安全信息服务范文

导语：想要提升您的写作水平，创作出令人难忘的文章？我们精心为您整理的13篇安全信息服务范例，将为您的写作提供有力的支持和灵感！

篇1

第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作，维护国家安全和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》，制定本规定。

第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估，适用本规定。

本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”)，是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”)，是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级，审查评价其信息安全管理制度和技术保障措施的活动。

第三条互联网新闻信息服务提供者调整增设新技术新应用，应当建立健全信息安全管理制度和安全可控的技术保障措施，不得、传播法律法规禁止的信息内容。

第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律，建立健全安全评估服务质量评议和信用、能力公示制度，促进行业规范发展。

第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度，按照本规定要求自行组织开展安全评估，为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合，并及时完成整改。

第七条有下列情形之一的，互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估，编制书面安全评估报告，并对评估结果负责：

(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的；

(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

国家互联网信息办公室适时新技术新应用安全评估目录，供互联网新闻信息服务提供者自行组织开展安全评估参考。

第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估，发现存在安全风险的，应当及时整改，直至消除相关安全风险。

按照本规定第七条规定自行组织开展安全评估的，应当在应用新技术、调整增设应用功能前完成评估。

第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后，应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估，报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的，由国家互联网信息办公室组织开展安全评估；报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的，由省、自治区、直辖市互联网信息办公室组织开展安全评估；报请主体为其他单位的，经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后，将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估，应当提供下列材料，并对提供材料的真实性负责：

(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等)；

(二)产品(服务)的主要功能和主要业务流程，系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍)；

(三)产品(服务)配套的信息安全管理制度和技术保障措施；

(四)自行组织开展并完成的安全评估报告；

(五)其他开展安全评估所需的必要材料。

第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实，服务提供者应予配合。

国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后，应自行或委托第三方机构编制形成安全评估报告。

第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患，未能配套必要的安全保障措施手段的，互联网新闻信息服务提供者应当及时进行整改，直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前，拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

服务提供者拒绝整改，或整改后未达法律法规规章等相关规定和国家强制性标准相关要求，而导致不再符合许可条件的，由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定，责令服务提供者限期改正；逾期仍不符合许可条件的，暂停新闻信息更新；《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的，不予换发许可证。

第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密，不得泄露、出售或者非法向他人提供。

第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度，对新技术新应用加强监测巡查，强化信息安全风险管理，督导企业主体责任落实。

篇2

中图分类号：TS201 文献标识码：A 文章编号：1671-7597（2014）10-0137-01

当前食品、药品等关系国计民生的行业屡屡出现严重的质量问题，从毒果冻、毒酸奶、毒胶囊到三聚氰胺、瘦肉精、塑化剂等，无一不在震撼大众视听，社会上对于产品的质量安全保证要求呼声越来越高，企业也非常希望能建立一套完善的质量追踪追溯系统。《国家十二五规划》中明确提出要“建立食品药品质量追溯制度，形成来源可追溯、去向可查证、责任可追究的安全责任链”。

2007年吐鲁番地区提出加快实施“精品哈密瓜品牌战略”，开展了包括质量安全信息追溯体系建设等为内容的多种举措工作，新疆标准化研究院抓住这一契机，在当地相关部门的支持下，建设完成了“吐鲁番哈密瓜质量安全追溯体系建设应用示范”项目。项目的建设完成成为质监部门在开展质量安全信息追溯工作方面的首个应用示范工程。随后通过几年的努力，截至2011年，又先后在和田、吐鲁番、喀什、昌吉等4个地州对总计12个农产品完成了体系建设工作，取得了一定的效果：如追溯体系的建设得到国家中心及兄弟省市同行的认可，产生了一定的影响力；纳入平台企业的信息化管理水平得到了提高，农户取得了一定的收益。

然而，目前追溯体系建设工作的开展在定位、运作方式、系统功能完善及市场开拓和制度建设等方面还需要进一步地研究与探索，以满足食品安全信息追溯工作在新形势下实现快速发展的新要求。

1 平台网站建设

1.1 平台网站功能框架

架设应用子系统，主要包括“果蔬类追溯系统”、“乳制品电子信息追溯系统”、“水产品追溯系统”、“畜禽肉追溯系统”等，完善食品安全追溯信息中心数据库。

主要版块：新疆食品安全追溯信息查询服务，新加入会员的产品宣传，企业展示、营销，食品安全相关资讯的，力争将网站建成新疆权威的食品安全追溯网站；同时不断优化平台，提高在google、baidu中的排名。

信息方式以实现互联网、查询终端、电话、手机接入wap网站服务、短信等。

提供系统智能统计分析；整合各个已有的食品安全信息追溯应用服务，形成对外统计、查询接口。

1.2 为平台的可扩展性预留接口，实现追溯信息的资源共享

1）考虑与国家质监总局追溯平台数据对接。

2）与第三方检测机构数据对接。

3）考虑与销售终端网点、信息门户网站、网上营销等实现的数据对接与资源共享。

1.3 追溯码长度适应多样化要求

可依据企业需求，按照国家标准可自由选择在编码要求规定范围内编制追溯码；同时，查询平台满足不同长度追溯码的查询。

2 平台主要内容

2.1 平台的软件环境

软件环境：Windows 2000 Server以上的操作系统，Microsoft SQL Server 2000以上的数据库、IIS（Internet信息服务） 5.0以上、Microsoft .NET Framework 2.0以上、与Microsoft .NET Framework对应的Crystal Reports、Microsoft 2.0 AJAX Extensions。

2.2 平台建设目的

1）满足职能部门的监管需要；通过提供有效的追溯信息，为职能部门依法行政、打击假冒伪劣等工作提供服务。

2）满足企业管理的需要；“总平台”建设以“扶优抚强”为基本出发点，通过加强追溯信息链条各环节的管理控制工作，提升企业质量控制能力的水平。

3）满足消费者知情权的需要；通过强化企业的应用主体责任，向社会明示追溯产品信息的真实、有效并公开承诺责任义务，为社会监督企业行为获取追溯信息提供渠道。

4）满足研究部门提供有效服务的需要；通过对“总平台”管理体系、标准体系、技术体系的研究与建设，全面提高向社会各界提供有效服务的能力和水平。

2.3 平台特点

通过平台的建设，政府监管部门通过此平台可及时对企业及食品进行流向跟踪、抽检，并拉近了企业与消费者的距离，主要体现在以下几个方面。

1）实现信息查询的完整性。在种植/养殖过程、原辅料供应、生产管理、仓储物流、销售业务等各个环节采取合适的技术手段实时记录产品信息，可通过查询随时跟踪产品的生产状态、仓储状态和流向，以达到产品追溯管理的目的。

2）信息的唯一性。通过追溯码的唯一性，能够定位到每个或每批次包装产品。

3）信息查询的准确性。消费者查询到的食品安全信息应与企业食品实际生产过程相一致，保证数据的真实性，同时应对数据传输各环节进行监控，防止数据篡改和前后不一致。

4）信息查询的方便性。消费者可通过手机、PC、超市扫描设备等终端随时随地对食品安全信息进行查询。

2.4 平台建设原则

平台建设的5个原则：

1）法律法规为基础的原则：平台建设充分考虑政策的支持，贯彻落实《食品安全法》、《农产品食品安全法》、《标准化法》、《食品安全法实施条例》、《国务院关于加强食品等产品安全监督管理的特别规定》等相关法律法规。

2）政府引导、企业自愿加入的原则：以“会员制”方式发展成员，以三种模式开展会员制建设工作，一是“政府引导、企业参与”的方式带动区域追溯体系建设工作；二是以经济合作方式下的社团参与模式；三是企业化的运作模式。

3）符合“扶优扶强”的原则：加入平台的企业具备一定的条件，通过“准入制度”的相关要求进行审核评价后，满足追溯体系建设的最低标准要求方可成为平台的加盟企业。

4）企业应用主体责任原则：强调企业在食品安全信息追溯中主体责任的内容，通过落实企业在食品安全中第一责任人的角色，协助企业建立“食品质量安全记录制度”。企业对的信息确保其真实性、准确性、有效性，并向社会公开承诺。

5）整体规划、分步实施的原则：以完成追溯管理要求和查询的要求出发，逐步完成较全面的综合网站平台建设任务。

3 结束语

篇3

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

在近些年，金盾工程进一步展开，各项信息网都得到了长足的发展，电子信息技术以计算机为应用基础，网络技术在各行各业中得到了越来越广泛的应用，信息量的传递速度与共享范围达到了前所未有的程度。

一、网络和信息安全存在的威胁因素

计算机网络的应用在日常生活中越来越普及，网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁，具体表现在如下几个方面。

首先，内部人员的错误操作以及违规使用

这一类的情况主要有：蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示，对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用，所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为，在事后能够较为成功的进行定位并及时取证分析。

第二，外部威胁

来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统，进入网络系统，并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺，从而导致网络服务瘫痪乃至整个服务进程的中止。

第三，拒绝服务攻击

表现在对网络服务系统所进行的不间断干扰，有时表现为改变网络服务系统中正常进行的作业流程，或者是执行无关的程序，进而加重整个系统的运转负荷，导致系统响应速度减慢，严重影响正常用户的使用，调查显示，网络因受攻击而拒绝服务的趋势明显上升。

第四，网络病毒

在所有的网络威胁中，网络病毒无疑是最为臭名昭著的，它是最为常见、最重要、最难防范的威胁，它对各种局域网，甚至对整个互联网的安全所产生的威胁是随时存在的。

二、建立网络和信息安全动态策略

网络技术的普及，提高了工作效率，因此构建一个良好的网络环境十分必要，然而，伴随着计算机网络在各行各业中的广泛应用，相关的安全问题也不可避免地日渐突出，如果放任网络上各种安全问题滋生扩大，不仅会严重的降低生产效率和生活质量，还会给人民的生命和财产安全带来极其巨大的威胁和损害。

