来源:蜘蛛抓取(WebSpider)
时间:2018-01-30 20:33
标签:
有缘网免费注册
予财缘对于保护个人信息的安全性做得如何?_百度知道
予财缘对于保护个人信息的安全性做得如何?
我有更好的答案
安全性还是很高的,对于个人隐私会做到严格的保密工作
随着网络时代的快速发展,人们不管干什么都需要在网络上登记个人信息,这就给信息的安全带来更多的弊端,也更考验着相关技术的发展和信息管理者的社会责任感,需要人人各司其职、格尽职守,共同保障信息的安全。
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。予财缘注册服务协议
浙江哈雷资产管理有限公司通过其合法运营的予财缘网站(网址: www.yucaiy.com,以下简称予财缘)依据本协议的规定为予财缘注册用户(以下简称“用户”)提供服务,本协议在注册用户和予财缘之间具有合同上的法律效力。
用户注册成为予财缘用户前请务必仔细阅读以下条款。一旦注册,则用户接受予财缘的服务时必须受以下条款的约束。若用户不接受以下条款,请立即离开予财缘。用户按照予财缘规定的注册程序成功注册为用户,即表示同意并签署了本服务协议。本服务协议不涉及用户与予财缘的其他用户之间因网上交易而产生的法律关系及法律纠纷,但用户在此同意将全面接受和履行与予财缘其他用户在予财缘签订的任何电子法律文本,并承诺按该法律文本享有和/或放弃相应的权利、承担和/或豁免相应的义务。
第一章 予财缘平台和服务
第一条:予财缘平台是由浙江哈雷资产管理有限公司运营的网贷平台。予财缘服务是由浙江哈雷资产管理有限公司通过予财缘平台及客户端等各种方式向注册会员提供的综合性消费金融服务。
第二条:为了保障您的利益,您在自愿注册使用予财缘服务前,必须仔细阅读并充分理解知悉本服务协议所有条款,一经注册或使用予财缘服务即视为对本服务协议的充分理解和接受;如有违反而导致任何法律后果,您将自己独立承担相应的法律责任。
第三条:在本协议履行过程中,予财缘可以根据实际情况对本服务协议进行修改。一旦本服务协议的内容发生变动,将通过予财缘平台公布最新的服务协议,不再个别通知。如果注册用户不同意予财缘对本服务协议所做的修改,有权停止使用予财缘服务。如果注册用户选择继续使用予财缘服务,则视为接受修改,并应遵照修改后的协议执行。
第四条 :注册用户有义务提供有效的联系方式,包括但不限于手机号码、电话号码、通讯地址、常用电子邮箱、联系人信息等。联系方式发生变更时,应在3日内进行更新。因用户未提供有效联系方式,导致予财缘未能提供服务时,造成的损失及法律后果,由用户自行承担。
第二章 注册用户
第五条:予财缘注册用户必须为符合中华人民共和国法律规定的具有完全民事权利和民事行为能力,能够独立承担民事责任的自然人。若用户违反前述限制注册使用予财缘的,其监护人应承担所有责任。
第六条:注册用户有义务确保个人资料信息的真实性、完整性和有效性,并承诺对个人资料信息及时进行更新。若予财缘经判断认定用户资料存在错误、虚假、过时或不完整的问题,予财缘有权终止会员账户。由此产生的损失,予财缘不承担任何责任。
第七条:注册用户保证并承诺如因个人未及时更新基本资料,导致予财缘服务无法提供或提供时发生任何错误,注册用户不得将此作为取消交易或拒绝付款的理由,予财缘亦不承担任何责任,所有后果应由个人会员承担。
第八条:注册用户保证并承诺通过予财缘平台进行交易的资金来源合法。
第三章 予财缘服务内容
第九条:予财缘为用户提供的服务包括但不限于:为用户提供信用咨询及评估、根据用户需求发布交易信息、提供交易管理、合同管理、客户服务等。具体内容以予财缘实际提供的服务内容为准。部分服务需要注册用户依照予财缘要求完成身份认证方可享受。用户因未能完成身份认证而无法享受服务的,由此造成的损失予财缘不承担任何责任。
第十条:用户同意,其在予财缘上按交易流程所确认的交易状态,将成为予财缘注册用户进行相关交易和操作的唯一依据。因用户未能及时对交易状态进行修改、确认或未能提交相关申请而造成的损失由用户自行负责,予财缘不承担任何责任。
第十一条:予财缘为用户提供信息发布服务。用户承诺,其通过予财缘上传或发布的任何资料信息均真实有效。如因违背上述承诺,造成的任何法律后果,用户都将自行承担相应责任。予财缘不对信息的准确、完整或是合法性作出保证,也不承担相关责任。
第十二条:予财缘为用户提供信用咨询及评估服务。用户同意,予财缘可通过公开或私人资料搜集用户的额外信息,以了解用户的实际情况。予财缘有权根据实际情况对用户信息进行评价以供其他用户参考。
第十三条:予财缘为用户提供交易管理服务。予财缘提供的各种交易信息及资料仅供用户参考,用户应根据自身实际情况独立判断并作出交易决策。用户应知悉投资风险,交易发生后产生的一切风险均由用户自行承担。此外,如果予财缘发现了因系统故障或其他任何原因导致的处理错误,予财缘都有权纠正该错误,用户有义务根据予财缘发出的有关纠正错误的通知进行相应操作。予财缘不承担因前述处理错误而导致的任何损失或责任。
第十四条:予财缘为用户提供合同管理服务。在予财缘平台交易需订立的合同采用电子合同方式。注册用户登录予财缘平台后,以账户用户名在予财缘平台通过点击确认或类似方式前述的电子合同即视为注册用户本人真实意愿且合同具有法律效力。
用户绑定的电子邮箱为予财缘发送电子合同及其他重要通知信息的接受邮箱。用户承诺,注册成功后会尽快绑定/验证电子邮箱并密切关注邮箱信息。任何信息从予财缘发出起,即视为已告知用户,用户不得以任何理由否认合同的效力或拒绝履行合同中规定的义务。
