时间:2024-01-11 11:44:04
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇互联网信息安全范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0035-03
New Mobile Internet Era of Information Security Technology Foresight
WU Jun1, WU Nan-shan2
(1.Jiangxi Land Consolidation Center, Nanchang 330025, China ;2 .Angel Nanchang Modern Nursery, Nanchang 330029, China)
Abstract: Mobile Internet era of information security technology has become the new focus. At the same time due to the instability of the mobile Internet and the popularity of the phenomenon also led to this area will be the future of information security risks hardest hit, so-depth study of the safety of new technologies on the healthy development of the mobile Internet is significant.
Key words: mobile Internet; information security; technology
近十几年来我国互联网工程飞速发展,与我国经济社会建设完全融为一体,并在发展过程中出现了新的发展趋向,移动通信技术的完善和改进为移动互联网的诞生和发展打下了坚实的基础。基于移动互联网的移动电子商务、移动即时通信、移动社交、手机支付等各种新型的业务也正在悄然改变着我们的生活。但与之而来的却是移动互联网的信息安全问题[1]。近年来电信网络安全隐患也正在成为移动互联网健康发展的一项重大障碍,犯罪诈骗等恶性事件频发。因此,在今后相当长的一段时间内若要保证移动互联网技术能够健康发展,必须深入研究移踊チ网时代信息全新技术问题。
信息安全是包括计算机、电子、通信、数学、物理、生物、法律、管理、教育等的交叉学科,同时也是随着移动互联网技术发展而不断更新的新兴学科。这些学科在发展过程中正在不同程度的与互联网技术和移动通信技术融合,为移动互联网的发展创造了理论基础。移动互联网的安全领域包括网络安全、信息系统安全、内容安全、信息对抗等等,其基本出发点是国家和社会各领域信息安全防护为。信息安全技术是确保移动互联网信息安全的一项重要指标,而且这些内容也在很大程度上实现和完善了信息技术安全本身存在的一些问题。展望信息安全技术与移动互联网结合的突破口主要包括以下几个部分。
1 后量子密码技术
公钥密码体制的安全性受一些数学难题制约。著名的RSA公钥密码体制是的产生和发展基础理论是大整数素数分解,DSA和ECDSA基于求解离散对数问题。这些理论在一段历史时期内曾是公钥密码体制的支撑。但是1994年又有一种新的理论问世,那就是“量子算法”(QuantumAlgorithm),它的最大一个特点就是在多项式时间内求解大整数素数分解问题和离散对数。这一理论的诞生可以说很好的兼容了以往两种公钥密码体制的优势,同时也简化了其中存在的一些繁琐程序。在某种意义上甚至量子算法可以称之为推动信息安全技术进步的一个里程碑。随着公钥体制的不断完善以及一些新的挑战的产生,量子算法的局限性也逐渐暴露出来,一度成为制约互联网信息安全的一个重大难题。因此2001年给予量子计算又产生了一种新的算法,Peter Shor的算法[2]。信息安全领域专家预测,在不远的将来量子计算机将问世。在量子计算机基础上Shor的算法可以攻破当前我们在信息安全领域的公钥体制中遇到的所有问题。基于大整数素数分解问题和离散对数问题面临的一些局限难题也会在不同程度上实现了这些重要障碍。而且这些问题的解决也必将为移动互联网的信息安全领域问题作出重要的贡献。这些都为我们的发展和创新移动互联网起到积极的推动领域。
利用传统互联网技术破解基于编码理论的Mc Eliece公钥密码体制的计算复杂度较高为因此这一问题也成为当前影响移动互联网信息安全的一个障碍性因素。而且,利用量子计算机计算复杂度也给量子算法的基础问题出现一些问题。其中,两个算法复杂度都是指数级,常数有0.5略有变化,这种变化并不是很大。因此,从理论层面来看,Mc Eliece公钥密码体制能够抵抗量子计算的攻击,目前还是确保公钥体制的一种非常重要算法[2]。目前在计算机信息安全领域,NP困难问题既不是素数分解问题也不是离散对数求解问题,可以说影响公钥体制存在障碍的一些问题还没有从某种程度上得到完善和解决,因此Peter Shor提出的“量子算法”在解决上述困难问题的过程中还不能很好地在实战中得到完美的发挥。也就是说,NP困难问题可以抵抗量子计算的攻击,可以称之为后量子密码技术。同时这种基于这种技术基础而完善起来的体制也可以称之为称后量子密码体制,这种体制的算法原理在未来一段时间内还需要攻克诸多难题,但是其效用和功能上的良好表现决定了它必定在未来的发展和设计中成为研究和应用的重点领域。
2 同态密码技术
同态密码技术的应用也是保障移动互联网信息安全的一种重要尝试。在云计算安全保护领域中,目前采用数据加密保证用户的私有信息。在权限控制上以身份认证为主要基础,实地身份认证、权限认证、证书检查这些环节是确保云计算信息安全的一些必要措施,在防止非法用户的越权访问问题上非常有效。数据加密、身份认证,可以一次性地将明文信息隐藏化,在保护隐私问题上目前来看还不存在偶漏洞和隐患。但是随着计算机技术的发展能否有新的隐患和漏洞包括出来还要经过一段时间的验证和检验。因此未来同态密码技术在移动互联网安全领域还是可以继续担当重任。这种技术在很大程度上为用户隐私问题担当重要力量,而且这些问题也成为目前影响和推动整个信息安全领域的一项重大问题,这为我们更好地承担其中存在的一些安全泄露问题做出了重要贡献。
3 可信计算
可信计算平盟与2002年首次提出可信计算概念,但是这一概念目前没有明确的定义,并且在可信计算平盟内部其成员中对“可信计算”也都有自己不同的理解和操作理念。可信计算组认为一个实体在存在的阶段内总有一个既定的目标要实现,若其行为在符合预期的前提下不能按照一些规则和目标完善实现这些目标,那这种规定和目标范围总体是不能完全按照试题的规则进行计算和排列的。ISO/I EC15408认为一个可信的组件、操作或者过程的行为综合可以称之为可信计算,任意操作条件下操作和预测这种算法都能够给我们带来预期的结果。并能很好地抵抗各种外在和内在因素造成的干扰与破坏。这其中包含应用程序软件、病毒以及物理干扰。微软对可信计算也有自己的定义,他们认为可以随时获得的可靠安全的计算就是可信计算,因为只有随时获得才能称之为可信。
可信计算是引入可信计算平台模块PM的一种全新算法,将这一模块嵌入微型计算机系统,这样便能很好地预防与解决计算机安全问题。实际上就是在计算机系统中加入一个可信的可信第三方,通过第三方计算和评估来实现和达到整个系统对信息数据的快速准确处理,以满足人们的预期,这样使用者才能称之为可信的计算。
