时间:2023-07-11 09:21:51
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全联络机制范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 江苏电力职业技能训练基地网络特点
江苏电力职业技能训练基地网络规划开始于07年,是为满足电力行业基础技能实际训练,建立的新型培训中心,中心在建设之初就考虑了各种培训模式,网络作为先进的辅助教学和管理工具是进行现代培训的基础。
基地内部网络虽然采用1000M的网络主干,与江苏省电力公司主网采用单条光纤连接,实现局域网络的运行模式。采用环网运行提高了与公司网络连接安全性,并进一步提高网络运行速度,达到消除拥堵的目的,使仿真、虚拟的培训教学系统运用减少了系统等待和抖动。
职业基地的网络建设扑结构图:
2 内部网络更易受到攻击
为什么内部网络更容易受到攻击呢?主要原因如下:
(1) 信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,本企业的财务系统、PDM系统、ERP系统等,这些大规模系统应用密切依赖于内部网络的安全。
(2) 在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员能够对内部网络造成威胁的原因之一。
(3) 内部网络更脆弱。由于网络速度快,千兆的带宽,能让黑客工具大显身手。
(4) 为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。
(5) 信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的信息缺乏有效的控制和监督管理办法。
(6) 由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。
3内部网络的安全现状
在网络平台上建立了内部网络和外部网络,实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、PDM系统、教务系统、企业资源计划,逐步实现企业信息的高度集成,构成完善的企事业问题解决链。
在网络安全方面,根据国家和省公司系统内部的相关规定,配置了网络安全产品,如CISCO ASA5510-SEC防火墙等,防止病毒入侵,检测访客,该产品主要是针对外部网络,可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。
4保护内部网络的安全
内部网络的安全威胁所造成的损失是显而易见的,如何保护内部网络,使遭受的损失减少到最低限度是网络安全不断探索的目标。根据多年的网络系统集成经验,形成自己对网络安全的理解,阐述如下:
4.1内部网络的安全体系
比较完整的内部网络的安全体系包括安全产品以及安全制度等多个方面,整个体系为分层结构,分为水平层面上的安全产品、安全管理等,其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度,从上至下地规定各个水平层面上的安全行为。
4.2安全产品
安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此还必须有好的安全工具把安全管理的措施具体化。
目前市场上的网络安全产品林林总总,功能也千差万别,通常一个厂家的产品只在某个方面占据领先的地位,各个厂家的安全产品在遵守安全标准的同时,会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题,即是选择所需要的每个方面的顶尖产品呢,还是同一厂家联盟的产品。笔者认为选择每个方面的顶尖产品在价格上会居高不下,而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作,不能形成联动的、动态的安全保护层,一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥,另一方面,这些安全产品在技术实现上,有许多重复工作,这也影响了应用的效率。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动,达到动态反应的安全效果。
4.3网络安全技术和策略
内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向,那么安全技术和策略的实现也应从这三个方面来考虑。
积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测层面。内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁,就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能,具体包括:不断地自动监视目录,检查用户权限和用户组帐户有无变更;警惕地监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏,真正的安全管理工具会通知相应管理员,并自动采取预定行动。
在积极查询的同时,也应该采用必要的攻击防范手段。网络中使用的一些应用层协议,如HTTP、Telnet,其中的用户名和密码的传递采用的是明文传递的方式,极易被窃听和获取。因此对于数据的安全保护,理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,这样既防止用户对业务的否认和抵赖,同时又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份的数据快速的恢复;针对WWW服务器网页安全问题,实施对Web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,并提供友好的用户界面以便用户查看、使用,有效地保证了Web文件的完整性和真实性。
4.4安全管理
安全管理主要是指安全管理人员。有了好的安全工具和策略,还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态,实时监控网络上的用户行为,保障网络设备自身和网上信息的安全,并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施,同时对已经发生的网络破坏行为在最短的时间内做出响应,使企业的损失减少到最低限度。
职训基地领导在认识到网络安全的重要性的同时,应当投入相当的经费用于网络安全管理人员的培训,聘请上级主管部门的专业人员,提供维护内部网络的安全。
4.5网络安全制度
网络安全的威胁来自人对网络的使用,因此好的网络安全管理首先是对人的约束,企业并不缺乏对人的管理办法,在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理,制定相应的政策法规,使网络安全的相关问题做到有法可依、有过必惩等,最大限度地提高员工的安全意识和安全技能,并在一定程度上造成对蓄意破坏分子的心理震慑。
认识到网络安全的重要性,已采取了一些措施并购买了相应的设备,但在网络安全法规上还没有清醒的认识,或者是没有较为系统和完善的制度,这样在企业上下往往会造成对网络安全的忽视,给不法分子以可乘之机。国际上,以ISO17799/BSI7799为基础的信息安全管理体系已经确立,并已被广泛采用,企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其它办公人员等各自的安全职责。安全组织应当有企业高层挂帅,由专职的安全管理员负责安全设备的管理与维护,监督其它人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。
5常见的网络攻击及其防范对策
特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网时控制你电脑的目的。
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来分析问题的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外,还可以让系统自动检查是否过载或者重新启动系统。
正常情况下,TCP连接建立要经历3次握手的过程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求。
