时间:2023-10-31 10:25:41
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇安全信息服务,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词 食品安全;信息追溯;终端查询
中图分类号:TS201 文献标识码:A 文章编号:1671-7597(2014)10-0137-01
当前食品、药品等关系国计民生的行业屡屡出现严重的质量问题,从毒果冻、毒酸奶、毒胶囊到三聚氰胺、瘦肉精、塑化剂等,无一不在震撼大众视听,社会上对于产品的质量安全保证要求呼声越来越高,企业也非常希望能建立一套完善的质量追踪追溯系统。《国家十二五规划》中明确提出要“建立食品药品质量追溯制度,形成来源可追溯、去向可查证、责任可追究的安全责任链”。
2007年吐鲁番地区提出加快实施“精品哈密瓜品牌战略”,开展了包括质量安全信息追溯体系建设等为内容的多种举措工作,新疆标准化研究院抓住这一契机,在当地相关部门的支持下,建设完成了“吐鲁番哈密瓜质量安全追溯体系建设应用示范”项目。项目的建设完成成为质监部门在开展质量安全信息追溯工作方面的首个应用示范工程。随后通过几年的努力,截至2011年,又先后在和田、吐鲁番、喀什、昌吉等4个地州对总计12个农产品完成了体系建设工作,取得了一定的效果:如追溯体系的建设得到国家中心及兄弟省市同行的认可,产生了一定的影响力;纳入平台企业的信息化管理水平得到了提高,农户取得了一定的收益。
然而,目前追溯体系建设工作的开展在定位、运作方式、系统功能完善及市场开拓和制度建设等方面还需要进一步地研究与探索,以满足食品安全信息追溯工作在新形势下实现快速发展的新要求。
1 平台网站建设
1.1 平台网站功能框架
架设应用子系统,主要包括“果蔬类追溯系统”、“乳制品电子信息追溯系统”、“水产品追溯系统”、“畜禽肉追溯系统”等,完善食品安全追溯信息中心数据库。
主要版块:新疆食品安全追溯信息查询服务,新加入会员的产品宣传,企业展示、营销,食品安全相关资讯的,力争将网站建成新疆权威的食品安全追溯网站;同时不断优化平台,提高在google、baidu中的排名。
信息方式以实现互联网、查询终端、电话、手机接入wap网站服务、短信等。
提供系统智能统计分析;整合各个已有的食品安全信息追溯应用服务,形成对外统计、查询接口。
1.2 为平台的可扩展性预留接口,实现追溯信息的资源共享
1)考虑与国家质监总局追溯平台数据对接。
2)与第三方检测机构数据对接。
3)考虑与销售终端网点、信息门户网站、网上营销等实现的数据对接与资源共享。
1.3 追溯码长度适应多样化要求
可依据企业需求,按照国家标准可自由选择在编码要求规定范围内编制追溯码;同时,查询平台满足不同长度追溯码的查询。
2 平台主要内容
2.1 平台的软件环境
软件环境:Windows 2000 Server以上的操作系统,Microsoft SQL Server 2000以上的数据库、IIS(Internet信息服务) 5.0以上、Microsoft .NET Framework 2.0以上、与Microsoft .NET Framework对应的Crystal Reports、Microsoft 2.0 AJAX Extensions。
2.2 平台建设目的
1)满足职能部门的监管需要;通过提供有效的追溯信息,为职能部门依法行政、打击假冒伪劣等工作提供服务。
2)满足企业管理的需要;“总平台”建设以“扶优抚强”为基本出发点,通过加强追溯信息链条各环节的管理控制工作,提升企业质量控制能力的水平。
3)满足消费者知情权的需要;通过强化企业的应用主体责任,向社会明示追溯产品信息的真实、有效并公开承诺责任义务,为社会监督企业行为获取追溯信息提供渠道。
4)满足研究部门提供有效服务的需要;通过对“总平台”管理体系、标准体系、技术体系的研究与建设,全面提高向社会各界提供有效服务的能力和水平。
2.3 平台特点
通过平台的建设,政府监管部门通过此平台可及时对企业及食品进行流向跟踪、抽检,并拉近了企业与消费者的距离,主要体现在以下几个方面。
1)实现信息查询的完整性。在种植/养殖过程、原辅料供应、生产管理、仓储物流、销售业务等各个环节采取合适的技术手段实时记录产品信息,可通过查询随时跟踪产品的生产状态、仓储状态和流向,以达到产品追溯管理的目的。
2)信息的唯一性。通过追溯码的唯一性,能够定位到每个或每批次包装产品。
3)信息查询的准确性。消费者查询到的食品安全信息应与企业食品实际生产过程相一致,保证数据的真实性,同时应对数据传输各环节进行监控,防止数据篡改和前后不一致。
4)信息查询的方便性。消费者可通过手机、PC、超市扫描设备等终端随时随地对食品安全信息进行查询。
2.4 平台建设原则
平台建设的5个原则:
1)法律法规为基础的原则:平台建设充分考虑政策的支持,贯彻落实《食品安全法》、《农产品食品安全法》、《标准化法》、《食品安全法实施条例》、《国务院关于加强食品等产品安全监督管理的特别规定》等相关法律法规。
2)政府引导、企业自愿加入的原则:以“会员制”方式发展成员,以三种模式开展会员制建设工作,一是“政府引导、企业参与”的方式带动区域追溯体系建设工作;二是以经济合作方式下的社团参与模式;三是企业化的运作模式。
3)符合“扶优扶强”的原则:加入平台的企业具备一定的条件,通过“准入制度”的相关要求进行审核评价后,满足追溯体系建设的最低标准要求方可成为平台的加盟企业。
4)企业应用主体责任原则:强调企业在食品安全信息追溯中主体责任的内容,通过落实企业在食品安全中第一责任人的角色,协助企业建立“食品质量安全记录制度”。企业对的信息确保其真实性、准确性、有效性,并向社会公开承诺。
5)整体规划、分步实施的原则:以完成追溯管理要求和查询的要求出发,逐步完成较全面的综合网站平台建设任务。
3 结束语
质量安全追溯系统的应用,无论对企业还是社会,都具有重大的意义和价值。对于企业来讲,追溯系统能解决其生产经营过程中的质量管理问题,有助于企业提高产品质量,提升客户满意度;对于社会来讲,追溯系统的广泛应用可以有效地实现产品质量监管。因此,无论企业还是政府部门都在不断加大力度推动生产、流通领域建立质量安全追溯体系。
市场需要安全集成服务