可信计算的基本原理是首先对终端体系进行干预和推动,使之建立一个完善的安全结构。在终端安全的前提下再将这一终端按照计算机网络安全搭建一个诚信体系,使之有序呈现在第一个安全保障过程当中。这对我们来说也是一个非常有力的计算机安全系统。可信系统这种对终端的加固确保了每个终端都有一个合法身份。一些恶意代码,如病毒、木马都能在终端的过滤系统中完全过滤掉。从作用机理上看,可信计算首先构建一个信任根,然后在通过信任链将其与操作系统联系起来,同时系统与应用之间也存在一定程度的传输和传达作用。这对我们在整个背景下按照完全的设定目标建立的系统操作平台都在一个可以信任的环境和步骤内执行操作指令。可信计算时一种非常重要的确保系统对外界病毒免疫的算法。但是这种算法目前在移动互联网当中还是没有完全按照这N操作方式展开。而且展开的方式也是随着这些既定的目标完全按照他们在能力和其他方面问题的处理中不断丰富和完善起来的。只有这样才能更有效的利用地方可信任资源对整个系统的安全性和稳定性进行合理的权衡和评估。
4 计算机取证技术
计算机犯罪电子取证是确保信息安全的最后一关,从功能上来看它是指能够为法庭接受的、足够可靠和有说服性的一种证据确认,他们必须是存在于计算机内部的电子证据,在保护、提取和归档过程中具有一定的可操作性。具体来说电子取证技术主要包括两个方面,一个是数据获取技术。在这样过程中操作人员主要负责搜集计算机数据,这样才能确保计算取证技术的实现。但是在实现这一任务的过程中虽然对数据证据取证做出了非常有效和有利的安排和维护。但是执行过程中极易对原始数据造成严重修改[3]。所以,数据获取技术在计算机取证中非常关键和重要。计算机系统和文件的安全获取技术是确保这项技术能够顺利实现的一个重要关键点,对磁盘或其他存储介质也有较高的要求,应该能够确保安全无损伤备份技术,在这一前提下在执行对已删除文件的恢复、重建,在重建过程中磁盘空间、未分配空间和自由空间包含了信息的挖掘,对交换文件、缓存文件、临时文件中包含信息的复原技术都具有非常重要的影响,同时这也成为影响和导致问题产生的一项非常重要的关键点。
另外,数据分析技术也是这项技术中存在的非常重要的一个环节,而且在这个环节中我们也对这些技术产生的基本原理和技术要求非常慎重。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是数据分析技术的重点。例如文件属性分析,日志分析等等,在进行这种分析的过程中按照我们分析的结果和造成的种种危害的预测对信息数据的安全性进行全面的分析和评估。国外计算机取证技术逐渐走向智能化,对电子数据取证的全过程已经进入一个全自动和智能系统中按照这样的目标和成分才能完全执行既定的目标和目的。在这其中计算机取证的可靠性、准确度是衡量这一系统安全性的一个重要目标。
5 云计算安全技术
云计算本质上是一种资源共享的计算平台,他的主要特点是通过数据和资源的共享降低成本,提高性能,这种计算方法目前在移动互联网中已经全面普及,一些运行上通过云计算为不同的用户提供个性化推荐服务,大大提高了资源利用效率,同时这些利用效率在完成既定目标的前提和背景下已经完全按照信息安全领域的规则在做自我完善。云计算发展面临许多关键性问题,而安全问题首当其冲,目前因云计算出现的安全问题还不是特别突出,但是随着这种算法的不断普及以及应用领域的不断丰富,必然会给信息安全造成一定的威胁。
著名的信息安全国际会议RSA201将云计算安全列为焦点问题,定期举办关于云计算安全的研讨会。Gartner的调查结果显示,70%以上的受访企业对云计算的安全性表示担忧。因为这种计算方式如果造成信息泄露对企业造成的危害是无法估量的,同时云计算由于资源共享的基本特性,也是最容易造成信息泄露的。因此安全问题目前仍然是困扰云计算普及和完善的基本问题。
参考文献:
中图分类号:R197.1; TP393.0 文献标识码:C 文章编号:1006-1533(2017)09-0014-03
Privacy protection and information security of E-health*
MA Shishi1**, YU Guangjun2***, CUI Wenbin2(1. School of Public Health, Shanghai Jiao Tong University, Shanghai 200025, China; 2. Shanghai Children’s Hospital, Shanghai 200062, China)
ABSTRACT Health information security and privacy issues which are brought in by the rise of E-health can not be underestimated. The information security issues (such as privacy leak) of E-health possibly existed in the use of consulting services, telemedicine and mobile medical equipment were analyzed based on the characteristics of the internet and health information and the corresponding solutions were proposed, which are included in establishing the laws and regulations of the privacy information protection suitable to Chinese national conditions by learning from the practical experience of foreign health information protection, applying the advanced information technology and timely introducing a review system for technology application and implementing the standardized management to the relevant institutions so as to better protect the health information under the internet medical environment.
KEy WORDS E-health; privacy information; security information
互联网医疗是指以互联网为载体,以信息技术(包括通讯技术、云计算、物联网、大数据分析等)为支撑,开展在线健康教育、电子健康档案、医疗信息查询、电子处方和远程医疗等多种活动的一种新型健康和医疗信息服务的总称,其本质是将互联网及相关信息技术延伸至医疗服务这个大行业中来[1-2]。
互联网医疗的兴起在方便患者就诊、节省医疗成本、优化医疗模式、保证医疗安全、方便医学研究等方面发挥了重要作用。然而随着互联网医疗的推广,云技术、大数据分析的应用,患者医疗信息变得更集中、更易获得,在医疗数据采集、存储和应用过程中常发生数据泄露的问题。数据泄露会危及患者个人隐私,如某社区居民疾病登记管理系统的账号和密码泄露,就会暴露大量居民的敏感信息。近几年,孕、产妇个人信息泄露的新闻几乎不绝于耳,其带来的一系列推销、诈骗问题严重困扰信息当事人[3]。因此,很有必要对在互联网医疗环境下的咨询服务、远程医疗、移动医疗设备使用中可能存在的隐私泄露等信息安全性问题进行分析,从而有针对性地予以解决及预防。
1 互联网医疗中隐私信息保护面临的挑战
1.1 咨询服务中的泄露风险
