前言:中文期刊网精心挑选了公司网站信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
公司网站信息安全范文1
2011年12月21日,中文IT技术社区CSDN网站数据库遭黑客入侵,600万用户的登录名及密码惨遭泄露,用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包,上传至网络供人下载,构成以获取利益为目标的违法行为。至此,泄密事件一发不可收拾,逐步衍化为一起波及多方的社会事件。
中国软件开发联盟CSDN(Chinese Software Develop Net)是中国最大的IT知识服务集团,从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴,全球中文网站排名第27位。可以想象,这样一个企业的用户数据被泄露,后果不堪设想。
CSDN“泄密门”事件之所以有如此广泛的影响,还因为作为一个开发者、程序员汇集的技术社区网站,普遍被认为安全级别很高,被黑客袭击似乎是件很讽刺的事情。
祸不单行的是,之后几天里,人人网、天涯社区、百合网等众多知名网站也相继中招,纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌,一时之间,关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼,各种防盗宝典、安全贴士铺天盖地。
2012年1月10日,北京市公安局称,CSDN两名涉案黑客已经被抓获,并指出此次泄密与实名制无关,对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日,CSDN董事长蒋涛在事件爆发20天后首次直面媒体,正面解释泄密事件。鉴于此前CSDN同大多网络公司一样,没有配备专门的安全系统或安全工程师,CSDN宣布将与阿里云公司的专业安全团队合作,共同打造安全可信的服务平台。
然而,从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
信息泄露,谁之过?
泄密事件发生后,CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上,董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施:重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示:“审计发现,CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”
但问题不仅仅存在于这场悲剧的主角CSDN,许多大型网站都存在安全意识薄弱的问题。据统计,有80%的常用网站和60%的安全类网站也存在漏洞,70%的密码库可以被破解。蒋涛称:“这些数据早都存在,长久以来国内整个信息系统都存在问题,只是在CSDN事件爆发后,才被摊在桌面上。这是我们互联网的现状。”
此次CSDN的泄密事件让很多网站开始反思自己的安全问题。
按照蒋涛的说法,国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够,由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法,与目前先进的IT技术完全脱节,无法抵御形式多样的攻击。
有资料表明,在欧美国家,互联网公司的信息安全投入占整体支出的8%—10%,而中国企业这个投入的比例还不到1%。互联网数据中心IDC(Internet Data Center)对来自多个国家近3000家公司的调查也显示,国外信息安全投入远大于中国。
另一个同样严重的问题是,目前在我国互联网行业,信息安全和信息技术是分离的。蒋涛也表示:“一般只有像百度、腾讯这样的网络公司才会有安全工程师,其他网站很少有这样的人才配备。”当然,要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此,网站同信息安全公司结合的模式或许会成为许多公司未来的选择。
网站信息安全的建设不是一朝一夕的事,能意识到问题只是第一步,和信息安全公司的磨合也需要时间。与此同时,网站自身还需要采取一些具体的措施,力保用户信息安全。
为防止信息泄露,网站首先要做的是全面掌握自己有哪些信息,清楚信息安全维护的短板何在。比如,许多网络安全专家认为,明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题,结合各部门的具体情况进行相应管理。
同时,网站应建立规范的制度,如签署保密协议、对信息的获取权限、流程等进行严格规定。此外,还需要建立严格的审计机制,对内部人员,尤其是有高权限的IT管理人员的行为进行定期审计,若有问题,及早发现。
除了技术性的防护手段和操作规范以外,网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益,责任意识淡薄,更不排除在看到内部资料,如客户信息的价值后,有些员工会突破职业底线。如此一来,这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患,网站企业需加强内部管理,如利用企业文化规范员工行为,提升员工凝聚力等。
对于某些信息安全问题,装在客户端的杀毒软件无能为力,用户更是束手无策。但实际上,有些安全问题不仅限于服务端,也存在于用户端。
很多用户不重视账户安全,以为账号不值得被利用,殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实,不论网站还是用户,安全意识淡薄都是发生信息泄露的根本原因。
密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出,密码设置并没有引起大部分用户的重视:在我国,100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例,即便在信息遭泄露、网站反复提醒下,也仅有30%密码遭泄露的用户对密码进行了修改。
根据安全专家的建议,网友应该把日常使用的网络服务分类。“邮箱就像保险箱,里面有打开其他服务的全部钥匙”,所以重要服务如邮箱等,设置密码时需要尤为注意,避免一但被黑客恶意进入,暴露更多真实信息。同时,应尽量在不同网站设置不同的登录密码,以防其中之一被攻破,其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后,养成定期更换密码的习惯,且设置的密码安全等级要有一定强度。
除了在密码上花些心思,确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。
相比于一般企业,网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息,如姓名、地址、手机号码,一旦泄漏,后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出,此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外,法律方面,主管部门应尽快出台法规,从权利保护、责任认定、责任追究和法律保障上,对个人信息予以保护,明确个人、网站和监管机构各方所应承担的责任、义务。
同时,有律师表示,不管是黑客入侵还是内部泄露,网站既构成侵权,又构成违约。如果用户因为信息泄露造成损失,有权向网站索赔。
而目前,我国对个人信息安全保护的相关法律条例仍有待完善。更有通过法律的明确规定,才能让企业真正实行其义务,有力保障个人信息。在制定公民信息法律方面, 美、德、法、英四国就为我们做出了很好的表率。
美国是隐私权相关概念和理论的发祥地,其保护隐私权的法案早在1974年就已生效。之后,又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来。随着信息技术的发展,联邦政府及各州还不断出台新法、升级老法,使隐私权保护能紧跟时代步伐。
在德国,隐私权作为一项独立的人格权受到民法典保护。1970年,德国黑森州颁布了德国首部地方性《数据保护法》,从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年也先后出台。1983年,德国立法机构全面修订了《数据保护法》。为适应时代变化,德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。
法国国家信息技术与自由委员会成立于1978年,目的是保证信息技术不妨碍人权、个人隐私和自由。2004年,法国国民议会通过法律,赋予委员会对违规机构进行经济处罚的权利。
英国议会于1984年通过了《数据保护法》,并于1998年对该法进行修订。此后,英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。
做好信息安全,需要网站企业、用户个人、监管部门三方共同促进。一种处在这三种角色之间的新力量,能否肩负起维护信息安全的重任?
