构建企业信息安全体系(共8篇)
杜洪伟
天津第七市政公路工程有限公司,天津(300113)
摘 要:随着计算机网络的快速发展,网络资源共享也更加广泛。计算机网络面临着信息泄露、黑客攻击、病毒感染等多种威胁,信息安全保密工作面临着严峻挑。本文结合我国企业信息安全保密工作的相关要求和实际情况,从技术防范的角度出发,对保障网络的信息安全进行了分析,探讨了构建满足企业信息安全保密工作需要的防范措施。
关键词:企业信息化;信息安全保密;技术防范措施; 引言
信息网络国际化、社会化、开放化和个人化的特点, 决定了,它在给人们提供高效率、高效益、高质量的“信息共享”的同时,也投下了不安全的阴影。随着企业和人民对网络环境和网络资源依赖程度的不断加深, 信息泄露、黑客入侵、计算机病毒传播甚至于威胁信息安全的问题会出现得越来越多。因此,如何在企业机构中做好信息安全保密工作,事关企业发展的战略安全与重要利益。试想一下如果有关我国企业技术研究的重要信息系统安全遭到泄漏、破坏,那么就会对我国企业技术研究开发的各方面工作造成严重影响,使企业在该技术领域的研究陷于被动的处境,甚至会牵连整个社会和经济的发展进程,引致灾难性的经济损失后果。总之,在企业机构中做好信息安全保密工作是一项系统工程,本文从技术角度出发,以未雨绸缪,预防为主,兼顾防御及修复的原则为指导,加强信息安全保密工作的重要意识,在构建防范体系的过程中把该安全意识落实到每个技术细节上。最终构建一个系统、全面、可靠、有针对性的技术防范体系。网络信息安全问题
信息安全实质上是信息系统安全,信息系统主要由计算机系统构成,包括软件、硬件等。国际标准化组织(ISO)将“信息安全”定义为: 为数据处理系统建立和采取的技术和管理的安全保护, 保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络信息安全面临的威胁是多方面的, 具有无边界性、突发性、蔓延性和隐蔽性等新的特点。网络模糊了地理、空间上的边疆概念, 使得网上的冲突和对抗更具隐蔽性。对计算机网络的攻击往往是在没有任何先兆的情况下突然发生的, 而且会沿着网络迅速蔓延。对网络信息安全防御的困难还在于, 一个攻击者仅需要发起一个成功的攻击, 而防御者则需要考虑所有可能的攻击;而且这种攻击是在动态变化的。因此,需从技术上采取综合、系统性的多种措施构建技术防范体系。
信息安全是一个综合、交叉的学科领域,要涉及到安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等各个方面, 还要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全要综合利用数学、物理、通信和计算机诸多学科的长期知识积累和最新发展成果, 进行自主创新研究, 加强顶层设计, 提出系统的、完整的, 协同的解决方案。
实际上不论是局域网还是广域网, 都是一种系统, 所以系统安全问题的解决, 必然是一项系统工程, 必须采用系统工程学的方法、运用系统工程学的原理来设计网络信息安全体系。解决网络信息安全的基本策略是技术、管理和法制并举。技术是核心, 要通过关键技术的突破, 构筑起国家信息安全技术防范体系。管理是关键, 根据“木桶原理”, 信息安全链条中任何一个环节的脆弱都有可能导致安全防护体系的失效, 必须要加强各管理部门和有关人员间的密切合作。法制是保障, 通过建立信息安全法规体系, 规范信息化社会中各类主体的行为, 以维持信息化社会的正常运作秩序。
3.信息安全的技术体系构成
3.1信息安全技术基础 3.1.1边界隔离技术
边界隔离包括逻辑隔离、物理隔离、信息过滤、入侵检测、防火墙、防病毒网关等,其实就是一种用于信息系统边办防护的安全技术,以阻止来自网络系统外部的各种攻击。运用该项技术首先
巨大商业、社会价值,病毒的泛滥大有愈演愈烈之势,其危害的深度、广度和力度也越来越大。流行广泛、各类繁多、潜伏期长、破坏力大,对储存了大量科研数据的计算机信息系统构成了长期与现实的威胁。
其次就是黑客入侵。通过技术手段,非法侵入计算机信息系统,获取秘密信息或有选择地破坏信息的有效性与完整性。这是当前企业机构计算机信息系统所面临的最大威胁。黑客除了在网上编写程序利用软件进行直接的攻击和破坏,还采用信号截取和声像外露信号来获取秘密信息。
再者就是存储介质失密,特别是随着移动存储介质的广泛使用,使得利用存储介质窃取信息的事件日益增多。如涉密的优盘、硬盘、光盘、笔记本电脑等。
系统漏洞,软件是编程人员设计编写的,有时因为疏忽,有时为了自便而专门设置,总是或多或少存在一些大大小小的漏洞。因此没有无懈可击,天衣无缝的软件系统。利用计算机操作系统、信息管理系统、网络系统的自身安全漏洞,进行窃取与破坏活动。
非法访问,企业机构以外人员利用非法手段进入安全保密防范措施不完善的信息系统,对企业信息系统进行的破坏活动。另外还有人为因素。例如个别人员利用合法身份与国外的网络非法连接,或者使用随身携带的摄像等装备进行的窃取行为。
以上所列举的情况是目前存在于企业机构的主要信息安全威胁,针对上述威胁我们应构建有针对性的、强健的技术防范体系。
3.2.2构建有针对性的技术防范体系
构建符合企业机构工作特点且有针对性的信息安全保密技术防范体系,实际上就是从信息系统和信息网络的不同层面保证信息的机密性、完整性、可用性、可控性,进而保障信息系统的安全,提高信息系统及网络的防御能力。安全保密技术是随着信息技术、网络技术,以及各种入侵技术的发展而不断完善和提高的,不断采用一些最新的安全防护技术,可以极大地弥补传统安全防护手段存在的不足。因此,信息安全保密的技术防范体系,是构建整个信息安全保密体系的重要组成部分,在资金允许和技术可行的条件下,应该尽可能采用先进的、且经得住实践检验的技术防护手段,这样才能有效抵御不断出现的信息安全威胁。
(1)物理安全防护
物理安全防护主要指内网借助于某些网络设备及软件系统等方式间接地连接到外网,另外还包括对网络设备保护层及电磁辐射的物理防护。物理安全防护的方法有以下几种:
1)抑制电磁泄漏(即TEMPEST技术)是物理安全防护的一个重要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,既要采用各种电磁屏蔽手段,还要应对可能出现的干扰。
2)网络隔离卡:在终端机上加装网络安全隔离卡,并额外配备1块硬盘,这样就能根据使用者的需求,灵活切换内外网。
3)最直接的方法应是一人双机:如果经济条件允许,给专业管理人员配备2台终端机,1台接外网,1台只接内网。
(2)防火墙
目前,常见的防火墙主要有三类:
1)应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔离应用层通信流的作用。2)包过滤型防火墙:数据分组的过滤或包过滤,其中包过滤原理和技术可以认为是各种网络防火墙的基础构件。
