時間:2022-11-01 02:46:55
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全工作報告范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
一、領導重視 機構健全
年初,召開了網絡安全專題會議,會上對網絡安全工作進行了專門安排和部署,明確了網絡安全工作任務分解。市場辦成立以副縣級任為組長、綜合處長任副組長、各處室微機員為成員的網絡工作小組,下設網絡安全工作辦公室,辦公室設在綜合處,日常工作由綜合處負責。
二、建章立制 科學管理
首先,根據上級文件求,網絡安全工作領導小組成員針對單位實際情況進行了綜合分析。并確定了在網絡安全方面應重點加強三個方面的管理和規范:一是利用郵箱、微信、QQ、固定電話等通訊方式傳達上級文件和會議精神存在不安全因素問題;二是日常文檔存儲工具優盤、可移動硬盤在交叉使用中易感染病毒的問題。三是微機房的管理問題。為解決這一問題,市場辦立足于建章立制,先后制訂了《網絡機房管理制度》、《文件傳輸管理制度》、《保密制度》,并倡導各單位要使用正版軟件,防止網絡病毒侵害計算機數據,造成系統癱瘓、數據丟失或泄秘事件的發生。
三、加強培訓 確保安全
進一步規范市場辦網絡安全管理工作,明確網絡安全責任,強化網絡安全工作,今年上半年,我單位對機關處室、基層各單位辦公室工作人員進行了有關網絡知識的專業培訓,提高了工作人員的網絡安全意識,確保了辦公網絡安全。除此之外,還對加強網絡邊界管理、細化防火墻安全策略、關閉不必要的應用、服務和端口,對需要開放的遠程服務采用白名單方式進行訪問控制。利用殺毒軟件和安全客戶端進行極端及病毒查殺,強化Ip地址與U盤使用管理,開展計算機弱口令自查工作,繼續完善網絡信息安全技術防護設施,配備必要的安全防御和監測準入制度,從根本上降低安全風險。定期對操作系統進行漏洞掃描和隱患排查,計算機辦公主動防護體系得到了完善和加強。
四、加強硬件建設,防患于未然
為進一步加強全局信息網絡系統安全管理工作,我局成立了以局長為組長、分管領導為副組長、辦公室人員為成員網絡安全工作領導小組,做到分工明確,責任具體到人。分工與各自的職責如下:局長為計算機網絡安全工作第一責任人,全面負責計算機網絡與信息安全管理工作。副組長分管計算機網絡與信息安全管理工作。負責計算機網絡安全管理工作的日常協調、督促工作。辦公室人員負責計算機網絡安全管理工作的日常事務。
二、計算機和網絡安全情況
(一)網絡安全。我局所有計算機均配備了防病毒軟件,采用了強口令密碼、數據庫存儲備份、移動存儲設備管理、數據加密等安全防護措施,明確了網絡安全責任,強化了網絡安全工作。
(二)日常管理。切實抓好內網、外網和應用軟件管理,確保“計算機不上網,上網計算機不”,嚴格按照保密要求處理光盤、硬盤、移動硬盤等管理、維修和銷毀工作。重點抓好“三大安全”排查:一是加強對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;二是加強網絡安全管理,對我局計算機實行分網管理,嚴格區分內網和外網,合理布線,優化網絡結構,加強密碼管理、IP管理、互聯網行為管理等;三是加強計算機應用安全管理,包括郵件系統、資源庫管理、軟件管理等。定期組織全局工作人員學習有關網絡知識,提高計算機使用水平,確保網絡安全。
三、計算機信息管理情況
近年來,我局加強了組織領導,強化宣傳教育,加強日常監督檢查,重點加大對計算機的管理。對計算機外接設備、移動設備的管理,采取專人保管、文件單獨存放,嚴禁攜帶存在內容的移動介質到上網的計算機上加工、貯存、傳遞處理文件,形成了良好的安全保密環境。嚴格區分內網和外網,對計算機實行了與國際互聯網及其他公共信息網物理隔離,落實保密措施,到目前為止,未發生一起計算機失密、泄密事故;其他非計算機及網絡使用,也嚴格按照有關計算機網絡與信息安全管理規定,加強管理,確保了我局網絡信息安全。
四、硬件、軟件使用置規范,設備運行狀況良好
為進一步加強我局網絡安全,我局對部分需要計算機設備進行了升級,為主要計算機配備了UPS,每臺終端機都安裝了防病毒軟件,硬件的運行環境符合要求;防雷地線正常,防雷設備運行基本穩定,沒有出現雷擊事故;今年已更換了已經老化的一對光纖收發器,目前光纖收發器、交換機、等網絡硬件設備運轉正常,各種計算機及輔助設備、軟件運轉正常。
五、嚴格管理、規范設備維護
為深入開展網絡安全執法檢查工作,確保工作得到有效落實,2020年5月18日,交通運輸局組織全局黨員、干部職工召開“縣交通運輸局網絡安全執法檢查工作專題部署會議”,要求全局上下充分認識開展網絡安全執法檢查工作的必要性和急迫性,成立由主要負責人任組長,班子成員為副組長,各科(股)室及全局黨員、干部職工為成員的網絡安全整治專項行動領導小組,同時強化交通運輸行業領域各涉網運輸企業的監督監管,暢通舉報發現,進一步細化各部門工作措施,突出重點任務,確保工作實效。
二、成立機關網絡安全工作領導小組
縣交通運輸局網絡安全檢查工作領導小組,負責推進日常工作事務。
三、高度重視防范
隨著企業信息化建設的不斷推進,信息在整個企業經營過程中起著至關重要的作用,信息安全是信息化可持續發展的保障,信息是社會發展的重要戰略資源。網絡信息安全已成為急待解決,影響企業發展極為關鍵的問題。
一、信息安全至關重要
信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
國際信息系統安全核準聯盟(ISC2)公布其全球信息安全專業人員調查,并指出近四分之三的信息安全從業人士認為,避免企業信譽受損是安全項目的首要任務。《2008 全球信息安全從業員研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2進行。共有來自100多個國家的企業和公共部門機構的7,548名信息安全從業人員接受了調查。數據丟失和審核所帶來的壓力已經使信息安全的可靠性受到企業管理層的關注。
由國家計算機網絡應急技術處理協調中心的《2007年網絡安全工作報告》稱,網絡信息系統存在的安全漏洞和隱患層出不窮,利益驅使下的地下黑客產業繼續發展,網絡攻擊的種類和數量成倍增長,終端用戶和互聯網企業是主要的受害者,基礎網絡和重要信息系統面臨著嚴峻的安全威脅。2007年各種網絡安全事件與2006年相比都有顯著增加。企業在面對外憂的同時,還要承受內患的威脅。企業或許通過構建數據隔離系統能有效防御外部攻擊,但對內部的主動泄密卻毫無招架之力,有數據顯示,目前,泄密事件78.9%的損失都是由內部主動泄密導致。除了防御外部攻擊外,內網的管理也至關重要。
二、信息安全的基本目標