在媒体见面会上,蒋涛曾承认,CSDN当时对乌云平台发出的预警没有足够的重视,导致事件不断扩大。乌云网是国内一家披露互联网厂商安全漏洞的网站,其信息来源于注册用户的提交,旨在为厂商和安全研究者之间搭建一个平台:企业可通过该平台获知自己网站的潜在危险,后者可以在此学习、交流和研究。
去年岁末,作为许多网络泄密事件的源头,乌云网先后曝出了CSDN、天涯社区、当当网、京东商城等网站存在安全漏洞。12月29日又披露了1,500万至2500万支付宝用户资料泄露事件和广东出入境政务网站后台存在的严重漏洞。据称,444万网上申请用户的真实信息,如姓名、护照号码、港澳通行证号码等已经遭到泄密。
鉴于以上几起泄密事件为自身带来的巨大压力,12月31日,乌云网宣布暂时关闭网站,理由是“对系统做短暂升级”。同时,网站还公告称:“最近频繁披露的安全事件及带来的影响表明,一方面我们企业的整体安全建设还不够完善,但是同样反馈出乌云平台无论是沟通渠道还是响应机制都存在一些问题。在漏洞公开机制上,乌云考虑是否逐渐向公众披露,以减少实际可能带来的影响。”但分析人士指出,网站选择暂时关闭,更可能是来自政府以及企业的压力。“社会影响太大,已经远远超出漏洞公布的技术层面了。”有专家这样说。
结语
公司网站信息安全范文2
【关键词】电子商务;信息安全;对策
作为一种新的经济模式,电子商务以高效、便捷、方便的优势和全新的网站经营理念、经营手段、经营环境吸引着广大用户,为世界经济赋予了无限的发展空间。随着电子商务应用范围的日益扩大,针对电子商务的各种犯罪活动也日益猖獗。国内外调查显示52.26%的用户最关心的是网上交易的安全可靠性,超过6O%的人由于担心电子商务的安全问题而不愿进行网上购物。加强电子商务实施过程当中的安全管理已经成为促进电子商务高速发展的重要因素。
1.电子商务网站信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面。
1.1 网站信息安全方面
1.1.1 安全协议问题
目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
1.1.2 防病毒问题
互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
1.1.3 服务器的安全问题
装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
1.1.4 计算机电脑病毒
计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。随着互联网的发展,病毒利用互联网,传播速度大大加快,它侵入网络,破坏资源,成为了电子商务中计算机网络的严重安全威胁。随着计算机技术的不断发展,计算机病毒的破坏性也随之增强,电子商务环境也将收到严重威胁。
1.2 电子商务交易方面
1.2.1 身份的不确定问题
由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
1.2.2 交易的抵赖问题
电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
1.2.3 交易的修改问题
交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
1.2.4 窃取信息
在电子商务中主要表现为交易信息的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方使用的文件被第三方非法使用。
2.原因分析
电子商务信息安全已经引起很多网站的重视,但大多数网站往往侧重于加强技术措施,如购买先进的防火墙软件,采用更高级的加密方法等,很多网站认为:员工泄密的安全事故只是偶然现象,很少从人员管理的角度来探讨出现这些事故的根本原因。“重技术、轻管理”是当前很多电子商务网站的通病。由于管理手段不到位,很多先进的安全技术无法发挥应有的效能。之所以出现上述问题,主要有以下原因:首先大多数网站将电子商务网站作为一项纯粹的技术工程来实施,网站内部缺乏系统的安全管理策略,只是被动的使用一些技术措施来进行防御,因此电子商务过程当中一旦出现突发性事件,往往造成很大的经济损失。现实中没有一个网络系统是完美无缺的,不安全因素随时存在。因此,安全管理措施必须渗透到系统的每一个环节和网站组织的一个层面,只有构建一个人与技术相结合的安全管理管理高层对人员管理在信息安全中的地位认识不体系,才能确保整个电子商务系统得安全。网站没有从整体上、有计划地考虑信息安全问题。网站各部门、各下属机构都存在“各自为政的局面,缺少统一规划、设计和管理信息安全强调的是整体上的信息安全性,而不仅是某一个部门或公司的信息安全。而各部门、各公司又确实存在个体差异,对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的战略性必须涵盖各部门和各公司的信息安全保障体系的相关内容。
