前言:中文期刊网精心挑选了网络空间安全措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络空间安全措施范文1
数据显示,截至2020年3月,我国43.6%的网民过去半年上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比最高。另有数据显示,以银行为代表的金融机构面临的风险成本最为高昂。
完备的法律无疑是数据安全的最强大屏障。目前,我国网络安全相关法律正在加紧制定。除了《民法总则》规定了对个人信息和数据进行保护外,近年来,我国还出台了《网络安全法》,该法于2017年6月1日起正式施行,是我国第一部全面规范网络空间安全管理方面的基础性法律,以此为基础的《个人信息保护法》(尚在制订中)、《数据安全法》(9月1日施行)等专项法规将陆续实施。
防范和降低网络风险,除了立法制约,还有什么方式和手段?随着数字经济的发展,欧美等国家已充分认识到防范网络安全风险的重要性,随着认识的逐渐成熟,相应的网络安全保险发展迅速。作为风险损失分摊的有效工具,网络安全保险可帮助企业转移潜在的不确定风险。欧美的成熟市场已将网络安全保险产品作为重要的风险管理手段,通过保险产品来分散和转移残余风险,补偿被保险人因网络安全事件所引发的重大经济损失,为涉事方提供恢复和补偿机制,协助其恢复正常运营,提高抵御网络安全事件的“韧性”。
相比国外较为成熟的网络安全保险市场,我国网络安全保险市场仍处于起步阶段。目前国内有人保、国寿、平安、太保在内的大型保险公司和一些再保险公司能够提供网络安全保险的相关产品和承保能力。52021年是“十四五”规划的开局之年,无论是国家还是地方,都在助推数字化转型中的网络安全建设,由此来看,网络安全保险的市场空间巨大。根据慕尼黑再保险的预计,到2025年,全球网络安全保险市场规模将达到约200亿美元。
网络安全保险是对网络空间的不确定性进行承保,保险公司承保前十分注重核保风险评估,这一过程需要大量的准备工作,以此来决定是否承保,并制定合理的价格。在此背景下,如果投保企业想要获得承保资格,以及更优惠的价格,就必须实施有效的网络安全措施。例如被保险人的组织架构、制度体系、技术措施等,这也进一步促使企业重视“内生安全”,全方面提高企业网络风险防范水平,助力企业网络安全建设。
网络安全保险不仅仅是保险公司提供的一个简单的保险产品,还需要提供相应的服务与之匹配。在国外,保险公司会根据投保企业的网络安全风险管理需求,为其提供一揽子、全周期管理方案,包括承保后的风险管理服务,险情出现后的应急响应服务,以及日常网络安全维护等服务。
我国网络安全保险市场尚未成熟,保险公司若仅凭自身资源,无力闭环防范网络风险,更缺乏基于大数据的风险模型设定与资源匹配的行业指导及规范。因此,往往需要再保险公司和科技公司介入,在数据积累、资源整合、技术研发等多方面发挥优势。
网络空间安全措施范文2
随着互联网的快速发展和广泛应用,人类正逐步地从工业社会迈入信息社会。网络也已经越来越成为人们社会生活的重要场所。网络的开放性和传播速度快等特征,既使得网络中的信息来源渠道广泛、内容丰富,同时又为信息的交流、传播,提供了较现实环境更为广阔的空间。例如:网站提供的电子邮箱服务(尤其是免费邮箱服务)极大地提高了信息的交流速度。然而随着人们对电子邮箱服务的依赖越来越强的时候,人们慢慢发现自己的电子邮箱开始每天会多出一点无用的广告邮件,渐渐地越来越多,甚至有的用户电子邮箱中的广告邮件由于来不及清理,导致了电子邮箱的崩溃。更有甚者,有的广告邮件本身就带有病毒,会导致用户的计算机染上病毒,从而给用户造成了很大地损失。而当用户打算向发信人拒收此类广告邮件时,常常会发现寄发电子广告邮件的地址通常是伪造的或并不存在的论文。
电子广告邮件,通常又被人们称为“垃圾邮件”。在美国又被称为“不请自来的商业电子邮件”(UnsolicitedCommercialEmail),它是指那些寄发到用户电子邮箱里的不断重复而且不受欢迎的电子广告信函。但它又不同于人们在访问各网站时,伴随而出的很多时尚性电子广告。因为它们通常并不影响用户访问网站。(用户对于它们或弃而不看,或干脆关掉)
二、电子垃圾邮件引发的相关法律问题
对于众多电子邮箱用户遭遇的这种“尴尬”,仔细追究其因,不外乎两种,要貊是网络广告商费劲心思“淘金所得”,要麽是网站所有者的“背后一击”,即:由网站所有者向网络广告商有价转让电子邮箱所有者的相关资料。因为在申请注册电子邮箱时,用户需要填写相关的材料。因此,对于众多用户包括电子邮箱在内的相关材料,网站必然所知,难逃其责。由此不难看出,电子垃圾邮件的大量出现,一方面使得广大用户不胜其烦,另一方面也由此引发了相关的法律问题。
(一)侵犯用户隐私权的法律问题
正如上面所述,用户电子邮箱中之所以大量涌现垃圾邮件(除用户在其他网站自愿订阅电子期刊,而向订阅网站提供自己较为准确的联系方式——电子邮箱外)。探究其因,不外乎两种。其一是寄发垃圾邮件的网络广告商任意在网络上大量搜集众多电子邮箱地址的行为。但这种行为不但费时费力,而且也不存在侵犯网络用户隐私权的法律问题。其二便是提供电子邮箱服务的网站向网络广告商大量转卖其掌握的会员资料,包括用户的电子邮箱的地址,从而使得网络广告商不费吹灰之力,“按图索骥”的向用户的电子邮箱中,寄发大量垃圾邮件。这很类似于目前广大学校为了招揽生源,不择手段地获取在校学生的名单,从而乱发所谓的录取通知书的行为。
隐私权作为一种基本人格权利,是指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”(((它是伴随着人类对自身的尊严、权利和价值的认识而逐渐产生的。然而,近些年来随着互联网的迅猛发展,不但传统的隐私权受到了极大地挑战,而且网络空间个人隐私权也受到了严峻的挑战。如何强化网络空间个人信息和隐私权的法律保护,如何协调、平衡网络空间中个人和社会公共间的利益,已成为国际社会网络立法的当务之急。
网络空间的个人隐私权主要指“公民在网上享有的私人生活安宁与私人信息交流受到保护,不被他人非法侵犯,知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图象,以及毁损的意见等。”(((与传统意义上的隐私权范围仅限于“与社会公共利益无关的私生活信息,而在网络环境中,以数据形式存在的不受传统隐私权保护的个人信息或资料,对电子商家来说已经变成了可以赚钱的有用信息。”(((基于有利可图的商业利润,众多网站纷纷达起了电子邮箱用户的主意,而网络广告商也正有这方面的需求,于是两者一拍即合。从而造成了垃圾邮件大量泛滥的现象。这正是“追求商业利益最大化的经营者,对公民的个人资料进行收集、整理并应用于以营利为目的的经营活动中,侵犯了消费者对于其个人隐私所享有的隐瞒、支配、维护以及利用权。”(((
