公共信息安全模板(10篇)

导言：作为写作爱好者，不可错过为您精心挑选的10篇公共信息安全，它们将为您的写作提供全新的视角，我们衷心期待您的阅读，并希望这些内容能为您提供灵感和参考。

篇1

2制约移动互联网公共信息安全的因素

2.1移动互联网运行的全民性

移动互联网是在互联网的基础上产生的，而互联网自产生起就带有公开性、全民共享性。目前，这一趋势随着移动互联网的普及更加显著，但是随着全民广泛参与到移动互联网的应用中，这就导致移动互联网的控制权被分散。由于移动互联网使用者的利益、目标以及价值等方面都不尽相同，因此，对移动互联网资源的保护与管理也就容易产生分歧，促使移动互联网公共信息安全的问题变得更加广泛、复杂。

2.2移动互联网监管不严

我们对移动互联网公共信息安全管理的过程中，往往存在着界定不明晰、管理观念落后等问题。比如对移动互联网上频繁出现的不良信息的划分不明确，这就导致相关管理部门进行监管时，没有可以依据的规则，进而导致监管过度或不力。

2.3缺乏核心的移动互联网技术

我国的移动互联网处于起步阶段，缺乏自主性的网络和软件核心技术，这就导致我们在移动互联网运行过程中不得不接受发达国家制定的一系列管理规则与标准。此外，由于我们的移动互联网核心技术主要是源自他国，这就导致我国的移动互联网常常会处于被窃听、干扰以及欺诈等信息威胁的状态之下，造成我国的移动互联网公共信息安全管理系统极为脆弱。

2.4缺乏制度化的移动互联网保障机制

我国对移动互联网公共信息安全的管理并没有建立相应的安全管理保障制度，同时也没有建立有效地安全检查制度与安全保护制度。此外，我国现有的政策法规很难适应当今移动互联网公共信息发展的需要，移动互联网公共信息安全保护还存在着大量的立法空白。

3建立移动互联网公共信息安全保障机制的措施

3.1政府应充分发挥其职能

政府在移动互联网公共信息安全管理中，应占据主导地位，引导整个移动互联网公共信息安全向着健康方向发展。首先，政府应发挥应急事件指挥者的角色。政府对控制一般网络公共信息安全事件演变为危机事件肩负巨大责任，需要通过自身的能力使社会秩序尽快恢复正常。其次，政府应对移动互联网公共信息安全相关法律进行监管。政府应依据相关法律对移动互联网信息是否安全运行进行有效监管，同时应不断完善移动互联网公共信息安全中薄弱环节的法律法规制度。

3.2加强移动互联网公共信息安全法律建设

建立手机实名制法律。手机实名制对预防手机犯罪、净化手机信息具有至关重要的作用，实施手机实名制能够保障消费者的合法权益。在我国制定的《通信短信息服务管理办法》中对手机实名制就进行了明确规定，与此同时，若想让手机实名制充分发挥其作用，就必须加强公民隐私权益方面的建设。完善公共信息安全法律法规。首先，应重点建立信息安全的基本法，保障信息安全的各项问题有法可依；其次，可以在专门信息安全基本法出台之前，建立必要的、急需的单行法；最后，在建立信息安全法的时候，应尽量避免采用制定地方性法规和部门规章的方法代替制定全国性法律法规。

3.3组建统一的管理机构

建立统一的移动互联网管制机构时，应遵循三个原则。首先，管制机构建立的独立性原则。建立的管制机构不仅要独立于电信运营企业，同时还应该独立于任何行政部门，这样才能够保障管制机构办事的公正性。其次，管制机构建立的依法设立原则。在建立互联网公共信息安全管制机构时，应以《电信法》或专门管制机构法对所建立的管制机构的职责进行明确划分。最后，管制机构建立的融合性原则。管制机构应是一个综合性的管制机构，它所监管的范围应该包括整个信息通信领域。

3.4加强终端安全保障技术研发

（1）重视病毒防御。

当前的移动互联网终端基本上都是职能设备，采用的都是专门的移动操作系统，这些操作系统必须具备对常见的病毒、木马等的防范功能，同时也应不断降低应用软件系统可能出现的安全漏洞。

（2）实施软件签名。

软件签名的实现能够保障软件的完整性，从而避免用户的信息被篡改。此外，当应用程序发现信息被篡改后，能够及时向用户发出报警信息。

（3）采用软件防火墙。

在终端设备上应用软件防火墙，用户可以通过设置白名单与黑名单对设备上传入与传出的信息进行有效地控制，保障信息安全。

（4）采用加密存储。

用户对设备上的重要信息应在加密之后再将其存储到终端设备中，这样能够有效避免非法窃取现象的产生。与此同时，用户在加密与解密的时候，一定要快速的完成，以防信息被窃取。

（5）统一管理。

对安全设备应该进行统一管理，即在一个统一的界面中能够对全部的安全设备都进行相应的管理，并对网络中的实时信息进行及时反映，然后可以对得到的各种数据进行汇总、筛选、分析以及处理，从而提升终端对安全风险的反应能力，降低设备受到攻击的机率。

篇2

珠三角作为我国经济发展的前沿阵地，经济市场化和外向化程度很高。但受当前国际金融海啸的影响，国内外经济形式发生深刻变化，区域发展受到严重冲击。国家从战略全局和长远发展出发，制定出珠三角地区改革发展规划纲要，用以指导珠三角经济结构转型和发展方式转变，推进区域一体化建设。

我们把以政府为主体的一切负有公共事务管理职能的组织(包括行政机关，法律法规授权、委托的组织，来源于纳税人税款的政府财政拨款的社会团体、组织等公共事业法人和社会组织)在行政过程中产生、收集、整理、传输、、使用存储和清理的所有信息，称为公共信息。珠三角地区是我国信息化程度的高度集中的地区，“数字珠三角”的提出，使公共信息在珠三角地区更富多元化和复杂化，而公共信息安全问题解决的好坏直接关系到区域的，社会的长治久安，国家的安全与稳定。珠三角作为我国新时期探索科学发展模式的试验区，在摸索构建信息安全联动体系的道路上更应体现“科学发展，先试先行”的核心理念，在危与机并存的新形式下，信息安全正面临着严峻的挑战，建立信息安全联动体系的呼声也越发响亮。

一、珠三角地区公共信息安全现状的分析

公共信息安全是指个人、组织、社会和国家在信息传播过程中保护自身利益不受损害，它包括物理设施安全、技术安全、信息内容安全等国家、社会公共安全的总和。珠三角地区目前信息化程度在全国处于领先地位，但在信息化普及过程仍存在诸多安全问题。

(一)信息共享渠道不畅。当前的难点在于信息归部门所有，在信息管理上条块分割现象严重，区域内小到政府部门，大到地方政府，大多只考虑自身的管理和利益的需要，很少能从全局发展的战略需求角度考虑，各部门，各地方间缺乏必要的沟通配合，相互问协调联动不够，信息获取存在障碍，不能有效整合信息资源。面对突发安全事件时，由于事件自身具有复杂多变的特性，需调动各方力量，收集各类信息，对信息进行分门别类，分析提炼，加工处理，才能为决策领导层制定行之有效的解决对策提供素材。但因存在部门信息保护主义，以及访问权限的设置问题，容易导致管理部门相互间推诿扯皮现象的出现，不仅不能及时便捷的处理问题，有时反而“延误战机”，造成不可估量的损失。

(二)电子政务建设华而不实。政府门户网站提供服务的能力直接反映了政府信息化的综合水平，同时也在一定程度上折射出真实政府的运作情况和应对信息威胁的能力。随着珠三角地区经济的飞速发展，本地区的信息产业也不断得到提高，电子政务建设无论在资金投入上还是技术设备上都处在全国领先地位，但同时也存在不少问题，一方面，珠三角地区在信息系统建设存在相互攀比，急于求成，重复建设的现象，有的政府部门为了实现所谓“政务公开，公务透明”的电子化办公，盲目投资，建设内容贫乏，失去时效，形同虚设的网站。不但容易造成资源的铺张浪费，不利于对公共信息的采集、传递、确认、分析和理解，而且容易造成政出多门，办事效率低下的深层问题。

一旦遭遇公共危机，政府信息系统在危机期间的信息采集，信息整合、信息将出现紊乱，导致政府信息准确性的降低，影响政府的公众形象和政府公信力。另一方面，政府网络有其特殊性，网络和信息安全防护十分重要。但作为面向公共社会服务的信息平台，却没有专门设立公共信息安全知识的服务型网站，公众对公共安全基本知识缺乏了解。

(三)公共信息系统建设缺乏统一规范。公共信息系统的建设标准尚未规范和统一。“数字珠三角”意味着信息化，信息化意味着网络化，网络化意味着互通互联、资源共享，规范和统一信息建设标准十分重要j。珠三角各地的信息化程度普及率高，有条件率先实现统一的公共信息系统建设的标准。但鉴于珠三角城市问的经济发展水平和公共服务能力存在差距，如果全都划一要求，一统到底，势必造成“水土不服”。必须要有一个科学的，合理的、讲求效益的界定。

