网络空间安全基础知识精选(九篇)
第1篇:网络空间安全基础知识范文
当前,新型互联网体系结构研究受到世界各国普遍重视,已成为信息网络领域最重要和最迫切的研究问题。美国FIND(FutureInternetDesign,未来互联网设计)计划针对不同角度对未来网络需求,支持新型体系架构、路由机制、无线传感网络和光纤网络等50多个项目的研究。美国GENI(GlobalEnvironmentforNetworkInnovations,全球网络创新环境)计划在2008年提出了SDN及OpenFlow技术,现已成为新型网络研究的热点。美国NASA启动SCaN(SpaceCommunicationsandNavigation,空间通讯与导航)计划,通过实现深空网、近地网和空间网互联互通进而打造下一代空间网络。美国FIA(FutureInternetArchitecture,未来互联网体系结构)计划资助NDN、MobilityFirst、NEBULA、XIA、ChoiceNet五个主要项目,从不同方面研究新型互联网体系。2012年,美国启动USIGNITE计划(点燃计划),进一步完善信息网络与应用的基础研究。2015年,美国陆军启动了WIN-T项目,研发自组织、自愈合的新型综合军用网络。同时,美国的商业公司启动OneWeb项目和O3b项目,开始超大规模卫星组网以及互联网接入服务研究。在亚洲,日韩等国也相继启动了新型互联网研究。日本于2006年启动了AKARI(微光计划)项目,设计全新的互联网体系架构。2010年,日本启动NWGN(NewGenerationNetwork,新一代互联网)研究与发展计划,目标是覆盖新一代网络研究各领域的核心技术成果。2008年,韩国设立FIF(FutureInternetForum,未来互联网论坛),以针对未来互联网的关键技术开展研究,积极探讨新型网络体系与机制。在欧盟,德国启动了G-Lab计划,研究未来互联网的新应用以及相应的新技术。2014年,欧盟FP-7计划陆续启动了一系列H2020项目,比如:2014年的H2020-ICT项目关注信息通信技术,2015年的H2020-VITAL项目关注新型天地一体化网络,2016年的H2020-SEC项目关注网络安全,2017年进一步设立H2020-FI项目关注未来网络架构。
二、我国研究现状
从“十一五”开始,我国973计划和863计划相继启动了一系列项目。“十一五”期间,973计划的“一体化可信网络与普适服务体系基础研究”项目,创造性地提出并设计了以“四种标识”和“三种映射”为特征的未来互联网新体系机理与架构,改进了互联网的安全性、移动性、路由可扩展性,以及可控可管性等能力;“多域协同宽带无线通信基础研究”项目,主要探索从根本上提高频谱资源利用率,力争实现宽带无线通信技术体系及核心关键技术的创新;“可测可控可管的IP网的基础研究”项目主要探究现有IP网的可测可控可管性;“新一代互联网体系结构和协议基础研究”项目,从互联网基本组成、工作原理和实现机理上,进行新一代互联网体系结构与协议和算法设计的研究;“认知无线网络基础理论与关键技术研究”项目,围绕认知无线网络体系结构的适变性、无线网络多域环境的认知性,以及认知无线网络管理与控制的自主性三大科学问题展开研究;“信息服务的模型与基础研究”项目,在信息服务的表达性和适配性两个关键科学问题的研究上形成重要创新成果,改变了传统信息服务研究的特定性和表观性,为互联网信息处理的本征研究奠定了重要理论基础。“十二五”期间,973计划继续支持了“面向服务的未来互联网体系结构与机制研究”和“可重构信息通信基础网络体系研究”。前者以面向服务为核心的设计理念,以服务内容命名驱动路由和数据传输,在体系结构和核心机理层面进行针对性的研究;后者侧重于构建一个功能可动态重构的基础物理网络,为不同业务构建满足其需求的逻辑承载网,以解决目前网络层“静态、僵化”导致的功能瓶颈。2013年,支持了“智能协同宽带无线网络理论基础研究”和“智慧协同网络理论基础研究”两个项目。前者重点研究了宽带无线网络资源的智能协同理论与机制;后者研发了全新的网络体系架构以及相关理论机制,创建了以三层(智慧服务层、资源适配层和网络组件层)、两域(实体域、行为域)为典型特征的智慧协同标识网络体系模型与总体架构。同期,863计划则在未来一体化标识网络关键技术和示范方面进行支持。2008年支持了目标导向类课题“身份与位置分离的新型路由关键技术与实验系统”,研究身份与位置标识分离的新型路由寻址体系结构及解决方案。2010年启动了“三网融合演进技术与系统研究”重大项目,将“面向三网融合的创新网络体系结构”列为重要研究内容。2015年立项的“未来一体化标识网络关键技术和示范”项目主要探究了一体化标识网络的关键技术,并进行了一系列实验验证。进入“十三五”,国家重点研发计划在2016年支持了“天地一体化网络信息安全保障技术”和“网络空间拟态防御技术机制研究”两个项目。前者主要从物理层、运行层、数据层3个层面分析天地一体化信息网络面临的威胁,并对抗干扰、安全接入、安全传输等安全保障技术进行研究;后者主要从拟态防御的科学问题和理论框架等方面对网络空间的安全问题进行探究。2017年,支持了“地址驱动的网络安全管控体系结构及其机理研究”项目。该项目以IPv6为基础,从源地址认证的角度入手,力图提高现有IPv6网络的安全性。此外,2013年2月,国务院8号文件将“未来网络试验基础设施(CENI)”项目列入“国家重大科技基础设施建设中长期规划”;2016年12月,国家发改委立项支持“国家发展改革委关于未来网络试验设施(简称CENI项目)重大科技基础设施项目”。虽然我国持续开展相关领域研究,但总体来讲,我国互联网技术相对于发达国家自主创新能力依然不足,互联网核心技术长期受西方发达国家主导和控制,对我国网络空间主权造成了重大威胁,使得信息化和网络安全方面的任务和挑战日益复杂多元。特别是在“互联网+”的大背景下,随着我国智能制造、高铁等核心技术的对外输出,迫切需要新型自主安全可控的网络体系与系统,需要在智慧协同网络的理论研究和技术方面的持续深入研究,为我国核心支柱产业提供安全保障和技术支撑。
三、对策建议
第2篇:网络空间安全基础知识范文
5月9日,国务院召开常务会议,研究部署推进信息化发展、保障信息安全工作。健全安全防护和管理和加快安全能力建设成为本次国务院会议颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(下称《意见》)的工作重点。
《意见》强调,要健全重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力;加强地理、人口、法人、统计等基础信息资源的保护和管理,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任;完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力;加大信息安全技术研发力度,支持信息安全产业
发展。
英国政府高度重视信息安全,在近三年之内连续两次出台了国家网络安全战略,2011年11月25日的《英国网络安全战略》对英国信息安全建设做出了战略部署和具体安排,英国推进信息安全建设的做法对我国有哪些借鉴意义?
英式样本
《英国网络安全战略》全文共43页,文件正文由“网络空间驱动经济增长和增强社会稳定”、“变化中的威胁”、“网络安全2015年愿景”和“行动方案”四个部分组成,介绍了战略的背景和动机,并提出了未来四年的战略计划以及切实的行动方案。该战略继承了2009年英国的网络安全战略,并继续在高度重视网络安全基础上进一步提出了切实可行的计划和方案。
《英国网络安全战略》的一个总体愿景是在包括自由、公平、透明和法治等核心价值观基础上,构建一个充满活力和恢复力的安全网络空间,并以此来促成经济大规模增长以及产生社会价值,通过切实行动促进经济繁荣、国家安全以及社会稳定。
在此愿景下,其设立的四个战略目标分别为应对网络犯罪,使英国成为世界上商业环境最安全的网络空间之一;使英国面对网络攻击的恢复力更强,并保护其在网络空间中的利益;帮助塑造一个可供英国大众安全使用的、开放的、稳定的、充满活力的网络空间,并进一步支撑社会开放;构建英国跨层面的知识和技能体系,以便对所有的网络安全目标提供基础支持。
为实现上述目标,英国政府配套出台了三个行动原则。第一是风险驱动的原则:针对网络安全的脆弱性和不确定性,在充分考虑风险的基础上建立响应机制。第二是广泛合作的原则:在国内加强政府与私营部门以及个人的合作,在国际上加强与其他国家和组织的合作。第三是平衡安全与自由私密的原则:在加强网络安全的同时充分考虑公民隐私权、自由权和其它基础自由权利。
与此同时,《英国网络安全战略》还规定了个人、私营机构和政府的规范和责任。它要求个人在网络空间应做到基本的自我保护,懂得基本的安全操作知识,也要为各自在网络空间中的行为承担责任;私营机构在网络空间不仅要做到主动的安全防御,还要与政府机构和执法机关等互相合作来面对挑战,另外还要抓住网络安全产业发展带来的机遇;政府在网络空间要在降低政府系统本身风险的同时,发挥其在网络安全构建方面的主导作用。
在具体实施细则方面,《英国网络安全战略》配套制定了八个行动方案支撑点,分别是:
明确战略资金在各机构的分配方式。该战略明确了未来四年中投入的6.5亿英镑的分配方式,以确保英国以一种更积极的方法来应对网络威胁。在英国国家通信总局的支持下,一半左右的资金将被用于加强英国检测和对抗网络攻击的核心功能。
加强网络安全国际合作。英国将积极与其他国家和国际组织展开合作,以共同开发网络空间行为的国际规范或“交通规则”。
降低政府系统和关键基础设施的风险。英国将结合本国国情,与掌控关键基础设施的私营机构展开合作,开发严格的网络安全标准,推动建设威胁信息共享的“网络交换机”。
建立网络安全专业人才队伍。英国将采取认证培训、学科教育、资金支持以及继续举行网络安全挑战赛等方式建立核心专业人才队伍,并鼓励有“道德感的”黑客参与进来。
构建网络犯罪法律体系。英国将在鼓励举报网络犯罪的同时,针对网络犯罪行为构建强力的法律框架,以支持执法机构应对网络犯罪。英国还将致力于建立应对跨国网络犯罪的合作机制,以杜绝“避风港”的存在。
提高公众网络安全意识。英国将运用媒体宣传来帮助大众了解和应对网络威胁,普及不同层次的网络安全教育,与互联网提供商合作以帮助个人确认是否受到网络侵害,将为所有人提供明确的网络安全建议。
增强商业网络安全功能。英国认为商业领域是网络空间犯罪和经济间谍活动的最大受害者,政府应与消费者和私营结构一起增强商业网络安全功能,包括建立信息共享的网络“交换机”、制定相关标准以及重点确保在线消费安全等。
培育网络安全商业机会。英国将在国家通信总局等部门的技术支持下,化威胁为机遇,在网络空间中树立网络安全竞争优势,以促进经济增长,最终将之转化为英国的竞争力优势之一。
战略背后
无疑,《英国网络安全战略》旨在提升网络安全产业国际竞争力,确保英国拥有一个安全的网络环境。《英国网络安全战略》中不止一次提到要确保英国在网络安全产业处于国际领先地位。
