導(dǎo)語：如何才能寫好一篇國內(nèi)信息安全認(rèn)證，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

日前，我國專門從事數(shù)字證書認(rèn)證系統(tǒng)開發(fā)的吉大正元信息技術(shù)股份有限公司與公安部舉行了“公安部信息安全認(rèn)證管理系統(tǒng)（試點(diǎn)工程）”合同簽字儀式。吉大正元將承擔(dān)“公安部信息安全認(rèn)證管理系統(tǒng)（試點(diǎn)工程）”的具體實(shí)施工作。

金盾工程(公安綜合信息網(wǎng)絡(luò)建設(shè)工程)是全國公安信息化工程，其實(shí)質(zhì)是利用現(xiàn)代化信息通信技術(shù)，增強(qiáng)公安機(jī)關(guān)快速反應(yīng)、協(xié)同作戰(zhàn)的能力；提高公安機(jī)關(guān)的工作效率和偵察破案水平，適應(yīng)新形式下社會治安的動態(tài)管理。目的是實(shí)現(xiàn)以全國犯罪信息中心（CCIC）為核心，以各項(xiàng)公安業(yè)務(wù)應(yīng)用為基礎(chǔ)的信息共享和綜合利用，為各項(xiàng)公安工作提供強(qiáng)有力的信息支持。預(yù)計到2004年，金盾工程將在全國范圍內(nèi)準(zhǔn)備100％完成聯(lián)結(jié)公安部到各省、自治區(qū)、直轄市的一級網(wǎng)，以及聯(lián)結(jié)省到各地市的二級網(wǎng)的建設(shè)。而“公安部信息安全認(rèn)證管理系統(tǒng)（試點(diǎn)工程）”作為“金盾工程”安全保障體系的關(guān)鍵，主要解決公安信息網(wǎng)潛在的安全問題，進(jìn)而建立有效的公安信息安全管理系統(tǒng)運(yùn)行機(jī)制。

吉大正元信息技術(shù)股份有限公司是中國最大的數(shù)字證書廠商之一，是國家密碼管理委員會辦公室認(rèn)定的商用密碼產(chǎn)品生產(chǎn)、銷售定點(diǎn)單位。公司自主開發(fā)的“吉大正元數(shù)字證書認(rèn)證系統(tǒng)”處于國際先進(jìn)、國內(nèi)領(lǐng)先地位，通過了國家密碼管理委員會辦公室、中國國家信息安全測評認(rèn)證中心和公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的審查和檢測，并取得了銷售許可證，在2001年度被國家經(jīng)貿(mào)委評為國家級重點(diǎn)新產(chǎn)品。該系統(tǒng)是1999年10月國務(wù)院頒布《商用密碼管理?xiàng)l例》以來，我國第一個通過國家級鑒定的擁有自主知識產(chǎn)權(quán)的數(shù)字證書認(rèn)證系統(tǒng)。

據(jù)了解，吉大正元已經(jīng)先后承擔(dān)建設(shè)了6個國家級CA中心、6個省市級CA中心和20多個企業(yè)級CA中心。其中，承建的福建省電子商務(wù)證書安全認(rèn)證中心、電子商務(wù)密鑰管理中心是我國第一個通過國家級鑒定的區(qū)域性電子商務(wù)證書安全認(rèn)證中心和電子商務(wù)密鑰管理中心。吉大正元數(shù)字證書認(rèn)證系統(tǒng)已經(jīng)在銀行、證券、稅務(wù)、工商、郵政等行業(yè)得到廣泛應(yīng)用，市場占有率居于全國首位。

篇2

十幾年來，勤勞智慧的藍(lán)盾人憑借高度民族使命感和責(zé)任感，自主研發(fā)出十個系列、近50個型號的產(chǎn)品，多項(xiàng)產(chǎn)品通過公安、保密、軍隊等權(quán)威主管部門的檢測認(rèn)證。

