时间:2023-10-15 09:46:24
导言:作为写作爱好者,不可错过为您精心挑选的10篇个人信息安全应急演练,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
小隐私中的大隐患
从近期的案件分析来看,犯罪分子更多把目光放在数据挖掘和数据分析上,互联网金融的发展使他们容易窃取到一些更精准的企业信息和个人信息,作案成功率也会更高。
类似于已被人们熟知的信用卡欺诈、套现洗钱等事件还在不断发生。而且从互联网到手机,从电话到电视,从pos机到pad,第三方支付渠道愈加增多。互联网金融最基本的核心还是金融的属性和金融的特性,所以还是要以金融的风险管理角度来直面互联网金融所带来的风险。
中国金融认证中心助理总经理王梅认为,金融机构在面临这些信息安全隐患时,需要加强新技术和新应用这方面的研究。随着现在银行业务不断的创新,电子银行的渠道也越来越多,复杂度越来越高。银行金融机构要从业务架构和技术架构两方面人手,考虑如何更好的融合。尤其是信息安全建设方面,系统建设要同时启动规划、开发、测试、上线,要充分认识重视信息安全。最重要的是加强信息安全的宣传、引导,尤其是电子银行安全方面的引导。
“很多时候,客户发生信息泄露事件,是客户自身对信息安全意识不足。”一位银行人士表示,对于一些诈骗信息,百姓应分辨清楚,不轻信对方。
中国互联网络信息中心(CNNIC)的《2012年中国网民信息安全状况研究报告》显示,我国信息安全状况不容乐观,而网民对信息安全危害意识程度不够。
有84.8%的网民遇到过信息安全事件,在这些网民中,平均每人遇到2.4类信息安全事件。在众多信息安全事件中垃圾短信和手机骚扰电话发生比例最高,分别有68.3%和56.5%。而“欺诈诱骗信息”、“假冒网站”等新型信息安全事件甚至超过了部分传统信息安全事件。38.2%的网民遇到过“欺诈诱骗信息”,这一比例甚至比传统的“中病毒或木马”的网民比例高出15.1个百分点。但在遇到信息安全事件的网民中,高达47.5%的网民不做任何处理,网民对信息安全事件的危害并不了解或不在意。
中国金融认证中心副总经理曹小青撰文表示,对消费者而言,面临的风险主要包含电子货币形式的资金的损失和电子信息形式的隐私泄露两类。目前看消费者一方风险产生的原因,主要是消费者安全意识薄弱、消费者操作不当、木马软件泛滥及黑客攻击猖獗。
他提醒消费者,要注意保护个人的隐私信息。如电话号码、家庭住址、身份证号码、公司地址、E-mail等信息。不要将对自己至关重要的敏感信息暴露在网上;不使用弱密码,也不在多处使用同一密码;加强安全支付意识,不在网吧进行支付,不使用公共网络进行支付;在线交易操作需要反复确认,随时注意浏览器地址栏、弹出窗口的各项内容等细节信息;认清不同种支付方式所面临的风险,对短信支付、手机银行支付、信用卡支付等支付方式,要通过设置交易资金限制等方式来降低风险。
业务连续性管理新课题
如果说,隐私泄露带来的信息安全问题,自己稍加注意便能避免,那如果是因为银行管理失误,导致民众无法正常办理金融业务,这会让信息金融时代的民众最缺乏安全感。
根据中国金融认证中心的《2012中国电子银行调查报告》显示,中国电子银行业务连续三年呈增长态势,68%的用户使用网上银行替代了一半以上的柜台业务,部分银行网银替代率超过85%。而40%的个人网银用户拥有多个网银账户,最近1年内的网银账户主动开通率为75%;个人手机银行用户比例为8.9%,较2011年增长2.6个百分点,连续三年呈增长趋势。
在此大背景下,各大银行的信息系统一旦出现问题,将带来难以估量的损失。
6月23日,中国资产规模最大的银行中国工商银行出现系统“瘫痪”,柜面取款、自动取款机、网上银行、电话银行等业务办理均大受影响,多个网点更贴出“机器故障”告示停办所有业务。此次事件涉及北京、上海、武汉、四川等中国多个省市。
中国工商银行在内地拥有数万家营业网点,电话银行注册客户已超过1亿户,短信银行累计服务客户达2150万户,因此,此次系统故障影响范围颇大。随后工行证实事件乃系统升级所致,但此次“意外”已经引起坊间一些过度“解读”。
7月初,中国工商银行就6・23事件内部通报指出,故障原因是由于供应商提供的主机版本内存清理机制存在缺陷引发的。小概率,高风险的系统故障再一次将银行灾备与风险管理的重要性凸显出来,也让业务连续性管理(BCM)这一普通人觉得陌生的术语浮出水面。
银行业信息系统承载着金融机构核心业务和金融服务的稳定运行,一个环节出现问题,就可能引发“多米诺骨牌”式的传递效应,引发系统性金融信息安全风险,巨大的经济损失尚且可估算,但对银行社会声誉的巨大损失甚至容易引发全社会的恐慌所带来的巨大冲击则是不可估量的。
显然,在6月多家银行系统故障频发的现实证明我国银行业风险管控意识亟待升级。我国银行业IT应用早已步入集中时代,但在数据和业务系统的连续性管理上,大多金融机构起步较晚,中小型金融机构更是如此。
近年来,随着我国逐渐进入信息化时代,计算机网络给人们的生活带来了诸多便利的同时,也存在很多安全隐患。计算机网络技术的开放性特点和人们的不规范使用行为使电脑容易被攻击而导致个人信息泄露。因此,科学的计算机网络安全管理措施对于避免网络安全受到威胁,确保计算机网络信息安全具有重大意义。
1计算机网络安全的主要隐患
1.1计算机病毒入侵
计算机病毒是一种虚拟的程序,是当前计算机网络安全的首要隐患。病毒包括网络病毒和文件病毒等多种类型,具有较强的潜伏性、隐蔽性、损坏性和传染性等特征,如果计算机遭到病毒入侵,一般的杀毒软件并不能彻底清除计算机病毒。
1.2黑客入侵
黑客入侵是常见的一种计算机网络安全威胁。黑客非法入侵到用户的电脑中,窃取用户的网络数据、信息,删除用户数据、盗走用户的账户、密码,甚至财产等。此外,黑客向目标计算机植入病毒时,会导致电脑死机、速度变慢、自动下载、瘫痪等现象,造成系统信息的流失和网络瘫痪。
1.3网络诈骗
计算机网络技术的互通性、虚拟性和开放特性,给很多不法分子可乘之机,不法分子通常针对计算机使用者进行网络诈骗,主要通过淘宝、京东等网络购物平台、QQ、微信等网络交友工具、手机短信等手段散播虚假信息,使防骗意识薄弱的网民掉进网络陷阱之中,进而造成其财产安全受损。
1.4网络漏洞
大部分软件都可能会发网络漏洞,一旦网络漏洞被黑客发现,很快就会被攻击,其中恶意扣费攻击尤为严重。现在比较热门的App软件中有97%是有漏洞的,网络漏洞一般存在于缺乏相对完善的保护系统的个人用户、校园用户以及企业计算机用户中,主要是因为网络管理者的网络防范意识薄弱,缺乏定期系统检查和系统修复,导致网络漏洞被暴露甚至扩大,从而导致个人信息泄露。
2计算机网络安全管理的解决措施
2.1建立防火墙安全防范系统
防火墙是安全管理系统的重要组成部分,所有的数据和信息的传输以及访问操作都要经过防火墙的监测和验证,以防止黑客入侵、病毒侵染、非正常访问等具有威胁性操作的发生,进而提高了网络信息的安全性,对保护信息和应用程序等方面有重要的作用。因此,用户应当建立防火墙安全防范系统,及时安装更新防火墙软件的版本。
2.2定期升级防病毒和杀毒软件
防病毒软件是做好计算机防护工作的必要安全措施。在计算机网络安全管理中,滞后及功能不全的杀毒安全软件将大大增加系统被病毒入侵的机率,因而为了降低病毒入侵的风险,用户最重要的是选择具有优良的安全性能、包含自动报警功能的防病毒和杀毒软件,定期对杀毒软件进行升级以保护系统。
2.3引入新型的网络监控技术
互联网技术的发展日新月异,传统的维护系统的防护技术已经远远不能满足用户的需求,必须进行技术创新,引入新型的网络监控技术。比如:①利用数据加密技术,将重要的数据进行加密处理。②用户需要加强计算机网络的权限设置,建立认证体系等措施方式设置密码和访问权限,控制访问过程,及时对窗口进行安全检查,防止非法入侵,盗取信息,保证网络系统的外部安全性。此外,新兴的计算机入侵检测技术也是继防火墙之后的第二道重要防护关口。
2.4健全应急管理机制
