企业网络安全法规
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业网络安全法规范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业网络安全法规范文第1篇
关键词:网络安全;防火墙;网络管理;VPN
一、 前言
我国的网络安全产业经过十多年的探索和发展已得到长足了发展。特别是近几年来,随着我国互联网的普及以及政府和企业信息化建设步伐的加快,对网络安全的需求也以前所未有的速度迅猛增长,这也是由于网络安全问题的日益突出,促使网络安全企业不断采用最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,也进一步促进了网络安全技术的发展。
二、 企业网络安全系统现状
如果想从根本上克服网络安全问题,我们需要首先分析距真正意义上的网络安全到底存在哪些差距。
就目前而言,企业的网络安全还存在这样或那样的问题,离真正的安全的网络还有不可逾越的差距。
1. 网络安全管理体系不完善,需要通过实施策略对流程进行细化,其它体系也需要按照网络安全管理体系和流程要求不断完善其内容。
2. 涉及网络安全的各个层次,特别是基层人员对网络安全工作的重要性认识不足,必须强化把网络安全作为一项重点工作开展,并对如何开展安全工作和需要做哪些安全工作、达到什么目标有明确要求。
3. 网络安全管理组织不完整,现阶段网络/应用系统的安全工作基本上由各维护单位和人员承担,安全责任相对比较分散,存在一定程度的安全责任无法落实到具体人的现象。
4. 具有普及性的安全教育和培训不足,人员信息安全意识水平不统一。
5. 在物理与环境安全、系统和网络安全管理、系统接入控制方面仍然存在一定差距,在安全策略、安全组织、人员管理、资产分类控制、安全审计方面存在明显不足。
6. 防病毒系统没有实现整体统一,存在防病毒的局部能力不足。
7. 网络/应用系统防护上采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
8. 对终端管理没有统一策略,操作系统版本、操作系统补丁等没有统一的标准和管理。
9. 没有应急响应流程和业务持续性计划,发生安全事件后的处理和恢复流程不足,对可能造成的业务中断没有紧急预案。
三、企业网络安全对策
现阶段,为了保证网络的正常运行,可采用以下几种技术方法:
1.防范网络病毒。网络病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。所以,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.设置防火墙。利用防火墙在网络通信时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3.VPN: 企业规模的扩大,不同分支机构之间的网络连接既要考虑到安全可靠,又同时要考虑到成本问题,所有的网络通讯均使用专线连接固然是安全,但成本因素却是无法回避的问题。因而,安全、廉价的VPN技术应运而生并得到了广泛的应用,通过在网络边界处架设VNP网关,实现企业的分支机构间通过Internet实现安全可靠的低成本连接。
4.采用入侵检测系统。入侵检测系统能够识别出任何不希望有的活动,并限制这些活动,以保护系统的安全。内部局域网采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整的主动防御体系。
5.建立网络安全监测系统。在网络的www服务器、E-mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获网上传输的内容,并将其还原成完整的www、E-mail、FTP、Telnet应用的内容,同时建立保存相应记录的数据库,发现在网络上传输的非法内容,及时向上级安全网管中心报告,予以解决。
6.利用网络监听并维护子网系统安全。对于网络内部的侵袭,可以采用对各个子网建立一个具有一定功能的过滤文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的过滤文件提供备份。
7.安全技术培训
提供层次化的安全专题讲座,包括安全技术基础、各操作系统安全、信息安全管理以及一系列培训。
四、结论
