时间:2023-10-22 10:34:50
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇互联网信息安全评估,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
一、互联网金融的概述
1.互联网金融的定义互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。2.互联网金融的发展之路互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数据传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。2.难以评估的风险问题如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。3.快速的扩散性在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。2.难以预防的网络安全问题威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。3.快速更新的互联网金融技术快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。2.对信息安全风险进行评估对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的综合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。3.对网络身份进行认证在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
五、结语
综上所述,在互联网金融时代的这个大背景下,金融信息中的安全问题至关重要。互联网金融的发展必定是金融发展的趋势,对信息安全问题也提出了许多的挑战,因此需要多方面的相互协调发展。首先要保证金融系统的可靠性和技术手段的及时更新,其次需要国家在法律条约与相关技术方面提出有效的支持,最后需要互联网用户、金融机构等金融参与者学会自我约束遵纪守法。新型的互联网金融监管与传统的金融业相似,简而言之就是微观监督与宏观调控的结合,两者要相辅相成共同进步。由此更好的促进互联网金融行业的健康稳定发展,更好的服务于人民。
参考文献:
[1]颜秋霞.“互联网+”金融信用风险体系构建的对策研究--以互联网银行为例[J].时代金融,2017(08).
[2]陈一鼎,乔桂明.“互联网+金融”模式下的信息安全风险防范研究[J].苏州大学学报(哲学社会科学版),2015(06).
为加强我省政府类互联网站的安全管理,确保网站健康有序发展,现就加强我省政府类互联网站安全管理工作通知如下:
一、要高度重视网站安全管理工作
各级各单位要高度重视信息安全工作,把信息安全放到至关重要的位置上,切实加强本单位互联网站的安全管理,正确处理好安全与发展的关系,按照以发展求安全、以安全保发展的信息化建设根本要求,坚持一手抓好互联网站的建设,一手抓好互联网站的安全保障。一要严格按照“谁主管、谁负责,谁使用、谁负责”的原则,建立互联网站安全管理工作小组,由单位分管领导任组长,并确定本单位负责互联网站安全管理工作的主要责任部门以及部门主要责任人,逐级签订网络与信息安全责任状,将互联网站安全管理工作分解到具体部门及具体人员。领导小组名单应报当地公安机关备案。二要严格网站接入管理。市、县(区)政府类互联网站开通前,应报设区市公安局备案,省直单位应报省公安厅公共信息网络安全监察部门备案,并由省网络与信息安全测评中心进行安全评估。评估合格后,方可接入互联网。之前已经开通的政府类互联网站,应于本通知下发后一个月内,向公安机关补办备案手续,并向省网络与信息安全测评中心申请开展安全评估。评估不合格不得投入使用。托管在省外的政府类互联网站应在年底前移回省内,并在移回后一个月内,及时向公安机关备案,并向省网络与信息安全测评中心申请开展安全评估。评估不合格不得投入使用。三要加强信息管理。由专人负责对拟上网的信息进行审核,统一信息出口,未经审核批准的信息不得上网。要指定专门人员对网站日常信息进行监控及安全技术维护。
二、要建立健全网站安全管理制度
各级各单位要将建立互联网站安全管理制度作为本单位信息安全规范化建设的一项重要内容,依据国家相关法律法规及公安机关等信息安全主管部门的相关要求,建立健全安全管理制度。一要建立政府类网站计算机房人员出入管理登记等管理制度。二要建立操作权限管理制度,明确互联网站安全负责人、安全管理员、系统管理员、信息员等的权限和操作范围。三要建立操作人员密码管理制度,定期修改管理密码。四要建立计算机病毒防治制度,定期进行病毒检查。用介质交换数据必须进行病毒预检,防止病毒破坏系统和数据。要建立网络安全漏洞检测和系统升级管理制度,及时检测发现漏洞,下载安装系统补丁。五要制定网络与信息应急处置预案,完善应急措施,有效应对各种突发事件。
三、要落实网站安全技术措施
各级各单位要根据公安部《互联网安全保护技术措施规定》,完善互联网站的安全技术措施。一要建立重要数据库和系统主要设备的冗灾备份措施。二要落实防范计算机病毒、网络入侵和攻击破坏的技术措施。三要建立防范网站、网页被篡改以及自动恢复的技术措施。四是提供交互式栏目等服务的网站,必须具备记录用户注册信息,记录并留存的信息内容及时间。五是开办电子邮件和网上短信服务的网站,要建立防范和清除以群发方式发送伪造、隐匿信息发送者真实标记的技术措施。
