序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇互聯(lián)網(wǎng)信息安全范文��。如果您需要更多原創(chuàng)資料��,歡迎隨時與我們的客服老師聯(lián)系�����,希望您能從中汲取靈感和知識�!
篇1
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)30-0035-03
New Mobile Internet Era of Information Security Technology Foresight
WU Jun1����, WU Nan-shan2
(1.Jiangxi Land Consolidation Center���, Nanchang 330025�, China ��;2 .Angel Nanchang Modern Nursery�, Nanchang 330029���, China)
Abstract: Mobile Internet era of information security technology has become the new focus. At the same time due to the instability of the mobile Internet and the popularity of the phenomenon also led to this area will be the future of information security risks hardest hit, so-depth study of the safety of new technologies on the healthy development of the mobile Internet is significant.
Key words: mobile Internet����; information security; technology
近十幾年來我國互聯(lián)網(wǎng)工程飛速發(fā)展����,與我國經(jīng)濟社會建設(shè)完全融為一體,并在發(fā)展過程中出現(xiàn)了新的發(fā)展趨向��,移動通信技術(shù)的完善和改進為移動互聯(lián)網(wǎng)的誕生和發(fā)展打下了堅實的基礎(chǔ)�。基于移動互聯(lián)網(wǎng)的移動電子商務(wù)���、移動即時通信���、移動社交、手機支付等各種新型的業(yè)務(wù)也正在悄然改變著我們的生活�����。但與之而來的卻是移動互聯(lián)網(wǎng)的信息安全問題[1]����。近年來電信網(wǎng)絡(luò)安全隱患也正在成為移動互聯(lián)網(wǎng)健康發(fā)展的一項重大障礙��,犯罪詐騙等惡性事件頻發(fā)�。因此�,在今后相當長的一段時間內(nèi)若要保證移動互聯(lián)網(wǎng)技術(shù)能夠健康發(fā)展,必須深入研究移踴チ網(wǎng)時代信息全新技術(shù)問題�����。
信息安全是包括計算機��、電子���、通信����、數(shù)學(xué)���、物理��、生物、法律����、管理���、教育等的交叉學(xué)科,同時也是隨著移動互聯(lián)網(wǎng)技術(shù)發(fā)展而不斷更新的新興學(xué)科�����。這些學(xué)科在發(fā)展過程中正在不同程度的與互聯(lián)網(wǎng)技術(shù)和移動通信技術(shù)融合��,為移動互聯(lián)網(wǎng)的發(fā)展創(chuàng)造了理論基礎(chǔ)��。移動互聯(lián)網(wǎng)的安全領(lǐng)域包括網(wǎng)絡(luò)安全�、信息系統(tǒng)安全、內(nèi)容安全�、信息對抗等等,其基本出發(fā)點是國家和社會各領(lǐng)域信息安全防護為����。信息安全技術(shù)是確保移動互聯(lián)網(wǎng)信息安全的一項重要指標,而且這些內(nèi)容也在很大程度上實現(xiàn)和完善了信息技術(shù)安全本身存在的一些問題��。展望信息安全技術(shù)與移動互聯(lián)網(wǎng)結(jié)合的突破口主要包括以下幾個部分����。
1 后量子密碼技術(shù)
公鑰密碼體制的安全性受一些數(shù)學(xué)難題制約���。著名的RSA公鑰密碼體制是的產(chǎn)生和發(fā)展基礎(chǔ)理論是大整數(shù)素數(shù)分解,DSA和ECDSA基于求解離散對數(shù)問題��。這些理論在一段歷史時期內(nèi)曾是公鑰密碼體制的支撐�����。但是1994年又有一種新的理論問世�,那就是“量子算法”(QuantumAlgorithm),它的最大一個特點就是在多項式時間內(nèi)求解大整數(shù)素數(shù)分解問題和離散對數(shù)�����。這一理論的誕生可以說很好的兼容了以往兩種公鑰密碼體制的優(yōu)勢����,同時也簡化了其中存在的一些繁瑣程序。在某種意義上甚至量子算法可以稱之為推動信息安全技術(shù)進步的一個里程碑�����。隨著公鑰體制的不斷完善以及一些新的挑戰(zhàn)的產(chǎn)生�,量子算法的局限性也逐漸暴露出來,一度成為制約互聯(lián)網(wǎng)信息安全的一個重大難題。因此2001年給予量子計算又產(chǎn)生了一種新的算法�,Peter Shor的算法[2]�����。信息安全領(lǐng)域?qū)<翌A(yù)測���,在不遠的將來量子計算機將問世��。在量子計算機基礎(chǔ)上Shor的算法可以攻破當前我們在信息安全領(lǐng)域的公鑰體制中遇到的所有問題����?����;诖笳麛?shù)素數(shù)分解問題和離散對數(shù)問題面臨的一些局限難題也會在不同程度上實現(xiàn)了這些重要障礙�。而且這些問題的解決也必將為移動互聯(lián)網(wǎng)的信息安全領(lǐng)域問題作出重要的貢獻。這些都為我們的發(fā)展和創(chuàng)新移動互聯(lián)網(wǎng)起到積極的推動領(lǐng)域��。
利用傳統(tǒng)互聯(lián)網(wǎng)技術(shù)破解基于編碼理論的Mc Eliece公鑰密碼體制的計算復(fù)雜度較高為因此這一問題也成為當前影響移動互聯(lián)網(wǎng)信息安全的一個障礙性因素�。而且,利用量子計算機計算復(fù)雜度也給量子算法的基礎(chǔ)問題出現(xiàn)一些問題����。其中�����,兩個算法復(fù)雜度都是指數(shù)級���,常數(shù)有0.5略有變化,這種變化并不是很大�。因此,從理論層面來看����,Mc Eliece公鑰密碼體制能夠抵抗量子計算的攻擊,目前還是確保公鑰體制的一種非常重要算法[2]�����。目前在計算機信息安全領(lǐng)域���,NP困難問題既不是素數(shù)分解問題也不是離散對數(shù)求解問題��,可以說影響公鑰體制存在障礙的一些問題還沒有從某種程度上得到完善和解決�,因此Peter Shor提出的“量子算法”在解決上述困難問題的過程中還不能很好地在實戰(zhàn)中得到完美的發(fā)揮�����。也就是說,NP困難問題可以抵抗量子計算的攻擊�����,可以稱之為后量子密碼技術(shù)��。同時這種基于這種技術(shù)基礎(chǔ)而完善起來的體制也可以稱之為稱后量子密碼體制�����,這種體制的算法原理在未來一段時間內(nèi)還需要攻克諸多難題�,但是其效用和功能上的良好表現(xiàn)決定了它必定在未來的發(fā)展和設(shè)計中成為研究和應(yīng)用的重點領(lǐng)域�����。
2 同態(tài)密碼技術(shù)
同態(tài)密碼技術(shù)的應(yīng)用也是保障移動互聯(lián)網(wǎng)信息安全的一種重要嘗試����。在云計算安全保護領(lǐng)域中,目前采用數(shù)據(jù)加密保證用戶的私有信息����。在權(quán)限控制上以身份認證為主要基礎(chǔ)�,實地身份認證����、權(quán)限認證、證書檢查這些環(huán)節(jié)是確保云計算信息安全的一些必要措施��,在防止非法用戶的越權(quán)訪問問題上非常有效���。數(shù)據(jù)加密��、身份認證���,可以一次性地將明文信息隱藏化,在保護隱私問題上目前來看還不存在偶漏洞和隱患��。但是隨著計算機技術(shù)的發(fā)展能否有新的隱患和漏洞包括出來還要經(jīng)過一段時間的驗證和檢驗�����。因此未來同態(tài)密碼技術(shù)在移動互聯(lián)網(wǎng)安全領(lǐng)域還是可以繼續(xù)擔當重任���。這種技術(shù)在很大程度上為用戶隱私問題擔當重要力量�,而且這些問題也成為目前影響和推動整個信息安全領(lǐng)域的一項重大問題�,這為我們更好地承擔其中存在的一些安全泄露問題做出了重要貢獻����。
3 可信計算
可信計算平盟與2002年首次提出可信計算概念���,但是這一概念目前沒有明確的定義��,并且在可信計算平盟內(nèi)部其成員中對“可信計算”也都有自己不同的理解和操作理念�?���?尚庞嬎憬M認為一個實體在存在的階段內(nèi)總有一個既定的目標要實現(xiàn)�,若其行為在符合預(yù)期的前提下不能按照一些規(guī)則和目標完善實現(xiàn)這些目標,那這種規(guī)定和目標范圍總體是不能完全按照試題的規(guī)則進行計算和排列的���。ISO/I EC15408認為一個可信的組件��、操作或者過程的行為綜合可以稱之為可信計算�,任意操作條件下操作和預(yù)測這種算法都能夠給我們帶來預(yù)期的結(jié)果��。并能很好地抵抗各種外在和內(nèi)在因素造成的干擾與破壞�����。這其中包含應(yīng)用程序軟件、病毒以及物理干擾�����。微軟對可信計算也有自己的定義��,他們認為可以隨時獲得的可靠安全的計算就是可信計算�,因為只有隨時獲得才能稱之為可信。
可信計算是引入可信計算平臺模塊PM的一種全新算法����,將這一模塊嵌入微型計算機系統(tǒng),這樣便能很好地預(yù)防與解決計算機安全問題����。實際上就是在計算機系統(tǒng)中加入一個可信的可信第三方,通過第三方計算和評估來實現(xiàn)和達到整個系統(tǒng)對信息數(shù)據(jù)的快速準確處理�,以滿足人們的預(yù)期,這樣使用者才能稱之為可信的計算�。
可信計算的基本原理是首先對終端體系進行干預(yù)和推動,使之建立一個完善的安全結(jié)構(gòu)�。在終端安全的前提下再將這一終端按照計算機網(wǎng)絡(luò)安全搭建一個誠信體系,使之有序呈現(xiàn)在第一個安全保障過程當中���。這對我們來說也是一個非常有力的計算機安全系統(tǒng)��?��?尚畔到y(tǒng)這種對終端的加固確保了每個終端都有一個合法身份�。一些惡意代碼�����,如病毒�����、木馬都能在終端的過濾系統(tǒng)中完全過濾掉���。從作用機理上看,可信計算首先構(gòu)建一個信任根��,然后在通過信任鏈將其與操作系統(tǒng)聯(lián)系起來����,同時系統(tǒng)與應(yīng)用之間也存在一定程度的傳輸和傳達作用。這對我們在整個背景下按照完全的設(shè)定目標建立的系統(tǒng)操作平臺都在一個可以信任的環(huán)境和步驟內(nèi)執(zhí)行操作指令��?��?尚庞嬎銜r一種非常重要的確保系統(tǒng)對外界病毒免疫的算法����。但是這種算法目前在移動互聯(lián)網(wǎng)當中還是沒有完全按照這N操作方式展開。而且展開的方式也是隨著這些既定的目標完全按照他們在能力和其他方面問題的處理中不斷豐富和完善起來的��。只有這樣才能更有效的利用地方可信任資源對整個系統(tǒng)的安全性和穩(wěn)定性進行合理的權(quán)衡和評估���。
4 計算機取證技術(shù)
計算機犯罪電子取證是確保信息安全的最后一關(guān)���,從功能上來看它是指能夠為法庭接受的、足夠可靠和有說服性的一種證據(jù)確認�����,他們必須是存在于計算機內(nèi)部的電子證據(jù)����,在保護、提取和歸檔過程中具有一定的可操作性��。具體來說電子取證技術(shù)主要包括兩個方面����,一個是數(shù)據(jù)獲取技術(shù)��。在這樣過程中操作人員主要負責(zé)搜集計算機數(shù)據(jù)��,這樣才能確保計算取證技術(shù)的實現(xiàn)���。但是在實現(xiàn)這一任務(wù)的過程中雖然對數(shù)據(jù)證據(jù)取證做出了非常有效和有利的安排和維護。但是執(zhí)行過程中極易對原始數(shù)據(jù)造成嚴重修改[3]�����。所以��,數(shù)據(jù)獲取技術(shù)在計算機取證中非常關(guān)鍵和重要�����。計算機系統(tǒng)和文件的安全獲取技術(shù)是確保這項技術(shù)能夠順利實現(xiàn)的一個重要關(guān)鍵點�����,對磁盤或其他存儲介質(zhì)也有較高的要求�,應(yīng)該能夠確保安全無損傷備份技術(shù)�����,在這一前提下在執(zhí)行對已刪除文件的恢復(fù)、重建����,在重建過程中磁盤空間、未分配空間和自由空間包含了信息的挖掘���,對交換文件��、緩存文件���、臨時文件中包含信息的復(fù)原技術(shù)都具有非常重要的影響,同時這也成為影響和導(dǎo)致問題產(chǎn)生的一項非常重要的關(guān)鍵點�。