综合以上的分析,我们可以得出一个结论:那就是企业当前所面临的安全形势在变得更加严峻,不同种类的安全威胁混合在一起给企业网络的安全带来了极大的挑战,从而要求我们的网络安全解决方案集成不同的产品与技术,来针对性地抵御各种威胁。我们的总体目标就是通过信息与网络安全工程的实施,建立完整的企业信息与网络系统的安全防护体系,在安全法律、法规、政策的支持与指导下,通过制定客户化的安全策略采用合适的安全技术和进行制度化的安全管理,保障企业信息与网络系统稳定可靠地运行,确保企业与网络资源受控合法地使用。
参考文献:
[1]卢开澄:《计算机密码学—计算机网络中的数据预安全》(清华大学出版社 1998)
[2]余建斌:《黑客的攻击手段及用户对策》(北京人民邮电出版社 1998)
[3]蔡立军:《计算机网络安全技术》(中国水利水电出版社 2002)
企业网络安全法规范文第2篇
[关键词]大数据;中小企业;网络营销;网络信息
1.引言
“大数据”是现代高科技时代的产物,2012年起被越来越多的国人提及,这不仅是技术上的变革,更是为我们提供了一个有效方法,对社会经济生活各个领域产生了深远的影响。据CNNIC的第36次《中国互联网络发展状况统计报告》,截至2015年6月,我国网民规模达到6.68亿,互联网普及率达到48.8%,通过互联网,掌握和使用大数据,可以为中小企业制定新营销方案提供依据,为企业创造更多财富。
中小企业以其独特的优势在国民经济发展中占有越来越重要的位置,成为经济的新增长点,解决了社会就业难题,对于建设和谐社会具有不可替代的作用。网络营销是借助互联网信息技术以实现企业营销目标所开展的各种营销活动。在大数据时代,有很多我们以前不敢想的事情发生,例如,在淘宝平台,商家可以经过大数据的筛选,了解整个行业各品牌的销售状况,了解商家的排名和消费者的消费喜好。随着网络营销在中小企业中的普及率不断提高,有必要分析大数据时代下中小企业网络营销存在的问题并提出有针对性的对策供其参考。
2.中小企业网络营销现存问题
2.1大数据处理能力较弱
由于中小企业资金有限,不能全力投放到网站建设和网络营销中,导致其运营和管理方面存在效率低下、功能残缺等弊端,不能全面开发、维护和利用。又由于网络数据巨大,只有具备较强的信息技术处理能力才能对海量数据进行处理,而中小企业基础建设和人才的匮乏,很难支撑和完成各项功能,很难充分利用大数据提供的信息资源改进产品和提高销售水平。
2.2复合型网络营销人才短缺
面对快速发展的信息技术和网络营销手段,中小企业缺少既懂得网络技术又精通营销的复合型专业人才。本身各高校人才培养相对滞后,社会上懂技术又有实践经验的人才匮乏,又由于中小企业的待遇和发展前景不能够吸引专业人才,导致与大企业竞争处于劣势,缺少人才就不能很好利用大数据和现代营销工具,使中小企业网络营销发展受到限制。
2.3网络信息安全问题严重
大数据时代个人信息泄露严重,引起客户不安全感,制约了网络营销的发展。中小企业可以通过分析浏览器记录的客户浏览习惯和购买兴趣,可以根据消费者行为分析发现潜在客户和新商机,创造出更大利润,但客户的个人信息同时也被掌握,如何保护客户信息不仅仅是技术上的完善,还要有法律上的保障措施。目前,我国缺少相关法律法规,规范合理合法使用大数据的行为。
2.4配套服务水平有待提高
中小企业由于电子化水平的局限,影响了网络营销的实际效果,商品介绍、在线咨询、货款支付、物流配货、售后服务等配套服务水平都不尽如人意,沟通不畅,影响客户的购买积极性。大数据时代,中小企业如果不能收集、分析客户相关信息,提供有针对性的服务,必将在与其他企业的竞争中被打败。目前,特别是物流和售后服务方面问题较多,不能满足客户的要求,制约其发展。
2.5网络营销效果评估检测机制不健全
很多中小企业对网络营销理解不够,只是在网络平台上进行产品销售,以为只是增加一个分销渠道,认为销售增长就是评价好坏的标准,没有真正站在长期发展的高度提高企业社会知名度、提高品牌价值,没有利用大数据从客户角度分析以满足客户需求,提高客户忠诚度,更没有用专业的效果评估检测手段对网络营销效果进行评测,直接影响企业未来发展。
3.基于大数据中小企业网络营销的对策
3.1重视网站建设和运营管理
中小企业要真正意识到网络营销的意义和无限潜力,重视网站建设,结合企业特点设计科学的网络推广方案,以客户为本,依据大数据分析客户的需求变化和购物喜好,加大资金投入力度,用心维护网站,实时更新和利用,根据越来越多样化和个性化的需求,有针对性地开展网络营销活动,提高浏览者兴趣,保持客户的忠诚度,最终实现销售的稳步增长。
