你好,欢迎访问云杂志! 关于我们 企业资质 权益保障 投稿策略
咨询热线:400-838-9661
我的订单 购物车(0)
首页 学术杂志 教育杂志 医学杂志 经济杂志 金融杂志 管理杂志 科技杂志 工业杂志 SCI杂志 生活杂志
当前位置: 首页 精选范文 公安网络安全建设

公安网络安全建设范文

发布时间:2023-09-26 08:30:53

导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇公安网络安全建设范例,将为您的写作提供有力的支持和灵感!

公安网络安全建设

篇1

1网络工程专业网络安全人才培养的优势

随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。

篇2

二、强化工作措施

(一)在各街道办事处设立食品安全委员会,由街道办事处主要负责人担任主任,街道办事处分管负责人担任副主任,街道辖区内农技、兽医、林技、水利、公安、综合执法、卫生监督等站(所、员)以及中心学校、卫生院等单位主要负责人为成员。食品安全委员会下设办公室(以下简称“食安办”),食安办设在街道办事处有关内设机构,由街道办事处分管负责人兼任主任,食品安全管理专(兼)职负责人和本辖区市场监督管理机构、农产品质量安全监管机构负责人担任副主任。

(二)常住人口规模达2万人以上或常住人口规模未达2万人但食品安全监管任务繁重的街道,必须配备1名或以上食安办专职人员;常住人口规模在2万人以下的街道,配备1名或以上食安办专职或兼职人员。

(三)为进一步整合、优化资源,各地在开展食品安全基层责任网络建设中,可依托街道综治网格,将食品安全管理要求纳入综治网格管理内容实行同网格管理,并与综治工作一起同研究、同部署、同落实。同时,在食品安全监管任务相对繁重的街道社区及中心乡镇所在地社区(行政村)统一聘设1名食品安全专职协管员,专职协管员聘用由街道办事处统一负责,其管理、考核由街道食安办会同社区居委会(村委会)负责,其工作报酬由集聚区财政负担。在其他行政村(社区)可聘设兼职协管员,兼职协管员工作报酬由集聚区根据工作实际统筹解决。

(四)明确工作职责。按照属地管理原则,乡镇(街道)将食品安全工作列为重要职责,切实做好食品安全隐患排查、信息报告、协助执法、宣传教育和统筹协调等工作,主要职责是:负责本辖区食品安全综合协调,组织贯彻落实上级决策部署,分析形势,研究部署本区域食品安全工作;建立健全食品安全工作机制,组织力量协助监管部门开展食品生产经营各环节安全巡查和隐患排查;制订本辖区食品安全网格化管理方案并组织实施;统筹规划本地食品摊贩经营场所,协助开展日常管理;建立责任网格内食品生产经营者数据库,并上报相关信息;针对存在问题和上级部署,及时开展专项整治,组织或配合县级食品安全监管部门查处辖区内无证生产经营、制假售假食品违法行为,建立健全各项长效监管机制;负责推荐、管理、培训辖区内各行政村(社区)协管员、信息员,明确其工作职责、考核办法等事项;做好民间厨师登记备案、农村家宴申报备案和管理工作,预防群体性食品安全事件发生,及时上报并协助处理食品安全事故;协助开展食品安全风险监测样品采集和食源性疾病调查;受理群众食品安全举报投诉,并按照职责权限及时处理;开展食品安全宣传教育工作。

行政村(社区)网格化管理的重点是:建立定期巡查、检查制度,协助乡镇(街道)食安办及上级食品安全监管部门做好责任网格内食品生产加工经营单位的日常管理;建立健全食品安全网格化管理信息上报程序,及时上报、反馈食品安全管理信息;参加乡镇(街道)及各级食品安全监管部门组织的食品安全知识等培训,熟悉食品安全监管的有关政策、法律、法规和相关知识;开展食品安全法律法规及科普知识宣传;协助开展食品安全风险监测样品采集和食源性疾病调查;协助做好食品安全突发事件应急处置工作,网格内发生食品安全事故或突发事件,按照规定程序和时限及时上报,不擅自对外信息。

(五)切实加强基层责任网络各层级人员的食品安全监管业务知识培训。由市食安办牵头,会同相关监管部门每年定期组织乡镇(街道)食安办工作人员及社区专职协管员开展一次食品安全监管业务知识培训,教育普及食品安全法律法规和监管知识,并进行培训效果考核,对考核不合格人员,提交街道办事处予以撤换。由街道食安办牵头,会同相关部门每年定期组织所属行政村(社区)的兼职协管员以及本街道驻联行政村(社区)干部开展一次食品安全监管业务知识培训。

(六)为保障基层责任网络各层级人员依法行使食品安全监督检查职权,由区食安办会同当地市场监管、农业、林业、水利等部门联合公布行政村(社区)协管员名单,在《意见》框架下明确赋予协管员开展食品安全日常检查、工作普查、隐患排查、督促指导和临时性应急处置等非行政执法类工作职权,并统一配发食品(农产品)安全协管证件。对无正当理由拒绝协管人员检查的相关单位,由食品安全监管部门加强日常执法检查,防止出现监管盲区。

篇3

随着网络应用种类增多及普及程度上升,网络犯罪发案率呈现明显上升趋势。网络犯罪与传统犯罪具有显著区别。网际空间犯罪分子具有明显的跨区域性、隐蔽性并在执法过程中存在没有明确法律条文规范等问题。我国不少公安院校将网络安全与执法作为学院着力发展的专业,并以该专业学生的培养为依托,为公安机关输送一批批的网络警察。如何提高该专业学生的综合素质使他们成为合格网络警察,是我们进行该专业建设时需要认真思考的问题。笔者在文中就该专业开设的必要性、人才培养目标、专业研究方向、课程设置等内容进行阐述。

一、网络安全与执法专业开设意义及必要性

“网络安全与执法”是一新兴公安技术类专业,属公安技术学科,大类为工学,属国家控制与特色专业。其核心内容是:“研究预防网络犯罪、控制网络犯罪和处置网络犯罪的理论、方法和规范,以计算机技术、网络轻薄技术、计算机犯罪侦查取证技术、信息与网络安全技术和网络监察技术为核心技术,以相关法律法规为基础理论,是一门新兴的交叉学科。”随着网络信息技术的高速发展,网络安全事件不时发生,网络犯罪逐年攀升,对网络安全管理需求不断提高。需要公安干警掌握管控网络虚拟社会的技术体系,全面提升自身“网上防范控制、打击处置及技术对接能力,提高虚拟社会阵地控制、信息获取、情报分析整体水平。”所以,开设网络安全与执法专业,培养出大批网络警察意义重大,具有明显的开设必要性。

二、网络安全与执法专业人才培养目标

鉴于网络安全与执法专业开设的重要意义及广阔的市场需求,各地公安院校相继开设该专业(或方向),培养该领域的专门人才。但前期调研发现,各地公安院校对该专业(或方向)的专业定位、培养目标等等理解各异。以四川警察学院、湖北警察学院、浙江警察学院等地方公安院校为例,其专业名称、研究方向、课程设置等对比。

通过对多家公安院校的调研,笔者认为,公安院校对网络安全与执法方面专业人才的培养,主要从计算机能力、法律知识、公安干警通识能力(格斗、战术、射击、体能等)、公安信息化知识等综合知识及能力的培养。其培养目标也应定位于具备对涉及计算机、网络案件、异常事件侦办综合能力的复合型应用人才。

三、网络安全与执法专业研究方向

笔者认为,网络安全与执法专业研究方向可考虑以下几类。

一是信息安全技术。网络安全的底层核心技术是信息安全技术。为更好发展该专业,必须有教师投入精力扎实研究信息安全技术。即研究信息安全技术相关的知识体系。这包括对密码学知识的研究及用户口令分析;计算机操作系统安全;数据库原理及数据库安全检测;网络协议分析;多媒体信息安全等内容。

二是信息安全管理。公安院校培养网络安全与执法专业人才的目的是为了向公安机关输送合格警察。就是能够熟练应用信息安全技术,对虚拟网络社会进行动态管理及涉网、涉机案件进行侦办的公安干警。所以,与上述内容相关的法律法规问题研究;虚拟网络社会管理过程中若干关键问题研究;信息安全产品管理、相关人员的管理等一系列管理学上的关键问题,都可作为该专业的研究方向及内容。

三是公安信息化。公安信息化是公安部“十二五规划”中重点发展内容。是将信息安全技术、管理在公安系统中具体应用的研究方向,并在此基础上有所拓展,更强调“执法”层面。在研究内容上涵盖了电子设备勘查取证、情报信息分析研判、网络安全监察等等。电子设备的侦查、取证技术、涉及电子设备的犯罪案件侦查技术和电子证据的司法鉴定技术等。从电子证据的收集、固定、分析、鉴定检验等方面研究涉网涉机犯罪案件中的电子数据证据侦查、取证技术及管理执法。“情报信息主导警务”是大势所趋。对公安情报信息的搜集、处理、分析研判及热点难点问题剖析等都是值得研究的关键问题。对于这些问题的研究,有助于解决现阶段公安工作情报分析面临的海量信息无法快速甄别处理、情报信息挖掘关键技术、情报聚类分析存在的瓶颈等问题。在网络安全监察方面,对恶意代码进行分析检测、对常用操作系统如WINDOWS, LINUX等进行内核分析,对网络攻防技术进行研究、控制网络舆情信息等等都是值得关注的。

