第一篇:論電子商務網絡安全保護
[摘 要] 隨著電子商務技術的發展,網絡交易安全成為了電子商務發展的核心和關鍵問題,對網絡隱私數據(網絡隱私權)安 全的有效保護,成為電子商務順利發展的重要市場環境條件。網絡信息安全技術、信息安全協議、p2p技術成為網絡 隱私安全保護的有效手段。
[關鍵詞] 電子商務;網絡隱私權;信息安全技術;安全協議;p2p技術;安全對策
隨著電子商務技術的發展,網絡交易安全成為了電子商務發展的核心和關鍵問題。在利益驅使下,有些商家在網絡應用者不知情或不情愿的情況下,采取各種技術手段取得和利用其信息,侵犯了上網者的隱私權。對網絡隱私權的有效保護,成為電子商務順利發展的重要市場環境條件。
一、網絡隱私權侵權現象
1.個人的侵權行為。個人未經授權在網絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經授權而進入他人計算機系統收集、獲得信息或騷擾他人;未經授權截取、復制他人正在傳遞的電子信息;未經授權打開他人的電子郵箱或進入私人網上信息領域收集、竊取他人信息資料。
2.商業組織的侵權行為。專門從事網上調查業務的商業組織進行窺探業務,非法獲取他人信息,利用他人隱私。大量網站為廣告商濫發垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業目的。根據紐約時報報道,BOO.com、Toysmart和CraftShop.com等網站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統計分析結果標價出售,以換取更多的資金。
3.部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產商在自己銷售的產品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經在其生產的某代處理器內設置“安全序號”,每個使用該處理器的計算機能在網絡中被識別,生產廠商可以輕易地收到用戶接、發的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網絡提供商的侵權行為
(1)互聯網服務提供商(ISp Internet Service provider)的侵權行為:①ISp具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISp把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業秘密泄露。②ISp對他人在網站上發表侵權信息應承擔責任。
(2)互聯網內容提供商(ICp Internet Content provider)的侵權行為。ICp是通過建立網站向廣大用戶提供信息,如果ICp發現明顯的公開宣揚他人隱私的言論,采取放縱的態度任其擴散,ICp構成侵害用戶隱私權,應當承擔過錯責任。
5.網絡所有者或管理者的監視及竊聽。對于局域網內的電腦使用者,某些網絡的所有者或管理者會通過網絡中心監視使用者的活動,竊聽個人信息,尤其是監控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。
二、網絡隱私權問題產生的原因
網絡隱私權遭受侵犯主要是由于互聯網固有的結構特性和電子商務發展導致的利益驅動這兩個方面的原因。
1.互聯網的開放性。從網絡本身來看,網絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯網成員的多樣和位置的分散,其安全性并不好。互聯網上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關。現在的許多網站在每個訪客進入網站時將cookie放入訪客電腦,不僅能知道用戶在網站上買了些什么,還能掌握該用戶在網站上看過哪些內容,總共逗留了多長時間等,以便了解網站的流量和頁面瀏覽數量。另外,網絡廣告商也經常用cookie來統計廣告條幅的點擊率和點擊量,從而分析訪客的上網習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網站的瀏覽活動聯系起來。這顯然侵犯了他人的隱私。
3.網絡服務提供商(ISp)在網絡隱私權保護中的責任。ISp對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當的步驟和技術保護個人的權利,特別是保證數據的統一性和秘密性,以及網絡和基于網絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網及參加一些活動的權利;不為促銷目的而使用數據,除非得到用戶的許可;對適當使用數據負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISp站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網上公布數據應謹慎。
目前,網上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發現在接受這些免費服務時,必經的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。
三、安全技術對網絡隱私權保護
1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統安全監測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。
