導(dǎo)語：如何才能寫好一篇信息安全保護，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】信息安全； 威脅；防御策略；防火墻

1 計算機信息網(wǎng)絡(luò)安全概述

所謂計算機信息網(wǎng)絡(luò)安全，是指根據(jù)計算機通信網(wǎng)絡(luò)特性，通過相應(yīng)的安全技術(shù)和措施，對計算機通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護，防止遭到破壞或竊取，其實質(zhì)就是要保護計算機通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達4369次。因此，隨著網(wǎng)絡(luò)一體化和互聯(lián)互通，我們必須加強計算機通信網(wǎng)絡(luò)安全防范意思，提高防范手段。

2 計算機信息安全常見的威脅

以上這些因素都可能是計算機信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的，也是無法預(yù)測的；但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此，我們必須重視各種因素對計算機信息安全的影響，確保計算機信息資源萬無一失。

3 計算機信息的安全的防御策略

根據(jù)計算機網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況，我們采取可兩種措施：一是，采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進行風(fēng)險評估，保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運行；二是，采用各種計算機網(wǎng)絡(luò)安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認證技術(shù)、網(wǎng)絡(luò)的實時監(jiān)測。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得到目標(biāo)主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊的安全漏洞掃描，如測試弱口令等，若模擬攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障，一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境更安全，信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制的一個或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來看，防火墻是分離器、限制器和分析器；從物理上來看，各個防火墻的物理實現(xiàn)方式可以多種多樣，但是歸根結(jié)底他們都是一組硬件設(shè)備（路由器、主機）和軟件的組合體；從本質(zhì)上來看，防火墻是一種保護裝置，它用來保護網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽；從技術(shù)上來看，防火墻是一種訪問控制技術(shù)，它在某個機構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對網(wǎng)絡(luò)信息資源的非法訪問。

3.3 計算機網(wǎng)絡(luò)的加密技術(shù)（ipse）

采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可以解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機制可以對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護。IP安全是整個TCP/IP 安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括：訪問控制、無連接完整性、數(shù)據(jù)起源認證、抗重放攻擊、機密性、有限的數(shù)據(jù)流機密性。

3.4 身份認證

身份認證的作用是阻止非法實體的不良訪問。有多種方法可以認證一個實體的合法性，密碼技術(shù)是最常用的，但由于在實際系統(tǒng)中有許多用戶采用很容易被猜測的單詞或短語作為密碼，使得該方法經(jīng)常失效。其他認證方法包括對人體生理特征的識別、智能卡等。隨著模式識別技術(shù)的發(fā)展，身份識別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合，使得對于用戶身份的認證和識別更趨完善。

3.5 入侵檢測技術(shù)

入侵檢測技術(shù)是對入侵行為的檢測，他通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊，外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual private Network，VPN） 是一門網(wǎng)絡(luò)技術(shù)，提供一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式；是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立起一個臨時的、安全的連接，是一條穿過不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面，我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制手段，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1）過濾掉不安全服務(wù)和非法用戶。

2）控制對特殊站點的訪問。

3）提供監(jiān)視Internet安全和預(yù)警的方便端點。

4.3 防火墻的優(yōu)點

1）防火墻能強化安全策略

因為Internet上每天都有上百萬人在那里收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良的人，或違反規(guī)則的人，防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察"，它執(zhí)行站點的安全策略，僅僅容許"認可的"和符合規(guī)則的請求通過。

2）防火墻能有效地記錄Internet上的活動

因為所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進行記錄。

3）防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

4）防火墻是一個安全策略的檢查站

所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

4.4 防火墻的不足

1）防火墻不能防范不經(jīng)由防火墻的攻擊。例如，如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號，一些用戶可以形成與Internet的直接的連接，從而繞過防火墻，造成一個潛在的后門攻擊渠道。

2）防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機上裝反病毒軟件。

3）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機上并被執(zhí)行而發(fā)起攻擊時，就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點有三：一是，非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是，數(shù)據(jù)包的源地址、目的地址以及IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是，無法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時，NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址，并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個數(shù)據(jù)包返回到NAT系統(tǒng)，這一過程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包，他們也不能確定發(fā)送端的真實IP地址，從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計算機。NAT技術(shù)也存在一些缺點，例如，木馬程序可以通過NAT進行外部連接，穿透防火墻。

型防火墻也可以被稱為服務(wù)器，它的安全性要高于包過濾型產(chǎn)品， 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給服務(wù)器，服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)， 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點是速度相對較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品，這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻?？偟膩碚f，具有：高安全性，高效性，可伸縮性和易擴展性。實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)服務(wù)器也集成了包過濾技術(shù)，這兩種技術(shù)的混合顯然比單獨使用具有更大的優(yōu)勢?？偟膩碚f，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價的，防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強安全保護，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進行加密和解密，非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1）雙宿堡壘主機防火墻

一個雙宿主機是一種防火墻，擁有兩個聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如，一個網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上，另一個網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點是IP層的通信是被阻止的，兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來完成。一般情況下，人們采用服務(wù)的方法，因為這種方法為用戶提供了更為方便的訪問手段。

2）屏蔽主機防火墻

這種防火墻強迫所有的外部主機與一個堡壘主機相聯(lián)接，而不讓它們直接與內(nèi)部主機相連。為了實現(xiàn)這個目的，專門設(shè)置了一個過濾路由器，通過它，把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機上。下圖顯示了屏蔽主機防火墻的結(jié)構(gòu)。

3）屏蔽主機防火墻

在這種體系結(jié)構(gòu)中，堡壘主機位于內(nèi)部網(wǎng)絡(luò)，屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng)，它是防火墻的第一道防線。屏蔽路由器需要進行適當(dāng)?shù)呐渲?，使所有的外部?lián)接被路由到堡壘主機上。并不是所有服務(wù)的入站聯(lián)接都會被路由到堡壘主機上，屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接（外部到內(nèi)部的主動聯(lián)接）。

對于出站聯(lián)接（內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動聯(lián)接），可以采用不同的策略。對于一些服務(wù)，如Telnet，可以允許它直接通過屏蔽路由器聯(lián)接到外部網(wǎng)而不通過堡壘主機；其他服務(wù)，如WWW和SMTP等，必須經(jīng)過堡壘主機才能聯(lián)接到Internet，并在堡壘主機上運行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會不斷強化，因此計算機網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網(wǎng)絡(luò)存在的幾種安全隱患，以及一般采取的幾種安全防范策略，主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社，2009.

篇2

銀行借助于網(wǎng)絡(luò)技術(shù)獲得了飛速發(fā)展，借助于網(wǎng)絡(luò)技術(shù)，催生了網(wǎng)絡(luò)銀行。與此同時，銀行網(wǎng)絡(luò)信息安全受到了威脅，用戶信息安全不能得到保障，需要加強對銀行網(wǎng)絡(luò)信息安全保護，探索優(yōu)化途徑。本文對銀行網(wǎng)絡(luò)信息安全的保護措施和優(yōu)化途徑進行研究，旨在提高銀行網(wǎng)絡(luò)信息的安全性。

【關(guān)鍵詞】

銀行；網(wǎng)絡(luò)信息；安全保護；優(yōu)化

引言：

網(wǎng)絡(luò)技術(shù)的發(fā)展中產(chǎn)生了網(wǎng)絡(luò)銀行，網(wǎng)絡(luò)銀行的發(fā)展有賴于網(wǎng)絡(luò)技術(shù)，但是與傳統(tǒng)銀行相比，網(wǎng)絡(luò)銀行有更多的風(fēng)險和隱患?，F(xiàn)階段，銀行網(wǎng)絡(luò)信息安全系統(tǒng)還不夠完善，其信息安全也得不到完善的法律保護，使得銀行網(wǎng)絡(luò)信息安全存在很大隱患，需要加強對銀行網(wǎng)絡(luò)信息安全保護，確保銀行用戶信息安全，促進銀行健康穩(wěn)定發(fā)展。

