第一篇:重庆大学关于加强我校网络安全保护工作的意见
重庆大学文件
重大校〔2006〕264号
重庆大学关于加强我校网络安全保护工作的意见
各二级单位:
为贯彻中办、国办《关于进一步加强互联网管理工作的意见》(中办发[2004]32号)和市委、市政府《关于进一步加强我市互联网管理工作的意见》(渝委办[2005]95号)等文件精神,贯彻落实于今年3月1日施行的《互联网安全保护技术措施规定》(公安部第82号令),结合《重庆市公安局关于加强我市互联网安全保护工作的意见》(渝公网监[2006]74号),进一步加强我校网络安全保护工作,维护国家安全和社会稳定大局,促进我校网络持续健康发展,现提出以下意见。
一、充分认识加强学校网络安全保护工作的重大意义近年来,我校网络建设和应用发展迅猛,极大地推动了我校的信息化建设,为我校办公自动化、数字校园的实施提供了有力
—1— 的保障,为全校师生获取知识、丰富生活提供了方便。我校网络安全保护工作需要进一步加强,网上有害信息、网络攻击破坏和违法犯罪活动也曾有发生。如果不采取切实有效的安全保护技术措施,势必影响我校网络的健康持续发展,也将最终影响我校正常的教学、科研秩序。因此,进一步加强网络安全保护工作,是各单位的责任和义务。各单位一定要从维护国家安全、社会稳定,促进和保障我校信息化建设健康发展的高度,充分认识加强网络安全保护工作的重大意义,积极采取切实有效的工作措施,共同建设好、维护好、发展好一个健康、文明、和谐的网络。
二、切实抓好网络用户备案管理工作
各单位应向学校履行互联网用户备案手续,如实提交用户名称、责任人、通信地址、IP地址、网络域名和应用范围等备案信息。学校对用户提交的备案信息应如实记录、留存并定期将上述信息及其变更情况以备公安机关检查。学校要加强对用户备案工作的监督管理,对拒不提供备案信息或提供信息不实的单位及其用户,一经发现,校保卫处和网络中心将依法处理。
三、认真落实网络安全保护技术措施
各单位应当高度重视网络安全保护工作,对已有网络和新、改、扩建的网络,要根据网络、系统和应用的特点,统一规划信息安全和实体安全保护方案,按照《互联网安全保护技术措施规定》,严格落实对计算机病毒、网络入侵和攻击破坏等行为的防
—2— 范措施,对反动、淫秽色情、垃圾邮件和垃圾短信等有害信息的过滤、封堵措施,对重要数据库和系统主要设备的冗余备份措施,建立系统操作人员和上网人员身份认证机制,加强对学生上网的宣传与管理,强化对网络运行和网上信息的审计和审查措施,保留系统安全日志60天以上并在公安机关网监部门、学校保卫处和网络中心依法查询时能予提供,切实保障网络的运行安全、信息安全以及计算机机房、网络设备的实体安全。
四、积极推动网络安全防控体系建设
各单位要指定一名主管领导专门负责网络安全工作,安排专人具体负责网络安全技术保障。积极参与和配合学校网络安全工作,依法落实有关网络安全保护技术措施,成立与学校安全联络的安全工作小组;要积极为公安机关、学校保卫处侦办涉网案件、提取违法犯罪证据提供便利条件,不断提高对网上有害信息和网络违法犯罪活动的发现、处置、打击能力,维护国家安全和社会政治稳定,保障我校网络健康发展。
五、建立健全网络安全应急处置机制和信息通报制度 各二级单位要根据自身网络、系统和应用的特点,制定相应的网络安全应急处置预案,确定应急联络人员,在发生网络安全突发事件(案件)时,要立即启动应急处置预案,并及时向学校报告。
学校牵头建立网络信息通报制度。发现网上涉及国家安全、—3— 经济建设、社会稳定和公众利益的重大安全问题和事件,要及时向学校报告。学校分析、汇总相关情况后,向市公安局报告。
六、进一步加强网络安全监督管理
学校网络安全领导小组和工作小组要切实履行安全监督管理职责,加大网上监察力度;要督促各二级单位落实网络安全保护工作责任制,与各单位签订《重庆大学互联网安全保护责任书》;要开展多种形式的安全检测、检查,对发现的信息网络安全隐患,要及时督促有关单位整改;要认真组织网络安全管理人员的教育培训,加强网络安全法律和安全意识的宣传教育工作。
附件:重庆大学校园网安全保护责任书
重庆大学
二○○六年六月五日
主题词:网络 安全 意见
重庆大学校长办公室 2006年6月5日发
—4—
第二篇:网络安全保护管理制度
市地方海事局网络安全保护管理制度
为加强政务网站、业务网络管理,保障网络畅通,杜绝利用网络进行非法活动,使之更好地为日常办公服务,制定本制度。
一、安全教育与培训
1.组织网络安全管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息发布审核、登记制度》,提高网络安全管理员的维护网络安全的警惕性和自觉性。
2.对政务网、业务网用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,具备基本的网络安全知识。
3.对信息源接入部门进行安全教育和培训,使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违反《计算机信息网络国际互联网安全保护管理办法》的信息内容。
4.不定期地邀请公安机关有关人员、设备提供商专业技术人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防范能力。
二、病毒检测和网络安全漏洞检测
1.具有合法权限的用户才能进行相应权限范围内的政务网操作,任何其他非法操作都属于入侵行为。
2.业务网的所有用户,不准扫描端口、不准猜测和扫描其他用户的密码、不准猜测和扫描服务器和交换设备的口令。
