发布时间:2023-10-09 17:40:24
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇互联网信息安全,期待它们能激发您的灵感。
1.1计算机软件的自身安全缺陷计算机软件系统中分为两大块:操作系统软件和应用系统软件。而任何软件在诞生之初,都或多或少有其自身的设计缺陷,也正是由于这种缺陷,给网络不法分子以可趁的机会,如:网络黑客能轻易的进入计算机核心内部,篡改或偷取计算机中的重要数据信息等。这也就严重威胁了计算机中的数据信息安全。
1.2用户安全意识不强烈现在社会发生很多因为自身的网络防范意识不高,而导致在网络世界中上当受骗的事件,这不仅造成了受骗者的经济损失,严重的还丢失了其重要的信息文件。使用互联网的每一个用户,都应该充分认识到网络的虚假性这一特点,时刻保持对其自身信息安全的防范意识,如:在公共网络场所(网吧、电脑房等地),不要探讨网络与信息安全的风险与对策杨玉娣上海科技管理学校200433轻易在其计算机内保存自己的重要文件信息或登记个人信息,这很容易被他人盗取或盗用其个人信息。并且,不要轻易接受陌生人的远程操控要求。所以,用户也应该增强自身对网络信息安全的意识,对计算机多设置设置一些安全屏障。
1.3计算机病毒入侵计算机病毒是一种人为的特制程序。病毒若存在于计算机之中,会对其内部的信息进行存取、复制、传送。因此,计算机病毒对其网络信息安全起到了严重的威胁,具有巨大的破坏性和触发性。病毒入侵于电脑之中的主要手段是:互联网黑客将网络病毒放入一些不法网站之中,只要用户点击进去,就会导致计算机软件中病毒。而只要这些病毒存在于计算机之中,都会严重影响其计算机的运行速度,甚至导致计算机互联网整体瘫痪,从而导致计算机内部的信息安全性被大大降低。
1.4黑客网络攻击黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击是指扰乱计算机系统的运行,并不盗取系统内部信息资料,通常采用的攻击手段为拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗取系统保密信息、破坏目标系统数据为目的。其黑客攻击手段主要为密码破解。而一般黑客进行网络攻击的目标,还是为了获取目标人中的电脑内部信息资料。所以,黑客在登陆目标主机之后,会直接进入文件系统中的/etc/hosts,把其中的信息资料复制回去。而这种黑客互联网攻击行径,都对严重威胁到了网络信息的安全。
2保障网络信息安全的防范措施
2.1提高用户的互联网安全意识用户在计算机保存重要信息的时候,随时做好数据备份,并对其进行多重加密,以防止数据丢失或泄露。用户定期维护计算机网络系统的安全运行,且提高健康上网的意识,如:不浏览、不点击非法网站,从而防止病毒入侵。
2.2建立网络防火墙防火墙是一种连接内部互联网和外部互联网之间的互联网安全系统。使用防火墙的主要作用有:
(1)防火墙可以强化计算机内部的安全系统。
(2)能对网络上的所有活动进行有效记录。
(3)防火墙可以保护网络用户点,可以防止有效防止用户网络信息的泄露。
(4)防火墙也是一个安全性能很高的检查站,所有进出计算机网络的信息都必须经过它的审核,只有安全的信息访问才可能进入电脑之中;而对可疑的网络,防火墙会把它拒绝在电脑之外。因此,建立网络防火墙可以对网络通信中的产生的数据流进行有效检测和管理,能使合法的信息得到合法的传输,从而有效的防止了非法信息的入侵,避免了计算机内部重要的信息被黑客盗取或篡改。
2.3信息加密计算机网络的信息安全通常主要使用的防护技术是信息加密。它主要是对信息进行传输之前,通过信息加密的算法进行操作,进而提高网络使用安全。在电脑中使用信息加密的方式,可以有效的降低网站访问权限,而加密设备也只有通过利用密钥交换原始信息,才可以获得到密文的,并把密文转变成原始信息的整个过程被称作解密。在实际的操作过程中,硬件上加密和解密的设备类型必须匹配,软件上加密和解算法也要同时符合要求。
2.4安装入侵检测系统入侵检测系统是指对计算机和网络资源的恶意使用行为进行识别和对其相应处理的系统软件。它是专门为保证计算机系统的安全而设置和配置的一种可以及时发现并报告计算机内部异常现象的技术,也是一种应用于检测计算机网络中违反安全策略行为的技术手段。而入侵检测也一般被认为是防火墙的第二道安全闸门,它可以帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点中收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。并在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。因此,入侵检测系统能有效防止网络信息被泄露等问题的发生。
3结束语
对一些安全企业而言,这场变革也许会给他们带来更大困惑,因为这场变革意味着,企业自身原有的技术水平、商业模式都将受到新的挑战。而面对变化,并非所有企业都能适应。
今天,我们常常会听到一些安全企业抱怨,卖硬件不挣钱了,参与者越来越多了,竞争越来越激烈了。下一步该如何是好?是不断压缩成本,还是继续扩充销售队伍?也许都不是。换一个思路,或许你能发现一片新的蓝海。
应用安全进入大众视野
“泄密门”事件发生后,信息安全问题已经不再只是被安全从业人员所关注,而是进入了更多普通民众的视野。实际上,随着物联网技术的逐步成熟,与RFID(射频识别)相关的应用正越来越多地渗透到普通人的生活中,如:市民公交卡、电卡、酒店门卡等。与此同时,也有越来越多与普通人生活密切相关的安全事件被曝光,如:公交卡被破解、手机被窃听等。
目前,黑客攻击已经呈现出向物联网应用领域发展的趋势,而要防范物联网领域的攻击,仅靠现有的安全手段还很难做到,这让广大民众感受到了更多的安全威胁。
民众的安全意识在一定程度上决定着安全市场的走向,并将给安全行业带来新的变化。有人说,国内很多安全项目是事件驱动型的,往往在发生某个安全事故后,相关领域的问题才会真正受到关注,由此带动安全细分领域的发展。最近发生的互联网企业“泄密门”事件可能会再次证实这一点。
东软集团股份有限公司网络安全营销中心副总经理曹鹏认为,2012年,安全产业将出现的一个趋势是,与应用相关的安全产品和解决方案,将会受到用户更多的重视,市场上将会推出更多针对应用的安全产品和解决方案。而在过去,用户更多只是将焦点放在安全设备的部署上,这也是诸多安全企业一直以出售设备为主要经营方向的一个主要原因。
SOC下一站:互联网信息监控
面对新的市场走向,安全厂商该如何抓住新的机遇?东软安全正在进行积极的尝试。曹鹏表示,新的一年,东软安全将积极推动云计算、互联网和移动终端市场的紧密结合,依托云计算应用来提供安全应用服务,这也将是东软安全未来一个重要的发展方向。2012年,东软安全将鼓足马力,在已经成熟的SOC(安全运维管理平台)产品基础上,将SOC应用推广到互联网监控上,为更广泛的用户提供互联网信息监控、舆情监控、应用监控等服务。未来,东软安全的用户将不再只限于政府机构或大型企业,中小企业甚至广大普通网民都将成为其服务的对象。
截至2014年6月底,作为非P2P网络小额贷款的典型代表,阿里金融旗下的小额贷款公司累计发放贷款超过2000亿元,服务小微企业达80万家。众筹融资。截至2014年6月底,全国约有众筹融资平台100家,其中“天使汇”自创立以来累计有8000个创业项目,创业者会员超过20000人,融资总额超过2.5亿元。基于互联网的基金销售。截至2014年9月底,支付宝平台的“余额宝”规模达5349亿元,用户数增至1.49亿,天弘基金由此成为国内规模最大的基金管理公司。
二、互联网金融信息安全风险分析
互联网金融的迅猛发展,在给我国经济金融带来活力、给大众带来便利的同时,也存在着大量的风险隐患。同所有金融业务一样,互联网金融存在流动性风险、信用风险、洗钱风险等,在此,本文仅从信息安全的角度分析互联网金融风险。
(一)客户端安全认证风险。客户端通常采用用户名和密码方式进行认证,用户计算机在感染病毒、木马程序或被黑客攻击后,用户的账户、密码、验证码等敏感信息会在未经安全认证的情况下,通过键盘记录或屏幕录制等方式,被发送至黑客指定服务器的后端,严重威胁互联网金融账户和密码安全。
(二)信息通信风险。互联网金融业务通过网络在银行、互联网金融机构、用户之间进行数据传输,数据传输过程要求进行数据加密。网络传输系统被侵入或者加密算法被黑客攻破,将导致用户的资金、账号、密码在网络中以明文传输,造成客户信息泄露,严重影响客户资金及信息安全。
(三)系统漏洞风险。互联网金融业务系统无论采用Java技术还是其他技术进行开发,均可能存在一些系统漏洞和安全隐患。黑客会搜寻并利用系统漏洞进行攻击来获得非法利益,给互联网金融业务带来巨大的信息安全风险。
(四)数据安全风险。互联网金融业务数据要求绝对安全和保密。用户基本信息、支付信息、资金信息、业务处理信息、数据交换信息等丢失、泄露和被篡改,都会给商业银行及互联网金融机构带来不可估量的损失。在互联网的开放式环境中,互联网金融业务系统应确保数据输入和传输的完整性、安全性与可靠性,防止对数据的非法篡改,实现对数据非法操作的监控与制止。
(五)系统应急风险。目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P等机构,不能严格执行应急演练计划。电力中断、地震、洪水等灾害的发生,将导致系统数据丢失,给互联网金融机构造成巨大损失。
(六)内部控制风险。互联网金融内控制度是为了保护金融资产的安全完整,形成的一系列具有控制职能的方法、措施和程序。互联网金融业务内控制度建设或执行不到位,会导致业务操作处理过程中出现安全隐患,如由单个系统管理员重置客户密码或调整客户账户信息等,将造成互联网金融信息安全风险。
(七)外包管理风险。由于专业技术人员不足,许多互联网金融机构通过购买第三方外部服务的方式来获取技术支持。外包服务管理不到位、外包服务公司经营不善或破产,都会给互联网金融机构带来数据泄密的风险,严重影响互联网金融业务安全稳定运行。
