防范电信网络诈骗培训
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防范电信网络诈骗培训范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防范电信网络诈骗培训范文第1篇
2022防诈骗宣传活动总结精选范文 今天晚上学院组织看防诈骗电影,影片利用动画片的形式用诙谐、生动的语言向我们展现了各种诈骗的案例。看完本影片,我深受影响,真切的感受到诈骗真的是无处不在,生活中,我们一定要提高警惕,就像影片中常说的一句话“切莫上当。”诈骗形式主要有街头诈骗、网络诈骗等。诈骗人员很狡猾很“聪明”,他们的诈骗对象主要是妇女、老人这些弱势群体,他们无所不用其极,办作假医生,假出车祸者,假出差者,假老师,假朋友,假同桌的你,假女儿等各种身份,骗钱、骗物。
他们触碰着道德的底线,直到达到他们的目的,否则他们不会放过你,他们最开始时用好听的语言劝告你,用你的家人的性命危机恐吓你,利用你的善良,你的担心,你的良知,做最没有良知的事情。
其实,诈骗在学校也是普遍存在的。特别是每年大一新生来校之际,此时诈骗分子便会出来“觅食”,主要以大一新生为目标,利用他们对大学的不熟悉,以及对大学美好的憧憬,利用他们的善良。为了达到他们的目的,骗取新生的信任,对其进行“洗脑”,进而诈骗成功。
往事不堪回首,遥想当年,我青涩少女一枚,独自一人来上大学。来大学第一天就被学姐学长骗,对我这个对大学充满幻想的小女生来说,是一件很残忍的事。记得当时刚来为自己买完生活用品回寝室,一学姐自称是关心学弟学妹敲我们的门,她进来后就大谈她的大学生活经验,让我们好好学习、好好军训、不要想家之类的。我们当时都觉得学姐真的很好,觉得学姐很亲切。
但是呢,当她讲完讲完这些后,就开始说让我们买英语资料,考四级、六级各种资料,推荐我们买。可是我们都不知道在我们学校大一是不可以考英语四、六级的。还有就是一份要200块钱,对我们来说数目还是很大的。都怪我们耳朵软,相信她,就买了她的资料,刚开始时,她还有给我们送几份报纸、一本词典,然后就杳无音讯了。
学姐骗学弟学妹这种事虽然不是什么大事,但是也是一种变相诈骗行为。我认为这种行为和我们影片中看到的诈骗分子欺骗老奶奶、善良的路人、担心孩子的妈妈、怀念旧情的同桌的你一样,是很不道德的一种行为。
被骗,在很大程度上是诈骗机关的人员太“聪明”,但是在某种程度上,也是因为被骗人员的某种贪便宜的心理,软弱善良的心理。所以在生活中,我们要不被骗,就要练就防诈骗、反诈骗的自我保护心理意识,提高防范意识,学会自我保护。对人对事,要擦亮眼睛,做到防人之心不可无,害人之心不可有。
2022防诈骗宣传活动总结精选范文 为进一步提高辖区群众防范各类电信诈骗安全意识,有效打击诈骗的犯罪,维护群众利益,预防和减少电信诈骗案件的发生。韩城市公安局新城派出所四项举措在辖区内开展了防范电信诈骗宣传工作。
以所为中心,联合辖区各行各业编织网状"防火墙"。8月7日,新城派出所召集辖区行业场所负责人、物业主任、社区工作人员等,召开辖区集中防范电信诈骗宣传,用辖区发案情况的数据和案例向现场到会人员通报,会后,专门组建防范电信诈骗微信群,定期将辖区发案情况在群内通报,利用各行各业人员将其扩散,谨防再次发生同样电信诈骗案例。
以案为典型,借鉴"四平公安"模式,确保防范宣传全覆盖。在文字案例的基础上,新城派出所组织社区民警拍摄防电信诈骗小视频,用本地群众乐意接受的。幽默方式,为大家奉献防电信诈骗的小视频或者转发其他优秀的防电信诈骗小视频。让群众在欢乐中认识到诈骗的多样形式。
与辖区银行构建打防协作机制,及时护住群众的钱袋子。民警深入辖区各个银行,开展防范电信诈骗培训会。要求在遇到转账金额较大的群众时,银行工作人员要提高警惕主动询问,谨防遇到电信诈骗,若发现可疑,停止汇款并及时向公安机关报案。
多形式开展防电信诈骗活动,加强居民防线。8月28日下午6时许,新城派出所主管领导带领社区民警先后深入禹甸园和体育场,利用群众休闲场所开展防范电信诈骗宣传,向群众发放宣传单、现场讲解防骗知识,同时在辖区诈骗案件高发区的主要街道和场所粘贴、悬挂各类防电信诈骗的通告和宣传标语,营造浓厚的宣传氛围。
