導言：作為寫作愛好者，不可錯過為您精心挑選的10篇信息安全研究論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

一、信息化的內(nèi)涵、信息資源的性質及信息的安全問題

“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經(jīng)過40多年的發(fā)展，信息化已成為各國社會發(fā)展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質，主要表現(xiàn)在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統(tǒng)的不安全性，給國家的信息化建設帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現(xiàn)的網(wǎng)絡安全問題提供調查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡的信息安全有一些新的特點：

一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點，從網(wǎng)絡架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點，通過網(wǎng)絡主體之間的聯(lián)系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術弱點導致網(wǎng)絡易受攻擊。

二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡基礎設施的建設與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)，造成了病毒極易滋生和傳播，從而導致信息危害。

三是信息安全中的智能性、隱蔽性特點。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為，而網(wǎng)絡環(huán)境下的安全問題常常表現(xiàn)為一種技術對抗，對信息的破壞、竊取等都是通過技術手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡協(xié)議自身缺陷，等等。

二、我國信息化中的信息安全問題

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環(huán)境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

1、信息與網(wǎng)絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速，各個企業(yè)紛紛設立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動后，各級政府已陸續(xù)設立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設備，整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱，在網(wǎng)絡黑客攻擊的國家中，中國是最大的受害國。

2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監(jiān)測和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。

3、我國基礎信息產(chǎn)業(yè)薄弱，核心技術嚴重依賴國外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡所使用的網(wǎng)管設備和軟件基本上來自國外，這使我國的網(wǎng)絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術，我國的網(wǎng)絡處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡安全處于極脆弱的狀態(tài)。

4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡進行攻擊，國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡犯罪，例如傳播病毒、竊取他人網(wǎng)絡銀行賬號密碼等。

5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設等方面與迅速發(fā)展的形勢極不適應。

造成以上問題的相關因素在于：首先，我國的經(jīng)濟基礎薄弱，在信息產(chǎn)業(yè)上的投入還是不足，尤其是在核心和關鍵技術及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

除此之外，我國目前信息技術領域的不安全局面，也與西方發(fā)達國家對我國的技術輸出進行控制有關。

三、相關解決措施

針對我國信息安全存在的問題，要實現(xiàn)信息安全不但要靠先進的技術，還要有嚴格的法律法規(guī)和信息安全教育。

1、加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統(tǒng)的安全防護能力，從而促進整個系統(tǒng)的信息安全。超級秘書網(wǎng)

2、發(fā)展有自主知識產(chǎn)權的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識，加大核心技術的研發(fā)，尤其是信息安全產(chǎn)品，減小對國外產(chǎn)品的依賴程度。

3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網(wǎng)絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

4、高度重視信息安全基礎研究和人才的培養(yǎng)。為了在高技術環(huán)境下發(fā)展自主知識產(chǎn)權的信息安全產(chǎn)業(yè)，應大力培養(yǎng)信息安全專業(yè)人才，建立信息安全人才培養(yǎng)體系。

篇2

一、面臨的挑戰(zhàn)

目前，金融業(yè)的業(yè)務開展更加依賴于信息技術的應用，特別是以綜合業(yè)務系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個新的階段。因而，信息技術風險也自然成為中國金融機構操作風險的重要方面。金融業(yè)信息安全工作正面臨比以往更嚴峻的形勢，圍繞信息網(wǎng)絡空間的斗爭日趨尖銳，境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢，惡意代碼和網(wǎng)絡攻擊呈多樣化局面，金融業(yè)信息系統(tǒng)安全運行的難度加大，挑戰(zhàn)增多。

一是人民銀行的業(yè)務指導、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。

與金融業(yè)信息化的高速發(fā)展相比，金融業(yè)信息安全的指導、監(jiān)管工作還需要進一步加強。國內(nèi)曾有專家明確提出，在金融信息化、網(wǎng)絡化時代，“信息資產(chǎn)風險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念。”信息資產(chǎn)風險指在信息化中，信息資產(chǎn)的規(guī)劃、設計、開發(fā)、生成、存在、運用、服務、管理、維護、監(jiān)管以及其他相關過程中產(chǎn)生的信用、市場、操作與業(yè)務風險。人民銀行在金融信息規(guī)劃、信息標準、信息安全等諸多方面承擔著重要職責，在2008奧運年中發(fā)揮了重要、積極的作用。但總體來看，人民銀行及其分支行對金融機構信息安全工作的指導和監(jiān)管，還處于初級階段，由于人民銀行分支機構對各金融機構信息安全缺乏指導、缺乏統(tǒng)一的監(jiān)管目標、缺乏完整的認識，以及缺乏監(jiān)督管理的依據(jù)和標準，從而導致監(jiān)管措施不到位，監(jiān)管手段缺失，致使基層行監(jiān)管缺乏主動性。

二是核心設備和技術依賴于國外，底層技術難以掌握，存在安全隱患。

目前，我國金融業(yè)信息系統(tǒng)和網(wǎng)絡中，大量使用國外廠商生產(chǎn)的設備，這些設備使用的操作系統(tǒng)、數(shù)據(jù)庫、芯片也大多數(shù)是由國外廠商生產(chǎn)。外方不可能提供設備的核心技術和專利，我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據(jù)調查，一些重要網(wǎng)絡系統(tǒng)中使用的信息技術產(chǎn)品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預留，也可能是無意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實施人侵，修改或破壞設備程序，或從設備中竊取機密數(shù)據(jù)和信息。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”，已經(jīng)為我們敲響了警鐘。

三是境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢，新技術的應用使我們面臨更大的挑戰(zhàn)。

金融業(yè)信息網(wǎng)絡和重要信息系統(tǒng)正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊，整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人，其中銀行、金融和證券機構是攻擊重點。

2005年6月18日，被稱為有史以來最嚴重的信息安全案件在美國爆發(fā)，萬事達、VISA和美國運通公司的主要服務商的數(shù)據(jù)處理中心網(wǎng)絡被黑客程序侵人，導致4000萬個賬戶信息被黑客截獲，使客戶資金處于十分危險的狀態(tài)。

由此可見，基于開放性網(wǎng)絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰(zhàn)。

四是數(shù)據(jù)大集中的同時，也使技術風險相對集中。

伴隨著數(shù)據(jù)大集中的實現(xiàn)，風險也相對集中.一旦數(shù)據(jù)中心發(fā)生災難，將導致金融業(yè)的所有分支機構、營業(yè)網(wǎng)點和全部的業(yè)務處理停頓，或造成客戶重要數(shù)據(jù)的丟失，其后果不堪設想。

近年來，國內(nèi)外金融機構因為信息技術系統(tǒng)故障導致大面積、較長時問業(yè)務中斷的事件時有發(fā)生。2006年，日本花旗銀行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27．5萬筆公用事業(yè)繳費遭重復扣劃或交易后未作月結記錄，造成該行的重大聲譽損失。

信息系統(tǒng)潛在的風險已引起金融業(yè)的高度重視，如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)安全穩(wěn)定運行，是需要整個金融業(yè)深入研究的課題。

五是我國金融業(yè)的災難處理能力有待加強。

據(jù)人民銀行在2009年對21家全國性商業(yè)銀行災備中心建設情況的調查顯示，僅有3家建立了同城和異地災備中心，9家建立了同城災備中心，6家建立了異地災備中心，尚有3家沒有建立災備中心。返觀國外同業(yè)．多數(shù)國外銀行已經(jīng)做到了分行一級的災難備份與恢復。這表明，我國金融業(yè)災備中心建設同國外相比存在較大差距。

此外，國內(nèi)金融機構的現(xiàn)有災難備份中心布局不合理，過度集中在北京、上海兩地，一旦發(fā)生區(qū)域性重大災難，將對我國金融業(yè)整體運行狀況帶來極大危害，并造成過高的重建成本。

二、應對措施

按照《國務院辦公廳關于印發(fā)中國人民銀行主要職責內(nèi)設機構和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定，人民銀行的主要職責之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃，負責金融標準化的組織管理協(xié)調工作，指導金融業(yè)信息安全工作。