四、网络安全与执法专业教学内容建设

(一)网络安全与执法专科课程体系开设

笔者认为,专业教学内容的建设必须与专业培养学生的基本素质为导向。网络安全与执法专业毕业生应具备下述能力:首先,基本素质方面要掌握、思想和中国特色社会主义理论体系的基本原理,并熟悉我国公安工作的路线、方针、政策和相关法律法规。当然,作为理工科学生必须具备的通识知识:数学、英文、计算机等理论知识体系必须掌握。其次,业务能力方面,学生需要能够进行互联网网络安全监察、了解国家相关法律法规及标准,能够根据等级进行网络安全保护;对涉网、涉计算机案件能够进行快速侦办;能够面对海量互联网情报信息进行快速、有效的搜集工作等等。其他素质方面,应具备较强的人际关系处理能力;具备格斗、查技战术、警体、射击等方面的要求;具有独自解决突发问题的能力等等。

综上述,该专业课程内容应主要包括:网络技术、数据结构、操作系统、网络安全技术、网络安全监察、网络信息监控技术、电子证据分析与鉴定、网络对抗技术、网络情报信息获取与分析技术、计算机犯罪侦查与取证等内容。

(二)网络安全与执法专业课程建设的保障条件

一是师资保障。鉴于网络安全与执法专业人才培养目标,不难发现,该专业课程的教授涉及计算机、信息安全、法律、管理等交叉学科。为保障这些课程的顺利教授,师资队伍建设是关键。当然,各公安院校为了更好加强师资队伍建设,都积极推出精品课程建设、教学团队建设等质量工程,并鼓励教师到一线去锻炼,或到大学去丰富专业知识。但在实际上课过程中,仍然存在“以教师定课程”的问题。即存在系部现有教师能上什么课、甚至上什么课省事就开什么课的问题。一些公安院校是近几年升入本科的院校,部分资历较老、学历偏低的教师往往在专业人才培养方案设置及选择教授课程上具有优先权。但部分教师直接从专科学生的教授跨越到本科学生的教授,部分老资格专业教师十几年、几十年教授专科学生,专业知识深度不够,知识结构存在老化问题。而这些同志往往主导了专业学科建设。这无疑阻碍了专业课程建设,设置的专业课程内容也有所偏差。所以,公安院校需要理清管理机制和体制,选择职称、学历较高并具有基层实践经验的中青年骨干教师共同确定教学内容。

二是实验室建设。显然,网络安全与执法专业课程内容的教授必须以专业实验室为依托。不少公安院校在公安技术类专业实验室建设方面投入大量资金。但一些实验室建设定位不明,仅局限于机房,完成日常教学工作。特别是公安信息技术实验室的建设,据了解,这类实验室的建设因涉及学院与各省公安厅、地市公安局的共建,并没有成熟模式可借鉴。关键问题在于信息系统真实系统接入还是培训系统接入的选择(如各地市综合警综平台、大情报系统、视频监控系统等信息系统的接入)、真实数据源获取数据的清洗、双方合作的费用等关键问题。所以,公安院校应在实验室建设方面与学科建设、专业建设紧密关联,并制定短期、中期、长期发展规划。对科研方向正确定位,将实验室作为科学研究基地;将研究成果不断地在教学中及服务一线中得以实践。

五、总结

总之,网络安全与执法专业建设是各地公安院校建设的重点与热点,具有非常重要的意义及必要性。根据其人才培养目标可确定该专业学生的培养在业务能力上应具备计算机知识、信息安全知识等基础,并具备软件开发、网络监察、情报分析、电子证据侦查取证等方面业务素质和能力。课程开发过程中应注意采用“厚基础、重实践”的模式设定教授课程体系,并克服师资建设、实验室建设存在的问题,为公安系统培养网络安全专业人才奠定基础。

参考文献:

[1]靳慧云. 地方公安院校网络安全与执法专业建设探究[J]. 信息网络安全. 2011年第10期.

[2]佟 晖, 齐莹素, 刘长文, 尤 慧. 网络安全与执法专业实践教学体系研究[J]. 北京人民警察学院学报. 2012年第6期.

篇4

中图分类号:G642 文献标志码:A 文章编号:1006-8228(2014)04-52-02

Abstract: The status of textbook construction of "network information security" course is analyzed. The necessity of practical training textbook construction based on workflow guidance is proposed. The "network information security" textbook is elaborated from aspects of guiding ideology, overall structure, content structure and characteristics. It is proved by practice that the construction and use of the new textbook can stimulate students' interest in learning knowledge of network security, enhance their practical ability, and effectively improve teaching quality and efficiency.

Key words: network and information security; workflow-oriented; task type; textbook construction

0 引言

现代社会,人们用计算机进行通信、存储数据、处理数据等。然而,人们所深深依赖的计算机网络正面临着很多潜在的安全威胁。网络信息安全问题在许多国家已经引起了普遍关注,成为当今网络技术的重要研究课题。社会需求的日益增长,使信息安全发展为一项世界性的新兴产业,信息安全在网络信息时代具有极其广阔的市场前景,政府机关、国家安全部门、银行、证券、金融、通信领域都需要这方面的人才。越来越多的高校开设该课程,以满足社会的需求[1]。

教材建设是高等学校建设的一项基本内容,高质量的教材是培养合格人才的基本保证。高等职业教育需要培养和造就适应生产、建设、管理,以及服务于第一线的高技术应用型人才。就优秀的高职高专教材而言,应该充分考虑学生的基本素养和认知水平,将知识、技能、素质三部分内容,通过潜移默化的手段,传递给学生,引起学生的学习热情与兴趣[2]。

1 教材建设的现状

“网络信息安全”课程起点高、难度大,理论性很强。市面上有关网络信息安全的书籍、教材也层出不穷,相关教材从不同的技术角度描述,所呈现内容偏差比较大。学生在学习时,普遍感到概念抽象,对其中的分析方法与基本理论不能很好地理解与掌握[3]。

1.1 教材缺乏针对性

目前普遍存在的一个问题是,有些高职院校使用的教材是直接借用普通高等教育院校的相近专业的教材,大多数教材的内容和知识体系非常庞杂,初学者往往产生畏难和厌倦心理,很多学生在学习了知识点以后仍然不知道如何动手练习,即使做了实验也不知道有什么用、如何应用到现实情况中,因此这些教材不适合高职院校的学生使用。

1.2 课程内容失衡

由于信息安全学科的内容杂,涉及的知识面广,编著者很难熟悉信息安全学科的所有研究方向,数据加密、防火墙、入侵检测、网络攻击、计算机病毒防范等技术几乎成为网络信息安全的全部。本校学习该门课程的学生是信息技术专业和安全防范专业,而非信息安全专业,市面所售教材大部分依赖于其他的信息安全专业课程,缺乏近年来发展迅速的新技术、新概念的介绍与实践,导致了现有“网络信息安全”教材在内容编排上普遍存在失衡的现象。

2 基于工作流导向的“网络信息安全”实训教材建设

“网络信息安全”是一门涉及计算机科学与技术、网络技术、通信工程、电子工程、密码技术、信息安全技术、应用数学、数论、信息论等多门类的综合性学科。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。从防范的角度考虑,在影响计算机安全的诸多因素中,人的因素还是第一位的,因此所有计算机相关人员,包括用户、系统管理员以及超级管理员,都需要尽更大的努力去提高对计算机信息及网络安全的认识[1]。

为了让学生能够既掌握基本理论,又锻炼动手能力,我们亟需拥有理论与实践紧密结合的教材[3]。遵循教材编写的指导思想,笔者以多年形成的教学改革经验为基础,根据学生群体知识结构所发生的变化,摒弃了传统的篇章结构,编写了十个实用性强的知识单元,既保留了本课程经典的学习模块,也因循时展注入了新的学习内容。该教程已由暨南大学出版社出版,以下介绍该教材编写的指导思想、整体结构、内容组织思路及其特色。

2.1 指导思想

教学实践发现,以工作任务式的实训为主线开展“网络信息安全”教材建设,能够提高学生动手能力,进而更好地学习和认识该课程。教材建设的指导思想:明确该课程的能力要求,以培养学生在网络信息安全方面的理念、培养学生进行网络信息安全设置与保护的能力、应用各种信息安全产品的能力、对网络信息安全状况时的分析问题和解决问题的能力为目标,构建工作流可定义式的任务式实训教学为支撑的思路,编写教材时,将知识性、实用性、趣味性融于一体。教学中,采用“做中学”模式,面向应用、突出实践,让学生在解决问题的过程中学习,并给出实时的评价与反馈,实现一对一的实训教学效果。

2.2 设计原则和整体结构

笔者编写的网络信息安全教材将理论知识与实验指导整合成以工作流导向系统化。实训教材的编写分为十个有连接关系的单元,每个学习单元以多个任务作为引子,驱动学生根据实训说明的具体要求展开思考;每个任务有实训目的、预备知识、实训环境和多个实例,每个实例包括实训说明、实训步骤、扩展提示几个部分。

