時間:2023-03-29 09:18:55
導語:在信息安全法律法規論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
中國如今的電子商務市場一直保持著40-50%的市場增長率,它的交易規模已經占到了中國消費總額的5%,并開始表現出明顯的GDP拉動力。從2009年起,中國的電子商務表現出來星火燎原般的勢態,可以預測的是:中國的電子商務,必將成就中國另一輪的經濟飛躍。
2緒論
伴隨著互聯網和信息技術的飛速發展,電子商務從零到有,并逐步向高水平、規范化發展。十年來中國電子商務始終保持40-50%的高速發展,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發出更強的生命力和適應力。2009年中國電子商務市場規模超過35000億元,同比增長48.5%,高于2008年的41.2%。
電子商務的安全法律是指為了保障電子商務在交易過程中的安全性,由國家政府相關部門出臺的對交易過程進行保護的法律。目前,我國就電子商務安全問題已經進行了初步的法律立項實施,但是依然存在較大的漏洞和隱患,需要國家相關部門進一步加強。
安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中,交易雙方進行電子合同簽訂,安全中心不僅要監督買方的及時付款,同時還要監督賣方是否提供與合同一致的貨物。在這些交易環節中,由于網絡虛擬交易的緣故,存在非常大的安全管理隱患。為了有效防止這些安全隱患的爆發,降低風險帶來的損失和傷害,需要國家政府出善的法律保護制度,形成一套互相關聯、互相約束的管理制度體系。
3.電子商務安全
3.1電子商務安全概述
電子商務的運行和交易是基于計算機網絡平臺而展開的,所以安全問題大體上可以分為計算機網絡安全和電子商務系統本身交易安全。沒有網絡,電子商務就不可能存在,網絡作為基礎,其安全性與電子商務安關系密切,在網絡安全的前提下,電子商務系統特有的設計加以保障,兩者相輔相成實現電子商務的整體安全。通俗的說,電子商務的安全就是“電子”和“商務”雙重要求下的安全。
3.2國內電子商務安全問題現狀
3.2.1信息安全環境
2010年,由中國互聯網絡信息中心(CNNIC)和國家互聯網應急中心(CNCERT)在京聯合的《2009年中國網民網絡信息安全狀況調查系列報告》中顯示,2009年,52%的網民曾遭遇過網絡安全事件,網民處理安全事件所支出的相關服務費用共計153億元人民幣。電子商務發展所面臨的信息安全問題嚴重。根據相關調查顯示,90%以上的網民計算機遭遇過病毒、木馬、黑客的攻擊,電子商務交易的安全環境已經受到了嚴重影響。
3.2.2技術與意識現狀
電子商務的安全需要信息技術和使用者意識的同步跟進和提高,才能使交易真正安全。目前國內兩方面因素同時存在,導致電子商務交易安全性下降。一是技術方面:國內防御殺毒軟件整體水平較低,查殺效率和效果不佳,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患。二是網民、使用者意識方面:相比于高發的網絡安全事件,仍有4.4%的網民個人計算機未安裝任何安全軟件;不足8%的手機網民安裝手機安全防護軟件,網民安全意識仍有待進一步提升;
盜版軟件使用泛濫;軟件認知低,不懂得區分使用;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行,依然存在欺騙行為。
3.2.3電子商務誠信環境
隨著互聯網的發展,網絡購物(B2B、B2C)作為電子商務的其中分支之一,已經成為了一種消費時尚、熱門購物渠道。據中國互聯網絡信息中心的數據顯示:2009年我國網購市場交易規模為2500億元,較2008年翻了一番。而2010年網絡購物的市場規模應該已超過4300億元。網購人群也大幅度增長,2009年至少在網上買過一次東西的中國網民數歷史性地突破了1億人,達到1.08億人,增長46%。而在2010年,使用過網絡購物的互聯網用戶更是接近2億人。網絡購物已經成為發展最迅速,與網民利益最相關的網絡應用。
與此相比,電子商務誠信環境卻不如人意,甚至隨著電子商務的發展而出現惡化的局勢。2010年,有近28%的互聯網用戶遭遇過虛假釣魚網站、詐騙交易、交易劫持、網銀被盜等針對網絡購物的安全攻擊。目前對我國網絡購物用戶威脅影響最嚴重的還是釣魚網站,在網購用戶所遭遇的安全威脅中有72.4%是釣魚網站的欺騙行為,2010年1-10月,平均每天新增的與網絡購物相關的釣魚網站約為1500個。釣魚網站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙、電話詐騙。
3.2.4電子商務信用管理現狀
因為電子商務交易的特殊性,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要。為防止電子商務的欺詐行為給網民帶來經濟上的損失,網絡企業以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統的建立,網絡誠信公約(自律)等等,但由于電子商務發展較晚,管理經驗不足,這些方法和系統存在較多的問題,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規范”,其中的誠信紅藍標識制度,認知度極低,據調查發現,有97%人不知紅藍標識的含義。就目前而言,在線信譽評估、等級系統,在設計完善的提前下,可以較為有效的降低了交易風險,因為其交易雙方的歷史信用表現,信用等級都是公開信息,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得,好的信用必然可以提升銷售量,這也從側面迫使銷售者提供最好的服務,避免了雙方欺詐行為。交易講究的誠信,信譽系統能最有效地維持雙方可信的商務關系。如目前國內最大的網購平臺淘寶網,它的網商信譽評價和信譽等級系統相對成熟,這種評價系統“為消費者提供了誠信、安全的購物保障,大大提升了網絡購物體驗”。但它依然存在相當多的問題,信用評價流程不合理,在買到相對低劣的產品時,你選擇退貨的同時就喪失了評價的權利,兩者只能選其一,那到底是留著不需要的產品而去評價,還是選擇退貨?惡意中差評現象猖獗,甚至出現惡意差評師這一職業,嚴重影響公平競爭。另外對于返修產品缺乏保障,筆者就遇到過產品寄回返修,遲遲沒有反應,損害消費者利益。信用可信度有待驗證,專業刷鉆組織的出現,使得信用體系的可靠性降低。
