期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
信息安全心得体会模板(10篇)
信息安全心得体会例1
当时病毒入侵波及几乎分公司所有应用系统,包括企业门户系统、生产运行系统、生产数据平台、营销管理系统、财务系统等多个重要应用系统和30多个中小型应用系统。其中企业门户系统受损最为严重,前端服务器、正式数据库服务器和备份服务器等12台服务器被病毒感染。以至于所有员工办公、公司生产受到严重影响。开展处置,刻不容缓!当时的脑海里只有一个念头:快!快!快!我们即刻展开应急处置和应对措施:机房设备间内都是我们敲击键盘的声音,办公区里都是我们检查电脑的身影。我们通过服务器底层数据恢复、虚拟机应用快速部署、后台数据库数据还原等技术手段,实现了应用系统快速还原和恢复。连续奋战88小时后,企业门户系统恢复上线,在17日下午所有重要应用系统恢复正常使用。至此,勒索病毒感染得到有效控制,最大程度减少了病毒带来的损失,将存在的风险降到了最低。
经过此次事件,我回过神来不禁感叹:一个虚拟的病毒居然造成了整个公司的办公、生产受到影响。网络世界虽没有硫化氢中毒、天然气泄漏这种危害生命安全的重要风险,但依旧充满荆棘、危险重重。作为网络安全的战斗者,我们建立了重要信息系统灾备环境,对操作系统、数据库、文件等三种类型的数据可进行短时间内恢复,为系统正常运行增添了一道保护墙。
在2018年“护网行动”中我们共计采集安全日志近17.11亿条,拦截来自分公司内外部网络疑似攻击行为约5.76亿次,其中拦截外部网络疑似攻击行为约4.63亿次,拦截内部网络疑似攻击行为约1.13亿次;主动发现内外部疑似攻击源586个,排查分公司内部网络安全风险隐患29处。大家一定不知道在你们安全使用网络的背后还有这样的风险数据。每一次大家为图方便,随意使用QQ、微信等传输文件、数据的时候,那些黑客、不法分子都心里乐开了花:通过大家传输的文件作为跳板,时刻准备着攻击、窃取我们的企业机密,甚至控制生产系统,下达错误指令,造成爆炸、起火等安全事故。
不过每一次不法分子攻击行为的身后又有我们网络安全守护者的身影:增加数据泄露防护系统,不管是使用协同微信还是QQ,在发送文件时会自动检测,如检测有疑似敏感信息,就会显示一个弹窗,提示:检测到疑似敏感信息或文件,请检查确认后再发送。以此来警醒文件传输者,减少疏忽泄密情况的发生。
大家可能觉得网络安全是件小事,因为和自己的工作关系不大。但网络安全已经上升为国家层面。
信息安全心得体会例2
2012年5月10日,一年一度的中国信息安全领域高端盛会――“第十三届中国信息安全大会”在北京隆重举行。北信源受邀参会并荣获“2012年度中国信息安全最具影响力企业奖”。
本次大会由中国电子信息产业发展研究院主办、中国计算机报承办,同时得到了中国计算机学会计算机安全专业委员会、公安部第一研究所、中国信息安全测评中心、中国信息安全认证中心和国家计算机病毒应急处理中心的大力支持。
作为业内最权威的信息安全盛会,中国信息安全大会已经陪伴中国信息安全产业走过了13个年头,鉴证了中国信息安全产业成长、成熟的过程,是中国规模最大的信息安全展览、交流平台之一。据了解,本次大会的主题为 “构建安全生态系统――新一代安全防护”,会上邀请业内权威专家、国内外知名企业的代表以及重点行业用户CIO,重点围绕全新IT环境给信息安全防护体系建设带来的挑战及应对策略进行了广泛而深入的探讨。
提起此次荣获“2012年度中国信息安全最具影响力企业奖”,北信源相关负责人表示:“十几年来,公司全体员工的共同努力成就了北信源今天的发展和进步,第二次摘取中国信息安全最具影响力企业大奖是对北信源团队的专业技能、团结协作、优质服务,以及产品品质保障的全面肯定。秉承‘信心之源’、‘信誉之源’、‘信息之源’的核心经营理念,北信源将不负众望,依靠领先的产品、技术与服务,本着一如既往的创新姿态,再接再厉,争取更大的技术突破和全面进步。”
在北信源看来,随着信息安全行业市场需求的日益强劲,未来的信息安全管理也更加呈现多元化多层次的需求及平台化的统一管理。十几年来,北信源长期致力于信息安全技术的研究与开发,从革命性推出首款桌面安全管理产品,开启“桌面安全管理”技术革新之先河,到第一个面向网络空间的终端安全管理体系―― VRV SpecSEC的推出,无不体现出北信源对于市场及用户需求的精准把握。
信息安全心得体会例3
1、谈大势:我国已成为网络大国
人类正在经历信息革命
从社会发展史看,人类经历了农业革命、工业革命,正在经历信息革命。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
网络已走入我国千家万户
我国互联网和信息化工作取得了显著发展成就,网络走入千家万户,网民数量世界第一,我国已成为网络大国。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
全球互联网治理体系变革进入关键时期
全球互联网治理体系变革进入关键时期,构建网络空间命运共同体日益成为国际社会的广泛共识。
——2017年12月3日,致第四届世界互联网大会的贺信
2、谈建设网络强国:要有自己的技术,有过硬的技术
努力把我国建设成为网络强国
要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
要有自己的技术、信息服务、基础设施和人才队伍
建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
要聚天下英才而用之
我说过,要把我们的事业发展好,就要聚天下英才而用之。
建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
2017年12月3日,第四届世界互联网大会在浙江乌镇开幕。新华社记者郑焕松摄
3、谈网络空间:把握好舆论引导的时度效
把握好网上舆论引导的时度效
做好网上舆论工作是一项长期任务,要创新改进网上宣传,运用网络传播规律,弘扬主旋律,激发正能量,大力培育和践行社会主义核心价值观,把握好网上舆论引导的时、度、效,使网络空间清朗起来。
——2014年2月27日,在中央网络安全和信息化领导小组第一次会议上的讲话
领导干部要学会通过网络走群众路线
网民来自老百姓,老百姓上了网,民意也就上了网。群众在哪儿,我们的领导干部就要到哪儿去,不然怎么联系群众呢?各级党政机关和领导干部要学会通过网络走群众路线,经常上网看看,潜潜水、聊聊天、发发声,了解群众所思所愿,收集好想法好建议,积极回应网民关切、解疑释惑。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
网上网下要形成同心圆
为了实现我们的目标,网上网下要形成同心圆。什么是同心圆?就是在党的领导下,动员全国各族人民,调动各方面积极性,共同为实现中华民族伟大复兴的中国梦而奋斗。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
营造清朗的网络空间
加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间。
——2017年10月18日,代表第十八届中央委员会向中共作的报告
4、谈网络安全:互联网核心技术是我们最大的“命门”
安全和发展要同步推进
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
保障互联网安全、国家安全,就必须突破核心技术这个难题
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。
我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
维护网络安全是全社会共同责任
网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
5、谈信息化:让亿万人民在共享互联网发展成果上有更多获得感
推动信息化和工业化深入融合
面对信息化潮流,只有积极抢占制高点,才能赢得发展先机。要推动信息化和工业化深入融合,必须在信息化方面多动脑筋、多用实招。——2015年6月17日,在贵州调研时强调
打通经济社会发展的信息“大动脉”
我们要加强信息基础设施建设,强化信息资源深度整合,打通经济社会发展的信息“大动脉”。——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
