信息安全管理辦法及細則范文

時間:2023-10-11 17:26:38

導語:如何才能寫好一篇信息安全管理辦法及細則,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

篇1

關鍵詞:市縣一體化;信息;安全;保障

中圖分類號:F291 文獻標識碼:A

0引言

《國家電網公司信息系統(tǒng)安全管理辦法》對建設國網一體化信息安全保障體系的目標給出了指導性意見,就是要增強信息安全防護能力,提升信息安全自主可控能力,防止承載各類業(yè)務系統(tǒng)被惡意滲透,防止關鍵業(yè)務信息系統(tǒng)數據或信息被竊取或篡改,以確保更有效的抵御各種風險,最終實現(xiàn)國網自上而下信息系統(tǒng)網絡安全、服務器及應用系統(tǒng)、桌面終端、移動存儲介質等全方面的管控,使各層級信息化應用水平及信息安全防護水平達到一個新的高度[1]。

近年來,隨著國家電網公司信息技術的深化應用,信息安全日益重要。澠池縣電業(yè)局在市縣一體化信息安全管理策略的設計和實現(xiàn)中以“硬件建設”為基礎,以“軟件建設”為關鍵,以“管理建設”為手段,深化安全管理,持續(xù)提升信息化安全水平。

1專業(yè)管理的頂層設計和指標體系

1.1市縣一體化頂層設計目標。在現(xiàn)有的信息化平臺基礎上,通過2年的系統(tǒng)建設,分步實施“硬件組體、軟件添翼、管理促飛”信息安全保障體系“三部曲”策略,最終構筑起堅強的市縣一體化信息安全保障體系。

1.2從環(huán)境設施上加以提升,從技術流程上加以完善,從管理措施上嚴格要求,以確保更有效的抵御各種風險,實現(xiàn)安全穩(wěn)定可靠運行。安全保障策略指標值如下:

1.2.1硬件指標:內網網絡部署防火墻、內外網實現(xiàn)“物理隔離”;部署上網行為管理、門禁、防雷等硬件設施;部署數據中心虛擬容災系統(tǒng);建設市縣網絡主備通道。

1.2.2軟件指標:桌面注冊率達到100%;殺毒軟件安裝率達到100%;無賬戶弱口令;無安全防護漏洞;無違規(guī)郵件、網站。

1.2.3管理制度:制定或修編澠池縣電業(yè)局《安全移動存儲介質管理辦法》《桌面終端設備安全管理辦法》《計算機信息系統(tǒng)安全管理辦法》《信息網絡運行管理辦法》《計算機信息系統(tǒng)安全管理辦法》《計算機機房管理制度》《計算機設備管理辦法(試行)》《網絡與信息安全突發(fā)事件應急預案(試行)》《信息安全保密協(xié)議書》《信息系統(tǒng)口令管理辦法》、《信息內外網辦公終端準入管理辦法》。

2市縣一體化策略的實現(xiàn)

2.1硬件組體“搭建體骼”。

2.1.1基礎環(huán)境建設。長遠規(guī)劃,進行機房資源整合,按照國家二類機房建設要求,改擴建中心機房面積達到160平方米,進行機房區(qū)域劃分,增設直流電源室、公共上網區(qū)、備品備件室、維修間共128平方米,開展門禁系統(tǒng)、信息防雷系統(tǒng)及監(jiān)控系統(tǒng)建設,添置網絡測試儀器及相關辦公用品,機房具備防水、防火、防灰塵、防盜、防雷等多種功能,完全滿足運維、管理、辦公需求。

2.1.2數據容災建設。本著同城異地備份、確保數據安全的原則,建設60余平方米數據中心虛擬容災機房,具備實時備份系統(tǒng)數據和集中統(tǒng)一管理的功能,滿足各類系統(tǒng)擴展性和可靠性要求。

2.1.3市縣網絡擴容建設。按照河南省電力公司要求,單獨配置雙千兆路由器,配置雙核心千兆交換機,實現(xiàn)與三門峽供電公司的聯(lián)網帶寬達到2*100M,市縣APN備用通道1*10M,省公司至縣局VPN聯(lián)網帶寬1*100M的目的。

2.1.4實現(xiàn)內外物理隔離。對邊緣配線間進行改造,加裝樓間層防水防潮裝置,采用防鼠技術措施。對內網和外網采取平行布線模式,終端用戶主機雙配置,實現(xiàn)完全物理上的內外網分離。

2.1.5擴容后備電源。中心機房增設10kVA不間斷UPS電源,與蘭州大學聯(lián)合開發(fā)了蓄電池除硫裝置,當市電供電系統(tǒng)出現(xiàn)停電或電池容量不足時,以短信形式向維護人員發(fā)送告警信息,極大地提高了其設備的維護效率和系統(tǒng)運行安全性,延長UPS電源的使用壽命。

2.1.6從低壓電源側、通信線路、通訊設備及網絡設備全方位、多層次部署機房三級防雷系統(tǒng),有效地防止雷擊對機房內設備所產生的危害。

2.2軟件添翼“助翼雙翅”。

2.2.1終端用戶防護。按照《國家電網公司信息化“SG186”工程安全防護總體方案》,對信息內外網部署北信源桌面終端標準化管理系統(tǒng),實現(xiàn)桌面終端安全訪問、安全接入,硬件資產全生命周期應用等功能,桌面終端標準化管理系統(tǒng)級聯(lián)至市公司,實現(xiàn)桌面運行監(jiān)測及相關考核指標的標準化,安裝率達到100%。

2.2.2防病毒防御系統(tǒng)安裝。全網桌面終端安裝Nod32防病毒軟件,安裝率達到100%。對危害桌面終端安全的惡意軟件和功能時刻保持著高度警惕。桌面終端安全系統(tǒng)、智能防御系統(tǒng)等級提升。

2.2.3補丁系統(tǒng)完善。通過標準化的管理流程實時為桌面終端提供標準、最新的補丁漏洞信息及數據更新服務。定期自動從互聯(lián)網獲取操作系統(tǒng)軟件廠商的補丁,在仿真的網絡環(huán)境中嚴格測試認證后,確保補丁安全,再將安全的補丁分發(fā)到實際網絡環(huán)境中的計算機終端,并可以進行相關的補丁分發(fā)行為控制和流量管理,在簡化人工干預的同時,確保終端系統(tǒng)的安全和網絡的穩(wěn)定。

2.2.4市縣聯(lián)動安全措施。三門峽供電公司部署網管軟件,定期對縣局的終端設備掃描檢測內網安全漏洞,豐富安全技術手段,為縣局信息安全管理提供支撐。同時依據《關于企業(yè)使用正版軟件通知》要求,與知名廠商簽訂購置正版操作系統(tǒng)供應協(xié)議。省市縣三級所用桌面終端安裝了國網公司下發(fā)的正版軟件,增強了基礎層業(yè)務應用穩(wěn)定性和數據的安全性。

2.3管控結合“促力騰飛”。

2.3.1“引教結合”,強化安全管理。通過文件、公告、會議、信息安全競賽等多種渠道,大力宣傳保障網絡與信息安全的重要性。組織信息技術人員和信息員進行網絡與信息安全技術培訓和現(xiàn)場宣貫。對關鍵崗位人員進行全面、嚴格的安全審查和技能考核,對在信息系統(tǒng)安全工作中做出顯著成績的單位和人員應給予獎勵和表彰,對違反國家法律、法規(guī)和澠池縣電業(yè)局有關規(guī)定,造成一定不良影響和后果的,追究其責任。這些措施的實施,使全局范圍內從上到下統(tǒng)一了思想、明確了認識,強化了全員網絡與信息安全意識。

2.3.2強化系統(tǒng)運行維護管理。對信息網絡與系統(tǒng)運行狀況等進行監(jiān)測和報警,定期對監(jiān)測和報警記錄進行分析,根據需要采取必要的應對措施。建立安全管理中心,對安全設備、惡意代碼、補丁升級、安全審計等安全設施進行集中管理。嚴格按照有關信息系統(tǒng)事故調查規(guī)定,及時報告信息系統(tǒng)事故情況,認真開展信息系統(tǒng)事故原因分析,堅持“四不放過”原則,有效落實整改,確保類似事故不再發(fā)生。

2.3.3強化移動存儲規(guī)范化管理。移動存儲設備集中授權分發(fā),數據交換前必須通過正確的身份認證,符合密碼復雜度身份認證策略,記錄數據交換過程的工作日志,便于以后進行跟蹤審計,非授權的移動存儲介質,在工作環(huán)境不可用。利用信息保密、訪問控制、審計等技術手段,對移動存儲設備實施安全保護,登記存儲信息資產、日志記錄、審計記錄和信息不能被移動存儲設備非法流失,實現(xiàn)存儲設備信息安全的“五不”原則,即:進不來、拿不走、讀不懂、改不了、信不丟。

2.3.4強化弱口令管理。根據“信息安全通報”、“信息安全反違章”檢查的結果,結合其實際,進行全面的信息系統(tǒng)弱口令專項治理工作[2]。對系統(tǒng)本單位及局屬各部門的桌面計算機,信息應用系統(tǒng)、操作系統(tǒng)、中間件和數據庫系統(tǒng)等用戶的訪問賬號及口令進行徹底排查,對不符合口令要求的用戶及系統(tǒng)下發(fā)相應的通知,使其進行限期的整改,杜絕信息系統(tǒng)泄密事件的發(fā)生。

2.3.5強化安全接入管理。通過在網絡中部署相應的網絡安全檢查策略,確保用戶滿足身份認證的要求,同時用戶的終端設備必須達到一定的安全和策略條件,才可以通過網關設備接入到網絡中并獲得相應的訪問權限。一方面驗證了用戶的身份,避免了非法用戶接入到網絡中,限定了用戶的訪問權限;另一方面也避免了存在安全隱患的終端系統(tǒng)的接入,可以大大消除蠕蟲病毒對網絡系統(tǒng)以及承載的業(yè)務所帶來的威脅和影響,實現(xiàn)幫助客戶發(fā)現(xiàn)、預防和消除安全威脅的目標。

2.3.6強化保密工作管理。管理嚴格執(zhí)行“不上網、上網不”紀律[3],重要工作資料不得在外網計算機上留存,嚴禁在信息外網上傳輸、處理涉及國家秘密和澠池縣電業(yè)局秘密的信息。嚴格信息系統(tǒng)安全工作人員錄用過程,審查其身份、背景、專業(yè)資格,及時終止離崗員工的所有訪問權限。嚴格外部人員訪問程序,對允許訪問人員實行專人全程陪同或監(jiān)督,并登記備案。

2.3.7強化運行通報管理。為進一步做好信息安全保障工作,定期對信息安全工作進行統(tǒng)計分析,在月報中透明的體現(xiàn)信息安全運維工作,使全體員工及時掌握信息系統(tǒng)的運行情況,更好的為生產經營業(yè)務服務,澠池縣電業(yè)局每月《澠池縣電業(yè)局信息化工作簡報》對當月信息安全運維工作的整體情況進行統(tǒng)計分析。每月一期《澠池縣電業(yè)局網絡與信息安全運行月報》,對當月網絡與信息安全運行情況進行統(tǒng)計分析。信息安全運行通報制度的執(zhí)行,使全體員工對信息安全運維工作有了了解的途徑,增強了全員信息安全意識。

2.3.8強化系統(tǒng)上下線管理。加強應用系統(tǒng)的管理審批流程,形成閉環(huán)管理。新建信息系統(tǒng)涉及安全防護措施建設時,明確安全需求,確定安全等級,結合澠池縣電業(yè)局安全防護總體策略,進行安全防護方案設計。嚴格規(guī)范系統(tǒng)變更、系統(tǒng)重要操作、物理訪問和系統(tǒng)接入申報和審批程序,建立健全變更管理制度。保證所有與外部系統(tǒng)的連接均得到授權和批準,并進行必要的安全隔離,配置嚴格的訪問控制策略,開展必要的安全評估[4]。

2.4激活人力資源,提升管控空間。

2.4.1搭建核心保障體系。成立以科技信息副局長為組長的信息安全保障體系領導小組,各部門負責人為領導小組成員,對澠池縣電業(yè)局整體信息安全保障體系工作進行全面督導。領導小組下設工作小組(辦公室設在信息中心),具體負責協(xié)調、執(zhí)行實現(xiàn)信息安全保障策略的各項工作,本單位各部門設有兼職信息管理員,負責配合本單位本部門信息安全保障體系的協(xié)調、執(zhí)行。

2.4.2開展兼職信息員建設,發(fā)揮信息管理員潛能。在全局各部門設立兼職信息管理員36名,部門兼職信息管理員由各部門既通曉業(yè)務、又熟悉計算機知識的人員擔任,職責為進行基礎性的運維工作、信息安全宣傳、督導與檢查和整改工作。信息員管理以安全員的標準按照專業(yè)化管理思路統(tǒng)一管理,設立有合理的薪酬標準及詳細的管理制度,每月定期召開信息安全會議,按月開展信息技術培訓,嚴格執(zhí)行各種業(yè)務考核和工作安排,不斷強化責任心和業(yè)務能力,形成全局齊抓共管的局面。

2.4.3績效考核與控制。為保證市縣信息安全保障體系的正常運轉,明確職責分工,對工作項目和內容進行標準化、規(guī)范化管理,依據國網公司、省公司等上級單位的相關要求,修訂完善了《澠池縣電業(yè)局信息網絡運行管理辦法》等11項管理規(guī)范及標準,進一步規(guī)范了信息系統(tǒng)運行管理,確保安全保障策略持續(xù)、穩(wěn)步實施。

3結語

近年來,國網公司實施了覆蓋信息系統(tǒng)全生命周期的54項管理措施,立足國產化,積極探索自主可控安全管理模式,結合電網安全需求,加強頂層設計,對電網信息安全工作進行整體規(guī)劃,經過努力,澠池縣電業(yè)局在網絡信息安全保障策略的設計和實施中的經驗和做法,解決了縣級供電企業(yè)信息安全保障體系中存在的一些突出問題和安全漏洞,廣大員工在信息安全等重點環(huán)節(jié),從制度執(zhí)行、行為監(jiān)控、防治體系等方面,有了穩(wěn)步提升,總體來看,建成了電網信息安全等級保護縱深防御體系,為市縣一體化的安全、穩(wěn)定運行提供了強有力的信息安全運行保障,達到了預期的效果和目的。

參考文獻

[1]國家電網公司信息系統(tǒng)安全管理辦法[Z].北京:國家電網公司,2011.

[2]國家電網公司信息網絡運行管理規(guī)程(試行)[S].北京:國家電網公司,2003.

[3]國家電網公司信息安全風險評估管理暫行辦法[Z].北京:國家電網公司,2011.

[4]國家電網公司信息系統(tǒng)建轉運實施細則[Z].北京:國家電網公司,2010.

