引論:我們?yōu)槟砹?3篇信息安全研究報告范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
對用戶,賽迪顧問對政府、教育、電信、電力、金融等重點行業(yè)信息安全政策和招投標信息進行密切跟蹤,并進行廣泛的電話訪談。
從市場發(fā)展來看,信息安全產品市場增長仍在持續(xù)
2009年,信息安全需求層次逐步從中央向省級、地市甚至縣級滲透,從核心業(yè)務安全監(jiān)控向全面業(yè)務安全保護擴展,從網絡實施階段的安全布置到網絡運行過程的安全維護,安全需求正在形成多層次的樹狀格局,安全市場增長空間持續(xù)擴大,達到92.94億元,比2008年增長17.2%。
圖1 2007-2009年中國信息安全產品市場規(guī)模與增長
數(shù)據來源:賽迪顧問 2010,02
從用戶需求來看,行業(yè)合規(guī)性要求日趨嚴格,安全產品采購不斷升溫
合規(guī)性典型行業(yè)包括政府、銀行和證券。
政府行業(yè):除等級保護和分級保護的持續(xù)推動外,國家質檢總局、財政部和國家認監(jiān)委聯(lián)合的《關于調整信息安全產品強制性認證實施要求的公告》要求在《政府采購法》規(guī)定的范圍內對防火墻、網絡安全隔離卡與線路選擇器、安全隔離與信息交換產品、安全路由器 、智能卡COS、數(shù)據備份與恢復產品、安全操作系統(tǒng)、安全數(shù)據庫系統(tǒng)、反垃圾郵件產品、入侵檢測系統(tǒng)、網絡脆弱性掃描產品、安全審計產品、網站恢復產品等十三類產品實施強制認證。
銀行業(yè):中國人民銀行為加強網上銀行管理,促進網上銀行業(yè)務健康發(fā)展,有效增強網上銀行系統(tǒng)的信息安全防范能力,于2009年向銀行業(yè)金融機構了《網上銀行系統(tǒng)信息安全通用規(guī)范(試行)》。《規(guī)范》涉及網上銀行系統(tǒng)的技術、管理和業(yè)務運作三個方面,分為基本要求和增強要求兩個層次,基本要求為最低安全要求,增強要求為三年內應達到的安全要求。《規(guī)范》將作為網上銀行系統(tǒng)安全建設、內部信息安全檢查和合規(guī)性審計的依據,有效防范網上銀行系統(tǒng)風險隱患。
證券行業(yè):通過網上進行交易的證券期貨公司達到90%以上,遭受惡意程序攻擊、交易信息在網上泄露、資金盜取等都可能造成無法挽回的損失。2009年5月31日中國證監(jiān)會于了《證券公司分類監(jiān)管規(guī)定》,根據評分的高低將證券公司分為5大類11個級別,其中第二章第四條明確規(guī)定,信息安全作為重要的評價指標。另外《證券公司風險管理能力評價指標與標準》和《證券期貨業(yè)務信息系統(tǒng)安全檢查貫徹落實指引》做出了更細化的規(guī)定,政策性規(guī)范的陸續(xù)推出,表明證券行業(yè)安全建設步伐正處于 “加速跑”階段,將帶動證券企業(yè)對信息安全產品升級換代的市場需求,使得“安全”成為證券行業(yè)今后信息化工作的重中之重。
從企業(yè)發(fā)展來看,企業(yè)走向差異化與整合化發(fā)展
用戶需求開始由被動向主動轉型,信息安全從網絡安全一枝獨秀逐漸加入應用安全、數(shù)據安全和系統(tǒng)安全的全面支撐。產品類型更加多樣,網絡邊界、內網、服務器、PC終端、移動介質、操作系統(tǒng)、數(shù)據庫、應用軟件等軟硬件系統(tǒng)防護體系全面推進,依靠防火墻、IDS和防病毒軟件“老三樣”無法保障整體安全,使得UTM、IPS、VPN、終端安全管理、安全審計等新興安全產品及安全服務有了更大的施展空間。
隨著信息安全多元化發(fā)展趨勢的日漸明朗,廠商差異化定位也成為了可能。對于有一定規(guī)模和技術積累的公司,開拓高門檻高利潤的新產品或新市場,成為其進一步發(fā)展占領競爭制高點的必需。特別是東軟、啟明星辰、衛(wèi)士通、天融信等以安全產品與服務見長的綜合廠商取得了快速發(fā)展,綜合實力、服務水平、人才積累等方面都獲得了很大的提高,并且在差異化競爭中各有所長,使得信息安全行業(yè)呈現(xiàn)百花齊放的發(fā)展局面。
表1 信息安全細分市場的主要競爭者
數(shù)據來源:賽迪顧問 2010,02
與此同時,整合也在信息安全行業(yè)悄然展開,利用拳頭產品通過原始積累取得較快發(fā)展的企業(yè)開始擴充產品線來提升整體解決方案能力,互補性并購成為獲得競爭優(yōu)勢的重要手段,未來經過不斷的競爭、擴充、聯(lián)合、兼并和重組,信息安全行業(yè)將向“市場向品牌產品集中,資源向優(yōu)勢企業(yè)集中,效益向規(guī)模企業(yè)集中”的格局轉變,以大公司為核心的行業(yè)鏈整合效應加大,且在行業(yè)發(fā)展過程中的龍頭和主導作用越來越明顯,龍頭型企業(yè)憑借領先的技術和產品優(yōu)勢、強大的研發(fā)能力和人才基礎、卓越的品牌形象、廣泛的客戶網絡、龐大的資金規(guī)模、豐富的管理經驗將帶動中國信息安全行業(yè)人才、資金、技術的積累,在行業(yè)鏈條的主要環(huán)節(jié)形成突破,為中國信息安全行業(yè)做大做強提供可能。
表2 信息安全行業(yè)并購與合作案例
數(shù)據來源:賽迪顧問 2010,02
附錄1:中國信息安全產品市場廠商調研問卷節(jié)選
2009年貴公司提供的信息安全產品收入
貴公司2009年信息安全產品主要簽單
篇2
一、嚴格遵守各項安全保密管理制度
根據研究院的有關規(guī)定,*公司根據自身業(yè)務情況,已陸續(xù)了一些管理制度:如《公司知識產權與保密規(guī)定》,《關于公司員工退、離(辭)職有關問題的規(guī)定》、《公司計算機使用及電子郵箱、網絡管理規(guī)定》《關于公司局域網的管理辦法》、《研究報告四級質量控制體系管理規(guī)定》等等。
公司要求各級領導和全體員工嚴格遵守各項安全(保密)管理制度與規(guī)定,加強信息安全保密工作的防范,嚴格各項工作的業(yè)務流程,認真履行、互相監(jiān)督,及時發(fā)現(xiàn)并消除隱患。
二、建立健全相關組織,加強信息安全隊伍建設
1、為進一步做好信息安全管理工作,加強對信息安全、保密工作的統(tǒng)一管理,公司于20*年*月成立以執(zhí)行總裁為第一責任人的*公司安全工作小組和*公司保密工作小組。小組成員包括:財務部、人力資源部、項目管理部、品牌市場部、客戶服務部、知識管理部、辦公室等職能部門的經理和公司各業(yè)務部門總經理及各部門崗位的人員。
2、安全(保密)工作小組成員,負責建立健全、貫徹實施有關安全(保密)管理制度,組織公司安全(保密)教育和知識學習等項工作。定期組織對公司安全(保密)工作的監(jiān)督、檢查,及時解決安全(保密)工作中存在的問題。
三、認真落實有關信息安全(保密)制度,加強信息安全保密工作的管理
1、職能部門郵箱加密。
公司財務部、人力資源部、項目管理部等職能部門郵箱全部加密碼,避免通過郵件泄密。
2、人力資源部:a、所有人事檔案入柜,封存,由專人保管;b、涉及薪酬的文件全部加密。c、與新、老員工簽訂《保密協(xié)議》。協(xié)議中規(guī)定:賽迪顧問員工所有研究成果是公司商業(yè)秘密的重要組成部分,其知識產權歸公司所有。未經批準,員工不得向外界傳播或提供有關公司的一切有關文件及資料,也不得交給無關人員,否則應賠償公司因此而遭受的一切經濟損失。必要時,追究其法律責任。保密條款不因《勞動合同書》的終止而失效。d、嚴格加強對離職人員的交接流程的管理,細化員工離職的交接程序,規(guī)定交接時間。
3、財務部門:安裝監(jiān)控攝像頭;每位財務人員電腦個人賬號均加密。
4、市場部門:加強媒體網站的政審工作。
5、項目管理部:a、每年通過招標的形式確定與供應商的合作,并與印刷公司、翻譯公司簽訂保密協(xié)議,以確保外部打印、翻譯的安全。b、報告發(fā)送采用pdf格式,并設置開啟密碼。c、嚴格報告借閱和贈送審批手續(xù)。d、要求各部門嚴格遵守研究報告四級質量控制體系規(guī)定,加強審核流程的管理。d、要求研究部門嚴格遵守“研究報告四級質量控制體系”規(guī)定,加臺研究報告的審核流程。
e、合同設專人管理
6、各業(yè)務部門:各產業(yè)研究中心、咨詢中心有關保密的電子資料都由部門總經理或項目負責人保管或存放,并加鎖。
