时间:2022-07-23 02:57:03
导语:在信息安全论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
高校数字化的档案信息从传输、存储到显示利用都要通过计算机来实现,计算机和网络是生成和利用数字档案信息的基础和前提,离开计算机软硬件和网络的传输,数字化的档案信息就不可能读取和显示,因此,数字化档案信息对计算机及网络有很强的依赖性。然而众所周知,计算机及网络具有一定的不安全性,因为计算机网络的某些隐患,有时会使档案信息遭到毁灭性的破坏,这就产生了档案信息的安全问题。如何确保数字化档案信息的保密性、完整性、真实性和可利用性,给高校档案数字化工作带来了极大的挑战,对高校在档案数字化进程中采取先进技术和有效措施,保障高校档案信息安全提出了较高的要求。
二、数字化进程中高校档案信息安全现状
档案数字化给高校档案工作带来了新的生机,数字化档案信息的网络传输和查询在为社会提供广泛信息服务的同时,也给高校档案的信息安全带来了严峻挑战。例如:在数字化加工过程中,有的高校利用勤工助学学生或通过外包实现档案全文数字化,存在对学生培训不够和对数字化加工服务机构、加工场地、加工人员和加工成果等方面监管不到位,管理不规范的问题;有的高校档案管理人员没有经过正规的机要保密培训,在工作实践中,对已触“红线”的档案信息资料继续以常规方法挂网;有的政府信息安全部门对进行档案数字化工作的单位指导不到位等等。
1.高校档案数字化进程中没有完整的法律法规制度保护信息安全。
目前,各高校全文数字化工作主要依据《中华人民共和国档案法》、《高等学校档案管理办法》、《电子公文归档管理暂行办法》等法规。法规制度分散零乱,缺乏系统的规划和设计,对于高校档案信息安全保障法规不成体系,缺少专门的法规。
2.高校档案数字化没有统一技术规范标准。
目前,没有一套具体全面、系统规范、科学合理、可操作性强的档案数字化技术规范,来保证高校档案数字化工作能够安全、科学、规范、有序地进行。
3.高校档案数字化评估、防范少,档案信息安全缺乏预警能力。
高校档案信息安全保障体系的各部分建设仍处于相对独立的状态,常将档案信息安全保障与档案信息安全保护混为一谈。人员岗位职责不明确,业务操作不规范,有越岗代岗现象,有的操作人员在相关计算机上使用与档案数字化无关的软件,难免带来病毒侵袭等隐患,造成数字化系统瘫痪,使得安全保障阶段的能力仅仅停留在保护的水平上,不能主动防御和动态保护档案信息安全。
4.高校档案专业人才短缺,档案信息安全保障缺乏发展能力。
在档案信息开发和利用过程中,人始终参与其中,是档案信息安全的制造者,也是档案信息安全的护卫者。随着档案信息化的推进和档案事业的发展,对档案工作者的要求也越来越高。在档案信息安全保障体系建设中,专业的信息安全人才是不可或缺的部分。
三、数字化进程中高校档案信息安全策略
1.遵循法律制度是高校档案信息安全的基础。
法律制度是高校档案数字化工作生成、管理、存储、利用各环节的参与人员共同遵守的规章或准则的统称,包括政策、法律、法规、标准、内部规定等多种形式。连续、有效、健全的制度是科学应对档案数字化进程安全风险的保障。通过科学的制度建设,约束威胁数字档案安全的人为因素,调动各方面人员应对安全风险的积极性才是根本。在数字化进程中,要保证高校档案信息安全,必须加强法制管理,充分运用法律手段,规范档案管理人员对数字化档案信息的安全保障。把保障档案信息安全的各项工作纳入法制化、规范化的轨道,进而提高档案管理部门对档案信息安全工作的管理水平。目前,高校档案数字化进程中应遵循的相关法律法规包括:《中华人民共和国档案法》、《中华人民共和国档案法实施办法》、《高等学校档案管理办法》、《电子公文归档管理办法》等等。这就要求高校有关部门一方面要依据现有法律法规,加大执法力度,严格执法,切实起到保障高校数字化档案信息安全的作用,另一方面针对高校档案信息安全面临的复杂问题,上级有关部门要进一步完善高校档案信息安全的法律法规,尽早出台有效的专门的法律依据。同时,高校也要根据自身的实际情况,修订数字化档案信息安全管理办法。
2.制定档案信息安全标准是高校档案信息安全的前提。