与美国的《网络空间国际战略》相比,英国政府并不谋求网络空间的主导地位,而是将注意力集中在维护本国网络安全、加强本国网络安全产业竞争力、创造网络安全商业机遇等方面。作为该战略核心的“英国2015年愿景”中,在短短的60余字中分别两次提到“促进经济大规模增长”和“促进经济繁荣”,充分表明英国政府通过网络安全促进经济发展的
决心。
当前包括英国在内的欧洲依然处于金融危机导致的困境,例如经济发展低迷、政府赤字居高不下、失业率持续增加等。英国政府敏锐的意识到了网络安全行业带来的经济机遇,不惜斥资6.5亿英镑改善网络安全环境,增加网络安全竞争力,以抢占网络安全行业市场,确保其“先行者优势”。
此外,战略中明确提出了要建立相应的法律体系和执法队伍,利用英国先进的相关技术支持网络安全部门的发展,健全网络安全国家响应机制,提高在线公共服务水平,分享网络安全信息,以及杜绝网络犯罪国际“避风港”等。这些措施的目的是确保英国拥有安全的网络环境,并在网络安全领域处于优势地位。
我们注意到,《英国网络安全战略》细化了战略实施方案,强调多方合作机制。英国推进信息安全建设非常注重战略等文件的可操作性,如其更加强调战略的实施细节,并在附录中详细阐述了针对四个战略目标的具体实施方案。战略实施方案分别从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育以及国际合作等各方面提出了实施细则,具有很强的可操作性。
针对网络空间结构的复杂性,英国政府认识到网络安全需要网络空间构成各方的广泛参与,该战略从多维度提出建设多方合作机制,包括在英国国内增强政府与私营机构、政府与个人、私营机构与个人之间的合作,以确保三方在构建安全网络空间发挥各自的角色;在国际上加强本国政府与他国政府、本国政府与国际组织之间的合作,以确保英国在网络安全领域的国际主导地位。
再造
英国在重视网络安全的基础上,提出将网络安全作为新的经济增长点,以便刺激经济增长、摆脱当前的经济困境。英国针对网络安全的具体做法对我国有着重要的借鉴意义。
一是加快制定我国的网络安全战略。近年来,各个国家愈发重视网络空间安全问题,将网络安全提升到国家战略高度。例如美国了《网络空间国际战略》,印度推出了《国家网络安全策略草案》等。我国虽然对网络安全发展也非常重视,但是尚停留在安全保障、被动防御的阶段,还没有形成推进网络安全的战略体系,还没有出台过国家网络安全战略。因此,国家应立足国家层面,加快制定并出台我国网络安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务,确定我国网络安全发展战略目标、战略重点和主要主张,全方位指导我国网络安全建设。
二是制定切实可行的战略实施方案。网络安全战略的实施任务多、涉及面广,必须由各部门联合制定切实可行的实施方案,协作推进,确保战略实施。《英国网络安全战略》非常注重战略的可实施性,可操作性。这一点对我国具有非常大的参考价值。我们应进一步加强网络与信息安全领导小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力。同时,在网络与信息安全领导小组统一领导和协调下,各职能部门要相互配合,针对战略目标从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育、以及国际合作等方面制定切实可行的实施方案,确保我国网络安全战略的顺利实施。
三是重视网络安全产业,促进经济发展。英国网络安全战略地亮点之一是英国政府不仅敏锐地意识到了网络安全行业带来的经济机遇,而且将网络安全产业作为英国新经济增长点。《英国网络安全战略》明确提出未来四年将斥资6.5亿英镑改善英国网络安全环境,充分表明英国政府通过网络安全促进经济发展的决心。这一点对我国制定网络安全战略也有重要的启示作用。我国制定网络安全战略不仅应着眼于构建安全的网络空间,还应该高度重视网络安全行业带来的经济增长。在制定国家战略时,应明确提出鼓励网络安全产业发展的政策、资金、法律等方面措施,推动我国网络安全企业做大做强和安全产业快速发展,充分发挥网络安全产业在我国经济增长中的带动作用。
第3篇:网络空间安全基础知识范文
一 实习目的
理论联系实际,巩固所学知识,提高处理实际问题的能力。为自己能顺利与社会环境接轨做准备。
二 实习任务
计算机基础理论在实践中的应用
三 实习内容
1.mysql数据库的安装。配置和使用
2.java基础,java网络编程
3. linux基础命令,linux bash shell编程,linux服务器的配置,linux常用软件的安装配置使用
4.网络安全
5.计算机的日常维护
四 实习过程
1.网络基础的实践
20xx年1月6日,我把电脑从学校搬回家里。20xx年1月13日,家里的网络通了。在这段时间内,我和家人去网通的商那里报装了adsl 1m包年的套餐。我在商那里观察了他们的网络布线情况。那里有一个modem和一个交换机,上面密密麻麻地布满了许多网线和一些电话线。20xx年1月13日,安装人员终于来到我家,帮助我们接通了网络。家里电脑的上网方式是虚拟拨号上网,使用的ppp协议。线路连接方式是:电话线——modem——电脑网卡的rj45接口。电脑在学校上网的线路连接方式是:电话线——分离器——电话机——路由器——电脑主机的rj45接口。在学校,提供服务的运营商是中国电信;在家里,提供服务的运营商是中国网通。使用中国电信的打开南方的网页快,例如打开qq空间;使用中国网通的打开北方的网页快,例如看央视的视频。我的电脑在家里出现的问题有:1.打开不了qq空间(在学校可以)2.linux上不了网(在学校可以)。
2.数据库的学习
20xx年2月,我开始做毕业设计。数据库sql 200在xp2安装过程中失败。失败的原因本人至今不知道。大二时曾经安装过sql 20xx,后来使用出现问题,我把它卸载掉。本人重装系统后发现:原来重装前的系统可以安装sql 20xx,从那一次开始,安装都失败了。有一次,安装sql 20xx过程中出现系统蓝屏。本人得出的结论是:sql 20xx软件与xp2系统不兼容。本人是盗版软件的受害者。因此,本人下决心学习mysql。msql是稳定的,开源的中小型数据库。在不同系统都可以安装,使用mysql.。大二学习的数据库是sql 20xx,这段时间学习的数据库是mysql。mysql是使用命令行的方式,sql 20xx是图形界面。他们的语法都是sql语言。所以,学习难度不大。他们的语法之间有细微的差别。
3.计算机日常维护与网络安全
从20xx年3月至今(在电脑上网期间),我认为微软自带的ie浏览器的稳定性和安全性差。本人偏爱firefox浏览器。firefox的安全性和稳定性较强,可以根据需要安装插件。不知道为什么,本人用xp2系统安装光盘卸载ie失败,只好用ie修复专家把ie的部分屏蔽。但是有的网页只能ie用打开,如在央视在线观看视频。在使用系统xp2的过程中,计算机的蓝屏故障频繁。蓝屏故障的原因有软件安装问题,有时候软件卸载引起的问题。所以我决定学习linux,在windows中打游戏,看视频。
4.linux的学习
本人在校使用linux系统上网学习中未发现计算机蓝屏。本人对linux的安全性和稳定性非常欣赏。除了毕业设计时间外,本人在今年上半年在家认真学习linux。鸟哥linux私房菜是很好的教材。平时经常linux在系统下操作,如安装,卸载常用软件,打游戏,听歌等日常活动。本人学习了linux的基础命令后学习了的linux基础编程。可以通过学习linux的编程,熟练掌握vi编辑器的使用。学习程序写注释,编写程序所需注意的问题。本人对的linux网络安全感兴趣。本人正在学习鸟哥的linux私房菜服务器版结合复习网络基础的内容。
5.java的学习
本人在学习java 之前学习过html语言,javascript基本语法,c、c++语言的基本知识。在学校学习的c语言,c++,为我在学习java的路上打下了良好的基础。java的跨平台性,较强的安全性,功能强大性是我把它作为学习的目标之一。我首先读懂书中的每一个程序,然后做书本的习题,接着与答案对照,然后通过写书中的程序复习,提高自己的编程水平。以前,我认为编程就是编程。后来,当我学习网络编程时才发现学习网络编程需要网络基础知识。上面套接字,url,端口号等。学习多线程这部分是需要有操作系统的基础知识。挂起,执行,睡眠等各种状态的相互转换,同步方法等。学习,需要用到很多的基础知识。这些知识是过去我所学习过的。学习编程 语言,最好的方法是多想,多写,坚持。在解决问题时,需要的是足够的耐心,检查,核对程序是需要细心。
通过拉网线,mysql的学习,计算机的日常维护与网络安全,linux的学习,java的学习。这些实践性课程的学习,是我能更好地理解基础知识。大一,大二所学的理论知识,是学习应用知识的基础。理论与实践相结合是一种比较好的学习方式。
第4篇:网络空间安全基础知识范文
9月19日下午,2016年国家网络安全宣传周首场论坛――“网络安全技术高峰论坛”在湖北武汉举行,知名院士专家、大型互联网和网络安全企业高管、相关部门负责同志,以及来自俄罗斯、美国、英国、以色列、南非、新西兰和中国香港的企业领袖和专家参会并演讲,充分利用这次高峰论坛深入沟通交流,分享成功经验,积极献言献策,提出真知灼见,为维护网络安全贡献智慧和力量。
中央网信办副主任王秀军指出,网络攻击、网络诈骗、网络窃密、侵害公民个人信息等现象频发,网络安全威胁和风险越来越突出。面对日益严峻和复杂的网络安全形势,我们要深入学习贯彻关于网络安全工作的重要讲话精神,牢固树立正确的网络安全观,坚持网络安全为人民,网络安全靠人民,积极应对威胁,有效防范风险,切实维护国家网络安全、社会稳定和人民群众的利益。要树立整体动态的安全防护理念,立足开放环境维护网络安全,强化全社会共同维护网络安全,加强网络安全人才培养和宣传教育。
武汉市委常委、宣传部长李述永表示,武汉市注重加强网络安全,结合智慧城市,统筹推进城市基础设施安全建设、安全服务、终端安全、规范标准等工作,全面实施“网络安全武汉在行动”,努力打造网络强市、国家网络安全前沿阵地和技术高地。
作为国家网络安全宣传周主论坛,“网络安全技术高峰论坛”由中央网信办指导,武汉市人民政府主办,中国互联网络信息中心、中国网络空间安全协会、工业和信息化部电子一所承办。
网络安全迫在眉睫 人人参与抵制风险
网络空间是人类生产、生活的新领域,亿万网民通过网络交流信息、获取知识、成就事业、实现梦想,网络深刻影响着人类社会发展的进程。但近来,网络诈骗和网络风险事件频发,折射出网络安全防护的急迫需求。作为现代化治理的重要内容,网民力量参与的重要性不断被论坛现场嘉宾所提起。如何有效组织网民参与,使得每一个人成为网络安全参与者,成为推动国家治理体系和治理能力升级的重大研究课题。
针对8月下旬山东大学生遭电话诈骗离世、清华大学教授买房欺诈等事件,360公司董事长周鸿t指出这类通讯诈骗之所以这么容易得手,是因为个人信息被泄露。“今年以来,诈骗短信的精准投放度得到了很大提高,过去诈骗短信都是群发,现在他知道你叫什么,老百姓就更容易上当受骗。”