信息安全通常強調所謂CIA三元組的目標,即:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 概念的闡述源自信息技術安全評估標準(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建設所應遵循的基本原則。1.保密性:確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。2.完整性:確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。3.可用性:確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
除了CIA,信息安全還有一些其他原則,包括可追溯性(Accountability)、抗抵賴性(Non-repudiation)、真實性(Authenticity)、可控性(Controllable)等,這些都是對CIA 原則的細化、補充或加強。
三、信息安全漏洞
企業信息化建設,既能使企業獲得發展的先機,提高和鞏固企業競爭優勢,也能給企業帶來新的風險。信息安全就是其中的核心問題。信息安全問題控制不當,企業信息化不但無法提高企業活力,還可能給企業帶來災難性的后果,威脅企業的生存。企業信息安全的威脅大致有以下幾方面。
1.外部威脅。⑴軟件系統漏洞:wndows系統的脆弱被大家公認。在2007年中,這種情況有了新的改變,百度搜霸、暴風影音、Qvod(Q播)、realplayer等流行軟件取代了windows的“漏洞王”地位。⑵網絡攻擊:①“黑客”侵入:竊取企業信息、篡改企業數據庫、干擾用戶之間的通訊信息、攻擊服務系統造成系統癱瘓。②計算機病毒:瀏覽器配置被修改、數據受損或丟失、系統使用受限、網絡無法使用、密碼被盜是計算機病毒造成的主要破壞后果。2007年我國計算機病毒感染率為91.4%,為歷年來最高;多次感染病毒的比率為54%,仍然維持在較高水平。③郵件災難:企業管理人員隨時可能發送涉及高度敏感話題的未加密電子郵件(股票發行、新產品計劃、合并、收購等等),而它極易被人截獲并加以利用。批量發送的未經收信人許可垃圾郵件已嚴重影響正常網絡通信,企業帶來時間和金錢上的損失。同時,垃圾郵件已成為黑客助紂為虐的工具。而通過電子郵件攜帶及傳播惡意代碼、病毒等更是對系統造成嚴重后果;④自然災害、意外事故:地震、水災、火災等自然災害將對系統造成毀滅性的傷害;意外事故(斷電、水浸、蟲咬)同樣不可忽視。
2.內部威脅。⑴系統風險:硬件選配不合適,環境不合要求,設備安裝不規范等;信息技術方案選擇失誤,信息技術的快速增長并沒有反映到你的系統中,使得系統安全性減弱;⑵非授權訪問:未經系統授權而使用網絡或計算機資源;⑶人為錯誤,比如:使用不當,安全意識差等;⑷計算機犯罪:惡意竊取、或出售企業機密;⑸管理漏洞:沒有嚴格的信息安全方針和規程;管理層不重視,不能保證足夠的安全預算;用戶權限設置混亂;過多的文件讀/寫權限,休眠的用戶賬戶也是一個常見的安全風險。
四、信息安全控制
1.及時修補軟件漏洞。在日常的安全防護中,不但要重視Windows系統漏洞的彌補,還要注意防范應用軟件的漏洞。某些IE瀏覽器的插件、輸入法、影音播放等應用軟件,都可能成為“黑客”病毒攻擊的對象。用戶使用這些軟件時不要僅僅關注他們的功能,還要注意其安全性能,并使用最新版本的軟件。
2.快速事故響應。及時制定事故相應方針和規程,告訴用戶當發生事故或入侵時應該做什么、如何做、采取行動的時間以及向誰報告,這將決定企業機密信息的命運。
3.啟用防火墻。制定防火墻方針和規程,指定專人負責、定期升級、應用最新補丁、及時培訓,閱讀審核日志,使用檢測軟件,快速響應,要求安全證據。
4.跟蹤外部連接。隨著電子商務的開展,越來越多的企業使用Internet來交換重要的商業信息,從而引起外部連接數目的激增,包括資金和財務數據。有必要專人負責跟蹤外部連接,記錄并定期提交詳細的連接狀態報告。
5.加密/過濾電子郵件。電子郵件加密套件十分容易安裝,并且對用戶來說近乎透明,能對用戶的隱私進行有效地加密保護;更為重要的是你必須使用垃圾郵件過濾軟件,阻止各種兜售信息(垃圾郵件)、病毒恐慌、真正的病毒、蠕蟲、特洛伊木馬等的攻擊。
6.貫徹冗余方案。建立冷備份、熱備份和冗余備份。冷備份指除一個在用網絡外,還有一備份網絡。備份網絡在日常處理時不開機,一旦發現網絡出現故障,立即啟動備份網絡,代替生產網絡進行工作。熱備份指備份網絡也開機運行,但并不服務。一旦網絡失效,備份網絡即自動代替生產網絡進入服務。冗余備份則是多個網絡同時進行服務,一個網絡的失效不影響整個系統的運行。
7.加強內部管理。企業應建立相應的網絡安全管理辦法,加強內部管理,建立合適的網絡安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,及時進行用戶培訓,提高整體網絡安全和法律意識;
五、結語
國民經濟的發展,綜合國力的提升,提高企業的市場競爭力,企業信息化是必經之路。實現信息安全是企業信息化成敗的關鍵,它不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育
參考文獻:
[1]Linda McCarthy:《信息安全-企業抵御風險之道》,清華大學出版社,2003。
[2]飄搖:《信息安全成為當前全球企業信息化首要任務》,賽迪網,2008.4。
隨著網絡時代的到來,越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心(CNCERT/CC)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(Phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(Phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(Dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據 充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,CNCERT/CC還是國際應急響應與安全小組論壇(FIRST,Forum of Incident Response and Security Teams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網Web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
Internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
參考文獻:
[1]CNCERT/CC.2005年上半年網絡安全工作報告
[2]李 衛:計算機網絡安全與管理.北京:清華大學出版社,2000
一、 操作系統在安全方面的漏洞
1 操作系統的體系結構造成操作系統本身是不安全的,這是計算機系統不安全的根本原因。操作系統的程序是可以動態連接的,包括I/Q的驅動程序與服務系統,都可以用打補丁的方式進行動態連接。許多UNIX操作系統的版本升級開發都是采用打補丁的方式進行的。這種方法廠商可以試用,黑客也可以使用,而且這種動態連接也是計算機病毒產生的好環境。一個靠打補丁開發的操作系統是不可能從根本上解決安全問題的。
2. 操作系統不安全的另一個因素在于它可以創建程序,甚至支持在網絡的節點上進行遠程進程的創建和激活,更重要的是被創建的程序可以繼承創建程序的權力。這一點與上一點(可在網絡上加載程序)結合起來就構成了可以在遠端服務器上安裝“間諜”軟件的條件。若再加上把這種間諜軟件以打補丁的方式“打”在一個合法的用戶上,尤其“打”在一個特權用戶上,間諜軟件就可以做到系統進程與作業的監視程序都檢測不到它的存在。
3.操作系統通常都提供deamon軟件,這種軟件實質上是一些系統進程。它們總在等待一些條件的出現,之后程序便繼續運行下去。這樣的軟件都是黑客可以利用的。這里應該說明的是:關鍵不再與有沒有deamom在UNIX以及WINDOWSNT操作系統上具有與操作系統核心層軟件同等的權利。
二、 計算機網絡安全漏洞
Internet/Intranet使用的TCP/IP協議以及FTP、email、RPC、NFS等都包含許多不安全因素,存在許多漏洞。
(一)數據庫管理系統安全漏洞
數據庫管理系統的安全必須與操作系統的安全進行配套。例如DBMS的安全級別是B2級,那么操作系統的安全級別也應當是B2級。由于數據庫的安全管理同樣是建立在分級管理的概念之上的,因此DBMS的安全也是脆弱的。
(二)應用系統安全的漏洞
路由器---錯誤的路由器配置、隱蔽Modem、缺省的路由器配置這些都導致黑客的攻擊。防火墻---它的出發點是防止外部黑客的攻擊,從根本上說是防外不防內,在美國的調查表明,32%的泄密是內部作案,所有的防火墻都不同程度地被黑客攻擊過。而且防火墻只能防一個口,并且不能對IP包進行分析。Web服務器---又是一個非常容易利用的黑客工具。另外還有位置的安全間歇。
(三)缺少安全管理
世界上現有的信息系統絕大多數都缺少管理員,目前絕大多數企業負責網絡安全管理的只有幾個人,而且缺少信息系統安全管理的規范,缺少定期的安全測試和檢查,更缺少安全監控。另外,安全要求與實際操作相脫離,因為安全策略經常會與用戶方便性相矛盾,知識安全措施和實際執行之間存在很大的距離。我國許多的信息系統已經使用了很多年,但計算機的系統管理員與用戶的注冊還有很大一部分仍然處于缺省狀態,信息系統受到威脅。信息系統安全的隱患包括內部的安全隱患、黑客(外部和內部的,內部黑客了解熟悉網絡結構,更易下手)的攻擊、計算機病毒極易拒絕服務攻擊(Denial of Service Attack )。
三、利用internet網絡監視器
由于現在廣泛使用以太網均采用共享信道的方法,即把發給指定機主信息廣播到整個網絡上。盡管在普通方式下,某臺主機只能收到發給它的信息,然而只要這臺主機將網絡接口的方式設成“雜亂”模式的話,就可以接受掙個網絡上的信息包。利用以太網這個特性,internet網絡監視器接受整個網絡上的信息包,并將其重組,還原為用戶傳遞的文件和明文。
當文件在用戶的網絡環境與外部的Intranet之間發生轉換是,internet網絡監視器對交換的文件進行全文檢索,如果在交換的文件中發現了目標字,則提醒網絡管理員可能發生了安全事件,并記錄下是誰在交換文件,從而提供了網絡使用的安全性。
(一)網絡安全審計員
Internet網絡監視器擔當Intranet內部網的網絡安全審計員。審計誰在執行什么操作、那些操作總是出現等。如網絡發生安全事件,特別是在金融、銀行、保險行業的安全事件。Internet網絡監視器有利于事后分析,和追查網絡的攻擊、破壞、等犯罪行為。就好比現在銀行中的錄像機會攝下用戶在銀行中的活動情況一樣。另外internet 網絡監視器便于監察網絡運行狀態和安全狀況。
(二)保密檢查員
Internet網絡監視器可見識機密信息的泄漏,用戶的網絡環境是自己的Intranet或與Internet連接的局域網,用戶的機密材料是以目標字為特征的,當文件在用戶的網絡環境與內部發生交換時,網絡監視器對交換的文件進行全文檢索,如果在交換中發現了目標字,則提醒網絡管理員可能發生了泄密時間,并記錄下是誰在交換文件,供用戶追查時使用。
網絡監視器有助于用戶及時發現問題,對犯罪分子起到相印的威懾作用。它使用簡便,只需掛接在用戶網絡中即可。他本身沒有IP地址,所以犯罪分子無法對其進行攻擊。因而監視器本身具有較高的安全性。如果將其與防火墻、系統存取控制等網控技術結合使用,彼此取長補短,則可有效組織泄密事件的發生。
參考文獻:
[1](美)WilliamStallings著,楊明等譯.密碼編碼學與網絡安全[M].電子工業出版社,2001.
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)02-314-02
On the Security of Electric Buisiness on the Internet
ZHAO Ming, SUN Rong-rong
(School of Software,Central South University, Changsha 410002, China)
Abstract: On the basis of connresponding analysis of security accidents on Internet,writer would give a list of factors which impose great influence on security of electric business development.What's more,writer puts forward application of security technologies,associted with law,pracitce of emergency reaction,construction of security management.