缺少信息安全管理配套的人力、物力和财力。人才是信息安全保障工作的关键。信息安全保障工作的专业性、技术性很强,没有一批业务能力强,且具有信息网络知识、信息安全技术、法律知识和管理能力的复合型人才和专门人才,就不可能做好信息安全保障工作。应该从信息安全建设和管理对信息安全人才的实际需求出发,加快信息安全人才的培养。网站对员工的信息安全教育不够。员工的信息安全意识薄弱,9O%的安全事故是由于人为疏忽所造成。如有些网站不限制内部人员使用各种高科技信息载体,如U盘、移动硬盘以及笔记本等移动办公设备。
3.电子商务网站信息安全的技术对策
3.1 应用数字签名
数字签名是用来保证信息传输过程当中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
3.2 配置防火墙
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和Internet之间的任何活动,保证内部网络的安全。
3.3 应用加密技术
密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
3.4 访问控制技术
这种技术主要采用防火墙,最初是针对Internet网络不安全因素所采取的一种保护措施。是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。利用防火墙广泛的安全政策控制信息流,可以达到访问控制、授权认证、安全检查、加密、集中管理、报警和监督记录等功能。目前使用较多的是包过滤技术防火墙和采用技术的防火墙。两种防火墙的结合,双重保证了系统的安全性。
3.5 安全认证协议
安全认证协议包括安全电子商务交易协议和安全套接层协议。安全电子交易协议,是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
参考文献
[1]周均.电子商务信息安全的政策法律研究[J].科技文献信息管理,2004(4):57.
[2]杨颖.电子商务安全问题分析[J].中国科技信息,2005(20):53.
公司网站信息安全范文3
[关键词]PHP;网站设计;信息安全;防御措施
1PHP简介
作为一种内嵌式语言,PHP技术在动态网页方面具备更快的执行速度,自诞生至今,PHP技术已经被广发应用于2000多万个网站中,成为全球最普及的互联网开发语言。近年来,随着PHP技术的不断完善,其已经由网络开发语言逐渐发展成为适合企业部署的技术平台,西门子、IBM等知名公司也开始广泛使用PHP技术。最早期的PHP技术主要具备访客留言与访客计数等功能,随着后期的开发利用,PHP技术开始加入MySQL支持,进而提升了动态网页开发的执行力。
2PHP网站设计中存在的信息安全问题
实际PHP编码设计过程中,由于程序员并不具备足够的安全防御意识,导致设计过程中,没有认真检验输入信息的可靠性与安全性,使得计算机内部的操作系统极易被不法分子利用,导致错误指令会被当做正确指令使用,从而造成了用户信息的泄露现象,严重侵犯了用户信息的隐私。2.1SQL注入由广义层面看来,网站程序设计员需要在网站代码编程过程中合理判断用户输入数据的合法性与安全性,从而杜绝网站信息的泄露行为。但如果网站程序员忽视了这一操作,用户就可以利用提交数据库查询代码的方式,并根据数据返回结果获取信息,这便是注入了SQL。这种错误操作很容易导致网站用户信息的泄露,因此,程序员需要在网站设计过程中认真判断分析所输入数据的合法性,从而进一步提升网站信息的安全性。2.2发生or1=1与union语句入侵注入or1=1,可以使不法分子在登录网站时避开密码验证过程,从而可以利用任意的使用名便可以随意进入信息系统,从而达到侵入目的,这也是网站设计中应用最为广泛的语句注入模式,它主要是程序员在编写代码过程中,并未认真检测所输信息是否含有非预期的字符,而是直接将客户的需求传达给计算机的函数系统进行识别。这种注入方法会使密码验证失去原有的保护作用,不法分子可以利用漏洞直接侵入网站系统,从而可以容易的获得所有用户的数据资料。