信息安全保護范例6篇

前言：中文期刊網精心挑選了信息安全保護范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

信息安全保護范文1

關鍵字：云平臺；信息安全

中圖分類號：TP393.08 文獻標識碼：A DOI：10.3969/j.issn.1003-6970.2013.08.040

本文著錄格式：[1]陳鳳萍.云平臺信息安全保護策略分析[J].軟件，2013，34（8）：124

0引言

2006年8月9日，Google的首席執行官埃里克·施密特在全球搜索引擎大會上首次提出了“云計算”這一觀念。云計算是基于互聯網相關服務的增加、使用和交付模式，通常涉及通過互聯網來提供動態、變化性強切虛擬化的資源。云是一種比喻的說法，形容其處理數據之大。

1云計算的發展

自從云計算誕生以來，關于云計算的定義，業界內一直是眾說紛紜。其中比較主流的是Wiki和美國國家標準與技術研究院對云計算的定義。

Wiki對云計算的定義是：云計算是一種通過因特網，以服務輸出的方式提供動態可伸縮的虛擬化資源的計算模式。

美國國家標準與技術研究院的定義是：云計算作為一種按使用量付費的模式，提供可用的、便捷的、按需的網絡訪問，進入可配置的計算資源共享池。這些資源能夠快速的被提供，投入的管理工作較少，或者是與服務供應商進行很少的交互。

當云計算誕生之日起，人們對它的期望就非常之高，對于它的發展也傾注了大量的心血。它的發展，共分為五個階段，它們分別是萌芽期、過熱期、低谷期、復蘇期和成熟期。

第一、萌芽期。在這一階段，人們對于云計算還是處在一個懵懂的時期，并且表現出了濃厚的興趣；

第二、過熱期。在這一階段，眾多網絡企業紛紛涌上，大量的運用新技術，熱情空前高漲。

第三、低谷期。由于期望過高，與現實嚴重脫節，導致人們對云計算的熱情下降；

第四、復蘇期。這段時期，人們開始冷靜地對待云計算這一項目，并從實際情況出發，考慮它的使用價值；

第五、成熟期。經過復蘇期這段時期的調整之后，云計算正是突破了應用上和技術上的瓶頸，它的優勢已經明顯的顯示出來。

2云平臺面臨的安全問題

云平臺是基于云計算的技術基礎上發展起來的，建立安全的云平臺，必須要有一個安全的運行構架來保證云平臺的安全運行。

現今云平臺間來所要面臨的問題主要有：

第一、虛擬化的安全問題。

虛擬化技術能夠充分利用現有的硬件資源，拓展基礎設施等服務能力。但是，虛擬化技術所帶來的問題也是非常地嚴峻：如果云平臺的主機遭到破破壞，主機所管理的虛擬機運行內存也會受到破壞，面臨崩潰；若是虛擬網絡遭到破壞，云平臺的客戶端自然會受到破壞；整個虛擬網絡是由若干的VM虛擬機構成的，一臺出現問題或漏洞，與之相鄰的其它VM虛擬機也將面臨同樣的威脅。

第二、云平臺的可用性問題

用戶的數據存儲、處理、網絡傳輸與云計算系統的關系非常密切。它的數據處理及其他的平臺服務功能一旦出現問題，那么用戶的個人信息很有可能會丟失，這對用戶來說是一種極大的損失。

第三、云平臺遭受攻擊的問題

云平臺高度集中了用戶、信息資源等一些重要信息，所以極易成為黑客攻擊的目標。近幾年來，世界各國頻頻出現黑客攻擊各大公司和政府機關的平臺，盜取信息和篡改安全信息的事件發生，例如2011年上半年，黑客就有四起“云攻擊”事件，分別是索尼PSN遭系列攻擊事件、Wordpress遭攻擊事件、新浪微博蠕蟲攻擊。由于這些網站存儲了大量用戶的資料和相關的信息，黑客攻擊這些網站，竊取用戶信息，用于不法之途，極大的損害了云平臺用戶的個人利益。

3云平臺構建的要求

云計算時代的到來，給網絡時代帶來了巨大的商機，同時也給云平臺的構建帶來了巨大的挑戰。如何面對這些挑戰，如何能使云平臺正常平穩的運行，正是云平臺構建者所要解決的問題。

第一、專業技術和經驗

當代網絡安全的最大挑戰是網絡黑客與電腦病毒。電腦病毒是破壞計算機功能或破壞信息數據，干擾計算機運行并且能夠自我復制衍生的程序代碼，它對網絡安全構成的威脅甚至大于網絡黑客的攻擊。要構建安全的云平臺，反病毒的任務非常重要。在此，反病毒技術和反病毒的經驗積累，是維護云平臺正常安全運轉的有力保障。所欲需要云平臺的建立者要時刻保持高度的警惕，謹防程序被人開后門或被不法之徒利用。

