相關(guān)期刊
時(shí)間:2022-11-01 02:46:55
序論:好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程,我們?yōu)槟扑]十篇網(wǎng)絡(luò)安全工作報(bào)告范例,希望它們能助您一臂之力,提升您的閱讀品質(zhì),帶來更深刻的閱讀感受。
一、領(lǐng)導(dǎo)重視 機(jī)構(gòu)健全
年初,召開了網(wǎng)絡(luò)安全專題會議,會上對網(wǎng)絡(luò)安全工作進(jìn)行了專門安排和部署,明確了網(wǎng)絡(luò)安全工作任務(wù)分解。市場辦成立以副縣級任為組長、綜合處長任副組長、各處室微機(jī)員為成員的網(wǎng)絡(luò)工作小組,下設(shè)網(wǎng)絡(luò)安全工作辦公室,辦公室設(shè)在綜合處,日常工作由綜合處負(fù)責(zé)。
二、建章立制 科學(xué)管理
首先,根據(jù)上級文件求,網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組成員針對單位實(shí)際情況進(jìn)行了綜合分析。并確定了在網(wǎng)絡(luò)安全方面應(yīng)重點(diǎn)加強(qiáng)三個(gè)方面的管理和規(guī)范:一是利用郵箱、微信、QQ、固定電話等通訊方式傳達(dá)上級文件和會議精神存在不安全因素問題;二是日常文檔存儲工具優(yōu)盤、可移動硬盤在交叉使用中易感染病毒的問題。三是微機(jī)房的管理問題。為解決這一問題,市場辦立足于建章立制,先后制訂了《網(wǎng)絡(luò)機(jī)房管理制度》、《文件傳輸管理制度》、《保密制度》,并倡導(dǎo)各單位要使用正版軟件,防止網(wǎng)絡(luò)病毒侵害計(jì)算機(jī)數(shù)據(jù),造成系統(tǒng)癱瘓、數(shù)據(jù)丟失或泄秘事件的發(fā)生。
三、加強(qiáng)培訓(xùn) 確保安全
進(jìn)一步規(guī)范市場辦網(wǎng)絡(luò)安全管理工作,明確網(wǎng)絡(luò)安全責(zé)任,強(qiáng)化網(wǎng)絡(luò)安全工作,今年上半年,我單位對機(jī)關(guān)處室、基層各單位辦公室工作人員進(jìn)行了有關(guān)網(wǎng)絡(luò)知識的專業(yè)培訓(xùn),提高了工作人員的網(wǎng)絡(luò)安全意識,確保了辦公網(wǎng)絡(luò)安全。除此之外,還對加強(qiáng)網(wǎng)絡(luò)邊界管理、細(xì)化防火墻安全策略、關(guān)閉不必要的應(yīng)用、服務(wù)和端口,對需要開放的遠(yuǎn)程服務(wù)采用白名單方式進(jìn)行訪問控制。利用殺毒軟件和安全客戶端進(jìn)行極端及病毒查殺,強(qiáng)化Ip地址與U盤使用管理,開展計(jì)算機(jī)弱口令自查工作,繼續(xù)完善網(wǎng)絡(luò)信息安全技術(shù)防護(hù)設(shè)施,配備必要的安全防御和監(jiān)測準(zhǔn)入制度,從根本上降低安全風(fēng)險(xiǎn)。定期對操作系統(tǒng)進(jìn)行漏洞掃描和隱患排查,計(jì)算機(jī)辦公主動防護(hù)體系得到了完善和加強(qiáng)。
四、加強(qiáng)硬件建設(shè),防患于未然
為進(jìn)一步加強(qiáng)全局信息網(wǎng)絡(luò)系統(tǒng)安全管理工作,我局成立了以局長為組長、分管領(lǐng)導(dǎo)為副組長、辦公室人員為成員網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組,做到分工明確,責(zé)任具體到人。分工與各自的職責(zé)如下:局長為計(jì)算機(jī)網(wǎng)絡(luò)安全工作第一責(zé)任人,全面負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理工作。副組長分管計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理工作。負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的日常協(xié)調(diào)、督促工作。辦公室人員負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作的日常事務(wù)。
二、計(jì)算機(jī)和網(wǎng)絡(luò)安全情況
(一)網(wǎng)絡(luò)安全。我局所有計(jì)算機(jī)均配備了防病毒軟件,采用了強(qiáng)口令密碼、數(shù)據(jù)庫存儲備份、移動存儲設(shè)備管理、數(shù)據(jù)加密等安全防護(hù)措施,明確了網(wǎng)絡(luò)安全責(zé)任,強(qiáng)化了網(wǎng)絡(luò)安全工作。
(二)日常管理。切實(shí)抓好內(nèi)網(wǎng)、外網(wǎng)和應(yīng)用軟件管理,確保“計(jì)算機(jī)不上網(wǎng),上網(wǎng)計(jì)算機(jī)不”,嚴(yán)格按照保密要求處理光盤、硬盤、移動硬盤等管理、維修和銷毀工作。重點(diǎn)抓好“三大安全”排查:一是加強(qiáng)對硬件安全的管理,包括防塵、防潮、防雷、防火、防盜、和電源連接等;二是加強(qiáng)網(wǎng)絡(luò)安全管理,對我局計(jì)算機(jī)實(shí)行分網(wǎng)管理,嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng),合理布線,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),加強(qiáng)密碼管理、IP管理、互聯(lián)網(wǎng)行為管理等;三是加強(qiáng)計(jì)算機(jī)應(yīng)用安全管理,包括郵件系統(tǒng)、資源庫管理、軟件管理等。定期組織全局工作人員學(xué)習(xí)有關(guān)網(wǎng)絡(luò)知識,提高計(jì)算機(jī)使用水平,確保網(wǎng)絡(luò)安全。
三、計(jì)算機(jī)信息管理情況
近年來,我局加強(qiáng)了組織領(lǐng)導(dǎo),強(qiáng)化宣傳教育,加強(qiáng)日常監(jiān)督檢查,重點(diǎn)加大對計(jì)算機(jī)的管理。對計(jì)算機(jī)外接設(shè)備、移動設(shè)備的管理,采取專人保管、文件單獨(dú)存放,嚴(yán)禁攜帶存在內(nèi)容的移動介質(zhì)到上網(wǎng)的計(jì)算機(jī)上加工、貯存、傳遞處理文件,形成了良好的安全保密環(huán)境。嚴(yán)格區(qū)分內(nèi)網(wǎng)和外網(wǎng),對計(jì)算機(jī)實(shí)行了與國際互聯(lián)網(wǎng)及其他公共信息網(wǎng)物理隔離,落實(shí)保密措施,到目前為止,未發(fā)生一起計(jì)算機(jī)失密、泄密事故;其他非計(jì)算機(jī)及網(wǎng)絡(luò)使用,也嚴(yán)格按照有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理規(guī)定,加強(qiáng)管理,確保了我局網(wǎng)絡(luò)信息安全。
四、硬件、軟件使用置規(guī)范,設(shè)備運(yùn)行狀況良好
為進(jìn)一步加強(qiáng)我局網(wǎng)絡(luò)安全,我局對部分需要計(jì)算機(jī)設(shè)備進(jìn)行了升級,為主要計(jì)算機(jī)配備了UPS,每臺終端機(jī)都安裝了防病毒軟件,硬件的運(yùn)行環(huán)境符合要求;防雷地線正常,防雷設(shè)備運(yùn)行基本穩(wěn)定,沒有出現(xiàn)雷擊事故;今年已更換了已經(jīng)老化的一對光纖收發(fā)器,目前光纖收發(fā)器、交換機(jī)、等網(wǎng)絡(luò)硬件設(shè)備運(yùn)轉(zhuǎn)正常,各種計(jì)算機(jī)及輔助設(shè)備、軟件運(yùn)轉(zhuǎn)正常。
五、嚴(yán)格管理、規(guī)范設(shè)備維護(hù)
為深入開展網(wǎng)絡(luò)安全執(zhí)法檢查工作,確保工作得到有效落實(shí),2020年5月18日,交通運(yùn)輸局組織全局黨員、干部職工召開“縣交通運(yùn)輸局網(wǎng)絡(luò)安全執(zhí)法檢查工作專題部署會議”,要求全局上下充分認(rèn)識開展網(wǎng)絡(luò)安全執(zhí)法檢查工作的必要性和急迫性,成立由主要負(fù)責(zé)人任組長,班子成員為副組長,各科(股)室及全局黨員、干部職工為成員的網(wǎng)絡(luò)安全整治專項(xiàng)行動領(lǐng)導(dǎo)小組,同時(shí)強(qiáng)化交通運(yùn)輸行業(yè)領(lǐng)域各涉網(wǎng)運(yùn)輸企業(yè)的監(jiān)督監(jiān)管,暢通舉報(bào)發(fā)現(xiàn),進(jìn)一步細(xì)化各部門工作措施,突出重點(diǎn)任務(wù),確保工作實(shí)效。
二、成立機(jī)關(guān)網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組
縣交通運(yùn)輸局網(wǎng)絡(luò)安全檢查工作領(lǐng)導(dǎo)小組,負(fù)責(zé)推進(jìn)日常工作事務(wù)。
三、高度重視防范
隨著企業(yè)信息化建設(shè)的不斷推進(jìn),信息在整個(gè)企業(yè)經(jīng)營過程中起著至關(guān)重要的作用,信息安全是信息化可持續(xù)發(fā)展的保障,信息是社會發(fā)展的重要戰(zhàn)略資源。網(wǎng)絡(luò)信息安全已成為急待解決,影響企業(yè)發(fā)展極為關(guān)鍵的問題。
一、信息安全至關(guān)重要
信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。
國際信息系統(tǒng)安全核準(zhǔn)聯(lián)盟(ISC2)公布其全球信息安全專業(yè)人員調(diào)查,并指出近四分之三的信息安全從業(yè)人士認(rèn)為,避免企業(yè)信譽(yù)受損是安全項(xiàng)目的首要任務(wù)。《2008 全球信息安全從業(yè)員研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2進(jìn)行。共有來自100多個(gè)國家的企業(yè)和公共部門機(jī)構(gòu)的7,548名信息安全從業(yè)人員接受了調(diào)查。數(shù)據(jù)丟失和審核所帶來的壓力已經(jīng)使信息安全的可靠性受到企業(yè)管理層的關(guān)注。
由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的《2007年網(wǎng)絡(luò)安全工作報(bào)告》稱,網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮,利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展,網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長,終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者,基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴(yán)峻的安全威脅。2007年各種網(wǎng)絡(luò)安全事件與2006年相比都有顯著增加。企業(yè)在面對外憂的同時(shí),還要承受內(nèi)患的威脅。企業(yè)或許通過構(gòu)建數(shù)據(jù)隔離系統(tǒng)能有效防御外部攻擊,但對內(nèi)部的主動泄密卻毫無招架之力,有數(shù)據(jù)顯示,目前,泄密事件78.9%的損失都是由內(nèi)部主動泄密導(dǎo)致。除了防御外部攻擊外,內(nèi)網(wǎng)的管理也至關(guān)重要。
二、信息安全的基本目標(biāo)
信息安全通常強(qiáng)調(diào)所謂CIA三元組的目標(biāo),即:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。CIA 概念的闡述源自信息技術(shù)安全評估標(biāo)準(zhǔn)(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建設(shè)所應(yīng)遵循的基本原則。1.保密性:確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。2.完整性:確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改,同時(shí)還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹模3中畔?nèi)、外部表示的一致性。3.可用性:確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時(shí)地訪問信息及資源。
除了CIA,信息安全還有一些其他原則,包括可追溯性(Accountability)、抗抵賴性(Non-repudiation)、真實(shí)性(Authenticity)、可控性(Controllable)等,這些都是對CIA 原則的細(xì)化、補(bǔ)充或加強(qiáng)。
三、信息安全漏洞
企業(yè)信息化建設(shè),既能使企業(yè)獲得發(fā)展的先機(jī),提高和鞏固企業(yè)競爭優(yōu)勢,也能給企業(yè)帶來新的風(fēng)險(xiǎn)。信息安全就是其中的核心問題。信息安全問題控制不當(dāng),企業(yè)信息化不但無法提高企業(yè)活力,還可能給企業(yè)帶來災(zāi)難性的后果,威脅企業(yè)的生存。企業(yè)信息安全的威脅大致有以下幾方面。
