互联网安全管理系统(共11篇)
1、提高认识,从讲政治的高度认识网络安全的重要性。
2、积极采取措施杜绝他人利用校园网从事危害国家安全、泄露国家机密、违法犯罪等活动。
3、制定、落实计算机系统安全操作规程,并定期检讨和更新,保证适应新时期的要求、可执行性强。
4、组织相关规章制度、法律法规知识的学习,加强计算机法制宣传活动。
5、设立专门人员对计算机网络、设备统一规划和管理,做到设备不乱用、专职专人专责,落实各级责任人、工作任务清晰、责任到位。
6、每天必须进行系统巡查,包括检查网站、论坛、留言板(BBS)等栏目内容,落实信息先审后发制度,及时发现问题。
7、每次系统变更(新增、减少、更改配置等)应做好备案登记,每周进行一次系统清点,对新变动的系统部分及时跟踪。
8、每周对操作系统、防病毒系统进行升级、打补丁。
9、加强密码设置和保护,设置复杂密码,经常修改密码。经常进行数据备份。
10、积极配合上级部门的计算机系统安全保障工作,积极了解最新的安全技术发展动态和规定。
信息安全问题的产生主要来源于两个方面, 一方面是天灾所造成的, 另一方面是人祸所造成的。天灾主要是指非人力 (企业) 所能控制的自然灾害, 比如火灾、水灾、雷电、地震、电力故障等。人祸是指由企业内部或外部的不法分子所实施的信息犯罪。由人为因素造成的信息系统安全问题主要有以下几种形式:非法侵入系统, 破坏或篡改系统数据;非法窃取和利用信息, 给企业造成直接经济损失;制造和传播计算机病毒, 破坏系统数据和系统正常运行等。文所讨论的信息安全问题主要是这一类。
一、企业面临的信息安全威胁
(一) 信息系统的安全“软肋”
通常容易成为信息安全“软肋”的部位主要是在信息存储环节、信息传输过程和信息应用界面。比如, 企业管理信息系统中的各种服务器、网络系统和用户的计算机系统都有可能成为信息系统的安全软肋。
针对信息安全软肋的信息破坏行为通常有以下几种形式:
1.病毒感染
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。简而言之, 计算机病毒实质上是一些恶意的计算机软件程序, 它们往往“乔装打扮”, 趁人不备进入到计算机系统, 破坏数据或者干扰系统的正常运行, 严重者甚至造成系统瘫痪。就像生物病毒一样, 计算机病毒有独特的复制能力, 能够发生变异, 导致新的病毒产生。计算机病毒可以很快地蔓延, 又常常难以根除。它们能把自身附着在各种类型的文件上, 当文件被复制或从一个用户传送到另一个用户时, 它们就随同文件一起蔓延开来。
2.“黑客”攻击
“黑客”是英文Hacker的谐音, 其原意是指没有经过授权而非法侵入信息系统的人。由于信息系统本身存在着很多安全漏洞, 这些安全漏洞往往为“黑客”提供了“大显身手”的机会。“黑客”利用这些漏洞侵入到信息系统中, 要么破坏系统功能, 要么改写数据, 要么将保密的数据公布于众.有些甚至盗用他人账号以窃取他人资金。
不论黑客侵入其他信息系统是出于何种目的, 客观上已经构成一种对信息系统的攻击行为。
(二) 企业管理中的安全漏洞
管理中的安全漏洞一般出现在以下几个方面:
1.信息系统中的“断点”
信息技术在企业管理中的应用必然会经历从部门到全局、从单元技术到集成技术的过程。在这个过程中往往会存在一些信息“断点”, 即系统中信息流中断的地方, 需要由人工操作来进行衔接, 过失行为或犯罪行为往往就发生在这些地方。比如, 外贸企业的管理信息系统曾经是财务和业务分离的两套系统。在经营过程中, 业务活动的开展需要以财务相关数据作为约束条件, 在财务和业务系统分离的情况下, 业务活动所需要的财务数据只有靠人工输入, 在这些环节就很容易失控。
2.缺乏制约和监察的流程
在企业业务流程中, 如果没有适当的制约机制和监察措施, 往往会出现信息安全的漏洞。
制约就是事物本身的存在和发展是以另一个事物的存在和发展为条件。比如财务管理明确规定, 现金出纳和会计不能由同一个人担任, 支票和财务印章必须分开保管, 这就是一种制约关系。在管理信息系统的运行中, 关键的业务流程同样要规定和设计相互制约的关系。缺乏制约、权力过于集中往往会酿成犯罪。
监察是企业管理系统中的专职岗位, 主要负责监督、检查企业管理信息系统的运行情况并直接向企业总经理负责。监察作为信息系统的“第三者”, 具有“旁观者清”的优势, 同时, 监察是从全局的视角来考察企业的信息安全, 更有利于客观、全面地发现问题。如果对企业的业务流程缺乏必要的监察, 可能会由于业务流程的不畅或业务流程的不合理而产生信息安全隐患。
二、企业信息安全管理对策
实际上信息安全管理, 对于企业来说是与生俱来的使命, 是融于企业的一种管理机制。对于企业信息资产的安全来说, 很难找到一种万全之策, 企业信息安全防范是由多种技术手段、规范的组织行为和精心设计的管理流程所组成的信息安全管理体系。
(一) 病毒与黑客的防范
对于计算机病毒和黑客的防范, 目前比较实用的方法就是:
1.经常从软件供应商处下载、安装安全补丁程序和升级杀毒软件。随着计算机病毒编制技术和黑客技术的逐步融合, 下载、安装补丁程序和杀毒软件升级并举将成为防治病毒和黑客的有效手段。
2.新购置的计算机和新安装的系统, 一定要进行系统升级, 保证修补所有已知的安全漏洞。
3.使用高强度的口令。尽量选择难于猜测的口令, 对不同的账号选用不同的口令。
4.经常备份重要数据。要做到每天坚持备份。较大的单位要做到每周做完全备份, 每天进行增量备份, 并且每个月要对备份进行校验。
5.选择、安装经过公安部认证的防病毒软件, 定期对整个硬盘进行病毒检测、清除工作。
6.在企业内部网络和因特网之间安装使用防火墙, 提高系统的安全性。重要的计算机系统和网络一定要严格与因特网物理隔离。这种隔离包括离线隔离, 即在因特网中使用过的系统不能再用于内网。