综上所述,造成电子邮箱里出现大量垃圾邮件的行为,明显地侵犯了用户的隐私权,即合法控制个人数据、信息材料的权利。而“赋予网络用户对自己的个人信息控制权已经成为了民事权利在网络空间中的延伸与发展,成为了目前民事立法的重要任务。”(((比如:欧盟1995年颁布的《个人数据处理和活动中个体权利的保护指令》,1996年颁布的《电子通讯资料保护指令》,1999年颁布的《Internet上各人数据保护的一般原则》和德国1997年颁布的《信息通信服务法》第二章的《对电信服务中使用个人数据进行保护法》等。
(二)违反合同义务,侵犯网络服务提供商合法权益的法律问题
欲寄发大量电子广告邮件,网络广告商势必要与网络服务提供商(ISP)签订服务合约,使用网络服务提供商提供的服务器,完成寄发邮件的行为。但这种大量寄发垃圾邮件的行为,一方面会造成服务器负担过重,由于网络服务提供商提供的网宽,在一定时期内是固定不变的,很有可能会因为网络广告商占有大量的网络传输频宽,而造成其他用户服务的中断,或使其他用户收发电子邮件的服务器主机无法顺利运作,甚至还会给用户造成巨大的损失。从而势必从根本上减少用户对该服务器的使用次数,进一步损害服务器所有人——网络服务提供商(ISP)的使用、收益权能,并且这种行为显然是故意而为的。另一方面这种行为也违反了合同的约定。(通常服务合约中会规定禁止会员利用服务器发送垃圾邮件的行为)
根据《民法通则》第106条的规定:“公民、法人违反合同或者不履行其他义务的,应当承担民事责任。公民、法人由于过错侵害国家的、集体的财产,侵害他人财产、人身的,应当承担民事责任。”很显然网络广告商的行为违反了合同义务,侵犯了网络服务提供商的合法权益。
三、解决电子垃圾邮件引发的侵害隐私权法律问题
针对电子垃圾邮件引发的侵害隐私权的法律问题,仔细分析其形成原因,正如上面所述,一方面是源于网络的固有特性和巨大的利益驱动,另外广大用户缺乏保护隐私
与传统隐私权的法律保护相比,对于网络空间个人隐私权益的保护,美国更倾向于行业自律。如:FTC就该问题提出了四项“公平信息准则”,要求网站搜集个人信息时要发出通知,允许用户选择信息并自由使用信息;允许用户查看有关自己的信息,并检索其真实性;要求网站采取安全措施保护未经授权的信息。此外,FTC在1999年7月13日的报告中甚至认为“我们相信有效的业界自律机制,是网络上保护消费者隐私权的最好解决方案。”然而随着网上个人资料大量被盗的现象越来越严重,美国政府也被迫采取了立法和判例两种形式,来加强对网络空间隐私权的法律保护。其一是最早关于网上隐私权保护的《儿童网上隐私权保护法》,此外还有1996年低通过的《全球电子商务政策框架》和1999年5月通过的《个人隐私权与国家信息基础设施》。在判例上,则是在1993年加利福尼亚州BourkeVNissanMotor公司一案中,美国确立了Email中隐私权保护的一般原则:“事先知道公司政策(知道Email可被别人查阅)即可视为对隐私权无合理期望,且所有者、经营者对本网站的访问不构成截获。”(((
(二)欧盟采取的立法规则模式
与美国相比,欧盟采取了立法规制的方式,来保护网络空间的个人隐私权。如上文曾提到的欧盟1995年颁布的《个人数据处理和活动中个体权利的保护指令》,1996年颁布的《电子通讯资料保护指令》,还有1999年颁布的《Internet上各人数据保护的一般原则》、《关于Internet上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集处理过程中个人权利保护指南》等相关法规。它们一起构成了欧盟统一的具有可操作性的隐私权保护的法律体系。较美国的行业自律模式相比,欧盟的做法显得对个人网络空间隐私权的法律保护更加有力。
此外,我国的台湾省也于1995年正式的颁布了《电脑处理个人资料保护法》及其实施细则,也对个人网络空间隐私权提供了较为有力的法律保护。
四、我国为解决电子垃圾邮件引发的相关法律问题应采取的措施
在我国无论是最高法《宪法》,还是民事基本法的《民法通则》,都十分明确地规定了对公民隐私权和公民合法财产所有权的法律保护。与国外相比,由于电子垃圾邮件引发的相关法律问题在中国刚刚出现不久,所以在解决电子垃圾邮件引发的相关法律问题方面的措施,仍显得缺乏力度。随着该问题的日益严重,笔者认为,我国应从以下几个方面采取有立措施,从根本上解决这类问题的产生。
(一)在充分考虑基本国情的前提下,借鉴外国经验,制订我国解决网络空间的个人隐私权法律保护方面的相关法律
由于电子垃圾邮件所引发的相关法律问题的核心集中于网络空间的个人隐私权的法律保护。所以我国首先应从法律上明确将隐私权做为一种独立的民事权利,再进一步加快制订我国的《隐私权法》,从而对传统与网络环境中的个人隐私权都加强法律保护。这同时又涉及到另一个值得思考的问题,即面对网络,原有的民法应该如何加以调整,才能既适用于传统又适用于网络环境?(因本文重点不在此,故不在详谈)
在目前条件不成熟的情况下,可以仿照对网络著作权的保护模式(先由最高院颁布《关于审理涉及网络著作权纠纷案件适用法律若干问题的解释》,待条件、时机成熟时,再在《著作权法》作出修订完善),先由国务院相关部门或最高法院拟定相关条例、决定或司法解释。但同时应充分坚持“任何对互联网的规则都不应阻碍其发展”这一基本原则。
(二)在具体做法上,要求网络服务提供商采取相应的技术措施,既保护自身利益,更要加强对网络用户合法利益的保护
1、网络服务提供商对网络用户提供的技术保护
由于网络服务提供商(ISP)在用户申请注册电子邮箱时,向用户提供自由选择是否考虑广告电子邮件的服务功能,即由用户根据自己的意愿去选择是否接受此类服务。这一方面,可以减少网络服务提供商(ISP)所面临的共同侵权风险,另一方面,也充分体现了网络的自由性和网络空间适用法律的私法性。
2、网络服务提供商对自身的保护