(八)操作风险。操作风险来源于机构内部员工或用户的错误操作、恶意操作。互联网金融机构员工对业务不熟悉,可能导致业务操作风险,从而危及互联网金融业务的总体安全。同样,互联网金融业务也可能因为客户缺乏网络安全知识、安全意识淡薄而面临相当高的操作风险。
(九)法律风险。法律风险来源于网上交易过程中违反相关法律、法规和制度,以及未能遵守有关权利义务的规定。电子商务和互联网金融业务在我国正处于加快发展阶段,政府相关法律法规对网上交易权利与义务的规定仍不清晰,互联网金融存在着相当大的法律风险。
三、互联网金融信息安全风险防范
(一)构建互联网金融信息安全保障体系。一是改善互联网金融的运行环境。在硬件配置方面,加大对计算机信息安全设备的投入,增强系统的抗攻击、防病毒能力;在系统运行方面,通过身份识别、分级授权、短信验证等多种登录方式,限制非法用户登录互联网金融网站。二是加强数据安全管理。将互联网金融纳入现代金融体系的发展规划,制订统一的技术标准规范;利用数字证书与加密技术保障互联网金融业务的交易主体的信息安全,防范交易过程中的不法行为。三是开发具有自主知识产权的信息安全技术。大力发展国产加密技术、密钥管理技术及数字签名技术,提高信息系统的安全技术水平和关键设备的安全防御能力,保护互联网金融安全。
(二)健全互联网金融信息风险管理体系。一是加强互联网金融机构的内部控制。互联网金融机构应制定完备的计算机安全管理办法和互联网金融风险防范制度,加强制度学习落实,完善业务操作规程;充实内部科技力量,建立从事防范互联网金融信息风险的专业技术队伍。二是加快社会信用体系建设。以人民银行的企业、个人征信系统为基础,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网金融业务提供者因信息不对称作出不利选择;针对从事互联网金融业务的机构建立信用评价体系,降低互联网金融业务的不确定性,避免客户因不了解互联网金融机构的业务服务质量而作出逆向选择。
(三)加强防范互联网金融信息风险的法制体系建设。一是加大互联网金融的立法力度。及时制定和颁布互联网金融法律法规,在电子交易的合法性、电子商务的安全性以及禁止利用互联网犯罪等方面加快立法,明晰互联网金融业务各交易主体的权利和义务。二是修改完善现行法律法规。修订现有法律法规中不适合互联网金融发展的部分,对利用互联网实施金融犯罪的行为加大量刑力度,明确造成互联网金融信息风险应承担的法律责任。三是制定网络公平交易规则。在识别数字签名、保存电子交易凭证、保护消费者个人信息、明确交易主体的责任等方面作出详细规定,确保互联网金融业务的有序开展。
互联网金融主要有以下特点:一是资源开放性,基于互联网开放共享的特点,通过大数据、云计算等互联网技术,对海量信息进行检索、整理和组织,进而扁平化互联网信息资源,以满足对金融信息的需求,使用户获得金融信息的方式更便捷;二是成本低、效率高,通过P2P直接交易进行金融资源的优化配置,使资金供求信息在互联网中形成“池”效应,资金供求双方可以通过网络平成交易,无传统中介、无交易成本,通过大数据的分析和挖掘,能够更快更好地完成风险评估,业务处理速度更快;三是发展速度快,依托于大数据、云计算和电子商务的发展,互联网金融得到了快速成长,出现了众多互联网金融新模式,如互联网支付、P2P网络借贷、网络小额贷款、众筹融资等;四是风险大,由于缺乏金融风险控制经验,我国信用体系尚不完善,互联网金融的相关法律不健全,互联网金融违约成本较低,互联网金融的普惠特点容易诱发恶意骗贷、卷款跑路等风险问题,其传染隐蔽性、扩展性的特点,可能会波及整个金融市场,甚至引发金融风险。
二、互联网金融信息安全概况
一是互联网金融企业自身的信息安全相对于传统金融企业仍较薄弱,其中不完善的密钥管理及加密技术将会给互联网金融数据安全和业务连续性带来严重影响,如2013年4月,丰达财富P2P网贷平台遭到持续攻击,网站瘫痪5分钟,2014年3月网贷之家官网遭到恶意攻击等。二是互联网金融企业自身的内部风险控制亟待提高,管理也存在较大局限性,互联网金融企业虽然可以依据大数据来分析用户的行为,监管各种交易风险,但是这些更多的是对微观层面的控制,很难从宏观上进行监控,如2013年8月的光大证券乌龙指事件。三是用户认识度不高,用户对互联网金融借助的大数据云技术概念和技术缺乏了解,没有考虑自身的需要,完全照搬国外经验,以致资源利用率不高,导致人力物力财力的浪费。四是消费者信息安全防范意识仍旧薄弱,如点击不明链接,遭受木马攻击,导致泄露支付账号和密码以及消费者身份信息等。
三、互联网金融信息安全风险分类
1.信息技术风险
一是计算机客户端安全风险,目前互联网金融客户端基本采用用户名和密码进行登陆的方式,缺乏传统金融行业的动态口令、U盾等辅助安全手段,一旦客户端感染病毒、木马等恶意程序将严重威胁互联网金融账户和密码安全。二是网络通信风险,在互联网环境下,交易信息通过网络传输,部分互联网金融平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,互联网金融中的数据传输和传输等过程的加密算法,一旦被攻破,将造成客户的资金、账号和密码等的泄露,给互联网金融信息安全造成严重影响。三是互联网金融业务系统及数据库存在漏洞风险,互联网平台面临网页挂马、数据篡改、DDoS攻击、病毒等信息安全风险,数据库系统存在越权使用、权限滥用等安全威胁。
2.业务管理类风险
一是应急管理风险,绝大多数互联网金融企业没有较好且完备的应急管理计划和灾备系统,业务连续性较差,一旦发生电力中断、地震等灾害,将给公司造成非常大的损失乃至导致破产。二是内控管理风险,互联网金融企业大多存在内控制度的建设不完善和执行力欠缺的问题,员工的不当操作以及内部控制的失败,可能在内部控制和信息系统存在缺陷时导致不可预期的损失。三是外包管理风险,目前大多数互联网金融企业基本采用外包的形式为企业提供业务或技术支持。如果缺乏业务外包管理制度或未明确业务外包范围,将导致不宜外包的核心业务进行外包,出现泄密风险。四是法律风险,目前有关互联网金融的法律法规不完善,缺乏监管措施,这些将影响互联网金融的健康发展。
四、构建互联网金融信息安全风险体系
1.建全互联网金融监管的法律法规
一是完善互联网金融法律法规,制定互联网金融信息安全行业标准,提高互联网金融企业的安全准入门槛,明确互联网金融企业的法律地位和金融监管部门以及政府监管职责和互联网金融的准入和退出机制,从而搭建起互联网金融法律体系。二是构建包含一行三会、司法和税务等多部门的多层次、跨行业、跨区域的互联网金融监管体系。三是提升互联网金融消费者权益保护力度,加强信用环境建设和完善信息披露制度,畅通互联网金融消费的投诉受理渠道,逐步完善互联网金融消费者权益保护的法律制度框架,建立消费者保护的协调合作机制。
2.建立互联网金融信息安全技术标准
建立互联网金融信息安全技术标准,增强互联网金融企业的协调联系机制,加强信息安全风险的监测和预防工作,加快与国际上有关计算机网络安全的标准和规范对接。整合资源,建立以客户为中心的互联网金融信息安全数据库,以实现数据的归类整理分析和实时监控业务流程。
3.加强互联网金融信息安全技术体系建设
目前我国互联网金融系统核心技术缺少自主知识产权,加之“棱镜门”的出现,使我国互联网金融计算机系统存在较大的风险隐患。因此,必须加强互联网金融信息安全技术体系建设,在核心软硬件上去除“IOE”,开发具有高度自主知识产权的核心技术,使在互联网金融的关键领域和关键环节使用国产化软硬件设备,提升互联网金融的信息安全风险防范能力,加大对信息安全技术的投入,以信息安全等级保护为基础,建立基于云计算和大数据的标准体系,应用PDCA的思想,从整个信息系统生命周期来实现互联网金融长期有效的安全保障。
4.建设互联网金融信息安全风险评估应急体系
一、互联网金融时代,金融信息安全面临的主要挑战
互联网金融信息安全不仅面临着互联网自身存在的安全风险,还面临着金融业务新技术与新形势的挑战,后者也为互联网金融的发展提供了诸多发展障碍。1、互联网金融信息安全保障体系的建设速度滞后于互联网金融业务的发展速度。由于互联网技术的不断创新与发展,为金融业务提供了全新的发展平台与端口,众多理财、保险类互联网金融业务乘着互联网技术的发展态势不断涌出,在相关的金融信息安全保障体系尚未建立与完善之际,这种互联网金融业务的发展无疑是一种如履薄冰的繁荣。网络病毒的侵袭使得这种互联网金融业务的安全运行成为了一种偶然,如果不能及时构建严密的金融信息安全保障体系,那么互联网金融的发展则会变成无稽之谈。2、层出不穷的互联技术应用是当前金融信息安全面临的最大挑战。由于第三方支付平台的出现以及大数据等新兴分析技术的兴起,打破了传统金融业务的运行机制,也为消费者的金融信息安全增添了更多威胁。互联技术应用已经成为互联网金融发展的重要支撑,因此必须为其制定出相应的安全管理策略,来保证其安全运行。3、网络安全防控是互联网金融信息安全防范的难点。互联网金融发展面临的另一重要安全隐患便是互联网自身存在的安全漏洞。互联网由于其自身的开放性和匿名性特点,为许多网上金融犯罪提供了便利,这也是互联网金融信息安全防范的重难点。要想依附互联网这一平台展开相关金融业务,必须在网络安全防控方面有所作为。
二、相关对策建议
