信息安全研究报告

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全研究报告，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

大会热忱欢迎从事信息安全领域管理、科研、教学、生产、应用和服务的组织机构和个人踊跃投稿。所投稿件经过专家组评审后，录取论文将在《信息网络安全》（2015年第9期）杂志正刊上刊登，并收录中国知网论文库。《信息网络安全》将赠送国家图书馆等单位作为藏书收藏，并向录取论文作者发放稿费，专委会还将向优秀论文作者颁发奖金和获奖证书。

一、会议主题

2015年是网络强国战略的起步年。网络强国离不开自主可控的安全技术支持，只有实现网络和信息安全的前沿技术和科技水平的赶超，才能实现关键核心技术的真正自主可控，才能实现从战略层面、实施层面全局而振的长策。当前，信息网络应用飞速发展，技术创新的步伐越来越快，云计算、大数据、移动网络、物联网、智能化、三网融合等一系列信息化应用新概念、新技术、新应用给信息安全行业提出新的挑战。同时，国际上网络安全技术事件和政治博弈越来越激烈和复杂，“工业4.0”时代对网络安全的冲击来势汹涌。我们需要全民树立建设网络强国的新理念，并切实提升国家第五空间的战略地位和执行力。本次会议的主题为“科技是建设网络强国的基础”。

二、征文内容

1. 关于提升国家第五空间的战略地位和执行力的研究

2. 云计算与云安全

3. 大数据及其应用中的安全

4. 移动网络及其信息安全

5. 物联网安全

6. 智能化应用安全

7. 网络监测与监管技术

8. 面对新形势的等级保护管理与技术研究

9. 信息安全应急响应体系

10. 可信计算

11. 网络可信体系建设研究

12. 工业控制系统及基础设施的网络与信息安全

13. 网络与信息系统的内容安全

14. 预防和打击计算机犯罪

15. 网络与信息安全法制建设的研究

16. 重大安全事件的分析报告与对策建议

17. 我国网络安全产业发展的研究成果与诉求

18. 其他有关网络安全和信息化的学术成果

凡属于网络安全和信息安全领域的各类学术论文、研究报告和成果介绍均可投稿。

三、征文要求

1. 论文要求主题明确、论据充分、联系实际、反映信息安全最新研究成果，未曾发表，篇幅控制在5000字左右。

2. 提倡学术民主。鼓励新观点、新概念、新成果、新发现的发表和争鸣。

3. 提倡端正学风、反对抄袭，将对投稿的文章进行相似性比对检查。

4. 文责自负。单位和人员投稿应先由所在单位进行保密审查，通过后方可投稿。

5. 作者须按计算机安全专业委员会秘书处统一发出的论文模版格式排版并如实填写投稿表，在截止日期前提交电子版的论文与投稿表。

6、论文模版和投稿表请到计算机安全专业委员会网站下载，网址是：.cn。

联系人：田芳，郝文江

电话：010-88513291，88513292

征文上传Email 地址：

第2篇

中国工程院院士、中国互联网协会理事长邬贺铨、美国智库战略与国际研究中心（ C S I S ）高级研究员、技术和公共政策项目主任詹姆斯·刘易斯、AV-Tes t反病毒测试公司CEO安德烈亚斯·马克思、Gartner咨询公司研究副总裁彼得·福斯特布鲁克、360公司董事长兼C E O周鸿祎、360 公司总裁齐向东等重量级嘉宾针对安全行业的热点话题发表了精彩言论。

伴随着虚拟化、大数据、云应用、BYOD及可穿戴智能设备的广泛应用，互联网信息安全正面临着更多新的挑战，尤其是近期曝光的斯诺登“棱镜门”事件，更引爆了全社会对互联网信息安全的强烈关注。

360或将发力企业级安全市场

在当天的大会上，360公司董事长兼CEO周鸿祎发表主题演讲，分享如何以创新方式应对网络安全。他指出，在目前终端快速发展的形势下，单纯的终端管理软件已经无法完全有效的防御，在APT（有针对性的高密度持续攻击）和0DAY漏洞的威胁下，未来企业安全的发展趋势更多的是依靠云安全与“边界”来实现。

对于如何应对APT的具体问题，周鸿祎指出，传统的黑名单模式已经失效，预防APT要用白名单，同时对未知程序进行沙箱或者蜜罐的检测，及时捕获未知威胁。同时周鸿祎提出，在他前段时间去以色列考察期间，发现未来的企业安全趋势将是云计算+大数据，采集企业网络流量的完整数据然后在云端进行建模，再对异常流量进行监测报警。

神秘产品“360天眼”：周鸿祎介绍，国外有一家专门做APT防御的公司“FireEye”刚刚上市，美国国防部等都在用该公司的产品，大概原理就是在企业的系统上加载虚拟机器，任何进出客户系统的数据都要经过虚拟机器，经过层层分析后再将安全流量导出，阴止恶意的数据包进入客户系统。同时周鸿祎提到，360公司已经有同类的产品“360天眼”，即企业全流量侦听和未知威胁捕获产品，已经通过国家权威部门的测试，产品很快就会。

移动安全：周鸿祎指出，之前很多国外互联网巨头把给员工发黑莓手机当成一种很荣耀的福利，但随着员工用手机、平板电脑进行办公，BYOD（员工自带计算设备）问题也成为了企业信息安全一个非常头疼的问题，这个问题也将是未来安全的一个大问题，360已经研发专门针对企业BYOD威胁的移动安全产品“天机”，近期也会。

网络安全是全球性的问题

一项统计数据显示，全球95%的网络已经被渗透，很多网络无需后门程序就能够完成攻击。例如，90%的成功攻击仅需要基本的技能，85%的攻击5个月后才能被发现，75%的攻击利用已知公开漏洞，而这些漏洞本可以通过定期修复来避免，95%的网络攻击通过简单的修补能够完成预防。

国际资深网络安全专家詹姆斯·刘易斯认为，网络安全是一个全球性问题，各国在网络空间是一个你中有我、我中有你的“命运共同体”。尤其随着网络空间的无限延伸，原有的安全孤岛将不复存在，脆弱的技术、网络匿名等容易被一些国家、地区和个人为所欲为的利用。因此，要保证用户不遭受网络威胁、建设安全的网络，需要国际、国家和企业共同努力。

针对一触即发的网络战争和日益增长的网络威胁，詹姆斯·刘易斯却也表示出了谨慎的乐观态度，他说“网络空间和互联网并不难管制”，国际社会正在定义在网络空间中负责任的行为，目标是让网络空间正规化。

更多的古老漏洞正在被利用

“被恶意程序利用的新漏洞的数量在2010达到顶峰，随后便逐年下降。但这并不是因为系统或软件更加安全了，而是因为，越来越多的老的漏洞正在被利用。”反病毒测试机构AV-Test CEO安德烈亚斯·马克思（Andreas Marx）在大会上这样说。

AV-Test是全球公认的三大反病毒测试机构之一。马克思的此次演讲主题是《反病毒技术趋势》。马克思表示，AV-Test平均每天可以收集20万至25万个新的恶意程序样本。“当我们在这里谈话的几分钟里，已经又有几十个新的病毒诞生了”。而Windows Shortcut（快捷方式），PDF、Java、Flash、HTML和微软Office文件是被恶意程序利用最多的文件格式类型， 也是漏洞爆发的重灾区。马克思甚至调侃这些文件格式是“麻烦制造者”。

从恶意程序的攻击方式上来看，马克思认为，现今绝大多数的恶意程序都是被用户手动运行或激活的，这与前些年恶意程序会在用户不知情的情况下自动发动攻击有所不同。

安全重点将转向关键应用和数据

高德纳咨询公司（Gartner）研究副总裁彼得·福斯特布鲁克（Peter Firstbrook）出会并发表了“互联网新兴威胁与挑战”的主题演讲。彼得提出未来企业信息安全应重新调整重点，将安全生命周期的焦点放在对关键应用高级的、有针对性的APT攻击防御上。

彼得指出，大数据时代信息泄露的代价异常高昂，对企业而言，重大安全事件将产生难以预估的经济损失。LinkedIn、RSA、索尼等公司均曾在重大安全事件中损失过百万美元。但是，由于数据恢复的经济成本也在不断增加，信息及数据本身变得尤为重要，传统以基础服务预防为主的安全策略将面临失效。

彼得介绍说，某权威调查机构的调查结果显示，企业在发现感染恶意软件时与恶意软件发起攻击之间存在243天的时间，同时仅有63%的企业能发现感染状况，大多数企业在数据泄露前甚至都不知道自己被攻击过。在企业信息安全的整个生命周期里，传统安全解决方案中最重视的“防护”环节，已不再是重点环节，企业需要更加重视“检测”和“策略”环节，当信息“防护”出现漏洞时，或安全策略失效时，可迅速通过“检测”功能捕获需要的信息，来判断信息的感染程序，并快速反应采取补救措施。

最后，彼得强调，面对未来针对信息本身的恶意攻击，信息保护、快速响应和情报共享将成为未来信息安全策略基础的重心。他建议，在终端安全方面，企业应增加对策略的关注来预防恶意软件感染，同时加大在信息保护与信息追踪方面的投入，减少恶意软件的停留时间，将安全重点转向关键应用和数据的保护上来。

《互联网时代的企业安全发展趋势》报告出炉

随着棱镜门事件的发酵，国家级网络安全成为信息领域的一个焦点话题。国际著名信息技术研究分析公司Gartner在ISC上携手360公司本年度重量级研究报告——《互联网时代的企业安全发展趋势》。报告中就未来企业面临的安全挑战，诸如无法回避的APT（高级持续性威胁）攻击，IT业对大多数用户消耗设备或服务占有率的降低，以及企业为防范攻击花费的巨额信息安全费用等问题，进行逐一分析。

权威咨询公司Gartner研究表明，到2020年，企业所面临的安全威胁将会更加多样化，不仅仅是企业资产，员工个人也可能遭到直接的攻击。另外，虽然有些企业采用了统筹协调的安全管理，但有些企业的安全管理仍相对松散，因此针对每种不同的具体情况，企业应对攻击的响应方式也会有所不同。为此，360公司特与Gartner共同合作，就互联网时代的企业安全趋势撰写了此《互联网时代的企业安全发展趋势》研究报告，希望能够对大数据、云计算与移动互联网时代下，企业安全面临的主要挑战与未来趋势进行总结，并针对企业用户提出具有针对性的建议。

