首頁 >
				文章中心 >
				網絡安全等級保護制度條例
			
          
		
          
		
		
          
			
          
				
				
          
					
          
						
          網絡安全等級保護制度條例
          
						
          
					
          					
					 
           
          前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全等級保護制度條例范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
           
          網絡安全等級保護制度條例
           
          網絡安全等級保護制度條例范文第1篇
           
           [關鍵詞]等級保護;等級備案;等級測評
           
           doi:10.3969/j.issn.1673 - 0194.2017.04.115
           
           [中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194(2017)02-0-02
           
           0 引 言
           
           隨著全球信息技術的快速發展,我國國民經濟的繁榮和社會信息化水平的日益提升,信息安全已上升為國家層面的重要內容。為進一步提高信息安全保障工作的能力和水平,2016年國家網絡安全宣傳周首次在全國范圍內統一舉辦,并首次在地方城市舉行開幕式等重要活動。由此信息安全等級保護制度也越來越成為信息社會必不可少的一項制度,等級測評工作也將隨之逐步成為一項常規化工作,對保障國家網絡安全具有重要意義。下文對信息安全等級保護的概念及發展狀況進行梳理。
           
           1 信息安全等級保護的概念
           
           信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作,是國際上很多國家都實施的一項信息安全工作。在中國,信息安全等級保護廣義上是為涉及信息安全工作的標準、產品、系統、信息等依據等級保護思想確立的安全工作;狹義上一般指信息系統安全等級保護。
           
           2 信息安全等級保護的發展歷程
           
           全球化網絡快速發展的同時其脆弱性和安全性也日益彰顯,西方發達國家制定了一系列強化網絡信息安全建設的政策和標準,其核心就是將不同重要程度的信息系統劃分為不同的安全等級,以便于對不同領域的信息安全工作進行指導。鑒于此,我國相關部門和專家結合我國信息領域的實際情況經過多年的研究,于1994年由國務院下發了《中華人民共和國計算機信息系統安全保護條例》,首次提出了信息安全等級保護的概念,用于解決我國信息安全問題。之后經過了十幾年的摸索和探究出臺了一系列從中央到地方的政策法規,并實施工程。從計算機系統的定級到等級保護測評,信息安全工作逐步完善。詳情見表1。
           
           隨著國家對信息安全工作的重視以及各類等級保護規范標準的出臺,各行業及監管部門迅速發文響應并落實行業內信息系統安全等級保護工作。建立、健全信息安全管理制度,落實安全保護技術措施,全面貫徹落實信息安全等級保護制度。目前,國家已出臺70多個國標、行標及報批標準,展開了對所屬安全系統進行先定級后測評的工作。
           
           3 信息安全等級保護具體實施過程
           
           信息安全等級保護具體的實施過程,如圖1所示。
           
           3.1 定級
           
           2007年開始在全國范圍內進行信息系統等級保護的定級工作。四級以上的定級要求請國家信息安全保護等級專家評審委員會評審定級。此項工作歷時一年基本完成。
           
           定級標準為公安部66號文件。主要依據是《信息系統安全保護等級定級指南》(國家)或行業制定的定級指南。對于等級的劃分,見表2。
           
           定級注意事項
           
           第一級信息系統:適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。
           
           第二級信息系統:適用于縣級一些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如:不涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統,地市級以上國家機關、企事業單位網站等。
           
           第三級信息系統:一般適用于地市級以上國家機關、企事業單位內部重要的信息系統;跨省或全國聯網運行的用于生產、調度、管理、指揮、作業及控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省門戶網站和重要網站;跨省連接的網絡系統等,例如,網上銀行系統、證券集中交易系統、海關通關系統、民航離港控制系統等為三級信息系統。
           
           第四級信息系統:一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全、影響社會穩定的核心系統。例如:電信骨干傳輸網、電力能量管理系統、銀行核心業務系統、鐵路票客系統、列車指揮調度系統等。
           
           第五級信息系統:適用于國家特殊領域的極其重要系統。
           
           3.2 等級備案
           
           已運行的系統在安全保護等級定級后30日內,由運營、使用單位到所在地區的市級以上公安機關辦理備案手續。新建的系統,在通過立項申請后30日內辦理。將定級情況報各地公安部門備案。
           
           辦理備案手續時備案單位需向公安機關網監部門提交以下備案材料。①《信息系統安全等級保護備案表》紙質材料一式兩份。該表由“等級保護備案端軟件”生成,操作時請詳細閱讀軟件使用說明書。第二級以上信息系統備案時需提交表中的表一、二、三;第三級以上信息系統還應當在系統整改、測評完成后30日內提交表四及其有關材料。②《信息系統安全等級保護定級報告》紙質材料一式兩份。每個備案的信息系統均需提供對應的《信息系統安全等級保護定級報告》。
           
