网络安全法论文
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全法论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全法论文范文第1篇
相较传统的国际关系,网络空间引发的利益冲突关系更为复杂。一方面,由于网络技术和应用的不断创新,网络信息将整个世界紧密联系在一起,网络信息安全可能涉及所有的网络使用者,一旦发生侵权行为就突破了传统国际法的管辖权,影响范围涉及多国家。另一方面,由于国际法体系并不存在普遍公认的国际法规则,并且各国网络信息技术发展的不对称性使得各国网络立法存在界定是否构成网络信息侵权的标准不一。难免出现网络信息技术发展强国依靠自身的先进技术肆意侵害他国网络信息安全,干涉他国内政,对他国的政治、经济、社会秩序甚至是国家安全产生重大影响。伴随着全球化进程的不断加强,网络信息安全的管理面临新的挑战。首先,当前网络并非由政府机构完全掌控。现今由于市场激烈的竞争环境使得网络信息安全管理自身就面临着很大的威胁。其次,网络信息系统的不断发展,使得原有对网络信息的传统管辖模式无法应对当前的新趋势。最后,互联网全球化的加强,现今网络服务都是跨国性的,网络信息内容安全风险的解决要考虑到各国不同的国情。因此,网络信息内容安全管理的对策必须要符合国际惯例。
二、解决网络信息安全的国际法途径
(一)通过双边会议、多边会议建立区域网络信息安全维护组织
由于国际社会不存在一个超国家政府,所以使得国家单边主义威胁网络信息的安全性。不同类型的国家,无论其大小与网络信息技术的优劣,都理应处于平等位置,平等的享有被保护网络信息安全的权利。当前已经有国家和地区通过交流达成共识,希望通过制定协议共同促进信息安全的保护,可以在此基础上根据政治或地理位置的相近形成区域网络信息安全维护组织。区域网络信息安全维护组织作为国际组织,其有助于解决集体的困境和相互依赖的选择问题,并且其具有组织制定统一区域网络信息安全维护组织章程的权利。该网络信息安全维护组织内的成员可以实现获取信息、网络信息技术共享、联合打击非法利用、滥用信息技术及加强网络关键信息技术设施的建设等权利,但同时网络信息安全维护组织内的各成员也必须履行相应的义务。例如,使用网络获取信息必须避免将其用于破坏国家稳定和安全的目的,避免给各成员国国内基础设施的完整性带来不利影响,危害各国的安全。除此之外,各成员国有合作打击利用信息通信技术从事犯罪和恐怖活动或者破坏成员国政治、经济和社会稳定行为的义务。各个成员之间必须加强互联网技术的共享,相互之间转让网络信息技术,相互弥合数字鸿沟,提升区域网络信息安全维护组织应对威胁的能力。针对区域组织内成员的网络信息安全实行统一的监管,制定统一的信息交换的标准和程序。组织内成员共享使用信息,必须严格遵守程序,其目的在于使各成员提高保障信息安全的能力,一方面可以相互放心安全地使用网络,另一方面在本国以外多了一层区域网络信息安全维护组织内其余成员国的保护。使得本国公民的信息得到更多的保护,并且保障国家的信息安全,使得网络安全性提高。区域性网络信息安全维护组织的成立需建立在各成员国相互信任,平等互惠的原则上。一旦组织内部成员实施了违反组织章程侵害成员国网络信息安全的行为将受到区域组织成员国一致的制裁,例如限制该国在成员国公司的经营业务等。
(二)建立全球范围内广泛适用维护网络信息安全的国际公约
在2015年1月9日,中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、塔吉克斯坦、乌兹别克斯坦常驻联合国代表呼吁各国在联合国框架内就网络信息完全的保护展开进一步讨论,尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识,建立一个具有广泛适用性的国际公约。国际公约的目的是在各方利益主体博弈的过程中,通过保障网络信息安全使网络信息时代下的各行为主体可以公平占有使用网络资源共享网络发展带来的利益并且保障各国的安全,维护各主体的合法权益。