据主办方介绍，在全新的互联网安全形势影响下，原有的网络安全防护技术体系已基本失效，必须通过创新的方法来迎接和应对这些新的挑战。本届ISC旨在为国内外关注互联网安全的行业同仁，搭建一个最新的信息安全技术与解决方案的交流平台。

第3篇

【 关键词 】 第三方支付系统；风险评估；支付流程；威胁树；最小威胁树

【 中图分类号 】 TP393 【 文献标识码 】 A

1 引言

第三方支付行业在近几年迎来了快速发展，特别是2011年对于我国的第三方支付行业来说是具有里程碑意义的一年，央行在2011年开始颁发非金融机构支付业务许可证，支付许可证的颁发反映出国家开始从制度政策层面规范第三方支付行业的发展，同时也对第三方支付行业的安全性提出了要求。因此，如何从信息系统安全角度对诸多第三方支付工具进行全面的评价，这将对网上支付以及网络购物的发展具有十分重要的现实意义。

当前国内外第三方支付行业的发展存在巨大差异，国外专门针对第三方支付安全的研究较少，而国内也只是部分学者在进行研究时内容会涉及到第三方支付的信息安全。赵德志基于项目管理视角对第三方支付进行了风险识别，认为第三方支付系统存在几种风险，分别是外部风险、组织风险、项目管理风险、技术管理风险，并对风险来源进行了细化，但该研究并未深入对第三方支付系统的安全风险进行有效评价。

以上研究对第三方支付市场存在的风险进行了一定的分析，但上述研究仍存在着一定的不足，主要体现在相关研究并未从信息安全的角度深入剖析第三方支付平台自身支付业务流程所可能存在的脆弱性以及防范重点，也没有对第三方支付进行流程再造提出相关建议，因此对于第三方支付安全事件的发生无法起到实质性的遏制，本文将从信息安全风险评估的角度对第三方支付系统进行深入研究。

下文将基于对第三方支付平台的一般支付流程和相关案例的定性分析，运用威胁树方法学，构建针对第三方支付的威胁树分析模型，并基于德尔菲法选择当前主流第三方支付平台进行信息安全评估，从而为用户从安全视角对第三方支付平台进行选择提供参考依据。

2 威胁树模型

2.1 威胁树定义及基本结构

2.2 威胁树的修剪

一个威胁的实现需要威胁即攻击者具有一定级别的能力。攻击者取决于下列因素：攻击成本、专门技术知识或工具、被逮捕和惩罚的概率等。叶子结点的指标值由分析者直接输入，数据来源可以是调研数据，历史事件资料以及方法评估获取，非叶子结点通过指标函数获取，根据并联关系和串联关系的不同而不同。可以根据结点某一指标作为阈值对威胁树进行修剪，“剪去”所有超过或低于某一阈值的路径，修剪过的树的集合（可以认为是图形的覆盖图）代表着所有威胁可能使用的可行的威胁完全集，从攻击的角度来讲是一个可行的攻击集，也就是最小威胁树。从预防的角度讲，是采取安全策略时应重点考虑的。

3 威胁树模型

3.1 基于威胁树的第三方支付系统信息安全评价模型构建

通过第三方支付业务流程以及对收集到的大量安全事件的定性分析，第三方支付系统信息安全事件的典型特征有几点：

1）第三方支付系统面临的最大风险是账户操作过程中的可支付余额；

2）第三方支付系统安全事件的发生一般是该两项密码通过各种手段如钓鱼网站、促销信息、升级提醒等手段被盗取；

3）某些木马病毒如支付宝大盗、浮云木马病毒，在支付环节通过篡改支付协议交换过程中的付款账户和金额等方式实现更具隐蔽性盗取；

4）部分案例显示数字证书可以通过一定手段绕过从而盗取用户资金，此环节可能存在重大安全隐患。

因此，根据威胁树方法学，可得到以下第三方支付的威胁树分析模型。

a） 第三方支付系统威胁树的修剪

根据威胁树方法学，可以通过某种指标比如攻击成本、攻击能力、成功概率等对威胁树进行修剪，本文拟采取德尔菲法的形式，邀请相关业内专家针对威胁攻击系统的可能性进行打分，从而对第三方支付系统的威胁树进行修剪，具体实施将在下文讨论。

4 第三方支付系统信息安全风险评估的实施

根据易观国际的最新数据显示，本文拟选取两个典型的第三方支付工具，支付宝和快钱进行对比分析。

5 第三方支付平台的风险管理

结合上述两个具体的第三方支付工具的最小威胁树，提出若干风险管理建议。

第一，加强用户操作的主体性认证，增加实时性主体认证手段，如手机短信，动态口令等手段。特别改变账户操作仅依靠密码进行的流程，从而增强安全性；目前一些主流的第三方支付工具，仅在安装数字证书，快捷支付等情况下才使用手机验证码，因此建议在转账、更换手机、提现等操作关键操作时，额外增加实时身份验证手段。

第二，针对数字证书用户，应加强对数字证书申请、取消环节的管理，进行必要的身份认证；并且建议增加对账户登录、异地操作的实时提醒，以提高账户的安全性，而此种服务目前多数第三方支付工具尚未提供。

第三，加强对用户的教育，提醒用户识别常用的诈骗手段，如图5中所示的“防冒客服”以及“短信升级”等手段。

6 结束语

本文运用威胁树分析模型对第三方支付系统的安全性进行了全面评估，并选择当前主流的第三方支付平台进行的评估实施，并基于评估提出了针对性的安全建议和对策，从而为用户识别和选择第三方支付工具提供了一定的参考依据。本文的数据采用德尔菲法获取，该方法存在着一定的主观性，是未来研究应当着力改进的地方。

参考文献

[1] 中国互联网络研究中心.中国网络支付安全状况报告[Z].北京，2012.

[2] 金山网络公司.2011-2012中国互联网安全研究报告[Z].

[3] 中国人民银行.《支付机构互联网支付业务管理办法》征求意见稿[R]，2012.

[4] 赵德志.第三方支付公司的发展与风险研究[D].北京：北京邮电大学，2007.

[5] GB/T 20984-2007 信息安全技术信息安全风险评估规范[S].2007.

[6] 王孝良，崔保红，李思其.关于工控系统信息安全的思考与建议[J].信息网络安全，2012，（08）： 36-37..

[7] 许春，李涛，陈兴蜀，刘念，杨进.危险信号在实时网络安全风险评估中的应用[J].电子科技大学学报，2007， （S3）：74-77.

[8] 李良.中国电子银行风险评估研究[D].大连：大连理工大学，2010.

[9] 曹子建，赵宇峰，容晓峰.网络入侵检测与防火墙联动平台设计[J].信息网络安全，2012，（09）：12-14.

[10] Schneier B."Attack Trees"，Secrets and Lies[M].New York：John Wiley and Sons，2000：318-333.

基金项目：

河南省教育厅人文社会科学青年项目（2012-QN-063）。

第4篇

国家电子政务工程建设项目管理暂行办法的性质

《国家电子政务工程建设项目管理暂行办法》是国家发展改革委联合国信办等有关部门，根据国家信息化领导小组的工作部署和要求，结合电子政务工程项目建设管理的特点和问题，在深入调研、广泛征求意见基础上编制而成的我国第一部针对信息化工程提出的系统性管理规范，也是今后一个时期从事政务信息化建设的部门和机构必须严格遵守的法规性文件。

国家电子政务工程建设项目管理暂行办法的目的

出台管理办法力求通过对重要环节的严格把握，对需求分析、资源共享、招标投标等关键点实行有效控制，努力做到需求不清的项目不批，贪大求洋的项目不批，做不到互联共享的项目不批，提高电子政务工程质量，发挥国家投资效益，实现电子政务工程建设的总体目标。

出台国家电子政务工程建设项目管理暂行办法的原因

出台电子政务工程建设项目管理办法首先是扎实推进电子政务发展的需要。《国家信息化领导小组关于我国电子政务建设指导意见》后，我国政务信息化建设取得重大进展，作用日益显著，已经步入了资源共享、业务协同的发展阶段。但也存在一些迫切需要解决的突出问题，严重制约了电子政务的健康有序发展。因此，需要通过制定管理办法来明确立项规则，强化项目管理，约束政府投资行为，遏制盲目建设风潮。

其次，是规范审批程序和要求的需要。项目审批时间过长是目前项目建设单位普遍反映的突出问题，通过研究，我们发现最主要的是项目建设单位不能在规定期限内提出符合审批要求的立项或可研报告，许多时间被用在对项目方案的反复讨论、调整和修改中。这其中虽有申报部门缺乏项目组织经验，申报、审批部门间缺少有效沟通等方面的原因，但很大程度上是由于规则不清、程序不明造成的。因此，有效解决政务信息化项目审批时间长的矛盾，必须从制定管理办法、规范审批程序、明晰审批规则、改善审批服务这一关键环节入手。

第三，是强化政务信息化项目管理的需要。电子政务工程与传统基础设施项目有着完全不同的建设管理特点和规律。电子政务工程从任务提出到建设、营运，目前均为同一政务部门，项目建设后能否发挥应有效益，取决于政务需求的挖掘深度和现行法规、管理体制对系统的支持程度。因此，需要有比普通基建项目更为严格的制约和管理机制，做好立项前的咨询服务尤其重要。

国家电子政务工程建设项目管理暂行办法的主要内容

管理办法分为正文和附件两大部分。其中，正文共九章三十八条，主要是对国家电子政务工程的项目审批管理、建设管理、资金管理、监督管理、验收评价管理、运行管理等重要环节的程序和管理进行规范，对项目建设主体和审理、监管部门的责任、权力做出明确规定。管理办法有四个附件，均是项目实施过程中的操作性规定，包括：项目建议书编制大纲、可行性研究报告编制大纲、初步设计及概算报告编制大纲、项目验收大纲。管理办法中对国家电子政务工程全过程进行了规范，具体解读如下：