           ③備案電子數據。每個備案的信息系統,均需通過“等級保護備案端軟件”填寫信息,以壓縮文件(RAR格式)方式保存。
           
           3.3 對照等級標準和要求進行安全建設分析整改
           
           備案工作完成后,需要對照所定的級別對信息系統進行安全建設整改。從滿足政策、滿足標準和滿足用戶需求入手,有條件的單位可以請專業機構幫助給出整改意見,在技術和管理兩個方面進行整體規劃和設計。在設計過程中要考慮近期和遠期規劃,從而給出總體和詳細的方案,特別要把技術體系、物理安全、管理安全、應急與災備全面進行細分,細分為不同的子項,分項完善。之后就可以進入具體實施操作階段。
           
           3.4 等級測評
           
           信息系統完成建O整改實施操作之后就可以進行等級保護的測評。等級保護測評工作需要由有“DJCP”(公安部信息安全等級保護測評)認證的測評機構來完成。有“DJCP”資質的機構在“中國信息安全等級保護網”可以查詢到。測評時間一般為一個月。測評過程如下。
           
           (1)測評準備階段:召開項目啟動會布置測評需要準備的材料(系統拓撲圖、規章制度、設備參數等),測評機構根據提供的材料準備下一步的測評工具和表單。
           
           (2)測評方案編制階段:測評機構針對測評對象制定測評指標,填寫測評內容,并編制測評方案書。雙方進一步溝通測評時間及測評場地的測評內容和測評流程。
           
           (3)現場測評階段:測評機構按照測評方案的測評內容對項目中的管理和技術測評項進行逐一的測評,記錄測評相關數據。需要注意的是在現場測評過程中盡量不要影響被測系統的正常運行。可以選擇錯開業務高峰期或下班后的時間。為了保證被測系統不受影響,系統維護人員應在現場進行配合。
           
           (4)報告編制階段:測評機構根據測評內容和數據進行整理,給出測評報告,告知風險點和測評發現的問題。
           
           測評結果有三種:不符合,即未通過測評;部分符合和全部符合,后兩種為通過測評。
           
           在等級保護測評方面,按照要求,三級的信息系統應當每年至少進行一次安全自查和安全測評;四級的信息系統應當每半年至少進行一次安全自查和安全測評;五級的應當依據特殊安全要求進行安全自查和安全測評。
           
           4 信息安全等級保護的發展現狀
           
           隨著信息技術的不斷發展,云計算、移動互聯、物聯網、工業控制、大數據等概念的出現對信息系統等級保護提出了新的要求。在新技術應用背景下,等級保護的標準和規范也將隨之不斷調整,信息系統和測評機構都需要不斷提高自身的技術能力以適應新技術發展的需求。保證信息系統的循序建設和長期穩定的運行,是等級保護建設的重要意義。
           
           主要參考文獻
           
          網絡安全等級保護制度條例范文第2篇
           
            
           
           1信息安全管理系統現狀
           
            
           
           信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點,是信息安全管理中的重要組成部分。目前我國的信息安全管理系統還尚未完善,其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存,從而導致大量文檔的丟失;其次,如果信息安全管理系統不完善,就不能降低資產等的風險評估以及對資產進行集中式的管理;最后,由于信息安全系統中各個報表功能的不完善,文檔信息就無法快速、準確地透露出信息安全的實際狀況,從而起到有效地保護作用。
           
            
           
           信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析,從而得出資產的精確風險值,識別系統中存在的重要因患資產,并進一步通知信息管理員采取適當地方法來減少隱患事件的發生,通過科學的管理降低企業的資產風險。由此可見,完善的信息安全管理系統是不可或缺的,它一方面決定著信息安全管理體系的具體實施,另一方面也可以促進企業信息安全管理體系的進一步維護與建設。
           
            
           
           2信息安全管理系統標準
           
            
           
           科學統一的國家信息安全標準,有利于協調與融合各個信息安全管理系統的工作,充分促進信息安全標準系統的功能發揮。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分。
           
            
           
           2.1ISO/IEC27000系列標準
           
            
           
           1995年,英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分,并進一步成為目前信息安全管理體系的主要核心標準。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善,這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施。它意在風險管理的基礎之上,用風險分析的途徑,把發生信息風險的概率降到最低程度,同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則,以及11項需要有效控制的項目,其中包括安全策略、安全組織、信息安全事件管理、人力資源安全、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。
           
            
           
           2.2信息安全等級保護
           
            
           
           1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》,該項基本制度的主要目的在于提高信息安全保障能力的水平、保障并促進信息化的健康與發展,從而進一步維護國家安全、社會發展以及人民群眾的利益。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則]是在TCSEC的分級保護思想基礎之上,針對我國信息安全的發展實際進行改善,最終把安全等級縮減成更具可操作性的5個級別。《GB/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類,其中前者主要包括系統建設管理、安全管理制度、系統運維管理、安全管理機構和人員安全管理;后者主要包括應用安全、網絡安全、物理安全、主機安全以及數據安全與備份恢復。此外,信息安全等級保護的系列標準里還包括(〈GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求。
           