为老百姓提供用得上、用得起、用得好的信息服务
要适应人民期待和需求,加快信息化服务普及,降低应用成本,为老百姓提供用得上、用得起、用得好的信息服务,让亿万人民在共享互联网发展成果上有更多获得感。——2016年4月19日,在网络安全和信息化工作座谈会上的讲话
2016年11月16日,第三届世界互联网大会在浙江省乌镇开幕。在开幕式上通过视频发表讲话。新华社记者张铎摄
6、谈全球互联网治理:携手构建网络空间命运共同体
互联网对国家主权利益提出新挑战
互联网真正让世界变成了地球村,让国际社会越来越成为你中有我、我中有你的命运共同体。同时,互联网发展对国家主权、安全、发展利益提出了新的挑战,迫切需要国际社会认真应对、谋求共治、实现共赢。
——2014年11月19日,向首届世界互联网大会致贺词
推进全球互联网治理体系变革
国际社会应该在相互尊重、相互信任的基础上,加强对话合作,推动互联网全球治理体系变革,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的全球互联网治理体系。
——2015年12月16日,在第二届世界互联网大会开幕式上的讲话
利用好、发展好、治理好互联网必须深化网络空间国际合作
互联网发展是无国界、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体。
——2016年11月16日,在第三届世界互联网大会开幕式上的视频讲话
信息安全心得体会例4
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1) 核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2) 量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3) 运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
信息安全心得体会例5
(一)国家安全受到严重威胁
网络运转是包括各种硬件设备和相应的软件在内的技术的有机结合,一旦离开了这些技术,网上活动将无法进行。就目前而言,从互联网资源到关键设备、网络核心技术和应用等都由以美国为首的西方国家所掌控,导致我国的网络安全岌岌可危。数据信息不仅蕴含着巨大的经济价值,而且隐藏着政治利益和国家利益,网络时代数据信息可能成为侵蚀他国和危害他国国家安全的一个强有力的武器。大数据时代,因各国的技术水平和收集、处理、控制数据的能力不同而导致信息流动出现了不对等:就经济、贸易信息而言,我国是典型的流出国,信息技术强国的信息“逆差”直接威胁着我国的经济和经济安全。
(二)公共安全受到严峻挑战
随着微博、SNS(社会性网络服务)的出现,信息在网上呈现瀑布式传播和扩散。上述网络创新应用所具有的强大的信息扩散力、渗透力可以将一般性局部事件快速演变为全局性的重大事件,使公共安全和社会稳定受到严重威胁。以美国为首的西方国家利用自身的网络技术和信息优势大量向我国灌输其意识形态和价值观念,恐怖组织、组织、分裂势力积极借助网络空间攻击我国的社会政治制度,企图瓦解民族凝聚力,这直接威胁到党的执政地位和社会安全。此外,信息网络领域不断出现各种以渲染暴力恐怖为目的的文字、图片和视频,以侵害信息网络、破坏网络关键设施、侵犯公民人身财产权利的“恐怖主义”、“网络暴力”活动越来越猖獗,致使网络社会的公共安全受到严峻挑战。
(三)个人权益未获有效保障
数据信息已成为网络时代的重要资源。计算机网络所具有的强大的信息处理能力,导致个人信息被非法收集、利用以及泄露的损害后果更加严重,个人信息在网络时代受到了前所未有的威胁。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。DCCI互联网数据中心的《213移动隐私安全评测报告》显示,有66.9%的智能手机移动应用(APP)在用户不知情的情况下抓取用户隐私数据,其中通话记录、短信记录、通讯录是隐私信息泄露的三个高危地带。违法收集和滥用个人信息不仅侵犯了权利人的人格尊严,且往往是其他违法犯罪的工具和手段。近年来,通过违法收集、窃取等滥用他人个人信息的手段实现诈骗、盗窃乃至侵犯他人生命权的犯罪形式呈逐年上升之势。CNNIC的《中国网民信息安全状况研究报告》显示,2012年有4.56亿网民遇到过信息安全事件,占网民总数的84.8%。在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,除花费时间和精力外,经济损失总额为194亿元。
二、信息安全法的立法目的
立法目的是需要通过立法、执法和司法来实现的基本价值。信息安全法是在网络信息安全问题的不断恶化,已严重威胁国家安全、社会安定和个人合法权益的情况下,由此引起人们的关注并由此产生了解决网络信息安全的强烈需求和实现这一欲望或目的的法律规范。信息安全法的立法目的是指立法机关通过运用法律这种有效的/:请记住我站域名/社会调控手段确立一国的信息安全政策以及网络信息安全与发展的目标。
(一)美、俄信息安全法的立法目的
信息安全法的立法目的是一国在分析其国内特殊的网络安全形势基础上确定该国网络信息安全政策的具体体现。美国的信息安全战略经历了从主张“发展优先”到“安全优先”,从“适度安全”到“先发制人”,根据国家需求,构建了“信息基础设施保护”、“网络信息安全管理制度”和“信息安全文化与价值观”三位一体的国家信息安全战略体系。奥巴马政府出台的《网络空间国际战略》改变了以防御为主的网络空间战略,转而发展以“互联网自由”为核心,以“控制—塑造”为基本特征的进攻型网络空间战略。[1]与国家的网络空间政策相适应,美国在本世纪之初的信息安全法的立法目的是防范网络攻击,保障网络安全,具体而言:减少美国对网络攻击的脆弱性,阻止针对美国至关重要的基础设施的网络攻击,在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。[2]可以预见,随着美国网络空间战略的变化,美国今后的信息安全立法乃至整个网络立法都会以实现控制为核心的进攻性网络空间政策为目标。与美国不同,俄罗斯基于本国所面临的内在和外在的信息安全威胁,提出信息安全法的立法目的是:确保信息安全并在激烈的信息对抗中获得优势以维护国家利益。[3]俄罗斯和美国信息安全法的立法目的之所以存在差异,原因在于信息安全法解决的是一国的特定问题,是与国内特定的信息安全形势相关的。因此,不同的国情决定了各国的信息安全立法有着不同的目的。
(二)中国信息安全法的立法目的
以安全威胁的来源为标准,可以将威胁我国信息安全的因素分为以下两类:一是网络核心技术失控;二是网络滥用行为。决定了我国信息安全法既要通过规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术从而保障我国的信息安全。具体而言,我国信息安全法的目的应通过设定各类主体(政府、网络用户、信息基础设施运营者和信息内容提供者等)的权力或权利、义务和责任,规范信息收集或生成、传递、控制和利用行为,促进网络基础理论的研究,掌控网络的核心技术,实现信息的保密性、完整性、可控性、可用性和不可否认性,从而有效地保障国家安全和个人在信息社会的基本权益。安全主要体现工具性价值的特性又决定了它不可能被作为绝对的终极价值去追求[4],信息安全法的终极目的是实现网络主体的自由。信息安全法通过构建并维持网络社会的基本秩序进而实现保障自由的目的。网络社会秩序究其本质是网络主体的一种有组织化的活动方式,是网络主体行使其权利的基础。自由只能在秩序中获得,这决定网络主体的自由必须依存于网络社会的秩序。自由不是个体的任意,恰恰相反,自由是对个别人的任意的超越和对普遍性的认同。[5]
信息安全法通过对危害信息安全的网络滥用行为的约束以保障其他网络主体的自由。从社会学的视角看,信息是社会结构中不可缺少的构成性要素。[6]14大数据时代,数据信息进一步从社会资源中独立出来并成为一种新的结构性要素,对人类社会活动的各个领域发挥着深远的影响:数据信息对人类的政治、经济、文化等领域起到了基础性的支撑作用。鉴于信息在网络社会中的重要作用,信息安全法的目的应以实现信息的自由流动、保障网络主体传播和获取信息的自由为其终极目标。中国已进入信息社会,网络之于中国公民的意义不仅仅是赋权、赋能,更重要的是赋信息。信息的自由流通能使人们进行独立思考并激发人们的创造能力。因此,网络不单单是信息传递的工具,而且是解放国人个性的工具。通过保障信息安全以促进信息自由流动,实现信息的最大化共享与利用;通过保障网络主体的行为自由,使其能够自由的传播和获取信息,从而激发网络主体的创造力。因此,信息安全法是提高国民素质,促进社会发展与进步,提升国家竞争力的重要制度保障。 三、中国信息安全立法的指导思想
