发布时间:2023-10-09 17:42:40
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇互联网信息安全范例,将为您的写作提供有力的支持和灵感!
今天,我们常常会听到一些安全企业抱怨,卖硬件不挣钱了,参与者越来越多了,竞争越来越激烈了。下一步该如何是好?是不断压缩成本,还是继续扩充销售队伍?也许都不是。换一个思路,或许你能发现一片新的蓝海。
应用安全进入大众视野
“泄密门”事件发生后,信息安全问题已经不再只是被安全从业人员所关注,而是进入了更多普通民众的视野。实际上,随着物联网技术的逐步成熟,与RFID(射频识别)相关的应用正越来越多地渗透到普通人的生活中,如:市民公交卡、电卡、酒店门卡等。与此同时,也有越来越多与普通人生活密切相关的安全事件被曝光,如:公交卡被破解、手机被窃听等。
目前,黑客攻击已经呈现出向物联网应用领域发展的趋势,而要防范物联网领域的攻击,仅靠现有的安全手段还很难做到,这让广大民众感受到了更多的安全威胁。
民众的安全意识在一定程度上决定着安全市场的走向,并将给安全行业带来新的变化。有人说,国内很多安全项目是事件驱动型的,往往在发生某个安全事故后,相关领域的问题才会真正受到关注,由此带动安全细分领域的发展。最近发生的互联网企业“泄密门”事件可能会再次证实这一点。
东软集团股份有限公司网络安全营销中心副总经理曹鹏认为,2012年,安全产业将出现的一个趋势是,与应用相关的安全产品和解决方案,将会受到用户更多的重视,市场上将会推出更多针对应用的安全产品和解决方案。而在过去,用户更多只是将焦点放在安全设备的部署上,这也是诸多安全企业一直以出售设备为主要经营方向的一个主要原因。
SOC下一站:互联网信息监控
中图分类号:R197.1; TP393.0 文献标识码:C 文章编号:1006-1533(2017)09-0014-03
Privacy protection and information security of E-health*
MA Shishi1**, YU Guangjun2***, CUI Wenbin2(1. School of Public Health, Shanghai Jiao Tong University, Shanghai 200025, China; 2. Shanghai Children’s Hospital, Shanghai 200062, China)
ABSTRACT Health information security and privacy issues which are brought in by the rise of E-health can not be underestimated. The information security issues (such as privacy leak) of E-health possibly existed in the use of consulting services, telemedicine and mobile medical equipment were analyzed based on the characteristics of the internet and health information and the corresponding solutions were proposed, which are included in establishing the laws and regulations of the privacy information protection suitable to Chinese national conditions by learning from the practical experience of foreign health information protection, applying the advanced information technology and timely introducing a review system for technology application and implementing the standardized management to the relevant institutions so as to better protect the health information under the internet medical environment.
KEy WORDS E-health; privacy information; security information
互联网医疗是指以互联网为载体,以信息技术(包括通讯技术、云计算、物联网、大数据分析等)为支撑,开展在线健康教育、电子健康档案、医疗信息查询、电子处方和远程医疗等多种活动的一种新型健康和医疗信息服务的总称,其本质是将互联网及相关信息技术延伸至医疗服务这个大行业中来[1-2]。
互联网医疗的兴起在方便患者就诊、节省医疗成本、优化医疗模式、保证医疗安全、方便医学研究等方面发挥了重要作用。然而随着互联网医疗的推广,云技术、大数据分析的应用,患者医疗信息变得更集中、更易获得,在医疗数据采集、存储和应用过程中常发生数据泄露的问题。数据泄露会危及患者个人隐私,如某社区居民疾病登记管理系统的账号和密码泄露,就会暴露大量居民的敏感信息。近几年,孕、产妇个人信息泄露的新闻几乎不绝于耳,其带来的一系列推销、诈骗问题严重困扰信息当事人[3]。因此,很有必要对在互联网医疗环境下的咨询服务、远程医疗、移动医疗设备使用中可能存在的隐私泄露等信息安全性问题进行分析,从而有针对性地予以解决及预防。
1 互联网医疗中隐私信息保护面临的挑战
1.1 咨询服务中的泄露风险
在互联网医疗中,患者可在具有挂号功能的网页上进行预约挂号、医疗保健咨询,还可通过网络上的医疗社区向医生寻求建议以及与病友交流治疗信息,但存在患者相关隐私数据的安全性、保密性等问题。首先,患者要填写一系列个人信息注册,这样才能获取网站服务;其次,在进行医疗咨询或在患者社区分享就诊经验时,患者会有意无意地泄露一些碎片信息,虽然这些碎片信息单独看似毫无价值,但将之与患者提供的其他信息关联后却有可能识别其身份[4]。最重要的是,一些网站允许广告商或其他第三方获取用户信息,当患者浏览网站时点击了外部广告,广告商便能追踪这些患者,对患者进行定向广告推送。但互联网具有开放性,患者并不知道哪些人可以获取他们的哪些信息,也不知道那些信息被用于何处,甚至以上行为的发生都很难被患者觉察,而信息泄露时也无从申诉。
目前有S多互联网医疗机构,水平与资质参差不齐,工作人员同样层次复杂,而他们可从网络后台获取用户的大量健康信息[5],若发生隐私泄露问题,很难追踪根源来明确责任。少数从业人员受利益驱使,拷贝、贩卖健康信息,也造成了患者隐私泄露的问题。
1.2 远程医疗中的泄露风险
远程医疗是指远距离地对患者进行医学诊疗,其应用使得医疗服务突破了空间的限制,有利于优质医疗资源的配置,处于医疗资源不足区域以及身体行动不便的患者也可不再需要长途跋涉、劳心劳力地去医院就诊,在家就能通过网络得到专业的医疗服务。2014年8月国家卫计委印发的《关于推进医疗机构远程医疗服务的意见》中规定,远程医疗服务只能由医疗机构提供。国家发改委、卫计委还于2015年初联合印发了《关于同意在宁夏、云南等5省(区)开展远程医疗政策试点工作的通知》,要求试点省(区)落实远程医疗服务工作[6]。
然而,在远程医疗过程中同样存在隐私泄露风险。在远程诊疗过程中,患者的病理学诊断、影像学诊断等数据或图片都通过互联网传送,与医生的沟通也是采用视频通话方式,数据容易受到拦截、甚至篡改,视频也有可能被窃听。远程医疗结束后需进行医疗档案的记录,医疗信息电子化、档案化可提高医疗服务的效率,且方便在不同医疗机构之间传输或共享。传统的医疗机构通过将内部的电子病历系统与外部网络隔绝开来保障信息安全,互联网医疗则将医疗信息的共享范围拓展至整个互联网,而电子记录容易复制、共享、被第三方截获的特性便带来了信息安全的隐患[7]。
1.3 移动医疗设备使用中的泄露风险