(四)信息安全防范治理能力不强。公共信息安全的关键在于防范。目前，珠三角信息和网络安全的防范能力处于发展的初步阶段。许多应用系统处于不设防阶段。全国范围内，包括珠三角地区的信息与网络安全研究任停留在封堵现有信息系统的安全漏洞阶段。区域的综合信息安防能力面临考验。一方面，虽然珠三角地区的政府在推进信息安全的风险评估，风险控制，风险管理的推广、规范工作上步伐较快，但维护信息安全的核心技术和关键技术却基本被国外垄断。对可信安全计算、信息安全内容管理、网络安全管理与风险评估、应急响应和安全应用支撑平台等一系列网络信息安全核心技术的自主研发仍处在起步阶段，与国外先进国家、地区的信息安防技术能力存在明显差距。另一方面，许多公众和政府工作人员对公共信息安防领域的认识仍局限在防病毒、入侵检测、vpn、垃圾邮件等基本防范手段上，而忽视对utm(统一威胁管理)、soc(安全运营中心)等新型信息防范手段的学习。

二、建立珠三角公共信息安全联动体系的必要性

(一)面对人为事件、事故，自然灾害建立联动信息安防体系是公共安全的基本必要。珠三角在空间上是一个相互依存的系统，空间的分布并不是根据行政界线来划分，珠江三角洲经济区毗邻港澳，华侨、港澳同胞众多，具有发展对外贸易和经济技术合作，引进外资和技术等方面优越的条件，是我国对外开放的重点地区；地区内的经济活动频繁，相互间关系密切，在交通运输、生产事故、刑事犯罪等人为事件、事故处理上具有区域的联发联动性，此外该地区是洪涝灾害和台风等自然灾害的频发地区，对自然灾害的预防和应急亦需要跨地区跨部门的相互联动合作。建立珠三角信息联动体系，可以有效整合各地资源，及时有效的采取应对措施，排除险情，解除危难；保证在信息收集、分析、传递、方面的准确性和有效性，防止信息失真带来的严重后果的。

(二)珠三角作为我国经济改革发展的“试验田”，在区域经济一体化的政策导向下，建立联动信息安防体系是公共安全的特殊必要。城市区域内的矛盾和冲突是必然的，这是由于城市区域经济活动本身的外部性及信息不对称所造成的。珠三角城市区域内的某些地方政府，常通过建立地方保护链条、重复建设项目等手段，来实现地方利益的最大化，从而加大了珠三角地区城市间经济交易的成本，不利于经济一体化的形成。打破这种信息不对称性所照成的城市经济“孤岛危机”就必须建立公共信息共享以及安全保护的联动体系，通过制度变迁，建立相应的城市区域信息协作组织，在安全可靠的环境下，对公共经济等信息实现互联互动，不仅可以实现区域内城市不同利益主体的相互间信息交流，降低不同利益主体达成交易的成本，并能对区域的经济发展现状进行有效的监督。

三、珠三角公共信息安全联动体系的构建和管理

(一)注重公共信息安全法律建设。

加强公共信息安全法制的立法工作。法律本身就是确保公共信息安全管理的一项重要保障，为有效贯彻落实国家信息安全等级保护制度，在总结基础调查和试点工作的基础上，国家颁布了《中华人民共和国计算机信息系统安全保护条例》和印发了《信息安全等级保护管理办法》等相关条例，确定了信息安全等级保护制度的基本内容及各项工作要求，进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任、义务，各职能部门在信息安全等级保护工作中的职责分工以及信息系统运营使用单位、行业主管部门的安全保障法律责任。

但是中国目前尚没有形成专门的“公共信息安全”法规体系，还有许多公共领域在信息安全方面无法可寻、无法可依，地方性在公共信息安全方面的行政法规良莠不齐，难以统一。公共信息安全法律体系的研究可以选择不同的切入点。按照法律效率，我们可以从法律、法规和规章层次讨论信息安全的法律体系。也可以另辟蹊径，以战略作为出发点探讨信息安全的法律体系。我国应从国情出发，积极探索加强信息安全法制建设的新思路，加快信息安全的立法工作，尤其是要加快信息安全基本大法的立法进程，以建立起一套既符合国际通行规则，又具有中国特色、门类齐全、层次分明、结构严谨的信息安全法律体系，为信息安全保障工作提供更有力的法律支撑j。在珠三角规划出台的新形势下，国家可以不妨逐步探索、建设和制订与区域一体化相适应的公共信息安全法律体系，这不仅有利于公共信息安全治理的规范化和稳定化；有利于为公共信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动各类信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式，为以后我国全面实施公共信息安全保护工作提供政策支持。

(二)建立统一的、共享的、安全的公共信息网络系统。

首先，以信息资源开发利用为导向，加强珠三角公共数据整合。城市信息资源在信息化过程中得到不断积累，只有以信息资源开发利用为导向，城市信息化综合效益才能得到提高。到目前为止，各城市都建立了具有本地特色的数据库，但是多数数据库的使用都处于封锁状态，这严重影响了城市信息化建设的效益发挥。未来几年，城市公共数据整合将成为未来城市信息化建设的一项重点工作。公共数据整合要结合城市经济发展战略和现状，构建城市各部门、各组织共享的公共数据库，这也是当前城市信息化建设中必须着力解决的重要课题。根据我国信息资源规划和建设的总体要求，各地要建立一批具有公益性、基础性、实用性的公共数据库；加紧建设和健全自然人基础信息库、法人基础信息库，作为建构公共数据库的基础，合理、高效地利用信息资源，整合现有的信息资源；加强生产、流通、科技、人口、资源、生态环境等领域的信息资源开发利用工作；加快教育、文化、公共文献等领域信息资源的数字化、网络化进程。

其次，加强信息和信息安全关键技术的自主研发，从技术上统一标准。当前，我国在信息和信息安全领域总体上处于关键技术和设备受制于人的被动局面，发展信息和信息安全高端技术、提高自主创新能力已经成为我国掌握信息安全主动权的唯一出路。为加强信息和信息安全关键技术的研发，我国必须采取有效措施，建立健全坚强有力、运转灵活、工作高效的新体制，全方位地指导信息和信息安全关键技术的规划、研发、成果转化，同时组织和动员各方力量，密切跟踪世界先进技术的发展，逐步形成基础信息网络、重要信息系统以自主可控技术为主的新格局。

再次，建立完善的信息安全风险评估体系。在信息系统建设的同时，要进行信息安全的总体设计和信息系统安全工程建设，在系统验收时必须对信息系统安全进行测评认证。对于已建的信息系统，要完善信息安全的总体设计和信息系统安全工程建设，进行系统安全测评认证。在信息系统建设中信息安全的投资应占系统投资的一定比例。各级机关和重点单位新建和改建信息系统必须配套建设信息安全子系统，并与主体工程实行同时设计、同时施工、同时投入使用。加强对修订稿安全产品、服务商资质、信息系统的安全管理与测评认证，在系统建设总体方案评审时强化对安全保障方案的审查和各项安全保障功能的认证。

最后，加强对信息网络、信息产品和网上交易行为的监管，提高对网上信息的跟踪管理能力、对专案对象的监控能力和对制造和传播计算机病毒、非法入侵、泄密、窃密以及散布有害信息等行为的防范能力，严厉打击危害计算机信息系统安全和利用计算机技术进行犯罪活动。保障国家秘密、商业秘密和个人隐私的权利，抵制不良文化、不实新闻在网上传播，维护信息安全和社会稳定。

(三)建立政府主导下的公共信息安全组织体系，落实安全管理责任制

篇3

2供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统，但供电企业内部网络仍不健全，存在许多安全隐患。另外，供电公司信息化水平不高，信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系，就要首先分析供电公司信息安全的影响因素，对症下药，进一步提出供电企业加强信息安全管理的对策。

2.1不可抗拒因素

所谓“不可抗拒因素”，就是由于火灾、水灾、供电、雷电、地震等自然灾害影响，供电公司的供电线路、计算机网络信号、计算机数据等受到破坏，并威胁到供电公司的信息安全。

2.2计算机网络设备因素

供电公司计算机系统中使用大量的网络设备，包括集线器、网络服务器和路由器等，其正常运行关系着供电公司内部网络的正常运行，而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3数据库安全因素

供电公司计算机系统监控用户峰值，管理用电客户信息及其他用户缴费等情况，计算机数据库的系统安全决定了供电企业的调度效率，也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备，确保企业内部网络与外部互联网的隔离。

2.4管理因素

供电公司员工的业务素质和职业修养参差不齐，直接影响到供电公司的网络安全。供电公司应该建立过错追究制度，提高员工的信息化素质，有效防止和杜绝管理因素造成的信息安全问题。

3供电企业加强信息安全管理的对策

3.1提升员工信息安全防患意识

开展信息安全管理工作，并非仅仅是系统使用或者管理部门的事，而是企业所有职工的事，因此，要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施，进一步提升全体员工对企业信息安全的认识，让信息安全成为企业日常工作业务的一个组成部分，从而提升企业整体信息安全水平。

3.2采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代，安全管理应当以知识管理为主，从而使得安全管理措施与手段也越来越知识化、数字化和智能化，促使信息安全管理工作进入一个崭新的阶段。

3.3设置系统用户权限

为了预防非法用户侵入系统，应按照用户不同的级别限制用户的权限，并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事，它需要一个长期的过程才能达到较高的水平，需建立并完善相应的管理制度，从平时的基础工作着手，及时发现问题，汇报问题，分析问题并解决问题。

