發布時間:2023-01-02 12:13:39
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息網絡樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞:信息網絡傳輸權 信息網絡傳播權 著作權
1“榕樹下”網站侵犯信息網絡傳播權案
2004年在上海發生這么一起案件:上海榕樹下計算機有限公司因在“榕樹下全球中文原創作品網”上向公眾提供《我不是天使》專輯下載和試聽服務,被華納國際音樂股份有限公司告上了法庭。上海市第二中級人民法院5月10日對此案作出一審判決:榕樹下公司除了要在他們經營的“榕樹下”網站上刊登致歉聲明,還要為自己的侵權行為向華納公司支付1.5萬元賠償款。早在2003年,華納公司就發現在“榕樹下”網站上可以試聽或者下載《我不是天使》專輯。該專輯收錄了那英演唱的《一笑而過》等10首歌曲。華納公司認為“榕樹下”網站沒有經過自己的允許,就推出試聽、下載服務,侵犯了他們錄音制作者權中的網絡傳播權。榕樹下公司解釋說他們所提供的專輯下載是為了介紹評論部分音樂節目以及他們網上的部分原創中文作品,所以他們對該錄音作品的使用應該屬于法律規定的“合理使用”的情況。但由于“榕樹下”網站提供的下載試聽服務,事實上已經影響了華納公司正常使用他們的錄音制品,導致了他們在信息網絡上傳播該錄音制品及發行該錄音制品時,所獲的合法收益可能減少,因此“榕樹下”網站提供的下載試聽服務不屬于“著作權法”規定的合理使用。
根據法律規定,未經錄音錄像制作者的許可,復制、發行、通過信息網絡向公眾傳播其制作的錄音錄像制品的系侵權行為。法院認定榕樹下公司在“榕樹下”網站上提供那英《我不是天使》專輯的下載試聽鏈接,向公眾傳播華納公司錄音制品的行為,侵犯了華納公司對該專輯的錄音制品享有的信息網絡傳播權。這是一起關于信息網絡傳播權的侵權案,其中關鍵問題在于如何認識信息網絡傳播權。
2信息網絡傳播權的國際國內立法
2. 1信息網絡傳播權的國際立法
1996年12月20日,世界知識產權組織在日內瓦召開的會議上,通過了《世界知識產權組織版權條約》( WCT)和《世界知識產權組織表演和錄音制品條約》( WPPT )。在WCT中第8條規定,文學和藝術作品的作者享有專有權,以授權將其作品以有線或無線的方式向公眾傳播,包括將其作品向公眾提供,使公眾的成員在其個人選定的地點和時間可以獲得這些作品。WPPT第10條規定,表演者應當享有專有權,以授權通過有線或無線的方式向公眾提供其錄音制品,使該錄音制品可為公眾中的成員在其個人選定的地點和時間獲得。從上述兩個規定可以看出,比起伯爾尼公約,作者的權利已經有效地覆蓋到網絡空間。日本在1997年6月10日通過的著作權法修正案,規定著作權人就其作品應享有授權公開傳輸的專有權川。澳大利亞也提出了一個內容廣泛的“向公眾傳輸的權利”,既包括以任何通過接受裝置觀看或使用的方式向公眾傳播,也包括廣播權和有線傳播權。閣
世界知識產權組織兩個版權條約中的“傳輸”,只包括“向公眾”的傳輸,即向不特定對象的傳輸,對于諸如電子信箱的通信方式傳輸他人作品,不應屬于傳輸權控制范圍。至于通過Internet在某一企業或單位的專用網絡內,向特定對象進行的傳輸,至少有一部分也應被排除在向“公眾”傳輸之外。
所以,作者的網絡傳輸權就是指作者所享有的將自己創作的作品上載到互聯網服務器,或許可他人實施上述行為,供社會公眾通過互聯網選擇和獲得這些作品的權利。任何人不經授權許可,不得擅自將他人作品在網上傳輸。
2. 2信息網絡傳播權的國內立法
我國早在1991年的著作權法中規定了著作權人的權利包括人身權和財產權,但當時沒有明確提出“信息網絡傳播權”的概念。在新《著作權法》中“信息網絡傳播權”的概念基本可算是“舶來品”,是兩個“互聯網條約”的翻版。信息網絡傳播權創設之前,盡管一些意見認為原著作權法的現有規定可以直接適用互聯網上的侵權行為,或至少可以由現行法律中的“等”字來予以調整,但立法界并沒有接納這種意見。2001年《著作權法》最終選擇了歐盟和兩大“互聯網條約”新增權利的模式,第一次公開賦予了著作權人信息網絡傳播權。新《著作權法》將1990年《著作權法》第10條規定的“作者財產權利”具體分解為17項權利,其中第12項增加并確立了“信息網絡傳播權”:以有線或者無線方式向公眾提供作品,使公眾可以在其個人選定的時間和地點獲得作品的權利鬧。由此可以看出,信息網絡傳播權有三個要件:“公眾”,“自己選定的時間”,“自己選定的地點”。三要件缺一不可,否則就不符合信息網絡傳播權的概念,而應屬于復制權或其他權利。對于“公眾”的概念,應當可以理解為信息網絡傳播權只適用于廣域網,不適用于局域網。因為局域網傳播限定了作品接受者的地域范圍,使其并不能在其個人選定的地點獲得作品。科研院所、大專院校、企事業單位等在單位內部的網絡共享資料是否侵犯信息網絡傳播權?這些問題尚待解決。
3我國信息網絡傳播權的性質認定
[關鍵詞]信息網絡傳播權 信息網絡獲取權 利益平衡
[分類號]D923.4
版權法設立有兩個目標:一是保護作者專有權,鼓勵作品創作;二是促進作品傳播,實現知識共享。隨著技術的發展,版權法在模擬空間下實現的知識產權保護和信息共享(自由獲取)兩個目標的傳統平衡無可奈何地在網絡空間下被打破,或者說原有的內在不平衡因素被網絡技術放大,表現為知識產權過度保護和公眾獲取信息權利受到諸多限制,引起了學術界對有關協調知識產權保護和信息資源共享關系論題的討論。本文著眼于網絡空間下的版權法領域,探討信息網絡傳播權和信息網絡獲取權之間利益平衡,這樣就既確保了兩權概念外延的一致,又凸顯了數字環境下版權問題焦點。
1 利益平衡原理
利益是指人們受客觀規律制約,為滿足生存和發展需要而產生的各種客觀需求。社會由不同的利益主體所構成,形成了反映不同利益關系的利益體系和格局,由于利益訴求的多樣性及社會資源的稀缺性,利益沖突成為普遍社會現象。然而社會還是能夠在繁雜的利益沖突中不斷前進,在于社會存在對利益沖突進行協調或平衡的機制,該機制通過以規范權利和義務為內容的法律來實現。利益平衡就是指在法律的調控下,各利益主體的權利相互作用而形成的相對和平共處、相對均衡的狀態。不過利益平衡狀態只具有暫時性,大部分時間里,權利之間處于沖突和失衡狀態,追求利益平衡是個永恒的主題。
法律是相關利益方互相談判、互相妥協達成一致并使相互權利義務制度化的結果。版權法就是一部通過設定版權人和公眾的權利與義務來調節版權利益平衡的法律。由于權利義務的對立統一性,網絡環境下版權人的權利和公眾相應的義務體現為信息網絡傳播權,公眾應有的權利和版權人須承擔的義務體現為信息網絡獲取權,因此追求網絡環境下版權法利益的平衡,實質就是確保信息網絡傳播權和信息網絡獲取權兩權的利益平衡。
2 兩權概念辨析
信息網絡傳播權指以有線或無線方式向公眾提供作品、表演或者錄音錄像制品,使公眾可以在其個人選定的時間和地點獲得作品、表演或者錄音錄像制品的權利。信息網絡傳播權是知識產權保護為適應新技術發展而拓展新權能的重要體現,是法律為版權人在網絡空間上設定的一種集合權利,“特指互聯網絡上版權人控制、利用作品的一種形式”。信息網絡傳播權調整范圍一般包括上載、網絡上對版權作品的復制、網站間轉載、網絡上對版權作品的傳播、下載、署名及修改作品等7個方面內容。
信息網絡獲取權是指網絡環境下公眾自由獲取信息的權利,不同于“信息公共獲取權”概念。信息公共獲取權是指信息主體有權依法定形式獲得政府、國有企事業、圖書館等公共信息機構信息的權利。信息網絡獲取權和信息公共獲取權的關鍵性區別:前者關注的是信息傳輸的環境是否是網絡環境,并不刻意關注所獲取的信息內容是公共信息還是私有信息;后者關注的是信息傳輸的內容是否是公共信息,并不對所獲取信息的環境是網絡環境還是模擬環境進行區分。信息網絡獲取權的實現有賴于創作共享制度、合理使用制度、法定許可制度、集體管理制度等制度的實施。