4電子商務安全立法現狀
電子商務因其帶來的經濟效益和流行發展趨勢而備受關注,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內的電子商務安全法律環境已成為國際社會的共識。要創造一個適應和規范電子商務安全交易、發展的法律境,政府部門職責首當其沖,在電子商務發展的監管和安全立法中發揮其主導作用。及時了解電子商務即時情況,制定出臺相應的安全保障法律法規,鼓勵、引導、電子商務健康發展,規范、維持必要的網絡市場秩序,這已經成為當前世界各國立法工作的重要任務。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規范辦法來推動本國電子商務安全、健康的發展,旨在抓住信息技術的機遇,提高自身競爭力,從而會的優勢,同時也減少電子商務的交易糾紛、欺詐行為,保障了交易的安全性,為電子商務在全球范圍內的發展掃平障礙。
4.1當前電子商務安全法律、制度尚不完善
電子商務因其基礎網絡這個開放又隱蔽的環境,而顯得比較特殊,其商貿交易行為需要有專門的法律來規范和秩序的維持,目前我國已經相繼出臺了部分法律法規、行為準則,設立了相應的部門來規范、監管和保證電子商務的安全。但與國際電子商務立法現狀和國內電子商務現實狀況相比,顯得比較尷尬。我國電子商務安全法律體系仍然存在較多空白,強針對性的立法需要加快,先行法規則亟需進一步改進和完善。電子商務安全法律的不足之處有:電子交易流程行為規范、用戶隱私保護、法律效力不足,法律滯后,情況描述不清,沒有有效懲戒措施,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經迫在眉睫。
4.2現有電子商務安全法律
現行電子商務安全法律,具有較強針對性質的較少,大多分散各類法規之中,或是零星提及電子交易安全問題,目前電子商務交易安全的法律法規主要有以下四類:
(1)綜合性的法律。如:《民法通則》和《刑法》中有關對商貿交易的安全保障條文。
(2)對交易主體進行規范的相關法律。如《公司法》、《國有企業法》、《集體企業法》、《私營企業法》、《外資企業法》等;
(3)規范交易行為的有關法律,包括經濟合同法、產品質量法、價格法、消費者權益保障法,反不正當競爭法等等
(4)對監督交易行為進行規范的法律,如會計法、票據法、銀行法等。
國務院頒布的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》和公安部頒發的《計算機信息網絡國際聯網安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐。
4.3電子商務安全立法困難的原因
電子商務發展壯大為商貿交易帶來極大便捷和迅速優越性,成為了經濟的強勁增長點,為全球經濟的發展營造了良好的氛圍,與此同時,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力。
首先電子商務的立法,需要考慮國家和地區之間的差異,協調困難。電子商務基于網絡,而網絡卻已經全球聯通、跨越了地域的界限。它所面對的不只是一個地區、一個國家的市場,而是全球一體化的大市場。各國由于社會制度、政治狀況、經濟發展程度等不同而導致了現行法律法規的不同,要制定可以有效協調、高度一體化的商業和法律規則,談何容易。
其次是電子商務交易處理、傳輸的實質就是對信號脈沖的傳輸和對數字流的處理,這種虛擬的平臺上,雙方的不曾謀面,使得信息資源對商家的商業信用提出了更高的要求。在信息得到廣泛傳播的同時,由于互聯網既開放又隱蔽的特性使得信息的真偽有待驗證,惡意的攻擊、惡意的失信難以發現,即使發現也難以揪出終端背后的那個失信或破壞者,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權、著作權、商標使用權、數據庫等在內的知識產權保護也成為無法回避的問題。電子商務橫跨領域之廣、利益關聯群體之多,和其有別于傳統商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰。
再次,電子信息領域,技術日新月異,電子商務領域的技術進步速度已經超國家適時地調整其法律框架的能力。法律的變革無法做到像電子技術更新一樣的快,也由于新的意想不到的問題的不斷出現,使得適時的法律調整總跟不上電子商務高速發展的步伐。這是需要我們對于現行法律框架從根本上進行反思,困難而想而知。
5電子商務安全立法的對策研究
5.1電子商務安全需求分析
5.1.1主要內容
電子商務是網上公開直接虛擬交易的商務模式,它直接通過網絡進行交易、支付、談判、下單等,在這個過程中蘊藏了大量的商務信息,所以,電子商務的安全問題引起了網民、企業、行業、國家的廣泛觀眾。根據電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:
1、信息的完整性;
2、信息的保密性;
3、信息的不可否認性;
4、交易雙方的真實身份信息;
5、系統的可靠性;
6、資金的安全性。
5.1.2涉及領域
通過吸收國外成功的經驗,結合我國自身電子商務發展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:
1、保護消費者的合法權益;
2、交易雙方的個人真實信息;
3、保密和信息的合法性訪問;
4、數字簽名以及第三方認證;
5、計算機犯罪和侵犯問題的有效控制。
5.2電子商務安全立法定位與模式