7.定期检查敏感文件。对系统的一些敏感文件定期进行检查, 保证及时发现已感染的病毒和黑客程序。
(二) 建立企业信息安全管理体系
1.企业信息安全管理工作内容
ISO/IECl7799标准为企业信息安全管理提供了一套完整的实施指南。该标准的核心思想是建立一个信息安全管理体系和可以控制的企业信息安全环境。在建立企业信息安全管理体系的时候, 主要是通过评估安全风险、设定安全要求、选择控制手段和监控系统运行, 以达到其信息安全的管理目标。因此, 企业在建立信息安全管理体系的时候, 最基本的工作应包括以下四个方面的内容:
(1) 设定信息安全管理的范围, 评估信息安全风险
确定信息安全管理的范围就是将组织划分成不同的信息安全控制领域, 以易于组织对有不同需求的领域进行适当的信息安全管理。
信息安全风险评估主要是对ISMS范围内的信息资产进行鉴定和估价, 风险评估主要依赖于商业信息和系统的性质、使用信息的商业目的、所采用的系统环境等因素。信息安全风险评估不仅要考虑信息安全失误所造成的经营性破坏, 而且要考虑失去信息保密性、完整性和可用性以及其他信息资产时所导致的潜在后果, 还需要评估信息系统面临的现行威胁和弱点导致信息安全失误的可能性, 同时对已存在的或规划的安全控制措施进行鉴定。
(2) 设定企业对信息安全的要求
确认企业对信息安全方面的要求至关重要, 通过对本单位的信息安全风险评估, 可以确认本单位的信息资产所面临的威胁。设定对信息安全的要求要考虑为支持运营而制定一套针对信息处理的原则、目标和要求, 同时还需要对信息安全控制方面的支出需要和安全失控时产生的危害进行平衡和比较, 以设定对信息安全的合理的要求。
(3) 选择控制手段
信息安全控制手段包括各种技术手段、管理制度和组织措施, 如信息安全政策文件、信息安全权责的分配、信息安全教育和培训、信息安全事故应急措施、安全事故的汇报和持续运营管理等。在选择控制手段时要从法律角度审视, 所选择的控制手段应考虑知识产权、保护公司机密、数据保护和个人信息的私密性等。
(4) 信息安全监控和持续改进
信息系统的安全监控是企业信息安全管理的一项重要工作, 企业应经常地审视企业所面临的信息风险, 检查企业的信息安全要求以及相应的信息安全控制手段是否有效, 并不断地改进企业的信息安全管理工作。
以上四项工作是一个循环往复的闭环系统, 企业内外环境处于不断变化之中, 信息技术尚在不断发展之中, 因此企业信息安全体系的建立是一个持续的动态过程。这个动态过程可以用PDCA (P———Plan, D———Do, C———Check, A———Act) 循环加以概括, 如图1所示。
2.企业信息安全控制
信息安全控制手段由综合控制和应用控制所组成。
(1) 综合控制
综合控制是指对信息系统的设计、计算机软硬件的使用、数据文件的存储等关乎企业全局的信息安全控制。综合控制包括以下内容:
(1) 实施控制, 即控制信息系统的开发实施过程。它包括两个方面的含义:一是开发实施过程的控制, 在开发和建立一个信息系统的过程中, 在各个阶段制定阶段里程碑, 保证每个阶段的工作都按照标准进行, 建立完备的技术档案和用户操作文档资料。二是在系统的开发设计阶段就应该建立起信息安全的机制, 并将这种机制渗透到系统的结构、软件硬件的机理之中, 而不是待系统运行后出现安全漏洞时再加以弥补。
(2) 软件控制。它是指对软件的使用进行控制, 避免未经授权使用各类计算机软件或计算机程序, 如系统软件、数据库或网络管理软件以及各种应用软件。软件控制是一种重要的信息安全控制, 因为所有对数据的非法拷贝、篡改等都是通过软件来进行的。
(3) 硬件控制。其目的是保证计算机物理设备的安全和正常使用。计算机设备在物理上应该是安全的, 不能被火灾或其他自然灾害所损坏。计算机物理设备也不应被非授权者使用。同时对计算机物理设备的性能应该进行监控, 避免由于设备性能的下降而影响系统正常运行。
(4) 计算机操作控制。它是指控制系统操作的过程, 使系统按照预定的程序运行, 保证数据的处理和存储正确无误。计算机操作控制包括计算机处理工作的确立、所使用的处理软件、计算机处理、数据的备份和恢复。所有这些工作都应该形成书面的、可以追溯的文字资料。
(5) 数据安全控制。其目的是保证数据文件不会遭受非授权的存取、修改或破坏。数据安全控制包括了数据在使用和存储过程中的数据安全。为了保证数据使用和存储的安全, 可以来取下列措施:对物理终端采取限制, 避免非授权使用;在系统软件中设置授权口令, 未被授权者没有口令无法使用;对数据的使用方式进行分级授权, 比如读写权限、修改权限、拷贝权限等。
(6) 管理控制。管理控制是保证其他各种信息安全控制技术手段得以实现的组织手段。最重要的管理控制包括:职能划分, 将所有标准、规则、流程和规章制度形成书面文档资料, 以及对信息安全管理的监控和审计制度。职能的划分是对企业信息安全的组织保证, 最基本的职能划分原则是将敏感的数据和程序文件的管理与业务数据的产生分别由不同的部门和人员来负责。
(2) 应用控制
应用控制是针对某一具体的计算机应用所进行的控制, 比如对订单处理的控制。应用控制是通过自动化或人工的方式保证授权的数据被正确无误地处理。最基本的应用控制可以分为:输入控制、处理控制和输出控制。
输入控制是在数据输入系统时, 保证数据是正确和完整的。输入控制主要由数据输入的授权、数据记录和数据源的检查、数据错误校验等组成。
数据处理控制是在系统中设计一些小程序, 对数据的完整性和准确性进行校验, 比如对一些数据进行修改后, 从该数据总数可以判断数据处理是否正确。
输出控制是保证数据的处理结果是精确的、完整的, 而且能够被正确地分发。基本的输出控制可以通过格输出结果与输入和处理进行对比加以判断。
参考文献
[1]宋玉贤.企业信息化管理[J].北京大学出版社, 2005.