一、產(chǎn)生網(wǎng)絡(luò)銀行信息安全問題的原因

產(chǎn)生網(wǎng)絡(luò)信息安全的原因主要有：①銀行借助于網(wǎng)絡(luò)技術(shù)業(yè)務(wù)范圍不斷擴大，網(wǎng)絡(luò)銀行優(yōu)勢得到了充分發(fā)揮，但是銀行信息管理系統(tǒng)不完善，使得銀行信息安全出現(xiàn)問題。②網(wǎng)絡(luò)犯罪者攻擊銀行系統(tǒng)，竊取銀行機密信息和資金，并且其攻擊手段借助于網(wǎng)絡(luò)技術(shù)在不斷提高，銀行信息安全技術(shù)出現(xiàn)了很多漏洞和弊端。③很多網(wǎng)絡(luò)銀行用戶信息安全意識不強，并且不重視安全知識，不懂得如何規(guī)避網(wǎng)絡(luò)風(fēng)險，這也是網(wǎng)絡(luò)犯罪案件不斷增多的原因。

二、銀行網(wǎng)絡(luò)信息安全保護措施

2.1要建立健全銀行的信息管理系統(tǒng)

銀行要定期進行隱患排查和入侵檢測，目的在于確保交易網(wǎng)絡(luò)和服務(wù)器的安全。銀行要及時對數(shù)據(jù)進行備份，合理利用加密和訪問控制技術(shù)，與客戶簽訂網(wǎng)銀安全協(xié)議證書，全面檢測系統(tǒng)漏洞。針對網(wǎng)絡(luò)病毒要建立網(wǎng)絡(luò)病毒安全防御體系，并且在銀行信息系統(tǒng)運行過程中，實時進行查殺病毒，以便隨時應(yīng)對。

2.2加強網(wǎng)絡(luò)技術(shù)人員隊伍的建設(shè)

著眼于長遠可持續(xù)發(fā)展，增加網(wǎng)絡(luò)技術(shù)安全工作人員的數(shù)量，提高網(wǎng)絡(luò)運維技術(shù)人員的技術(shù)水平，以提高信息安全意識作為出發(fā)點，對其加強網(wǎng)絡(luò)安全培訓(xùn)和新技術(shù)的學(xué)習(xí)，激發(fā)其的工作熱情。

2.3建立一套完備的應(yīng)急處置系統(tǒng)

銀行應(yīng)該在考慮自身網(wǎng)絡(luò)環(huán)境的前提下，從自身實際出發(fā)，通過縝密的測試工作，形成一套操作性較強的應(yīng)急處理系統(tǒng)，一旦銀行內(nèi)部管理系統(tǒng)遭到外部攻擊，能夠以最快的反應(yīng)速度抵擋外來攻擊，減少攻擊帶來的損失。

2.4建立健全有關(guān)法律法規(guī)

網(wǎng)絡(luò)銀行中存在較多交易憑據(jù)，如：電子賬單、電子憑證、收支明細等資料，但是，目前該交易憑據(jù)的保護，暫時沒有完整的法律保護體系，這是制約網(wǎng)絡(luò)銀行發(fā)展的一個重要因素。此外，我國在銀行網(wǎng)絡(luò)信息安全方面的立法還不夠健全，因此，需要充分加強在保護銀行網(wǎng)絡(luò)信息安全方面的立法力度，確保銀行網(wǎng)絡(luò)信息安全。

三、銀行網(wǎng)絡(luò)安全問題優(yōu)化策略

3.1解決系統(tǒng)漏洞

以光大銀行-網(wǎng)上銀行為例，廣大銀行的手機銀行系統(tǒng)，設(shè)置了超時自動退出功能，如果在15分鐘內(nèi)不對手機銀行進行任何操作，操作系統(tǒng)會自動退出手機銀行客戶端，客戶要進行手機銀行操作需要再次登錄手機銀行。此外，廣大銀行為了確保手機銀行客戶端的安全，還專門設(shè)置了陽光令牌動態(tài)密碼，每分鐘自動刷新一次，使得手機銀行的使用更加安全可靠。

3.2解決手機銀行漏洞

為了確保手機銀行的安全，很多銀行采用的方法是綁定客戶信息與手機號，客戶要想登錄手機銀行就必須使用開戶時使用的銀行預(yù)留手機號，同時還需要輸入正確的登錄密碼，為了出現(xiàn)惡意探秘現(xiàn)象，手機銀行一般會設(shè)置輸錯累積次數(shù)，一般手機銀行錯輸三次密碼就會自動鎖定。

3.3雙密碼措施

很多銀行為了避免惡意攻擊，都設(shè)置了雙密碼功能。對此，建設(shè)銀行的做法是設(shè)置登錄密碼以及交易密碼兩種控制方式，并且對錯輸次數(shù)進行限制，超出錯輸次數(shù)，當(dāng)日就無法正常登錄系統(tǒng)。首次登錄網(wǎng)上銀行，會提示用戶設(shè)置交易密碼，系統(tǒng)會對用戶設(shè)置的交易密碼進行自動檢測，太簡單的密碼會提示重新設(shè)置，確保用戶的賬戶安全。此外，部分銀行在用戶登錄網(wǎng)銀系統(tǒng)時，提供了附加碼和小鍵盤服務(wù)，防止用戶信息泄露。

總結(jié)：

綜上所述，我們應(yīng)該提高銀行網(wǎng)絡(luò)信息安全防范意識，確保網(wǎng)絡(luò)銀行使用過程的安全。對于銀行網(wǎng)絡(luò)信息存在的安全隱患，我們要仔細分析原因，并且采取保護措施，探索優(yōu)化途徑，不斷提高銀行網(wǎng)絡(luò)信息的安全性，確保銀行用戶信息安全。

作者：周奉強 單位：中國人民銀行濟南分行

參考文獻

[1]趙麗君.我國網(wǎng)絡(luò)銀行信息安全問題研究[J].管理學(xué)家,2014(6)

篇3

 

關(guān)鍵詞：二政府　信息安全　保護策略

自從進入了信息時代，信息技術(shù)在政府的公共管理活動中所占的比重達到了前所未有的地步，為了提高政府管理工作的效率，政府紛紛加入到政務(wù)信息化的進程中，希望通過采用最先進的信息設(shè)備和信息技術(shù)來快速實現(xiàn)政府信息的高效處理。然而，在以互聯(lián)網(wǎng)為主要信息交換渠道的電子政務(wù)，政府具有時效要求或保密要求的信息資料也很容易通過正式渠道泄露，不論是有意還是無意的泄露，都會給政府的正常工作帶來極大的危害，甚至?xí)ι鐣順O大的沖擊。合理地運用政府信息安全保護策略，為政府提供全方位的信息資源安全保證，在現(xiàn)代政府的信息管理工作中顯得尤為重要。

1.政府信息安全技木層面的保護

    1.1理立全面的安全防護體系。具體涉及到的信息安全技術(shù)包括通過保用可管理交換機、防火墻等網(wǎng)絡(luò)安全設(shè)備，達到數(shù)據(jù)在內(nèi)部網(wǎng)與外部網(wǎng)之間進出控制，根據(jù)過濾原則判斷數(shù)據(jù)是否通過。建立授權(quán)和身份認證系統(tǒng)，加強賬戶和口令的控制實現(xiàn)授權(quán)訪問控制，用戶身份識別等，用于自動發(fā)現(xiàn)網(wǎng)絡(luò)上的安全漏洞給出分析報告。建立安全檢測預(yù)警系統(tǒng)，用于實時檢測網(wǎng)上的數(shù)據(jù)流，尋找具有網(wǎng)絡(luò)攻擊特性和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)可疑數(shù)據(jù)流時按照系統(tǒng)安全策略規(guī)定的響應(yīng)策略進行響應(yīng)，實時阻斷非法的網(wǎng)絡(luò)連接。

    1.2建立有關(guān)系統(tǒng)安全方面有價值的信息的系統(tǒng)日志審計。在系統(tǒng)運行時，通過網(wǎng)絡(luò)管理員對系統(tǒng)日志進行配置，達到盡可能多地保留有用信息的目的。其中系統(tǒng)文件是自動生成的，內(nèi)容包括操作方式，登記次數(shù)，運行時間，交易內(nèi)容等，對于系統(tǒng)的運行監(jiān)督，維護分析，故障恢復(fù)，對于預(yù)防竊密事件的發(fā)生以及發(fā)生之后的偵破提供依據(jù)。