信息安全服务因为涉及用户信息化建设和管理制度的多个方面,显得更加复杂。“现在,信息安全、软件、网络,往往被企业分成三个包,在信息化建设招标中被分包给不同的企业,独立的市场需求使得这个产业很快成熟起来。”申龙哲这样说,“信息安全市场的快速成长速度也曾给产业带来了困惑,许多安全产品厂商还延用着以自身产品为中心,为用户提品、方案设计、系统集成、后期服务等多种信息安全服务的传统做法。但如今规模较大安全需求较高的用户进行信息安全建设时,通常要考虑多个安全平台的建设和协同,涉及多种产品和技术手段,关系到厂商、用户、主管单位和制度建设等多个方面,必须要有一个理论扎实、经验丰富,能站在更高的高度上统筹全局的安全服务提供商,来对项目的咨询、设计、选型、实施、服务等多个环节提供全面支撑。”
产业链亟待成熟
“目前安全服务市场包括两类企业,一类是安全产品厂商,另一类是信息安全的集成服务商。”申龙哲说,“信息安全集成服务市场还处在培育期,产业链需要成熟、明晰分工。比如说某些安全产品厂商也在将自己的安全集成服务业务剥离出来,在大型综合性项目里信息安全产品厂商和信息安全集成服务商为了实现更好的实施效果,也开始尝试进行全面的合作,这都是大趋势。”
按照公司整体战略的愿景,太极信息安全事业部提出了做“可信赖的信息安全服务专家”的发展目标,谈到太极的竞争优势,申龙哲成竹在胸。
首先,太极公司具有深厚的技术积累和人才储备。太极公司与华北计算技术研究所,从“八五”期间即开始从事与信息安全相关领域的研究和产品开发工作。华北计算技术研究所强大的研发实力和成熟产品与太极公司丰富的行业服务经验相结合,形成了太极公司强化网络安全集成方案的独特优势。
其次,太极非常注重在提供各类应用服务的过程中采用成熟的安全产品及技术,从中积累了大量系统集成服务的经验,结合太极近20年的行业服务经验,太极在提供任何网络系统集成服务方案时,都将实用、安全放在第一位,为用户“量体裁衣”制订个性化方案,这无疑是最符合用户需求的。
第三,太极一直强调以用户为导向进行开发。例如,太极公司在建设网络安全平台时一直坚持“博采众长”的原则。这使公司在挑选系统集成方案过程中,不带任何倾向性,始终坚持最优化的选择,坚持服务用户的思路,为用户搭建出性能最佳的安全平台。
第四,太极一直把“值得信赖”作为打造太极品牌的关键因素,公司成立20年来,积累了一大批核心用户,我们是与用户共同成长的。
申龙哲说:“在政府行业太极已经是信息安全集成服务的绝对领先者,但是我们更希望更多有实力的企业参与到竞争当中来,把市场做大、做规范。去年公司年终总结大会上我曾说:‘信息安全,希望与挑战并存。’希望我们的事业伴随信息安全市场的发展,在希望中不断成长。”
太极信息安全成功案例
•北京市建委网络安全运维服务项目(北京市建委)
•国家发展改革委计算机网络改扩建安全设备及软件采购与系统集成工程
•国家棉花市场监测系统安全系统建设项目
•外经贸专用网CA容灾备份项目网络安全项目
•国家工商行政管理总局网络与信息安全建设项目-基本防护系统建设及安全维护服务合同书
•北京市监察局纪检监察专网系统改造工程项目
•外交部“某系统”防病毒、内网安全软件及IPS设备采购项目
•外交部“某系统”网络交换机采购项目
•某网络安全防范系统建设
•重要网络风险评估服务政府采购项目
“十二五”期间,软件技术和产业格局孕育着新一轮重大调整,软件产业面临网络化、服务化、智能化、平台化、融合化五大发展趋势。国发[2011]4号文增强了对软件产业的扶持力度,这必将催生软件和信息服务新星的出现。
无论是基础设施、资金、人才还是政策扶持,甚至是项目推介和品牌宣传,软件园区这片沃土都给软件企业带来丰富养分。《中国计算机报》“软件园区”专栏,记录软件企业崛起,见证软件产业发展!
如今,电子取证和计算机法证业务在欧美发达国家和我国香港地区已经相当成熟,除了主要应用于金融行业外,在政府和企业中也有了相当多的应用。IDC 统计显示,2011年全球电子数据取证市场的规模达到18 亿美元,预计2015年中国电子数据取证将达到近10亿元人民币的市场规模。
电子取证:安全不可缺的一环
2012年3月,中国内地和香港地区最高级别的计算机法证技术协会——中国计算机法证技术研究会(CCFC)、香港信息安全与法证公会(香港ISFS)正式授权上海浦东软件园信息技术股份有限公司(以下简称浦软信息)为其华东代表处,这标志浦软信息拥有了国内领先的电子取证平台。
2012年7月,首次移师上海的第八届CCFC计算机法证技术峰会在上海浦东软件园举行。会议期间,由浦软信息投巨资新建并已投入运行的高水准电子数据司法鉴定实验室(以下简称取证实验室)及配套设施受到了海内外参会者的关注和期待。取证实验室包含了计算机鉴定人员从事涉及计算机犯罪案件受理、电子数据勘查、调查取证、数据恢复、密码破解、鉴定分析、证据存储等13个专门区域,并已经与CCFC和香港ISFS做了业务上的对接。
据上海浦东软件园信息技术股份有限公司总经理叶慧介绍,浦软信息将集全公司之力把取证试验室建设成为国内在技术与硬件条件上最卓越的实验平台。浦软信息的取证业务将由单一的取证产品向多样化、个性化服务转变,最终形成以自主取证产品销售、司法鉴定服务和专业取证培训为核心的三位一体的业务模式以及“事前预防、事中响应、事后取证”的整体信息安全解决方案。
公司成立了专业的市场销售团队,通过整体的设计与市场策划来推广取证业务。
如今,浦软信息更希望将已经拥有的平台资源和取证业务推广到信息安全市场较成熟的地区,与更多的业界同行一起培育电子取证市场。叶慧强调,浦软信息作为计算机安全防护领域整体解决方案的提供商,有义务和责任通过自身的努力为社会带来更多的价值,并以此作为自己的使命和社会责任。
取证培训:旨在完善认证体系
工欲善其事,必先利其器。专业取证培训是浦软信息取证业务中很重要的一环。取证实验室研发出许多基于高端技术的取证产品,其精心设计的培训教室拥有各类多媒体设备,能够满足取证技术领域内的各种培训要求,并已经举办过多次各类层次的取证培训。
第八届CCFC计算机法证技术峰会引入了海外专业培训方式,在由香港ISFS开办的研习会上,结合实际案例,对计算机法证技术应用及信息安全防护进行专业指导。
浦软信息之所以花大力气开展取证培训业务,就是预见到取证市场的前景将无限广阔,需要一个成熟的资质认证体系,构筑一个中国取证行业专业、统一的标准。因此,浦软信息规划了取证资质认证培训的发展方向,那就是明确自身的市场地位,完善取证实验室的培训体系和业务,今后将与海内外专业机构合作,继续拓展培训业务,最终得到政府部门和业内对浦软信息取证培训资质认证的认可。
制度创新:确保信息业务拓展
