时间:2023-03-23 15:20:48
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇信息安全法律法规论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
二、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
总之,由于网络及信息资源的特殊性质,决定了信息安全问题的客观存在。信息安全问题不仅涉及国家的经济安全、金融安全,同时也涉及国家的国防安全、政治安全和文化安全,因此应当加强对信息安全问题的重视。目前,我国正在加快信息化建设步伐,加强对信息安全的管理,保证信息的安全保密性势在必行。
论文关键词:经济信息安全国家经济安全信息化法律保护
论文摘要:信息时代,信息资源的占有率已成为影响一国生产力发展的核心要素之一。面对日益激烈的市场竞争,世界各国对经济信息的争夺加剧。完善我国经济信息安全的法律保护体系是维护国家经济安全,保障生产力健康发展的重要任务。文章对经济信息安全的概念进行了界定,通过分析我国经济信息安全面临的挑战与现有法律保护的不足,提出完善经济信息安全法律保护的对策。
一、信息化挑战我国经济信息安全
与西方发达国家相比,我国的经济安全保障体系非常脆弱,对于经济信息安全的保护更是一片空白。国家经济数据的泄露,泄密案件的连续出现昭示着我国经济信息安全面临前所未有的严峻挑战。
(一)对经济信息的争夺日益加剧
经济竞争的白炽化与信息高速化在推动世界经济迅速发展的同时也使得业已存在的窃取经济信息活动更为猖獗,无论是官方的经济情报部门还是各大财团、公司都有自己的情报网络。世界各国在千方百计地保护本国经济信息安全的同时也在千方百计地获取他国的经济情报。目前我国正处于泄密高发期,其中通过计算机网络泄密发案数占泄密法案总数的70%以上,并呈现逐年增长的趋势;在商业活动中,商业间谍与经济信息泄密事件频繁发生,据业内人士透露泄密及损失最渗重的是金融业;其次是资源行业,大型并购很多,而十次并购里面九次会出现信息泄密事故;高科技、矿产等领域也非常严峻,很多行业在经济信息安全保护上都亮起了红灯。
(二)窃密技术先进,手段多样化
一方面,发达国家及其情报组织利用信息技术优势,不断监听监视我国经济情报,非法获取、篡改我国信息或传播虚假信息造成经济波动,以获取经济乃至政治上的收益;另一方面,除技术手段,他们还通过商业贿赂、资助学术研究、举办研讨会、派专人在合法范围内收集企业简报、股东报告甚至是废弃垃圾通过仔细研究,分析出有价情报等方式大量收集我国经济信息。正如哈佛大学肯尼迪政治学院的一位中国专家认为:“在中国,当前贿赂最主要的形式不再是支付现金,更多可能由公司付费途经洛杉矶或拉斯维加斯到公司总部考察。这种费用可以被看做是合法的营业支出,也可以为官员设立奖学金。”窃密技术日益先进与手段日趋多样化、合法化对我国经济安全,特别是经济信息的安全造成严重威胁。
(三)经济信息安全保密意识淡薄
近年来,每当政府机构公布国民经济运行数据前,一些境外媒体或境外研究机构总是能准确“预测”;许多重要的经济信息,包括经济数据、经济政策等伴随学术报告、会议研讨甚至是一句家常闲聊便被泄露出去;载有核心经济信息的移动存储介质被随意连接至互联网导致信息泄露等问题严重。有调查显示,我国有62%的企业承认出现过泄密现象;国有以及国有控股企业为商业秘密管理所设立专门机构的比例不到20%,未建立任何机构的比例高达36.5%;在私营企业中,这样的情况更加严峻。经济信息安全保密意识的薄弱已成为威胁我国经济安全,影响社会经济稳定发展的制约因素之一。
二、经济信息安全法律保护的缺失
安全的实质是一种可预期的利益,是法律所追求的价值主张。保障经济信息的安全是信息时代法律在经济活动中所追求的最重要的利益之一。法律保障经济信息安全,就要维护经济信息的保密性、完整性以及可控性,这是由信息安全的基本属性所决定的。然而,由于我国立法上的滞后,对经济信息安全的法律保护仍存在相当大的漏洞。
(一)缺乏对保密性的法律保护
保密性是指保证信息不会泄露给非授权者,并对需要保密的信息按照实际情况划分为不同等级,有针对性的采取不同力度的保护。现行《保密法》对于国家秘密的范围以及分级保护虽有相关规定,但其内容主要针对传统的国家安全,有关经济信息安全方面仅出现“国民经济和社会发展中的秘密事项”这样原则性的规定,对经济秘密的划定、保密范围和措施等缺乏相应条款;对于跨国公司或境外利益集团等窃取我国经济政策、产业关键数据等行为也缺乏法律上的界定,以至要追究法律责任却没有相应法律条款可适用的情况屡屡发生。
在涉及商业秘密的法律保护上,法律规定分散而缺乏可操作性,不同部门对商业秘密的定义不统一,商业秘密的概念模糊而混乱,弱化了商业秘密的保密性;①另一方面,与TRIPS协议第39条规定的“未披露的信息(undiscoveredinformation)”即“商业秘密”相比,我国《反不正当竞争法》要求商业秘密须具有秘密性、价值型、新颖性与实用性且经权利人采取保密措施,并将构成商业秘密的信息局限于技术信息和经营信息,这样的规定不以商业秘密在商业上使用和继续性使用为要件,使不具实用性却有重大价值或潜在经济价值的信息得不到保护,不利于经济信息的保密。此外,人才流动的加快也使商业秘密伴随着员工的“跳槽”而流失的可能性激增,但对商业秘密侵权威胁(ThreatenedMisappropriationofTradeSecrets)我国尚无没有明确法律依据;对于泄露或窃取他人商业秘密的行为,《刑法》第219条虽增加了刑事处罚,但处罚力度过轻而又缺乏处罚性赔偿规定,导致权利人的损失无法得到弥补。
(二)缺乏对完整性的法律保护
完整性是指信息在存储或传输过程中保持不被未授权的或非预期的操作修改和破坏,它要求保持信息的原始面貌,即信息的正确生成、正确存储和正确传输。目前,我国保障信息与信息系统完整性主要依靠《刑法》与《计算机信息系统安全保护条例》等法律法规,总体而言层级较低又缺乏统一性。《计算机信息系统安全保护条例》第4条规定了“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”,但在第23和25条却只规定对破坏和危害计算机信息系统安全造成财产损失的承担民事责任,并对个人处以5000元以下罚款,对单位处以15000元以下罚款的较轻处罚规定;现行《刑法》第285条也只规定入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为构成非法侵入计算机信息系统罪。这就是说,行为人非法侵入包括经济信息系统在内的其他信息系统并不构成本罪。可见,法律对信息安全的保障依然侧重于政治、军事等传统安全领域,而忽略了对经济信息安全的保护。