首先，网络安全主要分为四个主要层面：物理安全、文化安全、信息安全以及系统安全。

第一，物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施，例如：容错、容外部损伤、对干扰的抵抗等。

第二，系统安全。即是指代存在于网络通信中的基础协议，包含了操作系统以及应用系统在内的可用性，包括使用的合法性。例如，遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为：身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为：入侵防范、之后的检测以及响应和系统的恢复。

第三，信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能，在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止，防止恶意篡改信息以及冒名的发送伪造信息等，在所有的安全保障手段中，其最核心的技术则是密码技术。顾名思义，即是在密码技术的支持下，对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现，所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。

三、建立网络与信息安全体系

为了在最大限度上保证全部网络信息合法用户的网络信息安全，应该建立网络与信息安全的一整套体系，其结构可以划分为呈若干层次，所涉及的环节较多，主要包括：网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构，管理人员在规范合理的指导下，得以拥有把握网络整体安全状况的权限，从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理，使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤，分层次低进行。

首先，必须了解当前网络整体的安全状况，即进行安全风险的合理评估（主要指确定网络资产的安全威胁性和脆弱性，并进一步估算由此可能会造成的损失程度和影响的过程）在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时，应该考虑要有一套较为完整及符合实际情况的风险分析方法（包括了对应的安全措施制定方法），网络安全评估的主要内容有如下两个方面，首先，在考虑了回避最为常见的威胁以及漏洞（包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率）。

第二，当安全措施失效从而导致造成了业务的损失（包括到预计中财产信息被公开，还有信息不完整甚至不可用的全面影响）。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据，在进行风险评估分析的基础上，进一步提出网络和信息安全的整体需求，以期能够确定网络所要达到的安全系数和级别，对进一步可能采取的安全措施进行总体计划，有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状，在动态安全体系的正确指导下，制定出更为合理有效的安全措施，并进行较为严格的安全管理。

安全保护及实时监测。即是指选用相关的安全产品（包括前沿技术、能够执行的合适的安全制度）全面的安全管理规章制度的制定，明确安全实施与管理中全部流程，各个方面安全职责的切实确定，提高网络安全性。而安全保护过程中可以使用的手段包括：设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。

四、结语

总之，安全不是一朝一夕的事，所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。

参考文献：

篇4

前言：在现代信息量巨大的互联网系统中，信息安全技术的发展早已与人们日常生活紧密相关，渗透到经济、政治、文化等多个领域，因此信息的安全问题成为时下热议的问题。信息安全作为网络技术多元化的迅猛发展的成果，互联网的安全技术亟需更新改革，要从单一的防火墙建设经过多次探究调研后，升级到具备检测和报警的重要功能的网络信息安全体系。

一、强化服务器自身安全性

以一种域名系统命名的DNS服务器系统以及在浏览器中输入域名调出，通过浏览器进行远程II管理的WWW服务器配置，可以在任何服务器或者工作站打开浏览器，和FTP服务器配置作为计算机网络的服务器配置的一般分类，从信息安全技术角度来看，以信息安全病毒或者黑客入侵技术等特点作为分析对象，建立服务器安全配置预防机制，首先对服务器自身的安全性进行自主强化。首先加强改版操作系统安全管理软件，做到可以应用服务包来预先防范已知的网络安全漏洞，修复安全补丁。逐步完善计算机操作系统的服务功能，保护登入帐号的安全，删除不经常使用的软件，保证服务器内置的洁净。并且在服务器安全设置能够高效运行的前提下，寻求最高的计算机安全级别，用以强化服务器操作系统[1]。

二、FTP服务器的安全配置

本地用户和组是以管理本地智能网络模块的一项管理工具，存在和运行于Windows的计算机当中，因此在Windows的安全策略中占据重要地位。通过服务器可以控制单独使用的FTP站点，可以确认用户账号安全，控制网络中有不安全性的匿名访问以及IP地址限制。在密码设置时要确认第二到第六个为止中一个或一个以上的符合或字符，并且保证至少七位字符的长度，用以加强密码的安全设置。

在主目录的界面上，可以设置出有关于FTP站点的主目录和权限，再通过目录安全性的选项中，如果IP地址方式出现限制用户访问的情况，应该默认FTP服务器中全部IP地址的访问权限[2]。

三、制度Window服务器安全策略

首先需要将远程桌面窗口的默认端口修改，对系统管理员的默认账户进行重命名，同时取消正在网络连接中的文件和页面，停用打印共享，关闭guest用户使用权限。如果出现防护墙高级设置窗口，应该勾选出W服务和安全Web服务。并且还要注意开放短信的发送平台端口，设置开启Windows的防护墙。

其次，禁止Print spooler打印服务、Wireless configuration无线服务以及在局域网和广域网环境中为各个企业提供路由器服务的Routing and Remote Acces 以及远程注册表等无关服务。并且在打开注册表时，禁止IPC空连接，删除默认共享，新建AutoShareServer 把值修改为0。在用户权利分配下，通过网络访问计算机时删除权限，启用不可启动的匿名访问账号和共享。点击“开始菜单”在“管理工具”选项中选择本地安全策略，如果在设置审核登陆过程中，在事件查看器里的安全日志记录登陆失败的信息。在服务管理器的管理界面中，从“站点名称”中点击“属性”项目，需要对计算机日志的高级属性进行设置，扩充记录属性界面，保存日志地址。通过“目录安全性”选项，可记录FTP行为日志，以便惊醒计算机系统的分析和管理[3]。以此同时，记录每一个用户的FTP行为日志，在各个FTP站点启用日志访问选项。通过以上的对计算机信息化安全技术的分析和操作，我们确定从传统的计算机安全理念发展到具备可信化为重心的计算机安全，在硬件平台上引入安全芯片。例如TCP的访问控制、TCP安全操作系统的安全应用。

四、结语

随着全球经济的快速发展，科学技术也在快速的发展，其中以信息技术为代表的高新技术也开始高速发展，但是随着社会的复杂程度增加社会中的不安定因素也在增加，尤其是在高新技术领域，信息的泄露成为了目前信息技术产业厄待解决的重要问题，因此，以信息安全技术为核心，融入到服务器配置中，建立相应的安全策略，提高信息技术的安全性可以有效的推动我国信息技术安全性与科学技术的发展。

参 考 文 献

篇5

二、FTP服务器的安全配置

本地用户和组是以管理本地智能网络模块的一项管理工具，存在和运行于Windows的计算机当中，因此在Windows的安全策略中占据重要地位。通过服务器可以控制单独使用的FTP站点，可以确认用户账号安全，控制网络中有不安全性的匿名访问以及IP地址限制。在密码设置时要确认第二到第六个为止中一个或一个以上的符合或字符，并且保证至少七位字符的长度，用以加强密码的安全设置。在主目录的界面上，可以设置出有关于FTP站点的主目录和权限，再通过目录安全性的选项中，如果IP地址方式出现限制用户访问的情况，应该默认FTP服务器中全部IP地址的访问权限。

三、制度Window服务器安全策略

首先需要将远程桌面窗口的默认端口修改，对系统管理员的默认账户进行重命名，同时取消正在网络连接中的文件和页面，停用打印共享，关闭guest用户使用权限。如果出现防护墙高级设置窗口，应该勾选出W服务和安全Web服务。并且还要注意开放短信的发送平台端口，设置开启Windows的防护墙。其次，禁止Printspooler打印服务、Wirelessconfiguration无线服务以及在局域网和广域网环境中为各个企业提供路由器服务的RoutingandRemoteAcces以及远程注册表等无关服务。并且在打开注册表时，禁止IPC空连接，删除默认共享，新建AutoShareServer把值修改为0。在用户权利分配下，通过网络访问计算机时删除权限，启用不可启动的匿名访问账号和共享。点击“开始菜单”在“管理工具”选项中选择本地安全策略，如果在设置审核登陆过程中，在事件查看器里的安全日志记录登陆失败的信息。在服务管理器的管理界面中，从“站点名称”中点击“属性”项目，需要对计算机日志的高级属性进行设置，扩充记录属性界面，保存日志地址。通过“目录安全性”选项，可记录FTP行为日志，以便惊醒计算机系统的分析和管理。以此同时，记录每一个用户的FTP行为日志，在各个FTP站点启用日志访问选项。通过以上的对计算机信息化安全技术的分析和操作，我们确定从传统的计算机安全理念发展到具备可信化为重心的计算机安全，在硬件平台上引入安全芯片。例如TCP的访问控制、TCP安全操作系统的安全应用。

