关键词:深圳市;互联网政务;信息安全;管理
作为“互联网+政务”行动中的一个重要组成部允“互联网+政务”成为政府政务管理和服务改革的关键一环,将使我国政府的公共服务体系迎来新的转折点。然而.互联网在为政府政务带来机遇的同时,也为黑客和不法分子带来了便利,信息安全的重要性不言而喻,唯有信息能够准确无误的传达,才能将政府的方针政策落实下去,才能将各部门、企业、民众的意见传递上来。我国的信息安全经历了通信保密、计算机数据保护两个发展阶段,现在正处于网络信息安全的研究阶段,政府不得不面对日益谰的信息安全问题这些问题不单单存在于技术方面更存在于管理方面。目前,大多数信息安全事件的发生和安全隐患的存在,与其说是技术上的原因,不如说是管理不善造成的。想要实现信息安全的目的,理解重视管理问题至关重要。
1.深圳市“互联网+政务”信息安全管理取得的初步成效
1.1信息安全支撑保障体系基本成形
第一,较完善的信息安全管理制度。深圳市电子政务起步早,也较早地认识到了信息安全的重要性,因此,深圳市政府在法制工作上也是先试先行,先后出台了《深圳市人民政府信息系统安全检查办法》、《深圳市电子政务信息安全管理试行办法》等一系列规范深圳市电子政务信息安全规划、建设、运维和管理的指导性政策文件。第三电子政务信息安全管理体系框架已初步形成。为保障电子政务的安全有序,深圳市统一规划,建立了全市统一的网络平台、数据中心、灾备中心、政务信息资源共享交换平台、网站生成平台、党政机关信息安全支撑平台、政务邮件系统和短信平台等,政府网站等一批重要应用均建立了较完整的安全保障体系
1.2集约化电子政务支撑体系初步建成
深圳市全面建成了覆盖市、区两级党政机关和主要事业单位的统一党政机关网络,政务内网覆盖到街道办,政务外网覆盖到社区,已初步实现全市网络互联互通。全市统一总面积达3800平方米的政务数据中心及18个机房成为全市电子政务数据汇聚地并建成了灾备中心,负责为全市提供统一的介质保管、备用场地、存储空间、数据备份、数据容灾复制(外网)、应用级容灾、应急备机、灾难恢复办公坐席等服务,有效提高了电子政务系统抵御灾难打击的能力;公共应用平台方面已建成网站生成平台、政务邮件系统、政务短信平台、干部在线学习平台等。
1.3电子政务信息安全管理机构基本组建
深圳市于2011年成立了由市委办公厅、市政府办公厅、原市科工贸信委、市公安局、市国家安全局、市国家保密局、市密码管理局屯部口构成的觉政机关信息安全联合检查制度,依巧深圳市信息安全测评中也,每年在全市范围内开展联合安全检查、联合应急演练等活动,进一步促进了各部口之间的交流和配合,推动了深圳市信息安全治理体系的建设,当然也对信息化主管部口的统筹协调能力提出了较高的要求。
2.深圳市“互联网+政务”信息安全管理存在的主要问题
2.1电子政务系统基础设施对发达国家依赖性大
硬件方面,信息化建设的硬件设备主要依赖进口。大到核心服务器、路由器小到CPU,我国都几乎完全依赖国外,特别是作为国家信息化建设的核心设备――高端容错服务器,国产化率不到10%,几乎清一色的采用旧M、惠普等国外公司的产品,其对国家信息安全乃至国家经济命脉的安全风险不言而喻。软件方面,依赖进口的情况更加严重。目甑不论是操作终端还是移动设备,几乎清一色使用国外操作系统,据IDC统计,我国目前桌面端操作系统市场馀额仍然由微软Windows占据绝对垄断份额,国产操作系统厂商如红旗、碟麟、深之度等定制化Linux厂商份额合计不到5%。办公软件方面,我国虽然此前也在政府部口推广金山WPS、永中Office、红旗Red Office等国产办公软件但据艾瑞咨询统计微软office系列产品仍然占据超过80%的市场份额。
2.2电子政务系统管理、使用人员信息安全意识薄弱
一是部分部口领导对于信息安全监管缺乏意识,对安全设施、管理制度的重要性认识不到位,缺乏相应的信息安全应急处置对策和体系,全市的信息安全工作水平参差不齐,未得到足够重视。虽然第十二届全国人大常委会已经审议通过了《关于维护互联网安全的决定》,详细规定了网络安全的相关条文,但部分单位的领导和工作人员在日常工作中对于信息缺乏信息安全监管意识未按照规定严格执行,也缺少详细的操作规程和管理规章,常常敷衍了事。二是使用人员的信息安全意识薄弱,信息安全培训工作多流于形式,有半数单位全员安全意识培训工作存在问题。操作系统、应用软件及网络中存在各种各样的安全漏洞,虽然国家工信部会定时漏洞和漏洞修补安装包,但由于使用人员缺乏安全意识,对于修补漏洞的通知视而不见,以为耽误几天不会受到影响,普遍存在的侥幸意识使得黑客和不法分子有机可乘极易给整个政务系统带来重大损失。Z3电子政务信息安全管理措施不完善
是安全事件和病毒感染事件频发。敌对分子针对我国部分单位、人员和系统防范机制不足、安全意识薄弱、防护措施不为的漏洞,进行窃密活动。2015年2月2日至28日,国家计算机病毒应急处理中也在全国范围内开展了信息安全检查活动,调查结果显示,2014年度,移动终端病毒感染率显著增多,达到了31.5%,相比2013年增长5.2%;传统计算化终端的病毒感染率是63.7%,增长了&8.8%;绝大多数的网友遇到过信息安全问题。二是技术的高度发展带来了新的风险。目前智能终端逐步普及,但由于目前很多部门未对智能终端的管理提离认识,很多工作人员甚至通过智能终端连接电子政务外网、互联网,使得黑客和不法分子有机可乘,造成整个电子政务网络因为恶意网站或软件而酿成整体难疾的网络安全事件。
3.深圳市“互联网+政务”信息安全管理存在问题的原因剖析
3.1电子政务信息安全管理技术相对薄弱
一是过于依赖国外产品和技术,核心技术相对落后。从目前信息技术的发展情况看深圳市的信息安全基础设施防护薄弱,而且,政府部门对于国外品牌的电子产品和信息技术比较依赖。纵观全球,绝大多数的核也信息技术都掌握在国外发达国家手中。关键芯片和程序代码仍然受制于人出现设备问题时常常无法自行维护修理只能退回国外原厂维修或者重新购买的情况,这无疑使得深圳的电子政务网络安全风险大增。二是整体安全防护能力滞后。由于政府网站公信力高、影响力太极易成为黑客攻击目标。为了获得非法经济报酬,不少不法分子使用违法行为入侵电子政务内网窃取资料或对网络进行破坏。但部分部门信息安全综合技术防护能力滞后。网站被篡改、被植入后门、上传携带病毒的文件等信息安全事件时有发生。
3.2对信息安全问题带来的风险认识不足
一是对信息安全风险认识不足。由于我国目前大部分城市还是处于技术、管理人员分立的模式,电子政务系统的使用人员往往缺乏信息安全技术的相关知识,对很多高新技术接触较少,信息安全技术培训又流于形式。而且,这类人群往往认为信息安全相关技术只需由技术人员学习,自己无法使用,造成了操作人员与基础信息技术的“鸿沟”。二是存在侥幸心理。部分管理和操作人员虽然对信息安全管理工作的重要性有了一定的认知,但却普遍存在侥幸心理认为信息安全事件不会发生在自己身上,因此对管理制度缺乏重视。在深圳市信息安全联合检查中,侥幸心理在大多数单位并不少见,主要体现在对安全保密规定视而不见,将电子政务内、外网与互联网混甩安全设备配置不合理访问控制不够严格,信息的审查、信息的管理维护、网络的规划、网络建设敷衍了事等等,送些问题的存在将直接带来严重的信息安全问题。
