前言:中文期刊网精心挑选了互联网信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
互联网信息安全范文1
科学技术的进步推动了移动互联网技术的发展,移动互联网被广泛应用于生产和生活中的同时,也面临着一些发展问题,在信息传输和应用方面存在较大的安全问隐患,必须针对移动互联网应用中的问题制定有效的对策,加强信息的安全管理。本文结合移动互联网应用过程中暴露的安全问题,提出了移动互联网信息安全管理策略。
【关键词】
移动互联网;信息安全;策略探讨
中国移动互联网发展于2005年,目前以WAP为主要的信息传输方式。在国内移动互联网产品不断完善的过程中,用户的上网速度和上网体验发生了重大的改变,多种通信产品成为移动互联网应用的主流。移动互联网用户将信息交换作为重要业务,因此信息交换的安全性成为人们的关注的热点。针对目前移动互联网产品应用中的安全问题,必须制定有效的防护措施,保证信息安全。近几年我国电力行业保持着较快的发展速度,作为国民经济的基础产业,电力产业也取得了很大的成绩,发电机容量和发电量居世界第二位。随着我国国民经济的快速发展和人民生活水平的不断提高,对电力的依赖程度也越来越高。电力需求与国民经济密切相关,电力弹性系数反映了用电增长速度与国民经济增长速度的相对关系。
1移动互联网与电力建设背景分析
随着电网基础和分布式发电技术的改革,现代化输电和配电将体现出智能化特点,最大限度地节约能源,新能源技术也将重新定义人类新生活,其中移动互联网作为重要的纽带将电网技术和多种智能终端设备联系起来,为了人们的生活提供了便利。中国是全球最具活力的新兴市场,随着移动互联网的发展,智能设备成为人们生活的伴侣,近年来电力开发行业将移动互联网应用到电力建设中,很大程度上促进了电网建设的加速,电工产业不断优化升级。另外,在移动互联网兴起的过程中,电力开发生产技术不断发展,电力企业的营销模式也将发生巨大的转变。目前4G网络引领移动互联网发展,移动APP为电力生产带来了便利,以电力建设中的焊接工作为例,微信、QQ、拍照、微摄影、WPSOffice办公平台、备忘录等智能APP功能在焊接工作中的作用日益重要,有利于办公平台的优化,移动互联网成为计划、任务、进度管理、会议通知、质量管理等的重要工具。为了拍出高清图片,焊接人员更新智能拍照软件,记录焊接的影像资料,通过微信、QQ群在线交流,在施工过程中,充分应用WPSOffice办公平台软件,在施工现场查阅焊接规程、技能考核等文件,将智能终端作为迷你办公室,很大程度上提高了管理水平。移动互联网的发展带动信息消费的增长,信息消费的发展空间更加广阔,以电子商务和移动互联网信息的消费迅速增长,电力开发企业借助这一发展优势,将其作为发展就会促进产业进步。
2移动互联网主要信息安全问题
2.1移动APP在电力应用中的问题
随着智能电网建设进度的加快,很多智能型移动APP被应用于电力建设中,其中有管理方面的软件,也有用户端的缴费软件,层出不穷的第三方软件为人们的生活提供了便利,同时也暴露出一定的安全问题。例如移动APP恶意读取用户位置信息、泄露企业管理计划、云端数据丢失等,移动APP的安全问题也成为人们关注的热点,电力规划和建设过程中必须保障数据安全,维护用户利益。
2.2运营模式引起的安全问题
移动互联网产品应用过程中,将多种信息交换业务作为核心,成为互联网中重要的运营模式,传统运营商将网络作为核心,运营商和移动互联网有着本质的区别[1]。当今社会有很多丰富的个性化服务进入移动互联网中,例如手机广告、视频、APP等。同时移动互联网可以为用户提供多种增值服务,体现出鲜明的产品特色,多种业务内容也成为移动互联网业务发展的重点,因此不同个性化服务的供应商成为移动互联网快速发展的直接动力,但是在发展过程中也暴露出一些问题,例如供应商为了获取更高的经济效益,将一些骚扰广告和不健康内容添加到WAP网站上,用户误点击后将会收取一定的费用,在违背社会道德的同时,逐渐演变为严重的产业问题和社会问题。
2.3由IP引起的安全问题