7、辦公室:a、設置檔案管理專人保管和借閱審批制度。b、加強辦公區(qū)域的安全防盜管理,增加監(jiān)控攝像裝置。c、為保障公司服務器的安全,未經公司計算機系統(tǒng)維護員同意,不得私自操作服務器。
*公司信息安全保密工作下一階段需要繼續(xù)完善的地方:
1、進一步加強日常對員工的多種形式的保密培訓工作。尤其是強化新員工入職培訓。
2、進一步細化員工離職的交接程序,進一步嚴格勞動合同的管理。
3、多與各兄弟單位交流,學習借鑒先進經驗。
4、財務部門、人力資源部門、項目管理部設置專用打印機。
5、加強各公司各業(yè)務部門對專項咨詢保密工作的管理,并與客戶簽訂《保密協(xié)議》。
篇3
2015年是網絡強國戰(zhàn)略的起步年。網絡強國離不開自主可控的安全技術支持,只有實現(xiàn)網絡和信息安全的前沿技術和科技水平的趕超,才能實現(xiàn)關鍵核心技術的真正自主可控,才能實現(xiàn)從戰(zhàn)略層面、實施層面全局而振的長策。當前,信息網絡應用飛速發(fā)展,技術創(chuàng)新的步伐越來越快,云計算、大數(shù)據、移動網絡、物聯(lián)網、智能化、三網融合等一系列信息化應用新概念、新技術、新應用給信息安全行業(yè)提出新的挑戰(zhàn)。同時,國際上網絡安全技術事件和政治博弈越來越激烈和復雜,“工業(yè)4.0”時代對網絡安全的沖擊來勢洶涌。我們需要全民樹立建設網絡強國的新理念,并切實提升國家第五空間的戰(zhàn)略地位和執(zhí)行力。本次會議的主題為“科技是建設網絡強國的基礎”。
二、征文內容
1. 關于提升國家第五空間的戰(zhàn)略地位和執(zhí)行力的研究
2. 云計算與云安全
3. 大數(shù)據及其應用中的安全
4. 移動網絡及其信息安全
5. 物聯(lián)網安全
6. 智能化應用安全
7. 網絡監(jiān)測與監(jiān)管技術
8. 面對新形勢的等級保護管理與技術研究
9. 信息安全應急響應體系
10. 可信計算
11. 網絡可信體系建設研究
12. 工業(yè)控制系統(tǒng)及基礎設施的網絡與信息安全
13. 網絡與信息系統(tǒng)的內容安全
14. 預防和打擊計算機犯罪
15. 網絡與信息安全法制建設的研究
16. 重大安全事件的分析報告與對策建議
17. 我國網絡安全產業(yè)發(fā)展的研究成果與訴求
18. 其他有關網絡安全和信息化的學術成果
凡屬于網絡安全和信息安全領域的各類學術論文、研究報告和成果介紹均可投稿。
三、征文要求
1. 論文要求主題明確、論據充分、聯(lián)系實際、反映信息安全最新研究成果,未曾發(fā)表,篇幅控制在5000字左右。
2. 提倡學術民主。鼓勵新觀點、新概念、新成果、新發(fā)現(xiàn)的發(fā)表和爭鳴。
3. 提倡端正學風、反對抄襲,將對投稿的文章進行相似性比對檢查。
4. 文責自負。單位和人員投稿應先由所在單位進行保密審查,通過后方可投稿。
5. 作者須按計算機安全專業(yè)委員會秘書處統(tǒng)一發(fā)出的論文模版格式排版并如實填寫投稿表,在截止日期前提交電子版的論文與投稿表。
6、論文模版和投稿表請到計算機安全專業(yè)委員會網站下載,網址是:.cn。
聯(lián)系人:田芳,郝文江
電話:010-88513291,88513292
篇4
1 計算機網絡安全概述
互聯(lián)網的發(fā)展在影響國家經濟、政治、軍事等各領域的同時也帶來安全風險和健康損害,這是由于互聯(lián)網有很大的開放性和安全漏洞,不容忽視。中國互聯(lián)網絡信息中心(CNNIC)在京第31次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》(以下簡稱《報告》)顯示,我國在2012年12月底已經有5.64億網民,互聯(lián)網普及率為42.1%,而在各項指標中,低速增長的傳統(tǒng)網絡已被手機網絡的增長速度所超越。其中手機在電子商務應用和微博用戶方面也有較快增長。
我國當前寬帶上網人數(shù)和網民數(shù)世界排名第二,僅次美國,同時人們開始著重關注互聯(lián)網安全。我國在全面推進信息化戰(zhàn)略部署時迫切需要研究和推廣相關技術來保證網絡與信息安全。相關安全技術需要網絡軟件公司和專家的分析和研究,以此推進其在國家網絡與信息安全領域中的應用以及提高我國的網絡和信息安全技術的研究水平。其中相關技術包括安全事件檢測與發(fā)現(xiàn)技術、蠕蟲病毒防范技術、網絡應用的安全性分析技術、入侵防御/入侵檢測技術、安全事件檢測與發(fā)現(xiàn)技術、網絡模擬與安全評估技術等。
2 計算機網絡安全防范的必要性
隨著計算機技術和網絡技術的發(fā)展,對網絡安全的需求越來越迫切,信息安全、信息技術也越來越受國際社會的重視。在全球化步伐加快的今天,網絡信息安全不僅關系到公民個人信息安全,也關系到國家安全和、社會穩(wěn)定。結合全球互聯(lián)網的發(fā)展態(tài)勢與中國互聯(lián)網的發(fā)展經驗,我們對大數(shù)據時代網絡信息安全問題進行一個探討。
現(xiàn)今網絡傳播發(fā)展有三大背景:市場化、全球化和技術化。這三大背景影響了傳播的利益格局,讓思想多元化、信息碎片化。而如何在多元化、碎片化的大數(shù)據時代尋找客觀意義上的“真實”、保障網絡信息安全,是所有專家學者關心的問題。根據中國互聯(lián)網絡信息中心的《2012年中國網民信息安全狀況研究報告》顯示:多年來,我國不斷加強網民的信息安全治理,但網絡信息安全形勢仍然極為嚴峻。主要問題如下:新型的信息安全事件不斷出現(xiàn),且迅速向更多網民蔓延;導致信息安全事件的情境日益多樣復雜化,令網民防不勝防;信息安全所引起的直接經濟損失已達到較大規(guī)模,接近200億元;發(fā)起信息安全事件的因素已從此前的好奇心理升級為明顯的逐利性,經濟利益鏈條已然形成;信息安全事件中所涉及的信息類型、危害類型越來越多,且日益深入涉及網民的隱私,潛在的后果更嚴重。
根據調查及數(shù)據顯示,我國有4.2億手機網民,以18.1%的年增長率快速增長,遠超網民的整體增幅。并且網民中用手機上網的比例由原來的69.3%升至74.5%,持續(xù)增長的現(xiàn)象鞏固了第一大上網終端的地位。相比PC網民(包括臺式和筆記本電腦),手機網民的規(guī)模仍具有一定差距。同時網絡安全也及其重要。
3 網路信息技術與信息戰(zhàn)爭
新時期,信息不再僅僅只是信息,信息也已經開始成為一種武器。美國是互聯(lián)網的創(chuàng)始國家,擁有世界最多的網絡信息和信息資源,這就是說,如果以后要進行網絡戰(zhàn)爭,美國獲勝的希望遠遠高于其他國家。美國網絡監(jiān)視項目泄密者斯諾登在香港接受媒體采訪時稱,多年來,美國政府一直針對中國網絡發(fā)動大規(guī)模入侵活動。報道稱,自2009年以來,美國已針對中國網絡發(fā)動了大規(guī)模的入侵活動。攻擊目標達到數(shù)百個之多,其中還包括學校。據悉,美國政府黑客主要通過入侵巨型路由器從而一舉入侵成千上萬臺電腦,而不是分別入侵每一臺電腦。
信息戰(zhàn)爭并不同于網絡攻擊,雖然可以說美國擁有最先進的網絡攻擊或者說黑客監(jiān)控技術,但對于如何進行網絡信息監(jiān)管,這對于包括美國在內的世界多國來說,都是一個新領域。如果單從“棱鏡”事件透露出的信息看,美國不僅需要加強與其他國家的合作,如何立法保護信息不被截獲,也需要保護這些信息不被斯諾登這樣擁有高技術的人泄露。相信完善網絡法規(guī)還有很長的道路要走。
參考文獻:
[1]楊彬.淺析計算機網絡信息安全技術研究及發(fā)展趨勢[J].科技風,2009年20期.
[2]羅濤.淺談計算機網絡安全問題及其對策[J].中小企業(yè)管理與科技,2010年12期.
[3]張永俠.淺述計算機網絡安全策略[J].科技與生活,2010年13期.
[4]張興東,胡華平,況曉輝,陳輝忠.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實現(xiàn)[J].計算機工程與科學,2004年04期.
[5]靳攀.互聯(lián)網的網絡安全管理與防護策略分析[J].北京工業(yè)職業(yè)技術學院學報,2008年03期.
[6]趙薇娜.網絡安全技術與管理措施的探討[J].才智,2008年10期.