[2]唐珂.网络环境下信息安全管理体系研究[M].中国长安出版社, 2007.
[3]邹学强, 杨海波.信息安全管理实践探究[J].理论探讨, 2008 (9) .
[4]戴宗坤.信息安全管理指南[M].重庆大学出版社, 2008.
近年来,移动互联网快速发展,网络安全问题也日益突出。一方面,互联网上原有的恶意程序传播、远程控制、网络攻击等传统网络安全威胁向移动互联网快速蔓延。另一方面,移动互联网终端和业务与用户个人利益的关联度更高,恶意吸费、用户信息窃取、诱骗欺诈等恶意行为的影响和危害十分突出。
据工信部通信保障局负责人介绍,《机制》的出台,旨在建立规程提升监管效能。《机制》对其适用范围作出了规定,指出《机制》适用于移动互联网恶意程序及其控制服务器、传播服务器的监测和处置。并确立了监测、处置与通报的流程:移动通信运营企业负责本企业网内恶意程序的样本捕获、监测处置和事件通报,国家计算机网络应急技术处理协调中心(CNCERT)负责恶意程序跨网监测、汇总通报和验证企业处置结果。
《机制》在保护移动用户利益方面也做出了三项规定。
第一,《机制》规定,CNCERT认定恶意程序后,各单位根据认定结果各自开展监测,并对发现的恶意程序控制服务器进行处理,切断其对用户手机的远程控制,使用户免受更大侵害。
第二,根据监测结果,发生较大及以上等级的恶意程序事件时,要求移动通信运营企业向本单位服务的手机用户进行信息提示并应答查杀技术咨询。
第三,对于涉嫌制作、传播恶意程序或利用恶意程序牟利的移动互联网服务供应商和其他合作伙伴,要求移动通信运营企业根据协议,对其进行处理,并报政府管理机构依法处罚,以打击不法行为。
保障网络安全需要多措并举。在谈到工业和信息化部下一步的打算时,工信部通信保障局负责人指出,一是加强技术手段建设。目前移动通信运营企业和CNCERT监测处置移动互联网恶意程序的技术手段还不完善,下一步,工信部将督促指导各单位加强相关技术手段建设。二是完善配套标准。工信部正在组织中国通信标准化协会研究制订《移动互联网网络安全监测体系架构》、《移动互联网网络安全监测技术要求》、《移动互联网恶意程序疑似样本报送接口规范》等行业标准。三是加强用户网络安全宣传教育。如果把恶意程序比作“流行疫情”,消除疫情不能只靠政府和医疗机构,更需要病人的大力配合。智能手机用户养成良好的手机使用习惯十分重要,如不打开不明来源的彩信、不浏览不良网站、主动升级手机软件堵塞漏洞、安装手机恶意程序查杀工具等。“工信部将充分利用各种宣传渠道,发挥媒体、互联网企业、中国互联网协会等单位的作用,广泛宣传移动互联网安全知识,提高用户安全意识和防范技能。”
管理监察单位:东莞市公安局网络警察支队
责任单位:
为明确各互联网接入单位(ISP)、互联网数据中心(IDC)、互联网信息服务单位(ICP),联网单位和开展托管主机、虚拟空间服务的单位应履行的安全管理责任,确保互联网络与信息安全,营造安全洁净的网络环境,根据《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,责任单位应落实如下责任:
一、自觉遵守法律、行政法规和其他有关规定,接受公安机关监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
二、不利用国际联网危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和公民合法权益,不从事违法犯罪活动,不利用国际联网制作、复制、查阅和 传播法律法规规定的各类有害信息。不从事危害计算机信息网络安全的活动。
三、在网络正式联通后的三十日内,或变更名称、住所、法定代表人或主要负责人、网络资源或者经营活动发生变更,到公安机关办理备案或进行补充、变更备案登记;
四、建立和完善计算机网络安全组织:
1、建立信息网络安全领导小组,确定安全领导小组负责人和信息网络安全管理责任人;
2、制定并落实安全领导小组负责人、安全管理责任人岗位责任制;
3、配备与经营规模相适应的计算机信息网络安全专业技术人员,必须经过公安机关组织的安全技术培训,考核合格后持证上岗,并定期参加信息网络安全专业技术人员继续教育培训;
4、保持与公安机关联系渠道畅通,自觉接受公安机关网监部门业务监督检查;
5、制定网络安全事故应急处置措施。
五、建立安全保护管理制度:
1、信息发布审核、登记制度;
2、信息监控、保存、清除和备份制度;
3、病毒检测和网络安全漏洞检测制度;
4、违法案件报告和协助查处制度;
5、电子公告系统用户登记制度;
6、帐号使用登记和操作权限管理制度;
7、安全教育和培训制度;
8、其他与安全保护相关的管理制度。
六、建立和健全以下信息网络安全保护技术措施:
1、互联网接入单位应提供网络拓扑结构和IP地址及分配使用情况。
2、在计算机主机、网关和防火墙上建立完备的系统运行日志,日志保存的时间至少为60天。
3、用户上网行为审计日志保存60日以上,包括登陆帐号、登陆时间、源IP地址、目的IP地址、连接时间、、登陆行为等信息记录。