3.3电子政务信息安全保障体系不健全
一是管理措施不完善,漏洞监管不及时。由于我国信息安全标准的统一、源代码控制等网络风险监控措施严重滞后,很多网站上的漏洞安装包不及时,无法消除当前最新面临的安全风险或漏洞。另一方面,从深圳市信息安全联合检查的结果看,部分单位普遍存在漏洞修复周期较长没有过及时修复漏洞过多,存在sOL注入漏洞、文件上传漏洞、Stuffs2漏洞等高危漏洞,大量累积的漏洞使得被攻击度严重增多。二是新兴技术对信息安全形成新的冲击。随着”互联网”不断推进,信息技术迅速大数据、云计算将大量的电力、交通、金融等信息高度集中,极易成为网络攻击的重点目标,如何应对新兴技术对信息安全的冲击尤为重要。另一方面,移动互联网的出现以及智能终端的普及,虽然使得互联网得到了更多的普及,但也不可避免的带来了更多的安全隐患。
4改善和加强“互联网+政务”信息安全管理的对策思考
4.1完善信息安全检查机制,强化电子政务保障功能
一是协同单位扁平化管理设计。目前,虽然深圳市已经按照工作部署,设立了信息安全联席会议办公室,设置了相关的制度、领导、成员单位、人员等但应引入扁平化设计理念减少组织内部沟通层次,将集权式体系调整为以服务为核也,通过压减管理层次,使管理结构最大程度简化。作为协同管理机构,各成员单位应加强部口之间的交流与合作,对于各单位在日常工作中发现的安全隐患、漏洞、数据更新信息等信息应及时交流与共享。二是细化信息安全管理小组的功能。深圳市目前虽然设有全市信息安全联合检查小组,但每年只有一次信息安全检查,势必难以保证信息安全的风险评估做得客观、公正,风险预防和控制做不到位。
4.2加大财政资金投入力度,促进信息产业快速发展
一是加大政府财政投入力度,支持安全企业利用资本市场融资发展。信息安全行业资金需求量大,深圳市相关政府机构可加大财政投入力度,如设立信息安全行业发展专项资金,支持信息安全行业发展。政府政策对于企业创业具有积极的鼓励、引导作甩因此可考虑引入有关机构或产业关联信息安全企业,为中小企业融资、贷款等提供便利。二是加快建设信息安全产业基地完善配套基础设施。目前,深圳信息安全企业整体规模偏小,产业集群效应尚不明显。因此深圳市政府部门应加快建设信息安全产业基地,开展招商引资工作,加快引进信息安全重大项目和领军企业。市政府应做好海外先进技术兼容并收、支持、鼓励企业“学进来、走出去”发展具有竞争优势的信息安全产业集群。
4.3提高全民信息安全意识,着力培育信息安全文化
营造良好的信息安全文化氛围,推广基础信息安全管理知识可以有效降低信息安全风险,每一位市民实际上都是信息安全的重要参与者和执行者,市民特别是领导、技术人员、人员都应清楚信息安全常见的风险及相应的防范、解决措施。为了实现这一目标,可由市政府牵头、借助化会力量,由企业来承办培训的方式,利用各种宣传和培训手段,在全民中普及信息安全意识,使得人人懂信息安全。另一方面应特别关注、培养政府公务人员的电子政务安全信息意识。作为电子政务最直接的使用者,公务人员应对潜在的风险有更进一步的认知,时刻在日常工作中绷紧安全意识这根弦,时刻注意维护电子政务信息和数据的安全。
安全评估管理规定
第一条为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。
第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。
本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。
本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。
第三条互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得、传播法律法规禁止的信息内容。
第四条国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。
国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。
第五条鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。
第六条互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。
第七条有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:
(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;
(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。
国家互联网信息办公室适时新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。
第八条互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。
按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。
第九条互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。
第十条报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。
第十一条互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:
(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);
(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);
(三)产品(服务)配套的信息安全管理制度和技术保障措施;
(四)自行组织开展并完成的安全评估报告;
(五)其他开展安全评估所需的必要材料。
第十二条国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。
国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。
国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。
第十三条新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。
