信息安全研究论文模板(10篇)

导言：作为写作爱好者，不可错过为您精心挑选的10篇信息安全研究论文，它们将为您的写作提供全新的视角，我们衷心期待您的阅读，并希望这些内容能为您提供灵感和参考。

篇1

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展，信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质，主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患，造成信息的丢失、泄密，甚至造成病毒的传播，从而导致信息系统的不安全性，给国家的信息化建设带来不利影响。因此，如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容：真实性，保证信息的来源真实可靠；机密性，信息即使被截获也无法理解其内容；完整性，信息的内容不会被篡改或破坏；可用性，能够按照用户需要提供可用信息；可控性，对信息的传播及内容具有控制能力；不可抵赖性，用户对其行为不能进行否认；可审查性，对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比，基于网络的信息安全有一些新的特点：

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点，从网络架到协议以及操作系统等都具有开放性的特点，通过网络主体之间的联系是匿名的、开放的，而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统，造成了病毒极易滋生和传播，从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为，而网络环境下的安全问题常常表现为一种技术对抗，对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的，不受时间和地点的约束，犯罪行为实施后对机器硬件的信息载体可以不受任何损失，甚至不留任何痕迹，给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故；计算机犯罪；人为错误，比如使用不当，安全意识差等；“黑客”行为；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议自身缺陷，等等。

二、我国信息化中的信息安全问题

近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站，但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称，在网络黑客攻击的国家中，中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制，很多单位和部门直接引进国外的信息设备，并不对其进行必要的监测和改造，从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

3、我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击，国内也有部分人利用系统漏洞进行网络犯罪，例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于：首先，我国的经济基础薄弱，在信息产业上的投入还是不足，尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次，全民信息安全意识淡薄，警惕性不高。大多数计算机用户都曾被病毒感染过，并且病毒的重复感染率相当高。

除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题，要实现信息安全不但要靠先进的技术，还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育，提高警惕性。从小做起，从己做起，有效利用各种信息安全防护设备，保证个人的信息安全，提高整个系统的安全防护能力，从而促进整个系统的信息安全。超级秘书网

2、发展有自主知识产权的信息安全产业，加大信息产业投入。增强自主创新意识，加大核心技术的研发，尤其是信息安全产品，减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系，制定相关的法律法规，例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等，加大对网络犯罪和信息犯罪的打击力度，对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业，应大力培养信息安全专业人才，建立信息安全人才培养体系。

篇2

一、面临的挑战

目前，金融业的业务开展更加依赖于信息技术的应用，特别是以综合业务系统整合、数据集中为主要特征的金融业信息化发展到一个新的阶段。因而，信息技术风险也自然成为中国金融机构操作风险的重要方面。金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐，境内外网络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。

一是人民银行的业务指导、监督管理滞后于金融业信息化发展。

与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出，在金融信息化、网络化时代，“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中，信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责，在2008奥运年中发挥了重要、积极的作用。但总体来看，人民银行及其分支行对金融机构信息安全工作的指导和监管，还处于初级阶段，由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识，以及缺乏监督管理的依据和标准，从而导致监管措施不到位，监管手段缺失，致使基层行监管缺乏主动性。

二是核心设备和技术依赖于国外，底层技术难以掌握，存在安全隐患。

目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施人侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。

三是境内外网络违法犯罪活动呈快速递增趋势，新技术的应用使我们面临更大的挑战。

金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击，整体信息安全形势严峻。2009年国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人，其中银行、金融和证券机构是攻击重点。

2005年6月18日，被称为有史以来最严重的信息安全案件在美国爆发，万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人，导致4000万个账户信息被黑客截获，使客户资金处于十分危险的状态。

由此可见，基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。

四是数据大集中的同时，也使技术风险相对集中。

伴随着数据大集中的实现，风险也相对集中.一旦数据中心发生灾难，将导致金融业的所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，其后果不堪设想。

近年来，国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。2006年，日本花旗银行出现交易系统故障，5天内约27．5万笔公用事业缴费遭重复扣划或交易后未作月结记录，造成该行的重大声誉损失。

信息系统潜在的风险已引起金融业的高度重视，如何保障后数据大集中时代金融业信息系统安全稳定运行，是需要整个金融业深入研究的课题。

五是我国金融业的灾难处理能力有待加强。

据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示，仅有3家建立了同城和异地灾备中心，9家建立了同城灾备中心，6家建立了异地灾备中心，尚有3家没有建立灾备中心。返观国外同业．多数国外银行已经做到了分行一级的灾难备份与恢复。这表明，我国金融业灾备中心建设同国外相比存在较大差距。

此外，国内金融机构的现有灾难备份中心布局不合理，过度集中在北京、上海两地，一旦发生区域性重大灾难，将对我国金融业整体运行状况带来极大危害，并造成过高的重建成本。

二、应对措施

按照《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》(新“三定”方案)规定，人民银行的主要职责之一是组织制定金融业信息化发展规划，负责金融标准化的组织管理协调工作，指导金融业信息安全工作。

在新形势下如何指导和协调金融业信息化建设和信息安全，是人民银行尤其是人民银行分支机构需要认真思考的问题。

金融业信息系统的安全是防范和化解金融风险的重要组成部分，要依靠法律、管理机制、技术保障等多方面相互配合，形成一个完整的安全保障体系。

一是加强金融服务指导和行业监管。

应建立跨部门的金融业信息安全协调机制以及重点时期的安保工作机制，强化信息安全手段和队伍建设，加强信息安全检测和准人制度，实施信息安全等级保护，建立信息资产风险评估体系，提高信息安全水平，保证金融稳定和经济发展。

人民银行分支机构应加强对中小金融机构的服务指导，尤其是在核心业务系统建设、灾备建设和信息安全方面给予具体指导，帮助中小金融机构借鉴成功经验，规避风险，实现跨越式发展。

各级人民银行，应牵头成立金融业信息安全领导小组，并建立和完善信息安全通报制度、报告制度和联席会议制度，建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制，随时处置和协调金融机构安全事件，以迅速应对突发事件的发生，降低或消除金融机构网络和主要信息系统因出现重大事件造成的损失。

二是研究建立跨部门的现代化金融业信息安全管理网络。真正实现对金融机构信息安全风险的及时、动态、全面、连续的监管。

在正确评估我国金融网络现状的基础上，借鉴国外的组网模式，尽快建立适应我国金融业信息化建设和发展实际的高速、安全和先进的网络框架，在建设时要充分考虑到网络的兼容性和拓展性，为下一步与各金融业的网络互联做准备。同时促进各家金融机构完善内控机制，保障运行安全。现代金融业高度依赖信息技术，必须充分认识到金融业信息安全对整体业务和金融体系，乃至经济体系的影响，牢固树立风险防范意识，把信息科技作为风险管理的重要手段。

