1. 網路犯罪公約的主要內容
網路犯罪公約在第二章自第二條至第十條中制定了簽署國需要對九類網路犯罪行為以刑法處罰 ,分述於下:
1. 非法進入(Illegal access):指當針對整個計算機系統或其任何部分的訪問是未經授權而故意進行時,每一簽約方應採取本國法律下認定犯罪行為必要的立法的和其他手段。簽約方可以規定此犯罪應當具有獲得計算機數據的意圖或其它不誠實意圖,或涉及與另一個計算機系統相連接的計算機系統而侵害安全措施。(原文請參照《網路犯罪公約》第二條) 。
2. 非法截取(Illegal interception):此類行為包括非法截取電腦傳送的「非公開性質」電腦資料,此項規定是用以保障電腦資料的機密性。根據歐洲理事會說明,如果電腦資料在傳送時,沒有意圖將資訊公開時,即使電腦資料是利用公眾網路進行傳送,也屬於「非公開性質」的資料。(原文請參照《網路犯罪公約》第三條) 。
3. 資料干擾(Data interference):包含任何故意毀損、刪除、破壞、修改或隱藏電腦資料的行為,此項規定乃是為了確保電腦資料的真確性和電腦程式的可用性。 (原文請參照《網路犯罪公約》第四條)。
4. 系統干擾(System interference):此項規定與第四條的「資料干擾」不同,此項規定乃是針對妨礙電腦系統合法使用的行為。根據歐洲理事會的說明,任何電腦資料的傳送,只要其傳送方法足以對他人電腦系統構成「重大不良影響」時,將會被視為「嚴重妨礙」電腦系統合法使用。所以在此原則下,利用電腦系統傳送電腦病毒、蠕蟲、特洛伊木馬程式或濫發垃圾電子郵件,都符合「嚴重妨礙」電腦系統,即構成「系統干擾」的行為。(原文請參照《網路犯罪公約》第五條) 。
5. 設備濫用(Misuse of devices):包含生產、銷售、發行或以任何方式提供任何從事上述各項網路犯罪的設備。由於進行上述網路犯罪,最簡便的方式便是使用黑客工具,因此間接催生了這些工具的製作與買賣,因此有需要嚴格懲罰這些工具的製作與買賣,從基本上杜絕網路犯罪行為。 (原文請參照《網路犯罪公約》第六條) 。
6. 偽造電腦資料(Computer-related forgery):包括任何虛偽資料的輸入、更改、刪改、隱藏電腦資料,導致相關資料喪失真確性。目前歐洲理事會各成員國法律,偽造文件都是犯罪行為,需要接受刑事制裁,故此規定只是將無實體存在的電腦資料也納入「偽造文書」的文書范圍。(原文請參照《網路犯罪公約》第七條) 。
7. 電腦詐騙(Computer-related fraud):包括任何有詐騙意圖的資料輸入、更改、刪除或隱藏任何電腦資料,或干擾電腦系統的正常運作,為個人謀取不法利益而導致他人財產損失,這是需要予以刑事處罰的犯罪行為。 (原文請參照《網路犯罪公約》第八條) 。
8. 兒童色情的犯罪(Offences related to child pornography):包括一切在電腦系統生產、提供、發行或傳送、取得及持有兒童的色情資料,此項規定是泛指任何利用電腦系統進行的上述兒童色情犯罪行為。(原文請參照《網路犯罪公約》第九條) 。
9. 侵犯著作權及相關權利的行為(Offences related to infringements of right and related rights):此項規定包括數條保障智慧財產權的國際公約列為侵犯著作權的行為,《網路犯罪公約》也規定這些行為必須為故意、大規模進行,並使用電腦系統所達成的。(原文請參照《網路犯罪公約》第十條)。
Internet安全,是人們十分關注的問題。據有關方面的了解,2001年的愛蟲病毒與2002年的Code red蠕蟲在若干小時之內傳染了幾十萬台主機,每次造成10億美元左右的損失。有一份調查報告談到,截止2002年10月,有88%的網站承認,它們中間有90%已經安裝了防火牆和入侵監測等安全設備。但最後一年內有88%受到病毒傳染,而有關的表明,Internet具有free scale的性質,其感染病毒的域值,幾乎為零。所以國內外一些有識之士提出安全的「範式轉換」,例如國外對現在的安全範式提出過兩點看法:
1) 傳統的安全範式對Internet的「復雜性」缺乏足夠的認識,安全最麻煩的問題所在是「復雜性」。
2) 以往(例如歐洲)對於信息安全所採取的措施是建立防火牆、堵漏洞,但沒有從整體性、協同方面構建一個信息安全的網路環境。可以說網路的安全問題是組織管理和決策。
如果對Internet(或萬維網www)加以,WWW是機與網民構成的人 . 網相結合的系統,我們從系統的觀點來分析,WWW是一個「開放的復雜巨系統」(OCGS),這種系統是我國科學家於20世紀90年代提煉出來的,但網路專家往往對此不容易接受。我們曾經專門寫了一篇題為「Internet —— 一個開放的復雜巨系統」的文章,將在《 科學 》上發表專門討論這個問題,這里就不多說了。更為重要的是國內不僅提出像WWW這樣的開放復雜巨系統,而且於1992年提出處理OCGS的論,即與「從定性到定量的綜合集成研討廳體系」,把各行各業的智慧、群體經驗、古今中外的安全知識與高性能計算機、海量儲存器、寬頻網路和數據融合、挖掘、過濾等技術結合起來,形成一個處理復雜問題及系統風險(Systemicrisks)決策的平台。研討廳體系的精要可概括如下:
1. 電腦是人腦研製出來的,在解決問題時,兩者應互相配合,以人為主,充分發揮兩者的積極作用。我國的一位家熊十力曾經把人的智慧(Human mind,心智或稱腦智)分為性智與量智兩類;性智一個人把握全面、定性的預測、判斷的能力,是通過文學等方面的培養與訓練而形成的;我國古代的讀書人所學的功課中,包括琴、棋、書、畫,這對一個人的修身養性起著重要作用。
性智可以說是形象思維的結果,難以用電腦模擬,人們對藝術、、繪畫等方面的創造與鑒賞能力等都是形象思維的體現。心智的另一部分稱為量智,量智是通過對問題的分析、計算,通過科學的訓練而形成的智慧。人們對的掌握與推導,用系統的方法解決問題的能力都屬於量智,是邏輯思維的體現。所以對青少年的培養來說,藝術與科學是兩個十分重要的方面。分析現在的電腦的體系結構,用電腦對量智進行模擬是有效的。人工智慧的研究表明了用電腦對邏輯思維的模擬,可以取得成功;但是用現在的電腦模擬形象思維基本上是行不通的。電腦畢竟是人研製出來的,是死的不是活的,我們用不著一定要電腦做它做不到的事。總而言之,明智的方法是人腦與電腦相結合;性智由人來創造與實現,而與量智有關的事由電腦來實現,這是合理而又有實效的途徑。從體繫上講,人作為系統中的成員,綜合到整個系統中去,利用並發揮人類和計算機各自的長處,把人和計算機結合起來形成新的體系。
