時間:2022-07-23 02:57:03
導語:在信息安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
高校數字化的檔案信息從傳輸、存儲到顯示利用都要通過計算機來實現,計算機和網絡是生成和利用數字檔案信息的基礎和前提,離開計算機軟硬件和網絡的傳輸,數字化的檔案信息就不可能讀取和顯示,因此,數字化檔案信息對計算機及網絡有很強的依賴性。然而眾所周知,計算機及網絡具有一定的不安全性,因為計算機網絡的某些隱患,有時會使檔案信息遭到毀滅性的破壞,這就產生了檔案信息的安全問題。如何確保數字化檔案信息的保密性、完整性、真實性和可利用性,給高校檔案數字化工作帶來了極大的挑戰,對高校在檔案數字化進程中采取先進技術和有效措施,保障高校檔案信息安全提出了較高的要求。
二、數字化進程中高校檔案信息安全現狀
檔案數字化給高校檔案工作帶來了新的生機,數字化檔案信息的網絡傳輸和查詢在為社會提供廣泛信息服務的同時,也給高校檔案的信息安全帶來了嚴峻挑戰。例如:在數字化加工過程中,有的高校利用勤工助學學生或通過外包實現檔案全文數字化,存在對學生培訓不夠和對數字化加工服務機構、加工場地、加工人員和加工成果等方面監管不到位,管理不規范的問題;有的高校檔案管理人員沒有經過正規的機要保密培訓,在工作實踐中,對已觸“紅線”的檔案信息資料繼續以常規方法掛網;有的政府信息安全部門對進行檔案數字化工作的單位指導不到位等等。
1.高校檔案數字化進程中沒有完整的法律法規制度保護信息安全。
目前,各高校全文數字化工作主要依據《中華人民共和國檔案法》、《高等學校檔案管理辦法》、《電子公文歸檔管理暫行辦法》等法規。法規制度分散零亂,缺乏系統的規劃和設計,對于高校檔案信息安全保障法規不成體系,缺少專門的法規。
2.高校檔案數字化沒有統一技術規范標準。
目前,沒有一套具體全面、系統規范、科學合理、可操作性強的檔案數字化技術規范,來保證高校檔案數字化工作能夠安全、科學、規范、有序地進行。
3.高校檔案數字化評估、防范少,檔案信息安全缺乏預警能力。
高校檔案信息安全保障體系的各部分建設仍處于相對獨立的狀態,常將檔案信息安全保障與檔案信息安全保護混為一談。人員崗位職責不明確,業務操作不規范,有越崗代崗現象,有的操作人員在相關計算機上使用與檔案數字化無關的軟件,難免帶來病毒侵襲等隱患,造成數字化系統癱瘓,使得安全保障階段的能力僅僅停留在保護的水平上,不能主動防御和動態保護檔案信息安全。
4.高校檔案專業人才短缺,檔案信息安全保障缺乏發展能力。
在檔案信息開發和利用過程中,人始終參與其中,是檔案信息安全的制造者,也是檔案信息安全的護衛者。隨著檔案信息化的推進和檔案事業的發展,對檔案工作者的要求也越來越高。在檔案信息安全保障體系建設中,專業的信息安全人才是不可或缺的部分。
三、數字化進程中高校檔案信息安全策略
1.遵循法律制度是高校檔案信息安全的基礎。
法律制度是高校檔案數字化工作生成、管理、存儲、利用各環節的參與人員共同遵守的規章或準則的統稱,包括政策、法律、法規、標準、內部規定等多種形式。連續、有效、健全的制度是科學應對檔案數字化進程安全風險的保障。通過科學的制度建設,約束威脅數字檔案安全的人為因素,調動各方面人員應對安全風險的積極性才是根本。在數字化進程中,要保證高校檔案信息安全,必須加強法制管理,充分運用法律手段,規范檔案管理人員對數字化檔案信息的安全保障。把保障檔案信息安全的各項工作納入法制化、規范化的軌道,進而提高檔案管理部門對檔案信息安全工作的管理水平。目前,高校檔案數字化進程中應遵循的相關法律法規包括:《中華人民共和國檔案法》、《中華人民共和國檔案法實施辦法》、《高等學校檔案管理辦法》、《電子公文歸檔管理辦法》等等。這就要求高校有關部門一方面要依據現有法律法規,加大執法力度,嚴格執法,切實起到保障高校數字化檔案信息安全的作用,另一方面針對高校檔案信息安全面臨的復雜問題,上級有關部門要進一步完善高校檔案信息安全的法律法規,盡早出臺有效的專門的法律依據。同時,高校也要根據自身的實際情況,修訂數字化檔案信息安全管理辦法。
2.制定檔案信息安全標準是高校檔案信息安全的前提。