档案信息安全标准是一种多学科、综合性、规范性的标准,其目的在于保证档案信息系统的安全运行,保证利用者和设备操作者的人身安全。面对数字化档案事业的不断发展,制定数字化档案信息安全标准对保证高校数字化档案信息安全与保密起着重要的作用。高校要根据国家相关标准与规范,结合学校实际情况,在充分调查研究的基础上,制定一套具体全面、系统规范、科学合理、可操作性强的档案信息安全标准,保证高校档案数字化工作科学、规范、有序地进行。档案信息安全标准包括以下几个方面的内容:一是网络基础标准,主要涉及基础通信工程建设、网络平台建设、网络互联互通技术等方面;二是应用标准,基于部分高校档案数字化信息也会面向公众,为社会提供必要的服务,所以要制定字符内部编码标准、数据处理格式标准、信息输出标准等;三是应用支撑标准,主要涉及信息交换平台、电子记录管理和数据库方面的标准,能给高校档案数字化提供各种支撑和服务;四是信息安全标准,主要涉及安全级别管理、身份认证、访问控制、加密算法和数字签名方面的标准;五是管理标准,主要涉及人员管理、制度管理和档案信息管理等方面的内容。
3.安全技术保障是高校数字化档案信息安全的核心。
数字化档案信息是高科技产物,因此也需要高科技技术来保障档案数字化信息服务、编研工作和档案信息安全工作。高校档案数字化进程中面临的技术风险多种多样,归纳起来主要有:软硬件配置不当、数字化技术不成熟等等,这些都会对信息安全构成隐患,但只要有防范意识,绝大部分风险都可以规避。目前,高校档案数字化进程中涉及到的信息安全技术主要有以下几种:一是防火墙技术。它是设置在被保护网络和外部网络之间的一道屏障,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏敝网络内部的信息、结构和运行状况,以此来实现网络的安全保护。二是数据加密技术。数据加密技术一般与防火墙技术配合使用,它是为提高信息系统及数字档案信息的安全性和保密性,防止机密信息被外部破析所采用的主要技术手段之一。三是反病毒技术。反病毒技术包括预防病毒、检测病毒和消除病毒三种技术。四是访问控制技术。在操作系统和数据库系统中规定了访问控制的权限,如规定文件建立者具有可读、写、修改或执行的权限。强制性访问控制引入了安全管理员的机制,增加了安全保护,可防止用户无意或有意地使用自主访问的权利。五是安全审计技术。通过对网络内发生的各种访问情况记录日志,并对日志进行统计分析,进而对资源使用情况进行事后分析,它也是发现和追踪事件的常用措施。
4.有效的安全管理是高校数字化档案信息安全的关键。
数字档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证高校数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理。数字档案信息安全管理活动包括建立机构、制定计划、开展培训、落实措施、检查效果和实施改进等过程。学校档案部门必须成立一个安全管理工作组,负责实施和监控整个档案数字化信息安全管理活动,对档案数字化信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性进行评估;不定期对人员进行安全策略及安全技术的培训,有效地遏制来自外部和内部的攻击,增强安全防护能力和隐患发现能力,确保高校数字档案信息资源内容和信息载体的安全。
5.高素质的人才是高校数字化档案信息安全的保证。
人员管理是高校数字化档案信息安全工作中最关键的部分,也是最难的部分。应对各个时期的安全风险,有效管理参与人员应建立在以下两个假设之上:一是人人都可能带来不确定的安全风险因素,人人都肩负着保证信息安全的职责。在对外部非授权用户制定防护措施时,也要加强对内部人员的管理、培训、监督和审计工作。二是参与人员分工不同,每类人员参与档案信息安全的工作分工也不同。在保证档案信息安全工作计划中,应明确主管领导、技术人员、管理人员、数字档案形成者和利用者的权利、责任和义务。
四、结语
云平台是以“云计算”技术为基础而构建的网络服务平台,但是由于当前“云计算”技术还存在一些技术漏洞,所以为云平台的数据信息安全带来了一定的安全隐患。
1.数据安全问题
数据安全性的问题一直是计算机信息管理中担忧的问题,云平台信息的管理亦是如此。由于“云计算”技术为用户提供存储云,让用户通过互联网络将自己本地的数据存放到“云端”来节约本地存储资源的开销,从而使得存储云内集中了大量的用户信息等一些重要的数据资源,极易成为黑客攻击的目标。近些年来,“云攻击”时间频频引起我们的关注,例如黑客利用多家WordPress网站进行的DDos放大攻击事件、新浪微博蠕虫攻击时间等都是非常严重的“云攻击”时间。此外,当用户将个人数据放到存储云中后,用户并不清楚自己存储数据的具置,而数据存放后访问的优先权也就从用户转变成了存储服务的供应商,一定程度上降低了数据的机密性。