Key words: electric business; security on Internet; trade on internet; affair patterns; security
隨著Internet的快速發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,如網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等網絡安全事件正在大幅攀升,已經成為桎梏電子商務等互聯網應用的重要因素。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
1 電子商務及交易安全
電子商務,Electronic Commerce,簡稱EC。電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動的一種新型的商業運營模式。電子商務的交易安全就是對交易中涉及的各種數據的可靠性、完整性和可用性進行保護。當許多傳統的商務方式應用在 Internet上時,便會帶來許多源于安全方面的問題,如傳統的貸款和借款卡支付的保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。具體來說包括以下幾個方面:
1)數據保密:防止非授權用戶獲得并使用該數據。
2)數據完整性:確保網絡上的數據在傳輸過程中沒有被篡改。
3)身份驗證:對網絡上的另一個用戶進行驗證,證實他就是他所聲稱的那個人。
4)授權:控制誰能夠訪問網絡上的信息并且能夠進行何種操作。
5)不可抵賴和不可否認:用戶不能抵賴自己曾做出的行為,也不能否認曾經接到對方的信息。
6)軟件資源或網址免受病毒的侵害與黑客的攻擊。
為了滿足這些需求,提高電子商務的安全性,網絡和管理技術人員研究和開發了多種網絡安全技術和協議,這些技術和協議各自有一定的使用范圍,可以提供電子商務交易活動不同程度的安全保障。
2 影響電子商務發展的主要網絡安全事件類型
2.1 網絡篡改
網絡篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對 企業 網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.2 網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其它系統進行傳播。網絡蠕蟲的危害通常有兩個方面:1)蠕蟲在進入被攻擊的系統后,一旦具有控制系統的能力,就可以使得該系統被他人遠程操縱。其危害一方面是重要系統會出現失密現象,另一方面會被利用來對其他系統進行攻擊。2)蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
2.3 拒絕服務攻擊
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
2.4 特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界連接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其它系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
2.5 網絡仿冒(Phishing)
Phishing又稱網絡仿冒、網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
3 安全技術在電子商務中的具體應用
電子商務在功能上要求實現實時帳戶信息查詢。這就使電子商務系統必須在物理上與生產系統要有連接,這對于電子商務信息系統的安全性提出了更高的要求,必須保證外部網絡(Internet)用戶不能對生產系統構成威脅。為此,需要全方位地制定系統的安全策略。
3.1 數據通訊的安全性
數據通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決于加密的算法和加密的強度。電子商務系統的數據通信主要存在于:①客戶瀏覽器與電子商務Web服務器端的通訊;②電子商務Web服務器與電子商務數據庫服務器的通訊;③銀行內部網與業務之間的數據通訊。
安全鏈路在客戶端瀏覽器和電子商務Web服務器之間采用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和服務器之間建立安全機制,SSL首先要求服務器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗證服務器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的服務順證書通過后利用該證書對稱加密算法(RSA)與服務器協商一個對稱算法及密鑰,然后用此對稱算法加密傳輸的明文。此時瀏覽器也會出現進入安全狀態的提示。
3.2 應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運動,而不是只有有限的指令子集在特權模式下運動,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
3.3 用戶的認證管理
電子商務中企業用戶身份認證可以通過服務器CA證書與IC卡相結合實現的。CA證書用來認證服務器的身份,IC卡用來認證企業用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發放數字證書,證書分為服務器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。
3.4 安全管理
為了確保系統的安全性,除了采用上述技術手段外,還必須建立嚴格的內部安全機制。對于所有接觸系統的人員,按其職責設定其訪問系統的最小權限。按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢。定期檢查日志,以便及時發現潛在的安全威脅。對于重要數據要及時進行備份,且對數據庫中存放的數據,數據庫系統應視其重要性提供不同級別的數據加密。安全實際上就是一種風險管理。任何技術手段都不能保證100%安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定采用什么安全策略取決于系統的風險要控制在什么程度范圍內。
4 結論