在新形勢下如何指導和協(xié)調金融業(yè)信息化建設和信息安全，是人民銀行尤其是人民銀行分支機構需要認真思考的問題。

金融業(yè)信息系統(tǒng)的安全是防范和化解金融風險的重要組成部分，要依靠法律、管理機制、技術保障等多方面相互配合，形成一個完整的安全保障體系。

一是加強金融服務指導和行業(yè)監(jiān)管。

應建立跨部門的金融業(yè)信息安全協(xié)調機制以及重點時期的安保工作機制，強化信息安全手段和隊伍建設，加強信息安全檢測和準人制度，實施信息安全等級保護，建立信息資產(chǎn)風險評估體系，提高信息安全水平，保證金融穩(wěn)定和經(jīng)濟發(fā)展。

人民銀行分支機構應加強對中小金融機構的服務指導，尤其是在核心業(yè)務系統(tǒng)建設、災備建設和信息安全方面給予具體指導，幫助中小金融機構借鑒成功經(jīng)驗，規(guī)避風險，實現(xiàn)跨越式發(fā)展。

各級人民銀行，應牽頭成立金融業(yè)信息安全領導小組，并建立和完善信息安全通報制度、報告制度和聯(lián)席會議制度，建立健全一個運轉靈活、反應靈敏的信息安全應急處理協(xié)調機制，隨時處置和協(xié)調金融機構安全事件，以迅速應對突發(fā)事件的發(fā)生，降低或消除金融機構網(wǎng)絡和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。

二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡。真正實現(xiàn)對金融機構信息安全風險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。

在正確評估我國金融網(wǎng)絡現(xiàn)狀的基礎上，借鑒國外的組網(wǎng)模式，盡快建立適應我國金融業(yè)信息化建設和發(fā)展實際的高速、安全和先進的網(wǎng)絡框架，在建設時要充分考慮到網(wǎng)絡的兼容性和拓展性，為下一步與各金融業(yè)的網(wǎng)絡互聯(lián)做準備。同時促進各家金融機構完善內(nèi)控機制，保障運行安全?，F(xiàn)代金融業(yè)高度依賴信息技術，必須充分認識到金融業(yè)信息安全對整體業(yè)務和金融體系，乃至經(jīng)濟體系的影響，牢固樹立風險防范意識，把信息科技作為風險管理的重要手段。

三是人民銀行要協(xié)調督促金融機構，加強自主創(chuàng)新，加大對國產(chǎn)軟硬件采購力度，努力減少和降低一些關鍵領域的對外技術依賴。

對采購或使用的信息技術和產(chǎn)品，能自主的就要千方百計地推進自主，不能自主的，也須保證其可知可控，也就是說，要對信息技術產(chǎn)品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。

對須引進的，實行市場準人制度，并引進權威機構對其產(chǎn)品進行風險、安全、實用等綜合性評估。

對各地區(qū)一些科技水平還比較低的中小金融機構，要加大支持力度，加強行業(yè)內(nèi)部的交流合作。針對目前金融業(yè)，特別是中小金融機構的信息系統(tǒng)的開發(fā)、建設和運維采用IT外包的形式，應出臺相應的政策、制度和措施，促進IT外包健康快速發(fā)展，約定監(jiān)管機制，規(guī)范服務商的服務標準和流程，使IT外包以服務行為的公司化、強大的配套支持能力、靈活的外包服務方式成為金融機構快速發(fā)展的可行之道。

四是建立健全信息安全管理制度，定期進行信息安全檢查，加強網(wǎng)絡安全攻擊防范。

由于金融業(yè)的組織結構和業(yè)務運營方式，使網(wǎng)絡必定要建成一個同Internet和外部線路有較密切關系的結構，各種網(wǎng)絡訪問上的安全問題也隨之產(chǎn)生。金融網(wǎng)絡系統(tǒng)面臨的攻擊有來自內(nèi)部的，也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等，特別是在網(wǎng)絡上運行關鍵業(yè)務時，網(wǎng)絡安全問題更是要優(yōu)先解決的問題。因此，應通過建立健全信息安全制度、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式，促進銀行做好系統(tǒng)加固工作，充分利用各種安全產(chǎn)品強化網(wǎng)絡安全防范，加強移動存儲介質管理，做好安全日志分析、預警和監(jiān)測工作，防止植入木馬導致信息泄漏和來自內(nèi)部的安全威脅。

五是增加業(yè)務持續(xù)動作能力，切實采取措施防范數(shù)據(jù)處理集中后的技術風險。

巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2006年8月了《業(yè)務連續(xù)性高級原則》將業(yè)務連續(xù)性管理定義為，發(fā)生中斷事件時，確保某些業(yè)務保持運行或在短時間內(nèi)得到恢復的一整套辦法，包括政策、標準和程序。

業(yè)務連續(xù)性管理的實施在組織上的保證至關重要。人民銀行應指導金融業(yè)參照國外先進經(jīng)驗，專門成立業(yè)務連續(xù)性管理指導委員會，將業(yè)務部門、風險管理部門和IT部門有關業(yè)務連續(xù)性的管理職責融于一處統(tǒng)籌管理。

目前，國內(nèi)銀行災難備份和業(yè)務連續(xù)性管理主要集中在系統(tǒng)故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災害、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發(fā)”與“應急”。由于災害事件的不確定性，應急管理與保障工作必須建立在高強度的實戰(zhàn)性基礎上，使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍。我國金融業(yè)災難備份及業(yè)務連續(xù)性管理主要集中在IT部門，遠遠不能適應業(yè)務連續(xù)性的需要，應當強調業(yè)務部門的參與，與IT部門共同構建適應現(xiàn)代金融業(yè)發(fā)展需要的應急保障體系，確保運營安全。

篇3

隨著信息化的不斷擴展，各類網(wǎng)絡版應用軟件推廣應用，計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提，因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。

1局域網(wǎng)安全現(xiàn)狀

廣域網(wǎng)絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御，重要的安全設施大致集中于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內(nèi)部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。目前，局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

2局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內(nèi)由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類：

2.1欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)，以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應比較迅速，而且所提供的安全功能不斷增強，網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

2.2服務器區(qū)域沒有進行獨立防護

局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

2.3計算機病毒及惡意代碼的威脅

由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crimeware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長20%。

2.4局域網(wǎng)用戶安全意識不強

許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡使用，造成病毒的傳入和信息的泄密。

2.5IP地址沖突

局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡管理員必須加以解決。

正是由于局域網(wǎng)內(nèi)應用上這些獨特的特點，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。

3局域網(wǎng)安全控制與病毒防治策略

3.1加強人員的網(wǎng)絡安全培訓

安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用三個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質。同時要加強法制建設，進一步完善關于網(wǎng)絡安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進行培訓：

3.1.1加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。

3.1.2加強安全知識培訓，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。

3.1.3加強網(wǎng)絡知識培訓，通過培訓掌握一定的網(wǎng)絡知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識，樹立良好的計算機使用習慣。

3.2局域網(wǎng)安全控制策略

安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內(nèi)部的安全問題，才可以排除網(wǎng)絡中最大的安全隱患，對于內(nèi)部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。

3.2.1利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用，是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權限，網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。

3.2.2采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網(wǎng)絡的其余部分隔開，它使內(nèi)部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離，限制網(wǎng)絡互訪，用來保護內(nèi)部網(wǎng)絡資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡之間實行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有：

①深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來時延。

②IP?URL過濾。一旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。

③TCP?IP終止。應用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡的木馬、病毒等IP地址，檢查訪問的IP地址或者端口是否合法，有效的TCP?IP終止，并有效地扼殺木馬。時等。

④訪問網(wǎng)絡進程跟蹤。訪問網(wǎng)絡進程跟蹤。這是防火墻技術的最基本部分，判斷進程訪問網(wǎng)絡的合法性，進行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡數(shù)據(jù)攔截，得到操作網(wǎng)絡數(shù)據(jù)報的進程的詳細信息加以實現(xiàn)。

3.2.3封存所有空閑的IP地址，啟動IP地址綁定采用上網(wǎng)計算機IP地址與MCA地址唯一對應，網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。

3.2.4屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件。

3.2.5啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

3.3病毒防治

病毒的侵入必將對系統(tǒng)資源構成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒，能在很短的時間內(nèi)使整個計算機網(wǎng)絡處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略：

3.3.1增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網(wǎng)絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。超級秘書網(wǎng)