周鸿t透露,现在越来越多的网站留有用户的真实数据和信息,但他们在安全防护方面存在明显漏洞,建议国家要加强这方面的立法。同时,他呼吁依靠广大网民的力量维护网络安全。
对于中秋节前后曝光的阿里员工采用技术手段作弊抢月饼事件,阿里巴巴集团CEO张勇在论坛发言中明确表示对此类事件零容忍。“技术安全部门员工的职责是用技术保护用户的安全,而不是去抢月饼,在这个问题上,阿里的态度是零容忍。阿里希望看到安全的问题不仅在每一个互联网用户脑海里提升,也在掌握使用这一技术的每个从业者心中提升。”
对于今后网络空间如何更有效地保护消费者信息安全,张勇认为随着整个信息技术的发展,大数据在生活中的广泛运用,网络安全光靠防是防不住的,安全的持久生命力来自进攻。“最重要的是能够利用大数据、利用我们掌握的技术,对黑色、灰色产业链上游进行层层追踪、层层溯源,只有这样,才能使我们的产业、消费者真正安全。”
网络安全风险频发 防御系统重中之重
对于已经发现的网络安全威胁,为何仍难以处理?南非斯特伦博什大学信息技术学院院长布鲁斯・沃森认为问题就在于防御和信息保护不足。“防御是重中之重,我们需要大量的、多样化的数据,需要知道我们方案的内部结构是什么,同时我们需要一个学习系统,发现新的技术,不断更新我们的信息网络,还要一些其他技术层面的东西。即使有的威胁暂时未被发现,但只要我们在一条路径上不断挖掘,最终能够发现所有的威胁,并且将他们解决。”
思科作为全球最大的网络安全公司,其首席信息安全官史蒂夫・马提诺表示,思科平均每天要解决197亿次网络威胁,在网络安全保护方面,他提出需要具备一个非常有适应性、灵活性的防御体系。“当网络被袭击的时候,你需要一个非常积极的项目又快又准地对其作出反映,我们把网络活动搜集起来,组织一个项目,我们的网络安全分析专家专门研究这些恶意的袭击,把其中不知道的、没看到的以及大家不希望看到的数据信息搜集出来,最后得出最优解决办法。我们在24小时内可以解决任何恶意袭击。但如果你不能很快作出反应,袭击者便有很长时间都可以待在你的网络中,这样他们造成的损失就会更大。”
微软全球执行副总裁沈向洋认为,安全与信任越来越重要。“随着信息技术发展,我们正迎来第四次工业革命,它将主要围绕三类技术展开。第一类技术是物质领域的发展,包括新型材料、无人驾驶汽车、机器人、3D打印等;第二类是生物领域的持续发展,其中基因测试与基因工程等技术不仅有助于人类健康,还能有助于农牧业发展;第三类是数字技术的发展,数字化的技术将影响每个人。因此,可信任的技术和安全是我们迈向第四次工业革命的基础。”沈向洋说,过去,我们将物理空间与数字世界分离,现在我们知道数字世界正在改变我们的物理生活。当今世界,没有网络安全就没有国家安全,我们不仅生活在一个技术多样化的世界,也生活在一个对互联网安全提出挑战的时代。
技术驱动融合创新 信息安全迎智能时代
对于信息技术中长期发展的趋势,工业和信息化部原副部长杨学山认为信息技术将体现出四个方面的特点。目前传输和处理技术正在走向成熟期,支撑其发展的物理技术、物理极限正在到来。在经济社会各个领域的应用,也已经到了或正在触及天花板。在可预见的时间内,大体上看不到有新的技术来替代它。但成熟不代表完成,仍有创新点。感知和行为技术则正处于快速发展期。他认为,感知技术是起点,行为技术是终点。如何使得行为技术能够像人的大脑指挥手脚一样成熟,我们还缺乏理论基础的支撑。而内容技术,也就是大家熟悉的大数据技术,则发展程度不均。
第5篇:网络空间安全基础知识范文
笔者近年供职于中国信息安全研究院,深入参与了国家网络安全顶层设计和标准编制等工作,目睹了国际和国内网络安全政策、产业和技术的重要变革,对产业政策、产业现状和需求,以及网络安全技术体系进行了深入研究。本文结合近年工作经验与高教研究,以打造网络安全体系性人才为目标,对网络安全专业的教学特点、教学内容、教学方法和考核方式等进行了一系列探索。
一、网络安全专业的教学特点
网络安全专业涉及范围广,涵盖了计算机、通信、电子、数学、生物、法律、教育和国际贸易等多学科内容,属知识密集型专业,具有很强的专业性、广泛性和实践性,随着物联网、云计算、大数据等新技术新应用的出现,网络安全专业的特点更加突出。
1.内容涉及范围广。网络安全专业涉及信息系统软硬件的本质安全,以及应对网络威胁、数据传输等方面的动态过程安全,在安全访问领域涉及密码学和生物学等,在网络安治理方面涉及法律学,在网络安全服务方面涉及教育学和管理学等,WTO第二十一条“国家安全例外”等内容涉及国际贸易学。
2.知识和技术迭代速度快。网络安全由传统意义上的信息安全演变而来。狭义的信息安全重点关注内容安全,即确保信息的完整性、可用性和保密性。随着新技术新应用的层出不穷,异构信息系统和复杂多变的网络威胁带来了新挑战。除具备网络安全基础知识和技能以外,了解和掌握更多新技术知识是网络安全专业对学生提出的新要求。
3.对实际操作能力要求高。网络安全对实践操作能力有很高要求,构建具有本质安全的自主可控软硬件系统需要丰富开发经验和集成适配能力。应对复杂多变的网络安全威胁,需要提前具备应急响应和灾难恢复能力;面对国际贸易中技术壁垒的挑战,需要深入研究国际贸易保护下的信息安全产业和政策竞争策略等。
二、教学内容设置
对于网络安全专业学生和非网络安全专业学生,在设置网络安全专业课程和教学内容时应予以区分,以使不同发展方向的学生在毕业以后将在校期间学习的知识充分发挥,适应未来职位对其知识储备的差异化需求。
(一)网络安全专业学生
网络安全涵盖本质安全和动态过程安全两大部分。对于网络安全专业的学生,在教学内容设置上,应鼓励学生通过理论和实践,构建网络安全体系观念,并依据个人爱好,深耕具体技术方向,使网络安全专业毕业生具备顶层大局观和技术优势。
1.本质安全方向。近年来,“棱镜门”等事件充分说明美国政府可利用其全球大型IT或互联网企业的技术、产品和服务,甚至对产品植入后门,来窃听、窃取各国数据和信息,这促使我国政府和产业界高度重视本质安全。本质安全涉及包括CPU、芯片、操作系统、数据库、整机、网络设备等软硬件技术产品的自主研发,目前我国党政军和“8+2”对以上技术产品渴求度很大,人才队伍建设亟待加强,因此在课程内容应增强核心硬件和基础软件知识的普及力度,使学生在本质安全基础理论、产品设计和集成适配等方面有所突破。
2.过程安全方向。学习了本质安全相关知识后,就可了解如何构建一个相对完整、安全的信息系统,但在信息系统运行过程中,还需要针对系统构建运维服务体系,从加强整个信息系统的安全性和健壮性。过程安全相关的教学内容包括容灾备份、追踪溯源、安全访问等技术,在过程安全教学内容中,可以以聚合式的思维来教授相关知识,以使学生具备完整的运维服务体系思维。 (二)非网络安全专业学生
1.专业与网络安全有交互的学生。本部分以涉及网络安全的国际贸易和法律专业为例,阐述如何面向专业与网络安全有交互的学生进行教学。
对于国际贸易专业学生,引导学生加强国际IT贸易问题研究,特别是WTO第二十一条“国家安全例外”,即从国家安全考量出发,深入研究世界主要国家限制其他国家企业在其本土投资的案例,以及外国企业如何规避WTO限制,在我国广泛开展IT投资,总结国际贸易争端经验,为未来围绕“技术性贸易壁垒”的国际贸易纠纷做好充分准备。
对于法律专业学生,鼓励学生加强《中华人民共和国网络安全法》法理研究,深入学习互联网治理和网络安全相关法律和法规,培养网络安全法人才,为党政军和相关产业提供网络安全法律力量支撑,提升国家和企业的国际竞争力。
2.其他专业学生。对于其他专业学生,设置网络安全知识普及课程,通过案例分析和实践体验等手段,培养学生安全使用互联网的习惯,提升网络安全意识,了解和掌握网络安全防范和处理基本方法,巩固意识形态,促使学生做到文明上网、安全使用、加强防护,构建和谐清朗网络空间。
三、创新教学方法
教学方法和理念因学校和教师的不同而千差万别。总的来看,现代教学方法秉承以学生为主体、互动教学和构建体系化知识三项原则[1],重视创新性和突破性,符合新时代和新形势对我国高等教育提出的要求。本节结合网络安全专业的特点,总结了三个面向该专业的创新教学方法。 (一)教法和学法结合
网络安全专业涉及范围广且实践性很强,因此在教学方法上需要创新,将教法和学法进行有机结合,构建学生的理论和技术体系,提高实践能力。
PPT教授法。教师精炼教材重点,利用互联网和多媒体手段,将要点和案例以图文并茂的PPT展示,并结合课堂上的口头表述将知识展现给学生。比如利用信息系统模拟工控系统运行环境,利用DDOS进行持续攻击,使学生从各生产节点和控制系统观察受攻击时的状态,调动学生的注意力,加深学生的印象,使学生随着教师思路来学习。
互动提问法。在课堂上利用互动提问法可启发学生的思维,调动学生积极性和学习热情,促进学生提高注意力和快速学习到重要知识点,避免无精打采或溜号走神等现象发生。同时,提问法给学生提供了讨论、发表个人观点的机会,也促进了学生表达能力的提升。比如讲到构建本质安全信息系统时,可以首先向学生提问,构建该系统需要具备什么样的要素,请学生总结自己认为的具有本质安全信息系统的构造,以此增加师生间的互动,培养探究意识和发现问题的敏感性。
分组发表法。将学生分组并布置特定研究方向,鼓励学生利用互联网资源来获取知识、查找案例,并编制集文字、图片和视频等素材为一体的PPT,在课堂上进行发表,通过教授的点评和同学的提问促使学生深入了解该方向内容,做到专;通过聆听其他组的同学做发表,可以了解其他人的研究成果,并可通过课堂提问和课下交流来深入了解其他网络安全技术知识,做到广。例如学习网络安全政策时,可组建学生小组,基于学生网络安全基础技术和知识,深入研究包括FedRAMP、美关键基础设施保护总统令或国防部云计算安全指南等网络安全政策,并在课堂上做发表,与师生共同分享和研讨美国的网络安全治理经验。
(二)传统授课和网络授课结合
目前,采用传统教学模式依然是我国教育的主要方式,作为“以教师为中心”的课堂教学模式,传统授课模式通过教师在课堂上当面将知识教授给学生,可以促进有意义的学习、加深学生的理解和记忆,也有利于未来对知识的提取。而网络授课的教学模式在传统课堂教学模式的基础上融合了互联网的优势,该模式相较传统教授模式具有更好的灵活性、互动性和广泛性。特别是对于教师资源相对匮乏的地域,可以依托互联网基础设施,通过网络授课的模式将发达地区的优质教育资源引入到地方课堂,使学生享受到公平的先进的网络安全教育资源。
(三)注重实训体系建设
依托网络安全企业或其他专业机构建设网络安全实训基地,与高校等人才培养单位联合,对网络安全专业学生进行实践技能训练。实训基地对于我国网络安全人才培养具有重要意义。首先,实训基地可解决我国网络安全人才培养和使用相“脱节”、学生实际动手能力严重不足等问题。其次,实训基地涵盖技术、战略、法规等多个领域,有利于培养跨学科、复合型人才。
实训基地培训既要涵盖网络安全技术,也要涵盖网络安全战略规划和法律标准等。针对网络安全专业的不同研究方向,有针对性地分类建设攻防、追踪溯源、容灾备份、安全测评、自主可控等实训场景;针对网络安全战略规划,针对性地研究世界主要国家网络安全战略规划,分析各国目前网络安全现状和未来发展重点;针对法律标准,深入研究WTO“国家安全例外”、 中美网络安全相关标准,为未来工作找到技术和法律依据。