互联网医疗催生了各种类型的移动医疗设备,主要包括健康管理类的可穿戴设备如手环、慢性病管理类的监测设备如家用血糖仪、适用于远程医疗的监控设备等,受到目标人群的欢迎。这些设备可持续性地采集、存储患者的数据,帮助患者进行健康管理,并向互联网医疗机构传输数据。同时,这些移动医疗设备具有汇总患者数据、创建患者的详细的合成档案的功能,还有将收集到的患者的大量数据聚合、关联、分析的功能,可从中挖掘出新的信息。此外,这些设备还有可能记录其他数据,如患者的位置信息等。这些数据对商业企业有很大的利用价值,如用于定向营销等,可为其带来巨大的商业利益,然而目前国内对此类设备的数据采集与利用并无相关规定。
对于家用远程设备,在信息访问、传输和存储时,由于用户的操作失误或有意为之,也会造成信息的泄露、篡改和丢失[8]。由于用户疏忽、错误地使用了不安全的上网设备(免费路由器等)而导致信息泄露的事例并不鲜见,2015年央视“3・15”晚会上就特别展示了信息诈骗犯罪如何利用免费路由器获取用户信息的例子[9]。因此,对移动医疗设备用户来说,要有个人信息保护的意识,否则将其他端口把控得再严也是徒劳的。
2 相关建议
当前,我国互联网医疗正处于发展初期,在保障医疗信息隐私与安全的前提下,应本着鼓励发展的原则,不可过分束缚。对互联网医疗实际运行中出现的问题,建议从立法、信息技术和管理三个维度来解决,使之能够健康发展。
2.1 加快制定健康信息保护的法律、法规,以适应互联网医疗发展的需求
目前,世界上有109个国家有专门的个人信息保护法[10],而我国尚无系统性的法律、法规来确保医疗信息安全,尤其是在涉及隐私保护方面。我国有关个人信息的保护规定虽多,但基本上是分散在效力层次不一的各种法律、法规甚至规范性文件中的,即目前法律对个人信息及隐私保护采用的主要是间接方式,且规定模糊、震慑力有限,不仅会使隐私信息泄露者肆无忌惮,而且在出现纠纷时也往往无法可依。
建议制定个人信息或医疗健康信息方面的专门法律,在规范远程医疗、移动设备健康信息收集与利用等方面适应互联网医疗发展的需求。同时,通过立法设立专门的部门对互联网医疗机构进行统筹管理,主要职能包括日常信息安全与隐私保护的监督、侵权事件的咨询和诉讼等,建立、健全层级管理机制,提高行政干预效率。
2.2 利用先进技术为患者医疗信息的存储与传输安全保驾护航
一些不法分子可能会利用各种技术手段侵入存储有健康信息的网站非法浏览、篡改、盗窃隐私信息,远程医疗也可能遭到黑客的拦截而导致数据泄露或失真。
建议建立互联网医疗服务的相关技术应用审查机制,并构建分级、分类审查制度,对信息技术的使用进行监管。互联网医疗中健康信息面临的安全威胁大多可以通过信息技术手段来解决,因此可引入国际上的先进技术,包括访问控制技术、匿名技术、加密技术、安全监控和审计技术等,同时鼓励创新与我国国情相适应的信息技术。
2.3 有效的管理是互联网医疗信息安全的重要屏障
各互联网医疗机构应以法律、法规和行业标准为最低要求,制定适合自身发展的管理规范及操作规章,并认真落实。以下三点需予强调:
1)加强从业人员的隐私保护意识培养和专业素养教育。互联网医疗信息工作人员能接触到大量健康信息,涉及用户的个人隐私,若他们信息安全意识缺乏,对信息安全威胁认识不足,就很可能导致健康信息泄露甚至丢失。因此,要提高隐私保护的效果,必须加强各类从业人员的隐私保护意识,强化自我约束能力,这样才能从根本上保证隐私信息能够得到妥善的使用和保护。
2)畅通患者知情同意权的行使渠道。互联网医疗产生的大数据具有很大的商业价值,信息利用者有义务告知信息主体他们将如何存储、使用或会与谁共享这些健康信息,且理论上应获得信息主体同意后方能实施,而在获得知情同意的过程中还需注意使用公众能够理解的语言。笔者建议借鉴美国的隐私保护电子化技术,该技术会将与隐私有关的决策自动传送给信息主体,信息主体可选择碎片化后分享信息。
3)平衡好信息开放与隐私保护的关系。互联互通和信息开放是大趋势。我们确实需要重点关注医疗信息的安全与隐私保护问题,但对隐私的保护也不能绝对化,不可过分限制信息流通。健康信息在医学研究和公共卫生管理方面都具有重要的用价值,其合理利用有利于促进和实现互联网医疗服务的健康、可持续发展。
参考文献
[1] 舒婷. “互联网+”时代的患者隐私保护[J]. 中国数字医学, 2016, 11(5): 41-43.
[2] World Health Organization. Atlas eHealth country profiles: based on the findings of the second global survey on eHealth (Global Observatory for eHealth Series, 1) [EB/OL]. [2017-01-05]. http://apps.who.int/iris/ bitstream/10665/44502/1/9789241564168_eng.pdf.
[3] 上千名孕妇信息被贩卖 数据安全难保障[J]. 中国医院院长, 2016(7): 17.
[4] 周思成, 翟悦. 电子医疗保健情境下的隐私保护[J]. 中国医学伦理学, 2016, 29(4): 681-684.
[5] 王安其, 郑雪倩. 我国互联网医疗运行现状――基于3家医院的调查分析[J]. 中国卫生政策研究, 2016, 9(1): 69-73.
[6] 孟群, 尹新, 董可男. 互联网医疗监管体系与相关机制研究[J]. 中国卫生信息管理杂志, 2016, 13(5): 441-447.
[7] Draper H, Sorell T. Telecare, remote monitoring and care [J]. Bioethics, 2013, 27(7): 365-372.
1.前言
2008年5月,新一轮电信重组公布,2009年发放三张3G牌照,支持形成三家拥有全国性网络资源、实力与规模相对接近、具有全业务经营能力和较强竞争力的市场竞争主体,电信资源配置进一步优化,竞争架构得到完善,将更利于中国电信市场形成公平和有效的市场竞争环境,中国通信产业政策的调整对IDC市场的发展和竞争格局带来深远影响。一方面,在电信运营商中引进竞争机制,这会促进行业资源整合优化、规模化发展;另一方面,重组比将提高IDC行业门槛,价格制胜的IDC业务模式无法继续。
当前,业务集中、数据集中、海量数据、管理复杂、连续性要求高等已成为数据中心建设的共有特点,随着各行业数据集中管理需求增加以及业务模式的不断变革。传统数据中心在能耗、效率、资源整合、绿色成长、快速响应、信息安全等方面临诸多挑战,通过科技创新进行业务整合,来构建下一代的数据中心已成为当务之急。在下一代数据中心中,将由包括新的芯片设计、虚拟化、网络和SOA等几项关键技术构成。
网络的使用已成为广大用户获取咨询的最佳最便捷的途径之一,而IDC (Internet Data Center)在互联网网络中的地位就如同交通骨干道的枢纽中心、信息中心、交换中心。随着网络应用的发展,IDC互联网数据中心信息安全问题也日益突出。
2.影响IDC互联网数据中心信息安全的的因素
2.1病毒感染
从“蠕虫”病毒产生开始,病毒一直是计算机系统安全最直接的威胁。常见的病毒有“熊猫烧香”、“冲击波”、“Happy99”、“灰鸽子”等。解决此类问题的方式,自有断网操作。立刻拔掉感染“宿主”服务器的网线,能管理服务器的管理员可以安装离线版本的杀毒软件杀毒,不能管理服务器的管理员要通过光盘引导操作系统到系统盘中去删除感染文件 (注意不要误删除正常启动文件)。还有一种方式,就是用一个正常的操作系统硬盘取代已经感染的系统硬盘启动。
2.2TCP/IP协议存在安全漏洞
目前Internet上广泛使用的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患。在发生类似攻击时,最常用的方式是:断网、更换被攻击服务器的IP地址,在被攻击服务器前架设防DDos防火墙(效果有限),在上层路由设备上进行ACL控制屏蔽掉虚假地址的链接、安装入侵检测设备。高性能的网络路由设备和高带宽至关重要,可以进行有效的流量控制,同时追查到攻击来源。优化系统性能,进行有效的安全设置,特别是N-SYN/ICMP的数据包过滤设置。最后就是要安装一个良好性能的DDos防火墙。DDos攻击不可避免,但可以通过以上措施尽量降低DDos攻击带来的损失。
