关键词:仓库管理模块化设计安全报警。
一、引言
计算机技术、网络技术、多媒体技术的成熟与发展,为仓储管理自动化提供了强有力的技术支持。当前已有的系统其功能一般比较单一。如防盗系统只管防盗;仓储管理系统只负责仓库物品的数据处理;控制系统只完成简单的环境控制功能(如开关门、开关灯、通风等)。将这些功能彼此独立的系统有机结合起来,组成一个既能完成管理,又能实现实时监控的一体化自动管理系统具有重要的意义。我们所设计的这套仓库安全管理综合信息系统,是把门禁系统(IC卡开门)、环境监控系统、财务管理系统、合同管理系统、报警控制系统和数据处理系统结合在一起,充分利用了先进的计算机技术和控制手段。它既能通过音频、视频以及红外线、雷达、震动等传感器实时监控对所有分库的开门、取物、检修等操作,又能对防区内的警报信号立即处理或自动上报;它还是一个仓库的数据中心,能完成人员、仓储信息处理以及自动报时、鸣号、熄灯、开关高压电网、布撤防等控制。另外,该系统还与财务管理系统、合同管理系统集成在一起构成一个安全、主动和综合的仓库管理系统。
二、系统的基本要求
目前的仓库管理系统一般技术比较落后、性能较差且很不完备,有的甚至没有安全防盗功能。即使有安全防盗功能其性能一般也不太理想,人工干涉多,操作使用不方便,有的还故障率高而不实用。随着社会信息交流的日益加强和信息量的集聚增加,再加上盗窃活动的团伙化、智能化和高技术化等特点,仓储管理部门越来越需要一套低成本、高性能、方便使用、功能完善的综合仓库监控管理系统。要求它具有立即捕捉警情并提供警情发生地的有关信息(如地图、位置、类型、程度、平面图、地形图、结构图以及警情发生地的仓储情况等),计算机系统马上对警情做出反应,迅速通知值班人员和仓库管理员(通过声光等信号形式),可能的话还可立即对警情发生地实施控制(如接通高压电网、自动封闭门窗、拉响警笛、打开探照灯等)。对重要的警情要立即通过计算机网络或内部电话自动交换网上报上级主管部门。特别是要求系统能完整记录从发生警情到上报,进而做出处理的全过程,以便于事后分析处理。
仓库大门的钥匙管理和开门方法应采用较科学的电子识别手段(如磁卡、IC卡)进行控制,仓库内外的温度和湿度用温湿度传感器自动测量和记录。发现越限时报警通知管理员,以便于管理员及时采取通风降温和除湿等方法,确保仓储物品的安全。除此之外,系统还可以对仓储物品的出入库、物品订购合同、财务信息以及人员信息等内容进行统一的管理,以提高办公自动化的程度。
三、系统功能描述
1.定时自动测量和记录湿度和温度,并能够触发越界报警;
2.可挂接多种类型的防区,每个防区可以是震动、雷达、红外线等类型的一种;
3.系统对每个警情立即反应,指出地点、位置等,给出警情所在地的结构图,并能自动启动警号、灯光等报警设备,必要时可立即自动拨号上报上级主管部门;
4.双IC卡开门,并自动记录开门时间,持卡者身份等信息;
5.对钥匙统一管理,记录取钥匙的时间,人员等信息;
6.可以进行人员管理、仓储管理、财务管理、合同管理等内容;
7.自动记录管理员交接班日志,对仓库的操作也均有记录;
8.可根据综合条件检索历史记录,并可打印输出。
9.对人员的情况、密码(管理员)、防区所接传感器参数均可随时更新。
综上所述,系统所完成的功能是比较全面的。其中以处理警情的优先级最高,一旦发生警报,应立即停止其它事务性处理工作,转为响应处理警报。由于这种系统具有一定的技术先进性、新颖性和实用性,可以对仓储信息进行有效的安全管理。
四、系统的设计结构
系统实现采用结构化和面向对象的设计技术,硬件结合了单板机廉价、稳定的优点和PC机大容量、高速度、界面友好的特点,将整个系统分成功能相对独立的若干子模块,使系统结构层次分明,结构严谨,极易于维护和使用。由于系统采用结构化设计,自顶向下逐步分解精化而成,由多个模块组成,因此可按散件组装法则根据现场实际需求,灵活取舍组合系统各组成部件。对于一些特殊要求也可以采用模块化形式方便地实现其功能的扩展,从而形成由低成本、简单功能到高投入、复杂功能不同层次的系列产品,但无论怎样组合均不会降低系统整体性能。系统的逻辑功能结构。
五、操作使用简介
系统运行于WINDOWS环境,其界面同时具有字符、图形、动画、菜单命令等各种输入输出格式,友好且直观形象,再加上采用了WINDOWS所特有的联机提示和后援帮助作辅助手段,使系统的使用简单易学,非常便于普及推广。整个操作可分为四大部分::
1.利用按钮完成各种控制功能;
2.图形操作界面,利用鼠标代替键盘输入,快速直观,一学就会;
3.对记录的数据进行综合条件的检索,查询并打印输出,可用鼠标选择查询条件;
4.基本信息库的更新,维护(如人员,仓储,值班员密码、报警代码表、IC卡发卡等)等。
作为知识型组织的大学内部,其学术文化应适应新的环境和要求,而信息技术的应用及其代表的IT文化也必须是创新性的能够符合学术领域的要求。此两方面基于双向动态变化的结合奠定了数字校园发展的建构基础。信息化建设应当在以下几个方面服务于校园管理和建设。
(一)服务于高校核心任务信息技术对大学的多个方面都能产生重要影响,但需要分清主次,要利用它与大学的核心任务———教学与科学研究相结合。数字校园的一切建设都应以此为中心和主旨来展开。信息技术之核心在于创新而不在于复制。数字校园所追求的是将信息技术创造性地应用于大学的管理、教学、科学研究和服务中,技术所提供的创新性应用是永无止境的,关键在于如何将之与大学的各项工作有机地结合起来。
