时间:2023-03-17 18:12:48
导言:作为写作爱好者,不可错过为您精心挑选的10篇互联网安全论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
二、互联网金融信息安全概况
一是互联网金融企业自身的信息安全相对于传统金融企业仍较薄弱,其中不完善的密钥管理及加密技术将会给互联网金融数据安全和业务连续性带来严重影响,如2013年4月,丰达财富P2P网贷平台遭到持续攻击,网站瘫痪5分钟,2014年3月网贷之家官网遭到恶意攻击等。二是互联网金融企业自身的内部风险控制亟待提高,管理也存在较大局限性,互联网金融企业虽然可以依据大数据来分析用户的行为,监管各种交易风险,但是这些更多的是对微观层面的控制,很难从宏观上进行监控,如2013年8月的光大证券乌龙指事件。三是用户认识度不高,用户对互联网金融借助的大数据云技术概念和技术缺乏了解,没有考虑自身的需要,完全照搬国外经验,以致资源利用率不高,导致人力物力财力的浪费。四是消费者信息安全防范意识仍旧薄弱,如点击不明链接,遭受木马攻击,导致泄露支付账号和密码以及消费者身份信息等。
三、互联网金融信息安全风险分类
1.信息技术风险
一是计算机客户端安全风险,目前互联网金融客户端基本采用用户名和密码进行登陆的方式,缺乏传统金融行业的动态口令、U盾等辅助安全手段,一旦客户端感染病毒、木马等恶意程序将严重威胁互联网金融账户和密码安全。二是网络通信风险,在互联网环境下,交易信息通过网络传输,部分互联网金融平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,互联网金融中的数据传输和传输等过程的加密算法,一旦被攻破,将造成客户的资金、账号和密码等的泄露,给互联网金融信息安全造成严重影响。三是互联网金融业务系统及数据库存在漏洞风险,互联网平台面临网页挂马、数据篡改、DDoS攻击、病毒等信息安全风险,数据库系统存在越权使用、权限滥用等安全威胁。
2.业务管理类风险
一是应急管理风险,绝大多数互联网金融企业没有较好且完备的应急管理计划和灾备系统,业务连续性较差,一旦发生电力中断、地震等灾害,将给公司造成非常大的损失乃至导致破产。二是内控管理风险,互联网金融企业大多存在内控制度的建设不完善和执行力欠缺的问题,员工的不当操作以及内部控制的失败,可能在内部控制和信息系统存在缺陷时导致不可预期的损失。三是外包管理风险,目前大多数互联网金融企业基本采用外包的形式为企业提供业务或技术支持。如果缺乏业务外包管理制度或未明确业务外包范围,将导致不宜外包的核心业务进行外包,出现泄密风险。四是法律风险,目前有关互联网金融的法律法规不完善,缺乏监管措施,这些将影响互联网金融的健康发展。
四、构建互联网金融信息安全风险体系
1.建全互联网金融监管的法律法规
一是完善互联网金融法律法规,制定互联网金融信息安全行业标准,提高互联网金融企业的安全准入门槛,明确互联网金融企业的法律地位和金融监管部门以及政府监管职责和互联网金融的准入和退出机制,从而搭建起互联网金融法律体系。二是构建包含一行三会、司法和税务等多部门的多层次、跨行业、跨区域的互联网金融监管体系。三是提升互联网金融消费者权益保护力度,加强信用环境建设和完善信息披露制度,畅通互联网金融消费的投诉受理渠道,逐步完善互联网金融消费者权益保护的法律制度框架,建立消费者保护的协调合作机制。
2.建立互联网金融信息安全技术标准
建立互联网金融信息安全技术标准,增强互联网金融企业的协调联系机制,加强信息安全风险的监测和预防工作,加快与国际上有关计算机网络安全的标准和规范对接。整合资源,建立以客户为中心的互联网金融信息安全数据库,以实现数据的归类整理分析和实时监控业务流程。
3.加强互联网金融信息安全技术体系建设
目前我国互联网金融系统核心技术缺少自主知识产权,加之“棱镜门”的出现,使我国互联网金融计算机系统存在较大的风险隐患。因此,必须加强互联网金融信息安全技术体系建设,在核心软硬件上去除“IOE”,开发具有高度自主知识产权的核心技术,使在互联网金融的关键领域和关键环节使用国产化软硬件设备,提升互联网金融的信息安全风险防范能力,加大对信息安全技术的投入,以信息安全等级保护为基础,建立基于云计算和大数据的标准体系,应用PDCA的思想,从整个信息系统生命周期来实现互联网金融长期有效的安全保障。
中图分类号:D92 文献标志码:A 文章编号:1673-291X(2010)10-0087-02
收稿日期:2010-01-18
作者简介:基娟娟(1985-),女,江苏仪征人,学生,从事企业管理研究;沙彦飞(1968-),男,江苏淮安人,副教授,从事企业管理、管理伦理研究。
互联网的飞速发展使传统的个人信息生产、传播和利用方式产生了一系列深刻变革, 为个人信息的传播提供了一个前所未有的发展空间,同时也带来了许多新的信息安全问题,受到社会多方的广泛关注。个人信息安全不仅是技术问题和法律问题,也是伦理问题。
一、互联网个人信息安全现状
中国互联网络信息中心(CNNIC)2010年1月15日在京了 《第25次中国互联网络发展状况统计报告》。报告数据显示,截至2009年12月,中国网民规模达3.84亿,增长率为28.9%,中国手机网民一年增加1.2亿,手机上网已成为中国互联网用户的新增长点,个人信息呈现爆炸式增长。所谓“个人信息”,是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。具体包括姓名、身份证号码、职业、学历、婚姻状况、收入和财产状况、家庭住址、电话号码、网上登录的账号和密码、信用卡号码等。信息安全问题包括由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。2009年3月15日,央视“3・15”晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。全国各地的车主信息,各大银行用户数据,甚至股民信息等等,在海量信息科技网上一应俱全,而且价格也极其低廉。买家仅仅花了100元就买到了1 000 条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。类似此例事件的披露,清楚地表明,个人信息安全不仅是技术问题和法律问题,也是伦理问题。加强网络信息伦理建设,越来越成为保障信息安全的一道屏障。
二、伦理问题分析工具
对网络个人信息安全中的伦理问题进行分析,需要运用一定的伦理理论,并在此基础上得出网络伦理的一般原则,以此作为理论分析工具。