2. 以「實踐論」為指導,把認識從定性提高到定量
面對未知的問題,採用綜合集成法進行分析與解決的過程如下:首先由專家或專家群體提出解決該問題的猜想,根據以往經驗性認識提出意見,這種意見或見解屬於「定性」性質;再利用精密科學中所用的建模方法(數學建模或計算機建模),用人機結合的方法建立和反復修改模型,達到從定性認識上升到總的定量的認識,這也可以說是專家們的大膽假設通過電腦包括信息網路加以細心求證的過程。這一過程需要計算機軟硬體環境,各種資料庫、知識庫以及信息網路的支持,是充分利用信息技術的體現。
3. 以Internet為基礎,體現民主集中制,尋求科學與經驗相結合的解答
「綜合集成研討廳」可以看成是總體規劃信息革命思維工作方法的核心。它實際上是將我國民主集中制的原則運用於科學技術的方法之中,並以Internet為工具系統,尋求科學與經驗相結合的解答。
一些從事網路安全的專家的看法歸納為:
1. Internet不是一般的系統,是開放,人在其中,與系統緊密耦合的復雜巨系統;
2. Internet是一個時時處處有人參預的、自適應的、不斷演化的,不斷涌現出新的整體特性的過程;
3. Internet的安全管理,不是一般管理手段的疊加和集成,而是綜合集成(metasynthesis)。兩者的本質區別在於強調人的關鍵作用,是人網結合、人機結合,發揮各自的優勢。
在信息社會中網路將逐漸成為人們離不開的工作與生活中的必須品。眾多網民(上網的人)的行為必須有所規范,理所應當的必須遵循「網路道德原則」。下面引用北大出版《 信息科學技術與當代社會 》中,有關「網路行為規范」與「網路道德原則」的論點,作為進一步思考的。
(一) 網路行為規范
到為止,在Internet上,或在整個世界范圍內,一種全球性的網路規范並沒有形成,有的只是各地區、各組織為了網路正常運作而制訂的一些協會性、行業性計算機網路規范。這些規范由於考慮了一般道德要求在網路上的反映,也在很大程度上保證了目前網路的基本需要,因此很多規范具有普遍的「網路規范」的特徵。而且,人們可以從不同的網路規范中抽取共相同的、普遍的東西出來,最終上升為人類普遍的規范和准則。
國外研究者認為,每個網民必須認識到:一個網民在接近大量的網路伺服器、地址、系統和人時,其行為最終是要負責任的。「Internet」或者「網路」不僅僅是一個簡單的網路,它更是一個由成千上萬的個人組成的網路網路「社會」,就像你駕車要達到某個目的地一樣必須通過不同的路段,你在網路上實際也是在通過不同的網路「地段」,因此,參與到網路系統中的用戶不僅應該意識到「交通」或網路規則,也應認識到其他網路參與者的存在,即最終要認識到網路網路行為無論如何是要遵循一定的規范的。作為一個網路用戶,你可以被允許接受其他網路或者連接到網路上的計算機系統,但你也要認識到每個網路或系統都有它自己的規則和程序,在一個網路或系統中被允許的行為在另一個網路或系統中也許是受控制,甚至是被禁止的。因此,遵守其他網路的規則和程序也是網路用戶的責任,作為網路用戶要記住這樣一個簡單的事實,一個用戶「能夠」採取一種特殊的行為並不意味著他「應該」採取那樣的行為。
因此,既然網路行為和其他社會一樣,需要一定的規范和原則,因而國外一些計算機和網路組織為其用戶制定了一系列相應的規范。這些規范涉及網路行為的方方面面,在這些規則和協議中,比較著名的是美國計算機倫會(Computer Ethics Institute)為計算機倫理學所制定的十條戒律( Ten Commandments),也可以說就是計算機行為規范,這些規范是一個計算機用戶在任何網路系統中都「應該」遵循的最基本的行為准則,它是從各種具體網路行為中概括出來的一般原則,它對網民要求的具體是:
1. 不計算機去傷害別人;
2. 不應干擾別人的計算機工作;
3. 不應窺探別人的文件;
4. 不應用計算機進行偷竊;
5. 不應用計算機作偽證;
6. 不應使用或拷貝你沒有付錢的軟體;
7. 不應未經許可而使用別人的計算機資源;
8. 不應盜用別人智力成果;
9. 應該考慮你所編的程序的社會後果
10. 應該以深思熟慮和慎重的方式來使用計算機。
再如,美國的計算機協會(The Association of Computing Machinery)是一個全國性的組織,它希望它的成員支持下列一般的倫理道德和職業行為規范:
1. 為社會和人類作出貢獻;
2. 避免傷害他人;
3. 要誠實可靠;
4. 要公正並且不採取歧視性行為;
5. 尊重包括版權和專利在內的財產權;
6. 尊重知識產權;
7. 尊重他人的隱私;
8. 保守秘密。
國外有些機構還明確劃定了那些被禁止的網路違規行為,即從反面界定了違反網路規范的行為類型,如南加利福尼亞大學網路倫理聲明(the Network Ethics Statement University of Southern California)指出了六種不道德網路行為類型:
1. 有意地造成網路交通混亂或擅自闖入網路及其相聯的系統;
2. 商業性地或欺騙性地利用大學計算機資源;
3. 偷竊資料、設備或智力成果;
4. 未經許可接近他人的文件;
5. 在公共用戶場合做出引起混亂或造成破壞的行動;
6. 偽造函件信息。
上面所列的「規范」的兩方面內容,一是「應該」和「可以」做的行為,二是「不應該」和「不可以」做的行為。事實上,無論第一類還是第二類,都與已經確立的基本「規范」相關,只有確立了基本規范,人們才能對究竟什麼是道德的或不道德的行為作出具體判斷。
3. 簡述網路安全策略的概念及制定安全策略的原則
網路的安全策略1.引言
隨著計算機網路的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵,致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言,其網上信息的安全和保密尤為重要。因此,上述的網路必須有足夠強的安全措施,否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網路信息的保密性、完整性和可用性。
2.計算網路面臨的威脅
計算機網路所面臨的威脅大體可分為兩種:一是對網路中信息的威脅;二是對網路中設備的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