⑴ 实训之间融会贯通,具有连贯性。

⑵ 从“实训目的”开始,巧妙引入实例以增强学生综合感官,并阐明该实训能解决的问题。

⑶ 在“基本知识点”或“预备知识”部分,精心挑选了任务涉及的最基本、最重要的知识点,使用了尽量通俗的语言,使学生通过实训快速掌握这些知识。

⑷ “实训环境”部分,告诉学生完成该任务需要怎样的基础设施。

⑸ 学生可以根据“实训说明”,先进行实训操作训练,每个实训完成后,实训系统会立刻根据其完成情况给出考核成绩,如果得不到操作满分,可以观看视频,并能再次重复操作。现场打分的压力使得学生上课都比较认真,能够观看视频及其正确的讲解,激发了学生的学习兴趣。

⑹ “实训步骤”围绕基本知识点展开,让学生面向应用加以实践,清晰易懂,既有利于学生对于基本知识点的理解和掌握,又锻炼了学生的动手能力。

⑺ “实训提示”或“实训小结”,针对本实训的内容扩展,介绍了该实例的一些较为复杂、高级的知识,引导学生深入学习以解决可能遇到的实际问题,增强学生归纳总结能力,提高学生的知识技能和创新实践意识。

2.3 内容组织

⑴ 结构合理。本教材是为高职高专院校相关专业“网络信息安全”课程开发的,是以网络信息安全技术理论为基础,具有实践特色的新型教材,编排时尽量不依赖其他的信息安全专业课程,但也完整地展示该学科的知识体系,在教材内容组织上,采用了整体“自顶向下”,细节“自底向上”的方法,其知识结构通用合理。

⑵ 内容丰富。本教材在内容方面增加了计算机网络基础、信息安全数学基础知识,并侧重普及常用的信息安全技术和培养学生的信息安全意识。例如,结合生活中常用操作系统经常涉及到的网络安全方面的操作,通过“计算机网络信息安全实验室”环境下学习和熟悉网络信息安全技术知识的一系列实训、实例,以“网络安全”课程教学要求为依据,将各种常见的网络信息安全技术、管理基本方法、网络安全技术的特点和原理融入到实践当中,加强以应用能力培养为核心的实践教学,体现了精细化的教学设计、先进的实验教学方式、工作流可定义式的教学方法。

由于网络信息安全不仅是一个技术问题,也是一个社会问题和法律问题。所以,为了体现法律法规的关键性作用,在最后一个学习单元,通过引入案例来介绍相关的法律法规。

⑶ 取材先进。教材的内容从当前的网络信息安全现状出发,引入计算机网络及安全技术的发展趋势和新技术,介绍了主流网络信息安全技术和产品的特点。例如教材的学习单元四“公钥基础设施PKI”中,通过介绍各大城市常用的认证中心网站让学生了解并学会申请和使用个人数字证书;在学习单元七“入侵检测与网络攻击防御”中,通过实例阐述黑客网络攻击步骤、黑客技术方法真谛、黑客攻击的手段和工具,以及近年流行的网络抓包工具和扫描探测方法。

⑷ 有助于学生自我发展。教材主要是写给学生的,所以在编写时需要站在学生的角度来进行考虑。要使学生愿意看,并且使学生对该门课程越来越有兴趣,使得学生愿意跟着教材上的任务进行实践,从而在学习的过程中有所收获。所以本教材对传统的教学内容进行改造,引入工作流可定义机制,建立不同层次学生的教学学习曲线,从而激发他们的学习兴趣。

2.4 编写特色

2008年学院开始针对“网络信息安全”课程进行教学改革的实践,力求对该课程的教学方法和教学形式进一步的尝试与创新。我们在使用其他教材时通常删减或补充一些内容以配合这一发展与创新。在这一改革的过程中,教材作为教学的重要资源,成为课程建设的一个重点。笔者与同事组成编写队伍,结合实际教学的情况,结合本院专业特色,编写了“网络信息安全”教材,该教材经过试用和更新后出版,满足了信息技术专业和安全防范专业教学的要求。本书从实用性的角度出发,以通俗易懂的语言、全新的组织方式、大量翔实的实训任务[4],并以向导和插图的方式介绍了网络信息安全技术。每个学习单元针对各主要知识点给出了大量的任务,每个任务基于工作流导向,完成任务的思路清晰、步骤详细,有助于对基本理论、基本方法的理解。

3 结束语

课程改革总是推动着教材的建设,而教材建设又不断促进和保障课程改革,为课程改革服务。由于教材内容有全程配套的实例系统,使得基于工作流导向的任务式模式教学能够使学生轻松、高效地掌握所有知识技能,同时提高了学生利用信息安全技术工具分析问题、解决问题的意识和能力。从教学效果来看,教材对教学的促进效果相当明显,对学生而言,以往学生对教材中或是偏实例或是偏理论的看法,已经完全消除。学生在课堂教学中能够得到更多的实践操作与应用机会,其积极性与动手能力明显增强。这些不但减轻了教师的负担,还提高了教学质量,取得了教与学相互促动的效果。

参考文献:

[1] 李玲俐,陈晓明,陈丹.网络信息安全技术[M].暨南大学出版社,2012.

篇5

烟草商业单位物流分拣和手持射频枪扫码打码环节是物流生产的重要环节,该环节中需要通过无线通信设备完成与总控中心的的信息交换。由于市场上使用较广的商用无线WIFI(如无线办公网络)通讯协议安全隐患日益增高,存在攻击行为、无线网络信道干扰的可能性,如无线环境下的物流激光制导小车AGV(Automated Guided Vehicle)中央控制系统完全依靠无线网络完成对AGV的交通管理功能,如果无线网络间存在干扰或者出现假冒生产接入服务集标识SSID(Service Set Identifier),会造成AGV无法实时接收到上位机的指令,从而导致停车撞车的危险发生。为解决此问题,本文设计实现了一套适用于烟草物流配送中心高架库环境下进行空中WIFI信号数据实时监测,定位各类异常行为进行及时预警的监测系统。该系统解决了传统工业无线网络信号不易采集格式化分析的技术难题,将自动基线分析与阈值分析方法引入到信号分析研判,同时将内存数据库与最新版树莓派2设备作为系统的系统和数据分析的承载平台,解决了系统在高架库环境下的易用性和稳定性。

1.系统架构

为了实现对于高架库为代表的无线WIFI通讯环境有效监测,在系统设计中采用开源技术软件作为基础技术支撑,通过前期的现场调研建立了物流环节关键场景的高架库AGV工作环境下的标准数据分析整理,并依据采样数据建立了生产网络中通过还原数据包对应到工业控制生产过程中各类异常行为分析模型。其具体设计步骤为:(1)通过多次现场数据采样建立无线通讯,还原通讯行为中的生产动作,建立基线与异常分析匹配模型,设计实现WIFI全频道通讯扫描技术实现有效的无线数据通讯和实时监测。(2)通过标准企业接口,将系统告警信息与企业已有运维管控系统实现对接,实现系统间的紧密集成。(3)构成可以支持高架库安全生产运行监控的信息子系统。

1.1高架库无线环境对于安全监测的需求

某烟草物流配送中心面积约2万平方米,其中高架库现场车间面积约为3800平方米,已经完整实现物流AGV小车的在区域内自动行走工作,通过无线网络监控中心实时读取物流AGV小车的运行状态,及时读取到小车的故障和报警,并针对不同的状况控制物流AGV小车的具体动作。传统有线网络的网管监测软件已经应用成熟,但是对于无线网络环境下的通讯分析专业化软件相对减少,尤其是可以长时间持续监测工作的系统同时具备特定环境感知分析的系统,市场上更是难以寻觅成熟产品。随着工业网络安全风险形势愈加严峻,通过无线网络进行信息化管理的规模越来越大,有效填补无线网络监测分析预警,持续改善无线网络通讯质量,推进业务生产信息化精益管理,已经成为烟草商业单位的迫切需求,树莓派上运行的LINUX系统对于无线网络监测本身具有天然良好支撑特性,为设计开发一套可以高效智能的无线网络监测系统提供了较为理想的实现方案。

为充分满足烟草商业物流高架库现场工作环境需要,本文设计出一套在高架库环境下可以进行无线通讯数据持续监测的预警系统,通过该系统可以切实加强高架库环境下各类异常行为的分析感知。系统设计基本思路是:以异常行为分析模式库为核心,引入嵌入式系统开发实现全频道扫频采集分析,充分利用双数据库(内存实时数据库和关系型数据库)支撑高效分析实时数据,搭建高架库环境下无线数据的全频道扫描安全监测系统,实现对无线数据通信进行数据捕获,将数据进行本地格式化后并快速分析,通过提前预设监测黑、白名单、监测阈值和告警规则设置对可能出现的各类异常行为进行及时预警。

1.2整体架构

为了使系统架构较好的适应无线通讯网络信息分析的扩展性和集成性要求,系统体系结构采用B/s架构,分成了无线采集端、分析引擎端和集成监控展示端,同时后台配置有统一的监测分析策略库进行支撑(见图1)。数据采集端完成生产环境下的无线信号采集,无线监测分析引擎作为系统核心实现数据采集、实时格式化分析、关联分析和告警等关键功能,集中的监控展示提供了良好的人机交互界面,为一线生产车间运维人员提供了从实时监测到告警研判分析的处置界面。统一监测分析策略库则存储各类分析场景库和监测阈值信息,是系统关键的智能处置大脑核心。