1.权利论。权利可分为法律权利与道德权利。道德权利有两个方面:一是消极的权利和自由的权利,如隐私权,生命不被剥夺权、处置私有财产权等。二是积极的或福利的权利,包括受教育的权利、取得事物的权利、获得尊重的权利等。道德权利赋予个人自主、平等地追求自身利益的权利。道德权利是证明一个人行为正当性及保护或帮助他人的基础。权利论的道德原则是:当行为人有道德权利从事某一行为,或从事某一行为没有侵害他人的道德权利,或从事某一行为增进了他人的道德权利,则该行为是道德的。网民在进行网络消费时,享有以下权利:人身、财产安全不受损害的权利;个人隐私、信息不受侵犯的权利;公平交易的权利;人格尊严、民族风俗习惯得到尊重的权利等。
2.利益相关者理论。利益相关者是指可能对组织的决策和活动产生影响或可能受组织的决策和活动影响的个人、群体和组织。网络主体,包括开发商、运营商等网络从业者,对其负有道德义务的所有人可以统称为利益相关者。对于网络主体而言,网络用户,即网络消费者是其最主要的利益相关者。利益相关者分析考虑的是这样一个问题:为了使网络主体在任何情况下都能履行其义务,权衡那些有权对网络主体提出利益要求的人对网络主体提出的具有竞争性的要求。利益相关者分析并不否定网络主体利益高于其他利益相关者的利益,但是这种分析方法却要保证所有受影响的方面都会被考虑到。
3.伦理原则。以人为本原则。以人为本的原则就是要尊重人、关心人、促进人的自由而全面的发展。它是以利益相关者理论以及道德权利论为基础的。网络主体应真切地关注并尽可能满足网络消费者的合理要求,从而在他们的支持下得到发展,而消费者则可以从与网络主体的交往中得到物质和精神上的满足;网络主体应该努力开发生产出对社会有益的产品或服务,使网络主体的发展成果惠及于民。并且在可能的情况下,支持社会的福利事业,做一个好的“网络主体公民”。
公平公正原则。每个人都有独立平等的人格尊严,所以在享有正当自由权利的同时也应平等待人、尊重他人的正当权利。公平公正要求网络主体与利益相关者之间互利互惠,达到“双赢”的局面,只有互利互惠,网络主体与他们的合作关系才能维持下去,从而网络主体才可以发展下去。
诚实守信原则。诚信原则是网络主体经营之本,它可以促进网络主体与利益相关者长期、可靠的合作从而促进网络主体的生存和发展。诚实守信原则要求讲真话,不欺诈,“货真价实,童叟无欺”,一诺千金,说话算数。
三、基于互联网的个人信息安全伦理问题分析
网络社会是一个通过计算机之间的协同运作, 以实现资源共享、实时交往等社会生活的全新的生存空间。在这个“虚拟社会”中, 传统伦理道德的社会基础发生了巨大的变化, 人们的伦理观、价值观也发生了改变。互联网环境下,个人信息安全伦理问题主要有三个方面:
1.未经允许,在网络上披露他人隐私。互联网上披露、传播他人隐私的途径有发送电子邮件、聊天室、新闻组等方式,非法将他人隐私暴露。隐私权是公民个人生活不受他人非法干涉或擅自公开的权利, 它意味着尊重个人的自主、自由以及对他人正当行为的尊重。互联网的开放性和网络数字化符号的通用性对个人隐私权的保护提出了严峻的挑战。有些专门搜集个人隐私的网络主体受利益的驱动, 会利用各种技术手段将存放于数字系统中的个人信息汇总后出售给供应商, 导致个人信息的失控,如,知名明星中陈冠希的艳照门事件,就在社会上引起了很大的风波。
2.窥视、篡改他人的电子邮件。比起传统邮政,电子邮件有一点和它是相同的:电子邮件也有安全问题。如果邮件没有采取加密措施,它就可能被他人窥视,有篡改的可能。目前,人们对进行密码加密保护的邮件还是倾向于信任的。但是个人的通信还是存在着极有可能被黑客和ISP网络主体截取,以致造成个人生活安宁被侵害的情况。
3.个人数据的二次开发利用。个人数据的二次开发利用是指商家利用用户登记的个人信息,建立起综合的数据库,从中分析出一些个人并未透露的信息, 进而指导自己的营销战略。提供免费邮箱的网络服务商,已经将用户在申请邮箱时提供的个人数据进行了收集和二次开发,出售给别的商家使用。服务商将用户的邮件地址非法提供给其他机构,使其电子邮箱经常被垃圾邮件所塞满,造成客户个人隐私或商业机密的泄露。这种情况与私拆他人信件、侵犯他人通信秘密没有本质区别。
四、基于互联网的个人信息安全的伦理对策
1.技术措施保障。努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。加强网络社会技术上的安全性对于保护个人信息安全是至关重要的一步。数据加密技术是网络社会最为普遍的技术,目前关于除了口令设置等加密技术用于规范网络社会中出现的伦理问题已成为趋势。加密技术利用其特有的技术特点,可以有效地防止一些重要信息被篡改 、复制 、污染等起到了重要的作用。
2.提高网络个人用户的安全意识与道德素质。除了在网络主体层次采用最大限度的技术装备,加强技术方面的措施以外,用户也应该意识到自己所负的使命。网民们使用某些网站功能或参加一些网络调查时,均会被要求填写一些个人信息,尽管多数网站声称绝对为网民保密,不将个人信息提供给任何“第三者”,但网站“保护用户隐私”方面的条款更多时候是推卸责任的免责声明,看上去每个网站都有长长一大篇保护网民隐私的条款,但其中真正保护网民隐私的部分却含糊其词。
3.提高网络主体从业人员道德素质。保护网络用户的个人信息安全和网络隐私,网络主体从业人员的自律十分重要 。保护网络用户的个人信息安全和网络隐私是商业网站应尽的义务,商业网站应承诺并保证做到如下:如果网络用户对网站的信息安全、信息使用措施感到不安,可以随时删除自己提供给网站的详细资料;在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其他目的;除非在事先征得网络用户同意或为网络用户提供所需服务的情况下,网站不向任何人出售网络用户的个人资料或提供网络用户的任何身份识别资料给任何的第三人以供行销使用。
4.制定网络规范。目前很多网络主体在从事网络信息服务时,面对各种行为选择时会茫然不知所措。有必要加强网络规范,建立信息技术使用者的道德准则,要求信息使用者不应非法干扰他人信息系统的正常运行; 不应利用信息技术窃取钱财、智力成果和商业秘密等; 不应未经许可而使用他人的信息资源等。当为他们提供了相应的伦理准则, 建立明确的网络行为规范, 个体才能比较容易地做出是非评判,才能逐渐树立伦理意识;而一旦树立了良好的信息伦理意识,它将成为行为主体的内在自觉,即自己为自己立了法,将来面对新的伦理问题时也会自动地设定自己的行为准则。
五、结论
网络个人信息安全的伦理安全问题需要全社会共同的关注。当信息法律继续建立,技术更加成熟,网络主体更加自律更加诚信,网络规范更加完善,中国互联网中的个人信息安全问题才会得到有效解决,网络经济才能快速、健康地发展。
参考文献:
[1]周祖城.企业伦理学[M].北京:清华大学出版社,2005.