3.計算機網路的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
3.2 訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的帳號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(IRM)可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3.2.3 目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、存取控制許可權(Access Control)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網路伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形或文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
3.2.7 網路埠和節點的安全控制
網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和伺服器端再進行相互驗證。
3.2.8 防火牆控制
防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型;
(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火牆:代理防火牆又稱應用層網關級防火牆,它由代理伺服器和過濾路由器組成,是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。
(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
5. 網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路的安全性將變得十分重要。
4. 網路恐怖主義的網路恐怖主義的主要特徵
與通常的暗殺、劫持人質和游擊戰等傳統的恐怖手段相比,為什麼恐怖分子對利用網路進行攻擊這么感興趣呢?我們認為,網路恐怖主義之所以對恐怖分子具有如此大的魅力,主要是網路恐怖主義具有以下幾方面的特點: 重視人才的培養和公民的安全意識教育,發動全社會力量對網路安全進行全民防禦。到目前為止,還沒有「電子珍珠港」事件能夠喚醒公眾採取行動保護網路的意識。許多人都沒有認識到國家經濟和國家安全對計算機和信息系統依賴到何種程度。而保衛網路空間的安全則需要所有人的行動,包括最普通的大眾。美國在《確保網路空間安全的國家戰略》中就提出完善「網路公民計劃」,對兒童進行有關網路道德和正確使用互聯網和其他通訊方式的教育;要建立企業和信息技術精英間的合作關系;保證政府雇員具備保護信息系統安全的意識;在上述行動的基礎上,把提高安全意識的活動推廣到其他私營部門和普通民眾。
許多國家也意識到,僅僅依靠政府的力量是不夠的,必須建立起一個全方位的防禦體系,動員一切可以動員的社會力量。1998年11月,美國能源部、天然氣研究所和電力研究所共同主辦了能源論壇,邀請了100多家電力、天然氣和石油企業和政府代表 參加;2001年1月,包括IBM在內的500多家公司加入了FBI成立的一個被稱作「InfraGard」的組織,共同打擊日趨囂張的網路犯罪活動。 建立相應機構,完善網路安全的管理體制。「9.11事件」後,布希政府迅即採取行動,成立了「國土安全辦公室」,將打擊網路恐怖襲擊作為其主要職責之一。並在「國土安全辦公室」增設總統網路安全顧問,主管總統「關鍵基礎設施保護委員會」,負責制定、協調全美政府機構網路反恐計劃和行動。美國還打算將一些主要的網路安全負責機構並入「國土安全部」,以加強統籌管理。
德、英、日、加等國也相繼成立了主管網路安全的政府機構,如英特網安全特別小組、電腦警察、反電腦黑客指揮中心、反網路恐怖特別小組等等,負責評估威脅源和安全程度,提供適當的保護措施,打擊和防範網路恐怖襲擊。2003年2月,歐洲委員會宣布成立一項聯合打擊對電力及供水等重要設施進行網路襲擊的計劃,並成立「歐洲網路及信息安全局」。該機構將僱傭來自15個歐盟成員國的30名專家,在各國保護網路及信息安全措施的基礎上提高各成員國和歐盟預防和處理網路及信息安全問題的能力。 推動立法,構築堅實的安全防護網。從20世紀80年代開始,美國相繼推出一系列打擊網路犯罪和黑客活動、維護信息安全的各種法律法規,包括計算機安全法、信息自由法等等。2002年7月,美眾議院通過「加強計算機安全法案」,規定黑客可被判終生監禁;美國防部也宣布將正式實施一項新禁令,擴大對外國人接觸美政府計算機項目的限制,禁止外籍人員接觸敏感信息,以確保政府計算機系統安全,防範網路恐怖襲擊。
英國在原有的《三R安全規則》基礎上,於2000年7月公布了《電子信息法》,授權有關當局對電子郵件及其他信息交流實行截收和解碼。2000年底,歐洲委員會起草的《網路犯罪公約》正式出台,包括美國在內的40多個國家都已加入。該公約的目的就是要採取統一的對付計算機犯罪的國際政策,防止針對計算機系統、數據和網路的犯罪活動。2000年1月,日本制定了「反黑客對策行動計劃「,要求在年底前制定對付電腦恐怖活動的特別計劃,建立和健全處罰黑客行為的法律,加強政府控制危機體制。 加強國際社會的合作,建立國際合作體系來共同對付網路恐怖威脅。一國的網路把自身與世界其他地區聯結在一起。各個網路所組成的全球性網路延伸到整個地球,使某個大洲上懷有惡意的人能夠從數千里之外攻擊網路系統。跨國界網路攻擊特別迅速,使追查和發現這種惡毒的行為也變得非常困難。因此,一個國家要想具有確保其至關重要的系統和網路安全的防禦保護能力,就需要建立國際合作體系。
2001年5月,法國和日本共同主持了題為「政府機構和私營部門關於網路空間安全與信任對話」的八國集團會議,這是世界上首次以打擊網路犯罪為主要議題的國際性會議;2001年10月,西方七國集團財長會議制定《打擊資助恐怖主義活動的行動計劃》,呼籲加強反恐信息共享、切斷恐怖分子的金融網路以及確保金融部門不為恐怖分子所利用;2001年11月,歐洲委員會43個成員以及美國、日本、南非正式簽署《打擊網路犯罪條約》,這是第一份有關打擊網路犯罪的國際公約;此外,美國網路反恐專家正在倡議制訂一項國際性的網路武器控制條約。