信息網絡傳播權和信息網絡獲取權的關系實質上是信息壟斷(保護)與信息利用的關系,兩者關系在實踐操作中陷入了二難困境――“沒有合法壟斷就不會有足夠的信息生產出來,但是有了合法的壟斷又不會有太多的信息被利用”。目前我國兩者利益關系的現狀是:由于人們認識的偏差,致使信息網絡傳播權的過度擴張,本應可以利用網絡技術在信息時代獲得進一步發展的信息網絡獲取權卻日益受到信息網絡傳播權的排擠,私人利益和公共利益之間利益格局由此產生失衡。把握信息壟斷與信息利用的邊界或尺度,構建兩者的利益平衡機制,是改變利益關系現狀,破解二難困境的關鍵,也是版權法的立法宗旨。
3 兩權利益沖突分析
3.1 擴張性與萎縮性的沖突
傳統版權法通過對版權人權利的保護與限制,較好解決了版權人與信息使用者之間的利益沖突。但隨著網絡時代的到來,權利人作品被大量地上載、下載和復制,使權利人無法控制自己的作品使用,原有平衡被打破。為更好保護版權人權利,各國紛紛修改版權法,或增設信息網絡傳輸權或重新詮釋復制權、發行權,信息網絡傳播權呈現不斷擴張的趨勢。然而與此同時,由于對新設的信息網絡傳播權的限制乏力,導致信息網絡獲取權權利內涵不斷縮小,如《版權條約》、美國DMCA(《數字千年版權法案》)、歐盟《協調信息社會版權與相關權指令》以及我國《著作權法》中都有充分體現。2006年,我國頒布的《信息網絡傳播權保護條例》盡管在某些方面限制了信息網絡傳播權的適用,在一定程度上彌補了信息網絡傳播權和信息網絡獲取權的失衡缺陷,但離兩權平衡機制的構建還有一定距離。
3.2 私有性與公益性的沖突
信息網絡傳播權隸屬于知識產權,本質上屬于私權,是版權法對互聯網技術發展所帶來挑戰的回應,是版權不斷擴張的體現。信息網絡傳播權具有個人財產權的性質,一旦經法律授予甚至是無需任何手續便可自動獲得,成為一種絕對權,具有私有性。只有權利人自己才可以行使,其他任何人都負有尊重他人版權利益的義務。信息網絡獲取權屬于公權,目標是實現信息資源的自由共享,促進知識自由,解決信息失衡和數字鴻溝。推進信息資源網絡獲取“可以最大限度地消除目前廣泛存在的社會信息不對稱、信息資源浪費和信息尋租現象,減少信息獲取的社會成本”,信息網絡獲取權具有明顯的公益性。
3.3 獨占性與共享性的沖突
信息網絡傳播權的獨占性表現在信息網絡傳播權人有權要求獨占知識產品的各項權能,無法律規定或未經權利人許可,任何人不得使用權利人的知識產品。版權人的獨占性是由版權人在創作作品時投入巨大的智力和財力而產生的,享有通過許可他人使用自己的作品來獲得報酬的權利。信息網絡獲取的目的就是實現信息資源共享,變私有信息成為公共信息。信息網絡獲取權是各國法律普遍認可的人的一項基本權利,體現了社會成員共享社會發展成果的公共需求,可見共享性是信息網絡獲取權的內在屬性。
4 兩權利益平衡機制構建
4.1 理論原則:權利弱化與利益分享
目前知識產權理論面臨一個悖論:一方面許多國家修訂或重建知識產權法律規范,制定知識產權戰略,
加強保護力度;另一方面,近年來西方國家興起了知識產權懷疑論、反知識產權論和知識產權僵化論三股知識產權思潮,責難知識產權制度的強保護趨勢,這使知識產權在理論研究、制度構建與實務運作諸方面朝著兩個相反的方向發展。因此,有學者提出應采用“權利弱化與利益分享”理論來重構知識產權制度。
“權利弱化與利益分享”理論的基本含義是:除法律另有規定外,知識產權所有人有權從其受法律保護的作品中獲取相應的利益;任何人未經知識產權所有人許可,擅自以營利目的利用其作品,權利所有人有權請求其賠償損失,并依法享有請求該侵權行為人以合理條件與其簽訂知識產權許可使用合同;只有當該侵權行為人無正當理由拒絕以合理條件與知識產權所有人簽訂知識產權許可使用合同時,知識產權所有人才有權請求其停止侵害行為;但法律另有規定的或其它特別情形除外。該理論認為,知識產品的存在形式由以模擬空間為主變成以網絡空間為主,這是傳統知識產權理論(由禁止權加許可權構成)產生困境的根本原因。因為在傳統模擬空間,知識產權所有人對其知識產品相對具有可控制力,而在網絡空間,這種可控制力要減弱許多,以至權利虛化,所以以利益分享理論為基礎重構知識產權制度,將是保護網絡空間知識產權最有效的形式。
4.2 管理模式:創作共享與優化授權
創作共享(creative commons)是在傳統公有領域理論基礎上的改進,是網絡上數字作品的許可授權機制,允許任何人在不需要經過特別許可或付費的情況下,去復制使用或再創造,形成演繹作品,目的在于讓任何創造性作品都有機會被更多人分享和再創造,共同促進人類知識作品在其生命周期內產生最大價值。創作共享機制是實現信息網絡傳播權與信息網絡獲取權之間利益平衡最理想的管理模式。盡管其前景很美好,但由于大多數作品并未加入該共享協議,作品的海量許可困境還是會困擾公眾自由獲取知識,因此,有必要優化作品授權使用機制。數字時代作品授權方式主要有授權要約、版權補償金、交叉許可、集體管理等,其中集體管理方式尤為重要,幾乎所有的版權授權模式都離不開集體管理組織的參與。
目前我國版權集體管理還很不完善,雖成立或籌備成立中國音樂著作權協會、中國文字作品著作權協會等諸多集體管理組織,實行會員制管理,但較為散亂,不僅不具有充分的代表性,而且還未很好地運轉起來。鑒于此,應繼續完善我國版權集體管理制度:一是借鑒國外經驗,完善管理模式。如借鑒北歐國家實行的“擴展性集體管理”,圖書館可以獲得該機構管理作品領域內的非會員已經發表作品的許可使用權;借鑒法國在1995年推行的“強制性集體管理”,版權人不管是會員還是非會員,只能通過版權集體管理組織行使權利;借鑒意大利的壟斷式管理,全國只建立一個可以管理所有作品類型的綜合性的集體管理組織。二是實現我國版權集體管理的數字化。采納最新數字技術,開發版權管理信息系統,構建版權權利信息的集中管理系統,建立統一的版權權利信息查詢平臺,為公眾提供查詢版權集體管理組織成員的版權權利信息服務。
4.3 法律保障:擴張與限制
在幾百年的社會歷程中,隨著技術發展和社會進步,知識產權私權保護總的趨勢是保護范圍越來越大,保護水平越來越高,以激勵更多的知識創造。版權法的擴張是技術發展給版權人帶來利益損失的法律補救措施和利益補償機制。由于技術的發展,一方面版權作品市場規模被擴大,制作復制品的邊際成本下降;另一方面作品需求也被放大,作品的潛在市場價值增強,作品傳播成本的降低和市場價值的增強導致版權人利益失控,加大了版權保護的需要,促進版權不斷擴張。版權法的擴張表現為版權權能的擴張、版權客體的擴張、版權期限的擴張、對個人性使用限制的增強等幾方面,信息網絡傳播權的設立就是版權權能在新技術條件下的擴張。
盡管版權的擴張不可避免地要以犧牲公眾對版權作品的接近為代價,但這種代價應控制在一定限度內,即版權擴張應受到限制,否則將構成不適當的版權擴張和作品壟斷,從而會使作者激勵和公眾接近之間處于失衡狀態。目前我國信息網絡傳播權和信息網絡獲取權利益失衡產生的原因是信息網絡傳播權的過度擴張,完善合理使用制度和法定許可制度是限制信息網絡傳播權,擴充信息網絡獲取權,維持“兩權”利益平衡的重要方面。
完善合理使用制度。合理使用制度是版權相關權利人的利益平衡器。網絡的發展使得作品復制和傳播輕而易舉,版權人權利無法得到有效保障,于是各國紛紛修改著作權法,以重構合理使用制度。重構模式有因素主義(以美國為代表)和規則主義(以德國為代表)兩種模式,各有優缺點:因素主義模式具有靈活性和概括性,但容易造成司法實踐的混亂;規則主義模式具有穩定性和規范性,但易造成立法的滯后。我國采取的是規則主義模式,版權法規對合理使用只采取列舉式條款,缺少對合理性作統一判斷的原則性標準,限制了其適用范圍。我國應吸收因素主義模式優點,采用原則、要素、規則三者相結合的立法模式:以利益平衡為總體原則,借鑒四要素為標準,制定適用合理使用的具體規則。
