公司网站信息安全范文
时间:2023-10-09 17:30:49
导语:如何才能写好一篇公司网站信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
根据关于对政府信息系统安全检查的通知要求,我局认真进行了检查梳理。现我局共有信息系统总数5个,面向社会公众提供服务的信息系统数2个,委托社会第三方进行日常运维管理的信息系统数1个,经过安
全测评(含风险评估、等级评测),5个系统数均为安全。在系统运行中,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。与上一年度相比信息安全工作取得的好的长足的进展,整体信息安全状况良好。
二、2011年信息安全主要工作情况
(一)信息安全组织管理。我局成立了以吕艳副局长为组长,各个科室负责人为成员的信息安全工作领导小组,全面负责信息安全工作。确定了局办公室为信息安全管理工作的具体承办机构,办公室主任为具体负责人,并指定公文收发员为我局兼职信息安全员。
(二)日常信息安全管理。在人员管理上,认真落实信息安全工作领导小组、安全管理工作的具体承办机构及信息安全员的职责,制定了较为完善的检查信息安全和保密责任制建立并认真严格地落实情况,对于重要电脑和设备,严禁人员在离岗离职信息的情况打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。在资产管理上,办公软件、应用软件等安装与使用情况严格按规定办理,计算机及相关设备维修维护管理、存储设备报废销毁管理按保密相关要求执行,杜绝随意马虎。在运维管理上。信息系统运营和使用按相关权限进行管理、日常运维操作由具体负责人进行操作、定期进行安全日志备份和信息安全分析。委托了昆明众彩科贸有限公司文山分公司运行管理的我局门户网站,在与昆明众彩科贸有限公司文山分公司签订服务协议的同时,明确了相关的安全保密事项和协议。
(三)信息安全防护管理。在办公计算机和移动存储设备安全防护上。计算机采取集中安全管理措施,设置每台计算机账号口令并随时更新。计算机接入互联网实行了实名接入、对计算机
ip和mac地址进行绑定、指定固定上网ip地址,并安装病毒防护软件,定期进行漏洞扫描、病毒木马检测。杜绝在非和信息系统间混用了计算机和移动存储设备,禁止使用了非计算机处理信息等。在门户网站安全防护上,落实网站信息审批制度,实行了边界防护、抗拒绝服务攻击、网页防篡改等安全防护设备的部署,定期进行漏洞扫描、木马检测。
(四)信息安全应急管理。根据《云南省网络与信息安全事件应急预案》精神,制定了本部门信息安全应急预案,认真组织开展了相应的宣贯培训。按照应急预案要求明确了昆明众彩科贸有限公司文山分公司为我局的应急技术支援队伍。根据实际需要对重要数据和信息系统进行了灾难备份。
(五)信息安全教育培训。我局领导干部和科室工作人员全员参加信息安全教育培训、掌握信息安全常识和基本技能。对于信息安全管理和技术人员也定期参加信息安全专业培训
三、信息安全检查等方面开展的工作情况
我局经常、制度性地开展信息安全检查,重点是办公计算机和移动存储设备安全防护以及门户网站安全防护。经检查,无失泄密和受到过病毒木马等恶意代码感染,本部门门户网站未受攻击和篡改(含内嵌恶意代码)。我局将严格按照信息安全的相关要求的制度,在下一步的工作中,认真做好信息安全工作
篇2
年12月19日,民间组织COG(信息安全专业委员会)创始人龚蔚(goodwell)了一条微博称,互联网信任危机一触即发。
这条微博似乎成了中国互联网2011年度的预言――48小时后,中国互联网泄密事件发生。
自12月21日开始,在不到10天的时间中,由技术网站CSDN、知名论坛天涯开始,大量网站被爆存在用户数据泄露,据CNCERT(国家互联网应急中心)公布的不完全统计,截至12月29日,被外界怀疑泄露的数据库已达26个,涉及账号、密码2.78亿条。
12月27日晚,中国计算机学会青年计算机科技论坛广州分会(下称“CCF广州”)召开了 “互联网用户资料泄露事件紧急会议”。16名与会专家一致认为,这次事件是迄今为止“中国互联网史上最大信息泄露事件。”
当天,工信部通信管理局和国家计算机网络应急技术处理协调中心也在北京紧急召集多家互联网企业、信息安全企业和多位网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。据不愿具名的消息人士透露,公安部门也已对此次事件立案侦查。
在业界看来,此次恐慌事件后,互联网信息安全可能由一个甚至不受行业重视的技术问题,变成如同药品、食品、教育一般受到社会广泛重视的问题。
破而后立,这或将成为中国信息安全生态进化的宝贵契机。
网站利益局中局
此次泄露风暴最终影响了多少中国网民,目前无法确切统计。
国家互联网应急中心的通报认为,此前能够确认数据泄露的只有CSDN与天涯两个网站,其他的数据库被公布的“泄露信息”只有部分属实,部分数据则被证伪。
“在业内看来,类似的事情早已多到近乎麻木。”信息安全公司启明星辰(001439.SZ)首席战略官潘柱廷说,其实每年都有多起重大的用户数据库被盗事件(黑客们习惯称为刷库或拖库),国外类似事件的规模更大,且因涉及信用卡账号等关键信息,危害普遍大于国内的泄露事件。比如,2011年已被证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,就包括索尼、世嘉等大型游戏设备厂商、花旗银行等金融机构及RSA等安全厂商巨头,仅日本索尼4月被黑客窃取的客户信息就高达7700万,其中还包括信用卡账号。
业内人士告诉记者,此次事件之所以影响大,是利益驱动下“搅浑水”的互联网江湖众生百态。
“关于密码泄密后的事情:1、某上市公司忙着造假库往外扔。栽赃其他公司,想摆脱被曝明文库的证据;2、有网站通知所有用户修改密码,乘机激活用户;3、还有网站把这些公开库的数据直接导入自己用户库,也发通知给用户改密码;4、钓鱼的、垃圾邮件的也都活跃起来。”12月27日,CSDN创始人蒋涛微博说。
“其实,很多用户根本就记不清自己在哪些网站注册过用户名与密码,”一位网站负责人说,以前,他们发展用户需要花钱做广告、群发邮件,而且效果并不理想,但这一次有现成的用户资料,而且这些已经泄露密码的网民非常恐慌,收到邮件后会积极的“改密码”,这让很多中小网站一夜之间就发展了大量“老用户”。
“这反过来又加剧了公众的恐慌,因为有越来越多的网站说数据泄露了,快来改密码吧,一夜之间仿佛整个互联网都变得不可信任。”该负责人说。
一位黑客说,与之对应的是,也有发现数据库泄露的网站不动声色,悄悄地给用户发邮件,让用户“防患于未然,避免受到其他网站数据库泄露影响”。
在业内人士看来,此次泄露事件对网民造成的直接损失其实小于外界想象。
“破而后立,从长远来看,对中国互联网来说,这或许反而是一件好事。”一位安全厂商负责人认为,经过恐慌的放大效应,事件虽然没有带来重大的经济或社会损失,但却让互联网企业和公众意识到信息安全面临的风险,这有助于中国互联网的安全生态得以进化。
或转化产业契机
“网络安全其实可以分成两个层次。”潘柱廷说,一个层次是政府、军事乃至电力、通信、金融等事关国家安全的关键基础网络,在这个层次上,中国一直非常重视,有相对严格的安全保护机制,此次事件中也没有受到影响;另一个层次则是以商业、社会公用为主的互联网络,这一层次则相对脆弱,比如大量的中小网站,就普遍缺乏信息安全的意识及投入。
潘柱廷同时也表示,这一问题全球皆然。
