前言:我们精心挑选了数篇优质互联网信息安全文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
为了保证互联网信息的安全以及做好信息的保密工作,安全管理系统的设计内容大体上分为三个模块,首先是安全体制模块,包含算法库、信息库以及用户界面三个小方面;其次是网络连接模块,包含安全协议以及通信接口两个小方面;最后是网络信息传输,包含安全管理、安全支撑以及安全传输三个系统。算法库是关于一些处理算法。信息库是关于用户进入口令、管理参数以及权限的设定,检查系统运行状况。
用户接口是用户操作界面以及用户私人信息管理。安全协议包括连接网络协议、用户个人身份确定协议等。通信接口的安全保障是依赖于安全协议的工作、在通常情况下,通信接口的实现方式包括两种:第一是用户在进入互联网时,才开启安全服务,并运行安全体制,用户所传输的信息都是经过系统的加密处理,然后被传输到互联网上,或者是数据链路,是比较透明的互联网信息传输与交换。此种方法很容易实现,而且不用对用户目前所使用的系统做一丝改动,用户所要投入的资金也比较少。第二种是修改目前的通信协议,在互联网与应用之间增加一个安全层,使信息的安全处理变得透明化以及自动化。安全管理系统是一个包含很多程序的软件包,主要负责用户界面上安全管理器的正常工作,可以使得用户很容易地控制计算机上信息的传输,保证安全。我们通常把这个系统安装在用户计算机的终端,或者是网络节点。安全支撑系统是整个安全管理系统最值得信任的一方,其物理安全以及逻辑安全是非常重要的,需要得到严密而全面的防护。
二、安全管理系统的实现
安全管理系统总共包括以上的内容,具体的实现有很多的问题,需要有条不紊的进行。以下是针对管理系统实现所采取的具体的实现步骤,按照这些步骤来一步一步进行,不会出现混乱的情况,而且条理清晰,可以降低出错的几率,也可以保证管理系统的质量。
(一)熟知互联网的状况,估计风险及各种木马攻击
互联网上的信息安全保障是很薄弱的一个环节,如果防护措施做不好,就会经常受到黑客的攻击,盗取信息,甚至泄露出去,造成个人或者是企业的损失。为了预防或者是击退这些攻击,需要全面地了解平时所有的攻击方式、攻击方位,还有要了解哪些部分是比较薄弱的地方,给予加强保护。只有掌握了攻击的全面资料,才可能有针对性地做出比较全面而可靠的保护措施。
(二)安全策略的制定与优化
安全管理系统需要一个明确的目标与原则,这就是安全策略。安全策略的优化需要考虑以下几个方面:第一需要从系统整体出发,咨询用户的需求,根据应用的环境来制定策略,这其中包含各个子系统的策略制定。第二需要考虑策略的制定会不会对原有的系统产生什么负面的影响,比如通信延时等。第三,策略的制定要方便用户对计算机的操作,包括控制,管理以及配置等。第四,用户界面要人性化。第五,投资的金额要少。
(三)安全模型
模型可以把抽象的问题具体化,使问题简单起来,不再那么复杂,寻求到更好地解决办法,制定更加完善的安全策略,就像是教师教学时经常使用各种模型,让学生容易理解深奥的问题。模型包括整个系统中的所有子系统,这些子系统在上面的内容已经有过阐述。
(四)安全服务的选择以及实现
应用密码技术,来实现向用户所保证的安全服务。这是一种现代的技术,能够保障整个系统的安全性,保护用户的私人信息,使用户不用再担心个人资料的泄漏,保障用户的个人利益。安全服务有两条实现的途径,分别为软件编程以及硬件芯片,其中在通过软件编程来实现安全服务时,需要注意机身的内存,优化系统的流程,增加程序运行时的稳定,以及降低运算时间。
(五)安全协议的制定
对一些安全企业而言,这场变革也许会给他们带来更大困惑,因为这场变革意味着,企业自身原有的技术水平、商业模式都将受到新的挑战。而面对变化,并非所有企业都能适应。
今天,我们常常会听到一些安全企业抱怨,卖硬件不挣钱了,参与者越来越多了,竞争越来越激烈了。下一步该如何是好?是不断压缩成本,还是继续扩充销售队伍?也许都不是。换一个思路,或许你能发现一片新的蓝海。
应用安全进入大众视野
“泄密门”事件发生后,信息安全问题已经不再只是被安全从业人员所关注,而是进入了更多普通民众的视野。实际上,随着物联网技术的逐步成熟,与RFID(射频识别)相关的应用正越来越多地渗透到普通人的生活中,如:市民公交卡、电卡、酒店门卡等。与此同时,也有越来越多与普通人生活密切相关的安全事件被曝光,如:公交卡被破解、手机被窃听等。
目前,黑客攻击已经呈现出向物联网应用领域发展的趋势,而要防范物联网领域的攻击,仅靠现有的安全手段还很难做到,这让广大民众感受到了更多的安全威胁。
民众的安全意识在一定程度上决定着安全市场的走向,并将给安全行业带来新的变化。有人说,国内很多安全项目是事件驱动型的,往往在发生某个安全事故后,相关领域的问题才会真正受到关注,由此带动安全细分领域的发展。最近发生的互联网企业“泄密门”事件可能会再次证实这一点。
东软集团股份有限公司网络安全营销中心副总经理曹鹏认为,2012年,安全产业将出现的一个趋势是,与应用相关的安全产品和解决方案,将会受到用户更多的重视,市场上将会推出更多针对应用的安全产品和解决方案。而在过去,用户更多只是将焦点放在安全设备的部署上,这也是诸多安全企业一直以出售设备为主要经营方向的一个主要原因。
SOC下一站:互联网信息监控
面对新的市场走向,安全厂商该如何抓住新的机遇?东软安全正在进行积极的尝试。曹鹏表示,新的一年,东软安全将积极推动云计算、互联网和移动终端市场的紧密结合,依托云计算应用来提供安全应用服务,这也将是东软安全未来一个重要的发展方向。2012年,东软安全将鼓足马力,在已经成熟的SOC(安全运维管理平台)产品基础上,将SOC应用推广到互联网监控上,为更广泛的用户提供互联网信息监控、舆情监控、应用监控等服务。未来,东软安全的用户将不再只限于政府机构或大型企业,中小企业甚至广大普通网民都将成为其服务的对象。
关键词:移动互联网;信息安全;技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0035-03
New Mobile Internet Era of Information Security Technology Foresight
WU Jun1, WU Nan-shan2
(1.Jiangxi Land Consolidation Center, Nanchang 330025, China ;2 .Angel Nanchang Modern Nursery, Nanchang 330029, China)
Abstract: Mobile Internet era of information security technology has become the new focus. At the same time due to the instability of the mobile Internet and the popularity of the phenomenon also led to this area will be the future of information security risks hardest hit, so-depth study of the safety of new technologies on the healthy development of the mobile Internet is significant.
