发布时间:2023-10-09 17:42:40
绪论:一篇引人入胜的互联网信息安全,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
互联网金融的迅猛发展,在给我国经济金融带来活力、给大众带来便利的同时,也存在着大量的风险隐患。同所有金融业务一样,互联网金融存在流动性风险、信用风险、洗钱风险等,在此,本文仅从信息安全的角度分析互联网金融风险。
(一)客户端安全认证风险。客户端通常采用用户名和密码方式进行认证,用户计算机在感染病毒、木马程序或被黑客攻击后,用户的账户、密码、验证码等敏感信息会在未经安全认证的情况下,通过键盘记录或屏幕录制等方式,被发送至黑客指定服务器的后端,严重威胁互联网金融账户和密码安全。
(二)信息通信风险。互联网金融业务通过网络在银行、互联网金融机构、用户之间进行数据传输,数据传输过程要求进行数据加密。网络传输系统被侵入或者加密算法被黑客攻破,将导致用户的资金、账号、密码在网络中以明文传输,造成客户信息泄露,严重影响客户资金及信息安全。
(三)系统漏洞风险。互联网金融业务系统无论采用Java技术还是其他技术进行开发,均可能存在一些系统漏洞和安全隐患。黑客会搜寻并利用系统漏洞进行攻击来获得非法利益,给互联网金融业务带来巨大的信息安全风险。
(四)数据安全风险。互联网金融业务数据要求绝对安全和保密。用户基本信息、支付信息、资金信息、业务处理信息、数据交换信息等丢失、泄露和被篡改,都会给商业银行及互联网金融机构带来不可估量的损失。在互联网的开放式环境中,互联网金融业务系统应确保数据输入和传输的完整性、安全性与可靠性,防止对数据的非法篡改,实现对数据非法操作的监控与制止。
(五)系统应急风险。目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P等机构,不能严格执行应急演练计划。电力中断、地震、洪水等灾害的发生,将导致系统数据丢失,给互联网金融机构造成巨大损失。
(六)内部控制风险。互联网金融内控制度是为了保护金融资产的安全完整,形成的一系列具有控制职能的方法、措施和程序。互联网金融业务内控制度建设或执行不到位,会导致业务操作处理过程中出现安全隐患,如由单个系统管理员重置客户密码或调整客户账户信息等,将造成互联网金融信息安全风险。
(七)外包管理风险。由于专业技术人员不足,许多互联网金融机构通过购买第三方外部服务的方式来获取技术支持。外包服务管理不到位、外包服务公司经营不善或破产,都会给互联网金融机构带来数据泄密的风险,严重影响互联网金融业务安全稳定运行。
(八)操作风险。操作风险来源于机构内部员工或用户的错误操作、恶意操作。互联网金融机构员工对业务不熟悉,可能导致业务操作风险,从而危及互联网金融业务的总体安全。同样,互联网金融业务也可能因为客户缺乏网络安全知识、安全意识淡薄而面临相当高的操作风险。
(九)法律风险。法律风险来源于网上交易过程中违反相关法律、法规和制度,以及未能遵守有关权利义务的规定。电子商务和互联网金融业务在我国正处于加快发展阶段,政府相关法律法规对网上交易权利与义务的规定仍不清晰,互联网金融存在着相当大的法律风险。
三、互联网金融信息安全风险防范
(一)构建互联网金融信息安全保障体系。一是改善互联网金融的运行环境。在硬件配置方面,加大对计算机信息安全设备的投入,增强系统的抗攻击、防病毒能力;在系统运行方面,通过身份识别、分级授权、短信验证等多种登录方式,限制非法用户登录互联网金融网站。二是加强数据安全管理。将互联网金融纳入现代金融体系的发展规划,制订统一的技术标准规范;利用数字证书与加密技术保障互联网金融业务的交易主体的信息安全,防范交易过程中的不法行为。三是开发具有自主知识产权的信息安全技术。大力发展国产加密技术、密钥管理技术及数字签名技术,提高信息系统的安全技术水平和关键设备的安全防御能力,保护互联网金融安全。