“用户的安全防范能力永远滞后于黑客的技术能力,因此仅靠用户自己的话,数据泄露问题是‘无解’的。”国家网络信息安全技术研究所所长杜跃进说,如同世界上总会有小偷一样,数据泄密事件在互联网领域也无法杜绝。杜跃进认为,互联网的信息安全防护水平其实一直在不断提高,比如现在攻击一个网站的难度,已经远大于以前,只是因为互联网不断发展,应用更加深入,吸引攻击者的“有价值目标”不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。
在2011年6月的中国计算机学会YOCSEF特别论坛上,中科院软件所副研究员蒋建春就曾对互联网的攻击演变进行回顾总结:在上世纪七十年代,网络攻击是一件难以想象的事情;八十年代出现了学术攻击;九十年代出现非利益性攻击;二十一世纪则演变为面向价值攻击。
“不过,目前国内地下产业中相对更多的还是信息倒卖,真正直接在网上损失财产的还相对较少。”陈睿说,“就目前而言,中国自行车被偷的人,还比在互联网上丢了东西的人多。”
不过,也有一些安全厂商负责人认为,中国过去的网络安全风险不可小视。
“中国互联网的竞争相对更加激烈,中小网站可能有100个原因死亡,其中最小的可能就是安全问题,所以安全意识一直相对淡薄。”该负责人说,在成本一定的前提下,安全与方便性是矛盾的,比如增加验证码手段,在提升安全性同时,却会影响用户体验的方便性,可能会流失部分潜在用户,所以网站经营者往往先把安全放一边,投入先集中在吸引和发展用户。
甚至一些大中型网站也并不重视网站安全。“比如每年的互联网行业会议,安全分论坛都放到最后,而且到开会时网站的老总甚至CTO(首席技术官)都全走光了,只留下一堆没有决策权的技术员。”该负责人说,在此之前,我国信息安全占IT投资的比例只有1%,而西方发达国家是8%到12%。
此次泄露事件的爆发,则让很多网站开始反省安全问题。
潘柱廷说,最近已经有很多网站开始主动联络安全厂商讨论提高网站安全防护能力,“对整个中国互联网来说,这是一个良好的信号。”
陈睿表示,在网络技术到了一定层次后,个人的力量将越来越弱化,网络信息安全的对抗更多将趋向投入的对比、资源的对比、设备的对比。
业内人士认为,经过此次事件之后,无论是信息安全投入、还是信息安全的行业自律和流程规范,都将得到强化。像以前网站使用明文存放密码、用户使用简单密码等安全业屡次提醒、互联网站和公众一直未予重视的问题有望缓解,这些都将有助于互联网络的信息安全提高。
催生政策与商业模式变革
信息安全业界认为,此次事件的深远影响将在2012年以后逐渐显现,将可能在立法、政策、商业模式及格局等环节带来变革。
杜跃进说,其实中国的信息安全的很多领域在国际上并不落后,甚至领先,比如中国是最早出台国家层面的信息安全协调机制、国家级网络应急响应组织的国家,国家互联网应急中心从2003年就开始了对互联网络的病毒与木马全面监测,而在此次事件后,公众网络信息安全的防护或许还会得到进一步提升。
“在2008年以前,中国针对网络犯罪的立法曾相对滞后,但在过去两三年,尤其是2010年以来的法律修订过程中,已经有较大的完善,比如对制作病毒、木马,盗窃虚拟资产等行为,都已经有执法依据,此前也已有犯罪分子因为涉及触犯条例被刑事处罚。”陈睿说,“但在公民的网络信息安全、网络财产等权益保障环节,立法仍有一定空白,这在此次事件后可能会有所加速。”
很多安全人士则呼吁政府,对涉及用户信息保存与使用的网站,出台新的规范,以相对硬性的规定,约束网站达到一定的安全规范。
一位政府人士向《财经国家周刊》记者透露,未来政府可能会对互联网企业进行评估,社会影响较大的网站或服务将会进行强制性的安全要求,“增值电信领域的尝试近期就将开始。”
与此同时,互联网自身的市场竞争,也正在催生提高用户信息安全的新商业模式出现。
比如OPEN ID(通用账号)。互联网企业人士透露,目前新浪、腾讯、支付宝等大网站都已经在各自联合大量合作伙伴推广OPEN ID。通过这一服务,用户只需要记住一个统一的账号和密码,就可以同时登陆多家网站,而其账号、密码等信息,只存储于核心企业数据库中,这既减少了用户记忆密码的难度,也因为可以集中保护,减低了数据泄露的风险。
而在2011年8月,金山网络也推出了新的业务“网购敢赔”,承诺只要金山毒霸2012用户开启网购“敢赔模式”,如果网购仍感染木马或登录钓鱼网站遭遇财产被盗,金山网络将进行上限500元的现金赔付。在业内人士看来,在目前中国仍未出现虚拟财产保险的情况下,这一商业模式也正是迎合了信息安全风险不断加大的网络生态,在增加用户安全保障同时为企业吸引用户。
潘柱廷则认为,未来面向中小企业的信息安全防护业务也可能得到迅速发展。因为中小企业往往难以单独进行大量的信息安全投入,但地方政府、数据中心、运营商、云计算服务商等平台可能在服务中整合信息安全功能,在自身获得业务增值同时,也让整个互联网产业的信息安全也得以提升。
网络保护的法理求解
文/《财经国家周刊》记者 雍忠玮
用户数据库泄密事件之后,无论是数据库已经泄密的CSDN和天涯等社区网站,还是被用户担心和疑虑的新浪、腾讯等门户网站,无一例外地采取了“低调”或“沉默”的应对方式,而数以亿计的用户此时发现,保护自身信息安全,除了修改密码之外几乎无计可施。
还没有单独立法
在CSDN和天涯用户数据库泄密之后,大量的普通互联网用户在担忧自己的注册信息是否泄密的同时,也参与到泄密数据库的下载和转发过程中。
“需要提醒的是,普通用户得到这些数据库密码信息,再进行传播,也是违法的。” 中国政法大学知识产权中心研究员、法律专家赵占领对《财经国家周刊》记者表示。他进一步提出,“政府和法律界应更为重视类似事件的处理,从法理和法规上,对互联网信息安全进行政策和法律的制定。”
根据赵占领的介绍,围绕互联网个人信息保护的法律法规,中国当前的主要参照依据,仍然是刑法的相关规定,“相关的判例也有,但那些都是涉及到明确的主体、明确的资金,在民事赔偿和行政处罚领域,仍然缺乏明确依据。”
由此不难理解,为何CSDN和天涯两大泄密网站一方面分别在北京和海南向公安机关报案,而另一方面绝口不提对用户的任何赔偿方案,仅以道歉作为终结事件的底线。
CSDN相关负责人告诉《财经国家周刊》记者,公司内部对于如何处理此次注册用户数据库泄密事件已有结论,“一方面通过各种方式,包括和其他网站合作,通知用户修改密码;另一方面我们也对存在安全隐患的用户,进行临时的密码锁定,敦促用户在登录过程中修改密码。”
该人士多次强调,CSDN早于2009年4月开始,就已经使用加密密码保存用户数据库,“已泄密数据属于早前数据,甚至相当一部分密码用户已经修改过,但业界媒体和很多用户对此并不了解。”在谈及是否已有对涉及泄密的用户提供赔偿方案或者弥补措施时,该人士表示,通知密码修改和临时锁定就是弥补措施,对于赔偿方案,对方拒绝讨论,并称“这个事情甚至不是我们公司所能决定。”
天涯网站一位副总裁则私下对《财经国家周刊》表示,“国内在用户赔偿方面,还没有什么具体可依据的标准,而且用户的损失究竟如何界定,也不是很清楚。”该人士透露,天涯内部证据显示,有些用户数据库泄密,其原因并不是因为天涯网站,而在于用户在其他网站使用了同样的ID和密码,“那些网站发生泄密后,我们发现了极少数用户在天涯也使用了同样的ID和密码。这种泄密,天涯根本无法预防。”同样,该副总裁也对记者表示,虽然并不具体负责技术部门,但也明确知晓公司至2009年以来,就一直采用的是非明文密码数据库。
包括CSDN、天涯、网易等网站在内的超过2亿个账户及密码泄密事件,所涉及的金额数量目前仍然难以估计。在《财经国家周刊》调查过程中,无论是网站主体,还是普通用户,都认为大部分网站注册用户的相关数据“是免费的,没有太多实际资金的损失。”