服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。
第十四条组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。
第十五条国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。
第十六条互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。
摘要:本文介绍了企业对信息安全技术人才的需求,阐述了信息安全与管理专业人才的培养定位,归纳总结了专业岗位所需的工作能力,凝练出“平台+方向、双元主体、双证融合、双学分制”的人才培养模式,构建出适合岗位技能需求的专业课程体系,从而为高职院校信息安全专业建设提供一种新思路。
关键词:高职院校;信息安全与管理专业;人才培养模式
中图分类号:G642.0 文献标志码:A 文章编号:1674-9324(2017)26-0153-02
引言
当今信息技术已经深入到社会中的各行各业,信息安全已经提升到了国家战略地位。根据《信息安全产业“十二五”发展规划》显示,2015年中国信息安全产业规模将突破670亿元,国内信息安全专业人才缺口高达50余万,人才缺口在就业市场上已经体现得很明显,社会急需大量的信息安全方面的人才。
一、专业人才定位
信息安全与管理专业为使学生能够更好地实现就业,将方向分为网络安全管理、信息安全管理与网络管理三个方向。为企业培养中高级岗位人才,要求W生掌握信息安全理论、网络安全产品的安装与调试、数据库的安全管理、网络的病毒防范、网站的安全管理、防火墙安全策略制定与配置、安全风险评估与检测、数据恢复等技术。
二、人才培养模式
专业坚持“以就业为导向、服务为宗旨,走产学研结合发展道路”的办学指导思想,制定出“平台+方向、双元主体、双证融合、双学分制”人才培养模式。“平台+方向”是指学生在第一学年统一按照进行计算机基础课程学习。学生在第二学期结束时根据自己爱好自主选择专业方向,充分调动学生的学习动力,实现因材施教。“双元主体”是指校企联合培养学生,以“人才共育,过程共管,责任共担,成果共享”为原则,不断优化专业培养模式,共同培养学生。“双证融合”是指专业将行业标准引入到课程标准中,将行业、企业认证技术融入到课程内容中,学生学习完相关课程后即可考取对应证书,在毕业时可以获得计算机等级证书和行业技能证书双证书。“双学分”是指将学生素质拓展学分纳入人才培养方案,实施以“思想道德素质拓展、身心健康素质拓展、人文艺术素质拓展、科学与职业素质拓展”为核心的“雄鹰”素质拓展计划,学生参加素质拓展训练,将修满12个素质学分作为毕业要求,全面促进了该专业学生综合素质的提高。
三、专业课程体系
专业遵循因材施教原则,针对本专业学生基础差异大、兴趣爱好各有不同的实际情况,构建信息安全方向课程体系,通过模块化课程的设置保证信息安全教育的基础性、全面性和针对性。课程制定时首先调研工作领域,明确其对应的典型岗位、细化岗位工作任务,归纳总结工作任务所需的专业技能和职业素养,搭建知识模块构建课程。学生在大一时与其他计算机专业学生一样学习C程序设计、静态网页设计、数据库应用技术等课程,大二后将根据自己的选择方向学习专业课程,如Python编程基础、高级路由交换技术、Windows系统管理、云计算技术基础、Linux网络管理、数据容灾备份、防火墙技术应用等课程。
四、教学质量监控
专业为保证人才培养质量,在院系质量监控体系基础上建立了适合本专业的质量监控方法。学院为第一级,负责制定质量评价标准和总监控,即教务处负责学生学习质量评价,教学质量督导处负责教师教学质量评价,招生就业处负责调查用人单位对毕业生质量的评价。系部为第二级,成立了以系主任为组长的系教学质量督察组,负责常规教学质量评价和质量监控具体实施。同时专业所有实训室均使用与学院教务管理系统完全联动的开放实训室管理系统,用信息化手段规范老师、学生行为,全体老师、学生上课下课均指纹考勤,每周进行分析统计,公布结果,并配以对应的奖惩制度,极大地促进了教风、学风的好转。
五、人才培养措施
1.尊重个性,多种方法获取学分。专业建立了基于多方向的课程体系,极大地满足了不同基础、不同兴趣爱好的学生的选择需求,充分调动学生的学习激情。同时专业通过灵活的教学运行机制,实行“以证代课”、“以赛代课”、“以工代课”、“以项目代课”、“以双创代课”等措施,学生可以通过不同的方式获得学分,从而有效推进了专业因材导学工作的开展。
2.依靠工作室,促进专业人才培养。专业依照学院出台的《工作室管理实施办法》组建工作室。专业教师充当工作室导师,通过制定培养计划对学生进行培养,以工作室为载体,利用项目开发、技术攻关、科研创新、技能大赛、区域服务为引领,采用了“师带徒”的方式对项目实施能力、学习能力较强且积极进取的学生进行培养,通过锻炼学习提高学生的实践技能。
3.灵活学习,培养学生自主学习精神。专业为满足学生日常学习实训的需求,在各实训室中搭建了开放实训室系统,该系统主要由开放实训室管理平台、刷卡门禁系统和监控系统组成,学生通过校园一卡通自由进出实训室进行实训练习,从而使实训室能在7天*24小时向学生开放,学生可以自主安排实训练习。
4.改革模式,尝试中高职联合培养。专业在人才培养模式上不断的进行探索,目前专业已与成都现代制造职业技术学校计算机及应用专业共同合作,组建中高职“3+3”人才培养冠名班,在中高职阶段联合培养学生,共同制定人才培养方案、设置课程内容,专业将高职中的基础课程前移至中职,并安排教师赴中职学校对学生进行授课,其承担课程学时量不少于30%。而学生在进入高职后,将直接接触专业核心课程,从而增加了专业课程学习时间,为培养具有高技术能力的人才打下良好的基础。
5.开阔思路,激发学习兴趣。为更好地引导学生学习,努力开发思路,我们尝试通过多种路径来提高学生学习兴趣,如积极承办院级、省级信息安全类竞赛,鼓励学生踊跃参加,让学生在竞赛中认识不足、学习知识,提高技能;积极联系企业,请企业专家到校开展讲座,让学生更好的认识行业发展动态;安排学生进行生产实训,在企业中进行调研,掌握企业实际岗位需求;邀请行业工程师到校进行实训授课,让学生学习企业实际技能,了解工作要求掌握工作流程。
六、结束语
目前信息安全技术已经成为社会的热门技术,信息安全专业也成为了一门热门专业,但由于以前社会需求不大,大部分学校对信息安全专业建设并未加以重视,很多高职院校中对于该专业的教学都处于起步摸索阶段,还未完全形成一套行之有效的人才培养模式,存在着人才定位不准,课程体系尚未完善等问题。作为培养技术技能型人才的高职院校,只有充分开展市场调研,根据企业发展需要调整培养目标和课程体系,才能培养出适合我国信息安全需求的专业人才。
参考文献:
[1]陈伟,张伟.高等院校信息安全专业的特色建设探索[J].计算机教育,2008,(14).
