信息安全管理辦法及細則范文

時間:2023-10-11 17:26:38

導(dǎo)語:如何才能寫好一篇信息安全管理辦法及細則,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

關(guān)鍵詞:市縣一體化;信息;安全;保障

中圖分類號:F291 文獻標識碼:A

0引言

《國家電網(wǎng)公司信息系統(tǒng)安全管理辦法》對建設(shè)國網(wǎng)一體化信息安全保障體系的目標給出了指導(dǎo)性意見,就是要增強信息安全防護能力,提升信息安全自主可控能力,防止承載各類業(yè)務(wù)系統(tǒng)被惡意滲透,防止關(guān)鍵業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)或信息被竊取或篡改,以確保更有效的抵御各種風(fēng)險,最終實現(xiàn)國網(wǎng)自上而下信息系統(tǒng)網(wǎng)絡(luò)安全、服務(wù)器及應(yīng)用系統(tǒng)、桌面終端、移動存儲介質(zhì)等全方面的管控,使各層級信息化應(yīng)用水平及信息安全防護水平達到一個新的高度[1]。

近年來,隨著國家電網(wǎng)公司信息技術(shù)的深化應(yīng)用,信息安全日益重要。澠池縣電業(yè)局在市縣一體化信息安全管理策略的設(shè)計和實現(xiàn)中以“硬件建設(shè)”為基礎(chǔ),以“軟件建設(shè)”為關(guān)鍵,以“管理建設(shè)”為手段,深化安全管理,持續(xù)提升信息化安全水平。

1專業(yè)管理的頂層設(shè)計和指標體系

1.1市縣一體化頂層設(shè)計目標。在現(xiàn)有的信息化平臺基礎(chǔ)上,通過2年的系統(tǒng)建設(shè),分步實施“硬件組體、軟件添翼、管理促飛”信息安全保障體系“三部曲”策略,最終構(gòu)筑起堅強的市縣一體化信息安全保障體系。

1.2從環(huán)境設(shè)施上加以提升,從技術(shù)流程上加以完善,從管理措施上嚴格要求,以確保更有效的抵御各種風(fēng)險,實現(xiàn)安全穩(wěn)定可靠運行。安全保障策略指標值如下:

1.2.1硬件指標:內(nèi)網(wǎng)網(wǎng)絡(luò)部署防火墻、內(nèi)外網(wǎng)實現(xiàn)“物理隔離”;部署上網(wǎng)行為管理、門禁、防雷等硬件設(shè)施;部署數(shù)據(jù)中心虛擬容災(zāi)系統(tǒng);建設(shè)市縣網(wǎng)絡(luò)主備通道。

1.2.2軟件指標:桌面注冊率達到100%;殺毒軟件安裝率達到100%;無賬戶弱口令;無安全防護漏洞;無違規(guī)郵件、網(wǎng)站。

1.2.3管理制度:制定或修編澠池縣電業(yè)局《安全移動存儲介質(zhì)管理辦法》《桌面終端設(shè)備安全管理辦法》《計算機信息系統(tǒng)安全管理辦法》《信息網(wǎng)絡(luò)運行管理辦法》《計算機信息系統(tǒng)安全管理辦法》《計算機機房管理制度》《計算機設(shè)備管理辦法(試行)》《網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急預(yù)案(試行)》《信息安全保密協(xié)議書》《信息系統(tǒng)口令管理辦法》、《信息內(nèi)外網(wǎng)辦公終端準入管理辦法》。

2市縣一體化策略的實現(xiàn)

2.1硬件組體“搭建體骼”。

2.1.1基礎(chǔ)環(huán)境建設(shè)。長遠規(guī)劃,進行機房資源整合,按照國家二類機房建設(shè)要求,改擴建中心機房面積達到160平方米,進行機房區(qū)域劃分,增設(shè)直流電源室、公共上網(wǎng)區(qū)、備品備件室、維修間共128平方米,開展門禁系統(tǒng)、信息防雷系統(tǒng)及監(jiān)控系統(tǒng)建設(shè),添置網(wǎng)絡(luò)測試儀器及相關(guān)辦公用品,機房具備防水、防火、防灰塵、防盜、防雷等多種功能,完全滿足運維、管理、辦公需求。

2.1.2數(shù)據(jù)容災(zāi)建設(shè)。本著同城異地備份、確保數(shù)據(jù)安全的原則,建設(shè)60余平方米數(shù)據(jù)中心虛擬容災(zāi)機房,具備實時備份系統(tǒng)數(shù)據(jù)和集中統(tǒng)一管理的功能,滿足各類系統(tǒng)擴展性和可靠性要求。

2.1.3市縣網(wǎng)絡(luò)擴容建設(shè)。按照河南省電力公司要求,單獨配置雙千兆路由器,配置雙核心千兆交換機,實現(xiàn)與三門峽供電公司的聯(lián)網(wǎng)帶寬達到2*100M,市縣APN備用通道1*10M,省公司至縣局VPN聯(lián)網(wǎng)帶寬1*100M的目的。

2.1.4實現(xiàn)內(nèi)外物理隔離。對邊緣配線間進行改造,加裝樓間層防水防潮裝置,采用防鼠技術(shù)措施。對內(nèi)網(wǎng)和外網(wǎng)采取平行布線模式,終端用戶主機雙配置,實現(xiàn)完全物理上的內(nèi)外網(wǎng)分離。

2.1.5擴容后備電源。中心機房增設(shè)10kVA不間斷UPS電源,與蘭州大學(xué)聯(lián)合開發(fā)了蓄電池除硫裝置,當市電供電系統(tǒng)出現(xiàn)停電或電池容量不足時,以短信形式向維護人員發(fā)送告警信息,極大地提高了其設(shè)備的維護效率和系統(tǒng)運行安全性,延長UPS電源的使用壽命。

2.1.6從低壓電源側(cè)、通信線路、通訊設(shè)備及網(wǎng)絡(luò)設(shè)備全方位、多層次部署機房三級防雷系統(tǒng),有效地防止雷擊對機房內(nèi)設(shè)備所產(chǎn)生的危害。

2.2軟件添翼“助翼雙翅”。

2.2.1終端用戶防護。按照《國家電網(wǎng)公司信息化“SG186”工程安全防護總體方案》,對信息內(nèi)外網(wǎng)部署北信源桌面終端標準化管理系統(tǒng),實現(xiàn)桌面終端安全訪問、安全接入,硬件資產(chǎn)全生命周期應(yīng)用等功能,桌面終端標準化管理系統(tǒng)級聯(lián)至市公司,實現(xiàn)桌面運行監(jiān)測及相關(guān)考核指標的標準化,安裝率達到100%。

2.2.2防病毒防御系統(tǒng)安裝。全網(wǎng)桌面終端安裝Nod32防病毒軟件,安裝率達到100%。對危害桌面終端安全的惡意軟件和功能時刻保持著高度警惕。桌面終端安全系統(tǒng)、智能防御系統(tǒng)等級提升。

2.2.3補丁系統(tǒng)完善。通過標準化的管理流程實時為桌面終端提供標準、最新的補丁漏洞信息及數(shù)據(jù)更新服務(wù)。定期自動從互聯(lián)網(wǎng)獲取操作系統(tǒng)軟件廠商的補丁,在仿真的網(wǎng)絡(luò)環(huán)境中嚴格測試認證后,確保補丁安全,再將安全的補丁分發(fā)到實際網(wǎng)絡(luò)環(huán)境中的計算機終端,并可以進行相關(guān)的補丁分發(fā)行為控制和流量管理,在簡化人工干預(yù)的同時,確保終端系統(tǒng)的安全和網(wǎng)絡(luò)的穩(wěn)定。

2.2.4市縣聯(lián)動安全措施。三門峽供電公司部署網(wǎng)管軟件,定期對縣局的終端設(shè)備掃描檢測內(nèi)網(wǎng)安全漏洞,豐富安全技術(shù)手段,為縣局信息安全管理提供支撐。同時依據(jù)《關(guān)于企業(yè)使用正版軟件通知》要求,與知名廠商簽訂購置正版操作系統(tǒng)供應(yīng)協(xié)議。省市縣三級所用桌面終端安裝了國網(wǎng)公司下發(fā)的正版軟件,增強了基礎(chǔ)層業(yè)務(wù)應(yīng)用穩(wěn)定性和數(shù)據(jù)的安全性。

2.3管控結(jié)合“促力騰飛”。

2.3.1“引教結(jié)合”,強化安全管理。通過文件、公告、會議、信息安全競賽等多種渠道,大力宣傳保障網(wǎng)絡(luò)與信息安全的重要性。組織信息技術(shù)人員和信息員進行網(wǎng)絡(luò)與信息安全技術(shù)培訓(xùn)和現(xiàn)場宣貫。對關(guān)鍵崗位人員進行全面、嚴格的安全審查和技能考核,對在信息系統(tǒng)安全工作中做出顯著成績的單位和人員應(yīng)給予獎勵和表彰,對違反國家法律、法規(guī)和澠池縣電業(yè)局有關(guān)規(guī)定,造成一定不良影響和后果的,追究其責(zé)任。這些措施的實施,使全局范圍內(nèi)從上到下統(tǒng)一了思想、明確了認識,強化了全員網(wǎng)絡(luò)與信息安全意識。

2.3.2強化系統(tǒng)運行維護管理。對信息網(wǎng)絡(luò)與系統(tǒng)運行狀況等進行監(jiān)測和報警,定期對監(jiān)測和報警記錄進行分析,根據(jù)需要采取必要的應(yīng)對措施。建立安全管理中心,對安全設(shè)備、惡意代碼、補丁升級、安全審計等安全設(shè)施進行集中管理。嚴格按照有關(guān)信息系統(tǒng)事故調(diào)查規(guī)定,及時報告信息系統(tǒng)事故情況,認真開展信息系統(tǒng)事故原因分析,堅持“四不放過”原則,有效落實整改,確保類似事故不再發(fā)生。

2.3.3強化移動存儲規(guī)范化管理。移動存儲設(shè)備集中授權(quán)分發(fā),數(shù)據(jù)交換前必須通過正確的身份認證,符合密碼復(fù)雜度身份認證策略,記錄數(shù)據(jù)交換過程的工作日志,便于以后進行跟蹤審計,非授權(quán)的移動存儲介質(zhì),在工作環(huán)境不可用。利用信息保密、訪問控制、審計等技術(shù)手段,對移動存儲設(shè)備實施安全保護,登記存儲信息資產(chǎn)、日志記錄、審計記錄和信息不能被移動存儲設(shè)備非法流失,實現(xiàn)存儲設(shè)備信息安全的“五不”原則,即:進不來、拿不走、讀不懂、改不了、信不丟。

2.3.4強化弱口令管理。根據(jù)“信息安全通報”、“信息安全反違章”檢查的結(jié)果,結(jié)合其實際,進行全面的信息系統(tǒng)弱口令專項治理工作[2]。對系統(tǒng)本單位及局屬各部門的桌面計算機,信息應(yīng)用系統(tǒng)、操作系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng)等用戶的訪問賬號及口令進行徹底排查,對不符合口令要求的用戶及系統(tǒng)下發(fā)相應(yīng)的通知,使其進行限期的整改,杜絕信息系統(tǒng)泄密事件的發(fā)生。

2.3.5強化安全接入管理。通過在網(wǎng)絡(luò)中部署相應(yīng)的網(wǎng)絡(luò)安全檢查策略,確保用戶滿足身份認證的要求,同時用戶的終端設(shè)備必須達到一定的安全和策略條件,才可以通過網(wǎng)關(guān)設(shè)備接入到網(wǎng)絡(luò)中并獲得相應(yīng)的訪問權(quán)限。一方面驗證了用戶的身份,避免了非法用戶接入到網(wǎng)絡(luò)中,限定了用戶的訪問權(quán)限;另一方面也避免了存在安全隱患的終端系統(tǒng)的接入,可以大大消除蠕蟲病毒對網(wǎng)絡(luò)系統(tǒng)以及承載的業(yè)務(wù)所帶來的威脅和影響,實現(xiàn)幫助客戶發(fā)現(xiàn)、預(yù)防和消除安全威脅的目標。

2.3.6強化保密工作管理。管理嚴格執(zhí)行“不上網(wǎng)、上網(wǎng)不”紀律[3],重要工作資料不得在外網(wǎng)計算機上留存,嚴禁在信息外網(wǎng)上傳輸、處理涉及國家秘密和澠池縣電業(yè)局秘密的信息。嚴格信息系統(tǒng)安全工作人員錄用過程,審查其身份、背景、專業(yè)資格,及時終止離崗員工的所有訪問權(quán)限。嚴格外部人員訪問程序,對允許訪問人員實行專人全程陪同或監(jiān)督,并登記備案。

2.3.7強化運行通報管理。為進一步做好信息安全保障工作,定期對信息安全工作進行統(tǒng)計分析,在月報中透明的體現(xiàn)信息安全運維工作,使全體員工及時掌握信息系統(tǒng)的運行情況,更好的為生產(chǎn)經(jīng)營業(yè)務(wù)服務(wù),澠池縣電業(yè)局每月《澠池縣電業(yè)局信息化工作簡報》對當月信息安全運維工作的整體情況進行統(tǒng)計分析。每月一期《澠池縣電業(yè)局網(wǎng)絡(luò)與信息安全運行月報》,對當月網(wǎng)絡(luò)與信息安全運行情況進行統(tǒng)計分析。信息安全運行通報制度的執(zhí)行,使全體員工對信息安全運維工作有了了解的途徑,增強了全員信息安全意識。

2.3.8強化系統(tǒng)上下線管理。加強應(yīng)用系統(tǒng)的管理審批流程,形成閉環(huán)管理。新建信息系統(tǒng)涉及安全防護措施建設(shè)時,明確安全需求,確定安全等級,結(jié)合澠池縣電業(yè)局安全防護總體策略,進行安全防護方案設(shè)計。嚴格規(guī)范系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序,建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準,并進行必要的安全隔離,配置嚴格的訪問控制策略,開展必要的安全評估[4]。

2.4激活人力資源,提升管控空間。

2.4.1搭建核心保障體系。成立以科技信息副局長為組長的信息安全保障體系領(lǐng)導(dǎo)小組,各部門負責(zé)人為領(lǐng)導(dǎo)小組成員,對澠池縣電業(yè)局整體信息安全保障體系工作進行全面督導(dǎo)。領(lǐng)導(dǎo)小組下設(shè)工作小組(辦公室設(shè)在信息中心),具體負責(zé)協(xié)調(diào)、執(zhí)行實現(xiàn)信息安全保障策略的各項工作,本單位各部門設(shè)有兼職信息管理員,負責(zé)配合本單位本部門信息安全保障體系的協(xié)調(diào)、執(zhí)行。

2.4.2開展兼職信息員建設(shè),發(fā)揮信息管理員潛能。在全局各部門設(shè)立兼職信息管理員36名,部門兼職信息管理員由各部門既通曉業(yè)務(wù)、又熟悉計算機知識的人員擔(dān)任,職責(zé)為進行基礎(chǔ)性的運維工作、信息安全宣傳、督導(dǎo)與檢查和整改工作。信息員管理以安全員的標準按照專業(yè)化管理思路統(tǒng)一管理,設(shè)立有合理的薪酬標準及詳細的管理制度,每月定期召開信息安全會議,按月開展信息技術(shù)培訓(xùn),嚴格執(zhí)行各種業(yè)務(wù)考核和工作安排,不斷強化責(zé)任心和業(yè)務(wù)能力,形成全局齊抓共管的局面。

2.4.3績效考核與控制。為保證市縣信息安全保障體系的正常運轉(zhuǎn),明確職責(zé)分工,對工作項目和內(nèi)容進行標準化、規(guī)范化管理,依據(jù)國網(wǎng)公司、省公司等上級單位的相關(guān)要求,修訂完善了《澠池縣電業(yè)局信息網(wǎng)絡(luò)運行管理辦法》等11項管理規(guī)范及標準,進一步規(guī)范了信息系統(tǒng)運行管理,確保安全保障策略持續(xù)、穩(wěn)步實施。

3結(jié)語

近年來,國網(wǎng)公司實施了覆蓋信息系統(tǒng)全生命周期的54項管理措施,立足國產(chǎn)化,積極探索自主可控安全管理模式,結(jié)合電網(wǎng)安全需求,加強頂層設(shè)計,對電網(wǎng)信息安全工作進行整體規(guī)劃,經(jīng)過努力,澠池縣電業(yè)局在網(wǎng)絡(luò)信息安全保障策略的設(shè)計和實施中的經(jīng)驗和做法,解決了縣級供電企業(yè)信息安全保障體系中存在的一些突出問題和安全漏洞,廣大員工在信息安全等重點環(huán)節(jié),從制度執(zhí)行、行為監(jiān)控、防治體系等方面,有了穩(wěn)步提升,總體來看,建成了電網(wǎng)信息安全等級保護縱深防御體系,為市縣一體化的安全、穩(wěn)定運行提供了強有力的信息安全運行保障,達到了預(yù)期的效果和目的。

參考文獻

[1]國家電網(wǎng)公司信息系統(tǒng)安全管理辦法[Z].北京:國家電網(wǎng)公司,2011.

[2]國家電網(wǎng)公司信息網(wǎng)絡(luò)運行管理規(guī)程(試行)[S].北京:國家電網(wǎng)公司,2003.

[3]國家電網(wǎng)公司信息安全風(fēng)險評估管理暫行辦法[Z].北京:國家電網(wǎng)公司,2011.

[4]國家電網(wǎng)公司信息系統(tǒng)建轉(zhuǎn)運實施細則[Z].北京:國家電網(wǎng)公司,2010.