            
           
           3信息安全管理系統的模型設計
           
            
           
           根據信息安全管理系統標準,結合以往的信息安全管理系統設計,提出一種新型的四層信息安全管理系統:
           
            
           
           第一層是數據庫層:包括日志、資產庫、異常日志以及資產弱點庫和資產風險庫等。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲。
           
            
           
           第二層為功能模塊層:包括資產管理、風險管理、弱點管理、信息安全管理規范下載管理資產等級評估管理、拓補管理以及日志分析。
           
            
           
           第三層為信息采集:主要包括人工脆弱性檢查、漏洞掃描工具以及日志采集系統三部分。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件。
           
            
           
           最后一層為展示層:它包含某個具體業務系統中的業務系統整體安全狀況、資產安全狀況、業務系統拓補以及異常安全事件等相關部分。
           
            
           
           上述新型信息安全管理系統模型主要體現出以下六點創新之處:
           
            
           
           (1)所設計的風險模塊管理可以把風險評估常態化、主動化,使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析;另外,該信息安全系統的日志審計功能也可以實現被動式的安全管理,從而使主動管理與被動管理在信息安全管理系統中充分融合。
           
            
           
           (2)業務系統的動態建模和系統支持資產,可以把業務系統和資產二者綁定在一起,由此,整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下,其單獨資產的具體安全狀況;另一方面該信息安全系統還能夠根據IS027001的具體標準,反應出整個資產所承載的整體業務系統的安全狀況。
           
            
           
           (3)該新安全管理系統增加并促進了拓補管理功能的發揮。
           
            
           
           (4)該信息安全管理系統模型提供了統一的知識庫管理,能夠對日志、資產庫、異常日志以及資產弱點庫和資產風險庫等部分進行更有效的數據存儲與管理。
           
          網絡安全等級保護制度條例范文第3篇
           
           關鍵詞:計算機;網絡安全;防護措施
           
           引言
           
           隨著互聯網的廣泛應用,計算機技術、互聯網的飛速發展給社會帶來了便利,如今計算機網絡已經應用于我們的各個領域,以網絡方式獲取和傳播信息己成為現代信息社會的重要特征之一。網絡技術的成熟使得網絡連接更加容易,人們在享受網絡帶來的信息服務便利性、靈活性的同時,卻也面臨著諸多的不安全因素,黑客攻擊、計算機病毒擴散、網絡犯罪等不僅影響了網絡的穩定運行,也給用戶造成經濟損失,嚴重時甚至威脅到國家的信息安全。因此,確保網絡信息的安全、完整和可用,保障網絡信息安全已成為一項重要任務。
           
           1.計算機網絡安全的定義
           
           國際標準化組織(ISO)將計算機安全定義為: 能夠為數據處理系統建立和采取的技術與管理的安全保護,防止計算機網絡信息遭到人為破壞、變更、泄露,系統連續可靠正常地運行,網絡服務正常有序。因此,網絡安全必須有足夠強的安全保護措施,確保網絡信息的安全,完整和可用。
           
           2.當前計算機網絡安全面臨的問題
           
           2.1缺乏計算機網絡安全意識
           
           在日新月異的現代網絡環境里,人們每天都享受到計算機網絡帶來的便捷功能,但人們普遍對網絡安全的重要性缺乏充分的認識,有時被好奇心驅使或對黑客的破壞性缺乏足夠的認識,這些網絡保護措施不能夠充分發揮保護作用,互聯網用戶要有自身網絡保護意識,還要注意自身的網絡行為是否給他人造成危害意識,因此加強人們對網絡安全重要性的認識,樹立文明、安全上網、打擊黑客行為的觀念刻不容緩。
           
           2.2 計算機病毒的傳播:當前名目繁多的計算機病毒將導致計算機系統癱瘓,計算機程序和數據受到嚴重破壞,使網絡的效率和作用大大降低,使許多功能無法使用或不敢使用。
           
           2.3網絡黑客的破壞:黑客往往通過網絡系統的漏洞、網絡偵查攻入其他人員的計算機系統或者網絡系統,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息,做一些獲取機密信息,或者刪除數據等破壞性的事情,或有選擇地破壞信息的有效性和完整性。
           