信息安全立法的指导思想是指立法主体据以进行信息安全立法活动的重要理论根据,是为信息安全立法活动指明方向的理性认识。网络的开放性、全球性、虚拟性等特征以及信息安全立法的目的决定了我国信息安全立法应遵循以下指导思想。
(一)适度安全
绝对安全不具有技术上的可能性,抑或是要支付巨额的成本。不能为了获得绝对安全而不计成本,也不能因噎废食而放弃使用网络。因此,信息安全法的“安全”并非绝对安全,而应该是适度安全。适度安全是指信息安全法的制度设计应协调安全与其他价值之间的关系,不能为了保障信息安全而牺牲了网民的自由,进而扼杀了网络技术创新。网民可以在网络世界中自由地获取、传播、处理信息,这一权利已被我国宪法所确认,信息安全法律规范的制度设计不能因强调网络安全问题而影响网络的接入。原因在于,面对网络安全和信息安全问题,恐惧并不理智,不仅对问题解决没有效果,还可能导致过度控制。在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[7]41因此,信息安全法应保证国内网民以及世界其他国家和地区的网民都有安全的接入机会。网络的可接入性应该有持续性的保障,除非发生危害国家安全的行为以及刑事犯罪行为。整体安全和个人自由都是需要重点保护的根本利益,对任何一方保护的偏颇或疏漏都有可能造成整个信息安全法律关系的不稳定。因此,未来中国的信息安全法在保障整体安全的同时,应充分重视对网民个体自由的保护,在提升国家和政府对网络安全控制力的同时,协调好国家安全与公民个人自由之间的关系。
(二)开放性
信息安全心得体会例6
在现有的社会背景下,互联网以及网络通信技术的完善,使得信息传播的速度变得更加的迅速。由于现在信息技术的广泛使用,在企业的运行模式中,信息技术的融合面积也变得更加的广阔,对于信息的依赖程度也日渐加重,信息技术在企业中的渗透变得更加的深入和彻底,在企业正常运作的方方面面中进行了有效的融合。
在企业中使用信息技术,相对应信息技术自身的安全体系要求就变得更加的细致,在信息技术使用过程中安全体系的建设是必不可少的一项重要内容。使用信息安全体系建设来有效的解决信息安全的问题,在今后企业的信息使用中有十分重要的实现价值。针对信息安全体系的构建应该进行以下的分析:
按照现有的信息安全状况进行信息安全体系建设,就是将信息安全的构架进行模块之间相互构建和连接,将它们形成不可分割的整体,使它们共同的结合成为信息安全体系。信息安全体系自身带有系统性,完整性以及全面性的信息安全保障能力,这种整合之后的能力比之前独立的信息安全模块能力之和要具有更多的优势,在现有的信息安全体系建设中,会将企业安全技术,企业安全风险管理,企业安全组织以及运行模式进行安全体系的融合,这种信息安全体系的构建才能符合现在企业的使用要求。
一、信息安全体系信息安全策略的制定
在信息安全体系的构建中,信息安全策略的实施就是信息安全体系的核心内容,这种核心内容的展现就是将企业的信息安全模式进行针对性保护的规划。按照企业保护形式的不同进行细致的分类以及汇总。在信息安全体系的构建中,信息安全策略的实施就是将整体信息安全进行正面的引导,将信息安全体系能够较好的为企业进行服务,将信息安全体系各个方面进行可行性技术的管理,在模块的运行模式中进行有效的保障,并且,信息安全策略在使用的过程中,也包含着信息安全体系构建所有细小分支的内容,这些内容想要全面的进行展现,就应该采用一些方法和技术进行有效的管理,以此来保证信息安全系统整体运行模式的准确性和完备性。
二、信息安全体系安全风险管理体系的制定
在信息安全体系实施过程中,针对于信息安全风险管理的设置,就是按照企业风险为主线,以信息安全相关标准以及需求为策略,将主线与策略进行结合,就是信息安全体系安全风险管理的方案制定标准。在信息安全风险管理体系的制定过程中,首先,应该对企业自身的保护系统进行目标性的确定,将目标进行合理有效的规划;然后,在信息安全体系安全风险管理实施的过程中,对企业自身的风险系数进行可控性的评估,对于现在的风险以及将来的风险进行系数的控制,为企业今后的发展奠定平稳的基础;最后,在信息安全体系安全风险管理体系的制定中,应该将所有的体系规划进行相关专业人员的审核以及评估,在评估的过程中,对企业进行全面的分析,保证安全风险管理体系制定可行性。由于企业安全风险管理体系是贯穿企业全过程的,对于该管理体系的制定,不仅仅应该进行企业的评估,还应该对现有的社会状况进行有效的结合,以便企业在社会竞争状况中有稳固的成长。
三、信息安全体系安全技术体系的构建
在信息安全体系中,安全技术体系的构建就是信息安全体系构建的基础,这种基础性的建设是按照企业安全策略以及安全风险管理进行针对性指导的,这种体系的构建,应该按照现有的状况进行多方面的研究与分析,只有这样才能将企业的各个部门进行结合,将部门的问题进行技术上的落实,共同建立企业各个部门相互协同发展的信息安全体系。这种安全技术体系的良好构建,可以将企业的信息系统进行全方位,多角度,整体性的安全掌控,以保证企业的正常信息安全体系的运转。
四、信息安全体系安全组织与管理体系的构建
信息安全心得体会例7
〔Abstract〕The paper,from the perspective of the counterintelligence technical support system,constructed the supply chain information security system model from such five parts as the information security decision center,the information security counterintelligence center,the network counterintelligence system supported by the honeynet technology,the human intelligence network system and the integrated supply chain information system;combed the security hidden danger of information security system in supply chain;and explored the path of the supply chain system information leakage to find that the ineffective supervision of information security governance process caused the leakage of supply chain system information,information security policy management lags behind the information security needs of the supply chain system,the feature of the double edged sword of the honeynet technology threatened the security of the network countercompetitive intelligence system,the human intelligence network with high maintenance cost and the regulatory difficulties had become the supply chain system security short board,and the security vulnerabilities of integrated information system in supply chain was the basis of competitive intelligence.