4、具有信息安全审计或预警功能,有害信息封堵、过滤功能
5、开设邮件服务的,具有垃圾邮件清理功能;
6、开设交互式信息栏目的,具有身份登记和识别确认功能;
7、计算机病毒、网络攻击等防护功能;
8、关键字过滤技术;
9、其他保护信息和系统网络安全的技术措施。
七、本责任书自签署之日起生效。
责任单位(盖章):
法人代表(签字):
健康发展
电子政务、电子商务、远程教育、移动信息、在线数字等互联网业务日益丰富,但网络多重领域混合也带来了诸多隐忧,“尤其是跨领域网络事件的破坏力进一步扩大,如果不采取有效措施,将威胁到国家的经济安全和社会稳定。”信息产业部电信管理局李冠华强调。
李冠华认为,为了解决互联网存在的隐忧,需要充分发挥社会各界的力量,采取切实有效的措施,认真抓好网络安全工作的实施,推动互联网健康发展。她介绍说,电信管理局高度重视网络安全管理工作,坚持以安全促发展,在发展中求安全。目前的管理工作主要从两个角度展开:一方面,加快网络新技术与创新的步伐,加快信息技术在各个行业、各个部门的推广应用,深入推动信息化进程;另一方面,着力构筑一个技术先进、安全高效、安全可靠的网络管理体系。
安全保护管理办法》中有关问题的通知
各省、自治区、直辖市公安厅、局,新疆生产建设兵团公安局:
经国务院批准,公安部于1997年12月30日发布实施了《计算机信息网络国际联网安全保护管理办法》(以下简称《办法》)。该《办法》的实施,对于加强计算机信息网络国际联网安全保护工作发挥了重要作用,但各地在执行过程中也反映出部分规定不够明确和具体、处罚难以操作等问题。为了更好地实施该《办法》,现将执行《办法》中的有关问题通知如下:
一、关于“安全保护管理制度”问题
《办法》第十条第一项和第二十一条第一项中的“安全保护管理制度”主要包括:(1)信息发布审核、登记制度;(2)信息监视、保存、清除和备份制度;(3)病毒检测和网络安全漏洞检测制度;(4)违法案件报告和协助查处制度;(5)账号使用登记和操作权限管理制度;(6)安全管理人员岗位工作职责;(7)安全教育和培训制度;(8)其他与安全保护相关的管理制度。
二、关于“安全保护技术措施”问题
《办法》第十条第二项中的“安全保护技术措施”和第二十一条第二项中的“安全技术保护措施”主要包括:(1)具有保存3个月以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等;(2)具有安全审计或预警功能;(3)开设邮件服务的,具有身份登记和识别确认功能;(5)计算机病毒防护功能;(6)其他保护信息和系统网络安全的技术措施。
三、关于“安全保护管理所需信息、资料及数据文件”问题
《办法》第八条中的“有关安全保护的信息、资料及数据文件”和第二十一条第四项中的“安全保护管理所需信息、资料及数据文件”主要包括:(1)用户注册登记、使用与变更情况(含用户账号、IP与EMAIL地址等);(2)IP地址分配、使用及变更情况;(3)网页栏目设置与变更及栏目负责人情况;(4)网络服务功能设置情况;(5)与安全保护相关的其他信息。
四、关于“保留有关原始记录”问题
《办法》第十条第十条第六项中的“有关原始记录”是指有关信息或行为在网上出现或发生时,计算机记录、存贮的所有相关数据,包括时间、内容(如图像、文字、声音等)、来源(如源IP地址、EMAIL地址等)及系统网络运行日志、用户使用日志等。
五、关于“停机整顿”处罚的执行问题
按照《办法》规定作出“停机整顿”的处罚决定,可采取的执行措施包括:(1)停止计算机信息系统运行;(2)停止部分计算机信息系统功能;(3)冻结用户联网账号;(4)其他有效执行措施。
各地接到本通知后,要以适当的形式将其内容向社会公布,并结合实际贯彻落实。工作中遇到的重要问题,请及时报部。
中华人民共和国公安部
一、互联网金融体系面临的安全风险分析
所谓互联网金融顾名思义是“互联网+金融”的一种金融服务模式。互联网金融区别于传统的金融服务核心在于充分利用了互联网技术在金融服务中的纽带和桥梁作用,从而形成了以众筹、P2P、第三方支付等为发展模式的金融服务方式。其整个金融体系面临的风险主要有以下三个方面:
1.信息安全风险。马云说:“互联网金融需要大数据、风控体系和信用体系三个要素。如果这三个要素不具备,互联网金融将会有很大的风险”。的确互联网金融背景下显著的特征就是大数据的产生,但正是具备大数据的互联网金融其背后的信息安全却成为了一个主要风险点。区别于传统金融的信息安全风险互联网金融信息风险兼具金融风险和互联网风险的双重性质。以2013年发生的人寿保险客户信息泄露事件为例,80客户信息“裸奔”在互联网上一度引起了整个金融界和社会的恐慌,同时也将互联网金融的信息安全风险推向了风口浪尖。正是由于互联网金融的虚拟性、开放性等特征使得其如何确保信息安全成为了其发展的“痛点”。