(三)缺乏对可控性的法律保护
可控性是对经济信息的内容和信息的传播具有控制能力,能够按照权利人的意愿自由流动。网络的盛行使得经济间谍、商业贿赂等窃密手段的频繁出现而使得经济信息不能按照权利人的意愿流动。面对日趋“合法化”的窃密行为,《刑法》第110条的间谍罪与第11l条的为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或情报罪都只是笼统的规定了“危害国家安全”和“窃取、刺探、收买、非法提供国家秘密或情报”,缺乏有关经济间谍罪的专门规定;而《国家安全法》也只是笼统的规定了国家安全整体的法律条文,并且侧重的是传统安全的政治和军事领域,对于经济安全,尤其是经济信息安全这样一个新的非传统安全领域的存在的威胁仍缺乏适当的法律规制。
除了经济间谍外,跨国公司对我国实施商业贿赂获取经济信息与商业秘密的案件不断增加,经济信息的可控性无法得到有效保证,在造成严重经济损失的同时也威胁着我国经济信息安全。目前我国尚无一部完备的《反商业贿赂法》,对于商业贿赂的法律规制主要体现在《刑法》与《反不正当竞争法》、《关于禁止商业贿赂行为的暂行规定》等法律法规上。然而,现行《刑法》并未直接对商业贿赂行为作出罪行定义,而《反不正当竞争法》第8条虽然规定商业贿赂的对象既可包括交易对方,又可包括与交易行为有关的其他人,但《关于禁止商业贿赂行为的暂行规定》中却又将商业贿赂界定为“经营者为销售或购买商品而采用财物或者其他手段贿赂对方单位或者个人的行为”缩小了商业贿赂对象的范罔,将除交易双方以外能够对交易起决定性作用或产生决定性影响的单位或个人被排除在外。另外,对于商业贿赂的经济处罚力度畸轻,根据《反不正当竞争法22条,不构成犯罪的商业贿赂行为处以10000元以上200000元以下的罚款,并没收违法所得。但事实上,通过商业贿赂手段所套取的经济信息往往可以带来高达上百万的经济利益,过轻的处罚完全不能发挥法律应有的威慑力。与美国的《反海外贿赂法》和德国的《反不正当竞争法》相比,我国对于商业贿赂,特别是跨国商业贿赂的治理仍存在不足。
三、完善我国经济信息安全法律保护的对策
法律保护经济经济信息安全,既要求能预防经济信息不受侵犯,也要求能通过国家强制力打击各种侵犯经济信息安全的行为,从而达到经济信息客观上不存在威胁,经济主体主观性不存在恐惧的安全状态。因此,维护经济信息安全需要构建全方位的法律保护体系。
(一)修订《保密法》,增加保护经济信息安全的专门条款
《保密法(修订草案)》增加了针对信息系统的保密措施以及加强机关、单位和人员的保密管理等五方面内容,总体上得到了专家学者的肯定,但仍存在许多值得进一步斟酌与完善的问题。特别是对于经济领域的信息安全保密问题,应增设专门条款明确规定经济秘密的保密范同,明确哪些经济信息属于国家经济秘密,通过明确“密”的界限强化保密意识,维护经济信息的安全。因此,在修订《保密法》时,我们可以在保证法律的包容性与原则性的基础上,可以借鉴俄罗斯的《联邦国家秘密法》,采取列举的方式将属于国家秘密的经济信息以法律的方式予以规定,将对国家经济安全有重大影响的、过早透露可能危害国家利益的包括财政政策、金融信贷活动以及用于维护国防、国家安全和治安的财政支出情况等经济信息包含在内,以具体形象的样态将国家经济秘密明确的归属于法律控制范畴,避免因法律缺乏明确性与可操作性而带来的掣肘。
(二)制定《商业秘密保护法》,完善商业秘密的保护
针对我国商业秘密泄密案件的日益频繁,商业秘密保护立法分散的问题,尽快制定专门的《商业秘密保护法》是维护经济信息安全的重要措施。在制定《商业秘密保护法》时,可以借鉴国外以及国际组织的先进经验,但应当注意以下问题:(1)在对商业秘密进行界定时,应采用列举式与概括式相结合的体例明确商业秘密的内涵。同时在商业秘密的构成要件中剔除“实用性”的要求,使那些不为本行业或领域人员普遍知悉的,能为权利人带来经济利益或竞争优势,具有“经济价值”以及“潜在价值”并经权利人采取合理保护措施的信息也能纳入法律的保护范围;(2)要明确规定各种法律责任,包括民事责任、行政责任以及刑事责任。由于商业秘密侵权行为是一种暴利行为,但给权利人造成的损失却往往十分巨大,如不以刑事责任方式提高违法成本便难以遏制其发生;(3)在制定《商业秘密保护法》时应当引入不可避免泄露规则(InevitableDisclosureDoctrine)。该原则主要是针对商业秘密潜在的侵占行为采取的保护方式,旨在阻止离职员工在新的工作岗位上自觉或不自觉地泄露前雇主商业秘密的问题。引入不可避免泄露原则更能有效地保护商业秘密,避免因人才流动为保密性带来的威胁。
(三)制定统一《反商业贿赂法》,确保经济信息的正向流动
随着信息在经济活动中作用加重,商业贿赂的目的不再局限于获取商品销售或购买的机会,通过商业贿赂获取竞争对手经济秘密已成为信息时代非法控制经济信息流动的重要手段之一。制定统一的《反商业贿赂法》将分散在各法律法规中的有关条例加以整合,实现对国内外商业贿赂行为的有效监管,是堵截经济信息非法流动、维护我国经济信息安全与公平竞争市场环境的必然选择。因此,在制定统一《反商业贿赂法》时首先应当对商业贿赂的概念进行准确的界定,借鉴《布莱克法律词典》的解释将商业贿赂定义为经营者通过不正当给予相关单位、个人或密切相关者好处的方式,获取优于其竞争对手的竞争优势;④其次,对于商业贿赂的管辖范围应当适当扩大。根据《经合组织公约》与《联合国反腐败公约》的规定,缔约国应确立跨国商业贿赂法律的域外管辖权制度,对故意实施的跨国商业行为予以制裁。因此,制定《反商业贿赂法》要求将我国经营者或该商业活动的密切相关者无论是向国内外公职人员、企业、相关个人以及国际组织官员行贿行为或是收受来自国内外企业、个人的财务或其他利益优惠的受贿行为都应列入该法管辖范围内,并针对商业贿赂这种贪利性违法行为,完善民事、行政以及刑事法律责任;此外,在立法时还应借鉴国外的成功经验加大制裁力度,取消现行法律中固定处罚数额的不合理规定,采用相对确定的倍罚制,并制定对不构成犯罪的商业贿赂行为的资质罚(指取消从事某种职业或业务的资格的处罚),使得经营者在被处罚后不再具备从事相同职业或业务再次进行商业贿赂的条件,从而有效遏止商业贿赂行为的蔓延,以确保经济信息的合理正向流动。