檔案信息安全標準是一種多學科、綜合性、規范性的標準,其目的在于保證檔案信息系統的安全運行,保證利用者和設備操作者的人身安全。面對數字化檔案事業的不斷發展,制定數字化檔案信息安全標準對保證高校數字化檔案信息安全與保密起著重要的作用。高校要根據國家相關標準與規范,結合學校實際情況,在充分調查研究的基礎上,制定一套具體全面、系統規范、科學合理、可操作性強的檔案信息安全標準,保證高校檔案數字化工作科學、規范、有序地進行。檔案信息安全標準包括以下幾個方面的內容:一是網絡基礎標準,主要涉及基礎通信工程建設、網絡平臺建設、網絡互聯互通技術等方面;二是應用標準,基于部分高校檔案數字化信息也會面向公眾,為社會提供必要的服務,所以要制定字符內部編碼標準、數據處理格式標準、信息輸出標準等;三是應用支撐標準,主要涉及信息交換平臺、電子記錄管理和數據庫方面的標準,能給高校檔案數字化提供各種支撐和服務;四是信息安全標準,主要涉及安全級別管理、身份認證、訪問控制、加密算法和數字簽名方面的標準;五是管理標準,主要涉及人員管理、制度管理和檔案信息管理等方面的內容。
3.安全技術保障是高校數字化檔案信息安全的核心。
數字化檔案信息是高科技產物,因此也需要高科技技術來保障檔案數字化信息服務、編研工作和檔案信息安全工作。高校檔案數字化進程中面臨的技術風險多種多樣,歸納起來主要有:軟硬件配置不當、數字化技術不成熟等等,這些都會對信息安全構成隱患,但只要有防范意識,絕大部分風險都可以規避。目前,高校檔案數字化進程中涉及到的信息安全技術主要有以下幾種:一是防火墻技術。它是設置在被保護網絡和外部網絡之間的一道屏障,在外部網與內部網之間建立起一個安全網關,從而防止發生不可預測的、潛在破壞性的侵入。它可以通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏敝網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。二是數據加密技術。數據加密技術一般與防火墻技術配合使用,它是為提高信息系統及數字檔案信息的安全性和保密性,防止機密信息被外部破析所采用的主要技術手段之一。三是反病毒技術。反病毒技術包括預防病毒、檢測病毒和消除病毒三種技術。四是訪問控制技術。在操作系統和數據庫系統中規定了訪問控制的權限,如規定文件建立者具有可讀、寫、修改或執行的權限。強制性訪問控制引入了安全管理員的機制,增加了安全保護,可防止用戶無意或有意地使用自主訪問的權利。五是安全審計技術。通過對網絡內發生的各種訪問情況記錄日志,并對日志進行統計分析,進而對資源使用情況進行事后分析,它也是發現和追蹤事件的常用措施。
4.有效的安全管理是高校數字化檔案信息安全的關鍵。
數字檔案信息安全管理是以數字檔案信息及其載體為對象的安全管理,它的任務是保證高校數字檔案信息的使用安全和信息載體的運行安全。數字檔案信息安全保障的管理體系是指以系統全面科學的安全風險評估為基礎的、體現“防患于未然”為核心的、動態的數字檔案信息安全管理。數字檔案信息安全管理活動包括建立機構、制定計劃、開展培訓、落實措施、檢查效果和實施改進等過程。學校檔案部門必須成立一個安全管理工作組,負責實施和監控整個檔案數字化信息安全管理活動,對檔案數字化信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性進行評估;不定期對人員進行安全策略及安全技術的培訓,有效地遏制來自外部和內部的攻擊,增強安全防護能力和隱患發現能力,確保高校數字檔案信息資源內容和信息載體的安全。
5.高素質的人才是高校數字化檔案信息安全的保證。
人員管理是高校數字化檔案信息安全工作中最關鍵的部分,也是最難的部分。應對各個時期的安全風險,有效管理參與人員應建立在以下兩個假設之上:一是人人都可能帶來不確定的安全風險因素,人人都肩負著保證信息安全的職責。在對外部非授權用戶制定防護措施時,也要加強對內部人員的管理、培訓、監督和審計工作。二是參與人員分工不同,每類人員參與檔案信息安全的工作分工也不同。在保證檔案信息安全工作計劃中,應明確主管領導、技術人員、管理人員、數字檔案形成者和利用者的權利、責任和義務。
四、結語
云平臺是以“云計算”技術為基礎而構建的網絡服務平臺,但是由于當前“云計算”技術還存在一些技術漏洞,所以為云平臺的數據信息安全帶來了一定的安全隱患。
1.數據安全問題