[2]李振汕.高职信息安全专业人才培养分析[J].广西政法管理千部学院学报,2010,(25).
[3]于璐.高职信息安全专业应用型人才培养模式探讨[J].太原城市职业技术学院学报,2011,(6).
移动互联网应该算当下最热的领域,随着智能手机的普及,移动互联已经完全融入到我们的生活。移动互联目前涉及的领域也越来越多,除了基础的通讯,还有金融、人们吃喝住行各个方面。因为移动终端涉及的太多我们的个人信息,导致信息安全成为目前移动互联生活的重要威胁。本文分析移动互联信息安全存在的问题、原因,并提出对应的措施。
【关键词】移动互联网 信息安全 措施
手机控成为了现在很流行的词语,上到老年人,下到幼儿园的小朋友,都开始接触智能手机、PAD等智能设备,像我的同学,几乎每人一部手机。正式因为移动互联越来越普遍,深入渗透到我们的生活,自然会涉及到很多个人信息。移动互联网信息安全成为人们广泛关注的问题,尤其是时常爆出个人信息泄露等丑闻,使得安全被越来越多的人重视起来。我们应该制定相关的解决方案,从根本上解决移动互联网信息的安全,使得移动互联网健康的发展,更好的服务我们的生活。
1 移动互联网的基本概念及特征
1.1 移动互联网基本概念
移动互联网顾名思义,就是能够连接移动网络,获取多媒体、互联网等服务,我们生活中常见的手机、平板电脑、笔记本等都算移动终端。由于手机是目前最普遍的,本文主要以手机移动互联来介绍。移动互联终端、应用与服务(APP)再加上移动网络,是移动互联网三个主要的因素。
1.2 移动互联网基本特征
1.2.1 网络接入方式多样化
移动互联网是用户获取服务的基础,移动终端联网方式多种多样,本身有移动数据网,很多地方也都有WIFI,目前大部分手机还可以设置移动热点,使得用户基本实现随时随地畅想网络。
1.2.2 移动互联网服务模式多样
目前,智能手机与用户之间的关系非常紧密,用户可以通过手机进行购物、支付、乘车、导航等等,同时手机还能收集用户大量的个人信息和生活习惯。移动互联终端已经成为用户信息的载体,彼此依存。
1.2.3 移动互联网信息管理水平提高
社交是移动互联最有粘性的应用了,也是移动互联得以快速发展的基础,这种较强的信息传递和交互能力需要更加专业的信息管理。
2 移动互联网信息安全中存在的主要问题
2.1 大量网络垃圾,严重影响移动互联网信息安全
现在APP可以随意下载安装,尤其是安卓终端,下载渠道很多,很难有效的去管理。有些人就利用这一点,在APP下载中夹杂大量的消费陷阱或者不健康的垃圾信息。另外,在我们使用APP时,经常会弹出一些广告,当我们不慎点到后,产生额外流量。有些应用或者软件,会携带木马病毒来窃取用户的个人信息,尤其现在手机都有大量个人隐私和经济信息,后果是很严重的。此外现在很多虚假广告、垃圾信息也会通过移动终端进行传播,有些软件甚至会产生恶意收费的情况。
2.2 移动终端多样化引发的信息安全
目前,移动终端普遍是智能化终端,随着移动产业的发展以及人们个性化需求的增加,移动终端也开始呈现多样化的特点,这也导致病毒入侵方式也多样化,终端的风险系数不断加大。用户对终端的使用频繁以及终端的开放化是造成这种情况主要的原因。尤其是过去,企业更加注重的是移动终端的功能特点,忽视信息安全,所以导致现在经常出现信息安全的问题。
2.3 IP网络引发的移动互联信息安全
目前的移动互联网采用的是扁平化网络形式,IP化是其核心内容,IP自身的安全风险日益成为移动安全的重要部分。现在很多网络攻击行为,极大地影响用户的使用,有的甚至会影响移动核心网,用户信息数据的传输等都会受到影响。
3 移动互联网信息安全问题产生的因素
3.1 相关管理政策不健全
移动互联网已经成为我们生活中的很重要的一部分,但是,我国移动互联网相关的法律还不健全,尤其是信息安全的预防机制比较落后,当事件发生后,都是事后处理的多。现在我国还没有出台比较规范的管理手机互联网病毒、接入程序等法律法规。这就导致没有办法按照明确的标准对移动互联网用户或企业进行有效的协调和管理。
3.2 APP开发管理不科学
现在移动APP种类越来越多,而且每天都有很多APP推出。官方APP还好,出现问题的情况不多,现在第三方APP管理成为了影响信息安全的关键点,尤其是第三方APP研发人员越来越多,他们更加注重商业利益,这就使得他们缺乏信息安全的考虑。现在很多APP都能查看用户的通讯录、位置等个人信息。
3.3 用户缺乏必要的信息安全意识
现在很多移动用户都缺乏信息安全的意识,比如随意登录免费网络,而不去注意其安全性;下载一些应用应用后,不去设置一些设计隐私的权限,导致个人信息被应用收集;随意点击推送的一些网页或者小游戏,都在增加信息安全的风险系数。
4 移动互联信息安全管理措施
4.1 完善移动互联网信息安全相关的法律法规
明确的法律制度,是维护移动信息安全的前提和关键。不断完善相关的法律法规,可以有效的协调移动互联网企业与用户的关系;建立健全移动信息安全的预防措施,严厉打击信息安全犯罪,使其不敢去破坏信息安全;移动终端实名制是维护用户信息安全的有效措施,所以需要严格执行实名制的实施。
4.2 加强移动终端管理力度
移动互联网的安全技术与产品的研究开发以及生产力度要不断加大,特别是移动互联网智能化移动终端中智能手机应用的安全技术与产品研发管理,充分协调好各管理部门之间的密切关系,形成有效合理的管理链条。不断加强安全生产过程中的质量检查以及销售环节的工商管理,国家公安部门的工作人员要增强自身的责任意识,端正工作态度,规范监督检查工作流程,加大查处工作的管理控制力度,若出现安全问题,必须按照标准制度严肃处理。
4.3 增加移动用户信息安全的知识普及
要想保护用户的信息安全,自身的安全保护意识是关键,毕竟现在移动互联网的信息太复杂,各种各样的APP充斥在我们生活里,需要我们在使用的时候注意安全防护。
总而言之,移动互联网信息安全管理工作是一项复杂性、难度性较大的工作。信息安全管理工作的好坏直接影响到移动互联网用户以及各企业移动互联网网络的正常运行,对移动互联网自身发展起到非常重要的作用。这要求我们针对移动互联网信息管理中出现的安全问题,从整体出发,采取科学的解决措施,从根本上保障移动互联网运行环境的安全性、稳定性。
参考文献
[1]陈福莉.移动互联网时代的信息安全[J].信息安全与通信保密,2014(01).