3.4防范计算机病毒攻击

加速信息安全管控措施的建设，在电力信息化工作中，办公自动化是其中一项非常重要的内容，而核心工作业务就是电子邮件的发送与接收，这也正是计算机病毒一个非常重要的传播渠道。因此，必须大力促进个人终端标准化工作的建设，实现病毒软件的自动更新、自动升级，不得随意下载并安装盗版软件；加强对木马病毒等的安全防范措施，对用户访问实施严格的控制。

3.5完善信息安全应急预案

严格规范信息安全事故通报程序，对于隐瞒信息事件的现象，必须严肃查处。对于国家和企业信息安全运行动态，要及时通报，分析事件，及时信息安全通告。对于己经制定的相关预案和安全措施，必须落到实处。另外，还要进一步加强信息安全技术督查队伍的建设，提高信息安全考核与执行的力度。

3.6建立信息安全保密机制

加强信息安全保密措施的落实，禁止将计算机连接到互联网及其他公共信息网络，完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作，切实做好文档的登记、存档和解密等环节的工作。

篇4

一、“图书馆+”的内涵

图书馆是搜集、整理、收藏图书资料以供人阅览、参考的机构。“图书馆+”便是基于图书馆的基本定义根据当前教育、科技和经济的发展趋势需要，对图书馆在传统业务的组织、环境和服务形式等方面的业务进行拓展。这样的服务拓展可以打破传统服务价值的局限，是一种由多种价值融合而成的价值体系。“共享”便是服务的升华，图书馆的“共享”一方面是指借阅空间的共享；另一方面是指数字资源和活动资源的共享。图书馆需要兼顾并用好相关关系，核心价值，跳帧思维，关注新的重点服务创新领域，不断创新与深化图书馆服务的内容。

二、“图书馆+”环境下图书馆服务模式的新常态

在全新的信息影响环境下，图书馆必须尽快摆脱用户咨询等服务的角色定位，逐渐转为向用户提供信息、知识创造等服务。（一）服务平台多样化。实现图书馆和其他组织的协同合作是图书馆创新服务模式的基本前提。人才、资金、管理是图书馆服务核心的因素，所以加强和社会组织间的合作成为创新服务模式的第一步。图书馆需要改变原有总分馆纵向结构的单一分布，联合社会其他领域机构横向发展，开设“图书馆+组织”新型分馆。1.机关、企事业单位、学校、福利院、养老院等场所建立流通服务点类型的分馆。2.建立高校图书馆、公共图书馆、科研图书馆单位联合加盟的文献信息资源图书馆等共享的图书馆联盟，实现文献信息资源共建共享。3.创新“图书馆+24小时”的服务，由个别单位提供空间、人员，图书馆提供设备、技术等，突破图书馆现有开放时间限制，方便读者用户随时借阅和归还书籍。空间拓展的服务有助于促进用户之间的信息交换，满足个性化服务需求，促进知识的利用与再创造，进而提升读者用户的信息素养。（二）服务方式个性化。基于“图书馆+”创新服务模式的个性定制化服务是根据用户需求，利用信息技术，对外部知识搜集、整理，对内部隐藏的知识进行深入的挖掘和捕捉，这样不仅能尽最大程度满足不同的读者需求，同时也能促进馆员素质和绩效的提升，更能发挥图书馆在满足和保障公民基本文化生活诉求与权利中的积极作用。中国图书馆学家杜定友明确提出图书馆有积极保存、科学处理和活用益人等功能。深化图书馆人文服务的核心价值，一方面是“以人为本”，图书馆“以人为本”的服务应该建立在服务对象认知和行为模式的基础上；另一方面是重视并传承文化，人文更多的是一个动态的概念，是指人类社会的各种文化现象。根据读者不同的需求将人文生活中的善、爱、美通过不同的创作媒介贯穿于阅读的各个环节中，实现读者的自我实现和自我感知。每个读者有其书，根据图书馆辐射范围内的读者群的阅读需求变化改变，包括纸质图书和数字资源采购在内的资源配置，让每个读者都能找到自己需要的专业以及非专业的书籍。“图书馆+”环境下的分馆都具有自己的特色。社区图书室的书目在内容上适合社区群众的阅读愿望；机关分馆的书籍满足工作人员对学习专业知识的迫切需要；与书店协同合作的分馆在体验的形式上使读者感受到高质的美感，内部的装饰风格、色彩搭配、空间排架布局、主题配置相互融合让读者在感受到书香之美、阅读之美的同时引导人们挖掘生活中的审美价值，增加人的幸福感。

三、“图书馆+”创新服务环境下的信息安全问题

网络通信技术的开发使得沟通交流即时化。借助社交网络平台的即时沟通工具，图书馆和用户形成彼此依存的紧密交流关系，用户可以随时随地了解图书馆的动态信息并参与交流互动；图书馆也可以和用户及时交流，充分了解用户的信息需求，为用户提供有针对性的专业化信息服务，帮助用户有效及时地解决各种问题。同时，用户可以通过网络平台更好更多地了解图书馆文献信息资源和服务动态；图书馆读者可以通过这些平台对动态信息进行评论、转发和分享，为用户互动交流提供便利。在此环境下，信息安全平台的建设对“图书馆+”的可持续发展将起到积极作用。网络环境下，人们需要保护信息，使其在存储、处理或传输过程中不被非法访问或删改，以确保自己的利益不受损害。因此，网络安全必须有足够强的安全保护措施，确保网络信息的完整和可用。（一）“图书馆+”跨域结合的信息安全问题。“信息安全”可以从不同的角度来理解，因此出现了“网络安全”“信息内容安全”之类的区分，也出现了“机密性”“真实性”“完整性”“可用性”等描述方式。信息安全是指保持信息的保密性、完整性和可用性。信息安全取决于两大要素：技术和管理。“图书馆+”的创新服务环境下引入和建设的主体单位数量不等，所提供的服务种类也不同。对于机关、学校企业共建的图书室，和社区、行政村合作开放的社区阅览室、农家书屋，还有跟街道协同合作的“24小时”自助服务都是在依附于图书馆之外的单位所提供的资源基础上建设的，这样组织的方式导致组织成员的数字化水平不一，管理方式不一。因此，“图书馆+”的信息安全涉及计算机网络、操作系统、数据库、应用系统、各类硬件设施，以及人员等不同层面。图书馆在提供的数据资源远程访问服务和自动化服务系统都涉及到信息的保密和安全使用。（二）新环境下主题安全意识不足问题。“图书馆+”首先是主体之间的协同合作，然而各个主体并没有相当的信息安全意识。首先是工作人员。其中包括图书馆的管理者、信息工作人员以及其他合作机构的具体工作负责人员。其次是广大的读者用户。绝大多数人认为只要保护好自己的用户名和密码就足够了，而且很多的初始密码未经更改，这就为人为破坏提供了便利。如果这样的观念不能转变，不能正确对待读者信息和数据库的安全，那么任何具体的改进工作都不能得到真正的支持。（三）技术飞速发展阶段的自身缺陷问题。技术本身的缺陷主要体现在设备的落后和专业人才的匮乏。在通信技术飞速发展的互联网时代加快了软硬件的更新速度，这大大缩减了设备正常服务的时限，尤其是一些核心设备，例如服务器、防火墙、交换机等不能承受数据时代带来的更大负荷，不能在新的网络环境下负起安全卫士的职责。在“图书馆+”的服务模式下服务端口的大量增加促使这样的漏洞带来的风险成倍增加。互联、互通、共享是“图书馆+”服务的目标，其中还运用到各种网络协议、虚拟局域网技术，这些技术带来便利的同时，风险系数也相应提高。（四）信息安全管理体系不完善问题。在人员和资源配置上没有建立科学、系统、高效的信息安全管理体系。1.技术的监管没有统一的标准。对各个端口的授权程度不一，这就造成了管理上的不便，这种权限包括读、写、执行等从属权，而授权通常是通过访问控制来实现的。在管理中心防火墙方面，应该及时统一保存和修改其用户和密码，删除或者屏蔽不需要的功能，避免安全产品本身留有安全漏洞。2.没有统一病毒防治程序和入侵检测系统。3.未能根据实践中的信息安全方针和各部门的实际情况制定不同的管理体系，主管部门之间统筹协调和协同建设不够，因为在政策上和法律上没有相应的规范。