在互联网医疗中,患者可在具有挂号功能的网页上进行预约挂号、医疗保健咨询,还可通过网络上的医疗社区向医生寻求建议以及与病友交流治疗信息,但存在患者相关隐私数据的安全性、保密性等问题。首先,患者要填写一系列个人信息注册,这样才能获取网站服务;其次,在进行医疗咨询或在患者社区分享就诊经验时,患者会有意无意地泄露一些碎片信息,虽然这些碎片信息单独看似毫无价值,但将之与患者提供的其他信息关联后却有可能识别其身份[4]。最重要的是,一些网站允许广告商或其他第三方获取用户信息,当患者浏览网站时点击了外部广告,广告商便能追踪这些患者,对患者进行定向广告推送。但互联网具有开放性,患者并不知道哪些人可以获取他们的哪些信息,也不知道那些信息被用于何处,甚至以上行为的发生都很难被患者觉察,而信息泄露时也无从申诉。
目前有S多互联网医疗机构,水平与资质参差不齐,工作人员同样层次复杂,而他们可从网络后台获取用户的大量健康信息[5],若发生隐私泄露问题,很难追踪根源来明确责任。少数从业人员受利益驱使,拷贝、贩卖健康信息,也造成了患者隐私泄露的问题。
1.2 远程医疗中的泄露风险
远程医疗是指远距离地对患者进行医学诊疗,其应用使得医疗服务突破了空间的限制,有利于优质医疗资源的配置,处于医疗资源不足区域以及身体行动不便的患者也可不再需要长途跋涉、劳心劳力地去医院就诊,在家就能通过网络得到专业的医疗服务。2014年8月国家卫计委印发的《关于推进医疗机构远程医疗服务的意见》中规定,远程医疗服务只能由医疗机构提供。国家发改委、卫计委还于2015年初联合印发了《关于同意在宁夏、云南等5省(区)开展远程医疗政策试点工作的通知》,要求试点省(区)落实远程医疗服务工作[6]。
然而,在远程医疗过程中同样存在隐私泄露风险。在远程诊疗过程中,患者的病理学诊断、影像学诊断等数据或图片都通过互联网传送,与医生的沟通也是采用视频通话方式,数据容易受到拦截、甚至篡改,视频也有可能被窃听。远程医疗结束后需进行医疗档案的记录,医疗信息电子化、档案化可提高医疗服务的效率,且方便在不同医疗机构之间传输或共享。传统的医疗机构通过将内部的电子病历系统与外部网络隔绝开来保障信息安全,互联网医疗则将医疗信息的共享范围拓展至整个互联网,而电子记录容易复制、共享、被第三方截获的特性便带来了信息安全的隐患[7]。
1.3 移动医疗设备使用中的泄露风险
互联网医疗催生了各种类型的移动医疗设备,主要包括健康管理类的可穿戴设备如手环、慢性病管理类的监测设备如家用血糖仪、适用于远程医疗的监控设备等,受到目标人群的欢迎。这些设备可持续性地采集、存储患者的数据,帮助患者进行健康管理,并向互联网医疗机构传输数据。同时,这些移动医疗设备具有汇总患者数据、创建患者的详细的合成档案的功能,还有将收集到的患者的大量数据聚合、关联、分析的功能,可从中挖掘出新的信息。此外,这些设备还有可能记录其他数据,如患者的位置信息等。这些数据对商业企业有很大的利用价值,如用于定向营销等,可为其带来巨大的商业利益,然而目前国内对此类设备的数据采集与利用并无相关规定。
对于家用远程设备,在信息访问、传输和存储时,由于用户的操作失误或有意为之,也会造成信息的泄露、篡改和丢失[8]。由于用户疏忽、错误地使用了不安全的上网设备(免费路由器等)而导致信息泄露的事例并不鲜见,2015年央视“3・15”晚会上就特别展示了信息诈骗犯罪如何利用免费路由器获取用户信息的例子[9]。因此,对移动医疗设备用户来说,要有个人信息保护的意识,否则将其他端口把控得再严也是徒劳的。
2 相关建议
当前,我国互联网医疗正处于发展初期,在保障医疗信息隐私与安全的前提下,应本着鼓励发展的原则,不可过分束缚。对互联网医疗实际运行中出现的问题,建议从立法、信息技术和管理三个维度来解决,使之能够健康发展。
2.1 加快制定健康信息保护的法律、法规,以适应互联网医疗发展的需求
目前,世界上有109个国家有专门的个人信息保护法[10],而我国尚无系统性的法律、法规来确保医疗信息安全,尤其是在涉及隐私保护方面。我国有关个人信息的保护规定虽多,但基本上是分散在效力层次不一的各种法律、法规甚至规范性文件中的,即目前法律对个人信息及隐私保护采用的主要是间接方式,且规定模糊、震慑力有限,不仅会使隐私信息泄露者肆无忌惮,而且在出现纠纷时也往往无法可依。
建议制定个人信息或医疗健康信息方面的专门法律,在规范远程医疗、移动设备健康信息收集与利用等方面适应互联网医疗发展的需求。同时,通过立法设立专门的部门对互联网医疗机构进行统筹管理,主要职能包括日常信息安全与隐私保护的监督、侵权事件的咨询和诉讼等,建立、健全层级管理机制,提高行政干预效率。
2.2 利用先进技术为患者医疗信息的存储与传输安全保驾护航
一些不法分子可能会利用各种技术手段侵入存储有健康信息的网站非法浏览、篡改、盗窃隐私信息,远程医疗也可能遭到黑客的拦截而导致数据泄露或失真。
建议建立互联网医疗服务的相关技术应用审查机制,并构建分级、分类审查制度,对信息技术的使用进行监管。互联网医疗中健康信息面临的安全威胁大多可以通过信息技术手段来解决,因此可引入国际上的先进技术,包括访问控制技术、匿名技术、加密技术、安全监控和审计技术等,同时鼓励创新与我国国情相适应的信息技术。
2.3 有效的管理是互联网医疗信息安全的重要屏障
各互联网医疗机构应以法律、法规和行业标准为最低要求,制定适合自身发展的管理规范及操作规章,并认真落实。以下三点需予强调:
1)加强从业人员的隐私保护意识培养和专业素养教育。互联网医疗信息工作人员能接触到大量健康信息,涉及用户的个人隐私,若他们信息安全意识缺乏,对信息安全威胁认识不足,就很可能导致健康信息泄露甚至丢失。因此,要提高隐私保护的效果,必须加强各类从业人员的隐私保护意识,强化自我约束能力,这样才能从根本上保证隐私信息能够得到妥善的使用和保护。
2)畅通患者知情同意权的行使渠道。互联网医疗产生的大数据具有很大的商业价值,信息利用者有义务告知信息主体他们将如何存储、使用或会与谁共享这些健康信息,且理论上应获得信息主体同意后方能实施,而在获得知情同意的过程中还需注意使用公众能够理解的语言。笔者建议借鉴美国的隐私保护电子化技术,该技术会将与隐私有关的决策自动传送给信息主体,信息主体可选择碎片化后分享信息。
3)平衡好信息开放与隐私保护的关系。互联互通和信息开放是大趋势。我们确实需要重点关注医疗信息的安全与隐私保护问题,但对隐私的保护也不能绝对化,不可过分限制信息流通。健康信息在医学研究和公共卫生管理方面都具有重要的用价值,其合理利用有利于促进和实现互联网医疗服务的健康、可持续发展。
参考文献
[1] 舒婷. “互联网+”时代的患者隐私保护[J]. 中国数字医学, 2016, 11(5): 41-43.
[2] World Health Organization. Atlas eHealth country profiles: based on the findings of the second global survey on eHealth (Global Observatory for eHealth Series, 1) [EB/OL]. [2017-01-05]. http://apps.who.int/iris/ bitstream/10665/44502/1/9789241564168_eng.pdf.
[3] 上千名孕妇信息被贩卖 数据安全难保障[J]. 中国医院院长, 2016(7): 17.
[4] 周思成, 翟悦. 电子医疗保健情境下的隐私保护[J]. 中国医学伦理学, 2016, 29(4): 681-684.
[5] 王安其, 郑雪倩. 我国互联网医疗运行现状――基于3家医院的调查分析[J]. 中国卫生政策研究, 2016, 9(1): 69-73.
[6] 孟群, 尹新, 董可男. 互联网医疗监管体系与相关机制研究[J]. 中国卫生信息管理杂志, 2016, 13(5): 441-447.
