时间:2023-07-14 16:23:53
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇交通部网络安全范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
NHTSA目前缺乏安全协议法规以管理约1亿条用于控制现代汽车上多种功能的软件代码线路。
随着Wi-Fi使用越来越普遍,卫星广播和其他网络与汽车的连接变得越来越普遍,NHTSA署长马克・罗斯金德(Mark Rosekind)说,该机构必须确定其在管理这些系统的安全性中如何发挥作用,以及需要哪些工具来保证安全连接车辆系统。
就在一周前即1月15日,美国交通部宣布与18家汽车制造商达成安全合作协议,以提高汽车安全性并改善汽车召回的现状。这项被称之为汽车史上的历史性协议主要包括提高并促进主动安全、改善分析和预警报告(Early Warning Reporting)数据监测、最大化安全召回参与率以及提高汽车网络安全。
这18家汽车制造商包括本田、宝马、菲亚特克莱斯勒、福特、通用、现代、捷豹路虎、起亚、马自达、梅赛德斯-奔驰、三菱、日产、保时捷、特斯拉、丰田、大众、斯巴鲁以及沃尔沃。汽车制造商们纷纷表示愿与政府共同解决目前汽车和轻卡面临的网络安全问题。
罗斯金德表示,他们的努力取得了运输部长安东尼・福克斯(Anthony Foxx)的支持,但目前还不清楚该机构下一步还将采取哪些行动。
“我不知道是否将会出台法规或标准,或者是其他形式的监管,”罗斯金德在1月19日NHTSA举行的网络安全活动现场说,“但我不认为我们今年在采取网络安全行动上有任何问题”。
值得一提的是,今年是罗斯金德任期内的最后一年。在其任内,对汽车制造商的高额罚款创下纪录,并通过了严格法令赋予NHTSA严格的监督权。就在上周,罗斯金德和他的老板美国运输部长安东尼・福克斯(Anthony Foxx),将注意力转向了汽车安全的新范式――即罗斯金德所说的“积极的安全”文化,在他们即将离任前将在美国扎下根基。
去年夏天,汽车网络安全已经被推到了聚光灯下,研究人员查理・米勒(Charlie Miller)和克里斯・瓦拉赛克(Chris Valasek)与一位杂志记者一起工作时,利用切诺基的信息娱乐系统网络的脆弱性,证明他们可以远程控制各种功能,如车辆的转向和刹车。
汽车制造商们担心NHTSA对网络安全的规定可能需要花费数年时间来制定,并可能阻碍创新的发展。与此同时,随着车辆越来越多地与互联网连接,以及自动驾驶技术进入市场,他们不否认安全是一个关键的问题。
在此次会议上,该小组成员确定了各种潜在的威胁,包括所谓的勒索、或旨在通过削弱车辆软件控制向车主勒索钱财的恶意软件。
另一个讨论主题是如何修补车载信息娱乐系统的漏洞,以及是否在安全更新可以安装前这些功能都应被禁止。
罗斯金德说NHTSA组织了全天的活动,召集了汽车制造商、供应商、政府官员和研究人员,部分原因是为了帮助确定该机构在监督汽车网络安全中的作用。
“很明显,我们是一个能够创立所需任务的机构,”他说。
他承认会担忧对创新有所阻碍,但仍表示安全是其首要关注的问题。对于整个行业需要广泛应用的安全关键性问题,“就是你需要监管的。”他说。“在一些安全领域,则需要100%地采用。”
汽车制造商已经迈出第一步,利用网络安全的更广泛的方法,通过推出了信息共享和分析中心(Information Sharing and Analysis Center,简称ISAC),作为一个信息交流中心以共享网络威胁信息。
近年来,随着人们生活水平的提高,对高级生活质量心理诉求的发展,旅游业规模正在逐年迅速增长。与此同时,全球旅游电子商务连续5年以35%以上的速度增长,一度占到全球电子商务总额的20%以上。在这样的背景下,研究我国旅游业电子商务的应用有着典型的意义。
1 旅游业电子商务发展的背景
1.1 旅游电子商务的概念:电子商务泛指一切通过电子方式开展的贸易活动。旅游电子商务是指在全球范围内通过各种现代信息技术尤其是信息化网络所进行并完成的各种旅游相关的商务活动、交易活动、金融活动和综合服务活动。
1.2 旅游电子商务的特点:旅游业是典型的信息密集型和信息依托型产业,是最适合应用电子商务系统、提高顾客服务水平的行业之一。在旅游业中应用电子商务,可以为游客提供更加个性化、人性化的服务。旅游电子商务具有三个特性,即聚合性、有形性、服务性。网络时代,电子商务营运成本低、用户范围广、无时空限制、能同用户直接交流。这无疑能提高顾客满意度,赋予旅游业无限的生机和活力。