四、“图书馆+”信息安全平台的建设

首先，在技术方面需要完善安全的技术。安全技术是信息安全工程的重要组成部分,许多信息系统的安全性保障都要依靠技术的手段来实现。没有技术的保障，信息安全的概念不能付诸实践行动，只有在信息安全的环境下才能完整“图书馆+”服务模式创新的价值。其次，在管理方面需要健全有关信息安全的各项管理制度，人人遵守相应的职业道德。从图书馆管理的角度看，信息安全防范是以能够认识或意识到信息处于不安全的现状为前提，然后考虑深究如何发现潜在的危险，分门别类制定相应的防范策略，制定严格的信息安全规范，由各方面具体的工作人员来逐步落实，做到信息安全管理日常化。（一）强化技术手段应对安全风险。1.防范型技术应对。定期做好数据的备份工作，对数据的保存采用新的存储设备和磁盘阵列技术，数据备份能实时对局域网的数据及系统进行集中统一备份，备份策略采用完全备份与增量备份相结合的方式。对于软件（主要指图书馆操作系统以及网页平台）应做好更新和维护的工作。对每一台连接到图书馆中心服务器的客户机部署防病毒和防入侵软件。利用抗病毒技术可以及时发现内外网的入侵和破坏，阻止网络病毒的广泛传播，并通过杀毒和隔离的手段进行相应控制，让图书馆数据网络系统免受其危害。2.应用型技术部署。针对“图书馆+”环境下的特殊部门（如机关、企业、学校等）要建设涉密系统。采用身份认证系统，建立相应的身份认证的平台，加强用户身份认证，防止对网络资源的非授权访问以及越权操作，加强口令的管理。对各个组织、行业的使用权限作系统科学的规划和分配，例如对需要进行图书编目加工的用户打开采编模块的权限，对有读者信息注册修改需求的用户开放读者管理的权限。授权的原则需要因时制宜、因需而定，不能萧规曹随，灵活采取必要的手段和紧急应对措施。为确保信息在各服务点和图书馆之间交换过程中信息的完整性、保密性、真实性，采用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥分发等加解密技术。例如在RFID系统中，利用密钥无线生成的方法（WirelessKeyGeneration，WiKey）可以实现在RFID标签上生成密钥。WiKey的基本思想是利用RFID系统中读写器向标签传输信息的信道（前向信道）与标签向读写器分别生成密钥碎片，然后标签再混合这两部分的密钥碎片从而生成共享密钥。从而使标签和读写器之间利用共享密钥进行认证和识别的操作更加安全可靠，防止隐私信息被获取甚至被修改。让不同年龄段的读者在不同的地方都可以安全地完成借还书和信息检索的操作。（二）制定完善的信息安全管理制度。信息安全不单是技术过程，更是管理过程。信息安全管理是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，是通过维护信息的机密性和完整性来管理保护组织所有资产的一项体制。其目的是尽量做到在有限的成本下保证信息的安全，其内容包括制定信息安全政策、制定规范与方式选择的操作流程和对人员进行安全意识培训等一系列工作。多口径多标准的“图书馆+”平台更需要统一标准和系统化的管理方式。建立高效可行的管理体系，涉及人员的分配安排、资源的管理还有人员的组织培训。对系统漏洞引起的管理不善并发导致的损失由组织承担相应的责任，并对问题做系统分析评估报告。建立预警防控体系。预警防控体系中网络安全管理人员必须对整个局内网体系的安全防御策略及时地进行检测、修复和升级，严格履行国家标准的信息安全管理与监控机制，能实行虚拟局域网内统一安全配置，调控多层面分布式的安全问题，提高整个网络的的安全预警能力，加强对应急事件的处理能力，实现“图书馆+”创新服务模式下信息安全化的可控性。加强对从业人员的职业道德教育显得也极其重要。如果他们有着很高的职业道德，他们就可以在文化服务的领域作出积极的贡献。所以，图书馆应该为每个客户端口的工作人员组织定期的业务培训工作。培训的内容包括：1.工作技能的培训；2.信息安全意识的提高；3.如何向用户宣传并培养信息安全意识。（三）完善信息安全沟通渠道和服务反馈体系。与用户加强沟通，有利于促进图书馆文献信息服务学术化、专业化的演变，有利于多角度、多方位地为用户提供时效性强、有针对性的信息安全措施。“图书馆+”的信息安全反馈体系有利于提升整个图书馆的服务水平，对于阅读推广的可持续发展具有指导性的意义。反馈体系包括内部和外部的评价：一是基于读者在使用过程中的一些评价指标，比如实际操作中的可靠性，对读者本身的使用是否方便，是否有创意。二是从内部角度，根据安全事故发生的缘由联系经费预算、人力综合评价信息安全平台是否达到了预期设想的效果。将两种评价的标准对接融合，构成简单的反馈指标体系。

篇5

中图分类号：D631.1 文献标识码：A 文章编号：1674-098X（2016）09（a）-0003-02

由于工业信息技术与软件的使用日益普及，公安信息化网络安全问题也日渐增多，网络安全问题不是纯粹的技术问题，是技术与管理的综合，而是一项复杂的系统工程。公安信息化是实现公安工作现代化的必由之路。公安信息网络的安全保障工作直接关系到公安工作的效率和成果。对公安信息网络实行分等级保护是保障公安信息网络安全的一个很好的方法。

全国公安信息化建设工作开展以来，各地公安信息化建设取得了一定的成果。各地的公安信息化建设成果的表现也不尽相同。2013年，秦皇岛成为全国首批“智慧城市”试点城市。秦皇岛公安信息化的建设与“智慧城市”的建设相互促进。该文运用文献查阅法、对比分析法、系y分析法等方法，对公安信息化、公安信息化建设、“智慧城市”等相关理论进行阐述。明确公安信息化概念、标志、特征以及重要意义；明确公安信息化建设的内涵、影响因素、建设内容以及评价内容；明确“智慧城市”的内涵、特征、应用以及“智慧城市”与公安信息化建设的关系。在相概观念明确的基础上，从秦皇岛市公安信息化建设的规划布局、基础网络建设情况（包括通讯网络、平安城市监控点、智能交通设施的建设）、公安应用系统建设情况（一、二、三级平台建设情况、数据研判平台、交通综合指挥平台、便民服务平台建设情况）、应急保障体系建设情况、保障体系建设情况（领导、组织、人才、资金）、服务实战及成效方面（高清视频监控系统、智能交通）进行现状分析，发现秦皇岛公安信息化建设在基础网络、应用平台体系、技术力量、体制建设等方面的问题以及复杂的挑战。

1 计算机网络安全体系结构的组成

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的，对于一个系统而言，首先要以硬件电路等物理设备为载体，然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等设备，用户可以搭建自己所需要的通信网络。对于小范围的无线局域网而言，人们可以使用这些设备搭建用户需要的通信网络，最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵，这种防护措施可以作为一种通信协议保护，目前广泛采用WPA2加密协议实现协议加密，用户只有通过使用密匙才能对路由器进行访问，通常可以将驱动程序作为操作系统的一部分，经过注册表注册后，相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护，不能被更改、泄露和破坏，能够使整个网络持续稳定地运行，信息能够得已完整地传送，并得到很好保密。因此计算机网络安全涉及到网络硬件、通信协议、加密技术等领域。

2 信息安全管理

公安机关网络信息管理指的是公安机关工作人员通过规定的手段保证信息、数据、服务和通信的安全等。公安部门的安全管理系统是一个持续的过程，必须加以确定并不断审查。计算机网络安全系统作为公安机关的主要软件，并尽一切努力使公安机关网络信息更安全，同时提高公安系统工作人员的IT安全意识。网络安全解决方案和数据安全在公安领域也起到了至关重要的作用。加强信息的安全管理，防止各种信息的泄漏和窃取，有效打击各种形态的网络犯罪，已成为当前公安网络建设的重要课题。

3 数据安全

越来越多的设备连接到互联网，也受到常用办公操作系统的间接控制。如今网络入侵变得更有针对性，黑客只向配备关键安全功能的少数计算机发送恶意软件，通常是为了进行间谍活动。这意味着，病毒和特洛伊木马可以很长一段时间不被察觉，在被杀毒软件捕获之前已造成很大损害。因此，有效的数据保护措施必须提供全方位的深入保护。网络安全策略是网络安全计划的说明，目的是设计和构造网络的安全性，以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。因此，建立网络的安全策略，应在建网定位的原则和信息安全级别选择的基础上制定。公安信息系统安全问题的解决依赖于技术和管理两方面，在采取技术措施保障网络安全的同时，还应建立健全网络信息系统安全管理体系，通过以上管理机制和技术措施的实施，提高网络安全性，降低网络安全事故的风险，保证网络长期平稳运行。

4 结语

社会信息化的发展给公共安全领域带来了机遇和挑战。敌对势力和不法分子利用信息技术的犯罪活动越来越多，公安机关在维护社会治安、打击违法犯罪活动中所涉及的业务信息量也在急剧地增加。在这种时代背景下，公安信息化建设显得十分重要。公安信息化建设非常有必要，并且具有深远意义。公安信息化是提高执法质量的必由之路，公安信息化有利于提高公安的工作水平，公安信息化有利于共享信息资源和情报，从而更好地打击犯罪。公安工作信息化的目标，就是通过大力推广应用现代电子信息技术，实现公安工作的信息共享、快速反应与高效运行。由此可见，众多的网络安全风险需要考虑，因此，公安部门必须采取统一的安全策略来保证网络的安全性。

参考文献

[1] 何姗.公安信息网络安全保障策略研究[J].信息安全与技术，2011（8）：5-7.

[2] 尹晓雷，于明，支秀玲.公安内部网络安全问题及解决方法[J].信息技术与信息化，2010（1）：18-22.