四、改进考核方式
按照网络安全专业的特点,学生除了具备相应专业基础知识以外,还需要具备很强的实践能力。诸如学生出勤率、课堂表现、作业完成情况、参加实验和完成实验情况和考试成绩等传统的考核方式不能完全评判学生实际能力,还需增加对学生实践能力的考核,同时分配好各项考核要素权重。传统考核方面,鉴于出勤不一定认真听课,因此可将出勤率和课堂表现考核结合,作业和实验完成情况相结合,再辅以笔试,这样可以较好地评判学生对网络安全知识了解程度。实践考核方面,加强网络安全关键环节的考核内容,传统网路安全专业考核主要是以编程为主。面对新形势,实践考核可针对网络安全体系中的关键节点进行实践考核,例如对持续监控和处理信息系统网络安全问题的综合能力进行考核,增强学生网络安全的系统性实践能力。
在教育部提出加强网络空间安全专业建设的新形势下,网络安全学科建设应以培养具有网络安全体系化思维人才为导向,对不同专业的学生采取差异化授课的方式,并结合创新性教学方法和考核机制,来提升专业人才培养效果,为国家安全提供基础性和专业性人才保障。
第6篇:网络空间安全基础知识范文
1.簇式知识点
什么是簇?文件系统是操作系统与驱动器之间的接口,当操作系统被请求从读取一个文件硬盘里时,相应的文件系统会请求(如FAT 12/24/NTFS)打开文件。磁盘最小的物理 存储单元 是扇区,但由于操作系统无法对数目众多的扇区进行寻址,所以操作系统就将相邻的扇区组合在一起,形成一个簇,然后再对簇进行管理。显然,簇是操作系统所使用的逻辑概念,而非磁盘的物理特性。为了更好地管理磁盘空间和更高效地从硬盘读取数据,操作系统规定一个簇中只能放置一个文件的内容,因此文件所占用的空间,只能是簇的整数倍;而如果文件实际大小小于一簇,它也要占一簇的空间。
我所提出的簇式概念就是模糊的引入了物理概念,将交互式的知识相对独立的,强制性的分类,因为学员的知识水平还不足以面对复杂的计算机多学科知识融合,簇式分类不但不会下降学员的创造力,反之会令其对知识体系分型产生清晰,准确的概念。
2、计算机科学中的数学理论簇
计算机学科最基本的基础簇就是数学理论簇。计算机硬件制造的基础是电子 科学 和技术,计算机系统设计、算法设计的基础是数学,所以数学和电子学知识是计算机学科重要的基础知识。计算机学科在基本的定义、定理、公理和证明技巧等很多方面都要依赖数学方法和数学知识。数学是利用符号语言研究数量、结构、变化以及空间模型等概念的一门学科。数学, 反映了人们积极进取的意志、缜密周详的逻辑推理及对完美境界的追求, 成为人类思维的表达形式。而现代计算机发展遇到了很大的瓶颈就是理论数学的发展出现了滞后。计算机直接能识别的语言仍然是0、1二进制代码。数学更多的是一种抽象的概念是一门重要的工具学科。人类利用一些固定的定律形成理论及抽象的概念,而人类发展学习的初衷并不是脱离实际应用的概念,而是利用它们来指导数学,化抽象为实体。而计算机就由此演化。计算机数学理论簇是计算机技术首先要学习的。它大概可分类为:高等数学,线性代数,概率论,数理统计。
高等数学。高等数学主要包含函数与极限、 微积分 、导数与微分、微分中值定理与导数的应用、不定积分、定积分及应用、空间解析几何与向量代数、多元函数微分法及其应用、重积分、曲线积分与曲面积分、无穷级数、常微分方程。一般以微积分学和级数理论为主,各种微积分的运算正是计算机运算的基础。
线性代数。线性代数主要包含行列式、矩阵及其运算、矩阵的初等变换与线性方程组、向量组的线性相关性、相似矩阵及二次型、线性空间与线性变换。
概率论。概率空间,随机变量与概率分布,随机向量、抽样分布、数字特征与特征函数,随机极限理论,随机过程,随机分析,应用概率论,回归分析金融数学等。概率论是研究随机现象客观规律并付诸应用的数学学科,处理随机现象的基本方法和思想,培养解决实际问题的能力。
数理统计。样本 及 抽样 分布; 假设检验 , 参数估计 , 方差分析 及 回归分析 , 是数学系各专业的一门重要课程。应用概率论的结果更深入地分析研究 统计资料 ,通过对某些现象的 频率 的观察来发现该现象的内在规律性,并作出一定精确程度的判断和预测;将这些研究的某些结果加以归纳整理,逐步形成一定的 数学 概型,这些组成了数理统计的内容 样本 及 抽样 分布;数理统计预备知识:概率论 、 线性代数 、 数学分析 。
3、计算机科学中的计算理论簇
计算理论是关于计算和计算机械的数学理论。计算机程序设计主要包括如: 汇编语言,C语言、,JAVA、编译语言,的基本概念、顺序结构程序设计、循环结构设计、分支结构程序设计、结构、函数、数组、指针、联合以及枚举类型、编译预处理、位运算、文件等内容,掌握和利用各种编程语言,进行各种程序设计的基本方法,以及编程技巧。计算理论是编程的核心,数学运算又是编程的基础。包括:算法是解题过程的精确描述,算法学是系统的研究算法的分析, 设计与验证的学科,计算复杂性理论是用数学方法研究计算机各类问题的复杂性学科,可计算性理论是指研究计算的一般性质的数学理论,自动机理论是以研究离散数字系统的结构和功能以及两者之关系为主要内容的数学理论,形式语言理论是用数学方法研究自然语言和人工语言的融合性语法理论[1],计算几何学是研究几何外形 信息 的计算机数字化表示。计算理论的形式化方法是建立在严格数学运算上的软件开发方法。软件开发的过程中,从需求分析, 设计,规约,编程,程序系统集成,测试,软件生成,维护各个阶段,都是采用严格的数学语言,并且具有精确的数学语义的方法[2]。并行计算问题是 “同时执行”多个计算程序。延伸学科有: 并行程序设计语言、并行编译程序、并行算法、并行处理系统、并行数据库。
4、计算机科学中的数据库簇
数据库指的是以一定方式储存在一起、具有尽可能小的 冗余度 、能为多个用户共 享 、与应用程序彼此独立的数据 集合 。是存放二级 存储器 中的数据集合[3],并且依照某种 数据模型 组织。 数据结构 独立于使用它的 应用程序 ,对数据的删、增、改和检索由数据库 软件 进行管理和控制。内容包括数据整体,数据共享,基本结构,数据库的基本结构分三个层次,⑴物理 数据层 。⑵概念 数据层 。⑶逻辑 数据层 。主要特点:⑴实现数据共享。⑵减少数据的冗余度。⑶数据的独立性。⑷数据实现集中控制。⑸ 数据一致性 和可维护性,以确保数据的安全性和可靠性。⑹故障恢复。数据种类[4]分为:层次式数据库、网络式数据库和关系式数据库三种。
5、计算机科学中的网络簇
计算机 网络(computer networks)从整体上来说计算机网络就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的系统,从而使众多的计算机可以方便地互相传递信息,共享 硬件 、软件、数据信息等资源。是一些相互连接的、以 共享资源 为目的的、自治的计算机的集合。另外,从 逻辑 功能上看, 计算机网络 是以传输信息为 基础 目的,利用 通信线路 将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来[5],以功能完善的网络软件及协议实现资源共享和信息传递的系统。它是一个能为用户自动管理的网络 操作系统 。由它调用完成用户所调用的资源。它可以按连接定义,按需求定义, Internet 的基础结构大体经历了三个阶段的演进,从单个网络ARPAnet向互联网发展,建立三级结构的因特网,多级结构因特网。大致可分为五个接入级[6]:网络接入点NAP,多个公司经营的国家主干网,地区ISP,本地ISP,校园网、企业或家庭PC机上网用户。它可以从事资源共享(resource sharing),强大的通信媒介(communication medium), 电子商务 活动,移动用户的无线网络,组成分类包括计算机、网络操作系统、传输介质、应用软件四部分。各种网络类型划分为局域网、城域网、广域网和互联网四种。为了减少网络协议设计的复杂性,计算机网络中用于规定信息的格式以及如何发送和接收信息的一套规则称为网络协议(network protocol)或通信协议(communication protocol)。绝大多数网络采用分层设计方法。将网络的整体功能分解为一个个的功能层[7],不同机器上的同等功能层之间采用相同的协议,同一机器上的相邻功能层之间通过接口进行信息传递。在整个过程中,主要涉及到了三个子系统、即用户子系统,邮政子系统和运输子系统。同一计算机的不同功能层之间的通信规则称为接口( i n t e r f a c e),在第N层和第(N+ 1)层之间的接口称为N /(N+ 1)层接口。总的来说,协议是不同机器同等层之间的通信约定,而接口是同一机器相邻层之间的通信约定。常用网络以太网(Ethernet)、令牌网(Token Ring)、FDDI网、异步传输模式网(ATM)、无线局域网等几类,按传输介质划分为有线网,光纤网,无线网。按数据交换方式划分为 电路交换 网,报文交换网,分组交换网。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http://总第539期2014年第07期-----转载须注名来源按通信方式划分为广播式传输网络,点到点式传输网络。按服务方式划分为客户机,服务器网络,对等网。
6、计算机科学中的信息安全簇
计算机信息安全分为广义安全与狭义安全两个层次,广义的信息安全是从传统的计算机安全到信息安全,是对安全发展的延伸,不是单纯的技术问题,而是将技术、管理、法律等应用于 计算机 、 通信 、 电子商务 、 电子政务 、 电子金融 等领域问题相结合的产物。狭义的安全是建立在以密码论为基础的计算机安全领域。专业基础主要集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构,数据通信原理、计算机网络安全管理、信息安全概论、网络安全检测与防范技术、病毒机制与防护技术、数字鉴别及认证系统、防火墙技术、网络安全协议与标准等。实现目标是保证计算机数据真实性,保密性,完整性,可用性,不可抵赖性,可控制性,可审查性。安全威胁主要是信息泄露,破坏信息的完整性,拒绝服务,非法使用(非授权访问),窃听,业务流分析,假冒,旁路控制,授权侵犯,特洛伊木马,陷阱门,抵赖,重放,计算机病毒,人员不慎,媒体废弃,物理侵入,窃取,业务欺骗。主要来源为自然灾害、意外事故;计算机犯罪;人为错误;"黑客" 行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷;嗅探[8]。策略是指DG图文档加密,能够智能识别计算机所运行的数据,自动强制对所有数据进行加密操作,先进的信息安全技术,用户对自身面临的威胁进行风险评估,严格的安全管理,企业和单位应建立相应的网络安全管理办法,制订严格的法律、法规。
7、计算机科学中的人工智能簇