为了将合法权益被损害的可能性降至最低,网络服务提供商在对网络用户加强保护其合法权益的同时,还应该充分利用自己的优势——技术,来加强对网络的审查。因为这一方面可以减少并防止那些不法网络广告商利用服务器,损害其合法权益的行为,另一方面可以随时通过其自身的技术,监测网络广告商是否违反服务合约而大量乱发广告电子邮件,而这样做既利人又利己。
(((张新宝,《隐私权的法律保护》,北京群众出版社1997年版,第21页。
(((殷丽娟,《专家谈网上合同及保护网上隐私权》,《检察日报》,1999年5月26日。
(((刘德良,《论互联网对民法学的影响》,《南京社会科学》2002年第1期,第57页。
(((杨立新,《关于隐私权及其法律保护的几个问题》,《人民检察》2000年8月28日。
(((刘德良,《论互联网对民法学的影响》,《南京社会科学》2002年第1期,第57页。
(((王全弟赵丽梅,《论网络隐私权的法律保护》,《复旦学报(社会科学版)》,2002年第1期,第110页。
网络空间安全措施范文3
1 “棱镜”折射下我国网络信息安全面临的巨大挑战
1. 1 对新兴科技的滥用加剧网络安全的脆弱性
美国著名技术史专家M.Kranzberg曾深刻地指出:“科技本身既不好也不坏,甚至不是中立的。科技进步往往对环境、社会以及人产生超越科技设备及技术本身直接。科技本目的的影响,这正是科技与社会生态的互动” 身不会对网络安全造成威胁,对科技的滥用才是网络安全风险的根源。“棱镜门”事件中,无论是美国政府,还是涉事的几大网络巨头,无一不利用了新技术的跨地域性、隐秘性、造成破坏的规模性及不确定性,加剧了全球网络安全的脆弱性。了解新技术对我国网络安全的影响,是构筑我国网络安全战略的必要前提。
1.1.1“云”技术放大了数据风险“云计算”指远程数字信息存储技术,该技术允许用户从接入到互联网的任意互联设备接触其文件。云计算技术如同双刃剑,在用户运用该技术便捷地进行数据共享、备份的同时,也为新的技术风险与社会冲突开启了方便之门。
首先,云计算服务商可能基于监管套利“合法地侵害”我国用户的个人隐私和安全。监管套利指互联网环境下,某些跨国企业通过选择适用自身偏好的法律以规避对己不利的监管。云计算的服务器可能位于不同国家,而不同国家对数据安全义务的界定、数据丢失责任、隐私保护、数据的公开政策等均存在不同规定,监管法律的差异为云服务商提供了套利空间。例如卷入“棱镜门”的谷歌公司,虽然向我国用户提供网络服务,其服务器却位于美国加州。其提供的谷歌云端硬盘(GoogleDrive)服务要求用户同意谷歌可“依据谷歌的隐私政策使用其数据”,但谷歌有权随时改变其隐私政策。在谷歌最新的隐私政策中规定:“如果我们确信:为了满足适用法律、法规、法律程序的要求或强制性的政府要求的目的而有必要访问、使用、保留或披露相关信息,我们就会与Google以外的公司、组织和个人分享用户个人信息。”据此,谷歌有权也有义务遵守服务器所在地的美国国家安全局的要求,向其提供用户储存的数据。作为互联网用户无可避免的传输和储存信息的数字中介,云计算服务商向美国政府披露用户信息在美国虽属“合法”,却严重地损害了他国用户的个人信息隐私和安全,甚至可能影响他国国家安全。
其次,云计算“数据所有人与控制人分离”的模式增加了对网络信息在物理上监管和追责的难度。在传统模式下,数据存放在本地技术设施中,数据在逻辑上、物理上是可控的,因此风险也是可控的。在云计算模式下,由于用户的数据不是存储在本地计算机上,而是在防火墙之外的远程服务器集中储存,传统的、借助机器或网络物理边界来保障信息安全的方式已经无法发挥作用。发生信息安全事件时,日志纪录可能分散在位于不同国家的多台主机和数据中心,因此即使是同一个云服务商部署的应用程序和托管服务,也可能难以追查纪录,这无疑增加了取证和数据保密的难度。
1.1.2大数据技术动摇数据保护的基本原则大数据指各类组织依托海量数据、更快的电脑以及新式分析技巧以挖掘隐藏的极有价值的关联性、更为强大的数据挖掘方式。“棱镜门”牵涉的所有互联网巨头,包括谷歌、微软、脸谱、雅虎等均以不同形式运用了大数据技术,并将数据作为其主要资产以及价值创造来源。
首先,大数据可能动摇数据保护规制的基石。欧盟的数据保护指令、欧盟通用数据保护条例草案,以及世界其他国家的数据保护法大多依赖于“透明度”和“同意”的要求以确保用户能够在知情的基础上分享个人信息。然而大数据的性质就在于通过数据挖掘与分析寻找意料之外的联系以及制造难以预测的结果,不仅用户对于其同意的对象和目的缺乏认知,甚至运用数据挖掘技术的公司自身也无法事先得知通过大数据技术将发现什么,因此也就很难实现实质意义上的“同意”。
其次,大数据技术带来的巨大商业利润可能诱使服务商漠视用户隐私,进而威胁数据安全。在互联网背景下,一方面众多网络信息媒介有机会接触用户的大数据,而大数据技术使这些信息媒介能够以极低的成本轻易地获取和处理这些信息;另一方面,大数据能够产生惊人的商业利润:据McKinsey咨询集团的报告,大数据每年能为美国的健康行业贡献3000亿美元的价值,为欧洲的公共管理行业贡献2500亿欧元。因此,那些有机会接触客户庞大数据的网络媒介有足够的激励,以用户无法想象,并且常常是无法察觉的方式利用其客户的大数据。越来越多的商业组织开始将转卖搜集的数据视为潜在的商业机会,并且开始从中获利。大型金融机构开始将与其客户支付卡相关的数据进行市场推广(例如,常消费的店铺及购买商品)。在荷兰,一家GPS定位服务提供商将其用户移动的地理编码出售给政府机构,包括警察服务,而这些数据原本用以规划自动变速雷达陷阱的优化安装。在面临巨大利润诱惑并且无人知晓、无人监管的情况下,信息媒介对信息的利用容易偏离初衷,将用户信息置于巨大的风险中。
1. 2 我国网络信息安全市场信息不对称导致市场失灵
披露网络安全风险的成本、技术障碍以及我国网络信息安全立法的缺失决定我国网络信息安全市场存在信息不对称。由于缺乏真实反映网络安全风险的信息,产业将无法准确决定需要供给多少网络安全产品,这一市场失灵导致网络信息安全风险的必然性。
1.2.1披露网络安全风险的技术障碍及成本决定网络信息安全市场的信息天然不足网络信息安全风险自身的无形性、复杂性、动态性特征决定了网络安全风险的相关信息存在先天不足。同时,由于公布网络安全风险事件可能损害市场份额、声誉以及客户群,私人企业往往缺乏激励披露网络安全风险事件。有研究显示每公开披露一个安全漏洞,经销商的股价平均下跌0.6%左右,这相当于每披露一次漏洞,就丧失大约8.6亿美元的市值。网络安全风险的信息不对称并不意味着社会没有对网络安全上进行投资或投资过度,相反,它意味着“没有以理想的比例投资正确的防范措施”。由于缺乏对威胁及防范正确的认识,用户和企业倾向于投资万金油式的解决方法。同时,安全企业也不会具有足够的压力将新科技带入市场,以抵御实质性的威胁。