1.3 旅游电子商务的现状:在欧美发达国家,旅游电子商务已经取得了巨大的成效,是整个电子商务领域最大、最突出的部分。我国旅游电子商务还处在初级阶段,与发达国家相比还存在较大差距。国内网民登录旅游网站仅限于携程、E龙旅行网几个大型网站,网民在网上旅游预订也局限于机票、酒店的预定。目前,我国旅游业应用电子商务的总体水平很低,信息服务能力有限,国际竞争力较弱。
2 旅游电子商务存在的问题
2.1 旅游企业不重视:大多数旅行社包括一些知名旅行社都认为,目前大多数消费者依然凭借传统的服务方式选择旅游公司,因而忽视了应用电子商务系统所能带来的潜在收益。从成本角度考虑,建设电子商务网站需要较大支出以购买相关软硬件设备、引进人才,但是相应的回报却难以保障。从实施角度,电子商务是新生事物,旅游公司没有相关经验和人才,不清楚如何着手开展电子商务。
2.2 旅游网站信息匮乏:很多旅游企业即便建设了网站,网站上也只是进行一些诸如景点、旅游路线、旅游知识等介绍性的描述,还没有充分利用电子商务在商家与顾客之间架起“直通桥”,也不能提供全面的、专业的、实用的一整套的旅游服务,不能尽显网上旅游的无限魅力。旅游网站功能非常简单,具体表现在以下几个方面:网站功能简单,内容更新不及时,搜索功能差,网络广告形式单一,虚拟社区没有发挥应有的作用:网站不能给浏览者的留言予以及时回复。
2.3 旅游企业人才缺乏:目前,旅游网站信息构建所需的硬件和软件都已比较成熟。旅游网站的建设、运营和管理涉及多方面的知识,从业人员不但要具备较高的网络技术、电子商务知识,同时还应具备旅游专业知识、市场营销及管理等方面的知识。事实上,现在缺乏既熟悉电子商务又精通旅游业务的复合型人才。正是由于人才的缺乏,致使旅游公司的电子商务不能顺利开展和发展壮大。
2.4 公众对网络安全缺乏信心:目前,影响网上交易的阻力之一就是安全问题。电脑病毒和非法闯入等均构成对电子商务网络系统的威胁。很多用户不愿意进行网上支付是因为担心网络安全没有保证,以致自己的信用卡等资料被网络黑客窃取造成损失。除此之外,就是网上做交易需要进行一系列的用户认证程序,用户大量的隐私被暴露在网上,这使得越来越重视隐私权的公众不愿意进行网上交易。目前,在线的网上支付尚未真正解决,仍大量沿用“网上交易,网下支付”的支付模式。 2.5 电子商务信用安全有待加强:尽管电子商务发展迅速,但是普及率还有待加强。据调查,目前我国有网购行为的网民还局限于年轻人,广大的有经济实力的中年人并没有发展起来,除了一部分人不会使用电脑以外,更大的原因是因为人们对电子商务信用的顾虑。如旅游公司景点描述不符,旅游团队组成夸大宣传,纪念品以次充好等。如何保证旅游公司在网络上的宣传所述属实,如何保证旅游公司本身的信用,成为进一步开拓旅游网络市场的问题。
3 旅游电子商务发展对策
3.1 领导作用,专人负责:旅游企业想在当今信息化社会立足,就必须明确开展电子商务的决心。企业领导要足够重视,起到模范带头作用,领导全公司开展电子商务,制定负责人管理电子商务质量。开展电子商务不能局限于建立网站,更要宏观规划统筹全局,保证电子商务质量管理有效进行。包括旅游电子商务网站策划、旅游电子商务网站建设、旅游电子商务网站运营与维护、网络营销和网络支付、做好电子商务盈利模式分析。
3.2 统筹全局,加强合作:首先,积极加强与酒店旅馆、旅游景点、特产经销商、银行和交通部门等部门合作,保证商流、物流、资金流、信息流和游客流这“五流”顺畅运行。酒店旅馆、旅游景点、特产经销商、银行
和交通部门可以推行电子票务、电子消费券。其次,积极加强与交通部门的合作,推行电子票务(机票、车票、船票等),抢占市场份额。电子票务的出现可以提高供需双方的效率,节约印票、取送票的成本。此外,还得加强与银行合作,解决网上安全支付问题。 3.3 校企合作,引进人才:旅游企业开展电子商务需要的许多负责网站日常建设与维护的工作都是这些学生学过的专业课程,优秀的学生们是能够胜任的。企业可以挑选一些优秀的电子商务专业学生,负责网页设计及内容更新等工作,进而负责系统设计和开发工作。同时,可在学校里聘请一些知名的教授或者熟谙前沿知识、有影响力的教师学者指导。还可以和学校开展“校企合作,任务教学”活动,在课堂上安排实际任务,这样学生学习也有的放矢,企业也可以从各个项目中获利。