〔Key words〕supply chain system;information leakage;mechanism;information security;counterintelligence
S着网络和信息技术的发展,闭环的企业内部信息管理模式逐步为开放的供应链集成化信息管理模式所取代。当供应链成员通过开放的互联网来实现远程交互访问、进行信息共享时,这种开放的网络系统给需要高度保密的敏感情报如企业内部的生产、销售订单、合作企业的生产进度、企业间的资金转帐、招投标信息等,带来了很多安全隐患,从而威胁到整个供应链系统的信息安全。Sindhuja P N和Anand SKunnathur建议从管理控制的角度看,有必要对全球供应链中的各类组织的信息安全纪律进行全覆盖[1];Ramesh Kolluru和Paul HMeredith发现供应链合作伙伴之间的不同类型的数据共享需求需要不同层次的安全性[2];Peter Finch指出当公司暴露于组织间网络时,开展风险评估以及需要考虑业务连续性规划的重要性[3];Zachary Williams等人通过定性研究,发现存在4个主要的供应链安全的驱动因素,即政府、顾客、竞争者和社会[4];蒋鲁宁认为信息安全供应链的安全涉及4个方面,即信息安全供给基础、信息安全产品(包括信息安全服务)过程,信息安全能力形成过程以及对这些过程的安全确认[5];刘丹则认为供应链信息系统的安全涉及从粗到细的4个层面:系统级安全、程序资源访问控制安全、功能性安全和数据域安全[6];齐源选择了信息共享内容风险、委托-风险、管理风险、成本增加风险以及技术风险等5大预警指标,构建了基于第三方及GAHP的供应链信息共享风险预警系统[7];董绍辉等认为,供应链信息泄露的途径包括供应链上游企业、下游企业、独立第三方以及供应链管理系统等4个方面[8];宋伟等提出通过接入中间件,在内、外系统之间进行必要的安全隔离,从而提高整个供应链协同系统的鲁棒性和抗攻击能力[9];李剑锋等提出了由信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系5个部分构成的供应链信息安全体系框架[10]。上述研究表明,虽然国内外学者对于供应链系统的信息安全问题高度关注,从供应链信息安全的内容、影响因素、风险评估、泄密途径、体系框架到防范措施等方面都作了较为深入的研究,但是在供应链信息安全系统的泄密源排查、泄密原因分析、泄密路径梳理等问题上缺乏深入的研究。本文拟从供应链反竞争情报技术系统视角构建供应链信息安全系统模型,站在竞争对手的立场上审视供应链信息安全系统存在的安全隐患,进而研究供应链系统情报为何泄密、如何泄密、怎样泄密的内在机理,促使供应链系统各参与方高度重视情报泄密的防控问题,避免或减少敏感信息情报的泄密。
1反竞争情报技术系统视角的供应链信息安全系统模型的构建供应链信息安全系统的构建应重点研究敌意侵害方的竞争情报系统,梳理出供应链系统可能存在的信息安全隐患,从反竞争情报技术系统视角来构建供应链信息安全系统模型。一般而言,敌意侵害方的一个完善的竞争情报系统由竞争情报中心以及组织网络、人际网络和信息网络组成[11]的“一中心三W络”的组织构架。竞争情报中心是整个竞争情报工作的中枢,它是为企业竞争情报决策提供信息资源支持;组织网络是企业竞争情报工作的平台,它保障了竞争情报系统的协调一致;人际网络是企业竞争情报重要的隐性情报源,它是收集、分析情报乃至影响对手决策的一个有效路径;信息网络涉及企业的内网与外网平台,通过管理信息系统整合与完善企业的竞争情报功能[12]。因此,供应链信息安全系统的构建应充分考虑敌意侵害方的“一中心三网络”的竞争情报系统组织构架,科学设计自身的信息安全系统。研究认为,供应链信息安全系统应由5部分组成,即信息安全决策中心、信息安全反竞争情报中心、供应链集成化信息系统、蜜网技术支持的网络反竞争情报系统、人际情报网络系统,如图1所示。
11信息安全决策中心
信息安全决策中心是供应链信息安全系统的中枢,统筹协调涉及供应链系统信息安全治理的重大问题;研究制定供应链系统信息安全发展战略、总体规划和重大信息安全政策的协调;推动供应链系统信息安全的制度化建设,不断增强供应链系统信息安全治理能力。
信息安全决策中心接收来自信息安全反竞争情报中心的经过处理的各类信息情报,作为信息安全决策的基础和依据。同时,信息安全决策中心制定的信息安全战略、总体规划和重大信息安全政策等经由信息安全反竞争情报中心具体化为信息安全战术决策,作为信息安全反竞争情报中心各子系统行动的指南。
12信息安全反竞争情报中心
反竞争情报中心是企业反竞争情报技术支持系统的中枢,由反竞争情报收集子系统、反竞争情报分析子系统和反竞争情报服务子系统等3部分组成,负责供应链信息安全系统的安全管理工作,如图2所示。
反竞争情报中心对来自蜜网技术支持的网络反竞争情报系统和人际情报网络的各类信息进行收集、整理、分析,进而实施相应的信息安全策略管理:对可能引起安全事件的关键信息及其来源开展危害性评估并发出危机预警;对已造成实质性危害的信息安全事件作出应急响应,堵塞信息安全漏洞,努力减轻信息安全事件对供应链系统造成的损失;对信息安全方面的例外问题,及时上报信息安全决策中心,由高层决策者们进行非程序化决策。
13蜜网技术支持的网络反竞争情报系统
近年来,作为一种新型防御技术出现的蜜网(Honeynet)在检测、捕获和控制网络攻击方面具有独特的优势。蜜网由数据流重定向器与蜜网环境两部分组成的,该网络置于防火墙系统之后,所有进出网络的数据都会通过这里,并可以捕获控制这些数据[13],如图3所示。蜜网(Honeynet)包含一个或多个蜜罐(Honey Pot),这种蜜罐(Honey Pot)是专门用来吸引敌意入侵者进行攻击的陷阱。当入侵者试图针对供应链节点企业开展竞争情报活动时,往往直奔企业需要高度保密的敏感情报如企业内部的生产、销售订单、合作企业的生产进度、企业间的资金转帐、招投标信息等,而蜜网(Honeynet)中的网络应用程序恰恰以这些敏感情报来命名,这样入侵者就会立刻现行。反竞争情报中心就可以根据这些被捕获的资料来分析判断入侵者所使用的工具、方法及动机,进而建议信息安全决策中心采取反制措施。