3)综合型防火墙将数据包过滤和代理服务结合起来使用。
混合使用数据包过滤技术、代理服务技术和其他一些新技术将是未来防火墙的发展趋势。(3)抗攻击、防病毒网关
关键词:信息安全体系,安全组织,安全策略,安全技术
网络构建起来的信息化高速公路, 为全球信息的交换与获取提供了最便捷的手段, 但也使信息安全受到严重威胁。据资料显示, 全球由于信息安全漏洞造成的损失每年为150亿美元。企业的信息安全与否已经成为企业能否正常运行的重要因素。为了保证企业信息安全, 必须建立一个企业信息安全体系。
1 当前企业信息安全体系普遍存在的问题
信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行。四者既有机结合, 又相互支撑。但目前绝大多数企业在安全体系建设方面都存在不完善的地方。
1.1 信息安全策略方面
没有统一的安全运行体系;安全策略没有正式的审批和发布过程, 没有行政力度进行保障, 使得安全策略的在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
1.2 信息安全组织方面
缺乏完整、有效、责权统一的专门的信息安全组织。信息安全工作没有明确的责任归属, 工作的开展与落实有困难;缺少信息安全专业人员, 缺乏相应的安全知识和技能, 安全培训不足;缺乏对于全员的信息安全意识教育, 桌面系统用户的安全意识薄弱。
1.3 信息安全技术方面
用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰, 网络安全技术的采用缺乏一致性
1.4 信息安全建设与运行方面
没有建立起完善的IT项目建设过程的安全管理机制, 应用系统的开发没有同步考虑信息安全的要求, 存在信息安全方面的缺陷。日常的安全运维工作常处于被动防御状态。缺乏明确的检查和处罚机制, 多数企业在运维管理方面缺乏统一的安全要求和检查。缺乏应急响应机制。对已有安全设施的维护、升级和管理不到位。
2 如何建立企业信息安全体系
企业应充分利用成熟的信息安全理论成果, 设计出兼顾整体性、具有可操作性, 并且融策略、组织、运行和技术为一体的信息安全保障体系, 保障企业信息系统的安全。具体措施如下:
2.1 建立科学合理的信息安全策略体系
信息安全策略体系规划为三层架构, 包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则如图一所示, 涉及的要素包括信息管理和技术两个方面, 覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
2.2 采用先进可靠的技术安全体系
在IAARC信息系统安全技术模型该模型中, 包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪5个部分, 当前主要的信息安全技术或产品都可以归结到上述5类安全技术要素。充分利用信息安全的技术手段这5种保护措施。同时, 结合信息安全的所保护的对象层次, 以及目前主流的信息安全产品和信息安全技术, 完善企业信息安全技术体系框架。整个企业信息安全技术体系总体框架包括物理层、网络层、系统层、应用层、终端层等五层次。
2.2.1 物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
2.2.2 网络层安全
一是要建立注重安全域划分和安全架构的设计。根据信任程度、受威胁的级别、需要保护的级别和安全需求, 将网络从总体上可分成四个安全域, 即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
二是安全边界的防护。根据不同安全区域的安全需要, 采取相应的安全技术防护手段, 制定合理的安全访问控制策略, 控制低安全区域的数据向高安全区域流动。
三是针对VPN的接入安全控制。VPN为通过一个公用网络建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。针对VPN接入需要从用户接入到安全防护一套安全控制手段。
四是网络准入控制。通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估, 决定是否允许这台网络终端计算机接入企业网络中。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
五是做好网络设备登录认证。建立企业集中的网络设备登录认证系统, 用于对网络设备维护用户的集中管理, 认证用户的身份;通过定义不同级别的用户, 授权他们能执行的不同操作, 记录并审计用户的登录和操作。
2.2.3 系统层安全
一是做好系统主机的入侵检测, 针对系统主机的网络访问进行监测, 及时发现外来入侵和系统级用户的非法操作行为。二要做好系统主机的访问控制, 从用户登录安全、访问控制安全、系统日志安全等方面加入了安全机制。三是要做好系统主机的安全加固, 定期对服务器操作系统和数据库系统进行安全配置和加固, 对系统的配置进行安全优化, 以提高系统自身的抗攻击性, 消除安全漏洞, 降低安全风险。四是做好主机的安全审计工作, 提供全面的安全审计日志和数据, 提升主机审计保护能力。
2.2.4 应用层安全
随着系统应用的不断深化和普及, 一些应用系统安全问题不断凸现出来。为最大限度及时规避因应用安全问题而带来的威胁, 应着力抓好六个方面的工作:一是建立应用安全基础设施;二是健全应用安全相关规范;三是改进应用开发过程;四是组织关键应用安全性测试;五是加强应用安全相关人员管理;六是制定应用安全文档及应急预案。
2.2.5 终端层安全
加强终端电电脑的安全管理。对接入企业网络的终端设备进行安全管理。内容包括终端安全策略、防病毒、放入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
2.2.6 备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内, 并使灾难得到有效恢复的安全机制, 包括数据级、应用级和业务级三个层次。一是建立容灾计划。通过对不同等级的信息系统容灾需求分析, 确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等, 设计容灾方案。二是建立备份与恢复基础设施, 包括异地灾难恢复系统和重要数据的本地备份设施。