篇6

关键词：

供水企业信息集成系统；等级保护；信息安全

供水行业对国计民生很重要的一个行业，供水企业的业务性质要求以信息的整体化为基本立足点，集中管理所有涉及运营的相关数据，针对供水企业运行的特殊要求，进行集中的规划和架构，将不同专业的应用系统进行整合，最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。

随着大数据时代的到来，网格、分布式计算、云计算、物联网等新技术相继推出，对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展，应用中存在着大量的安全隐患，网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告，截至2014年12月，网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升，计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告，2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年，搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月，某域名服务商的域名解析服务器发生了网络黑客的集中式攻击，造成在其公司注册的13%的网站无法访问，时间长达17个小时，经济损失不可估量。因此，从信息安全的角度，要对供水企业信息集成系统进行防护，降低信息安全事故的发生的概率，降低其危害，是本文需要研究的内容。

1当前供水企业信息集成系统安全防护的现状和存在的问题

伴随着科技的不断发展，供水企业的信息化建设也得到了很大的发展，主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问，存在大量的安全隐患。目前，威胁到供水企业信息安全的风险因素主要分为三个大类：1）人为原因，如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2）数据存储位置位置的风险。可能由自然灾害引发的问题，缺乏数据备份和恢复能力。3）不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。

2有关分级防护的要求

尤其是供水企业信息集成系统中，存在大量涉及公民个人隐私的信息，也存在像生产调度这样涉及国计民生的信息。因此，需要按照国家有关信息安全的法律法规，明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》（公通字[2007]43号）第十四条，信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》（GB/T22240—2008）实施，根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：1）造成一般损害；2）造成严重损害；3）造成特别严重损害。

3分别防护实施步骤

根据有关法律法规，建设完成并投入使用的信息系统，其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示：通常情况下，供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果，有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容：细化各业务系统服务器的物理位置；按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际，主要有等级包括三个业务区域，以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器，而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务，不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。

依据表1的测评结果，将安全区域进行细化表2所示的就是企业管理信息区，其主要业务系统对安全区域存放问题的展示。根据表2得到的结果，可以将信息安全设备存放在不同信息区域边界内，以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界，也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议，供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内，如此可以初步实现对供水企业管理信息区的信息安全防护。

4结束语

随着大数据的发展，对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求，也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下，还需要加强信息审计，及时发现和补救系统缺陷，加强数据库安全防护，维护管理系统的隐患。

参考文献：

篇7

近年来，事关食品药品安全问题，无论是“苏丹红”风声鹤唳，还是“强生”胆战心惊，以及Pvc保鲜膜含致癌物质，总是国外相关机构发出警告信息后，国内的监管部门才行动起来。一连串的事件让人产生疑问，我们的食品药品安全信息为何总当国外的“跟屁虫”。

究其成因，食品安全信息交流制度的空缺，使国内信息安全调查总是慢半拍。在国外，要求收集信息必须准确，并要在研究单位、政府机构、粮食生产与食品加工企业及消费者之间进行有效交流，以便增加透明度，努力保证食品安全。同时，收集其他国家的食品安全信息并开展交流。譬如，日本建立了及时有效的从国际组织及海外各国收集信息的机制。而在国内，不仅内部食品信息交流网络尚未架构起来，而且与国外信息交流更是少得可怜。

信息披露环节过多，也使得信息很难做到及时、公开。从国外来讲，一些食品药品监督管理部门可以在收集到可靠信息后立即相关警告或指令。而在国内，都必须上报上级主管卫生部门，然后再通过上级部门结合实际情况，进行严格审批，在最大程度地保证消费者利益和国内市场各方面均衡发展的基础上，卫生部才相关的产品安全警告或提醒。如此众多环节，让我们不难理解，为何安全警告总是姗姗来迟。

检测标准严重滞后，更让洋品牌常常在出现安全问题后，总是表现得傲慢无礼。在很多情况下，国家质检部门不是不想向公众及时发出安全信息，而是心有余而力不足。比如说，我国1996年出台《食品添加剂使用卫生标准》，其中规定禁止将“苏丹红一号”作为食品添加剂用于食品生产。但10年后发生苏丹红事件后，国家仍还没有出台统一的有关“苏丹红一号”的检测方法和标准。再以麦乐鸡所含的化学物质为例，由于目前对这种物质没有国家统一易行的检测标准和手段，只能任其自说自话，信口雌黄。

说到底，食品安全信息的准确及时，考验着一个政府的公共管理水平和智慧。安全信息警告为何总是先国外后国内?这无疑给我们提了个醒：信息交流机制如何架构?信息披露机制如何做到畅通无阻?国内安全检测标准的缺失如何尽早弥补?类似问号都应当引起我们的高度重视，尽早拉平拉直。

篇8

中图分类号：TP39文献标志码：A

1引言

工業控制系统（IndustrialControlSystems，ICS）是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络，越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术，这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络，ICS脆弱性就暴露给潜在的攻击者[2]。

为了提高工业控制系统的安全性，现在一般从两方面考虑：一方面是提高工业控制系统的自身安全性，从设计阶段就开始安全性架构，并落实在工控系统的研发、部署、运行的各个阶段；另一方面是通过附加信息安全保障手段（如在系统中部署信息安全专用产品）在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求，通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。

工业控制系统本质上是一类信息系统，因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局（NationalSecurityAgency，NSA）针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架（InformationAssuranceTechnicalFramework，IATF）[3]，成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节：防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）。首先采取各种措施对需要保护的对象进行安全防护，然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变，特别是由安全变为不安全，则马上采取应急措施对其进行响应处理，直至恢复安全保护对象的安全状态。这四个部分相辅相成，缺一不可，构成了公认的PDRR模型，如图1所示。

从PDDR模型的“检测”环节入手，对工业控制系统的信息安全产品进行测试与评估，建立工控信息安全产品测试评价体系，为工业控制系统信息安全测评提供专业化的理论支撑和实践引领，一方面有效帮助供应商大力提升其产品和系统的安全保障能力，另一方面为用户选购工控系统信息安全产品，提高工控系统安全性提供支持。通过对安全测评结果的综合分析，为相关主管部门提供真实、全面的安全态势分析报告，促进工业控制领域信息安全保障工作的开展。

2工业控制系统的信息安全要求

工业控制系统有许多区别于传统信息系统的特点，包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险，对环境的严重破坏，以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求，其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外，安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突（如，需要密码验证和授权不应妨碍或干扰ICS的紧急行动）。

美国NIST的《工业控制系统信息安全指南》[4]对ICS与IT的差异进行了全面的总结，这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。

传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑，这些需求体现如下：

（1）工控系统的可用性则直接影响到企业生产，生产线停机或者误动都可能导致巨大经济损失，甚至是人员生命危险和社会安全破坏。

（2）工控系统的实时性要求很高，系统要求响应时间大多在毫秒级或更快等级，而通用管理系统能够接受秒级或更慢的等级。

（3）工控系统对持续稳定可靠运行指标要求很高，信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。

3工控信息安全产品

由于工控系统的自身特点以及对可用性的高度要求，适用于工业控制系统的信息安全产品也需要着重考虑工控系统的特点。目前使用相对比较广泛的工控信息安全产品主要包括工控防火墙、工控安全审计、工控隔离、工控主机防护等类型。

3.1工控防火墙

工控防火墙根据防护的需要，在工控系统中部署的位置存在多种情况，通常用于各层级之间、各区域之间的访问控制，也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构，主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议（TCP、UDP）和端口，以及工控协议的控制命令和参数的访问控制。

工控防火墙从形态来说主要分两种，一类是在传统IT防火墙的基础上增加工控防护功能模块，对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的模式来实现的。

3.2工控安全审计

工控安全审计产品通过镜像接口分析网络流量，或者通过及设备的通用接口进行探测等方式工作，及时发现网络流量或设备的异常情况并告警，通常不会主动去阻断通信。

这类产品自身的故障不会直接影响工控系统的正常运行，也更容易让用户接受。

3.3工控隔离

工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品，采用双机架构，两机之间不使用传统的TCP/IP进行通信，而是对协议进行剥离，仅将原始数据以私有协议（非TCP/IP）格式进行传输。其次还有网闸，除了进行协议剥离，两机中间还有一个摆渡模块，使得内外网之间在同一时间是不联通的，比较典型的是OPC网闸，主要还是传输监测数据，传输控制命令的网闸还相当少。另外还有单向导入设备，主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性，其缺点是不能保证传输数据的完整性，但对于将控制网中的监测数据传输到企业办公网还是可行的。

总体来说，由于隔离类产品采用双机架构，中间私有协议通信，即使外端机被攻击者控制，也无法侵入内端机，其安全性要高于防火墙设备。

3.4工控主机安全防护

工控系统中会部署一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，这些主机有必要进行一定的防护。

目前主要有两种针对主机设备的防护产品：一种为铠甲式防护产品，通过接管主机设备的鼠标/键盘输入、USB等外围接口来保证主机的安全；另一种就是白名单产品，通过在主机上安装程序，限制只有可信的程序、进程才允许运行，防止恶意程序的侵入。

4工控信息安全产品测试评价体系

工控信息安全产品测试评价体系涵盖测试环境、测评技术和评价服务三部分。测试环境主要由适用于工业控制系统信息安全产品的测试平台组成，测评技术主要涉及测试工具、测试方法、基础库和相关的标准及规范，评价服务提供工业控制系统的安全测评服务的能力。

4.1总体架构

以工业控制系统相关的新一代信息技术为对象，从研究工控信息安全产品的安全功能要求、自身安全要求和性能要求出发，结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术，建立了工控信息安全产品测试评价体系，总体架构如图2所示。

其中，测试环境体系包括基础环境和实验环境，测评技术体系包括测试方法、测试工具、基础库和关键标准，评价服务体系包括服务流程和组织管理。

4.2测试环境

根据测评机构质量体系建设等相关要求，通过对现有资源进行整合、改进和升级，形成实验室必要的物理基础设施，主要包括机房建设、硬件设备和软件购置，从而为工控信息安全产品测试评价提供基础条件。