对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
6结论
要想保证内部网络的安全,在做好边界防护的同时,更要做好内部网络的管理。所以,安全重在管理的观念已被广泛接受。没有好的管理思想,严格的管理制度,实施到位的管理程序,就没有真正的安全。在有了“法治”的同时,还要有“人治”,即经验丰富的安全管理人员和先进的网络安全工具,有了这两方面的治理,才能得到一个真正安全的网络。
参考文献
1 杨义先、钮心忻,网络安全理论与技术[M.人民邮电出版社,2003
2 Linda McCarthy著,赵学良译,信息安全一企业抵御风险之道[M].清华大学出版社,2003
1999年我院受理与互联网络相关的著作权案共计有9件, 占全部网络案件的近70%。形象地说这些纠纷大致分为“上网”、“网上”和“下网”三类,“上网”是擅自将传统媒体上发表的作品移植到网站上。如原告张洁、张抗抗、刘震云、毕淑敏、王蒙、张承志诉被告世纪互联通讯技术有限公司著作权侵权纠纷案中,被告未经原告许可,将原告已发表的作品复制上网,原告起诉要求被告停止侵权、赔礼道歉并赔偿损失。网上,是指发表在一个网站上的作品被另一个网站擅自使用,如瑞得集团状告宜宾市翠屏区东方信息服务有限公司案。“瑞得在线”为原告在国际互联网上所设主页的名称,主页有“看中国搜索引擎”“在线图书馆”等内容,还有一些特定标识,1999年1月4日,原告发现国际互联网上有一“东方信息公司”网站主页内容与“瑞得在线”主页部分内容相似,故起诉要求被告承担侵犯其著作权的法律责任下网,是将网上作品擅自下载并发表在报刊上。如陈卫华诉成都电脑商情报侵犯著作权案,陈以笔名“无方”撰写了《戏说MAYA》一文并上载到其在国际互联网络上的个人主页“3D芝麻街”上,并注明了“版权所有,请勿转载”,后电脑商情报社在其主办的报刊上刊登了《戏说MAYA》一文,署名“无方”,未支付稿酬。陈卫华向报社说明其是该文作者,要求报社承担侵权责任,但被拒绝。于是陈卫华向我院起诉要求报社承担侵权责任。
二、主要问题
网络著作权案件是新类型案件,我国立法对此没有明确规定,司法实践对此也缺少经验,没有相关的司法解释和司法判例,在审理这些案件中,主要有以下问题:
(一)关于网络著作权案件的管辖问题
互联网的出现最突出的影响就是打破了信息传播在时间和空间上的界限,其数字化技术的发展,使得作品的传播形式发生了重大变化,其速度更快捷,范围更广泛。任何人在任何地点使用一网的计算机完全可以通过不同的“路径”接触到同一信息、访问同一网站,访问者完全可以忽略信息所在网站的地理位置。这使得具有时间性和地域性的著作权面临着新的挑战,也使法院在对因互联网络使用引发的著作权侵权案管辖的确定上,特别是侵权行为地管辖确定上遇到了困难。从目前案件情况看,网络侵权主要体现为不同介质间对作品的复制,而网络的复制一般都需要两台计算机,一是存储数字化作品的服务器(ISP), 一是复制时使用的终端计算机,复制行为是在终端上完成的,但其复制作品的来源在服务器上。按照传统的理论,确定行为地即终端所在地法院的管辖权没有问题,但服务器所在地能否作为侵权行为地呢?我院在审理前文所述及“瑞得在线”一案中,被告即以其住所在四川,且目前我国尚无关于互联网上发生的侵权案件如何确立侵权行为地的法律为由,认为我院对本案无管辖权,使此案从立案起经历了8 个月的管辖之诉才开庭审理。
(二)关于网上刊载的文章、图形、设计等内容的法律属性问题
著作权法保护的客体是作品,网络上刊载的文章、图形、设计等数字的内容是否能属于著作权法意义上的作品,这是其能否受到法律保护的前提。我国著作权法第3条规定了作品的9种类型,即文学作品;口述作品;计算机软件;电影、电视、录像作品;法律、行政法规规定的其他作品等。网上所载的文章、图形属于何类,其不在法律所列举的范围之内。互联网络也给我们带来一些新的概念,如“主页”,主页是由文字、图形、音频、视频等一些多媒体信息组成,是浏览访问某一特定站点时在主机屏幕上首先出现的网页,这一页的内容一般是该站点其他网页内容的概括和介绍,其作用相当于一本杂志的封面和索引的结合,在操纵计算机时,点击主页的有关内容就能进入本网址有关内容进行查询和浏览。“瑞得在线”一案所争议的正是对于主页的权利和保护。
(三)著作权人对其数字化作品是否享有权利问题
互联网的出现,使传统作品被数字化上载,并在网上流动,公众可通过将作品临时储存在自己网络计算机的硬盘上来接触作品。现行著作权法对涉及网络部分的著作权利及法律责任没有做出规定,那么在互联网络中,作品的作者是否享有对其作品进行数字化转换、复制和网上传播等方面的权利。有学者提出了“网络传播权”的概念,借此扩展版权人的权利。也有人认为,可借鉴著作权法第32条之规定,将作品数字化上网作为一种法定许可。这个问题直接影响到著作权人是否可以对其被数字化并在网络上传输的作品主张权利。
(四)关于网上证据的有关问题。数字化技术使网络上的证据失去原始性特点,电子信息具有不稳定性和易变性,可以随时修改,侵权损害的时间、电子邮件的内容、收件时间都可以很容易地修改,这在取证上形成困难。发生了侵权行为,调查取证只能证明当时的情景,却不能证明取证之前的情况,而之后的情景更难以把握和确定。从审判实践方面,证据问题成了最为棘手的问题。
1.作者的证明。在网络中,用户一般是通过建立自己主页来发表自己作品。但是按照法律规定,建立个人主页是免费的、自由的,不需要与ISP订立正式的合同,只要按ISP的要求填写固定表格即可,表格中包括申请人姓名、性别、住址、电话号码、所在城市、国家、电子信箱等,其中除电子信箱外,其余内容均可以虚拟。网络上所发表的作品许多都是无署名和虚拟署名,需要借助其主页来确定作者身份,而主页登记真实性又差,在诉讼中,往往出现了一个看似奇怪的问题,“如何证明我是我”。在前文所举的陈卫华诉成都电脑商情报社案中,原告称其本人就是“无方”,于是也就承担了需要证明其与“无方”同为一人的责任。
2.事实证明。网络上的内容是极容易修改的,人们只需在键盘上简单操作,就可以修改、删除网上的内容,这种修改和删除是不留痕迹的,而且难以再现。特别是在由网到网的传播上,在出现了“网上”的案件时,原始证据的取得非常重要,但也非常困难。而且一旦诉讼开始,侵权行为人很可能会将网上的侵权内容进行修改和删除,从而使案件的审理丧失直接的事实内容,带来许多不便。
(五)关于网络服务商(ISP )在网络侵权案件中的法律地位问题
在网络世界里,网络服务商起着很重要的作用,各种信息正是由网络连接在一起,其提供服务的内容分为两种类型:一类是单纯提供连线的服务商(即IAP),另一类是提供内容的服务商(即ICP),网络服务商往往自行或通过网络参与一些作品的复制或刊载。有些用户则通过网络传输侵犯他人的著作权内容;有些对其传输内容可以控制、监督、做增删编辑的ICP, 经著作权人告知或要求其停止传输他人著作权的内容等,仍不停止;有些网络使用者因网络商应著作权人要求而采取移除措施,而要求网络商赔偿损失,在这些纠纷中,网络服务商的法律地位不尽相同,需要依具体情况判定。
(六)关于作品在网上传播时有哪些著作权利,特别是有无精神保护的问题
我国著作权法第10条规定,著作权包括下列人身权利和财产权,发表权、署名权、修改权、保护作品完整权、使用权和获得报酬权。这些规定是传统意义上的,也是在非网络世界上适用的,对网上作品应如何看待,例如作者将其文章发表在自己的网站上,其所享有的发表权是否已经实现。在我院受理网络著作权案中,有的起诉人提出精神损害赔偿的诉讼请求,需要法院考虑。
(七)关于侵权人承担民事责任的具体方式问题
在我院受理的6位作家起诉世纪互联通讯技术有限公司案中, 原告均提出了要求被告停止侵权、赔礼道歉、赔偿损失的诉讼请求。在审理这些案件中,在实现上述请求的具体方式上需要探讨。传统的侵权一般都是在报刊、书籍上行为的,故而赔礼道歉的方式也是在上述媒体上进行,如责令侵权人发表致歉声明等,但在网络著作权案中,由于侵权行为发生在网络中,损害的后果也自然在网络中,因此,对权利人的致歉声明是否也应在网络上刊播,法律对此没有明确规定,这实际上也涉及到一个侵权行为的传播影响范围和补救行为的传播影响范围是否对等的问题。
(八)关于侵权赔偿的数额问题
赔偿问题,一直是知识产权侵权案件的难点,而在网络著作权侵权案件中,这个问题更加复杂突出。普通作品的稿酬国家版权局有规定的标准,网上作品是否与此相同。对网上侵权的赔偿标准,由于对网上传输行为本身就定性不明确,缺乏统一认识,给法院确定赔偿数额带来了困难。赔偿是限于给付稿酬呢,还是取决于对著作权人造成的实际损害呢?有些学者,还提出了对网络侵权案件的惩罚性赔偿问题,这都需要在司法实践中予以解决,因为这是案件中当事人最为关切的问题。
三、审理网络著作权案件的基本经验