1.互联网金融的定义
互联网金融就是指传统的金融结构利用互联网技术,两者进行有机的相互融合,在支付、投资的新兴金融业务模式。大概从两个方面来分析新兴金融业务模式的改革。首先互联网领头人在互联网的金融发展中不断探索创新,使人民更好的融入其中。其次打破传统的面对面交易模式,保证在金融交易上更加方便快捷,方便人们的生活。
2.互联网金融的发展之路
互联网金融逐渐发展成为了第三方支付、信息化金融机构等金融模式的联合,伴随着互联网电子商务的飞速发展,传统的交易模式逐渐转变为了物流快递的形式,网络的虚拟化与资金流向在时间上大不相同,在交易时买家会担心如果收不到商品怎么办,或者商品质量出现问题谁来负责,卖家也同样会担心客户收到商品之后不付款怎么办,双方在交易时都要承担一定的风险,特别是在金额较大的时候风险也会随之增加,导致网络交易出现故障。但随着金融的发展,金融体系的主体也会拓展,对互联网进行了较大的改造。
二、互联网金融信息的特征
1.影响范围广阔
作为国家重要基础设施的互联网,随着国家各个领域对互联网的依赖程度越来越高,使其逐步成为了重要的数??传播方式。通过大量的互联网金融数据,能够通过表面看出事情的本质,反映出一个国家经济、政治等方面的现状,是一个能够涉及到国家金融体系的重要内容,除此之外还有可能被利用去直接影响到大众的日常生活。但是当互联网金融体系一旦受到范围较大的安全事故,国家的经济体系很有可能变成瘫痪状态,同时也会对国家的安全问题但来不良影响。
2.难以评估的风险问题
如今的互联网金融操作层面、业务层面甚至是管理层面都会涉及到IT技术,但是现代的业务风险与传统的业务风险相比较,IT风险管理的专业性与技术性更占优势,由于目前还无法准确的制定IT风险的计量标准,最终无法用常规的方法进行检测与控制。例如在面对IT风险的损失衡量、风险程度等等,都没有制定出一套较为具体的计量体系。此外IT风险还极易容易与其他风险相互交织,导致风险的评估与计量更加无法顺利的进行。
3.快速的扩散性
在信息科技时代,网络技术在互联网金融当中被主要运用,扩展的速度快是网络技术的一大特点。以往的金融业务当中,信息技术风险所带来的损失并不是很大,但是在现如今的互联网金融业务中,处于一个环环性扣的状态,其中的任何一个小环节出现问题时都会使风险快速的蔓延到与其相关的系统网络当中,使局部风险扩散开来,甚至导致整个金融市场都受到威胁。此外传统的金融中还有一些离线的业务操作,对于偶尔出现的错误也有时间去更正,但现如今的互联网金融业务都是在线操作的,一旦出现问题就是在很短的时间内爆发,纠正错误的机会被大大减小,加大了风险补救成本。
三、金融信息安全问题面临的挑战
1.落后的信息安全保障体系
由于互联网金融技术的飞速发展,为金融行业提供了一个全新的发展方向,但是相关的金融信息保障系统并没有完善,伴随着各种不断涌现出的理财问题、保险问题,这对于互联网金融业务的发展无疑是一种如履薄冰的行为。以此互联网金融业务的发展需要强大的互联网金融安全信息保障体系作为强大的后盾,不完善的金融信息安全一定会加大金融业务的风险问题。就现代的互联网金融发展而言,不相融洽的金融业务与信息安全保障体系,尽管可以维持着金融业务的顺利开展,但这样的局面随时都可能受到威胁。
2.难以预防的网络安全问题
威胁金融安全的另一个问题就是难以防控的网络安全,这一安全隐患也是互联网安全自身存在的问题。匿名性与开放性是互联网自身的性质,导致许多不法分子有机可乘,这也是互联网金融信息安全所要重点注意的。想要在互联网这个平台上健康的发展金融行业,从根本上解决网络安全问题,将它从一个难点问题发展到重点问题。互联网金融安全问题不仅是一个机遇也是一个挑战,凡事都具有两面性。一方面互联网金融所带来的发展,要将压力转变为动力,使互联网金融中存在的问题得到根本上的解决。另一方面威胁互联网金融安全,会影响到互联网金融业的发展,为国民经济的发展做出更大的贡献。
3.快速更新的互联网金融技术
快速更新的互联网技术应用也是金融安全信息所面临的另一挑战,伴随着互联网技术的不断提高,越来越多以互联网技术为基础的发展平台如雨后春笋般生长出来,第三方支付平台的出现打破了传统金融业务的机制,消费者的个人金融信息安全也受到了泄露的风险。日新月异的互联网应用技术不仅使互联网金融安全问题受到挑战也使互联网技术更加快速的发展。因此制定出相关的安全管理策略来保证其安全的运行,成为了当今互联网金融发展的关键问题。
四、加强互联网金融信息的相关对策
1.强化金融信息安全保障体系
因为外界的安全问题不能从根本上消除,为了确保互联网金融企业的健康发展,因此加强安全保障体系建设来保证金融信息安全必不可少。有了相关体系的支持才能保证互联网金融安全的平稳运行,我国现存的金融信息安全保障体系依旧以传统的金融信息安全问题为基础,这显然已经跟不上现如今的互联网金融信息的安全需要。因此国家将强相关制度的建立,提供最高端严谨的技术支持,以完善当前金融信息安全保障为基础,随时关注互联网金融业务的变化,最终实现金融安全问题的防范。
2.对信息安全风险进行评估
对计算机信息安全保护进行分等级划分,再对互联网金融信息进行安全风险评估。评估这一环节可以预防可能引发信息安全问题产生的风险,根据完整性与保密性存在的薄弱环节。对风险进行评估之前,为了防止计算风险值时存在误差,可以事先采取相关的安全防范措施。在对风险评估进行一段之后,所计算的?C合值随时都有可能发生误差,这一因素也会随时影响到互联网金融中的资产。最后就是计算风险综合值的公式,它是利用字母的代表值和之前所分析的信息安全风险所联系,从而降低风险值的范围。