1、完善顶层设计,尽快构建适应互联网金融发展需要的金融信息安全保障体系。互联网金融的安全平稳运行离不开相关保障体系的保驾护航,我国当前已经存在的金融信息安全保障体系主要是根据传统金融信息安全问题而建立的,这显然已经不适应当前发展得日新月异的互联网金融的信息安全需要。所以,国家必须做好相关顶层设计,在安全保障技术方面提供最严密、最尖端的技术支持,加快金融信息安全方面的人才建设,在对当前金融信息安全保障体系进行完善的前提下,时刻关注互联网金融业务的整体发展态势,以实现金融信息安全问题的有效预测与防范。2、加快安全网络体系建设,最大限度提升金融网络防御攻击的水平。作为互联网金融业务发展依附的主要平台,互联网有必要进一步减少自身存在的安全隐患,从而为金融网络的自身防御提供高安全系数的保障。互联网可基于大数据分析,对于不同的金融业务平台进行相关数据分析,为互联网金融业务所的平台进行信用评估,从而为消费者进行选择时提供相关参考性意见。3、加强对新生金融实体从事互联网金融业务的信息安全保障。新生金融实体开通互联网金融业务时,在很大程度上会存在信息安全保障不到位的现象,因此,国家需要对这些新生互联网金融业务进行相关审批,制定出相关的考核检验标准,考核检验新生互联网金融业务的整体发展实力以及相关安全保障体系的建设与投入,严格遵守为消费者负责的态度,为我国的互联网金融发展的大环境保驾护航。4、积极探索适合监管互联网金融的金融信息安全防范措施。由于我国互联网金融的发展处在发展初期,因此缺乏相关管理经验,所以,我国可以借助国外先进互联网金融信息安全管理经验,对我国的互联网金融信息安全保障体系建设提供相应的支持。还可以展开国际互联网金融信息安全管理合作,因为互联网金融是面向世界各国的业务,单纯依靠一个国家的力量无法对涉及国际金融信息安全的问题实现有效处理。
三、结语
【关键词】信息安全 发展趋势 互联网 【中图分类号】F49 【文献标识码】A
无论是个人、商家,还是社会组织、媒体,在发展过程中均离不开互联网。从目前来看,较为常用的信息安全技术包括:防火墙技术、生物识别技术以及入侵检测技术等。这些技术的应用,在很大程度上保证了网络信息的安全性。从网络系统以及管理等层面考虑,要想使互联网的信息安全得到全面提升,还有必要从多个方面加以完善。互联网的优势主要包括:其一,能够不受空间限制,实现信息的交换;其二,信息更新速度快,具备时域性特征;其三,具备互动性特征,能够满足人与信息以及人与人之间的互动交流;其四,在信息交换过程中,存在诸多形式,包括文字的信息交换、图片的信息交换以及视频的信息交换等。也正因为互联网的诸多优势,使其具备非常广阔的发展前景。虽然我国互联网网民的数量众多,但是由于受到内外部环境的影响,我国互联网发展和西方发达国家比较起来,尚存在一定的差距。这种差距主要体现在商业用途、信息价值以及信息安全等方面。我国互联网内容中,存在着一些低俗信息,这些信息充满了语言上的谩骂以及诽谤等,显然,这些低俗信息违反了国家法律法规。此外,由于互联网信息安全问题的存在,在没有很好的防范措施的情况下,还可能让企业面临巨大的经济损失。因此,有必要及时解决信息的安全问题,在确保互联网信息安全的基础上,为互联网的良性发展奠定坚实的基础。
互联网信息安全的三个层次
信息安全属于传统保密技术的延续及其发展,也属于互联网时代出现的一个全新概念。信息安全涵盖的内容很多,信息安全行为主体、信息防护策略以及任务目标等均属于信息安全的内容。要想更为深入地认识信息安全,需从三个层次出发。
第一个层次,被称为信息安全的重要性层次。从信息内容安全、信息系统安全以及信息网络安全等多个层面来看,信息安全的重要性是毋庸置疑的。常见的信息安全事件包括信息内容伪造、泄露以及假冒等;信息系y受到病毒感染、攻击以及入侵等;信息网络中断、瘫痪等;信息基础建设被损坏等。显然,确保信息的安全性非常关键。在确保信息的安全性的基础上,才能够使信息安全事件的发生得到有效控制。
第二个层次,被称为信息安全的影响力层次。网络攻击武器和信息之间存在密切的关联性,而美国把网络攻击武器视作杀伤力巨大的破坏性武器。倘若一个国家或企业的信息系统出现瘫痪故障,那么带来的损失将难以估计。显然,信息安全的影响力是巨大的。要想促进网络发展,需要确保信息的安全性,合理应用信息,并采取有效的预防和处理措施。
第三个层次,被称为信息安全的技术作用层次。近年来,随着航海技术的进步及其发展,国家的领海范围有所扩充。而航空技术的进步及发展,也让国家进行了领空的扩展。显然,科学技术的发展离不开网络的支持,而网络疆域的出现,更能够体现出信息安全技术的重要性。要想使国家疆域得到有效发展,需要注重信息安全技术的作用,并逐步提高信息安全。
互联网信息安全的实现
加强互联网信息安全的防御能力。要想使互联网信息安全得到有效保障,有必要加强互联网信息安全的防御能力。互联网信息防御过程中,最为重要的是查找出不良信息以及信息病毒等,进而采取有效防御策略。其中,防火墙技术和入侵检测技术在其中的应用便显得非常关键。防火墙的设置,能够使一些重要信息被窃取的几率大大降低。近年来,随着网络信息安全问题的不断增加,防火墙技术也不断完善。入侵检测技术主要是对未授权的网络信息或者有违法律法规的信息进行检测,通过检测将这部分不良信息排除,进而确保信息的安全性。除上述提到的两项常用技术外,生物识别技术、数据加密技术等,均能够保证信息的安全性。
加强互联网信息安全的系统化管理。对于互联网来说,其系统的构成存在复杂程度高的特点,主要的子系统包括:操作系统、服务系统、数据库系统。为使系统信息的安全性得到有效保障,需做好每一个子系统的监控以及保护工作。通过系统数据的分析,掌握系统可能受到的损害,进而加强监控。与此同时,还有必要逐步对系统的防御功能进行强化,例如,网络安全漏洞扫描技术的应用,能够在一定程度上确保系统的信息安全。通过这项技术,对互联网系统潜在安全隐患进行预警,并进行风险评估,进而采取有效防范措施。
构建完善的互联网信息安全管理方案。对互联网信息安全管理方案加以构建,才能够使互联网信息安全得到有效实现。一方面,需加强对信息管理工作人员的教育,提高信息管理工作人员的安全管理意识,使其认识到加强互联网内外部信息安全管理的重要性,使得不法分子传播网络病毒以及攻击网络的行为得到有效遏制。另一方面,对于网络秘密信息,未经授权人员不可访问,同时需利用加密处理技术,防范不法分子窃取。此外,为了使网络信息安全在整体上得到有效保障,还有必要构建完善的网络信息安全管理制度。
互联网信息安全的价值
互联网的良好规范发展。要想使互联网在未来具备良性的发展,有必要采取策略,确保互联网信息的安全。从信息安全的价值来看,它能够促进互联网的有序发展。比如,在经济方面,我国目前构建了覆盖全国的公用电信网以及广播电视网等,且互联网逐步渗透到各个行业,对其发展起到了促进的作用。然而,由于互联网信息存在一些问题,如病毒传播问题,以及信息管理问题等,针对这些问题,需要采取行之有效的防范处理方法,进一步确保信息的安全。在确保网络信息安全的基础上,互联网技术不仅能够稳定企业的经济,还能够起到稳定社会的作用,并进一步强化国家的安全。
使用者的权益保证。在科学技术不断发展的背景下,我国国民经济也呈现出不断发展的状况。在这样的大背景、大趋势之下,广大人民群众对信息的依赖表现得越来越明显。例如,平板电脑、智能手机开始渗透到人们的日常生活以及工作、学习当中。通过互联网的应用,手机和电脑都能够丰富人们的生活、开拓人们的视野。但人们在“网上冲浪”过程中,势必涉及到信息的、获取,为了保护人们的信息安全,需要采取一些安全技术,如信息加密技术、防火墙技术等。在信息安全得到有效保障基础上,使用者的合法权益便能够得到有效保证。
保护电子信息的机密。除上述作用之外,信息安全还具备保护电子信息机密的作用。近年来,我国电子商务呈现了快速的发展态势。电子商务关乎一些商业机密信息,以及个人财产信息等。为了使电子商务信息的安全得到有效保障,有必要采取一些防范技术,如公钥加密技术,以及私钥加密技术等,这些技术的应用,能够实现对文件的加密以及解密,进而确保电子商务信息的安全性。总的来说,信息安全能保护电子信息的机密,进而使经济损失以及商业机密窃取等风险事件的发生得到有效控制。此外,VPN加密技术的应用等,也在很大程度上保护了电子信息的机密。
(作者单位分别为新疆警察学院;新疆工程学院)
【参考文献】
①孙勇、王创科:《计算机信息技术在互联网中的应用探索》,《数字技术与应用》,2015年第7期。
关键词:互联网金融;信息安全;解决对策
一、互联网金融的概述
1.互联网金融的定义互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。2.互联网金融的发展之路互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数据传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。2.难以评估的风险问题如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。3.快速的扩散性在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。2.难以预防的网络安全问题威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。3.快速更新的互联网金融技术快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。2.对信息安全风险进行评估对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的综合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。3.对网络身份进行认证在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
五、结语
综上所述,在互联网金融时代的这个大背景下,金融信息中的安全问题至关重要。互联网金融的发展必定是金融发展的趋势,对信息安全问题也提出了许多的挑战,因此需要多方面的相互协调发展。首先要保证金融系统的可靠性和技术手段的及时更新,其次需要国家在法律条约与相关技术方面提出有效的支持,最后需要互联网用户、金融机构等金融参与者学会自我约束遵纪守法。新型的互联网金融监管与传统的金融业相似,简而言之就是微观监督与宏观调控的结合,两者要相辅相成共同进步。由此更好的促进互联网金融行业的健康稳定发展,更好的服务于人民。
参考文献:
[1]颜秋霞.“互联网+”金融信用风险体系构建的对策研究--以互联网银行为例[J].时代金融,2017(08).
