信息安全法律法规论文范文

引言：寻求写作上的突破？我们特意为您精选了12篇信息安全法律法规论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

论文关键词：高师计算机专业；信息安全；法律法规课程

人类进入21世纪，现代信息技术迅猛发展，特别是网络技术的快速发展，互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球．

网络已成为人们尤其是大学生获取知识、信息的最快途径．网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式，而且正影响着他们的人生观、世界观、价值取向，甚至利用自己所学的知识进行网络犯罪，所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说，面临着前所未有的机遇和挑战，这不仅因为，自己一方面要传授学生先进的网络技术，另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看，违法与不违法只是一两条指令之间的事情，更重要的是高师计算机专业学生将来可能成为老师去影响他的学生，由此可见，在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义．如何抓住机遇，研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题．本文主要结合我校的实际，就如何在高师计算机专业中开设信息安全法律课程作一些探讨．

1现有的计算机专业课程特点

根据我校人才培养目标、服务面向定位，按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路，沟通不同学科、不同专业之间的课程联系．全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类，下面仅就计算机专业课程的特点介绍．

1．1专业基础课程专业基础课是按学科门类组织的基础知识课程模块，均为必修课．目的是在大学学习的初期阶段，按学科进行培养，夯实基础，拓宽专业口径．考虑到学科知识体系、学生转专业等需要，原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同．主要内容包括：计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等．

1．2专业方向课程各专业应围绕人才培养目标与规格设置主要课程，按照教育部《普通高等学校本科专业目录》的有关要求，结合学校实际设置必修课程和选修课程．同时可以开设2—3个方向作为限选．学生可以根据自身兴趣和自我发展的需要，在任一方向课程组中选择规定学分的课程修读．主要内容包括：计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等．

1．3现有计算机专业课程设置的一些不足计算机技术一日千里，对于它的课程设置应该具有前瞻性，考虑到时代的变化，计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员，现有我校的计算机专业课程是针对这一目标进行设置的，但这一设置主要从技术的角度来考虑问题，没有充分考虑到：随着时代的发展，人们更广泛的使用网络、更关注信息安全这一事实，作为计算机专业的学生更应该承担起自觉维护起信息安全的责任，作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情．

2高师计算机专业学生开设信息安全法律法规的必要性和可行性

2．1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成，是一个“以信息安全理论为核心，以信息技术、信息工程和信息安全等理论体系为支撑，以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系．该学科交叉性、边缘性强，应用领域面宽，是一个庞大的学科群体系，涉及的知识点也非常庞杂．

仅就法学而言，信息安全涉及的法学领域就包括：刑法(计算机犯罪，包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支．因此，信息安全教育不是一项单一技术方面的教育，加强相关法律课程设置，是信息安全学科建设过程中健全人才培养体系的重要途径与任务．

高师计算机专业，虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程．但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力，只要具备这些能力且信息安全意识不强的人，都可能有意识或无意识的干出违反法律的事情，例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生．由此可见，在高师计算机专业的学生中开设相关的法律法规选修课程是必要的．

2．2可行性技术与法律原本并不关联，但是在信息安全领域，技术与法律却深深的关联在一起，在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联．从本质上讲，信息安全对法律的需求，实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候，对这些可能性做出选择扬弃、利益权衡和价值判断的需要．这也就要求我们跳出技术思维的影响，重视信息安全中的法律范畴．

根据前面对信息安全法律法规内容的特点分析可知：信息安全技术与计算机应用技术有着千丝万缕的联系．从事计算机技术的人员很容易转到从事信息安全技术研究上，加之信息安全技术是当今最热门技术之一，因此，在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受，具有可操作性．

3信息安全技术课程特点

信息安全技术课程所涉及的内容众多，有数学、计算机、通信、电子、管理等学科，既有理论知识，又有实践知识，理论与实践联系十分紧密，新方法、新技术以及新问题不断涌现，这给信息安全课程设置带来了很大的难度，为使我校计算机专业学生了解、掌握这一新技术，我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课．我校本课程具有以下特点：

(1)每学期都对知识内容进行更新．

(2)对涉及到的基本知识面，分别采用开设专业课、专业选修课、讲座等多种方式，让学生了解信息安全知识体系，如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等．

(3)对先修课程提出了较高的要求．学习信息安全技术课程之前，都可设了相应的先行课程让学生了解、掌握，如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程．

(4)注重实践教学．比如密码学晦涩难懂的概念，不安排实验实训，不让学生亲手去操作，就永远不能真正理解和运用．防火墙技术只有通过亲手配置和测试．才能领会其工作机理．对此我们在相关的课程都对学生作了实践、实训的要求．

4涉及到信息安全法律法规内容的特点

信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规．

4．1目的多样性作为信息安全的破坏者，其目的多种多样，如利用网络进行经济诈骗；利用网络获取国家政治、经济、军事情报；利用网络显示自己的才能等．这说明仅就破坏者方面而言的信息安全问题也是复杂多样的．

4．2涉及领域的广泛性随着网络技术的迅速发展，信息化的浪潮席卷全球，信息化和经济全球化互相交织，信息在经济和社会活动中的作用甚至超过资本，成为经济增长的最活跃、最有潜力的推动力．信息的安全越来越受到人们的关注，大到军事政治等机密安全，小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域．

4．3技术的复杂性信息安全不仅涉及到技术问题，也涉及到管理问题，信息安全技术又涉及到网络、编码等多门学科，保护信息安全的技术不仅需要法律作支撑，而且研究法律保护同时，又需要考虑其技术性的特征，符合技术上的要求．

4．4信息安全法律优先地位综上所述，信息安全的法律保护不是靠一部法律所能实现的，而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现．因此，信息安全法律在我国法律体系中具有特殊地位，兼具有安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位．

5高师信息安全技术课程中的法律法规内容教学目标

对于计算机专业或信息安全专业的本科生和研究生，应深入理解和掌握信息安全技术理论和方法，了解所涉到的常见的法律法规，深入理解和掌握网络安全技术防御技术和安全通信协议．

而对普通高等师范院校计算机专业学生来说，由于课程时间限制，不能对信息安全知识作较全面的掌握，也不可能过多地研究密码学理论，更不可能从法律专业的角度研究信息安全所涉到的法律法规，为此，开设信息安全法律法规课程内容的教学目标定位为：了解信息安全技术的基本原理基础上，初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准．如：《中华人民共和国信息系统安全保护条例》，《中华人民共和国数字签名法》，《计算机病毒防治管理办法》等．

6高师信息安全技术法律法规课程设置探讨

根据我校计算机专业课程体系结构，信息安全有关的法律法规课程，其中多数涉及信息安全技术层面，主要以选修课、讲座课为主，作为信息安全课程的补充．主要可开设以下选修课课程或讲座课程．

(1)信息安全法律法规基础讲座：本讲座力图改变大家对信息安全的态度，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题，让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规，主要内容包括：国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等．

(2)黑客攻击手段与防护策略：通过本课程的学习，可以借此提高自己的安全意识，了解常见的安全漏洞，识别黑客攻击手法，熟悉提高系统抗攻击能力的安全配置方法，最重要的还在于掌握一种学习信息安全知识的正确途径和方法．

篇2

论文关键词：信息安全；保护

信息安全包括以下内容：真实性，保证信息的来源真实可靠；机密性，信息即使被截获也无法理解其内容；完整性，信息的内容不会被篡改或破坏；可用性，能够按照用户需要提供可用信息；可控性，对信息的传播及内容具有控制能力；不可抵赖性，用户对其行为不能进行否认；可审查性，对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比，基于网络的信息安全有一些新的特点：信息安全威胁主要来源于自然灾害、意外事故；计算机犯罪；人为错误，比如使用不当，安全意识差等；“黑客”行为；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议自身缺陷，等等。

1我国信息安全的现状

近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。

①网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站，但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称，在网络黑客攻击的国家中，中国是最大的受害国。

②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制，很多单位和部门直接引进国外的信息设备，并不对其进行必要的监测和改造，从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

③我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。

2我国信息安全保护的策略

针对我国信息安全存在的问题，要实现信息安全不但要靠先进的技术，还要有严格的法律法规和信息安全教育。

①加强全民信息安全教育，提高警惕性。从小做起，从己做起，有效利用各种信息安全防护设备，保证个人的信息安全，提高整个系统的安全防护能力，从而促进整个系统的信息安全。

②发展有自主知识产权的信息安全产业，加大信息产业投入。增强自主创新意识，加大核心技术的研发，尤其是信息安全产品，减小对国外产品的依赖程度。

篇3

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展，信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质，主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患，造成信息的丢失、泄密，甚至造成病毒的传播，从而导致信息系统的不安全性，给国家的信息化建设带来不利影响。因此，如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容：真实性，保证信息的来源真实可靠；机密性，信息即使被截获也无法理解其内容；完整性，信息的内容不会被篡改或破坏；可用性，能够按照用户需要提供可用信息；可控性，对信息的传播及内容具有控制能力；不可抵赖性，用户对其行为不能进行否认；可审查性，对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比，基于网络的信息安全有一些新的特点：

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点，从网络架到协议以及操作系统等都具有开放性的特点，通过网络主体之间的联系是匿名的、开放的，而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统，造成了病毒极易滋生和传播，从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为，而网络环境下的安全问题常常表现为一种技术对抗，对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的，不受时间和地点的约束，犯罪行为实施后对机器硬件的信息载体可以不受任何损失，甚至不留任何痕迹，给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故；计算机犯罪；人为错误，比如使用不当，安全意识差等；“黑客”行为；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议自身缺陷，等等。

二、我国信息化中的信息安全问题

近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站，但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称，在网络黑客攻击的国家中，中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制，很多单位和部门直接引进国外的信息设备，并不对其进行必要的监测和改造，从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击，国内也有部分人利用系统漏洞进行网络犯罪，例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于：首先，我国的经济基础薄弱，在信息产业上的投入还是不足，尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次，全民信息安全意识淡薄，警惕性不高。大多数计算机用户都曾被病毒感染过，并且病毒的重复感染率相当高。

除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题，要实现信息安全不但要靠先进的技术，还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育，提高警惕性。从小做起，从己做起，有效利用各种信息安全防护设备，保证个人的信息安全，提高整个系统的安全防护能力，从而促进整个系统的信息安全。

2、发展有自主知识产权的信息安全产业，加大信息产业投入。增强自主创新意识，加大核心技术的研发，尤其是信息安全产品，减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系，制定相关的法律法规，例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等，加大对网络犯罪和信息犯罪的打击力度，对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业，应大力培养信息安全专业人才，建立信息安全人才培养体系。

篇4

    一、信息化的内涵、信息资源的性质及信息的安全问题 

    “信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。 

    信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。 

    信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点: 