第十五条:予财缘为用户提供借款回收的管理服务。为了更有效地追偿用户的本金、利息等资金,予财缘存在与借款人协商减免违约金的情况,用户对此应理解并授权予财缘进行减免违约金的操作。由此给出借人造成损失的,予财缘不承担任何责任。
第十六条:予财缘为用户提供银行卡认证、充值、取现、代收/代付、查询、通知等客户服务。用户确认予财缘并非银行或金融机构,无法提供“即时”金额转账服务。对资金到账延迟及由此产生的收益损失,予财缘不承担任何责任。
第十七条:予财缘提供质量保障服务,为用户在予财缘进行的交易在整个交易期限内提供质量保障(即予财缘将在法律允许的前提下尽到商业勤勉,保障其提供服务的质量以保证用户可以通过予财缘顺利完成交易)。
第四章 风险提示说明
第十八条:用户了解并认可,通过予财缘进行的交易并不能规避风险。予财缘无义务为交易产生的风险承担责任。
第十九条:予财缘不对任何用户的任何交易提供任何明示或默认的保证。用户应知悉交易存在的风险,并在独立判断后作出交易决策。交易产生的风险由用户自行承担。
第二十条:予财缘不能对用户发布的信息进行控制并且没有义务为该信息承担证明义务。予财缘不能完全保证平台内容的真实性、准确性和完整性,所有信息仅为参考。
第五章 予财缘服务费用说明
第二十一条:用户使用予财缘服务时,予财缘有权向用户收取相关服务费用。各项费用详见予财缘服务收费说明。予财缘保留单方面制定及调整平台服务费用的权利。
第二十二条:用户在使用予财缘服务过程中可能需要向第三方或其他机构支付一定的费用,具体收费标准详见予财缘服务收费说明。
第六章 用户账户安全承诺
第二十三条:用户账户是其在予财缘的唯一标识。用户承诺妥善保管其账号密码,不将个人账号信息泄露给其他任何人。因用户对其账号、密码保管不善而引发的包括但不限于损害赔偿等直接法律责任,概由用户自行承担。
第二十四条:通过个人账户所进行的一切操作,发布的一切言论,都视为用户本人的行为及其真实意图的表达,所有损失及法律后果由用户本人自行承担。
第七章 用户守法承诺
第二十五条:用户承诺不以任何非法目的或途径使用予财缘平台服务,并遵守所有涉及予财缘平台服务相关的法律、法规及其他规范性文件。因违背上述承诺造成的损失及后果,用户自行负全部责任。
第二十六条:用户承诺遵照本协议履行义务。如未完全履行义务,予财缘有权将其违约行为记入信用资料,有权在任何形式的媒体上公布其违约行为。
第八章 予财缘服务中断说明
第二十七条:基于互联网的特殊性,予财缘不承诺服务不会中断,也不承诺服务的安全性,用户对此应理解并确认。由于系统维护、设备故障、黑客攻击及其他不可抗力的影响,而导致用户无法正常使用相关服务,予财缘不承担任何责任。
第九章 予财缘责任范围说明
第二十八条:予财缘不对用户的投资收益做任何保证。用户需根据自身风险承受能力及予财缘发布信息的可靠程度独立判断,做出交易决策。交易后产生的任何损失均由用户自行承担。
第二十九条:予财缘合作机构提供的服务内容由该合作单位负责,予财缘对所有第三方网站的隐私保护措施不负任何责任。用户享受相关服务时产生的争议、纠纷及损失,予财缘不承担任何责任。
第三十条:用户由予财缘任何工作人员处取得的建议、说明,均不构成予财缘对服务的承诺和保证。由此产生的法律后果,予财缘不承担任何责任。
第十章 用户隐私保护说明
第三十一条:用户同意,予财缘可从其公开及私人资料中收集用户的额外信息,以更好地掌握用户的实际情况,为用户提供更优质的服务。
第三十二条:予财缘(含予财缘关联公司)对于用户提供的、予财缘自行收集的及其他用户个人信息享有使用和披露的权利。予财缘(含予财缘关联公司)基于履行协议、提供服务、解决争议、保障交易安全等目的使用用户个人信息资料时,无需告知用户。
第三十三条:基于服务用户的目的,予财缘或其关联公司可能通过使用用户的个人信息,向用户提供其可能感兴趣的信息,包括但不限于产品和服务信息;在征得用户同意后,可能通过系统向用户展示个性化的第三方推广信息,或与予财缘合作伙伴共享信息以便他们向用户展示有关其产品和服务的信息。
第三十四条:为避免用户通过予财缘从事违规违法活动,保护予财缘及其他用户的合法权益,予财缘有权通过人工或自动程序对用户信息进行审核及评价。
第三十五条:予财缘采用行业标准和惯例保护用户的个人信息。予财缘不会将用户信息恶意出售或免费共享给任何第三方。鉴于技术限制,予财缘无法确保用户的个人信息完全不被泄露。
第三十六条:予财缘有义务根据有关法律法规要求向司法机关和政府部门提供用户的个人资料。
第三十七条:若用户未能按照其与予财缘及予财缘其他用户签订的协议等法律文本的约定履行应尽义务,予财缘有权披露用户个人信息及违约事实。予财缘有权将上述信息写入网站黑名单,且与任何第三方进行数据共享,以供网站及第三方审核、催收之用。由此给用户造成的任何损失,予财缘不承担法律责任。
第十一章 知识产权保护说明
第三十八条:予财缘上所有内容的知识产权均由予财缘及其权利人依法拥有,包括但不限于文本、数据、文章、图片、资讯、平台架构、网页设计等。未经予财缘或其权利人书面同意,任何人不得擅自使用、修改、复制、公开发布予财缘程序或内容。
第三十九条:尊重知识产权是用户应尽的义务,如有违反,用户应对予财缘承担损害赔偿等法律责任。
第十一章 法律适用说明
第四十条:本协议由用户与予财缘共同签订,适用于用户在予财缘的一切活动。协议内容包括但不限于协议正文条款,已发布的或将来可能发布的各类规则,都应视为协议不可分割的一部分,与协议正文条款享有同等法律效力。
第四十一条:本协议不涉及予财缘用户间产生的法律关系及法律纠纷。但用户应同意全面接受予财缘与其他用户签订的任何协议,并承诺按照该协议承担相应的责任和义务。用户间的纠纷及争议需要予财缘提供相应资料时,予财缘仅接受来自司法机关的请求。
第四十二条:予财缘对本协议具有最终解释权。
