网络安全等级保护制度条例
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全等级保护制度条例范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全等级保护制度条例范文第1篇
[关键词]等级保护;等级备案;等级测评
doi:10.3969/j.issn.1673 - 0194.2017.04.115
[中图分类号]TP309 [文献标识码]A [文章编号]1673-0194(2017)02-0-02
0 引 言
随着全球信息技术的快速发展,我国国民经济的繁荣和社会信息化水平的日益提升,信息安全已上升为国家层面的重要内容。为进一步提高信息安全保障工作的能力和水平,2016年国家网络安全宣传周首次在全国范围内统一举办,并首次在地方城市举行开幕式等重要活动。由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度,等级测评工作也将随之逐步成为一项常规化工作,对保障国家网络安全具有重要意义。下文对信息安全等级保护的概念及发展状况进行梳理。
1 信息安全等级保护的概念
信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,是国际上很多国家都实施的一项信息安全工作。在中国,信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作;狭义上一般指信息系统安全等级保护。
2 信息安全等级保护的发展历程
全球化网络快速发展的同时其脆弱性和安全性也日益彰显,西方发达国家制定了一系列强化网络信息安全建设的政策和标准,其核心就是将不同重要程度的信息系统划分为不同的安全等级,以便于对不同领域的信息安全工作进行指导。鉴于此,我国相关部门和专家结合我国信息领域的实际情况经过多年的研究,于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》,首次提出了信息安全等级保护的概念,用于解决我国信息安全问题。之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规,并实施工程。从计算机系统的定级到等级保护测评,信息安全工作逐步完善。详情见表1。
随着国家对信息安全工作的重视以及各类等级保护规范标准的出台,各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。目前,国家已出台70多个国标、行标及报批标准,展开了对所属安全系统进行先定级后测评的工作。
3 信息安全等级保护具体实施过程
信息安全等级保护具体的实施过程,如图1所示。
3.1 定级
2007年开始在全国范围内进行信息系统等级保护的定级工作。四级以上的定级要求请国家信息安全保护等级专家评审委员会评审定级。此项工作历时一年基本完成。
定级标准为公安部66号文件。主要依据是《信息系统安全保护等级定级指南》(国家)或行业制定的定级指南。对于等级的划分,见表2。
定级注意事项
第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级一些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如:不涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等。
第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业及控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等,例如,网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如:电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等。
第五级信息系统:适用于国家特殊领域的极其重要系统。
3.2 等级备案
已运行的系统在安全保护等级定级后30日内,由运营、使用单位到所在地区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。将定级情况报各地公安部门备案。
办理备案手续时备案单位需向公安机关网监部门提交以下备案材料。①《信息系统安全等级保护备案表》纸质材料一式两份。该表由“等级保护备案端软件”生成,操作时请详细阅读软件使用说明书。第二级以上信息系统备案时需提交表中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交表四及其有关材料。②《信息系统安全等级保护定级报告》纸质材料一式两份。每个备案的信息系统均需提供对应的《信息系统安全等级保护定级报告》。
③备案电子数据。每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,以压缩文件(RAR格式)方式保存。
3.3 对照等级标准和要求进行安全建设分析整改
备案工作完成后,需要对照所定的级别对信息系统进行安全建设整改。从满足政策、满足标准和满足用户需求入手,有条件的单位可以请专业机构帮助给出整改意见,在技术和管理两个方面进行整体规划和设计。在设计过程中要考虑近期和远期规划,从而给出总体和详细的方案,特别要把技术体系、物理安全、管理安全、应急与灾备全面进行细分,细分为不同的子项,分项完善。之后就可以进入具体实施操作阶段。
3.4 等级测评
信息系统完成建O整改实施操作之后就可以进行等级保护的测评。等级保护测评工作需要由有“DJCP”(公安部信息安全等级保护测评)认证的测评机构来完成。有“DJCP”资质的机构在“中国信息安全等级保护网”可以查询到。测评时间一般为一个月。测评过程如下。