(二)服务于教学双方的交流互动无论在校园中还是在学术团体中,数字校园的首要目标都是要利用互联网来创建一个相互交流与对话的社区,在功能上,数字化也承担着网上考试、网上就业、招生以及相关信息通报等,从技术的角度来说,可以通过BBS、博客、微信群等来实现。而现在需要做的是,让越来越多的校园成员开始使用并建设其基于网络的交流平台。
(三)提供更多的数字化共享资源数字校园建设实现了大学各种资源的数字化,并通过互联网来实现不同院校甚至不同国家之间的资源共享与交流,有助于开展更广泛深入的教学和科研交流。
(四)数字化本身需要创建相应的支持环境要想支持和创建数字校园,大学首先需要创建一个与之相应的政策与组织结构。“在理想状态下,应建立一个专门的技术支持部门来为各个院系服务,形成一个网络咨询委员会和“红色意见领袖群”,制定数字环境下的知识产权保护政策,在学院的每一个重要部门中都培训一名技术专家,并在学校设置相应的管理人员。与此同时,若想使校园各成员在各自的工作及学习中充分利用数字校园的成果,适当地教育与培训同样不可缺少。
二、数字校园管理应对信息安全问题的举措
(一)建立可靠的信息控制系统要成立专门的安全信息管理机构,建立校园公共安全信息平台,完善公共安全信息通报制度。培养高素质的安全运行维护队伍。高校可以组建一支以学生为主体的安全运行维护队伍,由网络中心统一领导、专业老师负责,对学生等用户进行安全管理方面的培训和指导,加强校园网的管理和维护力量,力争对突发安全事件做到及时响应,快速解决,保证校园网方便、快捷、规范地运行。制定完善安全管理规章制度。安全管理贯穿于安全防范体系的始终,是保证网络安全的基础。各部门配备专职的信息安全管理人员,落实建立信息安全责任制度和工作章程,负责并保证组织内部的信息安全。管理人员必须做到及时进行漏洞修补、定期软件升级和定期安全系统巡检,保证对网络的监控和管理。同时必须制订一系列的安全管理制度,并遵循可操作、动态性、管理与技术的有机结合等原则,使校园网的信息安全工作进一步走向规范化和制度化。利用多种形式进行信息安全教育。高校应利用多种形式进行信息安全教育:一是利用行政手段,通过各种会议进行信息安全教育;二是利用教育手段,通过信息安全学术研讨会、安全知识竞赛、安全知识讲座等进行信息安全教育;三是利用学校传播媒介、舆论工具等手段,通过校刊、校报、校园网络、广播、宣传栏等进行信息安全教育。构建良好的校园文化氛围。信息安全是高校实现教育信息化的头等大事,除先进的技术、完善的管理外,良好的校园文化氛围也是保证高校信息安全工作顺利开展的前提。
(二)海量数据管理能力教学信息系统软件承担着海量空间数据的应用和管理能力,需要具备足够空间的数据管理、更新和服务能力,才能保证图文一体化的数字校园管理系统正常运转。数字校园管理系统中的教学基础数据、数字监控数据等海量数据的频繁调用,海量数据管理能力是保障数字校园管理信息系统正常运行的关键技术。
1、企业信息安全管理要素构成对于企业信息安全管理要素的构成,国际上普遍遵循的是ISO17799:2005标准的分类方法。ISO17799将企业信息安全管理实施分为11个方面,分别是物理和环境安全、信息安全事件管理、人力资源安全、安全政策、组织信息安全、资产管理、通信与操作管理、访问控制、业务连续性管理、信息系统获取开发和维护、符合性。这其中,除了与技术关系较为紧密的访问控制、信息系统获取开发和维护、通信与操作管理这3个方面外,其他信息安全管理要素更侧重于组织整体的运营管理,在实施企业信息安全管理过程中有较高的参考意义。为了实证分析中数据测量方便,本文参考该标准,从企业的角度,按照各要素属性及控制措施的相似性,将ISO17799标准中的11个要素整合为6个要素,分别为组织环境(符合性、安全政策、组织信息安全)、人力资源安全、资产设备安全(资产管理、物理和环境安全)、操作管理(通信与操作管理、访问控制)、应急响应机制(信息安全事件管理、业务连续性管理)和信息系统开发与维护。
2、研究假设
(1)组织环境。
本文中的组织环境侧重于企业中的政策制度、人文环境等软环境,主要指所有潜在影响信息安全管理活动的因素或力量,在企业的信息安全管理中起导向性的作用,具体包括企业的安全政策方针、安全文化氛围和业务符合性等。企业信息安全管理成功的实现离不开组织环境的支持,良好的组织环境对企业的信息安全管理有重要的推动作用,它有助于企业各项安全政策、安全策略的实施。组织的安全政策是组织实施信息安全活动的战略导向。完备的安全政策、方针可以为企业的每一个员工提供基本的行为准则、指南,使得企业信息安全管理的各项活动都有章可循,促进信息安全管理进程的实施。齐晓云(2011)通过实证验证了企业信息系统的失败与缺乏相应的制度与机制保障之间存在强相关关系,制度与机制保障对信息系统成功有正向的影响作用。企业的安全文化氛围等人文环境是组织环境的一个重要组成部分,它是企业的一种无形的管理思想。相关研究表明,环境对人的安全行为习惯养成有着较大的影响。其中,人文环境的影响尤为明显。VanNiekerk(2010)指出,导致信息安全事故的主要因素是企业信息安全文化氛围的减少。良好的安全文化氛围可以提高员工的安全意识,不单能避免由员工的不安全行为所产生的风险,更能促进全体员工参与到保障组织信息安全的行动中来,最大程度消除事故隐患,有效预防和减少各类事故的发生。Herath(2009)通过问卷调研的实证研究验证了惩罚力度是企业员工的安全行为重要影响因素之一,说明企业的政策制度对人力资源安全有着正向的影响。