    一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。 

    二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。 

    三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。 

    信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。 

    二、我国信息化中的信息安全问题 

    近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。 

    1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

    2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。 

    3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。 

    4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。 

    5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。 

    造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。 

    除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。 

    三、相关解决措施 

    针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。 

    1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。 

    2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。 

    3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。 

    4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。 

篇5

论文摘要：信息时代，信息资源的占有率已成为影响一国生产力发展的核心要素之一。面对日益激烈的市场竞争，世界各国对经济信息的争夺加剧。完善我国经济信息安全的法律保护体系是维护国家经济安全，保障生产力健康发展的重要任务。文章对经济信息安全的概念进行了界定，通过分析我国经济信息安全面临的挑战与现有法律保护的不足，提出完善经济信息安全法律保护的对策。

一、信息化挑战我国经济信息安全

与西方发达国家相比，我国的经济安全保障体系非常脆弱，对于经济信息安全的保护更是一片空白。国家经济数据的泄露，泄密案件的连续出现昭示着我国经济信息安全面临前所未有的严峻挑战。

(一)对经济信息的争夺日益加剧

经济竞争的白炽化与信息高速化在推动世界经济迅速发展的同时也使得业已存在的窃取经济信息活动更为猖獗，无论是官方的经济情报部门还是各大财团、公司都有自己的情报网络。世界各国在千方百计地保护本国经济信息安全的同时也在千方百计地获取他国的经济情报。目前我国正处于泄密高发期，其中通过计算机网络泄密发案数占泄密法案总数的70％以上，并呈现逐年增长的趋势；在商业活动中，商业间谍与经济信息泄密事件频繁发生，据业内人士透露泄密及损失最渗重的是金融业；其次是资源行业，大型并购很多，而十次并购里面九次会出现信息泄密事故；高科技、矿产等领域也非常严峻，很多行业在经济信息安全保护上都亮起了红灯。

(二)窃密技术先进，手段多样化

一方面，发达国家及其情报组织利用信息技术优势，不断监听监视我国经济情报，非法获取、篡改我国信息或传播虚假信息造成经济波动，以获取经济乃至政治上的收益；另一方面，除技术手段，他们还通过商业贿赂、资助学术研究、举办研讨会、派专人在合法范围内收集企业简报、股东报告甚至是废弃垃圾通过仔细研究，分析出有价情报等方式大量收集我国经济信息。正如哈佛大学肯尼迪政治学院的一位中国专家认为：“在中国，当前贿赂最主要的形式不再是支付现金，更多可能由公司付费途经洛杉矶或拉斯维加斯到公司总部考察。这种费用可以被看做是合法的营业支出，也可以为官员设立奖学金。”窃密技术日益先进与手段日趋多样化、合法化对我国经济安全，特别是经济信息的安全造成严重威胁。

(三)经济信息安全保密意识淡薄

近年来，每当政府机构公布国民经济运行数据前，一些境外媒体或境外研究机构总是能准确“预测”；许多重要的经济信息，包括经济数据、经济政策等伴随学术报告、会议研讨甚至是一句家常闲聊便被泄露出去；载有核心经济信息的移动存储介质被随意连接至互联网导致信息泄露等问题严重。有调查显示，我国有62％的企业承认出现过泄密现象；国有以及国有控股企业为商业秘密管理所设立专门机构的比例不到20％，未建立任何机构的比例高达36．5％；在私营企业中，这样的情况更加严峻。经济信息安全保密意识的薄弱已成为威胁我国经济安全，影响社会经济稳定发展的制约因素之一。

二、经济信息安全法律保护的缺失

安全的实质是一种可预期的利益，是法律所追求的价值主张。保障经济信息的安全是信息时代法律在经济活动中所追求的最重要的利益之一。法律保障经济信息安全，就要维护经济信息的保密性、完整性以及可控性，这是由信息安全的基本属性所决定的。然而，由于我国立法上的滞后，对经济信息安全的法律保护仍存在相当大的漏洞。

(一)缺乏对保密性的法律保护

保密性是指保证信息不会泄露给非授权者，并对需要保密的信息按照实际情况划分为不同等级，有针对性的采取不同力度的保护。现行《保密法》对于国家秘密的范围以及分级保护虽有相关规定，但其内容主要针对传统的国家安全，有关经济信息安全方面仅出现“国民经济和社会发展中的秘密事项”这样原则性的规定，对经济秘密的划定、保密范围和措施等缺乏相应条款；对于跨国公司或境外利益集团等窃取我国经济政策、产业关键数据等行为也缺乏法律上的界定，以至要追究法律责任却没有相应法律条款可适用的情况屡屡发生。

在涉及商业秘密的法律保护上，法律规定分散而缺乏可操作性，不同部门对商业秘密的定义不统一，商业秘密的概念模糊而混乱，弱化了商业秘密的保密性；①另一方面，与TRIPS协议第39条规定的“未披露的信息(undiscoveredinformation)”即“商业秘密”相比，我国《反不正当竞争法》要求商业秘密须具有秘密性、价值型、新颖性与实用性且经权利人采取保密措施，并将构成商业秘密的信息局限于技术信息和经营信息，这样的规定不以商业秘密在商业上使用和继续性使用为要件，使不具实用性却有重大价值或潜在经济价值的信息得不到保护，不利于经济信息的保密。此外，人才流动的加快也使商业秘密伴随着员工的“跳槽”而流失的可能性激增，但对商业秘密侵权威胁(ThreatenedMisappropriationofTradeSecrets)我国尚无没有明确法律依据；对于泄露或窃取他人商业秘密的行为，《刑法》第219条虽增加了刑事处罚，但处罚力度过轻而又缺乏处罚性赔偿规定，导致权利人的损失无法得到弥补。

(二)缺乏对完整性的法律保护

完整性是指信息在存储或传输过程中保持不被未授权的或非预期的操作修改和破坏，它要求保持信息的原始面貌，即信息的正确生成、正确存储和正确传输。目前，我国保障信息与信息系统完整性主要依靠《刑法》与《计算机信息系统安全保护条例》等法律法规，总体而言层级较低又缺乏统一性。《计算机信息系统安全保护条例》第4条规定了“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”，但在第23和25条却只规定对破坏和危害计算机信息系统安全造成财产损失的承担民事责任，并对个人处以5000元以下罚款，对单位处以15000元以下罚款的较轻处罚规定；现行《刑法》第285条也只规定入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为构成非法侵入计算机信息系统罪。这就是说，行为人非法侵入包括经济信息系统在内的其他信息系统并不构成本罪。可见，法律对信息安全的保障依然侧重于政治、军事等传统安全领域，而忽略了对经济信息安全的保护。

(三)缺乏对可控性的法律保护

可控性是对经济信息的内容和信息的传播具有控制能力，能够按照权利人的意愿自由流动。网络的盛行使得经济间谍、商业贿赂等窃密手段的频繁出现而使得经济信息不能按照权利人的意愿流动。面对日趋“合法化”的窃密行为，《刑法》第110条的间谍罪与第11l条的为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或情报罪都只是笼统的规定了“危害国家安全”和“窃取、刺探、收买、非法提供国家秘密或情报”，缺乏有关经济间谍罪的专门规定；而《国家安全法》也只是笼统的规定了国家安全整体的法律条文，并且侧重的是传统安全的政治和军事领域，对于经济安全，尤其是经济信息安全这样一个新的非传统安全领域的存在的威胁仍缺乏适当的法律规制。

除了经济间谍外，跨国公司对我国实施商业贿赂获取经济信息与商业秘密的案件不断增加，经济信息的可控性无法得到有效保证，在造成严重经济损失的同时也威胁着我国经济信息安全。目前我国尚无一部完备的《反商业贿赂法》，对于商业贿赂的法律规制主要体现在《刑法》与《反不正当竞争法》、《关于禁止商业贿赂行为的暂行规定》等法律法规上。然而，现行《刑法》并未直接对商业贿赂行为作出罪行定义，而《反不正当竞争法》第8条虽然规定商业贿赂的对象既可包括交易对方，又可包括与交易行为有关的其他人，但《关于禁止商业贿赂行为的暂行规定》中却又将商业贿赂界定为“经营者为销售或购买商品而采用财物或者其他手段贿赂对方单位或者个人的行为”缩小了商业贿赂对象的范罔，将除交易双方以外能够对交易起决定性作用或产生决定性影响的单位或个人被排除在外。另外，对于商业贿赂的经济处罚力度畸轻，根据《反不正当竞争法22条，不构成犯罪的商业贿赂行为处以10000元以上200000元以下的罚款，并没收违法所得。但事实上，通过商业贿赂手段所套取的经济信息往往可以带来高达上百万的经济利益，过轻的处罚完全不能发挥法律应有的威慑力。与美国的《反海外贿赂法》和德国的《反不正当竞争法》相比，我国对于商业贿赂，特别是跨国商业贿赂的治理仍存在不足。

三、完善我国经济信息安全法律保护的对策

法律保护经济经济信息安全，既要求能预防经济信息不受侵犯，也要求能通过国家强制力打击各种侵犯经济信息安全的行为，从而达到经济信息客观上不存在威胁，经济主体主观性不存在恐惧的安全状态。因此，维护经济信息安全需要构建全方位的法律保护体系。

(一)修订《保密法》，增加保护经济信息安全的专门条款

《保密法(修订草案)》增加了针对信息系统的保密措施以及加强机关、单位和人员的保密管理等五方面内容，总体上得到了专家学者的肯定，但仍存在许多值得进一步斟酌与完善的问题。特别是对于经济领域的信息安全保密问题，应增设专门条款明确规定经济秘密的保密范同，明确哪些经济信息属于国家经济秘密，通过明确“密”的界限强化保密意识，维护经济信息的安全。因此，在修订《保密法》时，我们可以在保证法律的包容性与原则性的基础上，可以借鉴俄罗斯的《联邦国家秘密法》，采取列举的方式将属于国家秘密的经济信息以法律的方式予以规定，将对国家经济安全有重大影响的、过早透露可能危害国家利益的包括财政政策、金融信贷活动以及用于维护国防、国家安全和治安的财政支出情况等经济信息包含在内，以具体形象的样态将国家经济秘密明确的归属于法律控制范畴，避免因法律缺乏明确性与可操作性而带来的掣肘。