[2]苏勇.现代管理伦理学[M].北京:石油工业出版社,2003.
[关键词]电子商务安全网络安全商务安全
2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。
Intenet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。
电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
一、网络安全问题
一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。
二、计算机网络安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。
三、商务安全要求
作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所引发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有无所适从的感觉,因担忧而犹豫不前。因些,电子商务顺利开展的核心和关键问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户对于安全的需求主要包括以下几下方面:
1.信息的保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户被人知悉,就可能被盗用;定货和付款信息被竞争对手获悉,就可能丧失商机。因此在电子商务中的信息一般都有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。因此,要使交易能够成功,首先要想办法确认对方的身份。对商家而言,要考虑客户端是否是骗子,而客户也会担心网上的商店是否是黑店。因此,能方便而可靠地确认对方身份是交易的前提。
3.交易的不可否认性。交易一旦达成,是不能被否认的,否则必然会损害一方的利益。因此电子交易过程中通信的各个环节都必须是不可否认的。主要包括:源点不可否认:信息发送者事后无法否认其发送了信息。接收不可否认:信息接收方无法否认其收到了信息。回执不可否认:发送责任回执的各个环节均无法推脱其应负的责任。
4.交易内容的完整性。交易的文件是不可以被修改的,否则必然会损害交易的严肃性和公平性。
5.访问控制。不同访问用户在一个交易系统中的身份和职能是不同的,任何合法用户只能访问系统中授权和指定的资源,非法用户将拒绝访问系统资源。
四、电子商务安全交易标准
近年来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。主要的协议标准有:
1.安全超文本传输协议(S—HTTP):依靠对密钥的加密,保障Web站点间的交易信息传输的安全性。
2.安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE浏览器,以完成需要的安全交易操作。
3.安全交易技术协议(STT,SecureTransactionTechnology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在InternetExplorer中采用这一技术。
4.安全电子交易协议(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。SET2.0预计今年,它增加了一些附加的交易要求。这个版本是向后兼容的,符合SET1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。
五、商务安全的关键CA认证
怎样解决电子商务安全问题呢?国际通行的做法是采用CA安全认证系统。CA是CertificateAuthority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门:一是审核授权部门,它负责对证书申请者进行资格审查,决定是否同意给该申请者发放证书,并承担因审核错误引起的一切后果,因此它应由能够承担这些责任的机构担任;另一个是证书操作部门,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
CA体系主要解决几大问题:
1.解决网络身份证的认证以保证交易各方身份是真实的;
2.解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改;
3.解决交易的不可抵赖性以保证对方在网上说的话是真实的。
需要注意的是,CA认证中心并不是安全机构,而是一个发放”身份证”的机构,相当于身份的”公证处”。因此,企业开展电子商务不仅要依托于CA认证机构,还需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商,会让用户在部署安全策略时少走许多弯路。在选择外援时,用户为了节省成本,避免损失,应该把握几个基本原则:
1.要知道自己究竟需要什么;
2.要了解厂商的信誉;
3.要了解厂商推荐的安全产品;
4.用户要有一双”火眼金睛”,对项目的实施效果能够正确加以评估。有了这些基本的安全思路,用户可以少走许多弯路。
六、相应法律法规
电子商务要健康有序地发展,就像传统商务一样,也必须有相应的法律法规作后盾。商务过程中不可避免地会产生一些矛盾,电子商务也一样。在电子商务中,合同的意义和作用没有发生改变,但其形式却发生了极大的变化,
1.订立合同的双方或多方是互不见面的。所有的买方和卖方在虚拟市场上运作,其信用依靠密码的辨认或认证机构的认证。
2.传统合同的口头形式在贸易上常常表现为店堂交易,并将商家所开具的发票作为合同的依据。而在电子商务中标的额较小、关系简单的交易没有具体的合同形式,表现为直接通过网络订购、付款,例如利用网络直接购买软件。
3.表示合同生效的传统签字盖章方式被数字签名所代替。
电子商务合同形式的变化,对于世界各国都带来了一系列法律新问题。电子商务作为一种新的贸易形式,与现存的合同法发生矛盾是非常容易理解的事情。但对于法律法规来说,就有一个怎样修改并发展现存合同法,以适应新的贸易形式的问题。
七、小结
在计算机互联网络上实现的电子商务交易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。一个完善的电子商务系统在保证其计算机网络硬件平台和系统软件平台安全的基础上,应该还具备以下特点:强大的加密保证;使用者和数据的识别和鉴别;存储和加密数据的保密;连网交易和支付的可靠;方便的密钥管理;数据的完整、防止抵赖。电子商务对计算机网络安全与商务安全的双重要求,使电子商务安全的复杂程度比大多数计算机网络更高,因此电子商务安全应作为安全工程,而不是解决方案来实施。
参考文献:
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