2022防诈骗宣传活动总结精选范文 为进一步加大社会面防范电信网络诈骗的宣传力度,提高广大群众的防范电信诈骗意识。
近期,枫芸派出所民警以“严厉打击电信网络诈骗的`犯罪,构建平安和谐社会”为主题,多措并举,创新形式,突出重点,在辖区开展防范电信网络诈骗宣传活动。
充分利用“警民微信联系群”。
枫芸派出所民警将建立的微信群合理利用,进行线上防电信诈骗宣传,向广大群众推送诈骗手段及新型典型案例,供群员学习、转发并告诫群众相关的防范应对措施和注意事项。
通过微信群营造了警民共建反电信诈骗防火墙的氛围,维护了辖区环境的稳定。
充分利用赶集天发放宣传手册、悬挂横幅。
派出所民警利用赶集天在人流量密集地通过发放宣传单300余份、悬挂横幅1条,“一对一”面对面讲解的形式向过往百姓宣传电信诈骗的主要手段,并归纳“六个一律、九个凡是”防诈骗顺口溜,方便群众记忆防骗要点。
充分利用警车上“小喇叭”进行宣传。
派出所民警利用警车,一边巡逻一边用警车上的“小喇叭”宣传防诈骗内容,为广大群众揭开电信诈骗的层层面纱,将诈骗分子惯用伎俩、套路公布于众,提高群众防范意识和防范能力。
2022防诈骗宣传活动总结精选范文 20xx年1-10月份,全市电信诈骗案件持续高发,案值巨大,犯罪手段主要表现为电话欠费、购物、中奖、冒充熟人、退税等名目的30余种。为坚决打击电信诈骗罪,有效遏制此类案件的发案势头,确保首都良好的社会治安环境,市公安局广泛动员各种力量,在全市开展为期100天的打击防范电信诈骗专项行动。并成立专项行动指挥部,对电信诈骗开展多警种、全方位的打击工作,整合各级刑侦专业力量,联系中国移动、网通、电信公司、通信管理局、及银行系统等相关单位,形成合力,全面推进全市打击电信诈骗专项行动,确保专项行动取得预效果。
“阻截”行动成果显著。在银行等部门的配合下,从11月6日开始,市公安局动员一切力量在全市范围开展防控电信诈骗“阻截”专项行动,最大可能的截断汇款转账的金融交易渠道,使电信骗子的骗术落空。
防范电信网络诈骗培训范文第2篇
这一切,皆因为8月19日的一个诈骗电话,一个能够准确说出徐玉玉名字、学校和父母信息的电话。按照骗子的要求,徐玉玉先将准备交学费的9900元打入一个陌生账号,然后等待对方连同助学金一起返还,孰料在半个小时之后,对方关闭了手机,杳无音讯。在意识到被骗之后,徐玉玉一家在当晚报警,而在报完警回家的路上,徐玉玉伤心过度晕厥,两天后抢救无效去世。
案件引发社会的广泛关注,公安、检察机关等多部门及时介入,短短数天之后,远在江西、福建多地实施电信诈骗的犯罪嫌疑人陈文辉、杜天禹等先后落网。
9月30日,山东省临沂市罗庄区检察院已经对徐玉玉被电信诈骗致死案的犯罪嫌疑人陈文辉等7人,依法作出批准逮捕决定。
黑客卖掉了高考信息
徐玉玉接到的不是一个普通的诈骗电话,电话的另一端可以准确地报出她的家庭信息、考试情况。她不知道这些原本私密的个人信息早已泄露了。
时间回溯到2015年11月,每年的这个时候,山东省教育部门都会照例在网站上开通次年的夏季高考报名入口。正在临沂第十九中学就读高三的徐玉玉也成为报名人员之一,上面有她几乎全部的个人信息和家庭情况。就这样,她的个人信息一直安静地储存在那里,直到今年4月,四川一名18岁的少年杜天禹无意中发现了这个网站。仅凭经验觉得“山东省2016高考网上报名信息系统”网站存在漏洞,杜天禹用一个简单的木马程序就侵入该网站,从上面下载了64多万条山东省高考考生信息。
原来,年纪轻轻的杜天禹是一名网络黑客。他给自己起了个网名叫“SEAY”(法师),意思是掌握了魔法的人。据相关报道显示,杜天禹从小学五年级起经常去网吧打游戏,就读初中二年级时退学。他的初中班主任介绍,杜天禹不爱学习,但对数字非常敏感,在数学方面有天赋。而最令缪老师印象深刻的,是杜天禹在电脑技术方面表现出的独特能力。
杜天禹离开学校后,先到某电脑学校培训了一年,但因为他感觉到电脑学校教的都是很基础的东西,他早已掌握,于是又到成都一家培训机构培训了几个月。17岁时,杜天禹通过了北京某科技公司的技术考试,前往中关村某科技公司工作,月薪超过5000元。一直以来,杜天禹对黑客技术产生了兴趣,并开始尝试使用黑客技术在网上获取他人的数据信息,在网上非法出售。
