进一步规范市场办网络安全管理工作,明确网络安全责任,强化网络安全工作,今年上半年,我单位对机关处室、基层各单位办公室工作人员进行了有关网络知识的专业培训,提高了工作人员的网络安全意识,确保了办公网络安全。除此之外,还对加强网络边界管理、细化防火墙安全策略、关闭不必要的应用、服务和端口,对需要开放的远程服务采用白名单方式进行访问控制。利用杀毒软件和安全客户端进行极端及病毒查杀,强化Ip地址与U盘使用管理,开展计算机弱口令自查工作,继续完善网络信息安全技术防护设施,配备必要的安全防御和监测准入制度,从根本上降低安全风险。定期对操作系统进行漏洞扫描和隐患排查,计算机办公主动防护体系得到了完善和加强。
四、加强硬件建设,防患于未然
为进一步加强全局信息网络系统安全管理工作,我局成立了以局长为组长、分管领导为副组长、办公室人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:局长为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。
二、计算机和网络安全情况
(一)网络安全。我局所有计算机均配备了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
(二)日常管理。切实抓好内网、外网和应用软件管理,确保“计算机不上网,上网计算机不”,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;二是加强网络安全管理,对我局计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、资源库管理、软件管理等。定期组织全局工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。
三、计算机信息管理情况
近年来,我局加强了组织领导,强化宣传教育,加强日常监督检查,重点加大对计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、文件单独存放,严禁携带存在内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了我局网络信息安全。
四、硬件、软件使用置规范,设备运行状况良好
为进一步加强我局网络安全,我局对部分需要计算机设备进行了升级,为主要计算机配备了UPS,每台终端机都安装了防病毒软件,硬件的运行环境符合要求;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;今年已更换了已经老化的一对光纤收发器,目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
五、严格管理、规范设备维护
为深入开展网络安全执法检查工作,确保工作得到有效落实,2020年5月18日,交通运输局组织全局党员、干部职工召开“县交通运输局网络安全执法检查工作专题部署会议”,要求全局上下充分认识开展网络安全执法检查工作的必要性和急迫性,成立由主要负责人任组长,班子成员为副组长,各科(股)室及全局党员、干部职工为成员的网络安全整治专项行动领导小组,同时强化交通运输行业领域各涉网运输企业的监督监管,畅通举报发现,进一步细化各部门工作措施,突出重点任务,确保工作实效。
二、成立机关网络安全工作领导小组
县交通运输局网络安全检查工作领导小组,负责推进日常工作事务。
三、高度重视防范
随着企业信息化建设的不断推进,信息在整个企业经营过程中起着至关重要的作用,信息安全是信息化可持续发展的保障,信息是社会发展的重要战略资源。网络信息安全已成为急待解决,影响企业发展极为关键的问题。
一、信息安全至关重要
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
由国家计算机网络应急技术处理协调中心的《2007年网络安全工作报告》称,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。企业在面对外忧的同时,还要承受内患的威胁。企业或许通过构建数据隔离系统能有效防御外部攻击,但对内部的主动泄密却毫无招架之力,有数据显示,目前,泄密事件78.9%的损失都是由内部主动泄密导致。除了防御外部攻击外,内网的管理也至关重要。
二、信息安全的基本目标
除了CIA,信息安全还有一些其他原则,包括可追溯性(Accountability)、抗抵赖性(Non-repudiation)、真实性(Authenticity)、可控性(Controllable)等,这些都是对CIA原则的细化、补充或加强。
三、信息安全漏洞
企业信息化建设,既能使企业获得发展的先机,提高和巩固企业竞争优势,也能给企业带来新的风险。信息安全就是其中的核心问题。信息安全问题控制不当,企业信息化不但无法提高企业活力,还可能给企业带来灾难性的后果,威胁企业的生存。企业信息安全的威胁大致有以下几方面。
四、信息安全控制
3.启用防火墙。制定防火墙方针和规程,指定专人负责、定期升级、应用最新补丁、及时培训,阅读审核日志,使用检测软件,快速响应,要求安全证据。
4.跟踪外部连接。随着电子商务的开展,越来越多的企业使用Internet来交换重要的商业信息,从而引起外部连接数目的激增,包括资金和财务数据。有必要专人负责跟踪外部连接,记录并定期提交详细的连接状态报告。
5.加密/过滤电子邮件。电子邮件加密套件十分容易安装,并且对用户来说近乎透明,能对用户的隐私进行有效地加密保护;更为重要的是你必须使用垃圾邮件过滤软件,阻止各种兜售信息(垃圾邮件)、病毒恐慌、真正的病毒、蠕虫、特洛伊木马等的攻击。
6.贯彻冗余方案。建立冷备份、热备份和冗余备份。冷备份指除一个在用网络外,还有一备份网络。备份网络在日常处理时不开机,一旦发现网络出现故障,立即启动备份网络,代替生产网络进行工作。热备份指备份网络也开机运行,但并不服务。一旦网络失效,备份网络即自动代替生产网络进入服务。冗余备份则是多个网络同时进行服务,一个网络的失效不影响整个系统的运行。