(四)完善《刑法》,维护经济领域信息安全
“只有使犯罪和刑罚衔接紧凑,才能指望相联的刑罚要领使那些粗俗的头脑从诱惑他们的、有利可图的犯罪图景中立即猛醒过来”。故此,完善《刑法》并加重处罚力度,是维护经济领域信息安全的必要保证。
首先,计算机与网络的广泛使用使得计算机信息系统安全成为影响经济信息安全的关键因素。面对《刑法》对经济领域计算机信息系统保护的缺位,增加维护经济信息安全的专门条款是当务之急。因此,应首先对《刑法》第285条进行调整,规定凡侵入具有重大价值(包括经济价值、科技价值与政治价值等)或者涉及社会公共利益的计算机信息系统的行为都构成犯罪;同时,针对目前窃取计算机信息系统中不属于商业秘密或国家秘密但却具有知识性或重大价值,特别是经济价值的数据、资料现象日益严重,《刑法》中还应增设窃取计算机信息资源罪,对以非法侵入计算机信息系统为手段,以窃取他人信息资源为目的且造成严重后果的行为予以规制;此外,在《刑法》还中还应增设财产刑、资格刑,适当提高法定刑幅度,从多维角度预防和制裁危害计算机信息系统犯罪。
其次,在对商业秘密的保护上,应完善相关刑事责任与刑事诉讼中的保密规定。现行《刑法》规定了侵犯商业秘密的行为,但在刑罚的表述中并没有详细的划分。纵观国外立法,大多根据侵权行为社会危害程度的不同规定了多种量刑幅度。因此,对侵犯商业秘密罪的设置应根据危害程度的不同规定不同的刑罚,对侵犯商业秘密情节恶劣,后果严重者从重处罚,确保罪责刑相适应的同时保证法律的威慑力。此外,针对目前在审理涉及商业秘密案件除规定不公开审理外,没有对参与商业秘密的诉讼人员规定保密义务的问题,在刑事诉讼中还应设置相关保密义务条款,在司法解释中也应规定配套的保密措施,以确保权利人在伸张权利时其商业秘密的保密性不会因法律的漏洞而丧失。
1 大数据概述
1)大数据的定义
大数据(big data,mega data),或者称海量数据资源集,是指尝试一种全新处理模式和应用思维方式才来预测行为的发生,提前做出准备应对。因为这种预测准确性高,这种模式需要有更强有力地的决策手段、洞察能力和流程优化方法的大规模、多样化的信息资产,以便更好地适应企业进行经营决策和资源整[3]。
2)大数据的特点
特点如下:第一,庞大的数据量。从TB级别,跃升到PB级别;其次,广泛的数据类型。网络文字、图像、影音、二维码等信息。然后,低密度的价值。通过对数以万计的数据信息进行地毯式挖掘,但有提取的用信息只有一星半点。第四,信息处理速度快。因为使用RapidMiner数据分析技术和Apache Drill查询手段,对数据的处理只需要1秒。
2 信息安全问题在大数据时代中的现状
大数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。”这是麦肯锡宣称的大数据策略。与此同时,不少人认为,我们现在身处于“玻璃房”当中,周围都是疾速的数据流。如何保护个人信息不被挖掘?当下又该如何使用好大数据这把“双刃剑”是亟待解决[4]。
1)大众非理性的对待
随着智能手机和计算机技术的普及,对数据处理的生活化十分普遍。同时,衍生了网络社会怪现象:网络“晒”信息,微信抢红包和微购物等。生活也渐渐成为了“自我量化”的模式,然而这些习以为常的举动,很有可能泄露你的个人信息,造成不必要的损失。我国处于在传统数据和大数据时代的过渡期,信息泄密事件也随之泛滥成灾。然而这个更迭的时期,个人信息与隐私边界的模糊化,人的自我保护意识逐渐淡薄,促使我们成为隐私度归零的“透明人”。
2)传统安全技术的缺陷
近年来,网络安全论文威胁层出不穷,让企业、个人甚至政府机构等防不胜防。网络黑客们总能对攻击方案进行“创新”,编辑出杀伤力强大的程序设计。从而达到入侵网络服务器获取信息数据的目的[5]。传统的防火墙和杀毒软件只能来应对移动设备端的入侵手段,而无法解决黑客对云端大数据库的攻击。
3)数据价值属性的隐患
由于大数据价值密度低的根本属性,黑客利用这个特点,将制作并编写的攻击型APT代码,并将其安置隐藏在大数据中,使监测的防护软件无法被察觉。然后进行程序运行,但由于其识别代码的迅速性,容易忽略病毒代码,于是将病毒传输到大数据库的云端空间服务器中。然后执行APT代码,开始持续窃取工作并且进行指令整合,通过对用户的细小的相关信息,来挖掘出用户的信息与资料。
3 大数据时代下的信息安全新威胁
1)移动设备的信息泄露
大数据时代移动设备的普及化,app软件的兴起,不少非法广告渠道商与黑客将黑手触及其中,将恶意代码、钓鱼代码和广告植入到官方软件中,然后将其从新包装,并将包装后的软件放置第三方网络应用平台中,随后攻击者假装成用户认识的人,向用户发送短信软件链接,当用户点击广告链接、下载应用软件时,其恶意代码将会启动,被感染的移动设备会对聊天记录、上网记录、照片、性格爱好等个人价值微小信息,并向通讯录的其他人发送相同短信。犯罪分子通过数据的传输把信息窃取出来,然后通过大数据进行的关联性进行深度分析、挖掘和综合利用,导致个人信息的泄露。
2)网络犯罪越演越烈
随着大数据的兴盛,大规模的数据传输和网络数据交易等都是通过大数据的平台来进行的。数据平台的虚构性使得极多的犯罪分子钻其漏洞。其中网络安全问题已经不再是最求眼下利益的破坏,而是损坏大数据下的关联模式,使预测的准确性降低。影响未来的信息安全。
3)云计算的安全管理隐患
云数据中心因大数据时代的来临,数据更加及集中密集,如果这些数据出现问题,无论是丢失还是被篡改,对任何企业都会是一场毁灭性灾难。不少企业对对安全防护的认知还有存在较大的误区[6]。云计算的发现与完善带来了许多急待解决的问题,企业用户的信息安全将面临更加严峻的挑战[7]。有些云服务供应商对登记注册管理不严格导致了造成了云的泛滥、恶意的使用以及对云服务的攻击的严重后果,对于大数据时代的发展产生极为不良的后果,严重干扰了数据的完整性和相关联系[8]。