(二)制定《商业秘密保护法》，完善商业秘密的保护

针对我国商业秘密泄密案件的日益频繁，商业秘密保护立法分散的问题，尽快制定专门的《商业秘密保护法》是维护经济信息安全的重要措施。在制定《商业秘密保护法》时，可以借鉴国外以及国际组织的先进经验，但应当注意以下问题：(1)在对商业秘密进行界定时，应采用列举式与概括式相结合的体例明确商业秘密的内涵。同时在商业秘密的构成要件中剔除“实用性”的要求，使那些不为本行业或领域人员普遍知悉的，能为权利人带来经济利益或竞争优势，具有“经济价值”以及“潜在价值”并经权利人采取合理保护措施的信息也能纳入法律的保护范围；(2)要明确规定各种法律责任，包括民事责任、行政责任以及刑事责任。由于商业秘密侵权行为是一种暴利行为，但给权利人造成的损失却往往十分巨大，如不以刑事责任方式提高违法成本便难以遏制其发生；(3)在制定《商业秘密保护法》时应当引入不可避免泄露规则(InevitableDisclosureDoctrine)。该原则主要是针对商业秘密潜在的侵占行为采取的保护方式，旨在阻止离职员工在新的工作岗位上自觉或不自觉地泄露前雇主商业秘密的问题。引入不可避免泄露原则更能有效地保护商业秘密，避免因人才流动为保密性带来的威胁。

(三)制定统一《反商业贿赂法》，确保经济信息的正向流动

随着信息在经济活动中作用加重，商业贿赂的目的不再局限于获取商品销售或购买的机会，通过商业贿赂获取竞争对手经济秘密已成为信息时代非法控制经济信息流动的重要手段之一。制定统一的《反商业贿赂法》将分散在各法律法规中的有关条例加以整合，实现对国内外商业贿赂行为的有效监管，是堵截经济信息非法流动、维护我国经济信息安全与公平竞争市场环境的必然选择。因此，在制定统一《反商业贿赂法》时首先应当对商业贿赂的概念进行准确的界定，借鉴《布莱克法律词典》的解释将商业贿赂定义为经营者通过不正当给予相关单位、个人或密切相关者好处的方式，获取优于其竞争对手的竞争优势；④其次，对于商业贿赂的管辖范围应当适当扩大。根据《经合组织公约》与《联合国反腐败公约》的规定，缔约国应确立跨国商业贿赂法律的域外管辖权制度，对故意实施的跨国商业行为予以制裁。因此，制定《反商业贿赂法》要求将我国经营者或该商业活动的密切相关者无论是向国内外公职人员、企业、相关个人以及国际组织官员行贿行为或是收受来自国内外企业、个人的财务或其他利益优惠的受贿行为都应列入该法管辖范围内，并针对商业贿赂这种贪利性违法行为，完善民事、行政以及刑事法律责任；此外，在立法时还应借鉴国外的成功经验加大制裁力度，取消现行法律中固定处罚数额的不合理规定，采用相对确定的倍罚制，并制定对不构成犯罪的商业贿赂行为的资质罚(指取消从事某种职业或业务的资格的处罚)，使得经营者在被处罚后不再具备从事相同职业或业务再次进行商业贿赂的条件，从而有效遏止商业贿赂行为的蔓延，以确保经济信息的合理正向流动。

(四)完善《刑法》，维护经济领域信息安全

“只有使犯罪和刑罚衔接紧凑，才能指望相联的刑罚要领使那些粗俗的头脑从诱惑他们的、有利可图的犯罪图景中立即猛醒过来”。故此，完善《刑法》并加重处罚力度，是维护经济领域信息安全的必要保证。

首先，计算机与网络的广泛使用使得计算机信息系统安全成为影响经济信息安全的关键因素。面对《刑法》对经济领域计算机信息系统保护的缺位，增加维护经济信息安全的专门条款是当务之急。因此，应首先对《刑法》第285条进行调整，规定凡侵入具有重大价值(包括经济价值、科技价值与政治价值等)或者涉及社会公共利益的计算机信息系统的行为都构成犯罪；同时，针对目前窃取计算机信息系统中不属于商业秘密或国家秘密但却具有知识性或重大价值，特别是经济价值的数据、资料现象日益严重，《刑法》中还应增设窃取计算机信息资源罪，对以非法侵入计算机信息系统为手段，以窃取他人信息资源为目的且造成严重后果的行为予以规制；此外，在《刑法》还中还应增设财产刑、资格刑，适当提高法定刑幅度，从多维角度预防和制裁危害计算机信息系统犯罪。

篇6

2绪论

伴随着互联网和信息技术的飞速发展，电子商务从零到有，并逐步向高水平、规范化发展。十年来中国电子商务始终保持40-50%的高速发展，2009年的中国电子商务并为受到全球金融危机的影响，相反却在金融危机中爆发出更强的生命力和适应力。2009年中国电子商务市场规模超过35000亿元，同比增长48.5%，高于2008年的41.2%。

电子商务的安全法律是指为了保障电子商务在交易过程中的安全性，由国家政府相关部门出台的对交易过程进行保护的法律。目前，我国就电子商务安全问题已经进行了初步的法律立项实施，但是依然存在较大的漏洞和隐患，需要国家相关部门进一步加强。

安全管理是有效降低我国电子商务交易过程中存在风险的重要手段，特别是在交易过程中，交易双方进行电子合同签订，安全中心不仅要监督买方的及时付款，同时还要监督卖方是否提供与合同一致的货物。在这些交易环节中，由于网络虚拟交易的缘故，存在非常大的安全管理隐患。为了有效防止这些安全隐患的爆发，降低风险带来的损失和伤害，需要国家政府出善的法律保护制度，形成一套互相关联、互相约束的管理制度体系。

3.电子商务安全

3.1电子商务安全概述

电子商务的运行和交易是基于计算机网络平台而展开的，所以安全问题大体上可以分为计算机网络安全和电子商务系统本身交易安全。没有网络，电子商务就不可能存在，网络作为基础，其安全性与电子商务安关系密切，在网络安全的前提下，电子商务系统特有的设计加以保障，两者相辅相成实现电子商务的整体安全。通俗的说，电子商务的安全就是“电子”和“商务”双重要求下的安全。

3.2国内电子商务安全问题现状

3.2.1信息安全环境

2010年，由中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合的《2009年中国网民网络信息安全状况调查系列报告》中显示，2009年，52%的网民曾遭遇过网络安全事件，网民处理安全事件所支出的相关服务费用共计153亿元人民币。电子商务发展所面临的信息安全问题严重。根据相关调查显示，90%以上的网民计算机遭遇过病毒、木马、黑客的攻击，电子商务交易的安全环境已经受到了严重影响。

3.2.2技术与意识现状

电子商务的安全需要信息技术和使用者意识的同步跟进和提高，才能使交易真正安全。目前国内两方面因素同时存在，导致电子商务交易安全性下降。一是技术方面：国内防御杀毒软件整体水平较低，查杀效率和效果不佳，部分电子商务平台设计存在缺陷，为电子交易安全埋下隐患。二是网民、使用者意识方面：相比于高发的网络安全事件，仍有4.4%的网民个人计算机未安装任何安全软件；不足8%的手机网民安装手机安全防护软件，网民安全意识仍有待进一步提升；

盗版软件使用泛滥；软件认知低，不懂得区分使用；交易双方欠缺诚信，即使交易在设计较为完善的电子商务平台上进行，依然存在欺骗行为。

3.2.3电子商务诚信环境

随着互联网的发展，网络购物（B2B、B2C）作为电子商务的其中分支之一，已经成为了一种消费时尚、热门购物渠道。据中国互联网络信息中心的数据显示：2009年我国网购市场交易规模为2500亿元，较2008年翻了一番。而2010年网络购物的市场规模应该已超过4300亿元。网购人群也大幅度增长，2009年至少在网上买过一次东西的中国网民数历史性地突破了1亿人，达到1.08亿人，增长46%。而在2010年，使用过网络购物的互联网用户更是接近2亿人。网络购物已经成为发展最迅速，与网民利益最相关的网络应用。

与此相比，电子商务诚信环境却不如人意，甚至随着电子商务的发展而出现恶化的局势。2010年，有近28%的互联网用户遭遇过虚假钓鱼网站、诈骗交易、交易劫持、网银被盗等针对网络购物的安全攻击。目前对我国网络购物用户威胁影响最严重的还是钓鱼网站，在网购用户所遭遇的安全威胁中有72.4%是钓鱼网站的欺骗行为，2010年1-10月，平均每天新增的与网络购物相关的钓鱼网站约为1500个。钓鱼网站的典型的诈骗方式主要分为三大类：低价诱惑、交谈诈骗、电话诈骗。

3.2.4电子商务信用管理现状

因为电子商务交易的特殊性，交易双方不曾谋面，所以关于电子商务的信用管理就显得尤为重要。为防止电子商务的欺诈行为给网民带来经济上的损失，网络企业以及第三方电子商务平台都相继实行信誉管理方法，如信誉评价和信誉等级系统的建立，网络诚信公约(自律)等等，但由于电子商务发展较晚，管理经验不足，这些方法和系统存在较多的问题，有待提升。如中国电子商务诚信评价中心推出“中国电子商务诚信评价规范”，其中的诚信红蓝标识制度，认知度极低，据调查发现，有97%人不知红蓝标识的含义。就目前而言，在线信誉评估、等级系统，在设计完善的提前下，可以较为有效的降低了交易风险，因为其交易双方的历史信用表现，信用等级都是公开信息，可以作为买卖双方交易选择的参考，且其失信成本远远大于其利益获得，好的信用必然可以提升销售量，这也从侧面迫使销售者提供最好的服务，避免了双方欺诈行为。交易讲究的诚信，信誉系统能最有效地维持双方可信的商务关系。如目前国内最大的网购平台淘宝网，它的网商信誉评价和信誉等级系统相对成熟，这种评价系统“为消费者提供了诚信、安全的购物保障，大大提升了网络购物体验”。但它依然存在相当多的问题，信用评价流程不合理，在买到相对低劣的产品时，你选择退货的同时就丧失了评价的权利，两者只能选其一，那到底是留着不需要的产品而去评价，还是选择退货？恶意中差评现象猖獗，甚至出现恶意差评师这一职业，严重影响公平竞争。另外对于返修产品缺乏保障，笔者就遇到过产品寄回返修，迟迟没有反应，损害消费者利益。信用可信度有待验证，专业刷钻组织的出现，使得信用体系的可靠性降低。

4电子商务安全立法现状

电子商务因其带来的经济效益和流行发展趋势而备受关注，其安全立法问题也得到了国际性组织和各国政府的高度重视,尽快营造全球范围内的电子商务安全法律环境已成为国际社会的共识。要创造一个适应和规范电子商务安全交易、发展的法律境,政府部门职责首当其冲，在电子商务发展的监管和安全立法中发挥其主导作用。及时了解电子商务即时情况，制定出台相应的安全保障法律法规,鼓励、引导、电子商务健康发展,规范、维持必要的网络市场秩序，这已经成为当前世界各国立法工作的重要任务。电子商务的广泛性和无界性使得世界各国纷纷出台相应法律、行为准则和规范办法来推动本国电子商务安全、健康的发展，旨在抓住信息技术的机遇,提高自身竞争力，从而会的优势,同时也减少电子商务的交易纠纷、欺诈行为，保障了交易的安全性,为电子商务在全球范围内的发展扫平障碍。