--------------------

作者簡介:趙江華(1978—),男,河南省三門峽市澠池縣人,高級工程師,主要從事電網(wǎng)調(diào)度管理、光纖通信工程項目建設(shè)及網(wǎng)絡(luò)應(yīng)用方面的研究。

篇2

我校信息中心接到《信陽市學(xué)校計算機信息系統(tǒng)安全檢查實施方案》的通知后,學(xué)校領(lǐng)導(dǎo)班子十分重視,及時召集信息中心、微機組等科組負責(zé)人,按照文件要求,根據(jù)實施方案的指導(dǎo)思想和工作目標,逐條落實,周密安排,對全校各配備計算機的教研室和中心機房進行了排查,現(xiàn)將自查情況報告如下: 

一、領(lǐng)導(dǎo)高度重視,組織、部門健全、制度完善 

我校信息中心自成立以來,本著“責(zé)任到人,一絲不茍”的指導(dǎo)思想,十分重視計算機管理組織的建設(shè),成立了計算機安全保護領(lǐng)導(dǎo)小組,始終有一名信息中心主任擔(dān)任安全管理領(lǐng)導(dǎo)小組組長,并以信息管理、安全保衛(wèi)、各教研組等部門負責(zé)人為成員。 

信息中心為專職負責(zé)計算機信息系統(tǒng)安全保護工作的部門,對全校教研室主要計算機系統(tǒng)的資源配置、操作及業(yè)務(wù)系統(tǒng)、系統(tǒng)維護人員、操作人員進行登記。信息中心設(shè)立專職安全管理員,專職安全員由經(jīng)過公安部門培訓(xùn)、獲得《計算機安全員上崗證》的人員擔(dān)任。基層教研室設(shè)立兼職安全管理員,負責(zé)對電子網(wǎng)點進行管理、監(jiān)督,對本單位計算機出現(xiàn)的軟、硬件問題及時上報信息中心。要求各教研室選用有責(zé)任心、有一定計算機知識、熟悉業(yè)務(wù)操作的人員擔(dān)任。 

我們在當?shù)毓矙C關(guān)計算機安全保護部門的監(jiān)督、檢查、指導(dǎo)下,根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《河南省學(xué)校計算機信息系統(tǒng)安全管理暫行規(guī)定》、《計算機病毒防治管理辦法》、以及公安部、教育部、信息產(chǎn)業(yè)部、國務(wù)院新聞辦《關(guān)于開展垃圾郵件專項治理工作的通知》及教育部《關(guān)于開展高校上網(wǎng)場所清理整理工作,進一步加強校園網(wǎng)管理的緊急通知》等法規(guī)、規(guī)定,建立、健全了各項防范制度,并編制成冊,下發(fā)到全校各個教研室。在年初,由主管計算機安全的主任與保衛(wèi)部門簽訂了目標責(zé)任書,并指定業(yè)務(wù)骨干擔(dān)任計算機安全員,切實做到防微杜漸,把不安全苗頭消除在萌芽狀態(tài)。 

二、強化安全教育定期檢查督促 

在我校實施計算機信息化建設(shè)的每一步,我們都把強化信息安全教育和提高員工的計算機技能放到同等地位。在實施信息網(wǎng)絡(luò)化過程中,信息中心專門舉辦了計算機培訓(xùn)班。培訓(xùn)內(nèi)容不但包括計算機基礎(chǔ)知識、課件制作,還重點講解了計算機犯罪的特點、防范措施。使全體教職員工都意識到了,計算機安全保護是學(xué)校工作的有機組成部分,而且在新形勢下,計算機犯罪還將成為安全保衛(wèi)工作的重要內(nèi)容。 

隨著計算機技術(shù)在教研室各項業(yè)務(wù)中的應(yīng)用,為進一步提高職工安全意識和規(guī)范操作流程,我們還經(jīng)常組織人員對基層教研室進行計算機業(yè)務(wù)系統(tǒng)運行及安全保護的檢查。通過檢查,我們發(fā)現(xiàn)部分人員安全意識不強,少數(shù)微機操作員對制度貫徹行不夠。對此,我們根據(jù)檢查方案中的檢查內(nèi)容、評分標準對各科室進行打分,得分不合格者,除限期整改外,還根據(jù)學(xué)校的有關(guān)規(guī)定,對有關(guān)責(zé)任人員,給予相應(yīng)處罰、全校通報批評等處理。 

三、信息安全制度日趨完善 

從我校信息中心成立之日起,我們就樹立了以制度管理人員的思想。為此,根據(jù)市辦下發(fā)的有關(guān)文件精神,先后制定了《中心機房管理制度》,《中心機房應(yīng)急措施》,《計算機系統(tǒng)維修操作規(guī)程》,《電腦安全保密制度》,《計算機安全檢查操作規(guī)程》,《潢川一中電教管理員職責(zé)》、《潢川一中電子備課室管理制度》等一系列內(nèi)部管理制度,讓這些制度不但寫在紙上,掛在墻上,還要牢記在心上。繼而我們又印發(fā)了《潢川一中教研室計算機信息系統(tǒng)安全保護實施細則》、《潢川一中教研室計算機綜合業(yè)務(wù)系統(tǒng)管理辦法》、《潢川一中機房上機操作守則》、《潢川一中信息中心管理條例》等,初步形成了較為完善的計算機內(nèi)控制度。在以上文件中,要求明確規(guī)定了微機管理人員、操作員的權(quán)限和操作范圍,對操作人員的上崗、調(diào)離等做出嚴格規(guī)定,詳細制定了計算機綜合業(yè)務(wù)系統(tǒng)的管理辦法,要求各電子網(wǎng)點記錄微機運行日志,對數(shù)據(jù)每日進行備份,對廢棄的磁盤、磁帶、報表不得隨意丟棄,交由信息中心統(tǒng)一處理。 

四、防治計算機病毒 

隨著信息辦公自動化的深入,各教研室在處理業(yè)務(wù)報表、數(shù)據(jù)和日常辦公中越來越多的用到了計算機。為保證各教研室的計算機不受病毒危害,信息中心為每臺微機上都安裝了實時的查、殺、防病毒的軟件,并及時進行軟件升級和定期進行查殺病毒。同時還把計算機病毒預(yù)防措施下發(fā)至各教研室的微機操作員手中,從專機專用、數(shù)據(jù)備份、軟盤管理、實時殺毒、禁用盜版、禁玩游戲等幾方面入手,使計算機病毒防治形成制度化。 

對照《學(xué)校計算機信息系統(tǒng)安全檢查表》的要求,我校信息中心在以往的工作中,主要作了以上幾方面的工作,但還有些方面要急待改進。 

一是今后還要進一步加強與公安機關(guān)和教育主管部門的工作聯(lián)系,以此來查找差距,彌補工作中的不足。 

二是要加強計算機安全意識教育和防范技能訓(xùn)練,充分認識到計算機案件的嚴重性。把計算機安全保護知識真正融于學(xué)校知識的學(xué)習(xí)中,而不是輕輕帶過;人防與技防結(jié)合,把計算機安全保護的技術(shù)措施看作是保護信息安全的一道看不見的屏障。

潢川一中

篇3

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)需要進行整體安全體系規(guī)劃設(shè)計,全面提高信息安全防護能力,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保護國家利益,促進貴州廣電網(wǎng)絡(luò)信息化的深入發(fā)展。

 

1安全規(guī)劃的目標和思路

 

貴州廣電網(wǎng)絡(luò)目前運營并管理著兩張網(wǎng)絡(luò):辦公網(wǎng)與業(yè)務(wù)網(wǎng);其中辦公網(wǎng)主要用于貴州廣電網(wǎng)絡(luò)各部門在線辦公,重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務(wù)網(wǎng)主要提供貴州廣電網(wǎng)絡(luò)各業(yè)務(wù)部門業(yè)務(wù)平臺,其中核心業(yè)務(wù)系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內(nèi)容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網(wǎng)絡(luò)信息系統(tǒng)的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網(wǎng)絡(luò)信息系統(tǒng)建設(shè)的重要組成部分,是貴州廣電網(wǎng)絡(luò)業(yè)務(wù)開展的重要安全屏障,它是一個包含貴州廣電網(wǎng)絡(luò)實體、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理等五個層面,包括保護、檢測、響應(yīng)、恢復(fù)四個方面,通過技術(shù)保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設(shè)計目標

 

貴州廣電網(wǎng)絡(luò)就安全域劃分已經(jīng)進行的初步規(guī)劃,在安全域整改中初見成效,然而,安全系統(tǒng)建設(shè)不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網(wǎng)絡(luò)相關(guān)安全管理體系的建設(shè)還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓(xùn)。因此,本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務(wù)系統(tǒng)進行了全面梳理,針對業(yè)務(wù)系統(tǒng)中安全措施進行了重點分析,綜合貴州廣電網(wǎng)絡(luò)未來業(yè)務(wù)發(fā)展的方向,進行未來五年的信息安全建設(shè)規(guī)劃。

 

1.2設(shè)計原則

 

1.2.1合規(guī)性原則

 

安全設(shè)計要符合國家有關(guān)標準、法規(guī)要求,符合廣電總局對信息安全系統(tǒng)的等級保護技術(shù)與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數(shù)據(jù)保密程度分級,對用戶操作權(quán)限分級,對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域),對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術(shù)和安全體制,以滿足貴州廣電網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)、辦公網(wǎng)系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結(jié)合原則

 

信息安全保障體系是一個復(fù)雜的系統(tǒng)工程,涉及人、技術(shù)、操作等要素,單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此,必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務(wù)的正常運行,不能為了安全而妨礙業(yè)務(wù),同時設(shè)計的安全措施要可以落地實現(xiàn)。

 

1.3設(shè)計依據(jù)

 

1.3.1“原則”符合法規(guī)要求

 

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務(wù)院147號令)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網(wǎng)絡(luò)。

 

2011《廣播電視播出相關(guān)信息系統(tǒng)等級保護基本要求》,對貴州省廣播電視相關(guān)信息系統(tǒng)安全建設(shè)進行規(guī)劃。

 

1.3.2“策略”符合風(fēng)險管理

 

風(fēng)險管理是基于“資產(chǎn)-價值-漏洞-風(fēng)險-保障措施”的思想進行保障的。風(fēng)險評估與管理的理論與方法已經(jīng)成為國際信息安全的標準。

 

風(fēng)險管理是靜態(tài)的防護策略,是在對方攻擊之前的自我鞏固的過程。風(fēng)險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞,包括技術(shù)上的、管理上的,分析面臨的威脅,從而確定防護需求,設(shè)計防護的措施,具體的措施是打補丁,還是調(diào)整管理流程,或者是增加、增強某種安全措施,要根據(jù)用戶對風(fēng)險的可接受程度,這樣就可以與安全建設(shè)的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem,INC)設(shè)計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(yīng)(Response)四個主要部分,是一個可以隨著網(wǎng)絡(luò)安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞,根據(jù)風(fēng)險分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護,以及如何實現(xiàn)對它們的保護等,策略是模型的核心,所有的防護、檢測和響應(yīng)都是依據(jù)安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(yīng)(Response)三個部分又構(gòu)成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導(dǎo)下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài),通過適當?shù)姆磻?yīng)將系統(tǒng)調(diào)整至“最安全”和“風(fēng)險最低”的狀態(tài),在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構(gòu)

 

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎(chǔ)上,我們設(shè)計貴州廣電網(wǎng)絡(luò)的安全保障體系架構(gòu)為“一個中心、兩種手段”。

 

“一個中心”,以安全管理中心為核心,構(gòu)建安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò),確保業(yè)務(wù)系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行,不會進入任何非預(yù)期狀態(tài),從而防止用戶的非授權(quán)訪問和越權(quán)訪問,確保業(yè)務(wù)系統(tǒng)的安全。

 

“兩種手段”,是安全技術(shù)與安全管理兩種手段,其中安全技術(shù)手段是安全保障的基礎(chǔ),安全管理手段是安全技術(shù)手段真正發(fā)揮效益的關(guān)鍵,管理措施的正確實施同時需要有技術(shù)手段來監(jiān)管和驗證,兩者相輔相成,缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設(shè)計

 

貴州廣電網(wǎng)絡(luò)的安全體系作為信息安全的技術(shù)支撐措施,分為五個方面:

 

邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務(wù)核心資源的邊界,運維人員的訪問通道。

 

行為審計體系:通過身份鑒別、授權(quán)管理、訪問控制、行為曰志等手段,保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系:監(jiān)控網(wǎng)絡(luò)中的異常,維護業(yè)務(wù)運行的安全基線,包括安全事件與設(shè)備故障,也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助:作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎(chǔ)設(shè)施:提供智能化、彈能力的基礎(chǔ)設(shè)施,主要的機房的智能化、服務(wù)器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網(wǎng)絡(luò)功能區(qū)域,服務(wù)器資源區(qū)、網(wǎng)絡(luò)連接區(qū)、用戶接入?yún)^(qū)、運維管理區(qū)、對外公共服務(wù)區(qū);其次是在每個區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務(wù)與用戶,進一步劃分子區(qū)域;最后,根據(jù)每個業(yè)務(wù)應(yīng)用系統(tǒng),梳理其用戶到服務(wù)器與數(shù)據(jù)庫的網(wǎng)絡(luò)訪問路徑,通過的域邊界或網(wǎng)絡(luò)邊界越少越好。

 

Z3邊界防護體系規(guī)劃

 

邊界包括網(wǎng)絡(luò)邊界、安全域邊界、用戶接口邊界(終端與服務(wù)器)、業(yè)務(wù)流邊界,邊界上部署訪問控制措施,是防止非授權(quán)的“外部”用戶訪問“里面”的資源,因此分析業(yè)務(wù)的訪問流向,是訪問控制策略設(shè)計的依據(jù)。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施:

 

1.網(wǎng)絡(luò)邊界:與外部網(wǎng)絡(luò)的邊界是安全防護的重點,我們建議采用統(tǒng)一安全網(wǎng)關(guān)(UTM),從網(wǎng)絡(luò)層到應(yīng)用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測,采用病毒網(wǎng)關(guān)(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網(wǎng)絡(luò)邊界上部署VPN網(wǎng)關(guān),對遠程訪問用戶身份鑒別后,分配內(nèi)網(wǎng)地址,給予限制性的訪問授權(quán)。Web服務(wù)的SQL注入、XSS攻擊等。

 

3.業(yè)務(wù)流邊界:安全需求等級相同的業(yè)務(wù)應(yīng)用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時,開啟不同子域的安全隔離。

 

4.終端邊界:重點業(yè)務(wù)系統(tǒng)的終端,如運維終端,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全,如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質(zhì)管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態(tài)性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網(wǎng)絡(luò)用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據(jù),間接的好處乇兩方面:對業(yè)務(wù)操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復(fù)時提供操作過程的反向操作,最大程度地減小損失;對系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網(wǎng)絡(luò)行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網(wǎng)絡(luò)安全態(tài)勢展示平臺,也是安全事件應(yīng)急處理的指揮平臺。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:

 

1.運維與安全管理的統(tǒng)一:業(yè)務(wù)運維與安全同平臺管理,提高安全事件的應(yīng)急處理速度。

 

2.曰常安全運維與應(yīng)急指揮統(tǒng)一:隨時了解網(wǎng)絡(luò)上的設(shè)備、系統(tǒng)、流量、業(yè)務(wù)等狀態(tài)變化,不僅是日常運維發(fā)現(xiàn)異常的平臺,而且作為安全事件應(yīng)急指揮的調(diào)度平臺,隨時了解安全事件波及的范圍、影響的業(yè)務(wù),同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一:安全運維人員的工作考核就是網(wǎng)絡(luò)安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現(xiàn)了安全運維人員服務(wù)的質(zhì)量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數(shù)據(jù)。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺,2.6公共安全輔助系統(tǒng)

 

作為整個網(wǎng)絡(luò)信息安全的基礎(chǔ)服務(wù)系統(tǒng),需要建設(shè)公共安全輔助系統(tǒng):

 

1.身份認證系統(tǒng):獨立于所有業(yè)務(wù)系統(tǒng)之外,為業(yè)務(wù)、運維提供身份認證服務(wù)。

 

2.補丁管理系統(tǒng):對所有系統(tǒng)、應(yīng)用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執(zhí)行的技術(shù)手段,保證網(wǎng)絡(luò)安全基線。

 

3.漏洞掃描系統(tǒng):對于網(wǎng)絡(luò)上設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等的漏洞要及時了解,對于不能打補丁的系統(tǒng),要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務(wù))。

 

2.7IT基礎(chǔ)設(shè)施規(guī)劃

 

IT基礎(chǔ)設(shè)施是所有網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)服務(wù)的基礎(chǔ),具備一個優(yōu)秀的基礎(chǔ)架構(gòu),不僅可以快速、靈活地支撐各種業(yè)務(wù)系統(tǒng)的有效運行,而且可以極大地提高基礎(chǔ)IT資源的利用率,節(jié)省資金投入,達到環(huán)保的要求。

 

IT基礎(chǔ)設(shè)施的優(yōu)化主要體現(xiàn)在三個方面:智能機房、服務(wù)器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ),建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網(wǎng)絡(luò)股份有限公司安全建設(shè)的必要條件和基本保證。

 

3_1安全管理標準依據(jù)

 

以GBAT22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網(wǎng)絡(luò)安全管理體系的建設(shè)進行設(shè)計。

 

3.2安全管理體系的建設(shè)目標

 

通過有效的進行貴州廣電網(wǎng)絡(luò)的安全管理體系建設(shè),最終要實現(xiàn)的目標是:采取集中控制模式,建立起貴州廣電網(wǎng)絡(luò)完整的安全管理體系并加以實施與保持,實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護。

 

3.3安全管理建設(shè)指導(dǎo)思想

 

各種標準體系文件為信息安全管理建設(shè)僅僅提供一些原則性的建議,要真正構(gòu)建符合貴州廣電網(wǎng)絡(luò)自身狀況的信息安全管理體系,在建設(shè)過程中應(yīng)當以以下思想作為指導(dǎo):“信CATV丨有線網(wǎng)絡(luò)息安全技術(shù)、信息安全產(chǎn)品是信息安全管理的基礎(chǔ),信息安全管理是信息安全的關(guān)鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導(dǎo)原則,信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段。”

 

3.4安全管理體系的建設(shè)具體內(nèi)容

 

GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導(dǎo)和要求。我們應(yīng)以《基本要求》為標準,結(jié)合目前貴州廣電網(wǎng)絡(luò)安全管理體系的現(xiàn)狀,對廣電系統(tǒng)的管理機構(gòu)、管理制度、人員管理、技術(shù)手段四個方面進行建設(shè)和加強。同時,由于信息安全是一個動態(tài)的系統(tǒng)工程,所以,貴州廣電網(wǎng)絡(luò)還必須對信息安全管理措施不斷的加以校驗和調(diào)整,以使管理體系始終適應(yīng)和滿足實際情況的需要,使貴州廣電網(wǎng)絡(luò)的信息資產(chǎn)得到有效、經(jīng)濟、合理的保護。

 

貴州廣電網(wǎng)絡(luò)的安全管理體系主要包括安全管理機構(gòu)、安全管理制度、安全標準規(guī)范和安全教育培訓(xùn)等方面。

 