(二)健全互联网金融信息风险管理体系。一是加强互联网金融机构的内部控制。互联网金融机构应制定完备的计算机安全管理办法和互联网金融风险防范制度,加强制度学习落实,完善业务操作规程;充实内部科技力量,建立从事防范互联网金融信息风险的专业技术队伍。二是加快社会信用体系建设。以人民银行的企业、个人征信系统为基础,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网金融业务提供者因信息不对称作出不利选择;针对从事互联网金融业务的机构建立信用评价体系,降低互联网金融业务的不确定性,避免客户因不了解互联网金融机构的业务服务质量而作出逆向选择。
1.前言
2008年5月,新一轮电信重组公布,2009年发放三张3G牌照,支持形成三家拥有全国性网络资源、实力与规模相对接近、具有全业务经营能力和较强竞争力的市场竞争主体,电信资源配置进一步优化,竞争架构得到完善,将更利于中国电信市场形成公平和有效的市场竞争环境,中国通信产业政策的调整对IDC市场的发展和竞争格局带来深远影响。一方面,在电信运营商中引进竞争机制,这会促进行业资源整合优化、规模化发展;另一方面,重组比将提高IDC行业门槛,价格制胜的IDC业务模式无法继续。
当前,业务集中、数据集中、海量数据、管理复杂、连续性要求高等已成为数据中心建设的共有特点,随着各行业数据集中管理需求增加以及业务模式的不断变革。传统数据中心在能耗、效率、资源整合、绿色成长、快速响应、信息安全等方面临诸多挑战,通过科技创新进行业务整合,来构建下一代的数据中心已成为当务之急。在下一代数据中心中,将由包括新的芯片设计、虚拟化、网络和SOA等几项关键技术构成。
网络的使用已成为广大用户获取咨询的最佳最便捷的途径之一,而IDC (Internet Data Center)在互联网网络中的地位就如同交通骨干道的枢纽中心、信息中心、交换中心。随着网络应用的发展,IDC互联网数据中心信息安全问题也日益突出。
2.影响IDC互联网数据中心信息安全的的因素
2.1病毒感染
从“蠕虫”病毒产生开始,病毒一直是计算机系统安全最直接的威胁。常见的病毒有“熊猫烧香”、“冲击波”、“Happy99”、“灰鸽子”等。解决此类问题的方式,自有断网操作。立刻拔掉感染“宿主”服务器的网线,能管理服务器的管理员可以安装离线版本的杀毒软件杀毒,不能管理服务器的管理员要通过光盘引导操作系统到系统盘中去删除感染文件 (注意不要误删除正常启动文件)。还有一种方式,就是用一个正常的操作系统硬盘取代已经感染的系统硬盘启动。
2.2TCP/IP协议存在安全漏洞
目前Internet上广泛使用的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患。在发生类似攻击时,最常用的方式是:断网、更换被攻击服务器的IP地址,在被攻击服务器前架设防DDos防火墙(效果有限),在上层路由设备上进行ACL控制屏蔽掉虚假地址的链接、安装入侵检测设备。高性能的网络路由设备和高带宽至关重要,可以进行有效的流量控制,同时追查到攻击来源。优化系统性能,进行有效的安全设置,特别是N-SYN/ICMP的数据包过滤设置。最后就是要安装一个良好性能的DDos防火墙。DDos攻击不可避免,但可以通过以上措施尽量降低DDos攻击带来的损失。
2.3内部用户的攻击行为
管理服务器的管理员通常是比较熟悉网络的,但同时对网络新技术充满好奇勇于尝试。如果没有意识到后果的严重性,有些管理员会轻易去尝试使用最新的软件、应用或者设置,以至于自己去研究各种攻击技术,这些都对数据中心的网络造成一定的影响和破坏。
2.4管理员安全意识不强产生的后果
计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度,很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,或者将个人资料放到服务器上备份,从而造成信息的丢失或篡改。
2.5信息审核管理存在不安全隐患