(1)测评准备阶段:召开项目启动会布置测评需要准备的材料(系统拓扑图、规章制度、设备参数等),测评机构根据提供的材料准备下一步的测评工具和表单。
(2)测评方案编制阶段:测评机构针对测评对象制定测评指标,填写测评内容,并编制测评方案书。双方进一步沟通测评时间及测评场地的测评内容和测评流程。
(3)现场测评阶段:测评机构按照测评方案的测评内容对项目中的管理和技术测评项进行逐一的测评,记录测评相关数据。需要注意的是在现场测评过程中尽量不要影响被测系统的正常运行。可以选择错开业务高峰期或下班后的时间。为了保证被测系统不受影响,系统维护人员应在现场进行配合。
(4)报告编制阶段:测评机构根据测评内容和数据进行整理,给出测评报告,告知风险点和测评发现的问题。
测评结果有三种:不符合,即未通过测评;部分符合和全部符合,后两种为通过测评。
在等级保护测评方面,按照要求,三级的信息系统应当每年至少进行一次安全自查和安全测评;四级的信息系统应当每半年至少进行一次安全自查和安全测评;五级的应当依据特殊安全要求进行安全自查和安全测评。
4 信息安全等级保护的发展现状
随着信息技术的不断发展,云计算、移动互联、物联网、工业控制、大数据等概念的出现对信息系统等级保护提出了新的要求。在新技术应用背景下,等级保护的标准和规范也将随之不断调整,信息系统和测评机构都需要不断提高自身的技术能力以适应新技术发展的需求。保证信息系统的循序建设和长期稳定的运行,是等级保护建设的重要意义。
主要参考文献
网络安全等级保护制度条例范文第2篇
1信息安全管理系统现状
信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点,是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善,其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存,从而导致大量文档的丢失;其次,如果信息安全管理系统不完善,就不能降低资产等的风险评估以及对资产进行集中式的管理;最后,由于信息安全系统中各个报表功能的不完善,文档信息就无法快速、准确地透露出信息安全的实际状况,从而起到有效地保护作用。
信息安全管理系统主要能够通过对关键资产实行定性和定量分析,从而得出资产的精确风险值,识别系统中存在的重要因患资产,并进一步通知信息管理员采取适当地方法来减少隐患事件的发生,通过科学的管理降低企业的资产风险。由此可见,完善的信息安全管理系统是不可或缺的,它一方面决定着信息安全管理体系的具体实施,另一方面也可以促进企业信息安全管理体系的进一步维护与建设。
2信息安全管理系统标准
科学统一的国家信息安全标准,有利于协调与融合各个信息安全管理系统的工作,充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。
2.1ISO/IEC27000系列标准
1995年,英国标准协会(BSI)了BS7799-1和BS7799-2两部标准,随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分,并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例,并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善,这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上,用风险分析的途径,把发生信息风险的概率降到最低程度,同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则,以及11项需要有效控制的项目,其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。
2.2信息安全等级保护
1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》,该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展,从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则]是在TCSEC的分级保护思想基础之上,针对我国信息安全的发展实际进行改善,最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类,其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理;后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外,信息安全等级保护的系列标准里还包括(〈GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。
3信息安全管理系统的模型设计
根据信息安全管理系统标准,结合以往的信息安全管理系统设计,提出一种新型的四层信息安全管理系统:
第一层是数据库层:包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。
第二层为功能模块层:包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。
第三层为信息采集:主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。
最后一层为展示层:它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。
上述新型信息安全管理系统模型主要体现出以下六点创新之处:
(1)所设计的风险模块管理可以把风险评估常态化、主动化,使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析;另外,该信息安全系统的日志审计功能也可以实现被动式的安全管理,从而使主动管理与被动管理在信息安全管理系统中充分融合。