五、结语
国民经济的发展,综合国力的提升,提高企业的市场竞争力,企业信息化是必经之路。实现信息安全是企业信息化成败的关键,它不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育
参考文献:
[1]LindaMcCarthy:《信息安全-企业抵御风险之道》,清华大学出版社,2003。
[2]飘摇:《信息安全成为当前全球企业信息化首要任务》,赛迪网,2008.4。
随着网络时代的到来,越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(CNCERT/CC)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(Phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(Phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(Dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
1.进一步完善法律与政策依据充分发挥应急响应组织的作用
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网Web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
Internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
参考文献:
[1]CNCERT/CC.2005年上半年网络安全工作报告
[2]李卫:计算机网络安全与管理.北京:清华大学出版社,2000
一、操作系统在安全方面的漏洞
1操作系统的体系结构造成操作系统本身是不安全的,这是计算机系统不安全的根本原因。操作系统的程序是可以动态连接的,包括I/Q的驱动程序与服务系统,都可以用打补丁的方式进行动态连接。许多UNIX操作系统的版本升级开发都是采用打补丁的方式进行的。这种方法厂商可以试用,黑客也可以使用,而且这种动态连接也是计算机病毒产生的好环境。一个靠打补丁开发的操作系统是不可能从根本上解决安全问题的。
2.操作系统不安全的另一个因素在于它可以创建程序,甚至支持在网络的节点上进行远程进程的创建和激活,更重要的是被创建的程序可以继承创建程序的权力。这一点与上一点(可在网络上加载程序)结合起来就构成了可以在远端服务器上安装“间谍”软件的条件。若再加上把这种间谍软件以打补丁的方式“打”在一个合法的用户上,尤其“打”在一个特权用户上,间谍软件就可以做到系统进程与作业的监视程序都检测不到它的存在。
3.操作系统通常都提供deamon软件,这种软件实质上是一些系统进程。它们总在等待一些条件的出现,之后程序便继续运行下去。这样的软件都是黑客可以利用的。这里应该说明的是:关键不再与有没有deamom在UNIX以及WINDOWSNT操作系统上具有与操作系统核心层软件同等的权利。
二、计算机网络安全漏洞
Internet/Intranet使用的TCP/IP协议以及FTP、email、RPC、NFS等都包含许多不安全因素,存在许多漏洞。
(一)数据库管理系统安全漏洞
数据库管理系统的安全必须与操作系统的安全进行配套。例如DBMS的安全级别是B2级,那么操作系统的安全级别也应当是B2级。由于数据库的安全管理同样是建立在分级管理的概念之上的,因此DBMS的安全也是脆弱的。
(二)应用系统安全的漏洞
路由器---错误的路由器配置、隐蔽Modem、缺省的路由器配置这些都导致黑客的攻击。防火墙---它的出发点是防止外部黑客的攻击,从根本上说是防外不防内,在美国的调查表明,32%的泄密是内部作案,所有的防火墙都不同程度地被黑客攻击过。而且防火墙只能防一个口,并且不能对IP包进行分析。Web服务器---又是一个非常容易利用的黑客工具。另外还有位置的安全间歇。
(三)缺少安全管理
世界上现有的信息系统绝大多数都缺少管理员,目前绝大多数企业负责网络安全管理的只有几个人,而且缺少信息系统安全管理的规范,缺少定期的安全测试和检查,更缺少安全监控。另外,安全要求与实际操作相脱离,因为安全策略经常会与用户方便性相矛盾,知识安全措施和实际执行之间存在很大的距离。我国许多的信息系统已经使用了很多年,但计算机的系统管理员与用户的注册还有很大一部分仍然处于缺省状态,信息系统受到威胁。信息系统安全的隐患包括内部的安全隐患、黑客(外部和内部的,内部黑客了解熟悉网络结构,更易下手)的攻击、计算机病毒极易拒绝服务攻击(DenialofServiceAttack)。
三、利用internet网络监视器
由于现在广泛使用以太网均采用共享信道的方法,即把发给指定机主信息广播到整个网络上。尽管在普通方式下,某台主机只能收到发给它的信息,然而只要这台主机将网络接口的方式设成“杂乱”模式的话,就可以接受挣个网络上的信息包。利用以太网这个特性,internet网络监视器接受整个网络上的信息包,并将其重组,还原为用户传递的文件和明文。
当文件在用户的网络环境与外部的Intranet之间发生转换是,internet网络监视器对交换的文件进行全文检索,如果在交换的文件中发现了目标字,则提醒网络管理员可能发生了安全事件,并记录下是谁在交换文件,从而提供了网络使用的安全性。
(一)网络安全审计员
Internet网络监视器担当Intranet内部网的网络安全审计员。审计谁在执行什么操作、那些操作总是出现等。如网络发生安全事件,特别是在金融、银行、保险行业的安全事件。Internet网络监视器有利于事后分析,和追查网络的攻击、破坏、等犯罪行为。就好比现在银行中的录像机会摄下用户在银行中的活动情况一样。另外internet网络监视器便于监察网络运行状态和安全状况。