           2.4網絡軟件的缺陷和漏洞:計算機軟件包括網絡軟件不可能沒有缺陷和漏洞的,而黑客正是首選這些漏洞和缺陷進行攻擊的。
           
           3.計算機網絡安全的防范措施
           
           3.1加強提高網絡安全的防范意識
           
           對于計算機網絡管理員而言,他們的安全意識以及職業道德的高低、安全責任心的強弱、專業技能和管理水平的高低,將直接影響到網絡系統的安全等級。要從根本上防范網絡安全威脅,就要對網絡技術人員進行網絡安全意識教育,進行規范化管理,要掌握基本的網絡安全威脅防范技術,管理好用戶口令密碼等重要信息,更重要的是提高他們的道德素質,提高網絡安全防范意識。同時要加強網絡安全條例的制定與執行,建立健全網絡安全管理制度。
           
           3.2安裝計算機殺毒軟件
           
           殺毒軟件是保障網絡系統安全的必要手段,能夠有效的清理主機中的病毒和木馬程序,有效的防止計算機病毒、木馬程序帶來的一些網絡安全隱患,甚至于造成計算機系統崩潰、重要信息的損壞、丟失等,因此在日常使用計算機的過程中,應該養成定期查殺病毒的習慣,并要隨時升級殺毒軟件和防火墻,要及時更新操作系統的安裝補丁等。
           
           3.3加強網絡隔離、入侵檢測技術
           
           網絡隔離技術(DMZ, Demilitarized Zone)是在網絡安全系統與非安全系統之間建立一個緩沖區,用來解決計算機網絡在安裝防火墻以后出現的網絡內部和外部不能訪問的問題。通過設置網絡隔離區,可以更加有效地保護內部網絡,因為相比普通的防火墻技術,網絡攻擊者又要多面對一個防衛關卡,DMZ通過檢測、限制跨越緩沖區的數據流,盡可能地提高對計算機網絡的安全保護。而人侵檢側系統(intrusion detectionsystem, IDS)則是在傳統的計算機網絡安全防范技術之上構建的,主要包括數據收集技術、攻擊檢測技術和響應技術等,對計算機網絡中用戶的各種行為進行分析、檢測、歸類,并對用戶使用計算機網絡信息與資源的過程中隱藏或包含的惡意攻擊行為做出識別,既可以對外部網絡環境、用戶行為進行監測,也可以對內網用戶行為進行監測、判斷,能夠對人侵的異常信號和用戶行為進行識別,并快速做出反應。在獲得授權的情況下,可以對外部入侵威脅直接進行響應和處理,從而有效降低了網絡外部威脅和破壞程度。
           
           3.4防火墻技術的使用。防火墻是一種確保信息安全的設備及軟件,處在內網和外網之間,所有內網和外網的通信數據都要經過防火墻,應用過濾防火墻技術能實現對數據包的包頭進行檢查,根據其IP源地址和目標地址做出放行或丟棄決定,但對其攜帶的內容不作檢查,能夠有效保護內網的安全。所以,應用防火墻技術,能夠有效的防范網絡安全威脅。
           
           4.結語
           
           在網絡信息化時代,計算機網絡的安全問題日益重要了,網絡安全時刻面臨著挑戰。因此計算機網絡安全工作是一項長期任務,計算機網絡安全不僅是技術問題,同時也是管理問題。我們只要從技術上及管理上建立嚴密的網絡安全防范體系,綜合運用各種網絡安全技術并進行規范化管理.就能為我們的網絡上的各種應用保駕護航。(作者單位:江西新干縣社會保障事業管理局)
           
           參考文獻
           
           [1]王東霞,趙剛.安全體系結構與安全標準體系[J].計算機工程與應用,2005,(8):149-152.
           
           [2]范偉林.關于計算機網絡安全問題的研究和探討[J].科技風,2009.(2).
           
          網絡安全等級保護制度條例范文第4篇
           
           【關鍵詞】互聯網 金融 犯罪 防控
           
           隨著互聯網技術的快速發展,互聯網正逐步滲透進經濟、金融、社會、民生等領域,改變人們的思維、行為習慣及投資、消費方式。與其他借助互聯網技術進行行業革新的領域類似,互聯網金融也隨著互聯網技術的不斷演進,經歷了不同的發展階段。從最早的各大商業銀行的“網上銀行”到如今以大數據、云計算、社交網絡和搜索引擎為基礎的互聯網金融業務全面勃發,互聯網金融實現了從單純的互聯網技術支持到互聯網業務的轉變。
           
           可以預見的是,在國家戰略層面實施“互聯網+”行動計劃的驅使下,具有人群覆蓋優勢、數據挖掘、分析優勢和平臺操作便利、無門檻等優勢的互聯網金融將實現進一步的發展,并迫使傳統金融行業進行革新。同時,由于自身處于方興未艾的探索階段,存在著從運營到監管層面的諸多風險。近來頻發的泛亞、e租寶、大大集團等p2p網絡借貸平臺的著名案件,只是互聯網金融存在風險的冰山一隅,全國3464家被監測的P2P借貸平臺,正常運營的僅有1876家,問題平臺約占46%,加之網絡金融詐騙手段翻新,案件層出不窮等現象,則為加強互聯網金融犯罪防控敲響了警鐘。
           
