网络安全互联网

网络安全互联网（共12篇）

网络安全互联网 篇1

所谓金融 网络 , 其主要是 传统金融 活动在信 息化技术不 断发展的 过程中所 衍生出来 的一种新 形势的金 融活动 ,通过运用 高效、快 速、便捷 的互联网 来实现金 融机构与 广大客户直 接进行联 系 , 使得广大 客户能够 及时掌握 其所需求的 各类金融 信息 , 通过金融 网络来开 展金融交 易。处在当 前这个信 息化高度 普及的社 会中 , 金融模式 多种多样 ,比如网络 期货、网 上货币、 网上支付 、网上证 券以及网 上银行等 , 互联网金 融已经成 为当前金 融行业发 展的主流 形式[1]。然而因 为互联网 金融交易 都必须依 赖互联网 来开展 ,互联网的安全情况就直接关系到整个金融活动的安 全与否。因 此 , 如何保障 金融网络 安全就成 为保障金 融行业有 序发展的关键问题。

1 风险分析

1.1 整 体系统安全

(1) 网络漏洞。网络漏洞主要体现在一些业务系统的漏洞, 存在被从网络控制或者入侵的风险。

(2) 客户端隐患。客户端隐患主要体现为电脑与移动客户端有可能存在恶意插件、 木马以及病毒等潜在隐患, 尤其是当前移动终端的快速发展, 其本身的开放性导致其遭受入侵的几率更高。

1.2 网 络身份认证

网络身份认证风险主要体现为网络身份识别、认证以及数字签名等各个方面存在的风险。网络身份认证与信任体系构建属于网络金融有序发展的重要基础。广大客户是否能够被远程确认、 识别, 是实现网络金融交易的关键所在。然而处在网络金融当中, 因为云计算技术、社交网络、大数据以及搜索引擎的大范围应用, 缺少一套有效、科学的网络身份认证与信任体系, 使得黑客能够利用相应的网络入 侵技术 ,实施低成本、隐蔽性高的金融网络违法行为[2]。比如 , P2P网贷平台在为广大客户提供便利的同时, 因为对借款方本身的信息掌握不够全面, 再加上缺乏第三方机构针对借款人的实际情况进行客观、全面的评估、测评, 非常容易发生洗钱交易、套现等违法行为, 并且这些行为都具有良好的 隐蔽性 ,通常都难以及时发现。

1.3 个人信息安全保护

个人信息安全保护风险主要指的是网络流动、储存的用户个人金融信息 (比如银行卡信心、交易记录等) 存在滥用、泄露的隐患, 并因此导致用户个人资金存在潜在隐患。大数据属于网络金融的重要资源基础, 网络金融针对各项数据进行深层次的挖掘、研究以及加工, 能够有效掌握广大客户自身的信用、偏好等相关信息, 并据此为广大客户提供多元化、针对性的金融产品与服务, 在某种程度上能够有效缓解网络信息不对称的情况。然而, 由于大数据本身是一个拥有海量信息的数据库, 如果发生信息泄露、窃取或者非法篡改的事件, 再加上当前云计算技术所进行的无限放大, 则会对广大客户个人隐私、数据安全以及安全利益等构成巨大 的威胁。比如, 在实际生活当中, 许多客户在登录各个金融平台的过程中, 为了方便自身的记忆, 通常都喜欢设置相同的用户名与密码 , 这就给许 多违法分 子可乘之 机 , 其通常应 用“扫号”、“拖库”以及“撞库” 等常用的黑客方法来盗取用户的相关信息, 并用这些信息来与支付宝、网络银行以及P2P平台等存在价值的主页当中尝试进行匹配登录, 以此来盗取用户的资金[3]。

2 防控策略

2.1 加 强基础建设

相较于发达国家, 我国信息技术起步相对较晚, 当前的信息化技术水平仍然较为落后, 当前所应用的计算机软硬件系统基本上都是通过引用的方式, 而引用的这些软硬件大部分都是发达国家中较为落后的技术, 在某种程度上导致我国金融网络面临着巨大的隐患。所以, 必须要高度注重信息技术的研发, 切实提升我国信息化产业的发展速度。针对软件的开发工作, 必须要做好相应的调查, 同时还应当广泛征集广大基层操作人员的建议, 保障软件系统能够进行更为 完善、缜密的设计; 软件设计完成, 在投入使用之前必须要加大软件的测试力度, 力争及时发现软件中存在的问题, 并解决问题; 针对软件编程当中的关键程序必须要使用加密技术, 以此来保障电脑网络数传输的完整性、可靠性以及安全性; 必须要注重改善硬件的运行环境, 金融机房的构建必须要严格遵循国家的相应标准来建设, 必须要通过水电、公安以及消防各个部门共同验收以后才能够进行使用, 防止机房与无线电发射点靠得太近, 从而避免计算机信息传递出现错误。

2.2 风险防范关键技术

2.2.1 防火墙访问控制

为有效保障金融网络重要信息数据的安全, 可以选择网络防火墙的方式来进行有效的隔离。根据金融网络结构简单化与管理方便化的要求, 一般来说只需要设计一个VPN综合网关或者防火墙, 针对金融网络中心中全部的进出数据包实施有效的过滤与检测, 从而有效保障金融网络核心信息的安全性。该防火墙或者网管设施必须要具备接口N+1、分布式处理以及电信级可靠性等特征, 从而有效满足金融网络的相应需求。

2.2.2 双 DMZ 防 火墙

通过在外部DMZ区域的网段当中设置针对外部网络用户提供服务的门户主页、网络银行服务器等, 外屏蔽路由器用户防范外部攻击, 如源地址欺骗和源路由攻击, 并管理Internet至外DMZ的访问 ; 与其他商业银行之间的互联部署在内部DMZ区, 设置集中认证点对接入用户进行安全认证, 业务通过代理服务器进行交换, 严格禁止内外部网络直接进行数据传输。

2.2.3 通 过 VLAN 隔 离业务

一般来说, 金融网络会涉及到ATM、验印系统、会计以及办公自动化等各方面的业务, 在保障各项业务网络高度连接的同时, 又必须要保障各个子网络的安全, 这就必须要在使用权限、加密等手段的同时, 在整个局域网当中采用VLAN来实施有效的业务隔离。现阶段, 各个交换机通常都支持根据主机物理地址、物理端口以及IP等模式来进行VLAN划分,把各个相同业务的子网设施归纳到相同的VLAN当中, 从而有效防止各个业务子网直接进行互相访问[4]。

2.3 建立健全金融网络安全管理体系

构建一套完善的金融网络安全管理体系是从制度上有效保障金融网络安全的重要举措。而要想建立健全的金融网络安全管理体系, 一方面, 必须要提升金融机构内部的控制能力, 不断提升内部的科技水平, 构建对应的网络安全风险防范制度, 通过不断完善有 关金融网 络安全防 范与管理 体系 ,使得金融 业务的操 作更为规 范、科学 ; 另一方面 , 还必须要加 大各个岗 位的管理 力度 , 将内控职 能落实到 具体的岗位当中, 软硬件开发员工、系统管理人员、系统操作人员以及网络技术人员必须各司其职, 要避免一人多岗或者混岗的情况, 而领导层必须要高度重视金融网络的安全管理 工作 ,重视网络安全防范技术的研发, 将具体的责任与权利落实到各个岗位当中, 从而有效保障金融网络安全管理体系的有效落实[5]。

3 结语

金融网络的迅猛发展不仅 有效推动 了金融行 业的发展 ,同时也为人民群众提供了更为快捷、高效、便捷的服务。然而, 处在互联网这个开放性极高的环境当中, 各种安全风险层出不穷。这就需要金融行业高度重视安全风险的防控工作,积极探索相应的防控措施, 从技术层面、制度层面有效防范风险, 以此来推动金融网络健康、有序的发展。

摘要：随着科学技术与信息化技术的不断发展,金融业也发生了翻天覆地的变化,以网络交易、电子支付为显著特点的网络金融模式已经成为当前金融业的主流发展模式。金融网络在迅猛发展的同时,其所面临的金融网络风险也在不断增多。有效防范金融网络风险,保障金融网络的安全成为金融业急需解决的课题。针对金融网络面临的主要风险进行了详尽探讨,并在此基础上提出了防范金融网络风险的几点具体措施。

关键词：互联网,金融网络,安全技术

网络安全互联网 篇2

互联网信息网络安全承诺书

中国电信集团公司黑龙江省哈尔滨市电信分公司：

本单位郑重承诺遵守本承诺书的有关条款，如有违反本承诺书有关条款的行为，本单位承担由此带来的一切民事、行政和刑事责任。

一、本单位承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及有关法律、法规和行政规章制度、文件规定。

二、本单位保证不利用网络危害国家安全、泄露国家秘密，不侵犯国家的、社会的、集体的利益和第三方的合法权益，不从事违法犯罪活动。

三、本单位承诺严格按照国家相关法律法规做好本单位网站的信息安全管理工作，按政府有关部门要求设立信息安全责任人和信息安全审查员，信息安全责任人和信息安全审查员应在通过公安机关的安全技术培训后，持证上岗。