    1.3建立數(shù)據(jù)應(yīng)急保護系統(tǒng)。為了滿足系統(tǒng)業(yè)務(wù)不間斷的要求，避免由于自然災(zāi)難和事故設(shè)備的損壞造成系統(tǒng)停止服務(wù)而采用系統(tǒng)備份和恢復(fù)技術(shù)。災(zāi)難恢復(fù)包括許多工作，一方面是硬件的恢復(fù)，使計算機系統(tǒng)重新運轉(zhuǎn)起來，另一方面是數(shù)據(jù)恢復(fù)。災(zāi)難備份技術(shù)總是以關(guān)鍵業(yè)務(wù)為保障對象，而不是簡單地對整個系統(tǒng)進行備份，否則，不僅在技術(shù)上實現(xiàn)難度大，在代價上也較高。

    1.4嚴格規(guī)范內(nèi)外網(wǎng)絡(luò)的連接。由于互聯(lián)網(wǎng)是一個開放的系統(tǒng)，不為任何服務(wù)提供安全保障，在政府內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)時，在系統(tǒng)安全檢查合格后才能接入外部網(wǎng)絡(luò)。換句話說，一種安全的信息技術(shù)系統(tǒng)要對用戶的訪問權(quán)限予以限制，同時避免應(yīng)用軟件和數(shù)據(jù)的破壞，更重要的是當(dāng)系統(tǒng)失靈時能夠重新啟動系統(tǒng)并保存重要的數(shù)據(jù)備份。

2政府信息安全的物理保護

    2.1信息安全區(qū)的物理保護。政府要嚴格限制非有關(guān)人員進出具有信息保密要求的物理區(qū)域，一切人員的進出要按照規(guī)定的出入路線。對敏感信息載體加以物理屏蔽。具有高度保密要求的機要室、檔案室應(yīng)盡量與外界隔離，阻斷外來視線，對具有重要政務(wù)信息價值的文件、檔案應(yīng)婉言謝絕參觀，以防止信息外泄。

    2.2安裝反竊聽裝置。竊聽已經(jīng)成為政府獲取信息的重要手段，政府非常有必要安排專人進行清查，例如對會議室的桌椅沙發(fā)以及領(lǐng)導(dǎo)的辦公室檢查是否被人安排了竊聽裝置，經(jīng)?；瘜I(yè)化的反竊聽檢查可有效減少信息機要信息的外泄。

    2.3對內(nèi)部資料的保護。對有時效性或全局性的關(guān)鍵內(nèi)部出版物的發(fā)放進行嚴格限制，僅僅限于發(fā)放給職員，嚴厲禁止政府內(nèi)部資料的外傳。在公開出版物出版之前，需要出版界新聞界上交具有個人信息特征的復(fù)印件給信息安全部門，在出版物出版之前回顧所有文章的細節(jié)問題。

  對文件的復(fù)印實行專人負責(zé)制，同時規(guī)定哪類資料是不能復(fù)印的。建立相應(yīng)的復(fù)印制度，使之有規(guī)可依。一些政府為了進行節(jié)約，對紙張進行重復(fù)利用，節(jié)約的同時一些包含政府重要信息的內(nèi)容就被泄露出來。所以對一些包含重要信息的資料的紙張是不能進行二次使用的。

    2.4垃圾廢品處理。在對垃圾廢品的管理中，應(yīng)該主要從以下方面入手，進行嚴格的文件劃分，為丟棄的機密制定扔棄的步驟，確保信息已經(jīng)徹底銷毀。毀掉副本或復(fù)寫紙，因為如果復(fù)印機和傳真機使用膠片或復(fù)寫紙，職業(yè)化的情況人員是能夠從這些有痕跡的膠片或復(fù)寫紙上讀出相關(guān)信息的，所以一定要在被銷毀之前粉碎那些易讀的媒介物。對于一些紙上信息，切記千萬不要隨手亂扔，在將廢紙扔進垃極筐前，必須檢查紙上是否有關(guān)于政府的機要信息。

3政府信息安全管理層面的保護

    在利用各種技術(shù)，采取物理保障政府信息安全的同時，應(yīng)加強對公務(wù)人員的管理和教育，來實現(xiàn)政府的信息安全。

    3.1制定工作職位信息安全制度。根據(jù)政府的信息安全方針制訂該職位在安全方面所扮演的角色和應(yīng)承擔(dān)的責(zé)任，并形成相關(guān)的文檔。角色和責(zé)任的制訂可考慮以下幾方面的因素應(yīng)與信息安全方針保持一致;應(yīng)保護可能涉及的政府資產(chǎn);應(yīng)及時報告安全事件;是否需要執(zhí)行某些安全職能。所簽署的正式工作合同(或其附件，如保密協(xié)議等等)中必須包含該職位在信息安全方面的責(zé)任條款。與掌握政府重要信息的員工、離退體及調(diào)動工作的職工，通過定立保密合同的形式予以明確對本政府的信息安全負有保護的義務(wù)。此外，還應(yīng)建立懲戒制度，以對那些違反了政府信息安全管理規(guī)定的人員進行懲罰，這不僅是一種懲罰措施，同樣也是一種威懾手段。

    3.2培養(yǎng)公務(wù)人員信息安全意識。在公務(wù)人員正式投入工作、獲得訪問敏感信息的權(quán)利之前，應(yīng)再次向該公務(wù)人員明確和細化其崗位所承擔(dān)的信息安全責(zé)任和相關(guān)要求。安全教育也是比較重要的一個環(huán)節(jié)，安全教育能使得掌握基本的安全知識，有利于安全意識的提高，應(yīng)定期在政府內(nèi)部開展信息安全教育和培訓(xùn)，提高公務(wù)人員的安全意識和技術(shù)水平。

    3.3妥善處理公務(wù)人員離職的信息安全問題。公務(wù)人員離職前，應(yīng)重申其離職后一段時間內(nèi)仍須遵守的安全條款，如在保密協(xié)議簽訂的相關(guān)內(nèi)容以及可能由此引發(fā)的法律責(zé)任。應(yīng)收回公務(wù)人員所持有的政府信息資產(chǎn)，如配發(fā)的筆記本、門禁卡、以及軟件、內(nèi)部文檔等。公務(wù)人員的對信息系統(tǒng)的訪問權(quán)限應(yīng)被立即移除，如停用個人賬號、調(diào)整所在組的賬號等。同時還應(yīng)注意防止離職前的蓄意破壞及盜取資料等行為的發(fā)生。

篇4

一、加強領(lǐng)導(dǎo)，提高對計算機信息系統(tǒng)安全保護工作重要性和緊迫性的認識

《廣東省計算機信息系統(tǒng)安全保護管理規(guī)定》是我省頒布的有關(guān)計算機信息系統(tǒng)安全保護方面的第一個地方性政府規(guī)章。它的頒布實施，對于加強我省計算機信息系統(tǒng)安全保護，促進計算機信息系統(tǒng)安全保護工作的發(fā)展具有重要的現(xiàn)實意義。我市是全國首批信息化試點城市之一，正努力實施以計算機信息系統(tǒng)為基礎(chǔ)的電子政府、電子商務(wù)等城市信息化工程，全面貫徹落實《管理規(guī)定》在我市顯得尤其重要和緊迫。各單位要將貫徹落實《管理規(guī)定》、抓好計算機信息系統(tǒng)安全保護工作擺上重要議事日程，迅速組織本單位、本系統(tǒng)有關(guān)領(lǐng)導(dǎo)、計算機信息系統(tǒng)安全管理責(zé)任人以及相關(guān)人員認真學(xué)習(xí)，提高計算機信息系統(tǒng)安全保護意識，做到認識到位、措施到位和管理到位。

二、建立健全計算機信息系統(tǒng)安全保護制度，加強系統(tǒng)安全管理

各單位要根據(jù)《管理規(guī)定》的要求，按照“誰主管、誰負責(zé)”的原則，建立和健全計算機信息系統(tǒng)安全保護各項制度，全面實行領(lǐng)導(dǎo)負責(zé)制，并指定管理責(zé)任人和信息審查員?！豆芾硪?guī)定》明確黨政機關(guān)、銀行、證券、能源、交通、郵電通信、重點科研和教育等單位為重點安全保護單位，市公安局應(yīng)督促其建立計算機信息系統(tǒng)安全保護組織，指導(dǎo)其開展計算機信息系統(tǒng)安全保護工作。安全保護組織由單位主管領(lǐng)導(dǎo)、保衛(wèi)部門負責(zé)人、安全管理責(zé)任人、信息審查員和計算機信息系統(tǒng)運行管理人員組成。各重點安全保護單位的計算機安全管理責(zé)任人和信息審查員要參加公安機關(guān)組織的安全技術(shù)培訓(xùn)和考核，取得安全技術(shù)培訓(xùn)合格證書。