篇5
(一)計算機及信息網絡安全意識不強
由于計算機信息技術高速發(fā)展,計算機信息安全策略和技術也有大的進展。設計院各種計算機應用對信息安全的認識離實際需要差距較大,對新出現(xiàn)的信息安全問題認識不足。
(二)缺乏統(tǒng)一的信息安全管理規(guī)范
設計院雖然對計算機安全一直非常重視,但由于各種原因目前還沒有一套統(tǒng)一、完善的能夠指導整個院計算機及信息網絡系統(tǒng)安全運行的管理規(guī)范。
(三)缺乏適應電力行業(yè)特點的計算機信息安全體系
近幾年來計算機在整個電力行業(yè)的生產、經營、管理等方面應用越來越廣,但在計算機安全策略、安全技術和安全措施上投入較少。為保證網絡系統(tǒng)安全、穩(wěn)定、高效運行,應建立一套結合電力行業(yè)計算機應用特點的計算機信息安全體系。
(四)缺乏預防各種外部安全攻擊的措施
計算機網絡化使過去孤立的個人電腦在聯(lián)成局域網后,面臨巨大的外部安全攻擊。局域網較早的計算機系統(tǒng)是NOVELL網.并沒有同外界連接。計算機安全只是防止意外破壞或者內部人員的安全控制就可以了,但現(xiàn)在要面對國際互聯(lián)網上各種安全攻擊,如網絡病毒和電腦“黑客”等。
二、保證網絡系統(tǒng)信息安全的對策
(一)建立信息安全體系結構框架
實現(xiàn)網絡系統(tǒng)信息安全.首要的問題是時時跟蹤分析國內外相關領域信息安全技術的發(fā)展和應用情況,及時掌握國際電力工業(yè)信息安全技術應用發(fā)展動向。結合我國電力工業(yè)的特點和企業(yè)計算機及信息網絡技術應用的實際,建立網絡系統(tǒng)信息安全體系一的總體結構框架和基本結構。完善網絡系統(tǒng)信息安全體系標準以指導規(guī)范網絡系統(tǒng)信息安全體系建設工作。
按信息安全對網絡系統(tǒng)安全穩(wěn)定運行、生產經營和管理及企業(yè)發(fā)展所造成的危害程度,確定計算機應用系統(tǒng)的安全等級,制定網絡系統(tǒng)信息安全控制策略.建立適應電力企業(yè)發(fā)展的網絡系統(tǒng)信息安全體系,利用現(xiàn)代網絡及信息安全最新技術,研究故障診斷、處理及系統(tǒng)優(yōu)化管理措施。在不同條件下提供信息安全防范措施。
(二)建立網絡系統(tǒng)信息安全身份認證體系
CA即證書授權。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。為保證網絡系統(tǒng)信息一和安全.應建立企業(yè)的CA機構對企業(yè)員工上網用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證,對系統(tǒng)中關鍵業(yè)務進行安全審計,并開展與銀行之間,上下級CA機構之間與其他需要CA機構之間的交叉認證的技術研究工作。
(三)建立數(shù)據備份中心
數(shù)據備份及災難恢復是信息安全的重要組成部分。理想的備份系統(tǒng)應該是全方位、多層次的。硬件系統(tǒng)備份是用來防止硬件系統(tǒng)故障,使用網絡存儲備份系統(tǒng)和硬件容錯相結合的方式。可用來防止軟件故障或人為誤操作造成的數(shù)據邏輯損壞。這種對系統(tǒng)的多重保護措施不僅能防止物理損壞還能有效地防止邏輯損壞。結合電力行業(yè)計算機應用的特點,選擇合理的備份設備和備份系統(tǒng).在企業(yè)建立數(shù)據備份中心,根據其應用的特點,制定相應的備份策略。
(四)建立網絡級計算機病毒防范體系
計算機病毒是一種進行自我復制、廣泛傳染,對計算機程序及其數(shù)據進行嚴重破壞的病毒,具有隱蔽性與隨機性,使用戶防不勝防。設計院信息網絡系統(tǒng)采取在現(xiàn)有網絡防病毒體系基礎上.加強對各個可能被計算機病毒侵入的環(huán)節(jié)進行病毒防火墻的控制,在計算中心建立計算機病毒管理中心,按其信息網絡管轄范圍,分級進行防范計算機病毒的統(tǒng)一管理。在計算機病毒預防、檢測和病毒定義碼的分發(fā)等環(huán)節(jié)建立較完善的技術等級和管理制度。
(五)建立網絡系統(tǒng)信息安全監(jiān)測中心
計算機信息系統(tǒng)出現(xiàn)故障或遭受外來攻擊造成的損失.絕大多數(shù)是由于系統(tǒng)運行管理和維護、系統(tǒng)配置等方面存在缺陷和漏洞,使系統(tǒng)抗干擾能力較差所致。信息安全監(jiān)測系統(tǒng)可模仿各種黑客的攻擊方法不斷測試信息網絡安全漏洞并可將測出的安全漏洞按照危害程度列表。根據列表完善系統(tǒng)配置,消除漏洞并可實現(xiàn)實時網絡違規(guī)、入侵識別和響應。它在敏感數(shù)據的網絡上.實時截獲網絡數(shù)據流,當發(fā)現(xiàn)網絡違規(guī)模式和未授權網絡訪問時,自動根據制定的安全策略作出相應的反映.如實時報警、事件登錄、自動截斷數(shù)據通訊等。利用網絡掃描器在網絡層掃描各種設備來發(fā)現(xiàn)安全漏洞.消除網絡層可能存在的各類隱患。
篇6
360或將發(fā)力企業(yè)級安全市場
在當天的大會上,360公司董事長兼CEO周鴻祎發(fā)表主題演講,分享如何以創(chuàng)新方式應對網絡安全。他指出,在目前終端快速發(fā)展的形勢下,單純的終端管理軟件已經無法完全有效的防御,在APT(有針對性的高密度持續(xù)攻擊)和0DAY漏洞的威脅下,未來企業(yè)安全的發(fā)展趨勢更多的是依靠云安全與“邊界”來實現(xiàn)。
對于如何應對APT的具體問題,周鴻祎指出,傳統(tǒng)的黑名單模式已經失效,預防APT要用白名單,同時對未知程序進行沙箱或者蜜罐的檢測,及時捕獲未知威脅。同時周鴻祎提出,在他前段時間去以色列考察期間,發(fā)現(xiàn)未來的企業(yè)安全趨勢將是云計算+大數(shù)據,采集企業(yè)網絡流量的完整數(shù)據然后在云端進行建模,再對異常流量進行監(jiān)測報警。
神秘產品“360天眼”:周鴻祎介紹,國外有一家專門做APT防御的公司“FireEye”剛剛上市,美國國防部等都在用該公司的產品,大概原理就是在企業(yè)的系統(tǒng)上加載虛擬機器,任何進出客戶系統(tǒng)的數(shù)據都要經過虛擬機器,經過層層分析后再將安全流量導出,陰止惡意的數(shù)據包進入客戶系統(tǒng)。同時周鴻祎提到,360公司已經有同類的產品“360天眼”,即企業(yè)全流量偵聽和未知威脅捕獲產品,已經通過國家權威部門的測試,產品很快就會。
移動安全:周鴻祎指出,之前很多國外互聯(lián)網巨頭把給員工發(fā)黑莓手機當成一種很榮耀的福利,但隨著員工用手機、平板電腦進行辦公,BYOD(員工自帶計算設備)問題也成為了企業(yè)信息安全一個非常頭疼的問題,這個問題也將是未來安全的一個大問題,360已經研發(fā)專門針對企業(yè)BYOD威脅的移動安全產品“天機”,近期也會。
網絡安全是全球性的問題
一項統(tǒng)計數(shù)據顯示,全球95%的網絡已經被滲透,很多網絡無需后門程序就能夠完成攻擊。例如,90%的成功攻擊僅需要基本的技能,85%的攻擊5個月后才能被發(fā)現(xiàn),75%的攻擊利用已知公開漏洞,而這些漏洞本可以通過定期修復來避免,95%的網絡攻擊通過簡單的修補能夠完成預防。
國際資深網絡安全專家詹姆斯·劉易斯認為,網絡安全是一個全球性問題,各國在網絡空間是一個你中有我、我中有你的“命運共同體”。尤其隨著網絡空間的無限延伸,原有的安全孤島將不復存在,脆弱的技術、網絡匿名等容易被一些國家、地區(qū)和個人為所欲為的利用。因此,要保證用戶不遭受網絡威脅、建設安全的網絡,需要國際、國家和企業(yè)共同努力。
針對一觸即發(fā)的網絡戰(zhàn)爭和日益增長的網絡威脅,詹姆斯·劉易斯卻也表示出了謹慎的樂觀態(tài)度,他說“網絡空間和互聯(lián)網并不難管制”,國際社會正在定義在網絡空間中負責任的行為,目標是讓網絡空間正規(guī)化。
更多的古老漏洞正在被利用
“被惡意程序利用的新漏洞的數(shù)量在2010達到頂峰,隨后便逐年下降。但這并不是因為系統(tǒng)或軟件更加安全了,而是因為,越來越多的老的漏洞正在被利用。”反病毒測試機構AV-Test CEO安德烈亞斯·馬克思(Andreas Marx)在大會上這樣說。
AV-Test是全球公認的三大反病毒測試機構之一。馬克思的此次演講主題是《反病毒技術趨勢》。馬克思表示,AV-Test平均每天可以收集20萬至25萬個新的惡意程序樣本。“當我們在這里談話的幾分鐘里,已經又有幾十個新的病毒誕生了”。而Windows Shortcut(快捷方式),PDF、Java、Flash、HTML和微軟Office文件是被惡意程序利用最多的文件格式類型, 也是漏洞爆發(fā)的重災區(qū)。馬克思甚至調侃這些文件格式是“麻煩制造者”。