第二、資金與技術的投入

云平臺的安全問題，比傳統的網絡安全問題要更加的復雜，運行系統也更加的龐大，對于設備和技術的要求也有了很大的提高。因此，建立安全的云平臺，必須要有資金和技術作為保障，這樣才能保障云平臺建設的順利進行。

第三、系統的開放性和大量合作伙伴的加入

上文說到云平臺是一個集合了信息數據、市場信息、資源信息、客戶資料等等一切信息資料的綜合性、開放流平臺。這就要求云安全平臺要有強大的安全兼容性。即使用戶使用的軟件廠商不同，但在云安全系統下，依然可以正常的運作。加入云平臺的客戶或合作伙伴越多，云安全的覆蓋能力就越強

在科技高速發展的今天，國家或地區的計算機技術的使用，已經成為了衡量該國家國地區綜合能力的重要標準，它的地位已經和石油及其他的戰略資源同等重要。目前，云安全還只是在發展階段，面對的問題較多，但是對于它的未來前景，要始終保持積極的態度，不斷的努力，使云安全的目標能早日實現。

信息安全保護范文2

論文摘要：世界已進入了信息化時代，信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質，如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。

論文關鍵詞：信息安全；保護

信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷，等等。

1我國信息安全的現狀

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國的信息化仍然存在不安全問題。

①網絡安全的防護能力較弱。我國的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。

③我國基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

除此之外，我國目前信息技術領域的不安全局面，也與西方發達國家對我國的技術輸出進行控制有關。

2我國信息安全保護的策略

針對我國信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

①加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

②發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

信息安全保護范文3

 

1大數據的內涵及其特征

 

1.1大數據的內涵

 

每一位個體在搜索引擎上的任何一次搜索形成的數據都會被記錄下來，這些數據在不斷積累、匯集的過程中，逐漸成了“大數據”。大數據的定義很多學者已經給出，但表述各不相同。綜合來看，大數據就是數據量大、數據類型多的數據集合，同時傳統的數據處理技術及IT技術無法對該數據集進行采集、獲取、處理等操作。用戶最能切身感受到的大數據表現為：相關企業根據個體在網絡上的瀏覽痕跡，進行細致的用戶需求分析，然后向用戶提供定制和個性化的服務。

 

1.2大數據的特征

 

大數據通常是指數據的規模大于10TB以上的數據集，可以概括成“4V”：①數據量大(Volume)。生活在網絡時代里，數據的計量單位也在隨著數據量的不斷變化而變大。②數據類型多(Variety)。常見的類型有結構化數據、非結構化的數據、半結構化數據。多類型的數據結構對數據的處理分析能力提出了更高的要求。③價值稀疏性(Value)。大數據時代數據量非常大，但是有價值的數據比例又很小。④速度快、時效高(Velocity)。信息技術的不斷創新發展，促使數據的增長速度也急速提高，使各行各業對數據的時效性提出了更高的要求，對處理數據的響應速度也有更嚴格的要求。

 

2大數據時代個人信息不安全的原因分析

 

2.1外在原因

 

2.1.1數據本身在傳播中具有動態、交互、連續性。大數據時代信息和數據在傳播的過程中是動態化、碎片化的，而有著這樣特性的數據在網絡中更加容易被捕捉和搜索，這就加大了個人信息被泄露的風險。大數據時代用戶的數據具有緊密的交互性，擁有龐大數據量的計算機可以依據用戶之間的數據的交互分析出兩者之間的網絡關系。所以，一旦某人信息泄露，就有可能因蛛絲馬跡而泄露其好友的個人信息。

 

2.1.2相關企業過度尋求大數據背后的商業利益。互聯網能夠及時地追蹤到個體的個人信息，其手段之一就是運用瀏覽器里的瀏覽記錄和 Cookies。如：在2013年“3·15晚會”曝光有關企業對用戶的Cookies信息進行無告知收集，通過對數據的分析處理，辨別每一個用戶的社會階層、職業、家庭收入等。更有被利益驅使的企業通過不正當的渠道變賣用戶的個人信息，為自己贏取利潤。

 

2.2內在原因

 

個人信息主體安全意識薄弱。根據《中國移動語音社交應用行業研究報告》，預測2017年中國整體網民規模將達8.5億人，中國移動網民將達 7.5億人，中國的網民數量呈現穩步的增長趨勢[1]。網民數量在不斷增加的同時，信息安全事件也頻頻發生。如：中國鐵路12306網站個人用戶信息的泄露等。雖然我國在信息安全保護技術方面存在一定的欠缺，但根本原因還是用戶的個人隱私保護的意識薄弱。目前，在國內非常流行的社交網絡當屬微信朋友圈和新浪微博。相關報告指出：微信用戶平均每4分鐘便會看一下手機微信，新浪微博更是廣大網民及時了解各類實時專題新聞并進行互動的渠道之一。根據《TIME》(時代周刊)2012年8月的調查顯示：“1/4的人每隔30分鐘就看一下手機，1/5的人每隔10分鐘就要看一下，1/3的人承認即使很短時間不用手機，他們也會感到焦慮?！边@種過度依賴網絡的行為，更有可能在不經意間泄露個人的信息。

