時間:2022-09-17 17:53:07
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇檢察院信息安全,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全;檢察信息化;防護
1.引言
網絡安全是制約檢察信息化發展的重要因素。加強網絡安全建設,提高防范能力已在檢察機關內部達成共識,但局部也存在忽視的問題,一些檢察院因為安全投資較大而存在畏難情緒。下面,筆者就當前檢察機關的網絡安全發展趨勢及對策,談幾點粗淺的看法。
2.網絡安全威脅及其發展趨勢
信息技術的飛速發展,使網絡成為我們這個時代的標志。在信息網絡發達的今天,綜合運用各種技術手段侵入網絡非法獲取政治、經濟利益的事情每天都在發生。隨著全國檢察機關信息化步伐不斷加快,互聯網已成為檢察機關日常辦公、辦案的重要工具。檢察信息資源特別是案件信息是檢察機關的核心機密,但審批程序不嚴謹、管理不嚴、使用的安全意識淡薄都會成為失密泄密的隱患。信息網絡安全必須要擺到檢察安全工作的重要位置,每個檢察人員都必須要有足夠的防范意識。目前來看,網絡安全最常見的計算機技術威脅主要有以下四種:
2.1病毒攻擊。計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,具有繁殖性、
傳染性、潛伏性、隱蔽性、破壞性、可觸發性等特點。常見的病毒有引導性病毒、文件型病毒、宏病毒、腳本病毒、蠕蟲病毒。
2.2木馬。它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種者電腦的門戶,使施種者可以任意毀壞、竊取被種者的文件及密碼,甚至遠程操控被種者的電腦。
2.3垃圾郵件。是指未經用戶許可就強行發送到用戶的郵箱中的任何電子郵件,一般具有批量發送的特征。
2.4惡意軟件。是指未明確提示用戶或未經用戶的情況下,在用戶計算機或其它終端上安裝運行,侵犯用戶合法權益的軟件。
從以上四種計算機技術威脅的發展趨勢看,病毒和木馬等攻擊和傳播速度越來越快,一般性的病毒的攻擊期間以月來計算,郵件病毒的攻擊期間以天來計算,混合式的病毒的攻擊期間甚至以秒來計算;遭遇感染的計算機范圍越來越大,超過25%的計算機用戶幾乎同時在受到不同形式或種類的病毒、木馬的攻擊;攻擊的方式和途徑方法越來越多,途徑越來越廣,適應能力更強,修復能力更頑固,被攔截后還能重復感染,與系統親合能力更加完善,更加不好剝離。
除了應及時預防、排除以上常見技術威脅外,還需要對以下安全威脅有所認識和警惕,并提前制定措施加以解決和避免:計算機軟硬件故障、物理環境威脅、管理不到位、越權或濫用、,黑客攻擊技術、物理攻擊等。
3.檢察信息網絡安全工作的對策
面對日益嚴峻的網絡安全形勢,最高人民檢察院不斷深化安全戰略要求,將網絡安全建設列為全國檢察機關科技強檢“五個體系”建設目標之一,并以各省為單位組織開展了信息系統分級保護和非信息系統等級保護建設工作。這兩項工程具有建設周期長、技術復雜、投資大的特點,但是無論任務如何艱巨,都是需要各級檢察院認真完成的。對于暫不具備建設條件或尚未列入計劃的院,我認為至少應從以下幾個方面做好前期準備:
3.1狠抓基礎設施建設。省、市檢察院專線網機房應建設屏蔽間,縣級檢察院專線網機房應采取屏蔽機柜裝置檢察專線網網絡交換機和數據服務器。各級檢察院專線網接入端和局域網布線應采用光纖或屏蔽線,并與其它網絡線路物理隔離,并有一定間距。各級檢察院機房都應具有防雷辦頒發的防雷證書,搞好接地;機房與功能間要有完善管用的消防設施等等。
3.2配齊基礎檢察專線網安全設備。防火墻、防病毒軟件、不間斷電源是最基本的網絡安全設備,沒有的檢察院至少要配齊以上3個設備。配齊的檢察院也應當能夠做到防火墻軟硬件的升級和策略的調整,防病毒軟件要及時升級并教授干警查殺病毒的辦法,不間斷電源要根據網絡的擴大、主要設備的引進適時進行擴容。隨著投入的加大,市縣兩級檢察院還要逐步引入入侵檢測、漏洞掃描等設備,為信息系統分級保護建設打下基礎。
3.3完善“三鐵一器”機房。尤其是縣級檢察院的安全保密設備,收發文件用終端設備要放置在“三鐵一器”機房,要確實做到防盜、防火、防水。要加強設備安全管理,達到最高人民檢察院的具體要求,特別是要有專人管理,專人操作使用,放置環境不能缺少“三鐵一器”,這也是是中辦機要局的要求。
3.4加強互聯網的管理。據筆者的觀察和理解,各級檢察院在互聯網使用上主要會遇到以下幾個問題,一是審批不嚴,或不按審批程序辦事,違規接入互聯網的現象屢禁不止;二是由于終端來源多樣化,技術信息部門又難以及時準確掌握,導致一些終端在未經許可下就私自接入互聯網,有的接入后又被隨機調配到專線網上,來回串用的現象比較突出;三是對于筆記本電腦的管理乏力,既上內網又上外網難以被及時監督并制止。四是移動硬盤和U盤做不到專網專用,特別是一些帶有辦案和統計信息文件的U盤被隨意用到外網上,帶來很大的安全隱患和隱患。五是訪問非工作所需或非法的網站,在終端上安裝未經允許的各種軟件,帶來了大量病毒和木馬,為失密泄密留下了后門。為此,建議市縣兩級檢察院要根據本院實際,應當建立互聯網接入審批和登記制度,嚴格控制互聯網入口數量和接入終端數量,規范上網行為;加強對計算機和U盤等移動存儲介質的管理,杜絕違規接入互聯網;在互聯網終端上加裝特殊的軟件或設備,需要經本院分管領導授權;將互聯網及其他公共信息網絡上的數據復制到網絡,應當采取病毒查殺、單向導入等防護措施。
3.5努力做到安全“五不”。通過強化技術防范,提高維護能力,努力做到 “五不”,即“進不來、拿不走、看不懂、走不脫、賴不掉,”即非合法用戶不能進入系統;非授權用戶看不到有關信息;重要的信息進行了加密,看到了也看不懂;在系統內進行了違規操作,就會全留下痕跡,走不脫;拿走了信息,就有相關記錄,想賴也賴不掉。
3.6檢察人員必須樹立防范意識。安裝防病毒軟件并及時升級、定期定時的對服務器及終端的病毒進行查殺,對于重要的文件和數據要進行光盤等備份,建立檔案,加強管理,以便自覺在使用時構建起檢察信息網絡安全的第一道防線,把好病毒等惡意程序的攻擊入口。
關鍵詞: 數據安全; 數據丟失; 風險投資; 應對策略
中圖分類號:TP309.2 文獻標志碼:A 文章編號:1006-8228(2012)05-06-03
Discussion on cause of information data loss and corresponding strategy
Meng Weidong1, Zhou Xuan2
(1. The People’s Procuratorate of Quzhou, Quzhou, Zhejiang 324000, China; 2. Agricultural Bank of China Quzhouquhua Sub-Branch)
Abstract: The importance of information data security is elaborated. The cause of information data loss is analyzed. Combining with practical cases, the paper presents the corresponding strategy for avoiding information data loss. By using knowledge such as system life cycle, project management, software architecture and venture capital, the security of information data can be realized.
Key words: data security; data loss; venture capital; corresponding strategy
0 引言
分析調研機構IDC在2011年的研究報告顯示,全球信息總量每過兩年就會增長一倍。2011年,全球被創建和被復制的數據總量為1.8ZB。1.8ZB是一個什么概念?舉例來說,1.8ZB相當于全球每個人每天都去做2.15億次高分辨率的核磁共振檢查所產生的數據總量[1]。同時IDC預測,2012年,全球被創建和被復制的數據總量比2011年增長48%,達到2.7ZB。在人類目前所擁有的全部信息中,有超過90%的信息都是非結構化的,例如:圖像、視頻、音樂、基于社交媒體和Web工作流文件等富媒體信息,這對于人類理解和分析信息是巨大的挑戰。
如今,信息數據已經成為維系單位正常運行的重要資源,關鍵數據更是成為單位生存和發展的命脈。隨著信息數據量驚人增長,信息數據的安全性問題顯得越來越突出。如何保護信息數據的安全?如何避免自然災害、人為災害以及計算機系統故障所造成的信息數據丟失?解決這些信息數據的安全問題已經變得非常重要和迫切。
1 數據安全
信息數據的安全性指的是數據的保密性、完整性、可用性、真實性。保密性指數據只能給合法授權的用戶使用,不能泄露給非授權訪問的用戶。破壞保密性的安全威脅有傳輸威脅、病毒威脅、非授權竊取、丟失數據威脅等。完整性指數據未經授權不能被改變。破壞完整性的安全威脅有操作系統故障、應用系統故障、硬盤故障、誤操作、病毒威脅、非授權篡改等。可用性指當需要時是否能正常使用數據。破壞可用性的安全威脅有操作系統故障、應用系統故障、硬盤故障、誤操作、病毒威脅等。真實性指數據的內容是否真實準確。破壞真實性的安全威脅有誤操作、病毒威脅、非授權篡改等[2]。
信息數據面臨的安全威脅來自于多個方面。通過對信息數據安全威脅的分析可以知道,造成信息數據丟失的原因主要有:軟件系統故障(操作系統故障、應用系統故障)、硬件故障、誤操作、病毒、黑客、計算機犯罪、自然災害等等。
2 案例分析
2.1 軟件系統故障
某檢察院使用的一套業務應用系統軟件,用于傳輸上下級檢察院之間的電子卷宗材料。該院辦案業務量呈倒三角模式,基層檢察院往上級檢察院傳輸的電子卷宗材料相對較少。某基層檢察院在使用該應用系統軟件一段時間后,因更換服務器,重新安裝了該應用系統軟件,加之積累數據較少且紙質卷宗已存檔,于是重建了服務器上的數據庫。當該基層檢察院再次往上級檢察院傳輸電子卷宗材料后,發現之前已經傳輸到上級檢察院的電子卷宗材料被覆蓋,相關數據已無法在上級檢察院數據庫中找回。
