購物車(0)
互聯網安全論文模板(10篇)
時間:2023-03-17 18:12:48
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇互聯網安全論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
二、互聯網金融信息安全概況
一是互聯網金融企業自身的信息安全相對于傳統金融企業仍較薄弱,其中不完善的密鑰管理及加密技術將會給互聯網金融數據安全和業務連續性帶來嚴重影響,如2013年4月,豐達財富P2P網貸平臺遭到持續攻擊,網站癱瘓5分鐘,2014年3月網貸之家官網遭到惡意攻擊等。二是互聯網金融企業自身的內部風險控制亟待提高,管理也存在較大局限性,互聯網金融企業雖然可以依據大數據來分析用戶的行為,監管各種交易風險,但是這些更多的是對微觀層面的控制,很難從宏觀上進行監控,如2013年8月的光大證券烏龍指事件。三是用戶認識度不高,用戶對互聯網金融借助的大數據云技術概念和技術缺乏了解,沒有考慮自身的需要,完全照搬國外經驗,以致資源利用率不高,導致人力物力財力的浪費。四是消費者信息安全防范意識仍舊薄弱,如點擊不明鏈接,遭受木馬攻擊,導致泄露支付賬號和密碼以及消費者身份信息等。
三、互聯網金融信息安全風險分類
1.信息技術風險
一是計算機客戶端安全風險,目前互聯網金融客戶端基本采用用戶名和密碼進行登陸的方式,缺乏傳統金融行業的動態口令、U盾等輔助安全手段,一旦客戶端感染病毒、木馬等惡意程序將嚴重威脅互聯網金融賬戶和密碼安全。二是網絡通信風險,在互聯網環境下,交易信息通過網絡傳輸,部分互聯網金融平臺并沒有在“傳輸、存儲、使用、銷毀”等環節建立保護敏感信息的完整機制,互聯網金融中的數據傳輸和傳輸等過程的加密算法,一旦被攻破,將造成客戶的資金、賬號和密碼等的泄露,給互聯網金融信息安全造成嚴重影響。三是互聯網金融業務系統及數據庫存在漏洞風險,互聯網平臺面臨網頁掛馬、數據篡改、DDoS攻擊、病毒等信息安全風險,數據庫系統存在越權使用、權限濫用等安全威脅。
2.業務管理類風險
一是應急管理風險,絕大多數互聯網金融企業沒有較好且完備的應急管理計劃和災備系統,業務連續性較差,一旦發生電力中斷、地震等災害,將給公司造成非常大的損失乃至導致破產。二是內控管理風險,互聯網金融企業大多存在內控制度的建設不完善和執行力欠缺的問題,員工的不當操作以及內部控制的失敗,可能在內部控制和信息系統存在缺陷時導致不可預期的損失。三是外包管理風險,目前大多數互聯網金融企業基本采用外包的形式為企業提供業務或技術支持。如果缺乏業務外包管理制度或未明確業務外包范圍,將導致不宜外包的核心業務進行外包,出現泄密風險。四是法律風險,目前有關互聯網金融的法律法規不完善,缺乏監管措施,這些將影響互聯網金融的健康發展。
四、構建互聯網金融信息安全風險體系
1.建全互聯網金融監管的法律法規
一是完善互聯網金融法律法規,制定互聯網金融信息安全行業標準,提高互聯網金融企業的安全準入門檻,明確互聯網金融企業的法律地位和金融監管部門以及政府監管職責和互聯網金融的準入和退出機制,從而搭建起互聯網金融法律體系。二是構建包含一行三會、司法和稅務等多部門的多層次、跨行業、跨區域的互聯網金融監管體系。三是提升互聯網金融消費者權益保護力度,加強信用環境建設和完善信息披露制度,暢通互聯網金融消費的投訴受理渠道,逐步完善互聯網金融消費者權益保護的法律制度框架,建立消費者保護的協調合作機制。
2.建立互聯網金融信息安全技術標準
建立互聯網金融信息安全技術標準,增強互聯網金融企業的協調聯系機制,加強信息安全風險的監測和預防工作,加快與國際上有關計算機網絡安全的標準和規范對接。整合資源,建立以客戶為中心的互聯網金融信息安全數據庫,以實現數據的歸類整理分析和實時監控業務流程。
3.加強互聯網金融信息安全技術體系建設
目前我國互聯網金融系統核心技術缺少自主知識產權,加之“棱鏡門”的出現,使我國互聯網金融計算機系統存在較大的風險隱患。因此,必須加強互聯網金融信息安全技術體系建設,在核心軟硬件上去除“IOE”,開發具有高度自主知識產權的核心技術,使在互聯網金融的關鍵領域和關鍵環節使用國產化軟硬件設備,提升互聯網金融的信息安全風險防范能力,加大對信息安全技術的投入,以信息安全等級保護為基礎,建立基于云計算和大數據的標準體系,應用PDCA的思想,從整個信息系統生命周期來實現互聯網金融長期有效的安全保障。
篇2
中圖分類號:D92 文獻標志碼:A 文章編號:1673-291X(2010)10-0087-02
收稿日期:2010-01-18
作者簡介:基娟娟(1985-),女,江蘇儀征人,學生,從事企業管理研究;沙彥飛(1968-),男,江蘇淮安人,副教授,從事企業管理、管理倫理研究。
互聯網的飛速發展使傳統的個人信息生產、傳播和利用方式產生了一系列深刻變革, 為個人信息的傳播提供了一個前所未有的發展空間,同時也帶來了許多新的信息安全問題,受到社會多方的廣泛關注。個人信息安全不僅是技術問題和法律問題,也是倫理問題。
一、互聯網個人信息安全現狀
中國互聯網絡信息中心(CNNIC)2010年1月15日在京了 《第25次中國互聯網絡發展狀況統計報告》。報告數據顯示,截至2009年12月,中國網民規模達3.84億,增長率為28.9%,中國手機網民一年增加1.2億,手機上網已成為中國互聯網用戶的新增長點,個人信息呈現爆炸式增長。所謂“個人信息”,是指以任何形式存在的、與公民個人存在關聯并可以識別特定個人的信息。其外延十分廣泛,幾乎有關個人的一切信息、數據或者情況都可以被認定為個人信息。具體包括姓名、身份證號碼、職業、學歷、婚姻狀況、收入和財產狀況、家庭住址、電話號碼、網上登錄的賬號和密碼、信用卡號碼等。信息安全問題包括由于各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯后、信息不完善等,以及由此帶來的風險。2009年3月15日,央視“3?15”晚會曝光了海量信息科技網盜竊個人信息的實錄,給國人極大震驚。全國各地的車主信息,各大銀行用戶數據,甚至股民信息等等,在海量信息科技網上一應俱全,而且價格也極其低廉。買家僅僅花了100元就買到了1 000 條各種各樣的信息,上面詳細記錄了姓名、手機號碼、身份證號碼等等,應有盡有。類似此例事件的披露,清楚地表明,個人信息安全不僅是技術問題和法律問題,也是倫理問題。加強網絡信息倫理建設,越來越成為保障信息安全的一道屏障。
二、倫理問題分析工具
對網絡個人信息安全中的倫理問題進行分析,需要運用一定的倫理理論,并在此基礎上得出網絡倫理的一般原則,以此作為理論分析工具。
1.權利論。權利可分為法律權利與道德權利。道德權利有兩個方面:一是消極的權利和自由的權利,如隱私權,生命不被剝奪權、處置私有財產權等。二是積極的或福利的權利,包括受教育的權利、取得事物的權利、獲得尊重的權利等。道德權利賦予個人自主、平等地追求自身利益的權利。道德權利是證明一個人行為正當性及保護或幫助他人的基礎。權利論的道德原則是:當行為人有道德權利從事某一行為,或從事某一行為沒有侵害他人的道德權利,或從事某一行為增進了他人的道德權利,則該行為是道德的。網民在進行網絡消費時,享有以下權利:人身、財產安全不受損害的權利;個人隱私、信息不受侵犯的權利;公平交易的權利;人格尊嚴、民族風俗習慣得到尊重的權利等。
2.利益相關者理論。利益相關者是指可能對組織的決策和活動產生影響或可能受組織的決策和活動影響的個人、群體和組織。網絡主體,包括開發商、運營商等網絡從業者,對其負有道德義務的所有人可以統稱為利益相關者。對于網絡主體而言,網絡用戶,即網絡消費者是其最主要的利益相關者。利益相關者分析考慮的是這樣一個問題:為了使網絡主體在任何情況下都能履行其義務,權衡那些有權對網絡主體提出利益要求的人對網絡主體提出的具有競爭性的要求。利益相關者分析并不否定網絡主體利益高于其他利益相關者的利益,但是這種分析方法卻要保證所有受影響的方面都會被考慮到。
