违反保持中立义务,干涉他人发送、信息获取的方法。另一方面指违反保密义务,通过利用职务优势泄露他人信息或者进行商业盈利活动。而网络内容提供商是指借助互联网平台给上网用户提供具体信息服务的主体,[3]例如,新浪,网易,腾讯、CSDN等网站。它的主要功能是网络用户可以通过互联网媒体平台进行信息共享以及在ICP管理的域内查询信息。[4]而ICP在信息时很容易未经信息主体同意将侵犯他人个人信息的内容擅自提供给他人利用。
(二)侵权的客体兼具双重属性
双重属性即指人格性和财产性。凡是与人格形成与发展相关是都可以构成人格权客体。[5]由于个人信息的独特性,对人格性理解主要是信息主体的人格尊严问题,当个人网络信息遭到侵权后,间接会到侵犯到网络用户的姓名权、隐私权或者名誉权等,实际上对于网络用户来说即侵害到其人格权。而信息技术的发展又凸显了个人信息的财产属性。一些消费者的个人信息对于商家来说具有潜在的商业机会和利益,因此商家就会利用这种便利借助各种可能的渠道收集并且出售给第三者。尤其是在电子商务和各种社交娱乐方式的出现后,许多人将自己的个人信息到网络,例如购物网站的联系方式、注册聊天交流网站时填写的兴趣爱好和年龄等。一方面,在利益的驱动下,商家为了寻找扩大消费者群体,就会想方设法获得有利信息;另一方面,当网络信息提供者ISP和ICP主体就会通过允许他人收集和使用其他人信息使自己获得经济利益。
二、我国个人信息网络安全存在的法律问题
(一)缺乏系统的法律保障
宪法修正案第二十四条明确规定“国家尊重和保护人权”,对个人信息领域的保护实际上就是一种对人权的尊重与保护,它通过规定个人信息主体的权利与义务从而实现宪法对人权的保护,其中详细确定的知情权、安全保障等一系列内容为个人信息保护提供了方向。目前,很多国家都制定了个人信息保护法,部分国家因为现实需要还制定了专门处理个人信息的单行法。虽然我国也进行了保护个人网络信息的立法研究,但专门的个人信息保护法却因为种种原因并没有出台,其中齐爱民先生与周汉华先生对于个人信息保护方面先后提出了自己的意见,但结果不容乐观。在网络上关于个人信息保护的法律条款就更是少之又少。我国主要通过部分法律法规的条款以及一些网站的隐私保护声明来实现对个人信息网络安全的保护。尽管刑法从刑事保护方面对个人信息提供了支撑,但刑法主要针对的是侵犯他人的信息安全已经达到了严重危害社会的程度才适用刑法的保护,对情节达不到严重标准的,自然无法规制普遍遭遇到的信息泄漏或被他人非法利用的情形。[6]此外,我国法律还存在结构单一的问题,无法应对随着信息技术的发展产生的新型个人信息的网络安全问题。因此,缺乏系统的法律保障,使得对个人信息网络安全得不到应有的保障与救济。[7]
(二)行业自律规范缺乏强制性
行业自身规范对于个人信息的保护方面发挥着十分重要的作用。个人信息的安全问题主要针对于互联网行业,其中以腾讯,网易网站为例,在隐私政策保护方面,虽然也对网站在信息处理过程中规定了信息安全和知情同意的相关内容,但在责任划分方面并没有具体规定,个人信息泄漏后由谁承担责任,以及由谁对信息消费者补偿的问题仍然没有解决,即便有行业自律机制,个人信息主体的赔偿也无法落实,承担责任与法律救济形同虚设。[8]CTOC模式是一种简单的用户对用户的交易模式,指在一个大型交易网站中,有成千上万的买家和卖家,通过网络交易平台进行交易活动,淘宝网和京东网就是典型的代表。但这种模式也存在着弊端,临时性和买卖双方身份的随意性是一个很大的问题,易导致交易的不稳定和出现安全隐患。
(三)刑事程序立法仍需完善
在个人信息网络安全的保护方面,刑法虽然发挥了其作用,在他人侵犯个人信息网络安全时,利用刑法的规制方法进行制裁时仍然受到了很多限制,在刑法程序方面,对个人信息网络犯罪的调查取证程序规定时,并不明确具体,导致对很多个人信息侵权案件的举证带来了很多困难。在《公安机关办理刑事案件程序规定》中,仅仅规定了电子邮件作为扣押书证、物证的范围,电子邮件实际上只是一种用户互相交流的方式之一,也是互联网信息网络的其中一个功能,因此不论在网络的调查范围,还是取证方式上都存在弊端,无法涵盖所有的网络用户的信息传递渠道,对于信息网络犯罪案件中的调查取证问题仍然是一个漏洞。[9]另外,在程序立法方面,与传统法律相结合的兼容性也不够,导致刑事程序立法过程中,并没有很好的结合实际情况,导致出现一个执法过程的真空地带。
(四)网络知识产权保护力度不够
在知识信息时代,知识经济是以区别于有形资产而存在的以知识和技术作为经济增长与发展的主推动力的一种经济形态。知识产权在促进经济发展方面的作用日益增大,当然必不可少的会成为违法犯罪分子的关注的焦点。目前在我国在著作法保护领域,仍然未提及到数据库保护。个人网络信息安全其中很大一部分涉及到知识产权领域,例如著作权、专利权、商标权和地理性标志等。由于网络发展迅速的特点,网络的传输和储存过程中势必会导致很多的作品涉及到作者的信息被复制、篡改等恶意使用行为的出现,大数据时代下,跨境传输过程中的个人信息网络安全也不容小觑。
三、完善我国个人信息网络安全的建议
(一)加快制定出台《中华人民共和国个人信息保护法》
随着互联网网络的蓬勃发展,网络与信息安全领域的法制建设于2014年正式被提上实现“中国梦”的重要议程,互联网疆域越来越成为了国家安全的重要保护对象,我国与其他国家在共同推进网络安全领域法制化达成了共识。目前,我国主要应着眼于立足国家网络安全层面对中国网络技术的安全保密及其他技术水平的提高进行理性的认识。切实保障国家网络信息安全是保障个人网络信息安全的前提,一方面可以通过建立国家信息网络安全平台,在法律法规中明确对个人网络信息安全的具体权利与义务,另一方面从执法和监督两方面都要紧紧把握从严的原则,完善刑事诉讼程序,严厉打击侵犯信息网络安全的犯罪主体,改进监督管理机制,建立一套公众参与的高效监管和应急系统。
(二)完善互联网行业自律
我国互联网行业主要考虑的是对信息管理者的处理和筛选而忽视了网络用户真实利益的实现,缺乏行业自律性。结合国外一些国家的现有法律法规和我国对个人信息保护的现实需要,对于互联网行业自律可以通过互联网协会起到一定监督与促进作用:第一,对于互联网行业的自律规范,可以经过政府信息资源主管部门的审查批准,已获得更高的审查批准标准,防止信息的滥用。第二,建立适当的评估机构,做到对各大网站不定期定量抽查活动。
(三)完善个人信息网络安全刑事立法
近几年,个人信息网络侵权案件屡屡发生,“人肉搜索”和“艳照门”事件更是数不胜数,严重侵犯了个人的隐私权、名誉权等人身权利,因此个人信息的刑事立法迫在眉睫。电子数据的保护应该从它的取证、鉴定到处理都必须要经过严格的程序,通过制定个人信息网络安全刑事立法,一方面对严厉打击个人信息侵权的犯罪主体,减少信息侵权案件的发生,另一方面,通过严格的刑事立法,执法人员严格执法,防止执法人员肆意滥用权利,借助自身优势自身侵犯公民权利,公众参与监督,保证个人信息的在法制保障下真正可以实现多方面的强制保护。
(四)健全知识产权保护及个人数据保护机制
知识产权的保护在很大程度上涉及公民的隐私等各种权利,我国现行法律对与公民的隐私权给予了一定的保护,《中华人民共和国宪法》第四十条明确规定“中华人民共和国公民的通信自由和通信秘密受法律保护”。但是,大数据时代的到来,资源共享的同时大量的个人数据在收集存储的过程中,个人数据的安全收到了极大的威胁。许多外国国家个人数据的保护对信息数据可以进行再处理,在修改,在信息的源头提供安全保护,网络用户对信息侵权享有要求赔偿的权利。[9]我国对于个人信息的网络安全保护仍然处于空白阶段,因此,可以根据我国国情借鉴国外的立法经验,健全知识产权保护及个人数据保护机制。
参考文献:
[1]马民虎.信息安全法研究[M].西安:陕西人民出版社,2004.377.