4.1当前电子商务安全法律、制度尚不完善

电子商务因其基础网络这个开放又隐蔽的环境，而显得比较特殊，其商贸交易行为需要有专门的法律来规范和秩序的维持，目前我国已经相继出台了部分法律法规、行为准则，设立了相应的部门来规范、监管和保证电子商务的安全。但与国际电子商务立法现状和国内电子商务现实状况相比，显得比较尴尬。我国电子商务安全法律体系仍然存在较多空白，强针对性的立法需要加快，先行法规则亟需进一步改进和完善。电子商务安全法律的不足之处有：电子交易流程行为规范、用户隐私保护、法律效力不足，法律滞后，情况描述不清，没有有效惩戒措施，难以对电子商务中的失信者和破坏者造成较强的约束力。因此强快电子商务安全法律立法和改进已经迫在眉睫。

4.2现有电子商务安全法律

现行电子商务安全法律，具有较强针对性质的较少，大多分散各类法规之中，或是零星提及电子交易安全问题，目前电子商务交易安全的法律法规主要有以下四类：

（1）综合性的法律。如：《民法通则》和《刑法》中有关对商贸交易的安全保障条文。

（2）对交易主体进行规范的相关法律。如《公司法》、《国有企业法》、《集体企业法》、《私营企业法》、《外资企业法》等；

（3）规范交易行为的有关法律，包括经济合同法、产品质量法、价格法、消费者权益保障法，反不正当竞争法等等

（4）对监督交易行为进行规范的法律，如会计法、票据法、银行法等。

国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》是两个对电子商务具有重大影响的行政法规。

另外《中华人民共和国电子签名法》的颁布也具有重要意义。该法赋予电子签名与手写签名或盖章具有同等的法律效力，明确了电子认证服务的市场准入制度，标志着我国的信息化立法迈出重要步伐。

4.3电子商务安全立法困难的原因

电子商务发展壮大为商贸交易带来极大便捷和迅速优越性，成为了经济的强劲增长点，为全球经济的发展营造了良好的氛围,与此同时，因为其特点，也对社会各个领域特别是立法带来了困难和压力。

首先电子商务的立法，需要考虑国家和地区之间的差异，协调困难。电子商务基于网络，而网络却已经全球联通、跨越了地域的界限。它所面对的不只是一个地区、一个国家的市场,而是全球一体化的大市场。各国由于社会制度、政治状况、经济发展程度等不同而导致了现行法律法规的不同，要制定可以有效协调、高度一体化的商业和法律规则,谈何容易。

其次是电子商务交易处理、传输的实质就是对信号脉冲的传输和对数字流的处理,这种虚拟的平台上，双方的不曾谋面，使得信息资源对商家的商业信用提出了更高的要求。在信息得到广泛传播的同时,由于互联网既开放又隐蔽的特性使得信息的真伪有待验证，恶意的攻击、恶意的失信难以发现，即使发现也难以揪出终端背后的那个失信或破坏者，有法难断或者有法却找不到应受惩罚的人，而且对于包括制作版权、著作权、商标使用权、数据库等在内的知识产权保护也成为无法回避的问题。电子商务横跨领域之广、利益关联群体之多，和其有别于传统商务模式的无形化给税收体制及税收管理模式也带来了巨大的挑战。

再次,电子信息领域，技术日新月异，电子商务领域的技术进步速度已经超国家适时地调整其法律框架的能力。法律的变革无法做到像电子技术更新一样的快,也由于新的意想不到的问题的不断出现，使得适时的法律调整总跟不上电子商务高速发展的步伐。这是需要我们对于现行法律框架从根本上进行反思，困难而想而知。

5电子商务安全立法的对策研究

5.1电子商务安全需求分析

5.1.1主要内容

电子商务是网上公开直接虚拟交易的商务模式，它直接通过网络进行交易、支付、谈判、下单等，在这个过程中蕴藏了大量的商务信息，所以，电子商务的安全问题引起了网民、企业、行业、国家的广泛观众。根据电子商务的交易模式以及重要性分析，电子商务的安全需求主要包括以下几个方面：

1、信息的完整性；

2、信息的保密性；

3、信息的不可否认性；

4、交易双方的真实身份信息；

5、系统的可靠性；

6、资金的安全性。

5.1.2涉及领域

通过吸收国外成功的经验，结合我国自身电子商务发展特色以及社会主义国情特色，我国电子商务安全性的立法主要涉及以下几大方面：

1、保护消费者的合法权益；

2、交易双方的个人真实信息；

3、保密和信息的合法性访问；

4、数字签名以及第三方认证；

5、计算机犯罪和侵犯问题的有效控制。

5.2电子商务安全立法定位与模式

电子商务的安全法律保障问题，从其整体情况来看，主要表现为两大层次：第一，电子商务首先表现的是商品交易模式，它的安全需要通过民商法来进行规范保护；第二，电子商务是通过计算机及网络技术实现的，它的安全很大程度上依赖于计算机及网络的自身安全程度，这需要网络的安全管理法律来加以约束和保护。从第一点的角度来看，电子商务安全法律隶属于商法的范围。

因此，在立法过程中，重点还是需要从商法的角度，结合其依托计算机网络技术的特色，从全面化的角度出发，制定出高效规范的电子商务安全法律。

从电子商务安全立法的模式角度出发，电子商务的安全法律主要有以下两种选择：第一，在电子商务交易活动的法律中加入电子商务安全性法律内容；第二，另外指定电子商务安全单行法。这两种模式都有各自的优点和缺点，前者的立法成本低但是保护力度不够强，后者的立法程序复杂，所需资源多，但是保护力度大。在实际操作中，到底选择哪种模式，也是当下法律界正在研究分析的重点问题。本文提出的建议是分为两步走：先采用第一种模式，等条件成熟后而且又加强的需要，再进行第二种模式的立法。这样不仅可以快速成立相关法律体系，同时也可有效解决资源浪费的问题。

5.3我国电子商务安全性立法的对策分析

5.3.1健全电子商务法律，注重法律的滞后性

健全的电子商务立法体系不仅要包括有网络服务和网络管理的法律制度，同时还需要电子商务主体的立法和市场管理制度，以及电子商务交易支付的法律制度、网上商务行为制度、电子税法制度、客户个人隐私权保护法。只有建立系统性的法律制度，才能真正发挥电子商务安全法的作用。

在加强电子商务安全法建设的同时，同时也应该注重法律的滞后性带来的法律效力减弱。法律的滞后性首先表现为法律立法的程序，这是个严格的过程，需要问题显现的非常明白，并对该问题进行有充分的调研数据后，才可能形成立法的基本条件和背景，这个过程是繁琐的，是复杂的，是需要长时间的。另外，法律要建立起威信，必须较长的时间，在这段长时间里，网络的发展是非常快的，会发生不同程度内容的问题，而且这些问题会经常超过法律设定的范围，这些问题在客观上都表现为电子商务法律的滞后性，使得法律无法体现超前性，大大降低了法律的约束作用。

5.3.2加强立法部门对于电子商务的学习了解

立法部门在实际的工作经验中，可能只是了解法律相关体系知识，对于电子商务交易模式、支付模式等相关内容可能存在误解或者不了解的情况，这容易导致立法部门在立法的过程中，过于偏向法律的可行性，而忽略了电子商务法律的可行性。所以，加强立法部门对于电子商务的学习了解，使其真正深入了解电子商务整体运营过程以及涉及内容、存在的漏洞、需要加强的节点以及关联的群体等内容，从根本上制定高效可行规范的电子商务安全法律，从而降低因误解带来的时间拖延、资源耗费等其他损失。

另外，加强立法部门对于电子商务的学习了解的同时，应加强立法部门工作人员对于电子商务立法的重视度，从思想上加强工作人员对于电子商务安全立法的注重，从而加快电子商务安全立法的实施进度。

5.2.3系统化完善，架构法律体系

我国电子商务的飞速发展，对电子商务中的安全问题提出了更高的要求。在建立我国电子商务安全法律时，应多加考虑它与其他法律之间的关联度，从而架构其整体法律体系，进一步完善安全法律的有效性。具体内容如下：

1、在中国民法基本法原有的基础上，增加交易安全的理念和内容；

2、在计算机与网络安全管理的立法上，应针对电子商务在网络虚拟环境下运行的特点，加强电子商务交易安全保护的法律措施。

3、在商事单行法的立法上，可以适当突破现有民法的一些制度，基于商法的特殊性及独立性，满足电子商务较高的安全保护需求。

4、在法律解释上，全面清理我国最高人民法院作出的司法解释，剔除掉不利于电子商务安全的言论，对电子商务的安全问题进行重新正确的认识和解释。

5.2.4配套奖惩措施，提高安全法律威信度

奖惩措施是任何制度得以有效实施的保障制度，这里的奖惩措施具有两个重要的含义：

第一，是对电子商务安全制度在实施过程出现的良性事件和恶性事件进行适当的奖励和惩罚，或是进行高度的奖励和惩罚，从而在加强良性循环的同时，对制度实施过程中的恶性事件作出严厉的惩罚，起到杀一儆百的作用，从而有效提高电子商务安全立法的实施力度和效果。

第二，是对进行非法盗取电子商务信息或是破坏电子商务交易的不法分子进行严厉的法律制裁，以及对保护电子商务安全的良好事迹进行表扬。我国目前针对盗取电子商务信息或是破坏电子商务交易的不法分子还未建立有效的不法分子，才会使得这些不法分子妄想钻空子、踩地雷，这也是导致我国电子商务安全出现问题的一大关键因素。因此，建立电子商务奖惩措施，有利于提高对不法分子的控制以及提高人民对电子商务安全的保护意识。

5.2.5借鉴国外成功经验，结合自身特色国情

电子商务是全球性的电子商务，它是无国界、无种族之分的。所以，我国在建立电子商务安全法律时，可立足于国际立法的趋同性取向，借鉴国外成功的电子商务安全法律制度经验，并且结合我国的自身特色国情。中国的电子商务安全法律，只有争取与国际立法接轨，才能参与全球性的经济竞争。例如，新加坡在制定《电子&交易法案》时几乎全部采用了《电子商务示范法》的相关内容，同时根据《电子商务示范法》的总体精神以及自身国情，增加了部分内容。所以，我国在制定电子商务安全法律时，应尽量吸收国外原有的成果，再结合我国的特色国情，在降低立法成本、节省立法时间的同时，也提高电子商务安全法律的高效性和实用性。