与传统的多级和多层通信网络不同,移动互联网应用扁平化网络技术,将IP化作为网络核心,但是IP网络本身具有较大的安全漏洞,自身也存在着较大的安全威胁。在网络信息技术不断发展和普及的过程中,安全问题也受到广泛关注,多种网络攻击逐渐成为公众网络的主要危害,作为承载网络的核心部分也必将受到较大的影响。在核心网架构上,移动互联网的管理信息、用户信息和控制信息将会同步传输,终端用户可以随时访问核心网,将会把核心网暴露在用户端。在这种网络环境下,运营商的核心网络和业务网络中不断出现严重的安全问题,例如2009年5月19日晚9点左右,华南地区出现大面积网络故障,不仅网络连接出现问题,而且用户的信息安全也受到严重的威胁,专家分析后确认该问题由DNS的零日溢出引起的,对DNS进行大量的查询请求导致DNS服务器出现DDOS攻击,运营商的DNS出现问题。互联网应用过程中DNS服务器出现较多DDOS攻击,形式也逐渐多样化,例如利用缓冲区溢出、应用较大流量堵塞带宽、伪造的DNS服务器发送大量的查询请求等。网络技术应用的同时,移动互联网向全IP化发展,原来只在互联网上出现的安全问题现已逐渐转移到移动互联网上。
2.4智能终端引起的安全问题
目前移动互联网在网络接入方面表现出鲜明的多样化特征,不仅仅应用一种网络接入方式,用户可以按照需求采取多种接入方法,随时都可以进行移动互联网访问。针对手机用户而言,上网的粘性和上网时长不断增加,因此手机网络也表现出常态化特征,用户在使用手机的过程中实现了碎片化沟通,信息类应用逐渐向娱乐和商务方向发展。与传统网络用户不同的是,移动互联网应用多种形式的终端设备,传统用户终端一般包括通信网的所中附属设备,而移动互联网全部应用智能终端。在移动互联网能不断完善和成熟的过程中,移动智能终端也逐渐表现出多样化的特点,智能终端也因此成为安全问题频发的部分,安全风险不断加大,移动智能终端在推动移动数据业务进步的同时,很多用户都将面临着信息安全问题。另外,移动智能终端表现出多样化和开放化特点的同时,信息交换的安全风险加大,在移动互联网发展的过程中,移动企业一直处于市场发展的主导地位,企业的发展重点依旧是移动智能终端的研究和探索,因此一定给你智能终端的安全性很容易被企业忽视,与移动智能终端相关的安全问题也会逐渐暴露[2]。例如,收集APP会恶意设置吸费部分或者不健康内容的连接,手机上网规模不断增大的同时,手机使用过程中的安全问题也将逐渐明显。移动互联网的开发软件层出不穷,收集第三方软件的研究人员也不断增多,在商业发展需求不断提高的同时,应用软件逐渐增多,但是目前在第三方软件的控制管理方面还存在缺陷,无法保障信息安全。例如有些手机软件恶意读取用户位置信息和短信内容,给用户信息安全带来了较大的威胁[3]。
3移动互联网信息安全策略
3.1完善信息安全法规建设
结合国内目前的情况来看,在互联网信息安全管理方面,立方层次较低,不同的层次见还存在一定的协调问题,目前已有的移动互联网法律还有待完善,将现有的法律应用于移动互联网建设中将会缺乏一定的科学性和权威性。目前,移动互联网接入过程中面临着较大的问题,移动互联网行业还没有施行手机实名制的法律,因此在移动互联网应用的过程中缺乏针对性的法律,无法对网民的行为构成有力的约束,也不能保护人们的信息安全。法律是移动互联网进行有效管控的保障。在完善法律法规的过程中,需要结合实际已发系诶套用户和移动互联网运营企业之间的关系,避免两者出现较大的业务矛盾。为了建立科学有效的移动互联网法律体系,必须结合国内的发展现状,勇于借鉴国外的方法,将信息安全和移动互联网安全独立开,针对独立额部分建立针对性的法律法规。结合国内移动互联网发展的实际情况,移动互联网安全管理过程中的立法工作需要从以下三个方面着手:①完善手机实名制制度,加大隐私保护力度;②建立信息安全法,不断完善与当今移动互联网信息安全相关的法规;③不断加强对互联网管理和移动互联网管理的监督。
3.2加快移动互联网信息安全机构建设