從惡意程序的攻擊方式上來看,馬克思認為,現(xiàn)今絕大多數(shù)的惡意程序都是被用戶手動運行或激活的,這與前些年惡意程序會在用戶不知情的情況下自動發(fā)動攻擊有所不同。
安全重點將轉向關鍵應用和數(shù)據
高德納咨詢公司(Gartner)研究副總裁彼得·福斯特布魯克(Peter Firstbrook)出會并發(fā)表了“互聯(lián)網新興威脅與挑戰(zhàn)”的主題演講。彼得提出未來企業(yè)信息安全應重新調整重點,將安全生命周期的焦點放在對關鍵應用高級的、有針對性的APT攻擊防御上。
彼得指出,大數(shù)據時代信息泄露的代價異常高昂,對企業(yè)而言,重大安全事件將產生難以預估的經濟損失。LinkedIn、RSA、索尼等公司均曾在重大安全事件中損失過百萬美元。但是,由于數(shù)據恢復的經濟成本也在不斷增加,信息及數(shù)據本身變得尤為重要,傳統(tǒng)以基礎服務預防為主的安全策略將面臨失效。
彼得介紹說,某權威調查機構的調查結果顯示,企業(yè)在發(fā)現(xiàn)感染惡意軟件時與惡意軟件發(fā)起攻擊之間存在243天的時間,同時僅有63%的企業(yè)能發(fā)現(xiàn)感染狀況,大多數(shù)企業(yè)在數(shù)據泄露前甚至都不知道自己被攻擊過。在企業(yè)信息安全的整個生命周期里,傳統(tǒng)安全解決方案中最重視的“防護”環(huán)節(jié),已不再是重點環(huán)節(jié),企業(yè)需要更加重視“檢測”和“策略”環(huán)節(jié),當信息“防護”出現(xiàn)漏洞時,或安全策略失效時,可迅速通過“檢測”功能捕獲需要的信息,來判斷信息的感染程序,并快速反應采取補救措施。
最后,彼得強調,面對未來針對信息本身的惡意攻擊,信息保護、快速響應和情報共享將成為未來信息安全策略基礎的重心。他建議,在終端安全方面,企業(yè)應增加對策略的關注來預防惡意軟件感染,同時加大在信息保護與信息追蹤方面的投入,減少惡意軟件的停留時間,將安全重點轉向關鍵應用和數(shù)據的保護上來。
《互聯(lián)網時代的企業(yè)安全發(fā)展趨勢》報告出爐
隨著棱鏡門事件的發(fā)酵,國家級網絡安全成為信息領域的一個焦點話題。國際著名信息技術研究分析公司Gartner在ISC上攜手360公司本年度重量級研究報告——《互聯(lián)網時代的企業(yè)安全發(fā)展趨勢》。報告中就未來企業(yè)面臨的安全挑戰(zhàn),諸如無法回避的APT(高級持續(xù)性威脅)攻擊,IT業(yè)對大多數(shù)用戶消耗設備或服務占有率的降低,以及企業(yè)為防范攻擊花費的巨額信息安全費用等問題,進行逐一分析。
權威咨詢公司Gartner研究表明,到2020年,企業(yè)所面臨的安全威脅將會更加多樣化,不僅僅是企業(yè)資產,員工個人也可能遭到直接的攻擊。另外,雖然有些企業(yè)采用了統(tǒng)籌協(xié)調的安全管理,但有些企業(yè)的安全管理仍相對松散,因此針對每種不同的具體情況,企業(yè)應對攻擊的響應方式也會有所不同。為此,360公司特與Gartner共同合作,就互聯(lián)網時代的企業(yè)安全趨勢撰寫了此《互聯(lián)網時代的企業(yè)安全發(fā)展趨勢》研究報告,希望能夠對大數(shù)據、云計算與移動互聯(lián)網時代下,企業(yè)安全面臨的主要挑戰(zhàn)與未來趨勢進行總結,并針對企業(yè)用戶提出具有針對性的建議。
篇7
公司擁有大量的網絡、服務器、存儲等高、中、低端備機,可為高端客戶隨時提供“災備”、緊急救援、備件更換及維修等服務。同時公司還向客戶提供IT系統(tǒng)評估和優(yōu)化等高端現(xiàn)場咨詢服務。在更高層面的IT管理系統(tǒng)上,公司可以提供自己研發(fā)的國際上技術領先的ROCS及CTS產品,可根據客戶的需要提供全面的系統(tǒng)管理產品,幫助客戶在應用和管理上更上一層樓。
在技術培訓方面,公司的培訓部能夠提供全面的與網絡建設和網絡管理相關的全套培訓,使得客戶的業(yè)務水平與網絡建設、網絡使用、網絡管理達到最好的匹配。
二、合作單位關鍵需求
1. 開拓網絡安全產品市場的需求
目前,匯通時代要以提供一攬子的網絡設備解決方案為其主要業(yè)務,同時輔以提供業(yè)務管理系統(tǒng)的業(yè)務。近年來,網絡安全事故頻發(fā)。其中不乏有一些大型的網站安全事故,如2011年的美國花旗銀行被黑客侵入,21萬北美地區(qū)銀行卡用戶的姓名、賬戶、電子郵箱等信息或遭泄露。WEB技術的廣泛應用更將網絡安全的問題推到風口浪尖。近年來,互聯(lián)網滲透率持續(xù)提高,互聯(lián)網商務化趨勢明顯,而信息安全形勢的不斷惡化使得企業(yè)對于信息安全的投入意愿加強,紛紛將網絡和計算機安全提上日程,也使得行業(yè)發(fā)展面臨前所未有的機遇。為此,匯通時代計劃拓展已有的產品線,為客戶提供與原有硬件設備可以無縫對接的協(xié)同安全系統(tǒng)產品線。
2.對新興網絡安全技術的跟蹤需求
當前,正是由于企業(yè)正面臨著比過去更復雜的安全威脅,除傳統(tǒng)的黑客攻擊、病毒傳播之外,利用系統(tǒng)漏洞、兼具黑客和病毒特征的蠕蟲,也越來越難以防范。傳統(tǒng)的安全技術及產品通常只能防御單一威脅。因此,在單一的硬件平臺下,集成多種安全防護手段的產品,逐漸受到廣泛的重視。正是基于以上原因,在開展產品拓展計劃之前,匯通時代希望能系統(tǒng)搜集國內國外已處于應用中的各類網絡安全技術及其研究報告。同時,互聯(lián)網的發(fā)展永遠有著不可預知性。沒有人能夠預料互聯(lián)網十年的發(fā)展。如云技術、統(tǒng)一通信技術、無邊界網絡的蓬勃發(fā)展, 都決定了本產品拓展計劃必須保持對新興技術的高度關注與持續(xù)跟蹤。
三、解決方案及實施計劃
1. 文獻檢索范圍:
國內數(shù)據庫及部分網上資源:
數(shù)據庫名稱 文檔號 年限
中國學術會議論文數(shù)據庫 CACP 1986-2013
中國重大科技成果數(shù)據庫 ZDCG 1981-2013
中國學位論文數(shù)據庫 CDDB 1989-2013
中國公司企業(yè)產品數(shù)據庫 CECDB 2013年版
國家級新產品數(shù)據庫 XCP 2013年版
中文科技期刊數(shù)據庫 1989-2013
中國期刊全文數(shù)據庫 CNKI 1979-2013
中國科技經濟新聞數(shù)據庫 1992-2013
中國專利數(shù)據庫 1985-2013
國家科技成果網
科學引文索引 SCI 1999-2013
美國計算機學會(ACM)電子期刊及會議錄
國研網專題數(shù)據庫
中國企業(yè)產品庫 INSPEC 1898-2013
2. 檢索策略
(1)主題=(網絡安全 OR 網絡安全產品) AND 技術
(2)主題= 防火墻 OR 安全路由器 OR 虛擬專用網(VPN) OR 安全服務器 OR CA OR PKI OR 用戶認證 OR 入侵檢測(IDS) OR 安全操作系統(tǒng) OR 安全數(shù)據庫 OR 安全管理中心
四、項目預期成果
1.特色與創(chuàng)新之處
(1) 首次利用圖書館信息檢索的專業(yè)優(yōu)勢,嘗試為企業(yè)生產運營中的問題提供專業(yè)的解決思路與參考咨詢;
(2) 綜合利用各類數(shù)據庫,涵蓋國內著名數(shù)據庫與國外知名相關數(shù)據庫,提供綜合性的檢索結果,制定合理的檢索式,確保檢全率與檢準率;
(3) 拓展了圖書館的工作范圍與工作思路,引領圖書館工作開始走出去。
2.成果形式
咨詢報告:《網絡安全產品技術跟蹤報告》
3.實施范圍、受益對象
篇8
信息安全已成為國家安全、社會安全和經濟安全的重要組成部分,當前仍面臨著巨大壓力和挑戰(zhàn),培養(yǎng)高素質的信息安全人員已刻不容緩[1-2]。我國信息安全學科建設雖然已取得了初步的成果,但與發(fā)達國家相比,在各方面還存在很大差距[3]。尤其在實踐教學方面,存在指導書針對性和層次性不強、還沒有建立專業(yè)技能訓練題庫和考核標準、實踐教學管理需要進一步完善、資金支持不夠等一些問題是普遍現(xiàn)象。如何堅持“工程素質培養(yǎng)”和“專業(yè)能力訓練”并舉,結合國內外的實驗教學實踐,完善信息安全實踐教學體系,在實踐教學中加強對學生摸索能力和創(chuàng)新能力的培養(yǎng),是亟待解決的一個關鍵問題。
