導語:在信息安全法律法規(guī)論文的撰寫旅程中�,學習并吸收他人佳作的精髓是一條寶貴的路徑����,好期刊匯集了九篇優(yōu)秀范文����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感����,引領您探索更多的創(chuàng)作可能。
第1篇
論文提要:當今世界已進入了信息化時代���,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標準�。黨的十七大明確提出了一條“以信息化帶動工業(yè)化����,以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分����,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題�。
一、信息化的內(nèi)涵�、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經(jīng)過40多年的發(fā)展�,信息化已成為各國社會發(fā)展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)�,主要表現(xiàn)在知識性、中介性�、可轉(zhuǎn)化性、可再生性和無限應用性���。由于其特殊性質(zhì)造成信息資源存在可能被篡改����、偽造、竊取以及截取等安全隱患����,造成信息的丟失、泄密����,甚至造成病毒的傳播,從而導致信息系統(tǒng)的不安全性�,給國家的信息化建設帶來不利影響。因此�,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內(nèi)容:真實性���,保證信息的來源真實可靠;機密性�,信息即使被截獲也無法理解其內(nèi)容;完整性�,信息的內(nèi)容不會被篡改或破壞;可用性����,能夠按照用戶需要提供可用信息�;可控性���,對信息的傳播及內(nèi)容具有控制能力�;不可抵賴性���,用戶對其行為不能進行否認���;可審查性,對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段�。與傳統(tǒng)的安全問題相比,基于網(wǎng)絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性���。由于因特網(wǎng)與生俱來的開放性特點����,從網(wǎng)絡架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點���,通過網(wǎng)絡主體之間的聯(lián)系是匿名的���、開放的�,而不是封閉的����、保密的。這種先天的技術(shù)弱點導致網(wǎng)絡易受攻擊�。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡基礎設施的建設與因特網(wǎng)的普及而迅速擴大���。由于因特網(wǎng)的龐大系統(tǒng)�,造成了病毒極易滋生和傳播����,從而導致信息危害。
三是信息安全中的智能性���、隱蔽性特點�。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為�,而網(wǎng)絡環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞���、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的�,不受時間和地點的約束����,犯罪行為實施后對機器硬件的信息載體可以不受任何損失���,甚至不留任何痕跡����,給偵破和定罪帶來困難����。
信息安全威脅主要來源于自然災害、意外事故���;計算機犯罪����;人為錯誤���,比如使用不當�,安全意識差等����;“黑客”行為���;內(nèi)部泄密;外部泄密����;信息丟失;電子諜報���,比如信息流量分析�、信息竊取等�;信息戰(zhàn);網(wǎng)絡協(xié)議自身缺陷�,等等。
二���、我國信息化中的信息安全問題
近年來���,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行���、對國際信息安全事務的積極參與以及關于信息安全的法律建設環(huán)境日益完善等因素���,我國在信息安全管理上的進展是迅速的�。但是�,由于我國的信息化建設起步較晚�,相關體系不完善,法律法規(guī)不健全等諸多因素���,我國的信息化仍然存在不安全問題�。
1�、信息與網(wǎng)絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速���,各個企業(yè)紛紛設立自己的網(wǎng)站�,特別是“政府上網(wǎng)工程”全面啟動后�,各級政府已陸續(xù)設立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設備����、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設備����,整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱����,在網(wǎng)絡黑客攻擊的國家中����,中國是最大的受害國�。
2、對引進的國外設備和軟件缺乏有效的管理和技術(shù)改造�。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設備����,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機���。3���、我國基礎信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴重依賴國外����,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品���。我國信息網(wǎng)絡所使用的網(wǎng)管設備和軟件基本上來自國外���,這使我國的網(wǎng)絡安全性能大大減弱����,被認為是易窺視和易打擊的“玻璃網(wǎng)”���。由于缺乏自主技術(shù),我國的網(wǎng)絡處于被竊聽�、干擾、監(jiān)視和欺詐等多種信息安全威脅中����,網(wǎng)絡安全處于極脆弱的狀態(tài)。
4����、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡進行攻擊�,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡犯罪,例如傳播病毒����、竊取他人網(wǎng)絡銀行賬號密碼等。
5、在研究開發(fā)���、產(chǎn)業(yè)發(fā)展�、人才培養(yǎng)����、隊伍建設等方面與迅速發(fā)展的形勢極不適應。
造成以上問題的相關因素在于:首先����,我國的經(jīng)濟基礎薄弱,在信息產(chǎn)業(yè)上的投入還是不足����,尤其是在核心和關鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次�,全民信息安全意識淡薄,警惕性不高�。大多數(shù)計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高���。
除此之外���,我國目前信息技術(shù)領域的不安全局面�,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關���。
三���、相關解決措施
針對我國信息安全存在的問題,要實現(xiàn)信息安全不但要靠先進的技術(shù)����,還要有嚴格的法律法規(guī)和信息安全教育。
1�、加強全民信息安全教育���,提高警惕性�。從小做起���,從己做起�,有效利用各種信息安全防護設備����,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力����,從而促進整個系統(tǒng)的信息安全���。
2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)���,加大信息產(chǎn)業(yè)投入����。增強自主創(chuàng)新意識�,加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品����,減小對國外產(chǎn)品的依賴程度。
3���、創(chuàng)造良好的信息化安全支撐環(huán)境����。完善我國信息安全的法規(guī)體系���,制定相關的法律法規(guī)����,例如信息安全法、數(shù)字簽名法�、電子信息犯罪法、電子信息出版法����、電子信息知識產(chǎn)權(quán)保護法、電子信息個人隱私法�、電子信息進出境法等,加大對網(wǎng)絡犯罪和信息犯罪的打擊力度����,對其進行嚴厲的懲處。
4����、高度重視信息安全基礎研究和人才的培養(yǎng)�。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應大力培養(yǎng)信息安全專業(yè)人才����,建立信息安全人才培養(yǎng)體系。
5����、加強國際防范���,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡與生俱有的開放性���、交互性和分散性等特征�,產(chǎn)生了許多安全問題�,要保證信息安全,必須積極參與國際合作�,通過吸收和轉(zhuǎn)化有關信息網(wǎng)絡安全管理的國際法律規(guī)范,防范來自世界各地的黑客入侵����,加強信息網(wǎng)絡安全。
第2篇
中國如今的電子商務市場一直保持著40-50%的市場增長率����,它的交易規(guī)模已經(jīng)占到了中國消費總額的5%,并開始表現(xiàn)出明顯的GDP拉動力���。從2009年起����,中國的電子商務表現(xiàn)出來星火燎原般的勢態(tài),可以預測的是:中國的電子商務�,必將成就中國另一輪的經(jīng)濟飛躍。