           一、大數據時代互聯網金融犯罪的類型
           
           所謂大數據,是指對信息爆炸時代產生的海量數據進行數據挖掘、分析,并為之所用的技術革新,它所承載的平臺主要集中于互聯網平臺。互聯網金融是最為典型的數據驅動型產業,它通過大數據實現信息挖掘、信用風險管理和資金轉移管理上的需求。但由于信息的無界性,一旦使用大數據的用戶懷有惡意目的,那么很可能釀成金融犯罪,目前我國典型的互聯網金融犯罪類型主要有以下3種:
           
           一是金融詐騙。互聯網金融詐騙主要有三類。第一類是網絡釣魚詐騙。這是互聯網金融犯罪最傳統也是最常見的犯罪方式。不法分子利用大數據盜取、收買用戶信息,通過傳播木馬、偽造釣魚網站、發送含有欺詐信息的電子郵件等引誘上當的方式,采取誘騙用戶自己劃轉資金或盜取用戶的賬戶密碼劃轉資金等手段對用戶實施網絡詐騙。由于第三方支付平臺在社會層面的廣為運用,目前,第三方支付已取代銀行卡詐騙成為網絡詐騙的最新作案工具。第二類是假造借錢行為。利用p2p網絡借貸平臺信用審核不嚴的漏洞,通過偽造個人身份信息、工作證明、銀行交易流水、資金用途、聯系方式等手段騙取借款,然后攜款潛逃。第三類是信用卡金額套取詐騙。通過虛構交易的方式,套取信用卡內金額。這兩類案件也層出不窮。
           
           二是網絡洗錢。不法分子一方面可以利用第三方支付平臺等進行洗錢和轉移贓款,而由于基于大數據的第三方支付平臺具有門檻低、高頻交易的特點,使贓款可以通過一系列復雜、快速的往來交易與資金轉移,混淆資金來源,實現資金的快速洗白;另一方面利用大量p2p借貸平臺對出借人審查不嚴格、游離于主流監管體系之外的漏洞,向p2p平臺大量出借贓款,再借由p2p平臺之手,將贓款轉移,脫離監管視線。值得注意的是,隨著國家有關部門逐漸加強對第三方支付平臺的監管,不法分子p2p網絡借貸平臺正在成為隱秘、安全、快捷的洗錢通道。
           
           三是非法集資。隨著p2p借貸平臺的紛紛涌現,以p2p為名義進行非法集資的案例近來呈高發態勢,主要表現為擅自成立金融機構進行非法吸收公眾存款等。一些不法分子未經過國家有關部門批準,組建p2p網絡借貸平臺,擅自開展向社會公眾融資業務。在業務開展過程中,偽造信用評級和資金托管平臺,許以高額利潤回報,吸取大量公眾資金,進行自我融資或期限錯配吸儲放貸,且產生的信貸存量沒有存貸比、準備金等“防火墻”設置,杠桿極度放大,一旦投融資失敗或發生客戶大量擠兌,大量客戶的資金血本無歸。2014年及之前的杭州國臨創投、深圳中貸信創、上海鋒逸信投,2015年的E租寶、大大集團,均因涉嫌非法集資而站在了輿論的風口浪尖。
           
           二、引起犯罪的風險原因
           
           一是隱私風險導致用戶信息容易泄漏。“大數據時代沒有隱私”,雖然是一句夸大的用語,但卻真實反映了互聯網上的海量信息在增加便利的同時給個人生活造成的負面影響。由于當前互聯網與現實世界的無縫銜接及網絡信息擴散的迅速化和無界性,用戶在現實世界及網絡上的每一次消費行為及個人所在地、行徑位置、健康和財務情況等基本信息都可以被挖掘和利用。而在大數據時代的互聯網金融環境中,隱私問題遠遠超出了常規身份確認風險的范疇,一旦被別有用心的人攫取,就可能為實施網絡詐騙提供前提條件。
           
           二是安全風險導致金融系統易受攻擊。由于互聯網金融服務基本上是利用計算機程序和軟件系統在萬維網平臺進行控制的,因此一旦承載網絡的物理平臺或網絡本身出現安全漏洞,就可能對金融系統或用戶財產安全造成致命影響。事實上,當前互聯網安全技術雖已趨于成熟,但遠不完美,加之網絡黑客活動的增長率居高不下,使得包括惡意攻擊和木馬病毒等其他安全隱患仍是當前互聯網金融系統的主要風險之一。在網絡黑客的攻擊行為中,既有針對用戶個人的盜取賬戶、密碼等犯罪行為,也有針對金融系統的入侵行為,輕則損失錢財,重則對金融秩序穩定造成危害。
           