(二)保密检查员
网络监视器有助于用户及时发现问题,对犯罪分子起到相印的威慑作用。它使用简便,只需挂接在用户网络中即可。他本身没有IP地址,所以犯罪分子无法对其进行攻击。因而监视器本身具有较高的安全性。如果将其与防火墙、系统存取控制等网控技术结合使用,彼此取长补短,则可有效组织泄密事件的发生。
[1](美)WilliamStallings著,杨明等译.密码编码学与网络安全[M].电子工业出版社,2001.
OntheSecurityofElectricBuisinessontheInternet
ZHAOMing,SUNRong-rong
(SchoolofSoftware,CentralSouthUniversity,Changsha410002,China)
Abstract:OnthebasisofconnrespondinganalysisofsecurityaccidentsonInternet,writerwouldgivealistoffactorswhichimposegreatinfluenceonsecurityofelectricbusinessdevelopment.What'smore,writerputsforwardapplicationofsecuritytechnologies,associtedwithlaw,pracitceofemergencyreaction,constructionofsecuritymanagement.
Keywords:electricbusiness;securityonInternet;tradeoninternet;affairpatterns;security
随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,如网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等网络安全事件正在大幅攀升,已经成为桎梏电子商务等互联网应用的重要因素。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
1电子商务及交易安全
2)数据完整性:确保网络上的数据在传输过程中没有被篡改。
3)身份验证:对网络上的另一个用户进行验证,证实他就是他所声称的那个人。
5)不可抵赖和不可否认:用户不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。
6)软件资源或网址免受病毒的侵害与黑客的攻击。
为了满足这些需求,提高电子商务的安全性,网络和管理技术人员研究和开发了多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以提供电子商务交易活动不同程度的安全保障。
2影响电子商务发展的主要网络安全事件类型
2.1网络篡改
网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.2网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1)蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2)蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
2.3拒绝服务攻击
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。
一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
2.4特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
2.5网络仿冒(Phishing)
Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
3安全技术在电子商务中的具体应用
电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务信息系统的安全性提出了更高的要求,必须保证外部网络(Internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。
3.1数据通讯的安全性
数据通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:①客户浏览器与电子商务Web服务器端的通讯;②电子商务Web服务器与电子商务数据库服务器的通讯;③银行内部网与业务之间的数据通讯。
3.2应用程序的安全性
即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运动,而不是只有有限的指令子集在特权模式下运动,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些缺点都被使用到攻击系统的行为中。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。
3.3用户的认证管理
电子商务中企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
3.4安全管理
4结论
电子商务的安全问题是电子商务的核心问题,而电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响,所以研究电子商务的安全问题显得尤为重要。而且为了国家的安全,电子商务系统所涉及到的一些关键技术只能靠自主开发,而不能盲目全盘引进。由此可见,如何构造一个安全的电子商务安全体系,永远是个值得研究的课题。
[1]CNCERT/CC.2005年上半年网络安全工作报告[R].2005.