今后，各重點安全保護單位的計算機信息系統(tǒng)及計算機機房，必須按國家有關(guān)規(guī)定和國家標(biāo)準(zhǔn)，由具有安全服務(wù)資質(zhì)的機構(gòu)進行安全保護設(shè)計和建設(shè)，并經(jīng)具有安全服務(wù)資質(zhì)的機構(gòu)檢測合格后才能投入使用。

三、建立健全重大突發(fā)事件應(yīng)急處置工作機制，提高應(yīng)急處置能力

市公安局是主管我市行政區(qū)域內(nèi)計算機信息系統(tǒng)安全保護工作的職能部門，要與*地區(qū)計算機信息系統(tǒng)安全服務(wù)機構(gòu)、互聯(lián)網(wǎng)運營單位、其他計算機系統(tǒng)使用單位以及政府有關(guān)部門建立工作聯(lián)系機制，制定重大突發(fā)事件應(yīng)急處置預(yù)案并組織演練。各計算機信息系統(tǒng)使用單位要制定重大安全事故處置的應(yīng)急措施，發(fā)生重大安全事故時必須保留原始記錄，并在24小時內(nèi)向公安機關(guān)報告。市公安局要密切掌握計算機信息系統(tǒng)安全保護動態(tài)，依法查處通過計算機信息系統(tǒng)進行的違法犯罪行為。

四、加強計算機信息系統(tǒng)安全保護工作的監(jiān)督檢查，依法查處各類違規(guī)行為

各單位要根據(jù)《管理規(guī)定》的要求，對本單位、本系統(tǒng)的計算機信息系統(tǒng)安全保護工作進行一次全面的檢查，重點檢查是否建立健全計算機信息系統(tǒng)安全保護責(zé)任制和安全保護制度，安全保護管理措施、技術(shù)措施是否落到實處，安全管理人員是否按規(guī)定配備。要在自查的基礎(chǔ)上，如實填寫*地區(qū)重點單位網(wǎng)絡(luò)安全狀況調(diào)查表，并于9月30日前送交市公安局。市公安局要加強對計算機信息系統(tǒng)安全保護工作的檢查、監(jiān)督和指導(dǎo)，在今年年底前適時組織安全抽查，針對存在問題，提出切實可行的整改意見，做到防患于未然。對整改仍未符合要求的，要按《管理規(guī)定》進行處理。

篇5

信息安全等級保護備案實施細則最新全文第一條 為加強和指導(dǎo)信息安全等級保護備案工作，規(guī)范備 案受理、審核和管理等工作，根據(jù)《信息安全等級保護管理辦法》 制定本實施細則。

第二條 本細則適用于非涉及國家秘密的第二級以上信息系 統(tǒng)的備案。

第三條 地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受 理本轄區(qū)內(nèi)備案單位的備案。 隸屬于省級的備案單位， 其跨地 (市) 聯(lián)網(wǎng)運行的信息系統(tǒng)，由省級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門受理備案。

第四條 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng) 運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由公安部公共信息網(wǎng)絡(luò) 安全監(jiān)察局受理備案，其他信息系統(tǒng)由北京市公安局公共信息網(wǎng) 絡(luò)安全監(jiān)察部門受理備案。 隸屬于中央的非在京單位的信息系統(tǒng)，由當(dāng)?shù)厥〖壒矙C關(guān) 公共信息網(wǎng)絡(luò)安全監(jiān)察部門(或其指定的地市級公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門)受理備案。 跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系 統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)(包括由上級主管部門定級，在 當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)) 由所在地地市級以上公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。

第五條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng) 該設(shè)立專門的備案窗口，配備必要的設(shè)備和警力，專門負責(zé)受理 備案工作，受理備案地點、時間、聯(lián)系人和聯(lián)系方式等應(yīng)向社會 公布。

第六條 信息系統(tǒng)運營、使用單位或者其主管部門(以下簡 稱備案單位 ) 應(yīng)當(dāng)在信息系統(tǒng)安全保護等級確定后30日內(nèi)，到公 安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理備案手續(xù)。辦理備案手續(xù) 時，應(yīng)當(dāng)首先到公安機關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好 備案文件，然后到指定的地點備案。

第七條 備案時應(yīng)當(dāng)提交《信息系統(tǒng)安全等級保護備案表》 (以下簡稱《備案表》 (一式兩份)及其電子文檔。第二級以上 信息系統(tǒng)備案時需提交《備案表》中的表一、二、三;第三級以 上信息系統(tǒng)還應(yīng)當(dāng)在系統(tǒng)整改、 測評完成后30日內(nèi)提交 《備案表》 表四及其有關(guān)材料。

第八條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門收到備案單位 提交的備案材料后，對屬于本級公安機關(guān)受理范圍且備案材料齊 全的，應(yīng)當(dāng)向備案單位出具《信息系統(tǒng)安全等級保護備案材料接 收回執(zhí)》 備案材料不齊全的， 應(yīng)當(dāng)當(dāng)場或者在五日內(nèi)一次性告知 其補正內(nèi)容;對不屬于本級公安機關(guān)受理范圍的，應(yīng)當(dāng)書面告知 備案單位到有管轄權(quán)的公安機關(guān)辦理。

第九條 接收備案材料后，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)對下列內(nèi)容進行審核： (一)備案材料填寫是否完整，是否符合要求，其紙質(zhì)材料 和電子文檔是否一致; (二)信息系統(tǒng)所定安全保護等級是否準(zhǔn)確。

第十條 經(jīng)審核，對符合等級保護要求的，公安機關(guān)公共信 息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)自收到備案材料之日起的十個工作日 內(nèi)，將加蓋本級公安機關(guān)印章(或等級保護專用章)的《備案表》 一份反饋備案單位，一份存檔;對不符合等級保護要求的，公安 機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)在十個工作日內(nèi)通知備案單 位進行整改， 并出具 《信息系統(tǒng)安全等級保護備案審核結(jié)果通知》

第十一條 《備案表》中表一、表二、表三內(nèi)容經(jīng)審核合格 的，公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)出具《信息系統(tǒng)安 全等級保護備案證明》 (以下簡稱《備案證明》 《備案證明》由 公安部統(tǒng)一監(jiān)制。

第十二條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對定級不 準(zhǔn)的備案單位，在通知整改的同時，應(yīng)當(dāng)建議備案單位組織專家 進行重新定級評審，并報上級主管部門審批。 備案單位仍然堅持原定等級的，公安機關(guān)公共信息網(wǎng)絡(luò)安全 監(jiān)察部門可以受理其備案，但應(yīng)當(dāng)書面告知其承擔(dān)由此引發(fā)的責(zé) 任和后果，經(jīng)上級公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門同意后， 同時通報備案單位上級主管部門。

第十三條 4 對拒不備案的，公安機關(guān)應(yīng)當(dāng)依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》 等其他有關(guān)法律、 法規(guī)規(guī)定， 責(zé)令限期整改。逾期仍不備案的，予以警告，并向其上級主管部 門通報。 依照前款規(guī)定向中央和國家機關(guān)通報的，應(yīng)當(dāng)報經(jīng)公安部公 共信息網(wǎng)絡(luò)安全監(jiān)察局同意。

第十四條 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部 門應(yīng)當(dāng)及時將備案文件錄入到數(shù)據(jù)庫管理系統(tǒng)，并定期逐級上傳 《備案表》中表一、表二、表三內(nèi)容的電子數(shù)據(jù)。上傳時間為每 季度的第一天。 受理備案的公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當(dāng)建立管 理制度， 對備案材料按照等級進行嚴格管理， 嚴格遵守保密制度， 未經(jīng)批準(zhǔn)不得對外提供查詢。 第十五條 公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案 時不得收取任何費用。

第十六條 本細則所稱以上包含本數(shù)(級)

第十七條 各省(區(qū)、市)公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察 部門可以依據(jù)本細則制定具體的備案工作規(guī)范，并報公安部公共 信息網(wǎng)絡(luò)安全監(jiān)察局備案。