此时的徐玉玉还在备战高考,她爱好文学,在书架上,放着她喜欢的《围城》、《巴黎圣母院》、《傲慢与偏见》……
此时的杜天禹则正忙着通过QQ先后10多次出售山东考生信息,警方查实的非法获利金额是1万4千多元。
之前的诈骗大都失败了
从杜天禹处购买山东考生信息的客户正是徐玉玉案的主犯陈文辉。
直到公安部通缉令之后,陈文辉的父母才知道儿子在外面从事的工作。在此之前,22岁的陈文辉初中没毕业便辍学在家,其后一直在外打工。据了解,虽然已经是两个孩子的父亲,但还是经济拮据,偶尔还会向父母要钱。
今年年初,陈文得从福建安溪老家从事电信诈骗的朋友郑金峰口中知道电信诈骗来钱快,于是便开始向郑金峰学习电信诈骗的技巧,并且一直跃跃欲试。直到今年8月初,他才准备好实施电信诈骗的一切所有人员和资源。这一次,陈文辉决定自己当谋划者。他先是约了几个朋友来到江西九江,租下一套房子,然后购买了不记名的电话卡,再通过QQ购买山东考生信息。
刚开始的时候,陈文辉还是对杜天禹提供的考生信息真假有所怀疑,所以第一批试探性地以五毛钱一条的价格购买了800条考生信息,验证信息无误后,随后又多次向杜天禹购买山东考生信息,其中就包括徐玉玉的个人信息。作案前期,他还特意对地方助学政策进行了了解,获知当地贫困学生可以申请助学金,而选择以学生为目标,则是因为学生的信息最便宜,成本最低。
按照电信诈骗的模式,犯罪分子通常会有所分工。给学生家长或者学生打电话的称之为一线,冒充教育局工作人员;接听反馈电话的是二线,专门冒充财政局工作人员。每个人手上都有一页纸的学生信息,一页纸的电话剧本。针对学生诈骗的电话剧本在“行业”内又称“学生读本”,每一个步骤只需要按着上面的台词念即可。
同时,诈骗团伙还有固定的利益分成。如陈文辉雇佣了老乡郑贤聪当自己的一线,约定每诈骗成功一笔,郑贤聪将会获得20%的提成。他让郑金峰提供十余张银行卡号供他使用,到时候由郑金峰负责为他提现,将抽成后的诈骗款转存到自己掌握的银行卡中。
每天,陈文辉雇佣的冒充教育局工作人员的郑贤聪等人都会拨打上百个电话进行诈骗,绝大多数都以失败告终。直到8月19日下午,他们联系上了徐玉玉,一个刚刚办理完当地贫困助学金申请的准大学生。
被骗前申请了教育局的助学金
9月底,记者来到山东临沂。穿过一座约五米高的牌坊,走进徐玉玉家所在的临沂市罗庄区中坦村。在这个有四五百户的村庄里,几乎家家都盖起了二层小楼,富裕的家庭门口还停放着小轿车。徐玉玉家在村后靠中间的位置,也是一栋二层小楼。
这些天,徐玉玉家原本喜庆的红色大门时常紧闭。附近的徐姓本家邻居告诉《方圆》记者,徐玉玉母亲腿患残疾,现在更是常常把自己关在家里,很少与村子里的人接触。与之相比,一个月前的8月18日,徐玉玉家格外地热闹。
父母双方的亲戚都赶来为这个家庭的第二个大学生庆祝。她和姐姐徐琳是父母所有近亲中为数不多的大学生。饭桌上,一大家子纷纷举杯祝福,开朗的徐玉玉乐得跟盛开的花儿一样。她还时不时地看看三姨送的新手机。在此之前她是高中同学中为数不多的没有手机的人,在学校有事的时候都是用公共电话或者借用同学的手机给家里打电话。直到这次考上了重点大学,她的三姨给她买了一个智能手机作为奖励。
此前,所有她的联系方式都是母亲的手机号码。包括两天前,徐玉玉接到当地教育部门打来的电话也是直接呼入母亲的手机。教育局通知徐玉玉可以申请一笔贫困家庭助学金。为此,她还特意跑到有电脑的六叔家里网上提交了申请。8月17日,父亲骑着三轮车带着徐玉玉前往罗庄区教育部门办理了申请助学金的相关手续,并被告知在今后几天钱就能发下来,让她回家等通知。8月18日,徐连彬连同亲戚给徐玉玉的贺礼凑齐了1万元存入了学校寄来让徐玉玉缴纳学费的银行卡内。如果不出意外,从教育局申请到的这笔助学金会成为徐玉玉到南京就读南京邮电大学的生活费。
事实上,徐玉玉在这几天确实也在等待当地教育局的通知电话。
对于徐玉玉而言,教育局的助学金不是一个小数目。上高中的时候,徐玉玉每个礼拜包括吃饭在内的200元生活费有时还能有些剩余,而且还一直申领当地相关部门发放的贫困助学金。徐玉玉是一个懂事听话的孩子,她知道家里的拮据,父亲每个月做瓦工的平均工资也只有2000多元,所以从不乱花钱,连很多同学必备的电子产品都没有。