严格的立法是政府对移动互联进行监督管理的重要依据,结合国家移动互联网的发展形势,必须经信息安全管理和移动互联网安全管理分开。针对国内网络监督管理机构建设,需要通信网络的优势对移动互联网发展目标进行统一规划,为信息安全的管理和监督提供有利的依据[4]。针对国家级信息安全管理机构而言,必须在互联网信息安全管理的过程中切实负起责任,彻底改变信息安全制度制定过程中的问题。国家在建立统一的安全管理机构时,以法制建设为依托,设置专家咨询委员会,专家咨询委员会作为参谋机构的同时,对安全信息管理提供合理的建议。
3.3完善移动终端管理方案
移动终端管理过程中,重点需要加大对安全技术的研究力度,将注意力集中到移动互联网手机安全技术方面。同时协调不同管理机构之间的关系,构建科学严谨的管理链条,完善安全管理部门的监督政策,公安部门加大查处力度,完善与司法环节相关的法规。用户应用手机的过程中,必须具有较高的安全意识,政府加强对用户的安全教育,同时对第三方软件商家进行有力的监督。企业单位不断加强内部保密机制,对文件进行严格管理。
4结束语
移动互联网不断发展的过程中,用户将重点放在智能产品的功能上,信息安全一直存在较大的安全隐患,为了保证移动互联网健康稳定发展,必须针对具体问题制定有效的对策。本文从移动互联网中暴露的安全问题出发,提出了信息安全保障的策略,可以为移动互联网信息安全建设提供就借鉴。
作者:徐晨 倪舜 单位:嘉兴市恒光电力建设有限责任公司华创分公司 国网浙江省电力公司嘉兴供电公司
参考文献
[1]罗军舟,吴文甲,杨明,等.移动互联网:终端、网络与服务[J].计算机学报,2011,34(11):202.
[2]陈遥,夏亮亮,谭辉,等.移动互联网环境下终端与服务器安全交互的研究[J].南京信息工程大学学报,2015,7(5):142.
互联网信息安全范文2
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。
1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
互联网信息安全范文3
关键词:移动互联网;信息安全
前言
随着物联网的发展,有线网络在支持网络连接方面已经远远落后于实际的需求。物联网要求万物互联,移动的设备与网络连接的最好方式就是无线网络。近年来,人民银行积极推动移动金融的发展,移动金融首先必须有移动网络的支持。但由于移动网络出现较晚,在技术上没有完整完善的信息安全规划,各单位在无线网络的使用方面面一直持谨慎态度,部分机构内部禁止私自使用无线网络。为了明确移动互联网存在的安全问题并探索解决方案,本文通过调研、座谈、测试等多种方式,探讨移动互联网的信息安全问题,力求为安全使用移动网络探索一条有效途径。
1基本概念
移动互联网是移动通信技术与互联网技术融合而生,其主要特征是用户在移动的过程中通过移动设备随时随地访问互联网。以移动通信作为接入网络是狭义的移动互联网,以各种无线网络作为接入网是广义的移动互联网。中国工业和信息化部电信研究院在2011年的《移动互联网白皮书》中给出:“移动互联网是以移动网络作为接入网络的互联网及服务,包括3个要素:移动终端、移动网络和应用服务。
2主要问题
与固定互联网相比,移动互联网的特征可以总结为3个方面,即移动性、私密性和融合性。移动互联网与传统互联网的不同给信息安全带来了新的问题,主要体现在如下几方面。一是如何对接入网络的地点、设备、人员进行认证;二是如何保证网络数据不被窃听;三是如何保证发生信息安全问题后的追查;四是病毒、木马等恶意代码的防范。
2.1认证问题
一是身份认证方式简单,普遍使用静态口令,安全性不够。二是数字证书的形式不够灵活,复杂的操作、较高的计算负荷不能满足移动终端快速响应的要求。三是跨域信任的问题,身份认证中广泛应用的PKI体系在移动终端应用时会产生跨域信任的问题。四是客户端应用实现存在安全风险,部分手机SIM卡采用的加密技术存在安全漏洞,网络犯罪分子可以利用这一漏洞,控制人们的手机。
2.2数据通信问题