藍(lán)盾擁有AAA級企業(yè)信用等級，在經(jīng)營活動中始終堅持“誠信服務(wù)”，追求細(xì)致卓越，高效服務(wù)客戶，以客戶需求為導(dǎo)向，在發(fā)展過程中逐步形成了涵蓋安全產(chǎn)品研發(fā)及銷售、安全集成及安全服務(wù)的完整業(yè)務(wù)體系，形成了強(qiáng)大的綜合服務(wù)能力。藍(lán)盾已成為一家安全產(chǎn)品、安全服務(wù)、安全集成多業(yè)務(wù)齊頭并進(jìn)的綜合性信息安全企業(yè)。

藍(lán)盾建立了以廣州營銷總部為中心，以北京、上海、重慶為支點(diǎn)，輻射全國的營銷和技術(shù)服務(wù)體系。作為華南地區(qū)信息安全第一品牌，藍(lán)盾目前已擁有覆蓋全國，涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業(yè)的近千余家客戶。藍(lán)盾雄厚的實(shí)力和一流的服務(wù)為公司贏得了廣大客戶的高度贊譽(yù)。

1.安全產(chǎn)品

藍(lán)盾擁有包括安全網(wǎng)關(guān)、安全審計、應(yīng)用安全在內(nèi)的三大類、十大系列、50多個品種的安全產(chǎn)品線，可基本滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求。

2.安全集成

作為主營業(yè)務(wù)之一，藍(lán)盾安全集成業(yè)務(wù)包括自有的和第三方的信息系統(tǒng)安全產(chǎn)品銷售、基礎(chǔ)信息系統(tǒng)建設(shè)、應(yīng)用信息系統(tǒng)開發(fā)、信息系統(tǒng)運(yùn)維服務(wù)、信息系統(tǒng)安全運(yùn)營等。藍(lán)盾已為政府、教育、金融、電力、醫(yī)療等行業(yè)的多家客戶提供了信息安全系統(tǒng)整體解決方案。

有別于傳統(tǒng)的系統(tǒng)集成業(yè)務(wù)，藍(lán)盾安全集成業(yè)務(wù)以公司自有信息安全產(chǎn)品和業(yè)務(wù)整合為基礎(chǔ)，以信息系統(tǒng)安全運(yùn)營服務(wù)平臺為基礎(chǔ)結(jié)構(gòu)，建立了覆蓋產(chǎn)品研發(fā)、方案設(shè)計、銷售和集成、工程實(shí)施、管網(wǎng)建設(shè)和運(yùn)營服務(wù)的一整套信息系統(tǒng)安全運(yùn)營業(yè)務(wù)支持體系，成功實(shí)現(xiàn)了從傳統(tǒng)信息系統(tǒng)集成業(yè)務(wù)到以信息安全產(chǎn)品為基礎(chǔ)、提供信息系統(tǒng)安全運(yùn)營整體服務(wù)的戰(zhàn)略跨越，從而確立了公司整體解決方案在信息安全市場中的領(lǐng)先地位。

3.安全服務(wù)

藍(lán)盾提供的安全服務(wù)主要包括安全咨詢與評估、專業(yè)化安全檢測與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)、安全運(yùn)營及管理、安全技術(shù)支持等。經(jīng)過多年積累，藍(lán)盾已為上百家客戶提供了專業(yè)化的服務(wù)，構(gòu)建了覆蓋不同行業(yè)客戶及客戶不同發(fā)展階段的信息安全服務(wù)體系。

信息安全產(chǎn)品的研發(fā)、生產(chǎn)和銷售是藍(lán)盾業(yè)務(wù)體系的基礎(chǔ)。它對信息安全集成及信息安全服務(wù)的發(fā)展起著至關(guān)重要的作用。安全產(chǎn)品業(yè)務(wù)能夠有效促進(jìn)公司安全集成與安全服務(wù)業(yè)務(wù)的實(shí)現(xiàn)和業(yè)務(wù)量的提升。安全集成與安全服務(wù)業(yè)務(wù)同時還會促進(jìn)安全產(chǎn)品技術(shù)和應(yīng)用水平的提升。隨著技術(shù)實(shí)力和安全產(chǎn)品競爭力的提高，藍(lán)盾提供整體解決方案的能力也在逐漸增強(qiáng)。在安全集成業(yè)務(wù)收入快速增長的同時，藍(lán)盾自有安全產(chǎn)品的銷售額也在快速增加。