(2)加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)數字簽名技術。數字簽名(Digital??Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
(4)數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Time-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
2.電子商務信息安全協議
(1)安全套接層協議(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年設計開發的,主要用于提高應用程序之間的數據的安全系數。SSL的整個概念可以被總結為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCp/Ip的客戶、服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。
(2)安全電子交易公告(Secure Electronic Transactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規范。SET在保留對客戶信用卡認證的前提下,又增加了對商家身份的認證。SET已成為全球網絡的工業標準。
(3)安全超文本傳輸協議(S-HTTp)。依靠密鑰的加密,保證Web站點間的交換信息傳輸的安全性。SHTTp對HT-Tp的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上發展的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
(4)安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開,以提高安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
3.p2p技術與網絡信息安全。p2p(peer-to-peer,即對等網絡)是近年來廣受IT業界關注的一個概念。p2p是一種分布式網絡,最根本的思想,同時它與C/S最顯著的區別在于網絡中的節點(peer)既可以獲取其它節點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般p2p網絡中每一個節點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。
(1)隱私安全性
①目前的Internet通用協議不支持隱藏通信端地址的功能。攻擊者可以監控用戶的流量特征,獲得Ip地址。甚至可以使用一些跟蹤軟件直接從Ip地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通信的內容,但是這些機制并不能隱藏是誰發送了這些信息。而在p2p中,系統要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節點之間進行而無需經過某個集中環節,用戶的隱私信息被竊聽和泄漏的可能性大大縮小。p2p系統的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規模的環境中,任何一次通信都可能包含許多潛在的用戶。
②目前解決Internet隱私問題主要采用中繼轉發的技術方法,從而將通信的參與者隱藏在眾多的網絡實體之中。而在p2p中,所有參與者都可以提供中繼轉發的功能,因而大大提高了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。
(2)對等誠信
為使得p2p技術在更多的電子商務中發揮作用,必須考慮到網絡節點之間的信任問題。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理,可能是未來各種網絡加強信任管理的必然選擇。
對等誠信的一個關鍵是量化節點的信譽度。或者說需要建立一個基于p2p的信譽度模型。信譽度模型通過預測網絡的狀態來提高分布式系統的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣,在一個分布式系統中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升(1)或降低(-1)。如果被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。
每個對等點i可以存貯它自身與對等點j的滿意的交易數,以及不滿意的交易數,則可定義為:
Sij=sat(i,j)-unsat(i,j)
四、電子商務中的隱私安全對策
1.加強網絡隱私安全管理。我國網絡隱私安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統一、協調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
2.加快網絡隱私安全專業人才的培養。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網絡隱私安全立法和執法。加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加科學和完善。
4.抓緊網絡隱私安全基礎設施建設。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網絡風險防范機制。建議網絡經營者可以在保險標的范圍內允許標保的財產進行標保,并在出險后進行理賠。
