互联网技术在我国日益普及,促进了我国互联网产业和网络信息消费市场的繁荣和发展,同时互联网有害信息也随之蔓延并带来了诸多危害。伴随着相关产业和市场管理的逐步推进,我国对有害信息的治理也初见成效,立法逐步完善,管理体制日益健全,执法效果也初步显现。但总体而言,在有害信息的治理过程中,还存在着治理法律依据供给不足、治理体制碎片化、治理手段尚未形成合力等一系列问题。
(一)治理法律依据供给不足
20多年来,从立法机关到国务院及有关部委、最高人民法院和最高人民检察院,一直都十分重视利用法律法规治理有害信息,也制定了一些相关的法律法规,包括:全国人大常委会的决定,即《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》;数项国务院的行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《信息网络传播权保护条例》等;多项部门的规章,如《计算机信息网络国际联网安全保护管理办法》等;多项最高人民法院和最高人民检察院的司法解释,如《关于依法严厉打击编造、故意传播虚假恐怖信息威胁民航飞行安全犯罪活动的通知》、《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》、《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等;其他法律中直接或者间接涉及网络信息安全的规定,如《中华人民共和国刑法修正案(七)》第9项规定、《中华人民共和国侵权责任法》第36条及第22条的规定等。从形式看,我国关于网络安全、网络有害信息治理的立法已经具有一定的数量和规模,并构成了较为系统的层级和体系。但实际上,我国关于有害信息治理的法律依据仍然呈现出供给不足的状态。这种供给不足体现为治理法律依据仍然不完善,缺乏专门性、权威性、系统性的法律体系。其中最突出的问题是在法律层面仅有宣示意义的“决定”,缺乏操作性强、结构合理、内容完善的相关部门法律或基本法律;在相关的法律、法规、司法解释中,并没有专门明确针对有害信息的立法,有害信息的治理被混同在网络安全维护以及网络知识产权、名誉权保护等相关立法中,还未形成一个有效的法律体系,未能为有害信息的治理提供充分的法律依据。如近期公安部门针对网络谣言进行了专项治理,多名“网络大V”被司法机关以“寻衅滋事”等罪名追究刑事责任,这一方面对有害信息的传播和蔓延起到了积极的遏制作用,同时也引发了关于寻衅滋事罪是否被扩大使用,是否违背罪刑法定原则的争论。尽管最高人民法院、最高人民检察院联合了《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,但相关的法律争议仍然没有得到完全的解决。从此实例我们可以看到,我国目前对于有害信息治理的法律依据还是显得捉肘见襟,更多的时候是临时的应对,缺乏以一部高层级的、专门性的法律为统摄的完善的有害信息治理法律体系。
(二)治理体制碎片化
在法律法规资源得到保障后,应着力建立健全相关的执法机制。但长期以来,条块分割的行政运作方式,严重地制约着我国政府在有害信息管理权限和职能方面作用的发挥,特别是互联网治理中的“九龙治网”已成为低效管理的一个缩影。我国涉及网络信息管理的部门及分工情况主要为:对互联网意识形态工作进行宏观协调和指导;国家互联网站管理工作协调小组(挂靠在工信部)和国家互联网信息办公室(与国家新闻办公室为“两块牌子一套班子”的关系)先后成立,其中国家互联网站管理工作协调小组负责协调各成员单位对网络文化实施齐抓共管,国家互联网信息办公室负责落实互联网信息传播方针政策和推动互联网信息传播法制建设,指导、协调、督促有关部门加强互联网信息内容管理,并负责网络新闻业务及其他相关业务的审批和日常监管;工信部负责互联网行业管理工作;文化部负责部分互联网文艺类产品的前置审批工作以及其进口内容的审查,负责对网吧等上网服务营业场所实行经营许可证管理,并开展“网络文化”专项活动等工作;公安部负责落实防范木马、病毒,网络攻击破坏等的技术安全措施,打击网络犯罪活动;广电新闻出版总局负责信息网络视听节目服务的审批和内容监管、数字出版与网络出版监管;国务院新闻办公室承担网络文化建设和管理的有关指导、协调和督促等工作;教育部负责高等学校网络文化建设与管理工作;工商总局负责网络文化产业的工商登记、网络广告审查登记;等等。上述多部门齐抓共管的网络有害信息管理体制一方面促进了网络管理体制的完善,另一方面也暴露了网络管理体制碎片化的弊端。网络管理体制的碎片化,容易导致在有害信息的治理过程中遇到利益各个部门相互争利,遇到问题相互扯皮、推诿塞责的情况,同时带来的一个更重要的问题是导致针对网络文化管理执法的分散性大,执法力度降低,难以有效控制整个网络文化环境,也难以应对网络文化迅速发展中可能出现的各种违法违规、危害社会和国家安全的行为。此外,管理体制条块化还突出表现在国家层面缺乏具有权威性、强有力的管理机构,这也是当前信息化管理体制存在的根本问题。2014年2月27日,中央网络安全和信息化领导小组成立,其办公室的设立则有望从体制和机制上解决多头管网、分散管网和网络治理软弱的局面。
(三)治理手段尚未形成合力
从我国目前网络有害信息的治理实践来看,治理手段偏向单一,各种治理手段无法形成合力:在国家管制、市场主体自律、社会监督、国际合作等各种手段中,通常过于偏重国家管制;而在国家管制的过程中,各种法律手段的综合适用明显不足。例如,在法律手段的使用方面,应当是民事、行政、刑事并重,但实际上对一些传播网络有害信息的违法行为从重追究行政责任、刑事责任已成为近年来有害信息执法的一个突出趋向。例如,近期处理的“快播公司涉嫌传播物品牟利案”,监管部门对快播公司处以了2.6亿元的巨额罚款。行政责任、刑事责任的任意使用,在合法性、透明性方面引发了不小的社会争议,甚至被指责为“选择性执法”[11]。此外,从其他手段的综合适用方面看,存在过于偏重国家行政管制的倾向,在治理实践中过多采取“突击式”、“运动式”的方式。由于网上舆情事件多发,各级政府部门出于维稳的压力,首先考虑和选用的是高效的行政手段,尤其在我国,行政管理力量对社会各个层面的控制力较为强大,容易在短时间内集中力量对专项问题进行治理。政府管制的手段形式可以短期内迅速处理一些突发事件和典型案例,达到应急的效果,但网络社会具有高度开放性、交互性和流动性特征,会使新情况、新问题层出不穷,单一的政府管制手段也会顾此失彼。而且由于行政手段自身具有的主动性、强制性等特点,在当前我国对于行政权的使用还缺乏全面规范的情况下,容易导致其自身被过度使用。例如,前几年,相关部门对于容易滋生网络有害信息的网吧采取了铁腕管制的手段,对网络公共信息服务场所进行清查,部分地方甚至一夜之间关闭所有网吧。类似做法反映出我国在有害信息治理过程中仍过多倚重单一的政府管制,各种治理手段之间并未形成合力。
二、互联网有害信息依法综合治理的实现
对目前治理网络有害信息过程中存在的治理法律依据不足、治理体制碎片化、治理手段尚未形成合力等问题,我们应当在治理过程中有针对性地坚持依法综合治理的基本原则。这一原则的实现需要法律、技术、体制方面的基础保障,也需要在法治框架内,综合适用多种法律手段,发挥国家管制、市场自律、社会监督、国际合作多种途径的协同作用。上述依法综合治理的具体措施,正是对当前有害信息治理过程中存在的问题的有力回应。
(一)加强基础保障
在网络有害信息的治理过程中,有一些基础保障是无论我们依循何种途径、采取何种手段都是不可或缺的,这些保障主要包括法律、技术和体制保障。1.法律保障法律保障是实施网络有害信息治理的前提条件,也是依法综合治理的题中之义。目前,我国网络有害信息治理的法律保障已形成了一定的体系。今后需要进一步加强的方面主要是:第一,加强专门性法律的制定。原有相关立法在治理有害信息方面虽然起到了积极作用,但对有害信息的治理更多地带有附带性、应急性的特点,为了更有针对性、更有效地实现网络信息的依法综合治理,应当制定《网络安全法》、《个人信息保护法》等专门性法律,并在这两部法律的基础上,修订整合已有的法律、法规、规章以及司法解释,建立起指导思想先进、法律原则明确、制度设计合理、执法机构健全、行政执法有力、司法审判公正的网络安全法治体系,从根本上改善目前较为被动和分散的有害信息治理立法状况,使得“依法治国”的理念在互联网领域、在人们的“虚拟空间”得以落实和体现;第二,在专门性法律中明确网络有害信息的治理问题。在已有的专门性立法中,只有少数条文通过列举式规定明确提及“有害信息”。①但是,类似对网络有害信息进行明确列举或概括的法律规定仍较少,操作性不强,从而导致网络有害信息的治理并未形成系统的法律依据。因此,在今后的专门性立法中,应当明确界定网络有害信息,并通过专门条款以及援引性条款建立治理网络有害信息的法律规范体系;第三,建立网络实名制、内容分级制、内容审查制、网站注册制、绿色网站税收优惠制等有利于促进网络有害信息治理的基础法律制度[12]。2.技术保障当前网络治理方面的技术性立法是以计算机病毒防治为中心,相关立法则以《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》(公安部令[第51号])为代表。