[7] Draper H, Sorell T. Telecare, remote monitoring and care [J]. Bioethics, 2013, 27(7): 365-372.
(一)国检“互联网+”建设背景
根据总局“互联网+”行动计划,综合利用信息化技术和大数据资源,共享国检大数据资源,破除“信息孤岛”和“僵尸数据”;搭建智慧豫检大数据平台,配合总局“智慧口岸”和“智慧质检”总体规划,推进我局相关工作。利用信息化平台和业务数据资源,进行整理分析,既可获取全方位的国检数据,又可以为政府和企业提供公共服务,提高他们的决策水平,助力产业转型升级。
按照我局党组全省系统信息化工作“一盘棋”的基本要求,坚持切合实际、适度超前的工作思路,一方面推动河南智慧国检平台建设,加快实现检验检疫业务的互联互通;另一方面服务地方政府口岸和特殊开放区域信息化项目建设,实现统一规划、统一验收式的信息化同标同步。支持河南省国际贸易单一窗口和河南自由贸易试验区的信息化建设,主动适应外贸形势变化和检验检疫业务模式变化。
(二)国检信息化现状
国检信息化建设主要包括业务系统和网络系统。
业务系统根据业务内容、工作需要及彼此的交叉关联等特点,业务系统可以分为三大类:1.用户申报系统用于强化国检与企业,及相关部门间的数据传输,实施登记备案管理,推行无纸化办公,减少企业申报信息重复录入工作量。2.业务管理系统,这类系统多针对具体业务而开发。3.区域监管系统根据相关业务需要,对特殊监管区域的业务按不同区域、不同环节的情况进行全过程、信息化跟踪监管。
国检网络系统目前使用“分层”的方法,即各分支机构与直属局连接,直属局通过专线与质检总局连接。网内按照功能划分为核心业务区、普通服务器区、互联网服务器区、用户接入区、分支机构接入区、上联接入区等6部分,各区之间通过防火墙等安全设备进行访问控制;通过部署VPN设备实现人员外出期间接入内网办公。
二、国检“互联网+”面临的风险
当前我国网络违法犯罪活动日益猖獗,攻击者的演变从单打独斗到有组织团体,攻击动机更具功利性、经济、政治与意识形态的驱动更加明显。同时新技术新应用带来的安全挑战更加严重。随着公众对办事程序公开、政府工作效率和透明度要求不断提高,国检“互联网+”建设是由传统的窗口模式转变成多种模式、线下模式转变为线上模式、国检网络从传统的封闭模式转为开放模式,信息化建设面临的风险主要为以下几个方面。
(一)应用系统风险
国检业务系统基本使用外包方式进行投标采购,由于公司人员开发水平各异、开发源代码不能一一审核、以及采用系统架构的固有安全风险,导致业务系统出现异常现象。
(二)设备高危漏洞和后门
业务系统的载体在于设备,设备的作为底层的安全犹如一栋大楼的地基,对于国外网络设备的使用需注意安全问题,如多款思科小企业路由器曝出严重安全漏洞、JUNIPER曝高危漏洞、Linux设备TCP连接曝高危漏洞。
(三)病毒风险
计算机病毒具有易传播特性,通过软件下载、电子邮件、文件服务等进入网络内部,删除、修改系统文件,导致程序运行错误或死机。“互联网+应用”为病毒检测与消除带来很大的难度,成为网络安全发展的一大公害。
(四)数据风险(丢失、篡改、泄漏)
数据的价值往往是无法估计,国检的“三单”信息(订单、运单、支付单)含有大量稳私数据,有防止数据丢失、被篡改和被泄漏方面面临着巨大的挑战。
(五)网络对接风险
国检网络是多区域、跨机构的网络结构,需要与地方部门与其他口岸部门对接,客观上会存在一些“不可信”区域,数据在这些区域进行交换同样面临一些风险。同时由于业务系统逐渐增多,管理人员较少也是影响国检“互联网+”安全的一个因素。
三、国检“互联网+”安全策略
国检“互联网+”的建设还处于初级阶段,在信息化建设也积累了一些安全经验,在建设中不断创新,通过实践和经验逐步提高国检信息化安全。同时,在不断学习兄弟局和其它互联网的安全管理的方案,制订了国检“互联网+”的安全策略,主要包括以下四个方面。
(一)安全体系建设
安全涉及到系统的方方面面,任何一点的疏漏都可能是致命的,必须统一进行考虑。利用自有或外部专业安全技术力量对网络信息系统的物理安全、通信安全、边界安全、主机安全、应用安全和备份及日常运维等方面进行全面的风险评估,发现当前存在的安全问题,明确安全需求,确立安全目标,建立安全体系结构。
(二)信息系统建设
严格按照GB22239-2008信息系统安全等级保护基本要求和GBT22080-2008信息技术安全技术信息安全管理体系要求的进行信息化建设。根据信息系统承载业务的重要性,确定信息系统保护等级,并按照相应等级在需求阶段明确系统的安全技术措施要求。
(三)信息系统运维
按照网络信息安全三要素信息的机密性、信息的完整性、信息的可用性要求,将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,及时发现问题,解决问题。通过入侵监测(防御)等方式实现实时安全监控,提供快速响应故障的手段。建立安全日志审计系统和安全取证措施,在系统遭到损害后,具有能够较快恢复正常运行状态的能力。
在计算机设备上采用统一管理的防病毒软件和防病毒网关,在入口处抵挡病毒的入侵和破坏并控制其在网络内部的传播;并通过安全软件对计算机进行认证、终端安全检查。
利用ITIL对服务管理提供一个客观、严谨、可量化的最佳实践的标准和规范,具有对系统资源、用户、安全机制等方面进行规范和量化。
(四)人员管理与培训
1我国互联网信息安全现状
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。
因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
网络安全技术已经成为影响互联网发展速度的一个重要课题,通过对其深入的研究,制定出合适的策略方法并加以实施,达到提升互联网安全的目的。
参考文献
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
随着科技的高速发展、互联网的大力普及,越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所,成为了人们的一种职业手段,更成为了人们生活中不可或缺的一部分。在这种情况下,很多私人信息,包括个人及家庭基本信息、银行帐号信息等更加私密的信息,都需要通过互联网进行传输,在这种大背景之下,信息安全技术就显得尤为重要,而其在互联网中的运用也成为了人们不得不考虑的问题。
二、网络环境下信息安全技术简介
单从信息安全来看,其包括的层面是很大的。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全技术,从广义上来看,凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起,整个社会对网络的依赖越来越强,信息安全的重要性开始显现。