3.倫理原則。以人為本原則。以人為本的原則就是要尊重人、關心人、促進人的自由而全面的發展。它是以利益相關者理論以及道德權利論為基礎的。網絡主體應真切地關注并盡可能滿足網絡消費者的合理要求,從而在他們的支持下得到發展,而消費者則可以從與網絡主體的交往中得到物質和精神上的滿足;網絡主體應該努力開發生產出對社會有益的產品或服務,使網絡主體的發展成果惠及于民。并且在可能的情況下,支持社會的福利事業,做一個好的“網絡主體公民”。
公平公正原則。每個人都有獨立平等的人格尊嚴,所以在享有正當自由權利的同時也應平等待人、尊重他人的正當權利。公平公正要求網絡主體與利益相關者之間互利互惠,達到“雙贏”的局面,只有互利互惠,網絡主體與他們的合作關系才能維持下去,從而網絡主體才可以發展下去。
誠實守信原則。誠信原則是網絡主體經營之本,它可以促進網絡主體與利益相關者長期、可靠的合作從而促進網絡主體的生存和發展。誠實守信原則要求講真話,不欺詐,“貨真價實,童叟無欺”,一諾千金,說話算數。
三、基于互聯網的個人信息安全倫理問題分析
網絡社會是一個通過計算機之間的協同運作, 以實現資源共享、實時交往等社會生活的全新的生存空間。在這個“虛擬社會”中, 傳統倫理道德的社會基礎發生了巨大的變化, 人們的倫理觀、價值觀也發生了改變。互聯網環境下,個人信息安全倫理問題主要有三個方面:
1.未經允許,在網絡上披露他人隱私。互聯網上披露、傳播他人隱私的途徑有發送電子郵件、聊天室、新聞組等方式,非法將他人隱私暴露。隱私權是公民個人生活不受他人非法干涉或擅自公開的權利, 它意味著尊重個人的自主、自由以及對他人正當行為的尊重。互聯網的開放性和網絡數字化符號的通用性對個人隱私權的保護提出了嚴峻的挑戰。有些專門搜集個人隱私的網絡主體受利益的驅動, 會利用各種技術手段將存放于數字系統中的個人信息匯總后出售給供應商, 導致個人信息的失控,如,知名明星中陳冠希的艷照門事件,就在社會上引起了很大的風波。
2.窺視、篡改他人的電子郵件。比起傳統郵政,電子郵件有一點和它是相同的:電子郵件也有安全問題。如果郵件沒有采取加密措施,它就可能被他人窺視,有篡改的可能。目前,人們對進行密碼加密保護的郵件還是傾向于信任的。但是個人的通信還是存在著極有可能被黑客和ISP網絡主體截取,以致造成個人生活安寧被侵害的情況。
3.個人數據的二次開發利用。個人數據的二次開發利用是指商家利用用戶登記的個人信息,建立起綜合的數據庫,從中分析出一些個人并未透露的信息, 進而指導自己的營銷戰略。提供免費郵箱的網絡服務商,已經將用戶在申請郵箱時提供的個人數據進行了收集和二次開發,出售給別的商家使用。服務商將用戶的郵件地址非法提供給其他機構,使其電子郵箱經常被垃圾郵件所塞滿,造成客戶個人隱私或商業機密的泄露。這種情況與私拆他人信件、侵犯他人通信秘密沒有本質區別。
四、基于互聯網的個人信息安全的倫理對策
1.技術措施保障。努力開發更先進的網絡技術,增加網絡的安全性,也是保護個人信息安全和網絡隱私不容忽視的一個方法。加強網絡社會技術上的安全性對于保護個人信息安全是至關重要的一步。數據加密技術是網絡社會最為普遍的技術,目前關于除了口令設置等加密技術用于規范網絡社會中出現的倫理問題已成為趨勢。加密技術利用其特有的技術特點,可以有效地防止一些重要信息被篡改 、復制 、污染等起到了重要的作用。
2.提高網絡個人用戶的安全意識與道德素質。除了在網絡主體層次采用最大限度的技術裝備,加強技術方面的措施以外,用戶也應該意識到自己所負的使命。網民們使用某些網站功能或參加一些網絡調查時,均會被要求填寫一些個人信息,盡管多數網站聲稱絕對為網民保密,不將個人信息提供給任何“第三者”,但網站“保護用戶隱私”方面的條款更多時候是推卸責任的免責聲明,看上去每個網站都有長長一大篇保護網民隱私的條款,但其中真正保護網民隱私的部分卻含糊其詞。
3.提高網絡主體從業人員道德素質。保護網絡用戶的個人信息安全和網絡隱私,網絡主體從業人員的自律十分重要 。保護網絡用戶的個人信息安全和網絡隱私是商業網站應盡的義務,商業網站應承諾并保證做到如下:如果網絡用戶對網站的信息安全、信息使用措施感到不安,可以隨時刪除自己提供給網站的詳細資料;在未經網絡用戶同意及確認之前,網站不將為網絡用戶參加網站之特定活動所提供的資料利用于其他目的;除非在事先征得網絡用戶同意或為網絡用戶提供所需服務的情況下,網站不向任何人出售網絡用戶的個人資料或提供網絡用戶的任何身份識別資料給任何的第三人以供行銷使用。
4.制定網絡規范。目前很多網絡主體在從事網絡信息服務時,面對各種行為選擇時會茫然不知所措。有必要加強網絡規范,建立信息技術使用者的道德準則,要求信息使用者不應非法干擾他人信息系統的正常運行; 不應利用信息技術竊取錢財、智力成果和商業秘密等; 不應未經許可而使用他人的信息資源等。當為他們提供了相應的倫理準則, 建立明確的網絡行為規范, 個體才能比較容易地做出是非評判,才能逐漸樹立倫理意識;而一旦樹立了良好的信息倫理意識,它將成為行為主體的內在自覺,即自己為自己立了法,將來面對新的倫理問題時也會自動地設定自己的行為準則。
五、結論
網絡個人信息安全的倫理安全問題需要全社會共同的關注。當信息法律繼續建立,技術更加成熟,網絡主體更加自律更加誠信,網絡規范更加完善,中國互聯網中的個人信息安全問題才會得到有效解決,網絡經濟才能快速、健康地發展。
參考文獻:
[1]周祖城.企業倫理學[M].北京:清華大學出版社,2005.
[2]蘇勇.現代管理倫理學[M].北京:石油工業出版社,2003.
篇3
[關鍵詞]電子商務安全網絡安全商務安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發展,越來越多的人投入到電子商務中去。電子商務是指發生在開放網絡上的商務活動,現在主要是指在Internet上完成的電子商務。
Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網上交易面臨種種危險。一個真正的電子商務系統并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術使Web站點與公司的后端數據庫系統相連接,向客戶提供有關產品的庫存、發貨情況以及賬款狀況的實時信息,從而實現在電子時空中完成現實生活中的交易活動。這種新的完整的電子商務系統可以將內部網與Internet連接,使小到本企業的商業機密、商務活動的正常運轉,大至國家的政治、經濟機密都將面臨網上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關鍵問題。
電子商務的安全問題,總的來說分為二部分:一是網絡安全,二是商務安全。計算機網絡安全的內容包括:計算機網絡設備安全,計算機網絡系統安全,數據庫安全,工作人員和環境等。其特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。商務安全則緊緊圍繞傳統商務在Internet上應用時產生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網絡安全問題
一般來說,計算機網絡安全問題是計算機系統本身存在的漏洞和其他人為因素構成了計算機網絡的潛在威脅。一方面,計算機系統硬件和通信設施極易遭受自然環境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟件資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統的硬件、軟件的自然損耗等同樣會影響系統的正常工作,造成計算機網絡系統內信息的損壞、丟失和安全事故。