優化法定許可制度。法定許可的實質在于將版權中的一些絕對權降格成為一種獲得合理報酬的權利,從而在作者的排他性權利和公眾的合理使用之間構建一種中間制度。然而立法者出于種種擔心,目前我國版權法規并沒有明確規定傳統文獻數字化和圖書館等館舍外信息網絡傳播的法定許可制度,只就網絡傳播方面規定了實施遠程教育和扶助貧困的法定許可,限制了信息網絡獲取權。其實我們可以在制度范疇內從多方面優化法定許可制度,化解以上擔心:①完善作品使用人付酬制度,制定統一的付酬標準,建立例外協商付酬制度,構建對不依法付酬行為的制裁制度,在訴訟時效適用方面作出有利于著作權人的認定。②適度引進版權補償金制度,減輕圖書館等公共知識機構背負的沉重經濟負擔,從而平衡多方利益,優化配置版權資源,體現效率價值。
4.4 技術措施:發展與規避
技術措施是權利人為了防止他人非法接觸或使用其作品而采取的技術手段,是在網絡空間重新分配權利義務、維持網絡傳播者和社會公眾之間利益平衡的產物。技術措施保護已逐漸被各國著作權法所接受并被有關國際公約所肯定,如WCT第11條、WPPT第18條、歐盟《著作權指令》第6條、美國DMCA第1201條等都明確規定了對技術措施的法律保護。我國《著作權法》第47條、《信息網絡傳播權條例》第5條、18條和19條規定了故意規避或破壞技術措施的,應承擔相應的法律責任。“這種將技術引入法律、司法,創立一種新的利益平衡機制,以保護一種新型權利,既反映了版權發展的必要,也反映了版權保護的進步”。
技術保護措施的廣泛實施,一方面有效保證了不斷受到網絡版權侵擾的版權人的利益;但另一方面,隨著技術措施的過度保障,合理使用制度受到進一步沖擊,信息網絡獲取途徑受到更多限制,從而打破在模擬環境下版權法建立的有關信息網絡傳播權和信息網絡獲取權之間的傳統平衡,表現為:①違反了公眾有權依法對作品進行合理使用的原則。網絡空間上的技術壁壘在控制他人對作品的非法接觸的同時也妨礙了公眾對該作品的合理使用,如果被采取技術措施的作品僅僅以數字化形式存在,而用戶又沒有其他合法途徑獲得該作品時,技術措施會使得公眾合理使用該作品存在嚴重障礙。②違反了思想、事實以及進入公有領域的作品不受版權法保護的原則。技術保護措施與啟封許可證或在線許可協議的使用能夠用于全面阻止公眾對作品不符合版權人意愿的使用。由于無從接近版權作品,公眾對不受保護的思想、事實或者進入公有領域的作品等也無從接近,版權法公共領域受到侵蝕。
的發展給帶來了無盡的挑戰,技術始終是促進版權制度發展的催化劑,數字技術為作品復制和傳播帶來的進步性,就如同四大發明的印刷術相比手工抄寫一樣的深刻和明顯。 是數字網絡技術的進步性給著作權法帶來了全面而深刻的沖擊,信息網絡傳播權由此而得以產生。
回顧著作權法發展歷史,自英國1710年的安娜法案始,著作權法歷經印刷技術、廣播電視技術和數字技術的三次重大飛躍。 數字技術是通訊技術、微技術和計算機技術的總稱,迄今為止,經過三個發展階段。七十年代中期,個人計算機發展起來,進入數字技術的第一階段。著作權領域最先討論的是,個人計算機上的目標程序是不是著作權保護的客體,以及操作系統、用戶界面、數據庫、反向工程、電子游戲的著作權保護問題。八十年代中期,多媒體技術和數據庫得到發展,進入數字技術的第二階段,多媒體產品和數據庫是不是著作權意義上的作品開始成為著作權界討論的熱門話題。這時多媒體技術尚未與網絡技術結合。九十年代以后,多媒體技術與計算機網絡技術結合,數字技術發展開始進入第三個階段。數字通訊網絡的成功不僅僅取決于技術硬件設施,而且取決于作品及其相關信息等組成的通信內容, 即數字化的文字作品和作品、電影作品、軟件、多媒體、數據庫,等等,可以通訊內容的網絡就如同沒有靈魂的軀殼。數字技術在網絡上的,使得通過計算機網絡能把作品訊捷、方便、廉價、容量驚人而且質量幾乎完美地從一個地方送到另一個地方。可以使公眾中的成員在個人選擇的地點和時間獲得作品。在交互性傳輸中,信息傳輸的范圍、程度及信息的使用方式是由信息的發送者和接收者雙方共同決定。這給網絡傳播中的著作權保護帶來了前所未有的挑戰。版權制度與技術發展之間存在微妙的互動關系,每當有一次技術突破的時候,版權制度總是要或遲或早地作出反應。 縱觀著作權法的歷史沿革,,著作權法始終處于對科學技術的挑戰予以應戰的過程中。如何規范作品在互聯網上的傳播行為,保護著作權人的權利,而不致使因特網成為盜匪橫行的“盜版天堂”,成為了世界知識產權領域迫切需要解決的問題。信息網絡傳播權問題由此而產生。
早在1994年12月28日,美國發生US vs LaMacchia ——案,一名大學生在互聯網絡上提供秘密的電子公告牌地址,未經版權人許可,將已出版的、享有版權的商用計算機程序的復制件提供給網絡上的用戶。1995年在瑞典也發生了類似的案例。幾個學生從ADOBE和兒個其他的出版商那里將為數眾多的享有版權的計算機程序下載,送到斯德哥爾摩的皇家技術學院的互聯網絡服務器上,以供互聯網絡上全世界范圍的用戶卸載和復制。這種在計算機網絡上通過數字傳輸提供作品的復制件的行為,在現行的各國版權法和國際版權公約中,顯然都沒有現成的直接規范的依據。對此,版權界主要有兩派意見:其一,將傳統的版權領域中的若十概念(主要是復制、發行、出租、公眾傳播)擴展以對該行為進行規范,該行為或是復制,或是發行,或是出租,或是公眾傳播;其二,設立數字傳輸權來進行規范。第一種意見主張把數字傳輸的版權意義融入傳統的版權制度體系之中,第二種意見主張依據新的數字傳輸技術而設置專門的權利, 即信息網絡傳播權。
一、世界知識產權組織《版權條約》及《表演和錄音制品條約》設立信息網絡傳播權世界知識產權組織最終否定了國際幾種通過試圖通過原有權利的擴張解決對網絡傳播進行規范的嘗試。1996年12月2日至20日世界知識產權組織在瑞士召開了“關于著作權及鄰接權問題的外交會議”(經下簡稱“外交會議”),通過了兩個被稱為“因特網條約”的國際條約,即《世界知識產權組織版權條約》(WIPO Copyright Treaty,縮寫為《WCT》,以下簡稱《版權條約》)和《世界知識產權組織表演和錄音制品條約》(WIPO Performance and phonograms Treaty,縮寫為《WPPT》,以下簡稱《表演和錄音制品條約》)。
信息網絡傳播權當屬于傳播權的內容之一。傳播權作為一項獨立的專有權,是首先由歐盟提出的。這項提議最終被接受,并寫入兩個條約中。不過,就作品所享有的傳播權與表演及唱片所享有的傳播權,在兩個條約中是不相同的。作品傳播權體現在《版權條約》第8條中。表演傳播權體現在《表演和錄音制品條約》第10條、第15條中;唱片傳播權體現在后一條第14條與第15條中。 以下具體分析。
(一)《版權條約》中對信息網絡傳播權的規定《版權條約》第8 條可謂開一代風氣之先,為作者創設了一項控制作品在互聯網上傳播的重要權利,即作者的信息網絡傳播權。該條規定為,在不損害《伯爾尼公約》賦予作者的各項傳播權的前提下,文學和作品的作者應當享有以有線或者無線的方式授權將其作品向公眾傳播的專有權,包括以公眾中的成員個人選擇地點和時間的方式,使公眾獲得的專有權。 《版權條約》第8條是對《伯爾尼公約》確立的傳播權保護體系的發展和完善。該條先是讓人眼花繚亂地列舉了《伯爾尼公約》的5個條文,涉及6項內容,它們都是伯爾尼公約中有關作者各項公開傳播權的規定,《伯爾尼公約》中有關權利人的各項傳播權的規定是隨著傳播技術的發展逐步出現的。由于針對不同種類的作品,不同的傳播方式,適用不同的權利,這使得《伯爾尼公約》中的傳播權之間存在著一些縫隙, 無法完全覆蓋網絡傳播這一新的傳播方式。《版權公約》第8條彌補了《伯爾尼公約》不同權利之間的縫隙。 該條分為兩部分,第一部分是在不伯爾尼公約現在的各種傳播權的前提下,將向公眾傳播的專有權擴展到所有作品種類,成為所有文學藝術作品作者的權利;第二部分明確指出,向公眾傳播包括在“公眾中的成員”個人選擇的時間和地點所作的傳播,從而澄清了交互性的按需傳輸行為在該范圍之內。