--------------------

作者簡介:趙江華(1978—),男,河南省三門峽市澠池縣人,高級工程師,主要從事電網調度管理、光纖通信工程項目建設及網絡應用方面的研究。

篇2

我校信息中心接到《信陽市學校計算機信息系統(tǒng)安全檢查實施方案》的通知后,學校領導班子十分重視,及時召集信息中心、微機組等科組負責人,按照文件要求,根據實施方案的指導思想和工作目標,逐條落實,周密安排,對全校各配備計算機的教研室和中心機房進行了排查,現(xiàn)將自查情況報告如下: 

一、領導高度重視,組織、部門健全、制度完善 

我校信息中心自成立以來,本著“責任到人,一絲不茍”的指導思想,十分重視計算機管理組織的建設,成立了計算機安全保護領導小組,始終有一名信息中心主任擔任安全管理領導小組組長,并以信息管理、安全保衛(wèi)、各教研組等部門負責人為成員。 

信息中心為專職負責計算機信息系統(tǒng)安全保護工作的部門,對全校教研室主要計算機系統(tǒng)的資源配置、操作及業(yè)務系統(tǒng)、系統(tǒng)維護人員、操作人員進行登記。信息中心設立專職安全管理員,專職安全員由經過公安部門培訓、獲得《計算機安全員上崗證》的人員擔任?;鶎咏萄惺以O立兼職安全管理員,負責對電子網點進行管理、監(jiān)督,對本單位計算機出現(xiàn)的軟、硬件問題及時上報信息中心。要求各教研室選用有責任心、有一定計算機知識、熟悉業(yè)務操作的人員擔任。 

我們在當地公安機關計算機安全保護部門的監(jiān)督、檢查、指導下,根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網絡國際聯(lián)網安全保護管理辦法》、《河南省學校計算機信息系統(tǒng)安全管理暫行規(guī)定》、《計算機病毒防治管理辦法》、以及公安部、教育部、信息產業(yè)部、國務院新聞辦《關于開展垃圾郵件專項治理工作的通知》及教育部《關于開展高校上網場所清理整理工作,進一步加強校園網管理的緊急通知》等法規(guī)、規(guī)定,建立、健全了各項防范制度,并編制成冊,下發(fā)到全校各個教研室。在年初,由主管計算機安全的主任與保衛(wèi)部門簽訂了目標責任書,并指定業(yè)務骨干擔任計算機安全員,切實做到防微杜漸,把不安全苗頭消除在萌芽狀態(tài)。 

二、強化安全教育定期檢查督促 

在我校實施計算機信息化建設的每一步,我們都把強化信息安全教育和提高員工的計算機技能放到同等地位。在實施信息網絡化過程中,信息中心專門舉辦了計算機培訓班。培訓內容不但包括計算機基礎知識、課件制作,還重點講解了計算機犯罪的特點、防范措施。使全體教職員工都意識到了,計算機安全保護是學校工作的有機組成部分,而且在新形勢下,計算機犯罪還將成為安全保衛(wèi)工作的重要內容。 

隨著計算機技術在教研室各項業(yè)務中的應用,為進一步提高職工安全意識和規(guī)范操作流程,我們還經常組織人員對基層教研室進行計算機業(yè)務系統(tǒng)運行及安全保護的檢查。通過檢查,我們發(fā)現(xiàn)部分人員安全意識不強,少數微機操作員對制度貫徹行不夠。對此,我們根據檢查方案中的檢查內容、評分標準對各科室進行打分,得分不合格者,除限期整改外,還根據學校的有關規(guī)定,對有關責任人員,給予相應處罰、全校通報批評等處理。 

三、信息安全制度日趨完善 

從我校信息中心成立之日起,我們就樹立了以制度管理人員的思想。為此,根據市辦下發(fā)的有關文件精神,先后制定了《中心機房管理制度》,《中心機房應急措施》,《計算機系統(tǒng)維修操作規(guī)程》,《電腦安全保密制度》,《計算機安全檢查操作規(guī)程》,《潢川一中電教管理員職責》、《潢川一中電子備課室管理制度》等一系列內部管理制度,讓這些制度不但寫在紙上,掛在墻上,還要牢記在心上。繼而我們又印發(fā)了《潢川一中教研室計算機信息系統(tǒng)安全保護實施細則》、《潢川一中教研室計算機綜合業(yè)務系統(tǒng)管理辦法》、《潢川一中機房上機操作守則》、《潢川一中信息中心管理條例》等,初步形成了較為完善的計算機內控制度。在以上文件中,要求明確規(guī)定了微機管理人員、操作員的權限和操作范圍,對操作人員的上崗、調離等做出嚴格規(guī)定,詳細制定了計算機綜合業(yè)務系統(tǒng)的管理辦法,要求各電子網點記錄微機運行日志,對數據每日進行備份,對廢棄的磁盤、磁帶、報表不得隨意丟棄,交由信息中心統(tǒng)一處理。 

四、防治計算機病毒 

隨著信息辦公自動化的深入,各教研室在處理業(yè)務報表、數據和日常辦公中越來越多的用到了計算機。為保證各教研室的計算機不受病毒危害,信息中心為每臺微機上都安裝了實時的查、殺、防病毒的軟件,并及時進行軟件升級和定期進行查殺病毒。同時還把計算機病毒預防措施下發(fā)至各教研室的微機操作員手中,從專機專用、數據備份、軟盤管理、實時殺毒、禁用盜版、禁玩游戲等幾方面入手,使計算機病毒防治形成制度化。 

對照《學校計算機信息系統(tǒng)安全檢查表》的要求,我校信息中心在以往的工作中,主要作了以上幾方面的工作,但還有些方面要急待改進。 

一是今后還要進一步加強與公安機關和教育主管部門的工作聯(lián)系,以此來查找差距,彌補工作中的不足。 

二是要加強計算機安全意識教育和防范技能訓練,充分認識到計算機案件的嚴重性。把計算機安全保護知識真正融于學校知識的學習中,而不是輕輕帶過;人防與技防結合,把計算機安全保護的技術措施看作是保護信息安全的一道看不見的屏障。

潢川一中

篇3

 

為了貫徹國家對信息系統(tǒng)安全保障工作的要求以及等級化保護堅持“積極防御、綜合防范”的方針,需要全面提高信息安全防護能力。貴州廣電網絡信息系統(tǒng)建設需要進行整體安全體系規(guī)劃設計,全面提高信息安全防護能力,創(chuàng)建安全健康的網絡環(huán)境,保護國家利益,促進貴州廣電網絡信息化的深入發(fā)展。

 

1安全規(guī)劃的目標和思路

 

貴州廣電網絡目前運營并管理著兩張網絡:辦公網與業(yè)務網;其中辦公網主要用于貴州廣電網絡各部門在線辦公,重要的辦公系統(tǒng)為OA系統(tǒng)、郵件系統(tǒng)等;業(yè)務網主要提供貴州廣電網絡各業(yè)務部門業(yè)務平臺,其中核心業(yè)務系統(tǒng)為BOSS系統(tǒng)、互動點播系統(tǒng)、安全播出系統(tǒng)、內容集成平臺以及寬帶系統(tǒng)等。

 

基于對貴州廣電網絡信息系統(tǒng)的理解和國家信息安全等級保護制度的認識,我們認為,信息安全體系是貴州廣電網絡信息系統(tǒng)建設的重要組成部分,是貴州廣電網絡業(yè)務開展的重要安全屏障,它是一個包含貴州廣電網絡實體、網絡、系統(tǒng)、應用和管理等五個層面,包括保護、檢測、響應、恢復四個方面,通過技術保障和管理制度建立起來的可靠有效的安全體系。

 

1.1設計目標

 

貴州廣電網絡就安全域劃分已經進行的初步規(guī)劃,在安全域整改中初見成效,然而,安全系統(tǒng)建設不僅需要建立重要資源的安全邊界,而且需要明確邊界上的安全策略,提高對核心信息資源的保護意識。貴州廣電網絡相關安全管理體系的建設還略顯薄弱,管理細則文件亟需補充,安全管理人員亟需培訓。因此,本次規(guī)劃重點在于對安全管理體系以及目前的各個業(yè)務系統(tǒng)進行了全面梳理,針對業(yè)務系統(tǒng)中安全措施進行了重點分析,綜合貴州廣電網絡未來業(yè)務發(fā)展的方向,進行未來五年的信息安全建設規(guī)劃。

 

1.2設計原則

 

1.2.1合規(guī)性原則

 

安全設計要符合國家有關標準、法規(guī)要求,符合廣電總局對信息安全系統(tǒng)的等級保護技術與管理要求。良好的信息安全保障體系必然是分為不同等級的,包括對信息數據保密程度分級,對用戶操作權限分級,對網絡安全程度分級(安全子網和安全區(qū)域),對系統(tǒng)實現(xiàn)結構的分級(應用層、網絡層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全技術和安全體制,以滿足貴州廣電網絡業(yè)務網、辦公網系統(tǒng)中不同層次的各種實際安全需求。

 

1.2.2技管結合原則

 

信息安全保障體系是一個復雜的系統(tǒng)工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現(xiàn)。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。

 

1.2.3實用原則

 

安全是為了保障業(yè)務的正常運行,不能為了安全而妨礙業(yè)務,同時設計的安全措施要可以落地實現(xiàn)。

 

1.3設計依據

 

1.3.1“原則”符合法規(guī)要求

 

依據《中華人民共和國計算機信息系統(tǒng)安全保護條例K國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[20〇3]27號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)和GB/T22240-2009《信息安全技術信息系統(tǒng)安全等級保護定級指南》、GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、《廣播電視安全播出管理規(guī)定》(廣電總局62號令)、GDJ038-CATV|有線網絡。

 

2011《廣播電視播出相關信息系統(tǒng)等級保護基本要求》,對貴州省廣播電視相關信息系統(tǒng)安全建設進行規(guī)劃。

 

1.3.2“策略”符合風險管理

 

風險管理是基于“資產-價值-漏洞-風險-保障措施”的思想進行保障的。風險評估與管理的理論與方法已經成為國際信息安全的標準。

 

風險管理是靜態(tài)的防護策略,是在對方攻擊之前的自我鞏固的過程。風險分析的核心是發(fā)現(xiàn)信息系統(tǒng)的漏洞,包括技術上的、管理上的,分析面臨的威脅,從而確定防護需求,設計防護的措施,具體的措施是打補丁,還是調整管理流程,或者是增加、增強某種安全措施,要根據用戶對風險的可接受程度,這樣就可以與安全建設的成本之間做一個平衡。

 

1.3.3“措施”符合P2DR模型

 

美國ISS公司(IntemetSecuritySystem,INC)設計開發(fā)的P2DR模型包括安全策略(Policy)、檢測(Detection)、防護(Protection)和響應(Response)四個主要部分,是一個可以隨著網絡安全環(huán)境的變化而變化的、動態(tài)的安全防御系統(tǒng)。安全策略是整個P2DR模型的中樞,根據風險分析產生的安全策略描述了系統(tǒng)中哪些資源要得到保護,以及如何實現(xiàn)對它們的保護等,策略是模型的核心,所有的防護、檢測和響應都是依據安全策略實施的。

 

檢測(Detection)、防護(Protection)和響應(Response)三個部分又構成一個變化的、動態(tài)的安全防御體系。P2DR模型是在整體的安全策略的控制和指導下,在綜合運用防護工具(如防火墻、身份認證、加密等)的同時,利用檢測工具(如漏洞評估、入侵檢測等)了解和評估系統(tǒng)的安全狀態(tài),通過適當的反應將系統(tǒng)調整至“最安全”和“風險最低”的狀態(tài),在安全策略的指導下保證信息系統(tǒng)的安全[3]。

 

1.4安全規(guī)劃體系架構

 

在進行了規(guī)劃“原則”、“策略”、“措施”探討的基礎上,我們設計貴州廣電網絡的安全保障體系架構為“一個中心、兩種手段”。

 

“一個中心”,以安全管理中心為核心,構建安全計算環(huán)境、安全區(qū)域邊界和安全通信網絡,確保業(yè)務系統(tǒng)能夠在安全管理中心的統(tǒng)一管控下運行,不會進入任何非預期狀態(tài),從而防止用戶的非授權訪問和越權訪問,確保業(yè)務系統(tǒng)的安全。

 

“兩種手段”,是安全技術與安全管理兩種手段,其中安全技術手段是安全保障的基礎,安全管理手段是安全技術手段真正發(fā)揮效益的關鍵,管理措施的正確實施同時需要有技術手段來監(jiān)管和驗證,兩者相輔相成,缺一不可。

 

2安全保陳方案規(guī)劃

 

2.1總體設計

 

貴州廣電網絡的安全體系作為信息安全的技術支撐措施,分為五個方面:

 

邊界防護體系:安全域劃分,邊界訪問控制策略的部署,主要是業(yè)務核心資源的邊界,運維人員的訪問通道。

 

行為審計體系:通過身份鑒別、授權管理、訪問控制、行為曰志等手段,保證用戶行為的合規(guī)性。

 

安全監(jiān)控體系:監(jiān)控網絡中的異常,維護業(yè)務運行的安全基線,包括安全事件與設備故障,也包括系統(tǒng)漏洞與升級管理。

 

公共安全輔助:作為整個網絡信息安全的基礎服務系統(tǒng),包括身份認證系統(tǒng)、補丁管理系統(tǒng)以及漏洞掃描系統(tǒng)等。

 

IT基礎設施:提供智能化、彈能力的基礎設施,主要的機房的智能化、服務器的虛擬化、存儲的虛擬化等。

 

2.2安全域劃分

 

劃分安全域的方法是首先區(qū)分網絡功能區(qū)域,服務器資源區(qū)、網絡連接區(qū)、用戶接入區(qū)、運維管理區(qū)、對外公共服務區(qū);其次是在每個區(qū)域中,按照不同的安全需求區(qū)分不同的業(yè)務與用戶,進一步劃分子區(qū)域;最后,根據每個業(yè)務應用系統(tǒng),梳理其用戶到服務器與數據庫的網絡訪問路徑,通過的域邊界或網絡邊界越少越好。

 

Z3邊界防護體系規(guī)劃

 

邊界包括網絡邊界、安全域邊界、用戶接口邊界(終端與服務器)、業(yè)務流邊界,邊界上部署訪問控制措施,是防止非授權的“外部”用戶訪問“里面”的資源,因此分析業(yè)務的訪問流向,是訪問控制策略設計的依據。

 

2.3.1邊界措施選擇

 

在邊界上我們建議四種安全措施:

 

1.網絡邊界:與外部網絡的邊界是安全防護的重點,我們建議采用統(tǒng)一安全網關(UTM),從網絡層到應用層的安全檢測,采用防火墻(FW)部署訪問控制策略,采用入侵防御系統(tǒng)(IPS)部署對黑客入侵的檢測,采用病毒網關(AV)部署對病毒、木馬的防范;為了方便遠程運維工作,與遠程辦公實施,在網絡邊界上部署VPN網關,對遠程訪問用戶身份鑒別后,分配內網地址,給予限制性的訪問授權。Web服務的SQL注入、XSS攻擊等。

 

3.業(yè)務流邊界:安全需求等級相同的業(yè)務應用采用VLAN隔離,采用路由訪問限制策略;不同部門的接入域也采用VLAN隔離,防止二層廣播,通知可以在發(fā)現(xiàn)安全事件時,開啟不同子域的安全隔離。

 

4.終端邊界:重點業(yè)務系統(tǒng)的終端,如運維終端,采用終端安全系統(tǒng),保證終端上系統(tǒng)的安全,如補丁的管理、黑名單軟件管理、非法外聯(lián)管理、移動介質管理等等。

 

2.3.2策略更新管理

 

邊界是提高入侵者的攻擊“門檻”的,部署安全策略重點有兩個方面:一是有針對性。允許什么,不允許什么,是明確的;二是動態(tài)性。就是策略的定期變化,如訪問者的口令、允許遠程訪問的端口等,變化的周期越短,給入侵者留下的攻擊窗口越小。

 

2.4行為審計體系規(guī)劃

 

行為審計是指對網絡用戶行為進行詳細記錄,直接的好處是可以為事后安全事件取證提供直接證據,間接的好處乇兩方面:對業(yè)務操作的日志記錄,可以在曰后發(fā)現(xiàn)操作錯誤、確定破壞行為恢復時提供操作過程的反向操作,最大程度地減小損失;對系統(tǒng)操作的日志記錄,可以分析攻擊者的行為軌跡,從而判斷安全防御系統(tǒng)的漏洞所在,亡羊補牢,可以彌補入侵者下次入侵的危害。

 

行為審計主要措施包括:一次性口令、運維審計(堡壘機)、曰志審計以及網絡行為審計。

 

2.5安全監(jiān)控體系規(guī)劃

 

監(jiān)控體系不僅是網絡安全態(tài)勢展示平臺,也是安全事件應急處理的指揮平臺。為了管理工作上的方便,在安全監(jiān)控體系上做到幾方面的統(tǒng)一:

 

1.運維與安全管理的統(tǒng)一:業(yè)務運維與安全同平臺管理,提高安全事件的應急處理速度。

 

2.曰常安全運維與應急指揮統(tǒng)一:隨時了解網絡上的設備、系統(tǒng)、流量、業(yè)務等狀態(tài)變化,不僅是日常運維發(fā)現(xiàn)異常的平臺,而且作為安全事件應急指揮的調度平臺,隨時了解安全事件波及的范圍、影響的業(yè)務,同時確定安全措施執(zhí)行的效果。

 