而与or1=1语句注入侵入不同的是,union语句则可以使程序的默认语言出现混乱,计算机在执行union程序后,会利用自身的SQL注入语句,从而侵入内部程序系统。2.3XSS跨站攻击作为最常见的网站攻击模式,XSS的工作原理比较接近SQL的工作原理,不同的是,XSS还要通过专门的脚本才可以注入到HTML标签之中,进而可以在网页输入框架中输入违法恶意的信息内容。当这些恶意信息进入到网站的客户端时,网络浏览器无法做到识别排除,而是会自动运行这些错误信息,从而会影响网页页面的正常显示,进而可以在进一步注入脚本。同时,还可以使用网页输入代码方式,在利用XSS漏洞的基础上控制计算机的操作系统,进而为黑客编写恶意程序提供了方便,破坏了计算机原有系统的安全性与稳定性。黑客攻击网页的主要方式便是在计算机浏览网站利用XSS自动弹出一些窗口,但这些窗口网页会带有黑客设计好的感染病毒,从而借此获取用户信息。
3PHP网站设计的信息防御措施
3.1公开防御措施在保护网站信息安全的过程中,程序员应适当公开安全防御措施,使客户更为清楚的了解具体的防御过程。用户也不可以直接跳过信息安全检测步骤,并要求在进入网站系统之前,要输入相应的用户名与密码,保证网站运行操作的安全性,从而达到保护网站信息的目的。3.2跟踪数据运行为了进一步确保网站设计的安全性,程序员还应做到实时跟踪用户的数据运行过程,通过掌握信息的具体动向来约束用户的使用行为,从而防止发生信息泄露问题。但用户信息的实时追踪是一种难度较大的信息监测方法,当程序员不够熟悉其工作原理时,便会无法理解Web的运作原理,程序开发过程中不可避免的会出现失误,进而产生安全漏洞,为此,程序员还应认真学习数据追踪的工作原理,全面了解实时追踪的操作过程。3.3筛选输入信息为了进一步确保网站信息的安全性,程序员还应对用户所输信息进行必要的筛选,使其可以实现合法化。同时,网站工作人员也应认真确认筛选用户输入信息,以充分避免木马病毒的在未知情况下被误用。3.4防止注入SQL当前,网络系统具有多种注入方式,且它们都存在一个明显的共同点,即缺乏必要的过滤程序,以此实现非法获取用户资料信息的目的。为了充分避免非法语句的注入,程序员需要认真筛选、过滤查询语句。并利用计算机内的正规的函数表达式进行常用语句的匹配,充分提升筛选的准确率。由此可见,只要使用了过滤函数便可以很大程度上避免SQL语句注入的侵入,从而充分保护了网站用户信息的安全性。
4结语
网络信息技术的发展加快了信息产业开发的步伐,直接关系着国家政治、经济、文化、社会等各方面的发展,涉及范围较广,为人们的生活工作带来了诸多便利,但同时也为信息安全带来了很多隐患,同时,信息安全也会影响个人的工作生活,数据信息的泄露不但会影响居民的正常生活,甚至还会影响国家政治经济的安全。
主要参考文献
公司网站信息安全范文4
政府建立健全个人隐私保护法律
加强网络安全管理,保护公民个人隐私,政府管理部门责无旁贷。
北京邮电大学互联网治理与法律研究中心主任李欲晓提出,应将个人信息保护纳入到国家战略资源的保护和规划范畴内。他说,大数据时代个人隐私构成现代商业服务业和网络社会运行管理的基础,因此对任何国家而言,个人信息都是其发展的战略资源。而目前在我国,从网络的系统、设备、硬件、到操作系统、应用软件、智能终端乃至芯片等核心技术仍处于巨大的安全风险之中,这不仅对国家安全产生威胁,而且对接近一般国民数量的广大网民的个人隐私产生严重威胁,需要从国家层面建立个人信息保护的战略和规划。
事实上,自21世纪以来,我国陆续出台了一系列与信息安全相关的法律法规,将信息安全保障提高到了战略高度;然而,在网络信息安全保障方面,还存在不少漏洞,使得网络黑客和非法牟利的商业机构有机可乘。
反观美国和欧洲的经验,其信息安全的法律保障往往与社会诚信体系建设相一致。美国的信用信息服务产业已经发展成为一个层次分明、各领域深入渗透、覆盖面极广的庞大体系。在该体系下,信用信息与社会法制等基础要素建设产生的“协同效应”,在企业信息监管与个人行为监督中发挥着重要功能。健全的网络空间、信息安全的法律法规,不仅成为惩治网络犯罪的有力武器,也成为政府和民众防范网络攻击的重要保障。
对此,赛迪顾问电子信息产业研究中心总经理韩耀强在接受记者采访时表示,进入大数据时代之后,数据安全与隐私问题从现实社会映射到数字空间,这对现行法律体系是一个新课题,因此必须要对数据的所有权、使用权、知情权等一系列问题给出明确的法律界定。否则,数据的滥用将对企业、个人的安全和利益构成重大侵犯,从而阻碍大数据产业的健康快速发展。
企业从技术层面保障用户隐私
保护大数据时代的个人隐私,既要靠法律,又要靠技术。在技术层面,一方面企业要能提供技术保障,防止不法分子侵入系统,盗取个人信息:另一方面企业间要鼓励行业自律,相互监督。