[2]杨立新.中华人民共和国侵权责任法精解[M].知识产权出版社,2010.
[3]王芸,电子商务法规[M].高等教育出版社,2010.
[4]杨立新.电子商务侵权法[M].北京:知识产权出版社,2005.
[5]张玉编.民法[M].北京:高等教育出版社,2007.
[6]陈之赞.关于信息安全管理的法律问题研究[D].复旦大学,2012.
[7]沈耀璘.论个人信息网络安全的法律保护[D].西南政法大学,2012.
1.1监管模式滞后
工信部与广电总局的监管下,地方广播电视发展“三网融合”模式,但由于前者以宏观的视角选择立足点,因此难免会对差异性极大的地方广播电视失察,再加上电信与广电之间本身的市场定位不同,在建立专网全业务经营模式时,往往出于自身利益的角度划分资源领地,甚至出现互相蚕食对方市场的情况,这种未能达成共识的监管模式,自然不利于“三网融合”模式的全面铺开,并且会形成局部的行业壁垒。
1.2网络安全性低
“三网融合”以开放性的网络,打通电信与广电网之间的沟通渠道,但同时面临木马、黑客等的攻击,譬如蠕虫病毒、垃圾流量等,给“三网融合”带来严峻考验,另外地方广播电视在网络安全方面的保障力度不高,严重影响了“三网融合”的健康发展。据不完全统计,2013年已发现17万种收集病毒,而且这些病毒传播速度非常快,成为地方广播电视“三网融合”的绊脚石。
1.3市场竞合格局不完善
广电与电信均为国家级的大型企业,其基础网络、服务市场等均不同,在没有启动“三网融合”模式之前,其业务鲜有重叠或者竞争的现象,而在启动“三网融合”融合模式之后,各自的市场运营机制出现了变化,业务也表现出重叠性和竞争性的特征,但在市场思维模式、产业标准和行业准则方面兼容性差,使得各种市场冲突不断,譬如某地方网络电视台的业务平台,在没有得到授权的情况下,就播放大量央视电视节目的内容,可见各方面的摩擦已达到白热化状态,限制了“三网融合”前进的步伐。
2国内地方广播电视“三网融合”思路
针对国内地方广播电视“三网融合”困境,在此笔者建议建立统一的监管机构,同时不断提高网络信息的安全水平,以及通过共赢模式的探索,进一步完善市场竞合格局。其具体的发展思路如下。
2.1统一监管机构的建立
针对目前国内地方广播电视的市场环境状况,出于消费者利益的保护,以及最大化社会福利的追求,应强调建立公平和健康的良性竞争环境,包括电信网、有线电视网、互联网在内的“三网”,要尽快在技术、业务和运营等方面进行融合,但其前提是改变分业监管的现象,建立统一的监管机构,以免各个行业为了自身的利益,而损害“三网融合”发展。在此笔者建议采用水平监管和垂直监管相结合的方式,建立“三网融合”的统一监管机构,并进行明确的职责分工,尤其是在分业监管模式方面,一方面要求由政府统一指导下,成立“三网融合”过渡性的协调小组,合理划分监管内容,初步调整监管分散的现状,以此致力于利益冲突的减少,譬如网络传输监管由工信部门负责、电视电影监管由广电总局负责等,另一方面是在监管分散现状调整之后,建立独立性的统一监管机构,有机结合工信部门和广电总局的监管职能,使得电信网、有线电视网、互联网得到全方位监管。
2.2网络信息安全的强调
地方广播电视的网络信息安全管理能力薄弱,而且习惯于传统业务开展模式,对网络信息安全的管理意识不强。为改变这种现状,笔者建议在建立统一监管机构的同时,还需要由政府协调小组成立统一的网络信息安全管理机构,强化网络信息安全管理的基础性工作,包括规划指导、安全预案制定、安全工作协调和其他基础性工作等,都要求以统一的管理标准作为支撑。另外在网络信息安全管理法律方面,需要上升到立法高度上,以结构严谨和层次分明的网络安全法律体系,保证地方广播电视“三网融合”的顺利发展。至于网络信息安全的保护机制,则应该综合性考虑地方广播电视的影响因素,包括风险威胁、安全需求和安全成本等等,从而形成差异性级别的安全保护机制,但同时需要开展安全评测、评估等基础性工作,以免出现突发性的安全事件。总之地方广播电视网络信息安全的管理工作,要立足于“三网融合”网络信息安全问题的研究,在技术层面上,开发出具备全方位性能的网络信息安全保障体系,由具备过硬技术的队伍保障网络信息的安全性。
2.3合作共赢模式的探索
“三网融合”强调电信网、有线电视网、互联网的合作,在信息化设备的发展背景下,通过社会市场资源的合理利用,凭借合作各方的业务优势,共同致力于将地方广播电视做大做强。换句话说,地方广播电视“三网融合”需要打破以上分隔状的市场竞合格局,共同探索合作共赢的模式。一方面是地方广播电视与电信合作领域的拓展,在现有市场空间内,增加内容和业态创新的新业务,以满足个兴化和多元化的消费者需求,另一方面是引入各种互联网应用模式,譬如IOS系统、网页网络游戏、通讯软件等,将这些应用模式植入电视机顶盒中,使得广播电视节目资源更加丰富,消费者只需要一条电缆和一台终端,就能够同时满足视频、数据、语音等服务需求,使得“三网”真正实现统一和融合。
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)16-0163-01
近年来随着电子商务的迅猛发展,每天进行着数以百万次计的各类交易中,电子商务中的网络安全问题日渐突出,又由于电子商务应用环境比较复杂,计算机网络本身又存在着不可靠性和脆弱性,所以电子商务交易中存在一些安全隐患。中国互联网信息中心的调查结果中指出,一半以上的用户最关心的是交易是否安全可靠。那么,电子商务面临哪些安全问题?又有哪些解决方法呢?
