网络安全技术报告(6篇)

时间：2024-05-18

网络安全技术报告篇1

第一条为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理，规范互联网信息服务活动，维护国家安全、社会秩序和公共利益，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》，制订本规定。

第二条本规定所称具有舆论属性或社会动员能力的互联网信息服务，包括下列情形：

（一）开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能；

（二）开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

第三条互联网信息服务提供者具有下列情形之一的，应当依照本规定自行开展安全评估，并对评估结果负责：

（一）具有舆论属性或社会动员能力的信息服务上线，或者信息服务增设相关功能的；

（二）使用新技术新应用，使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更，导致舆论属性或者社会动员能力发生重大变化的；

（三）用户规模显著增加，导致信息服务的舆论属性或者社会动员能力发生重大变化的；

（四）发生违法有害信息传播扩散，表明已有安全措施难以有效防控网络安全风险的；

（五）地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。

第四条互联网信息服务提供者可以自行实施安全评估，也可以委托第三方安全评估机构实施。

第五条互联网信息服务提供者开展安全评估，应当对信息服务和新技术新应用的合法性，落实法律、行政法规、部门规章和标准规定的安全措施的有效性，防控安全风险的有效性等情况进行全面评估，并重点评估下列内容：

（一）确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况；

（二）用户真实身份核验以及注册信息留存措施；

（三）对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息，以及用户信息记录的留存措施；

（四）对用户账号和通讯群组名称、昵称、简介、备注、标识，信息、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施；

（五）个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施；

（六）建立投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关投诉和举报的情况；

（七）建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况；

（八）建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

第六条互联网信息服务提供者在安全评估中发现存在安全隐患的，应当及时整改，直至消除相关安全隐患。

经过安全评估，符合法律、行政法规、部门规章和标准的，应当形成安全评估报告。安全评估报告应当包括下列内容：

（一）互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况；

（二）安全管理制度和技术措施落实情况及风险防控效果；

（三）安全评估结论；

（四）其他应当说明的相关情况。

第七条互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。

具有本规定第三条第一项、第二项情形的，互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告；具有本规定第三条第三、四、五项情形的，应当自相关情形发生之日起30个工作日内提交安全评估报告。

第八条地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。

发现安全评估报告内容、项目缺失，或者安全评估方法明显不当的，应当责令互联网信息服务提供者限期重新评估。

发现安全评估报告内容不清的，可以责令互联网信息服务提供者补充说明。

第九条网信部门和公安机关根据对安全评估报告的书面审查情况，认为有必要的，应当依据各自职责对互联网信息服务提供者开展现场检查。

网信部门和公安机关开展现场检查原则上应当联合实施，不得干扰互联网信息服务提供者正常的业务活动。

第十条对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务，省级以上网信部门和公安机关应当组织专家进行评审，必要时可以会同属地相关部门开展现场检查。

第十一条网信部门和公安机关开展现场检查，应当依照有关法律、行政法规、部门规章的规定进行。

第十二条网信部门和公安机关应当建立监测管理制度，加强网络安全风险管理，督促互联网信息服务提供者依法履行网络安全义务。

发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的，网信部门和公安机关应当通知其按本规定开展安全评估。

第十三条网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的，应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险，并依照各自职责对该互联网信息服务实施监督检查，发现存在违法行为的，应当依法处理。

第十四条网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作，公安机关的安全评估工作情况定期通报网信部门。