第四十三条:本协议签订地为中国浙江省杭州市。因本协议所引起的用户与予财缘的任何纠纷及争议,各方一致同意,不论争议金额大小,均提交杭州仲裁委员会适用杭州仲裁委员会仲裁规则项下的简易程序进行仲裁。仲裁裁决为终局裁决,对双方均具有约束力。
请仔细阅读以上条款,同意注册请勾选"我同意"按钮。您一旦完成注册,本协议立即成立并生效。除非本平台终止本协议或者您申请终止本协议且经本平台同意,否则本协议始终有效。
周一至周五:9:30~17:30
400-059-8686
地址:浙江省杭州市桐庐县城南街道迎春南路279号立山国际1001注册予财缘时填写的信息会被泄露吗?_百度知道
注册予财缘时填写的信息会被泄露吗?
我有更好的答案
不会的,对用户个人隐私保护均采用业界领先的加密算法进行存储
为您推荐:
其他类似问题
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。向日葵9.0如何保证画面流畅度以及用户的信息安全?-新闻资讯-向日葵远程控制软件官网
&&|&&新闻资讯
向日葵9.0如何保证画面流畅度以及用户的信息安全?
远程控制有很多种玩法,企业网管可远程维护数千台主机,技术人员远程维护银行取款机、智能电视、打印设备等;个人办公应用就更广泛了,甚至你可以用iPhone7来远程控制女友的小米手机,用公司的Windows电脑家里的Mac电脑……
该项技术伴随着物联网的发展,越来越成为关注热点。那么,远程控制技术是如何实现的?需要怎样的部署?如何保证速度,画面流畅度,用户信息安全呢?
向日葵远程控制软件通过自主研发动态视频传输技术,优化部署,目前基于Windows版的向日葵9,在局域网内可做到高达1秒60帧的高清图像传输,在速度上有很大的跨越。
纯屏动态传输技术如何做到让CPU占用低,节省带宽?
远程控制的实现有很多种方案,像3389,VNC,这种用于局域网内的远控;或者传统远程+花生壳的组合方案得到互联网远控;一方发起一方接受的远程协助,如QQ聊天远协;或者直接用专业的远控软件,如向日葵远程控制软件。向日葵的技术总监张小峰解释:无论是远程控制电脑还是手机,远程控制的实现主要可以分为图像、操作与传输三部分,其中,做好图像传输是关键。
并不是用VNC或者是RDP协议打底,而是自己研发的基于变化的高效压缩传输协议,这方面需要在图像传输中做了很多艰难的技术攻克,经过一次次的尝试与技术优化,比如图像的传输采取纯屏动态传输,只传输变化的部分,以保证速度,还能节省带宽。并且针对不同版本的Windows和Mac/Linux还利用相关的优化算法来保证效率和图像的实时性。另外,此版本还提升了P2P转发成功率,优化视频ZIP传输。
通过这些优化,向日葵的远程控制效果,由之前的1秒15帧高噪点画质,到现在我们可以做到1秒60帧的高清图像传输。以前CPU占用过高,而今CPU占用可随着画面变化智能调配。
数据传输经RSA2048/AES128加密,保障3000万台主机
市面上的远程产品参差不齐,安全性和稳定性在很大程度上决定了用户对产品的肯定。在安全防护方面,向日葵高度重视,其经验是:首先,从自身出发,软件通过微软徽标认证、代码签名证书对软件进行签名处理,确保软件不会被篡改。其次,数据传输过程全程加密,所有数据使用SSL协议通讯,经RSA2048/AES128加密,确保主被控通信无法被中间人窃听。再者,在运营架构上,与国内优质的云服务器服务商合作,灵活部署镜像服务器群集,能很好的应对冷热备份的灾难预案以及服务器快速扩展。
向日葵服务架构图目前向日葵为超过3000万台主机提供远程服务,能支持这么庞大的主机数,保证运作稳定,其运维能力可见一斑。向日葵是Oray公司旗下的,同旗下的另一个产品花生壳,是国内顶级域名注册商,十几年来一直为几千万域名提供解析服务。在安全防护,建立强大的运维支持方面,向日葵是有强大保障的。
想体验极速的向日葵9.0,前往官网下载地址:
&&&&&&下一篇:
(周一至周六 9:00-18:00)
(周一至周日 9:00-18:00)
、信息安全_百度百科
声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、等领域的信息安全高级专门人才。
信息安全产业发展
信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形,但由于中国专门从事信息安全工作技术人才严重短缺,阻碍了中国信息安全事业的发展。是十分具有发展前途的专业。[1]
信息安全学科要求
此专业具有全面的信息安全专业知识,使得学生有较宽的知识面和进一步发展的基本能力;加强学科所要求的基本修养,使学生具有本学科科学研究所需的基本素质,为学生今后的发展、创新打下良好的基础;使学生具有较强的应用能力,具有应用已掌握的基本知识解决实际应用问题的能力,不断增强系统的应用、开发以及不断获取新知识的能力。又有较强的应用能力;既可以承担实际系统的开发,又可进行科学研究。
信息安全意义
其根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。[2]
信息安全重要性
信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
中国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取中国通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把日益繁多的事情托付给计算机来完成,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