6.強化網絡技術創新,重點研究關鍵芯片與內核編程技術和安全基礎理論。統一組織進行信息安全關鍵技術攻關,以創新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網絡建設的規范化。沒有統一的技術規范,局部性的網絡就不能互連、互通、互動,沒有技術規范也難以形成網絡安全產業規模。目前,國際上出現許多關于網絡隱私安全的技術規范、技術標準,目的就是要在統一的網絡環境中保證隱私信息的絕對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規范。
參考文獻:
[1]屈云波.電子商務[M].北京:企業管理出版社,1999.[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.[3]趙戰生.我國信息安全及其技術研究[J].中國信息導報,1999,(8).[4]曹亦萍.社會信息化與隱私權保護[J].政法論壇,1998,(1).[5]林聰榕.世界主要國家信息安全的發展動向[J].中國信息導報,2001,(1).
第二篇:網絡安全保護管理制度
市地方海事局網絡安全保護管理制度
為加強政務網站、業務網絡管理,保障網絡暢通,杜絕利用網絡進行非法活動,使之更好地為日常辦公服務,制定本制度。
一、安全教育與培訓
1.組織網絡安全管理員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息發布審核、登記制度》,提高網絡安全管理員的維護網絡安全的警惕性和自覺性。
2.對政務網、業務網用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,具備基本的網絡安全知識。
3.對信息源接入部門進行安全教育和培訓,使他們自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,杜絕發布違反《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。
4.不定期地邀請公安機關有關人員、設備提供商專業技術人員進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防范能力。
二、病毒檢測和網絡安全漏洞檢測
1.具有合法權限的用戶才能進行相應權限范圍內的政務網操作,任何其他非法操作都屬于入侵行為。
2.業務網的所有用戶,不準掃描端口、不準猜測和掃描其他用戶的密碼、不準猜測和掃描服務器和交換設備的口令。
3.系統管理員應定期檢查服務器的系統日志,如發現有入侵情況,應及時采取措施,保留原始數據,以便進行調查取證,并向主管部門匯報。同時,做好政務網入侵情況登記。網絡管理員有權檢查用戶在政務網站賬戶下的所有信息,如認為情況異常,有權關閉用戶賬戶,并要求用戶作出解釋,并及時報告主管部門作出處理。
4.服務器如果發現漏洞要及時修補漏洞或進行系統升級。
5.網絡管理員定期對政務網站進行網絡數據包的監控,及時發現和檢測網絡運行情況,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為,阻止網絡內外的入侵。
6.網絡信息管理員履行對所有上網信息進行審查的職責,根據需要采取措施,監視、記錄、檢測、制止、查處、防范針對其所管轄網絡或入網計算機的人或事。7.所有用戶有責任對所發現或發生的違反有關法律、法規和規章制度的人或事予以制止或向有關部門或網絡管理員反映、舉報,協助有關部門或管理員對上述人或事進行調查、取證、處理,應該向調查人員如實提供所需證據。
8.網絡管理員應根據實際情況和需要采用新技術調整網絡結構、系統功能,變更系統參數和使用方法,及時排除系統隱患。
三、網絡安全管理員崗位職責 1.保障網絡暢通和網絡信息安全。
2.嚴格遵守國家、省、市制定的相關法律、行政法規和本單位規定,確保網絡安全暢通。
3.在發生網絡重大突發事件時,應立即報告,采取應急措施,盡快恢復網絡正常運行。
4.充分利用現有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5.加強信息審查工作,保存、備份至少90 天之內網絡信息日志,及時加以分析、排查不安定因素,防止黃色、反動信息的傳播。
6.經常檢查機房工作環境的防火、防盜工作。
四、網絡違法案件報告和協助查處
1.落實網絡安全崗位責任制,實行領導責任制和網絡管理員負責制,網絡安全事件實行誰主管,誰負責。2.加強值班和值班日志的管理,建立定期、不定期的日志分析制度,及時發現網絡安全事件和隱患。
3.一旦發現網絡違法案件,應詳細、如實記錄事件經過,保存相關日志,及時通知有關人員,并與公安部門取得聯系。
4.接到有關網絡違法案件舉報時,要詳細記錄,對舉報人的身份等要嚴格保密,及時通知有關人員,并及時與公安部門取得聯系。
5.當有關網絡安全監察部門進行網絡違法案件及其他網絡安全檢查時,網絡管理員和其他有關人員必須積極配合。
6.以下行為屬于違法使用網絡:
(1)破壞網絡通訊設施,包括光纜、室內網絡布線、室內信息插座、配線間網絡設備等。
(2)隨意改變網絡接入位置。
(3)盜用他人的IP地址、更改網卡地址、盜用他人帳號(包括上網賬號、電子郵件賬號、信息發布賬號等);
(4)通過電子郵件、網絡、存儲介質等途徑故意傳播計算機病毒。
(5)對網絡進行惡意偵聽和信息截獲,在網絡上發送干擾正常通信的數據。
(6)對網絡各種攻擊,包括利用已知的系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊,以后、以及利用IP欺騙手段實施的拒絕服務攻擊;
(7)訪問和傳播色情、反動、邪教、謠言等不良信息的。
五、網絡賬號使用登記和操作權限
1.業務網站由各部門對用戶進行有效的級別和權限劃分,建立相應賬號與權限審查制度。