今年2月15日,上海股权托管交易中心正式开张,浦软信息成为首批挂牌OTC(场外交易市场)成员。这对浦软信息来说无疑是一个重要的转折点——浦软信息已经从一家中小型的以产品销售为导向的IT公司转变为一家以IT服务为核心的非上市公众公司。
浦软信息希望通过OTC挂牌交易,在为股东和其他投资者提供更多选择的同时,通过股权的发行和交易使得公司的法人治理结构更加规范和严谨,这对浦软信息未来发展是至关重要的,也是最大的挑战。另外,作为公众公司,浦软信息必须考虑到诸多方面的影响,决策上必须更加谨慎,对内部资源的安排也要考虑得更细致,要有平衡企业资源的能力,包括客户和市场资源,要投入更多的资源来支持和规划新的公司制度和运转。对此,叶慧信心满满。
优秀基因:可持续发展的动力
作为一家还处于成长期的中小型IT企业,浦软信息还有相当大的提升空间,但公司管理层始终保持着危机感,对市场保持高度的敏感,业务上真正做到以客户为导向,技术上不遗余力地投入人力物力。追求“优秀”是浦软信息始终坚持的目标。
何谓“优秀”,叶慧对此做了进一步诠释。
“优秀”体现在专业上,就是要有专攻方向。在信息安全领域浦软信息已经有十几年的经验,这既是公司的优势也是公司的品牌。同时,这种专业还要体现在技术研发的能力上,使之成为浦软信息的核心竞争力。作为一家IT公司,技术是最重要的生产力。
“优秀”体现在人才上,就是把员工视作企业发展中最重要的资产,将管理团队与技术团队作为企业的核心。浦软信息的股权结构中也有员工持股,这体现了公司创始人开放的胸襟。
“优秀”同时也体现在健康上,浦软信息未来的目标是上市。作为公众公司,需要给股东和员工持续的回报,这是相当重要的。作为一家肩负着社会责任的公众企业,体制一定要健康,不能一味盲目地追求增长速度,企业发展方式和公司结构至关重要,这也是企业可持续发展的前提。
IT行业内真正能够屹立不倒的百年老店一定具备“优秀”的基因,而不是纯粹靠包装和粉饰;同样,有了这些“优秀”的基因,一个升级版的浦软信息将从企业级信息安全服务行业中脱颖而出,也就有了底气。
记者手记
人生就是一场修炼
从上海市经济和信息化委员会到上海浦东软件园总部再到浦软信息,叶慧的角色在不断转变,虽然都涉及IT和通信行业,但视角却大不相同。尤其是调任浦软信息后,叶慧从原先站在宏观角度转变为以企业职业经理人的微观角度来审视IT和通信行业,同时还要承受着国有企业职业经理人特有的压力。
是什么信念使得叶慧能够在应对不断出现新的挑战和压力时如此谈定和柔韧?答案就是被叶慧视为励志誓言的《孟子·告子下》中的名句:“天将降大任于斯人也,必先苦其心志,劳其筋骨,饿其体肤,空乏其身,行拂乱其所为也,所以动心忍性,增益其所不能。”叶慧认为,一个职业经理人即使在处于坎坷时,也要保持良好的心态,不逃避不回避各种困难,积极面对挑战并拥有破解难题、果断决策的信心。
以一种域名系统命名的DNS服务器系统以及在浏览器中输入域名调出,通过浏览器进行远程II管理的WWW服务器配置,可以在任何服务器或者工作站打开浏览器,和FTP服务器配置作为计算机网络的服务器配置的一般分类,从信息安全技术角度来看,以信息安全病毒或者黑客入侵技术等特点作为分析对象,建立服务器安全配置预防机制,首先对服务器自身的安全性进行自主强化。首先加强改版操作系统安全管理软件,做到可以应用服务包来预先防范已知的网络安全漏洞,修复安全补丁。逐步完善计算机操作系统的服务功能,保护登入帐号的安全,删除不经常使用的软件,保证服务器内置的洁净。并且在服务器安全设置能够高效运行的前提下,寻求最高的计算机安全级别,用以强化服务器操作系统。
二、FTP服务器的安全配置
本地用户和组是以管理本地智能网络模块的一项管理工具,存在和运行于Windows的计算机当中,因此在Windows的安全策略中占据重要地位。通过服务器可以控制单独使用的FTP站点,可以确认用户账号安全,控制网络中有不安全性的匿名访问以及IP地址限制。在密码设置时要确认第二到第六个为止中一个或一个以上的符合或字符,并且保证至少七位字符的长度,用以加强密码的安全设置。在主目录的界面上,可以设置出有关于FTP站点的主目录和权限,再通过目录安全性的选项中,如果IP地址方式出现限制用户访问的情况,应该默认FTP服务器中全部IP地址的访问权限。
三、制度Window服务器安全策略
首先需要将远程桌面窗口的默认端口修改,对系统管理员的默认账户进行重命名,同时取消正在网络连接中的文件和页面,停用打印共享,关闭guest用户使用权限。如果出现防护墙高级设置窗口,应该勾选出W服务和安全Web服务。并且还要注意开放短信的发送平台端口,设置开启Windows的防护墙。其次,禁止Printspooler打印服务、Wirelessconfiguration无线服务以及在局域网和广域网环境中为各个企业提供路由器服务的RoutingandRemoteAcces以及远程注册表等无关服务。并且在打开注册表时,禁止IPC空连接,删除默认共享,新建AutoShareServer把值修改为0。在用户权利分配下,通过网络访问计算机时删除权限,启用不可启动的匿名访问账号和共享。点击“开始菜单”在“管理工具”选项中选择本地安全策略,如果在设置审核登陆过程中,在事件查看器里的安全日志记录登陆失败的信息。在服务管理器的管理界面中,从“站点名称”中点击“属性”项目,需要对计算机日志的高级属性进行设置,扩充记录属性界面,保存日志地址。通过“目录安全性”选项,可记录FTP行为日志,以便惊醒计算机系统的分析和管理。以此同时,记录每一个用户的FTP行为日志,在各个FTP站点启用日志访问选项。通过以上的对计算机信息化安全技术的分析和操作,我们确定从传统的计算机安全理念发展到具备可信化为重心的计算机安全,在硬件平台上引入安全芯片。例如TCP的访问控制、TCP安全操作系统的安全应用。
四、结语
表面工程信息服务平台以基于web的B/S结构整合了专家系统、远程教育系统、价格系统、文献资源库等资源,服务表面工程界。对于任何一个网络平台而言,不安全是绝对的。安全是相对的。采用适合有效的安全策略。才能保证网络平台的正常运行。本文就该平台的安全策略的选择作一下阐述。
2 平台运行环境
运行环境是平台安全策略的基本要素之一。除了平台所使用的服务器要稳定可靠之外。对网络接入服务提供商(ISP)也要高标准、严要求。
2.1服务器端配置
服务器端操作系统Windows 2000Server/Advance Server以上;
服务器端运行环境;Tomcat5.5;
系统开发工具:JavW/JSP;
数据库:SQL Server 2000。
2.2服务器端网络接入