2.信用信息滥用风险。所谓:“人无信则不立”。但在互联网金融的虚拟空间,整个交易流程都依赖于互联网技术通过线上完成,这就导致对交易对手之间身份确认、信用评价等方面的信息缺乏有效评价,从而增加了信用滥用的可能。另一方面,互联网金融交易依靠互联网公司平台完成,这就需要互联网金融公司具有完善的征信评价体系。然而,目前我国并未建立起完善的客户信用评估体系,缺少客户信用评价的数据,从而导致互联网金融公司在对个人或机构进行信用评估因缺乏实证产生评估不准,致使信用风险扩散。
3.市场选择风险。由于信息的极度不对称性,缺乏权威评估机构和体系,加上互联网金融交易的便捷性、优惠性和较高的收益性,必然会有不法分子通过编造虚假信息,提供失真数据扰乱市场的现象。在这样的环境下容易出现格雷欣法则“劣币驱逐良币”的非理性选择行为,从而致使优汰劣胜的现象产生,在低质量互联网企业充斥金融市场后极易造成资金被挪用,一旦资金链条断裂,将会引发整个互联网金融的支付危机,让整个互联网金融市场遭受影响。
二、互联网金融体系安全风险防范措施
互联网金融作为一个完整的系统,要防范其风险需要从制度安排者、技术支持者、金融服务供给者和需求者四个方面下功夫,着力构建“四位一体”的安全防护网络。
1.注重制度建设,防患于未然。金融行业是一个国家经济发展的命脉所在,纵观全世界各国的金融体系都受到了最严格的管制。自从互联网金融在我国产生以后,我国对其监管力度明显得到加强。在十部委下发《关于促进互联网金融健康发展的指导意见》后,今年8月银监会联合四部委联合下发《网络借贷信息中介机构业务活动管理暂行办法》受到了广泛的关注,《办法》实施意味着我国开始对P2P进行规制。然而,不可否认的是就整个监管体系而言,无论是从监管规则的数量还是从对互联网金融监管领域的覆盖面来讲,现有的监管措施还有很大程度的不足,对整个互联网监督还处于“有心无力”的状态,导致很多领域如众筹(罗一笑事件)仍处于监管的“空白”地带。这就需要顶层的制度设计,从规范着手在防范的同时也要鼓励创新,切勿因噎废食阻碍创新发展。
2.强化技术保障,筑牢安全防线。互联网安全是互联网金融安全的“生命线”,要确保互联网金融安全就必须要确保互联网金融公司的安全。所谓“皮之不存,毛将焉附”,互联网金融中各类交付是通过各类平台公司进行,这其中区别于传统金融安全的主要是支付方式的变革、支付体系的变革。传统支付以货币、支票为主的支付方式,而互联网金融则以电子支付方式进行,但是在这个过程中存在病毒入侵、黑客攻击、木马程序等技术风险,从而导致客户银行账号、支付密码等个人信息泄露的风险。互联网安全公司作为最早和最具能力获取互联网金融的机构,需要在互联网技术上下功夫,一方面加快自身技术更新和研究,另一方面,及时获取风险信息并第一时间将风险信息传达到金融系统,通过协作配合阻止防控风险发生。
3.注重审慎经营,确保风险可控。互联网金融的出现打破了银行“独霸天下”垄断金融的现象,从而产生了金融服务有关的金融中介。这些金融中介机构需要严格执行有关内控制度和行业自律制度,要善于利用技术手段防范外部风险,确保数据信息的安全;要注重内部控制,加强自我管理和约束,坚持审慎监管的原则切实防范信贷风险切勿有赌徒谬误,要明白“覆巢之下岂有安卵”的道理,做好日常经营管理风险。
4.增强风险意识,紧绷安全之弦。互联网金融的终端仍然是消费者,所有互联网金融风险的控制其目的也是确保消费者的利益得到维护。目前,互联网金融传播速度快、发展势头猛,但消费者对互联网金融的风险知之甚少,很大一部分消费者仍是以投机的心态在做各类理财投资。对于消费者而言,要对各类金融服务的交易环境、交易过程保持谨慎的态度,要强化学习,增强对整个互联网金融相关知识的认识,同时,社会上要加强防电信诈骗等金融知识的宣传,切实提升消费者的风险意识,维护合法权益。
三、欧美发达国家互联网金融风险管理经验
“他山之石,可以攻玉”作为互联网金融高度发达的欧美地区,其对互联网金融风险管控的经验对促进我国互联网金融健康发展具有重要参考作用。一是监管模式的借鉴。我国目前,金融监管呈现“九龙治水”的局面,特别是对互联网金融如P2P等新生事物监管处于“真空”地带。可以借鉴德国的监管模式,成立全国性的专门金融监管部门。二是大力推进征信体系建设。一定程度互联网金融的出现正在推动我国征信体系建设,可以借鉴美国经验,加强企业征信和个人征信体系建设,培养出信用交易主体。
四、结语
正如马云所言:“面对互联网只有两种人,一种人是利用互联网赚钱,另一种人则利用互联网消费。”互联网金融作为金融领域的新事物,要实现合规赚钱,放心消费的目标,需要互联网金融环境下每一个参与主体的共同努力,要准确把握互联网金融的趋势,顺势而为,共同促进互联网金融的健康合规发展。
参考文献
[1]刘勇.罗明雄.唐颖.互联网金融[M].北京:中国财政经济出版社,2015.
[2]弗雷德里克.s.米什金.马君潞等译.货币金融学[M].北京:机械工业出版社,2012.
[3]陈一鼎.“互联网+金融”模式下的信息安全风险防范研究[J].经济与管理,2015,(2).
[4]林巧巧.互联网金融信用风险与征信体系建设[J].金融市场,2014,(12).