3.4 加强网络安全建设:网上交易能否做到保密和安全将直接关系到买卖双方的利益,安全问题是推广电子商务的关键。企业自身首先要加强安全保护措施,如从事电子商务的旅游网站要安装确实有效的防火墙,防止“黑客”攻击,保障网民的隐私权和财产安全,使游客对网络安全有信心,敢打开页面,敢在网上支付。电子商务已经逐渐成为世界经济的新热点,其安全性的措施随着信息化的深入而要求越来越高,必须同步升级,不断改进。
转眼间,寒假和春节就要来临。为了保证同学们过一个平安、欢乐、祥和的寒假与春节,希望同学们在假期要注意以下几点:
一、防盗、防火、防触电。
一个人在家的时候要关好门窗,如果有陌生人敲门的话,千万不能开门,不可轻易相信陌生人的话。注意室内电器、煤气等的安全,对于自己不熟悉的家电器不要随便碰触和使用,以防触电、火灾和煤气中毒等事件的发生。
二、 要强化自我管理。
不看不健康的电影、录像、书刊;不进游戏室、网吧等限制未成年人进入的场所;在家上网时,也要注意注意网络安全,在网上,不要轻易给出能确定身份的信息,如:家庭地址、学校名称、家庭电话号码、密码、父母身份、家庭经济状况等信息。
三、防交通事故、防拐骗。
寒假期间,正逢春运,交通比较拥挤,人流量较大,因此同学们在外出时,要尽量结伴而行,严格遵守交通规则,不要去乘做未经交通部门检验通过无证、无牌及违章超载的车船,避免人身和财物的意外损失。家中有车的同学,要提醒家长驾车时不超速,不超载,不疲劳驾驶,文明行车。不要轻易和陌生人聊天,更不能吃、喝陌生人给的东西,如果遇到困难直接找警察叔叔帮忙。
四、春节期间,走亲访友聚餐宴会较多,同学们不要暴饮暴食,更不要醉酒,酗酒,注意身体健康。
此外,不要参与各种形式的封建迷信和赌博活动,从小养成“崇尚科学,远离”的良好习惯。
五、不放烟花爆竹,防止炸伤、烧伤和火灾。
特殊情况下要放的,也要注意安全,要在长辈的陪同下燃放。燃放时首先应注意的是要选择在空旷的地方燃放,防止引起火灾,避免伤到行人;第二:在购买烟花爆竹时一定要选择在正规的经过批准的店内购买,这样才能保证质量可靠,燃放时才能减小意外的发生;第三,在燃放时一定要按照说明使用,切不可对人、对物燃放。
六、下面是几个常用紧急电话,同学们一定要记住:警情110、火警119、急救120。
一、档案管理实现信息化的必要性
档案管理的信息化,是指档案的管理是通过信息化形式向社会提供服务,改变以往是以档案实体保管作为重点。
交通档案管理的信息化建设,指的是通过使用计算机网络对交通系统的档案、资料等进行管理,从而达到便于使用者进行查找档案。这对大量的交通局档案的管理带来很大的便利,可以实现档案实体的信息化,并对档案信息资源进行分类、分析、提取和加工,能提高档案管理的工作效益。由于电子档案更便于保存、修改和查询,并且,可以利用网络进行快速传递,从而提高档案管理的利用效率,降低档案管理成本。因此,交通局的档案管理必须进行信息化建设。
1、信息收集方便。交通档案管理的信息化建设,在收集档案和存储档案的时候是通过OCR识别、图像扫描以及手工输入等手段来实现的,档案资料都是通过数字化的信息进行存储,因此,在进行信息收集时比较方便。
2、信息处理方便。交通档案管理的信息化建设,通过交通档案管理的信息化,既方便了信息的编制和处理,还有效的节约了储存空间,因此,在进行处理的时候非常方便。
3.信息储存方便。交通档案管理的信息化建设,在储存信息时是在大容量硬盘、光盘更新以后,这样既消除了储存环境对资料保存的影响,又有效的节约了空间,使得交通档案在储存的时候变得非常方便。
4.信息检索方便。交通档案管理的信息化建设,在进行信息检索时候,可以迅速的在许多的资料里,瞬间定位到自己要查找的资料,因此,建设交通档案管理的信息化最为明显的优势便是能够很好的方便用户使用。
二、交通档案管理的信息化建设意义
交通档案管理的信息化建设是非常重要的,在交通管理中也将会起到巨大的作用:
1、利用计算机对文献信息进行再次加工,能够有效的缩短交通档案的加工时间,从而提高信息的有效性、准确性,使其更方便提供有效信息,提高工作效率。
2、档案管理的信息化建设,能够通过一次资金的投入,获得多次的成果。在进行信息加工的时候,交通档案管理可以弥补在管理过程中存在的资金缺乏的等问题。此外,通过建设交通档案的信息化,能够利用计算机平台,将信息成果在交通网站中进行公布,很好的实现了信息管理工作和新技术的结合,提高工作的时效性与有效性。
交通档案的信息化建设的主要内容有硬件建设、软件建设、电子档案的收集和纸质资源电子化以及档案的规范建设、标准建设和人才队伍的建设等。
三、交通信息化档案管理的策略