为了妥善应对和处置网络与信息安全突发事件,确保系统的安全运行,健全应急管理机制是必不可缺的管理措施。网络安全应急预案的制定可在计算机网络安全管理的责任制度的基础上,从以下几方面进行完善:①及时对应急预案做出科学调整和动态更新,及时改进可行性低的地方,使应急预案充分发挥应急效果。②在以往的计算机网络安全案例的角度上分析网络安全事件的原因和技术短板,细化网络安全应急预案,提高应急预案的可行性和实用性。③成立信息网络安全事件应急处理小组,落实安全责任制,开展网络与信息安全应急演练,形成科学、有效、反应迅速的应急工作机制,保障重要网络信息系统的稳定运行。
2.5加强安全防范教育,提高用户防范意识
人们的网络安全防范意识极为薄弱,大多数计算机网络安全隐患是由用户使用不当造成的,所以国家相关部门应对计算机用户加强安全防范教育。应该定期组织公益性的安全知识教育讲座普及网络安全知识,对网络安全知识不合格的人应当进行再教育和再培训,制定安全教育责任制,提高用户防范意识。此外,用户更要从自身做起,树立网络信息安全危机意识,自觉增强防范意识,定期查杀病毒,及时更新安全管理软件,不轻易信任陌生人的信息等。
参考文献
规范网络秩序,营造良好舆论环境,是治国理政、定国安邦的大事。指出:“网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。”的讲话,指出了当前网络空间存在的问题和亟待改善的现象,蕴含着对广大网民的期待。网络不是法外之地,同样需要建立良好的秩序。我们要一手抓正能量传播,一手抓网络生态治理,大力培育积极健康、向上向善的网络空间文化,为广大网民特别是青少年朋友营造一个风清气正的网络生态环境。
建设网络城市,让人民群众有更多获得感
近年来,国家对互联网的重视程度前所未有,“互联网+”、中国制造2025、创新创业、大数据等系列重大政策密集出台。全面落实国家战略,促进互联网向更高目标、更深层次发展,是我们共同的使命和任务。我们要全面落实“宽带中国”战略,大力实施“提速降费”行动,创建“全光网”城市,实现全市所有区县光纤网络全覆盖,不断提升100M光纤接入能力覆盖城市家庭比例,提升4G网络服务能力,率先引入5G网络部署,推进IPv6在LTE网络中的部署应用。推动区域通信网络资费改革,鼓励民营企业参与宽带建设运营,促进良性竞争,提升宽带性价比,加强电信资费公示和监测,进一步完善流量跨月不清零、流量转增等服务,让用户享受更多优惠,让人民群众有更多获得感。
“脆弱”的互联网企业
5月28日上午11时许,携程网突然陷入“瘫痪”,官方网站和App均打不开。对于此次事件,携程方面称系员工错误操作,删除了生产服务器上的执行代码所致。在携程网出现使用故障的前一天,支付宝也出现了大规模服务中断,支付宝方回应称是由于杭州某地光缆被挖断所致。
业内人士分析说,相对国内大量的中小互联网企业,支付宝和携程都是所在行业的佼佼者,安全内控制度已较为完备。即便如此,也接二连三出现安全故障,显示出网络安全和稳定遭遇严峻挑战。
值得注意的是,根据国际通行的技术安全标准,大型互联网企业不但要对其所有数据进行实时备份,还应当提供多套数据备份方案和存储方式。从目前接连发生的“瘫痪”事故看,数据备份和恢复演练工作仍然滞后。
网络安全专家吕礼胜指出,在发展速度极快的互联网行业,受资金、人手等因素影响,不少企业都以满足需求为第一要务,安全则很容易被牺牲掉。
此外,“免责协议”是互联网企业对安全重视不够的另一重要原因。根据目前互联网企业的服务协议,由于网络安全故障导致的损失,企业基本是免责的。《支付宝服务协议》即提出,由于黑客攻击、电信部门技术调整等原因而造成的服务中断或延迟,公司不承担损害赔偿责任。
国家信息中心专家委员会副主任宁家骏表示,网络不仅是基础平台,并且已成为经济社会的内在组成部分。如果互联网企业不能稳步提升安全能力,再出现类似的安全故障,很可能酿成公共安全事故。
“互联网+”的新挑战
据保守估计,携程网此次宕机12小时的损失金额约为1300万元。除了对企业造成的损失,网络“瘫痪”影响了千万用户的出行,这些损失很难用数字衡量。网络安全事故所引起的巨大影响表明,“互联网+”背景下,网络安全的重要性正逐步凸显。
腾讯副总裁马斌认为,网络安全是“互联网+”时代的“地基”,安全与“互联网+”将是一个“乘”的关系。如果安全做得不好,可能会给“互联网+”乘一个零点几的数,使互联网应用萎缩,甚至可能成为一个负数,造成用户数据泄露等危害。
“互联网+”时代,网络安全呈现出哪些新特点?国家互联网应急中心日前的《2014互联网网络安全态势报告》显示,云服务日益成为网络攻击的重点目标,针对重要信息系统、基础应用和通用软硬件漏洞的攻击活跃,漏洞风险向传统领域、智能终端领域泛化演进,移动应用程序成为数据泄露的新主体。
工信部总工程师张峰指出,随着云计算、大数据等新技术新业务的推广和应用,新的网络安全问题层出不穷,特别是物联网、工业互联网的发展,使得原本局限于互联网的安全隐患快速向电力、石油、交通等智能化融合领域蔓延和扩散。
在宁家骏看来,我国是网络大国,却称不上是网络强国,无论是芯片、操作系统,还是应用系统,受制于人的局面依然严峻。我国是全球第二大经济体,如此大的经济体量如果放在一个不可控的网络上,后果将无法估量。相比其他国家,我国在打造网络强国上有更为迫切的需求。
政企合力筑安全屏障
大量的互联网企业是推动“互联网+”应用的生力军,而提升“互联网+”时代互联网系统的稳定性和安全性,最基本的无疑是在企业层面保障网络安全。携程、支付宝等接连出现使用故障暴露出的安全体系建设短板正说明了这一点。
业内人士表示,互联网公司首先应做好容灾系统建设。在相隔较远的异地,建立两套或多套功能相同的IT系统,当一处系统因意外停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。为预防灾难性事件发生,还要建立严格的权限管理和灾难预防体系。
当前的很多保险企业当中仍然存在
的问题就是计算机信息安全管理问题,而且这个问题也是各国企业比较常见的问题,亟待采取有效的解决措施。在一些相对比较发达的企业,就可能会存在更多的信息安全隐患。首先,当前的互联网正在快速地发展和进步,并加大了对信息技术的改革与创新,与此同时也衍生出很多的恶意项目工具,甚至信息系统本身也存在一定程度的漏洞,这些就可能会促使一部分的不法分子有机可乘;其次,保险企业本身并未对信息安全的管理工作给予高度的重视,从而导致信息安全问题层出不穷。如今,我国保险行业得到了快速的发展,加之外界环境因素的影响,从而暴露出越来越多的问题,此时就需要对这些问题进行全面、系统的分析。
1.1缺乏完善的法律法规
如今,虽然现在与计算机信息安全管理有关的条文比较多,但是他们被分散于各种标准、管理办法、法律、法规及道德规范等多个方面,然而,当前并不具备一套系统、完善的法律法规来更进一步地保障信息的安全问题。同时,当前现有的一些法律法规,可能是因为仍然有很大一部分的相关安全技术和手段还没有达到足够的成熟和标准化,这样就更加不容易去执行一些相关的法律法规。因此,如果缺少一些与保险行业相匹配的信息安全管理法律法规,从而导致保险企业无法顺利的开展相关工作,不利于计算机信息安全管理体系的构建。
1.2缺乏足够的重视
当前仍然有很大一部分的保险企业的管理层不是非常注重和关注一些相关的信息安全管理工作,而且他们并没有在进行管理工作的过程中投入足够的人力、物力以及财力等。有很大一部分的保险企业在治理公司过程中,只会对保险企业的适当地调整销售策略、业务规模发展问题、优化组织结构、相关运营流程等给予关注,这些公司都不是足够重视对信息安全管理问题的处理,他们都忽视了信息安全问题会影响保险企业的发展。实际上,在市场经济体系下,大多数保险企业只有在遇到信息安全事件后才会对计算机信息安全管理体系给予重视。此时,就需要保险企业在公司平时进行治理工作的过程中,他们能够投入更多的时间和精力来对现有的信息安全管理体系进行补充和完善,并给予高度的重视,从而有效提高信息安全管理体系建设效率。
1.3对风险评估力度不够