测试环境主要包括以下两部分：

（1）基础环境：进行实验室机房装修和改造，作为测试评价体系的实施基础。

（2）实验环境：实验室基础网络和测试仪表。

4.2.1基础环境

基础环境主要通过对现有资源的整合、升级，着力建设测评环境所急需的物理基础设施，包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容，最终形成工控专用安全产品测试所需的必要基础条件。

基础环境包括4个测试（性能测试环境、攻击测试环境、功能测试环境和协议测试环境）隔断环境、1个演示环境和1个测试机房组成。

4.2.2实验环境

实验室环境主要是针对工业控制系统信息安全产品的检测需要，搭建典型的工业控制环境，包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。

4.2.2.1测试平台

测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不相同，所以四个平台分别独立部署。

（1）功能测试平台

功能测试平台是一套典型的小规模工业控制系统，包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流，并支持工业控制主要协议的设备（包括西门子、施耐德、和利时及信捷等）的一至两种型号，能夠实现常用的工业控制功能及数据监测功能，具备支持多种常见的工业控制协议（支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等）的能力。

（2）协议测试平台

工控信息安全产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入，还是旁路接入工控网络，则该设备都需要进行协议测试，测试目地在于验证该设备是否能支持现有常用的工业控制协议。

（3）攻击测试平台

攻击测试平台主要针对常用的工控信息安全产品，用以验证安全产品是否能够抵御来自网络，压力，碎片等攻击。对于旁路接入的工控信息安全设备，测试目的在于验证系统能否能记录攻击行为（工控审计类产品）；对于串行接入的工控信息安全设备，测试目的在于验证系统能否能抵御并拦截攻击行为（工控防火墙类产品）。

（4）性能测试平台

如果工控信息安全产品为串接部署则需要进行性能测试，用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、安全设备的安全防护能力下降等影响。

4.2.2.2演示环境

演示环境是工控系统运行的展示，以简单明了的形式来表征工控系统运行的状态，包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的漏洞是各不相同的，所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响，我们需要在工业控制协议及工业控制厂商进行尽量的覆盖。

演示环境包含高仿真沙盘模型和可视化工控系统拓扑结构展板。

沙盘由底座、台面和台面模型组成，沙盘内部完成所有动态的设计和线路的连接，台面模型根据具体设计和布局陈列，体现完整的工艺流程，各模型单体形状和比例与真实系统一致。沙盘涉及化工生产、污水处理、环境监测、智能楼宇等多个应用实景。

展板由展架和展板封面组成，展板上按层次集成工控设备、网络设备，并由灯带组成复杂的网络路径。实际演示过程中，将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口，可方便接入典型的工业控制防护设备或专用测试工具。

4.3测评技术

测评技术包括测试方法和测试工具的研究、改进和应用，基础库的建设以及相关标准的编制。

4.3.1测试方法

工控系统的安全性测试方法按照安全技术要求可以分为安全功能、安全保证、环境适应性和性能要求四个大类。根据各大类对系统的要求，分别进行测试方法的研究。

鉴于工控系统与传统信息系统在安全性要求上的区别，工控系统的信息安全目标通常都在最后考虑，因此工控系统的安全技术要求又有其特殊性。安全功能要求是对工控信息安全产品应具备的安全功能提出的具体要求，工控信息产品安全功能的具体要求包括身份鉴别、访问控制、安全管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等；安全保证要求针对工控信息安全产品的开发和使用文档的内容提出具体的要求，例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等；环境适应性要求是对工控信息安全产品的应用环境提出具体的具体要求，例如IPv6环境适应性，OPC环境适应性等；性能要求则是对工控系统和工控产品应达到的性能指标做出的规定，例如去抖动、交换速率和硬件切换时间等。此外，针对工控系统和设备的操作系统层面的漏洞进行分析挖掘，形成攻击测试集。

针对以上要去分别深入研究相关的测试方法，并应用于实际的测试工作中。

4.3.2测试工具

为确保工业控制系统信息安全产品和系统测评服务的专业化，开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担，二是减少测评和评估人员因能力和经验造成的测评或评估误差，保证测评和评估服务结果的准确性和科学性，提高专业化的服务能力。通过测试软件来模拟正常和异常协议，可检测工业控制系统信息安全产品的功能实现，以及对异常协议的抵御能力。

本体系配套了工控协议模拟测试软件，集成Modbus、DNP、IEC104、IEC61850等工控协议，用于工控信息安全专用产品和工控设备的测试。该软件的运行方式是单机运行，适用的操作系统为windowsNT，windowsxp，windows7x86平台。该软件主要分为四个模块：ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。

4.3.3基础库

基础库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。

知识库的主要内容包括工业控制系统信息安全领域的基础技术知识、测试案例、法律法规、安全事件/技术手段等的统一描述方法、国内外安全事件、知识库的管理和维护方法、智能化数据挖掘方法等。

指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统安全测评服务建立统一的测评指标库，保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和安全性评价指标库等构成，可根据需要对指标库进行扩展和维护。

测评方法库用以在每种信息安全专业化服务的标准编制和测评方法研究的基础上，明确具体的技术要求，从而提供有效的服务。

測评用例库是在测评方法库建设的基础上，加强测试的复用，提高安全测试的效率。根据厂家提供的说明书和测评人员的经验，深入解析相关技术要求的内涵，为每种具体服务建立测评用例库。

本体系的基础库由两部分构成，第一部分包括了知识库和漏洞库，设计成门户网站模式，直接对外开放，其中收集了4000余条安全事件、3万余条安全漏洞以及相关的法规政策、技术知识、工具等；第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等，运用于测评实战，检测人员可以在其中依据指标、测评方法、测试用例对实际的产品或系统进行测试记录。

4.3.4关键标准

工控系统与互联网信息系统采用传统信息安全产品难以满足相关要求，工控系统对持续稳定可靠运行指标要求很高，信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。因此，有必要为应用于工控系统的关键信息安全产品，以及工控系统安全提出专门的标准，并研究相应的测试技术与方法。

本体系在工控领域制定了信息安全产品标准体系，以规范和支撑产品测试。主要包括：

（1）《信息安全技术工业控制系统专用防火墙技术要求》；

（2）《信息安全技术工业控制系统网络审计产品安全技术要求》；

（3）《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》；

（4）《信息安全技术工业控制系统安全管理平台安全技术要求》；

（5）《信息安全技术工业控制系统入侵检测产品安全技术要求》

（6）《信息安全技术工业控制系统边界安全专用网关产品安全技术要求》；

（7）《信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求》；

（8）《信息安全技术安全采集远程终端单元（RTU）安全技术要求》。

4.4评价服务

评价服务包括服务流程和组织管理。服务流程基于现有的服务流程，深入挖掘工业控制系统信息安全产品的特点，融入服务流程，提升服务质量；组织管理主要规范服务的相关制度，充分合理利用各方面的资源，提高服务效率。

4.4.1服务流程

服务采购单位提出自己的系统需求，测评机构经过沟通协调确定服务目标，签订服务合同，成立测评项目组；项目组根据采购单位提出的需求信息，分析需求是否充分；当需求不够充分时，需和服务采购单位进行沟通，补充需求并最终确认；当需求足够充分时，依据相关标准进行服务方案的总体设计，并由专家对方案进行评审；通过初步方案评审后，由测评人员对服务方案进行详细设计，再交由专家对方案进行评审，并提交方案；如方案需进行修改，需重新设计或晚上详细的服务方案，再由专家进行方案评审，如此类推；当提交的服务方案不需要进行修改时，形成安全的服务方案；一方面由专家对安全的服务方案进行审批，并形成标准化管理；另一方面测评人员根据安全服务方案进行测评工作，测评结束后，形成文档，并归档。

4.4.2组织管理

为了保障整套服务流程的顺利实施，本体系还建立信息安全产品及系统服务的组织架构，如图8所示。

通过成立领导办公室、管理部、技术部和检测部，分别从组织、管理和技术等方面对服务的流程进行控制。管理部主要按照相关的管理规定负责服务申请的受理、产品测评流程的控制、检验报告或测评报告的审核、客户满意度的回访等；技术部主要负责测评相关技术研究工作；检测部负责具体检测工作的实施，根据检测数据整理出具检验报告或测评报告初稿。