3.系统管理员应定期检查服务器的系统日志,如发现有入侵情况,应及时采取措施,保留原始数据,以便进行调查取证,并向主管部门汇报。同时,做好政务网入侵情况登记。网络管理员有权检查用户在政务网站账户下的所有信息,如认为情况异常,有权关闭用户账户,并要求用户作出解释,并及时报告主管部门作出处理。
4.服务器如果发现漏洞要及时修补漏洞或进行系统升级。
5.网络管理员定期对政务网站进行网络数据包的监控,及时发现和检测网络运行情况,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,阻止网络内外的入侵。
6.网络信息管理员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。7.所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向有关部门或网络管理员反映、举报,协助有关部门或管理员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。
8.网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。
三、网络安全管理员岗位职责 1.保障网络畅通和网络信息安全。
2.严格遵守国家、省、市制定的相关法律、行政法规和本单位规定,确保网络安全畅通。
3.在发生网络重大突发事件时,应立即报告,采取应急措施,尽快恢复网络正常运行。
4.充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
5.加强信息审查工作,保存、备份至少90 天之内网络信息日志,及时加以分析、排查不安定因素,防止黄色、反动信息的传播。
6.经常检查机房工作环境的防火、防盗工作。
四、网络违法案件报告和协助查处
1.落实网络安全岗位责任制,实行领导责任制和网络管理员负责制,网络安全事件实行谁主管,谁负责。2.加强值班和值班日志的管理,建立定期、不定期的日志分析制度,及时发现网络安全事件和隐患。
3.一旦发现网络违法案件,应详细、如实记录事件经过,保存相关日志,及时通知有关人员,并与公安部门取得联系。
4.接到有关网络违法案件举报时,要详细记录,对举报人的身份等要严格保密,及时通知有关人员,并及时与公安部门取得联系。
5.当有关网络安全监察部门进行网络违法案件及其他网络安全检查时,网络管理员和其他有关人员必须积极配合。
6.以下行为属于违法使用网络:
(1)破坏网络通讯设施,包括光缆、室内网络布线、室内信息插座、配线间网络设备等。
(2)随意改变网络接入位置。
(3)盗用他人的IP地址、更改网卡地址、盗用他人帐号(包括上网账号、电子邮件账号、信息发布账号等);
(4)通过电子邮件、网络、存储介质等途径故意传播计算机病毒。
(5)对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信的数据。
(6)对网络各种攻击,包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击,以后、以及利用IP欺骗手段实施的拒绝服务攻击;
(7)访问和传播色情、反动、邪教、谣言等不良信息的。
五、网络账号使用登记和操作权限
1.业务网站由各部门对用户进行有效的级别和权限划分,建立相应账号与权限审查制度。
2.上网IP地址是上网主机在网上的合法用户身份标志,所有上网主机必须到网络管理部门进行登记注册,将本机的重要网络技术资料(包括主机型号,技术参数,用户名,主机名,所在域名或工作组名,网卡类型,网卡的MAC地址,网管部门分配的IP地址)详尽备案,以备核查。
3.上网用户未经许可,不得擅自改动本机IP地址的主机。
4.业务网管理员对用户账号与权限划分要进行有效的备份,以便网络发生故障时进行恢复。
6.单位账号与操作权限的设置,必须做到专人专管,不得泄密或外借给他人使用。
六、信息发布、审核与登记
1.发布时要落实安全保护技术措施,保障网站的运行安全和信息安全。
2.主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作权限。
3.认真执行信息审核管理工作,杜绝违反《计算机信息网络国际互联网安全保护管理办法》的行为。
4.信源单位做好登记,对其提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密、侵犯国家利益和公民的合法权益的内容出现。
5.在公共言论的栏目发布信息进行审核检查,严禁发布违反我国宪法、有损单位声誉的言论,严禁任何违反社会主义精神文明建设的言论,严禁进行人身攻击和无理谩骂。各部门在网上发布的公开信息,应进行记录,信息发布记录至少应保留三个月。
6.网站各类信息的发布,需由各权限部门负责人签字并经分管领导同意。
7.用户制作、复制、查阅和传播下列信息的,按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器,并保留原始记录,在24小时之内向当地公安机关报告:
(1)煽动抗拒、破坏宪法、法律、行政法规实施(2)煽动颠覆国家政权,推翻社会主义制度(3)煽动分裂国家、破坏国家统一
(4)煽动民族仇恨、民族歧视、破坏民族团结(5)捏造或者歪曲事实、散布谣言,扰乱社会秩序(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪
(7)公然侮辱他人或者捏造事实诽谤他人(8)损害国家机关信誉