2緒論
伴隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展���,電子商務從零到有�,并逐步向高水平�、規(guī)范化發(fā)展。十年來中國電子商務始終保持40-50%的高速發(fā)展�,2009年的中國電子商務并為受到全球金融危機的影響,相反卻在金融危機中爆發(fā)出更強的生命力和適應力�。2009年中國電子商務市場規(guī)模超過35000億元,同比增長48.5%����,高于2008年的41.2%。
電子商務的安全法律是指為了保障電子商務在交易過程中的安全性����,由國家政府相關部門出臺的對交易過程進行保護的法律����。目前,我國就電子商務安全問題已經(jīng)進行了初步的法律立項實施�,但是依然存在較大的漏洞和隱患����,需要國家相關部門進一步加強����。
安全管理是有效降低我國電子商務交易過程中存在風險的重要手段,特別是在交易過程中�,交易雙方進行電子合同簽訂,安全中心不僅要監(jiān)督買方的及時付款����,同時還要監(jiān)督賣方是否提供與合同一致的貨物。在這些交易環(huán)節(jié)中����,由于網(wǎng)絡虛擬交易的緣故,存在非常大的安全管理隱患�。為了有效防止這些安全隱患的爆發(fā),降低風險帶來的損失和傷害����,需要國家政府出善的法律保護制度,形成一套互相關聯(lián)����、互相約束的管理制度體系���。
3.電子商務安全
3.1電子商務安全概述
電子商務的運行和交易是基于計算機網(wǎng)絡平臺而展開的,所以安全問題大體上可以分為計算機網(wǎng)絡安全和電子商務系統(tǒng)本身交易安全����。沒有網(wǎng)絡,電子商務就不可能存在�,網(wǎng)絡作為基礎,其安全性與電子商務安關系密切����,在網(wǎng)絡安全的前提下,電子商務系統(tǒng)特有的設計加以保障�,兩者相輔相成實現(xiàn)電子商務的整體安全。通俗的說���,電子商務的安全就是“電子”和“商務”雙重要求下的安全����。
3.2國內(nèi)電子商務安全問題現(xiàn)狀
3.2.1信息安全環(huán)境
2010年����,由中國互聯(lián)網(wǎng)絡信息中心(CNNIC)和國家互聯(lián)網(wǎng)應急中心(CNCERT)在京聯(lián)合的《2009年中國網(wǎng)民網(wǎng)絡信息安全狀況調(diào)查系列報告》中顯示���,2009年�,52%的網(wǎng)民曾遭遇過網(wǎng)絡安全事件,網(wǎng)民處理安全事件所支出的相關服務費用共計153億元人民幣����。電子商務發(fā)展所面臨的信息安全問題嚴重。根據(jù)相關調(diào)查顯示�,90%以上的網(wǎng)民計算機遭遇過病毒、木馬�、黑客的攻擊,電子商務交易的安全環(huán)境已經(jīng)受到了嚴重影響�。
3.2.2技術(shù)與意識現(xiàn)狀
電子商務的安全需要信息技術(shù)和使用者意識的同步跟進和提高,才能使交易真正安全����。目前國內(nèi)兩方面因素同時存在,導致電子商務交易安全性下降����。一是技術(shù)方面:國內(nèi)防御殺毒軟件整體水平較低,查殺效率和效果不佳�,部分電子商務平臺設計存在缺陷,為電子交易安全埋下隱患����。二是網(wǎng)民����、使用者意識方面:相比于高發(fā)的網(wǎng)絡安全事件�,仍有4.4%的網(wǎng)民個人計算機未安裝任何安全軟件;不足8%的手機網(wǎng)民安裝手機安全防護軟件����,網(wǎng)民安全意識仍有待進一步提升;
盜版軟件使用泛濫����;軟件認知低,不懂得區(qū)分使用����;交易雙方欠缺誠信,即使交易在設計較為完善的電子商務平臺上進行�,依然存在欺騙行為。
3.2.3電子商務誠信環(huán)境
隨著互聯(lián)網(wǎng)的發(fā)展���,網(wǎng)絡購物(B2B����、B2C)作為電子商務的其中分支之一,已經(jīng)成為了一種消費時尚���、熱門購物渠道。據(jù)中國互聯(lián)網(wǎng)絡信息中心的數(shù)據(jù)顯示:2009年我國網(wǎng)購市場交易規(guī)模為2500億元�,較2008年翻了一番。而2010年網(wǎng)絡購物的市場規(guī)模應該已超過4300億元�。網(wǎng)購人群也大幅度增長,2009年至少在網(wǎng)上買過一次東西的中國網(wǎng)民數(shù)歷史性地突破了1億人���,達到1.08億人���,增長46%。而在2010年����,使用過網(wǎng)絡購物的互聯(lián)網(wǎng)用戶更是接近2億人。網(wǎng)絡購物已經(jīng)成為發(fā)展最迅速���,與網(wǎng)民利益最相關的網(wǎng)絡應用�。
與此相比����,電子商務誠信環(huán)境卻不如人意�,甚至隨著電子商務的發(fā)展而出現(xiàn)惡化的局勢���。2010年���,有近28%的互聯(lián)網(wǎng)用戶遭遇過虛假釣魚網(wǎng)站、詐騙交易�、交易劫持、網(wǎng)銀被盜等針對網(wǎng)絡購物的安全攻擊����。目前對我國網(wǎng)絡購物用戶威脅影響最嚴重的還是釣魚網(wǎng)站,在網(wǎng)購用戶所遭遇的安全威脅中有72.4%是釣魚網(wǎng)站的欺騙行為����,2010年1-10月,平均每天新增的與網(wǎng)絡購物相關的釣魚網(wǎng)站約為1500個����。釣魚網(wǎng)站的典型的詐騙方式主要分為三大類:低價誘惑、交談詐騙�、電話詐騙。
3.2.4電子商務信用管理現(xiàn)狀
因為電子商務交易的特殊性�,交易雙方不曾謀面,所以關于電子商務的信用管理就顯得尤為重要�。為防止電子商務的欺詐行為給網(wǎng)民帶來經(jīng)濟上的損失���,網(wǎng)絡企業(yè)以及第三方電子商務平臺都相繼實行信譽管理方法,如信譽評價和信譽等級系統(tǒng)的建立�,網(wǎng)絡誠信公約(自律)等等,但由于電子商務發(fā)展較晚�,管理經(jīng)驗不足,這些方法和系統(tǒng)存在較多的問題���,有待提升。如中國電子商務誠信評價中心推出“中國電子商務誠信評價規(guī)范”����,其中的誠信紅藍標識制度,認知度極低�,據(jù)調(diào)查發(fā)現(xiàn),有97%人不知紅藍標識的含義���。就目前而言���,在線信譽評估、等級系統(tǒng)�,在設計完善的提前下,可以較為有效的降低了交易風險����,因為其交易雙方的歷史信用表現(xiàn)����,信用等級都是公開信息����,可以作為買賣雙方交易選擇的參考,且其失信成本遠遠大于其利益獲得���,好的信用必然可以提升銷售量����,這也從側(cè)面迫使銷售者提供最好的服務���,避免了雙方欺詐行為���。交易講究的誠信,信譽系統(tǒng)能最有效地維持雙方可信的商務關系�。如目前國內(nèi)最大的網(wǎng)購平臺淘寶網(wǎng),它的網(wǎng)商信譽評價和信譽等級系統(tǒng)相對成熟�,這種評價系統(tǒng)“為消費者提供了誠信、安全的購物保障���,大大提升了網(wǎng)絡購物體驗”���。但它依然存在相當多的問題����,信用評價流程不合理����,在買到相對低劣的產(chǎn)品時,你選擇退貨的同時就喪失了評價的權(quán)利�,兩者只能選其一�,那到底是留著不需要的產(chǎn)品而去評價,還是選擇退貨���?惡意中差評現(xiàn)象猖獗����,甚至出現(xiàn)惡意差評師這一職業(yè)����,嚴重影響公平競爭。另外對于返修產(chǎn)品缺乏保障���,筆者就遇到過產(chǎn)品寄回返修�,遲遲沒有反應,損害消費者利益����。信用可信度有待驗證,專業(yè)刷鉆組織的出現(xiàn)�,使得信用體系的可靠性降低。
4電子商務安全立法現(xiàn)狀
電子商務因其帶來的經(jīng)濟效益和流行發(fā)展趨勢而備受關注���,其安全立法問題也得到了國際性組織和各國政府的高度重視,盡快營造全球范圍內(nèi)的電子商務安全法律環(huán)境已成為國際社會的共識����。要創(chuàng)造一個適應和規(guī)范電子商務安全交易���、發(fā)展的法律境,政府部門職責首當其沖���,在電子商務發(fā)展的監(jiān)管和安全立法中發(fā)揮其主導作用。及時了解電子商務即時情況����,制定出臺相應的安全保障法律法規(guī),鼓勵、引導、電子商務健康發(fā)展,規(guī)范�、維持必要的網(wǎng)絡市場秩序,這已經(jīng)成為當前世界各國立法工作的重要任務�。電子商務的廣泛性和無界性使得世界各國紛紛出臺相應法律、行為準則和規(guī)范辦法來推動本國電子商務安全����、健康的發(fā)展,旨在抓住信息技術(shù)的機遇,提高自身競爭力�,從而會的優(yōu)勢,同時也減少電子商務的交易糾紛、欺詐行為����,保障了交易的安全性,為電子商務在全球范圍內(nèi)的發(fā)展掃平障礙。
4.1當前電子商務安全法律���、制度尚不完善
電子商務因其基礎網(wǎng)絡這個開放又隱蔽的環(huán)境,而顯得比較特殊����,其商貿(mào)交易行為需要有專門的法律來規(guī)范和秩序的維持,目前我國已經(jīng)相繼出臺了部分法律法規(guī)����、行為準則,設立了相應的部門來規(guī)范����、監(jiān)管和保證電子商務的安全����。但與國際電子商務立法現(xiàn)狀和國內(nèi)電子商務現(xiàn)實狀況相比���,顯得比較尷尬����。我國電子商務安全法律體系仍然存在較多空白�,強針對性的立法需要加快,先行法規(guī)則亟需進一步改進和完善���。電子商務安全法律的不足之處有:電子交易流程行為規(guī)范�、用戶隱私保護�、法律效力不足,法律滯后�,情況描述不清,沒有有效懲戒措施�,難以對電子商務中的失信者和破壞者造成較強的約束力。因此強快電子商務安全法律立法和改進已經(jīng)迫在眉睫����。
4.2現(xiàn)有電子商務安全法律