14人际情报网络系统
人际情报网络系统是应情报活动的需要而构建的一种人际网络,是情报从业者获取、分析和传播非公开信息和隐性知识的重要平台[14]。供应链信息安全系统的人际情报网络分为节点企业外部人际情报网络和节点企业内部人际情报网络,如图4所示。
节点企业外部人际情报网络主要包括供应商、分销商、包括中介机构、行业协会、物流服务企业、消费者组织、新闻记者等在内的第三方机构、竞争对手、最终消费者等,节点企业内部人际情报网络主要由企业内部各层级的管理人员和各部门的员工组成。
15供应链集成化信息系统
供应链集成化信息系统是各节点企业内部供应链与外部合作伙伴(如供应商、分销商、中介机构以及行业协会、消费者组织、新闻记者等第三方机构)集成起来的一个供应网链,是整个供应链信息安全系统的基础信息平台。供应链各节点通过高速数据专用线连接到Internet骨干网中,通过路由器与自己的Intranet相连,再由Intranet内主机或服务器为其内部各部门提供存取服务,如图5所示。
供应链集成化信息系统是升级版的企业间信息系统,为企业内部的信息系统提供与外部供应链各节点的很好的接口,它实现了供应链合作伙伴间的信息交互与信息共享,消除了企业间传统的信息隔离状态。除信息集成外,供应链集成化信息系统还可以通过竞争情报的检测,筛选出数据流中的竞争情报信息流,将正常业务流与竞争情报信息流分开,从而实现了供应链信息系统的功能集成。
2供应链信息安全系统的安全隐患梳理
21信息安全决策中心安全隐患梳理
作为整个供应链信息安全系统的中枢,信息安全决策中心一旦发生泄密事件,必将对供应链系统信息安全治理工作带来重大安全隐患。信息安全决策中心可能存在的安全隐患大体涉及高管泄密以及信息安全治理过程中的情报泄密两个方面。信息安全决策中心的高管泄密专指参与供应链系统信息安全治理工作的高管恶意或非恶意地泄露涉及供应链系统信息安全治理问题的决策信息。恶意泄密往往发生在对公司不满或有预谋离职的高管身上,非恶意泄露往往因为缺乏责任心、安全防范意识淡薄、公司对高管的放任等原因造成的。
信息安全治理过程中的情报泄密可能发生在信息安全决策中心制定信息安全战略、总体规划和重大信息安全政策等的酝酿、起草、征询意见、方案评估、方案试行前的各个阶段。因为时间跨度长、涉及面广、牵涉人员多等原因,信息安全治理过程中的情报泄密问题更加难以控制。
22信息安全反竞争情报中心安全隐患梳理
信息安全反竞争情报中心的安全隐患主要源于反竞争情报收集子系统、反竞争情报分析子系统和反竞争情报服务子系统之间业务上的协调不够以及各自功能的发挥不够充分。具体表现为:其一,信息安全反竞争情报中心各子系统的协调不够,导致信息的收集、整理、分析、存储以及上报不够及时;其二,反竞争情报收集子系统忽视了可能引起安全事件的P键信息;第三,反竞争情报分析子系统对可能引起安全事件的关键信息及其来源的危害性认识不足;第四,反竞争情报服务子系统未能及时就信息安全方面的例外问题上报信息安全决策中心。
23蜜网技术支持的网络反竞争情报系统安全隐患梳理蜜网技术的应用使得网络反竞争情报系统在收集敌意侵害方的攻击信息、保护供应链信息系统情报、发现内网中可能存在的安全漏洞等方面具有重要作用,但同时蜜网技术是一把双刃剑,也会给网络反竞争情报系统带来安全隐患:其一,使网络反竞争情报系统遭受更多的攻击,交互的程度越高,模拟得越像,供应链系统陷入危险的概率就越大;其二,模拟服务的软件存在问题,也会产生新的漏洞;其三,敌意侵害方若取得Root权限,便可以自由存取目标机上的数据,然后利用已有资源继续攻击其它机器;第四,虚拟蜜网的引入使得架设蜜网的代价大幅降低,便于部署和管理,但同时也带来更大的风险,敌意侵害方有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得整个蜜网的控制权。
24人际情报网络系统安全隐患梳理
随着供应链共享信息平台的建设以及信息交互、信息共享水平的不断提升,人际情报网络系统的安全隐患问题愈加突出:首先,供应链共享信息平台为供应链节点企业外部人际情报网络和节点企业内部人际情报网络提供了功能强大的信息沟通平台,网络虚拟空间中的复杂人际关系增添了信息情报泄露的可能;其次,敌意竞争情报方可以利用共享信息平台中的人际情报网络,绕开供应链系统的防火墙,进入专用网络内部,更便于其竞争情报工作的开展;再者,传统的人际情报网络泄密仍然在发挥其独特的作用,敌意竞争情报方可以利用接待或访问节点企业、欺骗、引诱和拉拢节点企业关键岗位人员及关联人员、通过关联第三方等渠道,获取供应链系统的敏感信息情报。
25供应链集成化信息系统安全隐患梳理
供应链集成化信息系统在实现供应链合作伙伴间的信息交互与信息共享的同时,也为敌意侵害方的竞争情报工作提供了机会。供应链集成化信息系统安全隐患可能存在以下3个环节中:其一,敌意侵害方成功地避开了供应链集成化信息系统的竞争情报检测;其二,数据流重定向器未能筛选出数据流中的竞争情报信息流,将竞争情报信息流误认为正常业务流;其三,Intranet内主机或服务器为竞争情报方提供信息存取服务,就会造成供应链系统关键信息情报的泄密。
3供应链系统情报泄密的路径分析
31信息安全治理过程监管不力造成供应链系统情报泄密信息安全决策中心安全隐患之一在于信息安全治理过程中的情报泄密。由于情报泄密可能发生在信息安全决策中心制定信息安全战略、总体规划和重大信息安全政策等的酝酿、起草、征询意见、方案评估、方案试行前的各个阶段,因此,信息安全治理工作需要统筹规划,点面结合,齐抓共管。既要制定好信息安全治理工作的总体预案,又要有分阶段的详细应对计划。对参与信息安全治理工作的部门和人员(包括高管在内)实行全流程、全员备案制,从制度上堵塞安全漏洞。
信息安全心得体会例8
DOI:10.3969/j.issn.1008-0821.2013.05.012
〔中图分类号〕G2502〔文献标识码〕A〔文章编号〕1008-0821(2013)05-0051-05