總之,制止網路恐怖主義需要全球各國政府、企業甚至每個人的合作,從預防入手,在每個環節採取防範措施,這樣才能使網路世界安全。魔高一尺,道高一丈,人類與恐怖分子的網際斗爭將是一場艱巨的持久戰。
5. 有誰知道歐洲數據保護法的主要內容或者誰能告訴我在哪能看到這方面的消息
《歐洲數據保護法》系統介紹了歐洲的數據保護法律制度,涵蓋了歐盟及其主要成員國的最新進展情況。第一章 歐洲數據保護法律和制度
一、導言
二、歐盟機構
(一)歐盟委員會
(二)歐盟理事會
(三)歐洲議會
(四)歐洲法院
(五)歐盟數據保護專員
(六)第29條工作組
(七)第31條委員會
(八)其他機構
三、歐盟成員國機構
(一)數據保護機構
(二)其他機構和組織
四、法律文件
(一)歐盟法律
(二)成員國法律
(三)歐盟法律的最高地位和指令的執行
(四)標准化
五、立法程序
六、非歐盟的國際機構
(一)歐洲理事會
(二)oecd
(三)聯合國
(四)柏林工作組
七、法律的執行
八、未來的方向
第二章基本法律概念
一、導言
二、獲取權及相關權利
三、匿名數據或化名數據
四、同意
五、數據控制者和數據處理者
六、數據最少化
七、數據處理的定義和依據
八、數據主體
九、數據轉移
十、分支機構
……
第三章法律適用和管轄
第四章跨國數據轉移
第五章遵守的挑戰和應對策略
附錄1有用的網址
附錄2歐洲數據保護機關
附錄3歐盟數據保護指令95/46/ec的執行及其文本
附錄4隱私與電子通訊指令2002/58/ec的執行及其文本
附錄5歐盟數據留存指令2006/24/ec
附錄6美國安全港原則和常見問題解答
附錄7向第三國轉移個人數據的標准合同文本(從控制者向控制者的轉移)
附錄8向第三國轉移個人數據的標准合同文本(從控制者向處理者的轉移)
附錄9格式和範本
附錄10歐盟成員國郵件、傳真、電話和電子郵件直銷的要求
附錄11歐盟成員國有關商務和人力資源數據報告要求的概況
附錄12標准合同文本備案要求
附錄13歐盟主要成員和第29條工作組自2002年9月至2006年5月以來所採取的主要執行措施
附錄14第29條工作組2006年8月之前所通過的文件
附錄15與約束性公司規則有關的資料
6. 誰有深度整理的歐盟《一般數據保護法案》(GDPR)核心要點中文內容
前言:
整理本文的原因有三:
1、 網上很多關於GDPR的文章並不全面,甚至有誤
2、 以此機會在公司內部開展關於GDPR的專項培訓
3、 青蓮雲的部分客戶業務在未來會受到GDPR的影響
之後,我們計劃編寫一系列相關文章,更多的是站在企業角度來思考法案對物聯網行業的影響以及應對措施,一來希望與同行企業可以就GDPR進行更多的互動討論;二來也是希望傳播國際法案對於安全和隱私的態度,共同提高物聯網安全意識。
以下您將了解到:
1、 什麼是GDPR(重要)
2、 GDPR的發展歷程
3、 GDPR的關鍵術語定義(重要)
4、 GDPR會影響哪些企業(重要)
5、 GDPR不適用於哪些情況
6、 GDPR約束了哪些數據(重要)
7、 GDPR中數據主體的權利(重要)
8、 GDPR中處理個人數據的基本原則(重要)
9、 GDPR中對合法處理數據的定義
10、 GDPR中針對兒童數據的處理規定
11、 GDPR中數據控制者與數據處理者的義務(重要)
12、 GDPR中針對特別類型個人數據的處理規定
13、 GDPR中關於數據主體被遺忘權的規定(重要)
14、 GDPR中關於數據主體可攜帶權的規定(重要)
15、 GDPR中關於個人數據泄露通知的規定(重要)
16、 GDPR中關於設立數據保護官的規定
17、 GDPR關於執法和處罰的規定(非常重要)
18、 總結
什麼是GDPR
2016年4月14日,歐洲議會投票通過了商討四年的《一般數據保護法案》(General Data Protection Regulation (GDPR)),新法案由11章共99條組成,該法案將於2018年5月25日正式生效,將取代現有的《數據保護指示》(Data Protection Directive 95/46/EC),統一歐盟成員國關於數據保護的法律法規。
此外,GDPR新規是在28個歐盟成員國統一實施生效的,這將使28個歐盟及歐洲經濟共同體成員國的隱私保護法更具有一致性和現代性。
GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規,其頒布意味著歐盟對個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案
GDPR的發展歷程
(圖片來自網路)
GDPR的關鍵術語定義
個人數據:是指任何指向一個已識別或可識別的自然人(數據主體)的信息。該可識別的自然人能夠被直接或間接地識別,尤其是通過參照諸如姓名、身份證號、定位數據、在線身份識別這列標識,或者是通過參照針對該自然人一個或多個如物理、生理、遺傳、心理、經濟、文化或社會身份的要素。
處理:是指針對個人數據或個人數據集合的任何一個或一系列操作,諸如收集、記錄、組織、建構、存儲、自適應或修改、檢索、咨詢、使用、披露、傳播或其他利用、排列、組合、限制、刪除或銷毀,無論此操作是否採用自動化手段。
匿名化:是一種使個人數據在不使用額外信息的情況下不指向特定數據主體對待個人數據的處理方式。該處理方式將個人數據與其他額外信息分別存儲,並且使個人數據因技術和組織手段而無法指向一個可識別和已識別的自然人。
數據控制者:能單獨或聯合決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他非法人組織。
數據處理者:是指為數據控制者處理個人數據的自然人、法人、公共機構、行政機關或其他非法人組織。
數據接受者:只是接收到被傳遞的個人數據的主體,無論其是否是第三方的自然人、法人、公共機構、行政機關或其他非法人組織。政府因在歐盟或其成員國法律框架內特定調查接收到的個人數據,不得視為「數據接受者」。
個人數據外泄:是指個人數據在傳輸、存儲或進行其他處理時的由安全問題引發的個人數據被意外或非法破壞、損失、變更、未經授權披露或訪問。
GDPR會影響哪些企業
歐盟GDPR法案具有域外效應。也就是說,GDPR賦予了歐盟在個人信息安全方面的域外管轄權。
主要受影響的企業為以下四類:
l 設立在歐盟境內的企業(控制者、處理者)