3.对网络身份进行认证
在互联网时代当中无疑就是交易形式发生了改变,交易过程中双方无法运用面对面方式确认是否是合法身份,但是在交易的过程中个人的信息就会被传送,如果有不法分子居心叵测,那么信息的安全风险就会大大提升。为了保证互联网金融信息的安全,双方在信息交换之前能够对真正的身份进行确认,所以交换信息的基础与关键就是身份证。采用身份证实名制的策略,设置一个网络身份证认证中心,运用集中式的方法对网络身份证确认,并通过一些安全设置防止非法网络用户的登路。
(一)境外信息安全威胁已然显现
棱镜门事件折射出美国通过国内高科技公司实施全球网络空间霸权的战略图谋,为我国金融业敲响警钟。是国外对中国金融信息的窃取仅次于军事情报,我国金融业核心软硬件多为国外企业产品,使得我国金融信息系统容易被国外掌控,为行业信息安全埋下隐患。服务外包对国外厂商依赖度较高,加大了风险控制难度,敏感信息、核心技术泄密的可能性增加。我国对外政治经济摩擦不断增多,金融改革持续推进,竞争进一步激烈,金融机构数据中心遭受境外黑客攻击的可能性大大增加。例如,2013年11月29日,“中国煤炭银行”官网被黑,其官网称此次事件系日本金融财阀勾结国内金融集团所为。
(二)互联网舆情威胁不容忽视
互联网是广大网民获取信息资源、表达诉求最便捷和最有效的平台。微博客、网络社区、论坛等网络舆论平台飞速发展,成为社会舆论的发动机。网络舆论与摘要:我国金融业信息化进程不断加速,国内外信息安全环境深刻变化,金融机构须定期判断和分析国内外信息安全形势,不断提高风险防范水平。本文分析了当前金融业面临的信息安全形势,并从完善信息安全组织机制、夯实信息安全基础、强化互联网风险防范等角度提出应对策略和建议。关键词:金融业;信息安全;安全威胁;形势分析;应对策略传统媒体相互呼应,将迅速形成风险扩散的“蝴蝶效应”,放大信息安全风险。一旦金融机构局部的信息安全风险被网络聚焦、放大,会加大风险控制与事件处置的难度。此外,一些组织或个人出于竞争、报复或利益的目的,通过互联网关于金融机构的不实信息,营造“伪舆论”。还有一些小摩擦或小纠纷,由于没有得到及时察觉和合理处置,引发网民围观,形成网络热点事件。这些不仅会严重影响金融机构声誉,还会给整个行业带来不良社会影响,甚至造成巨额经济损失,实力相对较小的微型金融机构可能面临倒闭风险。
(三)互联网金融使信息安全形势更趋复杂
2013年中国互联网金融出现了快速发展势头,被称为中国互联网金融元年,各大互联网企业巨头纷纷进军互联网金融,推出“余额宝”、“微银行”、“京宝贝”等金融产品和服务。面对激烈竞争,传统金融机构积级调整战略介入其中。互联网金融为金融业带来新的发展机遇的同时,同样引入了信息安全风险和威胁。除具有传统金融业经营过程中存在的流动性风险、市场风险和利率风险外,互联网金融还存有信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险,且风险诱因更加复杂、风险扩散传播速度更快。移动互联网发展和智能手机的普及使互联网金融随处可及,互联网金融活动突破了时间和空间的局限,将成为网络钓鱼、黑客攻击的新目标,金融业面临信息安全形式更趋复杂。
二、新形势下金融业信息安全应对策略
(一)完善信息安全工作的组织机制
组织机制是保障信息安全最基础、最有效的长效机制,金融机构要基于当前信息安全形势和监管部门要求,进一步完善信息安全工作的组织机制。
1.明确不同部门和岗位的信息安全职责。当前,保障信息安全已不是一个或几个部门的责任,而是机构内所有部门、全体员工共同的职责。金融机构要明确业务部门、内控部门与技术部门共担信息安全风险的责任,将信息安全保障纳入到各岗位职责中,将信息安全工作作为一项重要的日常工作,努力形成全员参与信息安全保障的局面。
2.严格信息安全责任追究。按照“谁主管,谁负责;谁使用,谁负责”的原则,落实信息安全问责制,把信息安全风险的防范、识别、消除纳入业绩考核范畴,使所有员工意识到信息安全责任重于天。
3.提高制度的执行力。建立健全制度落实的规范流程和监督检查机制,关注各流程、环节之间的衔接性,实现部门自控与机构内控相结合。及时发现和解决制度执行中的问题,保证制度的有效落实,维护制度的严肃性和权威性。
(二)夯实信息安全基础,提升风险防范水平
信息安全工作涉及内容较多,内外部的信息安全威胁不断发生变化,信息安全保障和风险防范不可能一蹴而就,而是一项不断建设、持续完善的工程。金融机构应根据机构现状和内外部安全形势,科学制定机构信息安全发展规划,有重点、有层次推进机构信息安全工作,不断提升信息安全防范水平。
1.切实落实国家信息安全等级保护和信息系统分级保护工作。按照国家有关等级保护和分级保护的管理规范和技术标准开展等级保护和分级保护工作,严格遵照安全等级划分标准确定机构计算机网络和信息系统的安全等级,并按相应等级具体要求,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。
2.稳步推进信息产品国产化进程。“棱镜门”事件后,信息安全国产化进程加快,金融业要牢牢把握国产化机遇期,以安全生产为底线,按照“推广成熟、扩大基本成熟、试点逐步成熟、攻关不成熟”的策略,稳步推进金融业信息技术国产化进程,逐步实现信息安全产品、关键设备、核心系统、系统等国有产品替换。加强人才队伍建设和培养,提高自主运维能力和水平,逐渐减少对国外企业外包服务的依赖。