3.3.2小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

3.3.3挑選網(wǎng)絡版殺毒軟件。一般而言，查殺是否徹底，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定一個網(wǎng)絡殺毒軟件的三大要素。瑞星殺毒軟件在這些方面都相當不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。

通過以上策略的設置，能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題，快速有效的定位網(wǎng)絡中病毒、蠕蟲等網(wǎng)絡安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡。

局域網(wǎng)安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

參考文獻

篇4

一、網(wǎng)絡信息安全概述

信息安全是指為建立信息處理系統(tǒng)而采取的技術上和管理上的安全保護，以實現(xiàn)電子信息的保密性、完整性、可用性和可控性。當今信息時代，計算機網(wǎng)絡已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計算機網(wǎng)絡具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，致使網(wǎng)絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網(wǎng)絡安全的種種威脅，必須考慮信息的安全這個至關重要的問題。

網(wǎng)絡信息安全分為網(wǎng)絡安全和信息安全兩個層面。網(wǎng)絡安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應用軟件;運行服務安全，即保證服務的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

（一）網(wǎng)絡信息安全的內(nèi)容

1．硬件安全。即網(wǎng)絡硬件和存儲媒體的安全。要保護這些硬設施不受損害，能夠正常工作。

2.軟件安全。即計算機及其網(wǎng)絡中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

3.運行服務安全。即網(wǎng)絡中的各個信息系統(tǒng)能夠正常運行并能正常地通過網(wǎng)絡交流信息。通過對網(wǎng)絡系統(tǒng)中的各種設備運行狀況的監(jiān)測，發(fā)現(xiàn)不安全因素能及時報警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡系統(tǒng)正常運行。

4.數(shù)據(jù)安全。即網(wǎng)絡中存儲及流通數(shù)據(jù)的女全。要保護網(wǎng)絡中的數(shù)據(jù)不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網(wǎng)絡安全最根本的目的。

（二）網(wǎng)絡信忽安全的目標

1.保密性。保密性是指信息不泄露給非授權人、實休和過程，或供其使用的特性。

2.完整性。完整性是指信息未經(jīng)授權不能被修改、不被破壞、不人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡信息安全進行攻擊的最終目的就是破壞信息的完整性。

3.可用性?？捎眯允侵负戏ㄓ脩粼L問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息

4.可控性。可控性是指授權機構對信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權范圍內(nèi)的信息流向以及方式。

5.可審查性。在信息交流過程結束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認曾經(jīng)接收到對方的信息。

二、網(wǎng)絡信息安全面臨的問題

1.網(wǎng)絡協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被內(nèi)部人員濫用，黑客從一些服務中可以獲得有用的信息，而網(wǎng)絡維護人員卻不知道應該禁止這種服務。配置的復雜性：訪問控制的配置一般十分復雜，所以很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大?，F(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當然，人們不能把TCP/IP和其實現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡的發(fā)展。

2.黑客攻擊手段多樣

進人2006年以來，網(wǎng)絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務器來發(fā)動攻擊，擾亂在線商務。寬帶網(wǎng)絡條件下，常見的拒絕服務攻擊方式主要有兩種，一是網(wǎng)絡黑客蓄意發(fā)動的針對服務和網(wǎng)絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡流量急速提高，導致網(wǎng)絡設備崩潰，或者造成網(wǎng)絡鏈路的不堪負重。

調查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務器。一旦成為DDOS攻擊的目標，目標系統(tǒng)不論是網(wǎng)頁服務器、域名服務器，還是電子郵件服務器，都會被網(wǎng)絡上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡，把大量的查詢要求傳至開放的DNS服務器，這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的，因此DNS服務器會把回應信息傳到那個網(wǎng)址。

美國司法部的一項調查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權用戶或設備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認證環(huán)境下，外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網(wǎng)絡，即使最嚴密的用戶認證保護系統(tǒng)也很難保護網(wǎng)絡安全。另外，由于企業(yè)員工可以通過任何一臺未經(jīng)確認和處理的設備，以有效合法的個人身份憑證進入網(wǎng)絡，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘，嚴重威脅網(wǎng)絡系統(tǒng)的安全。

有資料顯示，最近拉美國家的網(wǎng)絡詐騙活動增多，作案手段先進。犯罪活動已經(jīng)從“現(xiàn)實生活轉入虛擬世界”，網(wǎng)上詐騙活動日益增多。

3.計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡技術的不斷發(fā)展、網(wǎng)絡空間的廣泛運用，病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種，其傳播途徑不僅通過軟盤、硬盤傳播，還可以通過網(wǎng)絡的電子郵件和下載軟件傳播。從國家計算機病毒應急處理中日常監(jiān)測結果來看，計算機病毒呈現(xiàn)出異常活躍的態(tài)勢。據(jù)2001年調查，我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分數(shù)據(jù)的占57%。只要帶病毒的電腦在運行過程中滿足設計者所預定的條件，計算機病毒便會發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

三、保障網(wǎng)絡信息安全的對策

1.安全通信協(xié)議和有關標準。

在網(wǎng)絡安全技術應用領域，安全通信協(xié)議提供了一種標準，基于這些標準，企業(yè)可以很方便地建立自己的安全應用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME

SSL提供基于客戶/服務器模式的安全標準，SSL（TLS）在傳輸層和應用層之間嵌入一個子層，主要用于實現(xiàn)兩個應用程序之間安全通訊機制，提供面向連接的保護；IP安全協(xié)議（IPsec）提供網(wǎng)關到網(wǎng)關的安全通信標準，在網(wǎng)絡層實現(xiàn)，IPsec能夠保護整個網(wǎng)絡；S/MIME在應用層提供對信息的安全保護，主要用于信息的安全存儲、信息認證、傳輸和信息轉發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務，但是他們的具體應用范圍是不同的，在實際應用中，應根據(jù)具體情況選擇相應的安全通信協(xié)議。

2.防火墻技術

防火墻技術是為了保證網(wǎng)絡路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構造一個保護層。所有的內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾，只有被授權的通信才允許通過。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，另一方面也可以限制內(nèi)部網(wǎng)對外部網(wǎng)中不健康或敏感信息的訪問。同時，防火墻還可以對網(wǎng)絡存取訪問進行記錄和統(tǒng)計，對可疑動作告警，以及提供網(wǎng)絡是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術一般分為兩種，一

種是分組過濾技術，一種是服務技術。分組過濾基于路由器技術，其機理是由分組過濾路由器對IP分組進行選擇，根據(jù)特定組織機構的網(wǎng)絡安全準則過濾掉某些IP地址分組，從而保護內(nèi)部網(wǎng)絡。服務技術是由一個高層應用網(wǎng)關作為服務器，對于任何外部網(wǎng)的應用連接請求首先進行安全檢查，然后再與被保護網(wǎng)絡應用服務器連接。服務技術可使內(nèi)、外網(wǎng)絡信息流動受到雙向監(jiān)控。

3.訪問拉制技術

訪問控制根據(jù)用戶的身份賦予其相應的權限，即按事先確定的規(guī)則決定主體對客體的訪問是否合法，當一主體試圖非法使用一個未經(jīng)授權使用的客體時，該機制將拒絕這一企圖，其主要通過注冊口令、用戶分組控制、文件權限控制三個層次完成。此外，審計、日志、入侵偵察及報警等對保護網(wǎng)絡安全起一定的輔助作用，只有將上述各項技術很好地配合起來，才能為網(wǎng)絡建立一道安全的屏障。

4.PKI技術

PKI是在公開密鑰理論和技術基礎上發(fā)展起來的一種綜合安全平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所必需的密鑰和證書管理，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網(wǎng)絡計算環(huán)境，從而使得人們在這個無法直接相互面對的環(huán)境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事商務活動。目前，PKI技術己趨于成熟，其應用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(VPN),Web交互安全到電子商務、電子政務、電子事務安全的眾多領域，許多企業(yè)和個人已經(jīng)從PKI技術的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認證中心)和數(shù)字證書是密不可分的兩個部分。認證中心又叫CA中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認證中心通常采用多層次的分級結構，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。