无线电波传输的开放性和无线信号获取的便利性,使得不法分子对移动网络中的信息窃取是比较容易的。服务提供商提供了发送与接收双向服务,为合法的用户发送需求的数据,接收合法的用户的访问请求及数据提交。若缺乏相应的保密机制与技术措施,非法用户通过窃听等手段能够轻易的得到合法用户的访问权限,获取用户与服务提供商之间的交互信息,可利用这些信息伪装成合法用户获取资源,或伪装成服务提供商向用户提供恶意信息。
2.3审计问题
传统的网络安全防护措施有防火墙、入侵检测、防DDOS攻击设备等,但这些监管技术手段难以在移动互联网上应用,针对移动互联网的监控和保护措施非常缺乏。移动互联网具有跨地区、跨网段、跨平台的特点,在为人们随时随地提供便捷上网服务的同时,也存在着众多的安全弊端以及审计漏洞。
2.4病毒防范
病毒软件是危害移动互联网安全的首要问题,虽然相关机构早已开始对病毒软件开展整治工作,但病毒软件在我国依旧十分猖獗。在现阶段相关部门的调查中,我国现阶段移动互联网上大约活动着超过600种,并且增加的速度越来越明显。当前,手机病毒已经泛滥成灾,维护移动互联网安全,任重而道远。
3主要措施
移动互联网主要有两种接入方式:移动通信方式接入和企业级WLAN接入。移动通信方式主要是通过手机卡、无线上网卡等终端接入移动通信网络,如3G、4G网络,实现与互联网的连接,对信息安全的管理主要有运营商和手机厂商实现,普通用户从技术上无法干预。企业级WLAN由企业自行构建,安全体系可自行控制。因此,我们讨论移动互联网信息安全的措施与手段,主要从企业级WLAN构建的角度出发。
3.1技术架构
企业级WLAN构建方案如图1所示,主要包括无线的接入与无线的管控两方面。3.1.1无线的接入无线接入AP分为两种,在楼层的公共区域(如走廊过道顶部)安装放装型AP,均匀分布,保证信号覆盖。个别信号覆盖不到的地方,补充安装面板型AP,实现无线信号的全覆盖。3.1.2无线的管控无线的管控主要由无线接入控制交换机完成,在该设备上,通过配置接入终端的MAC地址,实现设备的准入,为配置物理信息的设备无法访问无线网络。上网管理行为系统能够将无线接入与有线接入一样,对用户的上网进行监测,对网络的流量进行控制。防火墙、防DDOS攻击设备都是通用的安全设备,当无线接入汇入有线设备后,其攻击行为能够受到安全设备的有效防范。
3.2注意事项
安全风险管理重在超前防范,在使用移动互联网时,提前学习相关风险防范措施,紧绷信息安全这根弦,是防止信息安全事件发生,保护个人隐私数据不受侵犯的有效手段。一是安全使用WiFi。(1)不要随意使用来源不明的无线网络,免费又不需密码的公共WiFi,安全风险最大;(2)在使用手机支付或者转账时,尽量使用移动网络,因为手机移动4G网络比无线WiFi安全系数高。二是注重终端安全防范。手机作为移动终端,应关闭移动共享,防止文件泄露;应安装防病毒软件,防范病毒入侵;应关闭WiFi自动连接功能,防止误入钓鱼网站,导致账户信息泄密与资金风险。三是安全使用浏览器。浏览器是互联网的入口,是用户最常使用的软件,漏洞的存在使其成为很多攻击者追寻的目标,导致一系列的安全问题。因此,在笔记本电脑或智能手机使用无线网络,应经常对浏览器进行升级,并安装一些安全控件进行加固。四是安全设置路由器。家里使用的路由器管理后台的用户名、密码,不要使用默认的用户名密码,密码最好更改为数字+字母+字符的高强度密码,同时设置的WiFi密码选择WPA2加密认证方式,防止非法用户篡改设备配置。五是防止非法外联。在办公区域使用移动互联网,应高度谨慎,防止非法外联。当移动设备接入内部网络前,可通过关闭或者禁用无线网卡来杜绝非法外联事件发生。
3.3管理措施