第十五条网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密，不得泄露、出售或者非法向他人提供。

网络安全技术报告篇2

关键字：网络隔离器;现场作业;跨网络;日志记录;数据交换;同步机制

中图分类号：TP319

SiteoperationsreportingsystembasedonthenetworkseparatorYangLi，ZhaoWei，ShenYingquan，WangSen，DuanJiajie，YangZheng，DengFeiYunnanElectricPowerTest&ResearchInstitute[Group]Co.Ltd.PowerResearchInstituteYunnanKunming650217Abstract：Intheprocessofelectricityoperation，easeofuse，standardizationandtraceabilityofworkrecordsisveryimportantfortheleanmanagementoffieldoperations.Thispaperstudiedtheworksandinfrastructurehardwarecomponentsofgeneralnetworkseparator，analyzedandsummarizedthecharacteristics，advantagesanddisadvantagesofcurrentlyusedmethodsofreportingdayfieldoperations.Thencombinedwiththeactualsituationofthepowercompaniesatthisstage，suchasthepowergridsystem，regulationsofinformationsafetyandstandardsofoperationinthefieldofelectricity.Thispaperachievedasiteoperationsreportingsystemwhichsupportedforreal-timecommunication，multi-platformandaccessibleacrossthenetworksecuritybasedonnetworkseparator.Thesystemincludedauthentication，logrecordoffieldoperationssubmitted，logrecordoffieldoperationsusedintheERP，theinterfacedynamicallydisplayanddailyfieldoperationsmanagementsystemandotherfunctionalmodulestosolvetheelectricityfieldoperationswithoutloggingacrossthenetworksecurity，cross-platformapplicationsandotherissues.Keywords：networkseparator;siteoperations;acrossthenetwork;logrecord;dataexchange;synchronizationmechanism

1前言

电力系统中输电、配电和变电等领域存在较多的高空、高压现场作业，对现场工作人员的人身安全提出了挑战，对现场工作人员的技术水平具有较高要求，由于操作流程有问题或现场操作不当等原因造成的电力事故在电力系统事故总数中占有一定比例[1]。但目前在国内的输、配、变电户外施工作业中，极少对现场作业过程进行日志记录备案，就给安全作业留下隐患，一旦出现事故，由于现场没有相关备档，责任无法追踪，且不知道失误出现在哪个环节，对事故的分析和总结难度较大，不利于输、配、变电作业技术的提高[2]。

管安全必须抓现场，生产现场处于生产、安全等工作的最前沿，做好现场安全方面管理至关重要[3]。现场作业日报告作为现场安全管理的一部分，由出差员工对现场作业内容、所花费的时间以及在工作过程中遇到的问题、解决问题的方法和结果等进行的记录，实现现场作业日事日清，事后可以对现场工作内容等情况进行追溯，同时经过长期的积累，也能达到通过工作日志提高员工的工作技能。目前大多电力企业已经结合精益化管理和现场作业管理设计实现了现场作业标准制定、作业指导书维护、工作票签发等功能，但尚未建立跨内外网的规范安全的现场作业日报告系统，仅借助电话、短信等方式了解现场作业动态，无日报告记录。

针对上述电力系统现场作业中存在的问题，本文研究实施现场作业日报告制度，对于现场作业，建立以项目为纲、以日期为目的作业日报告制度和系统。本文通过采用信息化建设手段对现场作业日报告进行研究，开发了一套安全跨内外网的现场作业日报告系统，实现了跨网络跨平台的现场作业日志统一录入接口，满足工作人员随时随地上传日志记录、驻内人员及时了解现场动态、事后追溯现场工作记录等需求，对现场作业精益化管理有重要意义。

2网络隔离器简介

通过网络互连可实现电力内外网的数据交换，而如何保障网络互连时电力内网的安全是一大重点，本文研究采用网络隔离器实现基于物理隔离的数据安全转发，从而保护内部网络的安全。网络隔离器是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备，用以实现不同安全级别网络之间的安全隔离，最终目的是创建一个内、外网物理断开的环境[4]。通用的网络隔离器由三个基本硬件部分组成，分别是内网处理单元、外网处理单元和专用安全隔离切换装置（数据暂存交换区），其中专用安全隔离切换装置分别连接内部处理单元和外部处理单元，网络隔离器示意图如图1所示。

图1网络隔离器示意图

Fig.1Schematicdiagramofnetworkisolator

3现场作业日报告常用方法

目前现场作业日报告常用管理方法有纸质/电子表格填报、电话/短信汇报和现场作业管理系统三种，其中纸质/电子表格填报方法是指现场作业人员填写纸质或电子的现场作业日报、周报、月报（月工作总结、月工作计划）等表格，这些表格是驻外人员具体工作内容和安排计划的体现，通常以邮件或传真的方式将表格上报;电话/短信汇报方法是指现场作业人员采用打电话、发短信等随意方式汇报现场工作情况，无日志记录文件;现场作业管理系统方法是指现场作业人员登录系统进行日报告录入提交，该方法为现场工作人员提供现场情况的信息采集及工作日志记录上报统一入口。对现场作业日报告常用的三种方法进行优缺点对比分析，如表1所示。