随着信息安全内涵的不断延伸,信息安全技术也得到了长足的发展,从最初对信息进行保密,发展到现在要保证信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。互联网环境下,信息安全技术可以主要概括为以下几个方面的内容:身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。
三、互联网中的信息安全技术
互联网是面向所有用户的,所有信息高度共享,所以信息安全技术在互联网中的应用就显得尤为重要。
(一)信息安全技术之于互联网的必要性
国际互联网十分发达,基本可以联通生活的方方面面,我国的互联网虽不如发达国家先进,但是同作为互联网,其所面临的安全问题都是一样的。网络信息安全有三个重要的目标:完整性、机密性和有效性,对于信息的保护,也便是从这三个方面进行展开,
(二)信息安全技术在互联网中的运用
美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息保障技术框架》[2],从空间维度,将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的,不同的网络系统有不同的安全策略,但是不论是何种网络形式,有三项信息安全技术是必须被运用的,它们是:身份认证技术、数据加密技术、防火墙技术。
1.身份认证技术
身份认证是网络安全的第一道防线,也是最重要的一道防线。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户和整个系统。所以,身份认证是授权控制的基础[3]。现实生活中,可以通过很多途径来进行身份的认证,就在这种情况下也有人伪造身份,而对于网络虚拟环境,身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有:密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式,也取得了一定的成效,对于信息安全的保障,起了很大的作用。
2.数据加密解密技术
数据加密技术是互联网中最基本的信息安全技术,因为众所周知,互联网的本质就是进行信息的共享,而有些信息是只对个人或者部分群体才可以共享的,另一方面,裸数据在网络中传播是很容易被窃取的,所以在信息发送端对数据进行加密,接收信息的时候进行解密,针对互联网信息传播的特点,是行之有效的信息安全技术。
3.防火墙技术
防火墙,很多人都很熟悉,它实质上是起到一个屏障的作用,正如其名,可以将有害信息挡在墙外,过滤到不利信息,阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种:一切未被禁止的就是允许的;一切未被允许的就是禁止的。这种过来是如何实现的?这就涉及实现防火墙的技术,主要有:数据包过滤、应用网关和服务等。对于互联网而言,一个有效的防火墙,可以帮助用户免除很多有害信息的干扰,也是信息安全技术对于互联网非常大的贡献。
除了使用一些安全技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络顺利、安全、可靠、有序的运行,也会起到十分重要的作用。
四、结束语
本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用,事实上随着科学技术的飞速发展,互联网的组织形式也在发生极大变化,网络信息安全技术在互联网上应用将会越来越多,但是笔者相信,本文所介绍的三个基本运用,会随着互联网的越来越透明化而得到更大的发展。
参考文献:
1互联网信息安全问题概述
随着互联网技术的不断发展,信息安全问题逐渐凸显,其影响已经涉及到各个层面,如国家经济、政治、国防和社会文化等,人们在使用互联网的时候同样要防范个人信息泄漏的威胁。信息安全技术发展初期,一般是以密码作为基础的计算机安全辅助技术,通过加密通信内容和对程序进行编码实现加密。
2互联网信息安全现状
2.1缺少计算机核心技术
我国计算机技术发展水平并不高,一些大型计算机和互联网设备、技术都要依靠国外进口,缺少计算机核心技术也是很多国家都存在的问题。一个鲜明的例子就是美国国家安全局能够利用多种途径,如使用超级计算机、法律法规、技术标准甚至劝说游说等方式,绕开或者破解目前应用较为普遍的几种信息加密技术,窃取信息,或者和科技公司合作,在设备、技术中植入后门,窃取信息和资料等,让世界都处于隐私信息泄漏的威胁之下。目前全球的网络设备和技术,如路由器、计算机处理器、计算机操作系统以及计算机、互联网的技术标准等若干核心技术都源自美国,而美国在监听互联网方面有着非常完备的技术体系和坚实的法律支撑,美国的互联网技术公司、计算机设备生产企业等,都有监听互联网的能力和动机,给世界各国的军事、政治、经济和人民的社会生活信息安全带来了极大的威胁,因此世界上很多国家都建立了互联网防御所用的“墙”,来保障自己国家的信息安全,并不断发展自主信息技术。
2.2尚未建立完善的信息安全法律法规
在计算机和互联网逐渐普及的今天,一些发达国家在对信息安全有全面深入的认识的基础上,开始着手制定与国家信息安全发展状况相符的法律法规,促进国家的信息安全在正确的轨道上顺利发展。要确保国家信息安全,完善的信息安全法律法规是基础和必需条件,我国已经针对与信息内容、信息系统、安全产品等有关的领域制定了一些规范性文件,出台了若干项政策和方针,但是我国信息安全法律法规从整体上看仍然不够完善,存在诸多缺陷和问题,例如一些条文的重复、交叉或者描述不清的现象,信息技术的发展是我们有目共睹的,但是信息安全制度建设并没有跟上信息技术的发展脚步,我国仍处于信息安全制度体系的探索阶段,在引进国外先进网络设备和技术时仍然无法保证安全性。
2.3信息安全意识淡薄
现今公司企业开始逐渐将网络技术、计算机技术作为生产的核心技术,给企业公司带来经济效益的同时,也让企业面临着严重的安全威胁,很多单位、公司和企业都不重视信息安全,管理人员对信息安全缺乏正确且全面的认识,没有切实做好信息安全保障措施,对于现行的制度也无法落实,重技术轻管理仍然是在很多企业都存在的现象,即使有先进的安全技术也无法发挥实际作用。
3保障计算机互联网信息安全的策略分析
3.1打造计算机互联网信息安全环境