四、本单位承诺健全各项网络安全管理制度和落实各项安全保护技术措施。

五、本单位承诺接受公安机关的监督和检查,如实主动提供有关安全保护的信息、资料及数据文件，积极协助查处通过国际联网的计算机信息网络违法犯罪行为。

六、本单位承诺不通过互联网制作、复制、查阅和传播下列信息：

1、反对宪法所确定的基本原则的。

2、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的。

3、损害国家荣誉和利益的。

4、煽动民族仇恨、民族歧视，破坏民族团结的。

5、破坏国家宗教政策，宣扬邪教和封建迷信的。

6、散布谣言，扰乱社会秩序，破坏社会稳定的。

7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。

8、侮辱或者诽谤他人，侵害他人合法权益的。

9、含有法律法规禁止的其他内容的。

七、本单位承诺不从事任何危害计算机信息网络安全的活动，包括但不限于：

1、未经允许，进入计算机信息网络或者使用计算机信息网络资源的。

中国电信规范合同文本版本号

2、未经允许，对计算机信息网络功能进行删除、修改或者增加的。

3、未经允许，对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的。

4、故意制作、传播计算机病毒等破坏性程序的。

5、其他危害计算机信息网络安全的。

八、本单位承诺，当计算机信息系统发生重大安全事故时，立即采取应急措施，保留有关原始记录，并在24小时内向政府监管部门报告，并书面知会贵单位。

九、若违反本承诺书有关条款和国家相关法律法规的，本单位直接承担相应法律责任，造成财产损失的，由本单位直接赔偿。

十、本承诺书自签署之日起生效并遵行。

单 位 盖 章：

网络安全互联网 篇3

关键词：互联网；高校网络安全；实验室

1 “互联网+”的概念

2015年3月5日十二届全国人大三次会议上，在政府工作报告中李克强总理提出了实施“互联网+”计划。提出制定“互联网+”行动计划，推动物联网、移动互联网、大数据、云计算与现代制造业相结合，促进互联网、电子商务和工业互联网金融的健康发展，积极引导互联网企业开拓国际市场，这次是首次官方正式提出“互联网+”概念[1]。“互联网+”就是“互联网+各个传统行业”，但这两者之间并不是简单的相加，而是共同利用互联网平台以及信息通信技术，深入融合传统行业与互联网，创造出一种新的发展形态，这就是发展互联网思维所取得的实践成果。

2 建设高校网络安全实验室的要求

以往建设高校网络安全实验室的主要目的是为满足实验教学网络安全，更新换代设备非常少，实验的项目大多以验证性的实验为主，很少存在实验创新，长时间以来都没有办法改进实践教学[2]。由于实验室功能的限制，对培养学生的实践能力首先制约，并且互联网络安全缺陷又频繁发生，学生通常没有足够的能力去应对实际应用中的问题。因此，在“互联网+”的时代背景下，对建设高校网络安全实验室有了更高要求，不断要满足日常的网络安全实验任务，还要成为符合社会不同阶层所需要的网络安全技术实验基地和培养人才的基地，这样有助于推动网络安全实践教学，从而有效提高学生应对常规问题的能力。

3 “互联网+”时代下建设高校网络安全实验室

3.1建设阶段性网络安全实验室

网络安全是一个交叉、综合的学科领域，其具有涵盖面广、技术含量高、应用性强和实用性强等特点。因此，目前培养网络安全人才的体系应是实现网络安全实验、理论、应用开发和研究技术一体化，建立具有特色、先进性和多层次性的理论基础和与实验配套的培训网络安全的机制[3]。建立标准、完善的工程应用开发研究环境和网络安全实验环境已成为非常重要的事情。就当前互联网条件下对网络安全培养人才的要求发展和建设高校网络安全实验室能根据以下三个阶段来建设，每一更高的发展阶段，都涵盖了底阶段的全部功能和设备，结合高校的现实情况，能够一步到位的建设网络安全实验室，同时也能分步实施和分期建设。

3.2网络安全实验室的格局

网络安全实验室主要是由以堡垒机为中心的和若干个实验功能台的相关安全维护、运行和管理设备组成。开展网络安全实验教学主要在实验功能台（RACK）上，每一个RACK由AC上网行为管理、AD应用交付设备、堡垒机、AF第二代应用防火墙、WOC广域网优化、aDesk桌面虚拟化、无线AP、aSV服务器虚拟化、VPN和应用性能监控与合计十款管理网络优化、网络安全、审计以及虚拟化云计算机设备共同组成[4]。同时在核心交换机上还带有堡垒机系统、WAC无线控制器和SC集中管理系统，教师能利用这些设备系统对AP、VPN、AC等安全设备、网络设备以及各种服务器上的使用及服务器自身实行集中配置管理，便于开展网络安全实验课程。

3.3网络安全实验课程的主要教学内容

3.3.1预备网络安全知识

网络安全实验教学的目的是为了使学生熟悉网络设备配置和功能，掌握基本的网络安全理论知识，特别是对于非专业的学生，掌握网络安全预备知识是顺利进行网络安全实验的基础条件。网络安全预备知识的内容主要包括IP/TCP协议簇、OSI协议基础、DOS系统命令等。

3.3.2标准化配套网络安全实验教材

选用标准化配套的网络安全实验教材，能使学生更好的掌握有关网络安全方面的知识，并且有利于提升学生的实践应用能力，改变网络安全实验教学的效果。在信息安全和网络安全方面，能使用有关安全管理及规范标准、安全法律法规、密码技术、网络信息安全体系以及PKI体系等方面的教材。在系统方面，能使用安全的Unix系统和Windows系统等教材。在网络防攻实验方面，能使用扫描漏洞技术、防火墙技术和检测入侵技术等教材[5]。在远程控制和WEB服务器安全方面，能使用云计算与虚拟化、实现与设计WLIN、应用性能管理技术原理、负载均衡技术原理、广域网优化技术原理、WEB服务器管理与安全等教材。

3.3.3网络安全实验项目的内容

网络安全实现项目的主要内容包括法律法规、安全标准、黑客攻击技术、安全体系框架、防火墙技术。广域网加速技术、应用性能管理技术、服务器虚拟化技术、负载均衡技术、VPN技术、桌面虚拟化技术、WALN无线网络技术、UNIX安全配置和管理、应用虚拟化技术、Windows安全配置和管理、密码学及应用、漏洞扫描技术等。

4.总结

“互联网+”作为一种新兴的生产力模式，推动了经济形态的演变，激发了社会实体所具有的生命力，为发展、创新、改革提供了更为广阔的互联网平台。它代表的是社会新的形态，是在社会资源配置中充分发挥互联网的集成和优化作用，也是社会、经济各领域当中深度融合互联网的创新成果。 “互联网+”时代下的高校网络安全实验室的建设，能够避免传统实验室的限制，满足学生对知识的不同要求，促进学生的全面发展。

参考文献：

[1]周红春. 高校教育信息化的新发展：信息化教育——我国高校教育信息化试点学校建设的启示[J]. 电化教育研究，2012（06）：11-28.

[2]郝丹. 远程实验室：支撑环境与创新动力——“中国远程教育学术论坛”综述[J]. 中国远程教育，2012（11）：5-15.

[3]. 云計算时代的电子政务建设发展——2013年教育电子政务（电子校务）暨云计算应用与发展工作研讨会在兰州召开[J]. 中国教育信息化，2013（14）：3.

[4]范建丽，方辉平. “互联网+”时代高校微课发展的对策及应用——从第二届全国高校微课教学比赛谈微课与教学的整合[J]. 远程教育杂志，2016（03）：104-112.

[5]底晓强，张宇昕，赵建平. 基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J]. 实验技术与管理，2015（04）：147-151.

移动互联网时代的网络安全初探 篇4

1 移动互联网的安全主体及特征

(1) 个人。个人是移动互联网时代最脆弱, 数量最多, 安全系数最小的一个群体, 这一群体占移动互联网的绝大多数, 他们的网络安全是整个移动互联网安全的晴雨表, 通过了解个人网络安全系数的高低就可以洞悉整个移动互联网安全的高低。总体来讲, 个人在网络安全的背景下主要呈现出以下几个方面的特点。

第一, 脆弱性。目前, 许多移动互联网用户并不是专业的互联网从业者, 他们在安全意识, 操作习惯, 技术能力等方面都较为欠缺, 在遭遇网络安全威胁的时候通常处于一种被动挨打的局面, 而他们在遭受威胁的时候也经常处于一种无意识的状态下, 这就给移动互联网时代的网络安全提出了较高的要求, 那就是要保证这些最脆弱的用户免于网络安全的威胁。

第二, 分散性。移动互联网时代, 每一个人在不同的时间, 不同的地点都可能遭遇到来自不同系统的网络攻击。另外, 由于用户在使用移动互联网的过程当中经常会涉及到一些较为隐私的内容, 这让每一个用户都成为一个独立的个体, 在保护这些独立个体的网络安全上又提出了新的挑战。

第三, 衍生性。衍生性是指移动互联网用户在遭受网络安全威胁之后可能会扩散到其他的用户, 而这些用户由于和受害用户有着较为密切的关系, 受害用户的安全威胁可以轻而易举地传递到相关用户的身上给他们的网络安全构成威胁。例如当下的QQ、飞信、微博等社交工具账号被盗之后, 犯罪分子通常会利用这一特点向受害方相关的用户进行欺诈。

(2) 公司。移动终端的普及让更多的公司开始关注移动互联网时代的推广效果, 而网络威胁的触角也开始伸向这些规模较大, 资金较为丰厚, 但是网络安全系数较差的企业。这些企业虽然数量不及个人用户, 但是一旦他们的网络安全遭受威胁, 后果比个人用户严重得多。公司作为一个集体, 在网络安全的背景下主要有以下几个方面的特点。

第一, 涉及面广。公司或企业作为一个整体, 其内部各个部门之间, 公司内部部门和外部部门之间都存在着千丝万缕的联系, 公司遭受网络安全威胁之后将会影响到公司内部以及公司外部相关部门的安全, 涉及面要比个人大十倍, 百倍甚至上千倍。前些年的新浪微博、天涯社区、人人网等网站的密码泄露事件都说明了这一点。

第二, 维护较难。公司虽然有一些专业的技术人员进行网络安全的维护工作, 但是面对成千上万的移动互联网用户, 这些有限的技术人员在进行网络安全的维护过程中很难做到面面俱到。因此, 如果公司的网络安全遭遇到威胁之后对这些阵容庞大的用户进行网络安全的维护面临着较大的困难。

第三, 损失较大。公司在遭受网络安全威胁之后所造成的损失可能是个人的很多倍, 而黑客们恰恰看到了这一点, 他们在对公司的网络安全进行入侵的时候经常会侵入一些涉及到公司业务发展核心的一些部门, 这些部门一旦被黑客侵入造成的后果将难以估量。