二、計算機網絡安全體系
一個全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網絡安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟件定期對網絡系統進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施。
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網絡上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟件,加強內部網的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網絡安全技術是伴隨著網絡的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網絡協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬件產品,屏蔽安全硬件以變化對上層應用的影響,實現多種網絡安全協議,并在此之上提供各種安全的計算機網絡應用。
互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。這就對網絡安全技術提出了更高的要求。未來的網絡安全技術將會涉及到計算機網絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點,如身份認證,授權檢查,數據安全,通信安全等將對電子商務安全產生決定性影響。
三、商務安全要求
作為一個成功的電子商務系統,首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產品和服務。使用者擔心在網絡上傳輸的信用卡及個人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網絡不穩定或是應用軟件設計不良導致被黑客侵入所引發的損失。由于在消費者、特約商店甚至與金融單位之間,權責關系還未徹底理清,以及每一家電子商場或商店的支付系統所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網上交易的基礎,也是電子商務技術的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。
2.交易者身份的確定性。網上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環節都必須是不可否認的。主要包括:源點不可否認:信息發送者事后無法否認其發送了信息。接收不可否認:信息接收方無法否認其收到了信息。回執不可否認:發送責任回執的各個環節均無法推脫其應負的責任。
4.交易內容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統中的身份和職能是不同的,任何合法用戶只能訪問系統中授權和指定的資源,非法用戶將拒絕訪問系統資源。
四、電子商務安全交易標準
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標準和技術。主要的協議標準有:
1.安全超文本傳輸協議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸的安全性。
2.安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術協議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。
4.安全電子交易協議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
所有這些安全交易標準中,SET標準以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標準,有望進一步推動Internet電子商務市場。
五、商務安全的關鍵CA認證
怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統。CA是CertificateAuthority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心即CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的一切后果,因此它應由能夠承擔這些責任的機構擔任;另一個是證書操作部門,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
CA體系主要解決幾大問題:
1.解決網絡身份證的認證以保證交易各方身份是真實的;
2.解決數據傳輸的安全性以保證在網絡中流動的數據沒有受到破壞或篡改;
3.解決交易的不可抵賴性以保證對方在網上說的話是真實的。
需要注意的是,CA認證中心并不是安全機構,而是一個發放”身份證”的機構,相當于身份的”公證處”。因此,企業開展電子商務不僅要依托于CA認證機構,還需要一個專業機構作為外援來解決配置什么安全產品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節省成本,避免損失,應該把握幾個基本原則:
1.要知道自己究竟需要什么;
2.要了解廠商的信譽;
3.要了解廠商推薦的安全產品;
4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應法律法規
電子商務要健康有序地發展,就像傳統商務一樣,也必須有相應的法律法規作后盾。商務過程中不可避免地會產生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發生改變,但其形式卻發生了極大的變化,
1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構的認證。
2.傳統合同的口頭形式在貿易上常常表現為店堂交易,并將商家所開具的發票作為合同的依據。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式,表現為直接通過網絡訂購、付款,例如利用網絡直接購買軟件。
3.表示合同生效的傳統簽字蓋章方式被數字簽名所代替。
電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿易形式,與現存的合同法發生矛盾是非常容易理解的事情。但對于法律法規來說,就有一個怎樣修改并發展現存合同法,以適應新的貿易形式的問題。
七、小結
在計算機互聯網絡上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網絡硬件平臺和系統軟件平臺安全的基礎上,應該還具備以下特點:強大的加密保證;使用者和數據的識別和鑒別;存儲和加密數據的保密;連網交易和支付的可靠;方便的密鑰管理;數據的完整、防止抵賴。電子商務對計算機網絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
參考文獻:
篇4