保障信息安全,首先需要保障计算机硬件的安全,因此必须做好信息系统基础设施建设工作,为计算机系统营造安全的环境,计算机应该安置在温度、湿度适宜的环境中,尽量远离噪音源和强电磁场,使用优质的电源确保能为计算机持续提供稳定的电流,计算机工作过程中应该做好定期检查和日常维护,检查计算机是否接地良好。重点保护部门和单位的电磁信号,防止被不法分子使用设备截获。如果计算机系统和设备非常重要,必须建立完善的防盗报警设施,防止计算机或者设备被盗,造成信息资料丢失的问题。
3.2采用多种方式保障信息安全
除了保障计算机硬件安全,还要采用多种方式进行信息数据加密,确保信息在传输过程中不被截获或者破解,目前数据加密技术有很多种,基本能够保证信息的完整性和机密性。网络信息认证是用来认定信息交互双方身份真实性的技术,将密钥加密技术和数字签名技术结合起来,对签名人身份进行科学规范的鉴定,对信息传输的过程进行监控,保证信息、文件的完整性和真实性。
3.3做好病毒防范工作
木马和病毒是威胁信息安全的一大因素,计算机病毒和木马具有隐蔽性的特点,能够隐匿在计算机系统中,在用户不知情的情况下自我复制和传播,感染计算机中的文件,最终造成系统破坏,还会造成用户信息和隐私泄露的问题。因此必须使用杀毒软件定期扫描和杀毒。在计算机的日常使用中,也要注意不随意下载不知出处的软件或者盗版软件,定期备份重要的数据和资料,运行来源不明的文件或者程序前必须先杀毒,良好的习惯才是保障信息安全的法则。
3.4提高信息安全意识
使用计算机和互联网时要保持良好的使用习惯,不在自己的计算机上保存网站密码或者私人信息,来源不明的邮件或者包含内容不详附件的邮件不能打开,使用QQ等通讯软件聊天时,不轻易接受陌生人发送的文件和程序等,为计算机设置具有一定复杂度的密码,在转售、报废计算机前一定要将计算机内的数据和信息全部清除。
移动互联网是移动通信技术和互联网技术相结合的一种产物,它的存在与应用为人们的生活提供了巨大的便利,但是随着国内移动网络规模和用户规模的不断扩大,其存在的信息安全风险日益凸显。许多人对移动互联网的应用安全问题并不了解,安全防范意识较为薄弱,因此,人们有必要了解移动互联网的信息安全威胁和漏洞,做好相关防范措施,同时,相关部门要采取积极有效的应对措施,保障用户信息安全,提高移动互联网的应用安全性。
1我国当前移动互联网信息安全威胁与漏洞分析
1.1网站安全漏洞
相关调查显示,我国超过30%的网站存在安全漏洞,这些漏洞的表现方式主要是:用户的登录名称和密码会遭到泄露;用户浏览的信息遭到泄露;用户因浏览网站而受到攻击的概率大大增加。而且,这类不安全的网站呈现出增长的态势,需要引起相关部门的重视。
1.2破解加密算法或窃取口令
除了网站本身存在的安全漏洞之外,部分人也会通过破解网站接入设备口令来进行攻击,用户在上网过程中容易受到攻击,这就要求网站运营商加强网站口令的严密性,提高网站抵抗入侵的能力,保护用户免受攻击。
1.3木马病毒
木马病毒是最为常见的一种移动互联网安全漏洞,也是电子信息安全的主要威胁因素,其主要通过特定的程序来控制另一台移动设备,窃取移动设备的资料信息,这种情况在现实生活中较为常见,许多用户因此而遭受到财产损失。这些恶意程序主要入侵智能手机、平板电脑等移动设备,而且在入侵之后不容易被用户发现,即使是一些防护软件也对此束手无策,因此,应对木马病毒是移动互联网安全工作应当重视的问题。
1.4伪AP欺骗
接入点AP伪装是目前威胁等级较高的一种黑客手段,这种安全威胁较为隐蔽,用户很难发现,因此也难以清除,由于移动终端用户的配置不当或者疏忽,就有可能会在未察觉时或者在贪图免费Wi-Fi想法驱使下连接到伪装接入点,因此受到攻击,在现实生活中,许多用户由于接入陌生的Wi-Fi,而使得自身的信息遭到泄露,这种问题较为突出,需要引起相关部门和用户的关注。
1.5Wi-Fi无线网络劫持
Wi-Fi无线网络劫持主要是攻击程序通过移动设备处理器上的安全漏洞来截获相应的信息,用户的信息和电话会因此受到窃听和监视,这种攻击手段较为隐蔽,用户在使用Wi-Fi上网时很难发现,受攻击的概率大大提高。而且,随着社会的发展,这种免费的Wi-Fi会更多,用户在接入和使用的过程中很难发现,需要相关部门加强这方面的管理,为用户提供安全的免费Wi-Fi服务。
2防范移动互联网信息安全威胁与漏洞的措施
2.1完善移动互联网安全相关法规
目前,我国在移动互联网安全保护方面制定了一些法律法规,但是,这些法律法规还不完善,对于一些细节性的问题没有交代清楚。笔者认为,我国立法部门应当将追责机制加入到法律体系中,使其发挥出应有的作用,当发现有危害移动互联网安全的行为时,要根据IP等信息确定嫌疑人,追究其刑事责任。同时,针对我国当前移动互联网快速发展的局势,相关单位要立足于自身的本职工作,加强移动互联网安全保护立法力度,建立健全相应的保护机制,规范网络安全保护技术,提高应对威胁和漏洞的能力,使得用户能够在保障体系之下享受互联网服务。
2.2加强改进计算机算法
当前在计算机安全网络评价方面主要应用的算法就是神经网络算法,这种算法有较大的优势,如非线性、自组织等,但是BP神经网络算法在面对不稳定的网络参数时会容易出现疏漏。因此,可以通过一些改进措施来完善。一般来说,BP神经网络的算法步骤为预先设置好输入的变量,然后设置好参数、输入样本数值、按照一定的公式来进行计算。改善时可通过附加动量法、自适应学习速率、结合拟牛顿法的算法、LM算法来实现。例如在计算时,会需要对权值进行修正,但是权值的修正可能会漏掉很小的值,这时就可以通过附加动量的方法来避免,也就是说在修正函数时可添加上一个动量项,这样就可以完成最精确的修正。如果同时加上一个大的动量项的话,可以使得修正在一个合理的方向进行。而自适应学习率是对计算过程中学习率方面的修正。通过对学习率的修正,可以使得计算的误差变小。
2.3移动互联网接入的安全防护措施
目前,随着网络信息科技的发展,用户入网的方式主要是Wi-Fi以及3G、4G网络,这些入网方式的优点是速度更快,能够满足用户多层次的需求,但是,这也增加了用户遭受攻击的风险,用户在使用互联网时,会认为网站是安全可靠的,因此,其防护等级就会比较低,而且在遭受到攻击之后还不会察觉。所以,相关部门有必要加强移动互联网的接入安全性,提高认证等级,例如可以使用双向认证的方式,如果有一方没有进行认证,则上网功能会受到影响,同时要进行访问授权,未经授权的终端设备不能接入互联网。移动互联网与终端通讯需采用加密机制,在传统的入侵检测手段的基础上,需要进一步强化对移动网络建立特别入侵攻击行为的检测机制。总之,目前人们对移动互联网有着非常大的依赖性,用户在上网的过程中,需要一个健康、安全的环境,相关单位要加强这方面的研究,提高移动互联网的安全性,加强认证,提高防护等级,为移动互联网的健康快速发展提供保障,促进我国移动互联网事业健康发展。
参考文献
[1]姜勇,刘徳刚,淋.移动互联网信息安全威胁与漏洞分析[J].信息化建设,2016(02):121-123.