2010年卫生信息化工作情况
1.积极推动医改各项工作
2009年国家颁布新医改方案,2010年北京市制定“北京市2010~2011深化医药卫生体制改革实施方案”。关于卫生信息化工作,在北京的医改文件中提出:“启动医药卫生信息综合服务平台建设前期工作。探索利用网络信息技术,试点发展远程会诊。推进信息化标准建设,逐步统一规范医院信息系统数据接口和信息采集,推进公共卫生、医疗、医保、药品、财务监管等信息系统互联互通工作。提高信息化水平,城乡居民电子健康档案建档率达到20%。”
2.卫生信息化人员机构和队伍建设又见成效
2010年,昌平区卫生局新成立了信息中心,使我市16个区县中,区县卫生局成立信息中心的数量达到12个。目前,只有海淀、丰台、通州、门头沟4个区县卫生局仍然没有成立信息中心。
3.坚持卫生信息化行业管理不松懈
自2003年后,为避免信息化建设各自为政、重复建设、盲目建设、数据多头采集,北京卫生信息化按照“统一规划、统一标准、统一建设、统一管理”的“四统一”原则开展工作。
起草《北京市“十二五”卫生信息化规划》
2010年是十二五规划之年,《北京市“十二五”卫生信息化规划》专项规划是《北京市卫生事业发展改革“十二五”规划》的重要组成部分。市卫生局全面征求区县卫生局、直属事业单位和直属三级医院的意见,多次组织召开专题研讨会征求意见。目前,已经完成了规划的制订,准备近期。
完成《北京地区医院门急诊信息系统基本功能规范和数据采集规范》(试行稿),于9月19日向北京地区50家三级医院及11家远郊区县中心医院下发《关于建立北京地区医疗机构门急诊信息报告制度的通知》(京卫医字〔2010〕212号)以及《关于做好门急诊信息系统接口改造工作的通知》,该规范作为医院门、急诊信息系统改造以及数据采集的规范依据正式试行。
完成了《北京市药品分类与代码规范》,北京市质量技术监督局已经将其列入2011年北京市地方标准修订计划之中。
完成卫生信息化项目前置审核工作
按照《北京市卫生信息化项目建设管理办法》(京卫办字〔2008〕107号),做好卫生信息化项目的前置审核评审等项目管理工作。2010年共收到各单位上报项目76项,涉及资金3亿元。经市卫生局信息化领导小组审核,通过22项。
4.重点应用系统建设取得实效
新社区卫生信息系统推广实施顺利
新社区卫生服务综合管理信息系统是全面覆盖社区卫生服务机构和社区卫生管理机构,以建立居民健康档案为核心,支持基本医疗和公共卫生服务的信息系统,符合社区卫生改革的要求。
在新社区卫生服务综合管理信息系统中,着力建设社区卫生业务和财务等应用系统,实现市、区县和基层三层体系架构。2010年完成了试点项目验收,6月24日启动全市推广。截至到2011年3月6日,在西城、原崇文、原宣武、顺义、朝阳、海淀、石景山等8个区县、52个社区卫生服务中心、178个社区卫生服务站稳定运行,建立电子健康档案526万份,原东城、西城、崇文、宣武四个城区基本完成实施推广任务,顺义、海淀、石景山、昌平区、密云县进展顺利。
借助医联码系统,实现门急诊信息采集
北京市实名就诊卡完善(医联码系统)项目是我市建立门急诊信息报告制度的支撑项目,是我局针对目前管理需求对原北京市实名就诊卡完善项目进行变更后重新启动的项目。该项目在全市三级医院及十一家区级中心医院实施,将为非医保患者建立统一的条码,通过此条码采集门急诊就诊信息。项目实施至今,已在全市推开,医联码发放及信息采集工作业已开始。截至3月15日,已有39家医院完成接口改造,大兴人民医院、妇产医院、同仁医院、房山第一医院等31家医院共计发放医联码28.95万条。朝阳医院、妇产医院、人民医院、北医三院、中日友好医院等17家医院已经上报门急诊信息,共计93.8万条。
5.固化卫生行业信息安全保障成果,提高安全管理水平
