第一篇:电子文件信息安全管理的跨界合作
近年来,计算机技术、网络信息技术在社会生活中的应用不断深入,信息泄密事件时有发生,信息安全问题日益凸显。在档案部门这个社会生产的“资料库”,信息安全工作不仅是档案工作的重点,也是档案工作的难点。
一、电子信息安全呈现出新特点
在2015年3月十二届全国人大三次会议上,总理在政府工作报告中提出,制定“互联网+”行动计划,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融(ITFIN)健康发展,引导互联网企业拓展国际市场。“互联网+”成为2015年最受关注的一个关键词。“互联网+”火热的背后暗藏风险,信息安全便是其中非常重要的一个方面①。在“互联网+”环境中,电子文件信息安全呈现出一些新特点。
1.信息安全高风险性
各个行业通过互联网连接到一起,信息交流、传播都要在互联网这个开放的大环境中进行。在这个过程中,信息遭受非法拦截、篡改或被虚假信息替代,使信息的真实性、完整性受到威胁的可能性大大增强。越来越多的电子信息系统被接入互联网中,这些接入互联网的电子信息系统更容易成为黑客攻击的目标,信息安全面临的风险越来越高。
2.互联网环境中信息非法获取的可能性增大
传统网络安全的防护思路是划分边界,将内网、外网分开,业务网和公众网分离,用终端设备隔离潜在风险,在每个边界设立网关设备和网络流量设备,来守住“边界”,以解决安全问题②。而在“互联网+”环境中,这些边界实际上已经消失不见。档案部门介入互联网的设备越多,受到网络攻击的可能性就越大,信息遭受非法获取的可能性也越大。
3.信息攻击源的专业性
在互联网+时代,计算机技术与网络信息化技术在社会生产、生活中的运用日益广泛。一方面,档案部门作为档案安全保管中心,绝大多数部门并非专门做网络安全、数据安全工作的机构,从防御对抗攻击的技术实力来看,远远落后于攻击源,其设置的技术防御壁垒难以阻挡专业的攻击源;另一方面,在利益的驱使下,攻击源呈现出较高的专业性、较强的组织性和目的性特点,这给信息安全造成的危害更大。
4.互联网环境中信息“准入”门槛较低
互联网环境中,信息的十分便捷自由。在互联网上信息,不会受到相关机构的监管审核,信息的真伪与安全无法得到保证。随着互联网技术与网络信息技术的广泛应用,互联网信息也会成为档案机构的一大重要信息源。档案信息安全问题,关系到档案部门全部业务的顺利开展,关系到档案部门形象的提升和服务社会发展功能的顺利实现③。
二、档案部门信息安全工作的不足
1.信息管理范围较窄
美国密歇根本特利历史学院早在2000年就开始网络内容归档工作,归档对象涵盖了网页、视频网站的流媒体视频以及社交媒体中的信息资源。档案部门利用专门的软件保存这类网络资源,通过在档案馆中“还原重建”为用户提供利用④。现如今我国档案部门信息管理的对象为馆内现有信息以及一些单位、部门提交的电子文件,互联网中的信息资源尚未列入档案信息管理范围。电子文件管理范围的局限性使档案部门所提供的信息无法满足用户日益增长的需求,互联网中的信息又没有经过档案部门的整理与鉴定,信息内容真假难辨,信息质量良莠不齐,用户得不到良好的服务体验,以用户需求为导向这一原则自然难以得到体现。
2.人才资源结构失衡
档案工作者按照职类(职类是以相似性原则划分的,即把具有相似职责与管理范围,工作模块相同,从业者所需知识、技能、素质和行为标准相似的职位归为同一类别形成职类)可以分为以下三种:管理型人员、技术型人员和业务型人员⑤。以我国高校研究生教育为例,在我国27所开设档案学研究生教育的高校中,有12所高校不区分研究方向,剩余15所高校划分了2-7个研究方向,主要包括基础理论、政府信息资源管理、电子文件管理、档案保护、电子政务、电子文件管理等,而以信息安全与信息技术为研究方向的高校只有河北大学一家。可见,大多数高校还是以管理型和业务型人才为培养目标。就目前电子文件管理工作来说,技术型人才缺失较为严重。这主要体现在:档案信息系统管理能力、信息化技术、计算机软硬件开发运用能力、网络安全维护能力、档案信息专用设备和技术运用能力等明显不足⑥,服务于综合档案馆的计算机技术人才、网络信息技术人才寥寥无几,与计算机、网络技术相关的工作一般通过外包或对外聘请专业技术人员来完成。就我国高校目前档案专业毕业生的就业情况来看,档案专业的对口率相对较低,很大一部分档案专业研究生毕业后没有从事与档案管理相关的工作。档案学专业人才不能人尽其才,不仅是对教学资源的浪费,同时也是人才的极大浪费⑦。
3.法律法规滞后
依法治档,使档案工作走上法制轨道,为我国社会主义精神文明建设服务,是历史赋予档案工作者的一项光荣而又艰巨的任务⑧。加强电子文件管理立法体系的建设,是电子文件管理工作有法可依,电子文件信息安全的根本保证。目前,我国已出台了《计算机信息系统安全保护条例》《计算机信息系统安全保护等级划分规则》《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国电子签名法》《计算机病毒防治管理办法》《电子公文传输和归档管理办法》等法律法规。这些法律法规虽然对规范电子文件管理起到了一定作用,但难以应对电子文件发展过程中出现的越来越多的新问题。目前的法律法规存在的主要问题有:第一,电子文件管理的法规建设水平相对滞后,体系有待完善。现有的法律法规针对的都是计算机系统和网络安全,对于专门的电子文件信息安全鲜有涉及。第二,现有法律法规的各项条款,很多为宏观性、概括性规定,在解决实际问题方面法律效力较弱,自由裁量空间太大⑨。之所以会产生这样的问题,一方面是由于我国档案方面的法规尚不健全,另一方面是由于我国的电子文件管理工作是通过法律法规及政策的推动自上而下开展的。国家档案局及各地方档案行政管理部门通过出台与电子文件相关的法规标准,对电子文件管理中遇到的问题作出原则性规定,再由各省市依据实际情况具体问题具体解决⑩。这种管理模式虽然在一定程度上促进了电子文件管理工作的良性发展,但是实际工作中出现的许多问题依然无法可依。
三、维护信息安全,开展跨界合作