专业电信级机房,共享100M带宽,10M独享更佳。要求99.99%网络连通率,7×24小时服务响应。
3 平台安全策略
本平台的安全策略包括系统平台、应用平台、数据库平台、网站等四个方面。
3.1系统平台安全策略
对于系统平台的安全,主要考虑操作系统安全漏洞、恶意的黑客攻击、病毒攻击等方面的安全问题。通过采用C2安全级操作系统,提供用户身份认证、审计、授权、访问控制等功能,从而保障了整体电子商务业务系统平台的安全。
应用服务器产品及其升级自身必然会存在一些缺陷和漏洞。随着应用的逐渐深入,这些不足之处也会随着显露出来,这就要求我们及时跟踪这些产品的补丁信息,及时更新升级产品,防止利用产品自身漏洞进行非法攻击,增加我们整个应用系统的安全性。
3.2应用平台安全策略
对于应用系统安全,我们设计的策略是三个方面:身份认证、权限管理和应用攻击的防范。
应用系统安全是指应用系统本身在使用时的安全性,具体地说它包括两个方面:业务逻辑上的安全和应用系统的反攻击。业务逻辑上的安全是指业务程序和数据的使用权限(只有指定的人才可以接触到指定的程序与数据)和功能互斥(使用者可以排他性地控制特定数据)。应用系统的反攻击是指防止使用者利用系统中的漏洞非法使用应用系统。
在业务逻辑上的各个子系统和各个环节中,都要对用户的身份进行认证,使用加密算法对用户口令进行加密。以保证用户的合法性和口令的安全性。然后在此基础上,根据每个用户在应用系统中担当的不同角色,再对其权限进行管理,使不同级别的用户在应用系统中具有不同的功能权限,通过访问控制机制来控制用户的访问和操作。
对于用户的登录处理,均采用验证码及同一IP密码错误封锁机制,防止了密码暴力破解之可能,最大程度保证了数据的完整性、安全性。
3.3数据库平台安全策略
数据系统安全设计从数据库系统、数据传输和数据备份与恢复这三个方面来考虑的。
数据库系统安全设计采用两种策略,一种是安全级别和安全控制策略,包括用户标识和鉴别、存取控制(自主存取控制,强制存取控制)、视图机制、审计、数据加密等。
另一种策略是建立数据库灾害防范机制,包括采取各层次数据库异地备份机制。数据备份与恢复是保障数据系统安全的必要手段。通过建立数据恢复和容错处理机制,当系统数据出现问题的时候,把对数据的破坏减低到最小,并能够对损坏的数据进行恢复。
此外在数据传输方面,可采用数据加密机制对网络上传输的数据进行加密。
3.4网站的安全策略
3.4.1从技术层面来看,我们着重在以下几个方面进行改进和加强。
服务器系统:
服务器考虑使用技术手段,将电源,磁盘,各关键服务器内部配件部分设计为冗余和热插拔,防止单一配件和故障的发生影响所有网站系统,并且要解决故障件的方便在线更换维修。
网络层:
不能将外网网站服务器在公网上,否则就暴露了服务器系统以及数据库的很多重要关键信息,所有的网络攻击和破解行为将直接面对服务器系统和数据本身。需要应用具备良好防护能力的防火墙设备将服务器系统隐藏,并且保障业务和应用的正常访问和运行。
应用层:
服务器系统和数据库系统,包括BSS等业务应用的代码系统本身的脆弱性和不健全,导致了有许多基于应用的漏洞可以被外网所破解侦测,因此在应用层上也需要设置针对应用层漏洞,包括病毒、木马的入侵感染行为防护的应用级网关设备,为整个网站系统把好应用访问的大门。网站前架设入侵防护系统,可以智能地识别绝大多数基于应用的攻击行为,保护了网络内部服务器系统的漏洞和数据库漏洞,对于网站内容篡改、数据窃取、密码盗窃、信息窃听等攻击行为可以起到很好的防护作用。并且可以智能地识别蠕虫、木马、病毒等多种危险程序的入侵和发作。
3.4.2数据的存储备份恢复
网站系统以及数据库系统,包括内部的各类程序、代码、文档和数据本身都可能遭到外网恶意攻击者的窃取、篡改、删除和破坏。因此所有的系统数据都需要有妥善、安全、方便的方法进行备份,以便发现情况时能够尽快、灵活地对所有网站进行恢复,以保障网站系统的健康和再生能力。
由此,从服务器性能,到网络层面安全隔离过滤,再到系统平台应用级的智能防护,网站和内部网络的整体安全将极大地提升数个层面,使得以往的各类来自于Internet的网络安全问题和各类风险隐患极大地降低甚至杜绝。
商业银行一直是信息化浪潮中的先行者。我国银行信息化进程最早可以追溯至20世纪80年代,以单机应用为起点,先后走过了县域微机联网、城市集中、省域集中、全国数据集中的发展历程。时至今日,我国商业银行已基本实现信息化,建设成了能够提供7×24小时不间断服务并覆盖城乡的庞大信息系统。20世纪90年代,网上银行的出现标志着我国银行业服务从“线下”走向“线上”,并由此开启了银行渠道转型之路,以网上银行为主的电子银行业务得到了迅速发展,交易替代率成为这一时期银行衡量信息化水平的重要指标。据统计,2009年到2014年,我国商业银行的电子银行交易替代率从49%上升至80%(见图1),但自2014年开始其增速明显放缓,且预计在未来几年将维持较低增速。交易替代率增速的放缓表明,以渠道转型和规模扩张为主要特征的银行信息化阶段正在接近尾声。而随着经营环境变化,信息技术进步以及公众金融意识的觉醒,从“银行信息化”到“信息化银行”的时代正在到来。信息化银行是更高级的银行信息化过程,它通过对信息的集中、整合、共享、挖掘,使银行的客户服务、经营决策、战略制定发生质的变化[1]。各大商业银行已普遍将信息化银行建设提升至战略高度,并提出新的经营理念[1-2]。理论界也紧跟信息化银行变革趋势,开展了广泛研究。谢平较早提出互联网金融模式,指出现代信息科技将对传统商业银行融资模式产生颠覆性影响,网络信贷模式将为优化资源配置做出贡献[3]。宫晓林指出第三方支付平台已对传统银行业务形成替代,使银行退居支付清算的后台[4]。王召认为银行不能仅靠发展金融互联网来消极抵御互联网金融的威胁,而要将争夺信用数据制高点做为重中之重[5]。樊志刚分析认为目前商业银行已在互联网金融的竞争中处于被动,必须主动采取大风控、大数据、大平台等竞合战略[6]。王硕对互联网金融下客户行为变化进行分析,从客户、网点、渠道、产品等角度开展银行转型研究[7]。冯娟娟认为互联网金融背景下的商业银行在资产实力、客户资源、风控体系等方面仍具有绝对优势[8]。赵立志认为互联网金融的“野蛮”生长带来了极大的信息安全隐患,包括商业银行在内的互联网金融企业在业务发展中必须重视信息安全保障[9]。现有研究主要是在信息化银行变革大背景下集中于探讨互联网金融对商业银行的业务影响以及商业银行如何应对互联网金融环境,但尚未揭示出信息化银行较为明晰的发展脉络,也未明确指出引领信息化银行革新的核心驱动力。本文将在深入分析目前经营环境最显著变化的基础上,明确提出发展信息化银行的三元驱动模型,并对信息化银行建设实践提出对策建议。