什么是国家电子政务工程

第二条 使用中央财政性资金的国家电子政务工程建设项目（以下简称“电子政务项目”）。

第三条 本办法所称电子政务项目主要是指：国家统一电子政务网络、国家重点业务信息系统、国家基础信息库、国家电子政务网络与信息安全保障体系相关基础设施、国家电子政务标准化体系和电子政务相关支撑体系等建设项目。

国家电子政务工程涉及的部门及分工

项目建设单位：中央政务部门和参与国家电子政务项目建设的地方政务部门。

项目建设单位职责：负责提出电子政务项目的申请，组织或参与电子政务项目的设计、建设和运行维护。

项目审批部门：国家发展改革委员会。

项目审批部门职责：负责国家电子政务建设规划的编制和电子政务项目的审批，会同有关部门对电子政务项目实施监督管理。

国家电子政务工程的约束

国家电子政务工程须严格执行项目的建设流程和验收流程。

建设流程应包括：申报和审批管理、建设管理、资金管理、监督管理、验收评价管理和运行管理。

验收流程应包括：初步验收（初验前可组织分项验收或专项验收）、竣工验收和工程后评价。

国家电子政务工程的申报和审批

第六条 项目建设单位应依据中央和国务院的有关文件规定和国家电子政务建设规划，研究提出电子政务项目的立项申请　。

第七条 电子政务项目原则上包括以下审批环节：项目建议书、可行性研究报告、初步设计方案和投资概算。对总投资在3000万元以下及特殊情况的，可简化为审批项目可行性研究报告（代项目建议书）、初步设计方案和投资概算。

申报：建设单位提出立项申请。

审批环节：项目建议书、可行性研究报告、初步设计方案和投资概算，其中，项目建议书不属于必需环节，即在一定条件下，可省略该步骤。同时，初步设计方案和投资概算是同步申报内容，不是先后关系。

第十三条 项目审批部门对电子政务项目的

项目建议书、可行性研究报告、初步设计方案和投资概算的批复文件是项目建设的主要依据。批复中核定的建设内容、规模、标准、总投资概算和其他控制指标原则上应严格遵守。

项目可行性研究报告的编制内容与项目建议书批复内容有重大变更的，应重新报批项目建议书。项目初步设计方案和投资概算报告的编制内容与项目可行性研究报告批复内容有重大变更或变更投资超出已批复总投资额度百分之十的，应重新报批可行性研究报告。项目初步设计方案和投资概算报告的编制内容与项目可行性研究报告批复内容有少量调整且其调整内容未超出已批复总投资额度百分之十的，需在提交项目初步设计方案和投资概算报告时以独立章节对调整部分进行定量补充说明。

调整额度：超过10％与未超10％的操作环节截然不同。未超过，则只需在初设报告中单列章节说明调整情况，如超过，则必须重新申报项目可研，一般此审批时间会较长。

国家电子政务工程的建设管理

第十六条 电子政务项目采购货物、工程和服务应按照《中华人民共和国招标投标法》和《中华人民共和国政府采购法》的有关规定执行，并遵从优先采购本国货物、工程和服务的原则。

第十八条 电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定，委托具有信息系统工程相应监理资质的工程监理单位，对项目建设进行工程监理　。

注意进口产品采购：如果国产设备不能完全满足项目需求，需要进行进口设备采购，应按财政部财库[2007]119号文件《政府采购进口产品管理办法》规定向财政部报批，周期在30天左右。

监理依据：强化了信息系统监理的工程依据。

第十九条 项目建设单位应于每年七月底和次年一月底前，向项目审批部门、财政部门报告项目上半年和全年建设进度和概预算执行情况。

项目进展情况报告：加强过程中与项目审批部门及财政主管部门的联系，为后续项目整体验收打好基础。

第二十二条 项目建设单位在可行性研究报告批复后，可申请项目前期工作经费。项目前期工作经费主要用于开展应用需求分析、项目建议书、可行性研究、初步设计方案和投资概算的编制、专家咨询评审等工作。项目审批部门根据项目实际情况批准下达前期工作经费，前期工作经费计入项目总投资。

前期工作经费：需要注意前期工作经费的归垫。

国家电子政务工程的验收评价管理

第二十九条 电子政务项目建设实行验收和后评价制度。

第三十条 电子政务项目应遵循《国家电子政务工程建设项目验收工作大纲》（附件四）的相关规定开展验收工作。

两个阶段：项目验收包括初步验收和竣工验收。验收包括工程、技术、财务、档案等四个方面；

初步验收由项目建设单位按照《验收工作大纲》要求自行组织；

竣工验收由项目审批部门或其组织成立的电子政务项目竣工验收委员会组织；

对建设规模较小或建设内容较简单的电子政务项目项目审批部门可委托项目建设单位组织验收。

第三十一条 项目建设单位应在完成项目建设任务后的半年内，组织完成建设项目的信息安全风险评估和初步验收工作。

初步验收合格后，项目建设单位应向项目审批部门提交竣工验收申请报告，并将项目建设总结、初步验收报告、财务报告、审计报告和信息安全风险评估报告等文件作为附件一并上报。

项目审批部门应适时组织竣工验收。

项目建设单位未按期提出竣工验收申请的，应向项目审批部门提出延期验收申请。

第三十二条 项目审批部门根据电子政务项目验收后的运行情况，可适时组织专家或委托相关机构对建设项目的系统运行效率、使用效果等情况进行后评价。

后评价认为建设项目未实现批复的建设目标或未达到预期效果的，项目建设单位要限期整改；对拒不整改或整改后仍不符合要求的，项目审批部门可对其进行通报批评。

项目后评价的基本内容主要包括项目效益评价、项目影响评价、项目过程评价和项目持续性评价。

项目效益评价是通过项目建成投入使用后所产生的实际效益与可行性研究时所预测的经济效益的比较，评价时常预测是否准确，项目投资是否值得，并以项目投入使用后实际取得的数据为基础，重新计算项目的各主要投资效益指标，与当初预测值进行比较，从分析效益目标实现程度和产生的偏差的原因中总结经验教训，找出改进措施，为提高项目的投资效益和投资决策水平服务。

项目的影响评价主要是指对项目给所在地区经济、社会、技术

和文化等带来的影响进行评价。主要是从项目的外部作用和影响来分析和评价特定项目的优势和缺点，分析项目对国家或地区社会发展目标的贡献和影响。

项目的过程评价是根据项目效益和影响评价中发现的变化和问题，对照项目立项时所确定的目标和任务，分析和评价项目执行过程，从中找出原因，总结经验教训。过程评价主要依据国家现行的有关法令、制度和规定，对项目的工程技术水平、管理水平和决策水平进行分析。其主要内容包括：前期工作评价；建设实施评价；运营评价；投资执行评价；管理工作评价；技术服务和配套投入评价。

项目的持续性评价是分析项目在建设投入完成之后，项目的既定目标是否还可以持续；项目是否可以顺利地延续进行下去。持续性要考虑政策变化、技术因素、社会文化因素的变化对项目持续性的影响。

项目后评价的结论应该是定性地总结项目的成功度。项目的成功度一般分为五个等级：非常成功的项目，成功的项目，部分成功的项目，不成功的项目，失败的项目，是项目评价专家组对项目后评价的定性和集体结论。项目成功度评价的程序：首先确定评议专家，选定评价因素及其指标，专家个人打分，集体评议，数据处理，得出结论。

项目评价的三个阶段采用的方法没有太大的区别，一般均采用定量与定性相结合的方法。

项目评价从决策的角度看，其核心内容主要是项目的市场评价、技术评价、经济评价和环境评价等。

法律责任

第三十五条 相关部门、单位或个人违反国家有关规定，截留、挪用电子政务项目资金等，由有关部门按照《财政违法行为处罚处分条例》等相关规定予以惩处；构成犯罪的，移交有关部门依法追究刑事责任。

第三十六条 对违反本文由收集整理本办法其他规定的或因管理不善、弄虚作假，造成严重超概算、质量低劣、损失浪费、安全事故或者其他责任事故的，项目审批部门可予以通报批评，并提请有关部门对负有直接责任的主管人员和其他责任人员依法给予处分；构成犯罪的，移交有关部门依法追究刑事责任。

信息工程监理产生的背景

在国家电子政务工程建设项目管理暂行办法颁布后，第十八条明确规定“电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定，委托具有信息系统工程相应监理资质的工程监理单位，对项目建设进行工程监理　。”强化了信息工程监理的政策依据，对信息工程监理行业的发展起到了良好的支持作用。

信息工程监理产生的原因

近年来，我国在信息产业发展和信息系统建设方面取得了巨大成就，积累了宝贵的经验。但是，在信息系统建设的过程中也陆续暴露了许多问题，如：不能满足设计需求、工期拖延、资金超预算、信息泄露等。更严重的是近年来在信息工程建设领域出现了一些“豆腐渣”、“半拉子”工程，极大地浪费了信息化投资。为此，我国信息产业和信息化建设的主管部门和领导机构在积极推进信息化建设的过程中，对所发现的问题给予密切关注并且采取了有效措施，在信息系统工程建设中引入监理制就是其中一项重要措施。

信息工程监理的定义

信息系统工程监理是指在政府工商管理部门注册的具有信息系统工程监理资质的单位，受建设单位委托，根据国家有关法律法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。其主要作用和目的是通过信息系统工程监理工程师“基于职业谨慎”的工作，力求在计划的质量、进度、投资以及信息安全的范围内实现信息系统建设目标。需要着重指出的是信息系统工程监理单位和监理工程师“将不是，也不能成为任何信息系统工程承建单位的工程承保人或保证人”。监理阶段主要包括工程招标、工程设计、工程实施和工程验收四个阶段。

信息工程监理的发展历程

信息系统工程监理应该说是一个具有中国特色的信息化质量管理标准，它为我国提高信息系统工程建设项目的投资效率、工程质量、技术性能提供了可靠的保证，同时，也对国际信息化发展提供了很好的参考价值。它主要经历了以下发展历程：