去年夏天,刚刚去海外务工姐姐徐琳回家探亲,徐玉玉在姐姐的行李箱里翻出了一个充电宝,看了又看,舍不得放下,最后试探着问:“姐姐,这个充电宝能送我吗?”她说给MP3充电,这样就可以更好地学习英语了。当徐琳答应送给她的时候,徐玉玉高兴了半天,一直夸姐姐真好。
等不到的虚假助学金
8月19日下午4点30分左右,徐玉玉家所在的罗庄区中坦社区下起了雨。母亲李自云的手机响起,可她并没有能听懂对方的说话意思,于是让在一旁的徐玉玉接听。电话那头,在核实了徐玉玉的姓名、毕业学校、家庭住址等信息后,有一个让她兴奋不已的事情,这个电话的主要内容是通知她马上就可以领到这笔助学金,但是具体得向财政局咨询。对方还热情地提供了一个财政局的电话号码,徐玉玉随即拨过去。
此时的李自云开始准备晚饭了,几分钟之后,听得女儿跟她说,“妈,我得上银行一趟”,母亲问上银行干嘛?徐玉玉回答,“我弄了2600块钱的助学金,来自教育局的”。
然而,这个让徐玉玉欣喜不已自称教育局工作人员的来电却是从江西九江的一间出租屋里的郑贤聪拨打的。
郑贤聪在这个骗局中的角色是冒充教育局工作人员。“我就跟她说,你有一笔2680元的学生助学金,如果要领取的话,今天是最后一天了,你要跟某某财政局工作人员联系,然后她就叫我把号码给她了。”
当徐玉玉按照对方提供的财政局号码打过去时,接听电话的是这个诈骗团伙的二线人员,同样是在江西九江的这间出租屋里、冒充财政局工作人员的陈文辉开始与徐玉玉对话。作为二线人员,他的角色是假冒财政局工作人员,这也是整个骗术最关键的一环,诱骗对方汇款。“就是叫她去银行查一下,看补贴款到了没有,然后顺便查一下她的卡上面有多少钱。”
在那个下着大雨的傍晚,徐玉玉告诉母亲要出去一下,便匆匆来到了附近的银行。电话的另一边,陈文辉开始实施整个骗术最重要的一步,他得知徐玉玉有一张卡上有9999元钱时,要求徐玉玉把这些钱向他指定的一个银行账户进行转账操作,以激活这张银行卡,到时候,这些钱连同助学金将会全部打到她的账户上。毫无防范之心的徐玉玉便按照对方要求进行了转账操作,但是两次操作均没有成功。
此时,陈文辉想到另外一个办法,他让徐玉玉找另外一家可以存取现金的自动柜员机把这些现金取出来,然后存入他指定的助学金账户进行激活。同样是出于完全的信任,当天17点30分左右,徐玉玉取出了9900元学费,随后全部存入了骗子发来的银行账户。
就这样一个诈骗过程完成。陈文辉在挂电话之前还特意告诉徐玉玉,半个小时后,所有的钱将会打回她原来的账户,同时也会有短信提示。单纯、朴实的徐玉玉足足在那里等了半个小时也没有任何回应,当她根据原来的号码拨回去的时候,却始终无法接通。
怀揣着不安与惶恐的徐玉玉只好回家,她觉得自己可能是被骗了。在家门口徐玉玉遇见了母亲等她回来的母亲李自云,并讲述了整个经过。母亲也是一样的反应,“我感觉也像是骗子”。短短一句话加剧了徐玉玉的心痛感。因为这样一笔钱差不多是她三年高中生活费的总和,也可能是父亲辛苦几个月的工资,却在一个小时内瞬间没有了。晚上,徐玉玉没有吃饭,直到去报案前的大多数时间她都是坐在门前的台阶上哭泣。
别让徐玉玉案悲剧重演
回想起当天,徐连彬仍然处于自责中,“如果我不带女儿去报警,就让她哭一晚上,也许女儿就不会有事。”事发当晚,徐玉玉回到家中,一直没有吃饭,坐在院子里哭的徐玉玉恳求父亲带她去报警,她将最后的一丝希望寄托于公安部门。徐连彬劝徐玉玉就此作罢,“我们都没有责备她,家里再凑凑还是可以给他提供学费的。”然而徐玉玉还是执意要去,徐连彬只好顺应她,骑着三轮车带女儿去了派出所。
其实,早在今年7月20召开的全国打击治理电信网络新型违法犯罪专项行动推进会上,公安部表示,今后各地公安机关接到群众电信网络诈骗案件的报案后,一律都立为刑事案件,按照刑事案件立案要求采集各类信息。
根据徐玉玉被骗金额的案值,罗庄区的公安部门也以刑事案件立案。徐玉玉在派出所办完立案程序,已经是当晚9点。
徐玉玉坐在三轮车上,父亲说,“咱们回家吧”。徐玉玉应声“嗯”。这是父女之间此生最后一次对话。两分钟后,徐连彬再叫她的时候却没有了回应,回头发现女儿已经歪倒在车上。当时的徐连彬说自己慌乱得都站不住了,甚至急出了眼泪,然后拨打了120。
十几分钟,急救人员到达现场,开始为徐玉玉做心肺复苏。但此后徐玉玉就一直处于昏迷状态,而且心脏在一直处于慢慢衰竭的状态,两天后彻底停止了心跳。几天后,公安机关相继抓获该案的全部犯罪嫌疑人。