2 移动互联网的安全问题

2.1 系统安全问题

目前, 手机系统的安全漏洞和漏洞修复的能力远远没有传统互联网强大, 而大多数手机系统自身的开放性让手机系统安全显得更加不堪一击。手机病毒的更新之快又让手机系统安全面临的问题更加突出。据统计, 手机病毒用两年的时间就完成了传统PC病毒需要花费十多年才能走完的路, 而这其中手机系统漏洞百出可谓是移动互联网安全的头号杀手。一方面手机病毒更新迅速, 另一方面手机系统更新缓慢, 更新质量也不高, 有时只是从操作的界面上进行一些改变, 而系统本身的安全漏洞仍然处于一个相对较低的水平。这种情况造成了移动互联网时代的网络安全极易受到手机系统安全的影响。

2.2 通信安全问题

移动互联网的主要基于的移动设备是手机, 而手机最基本的功能就是通信, 移动互联网时代的安全问题绝大部分也都出现在手机通信上。垃圾短信、诈骗电话、骚扰电话等问题已经成为影响移动互联网时代网络安全的主要问题。

美国“棱镜门”事件在告诉我们, 我们的通话、手机短信、手机消费信息都可能处在别人的监控之下;而各种垃圾短信和促销信息则是在提醒着我们, 我们的消费习惯, 我们的号码信息或许已经被掌握在别人手中。据百度手机卫士发布的《2015 上半年中国移动互联网安全报告》显示, 截至2015年6 月, 全国垃圾短信的总量为199 亿条, 每月人均接收垃圾短信7 条。手机短信只是手机通信安全面临威胁的一个方面。用户号码泄漏所带来的各种诈骗电话、隐私窃听等问题更加让人触目惊心。一些犯罪分子在获取到用户号码之后开始用“响一声”电话来进行吸费, 这种方式给移动互联网时代的网络安全造成了更大的威胁。

2.3 硬件安全问题

手机硬件安全似乎和移动互联网时代的网络安全联系不大, 而我们更换的旧手机上所储存的个人信息可能成为犯罪分子进行诈骗的主要突破口。在移动互联网时代, 一个废旧的手机里储存的数据信息可能会成为犯罪分子轻易获取的一个主要内容, 利用这些信息对手机系统里的数据进行还原可能会对我们的之前的信息进行解剖, 为犯罪找到突破口。而废旧手机或许较为简单, 回收过程不受任何约束则成为手机硬件安全面临的一个较大问题, 而这种问题则可能成为影响移动互联网安全的下一个重要威胁。

3 移动互联网时代网络安全的策略

移动互联网时代的网络安全面临的诸多威胁让我们不得不考虑用适当且有效的方法来预防这些问题。虽然人们在网络安全的各个方面都进行过相当多的努力, 但是移动互联网时代的网络安全问题仍然有很多地方需要改进和提高才能应对多样化的网络安全威胁。

3.1 技术策略

移动互联网时代的网络安全问题归根到底是网络技术之间的较量, 网络安全技术更新成为能否打赢这场网络安全战斗的决定因素。因此, 必须从技术层面打好基础, 坚持以技术创新为指导, 不断强化技术取胜, 技术至上的网络安全意识, 坚持从技术层面上打赢这场网络安全战。

从虚拟网技术层面上来讲, 必须通过虚拟网的访问控制上加大对虚拟网外的网络节点的控制, 使得网络广播原理的入侵监控技术在高速交换网络内不经过特殊的设置即可实现, 并将虚拟网技术简单化, 使得普通的移动互联网用户易于接受, 并成功实现。

从防火墙技术层面上来讲, 必须加强网络之间的访问控制, 防止外部的网络用户以非法的手段通过外部网络进入到内部网络, 保护内部网络操作环境的安全性。通过不断提高防火墙的安全技术水平, 增强保密性, 从而增强整个移动互联网的网络安全性。

3.2 网络策略

现有的移动互联网主要是以4G和3G为主, 这些网络借助于智能机的载体得以实现, 应对移动互联网时代的网络安全策略, 必须从网络上着手, 不断优化这些网络, 增强这些移动网络自身的安全性, 从移动信号的网络源头上加强对网络安全的控制。面对新的网络安全难题, 必须不断升级移动无线网络的系统, 通过加快网络技术的更新换代来增强整个移动互联网络的安全性, 通过网络安全的不断升级和自身安全性的提高来从源头上避免影响网络安全的因素出现, 真正做到标本兼治, 正本清源。

3.3 意识策略

当前很多网络安全问题很多时候都是由于使用者本身的意识淡薄造成的, 这些小疏忽都可能成为影响整个网络安全的关键因素, 而要解决移动互联网时代的网络安全问题必须从思想意识上着手, 坚持“安全在我, 安全有我”的信念, 时刻绷紧网络安全意识这根弦, 真正从思想上杜绝此类事件的发生, 将影响网络安全的意识消灭在萌芽状态, 最终实现用户和网络之间的良性互动, 杜绝网络安全威胁的情况发生。

3.4 管理策略

当前移动互联网安全面临诸多威胁在很大程度上是由于移动互联网的管理机制远不如传统互联网完备, 管理的缺失造成了移动互联网的很多漏洞可以被轻易攻破, 因此只有从管理上进行完善才能从根本上解决目前移动互联网网络安全的脆弱的现状。

首先, 必须提高移动互联网的网络准入门槛。目前, 很多移动互联网服务的提供商进入的门槛较低, 一些小公司很容易进入到移动互联网领域, 利益的驱使, 管理的缺失让这些企业成为影响整个移动互联网安全的主要因素, 只有提高移动互联网的网络准入门槛才能淘汰这些管理不规范的小公司, 让移动互联网运行趋于科学化和规范化。

其次, 必须加强移动互联网参与方的监督和管理。移动互联网的网络服务提供商、用户和商家三者之间必须建立相互制约的机制, 通过彼此之间的监督和约束才能真正从根源上杜绝危害移动互联网因素的发生, 而加强三者的管理才能真正形成“三足鼎立”的局面, 让移动互联网的网络安全问题得到真正的解决。

总之, 移动互联网的发展日新月异, 网络安全的问题层出不穷, 只有不断创新网络安全技术, 提高网络服务质量, 强化网络安全意识, 优化网络安全管理, 才能真正做到移动互联网网络安全的健康发展和安全高效。

摘要：我国目前已进入移动互联网时代, 随着手机用户的爆发式增长, 移动互联网的安全问题也越来越突出, 成为人们网络生活中的巨大威胁。

关键词：移动互联网,网络安全

参考文献

[1]王梓.移动互联网之智能终端安全揭秘[M].北京:电子工业出版社, 2012.

[2]肖云鹏.移动互联网安全技术解析[M].北京:科学出版社, 2015.

网络安全互联网 篇5

下附应急预案全文

公共互联网网络安全突发事件应急预案 1.总则 1.1编制目的

建立健全公共互联网网络安全突发事件应急组织体系和工作机制，提高公共互联网网络安全突发事件综合应对能力，确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失，保证公共互联网持续稳定运行和数据安全，维护国家网络空间安全，保障经济运行和社会秩序。1.2编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》等相关规定。1.3适用范围

本预案适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构(以下简称域名机构)、互联网企业(含工业互联网平台企业)发生网络安全突发事件的应对工作。

本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害或影响，需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。本预案所称电信主管部门包括工业和信息化部及各省(自治区、直辖市)通信管理局。工业和信息化部对国家重大活动期间网络安全突发事件应对工作另有规定的，从其规定。1.4工作原则

公共互联网网络安全突发事件应急工作坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主，预防与应急相结合;落实基础电信企业、域名机构、互联网服务提供者的主体责任;充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。2.组织体系 2.1领导机构与职责

在中央网信办统筹协调下，工业和信息化部网络安全和信息化领导小组(以下简称部领导小组)统一领导公共互联网网络安全突发事件应急管理工作，负责特别重大公共互联网网络安全突发事件的统一指挥和协调。2.2办事机构与职责

在中央网信办下设的国家网络安全应急办公室统筹协调下，在部领导小组统一领导下，工业和信息化部网络安全应急办公室(以下简称部应急办)负责公共互联网网络安全应急管理事务性工作;及时向部领导小组报告突发事件情况，提出特别重大网络安全突发事件应对措施建议;负责重大网络安全突发事件的统一指挥和协调;根据需要协调较大、一般网络安全突发事件应对工作。

部应急办具体工作由工业和信息化部网络安全管理局承担，有关单位明确负责人和联络员参与部应急办工作。2.3其他相关单位职责

各省(自治区、直辖市)通信管理局负责组织、指挥、协调本行政区域相关单位开展公共互联网网络安全突发事件的预防、监测、报告和应急处置工作。

基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作，为其他单位的网络安全突发事件应对提供技术支持。

国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心(以下统称网络安全专业机构)负责监测、报告公共互联网网络安全突发事件和预警信息，为应急工作提供决策支持和技术支撑。鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对工作。3.事件分级

根据社会影响范围和危害程度，公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。3.1特别重大事件

符合下列情形之一的，为特别重大网络安全事件:(1)全国范围大量互联网用户无法正常上网;(2).CN国家顶级域名系统解析效率大幅下降;(3)1亿以上互联网用户信息泄露;(4)网络病毒在全国范围大面积爆发;(5)其他造成或可能造成特别重大危害或影响的网络安全事件。3.2重大事件

符合下列情形之一的，为重大网络安全事件:(1)多个省大量互联网用户无法正常上网;(2)在全国范围有影响力的网站或平台访问出现严重异常;(3)大型域名解析系统访问出现严重异常;(4)1千万以上互联网用户信息泄露;(5)网络病毒在多个省范围内大面积爆发;(6)其他造成或可能造成重大危害或影响的网络安全事件。3.3较大事件

符合下列情形之一的，为较大网络安全事件:(1)1个省内大量互联网用户无法正常上网;(2)在省内有影响力的网站或平台访问出现严重异常;(3)1百万以上互联网用户信息泄露;(4)网络病毒在1个省范围内大面积爆发;(5)其他造成或可能造成较大危害或影响的网络安全事件。3.4一般事件