篇9

二、私权视角下网络服务提供者注意义务的局限性

(一)侵权法领域网络服务提供者承担注意义务的规则

互联网技术发达的美国和欧洲较早地注意到了网络服务提供者在维护个人权益安全方面的作用。因而通过国内或地区立法针对不直接提供网络内容的服务者在某些情形下承担侵权责任做出规定。以美国为例，其在《数字千年版权法案》中即以避风港规则和红旗规则为非网络内容服务提供者对版权领域内出现的某些侵权行为设定了一定的注意义务。依据避风港规则，自身不提供内容的网络服务提供者根据权利人提出的符合法律规定的通知及时地处理了涉嫌侵权的信息，便能够享受免于承担侵权责任的资格。②红旗规则是避风港规则的一项例外适用，其含义是如果侵犯信息网络传播权的事实是如此的明显，如同红旗一样飘扬，那么网络服务提供者即不能以避风港规则推卸责任，在此情况下，即使权利人没有发出请求删除、屏蔽的通知，网络服务提供者也应当对此承担侵权责任。立法者意图通过这两项规则的适用达到既能不为网络服务提供者设置过重的负担，妨碍其行业发展，又能保护相关权利人版权利益的目的，初衷不可谓不深远。我国的《信息网络传播权保护条例》、《侵权责任法》相继吸收了美国法中的这两项规则。③但在适用上做出了三点不同的变通，这表现在《侵权责任法》第36条第2款的制度设计上:其一，网络服务提供者的类型由非网络内容服务提供者扩大至其他类型的软件服务提供者;其二，侵犯的权益由信息传播权扩大至所有可能被通过网络侵犯的民事财产权及人身权;其三，改变了美国法中以网络服务提供者不承担审查义务为主要原则，仅在有限的情况下就其未尽到注意义务需承担侵权责任为辅的立法初衷，而是代之以网络服务提供者承担与实际侵权人同等程度的网络侵权责任作为一般原则，将原避风港规则中的通知和删除程序作为衡量网络服务提供者是否承担侵权责任的决定性标准。美国法中的避风港规则与红旗规则在引入我国《侵权责任法》时发生的上述变化，表明网络服务提供者需要对他人的网络侵权行为承担更为严格的侵权责任。这种以救济受害人为主要目的的侵权归责模式，源于当时出现的许多人肉搜索、网络谣言等侵权事件这一社会背景。立法者在做出这种制度设计时，更多的是基于一种政策考量，而不是从网络服务提供者本身的地位出发，规定与其能力相适应的义务和责任。这种出发点决定了第36条在适用的过程中并无法解决诸多实际问题。首先，网络侵权行为所侵犯的权利类型越来越多，不仅包括知识产权，还包括名誉权、隐私权等人格权。对于某网络用户是否侵犯了他人的权利，这其中涉及价值判断，该问题在司法实践中一般是由法院作出裁决。从根本上讲，网络服务提供者并无资格仅仅根据权利人的权利通知即采取删除、屏蔽等消除侵权信息的措施。如果无视这种资格缺陷，在知识产权领域赋予网络服务提供者以审查权限，那么鉴于此类权利的识别性较为容易，这尚且处于其能力范围之内，但在权利类型扩张到人格权的情形下，权利冲突已经变得极为复杂，网络服务提供者对此已经失去了甄别的能力。这也从侧面说明了为何美国的避风港规则和红旗规则仅适用于版权法领域，而没有扩及其他侵权情形。其次，WEB2.0技术的应用和普及，出现了博客、微博、微信等网络交流平台。原来由网络服务提供者集中控制主导的信息和传播体系，逐渐转变成了由广大用户集体智能和力量主导的体系。此外，随着用户数量的激增，信息的产生和传播呈现出海量化和碎片化的特征。网络服务提供者在这种信息流动模式下，难以行使针对具体个人权利的信息审查义务。前述两项客观制约因素决定了侵权法对网络服务提供者义务和责任的规定已超出了其能力范围之外，这种规则本身的运行并无法起到保护受害人权益，净化网络的初衷。

(二)从私权角度审视网络服务提供者义务的局限性

无论是美国法中网络服务提供者承担宽松的注意义务规则，或是我国侵权法中以严格救济受害人为主的制度设计，两者均是站在维护私权的角度对网络服务提供者应尽之安全保障义务做出规定。严格讲来，任何安全维系规则的终极目标都是为了保护民事主体的私人权益不被侵犯，这是理所应当且毫无疑问的。然而问题的关键在于实践中威胁民事主体权益的不安全因素有诸多表现形式，并非每一项都表现为直接侵权，换言之，传统的侵权归责模式并不适用于所有的安全威胁情形，民事主体个人权益的最终保护并不能都通过主动提起侵权诉讼来获得解决。这在当下层出不穷的网络安全频发的各色事件中表现的尤为明显。如2011年腾讯公司与奇虎360公司发生不兼容大战，腾讯迫使6000多万用户卸载了360安全软件。该事件本身虽是两类网络服务提供者因不正当竞争而起，表面上看，并没有直接侵犯网络用户的实际权益，但实际上腾讯公司迫使所有使用QQ的用户卸载360杀毒软件的行为正是无视这些用户的网络安全选择，间接地置其人身和财产安全处于危险境地。当QQ用户因卸载杀毒软件遭受信息泄露，实际权益受到侵犯时，却无法依据目前的私权规则提起侵权之诉保护自身权益。另一方面，依据前述我们对信息网络运行规则的解读，网络是一个纵横交错的整体性系统，所有的网络服务提供者均处于进入网络通道看门人的地位。不独网络软件服务提供商，即使是网络硬件设备提供者，也应负有信息安全保障义务。如电脑的芯片制造商，在芯片投入批量生产之前应尽可能地对其技术安全性进行全面的检测，当其在使用过程中发现存在漏洞时，也应及时采取技术修复等各种可能的措施最大限度的确保用户的使用安全。而私权规则仅针对在某些直接侵权情形下未尽到注意义务，而需承担侵权责任的软件服务提供者。从本质上看，这是将网络关系简单化为软件服务提供者与网络用户之间的债权化网络结构，从而将网络服务提供者等同于一般安全保障义务主体，忽略了信息网络其他构建者应负有的信息安全保障义务，上文所述之路由器被破译以致个人信息泄露事件即是证明。在具体的侵权法领域，网络仅是一种使用工具，网络服务提供者犹如普通的商品制造商一样，并不对任何个人通过使用该工具而侵犯他人的行为负责。综上可知，站在维护个体私权的角度看待网络服务提供者应承担的信息安全保障义务，加重了网络服务提供者对所有个体用户承担义务的负担，随着网络技术的不断纵深发展，网络用户在使用人数和行为模式上也发生了很大的变化，前述私权规则在解决具体侵权问题方面，仅具有有限的适用性。此外，该规则将保护主体限于私人用户，忽略了网络服务提供者对国家、公司等商事组织负有的信息安全保障义务，具有很大的片面性和局限性。现实情况下，面对越来越多的各类网络安全事件，私权规则中对网络服务提供者义务和责任的规定却无法适用于其中。鉴于此，我们应该跳出私权视角俯瞰整个公共领域，重新审视网络服务提供者应当负有的信息安全保障义务，该义务应具有更深远的价值取向和目标，并且配有更为细化和恰当的义务履行规则。

三、信息安全保障义务的价值取向:公共秩序与公共安全

以维护纯粹的个体私益捆绑网络服务提供者应负有的信息安全保障义务，具有很大的局限性。基于信息网络开放、互联的结构性特点，以及网络服务提供者在整体系统中所处的地位，网络服务提供者负有的信息安全保障义务应以公共秩序与公共安全为价值目标。网络空间是否存在着公共性，这是我们在理解这一价值目标时首先需要面对的问题。通常我们基于网络空间的虚拟性而倾向于淡化其公共性和社会性的一面，进而将网络社会简化为无数个用户与软件网络服务提供者之间的相对法律关系，对于网络纠纷也倾向于以纯私法的方式进行处理。网络的虚拟性是指信息的存在方式皆以文字、图形、声音、视频形式表现，而缺少现实世界中立体、固有的形态实体物。这个特点常常在视觉上给用户以错觉，认为自己脱离了群体性的生活，面对的仅仅是不可触摸的信息，而忽略了任何信息流产生和传播的背后均是人际关系在发生互动这一基本事实。物理世界中，先存在着一个公共空间和领域，而后才会产生聚合的公共行为;而网络空间的虚拟性打破了这个传统的模式，先有人与人之间的互动，而后才形成一个公共空间。换言之，不论空间的表现形态如何，只要人们以言行的方式聚集在一起，展现的空间就形成了。由此可以说，虚拟性并不排斥公共性，甚至在某种程度上，虚拟性成就了网络空间所特有的公共性。网络空间具有公共性意味着作为信息看门人地位的网络服务提供者需为空间中所有用户承担最低限度的信息安全保障义务，即维护网络公共秩序与公共安全。秩序关注的是网络空间内各类信息流的畅通、有序运行;安全强调的是不被搅扰，能够自由流动的一种状态。秩序与安全虽然指向性不同，然而两者并非可以分割，而是紧密连为一体的价值。秩序的维持有助于确保安全，而对安全的保障，也有利于秩序的实现。秩序与安全是人类生存与发展最基本的价值需求，但与现实的物理社会相比，网络社会似乎对此表现出了更强烈的需求。这主要源于两个原因:一方面，现实社会已经发展的较为成熟，形成了一套运行稳定的制度体系来确保社会秩序与安全，而对于新生的网络社会而言，面对的是一个全新的领域，建立起一套基本的秩序与安全规则，是网络社会得以运行的基本前提和保障;另一方面，与现实社会不同，网络社会中人与人之间工作、生活等各方面的交际均是以信息流的形式通过网络平台进行，这种长线距离的曲线往最容易在过程中产生波澜，因而确保个人信息在流转过程中的有序与安全成为网络社会必然的价值选择。换言之，网络世界更需要对信息产生、传播过程的管控，这迥然于现实世界对私人权利的静态保护。可以说，公共秩序与公共安全这两项价值内生于网络社会，也将伴随其永久存在和发展。网络社会对公共秩序与公共安全的渴求，在很大程度上表现为网络服务提供者需对所有用户承担信息安全保障义务。这归根结底是由网络特有的技术特征以及网络服务提供者所处的法律地位决定的。网络社会的一切活动都需借助于网络平台进行，人与人之间的行为表现为各种信息的流动，因而从技术上确保信息流有序、安全的产生、存储和传输，显得尤为迫切和重要。实践中许多危害公共秩序与公共安全的行为均是由于网络技术存在缺陷所导致。如2011年，程序员网站CSDN、天涯社区、美团网等网站数据库遭到黑客攻击，网络个人信息泄露事件曾集中爆发，上亿用户的注册信息被公之于众，其中，广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。针对这些问题，网络服务提供者与政府机构或其他主体相比，既有能力，也有条件积极、主动的进行预防和事后应对。此外，随着大数据分析技术的发展，信息越来越成为一种各类网络服务提供者争相攫取的新型资源，网络服务提供者作为受益者，理应对这一资源的有序流动和安全承担保障义务。需要说明的是，网络服务提供者以公共秩序与公共安全为价值目标承担信息安全保障义务，并非忽略对私权的保护。公共秩序与公共安全着眼于潜在不特定多数人的利益，因而对其进行维护恰恰能够最大限度地保护私权。实践中，许多个体的私权受到侵犯往往是由于网络服务提供者未尽到信息安全保障义务所致。如家、汉庭等大批酒店的开房记录泄露事件，正是因酒店Wi－Fi管理、认证管理系统存在信息安全加密等级较低问题，以致这些信息被黑客窃取、泄露，危及开房人的实际权益。