首先, 国际公约需遵循《联合国》,根据《联合国》国际公约应明确指出国家应尊重原则,要求国家行为应尊重其他国家的,不得以非法手段侵害其他国家,这里不仅包含了传统国际法所称的平等、安全和不干涉内政,也包含了非传统安全的网络信息安全,国家应当尊重国家之间彼此的核心利益,并且尊重与网络信息安全有关的国家政策问题的安全。例如“国家不应以窃取、监听等不文明手段获得他国信息”。其次,公民的网络信息也属于公民的隐私,并且随着网络技术的不断发展,网络信息的安全涉及到公民的财产,所以公民的网络信息也是公民的财产权利,保证公民网络信息安全同样是对公民财产权利的保护。国际公约应尊重公民的基本权利,所以国家应在“充分尊重信息空间的权利和自由,包括在遵守各国法律法规的前提下寻找、获得、传播信息权利和自由”;对他国公民通讯的监控和信息的获取,应取得合法手续,并且必须出于合法目的。网络信息技术的不断发展是科技不断创新的产物,未来全球化进程不断加剧,网络信息技术将会涉及方方面面,只有保证网络信息技术的安全性才能使得各国不断运用创新。否则无法保障网络信息技术的安全,国家就会丧失建设全球网络时代的信心,科技的发展将会倒退。再次,国际公约的制定旨在维护网络信息安全,避免国家实施违反国际法原则的侵权行为。例如对别国公民、企业组织、政府机关进行监控,对国家进行监听和非商业用途收集信息。出于对各国共同安全利益的考量,国际公约应该本着平等互助的原则制定统一的监管网络信息的标准,保护国家间共同的利益,统一制定评价国家行为需要参考的因素,明确国家网络信息安全不可侵犯的界限。最后,由于网络信息技术涵盖范围广泛涉及了信息收集、监听监控、国家安全等领域,所以内容的特殊性和复杂性使得国际公约在实施过程中其约束力存在不足,故而要结合国际法以及其他国际公约。例如《联合国》、反恐领域的国际公约、人权保护公约、《国家对国际不法行为的责任条款》《跨国公司和其他商业企业关于人权责任的准则》并且配合联合国国际法委员、人权委员会等机构相互合作。
(三)在联合国的框架内建立网络信息安全的监管机构和执行机构
网络安全法论文范文第2篇
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
网络安全法论文范文第3篇
1 移动互联网的安全现状
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
[参考文献]
网络安全法论文范文第4篇
论文摘要:证券行业作为金融服务业,是一个高度依赖信息技术的行业。信息安全是维护资本市场稳定的前提和基础,没有信息安全就没有资本市场的稳定。介绍了维护好证券行业信息安全的重要意义,分析了行业信息安全现状以及存在的问题,并提出了相应的对策。
近年来,我国资本市场发展迅速,市场规模不断扩大,社会影响力不断增强.成为国民经济巾的重要组成部分,也成为老百姓重要的投资理财渠道。资本市场的稳定健康发展,关系着亿万投资者的切身利益,关系着社会稳定和国家金融安全的大局。证券行业作为金融服务业,高度依赖信息技术,而信息安全是维护资本市场稳定的前提和基础。没有信息安全就没有资本市场的稳定。
目前.国内外网络信息安全问题日益突出。从资本市场看,近年来,随着市场快速发展,改革创新深入推进,市场交易模式日趋集巾化,业务处理逻辑日益复杂化,网络安全事件、公共安全事件以及水灾冰灾、震灾等自然灾害都对行业信息系统的连续、稳定运行带来新的挑战。资本市场交易实时性和整体性强,交易时问内一刻也不能中断。加强信息安全应急丁作,积极采取预防、预警措施,快速、稳妥地处置信息安全事件,尽力减少事故损失,全力维护交易正常,对于资本市场来说至关重要。
1 证券行业倍息安全现状和存在的问题
1.1行业信息安全法规和标准体系方面
健全的信息安全法律法规和标准体系是确保证券行业信息安全的基础。是信息安全的第一道防线。为促进证券市场的平稳运行,中国证监会自1998年先后了一系列信息安全法规和技术标准。其中包括2个信息技术管理规范、2个信息安全等级保护通知、1个信息安全保障办法、1个信息通报方法和10个行业技术标准。行业信息安全法规和标准体系的初步形成,推动了行业信息化建设和信息安全工作向规范化、标准化迈进。