篇6

【關(guān)鍵詞】移動社交網(wǎng)絡(luò)；信息安全保護；無線加密技術(shù)；WPA；WPA2

隨著人類文明和科技進步，我們已步入互聯(lián)網(wǎng)時代。大數(shù)據(jù)、云計算、智能化等新一代信息技術(shù)的發(fā)展，正以空前的力量和效率，掀起一場影響全人類的深層變革，改變了人們的生活方式，提供了前所未有的思維模式。移動社交網(wǎng)絡(luò)已成為生活中不可或缺的一部分，它豐富了人們的物質(zhì)和精神生活，同時移動社交網(wǎng)絡(luò)中用戶信息安全問題也成為當(dāng)今社會的一個焦點，越來越受到人們的關(guān)注，飽受廣大網(wǎng)民詬病。

1移動社交網(wǎng)絡(luò)用戶信息安全問題現(xiàn)狀分析

當(dāng)今社會移動社交網(wǎng)絡(luò)（MobileSocialNetwork）已成為社交網(wǎng)絡(luò)的主流，移動社交網(wǎng)絡(luò)雖然是一種虛擬的社交媒體，但為用戶提供了分享信息、交流思想、溝通情感的平臺。近年來，隨著4G技術(shù)以及無線網(wǎng)絡(luò)技術(shù)的發(fā)展及智能移動終端的廣泛使用，移動社交網(wǎng)絡(luò)得到高速發(fā)展。然而，移動社交網(wǎng)絡(luò)在給用戶提供便捷高效的服務(wù)的同時也面臨著極大地安全挑戰(zhàn)。據(jù)第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》（2016.7）顯示，截止2016年6月，我國網(wǎng)民規(guī)模已達7.1億，互聯(lián)網(wǎng)普及率達到51.7%，手機上網(wǎng)主導(dǎo)地位強化，手機網(wǎng)民規(guī)模達到6.56億，網(wǎng)民中手機上網(wǎng)的人群占比為92.5%，中國網(wǎng)站總數(shù)為454萬個[1]。另據(jù)有關(guān)資料顯示，2015年有95.9%的手機網(wǎng)民遇到過手機信息安全事件，手機網(wǎng)民中會主動查看手機軟件隱私權(quán)限的用戶僅占35.8%，44.7%的用戶會在不確認公共Wi-Fi是否安全的情況下直接連接，58.9%的手機網(wǎng)民沒有聽說過偽基站，26.4%的用戶在遭遇手機信息安全事件后不會采取任何措施進行處理[2]。由上述情況來看，人們在日常生活中或多或少都遇到過因個人信息泄露導(dǎo)致的諸如騷擾詐騙短信或電話、非正常鏈接、惡意軟件攻擊、病毒木馬入侵等信息安全事件，但因受影響程度的不同，人們的處理態(tài)度和方式也不一樣。因大多數(shù)未造成直接的經(jīng)濟損失，加上舉報程序復(fù)雜且操作成本高，人們擔(dān)心花費時間和精力得不償失，半數(shù)以上的人選擇不理睬的態(tài)度，從而慫恿了不法分子的猖獗，這也是導(dǎo)致詐騙信息不斷的主要原因。除非造成了重大經(jīng)濟損失或出現(xiàn)人身傷亡事故，如徐玉玉事件，才會引起高度關(guān)注?？偟膩砜?，各類信息安全事件在數(shù)量上將呈上升趨勢；在內(nèi)容上花樣百出、不斷翻新；在手段上隱蔽性更強、欺騙性更大。移動社交網(wǎng)絡(luò)中用戶的信息安全正成為移動互聯(lián)網(wǎng)時代突出的社會問題。

2移動社交網(wǎng)絡(luò)中的信息安全問題原因探究

移動社交網(wǎng)絡(luò)中用戶個人信息安全形勢仍較嚴峻，主要有以下原因：（1）用戶信息安全意識淡薄。目前仍有一部分網(wǎng)民在個人信息安全方面沒有采取任何防護措施。由于許多網(wǎng)站的隱私設(shè)置比較繁瑣，很多用戶都沒有進行隱私設(shè)置；有一些用戶習(xí)慣于用一個ID注冊多個賬號，甚至用同樣的密碼；有的用戶使用與自己相關(guān)的個人信息等純數(shù)字來設(shè)置密碼，很容易被破譯；有的隨意安裝未知來源的社交應(yīng)用軟件，導(dǎo)致移動終端和個人信息遭到泄露；還有部分用戶不會使用終端系統(tǒng)的隱私控制功能，不能及時更新系統(tǒng)；隨意開啟GPS功能，導(dǎo)致位置信息泄露[3]。（2）信息安全保護技術(shù)還存在漏洞。在智能終端設(shè)備上安裝第三方社交軟件，通過這種第三方軟件進行注冊和認證，會把用戶的信息及使用數(shù)據(jù)進行記錄在移動終端設(shè)備上，通過用戶的操作從而竊取用戶的身份標(biāo)識。然后通過截獲的用戶信息進一步的竊取其相關(guān)用戶的信息[4]。（3）網(wǎng)絡(luò)企業(yè)安全管理職責(zé)缺失。企業(yè)在運營過程中掌握大量用戶個人信息資料，是用戶信息安全保護的義務(wù)主體和第一責(zé)任人。但部分移動社交網(wǎng)絡(luò)運營機構(gòu)不重視用戶信息的安全保護，缺乏制度建設(shè)，沒有完全履行保護用戶信息安全的職責(zé)。不進行技術(shù)創(chuàng)新，缺乏有效防范信息安全風(fēng)險的解決方案；沒有投入充足的經(jīng)費建設(shè)專業(yè)安全管理團隊，沒有良好的應(yīng)急能力。（4）個人信息安全法律體系滯后。由于互聯(lián)網(wǎng)技術(shù)是新興產(chǎn)業(yè)，近十年來發(fā)展異常迅猛，尤其是在個人信息安全方面存在法律缺失。我國目前尚未出臺一部完整獨立的《個人信息保護法》，而散落在其他法律條款中的規(guī)定，也無法完整的反映并保證用戶的信息安全。此外，現(xiàn)成的法律體系主要表現(xiàn)為個人信息安全受到侵害時的一種補救機制，缺乏事前警示作用。

3移動社交網(wǎng)絡(luò)中的信息安全保護原理

為了保護用戶數(shù)據(jù)，無線網(wǎng)絡(luò)從WEP加密技術(shù)逐步改進成為今天應(yīng)用最廣泛的WPA無線加密技術(shù)，它有兩種標(biāo)準(zhǔn)，下面進行介紹：

3.1WPA加密技術(shù)

WPA全稱是Wi-FiProtectedAccess，它作為一種系統(tǒng)，能夠保護無線網(wǎng)絡(luò)（Wi-Fi）的安全。Wi-Fi聯(lián)盟（TheWi-FiAl-liance）這個組織建立并確定了WPA，WPA最重要的部分就在TKIP和IEEE802.1X。TKIP相當(dāng)于包含在WEP密碼的一層“外殼”，它的密鑰長度是128位，解決了WEP密鑰短的問題。IEEE802.1X：①發(fā)出連接上網(wǎng)請求；②發(fā)出請求數(shù)據(jù)幀；③經(jīng)過一系列處理將用戶的信息發(fā)到服務(wù)器；④比較傳送來的與數(shù)據(jù)庫中的信息有何不同；⑤將對應(yīng)的口令進行加密處理；⑥將加密后的口令傳給客戶端；⑦對上一部分的信息進行加密整理；⑧檢查處理加密過的信息。

3.2WPA2加密技術(shù)

WPA2是WiFi聯(lián)盟新通過的協(xié)議標(biāo)準(zhǔn)的認證形式，其中Michael算法被更加安全的CCMP所取代、而AES算法取代了RC4加密算法。WPA2支持安全性更高的算法AES；但與WPA不同的是，WPA2支持802.11g及以上的無線網(wǎng)卡。

3.3WPA與WPA2的公式區(qū)別

WPA=IEEE802.11idraft3=IEEE802.1X/EAP+WEP（選擇性項目）/TKIPWPA2=IEEE802.11i=IEEE802.1X/EAP+WEP（選擇性目）/TKIP/CCMP