數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。

參考文獻：

李俊宇.信息安全技術基礎冶金工業(yè)出版社.2004.12

篇5

由于不同的權利主體基于同一檔案客體對象會因利益目標不同而產(chǎn)生不同的權利類型并伴有普遍的信息權利沖突現(xiàn)象,因此,從權利協(xié)調與平衡的原則和要求看,公民或組織基于某一檔案客體對象所產(chǎn)生的檔案利用權利始終都是有限度的,它必然會受到檔案開放或公布權、檔案秘密權、檔案作品著作權等相關權利的制約。因此,設計合理與合法的檔案利用權利控制機制就成為我國檔案立法的重要內(nèi)容。

二、現(xiàn)有法律法規(guī)對檔案利用權利的過度限制

任何權利的構成都包括權利主體、權利客體、權利內(nèi)容等基本要素,對檔案利用權利限度的分析也可從這些角度分別進行。

1、檔案利用權利主體上的限制

檔案利用權利主體是指有權利用(而不是現(xiàn)在法律文本中表述的“可以利用”)已開放和未開放檔案的自然人、法人或者其他組織。我國在有關立法中習慣于將權利主體表述為“我國公民、法人或者其他組織”,而對外國人或者組織作特殊處理或者規(guī)定。例如《檔案法》第二十條就規(guī)定了對檔案(半現(xiàn)行與非現(xiàn)行文件)利用主體的具體范圍為“團體、企業(yè)事業(yè)單位和其他組織以及公民”,而沒有將“外國人或者外國組織”納入到利用主體的范圍之內(nèi)。為了處理這一局限,有關部門出臺了《外國組織和個人利用我國檔案試行辦法》。一般而言,外國人或外國組織經(jīng)有關主管部門同意后只能利用國家檔案館已經(jīng)開放的檔案。從信息公開立法的國際趨勢看,信息獲取與利用權利主體一般具有無限性特點,習慣于將本國公民、法人或者組織和外國公民與組織均作為等同的權利主體對待。筆者認為,上述趨勢雖然可以給我國檔案立法提供借鑒,但從理論上還是應區(qū)分清楚檔案利用權利主體和檔案利用主體的界限。檔案利用權利主體是指我國公民、法人或者組織,而檔案利用主體除包括我國公民、法人或組織之外,還應包括外國公民或組織。他們與我國公民、法人或者組織等檔案利用權利主體的本質差異在于:首先,外國公民或組織不能要求我國開放某類檔案,而我國公民、企事業(yè)單位和組織可以根據(jù)法律規(guī)定要求開放某些檔案或申請利用某些未開放檔案;其次,我國公民或組織可以通過行政援助和司法援助要求有關部門開放某類檔案或收回已開放的檔案,而外國公民或組織則無權要求。由此可見,在檔案立法中理應區(qū)分檔案利用權利主體和檔案利用主體的不同?，F(xiàn)階段我國檔案立法文本中對我國公民、法人或者組織的檔案利用行為僅用“可以利用”來界定則遠遠不夠,法律文本理應明確賦予他們檔案利用權利主體的地位,而“可以利用”的表述僅適合于對外國公民或組織檔案利用行為的概括。

2、檔案利用權利客體范圍上的限制

從我國法律制度關于檔案開放利用客體對象范圍的界定看,它僅限于國家檔案館保存的檔案?！稒n案法》第十九條規(guī)定:國家檔案館保管的檔案,一般是自其形成之日起滿30年向社會開放;《檔案法》第二十條規(guī)定:機關、團體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關規(guī)定,利用檔案館未開放的檔案以及有關機關、團體、企業(yè)事業(yè)單位和其他組織保存的檔案;《檔案法實施辦法》第二十二條規(guī)定:機關、團體、企業(yè)事業(yè)單位和其他組織的檔案機構保存的尚未向檔案館移交的檔案,其他機關、團體、企業(yè)事業(yè)單位和組織以及中國公民如需要利用的,須經(jīng)檔案保存單位同意。從上述一系列規(guī)定可以看出,《檔案法》及其實施辦法有兩個重要限制:一是始終將檔案開放客體對象限制在“國家檔案館的檔案”這一范圍內(nèi),雖原則性提出有關主體也可利用未進館的檔案,但將開放利用決定權交給了檔案保管單位;二是雖然規(guī)定有關主體可以利用檔案館未開放的檔案,但是,由于上述《檔案法》第二十條明確授權制訂“利用未開放檔案辦法”的國家檔案行政管理部門和有關主管部門至今沒有出臺“有關規(guī)定”,因此,從一定意義上來說,館藏未開放檔案的利用還是一個“無法可依”的領域。①這表明機關檔案室收藏的檔案和國家檔案館收藏的未開放檔案均不在現(xiàn)有檔案開放利用法律制度的調控范圍之內(nèi)。因此,檔案利用權利客體對象目前僅限于國家檔案館保存的已開放檔案。

3、檔案利用權利行使目的的限制

檔案工作基本原則指出檔案工作的根本目的是“便于社會各方面的利用”,其言下之意就是所有主體(團體用戶或個人用戶,甚至包括國外用戶)可以因各種需要(公務或私人目的)利用檔案。這一理念在《檔案法》中得到了一定程度的體現(xiàn)?！稒n案法》針對機關、團體、企事業(yè)單位和其他組織(上述利用主體均為團體用戶)利用開放檔案和未開放檔案均未明確限制其“利用目的”。但有關規(guī)定顯然未將公民個人因“個人休閑”、“個人利益”等不屬于“各項工作需要”范圍的檔案利用目的包涵在內(nèi)。這就意味著公民出于“個人休閑”、“個人利益”等利用目的利用未開放檔案的行為不能得到法律保護。

與此相類似,《政府信息公開條例》第十三條規(guī)定:除主動公開的政府信息以外,公民、法人或者其他組織還可以根據(jù)自身生產(chǎn)、生活、科研等特殊需要申請獲取政府信息。這意味著對政府機關主動公開的政府信息,公民、法人或者其他組織可以貫徹自由使用原則,但自由使用原則并不適用于被動申請公開的政府信息,“生產(chǎn)、生活、科研等活動特殊需要”的信息公開申請限制極大地蠶食了公民、法人或其他組織的信息利用范圍。

三、檔案利用權利適度擴展及其實現(xiàn)的基本途徑

隨著公民權利意識的覺醒和權利要求的提高,檔案利用權利也應進行適度擴展。這種權利擴展首先體現(xiàn)在對檔案法律政策設計上的要求。

1、設計覆蓋文件管理全流程的信息開放政策

《政府信息公開條例》中指向的客體對象是處于形成、處理或保存等所有階段的政府信息,某一政府信息只要屬于主動或被動公開的范圍,不管其運動到什么階段或收藏與保存在什么地點均應公開。這就意味著保存在機關業(yè)務部門或文書處理部門、機關內(nèi)部檔案部門和國家檔案館等不同地點的政府信息均應執(zhí)行統(tǒng)一的開放政策。但與此不相容的是,《檔案法》對處于國家檔案館保存階段的檔案開放政策則另有具體規(guī)定,而且這些規(guī)定又與《政府信息公開條例》的規(guī)定存在矛盾沖突。從法律位階和政策效應上來看,《檔案法》對《政府信息公開條例》中的相關內(nèi)容具有否定作用。這就導致了在文件全流程管理中,現(xiàn)行、半現(xiàn)行文件的開放政策適用《政府信息公開條例》,而非現(xiàn)行文件的開放政策適用《檔案法》。由于《政府信息公開條例》是以“公開為原則,不公開為例外”作為立法指導思想,而《檔案法》及其實施辦法和有關規(guī)定強調的是以“檔案保管和控制”作為立法指導思想,所以說《政府信息公開條例》的開放度明顯高于《檔案法》及其實施辦法和有關規(guī)定。這就導致了現(xiàn)階段我國文件與檔案開放利用政策中存在著明顯的前松后緊現(xiàn)象,即處于現(xiàn)行與半現(xiàn)行階段的文件開放利用政策相對寬松,而處于非現(xiàn)行期的文件(即國家檔案館的檔案)開放利用政策卻相對嚴格,顯然,這不符合伴隨著時間推移,信息機密性遞減而其作用范圍應該逐步擴大的一般規(guī)律。因此,提高《政府信息公開條例》的法律位階或制訂《文件與檔案法》(或稱為《文件法》)將有利于從文件管理全流程上統(tǒng)一文件與檔案的開放政策。