(9)其他违反宪法、法律、行政法规的
第三篇:网络安全保护管理制度
网络安全保护管理制度
为加强阿牛网站、网络管理,保障网络畅通,杜绝利用网络进行非法活动,使之更好地为用户带来稳定的服务、良好的体验、保证网站及网站用户的安全性,指定以下制度。
一、安全教育与培训
1.组织网站管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息发布审核、登记制度》,提高工作人员的维护网络安全的警惕性和自觉性。
2.对本网站用户进行安全保护意识提醒,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,具备基本的网络安全知识。
3.对信息源接入部门进行安全教育和培训,使他们自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,杜绝发布违反《计算机信息网络国际互联网安全保护管理办法》的信息内容。
4.不定期地邀请公安机关有关人员、设备提供商专业技术人员进行信息安全方面的培训,加强对有害信息,特别是影射性有害信息的识别能力,提高防范能力。
二、病毒检测和网络安全漏洞检测
1.阿牛网的所有服务器,具有合法权限的员工才能进行相应权限范围内的操作,任何其他非法操作都属于入侵行为。
2.阿牛网的所有用户,不准扫描端口、不准猜测和扫描其他用户的密码、不准猜测和扫描网络中心的服务器和交换设备的的口令。
3.阿牛网的所有服务器,系统管理员必须配置好学院网站安全审计策略,加强对各种访问的审计。
4.系统管理员应定期检查服务器的系统日志,如发现有入侵情况,应及时采取措施,保留原始数据,以便进行调查取证,并向主管部门汇报。同时,做好阿牛网入侵情况登记。网络管理员有权检查用户在学院网站帐户下的所有信息,如认为情况异常,有权关闭用户帐户,并要求用户作出解释,并及时报告主管部门作出处理。
5.服务器如果发现漏洞要及时修补漏洞或进行系统升级。
6.网络信息安全员履行对所有上网信息进行审查的职责,根据需要采取措施,监视、记录、检测、制止、查处、防范针对其所管辖网络或入网计算机的人或事。
7.所有用户有责任对所发现或发生的违反有关法律、法规和规章制度的人或事予以制止或向网络中心反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。
8.网络管理员应根据实际情况和需要采用新技术调整网络结构、系统功能,变更系统参数和使用方法,及时排除系统隐患。
三、电子公告系统的用户登记和信息管理
1.加强阿牛网电子公告系统的审核管理工作,杜绝出现违反《计算机信息网络国际互联网安全保护管理办法》的内容。
2.对网站管理员的聘用本着认真慎重的态度,要认真核实管理员身份,做好管理员聘用记录。
3.对网络安全员工进行网络安全教育,落实管理员职责,提高系统管理员的责任感。
4.管理员负责检查网站信息内容,如发现违反《计算机信息网络国际互联网安全保护管理办法》的,立即予以删除。如情节严重者,应做好原始记录,报告网络管理员,由管理员向公安机关计算机管理监察机构报告。
5.网络管理员应认真履行职责,配合安全员的工作,共同维护网站的信息安全。
三、网络安全管理员岗位职责
1.保障阿牛网络畅通和网络信息安全。
2.严格遵守国家、省、市制定的相关法律、行政法规,严格执行我学院制定的《网络安全工作制度》,以人为本,依法管理,确保学院网络安全有序。
3.在发生网络重大突发事件时,应立即报告,采取应急措施,尽快恢复网络正常运行。
4.充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。
5.加强信息审查工作,保存、备份至少 90 天之内网络信息日志,及时加以分析、排查不安定因素,防止黄色、反动信息的传播。
6.经常检查阿牛网工作环境的防火、防盗工作。
五、网络违法案件报告和协助查处
1.落实网络安全岗位责任制,实行领导责任制和网络安全员负责制,网络安全事件实行谁主管,谁负责。
2.加强值班和值班日志的管理,建立定期、不定期的日志分析制度,及时发现网络安全事件和隐患。
3.一旦发现网络违法案件,应详细、如实记录事件经过,保存相关日志,及时通知有关人员,并与公安部门取得联系。
4.接到有关网络违法案件举报时,要详细记录,对举报人的身份等要严格保密,及时通知有关人员,并及时与公安部门取得联系。
5.当有关网络安全监察部门进行网络违法案件及其他网络安全检查时,网络安全员和其他有关人员必须积极配合。
6.以下行为属于违法使用网络:
(1)破坏网络通讯设施,包括光缆、室内网络布线、室内信息插座、配线间网络设备等。
(2)随意改变网络接入位置。
(3)盗用他人的IP地址、更改网卡地址、盗用他人帐号(包括上网帐号、电子邮件帐号、信息发布帐号等);
(4)通过电子邮件、网络、存储介质等途径故意传播计算机病毒。(5)对网络进行恶意侦听和信息截获,在网络上发送干扰正常通信的数据。(6)对网络各种攻击,包括利用已知的系统漏洞、网络漏洞、安全工具、端口扫描等进行攻击,以后、以及利用IP欺骗手段实施的拒绝服务攻击;
(7)访问和传播色情、反动、邪教、谣言等不良信息的。
六、网络帐号使用登记和操作权限
1.阿牛网络管理中心要对阿牛员工进行有效的级别和权限划分,建立相应帐号与权限审查制度。
2.各上网主机采取责任到人的方法,严格上网管理制度,如所管主机上发生不良活动,将首先追查主机负责人的责任,并按规定取消该主机的上网账号。