2003年經教育部批準,桂林電子科技大學開始設置信息安全本科專業(yè),并經過充分準備,于2006年面向全國招收了首屆58名信息安全專業(yè)本科生。該專業(yè)秉承“厚基礎、重實踐、提能力、求創(chuàng)新”的教學理念,依托“廣西可信軟件重點實驗室”、“國家軟件與集成電路公共服務平臺(CSIP)廣西分中心”,以及“無錫軟通動力創(chuàng)新實踐基地”、“天涯社區(qū)互聯(lián)網項目研發(fā)與運營創(chuàng)新基地”、“國信藍點企業(yè)人才定制實訓平臺”等,為培養(yǎng)高素質的信息安全創(chuàng)新人才,并以國家特色專業(yè)為建設目標,將教學與科研緊密結合,調整優(yōu)化信息安全專業(yè)教學體系,開展了全方位、多層次的信息安全專業(yè)實踐教學模式改革工作,建立了實踐教學資源共享機制,形成了自然科學與人文科學結合、理論培養(yǎng)與技能訓練結合的特色。
1 重視實訓基地建設工作
信息安全專業(yè)的大量課程與社會實踐密切相關,所以我們一直重視建設產學研一體化的信息安全實訓基地,加強與信息產業(yè)部門的合作,為學生創(chuàng)造到企、事業(yè)單位頂崗實習的機會,打通學生與社會接軌的渠道,使學生能夠明白真正的社會需求,使其得到既實際又規(guī)范的訓練。
近年來,我們加強了創(chuàng)新性實訓基地建設,包括校內固定性和校外流動性二類。一方面,持續(xù)完善已有的實訓基地,整合和優(yōu)化資源配置,努力將基地建設成為培養(yǎng)學生動手能力、形成創(chuàng)新意識、提升創(chuàng)新能力的中心。另一方面,除了努力開辟新的校企合作實訓基地與模式,還利用中央財政支持地方高校發(fā)展專項資金項目契機,建設新的“信息對抗與網絡安全實驗平臺”、“信息安全技術研究中心”等實訓平臺,進一步整合實驗儀器和設備資源,配置專業(yè)設計與分析軟件,加大經費投入,改善硬件條件,堅持教育教學與生產勞動、社會實踐相結合。這樣既能為當?shù)卣纳鐣怨ぷ鞣眨材転閷W院建立更廣泛的學生實訓平臺服務,最終為信息安全專業(yè)學生提供很好的實踐鍛煉平臺。
2 培養(yǎng)學生多層次與多方向的實踐能力
使學生通過分層次和多元化的實訓鍛煉,真正提高處理和解決實際問題的能力,提高信息安全人才的綜合素質。在實踐教學上按以下層次內容建設。
(1)基礎訓練層:主要目的是培養(yǎng)學生的信息安全基本實驗操作能力,包括網絡配置型實驗、安全驗證型實驗和網絡診斷型實驗。該層的實踐教學目標是掌握信息安全核心課程中的設備操作使用方法,加深鞏固信息安全專業(yè)核心課程有關內容,為后面的專業(yè)課程實驗打好基礎,使學生具備一般的網絡信息安全有關的測試和配置技術,熟識幾種基本的信息安全仿真工具和技術,對常用的各類計算機網絡,如NT、Novell、Linux等網絡與服務連接、微機故障排除技術等能達到熟練的程度。
(2)綜合設計層:主要目的是提高學生的信息安全系統(tǒng)的綜合設計能力和應用能力,主要內容包括信息安全實驗課程中的課程設計、工程設計、綜合應用開發(fā)實驗、加密系統(tǒng)、IDS入侵檢測系統(tǒng)、防火墻技術、病毒的防范、黑客攻擊與防范、電子商務、以及認證管理模擬訓練、系統(tǒng)仿真和部分畢業(yè)設計等。該層的實踐教學目標是掌握系統(tǒng)綜合設計的整體流程,熟悉幾種信息系統(tǒng)開發(fā)平臺,掌握網絡信息系統(tǒng)安全的設計方法、開發(fā)和測試過程,使學生具有系統(tǒng)的科學思維方式,綜合運用基礎知識與專業(yè)知識的能力。
(3)探索創(chuàng)新層:主要目的是促進學生運用綜合實踐技能進行科學研究和探索的能力,激發(fā)其創(chuàng)新意識和興趣,激勵學生個性發(fā)展,主要方式包括本科生科研訓練課題、研究創(chuàng)新型實驗、各類創(chuàng)新性實驗計劃、各種研究基金課題、以及各級信息安全競賽或學科競賽等。該層的實驗教學目標是熟悉信息安全主題的探索過程并掌握科研方法,掌握實際信息系統(tǒng)的安全原理,使學生具有撰寫一般科研論文和研究報告、能夠進行學術探索性研究與學術交流的能力。
以上這種多層次多方向的實踐教學平臺,既加強了信息安全基本技能的訓練,又注重綜合能力的提高,還強調了創(chuàng)新素質的培養(yǎng),能夠滿足并有利于學生在信息安全理論與技術方向的個性化發(fā)展。
3 提高學生信息安全項目科研創(chuàng)新能力
鼓勵申報和實施各級大學生創(chuàng)新性實驗計劃項目是培養(yǎng)學生科研實踐能力和創(chuàng)新能力的重要環(huán)節(jié)。我校于2008年獲教育部批準成為第二批“國家大學生創(chuàng)新性實驗計劃”項目實施單位,此外,還有廣西區(qū)級和校級大學生創(chuàng)新性實驗項目,都為信息安全專業(yè)學生開展創(chuàng)新性實驗研究提供了廣泛的途徑和經費支持,培養(yǎng)了學生對學科前沿、熱點問題和亟待解決的問題的“提出—研究—解決”的興趣,以及針對問題的辨析和探索求知的能力。截止2012年6月底,由信息安全專業(yè)本科生直接參與或主持的各級創(chuàng)新性實驗項目已超過15余項。從實際效果來看,經歷這些項目申報、實施、考核和結題的本科生的綜合素質和科研創(chuàng)新能力均得到了顯著地提高,這些既促進了信息安全創(chuàng)新實踐平臺的良性發(fā)展,也為選拔優(yōu)秀學生進入教師科研項目、參加各類信息安全競賽、評選優(yōu)秀本科畢業(yè)生和推薦免試研究生等提供了人才資源儲備。
4 結語
實踐教學是信息安全專業(yè)教學的重要環(huán)節(jié)。通過多年實訓基地的建設與探索,桂林電子科技大學信息安全實踐教學平臺已初步建立,以培養(yǎng)學生的創(chuàng)新實踐能力為核心,并融入新的管理思想,充分體現(xiàn)了理論學習與實踐創(chuàng)新的緊密結合,為培養(yǎng)復合型、創(chuàng)新型工科類人才提供了新思路,對深化工科類本科專業(yè)的實踐教學改革起到了良好的示范作用。
參考文獻
篇9
1 引言
第三方支付行業(yè)在近幾年迎來了快速發(fā)展,特別是2011年對于我國的第三方支付行業(yè)來說是具有里程碑意義的一年,央行在2011年開始頒發(fā)非金融機構支付業(yè)務許可證,支付許可證的頒發(fā)反映出國家開始從制度政策層面規(guī)范第三方支付行業(yè)的發(fā)展,同時也對第三方支付行業(yè)的安全性提出了要求。因此,如何從信息系統(tǒng)安全角度對諸多第三方支付工具進行全面的評價,這將對網上支付以及網絡購物的發(fā)展具有十分重要的現(xiàn)實意義。
當前國內外第三方支付行業(yè)的發(fā)展存在巨大差異,國外專門針對第三方支付安全的研究較少,而國內也只是部分學者在進行研究時內容會涉及到第三方支付的信息安全。趙德志基于項目管理視角對第三方支付進行了風險識別,認為第三方支付系統(tǒng)存在幾種風險,分別是外部風險、組織風險、項目管理風險、技術管理風險,并對風險來源進行了細化,但該研究并未深入對第三方支付系統(tǒng)的安全風險進行有效評價。
以上研究對第三方支付市場存在的風險進行了一定的分析,但上述研究仍存在著一定的不足,主要體現(xiàn)在相關研究并未從信息安全的角度深入剖析第三方支付平臺自身支付業(yè)務流程所可能存在的脆弱性以及防范重點,也沒有對第三方支付進行流程再造提出相關建議,因此對于第三方支付安全事件的發(fā)生無法起到實質性的遏制,本文將從信息安全風險評估的角度對第三方支付系統(tǒng)進行深入研究。
下文將基于對第三方支付平臺的一般支付流程和相關案例的定性分析,運用威脅樹方法學,構建針對第三方支付的威脅樹分析模型,并基于德爾菲法選擇當前主流第三方支付平臺進行信息安全評估,從而為用戶從安全視角對第三方支付平臺進行選擇提供參考依據。
2 威脅樹模型
2.1 威脅樹定義及基本結構
2.2 威脅樹的修剪
一個威脅的實現(xiàn)需要威脅即攻擊者具有一定級別的能力。攻擊者取決于下列因素:攻擊成本、專門技術知識或工具、被逮捕和懲罰的概率等。葉子結點的指標值由分析者直接輸入,數(shù)據來源可以是調研數(shù)據,歷史事件資料以及方法評估獲取,非葉子結點通過指標函數(shù)獲取,根據并聯(lián)關系和串聯(lián)關系的不同而不同。可以根據結點某一指標作為閾值對威脅樹進行修剪,“剪去”所有超過或低于某一閾值的路徑,修剪過的樹的集合(可以認為是圖形的覆蓋圖)代表著所有威脅可能使用的可行的威脅完全集,從攻擊的角度來講是一個可行的攻擊集,也就是最小威脅樹。從預防的角度講,是采取安全策略時應重點考慮的。
3 威脅樹模型
3.1 基于威脅樹的第三方支付系統(tǒng)信息安全評價模型構建