这里的跨界合作,是指合作双方利用自身专长优势互补,以实现各自目标的做法。电子文件信息安全单靠档案机构是不够的,要将全程管理原则与前端控制原则相结合,在纵向上更加深入地确保电子文件信息的真实与安全。档案机构开展跨界合作,也就意味着在合作过程中要求同存异,达到档案机构与合作机构相互协调、互利共赢的最终目标。
1.与电子文件形成机构的跨界合作
随着“互联网+”技术在各个行业的广泛应用,产生了大量电子信息资源,信息源不再只限于党政部门及事业单位,企业信息、行业信息、个人信息等都将成为信息来源。但是,在实际工作中,这些信息的收集面临着很多障碍。一方面,这类信息形成单位为了方便使用或是防止单位内部信息泄漏,常将那些应该提交档案部门的信息留在本单位保管。由于没有维护信息安全的专业人员及设备,也没有足够的资金投入,在档案鉴定工作方面又缺乏理论指导,不仅信息资源无法得到妥善保管,信息安全得不到保证,而且常常在业务办理完毕时将一些有价值的电子文件信息过早销毁。另一方面,移交给档案部门的电子文件,有一大部分文件载体类型、文件格式等缺乏规范,档案部门电子文件管理工作困难重重。要实现与这些机构的跨界合作,首先,档案部门要与信息形成机构建立互利共赢的伙伴关系,实现档案机构和文件形成单位资源共享。电子文件的形成机构按照规定定期向档案部门提交电子文件,如有涉密信息不便公开的,可向档案机构提交保密申请并将保密文件清单附于申请之后,档案机构可配合提交机构制定保管方案及配套的保管措施。对于向档案部门主动提交档案信息资源的部门,档案机构可提供优先利用、无障碍利用等便利,解除这些机构在档案信息安全和使用方面的顾虑。其次,加强与文件形成部门的沟通,规范入馆文件的相关标准。对文件形成部门提交档案机构保管的电子文件,档案部门要对其载体类型、信息格式、归档方式等相关标准进行规范,以利于档案管理工作的顺利开展。
2.与计算机技术部门的合作
要实现电子文件信息的安全管理,首先,要正本清源。在电子文件形成之初就要保证其真实性和完整性。根据前端控制原则,从电子文件形成之时甚至是形成之前(电子文件管理系统设计阶段)一直到归档整个过程给予全盘规划,把可能预先设定的管理功能纳入系统之中。其次,维护电子信息安全,技术是核心。信息保护、信息检测、信息恢复、安全防御等信息系统的建设都是以技术为支撑的,没有成熟的技术,信息安全体系就不可能完善。在互联网时代,面对专业的信息攻击源,档案部门是否具有过硬的、能与之抗衡的技术,是档案信息安全维护的关键。电子文件在我国出现时间比较短,信息安全维护技术还不成熟,档案工作者大多不具备专业的计算机知识,对于电子文件管理系统的设计、软件的开发、设备的维护显得心有余而力不足。因此,档案部门应该和专门从事电子文件管理系统、软件研发与设备维护的机构开展跨界合作,建立长期合作关系。技术研发机构应以档案机构的实际需求为研发目标,协助档案机构完成电子文件管理系统的设计、软件的开发等一系列技术方面的工作。档案部门要积极主动与这些机构沟通,必要时可派遣具备专业知识、熟悉业务的工作人员参与技术设计。这样,既可以及时发现技术开发环节的问题,又可以对所设计管理系统及应用软件有比较系统的了解,在以后的使用过程中会大大提高工作效率。
3.与立法机关的跨界合作
档案立法的目的,就是加强档案的管理、收集和整理工作,有效地保护和利用档案,为社会主义现代化建设服务。一方面,立法工作要立足于电子文件管理工作的实际。立法机关要充分利用档案管理机构在工作实践中积累的宝贵经验,科学制定电子文件管理的法律法规。电子文件管理法律法规的制定,要以解决实际工作中出现的问题、规范电子文件管理活动为主要目标和出发点。另一方面,要结合电子文件和电子文件管理活动的特点,对现行法律法规进行梳理,以达到电子文件管理方面的法律法规与各项执行标准在内容上相互衔接、互补和配套⑾。对于电子文件管理方面的疏漏,要尽早制定法律法规,查漏补缺,完善电子文件管理法律体系。
4.与高校的跨界合作
高校为我国档案工作源源不断地输送了大批专业人才。近年来,档案工作的对象发生了变化———电子文件取代纸质文件成为主流,档案学教育的内容及培养计划也应做出相应调整。档案机构与高校的跨界合作,是指档案机构要在信息管理人才培养方面与高校加强交流与合作。首先,要注重档案专业人才实践能力的培养。如今大多数高校档案专业的培养方案还停留在基础理论教育阶段,极少涉及实践训练方面的课程。档案机构与高校开展跨界合作,就要将档案工作对档案工作者能力的实际需求与档案人才的培养紧密结合起来,使档案学专业人才培养与档案工作实际需求接轨。档案机构可定期为高校提供一些实践演练机会,让学生更多地参与到实际工作环境中去。这样不仅能够有效检验理论知识的掌握情况,而且能够保证毕业生在入职后尽快胜任本职工作。其次,理论研究要以档案工作中存在的问题、难点为导向。如今,档案工作的理论研究主体大部分集中在高校。由于电子信息安全理论研究与实际工作相脱节,很多现有的档案管理理论不能适应电子文件的实际管理工作;而在电子文件信息安全管理工作中遇到的很多问题,理论研究尚处于空白状态。这个问题只能依靠跨界合作的方式来解决。最后,高校专业人才培养要以档案部门实际需求为导向。在电子文件管理方面,高校应该注重培养技术型人才。主要措施有:制定专门的信息安全人才培养计划,以技术型人才作为培养目标,以档案信息系统管理能力、信息化技术、计算机软硬件开发运用能力、网络安全维护能力、档案信息专用设备和技术运用能力为培养内容,为档案机构培养出一批具有较高计算机网络信息安全管理技能的技术型人才。
综上所述,电子文件安全体系的构建任重而道远。在这个万物互联的时代,我们不仅要树立安全防范意识,还要通过先进的技术、借鉴先进的管理理念,加强人才队伍建设,结合法律法规对电子文件进行全方位保护。从当前的现状来看,单凭档案部门一己之力难以应对,必须借助外部力量,构建电子文件安全体系。
作者:叶婧文 单位:安徽大学管理学院
注释:
①③聂云霞,张加欣,甘敏.“互联网+”背景下数字档案资源安全研究[J].浙江档案,2016(6).
②彭科峰.中国科学报[N].2016-8-18.
④彭晖.中国档案报[N].2015-11-8.
⑤⑥赵亮.档案工作者胜任能力模型指标体系构建研究[J].浙江档案,2016(5).