1.2.2我国网络信息安全立法的缺位加剧了市场失灵在公民网络信息安全方面,我国尚未颁布专门的法律。2009年我国在刑法中设立侵犯公民个人信息罪,然而该条款的适用对象仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,无法涵盖网络空间处理公民个人信息的网络服务提供商。同时该条款由于追责情形不清、缺乏明晰的处罚标准,被批评为“可操作性,欠佳”目前鲜见因该条款被追责的案例。现有网络安全立法散见于效力层级较低的行政法规、部门规章及地方政府规章,或是仅针对特定行业或特定信息对象,适用面狭窄。因此,即使“棱镜门”披露某些企业涉嫌侵犯我国公民网络信息安全,我国网络信息安全立法缺位的现状决定了此类事件在现阶段处于“无法可依、无责可追”的尴尬局面。在立法缺乏规制的情况下,企业并无确保网络安全及披露网络泄露事件的法定义务,对数据泄露事件的公布反而可能引来监管机构更多的关注,从而增加企业,乃至整个行业的运作成本。这决定了企业缺乏动机进行信息安全风险披露,加剧了信息不对称。
1. 3 网络军事化趋势引发网络信息安全风险升级
依据军事革命理论(RevolutioninMilitaryAffairs),新科技和相关组织架构的创新运用将引发战争性质的变化。随着数字网络关键基础设施的依赖性日渐增强以及相较于传统武器的低成本,军事战场开始从传统的水、陆、空转向网络空间,网络战工具被视为是军事革命的自然演进。Clarke在其《网络战》一书中将网络战定义为“国家为了造成损害或干扰的目的,侵入另一国电脑或网络的行为” 局在互联网上对包括中国在内的多个国家10类主要信息进行监听,该事件正是网络战的真实案例并已经实质性地威胁到全球网络环境的信息安全。不仅如此,我国网络频频遭受来自于海外的信息监控及网络攻击。据中国国家互联网应急中心数据显示,2012年的抽样监测发现,境外约有7.3万个木马或僵尸网络控制服务器控制我国境内1419.7万余台主机,其中位于美国的12891个控制服务器(占境外控制服务器的17.6%)控制我国境内1051.2万余台主机(占受境外控制的境内主机的74.0%),控制服务器数量和所控制的我国境内主机数量均居首位。这些事件并不是孤立的,背后是某些国家利用网络技术对中国、欧洲乃至全球信息霸权独享和控制的体现。网络战对信息安全的破坏存在如下特征。
1.3.1网络战具有不可预测性和不可控性指网络战对他国可能带来的破坏规模无法事先预测,其事后的衍生效应可能无法控制。信息系统在结构和互联设置上任何微小的改动都可能导致截然不同的系统行为,针对某一系统的网络攻击既由系统操作人的行为和该特定系统的性质所驱动,也可能由网络武器自身的特征所影响。网络武器相对小而隐蔽的特征使攻击对象难以察觉,无法作出及时的反应,进一步加剧了网络战后果的不可预测性。在2007年,爱沙尼亚整个国家的网络由于黑客攻击陷入瘫痪。具有政治动机的黑客通过制造数据过载,在长达10小时的时间里,迫使系统每6秒下载相当于整个WindowsXP操作系统规模的数据,致使整个国家的网络陷入瘫痪。爱沙尼亚最大的银行在此过程中损失超过100万美元,爱沙尼亚议会成员持续四天无法登录电子邮件系统。
1.3.2针对关键基础设施的网络战将导致对网络安全破坏强度的升级关键基础设施(CriticalInfrastructure)指一旦被摧毁或干扰,将对健康、安全、国家安全或公民的正常生活或政府的有效运作造成严重影响的、物理和信息的科技设施、网络、服务和财产。“棱镜”项目披露美国国家安全局曾入侵中国电讯公司以获取手机短信信息,并持续攻击清华大学的主干网络以及电讯公司Pacent香港总部的计算机,该公司拥有区内最庞大的海底光纤电缆网络。从该事件可知,网络安全风险已经从网上蔓延至网下,网络攻击的间接效果已经直接地威胁我国关键基础设施的安全。
1.3.3网络空间的军事化缺乏国际制约机制冷战期间各国订立了用以限制核武器制造的条约,以控制军备竞赛可能到来的潜在风险。然而目前各国尚未就互联网治理达成任何具有约束力的国际条约。如果互联网不受国家间条约框架的规制,将导致更加开放和不稳定的军事结构。国家间在网络空间的军备竞赛会威胁数字生态的稳定性,其造成破坏的规模和结果难以预料。
2构筑我国网络信息安全保护方略
“棱镜门”事件为我国网络信息安全敲响了警钟,从法治的视角积极构建我国网络信息安全保护方略不仅必要,而且迫切。在网络信息安全保护方略中,明确网络服务提供商的义务与责任是前提,完善网络用户救济权是核心;与此双管齐下的,是进行国际维权并推动国际谈判向利我方向发展。本文将从国内和国际两个视角分别思考。
2.1国内视角
构筑网络信息安全保护战略首先应体现在完善网络信息处理行为的规范和追责机制,矫正市场失灵,实现政策对确保网络安全和促进科技发展运用的最大效能。
2.1.1出台专门立法明确网络服务提供商的义务与责任
目前我国网络信息安全领域乱象丛生,很大程度在于现行法律缺乏对网络服务提供商在网络信息安全方面的法律义务和责任的规定,这意味着现实生活中的用户信息安全问题和信息安全纠纷解决常常依赖于网络服务供应商与用户之间的许可协议。网络服务商往往会利用自己的优势地位在服务协议中尽可能规避相关风险问题,不承诺对客户个人数据丢失、数据泄密及数据被破坏等行为承担法律责任,这无疑会侵害广大网络用户的信息安全。同时,在云计算、大数据等新生科技背景下,网络信息安全风险的跨地域性、隐秘性、造成破坏的规模性及不确定性等特点,客观上对我国信息网络安全立法提出了更高的要求。鉴于此,建议从以下几点明确网络服务提供商的法律义务与责任:
1)确立网络服务商持续的数据安全保护义务,即所有涉及数据处理的主体或组织都必须实施并保持合理、适当的安全流程及做法,以保护个人信息免受非法接入、丢失、破坏、使用、修改或披露的侵害。由于技术的快速革新,网络风险的来源与形式不断地发生调整,这就决定了数据安全保护义务不是一劳永逸的,而是持续的过程。具体而言,“合理、适当的安全措施”要求公司采取持续的、不间断的过程以定期评估风险、识别风险并针对风险采取适当的安全措施、监控并验证安全措施的有效实施,并确保会根据科技的发展持续地调整、更新。具体采取的安全措施应当由公司自行决定。