“其实从法律的角度,虽然没有单独立法,但从多个法律条款已经对用户信息保障有所规定,难点仍然是在执法上,这个问题从全球看都是一样的,就如同美国和欧洲也有黑客盗取信息。”互联网领域的知名律师于国富对《财经国家周刊》表示,“例如中国的法律就规定了,对于非法入侵他人电脑获取信息,可以判处三年或以下拘役徒刑,但年轻的黑客们甚至都不知道这个法律条文,他们精通互联网技术,却在法律方面面临大片的盲区。”
同样,发生于2011年底的互联网用户数据库泄密事件,并非中国互联网发展过程中的第一次规模性安全事件。2005年底,中国互联网曾爆发了第一次大规模个人信息泄密事件,即“9000万人信息泄露”事件,该次事件将“优库网Ucloo”和“中国同学录”直接推至浪尖。
立法纠结之处
1994年由国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,但这一条例更多的是从计算机病毒和国家信息安全的角度,对计算机信息领域安全进行了规范,而这之后,随着中国互联网的发展,有关个人信息保护的立法,多年来一直是让法律界和政府主管部门纠结的环节之一。
2002年,国务院信息化办公室联合中国社科院,开始了“个人数据法律法规比较课题”的研究,并于2005年在此基础上形成了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。此后没有更进一步立法进展。
在过去近十年中,试图牵头个人信息保护领域立法工作的部委,分别包括了国务院信息化办公室、原信息产业部(现为工业和信息化部)、商务部等多个部委,然而,缺乏统一的牵头单位,成为中国个人信息领域尤其是互联网个人信息领域立法推进缓慢的核心原因。
“就目前而言,中国政府目前甚至没有专门的信息资源主管部门。如果无法从源头厘清这一现状,制定个人信息保护的法律法规,就无从谈起,即便制定出这一法律,也无法得到有效实施和规范。”北京邮电大学教授、法律专家谢明敦对《财经国家周刊》说。
作为中国互联网业务上的主管部委,工业和信息化部于2011年2月曾《信息安全技术个人信息保护指南》,但由于该文件仅属于建议性和规范性范畴,因此并没有对互联网信息泄露有任何可执行的规范和处罚条文。
篇3
[关键词] 网站 信息 安全管理
一、企业商务网站建设的总体情况
电子商务网站是企业开展电子商务的基础设施和信息平台,是实施电子商务的公司与服务对象之间的交互界面,是电子商务运转的承担者和表现者。一些信息化水平高、经济实力雄厚、技术力量强的企业,往往采取自建网站的方式,即企业自己购置硬件设备并构架服务器平台,自行开发网站系统,自行对网站进行控制和管理。与主机托管、租用虚拟主机等网站构建方式相比,这种方式完全自主研发,易于采用新技术,便于扩充、升级,同时企业内部管理数据和商务网站信息高度整合,能提升企业的形象和效益。电子商务网站不容忽视的是随之带来的网络信息安全问题,比如:信息污染、病毒泛滥、黑客入侵等等。对于企业自主建设的网站而言,其安全性完全由企业自行控制,风险更大,要求更高。如何加强企业商务网站的安全管理,已成为当务之急,本文试图对此做些探讨。
二、信息安全三维模型概述
1.信息安全的安全层次结构(层次维L)。从信息安全的作用层面来看,信息安全可以分为物理安全、系统安全、数据安全和信息内容安全四层。(1)物理安全:主要体现在通信线路的可靠性、防灾害能力、防干扰能力、设备的运行环境(温度、湿度、烟尘)、不间断电源保障等等。(2)系统安全:指的是计算机与网络设备运行过程中的稳定性运行状态,因而又可称之为“运行安全”,包括操作系统的安全、网络方面的安全。(3)数据安全:是指对信息在数据处理、存储、检索、传输、显示等过程中的保护,不被非法冒充、窃取、篡改、抵赖。(4)信息内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象主要是各种不良的、有害的信息。
2.PPDRR模型(时间维T)。PPDRR模型是典型的、动态的、自适应的安全模型,包括策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)5个主要部分。
信息安全策略是一个组织解决信息安全问题最重要的步骤,也是这个组织整个信息安全体系的基础,反映出这个组织对现实安全威胁和未来安全风险的预期,反映出组织内部业务人员和技术人员安全风险的认识与应对。防护是安全的第一步;但采取丰富的安全防护措施并不意味着安全性就得到了可靠保障,因此要采取有效的手段对网络进行实时检测,使安全防护从单纯的被动防护演进到积极的主动防御;响应指在遭遇攻击和紧急事件时及时采取措施;恢复指系统受到安全危害与损失后,能迅速恢复系统功能和数据。这个模型中,防护、检测、响应和恢复在安全策略的指导下构成一个完整的、动态的安全循环,是基于时间关系的。
3.三大保障(保障维S)。信息安全保障体系由人员保障、管理制度保障、技术手段保障三个要素组成。安全领导小组、安全工作小组和安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障, 良好的网络信息安全保障离不开规范严谨的管理制度,同时还需要使用一系列先进的技术工具和手段。
4.信息安全三维模型。上述分别从作用层次L、时间关系T及保障体系S这三个层面构成了信息安全的三维模型,这三维是相互关联、互相作用、不可分割的。如果将商务网站信息安全的各项措施明确在这个三维模型中的位置,就能够做到有的放矢,增强针对性和逻辑性。
三、基于三维模型的企业商务网站信息安全对策
1.物理层。从防护角度看,企业自建商务网站所在机房应具备较好的物理环境,包括UPS、空凋、消防系统等,使设备免受安全威胁和环境危险,如偷窃、火灾、水(或供水故障)、电磁辐射等。从恢复角度看,网站平台要有容灾、冗余备份等措施。在人员方面的措施包括:机房配备管理人员(除了进行岗位操作和技能培训外,还要进行职业道德、法律规范的培训);在管理制度方面的措施包括:机房管理制度(电源管理、环境管理等)、设备常规管理制度;在技术手段方面包括用于防护的视频监控、门禁系统、抗扰处理等技术和用于恢复的容错、容灾、冗余备份等技术。
2.系统层。随着网络环境越来越复杂,计算机病毒及黑客攻击手段越来越智能,影响范围越来越广、破坏力也越来越大。商业网站服务器的操作系统、WEB服务器系统如果存在较大安全漏洞,就会被黑客利用,造成整个网站的瘫痪。我们的应对措施涵盖了防护、检测、响应、恢复。这里技术手段起到了非常重要的作用,当然人员保障和管理制度也是必不可少的。
重要的技术手段包括:(1)访问控制:访问控制是网站安全防范和保护的主要策略,它的主要任务是保证网站资源不被非法使用和访问。它是保证网站安全最重要的核心策略之一。通常的访问控制包括通过Ip地址来控制、通过用户名来控制和采用共用密钥加密的方法来控制。(2)病毒防护:需要建立完整的病毒防护体系,对应用服务器、企业网内部所有的客户机进行全面的防毒扫描,保证建立及时、快速的病毒响应机制,发现病毒即时进行处理,迅速抑制病毒传播。(3)操作系统要及时打上补丁程序,并进行完善的安全配置。(4)系统容错、容灾、冗余备份等技术,使网站一旦发生问题能够及时恢复。
人员保障方面要配备技术拔尖的人才专门从事网站安全管理工作,负责操作系统、web服务器的安全配置。同时,还有有以下管理制度作保障:(1)计算机病毒预报制度和安全漏洞预报制度;(2)操作人员权限管理规定;(3)病毒、安全应急响应及处置预案;(4)安全日志管理制度。