四、信息安全保障义务内容———以个人信息保护为例

在公共秩序与公共安全的价值指引下，网络服务提供者需要承担的信息安全保障义务范围广泛，既包括所有的网络服务提供者不得制造或提供危害网络公共秩序与公共安全的产品或服务，也包括需采取技术措施不断升级自身产品或信息系统，确保不会出现安全漏洞从而被他人侵入和破坏;既包括某些非内容服务提供者对用户利用平台传播与该价值目标不符的言论或行为做出禁止，也包括相关网络服务提供者在经营过程中产生矛盾纠纷时对自己行为(如不正当竞争)进行克制，避免因自己的行为将用户的基本使用安全置于危险境地;等等。如此广泛的范围使得清晰规定网络服务提供者承担的信息安全保障义务内容绝非易事。目前，网络服务提供者未尽信息安全保障义务常常表现为个人信息被非法收集、处理、利用、泄露，以致危害不特定多数人的人身及财产权益，在此以个人信息的保护为主线说明网络服务提供者应承担的信息安全保障义务的主要内容。

(一)网络服务提供者未经法律规定或用户同意不得任意收集、存储和处理他人信息

信息网络时代，信息不断的产生和流动，网络服务提供者凭借其先进的技术手段，能够对用户使用网络留下的诸多信息进行收集、存储和处理。由于个人信息能够单独或与其他信息结合识别出特定的信息主体，从而将信息主体的人身安全、隐私、财产等权益曝光于众目睽睽之下，增加受害的几率，因而对网络服务提供者收集、存储和处理个人信息的行为应当进行规制。任何网络服务提供者都不得未经许可收集个人信息，应当是一般原则。对于用户同意收集的个人信息，网络服务提供者应当在指定的收集用途范围内使用，不得超出该范围另作它途，同时也不得基于一定的目的，将该信息提供给其他主体使用。

(二)网络服务提供者需采取措施维护信息在产生及流转过程中的安全

网络服务提供者在使用信息系统对个人信息进行存储、处理时，应当采取适当的管理措施和技术手段保护个人信息安全，防止未经授权检索、披露及丢失、泄露、损毁和篡改个人信息。一般而言，网络服务提供者应从管理和技术两个方面确保个人信息的安全。网络服务提供者应当实施各项管理措施，如建立个人信息收集、使用及其相关活动的工作流程和安全管理制度;对工作人员及人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施;妥善保管记录个人信息的纸介质、光介质、电磁介质等载体，并采取相应的安全储存措施;等等。实践中，尽管不同的网络服务提供者根据自己所处的地位和提供的网络服务的不同会采取各异的管理措施，但只要最大限度的确保其管理上不存在人为的漏洞致使他人信息泄露，即可视为网络服务提供者尽到了该项义务。除了管理措施不够完善导致个人信息泄露外，技术因素是另一个重要原因。由于互联网络的发展，大量个人信息被计算机和各种网站等各类网络服务提供者存储，因而一旦网络出现系统漏洞、程序漏洞等各种危害安全的漏洞后往往会导致大规模个人信息发生泄露。从技术上而言，漏洞是软硬件在设计上存在的缺陷，攻击者能够在未授权的情况下访问或破坏系统。一个系统自时起，就一直处于漏洞发现和修补的循环之中，漏洞问题会长期存在。这种特性要求网络服务提供者应对储存用户个人信息的信息系统实行接入审查，实时注意网络异常，当发现问题时，及时进行补丁修复，并采取防入侵、防病毒等措施，增强系统的抗攻击性，确保信息安全;同时，网络服务提供者应建立网络安全日志，对重要网络系统及数据、信息及时备份。此外，一旦发生个人信息泄漏、丢失，网络服务提供者应及时通过网络、报纸、电视等媒体渠道告知受影响的个人信息主体事件的发生情况以及应采取的防护措施，以免给其造成无法挽回的损失，并且还应当及时向国家相关信息管理机构进行通报。

(三)网络服务提供者对用户违反法律、法规规定或传输信息的行为应当予以禁止

网络服务提供者应当加强对其用户的信息的管理，对法律、法规禁止或者传输的信息，应当立即予以禁止，采取消除等处置措施，保存有关记录，并向有关主管部门报告。法律、法规禁止或传输的信息，一般而言是危害国家安全、严重损害公共秩序与公共安全或有损社会风气等信息。如宣传思想的视频或文字;教授用户破解他人路由器方法的文字;某网站已被泄露的用户银行账号、身份证号等个人信息;等等。网络服务提供者对前述信息的和传输进行管理，意味着其对信息的和传输具有一定的审查义务，这不同于侵权法领域要求网络服务提供者站在私域角度纯粹依据自己的价值取向保护个体私权之情形，该项义务的履行具有较为明确的参考标准，因而也不会对用户的言论自由构成侵犯。事实上，在对用户或传输的信息进行审查方面，网络服务提供者在某种程度上更类似于一个公共管理机构，因而这既是其承担的义务，也是其享有的部分公共管理权限。

(四)网络服务提供者终止其技术服务时应最大限度的确保使用该技术服务的用户的信息安全

网络服务提供者在经营过程中，如若要停止某项技术服务，对于使用该技术的所有用户应当提前发出通知，及时提醒其继续使用将会带来的风险，以及告知其避免这些风险需要采用的措施，给用户足够的时间进行技术更换工作。如微软中国此前宣布于2014年4月8日停止对WindowsXP的支持，但考虑该操作系统在我国通信等重要行业仍占据较高比例，若立即停止将会给基础通信网络带来直接风险，威胁基础通信网络的整体安全，故其决定将与包括腾讯在内的国内领先的互联网安全及防病毒厂商密切合作，为中国全部使用XP的用户，在用户选择升级到新一代操作系统之前，继续提供独有的安全保护，帮助用户安全度过系统过渡期。网络服务提供者之所以在其技术服务结束时仍需向用户承担信息安全保障义务，源于长久以来二者之间的一种相互生存倚赖，尤其在当下的互联网行业，某类网络服务提供者在某些技术方面长期处于垄断地位，导致其地位已具有不可替代性，因而在退出时理应采取一些安全措施保护所有使用其技术服务用户的安全，避免因其退出技术服务而给用户带来人身及财产损失。在当下网络新产品或服务不断涌现的时代背景下，网络服务提供者承担信息安全保障义务的内容非常之多，不同类型的网络服务提供者承担的信息安全保障义务内容也各不相同，于此情形下，穷尽其所有的义务内容绝非易事。上述以个人信息被非法收集、使用及泄露为例说明网络服务提供者应承担的义务，仅具有概括作用，具体到实践中，每一网络服务提供者究竟有无尽到信息安全保障义务，应以公共秩序与公共安全为价值指引做出判断。

篇10

一、建立健全网络和信息安全管理制度

各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任，规范计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理

各单位要设立计算机信息网络系统应用管理领导小组，负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定

各单位要提高计算机网络使用安全意识，严禁涉密计算机连接互联网及其他公共信息网络，严禁在非涉密计算机上存储、处理涉密信息，严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施，有效监控违规操作，严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。

四、加强网站、微信公众平台信息审查监管

各单位通过站、微信公众平台在互联网上公开信息，要遵循涉密不公开、公开不涉密的原则，按照信息公开条例和有关规定，建立严格的审查制度。要对网站上的信息进行审核把关，审核内容包括：上网信息有无涉密问题；上网信息目前对外是否适宜；信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上信息，严禁交流传播涉密信息。坚持先审查、后公开，一事一审、全面审查。各单位网络信息审查工作要有领导分管、部门负责、专人实施。

严肃突发、敏感事（案）件的新闻报道纪律，对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害，涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事（案）件的新闻稿件原则上不进行宣传报道，如确需宣传报道的，经县领导同意，上报地区层层审核，经自治区党委宣传部审核同意后，方可按照宣传内容做到统一口径、统一，确保信息的时效性和严肃性。