l 未在歐盟境內設立,但向歐盟境內的數據主體(自然人)提供產品和服務的企業(控制者、處理者)
l 未在歐盟境內設立,但涉及監控歐盟境內數據主體(自然人)行為的企業(控制者、處理者)
l 未在歐盟境內設立,但在歐洲成員國法律適用的地方設立的企業(控制者、處理者)
總結來說,GDPR不僅適用於位於歐盟境內的企業組織機構,也適用於位於歐盟以外的企業組織機構,無論機構所在地位於哪裡,只要其向歐盟數據主體提供產品、服務或者監控相關行為,或處理和持有居住在歐盟境內的數據主體的個人數據,都將受到GDPR法案的監管。
GDPR法案同樣適用於「數據控制者」和「數據處理者」。如果是數據處理者涉案,數據控制者也無法免除責任,GDPR規定控制者需要承擔更多的責任,以確保和數據處理者之間的合同能夠嚴格遵守GDPR的規定。
GDPR不適用於哪些情況
GDPR更多的是監管企業對數據的使用行為。以下4個方面的數據使用情況不適用於GDPR:
l 為了預防、調查、偵查或起訴刑事犯罪,主管當局為執行刑事處罰目的而產生的數據處理行為
l 基於國家安全目的而產生的數據處理行為
l 自然人在純粹的個人或家庭活動中產生的數據處理行為
l 歐盟法律規定范圍之外的活動過程中產生的數據處理行為
GDPR約束了哪些數據
個人數據:
可以通過某個標識直接或間接識別某一自然人的信息。
不管是採用自動化手段還是人工進行歸類的數據,包括按時間順序排列的包含個人數據的記錄集合。
已經被匿名化的個人數據,取決於用已有標識來識別特定個體的困難程度。
敏感個人數據:
也被稱為「特殊種類的個人數據」。
包括揭示種族或民族出身、政治觀點、宗教或哲學信仰、工會成員的個人數據。
包括遺傳數據和經過處理可以唯一識別個體的生物特徵數據。
不包括涉及刑事定罪和罪行的個人數據,但該類數據的處理和保存有特殊要求。
GDPR中數據主體的權利(第三章)
l 知情權
l 訪問權
l 反對權
l 可攜帶權
l 糾正權
l 刪除權/被遺忘權
l 限制處理權
l 免受數據畫像影響
GDPR中處理個人數據的基本原則
l 合法、正當、透明
l 處理數據的目的是有限的
l 僅處理為達到目的的最少數據
l 確保數據准確、及時更新
l 存儲數據的期限不得長於為達到目的所需要的時間
l 採取技術和管理措施以保護數據的安全
l 數據控制者有責任並應能夠證明做到了以上幾點
GDPR中對合法處理數據的定義
至少滿足一下中的某一項,處理數據才是合法的
l 數據主體同意為了特定目的處理其數據
l 處理數據是為了簽訂或履行合同的需要
l 處理數據是為了遵守法定義務的需要
l 處理數據是為了保護數據主體或其他自然人的至關重要的利益
l 處理數據是為了公共利益或形式政府授受的權力
l 處理數據是為了追求數據控制者的合理利益,但不得損害數據主體的利益
GDPR中針對兒童數據的處理規定
處理16歲以下兒童的個人數據,必須獲得該兒童父母或監護人的同意或授權。各成員國可以對上述年齡進行調整,但是不得低於13歲
GDPR中數據控制者與數據處理者的義務
設置DPO(數據保護官)
文檔化管理
數據保護影響評估
事先咨詢機制
數據泄露報告機制
安全保障措施
遵守數據跨境轉移規則
GDPR中針對特別類型個人數據的處理規定
禁止收集處理反映個人種族或民族起源、政治觀點、宗教和哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。但在例外的情況下也可以收集加工以上數據,如已獲得個人的明示同意,或數據控制者因處理勞動關系、社會保險之需要並在法律允許的范圍內且已採取了適當的保護手段等。
GDPR中關於數據主體被遺忘權的規定(重要)
當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時,數據主體可以隨時要求收集其數據的企業或個人刪除其個人數據。
如果該數據被傳遞給了任何第三方(或第三方網站),數據控制者應通知該第三方刪除該數據。
GDPR中關於數據主體可攜帶權的規定(重要)
數據主體可向數據控制者索要其數據,也可將其個人數據轉移至另一個數據控制者。
GDPR中關於個人數據泄露通知的規定(重要)
數據控制者應在72小時之內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時,數據控制者必須毫不延誤的通知數據主體,以便數據主體及時採取措施。
GDPR中關於設立數據保護官的規定
為確保數據保護合規並處理數據保護相關事務,數據控制者和數據處理者需設置數據保護官(DPO)。
控制者和處理者應當對數據保護官不下達任何指令,DPO不能因為執行任務的原因被解僱或者受到刑事處罰。
數據保護官直接向最高管理者報告工作。
根據聯盟法律或者成員國法律規定,數據保護官應當對其執行任務的內容進行保密。
數據保護官也可以執行其他任務,履行其他職責。
GDPR關於執法和處罰的規定(非常重要)
不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和巨額的罰款。
GDPR的處罰並不是像網上傳的那樣直接就罰全球營收的4%。而是有兩個等級的徵收行政性罰款的規定:
對於一般性的違法,罰款上限是1000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的2%(兩者中取數額大者);
對於嚴重的違法,罰款上限是2000萬歐元,或者在承諾的情況下,最高為上一個財政年度全球全年營業收入的4%(兩者中取數額大者);
判罰的嚴重程度是基於以下因素:
l 違規的性質、嚴重程度和違規的持續時間
l 違規是故意的還是因疏忽造成的
l 對個人身份信息的責任心和控製程度
l 違規是單個事件還是重復事件
l 受到影響的個人資料的種類范圍
l 數據主體遭遇的損害程度
l 為了減輕損害而採取的行動
l 由違規產生的財務預期或收益
GDPR核心旨在保護隱私數據,並通過法案約束來建立企業和公民之間的信任關系,違反GDPR的代價遠不止財務層面,還將給企業聲譽造成極大破壞,並且導致企業和消費者之間產生信任危機
總結
由於青蓮雲所在的物聯網行業也處於GDPR法案的約束之中,故此整理出法案中的重點思想與業界分享。GDPR此次改革以保護公民的基本權利為理念,在提高個人數據保護標準的同時,也會增加企業的合規成本。法案的背後是對隱私和安全的需求,法案生效後會成為國際數據隱私保護標准。