電子商務的安全問題是電子商務的核心問題,而電子商務作為全球商務發展的趨勢,將給全球的經濟、政治和法律帶來深刻的影響,所以研究電子商務的安全問題顯得尤為重要。而且為了國家的安全,電子商務系統所涉及到的一些關鍵技術只能靠自主開發,而不能盲目全盤引進。由此可見,如何構造一個安全的電子商務安全體系,永遠是個值得研究的課題。
參考文獻:
[1] CNCERT/CC.2005年上半年網絡安全工作報告[R].2005.
2010年衛生信息化工作情況
1. 積極推動醫改各項工作
2009年國家頒布新醫改方案,2010年北京市制定“北京市2010~2011深化醫藥衛生體制改革實施方案”。關于衛生信息化工作,在北京的醫改文件中提出:“啟動醫藥衛生信息綜合服務平臺建設前期工作。探索利用網絡信息技術,試點發展遠程會診。推進信息化標準建設,逐步統一規范醫院信息系統數據接口和信息采集,推進公共衛生、醫療、醫保、藥品、財務監管等信息系統互聯互通工作。提高信息化水平,城鄉居民電子健康檔案建檔率達到20%。”
2. 衛生信息化人員機構和隊伍建設又見成效
2010年,昌平區衛生局新成立了信息中心,使我市16個區縣中,區縣衛生局成立信息中心的數量達到12個。目前,只有海淀、豐臺、通州、門頭溝4個區縣衛生局仍然沒有成立信息中心。
3. 堅持衛生信息化行業管理不松懈
自2003年后,為避免信息化建設各自為政、重復建設、盲目建設、數據多頭采集,北京衛生信息化按照“統一規劃、統一標準、統一建設、統一管理”的“四統一”原則開展工作。
起草《北京市“十二五”衛生信息化規劃》
2010年是十二五規劃之年,《北京市“十二五”衛生信息化規劃》專項規劃是《北京市衛生事業發展改革“十二五”規劃》的重要組成部分。市衛生局全面征求區縣衛生局、直屬事業單位和直屬三級醫院的意見,多次組織召開專題研討會征求意見。目前,已經完成了規劃的制訂,準備近期。
制訂醫院門急診信息系統相關標準規范
完成《北京地區醫院門急診信息系統基本功能規范和數據采集規范》(試行稿),于9月19日向北京地區50家三級醫院及11家遠郊區縣中心醫院下發《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)以及《關于做好門急診信息系統接口改造工作的通知》,該規范作為醫院門、急診信息系統改造以及數據采集的規范依據正式試行。
完成了《北京市藥品分類與代碼規范》,北京市質量技術監督局已經將其列入2011年北京市地方標準修訂計劃之中。
完成衛生信息化項目前置審核工作
按照《北京市衛生信息化項目建設管理辦法》(京衛辦字〔2008〕107號),做好衛生信息化項目的前置審核評審等項目管理工作。2010年共收到各單位上報項目76項,涉及資金3億元。經市衛生局信息化領導小組審核,通過22項。
通過統一評審和歸口管理,可以全面了解各單位的衛生信息化情況,做到統籌管理,使得各部門的信息化建設符合衛生信息化總體規劃和發展方向;同時利用市公共衛生信息中心及相關專家資源對于項目建設方案進行評估,使得方案在總體設計、安全管理、網絡建設、國產軟硬件產品和信息共享等方面更加全面、科學。
4. 重點應用系統建設取得實效
新社區衛生信息系統推廣實施順利
新社區衛生服務綜合管理信息系統是全面覆蓋社區衛生服務機構和社區衛生管理機構,以建立居民健康檔案為核心,支持基本醫療和公共衛生服務的信息系統,符合社區衛生改革的要求。
在新社區衛生服務綜合管理信息系統中,著力建設社區衛生業務和財務等應用系統,實現市、區縣和基層三層體系架構。2010年完成了試點項目驗收,6月24日啟動全市推廣。截至到2011年3月6日,在西城、原崇文、原宣武、順義、朝陽、海淀、石景山等8個區縣、52個社區衛生服務中心、178個社區衛生服務站穩定運行,建立電子健康檔案526萬份,原東城、西城、崇文、宣武四個城區基本完成實施推廣任務,順義、海淀、石景山、昌平區、密云縣進展順利。
借助醫聯碼系統,實現門急診信息采集
北京市實名就診卡完善(醫聯碼系統)項目是我市建立門急診信息報告制度的支撐項目,是我局針對目前管理需求對原北京市實名就診卡完善項目進行變更后重新啟動的項目。該項目在全市三級醫院及十一家區級中心醫院實施,將為非醫保患者建立統一的條碼,通過此條碼采集門急診就診信息。項目實施至今,已在全市推開,醫聯碼發放及信息采集工作業已開始。截至3月15日,已有39家醫院完成接口改造,大興人民醫院、婦產醫院、同仁醫院、房山第一醫院等31家醫院共計發放醫聯碼28.95萬條。朝陽醫院、婦產醫院、人民醫院、北醫三院、中日友好醫院等17家醫院已經上報門急診信息,共計93.8萬條。
5. 固化衛生行業信息安全保障成果,提高安全管理水平
2010年的衛生行業信息安全的重點工作是固化奧運和國慶信息安全保障工作成果,在行業內以推動等級保護為依托,進一步提高全行業信息安全管理水平。在各級領導的重視下,各單位圓滿完成了2010年信息安全相關工作。
開展衛生行業信息安全檢查
2010年,為督促我市衛生行業各單位做好信息安全保障工作,細化各項信息網絡安全工作措施,進一步提升網絡與信息系統支撐醫療服務工作的效率和水平,確保我市衛生行業網絡與信息系統安全穩定運行,市公安局和市衛生局對全市大中型醫院及市屬醫療衛生機構開展了網絡和信息系統安全檢查。
出臺《醫療衛生信息安全等級保護實施指南》
2010年,結合近幾年信息安全聯合檢查中遇到的各類問題,信息中心組織出版了《醫療衛生信息安全等級保護實施指南》。規范了醫療衛生信息安全等級保護工作的基本思路和實施方法,指導我市醫療衛生信息建設中的信息安全保障工作,對搞好醫療衛生信息安全保障具有十分重要的現實意義。
開展信息安全培訓
2010年,在衛生局直屬單位開展了信息安全員信息安全保障知識培訓,共進行了8次授課,共400余人次接受了培訓,提高了信息安全員的信息安全保障能力,為各單位的信息安全保障奠定了基礎。
2011年衛生信息化重點任務
1. 十二五期間信息化建設基本任務
未來五年,衛生信息化建設的主要任務是建立“基于電子病歷和居民健康檔案的醫藥衛生信息化工程”,主要內容可以概括為一張網絡、兩級平臺、三個基礎數據庫。
一張網絡,是指全市各級各類醫療衛生機構與行政管理部門互聯互通的信息傳輸網絡;兩級平臺,是指市、區/縣兩級衛生信息交換平臺;三個基礎數據庫,是指執法相對人數據庫、醫療衛生資源數據庫和居民健康檔案數據庫。實現上述目標,依靠的是標準規范和信息安全保障兩個體系。
2. 推進醫院信息化建設
電子病歷試點工作
