信息安全服務精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全服務主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全服務范文
研究院的安全服務主要包含四大獨立服務:安全服務、監測服務、睿眼通和信息安全應急響應指揮平臺。服務內容主要包括以下幾個方面:
首先是安全咨詢。以“業務需求管理”為核心出發點,依托ISO27001、ISO17799等國際信息安全標準和法規及行業規范,融合自上而下的指導方針、管理策略、業務流程運行規則、系統操作指南,建立信息安全管理體系。
其次是安全培訓。安全培訓旨在提高客戶的信息安全意識和技能,為最大程度上提高客戶的整體安全防衛意識和安全防衛技能,真正把信息安全管理體系落到實處,提供強力有效的技術支撐保障。
再次是安全評估。對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性評估,為客戶信息安全管理體系策劃提供基礎。
最后是安全加固。結合等級保護國家政策及行業規范,通過現場調研,合理使用安全加固工具等為客戶提供安全加固服務,主要提供主機加固、系統加固、數據庫加固、應用服務器加固、應用加固等服務,安全補丁、安全策略調優、配置優化等服務。
七大監測服務主要包括下幾個方面:
第一,“睿眼”外網安全監測預警服務平臺是一套軟硬件一體化監測平臺,以大數據技術為依托,集成了Web漏洞掃描檢測技術、采用遠程監測對外網網站提供7×24小時實時安全監測服務。通過對網站的不間斷監測服務及時發現威脅,從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。
第二,“睿眼”移動安全監測預警服務平臺,為政府和企事業單位搭建一個應用App統一存放、統一管理、統一安全監測的AppStroe平臺,通過此平臺進一步提升用戶辦事體驗,同時方便國家、省部級對下級單位進行移動App管理和統計。
第三,“睿眼”內網安全監測預警服務平臺,基于對內網網絡系統安全運行的考慮,平臺提供對內網的實時安全監測、分析和預警功能。
睿眼通
睿眼通是七大監測預警服務平臺提供給客戶的一款智能移動終端,基于客戶對信息安全情況的即時需求,以七大監測預警服務平臺監測結果為主線,可以成為客戶處理信息安全問題、了解安全狀態趨勢、掌握最新安全資訊的貼心助手,隨時隨地了解網站及信息系統等的整體運行情況。
信息安全應急響應指揮平臺
應急響應指揮平臺通過各大監測預警服務平臺實時監測結果,對告警的安全故障或安全威脅,以最短的時間進行故障排查定位和應急處理。
安全產品
公司安全產品包括堡壘主機系統、系統安全加固、審計系統和信息共享管理系統。
(1)堡壘主機系統。堡壘主機是一種被加固的可以防御進攻的計算機,具備堅強的安全防護能力。堡壘主機系統軟件扮演著看門者的職責,所有對網絡設備和服務器的請求都要從這扇大門經過。
(2)系統安全加固。系統安全加固V1.0產品是軟硬件相結合的產品,通過硬件USB-KEY,提高了服務器系統的安全性,克服單純使用軟件防護的局限性;軟件部分包括服務器操作系統安全增強軟件、服務器安全,以及統一安全管理平臺軟件。
(3)審計系統
①日志審計系統。日志審計系統一方面可以集中收集、長時間存放所有的記錄日志,避免日志遭到惡意篡改或刪除而在安全事件發生時無據可查的狀況發生,另一方面日志審計系統強大的日志審計功能可以為組織審計人員提供日志實時監控、高效檢索、審計報表等日志審計手段,從而使原本不可能完成的海量日志審計工作可以在短時間內輕松完成,大大減少信息部門的工作量。
②網絡安全審計系統。網絡安全審計系統主要通過旁路監視并記錄對數據庫服務器的各類操作行為,通過對各類網絡行為的分析,實時地、智能地監控審計,并將審計數據存儲,以便日后進行查詢、分析,實現對整個網絡環境內的操作訪問行為的監控和審計。
第2篇:信息安全服務范文
以一種域名系統命名的DNS服務器系統以及在瀏覽器中輸入域名調出,通過瀏覽器進行遠程II管理的WWW服務器配置,可以在任何服務器或者工作站打開瀏覽器,和FTP服務器配置作為計算機網絡的服務器配置的一般分類,從信息安全技術角度來看,以信息安全病毒或者黑客入侵技術等特點作為分析對象,建立服務器安全配置預防機制,首先對服務器自身的安全性進行自主強化。首先加強改版操作系統安全管理軟件,做到可以應用服務包來預先防范已知的網絡安全漏洞,修復安全補丁。逐步完善計算機操作系統的服務功能,保護登入帳號的安全,刪除不經常使用的軟件,保證服務器內置的潔凈。并且在服務器安全設置能夠高效運行的前提下,尋求最高的計算機安全級別,用以強化服務器操作系統。
二、FTP服務器的安全配置
本地用戶和組是以管理本地智能網絡模塊的一項管理工具,存在和運行于Windows的計算機當中,因此在Windows的安全策略中占據重要地位。通過服務器可以控制單獨使用的FTP站點,可以確認用戶賬號安全,控制網絡中有不安全性的匿名訪問以及IP地址限制。在密碼設置時要確認第二到第六個為止中一個或一個以上的符合或字符,并且保證至少七位字符的長度,用以加強密碼的安全設置。在主目錄的界面上,可以設置出有關于FTP站點的主目錄和權限,再通過目錄安全性的選項中,如果IP地址方式出現限制用戶訪問的情況,應該默認FTP服務器中全部IP地址的訪問權限。
三、制度Window服務器安全策略
首先需要將遠程桌面窗口的默認端口修改,對系統管理員的默認賬戶進行重命名,同時取消正在網絡連接中的文件和頁面,停用打印共享,關閉guest用戶使用權限。如果出現防護墻高級設置窗口,應該勾選出W服務和安全Web服務。并且還要注意開放短信的發送平臺端口,設置開啟Windows的防護墻。其次,禁止Printspooler打印服務、Wirelessconfiguration無線服務以及在局域網和廣域網環境中為各個企業提供路由器服務的RoutingandRemoteAcces以及遠程注冊表等無關服務。并且在打開注冊表時,禁止IPC空連接,刪除默認共享,新建AutoShareServer把值修改為0。在用戶權利分配下,通過網絡訪問計算機時刪除權限,啟用不可啟動的匿名訪問賬號和共享。點擊“開始菜單”在“管理工具”選項中選擇本地安全策略,如果在設置審核登陸過程中,在事件查看器里的安全日志記錄登陸失敗的信息。在服務管理器的管理界面中,從“站點名稱”中點擊“屬性”項目,需要對計算機日志的高級屬性進行設置,擴充記錄屬性界面,保存日志地址。通過“目錄安全性”選項,可記錄FTP行為日志,以便驚醒計算機系統的分析和管理。以此同時,記錄每一個用戶的FTP行為日志,在各個FTP站點啟用日志訪問選項。通過以上的對計算機信息化安全技術的分析和操作,我們確定從傳統的計算機安全理念發展到具備可信化為重心的計算機安全,在硬件平臺上引入安全芯片。例如TCP的訪問控制、TCP安全操作系統的安全應用。
四、結語
第3篇:信息安全服務范文
關鍵詞:信息資產 識別 評價方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1003-9082(2014)04-0007-02
信息資產是指組織的信息系統、其提供的服務以及處理的數據。
一、信息資產分類
網絡設備:
一臺或一組互備的網絡設備,包括網絡設備中的硬件,IOS,配置文件數據及其提供的網絡服務。包括路由器、交換機、RAS等,防火墻、IDS等安全設備除外。
服務器:一臺或一組服務器,包括服務器硬件、運行于其上的OS、通用應用、服務,數據庫、磁盤陣列等。
工作站:客戶端用機、個人用機等。
安全設備:作為安全用途的硬件和軟件,如:防火墻、IDS、AV等。
存儲設備:提供存儲用途的硬件和軟件,如:磁盤陣列等。
業務系統:指組織為其應用而開發或購買的各類應用軟件及其提供的業務服務。
二、資產識別過程
1.繪制拓撲圖
資產識別的首要步驟是繪制拓撲圖。在拓撲圖中盡可能真實地描繪拓撲圖。一般來說,拓撲圖越詳細,資產識別的精度也就越高。如果系統非常復雜,一張拓撲圖很難描述清楚,則應采用多張拓撲圖。
2.確定業務系統
繪制拓撲圖以后,通過訪談等方式,確定業務系統,且識別業務系統的功能類型。
3.確定第一層保護對象框架
3.1根據業務的類型:比如是生產業務,管理支撐業務,還是辦公業務等。
3.2根據業務的重要性:比如核心區域,非核心區域等。
4.確定第二層保護對象框架
三、信息資產估價
1.資產賦值概述
信息資產識別完成后,形成了一個信息資產的清單,但對于大型組織來說,信息資產數目十分龐大,所以需要確認資產的價值和重要性,重點保護關鍵的、重要的資產,并便于進一步考察資產相關的弱點、威脅和風險屬性,并進行量化,因此需要對資產進行估價。
2.信息資產估價方法
信息資產分別具有不同的安全屬性,機密性、完整性和可用性分別反映了資產在三個不同方面的特性。在信息資產估價時,主要對資產的這三個安全屬性分別賦予價值,以此反映出信息資產的價值。
機密性、完整性和可用性的定義如下:
保密性:確保只有經過授權的人才能訪問信息;
完整性:保護信息和信息的處理方法準確而完整;
可用性:確保經過授權的用戶在需要時可以訪問信息并使用相關信息資產。
3.半定量化的資產賦值
所有資產的機密性、完整性和可用性價值,均劃分為5級。其中5代表資產安全性價值最高,1代表資產性價值最低。
4.資產賦值方法
采用5級標準,較好地反映了資產價值的差異,本文中提出了一套方法,通過將機密性、完整性和可用性的每個值分解為兩個相乘的指標,而每個指標均分為三級。從而得出五級安全價值。
Xc(資產被暴露時與造成后果之間的關系)可分為下述三級:
直接產生后果:即當資產被暴露時,后果既已發生。例如,組織的商業秘密,要求密級的信息,這些信息一旦被暴露,后果隨之發生,無法挽回。
容易產生后果:當資產被暴露時,后果非常容易發生。例如當操作系統的超級用戶口令失密時,如果獲知者無惡意,后果可能不會發生,但是如果獲知者具有惡意,那么后果非常容易發生。
可能產生后果:當資產被暴露時,后果有可能會發生,但離后果發生仍存在一定距離。例如某客戶端軟件被盜用,在沒有得到服務器驗證口令之前,后果仍未造成。
Yc(后果對組織的損害程度)包括下述三種情況:嚴重損害,中等損害,輕度損害.