符合下列情形之一的，为一般网络安全事件:(1)1个地市大量互联网用户无法正常上网;(2)10万以上互联网用户信息泄露;(3)其他造成或可能造成一般危害或影响的网络安全事件。4.监测预警 4.1事件监测

基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测，一旦发生本预案规定的网络安全突发事件，应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告，不得迟报、谎报、瞒报、漏报。

网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的公共互联网网络安全突发事件信息，并及时向部应急办和相关省(自治区、直辖市)通信管理局报告。报告突发事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。4.2预警监测

基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的，应当立即向部应急办报告;认为可能发生较大或一般突发事件的，应当立即向相关省(自治区、直辖市)通信管理局报告。4.3预警分级

建立公共互联网网络突发事件预警制度，按照紧急程度、发展态势和可能造成的危害程度，公共互联网网络突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。4.4预警发布

部应急办和各省(自治区、直辖市)通信管理局应当及时汇总分析突发事件隐患和预警信息，必要时组织相关单位、专业技术人员、专家学者进行会商研判。

认为需要发布红色预警的，由部应急办报国家网络安全应急办公室统一发布(或转发国家网络安全应急办公室发布的红色预警)，并报部领导小组;认为需要发布橙色预警的，由部应急办统一发布，并报国家网络安全应急办公室和部领导小组;认为需要发布黄色、蓝色预警的，相关省(自治区、直辖市)通信管理局可在本行政区域内发布，并报部应急办，同时通报地方相关部门。对达不到预警级别但又需要发布警示信息的，部应急办和各省(自治区、直辖市)通信管理局可以发布风险提示信息。

发布预警信息时，应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等，并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。4.5预警响应

4.5.1黄色、蓝色预警响应

发布黄色、蓝色预警后，相关省(自治区、直辖市)通信管理局应当针对即将发生的网络安全突发事件的特点和可能造成的危害，采取下列措施:(1)要求有关单位、机构和人员及时收集、报告有关信息，加强网络安全风险的监测;(2)组织有关单位、机构和人员加强事态跟踪分析评估，密切关注事态发展，重要情况报部应急办;(3)及时宣传避免、减轻危害的措施，公布咨询电话，并对相关信息的报道工作进行正确引导。

4.5.2红色、橙色预警响应

发布红色、橙色预警后，部应急办除采取黄色、蓝色预警响应措施外，还应当针对即将发生的网络安全突发事件的特点和可能造成的危害，采取下列措施:(1)要求各相关单位实行24小时值班，相关人员保持通信联络畅通;(2)组织研究制定防范措施和应急工作方案，协调调度各方资源，做好各项准备工作，重要情况报部领导小组;(3)组织有关单位加强对重要网络、系统的网络安全防护;(4)要求相关网络安全专业机构、网络安全企业进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。4.6预警解除

部应急办和省(自治区、直辖市)通信管理局发布预警后，应当根据事态发展，适时调整预警级别并按照权限重新发布;经研判不可能发生突发事件或风险已经解除的，应当及时宣布解除预警，并解除已经采取的有关措施。相关省(自治区、直辖市)通信管理局解除黄色、蓝色预警后，应及时向部应急办报告。5.应急处置 5.1响应分级

公共互联网网络安全突发事件应急响应分为四级:I级、II级、III级、IV级，分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。5.2先行处置

公共互联网网络安全突发事件发生后，事发单位在按照本预案规定立即向电信主管部门报告的同时，应当立即启动本单位应急预案，组织本单位应急队伍和工作人员采取应急处置措施，尽最大努力恢复网络和系统运行，尽可能减少对用户和社会的影响，同时注意保存网络攻击、网络入侵或网络病毒的证据。5.3启动响应

I级响应根据国家有关决定或经部领导小组批准后启动，由部领导小组统一指挥、协调。II级响应由部应急办决定启动，由部应急办统一指挥、协调。

III级、IV级响应由相关省(自治区、直辖市)通信管理局决定启动，并负责指挥、协调。启动I级、II级响应后，部应急办立即将突发事件情况向国家网络安全应急办公室等报告;部应急办和相关单位进入应急状态，实行24小时值班，相关人员保持联络畅通，相关单位派员参加部应急办工作;视情在部应急办设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调、国际协调等工作组。

启动III级、IV级响应后，相关省(自治区、直辖市)通信管理局应及时将相关情况报部应急办。5.4事态跟踪

启动I级、II级响应后，事发单位和网络安全专业机构、网络安全企业应当持续加强监测，跟踪事态发展，检查影响范围，密切关注舆情，及时将事态发展变化、处置进展情况、相关舆情报部应急办。省(自治区、直辖市)通信管理局立即全面了解本行政区域受影响情况，并及时报部应急办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况，并及时报部应急办。

启动III级、IV级响应后，相关省(自治区、直辖市)通信管理局组织相关单位加强事态跟踪研判。5.5决策部署

启动I级、II级响应后，部领导小组或部应急办紧急召开会议，听取各相关方面情况汇报，研究紧急应对措施，对应急处置工作进行决策部署。

针对突发事件的类型、特点和原因，要求相关单位采取以下措施:带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等;对大规模用户信息泄露事件，要求事发单位及时告知受影响的用户，并告知用户减轻危害的措施;防止发生次生、衍生事件的必要措施;其他可以控制和减轻危害的措施。

做好信息报送。及时向国家网络安全应急办公室等报告突发事件处置进展情况;视情况由部应急办向相关职能部门、相关行业主管部门通报突发事件有关情况，必要时向相关部门请求提供支援。视情况向外国政府部门通报有关情况并请求协助。

注重信息发布。及时向社会公众通告突发事件情况，宣传避免或减轻危害的措施，公布咨询电话，引导社会舆论。未经部应急办同意，各相关单位不得擅自向社会发布突发事件相关信息。

启动III级、IV级响应后，相关省(自治区、直辖市)通信管理局组织相关单位开展处置工作。处置中需要其他区域提供配合和支持的，接受请求的省(自治区、直辖市)通信管理局应当在权限范围内积极配合并提供必要的支持;必要时可报请部应急办予以协调。5.6结束响应

突发事件的影响和危害得到控制或消除后，I级响应根据国家有关决定或经部领导小组批准后结束;II级响应由部应急办决定结束，并报部领导小组;III级、IV级响应由相关省(自治区、直辖市)通信管理局决定结束，并报部应急办。6.事后总结 6.1调查评估

公共互联网网络安全突发事件应急响应结束后，事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任，评估突发事件造成的影响和损失，总结突发事件防范和应急处置工作的经验教训，提出处理意见和改进措施，在应急响应结束后10个工作日内形成总结报告，报电信主管部门。电信主管部门汇总并研究后，在应急响应结束后20个工作日内形成报告，按程序上报。6.2奖惩问责

工业和信息化部对网络安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。对不按照规定制定应急预案和组织开展演练，迟报、谎报、瞒报和漏报突发事件重要情况，或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人，由电信主管部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业网络与信息安全责任考核。7.预防与应急准备 7.1预防保护

基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定，建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。电信主管部门依法开展网络安全监督检查，指导督促相关单位消除安全隐患。7.2应急演练

电信主管部门应当组织开展公共互联网网络安全突发事件应急演练，提高相关单位网络安全突发事件应对能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练，并应每年组织开展一次本单位网络安全应急演练，应急演练情况要向电信主管部门报告。7.3宣传培训

电信主管部门、网络安全专业机构组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训，提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。7.4手段建设

工业和信息化部规划建设统一的公共互联网网络安全应急指挥平台，汇集、存储、分析有关突发事件的信息，开展应急指挥调度。指导基础电信企业、大型互联网企业、域名机构和网络安全专业机构等单位规划建设本单位突发事件信息系统，并与工业和信息化部应急指挥平台实现互联互通。7.5 工具配备

基础电信企业、域名机构、互联网企业和网络安全专业机构应加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急装备、工具的储备，及时调整、升级软件硬件工具。鼓励研制开发相关技术装备和工具。8.保障措施 8.1落实责任

各省(自治区、直辖市)通信管理局、基础电信企业、域名机构、互联网企业、网络安全专业机构要落实网络安全应急工作责任制，把责任落实到单位领导、具体部门、具体岗位和个人，建立健全本单位网络安全应急工作体制机制。8.2经费保障

工业和信息化部为部应急办、各省(自治区、直辖市)通信管理局、网络安全专业机构开展公共互联网网络安全突发事件应对工作提供必要的经费保障。基础电信企业、域名机构、大型互联网企业应当安排专项资金，支持本单位网络安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。8.3队伍建设

网络安全专业机构要加强网络安全应急技术支撑队伍建设，不断提升网络安全突发事件预防保护、监测预警、应急处置、攻击溯源等能力。基础电信企业、域名机构、大型互联网企业要建立专门的网络安全应急队伍，提升本单位网络安全应急能力。支持网络安全企业提升应急支撑能力，促进网络安全应急产业发展。8.4社会力量

建立工业和信息化部网络安全应急专家组，充分发挥专家在应急处置工作中的作用。从网络安全专业机构、相关企业、科研院所、高等学校中选拔网络安全技术人才，形成网络安全技术人才库。8.5国际合作

工业和信息化部根据职责建立国际合作渠道，签订国际合作协议，必要时通过国际合作应对公共互联网网络安全突发事件。鼓励网络安全专业机构、基础电信企业、域名机构、互联网企业、网络安全企业开展网络安全国际交流与合作。9.附则 9.1预案管理

本预案原则上每年评估一次，根据实际情况由工业和信息化部适时进行修订。

各省(自治区、直辖市)通信管理局要根据本预案，结合实际制定或修订本行政区域公共互联网网络安全突发事件应急预案，并报工业和信息化部备案。

基础电信企业、域名机构、互联网企业要制定本单位公共互联网网络安全突发事件应急预案。基础电信企业、域名机构、大型互联网企业的应急预案要向电信主管部门备案。9.2预案解释