這條規定將《伯爾尼公約》中的向公眾傳播這個概念擴展到網絡環境中,在《版權條約》中,這一項新權利名稱雖然被定為“公眾傳播權”,但這項權利不僅僅指網絡傳播的權利,也包括其他傳統的公眾傳播的權利。該條規定的“公眾傳播權”將作者的權利,實際上包含了信息網絡傳播權這一新權利,集中體現在“包括以公眾中的成員個人選擇地點和時間的方式,使公眾獲得的專有權”,雖然因技術中立性原則,這一表述沒有直接的包括“網絡”等概念,但這一表述正是對網絡傳輸交互性的典型的概括,這一表述而產生的新權利,即作者互聯網上傳播作品的權利,也就是信息網絡傳播權。
(二)《表演和錄音制品條約》中的規定與上述《版權條約》同日通過的《表演和錄音制品條約》確立了表演者和錄音制品制作者這兩個鄰接權人的信息網絡傳播權。第10條規定:“表演者應享有專有權,以授權通過有線或者無線的方式向公眾提供其以錄音制品錄制的表演,使該表演可以公眾中的成員在其個人選定的地點和時間獲得”,第14條規定:“錄音制品制作者應享有專有權,以授權通過有線或無線的方式向公眾提供其錄音制品,使該錄音制品可為公眾中的成員在其個人選定的地點和時間獲得。”第15條規定:“對于將為商業目的發行的錄音制品直接或間接地用于廣播或者用于對公眾的任何傳播,表演者和錄音制品制作者應享有獲得一次性合理報酬的權利”。
一、企業信息網絡建設要求
盡管每個企業信息網絡都有其獨有的特性,但所有的企業信息網絡還是具有共同的基本要求:可靠性和可用性:企業信息網絡應當24小時全年可靠可用,故障發生時可以被迅速隔離,且故障的修復對于最終用戶應當透明;響應性:企業信息網絡應為各種業務應用和協議提供質量保證(QoS),并不影響桌面計算機的響應;高效性:企業信息網絡可以優化資源,尤其是帶寬的使用,減少額外數據流開銷,比如不必要的廣播、服務定位和路由更新,應當使數據吞吐率在不增加硬件成本或不添加廣域網服務的前提下得到提高;可適應性:一個適應性強的企業信息網絡利用層次化、開放式的結構可以容納完全不同的協議、應用、硬件技術,從而實現不同業務程序的運行;可訪問性和安全性:一個可訪問的企業信息網絡允許通過多種方式連接,實現全業務接入,保持業務隨時可以訪問,同時網絡的策略還能維護網絡的完整性。
二、企業網絡建設的安全措施
1、信息系統的安全風險評估
隨著網絡的延伸,處理信息的種類增多,帶來的問題越來越多,也越來越厲害,使得人們不得不在籌劃信息系統的時候,為系統能正常健康的運營而建造一個安全保障系統。對現有的業務應用系統進行分析、識別、評估,制定防范措施是唯一可行的辦法。企業的網絡信息系統按照風險管理的思想,對可能存在的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。
2、樹立正確安全意識
企業在信息化發展的進程中,應意識到企業信息的安全問題與企業發展之間存在的關聯性。一旦企業的重要信息被竊取或外泄,企業機密被泄漏,對企業所造成的打擊是非常巨大的,同時也給競爭對手創造了有利的機會。因此樹立正確的安全意識對于企業是非常重要的這樣才能為后面的工作打下良好的基礎。
3、選擇安全性能高的防護軟件
雖然任何軟件都是有可以破解方法的,但是對于安全性能高的軟件而言,其破解的困難性也隨之增加,所以企業在選擇安全軟件時應盡量選擇安全性能高的,不要為節省企業開支而選擇性能差的防護軟件,如果出現問題其造成的損失價值會遠遠的大于軟件價格。
4、技術創新
要有效保證信息安全,其中之一就是要做好數據搶救措施,如加入數據恢復、數據備份、數據銷毀等信息安全防御措施。常用的數據恢復技術包括效率源DataCompass數據指南針、HDDoctor、DCK硬盤復制機等。
安全評估途徑:安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從多角度進行立體防護。要知道如何防護,就要清楚安全風險來源于何處,這就需要對網絡安全進行風險分析。網絡安全的風險分析,重點應該放在安全測試評估技術方面。它的戰略目標是:掌握網絡與信息系統安全測試及風險評估技術,建立完整的面向等級保護的測評流程及風險評估體系。
三、層次化設計企業信息網絡
1、網絡規模
對于企業信息網絡而言可劃分為:LAN(LocalAreaNetwork),微小型企業及工作組規模,一個房間到一棟建筑,由單個組織擁有和管理;CAN(CampusAreaNetwork),多個局域網的集合,由坐落在固定區域內的一棟或多棟建筑物組成,也是由單個組織擁有和管理,或每一處由組織的一部分擁有和管理。
2、網絡功能
企業信息網絡的主要建設集中在OSI模型的2-4層,第二層交換在數據鏈路層進行,第三層交換在網絡層進行,訪問控制在二、三、四層實現,均可以使用軟件或硬件的方式實現,在復雜的網絡結構中,由于功能的硬件實現比軟件迅速,一般在此使用多層交換機、路由器。
3、網絡服務規劃設計
企業信息網絡的應用是由連接在一起的服務所組成的,且連接的方式能提供高效的通信流。其服務可分為3類:本地服務、遠程服務、企業服務,企業信息網絡應當有效容納這些服務,并有效規劃。本地服務,是同一個本地工作組可以訪問的網絡服務(例如:網絡打印服務、工作組文件共享等)。這些服務流量的特征是保持在同一個廣播域內,在第二層進行數據交換,不應出現在網絡主干之上,即不進行三層路由;遠程服務,用戶主動發起的,在其廣播域之外的服務,例如文件應用程序、遠程控制、IP電話、視頻會議、互聯網訪問等,這些服務會跨越廣播域,通信過程由第三層路由器轉發;企業服務,網絡內所有用戶都可以訪問(例如企業級中央存儲、企業級業務應用包,含ERP、PM、CRM、MIS、EMAIL以及內部網服務),這些服務一般都放置在接近網絡邏輯中心的地方,以允許所有用戶平等訪問。依據企業服務的規模,這些服務可能在同一個廣播域分組,也可能不分組。
4、網絡拓撲
解決任何系統設計的第一種方法是確定系統的主要模塊。為了滿足企業信息網絡設計需求,數據報文服務和用戶連接在一起,從而為用戶優化帶寬,確保可靠性和公正性。可以使用三層網絡設計體系,模塊化設計各層網絡拓撲結構。接入層(訪問層):接入層模塊處理用戶對網絡的訪問。通常,接入層由第二層交換機組成,雖然集線器也能代替交換機共享以太網段的帶寬。在接入層使用交換式還是共享式第二層網絡取決于用戶的需求和開銷。虛擬局域網(VLAN)可以配置成把用戶按功能分組而不是按地理位置分組。在外層,接入層在用戶和企業信息網絡之間提供高密度的端口和廉價的訪問,也能夠通過廣域網技術,例如ADSL、ISDN、DDN等,讓遠程場點訪問網絡;集散層(分發層):集散層是核心和接入層的邊界。從邏輯角度上說,集散層的主要作用是把工作組中的用戶聚合在一起,用來提供廣播域之間的鏈接、VLAN間的路由選擇及安全性。一般處理企業信息網絡的第三層路由功能,主要實施措施有以下幾項:路由協議的部署、訪問策略的設置、為進入核心層的數據提供過濾功能、提供多種網絡類型的數據接入轉換以及防火墻的部署;核心層:核心層和集散層模塊一般綁定在一起,作為網絡的主干存在。在這一層不會設置任何策略及路由選擇。核心層最大的設計需求是獲得盡可能快的轉發速度和鏈路冗余保障可靠性。
四、部門級交換式以太網建設