1.外部威脅。⑴軟件系統(tǒng)漏洞:wndows系統(tǒng)的脆弱被大家公認(rèn)。在2007年中,這種情況有了新的改變,百度搜霸、暴風(fēng)影音、Qvod(Q播)、realplayer等流行軟件取代了windows的“漏洞王”地位。⑵網(wǎng)絡(luò)攻擊:①“黑客”侵入:竊取企業(yè)信息、篡改企業(yè)數(shù)據(jù)庫、干擾用戶之間的通訊信息、攻擊服務(wù)系統(tǒng)造成系統(tǒng)癱瘓。②計(jì)算機(jī)病毒:瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無法使用、密碼被盜是計(jì)算機(jī)病毒造成的主要破壞后果。2007年我國計(jì)算機(jī)病毒感染率為91.4%,為歷年來最高;多次感染病毒的比率為54%,仍然維持在較高水平。③郵件災(zāi)難:企業(yè)管理人員隨時(shí)可能發(fā)送涉及高度敏感話題的未加密電子郵件(股票發(fā)行、新產(chǎn)品計(jì)劃、合并、收購等等),而它極易被人截獲并加以利用。批量發(fā)送的未經(jīng)收信人許可垃圾郵件已嚴(yán)重影響正常網(wǎng)絡(luò)通信,企業(yè)帶來時(shí)間和金錢上的損失。同時(shí),垃圾郵件已成為黑客助紂為虐的工具。而通過電子郵件攜帶及傳播惡意代碼、病毒等更是對系統(tǒng)造成嚴(yán)重后果;④自然災(zāi)害、意外事故:地震、水災(zāi)、火災(zāi)等自然災(zāi)害將對系統(tǒng)造成毀滅性的傷害;意外事故(斷電、水浸、蟲咬)同樣不可忽視。
2.內(nèi)部威脅。⑴系統(tǒng)風(fēng)險(xiǎn):硬件選配不合適,環(huán)境不合要求,設(shè)備安裝不規(guī)范等;信息技術(shù)方案選擇失誤,信息技術(shù)的快速增長并沒有反映到你的系統(tǒng)中,使得系統(tǒng)安全性減弱;⑵非授權(quán)訪問:未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源;⑶人為錯(cuò)誤,比如:使用不當(dāng),安全意識差等;⑷計(jì)算機(jī)犯罪:惡意竊取、或出售企業(yè)機(jī)密;⑸管理漏洞:沒有嚴(yán)格的信息安全方針和規(guī)程;管理層不重視,不能保證足夠的安全預(yù)算;用戶權(quán)限設(shè)置混亂;過多的文件讀/寫權(quán)限,休眠的用戶賬戶也是一個(gè)常見的安全風(fēng)險(xiǎn)。
四、信息安全控制
1.及時(shí)修補(bǔ)軟件漏洞。在日常的安全防護(hù)中,不但要重視Windows系統(tǒng)漏洞的彌補(bǔ),還要注意防范應(yīng)用軟件的漏洞。某些IE瀏覽器的插件、輸入法、影音播放等應(yīng)用軟件,都可能成為“黑客”病毒攻擊的對象。用戶使用這些軟件時(shí)不要僅僅關(guān)注他們的功能,還要注意其安全性能,并使用最新版本的軟件。
2.快速事故響應(yīng)。及時(shí)制定事故相應(yīng)方針和規(guī)程,告訴用戶當(dāng)發(fā)生事故或入侵時(shí)應(yīng)該做什么、如何做、采取行動的時(shí)間以及向誰報(bào)告,這將決定企業(yè)機(jī)密信息的命運(yùn)。
3.啟用防火墻。制定防火墻方針和規(guī)程,指定專人負(fù)責(zé)、定期升級、應(yīng)用最新補(bǔ)丁、及時(shí)培訓(xùn),閱讀審核日志,使用檢測軟件,快速響應(yīng),要求安全證據(jù)。
4.跟蹤外部連接。隨著電子商務(wù)的開展,越來越多的企業(yè)使用Internet來交換重要的商業(yè)信息,從而引起外部連接數(shù)目的激增,包括資金和財(cái)務(wù)數(shù)據(jù)。有必要專人負(fù)責(zé)跟蹤外部連接,記錄并定期提交詳細(xì)的連接狀態(tài)報(bào)告。
5.加密/過濾電子郵件。電子郵件加密套件十分容易安裝,并且對用戶來說近乎透明,能對用戶的隱私進(jìn)行有效地加密保護(hù);更為重要的是你必須使用垃圾郵件過濾軟件,阻止各種兜售信息(垃圾郵件)、病毒恐慌、真正的病毒、蠕蟲、特洛伊木馬等的攻擊。
6.貫徹冗余方案。建立冷備份、熱備份和冗余備份。冷備份指除一個(gè)在用網(wǎng)絡(luò)外,還有一備份網(wǎng)絡(luò)。備份網(wǎng)絡(luò)在日常處理時(shí)不開機(jī),一旦發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)故障,立即啟動備份網(wǎng)絡(luò),代替生產(chǎn)網(wǎng)絡(luò)進(jìn)行工作。熱備份指備份網(wǎng)絡(luò)也開機(jī)運(yùn)行,但并不服務(wù)。一旦網(wǎng)絡(luò)失效,備份網(wǎng)絡(luò)即自動代替生產(chǎn)網(wǎng)絡(luò)進(jìn)入服務(wù)。冗余備份則是多個(gè)網(wǎng)絡(luò)同時(shí)進(jìn)行服務(wù),一個(gè)網(wǎng)絡(luò)的失效不影響整個(gè)系統(tǒng)的運(yùn)行。
7.加強(qiáng)內(nèi)部管理。企業(yè)應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法,加強(qiáng)內(nèi)部管理,建立合適的網(wǎng)絡(luò)安全管理系統(tǒng),加強(qiáng)用戶管理和授權(quán)管理,建立安全審計(jì)和跟蹤體系,及時(shí)進(jìn)行用戶培訓(xùn),提高整體網(wǎng)絡(luò)安全和法律意識;
五、結(jié)語
國民經(jīng)濟(jì)的發(fā)展,綜合國力的提升,提高企業(yè)的市場競爭力,企業(yè)信息化是必經(jīng)之路。實(shí)現(xiàn)信息安全是企業(yè)信息化成敗的關(guān)鍵,它不但靠先進(jìn)的技術(shù),而且也得靠嚴(yán)格的安全管理,法律約束和安全教育
參考文獻(xiàn):
[1]Linda McCarthy:《信息安全-企業(yè)抵御風(fēng)險(xiǎn)之道》,清華大學(xué)出版社,2003。
[2]飄搖:《信息安全成為當(dāng)前全球企業(yè)信息化首要任務(wù)》,賽迪網(wǎng),2008.4。
隨著網(wǎng)絡(luò)時(shí)代的到來,越來越多的人通過Internet進(jìn)行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網(wǎng)絡(luò)安全事件不斷攀升,電子商務(wù)金融成了攻擊目標(biāo),以網(wǎng)頁篡改和垃圾郵件為主的網(wǎng)絡(luò)安全事件正在大幅攀升。在國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2005處理的網(wǎng)絡(luò)安全事件報(bào)告中,網(wǎng)頁篡改占45.91%,網(wǎng)絡(luò)仿冒占29%,其余為拒絕服務(wù)攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護(hù),已經(jīng)成為電子商務(wù)的所有參與者十分關(guān)心的話題。
一、電子商務(wù)中的主要網(wǎng)絡(luò)安全事件分析
歸納起來,對電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計(jì)算機(jī)病毒、網(wǎng)絡(luò)仿冒等,網(wǎng)頁篡改、網(wǎng)絡(luò)仿冒(Phishing),逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅。
1.網(wǎng)頁篡改
網(wǎng)頁篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計(jì)算機(jī)系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說,就意味著電子商務(wù)將被迫終止對外的服務(wù)。對企業(yè)網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。
2.網(wǎng)絡(luò)仿冒(Phishing)
網(wǎng)絡(luò)仿冒又稱網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計(jì)來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及,網(wǎng)絡(luò)仿冒事件在我國層出不窮,諸如中國銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用,特別是電子商務(wù)應(yīng)用的主要威脅之一。
網(wǎng)絡(luò)仿冒者為了逃避相關(guān)組織和管理機(jī)構(gòu)的打擊,充分利用互聯(lián)網(wǎng)的開放性,往往會將仿冒網(wǎng)站建立在其他國家,而又利用第三國的郵件服務(wù)器來發(fā)送欺詐郵件,這樣既便是仿冒網(wǎng)站被人舉報(bào),但是關(guān)閉仿冒網(wǎng)站就比較麻煩,對網(wǎng)絡(luò)欺詐者的追查就更困難了,這是現(xiàn)在網(wǎng)絡(luò)仿冒犯罪的主要趨勢之一。
3.網(wǎng)絡(luò)蠕蟲
網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng),自我復(fù)制,并繼續(xù)向互聯(lián)網(wǎng)上的其他系統(tǒng)進(jìn)行傳播。蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡(luò)癱瘓,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。
4.拒絕服務(wù)攻擊(Dos)
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計(jì)算機(jī)針對某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問,使得被訪問的計(jì)算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù),使得電子商務(wù)這類應(yīng)用無法正常工作。拒絕服務(wù)攻擊是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計(jì)算機(jī)足夠多,則更難進(jìn)行處置。尤其是被蠕蟲侵襲過的計(jì)算機(jī),很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進(jìn)行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來與外界聯(lián)接,并接受外界的指令。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其他系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時(shí)都會同時(shí)把木馬植入到被侵入的系統(tǒng)中。
二、解決電子商務(wù)中網(wǎng)絡(luò)安全問題的對策研究
隨著網(wǎng)絡(luò)應(yīng)用日益普及和更為復(fù)雜,網(wǎng)絡(luò)安全事件不斷出現(xiàn),電子商務(wù)的安全問題日益突出,需要從國家相關(guān)法律建設(shè)的大環(huán)境到企業(yè)制定的電子商務(wù)網(wǎng)絡(luò)安全管理整體架構(gòu)的具體措施,才能有效保護(hù)電子商務(wù)的正常應(yīng)用與發(fā)展。
1.進(jìn)一步完善法律與政策依據(jù) 充分發(fā)揮應(yīng)急響應(yīng)組織的作用
我國目前對于互聯(lián)網(wǎng)的相關(guān)法律法規(guī)還較為欠缺,尤其是互聯(lián)網(wǎng)這樣一個(gè)開放和復(fù)雜的領(lǐng)域,相對于現(xiàn)實(shí)社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務(wù)發(fā)展的基于互聯(lián)網(wǎng)的各類網(wǎng)絡(luò)安全事件的違法犯罪行為的立法,需要一個(gè)漫長的過程。根據(jù)互聯(lián)網(wǎng)的體系結(jié)構(gòu)和網(wǎng)絡(luò)安全事件的特點(diǎn),需要建立健全協(xié)調(diào)一致,快速反應(yīng)的各級網(wǎng)絡(luò)應(yīng)急體系。要制定有關(guān)管理規(guī)定,為網(wǎng)絡(luò)安全事件的有效處理提供法律和政策依據(jù)。
互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織是響應(yīng)并處理公共互聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全事件的組織,在我國,CNCERT/CC是國家級的互聯(lián)網(wǎng)應(yīng)急響應(yīng)組織,目前已經(jīng)建立起了全國性的應(yīng)急響應(yīng)體系;同時(shí),CNCERT/CC還是國際應(yīng)急響應(yīng)與安全小組論壇(FIRST,F(xiàn)orum of Incident Response and Security Teams)等國際機(jī)構(gòu)的成員。應(yīng)急響應(yīng)組織通過發(fā)揮其技術(shù)優(yōu)勢,利用其支撐單位,即國內(nèi)主要網(wǎng)絡(luò)安全廠商的行業(yè)力量,為相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全的咨詢與技術(shù)服務(wù),共同提高網(wǎng)絡(luò)安全水平,能有效減少各類的網(wǎng)絡(luò)事件的出現(xiàn);通過聚集相關(guān)科研力量,研究相關(guān)技術(shù)手段,以及如何建立新的電子交易的信任體系,為電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的普及和順利發(fā)展提供前瞻性的技術(shù)研究方面具有積極意義。