三是人民银行要协调督促金融机构，加强自主创新，加大对国产软硬件采购力度，努力减少和降低一些关键领域的对外技术依赖。

对采购或使用的信息技术和产品，能自主的就要千方百计地推进自主，不能自主的，也须保证其可知可控，也就是说，要对信息技术产品的风险和隐患、漏洞和问题做到“心中有底、手中有招、控制有术”。

对须引进的，实行市场准人制度，并引进权威机构对其产品进行风险、安全、实用等综合性评估。

对各地区一些科技水平还比较低的中小金融机构，要加大支持力度，加强行业内部的交流合作。针对目前金融业，特别是中小金融机构的信息系统的开发、建设和运维采用IT外包的形式，应出台相应的政策、制度和措施，促进IT外包健康快速发展，约定监管机制，规范服务商的服务标准和流程，使IT外包以服务行为的公司化、强大的配套支持能力、灵活的外包服务方式成为金融机构快速发展的可行之道。

四是建立健全信息安全管理制度，定期进行信息安全检查，加强网络安全攻击防范。

由于金融业的组织结构和业务运营方式，使网络必定要建成一个同Internet和外部线路有较密切关系的结构，各种网络访问上的安全问题也随之产生。金融网络系统面临的攻击有来自内部的，也有来自外部的。攻击的后果将造成信息失密、信息遭篡改、身份遭假冒和伪造等，特别是在网络上运行关键业务时，网络安全问题更是要优先解决的问题。因此，应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式，促进银行做好系统加固工作，充分利用各种安全产品强化网络安全防范，加强移动存储介质管理，做好安全日志分析、预警和监测工作，防止植入木马导致信息泄漏和来自内部的安全威胁。

五是增加业务持续动作能力，切实采取措施防范数据处理集中后的技术风险。

巴塞尔银行业监管委员会共同论坛2006年8月了《业务连续性高级原则》将业务连续性管理定义为，发生中断事件时，确保某些业务保持运行或在短时间内得到恢复的一整套办法，包括政策、标准和程序。

业务连续性管理的实施在组织上的保证至关重要。人民银行应指导金融业参照国外先进经验，专门成立业务连续性管理指导委员会，将业务部门、风险管理部门和IT部门有关业务连续性的管理职责融于一处统筹管理。

目前，国内银行灾难备份和业务连续性管理主要集中在系统故障、人员操作、机房维护和短时间电力中断等情况。在防范自然灾害、重大疫情和恐怖袭击等方面的应对管理还需加强。一是要强涮“突发”与“应急”。由于灾害事件的不确定性，应急管理与保障工作必须建立在高强度的实战性基础上，使灾难应急管理真正适应“应急”的要求。二是要扩大应急预案本身的覆盖范围。我国金融业灾难备份及业务连续性管理主要集中在IT部门，远远不能适应业务连续性的需要，应当强调业务部门的参与，与IT部门共同构建适应现代金融业发展需要的应急保障体系，确保运营安全。

篇3

随着信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。

1局域网安全现状

广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。

2局域网安全威胁分析

局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：

2.1欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”，钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据，以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。

2.2服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

2.3计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crimeware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。

2.4局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网，同时将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍，笔记本电脑在内外网之间平凡切换使用，许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用，造成病毒的传入和信息的泄密。

2.5IP地址冲突

局域网用户在同一个网段内，经常造成IP地址冲突，造成部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。

3局域网安全控制与病毒防治策略

3.1加强人员的网络安全培训

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，注意管理方式和实现方法。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。同时要加强法制建设，进一步完善关于网络安全的法律，以便更有利地打击不法分子。对局域网内部人员，从下面几方面进行培训：

3.1.1加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。

3.1.2加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少能够掌握如何备份本地的数据，保证本地数据信息的安全可靠。

3.1.3加强网络知识培训，通过培训掌握一定的网络知识，能够掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。

3.2局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

3.2.1利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用，是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问的目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略，强制计算机用户设置符合安全要求的密码，包括设置口令锁定服务器控制台，以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合要求的计算机在多次警告后阻断其连网。

3.2.2采用防火墙技术。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开，它使内部网络与Internet之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。采用防火墙技术发现及封阻应用攻击所采用的技术有：

①深度数据包处理。深度数据包处理在一个数据流当中有多个数据包，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。

②IP?URL过滤。一旦应用流量是明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实，如果把应用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作，可以阻止通常的脚本类型的攻击。

③TCP?IP终止。应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。系统中存着一些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口是否合法，有效的TCP?IP终止，并有效地扼杀木马。时等。

④访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于TDI层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。

3.2.3封存所有空闲的IP地址，启动IP地址绑定采用上网计算机IP地址与MCA地址唯一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

3.2.4属性安全控制。它能控制以下几个方面的权限：防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

3.2.5启用杀毒软件强制安装策略，监测所有运行在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

3.3病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，主要从以下几个方面制定有针对性的防病毒策略：

3.3.1增加安全意识和安全知识，对工作人员定期培训。首先明确病毒的危害，文件共享的时候尽量控制权限和增加密码，对来历不明的文件运行前进行查杀等，都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。超级秘书网

3.3.2小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀，也可把病毒拒绝在外。

3.3.3挑选网络版杀毒软件。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错，能够熟练掌握瑞星杀毒软件使用，及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的关键。

通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。

局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

篇4

一、网络信息安全概述

信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。

（一）网络信息安全的内容

1．硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作。

2.软件安全。即计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。

3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。

4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。

（二）网络信忽安全的目标

1.保密性。保密性是指信息不泄露给非授权人、实休和过程，或供其使用的特性。

2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。

3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息

4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性，可以控制授权范围内的信息流向以及方式。

5.可审查性。在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。

二、网络信息安全面临的问题

1.网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议簇，该协议簇在实现上力求效率，而没有考虑安全因素，因为那样无疑增大代码量，从而降低了TCP/IP的运行效率，所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗：大多数因特网上的流量是没有加密的，电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题，这很容易被一些对TCP/IP十分了解的人所利用，一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略：许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用，黑客从一些服务中可以获得有用的信息，而网络维护人员却不知道应该禁止这种服务。配置的复杂性：访问控制的配置一般十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。TCP/IP是被公布于世的，了解它的人越多被人破坏的可能性越大。现在，银行之间在专用网上传输数据所用的协议都是保密的，这样就可以有效地防止入侵。当然，人们不能把TCP/IP和其实现代码保密，这样不利于TCP/IP网络的发展。