事后分析,該應用系統軟件存在漏洞。舉例說明:當基層檢察院將電子卷宗材料傳輸給上級檢察院后,該電子卷宗材料在基層檢察院和上級檢察院的數據庫中均擁有一一對應的ID號(例如:330106000007代表330106“西湖區”+000007“第7號卷宗”)。當基層檢察院更換服務器并重建數據庫時,基層檢察院的數據庫ID號同時歸零并重新開始計數。當ID號計數到330106000007,一旦相應電子卷宗材料上傳,則上級檢察院數據庫中ID號為330106000007的電子卷宗材料會被基層檢察院數據庫中同一ID號的電子卷宗材料所覆蓋,造成上級檢察院數據庫中ID號為330106000007的電子卷宗材料數據丟失。
2.2 硬件故障
某單位使用的存儲設備采用RAID技術把多個獨立的硬盤(物理磁盤)按照不同的規范組合在一起形成一個磁盤陣列系統,從而提供了比單個硬盤更高的存儲性能和數據備份能力,確保了信息數據的安全。
但是,RAID技術也并非萬無一失,數據仍然可能因為硬件故障而丟失。舉例說明:某單位采購了甲品牌的存儲設備,配置了兩組共16塊物理磁盤,第一組用于本地存儲本單位的關鍵數據,第二組用于異地容災備份下級單位的關鍵數據。這些存儲設備采用7+1運行模式,即其中一塊物理磁盤作為熱備盤,一旦其他物理磁盤變成游離盤時,熱備盤立即自動替換該游離盤,其余七塊物理磁盤通過RAID5規范組合成一個邏輯磁盤。同時,該單位采購了乙品牌的備份軟件,該軟件可以按備份計劃定期地將各個服務器上的關鍵數據自動備份到存儲設備上。但該軟件在版本未升級前不能將數據存儲到指定的邏輯磁盤分區上,造成數據只能在存滿第一個邏輯磁盤的第一個分區后,才能向第一個邏輯磁盤的第二個分區存儲數據,直到存滿第一個邏輯磁盤的最后一個分區后,才能向第二個邏輯磁盤的第一個分區存儲數據,依此類推。于是下級單位的異地容災數據和本單位的關鍵數據都混合存儲在第一個邏輯磁盤上,造成第二個邏輯磁盤處于無數據存儲的空轉狀態――雞蛋都放在了同一個籃子里。
當第一個邏輯磁盤中有一塊物理磁盤因種種原因出現硬件故障變成游離盤時,第一個邏輯磁盤中的熱備盤并沒有立即自動替換成功,緊接著第一個邏輯磁盤中又一塊物理磁盤變成游離盤。此時,下級單位的異地容災數據和本單位的關鍵數據大量丟失。
2.3 誤操作
某單位服務器在操作系統和應用系統安裝成功后,對該服務器的系統分區進行了克隆備份。該服務器在運行一段時間后,由于種種原因需要利用分區調整軟件對系統分區和非系統分區的容量大小進行調整。某日,系統管理員發現該服務器響應速度變慢,經檢查發現該服務器操作系統異常報錯。于是,系統管理員對該服務器非系統分區上的關鍵數據進行了異地備份之后,對系統分區進行了克隆備份的還原操作。由于該服務器的系統分區和非系統分區容量大小事前已做了調整,但系統管理員未記錄下調整日志,致使克隆還原后的系統分區和還原前的系統分區容量大小不一致,造成該服務器非系統分區上的數據丟失。事后只能通過異地備份來恢復關鍵的數據。
2.4 其他原因
計算機病毒,是指在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。計算機病毒具有一定的傳染性、隱蔽性、潛伏性和破壞性。計算機感染病毒后,會導致計算機系統崩潰,軟件無法正常運行,程序和數據遭受到不同程度的破壞、刪除、甚至被竊取,從而造成無法彌補的損失。
人為災害(黑客、計算機犯罪、戰爭)與自然災害一樣嚴重威脅著計算機的物理安全,造成數據丟失甚至毀滅殆盡。2005年美國發生了一起嚴重的信用卡資料被盜事件。為維薩、萬事達、美國運通、發現等大信用卡公司服務的一個數據處理中心網絡存在信息安全漏洞,被惡意黑客植入木馬程序。黑客入侵該網絡后,竊取了美國約4000萬信用卡客戶資料,這些資料包括持卡人的姓名、賬戶號碼和有效期等,全球包括亞太地區中國在內的信用卡客戶均遭受到不同程度的影響。黑客竊取這些資料后在網上“黑市”進行交易。犯罪分子利用這些資料偽造大量信用卡后大肆刷卡消費,嚴重損害信用卡客戶的合法利益,嚴重擾亂金融秩序。這可能是美國有史以來最嚴重的一次信息安全案件[3]。
3 應對策略
針對以上信息數據丟失的情況,本文著重從系統生命周期、項目管理、軟件架構、風險投資等幾個方面提出應對策略。
3.1 系統生命周期和項目管理策略
每個事物都有其產生、發展、成熟和消亡的生命過程,軟件系統也是如此。這個周期被稱為SLC (System Life Cycle,系統生命周期)。為了有效地進行系統的開發和管理,根據系統生命周期的概念,可以將軟件系統的開發劃分成五個階段,即總體規劃階段、系統分析階段、系統設計階段、系統實施階段、系統運行和評價階段[4]。每個階段都有其明顯的特征、明確的任務、專門的方法和工具,使得規模龐大、結構復雜的軟件開發工作變得容易控制和管理。軟件系統的開發應該從過去的小作坊模式逐步過渡到現代的信息系統項目管理模式。項目管理團隊應從客戶的實際需求出發,綜合考慮信息系統項目的社會環境、政治環境、自然環境等因素,對信息系統項目進行可行性研究和評估,并通過項目的整體管理、范圍管理、時間管理、成本管理、質量管理、人力資源管理、溝通管理、風險管理、采購管理,利用相關的工具和技術,最終把該項目的產品開發出來,使得軟件系統故障率幾乎為零,使客戶滿意。
3.2 軟件架構策略
對于大規模的復雜軟件系統來說,對總體的系統結構設計和規格說明比起對計算的算法和數據結構的選擇顯得更為重要。在此種背景下,系統、深入地研究軟件架構(software architecture,軟件體系結構)被認為是提高軟件生產率和解決軟件維護問題的新途徑。軟件架構研究的主要內容涉及軟件架構描述、軟件架構風格、軟件架構評價和軟件架構的形式化方法等。軟件架構反映了領域中眾多系統所共有的結構和語義特性,可指導如何將各個模塊和子系統有效地組織成一個完整的系統。不同的軟件架構有各自的優缺點,對數據的安全性要求也不同。例如:傳統的二層C/S(Client/Server)架構對數據的安全性不好。因為客戶端程序可以直接訪問數據庫服務器,那么客戶端計算機上的其它程序也可以想辦法訪問數據庫服務器,從而使數據庫的安全性受到嚴重威脅。而在三層C/S架構中,增加了一個應用服務器,使整個應用邏輯放在應用服務器上,而只有表示層存在于客戶機上。其優點是充分利用功能層有效地隔離開表示層和數據層,未授權的用戶難以繞過功能層而利用數據庫工具或黑客手段去非法訪問數據層。這就為嚴格的安全管理奠定了堅實的基礎,使得整個系統的管理層次也更加合理和可控[5]。
3.3 風險投資策略
生活中風險無處不在,任何時候任何地點都有可能發生意外情況而使人們的生命和財產遭受損失。所以投資界有句至理名言――“不要把雞蛋放在同一個籃子里”。這在數學上被稱為最大熵原理。熵是來自熱力學的一個概念。在哲學和統計物理中熵被解釋為物質系統的混亂和無序程度。信息論則認為它是信息源的狀態的不確定程度。所謂熵增加原理,是指孤立系統向著微觀狀態最混亂的方向變化,直到熵達最大。1948年,香農(SHANNON C E)把玻爾茲曼熵的概念引入信息論并把熵作為一個隨機事件的不確定性或信息量的量度。因此,信息數量的大小,可以用被消除的不確定性的多少來表示,而隨機事件不確定性的大小可以用概率分布函數來描述。基于熵的定義,可知最大熵分布原理:最小偏見的概率分布是這樣一種分布,使其熵在根據已知樣本數據信息的一些約束條件下達到最大值[6]。
信息數據在使用過程中會存在風險――丟失、被竊取、被篡改、被破壞等。根據最大熵原理,信息數據和雞蛋一樣也不能放在同一個籃子里。例如:在只有一個物理磁盤的條件下,信息數據應該復制或者移動到不同的磁盤分區上;在有多個物理磁盤的條件下,信息數據應該復制或者移動到不同的磁盤上。也可以采用RAID(Redundant Array of Inexpensive Disks,廉價磁盤冗余陣列[7])技術把多個容量較小的廉價物理磁盤組成一個大容量的磁盤陣列系統,通過數據跨盤技術,按照不同的RAID規范把數據分別存儲在磁盤陣列系統中的多個物理磁盤上。RAID技術的優勢在于允許系統在多個物理磁盤上同時讀取和寫入數據以提高I/O數據傳輸速率,但也因此不可避免地增大了系統出錯的概率。為了補償可靠性方面的損失,RAID技術提供了容錯功能,通過使用存儲的校驗信息來從錯誤中恢復數據,以確保信息數據安全。
除了本地分散風險以外,還可以通過異地容災的手段來降低災害對信息數據所產生的風險。例如:可以在單位大樓相距較遠的樓層之間或者主樓與副樓之間建立主機房和副機房的存儲備份系統,還可以在不同地域的上下級單位之間建立機房的存儲備份系統。對保密性要求不高的單位可以向SaaS(Software as a service,軟件及服務)提供商租賃數據空間,而不用操心數據備份的具體物理位置。但是在選擇云存儲時,需要嚴格評估SaaS提供商的政治條件、資質、存儲速度、數據保護能力等各項指標[8]。
3.4 其他策略
在信息化網絡時代,可以利用網絡殺毒軟件、硬件防火墻、入侵檢測、訪問控制、數據加密、漏洞掃描、補丁分發、日志審計、桌面安管、數字證書、數字簽名、網絡隔離、VLAN(Virtual Local Area Network,虛擬局域網)等各類技術來降低病毒、黑客、計算機犯罪等人為災害對數據所造成的損失。同時,還應在國家法律法規允許的范圍內,建立一套嚴格的數據安全管理制度,從人員思想、單位規章、保密制度和法律法規等不同層面加強對各類相關人員的管理。
4 結束語
信息技術正以空前的影響力和滲透力,不可阻擋地改變著社會的經濟結構、生產方式和生活方式。在信息化網絡時代,一切互聯互通、信息無處不在,同時也潛伏著各種威脅,例如:敏感數據丟失、泄密等。這些威脅足以破壞信息數據的安全,影響個人的工作和生活、單位的生存和發展、甚至國家的政治、經濟和國防安全。古人云:“道高一尺,魔高一丈。”如何為信息數據的安全保駕護航,已經成為信息社會里一個永恒的命題。
參考文獻:
[1] IDC.從混沌中提取價值[R].數字宇宙研究報告,2011.
[2] 耿朝輝.如何保證數據安全[J].網管員世界,2010.6:80~85
[3] 新華網.黑客竊取美國4000萬信用卡賬戶資料[EB/OL].北京:新華社,2005(2005-06-19)[2012-03-06].news.省略/weekend/2005-06/19/content_3104068.htm
[4] 羅曉沛,侯炳輝.系統分析師教程[M].清華大學出版社,2003.
[5] 張友生.系統分析師技術指南(2007版)[M].清華大學出版社,2007.