 

3大數據時代個人信息安全保護存在的問題

 

3.1缺乏完善的個人信息安全保護法

 

大數據時代，提到個人信息的保護，很多人會認為我國個人信息保護的法律是空缺的。實際情況并非如此，我國涉及個人信息保護的法律法規不在少數，如：《中華人民共和國電子簽名法》《侵權責任法》[2]以及2013年3月1日開始實施的個人信息安全國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》[3]，然而其內容都是較為零散的，不具備一定的針對性和適用性，整體缺乏制約作用。同時，如何切實可行地保護個人的信息問題，現有的法律沒有做出明確的規定，也沒有進行細致的歸納和劃分，不能從根本上保障個人的信息安全。

 

3.2外在攻擊技術力度加強，應對技術相對薄弱

 

在技術層面上，一方面，傳統的信息安全技術已經不能適用于大數據時代復雜多樣的數據集;另一方面，侵權者攻擊的力度也在不斷地加強，傳統的信息保護技術已經被依次破解，新的攻擊形式層出不窮，而新的防衛技術研發投入不足。

 

3.3缺乏完善的管理機制

 

談及信息安全，“三分靠技術，七分靠管理”，合理高效的管理是信息安全的一大保障。目前，國家層面缺乏完善的管理機制，企業層面缺少行業的自律機制，個人而言則更加隨意，難以形成統一高效的管理。網絡上隨處可見參差不齊的信息就是管理存在不足最直接的表現。現實生活中的每個人都會受到很多管理體制的制約，若違犯必將受到相應的懲罰，虛擬的網絡世界更應該如此，但目前我國尚欠缺有力的監管體制保障其整體秩序。

 

4大數據時代有效保護個人信息安全的建議

 

4.1完善立法

 

進一步加強個人信息安全的立法制度。在大數據時代，各行各業的數據處于不斷交融、碰撞的動態變化之中，慢慢形成行業發展的新局面。首先，政府應該建立個人信息保護的專項法律。個人信息保護的專項法案是對其他已有相關法律法規的有力補充，既保障個人信息保護有法可依，也打擊侵犯個人信息安全的行為。其次，法律法規要明確數據的采集界限以及數據的使用權。什么樣的數據能夠被獲取利用?什么樣的數據屬于個人隱私應該予以保護?這都需要有明確的規定。數據采集過程中，一定要按照法律規定的獲取范圍采集所需數據，數據的使用權同樣也是需要探討的。

 

4.2技術創新預防外來攻擊

 

在注重信息安全的理念中，雖然只提及三分靠技術，但是技術的提升卻是保障信息安全最直接有效的方式。首先，在大數據時代，需要加強個人信息保護技術的研發創新，同時加大力度推動云計算、移動互聯網的硬件技能的不斷提升;其次，技術的不斷創新依靠的是強大的技術團隊、技術人才。從賽迪智庫頒布的 2015版大數據白皮書得知，大數據的人才無論是中國還是美國等發達國家都是稀缺的，這就需要國家加大資金的投入，培養專業性的大數據技術人才，提高信息技術水平。

 

4.3加強各行各業的自律和監管

 

信息安全的七分靠管理，應該體現在各行各業、各組織機構，應該相對應地形成內部的標準和公約，明確各方的責任與義務，監督與管理其對數據的各項使用權利。同時，政府需要加強對個人信息服務行業的引導，如：對移動運營商應該加以鼓勵合理地運用數據，為廣大網民提供更加便捷且個性化的服務。在監管方面，需要引入第三方安全評估的認證機構，加強對行業數據處理的全部流程的監管。

 

4.4推行網絡實名制

 

推行網絡實名制是提高個體信息安全意識的方式之一。有些人認為推行網絡實名制會壓制網民言論自由，不能完全體現民主。但是從鐵路運輸的售票實名制的成功案例來看，互聯網絡實名制雖然可能會存在不足之處，但是必定是利大于弊。首先，實行網絡實名制，某種程度上會讓網絡上的言論更加得體，從而營造健康的網絡環境。如：網絡冷暴力給網民帶來的危害案例比比皆是，網絡言論的過度自由給青少年群體帶來的傷害也是顯而易見。推行網絡實名制可以在一定程度上限制不法分子的惡意中傷等。其次，實行網絡實名制可以有效地保護用戶的個人財產。當下，“微商”是非常紅火的一個名詞，但“微商”的可信度不高。假若這樣的網絡創業能夠推行實名制，必然會提高網民對其的認可度。最后，推行實名制一定程度上能夠降低網絡犯罪的發生。

 

4.5加強信息安全教育

信息安全保護范文4

關鍵詞：個人信息；安全現狀；立法保護

伴隨著信息技術的不斷提高，各種新型利益不斷出現，個人信息作為一項無形資產已成為現代信息社會的一種重要資源。然而最近幾年我國個人信息泄露情況嚴重，尚無一部完整的關于個人信息安全保護的法律且目前相關法律不完善，難以對個人信息起到有效的保護作用，因此完善個人信息安全保護的法律制度顯得尤為迫切。