2.黑客攻击手段多样

进人2006年以来，网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法，用形同互联网黄页的域名系统服务器来发动攻击，扰乱在线商务。宽带网络条件下，常见的拒绝服务攻击方式主要有两种，一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式，造成网络流量急速提高，导致网络设备崩溃，或者造成网络链路的不堪负重。

调查资料显示，2006年初发现企业的系统承受的攻击规模甚于以往，而且来源不是被绑架的“僵尸”电脑，而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标，目标系统不论是网页服务器、域名服务器，还是电子邮件服务器，都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理，借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络，把大量的查询要求传至开放的DNS服务器，这些查询信息会假装成被巨量信息攻击的目标所传出的，因此DNS服务器会把回应信息传到那个网址。

美国司法部的一项调查资料显示，1998年3月到2005年2月期间，82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下，外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络，即使最严密的用户认证保护系统也很难保护网络安全。另外，由于企业员工可以通过任何一台未经确认和处理的设备，以有效合法的个人身份凭证进入网络，使间谍软件、广告软件、木马程序及其它恶意程序有机可乘，严重威胁网络系统的安全。

有资料显示，最近拉美国家的网络诈骗活动增多，作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”，网上诈骗活动日益增多。

3.计算机病毒

计算机病毒是专门用来破坏计算机正常工作，具有高级技巧的程序。它并不独立存在，而是寄生在其他程序之中，它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用，病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种，其传播途径不仅通过软盘、硬盘传播，还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大。被病毒破坏全部数据的占14%，破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件，计算机病毒便会发作，轻者造成速度减慢、显示异常、丢失文件，重者损坏硬件、造成系统瘫痪。

三、保障网络信息安全的对策

1.安全通信协议和有关标准。

在网络安全技术应用领域，安全通信协议提供了一种标准，基于这些标准，企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL（TLS）、IPsec和S/MIME

SSL提供基于客户/服务器模式的安全标准，SSL（TLS）在传输层和应用层之间嵌入一个子层，主要用于实现两个应用程序之间安全通讯机制，提供面向连接的保护；IP安全协议（IPsec）提供网关到网关的安全通信标准，在网络层实现，IPsec能够保护整个网络；S/MIME在应用层提供对信息的安全保护，主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务，但是他们的具体应用范围是不同的，在实际应用中，应根据具体情况选择相应的安全通信协议。

2.防火墙技术

防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤，只有被授权的通信才允许通过。防火墙的安全意义是双向的，一方面可以限制外部网对内部网的访问，另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时，防火墙还可以对网络存取访问进行记录和统计，对可疑动作告警，以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种，一

种是分组过滤技术，一种是服务技术。分组过滤基于路由器技术，其机理是由分组过滤路由器对IP分组进行选择，根据特定组织机构的网络安全准则过滤掉某些IP地址分组，从而保护内部网络。服务技术是由一个高层应用网关作为服务器，对于任何外部网的应用连接请求首先进行安全检查，然后再与被保护网络应用服务器连接。服务技术可使内、外网络信息流动受到双向监控。

3.访问拉制技术

访问控制根据用户的身份赋予其相应的权限，即按事先确定的规则决定主体对客体的访问是否合法，当一主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外，审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用，只有将上述各项技术很好地配合起来，才能为网络建立一道安全的屏障。

4.PKI技术

PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。

在PKI体系中，CA(CertificateAuthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

参考文献：

李俊宇.信息安全技术基础冶金工业出版社.2004.12

篇5

由于不同的权利主体基于同一档案客体对象会因利益目标不同而产生不同的权利类型并伴有普遍的信息权利冲突现象,因此,从权利协调与平衡的原则和要求看,公民或组织基于某一档案客体对象所产生的档案利用权利始终都是有限度的,它必然会受到档案开放或公布权、档案秘密权、档案作品著作权等相关权利的制约。因此,设计合理与合法的档案利用权利控制机制就成为我国档案立法的重要内容。

二、现有法律法规对档案利用权利的过度限制

任何权利的构成都包括权利主体、权利客体、权利内容等基本要素,对档案利用权利限度的分析也可从这些角度分别进行。

1、档案利用权利主体上的限制

档案利用权利主体是指有权利用(而不是现在法律文本中表述的“可以利用”)已开放和未开放档案的自然人、法人或者其他组织。我国在有关立法中习惯于将权利主体表述为“我国公民、法人或者其他组织”,而对外国人或者组织作特殊处理或者规定。例如《档案法》第二十条就规定了对档案(半现行与非现行文件)利用主体的具体范围为“团体、企业事业单位和其他组织以及公民”,而没有将“外国人或者外国组织”纳入到利用主体的范围之内。为了处理这一局限,有关部门出台了《外国组织和个人利用我国档案试行办法》。一般而言,外国人或外国组织经有关主管部门同意后只能利用国家档案馆已经开放的档案。从信息公开立法的国际趋势看,信息获取与利用权利主体一般具有无限性特点,习惯于将本国公民、法人或者组织和外国公民与组织均作为等同的权利主体对待。笔者认为,上述趋势虽然可以给我国档案立法提供借鉴,但从理论上还是应区分清楚档案利用权利主体和档案利用主体的界限。档案利用权利主体是指我国公民、法人或者组织,而档案利用主体除包括我国公民、法人或组织之外,还应包括外国公民或组织。他们与我国公民、法人或者组织等档案利用权利主体的本质差异在于:首先,外国公民或组织不能要求我国开放某类档案,而我国公民、企事业单位和组织可以根据法律规定要求开放某些档案或申请利用某些未开放档案;其次,我国公民或组织可以通过行政援助和司法援助要求有关部门开放某类档案或收回已开放的档案,而外国公民或组织则无权要求。由此可见,在档案立法中理应区分档案利用权利主体和档案利用主体的不同。现阶段我国档案立法文本中对我国公民、法人或者组织的档案利用行为仅用“可以利用”来界定则远远不够,法律文本理应明确赋予他们档案利用权利主体的地位,而“可以利用”的表述仅适合于对外国公民或组织档案利用行为的概括。