電子商務的安全法律保障問題,從其整體情況來看,主要表現為兩大層次:第一,電子商務首先表現的是商品交易模式,它的安全需要通過民商法來進行規范保護;第二,電子商務是通過計算機及網絡技術實現的,它的安全很大程度上依賴于計算機及網絡的自身安全程度,這需要網絡的安全管理法律來加以約束和保護。從第一點的角度來看,電子商務安全法律隸屬于商法的范圍。
因此,在立法過程中,重點還是需要從商法的角度,結合其依托計算機網絡技術的特色,從全面化的角度出發,制定出高效規范的電子商務安全法律。
從電子商務安全立法的模式角度出發,電子商務的安全法律主要有以下兩種選擇:第一,在電子商務交易活動的法律中加入電子商務安全性法律內容;第二,另外指定電子商務安全單行法。這兩種模式都有各自的優點和缺點,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜,所需資源多,但是保護力度大。在實際操作中,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系,同時也可有效解決資源浪費的問題。
5.3我國電子商務安全性立法的對策分析
5.3.1健全電子商務法律,注重法律的滯后性
健全的電子商務立法體系不僅要包括有網絡服務和網絡管理的法律制度,同時還需要電子商務主體的立法和市場管理制度,以及電子商務交易支付的法律制度、網上商務行為制度、電子稅法制度、客戶個人隱私權保護法。只有建立系統性的法律制度,才能真正發揮電子商務安全法的作用。
在加強電子商務安全法建設的同時,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現為法律立法的程序,這是個嚴格的過程,需要問題顯現的非常明白,并對該問題進行有充分的調研數據后,才可能形成立法的基本條件和背景,這個過程是繁瑣的,是復雜的,是需要長時間的。另外,法律要建立起威信,必須較長的時間,在這段長時間里,網絡的發展是非常快的,會發生不同程度內容的問題,而且這些問題會經常超過法律設定的范圍,這些問題在客觀上都表現為電子商務法律的滯后性,使得法律無法體現超前性,大大降低了法律的約束作用。
5.3.2加強立法部門對于電子商務的學習了解
立法部門在實際的工作經驗中,可能只是了解法律相關體系知識,對于電子商務交易模式、支付模式等相關內容可能存在誤解或者不了解的情況,這容易導致立法部門在立法的過程中,過于偏向法律的可行性,而忽略了電子商務法律的可行性。所以,加強立法部門對于電子商務的學習了解,使其真正深入了解電子商務整體運營過程以及涉及內容、存在的漏洞、需要加強的節點以及關聯的群體等內容,從根本上制定高效可行規范的電子商務安全法律,從而降低因誤解帶來的時間拖延、資源耗費等其他損失。
另外,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度,從思想上加強工作人員對于電子商務安全立法的注重,從而加快電子商務安全立法的實施進度。
5.2.3系統化完善,架構法律體系
我國電子商務的飛速發展,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時,應多加考慮它與其他法律之間的關聯度,從而架構其整體法律體系,進一步完善安全法律的有效性。具體內容如下:
1、在中國民法基本法原有的基礎上,增加交易安全的理念和內容;
2、在計算機與網絡安全管理的立法上,應針對電子商務在網絡虛擬環境下運行的特點,加強電子商務交易安全保護的法律措施。
3、在商事單行法的立法上,可以適當突破現有民法的一些制度,基于商法的特殊性及獨立性,滿足電子商務較高的安全保護需求。
4、在法律解釋上,全面清理我國最高人民法院作出的司法解釋,剔除掉不利于電子商務安全的言論,對電子商務的安全問題進行重新正確的認識和解釋。
5.2.4配套獎懲措施,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度,這里的獎懲措施具有兩個重要的含義:
第一,是對電子商務安全制度在實施過程出現的良性事件和惡性事件進行適當的獎勵和懲罰,或是進行高度的獎勵和懲罰,從而在加強良性循環的同時,對制度實施過程中的惡性事件作出嚴厲的懲罰,起到殺一儆百的作用,從而有效提高電子商務安全立法的實施力度和效果。
第二,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子,才會使得這些不法分子妄想鉆空子、踩地雷,這也是導致我國電子商務安全出現問題的一大關鍵因素。因此,建立電子商務獎懲措施,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識。
5.2.5借鑒國外成功經驗,結合自身特色國情
電子商務是全球性的電子商務,它是無國界、無種族之分的。所以,我國在建立電子商務安全法律時,可立足于國際立法的趨同性取向,借鑒國外成功的電子商務安全法律制度經驗,并且結合我國的自身特色國情。中國的電子商務安全法律,只有爭取與國際立法接軌,才能參與全球性的經濟競爭。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內容,同時根據《電子商務示范法》的總體精神以及自身國情,增加了部分內容。所以,我國在制定電子商務安全法律時,應盡量吸收國外原有的成果,再結合我國的特色國情,在降低立法成本、節省立法時間的同時,也提高電子商務安全法律的高效性和實用性。
6總結和展望