互联网是一个公开的网络,所有信息一旦上网就不可避免会被人看到。因此对于信息的人、管理信息的人来说信息审核是必不可少的。往往有些网民因为各种原因将虚假的信息、不能公开的信息到网上(论坛、贴吧、交友社区),管理员又疏于管理,甚至不采用关键字过滤或者信息审核,就直接出去,导致非常严重的后果。
3.lDC互联网数据中心网络信息安全的主要防范措施
3.1安装防病毒软件和防火墙
在主机上安装防毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,既能查杀未知病毒,又可以对文件、邮件、内存、网页进行实时监控,发现异常情况及时处理。使用硬件防火墙可在IDC互联网数据中心与外界网络之间建立一道安全屏障,但有了防火墙也不是万能的。操作系统的漏洞、应用软件的缺陷、网页代码的不健全、以及人为信息的输入都是防火墙所不能完全防御的。
3.2定期扫描系统和软件漏洞
及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度,可在IDC互联网数据中心中部署一些自动更新服务器来提供客户端补丁自动。在安装补丁程序前一定要仔细阅读安装说明书,做好数据备份等预防工作,以免导致系统无法启动或破坏等情况。
3.3网络入侵检测与安全审计系统设计
在网络层使用了防火墙技术,经过严格的策略配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用了防火墙还远远不够。而网络入侵监测与安全审计系统是一种实时的网络监测包括系统,能够弥补防火墙等其他系统的不足,进一步完善整个网络安全防御能力。网络中部署网络入侵检测与安全审计系统,可以在网络中建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
3.4加强管理人员的安全制度,强化网络安全意识
在计算机网络中,绝对的安全是不存在的。俗话说:“三分技术,七分管理” ,要不断地加强计算机信息网络的安全规范化管理力度,强化人员管理。制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具的技术,尽可能地把不安全的因素降到最低。
3.5做好重要数据的备份
在做好网络安全管理工作的同时,也应该考虑系统在不可避免的因素下出现的故障。必须定期做好重要设备和重要数据的备份工作,以便在出现故障时能即使进行硬件更换和软件恢复等措施。存储重要数据和运行重要软件的设备应有硬件备份。有必要要做好信息的实时备份或者安装防篡改应用,一旦发现备份数据被人修改,自动启动保护程序。
4.结束语
我国IDC行业发展态势良好,中国网民数、宽带网民数及国家顶级域名数(.CN)均跃居全球第一位,网络基础设施和基础资源得到快速发展,各种网络应用以及各类专业网络信息服务保持快速发展的态势,而且云计算等新技术开始运用,其安全问题也随之越来越严峻,做好IDC互联网数据中心信息安全工作是摆在广大信息安全工作者的重大课题。
参考文献;
(一)国检“互联网+”建设背景
根据总局“互联网+”行动计划,综合利用信息化技术和大数据资源,共享国检大数据资源,破除“信息孤岛”和“僵尸数据”;搭建智慧豫检大数据平台,配合总局“智慧口岸”和“智慧质检”总体规划,推进我局相关工作。利用信息化平台和业务数据资源,进行整理分析,既可获取全方位的国检数据,又可以为政府和企业提供公共服务,提高他们的决策水平,助力产业转型升级。
按照我局党组全省系统信息化工作“一盘棋”的基本要求,坚持切合实际、适度超前的工作思路,一方面推动河南智慧国检平台建设,加快实现检验检疫业务的互联互通;另一方面服务地方政府口岸和特殊开放区域信息化项目建设,实现统一规划、统一验收式的信息化同标同步。支持河南省国际贸易单一窗口和河南自由贸易试验区的信息化建设,主动适应外贸形势变化和检验检疫业务模式变化。
(二)国检信息化现状
国检信息化建设主要包括业务系统和网络系统。
业务系统根据业务内容、工作需要及彼此的交叉关联等特点,业务系统可以分为三大类:1.用户申报系统用于强化国检与企业,及相关部门间的数据传输,实施登记备案管理,推行无纸化办公,减少企业申报信息重复录入工作量。2.业务管理系统,这类系统多针对具体业务而开发。3.区域监管系统根据相关业务需要,对特殊监管区域的业务按不同区域、不同环节的情况进行全过程、信息化跟踪监管。