目前受灾者信息需求尚未引起学者关注,原因一方面在于信息需求是“隐性”的,不像食物被褥等物资需求那样容易引人关注,另一方面在于满足信息需求并不是应急管理的主要目标。在实际的突发事件应对中,受灾者信息需求也常常被忽视,受灾者接受到的信息内容定式化。然而,作为直接承受灾害的一方,受灾者信息需求的满足程度影响着其风险认知水平及行为表现。若能理解受灾者信息需求产生机理和内容特点,则能向受灾者提供满足其需求的信息内容,使其更快走出灾害的负面影响。
1相关概念
11信息需求与基本需求
学界对信息需求尚无一致性的定义,可简单认为信息需求是对信息的不足感和求足感[1]。对于信息需求与基本需求的关系,学者间也存在争议[1]。有学者认为信息需求属于基本需求,是“第一层次”的需求;而威尔逊等学者则认为信息需求是从属于基本需求的“第二层次”需求。其实,出现这种探讨的原因在于对信息概念界定不清晰。信息论自形成起就以不可阻挡之势影响各学科领域[2],在这种态势下,心理学中形成了信息加工论,认为个体的心理过程实际是一种主动寻找、接受和加工信息的过程[3]。信息需求也就顺理成章地成为了“第一层次”的需求,是人与生俱来的基本需求。简言之,将信息需求划分至基本需求一类其实是信息概念普泛化的结果。相对应的,将信息需求划分为“第二层次”的需求则是基于传统心理学对基本需求的理解,是较为狭义的信息概念使用。至于究竟哪种假设更为合适,尚无定论。为方便分析受灾者信息需求,本文支持第二种观点,认为信息需求是从属于基本需求的“第二层次”需求。
12受灾者信息需求
根据一般个体信息需求的定义[1],可将受灾者信息需求定义为受灾人群在突发事件过程中对信息的不满足状态。受灾者信息需求是其对信息不足感与求足感的心理状态,会使受灾者产生一定的信息行为。受灾者信息需求是从属于其基本需求的“第二层次”需求,是“隐性”需求。不像被认为与基本生存权相关的生理需求和安全需求那样引人关注,受灾者的信息需求常常被忽视。然而,不同于食物、水等满足基本需求的物资实物需要资金作为保障,信息一经知晓便已获得,这使得满足众多受灾者信息需求本身并不需耗费大量资源。因此,提供受灾者其所需的信息是可行且有意义的。
2受灾者信息需求产生
英国谢菲尔德大学信息学专家威尔逊(Wilson)提出一种适用于现实生活中个体信息行为分析的模型,可用以分析导致信息行为的信息需求[4]。威尔逊关于信息需求的观点主要包括:信息需求源于基本需求,是第二层次的需求;基本需求可界定为生理需求、认知需求和情感需求3类,3类基本需求间相互关联;基本需求源自个体自身、个体工作或生活角色要求、个体所处环境等背景(context)因素[4-5]。按照威尔逊的观点,可将受灾者信息需求产生过程用图1表示。
德尔文感知形成理论(Dervins Sense-Making theory)中用情境(situation)一词来表示信息行为发生的背景[4]。情境一词常用于心理环境研究,因而用来表示属于心理领域的需求的背景是合适的。受灾者所处突发事件情境可以简单划分为突发事件下的物理环境和社会情境。物理环境是与个体密切相关的、客观存在的物质环境,是突发事件某一时间段内相对稳定的空间各要素的结合。社会情境是与个体相关的全部社会事实,是与个体相关的各社会因素的结合。以地震发生后废墟中等待救援的受灾者为例,废墟空间构成其所处物理环境的一部分,丧失亲友则是其社会情境的一方面。表1以地震灾害为例简单描述了一般生活情境和突发事件情境的差异。
22受灾者基本需求产生
突发事件物理环境和社会情境因素的改变作用于受灾者,会使受灾者产生相应的基本需求。根据马斯洛需求层次理论,这些基本需求可划分为:生理需求、安全需求、社交需求、尊重需求和自我实现的需求。因为情境因素和基本需求间存在一定相关性,所以可以通过分析情境因素及其对受灾者的影响推导出受灾者可能产生的基本需求。以表1中描述的地震情境为例,表2按照这一思路推导出了受灾者可能产生的基本需求。
表2地震情境受灾者基本需求产生表
情境因素受影响的方面对应的基本需求管道破裂、电缆断裂,水、气、电停供,江河湖泊等水源受污染……基本生活所需的食物、饮用水等受影响……生理需求建筑房屋受损甚至倒塌,医疗设施毁坏,治安秩序遭破坏……医疗安全 、居住安全、社会治安等无法保障……安全需求丧失亲友、社交活动停止……感情、社会交往无法继续……社交需求…………尊重需求工作学习活动中止……自我价值实现活动无法进行……自我实现需求由表2可以发现,突发事件情境往往会同时影响到受灾者众多方面的基本需求。而按照马斯洛需求层次理论,不同类别基本需求有高低和先后之分,只有低层次需求得到满足,高层次的需求才会产生。在生理需求尚未得到满足的情况下,安全需求不会出现;依次类推。因此,表2仅是列出了受灾者可能产生的基本需求,并不表示受灾者同时产生了列举的所有基本需求。此外,情境推演无法得知受灾者可能产生的尊重需求,原因在于尊重状态与心理活动密切关联,无法由情境推演得出。这里使用情境推演是为了方便说明受灾者信息需求的产生过程,即由突发事件情境作用下受灾者产生的基本需求衍生而来。
23受灾者信息需求产生
受灾者产生基本需求之后,会进一步产生为满足这些基本需求的信息需求。由于是衍生于基本需求的第二层次需求,受灾者信息需求也相应可划分为5类[6]:满足生理需求的信息需求、满足安全需求的信息需求、满足社交需求的信息需求、满足尊重需求的信息需求和满足自我实现需求的信息需求。受灾者具体的信息需求内容将在下一节进行分析。
产生的信息需求并非就是受灾者意识到的信息需求。按照科亨信息需求层次理论,受灾者信息需求有3种存在状态:客观的受灾者信息需求、受灾者认知到的信息需求、受灾者表达出的信息需求。客观的信息需求是由受灾者基本需求衍生出的、客观存在的信息需求;认知到的信息需求是受灾者意识到的信息需求;表达出的信息需求则是受灾者经由一定方式表达出的信息需求。3种状态的信息需求表现出一定的层次性:受灾者认知到的信息需求是其客观信息需求的一部分,而由受灾者表达出的信息需求是更少的一部分了[7](见图2)。在信息需求的3层次状态中,受灾者认识到信息需求是其信息行为的前提,而表达出信息需求则是行为的要求。
32安全相关信息需求