二、信息化银行经营环境变化趋势分析
信息技术在迅速提升商业银行金融服务能力的同时,也本质性的改变了商业银行内外部经营环境,商业银行在新一轮的信息化浪潮中正面临着新的挑战和机遇。
(一)从外部竞争看,互联网金融的蓬勃发展,挤压了商业银行的盈利空间
2013年以来,以互联网理财、P2P网贷为代表的互联网金融获得爆发式增长。以余额宝为例,其规模已超过7000亿元,相当于国内一家中型银行的总资产规模。互联网金融对商业银行最直接的冲击主要体现在三方面:一是负债端。四大行2014年报显示,作为银行最优质资金来源的个人存款,增速正在大幅下降,尤其是个人活期存款增速由2013年的13.3%迅速跌落至3.8%,导致银行资金使用成本上升。二是资产端。我国靠大规模投资拉动经济增长的模式已告一段落,进入了“大众创业、万众创新”的新时期。据调查,融资需求在50万以下的企业约占55.3%,87.3%的企业融资需求在200万以下[10]。目前商业银行的信贷业务模式远不能满足这类小微企业的融资需求,也不能适应经济结构转型的新常态,而网贷平台则在突破传统信贷模式和服务实体经济上活力突显,率先占领了逐渐繁荣的长尾市场。三是中间业务环节。据统计,第三方支付和移动支付已经超越了商业银行提供的网上银行、POS机等支付渠道,抢占了支付市场前两名位置(见图2)。这不仅蚕食了商业银行的利润来源,还使商业银行的支付业务逐渐远离交易环境,无法获取个人用户的消费行为和企业用户的供应链条中的宝贵数据。互联网金融之所以取得成功,根本在于其立足于普惠金融,为用户提供了门槛低、场景化、使用便捷的数字服务,颠覆了商业银行重资产规模、轻客户服务的传统经营模式。
(二)从内生需求看,海量数据不断积累,潜在价值有待挖掘
迈尔•舍恩伯格在《大数据时代》中写到:“凡是过去,皆为序曲”[11],在“互联网+”时代,大数据的积累和应用带来了商业思维和商业模式的升级变革。商业银行依托信息系统大规模应用部署和运行,已经聚集了海量数据。以资产规模最大的工商银行为例[2],其信息系统中存储的各类数据总量已达700万GB,其中用于挖掘分析的数据在近7年增长了30倍,此外语音、图片等非结构化数据以每年50%的速度增长,总量已达820万GB。可见商业银行已坐拥巨大的数据资源宝藏,但大多数数据仍处于“沉睡”或“孤岛”状态,未能在实际业务服务中实现增值。因此,对于商业银行而言,已具备了大数据应用的条件和优势,但缺乏相应的思维和机制。在信息化银行时代,充分利用大数据提升商业决策和服务效能,将是未来商业银行完成转型、争夺市场的关键。
(三)从风险环境看,信息安全形势愈发严峻,“互联网+”转型面临考验
近年来,商业银行信息安全事件频发,轻则发生客户信息大量泄露,重则导致银行信息系统全面瘫痪数日,这是信息化银行将要长期面临的重要隐患。信息安全事件多发的主要原因可归结为以下因素:一是针对银行信息系统的攻击愈演愈烈。银行信息系统关乎国家安全、社会稳定和公民资金财产安全,加之其线上平台不断开放,容易成为网络攻击的目标。二是新型攻击威胁巨大。当前黑客组织呈现出集团化、规模化、高水平化趋势,攻击行为潜伏期长、特征弱,善于利用未知漏洞形成突破,再逐层渗透,给现有防御体系带来巨大威胁。三是新兴线上业务增长带来安全隐患。为了快速满足不断增长的线上业务需求,系统研发周期不断缩短,导致系统漏洞增多。2014年,国家互联网应急中心向包括银行在内的重要信息系统部门通报漏洞事件9069起,较2013年增长3倍③。四是信息系统架构日趋复杂,考验安全可控能力。系统规模的不断扩大使得信息安全技术架构日趋复杂,安全加固点增多,系统产生海量信息难以被及时处理。目前银行缺乏有效的关联分析手段,难以实现网络安全态势感知和联动防御。
三、信息化银行的“三驾马车”及三元驱动模型
从上述分析看,商业银行迫切需要推动信息化银行建设,积极应对内外部经营环境变化,打造全新的核心竞争力。本文认为,数字服务、大数据和信息安全将成为驱动信息化银行发展的“三驾马车”,引领商业银行走上下一个高速发展的轨道。
(一)数字服务驱动信息化银行的BaaS转型
BrettKing在《Bank3.0》中提出BaaS(Bank鄄ing-as-a-Service,银行即服务)模式[12],即未来银行将不再是一个地点,而是一种行为,一种无处不在的服务。未来金融服务将是一场为客户提供优质服务的数字战役,线下网点的规模化扩张以及线上数字渠道的粗放式拓展将不再是主流。在BaaS模式下,信息化银行数字服务的本质是在充分建立规模优势和渠道优势的基础上,为客户提供智能便捷、注重体验的数字服务,它包括以下几个方面:一是数字服务的智能化。智能化要求快速定位客户需求,简化操作流程,实现高效的客户交互。例如,银行已开始尝试使用VTM(虚拟柜员机)设备来提供远程银行服务,实现对公零售业务的自主办理,使用户摆脱“取号+柜台+纸质材料”的低效人工服务模式,充分享受智能化的数字服务。二是数字服务的移动化。金融服务的移动化是实现BaaS模式的关键,商业银行已普遍搭建手机App移动平台,并以此为网络入口努力开展与移动产业生态的深度融合,尤其是在移动互联网深度改变客户行为模式的背景下,提升操作性、互动性、安全性以及解决客户痛点将成为移动银行革新的突破口。三是数字服务的场景化。数字服务的场景化将成为信息化银行争夺客户流量的新特性,这要求银行将金融服务与非金融服务嫁接,嵌入到日常生产生活场景中,并与整个互联网生态体系进行深度融合,以获得长期的用户粘性和持续的商业变现。目前,场景化应用趋势已初现端倪,如“网购+理财”(余额宝)、“网购+贷款”(网络消费金融)、“线上+线下”(移动支付)、“数据+授信”(数据网贷)等。四是数字服务的协同化。协同化要求银行整合既有的数字金融服务,打通业务间的逻辑连接,并与整个互联网生态圈开展外部协作,实现业务流程再造和数字服务能力提升。无论是传统大型银行还是新兴民营银行都在开展这样颇具革新性的实践。例如,工商银行的E-ICBC战略整合了电商、通讯、直销三大平台,为客户提供大一统的综合金融服务。阿里系的网商银行拟整合支付宝支付功能、余额宝融资功能、招财宝理财功能、蚂蚁微贷贷款功能、芝麻信用授信功能等,建立信息化银行数字服务的协同生态体系。
(二)大数据驱动信息化银行的商业智能转型