3.3.1建立接入审批制度建立移动互联网申请审批流程,由申请人提交申请书,由本部门负责人、保密部门负责人和科技部门负责人审批后,登记移动终端设备MAC地址,并签署保密协议,方可接入移动互联网。用户手机终端设备的变更,同样需要报备审批,便于所有上网用户的信息及时更新。3.3.2加强日常行为监测通过部署上网行为管理系统,对用户日常上网行为,设定相关策略,阻止非法操作,防止信息安全事件发生。上网行为管理具备专业的行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等功能,能够做到全网全终端统一上网行为管理,有效防止员工进行与工作无关的网络行为。提高带宽资源利用率,规避泄密和法规风险、保障内网数据安全,实现可视化管理以及全面管控无线AP。3.3.3强化操作日志审计用户访问日志的保存是相当重要的,信息安全管理规定通常要求日志保存在三个月以上。无线管控需要部署日志服务器,增加日志审计功能模块,包含Web访问审计、文件传输审计、邮件审计、用户行为审计等内容。一方面,网络管理员可以通过查询系统日志记录,随时了解本单位网络系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以高效地对用户群体进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统可以帮助网管人员对故障进行快速定位,并为责任追查和数据恢复提供客观依据。3.3.4加大安全宣传力度人是决定移动互联网安全问题的关键性因素,只有拥有遵守法律法规和操作规范的使用人群,才能保证移动互联网不再出现安全问题。因此,应加大信息安全宣传力度,通过宣传板、公示栏、单位广播等方式向人们宣传移动互联网安全问题,在讲述移动互联网安全问题对人们的危害时,也要讲明相关安全问题在人们生活中的体现,提高人们对移动互联网安全问题的认识,降低相关安全问题对人们的影响。
参考文献:
[1]赵玉雪.移动互联网中的认证机制研究[D].南京邮电大学,2011.
[2]李佳.移动互联网的信息安全研究[D].首都经济贸易大学,2014.
[3]罗军舟等.移动互联网:终端、网络与服务[J].计算机学报,2011.
[4]李志永.移动互联网数据传输安全机制研究与审计[D].南京航空航天大学,2010.
[5]杜元胜.移动互联网安全问题与应对策略探讨[J].电子技术与软件工程,2014.
互联网信息安全范文4
据金山毒霸全球病毒疫情监测系统的数据,2006年,金山毒霸共截获新增病毒样本总计240156种,主要类型所占的比例如下图所示:
回顾刚刚过去的2006年,安全形势具有如下特点:(见表1)
1.2006年电脑病毒的感染率呈爆炸式增长:
由于制作工具的泛滥,病毒变种增多。随着计算机技术的普及,病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低,很多具备一定计算机的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加,以典型的“灰鸽子”木马为例,高峰时期几乎每天增加10余个不同变种,迄今为止共出现了五、六万余种种变种。而且这类木马往往通过自我升级功能频繁的进行更新以对抗被杀病毒软件。
病毒制作产业化的趋势在病毒的传播范围上也有所反映,2006年病毒制作者不再追求大面积的传播,而是特定的有针对性的小面积爆发。同时,制作者通过采用新技术,如不断为其病毒加壳来躲避反病毒软件的查杀。(见表2)
2.偷:网游,网银盗号现象愈演愈烈:
综合2006年的信息安全形势,“经济利益”毫无疑问已经成为病毒制造者最大的驱动力,病毒制造者已经不再是以炫耀自己的技术为目的,也不再是单打独斗,而是结成了团伙,有的人负责盗取银行或网游帐号,有的人负责销赃,从而形成了其专有的分工合作模式。在国际互联网上,向专门发送垃圾电子邮件的出售一个“垃圾邮件包”即可获利――无怪乎各类盗号病毒层出不穷。
这类病毒的传播不再是漫无目的的,而是具有鲜明的指向性。例如通过游戏网站、网游外挂网站传播木马病毒、盗取用户的相关信息。
在06年截获的各类病毒中,专门盗取网银/网游等网络财产和QQ号的木马占了51%,这类病毒向对去年有明显增长,可见病毒的绝大部份变化都是围绕此中心展开的,它已经成为众多网民面临的第一大威胁。
表3、经济病毒的产业示意图
注释:这条黑色的产业链将盗取的虚拟财产转化为实,又反过为病毒的制作者、传播者和攻击成果的收取者提供更大的资金支持。