信息安全课程设置
在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:、、、、计算机与算法初步、语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。
除上述专业课外还开设了大量专业选修课,主要有:数据通信原理、信息安全概论、计算机网络安全管理、数字鉴别及认证系统、网络安全检测与防范技术、防火墙技术、病毒机制与防护技术、网络安全协议与标准等。学生除要完成信息安全体系不同层次上的各种实验和课程设计外,还将在毕业设计中接受严格训练。
随着互联网的快速发展和信息化程度的不断提高,互联网深刻影响着政治、经济、文化等各个方面,保障信息安全的重要性日益凸显,加强对互联网上各类信息的管理应引起高度重视。在系统安全方面,以提高防御、应急处置能力为主的传统安全管理已经不能适应新计算、新网络、新应用和新数据为新特征的信息安全产业发展的需要。对此,需要针对形势发展,通过采取多种措施发展和壮大中国信息安全产业。
中国信息安全产业与国际先进水平相比差距很大。美国、法国、英国、日本等国家信息安全产业发展水平较高,中国信息安全行业的核心技术、关键装备和应用创新方面与其相比存在很大差距。信息产业链上下游行业在综合实力、产品成熟度、产品国际市场占有率等方面,与国际先进企业相比差距较大。面对严峻的网络与信息安全问题,保障信息安全和加强信息安全产业的发展迫切需要加强顶层设计,从政府引导和发挥企业积极性两方面,推进信息安全产业发展[3]
信息安全产品
2012年信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为未来安全应用的主流。
信息安全终端方案
终端安全解决方案是以保护系统全方位综合保障终端安全,并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以“主动防御”理念为基础,采用自主知识产权的基于标识的认证技术,以智能控制和安全执行双重体系结构为基础,将全面安全策略与操作系统有机结合,通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制,实现操作系统加固及信息系统的自主、可控、可管理,保障终端系统及数据的安全。
信息安全安全软件
保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。
信息安全发展
中国信息安全行业起步较晚,自本世纪初以来经历了三个重要发展阶段(萌芽、爆发和普及阶段),产业规模逐步扩张,带动了市场对信息安全产品和服务需求的持续增长。另外,政府重视和政策扶持也不断推动中国信息安全产业的快速发展。
信息安全检测
信息安全网站
网站安全检测,也称网站安全评估、网站漏洞测试、Web安全检测等。它是通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,提醒网站管理员及时修复和加固,保障web网站的安全运行。
1)注入攻击检测Web网站是否存在诸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞,如果存在该漏洞,攻击者对注入点进行注入攻击,可轻易获得网站的后台管理权限,甚至网站服务器的管理权限。
2) XSS跨站脚本检测Web网站是否存在XSS跨站脚本漏洞,如果存在该漏洞,网站可能遭受Cookie欺骗、网页挂马等攻击。
3)网页挂马检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。
4)缓冲区溢出检测Web网站服务器和服务器软件,是否存在缓冲区溢出漏洞,如果存在,攻击者可通过此漏洞,获得网站或服务器的管理权限。
5)上传漏洞检测Web网站的上传功能是否存在上传漏洞,如果存在此漏洞,攻击者可直接利用该漏洞上传木马获得WebShell。
6)源代码泄露检测Web网络是否存在源代码泄露漏洞,如果存在此漏洞,攻击者可直接下载网站的源代码。
7)隐藏目录泄露检测Web网站的某些隐藏目录是否存在泄露漏洞,如果存在此漏洞,攻击者可了解网站的全部结构。
8)数据库泄露检测Web网站是否在数据库泄露的漏洞,如果存在此漏洞,攻击者通过暴库等方式,可以非法下载网站数据库。
9)弱口令检测Web网站的后台管理用户,以及前台用户,是否存在使用弱口令的情况。
10)管理地址泄露检测Web网站是否存在管理地址泄露功能,如果存在此漏洞,攻击者可轻易获得网站的后台管理地址。
信息安全网络
1、结构安全与网段划分
的业务处理能力具备冗余空间,满足业务高峰期需要;根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;
2、网络访问控制
不允许数据带通用协议通过。
3、拨号访问控制
不开放远程拨号访问功能(如远程拨号用户或移动VPN用户)。
4、网络安全审计
记录网络设备的运行状况、网络流量、用户行为等事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;
5、边界完整性检查
能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断;能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
6、网络入侵防范