⑴移动互联网业务丰富多样,部分业务还可以由第三方的终端用户直接运营,特别是移动互联网引入了众多手机银行、移动办公、移动定位和视频监控等业务,虽然丰富了手机应用,同时也带来更多安全隐患。应用威胁包括非法访问系统、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露、内容版权盗用和不合理的使用等问题。
⑵移动互联网是扁平网络,其核心是IP化,由于IP网络本身存在安全漏洞,IP自身带来的安全威胁也渗透到了移动专业提供论文写作和写作论文的服务,欢迎光临dylw.net互联网。在网络层面,存在进行非法接入网络,对数据进行机密性破坏、完整性破坏;进行拒绝服务攻击,利用各种手段产生数据包造成网络负荷过重等等,还可以利用嗅探工具、系统漏洞、程序漏洞等各种方式进行攻击。
⑶随着通信技术的进步,终端也越来越智能化,内存和芯片处理能力也逐渐增强,终端上也出现了操作系统并逐步开放。随着智能终端的出现,也给我们带来了潜在的威胁:非法篡改信息,非法访问,或者通过操作系统修改终端中存在的信息,产生病毒和恶意代码进行破坏。
综上所述,移动互联网面临来自三部分安全威胁:业务应用的安全威胁、网络的安全威胁和移动终端的安全威胁。
2 移动互联网安全应对策略
2010年1月工业和信息化部了《通信网络安全防护管理办法》第11号政府令,对网络安全管理工作的规范化和制度化提出了明确的要求。客户需求和政策导向成为了移动互联网安全问题的新挑战,运营商需要紧紧围绕“业务”中心,全方位多层次地部署安全策略,并有针对性地进行安全加固,才能打造出绿色、安全、和谐的移动互联网世界。
2.1 业务安全
移动互联网业务可以分为3类:第一类是传统互联网业务在移动互联网上的复制;第二类是移动通信业务在移动互联网上的移植,第三类是移动通信网与互联网相互结合,适配移动互联网终端的创新业务。主要采用如下措施保证业务应用安全:
⑴提升认证授权能力。业务系统应可实现对业务资源的统一管理和权限分配,能够实现用户账号的分级管理和分级授权。针对业务安全要求较高的应用,应提供业务层的安全认证方式,如双因素身份认证,通过动态口令和静态口令结合等方式提升网络资源的安全等级,防止机密数据、核心资源被非法访问。
⑵健全安全审计能力。业务系统应部署安全审计模块,对相关业务管理、网络传输、数据库操作等处理行为进行分析和记录,实施安全设计策略,并提供事后行为回放和多种审计统计报表。
⑶加强漏洞扫描能力。在业务系统中部署漏洞扫描和防病毒系统,定期对主机、服务器、操作系统、应用控件进行漏洞扫描和安全评估,确保拦截来自各方的攻击,保证业务系统可靠运行。
⑷增强对于新业务的检查和控制,尤其是针对于“移动商店”这种运营模式,应尽可能让新业务与安全规划同步,通过SDK和业务上线要求等将安全因素植入。
2.2 网络安全
移动互联网的网络架构包括两部分:接入网和互联网。前者即移动通信网,由终端设备、基站、移动通信网络和网关组成;后者主要涉及路由器、交换机和接入服务器等设备以及相关链路。网络安全也应从以上两方面考虑。
⑴接入网的网络安全。移动互联网的接入方式可分为移动通信网络接入和Wi-Fi接入两种。针对移动通信接入网安全,3G以及未来LTE技术的安全保护机制有比较全面的考虑,3G网络的无线空口接入采用双向认证鉴权,无线空口采用加强型加密机制,增加抵抗恶意攻击的安全特性等机制,大大增强了移动互联网的接入安全能力。针对Wi-Fi接入安全,Wi-Fi的标准化组织IEEE使用安全机制更完善的802.11i标准,用AES算法替专业提供论文写作和写作论文的服务,欢迎光临dylw.net代了原来的RC4,提高了加密鲁棒性,弥补了原有用户认证协议的安全缺陷。针对需重点防护的用户,可以采用VPDN、SSLVPN的方式构建安全网络,实现内网的安全接入。
⑵承载网网络及边界网络安全。1)实施分域安全管理,根据风险级别和业务差异划分安全域,在不同的安全边界,通过实施和部署不同的安全策略和安防系统来完成相应的安全加固。移动互联网的安全区域可分为Gi域、Gp域、Gn域、Om域等。2)在关键安全域内部署人侵检测和防御系统,监视和记录用户出入网络的相关操作,判别非法进入网络和破坏系统运行的恶意行为,提供主动化的信息安全保障。在发现违规模式和未授权访问等恶意操作时,系统会及时作出响应,包括断开网络连接、记录用户标识和报警等。3)通过协议识别,做好流量监测。依据控制策略控制流量,进行深度检测识别配合连接模式识别,把客户流量信息捆绑在安全防护系统上,进行数据筛选过滤之后把没有病毒的信息再传输给用户。拦截各种威胁流量,可以防止异常大流量冲击导致网络设备瘫痪。4)加强网络和设备管理,在各网络节点安装防火墙和杀毒系统实现更严格的访问控制,以防止非法侵人,针对关键设备和关键路由采用设置4A鉴权、ACL保护等加固措施。
2.3 终端安全
移动互联网的终端安全包括传统的终端防护手段、移动终端的保密管理、终端的准入控制等。
⑴加强移动智能终端进网管理。移动通信终端生产企业在申请入网许可时,要对预装应用软件及提供者 进行说明,而且生产企业不得在移动终端中预置含有恶意代码和未经用户同意擅自收集和修改用户个人信息的软件,也不得预置未经用户同意擅自调动终端通信功能、造成流量耗费、费用损失和信息泄露的软件。
⑵不断提高移动互联网恶意程序的样本捕获和监测处置能力,建设完善相关技术平台。移动通信运营企业应具备覆盖本企业网内的监测处置能力。
⑶安装安全客户端软件,屏蔽垃圾短信和骚扰电话,监控异常流量。根据软件提供的备份、删除功能,将重要数据备份到远程专用服务器,当用户的手机丢失时可通过发送短信或其他手段远程锁定手机或者远程删除通信录、手机内存卡文件等资料,从而最大限度避免手机用户的隐私泄露。
⑷借鉴目前定期PC操作系统漏洞的做法,由指定研究机构跟踪国内外的智能终端操作系统漏洞信息,定期官方的智能终端漏洞信息,建设官方智能终端漏洞库。向用户宣传智能终端安全相关知识,鼓励安装移动智能终端安全软件,在终端厂商的指导下及时升级操作系统、进行安全配置。
3 从产业链角度保障移动互联网安全
对于移动互联网的安全保障,需要从整体产业链的角度来看待,需要立法机关、政府相关监管部门、通信运营商、设备商、软件提供商、系统集成商等价值链各方共同努力来实现。
⑴立法机关要紧跟移动互联网的发展趋势,加快立法调研工作,在基于实践和借鉴他国优秀经验的基础上,尽快出台国家层面的移动互联网信息安全法律。在法律层面明确界定移动互联网使用者、接入服务商、业务提供者、监管者的权利和义务,明确规范信息数据的采集、保存和利用行为。同时,要加大执法力度,严专业提供论文写作和写作论文的服务,欢迎光临dylw.net厉打击移动互联网信息安全违法犯罪行为,保护这一新兴产业持续健康发展。
⑵进一步加大移动互联网信息安全监管力度和处置力度。在国家层面建立一个强有力的移动互联网监管专门机构,统筹规划,综合治理,形成“事前综合防范、事中有效监测、事后及时溯源”的综合监管和应急处置工作体系;要在国家层面建立移动互联网安全认证和准入制度,形成常态化的信息安全评估机制,进行统一规范的信息安全评估、审核和认证;要建立网络运营商、终端生产商、应用服务商的信息安全保证金制度,以经济手段促进其改善和弥补网络运营模式、终端安全模式、业务应用模式等存在的安全性漏洞。