對于部門、小型公司的所需網絡技術確定將要連接的設備數,通常要保證解決方案允許一定程度的增長。確定將要連接的設備數,部署交換設備,讓所有用戶與之相連,這樣構成的網絡就能滿足要求。由于設備的數量少,以及交換機的使用,沖突和廣播流量不予考慮;將來它可能投資購買本地文件服務器提供存儲和備份,并對遠程連接有實際需求,那么在網絡增長時,只需要將添購的設備連入交換機,并在交換機上外聯一部小型路由器,使之通過配置廣域網接口,利用廣域網與遠端連接,并建立一條廣域網冗余鏈路,配置為熱備份路由。由于外聯網絡的單一性,在客戶端指定路由器為默認網關,在交換塊邊界路由設置,即可實現接入層與集散層的結構設計,擴展簡便。
企業VLAN、VLAN間路由:VLAN將物理上的設備組和用戶組通過邏輯的方式重新劃分,為控制和減少網絡管理開支提供有效的方法,并控制廣播活動,支持工作組和網絡的安全性;增加、移動或改變用戶的位置。公司重組和人員流動帶來的新的終端地址和集線器以及路由器的重新配置,成為網絡管理中最大開銷之一。VLAN用戶位置的改變只簡單將用戶的終端插接到相應VLAN端口并簡單配置即可,路由器配制不做任何修改;控制廣播活動,通過應用及廣播的數量確定VLAN的數目,使受廣播活動影響的用戶減少,通過VLAN將防火墻技術從路由器擴展到交換,大大減少廣播流量,為用戶流量釋放帶寬,彌補網絡易受廣播風暴影響的弱點;VLAN將網絡劃分為多個廣播域是提高安全性的一個經濟實惠和便于管理的技術,它可以限制VLAN網絡用戶的數目,拒絕用戶在VLAN應用認證之前的連接,以及可以將空閑的端口配置到默認的低層服務的VLAN。在企業信息網絡中可以通過路由器低成本實現VLAN間的通信,高效實現則可利用交換機路由模塊進行交換。
關鍵詞:企業網絡; 信息網絡; 網絡設計; 網絡建設; 網絡安全
中圖分類號:TP303 文獻標識碼:A 文章編號:16727800(2013)009000103
作者簡介:洪光華(1983-),男,江西省煙草公司上饒市公司高級工程師、網絡規劃設計師,研究方向為物流自動化、信息管理、網絡規劃設計。
0引言
企業信息網絡為員工提供快速交換訪問、企業資源計劃(ERP)、客戶資源管理(CRM)、項目管理(PM)、辦公協同(IOA)、電子郵件、互聯網訪問、遠程接入VPN、視頻會議、IP電話等,能提高生產效率,降低生產成本。企業信息網絡是一個復雜的環境,牽涉到多種介質、多種協議,并且還能與某組織中心辦公室外部的網絡互聯。設計精良并仔細安裝的網絡能減少隨著網絡環境的發展帶來的問題,包括速率升級、設備更換、網絡冗余防范、訪問控制的設計-實施-變更,保障網絡連續運行。正確設計和維護網絡對企業正常運作非常重要。一個設計和維護水平都較差的網絡,會在與對手的競爭中面臨許多危險。
1企業信息網絡基本特點
設計一個復雜系統最困難的地方就是決定從哪里開始,也就是對于最基本的企業信息網絡而言所應該有的最基本的立足點和設計原則:①快速收斂,網絡必須在最短的時間內找到源和目的之間的可用路徑;②確定的路徑,分組報文在網絡中經過的路徑在某種程度上應該是靜止的。如果網絡中的路由經常發生變化,那么用戶通過網絡使用應用程序和服務時就難以穩定;③確定的錯誤恢復,當鏈接或設備失效,應當存在已知的錯誤恢復備份,這有助于排除疑難問題。更重要的是,在網絡出錯的情況下,能創造一個穩定的環境;④規模和吞吐量具有擴展性,當網絡需要的服務和信息逐漸增長時,網絡會越來越大,需要更大的容量。網絡應該有足夠的設計,以便允許網絡中設備數目和設備連接鏈路容量的增長;⑤集中存儲,企業信息網絡必須能支持公共的文件和應用程序存儲區域。即提供一種環境,在這種環境下能以更低的代價支持這些服務;⑥更高效的信息傳輸,按照流量的二八原則,在當前,與早期的網絡相比,傳輸模式明顯不同,如今的網絡設計必須基于如下假設,即20%的流量在局域網絡內部進行,剩下的80%到達局域網絡外的主機;⑦具有異種網絡兼容性,支持多種協議。企業信息網絡(EIN)必須支持多種不同類型的網絡協議,比如:IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等,雖然當前網絡主要為純IP網絡,但不能排除某些傳統應用程序和主機需要其他類型的網絡協議,并且在純IP網絡中,網絡也必須支持高層協議;⑧組播支持,現有的網絡必須支持組播。組播是一種能使用戶以更有效的方式進行傳輸和接收網絡視頻信息的機制。
在單個網絡中把所有必須的功能都集成以滿足需求是十分困難的,而通過拓撲層以及構建塊等將網絡功能組件化,可以對網絡功能進行修改重組,進而滿足特定的網絡設計要求。
2企業信息網絡建設要求
盡管每個企業信息網絡都有其獨有的特性,但所有的企業信息網絡還是具有共同的基本要求:①可靠性和可用性:企業信息網絡應當24小時全年可靠可用,故障發生時可以被迅速隔離,且故障的修復對于最終用戶應當透明;②響應性:企業信息網絡應為各種業務應用和協議提供質量保證(QoS),并不影響桌面計算機的響應;③高效性:企業信息網絡可以優化資源,尤其是帶寬的使用,減少額外數據流開銷,比如不必要的廣播、服務定位和路由更新,應當使數據吞吐率在不增加硬件成本或不添加廣域網服務的前提下得到提高;④可適應性:一個適應性強的企業信息網絡利用層次化、開放式的結構可以容納完全不同的協議、應用、硬件技術,從而實現不同業務程序的運行;⑤可訪問性和安全性:一個可訪問的企業信息網絡允許通過多種方式連接,實現全業務接入,保持業務隨時可以訪問,同時網絡的策略還能維護網絡的完整性。
3層次化設計企業信息網絡
通過劃分層次,可以將復雜的問題分解,是企業信息網絡設計中基本的設計思想。可以分別從網絡的結構方式對網絡規模、網絡功能、網絡拓撲、網絡構建塊、網絡地址劃分層次。
(1)網絡規模。對于企業信息網絡而言可劃分為:LAN(Local Area Network),微小型企業及工作組規模,一個房間到一棟建筑,由單個組織擁有和管理;CAN(Campus Area Network),多個局域網的集合,由坐落在固定區域內的一棟或多棟建筑物組成,也是由單個組織擁有和管理,或每一處由組織的一部分擁有和管理。
(2)網絡功能。企業信息網絡的主要建設集中在OSI模型的2~4層,第二層交換在數據鏈路層進行,第三層交換在網絡層進行,訪問控制在二、三、四層實現,均可以使用軟件或硬件的方式實現,在復雜的網絡結構中,由于功能的硬件實現比軟件迅速,一般在此使用多層交換機、路由器。
(3)網絡流量的規劃設計。網絡通常與用戶數和個人需求同步增長。這意味著用戶的網絡設計必須能夠處理連接數目的增長,也能處理網絡內部鏈路帶寬。①利用橋接避免沖突,一般通過網橋/交換機提供端到端的雙向帶寬獨占的通信模式;②對廣播域進行分割,實現方式為劃分VLAN或使用三層交換機、路由器。一個好的原則是一個廣播域內不應超過240臺設備,避免廣播風暴;③流量可管理,企業信息網絡應當使流量處于可管理的狀態,使用純交換技術,并對網絡進行邏輯地址的劃分,減少廣播流量,制定流量的策略規劃。
(4)網絡服務規劃設計。企業信息網絡的應用是由連接在一起的服務所組成的,且連接的方式能提供高效的通信流。其服務可分為3類:本地服務、遠程服務、企業服務,企業信息網絡應當有效容納這些服務,并有效規劃。①本地服務,是同一個本地工作組可以訪問的網絡服務(例如:網絡打印服務、工作組文件共享等)。這些服務流量的特征是保持在同一個廣播域內,在第二層進行數據交換,不應出現在網絡主干之上,即不進行三層路由;②遠程服務,用戶主動發起的,在其廣播域之外的服務,例如文件應用程序、遠程控制、IP電話、視頻會議、互聯網訪問等,這些服務會跨越廣播域,通信過程由第三層路由器轉發;③企業服務,網絡內所有用戶都可以訪問(例如企業級中央存儲、企業級業務應用包,含ERP、PM、CRM、MIS、EMAIL以及內部網服務),這些服務一般都放置在接近網絡邏輯中心的地方,以允許所有用戶平等訪問。依據企業服務的規模,這些服務可能在同一個廣播域分組,也可能不分組。