开展卫生行业信息安全检查
2010年,为督促我市卫生行业各单位做好信息安全保障工作,细化各项信息网络安全工作措施,进一步提升网络与信息系统支撑医疗服务工作的效率和水平,确保我市卫生行业网络与信息系统安全稳定运行,市公安局和市卫生局对全市大中型医院及市属医疗卫生机构开展了网络和信息系统安全检查。
出台《医疗卫生信息安全等级保护实施指南》
2010年,结合近几年信息安全联合检查中遇到的各类问题,信息中心组织出版了《医疗卫生信息安全等级保护实施指南》。规范了医疗卫生信息安全等级保护工作的基本思路和实施方法,指导我市医疗卫生信息建设中的信息安全保障工作,对搞好医疗卫生信息安全保障具有十分重要的现实意义。
开展信息安全培训
2010年,在卫生局直属单位开展了信息安全员信息安全保障知识培训,共进行了8次授课,共400余人次接受了培训,提高了信息安全员的信息安全保障能力,为各单位的信息安全保障奠定了基础。
2011年卫生信息化重点任务
1.十二五期间信息化建设基本任务
未来五年,卫生信息化建设的主要任务是建立“基于电子病历和居民健康档案的医药卫生信息化工程”,主要内容可以概括为一张网络、两级平台、三个基础数据库。
一张网络,是指全市各级各类医疗卫生机构与行政管理部门互联互通的信息传输网络;两级平台,是指市、区/县两级卫生信息交换平台;三个基础数据库,是指执法相对人数据库、医疗卫生资源数据库和居民健康档案数据库。实现上述目标,依靠的是标准规范和信息安全保障两个体系。
2.推进医院信息化建设
电子病历试点工作
3.推广实施社区卫生信息系统
市卫生局、市编办、市发改委、市财政等八部门联合下发的《关于进一步推进社区卫生改革与管理工作的意见》(京卫基层字〔2010〕25号)要求,“以有利于工作开展、有利于方便居民、有利于加强管理为目标,全面推广应用全市统一的新社区卫生服务综合管理信息系统,并不断完善功能。到2011年底,建立起以健康档案为基础的覆盖全市社区卫生服务和管理机构的信息化管理体系,搭建完成覆盖全市社区卫生服务管理中心、社区卫生服务中心、社区卫生服务站的互联互通的网络。加强市、区两级社区卫生服务综合管理信息平台的建设。”
各区县积极推进社区卫生信息化工作,年底之前,完成16区县推广应用部署工作。目前,推进较好的区县为东城、西城、顺义、海淀、石景山、昌平、密云、大兴等。
4.加强公共卫生和卫生管理信息化建设和综合利用
推动居民电子健康档案建立工作
启动妇幼保健网络信息系统二期
3月启动妇幼保健二期建设,系统将覆盖北京市妇幼保健院、16所区县妇幼保健院(所)、近800家承担妇幼保健服务与管理工作的医疗保健机构、1000余家托幼园所等机构,以妇幼健康档案为核心,实现与医院和社区信息共享的、完整的、动态的、连续的妇女儿童保健信息库。计划9月开发完成,试运行。各区县不需再单独建立妇幼信息系统。
2011年工作要求
1.领导重视,加快落实信息化机构和人才队伍建设
目前,仍有部分区县没有成立信息中心,部分直属机构没有信息管理部门,卫生人才队伍薄弱,严重影响了信息化建设。各单位领导要高度重视,尽快落实机构设置和人员配置问题。
2.加强管理,保障信息系统安全
今年市卫生局将继续以信息系统等级保护工作为依托,继续加强全市卫生行业信息安全管理工作。
继续联合市公安局对行业进行信息安全检查,重点针对电子病历试点单位、重要公共卫生部门进行安全检查。
按照市信息安全协调领导小组工作部署要求,进一步加快推动等级保护。
3.树立大局观念,加快社区卫生信息系统的推广应用
前言