⑶运营商、网络安全供应商、手机制造商等厂商,要从移动互联网整体建设的各个层面出发,分析存在的各种安全风险,联合建立一个科学的、全局的、可扩展的网络安全体系和框架。综合利用各种安全防护措施,保护各类软硬件系统安全、数据安全和内容安全,并对安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。建立安全应急系统,做到防患于未然。移动互联网的相关设备厂商要加强设备安全性能研究,利用集成防火墙或其他技术保障设备安全。
⑷内容提供商要与运营商合作,为用户提供加密级业务,并把好内容安全之源,采用多种技术对不合法内容和垃圾信息进行过滤。软件提供商要根据用户的需求变化,提供整合的安全技术产品,要提高软件技术研发水平,由单一功能的产品防护向集中统一管理的产品类型过渡,不断提高安全防御技术。
⑸普通用户要提高安全防范意识和技能,加装手机防护软件并定期更新,对敏感数据采取防护隔离措施和相关备份策略,不访问问题站点、不下载不健康内容。
4 结束语
解决移动互联网安全问题是一个复杂的系统工程,在不断提高软、硬件技术水平的同时,应当加快互联网相关标准、法规建设步伐,加大对互联网运营监管力度,全社会共同参与进行综合防范,移动互联网的安全才会有所保障。
又是一年毕业季,毕业论文也是学生要完成的一项必须的毕业任务。从国内高校引进的“学术不端检测系统”,另外一种名为
“毕业论文”的一种软件工具曝然走红。但是这些软件好像都是被捆绑了病毒,导致的结果就是篡改浏览器的主页面。
并且频繁的弹出广告,建议广大的毕业生开启一些安全软件譬如木马防火墙等以免中招。
目前搜索“毕业论文软件”可以找到约百万条结果,其中有些网站宣称可以免费下载,有些网站则是明码标价售卖,五花
八门的下载地址让人难以甄别。然而木马往往就暗藏在一些下载链接中,用户在下载运行后,木马就会自动释放并潜伏在电脑
里,通过刷广告流量非法获利。
360互联网安全中心检测发现,网上流传的“软件”多数都不具备相应功能,而是伪装热门资源诱骗下载。此外,由于论
文比对技术比较复杂,评判标准不统一,论文数据库庞大,此类软件实际效果也很难保障。不法分子就抓住部分毕业生投机取
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2 “互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1 内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2 主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3 基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3 “互联网+”时代网络安全分析
3.1 特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2 现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3 威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4 “互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1 基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2 基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3 基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5 结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).
[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
互联网远比我们想象得更“健壮”
很多人担心如果有一天互联网瘫痪了,该怎么办?其实想把整个互联网弄瘫痪了,并没那么简单。互联网的“结实”程度远比我们想象得要高,这和它本身的结构有关。我们经常使用的网络,并不存在一个“总开关”,它的核心设施其实分布在全球各个国家的重要节点。这些节点包括解析域名的根域名服务器,连接各大洲的海底电缆,还有储存、管理和分发海量信息的超级数据中心。我们日常使用的网络服务,大部分都是通过这些重要节点来运行的。重要节点之间也不是由一台计算机来指挥运行的。比方说全球共有13组504台根域名服务器,遍布世界各国。这些服务器又互相支持,并行运转,即便其中一台损坏,互联网也能在其他服务器的支持下继续运转下去。
实际上,互联网这种通过重要节点运转的网络被称作“无尺度网络”,它的结构其实和人类大脑或人际关系非常相似。美国印第安纳州圣母大学的一项研究表明:在“无尺度网络”中,除非将重要节点全部删除,否则即便大量地删除节点,网络的性能也不会受到影响。
用物理方法能彻底摧毁互联网吗?
答案是肯定的。攻击计划的第一步是切断互联网通信的基础海底电缆。这些电缆承担了95%以上的网络传输,没有它们,各大洲会变成单个的“信息孤岛”。不过,想要阻断全球信息传输,你必须把目前正在使用的285条电缆都砍断才行。
下一步,摧毁根域名服务器,如果你能跨越重重安保措施,将这些服务器摧毁的话,就等于给了互联网“致命一击”。
最后,你要做的是攻击全球数据中心。首选的打击对象是那些具有一定规模的超级数据中心,它们出故障会导致所属区域大片网络瘫痪。
如果你完成了以上步骤,你已经让全球99%的互联网瘫痪了。不过,鉴于互联网的超强修复能力,上述步骤最好同步完成。也就是说,不消耗规模惊人的人力物力来发动一场全球规模的“战争”,是不可能完成这个计划的。
即便如此,我们还有各种各样应对互联网瘫痪的备用方案,毕竟在面临突发事件和自然灾害时,网络中断的情况还是有可能发生的。
互联网消失会引起什么后果?
根据2010年美国信息技术与创新基金会的数据,假如没有互联网,美国仅在电子商务领域遭受的损失,就高达每天80亿美元。损失不止于此。在云计算已经普及的今天,传统商业活动中的供应、采购、物流、销售等环节已经和互联网绑定到了一起。作为整个经济活动的“血液循环系统”的金融业,对互联网的依赖更是达到了前所未有的程度。仅在中国,每月的股票成交量就已经达到了数千亿元,而这其中的大部分交易,都是通过互联网来完成的。
正因如此,美国得克萨斯大学奥斯汀分校的电子商务研究中心主任安德鲁·温斯顿认为,“互联网消失几天之后,就足以引发严重的经济危机”,因为众多上市公司再也无法通过股市吸引投资了。
链接1:
电子邮件量到底有多大?