4.2完整性賦值
整體不可用:當資產不可用時,業務系統即不可用。例如,服務器當機,主干網絡癱瘓等。
局部不可用:當資產不可用時,業務系統局部不可用。例如局部網絡癱瘓,網絡阻塞等。
個體不可用:當資產不可用時,業務系統的某個或某幾個客戶不可用,例如終端故障,客戶機當機等。
Ya(該業務系統的關鍵性程度)包括下述三種情況:
核心業務系統;關鍵業務系統;一般業務系統。
5.賦值工作操作方法指南
5.1首先對各資產賦值
通過對各資產賦值,我們可以獲得在同一個區域內核心資產。
5.2對保護對象框架賦值
第4篇:信息安全服務范文
摘要:
隨著云計算蓬勃發展,云安全問題日益突出,云平臺安全服務產品應運而生。文章對業界領先云服務提供商的云安全產品體系和發展策略進行了研究,并結合電信運營商特點,提出了電信運營商發展云平臺安全服務產品的思路與建議。
關鍵詞:
運營商;云平臺;安全產品
1引言
近年來,隨著云計算技術和應用的高速發展,國內外互聯網巨頭和電信運營商紛紛發力,投資建設高標準、大規模的云計算數據中心,作為承載自身業務和系統的重要IT基礎設施,并基于多種服務模式,為客戶提供可靈活定制、彈性擴容的云計算整體解決方案。根據SynergyResearchGroup年初的數據顯示,全球云服務市場年均增長率達到28%[1]。然而在云計算蓬勃發展的背后,云服務宕機、云平臺自身安全漏洞頻現、針對云服務的網絡攻擊愈發增多等云安全問題日益突出。當前,用戶對于云安全的需求主要集中在云應用安全、虛擬機保護、DDoS攻擊防護等方面,需要云服務提供商制定集中化、顯性化和標準化的安全策略,并通過針對性的安全服務或產品,構建多維度、多層次的云平臺安全防御體系,切實保障客戶云端業務的安全順暢運行。
2業界領先云平臺安全產品提供商對標研究
AWS(AmazonWebServices)云安全,將云服務與云安全高度結合,通過多種途徑持續提升和整合安全能力,使AWS云安全產品成為AWS云服務的重要組成模塊。AWS從應用安全、網絡安全防護和事件管理等維度為用戶提供Web應用防火墻、應用程序自動化安全評估、云監控、配置托管、云追蹤等安全服務,并通過在全球合作伙伴計劃中加強與安全解決方案提供商的合作,構建安全的云平臺。Amazon還采用產品融合、共享客戶資源形式吸納合作方,同時引入數據庫、網絡、應用層面的安全廠商,形成對云安全功能的全面覆蓋。在產品發展策略上,AWS保持云服務領域價格優勢的同時加大安全管理投入,建立安全與服務的良性循環,持續整合產業鏈各環節的資源和能力,不斷壯大云安全生態圈,完善云安全產品體系。阿里云安全,經歷了云服務安全、云安全產品、云安全解決方案三個發展階段,憑借強大的研發優勢自主開發云盾系列安全產品,為客戶提供層次化的立體安全服務。阿里云安全產品體系包括服務器安全、Web應用防火墻、DDoS高防IP、移動安全、數據風控、阿里綠網、加密服務、安全管家等產品,涵蓋主機和網絡安全、移動安全、數據安全、業務安全、內容安全以及安全技術和咨詢服務等多個領域。阿里云基于大數據安全分析技術推出的態勢感知產品,具備安全監控、入侵檢測、弱點分析、威脅分析等功能,能夠輔助客戶建設自己的安全監控和防御體系。阿里云在推動自身產品創新和發展的同時,還廣泛與國內外專業安全廠商合作,開放資源,共建云安全生態。作為北美電信巨頭,Verizon較早將戰略聚焦在云安全能力提升上,通過一系列收購、合作形成云安全產品的全球服務能力。Verizon企業級安全產品品類豐富,包括DDoS攻擊防護、網絡威脅監測/網絡威脅高級分析、可管理安全服務(MSS)、統一安全服務、威脅與漏洞管理等,能夠為企業用戶提供綜合的網絡和信息安全服務。Verizon認為安全的云平臺具備三個特征:強大的邏輯和物理安全控制手段,穩健的治理、風險和合規性策略以及豐富的增值安全服務。Verizon的可管理安全服務能夠主動識別漏洞并優先處理云端威脅,改善IT安全策略和流程進而提升云計算安全,實現風險管理。在Gartner的2015年全球MSS市場魔力象限分析報告中,Verizon再次評選列入領導者象限。IBM云安全,通過其設計靈活的DynamicCloudSecurity產品組合為用戶云計算中的工作負載提供分層防護[2]。IBM從訪問管理、數據保護、可視化和優化安全運營等維度為用戶提供云身份管理、云訪問權限管理、云應用安全、云網絡安全、終端管理、云安全情報、云安全管理服務等云安全產品。IBM具備的專業服務與整合能力以及可擴展的開發者關系優勢,在混合云模型中尤為突顯,在產品發展策略上,IBM充分利用其混合云優勢,同時整合其他云平臺推出關鍵,逐步形成自身完善的云安全產品體系。綜上所述,國內外領先云服務提供商紛紛推出云平臺安全產品以強化自身在云計算市場上的競爭優勢。他們或采用合作共贏的策略建設云安全生態圈;或整合多層級的云平臺安全防護產品,形成一體化的安全服務體系,其發展思路和產品策略可以為電信運營商所借鑒。
3電信運營商發展云平臺安全產品的思路和策略
經過近年來的技術積累和大規模投資建設,電信運營商不同服務類型的云平臺在規模商用階段取得長足發展,并進一步憑借資源優勢、網絡優勢、云網協同解決方案等持續拓展云計算市場。另一方面,電信運營商在網絡和信息安全防護方面有著豐富的經驗,面向企業和公眾客戶逐步推出涵蓋應用、網絡、終端等領域的云安全產品和服務,如云Web應用防護、DDoS攻擊防護、移動終端防護、安全專家服務等。不過當前電信運營商的云平臺安全產品體系普遍存在產品品類不足,核心功能有待完善,尚未實現內外部資源整合,難以滿足廣大云平臺用戶對安全服務的迫切需求等問題,同時欠缺整體的云安全產品規劃和研發過程管控,互聯網化運營資源和經驗不足,客戶需求響應速度有待提升。在上述背景下,電信運營商若要在激烈的市場競爭中占據主動地位,需要依托自身強大的網絡資源、運營經驗和渠道優勢,聯合業界領先的安全產品和服務提供商,深入挖掘云平臺客戶痛點,分步驟有序地發展重點產品,逐步構建并完善云安全產品體系,對外提供多維度、層次化的云安全服務能力,以持續性創新應用滿足多樣化的市場需求。云平臺安全產品的目標體系可分層搭建,其中電信營商一體化的業務支撐體系、基于客戶的云安全產品商業模式和云平臺基礎設施資源構成了整個目標產品體系的基石,也是對內部資源和商務體系中所有參與者整合所建立起的價值活動平臺,將電信運營商與客戶和產業鏈其他角色連接起來,實現高效的價值創造、交換和分配。目標體系的底層由可快速部署、靈活易用的安全服務單產品組成,此類產品技術成熟度較高,具備功能單一、可單獨計費銷售的特點。綜合考慮目前產品成熟度和市場規模,結合業界標桿企業對比分析,以及客戶的接受程度、業務吸引力等,在現有的云WAF、DDoS攻擊防護等基礎產品上,積極引入具備高級威脅防御、威脅預警能力的云安全Web網關,以及Hypervisor安全保護、vFW、云IDS/IPS等虛擬化級云安全產品,主要客戶包括Web服務的受眾、云托管網站、各類企業用戶等。目標體系的中間層以安全信息和事件管理(SIEM)為核心,運營商可以采取與業界領先的服務提供商合作,構建面向云服務的SIEM平臺,提供云中監測、云中審計、違規分析等功能,并為客戶提供靈活多樣的報表服務,進一步可根據不同應用場景及客戶需求,與其他基礎安全產品整合或根據行業特殊性形成安全服務包,面向具有較高信息安全要求的行業客戶如金融、政府機構等。目標體系的頂層主要提供高端增值業務,如滲透測試、風險評估、安全調度以及完整、系統的客戶解決方案。電信運營商可以采取自研自建與外購安全產品結合的方式完善云平臺安全產品體系。基于運營商大網能力自行開發與云服務深度融合的核心安全產品,同時通過采購專業安全企業的成熟產品來擴展云安全產品業務線,增強相關競爭實力,建立并依賴合作伙伴生態圈,整合多樣化的合作供應商和安全產品供用戶選擇,滿足客戶端到端的云平臺安全需求。
4結語
第5篇:信息安全服務范文
[關鍵詞]檔案信息服務 保護 網絡化 隱私權 建議
中圖分類號:G270.7 文獻標識碼:A 文章編號:1009-914X(2014)01-0283-02
引言:檔案信息作為一種原始信息,是記錄隱私的重要載體,因此,檔案管理工作和隱私權保護有著必然的聯系。當今社會信息技術迅速發展,促使了知識經濟環境的產生和信息網絡環境的形成。現在檔案信息的網絡化應用已遍及人們工作和生活的各個角落,且繼續快速發展。網絡環境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統模式的同時,使隱私權保護也呈現出新的特點。
一、檔案信息網絡隱私權概述