篇6

二、私权视角下网络服务提供者注意义务的局限性

(一)侵权法领域网络服务提供者承担注意义务的规则

互联网技术发达的美国和欧洲较早地注意到了网络服务提供者在维护个人权益安全方面的作用。因而通过国内或地区立法针对不直接提供网络内容的服务者在某些情形下承担侵权责任做出规定。以美国为例，其在《数字千年版权法案》中即以避风港规则和红旗规则为非网络内容服务提供者对版权领域内出现的某些侵权行为设定了一定的注意义务。依据避风港规则，自身不提供内容的网络服务提供者根据权利人提出的符合法律规定的通知及时地处理了涉嫌侵权的信息，便能够享受免于承担侵权责任的资格。②红旗规则是避风港规则的一项例外适用，其含义是如果侵犯信息网络传播权的事实是如此的明显，如同红旗一样飘扬，那么网络服务提供者即不能以避风港规则推卸责任，在此情况下，即使权利人没有发出请求删除、屏蔽的通知，网络服务提供者也应当对此承担侵权责任。立法者意图通过这两项规则的适用达到既能不为网络服务提供者设置过重的负担，妨碍其行业发展，又能保护相关权利人版权利益的目的，初衷不可谓不深远。我国的《信息网络传播权保护条例》、《侵权责任法》相继吸收了美国法中的这两项规则。③但在适用上做出了三点不同的变通，这表现在《侵权责任法》第36条第2款的制度设计上:其一，网络服务提供者的类型由非网络内容服务提供者扩大至其他类型的软件服务提供者;其二，侵犯的权益由信息传播权扩大至所有可能被通过网络侵犯的民事财产权及人身权;其三，改变了美国法中以网络服务提供者不承担审查义务为主要原则，仅在有限的情况下就其未尽到注意义务需承担侵权责任为辅的立法初衷，而是代之以网络服务提供者承担与实际侵权人同等程度的网络侵权责任作为一般原则，将原避风港规则中的通知和删除程序作为衡量网络服务提供者是否承担侵权责任的决定性标准。美国法中的避风港规则与红旗规则在引入我国《侵权责任法》时发生的上述变化，表明网络服务提供者需要对他人的网络侵权行为承担更为严格的侵权责任。这种以救济受害人为主要目的的侵权归责模式，源于当时出现的许多人肉搜索、网络谣言等侵权事件这一社会背景。立法者在做出这种制度设计时，更多的是基于一种政策考量，而不是从网络服务提供者本身的地位出发，规定与其能力相适应的义务和责任。这种出发点决定了第36条在适用的过程中并无法解决诸多实际问题。首先，网络侵权行为所侵犯的权利类型越来越多，不仅包括知识产权，还包括名誉权、隐私权等人格权。对于某网络用户是否侵犯了他人的权利，这其中涉及价值判断，该问题在司法实践中一般是由法院作出裁决。从根本上讲，网络服务提供者并无资格仅仅根据权利人的权利通知即采取删除、屏蔽等消除侵权信息的措施。如果无视这种资格缺陷，在知识产权领域赋予网络服务提供者以审查权限，那么鉴于此类权利的识别性较为容易，这尚且处于其能力范围之内，但在权利类型扩张到人格权的情形下，权利冲突已经变得极为复杂，网络服务提供者对此已经失去了甄别的能力。这也从侧面说明了为何美国的避风港规则和红旗规则仅适用于版权法领域，而没有扩及其他侵权情形。其次，WEB2.0技术的应用和普及，出现了博客、微博、微信等网络交流平台。原来由网络服务提供者集中控制主导的信息和传播体系，逐渐转变成了由广大用户集体智能和力量主导的体系。此外，随着用户数量的激增，信息的产生和传播呈现出海量化和碎片化的特征。网络服务提供者在这种信息流动模式下，难以行使针对具体个人权利的信息审查义务。前述两项客观制约因素决定了侵权法对网络服务提供者义务和责任的规定已超出了其能力范围之外，这种规则本身的运行并无法起到保护受害人权益，净化网络的初衷。

(二)从私权角度审视网络服务提供者义务的局限性

无论是美国法中网络服务提供者承担宽松的注意义务规则，或是我国侵权法中以严格救济受害人为主的制度设计，两者均是站在维护私权的角度对网络服务提供者应尽之安全保障义务做出规定。严格讲来，任何安全维系规则的终极目标都是为了保护民事主体的私人权益不被侵犯，这是理所应当且毫无疑问的。然而问题的关键在于实践中威胁民事主体权益的不安全因素有诸多表现形式，并非每一项都表现为直接侵权，换言之，传统的侵权归责模式并不适用于所有的安全威胁情形，民事主体个人权益的最终保护并不能都通过主动提起侵权诉讼来获得解决。这在当下层出不穷的网络安全频发的各色事件中表现的尤为明显。如2011年腾讯公司与奇虎360公司发生不兼容大战，腾讯迫使6000多万用户卸载了360安全软件。该事件本身虽是两类网络服务提供者因不正当竞争而起，表面上看，并没有直接侵犯网络用户的实际权益，但实际上腾讯公司迫使所有使用QQ的用户卸载360杀毒软件的行为正是无视这些用户的网络安全选择，间接地置其人身和财产安全处于危险境地。当QQ用户因卸载杀毒软件遭受信息泄露，实际权益受到侵犯时，却无法依据目前的私权规则提起侵权之诉保护自身权益。另一方面，依据前述我们对信息网络运行规则的解读，网络是一个纵横交错的整体性系统，所有的网络服务提供者均处于进入网络通道看门人的地位。不独网络软件服务提供商，即使是网络硬件设备提供者，也应负有信息安全保障义务。如电脑的芯片制造商，在芯片投入批量生产之前应尽可能地对其技术安全性进行全面的检测，当其在使用过程中发现存在漏洞时，也应及时采取技术修复等各种可能的措施最大限度的确保用户的使用安全。而私权规则仅针对在某些直接侵权情形下未尽到注意义务，而需承担侵权责任的软件服务提供者。从本质上看，这是将网络关系简单化为软件服务提供者与网络用户之间的债权化网络结构，从而将网络服务提供者等同于一般安全保障义务主体，忽略了信息网络其他构建者应负有的信息安全保障义务，上文所述之路由器被破译以致个人信息泄露事件即是证明。在具体的侵权法领域，网络仅是一种使用工具，网络服务提供者犹如普通的商品制造商一样，并不对任何个人通过使用该工具而侵犯他人的行为负责。综上可知，站在维护个体私权的角度看待网络服务提供者应承担的信息安全保障义务，加重了网络服务提供者对所有个体用户承担义务的负担，随着网络技术的不断纵深发展，网络用户在使用人数和行为模式上也发生了很大的变化，前述私权规则在解决具体侵权问题方面，仅具有有限的适用性。此外，该规则将保护主体限于私人用户，忽略了网络服务提供者对国家、公司等商事组织负有的信息安全保障义务，具有很大的片面性和局限性。现实情况下，面对越来越多的各类网络安全事件，私权规则中对网络服务提供者义务和责任的规定却无法适用于其中。鉴于此，我们应该跳出私权视角俯瞰整个公共领域，重新审视网络服务提供者应当负有的信息安全保障义务，该义务应具有更深远的价值取向和目标，并且配有更为细化和恰当的义务履行规则。

三、信息安全保障义务的价值取向:公共秩序与公共安全

以维护纯粹的个体私益捆绑网络服务提供者应负有的信息安全保障义务，具有很大的局限性。基于信息网络开放、互联的结构性特点，以及网络服务提供者在整体系统中所处的地位，网络服务提供者负有的信息安全保障义务应以公共秩序与公共安全为价值目标。网络空间是否存在着公共性，这是我们在理解这一价值目标时首先需要面对的问题。通常我们基于网络空间的虚拟性而倾向于淡化其公共性和社会性的一面，进而将网络社会简化为无数个用户与软件网络服务提供者之间的相对法律关系，对于网络纠纷也倾向于以纯私法的方式进行处理。网络的虚拟性是指信息的存在方式皆以文字、图形、声音、视频形式表现，而缺少现实世界中立体、固有的形态实体物。这个特点常常在视觉上给用户以错觉，认为自己脱离了群体性的生活，面对的仅仅是不可触摸的信息，而忽略了任何信息流产生和传播的背后均是人际关系在发生互动这一基本事实。物理世界中，先存在着一个公共空间和领域，而后才会产生聚合的公共行为;而网络空间的虚拟性打破了这个传统的模式，先有人与人之间的互动，而后才形成一个公共空间。换言之，不论空间的表现形态如何，只要人们以言行的方式聚集在一起，展现的空间就形成了。由此可以说，虚拟性并不排斥公共性，甚至在某种程度上，虚拟性成就了网络空间所特有的公共性。网络空间具有公共性意味着作为信息看门人地位的网络服务提供者需为空间中所有用户承担最低限度的信息安全保障义务，即维护网络公共秩序与公共安全。秩序关注的是网络空间内各类信息流的畅通、有序运行;安全强调的是不被搅扰，能够自由流动的一种状态。秩序与安全虽然指向性不同，然而两者并非可以分割，而是紧密连为一体的价值。秩序的维持有助于确保安全，而对安全的保障，也有利于秩序的实现。秩序与安全是人类生存与发展最基本的价值需求，但与现实的物理社会相比，网络社会似乎对此表现出了更强烈的需求。这主要源于两个原因:一方面，现实社会已经发展的较为成熟，形成了一套运行稳定的制度体系来确保社会秩序与安全，而对于新生的网络社会而言，面对的是一个全新的领域，建立起一套基本的秩序与安全规则，是网络社会得以运行的基本前提和保障;另一方面，与现实社会不同，网络社会中人与人之间工作、生活等各方面的交际均是以信息流的形式通过网络平台进行，这种长线距离的曲线往最容易在过程中产生波澜，因而确保个人信息在流转过程中的有序与安全成为网络社会必然的价值选择。换言之，网络世界更需要对信息产生、传播过程的管控，这迥然于现实世界对私人权利的静态保护。可以说，公共秩序与公共安全这两项价值内生于网络社会，也将伴随其永久存在和发展。网络社会对公共秩序与公共安全的渴求，在很大程度上表现为网络服务提供者需对所有用户承担信息安全保障义务。这归根结底是由网络特有的技术特征以及网络服务提供者所处的法律地位决定的。网络社会的一切活动都需借助于网络平台进行，人与人之间的行为表现为各种信息的流动，因而从技术上确保信息流有序、安全的产生、存储和传输，显得尤为迫切和重要。实践中许多危害公共秩序与公共安全的行为均是由于网络技术存在缺陷所导致。如2011年，程序员网站CSDN、天涯社区、美团网等网站数据库遭到黑客攻击，网络个人信息泄露事件曾集中爆发，上亿用户的注册信息被公之于众，其中，广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。针对这些问题，网络服务提供者与政府机构或其他主体相比，既有能力，也有条件积极、主动的进行预防和事后应对。此外，随着大数据分析技术的发展，信息越来越成为一种各类网络服务提供者争相攫取的新型资源，网络服务提供者作为受益者，理应对这一资源的有序流动和安全承担保障义务。需要说明的是，网络服务提供者以公共秩序与公共安全为价值目标承担信息安全保障义务，并非忽略对私权的保护。公共秩序与公共安全着眼于潜在不特定多数人的利益，因而对其进行维护恰恰能够最大限度地保护私权。实践中，许多个体的私权受到侵犯往往是由于网络服务提供者未尽到信息安全保障义务所致。如家、汉庭等大批酒店的开房记录泄露事件，正是因酒店Wi－Fi管理、认证管理系统存在信息安全加密等级较低问题，以致这些信息被黑客窃取、泄露，危及开房人的实际权益。