(5)網絡拓撲。解決任何系統設計的第一種方法是確定系統的主要模塊。為了滿足企業信息網絡設計需求,數據報文服務和用戶連接在一起,從而為用戶優化帶寬,確保可靠性和公正性。可以使用三層網絡設計體系,模塊化設計各層網絡拓撲結構。①接入層(訪問層):接入層模塊處理用戶對網絡的訪問。通常,接入層由第二層交換機組成,雖然集線器也能代替交換機共享以太網段的帶寬。在接入層使用交換式還是共享式第二層網絡取決于用戶的需求和開銷。虛擬局域網(VLAN)可以配置成把用戶按功能分組而不是按地理位置分組。在外層,接入層在用戶和企業信息網絡之間提供高密度的端口和廉價的訪問,也能夠通過廣域網技術,例如ADSL、ISDN、DDN等,讓遠程場點訪問網絡;②集散層(分發層):集散層是核心和接入層的邊界。從邏輯角度上說,集散層的主要作用是把工作組中的用戶聚合在一起,用來提供廣播域之間的鏈接、VLAN間的路由選擇及安全性。一般處理企業信息網絡的第三層路由功能,主要實施措施有以下幾項:路由協議的部署、訪問策略的設置、為進入核心層的數據提供過濾功能、提供多種網絡類型的數據接入轉換以及防火墻的部署;③核心層:核心層和集散層模塊一般綁定在一起,作為網絡的主干存在。在這一層不會設置任何策略及路由選擇。核心層最大的設計需求是獲得盡可能快的轉發速度和鏈路冗余保障可靠性。
(6)按分割網絡構建模塊:按照設備群和拓撲結構,在層次化企業信息網絡實施過程中需要進一步把網絡分割成網絡構建塊(交換塊、核心塊)。
交換塊:由一組具有二層和三層功能的交換機組(一組連接訪問設備的分發設備)作為交換塊,其可以跨越接入層和集散層。
核心塊:作為整個網絡的集合點用來連接多個交換塊,具有足夠的處理能力和帶寬處理主干上的大量通信流,盡可能提高速度和減小延遲,通過核心層設備進行橋接,使轉發速率得到最大化,把路由選擇留給集散層。
(7)科學合理規劃網絡地址分配方案。企業信息網絡需要一種能夠易于擴展的編址方案,以適用于網絡的擴展需求。通過對可擴展型網絡編址系統的認真計劃和部署,可以避免在為企業添加新節點和新的網絡時,現存的地址可能需要被重新分配,膨脹的路由表使路由器陷入困境。網絡地址規劃時可以適時考慮結合子網劃分可變長度子網掩碼(VLSM)、路由歸納、網絡地址轉換(NAT)、無編號IP地址、動態主機分配協議(DHCP)。
4部門級交換式以太網建設
對于部門、小型公司的所需網絡技術確定將要連接的設備數,通常要保證解決方案允許一定程度的增長。①確定將要連接的設備數,部署交換設備,讓所有用戶與之相連,這樣構成的網絡就能滿足要求。由于設備的數量少,以及交換機的使用,沖突和廣播流量不予考慮;②將來它可能投資購買本地文件服務器提供存儲和備份,并對遠程連接有實際需求,那么在網絡增長時,只需要將添購的設備連入交換機,并在交換機上外聯一部小型路由器,使之通過配置廣域網接口,利用廣域網與遠端連接,并建立一條廣域網冗余鏈路,配置為熱備份路由。由于外聯網絡的單一性,在客戶端指定路由器為默認網關,在交換塊邊界路由設置,即可實現接入層與集散層的結構設計,擴展簡便。
企業VLAN、VLAN間路由:
(1)VLAN將物理上的設備組和用戶組通過邏輯的方式重新劃分,為控制和減少網絡管理開支提供有效的方法,并控制廣播活動,支持工作組和網絡的安全性。
(2)增加、移動或改變用戶的位置。公司重組和人員流動帶來的新的終端地址和集線器以及路由器的重新配置,成為網絡管理中最大開銷之一。VLAN用戶位置的改變只簡單將用戶的終端插接到相應VLAN端口并簡單配置即可,路由器配制不做任何修改。
(3)控制廣播活動,通過應用及廣播的數量確定VLAN的數目,使受廣播活動影響的用戶減少,通過VLAN將防火墻技術從路由器擴展到交換,大大減少廣播流量,為用戶流量釋放帶寬,彌補網絡易受廣播風暴影響的弱點。
(4)VLAN將網絡劃分為多個廣播域是提高安全性的一個經濟實惠和便于管理的技術,它可以限制VLAN網絡用戶的數目,拒絕用戶在VLAN應用認證之前的連接,以及可以將空閑的端口配置到默認的低層服務的VLAN。
在企業信息網絡中可以通過路由器低成本實現VLAN間的通信,高效實現則可利用交換機路由模塊進行交換。
5業務擴展:WAN接入的設計、企業路由
隨著使用IP協議和Web的應用軟件不斷增長,在企業信息網絡中必須處理復雜的廣域網,而廣域網有復雜的環境,包括多種介質、多種協議以及其他網絡的互聯,通信發生在不同地域之間,信息傳遞需經過一條或多條廣域網鏈路,特點是相對較低的通信流量、高延遲和高差錯率,由于租用性質,廣域網的設計需要將帶寬的花費和效率優化處理。利用廣域網技術和路由器連接多個企業事業部網絡以支持新的業務開展,應當著重于通信流量的最佳化、提供多條冗余的路由、災難恢復需要的后備撥號業務。
在企業使用的事務中,利用廣域網的流量包含:語音、傳真、事務數據(SNA)、客戶機/服務器數據、信息傳遞、文件傳輸、批量數據、網絡管理、視頻會議。通過收集需求,確定應使用的廣域網線路。
路由部署:企業信息網絡拓撲結構主要為星型結構,在接入層與集散層間是平面的物理結構,冗余一般以二層交換VTP為主,鏈路狀態穩定,帶寬等資源基本相當,可以在內部信息網絡中使用靜態路由以及開銷小的路由,進行手工指定或簡單配置。
在網絡的外部接口進行路由配置的時候,可以依據距離矢量或鏈路狀態決定使用何種協議,并依照外部接口的數量進行負載均衡與熱備份,外部接口在規模較大,結構復雜的情況下可以使用OSPF協議,一般可使用IGRP協議,進行路由熱備份時應在其先配置按需撥號。
6網絡安全:防火墻和ACL應用
在企業信息網絡中,應盡可能保證業務數據的流通和優先性,必須設法拒絕不希望的訪問連接,同時保障允許的訪問連接正常、響應迅速、穩定,而通過設置密碼、回叫信號設備以及硬件保密裝置可以幫助做到這些,但這些缺乏基本的通信流量過濾的靈活性和特定的控制手段。在信息網絡管理中,需要作出的策略往往是對用戶、服務、數據流向、前端應用和數據流量進行靈活控制。
(1)使用路由器阻止特定通信流量。路由器提供基本的通信流量過濾能力,可將其作為安全解決方案的一部分,通過訪問控制列表(Access Control List,ACL)實現企業信息網絡基本安全需求。
ACL是一系列允許和拒絕陳述句的集合,通過條件篩選和邏輯判斷,對數據包的協議或上層協議(網絡層以上)進行控制。這些指令列表由類似于源地址、目的地址、端口號等特定指示條件決定路由器接收或拒絕數據包。
通過ACL部署,可以做到:限制網絡流量,提高網絡性能,提供對特定類型數據的優先級;提供對通信流量的控制手段,限定或簡化路由更新、限制某網段;提供網絡訪問的基本安全手段,基于篩選條件的安全認證;在路由接口處決定通信流量類型的過濾、篩選。
(2)部署企業防火墻,進一步保障企業信息安全。網絡邊界可部署多功能防火墻,實現高層協議應用的控制、過濾和攻擊防范。專業防火墻能夠在ACL列表過濾的基礎上更精準地對網絡用戶和桌面計算機進行數據流量、數據安全控制。
通過路由和NAT功能提供可控的互聯網訪問、映射企業內部服務器;開放特定服務器特定端口;對內網用戶訪問過程進行惡意代碼檢測,也可對用戶收發的郵件中存在的病毒進行過濾。
通過IPSEC VPN功能,能夠實現分部的安全互連,作為專線鏈路的補充和備份,防止專線鏈路故障導致異地部門的業務應用無法進行的情況發生。
通過上網行為管理功能改善網絡使用規范。對URL分類過濾,規范內網用戶網頁訪問行為。行為審計功能,則記錄內網用戶訪問的網頁地址、BBS發表的言論內容、收發的郵件內容及其他上網行為。通過應用控制功能,保證用戶的網絡應用同實際業務的相關性,確保工作效率。
關鍵詞:檢察院 信息網絡系統 安全 措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2016)11-0203-01