3.骗:利用钓鱼网站等形式诈骗用户资产:
网络钓鱼今年也是层出不穷,该类病毒占到金山毒霸截获总数的5.45 %。诈骗者通常利用伪装的电子邮件和欺骗性网址,专门骗取用户财务数据。据分析,网络钓鱼今后将成为困扰个人用户的安全问题一大热点。
4.抢:以劫持等手段敲诈用户:
今年6月,金山截获国内首个“敲诈(Win32.Hack.SnuHay.a)”木马,该病毒会中止用户系统中常见的杀毒软件进程,并试图隐藏用户文档,让用户误以为文件丢失,病毒乘机则以帮用户恢复数据的名义要求用户向指定的银行账户内汇入定额款项,以达到敲诈钱财的目的。该木马已经相继出现了多个变种,这也是国内首次出现这一类病毒。
而“新敲诈者”木马病毒在未经用户许可的情况偷偷将硬盘上文档文件上传,会造成用户的文件资料泄漏,对用户的商业机密造成极大威胁。
5.蠕虫病毒泛滥,企业内网安全面临新的危机:
06年,蠕虫病毒成为企业内网的噩梦。蠕虫“维金”是一种运行在Windows平台下,集成“可执行文件感染”、“网络感染”、“下载网络木马及其它病毒”的复合型病毒,若用户不幸感染该病毒,将会面临系统瘫痪、要信息泄漏等多重威胁。自6月2日被金山毒霸率先截获以来,截至6月8日16时,受攻击个人用户已由3000多迅速上升到13647人,数十家企业用户网络瘫痪。测结果显示,2005年被首次发现的“威金”病毒在2006年下半年开始发威,病毒具备了木马和蠕虫的双重特征,并且能够通过网络传播,众多中小企业局域网被该病毒攻击瘫痪。
6.流氓软件与病毒相互捆绑,利益共享:
06年病毒的传播渠道呈现更加多样化的趋势。在共同的商业利益驱动下,恶意软件和病毒结成联盟,互相捆绑,对用户造成极大困扰,致使99%的互联网用户,都受到流氓软件的侵扰。
恶意软件虽然不具有象病毒一样自动传播和恶意破坏的行为。但它通常通过网页下载、软件捆绑安装等方式悄悄的侵入用户系统。并且具有自动升级、高度隐藏、难以卸载等特点。许多病毒、木马与恶意软件相互捆绑,前者利用后者无孔不入地侵入用户地系统,后者则借助前者极强的传播性在更大地范围内扩散。
2006年,流氓软件越来越多地利用底层驱动保护等技术来对抗防病毒软件地查杀,这也说明两者在进一步互相渗透与融合。2006年,金山毒霸收到的用户关于的投诉情况统计见下图:(表4)
7.海底光缆断裂,引发病毒威胁
2006年末,由于地震引发的海底光缆断裂导致使用国外杀毒软件的用户无法及时升级病毒库,面临重大的安全危机。以金山为代表的国内厂商为用户紧急提供了为期一个月免费的免费服务,协助用户度过此次危机。此次断缆事件更加彰显出国内信息安全厂商在服务本土化方面的优势。
8.魔鬼波肆虐互联网,导致用户系统崩溃
8月14日,金山毒霸反病毒监测中心及时截获了利用系统高危漏洞进行传播的恶性蠕虫病毒――魔鬼波(Worm.IRC.WargBot.a)。作为IRCBot系列病毒的新变种,该病毒主要利用MS06-040漏洞进行主动传播,强势攻击互联网,可造成系统崩溃,网络瘫痪,并通过IRC聊天频道接受黑客的控制。
9.2006年度的亚洲计算机反病毒大会(AVAR)召开。
一年一度的亚洲计算机反病毒大会(AVAR)2006年度的亚洲计算机反病毒大会(AVAR)新西兰奥克兰召开。我国公安部、国家计算机病毒应急处理中心的领导,以及国内杀毒厂商等一行参加了本次大会。本次大会的主题是数字安全,重点讨论如何预防网络犯罪。
10.互联网协会组织制定恶意软件(俗称“流氓软件”)标准
中国互联网协会以行业自律的方式组织30余家互联网从业机构共同研究起草了“恶意软件定义(征求意见稿)”正式对外公布,并向社会公开征求意见。组织成员单位签署并《抵制恶意软件自律公约》,设立反恶意软件举报电话,组织会员单位和各省互联网协会会员单位开展抵制恶意软件的自查自纠行动,并根据恶意软件的标准特征组织成员单位开发查杀工具。协会的这一举措,使反流氓软件有标准可循。
11.大量网游帐号被黑,虚拟财产保护刻不容缓