2.從網(wǎng)絡(luò)安全架構(gòu)整體上保障電子商務(wù)的應(yīng)用發(fā)展
網(wǎng)絡(luò)安全事件研究中看到,電子商務(wù)的網(wǎng)絡(luò)安全問題不是純粹的計(jì)算機(jī)安全問題,從企業(yè)的角度出發(fā),應(yīng)該建立整體的電子商務(wù)網(wǎng)絡(luò)安全架構(gòu),結(jié)合安全管理以及具體的安全保護(hù)、安全監(jiān)控、事件響應(yīng)和恢復(fù)等一套機(jī)制來保障電子商務(wù)的正常應(yīng)用。
安全管理主要是通過嚴(yán)格科學(xué)的管理手段以達(dá)到保護(hù)企業(yè)網(wǎng)絡(luò)安全的目的。內(nèi)容可包括安全管理制度的制定、實(shí)施和監(jiān)督,安全策略的制定、實(shí)施、評估和修改,相關(guān)人員的安全意識的培訓(xùn)、教育,日常安全管理的具體要求與落實(shí)等。
安全保護(hù)主要是指應(yīng)用網(wǎng)絡(luò)安全產(chǎn)品、工具和技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)和用戶。這種保護(hù)主要是指靜態(tài)保護(hù),通常是一些基本的防護(hù),不具有實(shí)時(shí)性,如在防火墻的規(guī)則中實(shí)施一條安全策略,禁止所有外部網(wǎng)用戶到內(nèi)部網(wǎng)Web服務(wù)器的連接請求,一旦這條規(guī)則生效,它就會持續(xù)有效,除非我們改變這條規(guī)則。這樣的保護(hù)能預(yù)防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態(tài)保護(hù)。
安全監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略,它主要滿足一種動態(tài)安全的需求。因?yàn)榫W(wǎng)絡(luò)安全技術(shù)在發(fā)展的同時(shí),黑客技術(shù)也在不斷的發(fā)展,網(wǎng)絡(luò)安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應(yīng)該時(shí)刻關(guān)注網(wǎng)絡(luò)安全的發(fā)展動向,以及網(wǎng)絡(luò)上發(fā)生的各種各樣的事情,以便及時(shí)發(fā)現(xiàn)新的攻擊,制定新的安全策略。可以這樣說,安全保護(hù)是基本,安全監(jiān)控和審計(jì)是其有效的補(bǔ)充,兩者的有效結(jié)合,才能較好地滿足動態(tài)安全的需要。
事件響應(yīng)與恢復(fù)主要針對發(fā)生攻擊事件時(shí)相應(yīng)的應(yīng)急措施與恢復(fù)正常應(yīng)用的機(jī)制。就是當(dāng)攻擊發(fā)生時(shí),能及時(shí)做出響應(yīng),這需要建立一套切實(shí)有效、操作性強(qiáng)的響應(yīng)機(jī)制,及時(shí)防止攻擊的進(jìn)一步發(fā)展。響應(yīng)是整個(gè)安全架構(gòu)中的重要組成部分,因?yàn)榫W(wǎng)絡(luò)構(gòu)筑沒有絕對的安全,安全事件的發(fā)生是不可能完全避免的,當(dāng)安全事件發(fā)生的時(shí)候,應(yīng)該有相應(yīng)的機(jī)制快速反應(yīng),以便讓管理員及時(shí)了解攻擊情況,采取相應(yīng)措施修改安全策略,盡量減少并彌補(bǔ)攻擊的損失,防止類似攻擊的再次發(fā)生。當(dāng)安全事件發(fā)生后,對系統(tǒng)可能會造成不同程度的破壞,如網(wǎng)絡(luò)不能正常工作、系統(tǒng)數(shù)據(jù)被破壞等,這時(shí),必須有一套機(jī)制能盡快恢復(fù)系統(tǒng)的正常應(yīng)用,因?yàn)楣艏热灰呀?jīng)發(fā)生了,系統(tǒng)也遭到了破壞,這時(shí)只有讓系統(tǒng)以最快的速度運(yùn)行起來才是最重要的,否則損失將更為嚴(yán)重。因此恢復(fù)在電子商務(wù)安全的整體架構(gòu)中也是不可缺少的組成部分。
三、結(jié)論
Internet的快速發(fā)展,使電子商務(wù)逐漸進(jìn)入人們的日常生活,而伴隨各類網(wǎng)絡(luò)安全事件的日益增加與發(fā)展,電子商務(wù)的安全問題也變得日益突出,建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,解決好電子商務(wù)應(yīng)用與發(fā)展的網(wǎng)絡(luò)安全問題必將對保障和促進(jìn)電子商務(wù)的快速發(fā)展起到良好的推動作用。
參考文獻(xiàn):
[1]CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報(bào)告
[2]李 衛(wèi):計(jì)算機(jī)網(wǎng)絡(luò)安全與管理.北京:清華大學(xué)出版社,2000
一、 操作系統(tǒng)在安全方面的漏洞
1 操作系統(tǒng)的體系結(jié)構(gòu)造成操作系統(tǒng)本身是不安全的,這是計(jì)算機(jī)系統(tǒng)不安全的根本原因。操作系統(tǒng)的程序是可以動態(tài)連接的,包括I/Q的驅(qū)動程序與服務(wù)系統(tǒng),都可以用打補(bǔ)丁的方式進(jìn)行動態(tài)連接。許多UNIX操作系統(tǒng)的版本升級開發(fā)都是采用打補(bǔ)丁的方式進(jìn)行的。這種方法廠商可以試用,黑客也可以使用,而且這種動態(tài)連接也是計(jì)算機(jī)病毒產(chǎn)生的好環(huán)境。一個(gè)靠打補(bǔ)丁開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題的。
2. 操作系統(tǒng)不安全的另一個(gè)因素在于它可以創(chuàng)建程序,甚至支持在網(wǎng)絡(luò)的節(jié)點(diǎn)上進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建和激活,更重要的是被創(chuàng)建的程序可以繼承創(chuàng)建程序的權(quán)力。這一點(diǎn)與上一點(diǎn)(可在網(wǎng)絡(luò)上加載程序)結(jié)合起來就構(gòu)成了可以在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若再加上把這種間諜軟件以打補(bǔ)丁的方式“打”在一個(gè)合法的用戶上,尤其“打”在一個(gè)特權(quán)用戶上,間諜軟件就可以做到系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序都檢測不到它的存在。
3.操作系統(tǒng)通常都提供deamon軟件,這種軟件實(shí)質(zhì)上是一些系統(tǒng)進(jìn)程。它們總在等待一些條件的出現(xiàn),之后程序便繼續(xù)運(yùn)行下去。這樣的軟件都是黑客可以利用的。這里應(yīng)該說明的是:關(guān)鍵不再與有沒有deamom在UNIX以及WINDOWSNT操作系統(tǒng)上具有與操作系統(tǒng)核心層軟件同等的權(quán)利。
二、 計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞
Internet/Intranet使用的TCP/IP協(xié)議以及FTP、email、RPC、NFS等都包含許多不安全因素,存在許多漏洞。
(一)數(shù)據(jù)庫管理系統(tǒng)安全漏洞
數(shù)據(jù)庫管理系統(tǒng)的安全必須與操作系統(tǒng)的安全進(jìn)行配套。例如DBMS的安全級別是B2級,那么操作系統(tǒng)的安全級別也應(yīng)當(dāng)是B2級。由于數(shù)據(jù)庫的安全管理同樣是建立在分級管理的概念之上的,因此DBMS的安全也是脆弱的。
(二)應(yīng)用系統(tǒng)安全的漏洞
路由器---錯(cuò)誤的路由器配置、隱蔽Modem、缺省的路由器配置這些都導(dǎo)致黑客的攻擊。防火墻---它的出發(fā)點(diǎn)是防止外部黑客的攻擊,從根本上說是防外不防內(nèi),在美國的調(diào)查表明,32%的泄密是內(nèi)部作案,所有的防火墻都不同程度地被黑客攻擊過。而且防火墻只能防一個(gè)口,并且不能對IP包進(jìn)行分析。Web服務(wù)器---又是一個(gè)非常容易利用的黑客工具。另外還有位置的安全間歇。
(三)缺少安全管理
世界上現(xiàn)有的信息系統(tǒng)絕大多數(shù)都缺少管理員,目前絕大多數(shù)企業(yè)負(fù)責(zé)網(wǎng)絡(luò)安全管理的只有幾個(gè)人,而且缺少信息系統(tǒng)安全管理的規(guī)范,缺少定期的安全測試和檢查,更缺少安全監(jiān)控。另外,安全要求與實(shí)際操作相脫離,因?yàn)榘踩呗越?jīng)常會與用戶方便性相矛盾,知識安全措施和實(shí)際執(zhí)行之間存在很大的距離。我國許多的信息系統(tǒng)已經(jīng)使用了很多年,但計(jì)算機(jī)的系統(tǒng)管理員與用戶的注冊還有很大一部分仍然處于缺省狀態(tài),信息系統(tǒng)受到威脅。信息系統(tǒng)安全的隱患包括內(nèi)部的安全隱患、黑客(外部和內(nèi)部的,內(nèi)部黑客了解熟悉網(wǎng)絡(luò)結(jié)構(gòu),更易下手)的攻擊、計(jì)算機(jī)病毒極易拒絕服務(wù)攻擊(Denial of Service Attack )。
三、利用internet網(wǎng)絡(luò)監(jiān)視器
由于現(xiàn)在廣泛使用以太網(wǎng)均采用共享信道的方法,即把發(fā)給指定機(jī)主信息廣播到整個(gè)網(wǎng)絡(luò)上。盡管在普通方式下,某臺主機(jī)只能收到發(fā)給它的信息,然而只要這臺主機(jī)將網(wǎng)絡(luò)接口的方式設(shè)成“雜亂”模式的話,就可以接受掙個(gè)網(wǎng)絡(luò)上的信息包。利用以太網(wǎng)這個(gè)特性,internet網(wǎng)絡(luò)監(jiān)視器接受整個(gè)網(wǎng)絡(luò)上的信息包,并將其重組,還原為用戶傳遞的文件和明文。
當(dāng)文件在用戶的網(wǎng)絡(luò)環(huán)境與外部的Intranet之間發(fā)生轉(zhuǎn)換是,internet網(wǎng)絡(luò)監(jiān)視器對交換的文件進(jìn)行全文檢索,如果在交換的文件中發(fā)現(xiàn)了目標(biāo)字,則提醒網(wǎng)絡(luò)管理員可能發(fā)生了安全事件,并記錄下是誰在交換文件,從而提供了網(wǎng)絡(luò)使用的安全性。
(一)網(wǎng)絡(luò)安全審計(jì)員
Internet網(wǎng)絡(luò)監(jiān)視器擔(dān)當(dāng)Intranet內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全審計(jì)員。審計(jì)誰在執(zhí)行什么操作、那些操作總是出現(xiàn)等。如網(wǎng)絡(luò)發(fā)生安全事件,特別是在金融、銀行、保險(xiǎn)行業(yè)的安全事件。Internet網(wǎng)絡(luò)監(jiān)視器有利于事后分析,和追查網(wǎng)絡(luò)的攻擊、破壞、等犯罪行為。就好比現(xiàn)在銀行中的錄像機(jī)會攝下用戶在銀行中的活動情況一樣。另外internet 網(wǎng)絡(luò)監(jiān)視器便于監(jiān)察網(wǎng)絡(luò)運(yùn)行狀態(tài)和安全狀況。
(二)保密檢查員
Internet網(wǎng)絡(luò)監(jiān)視器可見識機(jī)密信息的泄漏,用戶的網(wǎng)絡(luò)環(huán)境是自己的Intranet或與Internet連接的局域網(wǎng),用戶的機(jī)密材料是以目標(biāo)字為特征的,當(dāng)文件在用戶的網(wǎng)絡(luò)環(huán)境與內(nèi)部發(fā)生交換時(shí),網(wǎng)絡(luò)監(jiān)視器對交換的文件進(jìn)行全文檢索,如果在交換中發(fā)現(xiàn)了目標(biāo)字,則提醒網(wǎng)絡(luò)管理員可能發(fā)生了泄密時(shí)間,并記錄下是誰在交換文件,供用戶追查時(shí)使用。
網(wǎng)絡(luò)監(jiān)視器有助于用戶及時(shí)發(fā)現(xiàn)問題,對犯罪分子起到相印的威懾作用。它使用簡便,只需掛接在用戶網(wǎng)絡(luò)中即可。他本身沒有IP地址,所以犯罪分子無法對其進(jìn)行攻擊。因而監(jiān)視器本身具有較高的安全性。如果將其與防火墻、系統(tǒng)存取控制等網(wǎng)控技術(shù)結(jié)合使用,彼此取長補(bǔ)短,則可有效組織泄密事件的發(fā)生。
參考文獻(xiàn):
[1](美)WilliamStallings著,楊明等譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2001.