表1现场作业日报告常用方法分析

Table1Analysisofcommonmethodoffieldoperationsreportingdate

常用方法

优点

缺点

纸质/电子表格填报

规范、有记录

上报方式受限、需表格管理

电话/短信汇报

方便、简单

随意、无记录

现场作业管理系统

统一规范平台、实时上报、

数据库记录、信息推送

需开发系统、需解决系统跨网络跨应用平台等问题

通过以上分析选定现场作业管理系统方法，再结合电力企业现阶段的实际情况，如电力内网制度、信息安全规定和电力现场作业标准等，实现基于网络隔离器实时通信的支持多平台跨网络安全访问的现场作业日报告系统。

4基于网络隔离器的现场作业日报告研究

4.1架构图

SAP技术在电力企业得到了广泛的应用[6-7]，提高了企业管理效率。该系统在SAP技术平台之上，通过研究网络隔离器，利用ABAP和.NET开发语言相结合，采用MVC和HTML5等技术手段[8-10]开发可视化系统前台供用户填写日报告，通过HTTP协议经由路由器和防火墙实现用户与现场作业日报告系统Web服务器之间的安全交互。开发Daemon程序调用网络隔离器的API实现现场作业日报告系统Web服务器和内网数据处理服务器的数据同步机制，内网数据处理服务器对同步的数据进行格式转换等处理后存入SAPERP特定数据库中，最终通过SAPERPECC服务器进行分析展示。系统整体架构图如图2所示。

图2系统整体架构图

Fig.2Overallsystemarchitecturediagram

该系统采用网络隔离器安全通信技术实现基于内存的数据实时传输，实现外网数据实时安全写入内网ERP数据库，因此现场工作人员可通过手机等终端提交日报告，无需使用内网ERP，即可实现日报告数据实时存入ERP系统进行分析展示，同时也保证了电力内网安全。

4.2功能模块实现

该系统支持电脑、ipad、iphone和android等大多数智能手机访问，方便现场工作人员使用，解决平台限制问题。此系统主要实现了以下几个主要功能模块：

1）身份验证：采用手机身份验证方式，通过发送动态短信验证码实现免密码登录，既保障系统访问安全又免除用户申请用户名和密码的工作量，避免密码管理和遗忘等问题。

2）提交现场作业日报告：现场工作人员通过网页形式访问，登录后选择相关工单，填写今日工作内容等信息即完成现场作业日报告的提交。该功能采用录入数据最优化原则，分析常用的现场作业日报表格，最终确定最简便录入方式和录入数据，简化员工操作。

3）在ERP中使用现场作业日报告：员工登录ERP系统后可查看本人或全院员工提交的现场作业日报告信息，方便驻内员工获知现场工作人员每天现场作业动态，同时为员工提供学习记录和生成工作汇总功能。

4）界面动态显示功能：智能判断用户所需操作，动态显示界面，节省用户操作时间。

5）现场作业日报管理制度：系统通过填写时间限定、短信待办提醒、标红提示等方式实现现场作业日报强制性、监督性、不可补填性和可追溯性等管理制度要求。

目前，基于网络隔离器的现场作业日报告系统已经正式上线使用，运行良好，达到预期效果，其应用效果如图3所示。

图3应用效果图

Fig.3applicationeffectdrawing

5结语

该系统基于网络隔离器为现场工作人员提供了支持多平台跨网络的现场工作日志记录上报统一入口，解决了现场作业无记录追溯、随意方式汇报现场工作情况等问题。具有强制性、监督性、不可补填性和追溯性等特点，最终在ERP中形成可追溯的现场作业记录，在研究院现场作业精益化管理方面具有重要意义。

参考文献：

[1]王国忠.电厂现场作业的安全管理模式分析[J].电源技术应用，2012，（9）：35-35.

WangGuozhong.Analysisofsafetymanagementmodeofpowerplantsiteoperation[J].PowerSupplyTechnologiesandApplications，2012，（9）：35-35（inChinese）.

[2]陈建新.现场作业安全标准化控制系统的研究与应用[J].信息系统工程，2013，9（4）：24-25.

ChenJianxin.Studyandapplicationofsafetystandardoperationcontrolsystem[J].InformationSystemEngineering，2013，9（4）：24-25（inChinese）.

[3]郭宝，周驰.电力生产现场作业和终端安全防护研究[J].电力信息化，2010，8（12）：30-35.

GuoBao，ZhouChi.Researchonjobpowerproductionsiteandterminalsecurityprotection[J].ElectricPowerInformationTechnology，2010，8（12）：30-35（inChinese）.