3.上网IP地址是上网主机在网上的合法用户身份标志,所有上网主机必须到网络管理部门进行登记注册,将本机的重要网络技术资料(包括主机型号,技术参数,用户名,主机名,所在域名或工作组名,网卡类型,网卡的MAC地址,网管部门分配的IP地址)详尽备案,以备核查。
4.上网用户未经许可,不得擅自改动本机IP地址的主机。
5.网络管理中心对帐号与权限划分要进行有效的备份,以便网络发生故障时进行恢复。
6.单位帐号与操作权限的设置,必须做到专人专管,不得泄密或外借给他人使用。
七、信息发布、审核与登记
1.发布时要落实安全保护技术措施,保障阿牛网的运行安全和信息安全。2.主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作权限。
3.认真执行信息审核管理工作,杜绝违反《计算机信息网络国际互联网安全保护管理办法》的行为。
4.信源单位做好登记,对其提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密、侵犯国家利益和公民的合法权益的内容出现。
5.发布公共言论的栏目进行审核检查,严禁发布违反我国宪法、有损学院声誉的言论,严禁任何违反社会主义精神文明建设的言论,严禁进行人身攻击和无理谩骂。各部门在网上发布的公开信息,应进行记录,信息发布记录至少应保留三个月。
6.阿牛网的信息发布,需由各权限部门负责人签字并经网站负责人同意。7.用户制作、复制、查阅和传播下列信息的,按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器,并保留原始记录,在二十四小时之内向当地公安机关报告:
(1)煽动抗拒、破坏宪法、法律、行政法规实施(2)煽动颠覆国家政权,推翻社会主义制度(3)煽动分裂国家、破坏国家统一
(4)煽动民族仇恨、民族歧视、破坏民族团结(5)捏造或者歪曲事实、散布谣言,扰乱社会秩序
(6)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪(7)公然侮辱他人或者捏造事实诽谤他人(8)损害国家机关信誉
(9)其他违反宪法、法律、行政法规
第四篇:计算机网络安全保护管理制度(精选)
菏泽市妇幼保健院
计算机网络安全保护管理制度
一、互联网公用账号登记制度
(一)任何人员必须通过信息科分配设置的IP作为账号,并对使用人的个人信息、机器MAC地址、IP、网络信息模块编号等基本信息进行登记后方可使用,没有经过信息科分配设置登记而私自设置IP上网,均被视为非法侵入。
(二)设专职网络管理员对单位内分配的IP进行管理,网络管理员拥有分配IP、撤销IP权力。
(三)网络管理员必须监视IP使用情况,发现IP用于违反此管理制度的应当立即封锁或撤销其网络连接。
(四)网络管理员对盗用他人IP的人员有责任进行监控,并向信息中心或公安部门报告。
(五)网络管理员对违反国家网络安全规定的IP有责任进行监控其使用行为,并向公安部门报告。
二、互联网安全保护管理制度
(一)组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。
(二)负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
(三)加强对单位的信息发布和 BBS 公告系统的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。
(四)一旦发现从事下列危害计算机信息网络安全的活动的:
1、未经允许进入计算机信息网络或者使用计算机信息网络资源;
2、未经允许对计算机信息网络功能进行删除、修改或者增加;
3、未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
4、故意制作、传播计算机病毒等破坏性程序的;
5、从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。
(五)在信息发布的审核过程中,如发现有以下行为的:
1、煽动抗拒、破坏宪法和法律、行政法规实施
2、煽动颠覆国家政权,推翻社会主义制度
3、煽动分裂国家、破坏国家统一
4、煽动民族仇恨、民族歧视、破坏民族团结
5、捏造或者歪曲事实、散布谣言,扰乱社会秩序
6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪
7、公然侮辱他人或者捏造事实诽谤他人
8、损害国家机关信誉
9、其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告。
(六)接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.三、网络安全事件应急处置制度
为了保证我院网站及网络畅通,安全运行,保证网络信息安全,特制定网络和信息安全事件应急处置和报告制度。
(一)在院领导下,贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规;落实贯彻公安部门和省、市相关部门关于网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作。
(二)信息网络安全事件定义、网络突然发生中断,如停电、线路故障、网络通信设备损坏等。、网站受到黑客攻击,主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱秩序;破坏社会稳定的信息及损害国家、医院声誉和稳定的谣言等。、单位内网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