[2]邓青殷,黄兆敏,洪真忠.移动互联网信息安全技术体系浅析[J].无线互联科技,2014(06).
[3]吕晓峰,周蓓.移动互联网的信息安全管理[J].中国新通信,2014(21).
1移动互联网的基本概念及特征
1.1移动互联网基本概念
移动互联网顾名思义,就是能够连接移动网络,获取多媒体、互联网等服务,我们生活中常见的手机、平板电脑、笔记本等都算移动终端。由于手机是目前最普遍的,本文主要以手机移动互联来介绍。移动互联终端、应用与服务(APP)再加上移动网络,是移动互联网三个主要的因素。
1.2移动互联网基本特征
1.2.1网络接入方式多样化
移动互联网是用户获取服务的基础,移动终端联网方式多种多样,本身有移动数据网,很多地方也都有WIFI,目前大部分手机还可以设置移动热点,使得用户基本实现随时随地畅想网络。
1.2.2移动互联网服务模式多样
目前,智能手机与用户之间的关系非常紧密,用户可以通过手机进行购物、支付、乘车、导航等等,同时手机还能收集用户大量的个人信息和生活习惯。移动互联终端已经成为用户信息的载体,彼此依存。
1.2.3移动互联网信息管理水平提高
社交是移动互联最有粘性的应用了,也是移动互联得以快速发展的基础,这种较强的信息传递和交互能力需要更加专业的信息管理。
2移动互联网信息安全中存在的主要问题
2.1大量网络垃圾,严重影响移动互联网信息安全
现在APP可以随意下载安装,尤其是安卓终端,下载渠道很多,很难有效的去管理。有些人就利用这一点,在APP下载中夹杂大量的消费陷阱或者不健康的垃圾信息。另外,在我们使用APP时,经常会弹出一些广告,当我们不慎点到后,会产生额外流量。有些应用或者软件,会携带木马病毒来窃取用户的个人信息,尤其现在手机都有大量个人隐私和经济信息,后果是很严重的。此外现在很多虚假广告、垃圾信息也会通过移动终端进行传播,有些软件甚至会产生恶意收费的情况。
2.2移动终端多样化引发的信息安全
目前,移动终端普遍是智能化终端,随着移动产业的发展以及人们个性化需求的增加,移动终端也开始呈现多样化的特点,这也导致病毒入侵方式也多样化,终端的风险系数不断加大。用户对终端的使用频繁以及终端的开放化是造成这种情况主要的原因。尤其是过去,企业更加注重的是移动终端的功能特点,忽视信息安全,所以导致现在经常出现信息安全的问题。
2.3IP网络引发的移动互联信息安全
目前的移动互联网采用的是扁平化网络形式,IP化是其核心内容,IP自身的安全风险日益成为移动安全的重要部分。现在很多网络攻击行为,极大地影响用户的使用,有的甚至会影响移动核心网,用户信息数据的传输等都会受到影响。
3移动互联网信息安全问题产生的因素
3.1相关管理政策不健全
移动互联网已经成为我们生活中的很重要的一部分,但是,我国移动互联网相关的法律还不健全,尤其是信息安全的预防机制比较落后,当事件发生后,都是事后处理的多。现在我国还没有出台比较规范的管理手机互联网病毒、接入程序等法律法规。这就导致没有办法按照明确的标准对移动互联网用户或企业进行有效的协调和管理。
3.2APP开发管理不科学
现在移动APP种类越来越多,而且每天都有很多APP推出。官方APP还好,出现问题的情况不多,现在第三方APP管理成为了影响信息安全的关键点,尤其是第三方APP研发人员越来越多,他们更加注重商业利益,这就使得他们缺乏信息安全的考虑。现在很多APP都能查看用户的通讯录、位置等个人信息。
3.3用户缺乏必要的信息安全意识
现在很多移动用户都缺乏信息安全的意识,比如随意登录免费网络,而不去注意其安全性;下载一些应用应用后,不去设置一些设计隐私的权限,导致个人信息被应用收集;随意点击推送的一些网页或者小游戏,都在增加信息安全的风险系数。
4移动互联信息安全管理措施
4.1完善移动互联网信息安全相关的法律法规
明确的法律制度,是维护移动信息安全的前提和关键。不断完善相关的法律法规,可以有效的协调移动互联网企业与用户的关系;建立健全移动信息安全的预防措施,严厉打击信息安全犯罪,使其不敢去破坏信息安全;移动终端实名制是维护用户信息安全的有效措施,所以需要严格执行实名制的实施。
4.2加强移动终端管理力度
移动互联网的安全技术与产品的研究开发以及生产力度要不断加大,特别是移动互联网智能化移动终端中智能手机应用的安全技术与产品研发管理,充分协调好各管理部门之间的密切关系,形成有效合理的管理链条。不断加强安全生产过程中的质量检查以及销售环节的工商管理,国家公安部门的工作人员要增强自身的责任意识,端正工作态度,规范监督检查工作流程,加大查处工作的管理控制力度,若出现安全问题,必须按照标准制度严肃处理。
4.3增加移动用户信息安全的知识普及
要想保护用户的信息安全,自身的安全保护意识是关键,毕竟现在移动互联网的信息太复杂,各种各样的APP充斥在我们生活里,需要我们在使用的时候注意安全防护。总而言之,移动互联网信息安全管理工作是一项复杂性、难度性较大的工作。信息安全管理工作的好坏直接影响到移动互联网用户以及各企业移动互联网网络的正常运行,对移动互联网自身发展起到非常重要的作用。这要求我们针对移动互联网信息管理中出现的安全问题,从整体出发,采取科学的解决措施,从根本上保障移动互联网运行环境的安全性、稳定性。
作者:许名扬 单位:郑州市第二外国语学校
参考文献:
[1]陈福莉.移动互联网时代的信息安全[J].信息安全与通信保密,2014(01).