[4]何鹏举，王万诚，李高盈，等.网络隔离器的设计与实现[J].控制工程，2002，9（6）：52-53.

HePengju，WangWancheng，LiGaoyi，elal.Designandimplementationofanetworkisolator[J].ControlEngineeringofChina，2002，9（6）：52-53（inChinese）.[5]熊志坚.网络隔离技术与信息安全管理浅析[J].通信与信息技术，2013，（5）：61-62.

XiongZhijian.Networkisolationtechnologyandinformationsecuritymanagement[J].Communication&InformationTechnology，2013，（5）：61-62（inChinese）.[6]王磊，蔡维由.浅谈ERP在电力企业的应用与实施[J].电力建设，2005，26（4）：51-53.

WangLei，CaiWeiyou.ApplicationofERPinelectricenterprises[J].ElectricPowerConstruction.2005，26（4）：51-53（inChinese）.[7]张扬，郭森，季平.基于SAPERP信息系统的双活数据中心研究[J].电力信息化，2013，11（1）：87-91.

ZhangYang，GuoSen，JiPing.Researchondatacenterwiththeactive-activemodeforSAPERP[J].ElectricPowerInformationTechnology，2013，11（1）：87-91（inChinese）.[8]安徽省电力公司合肥供电公司.电力生产现场标准作业通用平台[P].ZL200820037086.5，2009年5月20日.[9]楼平，张鹰，卢黎明，等.信息系统现场作业标准化体系建设[J].电力信息化，2011，9（3）：52-54.

网络安全技术报告篇3

一、主要内容

2003年2月14日，美国公布了《确保网络空间安全的国家战略》报告（以下简称报告）。该报告共76页，是布什政府对《美国国土安全的国家战略》（2002年7月份公布）的补充，并由《保护至关重要的基础设施和关键资产的国家战略》（2003年2月14日公布）作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是：阻止针对美国至关重要的基础设施的网络攻击；减少美国对网络攻击的脆弱性；在确实发生网络攻击时，使损害程度最小化、恢复时间最短化。五项优先目标是：（1）建立国家网络安全反应系统；（2）建立一项减少网络安全威胁和脆弱性的国家项目；（3）建立一项网络安全预警和培训的国家项目；（4）确保政府各部门的网络安全；（5）国家安全与国际网络安全合作。

该报告明确规定，国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划，以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统，包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调，确保美国网络安全的关键在于美国公共与私营部门的共同参与，以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。

二、出台背景

美国自20世纪40年明第一台计算机以来，相继建立了信息高速公路(NII)和全球信息基础设施(GII)，并涌现出英特尔芯片公司、微软公司、IBM公司等一大批全球信息产业的领头羊。因此，美国的信息技术及其应用水平遥遥领先，成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力，而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化，相互依赖，同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此，在美国政府看来，计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题，关键基础设施和信息系统的安全成为美面临的首要威胁之一，"电子珍珠港"事件随时可能爆发，美国必须采取措施保障关键基础设施和信息系统的安全，避免"信息灾难"。

由大量信息系统组成的国家信息基础结构，已成为美国经济的命脉和国家的生命线，也成为容易受到攻击的高价值的战略目标。1988年，美国康奈尔大学计算机系研究生罗伯特o莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件，造成全球6000多所大学和军事机构的计算机受到感染而瘫痪，而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示，在2000年，黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权；美国商务部对下属部门的计算机系统进行全面监测后，发现存在5000多个安全漏洞，在被监测的1200多台工作站和主机中，有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患，美国前总统克林顿忧心忡忡地指出，"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击，就会产生灾难性的后果"。

从20世纪80年代开始，美国政府以政府通告、总统行政命令等形式，不断推出有关信息安全的政策方针和各类规章制度，而且每隔数年就重新进行审定，以适应科技的发展趋势。与此同时，通过设立层层主管机构，逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手，要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划，同时强调推广安全意识的教育，加强保护基础设施的研发工作，并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。

1984年以来美国政府共了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划，对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如，克林顿总统于1998年5月签署的第63号总统令(PDD-63)规定，拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门，其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等，它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月，根据PDD-63的要求，美国政府制定了《信息系统保护国家计划》，将信息安全保护分为十项内容，涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系，到2003年5月实现全部运转。该计划力图实现三个主要目标，即准备和预防、侦查和反应及建立牢固的基础设施。