(三)设置网络应急小组,组长由单位有关领导担任,成员由技术部门人员组成。采取统一管理体制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法。设置网络运行维护小组,成员由信息中心人员组成,确保网络畅通与信息安全。
(四)加强网络信息审查工作,若发现主页被恶意更改,应立即停止主页服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务。信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的网上升级,保证病毒库的及时更新。
(五)信息科对医院网络实施 24 小时值班责任制,开通值班电话,保证与上级主管部门、电信部门和当地公安单位的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
(六)加强突发事件的快速反应。运行维护小组具体负责相应的网络安全和信息安全工作,网络管理员具体负责相应的网络安全和信息安全工作,不允许有任何触犯国家网络管理条例的网络信息,对突发的信息网络安全事件应做到:
1、及时发现、及时报告,在发现后在第一时间向上一级领导或部门报告。
2、保护现场,立即与网络隔离,防止影响扩大。
3、及时取证,分析、查找原因。
4、消除有害信息,防止进一步传播,将事件的影响降到最低。、在处置有害信息的过程中,任何科室和个人不得保留、贮存、散布、传播所发现的有害信息。、追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络,情节严重和后果影响较大者,提交医院及国家司法机关处理,追究部门负责人和直接责任人的行政或法律责任。
(七)做好准备,加强防范。
应急小组各部门成员对相应工作要有应急准备。针对网络存在的安全隐患和出现的问题,及时提出整治方案并具体落实到位,创造良好的网络环境。
(八)加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力;净化网络环境,严禁用于上网浏览与工作无关的网站。
(九)做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
(十)网络安全事件报告与处置。事件发生并得到确认后,有关人员应立即将情况报告有关领导,由领导指挥处理网络安全事件。应及时向当地公安单位报案。阻断网络连接,进行现场保护,协助调查取证和系统恢复等工作,有关违法事件移交公安单位处理。
四、信息发布登记制度
(一)在接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全;
(二)系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作权限。
(三)对委托发布信息的科室和个人进行登记并存档。
(四)对科室或个人提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。
五、信息内容审核制度
(一)必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。
(二)对在本网站发布信息的单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。
(三)对在 BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。
(四)一旦在本信息港发现用户制作、复制、查阅和传播下列信息的:
1、煽动抗拒、破坏宪法和法律、行政法规实施
2、煽动颠覆国家政权,推翻社会主义制度
3、煽动分裂国家、破坏国家统一
4、煽动民族仇恨、民族歧视、破坏民族团结
5、捏造或者歪曲事实、散布谣言,扰乱社会秩序
6、宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪
7、公然侮辱他人或者捏造事实诽谤他人
8、损害国家机关信誉
9、其他违反宪法和法律、行政法规
10、按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。
第五篇:论电子商务网络安全保护
[摘 要] 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题,对网络隐私数据(网络隐私权)安 全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议、p2p技术成为网络 隐私安全保护的有效手段。
[关键词] 电子商务;网络隐私权;信息安全技术;安全协议;p2p技术;安全对策
随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。
一、网络隐私权侵权现象
1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。
2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,BOO.com、Toysmart和CraftShop.com等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。