通過組建完整的信息網(wǎng)絡(luò)安全管理機構(gòu),設(shè)置安全管理人員,規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素,實現(xiàn)對系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化、法制化和規(guī)范化,達到保障貴州廣電網(wǎng)絡(luò)信息系統(tǒng)安全的目的。

 

3.5曰常安全運維3.5.1安全風(fēng)險評估

 

安全風(fēng)險評估是建立主動防御安全體系的重要和關(guān)鍵環(huán)節(jié),這環(huán)的工作做好了可以減少大量的安全威脅,提升整個信息系統(tǒng)的對網(wǎng)絡(luò)災(zāi)難的免疫能力;風(fēng)險評估是信息安全管理體系建立的基礎(chǔ),是組織平衡安全風(fēng)險和安全投入的依據(jù),也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

 

3.5.2網(wǎng)絡(luò)管理與安全管理

 

網(wǎng)絡(luò)管理與安全管理的主要措施包括:出入控制、場地與設(shè)施安全管理、網(wǎng)絡(luò)運行狀態(tài)監(jiān)控、安全設(shè)備監(jiān)控、安全事件監(jiān)控與分析、提出預(yù)防措施。

 

3.5.3備份與容災(zāi)管理

 

貴州廣電網(wǎng)絡(luò)主要關(guān)鍵業(yè)務(wù)系統(tǒng)需要雙機本地?zé)醾?、?shù)據(jù)離線備份措施;其他相關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)需要數(shù)據(jù)離線備份措施。

 

3.5.4應(yīng)急響應(yīng)計劃

 

通過建立應(yīng)急相應(yīng)機構(gòu),制定應(yīng)急響應(yīng)預(yù)案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應(yīng)急響應(yīng)有線網(wǎng)絡(luò)ICATV預(yù)案不低于一年兩次的演練,可以在發(fā)生緊急事件時,做到規(guī)范化操作,更快的恢復(fù)應(yīng)用和數(shù)據(jù),并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運行是依靠在各級黨政機構(gòu)工作的人員來具體實施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對象。所以,要確保信息系統(tǒng)的安全,首先應(yīng)加強人事安全管理。

 

安全人員應(yīng)包括:系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設(shè)備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔(dān)當。3.7技術(shù)安全管理

 

主要措施包括:軟件管理、設(shè)備管理、備份管理以及技術(shù)文檔管理。

 

4安全規(guī)劃分期建設(shè)路線

 

信息安全保障重要的是過程,而不一定是結(jié)果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設(shè)也應(yīng)該從保障業(yè)務(wù)運營為目標,提高用戶自身的安全意識為思路,根據(jù)業(yè)務(wù)應(yīng)用的模式與規(guī)模逐步、分階段建設(shè),同時還要符合國家與廣電總局關(guān)于等級保護的技術(shù)與管理要求。

 

4.1主要的工作內(nèi)容

 

根據(jù)安全保障方案規(guī)劃的設(shè)計,貴州廣電網(wǎng)絡(luò)的信息安全建設(shè)分為如下幾個方面的內(nèi)容:

 

1.網(wǎng)絡(luò)優(yōu)化改造:主要是安全域的劃分,網(wǎng)絡(luò)結(jié)構(gòu)的改造。

 

2.安全措施部署:邊界隔離措施部署,行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎(chǔ)設(shè)施改造:主要是數(shù)據(jù)大集中、服務(wù)器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應(yīng)急演練、曰常安全服務(wù)等。

 

4.2分期建設(shè)規(guī)劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設(shè)

 

2.信任體系:網(wǎng)絡(luò)審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺:入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設(shè)

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務(wù):建立定期模式

 

8.滲透性測試服務(wù)(外部+內(nèi)部)

 

9.安全加固服務(wù),建立服務(wù)器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應(yīng)急處理流程

 

13.完善IT服務(wù)流程,建設(shè)安全運維管理平臺

 

14.定期安全演練與培訓(xùn)

 

4.2.2持續(xù)改進階段(2018?2019)

 

1.等保建設(shè)

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務(wù)

 

5.有針對性安全演練,協(xié)調(diào)改進管理與技術(shù)措施

 

6.源代碼安全審計服務(wù)(新上線業(yè)務(wù))

 

7.信息安全管理

 

8.持續(xù)改進運維與應(yīng)急流程與制度,提高應(yīng)急反應(yīng)能力

 

9.提高運維效率,開拓運維增值模式

 

5結(jié)東語

篇4

關(guān)鍵詞:第三方支付安全問題解決辦法

一、第三方支付的概念

和以前由傳統(tǒng)的由中央銀行,銀行,非銀行金融機構(gòu),在境內(nèi)開辦的外資、僑資、中外合資金融機構(gòu)所組成的完整金融機構(gòu)體系獨自運作不同,現(xiàn)如今,已經(jīng)有越來越多的非金融機構(gòu)參加到金融體系的運作之中。非金融機構(gòu)提供支付服務(wù)、與銀行業(yè)既合作又競爭,已經(jīng)成為一支重要的力量。這種合作尤其體現(xiàn)在一些和國內(nèi)玩各大銀行簽約并具備一定實力和信譽保障的第三方支付服務(wù)商提供的交易支持平臺,即上文所說的第三方支付。這個交易平臺在收付款人和各個法人組織之間作為中介機構(gòu)提供了貨幣資金轉(zhuǎn)移服務(wù),包括現(xiàn)行的網(wǎng)絡(luò)支付、預(yù)付卡的發(fā)行與受理、預(yù)付資金的管理與銀行卡收單,及主流金融機構(gòu)確定的其他支付服務(wù)的作為第三方支付平臺的非金融機構(gòu),也就是我們提到的“第三方支付機構(gòu)”[1]。

二、第三方支付存在的主要安全問題

伴隨著第三方支付的迅猛發(fā)展的,必然是一系列亟需我們解決的重要安全問題。我國支付方面的法律相對比較落后,在支付過程中容易留下許多漏洞,使許多不法商人有機可趁。目前存在的數(shù)百家第三方支付機構(gòu)中,魚龍混雜,質(zhì)量參差不齊,用戶的交易安全和個人信息其實存在很大的風(fēng)險。

1.應(yīng)用程序中存在安全漏洞導(dǎo)致信用卡套現(xiàn)、洗錢問題層出不窮

第三方支付技術(shù)門檻較低,在第三方支付平臺的搭建中沒有對安全防護能力給予足夠的重視,致使系統(tǒng)可能存在信息管理,支付安全等方面的問題。通過專業(yè)安全系統(tǒng)的不定時抽量檢測,發(fā)現(xiàn)了許多存在的重要隱患,如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全,用戶信息泄漏等[2]。顯然,在第三方支付平臺的建設(shè)過程中,安全防護的環(huán)節(jié)是相對不受重視的,太快的發(fā)展與不過硬的安全防護措施必然會使安全防護環(huán)節(jié)顯得很薄弱,讓存在的安全問題顯得更為突出并造成很大的信用危機以及一種不健康的交易狀況。根據(jù)資料,主要存在以下幾個問題:

(1)安全設(shè)備以及防火墻不完善

(2)沒有對平臺部署實施監(jiān)控系統(tǒng)

(3)重要網(wǎng)絡(luò)設(shè)備的物理環(huán)境不安全,容易出現(xiàn)人為操作篡改數(shù)據(jù)

(4)應(yīng)對突發(fā)事件的處理能力不足

并且,在支付中,有相當一部分屬于虛擬貨幣的交易,比如騰訊公司的Q幣,移動通訊公司的話費充值等,不排除有些人通過設(shè)立多個賬戶,從事虛假的虛擬貨幣交易,以此轉(zhuǎn)移不法資金,已達到洗錢的目的。

2.安全管理機構(gòu)不健全,安全保障的技術(shù)手段需要改進

目前第三方支付平臺普遍采用的技術(shù)安全保障手段――數(shù)字證書,其并不是真正意義的獨立第三方CA認證,而是內(nèi)部建設(shè)一套符合實際要求的證書注冊審計系統(tǒng),是自身具備證書申請、審批、下載、證書狀態(tài)在線查詢、證書撤銷等功能。然而這種數(shù)字證書并沒有法律效力。并且,從當下的網(wǎng)絡(luò)現(xiàn)狀來看,信息安全管理制度還不成體系,沒有建立總體方針,安全管理制度和操作規(guī)程缺失,安全策略存在著很大的不完整。

3.個人信息不能得到保護造成了許多賬戶資金被盜,網(wǎng)絡(luò)詐騙時有發(fā)生

許多第三方支付平臺要求用戶提供真實姓名、銀行卡號甚至身份證號,然后這些平臺中,個別網(wǎng)站在信息管理上存在很大問題,致使這些信息很容易被竊取,造成客戶隱私的泄露。第三方支付平臺隱私管理政策不合理,免責(zé)條款過多,大多把最終解釋全留給自己,使用戶不得不同意這些條款并且當自己利益受到損失的時候,沒有辦法有效的進行反擊。

4. 第三方支付平臺本身不是金融機構(gòu),用戶的安全意識薄弱

目前,國內(nèi)的第三方支付企業(yè)屬于非金融機構(gòu),是有限責(zé)任公司的性質(zhì),一旦公司出現(xiàn)破產(chǎn)等情形,則可能引發(fā)劇烈的多米諾骨牌的效應(yīng),導(dǎo)致其他的企業(yè)資金鏈出現(xiàn)問題。然后很多用戶沒有意識到,即使是附屬于某些著名的網(wǎng)站,第三方支付平臺也存在一個信用問題,不能盲目信任。相對銀行金融機構(gòu),非金融機構(gòu)對于安全問題的認識還遠不能及,對用重要信息

三、針對國內(nèi)主流第三方支付平臺的安全策略分析以及監(jiān)督管理

隨著第三方支付平臺交易規(guī)模的逐漸擴大,電子商務(wù)的影響已經(jīng)越來越大,在各個領(lǐng)域?qū)用婢袧B透。因此,有關(guān)非金融機構(gòu)備付金管理、網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性以及消費者權(quán)益保護等問題,已經(jīng)引起了廣大群眾的高度關(guān)注。采取措施促進非金融機構(gòu)和第三方支付平臺的健康發(fā)展,會很大程度上影響電子商務(wù)的成敗,關(guān)系到整個交易平臺的正常進行。

1.加強實名認證、全額賠付應(yīng)對資金被盜和網(wǎng)絡(luò)詐騙。第三方支付機構(gòu)應(yīng)加強安全檢查,及時修復(fù)安全漏洞

早在2006年7月,支付寶就推出了支付寶認證服務(wù),對所有使用支付寶的賣家進行雙重身份認定,即身份證和銀行卡的認證。除了與公安部全國公寓身份證號碼查詢服務(wù)中心合作檢驗身份證的真?zhèn)危Ц秾毢S蚋鞔笊虡I(yè)銀行進行合作,利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確。并且,支付寶公司還在國內(nèi)率先推出了全額賠付制度和交易安全基金,網(wǎng)絡(luò)欺詐發(fā)生率僅為萬分之二。

2.配合國家出行的制度,配合央行加大力度打擊各種詐騙

2009年4月,中國人民銀行公告,對從事支付業(yè)務(wù)的非金融機構(gòu)進行登記。

2010年6月14日,中國人民銀行《非金融機構(gòu)支付服務(wù)管理辦法》,對非金融機構(gòu)支付業(yè)務(wù)實施行政許可。

2010年12月,中國人民銀行《非金融支付服務(wù)管理辦法實施細則》[3]。

這些不僅對作為第三那方支付平臺的非金融機構(gòu)做出嚴格規(guī)定,同時也對支付平臺的用戶加以嚴格管理,此舉無疑會對網(wǎng)絡(luò)非法套現(xiàn)造成打擊。央行對非金融機構(gòu)的支付的技術(shù)和安全性的高度重視,技術(shù)和安全監(jiān)測是非金融機構(gòu)申請許可證過程中最關(guān)鍵也是最嚴格的環(huán)節(jié)。

3.第三方支付機構(gòu)應(yīng)增強安全意識,加強信息安全體系建設(shè),爭取早日拿到央行的電子支付牌照

完善網(wǎng)絡(luò)信息安全管理制度,加強交易平臺的安全管理,增強客戶對交易平臺的信任。對第三方支付平臺操作人員進行統(tǒng)一的安全知識和專業(yè)知識的培訓(xùn),加強這個操作隊伍的安全組織性。及時出臺主流有效的針對安全漏洞的安全措施與策略并積極落實。同時對所有用戶進行安全信息管理的知識普及。

并且根據(jù)中國之聲新聞縱橫報道,央行支付結(jié)算司相關(guān)工作人員表示,首批第三方支付牌照已在2010年年底發(fā)放。因此,獲得官方認證是主流第三方支付平臺的必經(jīng)之路[4]。

四、結(jié)束語

相信隨著電子支付的發(fā)展,這些非金融機構(gòu)從事電子支付業(yè)務(wù)會成為電子支付發(fā)展的不可逆轉(zhuǎn)的趨勢,然而這同樣要求非金融機構(gòu)即這些第三支付平臺有更完善的信息安全管理系統(tǒng),為用戶提供一個更加安全的交易平臺。一旦第三方支付交易平臺存在的問題得到解決,突破了網(wǎng)上交易中的信用問題,其必將成為引導(dǎo)網(wǎng)絡(luò)消費者走入健康發(fā)展的軌道,成為促進中國網(wǎng)上支付完善和發(fā)展的主要途徑和必然趨勢。同時,第三方支付服務(wù)也將成為解脫誠信困擾,邁向下一里程碑的重要環(huán)節(jié)之一,成為電子商務(wù)發(fā)展的助推器。

參考文獻:

[1]林小燕.基于第三方電子商務(wù)平臺的C2C貿(mào)易[M].廈門大學(xué)出版社,2010.

[2]劉建國.電子商務(wù)安全管理與支付[M], 立信會計出版社,2011

篇5

關(guān)鍵詞:互聯(lián)網(wǎng);隱私權(quán);現(xiàn)實;保護方法;

中圖分類號:TP393.08

20世紀末以后,互聯(lián)網(wǎng)逐漸改變?nèi)藗兊纳?,互?lián)網(wǎng)在給人類帶來便利和經(jīng)濟利益時,也存在許多不安全因素,特別是互聯(lián)網(wǎng)的易窺竊性和公開性很容易使人的隱私暴露于天下,個人隱私面臨嚴重威脅,從而對人類生活提出了重大挑戰(zhàn),隱私權(quán)受到影響即是其中之一。當不斷被互聯(lián)網(wǎng)曝光的名人隱私,在現(xiàn)實世界吸引越來越多看客時,互聯(lián)網(wǎng)又存在哪些現(xiàn)實問題?我們又該如何保護個人隱私?

1 互聯(lián)網(wǎng)隱私權(quán)現(xiàn)實問題

1.1 完善互聯(lián)網(wǎng)隱私權(quán)保護的立法

俗話說“七分管理三分技術(shù)”,為了有效保障互聯(lián)網(wǎng)隱私權(quán),所以必須建立隱私權(quán)保護的立法體系。(1)國際上信息安全管理標準。1999年英國標準協(xié)會修訂的《信息安全管理實施規(guī)則》;2000年12月,通過ISO表決的《信息技術(shù)—信息安全管理實施細則》;(2)國內(nèi)有關(guān)信息安全的部分法律法規(guī)。如《信息網(wǎng)絡(luò)傳播權(quán)保護條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《電子認證服務(wù)密碼管理辦法》、《中華人民共和國電子簽名法》、《互聯(lián)網(wǎng)IP地址備案管理辦法》等等。雖然這些法規(guī)還不很全面,但也是我國在立法上的一大進步。(3)對互聯(lián)網(wǎng)隱私權(quán)保護立法的建議:1)加緊立法規(guī)制,制定相應(yīng)配套的行政法規(guī)規(guī)章。單獨制定個人信息保護法或數(shù)據(jù)保管條例,可以靈活地與有關(guān)的行政規(guī)章結(jié)合起來;2)建立專門的隱私保護委員會。在互聯(lián)網(wǎng)主管部門的監(jiān)管下設(shè)立相應(yīng)的隱私保護委員會,加強互聯(lián)網(wǎng)隱私方面的教育和宣傳工作,處理互聯(lián)網(wǎng)隱私權(quán)方面的投訴和相關(guān)事務(wù),加強同國際社會的協(xié)調(diào)和銜接,做好國內(nèi)互聯(lián)網(wǎng)隱私權(quán)方面的調(diào)查和研究,為相關(guān)立法做好前期準備工作,并監(jiān)督相關(guān)法律的實施情況;3)加強行業(yè)自律。目前我國最重要的互聯(lián)網(wǎng)自律組織就是中國互聯(lián)網(wǎng)協(xié)會,自律形式比較單一,在這方面我國可借鑒美國的相關(guān)經(jīng)驗,其中比較重要的是互聯(lián)網(wǎng)隱私認證聯(lián)盟計劃對于我國強化互聯(lián)網(wǎng)隱私權(quán)保護及誠信服務(wù)理念的確立大有好處;4)建立完善的補償機制。通過互聯(lián)網(wǎng)收集個人信息并非法用于商業(yè)的案例逐漸增多的情況下,建立一套完善的民事補償機制,對保護個人隱私是必不可少的。

2 利用計算機技術(shù)對個人隱私進行保護

2.1 安裝防火墻。每一網(wǎng)的計算機都要采取安全措施阻止惡意的數(shù)據(jù)傳輸,所以要安裝防火墻。防火墻的特點有:(1)可隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu);(2)可實施網(wǎng)絡(luò)的安全策略;等等。(3)可對有關(guān)管理人員發(fā)出警告;(4)可限制對對象的訪問;其功能有:(1)審計并提供記錄和報表;(2)管理功能;(3)安全特性;(4)訪問和防御功能;(5)加密支持和認證支持;(6)協(xié)議支持;等等。所以防火墻可以很好地幫助抵御黑客的攻擊。

2.2 安裝防病毒軟件。一臺計算機如果安裝了防病毒軟件,就比較安全。國內(nèi)知名殺毒軟件有:360、瑞星等,國外知名殺毒軟件有:賽門鐵克、卡巴斯基等。安裝防病毒軟件后,務(wù)必經(jīng)常升級來預(yù)防新病毒,否則,根本起不到保護的作用。