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)02-314-02
On the Security of Electric Buisiness on the Internet
ZHAO Ming, SUN Rong-rong
(School of Software,Central South University, Changsha 410002, China)
Abstract: On the basis of connresponding analysis of security accidents on Internet,writer would give a list of factors which impose great influence on security of electric business development.What's more,writer puts forward application of security technologies,associted with law,pracitce of emergency reaction,construction of security management.
Key words: electric business; security on Internet; trade on internet; affair patterns; security
隨著Internet的快速發(fā)展,電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動的新模式。越來越多的人通過Internet進(jìn)行商務(wù)活動。電子商務(wù)的發(fā)展前景十分誘人,而其安全問題也變得越來越突出。近年來,網(wǎng)絡(luò)安全事件不斷攀升,電子商務(wù)金融成了攻擊目標(biāo),如網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計(jì)算機(jī)病毒、網(wǎng)絡(luò)仿冒等網(wǎng)絡(luò)安全事件正在大幅攀升,已經(jīng)成為桎梏電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的重要因素。如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境,對信息提供足夠的保護(hù),已經(jīng)成為影響到電子商務(wù)健康發(fā)展的關(guān)鍵性課題。
1 電子商務(wù)及交易安全
電子商務(wù),Electronic Commerce,簡稱EC。電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動,實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運(yùn)營模式。電子商務(wù)的交易安全就是對交易中涉及的各種數(shù)據(jù)的可靠性、完整性和可用性進(jìn)行保護(hù)。當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在 Internet上時(shí),便會帶來許多源于安全方面的問題,如傳統(tǒng)的貸款和借款卡支付的保證方案及數(shù)據(jù)保護(hù)方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。具體來說包括以下幾個(gè)方面:
1)數(shù)據(jù)保密:防止非授權(quán)用戶獲得并使用該數(shù)據(jù)。
2)數(shù)據(jù)完整性:確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。
3)身份驗(yàn)證:對網(wǎng)絡(luò)上的另一個(gè)用戶進(jìn)行驗(yàn)證,證實(shí)他就是他所聲稱的那個(gè)人。
4)授權(quán):控制誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進(jìn)行何種操作。
5)不可抵賴和不可否認(rèn):用戶不能抵賴自己曾做出的行為,也不能否認(rèn)曾經(jīng)接到對方的信息。
6)軟件資源或網(wǎng)址免受病毒的侵害與黑客的攻擊。
為了滿足這些需求,提高電子商務(wù)的安全性,網(wǎng)絡(luò)和管理技術(shù)人員研究和開發(fā)了多種網(wǎng)絡(luò)安全技術(shù)和協(xié)議,這些技術(shù)和協(xié)議各自有一定的使用范圍,可以提供電子商務(wù)交易活動不同程度的安全保障。
2 影響電子商務(wù)發(fā)展的主要網(wǎng)絡(luò)安全事件類型
2.1 網(wǎng)絡(luò)篡改
網(wǎng)絡(luò)篡改是指將正常的網(wǎng)站主頁更換為黑客所提供的網(wǎng)頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計(jì)算機(jī)系統(tǒng)本身不會產(chǎn)生直接的損失,但對電子商務(wù)等需要與用戶通過網(wǎng)站進(jìn)行溝通的應(yīng)用來說,就意味著電子商務(wù)將被迫終止對外的服務(wù)。對 企業(yè) 網(wǎng)站而言,網(wǎng)頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業(yè)形象與信譽(yù)造成嚴(yán)重?fù)p害。
2.2 網(wǎng)絡(luò)蠕蟲
網(wǎng)絡(luò)蠕蟲是指一種可以不斷復(fù)制自己并在網(wǎng)絡(luò)中傳播的程序。這種程序利用互聯(lián)網(wǎng)上計(jì)算機(jī)系統(tǒng)的漏洞進(jìn)入系統(tǒng),自我復(fù)制,并繼續(xù)向互聯(lián)網(wǎng)上的其它系統(tǒng)進(jìn)行傳播。網(wǎng)絡(luò)蠕蟲的危害通常有兩個(gè)方面:1)蠕蟲在進(jìn)入被攻擊的系統(tǒng)后,一旦具有控制系統(tǒng)的能力,就可以使得該系統(tǒng)被他人遠(yuǎn)程操縱。其危害一方面是重要系統(tǒng)會出現(xiàn)失密現(xiàn)象,另一方面會被利用來對其他系統(tǒng)進(jìn)行攻擊。2)蠕蟲的不斷蛻變并在網(wǎng)絡(luò)上的傳播,可能導(dǎo)致網(wǎng)絡(luò)被阻塞的現(xiàn)象發(fā)生,從而致使網(wǎng)絡(luò)癱瘓,使得各種基于網(wǎng)絡(luò)的電子商務(wù)等應(yīng)用系統(tǒng)失效。
2.3 拒絕服務(wù)攻擊
拒絕服務(wù)攻擊是指在互聯(lián)網(wǎng)上控制多臺或大量的計(jì)算機(jī)針對某一個(gè)特定的計(jì)算機(jī)進(jìn)行大規(guī)模的訪問,使得被訪問的計(jì)算機(jī)窮于應(yīng)付來勢兇猛的訪問而無法提供正常的服務(wù),使得電子商務(wù)這類應(yīng)用無法正常工作。
一般來說,這是黑客常用的一種行之有效的方法。如果所調(diào)動的攻擊計(jì)算機(jī)足夠多,則更難進(jìn)行處置。尤其是被蠕蟲侵襲過的計(jì)算機(jī),很容易被利用而成為攻擊源,并且這類攻擊通常是跨網(wǎng)進(jìn)行的,加大了打擊犯罪的難度。
2.4 特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計(jì)算機(jī)系統(tǒng)中不為用戶所知的惡意程序,通常用于潛伏在計(jì)算機(jī)系統(tǒng)中來與外界連接,并接受外界的指令。被植入木馬的計(jì)算機(jī)系統(tǒng)內(nèi)的所有文件都會被外界所獲得,并且該系統(tǒng)也會被外界所控制,也可能會被利用作為攻擊其它系統(tǒng)的攻擊源。很多黑客在入侵系統(tǒng)時(shí)都會同時(shí)把木馬植入到被侵入的系統(tǒng)中。
2.5 網(wǎng)絡(luò)仿冒(Phishing)
Phishing又稱網(wǎng)絡(luò)仿冒、網(wǎng)絡(luò)欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網(wǎng)頁設(shè)計(jì)來誘騙收件人提供信用卡帳號、用戶名、密碼、社會福利號碼等,隨后利用騙得的帳號和密碼竊取受騙者金錢。近年來,隨著電子商務(wù)、網(wǎng)上結(jié)算、網(wǎng)上銀行等業(yè)務(wù)在日常生活中的普及,網(wǎng)絡(luò)仿冒事件在我國層出不窮,諸如銀行網(wǎng)站等多起金融網(wǎng)站被仿冒。網(wǎng)絡(luò)仿冒已經(jīng)成為影響互聯(lián)網(wǎng)應(yīng)用,特別是電子商務(wù)應(yīng)用的主要威脅之一。
3 安全技術(shù)在電子商務(wù)中的具體應(yīng)用
電子商務(wù)在功能上要求實(shí)現(xiàn)實(shí)時(shí)帳戶信息查詢。這就使電子商務(wù)系統(tǒng)必須在物理上與生產(chǎn)系統(tǒng)要有連接,這對于電子商務(wù)信息系統(tǒng)的安全性提出了更高的要求,必須保證外部網(wǎng)絡(luò)(Internet)用戶不能對生產(chǎn)系統(tǒng)構(gòu)成威脅。為此,需要全方位地制定系統(tǒng)的安全策略。
3.1 數(shù)據(jù)通訊的安全性
數(shù)據(jù)通訊的安全主要依靠對通信數(shù)據(jù)的加密來保證。在通訊鏈路上的數(shù)據(jù)安全,一定程度上取決于加密的算法和加密的強(qiáng)度。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于:①客戶瀏覽器與電子商務(wù)Web服務(wù)器端的通訊;②電子商務(wù)Web服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊;③銀行內(nèi)部網(wǎng)與業(yè)務(wù)之間的數(shù)據(jù)通訊。
安全鏈路在客戶端瀏覽器和電子商務(wù)Web服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。目前采用的是瀏覽器缺省的40位加密強(qiáng)度,也可以考慮將加密強(qiáng)度增加到128位。為在瀏覽器和服務(wù)器之間建立安全機(jī)制,SSL首先要求服務(wù)器向?yàn)g覽器出示它的證書,證書包括一個(gè)公鑰,由一家可信證書授權(quán)機(jī)構(gòu)(CA中心)簽發(fā)。瀏覽器要驗(yàn)證服務(wù)器證書的正確性,必須事先安裝簽發(fā)機(jī)構(gòu)提供的基礎(chǔ)公共密鑰(PKI)。建立SSL鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。而單純的想建立SSL鏈接時(shí)客戶只需用戶下載該站點(diǎn)的服務(wù)器證書(下載可以在訪問之前或訪問時(shí))。驗(yàn)證此證書是合法的服務(wù)順證書通過后利用該證書對稱加密算法(RSA)與服務(wù)器協(xié)商一個(gè)對稱算法及密鑰,然后用此對稱算法加密傳輸?shù)拿魑摹4藭r(shí)瀏覽器也會出現(xiàn)進(jìn)入安全狀態(tài)的提示。
3.2 應(yīng)用程序的安全性
即使正確地配置了訪問控制規(guī)則,要滿足計(jì)算機(jī)系統(tǒng)的安全性也是不充分的,因?yàn)榫幊体e(cuò)誤也可能引致攻擊。程序錯(cuò)誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數(shù);程序員忘記檢查邊界條件,特別是處理字符串的內(nèi)存緩沖時(shí);程序員忘記最小特權(quán)的基本原則。整個(gè)程序都是在特權(quán)模式下運(yùn)動,而不是只有有限的指令子集在特權(quán)模式下運(yùn)動,其他的部分只有縮小的許可;程序員從這個(gè)特權(quán)程序使用范圍內(nèi)建立一個(gè)資源,如一個(gè)文件和目錄。不是顯式地設(shè)置訪問控制(最少許可),程序員認(rèn)為這個(gè)缺省的許可是正確的。
這些缺點(diǎn)都被使用到攻擊系統(tǒng)的行為中。緩沖溢出攻擊就是通過給特權(quán)程序輸入一個(gè)過長的字符串來實(shí)現(xiàn)的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執(zhí)行的命令,特權(quán)程序可以執(zhí)行指令。程序碎塊是特別用來增加黑客的特權(quán)的或是作為攻擊的原因?qū)懙摹@?緩沖溢出攻擊可以向系統(tǒng)中增加一個(gè)用戶并賦予這個(gè)用戶特權(quán)。訪問控制系統(tǒng)中沒有什么可以檢測到這些問題。只有通過監(jiān)視系統(tǒng)并尋找違反安全策略的行為,才能發(fā)現(xiàn)象這些問題一樣的錯(cuò)誤。
3.3 用戶的認(rèn)證管理
電子商務(wù)中企業(yè)用戶身份認(rèn)證可以通過服務(wù)器CA證書與IC卡相結(jié)合實(shí)現(xiàn)的。CA證書用來認(rèn)證服務(wù)器的身份,IC卡用來認(rèn)證企業(yè)用戶的身份。個(gè)人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認(rèn)機(jī)制。
要在網(wǎng)上確認(rèn)交易各方的身份以及保證交易的不可否認(rèn)性,需要一份數(shù)字證書進(jìn)行驗(yàn)證,這份數(shù)字證書就是CA證書,它由認(rèn)證授權(quán)中心(CA中心)發(fā)行。CA中心一般是社會公認(rèn)的可靠組織,它對個(gè)人、組織進(jìn)行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個(gè)人證書。建立SSL安全鏈接不需要一定有個(gè)人證書,實(shí)際上不驗(yàn)證客戶的個(gè)人證書情況是很多的。驗(yàn)證個(gè)人證書是為了驗(yàn)證來訪者的合法身份。
3.4 安全管理
為了確保系統(tǒng)的安全性,除了采用上述技術(shù)手段外,還必須建立嚴(yán)格的內(nèi)部安全機(jī)制。對于所有接觸系統(tǒng)的人員,按其職責(zé)設(shè)定其訪問系統(tǒng)的最小權(quán)限。按照分級管理原則,嚴(yán)格管理內(nèi)部用戶帳號和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號和密碼。建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢。定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。對于重要數(shù)據(jù)要及時(shí)進(jìn)行備份,且對數(shù)據(jù)庫中存放的數(shù)據(jù),數(shù)據(jù)庫系統(tǒng)應(yīng)視其重要性提供不同級別的數(shù)據(jù)加密。安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。決定采用什么安全策略取決于系統(tǒng)的風(fēng)險(xiǎn)要控制在什么程度范圍內(nèi)。
4 結(jié)論
電子商務(wù)的安全問題是電子商務(wù)的核心問題,而電子商務(wù)作為全球商務(wù)發(fā)展的趨勢,將給全球的經(jīng)濟(jì)、政治和法律帶來深刻的影響,所以研究電子商務(wù)的安全問題顯得尤為重要。而且為了國家的安全,電子商務(wù)系統(tǒng)所涉及到的一些關(guān)鍵技術(shù)只能靠自主開發(fā),而不能盲目全盤引進(jìn)。由此可見,如何構(gòu)造一個(gè)安全的電子商務(wù)安全體系,永遠(yuǎn)是個(gè)值得研究的課題。
參考文獻(xiàn):
[1] CNCERT/CC.2005年上半年網(wǎng)絡(luò)安全工作報(bào)告[R].2005.