在几乎人手不只一个电子邮箱的今天,全世界的电子邮件量到底有多大?电子邮件量是个天文数字。2013年,平均每天约有1500亿封电子邮件被发送出去,这么大的数字也许只在天文学中才比较常见。如果把世界上一天的电子邮件打印出来,能堆起约1.6万千米高的大纸堆,打印出一个月的,就能堆到月球了。
链接2:
英国互联网保存计划
如今,我们将越来越多的东西搬到互联网上:图片、新闻、书籍、社交……但你认为互联网上的内容会一直存在吗?现有的机制,就是用新消息冲刷旧消息,将“新”的价值放大,“老”的价值弱化。互联网还没有建立“保存有价值的历史资料”的系统。
英国的学者悲观地认为,互联网上的“历史资料”会随着网站的关闭和内容的删除而消失,他们称之为“21世纪的数字黑洞”。很多现在看来平常但却具有历史价值的片段,将会随着互联网的变迁而消失得无影无踪。
为此,英国数个图书馆联手开展一项历史资料保存计划,将互联网上的内容保存下来——涵盖杂志、图书、学术论文、文学、新闻、评论等,包括在Twitter 和 Facebook上公开的内容,都会收集存底,以便做历史研究使用。初始项目将会从500万个英国的网站中保存超过 10 亿个网页内容,智能手机和平板设备的新闻内容和电子书也会被存底。
[中图分类号]G641 [文献标识码]A [文章编号]1009-5349(2012)07-0251-02
信息道德是指在整个信息活动中调节信息加工者、传递者、使用者之间相互关系的行为规范的总和。在这个信息爆炸的时代,信息传播变得难以控制,伪劣信息、无用信息比重加大,全社会对信息道德问题日益重视,大学生是使用网络的主力军,因此,信息道德教育已经成为高校信息素质教育的重要内容之一。目前很多高校都在通过各种不同途径实施信息道德教育,但总的来说没有取得明显效果,教育内容、教育方式方法等方面存在着严重的不足。
一、大学生信息道德教育存在的问题
(一)现有信息法律法规不完善
自1986年4月开始,我国先后制定并颁布了《中华人民共和国计算机信息系统安全保护条例》《计算机系统安全规范》《计算机病毒控制规定》《中华人民共和国知识产权法》《互联网安全条例》《计算机信息网络国际互联网安全保护管理办法》《中华人民共和国电信条例》《互联网信息服务管理办法》等一系列规定和法规,并在刑法、刑事诉讼法、民法、民事诉讼法等法律中加入了计算机信息安全方面的条文。随着这些信息法律的颁布实施,我国信息活动领域无法可依的局面已经有所改变。但与发达国家相比,我国信息立法还属于起步阶段,现行信息法律法规主要分布在信息市场、信息产权及信息安全保护等方面,缺乏对信息资源管理、信息基础设施建设、信息产业等方面的法律规范。
(二)缺乏具体信息道德评判标准
信息道德主要包括网络道德和学术道德。我国早在2001年11月就颁布了《全国青少年网络文明公约》,在一定程度上规范了人们的网络行为。但它只是对网络行为做了一些大致的规定,明确了哪几种典型行为是恰当的,哪些是不恰当的,但没有健全如何判断是否属于这种行为的具体标准。在现实生活中,不良信息是指哪些信息,哪种信息行为属于破坏网络秩序、危害网络安全的行为,哪种情况属于侮辱欺诈他人的行为,哪种学术行为属于合理引用范围,哪些学术行为属于抄袭等学术不端行为,这些都没有具体明确的道德评判标准,因此导致大学生对自身信息行为的善恶无法有效区分,道德评判显得非常困难。
(三)实施信息道德教育的主体不明确
传统观点认为信息道德教育工作属于思想政治工作范畴,所以高校思想政治工作者和少数德育课教师是大学生信息道德教育的实施主体。但也有不少人提出学工处、团委、教务处、网络中心、图书馆、各教学单位等部门都应积极参与,各司其职,共同做好大学生的工作信息道德教育工作。在各高校的实践过程中,由于实施信息道德教育的主体不明确,“共管”往往变成了“不管”,大学生信息道德教育变成“盲区”。
(四)部分教育者的自身信息道德素质不高
现代社会浮躁之风同样吹进了高校,部分高校老师、科研工作者在科研过程中不能潜下心来搞研究,急于求成,不遵守信息道德规范,出现了论文抄袭、成果剽窃等学术不端行为。学术气氛浓厚的大学校园中的教育者存在着信息道德的缺失,这不免愈发引发对大学生信息道德教育的担忧。
(五)信息道德教育教学设施较落后
随着高校的不断扩招,各高校采取各种途径投入大量资金进行校园信息化建设,但总的来说,多媒体教室比例不高,有的承担信息道德教育的信息检索课还在一般教室上课,有的教学实践基地的电脑还比较陈旧,无法做到端对端的指导和监控,使学生们始终缺少信息的切入点和锻炼机会,教学效果不佳。因此,很多大学生选择了在条件更为“优越”、气氛更为“宽松”的宿舍或网吧进行上网,由于缺乏有效的监督管理,各种不良的网络信息行为也随之在这种放任状态下泛滥起来。
(六)信息道德教育的教材明显缺乏、内容不明确
目前大部分信息检索课教材中没有信息道德教育的专门篇章,只有极少数的新近出版的教材提到了信息道德教育的重要性,但都是从理论层面上阐述对大学生进行信息道德教育的必要性和紧迫性,缺乏现实生活中的案例分析。有的学者提出信息道德教育应包括信息道德观念、信息道德意识、信息法律法规、信息犯罪、信息垃圾等内容,但目前高校尚无统一的信息道德教育内容及教材。
(七)信息道德教育方式单一
涉及信息道德教育的老师大多是以命令、说教的语气要求学生不接触有害的信息、不发生破坏网络秩序的行为,缺乏“晓之以情、动之以理”的教学方法,没有系统的教学内容和统一安排,也没有提供与大学生信息道德教育相配的学习辅导资料。所以在信息道德教育的课堂上就出现了教师授课随意性非常大。
(八)缺乏信息道德教育评价机制
高校实施信息道德教育的根本目的是使大学生形成良好的信息道德习惯,信息行为始终在法律允许范围内。在实现这个目标的过程中,如何针对大学生建立一套科学合理的信息道德评价机制显得尤为重要。但我国大学生信息道德教育工作尚处于起步阶段,对信息道德的内涵研究还不够深入,缺乏相应的信息道德教育评价机制。
二、大学生信息道德教育的对策
(一)广泛开展相关法律制度的宣传和教育
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-02
Botnet Discovery and Tracking
Jia Fei
(Taiyuan University of Technology,Taiyuan030024,China)
Abstract:Botnets using a variety of means of communication,a large number of hosts infected with bot program virus,resulting in infection control and many formed between the host control.Botnets serious harm on the Internet.This paper analyzes the characteristics of botnets,summed up the botnet monitoring and tracking technology,has initially solved the zombie network to the Internet pose a serious problem.