2.技术实现

2.1高架库环境无线网络数据采集

生产环境的无线数据高效捕获是系统的核心能力,其难点在于目前市场没有相似成熟产品技术可以直接应用,对于无线通讯标准13个频道的轮询分析也无单无线网卡的实现技术方案。在本系统的设计研发中系统的无线数据采集工作借助于嵌入式LINUX平台,通过修改对应网卡LINUX驱动程序,在系统内核中增加并实现对无线网络数据捕获支持功能,在烟草物流高架库的工业网络环境工作频道一般为1-611三个频道,高架库内部署了3台工业无线AP进行通讯数据漫游。

无线局域网中所有的数据包均在空中传输,每个数据包中都包含应该接收该数据包的主机的MAC地址。在正常工作模式下,工作在链路层的网卡驱动程序根据该地址进行相应的处理,如果不是自己网卡的MAC地址,也不是广播地址,不论数据包中MAC地址是什么,网卡驱动程序直接抛弃,不向上层提交。但如果将无线网卡设为监听模式,主机上的处理程序就可以得到发往其他机器的数据包。

为了实现工业无线网路信号的捕获,系统设计自主实现了无线网络封包分析软件,在嵌入式设备工作环境下可以高效率的实现对于无线网络通讯数据的捕获和格式化分析。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。

2.2监测过程建模分析

采集到工业控制系统的网络流量数据后,系统会针对工业控制系统的重要应用协议进行分析和内容还原,尤其是针对PLC或者通信服务器与控制中心进行通信的OPC,S7,Profinet三种协议进行实时同步分析和内容还原,研判还原内容中异常指令和指令序列异常等情况。

系统将实时监测的工业无线网络通讯信息数据自动格式化为来源和目的MAC、IP地址,并将协议类型、信号强度、数据包长度、通讯内容摘要信息等自动格式化。在系统设计过程中,通过对高架库生产环境中的WIFI数据进行了大量采集,并对WIFI数据的通讯协议和数据包长度大小进行了详细分析,最终采用从数据包大小、协议类型、协议动作、MAC或IP地址情况,设置黑白名单监测、阈值监测、威胁行为监测等机制,在数据实时采集过程中直接指定相关的监测阈值。

高架库工业无线网络在周围环境中信号量较大,一般独立的高架库在每分钟可以捕获5-15万个无线数据通讯包,这些数据包要在高速环境下完成数据甄别、去重、关联分析和模式匹配,同时数据本身又是明显的价值密度低数据,没有长时间保存的工作需求,传统企业关系型数据库无法适应其特殊的应用场景。

本系统设计引入的内存数据库是SQLite,sQLite是小型的C程序库,实现了独立可嵌入式,零配置的SOL数据库引擎。因为SQLite数据库几乎不需要管理,因此对于无人值守运行的嵌入式设备是一个非常好的选择。将前端在物流生产现场环境中捕获到的WIFI数据信号实时高速保存进入内存模式的SQLite数据库,同时利用内存数据库比传统数据库快出将近50倍的处理速度,实现系统的快速匹配分析和计算。

除了内存数据库外,系统里还设计一套传统关系型数据库,通过双数据库实现实时捕获数据在内存数据库中完成格式化和模式匹配功能,所有的告警数据、分析规则统一存放在后台的关系型数据库中。两套数据库搭配使用,使得系统具备了在扫频工作中即使持续监听2.4GHZ的14个通讯无线频道的业务数据,依然可以保持极高的捕获分析效率和监测告警命中能力。

2.3系统与嵌入式集成

考虑到物流中心现场生产环境特性,系统设计没有采用传统标准X86I控机作为运行平台,采用了2015年最新的树莓派2,其搭载了博通BCM2836处理器,内有4个Cortex-A7架构核心,主频900MHz,性能较强。采用树莓派作为嵌入式工业硬件平台,相比较大型服务器,台式Pc或者笔记本电脑的现场实现方案具有以下特点:(1)采用树莓派架构的嵌入式工业电脑可以最大程度保证系统的平稳运行;(2)其专机专用和即插即用的工作模式减少外部干扰同时也减少系统部署实施的难度;(3)树莓派提供Y4个外置usB接口可以直接外接无线网卡和高增益天线,配置的网络接口则可以直接联入物流中心生产网将监测到的数据回传到物流中心后台的统一信息管理系统,并与短信告警平台实现互联;(4)其硬件平台价格低廉。

3.应用效果

篇6

1.1多种入侵检测机制相互结合

入侵防护系统以协议为基础,结合智能协议识别、专家系统、异常检测以及状态防火墙技术,为用户提供多层次的网络安全防护功能。协议识别和分析机制可对网络报文中的协议特征进行动态分析,还能在无人操作的情况下快速准确地检测入侵行为,发现入侵木马和后门。专家知识库将攻击特征与已知攻击特征库进行匹配和识别,记录新的攻击特征,不断丰富数据库,为及时监测攻击行为提供了保障。异常检测机制包括流量异常和协议异常检测机制。流量异常检测机制以“正常流量值”为标准,及时发现非预期的异常流量,从而防范未知蠕虫、分布式拒绝服务器攻击以及其他零日攻击。协议异常检测机制以RFC为标准,检测操作行为是否符合RFC规定。协议异常检测机制可发现未知的溢出攻击、拒绝服务器攻击和零日攻击。

1.2防御深度入侵

入侵防护系统可通过精细的检测和防御措施,阻断SQL注入、拒绝服务器、蠕虫病毒等多种入侵行为。同时,入侵防护系统还能阻断广告或间谍软件、木马等非法程序扩散。最后,入侵防护系统重组IP碎片能力强大,并可追踪数据流,可有效阻断任意分片式攻击行为。

1.3防御病毒

入侵防护系统可对HTTP、IMAP、SMTP等协议进行特征和启发式扫描,检测和控制协议的病毒流量,并及时查杀病毒,防范病毒对网络造成损害。

1.4防御Web的威胁

由于病毒种类越来越多,木马传播方式和途径也更加隐蔽,Web危险具有新的特点,web威胁呈混合性、渗透性、和利益驱动性特点,web威胁也已经成为增速碎块、危害最大的网络风险因素之一。而网络是办公的重要措施,对网络的依赖性使网络遭受web威胁的几率更高。而入侵防护系统可根据web信誉评价技术和URL过滤技术检测web,对植入木马的web网页发出警报,提醒操作人员,达到预防低于web威胁入侵网络的目的。

1.5流量管理功能

流量管具有全局维度、局部维度、时间维度、流量维度流量控制四元组,并基于内容和面向对象提供流量保护对策,为用户提供丰富的、灵活性更强的流量管理功能。入侵防护系统可对流量进行智能识别和分类,根据流量管理协议对流量许可和优先级进行控制,阻断非授权用户的流量,管理合法网络资源,优化各类型流量的比例和分布情况,在保证最小宽带和限制最大宽带的基础上,确保关键程序能够正常稳定地运行。

2入侵防护系统在供电局网络安全建设中的应用分析

2.1入侵防护系统部署方式

入侵防护系统包括两种在部署方式,一是在线部署,二是旁路部署。除特殊情况外,入侵防护系统选择直接串联介入网络,以实现有效管理和控制所有流经入侵防护系统的数据流量,而采用路旁部署方式接入入侵防护系统无法完全发挥防护系统功能,系统只能发挥入侵检测的作用,系统设备也只能监视流量使用情况,无法及时控制异常流量。

2.2系统部署方式选择

入侵防护系统部署方式影响流经防护系统的流量,并对入侵防护系统的防护作用和防护范围造成影响。因此,要充分发挥入侵防护系统的功能,更大范围的提供保护作用,应采用在线部署方式。通常情况下,可采用透明式串联部署,并将入侵防护系统部署在网络关键出口位置。该部署方式不仅能够发挥入侵防护系统实时监测网络流量、过滤和阻断非法网络流量的功能,还能更好的发挥系统BYPAASS容错功能,使系统软件或硬件发生故障后依然能维持正常网络通信。但是,还需根据供电局网络具体情况,选择最恰当的入侵防护系统部署方式。(1)部署在内网核心交换机与出口防火墙之间。采用该部署方式无需改变现有网络及业务模式,还能对内网客户端进行严格的管理、观察客户端的IP,以便准确定位攻击源。入侵防护系统还能防护向外和向内的攻击和流量,而且由于防火墙已经过滤多数非法攻击和流量,流经入侵防护系统的攻击流量更少,系统复杂轻。(2)布置在出口防火墙与出口路由器之间,该部署方式无需改变的现有网络结构和业务模式。同时,部署方式将入入侵防护系统作为最外层防护网关,可有效放于外部攻击流量,入侵防护系统日志会清楚记录外部攻击信息。由于外来攻击流量都必须经过入侵防护系统,因而流经防火墙的攻击流量较少,防火墙的负载更轻。最后,采用该方式部署后,入侵防护系统对对内网客户端的入侵行为防护措施简单,只有事件设置策略,如目的any。该不是方式的缺点也较为明显。如内网客户端访问外网需通过防火墙NAT地址翻译,而无法在入侵防护系统内查询内网客户端的真实IP地质,而只能观察NAT后的地址,造成入侵防护系统无法准确定位内部攻击源,也无法针对不同客户端IP设置入侵保护策略。