在信息安全管理体系建设过程中,大多数保险企业不能够准确地评估对于该过程中可能会存在的风险,并未对信息化过程中可能出现的安全风险问题给予综合考虑。一般情况下,他们可能只会考虑到一些相应的信息技术问题,但是并没有认真地思考在运用信息系统之后可能会显现出来的信息安全问题。实际上,保险企业不管是否对信息安全管理系统中所存在的安全风险问题进行评估,从而给保险企业的发展带来不利影响。一旦信息安全管理体系出现比较严重的问题,不仅会造成无法弥补的损失,而且也不能够实行一些正常的业务操作,甚至还可能会造成一些非常严重的后果,比如是企业内部机密泄露、重要数据被盗或被篡改、客户个人信息泄露等问题。因此,越来越多的保险企业由于对风险评估力度不够,从而导致系统本身存在操作失误、缺陷等原因而诱发的一系列安全问题。
1.4未明确安全管理责任划分
对保险企业来说,虽然对信息安全管理体系的建设给予了高度的重视,但是他们缺乏一套与企业发展相匹配的安全管理制度,未明确安全管理责任的划分,从而在一定程度上影响了保险企业的发展。如果这些企业现在还没有制定出一些相关的信息安全管理制度并能够坚持执行,而且企业在出现相应的信息安全问题之后,并不能够非常清晰地划分出具体的责任人,这样时间越来越长,就会在信息安全问题的监管方面出现越来越大的漏洞,自然而然地,也更加不容易去形成一个可以控制的信息安全管理体系。对于一个保险企业而言,在他们公司所出现的一些信息安全管理问题,需要每一位企业员工给予重视,而不能依靠企业当中的某一个人或某一个部门单独负责来对安全管理问题进行处理。对于保险企业而言,他们必须制定出相应的制度并划分出比较明确的责任,而且每个部门都应该有一个负责人来负责信息安全问题,以确保问题发生时能够有人给予立即处理。如果不设置一个负责人的话,就可能对信息安全管理体系的构建问题产生一定的影响,还会阻碍一个企业的信息安全管理工作和任务的完成。因此,对于保险企业而言,在处理这些现实状况以及各种各样问题的时候,则需要结合实际情况构建一套系统、完善的信息安全管理体系,从而使安全风险问题得到有效解决,更好的发挥信息安全管理体系建设的优势,确保保险企业的健康、可持续发展。
2保险企业计算机信息安全管理体系构建的对策
2.1健全和完善安全管理标准
对于保险企业而言,要想更好的推动信息安全管理体系构建,就需要对现有的信息安全管理标准进行健全和完善,并更加深入的分析和归纳信息安全管理标准内容,不仅需要考虑信息技术相关的问题,而且还不能够忽略信息安全管理问题。在进行计算机安全管理研究过程中,为了获取比较良好的研究成果,则需要进一步健全信息安全管理标准,并创建信息安全标准化组织和信息安全管理标准框架,以确保信息安全管理体系构建工作有条不紊的进行。在我们国家,虽然在研究信息安全的时候,不是很早,但是经过当前不断的完善过程,我们国家也制定出了一个更加符合我们国家基本国情的信息安全管理标准。
2.2实现科学的信息安全管理
对于保险企业而言,他们如果想要更好地实现比较科学的信息安全管理,就必须要充分地考虑到信息安全问题可能诱发的不利影响。对于保险企业而言,在信息安全管理方面,不仅需要有效地管理机构安全和人员安全的管理,而且要做好场地设施和技术安全的管理工作。同时,保险企业还需要采取比较科学的方式,从而可以有效地构建一套可实施的、科学合理的计算机系统安全管理体系,并结合实际情况制定一套规范、完善的安全防范措施,选择一些可靠性比较大的、比较稳定的、比较安全的产品,并对现有的安全评估标准和等级进行细化和完善,以便能够进行一些有效的检查策略,从而可以更好地开展信息安全管理工作,为保险企业的发展奠定良好的基础。
2.3重视安全风险评估工作
根据维基百科的定义,大数据指无法在一定时间内用常用的软件工具进行捕获、管理的数据集合。业界通常用5个V来概括大数据的特征。一是数据体量巨大(Volume);二是数据类型繁多(Variety),数据类型多样,主要可以把数据分为两种类型:结构化数据和非结构化数据;三是价值密度低(Value),价值密度的高低与数据总量的大小成反比。如何通过强大的机器算法完成大数据量的价值“提纯”,是目前大数据时代下亟待解决的难题;四是数据真实性(Veracity),大数据中的内容是与真实世界中的发生息息相关的,研究大数据就是从庞大的网络数据中提取出能够解释和预测现实事件的过程;五是处理速度快(Velocity)。
美国政府很早就宣布投资数亿美元用于启动“大数据研发”倡议,与此同时,日本、英国、德国、澳大利亚和一些区域性国家组织也开展了类似的国家级项目。在2014年全国“两会”上,便有代表提案将“发展大数据”上升到国家战略。更早之前,中国软件开发联盟在北京成功举办大数据技术大会,为推动大数据这个交叉学科的发展,中国计算机学会(CCF)成立了大数据专家委员会(CCF Big DataTask Force,简称CCF TF-BD)。
大数据技术在理论研究、平台技术以及应用等方面已经进入成熟阶段。例如谷歌、亚马逊、FaceBook、腾讯和阿里巴巴等互联网企业就是大数据应用的典型实例,它们从大数据应用中获得了巨大的收益。但大数据在信息安全方面的问题出也不断凸显。比如.2014年9月,美国苹果公司iCloud遭黑客采取“撞库”方式入侵,引发“好莱坞史上最大宗艳照门”事件。不久后,围绕电影《采访》引发的新一轮美朝黑客交锋中,国际黑客组织“匿名者”多次攻击朝鲜网站并致其瘫痪,甚至造成会员账号信息泄露。由此可见,对于个人、企业乃至国家来说,如何做好大数据环境下的信息安全问题是一个十分严肃而又亟待解决的问题。
二、大数据信息安全面临的威胁
在信息行业,任何一项新技术的诞生,其面临的安全风险都会伴着这项技术的广泛应用而变得越来越高。随着大数据技术在国防、能源、航天、医疗等各个领域呈现爆发性、多样性增长态势,信息已经渗透到社会生活的各个角落,与各个领域密切结合,给国家信息安全和个人信息安全带来了严峻的威胁与挑战。
(一)信息内容面临的威胁
在大数据背景之下,信息内容安全主要表现为两种模式:信息泄露与信息破坏。随着电子商务、手机上网行为的发展,信息内容受到攻击的情况比以前更为隐蔽,攻击的目的并不仅是让服务器宕机,更多是以渗透APT的攻击方式进行。因此,防止数据被损坏、篡改、泄露或窃取的任务十分艰巨。网络空间中的数据来源涵盖非常广阔的范围,一方面,大量的数据汇集,这些数据的集中增加了数据泄露风险;另一方面,一些敏感数据的所有权和使用权并没有明确的界定,数据的权利边界不断模糊,很多基于大数据的分析都未考虑到其中涉及到的个体隐私问题,在未授权不知情的情况下一旦遭到泄漏或者破坏后果不堪设想。
(二)大数据存储载体面临的威胁。
大数据背景下,大都将数据进行集中后存储在一起,这就使其在互联网空间中更容易被“发现”,容易成为黑客攻击的首选目标。大量数据文件在第三方平台中进行存储与处理,其安全性正在受到极大的挑战。虽说能够通过多对文件的访问与授权来进行保护,但是这种保护机制本身就存在问题,它们大都依赖于系统本身的安全性,认证方式简单,加之社会工程学在入侵领域的深入与安全漏洞的存在与不断涌现,载体安全已经岌岌可危。
(三)大数据管理面临的威胁
不管在任何情况下,网络安全中最为重要的部分就是管理问题,如果管理制度不科学或者操作性不足就可能带来管理风险。大数据是一个动态的过程,每天参与的角色多数量大,以通信行业为例,数据通常散乱在众多系统中,信息来源十分庞杂,在对外合作时,运营商与合作研发公司存在大量数据访问交互,在此过程中若未建立完善的数据对外开放访问管理机制,如何有效保护用户隐私,防止企业核心数据泄露就成了一句空话。一旦发生问题,无法对网络出现攻击行为或内部人员的违规操作等进行实时的检测、监控、报告与预警、同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,缺乏对网络的可控性与可审查性。这种管理上的疏忽,造成数据的丢失无迹可寻,为以后的数据安全管理留下隐患。
(四)智能终端数据面临的威胁