关键词:移动互联网;校园;安全管理;创新途径
1引言
近年来,互联网与计算机技术在我国得到了迅猛的发展。互联网与计算机技术作为当代最为先进的生产力,其已经引发了当代中国最为庞大的信息革命。加之,近年来国内经济发展的不断增速,使移动终端及城市配套网络建设逐渐深入到了社会各个群体当中,从而使国内越来越多的国民开始受到互联网与计算机技术的影响,并从自身行为改变、生活习惯养成等诸多方面体现出来。在这一时代背景的影响下,不断利用移动互联网的发展卓越背景开展当前各行业的互联网+就变得十分必要。高校安全管理是当前高校校园文化建设、氛围营造的重要组成部分之一。并且,当代大学生作为社会中的新兴人才,他们拥有较强的动手能力、创新能力及好奇心,使他们成为了当代互联网与计算机技术使用最为灵活与普遍的群体。然而,由于互联网技术所本身具有的虚拟性与信息化,使当前难以对其中较为复杂与多样化的信息及内容开展良好的管控。因此,将这些基于互联网时代所产生的新安全现状及内容加入到当代高校安全管理当中将至关重要,并将成为未来高校完善校园安全管理机制建立的重点。
2移动互联网在校园安全管理中的影响
移动互联网在当代校园安全管理中可谓是一把双刃剑,其既给校园安全管理带来了重要的有利影响,而且还带来了一定的不利影响。针对有利影响方面而言,移动互联网作为当代最为先进的生产力,其能够与高校安全管理相互结合。通过在现有校园移动互联网络系统当中渗透互联网管理理念与规范,建立校园内部局域网络监管,或者云储存空间等,将可极大程度上带来校园内部移动互联网环境的净化,从而给校园安全管理中现存的移动互联网安全漏洞给予极大的弥补,实现整个校园内部安全管理体系较为完善的建立。针对不利影响而言,移动互联网尽管能够利用较多手段加以内容的净化、使用的规范等,却也由于互联网本身所具有的虚拟性、外延性及信息化等特点,难以在每个时间节点内对整个校园内部学生互联网信息的使用加以监管,并且难以实现对内外部沟通链接渠道之间的防控,将会较为容易使校园学生受到来自于互联网中不利因素的影响。因此,可以发现随着移动互联网的使用逐渐在大学生群体当中的增加,在现有校园管理管理中添加对移动互联网的使用与防控将十分重要。通过坚持不同的视角来看待移动互联网在当代校园安全管理的作用,将会起到不同的效果,从而帮助高校良好安全文化氛围的打造。
3基于移动互联网背景提出的创新安全管理建议
在上文中作者对移动互联网与校园安全管理之间的结合和冲突进行了分析。能够发现,移动互联网作为一种重要技术手段,应当对其加以合理化、科学化使用,但也应当逐步加强使用过程中的防控与管理,从而增强移动互联网技术使用的规范性,使其功能性作用得以最大化效用的发挥。为此,在本部分当中作者将基于移动互联网背景提出些许创新的安全管理建议。
第一,强化校园安全文化建设,提升学生自我保护意识。移动互联网中信息的传递、分享与储存变得更为迅速,从而使传统媒体逐渐开始借助移动互联网技术实现了向新媒体的过度。由于这一因素的存在,致使当前互联网络开始充斥着大量五花八门、品种多样、来源渠道广的各种信息。如果在获取信息时不加以筛选、过滤与辨别,将会给尚且处于青少年时期的大学生产生较大的心理负担与阴影。并且由于移动互联网信息的传递渠道多样,使其信息能够无时差、无地域等方面的限制,使其难以加以监管。因此,就应当逐渐强化校园文化的建设,使学生逐渐养成自我辨别、保护与防护的意识。在此过程当中,可以利用移动互联网工具,建立相应的弹窗、问卷调查、视频观看前安全警示片等,让学生逐步在日常上网过程中了解到安全知识,从而使学生易于养成互联网安全的思维与意识,并借此逐步打造较为完善的高校安全文化。
第二,理论与实践相结合,增加学生的案例教学。案例是最好的老师。单纯使用较为枯燥的理论知识讲解,将会使校园互联网安全文化建设变成教科书式教学,不但不会引起学生的注意,而且还会造成学生的逆反心理。在移动互联网时代下的校园安全管理中,应当多利用理论联系实践的方法,可以从网上寻找具有区域影响力的网络犯罪、诈骗、赌博、传销等案例,并对其中的惯用手段及引诱标志进行分析,从而能够使学生在学习过程中引发其好奇心与求知欲,并利用这种思考、求知、探索与养成的方法与方式,逐步使学生形成较为完善的安全防控意识与保护意识,使其在日常移动互联网使用过程中减少受到互联网安全威胁的几率,为营造良好高校互联网安全管理氛围带来巨大帮助。
4结论
通过上文的研究,可以发现,移动互联网对当代高校校园安全管理产生了重要的影响,其不但会引起当代安全管理中出现较多的漏洞,从而需要不断完善安全管理的排查内容及风险体系,而且还能够不断实现当代安全管理的创新,利用移动互联网这一时代重要生产力实现国内校园安全管理水平的提升。在本文中作者首先针对国内校园安全管理的现状进行分析,并在此基础上对移动互联网与校园安全管理之间的关系及影响进行了研究,最终提出了些许有利于利用移动互联网技术手段加强高校校园安全管理的对策与建议。利用本文的研究作者谨此希望能够增添高校安全管理多样化的手段与工具,从而不断加强现代校园安全管理水平,为国内优秀人才培育营造良好的氛围与环境。
参考文献
[1]余晓晖. 移动互联网的发展与思考[J]. 电信网技术,2008(12)
为切实加强中国联通互联网接入客户的安全使用和规范管理,促进互联网信息服务活动健康有序发展,维护国家安全和社会稳定,保障社会公众利益和公民合法权益,保障其它客户的合法权益,中国联合网络通信有限公司石家庄分公司特制定本责任书。
本责任书是根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》和其他相关法律、行政法规的规定,结合中国联通现有互联网接入业务和网络现状制定。
所有申请使用中国联通互联网接入服务的单位和个人保证遵守以下各项规定:
一、遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。
二、不得利用石家庄联通宽带互联网从事危害国家安全、泄露国家机密等违法犯罪活动,不得利用石家庄联通互联网制作、查阅、复制和传播违反宪法和法律、妨碍社会治安破坏国家统一、破坏民族团结、色情、暴力等的信息,不得利用石家庄联通互联网发布任何含有下列内容之一的信息:
(一)危害信息安全的行为
1.危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的荣誉、利益和公民的合法权益,从事违法犯罪活动;