2.3系统部署

从入侵防护系统两种部署方式可以看到,入侵防护系统部署在内网核心交换机与出口防火墙之间的优势更多,更适合我国供电局网络安全建设需求。这种部署方式在防放于外来攻击的同时,还能避免入侵防护系统受防火墙NAT地质翻译的影响,对内网不同IP设置不同入侵范湖策略,有效阻断和定位内部攻击行为。例如,供电网可采用透明方式,将入侵防护系统部署在内网核心交换机与出口防火墙之间,部署拓扑结构如图1所示。该部署方式具有以下四个优点。第一,入侵防护系统设备配置简单,安装更加方便;第二,入侵防护系统对内网客户端管理更加有效,可对内网客户端的行为和流量进行有效管理和控制。第三,可观察内网客户端的真实IP地址,电网运行管理人员也更容易快速查找和定位内网攻击源。第四,入侵防护系统部署在内网核心交换机与出口防火墙之间,系统防护可同时监控和控制内网向外的流量和来透过防火墙的外网攻击流量,系统在监控和管理流入电网系统攻击流量和流向电网外部流量之前,电网的防火墙的访问控制级攻击防护系统已经对多数外网攻击进行了过滤处理,最终流经入侵防护系统的外网攻击流量大大减少,入侵防护系统的负载也更轻,入侵防护系统传输内外网数据的效率显著提高。

3结语

供电局网络安全建设应用入侵防护系统后,系统能够实施主动拦截攻击、木马和而言流量等,避免用户操作时被植入恶意代码,有效的保证了关键系统业务正常应用,净化了局域网使用环境,提高企业生产和办公效率。最后,入侵防护系不仅提高了电网防御能力,管理员的工作量减轻,管理员可将时间和精力用于分析网络安全时间,及时发现全局网络安全中存在的不足,为开展下一步工作提供参考。

作者:阮俊杰 单位:广东电网有限责任公司佛山供电局

引用:

[1]张文明.浅谈入侵防护系统在供电局网络安全建设中的应用[J].无线互联科技,2013.

[2]莫若节.供电局互联网访问存在的安全问题及对策探讨[J].技术与市场,2013.

[3]吕维新.入侵防护系统在昆明供电局网络安全建设中的应用[J].电力信息化,2010.

篇7

中图分类号:G642.0 文献标识码:A 文章编号:1671-0568(2013)29-0094-03

作者简介:徐慧,女,博士,讲师,研究方向为网络与服务管理;邵雄凯,男,博士,教授,硕士生导师,教学副院长,研究方向为计算机网络、移动数据库技术和Web信息服务;陈卓,女,博士,教授,硕士生导师,研究方向为信息安全;阮鸥,男,博士,讲师,研究方向为网络安全。

作为一所地方工科院校,湖北工业大学(以下简称“我校”)目前面向本科生稳步推进“721”梯级、分类、多元人才培养模式改革:针对70%左右的本科生,以就业为导向,实施以培养实践动手能力为主体、创新创业精神为两翼的高素质应用型人才培养模式;针对20%左右的本科生,培养具有一专多能、湖北工业经济发展急需的复合型中坚人才;针对10%左右的本科生,扎实推进卓越工程师项目计划,培养高素质创新型的、未来湖北工业经济发展的领军人物。在这一背景下,网络工程专业与物联网工程专业在培养方案设置和修订的过程中,考虑利用科研平台、培训、竞赛等方式,切实加强实践环节的设计,进一步推进我校“721”人才培养模式改革,并以此为契机,进行培养和提高学生的创新精神和实践动手能力的教学改革与实践。本文旨在讨论网络工程专业与物联网工程专业的网络管理与安全综合课程设计的改革实践。

一、网络管理与安全综合课程设计的定位

按照“721”梯级、分类、多元人才培养模式改革思路,我校依据学科专业特点探索实施“实验教学――实习实训――毕业设计(论文)――创新教育――课外科技活动――社会实践”六元结合的实践教学体系。在这一实践教学体系的规划下,网络工程专业与物联网工程专业的人才培养方案都明确规定六大内容的基本要求和学分,并分为基础层次(基础课程实验、生产劳动、认知实习等)、提高层次(学科基础实验、课程设计、专业实习或生产实习、学年论文等)、综合层次(设计性实验及科研训练、学科竞赛、毕业实习、毕业设计或论文等)三个层次,从低年级到高年级前后衔接,循序渐进,贯穿整个本科生培养过程,旨在增强本科生的创新意识,提高他们的实践能力。

面向网络工程专业本科生的网络管理与安全课程群,主要包括“信息安全概论”、“应用密码学”、“计算机网络管理”、“网络防御技术”、“网络性能分析”和“网络安全编程与实践”这六门专业课程。在课程安排上,“信息安全概论”课程首先引入信息安全的基本概念和基本原理,包括消息鉴别与数字签名、身份认证、操作系统安全、数据库安全技术以及数据的备份与恢复等知识点;而“应用密码学”课程则介绍密码学基本概念、基本理论以及主要密码体制的算法与应用;更进一步,“计算机网络管理”课程以协议分析为导向讲授网络管理的相关理论,包括功能域、体系结构、协议规范、信息表示等知识点;“网络防御技术”课程以统一网络安全管理能力作为培养目标,阐述网络攻击的手段和方法以及网络防御的基本原理;在此基础上,“网络性能分析”课程着重讨论网络性能管理的理论与应用;“网络安全编程与实践”课程讨论网络安全编程实现的基本技术。值得注意的是,网络工程专业的网络管理与安全课程群建设成果,目前正在为面向物联网工程专业的相关课程体系设置与教学方法改革所借鉴。

网络管理与安全综合课程设计介于实践教学体系中提高层次到综合层次的过渡阶段,作为网络工程专业与物联网工程专业本科生第四学年实践能力培养的一个重要环节,有利于深入培养相关专业本科生的网络管理与安全综合实践能力。

二、基于项目角色划分的实施方案

为了培养网络工程专业与物联网工程专业本科生的工程实践能力,网络管理与安全综合课程设计实施过程的改革思路是:采用自主团队方式,选择并完成一个网络管理与安全项目。对于相关专业本科生而言,因为是自由组成团队,项目角色划分显得尤为重要。在这一背景下,提出基于项目角色划分的网络管理与安全综合课程设计实施方案。

网络管理与安全综合课程设计并不是要求本科生在短时间内便可以完成一个很大的网络管理与安全项目,主要是希望他们能够利用已有网络管理与安全课程群的知识基础,按照软件工程的思路合作完成一个规模适中的网络管理与安全项目,提高网络管理与安全综合实践能力。基于不太大的项目规模,网络管理与安全综合课程设计的项目角色划分与相应职责见表1。

三、网络工程专业与物联网工程专业的协同设计

作为一所地方工科院校,我校自2008年开始面向本科生开设网络工程专业,并于2012年面向本科生开设物联网工程专业,同时已获批“湖北省高等学校战略性新兴(支柱)产业人才培养计划本科项目”。网络工程专业与物联网工程专业虽然是两个不同的专业,却具有一定的关联性,如何保证网络管理与安全综合课程设计的实施方案对于这两个专业的协同设计,是专业改革实践过程中需要考虑的问题。图1给出网络管理与安全综合课程设计在实施过程中网络工程专业与物联网工程专业的协同设计方案:

如图1所示,网络工程专业的网络管理与安全综合课程设计的选题主要包括四个方向,即“信息安全与密码学”、“网络防御技术”、“计算机网络管理”与“统一网络安全管理”。其基本的选题思路在于帮助本科生熟悉常用的网络管理与安全编程开发包,并掌握网络管理与安全项目实践的基本技术,为将来从事网络管理与安全方面的研发工作打下一定的基础,各方向的参考选题见表2。

更进一步,较之网络工程专业,物联网工程专业具有更强的整合性与自身的特色,见图1,物联网工程专业的网络管理与安全综合课程设计的选题主要包括两个方向,即“物联网安全”与“物联网管理”,各方向的参考选题如表3所示。[1,2]

按照我校“721”梯级、分类、多元人才培养模式改革思路,作为实践教学体系中提高层次到综合层次过渡阶段的一个重要环节,网络管理与安全综合课程设计在改革实践过程中,考虑采用基于项目角色划分的实施方案,并尝试实现该方案在网络工程专业与物联网工程专业的协同设计,同时给出这两个专业不同方向的参考选题。

篇8

中图分类号:TP393.08

1 消防部队网络安全工作存在的问题及原因

1.1 网络管理不严,安全保密意识不强。在消防部队中,很多下发的文件均没有标注文件的密级,这让许多官兵和外聘人员在处理一些文件时总是觉得只是一些平常性文件,没有什么秘密可言,很容易对许多需要保密的资料造成失密、泄密。甚至一些干部对怎样处理秘密、机密、绝密文件更是一知半解,安全保密意识不强,理解上的偏差,造成管理上的松懈。一是计算机管理有待于规范。在工作中,很多官兵对自己使用的计算机没有设置开机密码和屏幕保护的密码,这在很大程度上会给自己储存的资料造成泄密;有的干部在使用计算机和数字证书时虽有设置密码,但是密码较为简单,或者密码长期没有更换,甚至把数字证书长期插在电脑上,用完后没有及时收起。有的官兵虽然设有密码和进行了更改,但别人借其电脑使用时就轻易的将密码告诉别人,没有防范措施,这使得通过密码和数字证书来维护公安网络数据库安全的效能大打折扣;二是移动存储介质管理使用较为混乱。主要表现在对移动存储介质的交叉使用,将移动存储介质随意插在电脑上不管人到与否、随意带出办公室进入公共场所、随意带回家等、随意存储内部数据及资料(即为了工作方便将不的相关资料放在U盘及硬盘上)等方面,这些均给计算机病毒、木马程序的侵入及失泄密事件的发生创造了条件和空间。