四、信息安全保障义务内容———以个人信息保护为例

在公共秩序与公共安全的价值指引下，网络服务提供者需要承担的信息安全保障义务范围广泛，既包括所有的网络服务提供者不得制造或提供危害网络公共秩序与公共安全的产品或服务，也包括需采取技术措施不断升级自身产品或信息系统，确保不会出现安全漏洞从而被他人侵入和破坏;既包括某些非内容服务提供者对用户利用平台传播与该价值目标不符的言论或行为做出禁止，也包括相关网络服务提供者在经营过程中产生矛盾纠纷时对自己行为(如不正当竞争)进行克制，避免因自己的行为将用户的基本使用安全置于危险境地;等等。如此广泛的范围使得清晰规定网络服务提供者承担的信息安全保障义务内容绝非易事。目前，网络服务提供者未尽信息安全保障义务常常表现为个人信息被非法收集、处理、利用、泄露，以致危害不特定多数人的人身及财产权益，在此以个人信息的保护为主线说明网络服务提供者应承担的信息安全保障义务的主要内容。

(一)网络服务提供者未经法律规定或用户同意不得任意收集、存储和处理他人信息

信息网络时代，信息不断的产生和流动，网络服务提供者凭借其先进的技术手段，能够对用户使用网络留下的诸多信息进行收集、存储和处理。由于个人信息能够单独或与其他信息结合识别出特定的信息主体，从而将信息主体的人身安全、隐私、财产等权益曝光于众目睽睽之下，增加受害的几率，因而对网络服务提供者收集、存储和处理个人信息的行为应当进行规制。任何网络服务提供者都不得未经许可收集个人信息，应当是一般原则。对于用户同意收集的个人信息，网络服务提供者应当在指定的收集用途范围内使用，不得超出该范围另作它途，同时也不得基于一定的目的，将该信息提供给其他主体使用。

(二)网络服务提供者需采取措施维护信息在产生及流转过程中的安全

网络服务提供者在使用信息系统对个人信息进行存储、处理时，应当采取适当的管理措施和技术手段保护个人信息安全，防止未经授权检索、披露及丢失、泄露、损毁和篡改个人信息。一般而言，网络服务提供者应从管理和技术两个方面确保个人信息的安全。网络服务提供者应当实施各项管理措施，如建立个人信息收集、使用及其相关活动的工作流程和安全管理制度;对工作人员及人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施;妥善保管记录个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施;等等。实践中，尽管不同的网络服务提供者根据自己所处的地位和提供的网络服务的不同会采取各异的管理措施，但只要最大限度的确保其管理上不存在人为的漏洞致使他人信息泄露，即可视为网络服务提供者尽到了该项义务。除了管理措施不够完善导致个人信息泄露外，技术因素是另一个重要原因。由于互联网络的发展，大量个人信息被计算机和各种网站等各类网络服务提供者存储，因而一旦网络出现系统漏洞、程序漏洞等各种危害安全的漏洞后往往会导致大规模个人信息发生泄露。从技术上而言，漏洞是软硬件在设计上存在的缺陷，攻击者能够在未授权的情况下访问或破坏系统。一个系统自时起，就一直处于漏洞发现和修补的循环之中，漏洞问题会长期存在。这种特性要求网络服务提供者应对储存用户个人信息的信息系统实行接入审查，实时注意网络异常，当发现问题时，及时进行补丁修复，并采取防入侵、防病毒等措施，增强系统的抗攻击性，确保信息安全;同时，网络服务提供者应建立网络安全日志，对重要网络系统及数据、信息及时备份。此外，一旦发生个人信息泄漏、丢失，网络服务提供者应及时通过网络、报纸、电视等媒体渠道告知受影响的个人信息主体事件的发生情况以及应采取的防护措施，以免给其造成无法挽回的损失，并且还应当及时向国家相关信息管理机构进行通报。

(三)网络服务提供者对用户违反法律、法规规定或传输信息的行为应当予以禁止

网络服务提供者应当加强对其用户的信息的管理，对法律、法规禁止或者传输的信息，应当立即予以禁止，采取消除等处置措施，保存有关记录，并向有关主管部门报告。法律、法规禁止或传输的信息，一般而言是危害国家安全、严重损害公共秩序与公共安全或有损社会风气等信息。如宣传思想的视频或文字;教授用户破解他人路由器方法的文字;某网站已被泄露的用户银行账号、身份证号等个人信息;等等。网络服务提供者对前述信息的和传输进行管理，意味着其对信息的和传输具有一定的审查义务，这不同于侵权法领域要求网络服务提供者站在私域角度纯粹依据自己的价值取向保护个体私权之情形，该项义务的履行具有较为明确的参考标准，因而也不会对用户的言论自由构成侵犯。事实上，在对用户或传输的信息进行审查方面，网络服务提供者在某种程度上更类似于一个公共管理机构，因而这既是其承担的义务，也是其享有的部分公共管理权限。

(四)网络服务提供者终止其技术服务时应最大限度的确保使用该技术服务的用户的信息安全

网络服务提供者在经营过程中，如若要停止某项技术服务，对于使用该技术的所有用户应当提前发出通知，及时提醒其继续使用将会带来的风险，以及告知其避免这些风险需要采用的措施，给用户足够的时间进行技术更换工作。如微软中国此前宣布于2014年4月8日停止对WindowsXP的支持，但考虑该操作系统在我国通信等重要行业仍占据较高比例，若立即停止将会给基础通信网络带来直接风险，威胁基础通信网络的整体安全，故其决定将与包括腾讯在内的国内领先的互联网安全及防病毒厂商密切合作，为中国全部使用XP的用户，在用户选择升级到新一代操作系统之前，继续提供独有的安全保护，帮助用户安全度过系统过渡期。网络服务提供者之所以在其技术服务结束时仍需向用户承担信息安全保障义务，源于长久以来二者之间的一种相互生存倚赖，尤其在当下的互联网行业，某类网络服务提供者在某些技术方面长期处于垄断地位，导致其地位已具有不可替代性，因而在退出时理应采取一些安全措施保护所有使用其技术服务用户的安全，避免因其退出技术服务而给用户带来人身及财产损失。在当下网络新产品或服务不断涌现的时代背景下，网络服务提供者承担信息安全保障义务的内容非常之多，不同类型的网络服务提供者承担的信息安全保障义务内容也各不相同，于此情形下，穷尽其所有的义务内容绝非易事。上述以个人信息被非法收集、使用及泄露为例说明网络服务提供者应承担的义务，仅具有概括作用，具体到实践中，每一网络服务提供者究竟有无尽到信息安全保障义务，应以公共秩序与公共安全为价值指引做出判断。

篇7

在复杂的网络环境里，用户随着自身安全需求程度的不同出现分化、形成分级。初级用户仅仅需要个人安全软件产品的防护就可以满足安全需求，免费的安全软件产品就是这类用户的最好选择。而专业级用户往往对某一类互联网操作有特殊的安全需求，比如针对网上银行的操作、针对网络购物的操作，需要专门针对这些特殊操作的安全软件提供安全防护。还有一部分用户希望安全厂商能够提供不同程度的针对个人的安全服务，为其解决所遇到的安全问题，这些个人安全服务可能是：初级的机器智能个人安全服务、按次计算的个人咨询安全服务、包月包年的安全检测服务、高端VIP安全服务等。

安全厂商可以分别通过机器智能安全检测方式、一对多的人工安全咨询方式、专家级别的高端安全服务方式，为不同的用户，根据其不同的个人安全需求，提供不同程度的个人按需服务。

卡巴斯基亚太区董事长张立申说：“互联网诱发了复杂多变的安全威胁，复杂的安全威胁促进了人们安全需求的分化，针对不同的安全需求，需要提供不同的安全产品、安全服务。从当前各家安全企业所探索的方向来看，按需提供服务将很有可能成为今后个人安全软件的一种新型商业模式，这也标志着个人安全将从产品步入服务时代。 ”

正因如此，卡巴斯基了全新个人旗舰产品――卡巴斯基PURE。作为卡巴斯基实验室的旗舰型个人安全解决方案，卡巴斯基PURE从网络威胁抵御、密码便捷管理、重要数据保护和家庭网络维护四大方面提供了完善的个人信息安全解决方案。

独享 VIP专属服务

篇8

信息资源云服务是通过云计算将分布式的信息资源进行资源整合、信息分析、数据挖掘等一系列操作后，为用户提供满足其信息需求的一种云端服务模式。信息资源云服务的客体是信息资源，主体则为云用户，在信息资源云服务体系中，大部分信息资源都存储在云端，因此，信息安全成为一个不得不考虑的问题，而这一问题牵涉信息资源云服务体系的各个方面，要想解决信息资源云服务的安全就必须结合通过云计算构建信息资源的流程及方法。信息资源云服务体系主要涉及资源层、用户层、服务层三个核心层次。