4 造成大数据时代信息安全缺位的原因
1)自我量化导致安全意识淡薄
如今,数据代表着某事物的描述,这种数据可以进行分析、整合与记录。在大数据的时代,人们开始利用数据的核心属性“量化一切”来对生活进行转换。然而在当“文字转换数据、方位转换数据、沟通转换数据甚至世界万物转换数据”时,人们不会把个体看作成体事物,而是视为一堆数据库的集合时,便会觉得生活本该就是由数据构成[8]。于是就开始将图片信息,个人资料肆无忌惮的公开在网络的大数据,信息泄露的问题也随之降临。信息的泄露,会威胁着人们的信息保密工作[9],但这种泄露手段却是大数据的掩盖下神不知鬼不觉地发生着。
2)黑色产业链中的利益驱使
当大数据方兴未艾时,一些app开发商与病毒的制作者组织在一起进行合作,对一些知名软件做出反编译处理,并在其中插入恶意、广告代码等。然后将这些被处理的软件打包投放到应用市场,当用户点击其中的应用和广告链接时,将会产生一定的推广利益。这是大数据时代下病毒制作者、app开发商与非法广告提供商三者形成的黑色产业链,而这种产业链将会污染大数据的环境,并且会使数据资源出现断层,其关联性被损坏从而引发信息安全问题。
3)安全法规的强滞后性
大数据的信息挖掘十分强大,它可以对网上数据源进行索引,寻得个人的细微信息,揭示其行为规律[10],这使安全隐私问题频频发生。当人们用法律法规去驾驭大数据下的信息安全时,发现法律法规的滞后性,无法满足大数据时代的预测和关联性使信息安全衍生的问题具有多变性。
5 大数据时代信息安全的措施
1)信息安全保护应纳入国家战略资源的保护范畴
数据的运用已渗入了社会生活的各个方面,大数据为国家及时掌握社会动态,分析社会民情,观察社会变化提供了重要的数据来源。例如网上购物的发货地址及其商品的变化,能很好地为国家分析各地的产业经济的变化提供有力的数据,这些数据也属于大数据的范畴,这些数据对于国家有其特殊的战略意义[11]。由此可见,数据之于国家战略的重要性,将其包含于战略资源加以保护尤为重要。“国家网络与信息安全战略下的云”这一明确表述出现于2015年4月15号的中国数据中心大会中,表明对于信息安全的保护已经上升至国家战略层面,这事件对于我国在新形势下对于网络信息安全及个人信息的保护具有里程碑式的重要意义。
2)加强信息安全的立法工作
在新形势下,相较于传统的保护措施及仅从技术层面上加以防范已经不能满足如今的现实需求,从法律层面出发,制定研究能够适应大数据时代下的信息保护法律,才能真正地为信息的保护树立防范之本。许多IT企业的负责人呼吁国家应颁布信息安全相关的法律和加强对信息安全的保护工作,信息安全问题已引起了社会各阶层的众多讨论[12]。这表明信息保护已不再是一个行业问题,而演变为一个与每个人都紧密相关的重要安全问题,这对保护网络安全意义重大。
3)加强对数据的行政监管
在如今的互联网时代,数据显示出了其之前从不具有的巨大价值,某些商业机构运用个人信息数据能通过较小成本博取很高的经济利润,在个人信息安全法律没有制定的今天,某些企业只需要面对较小的违法成本就能换取巨大的经济利益[14]。对于这种情况,我国应制定与其相适应的安全标准,使这种行为始终处在透明的监管环境下,保护个人信息安全及隐私不被侵犯,使对个人数据的使用始终保持在正确的轨道上。2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》指出对于数据的使用,必须要征得信息当事人的明确同意。在对信息的行政监管上,此指南的颁布意味着我国的信息保护工作走向了一个全新的层面[15]。
4)加强对信息安全的技术保护
技术保护是法律保护的具体化、现实化,它将法律保护落实到实质层面,是体现法律保护的有力工具。在相关法律还没有正式实施的阶段,技术保护仍是我们保护信息不可或缺的有效武器[16]。信息技术的发展日新月异,需要我国大力重视信息技术的发展,不断创造及创新,突破新技术,研发新技术,提升我国在信息技术领域的竞争力,为我国的信息保护工作提供牢靠的技术保障。
5)加强行业自律与监管
仅仅依靠国家机关的行政监督仍不能有效保护信息的安全,我们应引入行业竞争,使它们相互监督,这能在最大程度上保护信息安全。所以,国家有关部门应组织相关企业组成行业委员会,制定行业安全标准和条约,明确它们的权利及义务,使相关企业间的互相监督变为现实,成为一个保护信息安全的有效办法。同时,国家有关部门应给予相应的资金及政策支持。
大数据为我们提供更为真实的数据的同时也大大降低了数据获取的成本,这使得我们能更好地服务社会,适应社会变化,改善社会,我们的社会会应大数据而变得更美好[17]。大数据的运用仍有其隐患,它就像把双刃剑,在最大程度上运用它的关联方面的“预测”同时也应最大限度地避免其所带来的风险。这风险就是信息资源的泄露,在运用数据的同时不能忽视对数据的保护。
参考文献:
论文关键词:网络文化 网络安全 网络安全文化
论文摘要:该文论述了文化对人的网络信息行为的影响,介绍了网络安全文化的产生背景和构成。并对网络安全文化的内涵及作用机制进行了研究。
1 引言
网络环境的出现极大地方便了人们之间的信息交流,推动了人类社会的进步。但同时,它也是一把双刃剑,它在为我们提供了便利的同时,也带来了许多问题。其中网络安全问题已成为日渐棘手、迫切需要解决的一项任务。以往,人们注重从技术上去着手解决这个问题,而往往忽略了其它防护,虽然收到了一定的效果,却不能从根本上解决网络安全问题。事实上,信息管理的成功,关键在于人的因素。加强人的因素管理,是保障网络安全的重要途径。而人是社会的人,他生活在一定的文化背景之中,文化对人的信息安全行为产生巨大影响。因此,笔者从文化、网络文化、安全文化三者的内在联系入手,试图探讨一种新的文化—“网络安全文化”。本文就“网络安全文化”相关概念、与其它文化的联系及其意义进行了分析与探讨。有关“网络安全文化”的结构体系与实施途径等内容,将在另外的论文中予以研究,在此不作赘述。
2 网络安全文化的产生背景和构成