1.2 消防部队网络安全性不高。一是互联网使用管理不规范。消防部队作为一支地方部队,在很多工作中都需要使用互联网,而部分官兵的使用互联网的过程中,往往将一些部队内部的材料保存在其计算机中,一旦计算机中毒,很大可能造成资料的泄露;二是周围空间网络难以管理。现在很多消防部队周边都是居民楼,而居民楼中的wifi信号覆盖范围都比较广,在消防部队营区内都能收到wifi信号,我这些信号也可能存在安全性问题,一旦连接上后很可能会被监听等;三是计算机网络病毒的破坏。计算机病毒具有传染性、潜伏性、隐蔽性、破坏性四大特点,可通过移动存储介质、网络、电子邮件等进行传播或被隐藏在软件包内,一旦发作就会冲击内存、修改或破坏数据与文件,甚至损坏主板、硬盘等硬件设备。计算机病毒已成为计算机系统的公害,同时也正在成为网络空间作战的主要手段。目前,由于各级消防部队公安信息网中使用的软件来源广泛、种类繁多,计算机防病毒软件没有及时更新,甚至有些电脑都没有安装相关杀毒软件,尤其是网络环境下的病毒传播更是防不胜防,更应引起各级消防部队的高度重视。

1.3 尚未建立网络安全长效保障机制。一是技术力量保障不足。当前,基层各大、中队原本人员就紧张,干部或士官的配备率没有达到需求,从事整个单位的网络安全检查及线路维护等工作的人员一般都是中队的兼职人员,中队训练量大、日常性事务多,因而对网络安全维护管理就显得心有余而力不足;二是网络安全机构不健全。各基层消防部队没有建立相应的公安网络安全机构,没有专门人员和班子,缺乏专业性人才,任务难分解,责任难落实。

2 消防部队网络安全建设的建议及对策

2.1 加强保密及网络安全管理教育工作。一方面是加强官兵保密知识的普及,使全体消防官兵均对保密相关规定、网络使用规定能够深入了解和掌握,并能带头自觉遵守;全体官兵能够正确区分秘密、机密、绝密各级文件资料,不出现文件乱摆乱放乱存的现象,只有做好了保密工作和增强了保密意识,网络安全就打好了基础。另一方面是加强公安网络安全知识的普及。现在基层消防官兵和外聘人员的素质参差不齐,公安网络安全意识淡薄,再加上网络技术的日新月异等因素,所以各单位要定期组织官兵及工作人员进行培训和轮训,重点讲解网络安全的意义、日常计算机维护、安全上网注意事项等相关知识,筑牢公安网络安全基础防线。

2.2 加强硬件设施的投入。将公安网络安全建设纳入信息化建设保障的重中之中进行考虑,对保密要求较高的计算机及机房等,引进防电磁幅射、传输幅射及其它保护性装置,尽量减少公安网络可防性安全事件的发生。

2.3 加强安全保密队伍建设。依托当地公安机关相关部门,做好计算机信息安全工作。当前基层消防部队计算机信息安全技术人才普遍缺乏,工作流动性大,安排不出人员及时间对单位各台计算机使用过程中的安全措施进行全面细致检查,对不规范操作难以及时发现和整改,就连日常的计算机技术维护人员也很缺乏。为此,对于基层消防部队,必须落实从优待警政策,将那些品行端正、热爱消防事业、拥有计算机特长的大学毕业生招进来,建立专门网络安全维护队伍,经常开展计算机检查和维护,及时发现和解决计算机应用过程中的各种问题。各单位要落实、明确各级网络安全主管领导与管理人员。

2.4 明确相关责任。一是领导的责任。明确消防部队基层各单位领导同志作为公安网络和信息安全保密工作第一责任人,要在公安网络和信息化建设中统筹考虑,将安全保密部门放在重要地位。解决安全保密管理组织机构和人员问题,解决安全保密技术手段建设和运行的经费保障问题;二是主管部门的责任。各单位要落实网络信息管理部门,经常性地开展安全保密教育培训,对公安信息系统和网络运行进行安全保密监控;三是使用人的责任。公安消防部队各部门公安网络和信息的使用者,要明确“谁使用、谁负责,谁管理、谁负责,专机专网、责任到人”的安全保密管理制度,使用人必须认真落实各项安全保密管理规章制度。

2.5 强化四项措施。一是严格入网设备的管理措施。要严格各类计算机设备入网前的安全检查和一机两用注册工作,严格计算机设备出网前的注销和清理工作,严格设备送修的申报手续;二是严格应用系统和网站的管理措施。要严格公安应用系统和网站的登记、备案制度,明确管理单位和责任人,严格上网内容的审批制度;三是严格网络边界的管理措施,物理隔绝公安网或因特网。对各级公安信息网与英特网(或终端)的应用接入,要严格实行上报审批制度,严禁超范围使用,严格核实IP地址,确保一机一个IP地址;四是严格信息载体的管理措施。要严格执行计算机、网络、移动存储介质与英特网物理隔离的规定,严禁在非计算机上处理内容,严禁在计算机硬盘内存储绝密级信息,严禁将工作用计算机和移动存储介质带回家,严禁在互联网上使用移动存储介质。

2.6 制定切实可行的网络使用规则和制度。公安信息网和互联网的使用应加强内部管理和采取技术防范并重。据统计,90%以上的信息安全事件都与疏于内部管理有关。因此,除在网络设计、软硬件配置方面增强安全功能,提高防范能力外,更要建立健全各项切实可行使用规则和有关制度,强化对网络使用的内部管理,确实抓好部队网络和信息安全工作。

参考文献:

[1]冯元.计算机网络安全基础[M].北京:科学出版社,2003.

篇9

中图分类号:TP393

文献标志码:C

文章编号:1006-8228(2011)12-60-02

0 引言

信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识到等级保护制度的重要性。在我国信息安全等级保护制度中,等级保护分五个工作环节――定级、备案、建设整改、等级测评和监督检查。其中,等级测评是等级测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是信息安全等级保护工作的重要环节。

随着等级保护工作的不断推进,等级测评机构的体系建设也在不断深入,全国等级测评机构的数量在不断增加,测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现。因此,加强对等级测评机构的合理、有效监管,对提升测评行业质量,保证测评数据公正、客观,以及保障重点行业的重要信息系统安全等至关重要。

1 国家层面对测评机构的监管模式

测评工作作为等级保护制度中最重要工作环节,具有明显的专业性和技术性恃点,其政策导向性强。因此,仅有相关测评技术标准是不够的,测评机构的体系化、规范化管理也是关键。

2009年7月公安部开始信息安全等级保护测评体系建设试点工作,其目的是探索信息安全等级保护测评体系建设和管理的模式和经验,保证全国重要信息系统等级保护安全建设工作的顺利开展。试点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作:一是检验并完善等级测评机构应具备的条件;二是检验并完善等级测评机构建设的主要内容;三是检验并完善等级测评人员管理的主要内容;四是检验并完善等级测评工作规范性要求的主要内容;五是检验并完善测评机构监督管理的主要内容等。从试点工作情况分析,国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式。

从工作程序上分为四个步骤:

(1)各测评机构向设区的市级以上所在地公安网安部门申请,公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核,审核通过后,提交给上一级公安网安部门报批,并予以受理。

(2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心,由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估。能力评估通过后,由评估中心将能力评估材料递交公安部网络安全保卫局审核批准。

(3)各省公安网安部门收到公安部网络安全保卫局对测评机构审核的意见及相关证书,下发给各地网安部门。

(4)公安部信息安全等级保护评估中心在网站上公布测评机构名单,接受社会监督。

能力评估的内容和要求上,分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分。

2 浙江省等级测评机构现有监管模式

浙江省信息等级保护工作一直处于国内前列,2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令),并在同年开展了全国等级保护试点项目。通过多年积累的经验,2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索,初步形成具有浙江特色的等级保护测评机构监管模式。

(1)以社会协会管理为主,政府监管为辅的管理模式

浙江省结合实际,政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》,明确了省内从事等级测评工作的单位性质、条件和义务等要素。社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理,形成测评机构管理行业规范,变政府由市场参与主体向市场监管主体转变,由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变。

(2)建立以行业自律管理为主的监管体系

严格测评机构行业自律管理,测评机构间签署《信息安全等级保护测评机构行业自律公约》,强化机构自律化管理,进一步规范测评机构行为和工作秩序。

(3)建立机构统一管理标准,专控审查机构自身及人员能力建设

全省测评机构必须按照“审核标准统一,管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作,并由政府组织机构年审,设立准入准出机制。测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性,对机构业务范围、管理能力和技术能力要求等给予明确规定,规范申请、审核、查验和推荐流程,组建由公安、保密、密码管理、信息办和安全等部门专家组成的专门审查小组对机构背景、管理水平、资格和技术能力进行量化评价,作为推荐依据。同时,严格规范测评机构工作程序,加强对机构内部管理规范化建设督导,要求健全人员管理、项目管理、文档管理、设备管理、保密制度等各项制度,要求制定《质量手册》、《程序文件》、《作业指导书》、《测评过程记录表单》等测评实施过程文档,完善测评实施规程。