2.上網IP地址是上網主機在網上的合法用戶身份標志,所有上網主機必須到網絡管理部門進行登記注冊,將本機的重要網絡技術資料(包括主機型號,技術參數,用戶名,主機名,所在域名或工作組名,網卡類型,網卡的MAC地址,網管部門分配的IP地址)詳盡備案,以備核查。
3.上網用戶未經許可,不得擅自改動本機IP地址的主機。
4.業務網管理員對用戶賬號與權限劃分要進行有效的備份,以便網絡發生故障時進行恢復。
6.單位賬號與操作權限的設置,必須做到專人專管,不得泄密或外借給他人使用。
六、信息發布、審核與登記
1.發布時要落實安全保護技術措施,保障網站的運行安全和信息安全。
2.主機方式接入的單位,系統要做好用戶權限設定工作,不能開放其信息目錄以外的其他目錄的操作權限。
3.認真執行信息審核管理工作,杜絕違反《計算機信息網絡國際互聯網安全保護管理辦法》的行為。
4.信源單位做好登記,對其提供的信息進行認真檢查,不得有危害國家安全、泄露國家秘密、侵犯國家利益和公民的合法權益的內容出現。
5.在公共言論的欄目發布信息進行審核檢查,嚴禁發布違反我國憲法、有損單位聲譽的言論,嚴禁任何違反社會主義精神文明建設的言論,嚴禁進行人身攻擊和無理謾罵。各部門在網上發布的公開信息,應進行記錄,信息發布記錄至少應保留三個月。
6.網站各類信息的發布,需由各權限部門負責人簽字并經分管領導同意。
7.用戶制作、復制、查閱和傳播下列信息的,按照國家有關規定,刪除本網絡中含有上述內容的地址、目錄或者關閉服務器,并保留原始記錄,在24小時之內向當地公安機關報告:
(1)煽動抗拒、破壞憲法、法律、行政法規實施(2)煽動顛覆國家政權,推翻社會主義制度(3)煽動分裂國家、破壞國家統一
(4)煽動民族仇恨、民族歧視、破壞民族團結(5)捏造或者歪曲事實、散布謠言,擾亂社會秩序(6)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪
(7)公然侮辱他人或者捏造事實誹謗他人(8)損害國家機關信譽
(9)其他違反憲法、法律、行政法規的
第三篇:網絡安全保護管理制度
網絡安全保護管理制度
為加強阿牛網站、網絡管理,保障網絡暢通,杜絕利用網絡進行非法活動,使之更好地為用戶帶來穩定的服務、良好的體驗、保證網站及網站用戶的安全性,指定以下制度。
一、安全教育與培訓
1.組織網站管理員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息發布審核、登記制度》,提高工作人員的維護網絡安全的警惕性和自覺性。
2.對本網站用戶進行安全保護意識提醒,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,具備基本的網絡安全知識。
3.對信息源接入部門進行安全教育和培訓,使他們自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,杜絕發布違反《計算機信息網絡國際互聯網安全保護管理辦法》的信息內容。
4.不定期地邀請公安機關有關人員、設備提供商專業技術人員進行信息安全方面的培訓,加強對有害信息,特別是影射性有害信息的識別能力,提高防范能力。
二、病毒檢測和網絡安全漏洞檢測
1.阿牛網的所有服務器,具有合法權限的員工才能進行相應權限范圍內的操作,任何其他非法操作都屬于入侵行為。
2.阿牛網的所有用戶,不準掃描端口、不準猜測和掃描其他用戶的密碼、不準猜測和掃描網絡中心的服務器和交換設備的的口令。
3.阿牛網的所有服務器,系統管理員必須配置好學院網站安全審計策略,加強對各種訪問的審計。
4.系統管理員應定期檢查服務器的系統日志,如發現有入侵情況,應及時采取措施,保留原始數據,以便進行調查取證,并向主管部門匯報。同時,做好阿牛網入侵情況登記。網絡管理員有權檢查用戶在學院網站帳戶下的所有信息,如認為情況異常,有權關閉用戶帳戶,并要求用戶作出解釋,并及時報告主管部門作出處理。
5.服務器如果發現漏洞要及時修補漏洞或進行系統升級。
6.網絡信息安全員履行對所有上網信息進行審查的職責,根據需要采取措施,監視、記錄、檢測、制止、查處、防范針對其所管轄網絡或入網計算機的人或事。
7.所有用戶有責任對所發現或發生的違反有關法律、法規和規章制度的人或事予以制止或向網絡中心反映、舉報,協助有關部門或管理人員對上述人或事進行調查、取證、處理,應該向調查人員如實提供所需證據。
8.網絡管理員應根據實際情況和需要采用新技術調整網絡結構、系統功能,變更系統參數和使用方法,及時排除系統隱患。
三、電子公告系統的用戶登記和信息管理
1.加強阿牛網電子公告系統的審核管理工作,杜絕出現違反《計算機信息網絡國際互聯網安全保護管理辦法》的內容。
2.對網站管理員的聘用本著認真慎重的態度,要認真核實管理員身份,做好管理員聘用記錄。
3.對網絡安全員工進行網絡安全教育,落實管理員職責,提高系統管理員的責任感。
4.管理員負責檢查網站信息內容,如發現違反《計算機信息網絡國際互聯網安全保護管理辦法》的,立即予以刪除。如情節嚴重者,應做好原始記錄,報告網絡管理員,由管理員向公安機關計算機管理監察機構報告。
5.網絡管理員應認真履行職責,配合安全員的工作,共同維護網站的信息安全。
三、網絡安全管理員崗位職責
1.保障阿牛網絡暢通和網絡信息安全。
2.嚴格遵守國家、省、市制定的相關法律、行政法規,嚴格執行我學院制定的《網絡安全工作制度》,以人為本,依法管理,確保學院網絡安全有序。
3.在發生網絡重大突發事件時,應立即報告,采取應急措施,盡快恢復網絡正常運行。
4.充分利用現有的安全設備設施、軟件,最大限度地防止計算機病毒入侵和黑客攻擊。
5.加強信息審查工作,保存、備份至少 90 天之內網絡信息日志,及時加以分析、排查不安定因素,防止黃色、反動信息的傳播。
6.經常檢查阿牛網工作環境的防火、防盜工作。
五、網絡違法案件報告和協助查處