(2)业务系统的动态建模和系统支持资产,可以把业务系统和资产二者绑定在一起,由此,整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下,其单独资产的具体安全状况;另一方面该信息安全系统还能够根据IS027001的具体标准,反应出整个资产所承载的整体业务系统的安全状况。
(3)该新安全管理系统增加并促进了拓补管理功能的发挥。
(4)该信息安全管理系统模型提供了统一的知识库管理,能够对日志、资产库、异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。
网络安全等级保护制度条例范文第3篇
关键词:计算机;网络安全;防护措施
引言
随着互联网的广泛应用,计算机技术、互联网的飞速发展给社会带来了便利,如今计算机网络已经应用于我们的各个领域,以网络方式获取和传播信息己成为现代信息社会的重要特征之一。网络技术的成熟使得网络连接更加容易,人们在享受网络带来的信息服务便利性、灵活性的同时,却也面临着诸多的不安全因素,黑客攻击、计算机病毒扩散、网络犯罪等不仅影响了网络的稳定运行,也给用户造成经济损失,严重时甚至威胁到国家的信息安全。因此,确保网络信息的安全、完整和可用,保障网络信息安全已成为一项重要任务。
1.计算机网络安全的定义
国际标准化组织(ISO)将计算机安全定义为: 能够为数据处理系统建立和采取的技术与管理的安全保护,防止计算机网络信息遭到人为破坏、变更、泄露,系统连续可靠正常地运行,网络服务正常有序。因此,网络安全必须有足够强的安全保护措施,确保网络信息的安全,完整和可用。
2.当前计算机网络安全面临的问题
2.1缺乏计算机网络安全意识
在日新月异的现代网络环境里,人们每天都享受到计算机网络带来的便捷功能,但人们普遍对网络安全的重要性缺乏充分的认识,有时被好奇心驱使或对黑客的破坏性缺乏足够的认识,这些网络保护措施不能够充分发挥保护作用,互联网用户要有自身网络保护意识,还要注意自身的网络行为是否给他人造成危害意识,因此加强人们对网络安全重要性的认识,树立文明、安全上网、打击黑客行为的观念刻不容缓。
2.2 计算机病毒的传播:当前名目繁多的计算机病毒将导致计算机系统瘫痪,计算机程序和数据受到严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。
2.3网络黑客的破坏:黑客往往通过网络系统的漏洞、网络侦查攻入其他人员的计算机系统或者网络系统,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,做一些获取机密信息,或者删除数据等破坏性的事情,或有选择地破坏信息的有效性和完整性。
2.4网络软件的缺陷和漏洞:计算机软件包括网络软件不可能没有缺陷和漏洞的,而黑客正是首选这些漏洞和缺陷进行攻击的。
3.计算机网络安全的防范措施
3.1加强提高网络安全的防范意识
对于计算机网络管理员而言,他们的安全意识以及职业道德的高低、安全责任心的强弱、专业技能和管理水平的高低,将直接影响到网络系统的安全等级。要从根本上防范网络安全威胁,就要对网络技术人员进行网络安全意识教育,进行规范化管理,要掌握基本的网络安全威胁防范技术,管理好用户口令密码等重要信息,更重要的是提高他们的道德素质,提高网络安全防范意识。同时要加强网络安全条例的制定与执行,建立健全网络安全管理制度。
3.2安装计算机杀毒软件
杀毒软件是保障网络系统安全的必要手段,能够有效的清理主机中的病毒和木马程序,有效的防止计算机病毒、木马程序带来的一些网络安全隐患,甚至于造成计算机系统崩溃、重要信息的损坏、丢失等,因此在日常使用计算机的过程中,应该养成定期查杀病毒的习惯,并要随时升级杀毒软件和防火墙,要及时更新操作系统的安装补丁等。
3.3加强网络隔离、入侵检测技术
网络隔离技术(DMZ, Demilitarized Zone)是在网络安全系统与非安全系统之间建立一个缓冲区,用来解决计算机网络在安装防火墙以后出现的网络内部和外部不能访问的问题。通过设置网络隔离区,可以更加有效地保护内部网络,因为相比普通的防火墙技术,网络攻击者又要多面对一个防卫关卡,DMZ通过检测、限制跨越缓冲区的数据流,尽可能地提高对计算机网络的安全保护。而人侵检侧系统(intrusion detectionsystem, IDS)则是在传统的计算机网络安全防范技术之上构建的,主要包括数据收集技术、攻击检测技术和响应技术等,对计算机网络中用户的各种行为进行分析、检测、归类,并对用户使用计算机网络信息与资源的过程中隐藏或包含的恶意攻击行为做出识别,既可以对外部网络环境、用户行为进行监测,也可以对内网用户行为进行监测、判断,能够对人侵的异常信号和用户行为进行识别,并快速做出反应。在获得授权的情况下,可以对外部入侵威胁直接进行响应和处理,从而有效降低了网络外部威胁和破坏程度。
3.4防火墙技术的使用。防火墙是一种确保信息安全的设备及软件,处在内网和外网之间,所有内网和外网的通信数据都要经过防火墙,应用过滤防火墙技术能实现对数据包的包头进行检查,根据其IP源地址和目标地址做出放行或丢弃决定,但对其携带的内容不作检查,能够有效保护内网的安全。所以,应用防火墙技术,能够有效的防范网络安全威胁。
4.结语
在网络信息化时代,计算机网络的安全问题日益重要了,网络安全时刻面临着挑战。因此计算机网络安全工作是一项长期任务,计算机网络安全不仅是技术问题,同时也是管理问题。我们只要从技术上及管理上建立严密的网络安全防范体系,综合运用各种网络安全技术并进行规范化管理.就能为我们的网络上的各种应用保驾护航。(作者单位:江西新干县社会保障事业管理局)
参考文献
[1]王东霞,赵刚.安全体系结构与安全标准体系[J].计算机工程与应用,2005,(8):149-152.