2.虚拟化技术引起的安全隐患
虚拟化技术是“云计算”技术的关键技术,是为了充分利用系统的硬件资源来构建的虚拟化的网络基础设施服务的技术。由于虚拟化技术是完全依赖于系统硬件的,当系统的某个硬件出现问题后,整个虚拟化机器都会面临崩溃的威胁。同时,虚拟化技术实现的计算机资源的共享会部署在同一台物理服务器上,所以不同虚拟机之间的数据隔离是非常有必要的,如果非法用户非法获取了虚拟机的权限,可能会通过一台虚拟机来访问其他的虚拟机数据,从而造成数据泄露。此外,虚拟化技术的应用使得终端用户存放的数据分散,具有无边界性,所以对于存储的数据无法提供明确的安全边界和保护措施,增加了数据安全保障的难度。
3.系统可靠性
云平台上的用户数据的存储、处理、网络传输与服务的计算机系统关系非常密切,如果该计算机系统出现了问题,直接导致云平台上数据的丢失,直接影响到了用户的利益。此外,云平台的信息安全问题对于供应商的信誉问题也是非常重要,如果供应商由于经济或者其他原因终端服务,那么用户的数据也会面临丢失的威胁。
二、云平台信息安全保护策略
“云计算”是当前IT服务界一场全新的技术革命,为网络时代带来了巨大的商机,在各个领域中已经得到广泛的应用,如何搭建安全稳定的云平台来保证平台内部数据信息的安全也是巨大商机下提出的巨大挑战。
1.云平台构建
在云平台的构建初期,就要充分考虑到平台内的信息安全保护策略。由于当前网络安全最大威胁来自于黑客攻击以及破坏计算机功能和信息数据的计算机病毒,所以在构建云平台时,根据以往的反黑客和反病毒攻击的技术手段和经验,来构建安全的云平台,进而维护期安全运转。由于云平台的安全问题要比传统的信息安全问题复杂得多,运行的系统性能要求更大,所以构建安全的云平台,要以强大的资金和技术的投入作为保障来是云平台建设顺利进行。此外,要增加云平台的系统开放性,以吸引更多的合作伙伴加入,从而增加云安全的覆盖能力,保证云平台的安全运行。
2.云平台的数据保护
除了云平台提供的SaaS(软件即服务)服务之外,其他的云计算供应商对于隐私数据的保护力度不够,如果直接以数据明文的形式存储在平台内,则会是存储数据的机密性和完整性受到威胁,所以供应商应该采用数据加密技术对敏感数据进行加密,从而增加存储数据的安全系数,在一定程度上又可以进行数据隔离。此外,云平台供应商应该为用户设置公共云和私有云,并且加强防火墙的设置安装,而云平台用户则可以根据对企业的数据和应用服务进行风险评估分析,并根据分析结果将其放置在公共云还是私有云。比如对于企业的核心业务的关键任务,则必行将其放置在私有云内并通过安装防火墙来增加其安全系数。加强访问云平台用户的安全认证也是对数据进行保护的一项措施,对于云平台的用户安全认证,可以采用强制用户认证和单点用户认证结合的方式,从而用户只需登录一次即可进入整个web应用,从而避免云平台用户的密码泄露。
3.云平台的网络安全
云服务的供应商在增加数据保护的同时,也要对加强云平台网络的安全监控,指定完善的监控策略,使用过滤器对离开云平台网络的数据进行监视,一旦发现异常即可采取必要措施来拦截传输数据,从而阻止隐私数据的外泄。对于云平台数据的传输,也需要采用数据加密技术来加密传输数据、VPN技术构建虚拟信道、身份认证技术加强数据传输安全,从而确保云平台数据出网后的信息安全。虽然“云计算”技术已经发展到了应用阶段,但是对于云平台的监管仍相对落后,而且云计算相关的核心技术国内仍未掌握,所以我国应该建立健全的法律法规,支持云计算核心技术的自主研发,设计符合我国国情的云计算业务解决方案,加快建设云平台安全评估和监管体系,从而为云平台的信息安全保护提供强有力的后盾。
三、总结
油田企业的数据信息资源,对油田企业非常重要,一旦受到破坏,将会给油田企业带来巨大的经济损失。所以在油田网络信息安全体系建设的过程中,需要将其安全性提升,加强外部安全建设。在预防为主的基础上进行,对外部因素、病毒因素的影响,只有将系统的安全性提升,才可以杜绝此类影响的发生。在油田网络信息安全体系建设中,建立防火墙,可以将体系的安全性提升,在网络和油田网络信息安全体系之间建立一个安全网关,保护体系不受非法入侵者侵入和攻击。防火墙的建设,将体系的安全性、网络的安全性提升,有效地阻止了体系的非法访问,不允许外网访问内网。在建设网络防火墙的基础,增加入侵检测设置,对系统入侵进行控制。入侵检测技术是防火墙的一种互补,可以提升油田网络信息安全体系中信息管理的性能,保证信息的完整性,减少网络威胁。