2.3内部用户的攻击行为
管理服务器的管理员通常是比较熟悉网络的,但同时对网络新技术充满好奇勇于尝试。如果没有意识到后果的严重性,有些管理员会轻易去尝试使用最新的软件、应用或者设置,以至于自己去研究各种攻击技术,这些都对数据中心的网络造成一定的影响和破坏。
2.4管理员安全意识不强产生的后果
计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度,很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,或者将个人资料放到服务器上备份,从而造成信息的丢失或篡改。
2.5信息审核管理存在不安全隐患
互联网是一个公开的网络,所有信息一旦上网就不可避免会被人看到。因此对于信息的人、管理信息的人来说信息审核是必不可少的。往往有些网民因为各种原因将虚假的信息、不能公开的信息到网上(论坛、贴吧、交友社区),管理员又疏于管理,甚至不采用关键字过滤或者信息审核,就直接出去,导致非常严重的后果。
3.lDC互联网数据中心网络信息安全的主要防范措施
3.1安装防病毒软件和防火墙
在主机上安装防毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,既能查杀未知病毒,又可以对文件、邮件、内存、网页进行实时监控,发现异常情况及时处理。使用硬件防火墙可在IDC互联网数据中心与外界网络之间建立一道安全屏障,但有了防火墙也不是万能的。操作系统的漏洞、应用软件的缺陷、网页代码的不健全、以及人为信息的输入都是防火墙所不能完全防御的。
3.2定期扫描系统和软件漏洞
及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度,可在IDC互联网数据中心中部署一些自动更新服务器来提供客户端补丁自动。在安装补丁程序前一定要仔细阅读安装说明书,做好数据备份等预防工作,以免导致系统无法启动或破坏等情况。
3.3网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用了防火墙还远远不够。而网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墙等其他系统的不足,进一步完善整个网络安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络中建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
3.4加强管理人员的安全制度,强化网络安全意识
在计算机网络中,绝对的安全是不存在的。俗话说:“三分技术,七分管理” ,要不断地加强计算机信息网络的安全规范化管理力度,强化人员管理。制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具的技术,尽可能地把不安全的因素降到最低。
3.5做好重要数据的备份
在做好网络安全管理工作的同时,也应该考虑系统在不可避免的因素下出现的故障。必须定期做好重要设备和重要数据的备份工作,以便在出现故障时能即使进行硬件更换和软件恢复等措施。存储重要数据和运行重要软件的设备应有硬件备份。有必要要做好信息的实时备份或者安装防篡改应用,一旦发现备份数据被人修改,自动启动保护程序。
4.结束语
我国IDC行业发展态势良好,中国网民数、宽带网民数及国家顶级域名数(.CN)均跃居全球第一位,网络基础设施和基础资源得到快速发展,各种网络应用以及各类专业网络信息服务保持快速发展的态势,而且云计算等新技术开始运用,其安全问题也随之越来越严峻,做好IDC互联网数据中心信息安全工作是摆在广大信息安全工作者的重大课题。
参考文献;
互联网金融信息安全不仅面临着互联网自身存在的安全风险,还面临着金融业务新技术与新形势的挑战,后者也为互联网金融的发展提供了诸多发展障碍。1、互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度。由于互联网技术的不断创新与发展,为金融业务提供了全新的发展平台与端口,众多理财、保险类互联网金融业务乘着互联网技术的发展态势不断涌出,在相关的金融信息安全保障体系尚未建立与完善之际,这种互联网金融业务的发展无疑是一种如履薄冰的繁荣。网络病毒的侵袭使得这种互联网金融业务的安全运行成为了一种偶然,如果不能及时构建严密的金融信息安全保障体系,那么互联网金融的发展则会变成无稽之谈。2、层出不穷的互联技术应用是当前金融信息安全面临的最大挑战。由于第三方支付平台的出现以及大数据等新兴分析技术的兴起,打破了传统金融业务的运行机制,也为消费者的金融信息安全增添了更多威胁。互联技术应用已经成为互联网金融发展的重要支撑,因此必须为其制定出相应的安全管理策略,来保证其安全运行。3、网络安全防控是互联网金融信息安全防范的难点。互联网金融发展面临的另一重要安全隐患便是互联网自身存在的安全漏洞。互联网由于其自身的开放性和匿名性特点,为许多网上金融犯罪提供了便利,这也是互联网金融信息安全防范的重难点。要想依附互联网这一平台展开相关金融业务,必须在网络安全防控方面有所作为。
二、相关对策建议
1、完善顶层设计,尽快构建适应互联网金融发展需要的金融信息安全保障体系。互联网金融的安全平稳运行离不开相关保障体系的保驾护航,我国当前已经存在的金融信息安全保障体系主要是根据传统金融信息安全问题而建立的,这显然已经不适应当前发展得日新月异的互联网金融的信息安全需要。所以,国家必须做好相关顶层设计,在安全保障技术方面提供最严密、最尖端的技术支持,加快金融信息安全方面的人才建设,在对当前金融信息安全保障体系进行完善的前提下,时刻关注互联网金融业务的整体发展态势,以实现金融信息安全问题的有效预测与防范。2、加快安全网络体系建设,最大限度提升金融网络防御攻击的水平。作为互联网金融业务发展依附的主要平台,互联网有必要进一步减少自身存在的安全隐患,从而为金融网络的自身防御提供高安全系数的保障。互联网可基于大数据分析,对于不同的金融业务平台进行相关数据分析,为互联网金融业务所的平台进行信用评估,从而为消费者进行选择时提供相关参考性意见。3、加强对新生金融实体从事互联网金融业务的信息安全保障。新生金融实体开通互联网金融业务时,在很大程度上会存在信息安全保障不到位的现象,因此,国家需要对这些新生互联网金融业务进行相关审批,制定出相关的考核检验标准,考核检验新生互联网金融业务的整体发展实力以及相关安全保障体系的建设与投入,严格遵守为消费者负责的态度,为我国的互联网金融发展的大环境保驾护航。4、积极探索适合监管互联网金融的金融信息安全防范措施。由于我国互联网金融的发展处在发展初期,因此缺乏相关管理经验,所以,我国可以借助国外先进互联网金融信息安全管理经验,对我国的互联网金融信息安全保障体系建设提供相应的支持。还可以展开国际互联网金融信息安全管理合作,因为互联网金融是面向世界各国的业务,单纯依靠一个国家的力量无法对涉及国际金融信息安全的问题实现有效处理。
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
随着科技的高速发展、互联网的大力普及,越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所,成为了人们的一种职业手段,更成为了人们生活中不可或缺的一部分。在这种情况下,很多私人信息,包括个人及家庭基本信息、银行帐号信息等更加私密的信息,都需要通过互联网进行传输,在这种大背景之下,信息安全技术就显得尤为重要,而其在互联网中的运用也成为了人们不得不考虑的问题。
二、网络环境下信息安全技术简介
单从信息安全来看,其包括的层面是很大的。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全技术,从广义上来看,凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起,整个社会对网络的依赖越来越强,信息安全的重要性开始显现。