6总结和展望

电子商务的安全问题是关系到电子商务能否继续发展的关键因素。随着我国计算机网络科学的逐步发展，某些非法分子对于电子商务安全模式已经越来越熟悉，如果电子商务再不加强安全防范以及法律法规的严加约束，电子商务的安全将成为我国经济法律的一大问题，这对我国经济、网民、电子商务企业来说都是非常不利的。因此，尽快建立我国的电子商务安全立法，建立有效可行的电子商务安全法律法规，从国家政治制度角度出发，为我国的电子商务发展进行强而有力的安全管束，以促进我国电子商务行业稳步健康的发展。随着我国电子商务的飞速发展，已经在我国人民生活中扮演的越来越重要的角色，电子商务的安全立法问题已经成为我国法政界、金融界和学术界共同关注的热点问题，因此，研究我国电子商务安全立法工作，建立科学高效的电子商务安全法律，为我国的电子商务的稳步健康发展奠定良好的基础，具有非常重要的理论意义和实践意义。

本文研究的主要贡献在于：探讨了我国电子商务安全现状以及立法存在的问题与对策。本研究以电子商务基本概念和特色为理论基础，通过对我国电子商务的安全现状进行分析，从而形成本研究的整体背景，接着分析我国安全立法的现状以及存在的问题，最后结合自身所学知识，提出改善我国电子商务安全法律的对策，希望对电子商务安全立法工作的开展能提供一些帮助。但是由于水平的限制以及实际经验的不足，加上我国目前电子商务法律问题整体上处于不成熟与多样化的阶段，使得本文在研究过程中遇到一些困难，加上文字功底不够等等，影响到了研究的效果，使得论文尚有以下不足之处：

1、研究过程中，对于我国电子商务安全现状只选取了几个主要的现状进行描述，考虑到本研究报告的篇幅问题，并没有对全部的现状进行描述。

篇7

Abstract: Although the electronic archives in our country has not fresh things, archives workers to have more in-depth research, its characteristics are discussed, but the majority of Chinese organizations in the security management of electronic archives, archives still adopt traditional protection method, its main goal to protect electronic archives of physicochemical properties, as long as the protective carrier nondestructive would protect information integrity, so regardless of its object of protection, technical method or guiding ideology has simple obvious. Through the analysis of China adopts the archival measures, safety management measures of traditional mainly there are five limitations: blindness, non-systematic, low efficiency, passivity and lack of system. The existing limitation and can not guarantee that the electronic archives led the information technology security.

Keywords: influence of electronic archives; safety management; factors

中国分类号：TK-9 文献标识码：A 文章标号：2095-2104（2012）03-0001-02

第一章 与安全管理相关的其他概念

电子档案安全管理是新时期档案工作的重要任务。保管和保护好电子文件必须从两个方面着手：一方面，要从电子档案管理物理载体出发，着重保护电子档案的原始性；另一方面，要在电子档案管理的手段上狠下功夫，力促电子档案的真实性。本论文就是对电子档案如何能够安全管理，发表个人看法。1、背景信息，指描述生成电子文件的职能活动、电子文件的作用、办理过程、结果、上下文关系以及对其产生影响的历史环境等信息。2、逻辑归档，指在计算机网络上进行，不改变原存储方式和位置而实现的将电子文件的管理权限向档案部门移交的过程。3、物理归档，指把电子文件集中下载到可脱机保存的载体上，向档案部门移交的过程。

第二章 影响电子档案安全的因素分析

信息技术就是一柄双刃剑，在给用户带来方便的同时，也给电子档案的安全带来更多的威胁。影响电子档案信息安全的因素很多，归纳为四大类：自然因素、环境因素、人为因素和技术因素。

2.1自然因素

影响电子档案安全的自然因素主要指各种自然灾害，如雷电、水灾、火灾、台风、地震等，这些自然灾害的发生会直接威胁到共享系统中的电子档案安全。

2.2环境因素

电子档案信息的产生、存取、传播和利用等离不开计算机及网络环境，这对电子档案所依存的系统环境和网络环境的要求是非常高的，如果电子档案管理系统和网站的环境不符合要求(电源质量差，温湿度不适应，无抗静电、抗磁场干扰和无防尘、防火、防水、防雷电、防漏电、防盗窃的设施和措施等)就会影响电子档案信息的安全。

2.3人为因素

人为因素又可以分为三类：第一类是蓄意破坏。蓄意破坏是故意破坏电子档案的内容及其所依赖的载体、系统和网络环境等，以获得某种利益及达到某种目的。第二类是管理疏忽。管理疏忽包括管理人员的安全意识、保密意识、责任心不强，没有建立起相应的信息安全法律法规、标准制度等。管理疏忽是造成事故发生的最大隐患。第三类是不当操作。电子档案载体本身随着使用次数的增加，其结构性能会有一定程度的降低。

2.4技术因素

在影响电子档案信息安全的非人为因素中，技术因素不可忽视。信息技术、计算机网络技术在工作中的广泛应用，给电子档案的安全带来深刻的影响，一方面上述技术是电子档案产生的前提，为电子档案信息的管理和利用带来极大的便捷；另一方面，这些技术本身并不是十全十美，也有局限性、漏洞和缺陷，这些都为电子档案信息增加了被窃取、盗用、非法增删及破坏等方面的安全隐患。

第三章 电子档案安全管理措施

3.1载体安全保护

第一保证电子档案载体的制成材料质量过关。硬件、软件、磁盘、光盘、输入输出设备、信道信宿、其他反馈系统等都是电子档案生成、存储、传输和提供利用全过程的基础。电子档案制成材料主要有电子档案的载体用料和记录用料及相关设备用料。第二保证电子档案载体物理上的安全。这是使其能够通过电子计算机的软硬件平台，完整、准确并以人们可以理解的形式输出的前提。

3.2电子档案传统安全管理措施的局限性

电子档案传统的安全管理措施主要存在着以下五种局限性：盲目性、非系统性、低效率性、被动性和缺乏制度性。

3.2.1盲目性

作为电子档案的最终管理者，档案部门对于电子档案所处的风险没有进行更深刻的探究，没有从更深层次上发现风险发生的原因。最终在风险来临之时，不能有效地控制风险。

3.2.2非系统性

电子档案的风险往往并不是单一因素所造成的，除了内部因素外，还有外部因素。内部因素和外部因素两者相加，大大加剧了电子档案所遭遇风险的强度，而传统的电子档案保护措施，往往采取的是单一的防护措施，对于电子档案的保护会出现“头痛医头，脚痛医脚”的现象，最终还是不能避免电子档案风险的发生。

3.2.3低效率性

传统保护措施的低效效率性主要体现在对于电子档案的保护成本过高，而对于电子档案风险的防范并不能取得相应的效果，这之间不能形成一种正比关系，从而造成人力、物力、财力上的巨大浪费。

3.2.4被动性

对于可能发生的风险，由于档案工作者自身信息技术方面知识的欠缺，对信息技术发展了解不足，而维护网络设备和相关系统的技术人员又往往对电子档案的知识掌握不足，两者之间这种信息鸿沟，使电子档案在风险发生之前往往不能采取有效的措施加以预防，只待风险成为现实之后，才采取相应的措施进行补救。

3.2.5缺乏制度性

电子档案的传统保护措施缺乏制度性主要体现在两个方面，一方面电子档案的安全管理在实施过程中缺乏制度和标准的保障，在实施过程中没有具体的操作程序可以执行，档案工作者在操作过程中，存在很大的随意性，在此期间，再次发生风险的可能性增加，风险的叠加，会给电子档案带来更大的危害。另一方面国家对于电子档案安全管理缺乏相应的法律法规进行规范。以往的相关法规一般都集中在信息安全方面，但是电子档案的安全管理有其特殊性，国家在此方面的关注度不足。

第四章结束语

本文的研究最终目的就在于为档案工作者提供一种新管理思路，提高档案管理者的风险意识，提高电子档案的管理水平。在电子档案管理过程中，管理者和管理部门必须要认识到电子文件风险的客观性、不确定性、危害性，做好风险防范和应对工作，否则，如果对潜在风险的忽视，定会导致灾难性后果，形成可怕的“记忆黑洞”、“历史空白”。

电子档案管理是我们现实工作中的重中之重的关键环节，只有认真做好这项工作，我们的各项工作才有保障，我们要防患于未然，重视细小的问题，重视防范，哪怕是拔掉插头，用铁锤击碎，文件与数据也不会有任何影响。

参考文献

篇8

网络银行是利用网络技术在网上开展银行业务,为客户提供各种金融产品和服务的金融机构。在一般情况下,客户在通过网络银行实现其所需要的服务时可以不受时间、地点的限制。目前,网络银行有两种模式,即纯网络银行(internet-onlybank)和在线银行(onlinebank)。纯网络银行,又称虚拟银行,这种银行一般只设一个办公地址,没有分支机构和营业网点,主要或仅通过网络提供各种金融产品和服务。在线银行是现有传统银行利用网络提供网上服务的网络银行,是传统银行业务与网络信息技术结合的产物。中国大陆的网络银行主要是这种模式的银行。网络银行业务具有交易虚拟性、跨国性、技术依赖性、经营混业性等特征。由于网络银行业务的这些特征,致使网络银行业务风险较传统银行业务风险发生机率更高、范围更广、破坏性更严重。当前,中国虽然在网络银行监管方面制定了一些法律法规,然而,网络银行安全法规不够完善、网络银行交易管辖权难以确定、传统银行分业监管与网络银行混业经营之间存在冲突、网络银行内部监管规定不够明确,这些问题严重地阻碍了网络银行业的发展。因此,尽快完善中国大陆网络银行法律制度,防范网络银行业务风险,已经成为中国开展网络银行业务的当务之急。

一、中国大陆网络银行监管的立法

建立健全网络银行监管的法律制度是网络银行业健康发展的重要基础和法律保障。1999年11月,中国人民银行(当时的银行业监管机构)正式批准招商银行开展网络银行业务。招商银行成为中国金融监管部门首次正式批准开展网络银行服务的国内商业银行[1](P223)。但当时中国大陆尚无调整网络银行的明确法律法规依据。2001年,中国人民银行《网络银行业务管理暂行办法》(以下简称《管理暂行办法》);2002年,又了《中国人民银行关于落实〈网络银行业务管理暂行办法〉有关规定的通知》(以下简称《通知》)。这些规定为中国网络银行业务监管提供了法律法规依据。《暂行办法》规定了网络银行业务的定义、市场准入的条件和程序、网络银行业务风险管理规则以及银行的法律责任。同时,还规定外国或中国港、澳、台地区的银行可以向大陆居民提供网络银行业务,大陆境内的网络银行也可以向境外居民提供网络银行业务等。《通知》进一步明确了审查、开办网络银行业务的条件、程序和对网络银行业务监管的有关内容。随着网络银行业务的发展,2005年,中国银监会颁布了《电子银行业务管理办法》,该办法在借鉴国际立法,主要是巴塞尔体制先进经验的基础上,对上述法规所规定的内容进行了扩充和具体化。目前,中国网络银行业务监管的法规主要有两类:(1)仍可适用于网络银行的传统银行业务监管法律中的有关规定,如《中国人民银行法(修正案)》、《商业银行法(修正案)》、《银行业监督管理法》、《外资金融机构管理条例》等中的规定;(2)对网络业务监管的专门规定,如《暂行办法》及《通知》、《电子签名法》、《电子银行业务管理办法》、《电子银行安全评估指引》等。这些有关法规为中国大陆开办和监管网络银行业务提供了基本的法律法规依据。然而,从中国现行网络银行监管法规规定来看,由于它仍然沿用对传统银行的分业监管模式,而且尚存在许多立法空白和不合理之处,故难以适应中国网络银行业快速发展的需要。