3.数据层。商务网站的数据层安全是最为重要的,主要是保障数据的机密性、真实性、完整性。要能够查证用户的真实身份,交易中的商务信息均有保密的要求。如信用卡的账号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。另外要保证交易的全过程能够被记录并作为审计依据。
数据层的主要管理制度包括:(1)网站账号管理规定。该规定应包括注册账户的资料提供、密码规定、行为规范、操作系统及服务器的账号管理等多个方面。这个规定用于数据层安全问题的防护。(2)关于网站突发事件和急处置工作预案。此预案旨在及时果断处理网上突发事件,内容可包括组织领导、工作网络、宣传教育、管理控制、案件查处等方面。这个规定用于数据层安全问题的响应和恢复。(3)安全日志管理制度,这个规定用于数据层安全问题的检测。
数据层的重要技术手段包括:(3)数据加密,即以加密格式存储和传输敏感数据。(2)身份认证:主要是利用用户有关信息对用户的身份进行确认,包括密码、数字签名、数字证书等方面来避免信息的非法获取。(3)采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制。
4.信息内容层。商务网站会有留言板或论坛,便于与客户交流并提供服务。但一些有害信息如垃圾信息、虚假信息、黄色信息等就有可能在网上出现。有些客户会随意发表一些带有个人偏见的不良信息,造成不良影响。我们的目的是保证各种不良的有害信息不在网站内出现、传播。
信息内容层主要有以下管理制度:(1)信息审查制度。(2)BBS及留言版的监控与管理。这两点必须有专人负责。
信息内容层的技术手段主要是信息内容过滤,包括URL或IP限制、文字拦截、图像审查、屏幕监视等等。文字拦截功能可以按关键字拦截本机通过网络传输的信息,不仅是流入的信息, 而且可以是从本地流出的信息,这样可以防止一些本机的机密信息或者其它不良信息的外泄。
四、结束语
在信息安全方面,漏洞无非三种类型,即:技术上的漏洞,管理上的漏洞和人的思想认识上的漏洞。加强领导是做好此项工作的关键,企业可以成立专门的商务网站信息安全领导小组,由有关领导和有关职能部门(如保卫处、信息中心等)的负责人组成。另外,要建立一支网络安全管理队伍,除企业信息中心人员要求技术过硬、思想素质高外,部门要指定一名思想政治觉悟高、工作责任心强、懂电脑的人员担任网站信息安全协助管理员。除了高超的技术, 严密的规章制度,还要从领导干部、技术人员、一般用户三个层面加强宣传教育和安全培训工作。
参考文献:
[1]顾国飞等:全方位的网络信息监控体系[J]. 计算机工程与应用,2003,(10)
[2]王娜方滨兴等:“5432战略”:国家信息安全保障体系框架研究[J].通信学报,2004年07期
篇4
盗号者大规模地利用被泄密用户信息,获取并激活新用户展开网络营销,甚至网络垂钓,一时人人自危。由于许多网民的邮箱、社区、微博、支付宝、信用卡、网银等都是使用相同的用户名和密码,网络安全的风险极大,而一旦银行卡信息泄露,更会威胁到个人资金和国家金融的安全,影响将更大。这场号称中国互联网史上最大信息泄露事件引起了国家的高度重视,银行辟谣用户数据泄露,国家工信部也通知,强烈谴责窃取和泄露用户信息行为,并要求各互联网站开展全面自查,避免泄露事件进一步扩散。
网络安全不可小觑
由于近些年我国互联网发展速度非常之快,进而引发各种网络安全事件不可小觑。上海众人网络安全技术有限公司(以下简称众人科技网络)董事长谈剑峰表示,目前国内网络安全存在的问题主要为黑客攻击,其手法较多,例如钓鱼网站。
在金融行业,黑客可以通过钓鱼网站盗取电子银行信息,并通过登录获取用户交易信息进而窃取资金;在网络游戏行业也存在很大的网络安全隐患,许多游戏玩家的账户里拥有许多有价值存在的虚拟物品,黑客通过盗取用户账号及密码,可以把这些虚拟物品转到自己账户名下,或通过各种方式卖掉,这对于网络游戏玩家而言是巨大的损失;在电子商务行业,由于其发展速度飞快,随之也爆发出许多安全隐患。如目前正在迅速起步的移动支付,商家更多的重心往往落在产品的应用,而对网络的安全问题较为忽视,再加之我国的黑客数量比国外多,所以国内面临的安全问题更为普遍,也更为棘手与重要。
在信息安全里,身份验证是最前端的一道门,用户首先需要通过用户名和密码来验证身份才能登陆网站,所以第一道门非常重要。2011年国内这一重大网络安全事件反映出,国内互联网行业使用传统的静态密码登陆已非常普遍,用此种方式登陆存在很大安全隐患,网站的用户信息通常是存在网站后台,一旦网站后台服务器被盗,则网站所有用户信息都有可能被黑客所截取。而通常网民的习惯是许多网站都使用同一个用户名及密码,这就使同时盗取多个网站相关信息和密码的机率大大增加。因此,保障网络安全必须锁好身份验证这第一道门,以及时把安全隐患解决。
小领域保障大舞台
近些年,我国网民数量激增,国内信息安全领域也在不断地产生新的技术和新的产品,谈剑峰表示,众人科技网络推出动态密码的身份认证,是国外已经应用很多年的先进技术,其技术特点是与时间同步,如果在同步的时间内基础算法一致,算出来的密码和同一时间服务器算出的密码比对,通过即可认证,如果不能通过则说明密码错误或令牌有问题。与目前国内普遍使用的USB KEY相比,其技术最大的特点是完全不需要与电脑接触,且在网上银行、电话银行、ATM机、POS机、平板电脑、手机都可适用,应用较为广泛。
在银行领域,已经逐渐从过去的柜面银行发展成为现在的电子银行,电子银行对于缓解柜面压力非常重要,也是未来银行发展重中之重;在证券交易方面,从传统的电脑交易延伸至电话交易和手机交易,由于不需要和电脑接触,证券行业也是最为符合动态密码身份认证的领域;同时电信运营商为许多企业规划其内部办公及内部系统管理,其中许多财务系统和采购系统等对于企业都是非常重要的信息,因此身份认证和信息的保护必不可少。
在网络游戏领域,目前一些游戏厂商已经开始使用动态密码身份认证,以更好的保护网络游戏用户的安全。
在电子商务领域,其用户的登录和交易等都需要身份认证来确保账户安全。
近些年,国家和企业也开始重视信息安全问题,市场从不被了解到逐渐获得认可,在国家密码管理局以及行业内企业的推动下,行业内国家相关标准即将出台,这对于信息安全领域的规范化和长足发展提供了更为广阔的舞台。
“腾云驾雾”迎未来
在未来发展上,众人科技网络紧密契合国家信息化建设的方向,同时推出云计算领域的服务。云计算经过多年的发展,从最初的“云里雾里”、“不知所云”,到现在各地兴建云计算中心,企业纷纷推出云服务、商家推出云产品,云端时代对于网络信息安全企业来说是发展的契机。目前众人科技网络推出针对云的身份管理及身份服务和云相关授权管理和授权服务,以及相应的云安全检测系统。谈剑峰表示,从私有云到公有云是一个发展的过程,社会对于云的安全性接受度有一个过程,如果公有云安全性得到保障,用户便会把信息逐步放到公有云上。目前,云系统里已经在应用的有通信行业,根据其行业特征制定相应基于云安全的管理架构,以及针对性的二次开发。
云安全涉及很多方面,云安全管理系统本身可以架构在laaS上,同时又可以为SaaS的一些云服务提供相应的云安全和云身份服务。虽然云计算在发展中会遇到很多困难,但大家对于公有云的接受也只是时间问题。
篇5
去年年底大规模爆发的互联网用户信息泄密事件,至今让我们心有余悸。此前,广大用户对网上个人隐私安全虽有担忧,但并未有清醒之认识。随后,关于用户隐私的整条黑色产业链也逐渐曝光,原来,收不完的垃圾短信、各种网上购物或汇款骗等等,都与此相关。
无论是对用户基本权益的维护,还是促进整个互联网产业的健康持续发展,个人隐私保护都是刻不容缓。
个人隐私保护难在哪?