随着信息安全内涵的不断延伸,信息安全技术也得到了长足的发展,从最初对信息进行保密,发展到现在要保证信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。互联网环境下,信息安全技术可以主要概括为以下几个方面的内容:身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。
三、互联网中的信息安全技术
互联网是面向所有用户的,所有信息高度共享,所以信息安全技术在互联网中的应用就显得尤为重要。
(一)信息安全技术之于互联网的必要性
国际互联网十分发达,基本可以联通生活的方方面面,我国的互联网虽不如发达国家先进,但是同作为互联网,其所面临的安全问题都是一样的。网络信息安全有三个重要的目标:完整性、机密性和有效性,对于信息的保护,也便是从这三个方面进行展开,
(二)信息安全技术在互联网中的运用
美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息保障技术框架》[2],从空间维度,将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的,不同的网络系统有不同的安全策略,但是不论是何种网络形式,有三项信息安全技术是必须被运用的,它们是:身份认证技术、数据加密技术、防火墙技术。
1.身份认证技术
身份认证是网络安全的第一道防线,也是最重要的一道防线。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户和整个系统。所以,身份认证是授权控制的基础[3]。现实生活中,可以通过很多途径来进行身份的认证,就在这种情况下也有人伪造身份,而对于网络虚拟环境,身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有:密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式,也取得了一定的成效,对于信息安全的保障,起了很大的作用。
2.数据加密解密技术
数据加密技术是互联网中最基本的信息安全技术,因为众所周知,互联网的本质就是进行信息的共享,而有些信息是只对个人或者部分群体才可以共享的,另一方面,裸数据在网络中传播是很容易被窃取的,所以在信息发送端对数据进行加密,接收信息的时候进行解密,针对互联网信息传播的特点,是行之有效的信息安全技术。
3.防火墙技术
防火墙,很多人都很熟悉,它实质上是起到一个屏障的作用,正如其名,可以将有害信息挡在墙外,过滤到不利信息,阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种:一切未被禁止的就是允许的;一切未被允许的就是禁止的。这种过来是如何实现的?这就涉及实现防火墙的技术,主要有:数据包过滤、应用网关和服务等。对于互联网而言,一个有效的防火墙,可以帮助用户免除很多有害信息的干扰,也是信息安全技术对于互联网非常大的贡献。
除了使用一些安全技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络顺利、安全、可靠、有序的运行,也会起到十分重要的作用。
四、结束语
本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用,事实上随着科学技术的飞速发展,互联网的组织形式也在发生极大变化,网络信息安全技术在互联网上应用将会越来越多,但是笔者相信,本文所介绍的三个基本运用,会随着互联网的越来越透明化而得到更大的发展。
参考文献:
随着互联网和信息技术的发展,客户端成为了人们生活和学习的重要平台,大量的信息通过各种途径向某一节点汇集,生活和学习充斥着各种类型的信息,人们依靠对这些信息的筛选和处理,最终形成能够支撑相应决策的信息库。可以说,在信息化时代,信息就是金钱。但是,互联网的发展也并不是仅仅有利而无弊的,其中最大的风险就是信息的安全问题,涉及一些个人、企业乃至政府相应机关和部门的重要信息因为互联网而被泄露和篡改,造成不小的损失的案例不在少数,如何有效地控制那些影响信息安全的因素是我们研究和探讨的重点问题。本文就互联网+模式下信息安全面临的机遇与挑战进行相应的探讨,并对如何规避相应的风险和挑战提出自身的一些看法。
一、互联网+模式下信息安全工作面临的机遇
互联网的开放性和大容量性使得相关的主体能够在网络上实现信息的传递和分享,提升信息的价值,对于在互联网环境下我国信息安全工作所面临的一些有利的环境和因素主要表现在以下几方面:
(一)促进信息的有效沟通,提升社会发展效率
在快节奏的生活模式下,人们所从事的每件事情都讲求有效性,在保证目标达成的前提下力求以最少的资源投入和最大的效率产出。互联网尤其是移动互联网的普及顺应了这种“高效率—高产出”的社会发展的需求。大量的信息通过各自的通道向信息的需求点汇集,最终形成大量的相关的数据资源。而这些资源首先能够促使相关的决策的快速和准确地做出,促进主体对于机会的把握。
互联网模式下,各种移动客户端的推出使得原本分散的各种资源和信息能够通过一定的平台得以有效的整合和使用。比如,滴滴打车能够通过对于社会上的车辆通过一定的利益关系的架构来实现全面的整合,使得闲置的资源能够得到更多的利用机会,为社会创造更大的价值,满足社会的需求。
(二)丰富了市场发展
互联网环境下,人们的生活和工作需求都在不同程度地提升,对于各方面信息的需求也越来越大。在消费时,想货比三家;在决策时,想网罗所有信息;在学习时,想最短时间内学到最多最有用的内容。这就是快节奏生活下的信息需求。同时,互联网的发展和完善也使得获得尽可能多的信息成为了一种可能,通过简单的关键词搜索就可以找到成百上万条相关的信息。
在互联网+模式下,政府提倡大众创新,万众创业,所需要的不仅仅是有响亮的口号,需要的各方面的信息,而互联网的发展使得信息更多地能够以一定的相关性呈现出来,通过专业的搜索引擎可以轻松简单地搜集到相关的市场需求信息,从而提升产品的定位。
二、互联网+模式下信息安全工作面临的问题
互联网环境下,信息的存储和使用路径并不是完全安全的,多元化的需求和大量化的供给导致信息的变质和滥用,在信息的使用尤其是区分辨别方面的成本要高很多。具体来说,互联网+模式下,信息安全工作面临的挑战主要有以下几方面:
(一)信息冗杂
互联网的开放性决定了任何人只要能够实现联网状态就可以无时无刻获得自己想要的信息。而这些信息往往是以一定的顺序和格式存储在更大的数据库和服务器中,这也就决定了只要能够进入这些数据库和服务器中的人就可以随意发表信息和获取信息,这使得往往客观公正的信息因为一些人的曲解而变得更加多样化和复杂化,最终导致信息变质。
(二)信息存在泄漏风险
信息化条件下,互联网的安全等级也是在不断提升的,但是一些不法之徒为了其不可告人的想法通过各种非法的途径来窃取相关的信息,给信息的安全保护工作造成了很大的麻烦;同时也有些人为了扭曲事实或者误导别人,将所获取的信息通过歪曲性的篡改再传至互联网中,导致更多的人接受不良的信息,造成更大的损失。
(三)法律层面的不健全
互联网的发展促使社会得到了快速的发展,但是与之配套的制度层面的内容却没有得到及时地更新。虽然国家相关的部门在不断地出台相关的信息安全保护措施,通信部门和企业也在不断地开发出安全性更高的产品,但是仅仅靠技术和制度层面的措施难以起到良好的震慑作用,相关的法律仍然处于落后阶段,再加上人们懂法、守法的意识不强,导致侵犯信息安全的行为屡屡发生。
三、互联网环境下解决我国信息安全问题的措施
(一)提升公民信息安全的意识
意识决定行为的层次和效果。对于信息安全问题,需要上升到更高的层次加以解。要通过各种媒体的宣传来提升公民对于信息安全的重要性和危害性的认识,从意识层面上使其树立信息重要的理念,在自身的生活中抵制不良信息,创造良好的信息安全环境。
(二)通过技术手段提升信息安全的硬件建设
信息是通过一定的途径传播的,途径的安全与否直接决定了信息的安全性能和使用的效果,因此,相关部门和企业要通过不断加强技术层面的研究来为整个国家和社会的信息安全保驾护航。
(三)加大对于信息安全犯罪的打击
对于那些利用信息获得非法利益的行为和人员,要通过相关的法律途径来进行严厉的惩处,维护良好的互联网发展环境。对于跨国犯罪的行为,要加强与相关国家之间的联系,提升合作保护网络安全的领域,营造良好的网络环境。