[2]陈一鼎,乔桂明.“互联网+金融”模式下的信息安全风险防范研究[J].苏州大学学报(哲学社会科学版),2015(06).
1.互联网金融的定义
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
关键词:移动互联网;个人信息安全;隐私
随着我国全面步入3G时代,并正在开启4G时代,移动互联网得到迅猛的发展,移动智能手机终端普及,功能和应用大大拓展,除了基本的语音通话、短信功能、移动购物、移动娱乐、社交、手机理财等创新应用层出不穷。智能手机已经成为人们生活中不可或缺的一部分。它带给人民舒适、便捷生活体验的同时,信息安全问题也逐渐显露。
1移动互联网与个人信息
移动互联网是移动通信技术和互联网技术的有机结合,是一种通过智能手机终端,采用无线通信方式获取信息和服务,开展业务及应用的新模式。在移动互联网环境,通过手机有包括娱乐、社交、移动购物、移动办公、投资理财等极其丰富的应用。
个人信息是指可以识别和推测个人特征的私有信息。一是指自然属性的基本信息(姓名、年龄、性别、身高、体重、血型等);二是指社会属性信息(住址、电话号码、学历、
职业、社会地位等);三是指财产信息(收人、资产、负债、信用等);四是网上活动信息(聊天记录、网购记录、各种账号、密码、浏览记录等)。手机个人信息即指手机中储存的个人信息和持有人通过手机进行有关业务活动所涉及的个人信息。
2移动互联网环境下手机个人信息的特征
手机中的个人信息除了具有一般信息的特征外,在移动互联网的环境下,还具以下特性。
2.1手机中个人信息多样化
手机不仅可以存储个人信息,还可以开展各种业务活动诸如移动商务、办理网上银行业务、互动游戏、基于位置的服务(LBS)、移动社交、拍照摄像等。涉及的个人信息变得复杂和多样化。
2.2个人信息更为私密
移动互联网环境下,利用手机进行的业务活动会涉及更为私密的信息,诸如隐私照片、视频、信用卡账号、密码、通讯信息、家庭住址及与活动位置有关的信息,一旦被非法窃取和利用,会给人们的生活带来极大的困扰,甚至造成财产和人身伤害,危害程度更高。
2.3个人信息的实时性和动态性
手机所涉及的个人信息有的相对稳定,例如身份信息。但是很多个人信息的产生是伴随着个人活动而产生的,这些信息包括网上活动信息,如注册账号、互动聊天、购买记录、信用评价,具有很强的动态性和实时性的特点。例如LBS(基于位置的服务)需要跟踪和记录位置变换的动态和实时信息,才能提供相关的服务,但是也会侵害到个人隐私。
2.4个人信息具有高价值性
移动互联网时代消费者主导为主要特征,更强调个性化的消费、个性化的服务。商家只有了解消费者的偏好和个性特征才能提供满足个人的消费需求。而商家只有收集消费者的个人信息并加以分析才能提供个性化产品和服务。互联网服务商已不再满足于通过传统的互联网来收集个人信息,在移动互联网时代,他们会利用各种技术手段来收集智能手机上人们的个人信息和活动记录,并利用云计算、数据挖掘等工具来分析这些信息。正是个人信息的所具有的高价值性,个人信息可能被商家窃取、非法利用来谋取暴利。
3手机个人信息面临的安全威胁
3.1手机及手机卡被丢弃和转让泄露个人信息
个人手机通常存有除了通讯录、工作日志、短信息、照片、视频聊天记录外,还有银行、证券账号、微博、微信、淘宝、支付宝等账号信息。这些信息一旦泄漏被非法利用,会发生如骚扰电话、诈骗、引诱甚至威胁等带来极大的困扰甚至人身财产的损失。违法活动,给个人我们需要警惕,不要随意出借手机、转让SD卡、出售。
3.2手机中的应用软件(APP)过度获取信息
移动互联网时代智能手机的功能越来越强大,手机中安装丰富的应用软件,为人们带来便捷、舒适的体验的同时,这些应用也在偷偷地访问个人手机中的隐私信息,并把这些信息上传到商家应用服务器,用户可能并不知情或未授权。
3.3手机木马病毒的恶意窃取和破坏
随着移动互联网的发展,手机黑客木马的目光也睢准了个人隐私,大肆篡改知名应用,恶意下载安装在用户手机中来窃取用户隐私信息。在被黑客植入木马后,会读取用户好友的号码、记录、用户联系人信息、用户浏览器书签等隐私信息,并被非法出售谋取暴利或从事诈骗、引诱等违法活动。用户下载应用软件时一定要提高警惕,要去正规的网站下载,并且安装手机卫士(杀毒)软件进行防御。
3.4手机个人用户的信息安全意识不足
移动互联网环境下智能手机功能被发挥到了极致,渗透到学习、生活和工作中。人们在畅享移动互联网带来的便捷的同时,却忽视了对自己手机中个人信息安全的保护。例如,为方便起见,在手机中保留账号、密码等极为私密的信息,让网页记住账号甚至密码,在社交网站上分享自己的相片、购物经历,分享自己的地理位置等个人信息,通过网络备份或上传自己的个人信息到网络、服务器上。这些个人信息甚至在互联网上可以毫不费力地获取和利用,因此提高用户的个人安全意识有助于用户自身对个人信息的保护。
4保护手机个人信息安全的措施
保护手机个人信息安全需要从法律、行业规范、技术、用户4个方面综合考虑。
4.1尽快推出个人信息保护立法
我国对公民个人信息直接保护的法律规定是2009年颁布并通过的《刑法修正案(七)》第七条新增的关于侵犯公民个人信息的犯罪即“出售、非法提供公民个人信意罪”和“非法买卖公民个人信息罪”。但是对个人信息保护的法律法规相对零散,不具体,不成体系,无明确的执行机构,导致发生侵害个人信息的违法行为时往往难以执行。
在移动互联网环境下,由于新技术的广泛应用给个人信息的保护带来前所未有的挑战。诸如垃圾短信、骚扰电话、隐私泄露、账号被盗、随意贩卖、过度收集个人信息的违法行为时有发生。网络的匿名性、技术的隐蔽性、取证的困难、违法成本低使得犯罪分子游走在道德与法律的边缘,甚至在利益驱使下铤而走险,直接侵害个人信息,使得人身财产安全受损。一部真正能保护个人隐私信息的《个人信息保护法》亟需推出。
4.2加强行业规范和自律
对于整个手机产业链来说,从手机终端制造商、系统服务商、电信运营商、内容提供商、应用服务商至消费者构成一个移动互联网的产业链。其中,任何一个环节都有可能侵害到手机上的个人信息安全。例如前不久曝光的小米手机存在泄露隐私风险,苹果手机泄露明星“艳照门”事件等。还有部分移动运营商在利益的驱动下铤而走险,内外勾结,泄露个人的账号、通讯录、短信息。这里可以借鉴美国在网络个人信息保护方面的做法,主要是采取政策性引导下的行业自律模式。美国虽有相对较完善的个人信息保护相关法律,但是提倡行业规范,引导行业自律。对于移动互联网行业,要净化行业风气加强行业自律,对于侵害个人信息安全的行为及时曝光并纳入企业的诚信体系。
4.3提高安全技术加强防范
加强个人信息的保护技术是保护个人信息安全最为有效的措施,这里包括硬件安全和软件安全技术。硬件技术主要是手机厂商加强硬件安全技术保护,不留后门。软件安全技术包括数据加密技术、防火墙技术、入侵检测技术。近年,我国推动软硬件国产化就是基于信息安全的考虑。随着云计算、大数据技术的普及及应用,在新技术日新月异的今天,我国移动互联网信息产业的各部门要不断提高自身的安全技术水平,防患于未然,切实重视用户的个人信息安全保护。
4.4培养用户个人信息安全意识
互联网只有短短几十年的发展历史,但却对世界各国的治理与管辖提供了巨大的便利,同时也提升了世界各国人民的工作与生活效率,互联网让世界各地都能紧紧联系在了一起,这便构成了计算机网络信息的社会化时代。现代互联网时代是一个超大容量的信息时代,计算机网络在各个邻域均发挥着至关重要的作用,伴随着网络信息技术的普及与推广,网络信息的安全问题逐步受到人们的重视。常见的腾讯QQ、微信等社交通讯软件逐步替代了守旧的社交方法,同时网络支付、网银等支付软件也逐步融入到人们的工作生活当中。在我们享受网络信息带给我们的便利时,也在不可避免地需要泄露部分的个人信息,这在一定程度上给用户与企业甚至整个国家信息系统埋下了极大安全隐患,计算机信息的战略性地位使信息的安全与保障显得尤为重要,互联网时代下计算机信息安全和整个网络的安全有着密不可分的联系。
2、计算机网络信息安全面临者巨大的挑战
2.1自然灾害
计算机信息系统作为一个需要通电运转的机器,很容易受到所在环境因素的影响,温度、湿度、震动等外界因素,导致系统无法正常运行,一般的计算机都没有设置例如防雷防磁防震等防干扰的硬件,很容易受到这些外界不良因素的影响,抵御外界不可抗力的能力较差。
2.2计算机系统本身容易受到攻击