二、目前中国大陆网络银行法规存在的问题

(一)对确保网络银行安全的法律规定不够完善

近年来,中国大陆网络银行的数量和规模以及网络银行业务的交易量都取得了很大的发展,但也存在着诸多的问题,其中最迫切需要解决的问题就是网络银行交易安全问题,这也是在完善网络银行监管法规时首先需要解决好的问题。完善网络银行监管法规其主要任务就是要完善防范网络银行业出现风险的法规。目前,中国大陆网络银行在两个方面易出现风险:一个是网络银行系统自身易出现风险;另一个是网络银行与客户资金等易遭受风险。网络银行系统的风险主要有网络中的关键设备,如各类计算机、网络通信设备、存放数据的媒体和传输线路等易遭受侵害。这些设备中的任何环节一旦出现问题都会给整个网络造成严重恶果。此外,网络银行系统中的漏洞和计算机病毒的传播也对网络银行的正常运营构成了极大威胁。网络银行和客户的资金风险主要来自网络银行窃贼窃取银行和客户的秘密,利用网络银行诈骗钱财以及网络银行内部工作人员对银行和客户权益的侵害。上述大都属于高技术性能的安全隐患,这就要求安全隐患的防治者和监管者必须具有高超的网络技术。然而,目前中国大陆监管者的技术水平及其责任心都未能适应防范网络银行业务风险、确保网络银行安全的要求,而对如何解决这些问题,在立法规定上仍不够完善。

(二)网络银行交易管辖权难以确定

管辖权是一国法院或具有审判权的其他司法机关受理、审判具有国际因素案件的权限。这种管辖权是审理有关案件的前提条件,它直接影响着案件的判决结果和当事人的合法权益。然而,如何确定网络银行交易的管辖权具有复杂性。网络空间本身无任何边界,是一个全球性的网络系统,无法分割成诸多领域。要在一种性质不同的空间中划定界限,这是传统银行交易管辖权规则所面临的困境。网络银行业务与传统银行业务的主要区别就在于,它在与客户交易中的地理空间位置的界限被淡化。由于网络银行的交易活动往往跨越了地区和国界的限制,它的无地域性、无国界性与国家对银行监管的性之间的冲突日益显现。在这种状况下,如何确定网络银行交易的管辖权?如何确定网络银行交易的合法性?这些问题都关系着网络银行交易的安全、效率和发展。目前,由于这一问题在中国大陆的相关立法、理论与实践中尚未得到解决,因此,很有必要对寻求解决该问题的途径进行全面深入的探讨。

(三)网络银行混业经营与传统银行分业监管之间存在冲突

依照当代中国金融管理法规规定,中国大陆金融业采取“分业经营,分业监管”。然而,一方面,近年来,中国出现了大量的金融控股公司,银证合作与银保合作的模式也不断得到发展,这种混业经营的现实与分业监管法制之间的矛盾日益显现;另一方面,中国网络银行业取得了很大发展,网络银行不仅经营传统的银行业务,而且还提供信息咨询、投资理财和综合经营等业务。本论文由整理提供网络银行的经营模式正是混业经营模式,网络银行的“全能经营,统一监管”模式与传统的“分业经营,分业监管”模式之间的冲突日益严重。随着当代国际金融业的创新与发展,各类金融业务之间、各类金融机构之间和各类金融业监管之间的界限逐渐淡化,很多金融业务之间出现了相互渗透的势头,尤其是银行、证券、保险业出现了混业经营的状况与发展趋势。事实上,中国大陆传统的相对滞后的监管手段、监管工具以及分业监管体制已经难以适应中国现已存在的混业经营状况和国际金融业混业经营、统一监管的发展趋势。

(四)网络银行内部监管规定不够明确

网络银行的董事会和高级管理人员对网络银行的监管具有重要作用。网络银行具有标准化运营的特点,银行系统一般都使用同一套网络银行的操作系统,如果网络银行的发展战略、风险控制策略、内部控制程序等得不到合理地制定,将会给网络银行带来巨大风险损失。此外,银行内部工作人员利用工作之便进入银行系统,对网络银行及其客户都有可能造成威胁。在已破获的网络银行犯罪案件中,涉及银行内部工作人员作案的比例高达75%。其中,内部授权人员占到58%。他们往往利用授权删除、修改、增加网络银行中的数据,转移、盗取某些账户的资金[2](P40)。这些网络银行内部工作人员的行为严重侵害了客户的利益和银行的信誉与利益。然而,中国大陆现有的相关法规却缺乏对网络银行内部工作人员监管的明确完整的法律规定。为此,相关立法应增加对监管者再监管的规定,尽快完善中国网络银行内部监管的法律法规。

三、对改善中国网络银行法律制度的分析

(一)建立网络银行安全法律保障体系

安全问题是网络银行运营和发展中最关键的问题。建立网络银行安全法律保障体系是一个极为复杂的系统工程,它需要通过制定规范相关技术与人员的法律法规来实现。(1)中国应制定相关的技术应用法律规范,确保网络银行运营的安全,即系统安全与信息安全。网络环境是一个技术支撑的特殊环境,必须依法规范网络技术安全标准并确保安全技术标准的有效实施。一是要充分利用操作系统的安全管理能力和多种安全管理机制,增强网络银行的安全性。二是要制定相关法律规范,确保不断改进防范计算机病毒技术和防火墙技术,时时监测运行过程,检查是否有对网络银行构成安全威胁的漏洞,及时发现、消除可能出现的潜在危险。三是国务院有关部门应当制定完整的网络银行业务审批和监管规范,明确网络银行业务操作规则与风险责任的划分,健全安全认证制度。为此,应建立全国统一的网络银行安全认证中心,增强网络系统中关键技术和关键设备的风险防范能力,建立健全备份系统,以确保在出现故障后网络银行系统能及时得到恢复。(2)进一步健全网络银行内部工作人员安全管理法律制度,依法保障网络银行内部管理人员和工程技术人员的基本素质与技术水平,严格规范金融从业人员防范风险的义务。

(二)暂依信息收到地来确定网络银行交易管辖权

网络银行交易的管辖权是一国法院或具有审判权的其他司法机关受理、审判具有国际因素的网络银行交易案件的资格,是有关法院审理此类案件的前提。在网络环境中,以网络传输交付电子信息,是网络银行交易的特有方式。由于网络的全球性,当事人可以在全球的任何一个地方传送给另一方所需要的信息并与其进行交易。网络银行的交易往往与交易所处的地理空间位置没有实质的联系。然而,按照国际私法理论,在依据连接点确定网络交易管辖权问题上,有些中国学者认为中国暂且可依属地管辖原则来确定管辖权,并认为在网络交易中,如果依信息传送地国(由接收者为信息的传送而提供的地理处所所在国)管辖或信息收到地国(接收者营业处所或下载信息地点所在国)管辖,由于当事人随机的选择性很大,交易双方的当事人未必相互清楚对方所在的位置和其真正身份。而且网络信息产品的接收者无义务向对方提供其接收信息的地理处所。即使提供,接收者随意提供的某一地理处所很可能与交易无实质联系。因此,以信息传送地或信息收到地来确认管辖权都不甚合理。但从中国国家利益考虑,当前中国通过网络获取的信息量较大,而输出的信息量相对较小,以信息收到地管辖相对较为合理,信息收到地管辖实际上偏向于中国法院的管辖[3](P303)。由此可见,如果我们依信息收到地来确认管辖权具有一定合理性。然而,依信息收到地确认网络银行交易的管辖权是否符合国际社会对该问题的总体把握呢?对此,有必要作进一步深入探讨。

在协调各国和地区有关确定网络交易管辖权问题上,海牙国际私法会议起了重要作用。1997年,各国专家学者在海牙国际私法会议上达成了五项共识:(1)网络的本质是跨国性的;(2)网络中也许真正存在的是法律过剩,而并非法律真空,这就有必要重新定义国际私法规则;(3)当虚拟空间与现实空间存在某种联系时,确定在线活动的位置是可能的;(4)在私人利益与公共利益的平衡被打破、政府的角色并非不可替代以前,网络空间的自治规则可能更受当事人的欢迎和喜爱;(5)各国应该合作制定国际性普遍接受的规则,而非单独行事[4](P179)。应该看到,上述五项共识具有重要意义,它为各国和地区解决网络环境下管辖权的适用原则指明了方向。从当代世界各国和地区确定管辖权的理论与实践来看,各国和地区在确定管辖权时不仅要考虑本国和地区的利益,还要考虑相关国家和地区的利益,乃至国际社会的整体利益。尽管一国或地区有权对发生在外国而在本国或地区产生损害的行为行使管辖权,但是如果因此而损害了国际公认的行为准则或有损于网络银行的发展,其管辖权的合法性就会存在问题[5](P80)。我们还应该看到,在当代国际社会,依信息收到地来确定网络银行交易管辖权,尽管在一定程度上不符合信息输出量大的国家或地区的利益,但也不被有关确定网络银行管辖权的国际立法所禁止。因此,当前在国际社会尚未就确定网络银行交易管辖权达成共识的情况下,依信息收到地确定网络银行交易管辖权不失为解决问题的一种方法。