四、结语
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战。这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。
在“互联网+”时代,银行更需要对“客户身份精准识别和认证”、“保证交易的完整性和合法性”以及“基于大数据实现互联网金融的精准风控”三方面予以重点关注:
客户身份精准识别和认证
人民银行于2015年12月下发的《中国人民银行关于改进个人银行账户服务,加强账户管理的通知》中再次强调要落实个人银行账户实名制。
传统金融业务在开户时一般采用面对面身份认证的方式,也就是我们常说的“面签”,柜员会鉴别用户证件的真伪、人证是否相符以及是否用户本人真实意愿。如何利用互联网开展金融业务,减少用户面签环节,为客户办理业务提供便利性,在线身份确认这一环节上面临着较大的欺诈风险。
要解决在线身份认证的难题,就必须从多维度来认证用户身份,包括通过基于已标识介质的身份认证与基于大数据的属性认证。目前,银行业通常利用已有的实名认证的身份标识来帮助实现在线的身份认证。
银行业也可以结合大数据对参与方的属性进行识别,便捷、精准地实现客户身份识别和认证。银行业也可以结合大数据应用对参与方的属性进行识别,比如,定位信息、设备指纹、行为规律等。根据不同的应用场景,建立一个分层次、多维度的身份识别体系,便捷、精准地实现客户身份识别和认证。
保证交易的完整性和合法性
保障交易信息在互联网上传输的完整性和合法性成为金融交易的重中之重。传统银行业务通过在纸质协议上的手写签名、签章来保障业务的法律效力。而互联网金融业务的线上操作完全实现了无纸化,没有了手写签名和签章,如何保障交易的法律效力呢?如何防止信息在传输的过程中不被恶意篡改?实践证明,基于数字证书的电子签名技术是解决这两个问题的最好办法。这里提到的数字证书指的是由合法的、权威的、第三方认证授权机构(CA机构)[如中国金融认证中心(CFCA)]签发的证书,它是一种包含公钥以及私钥拥有者信息的电子文档。
在网络环境中通过数字证书可以对传输的信息进行加密和解密、签名和签验,实现互联网金融交易中的身份认证问题,并确保网上传递信息的机密性、完整性、不可否认性。使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。
基于大数据实现互联网金融的精准风控
互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。近年来,随着中国互联网金融的快速发展,网络加速下的资金流转不但方便了我们的生活,也推升了风控漏洞的监管成本。人工对信息整合能力的低效加剧了信息不对称下的欺诈风险,各类黑天鹅事件更是在行业内不绝于耳。应用“大数据”实现征信服务,建立一套快速、智能、精确的一体化信用评价解决方案,已成为破解互联网金融风控难题的关键。
一、IT架构国产化成趋势
(一)信息安全市场规模加速发展,市场发展空间较大
据统计,2014年全球信息安全市场规模总共达到670多亿美元,全球的年复合增长率是8.7%,预计2016年,市场总规模将达到960亿美元。
我国的信息安全建设起步较晚,意识形态在逐步提升,从行业分析的数据来看,国内信息安全市场规模的平均增幅达到17%,远远超过国外的增速。我们认为国内信息安全市场规模的增长速度还会提升,预期会达到20%左右。主要原因有以下两点:一是中国的人口和企业基数多,信息化程度提升后带来的边际效应特别快,特别是移动互联网的到来,中国的移动用户终端数量达到5.5亿,基础的安全建设将随之有较大比例的提升;二是目前互联网建设过程中信息安全投资的比例低,据公开信息,2010年我国信息安全产业与软件和信息服务业相比不足1.5%,远低于国外的安全投入比例。
(二)棱镜门是信息安全可控的助推器
从国家层面来看,十八届三中全会公报指出将设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。2014年2月27日,中央网络安全和信息化领导小组召开第一次会议。指出,网络安全和信息化对一个国家很多领域都是非常重要,要认清面临的形势和任务,充分认识做好工作的紧迫性和重要性,因势而谋,顺势而为。网络安全和信息化是一体两翼、双轮驱动,必须统一部署、统一谋划、统一推进、统一实施。做好网络信息化安全工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。
棱镜门事件的爆发,使人们发现美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。最重要的是通过对本国公司的合作,达到监控他国政府的目的,另外这个名为“棱镜”的项目还可以使情报人员通过“后门”进入9家主要科技公司的服务器,包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。
当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通信设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。在互联网的时代,IT产业国产化的进程不可逆转。
(三)国家意志下,IT架构国产化的必然性
虽然要求“去IOE”的呼声在国内喊了很久,此前实际上并没有实质进展。但2014年9月银监会的39号文,让“去IOE”真正落实成“白纸黑字”的文件。
根据39号文件要求,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。同时,银监会还要求,2015年银行业至少完成一个信息系统的迁移,至少实现一个数据级灾备系统主要部件采用国产设备或软件,并明确表示不建议再采购大型机设备。
在2015年的银行采购中,某行已经要求采购国产IT产品,最新采购的服务器主要来自联想集团、浪潮信息等国内知名IT企业。
二、云安全成为新的热点
(一)云计算的发展推动行业新一轮成长
据Gartner公司统计,2014年全球云计算市场总规模已达1500亿美金,而整个全球IT投入是3.6亿美金,云计算占其中不足4%的份额。据Gartner公司日前的调查结果显示,2013年全球公共云市场规模将从2012年的1110亿美元增至1310亿美元,私有云服务及混合云服务发展势头也十分迅猛。工信部云计算研究中心主任杨东日日前也透露,包括中国电信、中国联通、中国移动在内蒙古的云计算投入将达到200亿元。微软亚太研发集团主席张亚勤曾预测,云计算未来几年在全球范围可创造1300万份工作机会,未来五年年化符合增速将达到30%。
随着越来越多的企业部署SaaS和BYOD,Gartner预计企业云安全服务的接受度和依赖性将逐渐增加,而未来几年云安全市场将进入高速发展期。近日,Gartner报告“2014年全球云安全服务市场趋势”预测:随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。
(二)国外云安全趋势的最新动态
2014年8月,IBM收购了云安全服务提供商Lighthouse Security Group,是继7月下旬收购意大利云安全厂商CrossIdeas后,再次进行的另一安全业务并购。该收购显示IBM在身份和访问管理安全服务领域将持续发力。
(三)国内企业逐渐布局云安全
启明星辰紧跟云计算、虚拟化和SDN技术发展,结合公司在信息安全领域深厚的技术、产品、经验积累,推出了“启明星辰智慧流安全平台”,深入诠释和实践了公司SDS(Software Defined Security,软件定义安全)的理念,实现了安全按需使用、安全个性化编排、安全资源高弹性、切实抵御未知威胁等功能,助力SDN网络及云数据中心安全。目前,“启明星辰智慧流安全平台”已经成功完成了与华为SDN网络的联合对接测试,并于“2015华为网络大会”上。
三、信息安全行业发展的海外映射
(一)国外信息安全行业发展历程