通過第三方支付業(yè)務流程以及對收集到的大量安全事件的定性分析,第三方支付系統(tǒng)信息安全事件的典型特征有幾點:
1)第三方支付系統(tǒng)面臨的最大風險是賬戶操作過程中的可支付余額;
2)第三方支付系統(tǒng)安全事件的發(fā)生一般是該兩項密碼通過各種手段如釣魚網站、促銷信息、升級提醒等手段被盜取;
3)某些木馬病毒如支付寶大盜、浮云木馬病毒,在支付環(huán)節(jié)通過篡改支付協(xié)議交換過程中的付款賬戶和金額等方式實現(xiàn)更具隱蔽性盜取;
4)部分案例顯示數(shù)字證書可以通過一定手段繞過從而盜取用戶資金,此環(huán)節(jié)可能存在重大安全隱患。
因此,根據威脅樹方法學,可得到以下第三方支付的威脅樹分析模型。
a) 第三方支付系統(tǒng)威脅樹的修剪
根據威脅樹方法學,可以通過某種指標比如攻擊成本、攻擊能力、成功概率等對威脅樹進行修剪,本文擬采取德爾菲法的形式,邀請相關業(yè)內專家針對威脅攻擊系統(tǒng)的可能性進行打分,從而對第三方支付系統(tǒng)的威脅樹進行修剪,具體實施將在下文討論。
4 第三方支付系統(tǒng)信息安全風險評估的實施
根據易觀國際的最新數(shù)據顯示,本文擬選取兩個典型的第三方支付工具,支付寶和快錢進行對比分析。
5 第三方支付平臺的風險管理
結合上述兩個具體的第三方支付工具的最小威脅樹,提出若干風險管理建議。
第一,加強用戶操作的主體性認證,增加實時性主體認證手段,如手機短信,動態(tài)口令等手段。特別改變賬戶操作僅依靠密碼進行的流程,從而增強安全性;目前一些主流的第三方支付工具,僅在安裝數(shù)字證書,快捷支付等情況下才使用手機驗證碼,因此建議在轉賬、更換手機、提現(xiàn)等操作關鍵操作時,額外增加實時身份驗證手段。
第二,針對數(shù)字證書用戶,應加強對數(shù)字證書申請、取消環(huán)節(jié)的管理,進行必要的身份認證;并且建議增加對賬戶登錄、異地操作的實時提醒,以提高賬戶的安全性,而此種服務目前多數(shù)第三方支付工具尚未提供。
第三,加強對用戶的教育,提醒用戶識別常用的詐騙手段,如圖5中所示的“防冒客服”以及“短信升級”等手段。
6 結束語
本文運用威脅樹分析模型對第三方支付系統(tǒng)的安全性進行了全面評估,并選擇當前主流的第三方支付平臺進行的評估實施,并基于評估提出了針對性的安全建議和對策,從而為用戶識別和選擇第三方支付工具提供了一定的參考依據。本文的數(shù)據采用德爾菲法獲取,該方法存在著一定的主觀性,是未來研究應當著力改進的地方。
參考文獻
[1] 中國互聯(lián)網絡研究中心.中國網絡支付安全狀況報告[Z].北京,2012.
[2] 金山網絡公司.2011-2012中國互聯(lián)網安全研究報告[Z].
[3] 中國人民銀行.《支付機構互聯(lián)網支付業(yè)務管理辦法》征求意見稿[R],2012.
[4] 趙德志.第三方支付公司的發(fā)展與風險研究[D].北京:北京郵電大學,2007.
[5] GB/T 20984-2007 信息安全技術信息安全風險評估規(guī)范[S].2007.
[6] 王孝良,崔保紅,李思其.關于工控系統(tǒng)信息安全的思考與建議[J].信息網絡安全,2012,(08): 36-37..
[7] 許春,李濤,陳興蜀,劉念,楊進.危險信號在實時網絡安全風險評估中的應用[J].電子科技大學學報,2007, (S3):74-77.
[8] 李良.中國電子銀行風險評估研究[D].大連:大連理工大學,2010.
[9] 曹子建,趙宇峰,容曉峰.網絡入侵檢測與防火墻聯(lián)動平臺設計[J].信息網絡安全,2012,(09):12-14.
[10] Schneier B."Attack Trees",Secrets and Lies[M].New York:John Wiley and Sons,2000:318-333.
基金項目:
篇10
Zhang Jian li Ding-bo
(Hainan University,College of Information Science and Technology HainanHaikou 570228)
【 Abstract 】 Currently,The piratic phenomenon of electronic information product is serious, in order to solve this problem, we have developed a new type of digital information security transmission platform, which is based on two patented technologies of professor Gu Jian in Information Institute of Hainan University, the detailed name of two patents are" complexity controllable in any period to meet the public random sequence system and method" and" the same channel independent authorization digital information safety transmission method and system". The platform plays the very good protective function on copyright.
【 Keywords 】 piracy; information; safety; platform
1 引言
2009年,中國電子信息產業(yè)市場規(guī)模已達5368億元,隨著數(shù)字內容在各地的深入建設,諾達咨詢《2010年中國數(shù)字內容產業(yè)研究報告》預計,2010年中國電子信息產業(yè)規(guī)模有望達到6350億元而再創(chuàng)新高。根據艾瑞咨詢最新統(tǒng)計的數(shù)據顯示,2011年第三季度中國網絡經濟整體規(guī)模達到716.1億元,環(huán)比上漲17.1%,同比上漲72.7%。
然而在網絡經濟在高速發(fā)展的今天,網絡數(shù)字信息產品的版權保護面臨著巨大的壓力,每年因為數(shù)字信息盜版產生巨大的經濟損失。相關統(tǒng)計顯示,盜版網絡文學造成的每年損失約40億—60億元,數(shù)字音樂每年因盜版損失上百億元。
為了解決上述互聯(lián)網上電子信息產品盜版泛濫問題,這里我們提出一套解決方案,建造一個保護電子信息產品版權的新型數(shù)字信息安全傳播平臺,專門為保護電子信息產品版權提供一套系統(tǒng)化規(guī)避盜版的方法。
2 平臺概述
首先,通過與數(shù)字信息產品(文檔、圖片、視頻、音頻)版權所有者合作,取得獨家授權。
其次對數(shù)字信息產品進行加密處理,然后將經過加密的產品上傳至平臺網站。用戶可以通過該網站免費下載所需要的數(shù)字信息產品并向平臺服務器申請獲取產品的唯一解密授權碼,而后與相應的硬件加密設備結合解密后,使用該產品。其中,具體授權過程可描述為:依據客戶需求,授權可以對一個產品終生授權使用,也可以授權一次、或有限次數(shù)、或一段時間內、或固定時段內使用。
當然,產品因加密的原因,只可能在新型數(shù)字信息安全傳播平臺專用的播放設備(簡稱播放設備)上,并且在授權碼的控制下使用。這會降低靈活性,但在安全性方面是過硬的。
新型數(shù)字信息安全傳播平臺的授權碼,是一對一的,即每一個授權碼都只對應一臺播放設備和一個產品,在其他播放設備和產品上這個授權碼是無效的,播放設備是全球惟一編號的,任意一臺播放設備的編號都不與其他設備重復,并安全存儲于安全模塊中,且在播放時參與解密工作。依據這些技術,平臺能保證凡是經過我們平臺處理并投放市場的數(shù)字產品無盜版發(fā)生或者即使發(fā)生盜版也可以迅速發(fā)現(xiàn)盜版源頭并予以追究法律責任。
3 技術背景
篇11
* 韓國SK通信的信息外泄事件影響南韓35萬使用者,趨勢科技發(fā)現(xiàn)一只名為BKDR_SOGU.A的后門程式與此信息你外泄事件有關。此惡意程序讀取存于被感染系統(tǒng)中的資料庫,并接收來自網絡犯罪者遠端發(fā)送的命令至被感染的系統(tǒng),影響信息安全。
* 趨勢科技發(fā)現(xiàn)osCommerce,這一全世界非常受歡迎的開放原始碼免費購物車程序上的漏洞,導致約九萬個網頁已被植入惡意程序框架 (iframe)。