現(xiàn)行電子商務安全法律�,具有較強針對性質(zhì)的較少����,大多分散各類法規(guī)之中,或是零星提及電子交易安全問題���,目前電子商務交易安全的法律法規(guī)主要有以下四類:
(1)綜合性的法律���。如:《民法通則》和《刑法》中有關對商貿(mào)交易的安全保障條文。
(2)對交易主體進行規(guī)范的相關法律����。如《公司法》、《國有企業(yè)法》�、《集體企業(yè)法》、《私營企業(yè)法》���、《外資企業(yè)法》等����;
(3)規(guī)范交易行為的有關法律�,包括經(jīng)濟合同法、產(chǎn)品質(zhì)量法�、價格法、消費者權(quán)益保障法���,反不正當競爭法等等
(4)對監(jiān)督交易行為進行規(guī)范的法律�,如會計法����、票據(jù)法、銀行法等���。
國務院頒布的《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》和公安部頒發(fā)的《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》是兩個對電子商務具有重大影響的行政法規(guī)���。
另外《中華人民共和國電子簽名法》的頒布也具有重要意義。該法賦予電子簽名與手寫簽名或蓋章具有同等的法律效力����,明確了電子認證服務的市場準入制度,標志著我國的信息化立法邁出重要步伐����。
4.3電子商務安全立法困難的原因
電子商務發(fā)展壯大為商貿(mào)交易帶來極大便捷和迅速優(yōu)越性,成為了經(jīng)濟的強勁增長點����,為全球經(jīng)濟的發(fā)展營造了良好的氛圍,與此同時���,因為其特點,也對社會各個領域特別是立法帶來了困難和壓力�。
首先電子商務的立法,需要考慮國家和地區(qū)之間的差異�,協(xié)調(diào)困難。電子商務基于網(wǎng)絡�,而網(wǎng)絡卻已經(jīng)全球聯(lián)通、跨越了地域的界限����。它所面對的不只是一個地區(qū)、一個國家的市場,而是全球一體化的大市場���。各國由于社會制度����、政治狀況����、經(jīng)濟發(fā)展程度等不同而導致了現(xiàn)行法律法規(guī)的不同,要制定可以有效協(xié)調(diào)�、高度一體化的商業(yè)和法律規(guī)則,談何容易。
其次是電子商務交易處理���、傳輸?shù)膶嵸|(zhì)就是對信號脈沖的傳輸和對數(shù)字流的處理,這種虛擬的平臺上���,雙方的不曾謀面,使得信息資源對商家的商業(yè)信用提出了更高的要求����。在信息得到廣泛傳播的同時,由于互聯(lián)網(wǎng)既開放又隱蔽的特性使得信息的真?zhèn)斡写炞C,惡意的攻擊���、惡意的失信難以發(fā)現(xiàn)����,即使發(fā)現(xiàn)也難以揪出終端背后的那個失信或破壞者�,有法難斷或者有法卻找不到應受懲罰的人,而且對于包括制作版權(quán)���、著作權(quán)����、商標使用權(quán)�、數(shù)據(jù)庫等在內(nèi)的知識產(chǎn)權(quán)保護也成為無法回避的問題����。電子商務橫跨領域之廣�、利益關聯(lián)群體之多,和其有別于傳統(tǒng)商務模式的無形化給稅收體制及稅收管理模式也帶來了巨大的挑戰(zhàn)����。
再次,電子信息領域,技術(shù)日新月異���,電子商務領域的技術(shù)進步速度已經(jīng)超國家適時地調(diào)整其法律框架的能力���。法律的變革無法做到像電子技術(shù)更新一樣的快,也由于新的意想不到的問題的不斷出現(xiàn),使得適時的法律調(diào)整總跟不上電子商務高速發(fā)展的步伐�。這是需要我們對于現(xiàn)行法律框架從根本上進行反思,困難而想而知�。
5電子商務安全立法的對策研究
5.1電子商務安全需求分析
5.1.1主要內(nèi)容
電子商務是網(wǎng)上公開直接虛擬交易的商務模式,它直接通過網(wǎng)絡進行交易���、支付���、談判、下單等����,在這個過程中蘊藏了大量的商務信息����,所以�,電子商務的安全問題引起了網(wǎng)民���、企業(yè)���、行業(yè)、國家的廣泛觀眾����。根據(jù)電子商務的交易模式以及重要性分析,電子商務的安全需求主要包括以下幾個方面:
1����、信息的完整性;
2����、信息的保密性;
3���、信息的不可否認性���;
4���、交易雙方的真實身份信息;
5����、系統(tǒng)的可靠性;
6����、資金的安全性。
5.1.2涉及領域
通過吸收國外成功的經(jīng)驗�,結(jié)合我國自身電子商務發(fā)展特色以及社會主義國情特色,我國電子商務安全性的立法主要涉及以下幾大方面:
1���、保護消費者的合法權(quán)益����;
2�、交易雙方的個人真實信息;
3、保密和信息的合法性訪問�;
4、數(shù)字簽名以及第三方認證�;
5、計算機犯罪和侵犯問題的有效控制�。
5.2電子商務安全立法定位與模式
電子商務的安全法律保障問題,從其整體情況來看�,主要表現(xiàn)為兩大層次:第一,電子商務首先表現(xiàn)的是商品交易模式���,它的安全需要通過民商法來進行規(guī)范保護;第二�,電子商務是通過計算機及網(wǎng)絡技術(shù)實現(xiàn)的,它的安全很大程度上依賴于計算機及網(wǎng)絡的自身安全程度���,這需要網(wǎng)絡的安全管理法律來加以約束和保護����。從第一點的角度來看���,電子商務安全法律隸屬于商法的范圍����。
因此,在立法過程中���,重點還是需要從商法的角度����,結(jié)合其依托計算機網(wǎng)絡技術(shù)的特色�,從全面化的角度出發(fā),制定出高效規(guī)范的電子商務安全法律�。
從電子商務安全立法的模式角度出發(fā),電子商務的安全法律主要有以下兩種選擇:第一�,在電子商務交易活動的法律中加入電子商務安全性法律內(nèi)容;第二�,另外指定電子商務安全單行法。這兩種模式都有各自的優(yōu)點和缺點����,前者的立法成本低但是保護力度不夠強,后者的立法程序復雜���,所需資源多�,但是保護力度大���。在實際操作中�,到底選擇哪種模式,也是當下法律界正在研究分析的重點問題�。本文提出的建議是分為兩步走:先采用第一種模式,等條件成熟后而且又加強的需要����,再進行第二種模式的立法。這樣不僅可以快速成立相關法律體系�,同時也可有效解決資源浪費的問題。
5.3我國電子商務安全性立法的對策分析
5.3.1健全電子商務法律���,注重法律的滯后性
健全的電子商務立法體系不僅要包括有網(wǎng)絡服務和網(wǎng)絡管理的法律制度���,同時還需要電子商務主體的立法和市場管理制度���,以及電子商務交易支付的法律制度���、網(wǎng)上商務行為制度、電子稅法制度���、客戶個人隱私權(quán)保護法����。只有建立系統(tǒng)性的法律制度,才能真正發(fā)揮電子商務安全法的作用���。
在加強電子商務安全法建設的同時���,同時也應該注重法律的滯后性帶來的法律效力減弱。法律的滯后性首先表現(xiàn)為法律立法的程序�,這是個嚴格的過程,需要問題顯現(xiàn)的非常明白���,并對該問題進行有充分的調(diào)研數(shù)據(jù)后���,才可能形成立法的基本條件和背景,這個過程是繁瑣的���,是復雜的���,是需要長時間的。另外,法律要建立起威信,必須較長的時間����,在這段長時間里���,網(wǎng)絡的發(fā)展是非?�?斓?��,會發(fā)生不同程度內(nèi)容的問題,而且這些問題會經(jīng)常超過法律設定的范圍����,這些問題在客觀上都表現(xiàn)為電子商務法律的滯后性,使得法律無法體現(xiàn)超前性�����,大大降低了法律的約束作用�����。
5.3.2加強立法部門對于電子商務的學習了解
立法部門在實際的工作經(jīng)驗中���,可能只是了解法律相關體系知識,對于電子商務交易模式��、支付模式等相關內(nèi)容可能存在誤解或者不了解的情況�,這容易導致立法部門在立法的過程中���,過于偏向法律的可行性,而忽略了電子商務法律的可行性����。所以,加強立法部門對于電子商務的學習了解���,使其真正深入了解電子商務整體運營過程以及涉及內(nèi)容�、存在的漏洞���、需要加強的節(jié)點以及關聯(lián)的群體等內(nèi)容�,從根本上制定高效可行規(guī)范的電子商務安全法律��,從而降低因誤解帶來的時間拖延����、資源耗費等其他損失。
另外����,加強立法部門對于電子商務的學習了解的同時,應加強立法部門工作人員對于電子商務立法的重視度���,從思想上加強工作人員對于電子商務安全立法的注重����,從而加快電子商務安全立法的實施進度。
5.2.3系統(tǒng)化完善��,架構(gòu)法律體系
我國電子商務的飛速發(fā)展�,對電子商務中的安全問題提出了更高的要求。在建立我國電子商務安全法律時���,應多加考慮它與其他法律之間的關聯(lián)度�,從而架構(gòu)其整體法律體系����,進一步完善安全法律的有效性。具體內(nèi)容如下:
1����、在中國民法基本法原有的基礎上,增加交易安全的理念和內(nèi)容�;
2、在計算機與網(wǎng)絡安全管理的立法上��,應針對電子商務在網(wǎng)絡虛擬環(huán)境下運行的特點����,加強電子商務交易安全保護的法律措施。
3��、在商事單行法的立法上����,可以適當突破現(xiàn)有民法的一些制度,基于商法的特殊性及獨立性�,滿足電子商務較高的安全保護需求。
4����、在法律解釋上,全面清理我國最高人民法院作出的司法解釋�����,剔除掉不利于電子商務安全的言論���,對電子商務的安全問題進行重新正確的認識和解釋�。
5.2.4配套獎懲措施��,提高安全法律威信度
獎懲措施是任何制度得以有效實施的保障制度�,這里的獎懲措施具有兩個重要的含義:
第一���,是對電子商務安全制度在實施過程出現(xiàn)的良性事件和惡性事件進行適當?shù)莫剟詈蛻土P,或是進行高度的獎勵和懲罰��,從而在加強良性循環(huán)的同時��,對制度實施過程中的惡性事件作出嚴厲的懲罰�����,起到殺一儆百的作用���,從而有效提高電子商務安全立法的實施力度和效果�����。