⑦陈丽静.中美档案学研究生硕士教育的比较[D].江苏:南京大学,2012.
⑧涂绍敏,李统祜.档案立法研究[M].杭州:浙江大学出版社,2003.
⑨杨安莲.论电子文件安全体系的构建[J].档案学研究,2010(5).
⑩⑾熊贞.中美电子文件管理法律法规比较研究[D].湖南:湘潭大学,2012.
第二篇:电子档案信息安全保障问题与对策
摘要:
随着我国信息化技术的不断发展,人们逐步将其应用于各行业各领域当中,传统档案的管理效率较低,逐渐被电子化档案技术所取代。电子档案虽然给人们工作带来了便捷,但是另一方面电子档案信息无时无刻不面临着安全问题。本文对电子档案信息的特点进行概述,分析了电子档案信息安全保障存在的问题,并提出相应的解决措施,希望具有借鉴意义。
关键词:
电子档案;信息;安全保障;问题;对策
电子档案信息属于信息的一个方面,电子档案信息主要是指事物的状态、方式及规律等信息,主要包括三个方面的主要知识。第一是电子档案载体信息、软件硬件说明及支持软件等。第二是电子档案的主要内容信息。第三是电子档案再生的主要信息,例如信息目录,信息索引等。以上内容主要是针对电子档案信息的广义认识,就其狭义认识,主要是指电子档案包含的内容信息。一般而言,电子档案信息和电子档案是不同的两个概念,两者既存在着区别又存在着联系,电子档案是电子档案信息的主要来源,无论电子档案信息其载体是什么,其信息内容一定是出自电子档案。另外,电子档案信息和电子档案内容相比具有一定的广泛性,电子档案信息除了电子档案中存在的内容,还包括软件信息、硬件信息、电子档案中派生的信息产品。不仅如此,电子档案和电子档案信息相比,其凭证功能更强。
一、电子档案信息安全保障的内容
做好电子档案信息的安全保护工作,必须做好以下几点内容。第一是实体安全保护,其又被称作物理安全。主要是对电子档案信息的载体进行保护,载体的安全主要是计算机系统、计算机硬件等,要保证日常使用过程中,系统的实体硬件不会受到破坏,防止受到自然或者人为的影响。实体安全在电子档案信息安全中发挥着奠基性的作用,设想如果承载电子档案信息的硬件设备存在故障,那么整个电子档案信息就无所谓安全了。第二是软件安全保护,电子档案信息的运行离不开计算机软件,必须要做好软件安全保护工作,保证电子档案信息被合法的用户所使用,同时避免其被非法用户所应用,降低电子档案信息被盗取、更改或者摧毁的概率。在软件安全保护中主要包括四个方面内容,首先是自身安全,也就是防止电子档案相关软件被篡改和破坏,保证电子档案软件自身的完整性,如软件开发流程、软件修复和复制、防动态跟踪技术、软件安全保密测试等。其次是软件存储安全,采取正确措施来保证软件的合理存储,如压缩存储、备份存储以及加密存储,而其中备份存储是对电子档案信息内容安全进行保障的最为重要的一个内容。再次是软件通信安全,主要包括软件安全传输、网络安全下载、加密传输等。最后,软件应用安全和运行安全。第三,网络安全保护,网络安全保护其作用方向主要是计算机网络和节点,根据其存在的威胁加强措施,按照网络的脆弱性做好防护工作。在电子档案信息安全保护中,网络安全保护是主要内容,之所以电子档案信息能够为用户带来便利,主要是其能够应用网络将信息传递给其他地区的用户,这就需要做好网络安全保障工作,维护电子档案信息的真实性。但是实际过程中,这一环节控制往往较为困难,它需要综合考虑软件安全、操作系统安全、实体安全等内容。第四,信息内容安全保护,保护信息内容的安全主要是保护数据的安全,是对电子档案信息安全进行保护的主要内容。保护计算机系统档案数据库就是防止数据文件信息收到破坏,或者泄露甚至修改。档案数据分为档案内容数据和档案目录数据两个部分,档案数据在计算机系统数据库中存储,然而其中部分数据在磁盘、光盘等载体中脱机保管。档案数据库可以分为数据库以及数据库管理系统两个方面,数据库是档案内容数据、目录数据以及两者之间存在的信息。数据库管理系统主要是用户在数据方位的过程中发挥维护和管理的主要作用。
二、电子档案信息安全保障中存在的问题
电子档案信息安全保障中存在着一下几点问题。第一是自然因素问题,例如地震和水灾,这些灾害会对电子档案信息的载体进行破坏,如果硬件设备被摧毁,那么电子档案信息也就会随着覆灭。另外是载体存在的老化,如果电子档案存储的载体在应用过程中,逐渐开始老化,寿命较短,即使是寿命最长的载体磁光盘也就只有三十年,比起数据的寿命千年以上,简直是微乎其微。第二是技术问题,对电子档案信息安全造成影响的主要因素的技术,技术能够对电子档案信息运行过程进行安全保障。采用科学的技术,保证信息能够满足合法用户的正常使用,防止不良用户盗用信息。我国目前电子档案信息安全技术还不足,还存在着较大的漏洞,威胁着电子档案信息的安全。另一方面,电子档案信息在长时间保存过程中,会存在技术、平台和载体的发展和更新问题,如果存在软件之间不能兼容,其产生的危害会更大,导致信息出现缺损等。第三是管理问题,采用合理的管理方式能够对电子档案信息安全保障进行规范,一般说来,保证电子档案信息的安全光靠技术是不够的,采用正确的管理方式才是最主要的。现实情况中,企事业单位的档案管理人员并没有采取正确和严格的管理制度,没用形成正确的管理理念,导致电子档案信息的安全深受威胁。第四是人为因素,电子档案信息安全保障效果也会因为人为因素出现问题,如果档案管理人员没有较强的信息安全意识,没有一套科学的现代化操作水平,现代化信息技术知识程度不到,责任性不足都会导致电子档案信息存在安全隐患。如果档案管理人员对企业充满愤懑之情,利用自身的系统内部知识以及应用权限故意盗取、摧毁甚至更改档案信息,将信息卖给他家。所以档案管理人员要加强对工作人员的管理。
三、电子信息安全保护的应对措施
第一是技术措施。企事业单位要引进先进的科学技术,为档案信息安全提供保障。档案信息安全技术不仅要重视到防御,还要主动出击,消除安全隐患。应用好网络安全技术及数据安全技术等新型现代化技术,网络安全技术能够保证电子档案信息能够在网络上被有效的存储起来,其主要包括三种,分别是安全检测技术、防治病毒技术以及访问控制技术。访问控制能够起到网络安全防范和保护的作用,防止网络资源受到非法使用,是保护网络安全的主要方法。第二是人才措施,要重视人才的教育和培养工作,从而保证电子档案信息的安全。在档案信息安全保证中,人是最直接的单位。我国档案不断加强了信息化,也就需要更多的档案人才,因此国家和社会要重视对档案信息安全人才的培养工作,将人才分为馆内在职人员和档案专业高校生两个方面。第三,风险管理措施,电子档案信息安全风险管理能够极大保证电子档案信息的安全,风险管理首先要明确好管理目的,其次要确定风险承受限度,再次要对风险进行评估,对关键性风险加以认识,掌握风险来源,清除风险重要程度,制定好风险管理策略,设计风险控制程序,最后对风险管理实施的效果进行检验。
作者:吴秋香 单位:山东省烟台市莱州公路局
参考文献:
[1]黄昌瑛.电子档案信息安全保障策略研究[D].福建师范大学,2007.