2加强内部建设
在加强外部安全建设之后,油田网络安全信息体系的建设,想要保证信息管理的安全性,保证信息的完整性,还需要加强系统的内部建设。从当前油田网络信息安全体系建设现状进行分析,加强内部建设,可以从设置系统访问权限、对网络病毒进行防治、加强网络信息安全体系的管理等方面入手。保证油田网络信息安全体系以及信息安全的有效手段之一,就是设置系统的访问权限,采用虚拟网络技术对油田企业的数据信息安全进行保护。其次是加强病毒防治技术的应用,提高网络信息体系的安全。病毒在网络中的传播途径和传播方法有多种,为了提升油田网络信息安全体系的安全,提升信息管理质量,需要坚持层层设防、集中控制、以防为主防治结合的原则,进行系统安全性的建设。最后加强系统的安全管理,如果网络安全管理缺乏,系统在工作的过程中,也会对数据信息的安全产生一定的威胁,为此需要在油田网络信息安全体系运用中,加强网络安全管理,提高系统的病毒防治有效性。
3结语
1.1物联网应用者隐私安全问题
日常生活中,物联网被应用到所有领域,所有的物品都可能随时随地的连接到网络上,而物品的拥有者不一定能觉察,他将不受控制地被定位、追踪,不可避免地带来许多个人隐私泄露问题,这无疑是对个人隐私的一种侵犯。这不只是涉及到网络技术问题,严重的还会上升到法律问题,从而产生纠纷等等一系列问题。所以,在现今的物联网时代,怎样预防财产信息、个人信息不被不法分子盗用,维护个人信息的安全性和隐私性,成为现今物联网发展道路上需要扫清的重大障碍。
1.2物联网感知节点的本地安全
物联网系统感知节点相对简单存在一定的安全问题。欠缺有效的监测管控手段以及相关设施,同时节点总量较为复杂庞大,传送的消息和信息也没有固定的标准,使得它们无法具备复杂的安全保护能力。但物联网技术可以代替人来实现一些繁琐、机械和危险的工作,因此物联网为了减少人力消耗和危险性大多数用来做一些远程控制,机器设备基本上会安置在无人监管的环境中。这样便可令进攻者、入侵者快速地找到并影响该类设施、设备,从而进一步对其造成破坏影响,高手还可以利用本地操作进行相关软硬件系统设施的变换,势必将造成很严重的后果。
1.3射频识别技术(RFID)的安全问题
射频识别技术(RFID)是一种非接触式的自动识别技术,在物联网应用中起到非常重要的作用,由于射频识别技术(RFID)标识缺乏自身保证安全的能力,这种非接触式的无线通信存在非常严重的安全问题,致使攻击者或者入侵者可以通过发射干扰信号使读写器无法接收正常的标签数据,造成通信拒绝服务。同时射频识别技术(RFID)读写器要与主机通信,那么射频识别技术(RFID)本身也可以成为攻击的对象。因此,射频识别技术(RFID)本身存在很多安全问题,影响了物联网的应用。
2物联网信息安全的防范措施
根据物联网的组成及其特点,结合物联网信息安全隐患的具体情况,提出以下几个方面加强物联网信息安全防范的措施:
(1)完善的感知层操作规章制度。首先要保证物联网具备一定的自我修复功能,即便物联网的感知层或者设备受到不法攻击,物联网可以通过自身的修复系统对其进行修复,以降低由此造成的损失,同时还需要在节点的建设过程中适当的增加备用节点的数量。而且还需要对物联网的管理权限进行合理的设置,避免非专业人员对物联网的关键环节进行更改,同时还需要严格加强物联网管理人员的身份认证制度。
(2)物联网的安全防护。物联网自身的安全性能决定着物联网的安全防护能力,因此需要从物联网的协议、设备等方面予以加强。要从物联网信息传输的协议层出发提高其安全协议的级别,以更好的增强物联网的自我保护能力。同时还要提高物联网传感器节点相关硬件设备的安全协议级别,以降低物联网遭受攻击的机率。
(3)物联网信息安全的制度建设。物联网的大规模普及亟需相关配套制度的建设,因此相关的政府和管理需要尽快出台和完善相关的法律法规,对破坏物联网信息安全的行为做出具体的惩罚措施,以更好的规范物联网的发展,降低物联网发生破坏的机率,保障物联网更好的发展。
3结语
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