3.2加强复合型网络营销人才队伍建设
中小企业面对复合型网络营销人才不能满足需要的现状,应采取多种手段,一方面加大企业现有人员的培训力度,加强网络技术和营销方面的专业知识培训,增强实操能力;另一方面加大企业投入力度,运用有效的激励机制吸引高水平复合型专业人才加入到企业中,组建人才队伍,不断完善选人、用人机制,适应时代要求,利用现代信息技术更好地完成网络营销工作。
3.3完善网络信息安全法律法规
网络信息安全的保障问题是推进网络营销发展的基础条件,每名消费者都希望消费行为发生时自己的个人隐私权得到保护,企业有义务在利用大数据的同时提供安全保障措施保护好客户的隐私安全,赢得客户信任。政府必须给予支持,完善网络安全的相关法律法规,同时进行监督,严惩破坏网络秩序的违法行为,打击虚假广告、个人信息泄露,保证网络环境的安全和稳定。
3.4提高网络服务水平
中小企业要重视网络服务,完善相关制度,优化网络营销系统,根据大数据分析结果提供个性化、24小时贴身服务,做到以客户为中心,达到客户满意为止。安全快捷的网上支付环境,特别是物流渠道的选择,要高效、迅捷,保障物流更好服务于现代网络营销。满意的售后服务也是中小企业必须做到的,针对客户的需求和诉求,建立完善的售后服务系统,保障企业良好信誉。
3.5建立科学的网络营销效果评估检测体系
中小企业要采用科学有效的网络营销效果评估检测手段,通过对比参考标准进行指标体系的核算,多方位、多角度、客观评价网络营销效果,及时发现和分析网络营销过程中存在的问题,针对竞争对手情况并结合自身实际提出改进方案,完善网络营销方法,并要进行动态的调整和更新,达到更好效果,对企业产生长远有益的影响。
3.6采用网络营销新手段
社会的发展和技术的进步,创新出新的营销手段。中小企业要适应时代变化趋势,结合自身特点,利用大数据分析客户需求,选择灵活有效的网络营销新手段,如通过与百度等大型门户网站合作,提升搜索频率和被访问次数;借助网络社区和论坛等开展针对化营销;应用微信、手机APP等进行企业品牌推广,降低成本,争取更多商机。
企业网络安全法规范文第3篇
一、电力企业信息安全风险分析
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。
网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。
一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。
如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。
(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。
随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。
二、解决信息安全问题的基本原则
统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。
1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。
信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。
2、采用信息安全新技术,建立信息安全防护体系
企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施。
3、计算机防病毒系统
计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。
在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
4、网络安全防护系统
信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。
对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
5、开展信息安全专题研究,为将来的应用做好准备