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生;当检测到入侵事件时,记录入侵源IP、攻击类型、攻击目的、攻击时间等,并在发生严重入侵事件时提供报警(如可采取屏幕实时提示、E-mail告警、声音告警等几种方式)及自动采取相应动作。
7、恶意代码防范
在网络边界处对恶意代码进行检测和清除;维护恶意代码库的升级和检测系统的更新。
8、网络设备防护
对登录网络设备的用户进行身份鉴别;对网络设备的管理员登录地址进行限制;主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别
信息安全主机
1、身份鉴别
对登录操作系统和数据库系统的用户进行身份标识和鉴别;
2、自主访问控制
依据安全策略控制主体对客体的访问。
3、强制访问控制
应对重要信息资源和访问重要信息资源的所有主体设置敏感标记;强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、客体及它们之间的操作;强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表/记录、字段级。
4、可信路径
在系统对用户进行身份鉴别时,系统与用户之间能够建立一条安全的信息传输路径。
5、安全审计
审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;审计内容包括系统内重要的安全相关事件。
6、剩余信息保护
保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;确保系统内的文件、目录和数据库记录等资源所在的存储空间
能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;能够对重要程序完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施;操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
8、恶意代码防范
安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;主机防恶意代码产品具有与网络防恶意代码产品不同的恶意代码库;支持防恶意代码的统一管理。
9、资源控制
通过设定终端接入方式、网络地址范围等条件限制终端登录;根据安全策略设置登录终端的操作超时锁定;对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;限制单个用户对系统资源的最大或最小使用限度;当系统的服务水平降低到预先规定的最小值时,能检测和报警。
信息安全数据库
主流数据库的自身漏洞逐步暴露,数量庞大;仅CVE公布的Oracle漏洞数已达1100多个;数据库漏扫可以检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
信息安全主要威胁
信息安全实现目标
◆ 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。
◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。
◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。
◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。
◆ 可控制性:对信息的传播及内容具有控制能力。
信息安全安全威胁
(1) 信息泄露:信息被泄露或透露给某个非授权的实体。
(2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
(3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
(4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。
(5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
(6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
(7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
(8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
(11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。
(12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。
(13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。
(14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
(15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。
(16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。
(17)物理侵入:侵入者绕过物理控制而获得对系统的访问。
(18)窃取:重要的安全物品,如令牌或身份卡被盗。
(19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。
信息安全主要来源
◆ 自然灾害、意外事故;