科技的进步和生活的个性化需求,使逐渐成为继报刊、广播、电视、互联网后的“第五媒体”。据工信部统计,至2008年7月底,我国用户数超过6亿。已然成为个人生活中不可或缺的必需品。人们注意到,随着以为终端的数据交易和支付、银行转账、炒股等关键业务的兴起,个人隐私受到威胁侵害的指数越高。因此,保护信息安全刻不容缓。
随着智能的普及,开放的平台出现了类似PC平台的病毒;涉及的流氓、间谍、病毒软件层出不穷;各类垃圾短信、骚扰电话、欺诈信息也变得无孔不入。然而广大的用户还是忽视了安全防范措施。据F-Secure公司的调查显示,四分之三以上的用户知道,不安装安全软件的情况下恶意软件能通过蓝牙感染移动设备。28%的受访者说,他们使用自己的移动设备接入互联网。86%的人承认没有任何移动安全的措施。大多数用户都知道用连接互联网存在着安全风险:只有21%的人把蓝牙连接当作是安全的,仅有15%的人有着WiFi连接是安全的印象。
面对移动安全领域中的诸多问题,企业及个人消费者呼吁建立安全便捷的移动服务消费环境。移动安全领域的发展,需要整个产业链的通力合作,平台提供商、终端厂商、sP服务商等都应从不同方面认识安全服务在移动应用中的重要性及必要性。信息安全是一个复杂的系统工程,需要全社会的关注。笔者认为,信息安全认证功能措施,有以下三个方面值得各方的特别关注:
1安全软件:未来一个新兴的软件制造业
就像电脑一样,目前威胁安全的一大问题是木马和病毒。病毒造成的损害不外乎以下几种:被感染后会自动拨打声讯台、发送信息、订购增值业务等,造成话费损失;木马软件可以控制用户的,调用信息、监听通话、自动联网等,造成隐私泄露;病毒会导致硬件或SIM卡损坏,致使无法使用。与PC反病毒一样,反病毒软件可以做到实时拦截、提示不安全信息、对已确认的病毒进行杀除,并恢复感染文件等。
影响安全的第二大因素是一直以来影响人们生活的隐私泄露问题。比如通话、偷窥短信以及在被盗或丢失之后重要文件的流失等。针对隐私泄露,业界目前普遍采用加密的方法来解决。网秦的“通信管家”可以对短信和通话记录进行加密,以保障隐私内容不会轻易被他人偷窥。
影响安全的第三大因素是目前引起社会各界广泛讨论的垃圾短信和骚扰电话问题。网秦的“通信管家”可通过显示号码所属地,让用户选择接听还是拒绝。一旦发现了骚扰电话的号码,可以设置为永久拒接。
虽然安全软件有种种优点,但生产厂商正经历着艰苦、迷茫的阶段。首先,型号繁多、操作系统多样。这不仅是黑客们的技术难题,也是安全软件研发面临的最大问题。其次,缺乏成熟的盈利模式是制约安全软件厂商发展的最大桎梏。如何打造一个真正安全、干净的使用环境,不仅仅是提供安全软件产品的厂商的责任,更需要电信运营商、制造商和安全软件厂商等整个产业链的密切合作。
2指纹识别技术:移动电子商务的“安全带”
移动通信技术的进步赋予了太多的功能:打电话、上网,甚至缴纳水电煤气费等。随着移动电子商务的日益流行,添加认证功能已是必然的趋势,因为仅仅依靠自身所带的密码和SIM卡锁无法不能满足人们对安全性的要求。试想,如果利用“呔额”支付成为现实,那么就必须将你的个人资料和财务资料保存在中,一旦丢失或被盗,后果将十分严重。这也是目前支付无法跨越“大额”门槛的主要原因。
指纹识别在保证安全性方面具有独特的优势,运用于,能提升的安全性。首先,指纹是独一无二的,排除了利用相同指纹来破解指纹密码的可能性。其次,一般说来指纹不会随着年龄的增长而变化。因此,相比较声音加密来说,指纹识别具有更加稳定的优点。再次,指纹样本便于获取。易于开发识别系统。目前指纹识别技术已比较成熟,识别系统中完成指纹采样功能的硬件部分也较易实现,而且现在已有标准的指纹样本库,方便了识别系统的软件开发。另外,一个人的十指纹路皆不相同,这样就可以方便地利用多个指纹构成多重口令,提高系统的安全性。
当然具有指纹识别的要能够被普通用户所接受,还有很长的一段路要走。首先是指纹识别的准确性问题。厂商制造具有指纹识别功能的,主要目的在于增强的安全性,在保证用户隐私的同时真正让成为日常生活中的“电子钱包”。因此,指纹识别的准确性与否是决定这项技术能被用户接受的前提。在进行识别时,一定不能出现无法识别的问题。其次尽管每个人的指纹都不一样,指纹也不会随年龄的变化,但厂家是否考虑到一些意外问题的出现,如果手指受伤无法识别,如何进行支付呢?此时有没有替代的功能?