电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。
国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。
6、电子商务安全需要深入研究和逐步应用
电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。
7、依据法规,遵循标准,提高安全管理水平
信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。
三、解决信息安全问题的思路与对策
电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。
1、依据国家法律,法规,建立企业信息安全管理制度
国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,发表信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平,国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来发表我们的工作,提高水平,少走弯路。
信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。
2、开展全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务
山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4、在发展中求安全
没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。
不是所有的信息安全问题可以一次解决
人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。
企业网络安全法规范文第4篇
关键词:电子商务;政策法规;支持体系
一、国内电子商务的现状与存在的问题
电子商务(electronic commerce)指的是利用简单、快捷、低成本的电子通讯方式而进行各种商贸活动。其主要包含两个方面的内容:一是电子方式,二是商贸活动,也就是电子+商务。
20世纪90年代初,互联网商业化和社会化的发展,从根本上改变了传统的产业结构和市场运作方式,电子商务出现了前所未有的增长势头。美国政府就认为:电子商务的发展是未来1/4世纪世界经济发展的一个重要推动力,甚至可以与200年前工业革命对经济发展的促进相提并论。其国内著名的信息市场研究公司――国际数据公司也预测:在未来几年内世界上可能出现的最大产业之一就是电子商务。为了能够在电子商务的大潮中站稳脚,世界各国都纷纷将其作为发展重心,我国也不例外。
1996年2月中国国际电子商务中心的成立标志着我国电子商务的开始。根据CCID的研究分析资料:截至2002年12月,我国消费类电子商务网站2277家,其中综合类网站285家,专业类网站1992家,能有效运行的737家;B2B网站1527家,其中综合类网站189家,专业类网站1338家,能有效运行的796家;B2C电子商务交易额为25亿元,年增长率90%;B2B交易额为1784亿元,年增长率65.9%。与此同时,9大互联网络单位与中国国家互联网交换中心(NAP)的互联互通带宽总和达到了21412M,宽带接入取得了大幅度的增长,用户数达417万户。同时,全国现代化支付系统也取得了实质性进展,2002年1月8日大额实时支付系统在北京、武汉两地成功投入运行,2003年2月底前完成在上海、天津、济南、沈阳、成都、西安、深圳和海口等11个经济发达的主要城市推广,初步形成了一个全国性的跨行、跨地区银行卡信息交换网络。
而2004年《电子签名法》的颁布则更是我国电子商务发展过程中的里程碑事件,它是我国第一部真正意义上的电子商务法。相隔不到半年时间政府又出台了《国务院办公厅关于加快电子商务发展的若干意见》,这是第一个电子商务政策性文件,为我国电子商务的发展进一步规范了环境。
尽管我国电子商务取得的成绩是可喜的,政府也为其发展做出了很大的努力,但从总体来看,目前我国电子商务的发展还面临着严峻的内外环境:政策法规不健全,政企不分,垄断依然存在,企业网络意识相当薄弱,金融电子化还没实现,信用制度不完整,相关专业人才十分缺乏。电子商务只是在媒体、技术方案提供商、网络厂商中很热,并且多数企业的电子商务还都处在最基础的信息收集、和交流阶段。