[6] 俞禮軍,嚴海,嚴寶杰.最大熵原理在交通流統計分布模型中的應用[J].交通運輸工程學報,2001.9:91~94
關鍵詞 檢察院 檔案工作 檢察工作
作者簡介:崔衛榮、盧玉潔,啟東市人民檢察院。
檢察檔案是“按照有關規定立卷歸檔,集中保管的訴訟文書、視聽資料及其它各種載體材料。檢察機關各類案件的訴訟檔案真實地記錄著檢察監督活動的始終,是國家司法檔案的重要組成部分,是檢察機關建設與發展及各項工作完整、準確的見證。” 隨著社會法治進程的加快,檢務公開的要求,檢察檔案將在檢察工作中發揮著越來越大的作用,檢察機關應突破當前檔案工作發展的瓶頸,加強“規范化、信息化、多元化”機制建設,充分發揮檔案的價值,為檢察工作的發展提供好服務。
一、檢察檔案目前存在問題與不足
(一)部分人員檔案意識不強,檔案管理制度有待進一步健全、完善
個別辦案人員歸檔意識不強,案件辦理完結后沒有及時把案卷歸檔,歸檔案卷出現較多問題,不符合歸檔要求,認識不到不歸檔、不及時歸檔行為均屬違反《檔案法》的行為。目前,一般基層檢察院都制定了檔案相關管理制度,但由于工作原因或者檔案意識單薄,有些業務部門訴訟檔案歸案跨度長,易出現拖延不歸檔和超期不歸檔的情況,部分基層院沒有相關制度進行制約;有的檢察院雖制定及時歸檔等相關制度,但制度落實時不到位,缺乏一定的強制力,也造成許多案卷不及時歸檔的現象時有發生。
(二)檔案人員配備難以滿足新形勢、新要求
目前,根據相關規定,各基層檢察院都設置了專門檔案機構,配備了專職檔案人員。但受案多人少矛盾的影響,或因工作需要,個別基層院檢察檔案工作人員具有一定的流動性,嚴重影響了檔案工作的穩定性和長久發展。有的檔案人員缺乏系統培訓,導致部分檔案人員對檔案工作業務不熟悉。如隨著新刑訴法的實施,訴訟檔案中隨附的錄音錄像電子光盤的保存和歸檔問題存在爭議,亟待出臺相關規定進行規范。且隨著案件數量增長導致檔案數量的急速增長,檔案工作人員相對不足與檔案工作量增大之間的矛盾突出,導致檔案人員只能應付完成檔案管理的日常工作,對檔案的信息化管理、檔案編研、開發利用等工作投入精力較少。
(三) 檔案庫房、硬件配備不到位
檔案工作除了基本的庫房所需的防火、防盜、防潮等設施的基本要求,對硬件、管理也有著特殊的要求,如檔案數量的擴大要求庫房也隨之擴大,檔案裝具的要求、錄音錄像檔案等電子檔案特殊管理條件、存儲手段、挽救和修復檔案的技術、檔案開發利用和網絡遠程傳輸等都需要特殊的條件和保障。實現檔案管理現代化,一方面要改善硬件設施條件,完成新型檔案裝具、檔案數據存儲服務器、保管庫房等設施的升級改造,并根據檔案工作實際需要,及時添置和更換高速掃描儀、防磁柜等檔案專用設備,另一方面要嚴格落實檔案管理工作要求,堅持常態清理庫房,定期做好溫濕度記錄,及時更換維護設備,確保消防、報警、監控等裝置運行良好,保證檔案安全、存放整齊。
(四)檔案價值沒有充分開發利用
檢察機關保存的檔案大多數是案件卷宗,檢察機關訴訟檔案能夠反映出刑事案件的整個訴訟活動過程的真實記錄。由于保密、人手不足等多種原因,目前檢察機關往往在檔案開發利用上不夠積極主動,或檔案利用渠道單一,大部分基層院目前還是多以借閱檔案為主,鑒定統計、編研開發等工作開展較少,有的檢察院開展了編研工作,但編研材料的質量和深度還有待提高,使得檔案沒有充分開發利用,價值沒有得到完全的實現。
二、基層檢察院檔案工作發展的幾點建議
檔案工作作為執法規范的基礎性工作,作為檢察機關創新創優發展的重要支撐,如何不斷創新,推進規范化管理,加強信息化建設,如何變被動服務為主動服務,如何更好的為參考決策服務、為檢察工作服務,筆者試就如何做好基層檢察院檔案管理工作談幾點建議。
(一) 加強規范化管理機制,促進檔案工作持續發展
從制度、組織保障等各方面加強檔案的規范化管理,確保檔案工作有序規范開展。
一是嚴抓制度建設。結合檢察工作實際,制定、修改、完善一系列檔案制度,涉及歸檔范圍、分類標準、立卷要求、移交手續、工作職責各個方面,形成一整套較為完整的檔案規范管理工作制度,使檔案管理有章可循,確保各種門類檔案收集齊全,歸檔及時并符合規范;制定《實物檔案歸檔管理辦法》、《數碼照片歸檔細則》等規范性文件,切實補強檔案管理工作的薄弱環節。
三是抓組織培訓。一方面選派專職檔案管理人員參加省、市檔案部門舉辦的培訓班,提高檔案管理人員的業務素質,同時注意檔案人員除具備專業知識外,還要具備一定的法律業務知識和計算機操作能力,成為一專多能的檢察檔案人才,以適應檔案工作信息化發展的新要求。另一方面,加強業務指導和工作聯動,采取網上印發培訓資料、制作業務課件等方法,加強檔案指導工作,專職檔案員積極加強對各部門檔案收集與裝訂工作的日常指導,每年定期組織立卷歸檔、數字化加工培訓,提高立卷歸檔的及時性、準確率,對歸檔移交的檔案卷宗,由專人進行檢查,對不符合要求的,督促整改,嚴把檔案收集、評查、歸檔關,確保符合歸檔要求。 (二)加強信息化建設機制,促進檔案資源信息共享
檔案信息化建設是新時期檔案事業發展的當務之急,要實現檔案工作與信息社會的同步發展,必須加快推進檔案的信息化建設,逐步改變“你查我調”的傳統方法,實現檔案信息的網絡資源共享。
一是強化基礎設施建設。對檔案工作網絡、專用服務器、掃描儀、視頻音頻信息采集設備、復印機、數碼照相機、計算機、光盤刻錄機、交換機等原有檔案信息化設備進行補充和完善,最大化釋放和發揮現有檔案信息化設施功能。同時借助加密機、屏蔽柜等保密設備確保檔案信息安全性。定期對檔案庫房和設施進行檢查,確保消防、報警、監控等裝置運行良好。
二是做強數據庫信息建設。結合自身檢察工作實際,可以邀請專業公司實施檔案管理數字化,確保電子檔真實、完整、有效,定期更新殺毒軟件和更新防火墻數據庫等安全措施,確保信息安全。構建分布式檔案目錄數據庫,對室藏訴訟檔案、文書檔案進行全文掃描,建立重要數據庫。每年按規定時間及時對歸檔卷宗進行掃描,保持數據庫及時更新。
三是全面提供在線化服務。針對傳統閱卷耗時費力、不利于卷宗保護等問題,在歷史檔案卷宗實現數字化的基礎上,在嚴格的權限控制下,可編寫一些基礎數據,通過網絡傳輸或計算機閱檔室查閱提供機讀目錄檢索和電子閱卷,向干警閱檔提供便利,可較好的實現檔案資源的傳輸網絡化、服務在線化。
(三)加強多元化服務機制,促進檢察工作科學發展
檢察檔案的開發利用是為檢察工作服務的重要途徑,是檔案部門賴以生存和發展的基礎,努力開發檔案信息資源,促進檔案收藏逐步從“保管型”向“參與決策型”轉變,由“單一型”向“綜合型”方向發展,加強多元化服務機制,促進檢察工作科學發展。
一是為公正司法服務。檢察檔案特別是訴訟檔案的卷宗資料為復查案件 、維護司法公正提供了重要依據。可充分發揮職能優勢,利用檔案信息資源協助辦案,為控申部門復查案件事實、證據,妥善答復來信來訪群眾提供完整可靠證據;為偵監、公訴部門辦理疑難案件提供參考和珍貴經驗;協助預防部門分類整理法院作出生效判決的行賄、受賄案件,完善擴充行賄犯罪檔案查詢系統。
一、深化檢察檔案工作機制建設
建立、健全檔案工作領導小組,形成由主管檢察長領導,辦公室分管主任負責,檔案員統一管理與具體指導,各部門協調配合的檔案管理工作格局。要把提高檔案工作管理水平作為規范執法、促進檢察業務工作發展的一項重要內容,及時解決檔案工作中存在問題,及時制定、修訂各類檔案收集、整理、歸檔、移交、鑒定、借閱、銷毀等工作制度。加大監管和服務力度,提高質量。嚴格執行歸檔制度,加強對重點工作、重大活動、重大建設項目的收集與整理,確保歸檔文件、案件材料齊全、歸檔及時。加大檔案監管力度,強化檔案“收、管、用”各個環節重點任務,切實提升檔案管理水平。
二、深化檔案隊伍素質能力建設
堅持黨要管黨、從嚴治黨,推進黨建統領的新常態。鞏固教育實踐活動成果,嚴格履行檔案隊伍責任意識和履職能力,定期開展理論和業務培訓學習。積極營造健康向上、務實清廉的工作氛圍。一是提升基層檔案隊伍業務水平。加大教育培訓力度,通過舉辦專題培訓、開展觀摩交流等形式增強檔案人員的職業素養和職業精神的培養,積極營造團結進取檔案隊伍。二是培養檔案人員愛崗敬業、求真務實、埋頭苦干、甘于奉獻的敬業精神,把教育培訓經常化、系統化、制度化來抓,不斷提高檔案人員的業務技能和理論水平。三是定期組織檔案知識學習培訓,不斷更新知識、更新理念、更新觀點、提高認識,確保檔案工作保持良好發展局面。 四是加強檔案系統業務交流學習、學術研討活動,提高檔案人員綜合素養,以“講能力、轉作風、樹形象、求實效”為主題,全面提升檔案人員職業道德水平,服務大局的良好工作氛圍。
三、深化檢察檔案管理體系建設
隨著司法改革的推進和社會檔案意識的增強,依法管理訴訟檔案工作的地位將更加凸顯,訴訟檔案的法制建設也將受到更多的關注。檔案資源是一切工作開展的基礎,是深化管理手段、挖掘信息價值,從而換發檔案工作的生機和活力。檢察檔案記載著檢察事業的發展歷程,更主要反映著檢察工作民主法制進程和重大司法改革的原貌。
(一)依法管檔,法律先行
作為檔案守護者、執行者,必須練就一身過硬的本領,熟知相關法律法規以及規章制度,時刻保持清醒的頭腦,及時更新、補充知識,擴大自己的知識面,嚴格按照《檔案法》規定和標準管理檔案事業,任何人都不能凌駕法律之上,凡是違反檔案法律法規的行為,都必須依法追究法律責任。 作為檔案工作者只有熟悉法條,依法辦事,才能贏得社會的理解和尊重,才能為檔案事業法制化建設添磚加瓦。
(二)依法管檔,從源頭抓起
檔案接收工作是檔案管理工作的起點,接收工作的質量直接影響到檔案管理與檔案利用,因此,對待接收工作不能絲毫懈怠,更不能馬馬虎虎礙于情面,對不符合要求卷宗材料堅決退回整改。
(三)依法管檔,抓好檔案入口關
在訴訟檔案歸檔時,檔案機構應按照《人民檢察院訴訟檔案管理辦法》對訴訟檔案進行分類管理,人民檢察院訴訟檔案的編號應以本單位訴訟檔案保管期限劃分為前提,將不同保管期限永久、長期、短期的案卷每年各編一個順序號。并對訴訟卷宗的編號、案件來源、嫌疑人姓名、申訴人姓名、舉報人姓名、案由、處理結果、收案日期、結案日期、承辦人、歸檔日期、蓋章情況以及卷宗目錄進行全面審查,以確保歸檔的訴訟卷宗材料完整、真實、合法、有序,全面提高檔案歸檔質量。
(四)依法管檔,建立信息采集制度
加強與各部門的溝通,建立信息采集制度,信息采集是電子文件(檔案)備份中心系統的基礎,沒有豐富的電子數據支撐,電子文件備份中心就成為無源之水、無本之木。因此,信息采集制度的建立需要各部門的參與、支持、配合,明確采集范圍、內容及保密措施。 四、深化檢察檔案安全保密體系建設
保障檔案實體安全和信息安全是檔案工作的基本要求。應當構筑人防、物防、技防相結合的綜合防范體系,加強內部管理,把安全責任、安全制度、保障措施落實到實處。一是加大檔案基礎設施和安全設施建設投入,逐步實現紙質檔案庫房、音像檔案庫房、實物檔案庫房、閱覽室“四分開”。二是加大檔案庫房配備監控報警設備、溫濕度控制調節設備、氣體滅火設備、驅蟲殺菌設備,配齊音像檢測和播放設備、數字化掃描、存儲、備份設備、檔案管理軟件及專用服務器,切實提高綜合保障能力。三是加大檔案信息系統安全保障。按照國家規定建立檔案信息管理系統安全保密防護體系, 嚴格執行檔案安全保密管理制度,嚴防把檔案傳輸到非網絡,加強對檔案管理軟件、檔案專用計算機、檔案專用服務器和其他檔案存儲介質的安全保密管理,確保數字檔案室建設和運行的安全。四是堅持定期自查和檔案安全巡查。定期清點庫存檔案,檢查借閱制度落實情況,加大互查力度,細化考核標準,確保制度落實到實處。
五、深化檢察檔案利用服務能力
隨著社會不斷發展與進步,人們對檔案利用的
要求越來越高,檔案提供利用服務,就是最大限度的滿足檔案利用需求,發揮檔案的憑證作用。檔案利用是檔案工作發揮價值的集中體現,實現檔案利用服務的拓展與增值,充分發揮各類檔案的作用,實現檔案的價值。 (一)嚴格借閱檔案審批制度,確保檔案利用安全
結合檔案利用多的情況下,制定嚴格的檔案審批程序,制定檔案利用審批表,由檔案利用人簽名,填寫借閱事項、借閱目的和借閱時間,經處室兼職檔案員簽名,報處室正、副處長審批,再報主管檢察長批準。文書檔案屬于我院機密檔案,一般不外借,如外單位利用我院文書檔案時,需經主管檢察長批準,方可辦理借閱手續,并限期規檔。
(二)嚴格借閱登記手續,確保證件齊全
檔案利用人辦理完檔案借閱審批手續后,需到檔案室填寫檔案利用登記卡,由檔案部門專職檔案員簽字確認其身份后方可借出。歸還卷宗時,由借閱人填寫歸還卷宗冊數和歸還時間,方可確認歸還卷宗。上級檢察院和同級法院、公安局、安全局,因工作需要借閱卷宗的,除上述程序外,還需持有單位介紹信、工作證經我院辦公室主任和主管檢察長審批方可到檔案室辦理借閱手續。其他單位一般不外借,因特殊情況需要借閱時,需經主管檢察長批準,并限期歸還。
(三)借閱卷宗催還制度,確保卷宗完整
關鍵詞:防火墻;入侵檢測;PKI;數字簽名
中圖分類號:TP309 文獻標識碼:A 文章編號:1009-3044(2010)01-45-03
A Construction Method about the Security System of the Prosecutorial Organization
LIU Lian-hao1, LUO Wei1,2
(1.Central-South University College of Information Science and Engineering, Changsha 410083, China; 2.Hunan Provincial People's Procuratorate, Changsha 410001, China)
Abstract: In recent years, with the popularity of the network, the network information system security incidents break out frequent in large companies and government agencies. This paper analyzes the general types of security incidents, as well as common security technology, based on a more elaborated a complete information security system should have the function, combined with the actual prosecutorial work, put forward a construction method about the security system of the prosecutorial organization.