(2)人力资源安全。
人在企业信息安全管理活动中不仅是主体,也是客体。主体是指许多信息安全控制措施实施的实现是由“人”来完成的;客体是指“人”也是信息安全管理中所要管理的对象。据有关统计表明,在所有的信息安全事故中,约有52%是人为因素造成的,因此,人力资源安全管理显得十分重要。在企业中,高层领导轻视信息安全是导致企业信息安全文化欠缺和员工信息安全意识薄弱的主要因素。中层管理者是衔接企业高层与基层的桥梁,企业信息安全管理实施的效果直接取决于中层管理者对上级决策的执行力度。Ashenden(2008)通过实证研究发现中层管理者的执行力度不足会造成高层管理者和员工之间对信息安全管理存在理解上的差异,这种差异会对企业的信息安全管理产生不利影响。普通员工对信息安全管理的参与配合不够会导致各项安全政策、方针不能准确落实,继而影响到信息安全管理的其他方面。
二、研究过程
1、研究设计与样本
(1)研究设计。
本文在借鉴国内外现有成果的基础上,结合企业信息安全管理的实施程序,设计预测试问卷。问卷采用Likert5点量表对各个项目加以度量,1表示“非常不符合”,5表示“非常符合”,根据答题者对每一项目的打分来判断企业对某一现象表述的态度或看法,若分数越高,认同度越高。
(2)调查样本。
本文采取简单随机抽样的方式形成样本,面向长三角发放调查问卷200份(其中150份通过电子邮件发放,50份通过实地走访企业完成),最终收回155份,有效问卷率为69.5%。调查企业均为中小型企业。
2、测量工具及其信度和效度检验
(1)信度检验。
本研究首先对量表进行信度检验。信度检验采用了学术界普遍使用的Cronbach''''sα系数来衡量数据的内在一致性信度。一般情况下,若Cronbach''''sα系数小于0.35为低信度,在0.35到0.5之间勉强可信,0.5到0.7之间信度较好,大于0.7则属于高信度。本文通过对6个维度进行信度检验,发现6个维度的Cronbach''''sα系数最小值是0.669,其余都大于0.7,量表总体的Cronbach''''sα系数未0.897,表明此量表的可靠性较高,量表选项设计是合理有效的。
(2)效度检验。
首先采用了KMO度量和Bartlett球形度检验对量表的内容效度进行检验。各维度的KMO度量介于0.638到0.907之间,总体样本KMO度量达到0.833,所有的显著性系数均趋近于0,低于设定的显著性水平(p<0.01),表明量表的内容效度较高。从探索性因子分析结果看,信息安全管理量表的每一项目的因子载荷均大于0.55,大于前人所建议的社会科学量表因子载荷0.55的临界值。从验证性因子分析的结果看,除GFI和NFI没有通过检验外,其他统计检验量全部通过检验,整体通过率为77.7%,见表4,因此可以判定量表与数据之间具有不错的拟合性,量表整体结构效度较好。
3、结构方程模型构建
在理论模型的基础上,运用结构方程软件AMOS7.0构建了初始结构方程模型,并进行拟合优度检验。根据运行结果,GFI值(0.884)、NFI值(0.736)、CFI值(0.899)小于0.9的参考值,PNFI值(0.448)小于0.5的参考值,未能通过检验,说明结构模型与数据的拟合程度处于不可接受的状态,因此需要对初始模型进行一定的修正。另外,运行结果表明,组织环境对资产设备安全和应急响应机制的影响路径系数未达显著性水平,因此在修正时将这两条路径删除。修正后的指数均达到模型可以接受的标准,即修正后的结构模型与实际数据可以适配。
4、研究结果
将AMOS输出的路径系数进行整理,其中,直接效应是指潜在自变量到结果变量的直接影响,用潜在自变量到结果变量的路径系数来衡量直接效应的大小。间接效应是指潜在自变量通过影响一个或多个中介变量,而对结果变量的间接影响。在本研究中,组织环境是潜在自变量,它对其余五个结果变量有直接或间接影响。同时,组织环境通过影响人力资源安全,从而对其余四个结果变量产生间接影响,因此人力资源安全是模型的中介变量。上述实证结果表明,组织环境主要通过人力资源安全间接影响资产设备安全和应急响应机制。间接效应系数均为正,分别为0.121和0.27,研究结果对假设H4、假设H5呈现弱支持。总的来说,组织环境对信息安全管理的各个要素有着不同程度的直接或间接的影响,这也验证了组织环境在企业信息安全管理中的中心地位,对企业的信息安全管理有着决定性的影响,企业应该首要考虑如何完善这一要素。人力资源安全对其余四个要素的作用均为正,且四条路径系数都达到了显著性水平,假设H6-H9得到了支持。在这四条路径中,人力资源安全是组织环境和其余四个要素的中介变量,通过该中介变量的间接效应,组织环境对四个潜在变量的总效应系数明显增大。可见,人力资源安全在信息安全管理中发挥中介作用,组织环境通过人力资源安全部分中介作用于信息安全管理其他要素,对其他因素产生关联性影响。因此,企业在信息安全管理活动应充分发挥人力资源安全的中介作用,使各项安全政策、规章制度的实施达到事半功倍的效果。