網絡環境下的檔案也即檔案信息的網絡化。這是一個信息網絡化的時代,無處不在的互聯網絡將各種各樣的計算機、多媒體掌上終端、智能手機、數據庫系統聯接到一起,將信息空間、生活空間融合為一體,深刻的影響了人們的工作和生活方式。在這個奇特的空間中,人們可以隨時隨地通過網絡來獲得多種多樣的數字化信息服務,而檔案信息的網絡化是實現這些服務的關鍵。當然,如同西方的一句諺語一樣――每一枚硬幣都有兩面組成,檔案信息的網絡化如同一把雙刃劍,在給人們的生活帶來無限方便的同時也給檔案管理服務工作帶來了新的壓力與挑戰,其中最突出的就是隱私權的保護問題。
隱私權是自然人享有的對其個人的與公共利益無關的個人信息、私人活動和私有領域進行支配的一種人格權 。具體而言可分為四種類型,即:資料隱私權、通訊隱私權、身體隱私權和領域隱私權。身體隱私與領域隱私權屬于有形隱私權,本人易于控制且法律對于其保護也比較全面,不易受損,即或受損也有法可依可得到有效的法律救助。資料隱私權和通訊隱私權屬于無形隱私權,個人不易控制且相關的立法也不全面,因此易受損害而且往往無法受到及時有效的法律保護。在網絡環境里無形隱私權的保護問題面對著更加嚴峻的挑戰,被人們稱為“網絡隱私權”或“個人數據隱私權”的保護問題。
基于網絡技術,個人資料可以被無限復制轉載,弄得面目全非,更甚者則被心懷叵測者獲取,利用這些隱私已達其造謠、誣蔑、誹謗、詆毀當事人名譽的目的。侵犯隱私權活動日益嚴重,用戶對網絡不由產生不安全感和不信任感,這在一定程度上阻礙了網絡服務業的發展。
通過對各種法律規定的歸納,能動的隱私權包括控制權、獲取權、知悉權、修改權、抗辯權、安全權和利用限制權。很多國際組織與國家政府都在對傳統的隱私權保護政策和法律進行調整,以提高對網絡隱私權的保護力度。1998年歐盟《個人數據處理和自由流動中個體權利保護指令》正式實施,規定了當事人享有接觸個人資料的權利、更正、刪除或封存個人資料的權利和拒絕利用個人資料的權利這三項權利,這大大有利于保護網絡隱私權。
二、檔案信息網絡化服務中產生隱私權問題的原因分析
1、收集過程
檔案中往往包括公民的重要個人信息,具有保密性。雖然檔案法對保密檔案的管理利用和解密等作出了嚴格的規定,但其對個人重要檔案信息并沒有給予明確的說明。事實上,在檔案館自行收集公民的檔案過程中和檔案所有人向檔案館移交、捐贈、寄存的過程中,最易發生隱私權問題。尤其在網絡化的今天,通過網絡收集個人資料已成為收集檔案信息最主要的方式之一,且具有快捷化、自動化、詳細化等特點,隱私權問題也就日益突出。
如今檔案網站在接受訪問時往往要求用戶提供若干個人資料,檔案網站利用追蹤軟件可以持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。當然,采用先進技術收集公民個人資料并非出于惡意,但是,有些檔案網站在用戶毫不知情或是無可奈何的情況下收集個人資料,這實際上在某種程度上就侵犯了公民的隱私權。
無論對當事人會否產生傷害,也無論是否經過當事人的同意,利用網絡這種先進技術收集公民個人資料必須嚴格限于法定的職權范圍。其次,歐盟《指令》第10條規定,收集個人資料應事先征得當事人的同意。檔案網站收集個人資料必須遵循“告知原則”,這是檔案網站應盡的義務。
2、傳輸和貯存過程
網絡本身就是虛擬的,其安全性存在很大風險,并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的另一個原因。在網絡與應用技術的發展迅速的同時,與安全技術對抗的技術也層出不窮,而不斷出現的應用安全問題在一定程度上也成為促進安全技術發展的動力。從這個意義上看,安全技術總是滯后于其對抗技術的發展的。
由于對抗技術的存在,在網絡傳送個人資料、共享個人資料的某個環節或者在貯存個人資料的過程中,第三方(如電腦“黑客”)就可能利用其掌握的技術對公民的隱私權造成侵害,使之泄露。如果第三方出于惡意直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播網站上的個人資料,那么這種行為必將對當事人的隱私權造成侵犯,甚至會對當事人造成無法挽回的傷害,包括財產方面,更包括精神方面。因而為個人資料的安全提供必要的技術與非技術支持是十分必要的。各國也先后對此作出明確規定,如澳大利亞有如下法律規定:除非能提供相應的保護措施,禁止計算機互聯、特別是通過鏈接、合并或下載包含有個人數據的文檔;禁止從第三方可查詢的文件中建立新的文檔;禁止第三方掌握的文檔資料或個人數據與包括檔案館在內的公共機構掌握的一個或多個文檔資料進行對比或互聯。
3、利用過程
檔案信息服務中可能產生隱私權問題的第三個原因是不恰當地利用個人資料。由于檔案是一種原始信息,包含公民若干個人資料,具有不可告知性,那么檔案利用就極有可能涉及到公民的隱私權保護問題。如果涉及隱私的資料被惡意自由利用,就會使社會公民產生生活危機感,造成一定的混亂,影響社會安定。這往往與檔案館對個人資料的常規使用和檔案館的管理職能相關,因而控制和防止此種侵權的難度較大。比如,當事人為某一特定目的提供個人資料,而檔案館卻出于業務需要未經當事人同意而用于另一目的,這在無意中也可能會給當事人帶來隱私權問題的干擾。
4、管理的滯后性
第一,人文管理滯后。現在的網站大部分存在嚴重的漏洞,檔案信息網絡安全人才十分匱乏。由于多數單位對此并不重視,其網絡管理人員沒有受過正規的安全培訓,甚至很多站點的管理員都是新手,在操作中漏洞百出,很多服務器至少有3 種以上的漏洞可以使入侵者獲取系統的最高控制權 。第二、組織管理滯后。現代信息環境是動態發展變化的,安全與效率在本質上是一對不可避免的矛盾,在追求安全與效率兼得的過程中管理就顯得特別重要。今天的信息操作環境高度分散、高度復雜,傳統的組織管理已變得力不從心。所以,構建一種制度法規管理和技術管理相結合的新的管理模式已迫在眉睫。
三、檔案信息網絡化服務中保護隱私權的建議
依法治檔是使公民隱私權在檔案信息網絡化服務過程中得到保護的必由之路,在檔案信息服務中為有效保護公民的隱私權,筆者有如下建議:
1、健全檔案管理制度
網絡環境下,建立安全的檔案制度屏障,事關重大
首先,要制定一定的規范,來限制個人資料的收集。必須通過合法的途徑收集當事人個人資料且需在與當事人達成合意的目的范圍內對所收集的資料進行使用和披露;其次,資料收集和使用機構務必采取一切可能的措施,來保障所收集的個人資料的安全性,包括資料在傳輸過程中和存儲過程中的安全性;再次,
對檔案借閱、保密、鑒定、銷毀等各種制度和要求要作出明確和詳細的規定;第四,對檔案工作人員必須進行相關培訓,且需細化檔案人員的工作職責,使得從事檔案信息服務的工作人員成為專、精、強的專業高素質人才;最后,設立專門機構對檔案中個人資料進行保護,由相關專業人士組成該機構對有關檔案信息網絡化服務中個人資料的隱私權事務進行管理,這將有利于維護公民生活穩定,有利于維護整個社會的大安定。
2、為網絡環境下檔案安全提供技術屏障
安全技術作為對公民檔案信息中個人資料有效保護主要措施,其主要包括兩個方面:通信安全技術和計算機安全技術。 1.通信安全技術。在保證通信安全方面。通常可以采取以下技術:一是,檔案信息加密技術。它是保障檔案信息安全的最核心的技術措施。檔案信息加密過程是由形形的加密算法來具體實施的,它以較小的代價獲得較大的安全保護。 2.檔案信息確認技術。它通過手段,以檔案業務管理系統為依托,向檔案電子化管理發展,促使檔案信息長期保存已是必然趨勢。確保檔案信息長期存取的關鍵是建立一種結構方法來描述和記錄用于管理信息資源的長期保存的信息,這就是常稱的保存元數據。
3、依法治檔
國家應制定相應的法律法規,使公民在權利遭受侵害時可依法得到保護。我們可以借鑒別國做法,明確規定權利人被侵權的救濟方式,規定其可向侵權人請求損害賠償,包括物質方面也包括精神損害賠償。其中,對于物質賠償的損害賠償范圍既可是法定數額,也可是實際損害賠償數額,依權利人選擇。
4、加強行業自律
外因通過內因起作用,內因才是事物生存及發展的根本,因此在網絡環境下建立我國檔案信息服務行業的行業自律體系頗為重要。應當充分發揮檔案服務機構的自我管理的作用,在業內規范工作人員的工作態度和行為準則,規定對公民“檔案信息網絡服務中隱私權”的保護政策,將此政策作為最低標準以期達到行業自律,有效地保護檔案中公民的隱私權。
結語:信息時代的到來帶給人類的是知識和信息量的大爆炸,而檔案信息是眾多信息中最基礎的一類,因此在檔案信息服務中保護隱私權的重要性不言而喻。這不僅有利于維護當事人的合法權益,而且有利于檔案事業的發展。這就需要社會各個階層、各類部門、特別是檔案信息服務部門在工作和生活中時時留心,處處自律,以保證在網絡環境下檔案部門能夠更加健康、安全地服務于社會。
參考文獻
[1] 王利明.《人格權法新論》[M].