另外,數(shù)據(jù)分析技術(shù)也是這項技術(shù)中存在的非常重要的一個環(huán)節(jié)��,而且在這個環(huán)節(jié)中我們也對這些技術(shù)產(chǎn)生的基本原理和技術(shù)要求非常慎重���。在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找�����、匹配關(guān)鍵詞或關(guān)鍵短語是數(shù)據(jù)分析技術(shù)的重點���。例如文件屬性分析�����,日志分析等等���,在進行這種分析的過程中按照我們分析的結(jié)果和造成的種種危害的預(yù)測對信息數(shù)據(jù)的安全性進行全面的分析和評估。國外計算機取證技術(shù)逐漸走向智能化�,對電子數(shù)據(jù)取證的全過程已經(jīng)進入一個全自動和智能系統(tǒng)中按照這樣的目標和成分才能完全執(zhí)行既定的目標和目的。在這其中計算機取證的可靠性�、準確度是衡量這一系統(tǒng)安全性的一個重要目標。
5 云計算安全技術(shù)
云計算本質(zhì)上是一種資源共享的計算平臺��,他的主要特點是通過數(shù)據(jù)和資源的共享降低成本����,提高性能,這種計算方法目前在移動互聯(lián)網(wǎng)中已經(jīng)全面普及��,一些運行上通過云計算為不同的用戶提供個性化推薦服務(wù)��,大大提高了資源利用效率���,同時這些利用效率在完成既定目標的前提和背景下已經(jīng)完全按照信息安全領(lǐng)域的規(guī)則在做自我完善。云計算發(fā)展面臨許多關(guān)鍵性問題,而安全問題首當其沖����,目前因云計算出現(xiàn)的安全問題還不是特別突出,但是隨著這種算法的不斷普及以及應(yīng)用領(lǐng)域的不斷豐富���,必然會給信息安全造成一定的威脅�。
著名的信息安全國際會議RSA201將云計算安全列為焦點問題��,定期舉辦關(guān)于云計算安全的研討會����。Gartner的調(diào)查結(jié)果顯示,70%以上的受訪企業(yè)對云計算的安全性表示擔憂���。因為這種計算方式如果造成信息泄露對企業(yè)造成的危害是無法估量的�����,同時云計算由于資源共享的基本特性����,也是最容易造成信息泄露的�����。因此安全問題目前仍然是困擾云計算普及和完善的基本問題。
參考文獻:
篇2
中圖分類號:R197.1���; TP393.0 文獻標識碼:C 文章編號:1006-1533(2017)09-0014-03
Privacy protection and information security of E-health*
MA Shishi1**���, YU Guangjun2***, CUI Wenbin2(1. School of Public Health���, Shanghai Jiao Tong University�����, Shanghai 200025��, China��; 2. Shanghai Children’s Hospital����, Shanghai 200062��, China)
ABSTRACT Health information security and privacy issues which are brought in by the rise of E-health can not be underestimated. The information security issues (such as privacy leak) of E-health possibly existed in the use of consulting services����, telemedicine and mobile medical equipment were analyzed based on the characteristics of the internet and health information and the corresponding solutions were proposed���, which are included in establishing the laws and regulations of the privacy information protection suitable to Chinese national conditions by learning from the practical experience of foreign health information protection���, applying the advanced information technology and timely introducing a review system for technology application and implementing the standardized management to the relevant institutions so as to better protect the health information under the internet medical environment.
KEy WORDS E-health�����; privacy information�; security information
互聯(lián)網(wǎng)醫(yī)療是指以互聯(lián)網(wǎng)為載體����,以信息技術(shù)(包括通訊技術(shù)、云計算�����、物聯(lián)網(wǎng)�����、大數(shù)據(jù)分析等)為支撐���,開展在線健康教育����、電子健康檔案、醫(yī)療信息查詢��、電子處方和遠程醫(yī)療等多種活動的一種新型健康和醫(yī)療信息服務(wù)的總稱���,其本質(zhì)是將互聯(lián)網(wǎng)及相關(guān)信息技術(shù)延伸至醫(yī)療服務(wù)這個大行業(yè)中來[1-2]�����。
互聯(lián)網(wǎng)醫(yī)療的興起在方便患者就診�、節(jié)省醫(yī)療成本���、優(yōu)化醫(yī)療模式���、保證醫(yī)療安全、方便醫(yī)學(xué)研究等方面發(fā)揮了重要作用�����。然而隨著互聯(lián)網(wǎng)醫(yī)療的推廣��,云技術(shù)、大數(shù)據(jù)分析的應(yīng)用�,患者醫(yī)療信息變得更集中、更易獲得�����,在醫(yī)療數(shù)據(jù)采集�����、存儲和應(yīng)用過程中常發(fā)生數(shù)據(jù)泄露的問題�。數(shù)據(jù)泄露會危及患者個人隱私�,如某社區(qū)居民疾病登記管理系統(tǒng)的賬號和密碼泄露,就會暴露大量居民的敏感信息���。近幾年�,孕���、產(chǎn)婦個人信息泄露的新聞幾乎不絕于耳�����,其帶來的一系列推銷���、詐騙問題嚴重困擾信息當事人[3]�。因此����,很有必要對在互聯(lián)網(wǎng)醫(yī)療環(huán)境下的咨詢服務(wù)、遠程醫(yī)療����、移動醫(yī)療設(shè)備使用中可能存在的隱私泄露等信息安全性問題進行分析,從而有針對性地予以解決及預(yù)防�����。
1 互聯(lián)網(wǎng)醫(yī)療中隱私信息保護面臨的挑戰(zhàn)
1.1 咨詢服務(wù)中的泄露風(fēng)險
在互聯(lián)網(wǎng)醫(yī)療中�����,患者可在具有掛號功能的網(wǎng)頁上進行預(yù)約掛號�����、醫(yī)療保健咨詢�����,還可通過網(wǎng)絡(luò)上的醫(yī)療社區(qū)向醫(yī)生尋求建議以及與病友交流治療信息,但存在患者相關(guān)隱私數(shù)據(jù)的安全性�、保密性等問題。首先�,患者要填寫一系列個人信息注冊,這樣才能獲取網(wǎng)站服務(wù)����;其次,在進行醫(yī)療咨詢或在患者社區(qū)分享就診經(jīng)驗時�,患者會有意無意地泄露一些碎片信息,雖然這些碎片信息單獨看似毫無價值�,但將之與患者提供的其他信息關(guān)聯(lián)后卻有可能識別其身份[4]�。最重要的是,一些網(wǎng)站允許廣告商或其他第三方獲取用戶信息�����,當患者瀏覽網(wǎng)站時點擊了外部廣告����,廣告商便能追蹤這些患者,對患者進行定向廣告推送�。但互聯(lián)網(wǎng)具有開放性,患者并不知道哪些人可以獲取他們的哪些信息,也不知道那些信息被用于何處����,甚至以上行為的發(fā)生都很難被患者覺察,而信息泄露時也無從申訴�。
目前有S多互聯(lián)網(wǎng)醫(yī)療機構(gòu),水平與資質(zhì)參差不齊�,工作人員同樣層次復(fù)雜,而他們可從網(wǎng)絡(luò)后臺獲取用戶的大量健康信息[5]����,若發(fā)生隱私泄露問題,很難追蹤根源來明確責(zé)任�。少數(shù)從業(yè)人員受利益驅(qū)使,拷貝�����、販賣健康信息�����,也造成了患者隱私泄露的問題��。
1.2 遠程醫(yī)療中的泄露風(fēng)險
遠程醫(yī)療是指遠距離地對患者進行醫(yī)學(xué)診療�����,其應(yīng)用使得醫(yī)療服務(wù)突破了空間的限制,有利于優(yōu)質(zhì)醫(yī)療資源的配置��,處于醫(yī)療資源不足區(qū)域以及身體行動不便的患者也可不再需要長途跋涉��、勞心勞力地去醫(yī)院就診��,在家就能通過網(wǎng)絡(luò)得到專業(yè)的醫(yī)療服務(wù)���。2014年8月國家衛(wèi)計委印發(fā)的《關(guān)于推進醫(yī)療機構(gòu)遠程醫(yī)療服務(wù)的意見》中規(guī)定����,遠程醫(yī)療服務(wù)只能由醫(yī)療機構(gòu)提供���。國家發(fā)改委、衛(wèi)計委還于2015年初聯(lián)合印發(fā)了《關(guān)于同意在寧夏��、云南等5?。▍^(qū))開展遠程醫(yī)療政策試點工作的通知》,要求試點?��。▍^(qū))落實遠程醫(yī)療服務(wù)工作[6]�。
然而,在遠程醫(yī)療過程中同樣存在隱私泄露風(fēng)險�。在遠程診療過程中,患者的病理學(xué)診斷���、影像學(xué)診斷等數(shù)據(jù)或圖片都通過互聯(lián)網(wǎng)傳送�����,與醫(yī)生的溝通也是采用視頻通話方式�����,數(shù)據(jù)容易受到攔截�、甚至篡改�,視頻也有可能被竊聽。遠程醫(yī)療結(jié)束后需進行醫(yī)療檔案的記錄�,醫(yī)療信息電子化、檔案化可提高醫(yī)療服務(wù)的效率�����,且方便在不同醫(yī)療機構(gòu)之間傳輸或共享�。傳統(tǒng)的醫(yī)療機構(gòu)通過將內(nèi)部的電子病歷系統(tǒng)與外部網(wǎng)絡(luò)隔絕開來保障信息安全,互聯(lián)網(wǎng)醫(yī)療則將醫(yī)療信息的共享范圍拓展至整個互聯(lián)網(wǎng)��,而電子記錄容易復(fù)制、共享����、被第三方截獲的特性便帶來了信息安全的隱患[7]。
1.3 移動醫(yī)療設(shè)備使用中的泄露風(fēng)險
互聯(lián)網(wǎng)醫(yī)療催生了各種類型的移動醫(yī)療設(shè)備�,主要包括健康管理類的可穿戴設(shè)備如手環(huán)、慢性病管理類的監(jiān)測設(shè)備如家用血糖儀�����、適用于遠程醫(yī)療的監(jiān)控設(shè)備等�,受到目標人群的歡迎。這些設(shè)備可持續(xù)性地采集��、存儲患者的數(shù)據(jù)�����,幫助患者進行健康管理���,并向互聯(lián)網(wǎng)醫(yī)療機構(gòu)傳輸數(shù)據(jù)。同時���,這些移動醫(yī)療設(shè)備具有匯總患者數(shù)據(jù)����、創(chuàng)建患者的詳細的合成檔案的功能,還有將收集到的患者的大量數(shù)據(jù)聚合���、關(guān)聯(lián)����、分析的功能����,可從中挖掘出新的信息。此外�����,這些設(shè)備還有可能記錄其他數(shù)據(jù)�����,如患者的位置信息等��。這些數(shù)據(jù)對商業(yè)企業(yè)有很大的利用價值�����,如用于定向營銷等,可為其帶來巨大的商業(yè)利益���,然而目前國內(nèi)對此類設(shè)備的數(shù)據(jù)采集與利用并無相關(guān)規(guī)定���。