1.档案管理信息化人才队伍培养。专业的人才队伍,是保证档案管理信息化建设工作能够顺利有序开展的坚实基础。首先,要认识到档案管理的重要性,提高领导重视程度。其次,为档案管理信息化建设配备人才。在人才招募中要多招纳专业人才,对于只会传统档案管理的人员,要进行信息技术的培训。
2.加大交通档案管理信息化建设的资金投入,硬件和软件设施投入是必须的。例如购买档案管理系统,计算机、打印机、扫描仪和数码存储设备等。
3.加大硬件设施投入。一些硬件设施是信息化建设必须的,比如数据库服务器用房和办公等,其中防火、防水都是必须做好的工作,空调机、除湿机和灭火器都需要投入,保持室内洁净度。
4.加快数字化档案馆建设,保证信息安全。建立有效的数据库,利用局域网优化馆藏资源,通过数字设备对纸质的档案进行文字、图形和表格的扫描,将纸质档案变成可存储的数字资源。此外,要做好网络安全防范体系的构建工作,做好数据库系统和局域网的安全管理,避免非法操作。对于重要的信息要加以适当的权限,非档案管理员不能登录系统。要对信息管理系统进行定期维护、升级,保证馆藏资源信息的安全。
5.建立起一个实用的档案信息网站。档案网站是交通档案部门在网上建设的信息网站,一般以网页形式给人们提供相关的档案信息和服务,进行档案信息的网上咨询、查找、电子文件的实时归档及直接提供使用。这是档案信息化的主要目的,同时,也是档案数字化的重要标志和重要手段。
在档案的信息化建设中,应该把档案的管理系统纳入事业单位的管理信息系统,构建一个一体化系统,实现资源共享,从而获得档案管理的综合效益和系统效益。还应选用那些使用有升级能力和开发能力的档案信息管理系统,这是实现档案管理信息化的一种重要条件。软件适应了网络管理的需求,具有强大的检索功能,才能够充分发挥计算机网络的优势。建设信息档案的网站时,要选用标准化的设备。
6、逐渐实现档案管理的信息资源的数字化。档案信息化建设的一个重要的前提和基础,是档案信息资源的数字化,这也是对档案原件进行保护的种重要方式。档案数字化应该通过使用先进的信息手段,把档案部门的各种物质载体形式加工转化成数字化的信息,建立起档案全文数据库和档案目录数据库,并在网上,以提供服务。
四、档案管理信息化存在的问题
1.信息化平台维护及更新速度问题。在档案进行信息化的过程中,会出现很多信息比较老旧的问题,这主要体现在新近档案的内容更新及信息化管理平台模块设置的更新上。
2.信息化平台的使用率问题。我们进行档案管理信息化的主要目的有两个:一是通过信息化精简档案管理的诸多环节,降低行政成本;二是通过信息化平台的使用,让更多需要查询相关档案资料的信息需求者能够及时准确地搜索到自己想要的信息。
3.从事档案管理人员的综合素质问题。随着信息化管理的推进,从事档案管理的人员会在以下几个方面出现问题:一是应用的计算机技能跟不上技术发展的节奏;二是对于信息平台的具体内容及应有缺乏足够的知识;三是面对越来越多的信息需求量,不能很好地做到服务意识的转变。
从视互联网为洪水猛兽的被动信息化阶段,到以信息化带动工业发展的主动信息化阶段,历史性跨越只用了短短的一年时间。
随着信息化浪潮的逐层推进,我国信息化建设已经逐步进入深水区。
据统计资料显示,2012年全国光纤普及用户数达到9400万,几乎是2012年年初计划量的3倍。
与此同时,地方宽带普及率也有很大提高,尤其是农村宽带工程发展很快。去年新通了宽带的行政村新增1.9万个,普及率已接近80%。此外,提速工程促使基础设施方面改进明显。
智慧城市是当下城市建设的首选方向,国家测绘地理信息局去年年底启动了智慧城市时空信息云平台建设试点工作。过去看卫星图都是固定的2D图像,未来将从各个角度、三维地展示每个楼房情况。按照规划,每年将推十个类似上述的试点,每个试点要求投资3600万元以上。
电子政务显示出了向云计算、云平台集中化演进的趋势。2月份工业和信息化部印发《基于云计算的电子政务公共平台顶层设计指南》,其中谈到,经过一年多的讨论修订,及总结各省经验后,将改以往每个部门单独做自己云平台的情况。今后都是各省统一使用云计算平台,甚至对地市县也提供平台服务。
另一个好消息是,第一季度移动互联网普及率提高,总用户达到8亿,其中手机用户7.7亿,流量增长迅速,手机上网利用流量同比增长70%;移动互联网的创新应用也相应增加,比如打车、找酒店、租房等。
此外,信息技术应用的创新发展也日益显现,应用创新在工业领域发展迅速,北斗系统的民用化进展在年初有了实质进展,去年12月北斗导航系统正式为亚太提供导航服务,交通部启动了一批试点,合肥、南京、上海等市都建立了相应北斗产业园。
在智能化推动下,智能工业也有了初步发展。