[2]郭沙沙.试论电子档案信息安全保障体系框架[J].黑龙江科技信息,2015,(20):166-166.
[3]陈水生.论网络环境下的人事电子档案信息安全保障策略[J].黑龙江史志,2013,(23):72-73.
[4]郑雪.电子档案信息安全保障策略[J].华章,2014,(5):348-348.
[5]周向阳.电子档案信息安全保障体系建设的研究[J].机电兵船档案,2010,(5):64-66.
[6]王拴勋.论信息时代电子档案信息安全保障策略[J].商洛师范专科学校学报,2005,19(4):26-30
第三篇:电子信息安全问题刍议
摘要:
目前,我国政府电子信息安全工作虽已经取得了一定成效,但仍然存在着政府电子信息安全工作缺乏顶层设计、政府电子信息安全法律有待统一,信息安全技术国产化缺乏统筹规划、政府电子信息安全管理急需优化升级等问题。因此,应从加强政府电子信息安全的顶层设计、完善政府电子信息安全法律体系、加大政府电子信息安全的投入力度、加强政府电子信息安全的日常管理、优化政府电子信息安全的应急预案等方面,推进政府电子信息安全工作,以维护我国政府电子信息安全。
关键词:
政府;电子信息安全;国家信息安全;网络信息安全
政府电子信息安全作为国家信息安全的重要组成部分,不仅关乎网络空间的治理,而且承载着保障公众知情权的重任。因此,研究我国政府电子信息安全的现状,分析我国政府电子信息安全工作中存在的问题并提出相关对策,对维护我国政府电子信息安全,具有重要意义。
一、我国政府电子信息安全的现状
(一)我国政府电子信息安全工作取得的成效
党和国家历来高度重视政府电子信息安全问题,特别是随着互联网技术的不断发展,党和国家采取了一系列的措施来保障政府电子信息安全并取得了一定的成效。
⒈政府电子信息安全已上升到国家战略层面。2013年11月12日,党的第十八届中央委员会第三次全体会议通过的《中共中央关于全面深化改革若干重大问题的决定》指出:要“坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全。”2014年2月27日,中央网络安全和信息化领导小组成立,亲自担任组长,、刘云山任副组长。同日,主持召开了中央网络安全和信息化领导小组第一次会议并发表了重要讲话。指出:没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。这一讲话标志着网络安全已上升到了国家战略层面,作为国家网络安全重要组成部分的政府电子信息安全也随之上升到了国家战略层面。
⒉政府电子信息安全法律体系初步形成。目前,我国已经颁布并实施了一系列关于信息安全方面的法律、法规和规章,初步形成了政府电子信息安全法律体系,为政府电子信息安全提供了法律保障。这些法律法规可以分为以下四类:计算机法、互联网法、信息法和政务公开法。[1]为适应国家信息化和网络安全的新形势,落实党的十八届三中、四中全会精神,2014年12月15日,第十二届全国人民代表大会常务委员会第三十六次委员长会议原则通过了2015年立法计划,将制定《网络安全法》列入2015年的立法计划中。2015年6月,十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,目前,该草案已经在中国人大网公布并征求公众意见。这部法律是我国第一部网络安全方面的法律,具有重大的历史意义,它不仅使我国在国家治理网络空间上有法可依,也将为我国政府电子信息安全提供法律保障。《网络安全法》将与其他涉及政府电子信息安全的法律、法规共同构成政府电子信息安全法律体系。
⒊政府电子信息安全设备技术不断提高。伴随着计算机技术及互联网技术的飞速发展,我国政府电子信息安全技术水平也得到了显著的提升。首先,我国信息及信息安全产业已经初具规模。在“自主可控、安全可靠”理念指导下,新时期的网络信息安全和信息产业得到了快速发展,一批具有自主知识产权的企业不断成长壮大,为政府电子信息安全提供了保障。其次,信息基础设施不断完善。《宽带网络基础设施“十二五”规划》提出了包括网络安全在内的五大任务,到“十二五”末期,初步建成宽带、融合、泛在、安全、绿色的宽带网络基础设施。可见,安全已经成为网络基础设施建设的指导理念和主要任务。信息基础设施的不断完善为政府电子信息安全提供了保障。再次,电子信息安全新技术的大量采用。如云端访问安全服务、大数据信息安全分析等技术,这些先进技术的广泛采用,极大地提高了政府电子信息安全的程度。
⒋政府电子信息安全管理水平显著提高。首先,各级政府和部门都制定了有关政务信息的审批和程序,为政府电子信息安全提供了可靠的保障。其次,各级政府和相关部门也都制定了政务信息的安全管理制度,使政府电子信息安全有章可循。再次,政府电子信息安全工作队伍日趋专业化,工作人员的专业技术能力和素质有了显著提升。第四,政府信息安全应急预案管理方式的广泛运用,提高了政府应对信息安全事件的能力。
(二)我国政府电子信息安全工作存在的问题
⒈政府电子信息安全工作缺乏顶层设计。虽然政府电子信息安全已经上升到国家战略层面,但政府电子信息安全只是网络安全的一部分,国家网络安全战略无法涵盖其所有环节。从这点上看,国家网络安全战略是不能解决政府电子信息安全存在的全部问题的,而目前我国还没有专门针对政府电子信息安全的发展战略,有关政府电子信息安全还缺乏整体的顶层设计。
⒉政府电子信息安全法律规定有待统一。尽管我国政府电子信息安全法律体系已经初步形成,《网络安全法》也已经进入了征求公众意见阶段,但如前所述,网络安全只是其重要组成部分,不能解决政府电子信息安全存在的所有问题。而有关政府电子信息安全规范也多散见于各类法规、规章以及规范性文件之中。政出多门,缺乏统筹的制度安排,没有完全形成合力,减损了相关规范的适用性。