三、结语
为了对信息进行有力的管理和控制以及有效处理,铝矿安全标准化管理信息系统作为一个现代化企业的信息化管理系统必须进行有效的设置。建立一个安全系统的重要意义在于对单个信息进行有效管理,进而形成一个安全信息管理中心,有助于对危险信息进行及时的监控、预防和应对。通过近几年来越来越多铝矿企业对于安全标准化管理信息系统的开发与应用,我们看到了有力的作用。尤其是找到与自己企业相适应的安全管理系统,对于矿业集团的健康运营会有着重要的影响。不仅能够预知安全隐患,而且可以及时应对与解决所发现的安全隐患。通过这种系统的研发与运用不仅提高了工作效率而且能够使得信息得到及时的畅通传输。因此,越来越多的铝矿企业重视和运用这种系统。
2铝矿安全标准化管理信息系统设计
如同矿山安全标准化管理系统设计,铝矿安全标准化管理信息系统也需要包括14个元素,不仅需要安全还需要包含健康两个方面。系统的运行模式需要按照准备->组织->实行->检修->评审这样的一个流程来进行操作。任何一个矿业集团必须要遵循矿山安全标准化管理系统的14要素,从而获得大量安群信息实现统一管理,进而保证施工安全,营造有秩序的生产环境,创造经济效益。
2.1系统实现功能
铝矿企业在进行安全标准化管理信息系统构建的时候要注意系统需要实现如下功能:首先是这个系统在使用者搜索相关文献资料时能够快速的进行检索,为使用者提供强有力的理论支持。同时还要方便各个部门查询到其他以及本部门的奖惩以及安全排名情况,使得信息及时有效快速的传递到相应部门,为员工了解企业提供便利。其次安全标准化管理信息系统的设计要让人容易接受,易操作,只有这样才能使得多数员工能够自己动手操作,即系统要便于多数人。同时系统还要及时更新实时情况,能够随着各种动态信息及时更新,并时常处于一个比较活跃的状态。再次就是系统要具有存储和管理文件资料的功能,方便使用者随时随地对于文件资料的获取。并且系统的设计是与多媒体信息技术互相关联的,必须要考虑到一些潜在的安全隐患,做好漏洞处理。
2.2系统模式开发
首先是系统技术的运用,考虑到安全标准化的信息管理,系统功能的实现需要运用多想技术进行支持。第一个首先要提到的就是企业局域网内开发的web软件是基于internet技术的,从而实现比较优惠的成本运行。第二个就是运用组建开发过程,提高信息化平台开发效率及系统的稳定性和可维护性。再一个就是通过XML实现一个比较灵活多变的配置策略,使得系统和数据库的服务器可以在局域网中进行比较自由灵活的配置。其次就是系统的运行。安全标准化管理信息系统是一个比较科学规范和系统的管理系统,主要是为了做好危险源的识别和风险的评估控制。矿业集团的安全管理就是突破传统的管理模式,加强比较整体和纵向横向的发展,运用一种全新的现代技术和原理进行管理操作。在整个系统的运行过程中部件要做好管理体系的思想和方法,还要做好风险管理。通过系统运行实现安全生产的目的,在消除安全事故隐患的同时,也要降低安全事故的发生频率,提高生产效益。同时安全标准化系统将矿山错综复杂的安全管理事务融合在一起,减少了日常工作量,提高了生产效率。而且系统化的管理还减少了纸质成本,在实现高效管理的同时节约了成本。在安全标准化管理信息系统这个平台基础上,系统运行中的各个环节将会更加良好,员利用也可得到有效的提高。
2.3安全标准化管理信息系统设计流程
首先,企业内部的系统使用者都需要一个独立的帐号进行系统的使用和查询,考虑到安全系统的重要性,每个用户还需要有特定的权限,这个需要系统管理员根据每个用户的职责进行授权。其次,在授权管理滞后,管理者需要运用自己的管理权限将各个相关的规划上传至系统,这样一来每个员工都可以清晰明了的看到每个时期的安全记录。再次,就是安全规划方面的计划需要在系统首页进行现实,这样每个用户可以了解到与自己先关的任务信息,通过这个在自己的工作中了解到重点在哪里。管理者也能根据此信息制定一个比较详细合理的监督时间,及时对下级工作状态进行检查,通过监察记录将相关信息记录在系统。
3进行系统研发时的注意事项
3.1加强对铝矿安全标准化管理信息系统的认识
对于整个集团的员工要加强安全系统的宣传教育,从思想上意识上重视安全生产。同时对于这一安全系统的建设做好准备,与此同时可以将铝矿工作中的安全隐患在员工的思想中重申一遍,可以使得自身对于生命安全的保障有更加充足的认识。
3.2处理好铝矿安全质量标准化的工作
在进行安全标准化管理信息系统建设的时候,做好部门分工,尤其是管理人员,一定要明确自己部门的工作,做好分管部门的日常工作和分工,从而带动下级积极建设铝矿安全标准化管理。另外,一定要合理安排经验丰富的员工进行定期的安全工作检查,并根据检查情况制定合理的解决办法,从而提高铝矿企业的运作效率。
3.3对于铝矿安全标准化管理信息系统的建设,要明确分工职责
目前,在我国医疗信息化过程中,医院内部信息安全、病人隐私保护,以及一系列与安全相关的问题,都没有引起有关部门的足够重视。我国医疗信息化建设还存在信息安全保障建设的严重滞后,缺少必要的信息安全保障手段。对于复杂的医疗信息化而言,安全问题其实不是一个简单的问题,尽快制定信息安全相关机制,确定信息安全的边界,才有利于开展医疗信息化建设。笔者将从医疗信息系统的安全现状出发,探究如何建立适应未来发展趋势的信息安全可用性体系。