2.3 建立完整、有效、责权统一的信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分, 能合理阻止关键流程的破坏。加强全员的信息安全意识教育, 提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作, 组织与职责的清晰定义可以有效地促进信息安全各项工作的进行, 包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员, 提升整个企业人员安全的水平, 同时人员安全的相关工作在制度和机制方面为教育与培训提供了有效保障。
2.4 建立合适的信息安全建设与运行体系
建立合适的信息安全建设与运行体系, 一是建立安全评估机制。形成系统化的信息安全风险评估规范和制度, 定期对重要信息系统的安全进行评估。二是建立有效的应急响应机制。针对可能发生的破坏性事件而设计的必要的管理和恢复机制, 将安全事件带来的损失降到最低。三是加强项目建设信息安全管理, 建立IT项目建设过程的安全管理机制, 对信息系统的全生命周期进行安全管理, 在项目的申报、审批、立项、实施、验收以等关键环节中, 都有相应的信息安全规定或制度来进行约束, 完成各个环节的信息安全管理行为。四是建立信息系统运维安全管理制度。重点加强安全监控和响应机制, 安全日志审计与分析机制, 安全预警机制三方面的建设工作。
为了保障企业的信息安全,必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容(如图1所示),四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略,由安全组织(或人员)以安全技术作为工具和手段进行操作,来维持企业网络的安全运行,从而使网络安全可靠。
安全体系的普遍问题
当前大多数企业的信息安全体系普遍存在以下四方面的问题:
信息安全策略方面:许多企业没有统一的安全运行体系;公司的安全策略没有正式的审批和发布过程,没有公司的行政力度进行保障,使得安全策略在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
信息安全组织方面:缺乏完整、有效、责权统一的专门的信息安全组织,只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属,工作的开展与落实有困难;缺少信息安全专业人员,缺乏相应的安全知识和技能,安全培训不足;缺乏对于全员的信息安全意识教育,桌面系统用户的安全意识薄弱。
信息安全技术方面:用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰,网络安全技术的采用缺乏一致性。
信息安全建设与运行方面:没有建立起完善的IT项目建设过程的安全管理机制,应用系统的开发没有同步考虑信息安全的要求,存在信息安全方面的缺陷;日常的安全运维工作常处于被动防御状态;缺乏明确的检查和处罚机制,多数企业在运维管理方面缺乏统一的安全要求和检查;缺乏应急响应机制;对已有安全设施的维护、升级和管理不到位。
面对以上种种问题,企业必须认真考虑下列问题: 企业如何建立信息安全策略体系?企业信息安全组织如何建立?企业信息安全技术是否有效可靠?企业信息安全建设与运行是否有完整的制度保障?要解决这些问题,企业应充分利用成熟的信息安全理论成果,设计出兼顾整体性、具有可操作性,并且融策略、组织、运行和技术为一体的信息安全保障体系,保障企业信息系统的安全。
信息安全策略体系
信息安全策略体系规划为三层架构,包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则(如图2所示),涉及的要素包括信息管理和技术两个方面,覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
技术安全体系
在IAARC信息系统安全技术模型中,包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分,当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素(如图3所示)。
充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施),同时,结合信息安全所保护的对象层次,以及目前主流的信息安全产品和信息安全技术,完善企业信息安全技术体系框架。
整个企业信息安全技术体系的总体框架如图4所示:
物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
网络层安全
要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求,将网络从总体上分成四个安全域,即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
安全边界的防护。边界是不同网络安全区域之间的分界线,是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要,采取相应的安全技术防护手段,制定合理的安全访问控制策略,控制低安全区域的数据向高安全区域流动。
针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN(虚拟专用网)是为通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估,决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略,将其放入隔离区以修复,或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
做好网络设备登录认证。建立集中的网络设备登录认证系统,用于对网络设备维护用户的集中管理,认证用户的身份,决定其是否可以登录到网络设备;通过定义不同级别的用户,授权他们能执行的不同操作,记录并审计用户的登录和操作。
系统层安全
做好系统主机的入侵检测,针对系统主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为;要做好系统主机的访问控制,系统主机访问控制提供给系统安全管理员最有效的方法,从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固,定期对服务器操作系统和数据库系统进行安全配置和加固,在不影响业务处理能力的前提下对系统的配置进行安全优化,以提高系统自身的抗攻击性,消除安全漏洞,降低安全风险;做好主机的安全审计工作,提供全面的安全审计日志和数据,提升主机审计保护能力,对审计数据的访问进行严格控制,加强对审计数据的完整性保护。
应用层安全