第6篇:信息安全服務范文
關鍵詞: 檔案信息服務 隱私權 網絡化
檔案信息是一種重要的原始信息,也是記錄隱私的重要載體,同時,作為歷史的記錄,檔案中的許多內容涉及個人隱私,因此,檔案工作和隱私權保護有著必然的聯系。蓬勃發展起來的網絡環境在改變檔案信息收集、整理、貯存、傳遞、利用的傳統模式的同時,也使隱私權保護呈現出新的特點。網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務進程中一個極為重要的問題,由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,又可以發生在檔案網站貯存個人資料的過程中。這就從客觀上推動了我們對檔案信息(網絡化)服務中的隱私權保護問題的探討。
一、檔案信息服務中涉及的隱私權問題分析
在檔案信息服務中保護隱私權的意義不僅在于維護當事人的合法權益,而且在于為檔案事業的發展營造良好的社會氛圍,推動檔案信息化進程,促進檔案社會價值的實現。
(一)個人資料收集中的隱私權問題
檔案是一種重要的原始信息,具有保密性,包括公民的一些重要的個人信息,大多數鮮為人知。雖然檔案法對保密檔案的管理和利用、密級的變更和解密都做了嚴格的規定,同時制定了檔案的開放期限,但其法律相對方主要是機關、團體、企事業單位,對于個人重要檔案信息沒有給予明確的說明。事實上,在檔案所有人向檔案館移交、捐贈、寄存或檔案館自行收集關于公民的檔案之初,就應妥善處理好隱私權問題。
隱私權保護問題在傳統的個人資料收集過程中并不太引人注目,但在網絡化的今天,檔案館通過網絡收集個人資料變得快捷化、自動化、詳細化,隱私權問題相對更加突出。比如,檔案網站在接受訪問時往往要求用戶提供若干個人資料,包括年齡、性別、身份證號、職業、收入、工作單位、研究方向、聯系電話、傳真、電子信箱等;檔案網站可以利用一些追蹤軟件來持續掌握用戶的網上行為,判斷他們的檔案信息消費特點。
檔案網站采用先進的技術手段收集個人資料并非出于惡意,目的是通過對個人資料的分析與挖掘,找出可能連用戶自己都沒有意識到的檔案信息消費習慣或消費需求,改進服務工作,這是網絡環境中檔案信息服務和信息產品開發“量身定制”的個性化、多樣化的要求。但是,檔案網站在用戶毫不知情或無可奈何的情況下(例如有的網站拒絕為不提供個人資料的用戶服務)收集個人資料,就是侵犯用戶對其個人資料的占有權和支配權。
(二)個人資料傳輸和貯存中的隱私權問題
檔案信息傳輸和貯存過程中所涉及的隱私權問題,主要出現在檔案信息網絡化過程中。
網絡本身的安全性并不十分可靠,這是檔案信息網絡化服務中可能產生隱私權問題的又一個原因。由于技術的不完善,第三方(如“黑客”等)對當事人隱私權的侵犯既可以發生在檔案館與用戶通過網絡傳送個人資料或不同的檔案網站之間共享個人資料的某個環節,又可以發生在檔案網站貯存個人資料的過程中。比如,第三方可以直接侵入檔案網站的用戶數據庫,觀看、篡改、傳播個人資料,如果這種行為是出于惡意,那么當事人的隱私權無疑將受到極大的威脅。
(三)個人資料利用中的隱私權問題
不恰當地利用個人資料是檔案信息服務中可能產生隱私權問題的第三個原因。
檔案利用與隱私權保護之間存在著矛盾,檔案利用必然涉及公民的隱私權保護問題。如果涉及隱私的檔案被自由利用,就可能導致政治與經濟活動的混亂,使社會公民產生生活危機感,給社會的安寧團結帶來不利因素。因此,如何認識和正確處理好檔案利用與保護公民隱私權問題,是檔案利用工作在改革開放過程中的一個重要課題。因為這種侵權涉及檔案館的管理職能及檔案館對個人資料的常規使用,所以控制和防止此種侵權的困難較大。比如,檔案館將用戶為了特定的目的提供的個人資料出于業務需要用于未經授權的另一目的上,包括但不限于向別的檔案館提供該資料,且未限制該檔案館對個人資料的合理使用——雖然這種利用個人資料的方法對用戶的合法權益并無損害。
由于各種原因,目前在檔案開放利用工作中公民的隱私權得不到應得的保護甚至被人們所忽視,這無疑給檔案信息服務工作帶來了一定隱患。在目前我國隱私權的觀念尚未深入人心,人們在普遍缺乏隱私權保護意識的情況下,檔案部門在開放利用中忽視隱私權保護的行為還能被社會所容忍,但伴隨著我國法制化建設的進程,公民隱私權意識的增強,檔案部門在實際工作中如不能很好地貫徹法律的規定,忽視對公民隱私權的保護,就會在很大程度上影響檔案信息服務工作的開展。
二、檔案信息服務中保護隱私權的對策
要使得公民的隱私權在檔案信息服務過程中得到保護,就必須走依法治檔的道路,進行相關方面的檔案法律建設。目前我國《檔案法》中沒有明確規定檔案信息所涉及的隱私權問題,僅在部分條款中有類似說明。
在檔案信息服務過程中,檔案利用是涉及隱私權的一個關鍵環節,在利用時應區別對待,通過控制使用這些涉及私益的檔案,限制其利用范圍,使隱私權受到必要的保護,做到合法利用。
做好檔案信息服務中的隱私權保護,檔案界和檔案館還應采取以下對策。
(一)制定檔案行業的隱私權保護政策
1997年9月27日,國家檔案局、國家保密局聯合頒發了《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》,該文件對于有效預防在檔案開放利用工作中發生對個人隱私的侵權有非常重要的作用。各級各類檔案部門以此項規定作為政策指導和保障,結合各自的實際館藏狀況,制定了相關的規章制度,教學效果顯著。不僅如此,檔案學會和檔案館還應制定本行業的網絡隱私權保護政策,并在網站主頁的顯眼位置予以明示,內容包括:告知網站收集個人資料的目的、方式、范圍;對個人資料提供保密和安全措施的承諾;告知用戶的請求閱覽權、補充修正權、刪除權、訴訟權等相關免責條款。
檔案法律在以后的完善健全過程中,要著重注意解決一個問題,即檔案信息開放服務過程中公民隱私權與知情權的關系問題。在檔案利用實踐中,我們有時不得不在保護公民隱私權和維護公民知情權之間做出選擇。檔案部門所作出的選擇要符合法律利益最大化原則。如當檔案中的隱私涉及共同利益、公共需求、政治利益時,檔案部門就要偏向于后者,因為它符合大多數人的需要,從長遠來看,根本上也符合隱私權主體的利益。
(二)加強對個人檔案隱私權的管理與技術保護
1.在檔案管理中采取措施
這是合法利用檔案信息的前提條件,要求對涉及公民隱私權的檔案進行鑒定與區分,使之與一般檔案區別對待,分開保管,實現有關檔案的完整、安全和保密。目前,檔案法規對涉及公民隱私權檔案的劃分并不十分明確,在實際工作中不易操作,這種狀況亟待改善。
利用者在利用涉及隱私的檔案時,只限于達到既定目的,當按規定獲得對檔案的利用權后,可對這些檔案進行閱覽、復制和摘錄,但不得將其以現行檔案法規中明令禁止的形式對外公布,不得擅自傳閱、散布、發表這些涉及他人隱私的檔案內容。檔案工作者有必要在提供檔案信息服務過程中向利用者說明有關注意事項。
2.網絡化過程中的保護手段
相對于傳統的紙質檔案而言,在檔案信息網絡化過程中,可以采取的技術保護手段可謂多種多樣。現在已經有了Cookies軟件管理工具、個人隱私偏好平臺(P3P)、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。檔案網站保護個人資料的技術也有很多種,比如:檔案館為了禁止未獲授權的人截取或查閱個人資料,可以通過設置本網站運行的服務器,自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱,只供獲得授權的人查閱。
(三)提高檔案館保護隱私權的自律性
“自律”是檔案館保護隱私權的一條重要原則,即通過檔案館采取自律措施來規范在個人資料收集、存貯、傳輸利用中的行為,達到保護隱私權的目的。
1.檔案館應開展檔案開放利用的鑒定工作