3虹膜识别:确保在线交易以及供应链活动
尽管使用密码在一定程度上也能保证使用的安全,但随着新应用的不断出现,一些问题也随之出现:支付能够实现买主和卖主的不见面交易。但是在这个交易过程中,潜在的风险也越来越明显,我们用什么来保证远在千里之外的买家/卖家不会是一条坐在电脑前的狗?为了实现较高的安全性,使用复杂的密码是流行的选择,而如果我们埘不同的设备使用相同的密码,那在得到了方便性的同时也增加了安全I生的隐患。所以发展利用人的生理特征,是目前最为方便与安全的识别系统。
虹膜识别技术具有以下几个特点:①虹膜图像通过非接触方式获取,可避免疾病传播容易被人接受;②虹膜纹理结构不易被伪造;③虹膜纹理结构复杂。特征数多,因此可靠性非常高。虹膜识别是与眼睛有关的生物识别中对人产生较少干扰的技术。另外它有能力实现更高的模板匹配性能。在所有生物识别技术中,虹膜识别是当前最为方便和精确的一种。
生物认证作为20世纪末期才开始蓬勃发展的高新技术,必将从根本上改变人类的生活方式。虹膜、指纹、DNA这些人体本身的特点,将逐步取代现有的密码、钥匙成为人们习惯的生活方式,最大限度保证个人资料的安全。虹膜识别技术由于其在采集、精确度等方面独特的优势,必然会成为末来社会的主流生物认证技术。
关键词:电子商务信息安全安全技术
伴随经济的迅猛发展,电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势,必须保证电子商务中信息交流的安全。
一、电子商务的信息安全问题
电子商务信息安全问题主要有:
1.信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。
二、信息安全要求
电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:
1.信息保密性:维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中,要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性:贸易各方信息的完整性是电子商务应用的基础,影响到交易和经营策略。要保证网络上传输的信息不被篡改,预防对信息随意生成、修改和删除,防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性:保证信息有效性是开展电子商务前提,关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防,以保证贸易数据在确定时刻和地点有效。4.信息可靠性:确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁,通过控制与预防确保系统安全可靠。
三、信息安全技术
1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是“凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。
防火墙技术主要有:(1)包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2)服务技术:提供应用层服务控制,起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术:在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术:把过滤和服务两种方法结合形成新防火墙,所用主机称为堡垒主机,提供服务。(5)审计技术:通过对网络上发生的访问进程记录和产生日志,对日志统计分析,对资源使用情况分析,对异常现象跟踪监视。(6)路由器加密技术:加密路由器对通过路由器的信息流加密和压缩,再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全,确认交易双方的真实身份,电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有:(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开;得到公开密钥的贸易方乙对信息加密后再发给贸易方甲:贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方,保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹,有固定长度且不同明文摘要成密文结果不同,而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点:一是因为自己签名难以否认,从而确认文件已签署;二是因为签名不易仿冒,从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容,数字时间戳服务能提供电子文件发表时间的安全保护。