3.管理與考核的統(tǒng)一:安全運維人員的工作考核就是網絡安全管理的曰常工作與緊急事件的處理到位,在安全事件的定位、跟蹤、處理過程中,就體現(xiàn)了安全運維人員服務的質量。因此對安全運維平臺的行為記錄就可以為運維人員的考核提供一線的數據。

 

安全監(jiān)控措施主要包括安全態(tài)勢監(jiān)控以及安全管理平臺,2.6公共安全輔助系統(tǒng)

 

作為整個網絡信息安全的基礎服務系統(tǒng),需要建設公共安全輔助系統(tǒng):

 

1.身份認證系統(tǒng):獨立于所有業(yè)務系統(tǒng)之外,為業(yè)務、運維提供身份認證服務。

 

2.補丁管理系統(tǒng):對所有系統(tǒng)、應用的補丁進行管理,對于通過測試的補丁、重要的補丁,提供主動推送,或強制執(zhí)行的技術手段,保證網絡安全基線。

 

3.漏洞掃描系統(tǒng):對于網絡上設備、主機系統(tǒng)、數據庫、業(yè)務系統(tǒng)等的漏洞要及時了解,對于不能打補丁的系統(tǒng),要確認有其他安全策略進行防護。漏洞掃描分為兩個方面,一是系統(tǒng)本身的漏洞,二是安全域邊界部署了安全措施之后,實際用戶所能訪問到的漏洞(滲透性測試服務)。

 

2.7IT基礎設施規(guī)劃

 

IT基礎設施是所有網絡業(yè)務系統(tǒng)服務的基礎,具備一個優(yōu)秀的基礎架構,不僅可以快速、靈活地支撐各種業(yè)務系統(tǒng)的有效運行,而且可以極大地提高基礎IT資源的利用率,節(jié)省資金投入,達到環(huán)保的要求。

 

IT基礎設施的優(yōu)化主要體現(xiàn)在三個方面:智能機房、服務器虛擬化、存儲虛擬化。

 

3安全筐理體系規(guī)劃

 

在系統(tǒng)安全的各項建設內容中,安全管理體系的建設是關鍵和基礎,建立一套科學的、可靠的、全面而有層次的安全管理體系是貴州省廣播電視信息網絡股份有限公司安全建設的必要條件和基本保證。

 

3_1安全管理標準依據

 

以GBAT22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》中二級、三級安全防護能力為標準,對貴州廣電網絡安全管理體系的建設進行設計。

 

3.2安全管理體系的建設目標

 

通過有效的進行貴州廣電網絡的安全管理體系建設,最終要實現(xiàn)的目標是:采取集中控制模式,建立起貴州廣電網絡完整的安全管理體系并加以實施與保持,實現(xiàn)動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的安全管理模式,從而在管理上確保全方位、多層次、快速有效的網絡安全防護。

 

3.3安全管理建設指導思想

 

各種標準體系文件為信息安全管理建設僅僅提供一些原則性的建議,要真正構建符合貴州廣電網絡自身狀況的信息安全管理體系,在建設過程中應當以以下思想作為指導:“信CATV丨有線網絡息安全技術、信息安全產品是信息安全管理的基礎,信息安全管理是信息安全的關鍵,人員管理是信息安全管理的核心,信息安全政策是進行信息安全管理的指導原則,信息安全管理體系是實現(xiàn)信息安全管理最為有效的手段?!?/p>

 

3.4安全管理體系的建設具體內容

 

GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》(以下簡稱《基本要求》)對信息系統(tǒng)的安全管理體系提出了明確的指導和要求。我們應以《基本要求》為標準,結合目前貴州廣電網絡安全管理體系的現(xiàn)狀,對廣電系統(tǒng)的管理機構、管理制度、人員管理、技術手段四個方面進行建設和加強。同時,由于信息安全是一個動態(tài)的系統(tǒng)工程,所以,貴州廣電網絡還必須對信息安全管理措施不斷的加以校驗和調整,以使管理體系始終適應和滿足實際情況的需要,使貴州廣電網絡的信息資產得到有效、經濟、合理的保護。

 

貴州廣電網絡的安全管理體系主要包括安全管理機構、安全管理制度、安全標準規(guī)范和安全教育培訓等方面。

 

通過組建完整的信息網絡安全管理機構,設置安全管理人員,規(guī)劃安全策略、確定安全管理機制、明確安全管理原則和完善安全管理措施,制定嚴格的安全管理制度,合理地協(xié)調法律、技術和管理三種因素,實現(xiàn)對系統(tǒng)安全管理的科學化、系統(tǒng)化、法制化和規(guī)范化,達到保障貴州廣電網絡信息系統(tǒng)安全的目的。

 

3.5曰常安全運維3.5.1安全風險評估

 

安全風險評估是建立主動防御安全體系的重要和關鍵環(huán)節(jié),這環(huán)的工作做好了可以減少大量的安全威脅,提升整個信息系統(tǒng)的對網絡災難的免疫能力;風險評估是信息安全管理體系建立的基礎,是組織平衡安全風險和安全投入的依據,也是信息安全管理體系測量業(yè)績、發(fā)現(xiàn)改進機會的最重要途徑。

 

3.5.2網絡管理與安全管理

 

網絡管理與安全管理的主要措施包括:出入控制、場地與設施安全管理、網絡運行狀態(tài)監(jiān)控、安全設備監(jiān)控、安全事件監(jiān)控與分析、提出預防措施。

 

3.5.3備份與容災管理

 

貴州廣電網絡主要關鍵業(yè)務系統(tǒng)需要雙機本地熱備、數據離線備份措施;其他相關業(yè)務應用系統(tǒng)需要數據離線備份措施。

 

3.5.4應急響應計劃

 

通過建立應急相應機構,制定應急響應預案,通過建立專家資源庫、廠商資源庫等人力資源措施,通過對應急響應有線網絡ICATV預案不低于一年兩次的演練,可以在發(fā)生緊急事件時,做到規(guī)范化操作,更快的恢復應用和數據,并最大可能的減少損失

 

3.6安全人員管理

 

信息系統(tǒng)的運行是依靠在各級黨政機構工作的人員來具體實施的,他們既是信息系統(tǒng)安全的主體,也是系統(tǒng)安全管理的對象。所以,要確保信息系統(tǒng)的安全,首先應加強人事安全管理。

 

安全人員應包括:系統(tǒng)安全管理員、系統(tǒng)管理員、辦公自動化操作人員、安全設備操作員、軟硬件維修人員和警衛(wèi)人員。

 

其中系統(tǒng)管理員、系統(tǒng)安全管理員必須由不同人員擔當。3.7技術安全管理

 

主要措施包括:軟件管理、設備管理、備份管理以及技術文檔管理。

 

4安全規(guī)劃分期建設路線

 

信息安全保障重要的是過程,而不一定是結果,重要的是安全意識的提高,而不一定是安全措施的多少。因此,信息安全建設也應該從保障業(yè)務運營為目標,提高用戶自身的安全意識為思路,根據業(yè)務應用的模式與規(guī)模逐步、分階段建設,同時還要符合國家與廣電總局關于等級保護的技術與管理要求。

 

4.1主要的工作內容

 

根據安全保障方案規(guī)劃的設計,貴州廣電網絡的信息安全建設分為如下幾個方面的內容:

 

1.網絡優(yōu)化改造:主要是安全域的劃分,網絡結構的改造。

 

2.安全措施部署:邊界隔離措施部署,行為審計系統(tǒng)部署、安全監(jiān)控體系部署。

 

3.基礎設施改造:主要是數據大集中、服務器虛擬化、存儲虛擬化。

 

4.安全運維管理:信息安全管理規(guī)范、日常安全運維考核、安全檢查與審計流程、安全應急演練、曰常安全服務等。

 

4.2分期建設規(guī)劃

 

4_2.1達標階段(2015-2017)

 

1.等保建設

 

2.信任體系:網絡審計、運維審計、日志審計

 

3.身份鑒別(一次口令)

 

4.監(jiān)控平臺:入侵檢測、流量監(jiān)測、木馬監(jiān)測

 

5.安全管理平臺建設

 

6.等保測評通過(2級3級系統(tǒng))

 

7.安全服務:建立定期模式

 

8.滲透性測試服務(外部+內部)

 

9.安全加固服務,建立服務器安全底線

 

10.信息安全管理

 

11.落實安全管理細則文件制定

 

12.落實安全運維與應急處理流程

 

13.完善IT服務流程,建設安全運維管理平臺

 

14.定期安全演練與培訓

 

4.2.2持續(xù)改進階段(2018?2019)

 

1.等保建設

 

2.完善信息安全防護體系

 

3.提升整體防護能力

 

4.深度安全服務

 

5.有針對性安全演練,協(xié)調改進管理與技術措施

 

6.源代碼安全審計服務(新上線業(yè)務)

 

7.信息安全管理

 

8.持續(xù)改進運維與應急流程與制度,提高應急反應能力

 

9.提高運維效率,開拓運維增值模式

 

5結東語

篇4

關鍵詞:第三方支付安全問題解決辦法

一、第三方支付的概念

和以前由傳統(tǒng)的由中央銀行,銀行,非銀行金融機構,在境內開辦的外資、僑資、中外合資金融機構所組成的完整金融機構體系獨自運作不同,現(xiàn)如今,已經有越來越多的非金融機構參加到金融體系的運作之中。非金融機構提供支付服務、與銀行業(yè)既合作又競爭,已經成為一支重要的力量。這種合作尤其體現(xiàn)在一些和國內玩各大銀行簽約并具備一定實力和信譽保障的第三方支付服務商提供的交易支持平臺,即上文所說的第三方支付。這個交易平臺在收付款人和各個法人組織之間作為中介機構提供了貨幣資金轉移服務,包括現(xiàn)行的網絡支付、預付卡的發(fā)行與受理、預付資金的管理與銀行卡收單,及主流金融機構確定的其他支付服務的作為第三方支付平臺的非金融機構,也就是我們提到的“第三方支付機構”[1]。

二、第三方支付存在的主要安全問題

伴隨著第三方支付的迅猛發(fā)展的,必然是一系列亟需我們解決的重要安全問題。我國支付方面的法律相對比較落后,在支付過程中容易留下許多漏洞,使許多不法商人有機可趁。目前存在的數百家第三方支付機構中,魚龍混雜,質量參差不齊,用戶的交易安全和個人信息其實存在很大的風險。

1.應用程序中存在安全漏洞導致信用卡套現(xiàn)、洗錢問題層出不窮

第三方支付技術門檻較低,在第三方支付平臺的搭建中沒有對安全防護能力給予足夠的重視,致使系統(tǒng)可能存在信息管理,支付安全等方面的問題。通過專業(yè)安全系統(tǒng)的不定時抽量檢測,發(fā)現(xiàn)了許多存在的重要隱患,如SQL注入、跨站腳本、網絡釣魚以及登錄方式不安全,用戶信息泄漏等[2]。顯然,在第三方支付平臺的建設過程中,安全防護的環(huán)節(jié)是相對不受重視的,太快的發(fā)展與不過硬的安全防護措施必然會使安全防護環(huán)節(jié)顯得很薄弱,讓存在的安全問題顯得更為突出并造成很大的信用危機以及一種不健康的交易狀況。根據資料,主要存在以下幾個問題:

(1)安全設備以及防火墻不完善

(2)沒有對平臺部署實施監(jiān)控系統(tǒng)

(3)重要網絡設備的物理環(huán)境不安全,容易出現(xiàn)人為操作篡改數據

(4)應對突發(fā)事件的處理能力不足

并且,在支付中,有相當一部分屬于虛擬貨幣的交易,比如騰訊公司的Q幣,移動通訊公司的話費充值等,不排除有些人通過設立多個賬戶,從事虛假的虛擬貨幣交易,以此轉移不法資金,已達到洗錢的目的。

2.安全管理機構不健全,安全保障的技術手段需要改進

目前第三方支付平臺普遍采用的技術安全保障手段――數字證書,其并不是真正意義的獨立第三方CA認證,而是內部建設一套符合實際要求的證書注冊審計系統(tǒng),是自身具備證書申請、審批、下載、證書狀態(tài)在線查詢、證書撤銷等功能。然而這種數字證書并沒有法律效力。并且,從當下的網絡現(xiàn)狀來看,信息安全管理制度還不成體系,沒有建立總體方針,安全管理制度和操作規(guī)程缺失,安全策略存在著很大的不完整。

3.個人信息不能得到保護造成了許多賬戶資金被盜,網絡詐騙時有發(fā)生

許多第三方支付平臺要求用戶提供真實姓名、銀行卡號甚至身份證號,然后這些平臺中,個別網站在信息管理上存在很大問題,致使這些信息很容易被竊取,造成客戶隱私的泄露。第三方支付平臺隱私管理政策不合理,免責條款過多,大多把最終解釋全留給自己,使用戶不得不同意這些條款并且當自己利益受到損失的時候,沒有辦法有效的進行反擊。

4. 第三方支付平臺本身不是金融機構,用戶的安全意識薄弱

目前,國內的第三方支付企業(yè)屬于非金融機構,是有限責任公司的性質,一旦公司出現(xiàn)破產等情形,則可能引發(fā)劇烈的多米諾骨牌的效應,導致其他的企業(yè)資金鏈出現(xiàn)問題。然后很多用戶沒有意識到,即使是附屬于某些著名的網站,第三方支付平臺也存在一個信用問題,不能盲目信任。相對銀行金融機構,非金融機構對于安全問題的認識還遠不能及,對用重要信息

三、針對國內主流第三方支付平臺的安全策略分析以及監(jiān)督管理

隨著第三方支付平臺交易規(guī)模的逐漸擴大,電子商務的影響已經越來越大,在各個領域層面均有滲透。因此,有關非金融機構備付金管理、網絡系統(tǒng)穩(wěn)定性以及消費者權益保護等問題,已經引起了廣大群眾的高度關注。采取措施促進非金融機構和第三方支付平臺的健康發(fā)展,會很大程度上影響電子商務的成敗,關系到整個交易平臺的正常進行。

1.加強實名認證、全額賠付應對資金被盜和網絡詐騙。第三方支付機構應加強安全檢查,及時修復安全漏洞

早在2006年7月,支付寶就推出了支付寶認證服務,對所有使用支付寶的賣家進行雙重身份認定,即身份證和銀行卡的認證。除了與公安部全國公寓身份證號碼查詢服務中心合作檢驗身份證的真?zhèn)?,支付寶海域各大商業(yè)銀行進行合作,利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確。并且,支付寶公司還在國內率先推出了全額賠付制度和交易安全基金,網絡欺詐發(fā)生率僅為萬分之二。

2.配合國家出行的制度,配合央行加大力度打擊各種詐騙

2009年4月,中國人民銀行公告,對從事支付業(yè)務的非金融機構進行登記。

2010年6月14日,中國人民銀行《非金融機構支付服務管理辦法》,對非金融機構支付業(yè)務實施行政許可。

2010年12月,中國人民銀行《非金融支付服務管理辦法實施細則》[3]。

這些不僅對作為第三那方支付平臺的非金融機構做出嚴格規(guī)定,同時也對支付平臺的用戶加以嚴格管理,此舉無疑會對網絡非法套現(xiàn)造成打擊。央行對非金融機構的支付的技術和安全性的高度重視,技術和安全監(jiān)測是非金融機構申請許可證過程中最關鍵也是最嚴格的環(huán)節(jié)。

3.第三方支付機構應增強安全意識,加強信息安全體系建設,爭取早日拿到央行的電子支付牌照

完善網絡信息安全管理制度,加強交易平臺的安全管理,增強客戶對交易平臺的信任。對第三方支付平臺操作人員進行統(tǒng)一的安全知識和專業(yè)知識的培訓,加強這個操作隊伍的安全組織性。及時出臺主流有效的針對安全漏洞的安全措施與策略并積極落實。同時對所有用戶進行安全信息管理的知識普及。

并且根據中國之聲新聞縱橫報道,央行支付結算司相關工作人員表示,首批第三方支付牌照已在2010年年底發(fā)放。因此,獲得官方認證是主流第三方支付平臺的必經之路[4]。

四、結束語

相信隨著電子支付的發(fā)展,這些非金融機構從事電子支付業(yè)務會成為電子支付發(fā)展的不可逆轉的趨勢,然而這同樣要求非金融機構即這些第三支付平臺有更完善的信息安全管理系統(tǒng),為用戶提供一個更加安全的交易平臺。一旦第三方支付交易平臺存在的問題得到解決,突破了網上交易中的信用問題,其必將成為引導網絡消費者走入健康發(fā)展的軌道,成為促進中國網上支付完善和發(fā)展的主要途徑和必然趨勢。同時,第三方支付服務也將成為解脫誠信困擾,邁向下一里程碑的重要環(huán)節(jié)之一,成為電子商務發(fā)展的助推器。

參考文獻:

[1]林小燕.基于第三方電子商務平臺的C2C貿易[M].廈門大學出版社,2010.