電子商務的安全問題是關系到電子商務能否繼續發展的關鍵因素。隨著我國計算機網絡科學的逐步發展,某些非法分子對于電子商務安全模式已經越來越熟悉,如果電子商務再不加強安全防范以及法律法規的嚴加約束,電子商務的安全將成為我國經濟法律的一大問題,這對我國經濟、網民、電子商務企業來說都是非常不利的。因此,盡快建立我國的電子商務安全立法,建立有效可行的電子商務安全法律法規,從國家政治制度角度出發,為我國的電子商務發展進行強而有力的安全管束,以促進我國電子商務行業穩步健康的發展。隨著我國電子商務的飛速發展,已經在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經成為我國法政界、金融界和學術界共同關注的熱點問題,因此,研究我國電子商務安全立法工作,建立科學高效的電子商務安全法律,為我國的電子商務的穩步健康發展奠定良好的基礎,具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務安全現狀以及立法存在的問題與對策。本研究以電子商務基本概念和特色為理論基礎,通過對我國電子商務的安全現狀進行分析,從而形成本研究的整體背景,接著分析我國安全立法的現狀以及存在的問題,最后結合自身所學知識,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助。但是由于水平的限制以及實際經驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段,使得本文在研究過程中遇到一些困難,加上文字功底不夠等等,影響到了研究的效果,使得論文尚有以下不足之處:
1、研究過程中,對于我國電子商務安全現狀只選取了幾個主要的現狀進行描述,考慮到本研究報告的篇幅問題,并沒有對全部的現狀進行描述。
2、在對我國電子商務安全立法的現狀進行分析時,只對我國電子商務安全問題的難點以及現狀進行代表性的描述,并未形成系統化的描述。
我校是全國第一個開辦信息安全本科專業的學校,該專業自2001年成立以來經歷了近七年的建設,于2007年獲批成為國家級特色專業建設點,2008年被授予“湖北省品牌專業”稱號。目前我校信息安全專業已經成為我國信息安全科學研究和人才培養的重要基地。
通過不斷地教學研究和實踐,我們基本認識了信息安全的學科特點和知識結構,提出了如下觀點:
(1)信息安全具有多學科交叉的特點。信息安全是計算機、通信、電子、數學、物理、生物、法律、管理、教育等多學科的交叉學科。
(2)信息安全技術具有整體性和底層性的特點。必須從整體上采取措施,從軟硬件底層采取措施,才能比較有效地解決信息安全問題。
(3)確保信息安全是一種系統工程。硬件結構安全和操作系統安全是信息系統安全的基礎,密碼、網絡安全等是關鍵技術,必須綜合采取各種措施才能奏效。
同時基本認識了信息安全專業人才培養的基本規律:
(1)信息安全人才的基本特征是:掌握信息安全的基本理論和基本技能。
(2)必須同時重視信息科學技術的基礎和信息安全的專業知識與技能。
(3)要高度重視實踐教學。必須有足夠的實踐教學,做好實驗室的基本設施建設,建立校外實習基地,加強實習基地建設。
雖然信息安全專業的建設取得了一定成績,但仍存在如下三個方面的問題:一是現有的教學培養模式注重基礎理論的學習,專業必修課與計算機科學與技術專業重疊太多,未能很好地體現信息安全專業以學信息安全理論與技術為主,兼學通信,同時加強數學、物理、法律等基礎,掌握信息安全的基本理論和技能的辦學思路。二是對學生的培養模式統一,沒能根據學生自身的特點進行培養,不能實現既培養了計算機及通信人才又培養信息安全專業技術人才的目標,沒能很好地起到分層次和分類別培養的效果。三是原有培養方案中的實驗課程大多數是課間實驗,實驗時間分散,多以驗證型實驗為主,學生參加課外科研和實踐的機制不健全,對實驗指導的重視程度不夠,不利于學生專業創新與創造能力的培養。
2信息安全人才培養模式改革與創新基本思路
在綜合考慮上述因素的前提下,結合信息安全專業人才培養的現狀,我們對人才培養目標進行了重新定位,改進和完善了現有專業人才培養方案,進行了培養過程和途徑的創新,并對教學和實踐教學環節及內容進行了改進。
2.1專業培養目標的重新定位
在認識了信息安全學科的特點、知識結構和人才培養基本規律的基礎上,我們對專業培養目標進行了重新定位。進一步明確了信息安全專業旨在培養能夠從事計算機、通信、電子信息、電子商務技術、電子金融、電子政務、軍事等領域的信息安全研究、應用、開發、管理等方面的高級技術人才。同時強調加強通識教育和實踐教學,重基礎、重發展、重能力、重創造,兼顧計算機學院學生必須的通識基礎、數學基礎、通信基礎、計算機軟硬件基礎、信息安全基礎之間的合理比重。
培養的學生應以學習計算機科學和信息安全理論與技術為基礎,兼學通信技術,同時加強數學、物理、法律和管理基礎。要求學生在信息安全理論基礎和實際能力兩個方面都得到培養提高:能閱讀本專業的外文資料。學生畢業后可從事信息安全領域的研究、應用、開發和管理等方面的工作。培養目標進一步分層次,按學生特點及去向分為研究型和應用型兩大類,區別培養,體現了人才培養的多樣化。
2.2改進和完善現有的專業人才培養方案
信息安全專業2001年成立以來,我們制訂出一套信息安全本科專業課程系統和教學計劃,并在全國開設信息安全本科專業的大學中推廣。為更好地提高人才培養質量,加強學生的理論水平與實際動手能力,我們先后進行了三次培養方案的修訂。
在改進的培養方案中,課程教學方案貫徹了“少而精”的原則,強化基礎知識、應用能力這兩極課程,減少、弱化了二者之間課程的分量;盡力合并傳統內容,增設新的、與當今信息安全技術發展同步的課程或內容;調整了專業必修課和選修課課程,將原培養方案中的專業選修課(“計算機病毒”、“信息隱藏技術”、“智能卡技術”)改為專業必修課;更加重視學生實踐動手能力的培養,努力建立學生自主創新學習為主導的學習機制,實現創新精神和能力的培養。
課程體系體現多學科交叉:開設“信息安全數學基礎”、“信息安全法律法規”、“通信原理”、“現代通信”等課程。
體現硬件系統的基礎作用:除了常規硬件類課程外,加開“大規模集成電路”、“智能卡技術”、“電磁防護與物理安全”、“嵌入式系統”等課程。
體現操作系統的基礎作用:除了“操作系統原理”,加開“Windows原理與應用”、“Linux原理與應用”,形成操作系統課程組。
體現密碼與網絡安全的關鍵作用:開設“密碼學”與“網絡安全”、“計算機病毒”、“網絡管理”、“網絡程序設計”等課程。
第四年的實習實踐教學內容配備了相應的實習管理制度和考核指標。要求學生在大學第二年成立專業學習興趣小組,制定了興趣小組的管理規定,為第四年實習實踐環節奠定良好的基礎。為了讓學生明確信息安全專業課程學習的順序關系,了解各專業課程之間的相互聯系,盡早樹立專業學習目標,還添加了信息安全專業課程關系圖,進一步完善了信息安全專業人才培養方案。