2、档案利用权利客体范围上的限制

从我国法律制度关于档案开放利用客体对象范围的界定看,它仅限于国家档案馆保存的档案。《档案法》第十九条规定:国家档案馆保管的档案,一般是自其形成之日起满30年向社会开放;《档案法》第二十条规定:机关、团体、企业事业单位和其他组织以及公民根据经济建设、国防建设、教学科研和其他各项工作的需要,可以按照有关规定,利用档案馆未开放的档案以及有关机关、团体、企业事业单位和其他组织保存的档案;《档案法实施办法》第二十二条规定:机关、团体、企业事业单位和其他组织的档案机构保存的尚未向档案馆移交的档案,其他机关、团体、企业事业单位和组织以及中国公民如需要利用的,须经档案保存单位同意。从上述一系列规定可以看出,《档案法》及其实施办法有两个重要限制:一是始终将档案开放客体对象限制在“国家档案馆的档案”这一范围内,虽原则性提出有关主体也可利用未进馆的档案,但将开放利用决定权交给了档案保管单位;二是虽然规定有关主体可以利用档案馆未开放的档案,但是,由于上述《档案法》第二十条明确授权制订“利用未开放档案办法”的国家档案行政管理部门和有关主管部门至今没有出台“有关规定”,因此,从一定意义上来说,馆藏未开放档案的利用还是一个“无法可依”的领域。①这表明机关档案室收藏的档案和国家档案馆收藏的未开放档案均不在现有档案开放利用法律制度的调控范围之内。因此,档案利用权利客体对象目前仅限于国家档案馆保存的已开放档案。

3、档案利用权利行使目的的限制

档案工作基本原则指出档案工作的根本目的是“便于社会各方面的利用”,其言下之意就是所有主体(团体用户或个人用户,甚至包括国外用户)可以因各种需要(公务或私人目的)利用档案。这一理念在《档案法》中得到了一定程度的体现。《档案法》针对机关、团体、企事业单位和其他组织(上述利用主体均为团体用户)利用开放档案和未开放档案均未明确限制其“利用目的”。但有关规定显然未将公民个人因“个人休闲”、“个人利益”等不属于“各项工作需要”范围的档案利用目的包涵在内。这就意味着公民出于“个人休闲”、“个人利益”等利用目的利用未开放档案的行为不能得到法律保护。

与此相类似,《政府信息公开条例》第十三条规定:除主动公开的政府信息以外,公民、法人或者其他组织还可以根据自身生产、生活、科研等特殊需要申请获取政府信息。这意味着对政府机关主动公开的政府信息,公民、法人或者其他组织可以贯彻自由使用原则,但自由使用原则并不适用于被动申请公开的政府信息,“生产、生活、科研等活动特殊需要”的信息公开申请限制极大地蚕食了公民、法人或其他组织的信息利用范围。

三、档案利用权利适度扩展及其实现的基本途径

随着公民权利意识的觉醒和权利要求的提高,档案利用权利也应进行适度扩展。这种权利扩展首先体现在对档案法律政策设计上的要求。

1、设计覆盖文件管理全流程的信息开放政策

《政府信息公开条例》中指向的客体对象是处于形成、处理或保存等所有阶段的政府信息,某一政府信息只要属于主动或被动公开的范围,不管其运动到什么阶段或收藏与保存在什么地点均应公开。这就意味着保存在机关业务部门或文书处理部门、机关内部档案部门和国家档案馆等不同地点的政府信息均应执行统一的开放政策。但与此不相容的是,《档案法》对处于国家档案馆保存阶段的档案开放政策则另有具体规定,而且这些规定又与《政府信息公开条例》的规定存在矛盾冲突。从法律位阶和政策效应上来看,《档案法》对《政府信息公开条例》中的相关内容具有否定作用。这就导致了在文件全流程管理中,现行、半现行文件的开放政策适用《政府信息公开条例》,而非现行文件的开放政策适用《档案法》。由于《政府信息公开条例》是以“公开为原则,不公开为例外”作为立法指导思想,而《档案法》及其实施办法和有关规定强调的是以“档案保管和控制”作为立法指导思想,所以说《政府信息公开条例》的开放度明显高于《档案法》及其实施办法和有关规定。这就导致了现阶段我国文件与档案开放利用政策中存在着明显的前松后紧现象,即处于现行与半现行阶段的文件开放利用政策相对宽松,而处于非现行期的文件(即国家档案馆的档案)开放利用政策却相对严格,显然,这不符合伴随着时间推移,信息机密性递减而其作用范围应该逐步扩大的一般规律。因此,提高《政府信息公开条例》的法律位阶或制订《文件与档案法》(或称为《文件法》)将有利于从文件管理全流程上统一文件与档案的开放政策。

2、形成对档案利用权利科学控制的基本机制

正如前文分析的一样,档案利用权利是有限度的,对档案利用权利的限度必须进行科学的分析和控制。对档案利用权利的科学控制可以分为两个层面:一是对档案合理利用行为进行合法化确认;二是从源头上设计档案开放与公布权行使机制。

对档案合理利用行为进行合法化确认是在对档案利用行为进行合理化程度分析的基础上,通过法律法规对这些合理利用行为进行认可的过程,它影响和决定着档案利用权利本身的内容及其可能实现的广度和深度。由于档案利用过程中不同信息权利之间矛盾冲突的普遍存在(例如档案控制权与获取权的冲突、档案开放权与保密权的冲突等),这就决定了档案利用应是合理和合法的利用,并且合理的档案利用行为也应得到有关法律法规的确认,例如档案利用行为必须遵守著作权相关法律法规的规定。

如果仅就档案利用权利本身设计档案利用控制机制那么便是一种片面思维。这是由于档案利用是对已开放档案和未开放档案的利用,档案利用权利的实现在很大程度上受制于档案开放程度。因此,要建立和完善档案开放审查机制。笔者认为,在档案开放审查机制中起决定作用的是档案开放审查与决定主体的政策执行意识、能力与水平。从开放档案信息的义务与责任、对档案信息的理解力等方面看,档案开放审查和决定主体不仅包括国家档案馆,还应包括所有政府信息公开的义务主体。只要是政府信息公开义务主体依法开放与公布的档案,任何享有政治权利的公民、法人或组织无论出于公务或私人目的均可对其进行利用。