2001年10月，布什政府了《信息时代保护关键基础设施》的行政命令，组建了总统关键基础设施委员会，其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令，委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部／局内属于其管辖范围的所有情况，并召集和主持委员会的各种会议、制定委员会的议事日程，向相关官员提供保护关键基础设施的政策和方案，并向总统国家安全事务助理和国土安全助理汇报。

今年2月14日，布什政府又公布了《确保网络空间安全的国家战略》，明确规定国土安全部将成为联邦政府确保网络安全的核心部门，并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织，即公共部门、私营部门和研究机构之间的指挥中枢。

三、作用与影响

该报告是美国在网络安全方面专门出台的第一份国家战略，既凸现了布什政府对美国网络安全的担心与重视，也显示出其在新世纪确保美国信息霸权和安全的长远战略目标，必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。

第一，该报告显示，确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为，信息技术的迅猛发展与计算机网络在美国的普及，已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术，信息技术的发展已使之成为21世纪美国发展的支柱，而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统，成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏，已不再只是一个技术层面的概念，而成为与社会、政治、经济、文化等各个方面密切相关的问题，即这些领域的安全直接关系到美国国家安全的重要因素，信息安全已成为美国国家安全的一个重要组成部分，直接影响到美国的国家运转、经济发展和社会稳定。因此，布什政府出台这份《确保网络空间安全的国家战略》报告，显示出其对网络安全的高度重视。

第二，该报告是美国在"9·11"事件之后，为确保网络安全而采取的一系列举措中的一个核心步骤。其实，"9·11"事件发生后，布什政府一直担心恐怖分子会对美国发动网络恐怖袭击，因此，它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元，为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多；迅速成立了"国土安全办公室"（即目前已经成立的国土安全部的前身），将打击网络恐怖作为其主要职责之一；任命网络反恐怖专家理查德o克拉克为总统网络安全顾问，并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席，负责制定、协调全美政府机构网络反恐计划和行动；着手建立一个政府网络(GovNet)，使它与现行互联网分离，以保障政府通讯信息网络的安全性和保护美国国家信息基础设施；召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议；在美联邦调查局内新设反网络犯罪局，专门负责打击网络犯罪；指令美军加强网络战准备，防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称，"如果任何国家为网络恐怖主义者提供安全的避风港，国际社会将切断它与国际互联网的联系，把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出，美国在网络安全方面的管理机构将会进一步加以整合，最终使国土安全部成为联邦政府确保网络安全的核心部门。

第三，该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施，但它也意识到，仅仅依靠政府的力量是不够的，必须建立起一个全方位的防御体系，动员一切可以动员的社会力量。因此，美国政府十分重视与私营企业之间建立合作关系，重视发挥学术研究机构的优势，同时也重视培养美国公民的信息安全意识。首先，美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的，必须与企业界、各州及地方政府进行积极有效的合作。例如，1998年11月，能源部、天然气研究所和电力研究所共同主办了能源论坛，邀请了100余家电力、天然气和石油企业和政府代表参加；1999年10月1日，由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月，包括IBM在内的500多家公司加入了FBI成立的一个被称作"InfraGard"的组织，共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出，"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。

其次，重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业，例如，卡内基-梅隆大学的软件工程研究所，乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会，卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前，美国还开始利用高等院校的科研实力为其服务，2002年2月，美众院通过《网络安全研究与发展法案》，同意在5年内为大学和研究机构提供8.7亿美元的资助，用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是，由国防部高级研究计划局出资，在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CERT)。该中心提供24小时紧急情况联络点，通过与世界范围内IT界和专家之间的交流，提高人们对计算机安全的认识。

最后，重视人才的培养和公民的安全意识教育。该报告认为，到目前为止，还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动，包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括：完善"网络公民计划"，对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育；借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系；保证政府雇员具备保护信息系统安全的意识；在上述行动的基础上，把提高安全意识的活动推广到其他私营部门和普通公众。

参考书目：

1.国务院发展研究中心国际技术经济研究所编：《信息战与信息安全战略》，金城出版社，1995年。

网络安全技术报告篇4

关键词：计算机；恶意攻击；安全策略

1.网络安全环境的现状

据统计，现在全球平均每20秒钟就发生一次网上入侵事件，一旦黑客找到系统的薄弱环节，所有用户均会遭殃。从国内情况来看，目前我国95％的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。当前由于这样或那样的原因，对网络的攻击很难完全遏制。或许，任何硬件和软件都不可能真正成为“金刚身”，网络安全是网络时代永恒的任务。