1.落實網絡安全崗位責任制,實行領導責任制和網絡安全員負責制,網絡安全事件實行誰主管,誰負責。
2.加強值班和值班日志的管理,建立定期、不定期的日志分析制度,及時發現網絡安全事件和隱患。
3.一旦發現網絡違法案件,應詳細、如實記錄事件經過,保存相關日志,及時通知有關人員,并與公安部門取得聯系。
4.接到有關網絡違法案件舉報時,要詳細記錄,對舉報人的身份等要嚴格保密,及時通知有關人員,并及時與公安部門取得聯系。
5.當有關網絡安全監察部門進行網絡違法案件及其他網絡安全檢查時,網絡安全員和其他有關人員必須積極配合。
6.以下行為屬于違法使用網絡:
(1)破壞網絡通訊設施,包括光纜、室內網絡布線、室內信息插座、配線間網絡設備等。
(2)隨意改變網絡接入位置。
(3)盜用他人的IP地址、更改網卡地址、盜用他人帳號(包括上網帳號、電子郵件帳號、信息發布帳號等);
(4)通過電子郵件、網絡、存儲介質等途徑故意傳播計算機病毒。(5)對網絡進行惡意偵聽和信息截獲,在網絡上發送干擾正常通信的數據。(6)對網絡各種攻擊,包括利用已知的系統漏洞、網絡漏洞、安全工具、端口掃描等進行攻擊,以后、以及利用IP欺騙手段實施的拒絕服務攻擊;
(7)訪問和傳播色情、反動、邪教、謠言等不良信息的。
六、網絡帳號使用登記和操作權限
1.阿牛網絡管理中心要對阿牛員工進行有效的級別和權限劃分,建立相應帳號與權限審查制度。
2.各上網主機采取責任到人的方法,嚴格上網管理制度,如所管主機上發生不良活動,將首先追查主機負責人的責任,并按規定取消該主機的上網賬號。
3.上網IP地址是上網主機在網上的合法用戶身份標志,所有上網主機必須到網絡管理部門進行登記注冊,將本機的重要網絡技術資料(包括主機型號,技術參數,用戶名,主機名,所在域名或工作組名,網卡類型,網卡的MAC地址,網管部門分配的IP地址)詳盡備案,以備核查。
4.上網用戶未經許可,不得擅自改動本機IP地址的主機。
5.網絡管理中心對帳號與權限劃分要進行有效的備份,以便網絡發生故障時進行恢復。
6.單位帳號與操作權限的設置,必須做到專人專管,不得泄密或外借給他人使用。
七、信息發布、審核與登記
1.發布時要落實安全保護技術措施,保障阿牛網的運行安全和信息安全。2.主機方式接入的單位,系統要做好用戶權限設定工作,不能開放其信息目錄以外的其他目錄的操作權限。
3.認真執行信息審核管理工作,杜絕違反《計算機信息網絡國際互聯網安全保護管理辦法》的行為。
4.信源單位做好登記,對其提供的信息進行認真檢查,不得有危害國家安全、泄露國家秘密、侵犯國家利益和公民的合法權益的內容出現。
5.發布公共言論的欄目進行審核檢查,嚴禁發布違反我國憲法、有損學院聲譽的言論,嚴禁任何違反社會主義精神文明建設的言論,嚴禁進行人身攻擊和無理謾罵。各部門在網上發布的公開信息,應進行記錄,信息發布記錄至少應保留三個月。
6.阿牛網的信息發布,需由各權限部門負責人簽字并經網站負責人同意。7.用戶制作、復制、查閱和傳播下列信息的,按照國家有關規定,刪除本網絡中含有上述內容的地址、目錄或者關閉服務器,并保留原始記錄,在二十四小時之內向當地公安機關報告:
(1)煽動抗拒、破壞憲法、法律、行政法規實施(2)煽動顛覆國家政權,推翻社會主義制度(3)煽動分裂國家、破壞國家統一
(4)煽動民族仇恨、民族歧視、破壞民族團結(5)捏造或者歪曲事實、散布謠言,擾亂社會秩序
(6)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪(7)公然侮辱他人或者捏造事實誹謗他人(8)損害國家機關信譽
(9)其他違反憲法、法律、行政法規
第四篇:電子商務網絡安全論文
計算機網絡安全與反黑客技術課程論文—— 電子商務網絡安全
電子商務網絡安全
摘要:介紹了電子商務技術的發展,網絡交易安全是電子商務發展的核心和關鍵問題,目前主要采用的電子商務安全防偽技術有:數據加密技術;認證技術;和安全認證協議。
關鍵詞:電子商務 計算機網絡安全措施 商務交易安全措施 存在問題及對策
引 言
電子商務實際是基于物聯網站開展的各種商務活動,由于Internet本身具有開放性,且具有不直接對面性,其資金流轉具有計算機處理性和網絡傳輸性,使得交易的安全成為了電子商務發展的核心和關鍵問題。為了確保在交易過程中信息有效、真實、可靠且保密,所以電子商務在網絡安全技術方面就顯得尤為重要。本文將概述是目前有關電子商務網絡安全技術介紹以及對策,所面臨的問題。[ 6 ]電子商務的概念
電子商務(Electronic Commerce),是指實現整個貿易活動的電子化。從涵蓋范圍方面可以定義為:交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業交易;從技術方面可以定義為:電子商務是一種多技術的集合體,包括交換數據(如電子數據交換、電子郵件)、獲得數據(如共享數據庫、電子公告牌)以及自動捕獲數據(如條形碼)等。
電子商務涵蓋的業務包括:信息交換、售前售后服務(如提供產品和服務的細節、產品使用技 術指南、回答顧客意見)、銷售、電子支付(如使用電子資金轉帳、信用卡、電子支票、電子現金)、運輸(包括商品的發送管理和運輸跟蹤,以及可以電子化傳送的產品的實際發送)、組建虛擬企業(組建一個物理上不存在的企業,集中一批獨立中小公司的權限,提供比任何單獨公司多得多的產品和 服務)、公司和貿易伙伴可以共同擁有和運營共享的商業方法等。[ 1,]
由于電子商務是在因特網等網絡上進行的,因此網絡是電子商務最基本的構架。電子商務還強調要使系統的軟件和硬件、參加交易的買方和賣方、銀行或金融機構、廠商、企業和所有合作伙伴,都要在Intranet、Extranet、Internet中密切結合起來,共同從事在網絡計算機環境下的商業電子化應用。Intranet是整個交易的基礎,通過Intranet的建立和完善,解決好內容管理(Content Management)和協同及信息(Collaboration and Messaging)問題。在此基礎上才能順利擴展Intranet,最后擴展到 1