2.3 對計算機進行安全設(shè)置。在計算機中,通常有一些不必要的服務(wù),最好能將這些沒有用的服務(wù)關(guān)閉。為了防止黑客的入侵,可以關(guān)閉不必要的端口(即減少不必要的功能),把服務(wù)器安裝在防火墻后面,被黑客入侵的可能性就會小些??梢孕遁d“文件和打印機共享”。

可以通過控制面板,開啟系統(tǒng)審核策略和密碼策略以及賬戶鎖定策略(一般系統(tǒng)默認都是沒有開啟的);也可以通過360安全衛(wèi)士等工具來幫助下載最新的補丁。

可以關(guān)閉系統(tǒng)默認的共享,因為系統(tǒng)共享會給用戶帶來不少麻煩,會有病毒通過共享入侵計算機,默認的共享后面都有“$”標志(即隱含的意思)。在WINDOWS XP下,可以通過在DOS提示符下使用Net Share命令查看這些共享。關(guān)閉共享的方法有如:(1)通過“控制面板”—“管理工具”—“計算機管理”—“共享文件夾”—“共享”,要相應(yīng)的共享文件(夾)右擊,再單擊“停止共享”。(2)通過注冊表修改程序修改相應(yīng)的鍵值。運行regedit打開注冊表編輯器,找到“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ SERVICES \ lanmanserver \ parameters”項,雙擊右邊窗口的“AutoShareServer”項,把鍵值修改為0(如果沒有此項,可以自行新建并修改鍵值)。然后,再在同一窗口下找到“AuotShareWks”項,也把鍵值修改為0,關(guān)閉admin $共享。(3)禁止通過TTL來判斷主機類型。為了防止黑客通過PING命令查看活動時間值來判斷目標主機的類型,可以修改TTL的值,那么入侵者就沒那么容易入侵主機了。

2.4 對電子郵件進行加密。目前使用電子郵件發(fā)送重要信息和通知以及進行商業(yè)交流等,已經(jīng)成為信息社會必不可少的方式,為了保證郵件不被截獲或修改,可以利用數(shù)字簽名方式(如Hash簽名、DSS簽名、RSA簽名)對郵件作特殊標志后再發(fā)送。

2.5 加密保護重要的文件(文件夾)??梢杂眉用苘浖M行加密;也可以將所有重要的文件移動到臨時文件夾,再用壓縮軟件進行壓縮并加上密碼。

2.6 系統(tǒng)密碼和BIOS密碼的設(shè)置。在BIOS中設(shè)置開機的密碼,或在WINDOWS XP、WINDOWS 7等操作系統(tǒng)中,設(shè)置管理員(或用戶)密碼。密碼設(shè)置一般不少于10位,且盡量設(shè)置得復(fù)雜些,如包含數(shù)字、字母、特殊符號等,并建議定期更改,密碼策略要求密碼必須在42天內(nèi)更改。

2.7 屏保密碼的設(shè)置。以WINDOWS 7為例,在桌面空白處右擊,單擊“個性化(R)”,打開“個性化”窗口,單擊“屏幕保護程序”圖標,打開“屏幕保護程序設(shè)置”對話框,將“屏幕保護程序”欄中的下拉列表框設(shè)置為自己喜歡的選項,單擊“設(shè)置(T)…”按鈕,在“密碼保護”旁邊打勾,在彈出的對話框中輸入密碼。進入屏保后,如果別人要操作你的電腦,必須輸入正確的密碼。

3 在網(wǎng)上不聊及且不存儲隱私信息

很多個人信息如身份證號碼,生日等比較重要,最好不要輕易在互聯(lián)網(wǎng)上面公開。在瀏覽互聯(lián)網(wǎng)時,要正確設(shè)置網(wǎng)頁瀏覽器。如果瀏覽的網(wǎng)站是可以信任的,那么可以把不是十分重要的個人信息放在上面,否則的話最好用相關(guān)詞替代。當然,有些網(wǎng)站由于其服務(wù)性質(zhì),要求你填寫比較重要的個人信息,包括像在網(wǎng)上購買飛機票或是網(wǎng)上銀行的儲蓄轉(zhuǎn)賬之類,此時你必須按照其要求填寫內(nèi)容,但還是要謹慎,防止“釣魚”網(wǎng)站,在你不確定時,可通過“Verisign”之類的第三方認證公司得到訪問網(wǎng)站的電子證書/簽名,以此證明其真實和可靠性。另外操作系統(tǒng)也可能允許你默認或自己設(shè)置一些和互聯(lián)網(wǎng)瀏覽相關(guān)的參數(shù),比如打開互聯(lián)網(wǎng)窗口數(shù)量,或同時下載文件數(shù)量等,如你遇到需要填寫個人信息的地方,也應(yīng)作斟酌。如你家里有孩子,那么應(yīng)該讓他們也明確上網(wǎng)時應(yīng)遵守的原則,如不要輕易在互聯(lián)網(wǎng)上留下自己或父母的信息。

4 保護電子郵箱

一些不法人士常常會利用電子郵箱作為入侵隱私的門戶。因此有必要對電子郵箱做好保護工作。當在互聯(lián)網(wǎng)上的聊天室、論壇、微博等公共場所,涉及到電子郵箱時,可用取代,甚至為此專門申請一個免費郵箱來接受相關(guān)的無關(guān)緊要的郵件。由于這些在公共場合張貼的電子郵箱很容易被垃圾郵件發(fā)送者(或是自動垃圾郵件發(fā)送程序)利用,如果被利用,且垃圾郵件數(shù)目和發(fā)送頻率完全讓你無法控制,那么你可拋棄原來的免費郵箱,再申請一個。無論如何千萬不要點擊垃圾郵件里面的鏈接,也不要回復(fù)。

綜上可知,在互聯(lián)網(wǎng)時代,我們每個人隱私信息很容易被泄露。其實我們更希望的是所有個人和行業(yè)都能夠緊守自己的道德底線,不隨意竊取利用他人隱私,在社會整體道德水平還未達到這個階段時,任何人都要提高隱私保護意識,謹慎保管個人隱私信息。

參考文獻:

[1]郭明珠,魏來,魏佳珅.個性化信息服務(wù)中用戶隱私保護對策探究[J].圖書館學(xué)研究,2010(15).

[2][美]馬澤爾,卡瑪日薩米尼,拉提夫.云計算安全與隱私[M].劉戈舟,楊澤明,劉寶旭譯.北京:機械工業(yè)出版社,2011.

篇6

關(guān)鍵詞:電子政務(wù)系統(tǒng);網(wǎng)絡(luò)安全;研究;應(yīng)用

電子政務(wù),即各級機關(guān)在實踐管理工作開展過程中需借助電子信息技術(shù),打造分層結(jié)構(gòu)、集中管理網(wǎng)絡(luò)管理環(huán)境,且推進電子政務(wù)系統(tǒng)由“功能單一”向“綜合政務(wù)網(wǎng)”轉(zhuǎn)變,從而提升整體政府服務(wù)水平,同時借助網(wǎng)絡(luò)平臺加強與公眾間的互動性,并營造雙向信息交流環(huán)境,有效應(yīng)對計算機病毒、黑客攻擊、木馬程序等網(wǎng)絡(luò)安全問題。以下就是對電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全問題的詳細闡述,望其能為當前政府機構(gòu)職能效用的有效發(fā)揮提供有利參考。

1.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全研究

1.1網(wǎng)絡(luò)安全需求

就當前的現(xiàn)狀來看,電子政務(wù)系統(tǒng)網(wǎng)絡(luò)在運行過程中基于垃圾郵件攻擊、網(wǎng)絡(luò)蠕蟲、黑客攻擊、網(wǎng)絡(luò)安全威脅等因素的影響下,降低了服務(wù)質(zhì)量。為此,當代政務(wù)系統(tǒng)針對網(wǎng)絡(luò)安全問題提出了相應(yīng)的網(wǎng)絡(luò)安全需求:第一,網(wǎng)絡(luò)信息安全,即在電子政務(wù)系統(tǒng)操控過程中為了規(guī)避政務(wù)信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應(yīng)從信息分級保護、信息保密、身份鑒別、網(wǎng)絡(luò)信息訪問權(quán)限控制等角度出發(fā),對可用性網(wǎng)絡(luò)信息實施管理,打造良好的網(wǎng)絡(luò)信息使用環(huán)境;第二,管理控制安全。即由于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需與Internet連接,因而在內(nèi)部局域網(wǎng)、外部局域網(wǎng)管理過程中,應(yīng)設(shè)置隔離措施,同時針對每個局域網(wǎng)用戶設(shè)定訪問限定資源,并針對用戶身份進行雙向認證,由此規(guī)避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關(guān)鍵應(yīng)用信息進行加密,且配置網(wǎng)絡(luò)監(jiān)控中心,實時掌控惡意攻擊現(xiàn)象,并做出及時響應(yīng);第三,統(tǒng)一管理全網(wǎng),即為了降低網(wǎng)絡(luò)安全風(fēng)險問題,要求當代電子政務(wù)網(wǎng)絡(luò)系統(tǒng)在開發(fā)過程中應(yīng)制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網(wǎng)絡(luò)功能模塊等實施統(tǒng)一管理,規(guī)避非法截獲等安全問題[1]。

1.2網(wǎng)絡(luò)安全風(fēng)險

(1)系統(tǒng)安全風(fēng)險。就當前的現(xiàn)狀來看,我國UNIX、Windows、NETWARE等操作系統(tǒng)本身存有安全隱患問題,因而網(wǎng)絡(luò)侵襲者在對系統(tǒng)進行操控過程中,可借助系統(tǒng)漏洞,登錄服務(wù)器或破解靜態(tài)口令身份驗證密碼,訪問服務(wù)器信息,造成政務(wù)信息泄露問題。同時,在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統(tǒng)漏洞,且缺乏硬件服務(wù)器等安全評定環(huán)節(jié),繼而誘發(fā)了系統(tǒng)安全風(fēng)險。此外,基于電子政務(wù)網(wǎng)絡(luò)系統(tǒng)運行的基礎(chǔ)上,侵襲者通常在公用網(wǎng)上搭線竊取口令字,同時冒充管理人員,向系統(tǒng)內(nèi)部局域網(wǎng)直入嗅探程序,從而截獲口令字,獲取網(wǎng)絡(luò)管理權(quán)限,造成電子政務(wù)系統(tǒng)信息損失。為此,為了規(guī)避信息截獲等網(wǎng)絡(luò)安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應(yīng)針對操作系統(tǒng)、硬件平臺安全性進行檢測,且健全登錄過程認證環(huán)節(jié),打造良好的電子政務(wù)系統(tǒng)服務(wù)空間,滿足系統(tǒng)運行條件,同時實現(xiàn)對登陸者操作的嚴格把控。(2)應(yīng)用安全風(fēng)險。電子政務(wù)系統(tǒng)網(wǎng)絡(luò)運行中應(yīng)用安全風(fēng)險主要體現(xiàn)在以下幾個方面:第一,網(wǎng)絡(luò)資源共享風(fēng)險,即各級政府機構(gòu)在網(wǎng)絡(luò)辦公環(huán)境下,為了提升整體工作效率,注重運用網(wǎng)絡(luò)平臺共享機關(guān)機構(gòu)組成、政務(wù)新聞、政務(wù)管理程序等信息。而若某工作人員將政務(wù)信息存儲于硬盤中,將基于缺少訪問控制手段的基礎(chǔ)上,造成信息竊取行為;第二,電子郵件風(fēng)險,即某些不法分子為了獲取政務(wù)信息,將特洛伊木馬、病毒等程序植入到郵件中,并發(fā)送至電子政務(wù)系統(tǒng),從而通過程序跟蹤,威脅電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全性。為此,管理人員在對電子政務(wù)系統(tǒng)進行操控過程中應(yīng)提高對此問題的重視程度,同時強調(diào)對垃圾郵件的及時清理[2];第三,用戶使用風(fēng)險,即在電子政務(wù)系統(tǒng)平臺建構(gòu)過程中,為了規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題,設(shè)置了“用戶名+口令”身份認證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發(fā)政務(wù)信息泄露或攻擊事件。為此,在系統(tǒng)操控過程中應(yīng)針對此問題展開行之有效的處理。

2.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全設(shè)計應(yīng)用

2.1系統(tǒng)安全

在電子政務(wù)系統(tǒng)應(yīng)用過程中,為了打造良好的網(wǎng)絡(luò)運行空間,在系統(tǒng)設(shè)計過程中應(yīng)融合防火墻隔離、VLAN劃分、HA和負載均衡、動態(tài)路由等技術(shù),并在電子政務(wù)網(wǎng)絡(luò)結(jié)構(gòu)部署過程中,將功能區(qū)域劃分為若干個子網(wǎng)結(jié)構(gòu),同時合理布設(shè)出入口,并實時清理故障清單,從根本上規(guī)避網(wǎng)絡(luò)安全風(fēng)險問題。同時,在操作系統(tǒng)安全設(shè)置過程中,應(yīng)針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關(guān)鍵文件使用權(quán)限,且加強“用戶名+口令”身份認證設(shè)置的復(fù)雜性,避免操作風(fēng)險的凸顯[3]。此外,在電子政務(wù)系統(tǒng)操控過程中,為了確保系統(tǒng)安全性,亦應(yīng)針對系統(tǒng)運行狀況做好打補丁操作環(huán)節(jié),并及時升級網(wǎng)絡(luò)配置,營造安全、穩(wěn)定的系統(tǒng)運行空間。

2.2訪問控制

在電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統(tǒng)操控過程中應(yīng)結(jié)合政務(wù)信息的特殊性,建構(gòu)《用戶授權(quán)實施細則》、《口令字及賬戶管理規(guī)范》等條例,并嚴格遵從管理制度要求,實現(xiàn)對網(wǎng)絡(luò)環(huán)境的有效操控。同時,在網(wǎng)絡(luò)出入口等網(wǎng)絡(luò)內(nèi)部環(huán)境操控過程中,應(yīng)設(shè)置防火墻設(shè)備。例如,在Switch、Router安全網(wǎng)絡(luò)域連接過程中,即需在二者間設(shè)置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監(jiān)測等,對政務(wù)信息形成保護,同時在網(wǎng)絡(luò)入侵行為發(fā)生時,及時發(fā)出警告信號,且針對用戶身份進行S/Key的驗證,達到網(wǎng)絡(luò)訪問控制目的[4]。其次,在網(wǎng)絡(luò)訪問控制作業(yè)環(huán)節(jié)開展過程中,為了規(guī)避電子政務(wù)網(wǎng)內(nèi)部服務(wù)器、WWW、Mail等攻擊現(xiàn)象,應(yīng)注重應(yīng)用防火墻應(yīng)用功能,對安全問題進行有效防控。

2.3數(shù)據(jù)保護

電子政務(wù)數(shù)據(jù)屬于機密性信息,因而在此基礎(chǔ)上,為了規(guī)避數(shù)據(jù)泄露問題的凸顯影響到社會的發(fā)展,要求我國政府部門在電子政務(wù)系統(tǒng)運行過程中,應(yīng)擴大對《上網(wǎng)數(shù)據(jù)的審批規(guī)定》、《數(shù)據(jù)管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設(shè)文件加密系統(tǒng),并對訪問者進行限制,最終實現(xiàn)對數(shù)據(jù)的高效保護。其次,在對SYBASE等通用數(shù)據(jù)庫進行保護過程中,應(yīng)增設(shè)訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數(shù)據(jù)形成雙層保護,并加強假冒、泄露、篡改等現(xiàn)象的管理,保障系統(tǒng)網(wǎng)絡(luò)安全性[5]。再次,在政務(wù)數(shù)據(jù)使用、傳輸過程中,應(yīng)定期檢測服務(wù)器內(nèi)容完整性,例如,WWW服務(wù)器、FTP、DNS服務(wù)器等信息,滿足政務(wù)信息使用需求,同時提升政府服務(wù)水平。

3.結(jié)論

綜上可知,傳統(tǒng)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關(guān)服務(wù)水平。因而在此基礎(chǔ)上,為了實現(xiàn)對網(wǎng)絡(luò)安全風(fēng)險問題的有效處理,要求管理人員在實際工作開展過程中應(yīng)注重加強安全管理工作,同時從數(shù)據(jù)保護、訪問控制、系統(tǒng)安全等角度入手,對政務(wù)系統(tǒng)網(wǎng)絡(luò)環(huán)境形成保護,滿足電子政務(wù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用需求。

作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心

參考文獻:

[1]王淼,凌捷,郝彥軍.電子政務(wù)系統(tǒng)安全域劃分技術(shù)的研究與應(yīng)用[J].計算機工程與科學(xué),2010,12(8):52-55.

[2]魏武華.電子政務(wù)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)及其應(yīng)用研究[J].計算機時代,2013,12(7):13-16.

[3]唐志豪,郝振平.我國電子政務(wù)審計的現(xiàn)實模式——基于本土環(huán)境和國際經(jīng)驗借鑒的研究[J].審計研究,2014,15(3):38-44.