組織鑒定小組及時鑒定需要開放利用的檔案,著重分析檔案涉及隱私的內容和本館檔案的類型,從而確定哪些檔案涉及個人隱私,屬于控制范圍。對個人資料的重要程度劃分等級,以決定采取不同的保護措施。檔案館還要建立一些規章制度,避免所有的檔案館人員都能接觸到敏感的個人資料(如出身、種族、政治傾向、、犯罪記錄等),確保只有經過批準的檔案館人員才能收集、查閱、傳播這些個人資料。對于已到開放期的檔案,要嚴格按照《各級國家檔案館開放檔案辦法》、《各級國家檔案館館藏檔案解密和劃分控制使用范圍的暫行規定》中的相關規定,對擬開放檔案組織認真鑒定,以決定包含個人資料的檔案的開放時間、開放方式和范圍。
2.檔案工作者要注意保護他人隱私
第7篇:信息安全服務范文
我國食品安全監管的形勢
食品安全問題作為世界范圍的問題,逐漸受到全世界政府的廣泛關注。世界衛生組織曾就食品安全問題展開過專門的討論,各國也在為改善人們的生活,對本國的食品安全問題進行相關方面的安全檢測。為適應新時代的發展潮流,我國在不斷完善食品安全的監管工作過程中,建立了專門的食品安全檢測制度和管理機制,明確了各部門之間的分工與合作。同時,通過采用科學化的監管手段,對監管措施進行不斷的細化、對監管機制進行適當的完善和創新以及不斷加強對監管基礎設施的建設,為提升科學監管的能力和水平以及不斷提高我國的食品質量安全具有重要意義。
從一定程度上講,對食品安全的監管應該從源頭抓起,逐步實現從農田到餐桌的監管,并不斷擴大監管的范圍。到目前為止,我國的大多數省份已經實現了對食品安全的監管管理。此外,對于食品安全監管的管理不應該僅僅局限于調查和評價,對高風險的環節應該進行重點監管,保證在以后的食品安全的發展道路上,科學的制定與食品安全有關的規章制度,不斷提高我國餐飲服務業食品安全的監管水平,使其可以邁向更高的臺階。
但是,目前我國的食品安全問題依然比較突出,食品問題正處于食品安全風險的發展期和高發期,影響食品安全問題的矛盾依然存在,總體來說,食品安全的形勢還是相當嚴峻。同時,餐飲食品安全的監管作為我國藥品監督系統進行調整后新增的職責,面對復雜的餐飲消費環節,相關的食品安全檢驗和監督隊伍不健全、最基礎的設施條件比較差以及相關的技術能力薄弱,因此難以滿足和適應當前我國食品安全的監管需要。
餐飲服務食品安全監測檢驗的必要性
近年來食品安全事件不斷發生,比如:蘇丹紅、毒豬油、瘦肉精事件,對廣大民眾的生活造成一定程度的不良影響,除造成民眾的恐慌外,食品安全問題也開始逐漸受到廣大社會的極力關注。據不完全統計,近年來每年因食品安全造成的中毒人口和死亡人口正在呈很明顯的直線上升,尤其是近期發生的地溝油和麥樂雞事件,這再度引起全社會對食品安全問題的高度重視,和人們對食品安全問題的恐慌。
餐飲消費環節是食品在進行生產、加工和消費過程中諸多問題暴露和許多不安全因素積累的關鍵環節,加強對食品安全的監管已經幾度成為兩會的熱門話題和兩會代表們的共識。因此,要把對餐飲服務食品的監測和檢驗工作當作是監管工作中一項最重要的基礎性工作,科學的進行食品安全的監管,根據相關的基礎數據對各地區的食品安全狀況做出科學化的評價。
基于我國目前餐飲服務業比較發達,各部門種類繁多,管理起來相對比較復雜,因此餐飲服務的食品安全監測工作仍然處于起步發展階段,還未能在全國范圍內進行廣泛的推廣。這樣就從某程度上對食品安全的監管效能造成一定的限制,但是,加強食品安全的監測檢驗勢在必行。
加強食品安全監管體系的有效策略
加強風險評估體系的建立。對潛伏在食品安全中的各種風險,通過采用科學化的手段進行有效地分析,對有害物質進行一定的識別,分析危害物本身的嚴重性、不確定性以及可能性,可以通過專門的監測技術對危害食品安全的因素進行檢驗。為此,國家應該建立和健全符合我國國情的餐飲服務食品安全監測和監督體系,確保我國的食品安全,從而全面提升餐飲服務業食品安全的水平。
建立和健全食品藥品的檢驗系統。為確保食品的安全,應該逐漸建立各級的食品藥品監督體系,為適用餐飲服務的發展需要,食品藥品的檢驗體系應該不斷的調整規劃的建設發展方向和具體的工作思路。其次完善相關的基礎設施的建設,積極的開展食品藥品安全方面的培訓,不斷提升食品藥品的檢驗水平。這對提高餐飲服務的食品安全監測水平具有積極的作用。
歸納危害食品安全的源頭。影響我國食品安全的源頭主要有生物性、物理性和化學性有害物質。首先正確認識和區分這三類有害物質,便可以在餐飲服務的過程中有效的避免這三類有害物質對食品安全和人們造成的傷害。其次,我國的餐飲文化在地域上有著明顯的差異,因此要針對不同地方的不同餐飲食品確定其危害的源頭,并對其進行歸納,有的放矢。
第8篇:信息安全服務范文
瑞得公司的一職工于1998年12月偶然發現,一注明“版權所有:東方信息公司”的網站首頁在整體版式、色彩、圖案、欄目設置、欄目標題、文案、下拉菜單的運用等方面幾乎完全照搬瑞得在線首頁,有10個圖案、14個欄目標題及9處文案系原封不動的取自瑞得在線首頁。1999年1月5日,瑞得公司請北京市公證處對雙方網站的頁面做了證據保全公證,緊接著便以“絕不私了”的態度一紙訴狀將東方公司告上法庭。
原告訴稱:
原告瑞得公司訴稱:我公司所設立的“瑞得在線”是經國家信息產業部批準的專門從事計算機信息網絡國際聯網業務的因特網站。1998年12月上旬,我公司經調查后發現被告的主頁在整體版式、色彩、圖案、欄目設置、欄目標題、方案、下拉菜單的運用等方面都幾乎是照搬原告的主頁,很容易誤導客戶;而其欄目設置、欄目標題的實際鏈接指向又與原告的相去甚遠,這些都嚴重的影響了原告的聲譽和防問率,導致原告客戶流失,給原告造成了損失,被告的行為侵犯了原告的著作權和商業信譽,故訴至法院,請求判令被告:1、立即停止侵權活動,并在國內外信息網絡和國內有關新聞媒介上公開向原告賠禮道歉;2、賠償原告經濟損失199900元(著作權侵權80000元,商業信譽侵權119900元);3、負擔本案訴訟費。
被告提出管轄異議:
被告首先就程序問題提出了自己的意見:被告的住所地是在北京千里之外的宜賓市, 被告在答辯期內提出了管轄異議,認為其住所地在四川省宜賓市商業街,同時互聯網不同于傳統的傳播媒體,具有自身的特點,目前尚無明確的關于此類案件侵權行為地的規定,故海淀法院對此案無管轄權,此案應由被告住所地法院四川省宜賓市中級法院審理。
一審法院裁定:
經審查,海淀法院認為,被告東方公司所持異議不能成立,基于三點理由:第一、瑞得(集團)公司的主頁在制作完成后,是儲存在其特定的硬盤上并通過自有的WWW服務器向外界的,瑞得(集團)公司以主頁著作權侵權為由提起訴訟,是基于其主頁被復制侵權這一理由,因此本區應視為侵權行為實施地。第二、瑞得(集團)公司不但訴稱東方公司復制其主頁這一特定的行為,而且還訴稱該行為的直接后果是東方公司的主頁為訪問者所接觸。鑒于我國目前的聯網主機和用戶集中分布于本區等一些特定的地區,因此,本區亦應視為侵權結果發生地。第三、東方公司在提出管轄異議的同時,并未舉證證明瑞得(集團)公司的主頁內容是瞬間存在的或處于不穩定狀態。因此,依據《中華人民共和國民事訴訟法》第三十八條之規定,海淀法院裁定駁回了被告宜賓市翠屏區東方信息服務有限公司對本案管轄權提出的異議。
二審訴辯觀點:
宜賓市翠屏區東方信息服務有限公司(以下簡稱東方公司)不服提出上訴。其上訴理由為:1、任何因特網用戶〔包括上訴人在內〕在訪問或“接觸”被上訴人的主頁時,沒有且不可能在存儲有該主頁的服務器上進行任何復制行為,故北京市海淀區不是且不能視為被上訴人訴稱的侵權行為實施地。計算機的隨機存儲器(ROM)對作品的復制,是作品在用戶計算機顯示器上的再現。包括上訴人在內的因特網用戶訪問被上訴人的主頁時,并未在被上訴人存儲其主頁的服務器上進行任何復制行為,訪問并不構成侵權,臨時復制屬于合理使用。因此,原審法院認定北京市海淀區為侵權行為實施地缺乏事實和法律依據。2、原審法院認定北京市海淀區為侵權結果發生地證據不足。被上訴人未能證明何人、何地、通過何種方式在該區訪問了上訴人的主頁。綜上,請求二審法院撤銷原審裁定,并裁定本案由四川省宜賓市中級人民法院審理。被上訴人瑞德(集團)公司服從原審裁定。