近两年,国家对信息安全越来越重视,将信息安全产业的发展提高到国家战略的高度,并写入了《十二五规划》,可以看出国家大力加强保护信息安全的决心。但是,企业保护信息安全最重要的还是靠对自身需求的觉悟与坚定。
在此,有关行业专家指出,企业可以通过整体性的策略对自身的数据进行泄密防护:其一,如同木桶原理,防泄密的最终效果完全取决于整个防护环节中最薄弱的地方,因而要对包括服务器、计算机终端、笔记本电脑、U盘外设、网络以及文件外发等在内的数据使用整体环境进行全方位的防护,防止让黑客“钻空子”:其二,以数据为核心,从数据存储、传输、使用环节进行全周期防护。当中,在数据存储与使用过程中可以采用密文的形式进行防护,但是在打开数据的使用过程中,数据必然是处于明文状态的,而此时如何防止数据的泄密,也是一个必须考虑的问题;其三,对数据泄密须提供多层次的防护,单纯地加密是不够的,还应该包括密钥管理、身份认证、访问控制、安全审计等一系列的安全防护手段,增强对数据查看者和使用者的资质审核。
同时,各大企业作为公民个人信息的主要载体,更应该加强员工的道德自律,加大对公民隐私的保护力度。早前,坊间流传的“快递单贩卖”着实让人吃了一惊,印有完整个人信息的快递单竟被作为商品进行买卖,一条售价4毛到1元,买卖双方大多通过互联网完成交易,购买者遍布全国,形成了一条巨大的灰色产业链。据调查发现,网店店主是购买快递单信息的主力军,即通过制造虚假交易量来提高网店的信誉度。而除此之外,快递单信息还会被用于“电话营销”等用途,并为冒领快件、入室盗窃、抢劫杀人等刑事犯罪活动打开了方便之门。
令人惊讶的是,这些被销售的快递单信息都来自于正规的快递公司。究其源头,加盟制是祸首。在当前法律与资金的限制下,大部分的快递企业实行加盟模式。该模式管理松散、监管不到位,且公司对网点负责人、快递员等基层员工的培训和管理也不够规范,使得这些分公司和加盟网点成为了发生信息泄露的“重灾区”。笔者在多家快递公司的网点看到,工作人员对客户个人信息的管理不够严格,甚至有的网点只有一两名员工留守,贴好面单的包裹快件随意摆放,收发件人的地址、联系方式、姓名等私人信息都能轻松看到。而媒体在暗访中发现,几乎所有的快递员起初都表示,所有快递单都要按照公司规定交回总部处理,但当记者将每张快递单的价格从2毛提高到6毛时,部分快递员同意将手上的快递单信息以电子版的形式卖给记者,几名快递员甚至还特意留下了记者的联系方式,表示可以“长期合作”。可见,在这些个人信息保护全凭职业操守的岗位,企业应强化相关的管理制度,加强对员工的宣讲,并严格处罚措施,一旦发现有泄露信息的行为就严惩不贷。真正的保护者是用户自己
中国互联网协会政策与资源委员会专家成员于国富认为,目前相关部门监管互联网个人信息安全的一般过程为用户举报,政府迅速介入,调查取证,出台法律进一步规范。而在这个过程中,他认为,用户起到最关键的作用, “大数据时代,用户看到的是个人信息的脆弱性,厂商也存在脆弱性,一旦出现问题,可能就出现用户‘用脚投票’的后果,一夜之间,出问题的厂商就会失去用户市场。这也倒逼着互联网行业自律。”
中国人民大学教授、信息安全学科学术带头人石文昌则以自己的亲身经历介绍说,保护个人数据安全事关互联网厂商和用户双方,涉及到个人重要数据传输,比如登陆个人网银,如果个人对这个软件没有把握,就需要慎用。选择标准主要是看软件的口碑以及信用度等, “用户不是专家,除了慎重选择,没有别的办法。”
那么,用户如何来保护个人的信息安全呢,互联网安全专家给出了一些秘诀:
首先,个人应设置三套密码,聊天、邮箱、支付分别使用。 “不同网站、邮箱确实需要设置不同的密码,这样可避免一家网站被黑导致注册邮箱和密码泄露。”360安全专家安扬建议说,网友在设置密码时应对密码分级管理,重要账号(如常用邮箱、网上支付、聊天账号等)必须单独设置密码。“如果能养成定期修改密码的习惯,可有效避免网站数据库泄露影响到自身账号,另外工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。”
而怎样的密码设置安全性比较高呢?“密码复杂程度尽量是数字加字母再加符号。”杭州某知名网站运维主管COCL说, “字母+数字+特殊符号”的密码强度比较高,生日、电话号码、简单的数字组合、字母组合密码强度很低,为了信息安全最好避免使用此类密码。
其次,养成定期清理电脑的习惯。上网时你是否曾发现类似情况:在很多不同网站都能看到自己曾搜索过的关键词的广告。你是否意识到,此时你的兴趣爱好、工作特点等个人隐私信息已经被暴露。有网友建议可以通过使用含有“禁止跟踪”功能的浏览器保护自己的隐私。