篇7

關(guān)鍵詞:支付系統(tǒng);城市處理中心;CCPC

中圖分類號:F832.31 文獻標識碼:B 文章編號:1007-4392(2011)09-0048-05

一、中國現(xiàn)代化支付城市處理中心(CCPC)現(xiàn)狀分析

(一)CCPC定義及發(fā)展現(xiàn)狀

人民銀行中國現(xiàn)代化支付系統(tǒng)由兩級節(jié)點構(gòu)成,第一級為國家處理中心(NPC),第二級為32個省級城市處理中心(CCPC)。中國現(xiàn)代化支付系統(tǒng)城市處理中心(CCPC)上接國家處理中心(簡稱NPC),下聯(lián)商業(yè)銀行前置機系統(tǒng)(簡稱MBFE)、中央銀行會計集中核算系統(tǒng)(簡稱ABS)、國家金庫會計核算系統(tǒng)(簡稱TBS),處于支付系統(tǒng)的中間環(huán)節(jié),擔(dān)負著金融機構(gòu)跨行資金運轉(zhuǎn)的重任,是國家重要的金融基礎(chǔ)設(shè)施,是國民經(jīng)濟的大動脈(見圖1)。

隨著金融電子信息化建設(shè)的加快發(fā)展,支付清算系統(tǒng)加快了系統(tǒng)升級改造和更新?lián)Q代的步伐。2002年大額支付系統(tǒng)試點成功上線以來,小額批量支付系統(tǒng)、境內(nèi)外幣支付系統(tǒng)、支票影像交換系統(tǒng)、支付管理信息系統(tǒng)、電子商業(yè)匯票系統(tǒng)、網(wǎng)上支付跨行清算系統(tǒng)共7大系統(tǒng)陸續(xù)在線運行。這些業(yè)務(wù)系統(tǒng)的陸續(xù)上線運行一方面適應(yīng)和滿足了金融、經(jīng)濟和社會建設(shè)發(fā)展的需求,一方面隨著各種用戶及其需求的不斷增加和擴大,對系統(tǒng)應(yīng)用的要求也越來越高,特別是系統(tǒng)運行時間實現(xiàn)了7×24小時全天候不間斷運行。履行好維護支付清算系統(tǒng)正常運行的職責(zé),確保系統(tǒng)的安全穩(wěn)定運行,顯得越來越重要。

(二)CCPC業(yè)務(wù)現(xiàn)狀

以天津CCPC為例,天津CCPC現(xiàn)有大額、小額、支票影像、PMIS、電票、網(wǎng)銀6大系統(tǒng)。近年來,隨著天津市經(jīng)濟快速發(fā)展,不斷有新的參與者加入,各系統(tǒng)業(yè)務(wù)量也呈現(xiàn)不斷增長趨勢。天津CCPC支付系統(tǒng)直接參與者48家,間接參與者1587家,2010年大額支付系統(tǒng)共處理業(yè)務(wù)968.5983萬筆,金額25.49萬億元,分別比2009年增長15.58%和33.32%(見圖2)。

2010年全年小額支付系統(tǒng)共處理業(yè)務(wù)396.69萬包、745.18萬筆,金額1,628.7億元,分別比2009年同期增長52.41%、52.61%和29.56%(見圖3)。

2010年全國支票影像交換系統(tǒng)共處理全國業(yè)務(wù)560,657筆,金額346.21億元,分別比去年增長-3.24%和12.23%。

2010年度小額支付系統(tǒng)收到查詢業(yè)務(wù)5177筆,大額支付系統(tǒng)收到查詢業(yè)務(wù)105,028筆。影像系統(tǒng)收到查詢業(yè)務(wù)373條,回復(fù)率均為100%。

(三)CCPC安全管理現(xiàn)狀

近年來各CCPC逐步完成各自的核心設(shè)備更新改造,改造后的CCPC安全運行能力大大增強。在設(shè)備安全方面,采用雙機冗余熱備,基本避免了由于設(shè)備單點故障引起的系統(tǒng)故障。在信息安全方面,大小額支付系統(tǒng)采用密押機制;全國支票影像交換系統(tǒng)采用數(shù)字證書;信息傳輸采用網(wǎng)絡(luò)加密技術(shù),有力保障了支付業(yè)務(wù)數(shù)據(jù)的安全。在網(wǎng)絡(luò)安全方面,部署邊界防火墻,通過訪問控制技術(shù)保證系統(tǒng)的訪問安全;部署入侵檢測系統(tǒng),提高網(wǎng)絡(luò)的抗攻擊能力。在安全制度方面,清算總中心先后制定并下發(fā)了《中國人民銀行清算總中心支付清算系統(tǒng)運行維護細則》、《中國現(xiàn)代化支付系統(tǒng)運行管理辦法》、《中國人民銀行清算總中心支付清算系統(tǒng)城市處理中心巡檢工作管理規(guī)定》、《CCPC日常維護操作指南》等一系列管理規(guī)定、辦法,其中對CCPC的人員崗位設(shè)置、業(yè)務(wù)操作、系統(tǒng)維護、信息安全管理、機房環(huán)境管理、變更、故障處理及技術(shù)支持、日常檢查以及定期巡檢等方面都做出了詳細的規(guī)定要求,各地CCPC也根據(jù)自己的實際制定了嚴格的內(nèi)控安全管理制度和業(yè)務(wù)技術(shù)操作規(guī)程。在嚴格按照規(guī)程檢查、維護下,支付系統(tǒng)的持續(xù)穩(wěn)定運行為各地經(jīng)濟發(fā)展提供了強有力的支撐。

目前,隨著支付清算系統(tǒng)的建設(shè)發(fā)展,CCPC面臨著七大業(yè)務(wù)系統(tǒng)并行、系統(tǒng)結(jié)構(gòu)越來越復(fù)雜、運行風(fēng)險較高的現(xiàn)實問題。CCPC作為系統(tǒng)的運行管理者,如何加強CCPC管理,有效控制系統(tǒng)運行風(fēng)險,保障支付系統(tǒng)安全穩(wěn)定運行,是急待解決的問題,必須引起重視。

二、CCPC管理存在的問題

(一)資金清算問題

由于各行內(nèi)部管理模式、計劃資金額度授信不同,資金調(diào)度速度差別較大,不足支付的業(yè)務(wù)進行日間排隊處理。但有的參與者因資金延緩支付,導(dǎo)致日間清算業(yè)務(wù)排隊、日終清算窗口開啟的現(xiàn)象,或者有的參與者日終不能及時籌措資金而使支付業(yè)務(wù)被退回,從而降低了社會資金的周轉(zhuǎn)速度,造成了支付風(fēng)險,影響現(xiàn)代化支付系統(tǒng)安全穩(wěn)定運行與支付系統(tǒng)的社會公信力。

(二)查詢查復(fù)問題

規(guī)范、準確和及時處理支付系統(tǒng)查詢查復(fù)業(yè)務(wù)是確保匯劃資金安全、系統(tǒng)高效運行的有力保障。如果查復(fù)行沒有對查詢進行及時查復(fù),將會大大影響資金的及時清算。而在實際工作中,超期未查復(fù)的現(xiàn)象時有發(fā)生,傳統(tǒng)上CCPC需要手工定期、定時檢查未查復(fù)業(yè)務(wù),電話提醒查復(fù)行進行查復(fù),這在一定程度上降低了查詢查復(fù)工作的效率,影響支付系統(tǒng)的高效率運行。

(三)災(zāi)備體系不完備

CCPC 災(zāi)難備份系統(tǒng)尚未建立。雖然國家處理中心NPC 已經(jīng)建立了災(zāi)難備份系統(tǒng),但目前各地城市處理中心CCPC 尚未建立能夠快速有效實時接管CCPC的災(zāi)難備份系統(tǒng)。各省轄內(nèi)支付清算系統(tǒng)尚未建立有效的應(yīng)對系統(tǒng)突發(fā)事件的應(yīng)急處置機制。

(四)CA系統(tǒng)不完善

CA事件監(jiān)控系統(tǒng)是由CA公司開發(fā)、清算總中心部署,在各CCPC有效監(jiān)控支付系統(tǒng),包括服務(wù)器主機設(shè)備硬件、應(yīng)用程序、部分網(wǎng)絡(luò)系統(tǒng)以及數(shù)據(jù)庫等,涵蓋大部分日常運行參數(shù),并可能對系統(tǒng)異常事件提供報警的視窗化實時報警檢測系統(tǒng)。目前CA事件監(jiān)控系統(tǒng)已經(jīng)覆蓋了包括大、小額支付系統(tǒng)、影像交換系統(tǒng)在內(nèi)的絕大部分系統(tǒng),是必不可少的全時維護工具。但CA事件監(jiān)控仍然存在一些功能上的不完善,對支付系統(tǒng)的維護工作帶來一些不利的影響。

第一,該系統(tǒng)不能對系統(tǒng)資源的使用情況等提供深入的監(jiān)控與分析,導(dǎo)致會對支付系統(tǒng)業(yè)務(wù)正常運行造成影響的安全隱患無法及時預(yù)警。第二,監(jiān)控報警存在延時,且報警方式單一。一般系統(tǒng)中存在異常警告或錯誤信息后,往往會在30分鐘左右后,報警信息才會出現(xiàn)在CA監(jiān)控界面中。CA事件監(jiān)控系統(tǒng)的報警只是單一的屏幕提示和短信通知,沒有聲音、圖像等更加直觀的方式提醒技術(shù)人員。因此,日常維護中,CCPC不能僅依賴CA事件監(jiān)控系統(tǒng),而應(yīng)按清算總中心要求,定時在主機上以人工方式例行檢查。

(五)主機硬件設(shè)備的綁定依賴性

長期以來,包括大、小額支付系統(tǒng)、影像系統(tǒng)在內(nèi)的支付系統(tǒng)服務(wù)器主機一直使用IBM品牌產(chǎn)品,網(wǎng)絡(luò)設(shè)備如交換機、路由器等則是使用CISCO品牌產(chǎn)品。作為國際知名品牌IBM和CISCO,無論是從產(chǎn)品質(zhì)量、售后服務(wù)還是技術(shù)支持在業(yè)內(nèi)都是處于領(lǐng)先地位。但由于國外品牌硬件產(chǎn)品內(nèi)部底層加密保護運行機制的未知性以及設(shè)備核心技術(shù)的保密性,很難確保那些保存在設(shè)備主機中的、隨支付交易流動的數(shù)據(jù)的安全性。支付系統(tǒng)作為人民幣業(yè)務(wù)系統(tǒng)的大平臺和國家金融系統(tǒng)的重要組成部分,如果長期在生產(chǎn)系統(tǒng)運行中無法擺脫對國外品牌設(shè)備的依賴性,則必然會形成對系統(tǒng)的安全患。

(六)安全管理機構(gòu)缺失

系統(tǒng)運維要求規(guī)定,各地清算中心都應(yīng)設(shè)置安全管理主管崗,并配備兩名安全管理員。但由于目前清算中心人員配備緊張,大部分人員都配備在運行、維護崗,很難成立專門主管安全的科室,一般安全管理員都由其他崗位人員兼任,人員配備緊張導(dǎo)致代崗或一人多崗。此外,安全管理員所應(yīng)具備的技能沒有明確的規(guī)定,并缺乏專業(yè)的培訓(xùn),實際中,對安全管理職責(zé)的履行還存在一定的困難。

三、創(chuàng)新CCPC管理的手段與方法

為提高CCPC運維水平,向直接參與者提供低成本高效率的業(yè)務(wù)處理和監(jiān)管服務(wù),全方位保障支付系統(tǒng)安全穩(wěn)定運行,天津分行清算中心依托信息化優(yōu)勢,結(jié)合工作實際,創(chuàng)新管理手段,改進管理方法。2007年創(chuàng)新性地將“短信平臺”應(yīng)用到支付系統(tǒng)運維體系中,通過與各直接參與者的短信互動切實、有效地對參與者實施監(jiān)管并提供服務(wù)。2009年開發(fā)“支付清算綜合服務(wù)系統(tǒng)”,可對天津清算中心的日常技術(shù)維護、值班日志、綜合管理、業(yè)務(wù)數(shù)據(jù)統(tǒng)計、信息等進行信息處理,有效提高CCPC辦公自動化水平及業(yè)務(wù)服務(wù)水平。2010開發(fā)了“支付清算運行監(jiān)控管理系統(tǒng)”,很大程度上提高了查詢查復(fù)率,解決了常期困擾CCPC管理中的查詢查復(fù)這一難題。2011年開發(fā)“城市處理中心操作終端遠程備份系統(tǒng)”,做為對建立完善災(zāi)難備份系統(tǒng)的初步嘗試,實現(xiàn)了對支付系統(tǒng)客戶端的遠程管理控制。

(一)短信平臺

短信平臺是CCPC與各金融機構(gòu)之間業(yè)務(wù)聯(lián)動、信息溝通的信息化載體;是面向支付系統(tǒng)各直接參與者業(yè)務(wù)信息、通知公告的站點。它實質(zhì)是向各直接參與者提供“短信監(jiān)管服務(wù)平臺”,通過該平臺,可以超越時間、空間的限制,實現(xiàn)點對點、7×24小時、即時性的溝通與互動。一方面CCPC可以根據(jù)業(yè)務(wù)需要通過短信群發(fā)、定時短信提醒等方式系統(tǒng)運行問題、公告提示;另一方面則可以通過這一系統(tǒng)隨時查詢,了解各家直接參與者的意見、建議和要求,從而有效地解決了以往由于各參與者數(shù)目眾多且分散而造成的管理程序繁雜、信息傳達不及時、不對稱等一系列問題,從根本上提高了工作效率,降低了溝通成本。因此,短信平臺的搭建與開通,是天津分行清算中心不斷拓寬思路,依托短信平臺實現(xiàn)監(jiān)管服務(wù)、健全運維手段的又一創(chuàng)新。

(二)支付清算綜合服務(wù)系統(tǒng)

支付清算綜合服務(wù)系統(tǒng)是天津清算中心為加強對支付清算系統(tǒng)的運行管理和服務(wù),提高辦公自動化水平,依托網(wǎng)絡(luò)技術(shù)和信息處理技術(shù)開發(fā)的清算中心綜合服務(wù)系統(tǒng)。該系統(tǒng)包含MBFE服務(wù)子系統(tǒng)、人民銀行支付清算子系統(tǒng)、基礎(chǔ)知識子系統(tǒng)、支付清算風(fēng)險防范子系統(tǒng)、清算中心服務(wù)子系統(tǒng)五大系統(tǒng)。該系統(tǒng)將各種運維日志、檢查情況、統(tǒng)計報表、審批材料、學(xué)習(xí)資料分別整理上傳,形成了一個管理清晰且高度共享的信息庫。一方面實現(xiàn)了日常運維工作的信息網(wǎng)絡(luò)化和管理無紙化,解決了CCPC日常運維工作事件繁鎖、過程文檔多、事后查閱不便的難題;另一方面實現(xiàn)對CCPC業(yè)務(wù)流程的實時管理與連續(xù)監(jiān)控,便于領(lǐng)導(dǎo)及時掌握工作情況,從源頭上預(yù)防、減少差錯事故的發(fā)生與危害。

(三)支付清算運行監(jiān)控管理系統(tǒng)

為提高支付系統(tǒng)的查詢查復(fù)率,天津CCPC開發(fā)“支付清算運行監(jiān)控管理系統(tǒng)”。該系統(tǒng)包含對查詢查復(fù)業(yè)務(wù)、排隊業(yè)務(wù)、退回申請及止付申請的監(jiān)控、提醒統(tǒng)計及考核統(tǒng)計等。通過對大、小額系統(tǒng)查詢查復(fù)信息的后臺監(jiān)控來發(fā)現(xiàn)未查復(fù)業(yè)務(wù),并對查復(fù)行自動短信提醒。這樣一方面節(jié)省了人力,另一方面確保了未查復(fù)信息的及時發(fā)現(xiàn),大大提高了查復(fù)行的查復(fù)效率。使用該系統(tǒng)以后,各直接參與者的查復(fù)工作更加及時,2010年度小額支付系統(tǒng)收到查詢業(yè)務(wù)5177筆,大額支付系統(tǒng)收到查詢業(yè)務(wù)105,028筆,回復(fù)率均為100%。

(四)城市處理中心操作終端遠程備份系統(tǒng)

天津CCPC探索建立了城市處理中心操作終端遠程備份系統(tǒng),即在現(xiàn)有系統(tǒng)基礎(chǔ)上增加一組遠程操作終端。在遭受地震等自然災(zāi)害威脅或發(fā)生突發(fā)公共衛(wèi)生事件,支付系統(tǒng)終端監(jiān)控機房無法提供持續(xù)、正常工作條件,而支付系統(tǒng)主機房及主機、終端仍可以正常使用時,就可以在經(jīng)分行應(yīng)急領(lǐng)導(dǎo)小組批準同意后,將支付系統(tǒng)客戶端監(jiān)控管理切換到位于異地(塘沽中心支行)的遠程監(jiān)控管理環(huán)境,業(yè)務(wù)運行及技術(shù)維護人員進行遠程實際操作,有效保證支付系統(tǒng)的正常運行。天津CCPC終端遠程備份系統(tǒng)能夠快速有效接管CCPC的業(yè)務(wù)運行管理,并可作為異地CCPC的災(zāi)難備份系統(tǒng)之一。可作為各地CCPC支付清算系統(tǒng)應(yīng)對系統(tǒng)突發(fā)事件多了一種有效的應(yīng)急處置手段。

四、加強CCPC管理對策與建議

(一)采取先進的管理手段,杜絕清算窗口的開啟

1.建議實施資金預(yù)報制,嚴格頭寸管理。應(yīng)當要求各直接參與者的資金管理部門安排專人負責(zé)監(jiān)管頭寸,并加強頭寸的預(yù)測管理。由專人收集歷史數(shù)據(jù),了解日常資金流量規(guī)律,把握資金流量大的分支行和重點客戶,有針對性地進行資金監(jiān)控。尤其是重點時段16:00以后的大額緊急支付,例如資金額度在5000萬以上的要向所屬CCPC一筆一報。這樣CCPC的對資金頭寸的管理由被動變主動,從很大成效上杜絕了清算窗口的開啟。

2.與商業(yè)銀行簽訂公約,實施資金拆借與劃撥。建議人民銀行支付管理部門與支付系統(tǒng)的直接參與者簽訂資金拆借公約,在清算窗口時間內(nèi),若某一商業(yè)銀行(拆借方)清算賬戶因存在資金缺口而導(dǎo)致當日必須清算的業(yè)務(wù)無法正常清算時,可使用另一商業(yè)銀行(被拆借方)在當?shù)厝嗣胥y行開立的支付系統(tǒng)清算賬戶進行資金拆借,執(zhí)行比同業(yè)拆借利率較高利率予以償還。其中,人民銀行負責(zé)強行拆借資金的受托成交、資金清算和對拆借資金的監(jiān)督管理。

2011年,人民銀行天津分行經(jīng)與各支付系統(tǒng)直接參與者協(xié)商一致,訂立了《天津市金融機構(gòu)臨時頭寸資金拆借參與公約》。公約規(guī)定,參與簽約的銀行業(yè)金融機構(gòu)按照本公約約定的拆借原則進行臨時頭寸資金拆借和清算賬戶資金的劃撥。對于因日常經(jīng)營不善,資金流動性監(jiān)測、控制、管理不到位,致使一年中累計使用三次以上清算賬戶同業(yè)拆借的拆入方,由人民銀行給予警告、通報、對清算賬戶實施控制直至取消其支付系統(tǒng)參與者資格的行政處罰。公約執(zhí)行后,各直接參與者密切關(guān)注日間排隊業(yè)務(wù)情況,有效避免了日終清算窗口開啟的現(xiàn)象。