3.安全管理与技术防护并重。综合使用多种安全机制,将不同安全机制的保护效果有机结合,安全管理与技术防护双管齐下,相互配合,形成完整的立体防护体系。金融机构要摒弃“重技术,轻管理”的认识误区,突出安全管理在信息安全保障体系中的重要性,增强技术防护体系的效率和效果,弥补当前技术不能完全解决的安全缺陷,实现最佳的保护效果。
4.完善灾备体系建设和管理。灾备体系是保障金融业务连续性的重要防线,是维护信息系统和网络安全的重要措施。金融机构要把灾备中心建设规划提升到国家信息安全战略高度予以重视,扎实做好机构灾备中心布局规划和灾备建设工作。定期研究、评估当前灾备中心布局,对存在的问题及时进行整改。对于核心业务系统,要实现应用级备份,保证突发事件发生时可及时恢复业务运营。确保备份数据的有效性,定期对冗余备份系统、备份介质进行深度可用性验证。
5.加强人员操作行为管理,防范操作风险。从风险防范角度进一步完善网络和信息系统的操作流程,加强操作流程管理和审查,实现人员操作事前能控制、事中可监控、事后有审计,使风险防范从“管住人”进一步发展到“管住行为”。善于运用技术手段加强对操作风险防控,达到从管理和技术两个方面防范技术人员操作风险的目标,确保操作零风险。
6.提高机房设施保障水平。计算机机房是信息中心的核心部位,除承载机构的重要网络和信息系统外,还有空调、消防、防雷等保障机房设备安全稳定运行的机房设施。要加强机房设施的监测和风险评估工作,确保UPS供配电子系统、机房空调子系统、防雷接地子系统、设备监控子系统、机柜微环境子系统、安全消防子系统等机房设施健康运转,为机房这个“躯体”提供充足的“氧气“和“血液”,保障作为“器官”的各信息系统正常运行。将机房设施安全放在同网络和信息系统安全同等重要地位,发现风险隐患及时整改,勿将本应发挥安全保障功能的机房设施变成风险易发区域。
7.重视应急演练工作,提高应对突发事件的能力和水平。全面评估信息安全风险,建立风险全覆盖的应急预案体系和应急演练常态化工作机制。根据风险的等级和影响程度,合理确定单项演练、综合演练、跨部门演练、跨地域演练等不同类型演练的组合,具备应对不同类型风险的应急处置能力。依据风险的变化和应急演练效果完善应急预案,不断提高应急预案的可操作性。坚持在演练中锻炼队伍,持续提高人员的风险意识和突发事件的响应处置能力。
(三)强化互联网风险防控工作
1.加强互联网舆情监测,妥善处置网络热点事件。完善互联网舆情监测系统,加强人才队伍建设,建立网络舆情摘报和热点专报制度,及时掌控舆情动态,尽早发现各种形式“伪舆论”,避免形成网络热点事件,影响正常的金融秩序。重视信息和舆论引导工作,做到未雨绸缪、预防在先。完善舆情热点事件处置机制和流程,做到反应快速、判断准确、处置合理,充分发挥传统媒体与网络媒体的协同作用,对网络舆情进行正面引导和回应,将不利影响控制在最小范围内。
【关键词】互联网 信息安全 控制技术
在进行互联网的信息交流时,就要及时进行信息安全性能的检验,要保证信心的安全性能得到有效的计算机安全环境进行传播。在进行信息的正确操作系统使用时,就要在随意的任意环节进行安全检测,对于存在安全漏洞的网站进行及时的修补清理,及时进行安全环境的检测,以免使自己的有效信息受到威胁。在实际的操作中,一定要对互联网的操作系统、安全协议、与安全有关的系统进行安全环境的及时检测,其中任何方面的安全漏洞都能造成威胁到整个互联网的安全。在互联网的信息安全控制的技术应用发展方面,对于互联网的继续发展具有很大的作用。
1 互联网的信息安全的控制技术和特征
1.1 信息安全技术之生物识别
进行互联网的信心安全控制的重要环节就是要对生物识别技术的推广运用,使其更加具体地运用到互联网的实际应用之中。就现在互联网的技术的发展状况而言,进行互联网安全技术识别,相比传统的身份验证,已经表现出了具有更加可复制性能的方面的跨越式发展。人体的生物特征复制难度最高,就像指纹、声音、容貌、视网膜、掌纹等这种因人而异的人体的特征,别人根本实现不了复制操作。利用这种人们生而不同的人体特征作为安全技术识别的发展前景是十分可观的,在互联网的技术控制中,已经出现了大量使用指纹的技术进行安全保护,针对视网膜等生物特征,很多研究实验的结果显示,这即将成为互联网生物识别的下一个生物特征,在进行信息安全方面,很多生物技术已经投入使用,并且取得了很好的效果。在很多方面有了很大的进步。
1.2 信息安全技术之防火墙
在进行互联网的信息安全维护中,防火墙技术的应用十分广泛。在进行信息安全的维护时,使用这种的网络技术进行保护网络和外网就能实现一道安全的屏障。就会实现私人的网络和外部的网络环境进行隔离时,在进行私人信息安全保护,防止信息不被窃取。在实现信息安全的检测时,就预测的、具有潜在破坏性的网络安全的破坏。在有着网络漏洞的不轨信息,要及时做好网络的安全维护问题,实现信息安全得到很好的防护。
1.3 信息安全技术之数据加密
在信息的数据加密技术时,就要进行信息的安全维护时,要先进行密码的设置,在进行密码层次的维护时,将不让别人知道的数据信息技术转变成密码的形式。不让别人知道的情况下对于自己密码转变成别人难以识别的密文,然后进行自己的信息安全维护,再进行传输。但是,人们在进行密码的输入时,就收到信息的人进行信息的安全输入密码转换成自己可以识别的铭文进行信息的安全维护,从密码的转换成明文的情况下得到数据中的信息。