Key words: firewall; intrusion detection; PKI; digital signature
近年來,隨著網絡的普及,各大公司企業以及政府機構都建成了網絡信息系統,大量信息開始在網絡上傳輸,不少數據都屬于內部信息。大量網絡信息系統的建成使得網絡安全保障體系的建設顯得極為緊迫。1999年至2008年,國家出臺了一系列的規章與標準,逐步開始重視信息安全保障體系的建設。2007年6月四部委聯合出臺了《信息安全等級保護管理辦法》(公通字 [2007]43號),明確了信息安全等級保護制度的基本內容、流程及工作要求,明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務;2007年7月,四部委又聯合下發了《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安[2007]861號),就定級范圍、定級工作主要內容、定級工作要求等事項進行了通知。隨著全國各級檢察機關基礎網絡平臺建設的基本完成,信息化為檢察機關提升司法水平、增強法律監督能力提供了很大的幫助。與此同時,信息安全也日益成為各級檢察機關非常關注的問題,建設一個可靠的檢察系統信息安全保障體系顯得日益重要。
1 威脅信息系統的主要方法
在對信息系統的安全威脅中,某些方法被經常和大量使用,因為這些方法具有易學性和易傳播性。這些方法的某一實現或某幾個實現的組合,會直接導致基本威脅演變為成功的攻擊案例。通常黑客常用的方法有以下幾種[1]:
1.1 身份欺騙
某個未授權的實體(人或系統)假裝成另一個不同的實體,使其相信它是一個合法的用戶(比如攻擊者截收有效信息甚至是密文,以后在攻擊時重放這些消息,達到假冒合法用戶的目的),進而非法獲取系統訪問權利或得到額外的特權。冒充通常與某些別的主動攻擊形式一起使用,特別是消息的重放與篡改。攻擊者可以假冒管理者命令和調閱密件,或者假冒主機欺騙合法主機及合法用戶,然后套取或修改使用權限、口令、密鑰等信息,越權使用網絡設備和資源甚至接管合法用戶欺騙系統,占用或支配合法用戶資源。
1.2 破壞信息的完整性
一般網絡黑客可以從三方面破壞信息的完整性,即改變信息流的次序、時序、流向、內容和形式,刪除消息全部或其一部分,或是在消息中插入一些無意義或有害消息。
1.3 破壞系統的可用性
攻擊者可以通過使合法用戶不能正常訪問網絡資源、使有嚴格時間要求的服務不能及時得到響應等方法破壞信息系統的可用性,直至使整個系統癱瘓。
1.4 截收和輻射值測
攻擊者通過搭線竊聽和對電磁輻射探測等方法截獲機密信息,或者從流量、流向、通信總量和長度等參數分析出有用信息。
1.5 后門程序
在某個(硬件或軟件)系統或某個文件中設置的“機關”,使得當提供特定的輸入條件(或某一信號,或某一信息)時,允許違反安全策略而產生非授權的影響。一個典型的例子是口令的有效性可能被修改,使得除了其正常效力之外也使攻擊者的口令生效。例如,一個登錄處理子系統允許處理一個特定的用戶識別號,可以繞過通常的口令檢查。“后門”一般是在程序或系統設計時插入的一小段程序,用來測試這個模塊或者將來為程序員提供一些方便。通常在程序或系統開發后期會去掉這些“后門”,但是由于種種原因,“后門”也可能被保留下來,一旦被人利用,將會帶來嚴重的安全后果。利用“后門”可以在程序中建立隱蔽通道,植入一些隱蔽的病毒程序,還可以使原來相互隔離的網絡信息形成某種隱蔽的關聯,進而可以非法訪問網絡,達到竊取、更改、偽造和破壞信息資料的目的,甚至可能造成系統的大面積癱瘓。
1.6 特洛伊木馬
特洛伊木馬指的是一類惡意的妨害安全的計算機程序或者攻擊手段。它是指一個應用程序表面上在執行一個任務,實際上卻在執行另一個任務。同一般應用程序一樣,能實現任何軟件的任何功能,例如拷貝、刪除文件、格式化硬盤,甚至發電子郵件,而實際上往往會導致意想不到的后果,如用戶名和密碼的泄露等。例如,它有時在用戶合法登錄前偽造一登錄現場,提示用戶輸入賬戶和口令,然后將賬戶和口令保存至一個文件中,顯示登錄錯誤,退出特洛伊木馬程序。用戶還以為自己錯了,再試一次時,已經是正常的登錄了,用戶也就不會有懷疑,其實,特洛伊木馬已完成用戶登錄信息的竊取,更為惡性的特洛伊木馬則會對系統進行全面破壞。
1.7 抵賴
抵賴行為并非來自于攻擊者,而是來自于網絡的通信雙方,即通信雙方中的某一方出于某種目的而否認自己曾經做過的動作,比如發信者事后否認曾經發送過某些消息或收信者事后否認曾經接收過某些消息等。
2 目前安全保障體系中信息安全常用技術
通常我們建設安全保障體系的時候,會從兩個方面去進行考慮,即以防火墻、入侵檢測技術為代表的網絡訪問控制技術和以PKI體系、數字簽名技術為代表的身份認證技術。
2.1 防火墻技術
防火墻用于對網絡之間交換的信息流進行過濾,執行每個網絡的訪問控制策略。防火墻常常保護內部的“可信”網絡,使之免遭“不可信”的外來者的攻擊。它是信息的唯一出入口,能根據安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻實現網與網之間的訪問隔離,以保護整個網絡抵御來自其它網絡的入侵者。防火墻按實現的技術手段總的來說可以分為以下幾種類型:
1)包過濾防火墻
通過檢查數據流中每一個數據包的源地址、目的地址、所用端口號、協議狀態等因素,或它們的組合來確定是否允許該數據包通過。其特點是:速度快、費用低,并且對用戶透明,但是對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力。
2)應用級防火墻
工作在應用層,又稱為應用級網關,它此時也起到一個網關的作用。應用級防火墻檢查進出的數據包,通過自身(網關)復制傳遞數據,防止在受信主機與非受信主機間直接建立聯系。其特點是:訪問控制能力強,但對每種應用協議都需提供相應的程序,同時網絡性能比較低。
3)混合型防火墻
既具有包過濾防火墻以及應用級防火墻的特點,同時增加了一些其它功能,如具有狀態檢測技術、應用、NAT、VPN等功能。無論何種類型防火墻,從總體上看,都應具有以下基本功能:過濾進、出網絡的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務和端口;網絡地址轉換;記錄通過防火墻的信息內容和活動;對網絡攻擊的檢測和告警[2]。
2.2 入侵檢測技術
利用防火墻并經過嚴格配置,可以阻止各種不安全訪問通過防火墻,從而降低安全風險。但是,網絡安全不可能完全依靠防火墻單一產品來實現,網絡安全是個整體的,必須配相應的安全產品,作為防火墻的必要補充,入侵檢測系統就是最好的安全產品。入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統通過監控來自網絡內部的用戶活動,偵察系統中存在的現有和潛在的威脅,對與安全活動相關的信息進行識別、記錄、存儲和分析[3]。入侵檢測系統可以對突發事件進行報警和響應,通過對計算機網絡或計算機系統中的若干關鍵信息的收集和分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象;通過對安全事件的不斷收集、積累、加以分析后,可有選擇性地對其中的某些特定站點或用戶進行詳細跟蹤,為發現或防止破壞網絡或系統安全的行為提供有力的安全決策依據。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用于制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用于監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此入侵檢測系統的應用不會對網絡系統性能造成多大影響,根據檢測業務流量的多少可選用千兆或百兆入侵監測系統。
2.3 PKI/CA技術
公鑰基礎設施(PKI)是利用公鑰密碼理論和技術建立的提供安全服務的基礎設施。PKI的簡單定義是指一系列基礎服務,這些服務主要用來支持以公開密鑰為基礎的數字簽名和加密技術的廣泛應用。PKI以公鑰加密技術為基本技術手段來實現安全性,它將公鑰密碼和對稱密碼結合起來,希望從技術上解決身份認證、信息的完整性和不可抵賴性等安全問題,為網絡應用提供可靠的安全服務。PKI最基本的元素是數字證書,所有的操作都是通過證書來實現的。一個完整的PKI/CA體系包括簽署數字證書的認證中心CA(Certificate Authority),登記和批正證書簽署的登記機構RA(Registration Authority),數字證書庫CR(Certificate Repository),密鑰備份及恢復系統,證書作廢系統,應用接口等基本構成部分。其中,認證中心CA和數字證書是PKI/CA體系的核心。CA是數字證書的申請及簽發機關,它是PKI/CA的核心執行機構,主要是標識和驗證證書的身份,保證了交易的安全性;數字證書是一個經CA數字簽名的、包含證書申請人信息及公開密鑰的電子文件,可以保證信息在傳輸過程中不被除發送方和接收方以外的其他人竊取和篡改[4]。
基于PKI的數字簽名技術類似于現實中的簽名或印章,保證了傳輸數據的真實性、完整性和不可否認性。其簽名和驗證過程如下(假設簽名方是A,驗證方是B):
步驟1:A使用對稱密鑰將文件加密生成密文,然后使用單向散列函數得到待簽名文件的散列值1;
步驟2:A用自己的私鑰將此散列值1轉換成數字簽名,同時用B的公鑰加密對稱密鑰算法中的密鑰;
步驟3:A將密文、數字簽名、加密密鑰和時間戳放置到數字信封,發送給B;
步驟4:B使用自己的私鑰解密A發送的加密文件的對稱密鑰;再用A的公鑰解密A發送的數字簽名得到文件的散列值1;
步驟5:B用獲得的對稱密鑰解密文件,并使用相同的單向散列函數生成散列值2,若該值與A發送的散列值1相等,則簽名得到驗證。
該簽名方法可在很大的可信PKI域中進行相互認證(或交叉認證),擴展了隸屬于不同CA的實體間的認證范圍。
3 完善的檢察信息安全保障系統的構成
目前,我國的檢察系統已經建成了一套覆蓋全國各級檢察院的信息網絡體系,同時,檢察業務對信息系統的依賴性也越來越強,在檢察系統信息網絡體系中存在著較多的敏感信息,而這些信息通常是控制在一定范圍內的人員才可查看的(如辦案干警、主管領導等),因此對系統的保密性要求很高,一旦對數據庫中的數據進行非法訪問與操作,會造成很大的影響。應用系統中的數據信息將決定業務工作能否順利開展,例如案卡信息等數據一旦被篡改會,將會對辦案干警的工作造成重大影響,甚至可能出現錯案,因此對應用系統的數據完整性要求也很高。結合檢察系統的工作實際,檢察系統信息安全保障體系應由以下幾個方面共同組建而成,其構成如下:
3.1 身份認證系統
全國檢察系統應建立一套基于PKI/CA技術的統一身份認證系統,結合目前檢察系統信息系統中開展的各項應用,嚴格定義和識別信息系統內每個用戶的訪問權限,及時發現并阻止非法用戶的越權限訪問。
3.2 防火墻和入侵檢測系統
各級檢察院應在其本院網絡對外的接口處部署防火墻以及入侵檢測系統,利用防火墻用來阻止非法用戶進入內部網絡系統,入侵檢測系統則是利用審計跟蹤數據監視入侵活動。
3.3 安全的操作系統
針對檢察干警普遍使用微軟操作系統的實際情況,應在全國檢察信息系統中部署一套微軟操作系統補丁分發系統,為各類服務器提供安全運行的平臺,保障操作系統本身是無漏洞的。
3.4 容災備份系統
針對服務器系統可能崩潰以及硬件可能發生損壞等情況,建立容災備份相當有必要,容災備份系統要能夠把數據恢復到損壞發生前的狀態。較為安全的容災系統應在相隔較遠的異地建立多套功能相同的系統,進行監視和功能切換。數據容災是信息安全戰略中非常重要的一個環節。
3.5 防病毒系統
針對目前網絡上病毒泛濫的實際情況,給整個體系中的所有服務器及客戶終端安裝病毒防護軟件相當的有必要。
4 結束語
該文著重介紹了兩個方面的安全保障技術以及檢察信息安全保障體系在技術上需要達到的一些基本要求,但要真正建立起一個完善的安全保障系統,只從技術手段方面著手是遠遠不夠的,只有擁有安全的運行環境、規范化的管理、高素質的人員配備再輔以完善的技術,才能真正建立起一套完整的安全保障體系。
參考文獻:
[1] 嚴偉.成都市保密專用網絡安全設計[D].四川:四川大學,2003.