互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。因此,安全文化便自然地融入其中,引导和制约着人们的网络信息安全行为,起到约束和管理人的网络信息行为的作用,形成了一种全新的、而被人们忽视了的“网络安全文化”。基于此,本文提出网络安全文化的概念,它是安全文化的子类,是安全文化和网络文化相互渗透的结果。它继承了安全文化与网络文化的共性,同时又具有自己的特性。它通过影响网络操控者人的行为来影响网络安全,它对网络安全的影响贯穿人们网络活动的始终。因此,我们认为网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则, 是每个人对网络安全的价值观和行为准则的总和。如前所述,网络安全文化是网络文化与安全文化的交集,既是安全文化发展到网络时代的产物,属于安全文化的一部分,也是网络文化的安全影响因素,属于网络文化的一部分。
参照传统的文化结构划分方法,我们将网络安全文化分为三层,即网络安全物质文化、网络安全制度文化和网络安全精神文化。网络安全物质文化是网络安全文化的外显部分,也是最基本、最常见构成部分,它主要指包括像防火墙之类的各种网络安全硬件设备和软件产品,网络安全制度文化是更深一层次的文化,包括各种维护网络安全的法律法规和规章制度,网络安全精神文化是网络安全文化的核心,包括人们对网络安全的意识、心理、理论等。在这三层中,网络安全物质文化是物质体现,同时也是决定因素,它决定网络安全制度文化与网络安全精神文化,网络安全制度文化是中间层,既由网络安全物质文化决定,也受网络安全精神文化的影响,同时也反作用于网络安全物质文化和网络安全精神文化,网络安全精神文化是核心,是网络安全文化的本质,由网络安全物质文化和网络安全制度文化决定,同时内在于前二者,反作用于前二者,三者相互影响,相互促进。
3 网络安全文化的作用机制
3.1 网络安全文化的作用方式
1) 网络安全文化影响人们的网络安全观念,安全观念即人们对网络安全的认识与评判准则,这个认识可以用几个问题来描述:网络应不应该安全;什么是网络安全;怎么评价网络安全;如何保证网络安全。这些问题都会影响到网络的安全,作为一种价值观,它可以直接影响到人的行为及其它方面。2) 网络安全文化影响网络安全相关法律法规的制定,法律法规是统治阶级意志的表现,而这种意志毫无疑问是受价值观影响的,安全法律法规一旦颁行后就成为强制性的手段规范人们的网络安全行为。3) 网络安全文化影响网络伦理的形成,网络伦理包括道德意识、道德关系、道德活动三个层次,与法律法规不同,网络伦理道德是人们在网络活动中慢慢形成的共同的价值观与行为准则,它虽然不像法律那样有强制性,但它能在不知不觉中制约人们的网络行为,起到一种软制约的作用,这种作用有时甚至比法律更有力。4) 网络安全文化影响技术的发展,技术总是为生产力发展服务,而生产力又受到生产关系的制约,当人们越来越注意到网络安全的时候,那些更能满足安全需要的技术总能得到较快的发展,像各种安全理论和防火墙之类的安全设备正变得越来越科学与可靠,从而使网络更安全。5) 网络安全文影响组织结构与权力分配,在网络发展初期,人们更看重的是速度与共享,人们自愿地接入网络而较少考虑安全方面的问题,那时的发展行成了今天网络的雏形,随着网络的发展及安全事故的增加,安全问题越来越受到人们的重视,安全考虑也越来越融入到网络建设中去,从而各种各样的网络安全管理组织应运而生,虽然在互联网中每个人都是平等的,但也总存在着一些特权组织与用户,他们拥有一般用户所没有的超级权限以便能够对网络安全进行管理与监控。
3.2 网络安全文化的作用过程
网络是计算机技术与通信技术的结合,它从一开始就是为人们通信服务,它的根本任务始终是信息共享与交流,它的主体是人,客体是信息。网络安全文化则产生于人的网络信息活动并影响人的网络信息活动,它的影响过程是全过程的,即从信息的收集、加工、存储,到传输的整个过程。
1) 网络安全文化对信息选取、收集的影响。网络安全文化通过前述各种方式对网络主体的信息收集行为的影响可以从以下几个问题来阐述:应该从哪些地方收集信息,原创还是下载;应该怎样收集信息,用合法手段还是非法手段;应该收集什么样的信息,有益信息还是有害信息,或者非法信息;为什么要收集信息,合法目的还是非法目的。网络安全文化就是通过回答这些问题而在行为主体心中形成一定的价值取向从而制约他们的安全行为。2) 网络安全文化对信息加工、存储的影响。网络安全文化对信息加工与存储的影响可以通过以下几个问题阐述:为什么要加工信息,合法目的还是非法目的;加工什么样的信息,有益的还是有害的,或者是非法的;怎样加工、存储信息,安全可靠,还是不安全可靠。3) 网络安全文化对信息、传输的影响。网络安全文化对信息、传输的影响可以从以下几下问题来阐述:应该什么样的信息,有益的信息还是无用信息,抑或非法信息,应该怎样信息,通过安全合理的渠道还是相反;如何保证信息传输的安全性,用技术手段还是管理手段抑或二者兼有。
4 网络安全文化建设的意义和作用
网络安全文化存在于人的心里,是引导和规范人的网络行为的“心镜”。人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。它和行为主体的动机、情绪、态度等要素一起作用于主体,在很大程度上影响着主体的行为,并使得网络更加安全和谐,因此培育优秀、先进的网络安全文化具有重大的现实意义和作用。
1) 能减少网络安全事故的发生,提高网络的安全系数并减少由网络安全事故带来的经济损失。
2) 它能增强网络的安全性和提高网络的运行效率,网络安全文化通过影响人的行为来保证网络的安全高效运行。
3) 它能营造和谐的网络环境,在网络中,没有种族、地域、财富的限制,人人平等,人们可以自由地交流,可以充分地展示自己。
4) 能促进计算机网络技术的发展,先进的网络安全文化总是促使人们去自觉发掘网络中的不安全因素并解决它们,不断地改进网络性能,使网络更加安全,促进计算机网络技术的发展。
5) 它促进了人类文化的发展,丰富了文化的内涵,推动了人类社会的进步,它能促使人类文化的交融,使优秀的文化得以发扬,使落后的文化得以摒弃。
5 结束语
综上所述,网络安全文化是安全文化在网络时代的发展,是网络文化的一个重要组成部分,它产生于人们的网络安全活动,又反过来影响和制约人们的网络安全活动,它对解决目前日益紧迫的网络安全问题有着重大的意义,培养积极、健康的网络安全文化是我们目前面临的一个重要且紧迫的任务。
参考文献:
[1] 罗益群.信息社会学[M].长沙:湖南人民出版社,2001.