本预案由工业和信息化部网络安全管理局负责解释。9.3预案实施时间

网络安全互联网 篇6

在互联网迅速发展的形势下，2014年中国网络经济整体规模达到8000亿。互联网的不断发展已经对媒体、零售、娱乐等传统产业产生了深刻影响。因此，国务院总理李克强在2015年政府工作报告中提出的“互联网+”战略，既是互联网快速发展的必然产物，也是各种互联网新技术、新概念生根落地的必要阶段。

“互联网+”战略意味着越来越多的传统行业将会和互联网结合起来，呈现出全新的服务和营销模式。然而，当传统行业与互联网进行接轨的同时，网络安全问题也将日益凸显，最为典型的就是银行、电子商务等金融领域。随着互联网与传统行业深度融合，网络安全将面临空前严峻的挑战。网络安全问题将成为互联网+深化有序发展的根本命脉。

互联网基础资源安全是保障互联网安全的基础条件

互联网基础资源包括域名、IP地址、自治系统等，是互联网的关键基础设施，是互联网的“神经系统”，其安全事关整个互联网的安全稳定，一旦发生故障，甚至可能引发整个互联网的瘫痪。安全、有序地运行互联网基础资源，既是互联网稳定的基础，也是构建互联网可信生态环境的关键。

在“互联网+”时代，互联网将使传统行业的运行逻辑发生巨大变化，从而极大改变传统行业的业态。以“互联网+农业”为例，农业合作社或者郊区的绿色蔬菜农庄等产出的农产品可以通过自有网站，借助发达的物流系统销售至客户手中，从而减少了中间环节，节省了社会成本。这就对互联网的安全，尤其是基础资源的安全如域名解析等方面提出了更高的要求。

CNNIC组建了国家域名安全中心并牵头成立了国家域名安全联盟，在加强国家域名系统自身安全防护的同时，通过信息和资源共享、技术合作、协同应对安全事件等方式，致力于提升我国域名服务体系的整体安全水平。作为国家互联网信息中心，率先启动互联网码号资源公钥基础设施（RPKI）的建设，以保证互联网码号（IP地址和AS号码）资源所有权和使用权的安全可信。

当前网络攻击的特征已经从以技术炫耀为主的偶发行为演进到有明确目地的针对性行为，攻击者更倾向于选择攻击后影响范围广的环节作为攻击目标，域名系统也自然而然地更容易成为攻击者的目标。在“互联网+”时代，传统产业以各种方式与互联网融合后，在巨大的经济利益挟裹下，各种目的的网络攻击频度提升变得更有可能。因此，加强互联网的“中枢神经系统”域名系统的安全是构建安全互联网的关键。

开展互联网安全与治理的国际合作

在国际领域，“互联网+”时代的来临要求中国更多地开展互联网安全与治理的国际合作，在标准制定等方面更多地发挥影响力。提高我国在国际互联网治理体系中的参与度，扩大我国在国际互联网话语权和影响力。

广泛参与国际互联网社群各类活动，中国才能在构筑未来互联网络体系结构、开展互联网治理以及打造互联网络基础资源服务体系和提供技术安全保障等方面与国际社群开展合作。中国在国际互联网界发出自己的声音，也是在互联网飞速发展进入新的时代的背景下，维护国家网络安全，争取国家互联网权益的重要内容。

经过不断的积累与修炼，中国在国际互联网社群中的影响力与日俱增。广大的中国互联网工作者的身影陆续出现在国际互联网组织中。他们从最初的参与者、追随者成长为规则制定者。

在互联网基础安全领域，CNNIC专家在互联网号码分配机构（IANA）职能管理权移交协调工作组、世界经济论坛（WEF）网络安全理事会、联合国互联网治理论坛多利益相关方咨询专家组（IGF-MAG）、互联网名称与数字地址分配机构（ICANN）、互联网工程任务组（IETF）、亚太互联网络信息中心（APNIC）、亚太地区顶级域名组织（APTLD）等国际和区域性组织中有近二十项任职。CNNIC长期积极参加互联网名称与数字地址分配机构（ICANN）各项活动，并在其体系当中发挥着重要作用。由CNNIC提出的关于国际化域名、域名系统安全性、下一代WHOIS标准的相关政策建议已经被ICANN广泛采纳，成为我国推动国际组织政策制定的典型成功案例。

互联网基础安全与国家网络安全息息相关

当今社会，互联网已深刻改变了人们的生产和生活方式。我们在享受网络便捷服务的同时，大量的个人信息在互联网上流动，而随着“互联网+”战略的推行，越来越多的传统行业也将更深入的与互联网融合在一起。这些发展变化导致个人、企业，甚至国家信息都面临着更大的安全风险和隐患。

传统行业在“互联网+”演进过程中，普遍存在信息化程度不高，IT能力落后的情况。在“互联网+”的大环境下，不仅办公环境网络化，业务内容也在不断融入互联网环境中，这也就意味着传统行业必须加强互联网安全防护意识。

面对网络安全的严峻考验，我们不仅要加强网络基础设施的建设，更要从技术层面上取得突破。当前，我国个人PC、手机操作系统和核心零部件几乎都是国外生产制造，网民在使用中存在较大安全隐患，棱镜门事件的爆出，更是暴露了我国信息安全的严峻挑战。因此，增强核心技术的自主研发能力，强化自主知识产权产品的自主生产，是我们实现网络安全可管可控的重要途径。与此同时，我们还要加快网络人才队伍的建设，为各类传统行业走上互联网“快车道”所面临的安全问题提供技术和人才支持。

网络安全互联网 篇7

当今社会已经进入到了“互联网 +”时代,网络安全与我们的生活息息相关,密不可分。 网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。 目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。 防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。 随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。 近年来,国外一些组织曾多次对中国企业、 政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。

2 “互联网 +”时代网络安全

互联网本身在软硬件方面存在着 “先天” 的漏洞,“互联网 +”时代的到来让这只大网的规模急剧扩大 ,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。

2.1 内涵

“互联网 +”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合, 发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网 + 传统集市造就了淘宝,互联网 + 传统百货公司造就了京东,互联网 + 传统银行造就了支付宝,互联网 + 传统交通造就了快的、滴滴。 随着“互联网 +”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大, 失去了安全,“互联网+”就会成为沙中之塔。 在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。

2.2 主要内容

“互联网 +”不仅仅是互联网移动了 、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。 网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。 从内容上看,“互联网 +时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、 附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入 ,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取 ,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。

2.3 基本要求

网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。 (1)机密性是指保证网络信息不被非授权用户得到, 即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3) 可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控, 做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。

3 “互联网 +”时代网络安全分析

3.1 特征分析

近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网 +”时代。 各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。

网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。 就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。 尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。

网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。 互联网最初基本 上是一个 不设防的 网络空间 , 其采用的TCP/IP、SNMP等协议的安全性很脆弱 。 它强调开放性和共享性,本身并不为用户提供高度的安全保护。 互联网络系统的脆弱性,使其容易受到致命的攻击。 事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。

3.2 现状分析

《2013年中国网民信息安全状况研究报告 》指出 :整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。

从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。 2015年2月,中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来 ,2014年中国网民规模6.49亿 ,手机网民数量5.57亿 , 网站总数3350000, 国际出口 带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。

从应用范围上,“互联网 +”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12亿, 微信日均发送160亿条,QQ日均发送60亿条,新浪微博、腾讯微博日均发帖2.3亿条,手机客户端日均启动20亿次”的数据体现了中国网民的特征。

从网络安全发展趋势上看, 网络规模急剧扩大,增加了网络安全漏洞的可能性; 多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸, 增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。

3.3 威胁分析

互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。 计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。 网络系统具有致命的脆弱性、 易受攻击性和开放性, 我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。 各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。

从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司发布的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。 新增手机病毒上涨迅速, 路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。

从网络安全状态上看, 仅2014年, 总体网民中有46.3%的网民遭遇过网络安全问题 ,在安全事件中 ,电脑或手机中病毒或木马、 账号或密码被盗情况最为严重,分别达到26.7%和25.9%, 在网上遭遇到消费欺诈比例为12.6%。 2015年2月境内感染网络病毒的终端数为2210000, 境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。 2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。

从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。 另一方面,安全问题的迅速发展和网络规模的迅速扩大, 给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。 更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。

4 “互联网 +”时代网络安全管理体系

安全是“互联网 +”时代发展的核心问题,网络安全管理至关重要,在“互联网 +”模式提出之后,如何守卫网络安全将成其发展的关键。 “互联网 +”时代更需要建立一个完整的网络安全防护体系, 提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。

4.1 基于监测预警建立网络安全态势感知体系

在现有基础上, 通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。 评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。 其中运行基础指标包括基础网络性能、 基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。 为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、 大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。

4.2 基于主动防御建立网络安全入侵检测体系

在现有入侵防御能力基础上, 重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。 一是建设主动防御系统。 利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀, 主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。 二是建设网络蜜罐系统。 利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。 三是建设流量清洗系统,包括流量监测和过滤分系统。 在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。 在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。

4.3 基于实时响应建立网络安全应急管控体系

在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。 依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突发情况。 二是加强网络安全事件的控制。 特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。 三是建立健全应急管控机制。 对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。

5 结束语

时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。

摘要：论文通过对“互联网+”时代的网络安全的基本内涵和要求的阐述,详细分析了网络安全现状及当前面临的主要安全威胁,基于监测预警、主动防御、实时响应三种基本策略,提出了构建网络安全态势感知、入侵检测和应急管控体系的管理防护措施。

网络安全互联网 篇8

随着网民规模的不断壮大及网络空间的发展, 在发展中不可避免会出现各类信息安全问题, 用互联网进行违法犯罪的案件呈日益增长的趋势, 犯罪类型和形式趋于多样化、隐蔽化、复杂化。因此, 网络安全问题持续升温, 网络安全建设和管理工作已经成为网络管理亟待解决的问题。