2)确立数据泄密的警示义务以确保用户的知情权。由于网络安全风险的无形性、即时性以及连带性,用户可能在发生了严重的犯罪结果后才得知信息外泄、丢失事件。为此,为了防止信息泄密导致用户更加严重的衍生后果,必须明确网络服务商对数据泄密的公示义务,即要求所有处理敏感个人信息的企业及机构在此类信息发生泄密事件后,必须在一定时限内向受影响的用户发出通知及警示。这里需要注意的是,该义务需要明确敏感信息的范围,包括但不限于:身份证号码,金融机构账户或信用卡号码等;而通知的方式应以电子方式或有全国影响力的传统媒体方式实现,以确保通知的覆盖面及即时性;而通知的情形应为个人用户数据的丢失、修改、破坏或者未经许可的接入的情形。
3)明确网络服务商的责任。对于未履行数据保护义务的网络服务商,应承担不同层次的责任,包括由主管部门发出违规通报、责令改正、行政罚款、撤销经营资格等行政处罚;同时个人数据受损的用户有权向网络服务提供商提出民事损害赔偿;刑法层面应将网络服务提供商纳入侵犯公民个人信息罪的主体范围中,并明确“情节严重”的具体认定标准。
4)建议引入欧盟的“长臂”条款约束跨境信息流动。“长臂条款”系欧盟特有的数据保护原则,该原则通过约束位于欧盟以外的数据处理人以及跨国公司集团内部的跨境数据转移,尤其是云计算背景下的第三国数据处理人,旨在确保向欧盟以外传输的欧盟公民个人数据能够获得与欧盟内类似的保护水平,因此具有跨域适用的“长臂效应”。该原则主要过3种机制以实现对欧盟境外主体的约束:①国家保护水平评估机制,即欧盟有权评估第三国是否就数据安全提供了足够水平的保护。如果经评估,第三国未能提供充分的保护水平,欧盟将禁止向该第三国传输个人数据并将与第三国协商。②约束性公司规则(BindingCorporateRules,BCR),指约束向公司集团设立于未提供充分保护水平国家的组织进行个人数据转移的公司内部政策(包括与数据安全、质量、透明度有关的隐私原则,有效性的工具,如审计、培训、投诉处理制度等,以及证明BCR具有约束力的要素)。草案规定跨国企业可以通过制定符合草案要求的BCR,并将BCR提交主要数据保护监管机构审批来履行充分保护义务。③标准数据保护条款或经许可的合同条款,指除了BCR,跨国企业也可以通过适用欧盟采纳的标准数据保护条款来履行足够保护义务。如果需要适用自行商议的合同条款,则该条款需要获得监管机构的事先许可。云计算技术使一国数据可能在他国存储或被处理,网络风险为此可以摆脱时间和地点的限制,风险的来源地和结果地可能完全分离,这为我国监管机构在网络安全监管、取证及追责带来许多困难。有鉴于新技术发展的实际需要,建议引入欧盟的“长臂”条款,明确我国网络安全的法律适用于我国以外建立的公司或组织,如果这些主体对我国用户信息进行处理或者提供外包服务。具体的约束机制包括对其在国内的经营实体进行监管,如未在我国设立经营实体,要求本国企业与其通过合同形式履行我国网络安全保护的义务。
2.1.2以救济权为核心完善网络用户的权利保障机制无救济,则无权利,面临网络空间愈演愈烈的安全风险,完善用户的“救济权”是当务之急。
1)确立保护用户的举证责任。在网络服务关系中,一旦用户选择了某一服务提供商,该服务提供商就获得了用户数据的控制权,可以通过检查用户纪录,掌握客户的商业秘密和个人隐私信息,用户在技术、信息获取、谈判用户处于相对弱势地位。为此,为了防止网络服务商滥用其在网络服务关系中的优势地位,也考虑到个人用户网络取证的难度,对于网络泄密造成的用户损失,应规定主要由网络服务商承担履行数据安全保护相关义务的举证责任。
2)确立“一站式”的主管机构。网络信息安全牵涉到个人隐私、商业秩序、电信设施安全、金融安全、公共安全及国家安全等社会管理的多个环节,各个环节的主管部门都涉及到部分网络监管的职能,然而各自为政、多头管理的体系增加了企业合规的不确定性和成本,也增大了公民维权的难度。建议设立涵盖所有行业的网络信息安全主管机构,考虑到网络安全的战略意义,该主管机构应直属于国务院,负责制定网络信息安全方面的政策战略,监管全行业的网络安全合规情况并具有相应的行政执法权,通过整合协调各个机构与网络信息安全相关的职能,作为受理用户与网络信息安全相关的投诉事件的接待门户,便利用低户成本、高效率、一站式解决网络安全方面的纠纷。
3)提供多层次的救济程序。除了传统的司法程序,针对网络数据保护纠纷涉及面广、技术性强、时效性要求高的特点,建议引入调解、仲裁程序,在网络主管机构下设专门处理个人信息纠纷的仲裁委员会,仲裁委员会由监管政府官员、网络安全技术人员、消费者代表、互联网服务商代表、学者等组成,在给定期限内由仲裁委员会提出调解方案供各方参考,如果各方接受,则作为具有约束力的文件履行;如果无法被接受,则进入司法程序。另外,数据泄密涉及者众,而互联网行业作为新兴行业进行旷日持久的独立诉讼也会造成巨大成本,建议规定数据保护集团诉讼/仲裁的程序,明确诉讼与仲裁之间的效力与程序衔接问题,引导通过集团诉讼或仲裁快速、简便地解决纠纷。
2.2国际视角
构筑我国网络信息安全保护方略不仅体现在国内立法与执法体系的完善上,也应体现在影响网络安全国际标准未来谈判和国际合作走向上。
在网络安全已经成为国际社会面临的共同挑战的今天,防范网络安全风险已不可能完全在封闭的国内法体系中实现,而必须置于国际法框架内予以合作和解决。许多情形下,网络安全问题已经不再是一个国家的司法内政问题,而是涉及到多个国家的司法问题,尤其是在类似于“棱镜门”这样影响范围广、涉及多国当事人的信息外泄事件,必然涉及到跨国取证、协调纠纷管辖以及明确法律适用等现实难题。目前许多国际组织,包括联合国、经合组织、亚太经合组织、欧盟、北约、八国集团、国际电信联盟(ITU)以及国际标准组织(ISO)都在解决信息和通讯基础建设的问题。一些新成立的组织开始考虑制定网络安全政策与标准,现有组织也积极地希望将职能拓展到这一领域。这些组织的协议、标准或做法将对全球产生影响。同时“棱镜门”事件后,各国纷纷对现有网络安全战略进行调整,可以预见今后几年将是推动网络安全国际合作框架建立的关键期。作为最主要的网络安全受害国与最大的发展中国家,一方面我国应进行相关研究,系统掌握各国网络安全战略的特征和动向,尤其是某些国家侵害他国公民网络信息安全的证据,为我国在国际阵地维权提供保障。另一方面中国有必要主动参与网络安全国际公约及标准的制定,充分表达本国合理的利益诉求,与各国紧密合作,借助各个国际舞台,积极争取我国在网络空间中的利益。