1 电子商务面临的安全问题
1.1 商务软件本身存在的安全问题
任何一种商务软件的程序都具有复杂性和编程多样性,而对于程序而言,越复杂意味着漏洞出现的可能性越大。
1)操作系统问题。操作系统是计算机网络系统中最重要的系统软件之一,由于操作系统在安装时存在端口开放、无认证服务和初始化配置问题,存在一些安全缺陷,这样会使系统处于不安全的状态,任一操作系统都会存在一些安全漏洞,这些安全漏洞都会影响到很大范围内的网络安全,由此,给不法分子趁机实施犯罪带来可乘之机。
2)网络协议问题。由于计算机网络最初网络协议的设计,重在实现数据的交换,并没有把网络安全作为重点来考虑,所以不利于商家之间、商家与消费者之间交易时的相互通信。如典型的TCP/IP协议就没有安全方面的设计,这就给交易双方带来好处的同时,也埋下了安全隐患。
1.2 信息安全问题
1)信息的泄露。信息在网络上传递时,要经过多个环节和渠道。不管是物理的原因还是人为的因素,都会造成信息的泄露,如一些硬件设备受自然灾害的影响造成电磁的泄露,再有信息在传输的过程中没有采用加密措施或加密强度不够,网络犯罪分子就可能在网络上安装截收装置获取用户的重要的信息,如用户的口令、银行的帐号等,严重威胁消费者电子商务交易的安全。
2)信息的篡改。未经授权的攻击者直接进入网络交易系统,获取了信息的内容及格式后,通过采取不同的技术手段和方式将信息进行删除、修改、重发,使得数据改变原有的内容,破坏数据的完整性和一致性,损害他人的经济利益,或干扰对方的正确决策。
3)信息的伪造。网络黑客通过某种技术手段冒充合法用户的身份来破坏交易,如发送伪造的信息来欺骗网络中其它的用户,或是冒充网络控制程序来套取和修改使用权限、密钥等。
1.3 信用安全问题
电子商务这种新型的商务活动自从20世纪90年代开始发展以来,由于网络环境下交易活动的虚拟性,致使交易双方的信用问题一直是世界各国关注的焦点。例如:买方进行虚假订单或提交订单后不付款,集团的购买者可能存在拖延货款的行为;卖方收到货款却给予否认或卖出的商品不能保证质量或数量,不能完全履行与买方签定的合同;交易双方都存在抵赖的现象等。
1.4 安全管理问题
网上交易安全管理问题主要表现在人员管理上存在的问题。
人员管理常常在网上交易安全管理上最薄弱的环节。近年来,由于企业工作人员职业道德修养不高,安全教育和管理松懈的主要原因,在我国计算机犯罪中大都呈现内部犯罪的趋势。再有一些竞争对手还利用不正当的方式潜入企业,窃取企业用户的重要信息,如用户的账号、密码以及相关的重要文件资料等。
1.5 安全的法律保障问题
电子商务是一种新的商务方式,由于电子商务相关法律还不完善,除在买卖双方的电子交易中经常会出现不同的网购纠份外,还会存在域名的纠纷、网络著作权的侵犯、网络诈骗以及电子交易中各方的法律责任不明确等诸多的问题,又由于电子商务活动与传统商务活动存在着很多的不同点,传统商务制定的相关法律又出现不适应电子商务的状况,同时电子商务发展速度非常快,而法律的修改制定又需要较长的时间,因此目前电子商务的相关法律还不能回避由于法律滞后而无法保证合法交易的权益所带来的风险,有待进一步修正完善。
2 电子商务安全的对策
2.1 采取不同措施加强电子商务安全教育和宣传,提高电子商务安全意识
具体可采取以下措施:一是采取不同的宣传方式,普及电子商务安全知识,提高公众的安全意识;二是通过开设电子商务安全培训课程,加强培养电子商务安全管理人才。
2.2 采用网络技术,确保网络信息安全
为了确保网络的信息安全,可以采用防火墙技术,防火墙往往设在企业内部网和外部网之间,是一种隔离设备,只允许授权信息通过,能够防止外部网上的各种危害侵入内部网络,是实现网络信息安全策略中最有效的工具之一。实现防火墙的网络信息安全策略时,有两条可以遵循的规则,即未被明确允许的都将被禁止;未被明确禁止的都将允许。前一种规则建立了一个非常安全的网络环境,而后一种规则建立了一个非常灵活的环境,给用户提供了更多的服务。
2.3 运用密码技术,强化通信安全
为了保证交易双方身份的正确性,保证交易双方的通信安全,运用各种加密技术,数字信封技术是使用两个层次的加密,解决了网上信息传输的保密性问题,数字指纹的应用验证了交易文件在传输过程中是否遭到破坏,解决了防止网上信息假冒的问题,而数字签名技术解决了交易双方的身份认证问题。
2.4 加强人员管理,确保安全管理
电子商务是一项高智商的劳动。需要从业人员一方面具备传统营销的知识和经验,另一方面又必须具有相应的计算机网络知识和操作技能。而当今计算机网络犯罪又具有高技术性、智能性、隐蔽性、连续性的特点,因而,对从事网络营销和企业内部网络维护人员进行重点安全管理,落实每个工作人员的工作责任制,完善企业内部日常安全制度。
2.5 健全法律,严格执法
电子商务应用环境是区别于传统商业环境下的新环境,在传统交易方式下适用的法律法规难以适用于新的环境,又由于关于电子商务的立法还不完善,需要在充分考虑到国内环境的前提下,尽快出台专门针对电子商务交易的法律法规,适应电子商务运作的法制环境,解决存在各种问题,如电子合同问题、网上虚拟财产保护问题等,强化法律法规的可操作性,加强与国际电子商务立法相接轨,通过建立电子商务安全法规体系,规范和维持网络的正常运行。
项目基金
本文系河北省社会科学发展研究课题,编号:201303063。
参考文献
1.引言
信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。
2.大数据时代网络信息安全
2.1 计算机信息安全的定义
国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。
2.2 大数据时代网络信息安全现状
网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。
2.3 大数据时代网络信息安全保护思考方向
信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。
3.计算机本地信息安全
3.1 本地媒体信息种类
所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。
3.2 本地媒体信息安全现状
目前,本地媒体信息面临的安全隐患可以分为以下几个方面:
(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;
(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:
(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;
3.3 保护本地信息的必要性及影响
随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。
当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。
4.计算机可视媒体信息安全
4.1 可视媒体类型
可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。
4.2 可视媒体现状及发展
信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程
4.3 研究可视媒体信息安全的意义
可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。
5.结论
5.1 信息安全主要预防措施
随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。
5.1.1 风险评估
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。
5.1.2 人工智能综合利用
人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。
5.1.3 等级保护
为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。
5.1.4 信息安全管理
随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。
5.2 信息安全主要补偿措施
5.2.1 转嫁风险
目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。
5.2.2 数据恢复
数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。
5.3 信息安全预防和补偿措施的结合
目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。
参考文献
[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.
[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.
[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.
[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.
[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.
[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4
[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.
[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.