但有害信息的传播也同样具有很强的技术性,而且无论通过管制、市场自律还是社会监督等手段进行有害信息治理,技术保障都是重要的基础条件。因此治理有害信息必须从立法方面对相应的技术支持做出规定,促进“以技术对技术”的有害信息治理的实现。有害信息治理技术的核心是有害信息的发现技术。发现技术包括主动发现和被动防御两种方式,主动发现的方式主要指基于搜索引擎的有害信息主动监测,被动防御的方式则以网络内容过滤和封堵为主。借助网络有害信息的发现机制,可以通过有效的技术手段对网络有害信息进行监测、过滤、屏蔽,以使其难以在网络上传播,从而达到净化网络的目的[13]。目前,许多国家均实施了内容过滤政策:例如,欧盟采取技术措施处理有害内容,增强过滤软件和服务的实际效果,确保用户对信息的选择接受权利;日本总务省与NEC共同开发过滤系统,防堵有关犯罪、色情与暴力的网站;美国的中小学如今都对学校的电脑实行联网管理,集中对那些影响儿童身心发育的网站进行屏蔽;新加坡等“严格限制媒体”的国家公开列出一些网站和需要过滤的关键词,强行要求网络服务提供商(ISP)进行封堵[12]。由此可见,用技术手段为治理网络有害信息提供技术支持,是实现有害信息有效治理的基础保障之一,也是很多国家在治理网络有害信息过程中的普遍经验。技术保障应当通过法律保障得到具体体现。3.体制保障法律保障、技术保障作用的发挥还必须建立在有效运转的体制保障之上。有害信息综合治理的保障体制应当是国家主体、行业主体、市场主体以及社会主体协同共治的综合机制,各个主体在依法治理的框架内独立行使自己的治理权限、平等互动、协同作用。虽然法律可能会赋予某个主体,通常是管制主体更多的职能,但这并非意味着管制主体就相较其他主体具有更高的法律地位。平等主体的参与及协同共治,是“治理”的核心要求。网络有害信息的体制保障的强化,既要从管制方面入手,也要从市场、行业、社会等方面入手。随着中央网络安全和信息化领导小组的成立,集中高效的管制机制得到加强,但市场、行业、社会参与的机制仍需加强。单一的管制即便暂时能带来有害信息治理的成效,但肯定无法长效,更不可能真正公正、规范,因为管制主体权力过于集中,缺乏监督,最终必然发生异化和寻租等现象。要改变这一情况,就必须通过立法确立和完善国家主体、行业主体、市场主体以及社会主体综合治理的体制,尤其是要减弱行业主体、市场主体以及社会主体对国家主体的依附,赋予这些主体更多的自治权和监督权。此外,就国家主体层面的管理体制而言,应当有常设的、具体的国家机关专司其职(作为行政管理和执法机构,而非单纯协调机构,享有部级权限),由其他机关依法予以协助,同时应避免机关之间权责不清的情况发生;网络的无国界性、跨地域性,决定了其依法管制应该由中央主导、地方配合、国际协作,而不是各地“分而治之”;在中央层面,要着重管法规和政策、管主要网站、管传播性广且煽动性强的有害信息、管执法效果和权力,促进各方利益平衡。
(二)综合适用多种法律手段
有害信息的依法综合治理,总体上包括国家管制、市场主体自律、社会监督和国际合作等多种途径的协调作用;而单就国家管制而言,也涉及依法综合适用各种法律手段的问题,即在对有害信息实施国家管制的过程中,应当综合适用民事、行政、刑事等多种法律手段,尤其是要强化民事赔偿、行政处罚、刑事打击的协同作用。《关于维护互联网安全的决定》第2至第5条分别列举了相关的有害信息违法行为,并同时规定,构成犯罪的,依照刑法有关规定追究刑事责任;第6条则规定了相应的行政手段和民事手段,即“利用互联网实施违法行为,违治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分;利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任”。由此可见,综合适用多种法律手段治理有害信息,是现有立法的基本精神,也是将来立法、执法、司法需要强化的重点。首先是刑事打击。刑事手段在网络有害信息的治理过程中应发挥积极作用。其法律依据主要是《关于维护互联网安全的决定》和《刑法》。其中《关于维护互联网安全的决定》对应当追究刑事责任的网络有害信息相关犯罪行为进行了一般性的列举,主要包括三大类型:第一,利用维护计算机信息网络危害国家安全和社会稳定类型的犯罪。具体包括利用互联网造谣、诽谤或者发表、传播其他有害信息,;煽动颠覆国家政权、社会主义制度,或者煽动分裂国家、破坏国家统一;利用互联网煽动民族仇恨、民族歧视,破坏民族团结;利用互联网组织组织、联络组织成员,破坏国家法律、行政法规实施。第二,利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序类型的犯罪。具体包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传;利用互联网损坏他人商业信誉和商品声誉;利用互联网侵犯他人知识产权;利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息,在互联网上建立网站、网页,提供站点链接服务,或者传播书刊、影片、音像、图片。第三,利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利类型的犯罪。具体包括利用互联网侮辱他人或者捏造事实诽谤他人,利用互联网进行盗窃、诈骗、敲诈勒索[14]。对上述行为应当结合《刑法》有关煽动颠覆国家政权罪、煽动分裂国家罪以及制作、复制、传播物品牟利罪、传播物品罪、赌博罪、诈骗罪、敲诈勒索罪等的规定追究刑事责任。《关于维护互联网安全的决定》中虽然还列举了另外一些与网络信息有关的犯罪行为类型,但却未必与有害信息有关,如通过互联网窃取、泄露国家秘密、情报或者军事秘密,非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密,以及危害计算机信息网络运行安全类型的犯罪(包括侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害,违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行);等等。这些犯罪行为并不是本文讨论的调整对象。此外,《刑法修正案(三)》则规定了编造、故意传播虚假恐怖信息罪;为了遏制在信息网络上捏造事实恶意损害他人名誉的网络诽谤行为,2013年9月9日,最高人民法院、最高人民检察院联合了《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(法释〔2013〕21号),针对备受关注的利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等刑事案件的法律适用问题进行规定[15]。全国人大常委会的决定,加上《刑法》及其修正案以及刑事司法解释,为有害信息的刑事打击构建了立体化的法律依据。但是,在刑事法律责任的追究过程中,也还存在应急性、政策化的立法倾向。今后,应转变当前有害信息治理中为追求示范效应而过度使用刑事手段的做法,能依据原有法律规定进行处理的则不必应急性“造法”,可以通过民事、行政手段达到遏制网络有害信息违法行为的,则不一定要扩大化地适用刑事手段;此外,也可以在对网络有害信息违法行为进行系统的类型化基础上,通过刑法修订增加新罪名。例如,我国现行刑法或司法解释有关虚假信息的罪名都是针对特定的对象(如编造、故意传播虚假恐怖信息罪),或将虚假信息相关行为作为实现其他目的的手段之一(如诈骗罪、寻衅滋事罪),而缺少一个专门的罪名规制一切具有严重社会危害性的编造、传播虚假信息的行为,当然也包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传,利用互联网损害他人商业信誉和商品声誉,利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息。①因此,可以增设专门的编造、传播虚假信息罪[16],从而在一定程度上提高有关有害信息刑法规定的科学性、易操作性,并保证刑事责任追究的谦抑性、严肃性。其次是行政处罚和其它行政执法手段的运用。《行政处罚法》、《行政强制法》以及《关于加强网络信息保护的决定》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规对涉及有害信息行政违法行为的行政处罚方式和其它行政执法的手段做出了规定,其中应用较多的主要是警告、罚款、查封场所、责令停业、吊销许可证等。应适用行政责任的有害信息相关行为类型主要包括:利用维护计算机信息网络危害国家安全和社会稳定类型的行政违法行为;利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序类型的行政违法行为;利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利类型的行政违法行为。其行为类型与前述的刑事违法行为基本一致②,只是在情节、行为后果的社会危害性、违法性质等方面存在差异。