近年来,全球网络威胁持续增长,各类网络攻击和网络犯罪现象日益突出,并呈现出:攻击工具专业化、目的趋于商业化、行为趋于组织化、手段趋于多样化等特点。许多漏洞和攻击工具被网络犯罪组织商品化,使网络威胁的范围加速扩散。随着网络犯罪背后的黑色产业链获利能力的大幅提高,互联网的无国界性使得网络威胁对全球各国用户造成的损失随着范围的扩散而迅速增长。
国外信息安全领域龙头企业逐渐从内生性成长向外延并购扩张。
(二)美国信息安全龙头的成长之路
赛门铁克营业收入从1989年上市的7400万美元增长到2010年的61.9亿美元,净利润从800万美元增长到6亿美元,是全球收入规模最大的信息安全产商。
赛门铁克向全球的企业及服务供应商提供包括:入侵检测、互联网内容及电子邮件过滤、病毒防护、防火墙、VPN、风险管理、远程管理技术及安全服务等。公司旗下的诺顿品牌是个人安全产品全球零售市场的领导者。
安全需求从单一产品逐渐转向信息安全整体解决方案及服务;信息安全发展迅速,新需求层出不穷;通过收购来扩充自己的产品线和赢得客户。从2000年2月到2006年2月,其收购了不下25家公司。而其也在收购之路上屡试不爽,成功率颇高。
(三)信息安全国产化替代百亿空间
由于信息安全在互联网时代的重要性,我国政府采购信息安全产品有着很高的要求,都要求采购“自主可控的国产安全产品”,具有完全自主创新特点的安全产品成为我国国家战略部门采购时的首选产品,在政策上也受到政府的大力鼓励。我国国家保密局、公安部、国务院信息化工作办公室联合制定《信息安全等级保护管理办法》指出,我国第三级以上信息系统选择使用的安全产品,其产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。同时要求,产品的核心技术、关键部件具有我国自主知识产权。
截至2014年底,国内信息安全市场规模110亿,信息安全占IT支出比例为1%,而欧美是8%-12%;政府、军队将被划入第三级以上的信息安全等级保护,如果未来信息安全支出可以达到企业级IT支出比例的2%-3%,则每年将会有80-120亿的市场。
四、信息安全产业的发展趋势展望
1 引言
当我们探讨安全问题的时候,一般会将安全放在某一个业务或者某一种场景下讨论。换句话说,抛开业务和场景讨论安全是毫无意义的。所以,当探讨桌面互联网安全和移动互联网安全的时候,我们需要先充分了解桌面互联网和移动互联网的业务形态和应用场景[1]。
桌面互联网最重要的特点是web网站是其信息组织和交互的核心载体,它兴起于上个世纪90年代。人们最初熟悉桌面互联网是从门户网站开始的,如雅虎、搜狐、新浪等。那时的互联网是一个海量信息的集合,人们可以从互联网上获取大量的、实时的信息。我们称之为Web 1.0时代。当互联网引入了用户参与,包括评论、互动等,互联网用户就可以在线地参与到这些业务中去了。这时,桌面互联网进入了Web 2.0时代。博客就是这个时代最典型的产品。随着互联网的发展,用户不再满足线上精神层面的交流,他们的互动从线上延伸到了线下。互联网从单纯的信息交互融入到了人们的实际生活当中。我们称之为Web 3.0时代。这个时代典型的业务包括电子商务(如淘宝、京东)、婚恋网站(如百合网、珍爱网)、招聘网站(如智联招聘)。除了上述场景外,桌面互联网的典型业务场景还包括以腾讯QQ为代表的即时通讯业务和以Google、百度为代表的搜索引擎业务。
移动互联网最重要的特点是手机App是其信息组织和交互的核心载体。在移动互联网发展的初期,桌面互联网的应用被简单的迁移到了手机终端,形成了Wap网站。但是由于带宽和终端的限制,这些业务始终难以得到真正的发展。苹果推出的iPhone开创了智能手机的先河,是全世界第一款能够非常轻松简易访问移动互联网的智能终端。苹果手机的出现和移动超宽带网络的部署(3G、4G)为移动互联网带来了大发展的契机。大量的手机App随之涌现出来,它们利用运营商提供的带宽和手机终端的各种功能(音\视频、通话等),为用户提供各种各样的服务,我们称之为OTT(Over the Top)业务。它们能够直接在互联网上部署,并通过智能手机客户端的App为用户提供服务。
桌面互联网和移动互联网业务有一个相同的必争山头:流量。无论是web网站也好、手机App也好,用户的流量是业务能否盈利的决定性因素。所以互联网(这里泛指桌面和移动互联网)业务的运营团队最重要的工作目标是为业务带来流量,而流量又是靠入口来实现的。在桌面互联网时代,当我们遇到一个自己不了解的事物,第一选择就是搜索引擎(Google、百度);当我们希望购买一样东西的时候,第一选择就是电商网站(亚马逊、淘宝);当我们需要使用某种手机App的时候,一般会选择一个手机应用商城去下载这些应用(App Store、Google Play、中国移动MM)。这些都是用户使用互联网业务的典型入口。
2 互联网信息安全
互联网信息安全涉及的领域非常广泛,它背后涉及学科包括计算机、网络、通信、密码、数学、社会科学等。由于互联网业务主要的承载方式是计算机代码,所以互联网信息安全产生的根源是计算机代码的各种漏洞。这些漏洞存在于互联网业务、数据库软件、操作系统、中间件,甚至是通信网络协议中,可以说无处不在。但是安全漏洞和风险即使存在,也未必会被利用并造成不良后果,那是因为几乎所有利用安全漏洞的行为一般都不会仅仅由于攻击者的兴趣而发动,其背后必有利益作为推动[2]。打个比方,一个攻击者利用DoS/DDoS攻击让某一个网站无法对外提供服务。实际上这个攻击并不是免费的,它需要大量的肉鸡、需要好的攻击软件、需要发起攻击的服务器和带宽。这个攻击者一般都会通过某种途径回收投入、获取利益。当然,这些行为都是非法的。
在互联网中,业务运营方和用户手中都握有非常有价值的数据和信息,所以他们都可能成为互联网恶意用户攻击的对象。以业务运营方为目标的攻击一般通过利用业务和系统的漏洞“非正常”的进行访问,窃取关键数据或致盲业务;而以用户为目标的攻击一般通过欺骗、数据包截获等方式获取用户的关键信息,如信用卡信息、虚拟储值账户信息、隐私信息等。所以从这个角度看,互联网信息安全治理的关键点是对一些高价值的数据和业务做好信息安全防护。
3 桌面互联网的安全风险
由于桌面互联网以Web网站作为信息组织和交互的载体,所以桌面互联网业务面对的最直观风险是攻击者“非正常”访问网站的风险。攻击者的目的不同,“非正常”访问的手段也有所区别。
3.1 DoS/DDoS攻击
DoS/DDoS(Deny of Service/Distributed Deny of Service)是以致盲业务为目的的攻击手段。它通过大量的肉鸡发送无效数据包,使得Web业务繁忙以至于最终无法提供正常服务。无效的数据包可以通过各种协议发送,如SYN、ICMP、UDP。但是当Web服务安装了防火墙后,这些攻击都能够被有效的阻挡在防火墙外而不能对业务造成影响。目前比较有效的攻击手段是CC(Challenge Collapsar)攻击[3]。它利用模拟多个用户并发访问的方式,耗尽服务器和数据库的资源。因为已模拟成正常的web访问,所以此类攻击能够有效穿透防火墙。
在DDoS攻击领域,目前已经有了一个完整的黑色产业链。只为兴趣不为利益的攻击几乎已经不存在了。在该链条中,有人负责提供肉鸡、有人负责编写攻击软件、有人负责选取对象开展攻击、有人负责讹诈收钱。一些流量敏感型业务或者Web页面电子商务依赖性较大的业务往往最容易成为被攻击的对象,如视频网站、电商网站等。
3.2 Web页面漏洞
典型的Web页面漏洞包括SQL注入漏洞和XSS(cross site scripting)跨站漏洞。SQL注入风险产生的原因是Web页面没有过滤用户的URL输入。这样一来,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误地将攻击者的输入作为原始的SQL查询语句的一部分执行,导致改变了原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询。常用的SQL注入语句如:$username=1'or'1'='1、$password=1'or'1'='1。通过多次输入这些语句并依据服务端返回值(“正确”或“错误”),就可以猜解出Web端数据库的用户名和密码,达到非法访问的目的。解决SQL注入一般是通过URL过滤的方式,防止用户通过http协议提交一些非法的查询请求。