众所周知,我国互联网的发展速度之快另世界瞩目,企业加大投入、新的资本大量跟进使得各种互联网创新业务层出不穷,在给用户提供了更多差异化服务的同时,也导致用户把越来越多的和隐私相关的东西放在了网上。新浪微博进行认证,你要把名字和身份证号填上;在互联网上买东西、玩游戏,不知不觉当中就必须要把自己的邮箱、电话号码、身份证号码、门牌号、家庭地址填在网上。总之,越来越多的个人隐私信息已经存在了互联网上。
但很多网民,对这些东西存在的风险一直浑然不知。很多网站都曾经做出安全承诺,网民就认为真的没事――直到去年底爆发的大规模泄密事件。
致命的是,大多数互联网企业保护用户信息安全的觉悟和投入几乎为零。数据显示,目前,国内互联网公司的安全支出仅占IT支出的1%,而目前,欧美国家的安全支出占到整个IT支出的10%左右。大部分企业根本无法抵抗“黑客”来袭。面对大规模的用户信息泄露,企业责无旁贷。
360网站安全检测平台的分析显示,“国内83%以上的网站存在各种安全漏洞,大部分网站基础防护能力薄弱;国内中小型网站普遍没有专职的安全工程师维护,光靠服务器配置防火墙和入侵检测设备,无法有效防御黑客的入侵。”
而互联网一些新的发展趋势更是加大了未来保护个人信息的难度。随着带宽的提速,云计算的兴起,HTML5技术的推广,一些大的互联网开放平台可能会发展成为类操作系统的形式。IT基础架构发生变化以后,对网络安全又提出新的要求。同时,智能手机成为用户登录互联网的一大终端,正在成为大众互联网生活的主要载体,智能终端涉及地理位置等信息,进行个人隐私保护更是复杂的工作。
保证信息安全需“二位”一体
3月15日,主题为“保护个人信息、增强行业自律”的“2012中国个人信息保护大会”在北京召开,旨在共同探寻针对个人信息安全切实可行的专业解决方案,提高社会公众个人信息保护意识,并推动我国信息服务产业个人信息保护法律体系的建立。
作为中国目前最大的互联网及无线安全服务提供商,奇虎360公司的总裁齐向东在会上表示,互联网时代的个人隐私保护,不可能由一家“包办”,必须网站、政府、安全公司实现“三位一体”,一个都不能少。
齐向东表示,中国互联网隐私保护的总体状况是非常令人担忧的。目前,互联网中的个别网站服务商,为了追求商业利益最大化,忽视网民的隐私安全,已经成为用户隐私泄露的途径,给网民造成巨大损失。因此,互联网网站服务商必须要采取安全措施,提升管理水平,承担起妥善保管用户个人数据的责任。
同时,政府部门作为相应的立法和监管者,同样是隐私保护的一道重要防线。
在该会上,工业和信息化部副部长杨学山提出了个人信息保护立法的问题。杨学山副部长指出,个人信息保护关系每个人,也关系到产业发展、社会稳定和网络秩序。随着网络发展,个人信息集中度越来越高,个人信息保护成为法制建设关注的重要内容,必须加快推动个人信息保护相关立法。
360严阵以待
当然,安全公司在保护个人信息安全上肯定是扮演着至关重要的角色。奇虎360总裁齐向东直言,目前全国有90%以上的用户都装着360的安全软件,因而深感承担的责任重大。
在接受本刊记者专访时,齐向东表示,为此,360已经建立起了一个综合的信息安全保护体系,为用户权益和互联网的健康发展保驾护航。
首先,绝大部分隐私信息的泄露,与终端病毒木马等恶意程序相关,360杀毒软件,成为保护隐私的第一道屏障;其次,除了客户端的安全软件,针对商业网站,360提供免费的云服务“网站安全检测”和“网站宝”。通过云端,360对合作网站的每一个页面发起检测服务,检测页面的漏洞。如果有漏洞,把报警信息发送给相关负责人并修改漏洞。网站安全检测这个服务可以防止网站被“拖库”这种事件发生的概率。小型或者流量比较低的网站,没有必要投入那么大的人力和财力解决网站安全问题。360对中小网站提供“网站宝”服务。用户访问网站域名的时候自动跳到360的服务器上,攻击代码就除掉了。
据悉,目前已经有几十万家网站加入到360的免费安全服务中。
同时,我们看到,不论是PC,还是移动终端,应用和服务为王的时代已经到来。在互联网时代,各种各样的应用超出原来的系统范围,用传统的扫描方式,肯定扫不出来,就是扫出来,也认不出来,认不出来也不敢杀。
对此,齐向东告诉记者,从06年诞生开始,360就一直做云安全,是在在具体情境之下解决用户电脑和信息安全问题的。这方面,360有三大体系。
第一个,主动防御体系。这套体系是专门做入口防御的。使用应用所中的木马病毒,在电脑里总要运行,运行之后,它可能会修改注册表,可能会加载某些进程,可能会对电脑的启动项、对电脑的关键设置等进行修改,通过这些修改达到商业目的。这些动作,就构成了运行的场景。在这个场景下,360设置了白名单软件,而黑名单软件就不能运行。
第二个,保镖体系,包括购物保镖、下载保镖、U盘保镖、看片保镖及360隐私保镖。当网民使用应用程序的时候构建一个一个的场景,在不同场景下,有不同的保护模式。比如要进一个电子商务网站买东西,就构成一个场景。在这个场景下,只要你一进入网银的页面,360就执行一个严格的清场政策,进行网银操作时,无关的程序都要停止。而在隐私模式里面,可能会导致你隐私泄露的各个场景,360能够最大限度地保证隐私不会泄露。隐私保镖还有一项服务隐私体检,用户电脑上的cookie和大量的缓存文件含有大量个人隐私的东西,360会提醒用户风险。
第三个,是助手系列。助手系列是在执行非常复杂的客户端操作的时候提供保护服务,再加上360的保镖系列、查杀功能和软件管家,给网民提供了一个全套的服务和防护系统。
齐向东表示,随着一个一个新应用的诞生,新模式的诞生,新的类OS的诞生,360会不断充实完善自身服务。用户最终还是要执行各种应用操作,在这些情境里面,360将按照情境做好防护,保证用户的个人隐私安全。
上个月,360还专门任命了公司副总裁谭晓生为首席隐私宫。谭晓生将负责处理360软件产品可能涉及到用户数据的各项事务,包括规划和制定公司的隐私政策、审核备产品的用户使用协议、监督各产品的工作原理和信息处理机制等,保证公司各软件产品的行为符合国家相关的法律法规,并通过与国际企业和各隐私保护组织的交流,进一步提高和完善公司现行的隐私保护制度。
篇6
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
篇7
“在网站上注册时,我有个习惯。要求填写姓名时,注册Sina的用户我就填张新浪,注册Yahoo我就叫张雅虎,注册Baidu我就写张百度,注册Mop我就用张猫扑,注册Google我就改叫张谷歌。今天接到个电话,问:是张建设小姐吗?我一听就知道,这回是银行把我的个人资料泄露了……”如今,愈演愈烈的个人信息泄露事件,已经让张小姐的这个“小窍门”广为流传,不少网民正在利用这类方法发现个人信息泄露的源头。
伴随网上金融交易和网上购物等互联网应用的兴起,个人的重要信息变成了网络中流动的数据,非法收集、利用、公开个人信息的机会之门也由此大开。近年来,信息和网络的迅速发展,使个人信息保护越来越受到网民的关注与重视。随着信息泄露案件的频繁出现,个人信息的保护已成为各国关注的重要问题。然而,作为一个网民人口大国,中国网民个人信息保护现状却令人忧虑。
2011年12月21日,开发者社区CSDN遭黑客攻击,600万用户账号及明文密码泄露,用户资料被大量传播。几天之后,乌云漏洞平台又爆出天涯社区遭黑客攻击,导致4000万用户资料被泄露的消息。此后,京东商城、当当网、支付宝等多家网站纷纷陷入“漏洞门”, 被指因网站安全漏洞而存在数据泄露的风险……2011年底,中国互联网遭遇的史上最大规模的用户信息泄露事件,直接导致了网民对主流网站的信任危机。由此可见,中国互联网产业的发展已经走到了不得不关注、重视个人信息保护的时代。
个人信息安全保护的中国进程
有关个人信息保护的原则,最重要的是国际经合组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人信息保护的八项原则,许多国家都以此为据制定了本国的个人信息保护法。这些原则包括:收集限制原则、数据质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则和责任原则。个人信息的保护原则,体现了对人的尊重和对个人信息的规范管理。它的目的实际是在保护个人信息的同时,让个人信息能真正实现自身价值,更好地为公众服务。
互联网行业是一个时刻需要创新和变化的行业。曾有部分企业认为:强调对个人信息的保护,会制约互联网行业的创新精神,阻碍行业的发展。这说明,一些互联网企业对个人信息安全保护的理解,还存在误区。专家指出,对个人信息的保护并不是为了限制个人信息的流动,而是对个人信息的流动进行正规的管理和规范,以保证符合让信息主体同意的目的,保持信息的正确、有效和安全,最终确保个人信息能够在合理、合法的状态下流动。