在大数据时代,数据的来源多种多样,如移动网络、手机、物联网、平板电脑等。这些分散在世界各地的数据具有很强的开放性,很难逐一对其进行跟踪保护。而这些海量信息又会因为监管不力,造成用户隐私如企业运营数据、个人生活习惯信息、客户身份信息、理财信息等的泄露。以金融领域为例,金融信息的网络化,必然促使金融信息系统会通过互联网与终端智能设备相连接,参与到金融信息系统的采集、储存、传输和处理中来,信息量也会越来越多,在与外部终端设备的数据交换中,使得本来封闭的网络对外开放,无疑会增加了被入侵和攻击的几率。因此,智能终端的数据采集、存储、传输、处理都会增加金融信息受到攻击的威胁。除此以外,数据价值的提升会造成更多敏感性分析数据在移动设备间传递,一些恶意软件甚至具备一定的数据上传和监控功能,能够追踪到用户位置、窃取数据或机密信息,严重威胁个人的信息安全,使安全事故等级升高。
三、大数据环境下的信息安全应对策略
为了应对大数据环境下的安全威胁,有效解决信息内容易泄露、存储载体易受攻击、管理制度不科学和智能终端难防护等信息安全问题,可以从建立以数据为中心的安全系统、加强大数据建设管理和做好大数据安全管控三个方面进行对策研究。
(一)建立以数据为中心的安全防护系统
以数据为中心的安全防护系统主要通过防火墙入侵检测、安全审计、抵抗拒绝服务攻击、网络防病毒系统,以及加密技术来实现访问控制、数据加密网络隔离、入侵检测、病毒防治和安全审计功能
1.访问控制,访问控制是网络安全防御和保护的主要功能。进行访问控制的目的是对用户访问数据资源的权限进行严格的认证和控制,保证数据资源不被非法使用和非法访问。访问控制通常以用户身份认证为前提,设置用户访问数据目录和文件的权限,以此来控制和规范用户,尤其是智能终端用户在系统中的行为,大大减少大数据存储载体遭受攻击和大数据管理中的安全风险。
2.数据加密。数据加密就是采用加密算法和加密密钥将明文数据转变成密文,从而将信息数据隐蔽起来。加密后的信息数据即使在传输过程中被窃取或截获,窃取者也无法了解信息数据的内容,从而保证信息数据存储和传输,尤其是无线传输中的安全性,防止信息泄露和信息破坏。
3.网络隔离。大数据环境下,网络隔离一般采用在数据存储系统上部署防火墙来实现。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,只允许授权的数据通过。防火墙将网络分为可信赖的内部网络和不可信赖的外部网络两个部分通过设置安全策略来控制外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部哪些人员访问,从而达到保护内部网络和数据免受外部非法用户入侵的目的。
4.入侵检测。入侵检测技术就是通过对互联网络和主机系统中的关键信息进行实时采集和分析,判定非法用户入侵和合法用户滥用资源行为,并作出适当反应的网络安全技术。入侵检测是一种主动的网络安全防御措施,能够有效弥补防火墙不能防范内部攻击的不足,而且还能与防火墙或其他网络安全产品联动,实现对网络和数据全方位保护的目的。
5.病毒防治。病毒防治主要通过防病毒系统来实现。防病毒系统主要包括病毒的预防、检测、定位、清除和隔离等功能,能够在第一时间内阻止病毒进入网络和计算机系统。在大数据环境下,最理想的防止病毒攻击的方法就是预防,而有效预防病毒的措施主要来自用户良好的行为习惯。比如,在操作系统上安装防病毒软件并定期对病毒库进行升级,及时为系统安装最新的安全补丁,从网络上下载数据前先进行安全扫描,不要随意打开未知邮件等。
6.安全审计。安全审计主要通过网络安全审计系统来实现。网络安全审计系统通过旁路的方式,监听捕获并分析网络数据包,还原出完整的协议和原始信息数据,通过设置策略规则,准确记录网络访问时间、IP地址、域名、服务及端口号等关键信息,智能地判断出网络异常行为。
(二)加强大数据建设管理
通过技术保护大数据安全固然重要,但大数据的建设管理却更加关键。要从海量数据中提取价值,提高企业工作生产效率,就必须使用科学的大数据管理方法,降低各种安全隐患。
1.规范大数据建设。规范化建设可以促进大数据管理过程的正规有序,实现各级各类信息系统的网络互连、数据集成、资源共享,在统一的安全规范框架下运行。
2.完善大数据资产管理。大数据资产管理包括精确地定义数据格式、别名、统计表以及其他特性标识符等数据元素,清楚地描述数据元素定义的信息来源及其相关数据元素的信息,完整地记录数据元素的产生及修改、安全及访问控制、访问历史记录等相关使用信息等。
3.定期数据备份。大数据环境下,对数据进行备份是指将系统中的数据进行复制,当系统出现故障或灾难事件时,能够方便且及时地恢复系统中的有效数据,以保证系统正常运行。数据存储系统由于系统崩溃、黑客入侵以及管理员的误操作等都会导致数据丢失和损坏,为了保护数据安全,保证系统持续可靠运行,必须对数据进行定期备份。
(三)做好大数据安全管控
大数据环境下的信息安全建设依然遵循“三分技术、七分管理”的原则。建立完善的信息安全制度和管理措施,可以极大地提高大数据安全管控效能。
1.做好大数据安全风险评估。信息安全管控并不是管控的越牢越好,而应与其安全风险相适应。不同类型的数据形式以及数据的不同状态,都有其不同的泄密风险层级。针对大数据的固有特点,对其进行安全风险等级评估,制定针对性强的安全防范措施,降低企业数据泄露风险,分析并消除信息安全管控盲点。
21世纪以来,随着我国网络信息化的高速发展和“三网融合”的积极推进,广电行业的网络化、数字化和智能化的趋势与日俱增。人们在享受便利的同时,也面临着信息安全的严峻挑战。
一、信息安全的概念和要求
网络的开放性和共享性,使其更容易受到病毒、黑客的侵袭,从而导致信息外泄、恶意篡改、密码被盗、网络窃听等问题。因此,网络的信息安全,从根本上说是指网络系统本身运行稳定,以及系统中的相关数据信息在任何情况下,不会被泄漏、更改或干扰。其内涵主要包括系统安全、内容安全、传输安全等。信息安全防护工作应该满足以下要求:一是保密性,要求在保证为授权使用者正常使用的同时,能保护数据不被非法截获;二是完整性,能确保数据信息在运行过程中是未被篡改或破坏的原始信息;三是可用性,要保证系统时刻正常运行,用户在任何情况下都能及时得到或使用数据;四是可控性,确保用户身份的真实性,保证信息和信息系统的授权认证和监控管理,同时能有效防范黑客、病毒等。
二、广电行业信息安全存在的问题
广电行业的网络化、信息化和智能化的趋势,对信息安全工作提出了严峻的挑战。一方面,由于信息安全管理和技术的专业性,目前无论是人员数量上还是技能上,都存在不足;另一方面,互联网的开放性和共享性使黑客攻击更方便、破坏更广,会给单位和个人信息造成很大的安全隐患。因此,提高信息安全集中监管的能力和技术水平,成为广电行业发展的中心课题。虽然我国信息安全工作也在稳步开展,但还是存在一些不容忽视的共性问题。1.管理制度不完善,执行不到位安全保护工作日益受到各级领导的重视,各相关单位对网络和信息系统的安全保护日常管理工作基本规范,但未能严格按照等级保护管理要求,建立完整的安全管理制度;没有制定具体岗位工作职责,如系统管理员、网络管理员、安全管理员岗位不明确;安全管理制度执行过程中的记录存在缺失现象;缺乏整体的信息安全应急预案和演练记录;在信息系统建设时有规划,但缺少相关安全技术专家对安全设计方案进行论证和审定,决策的民主性、科学性不足;专门针对安全技能方面的培训和考核需要加强。2.信息安全技术滞后,创新性不足在安全技术方面各单位虽然也采取了隔离技术、防火墙技术等,但仍存在明显不足:没有从物理安全、主机安全、网络安全、应用安全、数据安全几个方面建立完整的技术防范体系;目前依赖于外网隔离、延播和备播等传统安全播出手段,很难适应日益发展的新媒体平台建设,在互联网上提供点播和直播内容服务;管理用户的身份鉴定大多数采取用户名/口令的方式,而且缺乏有效的口令更新周期机制,存在被暴力破解和窃听的风险;平台未能按照三权分立的原则设定系统管理员、安全管理员和安全审计员,造成系统存在超级用户,权力过大;目前厂家可通过第三方软件或者远程桌面直接登录到应用服务器,且操作没有行为记录,存在安全风险,需要加强对厂家进行系统运维的监管。3.管理队伍素质参差不齐,安全意识淡薄由于编制和经费等因素的制约,很多管理人员身兼多职,一人多岗。一方面,专业技术人员明显存在不足;另一方面,有的技术人员年龄偏大、专业知识老化,对一些新技术、新病毒缺乏职业敏感性,更缺乏预见性。此外,安全教育工作也没有跟上,部分人员安全意识淡薄。