2、形成對檔案利用權利科學控制的基本機制

正如前文分析的一樣,檔案利用權利是有限度的,對檔案利用權利的限度必須進行科學的分析和控制。對檔案利用權利的科學控制可以分為兩個層面:一是對檔案合理利用行為進行合法化確認;二是從源頭上設計檔案開放與公布權行使機制。

對檔案合理利用行為進行合法化確認是在對檔案利用行為進行合理化程度分析的基礎上,通過法律法規(guī)對這些合理利用行為進行認可的過程,它影響和決定著檔案利用權利本身的內(nèi)容及其可能實現(xiàn)的廣度和深度。由于檔案利用過程中不同信息權利之間矛盾沖突的普遍存在(例如檔案控制權與獲取權的沖突、檔案開放權與保密權的沖突等),這就決定了檔案利用應是合理和合法的利用,并且合理的檔案利用行為也應得到有關法律法規(guī)的確認,例如檔案利用行為必須遵守著作權相關法律法規(guī)的規(guī)定。

如果僅就檔案利用權利本身設計檔案利用控制機制那么便是一種片面思維。這是由于檔案利用是對已開放檔案和未開放檔案的利用,檔案利用權利的實現(xiàn)在很大程度上受制于檔案開放程度。因此,要建立和完善檔案開放審查機制。筆者認為,在檔案開放審查機制中起決定作用的是檔案開放審查與決定主體的政策執(zhí)行意識、能力與水平。從開放檔案信息的義務與責任、對檔案信息的理解力等方面看,檔案開放審查和決定主體不僅包括國家檔案館,還應包括所有政府信息公開的義務主體。只要是政府信息公開義務主體依法開放與公布的檔案,任何享有政治權利的公民、法人或組織無論出于公務或私人目的均可對其進行利用。

3、制定未開放檔案申請利用的科學程序

檔案利用權利指向的客體對象既包括對已開放檔案的利用,也包括對未開放檔案的利用。《檔案法》第二十條明確規(guī)定:“機關、團體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關規(guī)定,利用檔案館未開放的檔案”。而且,該條款同時明確,“利用未開放檔案的辦法,由國家檔案行政管理部門和有關主管部門規(guī)定”。但從具體實踐看,現(xiàn)階段我國利用未開放檔案的辦法始終沒有出臺,檔案利用工作的著力點集中在已開放檔案利用上,而相對忽視了未開放檔案的利用工作,這無疑在一定程度上已經(jīng)影響了公民檔案利用權利的實現(xiàn)。針對公眾檔案信息個性化需要不斷增多、公民檔案利用權利實現(xiàn)的要求和進一步提高綜合檔案館管理績效的客觀形勢,綜合檔案館和有關檔案機構均應適時啟動未開放檔案的申請利用。從保障未開放檔案申請利用的程序合法要求看,綜合檔案館和有關檔案機構可以參照《政府信息公開條例》中關于信息申請公開的規(guī)定執(zhí)行。從政策銜接要求看,對處于不同運動階段的文件信息適用相同的依申請公開程序既是合理的也是合法的。可喜的是,這種針對未開放檔案申請利用的有關規(guī)定或辦法已經(jīng)在我國一些地方性檔案立法中開始出現(xiàn)。2008年修訂的《上海市國家綜合檔案館檔案利用和公布辦法》在第八條就詳細規(guī)定了公民和組織利用檔案館未開放檔案的程序辦法,這極大地保障了公民和組織的檔案利用權利。

4、開發(fā)具有保障檔案利用權利實現(xiàn)的文件管理系統(tǒng)

篇6

中小企業(yè)融資難問題是制約中小企業(yè)發(fā)展的瓶頸，我國為解決該問題已從多方面著手，在一定程度上擴展了中小企業(yè)融資途徑。但這些措施還不能完全滿足中小企業(yè)發(fā)展的資金需求，所以適時推出中小企業(yè)信貸保證保險制度是極為必要的。該制度的建立具有重大的經(jīng)濟效益及社會效益。

一、中小企業(yè)信貸保證保險的涵義

信貸保證保險是指以信用風險為保險標的的保險。它包括兩類保險：一類是狹義的保證保險，另一類是信用保險。它們的保險標的都是被保證人的信用風險，當被保證人未按照基礎合同約定履行義務，使權利人遭受經(jīng)濟損失時，保險人負代為履行付款義務(給付保險賠償金)責任。凡被保證人根據(jù)權利人的要求，由保險人承擔自己(被保險人)信用的保險，屬狹義的保證保險；凡權利人要求保險人擔保對方(被保證人)信用的保險，屬信用保險，權利人即被保險人。

狹義的中小企業(yè)信貸保證保險的被保證人指的是中小企業(yè)，它在保證保險中作為投保人，通常是保費的繳納者；受益人是債權人，在中小企業(yè)信貸保證保險中指向中小企業(yè)貸款的金融機構。信用保險的權利人指的是向中小企業(yè)貸款的金融機構，它是信用保險的投保人，通常是保費的繳納者，同時也是保險合同的受益人；被保險人是債務人，即中小企業(yè)；保險責任是被保險人到期不能履行還本付息的風險。

二、建立中小企業(yè)信貸保證保險制度的意義

(一)增強中小企業(yè)信用等級，緩解中小企業(yè)資金需求

中小企業(yè)貸款難的原因之一是由于大型商業(yè)銀行對中小企業(yè)的還款能力存有疑慮，而中小企業(yè)又無充足的資產(chǎn)作為抵押。中小企業(yè)信貸保證保險制度的建立可以使中小企業(yè)信用等級得到升級，將有效地消除大銀行對中小企業(yè)還款能力的顧慮，當中小企業(yè)不能如期還本付息時，保險公司要按照保險合同約定履行替中小企業(yè)還本付息的責任，銀行也不會因此而遭受損失。因此，在具有中小企業(yè)貸款保險制度的情況下，中小企業(yè)將可以和其他大企業(yè)一樣從銀行獲得更多的貸款，以滿足自身發(fā)展的需求。

(二)降低信貸金融機構的風險，提高銀行資金收益率

近年來，我國商業(yè)銀行的存款總額在逐年擴大，而貸款總額相對縮小，存貸比自1995年首次突破“廣后，逐步放大。由此可以看出，我國的商業(yè)銀行存在著大量的剩余資金，銀行的資金利用率較低，不利于銀行本身的發(fā)展。但銀行在提高收益率的同時必須考慮資金的安全性，如只注重收益而忽略資金安全則有可能對銀行更加不利，所以銀行在資金運用上常常處于矛盾的境地。若中小企業(yè)信貸保證保險制度得以建立，則商業(yè)銀行可以在保險公司的參與下，將資金貸給中小企業(yè)，既可以提高資金的收益率又可以保證資金的安全。

(三)拓寬保險業(yè)務，提高保險公司整體競爭力

保險公司承辦中小企業(yè)貸款保險業(yè)務，可以擴大保險公司的業(yè)務量，增強保險公司的競爭實力。自1980年我國恢復辦理國內(nèi)保險業(yè)務以來，我國的保險業(yè)得到了迅速發(fā)展，截至2006年底，保險業(yè)總資產(chǎn)達1.9萬億元，但我國的保險深度與保險密度仍然很低，總體上來說，仍處于發(fā)展階段，競爭能力與發(fā)達國家相比還比較弱。加之我國加人WTO后，國外的保險公司不斷涌人，國外保險公司具有技術與資產(chǎn)等方面的優(yōu)勢，將給我國的民族保險業(yè)造成巨大的威脅。發(fā)展中小企業(yè)貸款保險業(yè)務，可以使我國的保險公司增加資金實力，提高整體競爭能力。

(四)促進金融深化與宏觀經(jīng)濟的迅速發(fā)展

開展中小企業(yè)貸款保險業(yè)務，一方面可以使銀行、保險公司等金融部門之間相互配合，擴大自身業(yè)務，增加其資金實力，促進金融深化進程，增加金融部門對宏觀經(jīng)濟的貢獻率；另一方面，該業(yè)務還可以解決生產(chǎn)部門，尤其對中小企業(yè)的資金短缺問題，促進中小企業(yè)等生產(chǎn)部門發(fā)展；最后，金融部門與生產(chǎn)部門的發(fā)展是相互促進的，其任何一方的發(fā)展都離不開對方的支持，它們的發(fā)展是互為因果、輪番促進的。開展中小企業(yè)貸款保險業(yè)務，可以為之創(chuàng)造出一種相互促進、相得益彰、和諧發(fā)展的大好局面。