随着各种各样的系统应用不断深化和普及,一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁,应着力抓好六个方面的工作:建立应用安全基础设施;健全应用安全相关规范;改进应用开发过程;组织关键应用安全性测试;加强应用安全相关人员管理;制定应用安全文档及应急预案。
终端层安全
加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备(主要是台式计算机、笔记本电脑和其他移动设备等)进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制,包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分,对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括:开发容灾计划,通过对不同等级的信息系统容灾需求分析,确定容灾等级、RTORPO等容灾指标、备份策略、恢复性测试要求等,设计容灾方案;备份与恢复基础设施的建设,包括建立异地灾难恢复系统和重要数据的本地备份设施。
信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分,能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育,提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作,组织与职责的清晰定义可以有效地促进信息安全各项工作的进行,包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员,提升整个企业人员安全的水平,同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。
信息安全建设与运行体系
随着我国经济的发展,发电厂信息安全的相关问题逐渐受到了人们的重视。在如今的发电厂发展过程中,计算机网络与信息系统基本得到普及。但是,在信息系统普及的情况下,网络入侵、网络攻击等等问题,也为信息安全的问题埋下了隐患。本文采取理论分析法、文献分析法、归纳整理法及对比分析法等进行定性研究。为了对发电厂信息安全体系构建的问题进行完整地剖析,笔者查阅了大量关于发电厂信息安全体系构建方面的理论内容,掌握了在现代社会背景下,合理对发电厂信息安全体系构建问题进行研究的相关方法及运作方式,着力提升了本文的深度性。而通过文献分析法,笔者在查阅了相关人士对信息安全体系构建问题进行研究的文献、期刊的基础上,利用归纳整理法,重点对参考文献进行了全面分析、整理,使本文更具理论性和指导性。
随着全球信息化经济的迅猛发展,中国也迎来了自己的信息化发展时期。纵观现代的竞争,早已从过去对资源、技术、人才的竞争,转化为现今的对信息资产占有的竞争。当前,随着我国信息技术的不断发展,我国各大高校也纷纷开展了信息化建设,计算机信息技术在我国高校的不断开展,对于我国高校在教学、科研方面也起到了很大的促进作用,提供了便捷的手段。然而,高校信息化建设在不断高速发展的同时,也面临着信息安全方面的严重威胁。信息如同一把双刃剑一般,一方面能够带给高校无穷的生长力量,同时,也给高校带来巨大的风险,使高校处于信息安全的威胁之中。因此,高校如何保证自己的信息安全和保密,创建一个严密、无懈可击的信息安全管理体系,成为每一个高校需要研究的重要课题。
摘要:食品安全事件的频发不断拷问着我国的食品安全监管体系,也暴露出我国食品安全信息管理方面存在的严重漏洞,推进食品安全监管信息化建设已成为政府相关部门工作的重点。近年来北京市在食品安全信息化管理方面也作出了不少有益的尝试,但与发达国家相比还有很大差距。借鉴国外发达国家的食品安全信息化管理体系的有益经验,针对目前北京市食品安全信息化管理的发展现状及存在的问题提出建立食品安全可追溯系统,加强追溯技术的开发应用;建立统一的食品安全信息管理和综合服务平台;加快建设完善的食品安全信息网;政府监管部门要加强同科研院所合作,正确引导大众媒体舆论导向等对策建议。
关键词:北京市;食品安全;信息化管理;可追溯系统一、引言
近年来食品安全事件频发,2012年的“老酸奶事件” “毒胶囊事件”乃至“老鼠肉冒充羊肉”等事件,给消费者身心健康造成了极大伤害,也充分暴露出我国食品安全监管工作的漏洞和问题,而香港奶粉的限购令更是从侧面反映了消费者对内地食品安全的担忧和失望,加强食品安全的监管日益成为人们关注的热点与焦点。然而一种食品从农田到餐桌,要经过生产、加工、贮藏、运输和销售等诸多环节,食品的供给体系渐趋于复杂化和国际化。在如此长的产业链条中,每一个环节都有污染食品的可能,如不采用先进的信息化管理手段,全程的食品安全控制是不可能实现的。如今,各级政府也越来越认识到食品安全信息的收集、使用、发布及监测等工作的重要性。在《国务院办公厅关于印发2013年食品安全重点工作安排的通知》(国办发〔2013〕25号)中,强调要推进食品安全监管信息化建设,根据国家重大信息化工程建设规划,充分利用现有信息化资源,按照统一的设计要求和技术标准,建设国家食品安全信息平台,2013年底前,完成主系统和子系统的总体规划和设计。统筹规划建设食品安全电子追溯体系,统一追溯编码,确保追溯链条的完整性和兼容性,重点加快婴幼儿配方乳粉和原料乳粉、肉类、蔬菜、酒类、保健食品电子追溯系统建设。
食品安全信息化管理主要指在食品安全法律、法规以及管理体制基础上,利用先进的管理体系和信息技术、设备,建立相关厂商、政府机构、大众媒体以及相关中介机构发布的与食品质量安全相关的信息管理系统。实施食品安全信息化管理手段,可以起到对食品信息跟踪和预警等作用,切实有效地将食品安全风险降到最低。在信息化建设迅速发展的今天,互联网已成为人们获取信息的重要途径。通过网络向广大消费者快捷、方便、及时地提供食品安全信息,将有助于促进食品安全监管体系的完善。可以说食品安全信息化是构成食品安全监管体系中不可或缺的组成部分,它的建立和完善可以有效地保障食品安全长效监管机制的健全。而目前我国的食品安全信息化管理体系整体还存在很大的不足和缺陷,如食品安全信息成本太高;食品安全信息交流平台还不完善,消费者获取食品安全信息的渠道有限;政府负责食品安全监管的相关部门与公众之间缺少及时的信息交流等。
北京作为我国的首都,其信息化建设的进程不仅直接关系到其自身的食品安全,更是对其他城市起到试点和表率作用。近年来北京在食品安全信息化管理方面也作出了不少有益的尝试,但与发达国家相比还有较大差距。因此,有必要针对北京食品安全信息化管理存在的问题提出对策。
二、发达国家食品安全信息化管理体系建设概况
食品安全事故频发的根源在于信息的不对称。对于在食品产业链中各个参与者之间存在的信息不对称问题,应借鉴发达国家的做法和经验,通过健全政府信息监管体系、信息传播体系,搭建信息综合管理平台以及实施信息追溯和预警制度来对食品安全信息进行全程监管,以有效保障食品质量安全。在食品安全风险管理过程中,发达国家非常重视利用信息化手段来实现社会信息共享和信息透明。