對于家用遠程設(shè)備,在信息訪問�、傳輸和存儲時,由于用戶的操作失誤或有意為之�����,也會造成信息的泄露��、篡改和丟失[8]��。由于用戶疏忽�����、錯誤地使用了不安全的上網(wǎng)設(shè)備(免費路由器等)而導(dǎo)致信息泄露的事例并不鮮見�,2015年央視“3?15”晚會上就特別展示了信息詐騙犯罪如何利用免費路由器獲取用戶信息的例子[9]。因此���,對移動醫(yī)療設(shè)備用戶來說�����,要有個人信息保護的意識�����,否則將其他端口把控得再嚴也是徒勞的�����。
2 相關(guān)建議
當前�����,我國互聯(lián)網(wǎng)醫(yī)療正處于發(fā)展初期�,在保障醫(yī)療信息隱私與安全的前提下����,應(yīng)本著鼓勵發(fā)展的原則,不可過分束縛����。對互聯(lián)網(wǎng)醫(yī)療實際運行中出現(xiàn)的問題,建議從立法�����、信息技術(shù)和管理三個維度來解決,使之能夠健康發(fā)展��。
2.1 加快制定健康信息保護的法律�、法規(guī),以適應(yīng)互聯(lián)網(wǎng)醫(yī)療發(fā)展的需求
目前�����,世界上有109個國家有專門的個人信息保護法[10]�,而我國尚無系統(tǒng)性的法律、法規(guī)來確保醫(yī)療信息安全�,尤其是在涉及隱私保護方面。我國有關(guān)個人信息的保護規(guī)定雖多�����,但基本上是分散在效力層次不一的各種法律�、法規(guī)甚至規(guī)范性文件中的,即目前法律對個人信息及隱私保護采用的主要是間接方式����,且規(guī)定模糊、震懾力有限,不僅會使隱私信息泄露者肆無忌憚�����,而且在出現(xiàn)糾紛時也往往無法可依����。
建議制定個人信息或醫(yī)療健康信息方面的專門法律�,在規(guī)范遠程醫(yī)療、移動設(shè)備健康信息收集與利用等方面適應(yīng)互聯(lián)網(wǎng)醫(yī)療發(fā)展的需求��。同時���,通過立法設(shè)立專門的部門對互聯(lián)網(wǎng)醫(yī)療機構(gòu)進行統(tǒng)籌管理�����,主要職能包括日常信息安全與隱私保護的監(jiān)督��、侵權(quán)事件的咨詢和訴訟等�,建立���、健全層級管理機制�����,提高行政干預(yù)效率�����。
2.2 利用先進技術(shù)為患者醫(yī)療信息的存儲與傳輸安全保駕護航
一些不法分子可能會利用各種技術(shù)手段侵入存儲有健康信息的網(wǎng)站非法瀏覽����、篡改、盜竊隱私信息�����,遠程醫(yī)療也可能遭到黑客的攔截而導(dǎo)致數(shù)據(jù)泄露或失真����。
建議建立互聯(lián)網(wǎng)醫(yī)療服務(wù)的相關(guān)技術(shù)應(yīng)用審查機制,并構(gòu)建分級�、分類審查制度,對信息技術(shù)的使用進行監(jiān)管����。互聯(lián)網(wǎng)醫(yī)療中健康信息面臨的安全威脅大多可以通過信息技術(shù)手段來解決����,因此可引入國際上的先進技術(shù)����,包括訪問控制技術(shù)�����、匿名技術(shù)����、加密技術(shù)�、安全監(jiān)控和審計技術(shù)等,同時鼓勵創(chuàng)新與我國國情相適應(yīng)的信息技術(shù)�����。
2.3 有效的管理是互聯(lián)網(wǎng)醫(yī)療信息安全的重要屏障
各互聯(lián)網(wǎng)醫(yī)療機構(gòu)應(yīng)以法律��、法規(guī)和行業(yè)標準為最低要求����,制定適合自身發(fā)展的管理規(guī)范及操作規(guī)章,并認真落實����。以下三點需予強調(diào):
1)加強從業(yè)人員的隱私保護意識培養(yǎng)和專業(yè)素養(yǎng)教育��?�;ヂ?lián)網(wǎng)醫(yī)療信息工作人員能接觸到大量健康信息��,涉及用戶的個人隱私�,若他們信息安全意識缺乏�,對信息安全威脅認識不足,就很可能導(dǎo)致健康信息泄露甚至丟失����。因此,要提高隱私保護的效果�����,必須加強各類從業(yè)人員的隱私保護意識��,強化自我約束能力�,這樣才能從根本上保證隱私信息能夠得到妥善的使用和保護。
2)暢通患者知情同意權(quán)的行使渠道�。互聯(lián)網(wǎng)醫(yī)療產(chǎn)生的大數(shù)據(jù)具有很大的商業(yè)價值����,信息利用者有義務(wù)告知信息主體他們將如何存儲����、使用或會與誰共享這些健康信息�����,且理論上應(yīng)獲得信息主體同意后方能實施��,而在獲得知情同意的過程中還需注意使用公眾能夠理解的語言�����。筆者建議借鑒美國的隱私保護電子化技術(shù)����,該技術(shù)會將與隱私有關(guān)的決策自動傳送給信息主體�����,信息主體可選擇碎片化后分享信息�。
3)平衡好信息開放與隱私保護的關(guān)系?����;ヂ?lián)互通和信息開放是大趨勢。我們確實需要重點關(guān)注醫(yī)療信息的安全與隱私保護問題�����,但對隱私的保護也不能絕對化���,不可過分限制信息流通����。健康信息在醫(yī)學(xué)研究和公共衛(wèi)生管理方面都具有重要的用價值��,其合理利用有利于促進和實現(xiàn)互聯(lián)網(wǎng)醫(yī)療服務(wù)的健康�����、可持續(xù)發(fā)展���。
參考文獻
[1] 舒婷. “互聯(lián)網(wǎng)+”時代的患者隱私保護[J]. 中國數(shù)字醫(yī)學(xué)���, 2016, 11(5): 41-43.
[2] World Health Organization. Atlas eHealth country profiles: based on the findings of the second global survey on eHealth (Global Observatory for eHealth Series�, 1) [EB/OL]. [2017-01-05]. http://apps.who.int/iris/ bitstream/10665/44502/1/9789241564168_eng.pdf.
[3] 上千名孕婦信息被販賣 數(shù)據(jù)安全難保障[J]. 中國醫(yī)院院長���, 2016(7): 17.
[4] 周思成, 翟悅. 電子醫(yī)療保健情境下的隱私保護[J]. 中國醫(yī)學(xué)倫理學(xué)���, 2016����, 29(4): 681-684.
[5] 王安其�����, 鄭雪倩. 我國互聯(lián)網(wǎng)醫(yī)療運行現(xiàn)狀――基于3家醫(yī)院的調(diào)查分析[J]. 中國衛(wèi)生政策研究�, 2016, 9(1): 69-73.
[6] 孟群�����, 尹新���, 董可男. 互聯(lián)網(wǎng)醫(yī)療監(jiān)管體系與相關(guān)機制研究[J]. 中國衛(wèi)生信息管理雜志, 2016�����, 13(5): 441-447.
[7] Draper H, Sorell T. Telecare���, remote monitoring and care [J]. Bioethics���, 2013, 27(7): 365-372.
篇3
(一)國檢“互聯(lián)網(wǎng)+”建設(shè)背景
根據(jù)總局“互聯(lián)網(wǎng)+”行動計劃�,綜合利用信息化技術(shù)和大數(shù)據(jù)資源,共享國檢大數(shù)據(jù)資源��,破除“信息孤島”和“僵尸數(shù)據(jù)”�����;搭建智慧豫檢大數(shù)據(jù)平臺��,配合總局“智慧口岸”和“智慧質(zhì)檢”總體規(guī)劃����,推進我局相關(guān)工作。利用信息化平臺和業(yè)務(wù)數(shù)據(jù)資源��,進行整理分析��,既可獲取全方位的國檢數(shù)據(jù),又可以為政府和企業(yè)提供公共服務(wù)�,提高他們的決策水平,助力產(chǎn)業(yè)轉(zhuǎn)型升級��。
按照我局黨組全省系統(tǒng)信息化工作“一盤棋”的基本要求��,堅持切合實際�、適度超前的工作思路,一方面推動河南智慧國檢平臺建設(shè)��,加快實現(xiàn)檢驗檢疫業(yè)務(wù)的互聯(lián)互通�;另一方面服務(wù)地方政府口岸和特殊開放區(qū)域信息化項目建設(shè),實現(xiàn)統(tǒng)一規(guī)劃�、統(tǒng)一驗收式的信息化同標同步。支持河南省國際貿(mào)易單一窗口和河南自由貿(mào)易試驗區(qū)的信息化建設(shè)��,主動適應(yīng)外貿(mào)形勢變化和檢驗檢疫業(yè)務(wù)模式變化��。
(二)國檢信息化現(xiàn)狀
國檢信息化建設(shè)主要包括業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)����。
業(yè)務(wù)系統(tǒng)根據(jù)業(yè)務(wù)內(nèi)容、工作需要及彼此的交叉關(guān)聯(lián)等特點��,業(yè)務(wù)系統(tǒng)可以分為三大類:1.用戶申報系統(tǒng)用于強化國檢與企業(yè)����,及相關(guān)部門間的數(shù)據(jù)傳輸,實施登記備案管理���,推行無紙化辦公����,減少企業(yè)申報信息重復(fù)錄入工作量����。2.業(yè)務(wù)管理系統(tǒng),這類系統(tǒng)多針對具體業(yè)務(wù)而開發(fā)���。3.區(qū)域監(jiān)管系統(tǒng)根據(jù)相關(guān)業(yè)務(wù)需要�,對特殊監(jiān)管區(qū)域的業(yè)務(wù)按不同區(qū)域�����、不同環(huán)節(jié)的情況進行全過程��、信息化跟蹤監(jiān)管���。
國檢網(wǎng)絡(luò)系統(tǒng)目前使用“分層”的方法��,即各分支機構(gòu)與直屬局連接���,直屬局通過專線與質(zhì)檢總局連接�����。網(wǎng)內(nèi)按照功能劃分為核心業(yè)務(wù)區(qū)��、普通服務(wù)器區(qū)����、互聯(lián)網(wǎng)服務(wù)器區(qū)���、用戶接入?yún)^(qū)����、分支機構(gòu)接入?yún)^(qū)��、上聯(lián)接入?yún)^(qū)等6部分���,各區(qū)之間通過防火墻等安全設(shè)備進行訪問控制��;通過部署VPN設(shè)備實現(xiàn)人員外出期間接入內(nèi)網(wǎng)辦公�。
二、國檢“互聯(lián)網(wǎng)+”面臨的風(fēng)險
當前我國網(wǎng)絡(luò)違法犯罪活動日益猖獗�,攻擊者的演變從單打獨斗到有組織團體����,攻擊動機更具功利性、經(jīng)濟���、政治與意識形態(tài)的驅(qū)動更加明顯��。同時新技術(shù)新應(yīng)用帶來的安全挑戰(zhàn)更加嚴重�。隨著公眾對辦事程序公開���、政府工作效率和透明度要求不斷提高����,國檢“互聯(lián)網(wǎng)+”建設(shè)是由傳統(tǒng)的窗口模式轉(zhuǎn)變成多種模式�����、線下模式轉(zhuǎn)變?yōu)榫€上模式����、國檢網(wǎng)絡(luò)從傳統(tǒng)的封閉模式轉(zhuǎn)為開放模式����,信息化建設(shè)面臨的風(fēng)險主要為以下幾個方面�。
(一)應(yīng)用系統(tǒng)風(fēng)險
國檢業(yè)務(wù)系統(tǒng)基本使用外包方式進行投標采購,由于公司人員開發(fā)水平各異����、開發(fā)源代碼不能一一審核、以及采用系統(tǒng)架構(gòu)的固有安全風(fēng)險��,導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)異?�,F(xiàn)象�。
(二)設(shè)備高危漏洞和后門