2.煽动抗拒、破坏宪法和法律、行政法规实施的; 3.煽动颠覆国家政权,推翻社会主义制度的; 4.煽动分裂国家、破坏国家统一的;
5.煽动民族仇恨、民族歧视,破坏民族团结的;
6.捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
7.破坏国家宗教政策,宣扬邪教、封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
8.公然侮辱他人或者捏造事实诽谤他人的; 9.损害国家机关信誉的;
10.其他违反宪法和法律、行政法规的; 11.侵犯他人知识产权,传播虚假信息的。(二)网络攻击行为
1.利用自己或他人的机器机器设备,未经他人允许,通过非法手段取得他人机器设备的控制权;
2.非授权访问、窃取、篡改、滥用他人机器设备上的信息,对他人机器设备功能进行删除、修改或者增加;
3.向其他机器设备发送大量信息包,干扰其他机器设备的正常运行甚至无法工作;或引起网络流量大幅度增加,造成网络拥塞,而损害他人利益的行为;
4.资源被利用进行网络攻击的行为或由于机器设备被计算机病毒侵染而造成攻击等一切攻击行为。
(三)计算机病毒危害行为
1.有意通过互联网络传播计算机病毒;
2.因感染计算机病毒进而影响网络和其它客户正常使用的行为。(四)发送或协助发送垃圾邮件行为
1.故意向未主动请求的客户发送或中转电子邮件广告刊物或其他资料; 2.故意发送没有明确的退信方法、发信人、回信地址等的邮件;
3.邮件服务器存在安全漏洞或开放OPENRELAY功能导致被利用转发垃圾邮件; 4.冒名发送恶意邮件(违反国家法律法规的);
5.其它任何协助垃圾邮件发送行为、可能会导致影响网络正常运营及其它客户正常使用的邮件等。
发现上述违法犯罪活动和有害信息,应立即采取措施制止并及时向有关主管部门报告。对于其它破坏中国联通信息安全或违反国家相关法律法规规定的行为,本责任书同样适用。
三、中国联通将通过技术手段、受理投诉及其它方式实时监控中国联通互联网络的安全状况。对于违反国家相关法律法规的客户、不采取相应措施保证自身网络安全的客户、恶意威胁中国联通互联网络安全的客户以及妨碍其他互联网客户正常使用的客户等,中国联通将依据国家相应法规、条例以及本责任书内容采取相应处理措施以保证网络的安全。情节严重者,将报送当地司法机关进行处理。
四、中国联通作为电信运营商,有按要求配合国家有关部门处理互联网网络与信息安全工作的义务,包括但不限于提供客户基础资料、采取技术措施处理等。
五、中国联通在接到投诉或发现危害互联网安全的行为后,将立即针对不同情况予以处理,直至确认客户已完成有效整改:
(一)危害信息安全的行为:立即对非法信息源、传播途径以及互连端口等进行封堵,并进行封存取证。
(二)网络攻击行为:立即针对其攻击途径、端口进行封堵,并进行封存取证。对于相关人员视情节轻重采取相应处理措施,直至移交国家信息安全机构及当地司法机关依法处理。
(三)计算机病毒危害行为:在接到投诉或发现此行为后一个工作日内对客户提出警示。客户接到警示后,应首先断开与中国联通网络的连接并及时清除计算机病毒。若客户在接到警示后两个工作日内没有采取措施改正,或被发现的计算机病毒已被证实或有理由相信其危害性对网络安全影响严重,可能或已经造成中国联通互联网络及其他客户损失时,中国联通将立即中断客户网络连接,同时以多种方式通知客户。
(四)发送或协助发送垃圾邮件行为:在接到投诉或发现此行为后一个工作日内对客户予以警告,并列入监控名单;对于情节严重者,将立即针对参与发送或协助发送垃圾邮件的客户暂时关闭网络服务及对互连端口进行封堵。
六、对屡整屡犯、明知故犯的,中国联通有权单方面中止双方互联网接入合作协议;情节严重的将移交国家信息安全机构、当地司法机构等相关部门并依法配合处理。对于对中国联通互联网造成重大经济损失和名誉影响的,中国联通有权追究经济赔偿和法律责任。
七、所有签署本责任书的客户必须认同中国联通对危害互联网安全行为的定义,并承诺承担以下责任和义务:
(一)自觉遵守国家有关互联网管理的法律、法规,建立有效的网络安全与信息安全管理制度和技术保障手段及措施。
(二)按照中国联通互联网网络安全行为类型,对自身网络行为和其下挂客户的网络使用行为进行管理和约束。
(三)接受中国联通相关部门的管理、监督和检查,接受中国联通互联网网络与信息安全工作的处理方法,有责任和义务积极配合中国联通查找、清除非法网络行为,直至处理完毕。
(四)对自身网络行为和其下挂客户的网络使用行为负全责。作为客户方第一责任人承担因非法网络行为造成的一切后果,承担相应的经济责任和法律责任。
(五)联系方式或网络安全责任人发生变更时,应及时通知中国联通相关联系人员,否则导致的一切后果由客户自身承担。
八、“依据《非经营性互联网备案管理办法》第二十三条规定,如备案信息不真实,将关闭网站并注销备案。请您承诺并确认:您提交的所有备案信息真实有效,当您的备案信息发生变化时请及时到备案系统中提交更新信息,如因未及时更新而导致备案信息不准确,我公司有权依法对接入网站进行关闭处理。”双方签字、单位盖章确认。
九、如有其它影响网络安全和信息安全的突发事件,中国联通有权采取紧急措施,以保证网络安全。
十、若违反上述规定,联通公司有权采取措施,关闭相关信息源接入通道;同时,追究责任单位的法律责任,并且终止与责任单位的合作。此责任书由石家庄联通负责保管。
甲方:
签字(盖章)
日期: 年 月 日
乙方:中国联合网络通信有限公司 石家庄市分公司
签字(盖章)
7月17日,2014互联网金融支付安全论坛在北京举行。这场由互联网金融支付安全联盟主办的论坛,吸引了包括公安部、中国银联、商业银行、非金融支付机构和上下游厂商在内的70多家联盟成员机构全部参与,各方聚焦支付创新与安全,共话合作发展。
本次论坛的主题为“创新、安全、合作”。人民银行金融消费权益保护局局长焦瑾璞、公安部网络安全保卫局副局长顾坚、中国银联助理总裁舒世忠等共同出席并作主题发言。其他近200位来自支付安全产业链各领域的代表与会,共同分享了创新支付安全管理的最佳实践,并就加强支付创新与风险合作进行了深入交流。