对此,安扬说: “浏览器禁止跟踪功能可以禁止广告公司等第三方网站的cookie,能够在一定程度上降低被广告平台跟踪上网行为、推送精准广告的风险。但由于cookie也具有方便用户登录网络账户等积极作用(在一定有效期内,无需重复输入账号密码进行登录操作),而且在线广告也是互联网服务商的主要盈利模式之一,因此目前人们常用的浏览器大多没有禁止跟踪功能。”他表示,一刀切式的“禁止跟踪”可能造成上网时需要反复登录账号、无法记住游戏进度等不便。相比之下,他更推荐网友使用电脑清理功能,设置自动清理电脑中的跟踪cookie、购物网站cookie和广告植入等信息,保留对用户更有价值的cookie,这样既能保护隐私,也不影响日常使用。
在大数据时代,人人都被抛掷到信息的海洋里。我们在享受“大数据”带给我们的各种便利同时,也在不知不觉中为此付出了代价。大数据呼唤数据安全,虽然这个过程显得十分艰难,甚而至于有些残酷,但却是势在必行,刻不容缓。
记者手记
大数据时代需要自主的信息安全
近年来,接二连三发生的信息泄密事件为我们敲响了警钟,如何保障个人信息数据的安全成为了摆在我们面前,迫切需要解决的问题之一。
大数据时代,我们需要信息安全,而且是自主的信息安全。这里的“自主”包含了两层含义,即能够主动地防御信息泄露的危险也能够拥有信息安全的自主控制权。
当前,政府部门正在进一步健全相关的法律机制,从多渠道保护公民的个人隐私。其中,保障数据安全的技术日新月异,政府对数据采集企业的监管步伐不可能快过技术的发展,因此就要求相关部门能够密切留意行业发展,一旦某公司的数据软件出现问题就马上介入,依法对其进行调查、处罚。公民个人也要提高安全意识,涉及个人重要情况的数据传输一定要慎之又慎。
公司网站信息安全范文5
国内公众受垃圾信件、垃圾短信的困扰早已是家常便饭,但对于互联网信息安全的威胁的感知大多来自于国外泄密事件,而当下发生的被称为迄今为止“中国互联网史上最大信息泄露事件”,则拉响了互联网公司信息安全的红色警报,让公众真切地感受到威胁就在身边。而这种威胁要远超各种促销短信的骚扰,轻则是个人隐私的泄露,中则使个人和家庭财产安全造成重创,重则对国家安全造成危害。事实上,不仅是银行、购物、社交和游戏等商业网站存在安全隐患,某些政府网站同样也不安全。最新的例子是,去年12月29日,网友爆料广东出入境政务服务网400万用户信息泄露,包括真实姓名、护照号码等资料。对此,广东省公安厅在微博予以证实,称网站存在技术漏洞,目前已经修补完毕。
那么,如何保障互联网信息安全呢?从个人层面来讲,公众首先要提高自我防范意识,加大对个人信息的安全保护,警惕病毒、木马的侵袭,同时还要防范那些伪装得几能乱真的钓鱼网站。举例来说,在众多媒体报道中,几乎都提到了一个现象:很多个人用户的密码设置过于简单,安全系数太低,大多数人为方便易记常用自己和家人的生日或电话号码设置密码,甚至习惯于在多个常用网站使用同一个用户名和密码。如此设置形同不设防,别说是黑客就是一般的别有用心之徒也可能轻易让你中招。
然而,个人提高自我防范意识,加大对个人信息的安全保护仅仅是一个环节,互联网站的用户信息保障方面必须做出重大改进。针对近期发生的一些网站用户信息泄露事件,12月28日,工信部通告称,信息泄露严重侵害了互联网用户的合法权益,危害互联网安全,工信部对窃取和泄露用户信息的行为表示强烈谴责。同时要求各互联网站开展全面的安全自查。而有专家指出,从CSDN外泄的密码来看,有很多密码都达到十几位的长度,而且是字母、符号和数字的组合,说明很多用户已经在力所能及的范围内做得很好,某些网站安全保障工作犹有重大漏洞。
当然,所谓道高一尺魔高一丈,防护和侵袭永远是个博弈的过程,单从技术上保障安全是不可能的,因为即使再先进的技术,也可能存在漏洞。因此,还必须在法律上形成对网络犯罪的强力震慑。有专家即指出,要加紧制定相关法律,如信息安全法,从法律上对如何加强防范等问题进行一定的规范。而对现行法律必须做到有法必依、执法必严,如2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,对网络犯罪就能起到一些震慑作用。(来源:天津网
编选:)
“要网购、先比购”:专业网购导航网站诞生
5月23日,网盛生意宝(002095,SZ)宣布,推出了基于“专业导航+购物搜索”模式的专业网购导航网站——“比购宝(Boogle.cn)”(测试版),倡导“要网购、先比购”的新型网购理念,并致力于打造“网络购物第一站”。
公司网站信息安全范文6
1.引言