计算机人工智能技术研究 Artificial Intelligence and Robotics Research 是前沿的研究领域,内容包括:智能机器人,机器翻译,模式识别与智能系统,语音识别与合成,虚拟现实技术与应用,系统仿真技术与应用,计算机神经网络,工业过程建模与智能控制[9],知识发现与机器学习,智能计算与机器博弈,人工智能理论,计算机感知,图像处理与计算机视觉,建筑智能化技术与应用,状态空间表示,知识推理技术,模糊逻辑技术,神经网络技术,专家系统,机器学习,群集智能[10]。
8、计算机科学中的应用簇
计算机应用 技术,Technology of Computer Application,对各种软件的各种设置属性和功能有足够的应用能力,可以驾驭 计算机 高效率的为不同人群提供需要的各种服务。主要包括: 计算机 软硬件技术基础、Linux 操作系统 、 微型计算机 安装调试维修、 工程经济 、 数据结构 与C 程序设计 、 数据库系统 SQL、 计算机辅助设计 、单片机原理与技术、 多媒体 软件应用、高级语言汇编、VB. net程序设计、计算机网络与网站建设、Delphi程序设计、图形图像应用处理(PhotoShop)、 Java语言程序设计 、Flas制作、办公室软件应用操作。
第7篇:网络空间安全基础知识范文
全国人民代表大会常务委员会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告
——2017年12月24日在第十二届全国人民代表大会常务委员会第三十一次会议上
全国人大常委会副委员长王胜俊
全国人民代表大会常务委员会:
网络安全事关党的长期执政,事关国家长治久安,事关经济社会发展和人民群众切身利益。强调指出,没有网络安全就没有国家安全,没有信息化就没有现代化。全国人大常委会高度重视网络安全工作,2012年12月审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2016年11月审议通过《中华人民共和国网络安全法》(以下简称“一法一决定”)。根据2017年监督工作计划,全国人大常委会执法检查组于2017年8月至10月对“一法一决定”的实施情况进行了检查。现在,我代表执法检查组向常委会作报告。
一、执法检查的工作情况
网络安全法是今年6月1日开始施行的。一部新制定的法律实施不满3个月即启动执法检查,这在全国人大常委会监督工作中尚属首次。张德江委员长十分重视这次执法检查,作了重要批示,指出:网络安全事关国家长治久安,事关经济社会发展和人民群众福祉。全国人大常委会在网络安全法实施当年就开展执法检查,要贯彻落实关于“要树立正确的网络安全观”的重要指示精神,督促有关方面进一步加强法律宣传,增强全社会网络安全意识,抓紧配套法规政策制定,确保法律有效实施,着力提升网络空间治理水平,切实维护国家网络空间安全和人民群众合法权益。希望检查组精心组织好这次执法检查,坚持问题导向,务求取得实效。根据张德江委员长的批示精神,内务司法委员会、财政经济委员会、教育科学文化卫生委员会和常委会办公厅等单位反复研究,确定了这次执法检查的五个重点:一是开展法律宣传教育的情况;二是制定配套法规规章的情况;三是强化关键信息基础设施保护及落实网络安全等级保护制度的情况;四是治理网络违法违规信息,维护网络空间良好生态的情况;五是落实公民个人信息保护制度,查处侵犯公民个人信息及相关违法犯罪的情况。
8月25日,执法检查组召开第一次全体会议,传达张德江委员长的重要批示。会议听取了国家互联网信息办公室、工业和信息化部、公安部、国家新闻出版广电总局、最高人民法院关于“一法一决定”贯彻实施情况的汇报,教育部、科技部、交通运输部等单位提交了书面汇报材料。
根据安排,王晨副委员长兼秘书长、沈跃跃、张平、万鄂湘、陈竺副委员长和我六位副委员长参加这次执法检查。检查组赴内蒙古、黑龙江、福建、河南、广东、重庆等6省(区、市)进行检查,期间,检查组听取了有关省、市、县政府的汇报,先后召开30余次座谈会,实地考察了部分网络安全指挥平台和关键信息基础设施运营单位。另外,还委托12个省(区、市)人大常委会对本行政区域“一法一决定”实施情况进行检查。
为了深入了解“一法一决定”实施情况,这次执法检查在方式方法上作了一些新的尝试:一是请第三方专业机构参与。9月上旬至10月中旬,检查组在实地检查的6个省(区、市)各选取20个重要信息系统,委托中国信息安全测评中心进行漏洞扫描和模拟攻击,并就所检测系统的网络安全情况出具专业检测报告。检查组还委托中国青年报社社会调查中心就“一法一决定”中与公众关系密切的10个方面的问题,在全国31个省(区、市)进行了民意调查,出具了调查报告。共有10370人参与这次调查。第三方机构的有序参与,增强了本次检查的专业性、权威性和客观公正性。二是专家参与。考虑到网络安全专业性较强,执法检查期间,检查组先后从国家信息技术安全研究中心等单位聘请21名网络安全专家和长期从事网络安全工作的专业技术人员参加检查,为检查组提供技术支持,增强检查的针对性和实效性。三是随机抽查。各检查小组均按检查方案要求,随机选取若干关键信息基础设施运营单位,在不打招呼的情况下进行临时抽查。6个检查小组共对13个单位进行了随机抽查。远程检测的120个重要信息系统也均由执法检查组随机选取,在运营单位不知情的情况下完成检测。
二、贯彻实施“一法一决定”的做法和成效
近年来,各级党委政府认真组织学习系列重要讲话和关于网络安全的重要论述,深入贯彻中央关于“建设网络强国”的战略部署,把网络安全纳入经济社会发展全局来统筹谋划部署,大力推进网络安全和网络信息保护工作,法律实施取得了积极成效。
(一)深入开展宣传教育,增强网络安全意识
一是把增强全民网络安全意识作为基础工程。国家互联网信息办公室、工业和信息化部、公安部等9部门连续四年组织开展网络安全周和主题日宣传活动,每年活动期间组织的讲座论坛等都超过1万场次,年均覆盖人数约2亿人。网络安全法颁布后,各地均通过报刊杂志、电台电视台、门户网站、政务微信微博等,对法律核心内容进行宣传解读。二是加强重点单位、重点行业法律宣传教育。工业和信息化部将学习“一法一决定”情况纳入各基础电信运营企业的年度考核指标,并组织百度、阿里、腾讯等重点互联网企业开展学习。公安部组织全国公安机关、200多个中央部委和中央企业、260多家信息安全企业相关人员进行集中学习。国家新闻出版广电总局组织开展了网络安全知识技能练兵和竞赛活动。内蒙古、黑龙江等省(区)对重点单位、重点行业负责网络安全的业务骨干进行了重点培训。三是紧紧抓住领导干部这个关键少数,把提升领导干部的网络安全意识作为重中之重。广东、福建等地通过举办领导干部网络安全和信息化专题研讨班等形式,推动领导干部率先知法懂法用法。交通运输部党组成员带头学习,并举办了“交通运输网络安全局级领导专题培训班”,教育部举办了教育系统网络安全培训班,对各省级教育行政部门、直属高校、部直属机关负责人进行专题培训。四是加强重点人群宣传教育。各地把青少年网民作为普法重点,开展了“网络安全进校园、进家庭”、“争做四有好网民”等活动,引导广大青少年依法、文明、健康上网。
(二)制定配套法规政策,构建网络安全制度体系
为配合“一法一决定”实施,近年来,国务院相关部门出台了《国家网络空间安全战略》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》《电话用户真实身份信息登记规定》《新闻出版广播影视网络安全管理办法》《公共互联网网络安全突发事件应急预案》等配套规章、规划和政策文件。国家互联网信息办公室会同有关部门出台了《关于加强国家网络安全标准化工作的若干意见》,加快了网络安全国家标准制定工作,目前已198项网络安全国家标准。最高法院、最高检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。一些省份也开展了配套法规立法工作,内蒙古自治区人大常委会制定了《计算机信息系统安全保护办法》,福建省人大常委会通过了《福建省电信设施建设与保护条例》,广东省人大常委会出台了《关于落实电信用户真实身份信息登记制度的决定》,黑龙江省人大常委会制定了《工业信息安全管理条例》。重庆市坚持网络安全与信息化发展并重,加强电子政务制度建设,完善了政府网站管理制度。一系列配套法规、规章和政策文件出台,助推了“一法一决定”的贯彻实施。
(三)提升安全防范能力,着力保障网络运行安全
一是强化关键信息基础设施防护。2016年,国家互联网信息办公室等部门组织开展了关键信息基础设施摸底排查工作,对1.1万个重要信息系统安全运行状况进行抽查和技术检测,完成了对金融、能源、通信、交通、广电、教育、医疗、社保等多个重点行业的网络安全风险评估,提出整改建议4000余条。二是开展网络基础设施防护工作。工业和信息化部开展了网络基础设施摸底工作,全面梳理网络设施和信息系统,目前全行业共确定关键网络设施和重要信息系统11590个。2017年以来,监督抽查重点网络系统和工业控制系统900余个,通知整改漏洞78980个。三是深入推进网络安全等级保护。已累计受理备案14万个信息系统,其中三级以上重要信息系统1.7万个,基本涵盖了所有关键信息基础设施。同时,对纳入等级保护的信息系统开展常态化检查,近年来累计发现整改各类安全漏洞近40万个。四是建立通报预警机制。公安部牵头建立了国家网络安全通报预警机制,通报范围已覆盖100个中央党政军机构、101家央企、31个省(区、市)和新疆生产建设兵团,各地也都建立了网络安全与信息安全通报机制,实时通报处置各类隐患漏洞。教育部建立了教育系统重要网站和信息系统安全监测预警机制,已累计通报处置安全威胁3.5万个。五是积极开展网络安全协调联动平台建设。国家互联网信息办公室牵头建立了关键信息基础设施应急技术支持和协助机制,不断提升关键信息基础设施整体应急反应能力、安全保障能力和协调联动能力。六是大力开展网络安全专项整治工作。公安部会同有关单位组织开展了大型互联网企业专项保卫行动、网站安全和互联网电子邮件安全专项整治行动,发现整改了一批网络安全深层次问题和隐患。
(四)治理违法违规信息,维护网络空间清朗
各地各有关部门认真落实法律要求,扎实做好网络意识形态工作,坚决清理各类违法违规信息。通过开展“扫黄打非”、“剑网”等系列行动,对互联网站、应用程序、论坛、博客、微博、公众账号、即时通讯工具、网络直播中宣扬恐怖暴力、淫秽色情等信息及时清理。2015年以来,国家互联网信息办公室等部门依法约谈违法违规网站2200余家,取消违法违规网站许可或备案、关停违法网站13000多家,有关网站按照用户服务协议关闭违法违规账号近1000万个,对网上各类违法行为形成有力震慑。中国青年报社社会调查中心提供给检查组的万人调查分析报告(以下简称“万人调查报告”)显示,在参与调查的10370人中,超过90%的受访者对治理成效给予肯定,其中有63.5%的人认为近年来网络上危害国家安全、宣扬恐怖暴力、淫秽色情等违法违规信息明显减少。法律实施主管部门还建立了网络信息巡查机制和公众举报平台,及时清理违法违规信息。重庆等地重视加强网络内容建设,积极创作优秀网络作品,做强网上正面宣传。
(五)加强个人信息保护,打击侵犯用户信息安全违法犯罪