到目前为止,国际上已经有50多个国家和组织建立了个人信息保护的相关法规和标准,如欧盟理事会《有关个人数据自动化处理的个人保护协定》、国际经合组织《关于保护隐私和个人数据跨国流通指导原则》、欧盟《1995年个人数据保护指南》、《瑞典个人数据法》、欧盟《2002年隐私和电子通信指令》、《美国隐私权法》、《加拿大个人数据保护法》、英国《数据保护法》、美国《电子通信隐私法》、美国《互联网保护个人隐私的政策》、日本《个人信息保护法》等。
与一些发达国家相比,我国在信息安全保护意识与规范制定方面存在一些弱项。特别是个人信息保护意识不足的问题,还曾经直接导致国际市场在选择外包企业时对中国企业的不信任,严重影响了我国软件及信息服务外包业务的发展。
2008年,个人信息保护被纳入工业和信息化部重点工作范畴。2009年,为了消除国际影响,提升国内企业在国际软件与信息服务外包业务中的竞争力,我国成立了首个个人信息保护管理委员会并建立了个人信息保护的评价制度。工业和信息化部信息安全协调司副司长欧阳武告诉记者,这套评价制度启用效果非常明显,它不仅得到了境外相关机构的认可,也为国内企业承接境外业务提供了基本保障。此后,这套评价体系的建立,也确实为个人信息安全保护工作的开展起到了旗帜性的作用。
2011年初,为了全面推动我国信息服务产业个人信息保护体系的建立,在信息安全标准委员会的指导下,由中国软件评测中心牵头制定了国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)、全国信息安全标准化技术委员会2011年国家标准编制计划(编号:TC260-BZZXD-WG7-2011018)。在“指南”的基础上,信息系统个人信息保护标准体系中其他技术、管理和行业标准也已进入计划制定阶段。
《指南》制定完成后,伴随一些第三方评测平台的努力,如今标准落实工作已出现实质性进展。2011年5月,受工业和信息化部信息安全协调司委托,中国软件评测中心力邀个人信息保护相关专家,组成评测专家组,并根据《指南》内容,研究制定了2011年互联网网站个人信息保护政策测评方案和测评指标。历经六个月,专家组对电子商务、论坛博客、银行、保险、婚恋、招聘、游戏七类共105家网站进行了个人信息保护政策测评,正式将《指南》通过科学的个人信息安全相关评级机制落实。同时,针对移动互联网带来的个人信息泄露问题,中国软件评测中心还与北京大学互联网安全技术实验室合作,选取了安卓手机各类热门软件对其个人信息安全状况进行了测试评估。
而相关评测报告显示,个人信息安全防护的主战场,正在伴随移动设备和Wi-Fi网络的普及不断蔓延扩大,个人信息安全防护各项工作的开展已刻不容缓。
个人信息保卫战出现第二战场
十年前,地铁里最常见的人群是手拿报纸的上班族。但是今天,手握手机的上网族成了主流。搜索、游戏、阅读、音乐、互动社区,手机支付、手机电视……层出不穷的移动互联网应用在吸引大量用户的同时,也把个人信息安全保卫战推向了更广阔的战场。
2012年1月,中国互联网信息中心(CNNIC)了《第29次中国互联网络发展情况统计报告》。该报告显示,截至2011年12月底,手机网民数量超过3.5亿。艾瑞咨询预计,中国手机应用商店2012年和2013年的用户规模将有望分别达1.82亿、2.75亿。手机应用软件商店正在成为各大IT巨头发力的焦点。
但是,在移动互联网应用发展势头一片大好的背后,却暗藏着个人信息泄露的巨大风险。美国标枪战略研究公司(Javelin Strategy & Research)近期公布的的一份报告显示,2011年美国有近1200万人沦为身份盗窃的牺牲品,较2010年增长了13%。主要原因正是智能手机和社交媒体使用的增加。日本的KDDI研究所在调查了400种智能手机热门免费应用软件后发现,约6%的软件会将电话号码、终端ID、位置信息及使用软件一览表在用户不知情的情况下向外部发送。据国外媒体报道,安全厂商Dasient对1万款安卓应用进行了研究,发现逾8%的应用会向没有获得授权的计算机传输用户的个人资料。
360安全中心日前的《2011年中国手机安全状况报告》指出,2011年全年新增手机恶意软件及木马8714个,被感染智能手机用户数超过2753万人次。其中,安卓手机操作系统成为安全问题最为严重的平台。根据360手机云安全中心统计,2011年是Android平台恶意软件及木马的“井喷年”,相较2010年全年共发现12个木马样本相比,今年捕获新增安卓木马样本4722个,被感染手机用户数超过498万人次。从2011年8月起,安卓平台每月新增木马数量开始连续4个月超过塞班平台,在新增安全威胁的增速与增量上全面居首。
2011年10月到2012年3月,中国软件评测中心与北京大学互联网安全技术实验室针对Android手机软件的个人信息安全评测结果显示,基于安卓平台的应用存在严重的信息泄露风险。这次评测在中国移动应用商城、中国联通沃商店、中国电信天翼空间、机锋网等应用商店中随机选择了几百个测试样本,测试指标选取的原则为信息泄露造成危害程度、用户对信息的敏感性、利益相关方对个人信息的关注点。结果显示:IMEI号码泄露问题最为严重,其次为手机号码泄露,再次为地理位置和SIM卡序列号泄露。而在优亿市场、宝软网、安卓在线、数熊游戏软件等手机软件电子市场采样测试的结果则显示“数熊游戏软件”泄露手机号码情况较为严重。
这些数据显示,移动互联网已经变成了安全攻防的第二个主战场。面对移动互联网的发展和Wi-Fi普及带来的个人信息泄露风险,360总裁齐向东认为只有通过在移动终端上安装安全软件,才能实现有效的防御。在他看来,互联网应用的高速发展正在显示一种趋势――未来人们势必会将更多的个人信息、隐私信息放在互联网中,保护个人信息安全会变成互联网的头等大事。但当前人们对移动设备安全防护的认识还远远不足,比如安卓这类开源操作系统平台在安全性方面要远比Windows系统薄弱,基于这类平台开发的应用在安全机制方面的考虑也远远不够,这些问题会造成安全风险,很多用户对此还没有清醒的认识。和传统的终端相比,移动终端安全防护产品在个人信息安全防护的战场上所起到的作用将更为突出。如何构建多维防线
欧阳武指出,只有把个人信息保护纳入法制化的轨道,才能实现对个人信息的最好保护。在他看来,只有通过法律,才能明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确侵害他人隐私的责任和行政处罚制度。其次,由行业组织依据行业信息保护规则,在照顾行业发展特点的同时,制定出行业信息保护规范,通过行业自律的方式进一步完善事后承接机制,约束行业滥用信息也是非常关键的工作。此外,由于目前个人信息保护的国家标准还没有正式出台,企业的个人信息保护政策的落实的相关措施还没有相应的监督机制,对企业的个人信息保护能力还无法做到客观的评价,广大网络用户对相关的措施和安全管理工作还缺乏认知,实现个人信息保护也需要做大量的细致工作,所以目前根据标准的内容制定测评指标体系,建立第三方测评评估机制非常重要。第三方测评不仅能为行业自律提供可借鉴的标准,还能对提高全社会的个人信息保护意识起到推动作用。
篇8
就在会议召开的前2天,国内知名程序员网站CSDN遭到黑客侵袭,600余万明文注册的邮箱账号与密码遭到泄露。多玩网、人人网、世纪佳缘、猫扑论坛等多家网站受到牵连,堪称中国互联网上最大规模的一次用户资料泄露事件。
近年来,伴随着中国网络规模的持续增长,类似的个人信息泄露案件层出不穷,而随着移动互联网、三网融合、云计算等新技术的推进,网络安全又面临着更多新的挑战。因此,必须意识到网络安全工作的重要性和紧迫性,将加强互联网安全建设上升到实质的行动阶段。而这个实质行动阶段,需要法律、网站、网民多方在攻、防上共同努力。
首先,法律方面,以立法为攻,以严惩为防。我国当前对个人信息的保护机制还很不完善,《个人信息保护法》的相关立法工作早在2003年就已启动,但时至今日,仍未出台。所以,目前迫切需要加快信息安全立法,以有效应对网络安全面临的严峻挑战。在立法时,还要明确违法后果,以严格惩治形成威慑。
其次,企业要以技术为攻,以管理为防。再完美的技术也弥补不了“人祸”带来的漏洞。此次CSDN泄露用户信息,外界就盛传是由于金山公司员工在做分析工作时“操作不当造成的”。只有管理到位,流程严格,才能防止因“操作不当”而引发的恶果。尤其是在微博实行实名制的背景下,网站如何建立一套让用户信得过的信息安全管理制度,已成为无法回避的问题。
篇9
十二五规划下的安全探讨