三、广电行业信息安全管理的对策
信息安全问题,不仅是一个技术问题,更是一个管理方面的问题。加强信息安全管理,必须从以下几个方面入手。1.增强信息安全意识,树立整体信息安全观信息安全的保障能力是21世纪国家核心竞争力的重要组成部分,必须从国家战略层面加以重视,人人都要树立信息安全观。同时,信息安全防护也是一个比技术防护层面和一般社会管理层面更高层次的问题,它应该是基于安全技术为基础的集法律、道德、管理、技术和人才于一体的综合保障体系,因此,必须树立整体信息安全观。2.加强信息安全立法,构筑信息安全法律之网有效解决网络信息安全问题不仅要依靠技术手段,还必须将技术性规范法律化。虽然我国的《计算机信息系统安全保护条例》《计算机病毒防治管理办法》《互联网安全保护技术措施规定》等相继出台,在保障网络信息安全方面发挥了重要作用,但是现行的法律制度仍然难以适应日益发展的网络信息化的新形势,因此,加快相关立法、构建更加完善的信息安全法律保障体系,成为广电网快速发展的必然要求。3.健全信息安全管理体系,加强信息安全顶层设计随着网络的普及和深入,信息安全已不是一个孤立的问题,依靠任何单一的安全技术或产品,都不能保证网络信息的安全。这就需要构建一个以安全技术措施为基础,科学决策、规范管理、安全运行的有机统一的安全管理体系。其中,最关键是要建立和落实信息安全分级保护制度,根据不同单元的重要程度或风险程度划分为不同的保护等级,分别采取必要的保护技术和措施,以达到安全有效保护的目的。4.建立完整高效的技术防范体系,为信息安全提供技术支撑不断加强网络技术的研究与开发,从物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复几个方面建立完整高效的技术防范体系。加大对内容过滤和检测技术、加密技术等关键信息技术的研发力度;同时,推行信息安全技术设备的国产化,进一步提升广电网信息安全的管控水平。合理划分安全域是建立信息安全防范技术体系的前提。通过合理划分安全域,网络边界更加明确,这样既有利于实现对物理区域和网络区域之间的有效隔离和访问控制,也增强了安全域的边界安全及内部进行重点安全防护的针对性。另外,要不断优化终端设备、IP协议以及网络上下行频率分配等,改善用户体验,提升信息服务水平。5.提高管理人员素质,为信息安全提供人才保障要制定科学合理的人才发展规划,充分发挥技术人才的作用。一方面,加大专业技术人才的引进力度,落实人才优惠政策,既要吸引人才,更要留住人才。另一方面,重视对员工的业务技能培训和职业道德教育,使其增强保密意识,遵守工作规范,履行岗位职责,让每一名信息管理人员成为守护信息安全的忠诚卫士。
四、结语
推进三网融合是促进我国信息化建设的必由之路。广电网是三网融合中很重要的一个环节,确保网络信息安全举足轻重。然而,开放共享的网络也是一把“双刃剑”,使用网络就必然存在网络信息安全问题。因此,在融合过程中,必须紧紧抓住信息安全这条主线,加强信息基础设施建设,健全法律体系,加强技术创新,落实信息安全分级保护制度,不断提升广电网的安全性,切实保障党和国家的财产安全以及人民群众的切身利益。人力资源是企业最根本、最核心的资源之一。企业以实现利益最大化为目标,而企业利益必须依靠人来创造和获取。因此,优化人力资源管理,已经成为国有煤炭企业可持续发展的重中之重。一、国有煤炭企业人力资源管理存在的问题1.“以人为本”的观念在实际工作中体现不够国有煤炭企业体制机制上的弊端反映在人力资源管理上,即强调“听从安排”,否定个性发展,重拥有不重使用,造成部分员工工作主动性和创造性不足。虽然企业也积极探索“以人为本”的人力资源管理新模式,但口头上、形式上、表面上的“以人为本”,覆盖了实质上、实际上、实效上的“以人为本”。2.没有正确认识“人力资本”的意义国有煤炭企业对人力资源的管理基本上还停留在经验管理为主的传统模式,缺乏对“人力资本”的认识,“人力资本”的概念更是模糊不清,仍然习惯于人多好干活、人海战术的劳动密集型人力资源管理方式。这造成很多部门和岗位人员偏多,工作效率较低。同时,计划经济的“大锅饭”思想束缚了员工工作的主动性和自觉性,人力资本的潜能无法发挥作用。3.员工整体素质有待提高国有煤炭企业员工整体素质较低,参加工作之前接受学校的教育程度和知识水平不高,缺乏煤矿专业系统性理论知识,根基打得不牢、不实,造成工作中业务技能难以提升。
作者:钱英 单位:安徽智圣通信技术股份有限公司
参考文献
[1]张爱华.试论我国网络信息安全的现状与对策[J].江西社会科学,2006(09):252-255.
[2]毋晶晶,肖晏夏.关于对企业信息安全等级保护的思考[J].科技创新与生产力,2011(08):60-61.
智慧应用成效显著,社会管理创新稳步推进。电子政务在改善公共服务、加强社会管理、强化综合监管、完善宏观调控等方面发挥了重要作用,促进了政府职能转变。政府门户网站成为信息公开、网上办事和政民互动的重要窗口,金华政府门户网站进入全国地市级门户网站前40名。有序推进省网上政务大厅金华分厅建设,建立健全市、县、乡、村四级联动的综合政务服务体系。“金”字工程等一批电子政务重要业务系统建设扎实推进,通过食品药品安全、社会治安、安全生产、环境保护、城市管理、质量监管、人口和法人管理等方面电子政务的有效应用,极大地提升了社会管理能力和水平。
社会和公共事业信息化发展迅速,教育、医疗、社会保障、文化等民生重点领域信息化取得显著进展。到2014年底,公办学校教育计算机网千兆宽带学校接通率达90%以上,县级以上医院、市本级所有卫生院(社区服务中心)全部实现信息化管理,城乡居民社会养老保险、劳动力市场等信息系统普及应用,全面发行加载金融功能的社会保障卡,目前已发行380万张。同时国家与省智慧城市试点全面推进。列入国家住建部智慧城市试点城市,率先启动智慧车联网、智慧商城、智慧警务等项目。其中,智慧车联网项目获得省政府批准,列入省政府第三批智慧城市试点项目,并通过省级专家组评审。
“两化”融合有序推进,企业转型升级动力增强。在工业领域,信息技术已广泛应用于企业生产工艺、内部管理、产品研发、市场销售、能耗与排放监控等环节,特别在设计研发数字化、生产装备智能化、内部管理精准化和产业链协同化等方面具有良好基础。全市重点骨干企业装备的信息化程度达到60%以上,70%以上的企业开展了计算机辅助设计(CAD),50%的企业实施了企业资源计划工程(ERP),信息化带动工业化成效显著。汽车、五金、纺织等产业集群被列为我省产业集群“两化”深度融合试验区,金华市高新技术产业园区、永康市,东阳市列为省两化融合综合性示范区,培育了今飞机械集团、康恩贝生物制药公司、横店东磁等一批信息化示范试点企业。近两年,我市共组织实施市“两化”融合重点项目142个,项目总投资达5?郾49亿元,有效提升两化融合水平,促进产业转型升级。
农村信息化快速推进,公共服务水平得到提升。进一步加快农村信息化进程,全面构建“富农、惠农、便农、乐农”的农业农村信息化服务体系。金华市100%行政村覆盖远程视频互动系统,90%以上乡(镇、街道)建立了综合信息服务平台(www?郾9191?郾cn)。全面启动“光通村”、村级治安监控、村级电子围栏报警系统、乡村电子图书阅览室、农民视频互动教育培训系统、农家乐信息服务点和“村邮站”便民服务点等建设工作。一批信息化建设先进县、乡(镇)、村被列入省农村信息化示范创星"十百千"工程,其中示范县3个,示范乡镇13个,示范村60个。