1.4 信息安全技术之入侵检测
在进行入侵检测技术的实施时,为了保证互联网的系统信息的安全性,在进行信息安全性能的报告使用中,计算机使用者就会出现对于系统中出现的如未授权或者异常系统提示等情况进行及时的检测。这种种信息安全检测技术,能够促进进行互联网的系统遇到不安全入侵时,及时进行入侵信息的安全性能检测,及时阻止不安全信息的入侵。进行检测互联网,中是否出现了违反信息安全的行为的一种技术。
1.5 信息安全技术之网络安全漏洞扫描
针对系统的漏洞修补时,首先要进行检测信息安全漏洞出现的原因,在进行系统安全维护时,一定要做好信息安全方面的风险评估。及时针对系统出现漏洞的问题,找到切实可行的解决方案。进行安全漏洞的扫描时,可以预先知道系统中,出现漏洞的根本所在,能够及时防止网络漏洞对信息的安全进行有效的保护。
2 实现互联网信息安全的策略探讨
2.1 互联网安全策略之系统安全
互联网最有效的信息安全维护,就是要对计算机的操作系统和数据库及时进行信息安全的漏洞检测,及时发现出现的问题找到最优的解决方案。尤其是对于计算机进行操作系统进行查缺补漏,针对计算机出现的漏洞问题一定要密切关注,找到最优的解决方案。针对容易出现问题的系统及时进行加强安全加固防护措施,尤其对于关键业务的服务器,一定要做到万无一失。
2.2 互联网安全策略之安全管理
针对互联网的信息的安全性,一定要加强对于网络安全的信息的安全管理策略,进行企业的信息系统安全管理策略的制定是,一定要结合具体的情况进行信息安全的合理维护。进行安全管理时,企业一定要重视对相关人员进行安全管理知识的定期培训,及时进行网络安全的妥善管理。当进行信息安全进行资产管理、灾难管理、安全服务和站点维护的相关工作进行合理有效的管理。在技术的运用上,注意将技术适当运用到相关的部门。结合具体的管理措施进行合理有效的信息维护,保证企业互联网的信息安全。
2.3 互联网安全策略之纵深防御
在进行互联网的安全合理有效地管理时,一定要将可能存在的不良操作及时进行安全性能测试,在互联网的安全系统遭到入侵时,检测系统就会发出信息提示,提醒进行及时的系统安全的维护措施。在信息安全系统的管理中,防火墙是其中一个最有效的安全管理手段。能够保障系统在遇到安全威胁时,计算机系统在进行安全管理保安操作时,及时阻挡那些存在威胁的信息,按照预先的设定判断信息的有效性,将符合规则的操作指令发出放行指令,能够保证互联网的信息安全。
在进行互联网的安全管理中,一定要加强对于互联网安全漏洞的及时检测,确保互联网的信息安全。在检测过程中,若是发现了系统受到攻击,一定要立马采取有效措施进行系统的安全维护,及时控制企业及个人的重要信息不受破坏或者避免损失。在进行互联网安全控制时,要考虑多方面的控制情况,为了避免遭受经济或者其他方面的损失,就要在维护互联网的信息安全的情况下,及时推动互联网的发展。本文在针对各种互联网的信息安全的管理措施的分析研究的情况下,重点强调要注意运用加密技术的使用。相信在未来的数字化科技发展中,网络信息安全的地位将更加重要,互联网信息安全必然随着网络应用的发展而不断发展。
1我国互联网信息安全现状
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。
因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
网络安全技术已经成为影响互联网发展速度的一个重要课题,通过对其深入的研究,制定出合适的策略方法并加以实施,达到提升互联网安全的目的。
参考文献
[1]林凌.网络涉及隐私信息传播的法律规定[J].编辑学刊,2015(1).
关键词:互联网保险;问题;对策
20世纪90年代以来,网络技术的快速发展和逐步完备的电子商务平台给保险业的发展带来了巨大冲击,作为一种以网络信息平台为载体的新型商业模式,互联网保险通过互联网平台为客户提供保险产品和服务,实现部分业务或全部流程的网络化,为保险业发展带来新的机遇和挑战。以“互联网+”为代表的信息化使人们的生活变得更加便捷,互联网成为保险业发展的加速器。
互联网保险的发展对传统保险业是一个极大地挑战,因为互联网保险所具有的全天随时随地服务的天然优势不仅真正实现了人人平等享有网络优质服务的理念,让人们自由、平等、便捷地享受金融服务,还可以通过互联网,免去保险营销人员等中介环节,缩短保险业务整体流程的时间,提高营销、服务、售后的效率。所以,保险业如何在网络化、信息化的背景下,融入互联网金融的潮流,成为近年来保险行业和学术界重点关注的课题。
一、我国互联网保险存在的问题
1.互联网保险相关法律法规缺失
虽然近年来,国家开始关注互联网保险,并且也出台了一些相关规章制度,但总体来说,互联网保险相关法律法规依然缺失,目前能对互联网保险营运进行约束与规范的主要法律依据依然是1995年颁布的《保险法》,然而,这部法律所调整的行为主要是传统的保险业务,而互联网保险业务却有着无形的经济保障合同的特性,这使得目前的互联网保险活动并不能真正得到法律法规的调整和规范,如在互联网保险业务中关于电子保单的法律效力、时效等问题仍无具体法律做出明确的司法解释,不利于互联网保险业务的规范健康发展。
2.互联网保险业务中信息不对称容易导致道德风险
互联网保险是借助信息网络技术进行营销和管理,保险公司和消费者之间不能通过面对面沟通,保险公司不能通过直接接触和观察去了解投保人的风险情况,投保人也缺少了保险营销人员这一了解产品及公司信息的渠道,信息的不对称必然容易产生道德风险。