[2]范伟林.关于计算机网络安全问题的研究和探讨[J].科技风,2009.(2).
网络安全等级保护制度条例范文第4篇
【关键词】互联网 金融 犯罪 防控
随着互联网技术的快速发展,互联网正逐步渗透进经济、金融、社会、民生等领域,改变人们的思维、行为习惯及投资、消费方式。与其他借助互联网技术进行行业革新的领域类似,互联网金融也随着互联网技术的不断演进,经历了不同的发展阶段。从最早的各大商业银行的“网上银行”到如今以大数据、云计算、社交网络和搜索引擎为基础的互联网金融业务全面勃发,互联网金融实现了从单纯的互联网技术支持到互联网业务的转变。
可以预见的是,在国家战略层面实施“互联网+”行动计划的驱使下,具有人群覆盖优势、数据挖掘、分析优势和平台操作便利、无门槛等优势的互联网金融将实现进一步的发展,并迫使传统金融行业进行革新。同时,由于自身处于方兴未艾的探索阶段,存在着从运营到监管层面的诸多风险。近来频发的泛亚、e租宝、大大集团等p2p网络借贷平台的著名案件,只是互联网金融存在风险的冰山一隅,全国3464家被监测的P2P借贷平台,正常运营的仅有1876家,问题平台约占46%,加之网络金融诈骗手段翻新,案件层出不穷等现象,则为加强互联网金融犯罪防控敲响了警钟。
一、大数据时代互联网金融犯罪的类型
所谓大数据,是指对信息爆炸时代产生的海量数据进行数据挖掘、分析,并为之所用的技术革新,它所承载的平台主要集中于互联网平台。互联网金融是最为典型的数据驱动型产业,它通过大数据实现信息挖掘、信用风险管理和资金转移管理上的需求。但由于信息的无界性,一旦使用大数据的用户怀有恶意目的,那么很可能酿成金融犯罪,目前我国典型的互联网金融犯罪类型主要有以下3种:
一是金融诈骗。互联网金融诈骗主要有三类。第一类是网络钓鱼诈骗。这是互联网金融犯罪最传统也是最常见的犯罪方式。不法分子利用大数据盗取、收买用户信息,通过传播木马、伪造钓鱼网站、发送含有欺诈信息的电子邮件等引诱上当的方式,采取诱骗用户自己划转资金或盗取用户的账户密码划转资金等手段对用户实施网络诈骗。由于第三方支付平台在社会层面的广为运用,目前,第三方支付已取代银行卡诈骗成为网络诈骗的最新作案工具。第二类是假造借钱行为。利用p2p网络借贷平台信用审核不严的漏洞,通过伪造个人身份信息、工作证明、银行交易流水、资金用途、联系方式等手段骗取借款,然后携款潜逃。第三类是信用卡金额套取诈骗。通过虚构交易的方式,套取信用卡内金额。这两类案件也层出不穷。
二是网络洗钱。不法分子一方面可以利用第三方支付平台等进行洗钱和转移赃款,而由于基于大数据的第三方支付平台具有门槛低、高频交易的特点,使赃款可以通过一系列复杂、快速的往来交易与资金转移,混淆资金来源,实现资金的快速洗白;另一方面利用大量p2p借贷平台对出借人审查不严格、游离于主流监管体系之外的漏洞,向p2p平台大量出借赃款,再借由p2p平台之手,将赃款转移,脱离监管视线。值得注意的是,随着国家有关部门逐渐加强对第三方支付平台的监管,不法分子p2p网络借贷平台正在成为隐秘、安全、快捷的洗钱通道。
三是非法集资。随着p2p借贷平台的纷纷涌现,以p2p为名义进行非法集资的案例近来呈高发态势,主要表现为擅自成立金融机构进行非法吸收公众存款等。一些不法分子未经过国家有关部门批准,组建p2p网络借贷平台,擅自开展向社会公众融资业务。在业务开展过程中,伪造信用评级和资金托管平台,许以高额利润回报,吸取大量公众资金,进行自我融资或期限错配吸储放贷,且产生的信贷存量没有存贷比、准备金等“防火墙”设置,杠杆极度放大,一旦投融资失败或发生客户大量挤兑,大量客户的资金血本无归。2014年及之前的杭州国临创投、深圳中贷信创、上海锋逸信投,2015年的E租宝、大大集团,均因涉嫌非法集资而站在了舆论的风口浪尖。
二、引起犯罪的风险原因
一是隐私风险导致用户信息容易泄漏。“大数据时代没有隐私”,虽然是一句夸大的用语,但却真实反映了互联网上的海量信息在增加便利的同时给个人生活造成的负面影响。由于当前互联网与现实世界的无缝衔接及网络信息扩散的迅速化和无界性,用户在现实世界及网络上的每一次消费行为及个人所在地、行径位置、健康和财务情况等基本信息都可以被挖掘和利用。而在大数据时代的互联网金融环境中,隐私问题远远超出了常规身份确认风险的范畴,一旦被别有用心的人攫取,就可能为实施网络诈骗提供前提条件。
