1樓:局梅鞠冬
電子商務網路資訊保安問題
【內容提要】構築安全電子商務資訊環境是網路時代發展到一定階段的「瓶頸」性課題。本文側重討論了其中的資訊保安技術、數字認證、資訊保安協議、資訊保安對策等核心問題。【摘要
題】資訊法學【關鍵
詞】電子商務/網路/資訊保安/資訊保安技術/數字認證/資訊保安協議/資訊保安對策
美國著名未來學家阿爾溫·托夫勒說:「電腦網路的建立和普及將徹底改變人類生存及生活的模式,控制與掌握網路的人就是未來命運的主宰。誰掌握了資訊,控制了網路,誰就擁有整個世界。
」的確,網路的國際化、社會化、開放化、個人化誘發出無限的商機,電子商務的迅速崛起,使網路成為國際競爭的新戰場。然而,由於網路技術本身的缺陷,使得網路社會的脆性大大增加,一旦計算機網路受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構築安全的電子商務資訊環境,就成為了網路時代發展到一定階段而不可逾越的「瓶頸」性問題,愈來愈受到國際社會的高度關注。
電子商務中的資訊保安技術
電子商務的資訊保安在很大程度上依賴於技術的完善,這些技術包括:密碼技術、鑑別技術、訪問控制技術、資訊流控制技術、資料保護技術、軟體保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、網路隱患掃描技術、系統安全監測報警與審計技術等。
1.防火牆技術。防火牆(firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網路之間的訪問控制,防止外部網路使用者以非法手段通過外部網路進入內部網路(被保護網路)。
它對兩個或多個網路之間傳輸的資料包和連結方式按照一定的安全策略對其進行檢查,來決定網路之間的通訊是否被允許,並監視網路執行狀態。簡單防火牆技術可以在路由器上實現,而專用防火牆提供更加可靠的網路安全控制方法。
防火牆的安全策略有兩條。一是「凡是未被准許的就是禁止的」。防火牆先是封閉所有資訊流,然後審查要求通過的資訊,符合條件的就讓通過;二是「凡是未被禁止的就是允許的」,防火牆先是**所有的資訊,然後再逐項剔除有害的內容,被禁止的內容越多,防火牆的作用就越大。
網路是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火牆安全規則時,應符合「可適應性的安全管理」模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。
防火牆技術主要有以下三類:
●包過濾技術(packct
filtering)。它一般用在網路層,主要根據防火牆系統所收到的每個資料包的源ip地址、目的ip地址、tcp/udp源埠號、tcp/udp目的埠號及資料包中的各種標誌位來進行判定,根據系統設定的安全策略來決定是否讓資料包通過,其核心就是安全策略,即過濾演算法的設計。
●**(proxy)服務技術。它用來提**用層服務的控制,起到外部網路向內部網路申請服務時的中間轉接作用。內部網路只接受**提出的服務請求,拒絕外部網路其它節點的直接請求。
執行**服務的主機被稱為應用機關。**
這篇你看看行不行。如果不行,你再參考一下這幾篇,都在我的部落格裡面:
我國網路資訊保安現狀有哪九個方面問題
企業資訊保安的我國企業資訊化安全現狀分析
2樓:奈落舉
天災,也叫「不可抗力」的災難,通常指水火無情的自然災害,而在科技越來越發達的今天,企業可能要面臨另一種「天災」,那就是——資訊保安威脅。
二十世紀九十年代末出現的internet標誌著人類社會已經進入了資訊化時代,在這個時代,越來越多的人已經開始離不開internet。由於internet的共享性和對外開外性,如何保證資訊保安就成為發展internet的重要課題。我國整體的企業資訊保安防護能力還很不夠,許多應用系統還處於不設防的狀態或系統安全維護得很不夠。
隨著企業上網的迅猛發展,企業資訊保安問題變得尤為重要,因為企業資訊保安問題直接關係到企業的生存與發展,確保企業資訊保安、以便企業不受損失應該成為各級企業使用者的共識。 現在許多企業沒有意識到網際網路的易受攻擊性,盲目相信國外的加密軟體,對於系統的訪問許可權和金鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密資料得不到應有的保護。
據調查,目前國內90%的**存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網路管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,企業資訊保安更是無從談起。
當企業的業務、管理越來越多地依賴網路的時候,決策者們必須意識到企業的命運已經跟資訊保安緊緊聯絡在一起。但令人遺憾的是,雖然資訊保安將企業推上死路的例子數不勝數,因為安全問題造成的損失紀錄也不斷重新整理,可是資訊保安還沒有被企業決策者們真正重視起來。
安裝一個防毒軟體,設立一個it部門,購買一個防火牆,就認為萬事大吉了,企業資訊保安從此徹底解決,其實這樣的想法是完全錯誤的,甚至會給企業帶來致命性的損失。
2023年12月8日最新發布的全球資訊保安狀況調查顯示,在過去12個月中,中國大陸和香港企業檢測到的資訊保安事件平均數量高達1245次,與前次調查記錄的241次事件相比,攀升517%。