二、医疗信息的安全威胁
美国联邦调查局曾于2006年对2066家公司和组织进行了计算机安全犯罪及事故调查,统计结果表明发生概率排在前四位的分别是:①病毒;②信息的未授权访问;③内部网络资源滥用;④计算机或移动设备失窃。可见,随着互联网技术的改变,各种混合型威胁相继出现,这种混合型威胁直接导致了信息安全建设的复杂性和艰巨性。因此,医疗网络的安全威胁已不仅仅是来自于蠕虫病毒、木马等攻击带来的风险。医疗信息系统在日常运行中面临的各种风险大致可归纳为内网和外网两类攻击。来自外网的安全挑战主要是由网络病毒、黑客入侵等方式直接导致的系统效率下降甚至瘫痪。其主要原因是操作系统补丁没有及时更新、安全软件不能及时升级或垃圾邮件的肆意泛滥等造成的。目前绝大多数的医院已经部署了网络防火墙,客户端防病毒等产品,但医院网络依然会不断遭受蠕虫、特洛伊木马、间谍软件、广告软件等威胁的攻击。针对此类问题,应当研究如何保证内部终端用户的补丁和病毒库始终处于最新状态,有效隔离安全隐患机器的接入。内网威胁主要是指内部工作人员无意或有意导致的资源丢失、信息泄露等问题。医院的重要信息经常以电子邮件,文件传输甚至移动设备等形式轻而易举地流出,大部分内容涉及病人的隐私、药品采购、财务信息等。此类问题属于面向医疗信息本身的安全性问题,需要对其产生、使用、传输、存储等各个环节予以控制。因此医院应设立相应的技术措施和管理制度,避免核心机密的违规泄露和拷贝。
三、面向外网的安全治理
医疗信息系统的软硬件系统本身面临的威胁越来越多样化和频繁化,各种新型威胁层出不穷。针对当前各类相互融合的网络攻击手段,应从如下多个层次上实施外网的安全控制策略。
(1)端点防控
提升终端自身的安全防护力度,在内部各网关及重要网段配置防火墙和入侵检测软件。强制保证操作系统补丁定时更新,反病毒软件实时运行以及病毒库的及时更新。对于不符合安全标准的终端,在网络设备的接入点将对其进行隔离,限制或拒绝其对内网进行访问。
(2)权限设置
部署网络内部强制访问控制策略和权限等级设置,根据口令信息为数据流提供明确的允许或拒绝访问指令。准入控制的成功实施取决于控制粒度的大小,而控制流程的自动化决定了使用者的接受度和控制机制的适应性。
(3)行为监测
在一些信息系统安全级别相对较高的网段部署安全监控措施,对非授权设备的私自接入或网络发送行为进行检查,并予以有效阻断,发生严重泄漏事件时应提供报警。
(4)数据备份与恢复
信息系统的核心内容是数据,因为操作系统、软件等被破坏后都可以重新安装,但数据丢失是无法挽回的。软件级别的单点恢复技术对于火灾,地震等灾难性事故是无法应对的。因此除了客户端的定期软件备份以外,还有必要提供异地数据备份功能,利用通信网络将关键数据定时批量地传送至远程的容灾中心保存。
四、面向内网的安全治理
在复杂的医疗信息运行环境中,针对外网不安全因素的监视和拦截可视为第一道防线,但仅仅依靠这类单一手段必然无法达到理想的安全治理水平。只有面向信息本身的安全,实现从被动防御到主动防御的转变,才能进一步加强安全体系的防御深度,排除不可预测的潜在风险。面向信息本身的安全性即面向数据的安全性,主要涉及数据的私密性、真实性、完整性和不可否认性。这些性质应用于不同的医疗活动中。
(1)私密性
私密性要求敏感信息不能泄露给未经授权的人,授予了病人控制医疗信息泄露的权利。这对于完善居民电子健康档案、电子病历等涉及居民隐私的网络信任体系是十分重要的。通过加密、数字信封和匿名化等技术能有效解决这一问题,保证信息安全无误的送达已授权的第三方或安全存储于服务器的数据库中。在利用非对称密钥机制解决这类问题时,只需对解密密钥保密,因此从加密密钥破解出解密密钥的过程必须设计得足够复杂,以致难以实施。
(2)真实性、完整性
医疗诊断信息在医院使用和流动过程中可能遭受恶意篡改或删除,从而影响最终的治疗效果。尤其是在经过复杂网络传输的远程医疗中,信息的来源真实性和可用性更为重要。采用公开密钥加密体制PKI和数字签名相结合的技术,把病人的隐私信息加密后作为水印载荷的一部分嵌入文件中来传递,用于验证文档完整性和来源可靠性,能有效杜绝外来入侵导致的敏感信息的恶意篡改,同时确认信息来源的真实性。
(3)不可否认性
不可否认性是现有医疗体系中很容易被忽略的一个问题,也是最容易引起医患纠纷的一个问题。利用数字签名技术,不论医生或是患者都可以基于自身的私钥对认定的文件进行签名,从而确认文件已签署这一事实,事后对有关事件或行为均具有不可抵赖性。此外,基于双重加密原理的数字签名还可以保证信息自签发后未曾作过修改,结合数字时间戳可进一步对签发文件的时间提供佐证。这些关键性内容对于医疗事故的责任认定都是很有价值的。
五、安全管理体系建设