本着积极、稳妥的态度,根据我国著作权法关于著作权保护的基本原则和立法精神,并考虑到互联网的特点,我院已审结上述案件17件,均取得较好的社会效果,其中王蒙等六位作家状告世纪互联通讯技术有限公司案还被北京电视台现场直播。
(一)充分利用现有的法律法规。在审理网络著作权案件中,我们注意从著作权的立法精神、价值理念和基本原则来思考问题,不轻意对法律作扩大解释,既坚持严肃执法,又努力争取最佳的社会效果,努力通过有效的司法规范网络行为。
(二)兼顾法律的现实调整和网络业的长远发展。
网络世界具有“信息共享”和“自由发展”的精神,而我国的网络产生还正处在发展阶段,在审判中,我们注意平衡各方面的利益冲突,努力做到既不放任侵权行为,又不过分阻碍行为发展的信息交流,立足于发展和规范,在对作品著作权合理保护的同时,也保障网络以其丰富的资源和快捷的传播为公众服务。
(三)加强知识产权审判人员网络专业知识的学习。结合审判工作需要,我们认真组织知识产权审判人员学习专业知识,了解互联网的技术问题。庭内还专门配置了一台上互联网的计算机,使大家在书本上学,操作中练,使网络专业知识和法律专业知识互相融合,提高审判专业能力。
(四)积极开展审判研讨。对网络著作权案件中的一些普遍性问题和重大问题,我们注意汇总和分析,并多次邀请国家版权局,中国国际互联网络信息中心,信息产业部、北大、人大、高级法院和最高法院的有关专家召开研讨会。通过研究,统一了认识,明确了审判方向。
(五)建立了知识产权的专家陪审制度。网络著作权案类型新、专业性强,且对社会生活特别是网络业的指导意义大,为审理好这些案件,我们在知识产权审判中建立了专家陪审,邀请网络、知识产权界的专家参予审理上述案件,收效较好。
四、对网络著作权案件有关问题的处理意见
(一)借鉴接触原则,确定管辖问题。一般而言,在网上复制要经过以下过程,即复制方使用浏览器通过网络路径到达服务器内,将有关主页的内容读取带走。可见,任何人在任何地点通过自己的主机来浏览和复制作品,都必须通过接触载有该作品的服务器来实现。从行为的全过程来考察,只有接触了该服务器,才能接触到服务器上的内容。从侵权行为的角度来考察,服务器当然也是发生侵权行为的必由的一段过程,在确定管辖时,服务器所在地自然也是侵权行为实施地,该所在地法院当然也有管辖权。在前述的瑞得公司状告宜宾市翠屏区东方信息服务公司一案中,原告的硬盘和服务器均设在原告公司内,而原告所在地在海淀区。因此,我院据此裁定驳回了被告认为我院无权管辖的管辖异议,后被告就管辖问题提起上诉,市第一中级法院裁定海淀法院有管辖权。
(二)按照法律的一般原则,确定数字化作品的法律属性。我国著作权法所列举的作品类型中,并不包括数字化作品。著作权法实施条例中将作品规定为:文学、艺术和科学领域内,具有独创性并能以某种形式复制的智力创作成果,在审判实践中,在对数字化作品认定上,我们注意从三个方面来考察:一是是否具有独创性;二是是否能以某种有形形式复制;三是是否属于智力创作成果。对网上发表的文章、图形等,只要其符合上述三个特征,就认为其是著作权注意上的作品,就予以保护。
如陈卫华诉电脑商情报所涉的《戏说MAYA》一文,瑞得在线诉宜宾市翠屏区东方信息服务有限公司案所涉的“主页”,我院均依法保护了权利人的著作权,将其视为法律意义上的作品。
(三)根据法律的精神,认定著作权人对其数字化作品享有著作权。
根据著作权法的规定,著作权人对其创作的文学、艺术和科学作品在法律规定的期限内,依法享有专有权利,体现在作者享有支配权,有权使用自己的作品和许可他人以任何方式和形式使用自己的作品。而作品的数字化是依靠计算机技术把一定形式的文学、数值、图像、声音等表现的信息输入计算机系统并转化成二进制数字编码,以运用数字信息的存储技术进行存储,并根据需要把这些被转换成数字编码形式的信息还原的技术,将作品以文字形式置换成二进制编码行为本身并不具有著作权法意义上的独创性,数字化的转换并没有产生实质意义上的新作品。原作品数字化后,改变的只是作品的存在形式。这种将作品数字化转换过程同著作权发展的历史中出现的以摄影、录音、影印等技术手段处理作品的过程没有本质的区别。作品新的表现方式或使用手段的出现,并不能否定作者对其创作在新的领域享有著作权。该数字化作品的著作权仍由原作品的著作权人享有。因此,在王蒙等起诉世纪互联通讯技术有限公司六案中,我院对六原告的文学作品均予以保护。
(四)根据网络运作的规律和自身的特点,确定作者身份,保全有关证据。
对文章署名为作者笔名的,原告应当举证证明。在审理陈卫华诉成都电脑商情报社一案中,为证明陈卫华就是“无方”,我院进行了现场勘验。我们知道,个人主页注册后,注册人会获得个人主页的帐号、密码和网址,在一般情况下个人主页密码由其注册人掌握、使用,文件的上载、删除工作亦由注册人完成。在勘验中,陈卫华可修改“3D芝麻街”主页上的密码,并可上载文件、删除文件,《戏说MAYA》一文可固定在计算机硬盘上并可通过WWW服务器上载到“无方”的个人主页上。 而被告未提出相反的证据否认原告的作者身份,据此,法庭对陈卫华的作者身份予以了认定。
为防止证据的灭失,在受理网络著作权案件时,可指导当事人对有关事实进行公证。如六作家诉世纪互联通讯技术有限公司一案中,原告将被告在网站上刊载作品的情况进行了公证,并将网上内容打印出来或录在软盘或光盘上,形成了一份完整全面的公证书。最后,此公证书成为定案的证据之一,公证费用亦由被告方负担。当然,也可以在受理案件后采取证据保全,及时提取或存留有关证据。
(五)根据过错原则,认定ISP的法律责任。
对于仅仅提供连线服务的IAP,一般情况下,不承担法律责任。 对于提供内容服务的ICP,如果其直接复制或传播,应承担侵权责任。 如果ISP 明知用户通过网络传输侵犯他人著作权或经著作权人告知有用户在网上侵权而不采取移除或停止行为时,说明其主观上有过错,据此可依据过错责任原则,将定其侵权成立,承担法律责任。在六作家起诉世纪互联通讯技术有限公司案中,被告于98年成立了“灵波小组”,在其网站上建立了“小说一族”栏目,栏目中所涉及原告的作品内容是通过E—Mail方式提供到被告网站上后, 被告成立的“灵波小组”将其存储在其计算机系统内并通过WWW服务器在国际互联网上传播, 联网主机用户可浏览或下载作品的内容。被告在答辩中称自己并非首先将原告作品刊载到互联网上的,无侵权的故意。法庭经审理认为,无论其形式如何,在国际互联网上传播原告作品即说明其主观上有过错,应承担相关法律责任。
(六)视具体情况,保护网上作品的权利。
作者将其作品发表在网站上,即已将作品公之于众,其所享有的发表权已经实现,如被他人以其他形式刊载使用,并不构成对作者发表权的侵犯。无论原作者署名是否真实,如果刊载人不署名或擅自署不一致的署名则构成对署名权的侵害。对网上作品擅自修改构成对作者修改权和保护作品完整权的损害。关于使用权和获得报酬权,作为一项经济权利,只要未经权利人同意,未付酬使用,即构成对此项权利的侵犯。另外,在六作家提起的诉讼中,各提出5000元的精神损失赔偿请求,我们认为,互联网应当承认精神权利保护,如果侵权内容包括了作者在作品中依法享有的著作人身权,降低、贬损作者在社会公众中的人格地位,即可判决补偿。但在六作家起诉的案件中,由于没有这种情况发生,被告方在刊载作品上是完整的且均署名,故最后判决驳回了原告的精神损害赔偿请求。
(七)按照承担责任的范围与侵权行为的传播范围相对等的原则,确定侵权人承担民事责任方式。
在审理上,在对侵权人承担民事责任的处理上,采取了将承担责任的范围与侵权行为的传播范围相对等的办法。如处理陈卫华诉成都电脑商情报一案中,由于被告擅自将原告文章下载到电脑商情报上,故判决被告在该报上刊载致歉声明。如不履行,法院将选择一家全国发行的专业报纸上刊登判决书。在处理瑞得公司诉宜宾市翠屏区东方信息服务有限公司案中,由于侵权是从网到网,故判令被告在《计算机世界日报》(电子版)的主页上刊登声明。在六作家案中,判令被告在自己网站的主页上刊登声明,如不履行,法院将根据判决书拟一份公告刊登在全国发行的报刊的电子报主页上。
(八)比照有关规定,确定侵权赔偿数额。在确定赔偿数额上,考虑了以下几个方面的因素:权利人遭受的损害,用户浏览或下载作品的次数,ISP的广告收益等等, 在此基础上按照国家有关付酬标准或有关行业惯例,并根据北京市高级法院《关于审理著作权纠纷案件若干问题的解答》第37条规定的计算方法来具体确定。如在陈卫华诉成都电脑商情报一案中,在被告拒绝提供其报纸发行量的情况下,参照同类专业报纸的发行量(20万份左右),每份报纸利润大约0.5分钱计算, 最后确定被告赔偿额以应付稿酬的4倍计算。对此结果, 原被告均未提出上诉。在瑞得集团起诉东方信息服务有限公司一案中,由于侵犯的作品是“主页”,国家对此无有关费用标准,我们走访了市场,经了解计算机世界在线服务中心的报价是1000元,该企业是国内知名企业,而且报价也符合一般的市场标准,故判决被告赔付2000元(酬金的2倍)。