數據安全性的問題一直是計算機信息管理中擔憂的問題,云平臺信息的管理亦是如此。由于“云計算”技術為用戶提供存儲云,讓用戶通過互聯網絡將自己本地的數據存放到“云端”來節約本地存儲資源的開銷,從而使得存儲云內集中了大量的用戶信息等一些重要的數據資源,極易成為黑客攻擊的目標。近些年來,“云攻擊”時間頻頻引起我們的關注,例如黑客利用多家WordPress網站進行的DDos放大攻擊事件、新浪微博蠕蟲攻擊時間等都是非常嚴重的“云攻擊”時間。此外,當用戶將個人數據放到存儲云中后,用戶并不清楚自己存儲數據的具置,而數據存放后訪問的優先權也就從用戶轉變成了存儲服務的供應商,一定程度上降低了數據的機密性。
2.虛擬化技術引起的安全隱患
虛擬化技術是“云計算”技術的關鍵技術,是為了充分利用系統的硬件資源來構建的虛擬化的網絡基礎設施服務的技術。由于虛擬化技術是完全依賴于系統硬件的,當系統的某個硬件出現問題后,整個虛擬化機器都會面臨崩潰的威脅。同時,虛擬化技術實現的計算機資源的共享會部署在同一臺物理服務器上,所以不同虛擬機之間的數據隔離是非常有必要的,如果非法用戶非法獲取了虛擬機的權限,可能會通過一臺虛擬機來訪問其他的虛擬機數據,從而造成數據泄露。此外,虛擬化技術的應用使得終端用戶存放的數據分散,具有無邊界性,所以對于存儲的數據無法提供明確的安全邊界和保護措施,增加了數據安全保障的難度。
3.系統可靠性
云平臺上的用戶數據的存儲、處理、網絡傳輸與服務的計算機系統關系非常密切,如果該計算機系統出現了問題,直接導致云平臺上數據的丟失,直接影響到了用戶的利益。此外,云平臺的信息安全問題對于供應商的信譽問題也是非常重要,如果供應商由于經濟或者其他原因終端服務,那么用戶的數據也會面臨丟失的威脅。
二、云平臺信息安全保護策略
“云計算”是當前IT服務界一場全新的技術革命,為網絡時代帶來了巨大的商機,在各個領域中已經得到廣泛的應用,如何搭建安全穩定的云平臺來保證平臺內部數據信息的安全也是巨大商機下提出的巨大挑戰。
1.云平臺構建
在云平臺的構建初期,就要充分考慮到平臺內的信息安全保護策略。由于當前網絡安全最大威脅來自于黑客攻擊以及破壞計算機功能和信息數據的計算機病毒,所以在構建云平臺時,根據以往的反黑客和反病毒攻擊的技術手段和經驗,來構建安全的云平臺,進而維護期安全運轉。由于云平臺的安全問題要比傳統的信息安全問題復雜得多,運行的系統性能要求更大,所以構建安全的云平臺,要以強大的資金和技術的投入作為保障來是云平臺建設順利進行。此外,要增加云平臺的系統開放性,以吸引更多的合作伙伴加入,從而增加云安全的覆蓋能力,保證云平臺的安全運行。
2.云平臺的數據保護
除了云平臺提供的SaaS(軟件即服務)服務之外,其他的云計算供應商對于隱私數據的保護力度不夠,如果直接以數據明文的形式存儲在平臺內,則會是存儲數據的機密性和完整性受到威脅,所以供應商應該采用數據加密技術對敏感數據進行加密,從而增加存儲數據的安全系數,在一定程度上又可以進行數據隔離。此外,云平臺供應商應該為用戶設置公共云和私有云,并且加強防火墻的設置安裝,而云平臺用戶則可以根據對企業的數據和應用服務進行風險評估分析,并根據分析結果將其放置在公共云還是私有云。比如對于企業的核心業務的關鍵任務,則必行將其放置在私有云內并通過安裝防火墻來增加其安全系數。加強訪問云平臺用戶的安全認證也是對數據進行保護的一項措施,對于云平臺的用戶安全認證,可以采用強制用戶認證和單點用戶認證結合的方式,從而用戶只需登錄一次即可進入整個web應用,從而避免云平臺用戶的密碼泄露。
3.云平臺的網絡安全
云服務的供應商在增加數據保護的同時,也要對加強云平臺網絡的安全監控,指定完善的監控策略,使用過濾器對離開云平臺網絡的數據進行監視,一旦發現異常即可采取必要措施來攔截傳輸數據,從而阻止隱私數據的外泄。對于云平臺數據的傳輸,也需要采用數據加密技術來加密傳輸數據、VPN技術構建虛擬信道、身份認證技術加強數據傳輸安全,從而確保云平臺數據出網后的信息安全。雖然“云計算”技術已經發展到了應用階段,但是對于云平臺的監管仍相對落后,而且云計算相關的核心技術國內仍未掌握,所以我國應該建立健全的法律法規,支持云計算核心技術的自主研發,設計符合我國國情的云計算業務解決方案,加快建設云平臺安全評估和監管體系,從而為云平臺的信息安全保護提供強有力的后盾。