自由開放的移動網絡帶來巨大信息量的同時,也給運營商帶來了業務運營成本的增加,給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性,用戶的上網模式和使用習慣與固網時代很不相同,使得移動網絡的安全跟傳統固網安全存在很大的差別,移動互聯網的安全威脅要遠甚于傳統的互聯網。
⑴移動互聯網業務豐富多樣,部分業務還可以由第三方的終端用戶直接運營,特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務,雖然豐富了手機應用,同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。
⑵移動互聯網是扁平網絡,其核心是IP化,由于IP網絡本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net互聯網。在網絡層面,存在進行非法接入網絡,對數據進行機密性破壞、完整性破壞;進行拒絕服務攻擊,利用各種手段產生數據包造成網絡負荷過重等等,還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。
⑶隨著通信技術的進步,終端也越來越智能化,內存和芯片處理能力也逐漸增強,終端上也出現了操作系統并逐步開放。隨著智能終端的出現,也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統修改終端中存在的信息,產生病毒和惡意代碼進行破壞。
綜上所述,移動互聯網面臨來自三部分安全威脅:業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。
2 移動互聯網安全應對策略
2010年1月工業和信息化部了《通信網絡安全防護管理辦法》第11號政府令,對網絡安全管理工作的規范化和制度化提出了明確的要求。客戶需求和政策導向成為了移動互聯網安全問題的新挑戰,運營商需要緊緊圍繞“業務”中心,全方位多層次地部署安全策略,并有針對性地進行安全加固,才能打造出綠色、安全、和諧的移動互聯網世界。
2.1 業務安全
移動互聯網業務可以分為3類:第一類是傳統互聯網業務在移動互聯網上的復制;第二類是移動通信業務在移動互聯網上的移植,第三類是移動通信網與互聯網相互結合,適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全:
⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配,能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用,應提供業務層的安全認證方式,如雙因素身份認證,通過動態口令和靜態口令結合等方式提升網絡資源的安全等級,防止機密數據、核心資源被非法訪問。
⑵健全安全審計能力。業務系統應部署安全審計模塊,對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄,實施安全設計策略,并提供事后行為回放和多種審計統計報表。
⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統,定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業務系統可靠運行。
⑷增強對于新業務的檢查和控制,尤其是針對于“移動商店”這種運營模式,應盡可能讓新業務與安全規劃同步,通過SDK和業務上線要求等將安全因素植入。
2.2 網絡安全
移動互聯網的網絡架構包括兩部分:接入網和互聯網。前者即移動通信網,由終端設備、基站、移動通信網絡和網關組成;后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。
⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全,3G以及未來LTE技術的安全保護機制有比較全面的考慮,3G網絡的無線空口接入采用雙向認證鑒權,無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶,可以采用VPDN、SSLVPN的方式構建安全網絡,實現內網的安全接入。
⑵承載網網絡及邊界網絡安全。1)實施分域安全管理,根據風險級別和業務差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2)在關鍵安全域內部署人侵檢測和防御系統,監視和記錄用戶出入網絡的相關操作,判別非法進入網絡和破壞系統運行的惡意行為,提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時,系統會及時作出響應,包括斷開網絡連接、記錄用戶標識和報警等。3)通過協議識別,做好流量監測。依據控制策略控制流量,進行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護系統上,進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導致網絡設備癱瘓。4)加強網絡和設備管理,在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制,以防止非法侵人,針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。
2.3 終端安全
移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。
⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時,要對預裝應用軟件及提供者 進行說明,而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件,也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。
⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力,建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監控異常流量。根據軟件提供的備份、刪除功能,將重要數據備份到遠程專用服務器,當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料,從而最大限度避免手機用戶的隱私泄露。
⑷借鑒目前定期PC操作系統漏洞的做法,由指定研究機構跟蹤國內外的智能終端操作系統漏洞信息,定期官方的智能終端漏洞信息,建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導下及時升級操作系統、進行安全配置。
3 從產業鏈角度保障移動互聯網安全
對于移動互聯網的安全保障,需要從整體產業鏈的角度來看待,需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。
⑴立法機關要緊跟移動互聯網的發展趨勢,加快立法調研工作,在基于實踐和借鑒他國優秀經驗的基礎上,盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務,明確規范信息數據的采集、保存和利用行為。同時,要加大執法力度,嚴專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net厲打擊移動互聯網信息安全違法犯罪行為,保護這一新興產業持續健康發展。
⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構,統籌規劃,綜合治理,形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系;要在國家層面建立移動互聯網安全認證和準入制度,形成常態化的信息安全評估機制,進行統一規范的信息安全評估、審核和認證;要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度,以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。
⑶運營商、網絡安全供應商、手機制造商等廠商,要從移動互聯網整體建設的各個層面出發,分析存在的各種安全風險,聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施,保護各類軟硬件系統安全、數據安全和內容安全,并對安全產品進行統一的管理,包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統,做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究,利用集成防火墻或其他技術保障設備安全。
⑷內容提供商要與運營商合作,為用戶提供加密級業務,并把好內容安全之源,采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化,提供整合的安全技術產品,要提高軟件技術研發水平,由單一功能的產品防護向集中統一管理的產品類型過渡,不斷提高安全防御技術。
⑸普通用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新,對敏感數據采取防護隔離措施和相關備份策略,不訪問問題站點、不下載不健康內容。
4 結束語
解決移動互聯網安全問題是一個復雜的系統工程,在不斷提高軟、硬件技術水平的同時,應當加快互聯網相關標準、法規建設步伐,加大對互聯網運營監管力度,全社會共同參與進行綜合防范,移動互聯網的安全才會有所保障。
篇5
又是一年畢業季,畢業論文也是學生要完成的一項必須的畢業任務。從國內高校引進的“學術不端檢測系統”,另外一種名為
“畢業論文”的一種軟件工具曝然走紅。但是這些軟件好像都是被捆綁了病毒,導致的結果就是篡改瀏覽器的主頁面。
并且頻繁的彈出廣告,建議廣大的畢業生開啟一些安全軟件譬如木馬防火墻等以免中招。
目前搜索“畢業論文軟件”可以找到約百萬條結果,其中有些網站宣稱可以免費下載,有些網站則是明碼標價售賣,五花
八門的下載地址讓人難以甄別。然而木馬往往就暗藏在一些下載鏈接中,用戶在下載運行后,木馬就會自動釋放并潛伏在電腦
里,通過刷廣告流量非法獲利。
360互聯網安全中心檢測發現,網上流傳的“軟件”多數都不具備相應功能,而是偽裝熱門資源誘騙下載。此外,由于論
文比對技術比較復雜,評判標準不統一,論文數據庫龐大,此類軟件實際效果也很難保障。不法分子就抓住部分畢業生投機取
篇6
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
篇7
互聯網遠比我們想象得更“健壯”
很多人擔心如果有一天互聯網癱瘓了,該怎么辦?其實想把整個互聯網弄癱瘓了,并沒那么簡單。互聯網的“結實”程度遠比我們想象得要高,這和它本身的結構有關。我們經常使用的網絡,并不存在一個“總開關”,它的核心設施其實分布在全球各個國家的重要節點。這些節點包括解析域名的根域名服務器,連接各大洲的海底電纜,還有儲存、管理和分發海量信息的超級數據中心。我們日常使用的網絡服務,大部分都是通過這些重要節點來運行的。重要節點之間也不是由一臺計算機來指揮運行的。比方說全球共有13組504臺根域名服務器,遍布世界各國。這些服務器又互相支持,并行運轉,即便其中一臺損壞,互聯網也能在其他服務器的支持下繼續運轉下去。
實際上,互聯網這種通過重要節點運轉的網絡被稱作“無尺度網絡”,它的結構其實和人類大腦或人際關系非常相似。美國印第安納州圣母大學的一項研究表明:在“無尺度網絡”中,除非將重要節點全部刪除,否則即便大量地刪除節點,網絡的性能也不會受到影響。
用物理方法能徹底摧毀互聯網嗎?
答案是肯定的。攻擊計劃的第一步是切斷互聯網通信的基礎海底電纜。這些電纜承擔了95%以上的網絡傳輸,沒有它們,各大洲會變成單個的“信息孤島”。不過,想要阻斷全球信息傳輸,你必須把目前正在使用的285條電纜都砍斷才行。
下一步,摧毀根域名服務器,如果你能跨越重重安保措施,將這些服務器摧毀的話,就等于給了互聯網“致命一擊”。
最后,你要做的是攻擊全球數據中心。首選的打擊對象是那些具有一定規模的超級數據中心,它們出故障會導致所屬區域大片網絡癱瘓。
如果你完成了以上步驟,你已經讓全球99%的互聯網癱瘓了。不過,鑒于互聯網的超強修復能力,上述步驟最好同步完成。也就是說,不消耗規模驚人的人力物力來發動一場全球規模的“戰爭”,是不可能完成這個計劃的。
即便如此,我們還有各種各樣應對互聯網癱瘓的備用方案,畢竟在面臨突發事件和自然災害時,網絡中斷的情況還是有可能發生的。
互聯網消失會引起什么后果?
根據2010年美國信息技術與創新基金會的數據,假如沒有互聯網,美國僅在電子商務領域遭受的損失,就高達每天80億美元。損失不止于此。在云計算已經普及的今天,傳統商業活動中的供應、采購、物流、銷售等環節已經和互聯網綁定到了一起。作為整個經濟活動的“血液循環系統”的金融業,對互聯網的依賴更是達到了前所未有的程度。僅在中國,每月的股票成交量就已經達到了數千億元,而這其中的大部分交易,都是通過互聯網來完成的。
正因如此,美國得克薩斯大學奧斯汀分校的電子商務研究中心主任安德魯·溫斯頓認為,“互聯網消失幾天之后,就足以引發嚴重的經濟危機”,因為眾多上市公司再也無法通過股市吸引投資了。
鏈接1:
電子郵件量到底有多大?
在幾乎人手不只一個電子郵箱的今天,全世界的電子郵件量到底有多大?電子郵件量是個天文數字。2013年,平均每天約有1500億封電子郵件被發送出去,這么大的數字也許只在天文學中才比較常見。如果把世界上一天的電子郵件打印出來,能堆起約1.6萬千米高的大紙堆,打印出一個月的,就能堆到月球了。
鏈接2:
英國互聯網保存計劃
如今,我們將越來越多的東西搬到互聯網上:圖片、新聞、書籍、社交……但你認為互聯網上的內容會一直存在嗎?現有的機制,就是用新消息沖刷舊消息,將“新”的價值放大,“老”的價值弱化。互聯網還沒有建立“保存有價值的歷史資料”的系統。
英國的學者悲觀地認為,互聯網上的“歷史資料”會隨著網站的關閉和內容的刪除而消失,他們稱之為“21世紀的數字黑洞”。很多現在看來平常但卻具有歷史價值的片段,將會隨著互聯網的變遷而消失得無影無蹤。
為此,英國數個圖書館聯手開展一項歷史資料保存計劃,將互聯網上的內容保存下來——涵蓋雜志、圖書、學術論文、文學、新聞、評論等,包括在Twitter 和 Facebook上公開的內容,都會收集存底,以便做歷史研究使用。初始項目將會從500萬個英國的網站中保存超過 10 億個網頁內容,智能手機和平板設備的新聞內容和電子書也會被存底。
篇8
[中圖分類號]G641 [文獻標識碼]A [文章編號]1009-5349(2012)07-0251-02
信息道德是指在整個信息活動中調節信息加工者、傳遞者、使用者之間相互關系的行為規范的總和。在這個信息爆炸的時代,信息傳播變得難以控制,偽劣信息、無用信息比重加大,全社會對信息道德問題日益重視,大學生是使用網絡的主力軍,因此,信息道德教育已經成為高校信息素質教育的重要內容之一。目前很多高校都在通過各種不同途徑實施信息道德教育,但總的來說沒有取得明顯效果,教育內容、教育方式方法等方面存在著嚴重的不足。