全面落实网络接入(网站备案和域名/IP地址)、固定电话、移动电话实名制办理要求,凡用户不提供真实信息的,运营者不再为其提供相关服务。五年来,组织电信企业对3亿多未实名的老用户进行补登记,对拒不补登记的1000余万用户依法暂停提供服务。为确保用户信息安全,有关部门指导各网络运营单位进一步强化了内控管理制度,要求对批量导出、复制、销毁信息等重大操作的申请、使用和有效期实行严格管理,从工作流程上防止用户信息的批量泄露。河南省加强对保存用户信息关键系统的安全防护,提升防止黑客攻击能力。针对侵犯用户个人信息犯罪高发态势,公安部部署开展专项打击行动,在31个省(区、市)和新疆生产建设兵团公安机关建立了反诈骗中心,统筹协调打击利用公民个人信息实施的电信网络诈骗犯罪,近两年,共侦破侵犯个人信息犯罪相关案件3700余起,抓获犯罪嫌疑人11000余名。2014年至2017年9月,全国法院共审理利用网络侵犯公民个人信息犯罪案件1529件,取得了较好的法律效果和社会效果。
(六)加大支持力度,推进网络安全核心技术创新
为落实网络安全法“扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和利用”等要求,科技部会同国家互联网信息办公室共同编制了专项研究计划,立足网络空间安全发展现状,围绕提高我国关键信息基础设施和数据安全的防护能力、支撑网络空间可信管理和数字资产保护、提升网络空间防护能力等目标,确立若干重点研究方向。为了加大对网络安全技术研究开发和应用的支持,科技部、工业和信息化部等部门,在“十三五”国家重点研发计划中优先启动了“网络空间安全重点专项”,投入国拨经费13.84亿元,系统部署了47项研究任务,力争到2020年,基本形成自主可控的网络空间安全核心技术体系。另外,在“科技创新2030——重大项目”中,也将优先安排一批网络空间安全重大研究项目,为提升我国信息监管、泄密窃密防范、网络防御等提供技术支持。教育部创新网络安全人才培养模式,增设了网络空间安全一级学科,与有关部门共同下发了《关于加强网络安全学科建设和人才培养的意见》,启动了一流网络安全学院建设示范项目,为网络安全技术创新提供人才支持。
三、工作中存在的困难和问题
从检查情况看,各地在贯彻实施“一法一决定”、维护网络安全方面还存在一些困难和问题。
(一)网络安全意识亟待增强
许多关键信息基础设施运营单位对网络安全的重要性认识不到位,认为受到网络攻击只是小概率事件,对可能受到的网络攻击的危害性缺乏认知。在信息化方面“重建设、轻安全;重使用、轻防护”,缺乏主动防御意识,不愿在安全防护方面进行必要投入;在处理业务信息系统可用性和安全性的关系时,往往更重视可用性,在二者有冲突时,往往会降低安全性要求。不少地方政府和部门领导干部不能从国家安全的高度认识网络安全,没有把网络安全工作列入本级政府和部门工作重要议程,或者只是口头上重视,“说起来重要,干起来次要,忙起来不要”。社会公众网络安全意识总体不强,“万人调查报告”显示,有55.4%的受访者认为,他们身边的许多人缺乏网络安全意识,对网络安全“知其然不知其所以然”。
(二)网络安全基础建设总体薄弱
一是网络安全态势感知平台建设滞后。网络安全风险具有很强的隐蔽性,感知安全态势是做好网络安全最基本最基础的工作。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。但不少省份尚未启动网络安全态势感知平台建设,不能实现对重要信息系统网络安全风险的全天候实时、动态监测。二是容灾备份体系建设总体滞后。不少关系国计民生的关键信息基础设施运营单位没有按照法律规定对重要数据进行异地容灾备份,而仅仅采取了一些简单的数据备份措施,有的甚至尚未进行过容灾备份,不能有效应对重大网络安全风险。在有些省份,多数重要信息系统未按法律要求进行异地容灾备份。三是重要工业控制企业的设备和控制系统国产化程度有待提高。一些重要工控企业对外国技术依赖严重,不仅生产控制系统由国外公司建设,配套的网络及安全设备也采用国外产品,网络及安全设备的配置由外方人员操控,企业内部人员甚至不掌握安全设备配置和管理权限。在有的省份,重要工控企业的生产控制系统国产化率不足20%。四是应急预案流于形式。有的网络安全应急预案侧重于设备设施障碍的排除,针对网络攻击、信息泄露等网络空间安全事件的内容较少;有的应急预案缺乏可操作性;有的应急预案长期未修订,已不能应对当下的网络安全事件;许多单位由于应急演练相关条件不足,未真正举行过应急演练;不少地方和行业用于解决网络安全问题的经费不足,发现了问题后,往往因经费缺乏不能及时解决。
(三)网络安全风险和隐患突出
为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。该中心出具的报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。执法检查组现场抽查时发现,许多单位没有依照法律规定留存网络日志,这可能导致发生网络安全事件时无法及时进行追溯和处置;有的单位从未对重要信息系统进行风险评估,对可能面临的网络安全态势缺乏认知。检查还发现,在许多单位,内网和专网安全建设没有引起足够重视,有的单位对内网系统未部署任何安全防护设施,长期不进行漏洞扫描,存在重大网络安全隐患。随着各地区各领域信息化建设的推进,各行业各领域数据化、在线化、远程化趋势更加明显,对网络安全提出了更高要求。
(四)用户个人信息保护工作形势严峻
“万人调查报告”显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想:有52.1%的受访者认为,法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般;有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”;有52.5%的人认为执法部门保护用户信息的成效一般或者不好,不少人反映,在发现本人信息被泄露或者被滥用后,举报难、投诉难、立案难现象比较普遍。许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。检查发现,有的互联网公司和公共服务部门存储了大量公民个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用。一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露。当前在一些地方,利用网络非法采集、窃取、贩卖和利用用户信息已形成黑色产业链。从公安部门近期破获的案件看,用户信息泄露呈现渠道多、窃取违法行为成本低、追查难度大等特点,而且违法分子使用的手段不断升级,因用户信息泄露引发的“精准诈骗”案件增多,给人民群众财产安全造成严重危害。
(五)网络安全执法体制有待进一步理顺
网络安全监管“九龙治水”现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。“万人调查报告”显示,有18.9%的受访者反映,在遇到网络安全问题后,他们不知该向哪个部门举报和投诉,即使举报了也往往不予处理或者没有结果。参加座谈的多数网络运营单位反映,行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题,不同法律实施主管机关采集的数据还不能实现“互联互通”,经常给网络运营商增加额外负担。不少人认为,如果不能合理定位,准确厘清部门之间的职责,等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。另外,检查发现,城市轨道交通控制系统等工控系统网络安全管理责任边界不清,运营单位落实网络安全责任制存在困难;通信行业监管和行政执法力量严重不足,执法力量与当前网络安全事件频发多发的严峻形势不相适应。
(六)网络安全法配套法规有待完善
不少单位反映,作为网络安全管理方面的基础性法律,网络安全法不少内容还只是原则性规定,真正“落地”还有赖于配套制度的完善。比如,网络安全法虽然对数据安全和利用作了规定,但现实中数据运用比较复杂,数据脱敏标准、企业间数据共享规则等,仍然需要有关法规规章予以明确;网络安全法仅明确了关键信息基础设施运营者数据出境需进行评估,但其他网络运营者掌握的重要数据出境是否进行安全评估,尚待进一步明确。关键信息基础设施保护制度是网络安全法一项重要制度,但对于什么是关键信息基础设施、关键信息基础设施认定的标准和程序等,目前认识尚不一致,需要配套法规予以明确。关键信息基础设施如何进行年度检测评估、网络运营者和管理部门如何统一网络安全预警信息、如何扶持网络安全自主知识产权等,也有待于配套法规规章予以明确。
(七)网络安全人才短缺
参与调查的10370人中,有超过69%的受访者认为,所在单位或者熟悉的人中,能够熟练从事网络安全防护的专业技术人才较少,无法满足现实需要,其中有21.6%的受访者认为所在单位基本上无人熟悉网络安全防护技术。从检查的情况看,不管是经济发达地区还是相对落后地区,网络安全技术人才都比较匮乏,现有的网络运营单位技术人才多侧重于系统使用、操作维护,对网络安全风险的监控、应急处置和综合防护能力不足,难以适应保障网络安全的需要。有的关键信息基础设施核心业务系统虽然安装了防护系统,但由于缺乏高水平的安全技术人才,不能对安全软件进行升级和打补丁,从而使网络安全防护产品难以有效发挥作用。不少政府门户网站没有专门的网络安全技术人才,网站管理人员没有接受过系统的网络安全技能培训。另外,网络安全主管部门专业人才也明显不足。受到编制、职务、薪资等因素制约,许多地方网信、公安、通信管理、工信等单位往往招不到或留不住专业技术人才,一线执法人员的专业素养和技能难以胜任网络运行安全常态化监管执法职责。
四、几点建议
根据检查情况,检查组对进一步贯彻实施“一法一决定”提出以下建议。
(一)进一步提高对网络安全重要性的认识
在信息时代,网络空间已经成为继陆地、海洋、天空、外层空间之外,人类活动的第五空间,成为国家利益的新边疆和世界各主要国家战略博弈的新领域,网络安全对国家安全牵一发而动全身,已成为基础性、全局性的国家安全问题。党的报告强调,网络安全等非传统安全是人类面临的共同挑战之一,要坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,统筹外部安全和内部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全,完善国家安全制度体系,加强国家安全能力建设。要进一步深化对新形势下加强网络安全工作重要性的认识,不断增强贯彻落实网络安全法等法律法规的紧迫感和自觉性。法律实施主管机关和其他相关单位要结合工作实际,进一步加大对网络安全法的宣传培训力度,不仅让广大网络运营商、关键信息基础设施运营单位的相关人员能够熟知法律内容,还要以喜闻乐见的方式加强对社会公众的宣传,让广大公众认识到网络安全与自身的密切关系,增强全社会的网络安全意识。
(二)正确处理安全和发展的关系