對於物聯網行業的相關企業(硬體、軟體、製造、數據分析等)來說,從此刻開始提升物聯網安全意識,關注數據安全和用戶隱私安全,積極的採取相應的整改或強化措施刻不容緩。青蓮雲安全團隊也將在不斷提升自身安全攻防能力和安全合規意識的同時,與客戶企業建立長期持續的安全咨詢合作關系,共同建設安全、自主、可信的物聯網安全新業態。
7. 為什麼網路安全很重要
現在的網路犯罪分子可以找到很多漏洞,並對內部系統造成損害。這樣的事件將導致資金,機密信息和客戶數據的丟失,並且還會破壞業務在市場上的聲譽。2020年3月,Mariott International遭受了重大數據泄露,其中520萬客人的信息被訪問,使用特許經營物業的兩名員工的登錄憑據。大流行和遠程工作甚至沒有放過Twitter。2020年6月,幾位知名人士的帳戶通過電話網路釣魚被劫持。強大的網路安全技術是企業生存的現代必需品,但更重要的是,網路衛生意識也已成為當務之急。在當今的業務基礎架構中,網路安全不僅限於 IT 專業人員和與之相關的公司。網路安全適合所有人,律師,室內裝飾師,音樂家,投資銀行家等,都會發現網路安全系統對他們的工作和業務有益。通過泰科雲Techcloudpro實施和學習網路安全,小型企業將使其員工更加負責任,律師事務所將有動力保護其數據,室內設計師將找到更有效的方法來控制其繁重的文件。
8. 誰能給我介紹各國關於網路的相關規定
網路傳播的負面影響,已經引起各國各界的廣泛關注。人們越來越意識到,進入網路時代以後,一方面,過去在現實空間中遇到的各種道德和法律問題,不可避免地會反映到網路空間中來;另一方面,網路空間又產生了許多現實空間中沒有過的新的道德和法律問題。因此,各國政府都高度重視網路管理,陸續頒布了一系列有關計算機網路的法律法規。 美國是世界上互聯網路最為發達的國家。早在1978年8月,美國佛羅里達州就率先通過了《佛羅里達計算機犯罪法》。該法規涉及了侵犯知識產權、侵犯計算機裝置和設備、侵犯計算機用戶權益等問題,並作出了種種規定。隨後,美國共有47個州相繼頒布了計算機犯罪法。1984年,美國國會通過了《聯邦禁止利用電子計算機犯罪法》。1987年,國會通過一項方案,批准成立國家計算機安全技術中心,並制定了《計算機安全法》。美眾院司法委員會要求,色情郵件須加標注,使得用戶可以不打開郵件直接將郵件刪除;網際網路接入服務提供商可以起訴濫發垃圾郵件者,並提出索賠要求。1996年2月,美國總統簽署了國會通過的《通訊凈化法》,明確規定互聯網不得向未成年人傳播有傷風化的文字及圖像。這一法案盡管受到健康輿論的廣泛支持,但卻遭到美國公民自由聯盟、出版界(包括網上刊物出版界)和電腦界一些組織的反對,聲稱它違反了關於言論自由的憲法修正案,從而引起了一場訴訟。1997年美國最高法院判定這一法案違憲,使它終於未能實行。不過2000年4月美國貿易委員會制定的《兒童網上保護法》卻得到了實施。該法規定商業網站收集年齡在13歲以下少年的個人信息以及這些未成年人進入網上聊天室時必須得到其父母的同意。① 在德國,政府明確表示不能讓互聯網成為傳播色情和宣揚新納粹思想的場所,強調要防止互聯網路受到「污染」,要求經營聯網業務的企業承擔義務,使青少年免受不良信息的危害。1997年8月,德國制訂的《信息和通訊服務法》(即《多媒體法》)正式實施。這是世界上第一部對互聯網空間的行為實施全面的法律規范的專門立法,法案確立了傳播自由和責任並重的原則。該法關於網路服務商的責任提到了三點:1.對自己提供的網上信息內容負全部責任;2.對網上提供來自他人的內容只是在一定條件下才負有責任;3.對於僅僅提供了進入通道的網上信息不負責任.。一般認為它將對世界各國的相關立法會產生重要影響。 英國在1996年以前主要依據《黃色出版物法》、《青少年保護法》、《錄像製品法》、《禁止泛用電腦法》和《刑事司法與公共秩序修正法》懲處利用電腦和互聯網路進行犯罪的行為。1996年9月23日,英國政府頒布了第一個網路監管行業性法規《3R安全規則》。「3R」指的是分級認定、舉報告發、承擔責任。1999年英國政府公布了《電子通信法案》的徵求意見稿。這一草案醞釀已久,其主要目的是為促進英國電子商務發展,並為社會各界樹立對電子商務的信心提供法律上的保證。英國廣播電視的主管機關--獨立電視委員會(ITC)宣稱,依照英國1990年的《廣播法》,它有權對互聯網上的電視節目以及包含靜止或活動圖象的廣告進行管理,但它目前並不打算直接行使其對互聯網的管理權力,而是致力於指導和協助網路行業建立一種自我管理的機制。 新加坡政府在1996年3月頒布了有關網路的管理條例,要求提供聯網服務的公司對進入網路的信息內容進行監督,以防止傳播色情和容易引發宗教及政治動盪的信息。1996年7月,新加坡廣播管理局依法對互聯網路實行管制,宣布實施分類許可證制度,以便鼓勵正當使用互聯網路,促進其在新加坡的健康發展,保護網路用戶、尤其是年輕人免受非法和不健康信息傳播的侵害。 在韓國,為了加強對信息通信網的管理,政府的情報通信部2001年出台了《關於保護個人信息和確立健全的信息通信秩序》的法規。這一法規明確規定個人信息管理者的許可權和責任,對向第三者泄漏個人信息者將予以重罰。與此同時,這一法規還將加強對淫穢、暴力、犯罪等非法信息流通的管理。 由於網路傳播的國際性,各國政府越來越意識到,要有效地規范網上行為、尤其是打擊網路犯罪,單靠一國立法是遠遠不夠的。各國執法部門在工作中遇到的許多挑戰,只有通過國際條約來解決。為此,歐盟委員會曾於1996年10月通過了《互聯網有害和違法信息通信》和《在新的電子信息服務環境中保護未成年人和人的尊嚴》綠皮書。綠皮書中規定網路主機服務商和檢索服務商應該對其主機和伺服器上的違法和有害信息承擔法律責任。歐盟委員會還建議對互聯網信息建立評級制度,鼓勵開發和採用過濾軟體和評級系統,鼓勵網民報告違法和有害網址。從1998年起,泛歐組織歐洲委員會決定由歐洲犯罪問題委員會下屬的網路空間犯罪專家委員會負責起草《網路犯罪公約》草案,美國也參與了起草。這是國際社會第一個正在草擬的有關計算機系統、網路或數據的犯罪行為的多邊協定。人們預期它會帶來在網路管理方面更多的國際合作。 回顧歷史,人類的傳播活動和新聞事業,總是隨著傳播技術的進步、傳播方式的更新而不斷發展的。而新的傳播技術和傳播方式往往是把雙刃劍,既能帶來新的飛躍也會帶來新的挑戰。世紀之交興起的互聯網路的情況也是如此。