美国政府强调食品安全制度建设和食品安全管理的公开性和透明度,建立了有效的食品安全信息系统,通过定时发布食品市场检测等信息、及时通报不合格食品的召回信息、在互联网上发布管理机构的议案等,使消费者了解食品安全的真实情况,增强自我保护能力。美国也是世界上最早重视开发利用政府部门信息的国家之一。1966年,美国就制定并通过了有关联邦政府信息公开化的《信息自由法》,以促进政策结果的公开;1976年又制定了《阳光中的政策法》,这是《信息自由法》的姐妹法,适用于行政机关的会议公开,使公众可以观察行政会议的进程,取得会议的信息和文件,了解决策的程序,以促进决策过程的公开。同时,政府还提供平台让消费者参与食品安全管理,并加强对媒体的管理,要求媒体以客观、准确、科学的食品信息服务于社会,不得炒作新闻,制造轰动效应谋取利益,造成消费者对食品安全的恐慌。美国法律要求政府在制定行政法规时,允许国内外的任何个人和单位获得政府决策依据的信息,并进行评论,确保法规修订是在公开、透明、交互方式下进行的。美国同时也是世界上农业市场信息化程度最高的国家,信息技术和信息体系的发达惠及了美国的农业和食品业,这样以信息为主导向农产品生产者、加工者、经营者以及消费者提供及时、公开、平等和透明的信息服务。
美国政府在其食品安全制度的国家报告中,特别强调风险信息交流和传播在风险评估与风险管理中的重要作用。首先,通过有效的信息发布和信息传播使公众健康免于受到不安全食品的危害。例如,在紧急情况下,政府将通过全国范围内各个层级的食品安全系统电信网和大众媒体将紧急情况告知社会大众,并通过信息分享机制告知国际组织(如世界卫生组织)、地区组织和其他国家,使消费者和相关组织能够及早进行预防。其次,通过风险信息交流提高风险分析的明确性和风险管理的有效性。管理部门风险分析程序也向社会大众公开,接受社会大众的评论和建议,可以发挥群策群力的作用。欧盟为了增强食品安全工作的透明度,将食品安全管理局实施的环境风险评估、人类与动物健康安全风险评估结果以及其他的一些科学建议向公众公布,管理委员会举行的会议也允许公众参加,并邀请消费者代表或其他感兴趣的组织来观察管理局的一些活动,使公众可以广泛获取该局掌握的文件和信息。在欧盟的权威报告里,也把政府信息资源定义为最核心的国家资源和战略性资源,政府作为社会的管理和服务部门,掌握着大多数的社会信息资源,同时,要对信息进行加工、存储,向社会提供更多的信息服务,以促进经济和社会的可持续发展。
在欧美,一些国家已经实施档案管理,农场的每头奶牛自出生之日起就有自己的档案。加拿大联邦、省级政府农业部门都设立农业信息服务中心,无偿向农场主、农产品经销商、加工企业等提供农业法规、政策、标准、灾害、经营管理及农产品供求趋势等信息服务。
在亚洲,自2001年以来,日本在JAS法的基础上,开始试行并推广农产品与食品的追踪系统。该系统给农产品与食品戴上生产者(产地)、使用农药、加工厂家、原材料、经过流通环节与其所有阶段的日期等信息。借助于追踪系统能够迅速查到食品在生产、加工、流通等各个阶段使用原材料的来源与制造的厂家以及销售商店等记录,同时也能够追踪掌握到食品的所在阶段。这不仅在食品的安全性和质量等方面能够得到消费者的信赖,在发生食品安全事故时也能够及时查出事故的原因并为追踪有问题的食品以及将其回收上起到重要作用。2003年已开始对牛肉实施该系统。同时,日本全国农协在2006年底之前,对通过全国农协上市的肉类和蔬菜等所有农产品编排识别号码,实施身份管理制度,将下属农协生产的所有农产品都编上号码,在零售商店销售时,必须标明该农产品的名称、产地、生产者、使用过的农药名称、浓度、使用次数、使用日期以及农产品的收获、上市日期等具体数据。全国农协还将这些具体的数据通过网络公布,消费者可以通过网络清楚地了解和确认所有农产品的生产和流通过程,以消除消费者对农产品安全问题的担心。
对国外发达国家食品安全信息管理体系的研究发现,食品安全信息的采集、分析、评估系统对食品安全信息的披露提供强有力的信息资源;信息平台网络化为食品安全信息的共享提供了方便、快捷的通道;食品溯源与预警管理是预防和控制食品质量问题的重要手段。
三、北京市食品安全信息化管理的现状
北京和上海是目前我国利用信息技术管理食品安全最好的城市。2003年,北京市“食品放心工程”协调小组与北京卓信达科技有限公司合作开发了“数码防伪追溯系统”,这是一个集现代计算机、通讯网络、数字密码及高科技印刷等高新技术为一体的信息化防伪及管理系统,它通过最新一代的加密算法技术,为每一件产品自动生成一个唯一的20位数字防伪密码,并在产品包装上粘贴,如同为每件食品打上身份证号码。该管理系统在全国属首创,当时欧盟国家的此类系统也正在建设当中。
2004年,北京市农业局和河北省农业厅共同承担了农业部的“进京蔬菜产品质量追溯制度试点项目”。2005年,北京市开展了自产蔬菜产品质量追溯试点。凭借北京市农业局与河北省农业厅建设完成的北京市农产食品质量安全追溯管理信息平台,对农产食品质量安全的管理横跨生产、包装、加工及零售等各个环节,并覆盖蔬菜、水果、畜禽和水产等多个领域,有效支撑了北京奥运会食品安全的管理。2008年奥运会的成功举办为中国食品可追溯机制建设提供了巨大的动力,以奥运食品安全追溯系统为契机,北京食品安全追溯系统正逐步走进普通市民的生活。2012年,北京市工商局部署在全市食品经营者中逐步推行电子台账管理系统建设工作。
按照《食品安全法》的有关规定,食品经营企业应当建立食品进货查验记录制度,如实记录食品的名称、规格、数量、生产批号、保质期、供货者名称及联系方式、进货日期等内容,电子台账管理系统就是将以上记录电子化,通过专门的软件系统记录经营
食品的基本信息,既能使食品经营者完成进货查验、索证索票、进销货台账等法定义务,又能使食品经营者完成自身的食品进货、销售、库存、盘点、财务等内部进销存管理工作,同时满足政府对企业的监管要求,实现流通领域食品可追溯。电子台账管理系统从技术手段上实现了食品经营者所售食品的可追溯,更好地保障首都市民的食品消费安全,进一步提升了北京流通领域食品安全的控制能力和现代化管理水平。
2013年初,北京海淀工商分局为推进食品安全信息化监管的进程,建立食品安全长效监管机制,在全区78家大型商场超市及农副产品批发市场安装推广“流通环节食品安全电子信息公示系统”,保障消费者的知情权,进一步强化食品经营单位的责任意识。与此同时,创建了“酒类食品流通电子监管系统”,制定并实施《商品交易市场酒类经营管理规范》。现该系统已经覆盖北京锦绣大地农副产品批发市场所有经营酒类的区域。尽管做出了一些有益的尝试,但目前北京市食品安全信息化管理体系还是存在一定缺陷,主要体现在以下几个方面:一是消费者对食品追溯体系的认知度低;二是农业生产组织化程度低;三是食品追溯体系不兼容,食品安全监管体制的系统性不够;四是食品安全信息交流平台建设不完善,不能有效发挥其监督管理的作用;五是公众参与缺失,意见反馈不多。