五、几点建议
从知识产权保护的发展过程来看,每一次科学技术的重大发展,都会对知识产权保护产生巨大冲击,必然引起作品的表现形式、传播手段、使用方式的变化,使知识产权的保护范围得到扩张。如今以数字技术为特征的信息时代,已使计算机互联网络的应用和发展逐步渗透到我们工作、生活的领域,给版权保护造成新的冲击。据报载,1999年底,我国因特网用户已达940万,在网络飞速发展的同时, 网络社会中的混乱现象也比较严重。本着为网络的发展创造一个良好的法制环境,规范、合法地发挥网络在传播知识方面的巨大效能原则,特提出以下建议:
(一)加强对知识产权保护的宣传,特别是在网络上,应当普遍建立尊重著作权的意识。
1引言
移动通信网作为承载通信平台的综合信息服务网络,是一个国家关键基础设施的重要组成部分,提供包括语音、数据、短信息等多种服务类型,已成为当前社会主要通信手段。然而移动通信在方便大众的同时,也为不法分子沟通联络提供了便利,已经成为网络失泄密、违法勾连、恐怖活动的主要手段。采用移动网络安全管控,是解决这一问题的有效途径。
2移动网络安全管控的技术现状
自数字移动通信系统开始在国内部署以来,移动管控相关技术及产品的研发便开始起步,目前存在的主要安全管控设备是通信干扰设备、被动式监控定位设备。按照技术体制实现来划分,移动通信管控分为信号压制、被动式监听和协议级主动管控三种。信号压制是最早出现的移动管控产品,主要通过大功率信号辐射,淹没正常的网络电磁波传送,实现区域内通信屏蔽;被动式监听是指通过被动接收并解析来自网络和用户的移动通信无线信号获取重要情报信息;协议级主动管控是指通过网络并与用户进行协议数据交互实现用户通信监管和控制,是本文研究的重点。
3协议级移动网络安全管控分析
众所周知,目前移动网络已经进入4G时代,同时兼容2G、3G移动通信,并正在向5G迈进。对应的安全管控技术必须针对不同制式进行精确管控,才能有效解决全域管控问题。2G主要制式为GSM,3G主要制式为CDMA(CDMA2000、WCDMA、TD-SCDMA),4G主要制式为LTE(TDD-LTE、FDD-LTE),因此必须针对各种制式进行设计。移动通信系统提供的安全机制主要有用户身份认证和身份保密、用户数据保密和信令保密。GSM安全机制存在较大的漏洞,即“单项鉴权”,只有基站对手机端的认证,没有手机端对基站的认证。我们可充分利用这一漏洞进行移动信号安全管控,方法是采用基站的方式,模拟公网小区,使被管控移动终端误认为基站才是真正的基站,从而脱离原小区,重新定位到“新”基站。这样被管控的移动终端的所有通信都将被有效管控,并通过协议级精确管控,实现目标的选通或阻塞。
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 04-0000-01
在互联网和计算机技术飞速发展的推动下,我国的医院已经广泛应用计算机网络技术,并且在很多方面已经发展的很成熟。比如说门诊的信息管理系统、住院信息管理系统、影像管理系统、药品信息管理系统、病案管理系统等,这些应用软件在管理系统中的应用给日常的管理工作带来了十分大的便利,已经成为了医院的日常工作中十分必要的组成部分,因此保障网络的安全就显得很关键。
一、加强医院全体员工的安全意识
(一)医院的领导要给予安全工作足够的重视
无论是网络安全管理策略的制定还是制定之后的落实都需要投入一定量的人力、财力以及物力,要想实现全面的贯彻落实就需要医院各级领导的配合和重视。在提高医院全体工作人员的安全意识之前,各级的领导应该具备网络安全的一些相关的知识,并且应该从思想上认识到网络安全对医院的正常运行的重要意义。要安排专门的网络管理人员,使医院的网络系统走向规范化和专业化,对于网络安全的产品、工具以及技术要进行及时的更新。
(二)操作人员的安全防范意识
我们平常讲到的网络安全问题实际上就是一个十分典型的人机关系的问题,我们要想保障网络使用的安全,就应该把涉及到的计算机的人员作为安全工作的重要起点。医院中所有的操作局域网的工作人员要不断的接受计算机的安全法律教育,具备良好的职业道德,不断的学习计算机安全技术。这些人员要充分的认识到果一台机器出现不安全的隐患会给整个医院系统带来的危害要多大,从而帮助他们认识到网络安全的重要性。
二、健全安全的管理制度并且做好应急预案
(一)硬件设备安全管理制度
首先需要考虑到的就是设备的物理安全问题。针对中心机房、工作间以及设备间的使用功能设立科学的安全管理制度,鉴于医院是一个开放性的公共场所,要十分的注意有关设备的保护措施,确保一些无关的人员不能接触到设备。并且要及时的保护医院中的各类网线,一方面要防止有些人的恶意损坏,另一方面要避免出现施工人员在施工中无意损坏的情况。安全管理制度中应该建立警卫值班防止有些人通过撬门进入而偷盗或者损坏到医院的网络,对网络的供电系统、防静电、防雷击以及是否有效接地进行定期以及不定期的安全检查,密切注意机房中的清洁度、温度以及湿度是否可以达到规定的要求,做到遇事及时上报并且能够迅速做出反应等。
给所有的设备都配备档案管理卡,档案管理卡中应该包含本台计算机的型号、名称、配置、所在的位置和使用的科室、MAC地址、安装的使用程序、IP地址、以及重要的故障维修记录等等一些重要的信息,每一台设备都应该指定负责保管的专员,定期的进行检查和设备的维护。
(二)软件系统安全管理制度
对网络系统进行不断的检测的目的是为了能够及时的填补漏洞,最好能做到对系统进行不断的监视,这样可以大幅度的提高网络抵御危险的能力。一般情况下,医院都会把一些十分重要的数据存储在服务器上,因此,保障服务器的安全是重中之重的工作,其次要在服务器连接局域网之间对其安装和配置要进行科学的规划,其中规划的主要内容有:操作系统的选用、系统补丁文件的准备、禁用不必要的服务、磁盘分区的格式、更改密码、账号锁定、设计网络用户组、更改管理账号名字、时数管理、取消默认共享、安全策略、锁住注册表、设定各项审核、安装病毒监控程序、设置重要文件的位置以及文件的控制权限,保障安装软件的可靠性。当系统进行正常运作之后,必须对系统的安全性以及系统的性能进行监视,最好可以聘请一个安全顾问进行攻击性的分析。
(三)有效的监督机制
由于医院的网络是一个复杂的系统工程,因此要想维护好其安全运行,不仅要抵御来自外部网络所造成的威胁和攻击,还要防止内部人员的犯罪活动,我国的综合性医院中大约能有近千个终端,在很大程度上给网络的安全工作加大的了难度,因此切实可行并且有效的检查机制就显得十分的重要了,其能够帮助各项的安全管理制度能够落实到实处,并且还应该建立督查组织,或者医院的计算机领导小组应该起到督查的作用,对网络的运行以及网络运行记录进行督查,查看每项制度的实际落实情况,对网络定期上报的所有报表要进行审查,以及每个部门的网络安全员所做的工作记录。
(四)应急预案
灾难的发生通常都是突然的而且是不能预测的,所以应急预案应该在事发之前做出周详的应对策略,这样一来当灾难发生时就知道应该采取什么样的步骤能够最大程度的降低损失,在最短时间内实现系统全面运转的过渡,计算机领导小组应该指导应急预案的实施,所作出的应急预案应该包括能够出现的最坏情况,对能够出现的各种问题以及故障进行提前设想,比如:供电系统出现故障后应该采取什么样的措施,尤其是如何保障门诊管理系统的正常运行、主交换机发生故障、如何应对由于故障的发生导致的病人拥堵的现象。在应急预案中不可或缺的就是实施网络安全小组的成员以及他们的联络方式。只有拥有完善的应急预案才能够当灾难来临时应付自如。
三、结束语
网络安全技术不存在最好,只有更好。要想保障网络的安全性,就应该从人员、制度、技术以及医院的相关各方进行着手准备,使建立的安全网络管理策略能够形成一套完善的体系,有效的指导医院的安全网络建设以及网络的维护工作,这需要医院的全员能够对自身的意识进行提高,自觉践行安全制度,和系统软件的开发人员一起努力共同维护医院网络的有效运行。
参考文献:
关键词:网络安全;加密技术;防火墙
Key words: network security; encryption technology; firewall
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0164-01
1计算机网络概述
计算机网络技术是信息传输的基础,所谓计算机网络是指将分布在不同地理位置上具有独立性能的多台计算机、终端及附属设备用通信设备和通信线路连起来,再配有相应有网络软件,以实现计算机资源共享的系统。按照联网的计算机所处的地理位置远近分为局域网和广域网,在网络中拓扑结构主要分三种:总线网、环形网、星形网。由于资源共享、操作系统的复杂性等原因使网络存在着不安全因素。