二是安全风险导致金融系统易受攻击。由于互联网金融服务基本上是利用计算机程序和软件系统在万维网平台进行控制的,因此一旦承载网络的物理平台或网络本身出现安全漏洞,就可能对金融系统或用户财产安全造成致命影响。事实上,当前互联网安全技术虽已趋于成熟,但远不完美,加之网络黑客活动的增长率居高不下,使得包括恶意攻击和木马病毒等其他安全隐患仍是当前互联网金融系统的主要风险之一。在网络黑客的攻击行为中,既有针对用户个人的盗取账户、密码等犯罪行为,也有针对金融系统的入侵行为,轻则损失钱财,重则对金融秩序稳定造成危害。
三是平台风险导致金融行为缺乏规范。在互联网金融体系中,以p2p网络借贷平台为代表的小微企业占据了半壁江山。这些企业普遍存在法律意识不强、运营管理不规范、信用不高等问题。很多企业由于没有足够的底线意识,在资格条件不具备、各项配套措施不完善的前提下,开展互联网金融业务,游走于非法集资的边缘,较易构成犯罪,大多数小微企业在用户信用审核上做得不够,为了迅速达成交易,缺乏正规的审查流程,合同的签订也不规范,而人民银行征信体系又未覆盖到位,使一些不法分子有可乘之机,进行网络洗钱和恶意借钱的犯罪行为。
四是监管缺位导致金融风险缺乏监控。目前,我国针对互联网金融领域的法律制度建设严重滞后,行业准入的标准不清晰,金融监管的部门和相关权力不明确,互联网金融企业开展具体金融业务的规范性要求也不明晰,导致违法边际过大,产生了大量灰色地带。这些灰色地带由于监管缺位,被一些不法分子利用,不仅纵容了网络洗钱、非法集资、网络诈骗等犯罪行为,而且使互联网金融行业出现了大量乱象,互联网金融企业信誉、资质良莠不齐,影响了金融秩序的稳定运行和互联网金融的健康发展。
三、互联网金融风险的防控对策
一是加强立法立规,完善监管、树立标准。梳理完善现行互联网金融法律法规,国家层面出台进一步促进互联网金融发展的指导意见,省级层面出台具体实施细则,在鼓励各类市场主体运用互联网、大数据、云计算等技术,对接各类金融资源,开展产品创新、技术创新、服务创新、管理创新和模式创新,打造互联网金融品牌的同时,界定互联网金融的范畴、准入门槛、运营规范、进出机制、监管主体及职责等问题,并构建多部门联动的互联网金融协同监管机制,切实加强监管。同时进一步完善相关法律,对互联网金融在第三方支付、网络金融理财、p2p网络借贷、众筹可能触犯法律的行为特别是对互联网金融技术的创新抵触现行法律的行为,如涉嫌非法集资、非法证券交易等的行为,作出明确规定,出台司法解释。同时,修正完善个人信息保护、等互联网金融配套法律体系,包括合同签订规范等在内的互联网金融行为指引和国家标准等规范性文件,规范资本运作,保障金融秩序。
二是加强网络安全技术研发与管理。修订完善《计算机软件保护条例》、《计算机病毒控制条例》、《中华人民共和国计算机信息系统安全保护条例》等相关网络安全法律,扩大适用范围和调整对象,使之与大数据时代下的互联网环境相适应,同时建立健全网络信息安全管理体系,严格落实信息安全等级保护制度,加强互联网金融企业网站规范管理,保障互联网金融环境安全。进一步加强网络金融基础设施建设,以统一的标准和规范加强网络安全系统的开发,以监测、预防、查杀可能的黑客攻击行为及病毒程序,并在各互联网金融企业强制安装。此外,还要做好网络安全及网络行为风险的社会宣传与教育,使社会公众逐步建立良好的安全意识。
三是利用大数据构建完善的信用风险机制。人民银行利用大数据技术,进一步加强征信体系建设,扩大人群覆盖范围,特别是对小微互联网金融企业服务对象的信用评级覆盖。互联网金融企业要利用大数据的挖掘、分析,对客户的社交网络信息、用户申请信息等网络行为进行深度的信息调查,同时加强客户的信贷历史挖掘,加强客户信用数据的审核,对于有网络洗钱、恶意借贷行为的对象,进行有效拦截。同时,要打通线上线下,采用先进的预测模型等策略,进行数据挖掘和信息分析,提高信用评估的决策效率,建立完备和科学的风控体系,降低违约风险,为客户投资安全提供坚实保障,解决国内互联网金融的信用风险管理问题。