⒊信息安全技术国产化缺乏统筹规划。信息及信息安全技术和设备国产化是提高信息安全的必要方式,但不可操之过急。以去IOE为例。所谓去“IOE”,最早是由阿里巴巴提出来的,“I”具体指IBM的小型机,“O”是指Oracle的数据库,“E”是EMC的存储设备。[2]这是数据中心的三个必备设备。去“IOE”旨在推进信息技术设备国产化。但是,“我们盲目地去‘IOE’,就会出现两个问题:一个是产业链有没有足够的支撑,再一个你把‘IOE’去掉以后,你有没有足够好的产品顶替。”[3]可见,信息技术设备国产化不可盲目推行,否则,不仅无法保障信息安全,连起码的运行都可能遇到困难。因此,安全和发展必须统筹兼顾。
⒋政府电子信息安全管理急需优化升级。在电子信息安全上一直存在一个误区,认为只要上了先进的技术和设备就能保证电子信息安全。实则不然,电子信息安全“三分靠技术,七分靠管理”,电子信息安全更多是靠管理实现的。因此,必须充分重视管理在政府电子信息安全中的地位和作用,提高管理水平,优化管理格局。
二、新形势下政府电子信息安全面临的挑战
(一)政府信息公开给政府电子信息安全带来的挑战
政府信息公开是提高政府透明度、促进政府依法行政的重要方式,也是现代政府建设的必然要求,更是建设法治政府的应有之义。自2008年5月1日《政府信息公开条例》施行以来,我国政府信息公开有了长足的发展。党的十八大以来,政府信息公开得到了越来越多的关注。党的十八大和十八届三中全会把政府信息公开作为健全和强化“权力运行制约和监督体系”的重要举措,党的十八届四中全会把“全面推进政务公开”作为法治政府建设的重要组成部分,同时强调:“全面推进政务公开。坚持以公开为常态、不公开为例外原则,推进决策公开、执行公开、管理公开、服务公开、结果公开。”不断加强政府信息公开,给政府电子信息安全带来了巨大的挑战。首先,存在管理上的问题。随着政务公开的全面推进,各级政府以及政府部门的门户网站建设日趋丰富和完善,但在管理上存在一些问题,如对在门户网站公开政务信息的数量和时限提出要求,为完成任务,有些管理人员在不甄别信息性质的情况下,擅自公开政务信息;在网站管理人员与信息文件管理人员之间还存在着协调的障碍;部分网站管理人员对信息文件性质把握能力欠缺,极易导致泄密事件发生,进而危及政府信息安全。其次,存在删改编造问题。有些政府信息公开后,被别有用心的人断章取义,对信息进行符合其目的的删减改编,曲解了政府信息的原意,误导公众,给政府公信力造成了不良的影响。有的则编造和传播虚假政务信息,造成了社会混乱。再次,存在非法使用问题。非法使用是指政府信息的非授权使用,即无权或者越权进入政府信息系统进行操作或者获取信息。
(二)互联网新技术给政府电子信息安全带来的挑战
随着互联网的普及,催生出了许多新的技术,如大数据、云计算、物联网等,这些新技术在给人们的生活和工作提供了更为方便和快捷的同时,也带来了新的电子信息安全隐患。2015年1月,国务院了《关于促进云计算创新发展培育信息产业新业态的意见》,同年9月又了《促进大数据发展行动纲要》。总理在2016年政府工作报告中将“促进大数据、云计算、物联网广泛应用”作为“十三五”时期主要目标任务和重大举措。2016年,将大力推行“互联网+政务服务”,实现部门间数据共享。[4]在互联网新技术得到应用和推广的同时,政府电子信息安全也面临着巨大的挑战。以大数据技术为例,大数据最大的优势在于其海量信息的共享性。一方面它整合了高度分散的信息资源;另一方面它提供了一个巨大的信息共享平台,为人们共享信息提供了便利条件,但同时也极大地增加了数据信息泄露的风险,增加了政府电子信息安全的隐患。
(三)“外来侵入”给政府电子信息安全带来的挑战
目前,来自虚拟空间的威胁可分为四大类型:黑客入侵、组织犯罪、网络恐怖主义以及国家参与的网络攻击。[5]据国家互联网应急中心监测,2013年,我国境内被篡改网站数量为24034个,较2012年增长46.7%,其中政府网站被篡改数量为2430个,较2012年增长34.9%;我国境内被植入后门的网站数量为76160个,较2012年增长45.6%,其中政府网站2425个。[6]近年,针对网络信息的有组织犯罪也频繁发生,2012年,仅在广东省破获的一起案件中就涉及180个政府网络被入侵,300多万条政府信息被窃取,涉案人数达165人。另外,恐怖分子通过互联网窃取各国的政府信息,进而威胁其国家安全。而更大的威胁则来自于侵犯其他国家信息主权。如美国国家安全局的“棱镜计划”就是其中的典型代表。有组织、有预谋的“外来侵入”对政府电子信息安全构成了极大的威胁。
(四)事故灾害给政府电子信息安全带来的挑战
事故灾害对政府电子信息安全的威胁也不容忽视。近年来,我国各类事故和自然灾害时有发生,这也是造成计算机设备物理性破坏的最主要因素。欧盟网络信息安全局(简称ENISA)在报告中表示,网络攻击造成的平均停机时间为4个小时,相比之下自然灾害,尤其是风暴和大雪,造成的平均停机时间则达到36个小时。[7]诸如火灾、爆炸、地震、海啸等事故或自然灾害对计算机设备的破坏性巨大,一旦计算机设备遭到破坏,信息安全保障也就无从谈起。
三、维护我国政府电子信息安全的对策
维护政府电子信息安全既要从大局着眼,把政府电子信息安全纳入国家网络安全战略之中,做到统一规划;又要从小处着手,采取有针对性的措施,提高维护我国政府电子信息安全的能力。
(一)加强政府电子信息安全的顶层设计
互联网的蓬勃发展,使包括政府电子信息在内的各类信息流动打破了原来的空间限制,因此,保障政府电子信息安全必须从顶层设计,从国家战略的高度进行统筹规划。首先,将政府电子信息安全纳入国家网络安全的总体格局之中,统一谋划,统一实施。其次,制定政府电子信息安全国家战略,对政府电子信息安全作出有针对性的战略规划。第三,成立自上而下的政府电子信息安全工作机构,专门负责政府电子信息安全。第四,建立政府电子信息安全工作机构与国家其他网络信息安全工作机构联合工作平台,提高安全工作效率。第五,加大对危害政府电子信息安全行为的打击力度。