事实上,海量信息处理对于商业银行并不是一个新的课题。在信息化进程中,银行始终强调高速、稳定、精确的数据处理能力,长期以来,严谨、机械和弱相关是银行数据的特点。而进入信息化银行阶段,数据变得开放、动态、高附加值,将逐渐实现由资源性向应用性的跨越,银行更加关注数据的建模、分析、挖掘及使用,大数据的应用成为新的课题。鉴于数字服务已向经济社会各微观领域渗透,利用大数据提高商业智能既是商业银行的迫切需求也是先天优势。银行可以通过各类服务渠道获取海量数据,再通过对这些数据进行加工、整合、分析,实现数据增值,提升各个经营领域服务效能。例如,在零售业务领域,银行可以通过历史交易数据、资金结构数据对客户进行分层管理,并通过对客户消费行为变化、资金变化数据以及外部非结构化数据(如社交网络数据)的分析,实现金融产品的精准营销,并提供非金融增值服务,从而在产品差异小、可替代性强的零售业务领域脱颖而出。在对公业务领域,银行可以通过在线供应链金融平台实时客观的掌握核心企业及上下游企业的信息流、物流、资金流数据,经大数据关联分析后,既可以掌握某一个企业的整体经营状况,并以数据分析结果为依据进行授信和放贷,又可以从宏观视角分析行业发展趋势,指导对公领域的战略调整。在风险管理领域,可根据交易数据、社交数据、工商数据等内外部数据,完善小微企业或个人信用模型,使银行更好的开展高风险的小贷业务;还可以基于电子渠道的海量数据完成电子账号正常行为基线建模,再通过聚类分析以及实时流数据挖掘等方法进行异常事件检测,从中识别网络欺诈、账户盗用等行为,提高线上交易的安全性与便利性。如上所述,大数据将成为信息化银行的大脑,调动各个业务领域的商业智能转型。数据的处理和分析也将不再局限于银行科技部门,而是将渗透于银行的整体战略发展中。
(三)信息安全将驱动信息化银行的安全可控转型
商业银行是国民经济命脉的重要环节,安全性是其稳健经营和持续发展的基础。随着业务和技术的深度融合,信息安全已成为信息化银行转型创新与健康发展的基本前提和重要驱动,实现安全可控亦是信息化银行的重要目标之一。信息化银行下的信息安全范畴,主要包括安全和可控两个方面。一是安全。随着业务模式逐步开放,信息化银行的安全性将与整个互联网日趋复杂的信息安全生态紧密相连,这对银行的信息安全能力提出了极高的要求。首先是敏锐的安全感知能力。信息化银行互联互通,形成“木桶效应”,银行系统任何与外界相连的风险点都有可能成为整个系统被入侵的突破口,因此信息化银行要实现业务拓展必须强化风险监测和安全态势感知能力。然后是坚固的安全防御能力。传统的关注单点防御和阶段性防御的孤立安全思维已不能有效应对新型安全威胁,需要构建系统间联动、内外网联动、前后动的立体化智能防御体系。最后是合理的安全规划能力。在信息化银行时代,用户对金融服务的便利性和安全性都要求极高,要处理好这对天然矛盾,就需要将安全纳入到业务创新的整体规划中,针对业务场景实施有效的关联梳理分析。二是可控。随着互联网金融服务的不断创新,商业银行将不断面对类似于“双11”、“抢红包”等新型业务场景,经验表明,当前银行信息系统架构在应对业务的多样性和多变性上已显现不足,这制约了银行业务创新转型进程。因此,银行应改变目前关键IT基础架构和核心业务系统过度倚赖第三方厂商的现状,加强顶层设计,推进深度自主研发,进一步增强核心系统架构的灵活性和安全性,提升对关键技术的掌控力,主要思路包括:一要以业务为导向,逐步向云计算服务模式迁移;二要从“IOE”向x86架构转型,降低成本的同时,规避技术依赖风险;三要坚持开源软件与自主研发相结合的技术发展路线;四要通过业务创新推动技术创新,实现基础架构的高可用。未来信息化银行将承载十分复杂的互联网金融生态,信息安全将从银行科技层面升级到战略层面,并被纳入整体能力建设和发展规划中,成为高速发展中控制稳定性的重要驱动。
(四)信息化银行三元驱动模型
经过对“三驾马车”的分析和论述,可以发现信息化银行将形成以“三驾马车”为核心驱动的战略发展模式,在此总结为一种三元驱动模型(见图3)。数字服务、大数据和信息安全分别解决信息化银行经营中所面临的主要问题,并引领其在BaaS、商业智能和安全可控三个方向上开展转型。三者分工明确、缺一不可,同时又互为促进、相辅相成。一是数字服务使客户更好的感知银行,并在服务体验中产生大量有价值的数据,大数据使银行更好的认知客户,从而有针对性的提升数字服务能力。二是数字服务的发展依附于信息安全服务水平的不断提升,信息安全能力的不断完善将保障数字服务更加大胆的开展金融服务创新。三是银行大数据的存储和使用本身会带来数据安全和隐私保护问题,需要安全技术和安全管理的双重保护,而大数据技术同时又能够帮助银行在金融信息安全感知防御能力上取得突破。
四、“三驾马车”视角下商业银行实践信息化银行的策略
根据前文的分析阐述可见,信息化银行趋势已成,以“三驾马车”模式为抓手开展经营发展模式转型,将使商业银行在“互联网+”时代占据战略主动。本文以信息化银行“三驾马车”的观点为视角,结合我国商业银行实际情况,从纵横两个维度对商业银行实践信息化银行提出相关对策建议。
(一)纵向上持续发挥“三驾马车”的驱动优势
一是以互联网金融为导向,加快完善金融数字服务。商业银行应在网上银行、手机银行良好的发展势头以及网点转型有序进行的基础上,根据各自情况,不断开发和完善自有电商平台、资产管理平台、网络信贷平台、移动金融平台等新兴业务平台,积极探索特点鲜明的互联网金融服务品牌化路线,建立综合化数字金融服务生态圈。鉴于商业银行普遍欠缺互联网基因,且互联网金融业务开展较晚,还可选择曲线发展路线以提升数字服务能力。一种是外部合作模式,可通过收购具有潜力和规模的电商或投融资平台,也可联手大型互联网企业开展线上金融服务创新,弥补自身业务体系不足;一种是差异化竞争模式,盯紧蓝海,快速切入,例如在农村市场,可以充分利用银行网点和声誉优势率先发展农村电商平台,还可以研究将支付理财通过移动金融等服务手段嵌入到田间地头,满足农民农户的理财需求。二是坚持“数据治行”的现代经营理念,充分挖掘大数据价值。要积极开展内部商业数据的搜集整合,并通过爬虫等技术主动式的定向获取有价值的网络数据,以及广泛与互联网企业、工商、税务等开展外部数据合作,解决商业银行数据“难搜集”问题;大力推进数据治理,明确数据标准,明晰管理流程,严控数据质量,并以业务数据、技术数据、管理数据等为分类建立企业数据模型作为各项目的参考数据模型,解决数据“不可用”问题;努力提升数据使用能力,开展数据分析技能培训,以各业务条线为主导进行大数据应用立项,建立业务部门、数据管理部门及科技部门的协作沟通机制,引入试错和反馈机制,深度挖掘数据潜能,解决数据“不会用”问题。三是将信息安全纳入企业战略规划体系,切实提升安全可控能力。要提高对信息安全的认识程度,将安全可控视为信息化银行建设中的“马拉松”,化被动安全为主动安全,推动信息安全规划向上层迁移。建立从企业战略和业务需求角度出发,到系统架构、到技术架构、到实施管理、再到新业务架构变更的全生命周期安全规划框架,确保安全规划的持续性、可操作性以及实施弹性,使信息安全能够全面融入到开发测试、生产运维、业务运营等各个环节。在提升安全规划层次基础上,还要持续加强安全技术研究,落实安全管理规范,提升安全检查评估,将银行信息化阶段的有效安全措施进行转型升级,切实提高信息化银行的安全治理能力。