今后在《网络安全法》的制定或相关行政法律责任法律法规的完善中,可以仍通过援引性规定为网络有害信息的管制提供有力手段,但同时应当注意细化这些手段在有害信息管制过程中的具体标准和程序,遵循形式合法、措施必要、后果最少侵犯公民权利、程序正当等原则[17];在强化行政处罚的同时,也可以适当增加“约谈”、激励和引导性质的税收政策等更柔性和多样的执法手段,避免过度执法。例如,美国在1998年底通过《网络免税法》规定政府在两年内不对网络交易服务科征新税或歧视性捐税,但如果商业性提供17岁以下未成年人浏览、实际或虚拟的,缺乏严肃文学、艺术、政治、科学价值等成人导向的图像和文字,则不得享受网络免税的优惠[12]。类似的间接行政管制手段也应当在我国的立法中予以借鉴。此外,还应当注意的是,除了加大对网络服务提供商以及个人的行政处罚和其它行政责任外,对监管部门在网络有害信息治理过程中的违法失职行为,同样应当追究其行政责任。最后是民事赔偿。对有害信息侵权,应当积极依法追究加害人的民事责任,尤其是民事赔偿责任。适用民事赔偿责任的行为类型主要涉及利用计算机信息网络危害社会主义市场经济秩序和社会管理秩序,利用计算机信息网络危害个人、法人和其他组织的人身、财产等合法权利这两大类型的民事违法行为。具体包括利用互联网销售伪劣产品或者对商品、服务作虚假宣传;利用互联网损坏他人商业信誉和商品声誉;利用互联网侵犯他人知识产权;利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;利用互联网侮辱他人或者捏造事实诽谤他人等行为。除民事赔偿外,停止侵害、消除影响、恢复名誉、赔礼道歉等也是网络有害信息治理中经常适用的民事责任形式。民事赔偿和其它民事责任的运用,更能防微杜渐,预防有害信息违法行为的后果扩散,使得有害信息管制成本更低。例如,最近上海市宝山区人民法院审理了一起微博名誉侵权案,被告在微博上对他人进行侮辱、谩骂、嘲讽评论,并对微博相册中的照片随意丑化,被判侵犯原告名誉权,判决其停止侵害,删除侮辱、嘲讽、谩骂的文字和图片,并赔偿经济损失2250元和精神损失1000元。该类型的案件对于警示类似有害信息侵权行为将起到积极的效果。为了更好发挥民事责任手段在遏制信息网络侵权(包括利用有害信息侵权)中的作用,最高人民法院制定了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号),该规定划定了个人信息保护的范围,明确了利用自媒体等转载网络信息行为的过错认定及相关责任,对“网络三手”(网络打手、网络推手、网络黑手)的违法行为中涉及侵害他人人身权益者规定了侵权责任,同时对利用信息网络侵害人身权益的违法行为设定了50万元财产损失赔偿限额。法释〔2014〕11号的规定为对利用信息网络侵害人身权益的违法行为追究民事责任提供了具体依据,尤其是通过民事赔偿责任条款的细化提高了侵权行为的成本,在一定程度上可起到鼓励被侵权人依法维权,遏制侵权人利用网络侵害他人人身权益的积极作用。该司法解释与《侵权责任法》相关条款共同形成了有关利用信息网络侵权法律问题的裁判规则体系,将为维护网络人身权益、净化网络环境、促进网络信息健康有效传播和利用提供有力的法律依据。
(三)培育法律框架内的市场主体自律
依法综合治理就意味着不能单一依靠管制手段,同时也要依靠行业、企业、公民等市场主体的自律[18]。因为管制手段虽然可以在一定程度上消除市场的外部性,但是也存在成本高、容易受到管制对象抵制或俘虏(capturetheoryofregulation)[19]、不具备长效性等缺陷,而市场主体出于社会责任、声誉等原因,通常也会在一定程度上采取自律措施。自律路径包括行业自律、企业自律和公民自律三个层面:第一,行业自律。就行业自律来说,主要是指依托于行业组织进行的自律。目前全国性的行业组织主要是中国互联网协会。该协会业务主管单位是工业和信息化部,现有会员400多个,省市协会31个。该协会的职能主要是发挥行业自律作用,维护国家网络与信息安全、行业整体利益和用户权益等。为加强网络有害信息的治理,协会成立了直属的投诉咨询部(12321网络不良与垃圾信息投诉受理中心),并在下属的专业委员会中设立了行业自律工作委员会、反垃圾邮件工作委员会、网络与信息安全工作委员会;此外,协会还制定了一系列相关的自律公约和倡议书,包括《互联网搜索引擎服务自律公约》、《“积极传播正能量,坚守‘七条底线’”的倡议》、《中国互联网协会抵制网络谣言倡议书》、《互联网终端软件服务行业自律公约》、《中国互联网协会反垃圾短信息自律公约》、《博客服务自律公约》、《文明上网自律公约》、《搜索引擎服务商抵制违法和不良信息自律规范》、《互联网站禁止传播、色情等不良信息自律规范》、《互联网新闻信息服务自律公约》[20]。这些行业自律工作,为促进良好的社会、行业风尚形成,促进相关法律法规的实施,起到了积极的作用。但总体而言,在行业主体方面,其性质上仍然带有明显的官方色彩,组织体系和行业自律手段过于单一,在维护行业整体利益和用户利益方面的作用发挥还不明显。为强化有害信息治理的行业体制保障,应进一步扶持真正具有行业性、多层次的行业主体,并建立相应的行业惩戒和奖励机制。第二,企业自律。就企业自律来说,主要是指各类营利性的从事互联网运营服务、应用服务、信息服务、网络产品和网络信息资源的开发、生产以及其他与互联网有关的服务活动的企业开展的自律活动。上述企业中规模较大、行业知名度高的企业往往同时也是中国互联网行业协会的会员单位,在行业自律的过程中也发挥着积极作用。同时,部分企业也会从履行社会责任、维护自身形象和声誉、为用户提供健康的信息和服务的角度出发,在企业内部建立治理有害信息的内控机制。例如,国内最为知名的网络媒体公司之一———新浪公司,就通过建立自律专员制度对网络上存在的有害信息和不良风气实施内部监督,提出改进建议;此外,自律专员还将定期搜集社会各界对新浪的意见和建议,并对投诉情况进行总结分析并提出改进建议;针对高速发展中的新浪微博,新浪建立了微博辟谣机制,并组建了专门的微博辟谣团队,以此避免虚假信息的传播[21]。这些自律方式可以作为经验在行业内部进行推广。国家网信办成立之后,也积极倡导企业自律,并召开了跟帖评论管理专题会,组织29家网站签署了《跟帖评论自律管理承诺书》,其中对跟帖的管理主要侧重于各类网络有害信息[22]。第三,公民自律。网络空间总体而言是一个共同空间,是虚拟的“现实社会”,不是“法外之地”,个人应对其言行负责。应当通过宣传教育使公民个人意识到,网络环境是自己生存和生活环境的一部分,不制造、传播有害信息,自觉抵制有害信息,做推进网络法治的正能量者。同时,由于网络的传播放大功能,网上言论产生的影响力远远大于日常生活中的现实言论,因而在网络空间中更需要“谨言慎行”。依法治理有害信息,不仅仅是立法、行政和司法部门的事,而是关乎一个国家全体人民利益的大事。
(四)促进社会监督法治化
除国家管制、市场主体自律之外,社会监督也是有害信息治理的有效方式。社会监督是指无法定监管职能的社会团体、组织和公民个人以批评、建议、检举、申诉、控告等方式对网络有害信息进行的监督,主要包括公民监督、社会团体监督以及舆论监督。各个市场主体既是社会监督的主体,同时也是社会监督的对象。充分发挥社会监督的作用,使有害信息置于无时不在、无处不在的监督之中,可以降低有害信息治理的成本、提高治理的针对性和效果。如英国在有害信息治理过程中就特别强调“监督而不非监控”的理念[23]。加强有害信息的社会监督,至少需要在两个方面下功夫:一方面,应当通过立法一般性地确认社会团体、组织和公民对有害信息的监督权。有害信息社会监督的法律依据可以间接地从《宪法》、《刑事诉讼法》、《关于加强网络信息保护的决定》中找到零星依据,但这些依据并不完全具有针对性且非常零星、分散。例如,《宪法》第41条规定的公民检举权针对的是国家机关及其工作人员的违法失职行为,《刑事诉讼法》第84条第1款规定的是单位和公民对犯罪的举报权利和义务,《全国人大常委会关于加强网络信息保护的决定》第9条规定了任何组织和个人对信息违法犯罪行为的举报和控告权。另一方面,应将有害信息的社会监督权制度化,尤其是要完善以网络有害信息举报制度为核心的社会监督机制。在网络有害信息的举报机制构建方面,应建立举报受理、举报管理、举报调查和处理、举报反馈、举报保障(包括保密、防打击报复、补偿和赔偿制度)、举报激励、不当举报制约等各个环节的相关制度[24]。在举报受理环节,应公开统一的举报受理主体并确立首问负责制,避免相关举报被推诿处理。在这方面,很多网络大国都采取了类似的做法,例如欧盟在打击非法内容方面的主要措施是建立市民热线,公众通过热线汇报非法内容,然后由热线网络将相关信息报告各主管部门[12]。目前很多国家基本都设有相关的投诉举报机制,并通过多种渠道方便各领域用户使用,大大提高了工作效率。这方面的经验值得借鉴和推广。(五)扩大国际法律合作由于网络信息具有即时流动性和跨国性,同时网络服务提供者还可以通过租用海外服务器的方式逃避国内的监管,因此很多网络行为都是无国界或可以便捷地跨越国界的。一个国家法律再完善、机制再健全,也不可能仅以一国之力、在一国之内完全实现有害信息的治理。