[关键词]网络银行;风险监管;完善立法
网络银行是利用网络技术在网上开展银行业务,为客户提供各种金融产品和服务的金融机构。在一般情况下,客户在通过网络银行实现其所需要的服务时可以不受时间、地点的限制。目前,网络银行有两种模式,即纯网络银行(internet-onlybank)和在线银行(onlinebank)。纯网络银行,又称虚拟银行,这种银行一般只设一个办公地址,没有分支机构和营业网点,主要或仅通过网络提供各种金融产品和服务。在线银行是现有传统银行利用网络提供网上服务的网络银行,是传统银行业务与网络信息技术结合的产物。中国大陆的网络银行主要是这种模式的银行。网络银行业务具有交易虚拟性、跨国性、技术依赖性、经营混业性等特征。由于网络银行业务的这些特征,致使网络银行业务风险较传统银行业务风险发生机率更高、范围更广、破坏性更严重。当前,中国虽然在网络银行监管方面制定了一些法律法规,然而,网络银行安全法规不够完善、网络银行交易管辖权难以确定、传统银行分业监管与网络银行混业经营之间存在冲突、网络银行内部监管规定不够明确,这些问题严重地阻碍了网络银行业的发展。因此,尽快完善中国大陆网络银行法律制度,防范网络银行业务风险,已经成为中国开展网络银行业务的当务之急。
一、中国大陆网络银行监管的立法
建立健全网络银行监管的法律制度是网络银行业健康发展的重要基础和法律保障。1999年11月,中国人民银行(当时的银行业监管机构)正式批准招商银行开展网络银行业务。招商银行成为中国金融监管部门首次正式批准开展网络银行服务的国内商业银行[1](P223)。但当时中国大陆尚无调整网络银行的明确法律法规依据。2001年,中国人民银行《网络银行业务管理暂行办法》(以下简称《管理暂行办法》);2002年,又了《中国人民银行关于落实〈网络银行业务管理暂行办法〉有关规定的通知》(以下简称《通知》)。这些规定为中国网络银行业务监管提供了法律法规依据。《暂行办法》规定了网络银行业务的定义、市场准入的条件和程序、网络银行业务风险管理规则以及银行的法律责任。同时,还规定外国或中国港、澳、台地区的银行可以向大陆居民提供网络银行业务,大陆境内的网络银行也可以向境外居民提供网络银行业务等。《通知》进一步明确了审查、开办网络银行业务的条件、程序和对网络银行业务监管的有关内容。随着网络银行业务的发展,2005年,中国银监会颁布了《电子银行业务管理办法》,该办法在借鉴国际立法,主要是巴塞尔体制先进经验的基础上,对上述法规所规定的内容进行了扩充和具体化。目前,中国网络银行业务监管的法规主要有两类:(1)仍可适用于网络银行的传统银行业务监管法律中的有关规定,如《中国人民银行法(修正案)》、《商业银行法(修正案)》、《银行业监督管理法》、《外资金融机构管理条例》等中的规定;(2)对网络业务监管的专门规定,如《暂行办法》及《通知》、《电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》等。这些有关法规为中国大陆开办和监管网络银行业务提供了基本的法律法规依据。然而,从中国现行网络银行监管法规规定来看,由于它仍然沿用对传统银行的分业监管模式,而且尚存在许多立法空白和不合理之处,故难以适应中国网络银行业快速发展的需要。
二、目前中国大陆网络银行法规存在的问题
(一)对确保网络银行安全的法律规定不够完善
近年来,中国大陆网络银行的数量和规模以及网络银行业务的交易量都取得了很大的发展,但也存在着诸多的问题,其中最迫切需要解决的问题就是网络银行交易安全问题,这也是在完善网络银行监管法规时首先需要解决好的问题。完善网络银行监管法规其主要任务就是要完善防范网络银行业出现风险的法规。目前,中国大陆网络银行在两个方面易出现风险:一个是网络银行系统自身易出现风险;另一个是网络银行与客户资金等易遭受风险。网络银行系统的风险主要有网络中的关键设备,如各类计算机、网络通信设备、存放数据的媒体和传输线路等易遭受侵害。这些设备中的任何环节一旦出现问题都会给整个网络造成严重恶果。此外,网络银行系统中的漏洞和计算机病毒的传播也对网络银行的正常运营构成了极大威胁。网络银行和客户的资金风险主要来自网络银行窃贼窃取银行和客户的秘密,利用网络银行诈骗钱财以及网络银行内部工作人员对银行和客户权益的侵害。上述大都属于高技术性能的安全隐患,这就要求安全隐患的防治者和监管者必须具有高超的网络技术。然而,目前中国大陆监管者的技术水平及其责任心都未能适应防范网络银行业务风险、确保网络银行安全的要求,而对如何解决这些问题,在立法规定上仍不够完善。
(二)网络银行交易管辖权难以确定
管辖权是一国法院或具有审判权的其他司法机关受理、审判具有国际因素案件的权限。这种管辖权是审理有关案件的前提条件,它直接影响着案件的判决结果和当事人的合法权益。然而,如何确定网络银行交易的管辖权具有复杂性。网络空间本身无任何边界,是一个全球性的网络系统,无法分割成诸多领域。要在一种性质不同的空间中划定界限,这是传统银行交易管辖权规则所面临的困境。网络银行业务与传统银行业务的主要区别就在于,它在与客户交易中的地理空间位置的界限被淡化。由于网络银行的交易活动往往跨越了地区和国界的限制,它的无地域性、无国界性与国家对银行监管的性之间的冲突日益显现。在这种状况下,如何确定网络银行交易的管辖权?如何确定网络银行交易的合法性?这些问题都关系着网络银行交易的安全、效率和发展。目前,由于这一问题在中国大陆的相关立法、理论与实践中尚未得到解决,因此,很有必要对寻求解决该问题的途径进行全面深入的探讨。
(三)网络银行混业经营与传统银行分业监管之间存在冲突
依照当代中国金融管理法规规定,中国大陆金融业采取“分业经营,分业监管”。然而,一方面,近年来,中国出现了大量的金融控股公司,银证合作与银保合作的模式也不断得到发展,这种混业经营的现实与分业监管法制之间的矛盾日益显现;另一方面,中国网络银行业取得了很大发展,网络银行不仅经营传统的银行业务,而且还提供信息咨询、投资理财和综合经营等业务。本论文由整理提供网络银行的经营模式正是混业经营模式,网络银行的“全能经营,统一监管”模式与传统的“分业经营,分业监管”模式之间的冲突日益严重。随着当代国际金融业的创新与发展,各类金融业务之间、各类金融机构之间和各类金融业监管之间的界限逐渐淡化,很多金融业务之间出现了相互渗透的势头,尤其是银行、证券、保险业出现了混业经营的状况与发展趋势。事实上,中国大陆传统的相对滞后的监管手段、监管工具以及分业监管体制已经难以适应中国现已存在的混业经营状况和国际金融业混业经营、统一监管的发展趋势。
(四)网络银行内部监管规定不够明确
网络银行的董事会和高级管理人员对网络银行的监管具有重要作用。网络银行具有标准化运营的特点,银行系统一般都使用同一套网络银行的操作系统,如果网络银行的发展战略、风险控制策略、内部控制程序等得不到合理地制定,将会给网络银行带来巨大风险损失。此外,银行内部工作人员利用工作之便进入银行系统,对网络银行及其客户都有可能造成威胁。在已破获的网络银行犯罪案件中,涉及银行内部工作人员作案的比例高达75%。其中,内部授权人员占到58%。他们往往利用授权删除、修改、增加网络银行中的数据,转移、盗取某些账户的资金[2](P40)。这些网络银行内部工作人员的行为严重侵害了客户的利益和银行的信誉与利益。然而,中国大陆现有的相关法规却缺乏对网络银行内部工作人员监管的明确完整的法律规定。为此,相关立法应增加对监管者再监管的规定,尽快完善中国网络银行内部监管的法律法规。