[2]劉建國.電子商務安全管理與支付[M], 立信會計出版社,2011

篇5

關鍵詞:互聯(lián)網;隱私權;現(xiàn)實;保護方法;

中圖分類號:TP393.08

20世紀末以后,互聯(lián)網逐漸改變人們的生活,互聯(lián)網在給人類帶來便利和經濟利益時,也存在許多不安全因素,特別是互聯(lián)網的易窺竊性和公開性很容易使人的隱私暴露于天下,個人隱私面臨嚴重威脅,從而對人類生活提出了重大挑戰(zhàn),隱私權受到影響即是其中之一。當不斷被互聯(lián)網曝光的名人隱私,在現(xiàn)實世界吸引越來越多看客時,互聯(lián)網又存在哪些現(xiàn)實問題?我們又該如何保護個人隱私?

1 互聯(lián)網隱私權現(xiàn)實問題

1.1 完善互聯(lián)網隱私權保護的立法

俗話說“七分管理三分技術”,為了有效保障互聯(lián)網隱私權,所以必須建立隱私權保護的立法體系。(1)國際上信息安全管理標準。1999年英國標準協(xié)會修訂的《信息安全管理實施規(guī)則》;2000年12月,通過ISO表決的《信息技術—信息安全管理實施細則》;(2)國內有關信息安全的部分法律法規(guī)。如《信息網絡傳播權保護條例》、《互聯(lián)網信息服務管理辦法》、《電子認證服務密碼管理辦法》、《中華人民共和國電子簽名法》、《互聯(lián)網IP地址備案管理辦法》等等。雖然這些法規(guī)還不很全面,但也是我國在立法上的一大進步。(3)對互聯(lián)網隱私權保護立法的建議:1)加緊立法規(guī)制,制定相應配套的行政法規(guī)規(guī)章。單獨制定個人信息保護法或數據保管條例,可以靈活地與有關的行政規(guī)章結合起來;2)建立專門的隱私保護委員會。在互聯(lián)網主管部門的監(jiān)管下設立相應的隱私保護委員會,加強互聯(lián)網隱私方面的教育和宣傳工作,處理互聯(lián)網隱私權方面的投訴和相關事務,加強同國際社會的協(xié)調和銜接,做好國內互聯(lián)網隱私權方面的調查和研究,為相關立法做好前期準備工作,并監(jiān)督相關法律的實施情況;3)加強行業(yè)自律。目前我國最重要的互聯(lián)網自律組織就是中國互聯(lián)網協(xié)會,自律形式比較單一,在這方面我國可借鑒美國的相關經驗,其中比較重要的是互聯(lián)網隱私認證聯(lián)盟計劃對于我國強化互聯(lián)網隱私權保護及誠信服務理念的確立大有好處;4)建立完善的補償機制。通過互聯(lián)網收集個人信息并非法用于商業(yè)的案例逐漸增多的情況下,建立一套完善的民事補償機制,對保護個人隱私是必不可少的。

2 利用計算機技術對個人隱私進行保護

2.1 安裝防火墻。每一網的計算機都要采取安全措施阻止惡意的數據傳輸,所以要安裝防火墻。防火墻的特點有:(1)可隱藏內部網絡結構;(2)可實施網絡的安全策略;等等。(3)可對有關管理人員發(fā)出警告;(4)可限制對對象的訪問;其功能有:(1)審計并提供記錄和報表;(2)管理功能;(3)安全特性;(4)訪問和防御功能;(5)加密支持和認證支持;(6)協(xié)議支持;等等。所以防火墻可以很好地幫助抵御黑客的攻擊。

2.2 安裝防病毒軟件。一臺計算機如果安裝了防病毒軟件,就比較安全。國內知名殺毒軟件有:360、瑞星等,國外知名殺毒軟件有:賽門鐵克、卡巴斯基等。安裝防病毒軟件后,務必經常升級來預防新病毒,否則,根本起不到保護的作用。

2.3 對計算機進行安全設置。在計算機中,通常有一些不必要的服務,最好能將這些沒有用的服務關閉。為了防止黑客的入侵,可以關閉不必要的端口(即減少不必要的功能),把服務器安裝在防火墻后面,被黑客入侵的可能性就會小些??梢孕遁d“文件和打印機共享”。

可以通過控制面板,開啟系統(tǒng)審核策略和密碼策略以及賬戶鎖定策略(一般系統(tǒng)默認都是沒有開啟的);也可以通過360安全衛(wèi)士等工具來幫助下載最新的補丁。

可以關閉系統(tǒng)默認的共享,因為系統(tǒng)共享會給用戶帶來不少麻煩,會有病毒通過共享入侵計算機,默認的共享后面都有“$”標志(即隱含的意思)。在WINDOWS XP下,可以通過在DOS提示符下使用Net Share命令查看這些共享。關閉共享的方法有如:(1)通過“控制面板”—“管理工具”—“計算機管理”—“共享文件夾”—“共享”,要相應的共享文件(夾)右擊,再單擊“停止共享”。(2)通過注冊表修改程序修改相應的鍵值。運行regedit打開注冊表編輯器,找到“HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ SERVICES \ lanmanserver \ parameters”項,雙擊右邊窗口的“AutoShareServer”項,把鍵值修改為0(如果沒有此項,可以自行新建并修改鍵值)。然后,再在同一窗口下找到“AuotShareWks”項,也把鍵值修改為0,關閉admin $共享。(3)禁止通過TTL來判斷主機類型。為了防止黑客通過PING命令查看活動時間值來判斷目標主機的類型,可以修改TTL的值,那么入侵者就沒那么容易入侵主機了。

2.4 對電子郵件進行加密。目前使用電子郵件發(fā)送重要信息和通知以及進行商業(yè)交流等,已經成為信息社會必不可少的方式,為了保證郵件不被截獲或修改,可以利用數字簽名方式(如Hash簽名、DSS簽名、RSA簽名)對郵件作特殊標志后再發(fā)送。

2.5 加密保護重要的文件(文件夾)。可以用加密軟件進行加密;也可以將所有重要的文件移動到臨時文件夾,再用壓縮軟件進行壓縮并加上密碼。

2.6 系統(tǒng)密碼和BIOS密碼的設置。在BIOS中設置開機的密碼,或在WINDOWS XP、WINDOWS 7等操作系統(tǒng)中,設置管理員(或用戶)密碼。密碼設置一般不少于10位,且盡量設置得復雜些,如包含數字、字母、特殊符號等,并建議定期更改,密碼策略要求密碼必須在42天內更改。

2.7 屏保密碼的設置。以WINDOWS 7為例,在桌面空白處右擊,單擊“個性化(R)”,打開“個性化”窗口,單擊“屏幕保護程序”圖標,打開“屏幕保護程序設置”對話框,將“屏幕保護程序”欄中的下拉列表框設置為自己喜歡的選項,單擊“設置(T)…”按鈕,在“密碼保護”旁邊打勾,在彈出的對話框中輸入密碼。進入屏保后,如果別人要操作你的電腦,必須輸入正確的密碼。

3 在網上不聊及且不存儲隱私信息

很多個人信息如身份證號碼,生日等比較重要,最好不要輕易在互聯(lián)網上面公開。在瀏覽互聯(lián)網時,要正確設置網頁瀏覽器。如果瀏覽的網站是可以信任的,那么可以把不是十分重要的個人信息放在上面,否則的話最好用相關詞替代。當然,有些網站由于其服務性質,要求你填寫比較重要的個人信息,包括像在網上購買飛機票或是網上銀行的儲蓄轉賬之類,此時你必須按照其要求填寫內容,但還是要謹慎,防止“釣魚”網站,在你不確定時,可通過“Verisign”之類的第三方認證公司得到訪問網站的電子證書/簽名,以此證明其真實和可靠性。另外操作系統(tǒng)也可能允許你默認或自己設置一些和互聯(lián)網瀏覽相關的參數,比如打開互聯(lián)網窗口數量,或同時下載文件數量等,如你遇到需要填寫個人信息的地方,也應作斟酌。如你家里有孩子,那么應該讓他們也明確上網時應遵守的原則,如不要輕易在互聯(lián)網上留下自己或父母的信息。

4 保護電子郵箱

一些不法人士常常會利用電子郵箱作為入侵隱私的門戶。因此有必要對電子郵箱做好保護工作。當在互聯(lián)網上的聊天室、論壇、微博等公共場所,涉及到電子郵箱時,可用取代,甚至為此專門申請一個免費郵箱來接受相關的無關緊要的郵件。由于這些在公共場合張貼的電子郵箱很容易被垃圾郵件發(fā)送者(或是自動垃圾郵件發(fā)送程序)利用,如果被利用,且垃圾郵件數目和發(fā)送頻率完全讓你無法控制,那么你可拋棄原來的免費郵箱,再申請一個。無論如何千萬不要點擊垃圾郵件里面的鏈接,也不要回復。

綜上可知,在互聯(lián)網時代,我們每個人隱私信息很容易被泄露。其實我們更希望的是所有個人和行業(yè)都能夠緊守自己的道德底線,不隨意竊取利用他人隱私,在社會整體道德水平還未達到這個階段時,任何人都要提高隱私保護意識,謹慎保管個人隱私信息。

參考文獻:

[1]郭明珠,魏來,魏佳珅.個性化信息服務中用戶隱私保護對策探究[J].圖書館學研究,2010(15).

[2][美]馬澤爾,卡瑪日薩米尼,拉提夫.云計算安全與隱私[M].劉戈舟,楊澤明,劉寶旭譯.北京:機械工業(yè)出版社,2011.

篇6

關鍵詞:電子政務系統(tǒng);網絡安全;研究;應用

電子政務,即各級機關在實踐管理工作開展過程中需借助電子信息技術,打造分層結構、集中管理網絡管理環(huán)境,且推進電子政務系統(tǒng)由“功能單一”向“綜合政務網”轉變,從而提升整體政府服務水平,同時借助網絡平臺加強與公眾間的互動性,并營造雙向信息交流環(huán)境,有效應對計算機病毒、黑客攻擊、木馬程序等網絡安全問題。以下就是對電子政務系統(tǒng)網絡安全問題的詳細闡述,望其能為當前政府機構職能效用的有效發(fā)揮提供有利參考。

1.電子政務系統(tǒng)網絡安全研究

1.1網絡安全需求

就當前的現(xiàn)狀來看,電子政務系統(tǒng)網絡在運行過程中基于垃圾郵件攻擊、網絡蠕蟲、黑客攻擊、網絡安全威脅等因素的影響下,降低了服務質量。為此,當代政務系統(tǒng)針對網絡安全問題提出了相應的網絡安全需求:第一,網絡信息安全,即在電子政務系統(tǒng)操控過程中為了規(guī)避政務信息丟失等問題的凸顯,要求管理人員在實踐信息管理過程中應從信息分級保護、信息保密、身份鑒別、網絡信息訪問權限控制等角度出發(fā),對可用性網絡信息實施管理,打造良好的網絡信息使用環(huán)境;第二,管理控制安全。即由于電子政務網絡系統(tǒng)需與Internet連接,因而在內部局域網、外部局域網管理過程中,應設置隔離措施,同時針對每個局域網用戶設定訪問限定資源,并針對用戶身份進行雙向認證,由此規(guī)避黑客攻擊等問題的凸顯。而在信息傳輸過程中,亦需針對關鍵應用信息進行加密,且配置網絡監(jiān)控中心,實時掌控惡意攻擊現(xiàn)象,并做出及時響應;第三,統(tǒng)一管理全網,即為了降低網絡安全風險問題,要求當代電子政務網絡系統(tǒng)在開發(fā)過程中應制定VLAN劃分計劃,且針對通信線路、訪問控制體系、網絡功能模塊等實施統(tǒng)一管理,規(guī)避非法截獲等安全問題[1]。

1.2網絡安全風險

(1)系統(tǒng)安全風險。就當前的現(xiàn)狀來看,我國UNIX、Windows、NETWARE等操作系統(tǒng)本身存有安全隱患問題,因而網絡侵襲者在對系統(tǒng)進行操控過程中,可借助系統(tǒng)漏洞,登錄服務器或破解靜態(tài)口令身份驗證密碼,訪問服務器信息,造成政務信息泄露問題。同時,在電子政務系統(tǒng)網絡管理過程中,部分管理人員缺乏安全管理意識,從而未及時修補系統(tǒng)漏洞,且缺乏硬件服務器等安全評定環(huán)節(jié),繼而誘發(fā)了系統(tǒng)安全風險。此外,基于電子政務網絡系統(tǒng)運行的基礎上,侵襲者通常在公用網上搭線竊取口令字,同時冒充管理人員,向系統(tǒng)內部局域網直入嗅探程序,從而截獲口令字,獲取網絡管理權限,造成電子政務系統(tǒng)信息損失。為此,為了規(guī)避信息截獲等網絡安全問題的凸顯,要求管理人員在實踐管理工作開展過程中應針對操作系統(tǒng)、硬件平臺安全性進行檢測,且健全登錄過程認證環(huán)節(jié),打造良好的電子政務系統(tǒng)服務空間,滿足系統(tǒng)運行條件,同時實現(xiàn)對登陸者操作的嚴格把控。(2)應用安全風險。電子政務系統(tǒng)網絡運行中應用安全風險主要體現(xiàn)在以下幾個方面:第一,網絡資源共享風險,即各級政府機構在網絡辦公環(huán)境下,為了提升整體工作效率,注重運用網絡平臺共享機關機構組成、政務新聞、政務管理程序等信息。而若某工作人員將政務信息存儲于硬盤中,將基于缺少訪問控制手段的基礎上,造成信息竊取行為;第二,電子郵件風險,即某些不法分子為了獲取政務信息,將特洛伊木馬、病毒等程序植入到郵件中,并發(fā)送至電子政務系統(tǒng),從而通過程序跟蹤,威脅電子政務系統(tǒng)網絡安全性。為此,管理人員在對電子政務系統(tǒng)進行操控過程中應提高對此問題的重視程度,同時強調對垃圾郵件的及時清理[2];第三,用戶使用風險,即在電子政務系統(tǒng)平臺建構過程中,為了規(guī)避網絡安全風險問題,設置了“用戶名+口令”身份認證,但由于部分用戶缺乏安全意識,繼而將生日、身份證號、電話號碼等作為口令字,從而遭到非法用戶竊取,引發(fā)政務信息泄露或攻擊事件。為此,在系統(tǒng)操控過程中應針對此問題展開行之有效的處理。

2.電子政務系統(tǒng)網絡安全設計應用

2.1系統(tǒng)安全

在電子政務系統(tǒng)應用過程中,為了打造良好的網絡運行空間,在系統(tǒng)設計過程中應融合防火墻隔離、VLAN劃分、HA和負載均衡、動態(tài)路由等技術,并在電子政務網絡結構部署過程中,將功能區(qū)域劃分為若干個子網結構,同時合理布設出入口,并實時清理故障清單,從根本上規(guī)避網絡安全風險問題。同時,在操作系統(tǒng)安全設置過程中,應針對安全配置安全性進行檢測,并限定etc/host、passwd、shadow、group、SAM、LMHOST等關鍵文件使用權限,且加強“用戶名+口令”身份認證設置的復雜性,避免操作風險的凸顯[3]。此外,在電子政務系統(tǒng)操控過程中,為了確保系統(tǒng)安全性,亦應針對系統(tǒng)運行狀況做好打補丁操作環(huán)節(jié),并及時升級網絡配置,營造安全、穩(wěn)定的系統(tǒng)運行空間。