第二�,是對進行非法盜取電子商務信息或是破壞電子商務交易的不法分子進行嚴厲的法律制裁�,以及對保護電子商務安全的良好事跡進行表揚。我國目前針對盜取電子商務信息或是破壞電子商務交易的不法分子還未建立有效的不法分子�,才會使得這些不法分子妄想鉆空子、踩地雷�,這也是導致我國電子商務安全出現(xiàn)問題的一大關鍵因素。因此,建立電子商務獎懲措施�,有利于提高對不法分子的控制以及提高人民對電子商務安全的保護意識�。
5.2.5借鑒國外成功經(jīng)驗,結(jié)合自身特色國情
電子商務是全球性的電子商務���,它是無國界����、無種族之分的��。所以��,我國在建立電子商務安全法律時��,可立足于國際立法的趨同性取向�����,借鑒國外成功的電子商務安全法律制度經(jīng)驗�,并且結(jié)合我國的自身特色國情。中國的電子商務安全法律�,只有爭取與國際立法接軌,才能參與全球性的經(jīng)濟競爭��。例如,新加坡在制定《電子&交易法案》時幾乎全部采用了《電子商務示范法》的相關內(nèi)容����,同時根據(jù)《電子商務示范法》的總體精神以及自身國情,增加了部分內(nèi)容�。所以,我國在制定電子商務安全法律時��,應盡量吸收國外原有的成果���,再結(jié)合我國的特色國情����,在降低立法成本���、節(jié)省立法時間的同時�����,也提高電子商務安全法律的高效性和實用性�。
6總結(jié)和展望
電子商務的安全問題是關系到電子商務能否繼續(xù)發(fā)展的關鍵因素����。隨著我國計算機網(wǎng)絡科學的逐步發(fā)展����,某些非法分子對于電子商務安全模式已經(jīng)越來越熟悉���,如果電子商務再不加強安全防范以及法律法規(guī)的嚴加約束�����,電子商務的安全將成為我國經(jīng)濟法律的一大問題,這對我國經(jīng)濟����、網(wǎng)民、電子商務企業(yè)來說都是非常不利的�。因此,盡快建立我國的電子商務安全立法�,建立有效可行的電子商務安全法律法規(guī),從國家政治制度角度出發(fā)�����,為我國的電子商務發(fā)展進行強而有力的安全管束�,以促進我國電子商務行業(yè)穩(wěn)步健康的發(fā)展。隨著我國電子商務的飛速發(fā)展��,已經(jīng)在我國人民生活中扮演的越來越重要的角色,電子商務的安全立法問題已經(jīng)成為我國法政界��、金融界和學術(shù)界共同關注的熱點問題�,因此,研究我國電子商務安全立法工作�����,建立科學高效的電子商務安全法律�����,為我國的電子商務的穩(wěn)步健康發(fā)展奠定良好的基礎����,具有非常重要的理論意義和實踐意義。
本文研究的主要貢獻在于:探討了我國電子商務安全現(xiàn)狀以及立法存在的問題與對策���。本研究以電子商務基本概念和特色為理論基礎��,通過對我國電子商務的安全現(xiàn)狀進行分析�,從而形成本研究的整體背景����,接著分析我國安全立法的現(xiàn)狀以及存在的問題�����,最后結(jié)合自身所學知識���,提出改善我國電子商務安全法律的對策,希望對電子商務安全立法工作的開展能提供一些幫助�。但是由于水平的限制以及實際經(jīng)驗的不足,加上我國目前電子商務法律問題整體上處于不成熟與多樣化的階段�����,使得本文在研究過程中遇到一些困難�,加上文字功底不夠等等����,影響到了研究的效果,使得論文尚有以下不足之處:
1�����、研究過程中�,對于我國電子商務安全現(xiàn)狀只選取了幾個主要的現(xiàn)狀進行描述,考慮到本研究報告的篇幅問題�,并沒有對全部的現(xiàn)狀進行描述�。
2�、在對我國電子商務安全立法的現(xiàn)狀進行分析時,只對我國電子商務安全問題的難點以及現(xiàn)狀進行代表性的描述���,并未形成系統(tǒng)化的描述�。
第3篇
我校是全國第一個開辦信息安全本科專業(yè)的學校��,該專業(yè)自2001年成立以來經(jīng)歷了近七年的建設���,于2007年獲批成為國家級特色專業(yè)建設點��,2008年被授予“湖北省品牌專業(yè)”稱號�。目前我校信息安全專業(yè)已經(jīng)成為我國信息安全科學研究和人才培養(yǎng)的重要基地��。
通過不斷地教學研究和實踐�,我們基本認識了信息安全的學科特點和知識結(jié)構(gòu),提出了如下觀點:
(1)信息安全具有多學科交叉的特點����。信息安全是計算機、通信���、電子��、數(shù)學��、物理��、生物����、法律、管理��、教育等多學科的交叉學科���。
(2)信息安全技術(shù)具有整體性和底層性的特點�����。必須從整體上采取措施,從軟硬件底層采取措施�����,才能比較有效地解決信息安全問題��。
(3)確保信息安全是一種系統(tǒng)工程���。硬件結(jié)構(gòu)安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎����,密碼、網(wǎng)絡安全等是關鍵技術(shù)���,必須綜合采取各種措施才能奏效���。
同時基本認識了信息安全專業(yè)人才培養(yǎng)的基本規(guī)律:
(1)信息安全人才的基本特征是:掌握信息安全的基本理論和基本技能。
(2)必須同時重視信息科學技術(shù)的基礎和信息安全的專業(yè)知識與技能�����。
(3)要高度重視實踐教學���。必須有足夠的實踐教學�,做好實驗室的基本設施建設����,建立校外實習基地,加強實習基地建設��。
雖然信息安全專業(yè)的建設取得了一定成績,但仍存在如下三個方面的問題:一是現(xiàn)有的教學培養(yǎng)模式注重基礎理論的學習�,專業(yè)必修課與計算機科學與技術(shù)專業(yè)重疊太多,未能很好地體現(xiàn)信息安全專業(yè)以學信息安全理論與技術(shù)為主���,兼學通信����,同時加強數(shù)學�、物理、法律等基礎���,掌握信息安全的基本理論和技能的辦學思路�����。二是對學生的培養(yǎng)模式統(tǒng)一�����,沒能根據(jù)學生自身的特點進行培養(yǎng),不能實現(xiàn)既培養(yǎng)了計算機及通信人才又培養(yǎng)信息安全專業(yè)技術(shù)人才的目標�,沒能很好地起到分層次和分類別培養(yǎng)的效果。三是原有培養(yǎng)方案中的實驗課程大多數(shù)是課間實驗����,實驗時間分散����,多以驗證型實驗為主�,學生參加課外科研和實踐的機制不健全,對實驗指導的重視程度不夠���,不利于學生專業(yè)創(chuàng)新與創(chuàng)造能力的培養(yǎng)��。
2信息安全人才培養(yǎng)模式改革與創(chuàng)新基本思路
在綜合考慮上述因素的前提下���,結(jié)合信息安全專業(yè)人才培養(yǎng)的現(xiàn)狀,我們對人才培養(yǎng)目標進行了重新定位����,改進和完善了現(xiàn)有專業(yè)人才培養(yǎng)方案,進行了培養(yǎng)過程和途徑的創(chuàng)新����,并對教學和實踐教學環(huán)節(jié)及內(nèi)容進行了改進。
2.1專業(yè)培養(yǎng)目標的重新定位
在認識了信息安全學科的特點�、知識結(jié)構(gòu)和人才培養(yǎng)基本規(guī)律的基礎上,我們對專業(yè)培養(yǎng)目標進行了重新定位�����。進一步明確了信息安全專業(yè)旨在培養(yǎng)能夠從事計算機、通信�����、電子信息�����、電子商務技術(shù)�����、電子金融���、電子政務��、軍事等領域的信息安全研究����、應用�、開發(fā)、管理等方面的高級技術(shù)人才����。同時強調(diào)加強通識教育和實踐教學,重基礎����、重發(fā)展、重能力�����、重創(chuàng)造�����,兼顧計算機學院學生必須的通識基礎���、數(shù)學基礎��、通信基礎���、計算機軟硬件基礎、信息安全基礎之間的合理比重�����。
培養(yǎng)的學生應以學習計算機科學和信息安全理論與技術(shù)為基礎,兼學通信技術(shù)�,同時加強數(shù)學、物理�����、法律和管理基礎���。要求學生在信息安全理論基礎和實際能力兩個方面都得到培養(yǎng)提高:能閱讀本專業(yè)的外文資料�����。學生畢業(yè)后可從事信息安全領域的研究���、應用、開發(fā)和管理等方面的工作���。培養(yǎng)目標進一步分層次��,按學生特點及去向分為研究型和應用型兩大類����,區(qū)別培養(yǎng)����,體現(xiàn)了人才培養(yǎng)的多樣化�����。
2.2改進和完善現(xiàn)有的專業(yè)人才培養(yǎng)方案
信息安全專業(yè)2001年成立以來,我們制訂出一套信息安全本科專業(yè)課程系統(tǒng)和教學計劃�,并在全國開設信息安全本科專業(yè)的大學中推廣。為更好地提高人才培養(yǎng)質(zhì)量����,加強學生的理論水平與實際動手能力,我們先后進行了三次培養(yǎng)方案的修訂�����。
在改進的培養(yǎng)方案中��,課程教學方案貫徹了“少而精”的原則���,強化基礎知識�����、應用能力這兩極課程���,減少��、弱化了二者之間課程的分量��;盡力合并傳統(tǒng)內(nèi)容��,增設新的�、與當今信息安全技術(shù)發(fā)展同步的課程或內(nèi)容�;調(diào)整了專業(yè)必修課和選修課課程,將原培養(yǎng)方案中的專業(yè)選修課(“計算機病毒”�、“信息隱藏技術(shù)”、“智能卡技術(shù)”)改為專業(yè)必修課��;更加重視學生實踐動手能力的培養(yǎng)�,努力建立學生自主創(chuàng)新學習為主導的學習機制,實現(xiàn)創(chuàng)新精神和能力的培養(yǎng)���。
課程體系體現(xiàn)多學科交叉:開設“信息安全數(shù)學基礎”��、“信息安全法律法規(guī)”���、“通信原理”、“現(xiàn)代通信”等課程�。
體現(xiàn)硬件系統(tǒng)的基礎作用:除了常規(guī)硬件類課程外�,加開“大規(guī)模集成電路”�、“智能卡技術(shù)”、“電磁防護與物理安全”����、“嵌入式系統(tǒng)”等課程。