1999年，原信息产业部在起草信息系统集成资质认证的相关文件的同时，也开始着手筹备信息系统工程监理相关文件的起草工作。

2002年9月，国务院办公厅【2002】47号文件转发的《振兴软件产业行动纲要》中，明确提出了“国家重大信息化工程实行招标制、工程监理制”。

2002年11月，原信息产业部部信【2002】570号文件

了《信息系统工程监理暂行规定》，共六章，二十二条。

2003年3月，原信息产业部部信【2003】142号文件了《信息系统工程监理单位资质管理办法》和《信息系统工程监理单位工程师资格管理办法》。

第5篇

第一条为全面加强国家电子政务工程建设项目管理，保证工程建设质量，提高投资效益，根据《国务院关于投资体制改革的决定》及相关规定，制定本办法。

第二条本办法适用于使用中央财政性资金的国家电子政务工程建设项目（以下简称“电子政务项目”）。

第三条本办法所称电子政务项目主要是指：国家统一电子政务网络、国家重点业务信息系统、国家基础信息库、国家电子政务网络与信息安全保障体系相关基础设施、国家电子政务标准化体系和电子政务相关支撑体系等建设项目。

电子政务项目建设应以政务信息资源开发利用为主线，以国家统一电子政务网络为依托，以提高应用水平、发挥系统效能为重点，深化电子政务应用，推动应用系统的互联互通、信息共享和业务协同，建设符合中国国情的电子政务体系，提高行政效率，降低行政成本，发挥电子政务对加强经济调节、市场监管和改善社会管理、公共服务的作用。

第四条本办法所称项目建设单位是指中央政务部门和参与国家电子政务项目建设的地方政务部门。项目建设单位负责提出电子政务项目的申请，组织或参与电子政务项目的设计、建设和运行维护。

第五条本办法所称项目审批部门是指国家发展改革委。项目审批部门负责国家电子政务建设规划的编制和电子政务项目的审批，会同有关部门对电子政务项目实施监督管理。

第二章申报和审批管理

第六条项目建设单位应依据中央和国务院的有关文件规定和国家电子政务建设规划，研究提出电子政务项目的立项申请。

第七条电子政务项目原则上包括以下审批环节：项目建议书、可行性研究报告、初步设计方案和投资概算。对总投资在3000万元以下及特殊情况的，可简化为审批项目可行性研究报告（代项目建议书）、初步设计方案和投资概算。

第八条项目建设单位应按照《国家电子政务工程建设项目项目建议书编制

要求》（附件一）的规定，组织编制项目建议书，报送项目审批部门。项目审批部门在征求相关部门意见，并委托有资格的咨询机构评估后审核批复，或报国务院审批后下达批复。项目建设单位在编制项目建议书阶段应专门组织项目需求分析，形成需求分析报告送项目审批部门组织专家提出咨询意见，作为编制项目建议书的参考。

第九条项目建设单位应依据项目建议书批复，按照《国家电子政务工程建设项目可行性研究报告编制要求》（附件二）的规定，招标选定或委托具有相关专业甲级资质的工程咨询机构编制项目可行性研究报告，报送项目审批部门。项目审批部门委托有资格的咨询机构评估后审核批复，或报国务院审批后下达批复。

第十条项目建设单位应依据项目审批部门对可行性研究报告的批复，按照《国家电子政务工程建设项目初步设计方案和投资概算报告编制要求》（附件三）的规定，招标选定或委托具有相关专业甲级资质的设计单位编制初步设计方案和投资概算报告，报送项目审批部门。项目审批部门委托专门评审机构评审后审核批复。

第十一条中央和地方政务部门共建的电子政务项目，由中央政务部门牵头组织地方政务部门共同编制项目建议书，涉及地方的建设内容及投资规摸，应征求地方发展改革部门的意见。项目审批部门整体批复项目建议书后，其项目可行性研究报告、初步设计方案和投资概算，由中央和地方政务部门分别编制，并报同级发展改革部门审批。地方发展改革部门应按照项目建议书批复要求审批地方政务部门提交的可行性研究报告，并事先征求中央政务部门的意见。地方发展改革部门在可行性研究报告、初步设计方案和投资概算审批方面有专门规定的，可参照地方规定执行。

第十二条中央和地方共建的需要申请中央财政性资金补助的地方电子政务项目，应按照《中央预算内投资补助和贴息项目管理暂行办法》（国家发展和改革委员会令第31号）的规定，由地方政务部门组织编制资金申请报告，经地方发展改革部门审查并报项目审批部门审批。补助资金可根据项目建设进度一次或分次下达。

第6篇

关键词：计算机网络 信息安全 防范策略

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2014）05-0190-01

当前社会信息化速度越来越快，英特网技术被广泛应用在社会生活的各个领域，网络已经深入人们的生活，成为日常生活的重要组成部分。随着人们对网络信息的需求越来越大，对信息网络的以来程度快速提高，网络安全问题也越来越突出。因此，我们有必要对网络安全问题进行研究，分析网络安全的影响因素，并提出相应的防护策略。网络环境下的计算机系统因英特网的开放性及其他因素而面临严峻的安全形势。人们一直在开发各种各样的安全机制和网络安全工具来降低网络安全风险。

1 计算机信息技术在当今时代的情况

随着计算机信息技术的广泛推进，Internet网络技术已经得到了普遍的应用，在二十一世纪网络技术已经成为民众生活当中不可或缺的一个重要部分，大家对于计算机系统产生信息安全及防护措施的需求及依赖性正在不断地增强。与此同时计算机网络在安全方面所面临的威胁也在不断的增强。由于Internet技术的广泛性和开放性导致计算机技术到目前为止存在诸多的网络隐患。

2 造成计算机网络信息安全隐患的因素

安全的信息运行、安全的数据连通以及网络管理人员高度的安全意识是确保计算机网络信息俺去的关键性因素。三个方面的安全缺一不可，整个网络系统的安全必须依赖于三个环节的正常运转。是否具备完善的软硬件设施、网络信息安全是否受到病毒的影响、是否由于内部泄密导致机密泄露、是否具备完善的网络管理制度……等等、这些都会直接影响到网络信息的安全性。对网络安全管理人员而言，为其提供一套统一的界面以便于随时监控各项网络设备的运行状态可以说是其最主要的需求，这样有助于其及时地整合、梳理各项文本信息及预警系统，处理各项功能及问题。受当前网络设备的复杂性以及大量应用系统导致的特殊性及差异性，极易导致网络管理员无所适从。另外，各项网络操作、设备及应用系统受制于不同的管控平台，进一步加大了网络管理的难度。

3 计算机网络信息安全及防护的潜在威胁

3.1 自然灾害

计算机信息系统作为智能系统的操作整体，其防御自然灾害的能力较弱，由于当今很多人们没有将计算机的日常防护作为关注的对象，导致很多计算机由于各种自然的原因而停止工作，例如很多计算机所处的空间并没有设置防地震、防火灾、防水、防雷、以及避电磁波干扰等相应的防控手段。导致许多计算机在遇到以上情况时出现机器瘫痪的状况。

3.2 操作失误

操作失误通常情况下都是人为控制，由于个人原因造成的网络隐患，一些计算机用户在计算机网络安全的防范方面缺乏安全意识，面对一些计算机网络用户名和身份认证的时候不具有安全和防范意识，可能造成自身的用户名被一些非法分子利用并篡改，进而给网络带来众多的安全隐患并造成一定的威胁。

4 常用的计算机网络信息安全防护策略

4.1 加强用户账号的安全

用户账号能广泛地涉及到网银账号、邮件账号、登陆账号等众多应用账号，网络黑客正是通过窃取合法的账号及密码来对网络系统进行攻击。因此为加强计算机网络信息的安全性，首先要设置复杂的系统登陆密码，另外要尽可能避免相同或相似账户的重复注册，要广泛采取特殊符号、字母以及数字的组合，密码设置要尽可能地长一点并随时进行修改。

4.2 安装防火墙和杀毒软件

网络防火墙通过控制网络之间的访问，有效阻止网络外部用户通过非正常渠道对内部网络资源进行访问，进而实现对内部网络操作环境进行保护的互联网络设备。它可以数据包在对两个甚至两个以上的网络之间进行传递进行一定的安全检查，以确保数据包在网络通信允许的前提下进行传递，同时，它还能对网络运行状态进行实施监控。按技术分类，防火墙可能分为监测型、型、地址转换型以及包过滤型等几种类型。其中，地址转换型防火墙可以通过将内部IP地址外部化、临时化来实现对IP地址的有效隐藏和保护。因此当外部网络对内部网络进行访问时，很难对内部网络的链接情况有效掌握，只能通过经过处理的外部IP地址及端口来访问内部网络。包过滤型防火墙运用网络分包传输技术，可以依靠数据包中的地址信息来对数据包的可靠性进行判断，进而自动将来自不信任站点的数据包排除在外。

4.3 及时安装漏洞补丁程序

在网络系统设计中往往因为软硬件及程序设计不完善、功能不全或配置不当等造成网络漏洞，进而成为黑客进行网络攻击的弱点。根据一份由美国威斯康星大学的Miller所出具的关于当前运用最为普遍的应用程序和操作系统研究报告，没有漏洞和缺陷的软件是不存在的。这些软件的漏洞就为黑客和病毒攻击用户提供了便利。

5 结语

计算机网络信息安全问题，是当今广受关注的问题，由于信息技术在不断进步的同时也滋长了“网络黑客”的犯罪技能，所以人们要时刻提高警惕，严防网络陷阱和网络犯罪人员。时刻保持着谨慎的状态，保护好自己的切身利益不受侵害。因此我们必须综合运用各种防范策略，集众家之所长，互相配合，从而建立起网络信息安全的防护体系。

参考文献

[1]彭，高君.计算机网络信息安全及防护策略研究[J].计算机与数字工程，2011（10）.

[2]朱亮.计算机网络信息技术管理及其安全防护策略[J].电脑知识与技术，2012（05）.