XSS(cross site scripting)跨站漏洞只存在于包括动态内容的页面上,而静态站点则完全不会受到其影响。所谓动态内容,是指根据用户环境和需要,Web应用程序能够输出相应的内容。所以这些网站往往允许用户发表包含HTML或Javascript脚本的内容。如果用户发表的内容包含了恶意脚本,那么其他用户在浏览这些内容的时候,恶意脚本就会执行,盗取他们的信息,包括用户帐户、cookie等。跨站攻击又分为持久型跨站和反射型(非持久型)跨站2种。根据应用安全国际组织OWASP[4]的建议,对XSS最佳的防护应该结合以下2种方法:验证所有输入数据,包括输入数据的长度、类型、语法以及业务规则;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
3.3 越权访问漏洞
越权访问漏洞是指用户无需通过Web服务的用户名和密码匹配校验鉴权就能直接访问服务的漏洞。这往往是由于Web服务开发者的疏忽而造成。用户在登陆Web服务的时候,需要输入用户名和密码来鉴权确认用户身份。但是当用户登陆后,在进行某些需要判定用户身份的操作时,在Web服务中判断用户身份的字段往往不会在客户端和服务器之间传递,而是调用一个session文件来确认用户的身份。该session文件往往是在用户登陆系统的时候创建的,是用户的身份证明。越权访问是在某些Web服务未关联session文件,且未对用户的身份进行鉴权就授予访问权限时发生的。解决越权访问漏洞主要需要开发人员对所有的网站代码做较为仔细的审计,对所有需要校验用户名密码的服务都需要确认要么调用session文件,要么直接向客户端获取用户名密码展开相关鉴权。
3.4 其他风险
Web服务的安全风险其实远不止上述几种。在Web业务开展的过程中可能会有注册、登陆、登出、注销、使用业务等诸多步骤。每一个步骤都可能有因逻辑漏洞或者代码漏洞而产生的安全风险。除此之外,承载Web服务的平台(如IIS、Apache等)、数据库(如SQL)也可能因为补丁未打等为题存在内网漏洞。这些都需要具体问题具体分析。
4 移动互联网时代的安全
在移动互联网领域,由于手机App是信息组织和交互的载体和核心,安全风险主要在手机App上体现。更重要的是,和PC相比,手机终端是更贴近用户的终端设备,上面存储了更加重要和隐私的信息。所以在移动互联网时代,以用户为目标的攻击远比桌面互联网时代更为常见。
4.1 常见的安全威胁[5]
(1)资费消耗:恶意应用在用户不知情的情况下拨打电话、发送短彩信、开启网络连接发送用户数据,导致用户的资费损失。例如某恶意应用伪装为手机壁纸应用诱导用户下载安装,安装后在开机或重启时自动运行某恶意进程。该恶意进程会联网获取返回链接,并不断尝试访问这些链接,通过频繁链接这些网址消耗用户大量流量。
(2)隐私窃取:恶意应用可在用户未确认或不知情的情况下读取用户电话本数据、通话记录、短彩信数据,或者在用户不知情的情况下进行通话录音、拍照、摄像、定位等操作,随后上传收集到的隐私数据。近两年,窃取用户个人隐私正成为恶意应用的主要目标之一。除了用户隐私信息之外,高价值的用户账户信息也是被窃取的主要目标。例如利用某恶意应用,通过淘宝“忘记密码”这一功能重置手机用户的支付宝登陆密码,而重置期间所提示的手机短信,都会被屏蔽,转发给黑客手机服务器。若重置成功,则可盗取用户的淘宝和支付宝账户信息,并将用户账户资金偷走。
(3)恶意扣费:恶意代码通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失。例如恶意扣费应用可以通过在代码内嵌业务订购地址,或通过在线访问的方式,在用户不知情的情况下发起订购。由于被访问的订购业务是蓄意构造的,可能不具备一系列的认证、二次确认步骤,用户会不知不觉的“被订购”和“被扣费”。
(4)远程控制:一些恶意应用可将安装了该软件的终端变成一部“傀儡机”,在用户不知情或未授权的情况下,接受远程控制指令并执行相应的操作。
(5)流氓行为:恶意应用可能会在后台运行,强制驻留系统内存,额外占用CPU资源,使手机终端运行缓慢,并且用户不能禁止该类软件的开机自启动,或者不能删除、卸载该软件。
4.2 恶意手机应用泛滥的原因
恶意手机应用泛滥问题的根源来自多个方面。1)手机用户:在现阶段,国内很多手机用户使用手机应用尚无付费习惯。庞大的受众群体使得免费应用成为恶意程序扩散的主要手段。2)应用开发者:除了开发收费应用之外,一部分开发者为了生存,可能不择手段的寻找各种盈利手段,比如以各种手段诱骗、吸引用户下载并安装应用,利用其内嵌的广告盈利。3)软件下载渠道:下载渠道主要盈利方式是建立在吸引大量开发者应用的基础上的。若对应用进行严格的检测,可能导致该渠道的软件来源减少进而影响收入。这导致渠道商没有进行严格安全检测的动力和积极性,甚至可能采取纵容的态度。4)安全厂商:为手机用户提供了免费杀毒软件,并可以为软件下载渠道提供软件安全检测服务。但是免费杀毒的模式与其他软件开发者的生存模式一致,都是靠用户数量盈利,无法保证其权威性与公正性。5)电信运营商:为软件下载提供网络连接,通过流量收取费用。目前运营商已开始在网络侧对恶意应用进行监测,不过尚在起步阶段。6)国家监管机构:因目前我国在手机应用安全监管方面的工作刚刚起步,没有统一的政策、标准等监管要求,也缺乏相关监管手段进行支撑,对手机恶意应用泛滥的现状有心无力。
4.3 移动互联网手机应用的安全管控
既然移动互联网时代用户的入口是手机App,那么对手机App安全性的保障是移动互联网安全治理的重要举措。首先,对手机应用商城的治理刻不容缓。作为手机App的分发渠道,应用商城应该像超级市场对上架货品检测一样对第三方手机App的安全性做准入性检测。这些检测需要从代码、内容等多个方面保证这些在其应用商城上线的应用不能包含恶意的代码、违规的内容,不能在用户未授权的情况下获取用户手机上的隐私和关键信息。其次,政府的行业指导单位需要对手机应用进行合理监管。例如以抽检的方式对业务进行上线前、上线后的安全评估,对未达标的应用责令下线和整改。
5 结论
本文体系化地探讨了桌面互联网和移动互联网业务面临的安全风险,并提出了一些解决问题的思路和方法。实际上,互联网信息安全风险层出不穷,只要业务在不断的发展,新的风险和漏洞也会不断的涌现。只要有利可图,攻击者就会不断的发起攻击,获取数据,并利用黑色产业链兑现相关利益。“没有买卖,就没有杀害”在互联网领域同样适用:没有黑色产业链为攻击者非法获得的数据买单,也就不会有层出不穷的安全事件发生。所以无论是对桌面互联网还是移动互联网,其安全治理不单单是要从技术层面解决安全漏洞,还要从根本上打击黑色产业链为攻击者提供的销赃渠道。
参考文献:
[1] 吴倚天. 从桌面互联网到移动互联网[J]. 信息化建设, 2009(5): 16-17.
[2] 唐鑫. 网络入侵攻击黑色产业链分析[J]. 网络安全技术与应用, 2014(6): 174-175.
2互联网时代公安计算机信息安全存在的问题
2.1公安机关工作人员对于信息安全风险问题不重视
很多公安机关基层的工作人员对于计算机信息安全存在的风险问题不够重视,相关的部门领导受传统的管理理念影响颇深,缺乏一定的开拓精神,在工作方式上面也是统一采用原始存在的手段和方法,甚至在具体的工作开展过程中,态度比较被动,即使在发生问题后,也没有采用积极的措施进行补救。
2.2对于信息转移媒介的管理不完善
所谓的信息转移媒介主要指的是外部网络和公安内部网络之间进行交流和传播的一个桥梁,公安机关的工作人员在相关的技术管理方面考虑的不够周到,导致了大量的信息在进行转移的过程中,容易出现问题,在出现问题之后,由于公司中缺乏专业的技术支持,导致只能将有问题的移动介质拿到外边的修理店铺进行维修,这种维修方式不仅不够安全,也为很多黑客创造了机会。
2.3对于维护信息安全的很总要性认识不到位
公安工作人员在利用互联网开展工作时,通常都是将公安机关的数据内部网与外部服务器进行连接,这种运作方式比较单一,但是在数据的相关安全问题管理方面存在漏洞,如果一旦有黑客潜入公安系统,这种简单的操作模式方便黑客对数据进行更改,这对整体的数据传送系统造成了危害,事后再对系统进行修复的话,工程力度比较大,非常耗费时间,有些重要的数据一旦遗失将会无法追回。
3互联网时代公安计算机信息安全问题应对的策略