三、總結
油田企業的數據信息資源,對油田企業非常重要,一旦受到破壞,將會給油田企業帶來巨大的經濟損失。所以在油田網絡信息安全體系建設的過程中,需要將其安全性提升,加強外部安全建設。在預防為主的基礎上進行,對外部因素、病毒因素的影響,只有將系統的安全性提升,才可以杜絕此類影響的發生。在油田網絡信息安全體系建設中,建立防火墻,可以將體系的安全性提升,在網絡和油田網絡信息安全體系之間建立一個安全網關,保護體系不受非法入侵者侵入和攻擊。防火墻的建設,將體系的安全性、網絡的安全性提升,有效地阻止了體系的非法訪問,不允許外網訪問內網。在建設網絡防火墻的基礎,增加入侵檢測設置,對系統入侵進行控制。入侵檢測技術是防火墻的一種互補,可以提升油田網絡信息安全體系中信息管理的性能,保證信息的完整性,減少網絡威脅。
2加強內部建設
在加強外部安全建設之后,油田網絡安全信息體系的建設,想要保證信息管理的安全性,保證信息的完整性,還需要加強系統的內部建設。從當前油田網絡信息安全體系建設現狀進行分析,加強內部建設,可以從設置系統訪問權限、對網絡病毒進行防治、加強網絡信息安全體系的管理等方面入手。保證油田網絡信息安全體系以及信息安全的有效手段之一,就是設置系統的訪問權限,采用虛擬網絡技術對油田企業的數據信息安全進行保護。其次是加強病毒防治技術的應用,提高網絡信息體系的安全。病毒在網絡中的傳播途徑和傳播方法有多種,為了提升油田網絡信息安全體系的安全,提升信息管理質量,需要堅持層層設防、集中控制、以防為主防治結合的原則,進行系統安全性的建設。最后加強系統的安全管理,如果網絡安全管理缺乏,系統在工作的過程中,也會對數據信息的安全產生一定的威脅,為此需要在油田網絡信息安全體系運用中,加強網絡安全管理,提高系統的病毒防治有效性。
3結語
1.1物聯網應用者隱私安全問題
日常生活中,物聯網被應用到所有領域,所有的物品都可能隨時隨地的連接到網絡上,而物品的擁有者不一定能覺察,他將不受控制地被定位、追蹤,不可避免地帶來許多個人隱私泄露問題,這無疑是對個人隱私的一種侵犯。這不只是涉及到網絡技術問題,嚴重的還會上升到法律問題,從而產生糾紛等等一系列問題。所以,在現今的物聯網時代,怎樣預防財產信息、個人信息不被不法分子盜用,維護個人信息的安全性和隱私性,成為現今物聯網發展道路上需要掃清的重大障礙。
1.2物聯網感知節點的本地安全
物聯網系統感知節點相對簡單存在一定的安全問題。欠缺有效的監測管控手段以及相關設施,同時節點總量較為復雜龐大,傳送的消息和信息也沒有固定的標準,使得它們無法具備復雜的安全保護能力。但物聯網技術可以代替人來實現一些繁瑣、機械和危險的工作,因此物聯網為了減少人力消耗和危險性大多數用來做一些遠程控制,機器設備基本上會安置在無人監管的環境中。這樣便可令進攻者、入侵者快速地找到并影響該類設施、設備,從而進一步對其造成破壞影響,高手還可以利用本地操作進行相關軟硬件系統設施的變換,勢必將造成很嚴重的后果。
1.3射頻識別技術(RFID)的安全問題
射頻識別技術(RFID)是一種非接觸式的自動識別技術,在物聯網應用中起到非常重要的作用,由于射頻識別技術(RFID)標識缺乏自身保證安全的能力,這種非接觸式的無線通信存在非常嚴重的安全問題,致使攻擊者或者入侵者可以通過發射干擾信號使讀寫器無法接收正常的標簽數據,造成通信拒絕服務。同時射頻識別技術(RFID)讀寫器要與主機通信,那么射頻識別技術(RFID)本身也可以成為攻擊的對象。因此,射頻識別技術(RFID)本身存在很多安全問題,影響了物聯網的應用。
2物聯網信息安全的防范措施
根據物聯網的組成及其特點,結合物聯網信息安全隱患的具體情況,提出以下幾個方面加強物聯網信息安全防范的措施:
(1)完善的感知層操作規章制度。首先要保證物聯網具備一定的自我修復功能,即便物聯網的感知層或者設備受到不法攻擊,物聯網可以通過自身的修復系統對其進行修復,以降低由此造成的損失,同時還需要在節點的建設過程中適當的增加備用節點的數量。而且還需要對物聯網的管理權限進行合理的設置,避免非專業人員對物聯網的關鍵環節進行更改,同時還需要嚴格加強物聯網管理人員的身份認證制度。