2计算机网络安全现状
2.1 网络安全涵义计算机网络安全具有三个特性:保密性、完整性及可用性。保密性是网络资源只能由授权实体存取。完整性是指信息在存储或传输时不被修改、信息包完整,不能被未授权的第二方修改。可用性包括对静态信息的可操作性及对动态信息内容的可见性。
2.2 计算机网络安全的缺陷①操作系统的漏洞。操作系统是一个复杂的软件包,即使研究人员考虑得比较周密,但几年来,发现在许多操作系统中存在着漏洞,漏洞逐渐被填补。操作系统最大的漏洞是I/O处理,I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。②TCP/IP协议的漏洞。TCP/IP协议应用的目的是为了在INTERNET上的应用,虽然TCP/IP是标准的通信协议。但设计时对网络的安全性考虑的不够完全,仍存在着漏洞。③应用系统安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。④安全管理的漏洞。由于缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等都对网络安全产生威胁。计算机网络安全的主要威胁。
2.3 计算机网络安全的入侵①计算机病毒。所谓计算机病毒实际是一段可以复制的特殊程序,主要对计算机进行破坏,病毒所造成的破坏非常巨大,可以使系统瘫痪。②黑客。黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,利用网络安全的脆弱性进行非法活动。③内部入侵者。内部入侵者往往是利用偶然发现的系统的弱点,预谋突破网络系统安全进行攻击。由于内部入侵者更了解网络结构,因此他们的非法行为将对网络系统造成更大威胁。④拒绝服务。拒绝服务是指导致系统难以或不可能继续执行任务的所有问题,它具有很强的破坏性,最常见的是“电子邮件炸弹”,用户受到它的攻击时,在很短的时间内收到大量的电子邮件,从而使用户系统丧失功能,无法开展正常业务,甚至导致网络系统瘫痪。
3网络安全机制应具有的功能
3.1 身份识别身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
3.2 存取权限控制访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。
3.3 数字签名即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出该信息是来自某一数据源且只可能来自该数据源的判断。
3.4 保护数据完整性即通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户被欺骗。
3.5 密钥管理信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户放心地使用网络。
4网络安全常用的技术
4.1 加密技术加密在网络上的作用是防止重要信息在网络上被拦截和窃取。计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露意味着其安全体系的全面崩溃。加密技术是实现保密性的主要手段,采用这种技术可把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式。以密文形式将信息在线路上传输。到达目的端口后将密文还原成明文,常见的加密技术分单密钥密码技术和公开密钥技术两种。这两种加密技术在不同方面各具优势,通常将这两种加密技术结合在一起使用。
4.2 防火墙技术所谓“防火墙”,是指一种将内部网和公众访问网如Internet分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。 防火墙主要用于加强网络间的访问控制,防火墙的作用是防止外部用户非法使用内部网络资源,并且保护内部网络的设备不受破坏,防止内部网络的主要数据被窃取。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号,连接标志以至另外一些IP选项,对IP包进行过滤。
防火墙作为内部网和外部网之间的一种访问控制设备,常安装于内部网和外部网的交界点上。内部网络的某个用户若要与外部网络的用户联络,该用户首先和所属网络的防火墙联通,然后再与另一个用户联通,反之亦然。防火墙提供的防护是Internet安全结构必不可少的组成部分,它能对已知的网络协议起到保护作用。
将局域网技术引进疾病控制中心管理及实验室检测,使中心信息管理从简单的行政、财务管理系统向复杂的多功能系统发展,提高中心的管理效益、社会效益和经济效益。与此同时,对中心而言,保护局域网络的安全,就意味着保障中心业务的正常运转。绝对意义上的安全网络是不存在的,世界上没有一种技术能真正保证绝对的安全。保障系统安全的第一步是制定一个合理的安全策略,以保证网络系统的各部件、程序、数据的安全,这要通过网络信息的存储、传输和使用过程来实现。保证中心内整个网络的安全就是保护各种程序、数据或者设备的安全。安全管理的目的是确保内部网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。这具体包括三部分:与安全措施有关的信息分发(如密钥的分发和访问权设置等);安全服务措施的创建、控制和删除;与安全有关的网络操作事件的记录、维护和查询日访管理工作等。一个完善的计算机网络管理系统必须要制定网络管理的安全策略,它应该包括以下几个方面内容:
1 培养中心全员的安全意识
1.1中心各级领导充分重视
网络安全管理策略的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此中心各级领导要充分重视。培养中心全员的安全意识,首先要使中心各级领导具备网络安全意识,使他们认识到在某种意义上,保护网络安全就是在保护中心,使他们知道缺乏专业的网络管理人员,缺乏先进的网络安全技术、工具、产品等等都有可能带来网络安全事故。
1.2 提高网络管理人员的责任心和业务技能
如果实施之前,先对安全策略进行详细设计,可以在发生系统资源滥用时减轻安全分支的活动,更可以降低数据被毁坏和丢失的可能性。网络安全管理策略是由网络管理人员根据中心的系统安全需求设计的,还必须向各级领导解释和说明其中的内容和意义,这样才能使网络安全管理策略被采纳进而得以落实。中心网络管理人员应当以培养全中心人员的安全意识为已任,运用自己的专业知识,积极推进一整套完善、高效、可行的网络安全策略在中心的形成和贯彻。
1.3 提高操作人员的安全防范意识
网络安全问题是一个典型的人-机关系问题,对于网络安全来说,最重要的起点是从涉及计算机的人员开始的。对中心所有操作局域网内计算机的业务人员,要定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育,使他们认识到一个人或一台机器的不安全隐患有可能使整个网络不能正常工作。
2 建立网络安全管理制度和有效的督查机制
2.1人员管理制度
首先应在中心成立计算机安全管理领导小组,由中心主管信息工作的主任任组长,小组成员包括各网络使用部门的领导、各部门选派的网络安全员和计算机网络管理人员。计算机安全管理领导小组负责讨论制定各项安全管理制度和督查机制,以及各项灾难应急预案,并定期召开安全会议,通报近期的国内外重大网络安全事件、安全预警事件、中心内的网络安全事件和安全隐患。计算机安全管理领导小组负责建立与部门和个人收入挂勾的奖惩措施。计算机安全管理领导小组应负责聘请网络安全顾问审核中心内部的网络安全管理策略,在中心为全员讲解网络安全基础知识和典型案例,及时获得必要的信息和技术支持。
其次是网络管理人员的管理。管理员是决定中心网络是否可以安全、有效运行的根本因素。管理员负责维护和配置中心网络的核心――数据库服务器和各种网络设备,掌握服务器密码和数据库密码,有任意删改数据的权限,因此,网络管理人员的业务素质和职业道德决定着中心网络的命运。挑选网络管理人员,在衡量他的专业水平的同时,必须要考察他的思想品格。网络管理人员在上岗后要定期接受业务培训,不断提高专业知识,特别是了解计算机网络安全领域的新技术、新动向。同时,网络管理人员必须接受中心计算机安全管理领导小组的领导和监督,制定管理员操作规范,填写详细的工作记录,一方面可以备查,另一方面当管理人员更换时,可以保持工作的延续性。