第7篇

 

由于信息安全问题的广泛性和重要性，它已经引起了各界的关注，并出现了一些热烈的讨论。值得注意的是，这些讨论表现出明显的泛政治化倾向;争论背后也隐含着特定的“政治正确”的假设。这种局面使讨论很难深入下去，也不利于尽快达成一致意见。更糟糕的是，这还会影响到政府决策的连续性和一致性。

 

比如说，在推进信息化的过程中，各级政府采用了大量的优惠政策，扶持信息技术研究开发、信息产业以及信息技术业务应用;但与此同时，国家又从信息安全的角度对信息技术的业务应用施加了非常严格的管制。这两类政策存在严重的冲突，而且都可能诱发竞争性寻租行为。但由于有关信息安全的讨论是在政治化的氛围中展开的，这两类政策之间的矛盾就几乎无法化解。

 

本文意在指出，围绕信息安全的讨论泛政治化的根本原因是背后经济利益的驱动。要摆脱这种泛政治经济化困境，必须求助于经济学研究工具，并努力将争论建立在经验研究的基础上。

 

本文分三部分。第一部分讨论利益与信息安全投资的关系;第二部分讨论科斯命题与安全责任的配置;第三部分讨论网络效应与安全基投资风险。

 

一、利益和信息安全投资

 

自利是经济学的一个根本性假定。这一假定是否可以用来分析信息安全问题呢?答案是肯定的。

 

世界著名的密码学家、英国剑桥大学教授Ross Anderson(2002)指出，安全工程研究领域在近年出现了一次重要的分化。20世纪90年代，政府试图引入密钥托管并加强对信息安全的管制，这导致研究群体的分化，一部分研究者积极研究数字权利管理系统，另外一部分研究者则致力于隐私权保护，并往往支持自由源代码或开放源代码运动。两个群体并未直接争论，但其潜在客户显然不同。无论哪一个群体，他们是否都高估或过分强调了信息安全问题呢?信息安全投资真的象信息安全专家所说的那样存在投资过低的问题吗?是否存在相反的可能性?他所提的一个问题为讨论经济利益与信息安全之间的关系提供了一个出发点。

 

从政治经济学角度看，安全专家有夸大信息安全问题的动因。所以，信息安全投资过度的危险确实存在的。教授信息安全的研究者希望用存在网络攻击威胁这一理由获得研究资助，警察则希望用信息安全的名义建立一个计算机犯罪管理机构，推销商为了实现其安全产品销售计划，也有必要大谈信息安全的重要性。

 

一些彼此矛盾的说法为这种可能提供了印证。安全专家今天说电子邮件截取如此简单，用户使用网络必须小心信用卡号码被盗取;明天联邦调查局告诉我们检查电子邮件太困难了，每个网络服务商都有必要安装一个特制的盒子来为他们的工作创造条件。Anderson说，如果电子邮件检查真的比打开普通信箱还要困难，那些加密公司所卖的产品还有什么价值吗?

 

Anderson说，他目睹了几种信息安全潮流的兴起与衰退。他的直觉是，厂商不把资金和精力集中在信息安全问题上有其合理性，其信息安全投资大体适度，也许还有些偏高，而不是如专家们说的那样，投资太低。

 

Soo Hoo的研究报告(2002)为Anderson的判断提供了系统的证据。根据他的研究，信息安全的投资回报率在20%左右，低于所研究时段内的IT投资所要求的30%这一投资回报率。中国的信息安全投资收益率是怎样的呢?是否存在同样的投资过度问题呢?不研究这些问题，围绕信息安全的讨论就缺少必要的经验基础。

 

二、科斯命题与安全责任配置

 

除了信息安全投资的总量问题，Soo Hoo(2002)还对安全投资的配置方向进行了研究，指出那些更为简单、廉价的信息安全措施(如屏幕显示锁)投资回报高于那些大型项目(如PKI)投资。这显然是一个需要深入调查的课题。因为安全投资配置不当意味着不能有效实现信息安全这一目标。而市场经济条件下的投资配置是与激励紧密相关的;恰当的激励来自恰当的制度。这就与科斯的命题联系在一起了。

 

著名新制度经济学家科斯曾经提出一个被称为科斯定理的著名命题，该命题的核心内容是，在交易成本为零的条件下，产权界定与经济效率无关，市场机制总会使资源配置达到最优状态;但是，在交易成本为正的条件下，产权界定就变得至关重要。比如，如果交易很容易达成，不管山洞的使用权是界定给糖果制造商还是仓储商，市场总是可以把山洞的使用权转移到利用水平最高的人手里(收益最大);但如果交易成本很高，那就不能保证这一点了。产权界定给利用水平最高的人和利用水平较低的人，其经济结果是不一样的(科斯，1996)。法和经济学研究者将这种分析应用到法律责任的配置问题，将不可抗力导致的违约责任分配给能够最有效地防范和处理意外情况的一方来承担(尤伦、库特，1994)。

 

对信息安全问题来说，安全责任的划分(一种产权形式)也是至关重要的。Anderson(1994)曾经对英国自动提款机欺诈案件进行了研究，结论令人惊讶，所有的提款机加密技术都足以保证交易安全，而所有的欺诈事件都与人为错误有关;产生安全问题只是因为银行没有正确地安装加密系统。

 

银行为什么没有正确利用加密系统呢?答案在于，英国特殊的安全责任配置。在美国，如果消费者与银行出现争议，举证责任在银行，也就是说，除非银行能够证明消费者的错误，否则，法律保护消费者的利益。英国的情况则相反，出现争议时，举证责任在消费者而不是银行，除非消费者能够证明银行的错误，否则，法律保护银行的利益。两种不同的责任界定产生了不同的结果。美国的银行积极投资于风险管理技术，在容易产生欺诈的地区安装摄像镜头，并组织员工进行安全操作方面的培训;尽管英国银行的安全支出高于美国的银行，但因为对这些方面漠不关心，导致了自动提款机的不当利用，并出现了一个自动提款机诈骗高峰。

 

从经济学角度看，如果安全责任的转移机制不完善，不同的安全责任配置条件下效率是不同的。在自动提款机的例子中，最能胜任风险管理任务的显然是银行而非消费者，因此，将更多的安全责任配置给银行是合理的。这一结果与科斯命题的预期是一致的。

 

尽管在分配安全责任时必须考虑交易成本的影响，但我们不能希望恰当的安全责任配置必定出现(知识、决策能力等方面的约束)。因此，建立风险责任的转移机制是必要的。经典的经济学解决方案是开办信息安全保险，并开发相应的保险品种。在这种机制下，保险公司愿意向采用良好安全实践的机构提供保险，因此，他们有动力教育客户如何改进其网络安全。问题只是，现有的大部分保险公司都缺乏信息安全方面的知识，难以对有关的风险作出判断。不过，一旦开办这种业务，保险公司会有强大动力去处理这类问题，并有望向客户提供更好的建议。

 

范里安指出，解决计算机犯罪问题的第一步，就是要分配那些最能够管理这种风险的法律责任。只有这样，信息安全保险业务才能够逐步发展起来(范里安，2000)。

 

三、网络效应与安全基投资

 

安全基指的是网络与信息安全的最基础层次问题，国内通常将操作系统软件与CPU芯片的安全性纳入这一范围的讨论。人们倾向于认为，没有本土的操作系统和CPU芯片的技术能力，信息安全最终无法保证。因此，国内扶植和研究开发操作系统和CPU芯片是必要的。

 

其实，操作系统软件和CPU在国外也是一个争论多年而没有解决的问题。在这两个领域，微软和英特尔分别占据市场的支配性地位，并且两家公司谨慎地使公司之间的联盟持续了20年。人们将其近乎垄断的地位称做“Wintel”(Windows和Intel两个词连在一起的缩写)。然而，在国外，人们不是从安全的角度来研究，更多的是对微软和英特尔在这两个领域持续20年的强大联盟感到不安，担心这会对市场的健康发展带来损害。因此，微软多次受到起诉，认为其诸多做法微软反垄断法，涉嫌不正当竞争。

 

国内信息产业界的有关人士对微软和英特尔在国内市场的强大地位也深表不安，并指出这种地位使信息安全问题缺乏根本保证，因此，主张支持操作系统软件和CPU的自主研发，并促进其产业化。这种看法有其合理之处，但并没有严谨地对待对两家公司达到并维持目前市场地位的机理。

 

著名经济学家夏皮罗和范里安指出，信息经济的网络外部性特征是形成两家公司目前地位的基本原因。对于具有网络效应的行业，如电话、航运、传真，网络的价值与用户的多少密切相关。有时，人们将这一点称做梅特卡夫定律(Metcalf‘s Law)。而网络经济受到网络外部性的深刻影响。

 

首先，产品对某一用户的价值依赖多少用户使用它;

 

其次，该技术的固定成本高昂。第一个软件或芯片可能耗资数百万美元，但制造商随后的拷贝成本可能非常低廉。在这种情况下，纯粹的价格竞争倾向于使企业收入按照边际成本定价(对软件来说，复制的边际成本几乎为零)。因此，厂商倾向于采用非价格手段争取产品按照产品对用户的价值定价。

 

第三，用户采用替代技术的转折成本高昂，从而引起锁定效应。即使竞争者的产品非常廉价，但用户仍然采用占据优势地位的产品。最终，客户基础的现值等于用户转移的总成本(夏皮罗、范里安，2000)。

 

在这种情况下，从安全基础的角度对本土操作系统软件和CPU的支持必须考虑支持的成本和成功的机会。

 

由于网络效应的存在，微软和英特尔得以在竞争压力下维持现有的强大市场地位，尚未产生出对其市场地位形成根本挑战的公司。在这一背景下，希望能够通过扶植政策实现操作系统软件和CPU的国产化，并解决信息安全的基础问题，实在是不容乐观的。在安全基政策出台之前，谨慎地对风险与机会进行研究评估恐怕是非常必要的。这也正是经济学最为擅长的地方。

第8篇

几年来，各司局对此比较重视，执行的效果总体是好的。随着《行政许可法》和《国务院关于投资体制改革的决定》的颁布实施，招标内容的核准需要作相应的调整，主要体现在：一是原国家计委9号令中只原则性地规定依法必须进行招标的项目属于需要核准招标内容的范围，目前需要进一步区分为政府投资项目和企业投资项目，对政府设资项目继续实行审批制，对企业投资项目改为核准制或备案制，这样，对招标内容的核准就需要根据管理方式的改变相应调整；二是需要根据《招标投标法》和《行政许可法》的规定，进一步明确需要核准招标内容的企业投资项目范围；三是原国家计委9号令中没有对我委内部司局核准招标内容时的职责分工、方式和程序等问题做出具体规定，目前很有必要予以细化。为了适应新形势的要求，提高投资监管和调控水平，现就加强和改进我委审批(核准)工程建设项目的招标内容核准工作，提出如下意见。