互联网的不断发展,电子商务环境日益成为当前重要的一种商务活动环境。作为电子商务的主要形式,网络购物越来越受到消费者的青睐,C2C、B2C、O2O等形式的网购模式不断兴起。
据CNNIC于2014年的《第33次中国互联网络发展状况统计报告》显示,截至2013年底,我国网络购物用户规模达3.02亿人 [1]。此外,根据艾瑞咨询的中国网络购物市场数据,2013年网络购物交易规模达到1.85万亿元,同比增长42.0%[2]。但在此背景下,网购过程中客户个人信息遭泄露和不法侵害的案件数量也随之增加,据《2013年中国网民信息安全状况研究报告》[3],网购发生安全问题的网民数达 2010.6万人,其中遇到欺诈信息居于首位,占75.0%,个人信息遭泄露占42.9%,账号密码被盗占23.8%。网购时发生这些安全事件,不仅给消费者造成损失,也影响了网络购物行业的健康发展。
而对于网购安全防范措施,虽然92.1%的人会选择密码保护或修改密码,但仅有86.5%的人会仔细验证卖家信誉,85.4%的人不去不知名的网站上购买货物,83.1%的人申请账号验证,可见部分受安全困扰的网民防范措施做得不太到位。因此,对电子商务环境中网购个人信息安全现状进行研究,探讨减少消费者网购安全问题的主要措施,具有重要的意义。
2.网络购物中威胁个人信息的渠道分析
2.1 用户登录及注册过程
在进行网购之前,所有的用户都需要先进行相关个人信息的注册,方可登录进行网购活动,在这个过程当中,商家能够轻易获取每个用户的个人信息。因此,对于消费者来说,向网站提供自己的个人信息具有一定的隐患。通常对于这些个人数据的深度挖掘和二次加工的初衷是为了了解消费者的特征和需求,以便提供更主动的推介服务。但网站无法完全保证消费者这些个人信息的安全,更无法预估这些信息流入不法分子手中所产生的危害,甚至可能造成消费者身份被盗用。
2.2 网页浏览过程
用户在每次访问图像或网面相关的内容时,会相应在网络服务器日志上面留下相关记录。在这个过程中还会产生Cookie文件,它会自动标识某个用户经常可能会使用到的账号及浏览器组合。运用 Cookie 软件对用户相关操作进行一系列跟踪,商家就可以获取用户经常购买的商品、浏览的相关网页、消费金额与次数等,属于Cookie跟踪。此外,在浏览过程中,访问的网站可能嵌入了第三方网站的跟踪代码,当用户打开这个网站时,这段嵌入的代码会向第三方网站发送信息跟踪用户的上网行为,属于跨站跟踪[5]。 Cookie跟踪和跨站跟踪都增加了网购过程中个人信息风险。
2.3 填写订单过程
消费者在确认自己购物车的总额和商品后,需要填写相关的订货单,如送货信息、联系方式等。通过这些填写的信息,送货者以及商家能清楚地了解消费者的某些个人资料,因而会导致个人信息出现泄露的可能。除此之外,订单中所包含的商品信息,也可间接折射出消费者的购物倾向与消费能力等。
2.4 网络支付过程
网络支付当中存在的安全威胁大致包括交易劫持木马、钓鱼网站以及盗号木马三大类。其中,钓鱼网站通过仿冒真实网站的URL地址以及页面内容,骗取用户银行或信用卡账号、密码等私人资料较为猖獗,已经成为互联网安全的主要危害之一。据《2013-2014中国互联网安全研究报告》 [4],2013年钓鱼网站持续快速增长,每天新增钓鱼网站突破6400个,平均每天有接近600万网民访问不同类型的钓鱼网站,严重危害消费者网络购物的个人信息安全。
3.网购过程中个人信息受侵的主要形式
3.1 个人信息的非法收集
网购过程中,信息的非法收集主要包括:第一,运用Cookie软件和嵌入第三方网站的跟踪代码对消费者网络操作进行跟踪;第二,利用网络黑客对他人系统进行非法侵入,运用非授权登录模式,对他人的系统进行恶意攻击,以获取到个人隐私并可篡改个人信息;第三,运用免费奖品或电子邮件的服务形式,对消费者的个人信息进行非法搜集,在为消费者提供免费服务与商品的时候,一般也会要求网购者提供相关个人信息,这些信息就很容易地被商家获取了。
3.2 对消费者个人信息的非法开发及利用
对消费者的个人信息进行一定的分析,是商家开展经营、服务与生产的基础。他们会将消费者的个人信息建立起综合数据库,透过分析这些数据,可以得到消费者一些不为人知的信息,从中获取对自身经营有利的信息。前文已提到,消费者在网购当中提供的各类个人信息,商家就会根据自自己搜集到的信息,对消费者所需信息进行分析,进而得到消费者其它商品所需,然后就会对其进行相关邮件的发送。别的商家也会同样发送这类邮件,则是由购买商品商家同这些商家之间存在一定的合作关系所决定的[6]。