3.4WPA技術(shù)的四個優(yōu)勢

WPA會不斷一直的迭代密鑰，增加其密鑰長度，從而增加安全級別。WPA所采用的有效的保障機制，讓其可以應(yīng)用在不同種類的網(wǎng)卡。WPA使公共場所和學(xué)術(shù)辦公地安全地設(shè)置無線網(wǎng)絡(luò)，不必擔(dān)心信息安全問題。WPA實現(xiàn)“一戶一密”。即每一個用戶都使用分配給自己的密碼。

4移動社交網(wǎng)絡(luò)用戶信息安全保護對策

保障移動社交網(wǎng)絡(luò)用戶信息安全，需從用戶個人、網(wǎng)絡(luò)企業(yè)、國家立法三個層面多維度應(yīng)對。具體措施如下：（1）提高用戶信息安全素養(yǎng)，加強風(fēng)險防范意識。信息安全素養(yǎng)是指個人在當(dāng)今網(wǎng)絡(luò)環(huán)境下對信息安全的理解與認知，以及應(yīng)對信息安全問題所反映出來的綜合能力[5]。增強信息安全意識，學(xué)習(xí)信息安全知識，有助于人們了解網(wǎng)絡(luò)犯罪和病毒攻擊的特征，提高識別風(fēng)險的能力。同時遵守信息倫理道德，不受騙，不騙人，從自身做起，做一個遵紀守法的文明網(wǎng)民，營創(chuàng)風(fēng)清氣正的社交網(wǎng)絡(luò)環(huán)境。（2）提高網(wǎng)絡(luò)安全保護技術(shù)，加強信息安全監(jiān)管。未來網(wǎng)絡(luò)安全攻守雙方將以新型技術(shù)漏洞為核心進行長期博弈。因此，提高技術(shù)壁壘，減少技術(shù)漏洞是保障信息安全的基礎(chǔ)，要加強互聯(lián)網(wǎng)技術(shù)和安全防護技術(shù)的深度融合，不斷創(chuàng)新，從源頭上保證個人信息安全。魔高一尺，道高一丈，要讓黑客在紅客面前無機可乘，無計可施。（3）提高運營管理水平，完善行業(yè)自律機制。社交網(wǎng)絡(luò)企業(yè)作為信息安全體系的主導(dǎo)因素，有義務(wù)在技術(shù)、制度、管理等方面提升綜合能力，承擔(dān)相應(yīng)責(zé)任。社交網(wǎng)絡(luò)企業(yè)要深刻意識到用戶信息安全的重要性，切實履行保護用戶信息安全的職責(zé)，建設(shè)專業(yè)安全管理團隊，建立完備的隱私控制策略。在與第三方共享數(shù)據(jù)時要建立行業(yè)自律機制，遵守自律公約，保證用戶個人信息的隱私和安全。（4）健全信息安全法律體系，加大安全事件執(zhí)法力度。加快成立專門的國家級個人信息安全管理部門，與時俱進，同步的完善信息安全法律體系。實行信息安全事件責(zé)任追究，做到有法可依，違法必究，對重大信息安全事件加大打擊力度，以高壓態(tài)勢整肅信息安全環(huán)境，促進移動社交網(wǎng)絡(luò)的繁榮和健康發(fā)展。

參考文獻

[1]CNNIC：2016年7月第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告.

[2]CNNIC：2015年中國手機網(wǎng)民網(wǎng)絡(luò)安全狀況報告.

[3]王娜，許大辰．移動社交網(wǎng)絡(luò)中個人信息保護現(xiàn)狀的調(diào)查與分析———從用戶行為習(xí)慣視角出發(fā).情報雜志，2015，1.

[4]劉建偉，李為宇，孫鈺．社交網(wǎng)絡(luò)安全問題及其解決方案.中國科學(xué)技術(shù)大學(xué)學(xué)報.

篇7

關(guān)鍵詞：信息安全；等級保護；分級保護

隨著我國信息系統(tǒng)建設(shè)的逐步完善，信息安全越來越得到重視，目前，我國已提出實行信息安全等級保護管理，并建立了信息系統(tǒng)分級保護制度。

1 信息安全等級保護

2003年，中辦、國辦轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)，提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。

信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

信息系統(tǒng)的安全保護等級分為五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。該級別是用戶自主保護級。完全由用戶自己來決定如何對資源進行保護，以及采用何種方式進行保護。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。該級別是系統(tǒng)審計保護級。本級的安全保護機制受到信息系統(tǒng)等級保護的指導(dǎo)，支持用戶具有更強的自主保護能力，特別是具有訪問審計能力。即能創(chuàng)建、維護受保護對象的訪問審計跟蹤記錄，記錄與系統(tǒng)安全相關(guān)事件發(fā)生的日期、時間、用戶和事件類型等信息，所有和安全相關(guān)的操作都能夠被記錄下來，以便當(dāng)系統(tǒng)發(fā)生安全問題時，可以根據(jù)審計記錄，分析追查事故責(zé)任人，使所有的用戶對自己行為的合法性負責(zé)。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。該級別是安全標(biāo)記保護級。除具有第二級系統(tǒng)審計保護級的所有功能外，它還要求對訪問者和訪問對象實施強制訪問控制，并能夠進行記錄，以便事后的監(jiān)督、審計。通過對訪問者和訪問對象指定不同安全標(biāo)記，監(jiān)督、限制訪問者的權(quán)限，實現(xiàn)對訪問對象的強制訪問控制。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。該級別是結(jié)構(gòu)化保護級。將前三級的安全保護能力擴展到所有訪問者和訪問對象，支持形式化的安全保護策略。其本身構(gòu)造也是結(jié)構(gòu)化的，將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分，對關(guān)鍵部分強制性地直接控制訪問者對訪問對象的存取，使之具有相當(dāng)?shù)目節(jié)B透能力。本級的安全保護機制能夠使信息系統(tǒng)實施一種系統(tǒng)化的安全保護。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。該級別是訪問驗證保護級。這一個級別除了具備前四級的所有功能外還特別增設(shè)了訪問驗證功能，負責(zé)管理訪問者對訪問對象的所有訪問活動，管理訪問者能否訪問某些對象從而對訪問對象實行?？?，保護信息不能被非授權(quán)獲取。因此，本級的安全保護機制不易被攻擊、被篡改，具有極強的抗?jié)B透的保護能力。

2 信息系統(tǒng)分級保護

2004年，中保委下發(fā)《關(guān)于加強信息安全保障工作中保密管理的若干意見》(中保委發(fā)〔2004〕7號)，明確提出建立健全信息系統(tǒng)分級保護制度。

涉及國家秘密的信息系統(tǒng)要按照黨和國家有關(guān)保密規(guī)定進行保護。我國的國家秘密分為秘密、機密、絕密三級，信息系統(tǒng)也按照秘密、機密、絕密三級進行分級管理。

秘密級：信息系統(tǒng)中包含有最高為秘密級的國家秘密，其防護水平不低于國家信息安全等級保護三級的要求，并且還必須符合分級保護的保密技術(shù)要求。

機密級：信息系統(tǒng)中包含有最高為機密級的國家秘密，其防護水平不低于國家信息安全等級保護四級的要求，還必須符合分級保護的保密技術(shù)要求。屬下列情況之一的機密級信息系統(tǒng)應(yīng)按機密級(增強)要求管理：

(1) 信息系統(tǒng)的使用單位為副省級以上的黨政首腦機關(guān)，以及國防、外交、國家安全、軍工等要害部門；

(2) 信息系統(tǒng)中的機密級信息含量較高或數(shù)量較多；

(3) 信息系統(tǒng)使用單位對信息系統(tǒng)的依賴程度較高。

絕密級：信息系統(tǒng)中包含有最高為絕密級的國家秘密，其防護水平不低于國家信息安全等級保護五級的要求，還必須符合分級保護的保密技術(shù)要求，絕密級信息系統(tǒng)應(yīng)限定在封閉的安全可控的獨立建筑內(nèi)，不能與城域網(wǎng)或廣域網(wǎng)相聯(lián)。

信息系統(tǒng)的等級由系統(tǒng)使用單位確定，按照“誰主管、誰負責(zé)”的原則進行管理。實現(xiàn)對不同等級的信息系統(tǒng)進行分級保護，對信息系統(tǒng)使用的安全保密產(chǎn)品進行分級管理，對信息系統(tǒng)發(fā)生的泄密事件進行分級處置。