(三)建立适宜网络银行交易的统一的金融监管法津制度>第一,建立和完善网络银行法律制度要牢牢把握网络银行的网络性。由于网络银行组织及其活动呈现网络性,其生存与发展空间处于世界性网络之中。这就要求在制定中国网络银行监管法规时,必须基于网络银行的网络性,设计网络银行监管的对象和范围、监管的组织形式、监管方式、监管权限范围与责任的划分等等。第二,要确立混业监管、多元监管体制。由于网络银行的无国界性等特征,网络银行监管主体呈现出多元化和国际化特征。这种监管主体既有本国或地区的监管主体,又有外国的监管主体,还有国际性的监管主体。基于网络银行的混业性监管与国际性监管的特征,在制定中国网络银行监管法规时应当采用混业监管的模式。从金融监管法理论来看,对金融活动的有效监管应当实行混业监管,即由各相关监管部门依照统一的、权威的金融监管法规开展有机、协调的监管。目前,中国大陆金融业混业经营,网络银行、外资银行的金融业务相互渗透,致使中国银监会与其他监管机构,或者对商业银行监管重复,或者监管空缺。因此,有必要重新整合银监会、证监会、保监会,组建统一的金融监管部门,对中国金融业集中统一监管。同时,还要注意开展中国与相关国家和国际组织在对网络银行监管中的协调与合作。第三,应当确立全面完整的监管方式。也就是要确立全方位、全过程、多种手段的监管方式。根据当前中国网络银行监管的技术水平和能力,应对与中国相关的网络银行业务开展全方位、不间断的监管,综合运用技术、法律、经济等手段监管,只有这样才能将网络银行的风险降至最低,有效地促进和保障中国大陆网络银行业的健康发展。超级秘书网

(四)细化网络银行内部监管法规

第一,网络银行内部监管法规对规范银行内部工作人员,及时发现银行的薄弱点,查找可能出现的问题,评估、分析、化解风险,或将风险降到最低程度具有重要作用。因此,应当通过建立法律制度确保中国网络银行内部工作人员具备监管的必要技能,建立银行监管业务知识资格考试和职业评价等制度。内部监管工作人员要具备较强的综合分析能力,能运用新方法、新技术对银行的经营状况进行研究。第二,立法应明确规定中国网络银行内部监管者所必须具备的品德素质。由于少数网络银行内部工作人员利用工作之便进入银行系统作案,给网络银行的经营造成了严重的威胁。因此,银行内部工作人员须应能够及时制止并纠正银行营业中出现的违法行为。第三,应当明确划分内部监管人员的职责,规定对内部监管人员实行垂直领导。为了避免内部监管人员,应当设立专门监管机构对内部监管人员进行法律监督。

[参考文献]

[1]余素梅.港电子银行监管规则的最新发展及其启示[J].球法律评论,2006(2).

篇9

通过不断地教学研究和实践，我们基本认识了信息安全的学科特点和知识结构，提出了如下观点：

(1)信息安全具有多学科交叉的特点。信息安全是计算机、通信、电子、数学、物理、生物、法律、管理、教育等多学科的交叉学科。

(2)信息安全技术具有整体性和底层性的特点。必须从整体上采取措施，从软硬件底层采取措施，才能比较有效地解决信息安全问题。

(3)确保信息安全是一种系统工程。硬件结构安全和操作系统安全是信息系统安全的基础，密码、网络安全等是关键技术，必须综合采取各种措施才能奏效。

同时基本认识了信息安全专业人才培养的基本规律：

(1)信息安全人才的基本特征是：掌握信息安全的基本理论和基本技能。

(2)必须同时重视信息科学技术的基础和信息安全的专业知识与技能。

(3)要高度重视实践教学。必须有足够的实践教学，做好实验室的基本设施建设，建立校外实习基地，加强实习基地建设。

虽然信息安全专业的建设取得了一定成绩，但仍存在如下三个方面的问题：一是现有的教学培养模式注重基础理论的学习，专业必修课与计算机科学与技术专业重叠太多，未能很好地体现信息安全专业以学信息安全理论与技术为主，兼学通信，同时加强数学、物理、法律等基础，掌握信息安全的基本理论和技能的办学思路。二是对学生的培养模式统一，没能根据学生自身的特点进行培养，不能实现既培养了计算机及通信人才又培养信息安全专业技术人才的目标，没能很好地起到分层次和分类别培养的效果。三是原有培养方案中的实验课程大多数是课间实验，实验时间分散，多以验证型实验为主，学生参加课外科研和实践的机制不健全，对实验指导的重视程度不够，不利于学生专业创新与创造能力的培养。

2信息安全人才培养模式改革与创新基本思路

在综合考虑上述因素的前提下，结合信息安全专业人才培养的现状，我们对人才培养目标进行了重新定位，改进和完善了现有专业人才培养方案，进行了培养过程和途径的创新，并对教学和实践教学环节及内容进行了改进。

2.1专业培养目标的重新定位

在认识了信息安全学科的特点、知识结构和人才培养基本规律的基础上，我们对专业培养目标进行了重新定位。进一步明确了信息安全专业旨在培养能够从事计算机、通信、电子信息、电子商务技术、电子金融、电子政务、军事等领域的信息安全研究、应用、开发、管理等方面的高级技术人才。同时强调加强通识教育和实践教学，重基础、重发展、重能力、重创造，兼顾计算机学院学生必须的通识基础、数学基础、通信基础、计算机软硬件基础、信息安全基础之间的合理比重。

培养的学生应以学习计算机科学和信息安全理论与技术为基础，兼学通信技术，同时加强数学、物理、法律和管理基础。要求学生在信息安全理论基础和实际能力两个方面都得到培养提高：能阅读本专业的外文资料。学生毕业后可从事信息安全领域的研究、应用、开发和管理等方面的工作。培养目标进一步分层次，按学生特点及去向分为研究型和应用型两大类，区别培养，体现了人才培养的多样化。

2.2改进和完善现有的专业人才培养方案

信息安全专业2001年成立以来，我们制订出一套信息安全本科专业课程系统和教学计划，并在全国开设信息安全本科专业的大学中推广。为更好地提高人才培养质量，加强学生的理论水平与实际动手能力，我们先后进行了三次培养方案的修订。

在改进的培养方案中，课程教学方案贯彻了“少而精”的原则，强化基础知识、应用能力这两极课程，减少、弱化了二者之间课程的分量；尽力合并传统内容，增设新的、与当今信息安全技术发展同步的课程或内容；调整了专业必修课和选修课课程，将原培养方案中的专业选修课(“计算机病毒”、“信息隐藏技术”、“智能卡技术”)改为专业必修课；更加重视学生实践动手能力的培养，努力建立学生自主创新学习为主导的学习机制，实现创新精神和能力的培养。

课程体系体现多学科交叉：开设“信息安全数学基础”、“信息安全法律法规”、“通信原理”、“现代通信”等课程。

体现硬件系统的基础作用：除了常规硬件类课程外，加开“大规模集成电路”、“智能卡技术”、“电磁防护与物理安全”、“嵌入式系统”等课程。

体现操作系统的基础作用：除了“操作系统原理”，加开“Windows原理与应用”、“Linux原理与应用”，形成操作系统课程组。

体现密码与网络安全的关键作用：开设“密码学”与“网络安全”、“计算机病毒”、“网络管理”、“网络程序设计”等课程。

第四年的实习实践教学内容配备了相应的实习管理制度和考核指标。要求学生在大学第二年成立专业学习兴趣小组，制定了兴趣小组的管理规定，为第四年实习实践环节奠定良好的基础。为了让学生明确信息安全专业课程学习的顺序关系，了解各专业课程之间的相互联系，尽早树立专业学习目标，还添加了信息安全专业课程关系图，进一步完善了信息安全专业人才培养方案。

通过人才培养方案的改进和完善，达到了人才培养模式创新的目的，变不适应为适应，变不协调为协调，使我们培养的信息安全人才更加适应社会需要，符合中国国情，体现武汉大学“三创”复合型人才培养的特色。

2.3培养过程和途径的创新思路

新的人才培养模式中，信息安全本科培养按“3+1”模式设置教学计划，即前三年在学校修满所有学分，完成全部课程学习，第四年按学生特点及去向分类安排不同的学习项目，完成培养方案中的实践教学环节。推荐免试攻读硕士学位的学生直接进入到导师的课题组，提前开始研究生阶段的学习和研发工作；对准备就业的学生安排到用人单位或实习基地实习，并要求其在实习基地实习6个月以上，完成毕业论文；未推免并要求留在学校实习的学生安排在学院实验室，按兴趣分组，由专门的老师指导完成所分配的研究或开发项目。

新的培养方案已于2007年全面实施，“3+1”培养模式大大提高了毕业论文的质量，2003级信息安全专业毕业论文的优秀率达到了14％。

2.4进一步加强实践教学

学院高度重视学生实践动手能力的培养，为加强信息安全专业学生的创新能力，除安排一年的实习实践以外，还将实验课程由分散改为集中进行，由验证型为主改为设计型为主。增加了“程序设计训练”实践课程为必修课，调整了“信息安全综合实验”课程的内容，将其变为一个综合实践、测试平台。增加了部分课程的课内实验学时，让学生做到理论联系实际，增加学生的计算机应用能力。

3实践教学改革

新的人才培养模式促使信息安全专业实践教学正在尝试以下几项新的改革措施：

3.1不断改革实践教学体系，增加实践教学内容，改变实践教学的实现方式

新的人才培养模式中，信息安全本科按“3+1”模式设置教学计划，加大了教学实践环节，并将实验课程由分散进行改为集中进行，由验证型为主改为设计型为主，加大了综合设计、创新实验、实训实战的比重。通过对集中实践教学和课间实践教学的课时调整，使实践教学的课时数占总课时数的40％。

实验教学在基础实验、综合设计实验、创新提高实验、实训平台训练、实习地实战训练、毕业设计与毕业论文六个层面开展，不同层面的要求、方法及形式有所不同。基础验证型实验多采用课间实验的方式，综合设计型实验一般在理论课后集中一或两周进行，程序设计训练和嵌入式设计不受时间限制，可跨越四年时间完成。对创新提高型实验，可根据创新设计自主完成。实训平台训练型实验是在教师指导下分组合作，共同完成实训项目。毕业设计与毕业论文可结合导师的科研工作提前开始，加强过程管理，强化答辩环节，确保质量。

3.2积极拓展校外实习基地，通过与企业合作，提高学生专业实践能力

篇10

 

电子商务在网络经济发展日益迅猛的当下，应用越来越广泛，这种基于internet进行的各种商务活动模式以其特有的开放性让商务活动相比较以往更加高效快捷。in-ternet 是一个开放的、全球性的、无控制机构的网络，计算机网络自身的特点决定了网络不安全，网络服务一般都是通过各种各样的协议完成的，因此网络协议的安全性是网络安全的重要方面，internet 的数据传输是基于 tcp/ip操作系统来支持的，tcp/ip 协议本身存在着一定的缺陷。 

1电子商务所面临的信息安全威胁 

1.1 安全环境恶化 

由于在计算机及网络技术方面发展较为迟缓，我国在很多硬件核心设备方面依然以进口采购为主要渠道，不能自主生产也意味着不能自主控制，除了生产技术、维护技术也相应依靠国外引进，这也就让国内的电子商务无法看到眼前的威胁以及自身软件的应付能力。 