四是加强行业自律。建立遍布各省的互联网金融协会,吸收省内有一定资质的互联网金融企业成为会员,充分发挥互联网金融协会的行业规范与自律作用,构建约束机制,组织会员签订行业自律公约,推动机构之间的业务交流和信息共享,营造公平的市场竞争环境。同时,完善互联网金融企业信用信息公示和准入退出机制,一方面建立互联网金融企业定期向社会、投资人信息披露制度,公布恶意行为人的黑名单,并开展投资者教育和金融消费者权益保护工作,引导社会公众增强投资风险意识,另一方面,制定经营管理规则和业务标准,开展互联网金融企业信用等级评定和公示工作,引导互联网金融企业依法合规开展业务,对违法违规的互联网金融企业进行社会公示并取消其协会会员资格。在此基础上,互联网金融企业树立底线思维,深入了解与互联网金融相关的法律法规问题,对违法违规行为坚决不触及,并严格执行相关行业标准,规范运营管理的各个环节,共同促进互联网金融的健康发展。
五是加强对互联网金融犯罪的侦防。公安经侦部门要跟踪了解互联网金融犯罪的主要类型和发展动态,对互联网金融体现出来的涉案人员范围广,涉案金额高,犯罪主体专业化、手段智能化、反侦查意识强,电子数据成为主要的证据形式,衍生犯罪特点显著等特点予以警惕,建立互联网金融犯罪风险监测、预警和管控工作机制,利用大数据等新型技侦手段,努力发现、挖掘、提炼深层次、预警性信息,及时提出防范涉及互联网金融经济犯罪活动的工作意见,助力犯罪防控。同时,加强情报信息的收集和分析研判,做好电子数据证据收集、网络信息查证和犯罪嫌疑人员追踪等工作,打击具体犯罪人员。此外,要对互联网金融经济犯罪的常见类型、惯用手法和动态特征开展多层面、多角度宣传,提醒公众理性投资,提升社会公众防范意识和能力。
参考文献
[1]刘坤,高春兴.互联网金融犯罪的特点与侦防对策研究[J].山东警察学院.2015(9).
[2]中国人民银行.中国金融稳定报告(2014)[EB/OL]. http:///a/20140429/1320967.shtml.
[3]姚国章,赵刚.互联网金融及其风险研究[J].《南京邮电大学学报.自然科学版》.2015(2).
网络安全等级保护制度条例范文第5篇
【关键词】信息安全管理;保险企业;体系构建
0.引言
保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和黑客攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。
1.保险企业信息安全管理的现状
计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:
1.1没有相关的法规来约束
与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。
1.2没有引起足够的重视
很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。
1.3对存在的风险评估不够
很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。
1.4没有制定相应的安全管理条例,无明确责任划分
保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。
所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。
2.保险企业计算机信息安全管理的体系构建
2.1掌握安全管理标准,构建安全管理基本框架
要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。
2.2实现科学的信息安全管理
保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。
2.3进行有效的安全风险评估
保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。
2.4合理配置安全产品
对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。
【参考文献】
[1]许雅娟.网络攻击分类研究[J].硅谷,2011(06).
[2]宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).
[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).