因此,国际合作也是有害信息治理必不可少的环节:第一,开展网络安全的国际对话与合作。我国政府非常重视信息安全的国际合作,并积极参与和推动信息安全国际合作的进程:包括举办“中美互联网论坛”、“中英互联网圆桌会议”等对话活动,积极沟通,增进互信,促进互联网安全;此外,国际层面的协作也在不断加强:2003年12月在日内瓦召开了“第一届信息社会世界峰会”,形成并颁布了关于网络问题的《原则宣言》和《行动计划》。2005年11月在突尼斯又召开了“第二届信息社会世界峰会”,共有174个国家参加,形成并颁布了《突尼斯信息社会议程》。第二,推动国际网络安全立法,强化治理有害信息的国际合作。我国政府与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国一起向联大提交了《信息安全国际行为准则》,该行为准则的第2条第(三)项提出,各国应“合作打击利用信息通信技术包括网络从事犯罪和恐怖活动,或传播宣扬恐怖主义、分裂主义、极端主义的信息,或其他破坏他国政治、经济和社会稳定以及精神文化环境信息的行为。”[25]该项准则将“破坏一国政治、经济和社会稳定以及精神文化环境信息的行为”作为各国合作打击的对象,实际上较为全面的涵盖了通常意义上的“网络有害信息”及相关行为。该准则或类似的准则如果能转化为国际立法,将为国际社会合作治理有害信息提供有力的法律依据。当然,在统一的国际规则尚未形成之前,也应积极推动多边或双边协议的签订。第三,加强国际司法合作。由于网络有害信息具有流动性、跨界性的特点,很多色情、赌博、诈骗等有害信息的信息来源地与信息传播地、接受主体所在地不处于同一国家,对这些与有害信息相关违法行为的认定、取证、管辖、和审判、执行等,都会涉及到国际司法合作。例如,很多涉及色情、赌博、诈骗等有害信息的网站服务器是设在境外的,而这些国家对于色情、赌博以及诈骗的立法与我国并不完全相同,因此我国在治理有关有害信息时,只能在国内对这些网站进行屏蔽,禁止境内用户访问该类网站,但是不能关闭这些服务器[26]。此外,寄生于有害信息中的有害数据和程序也对我国的网络安全造成了严重的危害。例如,仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP,侵犯个人隐私、损害公民合法权益等违法行为时有发生。由此可见,国际司法合作是网络有害信息依法综合治理的重要环节。应当在尊重各国、尊重各国文化的基础上,通力进行司法合作,真正实现网络有害信息的综合治理。
三、结语
互联网安全管理不能只靠政府的具体实际行为,政府管理者和公众的互联网安全管理观念也是很重要的环节,具备了充分和先进的观念,才能科学地指导实践工作,才能使安全管理工作占据精神上的高地。首先,要提升网民进行互联网操作的能力。如果没有一定的网络操作能力,也就可能难以进行网络安全隐患的防备,因为互联网属于高科技,对于其操作和使用是一个技术上的要求。要通过各种途径使网民都能了解杀毒软件、补丁程序的下载和使用,加深对于安全管理工具的熟悉程度。其次,举办有关网络安全管理方面的讲座。由于我国网民数量众多,分布广泛,因此可以利用部级和省级电视台、互联网等载体,办各种有关网络安全方面的培训讲座。使公众能够方便地接受有关培训,另外,在培训讲座的内容选择方面要结合实际情况,要有针对性,主要介绍防止黑客攻击、网络犯罪、网络不良信息干扰和网络诈骗等这些方面的内容,使广大公众易于接受。再次,加强互联网安全内容的宣传,可以通过举办互联网安全活动日、活动周,也可以通过传统媒体,通过名人的带动等形式加强互联网安全管理方面的宣传。美国曾经举办过互联网安全意识视频大赛,参赛者主要是大学学生,通过制作互联网安全视频,对互联网安全管理的问题进行分析和介绍,这对于年轻人的教育意义极大,收效也很好。这种宣传模式值得我们国家进行借鉴。最后,加强互联网安全管理的法制教育,不论是在针对学生的课程中还是针对社会公众的普法工作中,都要加入互联网法制课题,重点涉及对互联网安全方面的法律和行政法律规的宣传,向公众传授有关的法律知识,提高其对于互联网安全管理法制的认识和理解,从而能够强化安全管理的法律意识,约束自己的行为,防患互联网安全问题的侵害。
2提高政府职能部门开展安全管理工作的能力
负责互联网安全管理的部门主要有信息、公安、工商、文化、宣传等等,他们是我国党委政府机构的重要组成部分,在这种多头管理的体制下,如何提高其进行互联网安全管理的能力,是一个亟需解决的重大课题,只有安全管理的能力上了一个台阶,才能应对互联网安全隐患瞬息万变的态势,有效地破解安全难题。第一,加强网络安全监管的技术升级;目前针对网络安全隐患的监管主要采取的是信息过滤和信息分级的方式,当出现违法内容或信息的时候,网络系统会通过路由器过滤或者过滤网关过滤的手段将这些违法内容和不良信息过滤掉。信息分级主要是将互联网信息数据进行级别分类,这种方式与电视、电影的分级制度有些类似,通过分级,将不同类型的信息提供给不同的需求者,而违法违规的信息数据则被屏蔽掉。这两种技术虽然发挥了很大的作用,但是也存在不少缺陷,例如过滤法的前提是字词资料库的存在,而这个字词资料库的内容是有限的,网络危险数据的内容是无限的,某些资料库存在的危险信息可以轻易地绕过过滤网。因此,作为安全管理的部门要加大技术开发和创新的力度,安全管理措施要与互联网技术的发展保持步伐一致,要建立技术研发中心,引进高端的技术研发人才,加大资金扶持力度。另外,要鼓励和支持社会力量参与技术创新的过程中来,社会力量是我国进行网络安全技术开发所依赖的重要后盾,它是取之不尽用之不竭的,有很多网络技术人才默默地为社会做出贡献,在反病毒软件设计、防木马程序设计。反黑客攻击方面有很多造诣,因此管理部门要重视这些普通的贡献者,鼓励他们加强技术创新,为社会做出更大的贡献。第二,政策制定应当加大对民意的考量。信息化时代下的互联网发展,不仅仅是技术层面的进步,更是社会文明层面的进步,而推动网络社会文明进步的主要力量就是普通民众,他们在互联网安全管理方面能够发挥的作用已经越来越明显。政府部门应当采取包容的态度,积极回应网络民意,在制定安全管理政策时征求民意,集合广大公众的智慧。现代社会是一个风险社会,在进行政府政策制定时,往往依靠政府单一力量的模式难以有效预见复杂的风险,也难以有效确定科学的制度。第三,重视网络商务交易的安全管理方法。网络安全交易是互联网的一个重要业务板块,其安全状况的好坏直接关系到互联网安全管理全局工作。要拓宽安全管理维度,建立经营主体、商标、广告、市场、合同、反不正当竞争、消费者权益保护等多个维度,全面规范网络交易的秩序。积极拓展互联网监管的领域,对于网络中介、网络代购等比较新的商务交易方式进行探索,研究规范发展的对策。根据互联网交易市场的特点,探索建立分类别管理的模式,针对大型网上交易平台、违规次数多的网站,加大监测的力度和频度。对于可能涉及网络欺诈、网络暴力或者网络犯罪的行为,要予以重点关注和监测,防患于未然。
3建立互联网安全管理的有效机制
互联网安全管理需要科学有效的机制作为保障,才能使各项工作按照一定的原则,合理的程序开展,才能促进安全管理工作在正常的轨道运行,保障法律和政策发挥其应有的作用。第一,成立一个专门组织或者部门,对现有的资源进行整合,比如成立由多部门联合组建的协调部门,对互联网安全问题进行有效的治理。我国目前有权治理互联网安全问题的政府部门有工信部、文化部、公安部、广电总局、新闻出版总署等。可以设立一个专门的管理部门,对于涉及多部门的互联网管理权力时,能够进行协调与整合,最大化地发挥各部门的功能,促进资源的有效配置。第二,要建立专项治理行动的长效机制。通过上述专门组织,以其为主导,进行长期性的专项治理行动。专项治理行动,能够在很短的实践内,形成打击互联网安全问题的正面影响,解决一些突出性问题,在社会上形成威慑力。专项整治活动需要协调各个参与部门的关系,发挥各部门的优势,要听取社会公众的意见,在整治活动中吸取经验教训。促进长效机制的顺利形成。第三,建立互联网自治机制。最主要的是做好互联网行业自律体系的建设。一方面要加强行业自律规范的建立进程,结合互联网事业发展的具体情况,针对多发性的安全问题,制定合理的行业自律规范,互联网服务的提供者、电子商务的经营者等等主体应当切实履行行业自律规范,树立职业伦理道德,坚决抵制互联网不良行为。另一方面要规范上网主体的行为守则,通过社会公共道德规范、法律制度的宣传等方式,使广大公众深刻理解网络不良行为的危害,减少肆意制造网络病毒、肆意进行黑客攻击的行为,避免网络谣言的散布和蔓延。树立文明上网的理念,约束和规范网络言行。最后,要建立互联网安全问题的预警机制。当发生可能危害国家安全、危害公共安全以及大规模的财产安全的互联网行为时,比如网络上的大规模政治煽动行为,对政权和社会稳定构成威胁,预警机制的重要性就会突显出来。各级政府、大型企业等要建立预警机制,设置网络安全监测和处置机构。当发生重大网络安全事件时,监测机构能够及时发现问题并向管理者报告,监测机构能够进行重大问题的分析和判断,研究重大安全问题的特点和运行规律,制定出治理预案。并且能够单独或者协同其他部门对重大安全问题进行有效处理。这样的预警机制对于解决复杂的网络安全问题将会起到重要作用。