2012年12月谷歌在美国申请无人驾驶汽车实验牌照,而我们军事交通科学院在今年1月进行了完全无人驾驶试验,试验车由电脑控制,自行判断是否超车,实验过程中超车共计33次,预计年内会有更高水平的实验。
此外,第一季度信息消费增长很快,对内需的拉动作用有所体现。
第一季度末,计算机、彩电、移动通信终端等电子产品销售速度增长较快。信息服务主要体现在电子商务、电信增值服务和软件技术服务,其增速都远远高于其他行业。信息消费,不仅是信息产品、信息终端和信息服务本身的消费,还带动了其他行业消费。
警惕花架子工程
尽管我国互联网速度得到有效提升,但是应用发展的快速度,网民数量不断扩大对应用的要求也相应提高。
在信息化推进过程中,部分地区的确暴露出一些花架子信息化工程。
山西1月份发生了苯胺泄露,8.5亿元打造的号称全国领先污染源自动监控系统,未能起到防范并及时发现事故的作用。还有多重户口事件,正常来说,户籍公安是联网的,银行也是联网的,应该能够很快发现类似问题,但依旧存在多重身份。
信息系统的隐患也是信息化建设中不容忽视的问题。
近年网络安全漏洞频发,网络安全中心数据显示,每个月查出来的系统安全漏洞以数百个计。今年2月份,国内政府和事业单位网站被攻击8000多次,国家电网受到攻击1万多次,被篡改的网站有8000多个。
此外,Java7也于今年第一季度被爆出重大漏洞,据报道Java7已被注入了顽固性木马,无法彻底清除。目前苹果产品全部停用Java7,美国国土安全部也要求不再使用Java7。
就目前发展形势而言,第二季度市场需求会驱动云计算、物联网等新的产业应用发展。
去年和前年,我国针对云计算、物联网产业和应用,都出台了相关政策,这些政策经过两年运作,已经可以转化为市场需求。
电子政务对云计算的应用,不再是一个政策驱动,已经转化成市场需求,从二季度开始,这种需求会驱动新的产业有较快增长。而目前的移动电子商务,通过手机能够很容易实现支付,于是吸引力更多的用户,新应用的大量开发,也对用户有相当大的诱惑。
移动电子商务查阅商品非常方便,一些新的应用,比如“摇一摇”打车,平常找车都很难,现在有了创新的应用,用手机可以找到附近的司机。市场反应良好的新应用会促进应用市场快速发展,尤其是移动电子商务的发展。
重视国家信息安全
第二季度国际间的网络冲突可能会有愈演愈烈的趋势。值得注意的是,将来有组织的黑客攻击有可能演变大规模的冲突,所以我们必须要时刻警惕。
为了更好地规范行业发展,首先必须加强对运营商的服务监督。
现在对运营商服务质量缺乏有效的监管。另一方面支持力度也相应不足,比如基站扩展方面。运营商有实际困难,流量费、上网费、包年费等相对偏低,使得运营商盈利变得较难。对于运营商,一方面要加强监管、提出要求,另一方面也要帮其解决实质性的困难。
互联网业务创新也需要加强保护和政策支持。
以往国家对软件、大规模产业有一些政策,但对互联网服务几乎没有支持。这部分都是一些民营小企业在做,既难以保证利润,偶尔还会受到各种指责。
创新行为本身就需要加强保护,比如春节前出现的抢票软件,有些部门指责其是恶意行为、非法行为,实际上这只是一种正常的应市场需求而产生商品的行为,应该多加鼓励,而不是一味地横加指责。
其次是国家应该对信息系统工程进行系统的审计和评价监管。
国家在信息化建设领域投资规模很大,尤其是智慧城市建设、电子政务建设。但现在只有财政支出,缺乏有效的审计,达成效果则难以保障,至于实际应用效果,更缺乏相应管理。以至于最终结果是投资却无法达到效果。
对于信息化统计指标体系,当前最大任务是做好完善和更新。2012年的两化融合指标体系都是20年前的指数,已经严重过时,急需对其进行相应的修订,建立起全面评价信息化发展水平的指标体系。
与此同时,我们还应该加强智慧城市建设顶层设计和统筹规划。目前对于智慧城市,各方理解不一,部分试点省市的智慧城市建设沦落为用来向银行筹款的空壳,拿到钱后,无论这些资金被用来修路还是盖楼,都不是真正的智慧城市建设。所谓智慧城市最起码要互联互通。
有脑子、神经中枢才叫智慧,只有手脚不能互联互通,没有集成,就达不到智慧城市的效果,一定要把顶层设计,比如统一数据、统一运营中心、跨部门互联互通都要设计好。
最后,针对目前的安全状况,我们需要制定安全防御措施,不仅是国家安全措施,个人安全也应当予以保护。今年第一季度发生多起出售个人信息事件,还有很多手机软件搜集用户信息时间,这些都属于信息安全问题。
关键词:信息安全;PKI;CA-KEY;数字证书;集装箱电子委托
1概述