全省机构都已被要求必须获得CMA中国计量认证,并被引导和鼓励去获得CNAS实验室认证、ISO27001认证等。所有从业人员必须获得初级以上“测评师”技术证书,测评工作中持证上岗。对测评从业人员要进行录用考核、备案和背景审查等工作。

3 现有监管模式的不足

在现行的测评机构监管模式中,我们侧重于对测评机构应具备条件(包括审核是否在境内注册成立、注册资本多少、法人资格、公司已有的资质、测评人员已获得的技术认证等)的监管;仅关注机构是否已具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等制度,而对这些制度的落实情况及执行情况缺乏有效监督;对测评活动实施过程中的合法性,有效性问题缺乏必要的考量。

4 对测评机构进行有效性监管方法的探讨

(1)对测评机构的测评大纲实行报备审核

测评大纲应是等级测评机构的整体测评策略性文件,能综合反映不同测评机构从事等级测评活动的经验、知识、测评方法和测评程序。基于对被测评单位的利益保护以及对测评机构的监管要求,测评大纲应具有法律效力,须报公安机关审核备案后使用。测评机构只有按照测评大纲中明确的指标严格检测、测评,其测评结果才能真实地反映被测单位计算机信息

系统的安全状况,为安全整改建设提供科学的依据和指南。

(2)对等级测评活动的各周期程序实行监督指导

等级测评流程分为四个阶段:测评准备、方案编制、现场测评及报告编制,政府部门的督导工作须贯穿其中。如,在测评准备阶段,为了避免测评小组成员和委托人之间存在利害关系,影响测评结果的公平、客观、真实,测评机构在确定测评小组成员名单后让测评委托人确认签字,确认书要留档备查,未经确认开展的项目测评报告不具有法律效力。方案编制中,必须明确测评对象、范围、依据法律法规和标准、制定具体的测评检查表,记录文件要测评双方签字确认,方案和测评过程文档应留档备查。现场测评中,测评小组必须使用可信、安全等级测评工具采集数据,测评工具要向公安机关报备,现场测评要按照检测程序全面检测关键测评项,依据测评标准客观、公正、准确评价,政府主管部门应随机驻点督查现场测评过程实施情况。测评报告反映的是被测评单位信息系统的安全保护现状,应具有法律效力,报告要使用标准模板,起草过程中测评机构和测评人员应当遵守国家的有关法律法规,保守被测评单位秘密、保障被测单位利益,政府部门有必要明确测机构及其工作人员的法律责任来规范其职业道德。测评机构的测评结果直接对信息系统运营使用单位的建设、整改和运营成本,以及对监管部门的行政监管成本产生影响,也就是说,测评报告对国家和社会都会产生影响。因此,测评机构要对自身的测评行为负责,政府主管部门将对机构及从业人员违反法律规定的行为予以民事、行政或刑事处罚。

(3)对测评人员实行从录用到离职的全程监督

等级测评涉及用户单位的核心业务系统,是一项高技术的专业安全服务,需要具有一定政治素质、道德素质和专业素质的测评人员来支撑。管理应进一步加大对测评人员的政治背景、从业背景、专业背景、技术素养的审查力度,建立完备测评人员档案库,考量测评机构测评人员稳定性,重点加大对离职测评人员的管控,明确保密条约,关注人员离职去向。

(4)制定测评机构优劣考量机制,促进诚信服务的企业文化

等级测评的执行主体是测评机构,测评机构的企业文化是否具有凝聚性,企业价值观是否诚信,内部管理模式是否健康,关乎其市场竞争力,更关乎测评机构能否为信息系统安全等级保护工作提供安全、客观、公正的检测评估服务。因此,要求测评企业必须有一定的政治觉悟,要严格遵守国家有关法律法规,要承担社会责任和法律责任,不能唯利是图。政府部门要定期开展管理评审,制定考量测评机构优劣评判标准,完善被测评单位满意度反馈机制,建立机构诚信状况、信用状况、评级结果等信息公开机制,将政府监管和社会监督结合起来,通过评星评级、市场退出和奖惩机制的建立,鼓励诚信机构,惩戒不诚信机构,增加机构不规范测评行为的风险成本。

(5)规范价格体系,推动测评机构良性发展

篇10

[分类号]D923.8

1 问题的提出

1.1 电子身份(EID)的概念

EID(电子身份),即"electronic identity”的缩写,在维基百科里面的定义是指“政府发行的用于在线或离线身份标识的证件”,学者认为“EID是在现有居民身份管理体系基础上,经公安部门现场和人口库审核,由公安网络身份管理中心统一签发的网络电子身份证件,用于公民网络活动和真实身份管理机制”。

实践中与此相关的概念即网络实名,网络实名被认为是未来的发展方向。所谓网络实名,主要指用户在互联网的实名访问,并基于用户实名的互联网管理方式,它需要网络运营商确立实名检测系统,面临运营商成本增加和个人信息安全的弊端。不同于网络实名概念,EID“基于‘前台匿名、后台实名’的开发原则,只是一段网络标识符,本身不含任何用户身份信息”,但进行电子身份证的建设是实现网络实名的前提。

1.2 问题的提出

网络的普及推动着国家电子政务、电子商务的发展,但网络虚拟性、身份匿名化也制约了电子商务、网上支付等交易类应用的发展,甚至可能催生严重危害国家安全和社会秩序的事件。因此,身份识别就成为规范现实社会秩序和网络社会秩序的纽带,这急需一个既方便人们从事网络活动又便于管理的综合性手段――电子身份标识(EID),而电子身份管理制度(EID Management,简称EIDM)建设就成为虚拟社会互联网实名管理必将遇到的核心问题。

目前,国外已开始了电子身份计划的普及,欧盟、美国、日本、韩国等都已经出台相应的战略计划和措-施,甚至谋求全球通行的国际电子政务计划和电子身份计划。在国内,电子身份计划起步较晚,电子身份计划推行的相关政策和立法还缺乏体系化。比利时被认为是欧洲推行电子身份管理系统的先驱者,因此,考察和梳理比利时电子身份证管理机制对于提出我国虚拟社会真实身份管控的综合对策具有积极意义。

2 比利时电子身份管理机制

比利时在EID领域被认为担任先锋角色。从2005年6月开始,电子身份卡已在所有试点城市全面发行。为确保EID运行,比利时政府形成了具有自身特色的电子身份管理机制。

2.1 比利时电子身份管理系统政策

2.1.1 电子身份卡主要类型

比利时电子身份管理系统从实际应用角度看,主要包括3个方面,即电子身份卡(公民电子身份)、联邦身份令牌和社会保障卡,如表1所示:

其中电子身份卡即个人身份证,包含持有认证证书和有效签名的双证书芯片,与国家人口登记薄相联系。联邦身份令牌是在身份证号码、国家登记编号、社会保障卡编号的基础上完成注册,由于此卡使用受局限且安全性不足,已被逐步淘汰。社会保障卡(SIS卡)主要用于社会保障和电子卫生保健专业部门,适用于任何受比利时医疗保健制度管制的保险金和个人。

2.1.2 发行专门针对儿童的身份卡政府为方便12岁以下儿童也能获得电子政务服务以及享受因此而提供的各种服务,专门发行了针对儿童的电子身份卡。不同于12岁以上公民电子身份卡的强制性推行,12岁以下儿童设置的儿童身份证是自愿获得的,当儿童达到12岁时,此卡将自动失效。该卡允许儿童利用网络安全访问和享受与其年龄相适应的服务(如儿童聊天室),这也是本卡发行的主要目的之一。另外,由于12岁以下儿童签名一般被认为是没有法律效力的,因此本卡的签名证书是被默认吊销的。

2.1.3 注册登记机关

比利时电子身份登记机关有国家登记机关、Crossroads bank和Bis.regi’ster。其中国家登记机关主要用于登记比利时公民的身份信息,包括基本身份信息、就业信息或公民家庭成员状况等,非公民信息和等候登记人信息。

Crossroads bank是比利时政府确立的非严格意义上的官方登记机关,主要通过联网信息服务于社会保障和企业,它类似于一个网络数据库,可指出任何真实的数据源,但是并不包含数据本身。由于该登记机关数据包含了所有在比利时进行经济活动的企业、企业家和企业机构的所有基本信息,除为社会保障机构提供简化服务外,也为企业提供识别服务。

Bis-register称之为双注册机构,是比利时政府为了使不能进行国民登记的人享受社会保障条例制约专门没立的登记注册机构,它类似于一个备用数据库。当一个新的实体开始接受比利时社会保障时,他的信息会被首次登记于此,并不断被社会保障机构更新。所有在此注册机构注册的人都可以在没有进行国民登记的情况下也享有比利时社会保障福利。备用数据库模式确保了比利时民众充分享受政府的社会保障福利,这也是值得我们借鉴和推广的。

2.1.4 电子身份卡认证政策

电子卡内认证证书与签名证书分离。比利时发行的电子身份卡内嵌入的认证芯片持有两个证书,即认证证书和签名证书分离,认证证书确认持卡人的姓名、照片、出生、性别等登记的基本信息,签名证书用于确认签名效力。电子认证将使公共管理部门能够自动检索任何存储于电子身份证中的有关其持有人的信息,从而减少数据冗余和不必要的表格填写。但是认证证书并不等同于签名证书,认证证书不被用于签名目的,这种选择在法律的确定性上是合理的,也促使当事人需采取适当的预防措施,以确保认证证书不被滥用。