在网络还没有普及的情况下,电脑之间只能通过磁盘、光盘等存储设备进行文件复制,每台电脑之间相对独立,只需防范磁盘光盘中的电脑病毒就能基本保证电脑系统的安全。近年来,随着互联网技术及应用的飞速发展,互联网已成为个人不可或缺的日常应用。但是人们在享受网络带来便捷的同时,个人电脑网络安全问题也日渐突出,非法分子利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,严重损害了网民的利益。由CNCERT/CC(国家计算机网络应急技术处理协调中心)每年的电脑网络安全工作报告显示,每年各种网络安全事件与上一年相比都有显著增加,因此在互联网环境中如何加强个人电脑安全已是迫眉睫问题。
一、计算机网络安全的现状
现阶段,社会的发展离不来计算机网络信息的安全,网络信息的安全涉及到国家的各个领域(包括行政、外交、军事等等),并且信息的传输处理很多是国家政府的内部机密,如调空政策、股票证券、银行的转帐信息、能源数据库以及科研数据等等中校信息。所以这些重要的信息不免会受到世界各地的攻击,以至于造成信息数据的切取、篡改、删除和计算机病毒的入侵等损失。针对计算机网络的犯罪行为,它有着侦察难度大,举证困难的原因,所以这就刺激了很多计算机领域的高科技犯罪(黑客)分子的心理。从而是计算机网络领域的犯罪率邹升。因此世界各地的计算机网络系统将面临严峻的考验。一旦计算机网络被攻击破坏,将严重影响人类使用计算机的安全性。
二、计算机网络不安全因素
2.1计算机网络的脆弱性
我们所使用的计算机网络(互联网)是一个开放的网络,任何使用者都可以很方便直接的在网络上收发信息和文件,正是因为互联网有这种开放性、共享性和国际性的特点,因此计算机网络安全就将面临着严峻的挑战。计算机网络的不安全性主要有:首先网络技术的开放性使得网络计算机网络有可能受到各个方面的攻击,攻击是来自多个方面的。其次计算机网络的国际性就使得一旦计算机网络受到攻击就不一定是本的网络用户所为,有可能是世界上别的国家的黑客所为,因此计算机网络的安全性也面临国际性的挑战。最后就是计算机网络的自由性,因为任何使用计算机网络的用户都可以随意使用网络技术,随意上网信息以及索取信息等等。
2.2操作系统存在的安全问题
所谓操作系统只是一个软件,它作为一个支撑的软件它所提供的是让你程序正常运行的一个环境。既然是软件运行环境,那么它就存在一定的不安全性,可能是由于系统的开发者在开发过程中所留下的破绽或者漏洞,这都会给黑客可乘之机。
2.3数据库存储的内容存在的安全问题
所谓数据库主要是用来存储数据信息和管理利用信息的一个软件,它所存储的数据包括我们网络上浏览的所有信息。作为数据库它所考虑的主要是信息内容的存储、利用以及管理,但针对安全方面数据库软件考虑的就比较少了。所谓数据库的安全就是保证数据库所存储的内容不要收到破坏和非法用户的窃取;保证数据库的内容完整性就是要保证存储单元中没有不符合要求的数据。
2.4防火墙的安全性
防火墙简单来描述就是网络内部和外部连接的一道墙,它一个由软硬件设备组合而成的一个对网络起保护作用的工具。但它它却不能保护你的网络不受外界所有的攻击。因为伴随着计算机技术日新月异的发展,有一些破解的方法能够给防火墙带来一定的隐患。这就是防火墙的一些局限性。
2.5其他方面的因素
计算机的硬件设备以及网络通讯设备很容易受到自然环境的影响,例如水灾、地震、风暴、建筑物的损坏等等。这些也都会对计算机网络造成一定的危害。另外还有一些危害因素是由于软件本身的漏洞,硬件设备功能失常,电源断电等等所造成的。再就是由于单位的规章制度不健全不完善,技术人员的操作失误等等也会给计算机网络安全造成威胁。
三、计算机安全的防护措施
3.1网络病毒的防范措施
计算机病毒在平常情况下通过网络传播的速度是惊人的快,对于我国的一些学校、政府机关单位以及企事业单位所使用的网络一般都是内部的局域网,因此在服务器的操作系统上安装上防病毒的软件是必须的,这样就可以有效的保证网络使用的安全性。另外,对内部网络如果用发送邮件来传递信息的时候,还应安装一个针对邮件服务器的防病毒的软件,以此来判断病毒邮件的病毒地址等。因此在计算机网络中安装使用防病毒软件对于网络用户来说是一个很普遍的行为。并且计算机用户要定期的为防病毒软件进行升级,为计算机所存在的漏洞打补丁,并且要加强检测行为,以保证自己的信息免受病毒的侵害。