3、制定未开放档案申请利用的科学程序

档案利用权利指向的客体对象既包括对已开放档案的利用,也包括对未开放档案的利用。《档案法》第二十条明确规定:“机关、团体、企业事业单位和其他组织以及公民根据经济建设、国防建设、教学科研和其他各项工作的需要,可以按照有关规定,利用档案馆未开放的档案”。而且,该条款同时明确,“利用未开放档案的办法,由国家档案行政管理部门和有关主管部门规定”。但从具体实践看,现阶段我国利用未开放档案的办法始终没有出台,档案利用工作的着力点集中在已开放档案利用上,而相对忽视了未开放档案的利用工作,这无疑在一定程度上已经影响了公民档案利用权利的实现。针对公众档案信息个性化需要不断增多、公民档案利用权利实现的要求和进一步提高综合档案馆管理绩效的客观形势,综合档案馆和有关档案机构均应适时启动未开放档案的申请利用。从保障未开放档案申请利用的程序合法要求看,综合档案馆和有关档案机构可以参照《政府信息公开条例》中关于信息申请公开的规定执行。从政策衔接要求看,对处于不同运动阶段的文件信息适用相同的依申请公开程序既是合理的也是合法的。可喜的是,这种针对未开放档案申请利用的有关规定或办法已经在我国一些地方性档案立法中开始出现。2008年修订的《上海市国家综合档案馆档案利用和公布办法》在第八条就详细规定了公民和组织利用档案馆未开放档案的程序办法,这极大地保障了公民和组织的档案利用权利。

4、开发具有保障档案利用权利实现的文件管理系统

篇6

中小企业融资难问题是制约中小企业发展的瓶颈，我国为解决该问题已从多方面着手，在一定程度上扩展了中小企业融资途径。但这些措施还不能完全满足中小企业发展的资金需求，所以适时推出中小企业信贷保证保险制度是极为必要的。该制度的建立具有重大的经济效益及社会效益。

一、中小企业信贷保证保险的涵义

信贷保证保险是指以信用风险为保险标的的保险。它包括两类保险：一类是狭义的保证保险，另一类是信用保险。它们的保险标的都是被保证人的信用风险，当被保证人未按照基础合同约定履行义务，使权利人遭受经济损失时，保险人负代为履行付款义务(给付保险赔偿金)责任。凡被保证人根据权利人的要求，由保险人承担自己(被保险人)信用的保险，属狭义的保证保险；凡权利人要求保险人担保对方(被保证人)信用的保险，属信用保险，权利人即被保险人。

狭义的中小企业信贷保证保险的被保证人指的是中小企业，它在保证保险中作为投保人，通常是保费的缴纳者；受益人是债权人，在中小企业信贷保证保险中指向中小企业贷款的金融机构。信用保险的权利人指的是向中小企业贷款的金融机构，它是信用保险的投保人，通常是保费的缴纳者，同时也是保险合同的受益人；被保险人是债务人，即中小企业；保险责任是被保险人到期不能履行还本付息的风险。

二、建立中小企业信贷保证保险制度的意义

(一)增强中小企业信用等级，缓解中小企业资金需求

中小企业贷款难的原因之一是由于大型商业银行对中小企业的还款能力存有疑虑，而中小企业又无充足的资产作为抵押。中小企业信贷保证保险制度的建立可以使中小企业信用等级得到升级，将有效地消除大银行对中小企业还款能力的顾虑，当中小企业不能如期还本付息时，保险公司要按照保险合同约定履行替中小企业还本付息的责任，银行也不会因此而遭受损失。因此，在具有中小企业贷款保险制度的情况下，中小企业将可以和其他大企业一样从银行获得更多的贷款，以满足自身发展的需求。

(二)降低信贷金融机构的风险，提高银行资金收益率

近年来，我国商业银行的存款总额在逐年扩大，而贷款总额相对缩小，存贷比自1995年首次突破“广后，逐步放大。由此可以看出，我国的商业银行存在着大量的剩余资金，银行的资金利用率较低，不利于银行本身的发展。但银行在提高收益率的同时必须考虑资金的安全性，如只注重收益而忽略资金安全则有可能对银行更加不利，所以银行在资金运用上常常处于矛盾的境地。若中小企业信贷保证保险制度得以建立，则商业银行可以在保险公司的参与下，将资金贷给中小企业，既可以提高资金的收益率又可以保证资金的安全。

(三)拓宽保险业务，提高保险公司整体竞争力

保险公司承办中小企业贷款保险业务，可以扩大保险公司的业务量，增强保险公司的竞争实力。自1980年我国恢复办理国内保险业务以来，我国的保险业得到了迅速发展，截至2006年底，保险业总资产达1.9万亿元，但我国的保险深度与保险密度仍然很低，总体上来说，仍处于发展阶段，竞争能力与发达国家相比还比较弱。加之我国加人WTO后，国外的保险公司不断涌人，国外保险公司具有技术与资产等方面的优势，将给我国的民族保险业造成巨大的威胁。发展中小企业贷款保险业务，可以使我国的保险公司增加资金实力，提高整体竞争能力。

(四)促进金融深化与宏观经济的迅速发展

开展中小企业贷款保险业务，一方面可以使银行、保险公司等金融部门之间相互配合，扩大自身业务，增加其资金实力，促进金融深化进程，增加金融部门对宏观经济的贡献率；另一方面，该业务还可以解决生产部门，尤其对中小企业的资金短缺问题，促进中小企业等生产部门发展；最后，金融部门与生产部门的发展是相互促进的，其任何一方的发展都离不开对方的支持，它们的发展是互为因果、轮番促进的。开展中小企业贷款保险业务，可以为之创造出一种相互促进、相得益彰、和谐发展的大好局面。

三、中小企业信贷保证保险制度建立的可行性

(一)建立中小企业信贷保证保险制度符合国家扶持中小企业发展的政策

我国政府一直在积极为中小企业解决资金短缺难题，如创建中小企业板、设立担保机构、进行银行制度改革等，虽然有较大的财力投入，但效果不佳。推出中小企业信贷保证保险业务，符合国家扶持中小企业发展的政策要求，客观上会得到政府的大力支持。因为，该业务属于一种纯商业行为，保险公司是以盈利为最终目的，无须政府太多投入。在这种情况下，保险公司实际上是为政府分担了部分职责，政府再通过诸如税收等优惠政策予以扶持，就可以在不增加财政支出的基础上缓解中小企业资金短缺这一棘手问题。