1 國外個人信息保護立法概述

當前世界各國未對個人信息保護形成共識，但是發達的西方國家大多根據本國國情和需要制定了較為系統的個人信息安全保護法律體系。以美國、德國、日本為例。美國模式大體可以總結為分散立法與行業自律相結合，在公領域制定單行法進行分類保護，如1998年的《兒童網上隱私保護法》；在私領域則采取行業自律模式，在政府主導下制定行業準則，通過自我約束保護公民的個人隱私。德國模式則是在公私領域對個人資料采取統一立法模式進行保護，其于1977年制定《聯邦數據保護法》對公私領域進行統一規范，同時又制定了適用于所有洲個人資料保護的法律即《洲數據保護法》，并設立獨立的監督機構。日本關于個人信息的法律保護模式是建立在美、德模式之上，兼具統一立法規制與行業自律特點，即采用綜合性的保護模式。以上三種模式側重點不同，但都有其合理性。

2 我國個人信息安全法律保護的現狀及其缺陷

（一）我國個人信息安全法律保護的現狀。由于歷史等諸多原因，我國目前沒有出臺一部專門的關于個人信息安全保護的法律，直接保護個人信息安全的法律數量很少，現有法律對其的保護主要為間接方式，即在個人信息相關的范疇給予局部立法。主要見于以下幾個方面：在民事法律方面：《民法通則》規定：公民享有姓名權，有權決定、使用和依照規定改變自己的姓名，禁止他人干涉、盜用、假冒等；在刑事法律方面，《刑法修正案（七）》規定：國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；在行政法律方面《行政訴訟法》規定人民法院審判涉及個人隱私的案件可以不公開審理等；憲法方面，《憲法》規定：公民的人格尊嚴不受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的權利等。

（二）我國個人信息安全法律保護的缺陷。我國從《憲法》、《民法通則》、《刑法》、《居民身份證法》、《侵權責任法》、《護照法》等都體現了對公民個人信息安全的保護規定，學界也有很多論述。但是理論學說存在一定爭議，對于該保護怎樣的個人信息，如何保護？還沒有完善的措施和體系。更何況信息的內核和外延又在不斷變化發展之中。歸納不足之處在于：我國現有法律制度并不能很好的保護個人信息的安全。主要存在以下幾個方面的問題。首先，相關概念界定不清。如對于“個人信息”范圍未加明確規定從而易造成信息泄露案件取證及責任認定困難，司法實踐時可操作性差等。其次，懲罰力度過小，難以起到警示作用。如我國刑法修正案（七）處以非法獲取公民罪三年以下有期徒刑或者拘役，并處或者單處罰金，同犯罪分子豐厚的經濟收益和巨大的社會危害相比，處以三年以下有期徒刑顯得懲罰力度過小，難以對犯罪分子起到有利打擊與警示世人的作用。再次，沒有建立相應的民事補償制度。對于濫用個人信息的責任僅僅停留在刑事責任和行政責任上，忽視個人信息泄露后對權力主體可能造成的經濟損失，沒有建立一套完整的民事補償機制。最后，現有法律還存在效力層次低、系統性差的缺陷?，F行法律多為地方性、行政性法律，層次效用較低且往往是針對特定的部門、地方以及個人信息的某一方面，缺乏系統性。

3 建議盡快出臺宏觀意義上的《個人信息保護法》

鑒于我國具體國情和歷史背景，筆者認為我國應當借鑒德國的統一立法模式，在公私領域制定一部基礎法律對個人信息安全進行統一立法保護。理由如下：

第一，從我國法律自身特點來看，我國法律文化深受大陸法系的影響，對大陸法系的接受相對容易。

第二，從我國現實國情來看，現階段個人信息安全受到威脅的來源主要在兩個方面，即政府機關內部及其他個人信息處理者，因此出臺一部既適用于政府內部，又適用于其他個人信息處理者的法律顯得尤為迫切。我國市場經濟不夠完善，行業自我約束的意識等尚存在很大不足，單靠行業自律很難保護個人信息的安全，因此需國家統一立法做出規范。

第三，從國際相關發展趨勢來看，雖然美國排斥統一立法而更在意市場的自我調節，但其于2000年與歐盟簽署的“安全港”協議可視為以美國為代表的行業自律與分散立法模式向以德國為代表的統一立法模式做出的一次讓步，因此從整個國際發展趨勢來看采用德國的統一立法模式將對我國同歐美國家關于個人信息的交流提供便利，從而有利于促進我國同國際社會的交流與合作。