業(yè)務(wù)系統(tǒng)的載體在于設(shè)備,設(shè)備的作為底層的安全猶如一棟大樓的地基�,對于國外網(wǎng)絡(luò)設(shè)備的使用需注意安全問題,如多款思科小企業(yè)路由器曝出嚴重安全漏洞�����、JUNIPER曝高危漏洞���、Linux設(shè)備TCP連接曝高危漏洞����。
(三)病毒風(fēng)險
計算機病毒具有易傳播特性,通過軟件下載�����、電子郵件��、文件服務(wù)等進入網(wǎng)絡(luò)內(nèi)部�����,刪除���、修改系統(tǒng)文件,導(dǎo)致程序運行錯誤或死機��?��!盎ヂ?lián)網(wǎng)+應(yīng)用”為病毒檢測與消除帶來很大的難度���,成為網(wǎng)絡(luò)安全發(fā)展的一大公害。
(四)數(shù)據(jù)風(fēng)險(丟失�����、篡改、泄漏)
數(shù)據(jù)的價值往往是無法估計��,國檢的“三單”信息(訂單��、運單����、支付單)含有大量穩(wěn)私數(shù)據(jù),有防止數(shù)據(jù)丟失�����、被篡改和被泄漏方面面臨著巨大的挑戰(zhàn)�。
(五)網(wǎng)絡(luò)對接風(fēng)險
國檢網(wǎng)絡(luò)是多區(qū)域、跨機構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)�����,需要與地方部門與其他口岸部門對接�,客觀上會存在一些“不可信”區(qū)域,數(shù)據(jù)在這些區(qū)域進行交換同樣面臨一些風(fēng)險����。同時由于業(yè)務(wù)系統(tǒng)逐漸增多,管理人員較少也是影響國檢“互聯(lián)網(wǎng)+”安全的一個因素�����。
三、國檢“互聯(lián)網(wǎng)+”安全策略
國檢“互聯(lián)網(wǎng)+”的建設(shè)還處于初級階段����,在信息化建設(shè)也積累了一些安全經(jīng)驗,在建設(shè)中不斷創(chuàng)新�����,通過實踐和經(jīng)驗逐步提高國檢信息化安全���。同時,在不斷學(xué)習(xí)兄弟局和其它互聯(lián)網(wǎng)的安全管理的方案���,制訂了國檢“互聯(lián)網(wǎng)+”的安全策略�����,主要包括以下四個方面�。
(一)安全體系建設(shè)
安全涉及到系統(tǒng)的方方面面��,任何一點的疏漏都可能是致命的��,必須統(tǒng)一進行考慮。利用自有或外部專業(yè)安全技術(shù)力量對網(wǎng)絡(luò)信息系統(tǒng)的物理安全��、通信安全���、邊界安全�、主機安全��、應(yīng)用安全和備份及日常運維等方面進行全面的風(fēng)險評估�����,發(fā)現(xiàn)當前存在的安全問題�,明確安全需求,確立安全目標��,建立安全體系結(jié)構(gòu)�����。
(二)信息系統(tǒng)建設(shè)
嚴格按照GB22239-2008信息系統(tǒng)安全等級保護基本要求和GBT22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求的進行信息化建設(shè)�。根據(jù)信息系統(tǒng)承載業(yè)務(wù)的重要性,確定信息系統(tǒng)保護等級�����,并按照相應(yīng)等級在需求階段明確系統(tǒng)的安全技術(shù)措施要求。
(三)信息系統(tǒng)運維
按照網(wǎng)絡(luò)信息安全三要素信息的機密性���、信息的完整性����、信息的可用性要求����,將安全策略、硬件及軟件等方法結(jié)合起來���,構(gòu)成一個統(tǒng)一的防御系統(tǒng)�����,有效阻止非法用戶進入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險�����。
定期進行漏洞掃描�,及時發(fā)現(xiàn)問題,解決問題。通過入侵監(jiān)測(防御)等方式實現(xiàn)實時安全監(jiān)控�����,提供快速響應(yīng)故障的手段�。建立安全日志審計系統(tǒng)和安全取證措施,在系統(tǒng)遭到損害后�,具有能夠較快恢復(fù)正常運行狀態(tài)的能力。
在計算機設(shè)備上采用統(tǒng)一管理的防病毒軟件和防病毒網(wǎng)關(guān)�����,在入口處抵擋病毒的入侵和破壞并控制其在網(wǎng)絡(luò)內(nèi)部的傳播����;并通過安全軟件對計算機進行認證、終端安全檢查�����。
利用ITIL對服務(wù)管理提供一個客觀���、嚴謹���、可量化的最佳實踐的標準和規(guī)范,具有對系統(tǒng)資源、用戶��、安全機制等方面進行規(guī)范和量化�。
(四)人員管理與培訓(xùn)
篇4
1我國互聯(lián)網(wǎng)信息安全現(xiàn)狀
1.1政府和行業(yè)對互聯(lián)網(wǎng)信息安全重視程度增加
隨著近些年來網(wǎng)絡(luò)信息安全問題的不斷發(fā)酵,網(wǎng)絡(luò)安全問題已經(jīng)拓展到國家安全的角度���,國家的重視度不斷增加?��,F(xiàn)在,國家網(wǎng)絡(luò)安全的行業(yè)進入了一個加速發(fā)展的時代�����,網(wǎng)絡(luò)安全對政治商業(yè)和經(jīng)濟等利益都有較大的影響�,因此,網(wǎng)絡(luò)安全行業(yè)的發(fā)展已經(jīng)到了存量和增量大幅增加的階段�����。從政府方面來講�,政府正在加大加國產(chǎn)硬件和軟件及一些安全軟件的采購力度��,逐步提升企事業(yè)單位的IT基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)防御能力;從企事業(yè)單位的方面來講��,我們用于信息安全的投資明顯的低于世界平均水平。現(xiàn)在���,各類網(wǎng)絡(luò)安全問題的出現(xiàn)及一些商業(yè)機密泄露等事件敲響了企事業(yè)單位安全意識的警鐘�����,企事業(yè)但是開始強化數(shù)據(jù)保護和提高安全防御措施��。1.2互聯(lián)網(wǎng)犯罪猖獗
現(xiàn)在網(wǎng)絡(luò)違法犯罪活動愈發(fā)猖獗�。一些不法分子利用互聯(lián)網(wǎng)進行各種各樣的違法犯罪活動�,如賭博、詐騙��、撒播謠言�����、竊密盜竊等不法活動����,還有通過互聯(lián)網(wǎng)攻擊竊取數(shù)據(jù)和機密等的犯罪活動。這些通過互聯(lián)網(wǎng)進行的違法犯罪不僅危害了公民的合法權(quán)益���,而且破壞了國家的安全和社會的穩(wěn)定���。
1.3網(wǎng)絡(luò)安全產(chǎn)業(yè)有很大的發(fā)展空間
伴隨著大數(shù)據(jù)�、云計算�����、物聯(lián)網(wǎng)等技術(shù)的快速應(yīng)用���,互聯(lián)網(wǎng)已經(jīng)影響到我們生活的方方面面�����,而網(wǎng)絡(luò)安全產(chǎn)業(yè)也面臨著新的機遇和挑戰(zhàn)����。為了保證國家的網(wǎng)絡(luò)安全���,要不斷發(fā)展有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品?��,F(xiàn)在由于互聯(lián)網(wǎng)的核心的設(shè)施、技術(shù)還有比較高端的服務(wù)還是主要依賴于國外的進口���,在操作系統(tǒng)使用����、專用芯片制造和大型應(yīng)用軟件開發(fā)等方面都存在著嚴重的安全的隱患���。因此�����,具有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品和產(chǎn)業(yè)有非常廣闊的發(fā)展空間和發(fā)展前景�����。
1.4互聯(lián)網(wǎng)信息安全研究成為熱點
現(xiàn)在可穿戴設(shè)備�、智能終端等設(shè)備的應(yīng)用非常廣泛����,信息安全問題是現(xiàn)在互聯(lián)網(wǎng)技術(shù)研究的熱點問題,隨著研究的深入進行和技術(shù)的不斷發(fā)展�,會幫助解決互聯(lián)網(wǎng)在安全方面所遇到的問題。現(xiàn)在已經(jīng)有很多的高校將互聯(lián)網(wǎng)信息安全作為專門的課程開設(shè)�����,這也有助于我國互聯(lián)網(wǎng)信息安全研究的發(fā)展����。
2加強我國互聯(lián)網(wǎng)信息安全對策
2.1發(fā)揮政府功能�����,強化法規(guī)建設(shè)�,建立全國范圍內(nèi)的網(wǎng)絡(luò)安全協(xié)助機制
隨著互聯(lián)網(wǎng)的發(fā)展����,網(wǎng)絡(luò)安全受到巨大的威脅,針對這種情況�����,要加強公民的網(wǎng)絡(luò)安全教育工作�,盡可能提升全民的網(wǎng)絡(luò)安全的基礎(chǔ)知識和水平,增強公民的“網(wǎng)絡(luò)道德”意識��,保護我國網(wǎng)絡(luò)信息的安全��。而且要進一步強化網(wǎng)絡(luò)立法以及執(zhí)法的能力��,深化政府職能����,完善法規(guī)建設(shè)��,在全國范圍內(nèi)建立網(wǎng)絡(luò)安全協(xié)助的機制��,這樣有助于協(xié)調(diào)全國網(wǎng)絡(luò)的安全運行。制定出網(wǎng)絡(luò)在建設(shè)階段和運行階段的安全級別的定義和安全行為的細則��,安全程度的考核評定等標準化文本��,分析網(wǎng)絡(luò)出現(xiàn)的攻擊手段���,報告系統(tǒng)漏洞并給出“補丁”程序��,并且對全國范圍內(nèi)協(xié)調(diào)網(wǎng)絡(luò)安全建設(shè)�,另外�,還要大力提高我國自主研發(fā),生產(chǎn)相關(guān)的應(yīng)用系統(tǒng)與網(wǎng)絡(luò)安全的能力���,用以代替進口產(chǎn)品��。
2.2加大互聯(lián)網(wǎng)信息安全犯罪的打擊力度
目前����,互聯(lián)網(wǎng)技術(shù)的發(fā)展速度已經(jīng)遠遠超越了網(wǎng)絡(luò)犯罪的立法速度��,有一些立法對互聯(lián)網(wǎng)犯罪的處罰力度非常輕,還有一些互聯(lián)網(wǎng)犯罪活動并沒有相關(guān)的法律規(guī)定��。這種情況對于加大網(wǎng)絡(luò)信息安全的打擊力度是非常不利的���。因此����,現(xiàn)在要加快對互聯(lián)網(wǎng)犯罪的立法工作��,使得在處理互聯(lián)網(wǎng)犯罪的時候可以做到有法可依�����。近些年��,國家加大了最互聯(lián)網(wǎng)的監(jiān)督和監(jiān)管力度���,使得很多的互聯(lián)網(wǎng)犯罪活動能夠在較短的時間內(nèi)得到取證和解決�,但是相對而言����,公民的互聯(lián)網(wǎng)安全意思還是比較淡薄,因此,提高公民的互聯(lián)網(wǎng)安全意識也成了迫在眉睫需要解決的問題�����。
2.3加大網(wǎng)絡(luò)信息安全的宣傳和教育的工作
現(xiàn)今社會�,互聯(lián)網(wǎng)已經(jīng)深入到生活的方方面面,互聯(lián)網(wǎng)正在改變著人們傳統(tǒng)的生活方式���,人們的生活離不開互聯(lián)網(wǎng)?��?墒请S之而來的是計算機病毒�����、計算機犯罪��、計算機黑客等問題�,影響著人們對互聯(lián)網(wǎng)的正常和安全使用���,更是影響到國家的經(jīng)濟發(fā)展和安全�。
因此�����,加大我國網(wǎng)絡(luò)信息安全的宣傳和教育工作是一件非常急迫的事情,通過不斷提高公民的網(wǎng)絡(luò)安全意識��,能夠有效避免一些網(wǎng)絡(luò)犯罪的發(fā)生���,并且對提高我國整體網(wǎng)絡(luò)安全有很大的幫助����。要不斷的通過電視�����、網(wǎng)絡(luò)�、報紙等多種媒體進行網(wǎng)絡(luò)安全知識的宣傳,讓網(wǎng)絡(luò)安全意識深入人心��。
2.4建立互聯(lián)網(wǎng)的信息安全預(yù)警和應(yīng)急保障制度