(二)建立中小企业信贷保证保险制度会得到信贷机构的支持

信贷风险是银行等信贷金融机构面临的重大风险之一，如违约数额较大，则会对其稳定经营造成威胁。信贷金融机构可以通过避免、自留、转移等多种方式进行风险管理。进行风险管理时，风险主体应根据自身抵抗风险的能力以及风险的大小来选择防范风险的最佳方式。对于这样重大的风险，风险转移是银行等信贷机构处理风险的最好选择，而保险又是风险转移中最完善、最合理的方式。因此，信贷保证保险制度的建立必将得到信贷机构的支持。

(三)建立中小企业信贷保证保险制度可以拓展保险公司业务，提高经济效益

我国的保险业经过二十多年的迅猛发展，正在逐渐走向成熟，已在各种传统险种以及近年来推出的汽车信贷保证保险、住房信贷保证保险、出口信贷保证保险等险种的经营方面取得了丰富的经验。无论对标的风险的评估，对风险的技术处理，还是对风险的承保能力都已达到了一定的水平。另外，近年来我国的保险人才不断涌现，保险精算师的数额在逐年增加，为信贷保证保险条款的设计及保险费率的计算提供了人员上的保障。最后，通过开办中小企业信贷保证保险业务能给各保险公司带来经济效益。

四、建立中小企业信贷保证保险制度可能存在的问题

建立中小企业信贷保证保险制度在中小企业、金融机构、保险公司三方“共赢”的同时，还会产生不少问题，其中最严重的问题是“逆选择”与“道德风险”。

“逆选择”是由于信息不对称引起的。中小企业对自己的经营水平、还款能力有着充分的了解，而保险公司对各中小企业的具体情况没有深入了解，常常处于信息不对称状态。在这种情况下，那些经营状况好，还款能力强的企业不愿意投保，而那些经营状况差，还款能力弱的企业则非常愿意投保，这最终将危及保险业的稳定经营，更不利于信贷保证保险制度的实施。

“道德风险”则主要主要来自中小企业和银行等信贷机构两方面。对于中小企业而言，如果投保了信贷保证保险，往往会将资金运用到高风险的项目，如果投资成功则会给企业本身带来巨大的投资回报，倘若投资失败也会有保险公司为其偿还贷款；对银行等信贷机构而言，有了信贷保证保险往往会忽视债务人的信用等级，对于本不应贷款的客户，大量放款，以追逐利润的最大化。道德风险的存在给信贷保证保险制度的建立带来了难度，应为此筹划相应的策略，以化解这些负面因素的影响，充分发挥其积极作用。

五、建立我国中小企业信贷保证保险制度的总体思路

(一)合理选择中小企业信贷保证保险制度建立的方式

建立我国中小企业信贷保证保险制度的方式大体有两种模式：一是筹建新型的专业保险公司来承办中小企业的信贷保证保险业务，出资形式可以由政府承担或由某些大机构牵头组建股份公司；二是由现有的优质保险公司在原有基础上开办该种业务，由专门的下属部门从事中小企业的信贷保证保险业务。考虑到我国的现状，后一种形式应该更为合适。因为这样不仅可以为国家节省财政资金，避免重复建设的问题，还可以增强我国现有公司的实力，树立国家民族保险晶牌。综上所述，建立我国中小企业信贷保证保险制度的最佳方式是利用现有的优质保险公司，先开展试点业务，待机会成熟再全面放开。

(二)实行强制保险，差别费率，防止逆向选择

为了避免出现“逆选择”问题，我国应该对中小企业贷款采取强制性政策。如果实行自愿投保，那么银行对于实力较强的中小企业贷款则不愿投保，而对实力较差的中小企业贷款却非常愿意投保，这将不利于保险公司的长远经营。鉴于此种情况，对于中小企业贷款应采取强制性的贷款保险。但采取强制性保险，采取相同费率，会产生对各个投保主体有失公平的问题。因为，保险公司在制定保险费率时，是根据投保者的风险等级进行计算的，对于违约风险较小的绩优公司的贷款，应实行较低的保险费率；而对于违约风险较大的绩差公司的贷款，应实行较高的保险费率。所以，在实行强制保险，防范逆选择的同时，还应对于不同的信贷主体实行差别费率，以保证公平合理。

(三)实行比例赔付、免赔额等措施，防止道德风险

信贷保证保险过程中，无论是信贷机构还是中小企业都会出于利润最大化的动机，人为的增加贷款风险以及资金运用风险，产生道德风险。实行比例赔付、免赔额等措施是防范道德风险的有效方法。比例赔付是指在贷款发生损失时，保险公司只对贷款进行部分赔偿，其余部分由中小企业和银行承担。实施比例赔付可以使中小企业和银行等贷款机构在发生贷款损失时，承担部分损失。所以，贷款机构在贷款时会非常谨慎，中小企业在利用资金时也会再三珍重，从而有效地防止道德风险。免赔额是指被保险人根据保险合同，在赔付之前，先要自己承担的损失额度。其实施的意义有两个：第一，免赔额可以大大减少保险公司的工作量，减少赔付率，提高其偿付能力。第二，免赔额的实施，可以使信贷机构贷款后保持对贷款人的监督，督促中小企业合理运用资金。由此看来，免赔额同样可以抑制道德风险。

(四)实行再保险、共同保险方式分散风险

大额的信贷保证保险如果一旦债务人违约失信则会给保险公司的稳定经营带来巨大的影响，直接损害其它投保人的利益。因此，保险公司对于数额较大的信贷保证保险应采取合理的风险分散机制，以避免风险集中。具体方法有再保险和共同保险。再保险是指原保险人在与投保人签订保险合同后，与再保险人签订再保险合同，当贷款发生损失时，原保险人和再保险人按合同约定进行赔偿。再保险使原保险人在不损失保险业务的情况下，分散了巨额风险，防止了风险集中，是原保险人经常采取的一种化解巨额风险的方式。共同保险是指由多家保险公司对同一巨额风险共同承保。共同保险同样也可以做到使保险公司扩大承保能力，分散巨额风险的作用。

(五)完善损失补偿机制

篇7

会议论文集均由德国Springer出版社作为LNCS系列出版。ICICS2013欢迎来自全世界所有未发表过和未投递过的原始论文，内容包括访问控制、计算机病毒与蠕虫对抗、认证与授权、应用密码学、生物安全、数据与系统安全、数据库安全、分布式系统安全、电子商务安全、欺骗控制、网格安全、信息隐藏与水印、知识版权保护、入侵检测、密钥管理与密钥恢复、基于语言的安全性、操作系统安全、网络安全、风险评估与安全认证、云安全、无线安全、安全模型、安全协议、可信计算、可信赖计算、智能电话安全、计算机取证等，但又不局限于此内容。