开放性本身作为互联网技术的优势,可以在世界各地、各区域传播信息,但是这种开放性同时也是计算机网络的弱点,特别容易受到攻击。再加上因特网是依靠于TCP/IP协议基础上,其安全性不是很高,在运行该协议过程中网络系统很容易受到不法分子的攻击、盗取数据、篡改数据等,是导致网络安全的一个重要的因素。
2.3不法分子恶意攻击
这种不法分子攻击网络是目前计算机网络所面临的巨大挑战。主要存在两种恶意攻击,分别为主动和被动攻击。主动攻击是黑客通过各种方式对计算机内有用信息的完整性、有效性进行选择性的破坏;被动攻击是对网络信息进行部分截取、破译或者拦截等,而不会破坏网络的正常工作。这两种攻击方式都对网络信息安全造成了巨大的威胁,从而导致重要信息的泄露或者丢失。
2.4计算机病毒
计算机病毒是在计算机中加入的恶意的能够破坏信息以及电脑性能的程序,能影响计算机使用性能,降低使用效率的一系列代码。计算机病毒具有传播性快、隐蔽性强、感染性强、潜伏时间不定、可激发性、表现性或破坏性等突出特点,可对电脑硬盘数据进行恶意破坏,导致其无法正常使用。在前些年,病毒使通过u盘、光盘、软盘、硬盘等移动存储进行传播,这种传播的效率不是很高。如早些年出现的熊猫烧香病毒,CIH病毒等,都给当时的网络信息安全造成了极大的威胁。目前的病毒主要是通过网络传播,在上网时被用户不知情的情况下捆绑至电脑,有极强的隐蔽性。当前存在的病毒绝基本都是通过互联网进行扩散的。
3、保障计算机互联网信息安全的策略分析
3.1打造计算机互联网信息安全环境
保障信息安全,首先需要保障计算机硬件的安全,因此必须做好信息系统基础设施建设工作,为计算机系统营造安全的环境,计算机应该安置在温度、湿度适宜的环境中,尽量远离噪音源和强电磁场,使用优质的电源确保能为计算机持续提供稳定的电流,计算机工作过程中应该做好定期检查和日常维护,检查计算机是否接地良好。重点保护部门和单位的电磁信号,防止被不法分子使用设备截获。如果计算机系统和设备非常重要,必须建立完善的防盗报警设施,防止计算机或者设备被盗,造成信息资料丢失的问题。
3.2采用多种方式保障信息安全
除了保障计算机硬件安全,还要采用多种方式进行信息数据加密,确保信息在传输过程中不被截获或者破解,目前数据加密技术有很多种,基本能够保证信息的完整性和机密性。网络信息认证是用来认定信息交互双方身份真实性的技术,将密钥加密技术和数字签名技术结合起来,对签名人身份进行科学规范的鉴定,对信息传输的过程进行监控,保证信息、文件的完整性和真实性。
3.3做好病毒防范工作
木马和病毒是威胁信息安全的一大因素,计算机病毒和木马具有隐蔽性的特点,能够隐匿在计算机系统中,在用户不知情的情况下自我复制和传播,感染计算机中的文件,最终造成系统破坏,还会造成用户信息和隐私泄露的问题。因此必须使用杀毒软件定期扫描和杀毒。在计算机的日常使用中,也要注意不随意下载不知出处的软件或者盗版软件,定期备份重要的数据和资料,运行来源不明的文件或者程序前必须先杀毒,良好的习惯才是保障信息安全的法则。
3.4提高信息安全意识
使用计算机和互联网时要保持良好的使用习惯,不在自己的计算机上保存网站密码或者私人信息,来源不明的邮件或者包含内容不详附件的邮件不能打开,使用QQ等通訊软件聊天时,不轻易接受陌生人发送的文件和程序等,为计算机设置具有一定复杂度的密码,在转售、报废计算机前一定要将计算机内的数据和信息全部清除。
总而言之,为加快我国现代化计算机网络安全的建设工作,企业与个人都应当针对网络信息管理过程中出现的问题采取相应的解决方案,从而提升我国的数据信息安全性,保障企业与个人信息的网络环境稳定性,为我国经济建设的腾飞提供安全可靠的技术环境支持。
参考文献:
[1]梁雪霆.数据挖掘技术的计算机网络病毒防御技术研究[J].科技经济市场,2016,01:25.
[2]王继业,刘道伟,马世英,张东霞,朱朝阳,郑超,秦晓辉.信息驱动的全球能源互联网全景安全防御系统[J].电力信息与通信技术,2016,03:13-19.
[3]贺丽娟.网络动态防御技术研究[J].信息系统工程,2016,03:18.
桌面互联网 移动互联网 信息安全
1 引言
当我们探讨安全问题的时候,一般会将安全放在某一个业务或者某一种场景下讨论。换句话说,抛开业务和场景讨论安全是毫无意义的。所以,当探讨桌面互联网安全和移动互联网安全的时候,我们需要先充分了解桌面互联网和移动互联网的业务形态和应用场景[1]。
桌面互联网最重要的特点是web网站是其信息组织和交互的核心载体,它兴起于上个世纪90年代。人们最初熟悉桌面互联网是从门户网站开始的,如雅虎、搜狐、新浪等。那时的互联网是一个海量信息的集合,人们可以从互联网上获取大量的、实时的信息。我们称之为Web 1.0时代。当互联网引入了用户参与,包括评论、互动等,互联网用户就可以在线地参与到这些业务中去了。这时,桌面互联网进入了Web 2.0时代。博客就是这个时代最典型的产品。随着互联网的发展,用户不再满足线上精神层面的交流,他们的互动从线上延伸到了线下。互联网从单纯的信息交互融入到了人们的实际生活当中。我们称之为Web 3.0时代。这个时代典型的业务包括电子商务(如淘宝、京东)、婚恋网站(如百合网、珍爱网)、招聘网站(如智联招聘)。除了上述场景外,桌面互联网的典型业务场景还包括以腾讯QQ为代表的即时通讯业务和以Google、百度为代表的搜索引擎业务。
移动互联网最重要的特点是手机App是其信息组织和交互的核心载体。在移动互联网发展的初期,桌面互联网的应用被简单的迁移到了手机终端,形成了Wap网站。但是由于带宽和终端的限制,这些业务始终难以得到真正的发展。苹果推出的iPhone开创了智能手机的先河,是全世界第一款能够非常轻松简易访问移动互联网的智能终端。苹果手机的出现和移动超宽带网络的部署(3G、4G)为移动互联网带来了大发展的契机。大量的手机App随之涌现出来,它们利用运营商提供的带宽和手机终端的各种功能(音\视频、通话等),为用户提供各种各样的服务,我们称之为OTT(Over the Top)业务。它们能够直接在互联网上部署,并通过智能手机客户端的App为用户提供服务。
桌面互联网和移动互联网业务有一个相同的必争山头:流量。无论是web网站也好、手机App也好,用户的流量是业务能否盈利的决定性因素。所以互联网(这里泛指桌面和移动互联网)业务的运营团队最重要的工作目标是为业务带来流量,而流量又是靠入口来实现的。在桌面互联网时代,当我们遇到一个自己不了解的事物,第一选择就是搜索引擎(Google、百度);当我们希望购买一样东西的时候,第一选择就是电商网站(亚马逊、淘宝);当我们需要使用某种手机App的时候,一般会选择一个手机应用商城去下载这些应用(App Store、Google Play、中国移动MM)。这些都是用户使用互联网业务的典型入口。
2 互联网信息安全
互联网信息安全涉及的领域非常广泛,它背后涉及学科包括计算机、网络、通信、密码、数学、社会科学等。由于互联网业务主要的承载方式是计算机代码,所以互联网信息安全产生的根源是计算机代码的各种漏洞。这些漏洞存在于互联网业务、数据库软件、操作系统、中间件,甚至是通信网络协议中,可以说无处不在。但是安全漏洞和风险即使存在,也未必会被利用并造成不良后果,那是因为几乎所有利用安全漏洞的行为一般都不会仅仅由于攻击者的兴趣而发动,其背后必有利益作为推动[2]。打个比方,一个攻击者利用DoS/DDoS攻击让某一个网站无法对外提供服务。实际上这个攻击并不是免费的,它需要大量的肉鸡、需要好的攻击软件、需要发起攻击的服务器和带宽。这个攻击者一般都会通过某种途径回收投入、获取利益。当然,这些行为都是非法的。
在互联网中,业务运营方和用户手中都握有非常有价值的数据和信息,所以他们都可能成为互联网恶意用户攻击的对象。以业务运营方为目标的攻击一般通过利用业务和系统的漏洞“非正常”的进行访问,窃取关键数据或致盲业务;而以用户为目标的攻击一般通过欺骗、数据包截获等方式获取用户的关键信息,如信用卡信息、虚拟储值账户信息、隐私信息等。所以从这个角度看,互联网信息安全治理的关键点是对一些高价值的数据和业务做好信息安全防护。
3 桌面互联网的安全风险
由于桌面互联网以Web网站作为信息组织和交互的载体,所以桌面互联网业务面对的最直观风险是攻击者“非正常”访问网站的风险。攻击者的目的不同,“非正常”访问的手段也有所区别。
3.1 DoS/DDoS攻击