3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。
4.网络提供商的侵权行为
(1)互联网服务提供商(ISp Internet Service provider)的侵权行为:①ISp具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISp把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISp对他人在网站上发表侵权信息应承担责任。
(2)互联网内容提供商(ICp Internet Content provider)的侵权行为。ICp是通过建立网站向广大用户提供信息,如果ICp发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICp构成侵害用户隐私权,应当承担过错责任。
5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。
二、网络隐私权问题产生的原因
网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。
1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。
2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。
3.网络服务提供商(ISp)在网络隐私权保护中的责任。ISp对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISp站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。
目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。
三、安全技术对网络隐私权保护
1.电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
2.电子商务信息安全协议
(1)安全套接层协议(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCp/Ip的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
(2)安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
(3)安全超文本传输协议(S-HTTp)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTp对HT-Tp的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
3.p2p技术与网络信息安全。p2p(peer-to-peer,即对等网络)是近年来广受IT业界关注的一个概念。p2p是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般p2p网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。
(1)隐私安全性
①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得Ip地址。甚至可以使用一些跟踪软件直接从Ip地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在p2p中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。p2p系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。
②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在p2p中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。
(2)对等诚信
为使得p2p技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。
对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于p2p的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。
每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:
Sij=sat(i,j)-unsat(i,j)
四、电子商务中的隐私安全对策
1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。
4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。
7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
参考文献:
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8).[4]曹亦萍.社会信息化与隐私权保护[J].政法论坛,1998,(1).[5]林聪榕.世界主要国家信息安全的发展动向[J].中国信息导报,2001,(1).
点击咨询 