(二)建制度立機制,推動查詢查復(fù)工作

CCPC作為系統(tǒng)的運行管理者,應(yīng)當要求各直接參與者從思想上高度重視跨行支付系統(tǒng)查詢查復(fù)業(yè)務(wù),堅決貫徹執(zhí)行“有疑必查,有查必復(fù)、復(fù)必詳盡、切實處理”的原則,進一步加強監(jiān)督管理力度,層層把關(guān),責(zé)任到人,由專人負責(zé)在每日營業(yè)開始后,對本行查詢查復(fù)情況進行監(jiān)控落實,堅決杜絕“查而不復(fù)、查而遲復(fù)”的現(xiàn)象發(fā)生。

一是建議建立查詢查復(fù)管理員制度和聯(lián)絡(luò)員備案制度。CCPC要加大對支付系統(tǒng)查詢查復(fù)人員的管理力度,查詢查復(fù)聯(lián)絡(luò)員要切實承擔(dān)工作職責(zé),CCPC可利用電話或短信平臺通知商業(yè)銀行,若未能及時辦理查復(fù),將受到懲罰。二是建立支付系統(tǒng)查詢查復(fù)考核機制。將查詢查復(fù)率列入對商業(yè)銀行考核的一項重要指標,鼓勵商業(yè)銀行在支付系統(tǒng)查詢查復(fù)業(yè)務(wù)管理上的創(chuàng)新,對于取得突出成績或經(jīng)驗,在考核中予以加分并向轄內(nèi)各直接參與者推廣。

(三)加強應(yīng)急管理,做好災(zāi)備系統(tǒng)建設(shè)

一是要加強應(yīng)急管理相關(guān)制度建設(shè)。隨著支付清算系統(tǒng)的發(fā)展,新系統(tǒng)的掛接不斷增加,結(jié)合新系統(tǒng),不斷修訂完善應(yīng)急預(yù)案,增強預(yù)案的可操作性。二是加強應(yīng)急演練工作。提高應(yīng)急演練的質(zhì)量和效率,不斷提高支付清算系統(tǒng)應(yīng)對突發(fā)事件的處置能力。三是完善CCPC災(zāi)備系統(tǒng)建設(shè)。由于NPC已經(jīng)建立了災(zāi)難備份系統(tǒng)及CCPC集中備份系統(tǒng),建議各地CCPC以“快速切換、不間斷運行”為目標,采用建設(shè)同城異地災(zāi)備網(wǎng)絡(luò)轉(zhuǎn)接中心的方式,在不增加過多投入的同時,最大限度地保障支付系統(tǒng)的運行安全與穩(wěn)定。

(四)完善CA監(jiān)控系統(tǒng)功能,加強系統(tǒng)風(fēng)險防范

一是應(yīng)該減少報警延時時間,“實時監(jiān)控”的要素即是及時,支付系統(tǒng)隨時都在發(fā)送大量的業(yè)務(wù)數(shù)據(jù),如果無法達到實時的要求,會增大支付系統(tǒng)的運行風(fēng)險。二是應(yīng)當加大對系統(tǒng)資源以及運行參數(shù)方面的深入細化分析,進而更好地保障支付系統(tǒng)的持續(xù)穩(wěn)定良好運行。

(五)加大自主品牌研發(fā)力度,擺脫設(shè)備依賴性

近年來,我國自主品牌的硬件設(shè)備隨其自身技術(shù)的不斷發(fā)展和制作工藝的逐步完善,其硬件設(shè)備運行穩(wěn)定性大大增強,基本可以勝任金融城市處理中心的需要??梢赃m當加大購買采用國內(nèi)自主品牌產(chǎn)品的比率,逐步擺脫對國外品牌主機硬件設(shè)備的綁定依賴性。

(六)強化安全組織結(jié)構(gòu)建設(shè),配備專職人員隊伍

建議從總中心一級設(shè)立安全管理部,各清算中心設(shè)立相應(yīng)的安全管理科室,逐步建立起一套自上而下的安全管理組織機構(gòu)。調(diào)整業(yè)務(wù)、技術(shù)人員結(jié)構(gòu)比例,配備相應(yīng)的安全主管,提高其分析、查找和解決異常問題的能力,形成一支運維本領(lǐng)過硬的支付系統(tǒng)安全管理人員隊伍。

(七)暢通運維協(xié)調(diào)機制,加強對參與者的管理

首先,CCPC要加強對各直接參與者的考核。建議制定對轄內(nèi)各直接參與者的考核制度和辦法,與各直接參與者簽訂安全管理責(zé)任狀,明確參與者責(zé)任,由各地清算中心負責(zé)督促和協(xié)調(diào)。

其次,各地CCPC可參考總中心對各CCPC的巡檢、自檢制度,依據(jù)總行頒發(fā)的原則性制度和辦法,對各直接參與者制定具體的檢查制度和標準,每季度開展巡檢或抽檢工作。一方面要檢查MBFE的運行維護制度落實情況,從制度上保障支付系統(tǒng)的安全;另一方面要檢查運維問題、人員配備及安全隱患。對存在的問題嚴肅追究責(zé)任人,督促其制定整改措施并落實到位,謹防重檢查、輕整改的現(xiàn)象發(fā)生。

最后,CCPC加強對商業(yè)銀行的培訓(xùn)和業(yè)務(wù)指導(dǎo)力度。CCPC要定期組織各金融機構(gòu)開展相關(guān)維護、運行、安全方面的相關(guān)培訓(xùn),提高商業(yè)銀行日常業(yè)務(wù)能力和故障處理能力。當下級節(jié)點(ABS、TBS、MBFE)出現(xiàn)問題時,應(yīng)立即向CCPC報告,CCPC力求在最短的時間內(nèi)給出解決方案,并指導(dǎo)下級節(jié)點迅速排除故障。CCPC也應(yīng)主動通過下行線路監(jiān)控系統(tǒng)隨時查看下級節(jié)點連接情況、資金清算情況,如有問題及時溝通,要求各參與者及時解決,并將處理結(jié)果反饋到CCPC。

參考文獻:

[1]熊立群、譚卡吉,《支付系統(tǒng)運行維護管理探討》,《支付清算》,2011,第6期。

[2]段志田,《第二代支付系統(tǒng)‘一點對接’與支付清算體系的變革》,《支付清算》,2010,第11期。

[3]堵秋瑩,《關(guān)于我國支付結(jié)算系統(tǒng)現(xiàn)狀及問題分析》,《法制與社會》,2007,第9期。

篇8

為實現(xiàn)檔案管理方法和管理手段的現(xiàn)代化,實現(xiàn)檔案信息資源的共享,構(gòu)建公司檔案信息網(wǎng)絡(luò),我公司提出:力爭“十一五”期間,建設(shè)一個管理科學(xué)、功能齊全、服務(wù)優(yōu)質(zhì)、具有國內(nèi)先進水平的檔案現(xiàn)代化管理網(wǎng)絡(luò)。具體的建設(shè)目標如下:

第一,建成國家電網(wǎng)公司檔案綜合管理平臺。做到覆蓋國家電網(wǎng)總部、區(qū)域電網(wǎng)公司、省電力公司、地市供電公司、縣級供電公司等五級單位,滿足以上五級單位對于本部檔案信息化管理的實際業(yè)務(wù)需要,實現(xiàn)上下級單位間的檔案信息互通,即上級單位可以對下級單位的檔案工作進行監(jiān)督管理,下級單位可以對上級單位進行檔案數(shù)據(jù)的匯總上報,避免各單位形成內(nèi)部檔案信息孤島,建立檔案系統(tǒng)對外統(tǒng)一的標準系統(tǒng)數(shù)據(jù)接口,使得其他相關(guān)系統(tǒng)(如OA辦公自動化系統(tǒng))中的數(shù)據(jù)能夠順利進入檔案系統(tǒng)中。

第二,建成兩個數(shù)據(jù)查詢中心。即檔案目錄中心和現(xiàn)行文件查閱中心,以集中統(tǒng)一數(shù)據(jù)倉庫的方式面向公司所有普通用戶提供檔案目錄和現(xiàn)行文件的查詢。

第三,制定公司檔案業(yè)務(wù)管理規(guī)范。

第四,形成一支專業(yè)化的檔案業(yè)務(wù)管理隊伍。通過此平臺的搭建,全面提高各單位檔案管理人員的業(yè)務(wù)素質(zhì)和技術(shù)素質(zhì),形成一支專業(yè)化的業(yè)務(wù)團隊。

技術(shù)實現(xiàn)手段及組織實施

國家電網(wǎng)公司檔案綜合管理平臺在系統(tǒng)邏輯架構(gòu)上分為基礎(chǔ)數(shù)據(jù)平臺、應(yīng)用服務(wù)層、業(yè)務(wù)建模層和業(yè)務(wù)模塊層。

基礎(chǔ)數(shù)據(jù)平臺為用戶提供檔案信息的數(shù)據(jù)存儲平臺,通過數(shù)據(jù)庫技術(shù)、信息安全技術(shù)和數(shù)據(jù)存儲技術(shù)解決檔案數(shù)據(jù)的安全存儲問題。

應(yīng)用服務(wù)層主要包括基于J2EE標準的應(yīng)用程序服務(wù)器和中間件及為應(yīng)用系統(tǒng)提供公共技術(shù)服務(wù),如文件格式轉(zhuǎn)換服務(wù)、OCR服務(wù)、電子文件瀏覽服務(wù)、全文檢索服務(wù)等。

業(yè)務(wù)建模層主要用于初始化檔案系統(tǒng)結(jié)構(gòu)以及定制業(yè)務(wù)規(guī)則,包括部署系統(tǒng)結(jié)構(gòu)、定義機構(gòu)、檔案管理模式等。其目的主要為是為檔案管理員提供業(yè)務(wù)操作的功能模塊,涵蓋收集、整理、鑒定、數(shù)據(jù)管理、報表、統(tǒng)計、銷毀、編研等日常檔案管理業(yè)務(wù)。

從技術(shù)角度看,公司檔案綜合管理平臺必須具有良好的適應(yīng)能力和擴展能力,而解決這些問題最好的辦法是采用面向服務(wù)的SOA(service-oriented architecture)體系結(jié)構(gòu)。公司檔案綜合管理平臺的總體結(jié)構(gòu)采取集中式的系統(tǒng)結(jié)構(gòu),不同的單位系統(tǒng)之間可以分布部署。數(shù)據(jù)存儲中將用戶數(shù)據(jù)和系統(tǒng)數(shù)據(jù)進行甄別,系統(tǒng)數(shù)據(jù)、公共數(shù)據(jù)全部存放在主數(shù)據(jù)庫中,不同單位不同的數(shù)據(jù)信息放在不同的數(shù)據(jù)庫中,這樣保證系統(tǒng)數(shù)據(jù)高內(nèi)聚、低耦合的特性。

檔案信息化建設(shè)過程中,公司下屬五級單位實行統(tǒng)一組織、統(tǒng)一規(guī)劃,綜合各級單位的先進管理理念和經(jīng)驗,對管理規(guī)范、信息系統(tǒng)以及后期服務(wù)方式等內(nèi)容進行統(tǒng)一規(guī)劃和建設(shè)。成立檔案管理信息平臺建設(shè)項目協(xié)調(diào)小組,統(tǒng)一組織和協(xié)調(diào)項目建設(shè)、實施過程中的有關(guān)問題。項目協(xié)調(diào)小組下設(shè)業(yè)務(wù)小組和技術(shù)小組。

業(yè)務(wù)小組主要工作職責(zé)包括:明確公司系統(tǒng)各級單位類型及檔案管理特點;調(diào)研各級單位檔案的管理現(xiàn)狀和業(yè)務(wù)需求;收集整理各級單位檔案管理辦法;明確檔案管理辦法的數(shù)字化實施細則;明確各類檔案的歸檔細則(包括歸檔范圍、時間、要求、方式、流程、整理規(guī)則、著錄信息、保密期限和目錄格式等);明確各類工程檔案的歸檔文件細目(即工程模板)。業(yè)務(wù)小組的主要的工作成果是完成《需求說明書》。

技術(shù)小組主要工作職責(zé)包括:調(diào)研公司各單位現(xiàn)有的檔案管理系統(tǒng);調(diào)研公司系統(tǒng)信息統(tǒng)一規(guī)劃(應(yīng)用開發(fā)環(huán)境、網(wǎng)絡(luò)環(huán)境等);明確檔案接口數(shù)據(jù)有效性驗證要求;明確數(shù)字化檔案信息管理規(guī)范(包括歸檔電子文件存儲格式、電子文件命名、電子檔案移交格式、檔案信息系統(tǒng)數(shù)據(jù)接口、數(shù)據(jù)存儲備份及安全管理、檔案數(shù)字化加工規(guī)范等);形成公司電子文件管理元數(shù)據(jù)規(guī)范。技術(shù)小組的主要工作成果是完成《總體設(shè)計方案》。

集團檔案信息化系統(tǒng)的技術(shù)優(yōu)勢

實現(xiàn)了電子文件的全程管理

電子文件管理必須遵循全程管理原則,就是要在從文件產(chǎn)生到永久保存或銷毀的整個生命周期中進行全程管理,通過過程控制實現(xiàn)結(jié)果控制。由于過程的可控性強,過程控制的反饋周期短,因此,對電子文件生成、流轉(zhuǎn)、保管、利用等每一項具體管理活動中的實施過程進行監(jiān)控,便于及時發(fā)現(xiàn)和糾正失誤,不斷調(diào)整管理策略。在過程管理中,所有有助于說明電子文件重要屬性和有效管理過程的信息都被記錄在案,以證實電子文件在管理系統(tǒng)中的運轉(zhuǎn)狀況,確保電子文件的管理質(zhì)量。

以公司檔案信息平臺系統(tǒng)中對工程檔案的管理和監(jiān)控為例來說明該原則的應(yīng)用:供電企業(yè)的工程項目檔案的特點是量大面廣,建設(shè)周期長。量大,是指建設(shè)項目從立項、調(diào)研、方案論證、可行性研究、初步設(shè)計、施工、安裝到竣工投產(chǎn),將產(chǎn)生大量應(yīng)歸檔的文件材料。面廣是指參建單位多,有建設(shè)、招投標、設(shè)備采購、土建施工、電氣安裝、監(jiān)理、質(zhì)量監(jiān)督、系統(tǒng)調(diào)試等參建單位。各參建單位檔案管理的做法、要求、習(xí)慣都不盡相同,對業(yè)主的要求不甚了解,使檔案案卷質(zhì)量難以保證。建設(shè)項目從項目前期開始到竣工投產(chǎn),建設(shè)周期少則兩年,多則十幾年,時間跨度較大,對檔案管理帶來一定的難度。

面對量大面廣,建設(shè)周期長的特點,系統(tǒng)平臺引入了全程管理原則,并采用了工程檔案模板技術(shù),用計算機管理貫穿工程建設(shè)的全過程,將人為因素降低到最小化,從而有效地使工程項目文件材料歸檔工作與工程建設(shè)同步、有序進行。通過該平臺系統(tǒng),工程項目管理已由過去建設(shè)單位一家管檔案的模式,變?yōu)樵跇I(yè)主的統(tǒng)一指導(dǎo)下,設(shè)計、施工、調(diào)試、監(jiān)理等各參建單位在網(wǎng)上同步建檔,業(yè)主單位實施全過程監(jiān)控,實時管理。

貫徹了電子文件管理的前端控制原則

前端控制原則是現(xiàn)代文件、檔案管理理念的重要內(nèi)容,它以文件生命周期理論方法為基礎(chǔ),把文件從形成到永久保存或銷毀的不同階段看作一個完成的過程。在這個過程中,文件的形成是前端,處理、鑒定、整理、編目等具體管理活動是中端,永久保存或銷毀是末端。前端控制是實現(xiàn)電子文件全程管理的重要保障,這一原則在紙質(zhì)及其他載體文件、檔案管理中是有效的,在電子文件管理中更加重要。

在初步建立了檔案信息平臺系統(tǒng)的機構(gòu)中,實現(xiàn)了電子文件在業(yè)務(wù)系統(tǒng)中生成和運轉(zhuǎn),在本平臺系統(tǒng)的輔助下捕獲和歸檔,因此電子文件管理過程的前端就延伸到了業(yè)務(wù)系統(tǒng)和電子文件管理系

統(tǒng)的設(shè)計階段,前端控制的形式也部分轉(zhuǎn)移到業(yè)務(wù)系統(tǒng)和電子文件管理的功能設(shè)計中。目前已經(jīng)實現(xiàn)協(xié)同辦公系統(tǒng)、招投標管理、法律合同管理、FMIS財務(wù)管理、營銷系統(tǒng)、生產(chǎn)管理系統(tǒng)、統(tǒng)一用戶機構(gòu)管理和認證等系統(tǒng)與檔案管理平臺的接口和集成,從而實現(xiàn)了檔案的前端管理。通過這種延伸,使各機構(gòu)歸檔的質(zhì)量得到了大量提升。

體現(xiàn)了電子文件的集成管理原則

集成管理是全程管理思想的延伸和深化,它要求不僅關(guān)注文件流,也要關(guān)注與文件流相關(guān)的業(yè)務(wù)流,關(guān)注其他信息流的統(tǒng)籌兼顧、功能整合,鮮明地體現(xiàn)了開放式、集約式的管理理念。

具體說來,電子文件的集成管理原則在本系統(tǒng)中主要體現(xiàn)了以下三方面的內(nèi)容:

1 文件流與業(yè)務(wù)流的集成。文件是機構(gòu)履行職能、從事業(yè)務(wù)活動的重要手段,從―定意義上說,文件流是業(yè)務(wù)流的記錄和反映。因此,文件流與業(yè)務(wù)流的結(jié)合程度應(yīng)該是衡量電子文件管理質(zhì)量的―個重要標準。文件業(yè)務(wù)流的集成思想不僅應(yīng)體現(xiàn)在機構(gòu)電子文件的管理理念、管理政策和管理方法之中,最終應(yīng)體現(xiàn)在機構(gòu)電子文件管理系統(tǒng)對電子文件流與業(yè)務(wù)流的―體化整合上。電子文件管理系統(tǒng)應(yīng)支持本機構(gòu)的文件運轉(zhuǎn)流程和業(yè)務(wù)流程,在確保文件完整、安全、準確的同時,保證文件運轉(zhuǎn)和業(yè)務(wù)勰的順暢、周密和高效。目前,已通過開放的web service技術(shù),實現(xiàn)了檔案系統(tǒng)與其他系統(tǒng)的集成,從而實現(xiàn)了整個文件流與業(yè)務(wù)流的完整吻合。