1.资源层与安全风险资源层是信息资源云服务体系的基础，旨在为用户提供满足需求的丰富的信息资源，主要通过终端输入和网络爬虫的方式采集信息资源后进行存储，建立资源池并生成信息索引。终端输入是信息资源供给方将本地的信息资源数字化后上传到云端服务器，而在数据传输过程中或许会面临遭遇网络攻击与重要信息资源被截取的可能，即信息资源传输风险，从而造成巨大的损失。资源层采集信息资源的另一种方式是网络爬虫，即网络爬虫是一种按照一定的规则自动抓取万维网资源的程序或者脚本，能在抓取一个或若干个初始网页的URL和网页内容的同时通过数据库比对、自然语言理解、交叉语言检索、数据挖掘等技术进行提取并建立自身的数据库。信息资源云服务的目的之一在于共享，但为保持各个信息资源供给方自身的优势，又有必要保留其特色信息资源，并且只能通过接口的方式访问，而网络爬虫的肆意抓取将会导致诸多信息资源供给方面临信息资源访问权的风险。另外，云存储风险是存在于资源层中的较大问题，云端数据的丢失将使整个信息资源云服务体系失去作用，例如，微软提供SIDEKICK服务曾中断了一个星期，导致用户不能访问自己的邮箱、日历还有其他个人数据，并且微软最后也承认这些数据无法恢复。因此，信息资源云服务中数据的完整性、可用性、保密性是开展云服务的基础。

2.用户层与安全风险信息资源云服务体系中资源池的构建不仅取决于云端信息资源的储备，也涵盖用户这一层面。在整个信息资源云服务体系中，云用户的信息需求直接影响信息资源的构建方向，云用户的个性化特征将指引服务模式的创新，因此，用户与信息资源云系统的交互在服务体系中担当着不可估量的角色。两者之间的交互具体体现在用户根据自身的信息需求向信息资源云系统请求服务和信息资源云系统分析用户信息行为两个方面。第一个方面，用户在请求服务前必须登入自己的云端账户以获取自己所需的信息资源。信息资源云服务的构建中用户分为普通用户和管理员用户，不同的用户拥有的权限必须有所区别。在信息资源云系统针对不同用户提供服务时，许多信息资源都要经过二次加工后才能满足用户的需求，而这类加工操作则必须由信息资源云系统的管理员才能完成，因此，权限的设定在服务中尤为重要，否则将引发管理权限风险。第二个方面，为了提供更好的个性化服务，信息资源云系统需要对用户的信息行为踪迹进行收集和分析，通过数据挖掘等技术发现用户的隐性需求，这也是云计算中普遍使用的一种方法。用户的个人信息行为属于用户隐私的范畴，因此云计算提供的服务与用户隐私间存在着持久的矛盾，对用户个人信息行为的分析是云计算提供更好服务的前提，但此举实际上又侵犯用户个人隐私。对于普通用户而言，用户隐私保护也是信息资源云服务的构建中迫切需要解决的问题。

3.服务层与安全风险信息资源云服务层为用户提供信息资源的检索、个性化定制、推送、云管理等信息资源云服务。信息资源云服务体系中使用的是公共云、私有云和混合云三种模式。信息资源公共云是第三方提供商为信息资源用户提供的能够使用的云；信息资源私有云是为一个信息资源用户单独使用而构建的，提供对数据、安全性和服务质量的最有效控制(这里的用户通常是信息资源方)；而信息资源混合云则是两种云的混合，具备两者的基础特征。在信息资源云服务中，三种云之间的访问应是无缝连接的，能够同步完成信息资源的检索、个性化定制、推送等操作，要实现这些功能，必须拥有信息资源云管理的统一标准。轻量目录访问协议(LightweightDire-ctoryAccessProtocol，LDAP)是一个用来目录信息到许多不同资源的协议，能够构建一个这样的通用平台。LDAP通过TLS(安全传输层协议)和SASL(简单认证和安全层)来保证信息传输的安全性，但最近在拉斯维加斯举办的黑帽大会上，安全研究人员AngeloPrado、NealHarris与YoelGluck披露了一种名为BREACH(超文本自适应压缩浏览器勘测与渗透)的新技术，该技术能够获取来自SSL/TLS加密网络流量的敏感信息，并且三位研究人员声称，BREACH技术能给采用加密机制、算法的大部分TLS/SSL带来巨大威胁。由此可见，数据的安全传输在信息资源云服务层中是一个很大的问题。所以，信息安全问题在信息资源云服务体系中主要体现为：信息资源传输风险、资源访问权的风险、云存储风险、管理权限风险、用户隐私保护问题、数据的安全传输等几方面，归类后，安全问题可划分为信息资源过程管理和用户管理两大模块。

二、信息资源云服务中信息安全技术的应用

1.信息资源过程管理与信息安全技术信息资源过程管理包括信息采集、信息组织加工、信息存储与检索、信息服务四大子过程。在对信息资源进行云管理之前，可根据重要性对本地数字化的信息资源和网络爬虫抓取的信息资源划分为一般信息资源、重要信息资源和信息资源。一般信息资源的目的在于分享，其重要性往往较低，在信息资源安全问题的管理上，可采用HTTP(超文本传输协议)或HTTPS(安全超文本传输协议，采用完全套接字层SSL作为HTTP应用层的子层)的方式直接进行传输，以保证其使用效率，改善用户体验。重要信息资源旨在为拥有更高信息需求的用户提供服务，包括许多经过数据挖掘、信息分析和多次加工后的信息资源，这些资源也是增强用户对信息资源云服务粘合度的重要原因之一，因此有必要对这类信息资源进行进一步的加密，实现技术为可在信息资源云服务器上部署云端加解密模块。本地的重要信息资源数字化后，经过数字水印技术和AES(AdvancedEncryptionStandard，高级加密标准)算法加密后，通过VPN技术在公网上封装出一个数据通讯隧道，上传到云服务器，而网络爬虫抓取的信息资源则直接通过云端加密模块进行加密后保存。由于通过VPN技术访问信息资源的速度会降低不少，并且许多VPN技术受网络环境及使用平台影响的复杂程度也不尽相同，因此会导致用户的使用效率受到影响。在保证信息资源安全性的前提下，为了尽可能地提高使用效率，可采用SSLVPN协议。SSLVPN结合了SSL和VPN两者的优点，SSL处于网络结构体系的传输层和应用层之间，因此SSLVPN几乎支持所有的WEB浏览器，这也意味着用户不需要为了获取SSLVPN的支持而安装第三方软件，符合云计算开发的初衷。用户通过SSLVPN协议访问重要的信息资源不仅不受平台的限制，而且能极大地提高使用效率。信息资源理论上并不适合保存在云服务器上，其资源池的建立是为了解决部分用户因地域限制等因素而无法及时获取自己所需的那些保密性较高的信息资源。为保证这类信息资源的安全，可使用多重技术，即用户将访问保密信息资源的请求经数据通讯隧道发送给信息资源的另一服务器，由该服务器将请求转发给原始服务器，并最后得到所需的信息资源，这样做的目的是为了隐藏用户的目的及信息资源请求的来源，最大限度地保证这些保密信息不被窃取。信息资源能够保证使用的前提是其完整性，为了避免由于物理因素、网络安全风险、人为因素等引起的数据丢失、信息更改的现象，应适时采用云备份与磁盘备份相结合的方式对信息资源进行数据备份。

2.用户管理与信息安全技术用户的管理主要涉及用户权限管理和用户隐私保护。根据用户层对用户的分类，不同权限的用户拥有不同的访问权，在用户权限管理上应用的信息安全技术为信息确认技术和网络控制技术。信息确认技术的核心为涵盖消息确认、身份确认和数字签名的信息确认系统，对于需要一般信息资源的用户通常可采用静态密码的方式来确认身份，访问重要信息资源的用户则必须开通动态密码服务来获取身份的确认，而针对那些与信息资源有关的用户可根据实际情况采用生物识别技术。同时对普通用户和管理员而言，两者也不能出现超越限制权限的行为，否则会引起信息资源云服务的隐性风险，因此云服务器有必要通过网络控制技术来规范其行为，最典型的即为防火墙技术，通过该技术既能够允许获得授权的外部人员访问云服务器，又能够识别和抵制非授权者的访问。实际上，现有的防火墙技术并不能完全保证信息资源的安全，也存在被黑客突破的可能性，一旦突破，信息资源将完全呈现出来，同时外部用户的身份认证技术也无法解决这一问题，为此需要对信息资源本身的文件操作制定相应的规则，而这一技术就是主动防御系统(Host-basedIntrusionPreven-tionSystem，HIPS)。HIPS不仅能够限制用户的行为，也能保护用户隐私。HIPS包括应用程序防御体系、注册表防御体系和文件防御体系，通过定制合适的规则可实现对运行程序、注册表和文件读写操作的控制，在一定程度上可防止用户访问权限外的信息资源，同时也能保证用户的行为不被云服务器肆意跟踪。以上几种信息安全技术的综合应用将使用户管理更趋科学化、合理化。

篇9

首先是安全咨询。以“业务需求管理”为核心出发点，依托ISO27001、ISO17799等国际信息安全标准和法规及行业规范，融合自上而下的指导方针、管理策略、业务流程运行规则、系统操作指南，建立信息安全管理体系。

其次是安全培训。安全培训旨在提高客户的信息安全意识和技能，为最大程度上提高客户的整体安全防卫意识和安全防卫技能，真正把信息安全管理体系落到实处，提供强力有效的技术支撑保障。

再次是安全评估。对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性评估，为客户信息安全管理体系策划提供基础。