相信經過世界各國政府、組織和進步人類的共同努力,互聯網事業也必定能興利除弊,把人類的傳播活動和世界新聞事業帶進一個全新的時代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互聯網路的迅猛發展,給人類的信息交流和新聞傳播提供了極大的便利,產生了廣泛的影響。但是它的發展也帶來某些負面後果,出現了一些新的問題。其中最為突出的有: 首先,由於網路傳播具有開放性,任何人都可以在沒有檢查控制的情況下在網上傳播信息,因而為有害信息的傳播帶來極大的方便。特別在一些非正規的網站網頁或個人傳播活動中,各種信息泥沙俱下,良莠混雜。散布虛假消息、謠言傳聞者有之,宣揚迷信、傳播邪教者有之,煽動民族仇恨、助長種族歧視者有之,這些都會危害社會穩定和發展。資料顯示,世界各種邪教組織如日本的奧姆真理教、義大利的末世派等都設有網站,法**組織在全球25個國家都設有網站,光在美國就擁有八十多個網站,還有13種語言版本。至於傳統媒介上常見的色情內容更是網路天地間揮之不去的有害氣體。據卡內基-梅隆大學一個專家組在1995年的調查報告稱,在美國多數家庭電腦連通的網路中,有85%帶有不同程度色情內容的圖片、文章和錄像,電子公告板儲存的數據圖像有五分之四含有淫穢內容。這些都嚴重污染著社會風氣,對青少年成長更有極為不利的影響。 其次,網路傳播具有很強的自由度,發布的言論不易查究責任,因而很容易出現侵害他人權利的行為。在網上散布流言蜚語、造謠誹謗他人,損害別人的名譽權,侵犯他人的隱私權,這些現象時有所見。也有的故意在網上製造輿論,傷害法人或自然人的信譽,為不正當的商業競爭或政治斗爭服務。另外,網路服務商為了管理或個性化服務的需要,一般都要求消費者登記自己的有關情況,這里也往往存在收集和使用不當的問題,造成對個人隱私的侵犯。 第三,由於網路空間的虛擬性,網上行為不象現實世界中那樣可觸可摸、有據可查,因而也為某些刑事犯罪帶來了可乘之隙。通過網路詐騙錢財、從事毒品交易、密謀恐怖活動、甚至為賣淫嫖娼牽線,諸如此類的犯罪活動並不罕見。也有些計算機高手,通過網路竊取商業機密、政治軍事情報。還有一些出於種種目的蓄意攻擊破壞網路的「黑客」,嚴重威脅著計算機的安全。據美國軍方一份報告透露,1999年五角大樓計算機網路受到「黑客」攻擊達25萬次之多,其中60%達到了目的。2000年2月7-9日,由美國開始的一起嚴重的黑客襲擊事件,包括Yahoo!(雅虎)、ebay.com(電子港灣)、amazon.com(亞馬遜網上書店)、CNN(美國有線電視新聞網)在內的8家世界著名網站遭到有組織的猛烈攻擊,網站運作癱瘓數小時,震驚了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中國網址導航 www.pronoti.com
9. 歐盟實施「最嚴數據信息保護條例」對中企有何影響
6至7日,60餘家中國企業負責人聚集中國人民公安大學,參加「個人信息保護:中歐進展與企業合規」公益培訓。
培訓中,何延哲就企業如何對個人信息進行規范收集、保存和存儲作出梳理,並闡釋了企業提升數據安全能力的方法。
數據安全資深從業者方興表示,數據時代來臨後,許多中國企業存在把數據安全理解為信息載體安全,重視數據訪問安全而忽視使用安全,重視事前保護而忽略溯源追責體系等通病。
他強調,全知的數據時代需要整體的安全視角,只有從授權、用途、量級、法律規范等多種角度動態追蹤和分析風險,才可剔除數據在流動過程中埋下的隱患。
此外,多位嘉賓還就「GDPR與個人信息安全規范異同」「數據安全與企業內控」「中外合規產品設計實例與輿情」等主題進行分享。
主辦方介紹,培訓獲得了相關企業的一致好評,未來將每月舉辦一次。
10. 論文:如何增強大學生的網路安全意識
內容提要:網路的迅速發展伴生著網路安全問題,增強大學生網路安全意識刻不容緩。大學生對網路安全問題認識不清,網路安全知識匱乏,網路法律意識和道德意識淡薄,對網路的強依賴性是導致其網路安全意識薄弱的主要原因。高校應該充分利用課堂內外宣傳網路安全知識,增強大學生的網路安全意識。
關鍵詞:大學生;網路安全意識;對策
隨著互聯網的飛速發展,網路安全問題日趨突出。在網路安全問題中,人的因素是第一位的。歐洲網路與信息安全局在《提高信息安全意識》中指出:「在所有的信息安全系統框架中,人這個要素往往是最薄弱的環節。只有革新人們陳舊的安全觀念和認知文化,才能真正減少信息安全可能存在的隱患。」大學生是國家未來發展的生力軍,他們的網路安全意識是網路安全的第一道防線。加強大學生網路安全意識直接關繫到國家的未來,增強大學生網路安全意識刻不容緩。
一、大學生網路安全意識薄弱
《第25次中國互聯網路發展狀況統計報告》顯示,雖然網路安全事件頻繁發生且造成了較大損失,但網民的安全意識依然較低。仍有4.4%的網民個人計算機未安裝任何安全軟體,近50%的網民不重視網上的安全公告。筆者對所在學校和其他5所廣州高校的大學生進行了隨機抽樣問卷調查(共發放調查問卷872份),調查顯示大學生網路安全意識比較薄弱。
在調查中,100%的學生都有QQ號,86.54%的學生在網上發布了自己的真實材料,38.7%的學生喜歡用自己的生日、電話號碼、學號等來設置QQ密碼,26%的學生未給自己的電腦設置開機密碼,72%的學生認為自己不會有意識地注意網路安全方面的信息。在回答「您認為避免黑客攻擊應該採取哪些手段」時,大多數同學選擇法律約束、網路警察管理、使用網路安全產品等,選擇提高用戶安全意識的學生僅佔44.7%。在大學生的觀念當中,網上有黑客、病毒、木馬,但網路犯罪離自己很遙遠,網路安全和自己關系不太大,不妨礙自己在網路上瀟灑地遊走。
二、大學生網路安全意識薄弱的主要原因
造成大學生網路安全意識薄弱的原因有很多,既有整個網路環境的問題、學校教育的空缺,也有大學生自身網路素質的問題。
(一) 網路不安全因素比較隱蔽
網路不安全因素的隱蔽性欺騙了大學生。大學生普遍認為,網路安全就是指網路信息安全,他們沒有感受到自己的網路信息有什麼不安全。在調查對象中,只有1.4%的學生有過QQ號、MSN號、網銀賬號被盜的經歷,90.2%的學生認為沒有人企圖對他們實施數據盜竊。所以,他們想當然地認為網路安全問題不是普通大學生要注意的事情,網路犯罪分子只對高度機密且有價值的數據、銀行賬戶等敏感信息感興趣,對普通大學生沒有興趣,因為他們沒有什麼有價值的東西。與此形成鮮明對比的是,《2009年中國網民網路信息安全狀況調查報告》顯示:「2009年,52%的網民曾遭遇過網路安全事件。網路信息安全對眾多網民來說不再只是停留在新聞報道或他人的言談中,而是需要實際應對和處置的問題。」