Key words: mobile Internet; information security; technology
近十几年来我国互联网工程飞速发展,与我国经济社会建设完全融为一体,并在发展过程中出现了新的发展趋向,移动通信技术的完善和改进为移动互联网的诞生和发展打下了坚实的基础。基于移动互联网的移动电子商务、移动即时通信、移动社交、手机支付等各种新型的业务也正在悄然改变着我们的生活。但与之而来的却是移动互联网的信息安全问题[1]。近年来电信网络安全隐患也正在成为移动互联网健康发展的一项重大障碍,犯罪诈骗等恶性事件频发。因此,在今后相当长的一段时间内若要保证移动互联网技术能够健康发展,必须深入研究移踊チ网时代信息全新技术问题。
信息安全是包括计算机、电子、通信、数学、物理、生物、法律、管理、教育等的交叉学科,同时也是随着移动互联网技术发展而不断更新的新兴学科。这些学科在发展过程中正在不同程度的与互联网技术和移动通信技术融合,为移动互联网的发展创造了理论基础。移动互联网的安全领域包括网络安全、信息系统安全、内容安全、信息对抗等等,其基本出发点是国家和社会各领域信息安全防护为。信息安全技术是确保移动互联网信息安全的一项重要指标,而且这些内容也在很大程度上实现和完善了信息技术安全本身存在的一些问题。展望信息安全技术与移动互联网结合的突破口主要包括以下几个部分。
1 后量子密码技术
公钥密码体制的安全性受一些数学难题制约。著名的RSA公钥密码体制是的产生和发展基础理论是大整数素数分解,DSA和ECDSA基于求解离散对数问题。这些理论在一段历史时期内曾是公钥密码体制的支撑。但是1994年又有一种新的理论问世,那就是“量子算法”(QuantumAlgorithm),它的最大一个特点就是在多项式时间内求解大整数素数分解问题和离散对数。这一理论的诞生可以说很好的兼容了以往两种公钥密码体制的优势,同时也简化了其中存在的一些繁琐程序。在某种意义上甚至量子算法可以称之为推动信息安全技术进步的一个里程碑。随着公钥体制的不断完善以及一些新的挑战的产生,量子算法的局限性也逐渐暴露出来,一度成为制约互联网信息安全的一个重大难题。因此2001年给予量子计算又产生了一种新的算法,Peter Shor的算法[2]。信息安全领域专家预测,在不远的将来量子计算机将问世。在量子计算机基础上Shor的算法可以攻破当前我们在信息安全领域的公钥体制中遇到的所有问题。基于大整数素数分解问题和离散对数问题面临的一些局限难题也会在不同程度上实现了这些重要障碍。而且这些问题的解决也必将为移动互联网的信息安全领域问题作出重要的贡献。这些都为我们的发展和创新移动互联网起到积极的推动领域。
利用传统互联网技术破解基于编码理论的Mc Eliece公钥密码体制的计算复杂度较高为因此这一问题也成为当前影响移动互联网信息安全的一个障碍性因素。而且,利用量子计算机计算复杂度也给量子算法的基础问题出现一些问题。其中,两个算法复杂度都是指数级,常数有0.5略有变化,这种变化并不是很大。因此,从理论层面来看,Mc Eliece公钥密码体制能够抵抗量子计算的攻击,目前还是确保公钥体制的一种非常重要算法[2]。目前在计算机信息安全领域,NP困难问题既不是素数分解问题也不是离散对数求解问题,可以说影响公钥体制存在障碍的一些问题还没有从某种程度上得到完善和解决,因此Peter Shor提出的“量子算法”在解决上述困难问题的过程中还不能很好地在实战中得到完美的发挥。也就是说,NP困难问题可以抵抗量子计算的攻击,可以称之为后量子密码技术。同时这种基于这种技术基础而完善起来的体制也可以称之为称后量子密码体制,这种体制的算法原理在未来一段时间内还需要攻克诸多难题,但是其效用和功能上的良好表现决定了它必定在未来的发展和设计中成为研究和应用的重点领域。
2 同态密码技术
同态密码技术的应用也是保障移动互联网信息安全的一种重要尝试。在云计算安全保护领域中,目前采用数据加密保证用户的私有信息。在权限控制上以身份认证为主要基础,实地身份认证、权限认证、证书检查这些环节是确保云计算信息安全的一些必要措施,在防止非法用户的越权访问问题上非常有效。数据加密、身份认证,可以一次性地将明文信息隐藏化,在保护隐私问题上目前来看还不存在偶漏洞和隐患。但是随着计算机技术的发展能否有新的隐患和漏洞包括出来还要经过一段时间的验证和检验。因此未来同态密码技术在移动互联网安全领域还是可以继续担当重任。这种技术在很大程度上为用户隐私问题担当重要力量,而且这些问题也成为目前影响和推动整个信息安全领域的一项重大问题,这为我们更好地承担其中存在的一些安全泄露问题做出了重要贡献。
3 可信计算
可信计算平盟与2002年首次提出可信计算概念,但是这一概念目前没有明确的定义,并且在可信计算平盟内部其成员中对“可信计算”也都有自己不同的理解和操作理念。可信计算组认为一个实体在存在的阶段内总有一个既定的目标要实现,若其行为在符合预期的前提下不能按照一些规则和目标完善实现这些目标,那这种规定和目标范围总体是不能完全按照试题的规则进行计算和排列的。ISO/I EC15408认为一个可信的组件、操作或者过程的行为综合可以称之为可信计算,任意操作条件下操作和预测这种算法都能够给我们带来预期的结果。并能很好地抵抗各种外在和内在因素造成的干扰与破坏。这其中包含应用程序软件、病毒以及物理干扰。微软对可信计算也有自己的定义,他们认为可以随时获得的可靠安全的计算就是可信计算,因为只有随时获得才能称之为可信。
可信计算是引入可信计算平台模块PM的一种全新算法,将这一模块嵌入微型计算机系统,这样便能很好地预防与解决计算机安全问题。实际上就是在计算机系统中加入一个可信的可信第三方,通过第三方计算和评估来实现和达到整个系统对信息数据的快速准确处理,以满足人们的预期,这样使用者才能称之为可信的计算。
可信计算的基本原理是首先对终端体系进行干预和推动,使之建立一个完善的安全结构。在终端安全的前提下再将这一终端按照计算机网络安全搭建一个诚信体系,使之有序呈现在第一个安全保障过程当中。这对我们来说也是一个非常有力的计算机安全系统。可信系统这种对终端的加固确保了每个终端都有一个合法身份。一些恶意代码,如病毒、木马都能在终端的过滤系统中完全过滤掉。从作用机理上看,可信计算首先构建一个信任根,然后在通过信任链将其与操作系统联系起来,同时系统与应用之间也存在一定程度的传输和传达作用。这对我们在整个背景下按照完全的设定目标建立的系统操作平台都在一个可以信任的环境和步骤内执行操作指令。可信计算时一种非常重要的确保系统对外界病毒免疫的算法。但是这种算法目前在移动互联网当中还是没有完全按照这N操作方式展开。而且展开的方式也是随着这些既定的目标完全按照他们在能力和其他方面问题的处理中不断丰富和完善起来的。只有这样才能更有效的利用地方可信任资源对整个系统的安全性和稳定性进行合理的权衡和评估。
4 计算机取证技术
计算机犯罪电子取证是确保信息安全的最后一关,从功能上来看它是指能够为法庭接受的、足够可靠和有说服性的一种证据确认,他们必须是存在于计算机内部的电子证据,在保护、提取和归档过程中具有一定的可操作性。具体来说电子取证技术主要包括两个方面,一个是数据获取技术。在这样过程中操作人员主要负责搜集计算机数据,这样才能确保计算取证技术的实现。但是在实现这一任务的过程中虽然对数据证据取证做出了非常有效和有利的安排和维护。但是执行过程中极易对原始数据造成严重修改[3]。所以,数据获取技术在计算机取证中非常关键和重要。计算机系统和文件的安全获取技术是确保这项技术能够顺利实现的一个重要关键点,对磁盘或其他存储介质也有较高的要求,应该能够确保安全无损伤备份技术,在这一前提下在执行对已删除文件的恢复、重建,在重建过程中磁盘空间、未分配空间和自由空间包含了信息的挖掘,对交换文件、缓存文件、临时文件中包含信息的复原技术都具有非常重要的影响,同时这也成为影响和导致问题产生的一项非常重要的关键点。
另外,数据分析技术也是这项技术中存在的非常重要的一个环节,而且在这个环节中我们也对这些技术产生的基本原理和技术要求非常慎重。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是数据分析技术的重点。例如文件属性分析,日志分析等等,在进行这种分析的过程中按照我们分析的结果和造成的种种危害的预测对信息数据的安全性进行全面的分析和评估。国外计算机取证技术逐渐走向智能化,对电子数据取证的全过程已经进入一个全自动和智能系统中按照这样的目标和成分才能完全执行既定的目标和目的。在这其中计算机取证的可靠性、准确度是衡量这一系统安全性的一个重要目标。
5 云计算安全技术
云计算本质上是一种资源共享的计算平台,他的主要特点是通过数据和资源的共享降低成本,提高性能,这种计算方法目前在移动互联网中已经全面普及,一些运行上通过云计算为不同的用户提供个性化推荐服务,大大提高了资源利用效率,同时这些利用效率在完成既定目标的前提和背景下已经完全按照信息安全领域的规则在做自我完善。云计算发展面临许多关键性问题,而安全问题首当其冲,目前因云计算出现的安全问题还不是特别突出,但是随着这种算法的不断普及以及应用领域的不断丰富,必然会给信息安全造成一定的威胁。
著名的信息安全国际会议RSA201将云计算安全列为焦点问题,定期举办关于云计算安全的研讨会。Gartner的调查结果显示,70%以上的受访企业对云计算的安全性表示担忧。因为这种计算方式如果造成信息泄露对企业造成的危害是无法估量的,同时云计算由于资源共享的基本特性,也是最容易造成信息泄露的。因此安全问题目前仍然是困扰云计算普及和完善的基本问题。
参考文献:
[1] 孙建华,陈昌祥.物联网安全初探[J].通信技术,2014(7) .
移动互联网主要是指在互联网的基础上逐渐发展起来的新型技术。它主要包括了两个层面:一方面包含了互联网不受传统现实社会约束限制的个性,强调自由、平等的特性;另一方面在隐私性、攻击性等方面相比传统互联网具有更大的威胁。移动互联网的优势显著:其一,移动互联网的接入成本低,它可以凭借手机随时随地进行接入;其二,移动互联网对接入地点没有特殊要求,只要是有移动网络信号,就可以接入。移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:其一,保密性,主要是指信息不被未授权解析与使用的特性;其二,完整性,主要是指信息传播过程中,不会遭到任何篡改;其三,可用性,主要是指不论处于何种情况下,信息与信息系统都能在满足基本需求的基础上被使用;其四,真实性,主要是指信息系统在交互运行的过程中,信息的来源与信息的者是真实可靠的。
2制约移动互联网公共信息安全的因素
2.1移动互联网运行的全民性
移动互联网是在互联网的基础上产生的,而互联网自产生起就带有公开性、全民共享性。目前,这一趋势随着移动互联网的普及更加显著,但是随着全民广泛参与到移动互联网的应用中,这就导致移动互联网的控制权被分散。由于移动互联网使用者的利益、目标以及价值等方面都不尽相同,因此,对移动互联网资源的保护与管理也就容易产生分歧,促使移动互联网公共信息安全的问题变得更加广泛、复杂。
2.2移动互联网监管不严
我们对移动互联网公共信息安全管理的过程中,往往存在着界定不明晰、管理观念落后等问题。比如对移动互联网上频繁出现的不良信息的划分不明确,这就导致相关管理部门进行监管时,没有可以依据的规则,进而导致监管过度或不力。
2.3缺乏核心的移动互联网技术
我国的移动互联网处于起步阶段,缺乏自主性的网络和软件核心技术,这就导致我们在移动互联网运行过程中不得不接受发达国家制定的一系列管理规则与标准。此外,由于我们的移动互联网核心技术主要是源自他国,这就导致我国的移动互联网常常会处于被窃听、干扰以及欺诈等信息威胁的状态之下,造成我国的移动互联网公共信息安全管理系统极为脆弱。
2.4缺乏制度化的移动互联网保障机制
我国对移动互联网公共信息安全的管理并没有建立相应的安全管理保障制度,同时也没有建立有效地安全检查制度与安全保护制度。此外,我国现有的政策法规很难适应当今移动互联网公共信息发展的需要,移动互联网公共信息安全保护还存在着大量的立法空白。
3建立移动互联网公共信息安全保障机制的措施
3.1政府应充分发挥其职能
政府在移动互联网公共信息安全管理中,应占据主导地位,引导整个移动互联网公共信息安全向着健康方向发展。首先,政府应发挥应急事件指挥者的角色。政府对控制一般网络公共信息安全事件演变为危机事件肩负巨大责任,需要通过自身的能力使社会秩序尽快恢复正常。其次,政府应对移动互联网公共信息安全相关法律进行监管。政府应依据相关法律对移动互联网信息是否安全运行进行有效监管,同时应不断完善移动互联网公共信息安全中薄弱环节的法律法规制度。
3.2加强移动互联网公共信息安全法律建设
建立手机实名制法律。手机实名制对预防手机犯罪、净化手机信息具有至关重要的作用,实施手机实名制能够保障消费者的合法权益。在我国制定的《通信短信息服务管理办法》中对手机实名制就进行了明确规定,与此同时,若想让手机实名制充分发挥其作用,就必须加强公民隐私权益方面的建设。完善公共信息安全法律法规。首先,应重点建立信息安全的基本法,保障信息安全的各项问题有法可依;其次,可以在专门信息安全基本法出台之前,建立必要的、急需的单行法;最后,在建立信息安全法的时候,应尽量避免采用制定地方性法规和部门规章的方法代替制定全国性法律法规。
3.3组建统一的管理机构
建立统一的移动互联网管制机构时,应遵循三个原则。首先,管制机构建立的独立性原则。建立的管制机构不仅要独立于电信运营企业,同时还应该独立于任何行政部门,这样才能够保障管制机构办事的公正性。其次,管制机构建立的依法设立原则。在建立互联网公共信息安全管制机构时,应以《电信法》或专门管制机构法对所建立的管制机构的职责进行明确划分。最后,管制机构建立的融合性原则。管制机构应是一个综合性的管制机构,它所监管的范围应该包括整个信息通信领域。
3.4加强终端安全保障技术研发
(1)重视病毒防御。
当前的移动互联网终端基本上都是职能设备,采用的都是专门的移动操作系统,这些操作系统必须具备对常见的病毒、木马等的防范功能,同时也应不断降低应用软件系统可能出现的安全漏洞。
(2)实施软件签名。
软件签名的实现能够保障软件的完整性,从而避免用户的信息被篡改。此外,当应用程序发现信息被篡改后,能够及时向用户发出报警信息。
(3)采用软件防火墙。
在终端设备上应用软件防火墙,用户可以通过设置白名单与黑名单对设备上传入与传出的信息进行有效地控制,保障信息安全。
(4)采用加密存储。
用户对设备上的重要信息应在加密之后再将其存储到终端设备中,这样能够有效避免非法窃取现象的产生。与此同时,用户在加密与解密的时候,一定要快速的完成,以防信息被窃取。
(5)统一管理。
对安全设备应该进行统一管理,即在一个统一的界面中能够对全部的安全设备都进行相应的管理,并对网络中的实时信息进行及时反映,然后可以对得到的各种数据进行汇总、筛选、分析以及处理,从而提升终端对安全风险的反应能力,降低设备受到攻击的机率。
4结束语
一、互联网金融时代,金融信息安全面临的主要挑战
互联网金融信息安全不仅面临着互联网自身存在的安全风险,还面临着金融业务新技术与新形势的挑战,后者也为互联网金融的发展提供了诸多发展障碍。1、互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度。由于互联网技术的不断创新与发展,为金融业务提供了全新的发展平台与端口,众多理财、保险类互联网金融业务乘着互联网技术的发展态势不断涌出,在相关的金融信息安全保障体系尚未建立与完善之际,这种互联网金融业务的发展无疑是一种如履薄冰的繁荣。网络病毒的侵袭使得这种互联网金融业务的安全运行成为了一种偶然,如果不能及时构建严密的金融信息安全保障体系,那么互联网金融的发展则会变成无稽之谈。2、层出不穷的互联技术应用是当前金融信息安全面临的最大挑战。由于第三方支付平台的出现以及大数据等新兴分析技术的兴起,打破了传统金融业务的运行机制,也为消费者的金融信息安全增添了更多威胁。互联技术应用已经成为互联网金融发展的重要支撑,因此必须为其制定出相应的安全管理策略,来保证其安全运行。3、网络安全防控是互联网金融信息安全防范的难点。互联网金融发展面临的另一重要安全隐患便是互联网自身存在的安全漏洞。互联网由于其自身的开放性和匿名性特点,为许多网上金融犯罪提供了便利,这也是互联网金融信息安全防范的重难点。要想依附互联网这一平台展开相关金融业务,必须在网络安全防控方面有所作为。
二、相关对策建议
1、完善顶层设计,尽快构建适应互联网金融发展需要的金融信息安全保障体系。互联网金融的安全平稳运行离不开相关保障体系的保驾护航,我国当前已经存在的金融信息安全保障体系主要是根据传统金融信息安全问题而建立的,这显然已经不适应当前发展得日新月异的互联网金融的信息安全需要。所以,国家必须做好相关顶层设计,在安全保障技术方面提供最严密、最尖端的技术支持,加快金融信息安全方面的人才建设,在对当前金融信息安全保障体系进行完善的前提下,时刻关注互联网金融业务的整体发展态势,以实现金融信息安全问题的有效预测与防范。2、加快安全网络体系建设,最大限度提升金融网络防御攻击的水平。作为互联网金融业务发展依附的主要平台,互联网有必要进一步减少自身存在的安全隐患,从而为金融网络的自身防御提供高安全系数的保障。互联网可基于大数据分析,对于不同的金融业务平台进行相关数据分析,为互联网金融业务所的平台进行信用评估,从而为消费者进行选择时提供相关参考性意见。3、加强对新生金融实体从事互联网金融业务的信息安全保障。新生金融实体开通互联网金融业务时,在很大程度上会存在信息安全保障不到位的现象,因此,国家需要对这些新生互联网金融业务进行相关审批,制定出相关的考核检验标准,考核检验新生互联网金融业务的整体发展实力以及相关安全保障体系的建设与投入,严格遵守为消费者负责的态度,为我国的互联网金融发展的大环境保驾护航。4、积极探索适合监管互联网金融的金融信息安全防范措施。由于我国互联网金融的发展处在发展初期,因此缺乏相关管理经验,所以,我国可以借助国外先进互联网金融信息安全管理经验,对我国的互联网金融信息安全保障体系建设提供相应的支持。还可以展开国际互联网金融信息安全管理合作,因为互联网金融是面向世界各国的业务,单纯依靠一个国家的力量无法对涉及国际金融信息安全的问题实现有效处理。
三、结语
1我国互联网信息安全现状
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。
因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
网络安全技术已经成为影响互联网发展速度的一个重要课题,通过对其深入的研究,制定出合适的策略方法并加以实施,达到提升互联网安全的目的。
参考文献
[1]林凌.网络涉及隐私信息传播的法律规定[J].编辑学刊,2015(1).
【关键词】信息安全;监管现状;对策分析
网络已经逐渐成为了现代人沟通交流、消费购物以及办公学习的主要平台,现代人在享受网络带来的巨大便利的同时,也在忍受着网络信息安全受到威胁带来的麻烦,这就为网络信息安全的监管提出了要求,为研究其水平的提高提供了现实的必要。
1我国目前互联网信息安全监管存在的问题
1)政令不一。目前为止,我国还没有以后明确的专业的对网络信息安全的监管工作负责到底的机构或是单位,这就使得各个相关的关联部门对于信息安全的监管工作都有一定的话语权,都能够进行指挥与领导,使得监管的工作出现了多头领导的状态,使得监管的工作缺乏统一的政令、明确的指标,极大的降低了管理工作的效率,难以保证网络信息的安全。
2)标准模糊。根源于没有统一的领导机构的现实,信息安全监管的工作也就自然缺乏统一明确的政令标准,表现为目前虽然具有丰富的对于信息安全管理进行规范的法律,但是规则明确以及内容详细、标准严格的法令却是极端的缺乏,使得执法部门在监管的过程中缺乏统一明确的标准参考,监管的工作也常常受到非议,难以发挥信息监管的功能与作用,也难以保证网络信息的安全。
3)政府主导。对于网络信息安全进行监管的过程中,政府仍是监管的主力,缺少社会的参与以及对广大人民群众的调动,进而限制了监管的有效性以及实效性。表现为监管的工作具有较高的权威性,但是监管的效果却不得民心,单一的政府工作难以深入到网络深处,彻底清除信息安全难度隐患,使得信息的监管受到了结构性失衡的制约,影响了监管工作的发展。
2对提高网络信息安全监管水平的建议
2.1科学机构设置,统一监管单位
专门统一的管理机构能够拥有完全的自利,能够快速的对信息安全监管工作做出反映,进而及时的化解风险,同时也以为监管权利的集中,极大的减少了信息安全监管过程中的审批程序,提高了办事的效率,避免了多头管理、政令不一的局面,进而提高了监管工作的效率,避免了重复管理以及权责不明的现象,为网络信息安全的管理工作提供了保障。
为此,需要对行政机构进行改革,合并功能与职权相似的部门,建立起专业专职对网络信息安全进行管理的机构,赋予其监管的自以及决策权,并鼓励管理机构吸收民间的机构组成自己的智囊团,调动起群众的力量进行网络信息安全的监管,进而提高监管工作的效率与水平。
2.2完善法律体系,加强法制建设
网络在近年来得到了迅速的发展以及长足的进步,但是对其进行规范与管理的规章制度却没能够跟上其发展的脚步,滞后于其发展的速度,不能够对网络信息安全的监管做出明确严格且科学合理的规定,限制了监管工作的进行。
为此,便需要相关的立法部门能够不断的依据实际情况的发展,吸取网络信息安全的相关问题,征求有关专家以及人民群众的意见,不断的提升网络信息安全管理制度的法律水平,不断的对其中不适应形势的部分进行调整与改进,进而为信息安全的监管工作提供坚实的后盾,保证网络监管工作能够有法可依。
同时,也需要对相关的法律规范进行细节的规范与完善,进而明确各种行为的性质以及其应收到的惩罚,联合各部门之间的规章制度形成一套完整规范的管理体系,为网络信息的管理工作提供具体明确的指导。
最后,便是要对信息的违法进行详细明确的界定,界定信息对于国家以及社会安全的威胁性,进而追究信息的主体的法律责任,为信息安全的监管工作提供标准。因为在当前的法律体系中,对于什么样的信息是违法的、是不健康的以及不利于社会和谐的标准缺乏明确详细的界定与解释,也就限制了监管处罚的力度与范围,也就不能够深入的展开网络的信息清理以及安全保护工作。
2.3采取多种途径,提高监管持续性
网络信息安全的监管工作贵在能够坚持不懈、能够持之以恒,才能够真正的看到监管的效果与作用,真正的维护好网络信息的安全,发挥网络在社会生活中的作用,促进社会的发展。
为此,不仅需要在制度上对信息监管的长期性进行明确与保障,将网络信息安全监管的长期性作为法律法规的题中之义,将各部门、各机构之间的协调共进作为一种长效的机制,还要在技术方面给予支持与鼓励,吸引先进的网络监管技术参与到信息安全监管工作中来,不断的提高信息安全监管的水平,让不良有害的信息无所遁形,严厉打击与追究信息者的法律责任,提高网络信息监管的水平。
3结语
小到个人大至国家,在信息的使用过程中都难以离开计算机网络,这就需要国家能够完善网络信息安全监管的相关法规,需要监管部门能够调动起全民的力量展开网络信息安全的保护工作,才能够真正的提高网络信息安全监管的水平,保证网络信息的安全。
【参考文献】
[1]张博.互联网信息安全监管现状与对策分析[M].重庆科技学院学报,2012(21)
[2]彭章燕.信息安全呼唤有效监管[M].中国电信业,2011(01)
[3]孙龙,任丙强.当前我国工作网络安全意识与互联网监管模式创新研究[M].科学决策,2011(07)
1.互联网金融的定义
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
【关键词】移动互联网;信息;安全威胁;漏洞
移动互联网是移动通信技术和互联网技术相结合的一种产物,它的存在与应用为人们的生活提供了巨大的便利,但是随着国内移动网络规模和用户规模的不断扩大,其存在的信息安全风险日益凸显。许多人对移动互联网的应用安全问题并不了解,安全防范意识较为薄弱,因此,人们有必要了解移动互联网的信息安全威胁和漏洞,做好相关防范措施,同时,相关部门要采取积极有效的应对措施,保障用户信息安全,提高移动互联网的应用安全性。
1我国当前移动互联网信息安全威胁与漏洞分析
1.1网站安全漏洞
相关调查显示,我国超过30%的网站存在安全漏洞,这些漏洞的表现方式主要是:用户的登录名称和密码会遭到泄露;用户浏览的信息遭到泄露;用户因浏览网站而受到攻击的概率大大增加。而且,这类不安全的网站呈现出增长的态势,需要引起相关部门的重视。
1.2破解加密算法或窃取口令
除了网站本身存在的安全漏洞之外,部分人也会通过破解网站接入设备口令来进行攻击,用户在上网过程中容易受到攻击,这就要求网站运营商加强网站口令的严密性,提高网站抵抗入侵的能力,保护用户免受攻击。
1.3木马病毒
木马病毒是最为常见的一种移动互联网安全漏洞,也是电子信息安全的主要威胁因素,其主要通过特定的程序来控制另一台移动设备,窃取移动设备的资料信息,这种情况在现实生活中较为常见,许多用户因此而遭受到财产损失。这些恶意程序主要入侵智能手机、平板电脑等移动设备,而且在入侵之后不容易被用户发现,即使是一些防护软件也对此束手无策,因此,应对木马病毒是移动互联网安全工作应当重视的问题。
1.4伪AP欺骗
接入点AP伪装是目前威胁等级较高的一种黑客手段,这种安全威胁较为隐蔽,用户很难发现,因此也难以清除,由于移动终端用户的配置不当或者疏忽,就有可能会在未察觉时或者在贪图免费Wi-Fi想法驱使下连接到伪装接入点,因此受到攻击,在现实生活中,许多用户由于接入陌生的Wi-Fi,而使得自身的信息遭到泄露,这种问题较为突出,需要引起相关部门和用户的关注。
1.5Wi-Fi无线网络劫持
Wi-Fi无线网络劫持主要是攻击程序通过移动设备处理器上的安全漏洞来截获相应的信息,用户的信息和电话会因此受到窃听和监视,这种攻击手段较为隐蔽,用户在使用Wi-Fi上网时很难发现,受攻击的概率大大提高。而且,随着社会的发展,这种免费的Wi-Fi会更多,用户在接入和使用的过程中很难发现,需要相关部门加强这方面的管理,为用户提供安全的免费Wi-Fi服务。
2防范移动互联网信息安全威胁与漏洞的措施
2.1完善移动互联网安全相关法规
目前,我国在移动互联网安全保护方面制定了一些法律法规,但是,这些法律法规还不完善,对于一些细节性的问题没有交代清楚。笔者认为,我国立法部门应当将追责机制加入到法律体系中,使其发挥出应有的作用,当发现有危害移动互联网安全的行为时,要根据IP等信息确定嫌疑人,追究其刑事责任。同时,针对我国当前移动互联网快速发展的局势,相关单位要立足于自身的本职工作,加强移动互联网安全保护立法力度,建立健全相应的保护机制,规范网络安全保护技术,提高应对威胁和漏洞的能力,使得用户能够在保障体系之下享受互联网服务。
2.2加强改进计算机算法
当前在计算机安全网络评价方面主要应用的算法就是神经网络算法,这种算法有较大的优势,如非线性、自组织等,但是BP神经网络算法在面对不稳定的网络参数时会容易出现疏漏。因此,可以通过一些改进措施来完善。一般来说,BP神经网络的算法步骤为预先设置好输入的变量,然后设置好参数、输入样本数值、按照一定的公式来进行计算。改善时可通过附加动量法、自适应学习速率、结合拟牛顿法的算法、LM算法来实现。例如在计算时,会需要对权值进行修正,但是权值的修正可能会漏掉很小的值,这时就可以通过附加动量的方法来避免,也就是说在修正函数时可添加上一个动量项,这样就可以完成最精确的修正。如果同时加上一个大的动量项的话,可以使得修正在一个合理的方向进行。而自适应学习率是对计算过程中学习率方面的修正。通过对学习率的修正,可以使得计算的误差变小。
2.3移动互联网接入的安全防护措施
目前,随着网络信息科技的发展,用户入网的方式主要是Wi-Fi以及3G、4G网络,这些入网方式的优点是速度更快,能够满足用户多层次的需求,但是,这也增加了用户遭受攻击的风险,用户在使用互联网时,会认为网站是安全可靠的,因此,其防护等级就会比较低,而且在遭受到攻击之后还不会察觉。所以,相关部门有必要加强移动互联网的接入安全性,提高认证等级,例如可以使用双向认证的方式,如果有一方没有进行认证,则上网功能会受到影响,同时要进行访问授权,未经授权的终端设备不能接入互联网。移动互联网与终端通讯需采用加密机制,在传统的入侵检测手段的基础上,需要进一步强化对移动网络建立特别入侵攻击行为的检测机制。总之,目前人们对移动互联网有着非常大的依赖性,用户在上网的过程中,需要一个健康、安全的环境,相关单位要加强这方面的研究,提高移动互联网的安全性,加强认证,提高防护等级,为移动互联网的健康快速发展提供保障,促进我国移动互联网事业健康发展。
参考文献
[1]姜勇,刘徳刚,淋.移动互联网信息安全威胁与漏洞分析[J].信息化建设,2016(02):121-123.
[2]宋晓宇.一种基于AHP的信息安全威胁评估模型研究[J].计算机光盘软件与应用,2014(10):78-79.
关键词:互联网+医疗信息安全问题
国家文件《国务院关于积极推进“互联网+”行动的指导意见》,进一步对“互联网+”在医疗领域的建设和运用提出了指导性的意见和严格的要求。因此,在构建信息化医院时,医院相关人员要对医疗信息的安全问题进行具体的分析。
一、互联网+医疗模式下医疗信息现状
1.患者移动服务中的泄露风险
在信息化的医院和医疗中,患者可以通过微信公众号、支付宝服务号、APP、网站等渠道进行预约挂号、缴费咨询等,而挂号、缴费、就诊卡都需要实名制。在这个过程中,网页弹窗、小广告、流氓网站、钓鱼网站层出不穷,患者操作时稍不注意就可能陷入网络陷阱,造成人身或者经济的损失。
我国不同地区的经济水平、医疗水平存在一定的差异性,当一些相对落后地区的患者通过网络平台向高级医院求助时,在信息传递的过程中,可能发生信息泄漏,这很难追究问题的根源。再加上从业人员能力参差不齐,更有甚者为了利益贩卖患者的信息,这都对医疗信息的安全性造成了威胁。
2.远程医疗中的泄露风险
远程医疗是指远距离对患者进行医学诊疗,它打破了空间的限制,不仅方便了患者及时就诊,还有利于优质医疗资源的配置。但在进行远程医疗服务的同时,患者的病例和个人信息都需要通过互联网进行传输,医生与患者之间的沟通需要通过视频通话,这很容易造成通信信息被记录、篡改或者遭到拦截,患者的医学影像、病例、化验单等信息遭到拷贝,整个过程都存在泄漏信息安全的隐患。
3.移动医疗设备使用中的泄露风险
随着科技的发展,一些移动医疗设备随之产生,类似于健康手环、血糖仪、血压仪、慢性病监测设备等。其中,健康手环会对佩戴者进行实时监控,在整个过程中信息会通过网络传输到手机上。此时,如果遭到网络黑客的恶意篡改和监视,佩戴者的行程、位置、个人信息等信息就会一览无余地呈现在不法分子面前,严重危害人们的安全。
二、相关策略
1.增强信息系统安全性
首先,医院和相关医疗部门应加大资金和技术人员的投入,组建信息安全部门,及检查网络安全情况,对平台漏洞进行监控和修复,建立网络防火墙,阻止不法分子的网络攻击和病毒入侵;其次,医院要保护好自己的数据库,配备专业的数据库安全产品,设定安全访问的规则,限制非授权的访问;最后,客户端要安装专业的网络杀毒软件,并且定时扫描和更新终端设备,提高医疗信息的安全性,为信息化的医疗服务提供网络安全技术支持,为患者的个人信息保驾护航。
2.加强相应的管理
互联网医疗机构要遵守法律法规,按照《網络安全法》和行业标准进行发展和管理,因为医疗信息的安全离不开法律的支持和医院的管理。
第一,医院要提高相关工作人员的专业能力和信息保护意识,保护医院和患者的隐私。同时,医院要建立相关的规章制度,严格约束从业人员,提高从业人员的自我约束能力和信息安全管理的责任心。
第二,医院要向患者公开信息安全保护的相关规定,要求患者保护个人信息。医疗信息具有巨大的商业价值,患者只有妥善保管,才能保证信息免遭泄漏。
第三,医院要把握好公开信息和隐私信息之间的平衡,不能一概而论地公开信息,也不能毫无余地地保密信息。信息化的智能医院就是利用互联网互联互通和信息开放的特点,保护病患的信息安全,所以在保护医疗信息时,医院要避免绝对化,把握好尺度。
桌面互联网 移动互联网 信息安全
1 引言
当我们探讨安全问题的时候,一般会将安全放在某一个业务或者某一种场景下讨论。换句话说,抛开业务和场景讨论安全是毫无意义的。所以,当探讨桌面互联网安全和移动互联网安全的时候,我们需要先充分了解桌面互联网和移动互联网的业务形态和应用场景[1]。
桌面互联网最重要的特点是web网站是其信息组织和交互的核心载体,它兴起于上个世纪90年代。人们最初熟悉桌面互联网是从门户网站开始的,如雅虎、搜狐、新浪等。那时的互联网是一个海量信息的集合,人们可以从互联网上获取大量的、实时的信息。我们称之为Web 1.0时代。当互联网引入了用户参与,包括评论、互动等,互联网用户就可以在线地参与到这些业务中去了。这时,桌面互联网进入了Web 2.0时代。博客就是这个时代最典型的产品。随着互联网的发展,用户不再满足线上精神层面的交流,他们的互动从线上延伸到了线下。互联网从单纯的信息交互融入到了人们的实际生活当中。我们称之为Web 3.0时代。这个时代典型的业务包括电子商务(如淘宝、京东)、婚恋网站(如百合网、珍爱网)、招聘网站(如智联招聘)。除了上述场景外,桌面互联网的典型业务场景还包括以腾讯QQ为代表的即时通讯业务和以Google、百度为代表的搜索引擎业务。
移动互联网最重要的特点是手机App是其信息组织和交互的核心载体。在移动互联网发展的初期,桌面互联网的应用被简单的迁移到了手机终端,形成了Wap网站。但是由于带宽和终端的限制,这些业务始终难以得到真正的发展。苹果推出的iPhone开创了智能手机的先河,是全世界第一款能够非常轻松简易访问移动互联网的智能终端。苹果手机的出现和移动超宽带网络的部署(3G、4G)为移动互联网带来了大发展的契机。大量的手机App随之涌现出来,它们利用运营商提供的带宽和手机终端的各种功能(音\视频、通话等),为用户提供各种各样的服务,我们称之为OTT(Over the Top)业务。它们能够直接在互联网上部署,并通过智能手机客户端的App为用户提供服务。
桌面互联网和移动互联网业务有一个相同的必争山头:流量。无论是web网站也好、手机App也好,用户的流量是业务能否盈利的决定性因素。所以互联网(这里泛指桌面和移动互联网)业务的运营团队最重要的工作目标是为业务带来流量,而流量又是靠入口来实现的。在桌面互联网时代,当我们遇到一个自己不了解的事物,第一选择就是搜索引擎(Google、百度);当我们希望购买一样东西的时候,第一选择就是电商网站(亚马逊、淘宝);当我们需要使用某种手机App的时候,一般会选择一个手机应用商城去下载这些应用(App Store、Google Play、中国移动MM)。这些都是用户使用互联网业务的典型入口。
2 互联网信息安全
互联网信息安全涉及的领域非常广泛,它背后涉及学科包括计算机、网络、通信、密码、数学、社会科学等。由于互联网业务主要的承载方式是计算机代码,所以互联网信息安全产生的根源是计算机代码的各种漏洞。这些漏洞存在于互联网业务、数据库软件、操作系统、中间件,甚至是通信网络协议中,可以说无处不在。但是安全漏洞和风险即使存在,也未必会被利用并造成不良后果,那是因为几乎所有利用安全漏洞的行为一般都不会仅仅由于攻击者的兴趣而发动,其背后必有利益作为推动[2]。打个比方,一个攻击者利用DoS/DDoS攻击让某一个网站无法对外提供服务。实际上这个攻击并不是免费的,它需要大量的肉鸡、需要好的攻击软件、需要发起攻击的服务器和带宽。这个攻击者一般都会通过某种途径回收投入、获取利益。当然,这些行为都是非法的。
在互联网中,业务运营方和用户手中都握有非常有价值的数据和信息,所以他们都可能成为互联网恶意用户攻击的对象。以业务运营方为目标的攻击一般通过利用业务和系统的漏洞“非正常”的进行访问,窃取关键数据或致盲业务;而以用户为目标的攻击一般通过欺骗、数据包截获等方式获取用户的关键信息,如信用卡信息、虚拟储值账户信息、隐私信息等。所以从这个角度看,互联网信息安全治理的关键点是对一些高价值的数据和业务做好信息安全防护。
3 桌面互联网的安全风险
由于桌面互联网以Web网站作为信息组织和交互的载体,所以桌面互联网业务面对的最直观风险是攻击者“非正常”访问网站的风险。攻击者的目的不同,“非正常”访问的手段也有所区别。
3.1 DoS/DDoS攻击
DoS/DDoS(Deny of Service/Distributed Deny of Service)是以致盲业务为目的的攻击手段。它通过大量的肉鸡发送无效数据包,使得Web业务繁忙以至于最终无法提供正常服务。无效的数据包可以通过各种协议发送,如SYN、ICMP、UDP。但是当Web服务安装了防火墙后,这些攻击都能够被有效的阻挡在防火墙外而不能对业务造成影响。目前比较有效的攻击手段是CC(Challenge Collapsar)攻击[3]。它利用模拟多个用户并发访问的方式,耗尽服务器和数据库的资源。因为已模拟成正常的web访问,所以此类攻击能够有效穿透防火墙。
在DDoS攻击领域,目前已经有了一个完整的黑色产业链。只为兴趣不为利益的攻击几乎已经不存在了。在该链条中,有人负责提供肉鸡、有人负责编写攻击软件、有人负责选取对象开展攻击、有人负责讹诈收钱。一些流量敏感型业务或者Web页面电子商务依赖性较大的业务往往最容易成为被攻击的对象,如视频网站、电商网站等。
3.2 Web页面漏洞
典型的Web页面漏洞包括SQL注入漏洞和XSS(cross site scripting)跨站漏洞。SQL注入风险产生的原因是Web页面没有过滤用户的URL输入。这样一来,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误地将攻击者的输入作为原始的SQL查询语句的一部分执行,导致改变了原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询。常用的SQL注入语句如:$username=1'or'1'='1、$password=1'or'1'='1。通过多次输入这些语句并依据服务端返回值(“正确”或“错误”),就可以猜解出Web端数据库的用户名和密码,达到非法访问的目的。解决SQL注入一般是通过URL过滤的方式,防止用户通过http协议提交一些非法的查询请求。
XSS(cross site scripting)跨站漏洞只存在于包括动态内容的页面上,而静态站点则完全不会受到其影响。所谓动态内容,是指根据用户环境和需要,Web应用程序能够输出相应的内容。所以这些网站往往允许用户发表包含HTML或Javascript脚本的内容。如果用户发表的内容包含了恶意脚本,那么其他用户在浏览这些内容的时候,恶意脚本就会执行,盗取他们的信息,包括用户帐户、cookie等。跨站攻击又分为持久型跨站和反射型(非持久型)跨站2种。根据应用安全国际组织OWASP[4]的建议,对XSS最佳的防护应该结合以下2种方法:验证所有输入数据,包括输入数据的长度、类型、语法以及业务规则;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
3.3 越权访问漏洞
越权访问漏洞是指用户无需通过Web服务的用户名和密码匹配校验鉴权就能直接访问服务的漏洞。这往往是由于Web服务开发者的疏忽而造成。用户在登陆Web服务的时候,需要输入用户名和密码来鉴权确认用户身份。但是当用户登陆后,在进行某些需要判定用户身份的操作时,在Web服务中判断用户身份的字段往往不会在客户端和服务器之间传递,而是调用一个session文件来确认用户的身份。该session文件往往是在用户登陆系统的时候创建的,是用户的身份证明。越权访问是在某些Web服务未关联session文件,且未对用户的身份进行鉴权就授予访问权限时发生的。解决越权访问漏洞主要需要开发人员对所有的网站代码做较为仔细的审计,对所有需要校验用户名密码的服务都需要确认要么调用session文件,要么直接向客户端获取用户名密码展开相关鉴权。
3.4 其他风险
Web服务的安全风险其实远不止上述几种。在Web业务开展的过程中可能会有注册、登陆、登出、注销、使用业务等诸多步骤。每一个步骤都可能有因逻辑漏洞或者代码漏洞而产生的安全风险。除此之外,承载Web服务的平台(如IIS、Apache等)、数据库(如SQL)也可能因为补丁未打等为题存在内网漏洞。这些都需要具体问题具体分析。
4 移动互联网时代的安全
在移动互联网领域,由于手机App是信息组织和交互的载体和核心,安全风险主要在手机App上体现。更重要的是,和PC相比,手机终端是更贴近用户的终端设备,上面存储了更加重要和隐私的信息。所以在移动互联网时代,以用户为目标的攻击远比桌面互联网时代更为常见。
4.1 常见的安全威胁[5]
(1)资费消耗:恶意应用在用户不知情的情况下拨打电话、发送短彩信、开启网络连接发送用户数据,导致用户的资费损失。例如某恶意应用伪装为手机壁纸应用诱导用户下载安装,安装后在开机或重启时自动运行某恶意进程。该恶意进程会联网获取返回链接,并不断尝试访问这些链接,通过频繁链接这些网址消耗用户大量流量。
(2)隐私窃取:恶意应用可在用户未确认或不知情的情况下读取用户电话本数据、通话记录、短彩信数据,或者在用户不知情的情况下进行通话录音、拍照、摄像、定位等操作,随后上传收集到的隐私数据。近两年,窃取用户个人隐私正成为恶意应用的主要目标之一。除了用户隐私信息之外,高价值的用户账户信息也是被窃取的主要目标。例如利用某恶意应用,通过淘宝“忘记密码”这一功能重置手机用户的支付宝登陆密码,而重置期间所提示的手机短信,都会被屏蔽,转发给黑客手机服务器。若重置成功,则可盗取用户的淘宝和支付宝账户信息,并将用户账户资金偷走。
(3)恶意扣费:恶意代码通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失。例如恶意扣费应用可以通过在代码内嵌业务订购地址,或通过在线访问的方式,在用户不知情的情况下发起订购。由于被访问的订购业务是蓄意构造的,可能不具备一系列的认证、二次确认步骤,用户会不知不觉的“被订购”和“被扣费”。
(4)远程控制:一些恶意应用可将安装了该软件的终端变成一部“傀儡机”,在用户不知情或未授权的情况下,接受远程控制指令并执行相应的操作。
(5)流氓行为:恶意应用可能会在后台运行,强制驻留系统内存,额外占用CPU资源,使手机终端运行缓慢,并且用户不能禁止该类软件的开机自启动,或者不能删除、卸载该软件。
4.2 恶意手机应用泛滥的原因
恶意手机应用泛滥问题的根源来自多个方面。1)手机用户:在现阶段,国内很多手机用户使用手机应用尚无付费习惯。庞大的受众群体使得免费应用成为恶意程序扩散的主要手段。2)应用开发者:除了开发收费应用之外,一部分开发者为了生存,可能不择手段的寻找各种盈利手段,比如以各种手段诱骗、吸引用户下载并安装应用,利用其内嵌的广告盈利。3)软件下载渠道:下载渠道主要盈利方式是建立在吸引大量开发者应用的基础上的。若对应用进行严格的检测,可能导致该渠道的软件来源减少进而影响收入。这导致渠道商没有进行严格安全检测的动力和积极性,甚至可能采取纵容的态度。4)安全厂商:为手机用户提供了免费杀毒软件,并可以为软件下载渠道提供软件安全检测服务。但是免费杀毒的模式与其他软件开发者的生存模式一致,都是靠用户数量盈利,无法保证其权威性与公正性。5)电信运营商:为软件下载提供网络连接,通过流量收取费用。目前运营商已开始在网络侧对恶意应用进行监测,不过尚在起步阶段。6)国家监管机构:因目前我国在手机应用安全监管方面的工作刚刚起步,没有统一的政策、标准等监管要求,也缺乏相关监管手段进行支撑,对手机恶意应用泛滥的现状有心无力。
4.3 移动互联网手机应用的安全管控
既然移动互联网时代用户的入口是手机App,那么对手机App安全性的保障是移动互联网安全治理的重要举措。首先,对手机应用商城的治理刻不容缓。作为手机App的分发渠道,应用商城应该像超级市场对上架货品检测一样对第三方手机App的安全性做准入性检测。这些检测需要从代码、内容等多个方面保证这些在其应用商城上线的应用不能包含恶意的代码、违规的内容,不能在用户未授权的情况下获取用户手机上的隐私和关键信息。其次,政府的行业指导单位需要对手机应用进行合理监管。例如以抽检的方式对业务进行上线前、上线后的安全评估,对未达标的应用责令下线和整改。
5 结论
本文体系化地探讨了桌面互联网和移动互联网业务面临的安全风险,并提出了一些解决问题的思路和方法。实际上,互联网信息安全风险层出不穷,只要业务在不断的发展,新的风险和漏洞也会不断的涌现。只要有利可图,攻击者就会不断的发起攻击,获取数据,并利用黑色产业链兑现相关利益。“没有买卖,就没有杀害”在互联网领域同样适用:没有黑色产业链为攻击者非法获得的数据买单,也就不会有层出不穷的安全事件发生。所以无论是对桌面互联网还是移动互联网,其安全治理不单单是要从技术层面解决安全漏洞,还要从根本上打击黑色产业链为攻击者提供的销赃渠道。
参考文献:
[1] 吴倚天. 从桌面互联网到移动互联网[J]. 信息化建设, 2009(5): 16-17.
[2] 唐鑫. 网络入侵攻击黑色产业链分析[J]. 网络安全技术与应用, 2014(6): 174-175.
[3] 计算机与网络. WEB服务器被CC攻击的症状以及防护[J]. 计算机与网络, 2013(10): 42-43.
(讯)移动互联网发展将进入暴增期,信息安全和意识形态安全问题凸现。社科文献出版社日前在京《新媒体蓝皮书:中国新媒体发展报告(2012)》这样表示。
蓝皮书认为,近几年,互联网移动化发展态势明显,其发展速度已经超过传统互联网。由于手机用户基数庞大,随着2G网络在全球的普及和3G乃至4G的快速推进,移动互联网发展将进入暴增期。2011年全球3G的覆盖面积达到45%,全球159个经济体拥有3G服务,3G活跃用户已经增长至12亿。从2008年-2011年,世界手机宽带用户数量每年增长超过45%。
蓝皮书认为,未来几年,移动互联网发展空间巨大,新媒体的移动化发展,信息传播门槛的大大降低,意识形态安全和信息安全问题凸现。一方面,全球公民的各种各样的个人隐私几乎全部被集聚于移动互联网的服务器中,随时都有被泄露的危险;另一方面,由于新媒体信息内容并不分级,不分男女老幼都将面对同样的信息,尤其是移动传播缺乏规制,泛滥的、暴力以及低俗的不健康内容将会对青少年产生极大危害。 (来源:新华网:编选:)
关键词:网络信息;网络信息安全;互联网+时代;挑战与思考
中图分类号:TP393.08 文献识别码:A 文章编号:1001-828X(2016)027-000-01
前言
对于网络信息安全这一严峻挑战,应当将与信息安全密切联系的发展趋势的问题高度紧张重视起来,针对如何确保互联网+时代下网络信息安全这一问题进行深入研究和分析,提出可行的战略措施,用谨慎的态度为互联网安全穿上无坚不摧的“铠甲”,在互联网时代切实地保证国家和人民的安全,以此大力发展有关网络信息安全的产业,利用好自身优势,为国家的网络信息安全贡献出自己的力量。
一、互联网+时代下网络信息安全的险峻局势
“互联网+”指的是通过互联网加强传统产业的升级和提高,结合新产业培养新的随着互联网+计划的快速进展,随着宽带中国这一战略的实施推进,国家互联网实行了全面的升级和提速,用户规模逐渐扩大,4G网络正式进入到人们的日常生活。其中,网络信息安全已成为保障实施的重点环节。在互联网+的倡导下形成的万物互联趋势,其安全方面是不容忽视的保障基础,需要国家高度的重视,并及时部署相应的措施。
目前,网络信息安全已然成为关乎国家稳定和社会安全的重要问题。随着近些年来国内和国外大量有关网络信息安全事件的发生,诸如五角大楼连续被黑客入侵、“震网”攻击、“极光攻击”、“夜龙攻击”以及斯诺登“棱镜门”事件;国内不法分子通过非法渠道获取到个人用户信息进行诈骗、信息传播等等。利用互联网传播的恶意木马程序的域名高达一点五万个,违法IP地址六万多个,境内被肆意篡改的网络站点超过两万多个,钓鱼网站三万个,一些匿名的高级黑客组织至少侵入过我国六百多个政府网络;宽带接入点被攻击劫持,还有各种CN域名遭遇木马病毒攻击导致服务器瘫痪等事件,由网络信息安全的疏漏导致的国家经济损失高达上千亿。在这样复杂严峻的局势下,随着网络信息技术的不断发展进步,网络信息安全相关的问题和进入了更加复杂的领域。如果无法保证这一方面的安全,后果将不堪设想[1]。
随着云计算、SDN、大数据、物联网等网络技术的蓬勃发展,各个领域中网络信息安全的威胁也出现了向着多元化发展的趋势,因此在互联网+的各个领域中,消费者和用户所面临的安全威胁和挑战就变得更加复杂。在一些信息安全技术的行业领域,其针对网络信息安全的对策还存在着短板,在如此复杂的严峻形势之下,必须加快速度、大力推进在互联网+的时代之下网络信息安全的实施,促进国内网络信息安全产业更加深入。
二、互联网+时代下网络信息安全的整顿策略
进入互联网+时代以来,我国至今为止已经有超过6亿网民和5亿的智能手机用户,社交网络的进步、移动设备、电子芯片在各大企业和群众中广泛普及,为互联网+时代奠定了坚实稳固的基础。在互联网+时代下,以互联网为代表的发达的信息技术加速了各个行业产业的渗透、发展与融合,通过对传统产业产量的提升进行改革创新,在此基础上催生出新兴产业的发展。为了尽快适应新的常态,谋求新的发展,国家应当坚持新型产业工业化的道路,以信息化和工业化的深度结合为基准,大力发展互联网+业务的新型服务内容,打造高质量高校的升级版的现代化互联网信息技术强国[2]。
怎样利用有效的措施来应对互联网+时代下的网络信息安全问题是针对目前网络环境和安全状况的首要目标,互联网技术应吸取发展中的经验教训,避免重蹈覆辙,对网络间传输的信息实施认证,及时阻止违法恶意的信息传播到人群中去。保证传输信息的真实性,遵守网络环境中的秩序,对信息来源加以保护,确保用户的权益。
互联网+时代下云计算这一技术的发展除了给人们生活提供便利之外。也会导致全球信息资源集中到国际信息产业巨头。倘若大量的用户信息经过整理和聚合以后被不法之徒分析滥用,那么带来的危害是无法忽视的。所以,国家网络信息安全的工作一定得是建立在可信和可控的产业基础上。为的是提高互联网技术自主创新的能力,增强网络信息技术和相关服务的可控水平,并相应地提高网络信息安全技术的构建,提高对木马病毒的追踪能力,正确判断出网络遭受攻击时的目标来源,将有用的数据加以提取,让隐藏在数据背后的黑客“显形”。
加快制定出网络信息安全相关的战略对策,建立健全完善的安全防护体系,加强网络信息的安全保障工作。对恶意木马程序及时治理,及时修复网络中存在的安全漏洞。最重要的,是提高网民的警惕性和自我保护意识,定期进行网络安全教育的宣传,提高网民综合素质,才能全面地维护互联网+时代下网络信息的安全[3]。
三、结论
在现代信息社会的发展进步中,能够控制住网络便是掌握了整个世界的发展,在电子信息技术家喻户晓的今天,互联网技术高速发展,网络信息安全已然变成全局性的重点关注问题。千里之堤,溃于蚁穴,只有将这个问题高度重视起来,积极发展互联网+时代下网络信息安全的服务内容,加快安全可控的信息技术在各个领域中的推广和应用,鼓励基于互联网安全下技术、产品等服务平台的建设和创新,持续互联网技术下信息安全新模式的发展,才能有效保证国家信息的安全和广大人民群众个人信息的安全,才能为互联网+时代中网络信息技术的发展塑造更加良好和安全的环境。
参考文献:
[1]李晶.“棱镜”折射下的网络信息安全挑战及其战略思考[J].情报理论与实践,2014,04:48-52.
[2]王莉.“棱镜”折射下的网络信息安全挑战及其战略思考[J].信息安全与技术,2015,01:5-6+13.
互联网+和环保信息监测的有效结合可以分成以下三方面:第一,通过互联网+传输环保信息数据。首先将全国各地环保数据、空气数据、水环保数据以及地表水数据等进行筛选加工后,将正确的数据信息传输到国家环境监测中心,然后由国家环境监测中心对这些环保数据进行审核,整理,以报告的形式通过互联网+传送出去,使每个用户端可以将环保数据及信息进行下栽、浏览等。第二,国家环保监测部门可以通过互联网+对环保信息进行实时监测,全面掌握环保、排污企业的实时情况、环保数据以及环保信息的质量,一旦发生异常现象,监测平台会立即报警发出警示。第三,利用互联网+,公布环保数据。在2013年时,面向全国建立了对空气质量的监测平台,实现了空气质量数据的实时监控;在2015年时国家全面覆盖了空气质量监测数据的实时监测,监测所得数据相关网站均可查到。我国目前通过互联网+环境保护信息的监测已经具备了一定的基础。对于一些重点污染源企业实行了在线监测,所有环保信息都可以经过网上进行传输以及接收,查看,并且已经向社会大众进行了实时公开。
2互联网+",环境信息安全面临的机遇和挑战
2.1互联网+",环境保护信息安全面临的机遇
从国家层面上来说,近期,我国对党“互联网+环保”颁布了《生态环境监测网络建设方案》。并且指出,大数据以及互联网+是推动环保治理的重要实施手段。这足以说明国家对“互联网+环保”的高度重视,为环保信息安全的发展打下了坚实的基础。从公众参与的角度看,近些年,社会大众参与环保行为日益增多,互联网+的加入,更加提升了社会大众参与环保的意识。互联网+满足了社会大众对于环保信息的需求,例如,提供了实时空气质量数据监测、环境质量数据监测等。
2.2“互联网+”环境下面临的挑战
从技术角度来看,“互联网+”由于更新快,更新周期短,一旦企业缺少资金以及缺少自主研发的能力,会在很短时间内被市场所淘汰。环境保护信息用户安全管理,主要是依靠环保信息系统去实现,如果只是一昧地去模仿或者是依靠某些应用系统,很快便会降低环保信息用户的安全性。例如,某研发公司,通过自身积累的地理数据,已经主动投身于对“互联网+”背景下环保大数据的应用,一方面通过将一张大的地图与各种服务整合到一起,成立一套新的地图及服务体系;另一方面,在环保数据信息安全监测、用户安全评价以及环保信息预测等方面,通过全面收集的环保信息数据,深化研发了大数据在环保领域的应用。
3互联网+下环境保护信息用户安全
3.1善于利用互联网+
作为国家环保部门要关于利用互联网+,推进环保信息安全管理,推动环保法治的有效进行,积极开展正确的环保舆论引导,推进社会大众的积极参与。作为国家环保部门一定要建立善于利用互联网+的思想,要保障社会大众对环保信息的知情权、以及环保信息用户的安全。对于所公开的环保信息要做到公平公正,保障用户所看到的环保信息是公正的,敢于听取批评,敢讲出实情,只有这样才可以通过互联网+实现真正意义上的环保信息用户的安全管理平台。
3.2加强环保信息用户安全,提高环保信息大数据安全保障及防范能力
促动环保应用技术的研发,加大环保信息资金支撑,加强环保信息及用户安全管理工作,提高环保监测部门,在互联网+背景下环保信息用户安全的可控制性。对互联网+大数据背景下环保信息用户安全体系加强建设力度,通过对环保信息采集、分析、处理等过程,建立与需求相符的环保信息用户保护系统,建立统一的环保信息用户保护体系,推进环保部门对环保信息用户的保护态势。将大数据应用技术得以充分利用,减少互联网+背景下,对环保信息用户的各类攻击,通过应用大数据环保信息处理技术达到对网络异常的实现监测及分析,通过应用大数据的互联网+的攻击追踪,达到查找互联网+攻击行为的源头。
3.3对环保信息的真实需求全面掌握
我国环境相对较为复杂,由于地区的不同,环保部门所面临的问题也不同,作为企业来说,要加强与当地环保部门的沟通,全面掌握当地环保用户的真正需求,要从技术上梳理对环保信息用户的安全管理,切勿将一种系统复制应用到各个地方。
3.4“互联网+”有效强化环保监测数据安全用户的管理
通过利用互联网+实时在线环保信息用户安全监测平台,实现了每个环保信息安全监测点与主控制中心的安全连接。例如说,在山东省的某一个环保信息监测中心可以与总监测中心平台直接连到一起,一旦山东省的环境监测数据出来,就会立即传送到总监测中心,总监测中心就会全面掌握山东监测点的运行情况。
4结束语
【关键词】互联网金融 P2P网贷平台 信息安全 政策管理
一、问题的提出
自2013年以来,互联网金融就未停下它迅猛发展的脚步。作为一种新的金融商业模式,互联网金融正逐渐成为当前以及未来中国经济发展的一个重要驱动力。从2015年7月国务院的“互联网+”行动可以看出,互联网金融已正式升级为国家战略。互联网金融行业地位的空前提高,从利好的一面来看,能加大其在创业创新、普惠金融等等方面的应用,使金融巧妙地渗透入社会的各方各面;但从利空的一面来讲,由于目前我国互联网金融发展所依赖的信息技术等要求远不及其速度的加快和规模的扩大,信息安全问题、风险及监管问题越来越突出,亟待解决。尤其是作为互联网金融发展一大重要形态的p2p借贷平台,成为了信息安全问题爆发的重灾区。
金融安全问题是当下互联网金融追求可持续发展最核心的问题,可以说金融信息安全是互联网金融稳定发展的前提和保障。针对目前我国大多数互联网金融平台未做到真正信息安全的现状,加之p2p网贷平台成为备受黑客青睐、信息安全问题频发的高地,对于互联网金融信息安全问题的课题研究显得十分具有现实意义和研究价值。准确说来,金融信息安全是保障金融发展和创新的基础,更是促进互联网金融稳健发展、为实体经济服务的动力保障。
二、范畴界定及相关文献概述
根据国际化标准委员会的定义,信息安全是“为数据处理系统而采取的技术的和管理的安全保护,保护信息系统的硬件、软件及相关数据不因偶然或恶意的侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行”。那么互联网金融信息安全同样也是为维护互联网金融领域的数据信息处理系统而进行的技术和管理的安全保护。安全是金融信息系统的生命,更是当前互联网金融信息体系的灵魂。
国内对于互联网金融及其引致的信息安全问题等方面的研究起步相对较晚。P2P网贷平台作为互联网金融发展的三大新兴模式之一,发展初期必然会面临不少阻碍。翁舟杰等(2004)认为我国P2P网络借贷平台未来的发展将面临着个人信用体系不健全、相关法律法规缺失等障碍,同时信息安全问题隐患也在逐渐放大。蒋琳,李万业(2013)就网络借贷可能出现的信息泄露等问题,提出了互联网金融行业的相关法律法规应该尽快确立并加以完善。李雪静(2013)在借鉴美、英等国对P2P网络借贷的监管模式下,提出我国网络借贷当前应该明确监管部门任务,规范监管手段。再结合国内的信用环境杂质较多、信用信息系统因存在较大技术缺陷而难以完善、信息安全问题日益突出等的现状,互联网金融的发展受到严峻挑战。由此看来,对互联网金融行业信息安全问题的研究显得十分重要和意义深远。
三、互联网金融信息安全案例分析
国家互联网应急中心数据报告显示,截止2015年12月底,境内感染网络病毒的终端数近227万个;针对境内网站的仿冒页面数量为15,710个;信息系统安全漏洞为690个,其中高危漏洞有335个。{1}在这样的互联网大环境下,P2P网贷平台以惊人的速度成长和发展,同时信息安全隐患也在不断扩大。下面将以P2P网贷平台为重点对互联网金融信息安全问题进行分析。
(一)P2P网贷平台信息安全风险日益累积
自2013年P2P网贷平台开始“爆炸式”增长以来,其所遭遇的黑客攻击事件也从未停息。2013年4月,丰达财富P2P网贷平台遭黑客持续攻击,网站瘫痪5分钟;同年7月6日,“中财在线”自主开发的系统遭遇黑客攻击,导致用户数据泄漏;同年12月,广东地区有多家P2P平台,包括e速贷、通融易贷等集中被黑客攻击。2014年2月初,拍拍贷、好贷网等多家P2P网贷平台,在黑客的恶意攻击下,不仅平台页面无法打开,投资、提现操作也受到了限制,黑客几千元至几万元不等的敲诈信息接踵而至。P2P行业已被黑客攻击的乌云笼罩,而黑客针对平台攻击的速度和规模不但没有放缓,反而变本加厉。
2015年注定是P2P行业颇具挑战的一年,可以毫不夸张地说,中国P2P已经成为全世界黑客宰割的羔羊。2015年1月,网络借贷平台红岭创投网站遭遇黑客DDOS攻击,网页瘫痪持续数个小时;同年4月,作为国内知名P2P平台的芝麻金融也未能逃过黑客的猛烈攻击。由于其网站数据库的泄露,包括姓名、身份证号、银行卡信息等在内的用户资料较大规模泄露,且牵涉到的资金高达3000多万元。2015年6月,先是信融财富官网遭受到黑客DDOS恶意流量攻击,随后另两家平台宝点网和立业贷在黑客大规模攻击下,均未能逃过平台服务器瘫痪的厄运。虽然黑客采用的是外部流量拖垮服务器的攻击方式,并不会对用户的信息安全造成影响,但此次较大规模的黑客攻击事件给广大P2P借贷平台投资者和平台负责人敲醒了警钟,信息安全问题再度成为行业关注热点。
(二)互联网金融环境下的其他信息安全问题
除了黑客一直虎视眈眈的P2P网贷平台信息安全事件频发,互联网金融环境下的其他信息安全问题也日益严重。互联网金融业务方面,发生在2013年9月的网银变种木马病毒“弼马温”使几十万的网民感染病毒,海量的信息遭到了泄露。还有为大家熟知的支付宝在2013年3月也曾出现过重大漏洞,通过引擎搜索便可获得大量的支付宝转账交易信息及个人敏感信息。加之“携程漏洞门”、“二维码支付欺诈”等一系列信息安全风险事件频发,解决互联网金融环境下的信息安全问题迫在眉睫。
(三)从P2P网贷平台到互联网金融信息安全问题分析
对P2P借贷平台黑客攻击事件进行分析后不难发现,P2P平台最常见的漏洞类型有支付漏洞、密码重置、访问控制等,黑客攻击P2P平台的方式也比较集中。并且黑客攻击P2P平台的目的也很明确:窃取信息、资金获利和敲诈平台等。
总之,P2P网贷平台之所以备受黑客青睐并成为信息安全风险事件频发的高地,本质上还是因为先前的金融信息安全技术防范难以追赶新兴互联网技术的更新换代,并且随着互联网金融业务的迅速膨胀,原先的信息安全保护体制已然失去其原来的效用,亟待重塑建设。这些都意味着互联网金融领域的信息安全管理和防护早已不能满足和适应当前互联网金融迅猛发展的需求,并且这些因素都必将放大互联网金融信息安全问题的隐患。在移动互联网、大数据技术、云计算技术等新兴技术成为互联网金融发展代表名词的同时,由于其自身的技术成熟度不够,在国内互联网金融发展的信息安全环境一直不稳定、社会征信体系的建设滞后、与互联网金融信息安全相关的法律法规缺失、国内关于互联网金融信息安全的监管手段的不明确、监管机制的不合理、信息安全监管体系的不健全等重要因素的催动下,信息安全问题正在从原先积聚的P2P网贷平台开始逐步向整个互联网金融领域蔓延。若不及时采取管理措施,信息安全带来的风险隐患将是不可估量的。
四、对策建议
技术加管理,一直是人们处理信息安全问题的法则和经验。因此,“三分技术,七分管理”的理念对于处理互联网金融信息安全问题也当具有宝贵的借鉴意义。针对互联网金融信息安全引发的问题和带来的风险隐患,可从以下几个方面提出管理措施及相关政策:
(一)传统信息技术与互联网金融背景下的新兴技术需共同进步
金融信息系统的安全运行直接关系到国家安全、人民利益和社会稳定。传统的信息技术措施和信息安全产品有防火墙、访问控制、身份认证、数据加密、病毒防治等等,这些技术在银行、证券等行业中的灵活运用也使得金融信息系统成为了国家重要的基础设施。我们都知道,互联网金融的兴起和发展离不开新兴技术工具的支持,而由于这些技术自带庞大的数据库,潜在的信息安全隐患也是极大的。一旦发生数据信息被窃取、泄露、非法篡改的事故,一如多次提到的黑客攻击P2P平台事件,轻则个人隐私暴露、权益受损,重则信息安全问题在互联网金融行业全面爆发。因此,发展初期的新兴技术必须认识到自身的不成熟,并挖掘发展潜能、加大自身研发力度,同时其更新和改革的方向必须与互联网金融发展情况紧密联系。只有传统信息技术与互联网金融新兴技术的共同革新才能牢牢打下互联网金融信息安全技术层面的扎实根基。
(二)互联网金融信息安全管理争取稳中求新
信息安全管理是指通过维护信息的机密性、完整性和可用性等来管理和保护信息资产的安全与业务持续性的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。在借鉴以往信息安全管理的基础上,互联网金融行业的信息安全管理应做到:
一是明确金融信息系统的安全管理目标和范围,并设定不同安全等级。策略和制度上应“对症下药”,如尽快构建能适应互联网金融发展需求的信息安全管理制度和保障体系。
二是针对国内互联网金融发展的信息环境相对混乱和信用环境相对不成熟的特点,信息安全管理的重点应放在互联网金融大环境的优化和改善上,如努力建设互联网金融征信服务网络,整合一切征信资源和信息,这同时也为互联网金融网络信任体系的构建助力颇多。
(三)互联网金融信息安全法律体系建设势在必行
黑客频繁攻击而导致P2P网贷平台风险事件频发的信息安全问题的暴露以及互联网金融领域其他信息安全问题的产生都说明了与信息安全相关的法律法规存在很大的漏洞。从盗取个人信息、敲诈平台再到非法集资、网络金融犯罪,这些行为已对国家安全、社会稳定、经济建设、互联网金融行业发展以及个人合法权益构成了极大的威胁。因此,针对互联网金融行业,制定和完善相关的信息安全法律法规势在必行,特别是针对信息安全风险隐患突出的发展区域。同时,建立健全互联网金融信息系统的安全调查制度和体系,加大金融信息安全宣传力度,提高广大用户的信息保护意识和安全规范遵守意识等等,都是互联网金融信息安全法律体系完整建设的必要条件,并将为互联网金融的可持续发展营造一个安全稳定的法律环境。
注释
{1}数据来源:国家互联网应急中心官方网站。
参考文献
[1]张小春,孙晓晨.浅谈计算机网络安全[J].中国科技博览,2009(27):30-30.
[2]翁舟杰,靳伟.信息时代金融中介的命运――金融中介理论的不同视角[J].特区经济,2004(11):221.
[3]蒋琳,李万业.P2P网络借贷平台监管问题及建议[J].时代经贸,2013(8):287.