三、中小企業(yè)信貸保證保險制度建立的可行性

(一)建立中小企業(yè)信貸保證保險制度符合國家扶持中小企業(yè)發(fā)展的政策

我國政府一直在積極為中小企業(yè)解決資金短缺難題，如創(chuàng)建中小企業(yè)板、設立擔保機構、進行銀行制度改革等，雖然有較大的財力投入，但效果不佳。推出中小企業(yè)信貸保證保險業(yè)務，符合國家扶持中小企業(yè)發(fā)展的政策要求，客觀上會得到政府的大力支持。因為，該業(yè)務屬于一種純商業(yè)行為，保險公司是以盈利為最終目的，無須政府太多投入。在這種情況下，保險公司實際上是為政府分擔了部分職責，政府再通過諸如稅收等優(yōu)惠政策予以扶持，就可以在不增加財政支出的基礎上緩解中小企業(yè)資金短缺這一棘手問題。

(二)建立中小企業(yè)信貸保證保險制度會得到信貸機構的支持

信貸風險是銀行等信貸金融機構面臨的重大風險之一，如違約數(shù)額較大，則會對其穩(wěn)定經(jīng)營造成威脅。信貸金融機構可以通過避免、自留、轉移等多種方式進行風險管理。進行風險管理時，風險主體應根據(jù)自身抵抗風險的能力以及風險的大小來選擇防范風險的最佳方式。對于這樣重大的風險，風險轉移是銀行等信貸機構處理風險的最好選擇，而保險又是風險轉移中最完善、最合理的方式。因此，信貸保證保險制度的建立必將得到信貸機構的支持。

(三)建立中小企業(yè)信貸保證保險制度可以拓展保險公司業(yè)務，提高經(jīng)濟效益

我國的保險業(yè)經(jīng)過二十多年的迅猛發(fā)展，正在逐漸走向成熟，已在各種傳統(tǒng)險種以及近年來推出的汽車信貸保證保險、住房信貸保證保險、出口信貸保證保險等險種的經(jīng)營方面取得了豐富的經(jīng)驗。無論對標的風險的評估，對風險的技術處理，還是對風險的承保能力都已達到了一定的水平。另外，近年來我國的保險人才不斷涌現(xiàn)，保險精算師的數(shù)額在逐年增加，為信貸保證保險條款的設計及保險費率的計算提供了人員上的保障。最后，通過開辦中小企業(yè)信貸保證保險業(yè)務能給各保險公司帶來經(jīng)濟效益。

四、建立中小企業(yè)信貸保證保險制度可能存在的問題

建立中小企業(yè)信貸保證保險制度在中小企業(yè)、金融機構、保險公司三方“共贏”的同時，還會產(chǎn)生不少問題，其中最嚴重的問題是“逆選擇”與“道德風險”。

“逆選擇”是由于信息不對稱引起的。中小企業(yè)對自己的經(jīng)營水平、還款能力有著充分的了解，而保險公司對各中小企業(yè)的具體情況沒有深入了解，常常處于信息不對稱狀態(tài)。在這種情況下，那些經(jīng)營狀況好，還款能力強的企業(yè)不愿意投保，而那些經(jīng)營狀況差，還款能力弱的企業(yè)則非常愿意投保，這最終將危及保險業(yè)的穩(wěn)定經(jīng)營，更不利于信貸保證保險制度的實施。

“道德風險”則主要主要來自中小企業(yè)和銀行等信貸機構兩方面。對于中小企業(yè)而言，如果投保了信貸保證保險，往往會將資金運用到高風險的項目，如果投資成功則會給企業(yè)本身帶來巨大的投資回報，倘若投資失敗也會有保險公司為其償還貸款；對銀行等信貸機構而言，有了信貸保證保險往往會忽視債務人的信用等級，對于本不應貸款的客戶，大量放款，以追逐利潤的最大化。道德風險的存在給信貸保證保險制度的建立帶來了難度，應為此籌劃相應的策略，以化解這些負面因素的影響，充分發(fā)揮其積極作用。

五、建立我國中小企業(yè)信貸保證保險制度的總體思路

(一)合理選擇中小企業(yè)信貸保證保險制度建立的方式

建立我國中小企業(yè)信貸保證保險制度的方式大體有兩種模式：一是籌建新型的專業(yè)保險公司來承辦中小企業(yè)的信貸保證保險業(yè)務，出資形式可以由政府承擔或由某些大機構牽頭組建股份公司；二是由現(xiàn)有的優(yōu)質保險公司在原有基礎上開辦該種業(yè)務，由專門的下屬部門從事中小企業(yè)的信貸保證保險業(yè)務?？紤]到我國的現(xiàn)狀，后一種形式應該更為合適。因為這樣不僅可以為國家節(jié)省財政資金，避免重復建設的問題，還可以增強我國現(xiàn)有公司的實力，樹立國家民族保險晶牌。綜上所述，建立我國中小企業(yè)信貸保證保險制度的最佳方式是利用現(xiàn)有的優(yōu)質保險公司，先開展試點業(yè)務，待機會成熟再全面放開。

(二)實行強制保險，差別費率，防止逆向選擇

為了避免出現(xiàn)“逆選擇”問題，我國應該對中小企業(yè)貸款采取強制性政策。如果實行自愿投保，那么銀行對于實力較強的中小企業(yè)貸款則不愿投保，而對實力較差的中小企業(yè)貸款卻非常愿意投保，這將不利于保險公司的長遠經(jīng)營。鑒于此種情況，對于中小企業(yè)貸款應采取強制性的貸款保險。但采取強制性保險，采取相同費率，會產(chǎn)生對各個投保主體有失公平的問題。因為，保險公司在制定保險費率時，是根據(jù)投保者的風險等級進行計算的，對于違約風險較小的績優(yōu)公司的貸款，應實行較低的保險費率；而對于違約風險較大的績差公司的貸款，應實行較高的保險費率。所以，在實行強制保險，防范逆選擇的同時，還應對于不同的信貸主體實行差別費率，以保證公平合理。

(三)實行比例賠付、免賠額等措施，防止道德風險

信貸保證保險過程中，無論是信貸機構還是中小企業(yè)都會出于利潤最大化的動機，人為的增加貸款風險以及資金運用風險，產(chǎn)生道德風險。實行比例賠付、免賠額等措施是防范道德風險的有效方法。比例賠付是指在貸款發(fā)生損失時，保險公司只對貸款進行部分賠償，其余部分由中小企業(yè)和銀行承擔。實施比例賠付可以使中小企業(yè)和銀行等貸款機構在發(fā)生貸款損失時，承擔部分損失。所以，貸款機構在貸款時會非常謹慎，中小企業(yè)在利用資金時也會再三珍重，從而有效地防止道德風險。免賠額是指被保險人根據(jù)保險合同，在賠付之前，先要自己承擔的損失額度。其實施的意義有兩個：第一，免賠額可以大大減少保險公司的工作量，減少賠付率，提高其償付能力。第二，免賠額的實施，可以使信貸機構貸款后保持對貸款人的監(jiān)督，督促中小企業(yè)合理運用資金。由此看來，免賠額同樣可以抑制道德風險。

(四)實行再保險、共同保險方式分散風險

大額的信貸保證保險如果一旦債務人違約失信則會給保險公司的穩(wěn)定經(jīng)營帶來巨大的影響，直接損害其它投保人的利益。因此，保險公司對于數(shù)額較大的信貸保證保險應采取合理的風險分散機制，以避免風險集中。具體方法有再保險和共同保險。再保險是指原保險人在與投保人簽訂保險合同后，與再保險人簽訂再保險合同，當貸款發(fā)生損失時，原保險人和再保險人按合同約定進行賠償。再保險使原保險人在不損失保險業(yè)務的情況下，分散了巨額風險，防止了風險集中，是原保險人經(jīng)常采取的一種化解巨額風險的方式。共同保險是指由多家保險公司對同一巨額風險共同承保。共同保險同樣也可以做到使保險公司擴大承保能力，分散巨額風險的作用。