重點加強對全社會信息安全問題的統(tǒng)籌安排����,對信息安全工作責(zé)任制要不斷深化細化;加強重點信息領(lǐng)域的安全保障工作,推動信息安全等工作的開展��、要把安全測評�����、應(yīng)急管理等信息安全基本制度落到實處;加快推進網(wǎng)絡(luò)與信息安全應(yīng)急基礎(chǔ)平臺建設(shè);提升信息安全綜合監(jiān)管和服務(wù)水平,積極應(yīng)對信息安全新情況�����、新問題���,針對云計算��、物聯(lián)網(wǎng)�����、移動互聯(lián)網(wǎng)、下一代互聯(lián)網(wǎng)等新技術(shù)�、新應(yīng)用開展專項研究,建立信息安全風(fēng)險評估和應(yīng)對機制;建立統(tǒng)一的網(wǎng)絡(luò)信任體系���、信息安全測評認證平臺��、電子政務(wù)災(zāi)難備份中心等基礎(chǔ)設(shè)施等��,力求對信息安全保障工作形成更強的基礎(chǔ)支撐�����。
2.5技術(shù)防護安全策略
技術(shù)防護是確保網(wǎng)站信息安全的有力措施��,在技術(shù)防護上�����,主要做好以下幾方面工作:一是要加強網(wǎng)絡(luò)環(huán)境安全;二是加強網(wǎng)站平臺安全管理;三是加強網(wǎng)站代碼安全;四是加強數(shù)據(jù)安全���。
3結(jié)語
網(wǎng)絡(luò)安全技術(shù)已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展速度的一個重要課題���,通過對其深入的研究,制定出合適的策略方法并加以實施�����,達到提升互聯(lián)網(wǎng)安全的目的�。
參考文獻
篇5
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 05-0000-02
一、引言
隨著科技的高速發(fā)展�、互聯(lián)網(wǎng)的大力普及,越來越多的人在互聯(lián)網(wǎng)這個虛擬的世界里面開創(chuàng)了自己的小世界��,很多以前只能在日常生活中完成的事情����,也都搬到了網(wǎng)上進行���。網(wǎng)絡(luò)不僅成為了人們娛樂休閑的場所,成為了人們的一種職業(yè)手段�����,更成為了人們生活中不可或缺的一部分��。在這種情況下�����,很多私人信息�����,包括個人及家庭基本信息��、銀行帳號信息等更加私密的信息��,都需要通過互聯(lián)網(wǎng)進行傳輸�����,在這種大背景之下����,信息安全技術(shù)就顯得尤為重要,而其在互聯(lián)網(wǎng)中的運用也成為了人們不得不考慮的問題���。
二��、網(wǎng)絡(luò)環(huán)境下信息安全技術(shù)簡介
單從信息安全來看����,其包括的層面是很大的�����。大到國家軍事政治等機密安全��,小到如防范商業(yè)企業(yè)機密泄露���、防范青少年對不良信息的瀏覽��、個人信息的泄露等�。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵�����,包括計算機安全操作系統(tǒng)、各種安全協(xié)議�、安全機制(數(shù)字簽名、信息認證�、數(shù)據(jù)加密等),直至安全系統(tǒng)���,其中任何一個安全漏洞便可以威脅全局安全���。信息安全技術(shù),從廣義上來看�,凡是涉及到信息的安全性、完整性�、可用性、真實性和可控性的相關(guān)理論和技術(shù)都是信息安全所要研究的領(lǐng)域����。狹義的信息安全技術(shù)是指為對抗利用電子信息技術(shù)手段對信息資源及軟、硬件應(yīng)用系統(tǒng)進行截獲���、干擾、篡改��、毀壞等惡意破壞行為所采用的電子信息技術(shù)的總稱[1]。隨著互聯(lián)網(wǎng)熱潮的興起���,整個社會對網(wǎng)絡(luò)的依賴越來越強��,信息安全的重要性開始顯現(xiàn)��。
隨著信息安全內(nèi)涵的不斷延伸�����,信息安全技術(shù)也得到了長足的發(fā)展����,從最初對信息進行保密�����,發(fā)展到現(xiàn)在要保證信息的完整性�、可用性、可控性和不可否認性����,進而又發(fā)展為“攻(攻擊)、防(防范)��、測(檢測)、控(控制)��、管(管理)��、評(評估)”等多方面的基礎(chǔ)理論和實施技術(shù)��?��;ヂ?lián)網(wǎng)環(huán)境下�����,信息安全技術(shù)可以主要概括為以下幾個方面的內(nèi)容:身份認證技術(shù)�����、加密解密技術(shù)�����、邊界防護技術(shù)�、訪問控制技術(shù)�、主機加固技術(shù)、安全審計技術(shù)、檢測監(jiān)控技術(shù)等�����。
三�、互聯(lián)網(wǎng)中的信息安全技術(shù)
互聯(lián)網(wǎng)是面向所有用戶的�,所有信息高度共享,所以信息安全技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用就顯得尤為重要���。
(一)信息安全技術(shù)之于互聯(lián)網(wǎng)的必要性
國際互聯(lián)網(wǎng)十分發(fā)達�����,基本可以聯(lián)通生活的方方面面����,我國的互聯(lián)網(wǎng)雖不如發(fā)達國家先進���,但是同作為互聯(lián)網(wǎng)���,其所面臨的安全問題都是一樣的。網(wǎng)絡(luò)信息安全有三個重要的目標:完整性����、機密性和有效性��,對于信息的保護���,也便是從這三個方面進行展開,
(二)信息安全技術(shù)在互聯(lián)網(wǎng)中的運用
美國國家安全局對現(xiàn)有的信息安全工程實踐和計算機網(wǎng)絡(luò)系統(tǒng)的構(gòu)成進行了系統(tǒng)分析和總結(jié)����,提出了《信息保障技術(shù)框架》[2],從空間維度�,將分布式的網(wǎng)絡(luò)信息系統(tǒng)劃分為局域計算環(huán)境、網(wǎng)絡(luò)邊界�����、網(wǎng)絡(luò)傳輸和網(wǎng)絡(luò)基礎(chǔ)設(shè)施四種類型的安全區(qū)域���,并詳細論述了在不同安全域如何應(yīng)用不同的安全技術(shù)要素構(gòu)建分布式的信息安全系統(tǒng)����。所以互聯(lián)網(wǎng)中對于信息安全技術(shù)的使用是有一個應(yīng)用體系的��,不同的網(wǎng)絡(luò)系統(tǒng)有不同的安全策略��,但是不論是何種網(wǎng)絡(luò)形式,有三項信息安全技術(shù)是必須被運用的��,它們是:身份認證技術(shù)����、數(shù)據(jù)加密技術(shù)�、防火墻技術(shù)。
1.身份認證技術(shù)
身份認證是網(wǎng)絡(luò)安全的第一道防線�����,也是最重要的一道防線�����。對于身份認證系統(tǒng)來說�,最重要的技術(shù)指標是合法用戶的身份是否易于被別人冒充。用戶身份被冒充不僅可能損害用戶自身的利益�,也可能損害其他用戶和整個系統(tǒng)。所以�����,身份認證是授權(quán)控制的基礎(chǔ)[3]?�,F(xiàn)實生活中,可以通過很多途徑來進行身份的認證����,就在這種情況下也有人偽造身份,而對于網(wǎng)絡(luò)虛擬環(huán)境�����,身份應(yīng)該如何認證確實是一項頭疼的技術(shù)難題�����。目前網(wǎng)絡(luò)上的身份認證方式主要有:密碼認證��、口令卡認證����、u盾認證以及各種技術(shù)結(jié)合使用等方式,也取得了一定的成效���,對于信息安全的保障����,起了很大的作用���。
2.數(shù)據(jù)加密解密技術(shù)
數(shù)據(jù)加密技術(shù)是互聯(lián)網(wǎng)中最基本的信息安全技術(shù)����,因為眾所周知,互聯(lián)網(wǎng)的本質(zhì)就是進行信息的共享���,而有些信息是只對個人或者部分群體才可以共享的��,另一方面,裸數(shù)據(jù)在網(wǎng)絡(luò)中傳播是很容易被竊取的����,所以在信息發(fā)送端對數(shù)據(jù)進行加密,接收信息的時候進行解密����,針對互聯(lián)網(wǎng)信息傳播的特點,是行之有效的信息安全技術(shù)����。
3.防火墻技術(shù)
防火墻,很多人都很熟悉�����,它實質(zhì)上是起到一個屏障的作用,正如其名�,可以將有害信息擋在墻外,過濾到不利信息����,阻止破壞性的信息出現(xiàn)在用戶的計算機。防火墻的基本準則有兩種:一切未被禁止的就是允許的�;一切未被允許的就是禁止的。這種過來是如何實現(xiàn)的�����?這就涉及實現(xiàn)防火墻的技術(shù)���,主要有:數(shù)據(jù)包過濾��、應(yīng)用網(wǎng)關(guān)和服務(wù)等����。對于互聯(lián)網(wǎng)而言��,一個有效的防火墻�,可以幫助用戶免除很多有害信息的干擾,也是信息安全技術(shù)對于互聯(lián)網(wǎng)非常大的貢獻��。
除了使用一些安全技術(shù)措施之外,在網(wǎng)絡(luò)安全中�����,通過制定相關(guān)的規(guī)章制度來加強網(wǎng)絡(luò)的安全管理�����,對于確保網(wǎng)絡(luò)順利�、安全、可靠����、有序的運行�,也會起到十分重要的作用。
四�����、結(jié)束語
本文簡要介紹了身份認證技術(shù)�、數(shù)據(jù)加密技術(shù)、防火墻技術(shù)這三項技術(shù)對于網(wǎng)絡(luò)信息安全的重要性及其應(yīng)用��,事實上隨著科學(xué)技術(shù)的飛速發(fā)展����,互聯(lián)網(wǎng)的組織形式也在發(fā)生極大變化�����,網(wǎng)絡(luò)信息安全技術(shù)在互聯(lián)網(wǎng)上應(yīng)用將會越來越多�,但是筆者相信����,本文所介紹的三個基本運用,會隨著互聯(lián)網(wǎng)的越來越透明化而得到更大的發(fā)展���。
參考文獻:
篇6
1互聯(lián)網(wǎng)信息安全問題概述
隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展�,信息安全問題逐漸凸顯��,其影響已經(jīng)涉及到各個層面��,如國家經(jīng)濟��、政治����、國防和社會文化等,人們在使用互聯(lián)網(wǎng)的時候同樣要防范個人信息泄漏的威脅。信息安全技術(shù)發(fā)展初期�,一般是以密碼作為基礎(chǔ)的計算機安全輔助技術(shù),通過加密通信內(nèi)容和對程序進行編碼實現(xiàn)加密����。
2互聯(lián)網(wǎng)信息安全現(xiàn)狀
2.1缺少計算機核心技術(shù)
我國計算機技術(shù)發(fā)展水平并不高,一些大型計算機和互聯(lián)網(wǎng)設(shè)備����、技術(shù)都要依靠國外進口,缺少計算機核心技術(shù)也是很多國家都存在的問題�。一個鮮明的例子就是美國國家安全局能夠利用多種途徑,如使用超級計算機�、法律法規(guī)、技術(shù)標準甚至勸說游說等方式����,繞開或者破解目前應(yīng)用較為普遍的幾種信息加密技術(shù),竊取信息��,或者和科技公司合作���,在設(shè)備、技術(shù)中植入后門�����,竊取信息和資料等,讓世界都處于隱私信息泄漏的威脅之下����。目前全球的網(wǎng)絡(luò)設(shè)備和技術(shù),如路由器����、計算機處理器、計算機操作系統(tǒng)以及計算機�����、互聯(lián)網(wǎng)的技術(shù)標準等若干核心技術(shù)都源自美國�,而美國在監(jiān)聽互聯(lián)網(wǎng)方面有著非常完備的技術(shù)體系和堅實的法律支撐,美國的互聯(lián)網(wǎng)技術(shù)公司����、計算機設(shè)備生產(chǎn)企業(yè)等,都有監(jiān)聽互聯(lián)網(wǎng)的能力和動機�����,給世界各國的軍事�、政治、經(jīng)濟和人民的社會生活信息安全帶來了極大的威脅,因此世界上很多國家都建立了互聯(lián)網(wǎng)防御所用的“墻”���,來保障自己國家的信息安全��,并不斷發(fā)展自主信息技術(shù)��。
2.2尚未建立完善的信息安全法律法規(guī)