3 等級保護與分級保護的關(guān)系

國家信息安全等級保護與信息系統(tǒng)分級保護既有聯(lián)系又有區(qū)別。

篇8

一是開展信息系統(tǒng)定級備案工作。

1．開展政府網(wǎng)站定級備案。根據(jù)去年重點單位調(diào)查摸底情況，全市尚有200余個各類信息系統(tǒng)未開展等級保護工作，其中包括大量政府網(wǎng)站（指黨政機關(guān)門戶網(wǎng)站），鑒于政府網(wǎng)站近年來網(wǎng)絡(luò)安全事件頻發(fā)，需及時落實各項安全技術(shù)措施。

全市黨政機關(guān)必須在規(guī)定時間內(nèi)開展門戶網(wǎng)站定級備案工作，并于5月底前向公安網(wǎng)警部門提交《信息系統(tǒng)安全等級保護定級報告》（簡稱定級報告），《信息系統(tǒng)安全等級保護備案表》、《涉及國家秘密的信息系統(tǒng)分級保護備案表》（簡稱備案表）（模板見附件），定級報告、備案表完成后請單位蓋章后一式二份送至市公安局網(wǎng)警大隊。

2．開展其他信息系統(tǒng)定級備案。除網(wǎng)站外，各單位其他信息系統(tǒng)也可一并開展定級備案工作，提交時間可適當(dāng)放寬。

二是開展信息系統(tǒng)安全測評工作。

1．有政府網(wǎng)站且定二級以上的單位，必須在12月底前開展網(wǎng)站等級保護安全測評，并根據(jù)測評結(jié)果及時落實整改建設(shè)，切實保障網(wǎng)站安全運行。

2．各單位其他已定二級以上信息系統(tǒng)爭取明年完成等級保護安全測評，若今年有條件的也可一并開展。

3．等級保護安全測評須由獲得相關(guān)資質(zhì)且在當(dāng)?shù)貍浒傅膶I(yè)測評機構(gòu)開展。目前，擬由市政府采購中心會同市等保辦從已在備案的測評機構(gòu)中通過法定方式選定若干家，確定后于5月底下發(fā)具體名單，各單位可直接從中選擇開展測評工作。

三是開展等級保護安全培訓(xùn)（時間：半年一次）

要依托等保小組定期邀請專業(yè)測評公司技術(shù)人員開展信息安全知識培訓(xùn)，進一步普及等保知識，提高信息系統(tǒng)使用單位各級責(zé)任人的安全意識和專業(yè)水平。

四是實行等保例會和通報制度（時間：每季一次）。

市等保小組成員單位要定期召開等保工作會議，分析總結(jié)當(dāng)前工作開展情況及存在問題，特別是對上述工作開展進度情況定期在全市范圍予以通報。

二、系統(tǒng)定級建議

根據(jù)信息系統(tǒng)定級標(biāo)準(zhǔn)結(jié)合其他縣市經(jīng)驗做法，對信息系統(tǒng)的分類定級作如下建議，供各信息系統(tǒng)使用單位參考，定級標(biāo)準(zhǔn)可查閱《信息系統(tǒng)安全保護等級定級指南》(GB/T2240-2008)。

1．政府部委局辦門戶網(wǎng)站、鎮(zhèn)（管理區(qū)）以上政府門戶網(wǎng)站原則上定為二級；

2．黨政機關(guān)重要業(yè)務(wù)應(yīng)用系統(tǒng)原則上定為二級，特別重要的定為三級以上；

3．醫(yī)院、水電氣、金融系統(tǒng)以及其他涉及國計民生的重要信息系統(tǒng)原則上定為二級，特別重要的定為三級以上。

三、工作要求

一是提高認識，落實工作?！暗缺！笔翘岣咝畔踩Ｕ夏芰退?，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)健康發(fā)展的一項基本制度。各單位要充分認識開展“等保”工作的重要性、必要性，全面貫徹落實相關(guān)要求和部署，切實做好我市“等保”工作。

二是明確責(zé)任，密切配合。市等保小組各成員單位要加強協(xié)調(diào)配合，共同組織信息系統(tǒng)主管部門和運營、使用單位開展“等?！惫ぷ?。各信息系統(tǒng)主管部門要積極配合等保小組工作，督促各項工作任務(wù)的貫徹落實。

篇9

移動互聯(lián)網(wǎng)主要是指在互聯(lián)網(wǎng)的基礎(chǔ)上逐漸發(fā)展起來的新型技術(shù)。它主要包括了兩個層面：一方面包含了互聯(lián)網(wǎng)不受傳統(tǒng)現(xiàn)實社會約束限制的個性，強調(diào)自由、平等的特性；另一方面在隱私性、攻擊性等方面相比傳統(tǒng)互聯(lián)網(wǎng)具有更大的威脅。移動互聯(lián)網(wǎng)的優(yōu)勢顯著：其一，移動互聯(lián)網(wǎng)的接入成本低，它可以憑借手機隨時隨地進行接入；其二，移動互聯(lián)網(wǎng)對接入地點沒有特殊要求，只要是有移動網(wǎng)絡(luò)信號，就可以接入。移動互聯(lián)網(wǎng)信息主要是指利用移動互聯(lián)網(wǎng)，可以存取、訪問的涉及到公共利益的信息。移動互聯(lián)網(wǎng)公共信息安全具有幾個特點：其一，保密性，主要是指信息不被未授權(quán)解析與使用的特性；其二，完整性，主要是指信息傳播過程中，不會遭到任何篡改；其三，可用性，主要是指不論處于何種情況下，信息與信息系統(tǒng)都能在滿足基本需求的基礎(chǔ)上被使用；其四，真實性，主要是指信息系統(tǒng)在交互運行的過程中，信息的來源與信息的者是真實可靠的。

2制約移動互聯(lián)網(wǎng)公共信息安全的因素

2.1移動互聯(lián)網(wǎng)運行的全民性

移動互聯(lián)網(wǎng)是在互聯(lián)網(wǎng)的基礎(chǔ)上產(chǎn)生的，而互聯(lián)網(wǎng)自產(chǎn)生起就帶有公開性、全民共享性。目前，這一趨勢隨著移動互聯(lián)網(wǎng)的普及更加顯著，但是隨著全民廣泛參與到移動互聯(lián)網(wǎng)的應(yīng)用中，這就導(dǎo)致移動互聯(lián)網(wǎng)的控制權(quán)被分散。由于移動互聯(lián)網(wǎng)使用者的利益、目標(biāo)以及價值等方面都不盡相同，因此，對移動互聯(lián)網(wǎng)資源的保護與管理也就容易產(chǎn)生分歧，促使移動互聯(lián)網(wǎng)公共信息安全的問題變得更加廣泛、復(fù)雜。

2.2移動互聯(lián)網(wǎng)監(jiān)管不嚴

我們對移動互聯(lián)網(wǎng)公共信息安全管理的過程中，往往存在著界定不明晰、管理觀念落后等問題。比如對移動互聯(lián)網(wǎng)上頻繁出現(xiàn)的不良信息的劃分不明確，這就導(dǎo)致相關(guān)管理部門進行監(jiān)管時，沒有可以依據(jù)的規(guī)則，進而導(dǎo)致監(jiān)管過度或不力。

2.3缺乏核心的移動互聯(lián)網(wǎng)技術(shù)

我國的移動互聯(lián)網(wǎng)處于起步階段，缺乏自主性的網(wǎng)絡(luò)和軟件核心技術(shù)，這就導(dǎo)致我們在移動互聯(lián)網(wǎng)運行過程中不得不接受發(fā)達國家制定的一系列管理規(guī)則與標(biāo)準(zhǔn)。此外，由于我們的移動互聯(lián)網(wǎng)核心技術(shù)主要是源自他國，這就導(dǎo)致我國的移動互聯(lián)網(wǎng)常常會處于被竊聽、干擾以及欺詐等信息威脅的狀態(tài)之下，造成我國的移動互聯(lián)網(wǎng)公共信息安全管理系統(tǒng)極為脆弱。

2.4缺乏制度化的移動互聯(lián)網(wǎng)保障機制

我國對移動互聯(lián)網(wǎng)公共信息安全的管理并沒有建立相應(yīng)的安全管理保障制度，同時也沒有建立有效地安全檢查制度與安全保護制度。此外，我國現(xiàn)有的政策法規(guī)很難適應(yīng)當(dāng)今移動互聯(lián)網(wǎng)公共信息發(fā)展的需要，移動互聯(lián)網(wǎng)公共信息安全保護還存在著大量的立法空白。