作者简介:
董承瑞,现就读于中国人民公安大学网络安全保卫学院。
宋晶乔,现就读于天津大学建筑工程学院。
1 概述
电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。
电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。
2 电子政务信息系统面临的威胁
电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。
对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。
3 电子政务信息安全管理体系的构建
要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。
3.1 加强安全技术力量是实现电子政务安全的基本方法
安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。
网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。
3.2 构建安全管理体系是电子政务安全实施的重要基础
安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。
3.2.1法律政策、规章制度和标准规范
电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。
3.2.2电子政务防护体系
贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。
3.2.3等级保护制度
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
4 完善安全服务是维护电子政务安全实施的有力保障
4.1 安全等级测评和风险评估管理
电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。
由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。
4.2 安全培训服务
根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。
构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。
参考文献:
《萨班斯法案》包括以下七个方面的内容:成立独立的公众公司会计监督委员会,监管执行公众公司审计职业;加强注册会计师的独立性;加大公司的财务报告责任;强化信息披露义务;加重违法行为的处罚措施;增加经费拨款,强化SEC(美国证券交易委员会)的监管职能;要求美国审计总署加强调查研究。
(一)成立独立的公众公司会计监察委员会,监管执行公众公司审计职业
《萨班斯法案》规范的另外一项重大内容是, 建立一个独立于美国注册会计师协会的监督机构――公众公司会计监督委员会(PublicCompanyAccountingOversightBoard,简称PCAOB),实施对注册会计师行业的监管。
(二)建立了首席执行官(CEO)和财务总监(CFO)财务报认证责任
萨班斯法案302条款2002年9月生效,规定美国上市公司的首席执行官(CEO)和财务总监(CFO)在其年度和中期财务报表中必须签名并认证,其财务报表完全符合萨班斯法案中有关规定,并不含有任何不真实的并导致其财务报表误导公众的重大错误或遗漏。
(三)强化了公司管理层及外部审计师对于公司财务内部控制的责任
萨班斯法案404条款要求公司管理层和公共审计师,每年在年报中就公司产生财务报告的内控系统分别作出评价和报告,还要求外部公共审计师对于公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。
(四)协调公司治理、信息披露、会计审计的“三位一体”关系
《萨班斯法案》所确立的法律制度也紧紧围绕着公司治理、信息披露、会计审计这三方问题。而这三个方面涉及了不同的法律范畴,公司治理一般是公司法上的问题,信息披露一般来说属于证券法的管辖范围,而会计审计则常有会计法进行调整。
对于会计审计和财务信息披露的关系是显然的。而信息披露和公司治理的关系却值得进一步探讨。信息披露与公
司治理是紧密相关的问题。虽然前者属于证券法范畴,后者属于公司法范畴。
二、萨班斯法案对中国上市公司完善公司内部结构治理的借鉴
萨班斯法案立法宗旨是为了保护公众投资者的权益,萨班斯法案通过建立完善的内部控制体系防患于未然,这也许需要中国借鉴的,这是我们最为欠缺的。如果把这个法律其中好的借鉴过来,对中国企业提升竞争力、提升管理水平、规范运营都是有好处的。
(一)信息安全体系的建立,监管机制引入
萨班斯法案引发了信息安全的直接需求,对于信息安全可以让我们有动力去建设可靠的信息安全体系,并且由于审计和监督机制的引入而更具有说服力。它有助于克服上市公司存在的公司内控失控,失效等问题,有助于降低上市公司内部管理风险,将企业自律、政府监管与中介机构评估有机结合,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架和以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,有助于集合各方力量有效遏制上市公司虚假信息披露行为的发生、发展。
(二)促使企业以外部审计师视角重视信息系统和安全状况
萨班斯法案打破了公司治理的传统框架,审计的会计师事务所的独立化操作模式,可能造成公司在信息披露和财务管理上的冲突和矛盾,但是,萨班斯法案强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务;同时,大幅加重了对公司管理层违法行为的处罚措施。
(三)上市公司CEO和 CFO的个人责任强化,有助于突破传统公司法法人责任制度体制
上市公司的 CEO和CFO要对公司定期报告内容的真实性、准确性提供个人保证,确实造成了一种很大的真正有效的威慑作用。通过立法,通过外部强制性的责任落实到个人,责权利对称以后,可能以后对公司内部的管理、透明度都会有一个革命性的变化。
(四)政府证券监管部门必须对上市公司信息披露的审查权
证监会制定相关规则,规定上市公司必须制定高层财务人员的“道德法典”。要求加快信息披露的速度。要求上市公司“迅速和实时”披露关于公司财务状况或营运方面的重大变化等。
三、中国的萨班斯法案的颁布对上市公司内部结构治理的积极意义
财政部、证监会、审计署、银监会、保监会等五部门联合的《企业内部控制基本规范》(以下简称《基本规范》),从2009年7月1日起将率先在上市公司范围内施行,这标志着有效保护投资者利益的企业内控标准体系的建立。这是一部规范中国上市公司内部控制制度的规章,堪称是中国版的“萨班斯法案”,酝酿两年之久的《基本规范》进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制,被认为是国内企业治理国际化的重要一步。改善公众投资者的投资环境,有助于恢复投资者信心,保护投资者利益。
一、引言
随着医院对信息化建设不断深入渗透医院的医疗、科研、教学、后勤保障,医院信息系统不仅是保证医院的正常运转,还是医院财务管理等方面的巨大支撑,并且安全的医疗信息数据才能有效地保护病人的权益、提高治疗效果。因此加强医院信息系统安全建设是医院良好有序发展的前提及客观要求[1]。
二、医院现状及信息安全状况
2.1基本情况。我院现为国家三级甲等医院,是华南地区医疗、教学、科研、保健和康复的重要基地,设有31个大科,100个专科,其中5个国家重点学科、28个国家临床重点专科。医院信息系统自开始建设,经历三代HIS系统的更迭,至今在线服务器和存储近百台,网络设备300余台;业务模块近100个;终端数量近2000台。核心系统包括HIS,CPOE、EMR、PACS、LIS。
2.2安全等保建设前信息系统安全状况。网络采用物理网络隔离的方式,即业务网和互联网物理隔离,但随着医院业务的不断开展,与医保网互联、开通微信平台、通过支付宝微信支付、移动终端接入,业务网不可避免地要跟外网互联,且人为加入无线网卡等连接外部网络等,面临安全风险。安全防范意识上面,未形成有效的安全等级保护的规章制度和领导小组或安全管理手册。
三、医院安全建设规划和实施
3.1规划和原则。国家立法“对信息服务、公共服务、等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害公共利益的关键信息基础设施,实行重点保护”[2]。卫计委要求各医院完成安全等级保护建设。具体提出定级备案、安全整改建设、等级测评、监督检查等工作要求[3]。根据以上指定及实际情况,我院制定出“规划先行、指导为重、分期实施”的总体指导方针。整体上,安全等级保护建设工作分为四个阶段1)自我认知阶段,了解面临的风险,可能的威胁。2)基础改进的阶段,包括根据资产价值治理控制环境。3)规划管理阶段,定义业务内控流程,加强合规管理。4)安全运营阶段,IT风险集中管理与监控。最后达到自行驱动完善信息系统安全。
3.2医院信息系统安全定级。我院对HIS、LIS、PACS、电子病历、OA以及门户网站进行安全等保定级、备案、差距测评以及整改。HIS系统定为3级,PACS、LIS、电子病历、OA以及门户网站定位了2级。
3.3安全建设实施。我院信息安全建设采用安全域划分的方式,采用国内一流的安全产品,与原有的信息系统和网络设备实现无缝衔接,统一管理,快速响应,运行稳定。核心安全产品包括核心UTM、安全域的FW、日志审计、IDS以及终端安全。
四、信息安全建设收益
4.1提高了系统的安全防范能力。如下图所示,体现为四方面1)服务器以及存储只对外提供指定端口,非业务端口流量严禁进入。2)重要业务数据库做操作审计。3)服务器操作系统进行漏洞扫描并及时修补。4)业务软件系统漏洞扫描以及安全检查并修正。
4.2数据中心实现安全域管理划分。新增业务系统按照其等相应的等级加入相应的安全域,快速部署,统一管理,并节省安全建设成本。
4.3信息安全技能提升。通过信息安全建设,技术人员的专业水平显著提高,安全意识增强。完成数次渗透测试与安全加固。应对供电故障,建立了机房双路供电加UPS;应对设备故障,核心设备双活负载均衡,次重要设备硬件冷备份,可在预见时间内恢复网络;应对线路故障,建立备用线路;应对网络攻击,常规化网络监控以及人工网络巡查,攻击出现时可迅速定位攻击来源。
五、安全一体化运维平台建设的新要求
移动互联和物联网,对医院的信息安全提出新的要求,具体做到:认证、加密以及定位,即为:进不来,拿不走,留痕迹(审计)。这三点中最难的是认证,认证必然造成医院临床使用的不便,而部分设备较难实施认证,如一些手持终端、摄像头等。对此,应对的管理方式可以是安装终端管控系统,无感知认证,移动终端只允许在指定区域进行无线接入等。总体上看,持续的安全建设应该是向安全一体化运维平台的方向发展。而这个方向需要管理人员安全管理组织、决策、执行,需要流程化运维,需要一套监控中心、预警中心、事件处理平台、考核中心、知识管理中心、流程驱动的引擎。最终到达的目标是自驱动的管理与技术相融合。即安全管理制度流程化,安全可视化、动态化,形成PDCA风险优化处理闭环。
六、结语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的措施。安全也是适度安全,没有绝对的安全。信息安全应该是管理与技术并重,安全管理制度落地运作,通过信息化手段来实现信息安全管理工作,并随着外界风险的变化进行调整,信息安全应该是持续改进的过程。
参考文献
[1]黄娓娓,刘涛.大家健康,2014,5,8(10):4-5.