农历中秋节前,徐连彬从罗庄区公安分局的民警手中接过追缴回来的9900元现金。“钱回来了,玉玉却永远回不来了。”徐连彬说,之前公安机关也告知他诈骗徐玉玉的犯罪嫌疑人已经陆续归案了,将来肯定会提起民事诉讼进行索赔,不过他希望这些人得到严惩。“如果这些人可以判决死刑的话,我宁愿一分钱都不要。”
按照刑法第二百六十六条规定,诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。另据相关司法解释,诈骗公私财物价值三千元至一万元以上和三万元至十万元以上、五十万元以上的,应当分别认定为刑法第二百六十六条规定的“数额较大”与“数额巨大”、“数额特别巨大”。而“造成被害人自杀、精神失常或者其他严重后果的”,则是酌情从严惩处的一种情况。
“违法成本低成为了电信诈骗案件频发的一个法律难题。” 西南政法大学刑法学教授张武举在接受《方圆》记者采访时指出,电信诈骗实施地点分散,而且对犯罪嫌疑人的抓捕不易,如果案犯在境外犯罪,还涉及管辖问题,更难侦破。此外,取证也是一大难题,如果不能证明案犯诈骗了较大数额,那案犯的刑罚就较轻,不能达到有效震慑和遏制效果。
防范电信网络诈骗培训范文第3篇
1.1什么是信息安全
信息是一种资产,它像其他重要的资产一样,具有很大价值,因此需要给予适当的保护.信息安全的目的就是要保护信息免受各方面的威胁,以确保业务的持续性并尽可能地减少损失.信息能够以多种形式存在.它可以打印(或写)在纸上,可以以电子形式存储,可以通过邮寄方式(或使用电子方式)传播,也可以显示在胶片上,或用语言表达.信息无论以什么形式存在,或以何种方式共享和储存,它都应该进行适当的保护,这就是信息安全学科的主要任务.信息安全具有以下三个主要特征:
(1)保密性:确保信息只被授权人访问.换句话说,保密性就是对抗对手的被动攻击,保证信息不被泄漏给未经授权的人。
(2)完整性:保护信息和信息处理方法的准确性和原始性.换句话说,完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。
(3)可用性:确保授权的用户在需要时可以访问信息.换句话说,可用性就是保证信息及信息系统确实在任何需要时可为授权使用者所用。
此外,可控性(对信息及信息系统实施安全监控)也是信息安全需要特别关注的特性之一。
信息安全可以通过实行一套适当的控制措施来实现。这些控制措施至少包括:安全策略、工作条例、程序、组织结构和软件功能等。信息安全学科是由数学、计算机科学与技术和通信工程等学科交叉而成的一门综合性学科.目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全、信息隐藏与伪装等。
密码学是信息安全的核心,密码手段为信息安全提供了可靠的保证.比如,使用密码对信息加密是保证信息保密性的最有效办法;基于密码的数字签名和身份认证技术是当前保证信息完整性的最主要方法之一;利用密码进行系统登录管理和存取授权管理是解决信息可用性问题的有效办法:通过密码和密钥管理也可保旺信息的可控性。
1.2为何需要信息安全
信息是重要的资产.信息的保密性、完整性和可用性对维持相关机构的竞争优势、现金流动、盈利性、合法性和商业形象等至关重要。
当前,信息系统正面临着来自各方面越来越多的安全威胁,如,计算机诈骗、间谍、阴谋、破坏和火灾或水灾等.特别是计算机病毒、黑客袭击和拒绝服务攻击等对信息系统的损害已变得越来越巨大;安全事件越来越普遍;安全保障的任务越来越艰巨;安全防护人员的业务水平要求越来越高。
随着社会信息化步伐的加快,人们对信息系统和信息服务的依赖性也越来越强,这意味着信息系统更容易受到安全威胁的攻击,而且,一旦被攻击,造成的影响也就越来越大.公众网与专用网的互连互通,各种信息资源的共享,又加大了实现信息安全访问控制的难度.分布式计算的趋势,在很大程度上,减弱了集中式安全控制的有效性。
很多信息系统在设计时都没有充分考虑安全问题,实际上,如果在需求说明书中和设计阶段就把信息安全控制措施考虑进去,那么,信息安全的实施就会更加经济有效.通过纯粹的技术手段也很难实现完整的安全保障体系,还应该有适当的管理和程序支持.有效的安全控制措施既需要周密的总体规划,同时,也不能忽略某些细节问题。