Internet,完成真正意義上的電子商務。[ 9 ]計算機網絡安全措施 計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。
(一)保護網絡安全。
網絡安全是為保護商務各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:
(1)全面規劃網絡平臺的安全策略。
(2)制定網絡安全的管理措施。
(3)使用防火墻。
(4)盡可能記錄網絡上的一切活動。
(5)注意對網絡設備的物理保護。
(6)檢驗網絡平臺系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web服務器、網絡支付專用軟件系統)所建立的安全防護措施,它獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由于電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向于在應用層而不是在網絡層采取各種安全措施。
雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網絡支付系統的角度進行安全防護,它與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯。涉及網絡支付結算的系統安全包含下述一些措施:
(1)在安裝的軟件中,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。[ 3]
3電子商務交易安全措施 商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務
安全協議等。
(一)加密技術。
加密技術是電子商務采取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合于對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密后再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。[15 ]
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子標簽,如同出示手寫簽名一樣,能起到電子文件認證、核準和生效的作用。其實現方式是把散列函數和公開鑰密算法結合起來,發送方從報文文本中生成一個散列值,并用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然后,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰并得到證書,然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,并通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。[20 ]
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。目前,比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位于傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與服務器真正傳輸應用層數據之前建立安全機制。當客戶與服務器第一
次通信時,雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致,然后互相驗證對方身份,最后使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息,客戶和服務器各自根據此秘密信息產生數據加密算法和Hash算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然后經網絡傳輸層發送給對方。SSL警報協議用來在客戶和服務器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標準。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位于應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
4電子商務面臨的問題及對策
問題:
(1)電子商務的安全性問題。其仍是影響電子商務發展的主要因素。然而,在開放的網絡上處理交易,如何保證傳輸數據的安全成為電子商務能否普及的重要因素之一。因此,有一部分人或公司因擔心安全問題而不愿意采用電子商務,成為電子商務發展中的重要障礙。
(2)電子商務管理問題。這個管理的概念應該涵蓋商務管理、技術管理、服務管理等多方面。另外電子商務平臺的前后端相一致也是非常重要的。前臺的WEB平臺直接面向消費者的,是電子商務的門面。而后臺的內部經營管理體系則是完成電子商務的必要條件,它關系到前臺所承接的業務最終能不能得到很好的實現,決定電子商務公司最終能不能盈利。
(3)電子商務的搜索問題。目前在互聯網上至少幾十億網頁需要建立索引,而就目前的搜索引擎來講,顯然還不能對所有的網頁建立索引,仍然接近一半不能索引。
(4)電子商務的稅務問題。由于電子商務的交易活動是在沒有固定場所的國際信息網絡環境下進行,造成國家難以控制和收取電子商務的稅金。