网购环境当中,当前对信息进行二次开发规范还是一件比较棘手的事情,如果商家的行为会为消费者带来相服务,那么这种二次开发是受到消费者所青睐的。与此相反,如果二次开发是直接用来牟取利益,进而致使消费者个人信息得到泄漏增添生活干扰之时,那么这类二次开发理应受到相关临管。因此,明白分析出消费者个人所需,但不进行随意传播是商家的理应承担的职责所在。
4.电子商务环境下提高网购个人信息安全的主要措施
一般来说,电子商务中个人信息的保护应当从参与者与监管者的身份特征中加以规范和明确。政府和立法部门是保护交易打击违法行为的裁判员,需要不断通过出台行政法规、呼吁加强立法、加强行业自律、规范业务流程等形式保障网购过程的个人信息安全。本文从消费者、电商网站、政府和立法部门三方提出电子商务环境下提高网购个人信息安全的主要措施。
4.1 消费者提高安全防范意识
消费者个人首先要加强自身信息保护的意识,养成良好的网络安全购物习惯。主要可以通过以下几个方面:
运用网络技术。一般而言,消费者可以通过一些技术手段来强化对于个人信息的保护及控制水平。比如有效利用浏览和匿名注册手段,对于 Cookie 的禁用与删除,在进行个人信息传输时运用加密技术,在个人计算机上安装防火墙等。这些措施虽不能达到 100%的保护,但在一定程度上能够有效防止个人信息的泄露。
选择安全的上网方式。通过安全的网络环境上网,设置足够的安全等级,访问正确的官方网站,不安装来历不明的软件和插件,及时清理电脑中的木马和病毒。同时,加强密码保护,建议消费者每两个月改一次密码,采取字母、数字和符号组合的形式,减小被破解的难度并提高密码安全性。
利用手机进行二次确权。手机作为一个便携式移动终端,可以通过无线网络开展各种数据业务往来。在网络购物的支付环节,通过手机进行二次确权,用下发二维码或者短信等形式就能够确认网络购物参与者的真实身份,有效保证账户安全。
提高防范意识。减少非必要的网上注册行为,定期对一些历史记录及缓存进行清除,聊天中不要暴露更多的个人隐私,网购完成后注意对存有个人信息的包裹单、发货单等单据进行销毁或妥善保管,可以防止个人信息的泄露和觊觎。
4.2 电子商务网站建立安全管理体系
电商网站对保护用户注册信息和个人隐私信息的安全负有不可推卸的责任,但现实情况是大多数网站对注册用户的相关信息没有承担起有效保护的责任。另外,电子商务企业应通过加强自律,对敏感岗位监控管理,提高保护信息安全的技术手段等方法切实保护消费者的信息安全。
对企业中涉及客户信息的敏感岗位进行监控和管理,防止利益驱动下操作人员的监守自盗行为,杜绝客户信息从网商内部被盗取、倒卖甚至直接损害客户利益的行为。
加强技术手段保护信息安全水平。个人信息的保护与反保护本质上是技术层面的交锋,犯罪分子之所以能通过跟踪Cookies、种植木马和病毒、入侵网站数据库等手段获取客户信息,无疑暴露出了网站对于这部分环节的监控不足。网站应及时更新技术防范水平,堵塞程序漏洞和泄露渠道。
对客户信息使用方向的明确告知。大多数网商在用户注册时都会签订所谓“服务协议”等名目的格式化合同,该协议以客户勾选“我同意”作为同意网商使用包括个人信息在内的多种行为的授权。客户个人面对此类格式合同几乎无任何谈判能力,绝大多数任由网站使用其个人信息。网站应加强自律,在客户注册之后如需调取使用客户信息,应第二次明确告知,获取客户二次授权时方可使用。表面上增加了程序、限制了网商权限,但是个人信息保护意识渐强的今天,这也不失为获得客户好感、提高客户忠诚度的明智之举。
4.3 政府和立法部门应及时介入
由于电子商务在我国兴起较晚,针对此体系相关的立法还存在较大空缺,而网购平台特殊的性质,又增加了处理问题的难度。在这样的情况之下,建立健全相关网购立法就显得刻不容缓。比如《网络商品交易及有关服务行为管理暂行办法(征求意见稿)》就将消费者的个人隐私纳为其保护的范围[7],从而有效防止商家将个人信息用于商业活动,起到进一步保护信息安全的作用。总的来说,建全网购立法可以有效促进网络购物良性发展,更好地对消费者个人的信息资料进行保护,但我国在这方面的发展仍有一段很长的路要走。
5.总结
随着网络步伐的不断加快、经济水平的不断提高,我国网络公司以及网民素质的双重增长,相关的服务形式也在不断提升与完善过程当中,可以说,我国电子商务的市场潜力是非常巨大的。与此同时,我国电子交易认证体系、网络诚信、现代物流与在线支付也在不断的完善与建立当中,这些因素都为我国电子商务的发展提供了基础性的保障。
因此,对于拥有如此巨大份额的电子商务平台来说,在消费者、电子商务网站、政府及立法部门的共同努力下,网络购物过程当中的个人信息安全问题也必将可以得到妥善解决,电子商务也会更加健康地继续发展。