1.3确定安全需求、评估安全风险
确定安全需求是建立安全保障体系的首要步骤,实施安全措施的开销不应该超过安全事故导致的损失.安全需求的确定至少应该考虑以下三个方面:
(1)对组织本身所面临的风险进行评估.通过风险评估,分析具体信息系统可能面临的威胁,确定系统的脆弱性和风险发生的可能性,并估计其潜在的影响.(2)在确定安全需求时,还需要充分考虑相关法律和法规的具体要求(比如,并不是任何人在任何系统中都可以随意使用密码技术),当然还要考虑相关机构和人员的特殊需求.(3)安全需求应该适应相关信息处理原则、目标和需求.安全仅仅是为信息系统服务的一个方面。
安全风险评估的对象既可以是整个信息系统,也可以仅仅是某些局部系统或特定的组件或服务.风险评估需要综合考虑以下内容:(1)安全事故可能造成的损失,特别是信息的保密性、完整性或可用性被破坏后所造成的潜在后果.(2)在已有安全控制措施的条件下,系统面临的主要威胁和脆弱性在哪里,由此引发安全事故的可能性有多大.对于信息安全风险的管理和为避免风险而实行的控制措施来说,风险评估结果将有助于指导和确定合适的管理措施和优先级.评估风险与选择控制措施的过程有可能需要进行若干次,以便涵盖各个信息系统.对可能的安全风险和已实施安全控制措施的有效性进行定期评审是很重要的,它有助于根据以前的评估结果和可接受的风险级别,安全评估的层次应该有所差别.风险评估通常先在高层次上进行,以便优先为高风险领域提供资源,然后在更细的层次上进行,以解决具体的风险。
1.4选择安全控制措施
安全需求确定后,就应该选择相应的安全控制措施并加以实施,以确保安全风险降低到一个可以接受的程度.安全控制措施的选择既要考虑与降低风险相关的实施成本和潜在经济损失,又要考虑非经济方面的因素(如:名誉损失)等.从法律角度来看,有效的安全控制措施应该包括:数据保护和个人信息隐私、审计记录的保护、知识产权.一般的通用信息安全控制措施至少包括:信息安全策略、信息安全责任分配、信息安全教育与培训、报告安全事故、业务持续性管理等.这些控制措施适用于大多数信息系统和大多数环境。
1.5信息安全保障体系
从技术角度讲,信息安全保障体系就是通过一定的技术手段,提高系统的入侵检测能力、事件反应能力和遭破坏后的快速恢复能力.信息保障有别于传统的加密、身份认证、访问控制、防火墙等技术,它强调信息系统整个生命期的主动防御,预警(early-Warning)、保护(Protect)、检测(Detect)、响应(Response)、恢复(Recover)和反制(Counterattack),涵盖了对现代信息系统安全保障的各个方面,构成了一个完整的体系(WPDRRC),使信息安全构筑在一个更加坚实的基础之上.信息安全保障体系的范围更宽,动态性更强,信息保障是安全加可信。
2 我国信息安全产业现状及发展趋势
2.1信息安全市场分析
2.1.2经济效益指标分析由于社会需求的迅速扩大,信息安全已经在全世界范围内形成了一个新兴的产业.据了解,目前全球信息安全产品和服务的产值约为232亿美元,其中美国为127亿美元、欧盟为58亿美元.我国信息化建设已进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已成为重要的经济增长点和支柱产业.国内信息安全市场也达到了一定的规模.目前,在国内大约有专门从事信息安全产业的企业1300多家,其中有自主研发能力的企业390多家,有自主产品的企业190多家,从事信息安全服务的企业有300余家.国内信息安全产业的总产值增长速度也很快,1999年、2000年、2001年、2002年、和2003年,国内信息安全产业的总产值分别为9亿、19亿、40亿、90亿、120亿.但是,我国信息安全产业在整个信息产业中所占的比率太小,仅仅是大约2%~3%.对此,国务院信息办网络及安全专家组组长何德全院士指出,信息安全产业滞后于信息产业是正常的,但如果两者之间的差距过大,信息安全问题就会显得突出.因此,信息安全产业在整个信息产业中所占比率的增长空间还很大.