3.1加强公安人员的信息管理安全培训力度
加大公安机关内部工作人员对信息安全管理内容的培训宣传力度,首先领导应该发挥带头作用,制定良好的规章制度,提高基层工作人员的安全信息管理意识和理念,让大多数民警认识到计算机安全问题发生的危害性,并自觉提高技术能力,积极的发现问题,将防范为主和修复为辅的方法贯彻到底。
3.2加大公安信息安全网络软件的建设
首先加大有关部门和合作软件公司之间的交流力度,在满足双方需求的基础上,增大彼此协调沟通的空间,帮助软件公司研究和开发出更加先进的硬件设备,确保信息转移介质的质量,并能及时对危害物质进行有效查杀,在一定程度上提高了软件的利用效率,保证信息安全有效。
信息安全是影响到社会公共安全以及国家安全的重要因素,世界各国均已认识到互联网信息安全对于国家重大利益的影响,信息安全属于互联往经济方面的最高点,同时也是促进电子商务、电子政务以及互联网发展的重要环节,现阶段信息安全已成为互联网发展的迫切要求。现对互联网信息安全的控制技术以及特点进行浅述,并浅析加密技术在保障互联网信息安全中的应用。
一、互联网信息安全的控制技术以及特点
1.1防火墙技术
防火墙是在外部网络以及保护网络之间采用网络综合技术设置一道屏障,从而对外部网络以及受保护网络进行分隔,以防止具有破坏可能性以及无法预测的危险因素侵入系统。
1.2生物识别技术
生物识别的控制技术具有可复制性这一特点,该技术的安全等级与传统的身份验证机相比,存在较大的提升空间。骨架、掌纹、视网膜、面孔、声音以及指纹等均是人体生物特征,其中指纹以其稳定性、唯一性与再生性等特点成为最受关注的特征[1]。此外,签名识别以及视网膜识别的技术研究近年来也取得了较好的成绩。
1.3入侵检测技术
入侵检测这一种可及时发现并向系统报告未授权情况或是异常现象的技术是为了保证计算机系统安全而设计、配置的,该控制技术用于检测网络中不安全因素。
1.4数据加密技术
数据加密是采用密码算法转换明文数据为具有辨别难度的密文数据,采取不同的密钥可通过相同的加密算法转换出多种密文。
1.5网络安全漏洞扫描技术
由于漏洞检测以及安全风险评估的技术可预知主体可能会受到的攻击,并对该行为与后果进行具体指证,因此网络安全行业特别重视该技术。在维护信息安全中应用该技术不仅可对系统资源识别检测,还可分析资源受攻击的可能性,掌握系统支撑体的脆弱性,以评估现存的安全风险。
1.6安全审计技术
安全审计的控制技术通常是采用某种或是多种被称为扫描器的安全检测工具,采取漏洞预先扫描的措施,以检查计算机系统中是否存在安全漏洞,通过检查报告掌握系统薄弱环节,并采取相应的措施增强系统的安全性。
二、加密技术在保障互联网信息安全中的应用
2.1电子商务方面
为了保障消费者在互联网中进行不同的商务活动,免于担忧自身的银行卡账号被盗用,现阶段各消费者已逐渐开始应用RSA加密技术以提高其银行卡交易的安全。NETSCAPE公司针对此现象提供了称为SSL(安全插座层)的加密技术,该技术以RSA与保密密钥在互联网中的应用作为基础。SSL技术同时应用对称与非对称的加密手段,客户在与电子商务服务器沟通过程中,有一个会话密钥(SK)在客户方生成,接着客户方通过服务器端提供的公钥对会话进行加密,然后再传至服务器端,待双方均知道SK后,则采用SK加密和解密传输数据[2]。此外,服务端在给客户发送公钥时均需要首先向相关的发证机关进行申请,获取认证。
2.2虚拟专用网络(VPN)方面
数据在离开了发送者的局域网时,应首先通过用户端与互联网连接的路由器进行加密,以加密形式在互联网中传送数据,在数据到达目的LAN处的路由器时,由路由器解密数据,而目的LAN处的用户便可获取真实信息。
三、网络信息安全的实现对策
3.1系统安全对策
修补服务系统、操作系统以及数据库中的漏洞并进行安全加固,针对重点业务的服务器构建严格的审核制度,以保证重点业务的安全性[3]。尽量解决因不同漏洞所引起的安全问题,杜绝各类安全隐患,例如病毒、系统缺陷、非法访问以及黑客入侵等。
3.2安全管理对策
根据企业对信息安全的要求,不断完善各方面管理机制,例如人才管理、安全服务、应急响应、资产管理、人员管理、站点维护管理等等,同时结合管理技术,为企业建立一套较为健全的信息系统安全管理制度。
3.3纵深防御对策
在计算机安全系统中,其防火墙就等同于网络系统在入口处的保安,根据用户所设定的条件判断各类数据表能否进入系统,将具有攻击性的恶意数据包抵挡在门外。入侵检测系统可对网络或是关键的主机进行监控,其效果等同于现实生活中的摄像机,对各项入侵行为进行监控,特别是具有潜在攻击特点的行为,严重时可联合防火墙,将入侵行为及时阻断。大部分黑客在试探攻击时,均是采取一些已知的攻击手段进行试探。而入侵检测系统中的实施监测功能,可发现黑客的攻击企图,即入侵检测系统发现并相应黑客攻击系统的时间小于黑客攻破系统的时间,通过入侵检测系统可对网络外部或是内部的攻击行为快速定位,并检测内部流量的异常现象,对于保障网络而言具有重要意义。
参考文献
2互联网+",环境信息安全面临的机遇和挑战
2.1互联网+",环境保护信息安全面临的机遇
从国家层面上来说,近期,我国对党“互联网+环保”颁布了《生态环境监测网络建设方案》。并且指出,大数据以及互联网+是推动环保治理的重要实施手段。这足以说明国家对“互联网+环保”的高度重视,为环保信息安全的发展打下了坚实的基础。从公众参与的角度看,近些年,社会大众参与环保行为日益增多,互联网+的加入,更加提升了社会大众参与环保的意识。互联网+满足了社会大众对于环保信息的需求,例如,提供了实时空气质量数据监测、环境质量数据监测等。
2.2“互联网+”环境下面临的挑战
从技术角度来看,“互联网+”由于更新快,更新周期短,一旦企业缺少资金以及缺少自主研发的能力,会在很短时间内被市场所淘汰。环境保护信息用户安全管理,主要是依靠环保信息系统去实现,如果只是一昧地去模仿或者是依靠某些应用系统,很快便会降低环保信息用户的安全性。例如,某研发公司,通过自身积累的地理数据,已经主动投身于对“互联网+”背景下环保大数据的应用,一方面通过将一张大的地图与各种服务整合到一起,成立一套新的地图及服务体系;另一方面,在环保数据信息安全监测、用户安全评价以及环保信息预测等方面,通过全面收集的环保信息数据,深化研发了大数据在环保领域的应用。
3互联网+下环境保护信息用户安全
3.1善于利用互联网+
作为国家环保部门要关于利用互联网+,推进环保信息安全管理,推动环保法治的有效进行,积极开展正确的环保舆论引导,推进社会大众的积极参与。作为国家环保部门一定要建立善于利用互联网+的思想,要保障社会大众对环保信息的知情权、以及环保信息用户的安全。对于所公开的环保信息要做到公平公正,保障用户所看到的环保信息是公正的,敢于听取批评,敢讲出实情,只有这样才可以通过互联网+实现真正意义上的环保信息用户的安全管理平台。
3.2加强环保信息用户安全,提高环保信息大数据安全保障及防范能力
促动环保应用技术的研发,加大环保信息资金支撑,加强环保信息及用户安全管理工作,提高环保监测部门,在互联网+背景下环保信息用户安全的可控制性。对互联网+大数据背景下环保信息用户安全体系加强建设力度,通过对环保信息采集、分析、处理等过程,建立与需求相符的环保信息用户保护系统,建立统一的环保信息用户保护体系,推进环保部门对环保信息用户的保护态势。将大数据应用技术得以充分利用,减少互联网+背景下,对环保信息用户的各类攻击,通过应用大数据环保信息处理技术达到对网络异常的实现监测及分析,通过应用大数据的互联网+的攻击追踪,达到查找互联网+攻击行为的源头。
3.3对环保信息的真实需求全面掌握
我国环境相对较为复杂,由于地区的不同,环保部门所面临的问题也不同,作为企业来说,要加强与当地环保部门的沟通,全面掌握当地环保用户的真正需求,要从技术上梳理对环保信息用户的安全管理,切勿将一种系统复制应用到各个地方。
3.4“互联网+”有效强化环保监测数据安全用户的管理
通过利用互联网+实时在线环保信息用户安全监测平台,实现了每个环保信息安全监测点与主控制中心的安全连接。例如说,在山东省的某一个环保信息监测中心可以与总监测中心平台直接连到一起,一旦山东省的环境监测数据出来,就会立即传送到总监测中心,总监测中心就会全面掌握山东监测点的运行情况。