现有的连云港电子口岸(下简称电子口岸)业务系统下设集装箱电子委托子系统(下简称电子委托系统)以网上信息查询、换单放箱、提交作业委托、账单查询、报文发送为主,网络基础设施和系统安全解决方案大多是通过如防火墙、入侵检测、漏洞扫描、网络隔离等技术和设备来保障系统的安全,这种方式虽然在一定程度上可以保证信息系统的安全,但不能全面满足电子口岸业务系统的安全需求,如信任与授权等,特别是在建设满足互联互通、信息共享的电子口岸业务系统过程中,各种传统的网络安全防御手段,无法替代应用层的身份认证、数据机密性、完整性、不可否认性等安全实现。
为解决日益严重的信息安全问题,电子委托系统需要在底层网络基础设施上构建了一个一致的信息安全服务,可以满足上层各种应用在安全方面的需求。
2安全需求分析
目前,电子口岸业务系统主要采用基于HTTP协议的B/S架构的网络应用系统在客户端浏览器和web服务器之间直接进行通信,口岸业务各子系统与口岸各家单位信息系统进行数据交互基本都是采用交通部标准报文或EDI自定义标准报文的形式,主要信息安全问题包括以下三方面:
1)缺乏有效的身份认证机制。基本都采用用户名+口令的弱认证方式,这种认证用户的模式,存在极大的隐患,具体表现在:(a)口令易被猜测;(b)口令在公网中传输,容易被截获;(c)一旦口令泄密,所有安全机制即失效。
2)存在数据传输安全隐患。主要体现在安全访问与访问控制上。在B/S架构的应用系统中,其在网络上所发放的数据包均是按照TCP/IP协议进行传输的,这种协议为明文方式发送,数据内容被拦截后篡改的可能性很大。
3)缺乏对客户申报数据的防抵赖机制。防抵赖是指防止客户申报数据过后否认曾经发起过该操作。这对于规范操作,避免纠纷起着很大的作用。传统地,防抵赖机制是通过手工签名确认完成的;而目前很多基于B/S架构的应用系统都无法实现对用户操作的防抵赖功能,没有有效的证据可以证明用户确实执行了某个操作。
因而,归纳电子口岸业务系统的安全需求包括:对身份认证和访问控制的需求;对数据传输安全性的需求;对数据完整性的需求;对不可否认性和唯一性的需求。
3集装箱电子委托系统CA安全应用设计
针对电子委托系统的安全隐患,借住江苏CA,确定以下的设计方案来保证用户安全需求:
1)用户和服务器身份验证
在用户端,通过国家认可资质的电子认证服务机构颁发的数字证书来确认登录用户的身份。用户通过电脑接人存储数字证书的硬件介质CA-KEY登录,保证用户身份真实可信,不会被冒名窃取。
在服务端,通过配置江苏CA的CreadLink网络信任服务器进行身份验证。网络信任服务器通过存储的定期更新的黑名单列表来验证用户身份,以此实现双向的身份认证来保证用户登录的安全可靠。
2)对电子签名的不可否J性和防抵赖
用户操作所产生的与口岸其他单位进行数据交互的电子数据――报文,都将使用数字证书和安全中间件对其进行电子加签,假如用户对已提交的申报数据存在疑问,通过签名信息,利用相应的技术手段可以证明其电子签名确实存在,并且电子签名后的原文数据并没有被改动,可以防止其抵赖。
3)电子数据传输的保密安全:
用户和服务器通过网络信任服务器的双向验证身份通过以后,随之建立起SSL连接通道,此后用户和服务器的通讯信息和传输信息保证在SSL安全通道内,此通道内的信息是以128位的随机对称密钥加密的,安全可靠,保证用户的信息安全,不被偷窥。
4)电子数据在传输过程中不被篡改,保证信息的完整性。
用户对所要提交的电子数据信息内容进行确认,用安全可靠签名中间件和数字证书,经过标准严格的密码运算形成电子签名附在所要提交的电子数据信息中。电子数据信息和电子签名一起被用户提交到服务器端,如果电子数据信息在传输过程中被修改或丢失,服务器端的签名验证服务器会验证出来,可以要求用户重新传输,从而保证电子数据信息在传输过程中的完整性。
4集装箱电子委托系统CA安全具体实现
集装箱电子委托系统从客户端和服务端着手,切实保证系统安全、数据安全、传输安全:
1)客户端
硬件介质KEY:存储各企业单位的数字证书和私钥,实现证书与真实用户捆绑。主要制KEY和发放KEY工作由江苏CA和南京翔晟提供支持。
驱动:客户需要安装相应驱动以实现KEY与签名工具通信的接口,江苏CA的KEY驱动包为“行助手”,南京翔晟的驱动包自主研发。
电子签名控件:安装相应的驱动包后,浏览器需要加载相应的电子签名控件,才能实现浏览器读取电子签名信息。
2)服务端
电子口岸应用服务器配置部署Credlink网关服务器,配置SSL、SVS模块,SSL用于身份验证、传输加密,SVS用于进行签名验签工作。
【关键词】全球化视角;网络时代;政策管理;信息安全
一、绪论