(2)物聯網的安全防護。物聯網自身的安全性能決定著物聯網的安全防護能力,因此需要從物聯網的協議、設備等方面予以加強。要從物聯網信息傳輸的協議層出發提高其安全協議的級別,以更好的增強物聯網的自我保護能力。同時還要提高物聯網傳感器節點相關硬件設備的安全協議級別,以降低物聯網遭受攻擊的機率。
(3)物聯網信息安全的制度建設。物聯網的大規模普及亟需相關配套制度的建設,因此相關的政府和管理需要盡快出臺和完善相關的法律法規,對破壞物聯網信息安全的行為做出具體的懲罰措施,以更好的規范物聯網的發展,降低物聯網發生破壞的機率,保障物聯網更好的發展。
3結語
論文摘要:隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網土購物、商戶之間的網交易和在線電子支付以及各種商務活動和相關的綜合服務活動的一種新型的商業運營模式。信息技術和計算機網絡的迅猛發展使電子商務得到了極大的推廠,然而由于互聯網的開放性,網絡安全問題日益成為制約電子商務發展的一個關鍵性問題。
一、電子商務網絡信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面:
1、網絡信息安全方面
(l)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
2、電子商務交易方面
(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
二、電子商務中的網絡信息安全對策
1、電子商務網絡安全的技術對策
(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信息的完整和提供信息發送者身份的認證,應用數字簽名可在電子商務中安全,方便地實現在線支付,而數據傳輸的安全性、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和工nternet之間的任何活動,保證內部網絡的安全。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地,對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
2、電子商務網絡安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的保密措施。
(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證,應由專職網絡管理技術人員承擔,為安全起見,其他任何人不得介人,主要做好硬件系統日常借理維護和軟件系統日常管理維護兩方面的工作。
(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網絡系統中易感染病毒的文件屬性、權限加以限制,斷絕病毒人侵的渠道,從而達預防的目的。
(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統,應針對信息安全至少提供三個層面的安全保護措施:一是數據在操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份,通過以土保護措施可為系統數據安全提供雙保險。
三、電子商務的網絡安全體系結構
電子商務的網絡信息安全不僅與技術有關,更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:
1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性,保證其可靠哇和為系統提供基礎性作用的安全機制。
2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制,系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。
3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。
4.電子商務網絡安全的立法保障。結合我國實際,借鑒國外先進網絡信息安全立法、執法經驗,完善現行的網絡安全法律體系。