4完善互联网安全管理的相关法律法规
【关键词】互联网信息安全网络现状措施
一、信息安全概述
信息网络安全是指防止信息网络本身及其采集,加工,存储,传输的信息数据被故意或偶然的非授权泄露,更改,破坏或使信息被非法辨认,控制,也即保障信息的可用性、机密性、完整性、可控性,不可抵赖性。为保障信息安全,要求有信息源认证,访问控制,不能有非法软件驻留,不能有未授权的操作等行为。从目前形式来看,来自计算机网络和移动网络是信息安全事件来源的两大方面。根据近两年国内外发生的互联网信息安全事件,可以总结出信息安全的主要威胁途径包括以下几个方面:(1)窃听。2013年6月5号曝光的“棱镜门”事件涉及美国情报机构在互联网上对全球上百万用户的通话进行窃听,包括欧盟多个国家领导人的私人电话也遭到窃听。(2)黑客攻击。2013年3月22日,韩国爆发历史上规模最大的黑客攻击,韩国主要银行、媒体,以及个人计算机均受到影响。(3)信息泄露。2013年6月5日安全平台乌云曝出搜狗输入法导致大量用户敏感信息泄露,时隔五个月,央视又曝出搜狗浏览器致用户QQ,支付宝等信息泄露。(4)网络诈骗。一些不法分子利用大量的伪基站伪装运营商、银行等官方号码发送欺诈短信,诱导受害者下载可以拦截和转发用户短信的手机木马,对移动胁端手机用户构成安全威胁。
二、当前网络信息安全现状
我国当前网络信息安全现状反映在如下几个方面:(1)公众网络安全防范意识不高。出现这种情况的原因有,一部分人对网络信息安全方面的知识了解甚少,不关心也不在乎发生在网络上的信息安全事件;也有一部分人对当前网络信息安全盲目的乐观自信,缺乏客观实际的了解。(2)手机恶意软件、钓鱼/假冒网站、个人信息泄露的安全事件比例升高。移动互联网的应用和普及,加速了手机应用等移动端软件产业的快速发展,带来了巨大市场利益,从而开发出的手机软件也层出不穷,鱼目混杂,致使用户难以辨认手机软件的安全性。用户在没有安装安全监测软件的情况下,很容易被手机恶意软件通过骗取流量、乱发广告以及乱扣费等形式影响。(3)黑客攻击减少但更具针对性。 针对普通用户的黑客攻击减少但其针对国家政府网站,金融机构、科研院校频繁,对国家安全层面构成重大威。根据国家互联网应急中心提供的案例显示,中国网站遭境外攻击主要体现在两个方面,一是网站被境外入侵篡改;二是网站被境外入侵并安装插门。
三、信息网络安全应对措施
针对目前的局势,可从以下两个方面来积极改善:(1)加快开发自主可控国产设备,减少对国外产品依赖。目前,互联网关键汇集渠道都在服务器,全球共有13台根服务器,而12台都在美国,意味着信息的周转都要经过美国。此外,信息的正常运行的设备大部分都来自美国的主流软硬件厂商,因而用户在使用过程中,信息很容易被监听、过滤。因此,要大力改善信息安全技术自主创新,鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品,依托高校、科研机构和自主创新平台,加大核心技术的投入,通过企业间相互支持,协同壮大,加快主机系统在美关键应用领域替代国外同类系统。(2)加快网络和信息安全建设。网络信息安全建设涉及到多方面的管理、技术与法律问题。可以从出台相应的网络安全战略、积极研发关键技术,以及建立健全法律法规等方面来考虑。网络安全战略是对整个国家网络安全的一个总体指导与规划,具有重要的意义,而技术则是避免网络安全事件侵袭的关键和重要保障,互联网发展已进入新的阶段,变得更加复杂及多元化,意味着旧的的技术已不在适应需要,积极研发关键技术也是大势所趋。总之只有在网络安全战略的指导下,在新技术的支撑与保障下,通过健全的法律约束,网络安全事件才能从源头上减少和避免。
四、结论
在信息快速更新,增长的背景下,互联网的发展也将变得更加的多元化,复杂化,因而未来网络信息安全问题必将变得更加的严峻、复杂。所以信息网路安全是一个需要长期关注和解决的问题。只有做到将政策,技术与人才的培养全方位的结合,才能更加高效的应对信息安全问题。
参考文献
[1]杨珂. 浅谈网络信息安全现状[J]. 数字技术与应用,2012
关键词:互联网+ 工业控制系统 网络安全
中图分类号:TU746 文献标识码:A 文章编号:1007-9416(2016)11-0206-01
随着信息技术的发展,所有的传统产业都在受到影响,它使得整个传统产业可以实现远程的智能化管理和控制,就像一个人有了神经系统。传统产业同网络信息技术的融合就构成了物联网、车联网、工业互联网等一系列概念,不过这些概念的核心在于网络互连。在网络互连的大趋势下,工业控制系统的互连也就成为必然要发生的趋势。
1 “互联网+”时代下工业控制系统的网络安全问题
网络互连的优势在于能够显著提升生产力,增强创新力,降低工业原材料以及生产能源的损耗,推动产业模式高效变革。但是,网络互连也带来了安全问题,由于互联而引发各种各样的网络安全问题,工业控制系统不断遭遇着来自内部和外部的各类网络病毒的进攻。今天,工业控制系统受到的网络攻击已经变成我们国家所遭受的最危险的安全挑战之一。
工业控制系统最初设计的目的在于实现各类实时控制功能,并没能想到有关安全的问题。今天,这些都暴露在网络上,这给它们所控制的例如像重要基础设备,关键系统等都造成了大量的危险和隐患。近年来,工业控制系统的网络安全问题多次出现,因为工业控制系统的安全触及国家经济和人民生活,如果受到损害,将会造成非常严重的后果。
比如,澳大利亚污水处理厂发生的安全问题,导致了大量的污水还没有经过净化就被直接排到了大自然中,引发了十分严重的环境污染。德国的一家钢铁厂曾经受到一次网络黑客入侵,其侵入了钢铁厂的熔炉控制系统,导致了熔炉控制系统停止工作一整天,据估计,这一天的经济损失就超过了1.5亿美元。伊朗布什尔核电站遭受的黑客攻击导致其部分离心机损坏,发生放射性物质外泄,危害甚至达到了当年的切尔诺贝利核电站事故,直接造成了伊朗的战略核计划后退了两整年。中东能源产业受到的网络病毒攻击,造成了许多的重要信息外泄,有可能引发大规模的网络攻击。
大家可以看到,世界上的许多国家都已经将网络安全当作国家安全的一个关键环节,而工业控制系统的网络安全又是其中最为重要的。首先,在国家与国家的竞争中,获得了他国的重要基础设施工业控制系统的关键信息,在各国的网络空间竞争中就会占得先机。其次,国际上出现的像恐怖组织、极端势力等在内的非国家行为体,不断试图利用正在发展的工业控制系统的网络安全隐患来达到他们不可告人的目的。随着网络技术的发展及其与生俱来的开放性特点,造成攻击难度以及代价不断下降,工业控制系统已逐步变成今天各类非法组织、个人等网络攻击的首要目标,而这就给我们国家的安全带来了非常大的威胁。
2 工业控制系统在线监测能力的建设
面对“互联网+”时代下工业控制系统网络安全问题给我们国家的安全带来了威胁,我们需要掌握有哪些工业控制系统运行在互联网中,有哪些产业、哪些区域的工业控制系统运行在互联网中,而且这些运行在互联网中的工业控制系统到底有怎样的威胁?所以,工业控制系统在线监测能力的建设也就变成了当务之急。
为了解决网络安全问题带来的威胁,各国都特别重视工业控制系统的在线监测能力。2008年开始,美国国土安全部建立ProjectShine项目,查询在互联网上互联的所有工业控制系统设施及重要信息基础设备,到2012年为止,已汇集了世界范围内的220多万条数据。不只美国,比如英国,也都发展了本国的工业控制系统查询设施来了解和查找本国以及别的国家的重要基础设备。
2013年初,我国工业和信息化部电子科学技术情报研究所逐步进行关键控制系统在线查询监测工作,开始构建起关键控制系统在线监测平台,对互联在网络上的关键工业控制系统实施安全监测以及危险警示工作,到今天已经开始形成了对关键工业控制系统的在线监测能力。在查询我国关键工业控制系统基础设施的前提下,工业和信息化部电子科学技术情报研究所还自主开发了关键工业控制系统在线监测预警平台,研发了工业控制系统的在线搜索系统。通过不断查询网络信息,判断出与工业控制系统网络指纹特征相符合的IP,查询运行在互联网上的关键工业控制系统的基本信息。为了未来进一步的开展工作,还开发了与平台配套的硬件化设备。当前,在线监测预警平台监测的设施包括:工业控制设施:PLC、DCS、RTU等等;智能设备:如当前智慧城市中使用的视频监控设备等。
经过近些年来的工作,监测平台取得了部分阶段性的成果。到今天平台已经搜寻了十余类重要工控专用协议以及工控专有的网络端口;获得了国内外工业控制系统及设施的基础情况、分布概况以及发展方向;增强了我国对关键工业控制系统网络安全问题的预警能力;推动重要基础设施运行企业增强工业控制系统网络安全防护能力;为工业控制系统网络安全监测以及预警提供重要保障。
3 结语
“互联网+”时代下,信息技术的发展推动了传统产业的创新和提升,但是,随之也带来了工业控制系统的网络安全问题,因此,我们必须将工业控制系统在线监测能力的建设及完善提上议事日程,为我们国家的安全提供保障。
参考文献
[1]陈月华,冯伟.“互联网+”时代工业控制系统面临新挑战[J].中国科技投资,2015(16):48-51.
[2]王德吉.“互联网+”时代的“工业4.0”信息安全探索与实践[J].自动化博览,2015(z2).