作者提交的论文，必须是未经发表或未并行地提交给其他学术会议或学报的原始论文。所有提交的论文都必须是匿名的，没有作者名字、单位名称、致谢或其他明显透露身份的内容。论文必须用英文，并以 PDF 或 PS 格式以电子方式提交。排版的字体大小为11pt，并且论文不能超过12页（A4纸）。所有提交的论文必须在无附录的情形下是可理解的，因为不要求程序委员阅读论文的附录。如果提交的论文未遵守上述投稿须知，论文作者将自己承担论文未通过形式审查而拒绝接受论文的风险。审稿将由3位程序委员匿名评审，评审结果为：以论文形式接受；以短文形式接受；拒绝接受。

ICICS2013会议论文集可在会议其间获取。凡接受论文的作者中，至少有1位必须参加会议，并在会议上报告论文成果。

投稿截止时间：2013年6月5日 通知接受时间：2013年7月24日 发表稿提交截止时间：2013年8月14日

会议主席：林东岱 中国科学院信息工程研究所 研究员

程序委员会主席：卿斯汉 中国科学院软件研究所、北京大学软件与微电子学院 教授

Jianying ZHOU博士 Institute for Infocomm Research，新加坡

篇8

网络安全论文参考文献：

[1]张金辉，王卫，侯磊.信息安全保障体系建设研究.计算机安全，2012，（8）.

[2]肖志宏，杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报，2009，（3）.

[3]沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化，2010，（12）.

[4]严国戈.中美军事信息安全法律保障比较.信息安全与通信保密，2007，（7）.

[5]杨绍兰.信息安全的保障体系.图书馆论坛，2005，（2）.

[6]侯安才，徐莹.建设网络信息安全保障体系的新思路.现代电子技术，2004，（3）.

网络安全论文参考文献：

[1]王爽.探讨如何加强计算机网络安全及防范[J].计算机光盘软件与应用，2012（11）.

[2]田文英.浅谈计算机操作系统安全问题[J].科技创新与应用，2012（23）.

[3]张晓光.试论计算机网络的安全隐患与解决对策[J].计算机光盘软件与应用，2012（18）.

[4]郭晶晶，牟胜梅，史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用，2013，12（09）：123-125.

[5]王拥军，李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密，2013，11（07）：153-171.

[6]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全，2013，11（07）：152-160.

[7]周连兵，张万.浅议企业网络安全方案的设计[J].中国公共安全：学术版，2013，10（02）：163-175.

网络安全论文参考文献：

[1]古田月.一场在网络战场上的较量与争夺[N].中国国防报，2013-05-20（6）.

[2]兰亭.美国秘密监视全球媒体[N].中国国防报，2010-10-24（1）.

[3]李志伟.法国网络安全战略正兴起[N].人民日报，2013-01-01（3）.

篇9

一、征文范围

1. 新技术应用环境下信息安全等级保护技术：物联网、云计算、大数据、工控系统、移动接入网、下一代互联网（IPv6）等新技术、环境下的等级保护支撑技术，等级保护技术体系在新环境下的应用方法；

2. 关键基础设施信息安全保护技术：政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施；

3. 国内外信息安全管理政策与策略：信息安全管理政策和策略研究，信息安全管理体制和机制特点，信息安全管理标准发展对策，网络恐怖的特点、趋势、危害研究；

4. 信息安全预警与突发事件应急处置技术：攻击监测技术，态势感知预警技术，安全监测技术，安全事件响应技术，应急处置技术，灾难备份技术，恢复和跟踪技术，风险评估技术；

5. 信息安全等级保护建设技术：密码技术，可信计算技术，网络实名制等体系模型与构建技术，漏洞检测技术，网络监测与监管技术，网络身份认证技术，网络攻防技术，软件安全技术，信任体系研究；

6. 信息安全等级保护监管技术：用于支撑安全监测的数据采集、挖掘与分析技术，用于支撑安全监管的敏感数据发现与保护技术，安全态势评估技术，安全事件关联分析技术、安全绩效评估技术，电子数据取证和鉴定技术；

7. 信息安全等级保护测评技术：标准符合性检验技术，安全基准验证技术，源代码安全分析技术，逆向工程剖析技术，渗透测试技术，测评工具和测评方法；

8. 信息安全等级保护策略与机制：网络安全综合防控体系建设，重要信息系统的安全威胁与脆弱性分析，纵深防御策略，大数据安全保护策略，信息安全保障工作评价机制、应急响应机制、安全监测预警机制。

二、投稿要求

1. 来稿内容应属于作者的科研成果，数据真实、可靠，未公开发表过，引用他人成果已注明出处，署名无争议，论文摘要及全文不涉及保密内容；

2. 会议只接受以Word排版的电子稿件，稿件一般不超过5000字；

3. 稿件以Email方式发送到征稿邮箱；

4. 凡投稿文章被录用且未作特殊声明者，视为已同意授权出版；

5. 提交截止日期： 2014年5月25日。

三、联系方式

通信地址：北京市海淀区首都体育馆南路1号

邮编：100048

Email：.cn

联系人： 范博、王晨

联系电话：010-68773930，

篇10

通过不断地教学研究和实践，我们基本认识了信息安全的学科特点和知识结构，提出了如下观点：

(1)信息安全具有多学科交叉的特点。信息安全是计算机、通信、电子、数学、物理、生物、法律、管理、教育等多学科的交叉学科。

(2)信息安全技术具有整体性和底层性的特点。必须从整体上采取措施，从软硬件底层采取措施，才能比较有效地解决信息安全问题。

(3)确保信息安全是一种系统工程。硬件结构安全和操作系统安全是信息系统安全的基础，密码、网络安全等是关键技术，必须综合采取各种措施才能奏效。

同时基本认识了信息安全专业人才培养的基本规律：

(1)信息安全人才的基本特征是：掌握信息安全的基本理论和基本技能。

(2)必须同时重视信息科学技术的基础和信息安全的专业知识与技能。

(3)要高度重视实践教学。必须有足够的实践教学，做好实验室的基本设施建设，建立校外实习基地，加强实习基地建设。

虽然信息安全专业的建设取得了一定成绩，但仍存在如下三个方面的问题：一是现有的教学培养模式注重基础理论的学习，专业必修课与计算机科学与技术专业重叠太多，未能很好地体现信息安全专业以学信息安全理论与技术为主，兼学通信，同时加强数学、物理、法律等基础，掌握信息安全的基本理论和技能的办学思路。二是对学生的培养模式统一，没能根据学生自身的特点进行培养，不能实现既培养了计算机及通信人才又培养信息安全专业技术人才的目标，没能很好地起到分层次和分类别培养的效果。三是原有培养方案中的实验课程大多数是课间实验，实验时间分散，多以验证型实验为主，学生参加课外科研和实践的机制不健全，对实验指导的重视程度不够，不利于学生专业创新与创造能力的培养。