【关键词】消防信息化;公安网;网络安全
日前,计算机互联网安全已成为日益突出的问题摆在我们面前,因为,计算机互联网的依赖程度越来越高,这些安全问题可能会直接导致病毒传播,甚至导致黑客攻击,不良的信息披露,在更严重的情况下,将可能对我们的互联网造成不良的影响。因此,如何来避免和解决信息安全问题的存在,以便更好地服务于当前的灭火救援,也履行信息建设问题有待解决。本文仅通过互联网安全意识,消防安全现状的信息互联网分析,消防信息互联网安全问题的解决方案的危险。谈论一些不成熟的看法,供大家思索。
1.消防信息化建设中网络安全存在的问题
1.1 网络系统的脆弱性
操作系统安全漏洞的安全操作系统,计算机不安全的根本原因。主要表现在:
(1)观察消防支队,大队,中队的电脑,找出操作系统体系结构系统本身的缺陷,比如,目前许多系统仍然停留在SP1发行版本,这种版本很不安全。
(2)检查互联网上的操作系统的支持文件传输,装载和安装的程序,包括可执行文件的安全级别。
(3)操作系统也由于不安全因素,影响文件传输的过程,即使是在远程创建和激活的操作中,也是一个不安全的互联网中的一个节点。
(4)作业系统提供互联网文件系统(NFS)服务,基于NFS RPC系统是一个互联网文件系统,如果NFS设置显著的问题,它是几乎等于拱手投降系统的管理。
(5)经营的制度安排没有输入密码为系统开发人员提供边界入口,但也可能会被黑客利用这些入口,通常可完全共享文件夹,使基层单位上传文件,如果有人恶意删除的文件或鼓吹把人在他们的病毒,其后果可能是灾难性的。
(6)经营系统和隐蔽的渠道,是一个潜在的危险。
1.2 安全意识淡薄是网络安全的瓶颈
信息技术部门,管理人员和技术人员缺乏安全意识,没有安全的紧迫感和危机感,所以它是不可能采取积极的保障措施,以防止,完全处于被动挨打的局面,但并没有把信息化建设作为改善消防管理水平,提高工作效率和效益的重要手段,任务,信息互联网安全问题。
1.3 缺乏专业的IT技术人员和网络管理人员
互联网管理员的作用是能够在任何时间,在互联网上进行维护,以防止病毒,黑客和各种恶意程序到浸,处理系统问题,确保互联网和信息安全的正常运行,工作量是巨大的。目前,信息化工作在火灾现场的技术人员,大多是兼职,缺乏系统的培训和知识更新,嘴里常常忙于其他工作,越来越多的企业应对与疲劳和互联网维护。
1.4 现有网络大多缺乏整体安全方案
一个好的互联网安全策略必须首先加强安全主机本身,减少脆弱性,其次是检测软件,利用系统中的漏洞,定期对互联网内的系统扫描分析,以识别潜在的安全风险,建立和完善的访问控制措施,安装防火墙,以加强管理和认证授权,数据备份和恢复措施加强敏感的设备和数据,以建立必要的检疫措施,对在互联网上传输的敏感数据进行加密,加强内部互联网的整体抗病毒措施,建立详细的安全审计日志。据我所知,大部分单位都考虑了防火墙的服务器上,以解决安全问题面前,这其实是一个很窄的安全理念。防火墙只是一个间接的控制,内部和外部的安全隔离设备,在底部的包过滤,对付超大ICMP,IP伪装,碎片攻击,端口控制,的确是不可替代的作用,但它是在应用层控制和检测能力是非常有限的,仍然位于防火墙后面的互联网受到攻击的例子屡见不鲜。
2.消防信息化建设中防控网络安全的对策
2.1 建立完善网络安全保障和标准规范体系
制定一项遵守与企业信息化发展工作所需的信息互联网安全标准体系,建立健全安全管理,互联网防病毒,PKI/PMI的认证和访问控制,“一机两用”监控,补丁分发系统,可移动存储介质管理和互联网监控违规行为的管理系统。坚持“积极防御,综合防治”的方针,坚持以安全技术和规范化,制度化管理相结合的原则,坚持“特殊互联网特定专机”,实行“谁使用,谁负责”安全责任。在实施信息化的过程中,管理比技术更重要的角色,优化管理流程,加强管理的基础上,细化管理流程,简化管理,提高管理效率,冗余链路,以实现互联网信息的安全性。
2.2 要重点把好四个“管理关”
第一,严格的计算机及相关存储介质管理。并确保公安信息互联网连接的计算机可以存储,处理信息,坚决隔离来自互联网,真正从源头上防止发生泄漏;第二,严格的公安信息互联网管理访问的外部边界点关闭。火因业务需要已连接到公安信息互联网外部短信网关,消防安全重点单位,城市消防远程监控接入互联网,以满足安全要求的,必须坚决关闭,牢实的第一个信息安全保护系统辩护;第三,严格的互联网设备的互联网中,互联网“管理。公安信息互联网的各种设备连接到公安网,公安网,进行清理检查,坚决堵塞设备,互联网安全漏洞。
2.3 培养专业的网络安全人员
整个互联网专业的安全管理,提高整个互联网的安全性,构建充满活力,先进,可行,实用的消防信息互联网,不断满足现代消防工作的需要,以促进和改善消防信息化建设。
参考文献
[1]芦欢琳.浅析消防信息化建设中的网络安全[J].信息科学,2011.