DoS/DDoS(Deny of Service/Distributed Deny of Service)是以致盲业务为目的的攻击手段。它通过大量的肉鸡发送无效数据包,使得Web业务繁忙以至于最终无法提供正常服务。无效的数据包可以通过各种协议发送,如SYN、ICMP、UDP。但是当Web服务安装了防火墙后,这些攻击都能够被有效的阻挡在防火墙外而不能对业务造成影响。目前比较有效的攻击手段是CC(Challenge Collapsar)攻击[3]。它利用模拟多个用户并发访问的方式,耗尽服务器和数据库的资源。因为已模拟成正常的web访问,所以此类攻击能够有效穿透防火墙。
在DDoS攻击领域,目前已经有了一个完整的黑色产业链。只为兴趣不为利益的攻击几乎已经不存在了。在该链条中,有人负责提供肉鸡、有人负责编写攻击软件、有人负责选取对象开展攻击、有人负责讹诈收钱。一些流量敏感型业务或者Web页面电子商务依赖性较大的业务往往最容易成为被攻击的对象,如视频网站、电商网站等。
3.2 Web页面漏洞
典型的Web页面漏洞包括SQL注入漏洞和XSS(cross site scripting)跨站漏洞。SQL注入风险产生的原因是Web页面没有过滤用户的URL输入。这样一来,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误地将攻击者的输入作为原始的SQL查询语句的一部分执行,导致改变了原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询。常用的SQL注入语句如:$username=1'or'1'='1、$password=1'or'1'='1。通过多次输入这些语句并依据服务端返回值(“正确”或“错误”),就可以猜解出Web端数据库的用户名和密码,达到非法访问的目的。解决SQL注入一般是通过URL过滤的方式,防止用户通过http协议提交一些非法的查询请求。
XSS(cross site scripting)跨站漏洞只存在于包括动态内容的页面上,而静态站点则完全不会受到其影响。所谓动态内容,是指根据用户环境和需要,Web应用程序能够输出相应的内容。所以这些网站往往允许用户发表包含HTML或Javascript脚本的内容。如果用户发表的内容包含了恶意脚本,那么其他用户在浏览这些内容的时候,恶意脚本就会执行,盗取他们的信息,包括用户帐户、cookie等。跨站攻击又分为持久型跨站和反射型(非持久型)跨站2种。根据应用安全国际组织OWASP[4]的建议,对XSS最佳的防护应该结合以下2种方法:验证所有输入数据,包括输入数据的长度、类型、语法以及业务规则;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。
3.3 越权访问漏洞
越权访问漏洞是指用户无需通过Web服务的用户名和密码匹配校验鉴权就能直接访问服务的漏洞。这往往是由于Web服务开发者的疏忽而造成。用户在登陆Web服务的时候,需要输入用户名和密码来鉴权确认用户身份。但是当用户登陆后,在进行某些需要判定用户身份的操作时,在Web服务中判断用户身份的字段往往不会在客户端和服务器之间传递,而是调用一个session文件来确认用户的身份。该session文件往往是在用户登陆系统的时候创建的,是用户的身份证明。越权访问是在某些Web服务未关联session文件,且未对用户的身份进行鉴权就授予访问权限时发生的。解决越权访问漏洞主要需要开发人员对所有的网站代码做较为仔细的审计,对所有需要校验用户名密码的服务都需要确认要么调用session文件,要么直接向客户端获取用户名密码展开相关鉴权。
3.4 其他风险
Web服务的安全风险其实远不止上述几种。在Web业务开展的过程中可能会有注册、登陆、登出、注销、使用业务等诸多步骤。每一个步骤都可能有因逻辑漏洞或者代码漏洞而产生的安全风险。除此之外,承载Web服务的平台(如IIS、Apache等)、数据库(如SQL)也可能因为补丁未打等为题存在内网漏洞。这些都需要具体问题具体分析。
4 移动互联网时代的安全
在移动互联网领域,由于手机App是信息组织和交互的载体和核心,安全风险主要在手机App上体现。更重要的是,和PC相比,手机终端是更贴近用户的终端设备,上面存储了更加重要和隐私的信息。所以在移动互联网时代,以用户为目标的攻击远比桌面互联网时代更为常见。
4.1 常见的安全威胁[5]
(1)资费消耗:恶意应用在用户不知情的情况下拨打电话、发送短彩信、开启网络连接发送用户数据,导致用户的资费损失。例如某恶意应用伪装为手机壁纸应用诱导用户下载安装,安装后在开机或重启时自动运行某恶意进程。该恶意进程会联网获取返回链接,并不断尝试访问这些链接,通过频繁链接这些网址消耗用户大量流量。
(2)隐私窃取:恶意应用可在用户未确认或不知情的情况下读取用户电话本数据、通话记录、短彩信数据,或者在用户不知情的情况下进行通话录音、拍照、摄像、定位等操作,随后上传收集到的隐私数据。近两年,窃取用户个人隐私正成为恶意应用的主要目标之一。除了用户隐私信息之外,高价值的用户账户信息也是被窃取的主要目标。例如利用某恶意应用,通过淘宝“忘记密码”这一功能重置手机用户的支付宝登陆密码,而重置期间所提示的手机短信,都会被屏蔽,转发给黑客手机服务器。若重置成功,则可盗取用户的淘宝和支付宝账户信息,并将用户账户资金偷走。
(3)恶意扣费:恶意代码通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失。例如恶意扣费应用可以通过在代码内嵌业务订购地址,或通过在线访问的方式,在用户不知情的情况下发起订购。由于被访问的订购业务是蓄意构造的,可能不具备一系列的认证、二次确认步骤,用户会不知不觉的“被订购”和“被扣费”。
(4)远程控制:一些恶意应用可将安装了该软件的终端变成一部“傀儡机”,在用户不知情或未授权的情况下,接受远程控制指令并执行相应的操作。
(5)流氓行为:恶意应用可能会在后台运行,强制驻留系统内存,额外占用CPU资源,使手机终端运行缓慢,并且用户不能禁止该类软件的开机自启动,或者不能删除、卸载该软件。
4.2 恶意手机应用泛滥的原因
恶意手机应用泛滥问题的根源来自多个方面。1)手机用户:在现阶段,国内很多手机用户使用手机应用尚无付费习惯。庞大的受众群体使得免费应用成为恶意程序扩散的主要手段。2)应用开发者:除了开发收费应用之外,一部分开发者为了生存,可能不择手段的寻找各种盈利手段,比如以各种手段诱骗、吸引用户下载并安装应用,利用其内嵌的广告盈利。3)软件下载渠道:下载渠道主要盈利方式是建立在吸引大量开发者应用的基础上的。若对应用进行严格的检测,可能导致该渠道的软件来源减少进而影响收入。这导致渠道商没有进行严格安全检测的动力和积极性,甚至可能采取纵容的态度。4)安全厂商:为手机用户提供了免费杀毒软件,并可以为软件下载渠道提供软件安全检测服务。但是免费杀毒的模式与其他软件开发者的生存模式一致,都是靠用户数量盈利,无法保证其权威性与公正性。5)电信运营商:为软件下载提供网络连接,通过流量收取费用。目前运营商已开始在网络侧对恶意应用进行监测,不过尚在起步阶段。6)国家监管机构:因目前我国在手机应用安全监管方面的工作刚刚起步,没有统一的政策、标准等监管要求,也缺乏相关监管手段进行支撑,对手机恶意应用泛滥的现状有心无力。
4.3 移动互联网手机应用的安全管控
既然移动互联网时代用户的入口是手机App,那么对手机App安全性的保障是移动互联网安全治理的重要举措。首先,对手机应用商城的治理刻不容缓。作为手机App的分发渠道,应用商城应该像超级市场对上架货品检测一样对第三方手机App的安全性做准入性检测。这些检测需要从代码、内容等多个方面保证这些在其应用商城上线的应用不能包含恶意的代码、违规的内容,不能在用户未授权的情况下获取用户手机上的隐私和关键信息。其次,政府的行业指导单位需要对手机应用进行合理监管。例如以抽检的方式对业务进行上线前、上线后的安全评估,对未达标的应用责令下线和整改。
5 结论
本文体系化地探讨了桌面互联网和移动互联网业务面临的安全风险,并提出了一些解决问题的思路和方法。实际上,互联网信息安全风险层出不穷,只要业务在不断的发展,新的风险和漏洞也会不断的涌现。只要有利可图,攻击者就会不断的发起攻击,获取数据,并利用黑色产业链兑现相关利益。“没有买卖,就没有杀害”在互联网领域同样适用:没有黑色产业链为攻击者非法获得的数据买单,也就不会有层出不穷的安全事件发生。所以无论是对桌面互联网还是移动互联网,其安全治理不单单是要从技术层面解决安全漏洞,还要从根本上打击黑色产业链为攻击者提供的销赃渠道。
参考文献:
[1] 吴倚天. 从桌面互联网到移动互联网[J]. 信息化建设, 2009(5): 16-17.