四、完善北京市食品安全信息化管理体系的对策建议
(一)建立食品安全可追溯系统,加强追溯技术的开发应用
在欧美、日、韩等国家和地区,食品安全可追溯系统早已通过强制性手段普及。建设和完善食品安全可追溯体系既是中国食品参与国际贸易的要求,也是当前国内食品安全形势的需要。尽管北京在这方面已处于较先进水平,相对于发达国家还是存在差距。鉴于目前北京食品生产主体多为中小企业或分散客户,生产集约化的程度不高,监控条件较为薄弱的问题,应逐步探索出一些适合北京地区实际情况的食品信息可追溯管理模式,如日本的“替代营销”,通过生产者、销售商和消费者之间建立合作伙伴关系,通过直销、集体购买(消费者合作社)和家庭配送的形式进行产品销售,这可以精简食品供应链的环节,缩短信息流的长度,减少交易主体,降低交易频率,从而降低食品安全信息搜集、发现和传递成本。同时,还要加强追溯技术的开发应用,目前国际上应用较广的RFID 技术、计算机视觉技术等在我国处于研究示范阶段,还没有大范围推广应用。要实现食品的可追溯,必须进行技术攻关,开发出适合北京生产实践的追溯产品。通过追溯系统强化食品生产、流通与服务企业的责任意识、信用意识和质量意识,预防食品安全事故的发生。
(二)建立统一的食品安全信息管理和综合服务平台
食品从农田到餐桌的整体链条中的食品安全监管职责涉及到多个部门,所以食品安全信息管理必须要做到有效的统筹规划与协作,构建政府各部门之间统一、权威的食品安全信息发布平台,实现监管信息的互联互通和资源共享,解决多头发布、相互矛盾、误导消费者、影响政府权威的问题。食品安全信息主要由农业、工商、卫生、质监、环保等部门负责发布,主要包括各部门对食品及其原料的种植、养殖、生产加工、运输、贮存、销售等过程的监管情况,以及在监管过程中掌握的食品安全信息相关的新闻通告、政务公开、法律法规、投诉举报服务以及其他相关信息。食品监督检查信息至少包括产
品名称、生产企业、产品批号以及存在食品安全问题的具体项目等内容。所发布的食品安全信息全部对社会开放,公众无需身份验证即可方便、快捷地浏览、检索所有信息。食品备案经过审核后要及时发布,方便公众查询。信息的来源须遵循科学的原则,保证准确、客观与公正。
(三)加快建设完善的食品安全信息网
食品安全信息网站是代表政府在食品安全监管方面与生产经营者、消费者互动和信息发布的唯一官方通道,也是食品安全信息管理和综合服务平台最好的展示渠道。食品安全信息网不仅代表了政府在食品安全监管方面的积极形象和坚定决心,也是代表政府食品安全监管情况的窗口,并能营造放心消费环境,是每个地方食品安全建设必需的内容。因此,食品安全协调委员会成员单位要把能够公开的静态信息完整地公开,同时要及时更新动态信息,对于需公众知悉的信息食品信息安全数据库应提供便捷的查询手段,以提高网站的点击率和社会影响力。同时,要对各级食品监管部门的所有工作人员进行培训,使其都具有熟练的运用信息网络系统履行监管职责的能力。此外,还要组织社会各界,包括生产经营者和广大消费者进行食品安全信息化教育培训、交流和合作工作,特别是对于负责家庭食品采购主体的家庭主妇和老年人,使他们掌握食品安全信息查询方法。这样,通过互联网等多种渠道,实现市民与食品安全信息网络服务平台互动,实现食品安全信息网络系统的效用最大化。
(四)政府监管部门要加强同科研院所合作,正确引导大众媒体舆论导向
加强政府监管部门和科研院所的广泛合作,尤其是在食品安全管理系统重大课题攻关、食品安全风险分析、风险评估、风险预警等方面。在这方面可以借鉴日本的经验,将食品安全风险分析和风险评估的职能赋予相关的专家机构,政府部门则集中精力进行食品安全风险管理工作。针对食品安全信息化管理工作中几个关键环节,由政府部门组织,提供专项经费,利用科研院所的技术、人才优势,组织科研人员和专家进行专项攻关和研究。此外,由于食品安全信息影响广泛,涉及到人民群众的切身利益乃至生命,所以一旦有关食品安全相关的负面信息传出,传播速度就会特别快,如果出现误传、谣言,就会引起公众的恐慌,其社会反响特别大,直接影响到人民群众的日常行动、经济生活和生产就业。因此,大众媒体在食品安全信息传播中,应自觉地、理性地把握形势大局,引领人民群众正确认识、对待和努力改善食品安全问题。政府监管部门一方面要加强同大众媒体的联络、沟通,提供可供传播的、权威的食品安全信息;另一方面则要加强对大众媒体在舆论宣传方面的正确引导,营造理性的舆论氛围,服务改革发展稳定的大局。
参考文献
1应急响应定义
所谓应急 响应即“Incident Response”或“Emergency Re-sponse”,通常指一个组织为应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息安全应急响应通常是指一个组织为了应对各种突发的信息安全事件所做的准备以及在事件发生后所采取的相应的补救措施和行动,从而阻止或减少事件对系统安全性带来的影响。本文认为信息安全应急响应包括自动应急响应和人工应急响应两部分。
2应急响应体系的构成及响应对象
地市级烟草企业信息安全应急响应体系,从技术、管理角度可分为信息安全应急架构建设、监控运维平台建设、应急制度管理建设三方面
3应急响应体系的构建
3.1信息安全应急架构建设
完善的信息安全应急架构对于应急响应的意义在于未雨绸缪,预防、减少出现故障的可能性,在出现突发事件时自动响应遏制故障,并且能够为运维人员及时人工响应地处理解决问题提供更多的信息和更好途径。信息安全应急架构是应急响应体系的基础,其建设应注重三点原则(按重要优先级排列):
(1)首要,要居安思危,防患于未然;(阻止或减少突发事件的发生)
(2)其次,要可自动响应遏制故障、维持运行;(通过系统自动响应,提升响应效率)
(3)再次,要便于人工应急响应,遏制故障。(通过运维人工响应,时间相对较长)
3.1.1网络信息安全应急架构建设
业务网络是企业信息系统运行的基础,业务网络出现中断,所有信息业务服务将无法进行。构建一个适度冗余的、防护得力的网络对于企业确保业务服务连续性、数据的安全性, 提升应急响应水平来说至关重要。
构建冗余架构的网络。冗余架构的网络,在发生突发故障或灾难时,可实现应急自动响应,有效保障网络的正常通讯能力。地市级烟草企业省到市、市到县网络应该采用通信物理线路双运营商,双链路、双设备的冗余网络拓扑架构。业务网络可实现在出现一核心设备或运营商线路故障时,冗余设备、线路自动接管,确保保障业务系统的正常运行。
3.1.2系统和数据信息安全应急架构建设
3.1.2.1虚拟化技术与应急响应