通過人才培養方案的改進和完善,達到了人才培養模式創新的目的,變不適應為適應,變不協調為協調,使我們培養的信息安全人才更加適應社會需要,符合中國國情,體現武漢大學“三創”復合型人才培養的特色。
2.3培養過程和途徑的創新思路
新的人才培養模式中,信息安全本科培養按“3+1”模式設置教學計劃,即前三年在學校修滿所有學分,完成全部課程學習,第四年按學生特點及去向分類安排不同的學習項目,完成培養方案中的實踐教學環節。推薦免試攻讀碩士學位的學生直接進入到導師的課題組,提前開始研究生階段的學習和研發工作;對準備就業的學生安排到用人單位或實習基地實習,并要求其在實習基地實習6個月以上,完成畢業論文;未推免并要求留在學校實習的學生安排在學院實驗室,按興趣分組,由專門的老師指導完成所分配的研究或開發項目。
新的培養方案已于2007年全面實施,“3+1”培養模式大大提高了畢業論文的質量,2003級信息安全專業畢業論文的優秀率達到了14%。
2.4進一步加強實踐教學
學院高度重視學生實踐動手能力的培養,為加強信息安全專業學生的創新能力,除安排一年的實習實踐以外,還將實驗課程由分散改為集中進行,由驗證型為主改為設計型為主。增加了“程序設計訓練”實踐課程為必修課,調整了“信息安全綜合實驗”課程的內容,將其變為一個綜合實踐、測試平臺。增加了部分課程的課內實驗學時,讓學生做到理論聯系實際,增加學生的計算機應用能力。
3實踐教學改革
新的人才培養模式促使信息安全專業實踐教學正在嘗試以下幾項新的改革措施:
3.1不斷改革實踐教學體系,增加實踐教學內容,改變實踐教學的實現方式
新的人才培養模式中,信息安全本科按“3+1”模式設置教學計劃,加大了教學實踐環節,并將實驗課程由分散進行改為集中進行,由驗證型為主改為設計型為主,加大了綜合設計、創新實驗、實訓實戰的比重。通過對集中實踐教學和課間實踐教學的課時調整,使實踐教學的課時數占總課時數的40%。
實驗教學在基礎實驗、綜合設計實驗、創新提高實驗、實訓平臺訓練、實習地實戰訓練、畢業設計與畢業論文六個層面開展,不同層面的要求、方法及形式有所不同。基礎驗證型實驗多采用課間實驗的方式,綜合設計型實驗一般在理論課后集中一或兩周進行,程序設計訓練和嵌入式設計不受時間限制,可跨越四年時間完成。對創新提高型實驗,可根據創新設計自主完成。實訓平臺訓練型實驗是在教師指導下分組合作,共同完成實訓項目。畢業設計與畢業論文可結合導師的科研工作提前開始,加強過程管理,強化答辯環節,確保質量。
3.2積極拓展校外實習基地,通過與企業合作,提高學生專業實踐能力
為提高學生實踐動手能力和社會適應能力,新的人才培養模式安排了一年的實習實踐。學生可以利用暑期或在校的第七、八個學期到實習基地進行認識實習、生產實習、畢業實習。并與企業項目相關的專業課程中,學生加深對理論的理解,掌握基本的實踐技能,提高解決實際問題的能力。
論文關鍵詞:信息系統;安全管理;體系
現代金融業是基于信息、高度計算化、分散、相互依存的產業,有人形象地把信息系統歸結為銀行業的“核心資本”。金融信息化帶來的是銀行業務信息系統在網絡結構、業務關系、角色關系等方面的復雜化。而越是復雜的系統,其安全風險就越高。在系統中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調查的機構承認2002年曾受到一定形式的系統攻擊;美國聯邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構。這些統計數字和報道出的事件,只是我們面臨信息系統安全威脅的冰山一角,因此加速建設金融信息系統中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證,是金融信息系統安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監控和安全反擊,才能使信息系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統安全的重要基礎,是金融信息系統安全保障體系建設最為重要的一環。為在金融信息系統中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統安全管理體系是在金融信息系統安全保障整體解決方案基礎上構建的,它包括信息安全法規、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融信息系統前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融信息系統的安全態勢、發生了哪些攻擊、出現了什么異常、系統存在什么漏洞以及產生了哪些危險日志等,因此安全監控功能對于金融信息系統的安全保障體系來說是至關重要的。
1)基于實時性的安全監控。通過在線方式管理金融信息系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2)基于智能化的安全監控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統中報警信息的可信度。
3)基于可視化的安全監控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監控理解,使安全系統的管理更為有效。