在計算機和互聯(lián)網(wǎng)逐漸普及的今天����,一些發(fā)達國家在對信息安全有全面深入的認識的基礎(chǔ)上���,開始著手制定與國家信息安全發(fā)展狀況相符的法律法規(guī)��,促進國家的信息安全在正確的軌道上順利發(fā)展�。要確保國家信息安全�,完善的信息安全法律法規(guī)是基礎(chǔ)和必需條件,我國已經(jīng)針對與信息內(nèi)容����、信息系統(tǒng)、安全產(chǎn)品等有關(guān)的領(lǐng)域制定了一些規(guī)范性文件����,出臺了若干項政策和方針,但是我國信息安全法律法規(guī)從整體上看仍然不夠完善���,存在諸多缺陷和問題�����,例如一些條文的重復(fù)��、交叉或者描述不清的現(xiàn)象��,信息技術(shù)的發(fā)展是我們有目共睹的�����,但是信息安全制度建設(shè)并沒有跟上信息技術(shù)的發(fā)展腳步��,我國仍處于信息安全制度體系的探索階段�,在引進國外先進網(wǎng)絡(luò)設(shè)備和技術(shù)時仍然無法保證安全性����。
2.3信息安全意識淡薄
現(xiàn)今公司企業(yè)開始逐漸將網(wǎng)絡(luò)技術(shù)、計算機技術(shù)作為生產(chǎn)的核心技術(shù)�,給企業(yè)公司帶來經(jīng)濟效益的同時,也讓企業(yè)面臨著嚴重的安全威脅�����,很多單位、公司和企業(yè)都不重視信息安全���,管理人員對信息安全缺乏正確且全面的認識����,沒有切實做好信息安全保障措施���,對于現(xiàn)行的制度也無法落實����,重技術(shù)輕管理仍然是在很多企業(yè)都存在的現(xiàn)象���,即使有先進的安全技術(shù)也無法發(fā)揮實際作用��。
3保障計算機互聯(lián)網(wǎng)信息安全的策略分析
3.1打造計算機互聯(lián)網(wǎng)信息安全環(huán)境
保障信息安全�����,首先需要保障計算機硬件的安全��,因此必須做好信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)工作����,為計算機系統(tǒng)營造安全的環(huán)境�����,計算機應(yīng)該安置在溫度�、濕度適宜的環(huán)境中,盡量遠離噪音源和強電磁場��,使用優(yōu)質(zhì)的電源確保能為計算機持續(xù)提供穩(wěn)定的電流��,計算機工作過程中應(yīng)該做好定期檢查和日常維護��,檢查計算機是否接地良好�����。重點保護部門和單位的電磁信號��,防止被不法分子使用設(shè)備截獲��。如果計算機系統(tǒng)和設(shè)備非常重要��,必須建立完善的防盜報警設(shè)施����,防止計算機或者設(shè)備被盜��,造成信息資料丟失的問題����。
3.2采用多種方式保障信息安全
除了保障計算機硬件安全����,還要采用多種方式進行信息數(shù)據(jù)加密,確保信息在傳輸過程中不被截獲或者破解���,目前數(shù)據(jù)加密技術(shù)有很多種��,基本能夠保證信息的完整性和機密性��。網(wǎng)絡(luò)信息認證是用來認定信息交互雙方身份真實性的技術(shù)�,將密鑰加密技術(shù)和數(shù)字簽名技術(shù)結(jié)合起來����,對簽名人身份進行科學(xué)規(guī)范的鑒定,對信息傳輸?shù)倪^程進行監(jiān)控�����,保證信息、文件的完整性和真實性����。
3.3做好病毒防范工作
木馬和病毒是威脅信息安全的一大因素,計算機病毒和木馬具有隱蔽性的特點����,能夠隱匿在計算機系統(tǒng)中�,在用戶不知情的情況下自我復(fù)制和傳播,感染計算機中的文件���,最終造成系統(tǒng)破壞��,還會造成用戶信息和隱私泄露的問題�����。因此必須使用殺毒軟件定期掃描和殺毒���。在計算機的日常使用中,也要注意不隨意下載不知出處的軟件或者盜版軟件�,定期備份重要的數(shù)據(jù)和資料,運行來源不明的文件或者程序前必須先殺毒�����,良好的習(xí)慣才是保障信息安全的法則。
3.4提高信息安全意識
使用計算機和互聯(lián)網(wǎng)時要保持良好的使用習(xí)慣���,不在自己的計算機上保存網(wǎng)站密碼或者私人信息��,來源不明的郵件或者包含內(nèi)容不詳附件的郵件不能打開��,使用QQ等通訊軟件聊天時�����,不輕易接受陌生人發(fā)送的文件和程序等����,為計算機設(shè)置具有一定復(fù)雜度的密碼�����,在轉(zhuǎn)售���、報廢計算機前一定要將計算機內(nèi)的數(shù)據(jù)和信息全部清除���。
篇7
移動互聯(lián)網(wǎng)是移動通信技術(shù)和互聯(lián)網(wǎng)技術(shù)相結(jié)合的一種產(chǎn)物�����,它的存在與應(yīng)用為人們的生活提供了巨大的便利�,但是隨著國內(nèi)移動網(wǎng)絡(luò)規(guī)模和用戶規(guī)模的不斷擴大�����,其存在的信息安全風(fēng)險日益凸顯��。許多人對移動互聯(lián)網(wǎng)的應(yīng)用安全問題并不了解�����,安全防范意識較為薄弱�����,因此�����,人們有必要了解移動互聯(lián)網(wǎng)的信息安全威脅和漏洞��,做好相關(guān)防范措施�,同時,相關(guān)部門要采取積極有效的應(yīng)對措施���,保障用戶信息安全�,提高移動互聯(lián)網(wǎng)的應(yīng)用安全性�����。
1我國當前移動互聯(lián)網(wǎng)信息安全威脅與漏洞分析
1.1網(wǎng)站安全漏洞
相關(guān)調(diào)查顯示�����,我國超過30%的網(wǎng)站存在安全漏洞�����,這些漏洞的表現(xiàn)方式主要是:用戶的登錄名稱和密碼會遭到泄露���;用戶瀏覽的信息遭到泄露�����;用戶因瀏覽網(wǎng)站而受到攻擊的概率大大增加���。而且��,這類不安全的網(wǎng)站呈現(xiàn)出增長的態(tài)勢��,需要引起相關(guān)部門的重視�����。
1.2破解加密算法或竊取口令
除了網(wǎng)站本身存在的安全漏洞之外��,部分人也會通過破解網(wǎng)站接入設(shè)備口令來進行攻擊�����,用戶在上網(wǎng)過程中容易受到攻擊�����,這就要求網(wǎng)站運營商加強網(wǎng)站口令的嚴密性,提高網(wǎng)站抵抗入侵的能力�,保護用戶免受攻擊。
1.3木馬病毒
木馬病毒是最為常見的一種移動互聯(lián)網(wǎng)安全漏洞���,也是電子信息安全的主要威脅因素����,其主要通過特定的程序來控制另一臺移動設(shè)備,竊取移動設(shè)備的資料信息��,這種情況在現(xiàn)實生活中較為常見����,許多用戶因此而遭受到財產(chǎn)損失。這些惡意程序主要入侵智能手機�����、平板電腦等移動設(shè)備�����,而且在入侵之后不容易被用戶發(fā)現(xiàn)����,即使是一些防護軟件也對此束手無策,因此�,應(yīng)對木馬病毒是移動互聯(lián)網(wǎng)安全工作應(yīng)當重視的問題。
1.4偽AP欺騙
接入點AP偽裝是目前威脅等級較高的一種黑客手段�����,這種安全威脅較為隱蔽,用戶很難發(fā)現(xiàn)����,因此也難以清除,由于移動終端用戶的配置不當或者疏忽���,就有可能會在未察覺時或者在貪圖免費Wi-Fi想法驅(qū)使下連接到偽裝接入點���,因此受到攻擊,在現(xiàn)實生活中���,許多用戶由于接入陌生的Wi-Fi�,而使得自身的信息遭到泄露����,這種問題較為突出,需要引起相關(guān)部門和用戶的關(guān)注��。
1.5Wi-Fi無線網(wǎng)絡(luò)劫持
Wi-Fi無線網(wǎng)絡(luò)劫持主要是攻擊程序通過移動設(shè)備處理器上的安全漏洞來截獲相應(yīng)的信息���,用戶的信息和電話會因此受到竊聽和監(jiān)視,這種攻擊手段較為隱蔽��,用戶在使用Wi-Fi上網(wǎng)時很難發(fā)現(xiàn),受攻擊的概率大大提高���。而且�����,隨著社會的發(fā)展����,這種免費的Wi-Fi會更多��,用戶在接入和使用的過程中很難發(fā)現(xiàn)�����,需要相關(guān)部門加強這方面的管理�,為用戶提供安全的免費Wi-Fi服務(wù)。
2防范移動互聯(lián)網(wǎng)信息安全威脅與漏洞的措施
2.1完善移動互聯(lián)網(wǎng)安全相關(guān)法規(guī)
目前���,我國在移動互聯(lián)網(wǎng)安全保護方面制定了一些法律法規(guī)��,但是�����,這些法律法規(guī)還不完善���,對于一些細節(jié)性的問題沒有交代清楚�。筆者認為�,我國立法部門應(yīng)當將追責(zé)機制加入到法律體系中,使其發(fā)揮出應(yīng)有的作用�,當發(fā)現(xiàn)有危害移動互聯(lián)網(wǎng)安全的行為時,要根據(jù)IP等信息確定嫌疑人����,追究其刑事責(zé)任。同時�,針對我國當前移動互聯(lián)網(wǎng)快速發(fā)展的局勢,相關(guān)單位要立足于自身的本職工作��,加強移動互聯(lián)網(wǎng)安全保護立法力度���,建立健全相應(yīng)的保護機制��,規(guī)范網(wǎng)絡(luò)安全保護技術(shù)����,提高應(yīng)對威脅和漏洞的能力����,使得用戶能夠在保障體系之下享受互聯(lián)網(wǎng)服務(wù)。
2.2加強改進計算機算法
當前在計算機安全網(wǎng)絡(luò)評價方面主要應(yīng)用的算法就是神經(jīng)網(wǎng)絡(luò)算法����,這種算法有較大的優(yōu)勢,如非線性�����、自組織等����,但是BP神經(jīng)網(wǎng)絡(luò)算法在面對不穩(wěn)定的網(wǎng)絡(luò)參數(shù)時會容易出現(xiàn)疏漏。因此�,可以通過一些改進措施來完善。一般來說��,BP神經(jīng)網(wǎng)絡(luò)的算法步驟為預(yù)先設(shè)置好輸入的變量��,然后設(shè)置好參數(shù)��、輸入樣本數(shù)值���、按照一定的公式來進行計算�����。改善時可通過附加動量法����、自適應(yīng)學(xué)習(xí)速率、結(jié)合擬牛頓法的算法�����、LM算法來實現(xiàn)�����。例如在計算時��,會需要對權(quán)值進行修正�,但是權(quán)值的修正可能會漏掉很小的值,這時就可以通過附加動量的方法來避免���,也就是說在修正函數(shù)時可添加上一個動量項���,這樣就可以完成最精確的修正。如果同時加上一個大的動量項的話,可以使得修正在一個合理的方向進行����。而自適應(yīng)學(xué)習(xí)率是對計算過程中學(xué)習(xí)率方面的修正�。通過對學(xué)習(xí)率的修正,可以使得計算的誤差變小���。
2.3移動互聯(lián)網(wǎng)接入的安全防護措施
目前��,隨著網(wǎng)絡(luò)信息科技的發(fā)展���,用戶入網(wǎng)的方式主要是Wi-Fi以及3G、4G網(wǎng)絡(luò)��,這些入網(wǎng)方式的優(yōu)點是速度更快��,能夠滿足用戶多層次的需求�,但是,這也增加了用戶遭受攻擊的風(fēng)險���,用戶在使用互聯(lián)網(wǎng)時��,會認為網(wǎng)站是安全可靠的����,因此,其防護等級就會比較低��,而且在遭受到攻擊之后還不會察覺�。所以,相關(guān)部門有必要加強移動互聯(lián)網(wǎng)的接入安全性����,提高認證等級,例如可以使用雙向認證的方式���,如果有一方?jīng)]有進行認證�����,則上網(wǎng)功能會受到影響����,同時要進行訪問授權(quán)����,未經(jīng)授權(quán)的終端設(shè)備不能接入互聯(lián)網(wǎng)。移動互聯(lián)網(wǎng)與終端通訊需采用加密機制����,在傳統(tǒng)的入侵檢測手段的基礎(chǔ)上����,需要進一步強化對移動網(wǎng)絡(luò)建立特別入侵攻擊行為的檢測機制�。總之�����,目前人們對移動互聯(lián)網(wǎng)有著非常大的依賴性���,用戶在上網(wǎng)的過程中,需要一個健康���、安全的環(huán)境��,相關(guān)單位要加強這方面的研究�����,提高移動互聯(lián)網(wǎng)的安全性��,加強認證��,提高防護等級�,為移動互聯(lián)網(wǎng)的健康快速發(fā)展提供保障,促進我國移動互聯(lián)網(wǎng)事業(yè)健康發(fā)展���。
參考文獻
[1]姜勇�����,劉徳剛�����,淋.移動互聯(lián)網(wǎng)信息安全威脅與漏洞分析[J].信息化建設(shè),2016(02):121-123.