體現(xiàn)操作系統(tǒng)的基礎作用:除了“操作系統(tǒng)原理”���,加開“Windows原理與應用”、“Linux原理與應用”���,形成操作系統(tǒng)課程組�。
體現(xiàn)密碼與網(wǎng)絡安全的關鍵作用:開設“密碼學”與“網(wǎng)絡安全”��、“計算機病毒”�、“網(wǎng)絡管理”、“網(wǎng)絡程序設計”等課程��。
第四年的實習實踐教學內(nèi)容配備了相應的實習管理制度和考核指標�����。要求學生在大學第二年成立專業(yè)學習興趣小組���,制定了興趣小組的管理規(guī)定��,為第四年實習實踐環(huán)節(jié)奠定良好的基礎�����。為了讓學生明確信息安全專業(yè)課程學習的順序關系����,了解各專業(yè)課程之間的相互聯(lián)系,盡早樹立專業(yè)學習目標���,還添加了信息安全專業(yè)課程關系圖��,進一步完善了信息安全專業(yè)人才培養(yǎng)方案�����。
通過人才培養(yǎng)方案的改進和完善���,達到了人才培養(yǎng)模式創(chuàng)新的目的,變不適應為適應�,變不協(xié)調(diào)為協(xié)調(diào),使我們培養(yǎng)的信息安全人才更加適應社會需要,符合中國國情���,體現(xiàn)武漢大學“三創(chuàng)”復合型人才培養(yǎng)的特色��。
2.3培養(yǎng)過程和途徑的創(chuàng)新思路
新的人才培養(yǎng)模式中����,信息安全本科培養(yǎng)按“3+1”模式設置教學計劃�����,即前三年在學校修滿所有學分����,完成全部課程學習�,第四年按學生特點及去向分類安排不同的學習項目,完成培養(yǎng)方案中的實踐教學環(huán)節(jié)��。推薦免試攻讀碩士學位的學生直接進入到導師的課題組��,提前開始研究生階段的學習和研發(fā)工作����;對準備就業(yè)的學生安排到用人單位或?qū)嵙暬貙嵙暎⒁笃湓趯嵙暬貙嵙?個月以上,完成畢業(yè)論文�����;未推免并要求留在學校實習的學生安排在學院實驗室���,按興趣分組�,由專門的老師指導完成所分配的研究或開發(fā)項目�。
新的培養(yǎng)方案已于2007年全面實施,“3+1”培養(yǎng)模式大大提高了畢業(yè)論文的質(zhì)量�����,2003級信息安全專業(yè)畢業(yè)論文的優(yōu)秀率達到了14%�。
2.4進一步加強實踐教學
學院高度重視學生實踐動手能力的培養(yǎng),為加強信息安全專業(yè)學生的創(chuàng)新能力��,除安排一年的實習實踐以外�����,還將實驗課程由分散改為集中進行�,由驗證型為主改為設計型為主。增加了“程序設計訓練”實踐課程為必修課�,調(diào)整了“信息安全綜合實驗”課程的內(nèi)容,將其變?yōu)橐粋€綜合實踐、測試平臺����。增加了部分課程的課內(nèi)實驗學時,讓學生做到理論聯(lián)系實際����,增加學生的計算機應用能力。
3實踐教學改革
新的人才培養(yǎng)模式促使信息安全專業(yè)實踐教學正在嘗試以下幾項新的改革措施:
3.1不斷改革實踐教學體系��,增加實踐教學內(nèi)容���,改變實踐教學的實現(xiàn)方式
新的人才培養(yǎng)模式中���,信息安全本科按“3+1”模式設置教學計劃,加大了教學實踐環(huán)節(jié)�����,并將實驗課程由分散進行改為集中進行���,由驗證型為主改為設計型為主,加大了綜合設計���、創(chuàng)新實驗���、實訓實戰(zhàn)的比重�����。通過對集中實踐教學和課間實踐教學的課時調(diào)整����,使實踐教學的課時數(shù)占總課時數(shù)的40%�。
實驗教學在基礎實驗、綜合設計實驗����、創(chuàng)新提高實驗、實訓平臺訓練���、實習地實戰(zhàn)訓練��、畢業(yè)設計與畢業(yè)論文六個層面開展���,不同層面的要求、方法及形式有所不同�?���;A驗證型實驗多采用課間實驗的方式�,綜合設計型實驗一般在理論課后集中一或兩周進行,程序設計訓練和嵌入式設計不受時間限制��,可跨越四年時間完成����。對創(chuàng)新提高型實驗,可根據(jù)創(chuàng)新設計自主完成�����。實訓平臺訓練型實驗是在教師指導下分組合作���,共同完成實訓項目����。畢業(yè)設計與畢業(yè)論文可結(jié)合導師的科研工作提前開始�����,加強過程管理��,強化答辯環(huán)節(jié)��,確保質(zhì)量��。
3.2積極拓展校外實習基地�����,通過與企業(yè)合作���,提高學生專業(yè)實踐能力
為提高學生實踐動手能力和社會適應能力����,新的人才培養(yǎng)模式安排了一年的實習實踐���。學生可以利用暑期或在校的第七�、八個學期到實習基地進行認識實習����、生產(chǎn)實習、畢業(yè)實習�。并與企業(yè)項目相關的專業(yè)課程中,學生加深對理論的理解���,掌握基本的實踐技能�,提高解決實際問題的能力。
第4篇
論文關鍵詞:信息系統(tǒng);安全管理;體系
現(xiàn)代金融業(yè)是基于信息����、高度計算化、分散���、相互依存的產(chǎn)業(yè),有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”���。金融信息化帶來的是銀行業(yè)務信息系統(tǒng)在網(wǎng)絡結(jié)構(gòu)、業(yè)務關系����、角色關系等方面的復雜化。而越是復雜的系統(tǒng),其安全風險就越高����。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據(jù)2003年一項對全球前500家金融機構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機構(gòu)承認2002年曾受到一定形式的系統(tǒng)攻擊;美國聯(lián)邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構(gòu)�。這些統(tǒng)計數(shù)字和報道出的事件,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設金融信息系統(tǒng)中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)�、數(shù)據(jù)備份、防病毒到近期網(wǎng)絡環(huán)境下的防火墻����、入侵檢測、漏洞掃描����、身份認證等等。但事實上,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意,許多復雜�����、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的����。據(jù)有關部門統(tǒng)計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成�。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證,是金融信息系統(tǒng)安全體系建設的重點�。
1安全管理體系構(gòu)建
信息安全源于有效的管理,使技術(shù)發(fā)揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監(jiān)控和安全反擊,才能使信息系統(tǒng)的安全維持在一個較高的水平之上����。因此,安全管理體系的建設是確保信息系統(tǒng)安全的重要基礎,是金融信息系統(tǒng)安全保障體系建設最為重要的一環(huán)。為在金融信息系統(tǒng)中建立全新的安全管理機制,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)�����、措施和制度與整體安全解決方案相結(jié)合,并輔之以相應的安全管理工具,構(gòu)建科學、合理的安全管理體系�。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎上構(gòu)建的,它包括信息安全法規(guī)、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示�。
2安全管理平臺
安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺,它包括安全預警管理、安全監(jiān)控管理���、安全防護與響應管理和安全反擊管理��。
2.1安全預警管理
安全預警管理的功能由預警系統(tǒng)實現(xiàn),通過該系統(tǒng),可以在安全風險動態(tài)威脅和影響金融信息系統(tǒng)前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網(wǎng)業(yè)務中斷�、效能損失或?qū)ζ涔娦抛u造成危害,達到提前保護自己的作用��。安全預警系統(tǒng)通過追蹤最新的攻擊技術(shù),分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然����。
2.2安全監(jiān)控管理
通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊����、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關重要的���。
1)基于實時性的安全監(jiān)控���。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件,及時關注IT資源和安全風險的現(xiàn)狀和趨勢,通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能����。