衛生部為推進醫藥衛生體制改革,加強醫院信息化建設,于2010年9月下發了《關于開展電子病歷試點工作的通知》(衛醫政發〔2010〕85號)文件,決定在北京市等22個省(區、市)部分區域和醫院開展電子病歷試點工作,確定試點工作時間為1年。市衛生局根據衛生部文件的精神和要求,組織制定了《北京市以電子病歷為核心的醫院信息化試點工作實施方案》,明確了指導思想、工作目標、組織管理、實施步驟及工作要求。同時還制定了《北京地區電子病歷試點技術方案》,指導試點醫院推進電子病歷工作。
醫聯碼相關工作
醫聯碼系統為北京地區醫療機構門急診信息采集提供了支持,奠定了基礎。根據北京市衛生局《關于建立北京地區醫療機構門急診信息報告制度的通知》(京衛醫字〔2010〕212號)文件要求,三級醫療機構及11家遠郊區縣區域醫療中心2011年1月起,正式啟用門急診信息上報工作。今年要繼續推進醫聯碼相關工作,希望各醫院建立院內的組織協調工作機制,積極開展醫聯碼接口改造、信息上傳、門急診就診信息上傳等工作。
3. 推廣實施社區衛生信息系統
市衛生局、市編辦、市發改委、市財政等八部門聯合下發的《關于進一步推進社區衛生改革與管理工作的意見》(京衛基層字〔2010〕25號)要求,“以有利于工作開展、有利于方便居民、有利于加強管理為目標,全面推廣應用全市統一的新社區衛生服務綜合管理信息系統,并不斷完善功能。到2011年底,建立起以健康檔案為基礎的覆蓋全市社區衛生服務和管理機構的信息化管理體系,搭建完成覆蓋全市社區衛生服務管理中心、社區衛生服務中心、社區衛生服務站的互聯互通的網絡。加強市、區兩級社區衛生服務綜合管理信息平臺的建設。”
各區縣積極推進社區衛生信息化工作,年底之前,完成16區縣推廣應用部署工作。目前,推進較好的區縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。
4. 加強公共衛生和衛生管理信息化建設和綜合利用
推動居民電子健康檔案建立工作
根據醫改要求,把為轄區常住人口重點人群自愿建立統一、規范的居民健康檔案,及時更新健康檔案,并逐步試行計算機管理等工作列為本市為居民提供的基本公共衛生服務項目。2011年的醫改任務責任書中,各區縣居民電子健康檔案建檔率指標有所不同,但全市總體要求達到50%以上。北京市新社區衛生服務信息系統已經提供了電子健康檔案建立的工具,請各區縣組織人員開展電子健康檔案相關工作,以便建立實時動態變化的社區居民電子健康檔案,為社區居民服務,為家庭醫生服務。
啟動婦幼保健網絡信息系統二期
3月啟動婦幼保健二期建設,系統將覆蓋北京市婦幼保健院、16所區縣婦幼保健院(所)、近800家承擔婦幼保健服務與管理工作的醫療保健機構、1000余家托幼園所等機構,以婦幼健康檔案為核心,實現與醫院和社區信息共享的、完整的、動態的、連續的婦女兒童保健信息庫。計劃9月開發完成,試運行。各區縣不需再單獨建立婦幼信息系統。
2011年工作要求
1. 領導重視,加快落實信息化機構和人才隊伍建設
目前,仍有部分區縣沒有成立信息中心,部分直屬機構沒有信息管理部門,衛生人才隊伍薄弱,嚴重影響了信息化建設。各單位領導要高度重視,盡快落實機構設置和人員配置問題。
2. 加強管理,保障信息系統安全
今年市衛生局將繼續以信息系統等級保護工作為依托,繼續加強全市衛生行業信息安全管理工作。
繼續聯合市公安局對行業進行信息安全檢查,重點針對電子病歷試點單位、重要公共衛生部門進行安全檢查。
按照市信息安全協調領導小組工作部署要求,進一步加快推動等級保護。
3. 樹立大局觀念,加快社區衛生信息系統的推廣應用
要求各區縣加強組織,落實責任,協調相關部門,加大推廣力度,2011年底之前完成任務。
前言
在網絡還沒有普及的情況下,電腦之間只能通過磁盤、光盤等存儲設備進行文件復制,每臺電腦之間相對獨立,只需防范磁盤光盤中的電腦病毒就能基本保證電腦系統的安全。近年來,隨著互聯網技術及應用的飛速發展,互聯網已成為個人不可或缺的日常應用。但是人們在享受網絡帶來便捷的同時,個人電腦網絡安全問題也日漸突出,非法分子利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴重影響了網絡的正常秩序,嚴重損害了網民的利益。由CNCERT/CC(國家計算機網絡應急技術處理協調中心)每年的電腦網絡安全工作報告顯示,每年各種網絡安全事件與上一年相比都有顯著增加,因此在互聯網環境中如何加強個人電腦安全已是迫眉睫問題。
一、計算機網絡安全的現狀
現階段,社會的發展離不來計算機網絡信息的安全,網絡信息的安全涉及到國家的各個領域(包括行政、外交、軍事等等),并且信息的傳輸處理很多是國家政府的內部機密,如調空政策、股票證券、銀行的轉帳信息、能源數據庫以及科研數據等等中校信息。所以這些重要的信息不免會受到世界各地的攻擊,以至于造成信息數據的切取、篡改、刪除和計算機病毒的入侵等損失。針對計算機網絡的犯罪行為,它有著偵察難度大,舉證困難的原因,所以這就刺激了很多計算機領域的高科技犯罪(黑客)分子的心理。從而是計算機網絡領域的犯罪率鄒升。因此世界各地的計算機網絡系統將面臨嚴峻的考驗。一旦計算機網絡被攻擊破壞,將嚴重影響人類使用計算機的安全性。
二、計算機網絡不安全因素
2.1 計算機網絡的脆弱性
我們所使用的計算機網絡(互聯網)是一個開放的網絡,任何使用者都可以很方便直接的在網絡上收發信息和文件,正是因為互聯網有這種開放性、共享性和國際性的特點,因此計算機網絡安全就將面臨著嚴峻的挑戰。計算機網絡的不安全性主要有:首先網絡技術的開放性使得網絡計算機網絡有可能受到各個方面的攻擊,攻擊是來自多個方面的。其次計算機網絡的國際性就使得一旦計算機網絡受到攻擊就不一定是本的網絡用戶所為,有可能是世界上別的國家的黑客所為,因此計算機網絡的安全性也面臨國際性的挑戰。最后就是計算機網絡的自由性,因為任何使用計算機網絡的用戶都可以隨意使用網絡技術,隨意上網信息以及索取信息等等。
2.2 操作系統存在的安全問題
所謂操作系統只是一個軟件,它作為一個支撐的軟件它所提供的是讓你程序正常運行的一個環境。既然是軟件運行環境,那么它就存在一定的不安全性,可能是由于系統的開發者在開發過程中所留下的破綻或者漏洞,這都會給黑客可乘之機。
2.3 數據庫存儲的內容存在的安全問題
所謂數據庫主要是用來存儲數據信息和管理利用信息的一個軟件,它所存儲的數據包括我們網絡上瀏覽的所有信息。作為數據庫它所考慮的主要是信息內容的存儲、利用以及管理,但針對安全方面數據庫軟件考慮的就比較少了。所謂數據庫的安全就是保證數據庫所存儲的內容不要收到破壞和非法用戶的竊取;保證數據庫的內容完整性就是要保證存儲單元中沒有不符合要求的數據。
2.4 防火墻的安全性