2010年衛(wèi)生信息化工作情況
1. 積極推動醫(yī)改各項(xiàng)工作
2009年國家頒布新醫(yī)改方案,2010年北京市制定“北京市2010~2011深化醫(yī)藥衛(wèi)生體制改革實(shí)施方案”。關(guān)于衛(wèi)生信息化工作,在北京的醫(yī)改文件中提出:“啟動醫(yī)藥衛(wèi)生信息綜合服務(wù)平臺建設(shè)前期工作。探索利用網(wǎng)絡(luò)信息技術(shù),試點(diǎn)發(fā)展遠(yuǎn)程會診。推進(jìn)信息化標(biāo)準(zhǔn)建設(shè),逐步統(tǒng)一規(guī)范醫(yī)院信息系統(tǒng)數(shù)據(jù)接口和信息采集,推進(jìn)公共衛(wèi)生、醫(yī)療、醫(yī)保、藥品、財(cái)務(wù)監(jiān)管等信息系統(tǒng)互聯(lián)互通工作。提高信息化水平,城鄉(xiāng)居民電子健康檔案建檔率達(dá)到20%。”
2. 衛(wèi)生信息化人員機(jī)構(gòu)和隊(duì)伍建設(shè)又見成效
2010年,昌平區(qū)衛(wèi)生局新成立了信息中心,使我市16個(gè)區(qū)縣中,區(qū)縣衛(wèi)生局成立信息中心的數(shù)量達(dá)到12個(gè)。目前,只有海淀、豐臺、通州、門頭溝4個(gè)區(qū)縣衛(wèi)生局仍然沒有成立信息中心。
3. 堅(jiān)持衛(wèi)生信息化行業(yè)管理不松懈
自2003年后,為避免信息化建設(shè)各自為政、重復(fù)建設(shè)、盲目建設(shè)、數(shù)據(jù)多頭采集,北京衛(wèi)生信息化按照“統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一建設(shè)、統(tǒng)一管理”的“四統(tǒng)一”原則開展工作。
起草《北京市“十二五”衛(wèi)生信息化規(guī)劃》
2010年是十二五規(guī)劃之年,《北京市“十二五”衛(wèi)生信息化規(guī)劃》專項(xiàng)規(guī)劃是《北京市衛(wèi)生事業(yè)發(fā)展改革“十二五”規(guī)劃》的重要組成部分。市衛(wèi)生局全面征求區(qū)縣衛(wèi)生局、直屬事業(yè)單位和直屬三級醫(yī)院的意見,多次組織召開專題研討會征求意見。目前,已經(jīng)完成了規(guī)劃的制訂,準(zhǔn)備近期。
制訂醫(yī)院門急診信息系統(tǒng)相關(guān)標(biāo)準(zhǔn)規(guī)范
完成《北京地區(qū)醫(yī)院門急診信息系統(tǒng)基本功能規(guī)范和數(shù)據(jù)采集規(guī)范》(試行稿),于9月19日向北京地區(qū)50家三級醫(yī)院及11家遠(yuǎn)郊區(qū)縣中心醫(yī)院下發(fā)《關(guān)于建立北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息報(bào)告制度的通知》(京衛(wèi)醫(yī)字〔2010〕212號)以及《關(guān)于做好門急診信息系統(tǒng)接口改造工作的通知》,該規(guī)范作為醫(yī)院門、急診信息系統(tǒng)改造以及數(shù)據(jù)采集的規(guī)范依據(jù)正式試行。
完成了《北京市藥品分類與代碼規(guī)范》,北京市質(zhì)量技術(shù)監(jiān)督局已經(jīng)將其列入2011年北京市地方標(biāo)準(zhǔn)修訂計(jì)劃之中。
完成衛(wèi)生信息化項(xiàng)目前置審核工作
按照《北京市衛(wèi)生信息化項(xiàng)目建設(shè)管理辦法》(京衛(wèi)辦字〔2008〕107號),做好衛(wèi)生信息化項(xiàng)目的前置審核評審等項(xiàng)目管理工作。2010年共收到各單位上報(bào)項(xiàng)目76項(xiàng),涉及資金3億元。經(jīng)市衛(wèi)生局信息化領(lǐng)導(dǎo)小組審核,通過22項(xiàng)。
通過統(tǒng)一評審和歸口管理,可以全面了解各單位的衛(wèi)生信息化情況,做到統(tǒng)籌管理,使得各部門的信息化建設(shè)符合衛(wèi)生信息化總體規(guī)劃和發(fā)展方向;同時(shí)利用市公共衛(wèi)生信息中心及相關(guān)專家資源對于項(xiàng)目建設(shè)方案進(jìn)行評估,使得方案在總體設(shè)計(jì)、安全管理、網(wǎng)絡(luò)建設(shè)、國產(chǎn)軟硬件產(chǎn)品和信息共享等方面更加全面、科學(xué)。
4. 重點(diǎn)應(yīng)用系統(tǒng)建設(shè)取得實(shí)效
新社區(qū)衛(wèi)生信息系統(tǒng)推廣實(shí)施順利
新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng)是全面覆蓋社區(qū)衛(wèi)生服務(wù)機(jī)構(gòu)和社區(qū)衛(wèi)生管理機(jī)構(gòu),以建立居民健康檔案為核心,支持基本醫(yī)療和公共衛(wèi)生服務(wù)的信息系統(tǒng),符合社區(qū)衛(wèi)生改革的要求。
在新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng)中,著力建設(shè)社區(qū)衛(wèi)生業(yè)務(wù)和財(cái)務(wù)等應(yīng)用系統(tǒng),實(shí)現(xiàn)市、區(qū)縣和基層三層體系架構(gòu)。2010年完成了試點(diǎn)項(xiàng)目驗(yàn)收,6月24日啟動全市推廣。截至到2011年3月6日,在西城、原崇文、原宣武、順義、朝陽、海淀、石景山等8個(gè)區(qū)縣、52個(gè)社區(qū)衛(wèi)生服務(wù)中心、178個(gè)社區(qū)衛(wèi)生服務(wù)站穩(wěn)定運(yùn)行,建立電子健康檔案526萬份,原東城、西城、崇文、宣武四個(gè)城區(qū)基本完成實(shí)施推廣任務(wù),順義、海淀、石景山、昌平區(qū)、密云縣進(jìn)展順利。
借助醫(yī)聯(lián)碼系統(tǒng),實(shí)現(xiàn)門急診信息采集
北京市實(shí)名就診卡完善(醫(yī)聯(lián)碼系統(tǒng))項(xiàng)目是我市建立門急診信息報(bào)告制度的支撐項(xiàng)目,是我局針對目前管理需求對原北京市實(shí)名就診卡完善項(xiàng)目進(jìn)行變更后重新啟動的項(xiàng)目。該項(xiàng)目在全市三級醫(yī)院及十一家區(qū)級中心醫(yī)院實(shí)施,將為非醫(yī)保患者建立統(tǒng)一的條碼,通過此條碼采集門急診就診信息。項(xiàng)目實(shí)施至今,已在全市推開,醫(yī)聯(lián)碼發(fā)放及信息采集工作業(yè)已開始。截至3月15日,已有39家醫(yī)院完成接口改造,大興人民醫(yī)院、婦產(chǎn)醫(yī)院、同仁醫(yī)院、房山第一醫(yī)院等31家醫(yī)院共計(jì)發(fā)放醫(yī)聯(lián)碼28.95萬條。朝陽醫(yī)院、婦產(chǎn)醫(yī)院、人民醫(yī)院、北醫(yī)三院、中日友好醫(yī)院等17家醫(yī)院已經(jīng)上報(bào)門急診信息,共計(jì)93.8萬條。
5. 固化衛(wèi)生行業(yè)信息安全保障成果,提高安全管理水平
2010年的衛(wèi)生行業(yè)信息安全的重點(diǎn)工作是固化奧運(yùn)和國慶信息安全保障工作成果,在行業(yè)內(nèi)以推動等級保護(hù)為依托,進(jìn)一步提高全行業(yè)信息安全管理水平。在各級領(lǐng)導(dǎo)的重視下,各單位圓滿完成了2010年信息安全相關(guān)工作。
開展衛(wèi)生行業(yè)信息安全檢查
2010年,為督促我市衛(wèi)生行業(yè)各單位做好信息安全保障工作,細(xì)化各項(xiàng)信息網(wǎng)絡(luò)安全工作措施,進(jìn)一步提升網(wǎng)絡(luò)與信息系統(tǒng)支撐醫(yī)療服務(wù)工作的效率和水平,確保我市衛(wèi)生行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全穩(wěn)定運(yùn)行,市公安局和市衛(wèi)生局對全市大中型醫(yī)院及市屬醫(yī)療衛(wèi)生機(jī)構(gòu)開展了網(wǎng)絡(luò)和信息系統(tǒng)安全檢查。
出臺《醫(yī)療衛(wèi)生信息安全等級保護(hù)實(shí)施指南》
2010年,結(jié)合近幾年信息安全聯(lián)合檢查中遇到的各類問題,信息中心組織出版了《醫(yī)療衛(wèi)生信息安全等級保護(hù)實(shí)施指南》。規(guī)范了醫(yī)療衛(wèi)生信息安全等級保護(hù)工作的基本思路和實(shí)施方法,指導(dǎo)我市醫(yī)療衛(wèi)生信息建設(shè)中的信息安全保障工作,對搞好醫(yī)療衛(wèi)生信息安全保障具有十分重要的現(xiàn)實(shí)意義。
開展信息安全培訓(xùn)
2010年,在衛(wèi)生局直屬單位開展了信息安全員信息安全保障知識培訓(xùn),共進(jìn)行了8次授課,共400余人次接受了培訓(xùn),提高了信息安全員的信息安全保障能力,為各單位的信息安全保障奠定了基礎(chǔ)。
2011年衛(wèi)生信息化重點(diǎn)任務(wù)
1. 十二五期間信息化建設(shè)基本任務(wù)
未來五年,衛(wèi)生信息化建設(shè)的主要任務(wù)是建立“基于電子病歷和居民健康檔案的醫(yī)藥衛(wèi)生信息化工程”,主要內(nèi)容可以概括為一張網(wǎng)絡(luò)、兩級平臺、三個(gè)基礎(chǔ)數(shù)據(jù)庫。
一張網(wǎng)絡(luò),是指全市各級各類醫(yī)療衛(wèi)生機(jī)構(gòu)與行政管理部門互聯(lián)互通的信息傳輸網(wǎng)絡(luò);兩級平臺,是指市、區(qū)/縣兩級衛(wèi)生信息交換平臺;三個(gè)基礎(chǔ)數(shù)據(jù)庫,是指執(zhí)法相對人數(shù)據(jù)庫、醫(yī)療衛(wèi)生資源數(shù)據(jù)庫和居民健康檔案數(shù)據(jù)庫。實(shí)現(xiàn)上述目標(biāo),依靠的是標(biāo)準(zhǔn)規(guī)范和信息安全保障兩個(gè)體系。
2. 推進(jìn)醫(yī)院信息化建設(shè)
電子病歷試點(diǎn)工作