4 同時完善微觀性的法律法規體系

個人信息保護需要的不僅是一部宏觀意義上的“母法”，更要求構建起一個微觀性的法律法規體系，如此才能為公民個人信息權提供全面而細致入微的保障。

第一，作為社會信息化程度相對較低的國家，信息立法首先面臨著信息種類和范圍的界定難題。從概念上講，凡一切與公民個人相關的資訊都應屬于個人信息，但對于立法而言，只能將其中的部分信息納入保護范圍，如何劃分這個界限就考驗著立法者的智慧。是為應受法律保護的個人信息設置具體的標準，還是深入實踐排列出個人信息的具體類別，是抽象化地對一般人信息作出規范，還是區分性地對公眾人物的信息進行單獨規范，這些難題都應當進行科學論證。

第二，如何增強立法的可操作性和公民信息權的可救濟性，也是個人信息立法所必須考慮的重要問題。個人信息保護立法必須在確立起一個法律制度框架的同時，于條文設計上注重規范的可操作性，不僅規定公民個人信息的權利范圍和對個人信息的保密義務，更需要具體設定國家公權力的相關職責，明確違背職責和保密義務的各種具體法律后果。這樣做的最終目的，在于為司法機關提供具體的指引，為公民信息權提供堅實的司法保障，以防止個人信息立法成為裝飾性的“花瓶立法”。

第三，對立法模式的選擇，也制約著個人信息保護的立法質量。是選擇“大一統”的法典模式，還是實行分門別類的法規模式？結合外國立法的相關經驗及我國的目前現狀個人信息保護需要的不僅是一部宏觀意義上的“母法”，更要求構建起一個微觀性的法律法規體系，如此才能為公民個人信息權提供全面而細致入微的保障。

總之，個人信息的安全保護問題是我國在社會信息化轉型過程中必須面對的，而僅僅通過行業規范、公民個人防護意識等非強制性手段并不能對個人信息的安全起到全面保護作用，只有進行專門立法規制，從宏觀和微觀兩個層面，架構科學的法律法規體系才能確保個人信息的安全。

參考文獻

[1]齊愛民：《論個人信息的法律保護》，《民商法學》，2005年第8期。

[2]周漢華：《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》，北京：法律出版社，2008年。

[3]張新寶：《隱私權研究》，《法學研究》，1990年第3期。

[4]龍西安：《個人信用信息私有產權性質及其保護原則》，《金融法苑》，2003年第8期。

[5]劉修軍：《公民個人信息權的刑事保護芻論》，《甘肅社會科學》，2009年第6期。

信息安全保護范文5

一、研究背景

網絡個人信息泄露，是指網民在互聯網上提供的個人信息沒有得到良好的保密，而導致某些不法分子得以對其進行收集、倒賣以獲利的現象。2014年12月25日第三方漏洞平臺“烏云”曝出12306網站現用戶數據泄露漏洞，包括用戶賬號、明文密碼、身份證、郵箱等個人信息。對此，中國鐵路客戶服務中心回應稱，網上泄露的用戶信息系是經由其他網站或渠道流出。

當前，網上個人信息泄露事件頻發，信息安全問題較以往顯得更為突出，網上個人信息成為不法分子爭搶的“香餑餑”，或被直接出賣非法獲利，或被犯罪分子利用進行電信詐騙、非法討債甚至綁架勒索等犯罪活動。網上信息泄漏事件嚴重損害了社會和個人的利益，也讓更多的網民對信息安全有了更直接、更深刻的認識，因此網絡信息安全建設與維護日顯重要[1]。

二、網上信息泄露現狀及原因

我國網民數量急劇增長，網絡購物發展迅速，互聯網在給人們的生活帶來便利的同時也帶來了很多安全隱患。近年來，泄露和侵害公民個人信息包括隱私的事件頻頻發生，個人信息成了隨意買賣的“商品”，近年來，兜售房主信息、股民信息、商務人士信息、車主信息、患者信息等似乎已形成了新的產業。

網絡信息技術的發展也方便了對個人信息的監控和搜索，大型數據庫使得搜集、整理、傳輸、加工信息等過程變得更加簡單，幾乎可以永久保存，不斷再現。因此，一些商業公司具備了大規模收集個人和企業信息的技術條件，若安全機制不完善，其所收集的用戶信息被泄露或濫用，后果不堪設想。隨著全社會對信息安全的日益關注，信息安全刻不容緩。

個人安全意識薄弱。目前，我國手機網民用戶規模達5億。與傳統通信工具、社交網站相比，以社交為基礎的綜合服務平臺不僅擁有著更強的通信功能，還為用戶提供了諸如支付、金融等內容的綜合服務，增加了信息分享等社交類應用。同時也增加了個人信息泄露的潛在危險，特別是在問卷調查、就醫、求職、買房、買保險、買車、辦理各種會員卡或銀行卡時缺乏個人信息安全意識[2]。網絡填寫個人信息的非正常退出，微博、QQ空間等社交網絡成為泄露日常信息的主要原因。