篇8
在眾多參與方中�,銀行作為互聯(lián)網(wǎng)金融服務(wù)的核心提供者�����,如何鑒別參與方的真實身份�、保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃矫苄浴⒎乐剐畔⒋鄹?����、追溯用戶交易行為���、使用電子簽名作為可靠的法律憑證���,這些環(huán)環(huán)相扣的邏輯鏈是銀行必須要面對的安全挑戰(zhàn)����。這需要從多個維度建立一套立體的安全防護體系�����,包括管理制度安全�����、物理環(huán)境安全���、網(wǎng)絡(luò)安全、系統(tǒng)安全�、應(yīng)用安全等。在體系建設(shè)之初�����,就應(yīng)該對信息安全進行整體規(guī)劃����、通盤考慮����、分步實施��,不應(yīng)采用補丁堆疊的方式��。
在“互聯(lián)網(wǎng)+”時代��,銀行更需要對“客戶身份精準識別和認證”��、“保證交易的完整性和合法性”以及“基于大數(shù)據(jù)實現(xiàn)互聯(lián)網(wǎng)金融的精準風(fēng)控”三方面予以重點關(guān)注:
客戶身份精準識別和認證
人民銀行于2015年12月下發(fā)的《中國人民銀行關(guān)于改進個人銀行賬戶服務(wù)���,加強賬戶管理的通知》中再次強調(diào)要落實個人銀行賬戶實名制�����。
傳統(tǒng)金融業(yè)務(wù)在開戶時一般采用面對面身份認證的方式���,也就是我們常說的“面簽”,柜員會鑒別用戶證件的真?zhèn)?���、人證是否相符以及是否用戶本人真實意愿���。如何利用互聯(lián)網(wǎng)開展金融業(yè)務(wù),減少用戶面簽環(huán)節(jié)���,為客戶辦理業(yè)務(wù)提供便利性��,在線身份確認這一環(huán)節(jié)上面臨著較大的欺詐風(fēng)險�����。
要解決在線身份認證的難題���,就必須從多維度來認證用戶身份,包括通過基于已標識介質(zhì)的身份認證與基于大數(shù)據(jù)的屬性認證��。目前�,銀行業(yè)通常利用已有的實名認證的身份標識來幫助實現(xiàn)在線的身份認證����。
銀行業(yè)也可以結(jié)合大數(shù)據(jù)對參與方的屬性進行識別,便捷���、精準地實現(xiàn)客戶身份識別和認證�。銀行業(yè)也可以結(jié)合大數(shù)據(jù)應(yīng)用對參與方的屬性進行識別,比如��,定位信息����、設(shè)備指紋、行為規(guī)律等����。根據(jù)不同的應(yīng)用場景,建立一個分層次����、多維度的身份識別體系,便捷�、精準地實現(xiàn)客戶身份識別和認證。
保證交易的完整性和合法性
保障交易信息在互聯(lián)網(wǎng)上傳輸?shù)耐暾院秃戏ㄐ猿蔀榻鹑诮灰椎闹刂兄?��。傳統(tǒng)銀行業(yè)務(wù)通過在紙質(zhì)協(xié)議上的手寫簽名�����、簽章來保障業(yè)務(wù)的法律效力����。而互聯(lián)網(wǎng)金融業(yè)務(wù)的線上操作完全實現(xiàn)了無紙化,沒有了手寫簽名和簽章�,如何保障交易的法律效力呢?如何防止信息在傳輸?shù)倪^程中不被惡意篡改����?實踐證明,基于數(shù)字證書的電子簽名技術(shù)是解決這兩個問題的最好辦法�����。這里提到的數(shù)字證書指的是由合法的����、權(quán)威的、第三方認證授權(quán)機構(gòu)(CA機構(gòu))[如中國金融認證中心(CFCA)]簽發(fā)的證書�����,它是一種包含公鑰以及私鑰擁有者信息的電子文檔���。
在網(wǎng)絡(luò)環(huán)境中通過數(shù)字證書可以對傳輸?shù)男畔⑦M行加密和解密、簽名和簽驗�����,實現(xiàn)互聯(lián)網(wǎng)金融交易中的身份認證問題,并確保網(wǎng)上傳遞信息的機密性�����、完整性���、不可否認性��。使用數(shù)字證書����,可以完美地解決互聯(lián)網(wǎng)金融交易中的四個主要安全問題�����,并以《電子簽名法》和《電子認證服務(wù)管理辦法》為依據(jù)��,為互聯(lián)網(wǎng)金融交易參與方提供有效的法律保障���。
基于大數(shù)據(jù)實現(xiàn)互聯(lián)網(wǎng)金融的精準風(fēng)控
互聯(lián)網(wǎng)金融的核心在于風(fēng)險控制����。如果僅是將傳統(tǒng)金融服務(wù)模式和風(fēng)控模式簡單地搬到線上,那對機構(gòu)來說僅僅是邁開了互聯(lián)網(wǎng)金融的第一步��。近年來���,隨著中國互聯(lián)網(wǎng)金融的快速發(fā)展�,網(wǎng)絡(luò)加速下的資金流轉(zhuǎn)不但方便了我們的生活��,也推升了風(fēng)控漏洞的監(jiān)管成本�����。人工對信息整合能力的低效加劇了信息不對稱下的欺詐風(fēng)險�����,各類黑天鵝事件更是在行業(yè)內(nèi)不絕于耳���。應(yīng)用“大數(shù)據(jù)”實現(xiàn)征信服務(wù)����,建立一套快速���、智能����、精確的一體化信用評價解決方案���,已成為破解互聯(lián)網(wǎng)金融風(fēng)控難題的關(guān)鍵�����。
篇9
隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展����,手機的功能越來越強大��,上網(wǎng)�、買東西,支付����,一臺移動互聯(lián)網(wǎng)手機都可以完成。在2013年斯諾登曙光的美國棱鏡門�、9月上海出現(xiàn)首例偽機站案例導(dǎo)致GSM手機大面積通信中斷;2014年好萊塢艷照門事件等事件�,蘋果被曝留有手機側(cè)“后門”之后,手機的信息安全問題逐漸走進了公眾視線�����。而中國互聯(lián)網(wǎng)絡(luò)信息中心在2015年2月份的《第35次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中的幾組數(shù)據(jù),“2014年底�����,我國手機網(wǎng)民規(guī)模達5.57億���,網(wǎng)民中使用手機上網(wǎng)的人群占比高達85.8%�����,手機中病毒或木馬�����、賬號或密碼被盜在安全事件中的占比例已高達25.9%”����,充分說明針對移動互聯(lián)網(wǎng)手機的竊聽��、監(jiān)控���、病毒等事件層出不窮�����,移動互聯(lián)網(wǎng)手機已經(jīng)成為了竊聽�、監(jiān)控以及病毒入侵、傳播的重要入口��。相關(guān)報道顯示����,2014年被手機病毒感染的用戶超過1億戶���,因為手機信息泄露造成的直接經(jīng)濟損失已達到100億元��,移動互聯(lián)網(wǎng)手機的信息安全問題越來越引起政府�、企業(yè)和廣大消費者的高度關(guān)注���。
移動互聯(lián)網(wǎng)手機安全信息面臨著日益嚴重的安全威脅����,它既有傳統(tǒng)通信面臨的安全挑戰(zhàn)����,如通話內(nèi)容被竊聽��、短信內(nèi)容被截獲等典型威脅���;又有傳統(tǒng)互聯(lián)網(wǎng)面臨安全難題,如上網(wǎng)行為被監(jiān)控����、內(nèi)部網(wǎng)絡(luò)被攻破等安全威脅;同時又帶來了新的安全難題���,如實時性的個人資料(如個人的位置信息)會被盜取��。因此移動互聯(lián)網(wǎng)時代手機信息安全策略在兼顧解決傳統(tǒng)通信�、互聯(lián)網(wǎng)安全����,還要著力解決自身帶來新的信息安全。在研究了眾多學(xué)者研究成果的基礎(chǔ)上�����,筆者主張從通信網(wǎng)絡(luò)選擇策略��、手機終端選擇策略�����、手機使用安全策略、社會信息安全環(huán)境營造等四個緯度共同努力�����,才能緩解越來越烈的移動互聯(lián)網(wǎng)時代手機信息安全��。
1通信網(wǎng)絡(luò)選擇策略
隨著2015年2月27日FDD牌照的正式發(fā)放��,我國正式全面進入了4G時代����。通過認真分析研究�����,無論3G�����,還是4G��,各運營商的數(shù)據(jù)傳送安全方面不分仲伯����,但到目前為止��,國內(nèi)運營采取的策略均是語音和短信業(yè)務(wù)都是回落到2G網(wǎng)絡(luò)上傳送����。目前在國內(nèi)運營的2G網(wǎng)絡(luò)主要有CDMA~HGSM兩大陣營���,GSM技術(shù)由歐洲主導(dǎo)���,國內(nèi)運營商有中國移動、中國聯(lián)通�����;CDMA技術(shù)主要由美國主導(dǎo)��,國內(nèi)主要的運營商有中國電信��。CDMA和GSM兩大制式各有優(yōu)劣勢����,但由于兩者采用了不同信號編碼方式:GSM將頻分多址和時分多址結(jié)合起來使用,而CDMA卻采用了碼分多址方式,這個本質(zhì)上區(qū)別導(dǎo)致了兩者在保密性等方面有了巨大的差別�����。
CDMA在手機端使用帶擴頻技術(shù)的模數(shù)轉(zhuǎn)換(ADC)���,同一時間和頻率內(nèi)��,在空中傳輸信號頻率按指定類型編碼��,即用戶信號的區(qū)分只是所用碼型的不同�,因此只有頻率響應(yīng)編碼一致的接收機才能攔截信號��。頻率順序編碼高達4.4萬億次�,空中被攔截竊聽機率非常小����。在此基礎(chǔ)上,還可方便地進行二次加密���,有四層保密機制��,在一般的技術(shù)條件下��,攔截竊聽幾乎不可能����。
GSM采用的頻分多址和時分多址相結(jié)合的方式。頻分多址和時分多址簡單形象的說就是在不同的車道上開不同的車和在同一車道的不同時段內(nèi)開不同的車��?��?梢哉f明��,GSM以電路交換方式通信�����,容易捕捉信號進行竊聽�����,近年來層出不窮出現(xiàn)手機話單等失竊密事件大多來自GSM系統(tǒng)���。
基于以上分析,用戶要根據(jù)自己的語音�、短信等保密要求,選擇不同的通信技術(shù)��,從而選擇支持相應(yīng)通信網(wǎng)絡(luò)的手機的運營商。
2手機終端選擇策略
目前市場上銷售的手機主要有智能手機��、非智能手機兩大類機手機��。非智能手機基本上只能實現(xiàn)傳統(tǒng)通話��、短信等功能�,而智能手機除了可以實現(xiàn)傳統(tǒng)通話、短信等業(yè)務(wù)外���,還具備了絕大多數(shù)Pc機的功能�。同一通信制式的功能手機的安全方面表現(xiàn)差別不大�,重點討論智能手機選擇策略。智能手機可以按支撐通信網(wǎng)絡(luò)制式�、廠商、操作系統(tǒng)����、屏幕等列出許許多多分類����,但就安全方面來說,可以分為普通智能手機����、安全手機兩大類�����。
普通智能手機通俗形象的講����,就是在將手機傳統(tǒng)的語音通話和Pc機的主要功能集合在一起�,它像電腦一樣,有自己的操作系統(tǒng)�����、存儲系統(tǒng)���、中央處理器�����、輸入輸出系統(tǒng)等�,它也像非智能手機一樣有移動通信功能�����。就目前的國內(nèi)智能手機而言,主要有以下幾個特點:Android(安卓)和iOS是操作系統(tǒng)無可非議的主流�����,屏幕上智能手機主要的輸入輸出設(shè)備�����,手機處理芯片以高通�、聯(lián)發(fā)科技、三星為主���。普通智能手機往往關(guān)注手機自身的安全��,通常使用普通密碼�、增加殺毒軟件�、使用指紋識別系統(tǒng)以及增加防盜系統(tǒng)等等安全策略,不能很好的解決竊聽等問題��,更不能徹底的保證手機和機內(nèi)數(shù)據(jù)的安全����。