信息产业快速发展,电子商务异军突起。2014年,全市电子信息制造业规上企业实现工业总产值383?郾6亿元,同比增长6?郾5%,重点发展智能终端、新型电子元器件、磁性材料、太阳能光伏、新型光源等特色产业。全市软件和信息服务业实现主营收入330亿元,同比增长36%。全市实现电子商务交易额2356?郾3亿元;实现网络零售额942?郾6亿元,同比增长40?郾96%,占全省网络零售额的16?郾71%,总量列全省第二。涌现了一批知名电子商务企业,在全国行业电子商务网站100强中,我市占有8席,行业商务网站已成为列杭州之后的省内第二大集聚区。网上网下市场加快融合发展,义乌国际商贸城、永康五金城等传统有形市场与电子商务无形市场互动发展,义乌商城集团与淘宝实施战略合作,联合建设网上商城。金华市区创建国家级电子商务示范基地,成为省内继杭州之后的第二个城市。
在充分肯定我市智慧城市建设基础不断夯实的同时,我们也清醒地看到,金华在智慧城市建设还面临不少困难和挑战。一是认识水平亟待提高。无论是对智慧城市建设,还是对相关的现代信息网络技术应用;无论是理论研究,还是具体实践方面,还较为欠缺,社会各界没有形成共识。二是体制机制有待创新。金华市信息化建设存在职能交叉的弊端。政务云项目未启动,还没有引入政务云建设创新模式,政府投资信息化项目存在重复建设等问题。三是信息孤岛问题较为突出。信息系统大多根据条条规划来建设,系统之间实现共享的信息较为有限,应用效率不高,特别是人口信息资源共享建设与应用需求之间的矛盾突出。四是智慧城市建设投入不足。五是信息系统安全建设滞后。信息安全管理制度有待完善,执行力度有待提高,部分重要信息系统仍缺乏等级保护认定。应急预案不够完善,缺乏必要的应急演练。
二、今后的发展思路和目标
紧紧围绕“百姓富裕、浙中崛起”总目标,走集约、智能、绿色、低碳的新型城镇化道路,坚持政府主推、市场主导、企业主体,突出以人为本、需求为先,以转变发展方式为主线,以信息基础设施为支撑,以信息技术应用为重点,大力推进以网络化、智能化为主要特征的面向未来的智慧城市建设,全面提高城市现代化水平,助推新型城市化建设,让市民共享智慧城市和新型城市化建设成果。力争到2020年,建成以高度发达的电子商务为特色的信息经济体系,以高效便捷的公共服务和城市管理为重点的智慧应用体系,以高速泛在的宽带城市、无线城市为支撑的下一代城市信息基础设施体系,以自主可靠的防护机制为保障的网络安全体系,智慧城市建设成为金华提升城市竞争力和软实力的强大支撑和重要基础,智慧城市建设总体处于全省前列。具体目标包括:
――智慧应用效能逐步增强。智慧车联网、智慧商城等智慧城市试点项目成功实施,形成一批智慧城市建设标准和运营模式;智慧生活初具雏形,信息化应用有效促进信息消费,基于网络的智能化医疗、教育、交通、养老等公共服务基本涵盖全体市民;信息经济蓬勃发展,信息技术引领带动新产业、新技术、新模式、新业态发展,信息化与工业化融合指数达到85;智慧城管不断深化,基于网格化的城市综合管理平台覆盖率达到99%;智慧政务普及应用,政府电子政务核心业务信息化覆盖率达95%以上,县(市、区)级达到70%以上,信息化助力政府改革创新的效应不断凸显;智慧城市区域示范效应明显,形成一批示范性智慧社区、智慧村庄、智慧园区、智慧商圈、智慧新城。
――信息基础设施能级跃升。宽带城市、无线城市基本建成,城市基本实现无线宽带全覆盖和主要公共场所无线局域网全覆盖。商务楼宇光缆通达率达100%,城市住宅光纤全覆盖,实现百兆接入能力,家庭平均接入带宽达到20Mbps,构建起多层次、广覆盖、多热点的无线宽带网络;行政村全部实现通光缆,自然村全部实现通宽带。基本建成下一代广播电视网、下一代通信网和下一代互联网,“三网融合”取得突破性进展。人口、法人等基础数据库和经济社会重点领域信息资源综合数据库、专业数据库建设取得重大进展,实现海量数据共享。
――信息经济处于省内领先。信息产业集聚区域布局进一步优化,产业创新能力和竞争力不断增强。从加快发展信息产业、扩大信息消费、推进信息化应用和促进两化深度融合四个维度推进信息经济发展,重点打造国际电子商务中心和全国智慧物流中心,培育浙江省数字内容产业中心,参与创建信息化和工业化深度融合国家示范区。信息产业主营业务收入达到2000亿元,年均增长20%以上。电子商务交易额突破1万亿元。培育一批具有国际竞争力和创新活力的企业,重点培育主营业务收入分别超百亿元的新型电子元器件、软件和通信运营服务、电子商务与网络经济三大产业集群。
――信息安全可信可控可靠。城市网络安全保障体系和管理制度基本建立,基础网络和要害信息系统安全可控,重要信息资源安全得到切实保障,居民、企业和政府的信息得到有效保护。安全防护、风险抵御、监测预警、应急处置、灾难恢复、网络保密等信息安全保障能力进一步提升,网络信任、信用体系建设取得重大进展,全民信息安全意识普遍提高,数据容灾备份体系初步建立。
三、主要建设任务
着眼于信息惠民,构建普惠化公共服务体系。加快实施信息惠民工程。推进智慧医院、远程医疗建设,普及应用电子病历和健康档案,实现卫生服务站全市联网,推动医疗物联网试点项目,促进优质医疗资源纵向流动。建立公共就业信息服务平台,加快推进就业信息全国联网。加快社会保障信息化体系建设,推进医保费用跨市即时结算。以便民利民为基点,以信息技术为支撑,打造容纳社会保障、公共交通、卫生医疗、金融支付、小额支付等功能于一体的市民卡综合服务平台。围绕促进教育公平、提高教育质量和满足市民终身学习需求,建设完善教育信息化基础设施,构建利用信息化手段扩大优质教育资源覆盖面的有效机制,推进优质教育资源共享与服务。加强数字图书馆、数字档案馆、数字博物馆等公益设施建设。鼓励发展基于移动互联网的旅游服务系统和旅游管理信息平台。
着眼于透明高效,构建精细化社会管理体系。推进政府办事网上公开,深化政府信息公开,整合集聚网上公共服务,抓好“四张清单一张网”、信息资源共享与交换平台、网上公共服务平台等信息化项目建设。建立全面设防、一体运作、精确定位、有效管控的社会治安防控体系。整合各类视频图像信息资源,推进公共安全视频联网应用。完善社会化、网络化、网格化的城乡公共安全保障体系,构建反应及时、恢复迅速、支援有力的应急保障体系。在食品药品、消费品安全、检验检疫等领域,建设完善具有溯源追查、社会监督等功能的市场监管信息服务体系,建设透明厨房、阳光食堂,推进药品阳光采购。整合信贷、纳税、履约、产品质量、参保缴费和违法违纪等信用信息记录,加快诚信信息系统建设。完善群众诉求表达和受理的8890便民网络平台。
着眼于宜居城市,促进智慧化生活环境建设。建立环境信息智能分析系统、预警应急系统和环境质量管理公共服务系统,对重点地区、重点企业和污染源实施智能化远程监测。依托城市统一公共服务信息平台建设社区公共服务信息系统,拓展社会管理和服务功能,发展面向家政、养老、社区照料和病患陪护的信息服务体系,为社区居民提供便捷的综合信息服务。推广智慧家庭,鼓励将医疗、教育、安防、政务等社会公共服务设施和服务资源接入家庭,提升家庭信息化服务水平。
着眼于创新驱动,建立现代化产业发展体系。立足当前基础,继续做大做强电子元器件与材料两大优势特色产业,大力发展汽车电子及智能装备产业,加快推进产业集聚、提升产业层次,完善电子产品制造业产业链。利用好国家现代服务业综合试点的重大机遇,加快发展电子商务、信息软件、通信服务、现代物流、文化创意、物联网、互联网金融、服务外包等网络服务业,构建完备的信息服务产业生态体系,提升网络经济的规模和质量,打造我市网络经济的升级版。运用现代信息化手段,加快建立城市物流配送体系以及新型农业生产经营体系。加速工业化与信息化深度融合,提升企业生产“智造”能力,建设完善中小企业公共信息服务平台。
着眼于能级提升,建设智能化基础设施。加快构建城乡一体的宽带网络,推进下一代互联网和广播电视网建设,全面推广“三网融合”。推动城市公用设施、建筑等智能化改造,完善建筑数据库、房屋管理等信息系统和服务平台。加快智能电网建设。健全防灾减灾预报预警信息平台,建设全过程智能水务管理系统,实现从水源地监测到水龙头水管理的全过程在线监控,保障饮水安全。建设交通诱导、出行信息服务、公共交通、综合客运枢纽、综合运行协调指挥等智能系统,与国内特别是省内智慧交通领域领先企业共同建设智慧交通,并部署面向终端用户的车联网应用。推进北斗导航卫星地基增强系统建设,发展差异化交通信息增值服务。建设智能物流信息平台和仓储式物流平台枢纽,基本建成金华国际物流园物流公共服务平台。