個人信息保護機制不健全。對個人信息保護的立法研究從上世紀70年代開始，在上世紀末達到一個研究和立法保護的加速階段[3]。美國，澳大利亞，加拿大，以色列等國家將個人信息歸入本國隱私法“Privacy Act”的保護范圍，通過《隱私權法》來保護個人信息[4]。我國的個人信息保護法自2003年起已部署起草，但一直未能進入正式的立法程序。據統計，我國目前有近40部法律、30余部法規，以及近200部規章涉及個人信息保護，然而法律界人士認為，這些針對個人信息的法律法規內容較為分散、法律法規層級偏低，約束力明顯不足。單從網站用戶個人信息保護安全而言，刑法修正案、侵權責任法乃至居民身份證法等相關內容均有涉及，但相關規定條款過于分散，可操作性差，時效性低。對于“個人信息”、“違反規定”等關鍵概念的界定尚不清楚，故執法過程易形成執法困境。尤其是對信息泄露案件，在追究責任的時也存在舉證難等問題，訴訟成本高、收益低，受害人依法維權。

網絡實名制從某種程度而言，也加大了個人信息泄漏的風險。例如不法分子收集實名制火車票或手機辦理的登記信息，可從中獲取當事人的身份信息制作假身份證，或者辦理信用卡、設計欺詐活動等。

監管存在漏洞。 在信息高度發達的現代社會，某些個人信息時刻處于被泄露的狀態。由于個人網上信息安全保護機制的不完善，導致執法過程沒有堅實的盾牌。某些網站的服務商對個人信息沒有盡到妥善保管的義務，在使用過程當中泄露了個人隱私。機動車銷售、房產中介、醫院、通信等行業及其從業人員往往有機會接觸、掌握大量公民個人信息，這些行業雖均有系統內部出臺的關于個人信息的查詢規范、查詢電子信息備案及保護工作意見，但由于部分從業人員法律意識不強，且內部管理執行不到位，利用公民個人信息管理上存在的漏洞，因此這些行業成為個人信息泄露的“重災區”。

三、建立個人信息安全機制的對策

堵住個人信息泄露的缺口，完善相關法律法規。我國首個關于個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》于2013年2月1日起正式實施，個人信息保護工作正式進入“有標可依”階段，指導和規范利用信息系統處理個人信息的活動。但國家標準、行業標準的法律效力遠遠不能保護群眾個人信息安全，而針對信息安全保護的相關規定已難以滿足信息安全的需求，同時維權過程法律依據較少[5]。

因此，我國應盡快完善在個人信息安全方面的相關法律法規，加強行業監管力度，嚴厲打擊不法行為，建立以民法保護為重心，其他法律為輔助的完善的法律體系，具體來說：應在民法典中確立隱私權獨立人格權的法律地位[6]。加快立法，加強執法，依法保護個人信息安全，跟上信息高速發展及安全的潮流。對竊取、多次泄露他人信息的個人和單位，要制訂嚴厲的追責和處罰措施，增大違法成本。

加大網絡信息安全監管力度，加強行業自律，從源頭預防和遏制對個人信息的侵害。社會輿論的監督作用一向對違法行為具有強大的震懾力，因此要充分發揮社會輿論的監督作用，及時曝光侵害行為，廣泛地引起民眾的注意，使其迅速提高警覺性，自覺加強對個人網絡信息的管理。行政執法部門應加大執法力度，及時監督制止侵權行為。當然，這種行政監管必須以維護網絡的健康發展為前提、以保護公民個人隱私權等人身權利為目的。這種社會輿論與行政監管共同作用的方式，也能在一定程度上保護公民的網絡隱私權，促進網絡健康發展。

企業行業應加強自律，完善對企業、行業的管理，設立相應的企業安全制度，采取相應的監管措施，加大違規處罰的力度，保障客戶信息的安全性。通過崗位、行業培訓，提升員工的職業操守，自覺保護客戶個人資料。

（3）不斷加強公民對網絡隱私的自我保護意識

網絡隱私權與公民的利益息息相關，因此要培養網絡用戶形成隱私權自我保護的意識，能促其采取積極的防范措施。一旦用戶有效利用相關技術加強對網絡環境下個人信息的管理，就會在很大程度上降低成本，更有效的保護網絡隱私權。

網民個人應主動接受信息安全教育，安裝殺毒軟件或防火墻，定期進行木馬程序的掃描，及時更新安全軟件。仔細閱讀社交網絡運營商的安全隱私協議，熟悉相應的隱私設置方式，主動防護自身的信息安全，定期更改網站密碼。使用微博、微信等網絡應用時勿上傳有關自己及親友的個人信息，盡量不要使用定位功能，定期刪除瀏覽器上的cookies信息[7]。網絡、電視、報紙等媒介應該肩負社會責任，對個人信息安全的重要性和信息泄露的危害性宣教，宣傳維護個人信息安全的方法，使廣大民眾得到個人信息安全保護方面的教育。