世界各国网络使用者的人数逐年上升,网络上的各类信息,也让民众得以通过分享与创造,累积的更多的信息。网络频宽技术的改善,也将网络信息由早期的文字界面,推向大量影像、声音及动画的多媒体互动界面。这新媒体的传播方式,与传统媒介有着几项不同的特性:多媒体性,呈现内容包含文字、声音、图片、动画、影像等;超文本性,通过链结方式编辑、浏览内容;封包切换,网络的原设计在信息传出后即遗忘,使网络可以独立作业,不需指令与控制中心,信息单位可以从网络上找到自己的路径,并且在网络上任何一点,重新组织其意义;同时性,网络传播可分为同步或不同步,其在立即传播的功能上,尤其强大,可以在同一时间,广泛地对多个传输对象,传输大量信息;互动性,对于主动连结者,网站可自行接收、回应与反射等动作。新闻管理部门曾经针对网络媒介的特质,做以下几点说明:网络的传播模式为多重传播信号的型态,有别于传统媒介的一对多、线性式、序列式播送型态,且网络使用者的主动性较强;网络上的FTP 与电子邮件、档案传输等功能,旨在传送信号,为公共载体的电信概念;BBS 或是News Group 则是一个公共论坛,与传统媒介的经营型态有所差异;网络的通路分散且跨国,资料源头不易定义,传统媒体则无此问题。本文汇总各国对于网络内容的管理政策,并参照国际的网络组织的看法,为我国是否应对网络内容立法管理提供意见。
二、各国对网络内容规范的政策
(一)新加坡订立网络专法管制
新加坡是主张政府必须强制介入网络内容管理的国家之一。由于新加坡政府一直以来非常强调政府运作与管理的功能,加上新加坡是全世界上网普及率最高的国家,更因为该国信息基础建设的完备,使网络媒体与电子商务发展日趋完善。有鉴于此,新加坡早在1996年7月15日通过了《网络管理办法》,规定网络活动必须遵守该法所制定相关规定。更进一步根据广播法颁布了《网络行为准则》与产业标准,由该国新成立机构信息通讯发展局所管理。新加坡对于网络业者的管理采取分级授权制度,网络营业者依照其性质及提供内容分为需要登记注册与无须登记注册两类,前者为:网络服务者(ISP)、提供政治或宗教内容的网络内容提供者(ICP)、企业网站(企业内部intranet 除外),后者则有单纯提供金融理财信息或新闻服务的网络内容提供者、软件从业者。
(二)英国适用现行法律
目前英国政府并未对网络内容做相关的法令规定,对于网络内容的规范,则是引用现有的法规,如刑法、猥亵物出版法及公共秩序法,将网络内容视为出版品的一种,凡在网络上散布违反相关规定信息者,均需受到处罚。英国网络观察基金会为鼓励从业者自律,于1996 年9 月与网络提供者协会、伦敦网络协会两大ISP协会共同发表一份“安全网络:分级、检举、责任”文件,以此做为从业者自律的基础。之后由五十家ISP成员组成的协会(ISPA)联合草拟从业者行为守则,令其做为业者自律的规范,其主要精神有:鼓励新科技使用、帮助家长与教师认识新科技、ISP 有责任确保内容的合法性等。
(三)美国主张从业者自律
针对网络普及所延伸的相关问题,美国最早与上世纪90年代通过了《通讯内容端正法》,成为美国《电讯传播法案》的一部分。其中规定,在未满十八岁未成年者可以接触到的电讯装置或互动式的电脑服务上,制作、装设、教唆、传播或容许任何传播具有猥亵、低俗不雅的内容,将被视为犯罪。违者将得处两万五千美元以下罚金,二年以下徒刑,或两者并罚。从业者在遭受指控时,可以下列情形抗辩要求免责:已尽善良管理人的职责,防止未成年接近使用上述有猥或低俗不雅的网络内容;采取如果要求使用信用卡、帐号、密码等措施过滤未成年人;从业者根据政府制定的尺度标示并分级提供给使用者。美国联邦传播委员会进一步公布了《网络与电讯传播政策》报告,其中对于网络与传统媒体的比较评估后,主张:政府政策应避免不必要的管制;传统媒体管理规范不全然适用于网络管理。
(四)国际组织及其趋势
相较于各国政府对于网络内容所采取的管理与规范立场,国际上网络相关组织也希望能够通过技术开发、协商的方式,让政府管理与网络自由发展之间找出平衡点,一方面不会因为政府的强势介入网络内容,而阻碍了网络当初发展的本质;另一面又可以防止过度自由而产生违反现实秩序的情况。
一是波恩宣言。欧盟在波恩召开的“全球信息网络―实现潜能”会议中,所发表的波恩宣言。针对网络内容规范方面,各国代表强调一般法律架构不论在网络或离线的世界都应该统一适用,虽然法律的不确定性会对网络造成相当影响,但是当管制新科技的发展所造成法律问题,应该依据问题的科技性质加以规范,以避免不必要的过度管制。宣言中也提及,希望能够通过分级与过滤的技术,来达到保护未成年的目的并非强制通过法律的途径,以造成对新兴科技的限制发展。