现如今虚拟化技术日趋普及,服务器虚拟化、桌面虚拟化、 应用虚拟化、存储虚拟化等这些针对不同对象所扩展的虚拟化技术,在各地市企业的应急响应体系中发挥着重要的作用。
(1)服务器虚拟化
服务器虚拟化是指将服务器物理资源抽象成逻辑资源,进行统一的分配管理,提高资源的利用率。服务器虚拟化对比传统的物理服务器有很大优势,在实现对服务器整合的同时,可以通过实时迁移、存储迁移、智能容错、高可用性等技术能够在出现问题、故障时自动响应轻松快速把虚拟机(vm)从一台服务器上迁移到另一台,确保业务的延续性,并且通过手工、自动的方式为虚拟机(vm)建立快照,可恢复指定时间的数据,从而有效地提升运维人员对应用系统和数据的应急响应能力。
(2)桌面、应用虚拟化
桌面虚拟化和应用虚拟化,真实的系统运行都在物理服务器中,而虚拟机(vm)系统以及个人数据可分开保存在存储硬盘中。终端设备操作仅在显示器上显示用户共享的桌面或应用程序的镜像,来回传送键盘和鼠标输入的信息。故虚拟客户端相比传统的客户端,在出现操作系统故障时可快速通过模板重新建立新的虚拟机(vm),由于个人数据分开保存故也不会丢失,而且还可通过快照形式直接恢复。
(3)存储虚拟化
存储虚拟化(Storage Virtualization)最通俗的理解就是对物理存储硬件资源进行抽象化为逻辑存储。可实现对多个同构或异构存储的整合,构建“存储池”,统一资源管理。无论是服务器虚拟化还是桌面、应用虚拟化,其数据都保存在存储之中, 存储的数据安全至关重要。通过存储虚拟化的高可用性和镜像、快照技术确保存储服务平台的服务连续性,通过存储虚拟化的复制、连续数据保护(CDP),确保存储服务平台的数据安全。
3.1.2.2容灾中心建设与应急响应
除了虚拟化技术,容灾技术在烟草企业应急安全体系建设中也应发挥越来越重要的作用。特别是近几年来随着业务的发展新增业务服务繁多、生产环境复杂、信息数据量大,如何确保信息系统特别是主营业务系统(各单位的关键业务系统和 “一号工程”系统)的业务连续性,提升应急响应能力显得尤为重要。
地市级烟草企业容灾系统大体可分为本地容灾(无备援中心)、同城异地容灾(同城异地建立备援中心)、异地容灾(备援中心建立在其他城市)。
(1)本地容灾。其工作方式是在生产机房中业务系统中, 实现在线实时备份,利用磁盘镜像将存储数据镜像到容灾设备,同时容灾设备根据策略生成连续的快照。当生产机房存储发生突发故障事件时容灾系统自动响应将客户端的数据访问快速、无缝地切换到镜像盘,可实现RPO(Recovery Point Objective,即数据恢复点目标)和RTO(Recovery Time Objective,即恢复时间目标)达到秒级,趋紧于零,从而保证业务的连续性及数据的完整性,有效提升应急响应水平。
(2)同城异地容灾。在本地灾备的基础上,建立灾备机房 (备援中心)(生产机房和灾备机房两地距离国际标准为5km以上),除了在生产机房中利用磁盘镜像将存储数据镜像发送到生产机房的容灾设备,容灾系统同时在线将数据备份到灾备机房。当生产机房发生严重故障无法调用存储及容灾网关数据时,可通过灾备机房启动业务应用系统,代替生产机房提供服务,并可通过灾备机房容灾网关快照手动响应对对生产机房数据进行恢复。
(3)异地容灾。异地容灾具有和同城异地容灾相类似机制, 异地容灾也有自己的灾备机房,只是灾备机房建立在其他城市。在出现突发灾难进行应急响应时可启动异地灾备机房业务,客户端通过网络远程访问服务器应用,实现业务的持续。 地市级烟草企业可将异地灾备机房建立在省级企业,从而实现异地灾备。
3.1.3信息环境的信息安全应急架构建设
这里的信息环境主要指的是机房环境。机房环境涉及领域较广,主要有供配电系统、空调新风系统、消防报警系统、防盗报警系统、防雷接地系统、安防系统等。当机房环境出现突发事件,也将直接影响信息系统的安全,因此机房环境的应急响应也尤为重要。
3.2运维监控平台的构建
作为信息安全应急响应体系的重要环节,监控及运维的意义在于及时的发现问题,并使故障及时得到处理。就地市级烟草企业而言主要针对的是网络设备、服务器、存储、机房(即网络、应用系统、数据、信息环境)的监控和运维。
3.2.1监控平台建设
以网络监控平台为例,目前的大部分的监控平台都是基于SNMP协议(Simple Network Management Protocol,即简单网络管理协议)和ICMP协议(Internet Control Message Protocol即Internet控制报文协议)来运作实现。ICMP协议采用了PING方式实现。SNMP协议在PING成功后执行,获取相应设备的参数信息,可以为运维人员提供真实拓扑视图功能,能够真实、直观地反映设备的分布情况、负载状况和设备属性,以及线路的实时流量;通过颜色显示负载和流量的压力,主动告知IT运维管理人员需要关注的信息动态,随时告知可能存在的故障隐患,从而有效提升运维应急响应能力。
3.2.2运维平台的建设
运维平台,主要是实现I T服务管理,目前业界各类运维系统,大部分都参考了I T I L(Information Technology Infrastructure Library, ITIL,信息技术基础架构库),其主要功能目标是实现对日常I T运维的流程(过程)管理,实现I T运维的标准化, 达到对日常I T运维状况的可评价、可统计、可衡量的目的 。 通过流程化、痕迹化的管理提升运维人员的应急响应效率。
3.3应急制度的建设管理
三分技术七分管理,仅凭单纯的安全产品和简单的防御技术是无法抵挡攻击的,人员制度的建设管理也是应急响应体系建设的重点,必须建立一整套应急管理机制、完善执行流程,加强人才队伍技术建设,从技术、管理二个层面才能建立完善的应急响应体系。
3.3.1建立信息安全应急响应组织机构
地市级烟草企业应建立信息应急响应组及协调中心 (CERT/CC)。应急响应组是专门处理安全事件的组织,常用名字是CERT或CSIRT,指计算机紧急响应组(Computer Emergency Response Team)或计算机安全应急响应组(Computer Security Incident Response Team)。而应急响应协调中心主要负责协调指挥各应急响应组并为各应急响应组提供信息共享服务。
3.3.2明确信息安全应急响应职责
地市级应急响应主要职能是:一是对地市级计算机网络、 系统、数据、环境等安全事件进行紧急反应, 尽快恢复网络、系统、数据、机房的正常运转。二是要使系统、网络、数据、机房设备所遭受的损失最小化。三是对影响系统和网络、数据安全的漏洞及防治措施进行通报,,对安全风险进行评估等。
3.3.3建立地市级烟草企业应急响应执行方案库(操作手册)
应急响应组/协调中心(CERT/CC),应建立并不断完善,针对所有应急响应对象在发生各种突发故障或事件时,应急响应组所需执行的各种具体应急运维解决方案,并汇总形成方案库。并通过纸制形成手册或通过电子档保持在运维平台中供运维人员调阅查询。