第三,对全中心所有操作网络内计算机的业务人员的管理同样重要,必须制定严格的上岗资格和考核制度。在上岗前应接受计算机基础知识和业务操作的基本培训,通过考核才能上岗。人手一份计算机业务操作指南、安全管理条例和故障应急措施,上机和离机时填写计算机使用记录。计算机业务操作指南中应包含应用程序的正确调用和退出、业务操作步骤、基本故障排除方法、内外网络的使用注意等。安全管理条例中应包含:计算机设开机密码,网络用户密码管理,如密码内容、长度、定期更改、保密,失密后立即报告,离开时及时退出系统,操作员在1个小时以上不使用机器,应启动计算机密码保护程序以防止未授权者使用网络等。故障应急措施应包含:遇到按照计算机业务操作指南中的基本故障排除方法无法解决的故障时,上报故障的步骤、联系人和联系方式。
第四,应建立工程技术人员管理制度。需要在中心内装修、埋管、布线等施工时,应将施工地点和施工内容上报计算机安全管理领导小组,以避免因施工而损害到网络线路。建立门卫管理制度,进出重要设备间时应登记,特别是对暴露在过道、地下通道等房间外的网线格外注意监护。
最后,建立人员调离的安全管理制度。人员调离前应及时通知相关部门,由系统和网络管理员及时取消该人员的网络用户名或限定用户权限,由该人员所在部门的网络安全员,更改开机密码等公用密码。人事部门将网络安全管理纳入人员调离时应办理的相关确认手续之中。
2.2 硬件设备安全管理
设备的物理安全是要首先考虑的。建立中心机房、设备间、工作间安全管理制度,特别是对于中心这祥一个带有保密性质的单位,更要注意将相关设备保护起来,以避免无关人员接触到。中心铺设的各类网线也应受到保护,既要防止恶意的破坏,也要避免其它的施工人员无意的损坏。安全管理制度中应包括防盗、防撬等防止人为破坏的警卫值班,定期的防雷击、防静电、有效接地、供电系统定期检修等安全检测,注意防火灾、水灾环境的卫生清洁管理,机房内的温度、湿度、洁净度应达到要求,建立遇事上报及时快速反应制度等等。
建立所有设备的档案管理卡。所有的主机应记录计算机型号、配置、名称、使用科室、所在位置、IP地址、MAC地址、操作系统、安装的应用程序、故障维修记录等等。所有的网络设备应记录设备型号、名称、参数设置、网段、故障维修记录等。所有设备都要有专人负责保管,各前端主机由各科室指定的网络安全员保管。建立设备督查记录,定期对设备检查并做详细记录,内容包括各指示灯状态、噪音大小,定期为设备除尘等等,对设备配备的钥匙要妥善保管。
2.3 软件系统安全管理制度
检测安全性、填补漏洞和不断地监视系统才能有效地控制安全危险。中心的重要数据都存放在服务器上,首先要保证服务器的安全,服务器在连接局域网之前的安装和配置应有详细的规划。规划中应包括磁盘分区格式、操作系统的选择,准备好系统补丁文件,取消默认共享,禁用不必要的服务,设计网络用户组和用户以及相应的权限,将管理员帐号改名,确定帐号锁定、密码更改、时数等管理策略,设定各项审核、安全策略,重要文件的位置和控制权限,锁住注册表,安装企业版病毒监控程序并且要覆盖到网络中的每一个节点,不安装来源不可靠的软件,采用必要的安全产品和设备等等。系统正常运行以后,要不断监视系统性能和系统安全性。及时地为操作系统和应用程序打补丁,定期地为杀毒软件作升级,使用最新漏洞扫描程序发现系统的漏洞并及时填补,用固定服务器监测系统资源使用状况,检查事件查看器、观察启用的服务、运行的进程、网络连接是否有变化,及时发现不法用户、不良程序、可疑的机器名、IP地址、MAC地址。对前端工作站,做到专机专用,不安装光驱、软驱,禁用USB接口,文件共享要谨慎。
2.4 有效的督查机制
有效的督查机制能够将安全答理制度落到实处。中心计算机安全领导小组是督查组织,定期督查网络运行情况,检查网络运行纪录,各项制度的落实情况,审查系统和网络管理定期上报的报表,检查部门选派的网络安全员的工作记录。
3 建立安全备份机制、灾难应急预案及演练灾难恢复
3.1系统安全备份策略
安全备份的目的是为在系统遇到自然灾难或人为破坏时,能够通过备份内容对系统进行有效的灾难恢复。根据不同的需求可制定相应的安全备份策略。一个异地火灾实时备份系统、主要通讯线路备份、主要网络设备备份,能够备份系统的所有数据,这样当本地系统发生灾难时,可以迅速地恢复网络系统和数据,把损失降到最低,安全备份策略是根据中心的需求来制定的,系统是否允许冗机以及可容忍的最大冗机时间(即系统和数据恢复正常所需时间),系统是否允许数据丢失以及可容忍的最长数据丢失时间。安全备份策略重点要保护的是中心的数据,同时还应保护整个网络系统的正常运转,因此,安全备份中应包含设备备份、系统备份和数据备份。数据备份是最重要的,应做到多种介质备份,提高安全性。如使用磁盘阵列、RAID方案、异地硬盘、刻录光盘、磁带等。好的日常备份制度,应充分利用备份硬件和软件的功能,达到自动化或半自动化,以减少人工干预。
3.2 应急预案
灾难的发生有时是突然的、不可预测的,应急预案的规划可以在事前冷静、全面、周详地制定出可能出现的各种灾难情况下的应对策略,从而使我们在灾难发生时采取正确的步骤,最大程度地降低损失,尽快向系统全面恢复正常运转过渡。应急预案应由计算机安全管理小组指导实施,应急预案中应准备最坏的情况,充分设想到各种可能出现的故障和问题。例如,主交换机故障、主干线不通、供电系统故障发生时应采取的措施。应急预案中应包含实施小组成员及联络方法。拥有完整的应急预案,并严格执行各种安全备份措施,当灾难来临时,才能应付自如。
3.3 灾难恢复演练
网络安全是一个动态的过程,应在计算机安全领导小组领导下定期进行灾难恢复演练。其目的是为了熟练灾难恢复的操作过程,并检验系统安全备份策略和应急预案的可靠性,演练过程中应对操作和结果做详细记录,便于总结、分析、评估,及时发现隐患,及时更正,确保在真正灾难发生后能使中心网络及时恢复运行。
网络安全技术没有最好,只有更好。这就要求中心从制度、人员、技术手段等各方面,建立起一整套网络安全管理策略,来指导中心的网络安全建设及维护工作。这是一个长期的系统工程,需要中心全员提高安全意识,遵守安全制度,同时,在数据传输安全保护上需要软件系统开发人员的共同努力,这样才能保障中心网络的正常运转。
参考文献
一、校园网安全策略部署是重要一环
1、网络中心要做好外网防火墙的部署
校园网中的防火墙缺失或者部署不当将必然导致病毒与木马对学生终端的危害,学校网络管理人员要认研究现有硬件防火墙的安全策略能否满足本校网络安全的需要,在病毒防护、安全策略、访问记录部署上最大限度地利用硬件防火墙保护内网的访问安全。如果经过测试硬件防火墙不能满足需要,要及时进行数据升级或更换。
2、网络中心要做好三层核心交换机的安全策略部署
网络防火墙是保护内网安全的第一道屏障,而三层核心交换机是保障用网安全的第二道屏障。网络中心应该根据自有核心交换机的性能去设计相应的安全策略部署。
包括:(1)按实际需要划分VLAN。(2)根据自身需要制定VLAN间的数据包过滤策略,通过制定协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等包过滤策略,虽然包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,但却可以通过这种访问策略阻隔住非法用户的访问,有效保护不同子网的用户免遭黑客的攻击。
3、网络中心要做好网络安全预警沟通工作
通过调查了解到:学校的网络中心管理人员往往充当“救火队”的角色,师生们要么上不了网找网络管理员、,要么机器坏了或者因中毒遭受到这样那样的损失时才找网洛管理员。而网管工作人员出于领导重视程度、自身工作负担或者是技术水平等方面的因素往往缺乏定期或不定期的网路安全预警工作。网络中心要减轻“救火队”的压力的唯一出路就是做好网络环境的安全工作。而通过路由器、防火墙、核心交换机、网络抓包工具及各大安全网站的记录数据及安全预警提示,网络中心至少应该定期在OA或者其他途径做好网络安全预警工作,让学校全体师生动态了解学习相应的网络安全知识,定期更新终端病毒库。如此方可建立一个群防群治的用网环境。
二、用户终端安全策略部署必不可缺
通过网管中心安全策略的部署,我们可以保障校园网内的基本安全,要做到让学生终端及时更新系统补丁与安装安全杀毒软件、并对安全杀毒软件进行更新。目前互联网上有很多包括针对移动终端和桌面终端的360安全软件、百度安全软件、腾讯安全软件等免费有效的软件。因此软件的获得途径是畅通的,关键是要让大家重视终端安全软件的安装与升级。笔者认为:第一,作为学校的机房管理人员,即使有硬件还原卡,也要定期对机房的系统进行升级,不能只保障机房的系统不崩溃而忽略了学生的用网安全。第二:学校网管工作人员应该定时下载相应的安全软件和更新数据推荐师生安装。第三,中职学校班主任应该在班会课上定期宣传网络安全知识,并检查学生手机和用网电脑的安全软件的安装与更新,对未安装安全软件的同学进行引导,如此才能确保学生在网络下不至于“裸奔”!