一、职责分工原则按照职责分工，谁审批(核准)建设项目可行性研究报告、项目申请报告或资金申请报告，谁负责对项目招标内容进行核准。

(一)投资司负责全委招标内容核准工作的组织协调，以及投资司审批、核准项目招标内容的核准。

(二)其他有关司局负责本司局审批、核准项目招标内容的核准。

(三)法规司负责有关招标内容核准政策、规章的制定。

(四)稽察办负责招标内容执行情况的稽察，并将稽察情况通报投资司、法规司和其他有关司局。

(五)有关司局在办理国家鼓励项目进口设备免税和技改项目采购国产设备抵扣税确认书时，应对已核准项目的招标内容的执行情况进行认真审核。

二、核准招标内容的项目范围

(一)我委审批或者我委初审后报国务院审批的中央政府投资项目。

(二)向我委申请500万元人民币以上(含本数，下同)中央政府投资补助、转贷或者贷款贴息的地方政府投资项目或者企业投资项目。

(三)我委核准或者我委初核后报国务院核准的国家重点项目，具体包括：

1、能源项目：

(1)在主要河流上建设的水电项目和总装机容量25万千瓦以上水电项目；

(2)抽水蓄能电站；

(3)火电站；

(4)核电站；

(5)330千伏以上电压等级的电网项目；

(6)国家规划矿区内的煤炭开发项目；

(7)年产100万吨以上的新油田开发项目；

(8)年产20亿立方米以上的新气田项目；

(9)进口液化天然气接收、储运设施；

(10)跨省(区、市)干线输油管网项目；

(11)跨省(区、市)或年输气能力5亿立方米以上的输气管网项目。

2、交通运输项目：

(1)跨省(区、市)或100公里以上铁路项目；

(2)国道主干线、西部开发公路干线、国家高速公路网、跨省(区市)的公路项目；

(3)跨境、跨海湾、跨大江大河(通航段)的桥梁、隧道项目；

(4)煤炭、矿石和油气专用泊位的新建港区及年吞吐能力200万吨以上港口项目；

(5)集装箱专用码头项目；

(6)新建机场项目；

(7)总投资10亿元以上的扩建机场项目；

(8)扩建军民合用机场项目；

(9)内河航运千吨级以上通航建筑物项目。

3、邮电通信项目：

(1)国内干线传输网、国际电信传输电路、国际关口站、专用电信网的国际通信设施及其他涉及信息安全的电信基础设施项目；

(2)国际关口站及其他涉及信息安全的邮政基础设施项目。

4、水利项目：

(1)大中型水库及国际河流和跨省(区、市)河流上的水库项目；

(2)需要中央政府协调的国际河流、涉及跨省(区、市)水资源配置调整的项目。

5、城市设施项目：

(1)城市快速轨道交通；

(2)跨省(区、市)日调水50万吨以上城市供水项目；

(3)跨越大江大河、重要海湾的城市桥梁、隧道项目。

6、公用事业项目：(1)大学城、医学城及其他园区性建设项目；(2)国家重点风景名胜区、国家自然保护区、国家重点文物保护单位区域内总投资5000万元以上旅游开发和资源保护设施，世界自然、文化遗产保护区内总投资3000万元以上项目；(3)F1赛车场；(4)大型主题公园。

7、经国家批准的重大技术装备自主化依托工程项目。

三、核准招标内容的方式

(一)本意见第二条第(一)项所列项目，应当在可行性研究报告中包含招标内容，我委在审批可行性研究报告时核准相关招标内容。

(二)本意见第二条第(二)项所列项目中地方政府投资项目，地方政府审批部门在审批项目时核准相关招标内容；向我委提交资金申请报告时，应附核准的招标内容，我委在审批资金申请报告时复核招标内容。

(三)本意见第二条第(二)项所列项目中企业投资项目，向我委提交资金申请报告时，应附招标内容，我委在审批资金申请报告时核准招标内容。

(四)本意见第二条第(三)项所列项目，向我委提交项目申请报告时，应附招标内容，我委在核准或者初核项目申请报告时核准招标内容。

(五)向我委申请中央政府投资补助、转贷或者贷款贴息的地方政府投资项目或者企业投资项目，资金申请额不足500万人民币的，在资金申请报告中不须附招标内容，我委也不核准招标内容；但项目符合《工程建设项目招标范围和规模标准》(原国家计委令第3号)规定范围和标准的，应当依法进行招标。

(六)使用国际金融组织或者外国政府贷款、援助资金的建设项目，贷款方、资金提供方对建设项目报送招标内容另有规定的，从其规定，但违背中华人民共和国社会公共利益的除外。

四、招标内容应包括的事项招标内容应包括；(一)建设项目的勘察、设计、施工、监理以及重要设备、材料等采购活动的具体招标范围(全部或者部分招标)。(二)建设项目的勘察、设计、施工、监理以及重要设备、材料等采购活动拟采用的招标组织形式(委托招标或者自行招标)；拟自行招标的，还应按照《工程建设项目自行招标试行办法》(原国家计委令第5号)规定报告书面材料。(三)建设项目的勘察、设计、施工、监理以及重要设备、材料等采购活动拟采用的招标方式(公开招标或者邀请招标)；国家重点项目拟采用邀请招标的，应对采用邀请招标的理由作出说明。

第9篇

关键词：大学生；微信传播；个人信息；信息安全

一、研究背景

微信是腾讯公司于2011年1月21日推出的一款应用程序，投入使用后以其信息便捷、成本低廉、传播速度快等特点吸引了众多用户。大学生是活跃在微信中的中坚力量。根据中国互联网络信息中心（CNNIC）2017年1月22日的第39次《中国互联网络发展状况统计报告》，截至2016年12月，中国网民规模达7.31亿，互联网普及率达53.2%，手机网民占整体网民的95.1%。在网民构成中，在校大学生比例约占30%（包括大专、本科、硕士、博士）。2016年4月8日，中国互联网信息中心（CNNIC）的《中国社交应用用户行为研究报告》显示，微信使用率为69.1%，在移动即时通信工具中排名第二，活跃用户已达到5.49亿。18～25岁的使用人群比例约占总使用人数的45.4%，其中大学生占有相当大的比重。近年来，微信在大学校园中的使用率直线上升。调查发现，84%的大学生使用微信的时间达到一年以上（包括一年），67.5%的大学生使用微信的主要原因是节省短信费和电话资费等，47%的大学生使用微信是为了关注好友的生活动态。微信与大学生的社交生活息息相关。由于大学生校园生活环境简单，自身缺乏社会经验，在微信的使用过程中，其传播与信息安全是值得研究的问题。

二、研究发现与分析

此次研究选取了西安某高校，采用了网上电子调查问卷的方法，回收有效问卷共200份。样本的性别构成大致为：男生共129人，占64.5%；女生共71人，占35.5%。专业基本构成为：理工类121人，占60.5%；文史类共63人，占31.5%；艺术类共16人，约占8%。（一）大学生对微信功能的使用呈多样化。大学生广泛使用的微信功能有朋友圈、摇一摇、微信相册、扫一扫、附近的人、微信支付、漂流瓶、公众号等。收集到的数据显示，在所有的调查对象中，朋友圈的使用率占80.5%，占据最高比例；公众号的使用率占75%，位居第二；微信支付排名第三，占42%；大学生使用扫一扫这一功能也占据较大比重，为39%。此外，微信相册的使用人数占总人数的27.5%，使用摇一摇的人数占总人数的19%，使用附近的人这一功能的人数占总样本的10.5%，漂流瓶的使用率占7.5%。（二）参与微信活动中潜在的信息泄露途径分布广。大学生在使用微信的过程中会参与许多微信活动，如测你的前世今生、今日运势等测试类游戏，免费抽奖活动，扫码关注非官方微信公众号，非正规的砍价活动，微信投票活动，点击不明微信红包链接等。根据调查数据显示，仍有28.5%的大学生在参与微信活动时不会质疑主办方的权威性。根据数据统计，参与微信投票活动的比例为总人数的71.5%，排名第一；扫码关注非官方微信公众号的比例为总人数的63.5%，排名第二；测你的前世今生、今日运势等测试类游戏也占据较高比例，为31.5%；参与免费抽奖的比例为总人数的30.5%；非正规砍价活动的参与率达24%；点击不明微信红包链接的参与率为13.5%。此类微信活动多是不法分子通过这几类微信活动吸引用户的注意力从而达到篡取用户个人信息（如姓名、出生日期、联系方式、个人位置等）的目的。例如，免费抽奖类活动往往中奖率极高，用户中奖后需完善个人信息才可以领取奖品，然而用户并不会收到什么奖品。这些活动都有自己的后台服务器，用户在与其互动中会在后台留下痕迹，不法分子通过这些痕迹能够全方位地掌握用户个人信息。用户在参与的过程中，后台服务器会通过游戏向用户手机植入木马程序，窃取用户的银行卡、支付密码等造成用户财产上的损失。（三）大学生能对微信中传播的个人信息保持一定的警惕，但警惕意识淡薄。大学生在微信中传播的内容对研究微信的个人信息安全具有重要价值，而大学生在微信中参与的有关活动及其社交行为，则最能说明大学生这一微信使用群体在个人信息与信息安全保护等方面的认识和重视程度。调查统计结果显示如下：从收集到的数据来看，50.5%的人认为他们与陌生人交谈时不会涉及自身信息，34%的人表示偶尔会，8%的人表示看心情，还有7.5%的人表示会涉及自身信息。另外，关于是否遇到过微信中个人信息泄露的情况，占50%比例的人表示自己可能有，但不清楚。43.5%的大学生经常与自己相关的真实动态，28%的大学生表示偶尔会，28.5%则认为自己不会与自己相关的真实动态。基于此，在个人信息安全意识方面，大致可分为警惕意识强和警惕意识较弱这两种情况，在调查对象的数量上，二者几乎是对半存在的。可见，部分大学生对个人信息这一概念比较模糊，对个人信息的防范意识比较弱。根据数据统计，因为参加某个微信活动而收到陌生人的广告或任何形式的信息骚扰的情况，33%的人表示有，38%的人表示没有，29%的人认为可能有，但不清楚；遇到类似情况，占50%比例的人表示会提高警惕，拒绝参与；占17.5%比例的人采取置之不理，继续参与各种活动的态度；还有20.5%的人知道存在安全隐患，但不拒绝活动；有12%的人持其他态度。由此可见，大学生在参与微信活动的过程中，针对信息泄露情况警觉性较差，往往存在侥幸心理，对某些隐含风险的微信活动认识欠缺，致使对个人的信息安全造成了威胁。从对大学生的微信社交行为来分析，整体上大家对个人信息安全能够保持一定的警惕性，但部分同学的个人信息安全意识仍较淡薄，且对个人信息的保护措施不到位，使得在使用微信的过程中仍然存在较大的信息泄露风险。