           三是平臺風險導致金融行為缺乏規范。在互聯網金融體系中,以p2p網絡借貸平臺為代表的小微企業占據了半壁江山。這些企業普遍存在法律意識不強、運營管理不規范、信用不高等問題。很多企業由于沒有足夠的底線意識,在資格條件不具備、各項配套措施不完善的前提下,開展互聯網金融業務,游走于非法集資的邊緣,較易構成犯罪,大多數小微企業在用戶信用審核上做得不夠,為了迅速達成交易,缺乏正規的審查流程,合同的簽訂也不規范,而人民銀行征信體系又未覆蓋到位,使一些不法分子有可乘之機,進行網絡洗錢和惡意借錢的犯罪行為。
           
           四是監管缺位導致金融風險缺乏監控。目前,我國針對互聯網金融領域的法律制度建設嚴重滯后,行業準入的標準不清晰,金融監管的部門和相關權力不明確,互聯網金融企業開展具體金融業務的規范性要求也不明晰,導致違法邊際過大,產生了大量灰色地帶。這些灰色地帶由于監管缺位,被一些不法分子利用,不僅縱容了網絡洗錢、非法集資、網絡詐騙等犯罪行為,而且使互聯網金融行業出現了大量亂象,互聯網金融企業信譽、資質良莠不齊,影響了金融秩序的穩定運行和互聯網金融的健康發展。
           
           三、互聯網金融風險的防控對策
           
           一是加強立法立規,完善監管、樹立標準。梳理完善現行互聯網金融法律法規,國家層面出臺進一步促進互聯網金融發展的指導意見,省級層面出臺具體實施細則,在鼓勵各類市場主體運用互聯網、大數據、云計算等技術,對接各類金融資源,開展產品創新、技術創新、服務創新、管理創新和模式創新,打造互聯網金融品牌的同時,界定互聯網金融的范疇、準入門檻、運營規范、進出機制、監管主體及職責等問題,并構建多部門聯動的互聯網金融協同監管機制,切實加強監管。同時進一步完善相關法律,對互聯網金融在第三方支付、網絡金融理財、p2p網絡借貸、眾籌可能觸犯法律的行為特別是對互聯網金融技術的創新抵觸現行法律的行為,如涉嫌非法集資、非法證券交易等的行為,作出明確規定,出臺司法解釋。同時,修正完善個人信息保護、等互聯網金融配套法律體系,包括合同簽訂規范等在內的互聯網金融行為指引和國家標準等規范性文件,規范資本運作,保障金融秩序。
           
           二是加強網絡安全技術研發與管理。修訂完善《計算機軟件保護條例》、《計算機病毒控制條例》、《中華人民共和國計算機信息系統安全保護條例》等相關網絡安全法律,擴大適用范圍和調整對象,使之與大數據時代下的互聯網環境相適應,同時建立健全網絡信息安全管理體系,嚴格落實信息安全等級保護制度,加強互聯網金融企業網站規范管理,保障互聯網金融環境安全。進一步加強網絡金融基礎設施建設,以統一的標準和規范加強網絡安全系統的開發,以監測、預防、查殺可能的黑客攻擊行為及病毒程序,并在各互聯網金融企業強制安裝。此外,還要做好網絡安全及網絡行為風險的社會宣傳與教育,使社會公眾逐步建立良好的安全意識。
           
           三是利用大數據構建完善的信用風險機制。人民銀行利用大數據技術,進一步加強征信體系建設,擴大人群覆蓋范圍,特別是對小微互聯網金融企業服務對象的信用評級覆蓋。互聯網金融企業要利用大數據的挖掘、分析,對客戶的社交網絡信息、用戶申請信息等網絡行為進行深度的信息調查,同時加強客戶的信貸歷史挖掘,加強客戶信用數據的審核,對于有網絡洗錢、惡意借貸行為的對象,進行有效攔截。同時,要打通線上線下,采用先進的預測模型等策略,進行數據挖掘和信息分析,提高信用評估的決策效率,建立完備和科學的風控體系,降低違約風險,為客戶投資安全提供堅實保障,解決國內互聯網金融的信用風險管理問題。
           
           四是加強行業自律。建立遍布各省的互聯網金融協會,吸收省內有一定資質的互聯網金融企業成為會員,充分發揮互聯網金融協會的行業規范與自律作用,構建約束機制,組織會員簽訂行業自律公約,推動機構之間的業務交流和信息共享,營造公平的市場競爭環境。同時,完善互聯網金融企業信用信息公示和準入退出機制,一方面建立互聯網金融企業定期向社會、投資人信息披露制度,公布惡意行為人的黑名單,并開展投資者教育和金融消費者權益保護工作,引導社會公眾增強投資風險意識,另一方面,制定經營管理規則和業務標準,開展互聯網金融企業信用等級評定和公示工作,引導互聯網金融企業依法合規開展業務,對違法違規的互聯網金融企業進行社會公示并取消其協會會員資格。在此基礎上,互聯網金融企業樹立底線思維,深入了解與互聯網金融相關的法律法規問題,對違法違規行為堅決不觸及,并嚴格執行相關行業標準,規范運營管理的各個環節,共同促進互聯網金融的健康發展。
           