4)基于分布式的安全監控。通過系統分布式的多級部署方式,可以實現對金融信息系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統的安全系統中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全設備、網絡設備、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2)動態響應策略調整。通過對各種安全響應協議的支持,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統安全事件的調查中是非常有用的工具,通過對系統安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。因此,加強金融信息系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統的安全,在金融信息系統內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統設備的運行穩定可靠和信息系統運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,以提高自身的動態防御能力;完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統安全管理的法律法規及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯網應急響應管理措施,對關鍵設施或系統制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統審計提供依據。
關鍵詞:信息安全;學科建設;人才培養
中圖分類號:G64 文獻標識碼:B
文章編號:1672-5913(2007)23-0053-05
1信息安全的形勢是嚴峻的
隨著計算機和網絡在軍事、政治、金融、商業等部門的廣泛應用,社會對計算機和網絡的依賴越來越大。因此,確保計算機和網絡系統的安全已成為世人關注的社會問題,并因此成為計算機科學的熱點研究領域。
計算機和網絡系統存在安全缺陷,世界主要工業國家每年因利用計算機犯罪所造成的經濟損失,遠遠超過普通經濟犯罪所造成的經濟損失。計算機病毒已對計算機系統的安全構成極大的威脅。“黑客”入侵已成為危害計算機信息安全的普遍性、多發性事件。
社會的信息化導致第三次軍事革命,信息戰、網絡戰成為新的重要作戰形式。美國最早提出信息戰的概念,并于1995年1月成立“信息戰執行委員會”。1995年海灣戰爭和2003年的伊拉克戰爭期間,美國成功地對伊拉克發動了信息戰。2007年美國軍方正式成立網絡作戰司令部,進一步提升了網絡作戰的地位。
我國在信息系統的基礎性硬件和基礎軟件方面缺少自主知識產權的產品,普遍使用國外的產品,而這些產品中都存在著“后門”,從而使我國的信息系統都存在一定的安全隱患。
由上可見,目前信息安全的形勢是嚴峻的。
2信息安全的概念
2.1信息系統安全的概念
信息系統的安全包括信息系統的設備安全、數據安全、內容安全和行為安全四個方面。即,
信息系統安全=設備安全+數據安全+內容安全+行為安全。
中文安全一詞=英文詞Security + Safety,其中Security是指阻止人為惡意地對安全的危害,Safety是指阻止非人為對安全的危害。
① 設備安全
信息系統設備的安全是信息系統安全的首要問題。這里包括三個側面:設備的穩定性(Stability)、設備的可靠性(Reliability)和設備的可用性(Availabity)。這里的設備包括硬設備和軟設備。
② 數據安全
信息系統的設備安全了還不能保證其中的數據一定是安全的。確保數據安全就是采取措施確保數據免受未授權的泄露、篡改和毀壞。
數據安全也包括三個側面:數據的秘密性(Secrecy),數據的真實性(Authenticity),數據的完整性(Integrity)。而且,為了數據安全必須采取措施,必須付出代價,其代價就是資源:時間和空間。
③ 內容安全
信息系統的設備和數據安全了還不能保證數據的內容一定是安全的。內容安全是信息安全在法律、政治、道德層次上的要求。
④ 行為安全
確保行為安全是信息安全的終極目的。行為安全也包括行為的秘密性、行為的完整性和行為的可控性三個側面。其中,行為的秘密性是指行為的過程和結果不能危害數據秘密性,而且在需要時行為的過程和結果本身也應當是秘密的。行為的完整性是指行為的過程和結果不能危害數據完整性,而且行為的過程和結果是預期的。行為的可控性是指當行為的過程出現偏離預期時,能夠及時發現、控制或糾正。
2.2確保信息安全的措施
① 確保信息安全的措施主要包括法律措施、教育措施、管理措施、技術措施。
② 確保信息安全的技術措施
確保信息安全的技術措施主要包括硬件系統安全技術、操作系統安全技術、密碼技術、通信安全技術、網絡安全技術、數據庫安全技術、病毒防治技術、防電磁輻射技術、信息隱藏技術、數字知識產權保護技術、電子對抗技術、容錯技術。
每一種技術措施可能對付某種安全威脅更有效,但是任何一種技術措施都不可能解決信息安全的所有問題。
因為硬件是信息系統的最底層,操作系統是軟件的最底層,其他都要靠硬件和操作系統的支持。因此,信息系統硬件結構的安全和操作系統的安全是信息系統安全的基礎,密碼、網絡安全等技術是關鍵技術。
確保信息安全是一個系統工程,必須綜合采取各種措施才能奏效。
3武漢大學信息安全學科建設實踐
2001年經教育部批準,武漢大學創建了全國第一個信息安全本科專業。2003年經國務院學位辦批準,武漢大學又創建了信息安全碩士點、博士點和博士后產業基地,從而形成了信息安全人才培養的完整體系。截至今年7月,武漢大學已經有三屆信息安全本科生圓滿畢業。對于我國的信息安全學科建設與人才培養作出了貢獻。
3.1形成了有特色的武漢大學辦信息安全專業的辦學思路
武漢大學信息安全本科專業辦在計算機學院,依托計算機學科辦學,經過六年的教育實踐,形成了自己的有特色的辦學思路:以學信息安全科學技術為主,兼學計算機和通信,同時加強數學、物理、法律等基礎,掌握信息安全的基本理論和基本技能,培養良好的品德素質。這一辦學思路受到廣大學生和家長的歡迎,同時也得到國家信息安全領導機構的好評。
3.2掌握了信息安全學科的學科特點和知識結構
作為一個學科,信息安全有其自身的特點。
① 信息安全具有多學科交叉的特點
信息安全是計算機、通信、電子、數學、物理、生物、法律、管理、教育等多學科的交叉學科。
② 信息安全對人的品德素質要求高