中國軟件評測中心也將繼續以國家信息安全標準體系為基礎，建立個人信息保護標準體系。在參考國際相關研究成果的基礎上，結合我國實際需求，對信息系統個人信息保護管理辦法和技術手段進行專項研究，研究制定體系框架中急需的關鍵標準，對標準進行驗證以支持標準的進一步修訂和改進。

我國2013年2月1日起實施的《信息安全技術 公共及商用服務信息系統個人信息保護指南》[8]，標志著我國將告別針對個人信息處理行為“無標可依”的歷史，公民對個人信息保護的訴求將得到有效解決。相關監管部門可以依據國家標準引導企業進行個人信息保護自律，并對企業個人信息處理行為進行監督規范，逐步形成以“企業自律為主導，聯盟約束為輔助，政府監督配合”的我國個人信息保護模式。

同時，目前我國個人網絡信息安全存在很多安全隱患，尤其是個人數據信息的泄漏造成的影響十分廣泛，主要由于個人安全意識薄弱、個人信息保護機制不健全、監管存在漏洞等原因造成的。因此，構建安全穩定的網絡環境顯得日益重要。政府、企業及公民個人應加強網絡信息安全意識，在新興保護技術的廣泛應用下，推動安全保護技術的開發與應用，較好的保護個人信息安全。

（作者單位：湖北城市建設職業技術學院）

作者簡介：劉志（1981-），男，碩士，湖北城市建設職業技術學院講師，主要從事計算機及相關專業教學

作者聯系方式：

地址：武漢市東湖新技術開發區藏龍島科技園區藏龍大道28號

湖北城市建設職業技術學院

郵編：430205

信息安全保護范文6

（中國電子科技集團公司第二十研究所，陜西 西安 710068）

【摘　要】隨著信息化水平的不斷提高，各單位對其依賴程度前所未有的加大，然而隨著各種攻擊技術的發展，沒有防御的系統則顯得不堪一擊。針對此，每個單位信息系統的安全運行都相應的加大了信息安全的關注與投入。鑒于此，研究不同等級的信息系統所需的安全措施就變得很有意義。主要說明了信息系統的不同等級及其安全防護水平。

關鍵詞 信息化；風險；等級保護；安全

1　信息化發展背景

1.1　全球背景

信息化是充分利用信息技術，開發利用信息資源，促進信息交流和知識共享，提高經濟增長質量，推動經濟社會發展轉型的歷史進程。隨著信息技術發展，信息化對經濟社會發展的影響更加深刻。信息資源日益成為重要生產要素、無形資產和社會財富。與此同時，信息安全的重要性也與日俱增，成為各國面臨的共同挑戰。

1.2　我國目標

我國信息化發展戰略概括為：以信息化促進工業化，以工業化帶動信息化，走出中國特色的信息化道路。信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。到2020年，我國信息化發展的戰略目標是：綜合信息基礎設施基本普及，信息技術自主創新能力顯著增強，信息產業結構全面優化，國家信息安全保障水平大幅提高，國民經濟和社會信息化取得明顯成效，新型工業化發展模式初步確立，國家信息化發展的制度環境和政策體系基本完善，國民信息技術應用能力顯著提高，為邁向信息社會奠定堅實基礎。

2　等級保護標準及其具體范圍

信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

2.1　美國可信計算機安全評價標準

美國可信計算機安全評價標準(Trusted Computer System Evaluation Criteria，TCSEC)，該標準是世界范圍內計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。TCSEC最初只是軍用標準，后來延至民用領域。TCSEC將計算機系統的安全劃分為4個等級、7個級別。

D類安全等級：D類安全等級只包括D1一個級別。D1的安全等級最低。

C類安全等級：該類安全等級能夠提供審計的保護，并為用戶的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。

B類安全等級：B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。

A類安全等級：A系統的安全級別最高。目前，A類安全等級只包含A1一個安全類別。A1系統的顯著特征是，系統的設計者必須按照一個正式的設計規范來分析系統。

2.2　歐洲的安全評價標準

歐洲的安全評價標準ITSEC（Information Technology Security Evaluation Criteria）是英國、法國、德國和荷蘭制定的IT安全評估準則，是歐洲多國安全評價方法的綜合產物，應用領域為軍隊、政府和商業。該標準將安全概念分為功能與評估兩部分。功能準則從F1～F10共分10級。1～5級對應于TCSEC的D到A。F6至F10級分別對應數據和程序的完整性、系統的可用性、數據通信的完整性、數據通信的保密性以及機密性和完整性的網絡安全。

與TCSEC不同，它并不把保密措施直接與計算機功能相聯系，而是只敘述技術安全的要求，把保密作為安全增強功能。另外，TCSEC把保密作為安全的重點，而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級，對于每個系統，安全功能可分別定義。

2.3　我國計算機信息系統安全保護等級劃分準則

我國根據世界范圍內信息安全及計算機系統安全評估等技術的發展，并結合我國自身情況，制定并頒發了我國計算機信息系統安全保護等級劃分準則（GB 17859-1999），在該準則中將信息系統分為下面五個等級：