3建立移動互聯(lián)網(wǎng)公共信息安全保障機制的措施

3.1政府應(yīng)充分發(fā)揮其職能

政府在移動互聯(lián)網(wǎng)公共信息安全管理中，應(yīng)占據(jù)主導(dǎo)地位，引導(dǎo)整個移動互聯(lián)網(wǎng)公共信息安全向著健康方向發(fā)展。首先，政府應(yīng)發(fā)揮應(yīng)急事件指揮者的角色。政府對控制一般網(wǎng)絡(luò)公共信息安全事件演變?yōu)槲C事件肩負巨大責(zé)任，需要通過自身的能力使社會秩序盡快恢復(fù)正常。其次，政府應(yīng)對移動互聯(lián)網(wǎng)公共信息安全相關(guān)法律進行監(jiān)管。政府應(yīng)依據(jù)相關(guān)法律對移動互聯(lián)網(wǎng)信息是否安全運行進行有效監(jiān)管，同時應(yīng)不斷完善移動互聯(lián)網(wǎng)公共信息安全中薄弱環(huán)節(jié)的法律法規(guī)制度。

3.2加強移動互聯(lián)網(wǎng)公共信息安全法律建設(shè)

建立手機實名制法律。手機實名制對預(yù)防手機犯罪、凈化手機信息具有至關(guān)重要的作用，實施手機實名制能夠保障消費者的合法權(quán)益。在我國制定的《通信短信息服務(wù)管理辦法》中對手機實名制就進行了明確規(guī)定，與此同時，若想讓手機實名制充分發(fā)揮其作用，就必須加強公民隱私權(quán)益方面的建設(shè)。完善公共信息安全法律法規(guī)。首先，應(yīng)重點建立信息安全的基本法，保障信息安全的各項問題有法可依；其次，可以在專門信息安全基本法出臺之前，建立必要的、急需的單行法；最后，在建立信息安全法的時候，應(yīng)盡量避免采用制定地方性法規(guī)和部門規(guī)章的方法代替制定全國性法律法規(guī)。

3.3組建統(tǒng)一的管理機構(gòu)

建立統(tǒng)一的移動互聯(lián)網(wǎng)管制機構(gòu)時，應(yīng)遵循三個原則。首先，管制機構(gòu)建立的獨立性原則。建立的管制機構(gòu)不僅要獨立于電信運營企業(yè)，同時還應(yīng)該獨立于任何行政部門，這樣才能夠保障管制機構(gòu)辦事的公正性。其次，管制機構(gòu)建立的依法設(shè)立原則。在建立互聯(lián)網(wǎng)公共信息安全管制機構(gòu)時，應(yīng)以《電信法》或?qū)ｉT管制機構(gòu)法對所建立的管制機構(gòu)的職責(zé)進行明確劃分。最后，管制機構(gòu)建立的融合性原則。管制機構(gòu)應(yīng)是一個綜合性的管制機構(gòu)，它所監(jiān)管的范圍應(yīng)該包括整個信息通信領(lǐng)域。

3.4加強終端安全保障技術(shù)研發(fā)

（1）重視病毒防御。

當(dāng)前的移動互聯(lián)網(wǎng)終端基本上都是職能設(shè)備，采用的都是專門的移動操作系統(tǒng)，這些操作系統(tǒng)必須具備對常見的病毒、木馬等的防范功能，同時也應(yīng)不斷降低應(yīng)用軟件系統(tǒng)可能出現(xiàn)的安全漏洞。

（2）實施軟件簽名。

軟件簽名的實現(xiàn)能夠保障軟件的完整性，從而避免用戶的信息被篡改。此外，當(dāng)應(yīng)用程序發(fā)現(xiàn)信息被篡改后，能夠及時向用戶發(fā)出報警信息。

（3）采用軟件防火墻。

在終端設(shè)備上應(yīng)用軟件防火墻，用戶可以通過設(shè)置白名單與黑名單對設(shè)備上傳入與傳出的信息進行有效地控制，保障信息安全。

（4）采用加密存儲。

用戶對設(shè)備上的重要信息應(yīng)在加密之后再將其存儲到終端設(shè)備中，這樣能夠有效避免非法竊取現(xiàn)象的產(chǎn)生。與此同時，用戶在加密與解密的時候，一定要快速的完成，以防信息被竊取。

（5）統(tǒng)一管理。

對安全設(shè)備應(yīng)該進行統(tǒng)一管理，即在一個統(tǒng)一的界面中能夠?qū)θ康陌踩O(shè)備都進行相應(yīng)的管理，并對網(wǎng)絡(luò)中的實時信息進行及時反映，然后可以對得到的各種數(shù)據(jù)進行匯總、篩選、分析以及處理，從而提升終端對安全風(fēng)險的反應(yīng)能力，降低設(shè)備受到攻擊的機率。

4結(jié)束語

篇10

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》（公通字【2007】43號）。隨著等級保護工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)【2011】85號），進一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。

從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進行等級劃分，并按等級對信息安全事件響應(yīng)。

    二、醫(yī)院信息安全等級保護工作實施步驟

2.1定級與備案。根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》，有兩個定級要素決定了信息系統(tǒng)的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。表1是根據(jù)定級要素制訂的信息系統(tǒng)等級保護級別。

    對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。

在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊，同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室，提交了定級報告與備案表。

2.2安全建設(shè)與整改。在完成定級備案后，就要結(jié)合醫(yī)院實際，分析信息安全現(xiàn)狀，進行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險評估。了解等級保護基本要求?！缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個方面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實現(xiàn)；基本管理要求也包括五個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進行約束控制，以期達到安全管理要求。

技術(shù)類安全要求按保護側(cè)重點進一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類)、通用安全保護類(G類)。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達到三級，最嚴格的G3S3A3控制項共計136條.醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個標(biāo)準(zhǔn)進行差距分析。

管理方面要求很嚴格，只有完成所有的154條控制項，達到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。

對于有條件的三甲醫(yī)院，可以先進行風(fēng)險評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。

經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)人侵。在運維管理方面，缺乏預(yù)警機制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。

整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實安全措施；從安全區(qū) 域邊界、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進行三維防護，建立安全管理中心。方案設(shè)計完成后，應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進行評審，以保證方案的可用性。

整改方案實施。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實際情況適當(dāng)調(diào)整安全措施，提高整體保護水平。

我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評#司進行預(yù)測評，結(jié)合醫(yī)院實際最終形成的方案。網(wǎng)絡(luò)技術(shù)義員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進行全面了解。等級測評公司派專業(yè)安全人員進駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進行測試，可以形成初步的整改報告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護測評。下一步工作就是開展等級測評。在測評機構(gòu)的選擇上，首先要查看其是否具有“DICP”認證，有沒有在當(dāng)?shù)毓膊块T進行備案，還可以到中國信息安全等級保護網(wǎng)站（網(wǎng)站地址：djbh.net)進行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準(zhǔn)備階段。醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計劃等前期準(zhǔn)備工作。項目啟動前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項目啟動后，測評機構(gòu)要進行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓撲結(jié)構(gòu)、設(shè)備運行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。

在測評準(zhǔn)備階段，主要是做好組織機構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)査工作。

2.3.2測評方案編制階段。測評內(nèi)容主要由測評對象與測評指標(biāo)來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機構(gòu)來完成。

2.3.3現(xiàn)場測評階段。在經(jīng)過實施準(zhǔn)備后，測評機構(gòu)要對上述控制項進行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接人前進行測試，同時要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動應(yīng)急預(yù)案、在對209條控制項進行測評后應(yīng)進行結(jié)果確認，并將資料歸還醫(yī)院。

該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進行。

2.3.4報告編制階段。通過判定測評單項，測評機構(gòu)對單項測評結(jié)果進行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結(jié)果。對于公安機關(guān)來講，醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果。因此，測評報告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機構(gòu)根據(jù)單項測評結(jié)果進行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實安全整改方案。

2.4安全運維。我們必須清醒地認識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運維管理中重視，是不斷循環(huán)的過程。按照等級保護制度要求，信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機構(gòu)進行測評并進行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機制，不斷改進安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行。―     

    三、結(jié)語