国家互联网安全需要顶层设计

面对网络安全新挑战, 我国迫切需要将信息网络安全提升到国家战略地位, 全面排查安全风险, 总结分析重点安全问题, 集中力量尽快从技术、管理和法律等方面解决, 做好国家信息网络安全顶层规划和设计。

2014年2月27日, 中央网络安全和信息化领导小组宣告成立, 在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长, 李克强、刘云山任副组长, 再次体现了中国最高层全面深化改革、加强网络安全和信息化发展的顶层设计, 显示出在保障网络安全、维护国家利益、推动信息化发展的决心。

2014年的《政府工作报告》中对维护网络安全作出了明确表述和部署。党的十八届三中全会通过的《中共中央关于全面深化改革若干重大问题的决定》指出, 坚持积极利用、科学发展、依法管理、确保安全的方针, 加大依法管理网络力度, 加快完善互联网管理领导体制, 确保国家网络和信息安全。当前我国国民经济和社会信息化建设正在发生重大的变化, 加强网络安全和信息化工作具有重要意义。网络安全和信息化不仅事关国家的总体安全, 而且涉及相关管理体制的全面改革, 要加大网络安全和信息化发展的力度。

我国将出台网络安全审查制度。中央发文禁止政府机构使用win8系统事件引起广泛关注, 网络信息安全得到空前重视。国信办宣布我国即将推出网络安全审查制度, 该项制度规定, 关系国家安全和公共利益的系统使用的重要技术产品和服务, 应通过网络安全审查。

国务院信息化专家咨询委员会常务副主任周宏仁。确保网络安全, 是一个重要的课题。当今社会, 政治、经济、文化、军事等都离不开网络。网络安全影响国家的方方面面, 成为国家安全的一个重要挑战。网络安全有技术层面的东西, 但不是一个技术问题, 要和国家战略、国家安全结合起来。在战略层面协调和领导各方力量保证安全。同时, 法律法规也要加快推进。网络安全要通过立法加以提升, 要依靠法律治理, 不要形成网络无政府主义。

国家信息化专家咨询委员会副主任、中国工程院院士邬贺铨。网络安全已经成为我们国家安全的重要组成部分。没有网络安全也就没有国家安全, 安全和发展相辅相成。我们不可能离开发展谈安全, 只能在发展中求安全, 并通过信息安全保发展。把网络安全和信息化结合在一起, 正是体现了十八届三中全会精神有关互联网工作的思路方针。

中国工程院院士倪光南。没有网络安全就没有国家安全, 这是今天中国政府的观点, 也是世界上大多数政府的共识。随着网络技术和应用的迅速发展, 现在网络空间已成为陆、海、空、天以外的第五疆域。网络安全问题绝不是一个纯技术问题, 中国要真正解决网络安全问题首先是要将它提到国家战略的高度。加强对于网络安全的管理, 及时应对各种安全威胁, 通过这些综合举措来最大限度地减少网络安全的风险。

国务院发展研究中心李广乾。加大网络安全和信息化发展力度。新的网络安全与信息化领导小组的成立将对今后国家信息化管理体制改革产生重要的影响, 成为全面深化改革顶层设计的又一个重要内容。“网络安全和信息化”不仅事关国家的总体安全, 而且涉及相关管理体制的全面改革。一方面, 随着互联网的快速发展和信息化程度的不断提高, 互联网深刻影响着政治、经济、文化等各个方面, 保障信息安全的重要性日益凸显, 加强对互联网上各类信息的管理应引起高度重视。另一方面, 当前我国国民经济和社会信息化建设发生了重大的变化, 实现了由外生信息化向内生信息化的转型。无论是电子商务、网络金融都开始自发呈现出一种蓬勃的发展趋势。信息化建设更需要的是一个安全可靠的发展环境。因此, 提供安全可靠的信息网络环境成为一项特别重要的基础性工作。

智能化与大数据的信息安全

当今, 社会信息化和网络化的发展导致数据爆炸式增长, 同时, 科学计算、医疗卫生、金融、零售业等各行业也有大量数据在不断产生。大数据具有海量、多源、复杂的信息属性和高端、前沿的技术特征, 是继云计算、物联网之后又一次颠覆性的技术革命。它是治理交通拥堵、雾霾、看病难、食品安全等“城市病”的利器, 更将为政府打开了解社情民意的政策窗口, 为打造智慧政府提供有力支撑。大数据, 作为一种新兴数据处理技术, 能够更为有效地集成国家政治、经济、文化、社会、生态等各领域方方面面的信息资源, 为国家治理提供重要数据基础和决策支撑。大数据在创新社会管理模式, 增强国家治理能力方面具有显著优势。

随着新一代信息技术加速发展和广泛应用, 政府网站面临新的机遇和挑战, “跨界、融合、创新、分享”成为大数据时代政府网站发展的重要趋势。社会化、智能化和平台化正在成为政府网站的发展新趋势, 大数据在政府层面已得到高度重视。

大数据在存储、处理、传输等过程中面临诸多安全风险, 具有数据安全与隐私保护需求。信息安全已成为关涉国家政治安全、经济发展运行、社会和谐稳定的重大战略问题。很多组织都认识到大数据的安全问题, 并积极行动起来关注大数据安全问题。

大数据时代:信息安全正受到前所未有的挑战

随着计算机等相关技术的日益成熟与发展, 人类的信息存储和处理能力不断得到扩展。现在, 监视器、摄像头等布满整个城市的公园、路口、小区;信用卡、支付宝等消费于整个城市的酒店、商场、医院;个人电话、家庭成员、邮箱地址等广泛登记于政府、学校、社区组织, 政府、非政府机构、商业组织等以数字化的形式收集了我们各种各样的大量信息, 就形成了所谓的“大数据”。

更让人担心的是, “棱镜门”事件愈演愈烈、DDo S攻击频繁发生、携程网“信用卡门”和华为服务器遭美国入侵等事件、时有发生的数以十万计、数以百万计乃至更大数量的机构数据泄露事件向人们敲响了信息安全的警钟, 反映出大数据技术给金融信息安全和市场风险带来新挑战, 突出表现为出现数据服务商的信息滥用、国外机构的信息监听和日益复杂的数据入侵等威胁, 各类安全问题持续升温。我们要注重将信息积极利用与依法有效监管结合起来, 当务之急是要在信息安全领域填补立法的空白, 保证国家信息安全有法可依并依法进行相应的管理。

健全信息安全法律体系拥抱大数据时代

随着云计算、社交网络、电子商务和物联网的飞速发展, 世界已经逐步迈入大数据时代。我国无论是从网民数量、发展速度, 还是网络规模和应用方式, 都已经进入信息化大国和网络大国的行列, 但长期以来, 我国一直存在对数据的重视和应用不足、信息化法律缺失、数据安全不足等问题, 成为制约大数据发展的障碍和威胁信息安全的隐患。

完善大数据立法。大数据的应用涉及公民个人隐私、政府信息公开及国家网络安全等重要领域, 离不开完善的法律保障。尽管近年来我国加大了信息立法步伐, 出台了《关于加强网络信息保护的决定》《政府信息公开条例》等系列规章, 但仍存在纲领性立法缺乏、法规效率层次低、体系不健全等问题。当前要进一步加强大数据立法, 妥善处理相关法律法规制定、修改、废止之间的关系;强化电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规体系建设;加强大数据法制建设中的国际交流与合作, 积极参与相关国际规则的研究和制定, 以此营造大数据发展的良好法制环境, 促进大数据与国家治理对接的法制化、规范化发展。

强化大数据信息安全保障。大力推进安全、可控的大数据关键装备产业化和部署升级, 强化大数据存储、灾备、应急管理服务能力和机制, 支持数据加解密、数据审计、数据销毁、完整性验证等数据安全技术研发及应用。推动数据交换过程中的数据来源追溯和安全保护, 支持数据产品知识产权的研究和保护, 强化企业和社会对数据安全与知识产权保护的意识和责任。

网络安全互联网 篇9

1 移动互联网的内涵特性

由于移动互联网产生的时间不长,所以在移动通信领域对移动互联网并没有形成统一认可的概念。具体的代表说法有以下几种:

在百度百科当中,移动互联网的定义是指用户通过智能的移动终端来获取通信业务和通信服务的一种新型通信形式。而中心通讯则是从设备制造商的角度出发,对移动互联网的定义更看重移动互联网是如何接入的,从广义和狭义两个层面阐述移动互联网的定义。广义上的移动互联网是指用户通过手机、PDA或者其他的手持终端以各种无线连接的方式(比如WLAN、GSM、CDMA)接入互联网;狭义上的移动互联网是指用户通过手机,以无线通信的方式接入互联网。

在这种情况下,直属于我国工业和信息化部的电信研究院综合了各种组织的意见,对移动互联网的概念进行重新定义。这一定义是在2011年的《移动互联网白皮书》中提出的,具体内容如下:移动互联网就是通过移动网络接入互联网的服务模式,主要包含三个层面的内容。首先是移动终端,包括手机、专用的移动互联网接入终端和数据卡方式的便携电脑等。然后是移动通信网络的接入方式,包括以往的2G、3G,目前普及的4G以及正在研发当中的5G等。最后是公众互联网的服务方式,比如Web、Wap方式等等。

移动互联网与传统互联网的区别主要表现在以下方面:第一是终端上,传统互联网多数运用大型终端接入,比如台式电脑,而移动互联网的终端一般都是手机、平台电脑等小型终端,用户可以在走路、乘车等移动状态下使用这些终端。第二是通过移动互联网获取信息,对用户不存在时间和空间的束缚,用户可以随时随地连接到移动互联网当中。第三是移动互联网的各项服务比较便捷,用户获取服务不需要经过太复杂的操作和花费太长的时间。第四是在移动互联网当中,移动终端、接入网络和运营服务具有强大的关联性[2],缺少任何一种都导致用户无法享受移动互联网的服务。