美國學者馬克·波斯特曾經說過:「隨著電腦資料庫的降臨,一種新的話語、實踐便在社會場中運作,你可以把社會當做一個超級全景監獄。」在他看來,資料庫構建了一個超級全景監獄,在這里「把我們的私人行為轉化成公開布告,把我們的個人言行轉化成一種集體語言」。這一觀點並非危言聳聽,現代網路技術可以把人的每一個網路行為都記錄下來,尤其是隨著雲計算時代的到來,越來越多的網路服務需要把數據上傳到伺服器。如果需要,通過這些記錄可輕易獲知個人信息。
事實上,網路安全不僅是指網路信息安全,還包括網路設備安全和網路軟體安全。由於技術原因,目前的電腦操作系統都存在安全漏洞,入侵者可以利用各種工具藉助系統漏洞入侵他人電腦,或盜取他人的信息,或借用他人電腦對網路實施惡意攻擊。所以,網路安全出了問題不只是個人隱私泄露,也不只是頻繁地重裝系統的麻煩,而是可能導致經濟損失,甚至還可能使自己成為罪犯的替罪羊,陷入到法律糾紛當中。
(二)學校網路安全教育的缺位
大學生網路安全知識匱乏、網路法律和道德意識淡薄的現狀與學校在網路安全教育方面的缺位有著一定的關系。
1.大學生網路安全知識匱乏。大學生普遍知道諸如防火牆、病毒、木馬等網路安全方面的常用術語,有74%的學生知道要給電腦安裝防火牆,要定期升級病毒查殺工具。然而,83.6%的學生認為只要有防火牆、防病毒軟體等網路安全工具就可以保證他們的安全,卻不清楚不良的上網習慣、網路安全工具的不正確使用、系統本身的漏洞等都是危害網路安全的因素。
出現以上現象的原因,在於大學生的網路安全知識一般都是來自於周圍的同齡人或互聯網,很少是通過學校教育獲得的。目前,高校一般都開設了公共計算機課程,但是該課程對於網路安全的教育嚴重滯後,不能適時地為學生傳授網路安全知識。
網路安全知識的匱乏,使得大學生行走在網路危險的邊緣而不自知。隨著網路詐騙等犯罪現象的出現和攀升,有些大學生開始意識到網路安全問題的存在,然而由於自身相關知識的匱乏,以及網路使用的技能不強,使得他們盡管很關注自己的網路安全,但是對網路上層出不窮的竊取和破壞行為常常發現不了,即使發現了也束手無策。
2.大學生網路法律知識空白,網路道德觀念模糊。目前,高校一般沒有開設專門的網路安全法制教育課程,大學生對於網路安全的法律法規不太清楚,網路道德觀念也比較模糊。在參與網路活動中,多數大學生既不顧他人的安全,也不注意自己的安全,一不小心就觸犯了道德和法律。前些年的「銅須事件」「虐貓事件」等就是通過「人肉搜索」找到當事人在現實生活中的姓名、家庭地址、工作單位等個人信息,給他們帶來了巨大的輿論壓力和心理壓力,甚至對其生活造成了很大的負面影響。喜歡「人肉搜索」的人只講自己的快意,卻意識不到這些行為已經構成了對他人隱私的侵害。
(三)大學生對網路的強依賴性削弱了其網路安全意識
每個大學生都懷揣著一個夢想進入大學,然而當大學生活撲面而來時,他們的夢想卻「流離失所」,緊張甚至枯燥的生活讓他們感到彷徨。與此相反,網路世界的豐富、自由、多彩、輕松深深地吸引著他們:這里方便、快捷、廉價、豐富的娛樂方式成了很多大學生的首選;這里充斥著大量的色情、暴力、迷信等有害信息,對大學生具有極大的誘惑力;這里沒有師長的約束,沒有復雜的人際關系。於是,他們對網路產生了很強的依賴性,他們在放任自己時,安全意識也逐漸被削弱。
三、大學生網路安全意識培養的對策
網路是大學生日常學習生活中不可或缺的工具,是他們了解世界、與外界聯系的重要媒介。高校應該加強大學生的網路使用技能和網路安全意識教育的力度,不斷提高大學生的網路使用技能,幫助大學生提高網路安全意識。
(一)充分利用課堂加強大學生的網路安全知識和網路安全法制教育
1.在高校公共計算機課程中增加網路安全知識的內容。目前,高校計算機普及課程的內容主要是計算機常用軟體的使用,而關於計算機網路安全的內容比較少。應在該課程中增加兩方面的知識:一是計算機系統管理知識,應該適當增加計算機操作系統的安裝、設置等知識,增加學生對計算機工作原理的了解,使之了解系統管理用戶、文件和其他硬體資源的安全機制。這可以提高學生在網路世界的自學能力和抵禦網路侵害的能力。二是網路安全知識,介紹網路安全的基本理論知識和系統安全策略,如加密解密演算法、防火牆的工作原理與作用、系統漏洞及修補方法、硬碟保護卡的工作原理與使用方法。教師通過在教學中增加正確使用網路、病毒的處理等知識,引導學生正確看待網路,培養學生良好的上網習慣,使之正確、安全地利用網路資源。
2.加強對大學生的網路安全法制教育。目前,很多高校沒有開設專門的網路安全法制教育課程,只是在公共必修課《思想道德修養與法律基礎》中涉及健康、安全上網的內容,但是幾乎沒有涉及相關的法律法規,容易在學生的頭腦中留下相關法律的空白。因此,高校在加強大學生的傳統道德教育的同時,絕不能忽視網路安全法制教育,應當把網路安全法制教育納入德育教育的范疇。比如,在課程中增加《計算機病毒防治管理辦法》《計算機軟體保護條例》等一些重要的法律法規,通過系統的法律知識教育,不斷強化學生的網路安全法制意識,提高學生的網上自我約束能力、自控能力和自我保護意識。
(二)積極拓展課外空間,開展形式多樣的網路安全教育活動
1.開設網路安全知識專題講座。開設網路安全知識專題講座是對課堂教學的一個有效補充,也是有效地引導大學生關注網路安全問題的有效途徑。可以就課堂教學中不能深入講解的問題或薄弱環節舉辦講座,如網路行為規范、個人計算機安全策略、計算機病毒的新動向、病毒查殺軟體的使用等。通過網路安全知識專題講座可以培養大學生網路安全意識,引導大學生關注網路安全問題。
2.定期開展網路安全培訓。學校應該定期對師生進行網路安全培訓,讓全體師生一起了解網路風險,形成安全責任意識及行為習慣。在對學生的培訓中應指導學生掌握並遵守學校網路使用條款,了解網路中存在的風險,知道如何進行自我保護、如何尋求幫助等方面的基本常識。培訓還可以讓學生認識到有關數據保護、知識產權方面的法律法規對自身的權利既是限定也是保護。
3.舉辦豐富多彩的活動。如舉辦網路安全知識大賽、網路安全知識調查、網路安全主題漫畫比賽等,這既可以豐富大學生的業餘生活,又可以在校園中宣傳網路安全知識,強化學生的網路安全意識。
(三)成立校級的信息安全管理機構
高校應該成立專門的信息安全管理機構,負責校園網的日常安全與管理工作,及時了解本校學生的網路使用情況;定期發布最新的網路安全信息,讓大學生及時了解網路不安全因素的動態。在信息安全管理機構的指導下,使學生養成「網路安全,人人有責」的意識。