2.2訪問控制

在電子政務系統(tǒng)網絡安全應用過程中加強訪問控制工作的開展是非常必要的,為此,首先要求管理人員在系統(tǒng)操控過程中應結合政務信息的特殊性,建構《用戶授權實施細則》、《口令字及賬戶管理規(guī)范》等條例,并嚴格遵從管理制度要求,實現(xiàn)對網絡環(huán)境的有效操控。同時,在網絡出入口等網絡內部環(huán)境操控過程中,應設置防火墻設備。例如,在Switch、Router安全網絡域連接過程中,即需在二者間設置防火墻,繼而利用防火墻IP、TCP信息過濾功能,如,拒絕、允許、監(jiān)測等,對政務信息形成保護,同時在網絡入侵行為發(fā)生時,及時發(fā)出警告信號,且針對用戶身份進行S/Key的驗證,達到網絡訪問控制目的[4]。其次,在網絡訪問控制作業(yè)環(huán)節(jié)開展過程中,為了規(guī)避電子政務網內部服務器、WWW、Mail等攻擊現(xiàn)象,應注重應用防火墻應用功能,對安全問題進行有效防控。

2.3數據保護

電子政務數據屬于機密性信息,因而在此基礎上,為了規(guī)避數據泄露問題的凸顯影響到社會的發(fā)展,要求我國政府部門在電子政務系統(tǒng)運行過程中,應擴大對《上網數據的審批規(guī)定》、《數據管理管理辦法》等制度的宣傳,同時在PC機管理過程中,增設文件加密系統(tǒng),并對訪問者進行限制,最終實現(xiàn)對數據的高效保護。其次,在對SYBASE等通用數據庫進行保護過程中,應增設訪問/存取控制手段,同時完善身份驗證、訪問控制、密碼機制、文件管理等功能模塊,從而通過角色控制、強制控制等方法,對數據形成雙層保護,并加強假冒、泄露、篡改等現(xiàn)象的管理,保障系統(tǒng)網絡安全性[5]。再次,在政務數據使用、傳輸過程中,應定期檢測服務器內容完整性,例如,WWW服務器、FTP、DNS服務器等信息,滿足政務信息使用需求,同時提升政府服務水平。

3.結論

綜上可知,傳統(tǒng)電子政務系統(tǒng)網絡管理工作實施過程中逐漸凸顯出信息截獲、信息泄露等問題,影響到了各級政府機關服務水平。因而在此基礎上,為了實現(xiàn)對網絡安全風險問題的有效處理,要求管理人員在實際工作開展過程中應注重加強安全管理工作,同時從數據保護、訪問控制、系統(tǒng)安全等角度入手,對政務系統(tǒng)網絡環(huán)境形成保護,滿足電子政務網絡系統(tǒng)應用需求。

作者:韓戴鴻 鄔顯豪 徐彬凌 胡大川 錢誠 單位:常州市科技信息中心

參考文獻:

[1]王淼,凌捷,郝彥軍.電子政務系統(tǒng)安全域劃分技術的研究與應用[J].計算機工程與科學,2010,12(8):52-55.

[2]魏武華.電子政務系統(tǒng)的網絡架構及其應用研究[J].計算機時代,2013,12(7):13-16.

[3]唐志豪,郝振平.我國電子政務審計的現(xiàn)實模式——基于本土環(huán)境和國際經驗借鑒的研究[J].審計研究,2014,15(3):38-44.

篇7

關鍵詞:支付系統(tǒng);城市處理中心;CCPC

中圖分類號:F832.31 文獻標識碼:B 文章編號:1007-4392(2011)09-0048-05

一、中國現(xiàn)代化支付城市處理中心(CCPC)現(xiàn)狀分析

(一)CCPC定義及發(fā)展現(xiàn)狀

人民銀行中國現(xiàn)代化支付系統(tǒng)由兩級節(jié)點構成,第一級為國家處理中心(NPC),第二級為32個省級城市處理中心(CCPC)。中國現(xiàn)代化支付系統(tǒng)城市處理中心(CCPC)上接國家處理中心(簡稱NPC),下聯(lián)商業(yè)銀行前置機系統(tǒng)(簡稱MBFE)、中央銀行會計集中核算系統(tǒng)(簡稱ABS)、國家金庫會計核算系統(tǒng)(簡稱TBS),處于支付系統(tǒng)的中間環(huán)節(jié),擔負著金融機構跨行資金運轉的重任,是國家重要的金融基礎設施,是國民經濟的大動脈(見圖1)。

隨著金融電子信息化建設的加快發(fā)展,支付清算系統(tǒng)加快了系統(tǒng)升級改造和更新?lián)Q代的步伐。2002年大額支付系統(tǒng)試點成功上線以來,小額批量支付系統(tǒng)、境內外幣支付系統(tǒng)、支票影像交換系統(tǒng)、支付管理信息系統(tǒng)、電子商業(yè)匯票系統(tǒng)、網上支付跨行清算系統(tǒng)共7大系統(tǒng)陸續(xù)在線運行。這些業(yè)務系統(tǒng)的陸續(xù)上線運行一方面適應和滿足了金融、經濟和社會建設發(fā)展的需求,一方面隨著各種用戶及其需求的不斷增加和擴大,對系統(tǒng)應用的要求也越來越高,特別是系統(tǒng)運行時間實現(xiàn)了7×24小時全天候不間斷運行。履行好維護支付清算系統(tǒng)正常運行的職責,確保系統(tǒng)的安全穩(wěn)定運行,顯得越來越重要。

(二)CCPC業(yè)務現(xiàn)狀

以天津CCPC為例,天津CCPC現(xiàn)有大額、小額、支票影像、PMIS、電票、網銀6大系統(tǒng)。近年來,隨著天津市經濟快速發(fā)展,不斷有新的參與者加入,各系統(tǒng)業(yè)務量也呈現(xiàn)不斷增長趨勢。天津CCPC支付系統(tǒng)直接參與者48家,間接參與者1587家,2010年大額支付系統(tǒng)共處理業(yè)務968.5983萬筆,金額25.49萬億元,分別比2009年增長15.58%和33.32%(見圖2)。

2010年全年小額支付系統(tǒng)共處理業(yè)務396.69萬包、745.18萬筆,金額1,628.7億元,分別比2009年同期增長52.41%、52.61%和29.56%(見圖3)。

2010年全國支票影像交換系統(tǒng)共處理全國業(yè)務560,657筆,金額346.21億元,分別比去年增長-3.24%和12.23%。

2010年度小額支付系統(tǒng)收到查詢業(yè)務5177筆,大額支付系統(tǒng)收到查詢業(yè)務105,028筆。影像系統(tǒng)收到查詢業(yè)務373條,回復率均為100%。

(三)CCPC安全管理現(xiàn)狀

近年來各CCPC逐步完成各自的核心設備更新改造,改造后的CCPC安全運行能力大大增強。在設備安全方面,采用雙機冗余熱備,基本避免了由于設備單點故障引起的系統(tǒng)故障。在信息安全方面,大小額支付系統(tǒng)采用密押機制;全國支票影像交換系統(tǒng)采用數字證書;信息傳輸采用網絡加密技術,有力保障了支付業(yè)務數據的安全。在網絡安全方面,部署邊界防火墻,通過訪問控制技術保證系統(tǒng)的訪問安全;部署入侵檢測系統(tǒng),提高網絡的抗攻擊能力。在安全制度方面,清算總中心先后制定并下發(fā)了《中國人民銀行清算總中心支付清算系統(tǒng)運行維護細則》、《中國現(xiàn)代化支付系統(tǒng)運行管理辦法》、《中國人民銀行清算總中心支付清算系統(tǒng)城市處理中心巡檢工作管理規(guī)定》、《CCPC日常維護操作指南》等一系列管理規(guī)定、辦法,其中對CCPC的人員崗位設置、業(yè)務操作、系統(tǒng)維護、信息安全管理、機房環(huán)境管理、變更、故障處理及技術支持、日常檢查以及定期巡檢等方面都做出了詳細的規(guī)定要求,各地CCPC也根據自己的實際制定了嚴格的內控安全管理制度和業(yè)務技術操作規(guī)程。在嚴格按照規(guī)程檢查、維護下,支付系統(tǒng)的持續(xù)穩(wěn)定運行為各地經濟發(fā)展提供了強有力的支撐。

目前,隨著支付清算系統(tǒng)的建設發(fā)展,CCPC面臨著七大業(yè)務系統(tǒng)并行、系統(tǒng)結構越來越復雜、運行風險較高的現(xiàn)實問題。CCPC作為系統(tǒng)的運行管理者,如何加強CCPC管理,有效控制系統(tǒng)運行風險,保障支付系統(tǒng)安全穩(wěn)定運行,是急待解決的問題,必須引起重視。

二、CCPC管理存在的問題

(一)資金清算問題

由于各行內部管理模式、計劃資金額度授信不同,資金調度速度差別較大,不足支付的業(yè)務進行日間排隊處理。但有的參與者因資金延緩支付,導致日間清算業(yè)務排隊、日終清算窗口開啟的現(xiàn)象,或者有的參與者日終不能及時籌措資金而使支付業(yè)務被退回,從而降低了社會資金的周轉速度,造成了支付風險,影響現(xiàn)代化支付系統(tǒng)安全穩(wěn)定運行與支付系統(tǒng)的社會公信力。

(二)查詢查復問題

規(guī)范、準確和及時處理支付系統(tǒng)查詢查復業(yè)務是確保匯劃資金安全、系統(tǒng)高效運行的有力保障。如果查復行沒有對查詢進行及時查復,將會大大影響資金的及時清算。而在實際工作中,超期未查復的現(xiàn)象時有發(fā)生,傳統(tǒng)上CCPC需要手工定期、定時檢查未查復業(yè)務,電話提醒查復行進行查復,這在一定程度上降低了查詢查復工作的效率,影響支付系統(tǒng)的高效率運行。

(三)災備體系不完備

CCPC 災難備份系統(tǒng)尚未建立。雖然國家處理中心NPC 已經建立了災難備份系統(tǒng),但目前各地城市處理中心CCPC 尚未建立能夠快速有效實時接管CCPC的災難備份系統(tǒng)。各省轄內支付清算系統(tǒng)尚未建立有效的應對系統(tǒng)突發(fā)事件的應急處置機制。

(四)CA系統(tǒng)不完善

CA事件監(jiān)控系統(tǒng)是由CA公司開發(fā)、清算總中心部署,在各CCPC有效監(jiān)控支付系統(tǒng),包括服務器主機設備硬件、應用程序、部分網絡系統(tǒng)以及數據庫等,涵蓋大部分日常運行參數,并可能對系統(tǒng)異常事件提供報警的視窗化實時報警檢測系統(tǒng)。目前CA事件監(jiān)控系統(tǒng)已經覆蓋了包括大、小額支付系統(tǒng)、影像交換系統(tǒng)在內的絕大部分系統(tǒng),是必不可少的全時維護工具。但CA事件監(jiān)控仍然存在一些功能上的不完善,對支付系統(tǒng)的維護工作帶來一些不利的影響。

第一,該系統(tǒng)不能對系統(tǒng)資源的使用情況等提供深入的監(jiān)控與分析,導致會對支付系統(tǒng)業(yè)務正常運行造成影響的安全隱患無法及時預警。第二,監(jiān)控報警存在延時,且報警方式單一。一般系統(tǒng)中存在異常警告或錯誤信息后,往往會在30分鐘左右后,報警信息才會出現(xiàn)在CA監(jiān)控界面中。CA事件監(jiān)控系統(tǒng)的報警只是單一的屏幕提示和短信通知,沒有聲音、圖像等更加直觀的方式提醒技術人員。因此,日常維護中,CCPC不能僅依賴CA事件監(jiān)控系統(tǒng),而應按清算總中心要求,定時在主機上以人工方式例行檢查。

(五)主機硬件設備的綁定依賴性

長期以來,包括大、小額支付系統(tǒng)、影像系統(tǒng)在內的支付系統(tǒng)服務器主機一直使用IBM品牌產品,網絡設備如交換機、路由器等則是使用CISCO品牌產品。作為國際知名品牌IBM和CISCO,無論是從產品質量、售后服務還是技術支持在業(yè)內都是處于領先地位。但由于國外品牌硬件產品內部底層加密保護運行機制的未知性以及設備核心技術的保密性,很難確保那些保存在設備主機中的、隨支付交易流動的數據的安全性。支付系統(tǒng)作為人民幣業(yè)務系統(tǒng)的大平臺和國家金融系統(tǒng)的重要組成部分,如果長期在生產系統(tǒng)運行中無法擺脫對國外品牌設備的依賴性,則必然會形成對系統(tǒng)的安全患。

(六)安全管理機構缺失

系統(tǒng)運維要求規(guī)定,各地清算中心都應設置安全管理主管崗,并配備兩名安全管理員。但由于目前清算中心人員配備緊張,大部分人員都配備在運行、維護崗,很難成立專門主管安全的科室,一般安全管理員都由其他崗位人員兼任,人員配備緊張導致代崗或一人多崗。此外,安全管理員所應具備的技能沒有明確的規(guī)定,并缺乏專業(yè)的培訓,實際中,對安全管理職責的履行還存在一定的困難。

三、創(chuàng)新CCPC管理的手段與方法

為提高CCPC運維水平,向直接參與者提供低成本高效率的業(yè)務處理和監(jiān)管服務,全方位保障支付系統(tǒng)安全穩(wěn)定運行,天津分行清算中心依托信息化優(yōu)勢,結合工作實際,創(chuàng)新管理手段,改進管理方法。2007年創(chuàng)新性地將“短信平臺”應用到支付系統(tǒng)運維體系中,通過與各直接參與者的短信互動切實、有效地對參與者實施監(jiān)管并提供服務。2009年開發(fā)“支付清算綜合服務系統(tǒng)”,可對天津清算中心的日常技術維護、值班日志、綜合管理、業(yè)務數據統(tǒng)計、信息等進行信息處理,有效提高CCPC辦公自動化水平及業(yè)務服務水平。2010開發(fā)了“支付清算運行監(jiān)控管理系統(tǒng)”,很大程度上提高了查詢查復率,解決了常期困擾CCPC管理中的查詢查復這一難題。2011年開發(fā)“城市處理中心操作終端遠程備份系統(tǒng)”,做為對建立完善災難備份系統(tǒng)的初步嘗試,實現(xiàn)了對支付系統(tǒng)客戶端的遠程管理控制。

(一)短信平臺

短信平臺是CCPC與各金融機構之間業(yè)務聯(lián)動、信息溝通的信息化載體;是面向支付系統(tǒng)各直接參與者業(yè)務信息、通知公告的站點。它實質是向各直接參與者提供“短信監(jiān)管服務平臺”,通過該平臺,可以超越時間、空間的限制,實現(xiàn)點對點、7×24小時、即時性的溝通與互動。一方面CCPC可以根據業(yè)務需要通過短信群發(fā)、定時短信提醒等方式系統(tǒng)運行問題、公告提示;另一方面則可以通過這一系統(tǒng)隨時查詢,了解各家直接參與者的意見、建議和要求,從而有效地解決了以往由于各參與者數目眾多且分散而造成的管理程序繁雜、信息傳達不及時、不對稱等一系列問題,從根本上提高了工作效率,降低了溝通成本。因此,短信平臺的搭建與開通,是天津分行清算中心不斷拓寬思路,依托短信平臺實現(xiàn)監(jiān)管服務、健全運維手段的又一創(chuàng)新。

(二)支付清算綜合服務系統(tǒng)

支付清算綜合服務系統(tǒng)是天津清算中心為加強對支付清算系統(tǒng)的運行管理和服務,提高辦公自動化水平,依托網絡技術和信息處理技術開發(fā)的清算中心綜合服務系統(tǒng)。該系統(tǒng)包含MBFE服務子系統(tǒng)、人民銀行支付清算子系統(tǒng)、基礎知識子系統(tǒng)、支付清算風險防范子系統(tǒng)、清算中心服務子系統(tǒng)五大系統(tǒng)。該系統(tǒng)將各種運維日志、檢查情況、統(tǒng)計報表、審批材料、學習資料分別整理上傳,形成了一個管理清晰且高度共享的信息庫。一方面實現(xiàn)了日常運維工作的信息網絡化和管理無紙化,解決了CCPC日常運維工作事件繁鎖、過程文檔多、事后查閱不便的難題;另一方面實現(xiàn)對CCPC業(yè)務流程的實時管理與連續(xù)監(jiān)控,便于領導及時掌握工作情況,從源頭上預防、減少差錯事故的發(fā)生與危害。