当前我国还没有建立起信息共享的个人信用体系,保险公司在不充分了解消费者信用状况的情况下,仅通过网络平台的筛选和辨别,无法真正识别客户所提交资料的真伪。一般来说,投保人在提交审查材料时会提交有利于自己的资料和信息,剔除隐瞒不利于自己顺利投保或有可能增加保费金额的信息,以便实现以更优惠的价格来获得更大的保险权益,这使得保险公司的风险大增。虽然目前的技术水平下,保险公司对于客户风险级别的评估不能十分准确,但部分互联网保险公司为了拓展业务,依然会在信息不完备的情况下对客户进行承保,某些轻率承保的行为必然会给互联网保险业务增加一定的风险,当然最终也会损害消费者权益。
3.互联网保险产品缺乏创新,导致结构单一、同质化现象突出
我国互联网保险的业务模式多是在传统销售渠道基础上增加了一项互联网业务渠道而已,并没有真正改变现有的核心运营模式,更没有设计出个性化、创新的、适合互联网销售的保险产品品种。从目前的实践来看,我国互联网保险产品多同质化,各大实行互联网营销的保险公司的业务基本都集中于交通工具意外险、旅游意外险、简单的寿险、理财类保险等方面,缺乏契合互联网用户消费需求和习惯的个性化产品,缺乏新意的产品自然就没有竞争力。从互联网保险未来的发展来看肯定是弊大于利。
4互联网信息安全技术不成熟,信息安全隐患大
虽然互联网保险机构一直以来都非常注重保护客户的信息安全,但由于保险公司拥有大量完备的个人和企业信息,因此常被不法分子觊觎。由于互联网的开放性特征,加之各保险公司对网络信息安全技术方面的投入力度各异,致使我国的互联网保险在网络技术安全和信息隐私方面非常薄弱,互联网保险业务存在着较大的安全风险,为某些商业机构利用不正当手段篡改或窃取网络保险数据资料提供了可乘之机,使得互联网保险客户的信息资料安全遭受严重的威胁。除此之外,随着互联网保险业务对大数据信息的依赖,互联网信息的商业价值也越来越高,不可避免地会出现保险公司内部的少数职员窃取客户的个人资料并泄露出去的情况,做出有损商业道德的事情。而目前我国针对互联网保险的网络信息安全由于缺失有效的监管手段和监管法规,导致互联网保险在开展业务过程中网络风险和市场风险频发。要想促进我国互联网保险能在一个安全的环境中积极健康发展,有必要加强互联网信息安全建设,保障互联网保险发展中的信息安全。
二、进一步发展我国互联网保U的对策建议
针对我国互联网保险行业存在的问题,本文从以下方面提出针对性的建议,以促进我国互联网保险行业的健康有序发展。
1.建立健全互联网相关法律法规,保障其健康运营
基于信息技术支持的互联网保险新模式,其将互联网线上保险和传统的线下保险业务相结合,在运作中必然需要监管和法律法规的到位,才能有效解决保险业运作过程中常见的网络安全问题和索赔欺诈问题。因此,一方面,加快完善互联网保险发展业务的法律法规。由于互联网保险的迅猛发展,传统保险业的相关法律与具有网络虚拟性的互联网保险并不十分匹配,要想更好的提供给互联网保险业发展的法制环境,必须尽快完备同时适用传统保险业务和互联网保险的相关法律法规。另一方面,加强网络平台、信息安全相关法律制度的建设和完善,实现互联网保险平台上电子合同、投保、支付、理赔等有法可依,实现互联网保险监管和营运的可持续健康发展。
2.完善保险行业信用体系建设,降低互联网保险道德风险
保险产品的价格水平与其风险级别相关,而保险行业的盈利水平也基于风险评估。客户的征信记录和风险测评结果对保险公司针对保户制定价格具有决定性意义。因此,完善保险行业信用体系建设,健全而精确的征信信息、权威评级机构的风险测评对于互联网保险业务的开展和运行尤为重要。一方面,积极引导市场对信用产品的需求,培育信用市场主体。利用政府的影响力和权威性,建立适应市场需求的风险评估机构和征信评定机构,并为其保驾护航,引导其良性发展。同时,政府应鼓励和要求媒体对征信系统进行有效宣传,在整个社会中营造良好信用环境,让诚信深入人心,内化为人们日常行为的一部分。另一方面,建立健全失信惩罚措施,搭建系统的、可共享的公共信息服务平台。通过与医疗机构、社保机构、交通部门、银行、电子商务等的合作,实现征信信息共享,把信用信息充分渗透到经济生活的各个角落。同时要加大对失信行为的惩罚力度,提高失信成本,提高人们的征信意识。而互联网保险公司则可以借助信息公众平台获取权威数据资料,从而提高工作效率,降低风险。
3.重视互联网保险产品创新,丰富产品体系,优化产品结构
大数据时代的到来,信息技术的普及,与网络有千丝万缕联系的单个个体的行为、特征以及相关数据资料都被计算机进行有效的整合、分析、记录,这也是保险行业基于精准大数据为保户量身定做个性化保险产品的前提。首先,通过设计标准化的保险产品打开互联网保险市场。设计标准化产品通过互联网营销的模式已在国外较为普遍。我国现阶段的互联网保险营销可以通过设计适于推广的个险产品来打开互联网渠道,因标准化的个险产品和保险理财产品,保单标准化程度较高,且保费较为低廉,保险条款一般便于保户理解,保单核保手续简便,有些保单甚至能够实现网络自动核保,如此线上推广与传统线下推广并无矛盾之处,比较适宜网上销售。其次,当互联网保险发展到一定程度之后,标准化的产品设计就不能完全满足互联网保险的需求。要想真正推进互联网保险的快速发展,就要对互联网用户进行调查研究,分析市场优劣,分析竞争对手产品,分析客户需求,并根据客户需要设计出个性化的保险产品,提供个性化的保险服务,只有这样,才能在激烈竞争的保险市场占领先机。