3结束语
网络空间安全措施范文4
【关键词】计算机病毒;信息安全;云计算
1、前言
近年来,我国信息产业持续快速发展,信息产业在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的、安全和社会稳定构成了威胁。计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。
2、计算机病毒发展情况分析
2011年,中国新增计算机病毒、木马数量呈爆炸式增长,总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为计算机病毒发展的三大显著特征。同时,病毒制造者的“逐利性”依旧没有改变,网页挂马、漏洞攻击成为黑客获利的主要渠道。新增计算机病毒、木马数量呈几何级增长,据金山公司监测数据显示,2010年,金山毒霸共截获新增病毒、木马1589万个。
3、3G云计算时代“云安全”的概念
紧随云计算、云存储之后,“云安全”应运而生。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是我国企业创造的概念,在国际云计算领域独树一帜。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端如图1所示。
4、建立安全的防治体系
病毒、木马进入新经济时代后,肯定是无孔不入,网络的提速让病毒更加的泛滥。因此在2012年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠。当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统“获取样本->特征码分析->更新部署”的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。
病毒直接对电信系统的网络、操作系统、用户、应用程序、数据安全受到威胁。体现在企业商业信息安全、互联网站信息安全、个人隐私类信息安全、网络欺骗类、网友见面人身安全、无线局域网(蓝牙)、手机病毒、手机窍听等,所以必须建立电信系统工程网络安全的防治体系如下图2所示。
4.1提升电信网络信息安全的核心技术
“云安全”的概念来源于“云计算”,“云安全”是“云计算”技术在信息安全领域的应用。更简单的讲,“云安全”是指防毒安全厂商利用客户端搜集病毒样本,然后找到处理方式分发给用户,这样整个互联网就成了一个大的保障用户电脑安全的杀毒软件。它融合了并行处理,网格计算,未知病毒行为判断等技术和概念,是网络时代信息安全的最新体现。
(1) 云安全核心技术之一:智能网页脚本行为判断技术。
智能网页脚本行为判断技术主要分为:溢出攻击防御技术:
溢出攻击防御技术,可以准确的判断溢出代码,并通过溢出代码的典型特征进行判断。
恶意行为的监控技术:恶意行为监控技术,会在染毒脚本运行调用系统函数的功能执行之前将其发现。
智能启发监控扫描技术:智能启发扫描监控技术,可以将病毒代码剥离出来,使之变成明码,从而利用较少的资源达到明码杀毒的目的。
(2)云安全核心技术之二:本机程序行为判断技术
作为云安全架构的另一大核心技术,本机程序行为判断技术将一系列已经定义好的恶意行为进行规范,并且根据规范监视进入用户电脑的程序做了什么,进而根据规范判定这个行为是好是坏。
4.2落实网络信息安全防范措施
(1)网络安全措施
网络层安全性的核心问题是网络能否得到控制,即:是不是任何一个 IP地址的用户都能进入网络。通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的IP地址,这个IP地址能够大致表明用户的来源地址和来源系统。目标站点通过对来源IP分析,能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。我们设计系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据免于遭受第二次危害。
用于解决网络层安全性问题的产品主要有防火墙产品和VPN(虚拟专用网)。防火墙的主要目的在于判断来源IP,将危害或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若与公众Internet相连,则应该在二者之间设置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全性问题,如果公司在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其主要目的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换。
(2)操作系统安全措施
在系统安全性问题中,主要防范的问题有两个:一是病毒对于网络的威胁;二是黑客对网络的破坏和侵入。病毒的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。电子邮件、文件传输以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。
(3)用户安全措施
对于用户的安全性问题,主要防范的问题是:是否只允许那些真正被授权的用户使用系统中资源和数据。
首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不被他人猜测到。
(4)应用程序安全措施
在这一系统中我们需要关注的问题是:是否只有合法的用户才能对特定的数据进行合法的操作。这涉及两方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。
(5)数据安全措施
数据的安全性所要关注的问题是:机密数据是否还处于机密状态。在数据的存取过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷窃者(如网络黑客)也读不懂其中的数据内容。这是一种比较被动的安全手段,但往往能收到最好的效果。
(6)良好的操作习惯
注意无线网使用包括手机的蓝牙、邮件收发完毕要关闭、网吧上网离开时重启计算机,下载后和安装软件前一定要杀毒、经常升级杀毒软件的病毒库、不需要安装太多的杀毒软件,重要文档不要放在系统盘中,而且要备份好。建立Ghost镜像、系统必须设置密码、需要较长时间离开电脑时锁定电脑,或拔掉网线。确保启用网络防火墙、一定要小心使用移动存储设备、不要随便接收文件,使用安全的浏览器、隐私文件要加密等防备人为病毒入侵。