科技的進步和生活的個性化需求,使逐漸成為繼報刊、廣播、電視、互聯網后的“第五媒體”。據工信部統計,至2008年7月底,我國用戶數超過6億。已然成為個人生活中不可或缺的必需品。人們注意到,隨著以為終端的數據交易和支付、銀行轉賬、炒股等關鍵業務的興起,個人隱私受到威脅侵害的指數越高。因此,保護信息安全刻不容緩。
隨著智能的普及,開放的平臺出現了類似PC平臺的病毒;涉及的流氓、間諜、病毒軟件層出不窮;各類垃圾短信、騷擾電話、欺詐信息也變得無孔不入。然而廣大的用戶還是忽視了安全防范措施。據F-Secure公司的調查顯示,四分之三以上的用戶知道,不安裝安全軟件的情況下惡意軟件能通過藍牙感染移動設備。28%的受訪者說,他們使用自己的移動設備接入互聯網。86%的人承認沒有任何移動安全的措施。大多數用戶都知道用連接互聯網存在著安全風險:只有21%的人把藍牙連接當作是安全的,僅有15%的人有著WiFi連接是安全的印象。
面對移動安全領域中的諸多問題,企業及個人消費者呼吁建立安全便捷的移動服務消費環境。移動安全領域的發展,需要整個產業鏈的通力合作,平臺提供商、終端廠商、sP服務商等都應從不同方面認識安全服務在移動應用中的重要性及必要性。信息安全是一個復雜的系統工程,需要全社會的關注。筆者認為,信息安全認證功能措施,有以下三個方面值得各方的特別關注:
1安全軟件:未來一個新興的軟件制造業
就像電腦一樣,目前威脅安全的一大問題是木馬和病毒。病毒造成的損害不外乎以下幾種:被感染后會自動撥打聲訊臺、發送信息、訂購增值業務等,造成話費損失;木馬軟件可以控制用戶的,調用信息、監聽通話、自動聯網等,造成隱私泄露;病毒會導致硬件或SIM卡損壞,致使無法使用。與PC反病毒一樣,反病毒軟件可以做到實時攔截、提示不安全信息、對已確認的病毒進行殺除,并恢復感染文件等。
影響安全的第二大因素是一直以來影響人們生活的隱私泄露問題。比如通話、偷窺短信以及在被盜或丟失之后重要文件的流失等。針對隱私泄露,業界目前普遍采用加密的方法來解決。網秦的“通信管家”可以對短信和通話記錄進行加密,以保障隱私內容不會輕易被他人偷窺。
影響安全的第三大因素是目前引起社會各界廣泛討論的垃圾短信和騷擾電話問題。網秦的“通信管家”可通過顯示號碼所屬地,讓用戶選擇接聽還是拒絕。一旦發現了騷擾電話的號碼,可以設置為永久拒接。
雖然安全軟件有種種優點,但生產廠商正經歷著艱苦、迷茫的階段。首先,型號繁多、操作系統多樣。這不僅是黑客們的技術難題,也是安全軟件研發面臨的最大問題。其次,缺乏成熟的盈利模式是制約安全軟件廠商發展的最大桎梏。如何打造一個真正安全、干凈的使用環境,不僅僅是提供安全軟件產品的廠商的責任,更需要電信運營商、制造商和安全軟件廠商等整個產業鏈的密切合作。
2指紋識別技術:移動電子商務的“安全帶”
移動通信技術的進步賦予了太多的功能:打電話、上網,甚至繳納水電煤氣費等。隨著移動電子商務的日益流行,添加認證功能已是必然的趨勢,因為僅僅依靠自身所帶的密碼和SIM卡鎖無法不能滿足人們對安全性的要求。試想,如果利用“呔額”支付成為現實,那么就必須將你的個人資料和財務資料保存在中,一旦丟失或被盜,后果將十分嚴重。這也是目前支付無法跨越“大額”門檻的主要原因。
指紋識別在保證安全性方面具有獨特的優勢,運用于,能提升的安全性。首先,指紋是獨一無二的,排除了利用相同指紋來破解指紋密碼的可能性。其次,一般說來指紋不會隨著年齡的增長而變化。因此,相比較聲音加密來說,指紋識別具有更加穩定的優點。再次,指紋樣本便于獲取。易于開發識別系統。目前指紋識別技術已比較成熟,識別系統中完成指紋采樣功能的硬件部分也較易實現,而且現在已有標準的指紋樣本庫,方便了識別系統的軟件開發。另外,一個人的十指紋路皆不相同,這樣就可以方便地利用多個指紋構成多重口令,提高系統的安全性。
當然具有指紋識別的要能夠被普通用戶所接受,還有很長的一段路要走。首先是指紋識別的準確性問題。廠商制造具有指紋識別功能的,主要目的在于增強的安全性,在保證用戶隱私的同時真正讓成為日常生活中的“電子錢包”。因此,指紋識別的準確性與否是決定這項技術能被用戶接受的前提。在進行識別時,一定不能出現無法識別的問題。其次盡管每個人的指紋都不一樣,指紋也不會隨年齡的變化,但廠家是否考慮到一些意外問題的出現,如果手指受傷無法識別,如何進行支付呢?此時有沒有替代的功能?