中国银联助理总裁舒世忠在致辞中表示,随着移动互联网的发展和大数据应用的崛起,数字支付时代正在到来。各类支付创新不仅给消费者提供便捷,也带来许多新的风险挑战。银联致力于积极创新的同时,深刻认识到支付安全的重要性,它既是创新的前提保障,更关乎金融体系健康与百姓财产安全。为此将始终坚持开放、合作、服务的理念,与各方共同努力,构建安全、健康的互联网金融支付生态圈。
论坛上,与会各方一致表示,为应对移动互联网时代的支付安全新挑战,各方将运用互联网思维,发挥各自资源优势,推动产业生态圈内安全数据、技术和风险服务开放共享,真正实现从云到端,跨界、跨平台全网联防,共同保障支付产业安全。同时将不断创新合作模式,共同将联盟打造为开放、创新、共赢的合作平台。
关键词:物联网技术;安全管理;巡检管理
1 概述
信息化是当今世界经济和社会发展的大趋势,是推动经济社会发展和变革的重要力量,是当今企业提高核心竞争力,实现可持续发展的必由之路。而在一个企业中,安全是保证秩序稳定的重要因素,任何企业安全工作的好坏直接影响到企业的秩序和效益。
近年来,随着物联网技术的飞速发展,将物联网技术融入企业管理,助推安全管理提升,大幅降低企业的安全隐患,进一步提高企业安全管理效率尤为重要。
2 物联网的概念
物联网(Internet of things,简称IoT)是新一代信息技术的重要组成部分。顾名思义,物联网就是物与物互联的互联网。其核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络,将任何物品与物品之间,进行信息交换和通信。物联网通过智能感知、识别技术等通信感知技术,广泛应用于网络的融合中,使人类的生产和生活达到智能化状态,提高资源利用率。
3 物联网应用于企业管理的可行性
企业安全管理工作大都是由基础资料部分和现场管理部分组成的。如果工作场所多,距离又相对较远的话,会给现场管理带来很多不便。虽然,安全管理人员定期到各个场所进行检查,但现场的安全管理是否严格按照要求进行,设备设施是否存在超期服役现象,现场人员是否按照规定动作进行巡查、现场隐患是否及时整改等等问题都不能时时、动态的掌握,给安全管理带来一些“空档”,管理相对被动。
根据企业生产现状,建立一套安全生产管理平台,利用物联网技术将各个现场的设备设施完整性、现场人员巡检路线、隐患问题情况等关联起来,就可以实现安全工作由静态管理变为动态管理,可以对全部的重点场所进行远程监控,时时掌握现场情况,避免管理“空档”;实现安全监督的及时性和有效性,监督人员可以不用去现场,通过视频、图片等资料就能够了解隐患的监控或整改情况;实现安全检查的针对性和有效性,通过远程监控,可以直接针对有疑问的现场进行检查,大大提高工作效率;实现安全工作的有效提醒,对消防器材、生产设备、应急设备、车辆检查、压力仪表等到期检测提示,保障设备设施的按期检测,确保了设备设施的完好性,从而避免事故的发生。
4 物联网在企业安全管理中的应用
安全生产管理平台可由资料管理和现场管理两大部分组成,利用物联网技术将数据信息、图片信息、证据性信息等通过物联网技术上传至管理平台,安全管理人员在远端可实时进行监控和检查,所有数据信息还可作为大数据进行存储,作为安全经验进行分享,也可以为下一步安全生产重点工作提供参考依据,为管理考核提供数据支撑。
4.1 智能化管理
物联网的应用拉近了安全管理人员与现场工作人员的距离,有利于进行现场设备、现场人员的管理,有效地掌握现场安全状况及工作真性情况,使设备的安全可靠性和人员的工作及时性得到提高,最终达到本质安全。企业安全管理利用物联网技术,对远端无人值守的现场数据,可以准确的监控,更好的满足企业安全管理的需求。信息化的安全管理改变了传统安全管理模式,利用远程采集模块,监控各个现场数据,为生产方案的调整提供数据依据。
4.2 有效监控
企业通过物联网技术可以提高生产现场设备设施的感知程度。与通信网络联合,及时对设备设施数据进行采集和监测,能够动态的得到终端设备、中转设备、连接链路、运行状况等内容,一旦出现状况,可以及时预警诊断,使得企业可以做到及时发现及时维修,使其损失降至最低。及时对操作人员进行监督和控制,发现违章及时制止,避免由于违章操作带来的安全问题,最终达到安全生产和保障安全生产效率的目的。
4.3 技术提升促进安全管理提升
利用物联网技术,对企业所属区域绘制安全信息图,在平台中对所有的危险点源要害部位进行标注,对重点监控场所一目了然。同时可以把现场的情况,检查结果通过互联网技术及时上传到管理平台。所有数据在管理平台中都可进行分类检索,例如车辆位置、车辆管理情况、巡检路线规范情况、设备设施完整性、隐患整改情况、设备设施检查频次等,方便安全管理人员掌握企业全面的安全概况。利用物联网技术,把生产信息通过移动办公设备随时读取和检查,对生产情况进行全面了解。这样既提高效率,又健全资料,还可有工作提醒功能。物联网技术在生产中的应用,创新了安全生产的管理模式,提高了现场人员的执行力,保障了设备设施的完整性,缩短了隐患发现的时间,最大程度的降低企业生产损失,实现安全管理目标。
5 结束语
安全信息管理系统,利用物联网技术、互联网技术、移动智能技术、云技术等新技术,把安全设备设施,通过物联网、内部互联网的模式实现联接,实现了孤立信息的集成,同时可以随时查阅相关资料;任务安排随时推送到检查人员手中,现场可以利用移动办公工具,检查的问题能拍照上传,管理人员可远程查看现场的安全状况、整改情况等,实现由软件推动执行、实现安全管理的标准化、规范化、信息化,最终推动企业安全管理提升,确保企业安全生产。
参考文献:
[1]何守龙.管理保安全的关键措施研究[D].江苏海事职业技术学院.
[2]牛娜.物联网及其在石油行业的应用[J].信息与电脑(理论版),2010(9).
[3]陈新.基于Web的远程监控与数据采集系统[J].电子科技大学学报.
[4]魏莲,樊文有,卞州罡.GIS在石油企业信息化建设中的地位和作用[A].中国地理信息系统协会第九届年会论文集[C].2005.
【互联网安全管理系统】推荐阅读:
管理系统中互联网电视论文05-26
互联网企业管理创新10-04
互联网销售管理制度10-08
互联网保险业务管理办法06-29
互联网金融培训、互联网金融课程、互联网金融培训课题10-23
互联网金融培训机构:互联网金融培训平台06-13
《互联网金融》互联网保险模拟试题及答案10-15
移动互联网创业06-23
互联网营销方案07-19