2)基于智能化的安全監(jiān)控���。利用智能信息處理技術(shù)對信息網(wǎng)絡中的各種安全事件進行智能處理,實現(xiàn)報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統(tǒng)中報警信息的可信度。
3)基于可視化的安全監(jiān)控��。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關聯(lián)關系圖等,提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景,實現(xiàn)對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解,使安全系統(tǒng)的管理更為有效���。
4)基于分布式的安全監(jiān)控����。通過系統(tǒng)分布式的多級部署方式,可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監(jiān)控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求�。
2.3安全防護與響應管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護的目的。通過安全防護與響應管理可以及時響應和優(yōu)化整個系統(tǒng)安全防護策略;最直接的響應就是提供多種方式,如報警燈�����、窗日���、郵件�、手機短信等向安全管理員報警,然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。
1)優(yōu)化安全策略分析��。通過實時掌握自身的安全態(tài)勢,及各種安全設備��、網(wǎng)絡設備���、安全系統(tǒng)和業(yè)務系統(tǒng)的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優(yōu)化調(diào)整�����。
2)動態(tài)響應策略調(diào)整���。通過對各種安全響應協(xié)議的支持,如SNMP、TOPSEC���、聯(lián)動協(xié)議等,實現(xiàn)相關的安全防護技術(shù)策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題��。
3)安全服務自動協(xié)調(diào)��。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調(diào)派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護�。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊�。
1)安全事件的取證管理。取證在網(wǎng)絡與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析,實現(xiàn)對安全事件的取證管理,給相關調(diào)查人員提供安全事件的直接取證����。
2)安全事件的追蹤反擊�����。通過資源狀態(tài)分析���、關聯(lián)分析、專家系統(tǒng)分析等有效手段,檢測到攻擊類型,并定位攻擊源���。隨后,系統(tǒng)自動對目標進行掃描,并將掃描結(jié)果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管理技術(shù)手段的基礎上,還要提高安全管理水平����。俗話說“三分技術(shù),七分管理”,由于金融信息系統(tǒng)相對比較封閉,對于金融信息系統(tǒng)安全來說,業(yè)務邏輯和操作規(guī)范的嚴密程度是關鍵。因此,加強金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領導組織體系,完善落實內(nèi)控制度,強化日常操作管理,是提升安全管理水平的根本�����。
1)完善安全管理機構(gòu)的建設�����。目前,我國已經(jīng)把信息安全提到了促進經(jīng)濟發(fā)展�、維護社會穩(wěn)定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御�、綜合防范”的信息安全管理方針,專門成立了網(wǎng)絡與信息安全領導小組、國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)���、中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系����。為確保金融信息系統(tǒng)的安全,在金融信息系統(tǒng)內(nèi)部應組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略,具體包括安全管理人員的義務和職責��、安全配置管理策略�、系統(tǒng)連接安全策略、傳輸安全策略�����、審計與入侵安全策略����、標簽策略、病毒防護策略���、安全備份策略�����、物理安全策略�����、系統(tǒng)安全評估體系等內(nèi)容�����。安全管理應盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照����。
2)在保證信息系統(tǒng)設備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區(qū)域的分割防護;增加入侵檢測系統(tǒng)、漏洞掃描�����、違規(guī)外聯(lián)等安全管理工具,進行定時監(jiān)控���、事件管理和鑒定分析,以提高自身的動態(tài)防御能力;完善已有的防病毒系統(tǒng)、增加內(nèi)部信息系統(tǒng)的審計平臺,以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力�。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準,狠抓內(nèi)網(wǎng)的用戶管理、行為管理���、應用管理�、內(nèi)容控制以及存儲管理;進一步完善互聯(lián)網(wǎng)應急響應管理措施,對關鍵設施或系統(tǒng)制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網(wǎng)絡方面安全保障、安全監(jiān)管���、安全應急和安全威懾方面的工作���。
4)堅持“防內(nèi)為主,內(nèi)外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權(quán)限,充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統(tǒng)審計提供依據(jù)。
第5篇
關鍵詞:信息安全�;學科建設;人才培養(yǎng)
中圖分類號:G64 文獻標識碼:B
文章編號:1672-5913(2007)23-0053-05
1信息安全的形勢是嚴峻的
隨著計算機和網(wǎng)絡在軍事�����、政治�����、金融�、商業(yè)等部門的廣泛應用,社會對計算機和網(wǎng)絡的依賴越來越大���。因此����,確保計算機和網(wǎng)絡系統(tǒng)的安全已成為世人關注的社會問題�,并因此成為計算機科學的熱點研究領域��。
計算機和網(wǎng)絡系統(tǒng)存在安全缺陷���,世界主要工業(yè)國家每年因利用計算機犯罪所造成的經(jīng)濟損失,遠遠超過普通經(jīng)濟犯罪所造成的經(jīng)濟損失�����。計算機病毒已對計算機系統(tǒng)的安全構(gòu)成極大的威脅���?���!昂诳汀比肭忠殉蔀槲:τ嬎銠C信息安全的普遍性�、多發(fā)性事件。
社會的信息化導致第三次軍事革命���,信息戰(zhàn)、網(wǎng)絡戰(zhàn)成為新的重要作戰(zhàn)形式���。美國最早提出信息戰(zhàn)的概念�,并于1995年1月成立“信息戰(zhàn)執(zhí)行委員會”����。1995年海灣戰(zhàn)爭和2003年的伊拉克戰(zhàn)爭期間��,美國成功地對伊拉克發(fā)動了信息戰(zhàn)���。2007年美國軍方正式成立網(wǎng)絡作戰(zhàn)司令部,進一步提升了網(wǎng)絡作戰(zhàn)的地位�。
我國在信息系統(tǒng)的基礎性硬件和基礎軟件方面缺少自主知識產(chǎn)權(quán)的產(chǎn)品,普遍使用國外的產(chǎn)品�,而這些產(chǎn)品中都存在著“后門”,從而使我國的信息系統(tǒng)都存在一定的安全隱患�����。
由上可見�,目前信息安全的形勢是嚴峻的。
2信息安全的概念
2.1信息系統(tǒng)安全的概念
信息系統(tǒng)的安全包括信息系統(tǒng)的設備安全�����、數(shù)據(jù)安全�����、內(nèi)容安全和行為安全四個方面��。即,
信息系統(tǒng)安全=設備安全+數(shù)據(jù)安全+內(nèi)容安全+行為安全����。
中文安全一詞=英文詞Security + Safety,其中Security是指阻止人為惡意地對安全的危害�,Safety是指阻止非人為對安全的危害。
① 設備安全
信息系統(tǒng)設備的安全是信息系統(tǒng)安全的首要問題�����。這里包括三個側(cè)面:設備的穩(wěn)定性(Stability)�����、設備的可靠性(Reliability)和設備的可用性(Availabity)�����。這里的設備包括硬設備和軟設備����。
② 數(shù)據(jù)安全
信息系統(tǒng)的設備安全了還不能保證其中的數(shù)據(jù)一定是安全的����。確保數(shù)據(jù)安全就是采取措施確保數(shù)據(jù)免受未授權(quán)的泄露�、篡改和毀壞����。
數(shù)據(jù)安全也包括三個側(cè)面:數(shù)據(jù)的秘密性(Secrecy),數(shù)據(jù)的真實性(Authenticity)����,數(shù)據(jù)的完整性(Integrity)。而且�,為了數(shù)據(jù)安全必須采取措施,必須付出代價�,其代價就是資源:時間和空間。