本次大会以“构筑十二五规划下中国信息安全体系”为主题,对当前国内外安全威胁、中国电子政务遇到的安全与挑战、等级保护落实中的关键问题,以及各行业在“十二五”期间如何规划以应对信息安全的挑战等议题进行了热烈讨论。
中国计算机世界传媒集团董事葛程远表示,在信息安全威胁日益严峻的今天,“十二五”规划以2011年作为开局之年,在规划纲要中首次将“加强网络与信息安全保障”作为重要的一个章节突出,显示出“十二五”期间国家对信息安全的高度重视。“十二五”规划纲要中明确指出:健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。加快推进安全可控关键软硬件应用试点示范和推广,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全。
众所周知,现阶段的信息安全形势发生了不少变化,新时代的信息安全堡垒正在逐步建立。工业和信息化部信息安全协调司副司长欧阳武表示,“随着信息化水平不断提高,网络空间与物理空间相互交织、相互渗透、相互影响,网络已经成为人类活动的重要领域。”
比如,前不久,美国政府就了一系列政策性文件:4月15日网络空间可信身份战略;5月16日网络空间国际战略;6月8日网络空间安全创新和互联网经济;7月15日网络空间行动战略。这些都凸现了美国政府对陆海空天之外的网络空间的高度重视。
中国政府对信息安全工作也十分重视,其中工业和信息化部的一项非常重要的职责就是协调和维护国家信息安全。为了切实履行好这一职责,工业和信息化部专门设立了信息安全协调司,以指导、监督政府部门和重点行业的重要信息系统基础信息网络安全保障工作,承担信息安全应急协调,协调处理重大事件。而“十二五”规划也为加强网络与信息安全保障指出了明确方向。不过,国家信息化专家咨询委员会委员宁家骏认为,目前对国家信息安全发展战略的研究不够。
“顶层设计的缺失导致中央和地方信息安全保障难以形成统一体系,影响了信息安全保障工作的可持续发展;中央和地方分级建设模式在一定程度上制约了统一体系和统一标准的形成;另外,在技术上存在先天不足、自主创新可控能力不足,也带来新的问题。”他说。
国内外安全形势严峻
会上,宁家骏给与会者展示了这样一组数据:2011年6月互联网网络安全主要数据显示,我国境内感染网络病毒的终端达到815万个,境内篡改网站数量达3164个,其中篡改政府网站数量333个,国家信息安全漏洞共享平台收集整理漏洞447个,其中257个是高危漏洞,可以实施远程攻击的则有406个。公安部针对网络黑客攻击破坏活动专项行动打击,破获案件169起。同时,网络失窃现象严重,政府网站也时常发生被植入木马病毒的情况。另外,由于基础网络存在一定的相互依赖性,网络安全威胁还可能导致灾难性的骨牌效应,安全对信息化进程的稳定性存在必然的扰动性。
事实上,近两年国际国内由黑客主导的安全事件的影响力以及破坏力一直在不断上升,黑客行为已经脱离了“自由、共享”的初衷,正处于逐步失控的状态,由此诞生的黑客产业链更是让信息安全面临着更大的挑战。
中国绿色兵团发起人之一、CHOWNGROUP倡导者李麒是一位长期和黑客以及黑客地下产业链打交道的黑客专家。在他看来,黑客的行为已经不局限于利用木马程序盗取QQ账号、网络游戏账号、银行账号等个人信息为己牟利,一些黑客的行为已经开始对国际大事产生影响,“前不久我们发现越南的黑客将某个政府网站首页进行了篡改,替换上他们的黑客页面,用以表现他们在上的一些政治意图。”
目前网络战已经升级成国与国之间的拉锯战,各国都创建了属于自己的精锐“网络部队”。去年5月,美军网络司令部启动应对网络攻击计划,建立陆海空全面网络战防御体系,其目的就是打信息战,并形成完备的信息战体系。
防范Web威胁是大势所趋
目前,黑客攻击正在从传统的网络层转化为应用层,同时越来越多的黑客开始盗取企业保密信息用于牟利。
“黑客可以盗取企业的机密信息、图纸、财务报表以及核心数据等,将这些卖给企业的竞争对手,这其中也包括一些跨国公司的核心数据。”李麒说。
达到这些目的的方式主要是网页被篡改、挂马、仿冒三种手法,我国电子政务网站也深受其害。
“去年我们协助国家相关部门对全国31个省市区的7383个政府对外服务的网站进行大检查,发现这些网站的安全情况不容乐观。所查的网站一般都存在问题,其中最为突出的就是网页被篡改,这种情况占到整个安全事件数量的62.7%,位居第一。”李麒表示,“造成这种问题的原因主要是网站的程序设计时没有全面考虑安全因素,比如安全代码优化、安全代码编辑等关注不够。”
李麒认为,造成信息安全形势严峻的一个重要原因是用户将安全防护重点设置在网络层,而忽略应用层,黑客针对Web应用层进行攻击往往让人防不胜防。“与传统网络安全不同,Web安全威胁变化非常快,做好控制并不容易,尤其是维护、开发、上线等过程。针对这样的情况,用户不仅要建立整个安全防护体系,同时还针对目前信息安全态势做好监测,对整个安全指标进行量化。另外,要将安全做到平台化、周期性、常态化、制度化,做好预警。最后,要实现安全的易用性,并充分了解当前信息系统的安全状态,出了问题要有相应的机制和应急响应。”
建立安全保障长效机制
为了应对日益严峻的安全形势,2008年4月国家出台了关于加强政府信息系统保密的通知,要求各地区、部门每半年要进行一个政府信息系统安全检查。2009年3月又印发政府信息系统安全检查办法,明确了工作原则以及安全检查的工作要求等,督促各地区和部门加强政府信息系统的安全防护。
会上,欧阳武还提出应大力推广电子签名。“网络的匿名性、行为主体不确定性是互联网最大的安全隐患。通过电子签名技术可确认行为人和确保网络行为的不可抵赖。一旦有了可靠的电子签名,我们物理世界里面维护安全的最重要的两个基石――法律和道德在网络空间里面也有了应用的基础。”
据了解,信息安全协调司成立三年以来把落实电子签名法作为一项重要工作来抓。目前,工信部许可可信数字证书的社会保有量已经接近两千万,一个可信身份认证服务系统体系正在形成。
此外,让计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制也是我国信息安全建设的重点。公安部十一局郭启全处长表示,目前国家信息安全面临的新形势要求我们要重视国家关键信息基础设施保护,近几年公安部、工信部、国家广电局、密码局做了大量工作把国家关键基础设施梳理出来,保护重点进一步明确。但是,如何全面和整体解决各行业在信息化建设中的安全问题,仍是国内外信息安全界一直关注的问题。
各行业构建
信息安全堡垒
电子商务、电力、医疗、能源等行业也都在信息安全领域进行新的尝试。上海信息安全基础设施研究中心副主任顾青表示,“十二五”规划中明确指出要积极发展电子商务,完善面向中小企业的电子商务服务,推动面向全社会的信用服务和网上支付物流配送支撑体系建设。
根据中国电子商务研究中心的统计,截止到今年6月份,电子商务交易市场达2.9万亿元人民币的交易额,B2B达2.6万亿元,但在电子商务的发展中,网络经营主体的身份确认机制尚未成型,网络市场经营行为需要进一步规范,网络市场成型体系有待健全,政府职能部门服务监管有待于改进,网络消费者维权行为有待于保障和解决等问题一直困扰着电子商务市场。同时,电子商务对数字证书认证有非常迫切的需求。因此,市场需要政府职能部门提供电子商务公信服务,创新监管方式方法,维护电子商务市场秩序,促进第三方认证服务机构提供电子商务公正服务,培育战略性新兴产业,构建完整的电子商务信任服务体系。
电监会信息安全处处长温红子作为电力行业的代表,对于工控系统基础性地位级面临的安全威胁深有感触:“和IT系统一样,工控系统也面临黑客攻击、恶意代码、外力破坏、自然灾害等安全威胁。同样,工控系统一旦发生安全事件,损害程度将非常严重。比如,因病毒入侵伊朗布什尔核电站的西门子工控系统,致使数台离心机数据错误,使伊朗能力倒退两年。这件事值得我们警惕。”
温红子指出,工业控制系统的安全防护工作任重而道远,在一些影响国计民生的大行业中应该引起足够的重视,并亟需建立起可控的安全防护措施。
记者观察
从来没有真正的安全,安全是各方博弈的结果。自IT技术诞生以来,针对信息安全的讨论和争斗就不绝于耳。
由《计算机世界》主办的“中国信息安全大会暨中国CSO俱乐部年会”已经迎来了第九个年头,主持人的机敏、专家的博学、演讲者的幽默,以及参会者的认真,让每一届大会都会碰撞出火花,这让原来严肃的话题产生出不一样的感觉。
本届信息安全大会以“十二五规划下的信息安全”为主题,来自政府、协会以及各行业企业代表各抒己见,围绕大会主题介绍了各自下一阶段的安全规划。安全厂商针对目前的安全技术热点以及用户新应用需求,提出了有针对性的安全解决方案,并希望借此帮助企业在“十二五规划”指导下构筑更为安全的企业防护体系,参会者亦对此表示出浓厚的兴趣。