虽然我国涉及信息安全的规范性文件众多,但在现行的法律法规中。立法主体较多,法律法规体系庞杂而缺乏统筹规划。面对新形势下信息安全保障工作的发展需要,行业信息安全工作在政策法规和标准体系方面的问题也逐渐显现。一是法规和标准建设滞后,缺乏总体规划;二是规范和标准互通性和协调性不强,部分规范和标准的可执行性差;三是部分规范和标准已不适应,无法应对某些新型信息安全的威胁;四是部分信息安全规范和标准在行业内难以得到落实。
1.2组织体系与信息安全保障管理模型方面
任何安全管理措施或技术手段都离不开人员的组织和实施,组织体系是信息安全保障工作的核心。目前,证券行业采用“统一组织、分工有序”的信息安全工作体系,分为决策层、管理层、执行层。
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据证监会颁布的《证券期货业信息安全保障管理暂行办法》,参照iso/iec27001:2005,提出证券期货业信息安全保障管理体系框架。该体系框架采用立方体架构.顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构.侧面是各个机构为实现信息安全保障目标所采取的措施和方式。
1.3 it治理方面
整个证券业处于高度信息化的背景下,it治理已直接影响到行业各公司实现战略目标的可能性,良好的it治理有助于增强公司灵活性和创新能力,规避it风险。通过建立it治理机制,可以帮助最高管理层发现信息技术本身的问题。帮助管理者处理it问题,自我评估it管理效果.可以加强对信息化项目的有效管理,保证信息化项目建设的质量和应用效果,使有限的投入取得更大的绩效。
2003年lt治理理念引入到我国证券行业,当前我国证券业企业的it治理存在的问题:一是it资源在公司的战略资产中的地位受到高层重视,但具体情况不清楚;二是it治理缺乏明确的概念描述和参数指标;是lt治理的责任与职能不清晰。
1.4网络安全和数据安全方面
随着互联网的普及以及网上交易系统功能的不断丰富、完善和使用的便利性,网上交易正逐渐成为证券投资者交易的主流模式。据统计,2008年我同证券网上交易量比重已超过总交易量的80%。虽然交易系统与互联网的连接,方便了投资者。但由于互联网的开放性,来自互联网上的病毒、小马、黑客攻击以及计算机威胁事件,都时刻威胁着行业的信息系统安全,成为制约行业平稳、安全发展的障碍。此,维护网络和数据安全成为行业信息安全保障工作的重要组成部分。近年来,证券行业各机构采取了一系列措施,建立了相对安全的网络安全防护体系和灾舴备份系统,基木保障了信息系统的安全运行。但细追究起来,我国证券行业的网络安全防护体系及灾备系统建设还不够完善,还存存以下几方面的问题:一是网络安全防护体系缺乏统一的规划;二是网络访问控制措施有待完善;三是网上交易防护能力有待加强;四是对数据安全重视不够,数据备份措施有待改进;五是技术人员的专业能力和信息安全意识有待提高。
1.5 it人才资源建设方面
近20年的发展历程巾,证券行业对信息系统日益依赖,行业it队伍此不断发展壮大。据统计,2008年初,在整个证券行业中,103家证券公司共有it人员7325人,占证券行业从业总人数73990人的9.90%,总体上达到了行业协会的it治理工作指引中“it工作人员总数原则上应不少于公司员工总人数的6%”的最低要求。目前,证券行业的it队伍肩负着信息系统安全、平稳、高效运行的重任,it队伍建设是行业信息安全it作的根本保障。但是,it人才队伍依然存在着结构不合理、后续教育不足等问题,此行业的人才培养有待加强。
2 采取的对策和措施
2.1进一步完善法规和标准体系
首先,在法规规划上,要统筹兼顾,制定科学的信息技术规范和标准体系框架。一是全面做好立法规划;二是建立科学的行业信息安全标准和法规体系层次。行业信息安全标准和法规体系初步划分为3层:第一层是管理办法等巾同证监会部门规章;第二层是证监会相关部门制定的管理规范等规范性文件;第三层是技术指引等自律规则,一般由交易所、行业协会在证监会总体协调下组织制定。其次,在法规制定上.要兼顾规范和发展,重视法规的可行性。最后,在法规实施上.要坚持规范和指引相结合,重视监督检查和责任落实。