(五)完善損失補償機制

篇7

會議論文集均由德國Springer出版社作為LNCS系列出版。ICICS2013歡迎來自全世界所有未發(fā)表過和未投遞過的原始論文，內(nèi)容包括訪問控制、計算機病毒與蠕蟲對抗、認證與授權、應用密碼學、生物安全、數(shù)據(jù)與系統(tǒng)安全、數(shù)據(jù)庫安全、分布式系統(tǒng)安全、電子商務安全、欺騙控制、網(wǎng)格安全、信息隱藏與水印、知識版權保護、入侵檢測、密鑰管理與密鑰恢復、基于語言的安全性、操作系統(tǒng)安全、網(wǎng)絡安全、風險評估與安全認證、云安全、無線安全、安全模型、安全協(xié)議、可信計算、可信賴計算、智能電話安全、計算機取證等，但又不局限于此內(nèi)容。

作者提交的論文，必須是未經(jīng)發(fā)表或未并行地提交給其他學術會議或學報的原始論文。所有提交的論文都必須是匿名的，沒有作者名字、單位名稱、致謝或其他明顯透露身份的內(nèi)容。論文必須用英文，并以 PDF 或 PS 格式以電子方式提交。排版的字體大小為11pt，并且論文不能超過12頁（A4紙）。所有提交的論文必須在無附錄的情形下是可理解的，因為不要求程序委員閱讀論文的附錄。如果提交的論文未遵守上述投稿須知，論文作者將自己承擔論文未通過形式審查而拒絕接受論文的風險。審稿將由3位程序委員匿名評審，評審結果為：以論文形式接受；以短文形式接受；拒絕接受。

ICICS2013會議論文集可在會議其間獲取。凡接受論文的作者中，至少有1位必須參加會議，并在會議上報告論文成果。

投稿截止時間：2013年6月5日 通知接受時間：2013年7月24日 發(fā)表稿提交截止時間：2013年8月14日

會議主席：林東岱 中國科學院信息工程研究所 研究員

程序委員會主席：卿斯?jié)h 中國科學院軟件研究所、北京大學軟件與微電子學院 教授

Jianying ZHOU博士 Institute for Infocomm Research，新加坡

篇8

網(wǎng)絡安全論文參考文獻：

[1]張金輝，王衛(wèi)，侯磊.信息安全保障體系建設研究.計算機安全，2012，（8）.

[2]肖志宏，楊倩雯.美國聯(lián)邦政府采購的信息安全保障機制及其啟示.北京電子科技學院學報，2009，（3）.

[3]沈昌祥.構建積極防御綜合防范的信息安全保障體系.金融電子化，2010，（12）.

[4]嚴國戈.中美軍事信息安全法律保障比較.信息安全與通信保密，2007，（7）.

[5]楊紹蘭.信息安全的保障體系.圖書館論壇，2005，（2）.

[6]侯安才，徐瑩.建設網(wǎng)絡信息安全保障體系的新思路.現(xiàn)代電子技術，2004，（3）.

網(wǎng)絡安全論文參考文獻：

[1]王爽.探討如何加強計算機網(wǎng)絡安全及防范[J].計算機光盤軟件與應用，2012（11）.

[2]田文英.淺談計算機操作系統(tǒng)安全問題[J].科技創(chuàng)新與應用，2012（23）.

[3]張曉光.試論計算機網(wǎng)絡的安全隱患與解決對策[J].計算機光盤軟件與應用，2012（18）.

[4]郭晶晶，牟勝梅，史蓓蕾.關于某金融企業(yè)網(wǎng)絡安全應用技術的探討[J].數(shù)字技術與應用，2013，12（09）：123-125.

[5]王擁軍，李建清.淺談企業(yè)網(wǎng)絡安全防護體系的建設[J].信息安全與通信保密，2013，11（07）：153-171.

[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡安全管理中的常見問題[J].計算機安全，2013，11（07）：152-160.

[7]周連兵，張萬.淺議企業(yè)網(wǎng)絡安全方案的設計[J].中國公共安全：學術版，2013，10（02）：163-175.

網(wǎng)絡安全論文參考文獻：

[1]古田月.一場在網(wǎng)絡戰(zhàn)場上的較量與爭奪[N].中國國防報，2013-05-20（6）.

[2]蘭亭.美國秘密監(jiān)視全球媒體[N].中國國防報，2010-10-24（1）.

[3]李志偉.法國網(wǎng)絡安全戰(zhàn)略正興起[N].人民日報，2013-01-01（3）.

篇9

一、征文范圍

1. 新技術應用環(huán)境下信息安全等級保護技術：物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術、環(huán)境下的等級保護支撐技術，等級保護技術體系在新環(huán)境下的應用方法；

2. 關鍵基礎設施信息安全保護技術：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機制特點，信息安全管理標準發(fā)展對策，網(wǎng)絡恐怖的特點、趨勢、危害研究；

4. 信息安全預警與突發(fā)事件應急處置技術：攻擊監(jiān)測技術，態(tài)勢感知預警技術，安全監(jiān)測技術，安全事件響應技術，應急處置技術，災難備份技術，恢復和跟蹤技術，風險評估技術；

5. 信息安全等級保護建設技術：密碼技術，可信計算技術，網(wǎng)絡實名制等體系模型與構建技術，漏洞檢測技術，網(wǎng)絡監(jiān)測與監(jiān)管技術，網(wǎng)絡身份認證技術，網(wǎng)絡攻防技術，軟件安全技術，信任體系研究；

6. 信息安全等級保護監(jiān)管技術：用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護技術，安全態(tài)勢評估技術，安全事件關聯(lián)分析技術、安全績效評估技術，電子數(shù)據(jù)取證和鑒定技術；

7. 信息安全等級保護測評技術：標準符合性檢驗技術，安全基準驗證技術，源代碼安全分析技術，逆向工程剖析技術，滲透測試技術，測評工具和測評方法；

8. 信息安全等級保護策略與機制：網(wǎng)絡安全綜合防控體系建設，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護策略，信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。

二、投稿要求

1. 來稿內(nèi)容應屬于作者的科研成果，數(shù)據(jù)真實、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭議，論文摘要及全文不涉及保密內(nèi)容；

2. 會議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

篇10

通過不斷地教學研究和實踐，我們基本認識了信息安全的學科特點和知識結構，提出了如下觀點：

(1)信息安全具有多學科交叉的特點。信息安全是計算機、通信、電子、數(shù)學、物理、生物、法律、管理、教育等多學科的交叉學科。

(2)信息安全技術具有整體性和底層性的特點。必須從整體上采取措施，從軟硬件底層采取措施，才能比較有效地解決信息安全問題。

(3)確保信息安全是一種系統(tǒng)工程。硬件結構安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎，密碼、網(wǎng)絡安全等是關鍵技術，必須綜合采取各種措施才能奏效。

同時基本認識了信息安全專業(yè)人才培養(yǎng)的基本規(guī)律：

(1)信息安全人才的基本特征是：掌握信息安全的基本理論和基本技能。

(2)必須同時重視信息科學技術的基礎和信息安全的專業(yè)知識與技能。

(3)要高度重視實踐教學。必須有足夠的實踐教學，做好實驗室的基本設施建設，建立校外實習基地，加強實習基地建設。

雖然信息安全專業(yè)的建設取得了一定成績，但仍存在如下三個方面的問題：一是現(xiàn)有的教學培養(yǎng)模式注重基礎理論的學習，專業(yè)必修課與計算機科學與技術專業(yè)重疊太多，未能很好地體現(xiàn)信息安全專業(yè)以學信息安全理論與技術為主，兼學通信，同時加強數(shù)學、物理、法律等基礎，掌握信息安全的基本理論和技能的辦學思路。二是對學生的培養(yǎng)模式統(tǒng)一，沒能根據(jù)學生自身的特點進行培養(yǎng)，不能實現(xiàn)既培養(yǎng)了計算機及通信人才又培養(yǎng)信息安全專業(yè)技術人才的目標，沒能很好地起到分層次和分類別培養(yǎng)的效果。三是原有培養(yǎng)方案中的實驗課程大多數(shù)是課間實驗，實驗時間分散，多以驗證型實驗為主，學生參加課外科研和實踐的機制不健全，對實驗指導的重視程度不夠，不利于學生專業(yè)創(chuàng)新與創(chuàng)造能力的培養(yǎng)。