计算机世界传媒集团董事 葛程远
工业和信息化部信息安全协调司副司长 欧阳武
公安部网络安全保卫局处长 郭启全
上海信息安全基础设施研究中心副主任 顾青
国家信息化专家咨询委员会委员 宁家骏
中国绿色兵团发起人之一、CHOWN GROUP倡导者 李麒
篇10
一、技术、管理保障方式
1、技术实现方式:综合运用以密码为核心的信息安全技术,通过统一身份认证、统一授权管理和访问控制等安全机制,采取分级分域控管技术,合理配置信息安全资源,实现等级化安全防护,有效解决了信息传输安全。
2、管理保障方式:采取全市集中管理与各单位分头维护相结合的办法,按照“统一管理、分头维护、共同构建、全面服务”的模式维护管理。
二、建设项目
(一)基础工程
1、以政务专网新密核心网为中心建设一体化分级防护安全保障体系工程
(二)基于互联网电子政务应用工程
1、社会管理平台上的行政并联审批系统。
2、内外网网站整合改版工程。
3、和谐服务平台上的“”便民热线服务系统。
(三)深化推广工程
1、基于一体化分级防护安全保障体系完善各项应用。
2、地理信息支撑平台信息查询系统。
3、政府网校学习系统。
4、子网站系统。
二、建设项目方案
(一)基础工程
以政务专网新密核心网为中心建设一体化分级防护安全保障体系工程
利用现有政务专网新密核心网,按照重点区域安全保护原则,采用一体化设计、分级分域防护理念,通过建设一体化分级防护安全保障体系,完成政务专网核心网与互联网之间安全、有限数据摆渡,为开展基于互联网的电子政务试点工作打好基础。
1、建设目标:①建设互联网接入控制、边界防护和内外网数据摆渡系统
②按照重点区域安全保护和分级防护原则对互联网缓冲区进行等级划分,对互联网应用进行分级、分域划分管理,完善互联网缓冲区安全防护体系。
③按照重点区域安全保护和分级防护原则完善政务专网新密核心网安全防护体系。
④在缓冲区建立基于单点登陆的统一身份认证系统。
2、责任分工
牵头管理部门:系统规划由信息办和北京ca认证中心负责;建设推动由市委办和政府办牵头;测试验收由省信息办负责、信息办和中标公司负责;推广使用由市委办和政府办牵头。
监督审计部门:建设审计由监理公司和相关专家负责;应用监督和日常统计由两办牵头,信息办负责。
系统技术服务部门:系统技术规划、布置和技术服务由信息办和中标公司负责。
参与单位:系统调研、需求和应用由信息办和中标公司负责。
(二)基于互联网电子政务应用工程
1、社会管理平台上的行政并联审批系统
1)目标:建设网上服务并联审批平台,实现互联网受理,政务专网新密核心网办理、处理、办结,最终流转到外网的一站式并联审批服务平台;
2)技术要求:完善单点登陆应用系统,并在此基础上改善和建设各项应用。基于单点登陆系统建设统一身份认证系统,通过数字证书、usb-key等手段实现统一身份认证和等级化访问控制,实现基于工作流的访问控制;
3)实现方式:一是硬件基础施工,通过sslvpn技术加密的核心设备在互联网区建立外部网络缓冲区,互联网来访者使用sslvpn技术通过防火墙和入侵检测设备过滤后可以进入缓冲区,通过数字证书等认证方式进行统一身份认证,认证通过后在缓冲区内进行数据交换。数据交换完成后,由缓冲区通过物理网闸向政务专网新密核心网提出数据摆渡申请最终完成数据摆渡交换。
二是公开招标项目实施公司。
三是由中标公司结合行政服务中心进行各项行政审判前期调研,提出具体实施方案。
四是实施部署行政审批系统。
五是试运行,进一步完善系统。
4)责任分工
牵头管理部门:系统规划由行政服务中心和中标公司负责;建设推动由市委办和政府办牵头;测试验收由信息办和中标公司负责;推广使用由市委办和政府办牵头。
监督审计部门:建设审计由监理公司和相关专家负责;应用监督和日常统计由两办牵头,行政服务中心负责。
系统技术服务部门:系统技术规划、布置由信息办、行政服务中心和中标公司负责;技术服务由信息办和中标公司负责。
参与单位:系统调研、需求和应用由行政服务中心和中标公司负责,具体工作流程由各相关职能部门负责。
2、内外网网站整合改版工程
1)目标:对现有门户网站进行整合优化升级,从后台和数据库上整合内网门户和外网门户网站,实现内外网门户信息的分级、分内容的同步显示和一体化维护,实现电视节目直播。建成中文、英文二合一的全新的中国.新密门户网站,规范并打造新密网站群,十七个乡镇、办事处、管委会全部制作独立网站,形成以一带多、群体宣传和规模优势。
2)技术要求:一是统一内外网网站后台管理系统,变2套系统为单一系统;
二是建立数据缓冲区,实现内外网数据交换,由缓冲区通过物理网闸向政务专网新密核心网提出数据摆渡申请最终完成数据摆渡交换。
3)实现方式:公开招标内外网站整合公司。
4)责任分工
牵头管理部门:系统规划由信息办负责;建设推动由市委办和政府办牵头;测试验收由信息办和中标公司负责;推广使用由市委办和政府办牵头。
监督审计部门:建设审计由监理公司和相关专家负责;应用监督由两办牵头,信息办负责;日常统计由信息办负责。
系统技术服务部门:系统技术规划、布置和技术服务由信息办和中标公司负责。
参与单位:系统调研、需求和应用由信息办、原两办文件规定网站更新单位和中标公司负责。
3、和谐服务平台上的“69812345”便民热线服务系统
1)目标:实现由单一的电话接入方式,变为电话、传真、手机短信、网页表单、电子邮件等多种方式接入;实现网上事项办理、自动考核、自动语音功能与政府网站及其它办公系统整合等功能,为公众提供全方位的服务。实现市长热线多渠道受理、短信督办、超期提醒、多渠道回复公布等;
2)技术要求:呼叫中心系统
3)实现方式:一是公开招标项目实施公司。
二是由中标公司结合市长电话室心进行前期调研,提出具体实施方案。
三是各相关具体职能单位提出具体建议。
四是实施部署系统。
五是试运行,进一步完善系统。
4)责任分工
牵头管理部门:系统规划由政府办和信息办负责;建设推动由市委办和政府办牵头;测试验收由信息办和中标公司负责;推广使用由市委办和政府办牵头。
监督审计部门:建设审计由监理公司和相关专家负责;应用监督和日常统计由两办牵头,市长电话室负责。
系统技术服务部门:系统技术规划、布置和技术服务由信息办和中标公司负责。
参与单位:系统调研、需求和应用由政府市长电话室、和中标公司负责,具体工作流程由各相关职能部门负责。。
(三)基于一体化分级防护安全保障体系完善各项应用
在一体化设计,分级、分域防护原则下基于统一身份认证系统完善电子公文、视频会议、个人办公等应用系统。完成各项应用互联网缓冲区和政务专网新密核心网之间数据安全、有限摆渡。实现互联网公布、公示,政务专网流转、办理结果返回效果。
1、地理信息支撑平台信息查询系统。
地理信息系统是一个给救助管理和计算机辅助调度的集成电子地图解决方案。它提供了在电子地图上自动和迅速地给救助和事件的地址定位,并且持续实时更新事件状态。建立新密市具有有限目标和专业特点的地理信息系统,为特定的专门的目的服务。
2、政府网校学习系统。
提供机关工作人员学习、考试快捷方便的网络渠道。
3、子网站系统。
对全市各单位建设本单位子网站,为形成全市的政府网站服务群打下基础。
四、工作计划
20**年12月—20**年4月为项目调研、规划期;
20**年5月-20**年6月建设一体化分级防护安全保障体系,完成互联网缓冲区和政务专网新密核心网的风险评估和分级分域防护建设;同时进行并联审批调研。
20**年7月-20**年10月,建设基于单点登陆的统一身份认证系统。以内外网整合改造为首个尝试,基于统一身份认证体统实现一套后台管理内外网网站,子网站系统的建设,完成互联网网站和服务大厅在互联网缓冲区的部署,完成互联网网站后台管理和服务大厅的内部流转在政务专网新密核心网的部署,最终完成两者之间数据安全、有限摆渡。
20**年9月-20**年10月,在互联网区建设12345市长热线受理系统。
20**年9月-12月完成双网并行并联审批系统调研,以一个网络便民服务项目为试点,完成该事项从互联网发起申请到政务专网新密核心网办理、处理并最终将结果返回互联网服务大厅的整个流程设计和基于工作流的访问控制。
20**年11月-12月完成地理信息系统数据准备,前期调研,基础应用;政府网校的建设。
20**年10月-12月,对整体试点项目工作总结、回顾,进行试点工作初步验收。
五、建设要求
一是注重实用实效。试点工作从实际需求出发,注重实用,本着花最少的钱,办更多的事。进行详细调研,针对新密市信息化基础设施较好、村村通电话、光纤已铺设到乡镇进行全面分析,提出详实的需求分析报告,有效整合各部门资源,着力构建全市安全的电子政务办公平台,合理开设栏目,解决目前各单位信息资源不能充分共享、联合办公效率低下、不能移动办公、公众获取信息难的问题。