一、大學生信息道德教育存在的問題
(一)現有信息法律法規不完善
自1986年4月開始,我國先后制定并頒布了《中華人民共和國計算機信息系統安全保護條例》《計算機系統安全規范》《計算機病毒控制規定》《中華人民共和國知識產權法》《互聯網安全條例》《計算機信息網絡國際互聯網安全保護管理辦法》《中華人民共和國電信條例》《互聯網信息服務管理辦法》等一系列規定和法規,并在刑法、刑事訴訟法、民法、民事訴訟法等法律中加入了計算機信息安全方面的條文。隨著這些信息法律的頒布實施,我國信息活動領域無法可依的局面已經有所改變。但與發達國家相比,我國信息立法還屬于起步階段,現行信息法律法規主要分布在信息市場、信息產權及信息安全保護等方面,缺乏對信息資源管理、信息基礎設施建設、信息產業等方面的法律規范。
(二)缺乏具體信息道德評判標準
信息道德主要包括網絡道德和學術道德。我國早在2001年11月就頒布了《全國青少年網絡文明公約》,在一定程度上規范了人們的網絡行為。但它只是對網絡行為做了一些大致的規定,明確了哪幾種典型行為是恰當的,哪些是不恰當的,但沒有健全如何判斷是否屬于這種行為的具體標準。在現實生活中,不良信息是指哪些信息,哪種信息行為屬于破壞網絡秩序、危害網絡安全的行為,哪種情況屬于侮辱欺詐他人的行為,哪種學術行為屬于合理引用范圍,哪些學術行為屬于抄襲等學術不端行為,這些都沒有具體明確的道德評判標準,因此導致大學生對自身信息行為的善惡無法有效區分,道德評判顯得非常困難。
(三)實施信息道德教育的主體不明確
傳統觀點認為信息道德教育工作屬于思想政治工作范疇,所以高校思想政治工作者和少數德育課教師是大學生信息道德教育的實施主體。但也有不少人提出學工處、團委、教務處、網絡中心、圖書館、各教學單位等部門都應積極參與,各司其職,共同做好大學生的工作信息道德教育工作。在各高校的實踐過程中,由于實施信息道德教育的主體不明確,“共管”往往變成了“不管”,大學生信息道德教育變成“盲區”。
(四)部分教育者的自身信息道德素質不高
現代社會浮躁之風同樣吹進了高校,部分高校老師、科研工作者在科研過程中不能潛下心來搞研究,急于求成,不遵守信息道德規范,出現了論文抄襲、成果剽竊等學術不端行為。學術氣氛濃厚的大學校園中的教育者存在著信息道德的缺失,這不免愈發引發對大學生信息道德教育的擔憂。
(五)信息道德教育教學設施較落后
隨著高校的不斷擴招,各高校采取各種途徑投入大量資金進行校園信息化建設,但總的來說,多媒體教室比例不高,有的承擔信息道德教育的信息檢索課還在一般教室上課,有的教學實踐基地的電腦還比較陳舊,無法做到端對端的指導和監控,使學生們始終缺少信息的切入點和鍛煉機會,教學效果不佳。因此,很多大學生選擇了在條件更為“優越”、氣氛更為“寬松”的宿舍或網吧進行上網,由于缺乏有效的監督管理,各種不良的網絡信息行為也隨之在這種放任狀態下泛濫起來。
(六)信息道德教育的教材明顯缺乏、內容不明確
目前大部分信息檢索課教材中沒有信息道德教育的專門篇章,只有極少數的新近出版的教材提到了信息道德教育的重要性,但都是從理論層面上闡述對大學生進行信息道德教育的必要性和緊迫性,缺乏現實生活中的案例分析。有的學者提出信息道德教育應包括信息道德觀念、信息道德意識、信息法律法規、信息犯罪、信息垃圾等內容,但目前高校尚無統一的信息道德教育內容及教材。
(七)信息道德教育方式單一
涉及信息道德教育的老師大多是以命令、說教的語氣要求學生不接觸有害的信息、不發生破壞網絡秩序的行為,缺乏“曉之以情、動之以理”的教學方法,沒有系統的教學內容和統一安排,也沒有提供與大學生信息道德教育相配的學習輔導資料。所以在信息道德教育的課堂上就出現了教師授課隨意性非常大。
(八)缺乏信息道德教育評價機制
高校實施信息道德教育的根本目的是使大學生形成良好的信息道德習慣,信息行為始終在法律允許范圍內。在實現這個目標的過程中,如何針對大學生建立一套科學合理的信息道德評價機制顯得尤為重要。但我國大學生信息道德教育工作尚處于起步階段,對信息道德的內涵研究還不夠深入,缺乏相應的信息道德教育評價機制。
二、大學生信息道德教育的對策
(一)廣泛開展相關法律制度的宣傳和教育
篇9
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-02
Botnet Discovery and Tracking
Jia Fei
(Taiyuan University of Technology,Taiyuan030024,China)
Abstract:Botnets using a variety of means of communication,a large number of hosts infected with bot program virus,resulting in infection control and many formed between the host control.Botnets serious harm on the Internet.This paper analyzes the characteristics of botnets,summed up the botnet monitoring and tracking technology,has initially solved the zombie network to the Internet pose a serious problem.
Keywords:Botnet;Honey pot;Network IDS;Network Security
一、前言
近年來,僵尸網絡的興起對互聯網網絡安全構成了極大的威脅。據統計,2005年發現的大規模僵尸網絡多達100多個,到2006年上半年,發現的大規模僵尸網絡數量即達近200個,中國內地被控僵尸網絡數量全球排名第一。很多僵尸網絡的控制服務器位于國外,嚴重威脅我國公共互聯網的安全[1]。
僵尸網絡(惡意的Botnet)是攻擊者手中的一個攻擊平臺,它不同于特定的安全事件。通過這樣的攻擊平臺,攻擊者可以實施各種各樣的破壞行為,但是在靜態的情況下具體的危害具有未知性和靈活性。
通過僵尸網絡展開不同的攻擊可以導致重要應用系統或者整個基礎信息網絡癱瘓,也可以導致大量個人隱私或機密泄漏,還可以用來從事網絡欺詐等其他違法犯罪活動。與傳統的實施方式相比這些破壞行為往往危害更大、防范更難。利用僵尸網絡發動的攻擊行為包括:分布式拒絕服務攻擊(DDoS)、蠕蟲釋放、濫用資源、發送垃圾郵件、竊取秘密等。
由于僵尸網絡對因特網構成了日趨嚴重的安全威脅,僵尸網絡已成為安全領域學者們所共同關注的熱點。鑒于僵尸網絡已經對國內因特網造成嚴重危害,為深入理解僵尸網絡工作機理和發展趨勢,同時對僵尸網絡的研究進展有總體的把握,并促進國內在該方向上的研究,僵尸網絡研究進行分析十分有意義.本文旨在通過討論僵尸網絡的定義、基本構成和危害,探尋如何發現及跟蹤僵尸網絡,
二、僵尸網絡
網絡攻擊者秘密地建立計算機群,該計算機群可以集中控制,這樣的網絡被稱為僵尸網絡。僵尸網絡的組成通常包括被植人“僵尸”程序(bot)、計算機群(zombie servers.僵尸計算機)、控制服務器(通常利用互聯網中的公共服務器)和控制者的控制終端(攻擊者通過它對整個僵尸網絡發出指令。
僵尸網絡是在特洛伊木馬、網絡蠕蟲、后門工具等傳統病毒代碼的基礎上發展融合而產生的一種新型攻擊方式.從1999年出現Pretty Park(第一個具有僵尸網絡特性的惡意代碼),到2002年SDbot和Agobot源碼的和廣泛流傳。研發殺毒軟件的廠商們一直沒有統一給出僵尸程序(bot)和僵尸網絡的確切定義,而仍將其歸入后門工具或網絡蠕蟲的范疇.