【 关键词 】 移动互联网;公共信息安全;保障机制
1 引言
移动互联网主要是指在互联网的基础上逐渐发展起来的新型技术。它主要包括了两个层面:一方面包含了互联网不受传统现实社会约束限制的个性,强调自由、平等的特性;另一方面在隐私性、攻击性等方面相比传统互联网具有更大的威胁。移动互联网的优势显著:其一,移动互联网的接入成本低,它可以凭借手机随时随地进行接入;其二,移动互联网对接入地点没有特殊要求,只要是有移动网络信号,就可以接入。
移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:其一,保密性,主要是指信息不被未授权解析与使用的特性;其二,完整性,主要是指信息传播过程中,不会遭到任何篡改;其三,可用性,主要是指不论处于何种情况下,信息与信息系统都能在满足基本需求的基础上被使用;其四,真实性,主要是指信息系统在交互运行的过程中,信息的来源与信息的者是真实可靠的。
2 制约移动互联网公共信息安全的因素
2.1 移动互联网运行的全民性
移动互联网是在互联网的基础上产生的,而互联网自产生起就带有公开性、全民共享性。目前,这一趋势随着移动互联网的普及更加显著,但是随着全民广泛参与到移动互联网的应用中,这就导致移动互联网的控制权被分散。由于移动互联网使用者的利益、目标以及价值等方面都不尽相同,因此,对移动互联网资源的保护与管理也就容易产生分歧,促使移动互联网公共信息安全的问题变得更加广泛、复杂。
2.2 移动互联网监管不严
我们对移动互联网公共信息安全管理的过程中,往往存在着界定不明晰、管理观念落后等问题。比如对移动互联网上频繁出现的不良信息的划分不明确,这就导致相关管理部门进行监管时,没有可以依据的规则,进而导致监管过度或不力。
2.3 缺乏核心的移动互联网技术
我国的移动互联网处于起步阶段,缺乏自主性的网络和软件核心技术,这就导致我们在移动互联网运行过程中不得不接受发达国家制定的一系列管理规则与标准。此外,由于我们的移动互联网核心技术主要是源自他国,这就导致我国的移动互联网常常会处于被窃听、干扰以及欺诈等信息威胁的状态之下,造成我国的移动互联网公共信息安全管理系统极为脆弱。
2.4 缺乏制度化的移动互联网保障机制
我国对移动互联网公共信息安全的管理并没有建立相应的安全管理保障制度,同时也没有建立有效地安全检查制度与安全保护制度。此外,我国现有的政策法规很难适应当今移动互联网公共信息发展的需要,移动互联网公共信息安全保护还存在着大量的立法空白。
3 建立移动互联网公共信息安全保障机制的措施
3.1 政府应充分发挥其职能
政府在移动互联网公共信息安全管理中,应占据主导地位,引导整个移动互联网公共信息安全向着健康方向发展。首先,政府应发挥应急事件指挥者的角色。政府对控制一般网络公共信息安全事件演变为危机事件肩负巨大责任,需要通过自身的能力使社会秩序尽快恢复正常。其次,政府应对移动互联网公共信息安全相关法律进行监管。政府应依据相关法律对移动互联网信息是否安全运行进行有效监管,同时应不断完善移动互联网公共信息安全中薄弱环节的法律法规制度。
3.2 加强移动互联网公共信息安全法律建设
建立手机实名制法律。手机实名制对预防手机犯罪、净化手机信息具有至关重要的作用,实施手机实名制能够保障消费者的合法权益。在我国制定的《通信短信息服务管理办法》中对手机实名制就进行了明确规定,与此同时,若想让手机实名制充分发挥其作用,就必须加强公民隐私权益方面的建设。
完善公共信息安全法律法规。首先,应重点建立信息安全的基本法,保障信息安全的各项问题有法可依;其次,可以在专门信息安全基本法出台之前,建立必要的、急需的单行法;最后,在建立信息安全法的时候,应尽量避免采用制定地方性法规和部门规章的方法代替制定全国性法律法规。
3.3 组建统一的管理机构
建立统一的移动互联网管制机构时,应遵循三个原则。首先,管制机构建立的独立性原则。建立的管制机构不仅要独立于电信运营企业,同时还应该独立于任何行政部门,这样才能够保障管制机构办事的公正性。其次,管制机构建立的依法设立原则。在建立互联网公共信息安全管制机构时,应以《电信法》或专门管制机构法对所建立的管制机构的职责进行明确划分。最后,管制机构建立的融合性原则。管制机构应是一个综合性的管制机构,它所监管的范围应该包括整个信息通信领域。
3.4 加强终端安全保障技术研发
(1)重视病毒防御。当前的移动互联网终端基本上都是职能设备,采用的都是专门的移动操作系统,这些操作系统必须具备对常见的病毒、木马等的防范功能,同时也应不断降低应用软件系统可能出现的安全漏洞。
(2)实施软件签名。软件签名的实现能够保障软件的完整性,从而避免用户的信息被篡改。此外,当应用程序发现信息被篡改后,能够及时向用户发出报警信息。
(3)采用软件防火墙。在终端设备上应用软件防火墙,用户可以通过设置白名单与黑名单对设备上传入与传出的信息进行有效地控制,保障信息安全。
(4)采用加密存储。用户对设备上的重要信息应在加密之后再将其存储到终端设备中,这样能够有效避免非法窃取现象的产生。与此同时,用户在加密与解密的时候,一定要快速的完成,以防信息被窃取。
(5)统一管理。对安全设备应该进行统一管理,即在一个统一的界面中能够对全部的安全设备都进行相应的管理,并对网络中的实时信息进行及时反映,然后可以对得到的各种数据进行汇总、筛选、分析以及处理,从而提升终端对安全风险的反应能力,降低设备受到攻击的机率。
4 结束语
综上所述,移动互联网技术的不断发展,使得公共信息安全日益成为突出问题。保障移动互联网公共信息安全不仅对移动互联网用户的切身利益息息相关,同时与国家安全也密切相关。我们可以从政府、法律、统一的管理机构以及终端安全保障技术研发这几个方面入手,加强移动互联网公共信息安全的保障机制。只有大力保障移动互联网公共信息的安全性,才能够促使移动互联网更加健康的发展,使移动互联网更好地为我们服务。
参考文献
[1] 满代军.移动互联网公共信息安全对策研究[D].山东师范大学,2010.