三、重视网络安全意识培养
防止网络安全问题的关键是全校重视师生网络安全意识的培养,笔者认为要做好这方面的工作应该从以下几个方面入手。
1、学校要加强中职生网络安全知识教育。
由于专业课程设置的原因,目前中职学校一般只有计算机专业与电子商务专业会涉及到网络安全教育的课程,这些班接受过系统的知识对网络安全的意识会稍微强一点,但由于缺乏长效机制,课程后时间一长又容易麻痹。对于其他专业的学生往往三年里只会开一门计算机基础的课程,课程涉及的内容大部分是计算机基础知识与OFFICE应用,网络安全方面的知识由于不在大纲范围内,基本上是蜻蜓点水,情况不妙。笔者曾经连续两年在所在学校的模具班与数控班做过一个小调查,能够坚持在手机端与自用电脑上安装系统补丁与杀毒软件并定期升级的学生不到20%。而知道杀毒软件不能混合安装的不到5%。究其原因,有的说老师没讲,有的说装了以后系统慢,有的说升级要耗费流量。如此局面,令人揪心。
笔者认为,中职生网络安全意识的培养是需要一定专业知识支撑的,因此学校要在每个专业都开设网络安全课程,每学期的课程不需要多,但是应该贯穿三年,只有这样,才能切实做好中职学生的网络安全教育工作。
2、从心理层面去辅导中职学生如何面对互联网
中职生网络信息甄别能力薄弱,容易受到网络不良信息的影响。有个别学校发现这些问题后,采用禁止带手机和移动设备进校园,希望“一劳永逸”,但笔者认为此种以堵代疏的方式与时展趋势相左,既容易造成学生逆反心理,也不利于网络安全意识的培养。在无线信号全方位覆盖与移动终端普及的今天,禁止带手机很容易变得尴尬无力。
正确的方法应该是:学校德育部门与心理咨询中心要研究移动互联网对中职生心理的影响以及可能出现的问题和疾病,发动班主任班干部或者是每班的心理联络员在中职生群体内部协助做好网络心理服务工作。
3、传递正能量,树立正形象。
我国检察机关
的信息化建设从2000年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。随着“科技强检”进程的逐步深入,检察人的传统思维和工作模式势必会经历前所未有的变化。也正是在这种网络化日盛的趋势下,检察机关的信息化建设成为了检察事业发展的重要课题。
1、检察信息网络建设的现状
按照高检院“213”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一” 也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中,同时依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
2、检察信息系统的应用状况与面临的困惑
检察信息系统是检察业务工作同以计算机技术为核心的信息技术相结合的产物,是管理科学与系统科学在检察业务实践中的具体应用。检察信息化水平的高低是判断检察工作的重要标尺。目前在我国,检察机关已不同程度地将计算机作为办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特色的网络工作平台。可以说,检察信息化的不断普及为全面建设和完善检察信息系统提供良好的契机,同时也奠定了应用与发展的必要基础。
当然,在肯定成绩的同时,我们也应清醒地认识到现阶段检察信息化建设中存在的诸多不足。首先,目前我国检察机关信息化建设还处于刚刚起步阶段,网络应用水平普遍不高,绝大多数的应用还仅局限于检察业务的某些小的领域,单项应用较为普遍,大而全、广而深的应用体系尚未成型。其次,检察信息技术主要仍以平民技术为主,专业化、职业化的应用并不理想,在缺乏相关专业人才的情势下,技术水平较为幼稚,系统的标准化、通用性和易用性都还处于较低的层面。再则,目前检察机关网络信息化建设与检察业务实际存在明显的脱节,检察业务软件的开发与维护还有许多不尽如人意之处,检察信息系统的网络互连效果以及安全保密功能还有待进一步加强。
客观地讲,当前的检察信息系统仍处于探索和成型阶段。做个不形象的比喻,如果将未来成熟的检察信息系统拟制为一个健康的成年个体的话,目前的检察信息网络则像一个处在哺乳期的婴儿,四肢俱全,生机无限,但未脱襁褓,需要给予更多的关注。
二、流行在检察信息系统中的sars――网络不安全因素。
网络中的不安全因素,之所以称其为sars,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。这些因素往往显见的或潜在的、习惯的或不经意的影响着检察信息系统的稳定和安全。
1、病毒入侵与黑客攻击
网络病毒的入侵、感染与黑客的恶意攻击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。通过网络渠道传播的蠕虫病毒、木马程序以及脚本病毒,不管从传播速度、破坏性还是波及范围都让人不可小视。
而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。互联网20多万个黑客网站上,提供了大量的黑客技术资料,详细地介绍了黑客的攻击方法,并提供免费的攻击软件。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2、网络硬件、软件方面存在的缺陷与漏洞
在软件
方面,由于网络的基础协议tcp/ip本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前
广泛运行在检察网络中的微软windows操作系统更是破绽百出,由于默认的情况下系统开放了绝大多数的端口,所以使得监听和攻击变得轻而易举、防不胜防。再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的bug,同时软件的后期服务又不可避免具有滞后性,所以形容当前的网络“风雨飘摇”一点也不为过。
3、使用人员的不良习惯与非法操作
如果将以上两点看作是病源和病毒的话,那么人的因素可能就要算作是将二者紧密结合,产生巨大破坏作用的主要媒介了。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
此外,由于检察机关的业务工作与实际应用的需要,所以局域网用户的权限相对较高,使用者的操作空间相对较大。部分具有较高计算机水平的用户,会利用授权非法地进行系统设置或通过黑客软件的帮助突破权限获取其他用户信息乃至涉密信息。这些恶意行为的出现,不仅扰乱了网络内部的正常秩序,同时也为更多“偷窥者”大开方便之门。
4、网络管理与相关制度的不足
网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。主要表现在:
第一,网络管理仅仅作为后勤保障工作的一部分,缺乏必要的领导机制,重视程度有待进一步加强。
第二,网络管理人员充当“消防员”,以“排险”代“管理”,缺乏全民“防火意识”,干警的信息安全责任感亟待提高。
第三,网络管理缺乏必要的程序性规则,在遇到突发事件时,往往容易造成网络系统的内部混乱。
第四,网络信息收集、整理工作不够细致,网络内部机器的跟踪机制还不尽如人意。在用户应用相对随意性的条件下,往往出现“用而不管,管却不能”的尴尬局面。
第五,与安全级别相适应的网络安全责任制度还没有完全建立,使用者的网络操作安全风险没有明确的承担主体,所以使用中缺少必要的注意。网络管理在“使用免责”的情况下,很难形成安全防护的有效底线。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。其次,要摒弃一劳永逸的短期行为,在网络项目投入、网络设施建设上做好长期的规划,同时应具有适当的超前性,从检察信息化长远的发展趋势着眼,保持投入的连续性,积极追求网络效能的最大化。其次,在信息化建设的过程中,检察机关还应充分重视制度化的建设,形成较为完善的保障体系,使得网络的运行与管理能够在正确的轨道上持续发展。当然,强调整体规划与设计的同时,我们还应认真做好网络应用技术的普及与网络安全意识的培养工作,将检察信息系统中源于技术局限以及使用者主观因素而产生的种种隐患和损失降到最低程度。
基于上述几点构想,下面笔者将从实际的应用出发,对检察信息安全防范体系的具体实现,作细化论述:
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