【中图分类号】F276.3
【文献标识码】A
【文章编号】1672—5158(2012)10-0442-02
一、加强外汇科技风险管理迫在眉睫
今年是实施“十二五”规划承上启下的重要一年,外汇管理工作在组织架构、运作方式和业务制度改革等方面,日益体现出以知识和信息为基础的特征。外汇管理的这种特性,决定了必须以飞速发展的信息技术为支撑,不断进行创新,实现自身的信息化,从而逐步达到整个外汇管理工作的发展,以适应时展的需要。外汇管理科技工作对提高外汇管理与服务水平,促进国际收支平衡,加快外汇管理改革与发展步伐起着关键性的作用。因此,需要从战略、运作和技术三个层面加快外汇管理信息化建设的步伐,实现跨越式发展,应对外汇管理的新挑战。
现代信息技术为外汇管理提供了新的管理工具和技术设施,大大强化了管理效率,扩大了管理范围,减少了管理层次,缩短了管理链条。随着外汇管理的发展和信息服务需求的改变,信息服务内涵和方式有了根本性转变,由于信息系统覆盖了外汇管理的所有核心业务流程,外汇管理的统计分析与监测预警等对数据的及时性、准确性和完整性要求将更多地依赖信息系统提供的统计信息。随着外汇管理信息化的不断发展,如何保证外汇管理信息安全已经成为一项十分关键的任务。
二、外汇科技风险分析
一是数据集中带来的安全运行风险。外汇局当前的信息化工作体制是总分局制,省以下基本没有独立的外汇科技队伍。随着外汇管理改革不断深化,系统逐渐转向全国大集中,系统规模越来越大,对系统开发的质量和进度的要求越来越高,系统运行安全的压力和风险也越来越大。
二是信息化管理水平急需提升。随着外汇管理改革的推进,对信息化的需求已经从原来建设开发系统,业务流程电子化,逐步将重点转为重视非现场监管,发展到跨业务、跨部门协同监管,综合分析与监测,这对系统的快速响应能力要求越来越高。
三是业务更新带来大量新的系统需求。一项系统的建设需要经历需求分析、开发、调试、试运行阶段,然而在实践中,项目小组为缩短开发周期,往往放松了开发前的需求分析、充分论证和开发完毕后的调试和试运行,采用在推广中不断打补丁的方式,造成“边开发、边应用、边维护”的三边工程。另一方面,业务人员对计算机缺乏认识,难以提出清晰明确的需求,使得需求分析阶段周期拉长。
四是外汇科技安全风险。电子化外汇业务流程及大量风险控制工作均是由电脑程序和软件系统完成,所以,信息系统的技术性和管理性安全就成为外汇业务信息化最为重要的技术风险。这种风险既来自计算机系统停机、磁盘阵列破坏等不确定因素,也来自网络外部的数字攻击,以及计算机病毒破坏等因素。
五是外部技术支持风险。由于科技知识的高度知识化与专业性,同时又存在外汇管理科技工作任务重、事情杂、人员少的现状,在面对外汇管理改革和发展速度快,业务需求经常变动的时候,往往要依赖外部市场的服务支持来解决内部的技术或管理难题,如聘请外汇局之外的技术专家来实现支持和系统设计开发等任务。这种做法适应了外汇管理科技发展的需要,但也使自身暴露在可能出现的风险中。
三、外汇科技风险防范和管理
(一)树立外汇科技风险意识
外汇科技风险是外汇业务与技术结合的产物,外汇科技既给外汇业务创新和外汇管理改革带来强劲的动力,其中却也蕴含着巨大的风险。做好外汇科技风险管理,不是一两次会议或是一两笔资金投入便可以成就的,也不是依靠构建几套系统就可以一劳永逸的。科技风险管理的扎实与深入,需要外汇局工作者,从上至下的每一位管理人员,都必须正确认识科技风险带来的危害,牢固树立科技风险防范意识,将科技风险管理看做自己的必要职责,才能够构筑起坚固的防线。
(二)加强数据信息保护
外汇局积累了大量的外汇业务数据,这些数据包括外汇交易主体的基本特征、交易记录等情况,这些都是非常私密的企业和个人信息,同时也是非常有商业价值的。对这些信息的保护就非常重要,一旦外露、失窃,就会对金融机构、企业和个人带来非常大的损失,说得大一点,也涉及了国家金融安全。
(三)建立健全科技安全管理制度
从外汇局内部组织结构和规章制度建设上防范和消除科技安全风险,建立专职管理和专门从事防范安全风险的技术队伍,落实相应的专职组织机构,明确风险管理职责,落实外部监管和内部控制要求,配合内外审计、监管检查、开展科技风险培训教育,组织认定关键岗位和不相容岗位,定期向上级外汇局报告本级科技风险状况,指导监督下级科技风险管理。组织对科技风险的实时监控,及早发现危害系统运行的隐患和威胁;组织内部操作行为监控,组织对敏感信息、数据保护和信息泄漏监控;定期组织对信息系统,以及信息科技规划、设计、开发、运行等管理流程进行评估,识别风险,提出改进措施,跟踪、督促问题整改;组织辖区内信息安全检查和计算机使用安全检查;定期审核关键岗位人员履职情况;组织辖内系统运行事件和问题分析,推动日常生产运行中发现风险和问题的解决;组织编制信息系统应急预案,定期组织开展应急演练,负责组织重大突发事件应急处置和报告。
(四)加强信息系统运行和操作管理
一是建立符合标准的硬件运行环境,硬件系统配置上,应适当考虑多种接口方式,以便改进、增加新功能或新设备。设备设置环境和场所应考虑供电设备、不间断电源系统、防火水风电等自然灾害,抗电磁干扰方面的措施和施工要求。
二是计算机网络的安全防范力度,严格区分内外网,防范计算机病毒、黑客的侵入攻击。还应加强软件系统运行环境的安全管理,主要是防止计算机病毒的侵害,严格控制外来与业务无关软件在业务计算机上运行,与业务有关的外来软件一定要通过病毒检测后才能在业务计算机上运行。
三是加强应用系统的管理。指定不同人员对系统的操作权限,防止非法使用系统资源;对一切操作要有日志管理,以防误操作损坏软件系统或业务数据。系统管理员应定期及时审查系统日志和记录。重要岗位人员调离时进行注销,并随即更换业务系统的口令和密钥,移交相关全部技术资料。
四是数据库管理。严格规定访问数据库的各级权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,涉及机密的数据信息首先要加密,然后再传输、存储;关注最新数据库安全的信息,及时增加数据库的安全补丁;对数据要进行多重备份,以便发生意外掉电这样不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
安全感作为一个重要的概念,最早见于弗洛伊德的精神分析理论。此后,弗洛姆、霍尼、沙利文、埃里克森等人也对安全感进行了探讨。马斯洛提出了“心理安全感”的概念,将其界定为“一种从恐惧和焦虑中脱离出来的信心、安全和自由的感觉,特别是满足一个人现在(和将来)各种需要的感觉” [1]。我国学者丛中、安莉娟认为,安全感是对可能出现的对身体或心理的危险或风险的预感,以及个人在应对处置时的有力/无力感,主要表现为确定感和可控制感[2]。此外,陈顺生、姚本先等人也从心理学角度对安全感进行了界定[3]。
目前国内对个人心理安全感的研究较多,研究者通常采用马斯洛的《安全感―不安全感问卷》、丛中和安莉娟2004年编制的《安全感量表》或自编问卷等工具进行测量,研究对象主要有患者、灾后群体、城市居民和学生等。国家统计部门每年组织开展对群众进行公共安全、对社会治安状况的评价、对平安建设的知晓度等方面的调查。一些学者,如赫剑梅 [4]、江思雨等 [5]等主要从宿舍安全、饮食安全、网络安全、就业压力、人际交往等方面对大学生群体的安全感进行研究。
本文研究的“社会安全感”,侧重于社会学角度,认为社会安全感是指公众对其所处社会环境的安全状况的评价和感受,是衡量一个社会治安状况和运行状态的重要指标。本文一定程度上借鉴了上述学者这的研究视角,选择大学生这个群体,在研究内容上有所深化。
一、调查方法与对象
本文采用问卷调查法,采取整群抽样与偶遇抽样两种方式,对泸州市四所高校的大学生进行调查。共抽取样本900个,回收有效问卷895份(样本分布详见表1)。问卷数据全部录入SPSS17.0软件进行分析处理。
表1 样本分布情况
二、泸州市大学生社会安全感现状及影响因素
(一)绝大多数学生在校园内感到安全