2信息安全人才培養(yǎng)模式改革與創(chuàng)新基本思路

在綜合考慮上述因素的前提下，結合信息安全專業(yè)人才培養(yǎng)的現(xiàn)狀，我們對人才培養(yǎng)目標進行了重新定位，改進和完善了現(xiàn)有專業(yè)人才培養(yǎng)方案，進行了培養(yǎng)過程和途徑的創(chuàng)新，并對教學和實踐教學環(huán)節(jié)及內(nèi)容進行了改進。

2.1專業(yè)培養(yǎng)目標的重新定位

在認識了信息安全學科的特點、知識結構和人才培養(yǎng)基本規(guī)律的基礎上，我們對專業(yè)培養(yǎng)目標進行了重新定位。進一步明確了信息安全專業(yè)旨在培養(yǎng)能夠從事計算機、通信、電子信息、電子商務技術、電子金融、電子政務、軍事等領域的信息安全研究、應用、開發(fā)、管理等方面的高級技術人才。同時強調加強通識教育和實踐教學，重基礎、重發(fā)展、重能力、重創(chuàng)造，兼顧計算機學院學生必須的通識基礎、數(shù)學基礎、通信基礎、計算機軟硬件基礎、信息安全基礎之間的合理比重。

培養(yǎng)的學生應以學習計算機科學和信息安全理論與技術為基礎，兼學通信技術，同時加強數(shù)學、物理、法律和管理基礎。要求學生在信息安全理論基礎和實際能力兩個方面都得到培養(yǎng)提高：能閱讀本專業(yè)的外文資料。學生畢業(yè)后可從事信息安全領域的研究、應用、開發(fā)和管理等方面的工作。培養(yǎng)目標進一步分層次，按學生特點及去向分為研究型和應用型兩大類，區(qū)別培養(yǎng)，體現(xiàn)了人才培養(yǎng)的多樣化。

2.2改進和完善現(xiàn)有的專業(yè)人才培養(yǎng)方案

信息安全專業(yè)2001年成立以來，我們制訂出一套信息安全本科專業(yè)課程系統(tǒng)和教學計劃，并在全國開設信息安全本科專業(yè)的大學中推廣。為更好地提高人才培養(yǎng)質量，加強學生的理論水平與實際動手能力，我們先后進行了三次培養(yǎng)方案的修訂。

在改進的培養(yǎng)方案中，課程教學方案貫徹了“少而精”的原則，強化基礎知識、應用能力這兩極課程，減少、弱化了二者之間課程的分量；盡力合并傳統(tǒng)內(nèi)容，增設新的、與當今信息安全技術發(fā)展同步的課程或內(nèi)容；調整了專業(yè)必修課和選修課課程，將原培養(yǎng)方案中的專業(yè)選修課(“計算機病毒”、“信息隱藏技術”、“智能卡技術”)改為專業(yè)必修課；更加重視學生實踐動手能力的培養(yǎng)，努力建立學生自主創(chuàng)新學習為主導的學習機制，實現(xiàn)創(chuàng)新精神和能力的培養(yǎng)。

課程體系體現(xiàn)多學科交叉：開設“信息安全數(shù)學基礎”、“信息安全法律法規(guī)”、“通信原理”、“現(xiàn)代通信”等課程。

體現(xiàn)硬件系統(tǒng)的基礎作用：除了常規(guī)硬件類課程外，加開“大規(guī)模集成電路”、“智能卡技術”、“電磁防護與物理安全”、“嵌入式系統(tǒng)”等課程。

體現(xiàn)操作系統(tǒng)的基礎作用：除了“操作系統(tǒng)原理”，加開“Windows原理與應用”、“Linux原理與應用”，形成操作系統(tǒng)課程組。

體現(xiàn)密碼與網(wǎng)絡安全的關鍵作用：開設“密碼學”與“網(wǎng)絡安全”、“計算機病毒”、“網(wǎng)絡管理”、“網(wǎng)絡程序設計”等課程。

第四年的實習實踐教學內(nèi)容配備了相應的實習管理制度和考核指標。要求學生在大學第二年成立專業(yè)學習興趣小組，制定了興趣小組的管理規(guī)定，為第四年實習實踐環(huán)節(jié)奠定良好的基礎。為了讓學生明確信息安全專業(yè)課程學習的順序關系，了解各專業(yè)課程之間的相互聯(lián)系，盡早樹立專業(yè)學習目標，還添加了信息安全專業(yè)課程關系圖，進一步完善了信息安全專業(yè)人才培養(yǎng)方案。

通過人才培養(yǎng)方案的改進和完善，達到了人才培養(yǎng)模式創(chuàng)新的目的，變不適應為適應，變不協(xié)調為協(xié)調，使我們培養(yǎng)的信息安全人才更加適應社會需要，符合中國國情，體現(xiàn)武漢大學“三創(chuàng)”復合型人才培養(yǎng)的特色。

2.3培養(yǎng)過程和途徑的創(chuàng)新思路

新的人才培養(yǎng)模式中，信息安全本科培養(yǎng)按“3+1”模式設置教學計劃，即前三年在學校修滿所有學分，完成全部課程學習，第四年按學生特點及去向分類安排不同的學習項目，完成培養(yǎng)方案中的實踐教學環(huán)節(jié)。推薦免試攻讀碩士學位的學生直接進入到導師的課題組，提前開始研究生階段的學習和研發(fā)工作；對準備就業(yè)的學生安排到用人單位或實習基地實習，并要求其在實習基地實習6個月以上，完成畢業(yè)論文；未推免并要求留在學校實習的學生安排在學院實驗室，按興趣分組，由專門的老師指導完成所分配的研究或開發(fā)項目。

新的培養(yǎng)方案已于2007年全面實施，“3+1”培養(yǎng)模式大大提高了畢業(yè)論文的質量，2003級信息安全專業(yè)畢業(yè)論文的優(yōu)秀率達到了14％。

2.4進一步加強實踐教學

學院高度重視學生實踐動手能力的培養(yǎng)，為加強信息安全專業(yè)學生的創(chuàng)新能力，除安排一年的實習實踐以外，還將實驗課程由分散改為集中進行，由驗證型為主改為設計型為主。增加了“程序設計訓練”實踐課程為必修課，調整了“信息安全綜合實驗”課程的內(nèi)容，將其變?yōu)橐粋€綜合實踐、測試平臺。增加了部分課程的課內(nèi)實驗學時，讓學生做到理論聯(lián)系實際，增加學生的計算機應用能力。

3實踐教學改革

新的人才培養(yǎng)模式促使信息安全專業(yè)實踐教學正在嘗試以下幾項新的改革措施：

3.1不斷改革實踐教學體系，增加實踐教學內(nèi)容，改變實踐教學的實現(xiàn)方式

新的人才培養(yǎng)模式中，信息安全本科按“3+1”模式設置教學計劃，加大了教學實踐環(huán)節(jié)，并將實驗課程由分散進行改為集中進行，由驗證型為主改為設計型為主，加大了綜合設計、創(chuàng)新實驗、實訓實戰(zhàn)的比重。通過對集中實踐教學和課間實踐教學的課時調整，使實踐教學的課時數(shù)占總課時數(shù)的40％。

實驗教學在基礎實驗、綜合設計實驗、創(chuàng)新提高實驗、實訓平臺訓練、實習地實戰(zhàn)訓練、畢業(yè)設計與畢業(yè)論文六個層面開展，不同層面的要求、方法及形式有所不同?；A驗證型實驗多采用課間實驗的方式，綜合設計型實驗一般在理論課后集中一或兩周進行，程序設計訓練和嵌入式設計不受時間限制，可跨越四年時間完成。對創(chuàng)新提高型實驗，可根據(jù)創(chuàng)新設計自主完成。實訓平臺訓練型實驗是在教師指導下分組合作，共同完成實訓項目。畢業(yè)設計與畢業(yè)論文可結合導師的科研工作提前開始，加強過程管理，強化答辯環(huán)節(jié)，確保質量。

3.2積極拓展校外實習基地，通過與企業(yè)合作，提高學生專業(yè)實踐能力