随着互联网的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。据中国互联网络信息中心(CNNIC)的《第27次中国互联网络发展状况统计报告》统计,中小企业互联网接入比例达92.7%,规模较大的企业互联网接入比例更是接近100%。43%的中国企业拥有独立网站或在电子商务平台建立网店;57.2%的企业利用互联网与客户沟通,为客户提供咨询服务;中小企业电子商务/网络营销应用水平为42.1%。可以说,电子商务已经深入国民经济和人们日常生活的各个方面。但其安全问题也越来越突出,知名安全企业RSA执行主席亚瑟?科维洛的一份中国报告称,2.17亿中国用户遭受木马攻击,1.21亿用户账户或密码曾被盗。如何建立一个安全便捷的电子商务环境,是摆在电子商务众多商家和买家面前的一个难题。
一、网络安全问题主要有以下几种
1、特罗伊木马
特罗伊木马,简称木马。在近期,黑客开始利用人性的弱点开始发起行动,他们往往利用免费破解软件、诱惑视频播放器、免费外挂软件以及网络传送文件等捆绑木马。木马在用户安装破解软件、播放器及外挂时,在运行安装程序的时候隐藏在计算机系统,隐蔽的与外界连接,接受外界的指令。被植入木马的电脑系统所有文件将会被黑客获得,在用户登陆电子商务网站输入用户名密码及行进支付的时候的账号及密码会被木马窃取发送给黑客。而且系统也会被黑客所控制,被利用作为攻击其它系统的攻击源。据360安全中心统计,今年上半年,国内新增木马病毒样本4.48亿个(以恶意程序的文件指纹数量计算),平均每秒出现29个新木马,是去年同期的4.46倍,受攻击的电脑数量日均则达到452.5万台。
2、钓鱼网站
又称网络仿冒、网络欺诈等。是一种网络欺诈行为,一般通常伪装成为银行网站,黑客等不法份子利用邮件、QQ、群发短信等手段,利用中奖信息、网站升级、客户服务等信息,在其中提供伪装的链接使其链接到钓鱼网站。一般来说,钓鱼网站和真实网站界面完全一致,在要求用户登陆的过程中窃取用户的信用卡号、账户名、密码等信息。据中国互联网络信息中心(CNNIC)联合国家互联网应急中心(CNCERT)最新的《2009年中国网民网络信息安全状况调查报告》显示,2009年有超过九成网民遇到过网络钓鱼,在遭遇过网络钓鱼事件中的网民中,4500万网民蒙受了损失,直接经济损失已经达到了76亿元。
3、分布式拒绝服务(DDoS)
分布式拒绝服务攻击就是黑客利用其在互联网上控制的很多计算机,同时向某一电子商务网站服务器发送数据包,达到妨害其网络与系统之间的正常服务,让用户不能得到正常服务。近年,DDoS呈转嫁及流量攻击等特点。2010年腾讯业务受到多次攻击就是因为某些小网站受到攻击后,恶意的将网站域名指向腾讯所致。另一方面,DDoS的攻击流量越来越大,针对“456 游戏”网站的攻击流量峰值甚至超过100Gbps。
4、网站首页篡改
网站首页篡改是指开展电子商务企业网站的首页被黑客等不法份子修改为他们提供的首页。在首页被篡改后,对电子商务这样需要与用户通过网站进行沟通的企业来说,就意味着电子商务将无商可务。尤其对具有攻击性质的篡改,用户账户信息被盗窃,丑化企业的信息等,都是对企业形象信誉的严重损害。据国家计算机网络应急技术处理协调中心(简称CNCERT)监测,2010 年中国大陆有近3.5万个网站被黑客篡改。
二、网络安全趋势预测
1、网络购物将是攻击的首选
伴随着电子商务市场的蓬勃发展,这个领域必然是黑客攻击的重点。 在过去的一年,针对电子商务的攻击给众多企业及用户带来严重损失,电子商务平台提供者及众多安全软硬件制造商在努力的帮助他们减少损失,从目前看效果并不理想,网络骗术正在不停翻新,黑客正在编写着新的网购木马。
2、针对大型虚拟社交网络的攻击不断加强
以QQ社区为代表的网络社区,人数众多,普遍支持分享链接。此链接很容易被用来传递不良信息,比如指向钓鱼网站的链接。而且社区人数众多,只要社区系统被黑客发现漏洞,那么庞大的用户群的相关信息及权益得不到保障。
三、对策
随着网络应用日益普及及其开放性的特点,网络安全事件又不断出现,电子商务的安全问题日益突出,怎么样才能有效保护电子商务的正常开展?我国政府主管部门、互联网企业及普通用户都应重视互联网安全问题,上下联动,发挥各自的作用,共同提供互联网安全的水平。
1、加强网络安全立法工作
国家应提高对网络安全的重视,加强高层次立法,加大网络犯罪惩治,量刑力度,形成有效震慑,增加其犯罪成本。
2、进一步加大网络安全行政监管力度
抓好《公共互联网网络安全应急预案》和《互联网网络安全信息通报实施办法》等网络安全相关政策文件的落实。对容易照到攻击的金融、证券等重要联网信息系统主管部门应加强网络安全管理和保障工作。
3、加强网络身份认证服务体系
迅速蓬勃发展的电子商务,和传统的商务行为不同。电子商务进行的是无纸贸易,交易双方基本不见面,通过网络虚拟平成整个交易,其信用及身份的认证仅仅依靠提供服务平台的密码认证。由于平台的多样性及密码的虚拟性,决定信用体系存在较大的疑问。国家应牵头依托合法电子商务认证服务机构,形成覆盖全国的网络身份认证服务体系。
4、加强网络安全防范意识
对于我们普通网民,我们要提高对网络安全对电子商务威胁的认识及加强网络安全防护的意识。做好个人计算机的安全防护,养成良好的上网习惯,学习一些基本的网络安全知识,不访问一些不确定安全性的网站,不下载无法确定安全性的软件,电脑中安装杀毒软件和防火墙,经常扫描自己的电脑。
参考文献:
为了很好地分析我国目前电子商务发展的现状,让我们先来看一下电子商务的发展需要哪些必备的条件。第一对电子商务的发展要有人们广泛的认同。无论是原始社会的物物交换方式还是现代社会的一般等价物交易模式社会认同都是交易得以实现的基础,对电子商务这种新型模式也必须有广泛的认同;
第二电子商务交易模式必须要有足够的安全保障,必须保证交易信息的机密性、真实性和完整性.必须保证交易行为的抗抵赖性;
第三.能真正降低交易成本。人类从最原始的交换到采用一般等价物,再到利用信用体制进行交易活动等等,都是在不断地降低交易成本。如果我们引进电子商务不但不能减少成本,反而会使成本增加,那么就不会得到社会的认同:
第四要求方便易用。这一点十分重要,目前我国电子商务发展过程中最致命的弱点就是使用不方便;
第五要能满足社会大众的商址心态,既能提供匿名制也可以实行”实名制“。传统的金融体系的一个优点就在于既可以是“实名‘’的也可以是“匿名”的。目前,在全世界范围内对个人隐私的保护越来越重视我国已经加入了WTO对这个问题也应当引起高度的重视,越是开放和推行信息化个人隐私权越应该受到尊重。在我国发展电子商务时尤其要考虑这个问题,否则用户就没有选择.电子商务的发展就会受到阻碍。
自20世纪90年代以来电子商务这个概念在我国一直被各方炒得很热但是其真正发展却很缓慢。根据我们了解的情况虽然最近一两年我国的电子商务获得较大发展但在技术和管理方面仍然存在大量问题.安全隐患依然令人担忧。下面我们从技术、管理和安全等方面来谈谈我国电子商务发展存在的一些问题。
1、从技术上看
(1)网络速度仍然不够快,大规模推行电子商务可能带来网络拥挤影响交易效率,当然这个问题可以逐步解决;
(2)IT技术的发展速度很快,但是社会对一种新技术的认同需要一定的时间。也就是说.商务模式的形成和人们使用习惯的养成都需要一个过程.IT技术的飞速发展使得电子商务经营者和用户都难以跟上其步伐;
(3)缺乏很好的网络安全技术保障。目前的安全技术和安全产品难以很好地防范黑客的攻击.难以杜绝针对电子商务的网络犯罪行为;