三、对改善中国网络银行法律制度的分析
(一)建立网络银行安全法律保障体系
安全问题是网络银行运营和发展中最关键的问题。建立网络银行安全法律保障体系是一个极为复杂的系统工程,它需要通过制定规范相关技术与人员的法律法规来实现。(1)中国应制定相关的技术应用法律规范,确保网络银行运营的安全,即系统安全与信息安全。网络环境是一个技术支撑的特殊环境,必须依法规范网络技术安全标准并确保安全技术标准的有效实施。一是要充分利用操作系统的安全管理能力和多种安全管理机制,增强网络银行的安全性。二是要制定相关法律规范,确保不断改进防范计算机病毒技术和防火墙技术,时时监测运行过程,检查是否有对网络银行构成安全威胁的漏洞,及时发现、消除可能出现的潜在危险。三是国务院有关部门应当制定完整的网络银行业务审批和监管规范,明确网络银行业务操作规则与风险责任的划分,健全安全认证制度。为此,应建立全国统一的网络银行安全认证中心,增强网络系统中关键技术和关键设备的风险防范能力,建立健全备份系统,以确保在出现故障后网络银行系统能及时得到恢复。(2)进一步健全网络银行内部工作人员安全管理法律制度,依法保障网络银行内部管理人员和工程技术人员的基本素质与技术水平,严格规范金融从业人员防范风险的义务。
(二)暂依信息收到地来确定网络银行交易管辖权
网络银行交易的管辖权是一国法院或具有审判权的其他司法机关受理、审判具有国际因素的网络银行交易案件的资格,是有关法院审理此类案件的前提。在网络环境中,以网络传输交付电子信息,是网络银行交易的特有方式。由于网络的全球性,当事人可以在全球的任何一个地方传送给另一方所需要的信息并与其进行交易。网络银行的交易往往与交易所处的地理空间位置没有实质的联系。然而,按照国际私法理论,在依据连接点确定网络交易管辖权问题上,有些中国学者认为中国暂且可依属地管辖原则来确定管辖权,并认为在网络交易中,如果依信息传送地国(由接收者为信息的传送而提供的地理处所所在国)管辖或信息收到地国(接收者营业处所或下载信息地点所在国)管辖,由于当事人随机的选择性很大,交易双方的当事人未必相互清楚对方所在的位置和其真正身份。而且网络信息产品的接收者无义务向对方提供其接收信息的地理处所。即使提供,接收者随意提供的某一地理处所很可能与交易无实质联系。因此,以信息传送地或信息收到地来确认管辖权都不甚合理。但从中国国家利益考虑,当前中国通过网络获取的信息量较大,而输出的信息量相对较小,以信息收到地管辖相对较为合理,信息收到地管辖实际上偏向于中国法院的管辖[3](P303)。由此可见,如果我们依信息收到地来确认管辖权具有一定合理性。然而,依信息收到地确认网络银行交易的管辖权是否符合国际社会对该问题的总体把握呢?对此,有必要作进一步深入探讨。
在协调各国和地区有关确定网络交易管辖权问题上,海牙国际私法会议起了重要作用。1997年,各国专家学者在海牙国际私法会议上达成了五项共识:(1)网络的本质是跨国性的;(2)网络中也许真正存在的是法律过剩,而并非法律真空,这就有必要重新定义国际私法规则;(3)当虚拟空间与现实空间存在某种联系时,确定在线活动的位置是可能的;(4)在私人利益与公共利益的平衡被打破、政府的角色并非不可替代以前,网络空间的自治规则可能更受当事人的欢迎和喜爱;(5)各国应该合作制定国际性普遍接受的规则,而非单独行事[4](P179)。应该看到,上述五项共识具有重要意义,它为各国和地区解决网络环境下管辖权的适用原则指明了方向。从当代世界各国和地区确定管辖权的理论与实践来看,各国和地区在确定管辖权时不仅要考虑本国和地区的利益,还要考虑相关国家和地区的利益,乃至国际社会的整体利益。尽管一国或地区有权对发生在外国而在本国或地区产生损害的行为行使管辖权,但是如果因此而损害了国际公认的行为准则或有损于网络银行的发展,其管辖权的合法性就会存在问题[5](P80)。我们还应该看到,在当代国际社会,依信息收到地来确定网络银行交易管辖权,尽管在一定程度上不符合信息输出量大的国家或地区的利益,但也不被有关确定网络银行管辖权的国际立法所禁止。因此,当前在国际社会尚未就确定网络银行交易管辖权达成共识的情况下,依信息收到地确定网络银行交易管辖权不失为解决问题的一种方法。
(三)建立适宜网络银行交易的统一的金融监管法津制度>第一,建立和完善网络银行法律制度要牢牢把握网络银行的网络性。由于网络银行组织及其活动呈现网络性,其生存与发展空间处于世界性网络之中。这就要求在制定中国网络银行监管法规时,必须基于网络银行的网络性,设计网络银行监管的对象和范围、监管的组织形式、监管方式、监管权限范围与责任的划分等等。第二,要确立混业监管、多元监管体制。由于网络银行的无国界性等特征,网络银行监管主体呈现出多元化和国际化特征。这种监管主体既有本国或地区的监管主体,又有外国的监管主体,还有国际性的监管主体。基于网络银行的混业性监管与国际性监管的特征,在制定中国网络银行监管法规时应当采用混业监管的模式。从金融监管法理论来看,对金融活动的有效监管应当实行混业监管,即由各相关监管部门依照统一的、权威的金融监管法规开展有机、协调的监管。目前,中国大陆金融业混业经营,网络银行、外资银行的金融业务相互渗透,致使中国银监会与其他监管机构,或者对商业银行监管重复,或者监管空缺。因此,有必要重新整合银监会、证监会、保监会,组建统一的金融监管部门,对中国金融业集中统一监管。同时,还要注意开展中国与相关国家和国际组织在对网络银行监管中的协调与合作。第三,应当确立全面完整的监管方式。也就是要确立全方位、全过程、多种手段的监管方式。根据当前中国网络银行监管的技术水平和能力,应对与中国相关的网络银行业务开展全方位、不间断的监管,综合运用技术、法律、经济等手段监管,只有这样才能将网络银行的风险降至最低,有效地促进和保障中国大陆网络银行业的健康发展。超级秘书网
(四)细化网络银行内部监管法规
第一,网络银行内部监管法规对规范银行内部工作人员,及时发现银行的薄弱点,查找可能出现的问题,评估、分析、化解风险,或将风险降到最低程度具有重要作用。因此,应当通过建立法律制度确保中国网络银行内部工作人员具备监管的必要技能,建立银行监管业务知识资格考试和职业评价等制度。内部监管工作人员要具备较强的综合分析能力,能运用新方法、新技术对银行的经营状况进行研究。第二,立法应明确规定中国网络银行内部监管者所必须具备的品德素质。由于少数网络银行内部工作人员利用工作之便进入银行系统作案,给网络银行的经营造成了严重的威胁。因此,银行内部工作人员须应能够及时制止并纠正银行营业中出现的违法行为。第三,应当明确划分内部监管人员的职责,规定对内部监管人员实行垂直领导。为了避免内部监管人员,应当设立专门监管机构对内部监管人员进行法律监督。
[参考文献]
[1]余素梅.港电子银行监管规则的最新发展及其启示[J].球法律评论,2006(2).