3虹膜識別:確保在線交易以及供應鏈活動
盡管使用密碼在一定程度上也能保證使用的安全,但隨著新應用的不斷出現,一些問題也隨之出現:支付能夠實現買主和賣主的不見面交易。但是在這個交易過程中,潛在的風險也越來越明顯,我們用什么來保證遠在千里之外的買家/賣家不會是一條坐在電腦前的狗?為了實現較高的安全性,使用復雜的密碼是流行的選擇,而如果我們塒不同的設備使用相同的密碼,那在得到了方便性的同時也增加了安全I生的隱患。所以發展利用人的生理特征,是目前最為方便與安全的識別系統。
虹膜識別技術具有以下幾個特點:①虹膜圖像通過非接觸方式獲取,可避免疾病傳播容易被人接受;②虹膜紋理結構不易被偽造;③虹膜紋理結構復雜。特征數多,因此可靠性非常高。虹膜識別是與眼睛有關的生物識別中對人產生較少干擾的技術。另外它有能力實現更高的模板匹配性能。在所有生物識別技術中,虹膜識別是當前最為方便和精確的一種。
生物認證作為20世紀末期才開始蓬勃發展的高新技術,必將從根本上改變人類的生活方式。虹膜、指紋、DNA這些人體本身的特點,將逐步取代現有的密碼、鑰匙成為人們習慣的生活方式,最大限度保證個人資料的安全。虹膜識別技術由于其在采集、精確度等方面獨特的優勢,必然會成為末來社會的主流生物認證技術。
關鍵詞:電子商務信息安全安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
隨著網絡的建設,信息安全的不穩定因素主要體現在以下各方面:
1.客戶端數量不斷增多,意味著使用人員的增多。但實際情況中,許多人員并不重視自己所使用設備的安全性與可靠性,盲目的認為只要客戶端可以使用,數據存在就可以,殊不知,由于不重視將造成了網絡信息的嚴重安全隱患。
2.信息安全制度的不規范或實施不力,信息安全制度屬于信息管理制度,目前主要由信息部門進行制定同時推廣實施,但由于信息部門工作任務重,同時還要承擔信息技術研究、開發工作,無法兼顧實施,即使制度進行了推廣,但由于部門的局限性也無法得到很好的響應,就造成了安全制度的執行不力,也給網絡信息安全帶來嚴重的安全隱患。
3.客戶端操作系統漏洞升級不及時及安全應用軟件安裝不到位,目前一般的客戶端使用的均為微軟的操作系統,安全應用軟件為國產軟件。由于軍工企業一般要求內外網完全物理隔離,所以,當微軟公司成批量推出操作系統漏洞補丁時,如果信息部門不及時從互聯網上下載補丁同時下發,將造成客戶端計算機的漏洞大量存在,形成極大的安全隱患,同時,客戶端如果不按要求安裝安全應用軟件,也會給網絡造成安全隱患。
4.企業中便攜式設備管理松散,一般的軍工企業中都存在一部分便攜式設備,包括便攜式計算機、存儲設備等,雖然針對這部分設備一般企業都會制定嚴格的管理制度,包括使用、歸還、數據拷貝等都有詳細的要求描述,但由于各方面的原因,往往存在不按制度辦理的情況,造成信息安全的人為隱患。
二、解決安全隱患的有效途徑
以上四個問題是軍工企業信息安全中常見的安全隱患問題,如何解決,將是以下討論的重點:
1.做到制度從上到下一致執行,同時制度發行要講究方式方法,如組織全員學習制度規范,同時真正發揮企業領導小組的職能作用;信息安全的學習與意識培養,也是重要的組成部分,只有全員信息安全意識提升,才能時所有的信息安全制度深入到各方面的工作中,同時發揮信息中心的監管作用,對網絡客戶端制定信息安全制度制定的定期檢查工作,只有定期或不定期的排查、宣灌,才能真正的將信息安全制度推行到企業的每一個使用者,得到真正的執行。
2.由于軍工企業的特殊性,在企業的園區網絡中會存在大量的敏感信息,所以客戶端作為使用終端,是信息流通的一個重要環節,控制敏感信息的流向與操作權限將是企業信息安全的重要組成部分。加強企業客戶端的管理,安裝對客戶端使用行為進行管控的安全產品,制定不同客戶端的響應管控安全策略,同時保證策略下發到位是企業保證信息安全的一個重要手段。安全管理人員也應重視日常客戶端監控監控行為的日志分析工作,確保網絡客戶端的信息安全。
3.安裝漏洞掃描系統,對網絡進行統一的漏洞掃描,并及時安裝補丁下發系統(wsus),確保網絡中所有設備操作系統安全性與可靠性,防止應漏洞引起的安全問題。同時,及時對網絡防病毒軟件的病毒庫更新升級,網絡管理員在病毒庫更新后要下發到全網設備,對不及時升級的設備要執行強制升級,保證網絡的純凈,防止因后門或木馬病毒的擴散造成的信息安全隱患。
4.加強企業中便攜式設備的管理,對可以安裝安全軟件的設備一定要安裝,同時,要對所有便攜式設備統一管理,定期檢查。因在便攜式設備中安裝文檔加密軟件,防止設備中的敏感信息泄漏。