[2] 唐鑫. 网络入侵攻击黑色产业链分析[J]. 网络安全技术与应用, 2014(6): 174-175.
[3] 计算机与网络. WEB服务器被CC攻击的症状以及防护[J]. 计算机与网络, 2013(10): 42-43.
关键词:互联网;医疗;隐私;信息安全
互联网医疗是指以互联网为载体,以信息技术(包括通讯技术、云计算、物联网、大数据分析等)为支撑,开展在线健康教育、电子健康档案、医疗信息查询、电子处方和远程医疗等多种活动的一种新型健康和医疗信息服务的总称,其本质是将互联网及相关信息技术延伸至医疗服务这个大行业中来[1-2]。互联网医疗的兴起在方便患者就诊、节省医疗成本、优化医疗模式、保证医疗安全、方便医学研究等方面发挥了重要作用。然而随着互联网医疗的推广,云技术、大数据分析的应用,患者医疗信息变得更集中、更易获得,在医疗数据采集、存储和应用过程中常发生数据泄露的问题。数据泄露会危及患者个人隐私,如某社区居民疾病登记管理系统的账号和密码泄露,就会暴露大量居民的敏感信息。近几年,孕、产妇个人信息泄露的新闻几乎不绝于耳,其带来的一系列推销、诈骗问题严重困扰信息当事人[3]。因此,很有必要对在互联网医疗环境下的咨询服务、远程医疗、移动医疗设备使用中可能存在的隐私泄露等信息安全性问题进行分析,从而有针对性地予以解决及预防。
1互联网医疗中隐私信息保护面临的挑战
1.1咨询服务中的泄露风险
在互联网医疗中,患者可在具有挂号功能的网页上进行预约挂号、医疗保健咨询,还可通过网络上的医疗社区向医生寻求建议以及与病友交流治疗信息,但存在患者相关隐私数据的安全性、保密性等问题。首先,患者要填写一系列个人信息注册,这样才能获取网站服务;其次,在进行医疗咨询或在患者社区分享就诊经验时,患者会有意无意地泄露一些碎片信息,虽然这些碎片信息单独看似毫无价值,但将之与患者提供的其他信息关联后却有可能识别其身份[4]。最重要的是,一些网站允许广告商或其他第三方获取用户信息,当患者浏览网站时点击了外部广告,广告商便能追踪这些患者,对患者进行定向广告推送。但互联网具有开放性,患者并不知道哪些人可以获取他们的哪些信息,也不知道那些信息被用于何处,甚至以上行为的发生都很难被患者觉察,而信息泄露时也无从申诉。目前有许多互联网医疗机构,水平与资质参差不齐,工作人员同样层次复杂,而他们可从网络后台获取用户的大量健康信息[5],若发生隐私泄露问题,很难追踪根源来明确责任。少数从业人员受利益驱使,拷贝、贩卖健康信息,也造成了患者隐私泄露的问题。
1.2远程医疗中的泄露风险
远程医疗是指远距离地对患者进行医学诊疗,其应用使得医疗服务突破了空间的限制,有利于优质医疗资源的配置,处于医疗资源不足区域以及身体行动不便的患者也可不再需要长途跋涉、劳心劳力地去医院就诊,在家就能通过网络得到专业的医疗服务。2014年8月国家卫计委印发的《关于推进医疗机构远程医疗服务的意见》中规定,远程医疗服务只能由医疗机构提供。国家发改委、卫计委还于2015年初联合印发了《关于同意在宁夏、云南等5省(区)开展远程医疗政策试点工作的通知》,要求试点省(区)落实远程医疗服务工作[6]。然而,在远程医疗过程中同样存在隐私泄露风险。在远程诊疗过程中,患者的病理学诊断、影像学诊断等数据或图片都通过互联网传送,与医生的沟通也是采用视频通话方式,数据容易受到拦截、甚至篡改,视频也有可能被窃听。远程医疗结束后需进行医疗档案的记录,医疗信息电子化、档案化可提高医疗服务的效率,且方便在不同医疗机构之间传输或共享。传统的医疗机构通过将内部的电子病历系统与外部网络隔绝开来保障信息安全,互联网医疗则将医疗信息的共享范围拓展至整个互联网,而电子记录容易复制、共享、被第三方截获的特性便带来了信息安全的隐患[7]。
1.3移动医疗设备使用中的泄露风险
互联网医疗催生了各种类型的移动医疗设备,主要包括健康管理类的可穿戴设备如手环、慢性病管理类的监测设备如家用血糖仪、适用于远程医疗的监控设备等,受到目标人群的欢迎。这些设备可持续性地采集、存储患者的数据,帮助患者进行健康管理,并向互联网医疗机构传输数据。同时,这些移动医疗设备具有汇总患者数据、创建患者的详细的合成档案的功能,还有将收集到的患者的大量数据聚合、关联、分析的功能,可从中挖掘出新的信息。此外,这些设备还有可能记录其他数据,如患者的位置信息等。这些数据对商业企业有很大的利用价值,如用于定向营销等,可为其带来巨大的商业利益,然而目前国内对此类设备的数据采集与利用并无相关规定。对于家用远程设备,在信息访问、传输和存储时,由于用户的操作失误或有意为之,也会造成信息的泄露、篡改和丢失[8]。由于用户疏忽、错误地使用了不安全的上网设备(免费路由器等)而导致信息泄露的事例并不鲜见,2015年央视“3•15”晚会上就特别展示了信息诈骗犯罪如何利用免费路由器获取用户信息的例子[9]。因此,对移动医疗设备用户来说,要有个人信息保护的意识,否则将其他端口把控得再严也是徒劳的。
2相关建议
当前,我国互联网医疗正处于发展初期,在保障医疗信息隐私与安全的前提下,应本着鼓励发展的原则,不可过分束缚。对互联网医疗实际运行中出现的问题,建议从立法、信息技术和管理三个维度来解决,使之能够健康发展。
2.1加快制定健康信息保护的法律、法规,以适应互联网医疗发展的需求
目前,世界上有109个国家有专门的个人信息保护法[10],而我国尚无系统性的法律、法规来确保医疗信息安全,尤其是在涉及隐私保护方面。我国有关个人信息的保护规定虽多,但基本上是分散在效力层次不一的各种法律、法规甚至规范性文件中的,即目前法律对个人信息及隐私保护采用的主要是间接方式,且规定模糊、震慑力有限,不仅会使隐私信息泄露者肆无忌惮,而且在出现纠纷时也往往无法可依。建议制定个人信息或医疗健康信息方面的专门法律,在规范远程医疗、移动设备健康信息收集与利用等方面适应互联网医疗发展的需求。同时,通过立法设立专门的部门对互联网医疗机构进行统筹管理,主要职能包括日常信息安全与隐私保护的监督、侵权事件的咨询和诉讼等,建立、健全层级管理机制,提高行政干预效率。
2.2利用先进技术为患者医疗信息的存储与传输安全
保驾护航一些不法分子可能会利用各种技术手段侵入存储有健康信息的网站非法浏览、篡改、盗窃隐私信息,远程医疗也可能遭到黑客的拦截而导致数据泄露或失真。建议建立互联网医疗服务的相关技术应用审查机制,并构建分级、分类审查制度,对信息技术的使用进行监管。互联网医疗中健康信息面临的安全威胁大多可以通过信息技术手段来解决,因此可引入国际上的先进技术,包括访问控制技术、匿名技术、加密技术、安全监控和审计技术等,同时鼓励创新与我国国情相适应的信息技术。
2.3有效的管理是互联网医疗信息安全的重要屏障
各互联网医疗机构应以法律、法规和行业标准为最低要求,制定适合自身发展的管理规范及操作规章,并认真落实。以下三点需予强调:1)加强从业人员的隐私保护意识培养和专业素养教育。互联网医疗信息工作人员能接触到大量健康信息,涉及用户的个人隐私,若他们信息安全意识缺乏,对信息安全威胁认识不足,就很可能导致健康信息泄露甚至丢失。因此,要提高隐私保护的效果,必须加强各类从业人员的隐私保护意识,强化自我约束能力,这样才能从根本上保证隐私信息能够得到妥善的使用和保护。2)畅通患者知情同意权的行使渠道。互联网医疗产生的大数据具有很大的商业价值,信息利用者有义务告知信息主体他们将如何存储、使用或会与谁共享这些健康信息,且理论上应获得信息主体同意后方能实施,而在获得知情同意的过程中还需注意使用公众能够理解的语言。笔者建议借鉴美国的隐私保护电子化技术,该技术会将与隐私有关的决策自动传送给信息主体,信息主体可选择碎片化后分享信息。3)平衡好信息开放与隐私保护的关系。互联互通和信息开放是大趋势。我们确实需要重点关注医疗信息的安全与隐私保护问题,但对隐私的保护也不能绝对化,不可过分限制信息流通。健康信息在医学研究和公共卫生管理方面都具有重要的应用价值,其合理利用有利于促进和实现互联网医疗服务的健康、可持续发展。
参考文献
[1]舒婷.“互联网+”时代的患者隐私保护[J].中国数字医学,2016,11(5):41-43.