安全相关信息需求是受灾者为满足其安全需求而产生的对安全相关信息的需求,是受灾者对能保障其自身长久生存的相关信息的需求。受灾者安全可进一步划分为人身安全保障、物理环境安全和社会环境安全三个方面。相应的,受灾者安全相关信息需求包括对身体安全保障相关信息的需求,对物理环境安全相关信息的需求和对社会治安相关信息的需求。这些信息包括:如何防止遭受二次伤害,如何在灾区获得卫生安全的食物,何处适合躲避,如何自救,现在治安如何等。
安全相关信息需求和生理相关信息需求共同构成生存相关信息需求。安全相关需求仅次于生理相关信息需求,也是受灾者紧迫的需求。在实际的灾害救援中,安全相关信息需求与生理相关信息需求一样,也是灾害救援中优先供给的。
33社交相关信息需求
社交相关信息需求是受灾者为满足其社交需求而产生的对于社交相关信息的需求,是受灾者对爱情、友情、亲情及社会交往等能带来归属和情感的信息的需求。例如,有关亲友现状的信息,如何与亲友取得联系的信息,如何获得心理援助的信息等,如何参加灾区公共活动的信息等。
社交相关信息需求是在生理需求和安全需求得到满足之后,由社交需求产生。属于中间层次的信息需求。社交需求并不像生理和安全需求那样受重视,但对于受灾者平复心理创伤,减少应激反应而言是十分重要的,能有效防止灾后长期应激障碍的出现,灾害沟通中应重视对这方面信息的提供。
34尊重相关信息需求
尊重相关信息需求是受灾者为满足其尊重需求而产生的对尊重相关信息的需求。尊重需求包括3个方面:自我尊重、自我评价和尊重他人。相应的,受灾者需求的尊重相关信息也包括3个方面:自我尊重相关信息、自我评价相关信息和与尊重他人相关的信息。这些信息包括:他人对自己评价如何,是否受到他人歧视,如何进行合适的灾时自我评价,如何获得他人尊重等。
尊重相关信息需求是受灾者在生理需求、安全需求和社交需求都得到满足之后,由尊重需求产生。尊重需求在灾害救援中往往受忽视,一方面,尊重是受灾者自身的心理感受,救援者无法知晓;另一方面,灾害救援的资源有限性和时间紧迫性决定了无法顾及受灾者尊重。
35自我实现相关信息需求
自我实现相关信息需求是受灾者为满足其自我实现需求而产生的对实现价值相关信息的需求。自我实现相关信息包括自身潜能相关信息和受灾者自我价值实现相关信息,例如在工作学习中止的灾时如何实现自身价值的信息,如何在经历灾害之后再就业的信息,如何掌握专业技能为再就业做准备的信息等等。
自我实现相关信息需求是最高层次的信息需求,一般是在受灾者生活得到保障,社交和尊重需求得到满足之后,由自我实现需求产生。自我实现相关信息需求是受灾者在灾区恢复建设时期的重要信息需求,关乎受灾者未来生活状况。
4受灾者信息需求特点
从前文所述的受灾者信息需求产生过程和信息需求内容,可知受灾者信息需求特点主要表现在四个方面:受灾者认知和表达的不完全性,受灾者急需的是生存相关信息,不同类别信息需求间存在层次性,受灾者的信息需求会随突发事件发生发展而变化并表现出一定的阶段性特征。
41受灾者认知和表达的不完全性
受灾者认知和表达的信息需求只是其客观存在的信息需求的一部分,是不完全的信息需求。认知和表达的不完全性使受灾者实际的信息需求往往比其表达出的信息需求多,因而并不能完全依赖受灾者自己寻求信息,而应在条件允许的情况下尽可能多地向受灾者提供相关信息,这些信息可能就是受灾者尚未表达出,但又实际需求的信息。
42受灾者急需生存相关信息
生存相关的信息(包括生理相关信息和安全相关信息)是受灾者最紧迫需要的信息。突发事件的特征是威胁到受灾者的生存状态,而生存又是人类最低层次的需求。因此,与受灾者生存相关的需求是亟需予以满足的需求。相应的,生理相关信息和安全相关信息是受灾者最为需要的信息。突发事件中应该首先保证满足受灾者这两方面的信息需求。
43受灾者信息需求类别间具有层次性
受灾者不同信息需求类别间存在先后次序,且与基本需求密切相关。按照马斯洛需求层次理论,只有生理需求得到满足之后,才会出现安全需求;只有安全需求得到满足,才会出现社交需求;往后以此类推。因此,由基本需求衍生出的信息需求也是在前一层次基本需求得到满足之后才会由本层次基本需求衍生而来。例如安全相关信息需求只会在生理需求得到满足之后,才会由新出现的安全需求衍生而来。因此,在信息供给方面应按照先后次序给予不同信息类别不同重要性。
44受灾者信息需求表现出一定阶段性
受灾者信息需求随其突发事件背景发生发展而变化,并表现出一定的阶段性。受灾者信息需求在不同事件阶段的侧重点不同。灾前,感知到灾害而尚未受灾害影响的潜在受灾者主要需求安全相关信息;灾害中,生存受影响的受灾者则尤其需要生存相关信息;灾害后,受灾者生存得到保障,社交需求、尊重需求和自我实现的信息需求开始显现。因此,应在不同的阶段重点给予受灾者不同的信息:灾前的风险防范信息,灾时的生存相关信息,灾后的社交、尊重、自我实现相关信息。
5总结
突发事件中,受灾者所处情境要素的改变会使其产生相应的基本需求,基本需求又进一步衍生出信息需求。受灾者信息需求可分为五类:生理相关信息需求、安全相关信息需求、社交相关信息需求、尊重相关信息需求和自我实现相关信息需求。此外,受灾者信息需求还表现出一定的特征:认知和表达的不完全性,急需生存相关信息,信息需求类别间的层次性,信息需求的阶段性。相应的,在信息供给方面应做到以下四点:在条件允许的情况下尽可能多地提供信息,首要满足的是受灾者生理和安全相关信息需求,给予不同信息类别不同重要性予以满足,在事件不同阶段随需求变化调整信息供给内容。
参考文献
[1]朱婕,张艳英.试论个体的信息需求[J].情报科学,2008,(12):1807-1809.
[2]刘发中.信息概念的普泛化问题[J].情报科学,1981,(2):13.
[3]乐国安.社会心理学理论新编[M].天津:天津人民出版社,2009:101.
[4]TDWilson.Models in Information Behavior Research[J].Journal of Documentation,1999,(3):252-253.
[5]TDWilson.On user studies and information needs[J].Journal of Documentation,2006,(6):661,663,667.