比如,根据中办发[2003]17号文件要求,国家电子政务建设将建设和整合统一的电子政务网络.电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离.启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设.建设和完善金关、金税和金融监管(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金质、金水等12金工程.据估计,电子政务市场规模将达到1200亿元人民币.这些电子政务工程的启动,需要建设相应的信息安全基础设施来保障政务信息安全,由此产生的信息安全市场规模,按照电子政务市场10%计算,将达到120亿元人民币。
2.1.2社会效益指标分析加强国家信息安全保障工作,是我国经济发展到一定阶段的客观要求.我国信息化建设已经进入全面推进和加快发展的重要时期.近年来,我国信息产业迅速发展,已经成为重要的经济增长点和支柱产业.目前,信息技术已经在经济和社会的各个领域得到广泛应用.金融、电力、税收、交通、教育、社会保障和社会治安等系统越来越依赖于网络,现代企业特别是跨国经营的企业越来越离不开网络,各级政府的行政管理和公共服务越来越多地通过网络实现.信息系统已经成为能源、交通、金融等国家关键基础设施的神经中枢,系统的安全直接影响到关键基础设施的正常运转.一旦发生信息安全问题,导致能源、金融、交通、通信、社会服务保障等的大面积瘫痪,一些局部和地区性热点问题很容易通过网络扩散为全局性问题;一些群体性事件也很容易通过网络引发跨地区的连锁反应,从而大大增加危害程度和处置难度,严重影响社会稳定,不仅会严重影响人们正常的生产生活,还会严重干扰正常的社会经济秩序,造成重大经济损失和社会影响.事实证明,信息化程度越高,信息安全问题就越突出,信息安全保障工作就越重要,就越需要一支过硬的队伍来提供技术支持.只有有了掌握了过硬技术的队伍,才能保障信国家的信息安全,推进信息化的进一步发展,以信息化带动工业化,提高国民经济运行效率和社会生产力水平,促进我国经济的跨越式发展和全面建设小康社会宏伟目标的实现。
3 我国信息安全产业急待解决的关键技术问题
中央27号文指出“要集中力量,加强对密码技术、安全隔离与审计、病毒防范、网络监管、检测与应急处理、信息安全测试与评估、取证、卫星防攻击等关键技术以及相关技术的研究开发.”经过深入分析我国信息安全,特别是分析电子政务安全领域的现状,当前急待解决的关键技术问题有:
(1)以密码技术为基础的信任体系建设.特别是在较大范围内,将各个信任体系整合为一个更大范围的信任体系.如,在国家桥CA建设的基础上,展开信任体系的关键技术研究,为电子政务网络提供全面的信任体系解决方案,建立电子政务安全支撑基础设施与服务,为其运行提供安全监控解决方案.
(2)安全域理论以及安全域之间的隔离、访问控制和审计问题.基于安全域构建信息安全保障体系是信息安全领域中一个重要的方法.
(3)大范围爆发的蠕虫、病毒等恶意代码的防范问题.当前,对于各行各业信息化威胁最大的安全问题就是蠕虫大规模爆发问题:在2003年和2004年上半年,一些全球性的大规模蠕虫爆发事件已经给我国电子政务和相关行业的信息化应用带来的较为重大的损失.
(4)大机构和大系统的风险评估问题.风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制.没有准确及时地风险评估,会使得各个机构对于信息安全的状况做出错误的判断;风险评估应当成为各个机构建立信息安全保障体系中的优先步骤.在深入研究信息安全风险评估的理论、方法、标准、技术和工具的基础上,积极准备,为国家开展基础信息网络和重要信息系统的信息安全风险评估检查工作提供技术储备.比如,为国家电子政务建设提供包括方案设计、工程实施、工程运行等整个生命周期的全程的信息安全风险评估.
(5)网络监控体系的建设.面对高速、多媒体海量信息,如何监控信息流,获取和判断信息内容,是一个复杂且难度极高的技术问题.发达国家一般运用最新最快的计算机来进行监控管理.我国也应该在国家级监控管理层次上研究发展必要的技术手段.在电子政务领域,也应当建立相应的监控体系.