[2] 朱革娟,周傳華,趙保華.網絡安全與新型防火墻技術[J].計算機工程與技術,2001,1(22):16-19.
各州、市、縣、區招生考試機構,初中畢業生信息確認點,中職、五年制高職院校:
云南省2018年高中階段學校招生第一階段錄取工作已經完成。目前,部分五年制高職院校、普通中專、職業高中、技工學校等院校尚有剩余計劃,根據《云南省招生考試院關于做好2018年全省中等職業學校五年制高職院校招生錄取工作的通知》(云招考院﹝2018﹞92號)規定,省招生考試院將在全省范圍組織2018年中職、五年制高職院校第一次征集志愿工作。現將有關事宜通知如下:
一、征集志愿時間
2018年8月15日8:00開始至8月17日18:00結束。
二、考生征集志愿條件
(一)未被任何高中階段學校錄取,錄取狀態處于自由的考生。考生錄取情況可在“云南省招考頻道”首頁使用考號(13位信息采集編號)和身份證號碼登錄查詢。
(二)征集志愿成績要求:五年制高職文化成績200分以上,藝術、體育類考生還需專業成績60分以上,符合條件考生均可進行五年制高職院校征集志愿;普通中專、職業高中、技工學校等中職學校文化成績不設最低控制線。
(三)參加征集志愿的考生,可填報20個學校志愿。
三、考生征集志愿方法
(一)符合征集條件的考生,可進入“云南省招考頻道”(網址:ynzs.cn),登錄“云南省招生考試工作網”參加征集志愿,填入確認信息時注冊的賬號(或13位信息采集編號)和自己設定的登錄密碼,用戶類型選擇“初中畢業生”,進入考生個人頁面。選擇“考生征集志愿”,進行志愿征集,填報完畢點擊“保存”后,再到原報名學校(信息確認點)確認,并打印《確認表》簽字。考生要特別注意,未經確認的征集志愿無效。
(二)對于不方便回原報名確認點進行征集志愿確認的考生,可以到擬就讀的學校參加征集志愿。
(三)征集志愿期間嚴禁各院校進行已錄考生退檔工作。
四、征集志愿錄取方法
征集志愿結束后,省招生考試院以“初中學業水平考試”成績為依據,按照平行志愿投檔規則進行投檔。投檔成績相同則按各科成績逐項比較排序,即按照語文、數學、外語、思想品德、化學、物理、信息技術各項成績依次、逐項比較。
根據《云南省招生考試院關于做好2018年全省中等職業學校五年制高職院校招生錄取工作的通知》(云招考院﹝2018﹞92號)文件規定,中職學校投檔比例為缺額計劃的1:1.5;五年制高職院校投檔比例為缺額計劃的1:1.2,各院校可根據學校具體情況,經招生考試機構審批后在以上范圍內錄取學生。
五、工作要求
(一)各級招生考試機構、報名確認點、中職五年制高職院校要安排專人做好征集志愿宣傳和考生志愿確認工作,確保考生征集志愿的信息及時準確進入系統,為征集志愿錄取工作順利開展打好基礎。
為抓好全年檔案工作的統一部署,我局及時向全局干部職工傳達了市局《關于印發〈2014年年度縣區檔案工作目標管理考評內容與評分細則〉的通知》精神,對抓好今年檔案工作進行了專題研究和具體安排。結合工作實際,今年我局提出了“兩加強、兩服務”的工作重點,即加強檔案的收集和利用,加強檔案規范化管理;服務機關企事業單位、服務廣大群眾,進一步明確了工作方向,為促進并推動全縣檔案事業的發展打下良好的基礎。
圍繞“兩服務、兩加強”的工作重點,我局不斷拓展檔案工作交流平臺,創新工作方法,通過創建全縣檔案業務交流QQ群,建立檔案查閱登記、電話查詢登記、檔案復印登記等統計臺賬,實行工作日午休時間、雙休日預約查檔服務,實行工作人員首問責任、限時服務、文明辦公服務承諾等措施,進一步豐富了各單位之間的交流方式,提高了檔案業務溝通效率,提升了檔案利用率,推進了檔案工作規范化發展。
今年以來,我局不斷加大檔案征集接收力度,有效地豐富了館藏,改善了結構。
1、整理并接收縣檢察院到期文書檔案662卷、縣社保局到期文書檔案60卷、縣婦聯到期文書檔案134卷進館;接收縣民政局婚姻檔案327卷進館;接收縣紀委案件檔案13卷進館;接收重大活動檔案5卷69件進館,進一步充實了檔案館館藏內容。
2、接待查閱利用者200余人次,提供檔案查閱240卷,摘抄復制頁500余張,為查閱利用者提供了優質高效的服務,使查閱者滿意而歸。
3、根據《檔案法》關于“國家檔案館保管的檔案,一般應形成之日起滿30年向社會開放”的規定,經過鑒定審批,4月份向社會開放第十批到期檔案,即1983年原區委辦、區政府辦等14個單位的檔案共計144卷(617件),進一步擴大了檔案查閱范圍。
4、及時做好了現行文件和政府公開信息的接收、收集、征集工作,并及時歸檔,共收集現行文件268件,并在檔案專網上公開了現行文件目錄。
5、對接收進館的文件均制定了館藏檔案《全宗名冊》,內容包括全宗名稱、起止時間和館藏檔案數量、起止時間。
1、組織全局干部認真開展業務知識學習。通過認真學習國家《檔案法》、《江西省檔案管理條例》有關條款、保密守則,有效提升了單位干部職工檔案管理水平,促進了檔案工作規范化發展。
2、加大檔案法制宣傳力度。結合《檔案法》頒布27周年紀念日,我局印發了《關于開展紀念《檔案法》頒布27周年宣傳活動的通知》,積極組織相關單位采取多種形式開展《檔案法》頒布27周年紀念日暨《江西省檔案管理條例》施行13周年宣傳工作。
3、組織開展檔案法律法規競賽。6月份,我局組織全縣行政事業單位檔案工作者參加了市局開展的檔案法律法規知識有獎競賽活動,其中縣農工部、縣科技局分別獲得了第二名、第三名的好成績,在有效提高全縣檔案工作者對檔案工作的重視時,也廣泛普及了檔案法制觀念,提升了各機關單位對檔案法規的了解。
1、今年10月份開展了全縣檔案年度檢查工作,進一步了解了各單位檔案管理情況,對檔案整理不到位的單位進行了通報并要求及時歸檔,促進了全縣各單位檔案管理規范化。
2、加強與民營企業聯系,積極爭取企業對檔案管理的重視,并與__縣宏明食品
公司檔案管理負責人一同參加了市局組織的民營企業檔案工作現場交流會。
3、加強對重點建設項目的檔案指導工作,收集了我縣23家重點企業的檔案管理情況,引導我縣重點建設項目檔案管理逐步走向規范化。
4、對照《江西省機關檔案工作規范化管理標準》,結合我縣機關檔案工作實際,今年我局指導縣婦聯、縣環保局、縣檢察院開展了檔案工作規范化管理評估,目前縣婦聯被評為省三級規范化管理評估單位,縣環保局被評為省二級規范化管理評估單位,縣檢察院被評為省一級規范化管理評估單位。今年6月份對2008年全縣檔案工作規范化管理已獲等級的縣公安局、縣消防大隊、縣供電公司三家單位進行了復查評估,及時指出了以上單位在檔案管理過程中存在的問題,并要求改進,促進了復檢單位檔案規范化管理。
5、積極開展執法調研。為規范地方檔案工作,今年上半年,我局與市人大、市檔案局、縣人大辦一同對縣計生委等單位的檔案工作情況開展了執法調研,通過聽匯報、現場看、查資料等方式詳細了解了地方檔案管理工作情況,進一步規范了地方檔案管理。
1、我局積極向國家、省、市、縣各級媒體投搞,截至目前,在國家級檔案網刊登信息22篇,江西檔案信息網刊登信息22篇,萍鄉檔案信息網刊載信息26篇,萍鄉日報發表動態15篇,進一步加強了我縣檔案工作宣傳力度,擴大了檔案工作影響力。同時,我局也榮獲了2013-2014年度全省檔案宣傳通聯工作先進單位、全市檔案報刊宣傳先進單位的稱號。此外,我局積極發動各單位參加2014年檔案工作者年會征文活動,并且向中國檔案學會、市檔案局選送優質論文4篇。
2、“6﹒9國際檔案日”宣傳活動中,我局向各機關企事業單位發送檔案宣傳短信300余條,提升了廣大干部群眾的檔案意識;在普法宣傳長廊內以喜聞樂見、通俗易懂的漫畫形式,圖文并茂地介紹了檔案管理職責和法制建設機制,使強化檔案管理的觀念深入人心。
3、為深入學習貫徹黨的十八屆四中全會精神,弘揚憲法精神,推進檔案法制建設,12月4日,我局積極參加了司法部門牽頭組織的以“弘揚憲法精神,建設法治__”為主題的宣傳教育活動,在大地紅廣場開設了檔案宣傳專欄,懸掛宣傳標語,設立咨詢臺為群眾現場解答對檔案法的相關問題100余人次,散發宣傳資料500余份。同時,我局還組織局機關全體干部認真學習了《關于認真學習貫徹落實黨的十八屆四中全會精神深入開展法制宣傳教育的意見》,引導干部職工加強憲法意識,樹立法制觀念。
我局堅持每年對機關、企事業單位專兼職檔案人員進行業務培訓,同時將歸檔文件的整理作為一項重要的授課內容。5月上旬舉辦了一期全縣檔案人員業務培訓班,通過理論講解、實際操作等形式有效提升了全縣檔案工作者的業務水平,學員反映良好。今年,我局還積極組織檔案業務人員參加省局、市局舉辦的業務培訓班,進一步提升自身檔案業務水平。
1、加強檔案系統管理。配備了一臺與互聯網完全隔離的電腦操作電子檔案管理系統,并由專人負責,形成專人專機專網管理,定期對電腦進行殺毒,嚴格按照信息安全管理規定實施數據交換,確保檔案管理系統安全運行。
2、加強檔案保存環境管理。為確保館藏檔案的安全,按照“八防”(防盜、防火、防潮、防塵、防蟲、防高溫、防強光、防腐)的要求,年初對庫房進行了1次徹底清掃,4月初做了一次投放防蟲藥工作,日常做好庫內溫、濕度監測記錄、調節,各項規章制度建立健全,落實到位,提高了安全防范能力,確保了檔案資源的完整安全與有效保護。
1、按照市局統一安排,對有條件的單位逐步應用標準化檔案管理軟件來保管檔案。今年縣環保局、縣檢察院分別申請檔案規范化管理省二級、省一級單位,并購買了珠海檔案管理軟件進行檔案數字化管理,聘請專人將案卷級、文件級目錄全部進行著錄。
2、信息資源數據庫建設檔案目錄的數字化是檔案信息化建設的基礎工作之一,也是數字化檔案館建設的必備條件。目前我館館藏檔案完成了案卷級、文件級數據庫建設,現錄有建國后案卷目錄14914條,以卷為單位文件級目錄80826條,以件為單位文件級目錄27132條。