基于此,本文将在后续两部分中结合国外先进的经验探讨一下如何构建我国强有力的电子商务政策法规体系,以支持电子商务向纵深方向发展。
二、国外(美国、日本)电子商务建设政策法规支持体系分析
电子商务的发展是新科技革命的结果,生产力的迅速发展势必引发生产关系的相应调整,这种调整在电子商务上的重要体现之一就是建立和完善政策法规体系。电子商务政策法规的重要性与一个国家网络经济的发展程度是成正比的。世界上电子商务建设比较成功的几个国家和地区――美国和日本都把制定和修改相应的政策法规放在了首要的位置。尽管这两个国家的体制与我国不尽相同,但是比较分析它们的电子商务政策法规支持体系,无疑对我国这方面的建设具有积极的借鉴作用。
(一)美国
为了推动电子商务的发展,1996年克林顿政府倡导成立了美国政府电子商务工作组,由该组专门负责制定有关发展电子商务的政策法规,并提出了《全球电子商务纲要》。1997年7月1日,颁布了“全球电子商务框架”文件,该文件强调电子商务的发展应在政府引导的基础上以民间为主,提出:鼓励政府认可和接受正式的电子通信(即合同、公证文件等;鼓励国内和国际规则的协调一致以更支持电子签名和其他身份认证的可接受性;建立电子注册处;推动建立其他形式的适当的、有效的国际商业交易的纠纷调解机制;建立软件和电子数据的许可证交易、使用和权利转让;有关的标准和任选的合同履行规则。
随后的1998年6月,美国国会通过了Internet免税法案。同时美国商务部为企业设立了网上交易系统和投票竞价系统,并为企业提供免费的信息服务。而美国国家标准与技术研究院也获得了400万美元的拨款用以研究企业电子商务技术的开发与推广。另外,在电子支付政策方面,美国政府反对各国采取强制措施对电子支付进行管制。
从1999年1月1日起,美国政府要求联邦政府所有对外采购均采用电子商务方式,这一举措被认为是“将美国电子商务推上了高速列车”。另外,为了使公众对电子商务的安全性放心,美国政府加大了对网上知识产权和数据安全的保护力度:一方面于同年的10月通过了《域名权保护法案》,规定域名与商标保护统一,不得冒用、非法注册或使用与他人域名十分相似的域名进行网上商业活动;另一方面,积极推广加密技术和数字签名技术,倡导世界各国共同接受“经济合作与发展组织”于1997年3月27日公布的电子资料加密政策。
至此,美国的电子商务在政府一系列政策法规的带动下取得了飞速的进展。2003年美国B2B贸易的交易额达到了2万7千亿美元,据预测,2007年美国电子商务的交易额将达到2180亿美元,相当于零售总额的8%,并将为美国节约至少5-15%的交易成本。电子商务的大好形势也使美国本土的企业信息化建设进入了一个新的阶段――供应链管理与客户关系管理系统在美国已经得到了广泛的应用。
(二)日本
日本政府在电子商务方面也是重磅出击。1995年日本政府批准了总额为100亿日元的B2C研究计划用以研究电子结算和电子认证与安全性,同时批准了217.5亿日元的B2B研究计划。1996年又成立了“电子商务促进会”,通产省投资100亿日元,联合350家企业、50多万用户开展了声势浩大的电子商务促进计划。1997年4月电信审议会发表了“21世纪的信息通信(中间报告)”提出制定“网络空间法”等建议。1998年日本政府宣布将对Internet电子商务免税。1999年11月,邮政省、通产省和法务省联合公布了“与电子签名和认证的法律条款――促进电子商务并为基于网络的社会和经济活动奠定基础”的政策性文件。
到2000年,日本电子商务的交易额在亚太地区所占的份额达到了将近70%。2001年日本政府又制定了《关于电子签名及认证业务的法案》,进一步推动了电子商务的飞速发展。
总而言之,电子商务的成长不仅取决于计算机和网络技术的发展和成熟,而且在很大程度上取决于政府营造一种有利于电子商务发展的适宜环境。而上述各方面的政策法规构筑了美国、日本强大的电子商务政策法规支持体系,为其本土电子商务的发展提供了良好的外部环境。
三、对国内电子商务建设的启示――构建有中国特色的电子商务政策法规支持体系
综观上述几个国家的政府在电子商务发展的过程中所起的作用,我们不难看出:国家的政策法规往往对电子商务的建设起着极其重要的引导和创造先决条件的作用。重视电子商务必须先从创造良好的政策法规环境入手,无论是电子商务的启动、发展还是普及都需要科学、合理、有力的政策环境激励和法律法规规范。