互联网已经成为人们日常生活不可缺少的虚拟化平台,通过网络操作可以捕捉到与生活及工作相关的各种信息。计算机网络之所以具备强大的资源功能,主要是由于内部设置了数据库作为存储区域。随着互联网普及应用,数据库需要承受的资源调控荷载更大,解决数据库使用阶段面临的安全风险是极为关键的。
络操作可以捕捉到与生活及工作相关的各种信息。计算机网络之所以具备强大的资源功能,主要是由于内部设置了数据库作为存储区域。随着互联网普及应用,数据库需要承受的资源调控荷载更大,解决数据库使用阶段面临的安全风险是极为关键的。
1数据库的推广
处理信息资源是计算机最大的功能特性,能够减小人工处理数据资源的难度,提高虚拟网络资源的利用率。从实际应用情况来看,数据库在互联网络工作环节里发挥了重要的作用,如图1。根据计算机研究原理,数据库是“按照数据结构来组织、存储和管理数据的仓库”。计算机应用技术发展条件下,与互联网相连的数据库种类越来越多,额可以根据用户实际操作要求进行调整。目前,已经开始使用的数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。
2数据库的功能特点
互联网本质上属于虚拟化的操作平台,能够为用户提供广阔的操作空间,通过网络操控以实现数据资源的调整。面对日趋增多的数据资源,互联网在处理信息资源时必须要有相应的存储空间,以及时对数据进行备份处理。数据库是互联网极其关键的结构组成,其功能特点如下:
1)共享性。数据库中的数据是为众多用户所共享其信息而建立的,已经摆脱了具体程序的限制和制约。不同的用户可以按各自的用法使用数据库中的数据;多个用户可以同时共享数据库中的数据资源。数据共享性不仅满足了各用户对信息内容的要求,同时也满足了各用户之间信息通信的要求。
2)功能性。具有与互联网络操作相匹配的功能,这也是数据库较为明显的特点之一。传统网络操作过程中,因缺少必要的数据存储区域,而使得大量有价值信息资源丢失,给用户操作带来了许多不便。新计算机技术条件下,数据库能够起到关键性的存储、筹集、控制等功能,为用户操作提供了更多的选择。
3)整体性。数据库是一个单位或是一个应用领域的通用数据处理系统,存储的是属于企业和事业部门、团体和个人的有关数据的集合。数据库按一定的数据模型进行组织、描述和存储。其结构基于数据间的自然联系,从而可提供一切必要的存取路径,且数据不再针对某一应用,而是面向全组织,具有整体的结构化特征。
3数据库应用的安全风险
互联网遍布于各个行业之中,不再仅限于对某个用户提供数据处理功能,而是转向多个用户群体的数据服务模式。尤其是企业办公自动化系统开始逐步建成,数据库成为了企业用户网络办公的重要结构。尽管数据库具有共享性、功能性、整体性等三大优点,但其在使用过程中也面临着相对应的安全风险,处理不当会导致数据库资源丢失,给用户造成了严重的损失。
1)篡改。由于数据库具有共享性特点,主要面向广大网络用户提供数据使用平台,为更多需要资源利用的用户提供了更多的便捷。这一特点使得数据库被篡改的可能性更大,原先固定的信息资源模式被随意性改动,破坏了后期数据资源的正常应用。如:操作人员对固定的数据模式随意更改,扰乱了数据程序执行的流程,破坏了数据库结构的完整性。
2)窃取。企业办公系统采用的数据库,多数是用于存储商业信息的“仓库”。随着大量商业数据及机密的存储应用,数据库面临的窃取风险更高。如:非数据库管理人员为了获得数据信息,采用非正当手段调用信息,甚至对商业数据进行复制处理,造成机密性文件被公布,这对于企业办公来说是极为不利的,极有可能引起商业方面的损失。
3)攻击。计算机网络遭受攻击是难以预测的,一旦成为黑客们的攻击对象,数据库将面临着巨大的安全隐患。近年来,网络犯罪行为日趋增多,通过互联网模式进行攻击的行为更加常见。数据库作为存储信息资源的主要区域,自然成为了恶意攻击的首要对象。如:银行数据库便是攻击的重点,攻击者常以此来获取账户密码,转账或盗用资金。
4互联网数据库安全管理的措施
数据库不仅为用户提供了储存、调控、处理等应用功能,同时也面临着多个方面的安全风险,若不及时采取安全管理措施,则会影响到整个数据资源的利用率。鉴于计算机网络技术普及应用的发展趋势,加强互联网数据库安全管理是极为重要的,关系着企业或个人用户的切身利用。根据现有的网络运行条件,数据库管理措施应包括:
1)技术方面。选择先进的安全控制技术,对降低数据库风险有着重要的作用。目前,比较常用的数据库安全技术包括:一是权限技术,对数据库设置相应的权限,如图2,使用密码或身份认证的方式,非管理人员不得对数据库进行任何形式
的操作;二是监测技术,对数据库进行24h的安全监测,时刻关注数据库的各种动态,发现异常情况后及时采取安全措施处理;三是升级技术,定期对数据库安全系统进行升级,增强其抵抗外界风险的能力。
2基于IP技术的权限设置
2)管理方面。针对数据库应用面临的管理缺陷,企业应注重网络安全管理制度的实施,规范日常办公操作的有序性,避免人为操作失误引起的安全风险。如:定期召开人员培训工作,不断地增强办公人员的网络操作能力,使其正确地处理数据库使用阶段的各种问题,全面提高办公自动化的操作水平;规范数据库系统运行的流程,尽可能简化网络数据处理的步骤,防止数据库操作方式重叠而带来的安全问题。
5结论
总之,伴随着信息科技的不断发展,计算机应用技术开始运用于各个领域,互联网成为了日常工作与生活中不可缺少的平台。互联网数据库具有多方面的应用功能,其在使用期间要注重安全风险的防范,避免数据资源丢失引起的各种问题。(来源:《硅谷》 编选:)
参考文献
[1]郝文江,基于防火墙技术的网络安全防护[J].通信技术,2007(07).
[2]林庆、王飞、吴旻、廖定安、王敏,基于专家系统的入侵检测系统的实现[J].微计算机信息,2007(09).
[3]竹勇、叶水生,Oracle9i数据库的安全管理机制[J].计算机技术与发展,2006(06).
[4]严和平、汪卫、施伯乐,安全数据库的推理控制[J].软件学报,2006(04).
[5]李斓、冯登国、徐震,多级安全OS与DBMS模型的信息流及其一致性分析[J].计算机学报,2005(07).
[6]薛新慈、任艳斐,网络数据库的安全控制与性能优化研究[J].通信技术,2009(07).
2015年是“十二五”规划收官之年,我国实现了半数中国人接入互联网。CNNIC第36次报告显示,我国网民规模达6.88亿,手机网民规模达6.2亿,域名总数为3102万。这一年,“互联网+”行动计划、“宽带中国2015专项行动”等出台,助推网络强国建设。
随着网络技术的发展,尽管我国不断完善网络安全保障措施,网络安全防护水平有了很大提升,层出不穷的网络安全问题仍然难以避免。基础网络设备、域名系统、工业互联网等我国基础网络和关键基础设施依然面临着较大安全风险,网络安全事件多有发生。木马和僵尸网络、拒绝服务攻击、安全漏洞、网页篡改等网络安全事件表现出了新特点:利用分布式拒绝服务攻击(以下简称“DDoS攻击”)和网页篡改获得经济利益现象普遍;个人信息泄露引发的精准网络诈骗和勒索事件增多;移动互联网恶意程序的传播渠道转移到网盘或广告平台等网站。
基础网络和关键基础设施增强,挑战升级
基础通信网络安全防护水平进一步提升。基础电信企业逐年加大网络安全投入,加强通信网络安全防护工作的体系、制度和手段建设,推动相关工作系统化、规范化和常态化。2015年,工业和信息化部对电信和互联网行业落实网络安全防护工作进行抽查。抽查结果显示,各基础电信企业符合性测评平均得分均达到90分以上,风险评估检查发现的单个网络或系统的安全漏洞数量较2014年下降20.5%。
我国域名系统抗拒绝服务攻击能力显著提升。CNCERT监测发现,2015年针对我国域名系统的DDoS攻击流量进一步增大。8月,我国顶级域名系统先后遭受2次大流量DDoS攻击,峰值流量超过10Gbit/s。2015年发生的多起针对重要域名系统的DDoS攻击均未对相关系统的域名解析服务造成严重影响,反映出我国重要域名系统普遍加强了安全防护措施,抗DDoS攻击能力显著提升。
工业互联网面临的网络安全威胁加剧。新一代信息技术与制造业深度融合,工业互联网成为推动制造业向智能化发展的重要支撑。近年来,国内外已发生多起针对工业控制系统的网络攻击,攻击手段也更加专业化、组织化和精确化。据监测,2015年境外有千余个IP地址对我国大量使用的某款工控系统进行渗透扫描,有数百个IP地址对我国互联网上暴露的工控设备进行过访问。这对我国提出警示,我国工业互联网也可能面临着严峻的网络安全威胁。
针对我国重要信息系统的高强度有组织攻击威胁形势严峻。据监测,2015年我国境内有近5000个IP地址感染了窃密木马,存在失泄密和运行安全风险。针对我国实施的APT(高级持续性网络威胁)攻击事件也在不断曝光,例如境外“海莲花”黑客组织多年以来针对我国海事机构实施APT攻击。2015年7月发生的Hacking Team(软件开发商)公司信息泄露事件,揭露了部分国家相关机构雇佣专业公司对我国重要信息系统目标实施网络攻击的情况。
公共互联网网络安全环境堪忧,应对加强