二審法院判決:
法院經審查認為在因特網上進行訪問或復制必須同時具備兩個條件:一、使用終端計算機;二、通過因特網進入存有相關內容的服務器。因此,服務器所在地及終端計算機所在地均可視為復制行為的行為地。根據《中華人民共和國民事訴訟法》第二十九條規定,因侵權行為提起的訴訟,當事人有權選擇由侵權行為地或被告住所地人民法院管轄。如果侵權行為地有多個時,當事人仍有選擇管轄法院的權利。就本案而言,瑞得(集團)公司選有一服務器所在地的北京市海淀區人民法院起訴東方公司侵犯著作權并無不當,北京市海淀區作為侵權行為地之一,北京市海淀區人民法院有管轄權。東方公司所提其它上訴理由,并不影響本案管轄權的確定。綜上,東方公司的上訴理由不能成立,其上訴請求本院不予支持。北京市海淀區人民法院(1999)海知初字第21號民事裁定應予維持,依照《中華人民共和國民事訴訟法》第一百五十四條之規定,裁定如下:駁回上訴,維持原裁定,本裁定為終審裁定。
被告辯稱:
被告東方公司同時辯稱:原告所訴與事實不符。原告不能充分證明“東方信息公司”的主頁系由我公司制作和,不能認定“四川東方信息公司”或“東方信息公司”即為本案被告,從而也就不能證明被告的侵權事實。原告主頁所采用的設計版式并非原告所獨創,該主頁的“色彩、欄目設置、欄目標題、下拉菜單”等均屬公有領域的“思想表達形式”,在原告設計制作其主頁前已被人們廣泛采用,不具備著作權法保護作品所應具有的獨創性,原告對此無專有使用權,無權禁止他人使用與其同樣的表達方式,故請求法院駁回原告的訴訟請求。
一審案件事實及證據:
經審理查明:原告全稱為瑞得(集團)公司,被告全稱為宜賓市翠屏區東方信息服務有限公司, “瑞得在線”為原告在國際互聯網上所設主頁的名稱,網址為:“readchina.com”(國際域名)、“rol.cn.com”(電報局提供)、“rol.com.cn”(互聯網信息中心提供)。
1998年12月底,原告發現在國際互聯網上有一“東方信息公司”網站主頁的內容與“瑞得在線”主頁部分內容相近似,“東方信息公司”網站主頁所在的網址為:“person.zj.cninfo.com/~bmss/index.htm”。
1999年1月4日,原告向北京市公證處申請對上述兩個主頁進行了公證,并于同年1月5日使用聯網的計算機將兩個主頁下載到軟盤上并打印在紙張上列為公證書的原本內容,其中“瑞得在線”主頁的打印件上的網址為:“rol.cn.com”。
對此兩個主頁,所用顏色、文字及部分圖標并不完全相同,但在“最新推出”、“看中國搜索引擎”等處,所用圖標相同。在該公證書送達原告后,因首頁中“東方信息公司”的名稱及“瑞得在線”網址問題,根據原告的申請,公證處將原件收回后對相關內容進行了更正。在庭審過程中被告并未舉證證明該公證行為的違法性。
另查在“東方信息公司”的主頁(現已停止使用)上,注明有“江蘇林肯制作”、“copyright1998版權所有東方信息公司”等內容,其中電話、傳真、地址與本案被告的電話、傳真、原地址等事項相同。
再查,《中國青年報》、《北京青年報》、《互聯網周刊》等媒體曾就此案進行過專門報道,在相關報道中被告法定代表人任建軍曾承認侵權或承認“東方信息公司”的主頁歸其所有。在庭審過程中,被告并未舉證否定該報道的真實性,亦未舉證證明一個與其電話、傳真、地址等事項完全相同的單位的合法存在。
上述事實,有雙方當事人提交的公證書、網絡經營許可證、備案表、營業執照、報紙及本院的勘驗筆錄、調查筆錄、詢問筆錄、開庭筆錄等在案佐證。
一審法院判決:
法院認為,被告侵權成立,理由如下:
第一、作品作為文學、藝術和科學領域內的智力創造成果應具備獨創性、可復制性和可傳播性。原告的主頁應是一種獨特構思的體現,具備獨創性;這一主頁既可儲存在WWW服務器的硬盤上,又可被打印在紙張上,說明該主頁是可復制的;該主頁能夠被人通過WWW服務器上載到國際互聯網上并保持穩定狀態,可以被社會公眾借助聯網的計算機所接觸,說明該主頁具有可傳播性,故該主頁應視為受著作權法保護的作品,在沒有相反證據的情況下,該作品的著作權應歸其作者即本案原告所有。該主頁首次上載到“瑞得在線”網站上的時間應確定為發表時間。
第二、著作權法允許不同的作者創作出相同或實質上相似的作品,享有各自的著作權,向公眾進行傳播展示;但前提是這種相同或實質上的相似應是基于獨立創作思想和創作活動的存在。被告辯稱否認“東方信息公司”的主頁歸其所有,但未舉證證明一個與其電話號碼、傳真號碼、法定代表人姓名、住所地等事項完全一致的單位的合法存在,故該辯稱本院不予采信。本案被告的主頁雖然在內容上與原告的主頁并不完全一致,但在部分圖標、文字、顏色的組合搭配上,如“最新推出”、“看中國搜索引擎”,已構成實質上的相同。在庭審過程中被告并未舉證證明這部分內容由其獨立創作完成或已處于公有領域,故應視為取自原告的主頁。
第三、著作權是法律賦予作者對其創作的作品所享有的專有權利,被告對使用原告主頁上的部分內容設計出的新主頁享有著作權并將該主頁上載到國際互聯網,在這個過程中被告并未取得原告的許可或向其付酬,而且出于商業目的,如設立了“征集廣告”等欄目,故被告在該主頁的過程中侵犯了原告的保護作品完整權、作品使用權和獲得報酬權,據此被告應依法承擔侵權責任,在相應的范圍內向原告賠禮道歉并賠償由此給原告造成的合理的經濟損失。
被告辯稱否認侵權,無事實與法律依據,本院不予采信。
原告要求被告賠償由此造成的經濟損失80000元,證據不足,對此本院將根據被告侵權程度的情況確定賠償數額,對原告的該項請求本院不予全額支持。
第四、在國際互聯網上,網頁之間的鏈接是信息、提供服務的一種重要方式,而用于鏈接的獨特的知名圖標,體現了其權利人的商業信譽,依法應予以保護,但在追究他人侵權責任的過程中,權利人必須證明這種圖標的知名度的真實存在和這種知名度被他人所假冒。
在本案中原告雖提供了有關主頁內容的新聞報道用以證明其所提供服務的知名性,但其并未舉證證明被告使用相關欄目的圖標進行了鏈接及鏈接網頁的內容,故原告以被告侵犯其商業信譽為由要求被告賠償119900元之請求,于事實無據,本院不予支持。
據此,依照《中華人民共和國著作權法》第四十五條第四項、第八項之規定,判決如下:
一、自本判決生效之日起十五日內,被告宜賓市翠屏區東方信息服務有限公司在《計算機世界日報》(網址computerworld.com.cn)的主頁上刊登聲明,向原告瑞得(集團)公司公開致歉,致歉內容須經本合議庭審核,如被告拒絕履行該項義務,本院將根據判決內容自行擬定一份公告刊登在該網址上,有關費用由被告負擔;
二、自本判決生效之日起十日內,被告宜賓市翠屏區東方信息服務有限公司賠償原告瑞得(集團)公司經濟損失2000元;
三、駁回原告瑞得(集團)公司的其他訴訟請求。
案件受理費5508元(原告預交),由原告瑞得(集團)公司負擔5400元(已交納),由被告宜賓市翠屏區東方信息服務有限公司負擔108元(于本判決生效之日起七日內交納)。
如不服本判決,可于判決書送達之日起十五日內,向本院遞交上訴狀,并按對方當事人的人數提交副本,上訴于北京市第一中級人民法院。
宣判后, 原、被告均服從法院判決,未提起上訴。
本案焦點:
? 管轄是一個法律概念,在國內法中指法院審理提交給它的事項以及對這些事項作出裁決的權力和權限。?? 作品的原創性就是指作品創作的獨立性。一部作品若是作者獨立的創作,而非抄襲他人的,該作品便具有原創性。?