因此,在这种情况下,我国政府更需加紧制定与此相关的政策法规以带动电子商务向更深层次发展。具体如下:
第一,针对如何在我国发展电子商务并缩短在这一领域与发达国家的差距,最终形成我国的竞争优势这一国家宏观战略性问题,政府应该制定有关我国电子商务发展总体战略的蓝图性文件――《中国电子商务发展总体框架》,将电子商务作为一个产业来对待。
第二,政府应该加快大环境下的电子商务具体领域的政策法规建设,并注重和国内现有的电子商务方面政策法规的衔接问题,对现有的政策法规体系进行必要的调整。首先,以资源共享、行业标准与规范建设为重点,开展基于互联网的行业电子商务应用以及发展新型服务模式与内容的面向消费者的电子商务应用并完善电子商务失信惩戒机制和网络仲裁法;其次,推进以骨干企业供应链管理为重点的企业间电子商务的应用,制定骨干企业电子商务试点政策;再次,支持面向中小型企业、重点行业和区域的第三方电子交易与服务,积极研究第三方支付服务的相关法规,以完善在线支付体系,并重点修订《电子签名法》中有关电子支付与结算方面的规定,要严格控制电子支付与结算手续的正规化;最后,制定相关的政策法规鼓励软件企业开发电子税收软件。税收的电子化非常有益于带动企业电子商务的发展。另外,我国已经加入了WTO,现在面对的是国际的竞争,所以我国政府还必须制定符合国际标准,能与国际接轨的电子商务标准规范体系。
第三,加强网络管理,维护网络安全,为电子商务创造有利的运营环境。事实上在过去的几年里,国家已经及时地对计算机软件、信息系统安全和国际联网等作了法律规范,并了《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际互联网保密管理规定》和《计算机信息网络国际联网管理暂行规定》等政策法规,这对推进全国电子商务的建设起到了积极的作用。但这远远不够,我们应该看到:互联网本身很难靠传统的思维模式和管理手段去管理,特别是这种新兴经济的发展带有很强的不确定性。因此,我们必须主动去适应这种新生事物的新特点,在修订原有的政策法规基础上,制定有关公共信息资源管理、网络管理和数据保护等方面的政策法规,并设置可协助企业部署安全措施的专业部门以加强企业对网络犯罪的防范,全面提高其信息安全防护能力,以维护正当的商家对商家和商家对消费者交易以及消费者的权益。同时要保护好基础信息网络,鼓励公众对网络安全树立必要的信心,加强信息内容安全,创造安全、健康的网络环境并继续加强安全监控体系、密钥管理体系、网络信任体系和应急响应体系等信息安全基础设施建设,建立完善信息安全等级保护、风险评估制度。
这其中尤为重要的是加大网上知识产权的保护力度、管理力度和执法力度,维护企业品牌优势和技术优势,以树立其搞电子商务的信心,其中重点应该研究国内管理软件行业等方面法规的制定以及个人隐私法、信息安全法等的制定,以填补这些方面的法律空白。与此同时,还要继续完善有关信息安全认证系统及防范措施,因此,今后一段时间,国家信息安全测评认证中心的工作重点应放在测评标准的建立和加强对授权测评机构的指导和管理测评认证体系的建设上,以构筑起国家维护信息安全的坚实防线。
参考文献:
1、方美琪.电子商务概论[M].清华大学出版社,1999.
企业网络安全法规范文第5篇
【关键词】高职 信息安全人才 调研 课程体系
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2012)02C-0030-03
一、信息安全的重要意义
信息化时代,信息安全问题日渐凸显。目前,我国整体的企业信息安全防护能力还很不够,许多信息系统安全保护程度太低,甚至处于无防范状态。
企业的正常运作离不开各方面信息资源的支持,如企业的经营计划、生产流程、工艺配方、建设方案、设计图纸、客户资料以及各种重要数据等,这些信息资源都是企业长期积累下来的智慧结晶,与企业的生存和发展息息相关。这些重要信息一旦丢失或泄露,将会使企业丧失市场竞争优势,甚至会面临破产危机。