* Google 已超越 Microsoft 成為軟件漏洞通報數(shù)量最多的廠商,本季共有 82 個,這主要是因為普及率大增的 Chrome 瀏覽器所存在的漏洞所致。排名第二的是 Oracle,共 63 個,Microsoft 則降到第三名,共 58 個。
* 趨勢科技威脅分析師發(fā)現(xiàn)一種新的 DroidDreamLight 惡意程序變種,此變種具備更強大的功能和危險性。該變種會偽裝成電池電量監(jiān)控程式,或是可查看執(zhí)行中程式的系統(tǒng)工具,宣稱可讓使用者查看 Android 系統(tǒng)已安裝應用程式所需使用的權限,這個新的 Android 惡意程式在中文第三方應用程式商店上隨處可見。
* 今年 7 月前半月,趨勢科技研究人員發(fā)現(xiàn)一個專門以提供免費 Google+ 社交網絡試用邀請函為由,引誘使用者點選惡意連結的網頁。使用者點選之后,并不會收到邀請函,反而是獲得所謂參加問卷調查的「機會,此「機會讓使用者陷于個人資料外泄的危險當中。
* 此外,LinkedIn 的使用者也同樣遭遇宣稱提供小賈斯汀 (Justin Bieber) 影片的惡意連結,此連結將使用者重新導至惡意網站。
重大信息安全斬獲
篇12
國家電子政務工程建設項目管理暫行辦法的目的
出臺管理辦法力求通過對重要環(huán)節(jié)的嚴格把握,對需求分析、資源共享、招標投標等關鍵點實行有效控制,努力做到需求不清的項目不批,貪大求洋的項目不批,做不到互聯(lián)共享的項目不批,提高電子政務工程質量,發(fā)揮國家投資效益,實現(xiàn)電子政務工程建設的總體目標。
出臺國家電子政務工程建設項目管理暫行辦法的原因
出臺電子政務工程建設項目管理辦法首先是扎實推進電子政務發(fā)展的需要。《國家信息化領導小組關于我國電子政務建設指導意見》后,我國政務信息化建設取得重大進展,作用日益顯著,已經步入了資源共享、業(yè)務協(xié)同的發(fā)展階段。但也存在一些迫切需要解決的突出問題,嚴重制約了電子政務的健康有序發(fā)展。因此,需要通過制定管理辦法來明確立項規(guī)則,強化項目管理,約束政府投資行為,遏制盲目建設風潮。
其次,是規(guī)范審批程序和要求的需要。項目審批時間過長是目前項目建設單位普遍反映的突出問題,通過研究,我們發(fā)現(xiàn)最主要的是項目建設單位不能在規(guī)定期限內提出符合審批要求的立項或可研報告,許多時間被用在對項目方案的反復討論、調整和修改中。這其中雖有申報部門缺乏項目組織經驗,申報、審批部門間缺少有效溝通等方面的原因,但很大程度上是由于規(guī)則不清、程序不明造成的。因此,有效解決政務信息化項目審批時間長的矛盾,必須從制定管理辦法、規(guī)范審批程序、明晰審批規(guī)則、改善審批服務這一關鍵環(huán)節(jié)入手。
第三,是強化政務信息化項目管理的需要。電子政務工程與傳統(tǒng)基礎設施項目有著完全不同的建設管理特點和規(guī)律。電子政務工程從任務提出到建設、營運,目前均為同一政務部門,項目建設后能否發(fā)揮應有效益,取決于政務需求的挖掘深度和現(xiàn)行法規(guī)、管理體制對系統(tǒng)的支持程度。因此,需要有比普通基建項目更為嚴格的制約和管理機制,做好立項前的咨詢服務尤其重要。
國家電子政務工程建設項目管理暫行辦法的主要內容
管理辦法分為正文和附件兩大部分。其中,正文共九章三十八條,主要是對國家電子政務工程的項目審批管理、建設管理、資金管理、監(jiān)督管理、驗收評價管理、運行管理等重要環(huán)節(jié)的程序和管理進行規(guī)范,對項目建設主體和審理、監(jiān)管部門的責任、權力做出明確規(guī)定。管理辦法有四個附件,均是項目實施過程中的操作性規(guī)定,包括:項目建議書編制大綱、可行性研究報告編制大綱、初步設計及概算報告編制大綱、項目驗收大綱。管理辦法中對國家電子政務工程全過程進行了規(guī)范,具體解讀如下:
什么是國家電子政務工程
第二條 使用中央財政性資金的國家電子政務工程建設項目(以下簡稱“電子政務項目”)。
第三條 本辦法所稱電子政務項目主要是指:國家統(tǒng)一電子政務網絡、國家重點業(yè)務信息系統(tǒng)、國家基礎信息庫、國家電子政務網絡與信息安全保障體系相關基礎設施、國家電子政務標準化體系和電子政務相關支撐體系等建設項目。
國家電子政務工程涉及的部門及分工
項目建設單位:中央政務部門和參與國家電子政務項目建設的地方政務部門。
項目建設單位職責:負責提出電子政務項目的申請,組織或參與電子政務項目的設計、建設和運行維護。
項目審批部門:國家發(fā)展改革委員會。
項目審批部門職責:負責國家電子政務建設規(guī)劃的編制和電子政務項目的審批,會同有關部門對電子政務項目實施監(jiān)督管理。
國家電子政務工程的約束
國家電子政務工程須嚴格執(zhí)行項目的建設流程和驗收流程。
建設流程應包括:申報和審批管理、建設管理、資金管理、監(jiān)督管理、驗收評價管理和運行管理。
驗收流程應包括:初步驗收(初驗前可組織分項驗收或專項驗收)、竣工驗收和工程后評價。
國家電子政務工程的申報和審批
第六條 項目建設單位應依據中央和國務院的有關文件規(guī)定和國家電子政務建設規(guī)劃,研究提出電子政務項目的立項申請 。
第七條 電子政務項目原則上包括以下審批環(huán)節(jié):項目建議書、可行性研究報告、初步設計方案和投資概算。對總投資在3000萬元以下及特殊情況的,可簡化為審批項目可行性研究報告(代項目建議書)、初步設計方案和投資概算。
申報:建設單位提出立項申請。
審批環(huán)節(jié):項目建議書、可行性研究報告、初步設計方案和投資概算,其中,項目建議書不屬于必需環(huán)節(jié),即在一定條件下,可省略該步驟。同時,初步設計方案和投資概算是同步申報內容,不是先后關系。
第十三條 項目審批部門對電子政務項目的
項目建議書、可行性研究報告、初步設計方案和投資概算的批復文件是項目建設的主要依據。批復中核定的建設內容、規(guī)模、標準、總投資概算和其他控制指標原則上應嚴格遵守。
項目可行性研究報告的編制內容與項目建議書批復內容有重大變更的,應重新報批項目建議書。項目初步設計方案和投資概算報告的編制內容與項目可行性研究報告批復內容有重大變更或變更投資超出已批復總投資額度百分之十的,應重新報批可行性研究報告。項目初步設計方案和投資概算報告的編制內容與項目可行性研究報告批復內容有少量調整且其調整內容未超出已批復總投資額度百分之十的,需在提交項目初步設計方案和投資概算報告時以獨立章節(jié)對調整部分進行定量補充說明。
調整額度:超過10%與未超10%的操作環(huán)節(jié)截然不同。未超過,則只需在初設報告中單列章節(jié)說明調整情況,如超過,則必須重新申報項目可研,一般此審批時間會較長。
國家電子政務工程的建設管理
第十六條 電子政務項目采購貨物、工程和服務應按照《中華人民共和國招標投標法》和《中華人民共和國政府采購法》的有關規(guī)定執(zhí)行,并遵從優(yōu)先采購本國貨物、工程和服務的原則。
第十八條 電子政務項目實行工程監(jiān)理制。項目建設單位應按照信息系統(tǒng)工程監(jiān)理的有關規(guī)定,委托具有信息系統(tǒng)工程相應監(jiān)理資質的工程監(jiān)理單位,對項目建設進行工程監(jiān)理 。
注意進口產品采購:如果國產設備不能完全滿足項目需求,需要進行進口設備采購,應按財政部財庫[2007]119號文件《政府采購進口產品管理辦法》規(guī)定向財政部報批,周期在30天左右。
監(jiān)理依據:強化了信息系統(tǒng)監(jiān)理的工程依據。
第十九條 項目建設單位應于每年七月底和次年一月底前,向項目審批部門、財政部門報告項目上半年和全年建設進度和概預算執(zhí)行情況。
項目進展情況報告:加強過程中與項目審批部門及財政主管部門的聯(lián)系,為后續(xù)項目整體驗收打好基礎。
第二十二條 項目建設單位在可行性研究報告批復后,可申請項目前期工作經費。項目前期工作經費主要用于開展應用需求分析、項目建議書、可行性研究、初步設計方案和投資概算的編制、專家咨詢評審等工作。項目審批部門根據項目實際情況批準下達前期工作經費,前期工作經費計入項目總投資。
前期工作經費:需要注意前期工作經費的歸墊。
國家電子政務工程的驗收評價管理
第二十九條 電子政務項目建設實行驗收和后評價制度。
第三十條 電子政務項目應遵循《國家電子政務工程建設項目驗收工作大綱》(附件四)的相關規(guī)定開展驗收工作。
兩個階段:項目驗收包括初步驗收和竣工驗收。驗收包括工程、技術、財務、檔案等四個方面;
初步驗收由項目建設單位按照《驗收工作大綱》要求自行組織;