2信息安全人才培养模式改革与创新基本思路

在综合考虑上述因素的前提下，结合信息安全专业人才培养的现状，我们对人才培养目标进行了重新定位，改进和完善了现有专业人才培养方案，进行了培养过程和途径的创新，并对教学和实践教学环节及内容进行了改进。

2.1专业培养目标的重新定位

在认识了信息安全学科的特点、知识结构和人才培养基本规律的基础上，我们对专业培养目标进行了重新定位。进一步明确了信息安全专业旨在培养能够从事计算机、通信、电子信息、电子商务技术、电子金融、电子政务、军事等领域的信息安全研究、应用、开发、管理等方面的高级技术人才。同时强调加强通识教育和实践教学，重基础、重发展、重能力、重创造，兼顾计算机学院学生必须的通识基础、数学基础、通信基础、计算机软硬件基础、信息安全基础之间的合理比重。

培养的学生应以学习计算机科学和信息安全理论与技术为基础，兼学通信技术，同时加强数学、物理、法律和管理基础。要求学生在信息安全理论基础和实际能力两个方面都得到培养提高：能阅读本专业的外文资料。学生毕业后可从事信息安全领域的研究、应用、开发和管理等方面的工作。培养目标进一步分层次，按学生特点及去向分为研究型和应用型两大类，区别培养，体现了人才培养的多样化。

2.2改进和完善现有的专业人才培养方案

信息安全专业2001年成立以来，我们制订出一套信息安全本科专业课程系统和教学计划，并在全国开设信息安全本科专业的大学中推广。为更好地提高人才培养质量，加强学生的理论水平与实际动手能力，我们先后进行了三次培养方案的修订。

在改进的培养方案中，课程教学方案贯彻了“少而精”的原则，强化基础知识、应用能力这两极课程，减少、弱化了二者之间课程的分量；尽力合并传统内容，增设新的、与当今信息安全技术发展同步的课程或内容；调整了专业必修课和选修课课程，将原培养方案中的专业选修课(“计算机病毒”、“信息隐藏技术”、“智能卡技术”)改为专业必修课；更加重视学生实践动手能力的培养，努力建立学生自主创新学习为主导的学习机制，实现创新精神和能力的培养。

课程体系体现多学科交叉：开设“信息安全数学基础”、“信息安全法律法规”、“通信原理”、“现代通信”等课程。

体现硬件系统的基础作用：除了常规硬件类课程外，加开“大规模集成电路”、“智能卡技术”、“电磁防护与物理安全”、“嵌入式系统”等课程。

体现操作系统的基础作用：除了“操作系统原理”，加开“Windows原理与应用”、“Linux原理与应用”，形成操作系统课程组。

体现密码与网络安全的关键作用：开设“密码学”与“网络安全”、“计算机病毒”、“网络管理”、“网络程序设计”等课程。

第四年的实习实践教学内容配备了相应的实习管理制度和考核指标。要求学生在大学第二年成立专业学习兴趣小组，制定了兴趣小组的管理规定，为第四年实习实践环节奠定良好的基础。为了让学生明确信息安全专业课程学习的顺序关系，了解各专业课程之间的相互联系，尽早树立专业学习目标，还添加了信息安全专业课程关系图，进一步完善了信息安全专业人才培养方案。

通过人才培养方案的改进和完善，达到了人才培养模式创新的目的，变不适应为适应，变不协调为协调，使我们培养的信息安全人才更加适应社会需要，符合中国国情，体现武汉大学“三创”复合型人才培养的特色。

2.3培养过程和途径的创新思路

新的人才培养模式中，信息安全本科培养按“3+1”模式设置教学计划，即前三年在学校修满所有学分，完成全部课程学习，第四年按学生特点及去向分类安排不同的学习项目，完成培养方案中的实践教学环节。推荐免试攻读硕士学位的学生直接进入到导师的课题组，提前开始研究生阶段的学习和研发工作；对准备就业的学生安排到用人单位或实习基地实习，并要求其在实习基地实习6个月以上，完成毕业论文；未推免并要求留在学校实习的学生安排在学院实验室，按兴趣分组，由专门的老师指导完成所分配的研究或开发项目。

新的培养方案已于2007年全面实施，“3+1”培养模式大大提高了毕业论文的质量，2003级信息安全专业毕业论文的优秀率达到了14％。

2.4进一步加强实践教学

学院高度重视学生实践动手能力的培养，为加强信息安全专业学生的创新能力，除安排一年的实习实践以外，还将实验课程由分散改为集中进行，由验证型为主改为设计型为主。增加了“程序设计训练”实践课程为必修课，调整了“信息安全综合实验”课程的内容，将其变为一个综合实践、测试平台。增加了部分课程的课内实验学时，让学生做到理论联系实际，增加学生的计算机应用能力。

3实践教学改革

新的人才培养模式促使信息安全专业实践教学正在尝试以下几项新的改革措施：

3.1不断改革实践教学体系，增加实践教学内容，改变实践教学的实现方式

新的人才培养模式中，信息安全本科按“3+1”模式设置教学计划，加大了教学实践环节，并将实验课程由分散进行改为集中进行，由验证型为主改为设计型为主，加大了综合设计、创新实验、实训实战的比重。通过对集中实践教学和课间实践教学的课时调整，使实践教学的课时数占总课时数的40％。

实验教学在基础实验、综合设计实验、创新提高实验、实训平台训练、实习地实战训练、毕业设计与毕业论文六个层面开展，不同层面的要求、方法及形式有所不同。基础验证型实验多采用课间实验的方式，综合设计型实验一般在理论课后集中一或两周进行，程序设计训练和嵌入式设计不受时间限制，可跨越四年时间完成。对创新提高型实验，可根据创新设计自主完成。实训平台训练型实验是在教师指导下分组合作，共同完成实训项目。毕业设计与毕业论文可结合导师的科研工作提前开始，加强过程管理，强化答辩环节，确保质量。

3.2积极拓展校外实习基地，通过与企业合作，提高学生专业实践能力