(二)横向上积极发挥“三驾马车”的协作优势
一、信息资源云服务体系及信息资源安全风险
信息资源云服务是通过云计算将分布式的信息资源进行资源整合、信息分析、数据挖掘等一系列操作后,为用户提供满足其信息需求的一种云端服务模式。信息资源云服务的客体是信息资源,主体则为云用户,在信息资源云服务体系中,大部分信息资源都存储在云端,因此,信息安全成为一个不得不考虑的问题,而这一问题牵涉信息资源云服务体系的各个方面,要想解决信息资源云服务的安全就必须结合通过云计算构建信息资源的流程及方法。信息资源云服务体系主要涉及资源层、用户层、服务层三个核心层次。
1.资源层与安全风险资源层是信息资源云服务体系的基础,旨在为用户提供满足需求的丰富的信息资源,主要通过终端输入和网络爬虫的方式采集信息资源后进行存储,建立资源池并生成信息索引。终端输入是信息资源供给方将本地的信息资源数字化后上传到云端服务器,而在数据传输过程中或许会面临遭遇网络攻击与重要信息资源被截取的可能,即信息资源传输风险,从而造成巨大的损失。资源层采集信息资源的另一种方式是网络爬虫,即网络爬虫是一种按照一定的规则自动抓取万维网资源的程序或者脚本,能在抓取一个或若干个初始网页的URL和网页内容的同时通过数据库比对、自然语言理解、交叉语言检索、数据挖掘等技术进行提取并建立自身的数据库。信息资源云服务的目的之一在于共享,但为保持各个信息资源供给方自身的优势,又有必要保留其特色信息资源,并且只能通过接口的方式访问,而网络爬虫的肆意抓取将会导致诸多信息资源供给方面临信息资源访问权的风险。另外,云存储风险是存在于资源层中的较大问题,云端数据的丢失将使整个信息资源云服务体系失去作用,例如,微软提供SIDEKICK服务曾中断了一个星期,导致用户不能访问自己的邮箱、日历还有其他个人数据,并且微软最后也承认这些数据无法恢复。因此,信息资源云服务中数据的完整性、可用性、保密性是开展云服务的基础。
2.用户层与安全风险信息资源云服务体系中资源池的构建不仅取决于云端信息资源的储备,也涵盖用户这一层面。在整个信息资源云服务体系中,云用户的信息需求直接影响信息资源的构建方向,云用户的个性化特征将指引服务模式的创新,因此,用户与信息资源云系统的交互在服务体系中担当着不可估量的角色。两者之间的交互具体体现在用户根据自身的信息需求向信息资源云系统请求服务和信息资源云系统分析用户信息行为两个方面。第一个方面,用户在请求服务前必须登入自己的云端账户以获取自己所需的信息资源。信息资源云服务的构建中用户分为普通用户和管理员用户,不同的用户拥有的权限必须有所区别。在信息资源云系统针对不同用户提供服务时,许多信息资源都要经过二次加工后才能满足用户的需求,而这类加工操作则必须由信息资源云系统的管理员才能完成,因此,权限的设定在服务中尤为重要,否则将引发管理权限风险。第二个方面,为了提供更好的个性化服务,信息资源云系统需要对用户的信息行为踪迹进行收集和分析,通过数据挖掘等技术发现用户的隐性需求,这也是云计算中普遍使用的一种方法。用户的个人信息行为属于用户隐私的范畴,因此云计算提供的服务与用户隐私间存在着持久的矛盾,对用户个人信息行为的分析是云计算提供更好服务的前提,但此举实际上又侵犯用户个人隐私。对于普通用户而言,用户隐私保护也是信息资源云服务的构建中迫切需要解决的问题。
3.服务层与安全风险信息资源云服务层为用户提供信息资源的检索、个性化定制、推送、云管理等信息资源云服务。信息资源云服务体系中使用的是公共云、私有云和混合云三种模式。信息资源公共云是第三方提供商为信息资源用户提供的能够使用的云;信息资源私有云是为一个信息资源用户单独使用而构建的,提供对数据、安全性和服务质量的最有效控制(这里的用户通常是信息资源方);而信息资源混合云则是两种云的混合,具备两者的基础特征。在信息资源云服务中,三种云之间的访问应是无缝连接的,能够同步完成信息资源的检索、个性化定制、推送等操作,要实现这些功能,必须拥有信息资源云管理的统一标准。轻量目录访问协议(LightweightDire-ctoryAccessProtocol,LDAP)是一个用来目录信息到许多不同资源的协议,能够构建一个这样的通用平台。LDAP通过TLS(安全传输层协议)和SASL(简单认证和安全层)来保证信息传输的安全性,但最近在拉斯维加斯举办的黑帽大会上,安全研究人员AngeloPrado、NealHarris与YoelGluck披露了一种名为BREACH(超文本自适应压缩浏览器勘测与渗透)的新技术,该技术能够获取来自SSL/TLS加密网络流量的敏感信息,并且三位研究人员声称,BREACH技术能给采用加密机制、算法的大部分TLS/SSL带来巨大威胁。由此可见,数据的安全传输在信息资源云服务层中是一个很大的问题。所以,信息安全问题在信息资源云服务体系中主要体现为:信息资源传输风险、资源访问权的风险、云存储风险、管理权限风险、用户隐私保护问题、数据的安全传输等几方面,归类后,安全问题可划分为信息资源过程管理和用户管理两大模块。
二、信息资源云服务中信息安全技术的应用