3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份,验证信息完整性,确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识,用电子手段证实用户身份及对网络资源的访问权限,可控制被查看的数据库,提高总体保密性。交易支付过程中,参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放,都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构,受理数字证书的申请、签发及对数字证书管理。
4.防病毒技术。(1)预防病毒技术,通过自身常驻系统内存,优先获取系统控制权,监视系统中是否有病毒,阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术,通过对计算机病毒特征进行判断的侦测技术,如自身校验、关键字、文件长度变化。(3)消除病毒技术,通过对计算机病毒分析,开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度,可以清除处于潜伏期的病毒,防止病毒突然爆发,使计算机始终处于良好工作状态。
四、结语
信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术,提高电子商务系统的安全性和可靠性。但电子商务的安全运行,仅从技术角度防范远远不够,还必须完善电子商务立法,以规范存在的各类问题,引导和促进我国电子商务快速健康发展。
参考文献:
[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006
随着网络的建设,信息安全的不稳定因素主要体现在以下各方面:
1.客户端数量不断增多,意味着使用人员的增多。但实际情况中,许多人员并不重视自己所使用设备的安全性与可靠性,盲目的认为只要客户端可以使用,数据存在就可以,殊不知,由于不重视将造成了网络信息的严重安全隐患。
2.信息安全制度的不规范或实施不力,信息安全制度属于信息管理制度,目前主要由信息部门进行制定同时推广实施,但由于信息部门工作任务重,同时还要承担信息技术研究、开发工作,无法兼顾实施,即使制度进行了推广,但由于部门的局限性也无法得到很好的响应,就造成了安全制度的执行不力,也给网络信息安全带来严重的安全隐患。
3.客户端操作系统漏洞升级不及时及安全应用软件安装不到位,目前一般的客户端使用的均为微软的操作系统,安全应用软件为国产软件。由于军工企业一般要求内外网完全物理隔离,所以,当微软公司成批量推出操作系统漏洞补丁时,如果信息部门不及时从互联网上下载补丁同时下发,将造成客户端计算机的漏洞大量存在,形成极大的安全隐患,同时,客户端如果不按要求安装安全应用软件,也会给网络造成安全隐患。
4.企业中便携式设备管理松散,一般的军工企业中都存在一部分便携式设备,包括便携式计算机、存储设备等,虽然针对这部分设备一般企业都会制定严格的管理制度,包括使用、归还、数据拷贝等都有详细的要求描述,但由于各方面的原因,往往存在不按制度办理的情况,造成信息安全的人为隐患。
二、解决安全隐患的有效途径
以上四个问题是军工企业信息安全中常见的安全隐患问题,如何解决,将是以下讨论的重点:
1.做到制度从上到下一致执行,同时制度发行要讲究方式方法,如组织全员学习制度规范,同时真正发挥企业领导小组的职能作用;信息安全的学习与意识培养,也是重要的组成部分,只有全员信息安全意识提升,才能时所有的信息安全制度深入到各方面的工作中,同时发挥信息中心的监管作用,对网络客户端制定信息安全制度制定的定期检查工作,只有定期或不定期的排查、宣灌,才能真正的将信息安全制度推行到企业的每一个使用者,得到真正的执行。
2.由于军工企业的特殊性,在企业的园区网络中会存在大量的敏感信息,所以客户端作为使用终端,是信息流通的一个重要环节,控制敏感信息的流向与操作权限将是企业信息安全的重要组成部分。加强企业客户端的管理,安装对客户端使用行为进行管控的安全产品,制定不同客户端的响应管控安全策略,同时保证策略下发到位是企业保证信息安全的一个重要手段。安全管理人员也应重视日常客户端监控监控行为的日志分析工作,确保网络客户端的信息安全。
3.安装漏洞扫描系统,对网络进行统一的漏洞扫描,并及时安装补丁下发系统(wsus),确保网络中所有设备操作系统安全性与可靠性,防止应漏洞引起的安全问题。同时,及时对网络防病毒软件的病毒库更新升级,网络管理员在病毒库更新后要下发到全网设备,对不及时升级的设备要执行强制升级,保证网络的纯净,防止因后门或木马病毒的扩散造成的信息安全隐患。