医疗信息系统的安全运行除了系统本身的安全之外,相关的医疗信息管理体系的构建也起着至关重要的作用。管理体系的建设目标是实现法律层面和道德层面的双重约束。一个完善的医疗信息系统通常需要足够的人力来进行安全维护,因此真正起到管理执行命令的主体还是医疗信息管理人员。面对医疗机构对于复合型人才的缺乏现状,需要加大对于医疗复合型人才的投入,提高技术管理人员对职业道德、安全意识、法律法规的认识。同时,设立专门的信息安全管理机构,通过安全管理制度明确相关人员的责任。在政策调控方面,宏观上,应制定一系列与医疗信息安全有关的法律法规和标准,以保证健康保险流通性,降低医疗欺诈行为,并强制医疗信息标准,以保护电子健康信息安全及隐私。微观上,应制定符合医疗行业规范的信息安全管理制度和执行流程,主要包括医疗信息系统应急预案、网络系统管理员岗位职责、网络服务器故障的应急处理流程等制度,确保信息系统的安全、稳定、高效运行,以及与医疗有关的个人身份信息、医疗记录等信息在传输、交换、存贮、使用过程中的安全管理。
六、结论
(一)档案开放的必要性。
进入现代社会,互联网科技十分发达,人们了解获得信息的渠道,方式多种多样。无论国家政府的档案,还是企业公司的档案,都可以通过合法或者非法的方式进入互联网,为公众所知。对于各种档案,进行严密的保管是很难做到的,在当下我们这个信息开放的社会,将档案开放,方便社会群众进行了解,使用,对于维护社会稳定,提升档案的利用价值,提高档案的可靠真实度都有重要的意义。当然,笔者本文所言的具有开放必要性的档案是具有公共利益性质的档案,是能够为人民提供一定服务的档案。对于国家档案,很多在一定时期属于国家机密,是无法对外开放的,但是这并不代表这种档案没有开放的必要性,开放的必要性依旧存在,国家的人民有权利了解国家的相关事务,随着时期的过渡,这些档案会慢慢解密为社会公众所了解;对于企业档案,开放的必要性是针对企业工作的工作人员。企业的领导层以及员工阶层能够方便调取个人以及企业的相关档案对于提高企业工作效率,团结企业有着重要的意义。
(二)档案开放的风险性。
当然,档案的开放具有很大的危险性,存在很大的安全风险。对于国家政府相关的档案,即使在开放之前,考虑再三,十分谨慎,度过了某一敏感的时期,但是,一些档案公之于众之后还是会引起一些波澜。甚至,政府类的档案还容易被心怀叵测的社会主义敌对分子利用,借之进行歪解胡说,蛊惑一批无知又容易冲动的民众,对我们的社会稳定产生很多不利的因素。此外,对于企业或者机关单位的很多档案,为了方便业内人士提取,使用,进行开放后,往往容易造成个人隐私泄密,单位机密泄密,为不法分子提供可乘之机。总之,开放档案,既有方便,积极的一面,同时也面临着很大的风险,存在很大的安全隐患问题。即使开放档案存在这样或者那样,可预知以及不可预知的风险,笔者还是认为,我们不能因噎废食,还是应该将应该开放的档案,大胆进行开放。
(三)档案开放的程序。
所谓的档案开放程序,就是指档案开放所需要进行的必要操作,所必须经历的方法,步骤。只有确立严格的档案开放程序,并且严格按照程序办事,开放符合要求的相关档案,才能降低开放档案带来的风险,同时满足档案开放的必要性,发挥开放性档案的积极作用。不同性质的档案,开放程序不同,有严密繁琐的程序步骤,也有简单章程性的程序,这主要根据档案的重要性来决定。确立明确,严明的档案开放程序,对于档案的有序、科学使用,档案信息的保密都有着重要的意义。
二、信息安全管理的方法策略
(一)管理工作人员的培养。
做好信息安全管理的工作我们首先需要一批具备安全管理信息才能的人才。互联网时代的飞速发展,为我们的社会培养了很多具有互联网知识,IT行业技术的高端人才。我们只要对这些人才进行短期的信息安全管理的培训工作,就完全能够使这些人才胜任信息安全管理的工作。做好信息安全管理工作的首要一步是引进综合素质过硬的人才,并对这些人才进行必要的职前培训,只有这样,企业单位的信息部门才能做到信息的科学,安全管理。既为企业单位提供开放信息带来的便利,同时还要保证信息的安全。
(二)严格管理制度的确立。
确立严格,完善的安全管理信息的相关规章制度,并严格遵守,一切按照规章制度办事,任何人在一般情况下都不能破坏规章制度,调取信息。企业和单位为了做好信息安全管理的工作,就要自上而下严格遵守企业制定的信息安全管理的规章制度。现代企业和事业单位的管理,都要以严格的,先进科学的管理制度进行管理,在信息管理部门同样是如此,好的制度为信息安全管理提供有效的保障。
(三)安全可靠的设备。
档案的管理人员在对档案进行收集与整理的过程中就应该对文件做一个明确的分类,并进行准确的编号。同时要队文件的资料做一个科学合理的分类与陈列,或者是可以依照不同的部门而对其进行分类。提高报关信息设备的安全可靠性。企业和事业单位的信息部一定要完善处理,保管信息的设备,提高信息管理工作需要的硬件以及软件设备的水平。高水平的硬件,软件设备不仅能够提高信息利用的效率,同时还能够提高对信息的保护层级,防治外来黑客对信息进行窃取。
(四)监督审查措施的常态开展。
为了保证信息的安全,要确立严格的监督制度,对单位的信息进行严格的监督,并且做到自下至上的,分工明确,责任明确。成立专门的信息监督小组,通过互联网以及其他相关的技术设备对信息进行监督,管理。对单位的信息要做到定期系统管理,每隔一段时间,对单位所有的信息进行分门别类,系统的管理,淘汰无用的信息,保证信息的时效性。同时,要确立严格的审查,追责制度。首先,定期对信息进行审查,保证信息管理工作的安全可靠,其次,对于信息被滥用,泄露等恶劣事件,要做到严格追责,严厉惩罚。
三、结束语
在网络盛行的今天,其重要作用不言而喻。但网络中也存在着很多的漏洞,这些漏洞的存在严重威胁着信息的安全。文章针对网络信息安全以及保障信息安全的技术进行了详细论述,并提出了合理的建议。