本期調查發現,在過去一年中,全球各行業檢測到的資訊保安事件平均數量為6,853次。與去年同期相比,由這些網路犯罪事件所導致的全球平均財務損失下降5%至255萬美金,而中國大陸和香港這一數字則提高10%,達263萬美金。為了應對資訊保安事件的不斷升級,企業也在多方嘗試以求改善。
相較前一期調查,中國大陸和香港受訪者在資訊保安方面的預算增加了16%,平均值達790萬美金,高於全球510萬美金的平均值。
據瞭解,第18次全球資訊保安狀況調查於2023年5月至6月進行,收到全球127個國家的10,000餘名企業高管和專業人員的反饋(其中超過330位受訪者來自中國大陸和香港地區)。這些受訪者包括企業的執行長(ceo)、首席財務官(cfo)、資訊長(cio)、首席資訊保安官(ciso)、首席戰略官(cso)、資訊科技與安全事務副總裁及總監等。
企業資訊保安管理的企業資訊保安管理現狀
3樓:愛忘了丶
當前企業在資訊保安管理中普遍面臨的問題:
(1)缺乏來自法律規範的推動力和約束。
(2)安全管理缺乏系統管理的思想。被動應付多於主動防禦,沒有做前期的預防,而是出現問題才去想補救的辦法,不是建立在風險評估基礎上的動態的持續改進的管理方法。
(3)重視安全技術,忽視安全管理。企業願意在防火牆等安全技術上投資,而相應的管理水平、手段沒有體現,包括管理的技術和流程,以及員工的管理。
(4)在安全管理中不夠重視人的因素。
(5)缺乏懂得管理的資訊保安技術人員。
(6)企業安全意識不強,員工接受的教育和培訓不夠。
資訊保安所面臨的威脅有哪些?
4樓:匿名使用者
資訊保安的威脅有:
(1) 資訊洩露:資訊被洩露或透露給某個非授權的實體。
(2) 破壞資訊的完整性:資料被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:對資訊或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的資訊資源和敏感資訊。例如對通訊
線路中傳輸的訊號搭線監聽,或者利用通訊裝置在工作過程中產生的電磁洩露擷取有用資訊
等。(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通訊頻度、通訊的信
息流向、通訊總量的變化等引數進行研究,從中發現有價值的資訊和規律。
(7) 假冒:通過欺騙通訊系統(或使用者)達到非法使用者冒充成為合法使用者,或者特權小的用
戶冒充成為特權大的使用者的目的。黑客大多是採用假冒攻擊。
(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特
權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統「特性」,利用這些「特性」,攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授
權的目的,也稱作「內部攻擊」。
(10)特洛伊木馬:軟體中含有一個覺察不出的有害的程式段,當它被執行時,會破壞使用者的
安全。這種應用程式稱為特洛伊木馬(trojan horse)。
(11)陷阱門:在某個系統或某個部件中設定的「機關」,使得在特定的資料輸入時,允許違反
安全策略。
(12)抵賴:這是一種來自使用者的攻擊,比如:否認自己曾經發布過的某條訊息、偽造一份對
方來信等。
(13)重放:出於非法目的,將所截獲的某次合法的通訊資料進行拷貝,而重新傳送。
(14)計算機病毒:一種在計算機系統執行過程中能夠實現傳染和侵害功能的程式。
(15)人員不慎:一個授權的人為了某種利益,或由於粗心,將資訊洩露給一個非授權的人。
(16)**廢棄:資訊被從廢棄的磁碟或列印過的儲存介質中獲得。
(17)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。
(18)竊取:重要的安全物品,如令牌或身份卡被盜。
(19)業務欺騙:某一偽系統或系統部件欺騙合法的使用者或系統自願地放棄敏感資訊等等
與數字鴻溝有關的材料瞭解我國資訊科技產業發展的現狀
數字抄鴻溝 digital divide 又稱資訊鴻溝,它是指當代資訊科技領域中存在的差距現象,它既存在於資訊科技的開發領域,也存在於資訊科技的應用領域,特別是由網路技術產生的差距。據美國商務部1999年釋出的 定義數字鴻溝 報告顯示,雖然收入 教育和種族都是造成數字鴻溝的因素,但還沒有辦法指出哪一...
智慧財產權問題,我國智慧財產權現狀,存在的問題,解決對策
1.只要不公開發表,自己學習臨摹是屬於 合理使用 不算侵權。但若發表則是侵權。2.若無授權其實是侵權。除非符合以下情況 著作權法第三十三條 著作權人向報社 期刊社投稿的,自稿件發出之日起十五日內未收到報社通知決定刊登的,或者自稿件發出之日起三十日內未收到期刊社通知決定刊登的,可以將同一作品向其他報社...
通過資訊保安管理體系認證的公司有哪些
資訊保安的防火牆 在資訊及其處理裝置高度發達的今天,所有企業都依賴於資訊而存在。沒有各種資訊的支援,企業就不能發展。近年來,資訊保安被破壞的現象在與日俱增,這就是為什麼資訊保安越來越受到關注。iso27001 2005是資訊保安認證的規範,該標準適用於任何企業。nqa在國際和國內擁有資深的稽核員,可...