(二)完善政府电子信息安全法律体系
我国至今没有关于政府电子信息安全方面的专门立法,关于政府电子信息安全的法律规范均散见于各类法律、法规及规章之中,政出多门,无法适应新形势的要求。因此,应制定专门规范政府电子信息安全的法律,并且使之与国家整体法律体系相协调。2015年6月,第十二届全国人大常委会第十五次会议初次审议的《中华人民共和国网络安全法(草案)》已经就网络安全问题做出了基本的制度安排,可考虑以《网络安全法》《保密法》《档案法》等法律为依据,与《政府信息公开条例》相衔接,制定《政府电子信息安全条例》,就政府电子信息安全标准、政府电子信息管理体制、各类主体维护政府电子信息安全的权利义务以及法律责任作出明确、统一的规定;各部委和省市级政府可根据该《条例》并结合本部门、本地区实际分别制定部门规章和政府规章,与该《条例》共同组成政府电子信息安全的法律体系,保证政府电子信息安全制度既统一协调,又因地制宜。
(三)加大保障政府电子信息安全的投入力度
政府电子信息安全需要人才、技术、资金等方面的保障,而相比发达国家,我国还存在很大的差距,因此,需要从以下几方面着力解决:首先,培养高精尖人才。在中央网络安全和信息化领导小组第一次会议上的讲话指出:“建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。‘千军易得,一将难求’,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。”政府电子信息安全同样需要一支强大的队伍和一批领军人才,这就需要加大人才的培养和选拔力度,提高政府电子信息安全工作的专业化和职业化水平。其次,统筹产业发展,综合考量发展与安全的关系,提升信息及信息安全产业的国产化水平。第三,加强技术研发,打造自主核心技术,打破发达国家的技术垄断,这不仅需要加强信息安全的技术研发,而且需要加大对政府电子信息的其他硬、软件技术的研发力度。第四,加大资金投入。我国各级政府对电子信息安全的投入相对较少,人才培养、队伍建设、技术研发、硬软件采购等都需要大量资金,为此,政府应加大对电子信息安全方面的资金投入力度,以保障政府电子信息安全工作的顺利开展。
(四)加强政府电子信息安全的日常管理
据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。[8]可见,日常管理是维护政府电子信息安全的关键环节。对此,中华人民共和国家质量监督检验检疫总局、中国国家标准化管理委员会联合了《信息安全技术政府部门信息安全管理指南》,并已于2013年6月1日开始实施。该《指南》的与实施,使政府电子信息的日常管理有了比较系统和全面的遵循。目前,政府电子信息的日常管理还应从以下几个方面着手:首先,加强人事管理,尤其要把好进人和用人关,对拟选拔到信息安全岗位工作的人员进行全面、严格的审查,并签订保密协议,坚持责任分离和可监控原则,[9]减少人为破坏信息安全的机会。其次,加强运行管理,对信息设备进行定期维护保养,谨慎使用可移动载体,软件系统要保证完整性和合法性并进行内外网物理隔离。再次,加强保密管理,合理划分政府电子信息密级,健全政府信息公开审批制度,加强对政府信息公开的监督,防止在政府信息公开中泄露国家秘密。
(五)优化政府电子信息安全应急预案
应急预案是世界各国应对突发事件普遍采用的方式。我国在2003年“SARS”事件之后逐步建立起了“横向到边、纵向到底”的应急预案体系,已成为以“一案三制”(即应急预案、应急体制、应急机制、应急法制)为核心的应急管理总体系的重要组成部分。[10]应急预案制度开始普遍为各级政府和政府部门所采用。2007年,我国制定了《突发事件应对法》。2013年10月25日,国务院办公厅印发了《突发事件应急预案管理办法》,使应急预案有了法律依据和程序遵循。在政府电子信息安全领域,突发公共事件的应急预案管理方式也开始为各级政府普遍采用并发挥着重要的保障作用。在新形势下,政府电子信息安全领域的应急预案仍须进一步优化。目前,应从以下方面着力推进应急预案的可操作性。首先,优化组织结构,包括政府电子信息安全应急预案的编制机构和应急指挥机构,要保证具有专业知识的人员参与到政府电子信息安全应急工作当中。其次,分类制定政府电子信息安全应急预案。政府电子信息安全突发事件有多种类型,如自然灾害、黑客攻击、泄密等,应根据不同情况分别制定应急预案。再次,加强脆弱性评估。针对政府电子信息安全系统中对外界干扰敏感的因素和环节进行重点评估,在制定政府电子信息安全应急预案的过程中给予着重的关注和安排。
作者:刘妍宏 单位:中共吉林省委党校
【参考文献】
[1]张林.我国政府政务信息安全防范体系研究[D].上海交通大学硕士学位论文,2009.
[2]叶纯敏.中国去“IOE”之路[J].金融科技时代,2014,(08):28.
[3]史晓波.关于国家信息安全与国产化战略的专家对话[EB/OL].中国科技网.
[4].2016年国务院政府工作报告[EB/OL].中央政府门户网站.
[5]孟威.大数据下的国家网络安全战略博弈[J].当代世界,2014,(08):66.
[6]蔡国兆,彭勇,.网络支付、地方政府网站成黑客攻击“重灾区”[EB/OL].光明网.
[7]欧盟网络信息安全局:自然灾害比黑客造成的停机更严重[EB/OL].ZDNet至顶网.
[8]张心明.信息安全管理体系及其构架[J].现代情报,2004,(04):204.
[9]徐东华,马英彬,汪蒙.政府信息安全人事管理实务要点探析[J].云南行政学院学报,2010,(01):138.
[10]张海波,童星.中国应急预案体系的优化———基于公共政策的视角[J].上海行政学院学报,2012,(06):24.