防火墻簡單來描述就是網絡內部和外部連接的一道墻,它一個由軟硬件設備組合而成的一個對網絡起保護作用的工具。但它它卻不能保護你的網絡不受外界所有的攻擊。因為伴隨著計算機技術日新月異的發展,有一些破解的方法能夠給防火墻帶來一定的隱患。這就是防火墻的一些局限性。
2.5 其他方面的因素
計算機的硬件設備以及網絡通訊設備很容易受到自然環境的影響,例如水災、地震、風暴、建筑物的損壞等等。這些也都會對計算機網絡造成一定的危害。另外還有一些危害因素是由于軟件本身的漏洞,硬件設備功能失常,電源斷電等等所造成的。再就是由于單位的規章制度不健全不完善,技術人員的操作失誤等等也會給計算機網絡安全造成威脅。
三、計算機安全的防護措施
3.1 網絡病毒的防范措施
計算機病毒在平常情況下通過網絡傳播的速度是驚人的快,對于我國的一些學校、政府機關單位以及企事業單位所使用的網絡一般都是內部的局域網,因此在服務器的操作系統上安裝上防病毒的軟件是必須的,這樣就可以有效的保證網絡使用的安全性。另外,對內部網絡如果用發送郵件來傳遞信息的時候,還應安裝一個針對郵件服務器的防病毒的軟件,以此來判斷病毒郵件的病毒地址等。因此在計算機網絡中安裝使用防病毒軟件對于網絡用戶來說是一個很普遍的行為。并且計算機用戶要定期的為防病毒軟件進行升級,為計算機所存在的漏洞打補丁,并且要加強檢測行為,以保證自己的信息免受病毒的侵害。
3.2 合理地選擇防病毒軟件
隨著計算機的普及以及網絡的暢通,隨之而來的是電腦病毒。上網的人群中,基本上都被病毒侵害過。對于一般電腦用戶而言,面對電腦病毒的侵害,首先要做的就是為自已的電腦安裝一套正版的殺毒軟件,以防電腦有病毒時能及時查殺。現在不少人對防病毒有個誤區,就是對待電腦病毒的關鍵是“殺”毒,其實對待電腦病毒應當是以“防”毒為主。因此我們的電腦在安裝殺毒軟件時,應當一并安病毒實時監控程序,這樣一但在上網過程中有病毒入侵,監控程序馬上會發現病毒,殺毒軟件能及時處理,以達到病毒入侵電腦前,就被“殺”死,以達到防毒效果。同時,要設置自己安裝的軟件定時查找電腦系統的漏洞,以達到及時補漏,讓自己的電腦達到最好狀態。
從上一點的病毒軟件的分析我們得出了選擇病毒軟件需要有以下特點:首先是能夠掃描計算機里所有下載或者使用的各種文件;其次是能夠全面監控病毒的入侵入口和計算機漏洞;第三開發界面人性化,方便用戶的操作和管理;第四能夠自動的餓定期提示更新軟件;最后技術支持到位,在發現病毒后會第一時間隔離或者刪除一保證計算機正常運行。
3.3 數據備份
計算機里總會存一些非常重學的資料,比如工作上的重要文件或自己的私人隱私資料等等。那么在使用電腦時,備份有用資料就顯得非常重要,一旦電腦出現狀況需要重裝或格式化電腦硬盤時,如果你手中沒有備份資料,那么對自己造成的損失是無法估量。所以,無論采取了多么嚴密的防范措施,也不要忘了隨時備份你的重要數據,做到有備無患!
3.4 黑客網站、不輕易碰
上網的人群都知道,上網很容易出現中病毒的情況,是自己有不良好的上網習慣,比如打開一些不知道的網站,瀏覽一些或官方已經公布的黑網,這樣很容易使電腦中毒,往往這種情況中毒時更容易使電腦癱瘓,所以要養成良好的上網習慣。
3.5 安裝個人防火墻
現在上網用戶一般較少裝有個人防火墻,原因是在上網的過程中,很少會出現黑客入侵的情況發生,也就忽視了給自己的電腦安裝防火墻。其實安裝防火墻是很必要的,在上網的過程上,可以抵御黑客的襲擊,阻止黑客入侵自己的電腦,從而使自己的隱私的泄漏,給自己造成不必要的麻煩。在理想情況下,一個好的防火墻應該能把各種安全問題在發生之前解決。
3.6 密碼設置要復雜
就像大家使用的網上銀行一樣,使用了一定的時間,網上銀行頁面都會提示要修改自己的密碼,這也是為了客戶能在使用銀行時保護客戶的密碼不會輕易泄漏。網上需要設置密碼的地方很多,如網上銀行、上網賬戶、E-mail、聊天室以及一些網站的會員等。應盡可能使用不同的密碼,以免因一個密碼泄露導致所有資料外泄,如果實在記不住,就在隨身攜帶的包里放一個記密碼的本子,使自己的上網更安全。對于重要的密碼一定要單獨設置,并且不要與其他密碼相同。設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字符作為密碼,最好采用字符與數字混合的密碼。不要貪圖方便在撥號連接的時候選擇“保存密碼”選項;如果是使用email客戶端軟件來收發重要的電子郵箱,如ISP信箱中的電子郵件,在設置賬戶屬性時盡量不要使用“記憶密碼”的功能。因為雖然密碼在機器中是以加密方式存儲的,但是這樣的加密往往并不保險,一些初級的黑客即可輕易地破譯你的密碼,利用它可以輕而易舉地得到你保存的密碼。定期地修改上網密碼,至少一個月更改一次,這樣可以確保即使原密碼泄露,也能將損失減小到最少。
3.7 必要時才設置共享文件夾
一般情況下是沒有必要設置共享文件的,共享的文件越多,越容易使電腦中毒。不要以為在內部網上共享的文件是安全的,其實在共享文件的同時就會有軟件漏洞呈現在互聯網的面前,公眾可以自由地訪問你的那些文件,并很有可能被有惡意的人利用和攻擊。因此共享文件應該設置密碼,一旦不需要共享時立即關閉。
3.8 清除上網痕跡和沒必要的插件
個人在上網時,瀏覽過的網頁、看過的網址或電腦、使用過的軟件、玩過的游戲等等,電腦會自己記錄下來以備客戶下次使用時的方便,但這些會給電腦帶來安全隱患,使別人通過自己使用的電腦上網痕跡,來入侵自己的電腦,所以非常有必要在一定的時間內清除自己的上網痕跡,以確保電腦安全。
上網過程中往往會為了暫時的功能,會下載安裝一些插件,但安裝使用過之后往往以后不會在用到,這時應該及時清除,以免使自己的電腦運行速度變慢或更容易被不速客利用。
3.9 安全建議
計算機用戶在使用計算機過程中應該注意以下幾方面內容以保證計算機網絡信息的安全性:首先要把系統中沒有必要的服務全部關閉掉;其次在網絡中登陸軟件或者后臺時社子密碼不要過于簡單;再次是不要隨意瀏覽一些非法網站下載一些非法內容,養長良好的安全上網的習慣;最后了解一些病毒知識為系統漏洞打好補丁并且安裝上專業的防病毒軟件嚴格監控自己的計算機,防止計算機病毒的入侵等。
結束語
本文描述的計算機網絡安全除了網絡上的一些病毒或者入侵者會對自己網絡的安全造成威脅外。還有一些情況可能是認為的操作不當而引起的,這也會給系統的安全埋下隱患。所以,計算機用戶在做到以上提出的觀點外還要做到文明上網,盡量改掉一些不良的用機習慣,并且正確和安全使用計算機。
參考文獻:
[1]王倩.網絡發展期待安全與法制[J].河南師范大學學報(哲學社會科學版),2001,6.