衛(wèi)生部為推進(jìn)醫(yī)藥衛(wèi)生體制改革,加強(qiáng)醫(yī)院信息化建設(shè),于2010年9月下發(fā)了《關(guān)于開展電子病歷試點(diǎn)工作的通知》(衛(wèi)醫(yī)政發(fā)〔2010〕85號)文件,決定在北京市等22個(gè)省(區(qū)、市)部分區(qū)域和醫(yī)院開展電子病歷試點(diǎn)工作,確定試點(diǎn)工作時(shí)間為1年。市衛(wèi)生局根據(jù)衛(wèi)生部文件的精神和要求,組織制定了《北京市以電子病歷為核心的醫(yī)院信息化試點(diǎn)工作實(shí)施方案》,明確了指導(dǎo)思想、工作目標(biāo)、組織管理、實(shí)施步驟及工作要求。同時(shí)還制定了《北京地區(qū)電子病歷試點(diǎn)技術(shù)方案》,指導(dǎo)試點(diǎn)醫(yī)院推進(jìn)電子病歷工作。
醫(yī)聯(lián)碼相關(guān)工作
醫(yī)聯(lián)碼系統(tǒng)為北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息采集提供了支持,奠定了基礎(chǔ)。根據(jù)北京市衛(wèi)生局《關(guān)于建立北京地區(qū)醫(yī)療機(jī)構(gòu)門急診信息報(bào)告制度的通知》(京衛(wèi)醫(yī)字〔2010〕212號)文件要求,三級醫(yī)療機(jī)構(gòu)及11家遠(yuǎn)郊區(qū)縣區(qū)域醫(yī)療中心2011年1月起,正式啟用門急診信息上報(bào)工作。今年要繼續(xù)推進(jìn)醫(yī)聯(lián)碼相關(guān)工作,希望各醫(yī)院建立院內(nèi)的組織協(xié)調(diào)工作機(jī)制,積極開展醫(yī)聯(lián)碼接口改造、信息上傳、門急診就診信息上傳等工作。
3. 推廣實(shí)施社區(qū)衛(wèi)生信息系統(tǒng)
市衛(wèi)生局、市編辦、市發(fā)改委、市財(cái)政等八部門聯(lián)合下發(fā)的《關(guān)于進(jìn)一步推進(jìn)社區(qū)衛(wèi)生改革與管理工作的意見》(京衛(wèi)基層字〔2010〕25號)要求,“以有利于工作開展、有利于方便居民、有利于加強(qiáng)管理為目標(biāo),全面推廣應(yīng)用全市統(tǒng)一的新社區(qū)衛(wèi)生服務(wù)綜合管理信息系統(tǒng),并不斷完善功能。到2011年底,建立起以健康檔案為基礎(chǔ)的覆蓋全市社區(qū)衛(wèi)生服務(wù)和管理機(jī)構(gòu)的信息化管理體系,搭建完成覆蓋全市社區(qū)衛(wèi)生服務(wù)管理中心、社區(qū)衛(wèi)生服務(wù)中心、社區(qū)衛(wèi)生服務(wù)站的互聯(lián)互通的網(wǎng)絡(luò)。加強(qiáng)市、區(qū)兩級社區(qū)衛(wèi)生服務(wù)綜合管理信息平臺的建設(shè)。”
各區(qū)縣積極推進(jìn)社區(qū)衛(wèi)生信息化工作,年底之前,完成16區(qū)縣推廣應(yīng)用部署工作。目前,推進(jìn)較好的區(qū)縣為東城、西城、順義、海淀、石景山、昌平、密云、大興等。
4. 加強(qiáng)公共衛(wèi)生和衛(wèi)生管理信息化建設(shè)和綜合利用
推動居民電子健康檔案建立工作
根據(jù)醫(yī)改要求,把為轄區(qū)常住人口重點(diǎn)人群自愿建立統(tǒng)一、規(guī)范的居民健康檔案,及時(shí)更新健康檔案,并逐步試行計(jì)算機(jī)管理等工作列為本市為居民提供的基本公共衛(wèi)生服務(wù)項(xiàng)目。2011年的醫(yī)改任務(wù)責(zé)任書中,各區(qū)縣居民電子健康檔案建檔率指標(biāo)有所不同,但全市總體要求達(dá)到50%以上。北京市新社區(qū)衛(wèi)生服務(wù)信息系統(tǒng)已經(jīng)提供了電子健康檔案建立的工具,請各區(qū)縣組織人員開展電子健康檔案相關(guān)工作,以便建立實(shí)時(shí)動態(tài)變化的社區(qū)居民電子健康檔案,為社區(qū)居民服務(wù),為家庭醫(yī)生服務(wù)。
啟動?jì)D幼保健網(wǎng)絡(luò)信息系統(tǒng)二期
3月啟動?jì)D幼保健二期建設(shè),系統(tǒng)將覆蓋北京市婦幼保健院、16所區(qū)縣婦幼保健院(所)、近800家承擔(dān)婦幼保健服務(wù)與管理工作的醫(yī)療保健機(jī)構(gòu)、1000余家托幼園所等機(jī)構(gòu),以婦幼健康檔案為核心,實(shí)現(xiàn)與醫(yī)院和社區(qū)信息共享的、完整的、動態(tài)的、連續(xù)的婦女兒童保健信息庫。計(jì)劃9月開發(fā)完成,試運(yùn)行。各區(qū)縣不需再單獨(dú)建立婦幼信息系統(tǒng)。
2011年工作要求
1. 領(lǐng)導(dǎo)重視,加快落實(shí)信息化機(jī)構(gòu)和人才隊(duì)伍建設(shè)
目前,仍有部分區(qū)縣沒有成立信息中心,部分直屬機(jī)構(gòu)沒有信息管理部門,衛(wèi)生人才隊(duì)伍薄弱,嚴(yán)重影響了信息化建設(shè)。各單位領(lǐng)導(dǎo)要高度重視,盡快落實(shí)機(jī)構(gòu)設(shè)置和人員配置問題。
2. 加強(qiáng)管理,保障信息系統(tǒng)安全
今年市衛(wèi)生局將繼續(xù)以信息系統(tǒng)等級保護(hù)工作為依托,繼續(xù)加強(qiáng)全市衛(wèi)生行業(yè)信息安全管理工作。
繼續(xù)聯(lián)合市公安局對行業(yè)進(jìn)行信息安全檢查,重點(diǎn)針對電子病歷試點(diǎn)單位、重要公共衛(wèi)生部門進(jìn)行安全檢查。
按照市信息安全協(xié)調(diào)領(lǐng)導(dǎo)小組工作部署要求,進(jìn)一步加快推動等級保護(hù)。
3. 樹立大局觀念,加快社區(qū)衛(wèi)生信息系統(tǒng)的推廣應(yīng)用
要求各區(qū)縣加強(qiáng)組織,落實(shí)責(zé)任,協(xié)調(diào)相關(guān)部門,加大推廣力度,2011年底之前完成任務(wù)。
前言
在網(wǎng)絡(luò)還沒有普及的情況下,電腦之間只能通過磁盤、光盤等存儲設(shè)備進(jìn)行文件復(fù)制,每臺電腦之間相對獨(dú)立,只需防范磁盤光盤中的電腦病毒就能基本保證電腦系統(tǒng)的安全。近年來,隨著互聯(lián)網(wǎng)技術(shù)及應(yīng)用的飛速發(fā)展,互聯(lián)網(wǎng)已成為個(gè)人不可或缺的日常應(yīng)用。但是人們在享受網(wǎng)絡(luò)帶來便捷的同時(shí),個(gè)人電腦網(wǎng)絡(luò)安全問題也日漸突出,非法分子利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序,嚴(yán)重?fù)p害了網(wǎng)民的利益。由CNCERT/CC(國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)每年的電腦網(wǎng)絡(luò)安全工作報(bào)告顯示,每年各種網(wǎng)絡(luò)安全事件與上一年相比都有顯著增加,因此在互聯(lián)網(wǎng)環(huán)境中如何加強(qiáng)個(gè)人電腦安全已是迫眉睫問題。
一、計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀
現(xiàn)階段,社會的發(fā)展離不來計(jì)算機(jī)網(wǎng)絡(luò)信息的安全,網(wǎng)絡(luò)信息的安全涉及到國家的各個(gè)領(lǐng)域(包括行政、外交、軍事等等),并且信息的傳輸處理很多是國家政府的內(nèi)部機(jī)密,如調(diào)空政策、股票證券、銀行的轉(zhuǎn)帳信息、能源數(shù)據(jù)庫以及科研數(shù)據(jù)等等中校信息。所以這些重要的信息不免會受到世界各地的攻擊,以至于造成信息數(shù)據(jù)的切取、篡改、刪除和計(jì)算機(jī)病毒的入侵等損失。針對計(jì)算機(jī)網(wǎng)絡(luò)的犯罪行為,它有著偵察難度大,舉證困難的原因,所以這就刺激了很多計(jì)算機(jī)領(lǐng)域的高科技犯罪(黑客)分子的心理。從而是計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的犯罪率鄒升。因此世界各地的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)將面臨嚴(yán)峻的考驗(yàn)。一旦計(jì)算機(jī)網(wǎng)絡(luò)被攻擊破壞,將嚴(yán)重影響人類使用計(jì)算機(jī)的安全性。
二、計(jì)算機(jī)網(wǎng)絡(luò)不安全因素
2.1 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性
我們所使用的計(jì)算機(jī)網(wǎng)絡(luò)(互聯(lián)網(wǎng))是一個(gè)開放的網(wǎng)絡(luò),任何使用者都可以很方便直接的在網(wǎng)絡(luò)上收發(fā)信息和文件,正是因?yàn)榛ヂ?lián)網(wǎng)有這種開放性、共享性和國際性的特點(diǎn),因此計(jì)算機(jī)網(wǎng)絡(luò)安全就將面臨著嚴(yán)峻的挑戰(zhàn)。計(jì)算機(jī)網(wǎng)絡(luò)的不安全性主要有:首先網(wǎng)絡(luò)技術(shù)的開放性使得網(wǎng)絡(luò)計(jì)算機(jī)網(wǎng)絡(luò)有可能受到各個(gè)方面的攻擊,攻擊是來自多個(gè)方面的。其次計(jì)算機(jī)網(wǎng)絡(luò)的國際性就使得一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊就不一定是本的網(wǎng)絡(luò)用戶所為,有可能是世界上別的國家的黑客所為,因此計(jì)算機(jī)網(wǎng)絡(luò)的安全性也面臨國際性的挑戰(zhàn)。最后就是計(jì)算機(jī)網(wǎng)絡(luò)的自由性,因?yàn)槿魏问褂糜?jì)算機(jī)網(wǎng)絡(luò)的用戶都可以隨意使用網(wǎng)絡(luò)技術(shù),隨意上網(wǎng)信息以及索取信息等等。
2.2 操作系統(tǒng)存在的安全問題