二是国际性内容自我规范网络组织。该组织由德国的 Bertelsmann 基金会所倡导,基金会希望借助该网络组织协助其他类似的国际性组织发展,以确保网络的责任及安全性,尤其是对于未成年使用者。而该协会也与欧洲网络内容分级组织合作,在德国慕尼黑召开国际性的网络内容高峰会议。其结果强调:网络内容自律、责任分担、政府支持并协助自律、分级及过滤制度的推行、国际性的合作等。
三是网络内容分级组织。网络内容分级组织于 1998 年十月成立,由联合国网际网络观察基金会、美国的娱乐软件顾问会议、德国的ECO 法庭,及国际儿童网络签订协定成立。其组织主要在讨论及研发一种可以被世界各国接受的分级制度,ICRA 也同意一些分级制度的规范应该是自愿性及自我订的分级标准。由于将适用于全世界,因此在该制度研发成功后,将免费提供所有网络使用者运用。
三、结论与讨论
许多国家在面对网络内容的规范时,往往会担心两件事情,其一是目前已有不少网络行为违反现实生活中的规范甚至法律,站在政府的立场,本应维持社会秩序而对侵害权益的部分加以管制;然而当政府想要权力介入网络内容做规范的同时,便产生了“管制网络内容,会影响网络的发展”,政府担心若网络发展不足以与世界接轨,将会逐渐丧失竞争力,最后在全球化的架构下被边陲化。有鉴于此,当前国内的管理机关的作法,对于网络内容,已经倾向于制定分级制度与教育辅导的方式双管齐下,以落实分级配合提升网络素养,让一般使用者对网络社会不要有错误的认知,并加强宣传分级制度的重要性。另一方面,对于网络服务提供者也计划以法条方式制定管理条例,虽然目前尚无法评估对ISP 从业者制定管理办法是否恰当,但主管机关仍希望以公权力介入网络内容的规范,以免将来若发生重大事件时,政府处于无法可管的窘境。依照本研究综合分析之后,本人认为我国政府在制定网络管理政策时应该考虑到几点原则:
一是信息素养的提升。许多国家注重于网络的基础建设,然而,待基础建设渐趋完善后,随之而来的就是一连串的网络偏差行为与相关问题,这些均是网络研发者始料未及的。信息素养的提升,是除了重视信息技术外,当今更重要的课题。让每位使用者畅游在网络空间时,能够保持现实生活的行为规范、礼仪,以宣导替代防堵。然而依照目前网络使用者的情况,对于网络空间仍然展现出许多有别于实体社会的脱序现象。从对网络的认知着手,让使用者不再误认网络仅仅是一个传送与接收信息的媒介工具,应该让使用者也了解,网络空间也是现实社会的不同展现,并强调现实生活的规范适用于网络之中,避免网络使用者偏颇的认知而发生网络中的脱序情况。
二是制定合适的分级制度。依照世界各国对网络内容管理政策的趋势,国际间主张以分级制度方式,对网络信息的规范标准,国内也可依照这种方式,在中文网页中,以推行劝导方式,制定清楚且明显的分级符号,使大众在进入该网页时,得以做事先的预防与准备,目前国内相关主管单位也认同分级制度的实施,并已经着手进行规范条例与实行方案的计划,可望在近期内找出适合我国网络分级规范的模式。
三是让使用者自行决定选择何种网络内容。网络的特性,使得信息快速累积,让许多人愿意提供各式的信息与资料在网络上,也造就网络使用者可以轻易在网络中搜寻自己需要的信息。换句话说,网络中的资料与信息是由网络使用者参与网络所建构出来庞大资料库,并非由官方或政府建构。因此,对于网络内容的适用与否,不应由政府机关或是其他单位来决定,而是否应将选择内容的权利,交由网络使用者。让使用者在网络上,依循网络自由创作信息的本质,让信息得以有更多的创新与积累。
四是清楚而明确的法律规范。由于我国目前的法律以延伸解释至网络内容的范围上,但往往在实务案件中,会出现主管机关清楚,适用法条不明确的情形,这为适用现行法律等国家的通病。加上目前我国的网络主管机关分为教育部、交通部、司法系统等不同部门,权责划分不清楚,发生问题时,无法迅速而有效的解决。因此虽不需订立网络专法,但应考虑在现行法规当中,明确划分权责与管理范围,避免现行法律适用上流于形式的规范。
最后,站在使用者与网络发展历史的角度,仍然期望这个最初由使用者建构出来的网络社会,能够也由使用者来决定它的原本发展方向,也即自由、开放、尊重。
参考文献
[1]杜君.网络信息管理及其安全[J].太原科技,2009(10).
[2]刘宝旭,马建民,池亚平.计算机网络安全应急响应技术的分析与研究[J].计算机工程,2007(10).
[3]蒋萍.我国计算机网络及信息安全存在的问题与对策[J].矿山机械,2007(10).