但需要注意的一个问题是,保险本身是为了保障风险损失,而不是保障投机行为,所以,契合互联网的新产品设计首要条件是满足保障风险。第三,互联网保险机构可借鉴企业自身积累的大数据,利用严格的精算系统,分析消费者对保险产品的潜在需求,结合市场需求,创新产品,优化产品结构。可以通过对较为复杂的保险产品根据客户的个体差异以及具体保障对象的不同进行分拆,提供差异化的产品,简化客户网上选择、投保、索赔流程,提供客户体验,使客户可以根据自身实际情况进行选择,形成互联网销售的独特优势。此外,互联网保险公司还应积极利用微信、淘宝等新媒体、电商平台,基于大数据分析推出开发出符合客户需求的新产品。最后,营造互联网保险的品牌效应。在我,利用互联网来购买保险的客户多多集中在25岁到45岁,他们不仅对产品要求高,对保险公司的品牌也会有很高的要求。客户在进行互联网消费时对保险公司的是否了解和信任极为重要。营造互联网保险的品牌效应就显得意义非凡,如果能够建设和推广互联网保险电子商务平台、树立自己的品牌,并能在平台上让优质购买力客户体验到品质和便利,必然能吸引大量的客户参与其中。
关键词: 云计算;信息安全;网络
引言
随着科技的飞速发展,互联网快速发展,已经成为人们工作生活中不可或缺的一部分。互联网计算服务模式已经不能满足计算机存储、数据空间匮乏等带来的一系列的问题,云计算(Cloud Computing)应运而生。众多计算机节点结合起来,互联网用户在“云端”实现业务办理,云计算带来利好的同时,也存在用户信息安全的问题。2009年初,亚马逊的云存储S3连续4小时出现故障;时隔一个月,谷歌声称由于疏忽泄露了客户的信息;微软公司也承认了其云计算平台有运行中断的现象出现。如何在“云端”便利的实现用户的数据与处理,便于用户高效实用共享资源的同时,保证用户信息的安全与隐私,云计算信息的安全性和可靠性是云计算环境下值得探讨的重要问题。
云计算概述
云计算概念及体系架构
云计算是上世纪九十年代由IBM首先提出的,开始仅限于超级计算机,随着网络技术的发展,云计算应用面得到广泛扩展。云计算是一种基于互联网的计算方式,可以方便的按需访问网络、存储设备、应用程序等。云计算是在分布式处理、并行处理和网络计算发展的基础上出现的一种新型的计算模型[1],在分布式环境下,提供数据和网络服务。用户可以在任意计算机终端将数据资源交由网络处理并储存,不需占用用户自己的硬件资源,在需要时可以随意访问存储系统并得到相关数据。狭义的讲,云计算是指IT基础设施通过网络按需获得资源的交付和使用模式;广义的讲,通过网络按需获取服务的交付和使用模式。简单来说,云计算就是把客户的所有数据交由网络处理,设置企业数据中心对客户的数据进行处理,通过一个数据中心向客户提供服务,客户可以使用不同的终端进行操作,云计算为客户节省大量硬件资源。
云计算体系分为三个层,管理层、应用层和访问层。管理层解决资源共享问题,应用层实现以何种方式提供服务给外层设备,访问层即为云计算的核心层,用来解决实际的云计算问题。
云计算的特点
按需自助服务:用户自主访问云资源;
宽带接入:云计算的功能实现需要网络支持;
虚拟化资源:通过虚拟技术对云服务的软硬件资源进行划分,提供共享使用形式,并对各用户 占用的虚拟资源进行分配和花粉;
快速弹性架构:快速、弹性的将资源提供给用户;
可测量服务:对用户使用云端资源的情况进行测量并计价。
云计算的这些特点能够解决计算机存储、数据空间匮乏等问题,但同时也对云计算的安全性产生威胁。
1.3 云计算的应用形式
云计算的应用形式包括软件服务(SaaS)、平台即服务(PaaS)和基础设施服务(IaaS)。SaaS需用户结合自身特点向互联网商户自行订购服务模式,互联网商户制定统一的软件运行形式和硬件设施,该形式下用户使用便捷。PaaS通过提供具有开发环境的分布式平台,使用户自己参与到开发中来,量身定制适用于自己的应用程序,并通过互联网传递给其他客户。IaaS应用模式的云端设备由多台服务器组成,提供给客户计量服务,将存储、内存、I/O等资源整合后提供给商户。
云计算环境下的信息安全隐患
云计算需要依托网络平台实现其功能,网络安全也直接影响到云计算环境下的信息安全,虽然网络安全技术不断提升,但泄密事件、数据丢失、访问权限被控等问题经常影响用户的正常使用,也制约了云计算的普及。
云计算环境下,信息安全隐患主要包括以下几点:
数据丢失。云计算平台发生崩溃,导致用户数据丢失。
隐私泄露。用户存储的数据以及数据处理由服务器网络和数据库系统统一进行计算,不可避免的存在用户数据被窃取和破坏的情况。
密码易被破解。云计算的计算能力强大,可缩短密码破解时间,如有非法用户对密码进行破解,用户的信息安全性面临威胁。
管理员接入具有潜在威胁。在安全场所以外的地方处理信息,如果没有对管理员进行充分了解和验证管理员信息,可能对信息安全存在潜在的威胁。
数据隔离导致数据失效。在云计算环境中,用户数据处于资源共享环境下,一定的加密设置可以规避风险,云计算提供商将数据区分隔离开来进行管理,并针对用户设计加密服务,如果加密系统出现问题,那么用户所有数据将失效,不能再使用。
安全区域划分无效。在云计算中,传统的安全域可以清晰定义边界,保护用户数据,但在云计算中无法实现。
用户数量分类各异,用户具有变化、动态和移动的特点。
服务安全问题。云计算提供商控制所有数据、服务以及网络,一旦提供商出现安全问题,将直接影响用户的利益。
数据的安全性。包括数据存放位置、数据隔离、数据恢复、数据加密等。
综上,这些都对云计算的安全运行造成威胁,给用户的信息安全带来隐患。