5、计算机病毒防治控制的法律实现
要求在立法上对职责、义务、法律责任分配作出强制性规定。
(1)政府职责:对互联网络安全负有责任(Everyone is responsible),网络安全保障不单是政府独立完成的事务,需要互联网用户的积极参与。
(2)企业义务:对企业、公司内部治理结构的网络信息安全风险控制提出了要求,这也反映在ISO/IEC17799、ISO/IEC27001等国际标准中。
(3)公众义务:公众教育是防治的基本,法律责任是风险控制的最终保障。按照木桶效应,网络信息安全由最低层次的保障程度决定的,即使个人和小型企业遭到病毒入侵,也会积累成对基础设施的重大威胁。
(4)病毒制作、传播者责任承担:将风险责任(病毒事故的损失风险)负由病毒制作和传播者承担,增大行为人违法成本,要求承担损失风险,弱化网络空间的安全风险是防治立法的最终落结。
(5)成立风险控制的机构设置,设立信息安全委员会和安全专员或安全经理。
(6)计算机病毒防治立法:加强我国关于计算机病毒防治的立法,《刑法》第286条、《治安管理处罚法》第29条、《计算机信息系统安全保护条例》第23条、《电信条例》第58条执行落实。
网络空间安全措施范文5
关键词:数据通信;网络安全;提高
中图分类号:TN919文献标识码: A
一、数据通信网络与网络安全界说
1、数据通信网络
数据通信网络为客户提供信息必须以电话、电缆或者光纤作为传输媒介,以计算机作为信息接收、输出和交流工具,客户不仅可以处理接收的信息,还可以通过网络实现信息共享。数据网络根据覆盖面的大小分为局域网、广域网和国际网。局域网主要适用于机关单位内部,由于其适用面较小,因此网速快而且稳定,单位使用局域网不仅方便管理,而且能满足部分单位比如政府机关,对信息安全的高要求。广域网以城市为覆盖面,主要是为同一城市的市民提供网络服务。至于国际网,是覆盖全球的网络,其信息具有多样性和广泛性的特点,人们可以利用国际网进行娱乐、工作等,国际网是人们运用最普遍的网络。数据通信网络存在于我们生活的方方面面。
2、网络安全
网络信息是通过服务器和客户终端传递的,因此服务器、计算机或者网络都是决定数据安全的因素,现在网络安全已成为人们热议的话题之一。网络安全主要是保证客户信息的隐私,确保信息不被泄露、篡改或者删除。数据信息对单位的重要性可想而知,如果商家企业的数据遭到攻击,就可能造成商业秘密外泄,给企业造成的损失是无可估量的,因此必须提高信息的安全性。
二、目前的通信网络安全
分散性,交互性以及开放性是互联网的显著特点,人们利用这些特点达到共享信息开放交流的目的,却也忽视了这会引起很多网络安全问题,同时现今网络竞争越来越激烈,网络战争随时可能爆发,随时目前为了应对随时可能爆发的网络战争,网络战争武器的研发和网络战争部队的组建已经在很多国家悄然进行着,还做着时刻实战的准备。网络空间对我国国家展有着的重要作用,这已被很多人意识到,只是我国没有详尽清晰的国家战略,网络信息安全也不尽如人意。这样就不能知道了解国家对待网络安全的态度,不明确怎样规划网络安全的措施来获得什么样的核心利益。由中国互联网络信息中心的数据表明,我国的网民规模事实上已达到了一定的高度,并且有着上升趋势,还有就是手机网名的规模发展也相当理想,这却也无法避免被攻击很多次的威胁,这也就致使人们的个人利益还有社会利益的损失。这也就表明通信网络会越来越发达,通信网络安全问题也会越来越明显。
三、网络数据通信存在的安全隐患
1、人为操作失误造成的威胁
计算机的终端操作要依靠技术人员进行操作,因此人为因素是降低信息安全的原因之一,比如忘记密码,对网络资源进行不合理限制,阻止对信息或其他资源的合法访问,操作失误使得网络信息被非法使用等等。
2、计算机病毒导致的威胁
计算机病毒通过破坏计算机功能或者毁坏数据,影响计算机使用,给网络安全带来极大的威胁。计算机病毒不易被发现,在程序运行过程中可自行复制,而且可以通过传染控制其他未被侵害的计算机,危害性极大。通过病毒打乱计算机系统,以至于系统内的数据受到破坏,对财产造成损失,甚至威胁社会稳定。以往的计算机病毒只是对信息进行攻击,不具有目的性,而现在黑客利用病毒攻击往往带有目的性,或出于商业目的,或出于政治目的,不仅造成财产损失,还威胁社会稳定。
3、非法访问导致的威胁
网络系统内的访问有合法与非法之分,未经允许进入网络系统,并对系统内部的信息和数据进行更改、复制或者删除,这类访问就是非法访问。非法访问一般是由黑客实施,黑客的目的性强,且计算机技术较为熟练,可以轻易地套取信息,并破坏信息。目前计算机网络犯罪已成为打击犯罪的重要对象,因为黑客不仅是企业的威胁,也是社会的威胁,必须严厉打击,不过相关网络犯罪的相关侦查手段还有待加强。
四、网络数据通信中的安全防范措施
1、进行入侵检测
入侵检测主要适用于机关或者企业的内部网络,当系统检测到入侵行为时,就自动阻止入侵行为进入系统,并发出报警显示,以提醒工作人员。网络通讯协议是计算机网络的基础,由网络层的IP协议和传输层的TCP协议组成。入侵检测不仅可以在简单的、规律性的信息系统内拦截入侵行为,还可以从复杂的信息系统中分辨出入侵行为,并迅速对入侵行为作出拦截,管理信息系统。入侵检测根据对象划分,分为基于主机的检测,基于网络的检测以及混合型检测。入侵检测的主要作用是监视、分析用户及系统活动,对系统构造和弱点进行审计,识别反映已知进攻的活动模式以及用户违反安全策略的行为,能有效提高内网的信息安全管理。
2、实施加密传输
加密是比较常用的一种安全措施。为确保信息在传输过程中的安全性,通常采取加密传输形式,在传输之前把信息编译成代码,接收之后再通过解密把信息还原。如果把信息以文字形式传输,会给黑客留下信息保护的空白地段,不利于网络安全体系的构建,加密技术就显得很有必要。加密传输通常会采用两种加密方法以确保信息的安全,第一种是链路加密技术,运用链路加密可以保护通信链路上节点之间的数据不被非法窃取,黑客无法对传输过程进行破坏,可以有效保证信息的完整性和保密性。第二种是端到端加密技术,这种技术允许数据从源头到终点都以加密形式存在,运用端到端加密技术即便运输节点遭到黑客攻击也不会损坏传输信息。实际中,还有用户同时采取两种技术,通过叠加式的加密保护信息。