1.信息资源过程管理与信息安全技术信息资源过程管理包括信息采集、信息组织加工、信息存储与检索、信息服务四大子过程。在对信息资源进行云管理之前,可根据重要性对本地数字化的信息资源和网络爬虫抓取的信息资源划分为一般信息资源、重要信息资源和信息资源。一般信息资源的目的在于分享,其重要性往往较低,在信息资源安全问题的管理上,可采用HTTP(超文本传输协议)或HTTPS(安全超文本传输协议,采用完全套接字层SSL作为HTTP应用层的子层)的方式直接进行传输,以保证其使用效率,改善用户体验。重要信息资源旨在为拥有更高信息需求的用户提供服务,包括许多经过数据挖掘、信息分析和多次加工后的信息资源,这些资源也是增强用户对信息资源云服务粘合度的重要原因之一,因此有必要对这类信息资源进行进一步的加密,实现技术为可在信息资源云服务器上部署云端加解密模块。本地的重要信息资源数字化后,经过数字水印技术和AES(AdvancedEncryptionStandard,高级加密标准)算法加密后,通过VPN技术在公网上封装出一个数据通讯隧道,上传到云服务器,而网络爬虫抓取的信息资源则直接通过云端加密模块进行加密后保存。由于通过VPN技术访问信息资源的速度会降低不少,并且许多VPN技术受网络环境及使用平台影响的复杂程度也不尽相同,因此会导致用户的使用效率受到影响。在保证信息资源安全性的前提下,为了尽可能地提高使用效率,可采用SSLVPN协议。SSLVPN结合了SSL和VPN两者的优点,SSL处于网络结构体系的传输层和应用层之间,因此SSLVPN几乎支持所有的WEB浏览器,这也意味着用户不需要为了获取SSLVPN的支持而安装第三方软件,符合云计算开发的初衷。用户通过SSLVPN协议访问重要的信息资源不仅不受平台的限制,而且能极大地提高使用效率。信息资源理论上并不适合保存在云服务器上,其资源池的建立是为了解决部分用户因地域限制等因素而无法及时获取自己所需的那些保密性较高的信息资源。为保证这类信息资源的安全,可使用多重技术,即用户将访问保密信息资源的请求经数据通讯隧道发送给信息资源的另一服务器,由该服务器将请求转发给原始服务器,并最后得到所需的信息资源,这样做的目的是为了隐藏用户的目的及信息资源请求的来源,最大限度地保证这些保密信息不被窃取。信息资源能够保证使用的前提是其完整性,为了避免由于物理因素、网络安全风险、人为因素等引起的数据丢失、信息更改的现象,应适时采用云备份与磁盘备份相结合的方式对信息资源进行数据备份。
2.用户管理与信息安全技术用户的管理主要涉及用户权限管理和用户隐私保护。根据用户层对用户的分类,不同权限的用户拥有不同的访问权,在用户权限管理上应用的信息安全技术为信息确认技术和网络控制技术。信息确认技术的核心为涵盖消息确认、身份确认和数字签名的信息确认系统,对于需要一般信息资源的用户通常可采用静态密码的方式来确认身份,访问重要信息资源的用户则必须开通动态密码服务来获取身份的确认,而针对那些与信息资源有关的用户可根据实际情况采用生物识别技术。同时对普通用户和管理员而言,两者也不能出现超越限制权限的行为,否则会引起信息资源云服务的隐性风险,因此云服务器有必要通过网络控制技术来规范其行为,最典型的即为防火墙技术,通过该技术既能够允许获得授权的外部人员访问云服务器,又能够识别和抵制非授权者的访问。实际上,现有的防火墙技术并不能完全保证信息资源的安全,也存在被黑客突破的可能性,一旦突破,信息资源将完全呈现出来,同时外部用户的身份认证技术也无法解决这一问题,为此需要对信息资源本身的文件操作制定相应的规则,而这一技术就是主动防御系统(Host-basedIntrusionPreven-tionSystem,HIPS)。HIPS不仅能够限制用户的行为,也能保护用户隐私。HIPS包括应用程序防御体系、注册表防御体系和文件防御体系,通过定制合适的规则可实现对运行程序、注册表和文件读写操作的控制,在一定程度上可防止用户访问权限外的信息资源,同时也能保证用户的行为不被云服务器肆意跟踪。以上几种信息安全技术的综合应用将使用户管理更趋科学化、合理化。
三、结束语
根据上述问题,提出本文的基于SOA的信息安全体系的设计。通过研究,我们提出了一个面向服务架构的企业信息安全体系结构,它是底层基于数据仓库/数据集市技术,并以安全服务总线作为hub,为企业信息安全活动提供集成信息安全的管理和有效的控制,使用BPM(企业过程管理)、规则引擎(RuleEngine,RE)和,企业智能(BusinessIntelligence,BI)技术。它有益于企业公司达到需要的信息安全管理级别。并且建立一个PDCA(Plan-Do-Check-Act)适配器,以确保信息安全管理和风险控制活动,能够进行自我优化。
1.1体系结构的结构
参考七层OSI设计,我们设计了五层的智能企业信息安全体系结构。自下向上为安全数据库层、安全应用层、安全服务总线、集成和智能层、信息安全框架。(图1)说明了智能企业信息安全体系结构的结构。
(1)安全数据层。体系结构的底层是整个体系结构的基础层。这是因为安全数据易于被其它应用和服务使用。这一层的数据被分为两个部分:操作数据和分析数据。
(2)安全应用层。应用层包括所有的息安全系统,如防火墙、入侵防御系统、反病毒系统,以及被防护的设备,如网络设备、服务器和桌面环境等。它也包括这些系统上的各种各样的操作系统。
(3)安全服务总线。是基于SOA的信息安全体系结构的中枢。我们在这一层定义SOA服务总线的结构和需要的各种各样的信息安全服务。在面向服务的信息安全体系结构中,我们能够将当前和未来的安全需求定义为安全服务,但这些服务的实现是隐藏的。
(4)集成&智能层。体系结构中数据、过程和应用都是在这一层进行处理实现的,解决一个企业各种业务问题,满足快速变化的环境。集成层具有“应用之间”和“过程之间”进行通信的能力,通过适配器,它还能够与其他企业过程、服务提供者或数据提供者通信。
(5)信息安全辅助设计。这是信息安全对外的接口,主要是由匀衡器、关键风险指示仪以及监控接口。企业智能模型提供各种各样的服务,例如报告、查询、OLAP、数据挖掘和多维分析。规则引擎,作为工作流的一部分,可以结合到BPM模型。因为有了规则引擎,我们能够更加有效地执行信息安全管理和风险控制。PDCA适配器是一个特殊的工具,它利用人工智能能够帮助公司达到信息安全管理中持续提高和自我优化的目标。
1.2特点和优势
本文提出的企业信息安全体系结构具有以下特点。
(1)集成。它也能够将信息安全管理和风险控制联合起来作为一个集成的框架。
(2)可复用。体系结构是比较独立的,适合于企业和小型组织。服务的封装使得可复用,与其他服务联合使用。
(3)面向服务的体系结构。SOA体系机构的采用提供了服务的独立性、自我管理和自我弹性。
(4)集成的数据环境。集成的数据结构使之适合于各种数据库进行对接。
(5)企业智能。这个体系结构将企业智能应用到信息安全管理,信息安全管理主要使用了数据挖掘和模式识别技术。这可以大大减少由于人工误操作引起的损失,增强信息安全管理和风险控制操作。
(6)开放的体系结构。体系结构开放设计,以满足整个企业的安全需求;面向服务的特征使得体系结构式开放的,允许多个接口与外部应用通信。
2结论
购物车(0)