云计算环境下的信息安全解决方案
云计算安全事件的频繁发生,使云计算的安全性、稳定性得到质疑,对云计算环境下的信息安全进行防护,使云计算健康有序的发展,提出信息安全解决方案,制定相关的信息安全策略势在必行。
3.1 要正确认识云计算,积极发展云计算技术来确保信息安全
3.1.1正确认识云计算
计算机技术、互联网技术发展迅猛,催生云计算的产生,云计算提供商不应急于求成,过分夸大其功能,迷惑用户,提供商应正确看待云计算的推广和应用,用户也不能盲目使用。云计算要以互联网为基础,网络安全直接威胁云端信息的安全,影响云计算的安全使用,只有通过不断提高计算机技术,提高网络安全,才能保证云计算环境下的信息安全。云计算提供商应具有可靠性,提供商不能单纯的把盈利放在首位,应将用户的利益置于制高点,对用户作出有效的保证,尽最大化的保证云端信息的透明化。保证云计算的连续性。信息处理的重要问题就是具有连续性,保证用户的信息存取。在云计算环境下,大量信息集中在云端,在实际运行中,保证提供商硬件设施安全运行,在出现故障、硬件设备损坏或断电的情况下,保证云端信息的安全和正常存取。
3.1.2 积极发展云计算技术
1)云计算具有多个安全域,单个安全域应具备全局、局部主题映射,不同安全域可相互鉴别。
2)满足用户动态需求,提供商建立良好的登录、等的认证。
3)通过SSL、VPN等安全方式确保通信安全,并保证用户连接。
4)云计算提供商、用户以及之间的授权方式应规范化。
5)云计算提供商保证数据的机密性和完整性。
6)边界安全。云计算环境下,硬件设备为虚拟化导致传统意义上的网络边界不复存在,传统的网络边界防护不能生搬硬套在云计算环境中。为加强网络边界安全,积极提供虚拟环境下防火墙技术升级,虚拟后的防火墙与原有的防火墙一样,根据不同的业务需求,采取不同的安全防护策略。
7)数据传输安全。云计算数据传输包括用户与云端之间、云端内部的数据传输,为保证传输安全,一般采用技术手段进行传输加密。
8)数据存储安全。数据存储安全性保证也是采取加密方式。云计算环境下,有两种加密方式,一种为对象存储加密,即将对象存储系统设置为加密状态,用户自行设置秘钥;一种为卷标存储加密,卷标加密又分为实际物理卷标加密和特殊设备加密。特殊设备是一种虚拟设备,以串行方式实现计算实例与物理存储之间的数据加密。
9)云服务器安全。云服务器需安装防病毒系统、补丁系统以及云安全操作系统。防病毒系统提供更好的病毒查杀能力,完成病毒查杀防护的任务。补丁系统及时对系统进行更新。国外一些云计算提供商如Google、Microsoft和Amazon已经推出了自己的云安全操作系统,该系统设置了身份认证、访问控制、行为审查等多方面的安全机制。
3.2 云计算提供商强强合作,建立统一平台
各个云计算提供商之间是竞争的关系,信息高度发达的今天,紧靠几个提供商运营完成信息处理显然是很难的,相互独立发展不利于云端信息的有效利用,造成资源浪费。云计算需要更广阔的平台,以平台为基础,各云端信息相互连通,形成整体,使信息交流更高效,使、云计算的优势得到充分发挥。也可以在国际范围内家强共识,形成更大的平台,以实现信息的交流和处理,使云计算应用范围更广泛,为用户提供更好云端的服务。
3.3 建全法律法规,有法可依
云计算属于我国IT行业的基础设施,其建设的具有重要性,应有相关的立法来保证期顺畅实施。制定相关的法律法规捍卫云计算、网络信息安全。对于用户而言,访问云端的访问权限应有严格的法律法规来约束限定。对于提供商而言,运营商应尽可能规避风险,保证信息安全。在用户和运营商之间发生矛盾时,有相关的法律条款对其进行处理,使用户愿意使用更安全更便捷的方式处理信息。建立第三方监管审查机制,平衡提供商和用户之间的权利、利益平衡。
3.4 建立云计算信息安全评估体系
云计算的信息安全风险存在于云计算信息的整个周期中,随时可能发生。信息安全评估体系的建立,可以依据相关的信息安全技术和管理标准,对信息的整个系统、存储状态和传输处理过程, 进行安全评价,保证其机密性、可用性和完整性。通过对评估资存在的潜在威胁和安全事件所涉及的资产价值,来预测危险的存在,化解安全风险,保护云计算网络和信息安全。
信息安全评估体系可按阶段进行,准备阶段确定评估目标和范围,进行调研和研究;要素识别阶段,明确资产的风险程度,威胁的强弱程度;分析阶段制定相应的风险等级,确定风险;验收阶段,对整个评估进行总结和验收。
结论
云计算是近年来的研究热点,本文分析了云计算环境下的信息系统存在的安全隐患,着重探讨了其信息安全的解决方案,随着计算机和互联网技术的进一步发展,云计算的应用前景更加广阔,云计算环境下的信息安全问题也是值得长期探索的技术关键。
[参考文献] (References)
[1] John Rit t inghous e, Jam es Ransome. Cl oud Comput ing: Impl ement at ion, Managem ent , and Securit y[ M] . Boca. R at on. FL.USA: 2009 March.
[2]冯登国,张敏,张妍,徐震. 云计算安全研究[J]. 软件学报,2010(11) : 34-39.
[3] CSA. Security Guidance for Critical Areas of Focus in CloudComputing V2.1[EB/OL].[2010-05-10].http: / / /guidance /.