③ 內(nèi)容安全
信息系統(tǒng)的設備和數(shù)據(jù)安全了還不能保證數(shù)據(jù)的內(nèi)容一定是安全的��。內(nèi)容安全是信息安全在法律����、政治、道德層次上的要求���。
④ 行為安全
確保行為安全是信息安全的終極目的���。行為安全也包括行為的秘密性、行為的完整性和行為的可控性三個側(cè)面。其中�,行為的秘密性是指行為的過程和結(jié)果不能危害數(shù)據(jù)秘密性,而且在需要時行為的過程和結(jié)果本身也應當是秘密的�。行為的完整性是指行為的過程和結(jié)果不能危害數(shù)據(jù)完整性,而且行為的過程和結(jié)果是預期的�����。行為的可控性是指當行為的過程出現(xiàn)偏離預期時���,能夠及時發(fā)現(xiàn)��、控制或糾正�。
2.2確保信息安全的措施
① 確保信息安全的措施主要包括法律措施�、教育措施、管理措施�、技術(shù)措施。
② 確保信息安全的技術(shù)措施
確保信息安全的技術(shù)措施主要包括硬件系統(tǒng)安全技術(shù)�、操作系統(tǒng)安全技術(shù)、密碼技術(shù)���、通信安全技術(shù)�、網(wǎng)絡安全技術(shù)���、數(shù)據(jù)庫安全技術(shù)����、病毒防治技術(shù)�、防電磁輻射技術(shù)、信息隱藏技術(shù)��、數(shù)字知識產(chǎn)權(quán)保護技術(shù)�、電子對抗技術(shù)、容錯技術(shù)����。
每一種技術(shù)措施可能對付某種安全威脅更有效,但是任何一種技術(shù)措施都不可能解決信息安全的所有問題�����。
因為硬件是信息系統(tǒng)的最底層�,操作系統(tǒng)是軟件的最底層,其他都要靠硬件和操作系統(tǒng)的支持���。因此���,信息系統(tǒng)硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎����,密碼���、網(wǎng)絡安全等技術(shù)是關鍵技術(shù)�。
確保信息安全是一個系統(tǒng)工程����,必須綜合采取各種措施才能奏效。
3武漢大學信息安全學科建設實踐
2001年經(jīng)教育部批準�,武漢大學創(chuàng)建了全國第一個信息安全本科專業(yè)。2003年經(jīng)國務院學位辦批準���,武漢大學又創(chuàng)建了信息安全碩士點����、博士點和博士后產(chǎn)業(yè)基地���,從而形成了信息安全人才培養(yǎng)的完整體系�。截至今年7月���,武漢大學已經(jīng)有三屆信息安全本科生圓滿畢業(yè)�����。對于我國的信息安全學科建設與人才培養(yǎng)作出了貢獻�。
3.1形成了有特色的武漢大學辦信息安全專業(yè)的辦學思路
武漢大學信息安全本科專業(yè)辦在計算機學院,依托計算機學科辦學�,經(jīng)過六年的教育實踐�,形成了自己的有特色的辦學思路:以學信息安全科學技術(shù)為主,兼學計算機和通信���,同時加強數(shù)學�、物理�、法律等基礎,掌握信息安全的基本理論和基本技能����,培養(yǎng)良好的品德素質(zhì)。這一辦學思路受到廣大學生和家長的歡迎����,同時也得到國家信息安全領導機構(gòu)的好評。
3.2掌握了信息安全學科的學科特點和知識結(jié)構(gòu)
作為一個學科��,信息安全有其自身的特點�����。
① 信息安全具有多學科交叉的特點
信息安全是計算機、通信�、電子、數(shù)學����、物理、生物����、法律、管理���、教育等多學科的交叉學科����。
② 信息安全對人的品德素質(zhì)要求高
信息安全事關國家安全����,許多畢業(yè)生將到國家重要部門工作,對人的品德素質(zhì)要求高��。
③ 法律�、管理�����、教育對信息安全作用極大
絕不可忽視法律���、管理、教育的作用����。俗話說“七分管理�,三分技術(shù)”,這話是有道理的�。因為信息安全領域的問題是人的問題。因此���,法律�����、管理���、教育對信息安全作用極大。
④ 確保信息安全是一種系統(tǒng)工程
確保信息安全是一種系統(tǒng)工程�,必須綜合采取各種措施才能奏效��。而且具有一票否決的特點��。一個系統(tǒng)由100個子系統(tǒng)構(gòu)成����,如果99個子系統(tǒng)是安全的���,只有1個是不安全的���,則整個系統(tǒng)是不安全的。只有100個子系統(tǒng)都是安全的���,系統(tǒng)才是安全的�����。
⑤ 信息安全技術(shù)具有整體性和底層性的特點
技術(shù)上����,必須從整體上采取措施�,從軟硬件底層采取措施,才能比較有效地解決信息安全問題。
因為硬件是信息系統(tǒng)的最底層���,操作系統(tǒng)是軟件的最底層����,其他都要靠這兩者的支持��,所以硬件結(jié)構(gòu)的安全和操作系統(tǒng)的安全是信息系統(tǒng)安全的基礎�。但是光有基礎還是不夠的,還必須有密碼�����、網(wǎng)絡安全等關鍵技術(shù)的整體配合����。每一種技術(shù)措施可能對付某種安全威脅更有效���,但是任何一種技術(shù)措施都不可能解決信息安全的所有問題���。例如,密碼是確保信息傳輸過程和存儲狀態(tài)下安全保密的有效技術(shù)�,但是密碼卻不能殺病毒。反之����,任何殺病毒軟件也不能當密碼用��。
這就體現(xiàn)了信息安全的整體性和底層性特點�。
⑥ 信息安全具有極強的理論聯(lián)系實際的特點
信息安全領域中的一些分支具有很深入的理論性���,但是它們的應用卻又是非常實際的��。因此��,理論與實踐必須很好地結(jié)合�,二者缺一不可���。
3.3提出了一些新的學術(shù)觀點
通過教學與科研實踐�����,我們提出了一系列新的學術(shù)觀點����。如:“信息不能脫離信息系統(tǒng)而獨立存在����。因此�����,不能脫離信息系統(tǒng)安全����,而談信息安全����。”“信息系統(tǒng)的安全包括信息系統(tǒng)的設備安全���、數(shù)據(jù)安全�、內(nèi)容安全和行為安全四個方面��?�!薄坝布Y(jié)構(gòu)安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎����,密碼��、網(wǎng)絡安全等技術(shù)是關鍵技術(shù)?!?/p>
這些學術(shù)觀點被國內(nèi)許多專家、領導所引用����,在全國產(chǎn)生了較大的影響。當然����,隨著教學和科研實踐的積累,認識會進一步提高和發(fā)展��,這些觀點也會隨之提高和發(fā)展���。
3.4明確了信息安全專業(yè)人才培養(yǎng)的基本規(guī)律
因為信息安全學科具有自己的學科特點和知識結(jié)構(gòu)�,因此信息安全專業(yè)的畢業(yè)生應當具有自己的基本特征����。
(1)熱愛祖國、品德優(yōu)良�、身體健康,掌握信息安全的基本理論和基本技能
全國各個學校的情況不同�,因此辦學的思路也不盡相同。例如��,有的學校的信息安全專業(yè)依托計算機學科,有的學校的信息安全專業(yè)依托通信學科�����。也有的學校的信息安全專業(yè)依托數(shù)學學科��,以密碼學作為教學的重點��。還有的學校的信息安全專業(yè)依托商學學科���,以電子商務安全作為教學的重點���。不管把信息安全專業(yè)依托在什么學科,信息安全本科人才應當具備的上述基本條件不能變���。
(2) 必須同時重視信息科學技術(shù)的基礎和信息安全的專業(yè)知識與技能
信息是信息安全的基礎����,如果沒有信息����,便沒有信息安全。因此����,學生必須首先學習計算機、通信�����、電子等信息科學技術(shù)基礎����,否則便無法深刻理解和掌握信息安全技術(shù),信息安全便成為無本之木���、無源之水���。其次是要學好信息安全的專業(yè)基礎課和專業(yè)課,否則就不是信息安全專業(yè)了��。兩者都要學好��,不可偏廢�����。
(3) 既堅持多學科交叉����,又堅持少而精�����,有所學�,有所不學
值得注意的是����,信息安全具有多學科交叉特性,它是計算機�、通信、電子��、數(shù)學���、物理�����、生物�、法律�、管理、教育等多學科交叉的產(chǎn)物���。因此���,除了信息安全之外,學生還必須學習計算機�、通信、電子�、數(shù)學、物理�、法律等學科的基本知識。但是���,學生的教學時數(shù)是有限的�,不可能學習這么多課程����。因此,應當從中學習一些主要的內(nèi)容�����,堅持少而精�����,有所學,有所不學��。
(4) 重視實踐教學
信息安全學科具有極強的理論聯(lián)系實際的特點�,必須有足夠的實踐教學。否則便不能掌握信息安全的基本技能�,也不能很好地掌握信息安全的基本理論。實驗室是實驗教學的基本設施����,開辦信息安全專業(yè)就應當建立信息安全實驗室。僅有實驗室還是不夠的�,有條件的學校還應建立校外實習基地。
(5) 重視學生的品德素質(zhì)教育
信息安全事關國家安全�,許多畢業(yè)生將到國家重要部門工作,因此對人的品德素質(zhì)要求高��。這就要求我們不僅要重視知識教育����,還要重視品德素質(zhì)教育。學生的品德素質(zhì)既要靠教育����,更要靠養(yǎng)成,要把這一工作貫穿到學生學習和生活的全過程中。
3.5編制出全國第一個“信息安全本科專業(yè)教學計劃”和“信息安全專業(yè)課程大綱”
六年來�����,我們對教學計劃和課程大綱不斷修改���。目前又制定出2006年版的教學計劃和課程大綱���。我們教學計劃和課程大綱被全國幾十所大學借鑒或采用���。對全國信息安全學科建設和人才培養(yǎng)產(chǎn)生了廣泛的影響��。這一教學計劃和課程大綱體現(xiàn)了信息安全學科的學科特點和知識結(jié)構(gòu)����。六年來的辦學實踐證明這一教學計劃和課程大綱是成功的�。