第四篇:电子政务信息安全建设探究
【摘要】
目前,随着我国经济的发展以及信息技术的发展,使得我国的政府部门在进行政务管理的过程中逐渐转变了其管理方式,并在相关工作的开展过程中逐渐融入科学技术,最终推动了电子政务管理模式的诞生。事实上,随着这种管理模式的出现,使得我国政府在政务管理方面逐渐朝着民主化、高效化以及透明化的方向发展,并促进了经济的发展。但是由于现实环境的限制,使得电子政务的信息安全存在一定的隐患。本文基于此,主要分析电子政务信息安全的建设思路。
【关键词】
电子政务;信息安全
党的十八届五中全会、“十三五”规划纲要都对实施网络强国战略、“互联网+”行动计划、大数据战略等作了部署。在这样的时代背景下,人们逐渐重视我国政府的管理,并迫切的希望政务管理朝着随着公开化、民主化的方向发展。在这样的背景之下,我国的电子政务管理模式逐渐出现,并在推动政府办事效率的逐渐提高之外,还促进了政府办公的公开透明,从而实现经济、社会效益的获得。
1电子政务和信息安全的新常态
现阶段,我国的政府部门再借助电子信息技术进行政务管理的过程中能够进行信息服务的基础设施建设,从而为社会以及民众提供及时的服务[1]。而电子政务信息安全指的就是在利用信息技术进行政务公开的过程中,因为相关数据遭到恶意软件以及病毒的侵袭,从而造成相关数据信息的泄露和服务的中断,继而造成政府部门相关保密性的减弱以及政府威信的降低。在进行电子政务信息安全的管理过程中,需要相关人员从下述两个方面措施:①确保政府用于公开的信息内容较为安全,防止影响社会稳定的不良信息的出现;②要在实际的操作过程中确保信息系统的安全性,从而杜绝因信息系统出现漏洞,而导致政府部门相关信息的泄露[2]。目前我国经济发展已经进入到了新常态,信息化在社会经济发展过程中的作用日渐凸显。那么,如何以信息化引领经济新常态呢?在当前的形势下,应当加快电子政务转型,建立完善的横向协同、纵向联动以及政府主导和社会广泛参与的协调发展机制,并在此基础上全面推动统一网络平台、统一安全体系、统一运维管理的一体化建设和业务应用协调发展。
2电子政务信息安全目标
目前,政务部门之所以推行电子政务信息安全管理,其主要目的是以此为基础继而推动政府部门相关职能的高效履行。因而,就需要相关部门加强对于信息维护系统的构建,继而防止政府部门在进行电子办公的过程中遭到病毒以及黑客入侵,继而导致相关信息数据的泄露和服务中断。基于此,就需要相关部门在构建电子信息安全的过程中推动下述三大目标的实现。
2.1可用性与完整性目标
在进行单子信息安全体系的构建过程中,需要相关部门加强对于可用性目标的实现。事实上,可用性目标作为信息安全管理体系构建过程中的首要目标,其对于政务系统的正常运作起到了基础性的作用,并确保经授权用户能够以此为基础实现对于所需信息服务的获取。而作为电子政务系统中信息安全管理的重要目标,完整性目标的实现能够实现相关数据在传输的过程中不被篡改,而其系统的功能也能够保证完整[3]。
2.2保密性目标
保密性目标在实际的电子政务信息安全系统构建过程中的重要性仅仅低于可用性以及完整性较弱。其具体的内涵指的是在电子政务信息的安全管理过程中,只有经授权的用户才能够对相关信息进行读取。而作为电子政务信息安全系统的基础,保障性目标的实现能够在最大程度上实现电子政务基本功能的发挥,并确保当系统出现故障时,能够对系统进行一定的保护,从而实现相关系统的正确运行。
2.3抗抵赖性目标
在进行电子政务信息安全体系的构建过程中,抗抵赖性或者说可审计性目标的实现帮助相关的作业人员进行某一部门所有行为的记录,这期间包括事后恢复、法律诉讼、隔离故障、检测等内容。事实上,这一目标的实现能够帮助相关技术人员对于系统的维修和监管[4]。
3构建电子政务信息安全体系
目前,我国的政府部门在进行政务处理的过程中逐渐采用了电子信息技术。为了确保相关信息的安全,有关部门逐渐加强了电子政务信息安全体系的构建。目前,关于该体系的构建,笔者认为需要从下述四个方面采取措施,具体内容如下。
3.1加强电子政务信息安全管理
事实上,在信息安全主要包含了保密性、真实性、完整性、未授权拷贝以及所寄生系统的安全性这五个方面。在进行信息保密的过程中,需要相关人员加强综合的信息保密措施的实施。目前,我国的电子政务信息主要面临破坏信息的完整性、信息泄露、非授权访问、拒绝服务、业务流分析、窃听、旁路控制、假冒以及计算机病毒等多方面的安全隐患。基于此,就需要相关技术人员以上述的安全漏洞为基础,采取相关的措施,继而实现信息安全。
3.2强化数据应用过程的安全控制
在对电子政务中相关数据进行保护,需要相关的技术人员打造良好的、可靠的硬件环境从而实现。事实上,我国的政府部门在进行电子政务体系构建的过程中,主要借助互联网技术,因而该体系的构建往往包含软件以及硬件结构。对此,在进行数据应用安全评价的过程中,需要相关人员把握以下几个方面的指标:①相关的产品必须具有有关部门核发的《计算机信息系统安全专用产品销售许可证》或者是产品的检测报告;②产品必须具有国密办对产品加密算法出示的批文;③在安全产品的选择上,需使用含有先进技术的产品;④需要相关部门以及人员严密检查安全产品在权威机构的检测报告,其各项安全功能是否达到安全要求。
3.3加大网络安全管理力度
所谓的网络安全是指的是在构建电子政务系统的过程中,为我国的社会民众提供一种更加方便、快捷、透明的政务信息。在对电子政务的信息安全体系构建以及评价的过程中,需要相关人员把握下述的几个方面。①敦促各业务、部门以及行业在统一的网络平台中可以实现受控互访以及隔离的功能。②实现认证、管理合法用户的功能。③全面落实全网的统一管理。④实现网络平台的平滑过度,并逐渐增加更多的业务。⑤推动移动办公业务的实现[5]。
3.4创新电子政务运行管理体制
现阶段,我国政府在构建电子政务系统的过程中,其因为信息安全的漏洞而导致一系列问题的发生。基于此,就需要相关人员加强对于相关系统的有效管理。目前有效管理在这一过程中主要针对工作人员擅离岗位、机房重地的随意出入以及本地磁盘临时存放敏感信息等问题。建立强有力的国家电子政务统筹协调机制,制定电子政务管理办法,建立涵盖规划、建设、应用、管理、评价的全流程闭环管理机制。大力推进政府采购服务,试点推广政府和社会资本合作模式,鼓励社会力量参与电子政务建设。鼓励应用云计算技术,整合改造已建应用系统。事实上,有效管理作为影响我国政府实行电子政务信息安全最为重要的因素之一,其在实际的推动过程中,其安全系统的核心是政府工作人员的安全策略。基于此,就需要相关人员在管理的过程中主要针对制度、人员以及机构等多方面进行规范管理操作,从而确保电子政务信息安全[6]。
4结语
本文主要分析了电子政务以及信息安全的概念,并就电子政务信息安全构建的目标进行了阐述,最后从四个方面研究电子政务信息安全体系建设的思路。笔者认为随着相关观念的普及以及相关技术的发展,我国的政府部门在推行电子政务的过程中,其相关的信息必然能够提高安全性,而我国政务的行政办事效率也能得到极大的提高,最终实现社会的和谐、繁荣,推动政府职能的实现。
作者:缪君彦 单位:广西壮族自治区信息安全测评中心
参考文献
[1]韩戴鸿,邬显豪,徐彬凌,胡大川,钱诚.电子政务系统网络安全的研究与应用分析[J].电子世界,2016(12):76.