信息安全心得体会例9
一、引言
信息化是当今世界发展的大趋势,也是我国面临的重大发展机遇。大力推进信息化,以信息化带动工业化,以工业化促进信息化,走新型工业化道路,是全面建设海峡西岸经济区、构建和谐社会的必然选择。
网络与信息安全工作是数字福建建设的重要组成部分。加快建设与数字福建发展水平相适应的福建省网络与信息安全保障体系,对维护国家安全和社会稳定,保障公民合法权益,促进数字福建健康、有序发展具有重要意义。
二、福建省网络与信息安全的现状与挑战
“十五”期间,福建省信息安全保障整体布局已初步形成,信息安全基础性工作和基础设施建设取得了显著成绩,信息安全产业初具规模。目前,福建省已建成了福建省电子商务认证中心、省政务数字认证中心和密钥管理中心,发放了13万张企业数字证书和4400多张电子政务数字证书;建成了省政务信息网和国际互联网安全监控中心,实现对政务网和互联网的安全监控;利用密码技术在省政务信息网上建成覆盖全部省直单位的省政务网子网,确保联网单位之间秘密信息的安全通信;建成全省保密系统的信息网络及其网络安全防范体系,防止国家秘密信息的泄漏;建成了数字福建数据灾难备份中心。
信息安全管理体制和工作机制逐步建立,信息安全责任制基本落实;信息安全等级保护、信息安全风险评估、信息安全产品认证认可、信息安全应急协调机制建设、网络信任体系建设、信息安全标准化制定等基础性工作和基础设施建设取得较大进展;信息安全问题受到了福建全省人民的普遍关注,民众对信息安全的理解和认识更加深入全面。总的来看,通过全社会的共同努力,一种齐抓共管、协调配合的有效机制基本形成,信息安全保障工作的局面已经打开。
但从总体上看,福建省的信息安全防护水平还不高,与国际水平和先进省份相比还有一定的差距,网络与信息系统的防护水平依然有限,应急处理能力还不强;信息安全管理和技术人才还比较缺乏,信息安全法律法规还不够完善;信息安全管理还比较薄弱,面临的风险和威胁仍然比较突出。随着数字福建的进一步推进,海峡西岸经济区建设对信息化的依赖程度将进一步提高,网络与信息安全的问题将摆上更重要的议事日程。福建省将充分利用已有的信息安全保障资源,按照中央提出的“确保国家经济安全、政治安全、文化安全和信息安全”的要求,加快建设数字福建网络与信息安全保障体系,以保障和促进国民经济和社会信息化的持续快速健康发展。
三、网络与信息安全保障体系总体框架
网络与信息安全保障体系主要包含组织管理、技术保障、基础设施、产业支撑、人才培养、法规标准六个部分,如图1所示。
图1 网络与信息安全保障体系
四、关于网络与信息安全策略的建议
⒈构建电子政务信息安全技术保障体系
技术保障体系是电子政务安全保障体系的重要组成部分,它涉及3个层面的内容:一是信息安全的核心技术和基本理论的研究与开发,包括数据加密技术、信息隐藏技术以及安全认证技术;二是基于信息安全技术的信息安全产品或系统,如反病毒系统、防火墙系统、入侵检测系统和物理隔离系统等;三是运用信息安全产品和系统构建综合防护系统,主要做法是采用各安全厂商提供的综合安全解决方案。
信息安全保障工作,一方面,要加强核心技术的研发。我国网络与安全保障关键是要有自主的知识产权和关键技术,从根本上摆脱对外国技术的依赖,积极加大科技投入,尽快形成有自主产权的信息安全产业,加强安全技术的研究与开发,推进信息安全技术创新,增强网络与信息安全保障的能力。另一方面,构建一整套符合实际需求的安全体系。包括各种具体的安全系统、安全操作系统及相关的安全软件和技术、各种系统间的综合集成和有关的服务等,构筑坚实的网络与信息安全屏障。
⒉强化网络与信息安全管理
安全管理是实现信息安全的落实手段,而建立有效的安全管理机构是保障信息安全的组织保证。通过建立统一的、立体的、多维的信息安全管理体系。安全管理机构需要制定一系列严格的管理制度和建立电子政务信息安全机制来保障共建共享的信息安全。管理制度包括系统运行维护管理制度、文档资料管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、安全等级保护制度等。电子政务的信息安全机制是指实现信息安全目标的支持元素,它主要包括以下3方面的内容:
一是支撑机制。作为大多数信息安全能力的共同基础,支撑机制是最常用的安全机制。支撑机制包括标识和命名、密钥管理、安全管理、系统保护。
二是防护机制。主要用于防止安全事故的发生,受保护的通讯、身份鉴别、授权、访问控制、拒绝否认、事务隐私。
三是检测和恢复机制。主要用于检测共享系统中安全事故的发生并采取措施减少安全事故的负面影响。包括审计、入侵检测和容忍、完整性验证、安全状态重置。
⒊加强信息安全标准化建设
建立健全信息安全法律体系和标准化体系,并且将标准化体系纳入法律体系和法制范畴,使其具有强制实施的法律效力。这是促进信息化建设健康发展、构建信息安全保障新体系的内在要求和主要内容。通过学习和借鉴国外先进经验,认真总结自身经验,积极探索加强信息安全法制建设和标准化建设的新思路。这方面的重点是综合考虑信息网络系统安全立法的整体结构,尽快建成门类齐全、结构严谨、层次分明、内在和谐、功能合理、统一规范的信息安全法律法规体系,用来调节信息安全领域的各种法律关系。加强信息安全标准化建设,根据信息安全评估的国际通行准则,参照国际标准,学习借鉴先进国家的成功经验,从实际出发,抓紧制定急需的信息系统安全等级保护标准、系统评估标准、产品检测标准、公钥基础设施标准、电子身份认证标准、防火墙技术标准以及关键技术、产品、系统、服务商资质、专业技术人员资质、各类管理过程与测评的标准等。建立健全信息安全标准化体系,重视现有的信息安全标准的贯彻实施,充分发挥其基础性、规范性的作用。
⒋大力培养信息安全专业人才
信息安全的保障离不开专业的技术人员,信息安全管理的核心要素是高素质的人和技术队伍。人是保证信息安全的最重要的因素,因为法律、管理、技术都要人去掌握。信息安全管理人员的安全意识、素质水平、创新能力直接影响到信息的安全。必须重视和加强对信息安全专业人才的培养,全面提高人员的道德品质和技术水平,这是保障信息安全的关键所在。通过大众传播媒介、远程教育、组织各种专题讲座和培训班等方式,培养各种层次和类型的信息安全专业人才。此外,还要不断加强对广大公务员的教育、培养和管理,增强广大公务员的信息安全意识、遵纪守法意识,提高其技术和业务水平,从而增强其保障信息安全的能力。
信息安全心得体会例10
二、完善档案建立信息安全设施,夯实基础,强化机制
为了确保档案信息安全,必须首先将建立档案信息安全体系作为第一要务,以科学、合理、完善的档案信息安全管理体制机制达到保障档案信息安全的目的。诸如建立档案信息安全危机预防与危机管理机制;实施重要档案信息备份制度,提高抵御各种突发事件影响的能力;处理好档案信息利用与保护的关系,提高档案利用过程中档案实体与信息安全的保障能力;完善受损档案抢救制度,采取抢救和保护措施,把损失降到最低等各项制度措施,认真做好档案信息化建设过程中的档案信息安全保障工作。
三、健全档案建立信息安全制度,明确责任,形成常态
对档案信息安全构成威胁的因素来自各个层面和各个领域。因此,需要构建一个全面的法规制度体系,即国家、地方和档案部门从三个不同的层面建立健全档案信息安全法律法规体系,来保障档案的绝对安全。当前,档案信息安全管理的条款分布在《保密法》、《国家安全法》、《档案法》、《档案法实施办法》和档案工作的各项条例条令等规范之中,尚未形成专门的档案信息安全管理制度或法律体系,需要我们依据国家的有关法规、结合档案信息安全保障的具体实际,建立一整套具体可行的档案信息安全管理制度,明确规定档案信息安全的管理职责、管理要求、管理目标、管理内容等,依法实施组织管理,并形成常态化的趋势。有了科学完善的档案信息安全管理的法规,关键就在于具体、有效落实。必须在建立健全各项规章制度的基础上抓好落实,要加强对档案资源监测,严格档案的管理和利用活动,依法管理,按章办事,科学有效地实现档案的管理与保护。依法严厉查处破坏档案、危害档案信息安全的行为,对污染环境、盗窃档案、破坏档案的重大事件要严肃查处,坚决打击。同时还应当注意到:档案信息安全是档案工作的中心内容,不但要确保档案在收集、整理、保管、编研中的信息安全问题,还要进一步强调责任意识,通过各级档案部门和业务人员的分层包干、分层负责,消除档案业务管理工作中可能出现的各种档案信息安全隐患,确保档案信息安全,努力做到万无一失。