1.2平台的自然物理威胁 

由于电子商务通过网络传输进行，因此诸如电磁辐射干扰以及网络设备老化带来的传输缓慢甚至中断等自然威胁难以预测，而这些威胁将直接影响信息安全。此外，人为破坏商务系统硬件，篡改删除信息内容等行为，也会给企业造成损失。 

1.3黑客入侵 

在诸多威胁中，病毒是最不可控制的，其主要作用是损坏计算机文件，且具有繁殖功能。配合越来越便捷的网络环境，计算机病毒的破坏力与日俱增。而目前黑客所惯用的木马程序则更有目的性，本地计算机所记录的登录信息都会被木马程序篡改，从而造成信息之外的文件和资金遭窃。 

2电子商务信息安全的防范处理方法 

2.1针对病毒的技术 

作为电子商务安全的最大威胁，对于计算机病毒的防范是重中之重。对于病毒，处理态度应该以预防为主，查杀为辅。因为病毒的预防工作在技术层面上比查杀要更为简单。多种预防措施的并行应用很重要，比如对全新计算机硬件、软件进行全面的检测；利用病毒查杀软件对文件进行实时的扫描；定期进行相关数据备份；服务器启动采取硬盘启动；相应网络目录和文件设置相应的访问权限等等。同时在病毒感染时保证文件的及时隔离。在计算机系统感染病毒的情况下，第一时间清除病毒文件并及时恢复系统。 

2.2防火墙应用 

防火墙主要是用来隔离内部网和外部网，对内部网的应用系统加以保护。目前的防火墙分为两大类：一类是简单的包过滤技术，它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、所用的 tcp 端口和 tcp 链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器，可针对特别的网络应用服务协议及数据过滤协议，并且能够对数据包分析并形成相关的报告。 

2.3数据加密技术的引入 

加密技术是保证电子商务安全采用的主要安全措施。加密过程就是根据一定的算法，将可理解的数据（明文）与一串数字（密钥）相结合，从而产生不可理解的密文的过程，主要加密技术是：对称加密技术和非对称加密技术。 

2.4认证系统 

网上安全交易的基础是数字证书。数字证书类似于现实生活中的身份证，用于在网络上鉴别个人或组织的真实身份。传统的对称密钥算法具有加密强度高、运算速度快的优点，但密钥的传递与管理问题限制了它的应用。为解决此问题，20 世纪 70 年代密码界出现了公开密钥算法，该算法使用一对密钥即一个私钥和一个公钥，其对应关系是唯一的，公钥对外公开，私钥个人秘密保存。一般用公钥来进行加密，用私钥来进行签名；同时私钥用来解密，公钥用来验证签名。 

2.5其他注意事项 

（1）机密性是指信息在存储或传输过程中不被他人窃取或泄漏，满足电子商务交易中信息保密性的安全需求，避免敏感信息泄漏的威胁。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。 

（2）商务信息的完整性，只读特性以及修改授权问题是电子商务信息需要攻克的一大难关。信息在传输过程中必须保持原内容，不能因技术、环境以及刻意原因而轻易被更改。 

篇11

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)22-5312-02

随着信息军事时代的来临，“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施，是敌重点攻击的对象，其安全防护情况直接关系其效能作用的发挥，关系到战争的胜负，因此必须认真研究分析其安全形势，剖析存在问题，采取有力措施，提高安全防护能力。

1军队计算机网络安全形势分析

1.1形势的严峻性

信息军事时代，信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台，围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息，并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏，严重威胁着国家和军队安全。

1.2威胁的多元性

军队计算机网络虽然在物理上与其他网络隔离，但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准，使得军队计算机网络安全防护异常困难，从某种意义上讲，计算机网络上任何一个环节和关节点的被突破，都可能使全网和全系统瘫痪，后果不堪设想。

1.3事件的突发性

计算机网络安全威胁往往具有潜伏性和不可预测性，对被攻击方而言安全事件呈现出极强的突发性，被攻击方往往会丧失宝贵的防御时间，为信息安全事件处置带来极大的挑战，计算机网络安全威胁中的很多事件还没有被察觉，就已经造成不可预料的损失。目前，计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口，一旦敌对势力在特定的时间激活恶意程序，就可以在我们毫无察觉的情况下瞬间发起攻击，造成整个系统的瘫痪。

1.4处置的艰巨性

信息化条件下，信息争夺空间巨大、流动性强，领域不断拓展，安全隐患不断增多。而当前部队部分人员信息安全观念淡薄；安全防护技术手段落后，针对性应急处置手段缺乏；法规制度不完备，组织安全防护力度差，对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生，将导致整个网络震荡，失密影响范围广泛，泄密后果十分严重。

2军队计算络安全存在的主要问题

计算机网络安全保密工作十分重要，目前，我军计算机网络安全方面还存在以下问题：

2.1网络安全防护意识比较淡薄

目前，部队计算机网络建设普遍受到高度重视，但是有些单位仅仅看到网络建设带来的显著效益和便利，而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看，国外计算机网络安全防护投入占整体投入的10-20%，我国仅占到2-5%，不足国外的四分之一，军队在此方面的投入也明显不足。同时，受长期和平环境影响，“有密难保、无密可保”的思想意识普遍存在，对网络安全问题关注不够，思想意识比较淡薄，影响到计算机网络整体安全防护建设的发展。

2.2网络安全防护建设相对滞后

我军围绕作战应用需求，重点加强了光纤传输链路建设，网络基础已经比较配套，但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设；相当数量的终端没有安装防病毒系统；入侵检测没有完全发挥起作用；安防系统系统建设各自为战，无法形成整体安全防护体系等，这些都制约了计算机网络安全防护整体水平的发展。。

2.3网络安全防护标准尚未健全

当前，我军陆续颁布了一系列与网络信息安全相关的法律法规，但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如，对军队网络安全体系建设标准中部分设备、系统未进行明确；安全防护等级虽已明确，但配套手段还没有统一进行明确，无法达到最佳防护。同时，制度标准的落实情况也令人堪忧，有令不行、有禁不止的现象随处可见，这些都对军用计算机网络系统带来了巨大的安全隐患。

2.4网络核心技术受制于人

虽然近年来我国的信息技术得以飞速发展，但仍没有摆脱技术落后的局面，特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前，我军大多数信息网络采用的都是微软的windows系列操作系统和TCP／IP、IPX／SPX等网络协议，这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性，使军事信息网络自身从建设之初就存在安全隐患。

3加强军队计算机网络安全防护的对策措施

计算机网络应用与安全防护问题相生相伴，是“矛”和“盾”的关系，信息安全问题将长期存在，不可能彻底避免和消除。为此，必须着眼防患于未然，积极建设计算机网络安全防护体系，有效提升网络安全防护能力，确保“非法用户进不来，秘密信息取不走，网络平台摧不垮”。

3.1强化人员安全防护意识

强化军队人员的信息安全意识，一是通过大众传播媒介，增强信息安全意识，普及信息安全知识，依托信息服务网站开设信息网络安全知识普及专栏，提高安全防护能力，增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班，培养信息安全人才，使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究，明确安全责任，增强人员的责任心，全面提高部队信息安全防护能力。

3.2建立健全安全管理机制

针对我军军事信息网络安全防护现状，制定和完善军队计算机网络建设、管理与安全防护机制，确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定，明确各级责任、措施、手段；制定标准规范，明确建设技术体制；规划安全策略，明确设备系统防护标准，以完善网络安全法律体系，使信息安全管理走上法制化轨道，确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门，加强部门之间的相互协调、相互补充、统一规划、统一管理，提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心，明确安全防护机制，建立安全防护组织领导管理机构，明确领导及工作人员，制定管理岗位责任制及有关措施，严格内部安全管理机制，并对破坏网络信息安全的事件进行调查和处理，确保网络信息的安全。

3.3构建安全技术防护体系

重点加强四个体系建设：一是安全监察体系。建立健全网络安全监察机制；配套建设计算机网络入侵检测、流量分析、行为审计等系统，增强安全事件的融合分析能力；配备安全管理系统，实现对全网安全策略的统一管理和控制；加强安全服务保障体系建设，提供病毒库升级、补丁分发、安全预警等安全服务，通过各系统的综合应用，提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制，规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设；强化系统访问控制，设定用户访问权限，防止非法用户侵入或合法用户不慎操作所造成的破坏；加强实体鉴别，保证用户在获取信息过程中不受干扰、不被假冒，确保用户终端实体的可信；加强身份认证，为设备、用户、应用等颁发数字证书，并提供数字签名、身份验证、访问控制等服务，防止非授权接入和访问；加强终端保护，进行终端操作系统的安全加固，防止非法登录网络，保证终端资源的可控；提供病毒防护功能，适时查杀病毒、检查漏洞；提供主机入侵检测功能，防止对终端的攻击行为，从而全面建立终端防护体系，为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准，综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析，客观分析网络与信息系统所面临的威胁及其存在的脆弱性，对安全事件可能造成的危害程度进行科学的定性定量分析，并提出有针对性的防护对策和整改措施，全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设，明确应急响应处置方法及原则；充分考虑抗毁性与灾难恢复，制定和完善应急处置预案根据安全级别的要求来制定响应策略；建立容灾备份设施系统，规范备份制度与流程，对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份，确保系统崩溃以后能够在最短时间内快速恢复运行，提高信息网络的安全性和抗毁性。

3.4发展自主信息安全产业

自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”，“独立化”建设。为此，应抓好以下几个方面的工作：一是组织核心技术攻关，如研发自主操作系统、密码专用芯片和安全处理器等，狠抓技术及系统的综合集成，以确保军用计算机信息系统安全。二是加强关键技术研究，如密码技术、鉴别技术、病毒防御技术、入侵检测技术等，有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段，如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等，构建具有我军特色、行之有效的计算机网络安全保密平台，实现网络及终端的可信、可管、可控，摆脱网络安全受制于人的被动局面。

军队计算机网络安全防护涉及要素众多，是一个系统的整体的过程。在进行防护时，要充分认清计算机网络安全面临的严峻形势，认真查找存在的问题，系统整体的采取有针对性的防范措施，从而提高网络安全防护能力。

参考文献：

[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).

[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息，2010(15).

篇12

    现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。

    长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。

    1安全管理体系构建

    信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。

    金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。

    2安全管理平台

    安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。

    2.1安全预警管理

    安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。

    2.2安全监控管理

    通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。

    1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。

    2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。

    3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。

    4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。

    2.3安全防护与响应管理

    在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。

    1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。

    2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。

    3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。

    2.4安全反击管理

    安全反击管理包括安全事件的取证管理和安全事件的追踪反击。

    1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。

    2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。

    3安全管理措施建议

    在安全管理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。

    1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。

    2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。

    3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。