(三)支付清算運行監(jiān)控管理系統(tǒng)

為提高支付系統(tǒng)的查詢查復率,天津CCPC開發(fā)“支付清算運行監(jiān)控管理系統(tǒng)”。該系統(tǒng)包含對查詢查復業(yè)務、排隊業(yè)務、退回申請及止付申請的監(jiān)控、提醒統(tǒng)計及考核統(tǒng)計等。通過對大、小額系統(tǒng)查詢查復信息的后臺監(jiān)控來發(fā)現(xiàn)未查復業(yè)務,并對查復行自動短信提醒。這樣一方面節(jié)省了人力,另一方面確保了未查復信息的及時發(fā)現(xiàn),大大提高了查復行的查復效率。使用該系統(tǒng)以后,各直接參與者的查復工作更加及時,2010年度小額支付系統(tǒng)收到查詢業(yè)務5177筆,大額支付系統(tǒng)收到查詢業(yè)務105,028筆,回復率均為100%。

(四)城市處理中心操作終端遠程備份系統(tǒng)

天津CCPC探索建立了城市處理中心操作終端遠程備份系統(tǒng),即在現(xiàn)有系統(tǒng)基礎上增加一組遠程操作終端。在遭受地震等自然災害威脅或發(fā)生突發(fā)公共衛(wèi)生事件,支付系統(tǒng)終端監(jiān)控機房無法提供持續(xù)、正常工作條件,而支付系統(tǒng)主機房及主機、終端仍可以正常使用時,就可以在經分行應急領導小組批準同意后,將支付系統(tǒng)客戶端監(jiān)控管理切換到位于異地(塘沽中心支行)的遠程監(jiān)控管理環(huán)境,業(yè)務運行及技術維護人員進行遠程實際操作,有效保證支付系統(tǒng)的正常運行。天津CCPC終端遠程備份系統(tǒng)能夠快速有效接管CCPC的業(yè)務運行管理,并可作為異地CCPC的災難備份系統(tǒng)之一。可作為各地CCPC支付清算系統(tǒng)應對系統(tǒng)突發(fā)事件多了一種有效的應急處置手段。

四、加強CCPC管理對策與建議

(一)采取先進的管理手段,杜絕清算窗口的開啟

1.建議實施資金預報制,嚴格頭寸管理。應當要求各直接參與者的資金管理部門安排專人負責監(jiān)管頭寸,并加強頭寸的預測管理。由專人收集歷史數據,了解日常資金流量規(guī)律,把握資金流量大的分支行和重點客戶,有針對性地進行資金監(jiān)控。尤其是重點時段16:00以后的大額緊急支付,例如資金額度在5000萬以上的要向所屬CCPC一筆一報。這樣CCPC的對資金頭寸的管理由被動變主動,從很大成效上杜絕了清算窗口的開啟。

2.與商業(yè)銀行簽訂公約,實施資金拆借與劃撥。建議人民銀行支付管理部門與支付系統(tǒng)的直接參與者簽訂資金拆借公約,在清算窗口時間內,若某一商業(yè)銀行(拆借方)清算賬戶因存在資金缺口而導致當日必須清算的業(yè)務無法正常清算時,可使用另一商業(yè)銀行(被拆借方)在當地人民銀行開立的支付系統(tǒng)清算賬戶進行資金拆借,執(zhí)行比同業(yè)拆借利率較高利率予以償還。其中,人民銀行負責強行拆借資金的受托成交、資金清算和對拆借資金的監(jiān)督管理。

2011年,人民銀行天津分行經與各支付系統(tǒng)直接參與者協(xié)商一致,訂立了《天津市金融機構臨時頭寸資金拆借參與公約》。公約規(guī)定,參與簽約的銀行業(yè)金融機構按照本公約約定的拆借原則進行臨時頭寸資金拆借和清算賬戶資金的劃撥。對于因日常經營不善,資金流動性監(jiān)測、控制、管理不到位,致使一年中累計使用三次以上清算賬戶同業(yè)拆借的拆入方,由人民銀行給予警告、通報、對清算賬戶實施控制直至取消其支付系統(tǒng)參與者資格的行政處罰。公約執(zhí)行后,各直接參與者密切關注日間排隊業(yè)務情況,有效避免了日終清算窗口開啟的現(xiàn)象。

(二)建制度立機制,推動查詢查復工作

CCPC作為系統(tǒng)的運行管理者,應當要求各直接參與者從思想上高度重視跨行支付系統(tǒng)查詢查復業(yè)務,堅決貫徹執(zhí)行“有疑必查,有查必復、復必詳盡、切實處理”的原則,進一步加強監(jiān)督管理力度,層層把關,責任到人,由專人負責在每日營業(yè)開始后,對本行查詢查復情況進行監(jiān)控落實,堅決杜絕“查而不復、查而遲復”的現(xiàn)象發(fā)生。

一是建議建立查詢查復管理員制度和聯(lián)絡員備案制度。CCPC要加大對支付系統(tǒng)查詢查復人員的管理力度,查詢查復聯(lián)絡員要切實承擔工作職責,CCPC可利用電話或短信平臺通知商業(yè)銀行,若未能及時辦理查復,將受到懲罰。二是建立支付系統(tǒng)查詢查復考核機制。將查詢查復率列入對商業(yè)銀行考核的一項重要指標,鼓勵商業(yè)銀行在支付系統(tǒng)查詢查復業(yè)務管理上的創(chuàng)新,對于取得突出成績或經驗,在考核中予以加分并向轄內各直接參與者推廣。

(三)加強應急管理,做好災備系統(tǒng)建設

一是要加強應急管理相關制度建設。隨著支付清算系統(tǒng)的發(fā)展,新系統(tǒng)的掛接不斷增加,結合新系統(tǒng),不斷修訂完善應急預案,增強預案的可操作性。二是加強應急演練工作。提高應急演練的質量和效率,不斷提高支付清算系統(tǒng)應對突發(fā)事件的處置能力。三是完善CCPC災備系統(tǒng)建設。由于NPC已經建立了災難備份系統(tǒng)及CCPC集中備份系統(tǒng),建議各地CCPC以“快速切換、不間斷運行”為目標,采用建設同城異地災備網絡轉接中心的方式,在不增加過多投入的同時,最大限度地保障支付系統(tǒng)的運行安全與穩(wěn)定。

(四)完善CA監(jiān)控系統(tǒng)功能,加強系統(tǒng)風險防范

一是應該減少報警延時時間,“實時監(jiān)控”的要素即是及時,支付系統(tǒng)隨時都在發(fā)送大量的業(yè)務數據,如果無法達到實時的要求,會增大支付系統(tǒng)的運行風險。二是應當加大對系統(tǒng)資源以及運行參數方面的深入細化分析,進而更好地保障支付系統(tǒng)的持續(xù)穩(wěn)定良好運行。

(五)加大自主品牌研發(fā)力度,擺脫設備依賴性

近年來,我國自主品牌的硬件設備隨其自身技術的不斷發(fā)展和制作工藝的逐步完善,其硬件設備運行穩(wěn)定性大大增強,基本可以勝任金融城市處理中心的需要??梢赃m當加大購買采用國內自主品牌產品的比率,逐步擺脫對國外品牌主機硬件設備的綁定依賴性。

(六)強化安全組織結構建設,配備專職人員隊伍

建議從總中心一級設立安全管理部,各清算中心設立相應的安全管理科室,逐步建立起一套自上而下的安全管理組織機構。調整業(yè)務、技術人員結構比例,配備相應的安全主管,提高其分析、查找和解決異常問題的能力,形成一支運維本領過硬的支付系統(tǒng)安全管理人員隊伍。

(七)暢通運維協(xié)調機制,加強對參與者的管理

首先,CCPC要加強對各直接參與者的考核。建議制定對轄內各直接參與者的考核制度和辦法,與各直接參與者簽訂安全管理責任狀,明確參與者責任,由各地清算中心負責督促和協(xié)調。

其次,各地CCPC可參考總中心對各CCPC的巡檢、自檢制度,依據總行頒發(fā)的原則性制度和辦法,對各直接參與者制定具體的檢查制度和標準,每季度開展巡檢或抽檢工作。一方面要檢查MBFE的運行維護制度落實情況,從制度上保障支付系統(tǒng)的安全;另一方面要檢查運維問題、人員配備及安全隱患。對存在的問題嚴肅追究責任人,督促其制定整改措施并落實到位,謹防重檢查、輕整改的現(xiàn)象發(fā)生。

最后,CCPC加強對商業(yè)銀行的培訓和業(yè)務指導力度。CCPC要定期組織各金融機構開展相關維護、運行、安全方面的相關培訓,提高商業(yè)銀行日常業(yè)務能力和故障處理能力。當下級節(jié)點(ABS、TBS、MBFE)出現(xiàn)問題時,應立即向CCPC報告,CCPC力求在最短的時間內給出解決方案,并指導下級節(jié)點迅速排除故障。CCPC也應主動通過下行線路監(jiān)控系統(tǒng)隨時查看下級節(jié)點連接情況、資金清算情況,如有問題及時溝通,要求各參與者及時解決,并將處理結果反饋到CCPC。

參考文獻:

[1]熊立群、譚卡吉,《支付系統(tǒng)運行維護管理探討》,《支付清算》,2011,第6期。

[2]段志田,《第二代支付系統(tǒng)‘一點對接’與支付清算體系的變革》,《支付清算》,2010,第11期。

[3]堵秋瑩,《關于我國支付結算系統(tǒng)現(xiàn)狀及問題分析》,《法制與社會》,2007,第9期。

篇8

為實現(xiàn)檔案管理方法和管理手段的現(xiàn)代化,實現(xiàn)檔案信息資源的共享,構建公司檔案信息網絡,我公司提出:力爭“十一五”期間,建設一個管理科學、功能齊全、服務優(yōu)質、具有國內先進水平的檔案現(xiàn)代化管理網絡。具體的建設目標如下:

第一,建成國家電網公司檔案綜合管理平臺。做到覆蓋國家電網總部、區(qū)域電網公司、省電力公司、地市供電公司、縣級供電公司等五級單位,滿足以上五級單位對于本部檔案信息化管理的實際業(yè)務需要,實現(xiàn)上下級單位間的檔案信息互通,即上級單位可以對下級單位的檔案工作進行監(jiān)督管理,下級單位可以對上級單位進行檔案數據的匯總上報,避免各單位形成內部檔案信息孤島,建立檔案系統(tǒng)對外統(tǒng)一的標準系統(tǒng)數據接口,使得其他相關系統(tǒng)(如OA辦公自動化系統(tǒng))中的數據能夠順利進入檔案系統(tǒng)中。

第二,建成兩個數據查詢中心。即檔案目錄中心和現(xiàn)行文件查閱中心,以集中統(tǒng)一數據倉庫的方式面向公司所有普通用戶提供檔案目錄和現(xiàn)行文件的查詢。

第三,制定公司檔案業(yè)務管理規(guī)范。

第四,形成一支專業(yè)化的檔案業(yè)務管理隊伍。通過此平臺的搭建,全面提高各單位檔案管理人員的業(yè)務素質和技術素質,形成一支專業(yè)化的業(yè)務團隊。

技術實現(xiàn)手段及組織實施

國家電網公司檔案綜合管理平臺在系統(tǒng)邏輯架構上分為基礎數據平臺、應用服務層、業(yè)務建模層和業(yè)務模塊層。

基礎數據平臺為用戶提供檔案信息的數據存儲平臺,通過數據庫技術、信息安全技術和數據存儲技術解決檔案數據的安全存儲問題。

應用服務層主要包括基于J2EE標準的應用程序服務器和中間件及為應用系統(tǒng)提供公共技術服務,如文件格式轉換服務、OCR服務、電子文件瀏覽服務、全文檢索服務等。

業(yè)務建模層主要用于初始化檔案系統(tǒng)結構以及定制業(yè)務規(guī)則,包括部署系統(tǒng)結構、定義機構、檔案管理模式等。其目的主要為是為檔案管理員提供業(yè)務操作的功能模塊,涵蓋收集、整理、鑒定、數據管理、報表、統(tǒng)計、銷毀、編研等日常檔案管理業(yè)務。

從技術角度看,公司檔案綜合管理平臺必須具有良好的適應能力和擴展能力,而解決這些問題最好的辦法是采用面向服務的SOA(service-oriented architecture)體系結構。公司檔案綜合管理平臺的總體結構采取集中式的系統(tǒng)結構,不同的單位系統(tǒng)之間可以分布部署。數據存儲中將用戶數據和系統(tǒng)數據進行甄別,系統(tǒng)數據、公共數據全部存放在主數據庫中,不同單位不同的數據信息放在不同的數據庫中,這樣保證系統(tǒng)數據高內聚、低耦合的特性。

檔案信息化建設過程中,公司下屬五級單位實行統(tǒng)一組織、統(tǒng)一規(guī)劃,綜合各級單位的先進管理理念和經驗,對管理規(guī)范、信息系統(tǒng)以及后期服務方式等內容進行統(tǒng)一規(guī)劃和建設。成立檔案管理信息平臺建設項目協(xié)調小組,統(tǒng)一組織和協(xié)調項目建設、實施過程中的有關問題。項目協(xié)調小組下設業(yè)務小組和技術小組。

業(yè)務小組主要工作職責包括:明確公司系統(tǒng)各級單位類型及檔案管理特點;調研各級單位檔案的管理現(xiàn)狀和業(yè)務需求;收集整理各級單位檔案管理辦法;明確檔案管理辦法的數字化實施細則;明確各類檔案的歸檔細則(包括歸檔范圍、時間、要求、方式、流程、整理規(guī)則、著錄信息、保密期限和目錄格式等);明確各類工程檔案的歸檔文件細目(即工程模板)。業(yè)務小組的主要的工作成果是完成《需求說明書》。

技術小組主要工作職責包括:調研公司各單位現(xiàn)有的檔案管理系統(tǒng);調研公司系統(tǒng)信息統(tǒng)一規(guī)劃(應用開發(fā)環(huán)境、網絡環(huán)境等);明確檔案接口數據有效性驗證要求;明確數字化檔案信息管理規(guī)范(包括歸檔電子文件存儲格式、電子文件命名、電子檔案移交格式、檔案信息系統(tǒng)數據接口、數據存儲備份及安全管理、檔案數字化加工規(guī)范等);形成公司電子文件管理元數據規(guī)范。技術小組的主要工作成果是完成《總體設計方案》。

集團檔案信息化系統(tǒng)的技術優(yōu)勢

實現(xiàn)了電子文件的全程管理

電子文件管理必須遵循全程管理原則,就是要在從文件產生到永久保存或銷毀的整個生命周期中進行全程管理,通過過程控制實現(xiàn)結果控制。由于過程的可控性強,過程控制的反饋周期短,因此,對電子文件生成、流轉、保管、利用等每一項具體管理活動中的實施過程進行監(jiān)控,便于及時發(fā)現(xiàn)和糾正失誤,不斷調整管理策略。在過程管理中,所有有助于說明電子文件重要屬性和有效管理過程的信息都被記錄在案,以證實電子文件在管理系統(tǒng)中的運轉狀況,確保電子文件的管理質量。

以公司檔案信息平臺系統(tǒng)中對工程檔案的管理和監(jiān)控為例來說明該原則的應用:供電企業(yè)的工程項目檔案的特點是量大面廣,建設周期長。量大,是指建設項目從立項、調研、方案論證、可行性研究、初步設計、施工、安裝到竣工投產,將產生大量應歸檔的文件材料。面廣是指參建單位多,有建設、招投標、設備采購、土建施工、電氣安裝、監(jiān)理、質量監(jiān)督、系統(tǒng)調試等參建單位。各參建單位檔案管理的做法、要求、習慣都不盡相同,對業(yè)主的要求不甚了解,使檔案案卷質量難以保證。建設項目從項目前期開始到竣工投產,建設周期少則兩年,多則十幾年,時間跨度較大,對檔案管理帶來一定的難度。