適用法律《中華人民共和國民事訴訟法》第二十九條規定:
因侵權行為提起的訴訟,由侵權行為地或者被告住所地人民法院管轄。
最高人民法院印發《關于適用〈中華人民共和國民事訴訟法〉若干問題的意見》的通知第二十八條規定:
民事訴訟法第二十九條規定的侵權行為地,包括侵權行為實施地、侵權結果發生地。
《著作權法實施條例》第二條規定:
著作權法所稱作品,指文學、藝術和科學領域內,具有獨創性并能以某種有形形式復制的智力創作成果。
最高人民法院《關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》第二條規定:
受著作權法保護的作品,包括著作權法第三條規定的各類作品的數字化形式。在網絡環境下無法歸于著作權法第三條列舉的作品范圍,但在文學、藝術和科學領域內具有獨創性并能以某種有形形式復制的其他智力創作成果,人民法院應當予以保護。
《中華人民共和國著作權法》第四十五條規定:
第四十五條 有下列侵權行為的,應當根據情況,承擔停止侵害、消除影響、公開賠禮道歉、賠償損失等民事責任:
(一)未經著作權人許可,發表其作品的;
(二)未經合作作者許可,將與他人合作創作的作品當作自己單獨創作的作品發表的;
(三)沒有參加創作,為謀取個人名利,在他人作品上署名的;
(四)歪曲、篡改他人作品的;
(五)未經著作權人許可,以表演、播放、展覽、發行、攝制電影、電視、錄像或者改編、翻譯、注釋、
編輯等方式使用作品的,本法另有規定的除外;
(六)使用他人作品,未按照規定支付報酬的;
(七)未經表演者許可,從現場直播其表演的;
(八)其他侵犯著作權以及與著作權有關的權益的行為。
學理分析
第一,關于管轄問題。
管轄是一個法律概念,在國內法中指法院審理提交給它的事項以及對這些事項作出裁決的權力和權限。我國的法律規定“因侵權行為提起的訴訟,由侵權行為地或者被告住所地人民法院管轄”(民訴法第二十九條),“侵權行為地包括侵權行為實施地、侵權結果發生地”(最高法院關于民訴法若干意見第二十八條)。
著作權侵權案件中,很少涉及管轄問題。因為著作權法從本質上講是一種控制技術的手段,為了平衡著作權所有人和技術持有人之間的利益沖突,它要限制以營利為目的的復制使用行為, 因此, 它必須對作品的復制使用加以固定的集中化的管理。 這一中心化的管理模式,為案件的管轄的確定提供了依據, 雖然有時侯因侵權作品出版發行的地域廣泛性(比如一本書在全國范圍銷售)造成確定管轄法院的困難,但由于作品的載體是有形的、固定的,其流通的范圍并沒有超越國家的界限,而且印書的印刷廠也是特定的,管轄問題還是可以確定的,比如,印刷廠所在地就是侵權行為地。
問題是當這種中心消失后,應如何解決管轄爭議,特別是在網絡環境下。網絡具有充分開放的特點,網絡虛擬世界中并無國界,其覆蓋的面非常之廣,如有侵權行為,人們幾乎在全球任何一個地方都可以瀏覽到侵權品。但是被告實施侵權行為的計算機終端、服務器等設備相對固定,因而結合網絡的特點,實施被訴侵權行為的網絡服務器等設備所在地可以認定為侵權行為地。為了防止不當擴大原告住所地管轄范圍,對網絡著作權侵權結果地范圍,應當予以一定的限制,即受害人與被訴侵權行為有交互式關聯的服務器等設備所在地可以作為侵權結果地,即確定侵權行為結果地為管轄標準時,受害者(原告)不僅在某地瀏覽到侵權品,其還應該與該站點有一定的“交互”聯系,該地才能構成結果地。所謂交互式聯系,是指原告通過計算機終端設備在被告的網站上進行了訂立合同、傳遞檔案或下定單等互動行為。
本案中,原告的主頁在制作完成后是儲存在其特定的硬盤上并通過自有的服務器向外界的,任何人在任何時間、任何地點通過主機接觸(包括瀏覽或復制主頁內容),必須經過設置在原告公司的服務器。現原告是以被告侵犯著作權為由提起訴訟,是基于其主頁被復制侵權這一理由, 原告的服務器均設在原告公司內,而原告住所地又在海淀區,故海淀區應視為侵權行為實施地。
二、關于主頁的獨創性
從傳統角度看,要取得著作權法的保護,作品必須滿足原創性的要求。然而對作品的原創性這一概念的理解,在版權界、司法界卻存在著幾種不同的觀點。一種觀點認為作品的原創性是與該作品的創造性緊密相聯的,一部作品只有與以往的作品截然不同才具有原創性。第二種觀點認為,作品的原創性就是指作品創作的獨立性。一部作品若是作者獨立的創作,而非抄襲他人的,該作品便具有原創性。世界知識產權組織曾對這一概念作過如下解釋:作品的原創性是指“作品是作者自己的創作,完全不是或基本不是從另一作品抄襲來的。”第三種觀點認為,作品的原創性是指獨立的創作而不是抄襲,再加上稍許的創造性。如美國版權法即是這種觀點。在這三種觀點中,筆者贊同第二種觀點。從版權法形成發展的歷史來看,版權概念的形成及版權保護制度的出現,其初衷均為護出版商的利益。不過隨著文化、科學技術的發展、演變,版權已從出版權中分離出來,形成現代意義的版權。現代的版權法是以保護精神作品的創作者的復制權的基點的法律,其所保護的主要是著作者的權利。故,所謂“原創”僅是指作品是由其作者獨立創作完成而不是復制于他人的作品,而且具備一定的獨特的構思或創意。因此,即使某一作品與他人的作品構成相同或實質上相似,如果該作品的作者能夠證明其獨立創作行為的真實存在,這一作品還應認定為存在原創性的。原創性的確定有時候很容易,比如海明威的小說《永別了,武器》,完全是作者思想的真實表達,而不是取自公有領域的信息。 但有時候,一個作品可能是由公有領域信息所組成的“特殊果實”,原創性的確定將存在很大的難度,比如一個主頁的原創性問題。
在本案中, 顯而易見, 原告的主頁雖然所用顏色、文字及部分圖標(比如圖標“new”, 在圖庫中可以找到)等已處于公有領域,但將該主頁上的顏色、文字、圖標以數字化的方式加以特定的組合,給人以美感,而不是依照客觀規律對客觀事實的簡單排列,應是一種獨特構思的體現,這種構思正是原創性的核心內容。
專家點評
第9篇:信息安全服務范文
論文關鍵詞:信息安全外包風險管理
論文摘要:文章首先分析了信息安全外包存在的風險,根據風險提出信息安全外包的管理框架,并以此框架為基礎詳細探討了信息安全外包風險與管理的具體實施。文章以期時信息安全外包的風險進行控制,并獲得與外包商合作的最大收益。
1信息安全外包的風險
1.1信任風險
企業是否能與信息安全服務的外包商建立良好的工作和信任關系,仍是決定時候將安全服務外包的一個重要因素。因為信息安全的外包商可以訪問到企業的敏感信息,并全面了解其企業和系統的安全狀況,而這些重要的信息如果被有意或無意地對公眾散播出去,則會對企業造成巨大的損害。并且,如若企業無法信任外包商,不對外包商提供一些關鍵信息的話,則會造成外包商在運作過程中的信息不完全,從而導致某些環節的失效,這也會對服務質量造成影響。因此,信任是雙方合作的基礎,也是很大程度上風險規避的重點內容。
1.2依賴風險
企業很容易對某個信息安全服務的外包商產生依賴性,并受其商業變化、商業伙伴和其他企業的影響,恰當的風險緩釋方法是將安全服務外包給多個服務外包商,但相應地會加大支出并造成管理上的困難,企業將失去三種靈活性:第一種是短期靈活性,即企業重組資源的能力以及在經營環境發生變化時的應變能力;第二種是適應能力,即在短期到中期的事件范圍內所需的靈活性,這是一種以新的方式處理變革而再造業務流程和戰略的能力,再造能力即包括了信息技術;第三種靈活性就是進化性,其本質是中期到長期的靈活性,它產生于企業改造技術基本設施以利用新技術的時期。進化性的獲得需要對技術趨勢、商業趨勢的準確預測和確保雙方建立最佳聯盟的能力。
1.3所有權風險