[2] 毛晓娟.移动互联网公共信息安全保障机制研究[D].华东理工大学,2013.
[3] 陈奇毅.移动互联网公共信息安全保障措施分析[J].计算机光盘软件与应用,2014,11:108-109.
[4] 范渊.移动互联网警钟长鸣信息安全保障迫在眉睫[J].杭州(周刊),2015,05:15-16.
互联网金融主要有以下特点:一是资源开放性,基于互联网开放共享的特点,通过大数据、云计算等互联网技术,对海量信息进行检索、整理和组织,进而扁平化互联网信息资源,以满足对金融信息的需求,使用户获得金融信息的方式更便捷;二是成本低、效率高,通过P2P直接交易进行金融资源的优化配置,使资金供求信息在互联网中形成“池”效应,资金供求双方可以通过网络平成交易,无传统中介、无交易成本,通过大数据的分析和挖掘,能够更快更好地完成风险评估,业务处理速度更快;三是发展速度快,依托于大数据、云计算和电子商务的发展,互联网金融得到了快速成长,出现了众多互联网金融新模式,如互联网支付、P2P网络借贷、网络小额贷款、众筹融资等;四是风险大,由于缺乏金融风险控制经验,我国信用体系尚不完善,互联网金融的相关法律不健全,互联网金融违约成本较低,互联网金融的普惠特点容易诱发恶意骗贷、卷款跑路等风险问题,其传染隐蔽性、扩展性的特点,可能会波及整个金融市场,甚至引发金融风险。
二、互联网金融信息安全概况
一是互联网金融企业自身的信息安全相对于传统金融企业仍较薄弱,其中不完善的密钥管理及加密技术将会给互联网金融数据安全和业务连续性带来严重影响,如2013年4月,丰达财富P2P网贷平台遭到持续攻击,网站瘫痪5分钟,2014年3月网贷之家官网遭到恶意攻击等。二是互联网金融企业自身的内部风险控制亟待提高,管理也存在较大局限性,互联网金融企业虽然可以依据大数据来分析用户的行为,监管各种交易风险,但是这些更多的是对微观层面的控制,很难从宏观上进行监控,如2013年8月的光大证券乌龙指事件。三是用户认识度不高,用户对互联网金融借助的大数据云技术概念和技术缺乏了解,没有考虑自身的需要,完全照搬国外经验,以致资源利用率不高,导致人力物力财力的浪费。四是消费者信息安全防范意识仍旧薄弱,如点击不明链接,遭受木马攻击,导致泄露支付账号和密码以及消费者身份信息等。
三、互联网金融信息安全风险分类
1.信息技术风险
一是计算机客户端安全风险,目前互联网金融客户端基本采用用户名和密码进行登陆的方式,缺乏传统金融行业的动态口令、U盾等辅助安全手段,一旦客户端感染病毒、木马等恶意程序将严重威胁互联网金融账户和密码安全。二是网络通信风险,在互联网环境下,交易信息通过网络传输,部分互联网金融平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,互联网金融中的数据传输和传输等过程的加密算法,一旦被攻破,将造成客户的资金、账号和密码等的泄露,给互联网金融信息安全造成严重影响。三是互联网金融业务系统及数据库存在漏洞风险,互联网平台面临网页挂马、数据篡改、DDoS攻击、病毒等信息安全风险,数据库系统存在越权使用、权限滥用等安全威胁。
2.业务管理类风险
一是应急管理风险,绝大多数互联网金融企业没有较好且完备的应急管理计划和灾备系统,业务连续性较差,一旦发生电力中断、地震等灾害,将给公司造成非常大的损失乃至导致破产。二是内控管理风险,互联网金融企业大多存在内控制度的建设不完善和执行力欠缺的问题,员工的不当操作以及内部控制的失败,可能在内部控制和信息系统存在缺陷时导致不可预期的损失。三是外包管理风险,目前大多数互联网金融企业基本采用外包的形式为企业提供业务或技术支持。如果缺乏业务外包管理制度或未明确业务外包范围,将导致不宜外包的核心业务进行外包,出现泄密风险。四是法律风险,目前有关互联网金融的法律法规不完善,缺乏监管措施,这些将影响互联网金融的健康发展。
四、构建互联网金融信息安全风险体系
1.建全互联网金融监管的法律法规
一是完善互联网金融法律法规,制定互联网金融信息安全行业标准,提高互联网金融企业的安全准入门槛,明确互联网金融企业的法律地位和金融监管部门以及政府监管职责和互联网金融的准入和退出机制,从而搭建起互联网金融法律体系。二是构建包含一行三会、司法和税务等多部门的多层次、跨行业、跨区域的互联网金融监管体系。三是提升互联网金融消费者权益保护力度,加强信用环境建设和完善信息披露制度,畅通互联网金融消费的投诉受理渠道,逐步完善互联网金融消费者权益保护的法律制度框架,建立消费者保护的协调合作机制。
2.建立互联网金融信息安全技术标准
建立互联网金融信息安全技术标准,增强互联网金融企业的协调联系机制,加强信息安全风险的监测和预防工作,加快与国际上有关计算机网络安全的标准和规范对接。整合资源,建立以客户为中心的互联网金融信息安全数据库,以实现数据的归类整理分析和实时监控业务流程。
3.加强互联网金融信息安全技术体系建设
目前我国互联网金融系统核心技术缺少自主知识产权,加之“棱镜门”的出现,使我国互联网金融计算机系统存在较大的风险隐患。因此,必须加强互联网金融信息安全技术体系建设,在核心软硬件上去除“IOE”,开发具有高度自主知识产权的核心技术,使在互联网金融的关键领域和关键环节使用国产化软硬件设备,提升互联网金融的信息安全风险防范能力,加大对信息安全技术的投入,以信息安全等级保护为基础,建立基于云计算和大数据的标准体系,应用PDCA的思想,从整个信息系统生命周期来实现互联网金融长期有效的安全保障。
4.建设互联网金融信息安全风险评估应急体系
购物车(0)