2006年截获的病毒中,木马占了近四分之三。虚拟世界财产亦有其实际价值,很多病毒制作者将黑手伸向了网络游戏帐号,尤其是时下比较火爆的《魔兽世界》和《征途》等大型网络游戏。由于大多数年轻的玩家缺乏安全意识,往往容易被不法之徒得手,从而将非法获取的游戏帐号专卖牟取不义之财。尤其《征途》帐号被黑的玩家更是超过了10万。
互联网信息安全范文5
军工企业与“互联网+”概念相结合是社会发展的潮流,也是企业发展的必然趋势,而此过程中的信息安全风险控制显得尤为重要。通过分析军工企业在互联网商业活动中的行为,能够判断部分信息风险点,针对风险点能够分析得出控制信息风险的方法:包括使用可信商业平台、匿名方式敏感信息、限制商业平台搜索等方式,通过这些方式能够一定程度上控制军工企业在互联网商业活动中信息安全的风险,保障军工企业的商业信息安全。
关键词:
互联网;息安全;业活动
军工行业要谋求自身发展,不被市场所淘汰,一定会与互联网结合,这本是大势所趋,但军工企业在“互联网+”的浪潮中因其行业特殊性不得不面对比一般企业更大的信息安全风险,如何控制风险、保障信息安全成为一个新的课题。
1理想的“互联网+”商业模式
军工企业因其行业特性与其他行业相比受到更多国家政策的倾斜,具备有许多高精尖设备和相关技术人员,由于生产任务的批次间隔、任务量不足等原因,很多时候,这些设备和人员并没有实现全饱和工作状态,这无形中降低了设备和人员的价值,造成了生产力的浪费。同时,每个行业都不是孤立的,军工企业需要依赖于从不同行业中获得相关的产品或服务。传统方式中,业务人员掌握的信息相对固定,采购渠道比较单一,难以谈判出更优惠的价格以降低成本,也难以通过对比的方式获得更优的产品以提升效率,这种方式不利于军工企业的降本增效工作开展。如果将军工企业与其他企业通过互联网平台紧密连接起来:一方面,军工企业的优势资源展示于互联网平台上,为众多需求企业提供了更多的选择,同时将军工企业置于竞争激烈的互联网市场中,有利于企业发现自身不足、培养和提升企业竞争力;另一方面,军工企业透过互联网能够开拓眼界,获取更多优质资源,接触更多优秀企业,以更低的价格解决问题、获得更高品质的产品,甚至能够促进配套行业的快速发展。“互联网+军工”能够解决目前军工行业中存在的一些痼疾,帮助处于“工业2.0(电气化)”、“工业3.0(信息化)”的企业逐步走向“工业4.0”,使企业受益于发展迅猛的互联网科技。
2“互联网+军工”可能面临的信息安全风险
每一次革新都带有其两面性,互联网在为我们带来众多好处的同时也必然地带来了一些烦恼,“棱镜”事件发生后,大家突然意识到自己在互联网上的一举一动不那么安全,基于用户的日常行为,不但可以窃取用户隐私信息,还能够预测用户行为。对军工企业来说,信息泄露的后果要严重得多,原本信息是以相对封闭的方式集中于企业内部,商业信息上线后,尽管每个独立信息可能不涉及企业的核心,但是当信息汇集起来时,情况将完全不同,军工企业将面临来自至少以下两个方面的信息安全风险。
2.1过度外协带来的信息安全风险
随着技术的发展,产品的加工工艺也在不断革新,由于自身工艺欠缺、设备故障或设备过于陈旧、生产进度无法满足等等因素可能导致企业选择外协厂家生产加工部分构件。为了提升生产效率,采用这种方式无可厚非,但随之而来的信息安全风险不可忽视。外协通用零部件相对而言面临的风险较小,通用零部件的用途广泛,外界很难通过猜测得出其具体用途。专用零部件由于其特殊性,外协时可能使知悉者通过分析而得出其原理或用途,进而造成产品关键信息的泄露。鉴于互联网的开放性,当专用零部件信息上线后,除正常外协厂家外,不能避免其他人员对信息的获取,难以保障相关产品信息的安全。
2.2大数据分析处理带来的信息安全风险
传统商业活动中,企业的采购行为或协外行为一般通过电话、传真、会面等方式实现,商业信息分散于各个相关业务人员手中,每个人能获知的信息甚少,能与他人交换的信息也有限,当军工企业的商业活动逐渐走上互联网时,原本离散的商业信息将随之集中起来,量变引发质变,原本并不敏感的商业信息也变得敏感起来。数据分析与数据挖掘技术的不断发展使得从海量信息中获取可用信息成为可能。商业信息的集中无形中为不法分子提供了更便捷的渠道,从军工企业大量的商业信息中获取到相关的产品信息或产品参数,将对军工企业的信息安全产生极大的威胁。