最后是安全加固。结合等级保护国家政策及行业规范，通过现场调研，合理使用安全加固工具等为客户提供安全加固服务，主要提供主机加固、系统加固、数据库加固、应用服务器加固、应用加固等服务，安全补丁、安全策略调优、配置优化等服务。

七大监测服务主要包括下几个方面：

第一，“睿眼”外网安全监测预警服务平台是一套软硬件一体化监测平台，以大数据技术为依托，集成了Web漏洞扫描检测技术、采用远程监测对外网网站提供7×24小时实时安全监测服务。通过对网站的不间断监测服务及时发现威胁，从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。

第二，“睿眼”移动安全监测预警服务平台，为政府和企事业单位搭建一个应用App统一存放、统一管理、统一安全监测的AppStroe平台，通过此平台进一步提升用户办事体验，同时方便国家、省部级对下级单位进行移动App管理和统计。

第三，“睿眼”内网安全监测预警服务平台，基于对内网网络系统安全运行的考虑，平台提供对内网的实时安全监测、分析和预警功能。

睿眼通

睿眼通是七大监测预警服务平台提供给客户的一款智能移动终端，基于客户对信息安全情况的即时需求，以七大监测预警服务平台监测结果为主线，可以成为客户处理信息安全问题、了解安全状态趋势、掌握最新安全资讯的贴心助手，随时随地了解网站及信息系统等的整体运行情况。

信息安全应急响应指挥平台

应急响应指挥平台通过各大监测预警服务平台实时监测结果，对告警的安全故障或安全威胁，以最短的时间进行故障排查定位和应急处理。

安全产品

公司安全产品包括堡垒主机系统、系统安全加固、审计系统和信息共享管理系统。

（1）堡垒主机系统。堡垒主机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。堡垒主机系统软件扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。

（2）系统安全加固。系统安全加固V1.0产品是软硬件相结合的产品，通过硬件USB-KEY，提高了服务器系统的安全性，克服单纯使用软件防护的局限性；软件部分包括服务器操作系统安全增强软件、服务器安全，以及统一安全管理平台软件。

（3）审计系统

①日志审计系统。日志审计系统一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生，另一方面日志审计系统强大的日志审计功能可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

篇10

随着云计算蓬勃发展，云安全问题日益突出，云平台安全服务产品应运而生。文章对业界领先云服务提供商的云安全产品体系和发展策略进行了研究，并结合电信运营商特点，提出了电信运营商发展云平台安全服务产品的思路与建议。

关键词：

运营商；云平台；安全产品

1引言

近年来，随着云计算技术和应用的高速发展，国内外互联网巨头和电信运营商纷纷发力，投资建设高标准、大规模的云计算数据中心，作为承载自身业务和系统的重要IT基础设施，并基于多种服务模式，为客户提供可灵活定制、弹性扩容的云计算整体解决方案。根据SynergyResearchGroup年初的数据显示，全球云服务市场年均增长率达到28%[1]。然而在云计算蓬勃发展的背后，云服务宕机、云平台自身安全漏洞频现、针对云服务的网络攻击愈发增多等云安全问题日益突出。当前，用户对于云安全的需求主要集中在云应用安全、虚拟机保护、DDoS攻击防护等方面，需要云服务提供商制定集中化、显性化和标准化的安全策略，并通过针对性的安全服务或产品，构建多维度、多层次的云平台安全防御体系，切实保障客户云端业务的安全顺畅运行。

2业界领先云平台安全产品提供商对标研究

AWS（AmazonWebServices）云安全，将云服务与云安全高度结合，通过多种途径持续提升和整合安全能力，使AWS云安全产品成为AWS云服务的重要组成模块。AWS从应用安全、网络安全防护和事件管理等维度为用户提供Web应用防火墙、应用程序自动化安全评估、云监控、配置托管、云追踪等安全服务，并通过在全球合作伙伴计划中加强与安全解决方案提供商的合作，构建安全的云平台。Amazon还采用产品融合、共享客户资源形式吸纳合作方，同时引入数据库、网络、应用层面的安全厂商，形成对云安全功能的全面覆盖。在产品发展策略上，AWS保持云服务领域价格优势的同时加大安全管理投入，建立安全与服务的良性循环，持续整合产业链各环节的资源和能力，不断壮大云安全生态圈，完善云安全产品体系。阿里云安全，经历了云服务安全、云安全产品、云安全解决方案三个发展阶段，凭借强大的研发优势自主开发云盾系列安全产品，为客户提供层次化的立体安全服务。阿里云安全产品体系包括服务器安全、Web应用防火墙、DDoS高防IP、移动安全、数据风控、阿里绿网、加密服务、安全管家等产品，涵盖主机和网络安全、移动安全、数据安全、业务安全、内容安全以及安全技术和咨询服务等多个领域。阿里云基于大数据安全分析技术推出的态势感知产品，具备安全监控、入侵检测、弱点分析、威胁分析等功能，能够辅助客户建设自己的安全监控和防御体系。阿里云在推动自身产品创新和发展的同时，还广泛与国内外专业安全厂商合作，开放资源，共建云安全生态。作为北美电信巨头，Verizon较早将战略聚焦在云安全能力提升上，通过一系列收购、合作形成云安全产品的全球服务能力。Verizon企业级安全产品品类丰富，包括DDoS攻击防护、网络威胁监测/网络威胁高级分析、可管理安全服务（MSS）、统一安全服务、威胁与漏洞管理等，能够为企业用户提供综合的网络和信息安全服务。Verizon认为安全的云平台具备三个特征：强大的逻辑和物理安全控制手段，稳健的治理、风险和合规性策略以及丰富的增值安全服务。Verizon的可管理安全服务能够主动识别漏洞并优先处理云端威胁，改善IT安全策略和流程进而提升云计算安全，实现风险管理。在Gartner的2015年全球MSS市场魔力象限分析报告中，Verizon再次评选列入领导者象限。IBM云安全，通过其设计灵活的DynamicCloudSecurity产品组合为用户云计算中的工作负载提供分层防护[2]。IBM从访问管理、数据保护、可视化和优化安全运营等维度为用户提供云身份管理、云访问权限管理、云应用安全、云网络安全、终端管理、云安全情报、云安全管理服务等云安全产品。IBM具备的专业服务与整合能力以及可扩展的开发者关系优势，在混合云模型中尤为突显，在产品发展策略上，IBM充分利用其混合云优势，同时整合其他云平台推出关键，逐步形成自身完善的云安全产品体系。综上所述，国内外领先云服务提供商纷纷推出云平台安全产品以强化自身在云计算市场上的竞争优势。他们或采用合作共赢的策略建设云安全生态圈；或整合多层级的云平台安全防护产品，形成一体化的安全服务体系，其发展思路和产品策略可以为电信运营商所借鉴。

3电信运营商发展云平台安全产品的思路和策略

经过近年来的技术积累和大规模投资建设，电信运营商不同服务类型的云平台在规模商用阶段取得长足发展，并进一步凭借资源优势、网络优势、云网协同解决方案等持续拓展云计算市场。另一方面，电信运营商在网络和信息安全防护方面有着丰富的经验，面向企业和公众客户逐步推出涵盖应用、网络、终端等领域的云安全产品和服务，如云Web应用防护、DDoS攻击防护、移动终端防护、安全专家服务等。不过当前电信运营商的云平台安全产品体系普遍存在产品品类不足，核心功能有待完善，尚未实现内外部资源整合，难以满足广大云平台用户对安全服务的迫切需求等问题，同时欠缺整体的云安全产品规划和研发过程管控，互联网化运营资源和经验不足，客户需求响应速度有待提升。在上述背景下，电信运营商若要在激烈的市场竞争中占据主动地位，需要依托自身强大的网络资源、运营经验和渠道优势，联合业界领先的安全产品和服务提供商，深入挖掘云平台客户痛点，分步骤有序地发展重点产品，逐步构建并完善云安全产品体系，对外提供多维度、层次化的云安全服务能力，以持续性创新应用满足多样化的市场需求。云平台安全产品的目标体系可分层搭建，其中电信营商一体化的业务支撑体系、基于客户的云安全产品商业模式和云平台基础设施资源构成了整个目标产品体系的基石，也是对内部资源和商务体系中所有参与者整合所建立起的价值活动平台，将电信运营商与客户和产业链其他角色连接起来，实现高效的价值创造、交换和分配。目标体系的底层由可快速部署、灵活易用的安全服务单产品组成，此类产品技术成熟度较高，具备功能单一、可单独计费销售的特点。综合考虑目前产品成熟度和市场规模，结合业界标杆企业对比分析，以及客户的接受程度、业务吸引力等，在现有的云WAF、DDoS攻击防护等基础产品上，积极引入具备高级威胁防御、威胁预警能力的云安全Web网关，以及Hypervisor安全保护、vFW、云IDS/IPS等虚拟化级云安全产品，主要客户包括Web服务的受众、云托管网站、各类企业用户等。目标体系的中间层以安全信息和事件管理（SIEM）为核心，运营商可以采取与业界领先的服务提供商合作，构建面向云服务的SIEM平台，提供云中监测、云中审计、违规分析等功能，并为客户提供灵活多样的报表服务，进一步可根据不同应用场景及客户需求，与其他基础安全产品整合或根据行业特殊性形成安全服务包，面向具有较高信息安全要求的行业客户如金融、政府机构等。目标体系的顶层主要提供高端增值业务，如渗透测试、风险评估、安全调度以及完整、系统的客户解决方案。电信运营商可以采取自研自建与外购安全产品结合的方式完善云平台安全产品体系。基于运营商大网能力自行开发与云服务深度融合的核心安全产品，同时通过采购专业安全企业的成熟产品来扩展云安全产品业务线，增强相关竞争实力，建立并依赖合作伙伴生态圈，整合多样化的合作供应商和安全产品供用户选择，满足客户端到端的云平台安全需求。