隨著手機失泄密事件不斷發(fā)生����,人們手機安全意識的不斷提升�,國產(chǎn)的安全手機成為了智能手機家族中的新寵��。安全手機在騷擾攔截�、黑白名單、殺毒����、廣告檢測、指紋應(yīng)用鎖�、權(quán)限管理、防吸費��、流量管理�����、通知管理��、自啟動管理等等智能通用安全基礎(chǔ)能力基礎(chǔ)上�,從開機認證、正常使用�、下載軟件、丟失�、借用等使用中的每個環(huán)節(jié)���,著力解決私密通信防竊聽、移動上網(wǎng)防木馬�����、隱私信息防APP��、信息隱藏防偷窺��、資料防拷貝等問題��,為用戶進行全方位的安全防護�����。下面對一些主要的安全策略進行分析��。
2.1開機認證策略
開機認證是手機安全的第一道防護���,普通的智能手機往往只提供口令保護功能��,安全手機基本上會提供如指紋等圖像識別技術(shù)�����,而且通常由專門的芯片模塊處理和保存信息�����,操作系統(tǒng)和外部應(yīng)用都無法訪問�����,從而確保芯片中的信息安全可靠���。
2.2防木馬策略
安全手機主要有兩大策略,一是內(nèi)置殺毒軟件�����,自動更新木馬病毒庫��。此方式易于實現(xiàn)且成本低���,但由于病毒庫可以更新��,木馬病毒也有機可乘�。二是獨立一個不能被木馬病毒入侵的系統(tǒng)���,徹底隔絕木馬�����。這就像是將不會中病毒的功能機和智能機集成在一起��,在安全模式下��,數(shù)據(jù)網(wǎng)絡(luò)被徹底禁用���,實現(xiàn)GPS定位等功能模塊被自動斷電關(guān)���,完全隔絕病毒,僅剩通話�����、短信功能���。這種方式最為可靠�����,但成本高和操作等原因���,普通用戶不易接受��。
2.3防竊聽策略
策略一是設(shè)置自動�����、手動斷麥克風(fēng)、定位等設(shè)備電源����,并關(guān)閉所有數(shù)據(jù)傳輸通道。策略二是語音加密���,這種技術(shù)依托于運營商的透傳網(wǎng)絡(luò)和加密系統(tǒng)��。語音加密主要由運營商密鑰管理中心���、透傳網(wǎng)絡(luò)和手機來完成,手機發(fā)起申請密鑰消息(終端與運營商的密鑰管理中心的密鑰協(xié)商采用了非對稱密碼技術(shù))�,密鑰管理中心完成鑒權(quán)、密鑰生成��、加密、簽名等認證工作后����,下發(fā)給手機密鑰通知消息,主被叫雙方上發(fā)透傳請求給網(wǎng)絡(luò)控制中心(得到雙方加密通話使用了對稱密碼技術(shù))���,加密通話建立完成�����。
2.4防拷貝策略
一是通過專業(yè)的加密軟件對資料設(shè)置密碼����;二是采用芯片模塊來實現(xiàn)加密���。前者可以通過用數(shù)據(jù)線與電腦相連等方式�,讀取出來數(shù)據(jù)����,并經(jīng)專業(yè)人士處理后可能會被拷貝;后者通過芯片加密����,信息無法讀取�����,即使強制拷貝出來也是一堆亂碼��,無法使用��,但缺點是會提高手機的制造成本����。
2.5隱私保護策略
一是遠程設(shè)備管理����,在云服務(wù)支持下��,當手機丟失后����,機主可以通過系統(tǒng)進行遠程備份、遠程鎖定����、遠程銷毀、遠程定位�����、遠程備份等操作,從而實現(xiàn)手機上數(shù)據(jù)備份保護和數(shù)據(jù)的安全���。二是雙鎖屏保護�,一臺手機上設(shè)置兩套鎖屏保護�����,分別控制進入機主模式和訪客模式�。在機主模式下可設(shè)置隱私聯(lián)系人,隱私相冊����,隱私應(yīng)用;切換至訪客模式后隱藏上述隱私信息��。
消費者可以根據(jù)以上手機各種安全策略���,結(jié)合自身的需求��、消費能力���、喜好等因素�����,選擇合適自己的手機����。
3手機使用安全策略
互聯(lián)網(wǎng)手機的安全跟個人的使用習(xí)慣也有很大的關(guān)系���,往往是我們的不正確��、不留意等的使用給了不法份子可乘之機�,就應(yīng)該引起注意����。日常手機使用安全策略介紹如下����。
堅持不使用來源不明的WIFI信號,當你在蹭別人wifi網(wǎng)的時侯���,不法份子可能正在竊取你的資料���、值入木馬……不要因為能省一點網(wǎng)費或方便一點����,而把自己的信息給別人�����,這個帳大家都會算���。
堅持不使用非主流應(yīng)用中心提供的第三方面公共APP軟件��,不要亂點網(wǎng)頁����、短信�����、郵箱等提供鏈接��,尤其要防范一些后綴為APK的鏈接�。
堅持為智能手機安裝正版的安全軟件,并堅持定期更新病毒����、定期殺毒��,不定期的使用在線聯(lián)網(wǎng)殺毒�。
堅持開機有密碼(或指紋認別等)�,不同的應(yīng)用軟件使用不同的賬號和密碼,并定期更換密碼�����,并保證密碼不是弱密碼���。
堅持像保管自己的財務(wù)一樣保管自己的手機��,不輕易借給別人���,發(fā)現(xiàn)異常扣費��、非正常短信等及時與提供服務(wù)的運營商聯(lián)系�����,發(fā)現(xiàn)重要的信息失竊等即時報警����。
4社會信息安全環(huán)境營造
時至今日,信息已成為推動人類社會進步重要的生產(chǎn)要素���。作為當前信息最為活躍的載體一一手機的信息安會環(huán)境��,理應(yīng)成為社會關(guān)注點���。
4.1道德引領(lǐng),立法打擊
一方面�,政府引導(dǎo),廣泛的開展網(wǎng)上道德宣傳���,提供網(wǎng)絡(luò)文明�,培養(yǎng)網(wǎng)民在虛擬的移動互聯(lián)網(wǎng)世界遵守現(xiàn)實生活中的倫理道德��,從自己做起保護網(wǎng)絡(luò)信息安全�����。另一方面�,加大、加快相關(guān)法律的出臺實施����,做到保護互聯(lián)網(wǎng)手機信息安全有法可依���。歐美及亞洲很多國家和地區(qū)出臺了一系列互聯(lián)網(wǎng)安全方面的法律法規(guī),已經(jīng)明確把互聯(lián)網(wǎng)手機的信息納入其中���,而我們在這方面的法律法規(guī)是滯后于移動互聯(lián)網(wǎng)的發(fā)展�����。據(jù)傳網(wǎng)絡(luò)安全法已列入2015年的立法計劃��,但必須加快進程����。
4.2利益共享���,責(zé)任共擔
篇10
(訊)移動互聯(lián)網(wǎng)發(fā)展將進入暴增期�����,信息安全和意識形態(tài)安全問題凸現(xiàn)�。社科文獻出版社日前在京《新媒體藍皮書:中國新媒體發(fā)展報告(2012)》這樣表示��。
藍皮書認為���,近幾年���,互聯(lián)網(wǎng)移動化發(fā)展態(tài)勢明顯,其發(fā)展速度已經(jīng)超過傳統(tǒng)互聯(lián)網(wǎng)��。由于手機用戶基數(shù)龐大����,隨著2G網(wǎng)絡(luò)在全球的普及和3G乃至4G的快速推進,移動互聯(lián)網(wǎng)發(fā)展將進入暴增期���。2011年全球3G的覆蓋面積達到45%��,全球159個經(jīng)濟體擁有3G服務(wù)��,3G活躍用戶已經(jīng)增長至12億�。從2008年-2011年��,世界手機寬帶用戶數(shù)量每年增長超過45%�。
藍皮書認為,未來幾年���,移動互聯(lián)網(wǎng)發(fā)展空間巨大�,新媒體的移動化發(fā)展,信息傳播門檻的大大降低���,意識形態(tài)安全和信息安全問題凸現(xiàn)�����。一方面����,全球公民的各種各樣的個人隱私幾乎全部被集聚于移動互聯(lián)網(wǎng)的服務(wù)器中���,隨時都有被泄露的危險���;另一方面,由于新媒體信息內(nèi)容并不分級�,不分男女老幼都將面對同樣的信息,尤其是移動傳播缺乏規(guī)制�����,泛濫的��、暴力以及低俗的不健康內(nèi)容將會對青少年產(chǎn)生極大危害。 (來源:新華網(wǎng):編選:)
篇11
2互聯(lián)網(wǎng)時代公安計算機信息安全存在的問題
2.1公安機關(guān)工作人員對于信息安全風(fēng)險問題不重視
很多公安機關(guān)基層的工作人員對于計算機信息安全存在的風(fēng)險問題不夠重視����,相關(guān)的部門領(lǐng)導(dǎo)受傳統(tǒng)的管理理念影響頗深��,缺乏一定的開拓精神�,在工作方式上面也是統(tǒng)一采用原始存在的手段和方法,甚至在具體的工作開展過程中����,態(tài)度比較被動,即使在發(fā)生問題后�,也沒有采用積極的措施進行補救。
2.2對于信息轉(zhuǎn)移媒介的管理不完善
所謂的信息轉(zhuǎn)移媒介主要指的是外部網(wǎng)絡(luò)和公安內(nèi)部網(wǎng)絡(luò)之間進行交流和傳播的一個橋梁���,公安機關(guān)的工作人員在相關(guān)的技術(shù)管理方面考慮的不夠周到�,導(dǎo)致了大量的信息在進行轉(zhuǎn)移的過程中�,容易出現(xiàn)問題,在出現(xiàn)問題之后����,由于公司中缺乏專業(yè)的技術(shù)支持,導(dǎo)致只能將有問題的移動介質(zhì)拿到外邊的修理店鋪進行維修����,這種維修方式不僅不夠安全����,也為很多黑客創(chuàng)造了機會��。
2.3對于維護信息安全的很總要性認識不到位
公安工作人員在利用互聯(lián)網(wǎng)開展工作時����,通常都是將公安機關(guān)的數(shù)據(jù)內(nèi)部網(wǎng)與外部服務(wù)器進行連接,這種運作方式比較單一����,但是在數(shù)據(jù)的相關(guān)安全問題管理方面存在漏洞,如果一旦有黑客潛入公安系統(tǒng)���,這種簡單的操作模式方便黑客對數(shù)據(jù)進行更改����,這對整體的數(shù)據(jù)傳送系統(tǒng)造成了危害�����,事后再對系統(tǒng)進行修復(fù)的話����,工程力度比較大��,非常耗費時間����,有些重要的數(shù)據(jù)一旦遺失將會無法追回�。
3互聯(lián)網(wǎng)時代公安計算機信息安全問題應(yīng)對的策略
3.1加強公安人員的信息管理安全培訓(xùn)力度
加大公安機關(guān)內(nèi)部工作人員對信息安全管理內(nèi)容的培訓(xùn)宣傳力度�,首先領(lǐng)導(dǎo)應(yīng)該發(fā)揮帶頭作用,制定良好的規(guī)章制度��,提高基層工作人員的安全信息管理意識和理念���,讓大多數(shù)民警認識到計算機安全問題發(fā)生的危害性�,并自覺提高技術(shù)能力����,積極的發(fā)現(xiàn)問題,將防范為主和修復(fù)為輔的方法貫徹到底��。
3.2加大公安信息安全網(wǎng)絡(luò)軟件的建設(shè)
首先加大有關(guān)部門和合作軟件公司之間的交流力度�,在滿足雙方需求的基礎(chǔ)上,增大彼此協(xié)調(diào)溝通的空間����,幫助軟件公司研究和開發(fā)出更加先進的硬件設(shè)備�����,確保信息轉(zhuǎn)移介質(zhì)的質(zhì)量�����,并能及時對危害物質(zhì)進行有效查殺�����,在一定程度上提高了軟件的利用效率�,保證信息安全有效���。