不管外包商提供服務的范圍如何,企業都對基礎設施的安全操作和關鍵資產的保護持有所有權和責任。企業必須確定服務外包商有足夠的能力承擔職責,并且其服務級別協議條款支持這一職責的履行。正確的風險緩釋方法是讓包括員工和管理的各個級別的相關人員意識到,應該將信息安全作為其首要責任,并進行安全培訓課程,增強常規企業的安全意識。
1.4共享環境風臉
信息安全服務的外包商使用的向多個企業提供服務的操作環境要比單獨的機構內部環境將包含更多的風險,因為共享的操作環境將支持在多企業之間共享數據傳輸(如公共網絡)或處理(如通用服務器),這將會增加一個企業訪問另一企業敏感信息的可能性。這對企業而言也是一種風險。
1.5實施過程風險
啟動一個可管理的安全服務關系可能引起企業到服務外包商,或者一個服務外包商到另一個外包商之間的人員、過程、硬件、軟件或其他資產的復雜過渡,這一切都可能引起新的風險。企業應該要求外包商說明其高級實施計劃,并注明完成日期和所用時間。這樣在某種程度上就對實施過程中風險的時間期限做出了限制。
1.6合作關系失敗將導致的風險
如果企業和服務商的合作關系失敗,企業將面臨極大的風險。合作關系失敗帶來的經濟損失、時間損失都是不言而喻的,而這種合作關系的失敗歸根究底來自于企業和服務外包商之間的服務計劃不夠充分完善以及溝通與交流不夠頻繁。這種合作關系在任何階段都有可能失敗,如同其他商業關系一樣,它需要給予足夠的重視、關注,同時還需要合作關系雙方進行頻繁的溝通。
2信息安全外包的管理框架
要進行成功的信息安全外包活動,就要建立起一個完善的管理框架,這對于企業實施和管理外包活動,協調與外包商的關系,最大可能降低外包風險,從而達到外包的目的是十分重要的。信息安全外包的管理框架的內容分為幾個主體部分,分別包括企業協同信息安全的外包商確定企業的信息安全的方針以及信息安全外包的安全標準,然后是對企業遭受的風險進行系統的評估.并根據方針和風險程度.決定風險管理的內容并確定信息安全外包的流程。之后,雙方共同制定適合企業的信息安全外包的控制方法,協調優化企業的信息安全相關部門的企業結構,同時加強管理與外包商的關系。
3信息安全外包風險管理的實施
3.1制定信息安全方針
信息安全方針在很多時候又稱為信息安全策略,信息安全方針指的是在一個企業內,指導如何對資產,包括敏感性信息進行管理、保護和分配的指導或者指示。信息安全的方針定義應該包括:(1)信息安全的定義,定義的內容包括信息安全的總體目標、信息安全具體包括的范圍以及信息安全對信息共享的重要性;(2)管理層的目的的相關闡述;(3)信息安全的原則和標準的簡要說明,以及遵守這些原則和標準對企業的重要性;(4)信息安全管理的總體性責任的定義。在信息安全方針的部分只需要對企業的各個部門的安全職能給出概括性的定義,而具體的信息安全保護的責任細節將留至服務標準的部分來闡明。
3.2選擇信息安全管理的標準
信息安全管理體系標準BS7799與信息安全管理標準IS013335是目前通用的信息安全管理的標準:
(1)BS7799:BS7799標準是由英國標準協會指定的信息安全管理標準,是國際上具有代表性的信息安全管理體系標準,標準包括如下兩部分:BS7799-1;1999《信息安全管理實施細則》;BS7799-2:1999((信息安全管理體系規范》。
(2)IS013335:IS013335《IT安全管理方針》主要是給出如何有效地實施IT安全管理的建議和指南。該標準目前分為5個部分,分別是信息技術安全的概念和模型部分;信息技術安全的管理和計劃部分;信息技術安全的技術管理部分;防護和選擇部分以及外部連接的防護部分。
3.3確定信息安全外包的流程
企業要根據企業的商業特性、地理位置、資產和技術來對信息安全外包的范圍進行界定。界定的時候需要考慮如下兩個方面:(1)需要保護的信息系統、資產、技術;(2)實物場所(地理位置、部門等)。信息安全的外包商應該根據企業的信息安全方針和所要求的安全程度,識別所有需要管理和控制的風險的內容。企業需要協同信息安全的外包商選擇一個適合其安全要求的風險評估和風險管理方案,然后進行合乎規范的評估,識別目前面臨的風險。企業可以定期的選擇對服務外包商的站點和服務進行獨立評估,或者在年度檢查中進行評估。選擇和使用的獨立評估的方案要雙方都要能夠接受。在達成書面一致后,外包商授予企業獨立評估方評估權限,并具體指出評估者不能泄露外包商或客戶的任何敏感信息。給外包商提供關于檢查范圍的進一步消息和細節,以減少任何對可用性,服務程度,客戶滿意度等的影響。在評估執行后的一段特殊時間內,與外包商共享結果二互相討論并決定是否需要解決方案和/或開發計劃程序以應對由評估顯示的任何變化。評估所需要的相關材料和文檔在控制過程中都應該予以建立和保存,企業將這些文檔作為評估的重要工具,對外包商的服務績效進行考核。評估結束后,對事件解決方案和優先級的檢查都將記錄在相應的文件中,以便今后雙方在服務和信息安全管理上進行改進。
3.4制定信息安全外包服務的控制規則
依照信息安全外包服務的控制規則,主要分為三部分內容:第一部分定義了服務規則的框架,主要闡明信息安全服務要如何執行,執行的通用標準和量度,服務外包商以及各方的任務和職責;第二部分是信息安全服務的相關要求,這個部分具體分為高層服務需求;服務可用性;服務體系結構;服務硬件和服務軟件;服務度量;服務級別;報告要求,服務范圍等方面的內容;第三部分是安全要求,包括安全策略、程序和規章制度;連續計劃;可操作性和災難恢復;物理安全;數據控制;鑒定和認證;訪問控制;軟件完整性;安全資產配置;備份;監控和審計;事故管理等內容。
3.5信息安全外包的企業結構管理具體的優化方案如下:
(1)首席安全官:CSO是公司的高層安全執行者,他需要直接向高層執行者進行工作匯報,主要包括:首席執行官、首席運營官、首席財務官、主要管理部門的領導、首席法律顧問。CSO需要監督和協調各項安全措施在公司的執行情況,并確定安全工作的標準和主動性,包括信息技術、人力資源、通信、法律、設備管理等部門。
(2)安全小組:安全小組的人員組成包括信息安全外包商的專業人員以及客戶企業的內部IT人員和信息安全專員。這個小組的任務主要是依照信息安全服務的外包商與企業簽訂的服務控制規則來進行信息安全的技術。
(3)管理委員會:這是信息安全服務外包商和客戶雙方高層解決問題的機構。組成人員包括雙方的首席執行官,客戶企業的CIO和CSO,外包商的項目經理等相關的高層決策人員。這個委員會每年召開一次會議,負責審核年度的服務水平、企業的適應性、評估結果、關系變化等內容。
(4)咨詢委員會:咨詢委員會的會議主要解決計劃性問題。如服務水平的變更,新的技術手段的應用,服務優先等級的更換以及服務的財政問題等,咨詢委員會的成員包括企業內部的TI’人員和安全專員,還有財務部門、人力資源部門、業務部門的相關人員,以及外包商的具體項目的負責人。
(6)安全工作組:安全工作組的人員主要負責解決信息安全中某些特定的問題,工作組的人員組成也是來自服務外包商和企業雙方。工作組與服務交換中心密切聯系,將突出的問題組建成項目進行解決,并將無法解決的問題提交給咨詢委員會。
(7)服務交換中心:服務交換中心由雙方人員組成,其中主要人員是企業內部的各個業務部門中與信息安全相關的人員。他們負責聯絡各個業務部門,發掘出企業中潛在的信息安全的問題和漏洞,并將這些問題報告給安全工作組。
(8)指令問題管理小組:這個小組的人員組成全部為企業內部人員,包括信息安全專員以及各個業務部門的負責人。在安全小組的技術人員解決了企業中的安全性技術問題之后,或者,是當CSO了關于信息安全的企業改進方案之后,這些解決方案都將傳送給指令問題管理小組,這個小組的人員經過學習討論后,繼而將其到各個業務部門。
(9)監督委員會:這個委員會全部由企業內部人員組成。負責對外包商的服務過程的監督。