信息安全事關國家安全,許多畢業生將到國家重要部門工作,對人的品德素質要求高。
③ 法律、管理、教育對信息安全作用極大
絕不可忽視法律、管理、教育的作用。俗話說“七分管理,三分技術”,這話是有道理的。因為信息安全領域的問題是人的問題。因此,法律、管理、教育對信息安全作用極大。
④ 確保信息安全是一種系統工程
確保信息安全是一種系統工程,必須綜合采取各種措施才能奏效。而且具有一票否決的特點。一個系統由100個子系統構成,如果99個子系統是安全的,只有1個是不安全的,則整個系統是不安全的。只有100個子系統都是安全的,系統才是安全的。
⑤ 信息安全技術具有整體性和底層性的特點
技術上,必須從整體上采取措施,從軟硬件底層采取措施,才能比較有效地解決信息安全問題。
因為硬件是信息系統的最底層,操作系統是軟件的最底層,其他都要靠這兩者的支持,所以硬件結構的安全和操作系統的安全是信息系統安全的基礎。但是光有基礎還是不夠的,還必須有密碼、網絡安全等關鍵技術的整體配合。每一種技術措施可能對付某種安全威脅更有效,但是任何一種技術措施都不可能解決信息安全的所有問題。例如,密碼是確保信息傳輸過程和存儲狀態下安全保密的有效技術,但是密碼卻不能殺病毒。反之,任何殺病毒軟件也不能當密碼用。
這就體現了信息安全的整體性和底層性特點。
⑥ 信息安全具有極強的理論聯系實際的特點
信息安全領域中的一些分支具有很深入的理論性,但是它們的應用卻又是非常實際的。因此,理論與實踐必須很好地結合,二者缺一不可。
3.3提出了一些新的學術觀點
通過教學與科研實踐,我們提出了一系列新的學術觀點。如:“信息不能脫離信息系統而獨立存在。因此,不能脫離信息系統安全,而談信息安全。”“信息系統的安全包括信息系統的設備安全、數據安全、內容安全和行為安全四個方面。”“硬件結構安全和操作系統安全是信息系統安全的基礎,密碼、網絡安全等技術是關鍵技術。”
這些學術觀點被國內許多專家、領導所引用,在全國產生了較大的影響。當然,隨著教學和科研實踐的積累,認識會進一步提高和發展,這些觀點也會隨之提高和發展。
3.4明確了信息安全專業人才培養的基本規律
因為信息安全學科具有自己的學科特點和知識結構,因此信息安全專業的畢業生應當具有自己的基本特征。
(1)熱愛祖國、品德優良、身體健康,掌握信息安全的基本理論和基本技能
全國各個學校的情況不同,因此辦學的思路也不盡相同。例如,有的學校的信息安全專業依托計算機學科,有的學校的信息安全專業依托通信學科。也有的學校的信息安全專業依托數學學科,以密碼學作為教學的重點。還有的學校的信息安全專業依托商學學科,以電子商務安全作為教學的重點。不管把信息安全專業依托在什么學科,信息安全本科人才應當具備的上述基本條件不能變。
(2) 必須同時重視信息科學技術的基礎和信息安全的專業知識與技能
信息是信息安全的基礎,如果沒有信息,便沒有信息安全。因此,學生必須首先學習計算機、通信、電子等信息科學技術基礎,否則便無法深刻理解和掌握信息安全技術,信息安全便成為無本之木、無源之水。其次是要學好信息安全的專業基礎課和專業課,否則就不是信息安全專業了。兩者都要學好,不可偏廢。
(3) 既堅持多學科交叉,又堅持少而精,有所學,有所不學
值得注意的是,信息安全具有多學科交叉特性,它是計算機、通信、電子、數學、物理、生物、法律、管理、教育等多學科交叉的產物。因此,除了信息安全之外,學生還必須學習計算機、通信、電子、數學、物理、法律等學科的基本知識。但是,學生的教學時數是有限的,不可能學習這么多課程。因此,應當從中學習一些主要的內容,堅持少而精,有所學,有所不學。
(4) 重視實踐教學
信息安全學科具有極強的理論聯系實際的特點,必須有足夠的實踐教學。否則便不能掌握信息安全的基本技能,也不能很好地掌握信息安全的基本理論。實驗室是實驗教學的基本設施,開辦信息安全專業就應當建立信息安全實驗室。僅有實驗室還是不夠的,有條件的學校還應建立校外實習基地。
(5) 重視學生的品德素質教育
信息安全事關國家安全,許多畢業生將到國家重要部門工作,因此對人的品德素質要求高。這就要求我們不僅要重視知識教育,還要重視品德素質教育。學生的品德素質既要靠教育,更要靠養成,要把這一工作貫穿到學生學習和生活的全過程中。
3.5編制出全國第一個“信息安全本科專業教學計劃”和“信息安全專業課程大綱”
六年來,我們對教學計劃和課程大綱不斷修改。目前又制定出2006年版的教學計劃和課程大綱。我們教學計劃和課程大綱被全國幾十所大學借鑒或采用。對全國信息安全學科建設和人才培養產生了廣泛的影響。這一教學計劃和課程大綱體現了信息安全學科的學科特點和知識結構。六年來的辦學實踐證明這一教學計劃和課程大綱是成功的。
3.6編寫出版了全國第一套信息安全本科專業教材
目前已經出版:《密碼學引論》、《網絡安全》、《網絡多媒體信息安全保密技術》、《信息隱藏技術與應用》、《信息安全法教程》、《計算機病毒分析與對抗》、《網絡程序設計》、《信息安全綜合實驗教程》、《計算機網絡管理實用教程》、《信息安全數學基礎》。
翻譯出版國外著名信息安全教材:《密碼編制學與網絡安全》(第三版、第四版)、《信息安全原理與實踐》、《橢圓曲線密碼學引論》。
3.7建立了全國第一個信息安全教學實驗室
學校和學院共同投資700多萬元,建立了兩個信息安全教學實驗室:“網絡安全實驗室”和“信息安全綜合實驗室”。編寫出版了實驗教材。實驗室除了能夠支持信息安全本科生進行教學實驗外,還能夠支持信息安全專業研究生和教師的科學研究。信息安全實驗室的建立極大地改善了信息安全的教學和科研條件。
3.8建設校外實習基地
目前,我們與12企業建立了信息安全專業學生實習基地,每年信息安全專業的學生都到這些企業進行實習。這樣作的好處是,學生可以直接參與企業的技術研發和生產實踐,提高了學生的實際動手能力,增強了學生和企業的相互了解,促進了學生的就業。通過實習,許多學生就在實習企業就業了,學生找到滿意的企業,企業找到了滿意的學生。近兩年已有60多名信息安全本科生參加了各企業的實習實訓。其中有一部分學生還在企業完成畢業設計的全過程。