[2]上千名孕妇信息被贩卖数据安全难保障[J].中国医院院长,2016(7):17.
在第一代移动通信中,用户利用明文的方式向网络传递移动终端的电子序号以及由网络分配的移动识别号,两者相关要求符合就可以构建呼叫。只需要截获电子序号以及网络序号就可以对电话进行模拟。在第二代数字移动通信系统中,将加密的方式应用过来,以便安全认证移动用户。网络将一个认证请求发送给移动用户,用户做出相应的响应。虽然可以在传输链路上截获询问信号,但是,计算相应的信息需要用到与特定用户相关的秘码。虽然强化了对用户身份的保密,但是,只需要伪装成网络成员,就可以攻击用户的安全。
2移动通信技术中的安全威胁
无线信道具有较强的开放性,会有很多的安全威胁出现于移动通信网络中。其中,窃听和假冒是最经常遇到的,人们开始普遍关注移动通信的安全性。机密性、完整性以及认证性是移动通信中安全性的主要体现。将一定的安全机制提供出来,也并不是长久安全的,因为安全威胁是在不断变化的,需要进一步强化通信安全机制。移动通信面临的威胁主要包括三个方面:一是获取信息,攻击者选择一个通信链路,非法窃听攻击对象,然后从技术角度伪装成一个合法身份,诱导攻击对象进入陷阱;二是攻击者搜索浏览攻击对象的敏感信息存储位置;三是利用获取到的重要信息,然后与攻击对象的敏感信息存储位置进行链接,以便实施破坏活动。
3移动通信中的入侵检测技术
在移动通信安全监控方面,入侵检测技术是一项非常重要的监控技术。通过对入侵检测技术的应用,可以对系统中入侵者的非授权使用以及系统合法用户的滥用行为进行识别,将各种原因导致的不适当的系统管理找出来,如软件错误、认证模块失效,等等,并采取相应的措施进行补救。将入侵检测系统应用到移动通信中,可以对非法用户以及不诚实的合法用户或滥用网络资源的行为进行有效检测。利用加密等安全技术手段,降低假冒合法用户、窃听等攻击手段对移动通信网攻击的危险性。
4对安全技术的研究
在现代系统安全结构中,有几个安全的特征组,它们涉及到了传输层、服务层和应用层,同时也涉及移动用户、服务网和归属的环境。每一安全特征组用以对抗相应的威胁和攻击,实现安全的目标。
4.1网络接入安全
保证用户接入服务的安全性,对在接入链上的攻击进行有效的抵抗;如果网络域安全,网络运营者之间的结点在对信令数据进行交换时就可以保证安全,就可对有线网络上的恶意攻击进行对抗;用户在与移动互联网站的连接过程中,就不会出现安全威胁;应用程序域的安全可以避免安全威胁出现于用户的应用程序和营运商的数据交换过程中。另外,还需要考虑安全的可视化以及可配置性,所指的是用户可以对操作的安全程度进行感知。
4.2保密技术
应用保密技术,可以保证用户的身份不会在无线链路上被窃听;避免当前用户位置被窃听无线链路所获取;在无线链路上,窃听者无法获取用户正在使用的其他业务信号。因此,可将临时身份和加密的永久身份这两种方法合理应用。在系统安全性认证的过程中,网络和用户之间的认证不再是过去的单一式,而是双向进行的;另外,数据完整性也得到了强化,避免信息遭到破坏或篡改。
4.3空中接口加密
空中接口加密主要是加密保护基站和移动台间无线信道上的信息数据和信息命令,并且不会重播这些信息。一般在媒体访问控制上层进行加密。此外,也可以加密MAC的地址,避免被不法分子窃听到移动的台识别码。
4.4新的安全技术
随着时代的进步和发展,如今出现了第四代移动通信系统,人们也开始关注本系统中的安全问题。现有系统中的安全方案也存在着一些漏洞,但第四代移动通信系统将会使用一种新的安全技术,它是轻量、复合式和可重配置的,促使移动设备的安全性能得到提高。如今,很多实验室都开始研究新一代移动通信技术的信息安全技术的安全体系,已经将4G安全体系的总体方向确定下来,如认证、授权、审计,等等。
5结语
互联网+和环保信息监测的有效结合可以分成以下三方面:第一,通过互联网+传输环保信息数据。首先将全国各地环保数据、空气数据、水环保数据以及地表水数据等进行筛选加工后,将正确的数据信息传输到国家环境监测中心,然后由国家环境监测中心对这些环保数据进行审核,整理,以报告的形式通过互联网+传送出去,使每个用户端可以将环保数据及信息进行下栽、浏览等。第二,国家环保监测部门可以通过互联网+对环保信息进行实时监测,全面掌握环保、排污企业的实时情况、环保数据以及环保信息的质量,一旦发生异常现象,监测平台会立即报警发出警示。第三,利用互联网+,公布环保数据。在2013年时,面向全国建立了对空气质量的监测平台,实现了空气质量数据的实时监控;在2015年时国家全面覆盖了空气质量监测数据的实时监测,监测所得数据相关网站均可查到。我国目前通过互联网+环境保护信息的监测已经具备了一定的基础。对于一些重点污染源企业实行了在线监测,所有环保信息都可以经过网上进行传输以及接收,查看,并且已经向社会大众进行了实时公开。
2互联网+",环境信息安全面临的机遇和挑战
2.1互联网+",环境保护信息安全面临的机遇
从国家层面上来说,近期,我国对党“互联网+环保”颁布了《生态环境监测网络建设方案》。并且指出,大数据以及互联网+是推动环保治理的重要实施手段。这足以说明国家对“互联网+环保”的高度重视,为环保信息安全的发展打下了坚实的基础。从公众参与的角度看,近些年,社会大众参与环保行为日益增多,互联网+的加入,更加提升了社会大众参与环保的意识。互联网+满足了社会大众对于环保信息的需求,例如,提供了实时空气质量数据监测、环境质量数据监测等。
2.2“互联网+”环境下面临的挑战
从技术角度来看,“互联网+”由于更新快,更新周期短,一旦企业缺少资金以及缺少自主研发的能力,会在很短时间内被市场所淘汰。环境保护信息用户安全管理,主要是依靠环保信息系统去实现,如果只是一昧地去模仿或者是依靠某些应用系统,很快便会降低环保信息用户的安全性。例如,某研发公司,通过自身积累的地理数据,已经主动投身于对“互联网+”背景下环保大数据的应用,一方面通过将一张大的地图与各种服务整合到一起,成立一套新的地图及服务体系;另一方面,在环保数据信息安全监测、用户安全评价以及环保信息预测等方面,通过全面收集的环保信息数据,深化研发了大数据在环保领域的应用。
3互联网+下环境保护信息用户安全
3.1善于利用互联网+
作为国家环保部门要关于利用互联网+,推进环保信息安全管理,推动环保法治的有效进行,积极开展正确的环保舆论引导,推进社会大众的积极参与。作为国家环保部门一定要建立善于利用互联网+的思想,要保障社会大众对环保信息的知情权、以及环保信息用户的安全。对于所公开的环保信息要做到公平公正,保障用户所看到的环保信息是公正的,敢于听取批评,敢讲出实情,只有这样才可以通过互联网+实现真正意义上的环保信息用户的安全管理平台。
3.2加强环保信息用户安全,提高环保信息大数据安全保障及防范能力
促动环保应用技术的研发,加大环保信息资金支撑,加强环保信息及用户安全管理工作,提高环保监测部门,在互联网+背景下环保信息用户安全的可控制性。对互联网+大数据背景下环保信息用户安全体系加强建设力度,通过对环保信息采集、分析、处理等过程,建立与需求相符的环保信息用户保护系统,建立统一的环保信息用户保护体系,推进环保部门对环保信息用户的保护态势。将大数据应用技术得以充分利用,减少互联网+背景下,对环保信息用户的各类攻击,通过应用大数据环保信息处理技术达到对网络异常的实现监测及分析,通过应用大数据的互联网+的攻击追踪,达到查找互联网+攻击行为的源头。
3.3对环保信息的真实需求全面掌握
我国环境相对较为复杂,由于地区的不同,环保部门所面临的问题也不同,作为企业来说,要加强与当地环保部门的沟通,全面掌握当地环保用户的真正需求,要从技术上梳理对环保信息用户的安全管理,切勿将一种系统复制应用到各个地方。
3.4“互联网+”有效强化环保监测数据安全用户的管理
通过利用互联网+实时在线环保信息用户安全监测平台,实现了每个环保信息安全监测点与主控制中心的安全连接。例如说,在山东省的某一个环保信息监测中心可以与总监测中心平台直接连到一起,一旦山东省的环境监测数据出来,就会立即传送到总监测中心,总监测中心就会全面掌握山东监测点的运行情况。
4结束语