强调指出,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要充分认识到互联网在国家管理、经济发展和社会治理中的作用,继续推进电子政务、电子商务、新型智慧型城市建设,不断推进技术融合、业务融合、数据融合,打通经济社会发展的信息“大动脉”。要按照网络安全法“坚持网络安全与信息化发展并重”的要求,坚持一手抓网络和信息化发展,一手抓网络安全,“两手抓,两手都要硬”。对于网络安全,既要重视传统的信息安全和意识形态安全,营造风清气正、正能量充沛的网络空间,也要高度重视攻防能力提升,有效防范网络攻击,切实维护网络信息系统安全。要科学制定不同行业、不同单位的网络安全标准,认真研究解决有些单位提出的“网络安全合规成本过高”的问题。鼓励和支持网络安全产业的发展,发挥社会力量的作用,提供安全的产品和服务。
(三)加快完善网络安全法配套法规规章
要加快《关键信息基础设施安全保护条例》《网络安全等级保护条例》的立法进程,对实践中大家普遍感觉难以把握的问题,如什么是关键信息基础设施、如何认定关键信息基础设施等作出明确规定,并对等级保护制度和关键信息基础设施保护制度落实过程中的部门职责进一步予以明确。网信、工信、公安等部门要尽快制定配套规章或者文件,细化法律中个人信息和重要数据出境安全评估、网络数据管理、网络安全监测预警和信息通报、网络安全审查、网络安全认证和安全检测结果互认等制度。此前已制定的一些行政法规和部门规章也应根据网络安全法的要求以及法律实施中遇到的新情况新问题,及时予以修改完善。根据防范和打击网络违法犯罪的需要,加强互联网刑事立法,研究制定网络违法犯罪防治法,推动网络违法犯罪行政处罚与刑事处罚的有效衔接。
(四)着力提升网络安全防护能力
一是加快网络安全态势感知平台建设。要整合各部门资源,建立统一的全天候网络安全感知平台,以更好地发现风险、感知风险,进而构建统一高效的网络安全风险发现机制、报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。二是依法组织开展风险评估。要尽快完善网络安全风险评估机制,加强对金融、能源、交通等重要行业和领域的评估,根据评估情况,适时调整网络安全工作方案和保护措施。三是定期组织应急演练。组织关键信息基础设施运营单位定期进行应急演练,使事关国家安全、关系国计民生的重要信息系统能够有效应对有组织的高强度网络攻击。四是要认真落实法律要求,加快关键信息基础设施数据的容灾备份建设,并定期开展灾备效果验证,提升信息系统的抗灾、减灾和恢复能力。要督促网络运营单位认真落实法律规定,依法留存网络日志。五是要加强网络安全保密保障体系建设,提升网络安全保密装备能力,推进网络安全保密技术保障基础设施建设。六是要大力推进国产化替代工程。加大技术研发力度,逐步提高重要工业企业信息控制系统的国产化率,提升关键信息基础设施和网络安全设备的自主可控能力。
(五)进一步加大用户个人信息保护力度
一是要加快个人信息保护法立法进程。通过专门立法,明确网络运营者收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。二是加强安全防护。强化数据安全监管手段建设,实施数据资源分级分类管理,推动大数据场景下的数据防窃密、防篡改、防泄露等安全技术的研发和部署。三是要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题。各地区各单位对某一事项实施实名登记制度,应当有明确的法律依据。要改进实名信息采集方式,减少实名信息采集的内容。四是加大监督检查力度。建立第三方评估机制,督促网络运营和公共服务单位严格依法收集用户信息,建立健全内部管理制度,有效降低“内鬼”窃密风险。五是进一步加大打击力度。公安机关要加大对网络攻击、网络诈骗、网络有害信息等违法犯罪活动的打击力度,切断网络犯罪利益链条,持续形成高压态势,落实法律保护公民个人信息的规定,使广大公民的合法权益免受侵害。六是要完善投诉受理机制。研究建立统一高效的用户信息安全事件投诉受理机制,为用户投诉、举报提供便利,维护人民群众合法权益。
(六)强化网络安全工作统筹协调
网络安全工作涉及领域多、范围广、任务重、难度大,系统性、整体性、协同性很强。应对复杂的网络安全态势,必须做到统一谋划、统一部署、统一标准、统一推进。要不断完善网络执法协作机制,尽快健全适应网络特点的规范化执法体系。要落实网络安全法相关规定,加强网络安全执法队伍和执法能力建设,强化网信部门的统筹协调职责,明确各职能部门的权责界限和接口,形成网信、工信、公安、保密等各部门协调联动机制,既要防止职能交叉、多头管理,又要避免执法推责、管理空白,不断提高执法效率,有效维护网络空间的安全。考虑到互联网跨区域性强、地域边界不明显的特点,要健全完善网络安全异地执法协作机制,实现区域之间执法联动。还要破除部门利益,打通数据和信息壁垒,减少重复建设,建立共享数据平台,切实做到不同部门收集的数据能够共享,提高网络安全防范能力。
(七)加快网络安全人才队伍建设
网络安全是技术更新最快的领域之一,网络空间的竞争,归根到底是人才的竞争;建设网络强国,最关键的资源是人才。要高度重视网络安全人才培养工作,不仅要培养精通信息系统使用和维护的技术人才,还要培养大批能够开展网络安全风险监控、应急处置和综合防护的人才,从而满足网络安全法实施提出的要求。要进一步加强网络安全学科建设,优化师资队伍结构,改革人才培养模式,培养更多满足实践需要的应用型人才。要鼓励网络和信息化人才发展体制机制改革先行先试,研究建立网络安全特殊人才培养、管理和激励制度,加大对网络安全高端人才、紧缺人才的培养、引进和支持力度,使党政机关、关键信息基础设施运营单位能够招得进、用得好、留得住精通网络安全技术的“高、精、尖”专业人才。
第8篇:网络空间安全基础知识范文
高等院校校园信息化建设总体上可以分成三个阶段:
第一阶段以硬件集成为主,校园信息化建设的重点是校园网硬件平台的搭建。
第二阶段以应用软件集成为主,校园信息化建设的重点体现在学校管理信息系统建设上,这也是当今大多数校园网所采用的模式。
第三阶段是以数字化校园建设为主。随着认识和实践的进一步深入,人们发现:硬件加软件的校园信息化模式还远不能发挥出校园网的优势,更不能实现教育信息化所要求的对传统教学模式的改革和对全新教育模式的建构。这样,数字化校园的概念便应运而生了。对于大学数字化校园模式、内容和建设的探讨,也就成为当前校园信息化建设的研究方向和热点话题。
数字化校园的概念及模式
1. 数字化校园的概念
数字化校园是由数字化的信息管理方式和沟通传播方式形成的高度信息化的高素质人才培养环境。
数字化校园是利用计算机技术、网络通讯技术对学校的教学、科研、管理和生活服务等所有信息资源进行全面的数字化,并科学规范地对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制;通过组织和业务流程再造,推动学校进行制度创新、管理创新,最终实现教育信息化、决策科学化和管理规范化。
(1)数字化校园具有以下的关键特征:
数字化校园是以网络技术为基础的学校信息化集成应用系统。
数字化校园以信息装置的互联运行为技术支持,以学校应用软件和教育资源为核心,以建构现代教育模式为目的。
数字化校园要为学校信息化提供全方位的服务,包括教学、管理、科研、办公、信息交流和通讯等。
数字化校园建设是对学校的未来进行重新设计。
(2)数字化校园与传统校园比较:
空间拓展:教室的概念不再局限于传统意义上的教室,而是指网络环境中同时处于学习状态的学习者群体所处的网络空间、信息空间和虚拟空间,体现空间的开放性。
时间拓展:学习者可以根据自己的需要自主安排学习时间,打破了学制、年龄、身份等限制,体现教育终身制。
教育对象拓展:除了学校内的在册学生外,可以向全社会开放教学资源,提供接受教育的机会,体现教育全民化。
教学方式和内容拓展:不再是以教师讲授为主,而是以学习者自主式、交互式、个性化学习为主。教师的概念虚拟化,教学内容不再局限于传统的书本知识,而是扩展到整个Internet和信息空间,体现学习的自主性和教学内容的广泛性。
教育理念和管理体制变化:体现建构主义的信息化教育理念,改革传统的人才观、知识观,打破过去对教学管理和评估的教条做法,适应信息化教学的要求。
2. 数字化校园的模式
数字化校园的模式可以从概念、空间、功能三个层次进行探讨。
概念模式的通常描述是:数字化校园包含理念层、信息层、应用层和物理层四个层次。物理层是指网络和数字化设施以及具备这些设施的实体,构成数字化校园的基础平台。应用层是指运行在物理层之上的数字化信息资源和以教学、管理为核心的应用系统。主要包括:管理信息系统、办公自动化系统、网上教学系统、资源管理系统以及知识库、信息库等等。信息层主要包括信息技能、信息意识和信息学习。其中,信息技能是指信息获取、信息检索、信息表达、信息交流、信息处理等技能。信息意识是指人的信息敏感程度,是对信息的价值和作用的一种正确认识、合理评价和有效管理。信息学习是指对信息的归纳、抽象,将纷杂无序的信息转化成为有序的知识,独立学习,形成自己的知识结构。理念层是指教育理念重构。包括教育理念、人才培养、知识创新和生产、教学模式、教学方法、教学内容组织、教学管理等观念,以及规则、方法和行为的总和。物理层是实现数字化校园的前提和保证。应用层构成数字化校园的“软环境”。信息层体现数字化校园中“人”的状态。人是数字化校园的主体,人如何来使用和操纵物理层和应用层,如何从所提供的网络和信息服务中有效学习,是数字化校园中不可忽视的内容。信息层体现数字化校园物理层和
应用层的效果、内容、形式和运行方法,决定了资源的组织利用,推动理念层的形成。理念层代表数字化校园的目标,实现教育理念的重构,决定了其下各个层次的结构和内容。
空间模式包括物理空间、网络空间、信息空间、虚拟空间四个空间层次,体现“数字化空间提升”、“教育空间虚拟”的特点。物理空间主要是指现实校园中实际存在的实体部分,如:人、基础设施、应用系统等,是数字化校园的基础。网络空间是通过网络建立的交互和连接空间,它可以非常广阔,但仍是有限的、可见的空间。信息空间是指信息经“数字化处理”,就是使信息管理方式、沟通传播方式、存储处理方式等的数字化。它代表着实际的信息和资源,也反映人对信息的处理、意识、学习、利用等智力活动,因此它是半可见的,介于虚和实之间。虚拟空间是由物理空间、网络空间和数字信息空间升华出的无限的、不可见的教育空间,是完全的“虚”的空间。它体现数字化校园对教育、对社会、对人类乃至对整个宇宙的辐射和影响。
功能模式主要是探讨通过信息技术来实现的功能,分为网络、应用、信息服务三大功能层次,是数字化校园建设实践的宏观模式。网络层功能很单一,主要是指是网络硬件设施和数字化设施所提供的网络基本功能和网络基础服务,包括网络接入、电子邮件、文件传输、域名服务等,是数字信息流动的平台和渠道。应用层的功能很丰富,主要包括两大部分:一是软件支撑环境所提供的操作系统、数据库系统等功能;二是所建立的各种应用功能,包括办公自动化、数字图书馆、管理信息系统、网络教学、信息资源管理以及电子商务等。信息服务层的功能是将条理化的信息按照用户的需求提供给用户,包括信息查询、信息处理、个性化门户以及决策支持等功能。
中国人民大学的数字化校园建设实践