因為目前絕大多數僵尸網絡是基于IRC協議的,以IRC Bot為例介紹僵尸網絡的工作原理。攻擊者先制作了僵尸程序(Bot)、建立好IRC服務器中的環境之后,需要將僵尸程序植入到盡量多的互聯網主機上,構成一個僵尸網絡。僵尸程序是通過其他手動或自動潛入計算機用戶的方式進行傳播,它本身并沒有自我傳播能力。蠕蟲是能夠自主傳播入侵用戶計算機的最普遍的手段,因此僵尸程序蔓延方式主要是利用蠕蟲。當然,蠕蟲的傳播方式是多種多樣的,例如利用P2P軟件、即時通訊等平臺的漏洞,然后進行執行,方式類似于電子郵件,利用各種技術漏洞自行進入用戶計算機等等。僵尸程序可以通過跟隨蠕蟲進入用戶計算機后從指定地址下載完整的僵尸程序,也可以通過跟隨蠕蟲程序一并進入用戶的計算機。
三、僵尸網絡的發現
現有的發現僵尸網絡的方法主要有三種:(1)利用蜜罐(honeypot)捕獲Bot樣本;(2)利用IDS監測;(3)在IRC服務器上利用僵尸網絡的行為特征。
(一)利用蜜罐(Honeypot)[5]
部署多個蜜罐捕獲傳播中的Bot,記錄該Bot的網絡行為(通過Honeywall)。通過人工分析網絡日志并結合樣本分析結果,可以掌握該Bot的屬性,包括它連接的服務器(dns/ip)、端口、頻道、連接/頻道/控制密碼等信息,獲得該僵尸網絡的基本信息甚至控制權[2]。
實驗表明,一臺未打補丁的Windows主機,接入互聯網后平均25分鐘即可感染惡意程序。所以,利用蜜罐可以捕獲Bot,從而根據Bot運行時連接的服務器發現僵尸網絡。
這種方式被證明是一種有效的手段,國際項目“honeynet project”在2004年11月到2005年3月期間,只使用兩臺蜜罐(1臺通過HoneyWall記錄日志、1臺使用mwcollect捕獲新的樣本),就發現了180個僵尸網絡,每個僵尸網絡的規模從幾百個到幾萬個不等,共涉及到30萬個被控主機。同時還收集到5500個樣本,共800種(有些樣本是相同的)。在2004年11月到2005年1月,共觀察到406次DDoS攻擊,攻擊目標共179個[3]。
(二)利用網絡IDS
對于具有IRC協議解析能力的IDS,可以根據IRC Bot常用命令,如JOIN、PASS、PRIVMSG、NICK、TOPIC、NOTICE等及其命令參數來發現未知僵尸網絡。
如果不具有IRC協議解析功能,也可以根據TCP數據報文的內容發現可疑僵尸網絡,可疑的數據報文包含udp、syn、ddos、http://、scan、exploit、login、logon、advscan、lsass、dcom、beagle、dameware等。
利用僵尸網絡的行為特征:(1)迅速加入的Bot。這一類型的一般利用蠕蟲進行傳播,通常在受害的主機上執行,然后按照預定設好的參數連接IRC服務器、放入設定的頻道接收指令。短期內大量IRC客戶端加入同一服務器的同一頻道是可疑的。(2)保持連接的Bot。正常行為的用戶一般很少長時間停留在同個頻道中,而Bot的行為是在接受到“退出”、“休眠”、“自殺”等命令后才選擇退出。(3)不作為的Bot。Bot與正常行為的用戶另一個顯著的不同是Bot很少行動,經常不作為,連接的維持通過ping/pong命令。DdoSVax項目可以進行行為監測,該項目可以針對發呆型的Bot預警。
四、僵尸網絡的追蹤
防御者應對僵尸網絡安全威脅的前提條件是充分了解僵尸網絡的內部工作機理。僵尸網絡跟蹤(botnettracking)為防御者提供了一套可行的方法,它的基本思想是成為僵尸網絡中的間諜。首先獲取因特網上實際存在的控制信道和僵尸網絡命令的相關信息,然后模擬成受控的僵尸程序加入僵尸網絡中,對僵尸網絡的內部活動進行觀察和跟蹤。
Honeyclient一客戶端蜜罐技術[6]是另一種有效的追蹤僵尸網絡方法。Honeyclient是一種數據捕捉工具,主要用來捕捉發生在honeypot中所有有關入侵的數據,幫助準確重建攻擊者侵入系統后的行為。Honeyclient記錄用戶系統調用訪問的所有數據,然后以標準格式表示,并采用UDP方式隱蔽發送給取證服務器。由于捕捉的數據以自定義標準格式的表示,因此服務器可以收集運行在不同操作系統上的honeypot發送的數據,能夠根據給定的控制信道信息連入僵尸網絡,并隱蔽地對僵尸網絡話動進行跟蹤Honeyclient可以同時跟蹤多個僵尸網絡,并監測BOT的存活情況、規模、控制指令[9]。
五、結論和進一步工作
僵尸網絡正逐漸成為互聯網安全運行的重大課題,本文總結分析出這些僵尸網絡控制器的各種特征,為近一步的僵尸網絡監控提供研究依據。目前,還不存在一個統一有效的方法對僵尸網絡進行識別和檢測。下一步,要不斷的加大僵尸網絡樣本集的收集工作力度,盡可能多的為模式識別算法提供訓練樣本,提高檢測準確度。最后對程序已經識別出來的僵尸網絡,研究僵尸網絡對僵尸主機的控制方法,通知客戶清除好病毒代碼,爭取控制僵尸網絡的權利,可以進一步減少由于僵尸網絡所造成的損失,控制住僵尸網絡。
參考文獻:
[1]國家計算機網絡應急技術處理協調中心.CNCERT/CC網絡安全工作報告,.cn
[2]The Honeynet Project&Research Alliance,"Know your Enemy:Tracking Botnets--Using honeynets to learn more about Bots",/,Mar.2005.