所謂操作系統(tǒng)只是一個(gè)軟件,它作為一個(gè)支撐的軟件它所提供的是讓你程序正常運(yùn)行的一個(gè)環(huán)境。既然是軟件運(yùn)行環(huán)境,那么它就存在一定的不安全性,可能是由于系統(tǒng)的開發(fā)者在開發(fā)過程中所留下的破綻或者漏洞,這都會給黑客可乘之機(jī)。
2.3 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題
所謂數(shù)據(jù)庫主要是用來存儲數(shù)據(jù)信息和管理利用信息的一個(gè)軟件,它所存儲的數(shù)據(jù)包括我們網(wǎng)絡(luò)上瀏覽的所有信息。作為數(shù)據(jù)庫它所考慮的主要是信息內(nèi)容的存儲、利用以及管理,但針對安全方面數(shù)據(jù)庫軟件考慮的就比較少了。所謂數(shù)據(jù)庫的安全就是保證數(shù)據(jù)庫所存儲的內(nèi)容不要收到破壞和非法用戶的竊取;保證數(shù)據(jù)庫的內(nèi)容完整性就是要保證存儲單元中沒有不符合要求的數(shù)據(jù)。
2.4 防火墻的安全性
防火墻簡單來描述就是網(wǎng)絡(luò)內(nèi)部和外部連接的一道墻,它一個(gè)由軟硬件設(shè)備組合而成的一個(gè)對網(wǎng)絡(luò)起保護(hù)作用的工具。但它它卻不能保護(hù)你的網(wǎng)絡(luò)不受外界所有的攻擊。因?yàn)榘殡S著計(jì)算機(jī)技術(shù)日新月異的發(fā)展,有一些破解的方法能夠給防火墻帶來一定的隱患。這就是防火墻的一些局限性。
2.5 其他方面的因素
計(jì)算機(jī)的硬件設(shè)備以及網(wǎng)絡(luò)通訊設(shè)備很容易受到自然環(huán)境的影響,例如水災(zāi)、地震、風(fēng)暴、建筑物的損壞等等。這些也都會對計(jì)算機(jī)網(wǎng)絡(luò)造成一定的危害。另外還有一些危害因素是由于軟件本身的漏洞,硬件設(shè)備功能失常,電源斷電等等所造成的。再就是由于單位的規(guī)章制度不健全不完善,技術(shù)人員的操作失誤等等也會給計(jì)算機(jī)網(wǎng)絡(luò)安全造成威脅。
三、計(jì)算機(jī)安全的防護(hù)措施
3.1 網(wǎng)絡(luò)病毒的防范措施
計(jì)算機(jī)病毒在平常情況下通過網(wǎng)絡(luò)傳播的速度是驚人的快,對于我國的一些學(xué)校、政府機(jī)關(guān)單位以及企事業(yè)單位所使用的網(wǎng)絡(luò)一般都是內(nèi)部的局域網(wǎng),因此在服務(wù)器的操作系統(tǒng)上安裝上防病毒的軟件是必須的,這樣就可以有效的保證網(wǎng)絡(luò)使用的安全性。另外,對內(nèi)部網(wǎng)絡(luò)如果用發(fā)送郵件來傳遞信息的時(shí)候,還應(yīng)安裝一個(gè)針對郵件服務(wù)器的防病毒的軟件,以此來判斷病毒郵件的病毒地址等。因此在計(jì)算機(jī)網(wǎng)絡(luò)中安裝使用防病毒軟件對于網(wǎng)絡(luò)用戶來說是一個(gè)很普遍的行為。并且計(jì)算機(jī)用戶要定期的為防病毒軟件進(jìn)行升級,為計(jì)算機(jī)所存在的漏洞打補(bǔ)丁,并且要加強(qiáng)檢測行為,以保證自己的信息免受病毒的侵害。
3.2 合理地選擇防病毒軟件
隨著計(jì)算機(jī)的普及以及網(wǎng)絡(luò)的暢通,隨之而來的是電腦病毒。上網(wǎng)的人群中,基本上都被病毒侵害過。對于一般電腦用戶而言,面對電腦病毒的侵害,首先要做的就是為自已的電腦安裝一套正版的殺毒軟件,以防電腦有病毒時(shí)能及時(shí)查殺。現(xiàn)在不少人對防病毒有個(gè)誤區(qū),就是對待電腦病毒的關(guān)鍵是“殺”毒,其實(shí)對待電腦病毒應(yīng)當(dāng)是以“防”毒為主。因此我們的電腦在安裝殺毒軟件時(shí),應(yīng)當(dāng)一并安病毒實(shí)時(shí)監(jiān)控程序,這樣一但在上網(wǎng)過程中有病毒入侵,監(jiān)控程序馬上會發(fā)現(xiàn)病毒,殺毒軟件能及時(shí)處理,以達(dá)到病毒入侵電腦前,就被“殺”死,以達(dá)到防毒效果。同時(shí),要設(shè)置自己安裝的軟件定時(shí)查找電腦系統(tǒng)的漏洞,以達(dá)到及時(shí)補(bǔ)漏,讓自己的電腦達(dá)到最好狀態(tài)。
從上一點(diǎn)的病毒軟件的分析我們得出了選擇病毒軟件需要有以下特點(diǎn):首先是能夠掃描計(jì)算機(jī)里所有下載或者使用的各種文件;其次是能夠全面監(jiān)控病毒的入侵入口和計(jì)算機(jī)漏洞;第三開發(fā)界面人性化,方便用戶的操作和管理;第四能夠自動的餓定期提示更新軟件;最后技術(shù)支持到位,在發(fā)現(xiàn)病毒后會第一時(shí)間隔離或者刪除一保證計(jì)算機(jī)正常運(yùn)行。
3.3 數(shù)據(jù)備份
計(jì)算機(jī)里總會存一些非常重學(xué)的資料,比如工作上的重要文件或自己的私人隱私資料等等。那么在使用電腦時(shí),備份有用資料就顯得非常重要,一旦電腦出現(xiàn)狀況需要重裝或格式化電腦硬盤時(shí),如果你手中沒有備份資料,那么對自己造成的損失是無法估量。所以,無論采取了多么嚴(yán)密的防范措施,也不要忘了隨時(shí)備份你的重要數(shù)據(jù),做到有備無患!
3.4 黑客網(wǎng)站、不輕易碰
上網(wǎng)的人群都知道,上網(wǎng)很容易出現(xiàn)中病毒的情況,是自己有不良好的上網(wǎng)習(xí)慣,比如打開一些不知道的網(wǎng)站,瀏覽一些或官方已經(jīng)公布的黑網(wǎng),這樣很容易使電腦中毒,往往這種情況中毒時(shí)更容易使電腦癱瘓,所以要養(yǎng)成良好的上網(wǎng)習(xí)慣。
3.5 安裝個(gè)人防火墻
現(xiàn)在上網(wǎng)用戶一般較少裝有個(gè)人防火墻,原因是在上網(wǎng)的過程中,很少會出現(xiàn)黑客入侵的情況發(fā)生,也就忽視了給自己的電腦安裝防火墻。其實(shí)安裝防火墻是很必要的,在上網(wǎng)的過程上,可以抵御黑客的襲擊,阻止黑客入侵自己的電腦,從而使自己的隱私的泄漏,給自己造成不必要的麻煩。在理想情況下,一個(gè)好的防火墻應(yīng)該能把各種安全問題在發(fā)生之前解決。
3.6 密碼設(shè)置要復(fù)雜
就像大家使用的網(wǎng)上銀行一樣,使用了一定的時(shí)間,網(wǎng)上銀行頁面都會提示要修改自己的密碼,這也是為了客戶能在使用銀行時(shí)保護(hù)客戶的密碼不會輕易泄漏。網(wǎng)上需要設(shè)置密碼的地方很多,如網(wǎng)上銀行、上網(wǎng)賬戶、E-mail、聊天室以及一些網(wǎng)站的會員等。應(yīng)盡可能使用不同的密碼,以免因一個(gè)密碼泄露導(dǎo)致所有資料外泄,如果實(shí)在記不住,就在隨身攜帶的包里放一個(gè)記密碼的本子,使自己的上網(wǎng)更安全。對于重要的密碼一定要單獨(dú)設(shè)置,并且不要與其他密碼相同。設(shè)置密碼時(shí)要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字符作為密碼,最好采用字符與數(shù)字混合的密碼。不要貪圖方便在撥號連接的時(shí)候選擇“保存密碼”選項(xiàng);如果是使用email客戶端軟件來收發(fā)重要的電子郵箱,如ISP信箱中的電子郵件,在設(shè)置賬戶屬性時(shí)盡量不要使用“記憶密碼”的功能。因?yàn)殡m然密碼在機(jī)器中是以加密方式存儲的,但是這樣的加密往往并不保險(xiǎn),一些初級的黑客即可輕易地破譯你的密碼,利用它可以輕而易舉地得到你保存的密碼。定期地修改上網(wǎng)密碼,至少一個(gè)月更改一次,這樣可以確保即使原密碼泄露,也能將損失減小到最少。
3.7 必要時(shí)才設(shè)置共享文件夾
一般情況下是沒有必要設(shè)置共享文件的,共享的文件越多,越容易使電腦中毒。不要以為在內(nèi)部網(wǎng)上共享的文件是安全的,其實(shí)在共享文件的同時(shí)就會有軟件漏洞呈現(xiàn)在互聯(lián)網(wǎng)的面前,公眾可以自由地訪問你的那些文件,并很有可能被有惡意的人利用和攻擊。因此共享文件應(yīng)該設(shè)置密碼,一旦不需要共享時(shí)立即關(guān)閉。
3.8 清除上網(wǎng)痕跡和沒必要的插件
個(gè)人在上網(wǎng)時(shí),瀏覽過的網(wǎng)頁、看過的網(wǎng)址或電腦、使用過的軟件、玩過的游戲等等,電腦會自己記錄下來以備客戶下次使用時(shí)的方便,但這些會給電腦帶來安全隱患,使別人通過自己使用的電腦上網(wǎng)痕跡,來入侵自己的電腦,所以非常有必要在一定的時(shí)間內(nèi)清除自己的上網(wǎng)痕跡,以確保電腦安全。
上網(wǎng)過程中往往會為了暫時(shí)的功能,會下載安裝一些插件,但安裝使用過之后往往以后不會在用到,這時(shí)應(yīng)該及時(shí)清除,以免使自己的電腦運(yùn)行速度變慢或更容易被不速客利用。
3.9 安全建議
計(jì)算機(jī)用戶在使用計(jì)算機(jī)過程中應(yīng)該注意以下幾方面內(nèi)容以保證計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性:首先要把系統(tǒng)中沒有必要的服務(wù)全部關(guān)閉掉;其次在網(wǎng)絡(luò)中登陸軟件或者后臺時(shí)社子密碼不要過于簡單;再次是不要隨意瀏覽一些非法網(wǎng)站下載一些非法內(nèi)容,養(yǎng)長良好的安全上網(wǎng)的習(xí)慣;最后了解一些病毒知識為系統(tǒng)漏洞打好補(bǔ)丁并且安裝上專業(yè)的防病毒軟件嚴(yán)格監(jiān)控自己的計(jì)算機(jī),防止計(jì)算機(jī)病毒的入侵等。
結(jié)束語
本文描述的計(jì)算機(jī)網(wǎng)絡(luò)安全除了網(wǎng)絡(luò)上的一些病毒或者入侵者會對自己網(wǎng)絡(luò)的安全造成威脅外。還有一些情況可能是認(rèn)為的操作不當(dāng)而引起的,這也會給系統(tǒng)的安全埋下隱患。所以,計(jì)算機(jī)用戶在做到以上提出的觀點(diǎn)外還要做到文明上網(wǎng),盡量改掉一些不良的用機(jī)習(xí)慣,并且正確和安全使用計(jì)算機(jī)。
參考文獻(xiàn):
[1]王倩.網(wǎng)絡(luò)發(fā)展期待安全與法制[J].河南師范大學(xué)學(xué)報(bào)(哲學(xué)社會科學(xué)版),2001,6.