篇11

中图分类号：C270．7 文献标识码：A 文章编号：1001-828X（2012）07-0-01

网络时代的到来，使得各行业的工作方式发生了根本变化。对于排水行业而言，对排水信息的日常归档和管理也已主要借助计算机来完成。网络环境的运行，对排水档案信息的整理、细化和储存，都带来了极大的方便，但凡事都具有两面性，在方便排水档案工作的同时，也对档案信息的安全服务提出了更高的考验。如何使网络环境下的排水档案信息更安全地服务于经济社会的发展以及生态环境的保护呢？

一、保证网络环境和硬件设施的安全

网络环境和硬件设施是排水档案信息存在的依附体。只有保证二者的安全，才能保证排水档案信息的安全。环境安全主要是指计算机等网络设施存放环境的安全，能确保网络资源的信号畅通，并处于良性运转状态。硬件设施安全是指计算机的各个部分都能正常使用，不会因故障而导致排水档案信息无法正常查找和使用。

二、保证网络资源的全面建设和安全管理

为保证排水信息能更有效地进行管理，并能在需要时随时查找到，可在排水行业内部根据区域或者单位建立起局域网，使局域范围内的排水档案信息实现资源共享，能在出现任何排水问题需要档案信息调度时，可以通过局域网站内部的查找，及时地拿到需要的资料，并尽快解决问题。局域网不仅可以极大方便工作，而且能通过信息输送，及时保证排水系统的安全隐患得到排查，保证一个城市或区域的用水安全，并能在洪涝灾害等特殊情况下，保证城市或一个区域的整体安全。局域网建好后，还应注意随时维护，并加强对网络资源的管理，能及时更改新的排水系统信息，及时行业内的最新动态，以利于相关工作人员的工作开展，利于整个行业工作的正常有序运作。同时，还应注意警惕病毒的入侵，防范恶意更改，加强对排水档案信息的安全管理。

三、建设好数据库，保证排水信息基本资料的安全

排水行业内部的资料是非常复杂的，仅就一个城市而言，整个城市的排水管道情况、排水设施情况以及容易出现问题的排水系统情况等等，都需要在排水档案信息中有较详细完整的记录和存储。这些庞大复杂的资料，在网络时代之前，需要耗费工作人员大量的时间进行随时记录，并占用大量的空间进行保管存档，还极易面临信息丢失或者不完整等不安全情况，而在网络环境下，这种不安全因素得到了很好的解决，只要建立起一个数据库，便可以将所有的排水档案信息存储起来，并且信息资料更清晰，更方便查找，容易保存。当然，应对数据库做好安全管理工作，保证电脑的正常运行，数据库的存储完好无损，避免排水档案信息的遗失，从而可以保证排水行业安全工作和为民服务安全到位。

四、做好排水文档一体化工作流安全体系设计

数据库的建设及使用，还需要做好网络环境下文档一体化工作流安全体系设计，这是一系列更为具体的工作，具体内容涵括：归档电子文件的采集、鉴定、整理、录入、归档保管、移交、使用以及归档管理者责任界定等各个环节，在这些环节中，要保证环环相扣，有序运作，各个阶段的工作必须保证做到位，并保证信息的准确无误，丝毫的差错可能会酿成整个排水档案信息的大错，使得整个数据信息无法安全使用。对整个流程进行安全体系设计，将是保证排水信息准确无误，安全使用，保证排水行业工作安全的有效途径。

五、完善智能档案信息管理系统

通过进一步完善排水档案的动态信息与静态信息建设，对城市排水档案进行综合化、模拟化分析，构建污水处理厂调度、泵站调度等相应模型，并且随着时间的推移而不断补充、修正、完善。当完成城市排水档案的信息化、数字化建设之后，将转变传统的纸质文字、图像、声音存储模式，将重要材料分布于网络媒体中，并通过计算机网络实现资源共享、信息共享。通过档案信息建设，对城市排水管网、污水处理厂、泵站等动态信息进行综合管理，可以通过计算机浏览，并且任意放大、缩小、移动等；同时系统还可以与相关数据库进行连接，实现数据的实时交换，同时采取必要的安全防范措施；系统界面以中文为主，一切功能通过菜单进行操作，在输入属性资料过程中，可以对选项菜单进行优化，以提高参数记忆能力；同时系统的操作应注意安全性，由专人负责管理，避免数据内容的任意篡改或删除；通过应用网络信息，实现了信息共享，更利于提高城市排水管理单位的交互性。

六、提高排水行业工作人员的网络工作能力和安全意识

网络环境下的档案工作人员，必须适应新的形势，转变观念，改变原有的人工为主的档案整理保管工作，而逐渐学会运用计算机，并能逐步熟练各项操作，以保证排水档案信息在网络时代，能更安全有效地管理。工作人员业务素质的提高，需要一个过程，不可急于求成，避免工作人员技术不到位即上岗操作，对排水信息的安全存储带来麻烦，出现信息遗失等错误，影响整个排水信息的安全服务。另外，应聘请专门的网络技术人员，对习惯于手工操作的老员工进行专门培训，使他们尽快学会相关的技术工作，准确进行计算机操作。同时，在加强业务素质提高的同时，应同步提高他们安全保管信息的意识，以保证所有排水信息的安全完整。

七、结语

网络环境下，排水行业各单位应积极转变观念，充分利用计算机带来的便捷，并加强排水档案信息安全意识。建好数据库，设计好文档一体化工作流安全体系，开设局域网并进行安全管理，同时提高工作人员的业务技能和安全意识，从各环节全面做好工作，以保证排水档案信息的服务安全。

参考文献：

[1]赵毅强,张晖.网络环境下档案信息服务安全对策[J].黑龙江档案,2009(03).

篇12

中图分类号：F713.5　文献标识码：A　文章编号：1003－3890(2011)11－0039－04

一、引言

网上银行能够为用户带来许多快捷便利的服务，为银行节省巨大的成本费用和带来更多利润增长点，于是各大银行都积极拓展网上银行业务，工行、建行、农行、中行、招行已成为国内网上银行交易额排名居前的银行。为了消除客户对网银安全方面的担忧，网银都纷纷加大了技术力量的投入，推出了各种信息安全产品。易观国际的《中国网上银行用户研究报告2009》显示，工商银行的U盾、电子银行口令卡，用户覆盖率为53.3％，排名第一，建设银行的网银盾，用户覆盖率为39％，招商银行的免驱动“优key”，用户覆盖率为30.2％，农业银行的K宝，用户覆盖率为21.8％，中国银行的免费动态口令牌，用户覆盖率为14.1％，在保障网银客户信息、资金的安全方面取得了显著成效。

然而，我们对网上银行客户论坛数据的跟踪调查结果显示，客户在使用网银及其信息安全产品的过程中，仍然存在很多问题，这主要是因为网银提供的信息安全产品以及相关的服务与顾客所期望的服务存在一定的差距，即顾客感知的服务质量差距。本文试图从服务营销理论中的服务质量差距模型出发，分析出网上银行信息安全产品的服务质量差距的种种具体表现，识别出影响网银信息安全产品服务质量差距的主要因素，分析服务质量差距产生的主要原因，为研究服务质量差距弥合策略提供有价值的依据。

二、服务质量差距模型概述

服务质量差距分析模型是由美国的服务管理研究组合PZB(A.Parasuraman,Zeithaml，V.anLBerry)于1985年在长期实践基础上提出来的，如图1所示。

该模型将服务质量差距分为以下几个层次：

顾客期望与企业感知的差距，指企业没有能够准确地感知到顾客对服务的期望。

企业感知与服务标准的差距，指企业没有能够准确地设计出服务标准。

服务标准与服务传递间的差距，指企业的服务传递没能达到其所制定的服务标准。

服务传递与外部沟通间的差距，指企业提供的服务与对外沟通中所做的承诺不一致。

顾客期望与顾客感知间的差距，指顾客所感知到的服务质量与其预期的不一致。

该模型认为：前面4个服务质量差距是供应商差距，属于企业内部行为，由于一个或多个供应商差距的存在，导致了顾客感知的服务差距，虽然我们关注的核心是顾客差距，但是弥合顾客差距的关键在于弥合所有的供应商差距，并应使其处于持续弥合状态。服务质量差距模型层次清晰，简明易懂，是发现顾客与企业对服务质量的感知差距的一种直观而有效的工具，为企业诊断影响服务质量的因素提供了一条实用的路径问。

三、网上银行信息安全产品的服务质量差距分析

从服务质量差距分析模型出发，将面向顾客的外部沟通归纳到服务传递差距中，结合现今各大银行提供的网上银行信息安全产品及其相关服务，并根据对各大网银的网上论坛以及对传统网点顾客的问卷调查，我们可以清晰地分析出网上银行信息安全产品的服务质量差距的具体表现及其产生的原因，归纳出影响服务质量差距的各种主要因素，为网银制定信息安全产品的服务质量差距弥合策略提供依据。

(一)网银信息安全产品的顾客期望与银行感知的差距

当银行推出网上银行及其信息安全产品与相关服务的时候，由于互联网信息技术是一个全新的领域，银行常常会根据以往的经验来认知顾客的需求，而顾客则是通过售前宣传册、广告、对互联网服务的一些体验经历、相互交流等途径来期望这种全新产品及其相关服务，银行对顾客需求的认知和顾客的期望之间通常会产生一定的差距，这些具体表现如表1所示。