◆ 计算机犯罪;
◆ 人为错误,比如使用不当,安全意识差等;
◆ "黑客" 行为;
◆ 内部泄密;
◆ 外部泄密;
◆ 信息丢失;
◆ 电子谍报,比如信息流量分析、信息窃取等;
◆ 信息战;
◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等;
◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。
信息安全信息安全影响因素
信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划,罗马时代的凯撒大帝是加密函的古代将领之一,“凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它 是一种替代密码,通过将字母按顺序推后 3 位起到加密作用,如将字母 A 换作字母 D, 将字母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国海军的 Enigma 密电码,改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为 3 类。
(1)技术,包括产品和过程(例如防火墙、防病毒软件、侵入检测、加密技术)。
(2)操作,主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理进入控制、备份能力、免予环境威胁的保护。
(3)管理,包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系统安全涉及政策法规、教育、管理标准、技术等方面,任何单一层次的安全措 施都不能提供全方位的安全,安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全模型。
信息安全2014年信息安全大事件
1月,中国互联网出现大面积DNS解析故障
2月,维护网络安全首次被列入政府工作报告
3月,携程“安全门”敲响网络消费安全警钟
4月,微软停止XP支持,影响两亿国内用户
5月,山寨网银及山寨微信大量窃取网银信息
6月,免费Wi-Fi存陷阱,窃取用户手机敏感信息
7月,苹果承认iPhone存在“安全漏洞”
8月,“XX神器”安卓系统手机病毒在全国蔓延
9月,2014年中国互联网安全大会(ICS)召开
10月,2014中国网络安全大会(NSC2014)召开
11月,首届国家网络安全宣传周活动举办
12月,86万条简历数据因某招聘网站漏洞而被泄露[4]
信息安全安全策略
信息安全策略
信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与,体现了安全面前人人平等,从根源解决信息泄密。
◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
信息安全主要问题
◆ 网络攻击与攻击检测、防范问题
◆ 安全漏洞与安全对策问题
◆ 信息安全保密问题
◆ 系统内部安全防范问题
◆ 防病毒问题
◆ 数据备份与恢复问题、灾难恢复问题
信息安全相关技术
在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
◆ 用户:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。
◆:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。
◆:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。
◆(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
◆ 电子签证机构--CA和PKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
◆(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
◆(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
◆:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密
信息安全行业中的主流技术如下: 1、病毒检测与清除技术 2、安全防护技术 包含网络防护技术(防火墙、UTM、入侵检测防御等);应用防护技术(如应用程序接口安全技术等);系统防护技术(如防篡改、系统备份与恢复技术等),防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术。 3、安全审计技术 包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。 4、安全检测与监控技术 对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。 5、解密、加密技术 在信息系统的传输过程或存储过程中进行信息数据的加密和解密。 6、身份认证技术 用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。 [5]
信息安全服务
信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作
信息安全基本功能