3、為更好的宣傳及讓社會各界了解__檔案,2006年建成了“__縣檔案網站”,在網上公布和開放館藏檔案,積極開展檔案信息的網絡化服務和網上檔案宣傳。同時嚴格按照省市局要求,建設檔案專網,不斷豐富網站內容,及時檔案工作動態和各類政策性、服務性的文件信息,有效拓展了檔案服務功能。
(一)繼續推進依法治檔。不斷提高檔案工作法制化管理水平,注重抓好新領域檔案工作,加強對民營企業檔案工作的業務指導。
(二)抓好重大建設項目檔案工作。充分履行對重點工程建設項目檔案工作的業務指導和監督指導職能。
(三)抓好檔案信息資源的開發利用。全方位為基層群眾提供原始依據服務。
(四)搞好檔案收集、征集、開發和編研工作。全方位收集重大活動檔案,征集__特色檔案,做好重點項目、重大事件、著名人物、著名企業檔案的收集工作,不斷豐實館藏,并充分利用館藏資料編寫文件匯編。
(五)嚴格檔案保管標準,提高檔案保管質量。做到檔案的及時收集、著錄、保存等。明確檔案管理程序,完善使用登記制度,禁止無登記、無審批私自取檔現象的發生。
一、為了保障互聯網的運行安全,對有下列行為之一,構成犯罪的,依照刑法有關規定追究刑事責任:
(一)侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統;
(二)故意制作、傳播計算機病毒等破壞性程序,攻擊計算機系統及通信網絡,致使計算機系統及通信網絡遭受損害;
(三)違反國家規定,擅自中斷計算機網絡或者通信服務,造成計算機網絡或者通信系統不能正常運行。
二、為了維護國家安全和社會穩定,對有下列行為之一,構成犯罪的,依照刑法有關規定追究刑事責任:
(一)利用互聯網造謠、誹謗或者發表、傳播其他有害信息,煽動顛覆國家政權、社會主義制度,或者煽動分裂國家、破壞國家統一;
(二)通過互聯網竊取、泄露國家秘密、情報或者軍事秘密;
(三)利用互聯網煽動民族仇恨、民族歧視,破壞民族團結;
(四)利用互聯網組織組織、聯絡組織成員,破壞國家法律、行政法規實施。
三、為了維護社會主義市場經濟秩序和社會管理秩序,對有下列行為之一,構成犯罪的,依照刑法有關規定追究刑事責任:(一)利用互聯網銷售偽劣產品或者對商品、服務作虛假宣傳;
(二)利用互聯網損害他人商業信譽和商品聲譽;
(三)利用互聯網侵犯他人知識產權;
(四)利用互聯網編造并傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假信息;
(五)在互聯網上建立網站、網頁,提供站點鏈接服務,或者傳播書刊、影片、音像、圖片。
四、為了保護個人、法人和其他組織的人身、財產等合法權利,對有下列行為之一,構成犯罪的,依照刑法有關規定追究刑事責任:
(一)利用互聯網侮辱他人或者捏造事實誹謗他人;
(二)非法截獲、篡改、刪除他人電子郵件或者其他數據資料,侵犯公民通信自由和通信秘密;
(三)利用互聯網進行盜竊、詐騙、敲詐勒索。
五、利用互聯網實施本決定第一條、第二條、第三條、第四條所列行為以外的其他行為,構成犯罪的,依照刑法有關規定追究刑事責任。
六、利用互聯網實施違法行為,違治安管理,尚不構成犯罪的,由公安機關依照《治安管理處罰條例》予以處罰;違反其他法律、行政法規,尚不構成犯罪的,由有關行政管理部門依法給予行政處罰;對直接負責的主管人員和其他直接責任人員,依法給予行政處分或者紀律處分。
論文關鍵詞 冒用身份證 信用卡管理 社會問題
我國《刑法》第一百七十七條規定,使用虛假的身份證明騙領信用卡的,構成妨害信用卡管理罪。豍2013年,北京市豐臺區人民檢察院辦理以冒用他人居民身份證騙領信用卡為主要手段的妨害信用卡管理類犯罪案件8件18人,暴露出四個方面社會管理問題,應當引起高度重視。
一、身份證信息管理系統存在不足
研究案情發現,犯罪嫌疑人辦理信用卡時冒用的身份證幾乎都是他人遺失的真實身份證,且多數身份證主人已經對該身份證做掛失補辦處理。在這種情況下,身份證之所以會被犯罪分子冒用,是因為我國身份證和戶籍管理系統存在“先天性缺陷”,即二代身份證掛失補辦后,原身份證中的信息不能隨之注銷,新舊身份證都可以照常使用。這就為犯罪分子冒用他人身份證提供了可乘之機,導致身份證主人在毫不知情的情況下被人冒名實施犯罪。此類案件中,多數犯罪嫌疑人均利用了身份證信息系統的這一漏洞,如,2013年5月,犯罪嫌疑人孫某、王某涉嫌妨害信用卡管理罪一案中,孫某、王某隨身攜帶的444張身份證被警方查獲后,經依法查驗,其中443張均為他人真實身份證,且已能夠確認其中部分身份證主人已經按照正當程序對該身份證進行掛失處理。
二、網絡信息安全存在監管漏洞
經統計發現,犯罪嫌疑人通過網絡途徑招募“馬仔”實施犯罪的案件共計4件6人。辦案中發現,在趕集網、1010網等知名網站上,招募辦卡人員的兼職信息隨處可見,往往對學歷、年齡、特長等硬性條件都無限制,且報酬較為優厚,對法律意識低的人群誘惑力極大。另外,在百度、淘寶等網站的搜索引擎上輸入“身份證”字樣,就會出現大量辦理、出售身份證的信息,MSN、微信、QQ等網絡聊天工具中有專門收購身份證、教授犯罪方法、發展組織成員的聊天群。可見,各大網站、網絡平臺對自身的信息安全缺乏有效的管理,網絡信息監管部門的監督檢查工作存在漏洞,網絡環境混亂無序,為犯罪分子實施此類犯罪提供了極大方便。
三、銀行辦理信用卡業務時審核不嚴
在司法實踐中,通過冒用他人身份證騙領信用卡行為往往由銀行工作人員察覺辦卡人員存在異常而及時被警方發現。同一個人持同一證件,在有些銀行可以順利辦理銀行卡,而在有些銀行卻被識破,反映出銀行工作人員完全是可以通過更細致、審慎地審查,防止信用卡遭冒領的。但事實上,大部分的銀行工作人員對信息的審查仍不夠細致,因此出現了犯罪嫌疑人多次冒用他人身份證辦理銀行卡而未被發現的情況,暴露出銀行工作人員在“人證一致性”方面審核不嚴,或片面追求辦卡數而疏于查驗比對、放松監管。如,2013年4月,犯罪嫌疑人周某到北京市豐臺區民生銀行某支行辦理開戶業務時未被發現人證不一致,隨后該嫌疑人在北京市豐臺區工商銀行某支行再次辦理開戶業務時,被工作人員發覺并報警。
四、對制卡機等特殊設備的買賣監管不力
按規定,制卡機、刷卡機、空白銀行卡等特殊設備的買賣需要有關部門特許經營,否則將可能觸犯非法經營罪等法律。但事實上,犯罪分子往往可以通過低廉的價格在互聯網上輕松購買上述設備,體現出工商部門等有關行政管理機構在執法活動中存在不足,對特種買賣活動的監管仍需規范化,尤其是對網絡空間中的非法買賣行為亟待進一步加強監督查處力度。如,2013年4月,犯罪嫌疑人王某先是冒用他人身份證辦理大量銀行卡,后通過網絡途徑購買了制卡機和空白銀行卡,并將已經辦理的銀行卡成功復制,企圖將銀行卡原卡出售后,再利用復制的銀行卡進行信用卡套現。
針對以上問題,有關部門應著力從幾個方面強化社會管理:
一是加大宣傳力度,警醒廣大群眾加強自我保護。司法機關要充分運用電視、報刊、廣播、網絡等新聞媒體,加大宣傳報道力度,教育和提醒廣大群眾切實增強信用卡風險防范意識,注意保護自己的身份信息,一旦丟失個人身份證,要及時到公安戶籍部門掛失補辦,以防被不法分子竊取后用于非法活動;要提高對陌生電話、短信的警覺性,如果涉及錢財交易,一定要仔細核實驗證,謹防上當受騙。發案銀行發現信用卡詐騙行為的要盡早向公安機關報案,為公安機關贏得破案時機,提供更多、有價值的破案線索。物流從業員要增強工作責任心,對于通過郵局投遞的信用卡,若非收件人本人領取的,要認真查驗并登記代領人的身份證件,為公安機關日后破案提供線索。
二是要加快完善身份證信息管理系統。目前,加快推進身份證植入指紋信息工作,提高身份證的識別度,從根本上解決二代身份證掛失后信息無法注銷問題已成為降低冒用他人身份證實施違法犯罪行為的當務之急。公安部于2013年8月13日《將加快推進身份證登記指紋信息》的消息,這是公安部首次正面回應身份證掛失的“缺陷”問題。豎公安部表示,將繼續加大打擊買賣、冒用他人身份證違法犯罪活動的力度,加快推進居民身份證登記指紋信息工作,進一步加強宣傳引導,督促相關用證單位切實落實身份證核驗責任。同時,公安部正在推動建立全國居民身份證掛失申報系統,可能在居民身份證掛失后對掛失人員重新進行攝影,將新的照片錄入身份證信息庫,或者在居民身份證信息庫中對已掛失的居民身份證進行標示,對加強居民身份管理、有效打擊違法犯罪具有重大意義。
三是商業銀行應加強風險控制與管理。首先,明確不得在商業銀行營業網點以外的其他場所受理信用卡申請,并要求信用卡申請人本人到場申請辦卡,嚴禁他人代辦信用卡。其次,對申請人填寫的信用卡申請書,商業銀行應見證申請人本人簽章后,在申請書上加注“已見證申請人本人簽章”并由商業銀行經辦人簽章。對申請人提交的居民身份證,發卡機構應通過聯網核查公民身份信息系統進行核查,核查結果由核查人在復印件上登記、簽章。另外,建議銀行盡快建立健全聯網核查公民身份信息系統,確保申請人開戶資料真實、完整、合規,對聯網核查公民身份信息系統運行前開立的銀行卡存量賬戶要逐步進行聯網核查,對已在銀行大量開戶或申卡的持卡人申請辦卡,要從嚴審查,加強風險防控。
有的法科學生在當地司法局報考司法考試后,會在近半年乃至更久時間內持續受到司考培訓機構的電話和短信廣告騷擾;人們到電信服務公司實名辦理手機卡后,往往會莫名受到各種公司或機構的電話和短信騷擾……面對各種信息詐騙案件層出不窮的現狀,只有完善現有責任追究機制,才能恰當地賠償受害消費者,精準地懲處有關責任方,有效地威懾潛在加害者。而確定相關責任主體的范圍,則是啟動責任追究機制的第一步。
現有法規將責任主體限定于詐騙行為實施者,難以起到抑制信息詐騙、保護信息安全、維護消費者權益的作用。那么,信息泄露到底應該責歸何方呢?