当然,在加大投入的同时,也应当正确处理安全成本与网络效能之间的辩证关系,切忌将安全问题绝对化,不能让安全设备和手段的使用降低网络应用的实际效果,寻求可用行与可靠性的平衡点。在安全建设中要注重网络安全的整体效果,尽量运用较为成熟、稳定的软、硬件及技术,同时,针对目前检察网络所采用的微软系统平台,借助于win2000操作系统的域控制功能,对网络的内部结构进行划分、管理,从而既满足了对内部用户的管理要求,同时又在双向信任关系的域-森林结构中实现同级、上下级院之间的安全信息交流。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作,首先要建立明确的安全管理组织体系,设置相应的领导机构,机构以院主管领导、技术部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。网络管理领导小组可以根据全院的实际情况,协调管理人员进行及时的维护,这样不仅有利于人员分工、整合,同时也保证了网络管理的有序进行。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任
事故进行制度化约束,追究责任人的主观过错。
当然,制度化建设应当包含检察信息网络管理的各个方面,远非以上几点,它需要我们在补充、修订的过程中不断健全、完善。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。但我们应清醒地认识到,任何的病毒与黑客技术都是针对网络系统的漏洞而发起的。而在网络应用过程中,大多数使用者对于病毒及外来攻击的恐惧往往要大于对自身系统漏洞的担心。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道,逐渐减少对于盗版软件、试用版软件以及共享版软件的依赖。
同时,充分利用win2000系统的域功能,严格控制网络客户端机器的超级用户帐号,设定所有用户必须登录域中进行网络操作,设定所有用户(预留guest帐号可以另外处理)的ip地址和网卡物理地址进行绑定、所有无需移动办公的用户帐号和ip地址绑定,实施严密的身份识别和访问控制。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全安全保障体系。
建立健全统计信息化领导机构,理顺工作关系,统筹协调,共同推进统计信息化建设工作的顺利开展,发挥领导机构的作用,督促全县统计信息化工作的开展。
2、健全统计信息化管理机构
县局明确专人负责机房维护管理、统计信息网络维护管理、应用平台管理和技术支持工作,保证全局微机和网络正常运行。
3、完善统计信息化管理制度
建立统计信息化建设联络员工作例会制度,了解和交流统计信息化建设工作的需求;定期通报各股(室)提供信息及网站维护、信息加载情况。
4、做好计算机硬件升级工作
20*年借助第二次全国经济普查之机,升级计算机硬件,达到满足普查数据处理的要求,更新部分显示器,以减少录入人员长长期工作的眼疲劳。
5、实现统计系统内网五级互联
加快推进镇级统计信息化建设,提高信息传输速度和质量,实现信息共享,根据市局要求,在全县推广VPN联网技术,20*年底镇统计站全部联入统计系统内部网络,以利于科学高效地组织开展统计工作。
6、提升统计办公自动化水平
强化腾讯通的应用,20*年县局工作人员全部配备耳麦和摄像头,随时配合省、市局利用腾讯通的语音功能召开网络会议,提高工作效率。
7、加强内、外网站维护管理
明确专人管理县局内、外网站,制定信息网上制度,确保每周更新网上内容,不断拓展网站功能,*富网站信息内容,提高网络信息质量。
8、加强网络安全管理
这是整个开放教育教务管理系统网络安全的关键,实际上网络安全问题的80%是由于管理问题造成的,存在的管理问题包括管理组织、管理规范、技术管理、日常管理等。
(1)管理组织不健全由于网络安全是一个相对较新的问题,绝大多数单位由并没有一个实际的网络安全管理组织。建议各省、市学校要按照“谁主管、谁负责,谁运营、谁负责”的要求,建立以主要领导为第一责任人,校办、网络管理等职部门参加的信息网络安全管理组织,明确网络管理和联络人员。
(2)管理规范不完善对于网络安全管理一定明确真正的责权人,大多数省校、市校及学生中心都只是有一些并不完整的制度,而网格安全是一个整体工程,不完整的制度不能有效的起到规范管理的作用。我们建议要做好网络信息安全防控工作,不但要完善安全防控体系,还要建立值班监控机制,落实内部安全规章制度,要以校内多媒体教室、公共机房、办公网络等公共上网场所为重点,严格落实上网实名登记管理。
(3)技术管理不到位虽然技术管理大概是目前问题最少的,但是这些基本上是网络管理和应用系统的用户管理,一般单位基本上是空白,因为大多数单位只是考虑防火墙、防病毒等基本技术安全措施,没有对网络安全做到进一步的细化管理。要加强对校内IP地址资源和服务器的管理,严格按照省校、市校局域网统一规划的IP地址段分配校内IP地址。对承载有重要数据和交互功能的应用系统,特别是建有互联网网站的部门,要进行安全评估,根据安全评估报告加固系统,使用正版软件。
(4)日常管理不系统现在的教务管理系统安全存在管理不严格、不系统的问题。学校的管理工作人员还具有不稳定性,教务管理人员特别是下设各学习中心的管理人员常常变更,而且管理人员分散在各学习中心,沟通上存在限制,这些都增加了管理工作的难度。建立网络安全管理工作日志台账,制定完善网络安全应急预案,以确保校园网络安全突发事件“发现得早、化解得了、控制得住、处置得好”。
2从技术层面分析
这一层面问题是最早被大家重视的问题,也是网络安全软硬件的技术性问题从数据备份、数据删除及网络协议三个方面来分析:
(1)数据备份数据丢失及破坏通常都是在未知的情况下发生的,因此,数据备份成为数据完整恢复的前提,数据安全提供有力保障。开放教务管理系统是一个网络管理平台,数据备份在服务器上是最好的选择,并选用数据名和备份日期组成备份名称。实施数据定期准确备份,存储重要的数据需要全面保护,但也要分主、次。每学期学生基本信息、学生学生成绩、毕业审核数据要重点备份。确定开放教育教务系统中数据备份的频率及时序。目前我校将数据备份放在00:00,这个时间数据更动性小,并且日期划分清晰。数据备份的频率是每24小时一次,主要是考虑出现问题时对近期数据影响力小。备份数据定期清理工作也是一项非常重要的工作,我校阶段性的对备份数据进行清理,比如:会在清理前一年的备份数据时,除每学期开学后七天、放假前七天及每月第一天的数据外,其它数据将被移动硬盘保存,将不再服务器中存储。适时地进行数据恢复的操作,为遇到紧急情况做好准备工作,确保在出现问题时不慌乱,并能及时处理好数据的恢复工作。
随着检察机关信息网络建设的全面开展以及应用的逐步深入,信息安全系统的建设便显得更为迫在眉睫,对这项工作的丝毫懈怠都将会给未来检察机关的网络信息系统带来致命的危险。因此,加强检察信息系统的安全防范体系建设成为影响检察事业发展的重要课题。
一、检察信息网络建设的现状
按照高检院“151”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一”也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中。同时,依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。目前在我国,检察机关已不同程度地将计算机作办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特点的网络工作平台。
二、流行在检察信息系统中的埃博拉网络不安全因素
网络中的不安全因素,之所以称其为埃博拉,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。
1.病毒入侵与黑客攻击。网络病毒的入侵、感染与黑客的恶决击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2.网络硬件、软件方面存在的缺陷与漏洞。与银行、邮电等行业相比,目前,检察机关的局域网建设还存在首明显的差距。从硬件上讲,检察系统的网络产品尤其是关键部位的配套设施还相对较为落后,核心部件的性能还不能完全满足检察机关信息化的发展要求。在软件方面,由于网络的基础协议TCP/IP本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前广泛运行在检察网络中的微软件windows操作系统更是破绽百出,再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的病毒,前的网络“风雨飘摇”一点也不为过。
3.使用人员的不良习惯与非法操作。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
4.网络管理与相关制度的不足。网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到哪些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作。首先,要建立明确的安全管理组织体系,设置相应的领导机构。机构以院主管领导、办公室部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任事故进行制度化约束,追究责任人的主观过错。