[2]卓翔.網絡犯罪若干問題研究[D].中國政法大學,2004.
近年來頻繁集中爆發的互聯網安全事件不僅應驗了業內人士此前的憂慮,而且也給年輕的互聯網金融敲響了警鐘:
2014年春節前夕,拍拍貸、好貸網、火幣網等多家P2P網貸平臺遭黑客攻擊,平臺頁面無法打開,致使投資人無法登錄平臺投資和提現,平臺負責人隨后收到黑客幾千元至幾萬元不等的敲詐信息。
近期,多個P2P平臺陸續爆出問題,P2P網貸行業資訊門戶網貸之家、網貸天眼及第一網貸等平臺都遭受到了黑客攻擊。
此外,央行近期對虛擬信用支付和二維碼支付的叫停,也可以理解為,考慮到支付流程中的安全問題,比如虛擬信用支付中的本人確認問題、材料真實性問題以及二維碼支付中的客戶信息安全問題,都已經成為監管機構履行安全監管職責的監管地帶。
嚴峻的金融信息安全形勢,要求金融業切實采取措施,努力提高信息安全保障水平,堅決打擊危害金融信息安全的犯罪活動。因此,清醒地看到當前我國互聯網金融安全面臨的形勢,充分認識金融安全工作的重要性,未雨綢繆,勇于應對挑戰,對于我國的金融機構來說尤其迫切。
2 互聯網金融危機呈現新特點,技術性風險上升
業內普遍認為,互聯網金融最大的成本不是平臺運營成本,也不是客戶的獲取成本,更不是監管上的投入成本,而是作為平臺本身的信譽成本,也就是常說的平臺信任度。一旦缺乏了信任度,客戶擠兌,資金流逝,平臺成為了無源之水,即便符合監管標準,降低運營成本也無濟于事。
從用戶角度出發,選擇一個安全、審慎的平臺進行理財、融資、投資是十分有必要的。傳統金融之所以沒能在金融互聯網化上有更多創新,一方面是監管設限,另一方面也是考慮到平臺的安全性問題,在一個沒有良好的IT后臺支撐,沒有風險撥備和不良率控制的互聯網平臺,一旦遭遇平臺的信任風險,就將很難再次獲取客戶的信任。客戶的遷移習慣需要一個長期培育的過程,這個過程在遭遇了風險和安全問題后,一般是不可逆的。
我們注意到,對于互聯網金融,監管層的立場基本上是有條件的鼓勵和支持,即便是在今年的兩會期間,互聯網金融寫入了政府工作報告,但是潛臺詞是要風險可控。否則,一旦出現不可控的風險趨勢,監管層必然會以保護投資者利益為由進行更嚴格的準入監管。
從近期發生的互聯網金融安全危機來看,中國的互聯網金融業已經進入了風險的第二階段,因為技術力量的不足,在互聯網非法攻擊面前,平臺的抵御能力和用戶資金、信息的保護能力正逐步陷入捉襟見肘的窘境。
2014年,互聯網金融通過概念和收益的引領,開創了互聯網金融元年的新時期,也成為金融新趨勢的代名詞。在這個初創階段,互聯網金融的平臺風險主要是集中在平臺的運營風險和模式風險,也就是平臺自身的風險,比如部分p2p進行自融、詐騙、頻繁債權轉讓等,在不規范、甚至違法的業務運作中放大了平臺的運營風險。
為此,央行、銀監會以及相關部門在上海、深圳等地對互聯網金融開展了深度的調研,并成立了一些專業的互聯網金融協會,分享運營模式經驗和風險,給當時的不規范的互聯網金融打了一劑猛藥。在行業性風險的處理中,互聯網金融也逐漸形成了一些安全與風控的基本原則,比如P2P行業的“點對點、數據征信、第三方”以及不搞自融,不建立資金池,不非法集資等。
那么近期爆發的互聯網金融安全危機,普遍呈現出哪些特點呢?從這一輪安全性風險的溯源來看,大多不是平臺的模式風險,而是外部的網絡安全性問題,也就是平臺在抵抗互聯網非法攻擊方面的抵御能力和用戶資金、信息的保護能力。從這個意義上而言,目前的互聯網金融是進入了風險的第二個階段。如果說前一個風險是經驗上的不足導致的風險,這一個階段的風險就是技術上的不足導致的風險。
頻繁發生的安全危機無疑正在不斷推高互聯網金融成本。相關技術分析和輿論解讀普遍認為,傳統金融的成本集中在線下的人力成本、物理店面成本以及復雜性較高的后臺IT成本;而成長初期的互聯網金融平臺,在安全性上的配套資源相對不那么充足,主要的成本在于平臺搭建成本和市場營銷成本。
我們注意到,隨著互聯網金融往縱深發展以及金融互聯網化的發展,互聯網金融和傳統金融的成本差距正呈現縮小的趨勢。
就互聯網金融而言,安全性問題在短期內將成為一把達摩利斯之劍,為提高平臺的抗安全攻擊能力,除了在平臺流程和數據征信上加強完善外,互聯網金融平臺將不得不在安全性問題上投入更多的資源,包括設備配置、網絡維護、人員安排以及應急處理機制。特別是對于部分中小P2P網貸平臺,資金實力本來有限,購買寬帶、使用防火墻,將耗費巨額成本,往往難以控制風險。
在互聯網金融領域,特別是對于非專業IT公司出身的一般互聯網金融平臺,在互聯網安全問題上碰到危機可能性更大,短期內也會加大平臺的運營成本,甚至有覆蓋利潤的風險。所以,互聯網金融并非沒有成本,在很大程度上而言,中小平臺的運營成本將會呈現更大的上升趨勢;不僅如此,技術性安全隱患更是風控以外的另一個核心命題。
3 護航互聯網金融安全,規避技術風險的任重道遠
我們認為,互聯網金融并不是僅僅互聯網與金融簡單嫁接,他是互聯網利用現代信息技術對傳統金融業務方式重新組合捆綁提供的一種新的服務模式。金融安全的核心工作是風險管理,基于互聯網信息傳播的特殊性,互聯網金融風險管理與控制是一項技術性和專業性很強的工作,對從事這項工作的團隊及其人員的要求,有著比傳統金融更高的技能要求標準;而從國家金融安全的層面看,互聯網金融安全或將有更加縝密的頂層制度設計。