国检网络系统目前使用“分层”的方法,即各分支机构与直属局连接,直属局通过专线与质检总局连接。网内按照功能划分为核心业务区、普通服务器区、互联网服务器区、用户接入区、分支机构接入区、上联接入区等6部分,各区之间通过防火墙等安全设备进行访问控制;通过部署VPN设备实现人员外出期间接入内网办公。
二、国检“互联网+”面临的风险
当前我国网络违法犯罪活动日益猖獗,攻击者的演变从单打独斗到有组织团体,攻击动机更具功利性、经济、政治与意识形态的驱动更加明显。同时新技术新应用带来的安全挑战更加严重。随着公众对办事程序公开、政府工作效率和透明度要求不断提高,国检“互联网+”建设是由传统的窗口模式转变成多种模式、线下模式转变为线上模式、国检网络从传统的封闭模式转为开放模式,信息化建设面临的风险主要为以下几个方面。
(一)应用系统风险
国检业务系统基本使用外包方式进行投标采购,由于公司人员开发水平各异、开发源代码不能一一审核、以及采用系统架构的固有安全风险,导致业务系统出现异常现象。
(二)设备高危漏洞和后门
业务系统的载体在于设备,设备的作为底层的安全犹如一栋大楼的地基,对于国外网络设备的使用需注意安全问题,如多款思科小企业路由器曝出严重安全漏洞、JUNIPER曝高危漏洞、Linux设备TCP连接曝高危漏洞。
(三)病毒风险
计算机病毒具有易传播特性,通过软件下载、电子邮件、文件服务等进入网络内部,删除、修改系统文件,导致程序运行错误或死机。“互联网+应用”为病毒检测与消除带来很大的难度,成为网络安全发展的一大公害。
(四)数据风险(丢失、篡改、泄漏)
数据的价值往往是无法估计,国检的“三单”信息(订单、运单、支付单)含有大量稳私数据,有防止数据丢失、被篡改和被泄漏方面面临着巨大的挑战。
(五)网络对接风险
国检网络是多区域、跨机构的网络结构,需要与地方部门与其他口岸部门对接,客观上会存在一些“不可信”区域,数据在这些区域进行交换同样面临一些风险。同时由于业务系统逐渐增多,管理人员较少也是影响国检“互联网+”安全的一个因素。
三、国检“互联网+”安全策略
国检“互联网+”的建设还处于初级阶段,在信息化建设也积累了一些安全经验,在建设中不断创新,通过实践和经验逐步提高国检信息化安全。同时,在不断学习兄弟局和其它互联网的安全管理的方案,制订了国检“互联网+”的安全策略,主要包括以下四个方面。
(一)安全体系建设
安全涉及到系统的方方面面,任何一点的疏漏都可能是致命的,必须统一进行考虑。利用自有或外部专业安全技术力量对网络信息系统的物理安全、通信安全、边界安全、主机安全、应用安全和备份及日常运维等方面进行全面的风险评估,发现当前存在的安全问题,明确安全需求,确立安全目标,建立安全体系结构。
(二)信息系统建设
严格按照GB22239-2008信息系统安全等级保护基本要求和GBT22080-2008信息技术安全技术信息安全管理体系要求的进行信息化建设。根据信息系统承载业务的重要性,确定信息系统保护等级,并按照相应等级在需求阶段明确系统的安全技术措施要求。
(三)信息系统运维
按照网络信息安全三要素信息的机密性、信息的完整性、信息的可用性要求,将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,及时发现问题,解决问题。通过入侵监测(防御)等方式实现实时安全监控,提供快速响应故障的手段。建立安全日志审计系统和安全取证措施,在系统遭到损害后,具有能够较快恢复正常运行状态的能力。
在计算机设备上采用统一管理的防病毒软件和防病毒网关,在入口处抵挡病毒的入侵和破坏并控制其在网络内部的传播;并通过安全软件对计算机进行认证、终端安全检查。
利用ITIL对服务管理提供一个客观、严谨、可量化的最佳实践的标准和规范,具有对系统资源、用户、安全机制等方面进行规范和量化。
(四)人员管理与培训