[3]杜躍進,崔翔.僵尸網絡及其啟發[J].中國數據通信,2005,7
[4]諸葛建偉,韓心慧,葉志遠,鄒維.僵尸網絡的發現與跟蹤[C].見:中國網絡與信息安全技術研討會論文集.2005,183−189
[5]張紹杰.基于蜜網技術的DDoS防御方法研究[D].上海交通大學學位論文,2007
[6]韓心慧,郭晉鵬,周勇林,諸葛建偉,曹東志,鄒維.僵尸網絡活動調查分析[J].通信學報,2007,28(12):167−172
篇10
當前,為適應數字化、網絡化信息時代的發展需求,實現以教育信息化帶動教育現代化的跨越式發展,各高校都在大力進行教育信息化建設,高校計算機“五進”—即進教室、宿舍、家庭、實驗室、辦公室,極大地推動了師生計算機應用水平的提高和計算機教學的開展。因特網作為世界上最大的信息載體,以其豐富的信息資源、便捷的交流通道、以及內容的廣泛性、訪問的快捷性等使之成為高校大學生獲取信息的有利工具。
互聯網提供了廣闊豐富的信息搜索,網絡信息的極端豐富和信息流動的極端自由,一方面改變了人們獲取信息的途徑和方式,提供了信息共享的廣闊空間,促進了信息的交流與傳播;另一方面也導致了信息的過度膨脹和泛濫,成了信息污垢滋生繁衍和傳播的“場所”。各種合法信息與非法信息、有益信息與有害信息、有用信息與垃圾信息、真實信息與虛假信息混雜在一起,嚴重防礙了人們對有用信息的吸收利用,導致一些辨別能力差的上網者在價值判斷、價值選擇上出現了迷惘,而利用高科技手段進行犯罪活動者,更是屢見不鮮。這些給社會帶來了許多消極負面的影響,導致了各種決策失誤和經濟損失,嚴重危害人類的生產、生活和健康,甚至危害社會的穩定和發展。
據美國匹茲堡大學的一份研究報告表明,全球每1億網民中就有至少570萬人患有不同程度的“網絡綜合癥”。網絡文化對高校大學生的思想品德的形成、心理和人格的健康發展,以及社會道德規范的沖擊等諸多方面帶來了極大的困擾。目前,許多大學生上網是為了聊天、玩游戲,真正上網查找資料用于專業學習的很少;對網絡最普遍的應用就是發郵件,看時事新聞;有些大學生因“網絡成隱癥”而逃課,無節制地花費大量時間和精力在互聯網上持續聊天、閱讀不文明、不健康的網上信息,以至損害生理和心理的身體健康;還有一些缺乏自律的大學生在作畢業論文時,不作自己的研究思考,不尊重別人的知識產權,直接從中國期刊鏡像網站下載文章,經剪貼和技術處理而成來應付老師;更有一些法制觀念淡薄的大學生在BBS上發表一些不負責任的言論、冒用別人的IP地址、盜用別人的帳號、甚至因好奇而充當了黑客……
高校大學生正處在人生觀、世界觀和價值觀形成和確立的關鍵時期,因此,大學生要跟上教育信息化的步伐,在網絡信息的海洋中自由地航行,就必須具備抵御風浪的能力—即良好的信息道德素質。培養大學生的信息道德素質,高校負有不可推卸的責任,同時也是一個重要的研究課題。信息道德是人們依據信息行為規范從事信息活動的品德,是指人們在應用信息技術時,能施行與信息和信息技術相關的符合倫理道德的行為。它是調節信息生產者、信息加工者、信息傳遞者和信息使用者之間相互關系的行為規范的總和。其內容包括:信息交流與傳遞目標應與社會整體目標協調一致;應承擔相應的社會責任和義務;遵循法律規范,抵制各種各樣的違法、、迷信信息和虛假信息;尊重個人隱私等。
當前,隨著全社會對信息道德問題的日益重視,高校信息道德素質教育已經成為高校素質教育的重要內容之一。高校信息道德素質教育的基本目標是使大學生熟悉信息道德法律和規范,引導大學生在學習和工作中成為具有較高信息道德素養的人。通過教育培養,使大學生充分認識網絡的各種功能,引導大學生上網的積極性,發揮大學生利用網絡信息資源的主觀能動性,培養和訓練大學生的創新思維和個性品質;同時,明確網絡的負面影響,規范大學生的上網行為,提高大學生的信息鑒別能力和自我約束能力,增強對信息污染的免疫力。
高校信息道德素質教育的主要途徑為:
1堅持正面灌翰、正確引導的原則,幫助大學生明辨是非、健康發展
在現實生活中,人的行為是否合法、是否犯罪容易判斷,而在網絡社會里,人們的身份、行為方式等都被隱匿,人們的交往具有虛擬化、超時空和數字化的特征。這使得人們擺脫了現實社會的道德倫理的束縛,有了自我表達意見的機會,從而使現實的道德倫理和行為規范失去了原有的約束力。這容易使人們忘記了社會角色,淡化了社會責任。為此,各高校應建立一種信息道德教育機制,組建一種可操作性的教育力量或整合原有的教育力量,實現統一協調的、有目的、有層次的高校信息道德教育服務。可以積極利用網絡快捷、生動、便利、開放等優勢條件進行正面灌輸,通過構建學生理論學習網站、網上書記校長接待室、網上黨校,或在主頁中開設相應欄目等形式,開展網絡文明、網絡道德的宣傳教育。針對重大熱點、難點問題,進行有計劃、有目的的網上網下引導。做好《公民道德建設實施綱要》的認真貫徹實施,對大學生的信息行為進行規范引導。還可以通過積極健康的校園科技文化活動,引導學生戒除對不良網絡生存方式的沉迷,建立積極有益的正常學習生活交流方式,展示和發展健康的個性。
2大力推廣和普及有關網絡方面的法律法規,規范大學生的網上行為