           五是加強對互聯網金融犯罪的偵防。公安經偵部門要跟蹤了解互聯網金融犯罪的主要類型和發展動態,對互聯網金融體現出來的涉案人員范圍廣,涉案金額高,犯罪主體專業化、手段智能化、反偵查意識強,電子數據成為主要的證據形式,衍生犯罪特點顯著等特點予以警惕,建立互聯網金融犯罪風險監測、預警和管控工作機制,利用大數據等新型技偵手段,努力發現、挖掘、提煉深層次、預警性信息,及時提出防范涉及互聯網金融經濟犯罪活動的工作意見,助力犯罪防控。同時,加強情報信息的收集和分析研判,做好電子數據證據收集、網絡信息查證和犯罪嫌疑人員追蹤等工作,打擊具體犯罪人員。此外,要對互聯網金融經濟犯罪的常見類型、慣用手法和動態特征開展多層面、多角度宣傳,提醒公眾理性投資,提升社會公眾防范意識和能力。
           
           參考文獻
           
           [1]劉坤,高春興.互聯網金融犯罪的特點與偵防對策研究[J].山東警察學院.2015(9).
           
           [2]中國人民銀行.中國金融穩定報告(2014)[EB/OL]. http:///a/20140429/1320967.shtml.
           
           [3]姚國章,趙剛.互聯網金融及其風險研究[J].《南京郵電大學學報.自然科學版》.2015(2).
           
          網絡安全等級保護制度條例范文第5篇
           
           【關鍵詞】信息安全管理;保險企業;體系構建
           
           0.引言
           
           保險企業的計算機信息安全管理給企業自身的發展帶來了非常多的好處,不僅能夠實現企業辦公的自動化和信息化,同時也提高了企業的運營效率。保險企業的信息化主要是保險企業以業務流程的優化和重構為基礎,在一定的深度和廣度上利用計算機技術、網絡技術和數據庫技術,控制和集成化管理企業生產經營活動中的各種信息,實現企業內外部信息的共享和有效利用,以提高企業的經濟效益和市場競爭力。從目前的保險企業來看,很多企業都已經開發了適合自己企業的計算機信息系統來滿足企業的運轉,企業通過開發計算機信息系統平臺,提高了自身產品、經營、管理、決策的效率和水平,進而提高了企業的經濟效益和競爭力。同時,我們也要注意到,保險企業開發計算機信息系統是好事情,但是如果忽略了對計算機信息安全的管理,就將是個大問題。在如今,計算機信息安全性對于保險企業來說比開發系統更為重要,企業一旦出現信息安全問題,后果不堪設想。有最新的數據表明,計算機病毒和黑客攻擊已經給國民經濟和企業造成了難以估量的損失。所以,保險企業計算機信息安全管理的體系構建迫在眉睫,必須要引起高度重視。
           
           1.保險企業信息安全管理的現狀
           
           計算機信息安全問題不是保險企業才存在的問題,是全球企業都存在的普遍問題,越發達的地區,信息安全存在的隱患越多。一方面,現在互聯網的發展速度非常快,信息技術的日趨完善,出現了很多的惡意攻擊工具,再加上信息系統本身的漏洞,讓一些破壞分子更是有機可乘;從另外一個角度來看,企業自身對信息安全管理不重視,也是導致出現信息安全問題的首要原因之一。近年來,保險行業處于高速發展的時期,暴露出的問題也相對比較多,我們應該重視起來。下面列出了當前的保險企業在信息安全管理上存在的主要幾點問題:
           
           1.1沒有相關的法規來約束
           
           與信息的安全有關的分散于各種法律、法規、標準、道德規范和管理辦法的條文較多,但尚未形成一個較為規范完整的保障信息安全的法律制度、道德規范及管理體系。同時現有的法規,由于相關安全技術和手段還沒有成熟和標準化,法規也不能很好地被執行。因此,保險行業的信息安全標準和規范的缺少和無體系化,導致保險企業不能很好的制定合理的安全策略并確保此策略能被有效執行。
           
           1.2沒有引起足夠的重視
           
           很多保險企業的管理層對信息安全管理不太關注,不夠重視,沒有投入足夠的人力、物力和財力去管理。大部分保險企業在公司治理上重點關注的是企業的業務規模發展,銷售策略調整,組織結構和運營流程的優化等,對信息安全管理不太重視,不太相信信息安全問題能給企業會帶來嚴重危機,直到發生了信息安全事件后之后才開始重視。因此,保險企業必須在公司日常治理中投入足夠的時間和精力去完善企業的信息安全管理體系。
           