3军工企业互联网商业活动中信息安全风险控制措施探究
互联网商业活动由于其涉及的范围广,很难控制信息的边际,在不影响商业活动的前提下,控制信息安全风险只能从其他方面入手。
3.1采用可信的平台
经过近几年媒体的曝光后,大众已逐渐意识到:泄露自己信息的不是别人,正是自己经常打交道的互联网商家或互联网工具。这些互联网企业表面上为用户提供了周全的隐私协议,实际上不乏利用用户信息牟取利益的情况。军工企业为了避免信息安全风险,首先要选用可信的平台。对于互联网来说,绝对安全是难以达到的,选用可信的平台能够帮助企业避免因为平台运营者因为自身的利益考虑而被牺牲的风险。互联网平台既是一种渠道,也是企业的合作伙伴,选择可信的合作伙伴,能够帮助企业从很大程度上避免信息被主动泄露的风险。
3.2采用匿名的方式
匿名在网络中是一种很好的保障个人用户隐私的方法,这种方法企业用户同样可借鉴使用。为了加强宣传,互联网上的企业行为通常不会采用匿名方式,军工企业在加强影响力的同时不能忽视信息的安全性,在恰当的时候匿名能够降低信息安全风险。针对敏感任务和大批量任务由互联网平台提供匿名的方式,军工企业可以在任务之初选择匿名方式,合作企业仅能看到任务信息,不能看到任务的企业信息,达成合作意向后,合作双方方能获取对方的具体信息,这样一方面能够利用互联网的优势,另一方面能够避免因为无关人员浏览过多信息而造成的风险。
3.3限制平台搜索功能
互联网信息安全范文6
一、搞好信息安全防护是确保国家安全的重要前提
众所周知,未来信息化战争将在陆、海、空、天、电多维空间展开,网络空间的争夺尤其激烈。如果信息安全防护工作跟不上,在战争中就可能造成信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是赢得未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。据有关报道披露,海湾战争前,美国特工曾在伊拉克从法国购买的打印机的引导程序中预埋了病毒,海湾战争一开始,美国就通过卫星激活病毒,导致后来伊军防空指挥通信系统陷入瘫痪。战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。根据美国加利弗尼亚州银行协会的一份报告,如果该银行的数据库系统遭到网络“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于6月讨论通过的《国家信息安全学说》,首次把信息安全正式作为一种战略问题加以考虑,并从理论上和实践上加强准备。
二、我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。而令人担忧的是,由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防”的状态下,国防信息安全的形势十分严峻。具体体现在以下几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖进口,大量进口的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
三、积极采取措施加强信息安全防护
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
第一,要加强宣传教育,切实增强全民的国防信息安全意识。在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责任,一方面要经常分析新形势下信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
第二,要建立完备的信息安全法律法规。信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