3.6編寫出版了全國第一套信息安全本科專業(yè)教材
目前已經(jīng)出版:《密碼學引論》、《網(wǎng)絡安全》����、《網(wǎng)絡多媒體信息安全保密技術(shù)》、《信息隱藏技術(shù)與應用》���、《信息安全法教程》����、《計算機病毒分析與對抗》、《網(wǎng)絡程序設計》���、《信息安全綜合實驗教程》�����、《計算機網(wǎng)絡管理實用教程》����、《信息安全數(shù)學基礎》�。
翻譯出版國外著名信息安全教材:《密碼編制學與網(wǎng)絡安全》(第三版、第四版)��、《信息安全原理與實踐》��、《橢圓曲線密碼學引論》���。
3.7建立了全國第一個信息安全教學實驗室
學校和學院共同投資700多萬元���,建立了兩個信息安全教學實驗室:“網(wǎng)絡安全實驗室”和“信息安全綜合實驗室”����。編寫出版了實驗教材����。實驗室除了能夠支持信息安全本科生進行教學實驗外,還能夠支持信息安全專業(yè)研究生和教師的科學研究���。信息安全實驗室的建立極大地改善了信息安全的教學和科研條件���。
3.8建設校外實習基地
目前,我們與12企業(yè)建立了信息安全專業(yè)學生實習基地���,每年信息安全專業(yè)的學生都到這些企業(yè)進行實習。這樣作的好處是���,學生可以直接參與企業(yè)的技術(shù)研發(fā)和生產(chǎn)實踐����,提高了學生的實際動手能力���,增強了學生和企業(yè)的相互了解��,促進了學生的就業(yè)�。通過實習,許多學生就在實習企業(yè)就業(yè)了�,學生找到滿意的企業(yè),企業(yè)找到了滿意的學生����。近兩年已有60多名信息安全本科生參加了各企業(yè)的實習實訓。其中有一部分學生還在企業(yè)完成畢業(yè)設計的全過程���。
通過建立校外實習基地���,不僅為學生提供了實習場地,而且開拓了學校與企業(yè)科研合作的渠道����。我院教師與企業(yè)的合作科研項目,每年多達幾十項�,因此,每年都有大量本科生直接參加與企業(yè)的合作科研項目���。
4武漢大學信息安全本科人才培養(yǎng)實踐
4.1信息安全專業(yè)人才培養(yǎng)的宗旨
武漢大學信息安全專業(yè)旨在培養(yǎng)能夠從事計算機���、通信���、電子信息、電子政務���、電子商務��、電子金融�、軍事等領域的信息安全研究�����、應用����、開發(fā)、管理等方面的高級技術(shù)人才���。
4.2組織學生興趣小組
從二年級開始,組織學生興趣小組�,每個興趣小組由5-10名學生組成。在指導老師的指導下����,開展課程內(nèi)容討論�����、興趣實驗����、學術(shù)交流���、社會調(diào)查等活動���。通過興趣小組的活動,提高學生對學習信息安全專業(yè)的興趣����,啟發(fā)了學生的創(chuàng)新思想。
4.3組織學生參與科研及學術(shù)活動
我們鼓勵學生積極開展大學生科研活動���,積極參加各種學習競賽和科研競賽���。通過科研活動和競賽活動,培養(yǎng)提高學生分析問題�����、解決問題和創(chuàng)新的能力。
近三年里�����,信息安全專業(yè)本科生獲得學校和學院的大學生科研立項60余項�����。獲湖北省大學生優(yōu)秀科研成果14項��。
積極參加了全國“挑戰(zhàn)杯”大學生課外學術(shù)科技作品競賽�、國際微軟嵌入式競賽、ACM競賽��、數(shù)學建模競賽���,等��,并獲得很好的成績����,獲獎人數(shù)達50多人次����。
4.4招生與就業(yè)情況
信息安全專業(yè)自2001年以來,一共招收了678余名本科生����。畢業(yè)三屆畢業(yè)生共299人,其中出國的12人�����,攻讀碩士學位的68人�����,其余畢業(yè)生直接就業(yè)���。畢業(yè)生就業(yè)情況一年比一年好�。2001級畢業(yè)生的一次就業(yè)率為90%���,2002級畢業(yè)生的一次就業(yè)率為91%��,2003年畢業(yè)生一次就業(yè)率上升為94%�。參加工作的學生的主要去向是政府有關管理部門���、金融�����、與信息安全技術(shù)有關的企事業(yè)單位����。
5武漢大學信息安全本科專業(yè)課程體系
武漢大學信息安全本科專業(yè)的課程體系體現(xiàn)了武漢大學關于信息安全專業(yè)的辦學思路。體現(xiàn)了信息安全的多學科交叉���、理論與實踐結(jié)合和涉及國家安全等特殊性�。體現(xiàn)了培養(yǎng)熱愛祖國���、品德優(yōu)良����、身體健康�,掌握信息安全的基本理論和基本技能的信息安全本科人才的基本要求。
在德育方面除了常規(guī)的政治思想課外���,增設“信息安全法律法規(guī)”課程����。在數(shù)學基礎方面除了常規(guī)的數(shù)學課程外,增設了“信息安全數(shù)學基礎”課�。為了體現(xiàn)硬件系統(tǒng)安全和操作系統(tǒng)安全的在信息安全中的基礎地位���,除了常規(guī)的硬件類的課程和操作系統(tǒng)原理課程外���,分別增設硬件類課程:“嵌入式系統(tǒng)”、“大規(guī)模集成電路應用”����、“智能卡技術(shù)”;操作系統(tǒng)類課程:“Linux原理與應用”���、“Windows原理與應用”���。為了體現(xiàn)其他信息安全關鍵技術(shù),開設:“密碼學”��、“網(wǎng)絡安全”��、“信息隱藏技術(shù)”����、“計算機病毒”、“電磁防護與物理安全”、“電子對抗導論”等課程����。為了體現(xiàn)兼學通信,增設“通信原理”和“現(xiàn)代通信”課程���。為了加強理論連系實際��,主要課程均開設配套的實驗課�,另外還進行“信息安全綜合實驗”�����。
6武漢大學信息安全本科專業(yè)教學計劃
根據(jù)我們的實際情況和辦專業(yè)思路����,我們編制了武漢大學信息安全本科專業(yè)教學計劃。目前制定的2006年版的教學計劃����,按照“3+1”模式實施教學。所謂“3+1”模式�����,就是學生前三年在學校修滿所有學分,完成全部課程學習����,第四年按學生特點及畢業(yè)去向分類安排不同的教學項目,完成培養(yǎng)方案中的實踐教學環(huán)節(jié)���。
7信息安全的學科建設促進了信息安全領域的科學研究
武漢大學在信息安全領域中的密碼學、可信計算��、網(wǎng)絡安全和信息系統(tǒng)安全等方面完成并承擔著一批國家與省部級重要科研課題���,并取得了一些有影響的研究成果�,形成了自己的學科特色和優(yōu)勢��。武漢大學已經(jīng)成為我國信息安全科學研究和人才培養(yǎng)的重要基地�����。信息安全領域的科學研究促進了武漢大學信息安全專業(yè)的學科建設和人才培養(yǎng)���。與中國信息安全產(chǎn)品測評認證中心合作��,武漢大學建立了“中國信息安全產(chǎn)品互操作性測評中心”��;與湖北省軍區(qū)聯(lián)合建立了“信息網(wǎng)絡技術(shù)研究中心”�;另外還建立了“國家計算機緊急響應協(xié)調(diào)中心.武漢大學省級應急支撐中心”。
這些科研機構(gòu)的建立大大加強了武漢大學在信息安全領域的研究實力��,同時為學生參加科研實踐提供了支持�。
武漢大學在信息安全研究領域取得了一些國內(nèi)外有影響的研究成果:
(1) 理論成果:
① 提出演化密碼的概念和用演化計算設計密碼的方法,并獲得實際成功��。通過演化計算設計出的DES的S盒��,在安全性方面超過DES原來的S盒�,并以此構(gòu)成演化DES密碼。此外��,在BENT函數(shù)的分析與產(chǎn)生��、HASH函數(shù)的分析與設計���、密碼的演化分析等方面也獲得成功���。
② 對有限自動機公鑰密碼的安全性理論有較深入的研究,成功地破譯了FAPKC0和FAPKC3的一個實例���,發(fā)展了有限自動機公鑰密碼的安全性理論�����。
③ 對網(wǎng)絡的安全免疫等方面有較深入的研究��,建立了網(wǎng)絡的安全免疫實驗系統(tǒng)��。
④ 對糾字節(jié)錯誤碼有較深入研究���,部分成果用于銀河Ⅱ巨型計算機。
(2) 技術(shù)成果
與企業(yè)合作研制出我國第一臺可信計算機����。
與企業(yè)合作研制出我國第一款可信計算平臺模塊芯片(TPM)及其操作系統(tǒng)系統(tǒng)(JetOS)。
在國家863計劃的支持下���,研制出多種密碼芯片和可信PDA�。
研制出網(wǎng)絡安全軟件系統(tǒng)����,并得到實際應用。
研制開發(fā)出多種信息安全應用產(chǎn)品����,為企業(yè)創(chuàng)造出巨大的經(jīng)濟效益���。
8小結(jié)
我們創(chuàng)辦信息安全本科專業(yè)的時間不長,對信息安全本科專業(yè)的辦學規(guī)律還沒有完全掌握����。因此,還存在許多缺點和不足���。我們將虛心學習兄弟院校的長處�,取長補短����,改進我們的工作。
我們相信����,在社會各界的關心和指導下,在兄弟院校的幫助下����,武漢大學的信息安全本科專業(yè)將越辦越好,為國家培養(yǎng)出大批優(yōu)秀的信息安全本科人才���!
參考文獻
[1] 張煥國.試論信息安全人才培養(yǎng)�,信息安全縱論,湖北科學技術(shù)出版社[M]�,2002.
[2] 張煥國,等.信息安全本科專業(yè)的人才培養(yǎng)與課程體系[J].高等理科教育�,2004,2.
[3] 張煥國,等.信息安全學科建設與人才培養(yǎng)的研究與實踐.計算機系主任(院長)會議論文集.高等教育出版社���,2005.
[4] 蔡吉人.加強電子政務中的密碼保障體系的思考�,信息安全縱論.湖北科學技術(shù)出版社����,2002.
[5] 沈昌祥.關于加強信息安全保障體系的思考,信息安全縱論�����,湖北科學技術(shù)出版社��,2002.
[6] 屈延文.軟件行為學.電子工業(yè)出版社���,2004.