三、大学生微信传播存在的安全问题

（一）自身隐私信息的公开化在问卷调查中发现朋友圈的使用率最高。用户可以通过朋友圈自由表达情感，并选择是否分享其位置信息，不法分子通过分析这些信息在聊天中拉近彼此距离，从而成功促成网友会面。例如，西安某高校女大学生在朋友圈其失恋的动态后分享了她的位置，犯罪分子与其聊天后，以会见异性校友的名义要求与她见面，成功后迅速赶到约定地点进行诱拐。另外，浏览朋友圈时，大学生很容易被标题化的内容吸引，进而点击阅读。这种习惯是不健康的，如果这仅仅是不法分子博得用户吸引力的手段，那么用户的点击就可能会造成个人信息的泄露。（二）参与活动不核实其权威性。关注微信公众号送小礼品的活动在各大高校中比比皆是，大部分大学生不会考虑自己被要求关注的公众号的权威性。关注了微信公众号之后，在微信上与公众号后台运营者进行互动，参加一些活动，个人信息很可能会在无形之中被不法分子窃取利用，进而对个人信息的安全造成威胁。（三）轻信微信购物易引发信息泄露及交易诈骗。研究表明，71%的大学生在微信上绑定了银行卡，这就为“微商”打开了一个年轻的市场。大学生进行微信购物的方式有两种：一种是在个人商家的“微商城”“微店”中购物；另一种是从微商或者已经成为微商商的朋友处购买。这样的交易建立在朋友圈的信任之上，交易成功后，卖家会以要寄出商品为由向大学生索要电话住址等信息。随着微信购物圈的扩大，微信购物带来个人信息泄露的可能性越来越大。同时，大学生群体对商家及商品缺乏辨识能力，交易诈骗频发。（四）微信红包“陷阱”。随着微信的不断升级和使用，微信红包功能越来越受大家的追捧。据央视新闻报道，有一种“红包”以链接的形式发给微信用户，这种“红包”其实被植入了木马病毒。它设计的页面跟微信钱包十分相像，用户在点击的时候，个人信息与手机绑定的网银、支付宝等账户就会不知不觉地被人盗用，随后转走用户的钱财，而这一切用户根本不知晓。调查发现，大学生在遇到不明链接时，尤其是微信红包链接，点击并参与的大学生还占有一定比例，这对个人信息安全存在着潜在威胁。（五）互联网环境下交友的潜在危险。依托微信的强互动性，微信交友也使大学生群体面临着来自人身、信息及财务的安全威胁。微信“摇一摇”是微信内的一个随机交友应用，用户通过摇一摇可以匹配出与自己同时摇一摇的微信用户，这种新奇的交友方式极大地满足了大学生的猎奇心理。自微信推出摇一摇以后，它的使用次数每日多达一亿次。正是由于摇一摇随机交友的便捷性，所以摇一摇对大学生微信用户的个人信息安全存在着潜在的危险。摇一摇的随机交友具有匿名性，大学生生活学习的环境单纯，戒备心弱，一些不法分子正是抓住了这一特点进行不法活动。例如，不法分子隐瞒自己的真实身份，拟一个化名通过与大学生微信用户的日常聊天来窃取他们的个人信息。

四、思考与建议

通过以上分析，发现大学生在使用微信的过程中存在信息安全隐患的主要原因有：一方面，媒介自身在运行过程中存在一些漏洞，使得不法分子有机可乘。除此之外，对于一些由微信引起的违法犯罪的案件，我国还没有具体的法律条文对其进行约束和制裁。另一方面，大学生日常学习生活环境较为单纯，社会经验不足，在个人信息安全方面认识浅显，防范意识淡薄。针对以上问题，我们将从新媒体素养、微信使用习惯及防范意识三个方面，对大学生在个人信息安全保护方面提出建议。（一）加强对微信传播特性的认识，提高大学生新媒体素养。普及新媒体素养教育，促进大学生正确认识新媒体的效用、正负向影响，正确认识、使用微信成为当务之急，可通过媒介素养教育提升大学生个人信息的防范意识。在微信被广泛使用的形势下，准确认识隐藏在微信中的信息漏洞应当成为大学生必备的技能。今后再遇到微信中不明链接和不明红包时，大学生要提高警惕意识，不能抱有侥幸心理，应当避而远之，防止个人信息被窃取。另外，在微信使用过程中遇到诸如违法犯罪行为时，要明确其危害性并广而告之。大学生努力提高自身认知水平，将会在今后的个人信息安全保护方面变得更加从容。（二）正视微信传播，树立健康的微信传播心态，形成良好的微信使用习惯。大学生良好的微信使用习惯在信息安全保护方面起着重要作用。在与陌生人的聊天中应尽量避免提及自身信息，杜绝通过这一途径泄露个人信息。选择性阅读与参与微信活动时的谨慎，是形成良好使用习惯最为关键的环节，这既要求大学生提高自身素质、增加对内容的辨识度，又要求其树立正确的观念，不贪图小利，不抱有猎奇心理。（三）做好个人隐私保护，提升自身风险防范意识从大学生自身角度来说，要规避微信传播所带来的个人信息安全风险，最重要的是提高自身风险防范意识。大学生要在微信传播过程中提高戒备心，不随意加陌生人；对陌生人要。设置朋友圈权限，与对方交流时刻保持警惕；对微信链接中非官方信息的安全性要持怀疑态度，不随意在不明链接活动中填写与个人信息相关的内容。大学生在享受微信传播带来的社交便利和娱乐的同时，更要重视对个人信息安全的保护。

作者:张南 韩珂 马海燕 单位:西安石油大学

参考文献：

［1］第39次《中国互联网络发展状况统计报告》［R］.中国互联网络信息中心，2017-01-22.

［2］王元卓，范乐君，程学旗.隐私数据泄露行为分析［M］.清华大学出版社，2014：65-70.

［3］丹尼尔•沙勒夫（美）.隐私不保的年代［M］.江苏人民出版社，2011：145-152.

［4］P.W.辛格（美），艾伦•弗里德曼.网络安全：输不起的互联网战争［M］.中国信息通信研究院，译.电子工业出版社，2015：164-170.

第10篇

2013年3月28日-30日，由系统工程股份有限公司信雅达（证券代码600571）主办的“融合共享智创未来”2013金融峰会在杭州成功举行，所围绕的主题便是金融领域的创，而探讨新时代如何运用科技手段进一步推动业务创新、维护金融行业的稳定安全更是其应有之义。

主办者信雅达是一家专注于集中运营、智能网点、互联网金融、智慧银行的解决方案建设的公司，从事金融领域的市场服务已经接近20年。事实上，这20年的时间也正是中国金融服务领域发生剧变的时间段。

移动钱景

近年来，得益于智能手机、3G网络和移动互联网的快速发展，移动支付凭借其方便、快捷、安全的特点深受用户欢迎，越来越多的人选择通过手机进行消费活动。据艾瑞咨询《2012-2013年中国移动支付市场研究报告》数据，2012年中国移动支付市场交易规模达1511.4亿元，同比增长89.2%；预计2016年中国移动支付市场交易规模将突破万亿交易规模，达到13583.4亿元。

国内的移动支付业务在交易额度、交易笔数和行业覆盖方面已经取得了实质性的突破，其广阔的市场前景也受到了越来越多的关注。以金融机构、终端制造商和以支付宝为代表的第三方支付机构为了分享移动支付这块“大蛋糕”，纷纷加大在移动支付领域的产品布局，借机推出相应的移动支付产品，如手机支付宝、手机刷卡器。2012年年底，中国银行、中国建设银行、交通银行等10家银行开通了手机银行业务，移支付市场的争夺大战正在2013悄然上演。

类似信雅达这样着眼于在个性化、移动化和远程银行自助服务解决方案的企业，也致力于POS系列产品、金融信息安全产品的研发、生产、销售和技术服务，其中包括首款支持音频通信的手机端、首批通过银联个人支付终端安全认证的手机刷卡器、第一款通过银联测试的带密码键盘和液晶显示支持IC卡和磁条卡刷卡的二代安全手机刷卡器。

业内人士分析认为，这些基于移动互联网的创新产品打破了传统金融机构在时间和地域上的限制，为手机用户提供随时随地便捷支付服务，很大程度上弥补了金融基础设施和服务的固有缺陷。这种更加人性化、更加便捷的消费方式必将促进金融业务的全面普及，为移动支付甚至整个第三方支付领域的发展提供了新的契机。

大数据金融

招商银行行长、金融专家马蔚华一直强调：“信息技术之于银行业就如同空气一样，须臾不可或缺，历史上每一次通讯技术的变革，都会带来银行的变革”。作为中国银行业金融创新的生力军，信雅达公司也紧随时展趋势，逐步拓宽其产品线。在金融软件方面，通过银行流程再造业务革新；在金融设备方面，开发了包括金融电子支付系统及终端设备、数据安全产品系列产品；在金融服务方面，实现数据处理中心实现联合作业，为用户提供业务流程外包服务；打造了完完整的产业群。