移动互联网具有极为广阔的市场前景和巨大的潜在市场。据调查统计显示,在2014年,全球的移动互联网产业总产值高达八千亿美元,全球接近百分之八十五的人都在运用移动互联网的各项业务,各国智能手机的产量也出现了大大增长。由此可见,移动互联网具有美好的应用前景,必将主导未来的信息行业。我国如果想要在未来信息行业中保持优势,就必须加大对移动互联网的应用和研究力度。目前,我国的工业和信息化部已经成立了专门的项目研究小组,着手开发新一代的无线移动通信网络。

2 高校无线网络简述

移动互联网技术产生于20世纪末,发展迅速,已经逐渐出现了取代固定通信的趋势。由于移动互联网技术的发展,我国各大高校也开始着手校园内部无线网络的建设。在校园内部构建无线网络,不仅能够方面教学工作的进行,为教师和学生提供更加丰富的教学资源,也能够大大提高学校各项管理工作的效率。学生可以在线缴纳学费、确定选修课程、查询成绩、进行教学咨询,享受到各种网络所带来的便利。目前,我国高校的无线局域网主要采取WLAN的组网方式,通过802.11a、802.11b、802.11ac等网络协议接入互联网[3]。但是,由于WLAN组网方式的主要信息传播媒介是电磁波,极其容易受到外界的干扰和破坏,给高校无线网络的安全带来了一定的威胁,校园无线网络的信息容易发生泄漏。另外,相比有线网络,无线网络技术更为复杂,面临的攻击和威胁也更加多样。这也是高校构建内部无线网络过程中需要注意的问题。

3 高校无线网络安全面临的威胁

1)信息泄露

信息泄露的情况又分为窃听、监听和欺骗几种[4]。由于高校的无线网络属于开放性的环境,作为主要传播媒介的电磁波很容易被截取,结果转化过程获得双方交流的信息。不法分子通过这种窃听的手段获取信息,进行一些非法行为,谋取利益。而监听则是不法分子利用特定的工具监听设备进行通信的全过程,能够对设备发出和接收到的信息进行分析,获取有效的用户信息。

有一些高校在无线网络的构建过程中缺乏身份认证体系,或者是身份认证体系存在漏洞,就给了不法分子运用欺骗手段进入校园无线网络的机会。欺骗手段,就是校园外部设备的MAC地址进行伪装,伪装成校园内部的合法MAC地址,让网络系统授予访问网络的权利。这种手段的出现是因为无线网络具有开放性,无线接入点覆盖范围内的任何无线终端设备都能够连入互联网。如果不对接入设备的数量和位置进行限制,就会有大批的无线终端设备接入校园无线网络,对校园无线网络的安全造成威胁。

2)病毒和网络攻击

校园无线网络的无线接入点一般都没有防御病毒和防御网络攻击的功能。如果不法分子利用病毒入侵校园无线网络,或者通过网络对校园无线网络发起攻击,就容易造成校园无线网络信息被篡改、删除,甚至导致校园无线网络整体瘫痪。不法分子还能够盗用用户的身份信息,利用合法身份进去校园无线网络,造成窃取考试试题、盗用科研成果、修改考试成绩等严重后果。

4 高校无线网络的安全策略

1)SSID访问控制

SSID是服务集标识的缩写[5]。高效的无线网络可以划分为不同身份验证的子网络,各个子网络之间的相互认证是独立的,只有具有相应的SSID才能够访问相应的子网络,不具备SSID的用户是无法访问当前子网络的。对于学校无线网来讲,一般划分为教师、学生、访客等用户群体。校园无线网络要根据用户群体身份的不同给予用户不同的权限,杜绝用户群体区分不明造成的任意访问。这样不仅减少了随意访问所带来的风险隐患,也能够方便学校对校园无线网络进行管理。

2)扩展认证协议

我国高效的无线网络应用的网络协议主要有802.11a、802.11b、802.11ac几种,其中802.11ac是应用最为广泛的一种。这种网络协议的通信频带为5GHz,

在进行多站式的无线网络通信时的最大理论带宽能够达到1Gbps,在进行单一连接的无线网络通信时,最大理论带宽也有500Mbps。另外,802.11ac协议还进行了内容上的扩展,与伽洛瓦/反模式协议相结合,在目前通用的CCMP标准上更进一步,不仅能够提高无线网络的安全性,还能够大大增加无线网络通信的传输速度。

3)绑定物理地址

每一个无线客户端的网卡都有自己的物理标识,这个物理标识对应着无线接入点当中的MAC地址列表。在用户通过无线网卡访问无线网络时,无线网络首先会对物理标识进行识别,在识别通过之后从允许访问的MAC地址列表当中选择一个地址分配给用户。但是,这种物理标识的过滤属于对硬件的认证,而不是对用户的网络地址进行认证。目前的校园无线网络,都是通过手工方式来对MAC地址列表进行更新,而且只能运用在小型网络当中。如果MAC地址更新不及时,就容易在识别过程中发生错误,影响用户的正常使用。另外,MAC地址很容易被不法分子利用网络窃听和监听手段获取,进而对设备进行伪装,盗用MAC地址非法访问校园无线网络。所以,校园无线网络要将物理标识与、MAC地址、IP地址绑定在一起,严格控制校园无线设备的接入数量和位置,杜绝非法用户的访问。

4)加强安全管理

校园无线网的主要用户是学生,学生在使用无线网络当中的一些不恰当行为也会对无线网络的安全造成威胁,比如访问不合法网站、下载非法程序、发表不当言论等。这些问题的改善就要从改善学校无线网的安全管理入手。各大高校要树立安全防范意识,加大对校园无线网络的监测力度,定期检查无线网络核心交换机和各个服务器的运行日志,及早发现无线网络的安全隐患。一些有条件的院校,可以利用无线入侵监测系统来防御无线网络入侵和网络攻击。无线入侵检测系统能够在无线网络遭受非法访问和攻击时发出预警信号,提醒管理人员,及早采取措施,对非法访问的设备进行屏蔽和封杀,确保校园无线网络的安全。另外,学校还要加强对学生的教育,在学生当中树立起“科学用网”的观念,引导学生正确利用网络,不要毫无节制地利用网络进行娱乐行为。

5 结论

高校无线网络的构建,大大方便了教学工作的进行和师生的日常生活,同时也提高了学校各项管理工作的效率。但是,由于移动互联网技术出现的时间不长,还存在着一些问题,其中安全问题表现得最为严重。对此,高校要利用SSID访问控制、认证协议扩展、物理地址绑定和加强安全管理等手段,为学生营造一个健康、安全的无线网络环境。

参考文献

[1]翟永旭.图书馆无线网络的部署及服务创新研究[J].科技视界,2016(12):240.

[2]钱肇钧,杨淼,李伟.工业互联网概念研究及频率规划研究建议[J].中国无线电,2016(4):40-43.

[3]郭秀伟.“互联网+”视角下远程教育人才培养战略[J].辽宁经济管理干部学院.辽宁经济职业技术学院学报,2016(2):66-69.

[4]张顺利.高校信息化与智慧校园建设[J].信息与电脑,2016(6):242-243.

网络安全互联网 篇10

从国家互联网信息办公室获悉, 为维护国家网络安全、保障中国用户合法利益, 我国即将推出网络安全审查制度。该项制度规定, 关系国家安全和公共利益的系统使用的重要技术产品和服务, 应通过网络安全审查。

国家互联网信息办公室发言人姜军指出, 网络和信息技术产品是否安全、是否可控, 事关国家安全, 事关中国经济社会健康发展, 事关广大人民群众合法权益不受侵犯。长期以来, 少数国家政府和企业利用自己产品的“单边垄断”和技术“独霸”优势, 大规模收集敏感数据, 不但严重损害了广大用户的利益, 而且对其他国家的网络空间安全造成巨大威胁。姜军还表示, 近年来, 我国政府部门、机构、企业、大学及电信主干网络遭受大规模的侵入、监听, 深受其害。特别是去年6月初发生的“斯诺登事件”, 为世界各国敲响了警钟, 充分印证了“没有网络安全就没有国家安全”这一深刻的道理。目前, 我国网民数量跃居世界第一, 已成为网络大国, 加强法律制度建设势在必行。网络安全审查制度的出台, 将成为维护国家网络安全最有效的法理依据, 对于网络强国建设具有重大推动作用。

金山互联网安全组合套装 篇11

像以往一样。金山的安全套装采用的是模块化设计,将不同的功能独立出来,做成单独的软件。这样做的好处是用户可以根据自己的需求选装不同的功能:至于缺陷,那就是一旦用户决定开启所有功能,那么这些单独的程序就会消耗掉大量的内存。这一点从我们的测试表格中不难看出。实际上,金山毒霸增强版的主程序占用资源非常少,但各种服务和软件的内存开销实在是大的惊人。

金山毒霸增强版实际上就是金山毒霸2010,此前金山并未像以往一样按照年份推出更新产品,因此在这款产品推出之前,金山毒霸仍然是2009版。而这款增强版的版本号则明确显示出它就是金山毒霸2010,并不是我们期待的金山毒霸2011。这不免有些让人失望。毒霸增强版本身的功能被划分为安全起点站、监控和防御、安全百宝箱和互联网服务四个部分。安全起点站负责系统的扫描和系统健康状态的监控;监控和防御则可以查看实时监控,网页防挂马等功能的运行状态;安全百宝箱则是毒霸套装提供的各种功能,包括远程维修、进程管理、系统修复工具等功能,其中部分功能是金山网盾或金山网镖,甚至是金山清理专家的功能,使用时会自动调用相应功能:而互联网服务模块则提供在线支付之类的功能,这部分功能使用时需要调用系统浏览器。

金山网镖实际上是金山安防体系中的防火墙模块,功能比较全面。支持系统运行状态监控,互联网使用监控,局域网监控等功能。同时对IM软件提供保护功能,尤其是对MSN提供数据加密功能,对于经常使用MSN聊天工具的用户来说。是一项不错的安全措施。应用规则功能则可以设置各种程序对互联网的访问控制;网络状态则显示着当前正在访问网络的各项程序具体来源,让用户做到一目了然。不过,金山网镖增强版仍有许多弹出警告需要用户手动干预,这一点让人有些感到意外,毕竟作为新时代的安防软件而言,减少弹出已经是必做的优化之一了。