[2]卓翔.網(wǎng)絡(luò)犯罪若干問題研究[D].中國政法大學(xué),2004.
近年來頻繁集中爆發(fā)的互聯(lián)網(wǎng)安全事件不僅應(yīng)驗(yàn)了業(yè)內(nèi)人士此前的憂慮,而且也給年輕的互聯(lián)網(wǎng)金融敲響了警鐘:
2014年春節(jié)前夕,拍拍貸、好貸網(wǎng)、火幣網(wǎng)等多家P2P網(wǎng)貸平臺遭黑客攻擊,平臺頁面無法打開,致使投資人無法登錄平臺投資和提現(xiàn),平臺負(fù)責(zé)人隨后收到黑客幾千元至幾萬元不等的敲詐信息。
近期,多個(gè)P2P平臺陸續(xù)爆出問題,P2P網(wǎng)貸行業(yè)資訊門戶網(wǎng)貸之家、網(wǎng)貸天眼及第一網(wǎng)貸等平臺都遭受到了黑客攻擊。
此外,央行近期對虛擬信用支付和二維碼支付的叫停,也可以理解為,考慮到支付流程中的安全問題,比如虛擬信用支付中的本人確認(rèn)問題、材料真實(shí)性問題以及二維碼支付中的客戶信息安全問題,都已經(jīng)成為監(jiān)管機(jī)構(gòu)履行安全監(jiān)管職責(zé)的監(jiān)管地帶。
嚴(yán)峻的金融信息安全形勢,要求金融業(yè)切實(shí)采取措施,努力提高信息安全保障水平,堅(jiān)決打擊危害金融信息安全的犯罪活動。因此,清醒地看到當(dāng)前我國互聯(lián)網(wǎng)金融安全面臨的形勢,充分認(rèn)識金融安全工作的重要性,未雨綢繆,勇于應(yīng)對挑戰(zhàn),對于我國的金融機(jī)構(gòu)來說尤其迫切。
2 互聯(lián)網(wǎng)金融危機(jī)呈現(xiàn)新特點(diǎn),技術(shù)性風(fēng)險(xiǎn)上升
業(yè)內(nèi)普遍認(rèn)為,互聯(lián)網(wǎng)金融最大的成本不是平臺運(yùn)營成本,也不是客戶的獲取成本,更不是監(jiān)管上的投入成本,而是作為平臺本身的信譽(yù)成本,也就是常說的平臺信任度。一旦缺乏了信任度,客戶擠兌,資金流逝,平臺成為了無源之水,即便符合監(jiān)管標(biāo)準(zhǔn),降低運(yùn)營成本也無濟(jì)于事。
從用戶角度出發(fā),選擇一個(gè)安全、審慎的平臺進(jìn)行理財(cái)、融資、投資是十分有必要的。傳統(tǒng)金融之所以沒能在金融互聯(lián)網(wǎng)化上有更多創(chuàng)新,一方面是監(jiān)管設(shè)限,另一方面也是考慮到平臺的安全性問題,在一個(gè)沒有良好的IT后臺支撐,沒有風(fēng)險(xiǎn)撥備和不良率控制的互聯(lián)網(wǎng)平臺,一旦遭遇平臺的信任風(fēng)險(xiǎn),就將很難再次獲取客戶的信任。客戶的遷移習(xí)慣需要一個(gè)長期培育的過程,這個(gè)過程在遭遇了風(fēng)險(xiǎn)和安全問題后,一般是不可逆的。
我們注意到,對于互聯(lián)網(wǎng)金融,監(jiān)管層的立場基本上是有條件的鼓勵(lì)和支持,即便是在今年的兩會期間,互聯(lián)網(wǎng)金融寫入了政府工作報(bào)告,但是潛臺詞是要風(fēng)險(xiǎn)可控。否則,一旦出現(xiàn)不可控的風(fēng)險(xiǎn)趨勢,監(jiān)管層必然會以保護(hù)投資者利益為由進(jìn)行更嚴(yán)格的準(zhǔn)入監(jiān)管。
從近期發(fā)生的互聯(lián)網(wǎng)金融安全危機(jī)來看,中國的互聯(lián)網(wǎng)金融業(yè)已經(jīng)進(jìn)入了風(fēng)險(xiǎn)的第二階段,因?yàn)榧夹g(shù)力量的不足,在互聯(lián)網(wǎng)非法攻擊面前,平臺的抵御能力和用戶資金、信息的保護(hù)能力正逐步陷入捉襟見肘的窘境。
2014年,互聯(lián)網(wǎng)金融通過概念和收益的引領(lǐng),開創(chuàng)了互聯(lián)網(wǎng)金融元年的新時(shí)期,也成為金融新趨勢的代名詞。在這個(gè)初創(chuàng)階段,互聯(lián)網(wǎng)金融的平臺風(fēng)險(xiǎn)主要是集中在平臺的運(yùn)營風(fēng)險(xiǎn)和模式風(fēng)險(xiǎn),也就是平臺自身的風(fēng)險(xiǎn),比如部分p2p進(jìn)行自融、詐騙、頻繁債權(quán)轉(zhuǎn)讓等,在不規(guī)范、甚至違法的業(yè)務(wù)運(yùn)作中放大了平臺的運(yùn)營風(fēng)險(xiǎn)。
為此,央行、銀監(jiān)會以及相關(guān)部門在上海、深圳等地對互聯(lián)網(wǎng)金融開展了深度的調(diào)研,并成立了一些專業(yè)的互聯(lián)網(wǎng)金融協(xié)會,分享運(yùn)營模式經(jīng)驗(yàn)和風(fēng)險(xiǎn),給當(dāng)時(shí)的不規(guī)范的互聯(lián)網(wǎng)金融打了一劑猛藥。在行業(yè)性風(fēng)險(xiǎn)的處理中,互聯(lián)網(wǎng)金融也逐漸形成了一些安全與風(fēng)控的基本原則,比如P2P行業(yè)的“點(diǎn)對點(diǎn)、數(shù)據(jù)征信、第三方”以及不搞自融,不建立資金池,不非法集資等。
那么近期爆發(fā)的互聯(lián)網(wǎng)金融安全危機(jī),普遍呈現(xiàn)出哪些特點(diǎn)呢?從這一輪安全性風(fēng)險(xiǎn)的溯源來看,大多不是平臺的模式風(fēng)險(xiǎn),而是外部的網(wǎng)絡(luò)安全性問題,也就是平臺在抵抗互聯(lián)網(wǎng)非法攻擊方面的抵御能力和用戶資金、信息的保護(hù)能力。從這個(gè)意義上而言,目前的互聯(lián)網(wǎng)金融是進(jìn)入了風(fēng)險(xiǎn)的第二個(gè)階段。如果說前一個(gè)風(fēng)險(xiǎn)是經(jīng)驗(yàn)上的不足導(dǎo)致的風(fēng)險(xiǎn),這一個(gè)階段的風(fēng)險(xiǎn)就是技術(shù)上的不足導(dǎo)致的風(fēng)險(xiǎn)。
頻繁發(fā)生的安全危機(jī)無疑正在不斷推高互聯(lián)網(wǎng)金融成本。相關(guān)技術(shù)分析和輿論解讀普遍認(rèn)為,傳統(tǒng)金融的成本集中在線下的人力成本、物理店面成本以及復(fù)雜性較高的后臺IT成本;而成長初期的互聯(lián)網(wǎng)金融平臺,在安全性上的配套資源相對不那么充足,主要的成本在于平臺搭建成本和市場營銷成本。
我們注意到,隨著互聯(lián)網(wǎng)金融往縱深發(fā)展以及金融互聯(lián)網(wǎng)化的發(fā)展,互聯(lián)網(wǎng)金融和傳統(tǒng)金融的成本差距正呈現(xiàn)縮小的趨勢。
就互聯(lián)網(wǎng)金融而言,安全性問題在短期內(nèi)將成為一把達(dá)摩利斯之劍,為提高平臺的抗安全攻擊能力,除了在平臺流程和數(shù)據(jù)征信上加強(qiáng)完善外,互聯(lián)網(wǎng)金融平臺將不得不在安全性問題上投入更多的資源,包括設(shè)備配置、網(wǎng)絡(luò)維護(hù)、人員安排以及應(yīng)急處理機(jī)制。特別是對于部分中小P2P網(wǎng)貸平臺,資金實(shí)力本來有限,購買寬帶、使用防火墻,將耗費(fèi)巨額成本,往往難以控制風(fēng)險(xiǎn)。
在互聯(lián)網(wǎng)金融領(lǐng)域,特別是對于非專業(yè)IT公司出身的一般互聯(lián)網(wǎng)金融平臺,在互聯(lián)網(wǎng)安全問題上碰到危機(jī)可能性更大,短期內(nèi)也會加大平臺的運(yùn)營成本,甚至有覆蓋利潤的風(fēng)險(xiǎn)。所以,互聯(lián)網(wǎng)金融并非沒有成本,在很大程度上而言,中小平臺的運(yùn)營成本將會呈現(xiàn)更大的上升趨勢;不僅如此,技術(shù)性安全隱患更是風(fēng)控以外的另一個(gè)核心命題。
3 護(hù)航互聯(lián)網(wǎng)金融安全,規(guī)避技術(shù)風(fēng)險(xiǎn)的任重道遠(yuǎn)
我們認(rèn)為,互聯(lián)網(wǎng)金融并不是僅僅互聯(lián)網(wǎng)與金融簡單嫁接,他是互聯(lián)網(wǎng)利用現(xiàn)代信息技術(shù)對傳統(tǒng)金融業(yè)務(wù)方式重新組合捆綁提供的一種新的服務(wù)模式。金融安全的核心工作是風(fēng)險(xiǎn)管理,基于互聯(lián)網(wǎng)信息傳播的特殊性,互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)管理與控制是一項(xiàng)技術(shù)性和專業(yè)性很強(qiáng)的工作,對從事這項(xiàng)工作的團(tuán)隊(duì)及其人員的要求,有著比傳統(tǒng)金融更高的技能要求標(biāo)準(zhǔn);而從國家金融安全的層面看,互聯(lián)網(wǎng)金融安全或?qū)⒂懈涌b密的頂層制度設(shè)計(jì)。