在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战。这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。
在“互联网+”时代,银行更需要对“客户身份精准识别和认证”、“保证交易的完整性和合法性”以及“基于大数据实现互联网金融的精准风控”三方面予以重点关注:
客户身份精准识别和认证
人民银行于2015年12月下发的《中国人民银行关于改进个人银行账户服务,加强账户管理的通知》中再次强调要落实个人银行账户实名制。
传统金融业务在开户时一般采用面对面身份认证的方式,也就是我们常说的“面签”,柜员会鉴别用户证件的真伪、人证是否相符以及是否用户本人真实意愿。如何利用互联网开展金融业务,减少用户面签环节,为客户办理业务提供便利性,在线身份确认这一环节上面临着较大的欺诈风险。
要解决在线身份认证的难题,就必须从多维度来认证用户身份,包括通过基于已标识介质的身份认证与基于大数据的属性认证。目前,银行业通常利用已有的实名认证的身份标识来帮助实现在线的身份认证。
银行业也可以结合大数据对参与方的属性进行识别,便捷、精准地实现客户身份识别和认证。银行业也可以结合大数据应用对参与方的属性进行识别,比如,定位信息、设备指纹、行为规律等。根据不同的应用场景,建立一个分层次、多维度的身份识别体系,便捷、精准地实现客户身份识别和认证。
保证交易的完整性和合法性
保障交易信息在互联网上传输的完整性和合法性成为金融交易的重中之重。传统银行业务通过在纸质协议上的手写签名、签章来保障业务的法律效力。而互联网金融业务的线上操作完全实现了无纸化,没有了手写签名和签章,如何保障交易的法律效力呢?如何防止信息在传输的过程中不被恶意篡改?实践证明,基于数字证书的电子签名技术是解决这两个问题的最好办法。这里提到的数字证书指的是由合法的、权威的、第三方认证授权机构(CA机构)[如中国金融认证中心(CFCA)]签发的证书,它是一种包含公钥以及私钥拥有者信息的电子文档。
在网络环境中通过数字证书可以对传输的信息进行加密和解密、签名和签验,实现互联网金融交易中的身份认证问题,并确保网上传递信息的机密性、完整性、不可否认性。使用数字证书,可以完美地解决互联网金融交易中的四个主要安全问题,并以《电子签名法》和《电子认证服务管理办法》为依据,为互联网金融交易参与方提供有效的法律保障。
基于大数据实现互联网金融的精准风控
互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上,那对机构来说仅仅是迈开了互联网金融的第一步。近年来,随着中国互联网金融的快速发展,网络加速下的资金流转不但方便了我们的生活,也推升了风控漏洞的监管成本。人工对信息整合能力的低效加剧了信息不对称下的欺诈风险,各类黑天鹅事件更是在行业内不绝于耳。应用“大数据”实现征信服务,建立一套快速、智能、精确的一体化信用评价解决方案,已成为破解互联网金融风控难题的关键。
随着移动互联网技术的发展,手机的功能越来越强大,上网、买东西,支付,一台移动互联网手机都可以完成。在2013年斯诺登曙光的美国棱镜门、9月上海出现首例伪机站案例导致GSM手机大面积通信中断;2014年好莱坞艳照门事件等事件,苹果被曝留有手机侧“后门”之后,手机的信息安全问题逐渐走进了公众视线。而中国互联网络信息中心在2015年2月份的《第35次中国互联网络发展状况统计报告》中的几组数据,“2014年底,我国手机网民规模达5.57亿,网民中使用手机上网的人群占比高达85.8%,手机中病毒或木马、账号或密码被盗在安全事件中的占比例已高达25.9%”,充分说明针对移动互联网手机的窃听、监控、病毒等事件层出不穷,移动互联网手机已经成为了窃听、监控以及病毒入侵、传播的重要入口。相关报道显示,2014年被手机病毒感染的用户超过1亿户,因为手机信息泄露造成的直接经济损失已达到100亿元,移动互联网手机的信息安全问题越来越引起政府、企业和广大消费者的高度关注。
移动互联网手机安全信息面临着日益严重的安全威胁,它既有传统通信面临的安全挑战,如通话内容被窃听、短信内容被截获等典型威胁;又有传统互联网面临安全难题,如上网行为被监控、内部网络被攻破等安全威胁;同时又带来了新的安全难题,如实时性的个人资料(如个人的位置信息)会被盗取。因此移动互联网时代手机信息安全策略在兼顾解决传统通信、互联网安全,还要着力解决自身带来新的信息安全。在研究了众多学者研究成果的基础上,笔者主张从通信网络选择策略、手机终端选择策略、手机使用安全策略、社会信息安全环境营造等四个纬度共同努力,才能缓解越来越烈的移动互联网时代手机信息安全。
1通信网络选择策略
随着2015年2月27日FDD牌照的正式发放,我国正式全面进入了4G时代。通过认真分析研究,无论3G,还是4G,各运营商的数据传送安全方面不分仲伯,但到目前为止,国内运营采取的策略均是语音和短信业务都是回落到2G网络上传送。目前在国内运营的2G网络主要有CDMA~HGSM两大阵营,GSM技术由欧洲主导,国内运营商有中国移动、中国联通;CDMA技术主要由美国主导,国内主要的运营商有中国电信。CDMA和GSM两大制式各有优劣势,但由于两者采用了不同信号编码方式:GSM将频分多址和时分多址结合起来使用,而CDMA却采用了码分多址方式,这个本质上区别导致了两者在保密性等方面有了巨大的差别。
CDMA在手机端使用带扩频技术的模数转换(ADC),同一时间和频率内,在空中传输信号频率按指定类型编码,即用户信号的区分只是所用码型的不同,因此只有频率响应编码一致的接收机才能拦截信号。频率顺序编码高达4.4万亿次,空中被拦截窃听机率非常小。在此基础上,还可方便地进行二次加密,有四层保密机制,在一般的技术条件下,拦截窃听几乎不可能。
GSM采用的频分多址和时分多址相结合的方式。频分多址和时分多址简单形象的说就是在不同的车道上开不同的车和在同一车道的不同时段内开不同的车。可以说明,GSM以电路交换方式通信,容易捕捉信号进行窃听,近年来层出不穷出现手机话单等失窃密事件大多来自GSM系统。
基于以上分析,用户要根据自己的语音、短信等保密要求,选择不同的通信技术,从而选择支持相应通信网络的手机的运营商。
2手机终端选择策略
目前市场上销售的手机主要有智能手机、非智能手机两大类机手机。非智能手机基本上只能实现传统通话、短信等功能,而智能手机除了可以实现传统通话、短信等业务外,还具备了绝大多数Pc机的功能。同一通信制式的功能手机的安全方面表现差别不大,重点讨论智能手机选择策略。智能手机可以按支撑通信网络制式、厂商、操作系统、屏幕等列出许许多多分类,但就安全方面来说,可以分为普通智能手机、安全手机两大类。
普通智能手机通俗形象的讲,就是在将手机传统的语音通话和Pc机的主要功能集合在一起,它像电脑一样,有自己的操作系统、存储系统、中央处理器、输入输出系统等,它也像非智能手机一样有移动通信功能。就目前的国内智能手机而言,主要有以下几个特点:Android(安卓)和iOS是操作系统无可非议的主流,屏幕上智能手机主要的输入输出设备,手机处理芯片以高通、联发科技、三星为主。普通智能手机往往关注手机自身的安全,通常使用普通密码、增加杀毒软件、使用指纹识别系统以及增加防盗系统等等安全策略,不能很好的解决窃听等问题,更不能彻底的保证手机和机内数据的安全。