應將有關行政機關和企業作為連帶責任人
有關行政機關以國家、社會安全為由,要求公民在眾多涉及行政管理的事項中提供個人信息;有關企業以安全監管和便利服務為由,要求消費者提供個人信息,甚至網絡服務運營商通過相應格式合同條款默認消費者同意將有關個人信息供其“使用”。這些掌握個人信息的源頭,卻出于獲取不當利益的動機向他人提供本應由其保護的個人信息,這是造成個人信息遭到泄露并濫用的根本因素。因此,在立法和執法時,對于此種泄露個人信息的行為應當加大處罰、懲處力度,并制定詳盡的個人救濟制度以便利公民尋求司法救濟或者自力救濟。
有人可能會說,這些行政機關或公司收集個人信息的出發點是好的,只不過是因為內部工作人員泄露或者他人通過不法途徑盜用了信息,因此這些行政機關或公司不應承擔主要責任。無可否認,他們可能是基于合法目的或者正當理由收集了公民的個人信息,但若他們不付出相應的代價對這些信息進行保護,進而加大內部工作人員或他人泄露、獲取信息的成本,則違背了他們收集個人信息的最初目的或者理由(維護國家社會安全、服務公民或消費者),因為他們的“不作為”或者“少作為”使得公民信息、合法權益和公共利益遭到了損害。
人們基于信任向這些行政機關和公司提供信息,或者辜負了人們的信任,不僅違背了基本的契約精神,而且破壞了誠信社會賴以構建的秩序基礎。所謂“能力所在,職責所在”,意味著有能力收集信息者,也不要推諉于其他原因而不承擔相應的職責,而只享受獲得個人信息帶來的單方面便利。
因此,不論是依據現有法律,還是在未來的立法過程中,都應當加重有關行政部門和企業保護個人信息的義務,對于未盡相應義務者應當施加更為嚴厲的處罰。此外,受害者在主張尋求救濟時,應當默認地將有關行政機關和企業作為連帶責任人,并進行舉證責任倒置,而由后者主張其已盡了合理的注意義務。相對于普通個人和消費者而言,這些行政機關在人力、專業程度、財力上都處于強勢地位,應當在現代社會承當與其能力相應的責任。
信息詐騙的追責范圍
除了前述有關行政機關和公司外,實施電信騷擾、詐騙的主體形形。其中,有組織程度完善的專門公司,有偶爾為之的個人,也有以之為業的專職人員。然而,公安機關僅在面對徐玉玉案等重大案件時積極作為是不夠的,司法機關和征信部門應當聯合構建防御機制,盡可能地避免這些人類“病毒”侵害個人和社會秩序。
舉例而言,公安機關、檢察院和法院以及金融、交通、海關等部門應當建立相關的信息共享機制,將由某部門處罰的涉案企業或人員列入“黑名單”后,其他部門即對其進行重點監控。由于我國某些行政機關和企業在侵害個人信息案件中扮演了源頭的角色,司法、立法和黨政機關應當對這些行政機關和企業加緊監督和管制,以免一小撮分子破壞了黨和政府的威信和可信度。對于侵害個人信息的企業或個人,應當加重處罰力度;對于侵害個人信息的有關行政機關,不僅應讓該機關和主要負責人承擔法律責任,還應就其對黨和政府形象的抹黑讓其承擔相應的政治責任。
此外,中央也應當在“頂層設計”層面對侵害個人信息問題予以關注和回應,并進行相應的“頂層設計”,以免違法亂紀分子混雜于良善人民之中為非作歹。
反思“技術中立”抗辯事由
信息泄露事件發生后,電信、網絡服務商往往會以“技術中立”為由抗辯追責主張,認為自己不過是通信、網絡技術提供方,不應對技術服務以外的他人詐騙行為承擔責任。這種說法于理于法都站不住腳。當我們將目光從現實社會轉向信息空間時,電信通信、互聯網不僅是中立的技術,還是資源/能力、權力/責任的角逐場域,“技術中立”的內涵也應有相應的調整。
電子通信、互聯網技術發展至今,服務提供方和使用方的認知、技術、資源方面的差距越來越大,普通人憑一己之力通常難以越過這道鴻溝。在服務提供商、消費者和潛在加害人三方構成的場域中,除了潛在加害人自我克制之外,服務提供商有豐富的技術經驗、專業人員和行業知識管控信息泄露風險,而消費者在依照同服務商訂立的協議提交個人信息之后,對該信息的保管和流向無能為力。這種情況下,“能力越大,責任越大”的原則自然應當發揮作用,讓風險控制責任歸于控制成本更少者。
在前數字化時代,電信、郵政、交通、民政、公安等有關部門掌握的個人信息往往保存于紙質載體,他人獲得這些信息費時費力;如今,有關部門通常會把個人信息數字化而儲存在電腦服務器中,手指大小的U盤即可裝下整個圖書館的信息,他人通過黑客技術更能在瞬間竊取這些信息。此時,有關部門信息儲存成本下降,信息安全保障責任增加,這不僅是由于它們有著更多的資源和能力控制信息泄露的風險,還因為它們是百姓信任的權威主管機關,有受人民委托服務公共利益的義務。
讓服務提供商甚至有關行政部門就信息泄露事實對電信詐騙承擔連帶責任,沒有而是調整了“技術中立”抗辯,使得它更能適應信息泄露風險猛增的大數據時代。信息技術不過是方便人們交流溝通的工具,可程序代碼是一系列人機互動的協議,網絡運行也離不開服務提供商所雇程序員對代碼序列的編寫。
一、案例簡介
案例一:2000年,寧波大學應屆畢業生俞某應聘到寧波森木公司擔任外銷員。3年后,憑借出色的業績和良好的人際關系,他被公司提拔為出口部經理。2004年年底,俞某以其妻姚某的名義,在香港注冊成立了杰勝公司,然后利用其所掌握的客戶資料、產品價格等商業秘密,將公司3家國外客戶的業務全部介紹給杰勝公司,轉移了部分業務給自己經營。至2007年4月,杰勝公司與它們的業務總額已達2000多萬元,
2005年2月,森木公司與俞某簽訂保密協議。同年年底,由于國外訂單異常,森木公司覺察到了公司內部存在商業秘密泄密行為。經過兩年多的調查取證,2007年3月14日,森木公司向寧波市中級人民法院提起民事訴訟,要求俞某等四被告連帶賠償經濟損失600萬元。6月,經法院調解,森木公司獲賠90萬元結案。
案例二:臺州山河公司是一家外貿出口企業,國外訂單很多。2003年,應屆畢業生徐某應聘來到公司,并被重點培養為業務經理。2007年,公司的節日燈銷售額約為3300萬元。2008年開始出現問題,銷售迅速萎縮到2000萬元。2009年初,公司覺察到了徐某“吃里扒外”的飛單行為。自2009年2月起的一個月內,徐某等10名山河公司核心人員相繼辭職,集體跳槽至臨海鼎威公司,帶走了所有的經營信息資料、技術資料。3月23日,山河公司報案。11月,臨海鼎威被責令停止商業秘密侵權行為,受到了行政處罰。在商業秘密泄密與侵權的影響下,山河公司2009年的節日燈銷售遭到毀滅性打擊,全年訂單額僅有100萬元。2010年1月,公安機關偵查結束后,將相關材料移交至檢察院。然而,臨海市檢察院至今沒有提出公訴。
二、案例分析
兩個案例都是明顯的商業秘密侵權行為,都禍起蕭墻,前者主要是飛單,后者則是另立山頭。兩個涉案公司均損失慘重,苦不堪言。由此可知外貿企業保護商業秘密的困難、困境和困惑,分別闡述如下:
1. 泄密風險大、侵權威脅大、損失代價大
外貿企業的核心商業秘密就是客戶、訂單和出口售價。它的商業價值極大,是企業最寶貴的無形資產,是企業利潤和核心競爭力的源泉,關系到企業的生死存亡、興衰成敗。也正是因為這個原因,它也面臨著巨大的泄密風險和侵權威脅。它一旦泄露,就難以補救和挽回,帶來巨大損失,結果往往是災難性的。
在上述案例中,兩人均從毫無經驗的應屆畢業生成長為外貿業務精英,受到了公司的重視或優待。俞某在公司做到第5年的時候,年收入就達到了50萬元,可謂待遇豐厚。徐某則一直受到公司的極度信任和重視。但是,他們都在巨大利益的誘惑下,侵犯了公司的商業秘密利益,導致了無法彌補的巨大損失。森木公司經過兩年的調查取證,維權,最后僅獲賠90萬元;山河公司的節日燈銷售額則損失了97%,10名核心員工集體跳槽,基本上失去了原有市場。
微觀而言,商戰激烈,商業間諜“無間道”竊密風險防不勝防,時刻存在;宏觀而言,社會誠信環境差,商業倫理和道德水平低,不正當競爭之惡劣風氣盛行,加劇了泄密和侵權風險。寧波市民營外貿企業商會2009年對寧波400家中等以上規模企業進行調查,發現100%的企業都有過商業經營秘密被侵害的遭遇,經濟損失在50萬元以上的占1/3。調查還顯示,80%的商業秘密在職工跳槽時被帶走,這些跳槽者大多是企業的業務骨干和核心秘密的掌握者,對企業內部情況了如指掌。2010年9月,《浙商》雜志向100家樣本企業發放了調查問卷發現,被竊取過商業機密的企業占比高達41.6%。
2. 司法救濟和懲戒不力、維權護密難
沒有專門的《商業秘密保護法》,相關的法律法規較分散,部分條款規定模糊、立案辦案難,可操作性差,法律保護不到位,維權護密存在著“發現難、取證難、難、判決難、執行難”的現實困境。
在上述案例中,森木公司察覺到泄密行為時,不法飛單行為已經進行了一年;調查取證了兩年之后,才得以;以和解和賠償90萬元告終,泄密者沒有承擔更多的民事賠償,沒有被追究刑事責任。山河公司的泄密行為,也是在一年之后才被發現;員工集體跳槽后過了兩年,該案也沒有被立案公訴;侵權者僅僅是被行政處罰,其侵權行為沒有得到足夠的懲戒。
出現這種司法救濟不力的局面,可主要歸咎于如下三個原因:
第一,發現難,取證難,計算經濟損失難,經濟賠償責任水平低。首先,員工私下里向外泄密,非常隱蔽,公司如何察覺、發現和舉證?其次,要,首先得舉證客戶是自己的,客戶不會、也不可能與他人交易。這個“客戶界定”取證過程無疑是非常艱難的,因為客戶完全可以同時與他人發生交易。最后,在現實中,商業秘密侵權導致的經濟損失往往難以計算和估量,依據《反不正當競爭法》第20條,此時的侵權賠償僅為侵權者所得利潤,該金額很可能遠遠無法彌補權利人的經濟損失。
第二,難、立案難。因為取證難,所以難以和立案。侵犯商業秘密罪的構成要件之一是“造成重大損失”,最高法和最高檢2004年將“重大損失”解釋為經濟損失50萬元以上,而如下問題仍然模糊不清:重大損失包括間接經濟損失嗎?對經濟損失認定存在爭議怎么辦?而且,這個入罪門檻顯然太高,很多案件都無法立案。據江蘇法制報2010年9月3日報道,近三年來,南京未批捕、一起侵犯商業秘密刑事案件。
第三,判刑難、執行難。《刑法》的相關規定模糊,入罪門檻高,懲戒力度輕。一般侵犯商業秘密罪的最高刑期只有3年,刑期偏短,起不到廣泛有力的震懾和懲戒作用。另外,因過失而泄露商業秘密、造成特別重大損失的,是否構成過失泄露商業秘密罪?此時,無法可依。至于執行難,一直是我國司法實踐中眾所周知的難題,難以解決。
3. 企業保密意識弱、保密措施執行不力、保密效果差
許多外貿企業未能設立專門的商業秘密防護部門、聘用專業的保護人才,保護意識淡漠,保護制度匱乏、滯后,保護措施不完善、執行不力,信息安全水平低,難以抵御無孔不入、惟利是圖的商業間諜、竊密者和泄密者。在上述案例中,公司的保密工作顯然存在如下不足:
第一,企業的保密意識差,沒有專門從事商業秘密保護的機構或專業人員,沒有制定系統完善的保密規章制度,甚至缺乏最基本的競業限制協議。森木公司在俞某從事外貿工作5年之后,才與之簽訂了保密協議,可謂姍姍來遲;兩個公司均未與業務經理簽署競業限制協議,縱容了他們日后的同業競爭行為。07年4月-12月,森木公司財務負責人的郵箱密碼被俞某破解,業務郵件被多次瀏覽和惡意刪除,這反映了公司和員工對信息安全的重視程度不夠,系統漏洞多,容易遭遇木馬病毒、黑客攻擊等網絡犯罪。
第二,企業的現有商業秘密保護措施措施執行不力,保密效果差。山河公司雖然早在2000年就制定了商業秘密保護制度,并與公司的高層人員簽署了保密協議,但是執行不力,保密效果差。因為,再好的制度,再完善的措施,最終也要靠人來執行。人性天然有弱點,比如疏忽大意、自私、貪婪、虛榮、嫉妒,自制力差,難抵誘惑。在現實中,公司員工面對竊密者的威逼利誘,私下里對外聯系、泄密,公司很難察覺、發現和舉證。即使發現了,也為時已晚。
另外,外貿企業經營不當、管理不善,也會誘發商業秘密泄密,影響保密效果。比如,在經營方面,企業與對手進行惡性競爭,互挖墻腳,諜戰激烈;在管理方面,公司內斗不止,決策不當,機制僵硬,管理混亂,員工的薪酬待遇低,晉升發展難,凝聚力不強,員工頻頻離職、跳槽、另立山頭。
4. 職業道德和社會誠信環境差、保密難度大
成熟市場經濟應該有一個基本的商業道德底線共識,比如員工忠誠、企業誠信經營、社會公平競爭和公正交易等。但是,由于我國當前的市場經濟不夠成熟和規范,信用建設水平低。三鹿的“三聚氰胺”、雙匯的“瘦肉精”、阿里巴巴的“欺詐門”、紫金礦業的“污染門”、力拓“間諜門”,還有其他層出不窮的欺詐、造假、賄賂事件,說明當今的社會誠信環境差,職業道德和商業倫理水平低,急功近利,唯利是圖,不擇手段,容易誘發商業秘密泄密和竊密行為。據商務部統計,我國企業每年因信用缺失導致的經濟損失高達6000億元。在征信成本太高而失信又幾乎沒什么成本的情況下,違約、造假、欺詐幾乎每天都在上演。
在上述兩個案例中,公司將俞某、徐某一步步培養成了外貿業務精英,恩重如山,到頭來換來的卻是他倆的背叛和欺詐,毫無職業道德可言。因此,員工沒本事―公司不滿意,員工有本事―公司怕跳槽,左右為難。在這樣一個缺乏誠信的商業環境里,許多企業常常擔心被泄密、被盜版或山寨、被侵權,不得不投入巨資進行商業秘密防護,保密成本高、難度大。
三、幾點啟示
商業秘密泄密與侵權問題,始終是外貿企業的心腹大患。就宏觀而言,外貿企業應該加強行業誠信和行業自律,倡導商業倫理和職業道德建設,呼吁完善和加強司法保護和懲戒力度,像保護專利、商標一樣保護商業秘密。就微觀而言,反思泄密困境,外貿企業應該獲得以下幾點啟示:
1. 外貿企業保護商業秘密,重在預防和自我保護,而不是泄密后的維權和司法救濟。一旦泄密,亡羊補牢,為時已晚。即使選擇了訴訟維權,也是耗時耗力、成本高昂、勝訴艱難。既有的司法打擊和法院判例多指向明目張膽的、顯而易見的商業秘密侵權行為。然而,狡猾的泄密者和竊密者會采取非常隱蔽的侵權行為,難以發現、取證和。此時,受害者有苦難言,無可奈何,往往選擇了沉默和不作為。因此,要有完善的保密措施和嚴格的保密制度,重在預防和自我保護。
2. 內亂大于外侵,員工安心工作,商業秘密安全才有保障。選拔員工的基本標準是“德才兼備、以德為先”。重用有才無德的人,就是養虎為患。外貿企業應該用公平合理的薪酬待遇激勵人,用以人為本的企業文化凝聚人,真正做到“事業留人、感情留人、待遇留人”。
3. 靈活采用“捆綁”策略和“分割”策略,可有效降低商業秘密泄密風險。外貿企業可實行“捆綁”策略,將企業與員工、客戶有效捆綁在一起,成為牢固的利益共同體,做到“一條繩、一顆心、一股勁”。可用員工持股制、股票期權激勵制、終生員工制捆綁員工,可用相互持股制、合資合作經營捆綁供貨工廠和國外客戶。另外,將企業的核心商業秘密分割開來,委托給不同的人掌管,可分散單一個體的泄密風險。
4. 加強品牌建設,進行產業鏈延伸,可從商業秘密泄密困境中徹底突圍。為了從泄密困境中徹底突圍,外貿企業應該加強自主品牌建設,進行產業鏈延伸,向前延伸至供貨工廠,向后延伸至國外客戶,打通并控制整個產業鏈渠道。即使員工跳槽或離職,也帶不走企業的品牌,帶不走整個產業鏈渠道。
參考文獻:
[1] 章以省 吳欣宇.訂單急劇減少 背后誰在潛伏―關于浙江臺州企業商業秘密外泄情況的調查[N].中國工商報,2010-10-23(A02).
【摘要】通過電子郵件來作為法定證據,它有其自己的弊病,所以本文對其證據效力,證據類型及認證都有了很好的闡述。
【關鍵詞】電子郵件證據法律效力
一、電子郵件的證據效力
目前我國尚無電子郵件作為法定證據的規定或解釋,但電子郵件已被現代社會所廣泛運用,實際上,司法實踐中也已將電子郵件作為重要的證據。在對電子郵件等證據的法律定位過程中,我國學者一般是在繼續沿用傳統的證據分類的前提下提出了以下具代表性的觀點。
1.視聽資料說
這種觀點目前在一定程度上為我國立法機關與司法機關采納。主要表現在一些法規和司法解釋中,其中視聽資料的范圍包含了一部分電子證據的形式。如最高人民檢察院1996年12月32日的《檢察機關貫徹刑事訴論法若干問題的意見》第3條第1款規定“:視聽資料是指以圖像和聲音形式證明案件真實情況的證據。包括與案件事實、犯罪嫌疑人以及犯罪嫌疑人實施反偵查行為有關的錄音、錄像、照片、膠片、聲卡、視盤、電子計算機內存信息資料等。”持這種主張的學者通常認為:視聽資料是指可視、可聽的錄音帶、錄像帶之類的資料,電子郵件可顯示為“可讀形式”,因而也是“可視的”;視聽資料與電子郵件在存在形式上有相似之處,都是以電磁或其他形式而非文字符號形式儲存在非紙質的介質上;存儲的視聽資料及電子郵件均需借助一定的工具或以一定的手段轉化為其他形式后才能被人們直接感知;兩者的正本與復本均沒有區別;把電子郵件證據歸于視聽資料最能反映綜合的證據價值等。
2.書證說
一些學者把電子郵件等證據歸入書證的理由主要有以下幾點。
(1)普通的書證是將某一內容以文字符號等方式記錄在紙上,電子郵件則只是以不同的方式(電磁、光等物理方式)將同樣的內容記載在非紙式的存儲介質上,兩者的記錄方式不同、記載內容的介質也不同,但卻具有相同的功能,即均能記錄完全相同的內容。
(2)電子郵件通常也是以其代表的內容來說明案件中的某一問題,且必須輸出、打印到紙上(當然也可顯示在屏幕上),形成計算機打印材料之類的書面材料后,才能被人們看見、利用,因而具有書證的特點。
(3)《中華人民共和國合同法》第11條規定:“書面形式是指合同書、信件及數據電文(包括電報、電傳、傳真、電子數據交換和電子郵件)等可以有形地表現所載內容的形式”,據此也可以推斷出電子合同證據系書證的一種。
二、電子郵件作為證據的類型
當電子郵件作為證據形式時,有以下兩種情況。
1.雙方無異議的電子郵件
在司法實踐中,如果雙方對電子郵件的內容及收發人無異議,一般認為可以作為證據認定。當事人雙方的承認性陳述本身就可以作為證據認定,而這種承認性陳述又可以與電子郵件的內容相互印證,所以,應當被法庭所認定。
2.雙方有爭議的電子郵件
(1)對收發人有異議。在訴訟中,如果當事人對電子郵件的收發人產生異議,在這種情況下,審查電子郵件的內容已無意義,因為如果當事人否認是電子郵件的收發人,實際上就已經否認了郵件的內容。筆者認為,首先需要查清的是電子郵件的地址是否是收發件人的,其是否擁有合法用戶名、賬號、密碼等,因為每個注冊用戶均對應一個電子信箱,合法的用戶的上述資料及個人資料在網絡服務提供商(ISP)處均有備案,如果使用人的個人資料與ISP的備案一致,則可以確認該信箱是使用人的,在該用戶的信箱密碼未被他人盜用的情況下,以該信箱收發信件的作者即為該信箱的擁有者。
(2)對電子郵件內容有異議。這是在訴訟中不易認定的部分。在確定了收發件人后,就要對電子郵件的內容進行審查,對于一般人員來說,直接在Internetmail的收件箱中刪改純電子郵件信件亦非易事,因收件箱中的電子郵件是只讀文件,拒絕刪改。其另存方式也只是改變文件的位置,文件的屬性并未改變,仍是email文件。從外觀上看,純電子郵件信件的信頭上均帶有收發件人、收發件人的網址、收發件時間等詳細資料。故對這類文件只要上述信息清楚即可以作為證據認定,如還有疑問,可直接到舉證人的計算機上查閱原始信息。在此應當指出的是附有電子簽名的或附加其他適當安全程序保障的電子郵件,推定其具有真實性,一般應予以采納。就目前的情況來看,電子簽名或其他安全程序有口令、密碼、數字加密、生物特征識別等。隨著計算機技術不斷發展,新的電子簽名或其他安全措施的形式還會層出不窮。按照《聯合國電子商務示范法》確定的“功能等同法”,電子簽名或其他安全程序同傳統簽名至少在以下兩個方面的功能上應是一致的:一是表明簽署者是誰,二是表明此人承認、證明或核準了所簽署的文件內容。根據第二項功能,不難得出如下結論:對于附有電子簽名或附加其它適當安全程序保障的電子郵件,在沒有相反證據的情況下,推定其為真。
三、對電子郵件的認證
電子郵件作為證據被采用,并不必然被采信,必須經過法官的認證后才能用作定案的根據。所謂認證,即法官對案件中涉及的證據加以審查認定,以確
定其證明力或證據力大小,從而判斷是否作為定案證據的一種訴訟活動。法官在認證時應注意:它是以電磁或光信號等物理形式存在于各種存儲介質上。這一特點決定了電子郵件可以被輕易地改變或刪除,并且往往不留痕跡。電子郵件還能夠無限制地、快速地復制。也正是由于這一特點,人們會對電子郵件及其電腦輸出的書面材料所載信息的真實性提出疑問,電子郵件的證明力與其真實、可靠性密切相關。法官在認證時應審查以下幾個方面:1.電子郵件的生成。2.電子郵件的存儲。3.電子郵件的傳送。4.電子郵件的收集。5.電子郵件是否被刪改。最難判斷的是電子郵件的保存,即是否被刪節、修改過。對此法官不能僅憑自己的內心確信來評斷,而應依據專業的技術鑒定綜合衡量是否予以認定。
四、結語
電子郵件由于其形成技術較為復雜、技術含量高,并具有易偽造性、易修改性、依附性等弊病,所以我們應在電子郵件證據方面采用電子簽名和郵件加密技術手段、完善電子簽名法、電子郵件采用網絡實名制等途徑,來解決電子郵件真實性及其作為訴訟證據的效力問題,最終推動我國電子郵件證據的健康發展。
參考文獻:
