時間:2024-01-11 11:44:04
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇互聯網信息安全范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)30-0035-03
New Mobile Internet Era of Information Security Technology Foresight
WU Jun1, WU Nan-shan2
(1.Jiangxi Land Consolidation Center, Nanchang 330025, China ;2 .Angel Nanchang Modern Nursery, Nanchang 330029, China)
Abstract: Mobile Internet era of information security technology has become the new focus. At the same time due to the instability of the mobile Internet and the popularity of the phenomenon also led to this area will be the future of information security risks hardest hit, so-depth study of the safety of new technologies on the healthy development of the mobile Internet is significant.
Key words: mobile Internet; information security; technology
近十幾年來我國互聯網工程飛速發展,與我國經濟社會建設完全融為一體,并在發展過程中出現了新的發展趨向,移動通信技術的完善和改進為移動互聯網的誕生和發展打下了堅實的基礎?;谝苿踊ヂ摼W的移動電子商務、移動即時通信、移動社交、手機支付等各種新型的業務也正在悄然改變著我們的生活。但與之而來的卻是移動互聯網的信息安全問題[1]。近年來電信網絡安全隱患也正在成為移動互聯網健康發展的一項重大障礙,犯罪詐騙等惡性事件頻發。因此,在今后相當長的一段時間內若要保證移動互聯網技術能夠健康發展,必須深入研究移踴チ網時代信息全新技術問題。
信息安全是包括計算機、電子、通信、數學、物理、生物、法律、管理、教育等的交叉學科,同時也是隨著移動互聯網技術發展而不斷更新的新興學科。這些學科在發展過程中正在不同程度的與互聯網技術和移動通信技術融合,為移動互聯網的發展創造了理論基礎。移動互聯網的安全領域包括網絡安全、信息系統安全、內容安全、信息對抗等等,其基本出發點是國家和社會各領域信息安全防護為。信息安全技術是確保移動互聯網信息安全的一項重要指標,而且這些內容也在很大程度上實現和完善了信息技術安全本身存在的一些問題。展望信息安全技術與移動互聯網結合的突破口主要包括以下幾個部分。
1 后量子密碼技術
公鑰密碼體制的安全性受一些數學難題制約。著名的RSA公鑰密碼體制是的產生和發展基礎理論是大整數素數分解,DSA和ECDSA基于求解離散對數問題。這些理論在一段歷史時期內曾是公鑰密碼體制的支撐。但是1994年又有一種新的理論問世,那就是“量子算法”(QuantumAlgorithm),它的最大一個特點就是在多項式時間內求解大整數素數分解問題和離散對數。這一理論的誕生可以說很好的兼容了以往兩種公鑰密碼體制的優勢,同時也簡化了其中存在的一些繁瑣程序。在某種意義上甚至量子算法可以稱之為推動信息安全技術進步的一個里程碑。隨著公鑰體制的不斷完善以及一些新的挑戰的產生,量子算法的局限性也逐漸暴露出來,一度成為制約互聯網信息安全的一個重大難題。因此2001年給予量子計算又產生了一種新的算法,Peter Shor的算法[2]。信息安全領域專家預測,在不遠的將來量子計算機將問世。在量子計算機基礎上Shor的算法可以攻破當前我們在信息安全領域的公鑰體制中遇到的所有問題?;诖笳麛邓財捣纸鈫栴}和離散對數問題面臨的一些局限難題也會在不同程度上實現了這些重要障礙。而且這些問題的解決也必將為移動互聯網的信息安全領域問題作出重要的貢獻。這些都為我們的發展和創新移動互聯網起到積極的推動領域。
利用傳統互聯網技術破解基于編碼理論的Mc Eliece公鑰密碼體制的計算復雜度較高為因此這一問題也成為當前影響移動互聯網信息安全的一個障礙性因素。而且,利用量子計算機計算復雜度也給量子算法的基礎問題出現一些問題。其中,兩個算法復雜度都是指數級,常數有0.5略有變化,這種變化并不是很大。因此,從理論層面來看,Mc Eliece公鑰密碼體制能夠抵抗量子計算的攻擊,目前還是確保公鑰體制的一種非常重要算法[2]。目前在計算機信息安全領域,NP困難問題既不是素數分解問題也不是離散對數求解問題,可以說影響公鑰體制存在障礙的一些問題還沒有從某種程度上得到完善和解決,因此Peter Shor提出的“量子算法”在解決上述困難問題的過程中還不能很好地在實戰中得到完美的發揮。也就是說,NP困難問題可以抵抗量子計算的攻擊,可以稱之為后量子密碼技術。同時這種基于這種技術基礎而完善起來的體制也可以稱之為稱后量子密碼體制,這種體制的算法原理在未來一段時間內還需要攻克諸多難題,但是其效用和功能上的良好表現決定了它必定在未來的發展和設計中成為研究和應用的重點領域。
2 同態密碼技術
同態密碼技術的應用也是保障移動互聯網信息安全的一種重要嘗試。在云計算安全保護領域中,目前采用數據加密保證用戶的私有信息。在權限控制上以身份認證為主要基礎,實地身份認證、權限認證、證書檢查這些環節是確保云計算信息安全的一些必要措施,在防止非法用戶的越權訪問問題上非常有效。數據加密、身份認證,可以一次性地將明文信息隱藏化,在保護隱私問題上目前來看還不存在偶漏洞和隱患。但是隨著計算機技術的發展能否有新的隱患和漏洞包括出來還要經過一段時間的驗證和檢驗。因此未來同態密碼技術在移動互聯網安全領域還是可以繼續擔當重任。這種技術在很大程度上為用戶隱私問題擔當重要力量,而且這些問題也成為目前影響和推動整個信息安全領域的一項重大問題,這為我們更好地承擔其中存在的一些安全泄露問題做出了重要貢獻。
3 可信計算
可信計算平盟與2002年首次提出可信計算概念,但是這一概念目前沒有明確的定義,并且在可信計算平盟內部其成員中對“可信計算”也都有自己不同的理解和操作理念??尚庞嬎憬M認為一個實體在存在的階段內總有一個既定的目標要實現,若其行為在符合預期的前提下不能按照一些規則和目標完善實現這些目標,那這種規定和目標范圍總體是不能完全按照試題的規則進行計算和排列的。ISO/I EC15408認為一個可信的組件、操作或者過程的行為綜合可以稱之為可信計算,任意操作條件下操作和預測這種算法都能夠給我們帶來預期的結果。并能很好地抵抗各種外在和內在因素造成的干擾與破壞。這其中包含應用程序軟件、病毒以及物理干擾。微軟對可信計算也有自己的定義,他們認為可以隨時獲得的可靠安全的計算就是可信計算,因為只有隨時獲得才能稱之為可信。
可信計算是引入可信計算平臺模塊PM的一種全新算法,將這一模塊嵌入微型計算機系統,這樣便能很好地預防與解決計算機安全問題。實際上就是在計算機系統中加入一個可信的可信第三方,通過第三方計算和評估來實現和達到整個系統對信息數據的快速準確處理,以滿足人們的預期,這樣使用者才能稱之為可信的計算。
可信計算的基本原理是首先對終端體系進行干預和推動,使之建立一個完善的安全結構。在終端安全的前提下再將這一終端按照計算機網絡安全搭建一個誠信體系,使之有序呈現在第一個安全保障過程當中。這對我們來說也是一個非常有力的計算機安全系統??尚畔到y這種對終端的加固確保了每個終端都有一個合法身份。一些惡意代碼,如病毒、木馬都能在終端的過濾系統中完全過濾掉。從作用機理上看,可信計算首先構建一個信任根,然后在通過信任鏈將其與操作系統聯系起來,同時系統與應用之間也存在一定程度的傳輸和傳達作用。這對我們在整個背景下按照完全的設定目標建立的系統操作平臺都在一個可以信任的環境和步驟內執行操作指令??尚庞嬎銜r一種非常重要的確保系統對外界病毒免疫的算法。但是這種算法目前在移動互聯網當中還是沒有完全按照這N操作方式展開。而且展開的方式也是隨著這些既定的目標完全按照他們在能力和其他方面問題的處理中不斷豐富和完善起來的。只有這樣才能更有效的利用地方可信任資源對整個系統的安全性和穩定性進行合理的權衡和評估。
4 計算機取證技術
計算機犯罪電子取證是確保信息安全的最后一關,從功能上來看它是指能夠為法庭接受的、足夠可靠和有說服性的一種證據確認,他們必須是存在于計算機內部的電子證據,在保護、提取和歸檔過程中具有一定的可操作性。具體來說電子取證技術主要包括兩個方面,一個是數據獲取技術。在這樣過程中操作人員主要負責搜集計算機數據,這樣才能確保計算取證技術的實現。但是在實現這一任務的過程中雖然對數據證據取證做出了非常有效和有利的安排和維護。但是執行過程中極易對原始數據造成嚴重修改[3]。所以,數據獲取技術在計算機取證中非常關鍵和重要。計算機系統和文件的安全獲取技術是確保這項技術能夠順利實現的一個重要關鍵點,對磁盤或其他存儲介質也有較高的要求,應該能夠確保安全無損傷備份技術,在這一前提下在執行對已刪除文件的恢復、重建,在重建過程中磁盤空間、未分配空間和自由空間包含了信息的挖掘,對交換文件、緩存文件、臨時文件中包含信息的復原技術都具有非常重要的影響,同時這也成為影響和導致問題產生的一項非常重要的關鍵點。
另外,數據分析技術也是這項技術中存在的非常重要的一個環節,而且在這個環節中我們也對這些技術產生的基本原理和技術要求非常慎重。在已經獲取的數據流或信息流中尋找、匹配關鍵詞或關鍵短語是數據分析技術的重點。例如文件屬性分析,日志分析等等,在進行這種分析的過程中按照我們分析的結果和造成的種種危害的預測對信息數據的安全性進行全面的分析和評估。國外計算機取證技術逐漸走向智能化,對電子數據取證的全過程已經進入一個全自動和智能系統中按照這樣的目標和成分才能完全執行既定的目標和目的。在這其中計算機取證的可靠性、準確度是衡量這一系統安全性的一個重要目標。
5 云計算安全技術
云計算本質上是一種資源共享的計算平臺,他的主要特點是通過數據和資源的共享降低成本,提高性能,這種計算方法目前在移動互聯網中已經全面普及,一些運行上通過云計算為不同的用戶提供個性化推薦服務,大大提高了資源利用效率,同時這些利用效率在完成既定目標的前提和背景下已經完全按照信息安全領域的規則在做自我完善。云計算發展面臨許多關鍵性問題,而安全問題首當其沖,目前因云計算出現的安全問題還不是特別突出,但是隨著這種算法的不斷普及以及應用領域的不斷豐富,必然會給信息安全造成一定的威脅。
著名的信息安全國際會議RSA201將云計算安全列為焦點問題,定期舉辦關于云計算安全的研討會。Gartner的調查結果顯示,70%以上的受訪企業對云計算的安全性表示擔憂。因為這種計算方式如果造成信息泄露對企業造成的危害是無法估量的,同時云計算由于資源共享的基本特性,也是最容易造成信息泄露的。因此安全問題目前仍然是困擾云計算普及和完善的基本問題。
參考文獻:
中圖分類號:R197.1; TP393.0 文獻標識碼:C 文章編號:1006-1533(2017)09-0014-03
Privacy protection and information security of E-health*
MA Shishi1**, YU Guangjun2***, CUI Wenbin2(1. School of Public Health, Shanghai Jiao Tong University, Shanghai 200025, China; 2. Shanghai Children’s Hospital, Shanghai 200062, China)
ABSTRACT Health information security and privacy issues which are brought in by the rise of E-health can not be underestimated. The information security issues (such as privacy leak) of E-health possibly existed in the use of consulting services, telemedicine and mobile medical equipment were analyzed based on the characteristics of the internet and health information and the corresponding solutions were proposed, which are included in establishing the laws and regulations of the privacy information protection suitable to Chinese national conditions by learning from the practical experience of foreign health information protection, applying the advanced information technology and timely introducing a review system for technology application and implementing the standardized management to the relevant institutions so as to better protect the health information under the internet medical environment.
KEy WORDS E-health; privacy information; security information
互聯網醫療是指以互聯網為載體,以信息技術(包括通訊技術、云計算、物聯網、大數據分析等)為支撐,開展在線健康教育、電子健康檔案、醫療信息查詢、電子處方和遠程醫療等多種活動的一種新型健康和醫療信息服務的總稱,其本質是將互聯網及相關信息技術延伸至醫療服務這個大行業中來[1-2]。
互聯網醫療的興起在方便患者就診、節省醫療成本、優化醫療模式、保證醫療安全、方便醫學研究等方面發揮了重要作用。然而隨著互聯網醫療的推廣,云技術、大數據分析的應用,患者醫療信息變得更集中、更易獲得,在醫療數據采集、存儲和應用過程中常發生數據泄露的問題。數據泄露會危及患者個人隱私,如某社區居民疾病登記管理系統的賬號和密碼泄露,就會暴露大量居民的敏感信息。近幾年,孕、產婦個人信息泄露的新聞幾乎不絕于耳,其帶來的一系列推銷、詐騙問題嚴重困擾信息當事人[3]。因此,很有必要對在互聯網醫療環境下的咨詢服務、遠程醫療、移動醫療設備使用中可能存在的隱私泄露等信息安全性問題進行分析,從而有針對性地予以解決及預防。
1 互聯網醫療中隱私信息保護面臨的挑戰
1.1 咨詢服務中的泄露風險
在互聯網醫療中,患者可在具有掛號功能的網頁上進行預約掛號、醫療保健咨詢,還可通過網絡上的醫療社區向醫生尋求建議以及與病友交流治療信息,但存在患者相關隱私數據的安全性、保密性等問題。首先,患者要填寫一系列個人信息注冊,這樣才能獲取網站服務;其次,在進行醫療咨詢或在患者社區分享就診經驗時,患者會有意無意地泄露一些碎片信息,雖然這些碎片信息單獨看似毫無價值,但將之與患者提供的其他信息關聯后卻有可能識別其身份[4]。最重要的是,一些網站允許廣告商或其他第三方獲取用戶信息,當患者瀏覽網站時點擊了外部廣告,廣告商便能追蹤這些患者,對患者進行定向廣告推送。但互聯網具有開放性,患者并不知道哪些人可以獲取他們的哪些信息,也不知道那些信息被用于何處,甚至以上行為的發生都很難被患者覺察,而信息泄露時也無從申訴。
目前有S多互聯網醫療機構,水平與資質參差不齊,工作人員同樣層次復雜,而他們可從網絡后臺獲取用戶的大量健康信息[5],若發生隱私泄露問題,很難追蹤根源來明確責任。少數從業人員受利益驅使,拷貝、販賣健康信息,也造成了患者隱私泄露的問題。
1.2 遠程醫療中的泄露風險
遠程醫療是指遠距離地對患者進行醫學診療,其應用使得醫療服務突破了空間的限制,有利于優質醫療資源的配置,處于醫療資源不足區域以及身體行動不便的患者也可不再需要長途跋涉、勞心勞力地去醫院就診,在家就能通過網絡得到專業的醫療服務。2014年8月國家衛計委印發的《關于推進醫療機構遠程醫療服務的意見》中規定,遠程醫療服務只能由醫療機構提供。國家發改委、衛計委還于2015年初聯合印發了《關于同意在寧夏、云南等5?。▍^)開展遠程醫療政策試點工作的通知》,要求試點省(區)落實遠程醫療服務工作[6]。
然而,在遠程醫療過程中同樣存在隱私泄露風險。在遠程診療過程中,患者的病理學診斷、影像學診斷等數據或圖片都通過互聯網傳送,與醫生的溝通也是采用視頻通話方式,數據容易受到攔截、甚至篡改,視頻也有可能被竊聽。遠程醫療結束后需進行醫療檔案的記錄,醫療信息電子化、檔案化可提高醫療服務的效率,且方便在不同醫療機構之間傳輸或共享。傳統的醫療機構通過將內部的電子病歷系統與外部網絡隔絕開來保障信息安全,互聯網醫療則將醫療信息的共享范圍拓展至整個互聯網,而電子記錄容易復制、共享、被第三方截獲的特性便帶來了信息安全的隱患[7]。
1.3 移動醫療設備使用中的泄露風險
互聯網醫療催生了各種類型的移動醫療設備,主要包括健康管理類的可穿戴設備如手環、慢性病管理類的監測設備如家用血糖儀、適用于遠程醫療的監控設備等,受到目標人群的歡迎。這些設備可持續性地采集、存儲患者的數據,幫助患者進行健康管理,并向互聯網醫療機構傳輸數據。同時,這些移動醫療設備具有匯總患者數據、創建患者的詳細的合成檔案的功能,還有將收集到的患者的大量數據聚合、關聯、分析的功能,可從中挖掘出新的信息。此外,這些設備還有可能記錄其他數據,如患者的位置信息等。這些數據對商業企業有很大的利用價值,如用于定向營銷等,可為其帶來巨大的商業利益,然而目前國內對此類設備的數據采集與利用并無相關規定。
對于家用遠程設備,在信息訪問、傳輸和存儲時,由于用戶的操作失誤或有意為之,也會造成信息的泄露、篡改和丟失[8]。由于用戶疏忽、錯誤地使用了不安全的上網設備(免費路由器等)而導致信息泄露的事例并不鮮見,2015年央視“3?15”晚會上就特別展示了信息詐騙犯罪如何利用免費路由器獲取用戶信息的例子[9]。因此,對移動醫療設備用戶來說,要有個人信息保護的意識,否則將其他端口把控得再嚴也是徒勞的。
2 相關建議
當前,我國互聯網醫療正處于發展初期,在保障醫療信息隱私與安全的前提下,應本著鼓勵發展的原則,不可過分束縛。對互聯網醫療實際運行中出現的問題,建議從立法、信息技術和管理三個維度來解決,使之能夠健康發展。
2.1 加快制定健康信息保護的法律、法規,以適應互聯網醫療發展的需求
目前,世界上有109個國家有專門的個人信息保護法[10],而我國尚無系統性的法律、法規來確保醫療信息安全,尤其是在涉及隱私保護方面。我國有關個人信息的保護規定雖多,但基本上是分散在效力層次不一的各種法律、法規甚至規范性文件中的,即目前法律對個人信息及隱私保護采用的主要是間接方式,且規定模糊、震懾力有限,不僅會使隱私信息泄露者肆無忌憚,而且在出現糾紛時也往往無法可依。
建議制定個人信息或醫療健康信息方面的專門法律,在規范遠程醫療、移動設備健康信息收集與利用等方面適應互聯網醫療發展的需求。同時,通過立法設立專門的部門對互聯網醫療機構進行統籌管理,主要職能包括日常信息安全與隱私保護的監督、侵權事件的咨詢和訴訟等,建立、健全層級管理機制,提高行政干預效率。
2.2 利用先進技術為患者醫療信息的存儲與傳輸安全保駕護航
一些不法分子可能會利用各種技術手段侵入存儲有健康信息的網站非法瀏覽、篡改、盜竊隱私信息,遠程醫療也可能遭到黑客的攔截而導致數據泄露或失真。
建議建立互聯網醫療服務的相關技術應用審查機制,并構建分級、分類審查制度,對信息技術的使用進行監管?;ヂ摼W醫療中健康信息面臨的安全威脅大多可以通過信息技術手段來解決,因此可引入國際上的先進技術,包括訪問控制技術、匿名技術、加密技術、安全監控和審計技術等,同時鼓勵創新與我國國情相適應的信息技術。
2.3 有效的管理是互聯網醫療信息安全的重要屏障
各互聯網醫療機構應以法律、法規和行業標準為最低要求,制定適合自身發展的管理規范及操作規章,并認真落實。以下三點需予強調:
1)加強從業人員的隱私保護意識培養和專業素養教育?;ヂ摼W醫療信息工作人員能接觸到大量健康信息,涉及用戶的個人隱私,若他們信息安全意識缺乏,對信息安全威脅認識不足,就很可能導致健康信息泄露甚至丟失。因此,要提高隱私保護的效果,必須加強各類從業人員的隱私保護意識,強化自我約束能力,這樣才能從根本上保證隱私信息能夠得到妥善的使用和保護。
2)暢通患者知情同意權的行使渠道?;ヂ摼W醫療產生的大數據具有很大的商業價值,信息利用者有義務告知信息主體他們將如何存儲、使用或會與誰共享這些健康信息,且理論上應獲得信息主體同意后方能實施,而在獲得知情同意的過程中還需注意使用公眾能夠理解的語言。筆者建議借鑒美國的隱私保護電子化技術,該技術會將與隱私有關的決策自動傳送給信息主體,信息主體可選擇碎片化后分享信息。
3)平衡好信息開放與隱私保護的關系?;ヂ摶ネê托畔㈤_放是大趨勢。我們確實需要重點關注醫療信息的安全與隱私保護問題,但對隱私的保護也不能絕對化,不可過分限制信息流通。健康信息在醫學研究和公共衛生管理方面都具有重要的用價值,其合理利用有利于促進和實現互聯網醫療服務的健康、可持續發展。
參考文獻
[1] 舒婷. “互聯網+”時代的患者隱私保護[J]. 中國數字醫學, 2016, 11(5): 41-43.
[2] World Health Organization. Atlas eHealth country profiles: based on the findings of the second global survey on eHealth (Global Observatory for eHealth Series, 1) [EB/OL]. [2017-01-05]. http://apps.who.int/iris/ bitstream/10665/44502/1/9789241564168_eng.pdf.
[3] 上千名孕婦信息被販賣 數據安全難保障[J]. 中國醫院院長, 2016(7): 17.
[4] 周思成, 翟悅. 電子醫療保健情境下的隱私保護[J]. 中國醫學倫理學, 2016, 29(4): 681-684.
[5] 王安其, 鄭雪倩. 我國互聯網醫療運行現狀――基于3家醫院的調查分析[J]. 中國衛生政策研究, 2016, 9(1): 69-73.
[6] 孟群, 尹新, 董可男. 互聯網醫療監管體系與相關機制研究[J]. 中國衛生信息管理雜志, 2016, 13(5): 441-447.
[7] Draper H, Sorell T. Telecare, remote monitoring and care [J]. Bioethics, 2013, 27(7): 365-372.
(一)國檢“互聯網+”建設背景
根據總局“互聯網+”行動計劃,綜合利用信息化技術和大數據資源,共享國檢大數據資源,破除“信息孤島”和“僵尸數據”;搭建智慧豫檢大數據平臺,配合總局“智慧口岸”和“智慧質檢”總體規劃,推進我局相關工作。利用信息化平臺和業務數據資源,進行整理分析,既可獲取全方位的國檢數據,又可以為政府和企業提供公共服務,提高他們的決策水平,助力產業轉型升級。
按照我局黨組全省系統信息化工作“一盤棋”的基本要求,堅持切合實際、適度超前的工作思路,一方面推動河南智慧國檢平臺建設,加快實現檢驗檢疫業務的互聯互通;另一方面服務地方政府口岸和特殊開放區域信息化項目建設,實現統一規劃、統一驗收式的信息化同標同步。支持河南省國際貿易單一窗口和河南自由貿易試驗區的信息化建設,主動適應外貿形勢變化和檢驗檢疫業務模式變化。
(二)國檢信息化現狀
國檢信息化建設主要包括業務系統和網絡系統。
業務系統根據業務內容、工作需要及彼此的交叉關聯等特點,業務系統可以分為三大類:1.用戶申報系統用于強化國檢與企業,及相關部門間的數據傳輸,實施登記備案管理,推行無紙化辦公,減少企業申報信息重復錄入工作量。2.業務管理系統,這類系統多針對具體業務而開發。3.區域監管系統根據相關業務需要,對特殊監管區域的業務按不同區域、不同環節的情況進行全過程、信息化跟蹤監管。
國檢網絡系統目前使用“分層”的方法,即各分支機構與直屬局連接,直屬局通過專線與質檢總局連接。網內按照功能劃分為核心業務區、普通服務器區、互聯網服務器區、用戶接入區、分支機構接入區、上聯接入區等6部分,各區之間通過防火墻等安全設備進行訪問控制;通過部署VPN設備實現人員外出期間接入內網辦公。
二、國檢“互聯網+”面臨的風險
當前我國網絡違法犯罪活動日益猖獗,攻擊者的演變從單打獨斗到有組織團體,攻擊動機更具功利性、經濟、政治與意識形態的驅動更加明顯。同時新技術新應用帶來的安全挑戰更加嚴重。隨著公眾對辦事程序公開、政府工作效率和透明度要求不斷提高,國檢“互聯網+”建設是由傳統的窗口模式轉變成多種模式、線下模式轉變為線上模式、國檢網絡從傳統的封閉模式轉為開放模式,信息化建設面臨的風險主要為以下幾個方面。
(一)應用系統風險
國檢業務系統基本使用外包方式進行投標采購,由于公司人員開發水平各異、開發源代碼不能一一審核、以及采用系統架構的固有安全風險,導致業務系統出現異常現象。
(二)設備高危漏洞和后門
業務系統的載體在于設備,設備的作為底層的安全猶如一棟大樓的地基,對于國外網絡設備的使用需注意安全問題,如多款思科小企業路由器曝出嚴重安全漏洞、JUNIPER曝高危漏洞、Linux設備TCP連接曝高危漏洞。
(三)病毒風險
計算機病毒具有易傳播特性,通過軟件下載、電子郵件、文件服務等進入網絡內部,刪除、修改系統文件,導致程序運行錯誤或死機?!盎ヂ摼W+應用”為病毒檢測與消除帶來很大的難度,成為網絡安全發展的一大公害。
(四)數據風險(丟失、篡改、泄漏)
數據的價值往往是無法估計,國檢的“三單”信息(訂單、運單、支付單)含有大量穩私數據,有防止數據丟失、被篡改和被泄漏方面面臨著巨大的挑戰。
(五)網絡對接風險
國檢網絡是多區域、跨機構的網絡結構,需要與地方部門與其他口岸部門對接,客觀上會存在一些“不可信”區域,數據在這些區域進行交換同樣面臨一些風險。同時由于業務系統逐漸增多,管理人員較少也是影響國檢“互聯網+”安全的一個因素。
三、國檢“互聯網+”安全策略
國檢“互聯網+”的建設還處于初級階段,在信息化建設也積累了一些安全經驗,在建設中不斷創新,通過實踐和經驗逐步提高國檢信息化安全。同時,在不斷學習兄弟局和其它互聯網的安全管理的方案,制訂了國檢“互聯網+”的安全策略,主要包括以下四個方面。
(一)安全體系建設
安全涉及到系統的方方面面,任何一點的疏漏都可能是致命的,必須統一進行考慮。利用自有或外部專業安全技術力量對網絡信息系統的物理安全、通信安全、邊界安全、主機安全、應用安全和備份及日常運維等方面進行全面的風險評估,發現當前存在的安全問題,明確安全需求,確立安全目標,建立安全體系結構。
(二)信息系統建設
嚴格按照GB22239-2008信息系統安全等級保護基本要求和GBT22080-2008信息技術安全技術信息安全管理體系要求的進行信息化建設。根據信息系統承載業務的重要性,確定信息系統保護等級,并按照相應等級在需求階段明確系統的安全技術措施要求。
(三)信息系統運維
按照網絡信息安全三要素信息的機密性、信息的完整性、信息的可用性要求,將安全策略、硬件及軟件等方法結合起來,構成一個統一的防御系統,有效阻止非法用戶進入網絡,減少網絡的安全風險。
定期進行漏洞掃描,及時發現問題,解決問題。通過入侵監測(防御)等方式實現實時安全監控,提供快速響應故障的手段。建立安全日志審計系統和安全取證措施,在系統遭到損害后,具有能夠較快恢復正常運行狀態的能力。
在計算機設備上采用統一管理的防病毒軟件和防病毒網關,在入口處抵擋病毒的入侵和破壞并控制其在網絡內部的傳播;并通過安全軟件對計算機進行認證、終端安全檢查。
利用ITIL對服務管理提供一個客觀、嚴謹、可量化的最佳實踐的標準和規范,具有對系統資源、用戶、安全機制等方面進行規范和量化。
(四)人員管理與培訓
1我國互聯網信息安全現狀
1.1政府和行業對互聯網信息安全重視程度增加
隨著近些年來網絡信息安全問題的不斷發酵,網絡安全問題已經拓展到國家安全的角度,國家的重視度不斷增加?,F在,國家網絡安全的行業進入了一個加速發展的時代,網絡安全對政治商業和經濟等利益都有較大的影響,因此,網絡安全行業的發展已經到了存量和增量大幅增加的階段。從政府方面來講,政府正在加大加國產硬件和軟件及一些安全軟件的采購力度,逐步提升企事業單位的IT基礎設施建設和網絡防御能力;從企事業單位的方面來講,我們用于信息安全的投資明顯的低于世界平均水平。現在,各類網絡安全問題的出現及一些商業機密泄露等事件敲響了企事業單位安全意識的警鐘,企事業但是開始強化數據保護和提高安全防御措施。1.2互聯網犯罪猖獗
現在網絡違法犯罪活動愈發猖獗。一些不法分子利用互聯網進行各種各樣的違法犯罪活動,如賭博、詐騙、撒播謠言、竊密盜竊等不法活動,還有通過互聯網攻擊竊取數據和機密等的犯罪活動。這些通過互聯網進行的違法犯罪不僅危害了公民的合法權益,而且破壞了國家的安全和社會的穩定。
1.3網絡安全產業有很大的發展空間
伴隨著大數據、云計算、物聯網等技術的快速應用,互聯網已經影響到我們生活的方方面面,而網絡安全產業也面臨著新的機遇和挑戰。為了保證國家的網絡安全,要不斷發展有自主知識產權的網絡安全產品。現在由于互聯網的核心的設施、技術還有比較高端的服務還是主要依賴于國外的進口,在操作系統使用、專用芯片制造和大型應用軟件開發等方面都存在著嚴重的安全的隱患。因此,具有自主知識產權的網絡安全產品和產業有非常廣闊的發展空間和發展前景。
1.4互聯網信息安全研究成為熱點
現在可穿戴設備、智能終端等設備的應用非常廣泛,信息安全問題是現在互聯網技術研究的熱點問題,隨著研究的深入進行和技術的不斷發展,會幫助解決互聯網在安全方面所遇到的問題?,F在已經有很多的高校將互聯網信息安全作為專門的課程開設,這也有助于我國互聯網信息安全研究的發展。
2加強我國互聯網信息安全對策
2.1發揮政府功能,強化法規建設,建立全國范圍內的網絡安全協助機制
隨著互聯網的發展,網絡安全受到巨大的威脅,針對這種情況,要加強公民的網絡安全教育工作,盡可能提升全民的網絡安全的基礎知識和水平,增強公民的“網絡道德”意識,保護我國網絡信息的安全。而且要進一步強化網絡立法以及執法的能力,深化政府職能,完善法規建設,在全國范圍內建立網絡安全協助的機制,這樣有助于協調全國網絡的安全運行。制定出網絡在建設階段和運行階段的安全級別的定義和安全行為的細則,安全程度的考核評定等標準化文本,分析網絡出現的攻擊手段,報告系統漏洞并給出“補丁”程序,并且對全國范圍內協調網絡安全建設,另外,還要大力提高我國自主研發,生產相關的應用系統與網絡安全的能力,用以代替進口產品。
2.2加大互聯網信息安全犯罪的打擊力度
目前,互聯網技術的發展速度已經遠遠超越了網絡犯罪的立法速度,有一些立法對互聯網犯罪的處罰力度非常輕,還有一些互聯網犯罪活動并沒有相關的法律規定。這種情況對于加大網絡信息安全的打擊力度是非常不利的。因此,現在要加快對互聯網犯罪的立法工作,使得在處理互聯網犯罪的時候可以做到有法可依。近些年,國家加大了最互聯網的監督和監管力度,使得很多的互聯網犯罪活動能夠在較短的時間內得到取證和解決,但是相對而言,公民的互聯網安全意思還是比較淡薄,因此,提高公民的互聯網安全意識也成了迫在眉睫需要解決的問題。
2.3加大網絡信息安全的宣傳和教育的工作
現今社會,互聯網已經深入到生活的方方面面,互聯網正在改變著人們傳統的生活方式,人們的生活離不開互聯網??墒请S之而來的是計算機病毒、計算機犯罪、計算機黑客等問題,影響著人們對互聯網的正常和安全使用,更是影響到國家的經濟發展和安全。
因此,加大我國網絡信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網絡安全意識,能夠有效避免一些網絡犯罪的發生,并且對提高我國整體網絡安全有很大的幫助。要不斷的通過電視、網絡、報紙等多種媒體進行網絡安全知識的宣傳,讓網絡安全意識深入人心。
2.4建立互聯網的信息安全預警和應急保障制度
重點加強對全社會信息安全問題的統籌安排,對信息安全工作責任制要不斷深化細化;加強重點信息領域的安全保障工作,推動信息安全等工作的開展、要把安全測評、應急管理等信息安全基本制度落到實處;加快推進網絡與信息安全應急基礎平臺建設;提升信息安全綜合監管和服務水平,積極應對信息安全新情況、新問題,針對云計算、物聯網、移動互聯網、下一代互聯網等新技術、新應用開展專項研究,建立信息安全風險評估和應對機制;建立統一的網絡信任體系、信息安全測評認證平臺、電子政務災難備份中心等基礎設施等,力求對信息安全保障工作形成更強的基礎支撐。
2.5技術防護安全策略
技術防護是確保網站信息安全的有力措施,在技術防護上,主要做好以下幾方面工作:一是要加強網絡環境安全;二是加強網站平臺安全管理;三是加強網站代碼安全;四是加強數據安全。
3結語
網絡安全技術已經成為影響互聯網發展速度的一個重要課題,通過對其深入的研究,制定出合適的策略方法并加以實施,達到提升互聯網安全的目的。
參考文獻
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 05-0000-02
一、引言
隨著科技的高速發展、互聯網的大力普及,越來越多的人在互聯網這個虛擬的世界里面開創了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了網上進行。網絡不僅成為了人們娛樂休閑的場所,成為了人們的一種職業手段,更成為了人們生活中不可或缺的一部分。在這種情況下,很多私人信息,包括個人及家庭基本信息、銀行帳號信息等更加私密的信息,都需要通過互聯網進行傳輸,在這種大背景之下,信息安全技術就顯得尤為重要,而其在互聯網中的運用也成為了人們不得不考慮的問題。
二、網絡環境下信息安全技術簡介
單從信息安全來看,其包括的層面是很大的。大到國家軍事政治等機密安全,小到如防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全技術,從廣義上來看,凡是涉及到信息的安全性、完整性、可用性、真實性和可控性的相關理論和技術都是信息安全所要研究的領域。狹義的信息安全技術是指為對抗利用電子信息技術手段對信息資源及軟、硬件應用系統進行截獲、干擾、篡改、毀壞等惡意破壞行為所采用的電子信息技術的總稱[1]。隨著互聯網熱潮的興起,整個社會對網絡的依賴越來越強,信息安全的重要性開始顯現。
隨著信息安全內涵的不斷延伸,信息安全技術也得到了長足的發展,從最初對信息進行保密,發展到現在要保證信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。互聯網環境下,信息安全技術可以主要概括為以下幾個方面的內容:身份認證技術、加密解密技術、邊界防護技術、訪問控制技術、主機加固技術、安全審計技術、檢測監控技術等。
三、互聯網中的信息安全技術
互聯網是面向所有用戶的,所有信息高度共享,所以信息安全技術在互聯網中的應用就顯得尤為重要。
(一)信息安全技術之于互聯網的必要性
國際互聯網十分發達,基本可以聯通生活的方方面面,我國的互聯網雖不如發達國家先進,但是同作為互聯網,其所面臨的安全問題都是一樣的。網絡信息安全有三個重要的目標:完整性、機密性和有效性,對于信息的保護,也便是從這三個方面進行展開,
(二)信息安全技術在互聯網中的運用
美國國家安全局對現有的信息安全工程實踐和計算機網絡系統的構成進行了系統分析和總結,提出了《信息保障技術框架》[2],從空間維度,將分布式的網絡信息系統劃分為局域計算環境、網絡邊界、網絡傳輸和網絡基礎設施四種類型的安全區域,并詳細論述了在不同安全域如何應用不同的安全技術要素構建分布式的信息安全系統。所以互聯網中對于信息安全技術的使用是有一個應用體系的,不同的網絡系統有不同的安全策略,但是不論是何種網絡形式,有三項信息安全技術是必須被運用的,它們是:身份認證技術、數據加密技術、防火墻技術。
1.身份認證技術
身份認證是網絡安全的第一道防線,也是最重要的一道防線。對于身份認證系統來說,最重要的技術指標是合法用戶的身份是否易于被別人冒充。用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶和整個系統。所以,身份認證是授權控制的基礎[3]?,F實生活中,可以通過很多途徑來進行身份的認證,就在這種情況下也有人偽造身份,而對于網絡虛擬環境,身份應該如何認證確實是一項頭疼的技術難題。目前網絡上的身份認證方式主要有:密碼認證、口令卡認證、u盾認證以及各種技術結合使用等方式,也取得了一定的成效,對于信息安全的保障,起了很大的作用。
2.數據加密解密技術
數據加密技術是互聯網中最基本的信息安全技術,因為眾所周知,互聯網的本質就是進行信息的共享,而有些信息是只對個人或者部分群體才可以共享的,另一方面,裸數據在網絡中傳播是很容易被竊取的,所以在信息發送端對數據進行加密,接收信息的時候進行解密,針對互聯網信息傳播的特點,是行之有效的信息安全技術。
3.防火墻技術
防火墻,很多人都很熟悉,它實質上是起到一個屏障的作用,正如其名,可以將有害信息擋在墻外,過濾到不利信息,阻止破壞性的信息出現在用戶的計算機。防火墻的基本準則有兩種:一切未被禁止的就是允許的;一切未被允許的就是禁止的。這種過來是如何實現的?這就涉及實現防火墻的技術,主要有:數據包過濾、應用網關和服務等。對于互聯網而言,一個有效的防火墻,可以幫助用戶免除很多有害信息的干擾,也是信息安全技術對于互聯網非常大的貢獻。
除了使用一些安全技術措施之外,在網絡安全中,通過制定相關的規章制度來加強網絡的安全管理,對于確保網絡順利、安全、可靠、有序的運行,也會起到十分重要的作用。
四、結束語
本文簡要介紹了身份認證技術、數據加密技術、防火墻技術這三項技術對于網絡信息安全的重要性及其應用,事實上隨著科學技術的飛速發展,互聯網的組織形式也在發生極大變化,網絡信息安全技術在互聯網上應用將會越來越多,但是筆者相信,本文所介紹的三個基本運用,會隨著互聯網的越來越透明化而得到更大的發展。
參考文獻:
1互聯網信息安全問題概述
隨著互聯網技術的不斷發展,信息安全問題逐漸凸顯,其影響已經涉及到各個層面,如國家經濟、政治、國防和社會文化等,人們在使用互聯網的時候同樣要防范個人信息泄漏的威脅。信息安全技術發展初期,一般是以密碼作為基礎的計算機安全輔助技術,通過加密通信內容和對程序進行編碼實現加密。
2互聯網信息安全現狀
2.1缺少計算機核心技術
我國計算機技術發展水平并不高,一些大型計算機和互聯網設備、技術都要依靠國外進口,缺少計算機核心技術也是很多國家都存在的問題。一個鮮明的例子就是美國國家安全局能夠利用多種途徑,如使用超級計算機、法律法規、技術標準甚至勸說游說等方式,繞開或者破解目前應用較為普遍的幾種信息加密技術,竊取信息,或者和科技公司合作,在設備、技術中植入后門,竊取信息和資料等,讓世界都處于隱私信息泄漏的威脅之下。目前全球的網絡設備和技術,如路由器、計算機處理器、計算機操作系統以及計算機、互聯網的技術標準等若干核心技術都源自美國,而美國在監聽互聯網方面有著非常完備的技術體系和堅實的法律支撐,美國的互聯網技術公司、計算機設備生產企業等,都有監聽互聯網的能力和動機,給世界各國的軍事、政治、經濟和人民的社會生活信息安全帶來了極大的威脅,因此世界上很多國家都建立了互聯網防御所用的“墻”,來保障自己國家的信息安全,并不斷發展自主信息技術。
2.2尚未建立完善的信息安全法律法規
在計算機和互聯網逐漸普及的今天,一些發達國家在對信息安全有全面深入的認識的基礎上,開始著手制定與國家信息安全發展狀況相符的法律法規,促進國家的信息安全在正確的軌道上順利發展。要確保國家信息安全,完善的信息安全法律法規是基礎和必需條件,我國已經針對與信息內容、信息系統、安全產品等有關的領域制定了一些規范性文件,出臺了若干項政策和方針,但是我國信息安全法律法規從整體上看仍然不夠完善,存在諸多缺陷和問題,例如一些條文的重復、交叉或者描述不清的現象,信息技術的發展是我們有目共睹的,但是信息安全制度建設并沒有跟上信息技術的發展腳步,我國仍處于信息安全制度體系的探索階段,在引進國外先進網絡設備和技術時仍然無法保證安全性。
2.3信息安全意識淡薄
現今公司企業開始逐漸將網絡技術、計算機技術作為生產的核心技術,給企業公司帶來經濟效益的同時,也讓企業面臨著嚴重的安全威脅,很多單位、公司和企業都不重視信息安全,管理人員對信息安全缺乏正確且全面的認識,沒有切實做好信息安全保障措施,對于現行的制度也無法落實,重技術輕管理仍然是在很多企業都存在的現象,即使有先進的安全技術也無法發揮實際作用。
3保障計算機互聯網信息安全的策略分析
3.1打造計算機互聯網信息安全環境
保障信息安全,首先需要保障計算機硬件的安全,因此必須做好信息系統基礎設施建設工作,為計算機系統營造安全的環境,計算機應該安置在溫度、濕度適宜的環境中,盡量遠離噪音源和強電磁場,使用優質的電源確保能為計算機持續提供穩定的電流,計算機工作過程中應該做好定期檢查和日常維護,檢查計算機是否接地良好。重點保護部門和單位的電磁信號,防止被不法分子使用設備截獲。如果計算機系統和設備非常重要,必須建立完善的防盜報警設施,防止計算機或者設備被盜,造成信息資料丟失的問題。
3.2采用多種方式保障信息安全
除了保障計算機硬件安全,還要采用多種方式進行信息數據加密,確保信息在傳輸過程中不被截獲或者破解,目前數據加密技術有很多種,基本能夠保證信息的完整性和機密性。網絡信息認證是用來認定信息交互雙方身份真實性的技術,將密鑰加密技術和數字簽名技術結合起來,對簽名人身份進行科學規范的鑒定,對信息傳輸的過程進行監控,保證信息、文件的完整性和真實性。
3.3做好病毒防范工作
木馬和病毒是威脅信息安全的一大因素,計算機病毒和木馬具有隱蔽性的特點,能夠隱匿在計算機系統中,在用戶不知情的情況下自我復制和傳播,感染計算機中的文件,最終造成系統破壞,還會造成用戶信息和隱私泄露的問題。因此必須使用殺毒軟件定期掃描和殺毒。在計算機的日常使用中,也要注意不隨意下載不知出處的軟件或者盜版軟件,定期備份重要的數據和資料,運行來源不明的文件或者程序前必須先殺毒,良好的習慣才是保障信息安全的法則。
3.4提高信息安全意識
使用計算機和互聯網時要保持良好的使用習慣,不在自己的計算機上保存網站密碼或者私人信息,來源不明的郵件或者包含內容不詳附件的郵件不能打開,使用QQ等通訊軟件聊天時,不輕易接受陌生人發送的文件和程序等,為計算機設置具有一定復雜度的密碼,在轉售、報廢計算機前一定要將計算機內的數據和信息全部清除。
移動互聯網是移動通信技術和互聯網技術相結合的一種產物,它的存在與應用為人們的生活提供了巨大的便利,但是隨著國內移動網絡規模和用戶規模的不斷擴大,其存在的信息安全風險日益凸顯。許多人對移動互聯網的應用安全問題并不了解,安全防范意識較為薄弱,因此,人們有必要了解移動互聯網的信息安全威脅和漏洞,做好相關防范措施,同時,相關部門要采取積極有效的應對措施,保障用戶信息安全,提高移動互聯網的應用安全性。
1我國當前移動互聯網信息安全威脅與漏洞分析
1.1網站安全漏洞
相關調查顯示,我國超過30%的網站存在安全漏洞,這些漏洞的表現方式主要是:用戶的登錄名稱和密碼會遭到泄露;用戶瀏覽的信息遭到泄露;用戶因瀏覽網站而受到攻擊的概率大大增加。而且,這類不安全的網站呈現出增長的態勢,需要引起相關部門的重視。
1.2破解加密算法或竊取口令
除了網站本身存在的安全漏洞之外,部分人也會通過破解網站接入設備口令來進行攻擊,用戶在上網過程中容易受到攻擊,這就要求網站運營商加強網站口令的嚴密性,提高網站抵抗入侵的能力,保護用戶免受攻擊。
1.3木馬病毒
木馬病毒是最為常見的一種移動互聯網安全漏洞,也是電子信息安全的主要威脅因素,其主要通過特定的程序來控制另一臺移動設備,竊取移動設備的資料信息,這種情況在現實生活中較為常見,許多用戶因此而遭受到財產損失。這些惡意程序主要入侵智能手機、平板電腦等移動設備,而且在入侵之后不容易被用戶發現,即使是一些防護軟件也對此束手無策,因此,應對木馬病毒是移動互聯網安全工作應當重視的問題。
1.4偽AP欺騙
接入點AP偽裝是目前威脅等級較高的一種黑客手段,這種安全威脅較為隱蔽,用戶很難發現,因此也難以清除,由于移動終端用戶的配置不當或者疏忽,就有可能會在未察覺時或者在貪圖免費Wi-Fi想法驅使下連接到偽裝接入點,因此受到攻擊,在現實生活中,許多用戶由于接入陌生的Wi-Fi,而使得自身的信息遭到泄露,這種問題較為突出,需要引起相關部門和用戶的關注。
1.5Wi-Fi無線網絡劫持
Wi-Fi無線網絡劫持主要是攻擊程序通過移動設備處理器上的安全漏洞來截獲相應的信息,用戶的信息和電話會因此受到竊聽和監視,這種攻擊手段較為隱蔽,用戶在使用Wi-Fi上網時很難發現,受攻擊的概率大大提高。而且,隨著社會的發展,這種免費的Wi-Fi會更多,用戶在接入和使用的過程中很難發現,需要相關部門加強這方面的管理,為用戶提供安全的免費Wi-Fi服務。
2防范移動互聯網信息安全威脅與漏洞的措施
2.1完善移動互聯網安全相關法規
目前,我國在移動互聯網安全保護方面制定了一些法律法規,但是,這些法律法規還不完善,對于一些細節性的問題沒有交代清楚。筆者認為,我國立法部門應當將追責機制加入到法律體系中,使其發揮出應有的作用,當發現有危害移動互聯網安全的行為時,要根據IP等信息確定嫌疑人,追究其刑事責任。同時,針對我國當前移動互聯網快速發展的局勢,相關單位要立足于自身的本職工作,加強移動互聯網安全保護立法力度,建立健全相應的保護機制,規范網絡安全保護技術,提高應對威脅和漏洞的能力,使得用戶能夠在保障體系之下享受互聯網服務。
2.2加強改進計算機算法
當前在計算機安全網絡評價方面主要應用的算法就是神經網絡算法,這種算法有較大的優勢,如非線性、自組織等,但是BP神經網絡算法在面對不穩定的網絡參數時會容易出現疏漏。因此,可以通過一些改進措施來完善。一般來說,BP神經網絡的算法步驟為預先設置好輸入的變量,然后設置好參數、輸入樣本數值、按照一定的公式來進行計算。改善時可通過附加動量法、自適應學習速率、結合擬牛頓法的算法、LM算法來實現。例如在計算時,會需要對權值進行修正,但是權值的修正可能會漏掉很小的值,這時就可以通過附加動量的方法來避免,也就是說在修正函數時可添加上一個動量項,這樣就可以完成最精確的修正。如果同時加上一個大的動量項的話,可以使得修正在一個合理的方向進行。而自適應學習率是對計算過程中學習率方面的修正。通過對學習率的修正,可以使得計算的誤差變小。
2.3移動互聯網接入的安全防護措施
目前,隨著網絡信息科技的發展,用戶入網的方式主要是Wi-Fi以及3G、4G網絡,這些入網方式的優點是速度更快,能夠滿足用戶多層次的需求,但是,這也增加了用戶遭受攻擊的風險,用戶在使用互聯網時,會認為網站是安全可靠的,因此,其防護等級就會比較低,而且在遭受到攻擊之后還不會察覺。所以,相關部門有必要加強移動互聯網的接入安全性,提高認證等級,例如可以使用雙向認證的方式,如果有一方沒有進行認證,則上網功能會受到影響,同時要進行訪問授權,未經授權的終端設備不能接入互聯網。移動互聯網與終端通訊需采用加密機制,在傳統的入侵檢測手段的基礎上,需要進一步強化對移動網絡建立特別入侵攻擊行為的檢測機制??傊壳叭藗儗σ苿踊ヂ摼W有著非常大的依賴性,用戶在上網的過程中,需要一個健康、安全的環境,相關單位要加強這方面的研究,提高移動互聯網的安全性,加強認證,提高防護等級,為移動互聯網的健康快速發展提供保障,促進我國移動互聯網事業健康發展。
參考文獻
[1]姜勇,劉徳剛,淋.移動互聯網信息安全威脅與漏洞分析[J].信息化建設,2016(02):121-123.
在眾多參與方中,銀行作為互聯網金融服務的核心提供者,如何鑒別參與方的真實身份、保障網絡數據傳輸的私密性、防止信息篡改、追溯用戶交易行為、使用電子簽名作為可靠的法律憑證,這些環環相扣的邏輯鏈是銀行必須要面對的安全挑戰。這需要從多個維度建立一套立體的安全防護體系,包括管理制度安全、物理環境安全、網絡安全、系統安全、應用安全等。在體系建設之初,就應該對信息安全進行整體規劃、通盤考慮、分步實施,不應采用補丁堆疊的方式。
在“互聯網+”時代,銀行更需要對“客戶身份精準識別和認證”、“保證交易的完整性和合法性”以及“基于大數據實現互聯網金融的精準風控”三方面予以重點關注:
客戶身份精準識別和認證
人民銀行于2015年12月下發的《中國人民銀行關于改進個人銀行賬戶服務,加強賬戶管理的通知》中再次強調要落實個人銀行賬戶實名制。
傳統金融業務在開戶時一般采用面對面身份認證的方式,也就是我們常說的“面簽”,柜員會鑒別用戶證件的真偽、人證是否相符以及是否用戶本人真實意愿。如何利用互聯網開展金融業務,減少用戶面簽環節,為客戶辦理業務提供便利性,在線身份確認這一環節上面臨著較大的欺詐風險。
要解決在線身份認證的難題,就必須從多維度來認證用戶身份,包括通過基于已標識介質的身份認證與基于大數據的屬性認證。目前,銀行業通常利用已有的實名認證的身份標識來幫助實現在線的身份認證。
銀行業也可以結合大數據對參與方的屬性進行識別,便捷、精準地實現客戶身份識別和認證。銀行業也可以結合大數據應用對參與方的屬性進行識別,比如,定位信息、設備指紋、行為規律等。根據不同的應用場景,建立一個分層次、多維度的身份識別體系,便捷、精準地實現客戶身份識別和認證。
保證交易的完整性和合法性
保障交易信息在互聯網上傳輸的完整性和合法性成為金融交易的重中之重。傳統銀行業務通過在紙質協議上的手寫簽名、簽章來保障業務的法律效力。而互聯網金融業務的線上操作完全實現了無紙化,沒有了手寫簽名和簽章,如何保障交易的法律效力呢?如何防止信息在傳輸的過程中不被惡意篡改?實踐證明,基于數字證書的電子簽名技術是解決這兩個問題的最好辦法。這里提到的數字證書指的是由合法的、權威的、第三方認證授權機構(CA機構)[如中國金融認證中心(CFCA)]簽發的證書,它是一種包含公鑰以及私鑰擁有者信息的電子文檔。
在網絡環境中通過數字證書可以對傳輸的信息進行加密和解密、簽名和簽驗,實現互聯網金融交易中的身份認證問題,并確保網上傳遞信息的機密性、完整性、不可否認性。使用數字證書,可以完美地解決互聯網金融交易中的四個主要安全問題,并以《電子簽名法》和《電子認證服務管理辦法》為依據,為互聯網金融交易參與方提供有效的法律保障。
基于大數據實現互聯網金融的精準風控
互聯網金融的核心在于風險控制。如果僅是將傳統金融服務模式和風控模式簡單地搬到線上,那對機構來說僅僅是邁開了互聯網金融的第一步。近年來,隨著中國互聯網金融的快速發展,網絡加速下的資金流轉不但方便了我們的生活,也推升了風控漏洞的監管成本。人工對信息整合能力的低效加劇了信息不對稱下的欺詐風險,各類黑天鵝事件更是在行業內不絕于耳。應用“大數據”實現征信服務,建立一套快速、智能、精確的一體化信用評價解決方案,已成為破解互聯網金融風控難題的關鍵。
隨著移動互聯網技術的發展,手機的功能越來越強大,上網、買東西,支付,一臺移動互聯網手機都可以完成。在2013年斯諾登曙光的美國棱鏡門、9月上海出現首例偽機站案例導致GSM手機大面積通信中斷;2014年好萊塢艷照門事件等事件,蘋果被曝留有手機側“后門”之后,手機的信息安全問題逐漸走進了公眾視線。而中國互聯網絡信息中心在2015年2月份的《第35次中國互聯網絡發展狀況統計報告》中的幾組數據,“2014年底,我國手機網民規模達5.57億,網民中使用手機上網的人群占比高達85.8%,手機中病毒或木馬、賬號或密碼被盜在安全事件中的占比例已高達25.9%”,充分說明針對移動互聯網手機的竊聽、監控、病毒等事件層出不窮,移動互聯網手機已經成為了竊聽、監控以及病毒入侵、傳播的重要入口。相關報道顯示,2014年被手機病毒感染的用戶超過1億戶,因為手機信息泄露造成的直接經濟損失已達到100億元,移動互聯網手機的信息安全問題越來越引起政府、企業和廣大消費者的高度關注。
移動互聯網手機安全信息面臨著日益嚴重的安全威脅,它既有傳統通信面臨的安全挑戰,如通話內容被竊聽、短信內容被截獲等典型威脅;又有傳統互聯網面臨安全難題,如上網行為被監控、內部網絡被攻破等安全威脅;同時又帶來了新的安全難題,如實時性的個人資料(如個人的位置信息)會被盜取。因此移動互聯網時代手機信息安全策略在兼顧解決傳統通信、互聯網安全,還要著力解決自身帶來新的信息安全。在研究了眾多學者研究成果的基礎上,筆者主張從通信網絡選擇策略、手機終端選擇策略、手機使用安全策略、社會信息安全環境營造等四個緯度共同努力,才能緩解越來越烈的移動互聯網時代手機信息安全。
1通信網絡選擇策略
隨著2015年2月27日FDD牌照的正式發放,我國正式全面進入了4G時代。通過認真分析研究,無論3G,還是4G,各運營商的數據傳送安全方面不分仲伯,但到目前為止,國內運營采取的策略均是語音和短信業務都是回落到2G網絡上傳送。目前在國內運營的2G網絡主要有CDMA~HGSM兩大陣營,GSM技術由歐洲主導,國內運營商有中國移動、中國聯通;CDMA技術主要由美國主導,國內主要的運營商有中國電信。CDMA和GSM兩大制式各有優劣勢,但由于兩者采用了不同信號編碼方式:GSM將頻分多址和時分多址結合起來使用,而CDMA卻采用了碼分多址方式,這個本質上區別導致了兩者在保密性等方面有了巨大的差別。
CDMA在手機端使用帶擴頻技術的模數轉換(ADC),同一時間和頻率內,在空中傳輸信號頻率按指定類型編碼,即用戶信號的區分只是所用碼型的不同,因此只有頻率響應編碼一致的接收機才能攔截信號。頻率順序編碼高達4.4萬億次,空中被攔截竊聽機率非常小。在此基礎上,還可方便地進行二次加密,有四層保密機制,在一般的技術條件下,攔截竊聽幾乎不可能。
GSM采用的頻分多址和時分多址相結合的方式。頻分多址和時分多址簡單形象的說就是在不同的車道上開不同的車和在同一車道的不同時段內開不同的車??梢哉f明,GSM以電路交換方式通信,容易捕捉信號進行竊聽,近年來層出不窮出現手機話單等失竊密事件大多來自GSM系統。
基于以上分析,用戶要根據自己的語音、短信等保密要求,選擇不同的通信技術,從而選擇支持相應通信網絡的手機的運營商。
2手機終端選擇策略
目前市場上銷售的手機主要有智能手機、非智能手機兩大類機手機。非智能手機基本上只能實現傳統通話、短信等功能,而智能手機除了可以實現傳統通話、短信等業務外,還具備了絕大多數Pc機的功能。同一通信制式的功能手機的安全方面表現差別不大,重點討論智能手機選擇策略。智能手機可以按支撐通信網絡制式、廠商、操作系統、屏幕等列出許許多多分類,但就安全方面來說,可以分為普通智能手機、安全手機兩大類。
普通智能手機通俗形象的講,就是在將手機傳統的語音通話和Pc機的主要功能集合在一起,它像電腦一樣,有自己的操作系統、存儲系統、中央處理器、輸入輸出系統等,它也像非智能手機一樣有移動通信功能。就目前的國內智能手機而言,主要有以下幾個特點:Android(安卓)和iOS是操作系統無可非議的主流,屏幕上智能手機主要的輸入輸出設備,手機處理芯片以高通、聯發科技、三星為主。普通智能手機往往關注手機自身的安全,通常使用普通密碼、增加殺毒軟件、使用指紋識別系統以及增加防盜系統等等安全策略,不能很好的解決竊聽等問題,更不能徹底的保證手機和機內數據的安全。
隨著手機失泄密事件不斷發生,人們手機安全意識的不斷提升,國產的安全手機成為了智能手機家族中的新寵。安全手機在騷擾攔截、黑白名單、殺毒、廣告檢測、指紋應用鎖、權限管理、防吸費、流量管理、通知管理、自啟動管理等等智能通用安全基礎能力基礎上,從開機認證、正常使用、下載軟件、丟失、借用等使用中的每個環節,著力解決私密通信防竊聽、移動上網防木馬、隱私信息防APP、信息隱藏防偷窺、資料防拷貝等問題,為用戶進行全方位的安全防護。下面對一些主要的安全策略進行分析。
2.1開機認證策略
開機認證是手機安全的第一道防護,普通的智能手機往往只提供口令保護功能,安全手機基本上會提供如指紋等圖像識別技術,而且通常由專門的芯片模塊處理和保存信息,操作系統和外部應用都無法訪問,從而確保芯片中的信息安全可靠。
2.2防木馬策略
安全手機主要有兩大策略,一是內置殺毒軟件,自動更新木馬病毒庫。此方式易于實現且成本低,但由于病毒庫可以更新,木馬病毒也有機可乘。二是獨立一個不能被木馬病毒入侵的系統,徹底隔絕木馬。這就像是將不會中病毒的功能機和智能機集成在一起,在安全模式下,數據網絡被徹底禁用,實現GPS定位等功能模塊被自動斷電關,完全隔絕病毒,僅剩通話、短信功能。這種方式最為可靠,但成本高和操作等原因,普通用戶不易接受。
2.3防竊聽策略
策略一是設置自動、手動斷麥克風、定位等設備電源,并關閉所有數據傳輸通道。策略二是語音加密,這種技術依托于運營商的透傳網絡和加密系統。語音加密主要由運營商密鑰管理中心、透傳網絡和手機來完成,手機發起申請密鑰消息(終端與運營商的密鑰管理中心的密鑰協商采用了非對稱密碼技術),密鑰管理中心完成鑒權、密鑰生成、加密、簽名等認證工作后,下發給手機密鑰通知消息,主被叫雙方上發透傳請求給網絡控制中心(得到雙方加密通話使用了對稱密碼技術),加密通話建立完成。
2.4防拷貝策略
一是通過專業的加密軟件對資料設置密碼;二是采用芯片模塊來實現加密。前者可以通過用數據線與電腦相連等方式,讀取出來數據,并經專業人士處理后可能會被拷貝;后者通過芯片加密,信息無法讀取,即使強制拷貝出來也是一堆亂碼,無法使用,但缺點是會提高手機的制造成本。
2.5隱私保護策略
一是遠程設備管理,在云服務支持下,當手機丟失后,機主可以通過系統進行遠程備份、遠程鎖定、遠程銷毀、遠程定位、遠程備份等操作,從而實現手機上數據備份保護和數據的安全。二是雙鎖屏保護,一臺手機上設置兩套鎖屏保護,分別控制進入機主模式和訪客模式。在機主模式下可設置隱私聯系人,隱私相冊,隱私應用;切換至訪客模式后隱藏上述隱私信息。
消費者可以根據以上手機各種安全策略,結合自身的需求、消費能力、喜好等因素,選擇合適自己的手機。
3手機使用安全策略
互聯網手機的安全跟個人的使用習慣也有很大的關系,往往是我們的不正確、不留意等的使用給了不法份子可乘之機,就應該引起注意。日常手機使用安全策略介紹如下。
堅持不使用來源不明的WIFI信號,當你在蹭別人wifi網的時侯,不法份子可能正在竊取你的資料、值入木馬……不要因為能省一點網費或方便一點,而把自己的信息給別人,這個帳大家都會算。
堅持不使用非主流應用中心提供的第三方面公共APP軟件,不要亂點網頁、短信、郵箱等提供鏈接,尤其要防范一些后綴為APK的鏈接。
堅持為智能手機安裝正版的安全軟件,并堅持定期更新病毒、定期殺毒,不定期的使用在線聯網殺毒。
堅持開機有密碼(或指紋認別等),不同的應用軟件使用不同的賬號和密碼,并定期更換密碼,并保證密碼不是弱密碼。
堅持像保管自己的財務一樣保管自己的手機,不輕易借給別人,發現異常扣費、非正常短信等及時與提供服務的運營商聯系,發現重要的信息失竊等即時報警。
4社會信息安全環境營造
時至今日,信息已成為推動人類社會進步重要的生產要素。作為當前信息最為活躍的載體一一手機的信息安會環境,理應成為社會關注點。
4.1道德引領,立法打擊
一方面,政府引導,廣泛的開展網上道德宣傳,提供網絡文明,培養網民在虛擬的移動互聯網世界遵守現實生活中的倫理道德,從自己做起保護網絡信息安全。另一方面,加大、加快相關法律的出臺實施,做到保護互聯網手機信息安全有法可依。歐美及亞洲很多國家和地區出臺了一系列互聯網安全方面的法律法規,已經明確把互聯網手機的信息納入其中,而我們在這方面的法律法規是滯后于移動互聯網的發展。據傳網絡安全法已列入2015年的立法計劃,但必須加快進程。
4.2利益共享,責任共擔
(訊)移動互聯網發展將進入暴增期,信息安全和意識形態安全問題凸現。社科文獻出版社日前在京《新媒體藍皮書:中國新媒體發展報告(2012)》這樣表示。
藍皮書認為,近幾年,互聯網移動化發展態勢明顯,其發展速度已經超過傳統互聯網。由于手機用戶基數龐大,隨著2G網絡在全球的普及和3G乃至4G的快速推進,移動互聯網發展將進入暴增期。2011年全球3G的覆蓋面積達到45%,全球159個經濟體擁有3G服務,3G活躍用戶已經增長至12億。從2008年-2011年,世界手機寬帶用戶數量每年增長超過45%。
藍皮書認為,未來幾年,移動互聯網發展空間巨大,新媒體的移動化發展,信息傳播門檻的大大降低,意識形態安全和信息安全問題凸現。一方面,全球公民的各種各樣的個人隱私幾乎全部被集聚于移動互聯網的服務器中,隨時都有被泄露的危險;另一方面,由于新媒體信息內容并不分級,不分男女老幼都將面對同樣的信息,尤其是移動傳播缺乏規制,泛濫的、暴力以及低俗的不健康內容將會對青少年產生極大危害。 (來源:新華網:編選:)
2互聯網時代公安計算機信息安全存在的問題
2.1公安機關工作人員對于信息安全風險問題不重視
很多公安機關基層的工作人員對于計算機信息安全存在的風險問題不夠重視,相關的部門領導受傳統的管理理念影響頗深,缺乏一定的開拓精神,在工作方式上面也是統一采用原始存在的手段和方法,甚至在具體的工作開展過程中,態度比較被動,即使在發生問題后,也沒有采用積極的措施進行補救。
2.2對于信息轉移媒介的管理不完善
所謂的信息轉移媒介主要指的是外部網絡和公安內部網絡之間進行交流和傳播的一個橋梁,公安機關的工作人員在相關的技術管理方面考慮的不夠周到,導致了大量的信息在進行轉移的過程中,容易出現問題,在出現問題之后,由于公司中缺乏專業的技術支持,導致只能將有問題的移動介質拿到外邊的修理店鋪進行維修,這種維修方式不僅不夠安全,也為很多黑客創造了機會。
2.3對于維護信息安全的很總要性認識不到位
公安工作人員在利用互聯網開展工作時,通常都是將公安機關的數據內部網與外部服務器進行連接,這種運作方式比較單一,但是在數據的相關安全問題管理方面存在漏洞,如果一旦有黑客潛入公安系統,這種簡單的操作模式方便黑客對數據進行更改,這對整體的數據傳送系統造成了危害,事后再對系統進行修復的話,工程力度比較大,非常耗費時間,有些重要的數據一旦遺失將會無法追回。
3互聯網時代公安計算機信息安全問題應對的策略
3.1加強公安人員的信息管理安全培訓力度
加大公安機關內部工作人員對信息安全管理內容的培訓宣傳力度,首先領導應該發揮帶頭作用,制定良好的規章制度,提高基層工作人員的安全信息管理意識和理念,讓大多數民警認識到計算機安全問題發生的危害性,并自覺提高技術能力,積極的發現問題,將防范為主和修復為輔的方法貫徹到底。
3.2加大公安信息安全網絡軟件的建設
首先加大有關部門和合作軟件公司之間的交流力度,在滿足雙方需求的基礎上,增大彼此協調溝通的空間,幫助軟件公司研究和開發出更加先進的硬件設備,確保信息轉移介質的質量,并能及時對危害物質進行有效查殺,在一定程度上提高了軟件的利用效率,保證信息安全有效。