关键词:
网络信息 问题处理 管理策略 安全措施
网络的使用使人们的生活更加快捷方便,也使得人们的视野更加宽广,甚至使事业蒸蒸日上,在网络给人们带来好处的同时,也带来了一定程度上的严重后果。例如:加密数据的损失以及安全系统的崩溃等,因此解决网络安全隐患就显得尤为重要。
1网络信息安全的具体描述
在科技尚不发达的年代,人们并不关注网络,更不了解何为网络信息安全,但随着电脑的普及,网络深入人心,网络信息安全愈发受到重视。但何为网络信息安全,其实并没有很明确的定义,因为不同的领域或国家有不同的规定。同时,随着时代的发展,人们对信息安全的要求也更深一步,再加上现有网络信息不光只是单纯的信息,还混合人和技术,所以现代信息安全更加严谨、慎重。本文所说的信息安全一般是指一个独立国家的社会信息化状态及其信息技术不受到外来的影响与侵害。所以要确定信息是否安全就要充分了解信息所在的这个传递载体及网络,同时也要明白信息安全本身的具体特性。信息安全的特性有:(1)完整性。即信息在存储和传输过程中不存在任何的破坏遗漏等现象。(2)可用性。即所属信息是完全合法的。(3)保密性、可控性。即授权方可以有效控制信息的去向等。(4)可靠性。即信息真实质量保证受到客户认可。简单来说,信息安全就是在保证信息安全不损坏的基础上传输到指定地点。
2常见的网络信息安全问题
网络信息安全问题主要分为2类:一种针对信息本身的安全,另一种针对传输载体网络的安全。任何一种都会造成网络信息安全问题。综合来看,主要分为人为影响和软件或是系统本身存在的不足。人为影响有无意识行为,如操作出问题或者不会使用随意与人共享密码等;恶意攻击行为,主要代表是电脑黑客的存在,如利用编写的病毒程序刻意攻击用户电脑,或是在客户正常使用时,对信息进行拦截等。现有情况下,对网络信息安全传输的影响方式主要有信息的拦截破译、信息的伪造、信息的中断和信息的篡改。主要信息出现一丁点的纰漏都不能保证其完整性,所以都会造成信息安全问题。
3现有维护网络安全的技术
3.1“防火墙”安全保障技术
防火墙是一个针对多个网络中访问权限控制的网络设备,主要为了保护本地网络安全不受外来网络攻击。简单地说,防火墙就像二极管,对己方网络起到趋利避害的作用,而对外来网络则详细检查,在确保信息安全的情况下才会允许进入,若不安全则会阻止进入。相对地,防火墙也存在特有属性:首先是针对数据的双向筛选,即不仅是从外部网络进来的数据要审查,内部网络流出的数据也同样要接受审查。其次,符合规定的信息数据才能通过。再有,具有防侵入作用,即在未知来源的软件或是数据进入时会自动阻止,防止攻击原有网络信息。这样就能在一定程度上保证网络信息安全。当然,防火墙技术的使用也存在一定的问题,主要是在使用防火墙时会对网速等造成影响,所以在使用防火墙技术前应考虑清楚是否要安装。
3.2针对数据的加密技术
数据尤其是一些机密的数据非常重要,所以要重视数据的安全,而加密技术的产生就是为了保证数据不被窃取或者销毁。数据加密就像是为数据在原有基础上重新加上一把锁。只有使用者才拥有打开保护数据的锁的钥匙,而其他非法者都没办法解读其中的数据。一般数据加密有2种:即线路加密和端对端加密。2种方法的区别就在于一种是针对传输线路进行加密,而另一种则是在端的两头加密。具体分为对称加密和非对称加密。对称加密就是加密解密密钥,这种加密方式在一定程度上简化了操作过程,但其安全性就有一定程度的下降。非对称加密就是一对密钥一个负责加密另一个负责解密,2个密钥不一样,这样提高了数据安全性,因为要想破译加密数据就要同时解读2个密钥,相对地,难度就会增加很多。其中非对称加密的典型代表就是数字签名,通过“签名”对数据进行加密,在通过给定密钥解读签名来达到解锁数据。其中最主要的是密钥,因此对于密钥的管理就很重要。无论是从其产生作用到最后销毁都要严格管理。对于对称型密钥来说,只要买卖双方达成共识,互相保证交易过程的安全保密性,就能使对称加密过程更加简单,同时还使原有的难以区分的问题得到解决。
3.3控制访问权限的技术
顾名思义就是对所有的要求访问的用户按照自己的意愿进行对应的权限控制,对于那些带有恶意的用户杜绝访问,减少了本地网络信息的泄漏,更好地保护了信息的完整性。该技术是保护信息安全的重要手段,也是网络中比较基础的保护方式。但是,也存在一定的不足之处,如没有阻止被授权组织的能力。现今主要常见的控制访问权限的技术有:自主访问控制、强制访问控制及基于角色的访问控制。所谓自主访问控制即现有信息所属者拥有想让谁能访问的设置权限,即可以根据自己的情况按照自己的意愿来设置。这样就能在一定程度上过滤出一些不安全因素。再有,为保护个人信息等还可以自行设定额外的保护锁,就像腾讯QQ中空间相册可以有选择的另行设定密码是一个道理。而强制访问控制就是不受用户控制的,直接听命于生产方的那些。通俗来说就像你买一台电脑,电脑本身有很多系统是买来就带有的,且自己无法更改或删除的,这些系统就称为强制访问权限。基于角色的访问控制就是根据各部分数据或信息的不同,将之指定为不同的角色,在使用时直接根据角色的不同选择对应的访问权限,从而达到控制权限的效果。区别于常见类型的主要是中间角色的加入。认识到了所谓的访问控制,不得不看看访问控制机制又是怎样工作的。常见的技术支持有入网访问控制,就是对于登录使用时的权限控制;权限控制,即设定所拥有数据信息哪些能被访问,哪些不能被访问的技术;目录级安全控制,即在一定的级别区间内只能对此区间的数据等起到效果,没办法越级控制;属性安全控制,服务器安全控制,一般可锁定服务台或是锁定登录时间,只能在规定时间登录。这样就能有效保护数据安全不被破坏。