3.2合理地选择防病毒软件
随着计算机的普及以及网络的畅通,随之而来的是电脑病毒。上网的人群中,基本上都被病毒侵害过。对于一般电脑用户而言,面对电脑病毒的侵害,首先要做的就是为自已的电脑安装一套正版的杀毒软件,以防电脑有病毒时能及时查杀。现在不少人对防病毒有个误区,就是对待电脑病毒的关键是“杀”毒,其实对待电脑病毒应当是以“防”毒为主。因此我们的电脑在安装杀毒软件时,应当一并安病毒实时监控程序,这样一但在上网过程中有病毒入侵,监控程序马上会发现病毒,杀毒软件能及时处理,以达到病毒入侵电脑前,就被“杀”死,以达到防毒效果。同时,要设置自己安装的软件定时查找电脑系统的漏洞,以达到及时补漏,让自己的电脑达到最好状态。
3.3数据备份
计算机里总会存一些非常重学的资料,比如工作上的重要文件或自己的私人隐私资料等等。那么在使用电脑时,备份有用资料就显得非常重要,一旦电脑出现状况需要重装或格式化电脑硬盘时,如果你手中没有备份资料,那么对自己造成的损失是无法估量。所以,无论采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
3.4黑客网站、不轻易碰
上网的人群都知道,上网很容易出现中病毒的情况,是自己有不良好的上网习惯,比如打开一些不知道的网站,浏览一些或官方已经公布的黑网,这样很容易使电脑中毒,往往这种情况中毒时更容易使电脑瘫痪,所以要养成良好的上网习惯。
3.5安装个人防火墙
现在上网用户一般较少装有个人防火墙,原因是在上网的过程中,很少会出现黑客入侵的情况发生,也就忽视了给自己的电脑安装防火墙。其实安装防火墙是很必要的,在上网的过程上,可以抵御黑客的袭击,阻止黑客入侵自己的电脑,从而使自己的隐私的泄漏,给自己造成不必要的麻烦。在理想情况下,一个好的防火墙应该能把各种安全问题在发生之前解决。
3.6密码设置要复杂
3.7必要时才设置共享文件夹
一般情况下是没有必要设置共享文件的,共享的文件越多,越容易使电脑中毒。不要以为在内部网上共享的文件是安全的,其实在共享文件的同时就会有软件漏洞呈现在互联网的面前,公众可以自由地访问你的那些文件,并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码,一旦不需要共享时立即关闭。
3.8清除上网痕迹和没必要的插件
上网过程中往往会为了暂时的功能,会下载安装一些插件,但安装使用过之后往往以后不会在用到,这时应该及时清除,以免使自己的电脑运行速度变慢或更容易被不速客利用。
3.9安全建议
计算机用户在使用计算机过程中应该注意以下几方面内容以保证计算机网络信息的安全性:首先要把系统中没有必要的服务全部关闭掉;其次在网络中登陆软件或者后台时社子密码不要过于简单;再次是不要随意浏览一些非法网站下载一些非法内容,养长良好的安全上网的习惯;最后了解一些病毒知识为系统漏洞打好补丁并且安装上专业的防病毒软件严格监控自己的计算机,防止计算机病毒的入侵等。
结束语
本文描述的计算机网络安全除了网络上的一些病毒或者入侵者会对自己网络的安全造成威胁外。还有一些情况可能是认为的操作不当而引起的,这也会给系统的安全埋下隐患。所以,计算机用户在做到以上提出的观点外还要做到文明上网,尽量改掉一些不良的用机习惯,并且正确和安全使用计算机。
[1]王倩.网络发展期待安全与法制[J].河南师范大学学报(哲学社会科学版),2001,6.
[2]卓翔.网络犯罪若干问题研究[D].中国政法大学,2004.