           1.3對存在的風險評估不夠
           
           很多保險企業在設計搭建相關信息系統的時候對存在的風險評估不夠,沒有充分考慮到信息化所帶來的安全風險,通常只是考慮到信息技術問題,對于信息系統應用后出現的信息安全問題欠缺考慮。其實對信息系統安全風險不做評估或評估不充分,都會帶來嚴重的后果,一旦信息系統出現嚴重缺陷或漏洞的時,系統受到破壞,正常的業務操作無法進行,嚴重的可能會導致企業內部機密、客戶個人信息的泄露或者重要數據被盜、被篡改等。所以,保險企業面臨解決諸如系統本身缺陷、操作失誤等帶來的安全問題的。
           
           1.4沒有制定相應的安全管理條例,無明確責任劃分
           
           保險企業相關的信息技術安全之所以存在一系列的問題,和企業沒有制定相應的安全管理制度,沒有明確責任劃分等有很大的關系。沒有相關的信息安全管理制度去制約,出了信息安全問題以后的責任劃分不清晰,長此以往,信息安全問題的監管就會出很大的漏洞,也很難形成一個可控的信息安全管理體系。保險企業的信息安全管理應該是整個企業員工共同面對的問題,而不是企業某個部門或者某些個人能夠決定的事情。保險企業的信息安全管理應該有相應的制度和明確的責任劃分,每個部門都應該有信息安全的負責人,出了問題要做到有人承擔,如果不這樣的話就會影響到信息安全管理體系的構建,成為企業信息安全管理的絆腳石。
           
           所以,針對以上種種問題和現狀,保險企業必須要形成一個良好的信息安全管理體系,這樣才能從根本上解決問題,發揮信息化建設的作用,保障企業的計算機信息安全。
           
           2.保險企業計算機信息安全管理的體系構建
           
           2.1掌握安全管理標準,構建安全管理基本框架
           
           要熟悉掌握信息安全管理標準,對信息技術的安全管理標準要進行不斷深入的理解,不能僅僅考慮到信息技術,而忽視了信息安全管理。國際上對安全管理研究已經取得了一定的成果,推出了信息安全標準,成立了信息安全標準化組織,搭建了信息安全標準體系框架。在我國,雖然信息安全的研究起步比較晚,但是也在不斷的完善中,已經制定了適合我國國情的信息安全管理標準。我國提出的關于《計算機信息安全保護等級劃分準則》中就明確了安全管理的標準,主要把信息安全劃分成自主保護級、系統審核保護級、安全標記保護級、結構化保護級和訪問驗證保護級等五個安全程度不同的安全等級,根據這五級標準,也分別提出了關于建立安全管理體系的相關措施。所以,保險企業應該參考這些標準,構建適合自身行業、企業信息的安全管理基本框架,這對于企業的健康穩健發展是非常有意義的。
           
           2.2實現科學的信息安全管理
           
           保險企業要實現科學的信息安全管理,不能不考慮信息安全影響而隨意的進行信息管理。保險企業的信息安全管理應該要包括對機構安全管理和人員安全管理以及技術安全管理和場地設施安全管理。保險企業需要采用一些科學的方法,如科學化企業信息資產評估和風險分析模型法、設計完備的信息系統動態安全模型等,建立科學的可實施的計算機系統安全策略,采取規范的安全防范措施,選用可靠穩定的安全產品,設計完善的安全評估標準和等級,實施有效的審核措施等來實現對信息的安全管理。
           
           2.3進行有效的安全風險評估
           
           保險企業在搭建信息化平臺的時候,必須要進行安全風險的評估,沒有風險的評估是很難實現信息安全管理的。同時,還需要在對信息安全風險的評估中制定出風險的應對方案,便于應對突發問題,從最大程度上保證信息的安全。
           
           2.4合理配置安全產品
           
           對于評估出來的風險,保險企業可以對信息系統配置一些安全產品來規避信息安全風險。比如說系統存在一些漏洞,這些漏洞很容易受病毒的攻擊,那么企業可以配置一些能夠定期更新的殺毒軟件和防火墻來防止病毒的侵入。在配置產品的時候需要注意配置的合理性,不能什么安全產品都去配置,要通過最優化的安全產品配置達到企業信息的安全管理。
           
           【參考文獻】
           
           [1]許雅娟.網絡攻擊分類研究[J].硅谷,2011(06).
           
           [2]宋曉萍.TDCS網絡安全防護方案的研究[J].鐵道運輸與經濟,2006(11).
           
           [3]苗亮.計算機網絡可靠性的研究[J].機械工程與自動化,2010(03).