信息安全可以建立、采取有效的技术和管理手段,保护计算机信息系统和网络内的计算机硬件、软件、数据及应用等不因偶然或恶意的原因而遭到破坏、更改和泄漏,保障信息系统能够连续、正常运行。
一个安全有效的计算机信息系统可以同时支持机密性、真实性、可控性、可用性这四个核心安全属性,而提供信息安全业务的基本目标就是帮助信息系统实现上述全部或大部分内容。
信息安全安全问题
电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全
(一)计算机网络安全的内容包括:
(1)未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
(2)未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
(4)安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二)计算机商务交易安全的内容包括:
(1)窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
信息安全安全对策
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
1.计算机网络安全措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
(一)加密技术。
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
(二)认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
(1)数字签名。
数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;
(2)数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
(三)电子商务的安全协议。
除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
(1)安全套接层协议SSL。
SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
(2)安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。
信息安全工程监理
信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。
信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。
信息安全安全技术
信息安全加密
数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。
在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。
对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。
在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。
信息安全认证
认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。
1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。
2.数字证书。这是一种检验用户身份的电子文件,也是企业可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。
3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。
4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。
信息安全目标和原则
信息安全目标
所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Availability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。
除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。
信息安全原则
为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。
最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。
分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。
信息安全资质认证
中国信息安全测评认证中心是中国信息安全最高认证,测评及认定项目分为信息安全产品测评、信息系统安全等级认定、信息安全服务资质认定、信息安全从业人员资质认定四大类。
信息安全产品测评:对中国外信息技术产品的安全性进行测评,其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等,以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容,分为:信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定:
对中国信息系统的安全性进行测试、评估。