近年来频繁集中爆发的互联网安全事件不仅应验了业内人士此前的忧虑,而且也给年轻的互联网金融敲响了警钟:
近期,多个P2P平台陆续爆出问题,P2P网贷行业资讯门户网贷之家、网贷天眼及第一网贷等平台都遭受到了黑客攻击。
此外,央行近期对虚拟信用支付和二维码支付的叫停,也可以理解为,考虑到支付流程中的安全问题,比如虚拟信用支付中的本人确认问题、材料真实性问题以及二维码支付中的客户信息安全问题,都已经成为监管机构履行安全监管职责的监管地带。
严峻的金融信息安全形势,要求金融业切实采取措施,努力提高信息安全保障水平,坚决打击危害金融信息安全的犯罪活动。因此,清醒地看到当前我国互联网金融安全面临的形势,充分认识金融安全工作的重要性,未雨绸缪,勇于应对挑战,对于我国的金融机构来说尤其迫切。
2互联网金融危机呈现新特点,技术性风险上升
业内普遍认为,互联网金融最大的成本不是平台运营成本,也不是客户的获取成本,更不是监管上的投入成本,而是作为平台本身的信誉成本,也就是常说的平台信任度。一旦缺乏了信任度,客户挤兑,资金流逝,平台成为了无源之水,即便符合监管标准,降低运营成本也无济于事。
从用户角度出发,选择一个安全、审慎的平台进行理财、融资、投资是十分有必要的。传统金融之所以没能在金融互联网化上有更多创新,一方面是监管设限,另一方面也是考虑到平台的安全性问题,在一个没有良好的IT后台支撑,没有风险拨备和不良率控制的互联网平台,一旦遭遇平台的信任风险,就将很难再次获取客户的信任。客户的迁移习惯需要一个长期培育的过程,这个过程在遭遇了风险和安全问题后,一般是不可逆的。
我们注意到,对于互联网金融,监管层的立场基本上是有条件的鼓励和支持,即便是在今年的两会期间,互联网金融写入了政府工作报告,但是潜台词是要风险可控。否则,一旦出现不可控的风险趋势,监管层必然会以保护投资者利益为由进行更严格的准入监管。
从近期发生的互联网金融安全危机来看,中国的互联网金融业已经进入了风险的第二阶段,因为技术力量的不足,在互联网非法攻击面前,平台的抵御能力和用户资金、信息的保护能力正逐步陷入捉襟见肘的窘境。
2014年,互联网金融通过概念和收益的引领,开创了互联网金融元年的新时期,也成为金融新趋势的代名词。在这个初创阶段,互联网金融的平台风险主要是集中在平台的运营风险和模式风险,也就是平台自身的风险,比如部分p2p进行自融、诈骗、频繁债权转让等,在不规范、甚至违法的业务运作中放大了平台的运营风险。
那么近期爆发的互联网金融安全危机,普遍呈现出哪些特点呢?从这一轮安全性风险的溯源来看,大多不是平台的模式风险,而是外部的网络安全性问题,也就是平台在抵抗互联网非法攻击方面的抵御能力和用户资金、信息的保护能力。从这个意义上而言,目前的互联网金融是进入了风险的第二个阶段。如果说前一个风险是经验上的不足导致的风险,这一个阶段的风险就是技术上的不足导致的风险。
我们注意到,随着互联网金融往纵深发展以及金融互联网化的发展,互联网金融和传统金融的成本差距正呈现缩小的趋势。
就互联网金融而言,安全性问题在短期内将成为一把达摩利斯之剑,为提高平台的抗安全攻击能力,除了在平台流程和数据征信上加强完善外,互联网金融平台将不得不在安全性问题上投入更多的资源,包括设备配置、网络维护、人员安排以及应急处理机制。特别是对于部分中小P2P网贷平台,资金实力本来有限,购买宽带、使用防火墙,将耗费巨额成本,往往难以控制风险。
在互联网金融领域,特别是对于非专业IT公司出身的一般互联网金融平台,在互联网安全问题上碰到危机可能性更大,短期内也会加大平台的运营成本,甚至有覆盖利润的风险。所以,互联网金融并非没有成本,在很大程度上而言,中小平台的运营成本将会呈现更大的上升趋势;不仅如此,技术性安全隐患更是风控以外的另一个核心命题。
3护航互联网金融安全,规避技术风险的任重道远
我们认为,互联网金融并不是仅仅互联网与金融简单嫁接,他是互联网利用现代信息技术对传统金融业务方式重新组合捆绑提供的一种新的服务模式。金融安全的核心工作是风险管理,基于互联网信息传播的特殊性,互联网金融风险管理与控制是一项技术性和专业性很强的工作,对从事这项工作的团队及其人员的要求,有着比传统金融更高的技能要求标准;而从国家金融安全的层面看,互联网金融安全或将有更加缜密的顶层制度设计。