面對量大面廣,建設周期長的特點,系統(tǒng)平臺引入了全程管理原則,并采用了工程檔案模板技術,用計算機管理貫穿工程建設的全過程,將人為因素降低到最小化,從而有效地使工程項目文件材料歸檔工作與工程建設同步、有序進行。通過該平臺系統(tǒng),工程項目管理已由過去建設單位一家管檔案的模式,變?yōu)樵跇I(yè)主的統(tǒng)一指導下,設計、施工、調試、監(jiān)理等各參建單位在網上同步建檔,業(yè)主單位實施全過程監(jiān)控,實時管理。

貫徹了電子文件管理的前端控制原則

前端控制原則是現(xiàn)代文件、檔案管理理念的重要內容,它以文件生命周期理論方法為基礎,把文件從形成到永久保存或銷毀的不同階段看作一個完成的過程。在這個過程中,文件的形成是前端,處理、鑒定、整理、編目等具體管理活動是中端,永久保存或銷毀是末端。前端控制是實現(xiàn)電子文件全程管理的重要保障,這一原則在紙質及其他載體文件、檔案管理中是有效的,在電子文件管理中更加重要。

在初步建立了檔案信息平臺系統(tǒng)的機構中,實現(xiàn)了電子文件在業(yè)務系統(tǒng)中生成和運轉,在本平臺系統(tǒng)的輔助下捕獲和歸檔,因此電子文件管理過程的前端就延伸到了業(yè)務系統(tǒng)和電子文件管理系

統(tǒng)的設計階段,前端控制的形式也部分轉移到業(yè)務系統(tǒng)和電子文件管理的功能設計中。目前已經實現(xiàn)協(xié)同辦公系統(tǒng)、招投標管理、法律合同管理、FMIS財務管理、營銷系統(tǒng)、生產管理系統(tǒng)、統(tǒng)一用戶機構管理和認證等系統(tǒng)與檔案管理平臺的接口和集成,從而實現(xiàn)了檔案的前端管理。通過這種延伸,使各機構歸檔的質量得到了大量提升。

體現(xiàn)了電子文件的集成管理原則

集成管理是全程管理思想的延伸和深化,它要求不僅關注文件流,也要關注與文件流相關的業(yè)務流,關注其他信息流的統(tǒng)籌兼顧、功能整合,鮮明地體現(xiàn)了開放式、集約式的管理理念。

具體說來,電子文件的集成管理原則在本系統(tǒng)中主要體現(xiàn)了以下三方面的內容:

1 文件流與業(yè)務流的集成。文件是機構履行職能、從事業(yè)務活動的重要手段,從―定意義上說,文件流是業(yè)務流的記錄和反映。因此,文件流與業(yè)務流的結合程度應該是衡量電子文件管理質量的―個重要標準。文件業(yè)務流的集成思想不僅應體現(xiàn)在機構電子文件的管理理念、管理政策和管理方法之中,最終應體現(xiàn)在機構電子文件管理系統(tǒng)對電子文件流與業(yè)務流的―體化整合上。電子文件管理系統(tǒng)應支持本機構的文件運轉流程和業(yè)務流程,在確保文件完整、安全、準確的同時,保證文件運轉和業(yè)務勰的順暢、周密和高效。目前,已通過開放的web service技術,實現(xiàn)了檔案系統(tǒng)與其他系統(tǒng)的集成,從而實現(xiàn)了整個文件流與業(yè)務流的完整吻合。

2 文件流與其他信息流的集成。文件只是機構全部信息的一部分,任何機構在日常工作中都還會接收、運行、保管和利用各種各樣的非文件信息,如參閱信息、內部管理信息、統(tǒng)計信息、宣傳信息等。文件信息和非文件信息在內容上有互補性,在管理流程和技術上有許多相通之處,集成管理就是要打通它們之間的可通之處,連接它們之間的可連之處,’實現(xiàn)最大限度的信息共享和知識挖掘。本系統(tǒng)已經實現(xiàn)了檔案系統(tǒng)與公司統(tǒng)一搜索功能(Autonomy系統(tǒng))的集成,從而實現(xiàn)了文件流與其他信息流的集成。

3 文件流內部管理活動的集成。長期以來,公司紙質文件管理實行的“分階段+分環(huán)節(jié)”的管理方式,即先劃分為文件管理和檔案管理兩個階段,各階段中再劃分若干個管理環(huán)節(jié),每個環(huán)節(jié)相對獨立,界線清楚。信息技術的介入使這種管理方式的不適應性日益明顯:一是對原有管理流程的解析顯示出作業(yè)的不合理分割和交叉重復;二是電子文件的技術特征要求實行前端控制,即將以往“后工序”提前至文件形成階段,這使得文件管理流程改造成為必需。為了達到優(yōu)化電子文件管理,提高機構工作效率的目的,電子文件管理的各項具體業(yè)務應該并盡可能根據其內在關聯(lián)性而得以整合或集成,如歸檔與整理、鑒定、著錄的結合等。這一思想使得我們在構造系統(tǒng)時,雖然在管理數據上是分門別類的進行管理,但信息是一體化的,從而避免了信息“死角”,使需要查找的信息都能找到。

國際標準和理論的最佳實踐

國家電網檔案信息平臺系統(tǒng)不僅在國內,在國際上都是目前最新ISO標準及前沿檔案管理理論的最佳實踐。主要體現(xiàn)在以下幾點:

1 在檔案元數據上遵循歐盟MoReq(Model Requirements for the Man-agement of Electronic Records)關于文件元數據通用要求,形成國家電網公司檔案元數據規(guī)范;同時遵從0AIS參考模型,解決數字檔案信息長期保存問題。

2 在業(yè)務功能應用上采用文件生命周期理論,通過前端控制的方式對歸檔文件在形成之初就進行了控制和管理,具體表現(xiàn)在系統(tǒng)中就是:針對文書類歸檔文件,在每一年的開始就明確各業(yè)務部門歸檔范圍和責任,提供了文件收集、檔案收集和收集整編等各類手段及業(yè)務系統(tǒng)接口實現(xiàn)對歸檔文件的前端控制和管理;針對工程項目檔案則在項目立項時就同步確定項目歸檔范圍、整理規(guī)則、明確歸檔責任,使得項目檔案能與項目階段同步進行歸檔和管理;

3,在檔案的鑒定和管理觀念上吸收了“后保管模式”理論的精華,“宏觀鑒定”、“知識服務”等理念在系統(tǒng)中得到充分應用。具體體現(xiàn)在系統(tǒng)通過規(guī)范的分類表和歸檔模板實現(xiàn)保管期限的鑒定工作,同時明確了各部門的歸檔范圍和責任,并使得通過系統(tǒng)可以進行控制;也體現(xiàn)在系統(tǒng)與公司數據中心、知識管理進行和AU-TONOMY搜索引擎進行的集成上。

篇9

一、有關互聯(lián)網金融研究的文獻回顧

1995年,全球第一家互聯(lián)網銀行SFNB(SecurityFirstNetworkBank,安全第一網絡銀行)在美國成立,隨后開始在歐洲和亞洲一些國家和地區(qū)興起,近些年在中國和日本等地發(fā)展迅猛。國內外眾多專家學者對互聯(lián)網金融進行理論研究和實證分析,取得了很多成果。按照研究方向和內容來看,大致分為三類。1.對互聯(lián)網金融模式的研究李博、董亮(2013)將互聯(lián)網金融模式鑒定為三類:(1)傳統(tǒng)金融的互聯(lián)網延伸,電子銀行、網上銀行、手機銀行等都可歸納為這一范疇;(2)金融的互聯(lián)居間服務,有第三方支付平臺、P2P信貸、眾籌等;(3)互聯(lián)網金融服務,如小額貸款公司、基金保險銷售平臺等。謝平(2014)認為互聯(lián)網金融以支付方式、信息處理和資源配置為支柱,他將互聯(lián)網金融模式分為八類:傳統(tǒng)金融互聯(lián)網化、移動支付和第三方支付、對等聯(lián)網(P2P)、眾籌、大數據在證券投資中的應用、互聯(lián)網貨幣、基于大數據的征信和網絡貸款、保險等。羅明雄(2014)認為互聯(lián)網金融有六種模式,分別為:第三方支付、P2P、眾籌、大數據金融、互聯(lián)網金融門戶以及金融機構信息化等。鄭聯(lián)盛(2014)認為互聯(lián)網金融是整個金融領域的新型業(yè)態(tài)??偨Y目前中國的互聯(lián)網金融發(fā)展模式并歸納為四類:(1)傳統(tǒng)金融業(yè)務的互聯(lián)網化。包括有:為傳統(tǒng)金融服務提供服務的機構或平臺、互聯(lián)網與傳統(tǒng)金融業(yè)務的融合、運用互聯(lián)網技術對傳統(tǒng)金融業(yè)務的創(chuàng)新化發(fā)展。(2)第三方支付。典型代表有支付寶、快錢等第三方支付機構。(3)互聯(lián)網信用業(yè)務,主要包括眾籌、網絡貸款等新興業(yè)務。(4)互聯(lián)網虛擬貨幣。美國的Google、Facebook、eBay等都發(fā)行有虛擬貨幣。目前,中國對此類業(yè)務實行嚴格的管控,2014年1月起,已禁止比特幣、萊特幣等互聯(lián)網虛擬幣的銷售。雖然學者們在敘述角度上有所差別,但從總體來看,所謂互聯(lián)網金融不同模式就是各種金融與互聯(lián)網要素的不同組合,可以概括為傳統(tǒng)金融業(yè)務的互聯(lián)網化與基于互聯(lián)網特性而延伸的金融(類金融)服務兩大類別。2.對于互聯(lián)網金融發(fā)展現(xiàn)狀及趨勢的研究MaryCronin(2002)介紹了網絡銀行的業(yè)務特點和競爭優(yōu)勢,為網絡銀行的發(fā)展及創(chuàng)新提供了有益的借鑒,但對網絡銀行的風險防范及控制問題的研究不夠深入。謝平、部傳偉(2012)認為互聯(lián)網金融以先進的信息科技為依托,對傳統(tǒng)的金融模式產生了根本性的影響。他運用案例研究,歸納出互聯(lián)網金融存在的三種模式:移動支付、網絡信貸和眾籌融資。曾剛(2012)運用不同視角,對互聯(lián)網金融和傳統(tǒng)金融進行比較,得出兩者之間不僅具有競爭關系,而且還可以互相合作、共同發(fā)展。王琴、王海權(2013)在對網絡金融的內涵做簡單闡釋的基礎上,通過研究典型的國外網站的業(yè)務和發(fā)展,與國內網絡金融發(fā)展做對比,提出國內網絡金融企業(yè)要逐步改善金融服務理念,加快推進網絡營銷模式的多樣化和服務品牌化建設。左近業(yè)、賀根慶(2014)立足于中國網絡金融發(fā)展實踐,深入解析內涵,把握發(fā)展趨勢,為網絡金融業(yè)務拓展和利潤增長提供新思路。顯然,學者們對互聯(lián)網金融的發(fā)展趨勢是高度認同的,對傳統(tǒng)金融機構或管理部門而言,關鍵是如何適應并充分利用好這種發(fā)展趨勢。3.針對互聯(lián)網金融高風險的特點的研究學者提出應該把互聯(lián)網金融納入監(jiān)管體系,并提出多種監(jiān)管方案。尹龍對互聯(lián)網金融監(jiān)管的探索較早,他在《網絡金融理論初論:網絡銀行與電子貨幣的發(fā)展及其影響》、《對中國網絡銀行發(fā)展與監(jiān)督問題的研究》等文章中,詳細分析了網絡銀行發(fā)展的現(xiàn)狀及風險特點,結合目前監(jiān)管實踐,提出了有益的監(jiān)管策略。徐靜(2006)指出近年來網絡銀行在中國發(fā)展迅猛,但是監(jiān)管部門必須對網絡銀行的風險引起重視,及早建立健全監(jiān)管制度,借鑒國外先進監(jiān)管經驗,并應積極采取措施加以防范和化解。巴曙松、楊彪(2013)認為中國第三方支付與美歐等發(fā)達國家相比,在立法層次、分類監(jiān)管、消費者權益保護及監(jiān)管等問題上存在提高和完善的空間。鑒于目前中國的互聯(lián)網金融監(jiān)管體系薄弱的現(xiàn)狀,提出了相關建議。陳林(2013)從六個方面分析了互聯(lián)網金融的形式及特點,指出互聯(lián)網金融對于傳統(tǒng)金融機構和金融監(jiān)管具有重要的影響,并在深入比較歐美等主要國家互聯(lián)網金融監(jiān)管實踐的基礎上,提出政策建議。王立國、徐愛萍(2014)分析了網絡金融風險具有高度隱蔽性、瞬時爆發(fā)性、極度滲透性和交叉感染性,在此基礎上,從法律、經濟、技術等角度創(chuàng)新了監(jiān)管模式,對及時分析和控制網絡金融風險做了積極的探索。這類研究普遍認為,各種模式的互聯(lián)網金融公司蓬勃發(fā)展的背后,亟需有效監(jiān)管,以控制風險,維護互聯(lián)網金融領域投資者和消費者利益。

二、互聯(lián)網金融存在的風險分析

1.技術風險從互聯(lián)網金融的運行模式來看,由于其業(yè)務依賴于電子信息技術,因此首要風險來源于技術層面。尤其是中國網絡技術發(fā)展與歐美等發(fā)達國家相比明顯滯后,硬件設施及軟件系統(tǒng)大部分由國外引進,中國互聯(lián)網金融企業(yè)不能完全掌握它們的性能,或是系統(tǒng)設計存在缺陷,如開放式的網絡通訊系統(tǒng),不完善的密鑰管理技術等都容易引起潛在風險的發(fā)生。而互聯(lián)網的快速傳播功能,也使得這些技術漏洞和病毒等快速地感染,從而形成系統(tǒng)性風險。這樣的例子近年來不斷出現(xiàn):如2014年2月,美國著名的眾籌網站KICKSTRAER被黑客攻擊,部分客戶數據泄露;2014年3月22日,系統(tǒng)漏洞導致攜程客戶資料泄露。2.信用風險互聯(lián)網金融的資金使用者通常以小微企業(yè)為主,這類企業(yè)的共同特征是財務報表不能反映企業(yè)的真實狀況,因而其不確定性要遠遠大于一般的銀行客戶。而中國征信系統(tǒng)數據的不完善,又增加了對這類客戶信用狀況的辨別難度。央行的征信信息是最完整的,但數據主要來源于商業(yè)銀行和農村信用社等金融機構,在數據時效性、全面性和層次性上仍存在短板,其中小微企業(yè)和個人的數據的完整性和準確性更差一些。一些利用大數據開展個人征信業(yè)務的平臺雖然能收集到及時的數據,但能用于信用評估的數據并不多,而且分析方法和手段也還在探索階段。二者此消彼長,互聯(lián)網金融的不確定性要遠遠大于一般的銀行信用。3.法律風險互聯(lián)網金融呈現(xiàn)出混業(yè)經營的態(tài)勢,對商業(yè)銀行法、證券法、票據法、擔保法等法律都提出了新問題,急需法律規(guī)制,但制定法律必須全國統(tǒng)籌、深入研究、綜合考量,這就出現(xiàn)了監(jiān)管立法相對滯后的局面。2014年1月6日,國務院辦公廳印發(fā)《關于加強影子銀行監(jiān)管有關問題的通知》,雖然把新型網絡金融公司作為影子銀行的第一類,明確由央行牽頭,統(tǒng)一各部門協(xié)調監(jiān)管,但目前還只是一個宏觀框架,沒有出臺具體細則,在事實上出現(xiàn)了無法可依的局面。具體而言,涉及到以下三方面。(1)商業(yè)信息、隱私泄漏的法律風險?;ヂ?lián)網金融時代離不開大數據,在海量數據中加工、挖掘有價值的信息為金融服務?;ヂ?lián)網金融機構擁有這些信息的所有權,為獲得投資人信任,一些P2P網貸平臺會把優(yōu)質借款人的詳細信息到網站上,這樣不僅會造成網貸平臺的商業(yè)信息泄露,也會使金融消費者和投資者的隱私存在被泄露的隱患。依據《電信和互聯(lián)網用戶個人信息保護規(guī)定》、《消費者權益保護法》等的規(guī)定,如果互聯(lián)網金融機構泄漏消費者或投資者個人信息,可能會受到法律的懲治。(2)虛假宣傳、夸大宣傳的法律風險。2015年9月1日,新修訂的《廣告法》正式實施,強化了對大眾傳播媒介廣告行為的監(jiān)管力度。為提高知名度,目前很多互聯(lián)網金融平臺的廣告宣傳中涉及虛假和夸大的成分,如“國家級”、“最高級”等極限詞的使用;“保本”、“無風險”、“保收益”等承諾都屬違反《廣告法》的行為。(3)金融犯罪風險。部分互聯(lián)網金融機構缺乏客戶身份識別、交易記錄保存和可疑交易分析報告等相關制度,在業(yè)務發(fā)展和盈利壓力的主導下,容易采取一些高風險交易模式,觸及了非法集資、非法經營等“底線”:利用第三方支付平臺轉移、清算網絡賭博或非法集資等犯罪資金,利用網上銀行實施地下錢莊違法犯罪活動,網絡炒匯、炒金,網絡傳銷,證券期貨違法犯罪活動,網上制假售假、洗錢犯罪等。