随着手机失泄密事件不断发生,人们手机安全意识的不断提升,国产的安全手机成为了智能手机家族中的新宠。安全手机在骚扰拦截、黑白名单、杀毒、广告检测、指纹应用锁、权限管理、防吸费、流量管理、通知管理、自启动管理等等智能通用安全基础能力基础上,从开机认证、正常使用、下载软件、丢失、借用等使用中的每个环节,着力解决私密通信防窃听、移动上网防木马、隐私信息防APP、信息隐藏防偷窥、资料防拷贝等问题,为用户进行全方位的安全防护。下面对一些主要的安全策略进行分析。
2.1开机认证策略
开机认证是手机安全的第一道防护,普通的智能手机往往只提供口令保护功能,安全手机基本上会提供如指纹等图像识别技术,而且通常由专门的芯片模块处理和保存信息,操作系统和外部应用都无法访问,从而确保芯片中的信息安全可靠。
2.2防木马策略
安全手机主要有两大策略,一是内置杀毒软件,自动更新木马病毒库。此方式易于实现且成本低,但由于病毒库可以更新,木马病毒也有机可乘。二是独立一个不能被木马病毒入侵的系统,彻底隔绝木马。这就像是将不会中病毒的功能机和智能机集成在一起,在安全模式下,数据网络被彻底禁用,实现GPS定位等功能模块被自动断电关,完全隔绝病毒,仅剩通话、短信功能。这种方式最为可靠,但成本高和操作等原因,普通用户不易接受。
2.3防窃听策略
策略一是设置自动、手动断麦克风、定位等设备电源,并关闭所有数据传输通道。策略二是语音加密,这种技术依托于运营商的透传网络和加密系统。语音加密主要由运营商密钥管理中心、透传网络和手机来完成,手机发起申请密钥消息(终端与运营商的密钥管理中心的密钥协商采用了非对称密码技术),密钥管理中心完成鉴权、密钥生成、加密、签名等认证工作后,下发给手机密钥通知消息,主被叫双方上发透传请求给网络控制中心(得到双方加密通话使用了对称密码技术),加密通话建立完成。
2.4防拷贝策略
一是通过专业的加密软件对资料设置密码;二是采用芯片模块来实现加密。前者可以通过用数据线与电脑相连等方式,读取出来数据,并经专业人士处理后可能会被拷贝;后者通过芯片加密,信息无法读取,即使强制拷贝出来也是一堆乱码,无法使用,但缺点是会提高手机的制造成本。
2.5隐私保护策略
一是远程设备管理,在云服务支持下,当手机丢失后,机主可以通过系统进行远程备份、远程锁定、远程销毁、远程定位、远程备份等操作,从而实现手机上数据备份保护和数据的安全。二是双锁屏保护,一台手机上设置两套锁屏保护,分别控制进入机主模式和访客模式。在机主模式下可设置隐私联系人,隐私相册,隐私应用;切换至访客模式后隐藏上述隐私信息。
消费者可以根据以上手机各种安全策略,结合自身的需求、消费能力、喜好等因素,选择合适自己的手机。
3手机使用安全策略
互联网手机的安全跟个人的使用习惯也有很大的关系,往往是我们的不正确、不留意等的使用给了不法份子可乘之机,就应该引起注意。日常手机使用安全策略介绍如下。
坚持不使用来源不明的WIFI信号,当你在蹭别人wifi网的时侯,不法份子可能正在窃取你的资料、值入木马……不要因为能省一点网费或方便一点,而把自己的信息给别人,这个帐大家都会算。
坚持不使用非主流应用中心提供的第三方面公共APP软件,不要乱点网页、短信、邮箱等提供链接,尤其要防范一些后缀为APK的链接。
坚持为智能手机安装正版的安全软件,并坚持定期更新病毒、定期杀毒,不定期的使用在线联网杀毒。
坚持开机有密码(或指纹认别等),不同的应用软件使用不同的账号和密码,并定期更换密码,并保证密码不是弱密码。
坚持像保管自己的财务一样保管自己的手机,不轻易借给别人,发现异常扣费、非正常短信等及时与提供服务的运营商联系,发现重要的信息失窃等即时报警。
4社会信息安全环境营造
时至今日,信息已成为推动人类社会进步重要的生产要素。作为当前信息最为活跃的载体一一手机的信息安会环境,理应成为社会关注点。
4.1道德引领,立法打击
一方面,政府引导,广泛的开展网上道德宣传,提供网络文明,培养网民在虚拟的移动互联网世界遵守现实生活中的伦理道德,从自己做起保护网络信息安全。另一方面,加大、加快相关法律的出台实施,做到保护互联网手机信息安全有法可依。欧美及亚洲很多国家和地区出台了一系列互联网安全方面的法律法规,已经明确把互联网手机的信息纳入其中,而我们在这方面的法律法规是滞后于移动互联网的发展。据传网络安全法已列入2015年的立法计划,但必须加快进程。
4.2利益共享,责任共担
(讯)移动互联网发展将进入暴增期,信息安全和意识形态安全问题凸现。社科文献出版社日前在京《新媒体蓝皮书:中国新媒体发展报告(2012)》这样表示。
蓝皮书认为,近几年,互联网移动化发展态势明显,其发展速度已经超过传统互联网。由于手机用户基数庞大,随着2G网络在全球的普及和3G乃至4G的快速推进,移动互联网发展将进入暴增期。2011年全球3G的覆盖面积达到45%,全球159个经济体拥有3G服务,3G活跃用户已经增长至12亿。从2008年-2011年,世界手机宽带用户数量每年增长超过45%。
蓝皮书认为,未来几年,移动互联网发展空间巨大,新媒体的移动化发展,信息传播门槛的大大降低,意识形态安全和信息安全问题凸现。一方面,全球公民的各种各样的个人隐私几乎全部被集聚于移动互联网的服务器中,随时都有被泄露的危险;另一方面,由于新媒体信息内容并不分级,不分男女老幼都将面对同样的信息,尤其是移动传播缺乏规制,泛滥的、暴力以及低俗的不健康内容将会对青少年产生极大危害。 (来源:新华网:编选:)
2互联网时代公安计算机信息安全存在的问题
2.1公安机关工作人员对于信息安全风险问题不重视
很多公安机关基层的工作人员对于计算机信息安全存在的风险问题不够重视,相关的部门领导受传统的管理理念影响颇深,缺乏一定的开拓精神,在工作方式上面也是统一采用原始存在的手段和方法,甚至在具体的工作开展过程中,态度比较被动,即使在发生问题后,也没有采用积极的措施进行补救。
2.2对于信息转移媒介的管理不完善
所谓的信息转移媒介主要指的是外部网络和公安内部网络之间进行交流和传播的一个桥梁,公安机关的工作人员在相关的技术管理方面考虑的不够周到,导致了大量的信息在进行转移的过程中,容易出现问题,在出现问题之后,由于公司中缺乏专业的技术支持,导致只能将有问题的移动介质拿到外边的修理店铺进行维修,这种维修方式不仅不够安全,也为很多黑客创造了机会。
2.3对于维护信息安全的很总要性认识不到位
公安工作人员在利用互联网开展工作时,通常都是将公安机关的数据内部网与外部服务器进行连接,这种运作方式比较单一,但是在数据的相关安全问题管理方面存在漏洞,如果一旦有黑客潜入公安系统,这种简单的操作模式方便黑客对数据进行更改,这对整体的数据传送系统造成了危害,事后再对系统进行修复的话,工程力度比较大,非常耗费时间,有些重要的数据一旦遗失将会无法追回。
3互联网时代公安计算机信息安全问题应对的策略
3.1加强公安人员的信息管理安全培训力度
加大公安机关内部工作人员对信息安全管理内容的培训宣传力度,首先领导应该发挥带头作用,制定良好的规章制度,提高基层工作人员的安全信息管理意识和理念,让大多数民警认识到计算机安全问题发生的危害性,并自觉提高技术能力,积极的发现问题,将防范为主和修复为辅的方法贯彻到底。
3.2加大公安信息安全网络软件的建设
首先加大有关部门和合作软件公司之间的交流力度,在满足双方需求的基础上,增大彼此协调沟通的空间,帮助软件公司研究和开发出更加先进的硬件设备,确保信息转移介质的质量,并能及时对危害物质进行有效查杀,在一定程度上提高了软件的利用效率,保证信息安全有效。