竣工驗收由項目審批部門或其組織成立的電子政務項目竣工驗收委員會組織;
對建設規(guī)模較小或建設內容較簡單的電子政務項目項目審批部門可委托項目建設單位組織驗收。
第三十一條 項目建設單位應在完成項目建設任務后的半年內,組織完成建設項目的信息安全風險評估和初步驗收工作。
初步驗收合格后,項目建設單位應向項目審批部門提交竣工驗收申請報告,并將項目建設總結、初步驗收報告、財務報告、審計報告和信息安全風險評估報告等文件作為附件一并上報。
項目審批部門應適時組織竣工驗收。
項目建設單位未按期提出竣工驗收申請的,應向項目審批部門提出延期驗收申請。
第三十二條 項目審批部門根據電子政務項目驗收后的運行情況,可適時組織專家或委托相關機構對建設項目的系統(tǒng)運行效率、使用效果等情況進行后評價。
后評價認為建設項目未實現(xiàn)批復的建設目標或未達到預期效果的,項目建設單位要限期整改;對拒不整改或整改后仍不符合要求的,項目審批部門可對其進行通報批評。
項目后評價的基本內容主要包括項目效益評價、項目影響評價、項目過程評價和項目持續(xù)性評價。
項目效益評價是通過項目建成投入使用后所產生的實際效益與可行性研究時所預測的經濟效益的比較,評價時常預測是否準確,項目投資是否值得,并以項目投入使用后實際取得的數(shù)據為基礎,重新計算項目的各主要投資效益指標,與當初預測值進行比較,從分析效益目標實現(xiàn)程度和產生的偏差的原因中總結經驗教訓,找出改進措施,為提高項目的投資效益和投資決策水平服務。
項目的影響評價主要是指對項目給所在地區(qū)經濟、社會、技術
和文化等帶來的影響進行評價。主要是從項目的外部作用和影響來分析和評價特定項目的優(yōu)勢和缺點,分析項目對國家或地區(qū)社會發(fā)展目標的貢獻和影響。
項目的過程評價是根據項目效益和影響評價中發(fā)現(xiàn)的變化和問題,對照項目立項時所確定的目標和任務,分析和評價項目執(zhí)行過程,從中找出原因,總結經驗教訓。過程評價主要依據國家現(xiàn)行的有關法令、制度和規(guī)定,對項目的工程技術水平、管理水平和決策水平進行分析。其主要內容包括:前期工作評價;建設實施評價;運營評價;投資執(zhí)行評價;管理工作評價;技術服務和配套投入評價。
項目的持續(xù)性評價是分析項目在建設投入完成之后,項目的既定目標是否還可以持續(xù);項目是否可以順利地延續(xù)進行下去。持續(xù)性要考慮政策變化、技術因素、社會文化因素的變化對項目持續(xù)性的影響。
項目后評價的結論應該是定性地總結項目的成功度。項目的成功度一般分為五個等級:非常成功的項目,成功的項目,部分成功的項目,不成功的項目,失敗的項目,是項目評價專家組對項目后評價的定性和集體結論。項目成功度評價的程序:首先確定評議專家,選定評價因素及其指標,專家個人打分,集體評議,數(shù)據處理,得出結論。
項目評價的三個階段采用的方法沒有太大的區(qū)別,一般均采用定量與定性相結合的方法。
項目評價從決策的角度看,其核心內容主要是項目的市場評價、技術評價、經濟評價和環(huán)境評價等。
法律責任
第三十五條 相關部門、單位或個人違反國家有關規(guī)定,截留、挪用電子政務項目資金等,由有關部門按照《財政違法行為處罰處分條例》等相關規(guī)定予以懲處;構成犯罪的,移交有關部門依法追究刑事責任。
第三十六條 對違反本文由收集整理本辦法其他規(guī)定的或因管理不善、弄虛作假,造成嚴重超概算、質量低劣、損失浪費、安全事故或者其他責任事故的,項目審批部門可予以通報批評,并提請有關部門對負有直接責任的主管人員和其他責任人員依法給予處分;構成犯罪的,移交有關部門依法追究刑事責任。
信息工程監(jiān)理產生的背景
在國家電子政務工程建設項目管理暫行辦法頒布后,第十八條明確規(guī)定“電子政務項目實行工程監(jiān)理制。項目建設單位應按照信息系統(tǒng)工程監(jiān)理的有關規(guī)定,委托具有信息系統(tǒng)工程相應監(jiān)理資質的工程監(jiān)理單位,對項目建設進行工程監(jiān)理 。”強化了信息工程監(jiān)理的政策依據,對信息工程監(jiān)理行業(yè)的發(fā)展起到了良好的支持作用。
信息工程監(jiān)理產生的原因
近年來,我國在信息產業(yè)發(fā)展和信息系統(tǒng)建設方面取得了巨大成就,積累了寶貴的經驗。但是,在信息系統(tǒng)建設的過程中也陸續(xù)暴露了許多問題,如:不能滿足設計需求、工期拖延、資金超預算、信息泄露等。更嚴重的是近年來在信息工程建設領域出現(xiàn)了一些“豆腐渣”、“半拉子”工程,極大地浪費了信息化投資。為此,我國信息產業(yè)和信息化建設的主管部門和領導機構在積極推進信息化建設的過程中,對所發(fā)現(xiàn)的問題給予密切關注并且采取了有效措施,在信息系統(tǒng)工程建設中引入監(jiān)理制就是其中一項重要措施。
信息工程監(jiān)理的定義
信息系統(tǒng)工程監(jiān)理是指在政府工商管理部門注冊的具有信息系統(tǒng)工程監(jiān)理資質的單位,受建設單位委托,根據國家有關法律法規(guī)、技術標準和信息系統(tǒng)工程監(jiān)理合同,對信息系統(tǒng)工程項目實施的監(jiān)督管理。其主要作用和目的是通過信息系統(tǒng)工程監(jiān)理工程師“基于職業(yè)謹慎”的工作,力求在計劃的質量、進度、投資以及信息安全的范圍內實現(xiàn)信息系統(tǒng)建設目標。需要著重指出的是信息系統(tǒng)工程監(jiān)理單位和監(jiān)理工程師“將不是,也不能成為任何信息系統(tǒng)工程承建單位的工程承保人或保證人”。監(jiān)理階段主要包括工程招標、工程設計、工程實施和工程驗收四個階段。
信息工程監(jiān)理的發(fā)展歷程
信息系統(tǒng)工程監(jiān)理應該說是一個具有中國特色的信息化質量管理標準,它為我國提高信息系統(tǒng)工程建設項目的投資效率、工程質量、技術性能提供了可靠的保證,同時,也對國際信息化發(fā)展提供了很好的參考價值。它主要經歷了以下發(fā)展歷程:
1999年,原信息產業(yè)部在起草信息系統(tǒng)集成資質認證的相關文件的同時,也開始著手籌備信息系統(tǒng)工程監(jiān)理相關文件的起草工作。
2002年9月,國務院辦公廳【2002】47號文件轉發(fā)的《振興軟件產業(yè)行動綱要》中,明確提出了“國家重大信息化工程實行招標制、工程監(jiān)理制”。
2002年11月,原信息產業(yè)部部信【2002】570號文件
了《信息系統(tǒng)工程監(jiān)理暫行規(guī)定》,共六章,二十二條。
篇13
一是過度收集個人信息。有關機構超出辦理業(yè)務的需要,收集大量非必要或完全無關的個人信息。一些商家在辦理積分卡時,要求客戶提供身份證號碼、工作機構、受教育程度、婚姻狀況、子女狀況等信息。
二是擅自披露個人信息。有關機構未獲法律授權、未經本人許可或者超出必要限度披露他人個人信息。一些地方對行人、非機動車交通違法人員的姓名、家庭住址、工作單位以及違法行為進行公示;有些銀行通過網站、有關媒體披露欠款者的姓名、證件號碼、通信地址等信息。
三是擅自提供個人信息。有關機構在未經法律授權或者本人同意的情況下,將所掌握的個人信息提供給其他機構。銀行、保險公司、航空公司等機構之間未經客戶授權或者超出授權范圍共享客戶信息。
個人信息安全亟待保護
面對勢不可當?shù)男畔⒒顺保撊绾魏侠砝煤陀行ПWo個人信息?今年全國兩會期間,個人信息安全問題成為熱議話題之一。
全國政協(xié)委員郭為表示,國家應加快個人信息安全及隱私保護的相關立法工作。首先應該建立一套符合中國國情的網絡公民身份體系并逐步推動網絡實名制的真正實施,建立信息安全產品安全審查和管理制度,同時還應加大監(jiān)管機制的建設并修訂相關法律。
早在2003年,國務院信息化工作辦公室就委托中國社科院法學研究所個人數(shù)據保護法研究課題組承擔“個人數(shù)據保護法”比較研究課題及草擬一份專家建議稿。經過近兩年的工作,最終形成了近8萬字的“中華人民共和國個人信息保護法(專家建議稿)及立法研究報告”,但時至今日卻仍未正式進入國家立法程序。
中國人民西安政治學院副教授傅達林認為,國家需要完善立法,執(zhí)法部門需要加大對違法犯罪的打擊力度,完善監(jiān)管措施,同時也需要建立行業(yè)誠信。有專家指出,現(xiàn)實中更多的相關案件還達不到犯罪的標準,所以迫切需要的是行業(yè)自律,提高從業(yè)人員的法律意識,以阻斷涉及公民個人信息違法犯罪的信息來源。
國外如何保護個人信息
如何有效維護公民個人信息安全是一個令各國政府頭疼的問題。不少發(fā)達國家早就制定了相應的法律和措施。