Keywords:Botnet;Honey pot;Network IDS;Network Security
一、前言
近年来,僵尸网络的兴起对互联网网络安全构成了极大的威胁。据统计,2005年发现的大规模僵尸网络多达100多个,到2006年上半年,发现的大规模僵尸网络数量即达近200个,中国内地被控僵尸网络数量全球排名第一。很多僵尸网络的控制服务器位于国外,严重威胁我国公共互联网的安全[1]。
僵尸网络(恶意的Botnet)是攻击者手中的一个攻击平台,它不同于特定的安全事件。通过这样的攻击平台,攻击者可以实施各种各样的破坏行为,但是在静态的情况下具体的危害具有未知性和灵活性。
通过僵尸网络展开不同的攻击可以导致重要应用系统或者整个基础信息网络瘫痪,也可以导致大量个人隐私或机密泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。与传统的实施方式相比这些破坏行为往往危害更大、防范更难。利用僵尸网络发动的攻击行为包括:分布式拒绝服务攻击(DDoS)、蠕虫释放、滥用资源、发送垃圾邮件、窃取秘密等。
由于僵尸网络对因特网构成了日趋严重的安全威胁,僵尸网络已成为安全领域学者们所共同关注的热点。鉴于僵尸网络已经对国内因特网造成严重危害,为深入理解僵尸网络工作机理和发展趋势,同时对僵尸网络的研究进展有总体的把握,并促进国内在该方向上的研究,僵尸网络研究进行分析十分有意义.本文旨在通过讨论僵尸网络的定义、基本构成和危害,探寻如何发现及跟踪僵尸网络,
二、僵尸网络
网络攻击者秘密地建立计算机群,该计算机群可以集中控制,这样的网络被称为僵尸网络。僵尸网络的组成通常包括被植人“僵尸”程序(bot)、计算机群(zombie servers.僵尸计算机)、控制服务器(通常利用互联网中的公共服务器)和控制者的控制终端(攻击者通过它对整个僵尸网络发出指令。
僵尸网络是在特洛伊木马、网络蠕虫、后门工具等传统病毒代码的基础上发展融合而产生的一种新型攻击方式.从1999年出现Pretty Park(第一个具有僵尸网络特性的恶意代码),到2002年SDbot和Agobot源码的和广泛流传。研发杀毒软件的厂商们一直没有统一给出僵尸程序(bot)和僵尸网络的确切定义,而仍将其归入后门工具或网络蠕虫的范畴.
因为目前绝大多数僵尸网络是基于IRC协议的,以IRC Bot为例介绍僵尸网络的工作原理。攻击者先制作了僵尸程序(Bot)、建立好IRC服务器中的环境之后,需要将僵尸程序植入到尽量多的互联网主机上,构成一个僵尸网络。僵尸程序是通过其他手动或自动潜入计算机用户的方式进行传播,它本身并没有自我传播能力。蠕虫是能够自主传播入侵用户计算机的最普遍的手段,因此僵尸程序蔓延方式主要是利用蠕虫。当然,蠕虫的传播方式是多种多样的,例如利用P2P软件、即时通讯等平台的漏洞,然后进行执行,方式类似于电子邮件,利用各种技术漏洞自行进入用户计算机等等。僵尸程序可以通过跟随蠕虫进入用户计算机后从指定地址下载完整的僵尸程序,也可以通过跟随蠕虫程序一并进入用户的计算机。
三、僵尸网络的发现
现有的发现僵尸网络的方法主要有三种:(1)利用蜜罐(honeypot)捕获Bot样本;(2)利用IDS监测;(3)在IRC服务器上利用僵尸网络的行为特征。
(一)利用蜜罐(Honeypot)[5]
部署多个蜜罐捕获传播中的Bot,记录该Bot的网络行为(通过Honeywall)。通过人工分析网络日志并结合样本分析结果,可以掌握该Bot的属性,包括它连接的服务器(dns/ip)、端口、频道、连接/频道/控制密码等信息,获得该僵尸网络的基本信息甚至控制权[2]。
实验表明,一台未打补丁的Windows主机,接入互联网后平均25分钟即可感染恶意程序。所以,利用蜜罐可以捕获Bot,从而根据Bot运行时连接的服务器发现僵尸网络。
这种方式被证明是一种有效的手段,国际项目“honeynet project”在2004年11月到2005年3月期间,只使用两台蜜罐(1台通过HoneyWall记录日志、1台使用mwcollect捕获新的样本),就发现了180个僵尸网络,每个僵尸网络的规模从几百个到几万个不等,共涉及到30万个被控主机。同时还收集到5500个样本,共800种(有些样本是相同的)。在2004年11月到2005年1月,共观察到406次DDoS攻击,攻击目标共179个[3]。
(二)利用网络IDS
对于具有IRC协议解析能力的IDS,可以根据IRC Bot常用命令,如JOIN、PASS、PRIVMSG、NICK、TOPIC、NOTICE等及其命令参数来发现未知僵尸网络。
如果不具有IRC协议解析功能,也可以根据TCP数据报文的内容发现可疑僵尸网络,可疑的数据报文包含udp、syn、ddos、http://、scan、exploit、login、logon、advscan、lsass、dcom、beagle、dameware等。
利用僵尸网络的行为特征:(1)迅速加入的Bot。这一类型的一般利用蠕虫进行传播,通常在受害的主机上执行,然后按照预定设好的参数连接IRC服务器、放入设定的频道接收指令。短期内大量IRC客户端加入同一服务器的同一频道是可疑的。(2)保持连接的Bot。正常行为的用户一般很少长时间停留在同个频道中,而Bot的行为是在接受到“退出”、“休眠”、“自杀”等命令后才选择退出。(3)不作为的Bot。Bot与正常行为的用户另一个显著的不同是Bot很少行动,经常不作为,连接的维持通过ping/pong命令。DdoSVax项目可以进行行为监测,该项目可以针对发呆型的Bot预警。
四、僵尸网络的追踪
防御者应对僵尸网络安全威胁的前提条件是充分了解僵尸网络的内部工作机理。僵尸网络跟踪(botnettracking)为防御者提供了一套可行的方法,它的基本思想是成为僵尸网络中的间谍。首先获取因特网上实际存在的控制信道和僵尸网络命令的相关信息,然后模拟成受控的僵尸程序加入僵尸网络中,对僵尸网络的内部活动进行观察和跟踪。
Honeyclient一客户端蜜罐技术[6]是另一种有效的追踪僵尸网络方法。Honeyclient是一种数据捕捉工具,主要用来捕捉发生在honeypot中所有有关入侵的数据,帮助准确重建攻击者侵入系统后的行为。Honeyclient记录用户系统调用访问的所有数据,然后以标准格式表示,并采用UDP方式隐蔽发送给取证服务器。由于捕捉的数据以自定义标准格式的表示,因此服务器可以收集运行在不同操作系统上的honeypot发送的数据,能够根据给定的控制信道信息连入僵尸网络,并隐蔽地对僵尸网络话动进行跟踪Honeyclient可以同时跟踪多个僵尸网络,并监测BOT的存活情况、规模、控制指令[9]。
五、结论和进一步工作
僵尸网络正逐渐成为互联网安全运行的重大课题,本文总结分析出这些僵尸网络控制器的各种特征,为近一步的僵尸网络监控提供研究依据。目前,还不存在一个统一有效的方法对僵尸网络进行识别和检测。下一步,要不断的加大僵尸网络样本集的收集工作力度,尽可能多的为模式识别算法提供训练样本,提高检测准确度。最后对程序已经识别出来的僵尸网络,研究僵尸网络对僵尸主机的控制方法,通知客户清除好病毒代码,争取控制僵尸网络的权利,可以进一步减少由于僵尸网络所造成的损失,控制住僵尸网络。
参考文献:
[1]国家计算机网络应急技术处理协调中心.CNCERT/CC网络安全工作报告,.cn
[2]The Honeynet Project&Research Alliance,"Know your Enemy:Tracking Botnets--Using honeynets to learn more about Bots",/,Mar.2005.