对中国信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同,主要提供:信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定:
对提供信息安全服务的组织和单位资质进行审核、评估和认定。
信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。分为:信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定:
对信息安全专业人员的资质能力进行考核、评估和认定。
信息安全人员测评与资质认定,主要包括注册信息安全专业人员(CISP)、注册信息安全员(CISM)及安全编成等专项培训、信息安全意识培训。
信息安全技术对比
信息安全法政标
信息安全法规、政策与标准
1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。
据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。
2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得中国学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:
一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;
二是形成了军、政、学、商分工协作的风险管理体系;
三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。
中国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,中国的信息安全标准体系仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,中国在信息安全标准组织体系方面还有待于进一步发展与完善。
信息安全意识实践
信息安全用户意识与实践
1) 信息安全意识有待提高
与发达国家相比,中国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明中国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,中国个人用户的信息安全意识有待于提高。
2)信息安全实践过程有待加强管理
信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是中国用户在这一方面与发达国家还有一定差距。
信息安全产业影响
中间组织对信息安全产业发展的影响
同国外相比较,中国的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,中国资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然中国有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导中国安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距,详见《中国信息安全行业发展前景与投资战略规划分析报告》。
信息安全培训教育
教育培训是培育信息安全公众或专业人才的重要手段,中国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。
信息安全专业课程
信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。
离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程、现代密码学、网络安全、信息伪装等
信息安全培养要求
通过学习本专业的学生应获得以下几方面的基本知识和职业能力:
基本技能掌握
(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。
(2)掌握计算机软、硬件加密、解密的基本理论、基本知识。
(3)掌握计算机维护和系统支持的基本知识、基本技能。
(4)掌握参与企业管理进行经济信息分析、处理的基本技能。
(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。
信息安全方向就业
就业方向和主要从事的工作
信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响中国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。
总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。中国在信息安全技术方面的起点还较低,中国只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。[6]
信息安全产品认证
网络安全隔离卡与线路选择器
安全隔离与信息交换产品
安全路由器
数据备份与恢复产品
安全操作系统
安全数据库系统
反垃圾邮件产品
入侵检测系统(IDS)
网络脆弱性扫描产品
安全审计产品
网站恢复产品
解读词条背后的知识
.中国知网.201303[引用日期]
.中国财经信息网 [引用日期]
.新华网[引用日期]
.MSN中国科技频道[引用日期]
.中国产业研究报告网[引用日期]
.中国知网[引用日期]
中国通信学会是全国通信...
提供资源类型:内容