1 安全需求
檢察院信息網絡系統在整個檢察業務運行當中,其所涉及到的各種限制范圍和敏感信息及所處理的各種信息,需要擁有統一而又全面的實施方案、安全涉及及安全策略。信息網絡安全系統主要包含如下建設需求:(1)物理安全。機房環境與相關規范與標準相符。所使用的器材及設備的安全性指標,均需要與相關產品標準所規定或要求的安全性相符,需經過國家或行業內授權的認證機構認證合格或檢測結構檢測合格;所使用系統或設備的任何部分,均需具有足夠強度,防止對人員可能造成的傷害;所使用設備不能對人體健康有害;需采取防觸電的相應保護舉措。(2)網絡安全。劃分可靠的安全子網與安全域,基于檢察院范疇內建設信任域,以此為檢察院信息化系統的正常運行提供值得信任的網絡環境;集成整合多種設備與技術,如病毒防治、安全審計、入侵檢測及防火墻等,構建全面、綜合化的網絡安全防護系統。(3)系統安全。建立安全運行的應用支撐軟件系統平臺及計算機系統平臺,為實際應用提供可靠而又安全的服務。
2 檢察院信息網絡系統安全威脅
核心業務集中處理平臺所存在的安全威脅有如下幾點:(1)系統不可用威脅。系統發生軟硬件故障,便會導致數據丟失或服務不可用;諸如火災及戰爭等來自人類社會的物理破壞;另外,還有地震及雷電等自然災害的物理破壞。(2)應用威脅。檢察業務信息不僅種類多,應用復雜,信息量大以及存有級別差異,這些信息對于不同用戶,在安全要求的程度上存在不同;內部人員越權訪問機密信息、有意犯罪或對數據進行惡意篡改等。(3)系統威脅。應用平臺與操作系統的安全性問題,現今所流行的諸多操作系統,均存在不同程度的安全漏洞。(4)網絡威脅。內外部非法攻擊應用服務及網絡基礎設施,導致系統或網絡服務不可用,數據被惡意篡改及信息遭泄露等。(5)物理威脅。設備是否與相關規范相符,機房環境與規范是否相符等。
3 安全保護技術對策
3.1 物理安全措施
針對實施數據備份及系統備份介質,實施異地的保密放置;建設高安全度的計算機機房,為信息系統設備安全提供保障。針對計算機房等設備環境當中,需運用與安全規范相符的設計與材料。采用計算機設備及網絡設備時,需運用通過安全認證的設備,在選擇操作系統時,需將其安全認證級別考慮在內,異地保密放置數據備份及系統備份介質。
3.2 網絡安全措施
網絡設備安全乃是整個網絡安全的核心,包含有光纖等傳輸設備、防火墻、交換機、服務器、光纖收發器及路由器等,因此,在核心交換機上,需部署入侵檢測系統,用于檢測和發現入侵行為和非法操作。在配置路由器設備時,需采取如下安全對策,即對SNMP/TELNET安全使用,對流量有限進入網絡施加有效控制,對ICMP消息類型有限使用,限制邏輯訪問,禁止使用不必要服務,運用身份驗證功能,強化口令安全及對系統物理訪問進行限制等。
3.3 網絡邊界安全措施
要想對網絡邊界提供保障,首先要做的便是對網段進行合理劃分,運用網絡中間設備所持有的安全機制,對各網絡之間的訪問進行控制。運用VLAN、防火墻及物理隔離措施等,隔離各個安全域,且控制訪問。由于檢察院專線網屬于信息系統,各級院互聯采用了加密機-防火墻模式,最大程度的保障了專網信息應用安全,同時專線網包括多個業務功能子網,這些子網彼此間通過安全域的劃分、防火墻設置和訪問控制來實現安全隔離。基于視頻會議、和審訊監控對于保密、時延及寬帶的較高要求,可將其在加密機之內、防火墻之外進行連接。
3.4 系統安全措施
系統安全包含兩種,即數據庫安全及操作系統安全。比如在安全設置Unix操作系統時,可通過下列設置實現系統安全性的增強。(1)對賬號口令嚴密保護,避免出現口令外泄狀況,特別是超級用戶相應“root”口令。盡可能復雜的設置口令,建議以字母、數字及符號相結合方式設置,定期對密碼進行更換。(2)就用戶對于目錄及文件的訪問使用權限進行嚴格設置,對文件擁有權限及許可權施加控制。(3)對系統狀態及安全日志進行定期檢查,便于盡早發現系統可能遭受的外界非法入侵行為,為管理員開展對應安全措施提供依據。
4 結語
總而言之,通過對檢察院現實存在的安全需求進行深入剖析,找尋所存在的安全威脅,然后采取有效應對措施,乃是實現檢察院網絡系統安全的基礎所在,以技術層次改善檢察院網絡架構,有利于檢察院系統整體安全。
參考文獻
關鍵字 縣級供電企業;信息網絡安全;剖析
【中圖分類號】TN915.08文獻標識碼:B文章編號:1673-8500(2013)01-0022-01
縣級供電企業信息化建設雖然起步不晚,但由于電網規模的不同導致各地信息化建設層次不齊,隨著電力廣域網的接入,信息網絡的安全問題,成為各縣級供電企業目前面臨的同樣難題,健壯的網絡是實現網絡安全和業務正常的基礎,只有基礎層面的網絡設備的穩定性、安全性得到了保障,網絡的穩定性的實現才成為可能,現以縣級供電公司信息網絡建設的情況,對網絡安全情況進行分析。
1網絡建設現狀
近年來,縣級供電企信息化建設如火如荼,如今硬件環境已經可以滿足在信息網絡上運行各種系統等應用,實現千兆骨干,百兆到桌面。按照部門、職能、安全重要程度分為許多子網,包括:營銷子網、財務子網,辦公子網、生產子網、服務器子網等,在核心交換機上為不同子網劃分不同的虛擬局域網(vlan)。不同子網分屬不同廣播域。在應用上,提供文件共享訪問,辦公自動化、電子郵件等。
2存在問題
隨著信息化程度的提高,信息網絡的規模不斷擴大,網絡結構需要進行不斷的調整,但在設備安全加固,數據備份、網絡安全管理、操作人員安全意識等方面存在一定問題,造成管理吃力,給網絡安全埋伏了不利因素,成為急需解決的問題。
3解決辦法
3.1制定制度,落實責任。信息網絡安全離不開嚴格的制度和明確的責任分工,為提高網絡信息系統整體安全防護能力,強化公司內部信息安全,成立信息安全組織機構,組織機構分為領導小組和工作小組建立切實可行的應急預案和災難恢復預案,有效預防和正確、快速應對網絡及信息安全突發事件,最大限度地減少影響和損失,確保網絡系統安全、穩定運行。
為確保計算機網絡安全、實行了網絡專管員制度、計算機安全保密制度、網站安全管理制度、網絡信息安全突發事件應急預案等以有效提高管理員的工作效率。同時我公司結合自身情況制定計算機系統安全自查工作制度,做到四個確保:一是系統管理員于每周五定期檢查中心計算機系統,確保無隱患問題;二是制作安全檢查工作記錄,確保工作落實;三是實行領導定期詢問制度,由系統管理員匯報計算機使用情況,確保情況隨時掌握;四是定期組織全公司人員學習有關網絡知識,提高計算機使用水平,確保預防。
3.2網絡系統安全管理。
3.2.1網絡設備。因地理條件和資金限制,一些縣級供電企業網絡多為星形結構,超過半數的網絡結點不能形成環網,網絡運行極不穩定,這是目前縣公司一些應用推廣的阻礙。對于這種情況,如果資金較少,可以考慮根據地理條件在網內建設小型的環網,盡可能多的將結點環起來。
一些公司核心交換機、防火墻都是單機運行,無備用設備,一旦核心出現故障將會造成公司網絡全部癱瘓,與上級公司無法連通,因此增加一臺核心交換機和一臺防火墻,和設備通過跳線相連,實現雙機冗余,互為備用。
3.2.2終端管理。按照國家電網公司要求和省、市公司統一部署安排,信息內網所有計算機統一注冊使用桌面安全管理系統,統一安裝省公司部署的殺毒軟件,每臺終端設備都進行實名注冊,進行IP+MAC+交換機端口多重綁定,嚴格控制移動存儲設備的接入,確保非法設備無法接入內網,信息內外網實行雙網雙機,內外網之間完全物理分開,內網計算機不得任何方式接入外網,在信息外網出口安裝IPS入侵防御設備,可以實時主動攔截各類黑客攻擊和惡意行為,保護信息網絡架構免受侵害,阻斷非授權用戶的使用,降低了不安全因素。
所有計算機在接入信息網絡以前必須對所有賬號進行處理,不得使用系統默認的用戶名,刪除不用的賬號,禁用來賓用戶,所有賬號必須設置字母+數字+特殊符號長度在8位以上的密碼,并定期更換。