[3]杜跃进,崔翔.僵尸网络及其启发[J].中国数据通信,2005,7
[4]诸葛建伟,韩心慧,叶志远,邹维.僵尸网络的发现与跟踪[C].见:中国网络与信息安全技术研讨会论文集.2005,183−189
[5]张绍杰.基于蜜网技术的DDoS防御方法研究[D].上海交通大学学位论文,2007
[6]韩心慧,郭晋鹏,周勇林,诸葛建伟,曹东志,邹维.僵尸网络活动调查分析[J].通信学报,2007,28(12):167−172
当前,为适应数字化、网络化信息时代的发展需求,实现以教育信息化带动教育现代化的跨越式发展,各高校都在大力进行教育信息化建设,高校计算机“五进”—即进教室、宿舍、家庭、实验室、办公室,极大地推动了师生计算机应用水平的提高和计算机教学的开展。因特网作为世界上最大的信息载体,以其丰富的信息资源、便捷的交流通道、以及内容的广泛性、访问的快捷性等使之成为高校大学生获取信息的有利工具。
互联网提供了广阔丰富的信息搜索,网络信息的极端丰富和信息流动的极端自由,一方面改变了人们获取信息的途径和方式,提供了信息共享的广阔空间,促进了信息的交流与传播;另一方面也导致了信息的过度膨胀和泛滥,成了信息污垢滋生繁衍和传播的“场所”。各种合法信息与非法信息、有益信息与有害信息、有用信息与垃圾信息、真实信息与虚假信息混杂在一起,严重防碍了人们对有用信息的吸收利用,导致一些辨别能力差的上网者在价值判断、价值选择上出现了迷惘,而利用高科技手段进行犯罪活动者,更是屡见不鲜。这些给社会带来了许多消极负面的影响,导致了各种决策失误和经济损失,严重危害人类的生产、生活和健康,甚至危害社会的稳定和发展。
据美国匹兹堡大学的一份研究报告表明,全球每1亿网民中就有至少570万人患有不同程度的“网络综合症”。网络文化对高校大学生的思想品德的形成、心理和人格的健康发展,以及社会道德规范的冲击等诸多方面带来了极大的困扰。目前,许多大学生上网是为了聊天、玩游戏,真正上网查找资料用于专业学习的很少;对网络最普遍的应用就是发邮件,看时事新闻;有些大学生因“网络成隐症”而逃课,无节制地花费大量时间和精力在互联网上持续聊天、阅读不文明、不健康的网上信息,以至损害生理和心理的身体健康;还有一些缺乏自律的大学生在作毕业论文时,不作自己的研究思考,不尊重别人的知识产权,直接从中国期刊镜像网站下载文章,经剪贴和技术处理而成来应付老师;更有一些法制观念淡薄的大学生在BBS上发表一些不负责任的言论、冒用别人的IP地址、盗用别人的帐号、甚至因好奇而充当了黑客……
高校大学生正处在人生观、世界观和价值观形成和确立的关键时期,因此,大学生要跟上教育信息化的步伐,在网络信息的海洋中自由地航行,就必须具备抵御风浪的能力—即良好的信息道德素质。培养大学生的信息道德素质,高校负有不可推卸的责任,同时也是一个重要的研究课题。信息道德是人们依据信息行为规范从事信息活动的品德,是指人们在应用信息技术时,能施行与信息和信息技术相关的符合伦理道德的行为。它是调节信息生产者、信息加工者、信息传递者和信息使用者之间相互关系的行为规范的总和。其内容包括:信息交流与传递目标应与社会整体目标协调一致;应承担相应的社会责任和义务;遵循法律规范,抵制各种各样的违法、、迷信信息和虚假信息;尊重个人隐私等。
当前,随着全社会对信息道德问题的日益重视,高校信息道德素质教育已经成为高校素质教育的重要内容之一。高校信息道德素质教育的基本目标是使大学生熟悉信息道德法律和规范,引导大学生在学习和工作中成为具有较高信息道德素养的人。通过教育培养,使大学生充分认识网络的各种功能,引导大学生上网的积极性,发挥大学生利用网络信息资源的主观能动性,培养和训练大学生的创新思维和个性品质;同时,明确网络的负面影响,规范大学生的上网行为,提高大学生的信息鉴别能力和自我约束能力,增强对信息污染的免疫力。
高校信息道德素质教育的主要途径为:
1坚持正面灌翰、正确引导的原则,帮助大学生明辨是非、健康发展
在现实生活中,人的行为是否合法、是否犯罪容易判断,而在网络社会里,人们的身份、行为方式等都被隐匿,人们的交往具有虚拟化、超时空和数字化的特征。这使得人们摆脱了现实社会的道德伦理的束缚,有了自我表达意见的机会,从而使现实的道德伦理和行为规范失去了原有的约束力。这容易使人们忘记了社会角色,淡化了社会责任。为此,各高校应建立一种信息道德教育机制,组建一种可操作性的教育力量或整合原有的教育力量,实现统一协调的、有目的、有层次的高校信息道德教育服务。可以积极利用网络快捷、生动、便利、开放等优势条件进行正面灌输,通过构建学生理论学习网站、网上书记校长接待室、网上党校,或在主页中开设相应栏目等形式,开展网络文明、网络道德的宣传教育。针对重大热点、难点问题,进行有计划、有目的的网上网下引导。做好《公民道德建设实施纲要》的认真贯彻实施,对大学生的信息行为进行规范引导。还可以通过积极健康的校园科技文化活动,引导学生戒除对不良网络生存方式的沉迷,建立积极有益的正常学习生活交流方式,展示和发展健康的个性。
2大力推广和普及有关网络方面的法律法规,规范大学生的网上行为