三、國外互聯(lián)網金融監(jiān)管經驗

一方面,互聯(lián)網金融擁有巨大的成本優(yōu)勢、服務優(yōu)勢和競爭優(yōu)勢,從而成為金融發(fā)展的巨大支撐;另一方面,較之傳統(tǒng)金融,互聯(lián)網金融又面臨更為巨大的技術風險、信用風險及法律風險,這促使各國的宏觀調控者重新審視自己的監(jiān)管政策,不斷對互聯(lián)網金融機構出現(xiàn)的新情況和新變化作出適應性調整,以使其成為各國促進經濟發(fā)展的不竭動力。1.完善的法律法規(guī)機制明確互聯(lián)網金融各主體權利與義務,劃分利益邊界,保護交易雙方權益,維護規(guī)范、有序的發(fā)展環(huán)境。美國法律制度比較健全,業(yè)務開展方面有《全球及全美商務電子簽名法》、《全球電子商務框架》、《統(tǒng)一電子交易法》、《創(chuàng)業(yè)企業(yè)融資法案》;市場準入方面有《國民銀行網上銀行注冊審批手續(xù)》;風險管理方面有《網絡信息安全穩(wěn)健做法指引》、《技術風險管理》、《技術風險管理-PC銀行》;現(xiàn)場檢查方面有《OTS對零售在線PC銀行的聲明》、《FDIC電子銀行系統(tǒng)安全性與可靠性檢查程序》等。英國對網絡信貸的監(jiān)管較早,《消費者信貸法》是規(guī)范網絡信貸的法律;《P2P融資信貸操作指引》用來規(guī)范P2P機構;市場準入方面,無最低資本金的門檻限制,但網貸機構要獲得信貸機構牌照才可運營。歐盟規(guī)范互聯(lián)網金融的相關法規(guī)有《電子貨幣指引》、《境內市場支付服務指令》、《反對非現(xiàn)金支付》、《電子簽名共同框架指引》等。日本對非銀行民間金融公司資金進行管理的法律有《貸金業(yè)法》、《出資法》、《利息限制法》等。2.嚴格的網絡安全管理制度網絡金融的運行基礎是互聯(lián)網,因此,互聯(lián)網技術安全和管理安全就成為互聯(lián)網金融監(jiān)管的首要任務?;ヂ?lián)網金融機構的安全包括電子技術、內部管理、自有資本和客戶資金管理等。具體要求有:(1)確保任何情況下的網絡主機系統(tǒng)和數據庫的安全,嚴格排除各種人為或非人為因素的影響;(2)確?;ヂ?lián)網金融交易雙方身份、數據、資料的真實合法,交易過程不存在任何安全隱患;(3)嚴格保密制度,確保研發(fā)新技術、新成果不被竊取,保證客戶資料不被非法盜取或者修改。美國《銀行機密法》規(guī)定,所有網絡銀行應當建立嚴格的新開戶標準,還要建立網絡監(jiān)控系統(tǒng)。3.高效的行業(yè)自律組織很多國家都重視互聯(lián)網金融行業(yè)協(xié)會對互聯(lián)網機構的監(jiān)管,運用行業(yè)標準來約束機構行為,可以彌補政府機關監(jiān)管職能的缺陷,也可以補充法律法規(guī)的漏洞,及時對新情況作出反映。美國構建了完善的網絡銀行業(yè)務風險管理制度框架:(1)決策管理層在業(yè)務風險中的職責;(2)網絡銀行業(yè)務的技術風險管理;(3)網絡銀行業(yè)務風險的內部控制機制;(4)網絡銀行業(yè)務外包情況下相關風險的控制。另外,英國和日本都是組織自律組織充當“準政府機構”,承擔部分政府的監(jiān)管職能,營造互聯(lián)網金融良好的市場環(huán)境。4.務實的功能性監(jiān)管體制互聯(lián)網金融從單一的業(yè)務模式開啟,隨著通訊技術的不斷發(fā)展和互聯(lián)網技術的廣泛應用,業(yè)務模式也隨之不斷創(chuàng)新?;ヂ?lián)網金融平臺囿于利潤及企業(yè)競爭力的考量,紛紛向混業(yè)經營轉變,金融服務逐漸趨向綜合性,逐漸發(fā)展為向消費者提供全面服務,金融超市的出現(xiàn)給分業(yè)監(jiān)管也帶來了新的難題。為了適應互聯(lián)網金融發(fā)展趨勢,美英等國開始對監(jiān)管政策進行調整。1999年,美國修改金融監(jiān)管框架,通過《金融服務現(xiàn)代化法案》,采取了綜合監(jiān)管與分業(yè)監(jiān)管相結合的模式。2000年,英國議會通過了《金融服務與市場法》法案,由金融服務局將取代原來的證券與投資委員會,統(tǒng)一行使監(jiān)管職能,實現(xiàn)了跨行業(yè)監(jiān)管。5.協(xié)調的國際合作機制隨著互聯(lián)網金融的發(fā)展對金融監(jiān)管國際合作的要求日益迫切,國際社會開始構筑一個新的、穩(wěn)健的國際金融架構。1999年,由美國、日本、德國、英國、法國、加拿大及意大利七大西方工業(yè)國成立了“金融穩(wěn)定論壇”,旨在從全球范圍監(jiān)督各國及全球金融體系的穩(wěn)定性。后邀請澳大利亞、新加坡、荷蘭、瑞士和歐洲央行等國家和國際組織加入,覆蓋范圍進一步擴大。2001年,巴塞爾委員會發(fā)表《電子銀行風險管理原則》,2003年,巴塞爾委員會《跨境電子銀行業(yè)務的管理和監(jiān)管》,2007年,《跨境電子銀行業(yè)務活動的管理和監(jiān)督》。

四、完善互聯(lián)網金融監(jiān)管的建議

篇10

關鍵詞:網絡新聞傳播;問題;對策

目前,互聯(lián)網已成為公眾獲取信息的重要渠道和途徑。新聞媒體,尤其是以社交類媒體為代表的社交新聞媒體,已成為人們認知世界、獲悉萬事萬物的窗口。據CNNIC《2016年中國互聯(lián)網新聞市場研究報告》顯示,截至2016年6月,互聯(lián)網新聞市場用戶規(guī)模達到5.79億,其中手機端網絡新聞用戶規(guī)模為5.18億,占移動網民的78.9%,互聯(lián)網新聞已成為網民高頻使用的基礎類網絡應用,對人們的思維方式和價值理念產生了重要的影響。同時,隨著網絡信息的多元豐富,也為網絡新聞傳播帶來了諸多問題和弊端。本文試圖分析網絡新聞傳播存在的五類問題,淺析其形成的三種原因,并針對性地提出四點對策建議。

一、網絡新聞傳播存在的五類問題與現(xiàn)象

第一,轉載信息隨意性強。有的媒體在未核實新聞事件真?zhèn)蔚那闆r下,一味追求時效性,第一時間公之于眾,存在審核把關不嚴的現(xiàn)象;有的媒體未取得互聯(lián)網新聞信息服務資質,但會定期推送、新聞信息,造成大范圍轉載。CNNIC數據顯示,只有25.7%的用戶轉發(fā)新聞前會有意識核實信息的真實準確性,轉發(fā)信息近乎零成本,且缺乏甄別真?zhèn)蔚氖侄魏头椒?,一定程度上助推了虛假新聞的進一步傳播。第二,新聞質量參差不齊。新聞采發(fā)過程包括信息收集、整理、編輯、加工、、傳播等環(huán)節(jié),而由于一些媒體從業(yè)人員未經過采編方面的系統(tǒng)訓練,有的人員每天要負責處理很多版面稿件,短時間內無法對每條新聞都做到認真編排,有的只能按時間先后順序簡單羅列,影響了受眾的閱讀體驗和傳播效果。有的信息側重于玩噱頭,刺激網民情緒,混淆視聽。第三,新聞信息重復率高。“兩微一端”傳播矩陣成為各家新聞網站和媒體的標配,往往同一條信息會被重復大量轉發(fā),有些新聞網站風格樣式及報道內容大體相似,造成重復冗雜、網絡資源浪費。第四,新聞媒體真假難辨。有的網站假冒境內正規(guī)新聞網站,未辦理備案手續(xù),服務器設立在境外,大量刊載境內社會新聞,集納負面信息,規(guī)避國內監(jiān)管部門管理。比如假冒“中國新聞網”“河北新聞網”“日照新聞網”等;有的境內不具備新聞資質的網站違法從事新聞采編活動,沖擊中國新聞監(jiān)管體系;少數新聞網站為吸引眼球編寫、炮制虛假新聞,出現(xiàn)法律、法規(guī)明令禁止的內容,擾亂社會秩序。[1]第五,欺詐侵權問題嚴重。有的新聞網站成為犯罪分子實施犯罪活動的溫床,有的網站開設后,為吸引公眾、賺取點擊量,甚至從事敲詐刪帖違法活動,從多方面查找報道黨政官員、企業(yè)高管、社會名人、法人組織等負面信息,通過多家網絡媒體大肆傳播,達到敲詐勒索的目的。

二、原因分析

第一,作為傳播過程主體的網絡新聞媒體,沒有切實把好新聞質量關。特別是一些社會商業(yè)媒體,為實現(xiàn)利益最大化,博取點擊率及排名榜位次,忽視社會責任,不顧采集或轉載的新聞信息的真?zhèn)危患颖鎰e和篩選就直接或轉載新聞信息,蓄意制造“標題黨”,降低了新聞水準和內容質量。第二,作為傳播客體的廣大網民,法律意識淡薄,文化品位和思想文化素質參差不齊,極易被虛假低俗的內容吸引。一些網民熱衷于觀看甚至定制娛樂八卦、奇聞趣事信息,為違法違規(guī)信息的傳播提供了空間。第三,作為新聞傳播監(jiān)管方的各級互聯(lián)網管理部門,正在逐步健全相關制度和管理辦法,但目前法律效應仍然較小,對于違法和不良信息的管理,主要在于政策法制、思想政治教育層面,對于隱秘性強、覆蓋面廣的信息,缺乏有效的監(jiān)控手段,處罰措施和責任追究制度沒有落到實處,給一些媒體及網民提供了可乘之機。[2]

三、應對策略

解決以上問題與現(xiàn)象,需要監(jiān)管部門、互聯(lián)網服務提供者、網絡用戶等多方發(fā)力、多措并舉,共同打造清朗健康的網絡空間。需要做到以下四個強化:第一,強化網絡新聞規(guī)范管理。近幾年來,國家互聯(lián)網信息辦公室在規(guī)范網絡內容管理方面,牽頭制定出臺了多項法律法規(guī)。今年6月,我國網絡基本法《中華人民共和國網絡安全法》以及新修訂的《互聯(lián)網新聞信息服務管理規(guī)定》正式實施,《規(guī)定》加強新聞信息采編流程管理、細化平臺管理、落實處罰責任,使互聯(lián)網新聞信息更加法制化、規(guī)范化。要進一步細化落實,制定互聯(lián)網新聞信息服務許可、運行、監(jiān)督檢查等方面的實施細則,便于操作和管理。同時,要會同國務院電信、公安、新聞出版廣電等部門建立信息共享機制,發(fā)揮各部門的執(zhí)法合力,在各領域各負其責,促進互聯(lián)網新聞信息管理取得更好的成效。第二,強化網絡新聞媒體集中整治及日常監(jiān)管。互聯(lián)網監(jiān)管部門要統(tǒng)籌協(xié)調各相關部門開展互聯(lián)網新聞信息服務專項行動,集中對從事互聯(lián)網新聞信息服務主體的互聯(lián)網站、應用程序、論壇、博客、微博客、公眾賬號、即時通信工具、網絡直播等媒體的采編服務、轉載服務、傳播平臺服務等進行全方位審查,對未依法取得互聯(lián)網新聞信息服務資質或超越許可范圍開展互聯(lián)網新聞信息服務活動的媒體予以嚴厲查處。同時,對于服務器位于境外,冒用國內新聞媒體刊載新聞信息的網站依法予以處理。集中整治后,各級互聯(lián)網信息管理部門要進一步加強常態(tài)化管控,定期通報。第三,強化互聯(lián)網新聞信息服務提供者的主體責任?;ヂ?lián)網新聞信息服務提供者應主要從五個方面切實履行主體責任:一是建立總編輯及核心內容管理人員管理制度??偩庉媽λ行畔热葚摽傌?。二是健全內容管理審核制度。要明確所信息事實明確、導向正確、來源規(guī)范、合法合規(guī);嚴格落實“三級審核”“先審后發(fā)”等要求;制定新聞來源白、黑名單機制,嚴格按照國家網信辦公布的互聯(lián)網新聞信息稿源單位名單開展工作,轉載應注明新聞信息來源;加強頁面生態(tài)管控,不得登載危害國家安全和社會穩(wěn)定的謠言、低俗負面等違規(guī)信息。三是制定信息安全管理制度、實名登記、平臺用戶管理等日常運營制度。加強圖片、音視頻等內容技術手段建設,加強對網絡直播、彈幕等新產品、新應用、新功能上線的安全評估。建立健全用戶賬號人工和技術審核機制,加強用戶身份及個人隱私信息管理。禁止不具備新聞資質的自媒體賬號新聞信息。四是強化內容管理隊伍建設。建立健全內容管理人員準入、考評、獎懲、退出等機制,完善內容管理人員初任培訓、經常性培訓等制度,促進整體素質提升。五是切實做好違法信息受理處置工作。暢通舉報渠道,完善舉報受理機制,及時處置網民投訴舉報,對違法信息采取立即停止傳輸、消除等處置措施,保存有關記錄,并向有關部門報告。第四,強化責任追究制度,形成震懾力量。作為新時代的網民,既是信息的接受者,同時也是信息的發(fā)送者、傳播者,要從采編、制作、審核、等關鍵環(huán)節(jié)嚴格遵守國家相關法律法規(guī),提倡文明辦網、文明上網,決不允許為片面追求經濟利益和謀取私人利益,一味抓眼球、搏出位,導致網絡傳播失序、生態(tài)惡化、亂象叢生,甚至危及國家安全、社會穩(wěn)定和人民的根本利益。要加大執(zhí)法力度,對于違反國家法律法規(guī)的行為嚴格按照相關規(guī)定予以處罰,嚴厲打擊網絡亂象,視情節(jié)嚴重程度給予約談、通報批評、罰款、關停網站等懲罰,形成網站不敢違規(guī)、違規(guī)嚴懲的社會監(jiān)管大環(huán)境。督促屬地互聯(lián)網企業(yè)落實好主體責任和社會責任,讓每一個網民在充分享受權利的同時,不斷強化自身的公民義務感,在執(zhí)法的牽引下將網絡言行納入理性而富有建設性的良性軌道,共同營造清朗的網絡空間??傊W絡新聞傳播需要以“重基本規(guī)范、重基礎管理,強化屬地管理責任、強化網站主體責任”為遵循,切實規(guī)范傳播秩序,弘揚主旋律,激發(fā)正能量,推動互聯(lián)網健康有序的發(fā)展。

參考文獻:

[1]王四新.強化網站主體責任正當其時[DB/OL].光明網-理論頻道,2016-09-23.