(5)電子商務的標準問題。我們面對無國界、全球性的貿易活動,需要在電子商務易活動中建立相關的,統一的國際性標準,以解決電子商務活動的相互操作問題。
(6)電子商務的費用支出問題。由于金融手段的落后,信用制度不健全,我們喜歡現金交易,沒有使用信用卡的習慣。安全的支付手段是電子商務發展的基本條件。
(7)電子商務的合同法律問題。如何保證電子商務活動中合同的有效性及電子印章和電子簽名的有效性,是保證電子商務正常發展的重要因素之一。
對策:
(1)做好電子商務的發展規劃和宏觀指導。要求政策制定者對市場的變化保持高度的敏感,加強研究,適時制定鼓勵電子商務發展的政策。如行業協會等應充分發揮自己聯系政府和企業的紐帶作用,做好企業與政府部門的信息溝通,協助政府做好產業發展規劃。
(2)加強基礎設施建設。要構建一個值得信賴并能夠保證信息的完整性和安全性的多層次的開放的網路體系,加強基礎網路的建設,改善國內用戶環境。
(3)加強電子商務宣傳和人才培養。充分利用各種途徑和手段培養、引進并合理使用好一批素質較高、層次合理、專業配套的網路、計算機及經營管理的專業人才,是我國電子商務建設成功的根本保證。
(4)加強政府的示范和引導,開展電子商務示范工程,通過實施政府信息化,提高政府工作效率和透明度,促進政府與社會的溝通。有針對性地扶持重點行業、企業開展電子商務,通過試點總結經驗加以推廣。采取積極措施,鼓勵和支持更多的傳統企業,企業的產品和服務貿易活動電子化。
(5)商務部要加強規劃和指導,以保障電子商務的健康穩定發展電子商務的主要動力。
總之,21世紀是信息化的時代,信息服務業成為它的主導產業,在全球信息化大勢驅動下,世界各國的電子商務不斷的發現問題和解決問題,不斷地改進和完善,電子商務必將成為各個國家和各大公司爭奪的焦。[ 4 ]
小結
網絡安全對電子商務尤為重要,網絡安全是電子商務發展的關鍵,沒有網絡安全的保障,電子商務是很難又快又準的進行的。只有更好的利用網絡,在網絡安全的前提下才能更好的進行電子商務的交易。
參考文獻:
[1]張娟,電子商務網絡安全技術探究[D],2005,(04)
[2]賈偉,網絡與電子商務安全[J],國防工業出版社,2009
[3] 宋西軍,計算機網絡安全技術[J],北京大學, 2009
[4] 劉遠生,網絡安全實用教程[J],人民郵電, 2011
[5] 宋夢華,電子商務與網絡安全[J],對外經濟貿易 2011
[6] 章學拯,網絡安全與電子商務[J], 2010
[7] 陳朝榮,電子商務技術,中國財經經濟[J],2011
[8] 宋宜昌,余勇昌,網絡安全與信息加密技術淺析[J],中國數據通信2009
[9] 周曙東.電子商務概論[J],2008
[10] 洪濤,電子商務盈利模式案例,[J],經濟管理,2011
[11] 柴躍延,我國電子商務發展戰略與對策[J],清華大學,2009
[12] 蔣志培,網絡與電子商務法[J],華中科技大學, 2009
[13] 曾強,王潼,電子商務的現狀與未來[J].經濟,2010,(11)
[14] 勞幗齡,電子商務法律法規[J],清華大學,2010,(02)
[15] 嚴曉紅,NGN離我們有多遠?[J],現代有線傳輸,2011,(01)
[16] 周建良,盧菊紅,電子商務使用教程,[J],海洋,2011,(01)
[17] 趙衛東,電子商務模式 [J],現代有線傳輸,2011,(02)
[18] 李琪,第九屆全國高校電子商務教育與學術研討大會暨第三屆網商與電子商務生態學術研討會論文集 [D],浙江大學,2010,(01)
[19] 楊天劍,呂延杰,電子商務系統分析與設計[D],北京郵電大學,2010,(01)
[20](美國)(Behrouz A.Forouzan)福羅贊,密碼學與網絡安全[J],清華大學,2009,(01)
第五篇:計算機網絡安全保護管理制度(精選)
菏澤市婦幼保健院
計算機網絡安全保護管理制度
一、互聯網公用賬號登記制度
(一)任何人員必須通過信息科分配設置的IP作為賬號,并對使用人的個人信息、機器MAC地址、IP、網絡信息模塊編號等基本信息進行登記后方可使用,沒有經過信息科分配設置登記而私自設置IP上網,均被視為非法侵入。
(二)設專職網絡管理員對單位內分配的IP進行管理,網絡管理員擁有分配IP、撤銷IP權力。
(三)網絡管理員必須監視IP使用情況,發現IP用于違反此管理制度的應當立即封鎖或撤銷其網絡連接。
(四)網絡管理員對盜用他人IP的人員有責任進行監控,并向信息中心或公安部門報告。
(五)網絡管理員對違反國家網絡安全規定的IP有責任進行監控其使用行為,并向公安部門報告。
二、互聯網安全保護管理制度
(一)組織工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》,提高工作人員的維護網絡安全的警惕性和自覺性。
(二)負責對本網絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
(三)加強對單位的信息發布和 BBS 公告系統的信息發布的審核管理工作,杜絕違犯《計算機信息網絡國際互聯網安全保護管理辦法》的內容出現。
(四)一旦發現從事下列危害計算機信息網絡安全的活動的:
1、未經允許進入計算機信息網絡或者使用計算機信息網絡資源;
2、未經允許對計算機信息網絡功能進行刪除、修改或者增加;
3、未經允許對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
4、故意制作、傳播計算機病毒等破壞性程序的;
5、從事其他危害計算機信息網絡安全的活動。做好記錄并立即向當地公安機關報告。
(五)在信息發布的審核過程中,如發現有以下行為的:
1、煽動抗拒、破壞憲法和法律、行政法規實施
2、煽動顛覆國家政權,推翻社會主義制度
3、煽動分裂國家、破壞國家統一
4、煽動民族仇恨、民族歧視、破壞民族團結