2.影响网络安全的原因

2.1网络资源的共享性

计算机应用的主要表现便是网络资源共享。当e-mail(电子邮件)、FTP(文件下载)和telnet(远程登录)的命令都规定为标准化时，学习和使用网络对于非工程技术人员变的非常容易。很多时候，在将自己的重要资料共享给局域网中的其他用户访问时，我们往往有很大的随意性，这种做法带来了安全隐患。美国情报部门认为，现在很多极有价值的情报都可以在互联网上找到，网络搜寻几乎能够取代费尽人力物力且风险极大的传统间谍手段。美国军方研究中国军情的权威文件——《中国军事与安全态势发展报告》中，有相当一部分信息取自中国军迷们的网络信息。为了满足互联网情报资源开发的需要，2005年11月，美国中央情报局组建了“开源情报中心”，专门负责搜集全球各个网站、论坛、博客里的军事信息。通过网上信息，结合已掌握的情况，美军不仅能够了解他国基本军事动态，还能够获取武器装备数据、军事人员信息等核心机密。

2.2网络的开放性

开放性是因特网最根本的特性，整个因特网就是建立在自由开放的基础之上的。互联网的开放性不仅仅是技术层面上的，它还有更深的底蕴。开放性意味着任何人都能够得到发表在网络上的任何事物，意味着任何个人、任何组织包括国家和政府，都不能完全控制互联网。这实质上意味着个体权利和能力的扩张及其对传统的金字塔模式的社会政治经济结构和体制的消解。任何一个国家都是一个封闭程度不一的实体，它垄断着信息，孤立的个人在强大的垄断组织面前是弱小无依的，根本没有力量同国家对抗。而开放网络的出现在很大程度上削弱了国家对信息的控制，为个体对国家和社会的基于实力平等的挑战提供了可能。

2.3网络操纵系统的漏洞

一个较为通俗的网络漏洞的描述性定义是：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在IntelPentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

2.4恶意攻击

目前，网络恶意攻击呈现出以下新特点：一是过去电脑用户只有在登录色情、等不良网站时或使用盗版软件时才容易遭到恶意攻击，但现在不少旅游、购物和游戏等网站也成为黑客用来发动恶意攻击的平台。二是过去的恶意攻击没有组织性，大多由不谙世事的年轻人所为，但现在的网络攻击不仅组织性高，而且专业性强，由不同的软件开发小组操控。三是过去网络黑客往往通过传递邮件的方式发动恶意攻击，这种方式比较容易识别，但目前黑客是趁用户下载某些软件之际悄悄发动攻击，令用户难以识别。四是黑客利用第三方的广告将恶意软件侵入用户系统，比如黑客会利用某个广告提醒用户，其系统已感染病毒，当用户根据广告提示去链接某个据说能杀病毒的网站时，这时“潜伏”在这个网站的恶意软件便会侵入用户系统。五是黑客会设计用户信任的银行等网站的标识，当用户放松警惕登录这一网站时，便会遭到恶意软件的攻击。

3.网络安全的防范措施

常用的计算机网络安全技术有五种：防火墙(FireWall)技术，数据加密技术，系统容灾技术，漏洞扫描技术和物理安全技术。

3.1防火墙技术。是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前，市场上防火墙产品很多，一些厂商还把防火墙技术并入其硬件产品中，即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而，防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就是说要保证网络信息的安全还必须有其他一系列措施，例如对数据进行加密处理。

网络安全技术报告篇5

[关键词]电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策

随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。

一、网络隐私权侵权现象

1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。

2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。

3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。

4.网络提供商的侵权行为

(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。

(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。

5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。

二、网络隐私权问题产生的原因

网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。

1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。

2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。

3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。

目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。

三、安全技术对网络隐私权保护

1.电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。

(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。

(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。

(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。

(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。

2.电子商务信息安全协议

(1)安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

(2)安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。

(3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。

(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。

3.P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。

(1)隐私安全性

①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。

②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。

(2)对等诚信

为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。

对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。

每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:

Sij=sat(i,j)-unsat(i,j)

四、电子商务中的隐私安全对策

1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。

2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。

3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。

4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。

6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。

7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。

参考文献:

[1]屈云波.电子商务[M].北京:企业管理出版社,1999.

[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8).

网络安全技术报告篇6