第一級：用戶自主保護級；

第二級：系統審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。

3　風險分析和安全保護措施

3.1　漏洞、威脅、風險

在實際中，計算機信息系統在確定保護等級之前，首先要對該計算機信息系統進行風險分析。風險是構成安全基礎的基本觀念，風險是丟失需要保護的資產的可能性。如果沒有風險就不需要安全。威脅是可能破壞信息系統環境安全的行動或事件。漏洞是各種攻擊可能的途徑。風險是威脅和漏洞的綜合結果。沒有漏洞的威脅沒有風險，沒有威脅的漏洞也沒有風險。識別風險除了識別漏洞和威脅之外，還應考慮已有的策略和預防措施。識別漏洞應尋找系統和信息的所有入口及分析如何通過這些入口訪問系統和信息。識別威脅是對目標、動機及事件的識別。一旦對漏洞、威脅以及預防措施進行了識別，就可確定該計算機信息系統的風險。綜合這些信息，開發相應的風險管理項目。風險永遠不可能完全去除，風險必須管理。

風險分析是對需要保護的資產及其受到的潛在的安全威脅的鑒別過程。風險是威脅和漏洞的組合。正確的風險分析是保證計算機信息系統的網絡環境及其信息安全及其重要的一步。風險分析始于對需要保護的資產（物理資源、知識資源、時間資源、信譽資源等）的鑒別以及對資產威脅的潛在攻擊源的分析。采用等級保護策略可以有效的降低各種資產受危害的潛在代價以及由于采取安全措施付出的操作代價。一個性能良好的安全系統結構和安全系統平臺，可以以低的安全代價換取高的安全強度。

3.2　一種保護重要秘密安全的方法

在具體實施過程中，根據計算機信息系統不同的安全等級要求，制定不同的等級保護策略，用最小的代價來保證計算機信息系統安全。在一些重要情況下，為了確保安全與萬無一失，都必須由兩人或多人同時參與才能生效，這時就需要將秘密分給多人掌管，并且必須有一定數目的掌管秘密的相關人員同時到場才能恢復這一秘密。針對這種特別重大和及其敏感的信息可采用秘密分割門限方案來確保安全。

設秘密m被分成n個部分的信息，每一部分信息稱為一個子密鑰，由一個參與者持有，使得：

①由k(k<n)個或多于k個參與者所持有的部分信息可重構該消息m；

②由少于k個參與者所持有的部分信息無法重構消息m；

稱這種方案為（k，n）秘密分割門限方案，k稱為方案的門限值。

如果一個參與者或一組未經授權的參與者在猜測秘密m時，并不比局外人猜測該秘密m時有優勢。

③由少于k個參與者所持有的部分信息得不到秘密m的任何信息。

則稱這個方案是完整的，即（k，n）秘密分割門限方案是完整的。

其中最具代表性和廣泛應用的門限方案是基于中國剩余定理的門限方案。

通過這種秘密分割的方法就能達到秘密多人共享，多人共同掌管的局面，確保該信息安全。這種方案也可以用于特別的（下轉第73頁）（上接第78頁）重要部位和場所的出入控制等方面。

3.3　具體措施

針對企業信息系統，應當健全針對各單位或業務部門在日常工作中產生和接觸的信息的敏感程度不同，區分等級，分門別類，堅持積極防御、綜合防范，探索和把握信息化與信息安全的內在規律，主動應對信息安全挑戰，力爭做到辦公方便與安全保密同時兼顧，實現信息化與信息安全協調發展，保證企業信息安全。

加強信息安全風險評估工作。建設和完善信息安全監控體系，提高對網絡安全事件應對和防范能力，防止有害信息傳播。高度重視信息安全應急處置工作，健全完善信息安全應急指揮和安全通報制度，不斷完善信息安全應急處置預案。從實際出發，促進資源共享，重視災難備份建設，增強信息基礎設施和重要信息系統的抗毀能力和災難恢復能力。

4　結束語

隨著信息安全事件的頻繁曝光，信息安全越來越受到人們的重視。為此，越來越多的工作人員投身到安全領域的研究之中。然而當今的現狀卻是各種各樣的不安全事件層出不窮，各類攻擊及其變種也在不斷發展。所有的這些就要求我們必須更加努力地投入到工作中去。不僅要針對一些已經出現且危害較大的一些安全問題提出相應的解決方案，還應該站在安全領域的前沿，積極地投身去防御各種可能會引發安全問題的漏洞及脆弱點。只有這樣我們才能更好地保障人們放心的使用信息技術的發展帶來的便捷。

參考文獻

［1］胡道元,閔京華.網絡安全[M].清華大學出版社,2007.

［2］baike.baidu.com/view/488431.htm.TCSEC全稱與安全等級分類[OL].

［3］baike.baidu.com/view/488448.htm.ITSEC[OL].

［4］楊波.現代秘密學[M].2版.清華大學出版社,2007.

［5］baike.baidu.com/view/21730.htm#sub5031999.CC國際通用標準[OL].