信息安全问题主要表现在以下几个方面:一是计算机系统遭受病毒感染和破坏的情况相当严重;二是电脑黑客(包括商业间谍)活动已形成重要威胁;三是信息基础设施面临网络安全的挑战。除此之外,自然灾难无法躲避。1993年,美国世贸中心大楼发生爆炸,一年后,能回到世贸大楼工作的公司由350家变成了150家,有200家公司由于无法取回原有重要信息而倒闭。据IDC(Internet Data Center,互联网数据中心)的统计数字表明,美国在2000年以前的10年间发生过灾难的公司中,有55%当时倒闭,剩下的45%中,也有29%因为数据丢失在两年之内倒闭,生存下来的仅占16%。高德纳公司(Gartner,全球最具权威的IT研究与顾问咨询公司)的数据也表明,在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营,剩下的公司中也有1/3在两年内破产。因此,企业需要一套完整的信息安全备份及容灾解决方案,以确保业务数据能有效安全地备份和恢复,减少企业的损失。
由上可见,企业要保持健康可持续发展,信息安全是最基本的保证之一。
二、我国信息安全市场现状
2007年9月的《中国IT安全市场分析与预测2007-2011(1H07)》指出,中国信息安全市场的规模持续扩大,当年为3.195亿美元,同比增长27.0%。其中信息安全软件市场在占整体市场的27.4%;比例最大的是信息安全硬件,为48.6%;信息安全服务市场仅占24.0%。对比高德纳公司对全球信息安全市场分类的报告:信息安全服务市场占据整个信息安全市场57%的比例,网络安全设备和安全软件分别只占16%和27%。这充分说明了信息安全服务行业在整个安全市场中的重要地位与广阔的发展前景。然而,中国信息安全服务市场仅占整个信息安全市场的24.0%,与国外成熟的IT信息安全服务市场相比,中国的信息安全服务市场有着非常大的发展空间。这正是高职信息安全技术专业人才培养的目标――该专业不是培养网络安全设备的研发者或制造者,也不是培养安全软件的开发人员,而是培养为企业信息安全提供保障服务的技术员。
赛迪网、美国国际数据集团以及互联网实验室的一些相关调查资料表明,未来7年,中国信息安全市场年复合增长率高达35%。联想网御应用安全部产品经理何晨认为:近年安全市场的主要增长点在应用安全领域,以保障业务安全为核心、以人为本的设计理念将成为未来信息安全的主要关注点。
目前,社会需求与人才供给间存在着巨大差距。根据教育部2010年底的统计资料表明,我国每年信息安全人才缺口数以万计。大量从事信息安全管理的人员往往是计算机网络技术、通信技术专业的毕业生,并不具备信息安全管理所需的专业技能。信息安全人才无论是数量还是水平,都无法适应当今企业信息化形势的需要,已经成为当前严重制约信息安全产业发展的瓶颈。
2009年10月13日,“国家信息技术紧缺人才培养工程首批人才实训基地”在北京启动,信息安全被列为紧缺人才领域之一建立了实训基地,该基地的建设对提升我国信息产业的核心竞争力,实现信息产业由大到强的战略转变具有重大意义。
三、高职信息安全人才培养定位及能力分析
(一)高职信息安全人才培养定位
2001年,武汉大学创办了我国第一个本科信息安全专业,目前我国已有60所本科院校开设了该专业。经过10年的建设,本科信息安全专业的培养目标及其课程体系已比较成熟。而高职院校是近几年才开设信息安全专业的,其培养定位不明确,没有与本科信息安全专业区分开来。不少高职信息安全专业设置了与本科相似的课程体系,只是把课程难度降低了,但这些理论知识还是让高职学生畏惧,最终无法达到教学目标。有的高职信息安全专业设置的课程与传统的网络技术或通信技术专业课程相似,没有建立一套完整的、符合信息安全应用领域要求的课程体系。上述情况导致了学生缺乏专业特长,难以对口就业。
高职信息安全技术人才培养定位在哪?其专业核心能力是什么?要解决这些问题,首先需要分析信息安全人才的技术水平等级及其能力要求。
根据国家职业标准,可以把信息安全技术人才的技术水平从低到高分为四个等级:一是信息安全技术员,要求具备基本信息安全知识和技能,能够解决日常程序性工作中所遇到的信息安全问题;二是信息安全助理工程师,要求能够对企业信息系统进行安全风险评估,能够针对业已提出的特定企业的信息安全体系,选择合理的安全技术和解决方案予以实现,并具备撰写相应文档和建议书的能力;三是信息安全工程师,要求掌握各个信息安全技术领域和体系规划,具备专业信息安全技术管理能力,掌握信息安全的各个领域和体系规划知识,具备从信息安全管理层面进行综合性分析和总结的能力;四是高级信息安全专家,要求具备资深的信息安全理论和技术知识以及优秀的信息安全体系设计、规划和领导能力,能够把握信息安全技术的战略发展方向,在信息安全领域具有突出成绩或杰出贡献。