通過建立校外實習基地,不僅為學生提供了實習場地,而且開拓了學校與企業科研合作的渠道。我院教師與企業的合作科研項目,每年多達幾十項,因此,每年都有大量本科生直接參加與企業的合作科研項目。
4武漢大學信息安全本科人才培養實踐
4.1信息安全專業人才培養的宗旨
武漢大學信息安全專業旨在培養能夠從事計算機、通信、電子信息、電子政務、電子商務、電子金融、軍事等領域的信息安全研究、應用、開發、管理等方面的高級技術人才。
4.2組織學生興趣小組
從二年級開始,組織學生興趣小組,每個興趣小組由5-10名學生組成。在指導老師的指導下,開展課程內容討論、興趣實驗、學術交流、社會調查等活動。通過興趣小組的活動,提高學生對學習信息安全專業的興趣,啟發了學生的創新思想。
4.3組織學生參與科研及學術活動
我們鼓勵學生積極開展大學生科研活動,積極參加各種學習競賽和科研競賽。通過科研活動和競賽活動,培養提高學生分析問題、解決問題和創新的能力。
近三年里,信息安全專業本科生獲得學校和學院的大學生科研立項60余項。獲湖北省大學生優秀科研成果14項。
積極參加了全國“挑戰杯”大學生課外學術科技作品競賽、國際微軟嵌入式競賽、ACM競賽、數學建模競賽,等,并獲得很好的成績,獲獎人數達50多人次。
4.4招生與就業情況
信息安全專業自2001年以來,一共招收了678余名本科生。畢業三屆畢業生共299人,其中出國的12人,攻讀碩士學位的68人,其余畢業生直接就業。畢業生就業情況一年比一年好。2001級畢業生的一次就業率為90%,2002級畢業生的一次就業率為91%,2003年畢業生一次就業率上升為94%。參加工作的學生的主要去向是政府有關管理部門、金融、與信息安全技術有關的企事業單位。
5武漢大學信息安全本科專業課程體系
武漢大學信息安全本科專業的課程體系體現了武漢大學關于信息安全專業的辦學思路。體現了信息安全的多學科交叉、理論與實踐結合和涉及國家安全等特殊性。體現了培養熱愛祖國、品德優良、身體健康,掌握信息安全的基本理論和基本技能的信息安全本科人才的基本要求。
在德育方面除了常規的政治思想課外,增設“信息安全法律法規”課程。在數學基礎方面除了常規的數學課程外,增設了“信息安全數學基礎”課。為了體現硬件系統安全和操作系統安全的在信息安全中的基礎地位,除了常規的硬件類的課程和操作系統原理課程外,分別增設硬件類課程:“嵌入式系統”、“大規模集成電路應用”、“智能卡技術”;操作系統類課程:“Linux原理與應用”、“Windows原理與應用”。為了體現其他信息安全關鍵技術,開設:“密碼學”、“網絡安全”、“信息隱藏技術”、“計算機病毒”、“電磁防護與物理安全”、“電子對抗導論”等課程。為了體現兼學通信,增設“通信原理”和“現代通信”課程。為了加強理論連系實際,主要課程均開設配套的實驗課,另外還進行“信息安全綜合實驗”。
6武漢大學信息安全本科專業教學計劃
根據我們的實際情況和辦專業思路,我們編制了武漢大學信息安全本科專業教學計劃。目前制定的2006年版的教學計劃,按照“3+1”模式實施教學。所謂“3+1”模式,就是學生前三年在學校修滿所有學分,完成全部課程學習,第四年按學生特點及畢業去向分類安排不同的教學項目,完成培養方案中的實踐教學環節。
7信息安全的學科建設促進了信息安全領域的科學研究
武漢大學在信息安全領域中的密碼學、可信計算、網絡安全和信息系統安全等方面完成并承擔著一批國家與省部級重要科研課題,并取得了一些有影響的研究成果,形成了自己的學科特色和優勢。武漢大學已經成為我國信息安全科學研究和人才培養的重要基地。信息安全領域的科學研究促進了武漢大學信息安全專業的學科建設和人才培養。與中國信息安全產品測評認證中心合作,武漢大學建立了“中國信息安全產品互操作性測評中心”;與湖北省軍區聯合建立了“信息網絡技術研究中心”;另外還建立了“國家計算機緊急響應協調中心.武漢大學省級應急支撐中心”。
這些科研機構的建立大大加強了武漢大學在信息安全領域的研究實力,同時為學生參加科研實踐提供了支持。
武漢大學在信息安全研究領域取得了一些國內外有影響的研究成果:
(1) 理論成果:
① 提出演化密碼的概念和用演化計算設計密碼的方法,并獲得實際成功。通過演化計算設計出的DES的S盒,在安全性方面超過DES原來的S盒,并以此構成演化DES密碼。此外,在BENT函數的分析與產生、HASH函數的分析與設計、密碼的演化分析等方面也獲得成功。
② 對有限自動機公鑰密碼的安全性理論有較深入的研究,成功地破譯了FAPKC0和FAPKC3的一個實例,發展了有限自動機公鑰密碼的安全性理論。
③ 對網絡的安全免疫等方面有較深入的研究,建立了網絡的安全免疫實驗系統。
④ 對糾字節錯誤碼有較深入研究,部分成果用于銀河Ⅱ巨型計算機。
(2) 技術成果
與企業合作研制出我國第一臺可信計算機。
與企業合作研制出我國第一款可信計算平臺模塊芯片(TPM)及其操作系統系統(JetOS)。
在國家863計劃的支持下,研制出多種密碼芯片和可信PDA。
研制出網絡安全軟件系統,并得到實際應用。
研制開發出多種信息安全應用產品,為企業創造出巨大的經濟效益。
8小結
我們創辦信息安全本科專業的時間不長,對信息安全本科專業的辦學規律還沒有完全掌握。因此,還存在許多缺點和不足。我們將虛心學習兄弟院校的長處,取長補短,改進我們的工作。
我們相信,在社會各界的關心和指導下,在兄弟院校的幫助下,武漢大學的信息安全本科專業將越辦越好,為國家培養出大批優秀的信息安全本科人才!
參考文獻
[1] 張煥國.試論信息安全人才培養,信息安全縱論,湖北科學技術出版社[M],2002.
[2] 張煥國,等.信息安全本科專業的人才培養與課程體系[J].高等理科教育,2004,2.
[3] 張煥國,等.信息安全學科建設與人才培養的研究與實踐.計算機系主任(院長)會議論文集.高等教育出版社,2005.
[4] 蔡吉人.加強電子政務中的密碼保障體系的思考,信息安全縱論.湖北科學技術出版社,2002.
[5] 沈昌祥.關于加強信息安全保障體系的思考,信息安全縱論,湖北科學技術出版社,2002.
[6] 屈延文.軟件行為學.電子工業出版社,2004.