(4)收费困难。B一to一B稍好一些,B一t介C电子商务一直没有找到方便可行的安全支付方式。
2、管理上存在的问题
(1)国内电子商务网站的数目不够多浏览电子商务网站的用户数量虽然不少但真正通过这些网站进行交易的人数还是比较少:
(2)很多电子商务网站的经营收益远低于预期值,过高的经营成本使得相当多的电子商务网站倒闭,虽然也有成功的商务网站但屈指可数:
(3)市场运作技巧难以适应中国国情。现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华但收效却不尽如人意。不充分考虑中国国情的商业行为和模式.恐怕是难以成功的。当然.这两年网络泡沫的破灭使得电子商务经营者更加务实。
3、从安全上看,电子商务的隐患令人担忧,主要表现在
(1)网络信息安全在全球还没有形成一个完整的体系我国也不例外。虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。近两年有将近二十家有关电子商务安全的产品申请认证,但最后通过的不多。另夕卜不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普遍了解得较少因而他们很难开发出真正实用的、安全性能强的技术和产品。
(2)安全技术的强度普遍不够。国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制因此强度普遍不够。这种技术用在B一to一C方面还勉强可行但用在B一to一B上就显然不够。
(3)电子商务网站的安全管理存在很大隐患.普遍难以经受黑客的攻击。这个问题应当引起高度重视。国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小没有多少可攻的价值。
(4)电子商务仅仅局限于商务信息领域而没有深入到真正的电子商务领域.这些因素的存在必将影响我国电子商务的进一步发展。
二、制约我国电子商务发展的主要因素
有人开玩笑说:“中国的电子商务目前是个’三无‘行业:无法可依、无安全可言、无规可循“。虽然这种说法不完全正确但是我国目前电子商务的发展确实受到各个方面因素的制约。这些问题得不到很好解决,我国电子商务就无法真正蓬勃发展。归纳起来,大致有以下几个方面。
1、基础设施问题:我国正处于信息化建设的初始阶段虽然最近几年我国的互联网发展非常迅速但是离发达国家还有一定的差距尤其是在广大农村地区:
2、观念改变问题:人们从传统的购物方式转而接受网络购物方式还需要一个心理适应过程。多数消费者对电子商务模式的安全性还是不太放心当然这需要一个长期宣传和引导的过程;
3、信用机制问题:我国没有建立全社会范围内的信用机制出现信用问题很难找到责任人。目前CA中心的建立可以解决这个问题:
4、支付技术问题:目前缺乏高效、安全和标准的电子支付方式这也是制约全世界电子商务发展的重要因素之一:
5、法律保障问题:立法工作跟不上技术的发展,电子商务发展缺乏有效的法律保障。目前,我国还没有相关法律来确定认证中心的法律地位以及电子签名和电子合同等的法律效力。加入WTO后,我国要加紧制定电子商务法。
6、物流配送问题:电子商务不仅仅是一个支付问题.除了少数可以通过网络提供的货物或服务以外,对于大多数实物货物来说存在一个物流配送问题。如何建立成本低廉、行动迅速的配送系统也是电子商务发展过程中一个尚需解决的关键问题;
7、信息安全问题:当然,影响当前电子商务发展最关键的问题还是信息安全问题必须从技术上为电子商务交易活动提供机密性、完整性、真实性和抗抵赖性等安全保障,而且这是一个长期的、不断发展的过程。从国内外的情况来看,安全技术和安全管理跟不上电子商务发展的速度这是一个越来越突出的问题。电子商务的快速发展需要业界、特别是信息安全业快速地做出反应.否则安全方面的问题将会制约它的发展。现在不仅仅是发展中国家,就连美国这样的发达国家.电子商务在很多领域还是没有像其他传统的商务那样发达一个重要的原因就是安全问题。这就需要信息安全业的同行做出不懈的努力不要因为安全问题而制约了电子商务的发展。
三、如何看待电子商务的安全问题
在正确看待电子商务的安全问题时,必须建立以下几个观念。
(1)安全不是一个纯技术的概念:不能仅靠技术来解决安全问题安全还和社会道德、行业管理以及人们的行为模式密切相关。因此.现在国外对于信息保障的概念提得比较多.对于电子商务来说也应该从整体、系统的角度来看待安全问题.从技术、管理、法律等全方位来提供安全保障:
(2)没有绝对的安全:安全是一个相对的概念.世界上不存在永远也攻不破的安全技术因此不要等着出现绝对安全的技术后再来发展电子商务。在信息化发展的过程中.应该自始至终把发展放在第一位。因为没有发展.安全就无从谈起,没有发展就是最大的不安全。安全级别与成本成正比,安全与管理始终是联系在一起的。也就是说安全是相对的而不是绝对的。如果要想以后的网站永远不受攻击不出安全问题是很难的。我们要做到的就是采取必要的措施降低风险的可能性,提高安全系数保证相对的安全。安全的相对性是我们要客观认识的一个问题;
(3)安全是有成本和代价的:对于信息系统来说,安全是需要成本的。也就是说获得一定级别的安全性就需要付出相应的代价,当然这种代价不仅仅指金钱上的成本往往还有运行效率、计算成本、通信成本等,在电子商务上也是同样的道理。例如在电子支付方式上,宏支付与微支付两种方式就是一个很好的例证。因为涉及金额较大,宏支付往往采用公钥算法以及其他措施来提供较高级别的安全。但对于微支付来说。由于支付金额多为几分钱甚至零点几分钱,如果采用公钥算法就会亏本因此人们往往采用对称密钥算法和哈希算法等计算成本较小的技术。总而言之安全是有成本和代价的需要提供多高级别的安全与电子商务的具体应用有关。作为电子商务的经营者、管理者和开发者都应该综合考虑安全和成本;
(4)安全是发展的、动态的:安全不是个静态的概念,今天被认为是安全的技术或者设备明天就不一定很安全因为信息安全存在着攻防双方。常言道:‘道高一尺,魔高一丈’,信息安全攻防双方是此消彼长的事情.不会存在永远的赢家。安全技术的敏感性、竞争性以及对抗性都是很强的这就需要不断地检查、评估和调整相应的安全策略。没有一劳永逸的安全也没有一缴而就的安全。对于电子商务来说,其安全也是一样具有动态性所以应该对电子商务所采用的安全技术、安全产品以及安全管理措施定期进行检查、评估与更新以保证电子商务活动正常有序地进行。
四、加快我国电子商务发展的若干建议
对电子商务发展的建议简单地讲是一两高一低’‘即:
一、个人信息安全保护的现状
2012年1月16日,中国互联网络信息中心(CNNIC)在京《第29次中国互联网络发展状况统计报告》,截至2011年12月底,中国网民数量突破5亿,达到5.13亿,全年新增网民5580万。互联网普及率较上年底提升4个百分点,达到38.3%。商务类应用在经历了2009-2010年的快速增长后,迎来了相对平缓的发展期。《报告》显示,电子商务类应用稳步发展,网络购物、网上支付、网上银行和在线旅行预订等应用的用户规模全面增长。与2010年相比网购用户增长3344万人,增长率达到20.8%,网上支付、网上银行使用率也增长至32.5%和32.4%。另外,团购成为全年增长第二快的网络服务,用户年增速高达244.8%,用户规模达到6465万,使用率提升至12.6%。CNNIC预测,2011年我国网络购物市场交易金额为7566亿元人民币,较2010年增长37.4%,网络购物交易总额预计占到全国社会消费品零售总额的4.2%。