1.1實操演練出效果
軍隊院校開展保密教育不能僅僅停留在案例警示教育和保密法規宣貫上,應該加強先進的教學演示與模擬訓練系統的建設,通過大量生動、具體的保密演示教學,配合原理講解與防范措施的實驗操作,才能讓受訓學員深刻認識到技術安全防范的重要性,切實提高自覺保密的意識與技能。裝備學院率先在全軍建立了面向不同種類對象的、完善配套的信息安全保密教學演示環境和演示平臺,并充分發揮演示環境的作用,結合部隊工作實際,設計了針對性很強的保密演示實驗項目,融合到各個專題教學模塊中,提高了信息安全保密教學的生動性、實踐性。
1.2改革創新保質量
信息安全保密教研組在教學理念、教學內容和教學方法上大膽創新,重點開展了以下教學改革:
一是搭建層次化的教學體系,完善學員知識結構。在信息安全保密素養培訓體系中,所包含課程均按照基礎層、應用層的層次化結構設置教學內容。基礎層培訓學員掌握基礎的理論知識,輔助學員夯實信息安全保密的理論基礎;應用層則向學員提供信息安全保密素養,培養相關的實踐和操作模塊,通過具體應用場景的操作實踐、案例研討和綜合演練,促進學員對所學理論知識的消化吸收和升華,提升學員的具體實操技能和做好保密管理工作的能力素質。
二是廣泛開展研討式、演練式教學,加強學員自主學習能力。在培訓教學過程中,專題教學以學員工作崗位及實際生活中所面臨的實際問題而展開,以問題導引激發學員主動思考,自主探求解決問題的方法和技能,并設置研討交流環節,引導學員展開交流,共享研究成果。綜合演練以軍事案例為牽引,以專題教學內容為理論和方法鋪墊,以學員角色分配和扮演為主要方式,模擬實際保密管理工作的真實場景開展,通過這種情景扮演式教學,確保學員在課堂上的主體地位,教員擔負導演角色引導學員展開思考與討論,既可以激發學員學習的興趣,也可以促使學員自主提高素質和技能的提高。
三是理論教學結合演示實踐,全面提升教學效果。為輔助信息安全保密理論教學,提升教學的直觀性和形象性,在教學過程中開設演示實踐環節,針對軍事辦公環境、載體、網絡信息安全等熱點安全保密問題,進行實物展示和操作演示,使學員親身體驗各種泄密途徑和安全防范技術,增強學員對信息安全保密技術的形象性和直觀性理解。通過實物演示講解、現場操作,場景互動與研討結合,可以有效提升專題教學的效果。這些教學改革措施把握了任職教育的教學特點與規律,極大地提高了任職教育的教學質量,有利于在全軍院校推廣應用。
2信息安全保密教學存在的不足
針對當前信息安全保密面臨的嚴峻形勢與任務,結合這幾年從部隊調研送學反饋回來的實際情況,裝備學院在信息安全保密教學與科研方面還存在以下幾點不足:一是信息安全保密的理論基礎不足。現階段缺乏信息安全保密的理論基礎研究,對全壽命、全系統安全保密的特點與規律,武器裝備試驗保密管理機制與方法,信息條件下的保密管理信息化等基礎性問題研究不深入,造成信息條件下的保密管理缺乏科學指導。二是開展實踐性保密教學的條件還有待完善。當前各種高技術竊密手段發展迅速,信息安全保密教學必須更加具有針對性,保密教學的形式與方法亟待創新。加強實踐性教學有利于提高保密教學的質量,促進知識傳授與技能培養的融合。然而,現階段的保密教學條件還無法完全滿足這一要求。三是服務部隊、服務機關的職能需要加強。院校的優勢在于學科基礎扎實,人才隊伍有保障,但是當前還存在著與部隊、機關聯系不緊密,沒有充分發揮決策支持和技術服務的問題。必須進一步加強調查研究、加強送學服務。
3進一步加強信息安全保密教學的措施
3.1進一步加強教學科研環境與條件的建設
按照裝備學院信息安全保密建設工作規劃,下一步將繼續改進與完善保密教學的基礎條件,提高保密教育訓練的信息化水平和培訓能力,在物理場所、載體、通信、計算機和網絡保密演示項目建設的基礎上,重點加強便攜式保密教學演示系統、保密工作計算機考試系統、保密管理綜合評估系統、保密教學綜合演練系統、信息安全保密綜合檢查系統的建設,為開展基于網絡的遠程保密教育,提高保密教學的模擬訓練信息化水平,改進保密教學的方式、方法,增強教學的崗位指向性、互動參與性,促進學員保密知識向實踐技能的轉化提供更加有力的技術條件。
3.2進一步改進與創新教學方法與組織管理模式
為提高任職教育的教學能力,要把握好“崗位指向、能力為重”和“以問題為中心,以學員為主導”的教改思路,在教學方法上,充分運用符合任職教育特點的現地教學、實踐教學、案例分析與研討和綜合演練等教學方法;在組織管理方面,充分利用現代化的多媒體教學環境和演示實驗環境,嘗試網絡直播教學,開設網絡課程,開展基于網絡的遠程繼續教育。
3.3進一步加強保密科研工作及成果的實踐轉化