3.3.4建立完善地市级应急响应管理制度
(1)应急响应通报管理制度;(规范突发事件的通报对象、 流程。)
(2)应急响应执行管理制度;(规范对突发事件处理流程的方式方法。)
(3)应急响应事件分级管理制度;(规范故障事件分类,设定标准并确定优先级)
(4)应急响应方案管理制度;(规范建立、变更突发事件具体处置方案流程)
(5)应急响应演练管理制度;(规范应急演练内容、流程)
(6)应急响应组的人员管理及培训制度;(规范应急响应组人员管理与培训)
4总结
关键词:网络信息;安全;法律体系;单行法
中图分类号:D920.4 文献标识码:A 文章编号:1671-864X(2016)05-0086-01
随着互联网的深入发展,信息安全成为当前互联网发展面临的重要瓶颈,因各种信息泄露给公民隐私造成的损失更是不计其数。因此,信息安全不仅是行业问题,更提高到社会的高度。只有不断完善我国现有信息安全法律体系,才能促进互联网行业的健康发展,进而保障社会和个人信息安全,维护每个自然人的合法权益。
一、当前我国信息安全立法存在的问题
(一)立法模式缺乏统一的基本法。
我国信息安全法律体系善未构成有机的统一整体。目前,专门针对信息安全的法律只有《关于加强网络信息保护的决定》,但这不能是真正意义上的法律。其他大部分大多是以行政法规、规章和司法解释,没有形成针对性、前瞻性的整套法律体系。
(二)现有法律可操作性不高。
目前,我国在信息安全的立法和管理大部分是以行政制度的方式体现,大部分采用的是禁止性条款,比较笼统和概况,可操作性不强。由此,在执法过程中,导致相关法律部门在对当事人进行处罚中,不能找到可操作性的规章和条款,给当事双方极大的分歧,同时也给法律的落实带来很大的障碍。
(三)缺乏科学性设计。
现存信息安全法中,大多强调加强对事前的审批和事后处罚,而对于网络信息安全事中部分则未引起足够重视,对相关主体的问责程序、问责条件等未作出明确的划定。同时,研究发现对执行中的不同法律主体的权利和义务没有也未进行明确规定,从而导致权利和义务出现不对等,没有起到法律的威慑作用。
二、国外网络信息安全立法给我国的借鉴
(一)制定不同领域的针对性法律法规。
西方国家在针对网络信息安全发生在人们的各个方面,如个人隐私、电子商务、未成年保护等领域,都有非常明确和针对性的规定,从而形成了非常完善的信息安全体系。以美国为例,在隐私保护方面,专门制定了《联邦互联网隐私保护法》;在未成年的保护方面,制定《儿童在线隐私权保护法》;电子商务方面制定《2002年电子政务法》。同时日本在网络信息的安全方面,也专门制定《反黑客法》等。因此,国际在网络信息方面出台的法律文件给我国信息安全的立法打开了大门,也给过提供参考借鉴。
(二)增加民事赔偿部分,增设罚金刑制度。
我国现行对网络信息方面的立法大都以行政法规方式进行规范,并通过刑法条款对网络犯罪进行处罚。因此,针对网络信息犯罪行为,在立法方面也应体现出相对应的刑事责任或行政责任。如对网络犯罪的处罚中,没有设置处理罚金部分,而在责任方面还主要以刑事责任为主。通过这种处罚方式发现,对犯罪分子的处罚比较单一,并且责任也不多元化。而对于网络信息安全中的信息泄露问题,通常给网络主体造成很大的损失。相比西方国家,在立法的早期已经设定罚金刑,除刑事责任、行政责任外,还必须辅助民事赔偿。
(三)完善制定我国法律规制。
目前,全国人大已经制定并出台了《关于加强网络信息保护的决定》,从而从法律层面填补了对网络个人信息和隐私保护的法律空白,但是对于商业信息方面的保护,如泄漏后的责任主体、制裁标准等还没有进行统一和明确的规定。而美国在对商业信息的保护中,则制定非常完善的法律制度,如《電子通信隐私法》。在该部法律中,明确规定对于非法入侵网络服务器、改变通信内容的行为,都必须承担相应的刑事和民事责任。而在《统一商业秘密法》中也明确规定,任何针对企业商业秘密的侵权行为都必须受到严厉处罚。因此,在逐步完善不同领域的的法律保护问题方面,我们还应该借鉴美国的经验,进一步完善和明确法律主体。
三、我国网络信息安全法律体系构建
(一)立法宗旨。
针对我国网络信息安全问题,习近平总书记在2014年召开的中央网络信息安全领导小组会议中则要求:“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。”因此,通过习近平总书记的要求,在立法方面应将保障网络信息安全、维护每一位公民的合法权益作为当前我国立法的根本宗旨,从而净化我国网络空间,保障国家和社会安全与稳定。同时,根据该立法宗旨,在立法中还应该亿保障安全与发展、实体与程序立法并重、权责与义务对等、高效等作为基本的原则。
(二)我国网络信息安全立法体系构建。
1.基本法构建。
网络安全基本法可以网络个人信息保护法作为开端,通过加强个人信息的保护作为,从而加强信息安全。在此处的个人信息,笔者认为可以从广义和狭义的角度进行考量。从广义的角度,个人与现实中的信息主体相同,即个人、法人、其他组织和国家等,都可以直接归纳到法人这个领域。而对于信息的理解,必须结合网络的特性,如笼统的指所有的信息的话,可能会限制网络的正常发展,将信息界定为具有私密性、人格性性质的信息。通过该界定,则将个人信息保护分为国家秘密保护、商业秘密保护、个人信息保护。而鉴于当前网络更新快,但立法慢的问题,可采用单行法或者分法的方式对个人信息进行保护。
2.加强对单行法的制定。
除从基本法的角度对网络信息安全进行保护外,针对一些特殊的领域还必须制定单行法法方式。如对国家地理信息安全方面,必须对电子地图中出现的关系国家重要机密的部分进行掩饰、隐藏,同时规定网络服务者在这些方面所具有的义务和责任。
3.其他相关信息安全规定。
对法律来讲,基本法或者是单行法的出台会存在一定的滞后性,因此针对该问题,可以通过修改现存的规范,从而及时应对网络信息安全保护中出现的新问题。通过及时调整相关的网络服务、网络监管等单行法律文本,并对涉及到网络信息安全的条款进行及时修正,从而全方位保障网络信息安全。
四、总结
总之,对于我国的网络信息安全保护问题,还有很长的路要走。本文则尝试通过对现存网络信息安全保护存在的问题入手,并结合国外在信息安全立法的成功经验,提出对我国网络信息安全保护的几点建议和对策,从而完善我国网络信息安全立法体系,促进互联网和社会的快速、和谐发展。
参考文献:
【构建企业信息安全体系】推荐阅读:
企业员工诚信体系构建06-09
建设企业文化构建和谐企业06-21
建设企业文化构建和谐企业论文05-24
浅谈企业激励制度的构建06-15
浅议煤矿工会组织在构建和谐企业中的作用06-18
以建构主义理论为指导构建信息化教学模式06-11
企业信息安全审查重点05-29
企业大学知识体系06-29
企业培训体系建设方案05-30
建筑企业质量体系认证06-02