中国人民大学的数字化校园建设实践,是在经历了校园信息化建设的第一和第二阶段后,经过理论上的深入探讨和国内外大学的实践调研,制定了“数字人大”的五年建设规划。规划中明确了“数字人大”建设策略、建设路线、建设内容、体系结构和实施计划。
1.“数字人大”建设策略
总体规划、分步实施、逐步推广。从我校的实际需要和长远发展出发,进行总体规划,分步实施,逐步推广,有计划、分阶段、科学合理地构建数字化校园。
内合外联、资源共享、优化配置。引进与开发相结合,优化利用资源,合理使用资金,避免低水平的重复性开发和造成人力物力的大量浪费。
改革创新、勇于探索、形成特色。我校各学科都有其长期积累下来的教育优势和文化传统,在新的教育形势和技术条件下,通过改革和创新,形成自己的教育特色。
重点突破、加大投入、形成优势。在那些特别有利于发挥信息化教育特长的重点学科和特色专业方面,应该加大人力物力的投入力度,加快发展速度,迅速形成优势。
2.“数字人大”体系结构
基础设施建设:包括网络、主机等基础硬件和操作系统,是数字校园建设的基础。
应用支撑平台:包括公共服务平台和公共管理工具,是数字校园信息传输的平台。
应用系统建设:包括教学、科研、管理等方面的管理信息系统和业务系统,是数字校园的核心。
个性化门户:包括部门及信息门户、个人工作平台,为用户提供与其身份相对应的个性化信息与服务,是数字校园的门面。
信息安全体系:包括系统安全、信息安全、安全管理、安全审计等,是保障数字校园系统安全可靠运行的条件。
标准规范体系:包括管理规范、实施规范、维护规范等,是保障数字校园系统安全可靠运行的条件。
3.“数字人大”建设主要内容
建设一个为全校提供服务的数据中心,包括主机托管、虚拟主机、应用服务、数据存储服务、数据备份服务、数据安全服务等。
建立全校统一的电子身份认证体系,并使用统一的电子身份体系为各种网络应用系统服务,使全校用户在所有的网络应用系统中都使用惟一的电子身份。
建设完整的校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的支持。
建立全校严密的网络安全体系,保证校园网络的安全、保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
建设面向校内外的信息服务网站,及时学校各类信息,针对社会公众和校内师生提供不同的信息服务和进入相应校园信息管理系统的入口。
4.“数字人大”建设路线
设施建设是基础
数字校园建设不但要做到需求驱动、设计合理、先进实用、安全可靠,还要留有余地,便于今后扩充和更新。
资源开发是重点
数字校园的资源建设包括数字图书馆、学科资源库、科研信息库等,应该作为重点建设项目。
师资培训是关键
数字校园教育系统的功能能否得到充分发挥,取决于师资队伍的信息化素质,因此要采取措施对他们进行强化培训,使他们不但能够掌握使用信息技术的一般技能,还要懂得如何有效利用网上信息资源和开展网上教学活动。
政策配套是保障
在学校中发展网上教育,必须要有相应的配套政策,包括使用收费政策、绩效奖励政策等,对于积极投入信息化教育的人员,应该有较大力度的政策倾斜。
5.“数字人大”实施计划
第一阶段(2003年1月至2004年6月)
部署应用系统软硬件、网络存储系统,统一全校所有数据,完成公共数据库建设。建设学校统一应用门户,建立综合信息服务系统,建设校园一卡通系统。
第二阶段(2004年7月至2005年12月)
实施学校各业务部门的应用集成,推广应用网络教学系统,实现全校教学资源的统一共享与交流。
第三阶段(2006年1月至2007年12月)
进一步完善信息的集中共享和对数字校园用户的个性化服务。
“数字人大”建设现状
目前,我校已初步完成了网络基础设施的建设,实现了千兆校园网主干和高速出口带宽,搭建了稳定、高效、安全的应用系统平台。校园网以光缆连接整个校区,铺设光缆达35公里,信息点数达12000个,建成一个千兆以太网主干,范围扩展到全校所有教学、科研、办公、服务乃至生活场所,校园网出口速度达3×100Mbps。与此同时,在办公自动化、管理信息系统、数字图书馆、网络教学和信息资源建设等方面取得了较大的成绩。
第9篇:网络空间安全基础知识范文
【关键词】高校学生;网络安全;校园稳定
当今社会的网络空间具备着数据开放、信息丰富等多种优点,这不仅为学生的学习生活提供了便利,也满足了学生在日常生活中的需要。随着科技的发展,手机上的APP也越来越多,对于学生来说,生活也在变得方便、快捷,学生也开始离不开手机了。不过,由于学生对于网络安全问题的疏忽,导致他们容易成为网络安全事件的受害者,这不仅会让他们损失大量金钱,甚至会危害到他们的生命安全。
一、网络安全教育对高校学生的重要性
党和国家在新时代的背景下,逐步提高了对政治教育的要求。高校网络安全教育不仅是思想政治教育工作的具体表现,也是高校思想者政治教育的主要内容。虽然目前我国学生的素质普遍颇高,但还是存在素质不高的学生,这些学生对法律的重视不足,很容易被不法分子引导走上歧途,这就会影响网络安全教育的实施,也就难以正确的引导学生的价值观。网络安全教育不仅能提高学生的自我保护能力,更能帮助学生在高校的生活中逐步塑造出属于自己的正确价值观。
二、高校在网络教育方面遇到的问题
(一)互联网的发展优于法制建设的速度在建设网络法制的过程中,由于我国的行政部门并没有具体的颁布规章制度,导致高校主要针对网络营销、网络虚拟财产保护等方面建设法制,同时,在网络犯罪和规范运营商方面,我国的法制建设也很薄弱;许多法律难以确切规范行为。在给学生带来便利的同时,网络信息也极大的给学生的学习与生活带来了难题。尤其是面对一些扭曲学生正确价值观、世界观的网络负面言论。有关部门在面对这些网络负面言论时,大多时候都采取屏蔽、删除或是覆盖信息的方法来减少负面影响。目前,我国网络与信息安全小组协调监督管控网络信息安全系统,这其中涉及国家多个相关部门管理机构。多部门协调合作,共同管理,往往导致各部门之间的管理权限难以区分,还增加了网络监督过程中“假”问题出现的现象。
(二)高校对网络安全教育的滞后性根据目前高校对于实践案例的分析可以看出,我国高校的网络安全教育还处于初级阶段,高校没有充分重视。同时,目前高校对于网络安全的教育远远不及互联网的发展速度。虽然部分高校在这方面有了长足的进步,但是从教育的角度来看,这些高校并没有切实的让学生领悟到网络安全教育的重要性。
(三)学生的自控性低在高校宽松的学习生活中,学生得到了充足的自主性,不过,这种自主性也给他们带来了不小的压力,他们经常在虚拟的网络上来逃避现实社会,缓解压力。部分学生沉迷于网络世界和网络游戏上,容易产生心理创伤。在高校对网络安全教育的调查中可以看出,大多数的学生都存在着通宵玩手机的问题,从这一点就可以看出学生的自控能力较低。
三、高校实施网络安全教育的策略
(一)高校要加强网络安全意识教育作为我国高校校园工作的重要内容之一,实施网络安全教育毫无疑问也是高校校园和谐的保障。高水平的网络安全教育,不但能有效的减少高校学生网络安全事故的发生,同时可以促进高校实现教学目标。基于此,高校更应该推动学生去认识网络安全教育。为了加强对学生网络安全意识的培养,高校就要重视每年9月第三周的国家网络安全宣传周,通过举办讲座、制定横幅等多种形式来帮助学生提高对网络安全意识的培养。尤其是对于那些刚入学的新生,他们在刚离开父母步入社会的时候,社会阅历浅且思想单纯,更容易成为网络安全事件的受害者,也更应该及时的接受网络安全意识教育。
(二)科普网络安全知识和技能高校可以通过学校开展的计算机公共课程来有计划的为学生科普一些网络安全知识和技能,从长远看,这也是为学生普及网络安全知识和技能的重要渠道。当然,在教育过程中,不仅要有针对性的网络病毒部分的培训,还应该有密码学、安全性设置等安全理论的教育,通过实践分析在网络中可能遇到的问题,尤其是近几年发生的网络事件,如“永恒之蓝”勒索病毒等事件。深入研究这些事件产生的原因和安全节点,以便能达到理想的教学效果。当然,在进行网络安全教育时是需要高素质的专业技术的,教师更应该负责任的为学生提供一些具有前瞻性的引导,类似于对可能发生的网络事件的预防措施,事件发生时或事件发生后的补救措施等,帮助学生有效的降低遇到事件的风险。特别是要从学生自身的个人信息角度出发,教师要引导学生在进行网络购物、社交等行为时,注重保护好自己的个人隐私,增强自我保护能力。
(三)完善学生对网络空间安全的认识科学技术的飞速进步,导致相关监督、法律、法规的滞后现象,在此过程中产生的一些“灰色地带”,让犯罪分子有了可乘之机。网络攻击、欺诈、谣言或是黄赌毒等,让广大学生成为了受害者。与此同时,不健全的网络安全法律也导致部分学生成为了网络安全事件的实施者。因此,完善学生对网络安全的认知,帮助学生树立正确的价值观就成为高校目前网络安全教育工作的重中之重,这也是避免网络事件产生的最有效方式。相对于海陆空天等实体空间,网络空间已经融入其中甚至凌驾其上。由于网络空间具备混沌性、不对称性等多种特征,导致网络安全的未知风险远大于已知风险。尤其是随着网络发展而无法消除的“两面性”,更使得网络安全中的威胁和漏洞会长期存在。和防火、防盗、防自然灾害等安全意识相比,网络安全意识涉及到的知识面更加的广阔,专业性更强,随着各种网络威胁频繁发生,积极预防网络安全问题,降低遇到网络安全问题的风险,就成为学生们需要终生学习的课程。
(四)提高对网络安全教育的投入高校要做好大学生网络安全教育,一是要加强对师资队伍的建设。一个好的师资队伍才能更好的完成对大学生的网络教育工作。毫无疑问,开展网络安全教育工作的趋势和需求就是专业化。一支专业的师资队伍,不仅要具备专业的网络信息学科知识,还要拥有充足的网络安全实践性知识。专业学科知识指的是计算机基础知识和网络应用相关的基础知识,当然还要包括在实际应用中需要的操作技能等。二是要加强对网络安全教育工作的重视。高校要深刻认识到“互联网+”时代背景下,网络安全所带来的各种挑战,这既关系到大学生的日常生活,也关系到整个社会的稳定。频繁在高校发生的网络安全问题,极大的伤害了学生们的身心。为此,高校为了能从源头上解决这类问题的产生,不仅要解决网络安全问题,更要防微杜渐地开展网络安全教育活动。高校还应加强对学生领袖队伍的重视,通过发挥学生的主观能动性,组建安全监督小组。这种小组可以活跃在网络的各个角落,通过亲身实践来宣传网络安全教育。不可否认,这种学生形式的团体也是不可或缺的,他们更懂得学生们的需求。
(五)创建高校和政府的网络联动机制党的十八大提出了“网络空间命运共同体”的概念,要求我们要共同打造网络完全的共同体。随着互联网发展不平衡等问题的频发,各国间的信息鸿沟也在扩大,网络犯罪、网络恐怖主义活动开始成为公害。作为无国界、无边界的互联网,在面对这些挑战时,更需要国际社会统一团结。构建网络空间命运共同体,既是建设人类共同新家园的需要,也是应对信息化挑战的迫切要求。高校网络安全教育的开展不仅需要高校的努力,也离不开相关部门的配合,只有携手并进,构建完善的制度,才能营造出稳定和谐的网络校园环境。当前,上海的部分高校已经实施的举措有根据区域划分来配合网络安全的教育,虽然教育方式仍旧单一,但已是很好的尝试。在此基础上,高校要为之探索出更加可行的方法来开展网络安全教育活动。