第11篇

福建省档案局高度重视档案信息标准规范建设，将档案信息标准建设纳入档案事业发展的“十五”计划，组织力量、加强研究，以指导全省档案基础数据库建设。2002年福建省第九届人大第三十六次会议通过的《福建省档案条例》中规定：省人民政府档案行政管理机构应当按照国家有关规定，统一档案信息化建设的数据标准，规范档案信息化管理。2002年11月，“福建省分布式档案基础数据库”项目建设正式立项启动，项目建设总体目标是：以省、设区市、县（市、区）94个综合档案馆馆藏档案为对象，以分布式档案数据库建设为核心，重点建设“福建省分布式档案目录数据库”、“福建省分布式重要档案数据库”、“福建省馆藏多媒体档案数据库”三个全省性、规范化、可共享的基础数据库以及相配套的基础网络系统和应用系统，实现全省馆藏档案信息资源的社会共享，同时为接入全省政务信息网的各立档单位提供电子档案存放和调阅服务。在项目建设过程中，档案信息标准和规范的研究制定作为一个子项目纳入了整体建设的可行性研究报告和实施方案中，提出要“通过制定各项标准，确保档案数据的通用、共享与交换，确保在软、硬件环境变化时档案数据的完整、安全和有效利用”。几年来，结合项目建设和管理的需要，制定了一系列相关的标准和规范。

1、档案数据库建设标准与规范。近几年，福建省档案局为保证档案数字化的工作规范和数据产品质量，先后制定并下发了有关档案数字化的标准与规范。

1998年，全省国家综合档案馆启动建国后档案目录数据库建设，制定了《福建省各级综合档案馆文件级档案目录数据库结构与著录要求》和《福建省国家综合档案馆档案目录数据库建设前处理规范》，确保了档案目录数据库的质量。

2000年开始，省档案局组织实施对全省档案目录数据库的规范和检查，在此基础上起草了《文书档案目录数据交换格式与著录细则》和《福建省综合档案馆档案目录数据库建设操作规范》。

2002年3月，《文书档案目录数据交换格式与著录细则》（DB35／T161－2002）作为福建省地方标准由福建省质量技术监督局实施，为馆室之间一体化档案信息数据移交、交换和共享打下了基础。

2003年，为配合“福建省分布式档案基础数据库”项目建设，制定了《照片档案扫描系统操作规范》与《照片档案扫描人员岗位职责及产品验收标准》与《缩微档案转换系统操作规范》、《缩微档案转换系统人员岗位职责及产品验收标准》《纸质档案扫描系统操作规范》与《纸质档案扫描系统人员岗位职责及产品验收标准》、《视音频档案转换系统操作规范与产品质量标准》等标准和规范，明确不同载体档案数据的采集要求，严格各种产品生产操作的程序。

2、档案信息管理标准与规范。电子档案是电子政务发展的必然产物，也是今后信息化环境下档案的主要载体形式，明确电子文件形成与归档的要求以及规范电子档案的管理，是解决今后电子档案交换与共享的基础，也是实现馆室一体化的一个重要前提。

2003年5月，福建省委办公厅、省政府办公厅联合印发了由省档案局起草的《福建省电子文件归档与电子档案管理办法（试行）》。

为配合项目建设中的应用平台―――数字档案信息管理系统的开发与应用，省档案局组织技术人员研究制定了《基于XML在线应用平台数据交换规范（试行）》和《档案数据管理安全要求（试行）》，为在WEB环境下电子档案数据交换传递提供了先进、规范的应用方式和强有力的数据安全保障。

建立和健全档案信息日常管理标准与规范是完善档案信息标准体系的一项重要内容。

2002年，福建省档案馆、局局域网相继建成使用，为确保档案局域网和档案网站的正常管理和维护，相继制定了《福建省档案局（馆）计算机局域网及信息系统管理规定（试行）》，《福建省档案局（馆）计算机局域网管理使用暂行规定》，明确了档案局域网管理和使用要求。

2001年10月出台了《福建省档案网站管理办法（试行）》，在管理办法中，规定了档案网站信息服务的内容范围，建立了档案网站信息服务备案制度和年检制度，进一步明确了档案数据上网的审批程序。在日常管理过程中，还制定了“网站信息采集制度”、“档案信息制度”、“栏目内容责任制度”、“网页更新制度”、“电子邮件与留言及时回复制度”等，以加强网站的规范管理。

3、档案信息安全标准与规范。档案信息安全的保护不单纯是技术问题，还需要通过更为规范严格的安全管理来弥补和解决。因此，通过制定档案信息安全标准和规范来加强档案信息安全显得尤为重要。

2001年为了确保全省各级国家综合档案馆计算机管理系统的安全可靠运行，下发了《福建省国家档案馆计算机管理系统安全要求》，要求各级综合档案馆建立健全管理制度，严格采取各项管理措施，确保系统环境、设备、档案载体等安全。

2002年，福建省档案局制定了《福建省档案局（馆）计算机局域网及信息管理系统安全规定》，按照这一规定要求，相应制定了《计算机设备维护管理办法》、《档案机房管理制度》、《档案安全备份管理办法》《档案数据库安全管理办法》、《系统管理员岗位职责》、《网络管理员岗位职责》、《网站管理员岗位职责》等一系列制度和岗位工作规范要求。

为了确保及时发现和解决信息网络安全存在的问题，防止和减少突发事件的发生所造成的影响，保障档案网络与信息安全，福建省档案局还专门制定了《网络安全与信息应急处置预案》，一旦事件发生，立即启动预案的处置程序，堵塞漏洞、消除隐患，确保档案网络和数据库的安全。

第12篇

随着互联网金融的快速发展,各大银行业务与其有了深度融合,传统经营理念和盈利模式也逐渐转变,电子渠道逐渐增多,网上银行,手机银行,微信银行等新兴移动渠道用户大幅增加。传统银行为迎合这个发展趋势,也在加大力度开发电子银行产品种类及功能。各大银行陆续推出的企业网银,个人网银,电话银行,手机银行,自助终端,微信银行等等品牌产品服务。但是,在实践发展过程中依然存在一些问题。首先,发展战略不明晰,品牌建设力度不够。目前国内传统银行的电子银行大都作为传统物理渠道的补充,发展战略不明晰。e在品牌建设上,没有系统精准的广告策略,客户的品牌认知度有待提高。其次,产品创新力不够,同质化严重。银行具有互联网属性的金融产品只是简单地从线下搬到线上而已,没有专门针对互联网产品的进化路径。以电商平台为例,2012年已经上线的善融商务“购物可贷款”与工商银行的“融e购”的具体运营方案类似。此类购物与消费信贷相结合的同质化操作规程在其他金融机构同样存在。同时,电子银行营销机制不健全,电子银行发展在开通后,缺少维护,与用户互动不够,反馈信息少,营销手段单一,过于依赖网点的传统营销方式。

二、电子银行发展移动金融的建议

目前,银行业已经迈入网络时代。电子银行业务以物理网点无可比拟的优势,成为提升商业银行核心竞争力的重要手段。各家银行为抢占市场,制定电子银行业务发展策略显得尤为重要。

(一)转变传统经营理念,转型发展“互联网+”电子银行

在今年两会上,“互联网+”行动计划正式写入政府工作报告。互联网技术与金融不断融合,加速互联网金融的发展,深刻影响着目前的金融生态。电子银行逐渐成为银行服务的主要渠道,而传统银行的架构体系只是将电子银行作为柜面服务的延伸,忽视了其所具备的营销能力以及整合业务的创新空间和创造价值的能力。因此,传统银行必须转变观念,转型发展电子银行,根据庞大的电子渠道用户群体,抓取用户操作信息数据进行有价值的挖掘,定制个性化产品,提升电子渠道的个性化营销能力。综上所述,移动互联网发展方兴未艾,基于用户体验需求及自身转型需要,银行应考虑大力发展电子银行,从而打造一流的互联网金融生态圈。

(二)发展移动优先策略,加入互联网金融大流

移动平台已经是不争的事实,最近据EMAKER研究报告显示,移动平台将超越互联网平台成为2014年受众花费时间最多的媒体平台。众多媒体纷纷摈弃数字优先战略,转而高调宣布各自的移动优先战略。(MobilityFirst)移动优先项目启动于2010年9月,旨在直接应对大规模无线接入和移动设备使用的挑战,同时为新兴的移动互联网应用提供新的组播、选播、多路径方案,以及新型的情境感知服务。MobilityFirst项目成立的前提是,移动平台及应用程序逐渐取代固定主机和服务器。数据显示,移动优先已经不再是口号和发展方向,而是实实在在正在做的事情。2014年,许多互联网公司纷纷迈入移动优先,这如今成为全球互联网公司坚持的战略。而银行作为发展互联网金融的后起之秀,也不例外的将其作为发展目标,打响了移动金融的战役。2014年以来,P2P、第三方支付、互联网理财等各类互联网金融业务加快向移动端渗透和扩张;新型移动金融服务如支付宝钱包、微信支付等层出不穷,并加速向O2O、社交网络等领域拓展。移动金融正在重构电子银行的发展格局。手机银行在具备网上银行全网互联和高速数据交换等优势的同时,更具有移动性与便捷性优势。智能终端和无线网络成为移动优先战略的重要环节。所以,银行在发展移动优先战略之时,这两个环节是不可忽视的。当然,移动优先并非移动唯一。并不是所有的企业或金融机构都适于移动优先战略,要做好精准的市场调查与发展定位。

(三)重视用户体验,提升用户参与度

在这个移动金融的时代,不仅仅要了解银行客户,还要看银行能否通过已有的用户资料信息挖掘到银行与用户之间的互动与关联。2014年我国的网络购物市场,主要呈现出普及化、全球化、移动化的发展趋势。如今,消费者的消费理念已经从注重产品功能过渡到注重参与。互联网金融的特点是强调用户体验,银行也要迎合而上,尝试引导用户参与和互动,分享体验感受。还能够为产品提供更好的建议,以助于其产品优化。

(四)防控新型金融风险,保障用户信息安全

如今,移动金融成为互联网企业和传统金融机构在移动互联时代竞相逐利的关键节点。移动金融带来便捷与多元的同时,需要注意的是其引入的新型金融风险形态。面对互联网金融的迅猛发展,无论监管机构还是商业银行的技术防范措施都尚未完善目前中国用户对手机银行,微信银行等移动支付尚存疑虑,由于智能手机系统的一些先天性不足,移动支付安全一直受到手机安全漏洞和木马的威胁,用户信息安全得不到保障。因此解决安全隐患成为电子银行发展移动优先战略的当务之急。

(五)积极探索“大数据”战略与电子银行转型升级相结合