[2]陈诗松.谈网络银行的安全及防范[Z].海南省通信学会学术年会论文集,2007.
关键词:电子政务 风险 防范措施
中图分类号:C93文献标识码: A
一、 电子政务概述
电子政务,亦称电子政府、政府信息化管理,是政府机构以计算机为媒介,应用现代信息和通信技术,将政府的管理和服务工作通过网络技术进行集合,以实现政府部门工作的进行以及组织结构的优化重组,从而及时向社会及公众提供全方位、行之有效的管理和服务。
电子政务是政府管理方式的革命,它的运行有助于建立一个开放透明的政府,一个勤政廉洁的政府。电子政务职能实现的前提是信息安全的有效保障,大量政府公文在政务信息网络上的流转,一旦存在信息安全问题,则直接导致机密数据和信息的泄漏,危及到政府的核心政务。如果电子政务信息安全得不到保障,电子政务的效率便无从保证,这将给国家利益带来严重威胁。所以说,信息安全是制约电子政务建设与发展的首要问题和核心问题。
二、 电子政务面临的风险
(一) 认知层面的风险
电子政务在国内建设与使用时间不长,缺乏深入研究。一些人只是简单地认为电子政务系统就是信息化,只要实现了网络数字化就可以推行电子政务,从而出现盲目建设、脱离现实条件等问题;还有一部分人认为电子政务就是运用计算机代替传统手工模式,这就固化了现有政府结构,不利于政府的改造与职能的转变。
(二) 规划层面的风险
规划层面的风险主要有:规划制定人员、规划的范围和内容、规划计划的实施步骤、规划中的政策因素等等。
信息技术的进一步应用,使得政府的组织形态正在由传统的金字塔垂直模式向错综复杂的网状结构转变,这就要求政务机构的运行方式作出相应转变,进行电子政务的整体规划。电子政务是整个系统建设的基础,是项目成功的基本保障。只有了解了本地区的发展现状,了解地方政府的特点,了解本地区的政务工作流程,才能编制出适合本地区电子政务的发展规划。但目前,地方政府在电子政务方面的规划明显不足,缺乏可操作性,这就导致在使用过程中面临着很大风险。
(三) 物理安全层面的风险
物理安全层面的风险主要指的是网络环境和物理特性引起的网络设备和线路的不可用,从而造成网络系统的不可用。例如,线路老化、蓄意破坏、设备意外故障、自然灾害等, 这些都属于物理安全层面的潜在风险因素。
(四) 应用层面的风险
应用层面的风险主要表现为非法访问,即窃取用户口令、用户信息被剽窃或修改等,由于政府网络对外提供WWW服务,Email服务、DNS服务等,因此也存在着外网非法用户对内部服务器的攻击。
(五) 系统层面的风险
当前电子政务网通常采用的操作系统本身在安全方面的考虑较少,服务器与数据库的安全级别较低,这在很大程度上存在着安全隐患,加之病毒的潜伏,这些都增加了系统在安全方面的脆弱性。
(六) 技术层面的风险
技术层面的风险主要表现为技术线路、设备选型、工程质量、系统性能等风险。技术层面的风险不仅关系到项目的实施情况,也关系到项目后期的维护和应用。现阶段受技术发展的制约,我们在技术方面还存在着很大欠缺,因此存在着一定的技术风险。
(七) 资金层面的风险
受利益的驱使,有些部门在制定规划时,将电子政务的规模越做越大,虚设资金越来越多,这就使得电子政务的建设变得越来越困难。除此之外,在资金使用方面,由于缺乏对部门资金的有效监督,使得资金浪费现象严重。如果不能合理计划和控制资金的流向,这将直接影响电子政务的建设,甚至促使一种新的腐败的产生。另外,在后期维护上,电子政务系统也需要运营资金的支持,没有了运营资金的有效支持,就没有了电子政务的内容来源。
(八) 管理层面的风险
在电子政务运行过程中需要管理的内容主要有规划管理、技术管理、过程管理、运维管理、安全管理等。管理的风险不仅体现在单个项目的管理,也体现在根据规划对相关项目群的管理风险。管理风险是项目实施过程中最主要的风险,是项目成败与否的关键。随着信息系统建设和应用规模的不断扩大,管理的难度和风险还将不断加大,但与此同时,政府部门缺乏信息化项目管理的专业人员,缺乏项目管理的风险意识,这与快速发展的电子政务管理要求不相匹配。
三、 电子政务管理防范措施
(一)强化信息管理人员的安全意识
电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全的重要前提,电子政务信息管理人员要正确认识并高度重视,及时发现影响信息安全的现象。政府部门要对信息管理人员进行必要的培训,普及信息安全知识,增强信息管理人员的安全意识;积极开展安全策略研究,明确安全责任,增强信息管理人员的责任心;积极组织各种讲座和培训班,培养专业信息安全人才,确保防范手段和技术措施的先进性和主动性。
(二)实施保障措施,建立系统安全保障体系
电子政务系统安全风险的威胁无处不在,它主要来自于物理环境、技术环境、社会环境等。建立全方位的电子政务信息系统安全保障体系是规避电子政务安全威胁因素的必要方式。在充分分析系统安全风险的基础上,通过制定系统安全策略和采用先进的安全技术,才能对系统实施安全防护和监控,使其真正成为智能型系统安全体系。具体做法有:
1.实施监测系统的运行情况,及时发现和制止可能对系统出现威胁的各种攻击;
2.记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反法律法规,为改进系统提供充足的依据;
3.对数据恢复应进行应急处理和响应,及时恢复信息,降低被攻击的破坏程度,包括备份、自动恢复、快速恢复等。
(三)制定合理资金计划,确保有序利用
充足的资金是保证电子政务顺利开展的必要条件。前期指定电子政务建设的方案中,要根据本单位、本部门的实际情况制定合理的资金预算方案,确保不虚报资金预算,杜绝腐败滋生;在后期维护过程中,资金也要及时到位,以确保电子政务信息系统的顺利进行。
(四)健全电子政务法律法规建设
法律是保障电子政务信息安全的最有力手段。政府立法部门应加快立法进程,借鉴国外网络信息安全立法方面的先进经验,制定完备的信息网络安全性法规,完善我国的网络信息安全法律体系,使得电子政务信息安全管理走上法制化轨道。
电子政务是实现“电子政府”的有效途径,在政府推动信息化的同时,也要注意其过程中产生的风险,正视风险本身,加快制定保障电子政务健康发展的政策法规,才能降低风险,从而有力地推动和改进政府的管理方式,才能有助于更好的发挥其政府职能。
参考文献:
[1]方德英,李敏强.IT项目风险管理理论体系构建[J].合肥工业大学学报(自然科学版),2003,,2(8):907-908.
[2]费朵,邹家继.项目风险识别防范探讨[J].物流科技,2008(08):139-141.