认证模式。比利时没有为企业和公民提供不同层次的电子政务认证系统规定,但它确立了基本认证原则:低风险系统可以使用用户名/密码系统进行事实认证,高风险系统则可以使用纸质的一次性电子口令卡。对于自然人而言:凡没有关键的安全建设的地方,应使用“用户名/密码”系统;凡有关键性的安全建设的地方,应使用联邦令牌或本国公民电子身份证;对于企业而言,根据不同的使用状况,可以基于一个在线注册的用户名/密码系统来进行识别,也可以指定一个自然人并授予其作为企业代表使用令牌,或对企业法人的电子身份证的权利进以识别。

上述身份管理制度是比利时电子身份管理中具有特色的内容,这些措施的采取确保了电子身份证的安全性。纵观现有电子身份证模式,多数国家发行的电子身份证只针对自然人,而对于在网络上从事活动的企业等组织并不适用,比利时针对网络活动中企业用

户识别的这种认证模式是独特的。

2.2 比利时EID管理的法律保障制度

比利时电子身份管理将电子政府管理和电子商务签名认证统一架构,为保障这一架构的实现,比利时出台了一系列相应法律制度规范:

电子身份卡的法律框架最早始于2001年7月9日的电子签名法案(the eSignature Act of July2001),该法案基于欧盟1999的电子签名指令(European Directive 1999/93/EC of 13 December 1999on a Community framework for electronic si‘gnatures),主要规定了电子签名和认证服务的法律框架,成功变更应用了电子签名指令,但该法案没有针对认证程序的专门条款,不失为一种遗憾。

2001年7月9日(the Law 0f 9 July 2001)颁布的法律确立了某些关于电子签名和证书服务供应商的法律体系。

2003年3月25日颁布的电子身份证法律框架的皇家法令(Royal Decree 0f 25 March 2003 on the legalframework 0f electronic ID cards)介绍了关于电子身份证的基本条款,包括基本形式。

2004年6月5日颁布的皇家法令(the RoyalDecree of 5 June 2004)创建了进入和修正储存于电子身份证和国家登记簿或自然人国民登记簿中相关信息的系统。2004年9月1日关于普遍推行电子身份证的皇家法令(the Royal Decree of l September 2004)延长了境外试点区域。

实践证明,这些法律规范成为比利时电子身份证成功推行的重要保障。

3 比利时EID管理制度对完善我国电子身份管理制度的启示

3.1 我国EID管理的困境

3.1.1 互联网身份管理的综合性从物理空间看,人们从事活动的管理是分类管理的,因为从事活动的平台不同,有海关的、户籍的、旅游的等等,但是网络空间则是综合的平台――网络。综合平台要求互联网身份管理实现对网络活动数字化的综合反映,这需要对自然人从事网络活动的综合身份信息进行管理,这种综合身份信息既包括身份证法规定的信息,也包括其他特殊法规定的身份信息。显然,基于现实环境的身份管理模式难以适应网络平台综合管理的需要,尤其针对他国自然人在中国从事网络活动的管理更为困难,对互联网身份管理综合性的要求因此也就成为实现虚拟社会安全防范和管控的困境之一。

3.1.2 公权与私权主体的利益博弈作为公民网络活动和真实身份管理机制,电子身份建设被认为是有效推行网络实名制的必经路径,这需要政府行政管理部门承担管理和监督的职责,进而面临行政管理部门与普通网民之间的利益博弈”。政府管理部门需要借助EID推行实现网络实名管理,遏制违法和犯罪行为,进而解决网络安全和诚信问题,而网络用户则更关注个人隐私安全以及自由表达权利的行使。因此,协调公权与网民私权之间的关系就成为电子身份管理制度建设中面临的问题之一,否则可能陷入行政权滥用的漩涡而给网民带来潜在危险,违背EID推行实践目标。

3.1.3 现有法律制度的适用性不足

电子身份计划的推行需要法律制度的保障,目前国内与电子身份管理相关的法律主要体现在:适用于身份管理和数据保护的法律:1995年的《人民警察法》第六条确认人民警察依法履行户政的职能;2004年的《居民身份证法》,规定了居民身份证的制作与发行情况;2005年针对电子签名和电子认证发展出台的《电子签名法》,规定了认证机构资质,确认了电子签名的法律效力;2010年7月1日实施的《侵权责任法》确定了网络隐私权的概念,并对网络侵权做出了规定。涉及网络安全方面的法律规范:国务院令第292号《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《电子认证服务管理办法》、《非经营性互联网信息服务备案管理办法》(信息产业部令第33号)和一些地方性的立法等。

实践表明,这些关于网络身份管理的法律法规适用性不足,作用有限,如:《居民身份证法》主要适用于传统身份证的管理制度,无法涵盖网络平台电子身份的应用,缺乏关于虚拟社会电子身份证的具体规定,也没有适应电子身份的具体标准;《电子签名法》主要用来解决身份证明中不可抵赖性的认证,与自然人的真实身份无关,并不能解决网络真实身份问题;隐私和数据保护方面的法律制度缺乏体系化,使得公民隐私和数据安全在电子身份推行中面临威胁和挑战。

3.2 完善我国EID管理制度的具体建议

3.2.1 统一建构电子政务管理与电子商务签名认证

比利时EID管理制度将电子政务管理和电子商务签名认证统一架构,注重了生活经验及公民和企业的需要,促进了电子身份认证应用的一体化管理。

随着互联网在社会生活中的日益渗透,在推动我国电子商务发展和社会信用体系建设中,网络实名制的确立是身份隐射关系的必然,是规范网络信息传播的必由之路,电子身份推行和管理将成为不得不面对的问题。鉴于电子身份管理中涉及的电子签名和身份认证是电子政务和电子商务规范发展的重要因素,因此建构电子身份管理制度时应将电子政务管理与电子商务管理统一架构,以真正实现数字时代的身份管理。

3.2.2 保障电子身份认证的安全性

电子身份管理系统包含数据采集、公钥基础设施、IT网络系统等内容,涉及到公民个人隐私数据和政府敏感信息,将成为提供社会公共服务和支撑的关键基础设施,加之网络平台的综合性,其安全保障问题至关重要。

比利时关于建立和组织社会保障网络银行的法律规定:对社会安全组织之间的数据信息交流严格规范,只有经法律或社会保障部门委员会或比利时隐私专员公署委员会授权才有可能得以进行,并通过联邦商业风险管理政策(Federal Business Risk Management Poli-cy)和一般资讯安全政策(GenerM Information SecurityPolicy)确保电子身份管理的安全性。

从我国现有法律制度来看,公民个人信息安全保障机制、数据安全方面的政策和制度不足,同时电子身份管理将涉及协调多个现有管理部门。为实现电子身份管理的可靠、有效、便捷,应基于任何对互联网的规制不应阻碍其发展的基本原则,借鉴比利时政府制定相应安全政策严格规范数据信息交流的做法,确保身份验证和识别的安全性。

3.2.3 完善EID电子身份管理法律制度

明确公安机关作为专门的登记认证中心。由于涉及信息安全性和权威性,专门登记认证中心成为确保安全性和真实性的关键。虽然工信部、财政部、文化部等部门都具有相应的户政管理职能,但由于EID

主要基于现有身份管理体系,链接公安部门人口库及公安网络身份管理中心,因此公安部门作为身份管理机关对于确保EID的真实性,无论在软件设施还是和硬件设施方面,较其他部门都具有先天优势。同时,公安机关作为登记认证中心,可提升公安部门对虚拟社会真实身份管控的执法能力。

明确技术标准界定规范。按照EID的技术设计,只要符合EID技术要求的智能卡都可以嵌入EID,为了在线服务广泛应用,可互操作性成为EID管理系统的重要支撑之一。为了实现互操作,使得各种公共和私人组织身份供应商能够参与到这个系统中,就需要制定相应的技术标准以适应不同领域的身份证书。这需要政府管理部门、相应行业、社会专业机构相互协调,共同设计和建立电子身份管理的必要技术标准规范。

宄善数据和个人隐私保护规定,协调公权益与私权益之问的平衡。在EID的推行过程中,公民数据和个人隐私的保护尤其关键。我国没有专门的数据保护法,也未形成体系化的隐私和数据保护制度,因此在完善电子签名法、身份证法、侵权责任法中关于数据和个人隐私保护规定的同时,应推动《数据保护法》的出台,协同政府、行业和监管部门,进一步明确电子身份管理中公民信息与隐私保护原则、保护范围、信息和隐私主体权利、数据控制者义务、除外条款等内容。此外,在涉及网络安全方面的法律规范中对电子身份证管理安全风险评估和监控机制提出切实可行的解决方案,以保障信息安全。

4 结语

在社会网络化的今天,身份虚拟特性给商业信用、公安机关维护国家安全和社会稳定带来了新挑战。为了实现虚拟社会真实身份管理,签发电子身份标识已经成为许多国家发展计划中的普遍实践。比利时作为EID实践的先锋,有着独特的EID管理制度,其EID认证政策、管理模式对于我国走出网络真实身份管理困境具有借鉴作用。

我国EID计划起步晚,而电子身份管理又涉及法律、技术和政策不同层面,现有身份管理制度、电子身份认证机制、隐私与数据保护制度亦难以保障电子身份管理的实践,因此应确立一个多角度、多层次的综合管理框架,综合立法、政策、技术等多种措施,推动电子身份证的全面应用。

精选范文
学术杂志
友情链接