2015年,根据CNCERT自主监测数据,我国公共互联网网络安全状况总体平稳,位于境内的木马和僵尸网络控制端数量保持下降趋势,主流移动应用商店安全状况明显好转,但个人信息泄露、网络钓鱼等方面的安全事件数量呈上升趋势。
木马和僵尸网络。我国境内木马和僵尸网络控制端数量再次下降,首次出现境外木马和僵尸网络控制端数量多于境内的现象。据抽样监测,2015年共发现10.5万余个木马和僵尸网络控制端,控制了我国境内1978万余台主机。其中,位于我国境内的控制端近4.1万个,较2014年下降34.1%,继续保持下降趋势。以上情况的出现主要与行业内相关单位近年来持续开展木马和僵尸网络治理有关。随着我国境内持续开展木马和僵尸网络治理工作,大量木马和僵尸网络控制端向境外迁移。2015年抽样监测发现境外6.4万余个木马和僵尸网络控制端,较2014年大幅增长51.8%,占全部控制端数量的61.2%,首次出现境外木马和僵尸网络控制端多于境内的现象。
个人信息泄露事件频发。2015年我国发生多起危害严重的个人信息泄露事件。例如某应用商店用户信息泄露事件、约10万条应届高考考生信息泄露事件、酒店入住信息泄露事件、某票务系统近600万用户信息泄露事件等。针对安卓平台的窃取用户短信、通讯录、微信聊天记录等信息的恶意程序爆发。2015年,CNCERT抽样监测发现恶意程序转发的用户信息邮件数量超过66万封。
个人信息泄露引发网络诈骗和勒索等“后遗症”。2015年发生多起因网购订单信息泄露引发的退款诈骗事件,犯罪分子利用遭泄露的收件地址和联系方式等用户购物信息,向用户发送虚假退款操作信息,迷惑性很强,造成财产损失。由于许多网民习惯在不同网站使用相同账号密码,个人隐私信息易被黑客窃取,进而威胁到网民财产安全。
【 关键词 】 互联网;网络信息安全
1 引言
我们正处于互联网络高速发展的时代,网络资源共享和个人信息与数据的泄露,成为一个难以权衡的矛盾体。互联网上是由数以亿计的计算机组成的,个人利用计算机登陆互联网进行相关活动时,该个人的信息和行为等会以日志等形式记录下来,这些信息如果被不正当的利用,就会成为个人数据信息的安全隐患。由于互联网的开放性,在网络上任何一个人都可以发表言论,而该言论可能随着网络的散播,扩展到全球范围,一旦个人隐私被公布,将带来比较不良的影响。尤其是有些网民的网络安全意识淡薄,也造成了不法人员的利用。互联网的安全问题日益突出。本文主要分析了网络信息时代互联网安全隐患及其解决方法,讲解如何打造相对安全的互联网环境。
2 网络安全概念
网络安全主要是指网络上的信息安全,它是指联入网络中的硬件,硬件上安装的软件和网络系统中的数据收到保护,它不会被恶意攻击、破坏、更改和泄露,能够确保网络服务不中断,确保系统能连续、可靠、正常地运行。网络安全的分类有四种,包括操作系统安全、网络传输安全、物理安全和逻辑安全,如图1所示。
操作系统安全:每台计算机上都需要安装操作系统,它是计算机上最基础的软件,当然,也是非常重要的系统软件。计算机上可以安装不同厂家不同版本的操作系统,而每个操作系统既然是软件,就有其存在的漏洞和风险,每个操作系统都有自己的安全机制和保护措施,如操作系统中可以区分用户口令,设置用户权限,一个同级别的用户不允许访问另一用户产生的数据等。目前有很多病毒都是专门入侵没有安装补丁的操作系统设置的。
网络传输安全:网络传输安全指的是信息在网络中传输所面临的安全隐患,可能会被中途截取、篡改、销毁等。
物理安全:物理安全指的是计算机硬件被损,如被盗、遭雷击、自然灾害、静电损坏、电磁泄漏等等原因造成的硬件丢失和损坏,导致硬件中存储的软件和数据被丢失和损坏。
逻辑安全:逻辑安全指的是通过各种技术达到计算机的安全保护,如加密技术、设置口令技术、日志记录等等。防止黑客攻击一般都是通过保障逻辑安全来实现的。逻辑安全涉及的方式多种多样。不同情况采用不同的方式去保证。
3 网络面临的安全威胁
网络中面临的威胁有很多,主要归结为几种威胁,如图2所示。
安全意识不强:由于网络中的用户计算机水平不一,很多计算机用户安全意识淡薄,用户口令选择不慎,或将自己的帐号密码随意告诉他人,与别人共享文件,甚至有些用户对病毒识别能力不强,直接点击病毒文件导致自身中毒。
配置不当:一般操作系统都是有一定的安全配置的,如果有些安全配置不使用或者配置不当,就比较容易受病毒攻击,比如没有设置用户名密码的计算机,当黑客入侵时就比较轻而易举,而如果设置了用户名密码,黑客入侵就多了一层难度。还有如防火墙本身起到保护电脑的作用,但是如果防火墙配置不当,就很可能不起保护作用。
软件漏洞:不管是操作系统还是在操作系统上安装的软件,都是有漏洞的。这些安装了各种存在漏洞的软件和操作系统的计算机一旦联入互联网,就有可能被对应的病毒软件入侵,造成信息泄露或者软件中毒等。
病毒:计算机病毒指的是一段代码,该代码一旦执行,可能对计算机造成比较大的破坏,如删除信息,破坏硬盘,破坏软件等等,影响计算机软件和硬件的正常运行。有些计算机病毒还具有传播性和摧毁性等特征,一旦感染,会影响到计算机的使用。
黑客:电脑黑客是处于计算机水平比较高的级别。他们利用系统的安全漏洞非法入侵其他人的计算机系统,有些黑客不破坏用户计算机的信息和内容,而是借助用户计算机去运算或者转而攻击其他计算机,使得用户计算机性能下降等等。
4 预防网络安全措施分析
网络安全主要保护的就是网络上的资源信息,当机器接上了互联网后,就会带来三种风险:资源风险、数据风险和信誉风险。资源风险指的是机器设备风险;数据风险指的是存储在电脑中的数据信息风险;信誉风险指的是公司、企业的信誉风险。不管是对于个人还是企业,网络安全需要保护信息的秘密性、完整性和有效性。
虽然机器中没有什么重要的数据,但是侵入者可以随意的使用你的机器及其资源,如储存一些资料,进行运算,甚至将其作为一个可以攻击其它网络或机器的跳板。需要注意的是,这是黑客的惯用伎俩,狡猾的黑客有不止一个攻击跳板,且分布不一,有很大程度的欺骗性和隐蔽性。网络安全的措施有很多,主要分析几种方式来确保网络安全。
4.1 数据加密技术
数据加密技术指的是将原始数据进行加密,然后再将加密数据进行解密查看的过程。加密技术本质是为了隐藏原始信息内容,使得非法获取用户信息的黑客无法知道原始信息内容。加密技术可以很好地保证数据的安全性和完整性,防止机密数据被盗取或者截获。
数据加密技术按照作用不同,主要分为四种技术:密匙管理技术、数据传输加密技术、数据存储技术和鉴别数据完整性技术。密匙管理技术主要指的是如何生产密匙,定期更换密匙规则,定期销毁密匙,分配保存等方面。数据传输技术是对传输中的数据流进行加密的技术。数据存储技术指的是在存储环节设置的加密措施,如存取权限控制,密文存储等。鉴别数据完整性技术指的是传输过来的数据是否遭到非法篡改或者破坏的技术。
4.2 防火墙技术
防火墙技术作为一种网络安全的工具已发展若干年,随着Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业。
防火墙提供行之有效的网络安全机制,是网络安全策略的有机组成部分。它通过控制和监测网络之间的信息交换和访问行为实现对网络安全的有效保障,在内部网与外部网之间实施安全的防范措施。目前,虽然还没有哪一种安全机制可以完全地确保网络的安全,但建立自己的防火墙无疑会给自己的网络带来很大的好处。
防火墙发展至今,无论是技术延伸还是成品指标都有了一定的进步。同时防火墙从实现技术来讲,可以分为几种类型形式,我们将其简单划分为包过滤型防火墙(Packet-filtering firewall)、电路级网关(Circuit-level gateway)、应用级网关(Application-level gateway)、状态监测防火墙(Stateful Inspection Firewall)。
4.3 漏洞扫描技术
漏洞扫描技术是通过定期扫描网络上的计算机,监测是否有安全威胁的技术。它可以扫描出目前局域网中的计算机是否有安全漏洞,并可以将扫描的数据进行分析以供决策。如可以扫描所有局域网中的TCP/IP服务的端口号,记录主机响应事件,收集特定有用信息,还可以扫描出局域网中的某些计算机已经中毒,不停的往外发送攻击数据等。
4.4 访问控制策略
访问控制策略很多情况中运用,如操作系统的用户访问权限控制,如数据库中的用户权限控制等。它是网络安全防范和保护的主要策略之一,处于比较重要的地位。多级访问控制的设定可以增加入侵难度,还可以通过设置最小口令长度、口令失败次数等方式控制非法用户进入计算机。
5 结束语
随着计算机技术的快速发展,通信技术也逐步进步,计算机网络不仅是企业在使用,已经渗透到个人的生活学习工作中,而且在各行各业中应用广泛。计算机网络安全不仅影响个人的工作学习和生活,而且会直接影响各行各业的正常运作。因此,计算机网络安全越来越受到重视,对于保障网络的安全性将变得十分重要。网络中的安全威胁方方面面,形态不一,针对不同威胁采取不同的安全防御措施,这样才能对症下药。同时,要注意防御系统的建立,实时防御网络中非法入侵和安全威胁,构筑起实用的安全体系,保证我们有一个安全健康的网络环境。
参考文献
[1] 宋庆大,李冬,徐天野. 计算机网络安全问题和对策研究[J]. 现代电子技术,2009(21).