3.2.3分區分域、等級防護。對公司的信息系統分成生產控制大區和管理信息大區,并對所有的業務系統進行等級劃分,實現不同安全域之間的獨立化和差異化的防護。其中生產控制大區又可以分為控制區和非控制區,調度數據網絡作為專用的數據網絡,劃分為安全區I,它使用不同的網段單獨組網,它與安全區II之間采用國家指定部門檢測認定的電力專用正向單向隔離裝置。WEB服務與管理信息大區之間分別安裝硬件防火墻,并嚴格控制相互之間訪問。
3.3數據備份。對數據備份設立了專人管理,負責數據備份系統的日常管理,針對系統情況和備份內容,分別采用了完全備份、增量備份、差分備份和按需備份,關鍵數據實現了異地備份。備份內容涵蓋了生產、營銷、管理等所有關鍵業務。
3.4UPS電源。網絡設備在運行中最大的問題是電壓不穩,甚至停電。雖然信息機房報在的辦公大樓一般都接了雙電源,但仍會有不可預知的電源故障會導致局域網中交換機、路由器、服務器和數據存儲器等各類設備無法連續正常工作,因此UPS電源是機房中最重要的保障。在局域網的中心機房中,采用10-20kVA中等功率UPS集中供電的方式已被廣泛接受。為了有效提高系統可靠性,一般采用雙機熱備份或并聯供電。
3.5防雷系統。要定期測試機房在建設時已經建立了接地線,查看所有網絡設備、服務器、機柜都做到了良好的接地和電源電源零線接地。對機房設備也要安裝防雷設備,每臺交換機都應安裝機架式防雷插排和交換機防雷模塊,所有電源都更換防雷插座。
3.6人員培訓和管理。信息網絡的安全歸根結底還是要落實到操作人的頭上,操作人員安全意識和操作水平提高了,網絡安全管理就做到了事半功倍的效果,因此,需要在人員培訓方面特別重視,每周五下午進行一次信息安全知識培訓,小的從開關機講起,大到系統安全策略設置,從各方面進行全面指導。通過公司視頻會議系統組織觀看信息安全方面教育片和安全事例分析。并與各部室及員工簽訂信息安全責任書,確保責任落到實處。對所有職工發放信息網絡使用安全須知,提高員工對信息安全的認知和增強員工遵守信息安全各項規章制度的自覺性。
關鍵字:城鄉網絡設計建設
江蘇省電力公司在2001年實施了電力信息網改造工程,縣供電公司已和變電所實現了聯網。根據江蘇省電力公司電力營銷管理信息系統的推廣和應用要求,江蘇省電力公司選擇了十個縣供電公司,作為實施城鄉營銷一體化營銷信息系統工作的試點。如東縣供電公司是試點中最大的一個縣供電公司,共有19個變電所,42個鄉供電所。省電力公司要求我公司的鄉供電所采用統一的電力營銷管理信息系統,同時各鄉供電所配備行政電話進行業務和工作上的聯系。下面就該系統網絡方案的設計建設作個簡述,以供參考。
1網絡方案的背景和需求
在先期的電力信息網建設中,如東縣供電公司采用的是SDH組網方式,在變電所采用SDH設備組成主干155M的環網,在公司本部和信息中心千兆主干網相連,接入江蘇電力廣域網。營銷信息系統是江蘇省電力公司縣級電力信息網的組成部分。本方案將綜合考慮這些已有的網絡拓撲,充分利用電力信息網絡提供信道和光纖。考慮到農村供電所和如東縣供電公司的數據和語音通信,農村供電所的數據通信必須采用以太網技術,至少提供15個以上10/10MbpsRJ-45交換接口;語音通信每個供電所必須提供4門分機電話。在縣供電公司農網工程中各鄉供電所網絡接入的基礎上,構建一個可行、可靠、穩定、平安的綜合信息平臺,以便準確、快捷地進行數據和語音的業務應用。
2網絡方案的設計和建設
網絡整體方案采用以太網交換機組網,各供電所從最近的變電所通過光纖接入電力信息網,變電所到供電所之間,由變電所提供一個E1口。利用該端口通過光纖實現和供電所聯網,每個供電所都對應有一條通向如東縣供電公司的E1電路。從而在縣公司和基層供電所之間實現數據傳輸及IP電話和傳統PBX電話業務的互相通信。技術上,數據交換選擇以太網交換機綜合接入方案,網絡協議采用TCP/IP技術。為了便于管理,統一選擇Cisco網絡設備,營銷主交換采用Cisco3550,各鄉鎮供電所則選用Cisco2950交換機;語音接入采用VoIP技術,統一使用Cisco7910IP電話。
整個網絡分為兩大部分摘要:
第一部分為各供電所到電力信息網的接入部分。主要利用環網上各變電所同相鄰營業所之間的光纖,將供電所內的局域網同SDH設備的連接,包括各PC終端和電話。
每個供電所的PC終端和IP電話直接接入到Cisco2950交換機上,利用SDH上的E1端口,用一個E1到以太網橋將E1轉成以太網,利用以太網的單模光電轉換器將以太網的通道延伸到供電所,提供供電所的以太網端口接入。
第二部分為縣供電公司中心網絡的建設,主要是用電營銷數據中心的建設,以及城鄉供電所電話通訊網絡和電力系統內部電話網的連接,公司數據網絡中心提供對數據庫服務器和其它應用服務器的連接。在SDH組網方式下,只需要增加相應數量的E1到以太網的網橋就可以了,而由于SDH設備直接提供RJ-45接口,則不需要增加網橋就可以直接連接到Cisco3550上。
對于IP電話,由于以太網交換機和基礎通訊網(SDH,ATM,DWDM)構成了網絡IP電話的智能基礎架構,只要是能夠進行TCP/IP的網絡,我們就可以建立網絡IP電話系統,且IP電話網絡的結構可以是任意的,電話網絡的各個單元(桌面電話,Callmanager等)可以在網絡任何位置進行部署。
(1)營銷系統內的IP電話通訊摘要:
根據分配到的號碼段,我們可以為每一門桌面IP電話從該號碼端中分配不同的號碼,同樣我們也可以給一門電話分配多個電話號碼,不同電話之間的呼叫建立通過Callmanager來尋址實現,而呼叫一旦建立后,語音數據流就不必再經過Callmanager。
(2)IP電話和公司內線電話通訊摘要:
在縣供電公司端,配置一臺服務器用來作為IP電話的CallManager(交換機),配置一臺Cisco2650路由器用作IP電話和傳統的PBX電話程控系統互連。2650上配置有1個E1接口的卡,這樣PBX通過E1接到2650路由器上,同時進行一些軟件上的設置,在PBX交換機上添加一塊E1的接口板。
3設計建設和應用的幾點思索
3.1數據和語音網絡的集成
(1)解決了公司本部同城鄉營業所之間的通訊通道新問題,使得所有的城鄉營業所都獲得保證的帶寬(2Mbps),并且營業所獲得了同公司數據中心相連接的以太網通訊端口,建立了一個完整的從營業所到如東縣供電公司直接的數據網絡平臺。在以上的數據網絡平臺上建立語音網絡,即以網絡IP電話的方式來實現在數據網絡上實現完整的語音網絡,實現數據、語音網絡的統一。
(2)數據、語音綜合傳輸帶來的明顯優勢是成本下降摘要:①統一到計算機網絡技術上的多媒體應用無論設備費用或線路費用都相對便宜。②不需對現有布線系統作任何修改。對供電所的布線可采用一套系統。③不必在每個分支機構均配備PBX。④桌面IP電話終端的增加非常方便,只需將電話直接插入以太網交換機就可以,在Callmanager上不需要任何的設置該電話就可以獲得電話號碼,并開始工作。
(3)統一的網管平臺,可以利用現有的網絡管理平臺,集成數據語音網絡的管理。智能的網絡可以最大限度的發揮網絡設備的能力,現在網絡交換機均具有智能處理業務能力,能夠對不同的IP業務采用不同的優先處理方法,采用基于IP的數據語音網絡解決方案,可以充分的利用網絡交換機的這方面能力。
3.2虛擬網技術和IP地址的分配
公司有多種應用系統,所以網絡系統的設計應能在全網范圍內實現虛擬網的劃分,每個供電所分配16個IP地址,單獨網關組成一個虛網。由于每個工作站和每部IP電話均需要一個IP地址,對于IP地址的分配,我們使用DHCP動態分配IP地址,這樣能很好地保證網絡語音系統正常運行及應用系統的平安性、數據可靠性。
3.3網絡的一些不足之處