3.4虚拟网专业技术
就目前来看,针对网络信息安全问题最有效的就是虚拟专用网技术的研发,所谓虚拟专用网技术简单来说就是在公共网络中建立一个专用的信息通道,使得所需传递的信息能够安全的传递。
3.5针对是否有入侵现象的检测系统
就是随时随地对网络信息进行保护防范作用,及时检测是否有不安全因素的闯入,保证信息的安全。其操作流程是:首先对安全行为进行分析了解,然后查看系统各部分是否有漏洞,再扫描到已有攻击时应作出提醒,并将其记录在案,最后看所传输数据是否安全完整等。当然,还有很多维护网络安全的技术如身份认证技术、安全隔离技术等,正因为这些技术的存在才能使现在网络信息的安全。
4频发网络安全事故及其应对策略
由于网络系统的开发过程中总是伴有漏洞的产生,而漏洞不能及时安装补丁加以修复,往往会遭受网络攻击,但是网络攻击又有很多种攻击方法,有拒绝服务的攻击,就是攻击者使计算机不能正常提供服务,此类攻击一般伴有特定现象如被攻击对象中有很多TCP连接在运行,或是网速被拖慢导致无法有效与外界沟通交流等。还有利用型的攻击,对于此类攻击一般采用设置晦涩的口令或是下载安装特洛伊木马等方式来预防。再有就是收集信息类的攻击,其主要包括信息扫描技术即专门针对网络地址,连接端口的扫描并根据反响映射来找出自己所需要的信息的技术总和;对于体系结构的试探检测,最后是利用不同的信息服务。还有就是利用虚假信息来进行有效攻击的手段,像虚假的邮件、系统软件等。在网络安全事件多发的时候,为保证信息安全性就一定要进行有效的防治。首先要随时预防病毒的进入,对于重要数据信息要及时进行备份与恢复,要认识到网络安全的重要性。在对木马病毒的防治上,应首先认识到病毒侵入的常见表现,有运行速度变慢,莫名的死机或是有异常的电脑显示等。其次就是要安装杀毒软件。再有就是要把各个磁盘里的无用东西进行彻底的清除,最后则是把各系统硬盘中的垃圾等无用的东西清理掉,保证电脑的通畅运行,这样才能减少病毒藏匿于各垃圾软件中的概率,只有将这些无用软件都清理掉才能有效防止病毒的入侵,保证网络信息的安全。
5加强网络安全建设
随着科技的进步,使用网络的人也越来越多,通过网络进行交易的人也越来越多,此时的网络不单只是娱乐休闲的代名词,网络中所传输的信息更加重要,上至国家要事,下至百姓生活都与网络有着千丝万缕的关系。因此网络安全就成为关注的重点。只有网络安全,网络中所传输的重要信息才能获得好的保证,才能使社会和谐,国泰民安。基于此,应针对现在网络中存在的潜在威胁及常见漏洞提出相对应的解决方式,借此加强网络安全建设。首先,应从国家层面重视网络安全,制定有效的政策制度来规范网络运行及保证网络环境。但网络问题又是千奇百怪的,所以需要政府采用适当的方式方法来解决问题,并提高网络防御力。只有网络环境安全健康了,信息安全才能得到有效的保障。其次,应针对网络的使用者,即深刻认识网络安全的重要性。在购买电脑设备时就应该保证其质量,不要贪图便宜吃大亏,还有就是在买入设备后一定要及时下载安装防毒杀毒软件,预防病毒的入侵,保证网络环境的干净。再有就是要及时清理电脑各硬盘磁盘中不使用的软件安装包等,保证电脑的运行,也减少病毒的藏匿。最后,网络系统的开发者应认真编写系统程序,减少系统漏洞的产生,这样就能加强网络安全建设。
6结语
综上所述,现在有很多针对网络信息安全的科技,减少了网络问题,而且更多的新科技也在研发中。也就是说,网络安全问题的加强指日可待,但就目前来说,只要从各个方面提高保护意识,就能从一定程度上提高网络安全性。只有保证网络安全,人们才能更加放心地使用网络创造更多的财富与文明,使这个社会更加稳定和谐,使国家繁荣昌盛。
作者:李蟾膺 单位:民航西南空管局
[参考文献]
[1]蒋耀平,李一军,王海伟.国家网络信息安全战略规划的国际比较研究[J].管理科学,2004(1):66-71.
[2]华涛.网络信息安全与全球化时代信息安全国际体质的建立——关于微软视窗系统暗含NSA秘钥事件的思考[J].世界经济与政治,2010(3):89-91.
[3]郑加峰.浅谈互联网安全与信息加密技术[J].情报探索,2012(1):68-69.
[4]黄世权.网络安全及其基本方案解决[J].科技情报开发与经济,2004(12):240-241.
[5]张正兰,许建.基于PKI的网络信息安全体系架构及应用研究[J].计算机与现代化,2004(1):79-81.
[6]赵秦.计算机网络信息安全技术研究[J].中国新技术新产品,2012(14):36-38.
[7].张明光.电子商务安全体系的探讨[J].计算机工程与设计,2011(2):93-96.
[8]李明.一种基于身份的可认证群组密钥协商方案[J].计算机工程,2009(20):1-2.
[关键词]移动电子商务信息安全自组网隐私法律
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
购物车(0)