3、分析网络安全存在的威胁与风险
网络安全涉及的面很广,不仅仅是数据信息可能遭到攻击,计算机上的软件以及信息网络其他硬件设备都可能受到破坏,比如,黑客可以通过IP地址获取与该地址相关的信息和数据,甚至利用IP进入网络系统进行犯罪,其危险性很大。因此除了网络安全评估以外,还要深入分析网络领域可能存在的各种风险,找出风险发生的原因,采取技术措施,比如限制进入网络系统,限制外部用户访问,阻拦不能识别的信息,修补漏洞等,通过技术补救提高系统的安全性。
4、制定解除网络威胁与风险的策略
根据以往的数据分析,网络出现漏洞是网络遭遇袭击的最主要原因,许多黑客都是以漏洞为突破口寻找系统的缺陷,进而对系统造成损害的。因此必须着重研究网络漏洞的存在原因和相关对策,其中最直接、最方便的方法是编制程序修补漏洞。浏览器是上网的主要软件,最容易出现漏洞,因此必须着重对浏览器做好预防工作,不仅要对浏览器的漏洞进行修复,还要采取病毒拦截措施,比如对浏览器加密,启用防火墙和病毒保护模式,反防止浏览器被攻击。另外,不仅是浏览器,还要对计算机的其他硬件和软件进行保护,比如,安装软件时不能只图节省电能空间,必须考虑软件的安全性;为防止数据遗失,不要把电脑的主机和服务器分开;安装杀毒软件;对数据库进行安全备份等。
5、对网络的安全性进行评估
网络通信对企业和机关单位的意义在于,能让企业内部人员通过网络传达信息,实现信息共享,提高企业的管理效率。确保网络不被攻击和信息安全是构建网络通信系统的基础,因此要对网络的安全性进行评估。网络评估要以网络安全的各项标准要求为评判标准,以网络信息、网络行为和网络用户为评估对象,进行科学、全面、准确地评估,以确定网络系统的安全指数。评估过后还要把评估结果给专业人员再审查,确保评估结果的可靠性和准确性。当然,网络环境随时在改变,攻击网络的技术也在更新,因此必须定期对网络系统进行一次评估,保证评估结果的准确度,以便及时采取网络安全措施。
结束语
综上所述,随着我国通信技术的不断发展,数据通信已在我国通信发展中的占据主流地位,并且还实现了更多信息和资源的共享。但在发展过程中,人们也越来越关注通信的稳定性和安全性。因此,提高网络安全的管理力度,不断加强维护手段,可以使数据通信的稳定性和安全性不断加强。
参考文献
网络空间安全措施范文6
近年来,随着手机网络技术的成熟,4G、wifi移动网络迅速普及、手机应用数量的迅猛提升。我国的手机等移动终端访问互联网业务已远超固定PC设备,各行业对移动终端的网络的安全要求越来越高,对移动信息的安全性更加关注,如何保证终端设备网络通信的安全性已成为人们急需面对的问题。因此,我们应当防范互联网犯罪,预防个人隐私泄漏,有效保证移动终端网络安全。而PC设备和移动设备共同形成网络终端设备,我们主要以此为讨论重点。
1 计算机通信网络安全现状
1.1 网络终端设备通信网络安全概况
网络终端设备主要由计算机终端、移动终端和通信网络组成,其中移动设备和计算机是通信网络的信源或终端,通信网络是传输和交换数据的必要手段,最终实现各类终端设备的资源共享。网络终端设备通信网络安全,是通过对应的安全措施防止计算机及移动终端中的通信网络中的密码、数据、各类操作系统等内容遭到更改破坏、防止其它用户窃取服务。从网络的运行环节来分,网络安全有设备安全、数据传输安全、用户识别安全等几个方面。
1.2 网络安全研究的历史、现状
网络安全研究最早是由美国进行相关的基础理论研究,先后制订了计算机系统安全评估准则、网络系统数据库方面的系统安全解释,形成了安全信息系统体系结构的基本准则。安全协议作为信息安全的重要内容,作为信息安全关键技术的密码学,更是取得了长远的发展,近年来信息人员解决了数字签名的问题,而电子商务的安全性要求更是带动了网络安全论证、密码管理等研究。
2 目前网络安全存在的问题
2.1 系统自身的问题
由于各类个人移动设备终端及PC终端在设计时由于各种原因,厂家总是留有“窗口”或是“后门”,这就导致了各类设备在实际运用的过程中由于其系统自身的不完善导致了安全隐患。
2.1.1 操作系统的脆弱性
各类操作系统由于开发企业的技术不同,在网络安全方面总是存在各类流动,导致存在各类信息隐患的存在,尤其是当前黑客技术的不断发展,后门类软件能够做到在入侵各类终端后自行上传隐私数据、窃取密码等重要资料。
2.1.2 软件的漏洞
各类应用及通信软件系统的不完善,给各种不安全因素和入侵留下了隐患,应用的不规范更导致了信息安全的缺陷。
2.1.3 脆弱的网络安全服务
我们常接触的PC终端因特网的基石是TCP/IP协议,该协议在设计上就有许多安全隐患,很多基于TCP/IP的应用服务,在不同程度上存在着信息安全问题,而无线设备可能在接触钓鱼WIFI及其他恶意网络渠道会导致安全风险。
2.2 人为因素
网络黑客通过各种技术手段进入各类终端设备,进行破坏、窃取、篡改损坏网络,对网络构成了极大的威胁。黑客入侵的手段和方式多种多样,有传统的利用病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等方式进行攻击,还有新型的利用0day工具、rootkit软件、利用虚拟机实施攻击、无线入侵等方式,为自己谋求各个方面的利益。
2.3 自身因素
网络危害的另一个主因是因为企业及个人对网络安全意识淡薄,缺乏必要的安全防护意识和安全防护措施,导致信息危害的发生。
3 提升网络安全的几点建议
安全针对以上提出的影响网络安全的因素,我们应当从以下6个方面着手提高终端通信网络安全。
(1)加快网络安全政策法规建设,制定新的信息安全法律,规范网络空间主体的权利和义务。
(2)加强个人及企业的网络安全意识,进一步的推广和普及网络安全知识。
(3)进一步的研发加密设备芯片,在集成电路、核心电子元器件、基础软件等核心关键技术方面实现进一步的推进,将新科技手段融入终端设备中,提升设备保密性能。
(4)进一步增加网络安全资金投入,形成多层次、多渠道、多方式筹措资金的模式和机制,重点支持信息安全关键技术研究、信息安全产品开发与产业化、重要基础设施防护、国家信息安全重大工程建设、信息安全关键标准制定与信息安全宣传教育等重要基础性工作。
(5)积极开展国际对话与合作交流,推进网络外交,加强信息安全事件与威胁信息共享,联手打击网络犯罪行为和网络恐怖行为。
(6)进一步的研发操作系统安全技术,对目前的手机及计算机系统的网络安全弱点进行全面整改,尽量做好已发现漏洞的安全维护工作。