互联网在保持平稳较快发展的同时,安全问题已经渗透到网络生活的方方面面,如网络游戏用户对帐号盗取的关注度要高于其他网民,而网络购物的用户则更为关注网银盗号、支付劫持等安全问题。特别是在2011年末,我国互联网遭遇史上最大规模“泄密事件”,微博XSS蠕虫爬上社交圈轰动一时,频发的重大安全事件理应使身处互联网的我们警钟长鸣。
2011年12月21日,国内最大程序员社区CSDN上的600万用户账号和密码被公开。随后,密码泄露事件开始大范围发酵,天涯社区、世纪佳缘、当当网等国内知名网站也被曝出存在“类似泄密问题”,上千万用户账号和密码在网上被公开扩散,该事件被媒体称为“中国互联网史上最大规模的用户信息泄露事件”。
2012年3月19日,当当网公告,要求用户在3月19日至3月22日修改账户密码。在此期间账户中的礼品卡和余额将被冻结。据称,事件源于近日极个别账户被盗,造成少数消费者的账户余额被盗用。当当网还对外透露,信息的根源在CSDN。
今年“3・15”消费者权益日,中国电子信息产业发展研究院、中国软件评测中心举办“2012中国个人信息保护大会”,会上的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。
二、个人隐私信息泄露途径分析
近几年,各种信息秘密泄露事件比比皆是。人民网此前开展了一次有关个人信息泄露的调查,结果显示,90%的网友曾遭遇个人信息被泄露;有94%的网友认为,当前个人信息泄露问题非常严重。
一些商家或个人通过问卷调查、网络注册、会员登记等方式收集用户信息;消费者在就医、求职、买车、买房、买保险、办理各种会员卡或银行卡时填写的个人信息被出售;网络登录申请邮箱、注册进入聊天室时填写的个人信息被非法搜索或链接;名片代印机构储存的大量个人信息被泄露;物业泄露业主信息;废旧电脑磁盘恢复数据等等。而非法获取个人信息的渠道主要有以下几种:旅馆住宿、保险公司投保、租赁公司、银行办证、电信、移动、联通、房地产、邮政部门等需要身份证件实名登记的场所,利用登记的便利条件,泄露他人信息;各打字店、复印店利用复印、打字之便,将那些个人信息资料存档留底,装订成册,进行对外出售;借各种“问卷调查”之名,窃取市民个人信息。商家宣称市民只要在“调查问卷表”上填写详细联系方式、收入情况、信用卡情况等内容,以及简单的“勾挑式”调查,就能获得不等奖次的奖品,以此诱使市民填写其个人信息。
此外,购物中的抽奖活动也有可能泄露你的个人隐私。商家通过在抽奖券的正副页上填写姓名、家庭住址、联系方式等方法,获取个人信息;在购买电子产品、车辆等物品时,一些非正规的商家填写非正规的“售后服务单”,从而被人利用了个人信息;各大超市、商场通过向市民邮寄免费资料、申办会员卡等促销方式,从而轻松掌握到市民的个人信息。
网络安全导致个人信息泄露的几种主要渠道:第一种是通过利用互联网搜索引擎搜索个人信息,汇集成册,并按照一定的价格出售给需要购买的人;第二种是用发送垃圾电子邮件或者电话查询等方式,以各种“诱饵”,诱使受害人透露个人信息;第三种是用户的电脑或手机被木马软件劫持,也就是说远在天边的木马直接控制用户的硬盘;第四种是网站的服务商对个人信息没有尽到妥善保管的义务,在使用过程当中把个人隐私泄露出去;第五种是个人信息在互联网传输的过程中,经过一些传输路由时被他人控制。与技术因素相比,中国软件测评中心信息安全研究部副总经理刘陶认为,网站运营机构泄露用户隐私已经成为当下侵犯个人信息安全更为重要的原因。
很多网民在不知不觉中已经将个人信息存储在网站运营商的服务器中。例如,利用即时通讯工具聊天,聊天过程中涉及大量包括电话、邮箱以及更为私密的内容在内的信息,都作为聊天记录存储在服务器上;在电子商城购物,包括个人银行卡、支付密码、家庭住址等信息也都存储在网站运营商的服务器上。而公众所熟悉的杀毒软件重点在保护用户端的电脑安全,对于存储在运营商服务器上的数据安全鞭长莫及。
“虽然已经有不少网友对个人信息安全问题存在顾虑,但有时为了获取免费服务、免费产品,或者为了认识更多的朋友,仍然会在网上填写个人的真实信息,”中国电子学会电子商务专家委员会副主任、北京科技大学管理学院梅绍祖教授早在1998年就提出关于“隐私权在电子商务的实施中可能引发的问题”,将网友的上述行为称为“无奈的选择”。
据《2011年中国反钓鱼网站联盟工作报告》显示,2011年1月至11月,联盟认定并处理钓鱼网站共计36674个,较2010年同期大幅上涨78%,累计处理钓鱼网站72322个,2011年处理数量占全部处理总数的50.7%。,电子商务、金融证券、即时通信依然是排名前三的钓鱼网站。针对严峻的网络钓鱼现象,工业和信息化部通信保障局副局长熊四皓指出:钓鱼网站等网络安全和信任问题已经成为网络商务深层次发展的最大制约因素,需要大家同步努力精诚合作。公安部网络安全保卫局互联网安全管理处王晓阳处长认为,打击网络钓鱼行为是一项长期艰巨的工作,需要互联网管理机构和互联网企业乃至全体网民联合起来统一行动,组建全面的、系统的、无死角的打击体系。
三、个人信息安全亟待立法保护
信息社会,信息成为商品,个人信息更是商机无限的重要商品。但个人信息的边界在哪里?谁有权将你的个人信息商业化?个人信息流动存在巨大的市场需求,又该如何加以规范?近年来,立法保护公民个人信息显得越来越紧迫。
根据刑法修正案(七)第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。法律专家认为,该法条仅规定了公民个人信息的来源,却未对公民个人信息应当具有哪些要素作出规定。
今年全国两会期间,个人信息安全问题成为热议话题之一。对于出台个人信息保护法,全国两会上,多位代表委员建议从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围、个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制、监督机构及职责、损害赔偿、法律责任等方面做出规定。
郭为在提案中表示,国家应加快个人信息安全及隐私保护的相关立法工作。首先应该建立一套符合中国国情的网络公民身份体系并逐步推动网络实名制的真正实施,建立信息安全产品安全审查和管理制度,同时还应加大监管机制的建设并修订相关法律。
在“2012中国个人信息保护大会”上,工业和信息化部副部长杨学山曾表示,个人信息保护关系到每个人,也关系到产业发展、社会稳定和网络秩序。他认为,加快个人信息保护工作,要从三个方面着手:一是加快推动个人信息保护相关立法;二是收集个人信息的机构、单位、公司在业务开展过程中要切实做好个人信息保护工作;三是社会公众要提高个人信息不被盗卖或滥用认识,社会各界和媒体要加强监督。
早在2003年,国务院信息化工作办公室就委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的“中华人民共和国个人信息保护法(专家建议稿)及立法研究报告”,但时至今日却仍未正式进入国家立法程序。
2006年,我国的《2006-2020年国家信息化发展战略》明确提出,要加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法治环境。
2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但众多法律界人士表示,刑法未明确该罪的具体界定标准,譬如犯罪主体除“国家机关或者金融、电信、交通、教育、医疗等单位”外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