[2]温正卫.信息安全技术在电子政务系统中的应用[J].软件导刊,2010(6):158~160.
[3]王淼,凌捷,郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学,2010(8):52~55.
[4]袁家政,沈洪.电子政务网络办公系统的安全策略与实现[J].计算机应用,2014(s1):218~221.
[5]魏武华.电子政务系统的网络架构及其应用研究[J].计算机时代,2013(7):13~16.
[6]张瑞祥,王鹏宇.电子政务系统中信息安全技术应用探讨[J].电子技术与软件工程,2015(7):220
第五篇:电子商务信息安全问题研究
【摘要】
随着经济全球化和信息技术的快速发展,电子商务成为新时代商业的宠儿。但是由于互联网的开放性和共享性,电子商务的信息安全问题成为制约电子商务发展的主要障碍。本文从电子商务的概念和安全问题着手,重点介绍电子商务安全技术问题。在此基础上联系日常生活中的电子银行服务,介绍了电子商务交易支付系统模型。
【关键词】
电子商务;信息安全技术;防火墙
21世纪是信息化的社会,随着互联网在全球的普及化,社会生活中的各行各业都需要利用网络来管理和传输信息,电子商务是计算机和贸易的结合,这种结合近乎完美。信息化的发展必须带动工业化的发展,让工业化的发展创新化,对我们国家实现社会主义现代化意义重大。每个国家对信息安全都非常重视,美国更是最早就开始研究密码技术如何才能实现统一化。同时最近几年,我国通过网络进行金融犯罪的有千起,给电商企业造成很大的经济损失。国内企业信息安全意识不强也是造成信息安全灾难的一个重要因素。总而言之,中国的电子商务得到了空前的发展,但若想健康长期的发展,还有许多困难需要克服。把贸易和计算机技术结合起来就是电子商务。所以安全问题也就分为计算机安全方面的问题和贸易方面的问题。计算机网络安全内容包括设备、数据库、系统等方面的安全。对网络安全进行加强,设计出合理的系统安全方案,是保证系统方面安全的重要措施。
为了保证网上贸易的顺利进行,我们首先应该了解下在网上交易对信息安全方面有哪些基本要求:(1)信息的保密性。(2)信息的完整性。(3)信息的真实性。(4)信息的不可抵赖性。(5)信息的有效性。保密性在网上交易中很重要,因为只有信息是保密的我们才能确认这个交易是不是真实有效的。要使我们的交易信息在网络信道上安全传输,就需要隐藏起来再传输出去,接收方将信息解密,这就是信息加密技术。对称加密和非对称加密是常用的加密技术。对称加密技术加密和解密使用同一个密钥,这个密钥成为对称密钥。对称密钥是一个随机数。对称加密技术要求每人都有一对密钥,一个公开,一个私有。而且从一个很难推出另一个。若是用一个人的公钥进行加密,那么必须用此人的私钥进行解密,反过来也是一样的。混合加密机制满足了加密速度快,得到的密文紧凑,密钥管理简化,抗窃听,支持数字签名和不可否认性,不需要参与方事先进行联系,对参与方的数量有很好的弹性的加密要求。随着电子商务的发展,网上购物成为日常生活中很常见的事情,银行卡在线支付更是方便了许多人,可是问题也随之出现。
在网购中,出现了客户信息的泄露,订单的抵赖以及恶意的冒名,造成了很大的损失。安全电子交易协议应运而生。为了保证交易的信息数据的安全性、保密性。SET运用结合公钥的加密及密钥的加密方法,实现密钥的快捷成本低,对称的特点,可以与非对称的密钥的有效性进行融合。表一为SSL和SET协议的对比:在被保护的网络及外部网络间存在着一道有效的屏障:防火墙。防火墙保护网络的安全,预防不可测的、潜在的、破坏性的侵入。防火墙的目的是保护网络不受侵扰,它只允许经过合法的通信。在网络之间执行访问测落的一组系统,包含硬件和软件。防火墙主要有以下几种基本的类型:(1)包过滤防火墙(2)防火墙(3)应用层网关防火墙下面我们主要来介绍一下典型的电子商务系统,随着智能手机、平板电脑等通讯产品的普及化,电子商务的发展更是蒸蒸日上,传统的银行柜台服务已经不能满足人们随时随地办理业务的需求,网上银行解决了这一系列的难题。网上银行是金融界的里程碑,专家预测,在未来,电子语音和网上银行将是商业银行发展的必然趋势。一个网络支付系统至少有四个方面:商家系统、客户系统、支付宝网关和安全认证。下面就其中涉及到的参与方给予解释。客户用自己的支付工具进行支付,是支付体系的起点。商家就是卖家,是支付指令的接受者,收到指令后向相关银行获得支付。支付网关其实就是一组服务器,这组服务器把银行专业网和外部的网络连接起来。支付网关允许符合条件的支付信息通过进入银行内部支付系统,它保护了银行的内部网络。支付网关能实现内部网和外部网之间的数据转化。认证机构则是支付过程中所有的参与方提供数字证书。用这个数字证书来证明参与者的身份,从而爆破证支付的安全进行。常用的网上支付工具有银行卡、电子支票、电子钱包等。目前比较成熟的支付协议有SET协议等。协议的作用是对交易过程中的各个方面做出相应的规定,使交易安全、有效、顺利进行。笔者认为要使我国电子商务其安全方面的完善和提高。首先应提高对网上交易安全的意识,其次管理方面也要加强,最重要的是要加大力度培养这方面的人才培养和资金投入。论文围绕网上交易安全问题,介绍了电子商务在中国的发展情况,紧接着重点介绍了在其中需要使用的安全技术。数据加密技术保证了交易信息的不公开性。接着文章介绍了网上银行的基础知识。未来商业界将是电子商务的世界,所有安全问题必须得到足够的重视,论文介绍了和电子商务有关的安全方面的基础知识,还存在许多不足之处,希望能给从事电子商务相关的人一些帮助。
作者:孙艳 单位:济南市血液供保中心