2 文件流與其他信息流的集成。文件只是機構(gòu)全部信息的一部分,任何機構(gòu)在日常工作中都還會接收、運行、保管和利用各種各樣的非文件信息,如參閱信息、內(nèi)部管理信息、統(tǒng)計信息、宣傳信息等。文件信息和非文件信息在內(nèi)容上有互補性,在管理流程和技術(shù)上有許多相通之處,集成管理就是要打通它們之間的可通之處,連接它們之間的可連之處,’實現(xiàn)最大限度的信息共享和知識挖掘。本系統(tǒng)已經(jīng)實現(xiàn)了檔案系統(tǒng)與公司統(tǒng)一搜索功能(Autonomy系統(tǒng))的集成,從而實現(xiàn)了文件流與其他信息流的集成。

3 文件流內(nèi)部管理活動的集成。長期以來,公司紙質(zhì)文件管理實行的“分階段+分環(huán)節(jié)”的管理方式,即先劃分為文件管理和檔案管理兩個階段,各階段中再劃分若干個管理環(huán)節(jié),每個環(huán)節(jié)相對獨立,界線清楚。信息技術(shù)的介入使這種管理方式的不適應(yīng)性日益明顯:一是對原有管理流程的解析顯示出作業(yè)的不合理分割和交叉重復(fù);二是電子文件的技術(shù)特征要求實行前端控制,即將以往“后工序”提前至文件形成階段,這使得文件管理流程改造成為必需。為了達到優(yōu)化電子文件管理,提高機構(gòu)工作效率的目的,電子文件管理的各項具體業(yè)務(wù)應(yīng)該并盡可能根據(jù)其內(nèi)在關(guān)聯(lián)性而得以整合或集成,如歸檔與整理、鑒定、著錄的結(jié)合等。這一思想使得我們在構(gòu)造系統(tǒng)時,雖然在管理數(shù)據(jù)上是分門別類的進行管理,但信息是一體化的,從而避免了信息“死角”,使需要查找的信息都能找到。

國際標準和理論的最佳實踐

國家電網(wǎng)檔案信息平臺系統(tǒng)不僅在國內(nèi),在國際上都是目前最新ISO標準及前沿檔案管理理論的最佳實踐。主要體現(xiàn)在以下幾點:

1 在檔案元數(shù)據(jù)上遵循歐盟MoReq(Model Requirements for the Man-agement of Electronic Records)關(guān)于文件元數(shù)據(jù)通用要求,形成國家電網(wǎng)公司檔案元數(shù)據(jù)規(guī)范;同時遵從0AIS參考模型,解決數(shù)字檔案信息長期保存問題。

2 在業(yè)務(wù)功能應(yīng)用上采用文件生命周期理論,通過前端控制的方式對歸檔文件在形成之初就進行了控制和管理,具體表現(xiàn)在系統(tǒng)中就是:針對文書類歸檔文件,在每一年的開始就明確各業(yè)務(wù)部門歸檔范圍和責(zé)任,提供了文件收集、檔案收集和收集整編等各類手段及業(yè)務(wù)系統(tǒng)接口實現(xiàn)對歸檔文件的前端控制和管理;針對工程項目檔案則在項目立項時就同步確定項目歸檔范圍、整理規(guī)則、明確歸檔責(zé)任,使得項目檔案能與項目階段同步進行歸檔和管理;

3,在檔案的鑒定和管理觀念上吸收了“后保管模式”理論的精華,“宏觀鑒定”、“知識服務(wù)”等理念在系統(tǒng)中得到充分應(yīng)用。具體體現(xiàn)在系統(tǒng)通過規(guī)范的分類表和歸檔模板實現(xiàn)保管期限的鑒定工作,同時明確了各部門的歸檔范圍和責(zé)任,并使得通過系統(tǒng)可以進行控制;也體現(xiàn)在系統(tǒng)與公司數(shù)據(jù)中心、知識管理進行和AU-TONOMY搜索引擎進行的集成上。

篇9

一、有關(guān)互聯(lián)網(wǎng)金融研究的文獻回顧

1995年,全球第一家互聯(lián)網(wǎng)銀行SFNB(SecurityFirstNetworkBank,安全第一網(wǎng)絡(luò)銀行)在美國成立,隨后開始在歐洲和亞洲一些國家和地區(qū)興起,近些年在中國和日本等地發(fā)展迅猛。國內(nèi)外眾多專家學(xué)者對互聯(lián)網(wǎng)金融進行理論研究和實證分析,取得了很多成果。按照研究方向和內(nèi)容來看,大致分為三類。1.對互聯(lián)網(wǎng)金融模式的研究李博、董亮(2013)將互聯(lián)網(wǎng)金融模式鑒定為三類:(1)傳統(tǒng)金融的互聯(lián)網(wǎng)延伸,電子銀行、網(wǎng)上銀行、手機銀行等都可歸納為這一范疇;(2)金融的互聯(lián)居間服務(wù),有第三方支付平臺、P2P信貸、眾籌等;(3)互聯(lián)網(wǎng)金融服務(wù),如小額貸款公司、基金保險銷售平臺等。謝平(2014)認為互聯(lián)網(wǎng)金融以支付方式、信息處理和資源配置為支柱,他將互聯(lián)網(wǎng)金融模式分為八類:傳統(tǒng)金融互聯(lián)網(wǎng)化、移動支付和第三方支付、對等聯(lián)網(wǎng)(P2P)、眾籌、大數(shù)據(jù)在證券投資中的應(yīng)用、互聯(lián)網(wǎng)貨幣、基于大數(shù)據(jù)的征信和網(wǎng)絡(luò)貸款、保險等。羅明雄(2014)認為互聯(lián)網(wǎng)金融有六種模式,分別為:第三方支付、P2P、眾籌、大數(shù)據(jù)金融、互聯(lián)網(wǎng)金融門戶以及金融機構(gòu)信息化等。鄭聯(lián)盛(2014)認為互聯(lián)網(wǎng)金融是整個金融領(lǐng)域的新型業(yè)態(tài)??偨Y(jié)目前中國的互聯(lián)網(wǎng)金融發(fā)展模式并歸納為四類:(1)傳統(tǒng)金融業(yè)務(wù)的互聯(lián)網(wǎng)化。包括有:為傳統(tǒng)金融服務(wù)提供服務(wù)的機構(gòu)或平臺、互聯(lián)網(wǎng)與傳統(tǒng)金融業(yè)務(wù)的融合、運用互聯(lián)網(wǎng)技術(shù)對傳統(tǒng)金融業(yè)務(wù)的創(chuàng)新化發(fā)展。(2)第三方支付。典型代表有支付寶、快錢等第三方支付機構(gòu)。(3)互聯(lián)網(wǎng)信用業(yè)務(wù),主要包括眾籌、網(wǎng)絡(luò)貸款等新興業(yè)務(wù)。(4)互聯(lián)網(wǎng)虛擬貨幣。美國的Google、Facebook、eBay等都發(fā)行有虛擬貨幣。目前,中國對此類業(yè)務(wù)實行嚴格的管控,2014年1月起,已禁止比特幣、萊特幣等互聯(lián)網(wǎng)虛擬幣的銷售。雖然學(xué)者們在敘述角度上有所差別,但從總體來看,所謂互聯(lián)網(wǎng)金融不同模式就是各種金融與互聯(lián)網(wǎng)要素的不同組合,可以概括為傳統(tǒng)金融業(yè)務(wù)的互聯(lián)網(wǎng)化與基于互聯(lián)網(wǎng)特性而延伸的金融(類金融)服務(wù)兩大類別。2.對于互聯(lián)網(wǎng)金融發(fā)展現(xiàn)狀及趨勢的研究MaryCronin(2002)介紹了網(wǎng)絡(luò)銀行的業(yè)務(wù)特點和競爭優(yōu)勢,為網(wǎng)絡(luò)銀行的發(fā)展及創(chuàng)新提供了有益的借鑒,但對網(wǎng)絡(luò)銀行的風(fēng)險防范及控制問題的研究不夠深入。謝平、部傳偉(2012)認為互聯(lián)網(wǎng)金融以先進的信息科技為依托,對傳統(tǒng)的金融模式產(chǎn)生了根本性的影響。他運用案例研究,歸納出互聯(lián)網(wǎng)金融存在的三種模式:移動支付、網(wǎng)絡(luò)信貸和眾籌融資。曾剛(2012)運用不同視角,對互聯(lián)網(wǎng)金融和傳統(tǒng)金融進行比較,得出兩者之間不僅具有競爭關(guān)系,而且還可以互相合作、共同發(fā)展。王琴、王海權(quán)(2013)在對網(wǎng)絡(luò)金融的內(nèi)涵做簡單闡釋的基礎(chǔ)上,通過研究典型的國外網(wǎng)站的業(yè)務(wù)和發(fā)展,與國內(nèi)網(wǎng)絡(luò)金融發(fā)展做對比,提出國內(nèi)網(wǎng)絡(luò)金融企業(yè)要逐步改善金融服務(wù)理念,加快推進網(wǎng)絡(luò)營銷模式的多樣化和服務(wù)品牌化建設(shè)。左近業(yè)、賀根慶(2014)立足于中國網(wǎng)絡(luò)金融發(fā)展實踐,深入解析內(nèi)涵,把握發(fā)展趨勢,為網(wǎng)絡(luò)金融業(yè)務(wù)拓展和利潤增長提供新思路。顯然,學(xué)者們對互聯(lián)網(wǎng)金融的發(fā)展趨勢是高度認同的,對傳統(tǒng)金融機構(gòu)或管理部門而言,關(guān)鍵是如何適應(yīng)并充分利用好這種發(fā)展趨勢。3.針對互聯(lián)網(wǎng)金融高風(fēng)險的特點的研究學(xué)者提出應(yīng)該把互聯(lián)網(wǎng)金融納入監(jiān)管體系,并提出多種監(jiān)管方案。尹龍對互聯(lián)網(wǎng)金融監(jiān)管的探索較早,他在《網(wǎng)絡(luò)金融理論初論:網(wǎng)絡(luò)銀行與電子貨幣的發(fā)展及其影響》、《對中國網(wǎng)絡(luò)銀行發(fā)展與監(jiān)督問題的研究》等文章中,詳細分析了網(wǎng)絡(luò)銀行發(fā)展的現(xiàn)狀及風(fēng)險特點,結(jié)合目前監(jiān)管實踐,提出了有益的監(jiān)管策略。徐靜(2006)指出近年來網(wǎng)絡(luò)銀行在中國發(fā)展迅猛,但是監(jiān)管部門必須對網(wǎng)絡(luò)銀行的風(fēng)險引起重視,及早建立健全監(jiān)管制度,借鑒國外先進監(jiān)管經(jīng)驗,并應(yīng)積極采取措施加以防范和化解。巴曙松、楊彪(2013)認為中國第三方支付與美歐等發(fā)達國家相比,在立法層次、分類監(jiān)管、消費者權(quán)益保護及監(jiān)管等問題上存在提高和完善的空間。鑒于目前中國的互聯(lián)網(wǎng)金融監(jiān)管體系薄弱的現(xiàn)狀,提出了相關(guān)建議。陳林(2013)從六個方面分析了互聯(lián)網(wǎng)金融的形式及特點,指出互聯(lián)網(wǎng)金融對于傳統(tǒng)金融機構(gòu)和金融監(jiān)管具有重要的影響,并在深入比較歐美等主要國家互聯(lián)網(wǎng)金融監(jiān)管實踐的基礎(chǔ)上,提出政策建議。王立國、徐愛萍(2014)分析了網(wǎng)絡(luò)金融風(fēng)險具有高度隱蔽性、瞬時爆發(fā)性、極度滲透性和交叉感染性,在此基礎(chǔ)上,從法律、經(jīng)濟、技術(shù)等角度創(chuàng)新了監(jiān)管模式,對及時分析和控制網(wǎng)絡(luò)金融風(fēng)險做了積極的探索。這類研究普遍認為,各種模式的互聯(lián)網(wǎng)金融公司蓬勃發(fā)展的背后,亟需有效監(jiān)管,以控制風(fēng)險,維護互聯(lián)網(wǎng)金融領(lǐng)域投資者和消費者利益。

二、互聯(lián)網(wǎng)金融存在的風(fēng)險分析

1.技術(shù)風(fēng)險從互聯(lián)網(wǎng)金融的運行模式來看,由于其業(yè)務(wù)依賴于電子信息技術(shù),因此首要風(fēng)險來源于技術(shù)層面。尤其是中國網(wǎng)絡(luò)技術(shù)發(fā)展與歐美等發(fā)達國家相比明顯滯后,硬件設(shè)施及軟件系統(tǒng)大部分由國外引進,中國互聯(lián)網(wǎng)金融企業(yè)不能完全掌握它們的性能,或是系統(tǒng)設(shè)計存在缺陷,如開放式的網(wǎng)絡(luò)通訊系統(tǒng),不完善的密鑰管理技術(shù)等都容易引起潛在風(fēng)險的發(fā)生。而互聯(lián)網(wǎng)的快速傳播功能,也使得這些技術(shù)漏洞和病毒等快速地感染,從而形成系統(tǒng)性風(fēng)險。這樣的例子近年來不斷出現(xiàn):如2014年2月,美國著名的眾籌網(wǎng)站KICKSTRAER被黑客攻擊,部分客戶數(shù)據(jù)泄露;2014年3月22日,系統(tǒng)漏洞導(dǎo)致攜程客戶資料泄露。2.信用風(fēng)險互聯(lián)網(wǎng)金融的資金使用者通常以小微企業(yè)為主,這類企業(yè)的共同特征是財務(wù)報表不能反映企業(yè)的真實狀況,因而其不確定性要遠遠大于一般的銀行客戶。而中國征信系統(tǒng)數(shù)據(jù)的不完善,又增加了對這類客戶信用狀況的辨別難度。央行的征信信息是最完整的,但數(shù)據(jù)主要來源于商業(yè)銀行和農(nóng)村信用社等金融機構(gòu),在數(shù)據(jù)時效性、全面性和層次性上仍存在短板,其中小微企業(yè)和個人的數(shù)據(jù)的完整性和準確性更差一些。一些利用大數(shù)據(jù)開展個人征信業(yè)務(wù)的平臺雖然能收集到及時的數(shù)據(jù),但能用于信用評估的數(shù)據(jù)并不多,而且分析方法和手段也還在探索階段。二者此消彼長,互聯(lián)網(wǎng)金融的不確定性要遠遠大于一般的銀行信用。3.法律風(fēng)險互聯(lián)網(wǎng)金融呈現(xiàn)出混業(yè)經(jīng)營的態(tài)勢,對商業(yè)銀行法、證券法、票據(jù)法、擔(dān)保法等法律都提出了新問題,急需法律規(guī)制,但制定法律必須全國統(tǒng)籌、深入研究、綜合考量,這就出現(xiàn)了監(jiān)管立法相對滯后的局面。2014年1月6日,國務(wù)院辦公廳印發(fā)《關(guān)于加強影子銀行監(jiān)管有關(guān)問題的通知》,雖然把新型網(wǎng)絡(luò)金融公司作為影子銀行的第一類,明確由央行牽頭,統(tǒng)一各部門協(xié)調(diào)監(jiān)管,但目前還只是一個宏觀框架,沒有出臺具體細則,在事實上出現(xiàn)了無法可依的局面。具體而言,涉及到以下三方面。(1)商業(yè)信息、隱私泄漏的法律風(fēng)險。互聯(lián)網(wǎng)金融時代離不開大數(shù)據(jù),在海量數(shù)據(jù)中加工、挖掘有價值的信息為金融服務(wù)?;ヂ?lián)網(wǎng)金融機構(gòu)擁有這些信息的所有權(quán),為獲得投資人信任,一些P2P網(wǎng)貸平臺會把優(yōu)質(zhì)借款人的詳細信息到網(wǎng)站上,這樣不僅會造成網(wǎng)貸平臺的商業(yè)信息泄露,也會使金融消費者和投資者的隱私存在被泄露的隱患。依據(jù)《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《消費者權(quán)益保護法》等的規(guī)定,如果互聯(lián)網(wǎng)金融機構(gòu)泄漏消費者或投資者個人信息,可能會受到法律的懲治。(2)虛假宣傳、夸大宣傳的法律風(fēng)險。2015年9月1日,新修訂的《廣告法》正式實施,強化了對大眾傳播媒介廣告行為的監(jiān)管力度。為提高知名度,目前很多互聯(lián)網(wǎng)金融平臺的廣告宣傳中涉及虛假和夸大的成分,如“國家級”、“最高級”等極限詞的使用;“保本”、“無風(fēng)險”、“保收益”等承諾都屬違反《廣告法》的行為。(3)金融犯罪風(fēng)險。部分互聯(lián)網(wǎng)金融機構(gòu)缺乏客戶身份識別、交易記錄保存和可疑交易分析報告等相關(guān)制度,在業(yè)務(wù)發(fā)展和盈利壓力的主導(dǎo)下,容易采取一些高風(fēng)險交易模式,觸及了非法集資、非法經(jīng)營等“底線”:利用第三方支付平臺轉(zhuǎn)移、清算網(wǎng)絡(luò)賭博或非法集資等犯罪資金,利用網(wǎng)上銀行實施地下錢莊違法犯罪活動,網(wǎng)絡(luò)炒匯、炒金,網(wǎng)絡(luò)傳銷,證券期貨違法犯罪活動,網(wǎng)上制假售假、洗錢犯罪等。