对于大学生而言,大学校园是他们学习、生活最主要的场所,校园环境的安全与否,对他们的社会安全感有最为直接的影响。本次调查中,87.8%的大学生在校园内有安全感。其中,警院、泸职和化专的学生对校园安全的认可度均超过90%,而泸医学生的认可度较低,仅为67.5%。(详见表2)
表2 校园安全感
通过SPSS中的相关分析,笔者发现大学生校园安全感的高低,与学校安全教育工作是否到位、学生对安保人员工作的满意度呈正相关关系,两者与校园安全感的Kendall相关系数分别为0.401、0.319。此外,校园内的各种安全隐患对大学生安全感也有较大影响,其中反映最强烈是校园盗窃(84.0%)和校园食品卫生(72.0%),此外还包括校园暴力(37.5%)、校园安全设施(如消防栓、灭火器、安全通道等)(36.2%)。
不同高校学生的校园安全感存在差异,与各高校的管理模式、学生成分和安全教育工作有很大关系。第一,在管理模式上,警院是一所公安院校,采取封闭式、警务化管理,学生未经批准不得随意外出,潜移默化地形成了“校园内比校外更安全”的观念;泸职和化专作为本地职校,校园出入管理也较为严格,学生对安保人员工作的满意度分别达到79.0%和82.1%;而泸医是一所医科院校,采取开放式管理,学生和校外人员(包括前来泸医附院就医的患者)均可自由出入校园,学生对安保人员工作的满意度仅为54.1%。第二,在学生成分上,泸医不仅有专、本科生和研究生,还有成人教育脱产生和外国留学生;而其它三所高校的学生主要集中在川渝地区,且只有专科和本科生,成分相对简单。不少泸医学生在调查中也表示,校园内人员混杂是导致自身安全感较低的主要原因。第三,在安全教育工作上,警院、泸职和化专做得比较到位,学生的认可度分别达到78.5%、82.5%和84.8%,而泸医学生认为泸医做得不尽理想,认可度仅为62.8%。由于上述原因,泸医学生的校园安全感远低于其它三所高校。
(二)大多数学生对本市治安状况表示认可
社会治安是指社会在一定的法律、法规及制度约束下呈现的一种安定、有秩序的状态。公众的社会安全感是衡量社会治安状况的重要指标。本次调查中,共有67.2%的大学生认为本市治安状况是安全的,其中警院、泸职和化专学生的认可度分别达到72.2%、71.5%和75.9%,而泸医学生的认可度明显偏低,仅为45.9%。
导致泸医学生治安安全感偏低的原因,与该校区位和学科特殊性有一定关系。泸医老校区毗邻市中心,新校区则位于城北高速路口和西南商贸城附近,人、车流量较大,治安环境复杂;而其它三所高校集中在城西地段,人、车流量适中,且警院附近便是市公安局,治安环境良好。此外,医学院学生在实践教学中,更容易接触刑事、治安案件中的伤亡者,间接影响了他们对当地社会治安的看法。因此,泸医学生对本市治安状况的评价远低于其它三所高校。
(三)大多数学生对交通出行感到放心
城市与农村相比,具有人口集中、流动性强、车流量大、交通状况复杂的特点,使得交通安全成为市民生活中必须重视的问题。本次调查中,共有64.6%的大学生认为交通出行是安全的,四所高校间差异不明显。
影响大学生交通安全感的因素包括行人对交通规则的遵守程度、交(协)警维持交通秩序的效果、交管部门的执法力度、交通安全教育普及程度等。此外,部分大学生在调查中反映,泸州市区内坡道较多,但无论是私家车、出租车还是公交车,车速都较快,部分车辆在经过人行横道或转弯时仍未减速,极易诱发交通事故,从而降低了他们对交通出行的安全感。
(四)超过半数的大学生缺乏食品安全感
食品是人们生存和发展的最基本物质条件。近年来,我国接连曝出食品安全问题,如地沟油、瘦肉精、染色馒头、三聚氰胺奶粉等,其中不乏知名商家和品牌,使得公众对于食品安全的信任度大为下降,大学生群体也不例外。本次调查中,仅有2.9%的大学生认为目前的食品是“非常安全”的,41.4%认为“比较安全”,而超过半数的大学生认为目前的食品是不安全的,反映出当今食品安全问题令人担忧。其中,警院学生的食品安全感最低,这与该校学生食堂卫生状况不佳,学生反映强烈但一直未见改观有较大关系。
通过SPSS中的相关分析,我们发现大学生食品安全感的高低,与对学校食堂卫生状况、政府食品安全监管效果的评价呈正相关关系,两者与食品安全感的Kendall相关系数分别为0.483、0.373。超过90%的学生认为企业和商家片面追求利益是造成目前食品安全问题的最主要原因,其次是政府监管力度不强。这些因素对大学生的食品安全感都产生了负面影响。
(五)大学生的网络安全感一般
随着信息社会的到来,网络对现代人的影响越来越大。它为人们获取信息、交流思想带来了极大便利,但也引发了网络安全的诸多隐患。大学生是一个重要的网民群体,他们的网络安全感具有较强的代表性。本次调查中,57.4%的大学生认为网络交往是安全的,但也有42.6%的大学生对网络安全表示担忧。影响他们网络安全感的因素,主要包括计算机病毒(70.9%)、个人信息泄露(70.2%)、网络诈骗(66.5%)和垃圾信息(62.8%)等。这反映出我国的信息网络安全建设还需进一步加强和完善。
三、结论与建议
本次调查发现,泸州市大学生的校园安全感、治安安全感和交通安全感较高,网络安全感一般,食品安全感则较低。调查数据反映出泸州市各高校和有关部门在工作中还存在一些问题,亟待改进。为此提出如下建议:
(一)对各高校的建议
校园安全是大学生学习、生活的基本保障,各高校应牢固树立“安全责任重于泰山”的意识,切实抓好校园安全工作,为学生创造一个良好的学习生活环境。
1、在硬件设施上,定期检查门锁、教学设备、水电线路、天然气管道、消防器材等基本设施,及时更换老旧损坏的设施,防患于未然;在安全通道设置醒目标志,确保随时畅通;在校园重要部位安装监控摄像头,加强技防设施建设。
2、在宣传教育上,通过讲座、宣传栏、小册子等多种形式,加强防火、防盗知识的宣传,提高学生安全防范意识;加强网络安全教育,引导学生规范上网行为,警惕网络风险;教会学生正确使用灭火器,定期组织开展应急疏散、消防演练等活动,做到有备无患。
3、在日常管理上,严明校规校纪,禁止学生夜不归宿、留宿外来人员、使用违章电器;加强对非本校人员的门卫登记和管理,对可疑人员进行必要的盘查;安排专人轮流值守查看校内监控画面,及时发现和处置火灾、偷盗、打架斗殴等危及学生生命财产安全的事件;加强食堂卫生安全检查,确保食物新鲜、餐具清洁,让全校师生吃得放心。
(二)对有关部门的建议
维护社会治安需要相关部门各司其职,共同做好社会治安综合治理,为全市人民营造一个安全稳定的社会环境。
1、公安机关是维护社会治安的主力军,要加强自身队伍建设,切实树立“人民警察为人民”的理念,不断提高执法和服务水平。加大治安巡逻力度,加强对流动人口、特殊人群和出租屋、旅店、网吧等特殊场所的管理,提高街面见警率,严厉打击“两抢一盗”等多发财犯罪和黄赌毒等丑恶现象,净化社会风气;对学校、医院、车站等人员密集的场所开展经常性安全检查,及时发现和整改不安全隐患,做好应急疏散演练;加大交警执法力度,严厉打击交通违法行为,引导行人遵守交通规则,确保市民出行安全;坚持“专群结合、依靠群众”,推行社区警务战略,加强群众安全宣传教育,提高群众安全防范意识,发动群众做好群防群治工作,警民携手共建平安泸州。
2、食品药品监管部门要严把市场准入关,切实抓好市场监管,与公安、工商、卫生等部门联合开展食药品安全专项整治,严厉打击制售假冒伪劣商品的行为,规范市场秩序;进一步完善相关法律法规,健全食药品安全责任体系与长效机制,确保全市人民吃得放心、安心。
3、经信部门要抓好本市信息系统和网络安全保障工作,联合公安网监部门,参与处置影响信息网络安全的重大事件,严厉打击危害信息安全和利用网络从事的违法犯罪活动,为全市人民构筑安全、绿色、健康的网络环境。
参考文献
[1]阿瑟.S.雷伯.心理学词典[M].李伯黍译.上海译文出版社,1996:765.
[2]安莉娟,丛中.安全感研究述评[J].中国行为医学科学,2003,12(6):698-699
[3]崔澜骞,姚本先.安全感的研究进展与展望[J].卫生软科学,2012,26(10):878-880