4.加强企业中便携式设备的管理,对可以安装安全软件的设备一定要安装,同时,要对所有便携式设备统一管理,定期检查。因在便携式设备中安装文档加密软件,防止设备中的敏感信息泄漏。
1.1实操演练出效果
军队院校开展保密教育不能仅仅停留在案例警示教育和保密法规宣贯上,应该加强先进的教学演示与模拟训练系统的建设,通过大量生动、具体的保密演示教学,配合原理讲解与防范措施的实验操作,才能让受训学员深刻认识到技术安全防范的重要性,切实提高自觉保密的意识与技能。装备学院率先在全军建立了面向不同种类对象的、完善配套的信息安全保密教学演示环境和演示平台,并充分发挥演示环境的作用,结合部队工作实际,设计了针对性很强的保密演示实验项目,融合到各个专题教学模块中,提高了信息安全保密教学的生动性、实践性。
1.2改革创新保质量
信息安全保密教研组在教学理念、教学内容和教学方法上大胆创新,重点开展了以下教学改革:
一是搭建层次化的教学体系,完善学员知识结构。在信息安全保密素养培训体系中,所包含课程均按照基础层、应用层的层次化结构设置教学内容。基础层培训学员掌握基础的理论知识,辅助学员夯实信息安全保密的理论基础;应用层则向学员提供信息安全保密素养,培养相关的实践和操作模块,通过具体应用场景的操作实践、案例研讨和综合演练,促进学员对所学理论知识的消化吸收和升华,提升学员的具体实操技能和做好保密管理工作的能力素质。
二是广泛开展研讨式、演练式教学,加强学员自主学习能力。在培训教学过程中,专题教学以学员工作岗位及实际生活中所面临的实际问题而展开,以问题导引激发学员主动思考,自主探求解决问题的方法和技能,并设置研讨交流环节,引导学员展开交流,共享研究成果。综合演练以军事案例为牵引,以专题教学内容为理论和方法铺垫,以学员角色分配和扮演为主要方式,模拟实际保密管理工作的真实场景开展,通过这种情景扮演式教学,确保学员在课堂上的主体地位,教员担负导演角色引导学员展开思考与讨论,既可以激发学员学习的兴趣,也可以促使学员自主提高素质和技能的提高。
三是理论教学结合演示实践,全面提升教学效果。为辅助信息安全保密理论教学,提升教学的直观性和形象性,在教学过程中开设演示实践环节,针对军事办公环境、载体、网络信息安全等热点安全保密问题,进行实物展示和操作演示,使学员亲身体验各种泄密途径和安全防范技术,增强学员对信息安全保密技术的形象性和直观性理解。通过实物演示讲解、现场操作,场景互动与研讨结合,可以有效提升专题教学的效果。这些教学改革措施把握了任职教育的教学特点与规律,极大地提高了任职教育的教学质量,有利于在全军院校推广应用。
2信息安全保密教学存在的不足
针对当前信息安全保密面临的严峻形势与任务,结合这几年从部队调研送学反馈回来的实际情况,装备学院在信息安全保密教学与科研方面还存在以下几点不足:一是信息安全保密的理论基础不足。现阶段缺乏信息安全保密的理论基础研究,对全寿命、全系统安全保密的特点与规律,武器装备试验保密管理机制与方法,信息条件下的保密管理信息化等基础性问题研究不深入,造成信息条件下的保密管理缺乏科学指导。二是开展实践性保密教学的条件还有待完善。当前各种高技术窃密手段发展迅速,信息安全保密教学必须更加具有针对性,保密教学的形式与方法亟待创新。加强实践性教学有利于提高保密教学的质量,促进知识传授与技能培养的融合。然而,现阶段的保密教学条件还无法完全满足这一要求。三是服务部队、服务机关的职能需要加强。院校的优势在于学科基础扎实,人才队伍有保障,但是当前还存在着与部队、机关联系不紧密,没有充分发挥决策支持和技术服务的问题。必须进一步加强调查研究、加强送学服务。
3进一步加强信息安全保密教学的措施
3.1进一步加强教学科研环境与条件的建设
按照装备学院信息安全保密建设工作规划,下一步将继续改进与完善保密教学的基础条件,提高保密教育训练的信息化水平和培训能力,在物理场所、载体、通信、计算机和网络保密演示项目建设的基础上,重点加强便携式保密教学演示系统、保密工作计算机考试系统、保密管理综合评估系统、保密教学综合演练系统、信息安全保密综合检查系统的建设,为开展基于网络的远程保密教育,提高保密教学的模拟训练信息化水平,改进保密教学的方式、方法,增强教学的岗位指向性、互动参与性,促进学员保密知识向实践技能的转化提供更加有力的技术条件。
3.2进一步改进与创新教学方法与组织管理模式
为提高任职教育的教学能力,要把握好“岗位指向、能力为重”和“以问题为中心,以学员为主导”的教改思路,在教学方法上,充分运用符合任职教育特点的现地教学、实践教学、案例分析与研讨和综合演练等教学方法;在组织管理方面,充分利用现代化的多媒体教学环境和演示实验环境,尝试网络直播教学,开设网络课程,开展基于网络的远程继续教育。
3.3进一步加强保密科研工作及成果的实践转化
购物车(0)