5、捏造或者歪曲事實、散布謠言,擾亂社會秩序
6、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪
7、公然侮辱他人或者捏造事實誹謗他人
8、損害國家機關信譽
9、其他違反憲法和法律、行政法規將一律不予以發布,并保留有關原始記錄,在二十四小時內向當地公安機關報告。
(六)接受并配合公安機關的安全監督、檢查和指導,如實向公安機關提供有關安全保護的信息、資料及數據文件,協助公安機關查處通過國際聯網的計算機信息網絡的違法犯罪行為.三、網絡安全事件應急處置制度
為了保證我院網站及網絡暢通,安全運行,保證網絡信息安全,特制定網絡和信息安全事件應急處置和報告制度。
(一)在院領導下,貫徹執行《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際互聯網管理暫行規定》等相關法律法規;落實貫徹公安部門和省、市相關部門關于網絡和信息安全管理的有關文件精神,堅持積極防御、綜合防范的方針,本著以防為主、注重應急工作原則,預防和控制風險,在發生信息安全事故或事件時最大程度地減少損失,盡快使網絡和系統恢復正常,做好網絡和信息安全保障工作。
(二)信息網絡安全事件定義、網絡突然發生中斷,如停電、線路故障、網絡通信設備損壞等。、網站受到黑客攻擊,主頁被惡意篡改、交互式欄目里發表有煽動分裂國家、破國家統一和民族團結、推翻社會主義制度;煽動抗拒、破壞憲法和國家法律、行政法規的實施;捏造或者歪曲事實,故意散布謠言,擾亂秩序;破壞社會穩定的信息及損害國家、醫院聲譽和穩定的謠言等。、單位內網絡服務器及其他服務器被非法入侵,服務器上的數據被非法拷貝、修改、刪除,發生泄密事件。
(三)設置網絡應急小組,組長由單位有關領導擔任,成員由技術部門人員組成。采取統一管理體制,明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法。設置網絡運行維護小組,成員由信息中心人員組成,確保網絡暢通與信息安全。
(四)加強網絡信息審查工作,若發現主頁被惡意更改,應立即停止主頁服務并恢復正確內容,同時檢查分析被更改的原因,在被更改的原因找到并排除之前,不得重新開放主頁服務。信息發布服務,必須落實責任人,實行先審后發,并具備相應的安全防范措施(如:日志留存、安全認證、實時監控、防黑客、防病毒等)。建立有效的網絡防病毒工作機制,及時做好防病毒軟件的網上升級,保證病毒庫的及時更新。
(五)信息科對醫院網絡實施 24 小時值班責任制,開通值班電話,保證與上級主管部門、電信部門和當地公安單位的熱線聯系。若發現異常應立即向應急小組及有關部門、上級領導報告。
(六)加強突發事件的快速反應。運行維護小組具體負責相應的網絡安全和信息安全工作,網絡管理員具體負責相應的網絡安全和信息安全工作,不允許有任何觸犯國家網絡管理條例的網絡信息,對突發的信息網絡安全事件應做到:
1、及時發現、及時報告,在發現后在第一時間向上一級領導或部門報告。
2、保護現場,立即與網絡隔離,防止影響擴大。
3、及時取證,分析、查找原因。
4、消除有害信息,防止進一步傳播,將事件的影響降到最低。、在處置有害信息的過程中,任何科室和個人不得保留、貯存、散布、傳播所發現的有害信息。、追究相關責任。根據實際情況提出口頭警告、書面警告、停止使用網絡,情節嚴重和后果影響較大者,提交醫院及國家司法機關處理,追究部門負責人和直接責任人的行政或法律責任。
(七)做好準備,加強防范。
應急小組各部門成員對相應工作要有應急準備。針對網絡存在的安全隱患和出現的問題,及時提出整治方案并具體落實到位,創造良好的網絡環境。
(八)加強網絡用戶的法律意識和網絡安全意識教育,提高其安全意識和防范能力;凈化網絡環境,嚴禁用于上網瀏覽與工作無關的網站。
(九)做好網絡機房及戶外網絡設備的防火、防盜竊、防雷擊、防鼠害等工作。若發生事故,應立即組織人員自救,并報警。
(十)網絡安全事件報告與處置。事件發生并得到確認后,有關人員應立即將情況報告有關領導,由領導指揮處理網絡安全事件。應及時向當地公安單位報案。阻斷網絡連接,進行現場保護,協助調查取證和系統恢復等工作,有關違法事件移交公安單位處理。
四、信息發布登記制度
(一)在接入時要落實安全保護技術措施,保障本網絡的運行安全和信息安全;
(二)系統要做好用戶權限設定工作,不能開放其信息目錄以外的其他目錄的操作權限。
(三)對委托發布信息的科室和個人進行登記并存檔。
(四)對科室或個人提供的信息進行審核,不得有違犯《計算機信息網絡國際聯網安全保護管理辦法》的內容出現。
五、信息內容審核制度
(一)必須認真執行信息發布審核管理工作,杜絕違犯《計算機信息網絡國際聯網安全保護管理辦法》的情形出現。
(二)對在本網站發布信息的單位提供的信息進行認真檢查,不得有危害國家安全、泄露國家秘密,侵犯國家的、社會的、集體的利益和公民的合法權益的內容出現。
(三)對在 BBS 公告板等發布公共言論的欄目建立完善的審核檢查制度,并定時檢查,防止違犯《計算機信息網絡國際聯網安全保護管理辦法》的言論出現。
(四)一旦在本信息港發現用戶制作、復制、查閱和傳播下列信息的:
1、煽動抗拒、破壞憲法和法律、行政法規實施
2、煽動顛覆國家政權,推翻社會主義制度
3、煽動分裂國家、破壞國家統一
4、煽動民族仇恨、民族歧視、破壞民族團結
5、捏造或者歪曲事實、散布謠言,擾亂社會秩序
6、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖、教唆犯罪
7、公然侮辱他人或者捏造事實誹謗他人
8、損害國家機關信譽
9、其他違反憲法和法律、行政法規
10、按照國家有關規定,刪除本網絡中含有上述內容的地址、目錄或者關閉服務器。并保留原始記錄,在二十四小時之內向當地公安機關報告。
點擊咨詢 