从表1我们可以看到，网上银行最为关注的是安全性，主观地认为只要安全性提高了，顾客就会满意，而顾客除了关注安全性外，还会更加关注价格、方便性、易用性以及出现问题后网银的解决速度，其对产品与服务的期望贯穿了购买、使用的全过程。由于我国银行业一直以来都是垄断行业，银行的服务意识一直比较薄弱，对顾客需求的挖掘不够重视；而且，网上银行是一个以互联网信息技术为基础的新生事物，近几年发展极为迅猛，网上银行和传统银行网点的管理层与员工对网银及其信息安全产品的认识也都极为有限，传统银行网点通常会认为其只需负责为顾客办理开通网上银行业务，销售网上银行信息安全产品，而与网银及其信息安全产品的相关服务都属于网上银行部门的责任范畴，这些都是导致银行认知与顾客期望之间产生差距的主要原因。

(二)网银对顾客期望的认知与服务设计的差距

一旦识别出顾客对网银信息安全产品及其服务的期望，网银管理者面临的下一个挑战就是如何准确地把对顾客期望的认知转化为具体的服务。网银管理者对顾客期望的认知和他们基于这些认知所设计的服务标准之间，通常也会产生一定的差距，具体表现如表2所示。

基于网银管理层对顾客期望的认知和服务设计之间所产生的差距，主要体现在没有考虑不同信息技术知识结构、不同收入层次的顾客对网银信息安全产品及其服务的需求，如大部分信息化程度较低的顾客仍然需要面对面的指导，对于收入较低的顾客，60元～100元的价格将是一个很高的门槛，因而产品的丰富多样性不够；再有，过分依赖网上的自助操作指南，与传统网点的沟通、协调、分工不够明确，对网点员工对网银的宣传、传播角色的服务设计不够；此外，没有把握好安全性与便捷性之间的平衡，过分强调了安全性，忽视了方便性、易用性、便捷性的服务设计，对新顾客的促销活动较多，而对老顾客的优惠活动的设计却很少，对特殊问题的服务模式设计不足。

(三)网银信息安全产品的服务设计与服务传递的差距

正确的服务设计和标准确立以后，网银还必须确保系统、流程、人员全部到位，才能保证服务传递与正确的服务设计和标准相匹配，否则就会导致网银员工的实际服务绩效与服务设计标准之间产生传递差距。网银信息安全产品的服务传递与服务设计之间的传递差距的具体表现如表3所示。

网银信息安全产品的服务传递差距主要表现在服务传递过程中面向顾客的外部沟通不足，没有充分利用传统网点及其网银体验中心进行顾客教育与培训。因为网上的自助服务指南只能满足信息化程

度较高的顾客，而对于大部分信息化程度较低的顾客还需要传统网点面对面的指导与培训，对网银信息安全产品这样一个全新的服务面向顾客的服务承诺也有欠缺，使得顾客不能完全放心地使用网银。其次，银行对传统网点员工信息化程度的提升、培训、约束和激励措施不足，传统网点员工的信息化程度普遍比较低，不能有效、及时地解答顾客在安装、使用、更新网银信息安全产品时所遇到的问题，对顾客的主动宣传力度也不够。另外，对老顾客的关注与优惠不足，U盾驱动程序版本过多，升级频率过高，安全控件安装和更新的提示页面会对顾客造成一定的心理负担，对特殊问题的解答不够及时等方面也存在一些服务传递差距。

(四)网银信息安全产品的顾客期望与顾客感知差距

享受任何产品及其服务的顾客都会自觉或不自觉地把自己所感知的服务质量与其所期望的服务质量进行对比，顾客所期望的服务和感知到的服务不一致时就会导致顾客感知的服务质量差距。网银对顾客期望的认知，信息安全产品设计的服务标准与实际传递的服务，最终都将导致顾客对网银信息安全产品服务的期望与其对服务的感知出现差距，具体表现如表4所示。

篇13

（一）个人资料收集中的隐私权问题

档案是一种重要的原始信息，且具有保密性。其中包括公民的一些重要的个人信息，大多数鲜为人知。虽然档案法对保密档案的管理和利用、密级的变更和解密都作了严格的规定，同时制定了档案的开放期限，但其法律相对方主要是机关、团体、企事业单位，对于个人重要档案信息没有给予明确的说明。事实上，在档案所有人向档案馆移交、捐赠、寄存或档案馆自行收集关于公民的档案之初，就应妥善处理好隐私权问题。

隐私权保护问题在传统的个人资料收集过程中并不太引人注目，但在网络化的今天，档案馆通过网络收集个人资料变得快捷化、自动化、详细化，隐私权问题相对也就更加突出。比如，档案网站在接受访问时往往要求用户提供若干个人资料，包括年龄、性别、身份证号、职业、收入、工作单位、研究方向、联系电话、传真、电子信箱等；档案网站可以利用一些追踪软件来持续掌握用户的网上行为，判断他们的档案信息消费特点。

档案网站采用先进的技术手段收集个人资料并非出于恶意，目的是通过对个人资料的分析与挖掘，找出可能连用户自己都没有意识到的档案信息消费习惯或消费需求，改进服务工作，这是网络环境中档案信息服务和信息产品开发“量身定制”的个性化、多样化的要求。但是，档案网站在用户毫不知情或无可奈何的情况下（例如有的网站拒绝为不提供个人资料的用户服务）收集个人资料，就会侵犯用户对其个人资料的占有权和支配权。

（二）个人资料传输和贮存中的隐私权问题

档案信息传输和贮存过程中所涉及的隐私权问题，主要出现在档案信息网络化过程中。

网络本身的安全性并不十分可靠，这是档案信息网络化服务中可能产生隐私权问题的又一个原因。由于技术的不完善，第三方（如“黑客”等）对当事人隐私权的侵犯既可以发生在档案馆与用户通过网络传送个人资料或不同的档案网站之间共享个人资料的某个环节，也可以发生在档案网站贮存个人资料的过程中。比如，第三方可以直接侵入档案网站的用户数据库，观看、篡改、传播个人资料，如果这种行为是出于恶意，那么当事人的隐私权无疑将受到极大的威胁。

（三）个人资料利用中的隐私权问题

不恰当地利用个人资料是档案信息服务中可能产生隐私权问题的第三个原因。

档案利用与隐私权保护之间存在着矛盾，档案利用必然涉及到公民的隐私权保护问题。如果涉及隐私的档案被自由利用，就可能导致政治与经济活动的混乱，使社会公民产生生活危机感，给社会的安宁团结带来不利因素。因此，如何认识和正确处理好档案利用与保护公民隐私权问题，是档案利用工作在改革开放过程中的一个重要课题。由于这种侵权往往涉及到档案馆的管理职能及档案馆对个人资料的常规使用，所以控制和防止此种侵权的困难较大。

由于各种原因，目前在档案开放利用工作中公民的隐私权得不到应得的保护甚至被人们所忽视，这无疑给档案信息服务工作带来了一定隐患。在目前我国隐私权的观念尚未深入人心，在人们普遍缺乏隐私权保护意识的情况下，档案部门在开放利用中忽视隐私权保护的行为还能被社会所容忍。但伴随着我国法制化建设的进程，公民隐私权意识的加强，档案部门在实际工作中如不能很好地贯彻法律的规定，忽视了对公民隐私权的保护，那么将会在很大程度上影响档案信息服务工作的开展。

二、档案信息服务中保护隐私权的对策

要使得公民的隐私权在档案信息服务过程中得到保护，必须走依法治档的道路，进行相关方面的档案法律建设。目前我国《档案法》中没有明确规定档案信息所涉及的隐私权问题，仅在部分条款中作有类似说明。

在档案信息服务过程中，档案利用是涉及隐私权的一个关键环节，在利用时应区别对待，通过控制使用这些涉及私人权益的档案，限制其利用范围，使隐私权受到必要的保护，做到合法利用。

做好档案信息服务中的隐私权保护，档案界和档案馆还应采取以下对策：

（一）制定档案行业的隐私权保护政策

1997年9月27日，国家档案局、国家保密局联合颁发了《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》。该文件对于有效预防在档案开放利用工作中发生对个人隐私的侵权，起到非常重要的作用。

（二）加强对个人档案隐私权的管理与技术保护

1.在档案管理中采取措施

这是合法利用档案信息的前提条件，要求对涉及公民隐私权的档案进行鉴定与区分，使之与一般档案区别对待，分开保管，做到有关档案的完整、安全和保密。目前，档案法规对涉及公民隐私权档案的划分并不十分明确，在实际工作中不易操作，这种状况亟待改善。

2.网络化过程中的保护手段

相对于传统的纸质档案而言，在档案信息网络化过程中，可以采取的技术保护手段可谓多种多样。现在已经有了Cookies软件管理工具、个人隐私偏好平台（P3P）、加密软件、自动删除个人资料软件等由用户自己保护个人资料的技术。档案网站保护个人资料的技术也有很多种，比如：档案馆为了禁止未获授权的人截取或查阅个人资料，可以通过设置本网站运行的服务器，自动使电子邮件传输到一个预先指定的服务器目录机密邮箱，只供获得授权的人查阅。

（三）提高档案馆保护隐私权的自律性

“自律”是档案馆保护隐私权的一条重要原则，即通过档案馆采取自律措施来规范自己在个人资料收集、存贮、传输利用中的行为，达到保护隐私权的目的。

1.档案馆应开展档案开放利用的鉴定工作

组织鉴定小组及时鉴定需要开放利用的档案，着重分析档案涉及隐私的内容和本馆档案的类型，从而确定哪些档案涉及个人隐私，属于控制范围。对个人资料的重要程度划分等级，以决定采取不同的保护措施。档案馆还要建立一些规章制度，避免使所有的档案馆人员都能接触到敏感的个人资料（如出身、种族、政治倾向、、犯罪记录等），确保只有经过批准的档案馆人员才能收集、查阅、传播这些个人资料。对于已到开放期的档案，要严格按照《各级国家档案馆开放档案办法》、《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》中的相关规定，对拟开放档案组织认真鉴定，以决定包含个人资料的档案的开放时间、开放方式和范围。