根据各等级对从业人员的能力要求,分析可知:硕士、博士生具有深厚的理论知识、较强的科研能力,积累一定的工作经验后,可以达到第四个等级;本科生也有较强的理论基础和规划、管理能力,培养定位可以在第三个等级;高职生是工作在生产第一线的应用型人才,要求具有较强的实践能力,能做好日常安全维护工作,其培养定位适合在第一、第二等级。我国中小型企业正在迅速发展,其总数已占全国企业总数的99%以上,这些中小型企业对信息安全技术人才的需求都集中在中、低层次,也就是说,企业往往需要的是高素质、高技能的高职生,而不是做理论研究的硕士、博士或本科生。
(二)高职信息安全人才能力分析
鉴于信息安全技术人才的重要性且人才短缺,笔者作为专业负责人,已着手申报在柳州职业技术学院开设信息安全技术专业。为了做好该专业人才培养方案,专业团队教师进行了广泛的社会调研,并召开由10多名企业专家参与的新专业工作分析会,得出高职信息安全技术专业的培养目标、工作领域、就业岗位、技术要求和能力要求。
培养目标:培养具有良好职业道德,熟悉信息安全法律法规,可以集成信息安全系统,熟练应用信息安全产品,具有信息安全维护和管理能力的高素质、高技能专门人才。
工作领域:网络搭建领域、信息安全管理领域、信息安全技术领域。
就业岗位:信息安全技术员、安全设备调试技术员、系统安全维护技术员、综合布线技术员、安全加固技术员、信息资产风险管理员、安全评估技术员、网络设备售前售后技术员等。
技术要求:备份与容灾技术、信息管理技术、病毒防范技术、黑客防御技术、防火墙技术、IDS与IPS技术、TCP/IP高级技术、VPN技术、PKI与加密技术、设备安全配置、系统安全配置、服务器安全配置、风险评估技术等。
能力要求:制定信息安全规章制度、制定信息备份及容灾解决方案、配置网络安全设备、构建企业网络、维护网络安全、搭建信息化系统、设计并实施系统安全方案、系统风险评估等能力。
四、信息安全技术专业课程体系
本文以柳州职业技术学院信息安全技术专业课程为例进行探讨。按照“企业需求与学生需求并重”的原则,形成由“内容”和“形式”两个维度构成专业课程体系“二维”模型(见图1)。两个维度包括教育教学活动的四个模块。不同的模块发挥不同的作用,共同构成完整的课程体系,形成教育合力。
内容维度包括“基本素质教育体系”和“专业能力培养体系”,教学目标都来自企业对学生的需求,二者相互融合、彼此渗透。其中“基本素质教育体系”是人才培养的前提与基础,主要以培养学生思想品德、职业素养、身心健康、应用基础等方面基本素质为主,渗透专业特点和企业需求,重点解决学生“如何做一个社会人”的问题;“专业能力培养体系”是人才培养的专业化,主要培养学生的专业理论知识和专业技能,使学生具有良好的职业素养和较强的职业核心能力,解决学生“如何做一个职业人”的问题。
形式维度包括第一课堂和第二课堂,第二课堂是第一课堂的延伸和补充,二者是课程体系中不可或缺的重要组成部分。其中第一课堂侧重系统知识的传授和专业技能的培养,以课堂教学为主,是教育教学的主渠道;第二课堂侧重实践锻炼和学生个性的发展,以学生课外实践活动为主。
在学院课程体系“二维”模型思路的指导下,根据信息安全技术专业培养目标和技术、能力等要求,充分研讨了该专业的人才培养特点,进行专业课程体系设计(见表1所示)。
从表1可以看出,课程体系设计紧紧围绕企业的需要,为“技术要求”中列出的专业技术开设对应的课程;与企业专家共同研讨,得出该专业的核心能力,并将对应的课程作为专业核心课程重点学习。其中,有一种能力很容易被忽视,即制定信息安全规章制度的能力,《信息周刊》研究部2008年的调查显示,60%以上的网络威胁和攻击来自网络内部,如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等,因此企业需要一套完善的信息安全管理制度来约束广大员工的行为,保障企业的信息安全。
综上所述,企业的需要是专业开设及其课程体系设置的指挥棒。如何采取适当的教学方法,使教与学更有效率,达到该专业人才培养目标,将是我们下一步要研究的工作。
【参考文献】
[1]邢清华,米靖.职业院校推进校企合作的措施研究综述[J].职教论坛,2011(15)
【基金项目】2010年度广西新世纪教学改革工程立项(2010JGB163);柳州职业技术学院教学质量与教学改革项目(2009B006)