2.2深入开展证券行业it治理工作
2.2.1提高it治理意识
中国证券业协会要进一步加强it治理理念的教育宣传工作,特别是对会员单位高层领导的it治理培训,将it治理的定义、工具、模型等理论知识纳入到高管任职资格考试的内容之中。通过举办论坛、交流会等形式强化证券经营机构的it治理意识,提高他们it治理的积极性。
2.2.2通过设立it治理试点形成以点带面的示范效应
根据it治理模型的不同特点,建议证券公司在决策层使用cisr模型,通过成立lt治理委员会,建立各部门之间的协调配合、监督制衡的责权体系;在执行层以cobit模型、itfl模型等其他模型为补充,规范信息技术部门的各项控制和管理流程。同时,证监会指定一批证券公司和基金公司作为lt试点单位,进行it治理模型选择、剪裁以及组合的实践探索,形成一批成功实施it治理的优秀范例,以点带面地提升全行业的治理水平。
2.3通过制定行业标准积极落实信息安全等级保护
行业监管部门在推动行业信息安全等级保护工作中的作用非常关键.应进一步明确监管部门推动行业信息安全等级保护工作的任务和工作机制,统一部署、组织行业的等级保护丁作,为该项丁作的顺利开展提供组织保证。行业各机构应采取自主贯彻信息系统等级保护的行业要求,对照标准逐条落实。同时,应对各单位实施信息系统安全等级保护情况进行测评,在测评环节一旦发现信息系统的不足,被测评单位应立即制定相应的整改方案并实施.且南相芙的监督机构进行督促。
2.4加强网络安全体系规划以提升网络安全防护水平
2.4.1以等级保护为依据进行统筹规划
等级保护是围绕信息安全保障全过程的一项基础性的管理制度,通过将等级化的方法和安全体系规划有效结合,统筹规划证券网络安全体系的建设,建立一套信息安全保障体系,将是系统化地解决证券行业网络安全问题的一个非常有效的方法。
2.4.2通过加强网络访问控制提高网络防护能力
对向证券行业提供设备、技术和服务的it公司的资质和诚信加强管理,确保其符合国家、行业技术标准。根据网络隔离要求,要逐步建立业务网与办公网、业务网与互联网、网上交易各子系统间有效的网络隔离。技术上可以对不同的业务安全区域划分vlan或者采用网闸设备进行隔离;对主要的网络边界和各外部进口进行渗透测试,进行系统和设备的安全加固.降低系统漏洞带来的安全风险;在网上交易方面,采取电子签名或数字认证等高强度认证方式,加强访问控制;针对现存恶意攻击网站的事件越来越多的情况,要采取措施加强网站保护,提高对恶意代码的防护能力,同时采用技术手段,提高网上交易客户端软件使朋的安全性。
2.4.3提高从业人员安全意识和专业水平
目前在证券行业内,从业人员的网络安全意识比较薄弱.必要时可定期对从业人员进行安全意识考核,从行业内部强化网络安全工作。要加强网络安全技术人员的管理能力和专业技能培训,提高行业网络安全的管理水平和专业技术水平。
2.5扎实推进行业灾难备份建设
数据的安全对证券行业是至关重要的,数据一旦丢失对市场各方的损失是难以估量的。无论是美国的“9·11”事件,还是我国2008年南方冰雪灾害和四川汶川大地震,都敲响了灾难备份的警钟。证券业要在学习借鉴国际经验的基础上,针对自身需要,对重要系统开展灾难备份建设。要继续推进证券、基金公司同城灾难备份建设,以及证券交易所、结算公司等市场核心机构的异地灾难备份系统的规划和建设。制定各类相关的灾难应急预案,并加强应急预案的演练,确保灾难备份系统应急有效.使应急工作与日常工作有机结合。
2.6抓好人才队伍建设
证券行业要采取切实可行的措施,建立吸引人才、留住人才、培养人才、发展人才的用人制度和机制。积极吸引有技术专长的人才到行业巾来,加强lt人员的岗位技能培训和业务培训,注重培养既懂得技术义懂业务和管理的复合型人才。要促进从业人员提高水平、转变观念,行业各机构应采取采取请进来、派出去以及内部讲座等多种培训方式。通过建立规范有效的人才评价体系,对信息技术人员进行科学有效的考评,提升行业人才资源的优化配置和使用效率,促进技术人才结构的涮整和完善。
网络安全法论文范文第5篇
(一)观念意识淡薄