[2] 史斌,王明,徐洪丽.大型数据库管理系统Oracle体系结构[J];电脑编程技巧与维护,2010年18期.
[3] 邵雪. 计算机网络安全问题与防护策略探讨[J]. 产业与科技论坛, 2011(07).
[4] 邓家心. 和谐社会视野下的网络安全问题及对策研究[D]. 东北师范大学,2011.
[5] 龚奕. 计算机网络安全问题和对策研究[J]. 软件导刊. 2009(02).
[6] 李彦辉,王述洋,王春艳. 网络信息安全技术综述[J]. 林业劳动安全.,2007(01).
[7] 甘宏,潘丹.虚拟化系统安全的研究与分析[J].信息网络安全,2012,(05):43-45.
[8] 王雷.RFID芯片在物联网应用中的设计与研究[J].信息网络安全,2012,(05):64-67.
基金项目:
中央财政支持专业发展项目软件技术项目。
1互联网环境下的网络数据库安全现状分析
从本质上来讲,网络数据库的安全就是信息安全,它包括许多方面的内容,如入侵检测、风险评估以及防火墙等。经过大量的实践表明,以防火墙为主的反入侵安全技术并不能有效地确保网络数据库整个信息的安全性。通常情况下,在的大部分信息系统当中,数据资料全部都储存在数据库当中,一旦数据库发生安全问题,会直接威胁到信息安全。现阶段,随着互联网的大范围普及,网络数据库的安全问题也随之凸显,而这种安全问题主要指的是访问安全问题。由于互联网环境下的数据库一般都是为网络用户提供服务的,这就使得数据库需要暴露在网络环境当中,只要是网络上的用户都可以随意对数据库进行访问,而在这种情况下,访问控制的手段仅能以用户控制为主,即通过用户名和密码的方式来实现。然而,在互联网中传输的用户名和密码十分容易被网络黑客窃取,并且只要知道密码的用户全部都可以对数据库进行访问,这在一定程度上增大了密码管理和保护的难度,数据库安全也间接受到威胁。当网络用户从数据库中读取到相应的数据并借助网络进行传输时,由于这些数据缺乏应有的安全保护措施,从而使得它们很容易被截取或是篡改,这也是当前互联网环境下数据库安全的主要问题之一。
此外,因为数据库当中存储着海量的信息,这些都是构建信息系统的关键,所以数据库及其所在的计算机的安全运行就显得非常重要。但是由于系统程序方面存在的漏洞,给黑客带来了可乘之机,当黑客利用这些漏洞侵入到系统中后,便可以获得相应的管理权限,从而随意对系统指令进行修改,致使网络数据库系统的安全受到严重威胁,甚至会导致系统瘫痪的情况发生。在互联网环境下,黑客已经成为威胁网络数据库安全的最大问题,并已经超过了计算机病毒的威胁程度,这必须引起我们高度的重视和关注,并采取行之有效地措施加以解决,以确保网络数据库的整体安全性。
2网络数据库安全管理的有效措施
2.1网络数据库的安全管理策略
网络数据库系统的信息安全主要依赖于以下两个方面:一方面是数据库管理系统自身所提供的一些管理功能,如用户名与密码识别、使用权限控制、审计等等,一般大型的数据库管理系统都具备上述功能;另一方面则是依靠应用程序设置的控制管理,常用的管理手段主要有以下几种:
(1)用户分类。大体上可将用户权限分为以下三类:①数据库登录权限。只有具备数据库登录权限的用户才可以进入到数据库系统当中,并对数据库系统提供的工具和程序进行使用。同时数据库系统的拥有者可授予此类用户查询数据和建立视图等权限,而被授予权限的用户也只能查阅数据库中的部分信息,并不具有更改数据库中数据信息的权限。②资源管理权限。对于具备资源管理权限的用户除了能够拥有上述用户的基本权限之外,还具有对数据库表、索引等数据库客体进行创建的权限,此类用户可在权限允许的范围之内对数据库中的数据信息进行相应的查询和修改,并且还可以将自身所拥有的权限授予其他用户,可申请审计。③数据库管理管理员权限。具有此类权限的用户将具备对数据库管理的一切权限,其中具体包括以下内容:访问任意用户的任何数据信息、授予及回收用户的各种权限、对各种数据库客体进行创建、数据库整库备份、全系统审计等等。由于此类用户的工作性质是全局性的,故此只有非常少数的用户属于该类型。
(2)数据分类。虽然一些用户具有同一类权限,但是他们对数据库中的数据管理和使用的范围却可能是不同的。所以,数据库管理系统提供了将数据分类的功能,即建立视图。管理员将某个特定用户可以查询的数据逻辑归并起来,简称一个或多个视图,然后赋予相应的名称,再将该视图的查询权限授予给一个或多个用户。这种分类方式最大的优点是可进行较细的分类,它最小粒度为数据库二维表中一个交叉的元素。
(3)审计功能。一些大型的数据库管理系统都会提供审计功能,这也是较为重要的安全措施之一,该功能可以监视用户对数据库施加的动作。常见的审计方式有两种,一种是用户审计,另一种则是系统审计。其中用户审计时,数据库管理系统的审计系统会记下一些相关的信息,如对视图进行访问的企图、实施操作的用户名、操作时间、操作代码等等。通常这些信息都是记录在系统表当中,借助这些信息用户便可以进行审计分析;而系统审计则是由系统管理员负责,审计内容主要是系统一级命令以及数据库客体的使用情况。经过大量的实践验证,采用以上几种手段可以有效地确保网路数据库系统的安全性。
2.2网络数据库安全的技术措施
(1)访问控制技术。对于网络数据库系统而言,确保安全最为重要的方法还是访问控制。访问控制是信息安全保障机制的核心内容,并且也是实现数据完整性和保密性机制的主要手段,通过访问控制可以有效地限制访问主体对需要保护资源的访问权限,从而确保系统在正当、合法的范围内使用。访问控制在数据库安全中的运用所需控制的行为具体有以下几类:数据读取、可执行文件运行以及发起网络连接等等。目前常用的访问控制方式主要有DAC(自主访问控制)、MAC(强制访问控制)和RBAC(基于角色的访问控制)。
(2)加密技术。①MD5加密。目前,MD5加密技术已经被广泛应用于网络系统当中,该技术可以有效地确保数据的安全性,它的基本原理如下:当用户登录时,系统会将用户输入的密码计算成MD5值,并与保存在文件系统当中的MD5值进行比较,由此确定出用户输入的密码是否正确,这样系统便可以在不知道用户密码的明码的条件下,确定出登录系统的用户是否合法。采用这种加密技术以后,可以防止用户的密码被具有系统管理员权限的用户知道,同时还能进一步增强密码被破解的难度。MD5是将任意长度的字节串转换成为一个128bit的整数,这是一个不可逆的字符串转换算法,故此就算知道源程序和算法描述,也不能将MD5值还原成原始的字符串,从而可以有效地确保数据安全;②Access的加密方法。虽然网络数据库的种类较为繁多,但是目前应用较多的还是由微软发布的Access。对该数据库管理系统的加密方法是手动设置数据库密码,采取这种加密方法时应对数据库进行备份或是将其存储在一个相对较为安全的位置上。(来源:《计算机光盘软件与应用》杂志 编选:)
参考文献
[1]张念.罗红.金元元.混合加密技术在电子商务数据库安全中的应用[J].西华大学学报(自然科学版),2008(4).
[2]王超.网络信息与数据库安全研究与应用[A].2008年中国计算机信息防护年会暨信息防护体系建设研讨会论文集[C],2008(6).
[3]怀艾芹.基于SQL Server的高校OA系统数据库安全技术研究[J].计算机与数字工程,2010(10).
8月15日,《2017年中国互联网网络安全报告》正式发布,报告总结了2017年中国网络安全形势,从总体数据来看,移动终端的网络安全威胁呈上升趋势。
数据显示,2017年我国境内感染计算机恶意程序的主机数量约1256万个,同比下降26.1%,而移动互联网的恶意程序超过了253万个,同比增长23.4%。专家表示,当前互联网虚拟空间与现实空间安全危险叠加交织,给人民群众切身利益带来严重影响。
国家互联网应急中心运行一部主任 严寒冰:联网智能设备方面的网络安全的漏洞,我们在2017年监测的数量比2016年增加了100%多,而2018年(上半年)又比2017年上半年有了一定程度的增加,这实际上说明我们在新型的这种联网设备方面都存在着巨大、严峻的挑战。
现在,包括住址、身份信息、银行账号等很多个人隐私数据均存在手机上,目前手机最主要安全威胁来自恶意程序。