中国人民西安政治学院军法教研室副主任、副教授傅达林认为,必须从不同方面完善相应的法律责任,对侵犯个人信息法律责任的设计也应完整囊括刑事责任、民事责任和行政责任。
在中国社会科学院法学研究所副研究员吕艳滨看来,由于个人信息保护涉及的行业部门过多,且不同行业之间差异较大,目前制定的国家标准还只是一个适用于各个行业的共同标准,还需要按照不同行业的自身特点进行细化。同时,他认为该标准并不具备强制性,依赖相关行业协会和企业自愿参加,仍然需要一部专门的个人信息保护法。
“国家需要完善立法,执法部门需要加大对违法犯罪的打击力度,完善监管措施,同时也需要建立行业诚信。”有专家指出,现实中更多的相关案件还达不到犯罪的标准,所以迫切需要的是行业自律,提高从业人员的法律意识,以阻断涉及公民个人信息违法犯罪的信息来源。
对于随意泄漏客户个人资料的机构,是否能追查到泄漏消息源头?对此,广东莞信律师事务所的王律师表示,因为业务关系掌握他人资料,又于商用的角度将他人资料泄漏,导致他人生活收到干扰的,已经侵害了他人的隐私权。“但从实际操作层面看,其损害度比较难以界定”。
王律师解释说,通常只有在对方抱着恶意侵犯的目的,使受害人私人信息在未经本人同意的情况下被公开,并使其经济、肖像、名誉权或精神受到很大损害的情况下,受害人才可诉诸法律。而从这个角度来说,车险推销员或者中介公司的骚扰电话对车主、业主的经济、精神等造成的损害往往较难界定,而车主、买房人取证也存在一定困难。
“消费者在买车买房的过程中,个人资料已经被很多人掌握。”王律师称,这些资料要经过很多环节,所以客户的资料泄漏究竟是公司行为还是个人行为,很难取证。
王律师表示,目前,在个人信息的保护上尚没有明确的、针对性的法律法规。据了解,被炒作得沸沸扬扬的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)最早将在2008年出台。记者获悉,《个人信息保护法》规定保护的范围不仅仅是公民个人隐私,个人信息范围远大于隐私,包括个人手机号码、家庭住址、医药档案、职业情况等。比如你把个人简历交给应聘公司,对方就有义务给你保管个人信息。如果对方让其他人得知了你的这些信息,不管是故意还是过失,对方就是违法。
目前,世界上已经有50多个国家制定了个人信息法体系,是否有这部法律还成为一些西方国家的贸易壁垒。
四、个人隐私泄露防护
面对接二连三打来的骚扰电话,警方特别提醒市民,不要认为撂下电话就可以轻易解决这事。在日常生活中,各位必须要做一些必要的自我保护,才能让自己不被莫名电话侵扰。
1.自我保护措施
一是你要做到的是:第一,不泄露。为了便民及办证、办卡而需要登记个人信息的商家、培训班、银行、电信等单位,必须要保护好市民的个人信息,切勿将个人信息非法转让出售。第二是不留底。在复印店复印时,市民要确保个人资料不被留底复印。而在打印店打印时要确保资料不被复制,并要确保资料不被留存在回收站。同时,对废弃的资料,一定要带走或通过碎纸机进行处理。第三是不相信。不要相信街头各种不规范的市场调查,如确实需要协助调查,切勿填写自己真实的个人身份信息,以防被陌生人利用。不回应。不要回复向您索取个人信息的电子邮件,以及不要拨打电子邮件中的陌生号码。如有疑虑,可通过114提供的电话进行咨询。
2.网络保护措施
(1)采用匿名方式浏览,因为许多网站利用cookies跟踪网友的互联网活动,从而确定网友喜好。你可以在使用浏览器时关闭电脑接收cookie的选项,避免受到cookies的追踪。
(2)进行任何网上交易或发送电邮前,切记阅读网站的隐私保护政策,因为有些网站会将你的个人资料卖给第三方。
(3)安装个人防火墙,以防止个人资料和财务数据被窃取。及时升级是非常重要的一环,否则防火墙的作用就没有被完全发挥,被攻击的可能性依然很大。此外,你还可利用保安软件将重要资料保密,减少不慎把这些资料发送到不安全网站的可能性。
(4)使用保安软件或防火墙以防止黑客攻击和spyware(一个连接外部服务器并将个人资料传送至网络的软件)。这些软件能够保护个人电脑和资料免受黑客窃取,并防止spyware自动连接网站并发送你的资料。
(5)在网上购物时,确保已采用安全的连接方式。可以透过查看浏览器上方的闭锁图标(closedlockicon),以确定连接是否安全。
(6)黑客有时会假装成互联网服务供应商的代表,并询问你的密码及个人资料,谨记上网时不要向任何人透露这些资料。
(7)经常更改你的密码,使用包含字母和数字的七位数的密码,从而干扰黑客利用软件程序来搜寻最常用的密码。
(8)在不需要文件和打印共享时,关闭这些功能。文件和打印共享功能虽然非常有用,但也会暴露你的电脑,给予黑客寻找安全漏洞的机会。黑客一旦进入个人电脑,便能窃取隐私资料。
(9)不要打开来自陌生人的电子邮件附件。这些附件可能包含一个特洛伊木马程式,该程序让黑客长驱真入电脑文档,甚至控制外设,有些黑客甚至能潜入互联网照相机(Webcamera)进行监视。此外,你还应当安装一个具备防病毒程式的软件,保护电脑免受病毒、特洛伊木马程序和蠕虫的侵害。
(10)可以利用网络安全公司的实时检查。例如使用设于Symantec网站的securitycheck功能,以确定电脑是否备有防护电脑病毒和恶意代码的能力。此功能还可以扫描电脑,寻找安全漏洞和病毒,并将扫描结果与其他已经扫描的系统作比较。迄今为止,已经有超过300万的用户浏览过这个网站,推荐使用。
3.网上支付辨别
一是只和有信誉的公司打交道-在网络上提交你的任何信息之前,请认真考虑回答以下几个问题:你相信这笔交易吗?对方是一个被证实拥有良好信誉的组织或公司吗?在对方的网站上是否有关于保护使用者信息的隐私条款的提示?对方网站上是否有提供合法的联系方式?
二是在网络上提交信息的时候不要使用你的主要电子邮件地址。提交你的电子邮件地址可能会带来垃圾广告。如果你不想让你的主要电子邮件账号被汹涌而来的,并且是不想要的信息所冲击的话,请考虑开设另一个电子邮件账号专门为网络使用(请参阅“如何减少垃圾广告”了解更多详情)。请确保经常登陆你的账号,这样万一厂商发送了改变隐私协议的内容你也能够随时了解。
三是避免在网络上提交信用卡信息。有的公司提供一个电话号码,你可以通过拨打这个电话号码来提交你的信用卡信息。虽然这并不能保证你的信息一定不会被损害,但是它起码排除了在你提交信息进程中被黑客窃取信息的可能性。
四是在网上购物时集中使用一张信用卡。为了将黑客可能窃取你的信用卡信息的潜在危险性降到最小,请考虑开设一个信用卡账号专门为网络上的采购行为使用。将信用卡账号的信用贷款额度保持在最小状态以限制攻击者能够累积使用的消费总量。
五是避免使用借记卡进行网络购物。信用卡通常提供很多种保护措施以防止身份被盗取,并且能够限制你必须负责支付的货币总量。然而借记卡却并不提供诸如此类的保护。因为借记卡里的现金会在瞬间被扣除掉,因此当一个攻击者获得了你的借记卡信息的时候,你可能连发现都来不及就被偷光你银行账号里所有的存款。
总之,在网络安全越来越重要的今天,每个网友都不要抱着“被黑的不会是我”的侥幸心理,只有做好良好的防卫工作才行。
参考文献:
[1]徐丹.谁来保护个人信息安全. .[EB/OL]人民网.2012年03月27日
[2]方方.警方调查:个人隐私信息是怎么被泄露的 [C].城市商报. 2010年05月28日
[3] CNNIC《第29次中国互联网络发展状况调查统计报告》.2012年1月16日
[4] 岳杰松,叶虹.个人隐私泄露调查之二:数据公司卖个人数据每条2元起[C].广州日报. 2006年9月19日
[5] 范亚湘. 网络时代亟需个人隐私保护[C].长沙晚报.2010-03-12