网络是新生事物,很多人在利用网络学习、工作和娱乐的时候,常常忽略网络信息是否安全,他们不仅没有认识到信息安全不足的事实,还普遍存在安全意识淡薄的问题。与此同时,网络经营者在安全领域的投入远远不足,他们注重的都是网络的效应。在面对电子政务信息安全风险时,意识不到存在的风险才是真正最难解决的问题。值得庆幸的是,政府在发展过程中还是清楚的意识到安全问题的存在,只是使用者对自我信息安全保护还缺乏敏感的意识。
(二)管理体系不完善
田敏达在《电子政务信息安全策略研究》的论文中认为,电子政务信息安全不是单纯的技术问题。如果缺乏行之有效的安全检查保护措施,无法从技术、人员以及管理制度上建立电子政务信息安全防范体制,即使是再好的设备和技术也无法保证信息的安全。谭晓在《电子政务信息安全系统的设计与实现技术》中提出,管理体系也是电子政务安全体系的重要组成部分。管理作为网络安全的核心,要实现信息安全的有效管理,不仅需要技术手段的维护,还需要制定合理的管理制度,如日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等,这样才能发挥有效的作用。
(三)技术存在缺陷
田敏达在《电子政务信息安全策略研究》中也提出了存在的一些问题,包括我国网络安全技术落后、技术优势与相关行业脱节研究、计算机系统本身的脆弱性、我国对发达国家信息设备和信息技术存在着很强的依赖性。技术问题是支持电子政务信息系统稳定高效运行的关键手段,技术的问题是可以控制的,但是开发技术,实现高超的技术水平却是困难的。
(四)法律不健全
孟薇《电子政务信息安全研究》提出尽管一些既有的法律法规的出台和实施对于我国电子政务信息的安全起到相当积极的作用,但仍难以适应电子政务发展的需要,信息安全立法还存在相当多的盲区。在法律方面,基本的法律法规对电子政务信息安全有一定的约束作用,但是目前法律法规还存在不健全、覆盖有盲点、制度不协调等问题,这些为钻法律空缺的违法者提供了“正当”理由。
二、我国电子政务信息安全的防范策略
(一)增强政府部门的管理功能
对电子政务信息安全管理方面进行全方面的研究要从安全审计、数据库、电子邮件系统、浏览器、认证中心、安全产品的安全以及防火备份的安全管理等方面。通过建立和完善管理部门功能,增强管理业务操作,防范与避免不法分子对信息管理系统的侵犯。
(二)加强信息安全专门人才的教育培养
目前,我国信息安全系统及其产品不仅仅依靠向其他国家引进,而更多的是通过政府、行业以及企业在信息安全领域的投资开发,设计出经济合理以及具有自主知识产权的实用产品和适用技术。因此,建立信息安全产品技术研发的核心,即创造高水平的研究教育环境、培养高素质的信息安全人才以及提高信息安全理论基础知识的研究,另外,科研教育基地的大力支持和投入也为其奠定了基础。
(三)设置技术的远程访问的控制
通过路由访问策略和防火墙技术隔离内网与外网,在内网与外网相连通时,必须采取这样的措施才能避免安全隐患的存在。电子政务是开放,但又是封闭的,如何保证相应的客户访问到有权限涉及的资源,又能够保障对其限制的资料不被访问,就是电子政务的设计人员必须考虑的问题。针对此类问题,可以通过设置鉴别服务器来专门负责远程访问得到控制,至于是否设置鉴别服务器取决于该电子政务系统的规模。
(四)建立技术密钥分配中心
密钥的设立贯穿于网络的各个层次和级别,如负责访问控制以及证书、密钥等安全材料的产生、配置、更换和销毁等相应的安全管理活动,在身份认证机制和信息加密中,都要使用到加密体制,而无论什么加密体制都离不开密钥的使用、存储和传输的安全性。因此可以通过建立密钥分配中心负责信息加密、访问控制中心、安排鉴别服务器、授权服务器等活动。
(五)构建完善的安全法律体系
国家的政策法律要适应社会存在的需求和现实,通过为社会信息化发展提供全方面的指导思想以保障和促进国家的法制建设和信息化立法制度的建设。并且能够通过发展规范程度,继而实现更深层次的进步,同时促进国家信息化安全的环境构筑,为体现信息安全的法制文化做出有效的行动。针对存在缺陷的法律体系构建适合电子政务信息安全发展的法律法规,实现法律的约束。
(六)强化电子政务信息安全法律效率