(6)应急技术研究.随着信息化的推进,我国许多重要信息都在网络上,在方便工作的同时,也存在安全的隐患.一旦发生灾难,信息的安全和恢复就会存在问题.应急是信息安全的最后一道防线.国家基础网络和重要信息系统必须有相应的应急预案,才能在灾难来临时,不会出现混乱、业务停止等问题.国外在这方面研究比较早,也取得了很大成绩,我国在充分借鉴国外先进成果的基础上,必须研发有自主知识产权的应急与冗灾理论、技术和产品.比如,应该深入研究信息系统的应急和灾备恢复体系,为国家基础网络和重要信息系统,特别是国家电子政务系统提供相应的应急预案,确保在灾难发生时系统能够正常地运行。
(7)等级保护是信息安全保障体系建设的一个重要原则和方法。
(8)反入侵和取证技术.(9)物理隔离和逻辑隔离问题,以及内外网信息交换问题。
(10)建设一体化的、高度集成的、智能化的信息安全平台.当前的信息安全防范体系是各种不同的安全产品和技术简单叠加组成的.由于不同的产品来自不同的厂家,产品的性能、规格、功能等都存在很大的差异.这些产品的简单叠加,相互之间没有任何联动的途径和机制,不能做到整个安全防范系统的简单、易用和高效,还有可能带来新的安全问题,整体的安全性如何更难以保证.国家基础信息网络和重要信息系统,特别是电子政务,急需一体化的、高度集成的、智能化的安全平台,把网络系统中的防火墙、入侵检测系统、防病毒系统、信息加密、认证系统、审计系统、响应系统、备份系统等多种安全产品和技术,进行智能化地高度集成,形成一个一体化的解决方案.各种不同的安全技术和产品,通过这一安全平台可以更好地协同工作、密切联动,从而使整个系统的安全性、效率、可管理性等。
上述关键技术问题是我国信息安全保障方面,特别是电子政务安全领域中亟待解决的关键技术问题.对于这些关键技术问题的解决,再加上良好的信息安全保障体系价值链,将这些关键点串联起来,就可以有效地提高我国信息安全保障体系的水平.此外,我国的信息安全整体水平在国际上还属于比较落后的地位.为了进一步加快我国信息安全保障体系水平的提升,需要在可控的范围内加强国际合作。
4 我国信息安全产业的发展战略
(1)信息安全产品客户化.当前国内信息安全产品种类过度集中,低水平重复较为严重,产业结构失调,资源配置不当,缺乏竞争力.从功能角度看,产品高度集中在网络周边防护和密码设备上,而身份识别和信息审计等产品相对较少.从领域角度看,安全产品主要集中在电信网、电视网和互联网的局域网系统设备、应用和用户设备的安全方面,骨干网(特别是电信骨干网和电视骨干网)的安全产品几乎是空白.由于不同行业用户有不同的安全威胁、安全环境、安全技术、安全培训和安全维护等,因此,其安全需求也各不相同.产品客户化既能够提供量身订制的服务,又能够充分发挥国内企业的优势.国内信息安全企业应该重点选择政府、金融、财政、税收、工商、电信、广电、电力、民航、交通等行业做好客户化工作.(2)信息安全技术标准化和平台化.通过标准化和平台化实现各个厂商的安全产品互连、互通、互操作,从而,易于形成协同的安全防护体系,既增加系统的安全性又增强企业产品的竞争力。
(3)信息安全产业规模化.当前国内信息安全企业的规模普遍偏小,既缺乏市场竞争力,又难以解决融资困难.必须通过市场机制,实现中小企业的快速成长,通过企业兼并等手段培养出我国自己的信息安全大型企业。
(4)信息安全产业资本投资多元化.当前,国内信息安全企业的资本结构主要以国家投资、地方政府投资和民营投资为主体.投资单一化,缺少投资机构的支持.实现投资多元化的方法很多:在可控的条件下吸引外国投资家的资本、鼓励金融中介机构入股信息安全企业、成立投资委员会帮助信息安全企业多方融资,扩展资产规模。
(5)信息安全产品市场法制化与规范化.信息安全产品与普通的民用产品并不完全相同,国家已经颁布了许多法律和法规来规范信息安全产品的研制、生产和销售等环节,但是,在法制化和规范化方面仍然还有许多工作要做,比如,政府部门的多头管理给企业造成过重的经济负担,需要尽早建设信息安全产业的统一管理机构;与许多法律和法规相配套的可操作细则也要尽早出台等。
参考文献:
[ 1] 李彦旭, 马大志, 成立.网络信息安全技术综述[ J] .半导体技术, 2002(10):9-10 .
[ 2] 杨义先, 方滨兴.网络信息安全成果大阅兵[ J] .通信学报, 2002 , 23(5):2-3 .
[ 3] 曾志峰, 杨义先.网络安全的发展与研究[ J] .计算机工程与应用, 2000(10):1-3.
杨义先
(北京邮电大学 信息安全中心)