金山网盾,实际上是金山近期着力研发的一款产品,这款产品在功能上与目前极为流行的号称“安防软件”的某款以数字开头的辅助工具比较接近。提供浏览器保护功能、搜索引擎保护功能,并且可以防止浏览器被恶意劫持。同时也提供“网页净化”功能,可以拦截掉网页上的各种广告和垃圾信息。甚至可以将目标网站加入到黑名单中。这款软件结合金山清理专家。可以为用户提供全面的系统辅助功能,包括系统健康指数、恶意软件查杀、漏洞修补等功能,比较符合国内用户的使用需求。配合前面提到的金山网盾,可以组成立体的安防辅助体系。

网络安全互联网 篇12

1994 年, 国务院批准全面接入互联网, 随后中国国家计算机与网络设施工程通过64千比特每秒 (Kbps) 国际专线实现了与互联网的全功能连接[1], 从而开启了中国的互联网的划时代。, 从而开启了中国的互联网的划时代。我国“政府上网工程”也于1999 年1 月正式启动[2], 各级政府部门开始在网上建立网站, 提供信息共享和便民服务项目, 构建“电子政府”, 由此开启了政府服务的新篇章。多年来, 在各级政府部门的高度重视和社会各界的广泛参与下, 我国政府网站建设取得了长足的进步, 综合服务能力不断提升, 有效的促进了政府职能由“管理型”向“服务型”的转变。

然而, 自互联网诞生之始, 网络安全问题一直随影而行。2015年, 伴随着“互联网+”的热潮, 我国互联网步入了新时代, 网络安全问题也变得更为突出。在“互联网+”的新形势下, 政府网站既得到了快速发展, 也遇到了新的威胁和挑战。

2 政府网站网络安全的新特点

(1) 新背景:伴随着“互联网+”热潮, “互联网+零售”“互联网+交通”“互联网+旅游”“互联网+金融”“互联网+生活服务”等各种服务形式不断涌现。“互联网+”行动计划正在引发一场巨大的产业变革, 政府网站也以“互联网+政务”的新面孔得到了快速发展。

(2) 新高度:2015 年3 月, “互联网+”首次被写入《政府工作报告》, 上升为国家战略。同年7月, 国务院印发《关于积极推进“互联网+”行动的指导意见》, “互联网+政务”成为电子政务的重要发展方向, 政府网站发展达到了全新高度。

(3) 新要求:“互联网+”作为一个国家战略, 目的是为了推动大众创业、万众创新。“互联网+政务”成为智慧型政府升级服务的全新要求, 政府网站需要通过信息技术构建一个信息公开、共享的环境, 最大限度地推动创新创业。

(4) 新服务:2015 年, 全国各级政府部门面向公众提供的一体化在线公共服务体系全面提速, 如开通政务微博微信、完善政务APP、搭建智慧城市平台等, 受到了各界好评。

(5) 新威胁:随着新业务的推广, 网络安全攻击手段不断升级, 特别是物联网、工业互联网的发展, 使得原本局限于互联网的安全隐患快速向电力、石油、交通等智能化融合领域蔓延和扩散, 因此针对政府网站等重要信息系统、基础应用的攻击日益活跃。

(6) 新防御:近年来, 瑞星、绿盟、360、金山等为代表的国内主流互联网安全企业积极展开全新应对, 纷纷推出了基于“互联网+”的全新安全解决方案, 研发了云安全、大数据安全、虚拟化系统安全、终端安全、移动互联网安全等全新的安全产品体系, 为政府网站及整个互联网的网络安全防御提供了全新的技术解决方案。

3 政府网站网络安全的新挑战

政府网站的安全所面临的安全问题来越复杂, 不但传统的网络安全问题 (如网页篡改、网页仿冒、木马、病毒、网络攻击、数据窃取等) 依然存在, 而且在“互联网+”的新时代, 新的问题接踵而至, 攻击速度更快、更准确, 攻击技术比防御技术更高级。

(1) 政府网站成为网络攻击的重灾区。受限于财政经费的不足, 政府网站往往在安全方面的投入比较少, 又没有专业人员、设备、技术等资源, 安全防护能力在互联网行业中处于相对薄弱的地位, 因此成为网络攻击的重灾区。

(2) 政府网站漏洞问题严重。在经济利益的驱使下, 大量政府网站的页面被篡改并植入钓鱼页面, 用于网络诈骗。《2014年中国互联网网络安全报告》[3]显示政府机构和重要信息系统部门通报漏洞事件较2013年增长3倍。

(3) 政府网站云安全威胁很大。《2014 年中国互联网网络安全报告》显示云服务日益成为网络攻击的重点目标。我国基础电信企业和许多大型互联网服务商纷纷加快云平台部署, 大量金融、游戏、电子商务、电子政务等业务迁移至云平台。目前云平台的安全和稳定性还很不足, 直接影响了业务的可用性和连续性。而且针对云平台上某一目标的攻击, 还可能导致其他业务受到牵连, 造成大面积用户无法访问或使用, 因此基于云服务的政府网站的安全威胁很大。

(4) 政府网站大数据安全问题突出。近年来网站数据泄露事件不断发生, 网站拖库、撞库等攻击现象越来越严重。政府网站拥有关系国计民生和关乎公民隐私的各类敏感的大数据, 对黑客来说非常有价值, 一旦发生网络攻击或者泄密事件, 后果将更为严重。

(5) 针对政府网站的攻击趋利化。近年来, 网络攻击等违法行为以追求“经济利益”为主, 形成了复杂的黑色产业链。因此针对政府网站的攻击趋利性也越来越明显。

(6) 针对政府网站的攻击政治化。网络空间已经成为五行战场, 大国之间的网络安全对抗日趋激烈, 有着“政府”头衔的政府网站的政治化特点日益突出。很多针对政府网站的攻击都有政治的影子, 因此维护政府网站的安全, 也事关国家安全。

4 政府网站网络安全建设的新对策

从安全的角度来看, 在新的网络技术急速发展的同时, 新的网络威胁势必随之而来, 这是事物的内在规律, 不可避免。在做好传统的安全工作的同时, 要继续加强法规与制度建设, 不断建立健全安全管理体系, 积极完善安全技术防范新手段。

(1) 对政府网站进行精简瘦身。网站主管部门应根据实际需要, 对同质同类网站归并整合, 利用门户网站对分散资源进行整合迁移, 集中提供服务, 建立统一规划、统一建设、统一管理的集约化模式, 并保持与时俱进, 适时调整。

(2) 网络无边界, 合作才能共赢。在网络空间需要摒弃现实世界中的丛林法则, 建立基于合作共赢的网络空间新秩序。只有国家之间、行业之间、政企之间的交流、互动与合作, 才能更好地应对不断变化的安全威胁, 维护网络世界的安全。

(3) 政企合力, 共筑安全屏障。政府应适时出台扶持政策为信息安全服务业的提升与发展提供有力支撑;尝试通过建立普遍服务基金对网络信息安全服务进行补贴;集合研究机构、安全企业和相关安全机构的力量, 共同建立国家级威胁情报平台, 共享数据和威胁情报, 以应对新威胁。

(4) 结合新的网络技术, 构建新的安全体系。如资金、人员和技术允许, 如省级规模的政府网站, 可以依托互联网安全企业提供的基于“互联网+”的最新的安全技术和解决方案, 自建一套包含安全监控、安全预警、安全防护、安全处置、安全审计、容灾备份等在内的一整套完整的网络安全体系, 并不断升级换代, 来保障政府网站的安全。

(5) 购买专业的安全服务。随着ICT技术的融合发展, 云计算平台成为智慧城市发展的基础, 大数据服务成为智慧城市应用的核心。由政府引导、企业投资、市场化运营, 政府购买服务的模式有望成为智慧城市发展的主要方向。对于资金、人员和技术条件不足的政府网站, 可通过购买专业的安全服务来保障网站安全, 用云的方式订阅各种安全服务, 把安全交由更加专业的厂商和机构来解决。

(6) 额外购买专业的威胁情报服务。当前网络安全形势日新月异, 网络攻击已经成为了国与国、企业与企业之间的主战场。美国等发达国家, 网络威胁情报和漏洞服务已非常发达。在做好基础安全的基础上, 应该通过额外购买专业的威胁情报和漏洞服务, 充分利用好外部的大数据资源, 进一步提升政府网站的网络安全的能力。

信息技术的突飞猛进, 智慧型政府建设将为社会带来更多更好服务。在“互联网+”新形势下, 做好政府网站的网络安全建设有一定的难度, 但只要采用正确的安全策略, 结合新的网络技术, 时刻保持高度的网络安全意识, 全面抵御新的网络威胁是完全可以实现的。

摘要：近年随着云计算、大数据等新技术的推广应用和“互联网+”战略的推进, 网络安全攻击手段层出不穷, 安全威胁日益突出。作为互联网上重要而特殊的组成部分, 政府网站也面临着新的威胁和挑战。通过对政府网站在“互联网+”时代所面临的安全新问题进行分析, 提出政府网站网络安全建设的新举措和方法, 以期对政府网站网络安全工作起到抛砖引玉的作用。

关键词：互联网+,政府网站,网络安全,挑战

参考文献

[1]中国互联网协会.回眸历史迈向未来——纪念中国全功能接入国际互联网20周年[J].互联网天地, 2014, 4:6-12.

[2]信息产业部数据通信局.政府上网工程倡议书[J].邮电商情, 1999, Z1:14-16.

[3]国家计算机网络应急技术处理协调中心.2014年中国互联网网络安全报告[M].北京:人民邮电出版社, 2015, 05.

[4]王涛.公众对政府门户网站持续信任的形成机制研究[J].安徽农业科学.2011, 06:32-34.