三、國外互聯(lián)網(wǎng)金融監(jiān)管經(jīng)驗

一方面,互聯(lián)網(wǎng)金融擁有巨大的成本優(yōu)勢、服務(wù)優(yōu)勢和競爭優(yōu)勢,從而成為金融發(fā)展的巨大支撐;另一方面,較之傳統(tǒng)金融,互聯(lián)網(wǎng)金融又面臨更為巨大的技術(shù)風(fēng)險、信用風(fēng)險及法律風(fēng)險,這促使各國的宏觀調(diào)控者重新審視自己的監(jiān)管政策,不斷對互聯(lián)網(wǎng)金融機構(gòu)出現(xiàn)的新情況和新變化作出適應(yīng)性調(diào)整,以使其成為各國促進經(jīng)濟發(fā)展的不竭動力。1.完善的法律法規(guī)機制明確互聯(lián)網(wǎng)金融各主體權(quán)利與義務(wù),劃分利益邊界,保護交易雙方權(quán)益,維護規(guī)范、有序的發(fā)展環(huán)境。美國法律制度比較健全,業(yè)務(wù)開展方面有《全球及全美商務(wù)電子簽名法》、《全球電子商務(wù)框架》、《統(tǒng)一電子交易法》、《創(chuàng)業(yè)企業(yè)融資法案》;市場準入方面有《國民銀行網(wǎng)上銀行注冊審批手續(xù)》;風(fēng)險管理方面有《網(wǎng)絡(luò)信息安全穩(wěn)健做法指引》、《技術(shù)風(fēng)險管理》、《技術(shù)風(fēng)險管理-PC銀行》;現(xiàn)場檢查方面有《OTS對零售在線PC銀行的聲明》、《FDIC電子銀行系統(tǒng)安全性與可靠性檢查程序》等。英國對網(wǎng)絡(luò)信貸的監(jiān)管較早,《消費者信貸法》是規(guī)范網(wǎng)絡(luò)信貸的法律;《P2P融資信貸操作指引》用來規(guī)范P2P機構(gòu);市場準入方面,無最低資本金的門檻限制,但網(wǎng)貸機構(gòu)要獲得信貸機構(gòu)牌照才可運營。歐盟規(guī)范互聯(lián)網(wǎng)金融的相關(guān)法規(guī)有《電子貨幣指引》、《境內(nèi)市場支付服務(wù)指令》、《反對非現(xiàn)金支付》、《電子簽名共同框架指引》等。日本對非銀行民間金融公司資金進行管理的法律有《貸金業(yè)法》、《出資法》、《利息限制法》等。2.嚴格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)金融的運行基礎(chǔ)是互聯(lián)網(wǎng),因此,互聯(lián)網(wǎng)技術(shù)安全和管理安全就成為互聯(lián)網(wǎng)金融監(jiān)管的首要任務(wù)?;ヂ?lián)網(wǎng)金融機構(gòu)的安全包括電子技術(shù)、內(nèi)部管理、自有資本和客戶資金管理等。具體要求有:(1)確保任何情況下的網(wǎng)絡(luò)主機系統(tǒng)和數(shù)據(jù)庫的安全,嚴格排除各種人為或非人為因素的影響;(2)確?;ヂ?lián)網(wǎng)金融交易雙方身份、數(shù)據(jù)、資料的真實合法,交易過程不存在任何安全隱患;(3)嚴格保密制度,確保研發(fā)新技術(shù)、新成果不被竊取,保證客戶資料不被非法盜取或者修改。美國《銀行機密法》規(guī)定,所有網(wǎng)絡(luò)銀行應(yīng)當建立嚴格的新開戶標準,還要建立網(wǎng)絡(luò)監(jiān)控系統(tǒng)。3.高效的行業(yè)自律組織很多國家都重視互聯(lián)網(wǎng)金融行業(yè)協(xié)會對互聯(lián)網(wǎng)機構(gòu)的監(jiān)管,運用行業(yè)標準來約束機構(gòu)行為,可以彌補政府機關(guān)監(jiān)管職能的缺陷,也可以補充法律法規(guī)的漏洞,及時對新情況作出反映。美國構(gòu)建了完善的網(wǎng)絡(luò)銀行業(yè)務(wù)風(fēng)險管理制度框架:(1)決策管理層在業(yè)務(wù)風(fēng)險中的職責(zé);(2)網(wǎng)絡(luò)銀行業(yè)務(wù)的技術(shù)風(fēng)險管理;(3)網(wǎng)絡(luò)銀行業(yè)務(wù)風(fēng)險的內(nèi)部控制機制;(4)網(wǎng)絡(luò)銀行業(yè)務(wù)外包情況下相關(guān)風(fēng)險的控制。另外,英國和日本都是組織自律組織充當“準政府機構(gòu)”,承擔(dān)部分政府的監(jiān)管職能,營造互聯(lián)網(wǎng)金融良好的市場環(huán)境。4.務(wù)實的功能性監(jiān)管體制互聯(lián)網(wǎng)金融從單一的業(yè)務(wù)模式開啟,隨著通訊技術(shù)的不斷發(fā)展和互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用,業(yè)務(wù)模式也隨之不斷創(chuàng)新?;ヂ?lián)網(wǎng)金融平臺囿于利潤及企業(yè)競爭力的考量,紛紛向混業(yè)經(jīng)營轉(zhuǎn)變,金融服務(wù)逐漸趨向綜合性,逐漸發(fā)展為向消費者提供全面服務(wù),金融超市的出現(xiàn)給分業(yè)監(jiān)管也帶來了新的難題。為了適應(yīng)互聯(lián)網(wǎng)金融發(fā)展趨勢,美英等國開始對監(jiān)管政策進行調(diào)整。1999年,美國修改金融監(jiān)管框架,通過《金融服務(wù)現(xiàn)代化法案》,采取了綜合監(jiān)管與分業(yè)監(jiān)管相結(jié)合的模式。2000年,英國議會通過了《金融服務(wù)與市場法》法案,由金融服務(wù)局將取代原來的證券與投資委員會,統(tǒng)一行使監(jiān)管職能,實現(xiàn)了跨行業(yè)監(jiān)管。5.協(xié)調(diào)的國際合作機制隨著互聯(lián)網(wǎng)金融的發(fā)展對金融監(jiān)管國際合作的要求日益迫切,國際社會開始構(gòu)筑一個新的、穩(wěn)健的國際金融架構(gòu)。1999年,由美國、日本、德國、英國、法國、加拿大及意大利七大西方工業(yè)國成立了“金融穩(wěn)定論壇”,旨在從全球范圍監(jiān)督各國及全球金融體系的穩(wěn)定性。后邀請澳大利亞、新加坡、荷蘭、瑞士和歐洲央行等國家和國際組織加入,覆蓋范圍進一步擴大。2001年,巴塞爾委員會發(fā)表《電子銀行風(fēng)險管理原則》,2003年,巴塞爾委員會《跨境電子銀行業(yè)務(wù)的管理和監(jiān)管》,2007年,《跨境電子銀行業(yè)務(wù)活動的管理和監(jiān)督》。

四、完善互聯(lián)網(wǎng)金融監(jiān)管的建議

篇10

關(guān)鍵詞:網(wǎng)絡(luò)新聞傳播;問題;對策

目前,互聯(lián)網(wǎng)已成為公眾獲取信息的重要渠道和途徑。新聞媒體,尤其是以社交類媒體為代表的社交新聞媒體,已成為人們認知世界、獲悉萬事萬物的窗口。據(jù)CNNIC《2016年中國互聯(lián)網(wǎng)新聞市場研究報告》顯示,截至2016年6月,互聯(lián)網(wǎng)新聞市場用戶規(guī)模達到5.79億,其中手機端網(wǎng)絡(luò)新聞用戶規(guī)模為5.18億,占移動網(wǎng)民的78.9%,互聯(lián)網(wǎng)新聞已成為網(wǎng)民高頻使用的基礎(chǔ)類網(wǎng)絡(luò)應(yīng)用,對人們的思維方式和價值理念產(chǎn)生了重要的影響。同時,隨著網(wǎng)絡(luò)信息的多元豐富,也為網(wǎng)絡(luò)新聞傳播帶來了諸多問題和弊端。本文試圖分析網(wǎng)絡(luò)新聞傳播存在的五類問題,淺析其形成的三種原因,并針對性地提出四點對策建議。

一、網(wǎng)絡(luò)新聞傳播存在的五類問題與現(xiàn)象

第一,轉(zhuǎn)載信息隨意性強。有的媒體在未核實新聞事件真?zhèn)蔚那闆r下,一味追求時效性,第一時間公之于眾,存在審核把關(guān)不嚴的現(xiàn)象;有的媒體未取得互聯(lián)網(wǎng)新聞信息服務(wù)資質(zhì),但會定期推送、新聞信息,造成大范圍轉(zhuǎn)載。CNNIC數(shù)據(jù)顯示,只有25.7%的用戶轉(zhuǎn)發(fā)新聞前會有意識核實信息的真實準確性,轉(zhuǎn)發(fā)信息近乎零成本,且缺乏甄別真?zhèn)蔚氖侄魏头椒?,一定程度上助推了虛假新聞的進一步傳播。第二,新聞質(zhì)量參差不齊。新聞采發(fā)過程包括信息收集、整理、編輯、加工、、傳播等環(huán)節(jié),而由于一些媒體從業(yè)人員未經(jīng)過采編方面的系統(tǒng)訓(xùn)練,有的人員每天要負責(zé)處理很多版面稿件,短時間內(nèi)無法對每條新聞都做到認真編排,有的只能按時間先后順序簡單羅列,影響了受眾的閱讀體驗和傳播效果。有的信息側(cè)重于玩噱頭,刺激網(wǎng)民情緒,混淆視聽。第三,新聞信息重復(fù)率高?!皟晌⒁欢恕眰鞑ゾ仃嚦蔀楦骷倚侣劸W(wǎng)站和媒體的標配,往往同一條信息會被重復(fù)大量轉(zhuǎn)發(fā),有些新聞網(wǎng)站風(fēng)格樣式及報道內(nèi)容大體相似,造成重復(fù)冗雜、網(wǎng)絡(luò)資源浪費。第四,新聞媒體真假難辨。有的網(wǎng)站假冒境內(nèi)正規(guī)新聞網(wǎng)站,未辦理備案手續(xù),服務(wù)器設(shè)立在境外,大量刊載境內(nèi)社會新聞,集納負面信息,規(guī)避國內(nèi)監(jiān)管部門管理。比如假冒“中國新聞網(wǎng)”“河北新聞網(wǎng)”“日照新聞網(wǎng)”等;有的境內(nèi)不具備新聞資質(zhì)的網(wǎng)站違法從事新聞采編活動,沖擊中國新聞監(jiān)管體系;少數(shù)新聞網(wǎng)站為吸引眼球編寫、炮制虛假新聞,出現(xiàn)法律、法規(guī)明令禁止的內(nèi)容,擾亂社會秩序。[1]第五,欺詐侵權(quán)問題嚴重。有的新聞網(wǎng)站成為犯罪分子實施犯罪活動的溫床,有的網(wǎng)站開設(shè)后,為吸引公眾、賺取點擊量,甚至從事敲詐刪帖違法活動,從多方面查找報道黨政官員、企業(yè)高管、社會名人、法人組織等負面信息,通過多家網(wǎng)絡(luò)媒體大肆傳播,達到敲詐勒索的目的。

二、原因分析

第一,作為傳播過程主體的網(wǎng)絡(luò)新聞媒體,沒有切實把好新聞質(zhì)量關(guān)。特別是一些社會商業(yè)媒體,為實現(xiàn)利益最大化,博取點擊率及排名榜位次,忽視社會責(zé)任,不顧采集或轉(zhuǎn)載的新聞信息的真?zhèn)?,不加辨別和篩選就直接或轉(zhuǎn)載新聞信息,蓄意制造“標題黨”,降低了新聞水準和內(nèi)容質(zhì)量。第二,作為傳播客體的廣大網(wǎng)民,法律意識淡薄,文化品位和思想文化素質(zhì)參差不齊,極易被虛假低俗的內(nèi)容吸引。一些網(wǎng)民熱衷于觀看甚至定制娛樂八卦、奇聞趣事信息,為違法違規(guī)信息的傳播提供了空間。第三,作為新聞傳播監(jiān)管方的各級互聯(lián)網(wǎng)管理部門,正在逐步健全相關(guān)制度和管理辦法,但目前法律效應(yīng)仍然較小,對于違法和不良信息的管理,主要在于政策法制、思想政治教育層面,對于隱秘性強、覆蓋面廣的信息,缺乏有效的監(jiān)控手段,處罰措施和責(zé)任追究制度沒有落到實處,給一些媒體及網(wǎng)民提供了可乘之機。[2]

三、應(yīng)對策略

解決以上問題與現(xiàn)象,需要監(jiān)管部門、互聯(lián)網(wǎng)服務(wù)提供者、網(wǎng)絡(luò)用戶等多方發(fā)力、多措并舉,共同打造清朗健康的網(wǎng)絡(luò)空間。需要做到以下四個強化:第一,強化網(wǎng)絡(luò)新聞規(guī)范管理。近幾年來,國家互聯(lián)網(wǎng)信息辦公室在規(guī)范網(wǎng)絡(luò)內(nèi)容管理方面,牽頭制定出臺了多項法律法規(guī)。今年6月,我國網(wǎng)絡(luò)基本法《中華人民共和國網(wǎng)絡(luò)安全法》以及新修訂的《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》正式實施,《規(guī)定》加強新聞信息采編流程管理、細化平臺管理、落實處罰責(zé)任,使互聯(lián)網(wǎng)新聞信息更加法制化、規(guī)范化。要進一步細化落實,制定互聯(lián)網(wǎng)新聞信息服務(wù)許可、運行、監(jiān)督檢查等方面的實施細則,便于操作和管理。同時,要會同國務(wù)院電信、公安、新聞出版廣電等部門建立信息共享機制,發(fā)揮各部門的執(zhí)法合力,在各領(lǐng)域各負其責(zé),促進互聯(lián)網(wǎng)新聞信息管理取得更好的成效。第二,強化網(wǎng)絡(luò)新聞媒體集中整治及日常監(jiān)管?;ヂ?lián)網(wǎng)監(jiān)管部門要統(tǒng)籌協(xié)調(diào)各相關(guān)部門開展互聯(lián)網(wǎng)新聞信息服務(wù)專項行動,集中對從事互聯(lián)網(wǎng)新聞信息服務(wù)主體的互聯(lián)網(wǎng)站、應(yīng)用程序、論壇、博客、微博客、公眾賬號、即時通信工具、網(wǎng)絡(luò)直播等媒體的采編服務(wù)、轉(zhuǎn)載服務(wù)、傳播平臺服務(wù)等進行全方位審查,對未依法取得互聯(lián)網(wǎng)新聞信息服務(wù)資質(zhì)或超越許可范圍開展互聯(lián)網(wǎng)新聞信息服務(wù)活動的媒體予以嚴厲查處。同時,對于服務(wù)器位于境外,冒用國內(nèi)新聞媒體刊載新聞信息的網(wǎng)站依法予以處理。集中整治后,各級互聯(lián)網(wǎng)信息管理部門要進一步加強常態(tài)化管控,定期通報。第三,強化互聯(lián)網(wǎng)新聞信息服務(wù)提供者的主體責(zé)任?;ヂ?lián)網(wǎng)新聞信息服務(wù)提供者應(yīng)主要從五個方面切實履行主體責(zé)任:一是建立總編輯及核心內(nèi)容管理人員管理制度??偩庉媽λ行畔?nèi)容負總責(zé)。二是健全內(nèi)容管理審核制度。要明確所信息事實明確、導(dǎo)向正確、來源規(guī)范、合法合規(guī);嚴格落實“三級審核”“先審后發(fā)”等要求;制定新聞來源白、黑名單機制,嚴格按照國家網(wǎng)信辦公布的互聯(lián)網(wǎng)新聞信息稿源單位名單開展工作,轉(zhuǎn)載應(yīng)注明新聞信息來源;加強頁面生態(tài)管控,不得登載危害國家安全和社會穩(wěn)定的謠言、低俗負面等違規(guī)信息。三是制定信息安全管理制度、實名登記、平臺用戶管理等日常運營制度。加強圖片、音視頻等內(nèi)容技術(shù)手段建設(shè),加強對網(wǎng)絡(luò)直播、彈幕等新產(chǎn)品、新應(yīng)用、新功能上線的安全評估。建立健全用戶賬號人工和技術(shù)審核機制,加強用戶身份及個人隱私信息管理。禁止不具備新聞資質(zhì)的自媒體賬號新聞信息。四是強化內(nèi)容管理隊伍建設(shè)。建立健全內(nèi)容管理人員準入、考評、獎懲、退出等機制,完善內(nèi)容管理人員初任培訓(xùn)、經(jīng)常性培訓(xùn)等制度,促進整體素質(zhì)提升。五是切實做好違法信息受理處置工作。暢通舉報渠道,完善舉報受理機制,及時處置網(wǎng)民投訴舉報,對違法信息采取立即停止傳輸、消除等處置措施,保存有關(guān)記錄,并向有關(guān)部門報告。第四,強化責(zé)任追究制度,形成震懾力量。作為新時代的網(wǎng)民,既是信息的接受者,同時也是信息的發(fā)送者、傳播者,要從采編、制作、審核、等關(guān)鍵環(huán)節(jié)嚴格遵守國家相關(guān)法律法規(guī),提倡文明辦網(wǎng)、文明上網(wǎng),決不允許為片面追求經(jīng)濟利益和謀取私人利益,一味抓眼球、搏出位,導(dǎo)致網(wǎng)絡(luò)傳播失序、生態(tài)惡化、亂象叢生,甚至危及國家安全、社會穩(wěn)定和人民的根本利益。要加大執(zhí)法力度,對于違反國家法律法規(guī)的行為嚴格按照相關(guān)規(guī)定予以處罰,嚴厲打擊網(wǎng)絡(luò)亂象,視情節(jié)嚴重程度給予約談、通報批評、罰款、關(guān)停網(wǎng)站等懲罰,形成網(wǎng)站不敢違規(guī)、違規(guī)嚴懲的社會監(jiān)管大環(huán)境。督促屬地互聯(lián)網(wǎng)企業(yè)落實好主體責(zé)任和社會責(zé)任,讓每一個網(wǎng)民在充分享受權(quán)利的同時,不斷強化自身的公民義務(wù)感,在執(zhí)法的牽引下將網(wǎng)絡(luò)言行納入理性而富有建設(shè)性的良性軌道,共同營造清朗的網(wǎng)絡(luò)空間。總之,網(wǎng)絡(luò)新聞傳播需要以“重基本規(guī)范、重基礎(chǔ)管理,強化屬地管理責(zé)任、強化網(wǎng)站主體責(zé)任”為遵循,切實規(guī)范傳播秩序,弘揚主旋律,激發(fā)正能量,推動互聯(lián)網(wǎng)健康有序的發(fā)展。

參考文獻:

[1]王四新.強化網(wǎng)站主體責(zé)任正當其時[DB/OL].光明網(wǎng)-理論頻道,2016-09-23.