技術(shù)創(chuàng)新 締造優(yōu)勢

藍(lán)盾始終以自主創(chuàng)新為發(fā)展原動力，以領(lǐng)先的技術(shù)研發(fā)搶占市場。經(jīng)過多年的探索和積累，藍(lán)盾已掌握了信息安全領(lǐng)域內(nèi)的主要核心技術(shù)，并擁有該領(lǐng)域內(nèi)近百項(xiàng)軟件著作權(quán)。藍(lán)盾目前掌握的主要技術(shù)處于國內(nèi)領(lǐng)先地位，其中藍(lán)盾DDoS防御網(wǎng)關(guān)采用的零積累智能識別技術(shù)達(dá)到了國際先進(jìn)水平。

憑借領(lǐng)先的技術(shù)實(shí)力，藍(lán)盾先后實(shí)施了包括公安部科技攻關(guān)項(xiàng)目在內(nèi)的多項(xiàng)國家級、部級、省市區(qū)級的重點(diǎn)信息安全科研項(xiàng)目，并在公安部等部委制定服務(wù)器安全類產(chǎn)品和安全審計類產(chǎn)品行業(yè)技術(shù)標(biāo)準(zhǔn)的過程種發(fā)揮了重要作用。

此外，藍(lán)盾還成功地為北京奧運(yùn)會和殘奧會提供了信息安全產(chǎn)品和服務(wù)，并因此獲得了北京奧組委頒發(fā)的榮譽(yù)獎?wù)隆?/p>

專業(yè)資質(zhì) 彰顯實(shí)力

安全行業(yè)是國家強(qiáng)制性保護(hù)的行業(yè)，獲得資質(zhì)或許可的多少是衡量信息安全企業(yè)競爭實(shí)力的重要標(biāo)準(zhǔn)。

藍(lán)盾具有技術(shù)優(yōu)勢及綜合服務(wù)能力，已擁有商用密碼產(chǎn)品銷售許可證、軍隊網(wǎng)絡(luò)采購信息資格認(rèn)證、信息系統(tǒng)產(chǎn)品檢測證書、軍用信息安全產(chǎn)品認(rèn)證證書、產(chǎn)品銷售許可證、中國信息安全認(rèn)證中心產(chǎn)品認(rèn)證證書、廣州市自主創(chuàng)新產(chǎn)品證書，并取得了計算機(jī)信息系統(tǒng)安全服務(wù)一級資質(zhì)證書、計算機(jī)信息系統(tǒng)集成一級資質(zhì)證書、計算機(jī)信息系統(tǒng)集成乙級證書、信息安全應(yīng)急處理服務(wù)資質(zhì)、信息安全風(fēng)險評估服務(wù)資質(zhì)等業(yè)務(wù)資質(zhì)，還獲得了包括信息安全產(chǎn)品、信息安全集成及信息安全服務(wù)在內(nèi)的所有業(yè)務(wù)類別的較高級別資質(zhì)和許可，是業(yè)內(nèi)獲得資質(zhì)和許可最全的企業(yè)之一。

綜合服務(wù) 鑄就品牌

藍(lán)盾的各業(yè)務(wù)模塊能相互促進(jìn)，共同發(fā)展，從而形成了較強(qiáng)的綜合服務(wù)能力。

藍(lán)盾的信息安全產(chǎn)品可滿足客戶在網(wǎng)絡(luò)邊界安全、安全審計與合規(guī)、應(yīng)用安全等方面的信息安全需求，并能為客戶設(shè)計和實(shí)施信息安全方面的整體解決方案，滿足客戶系統(tǒng)化、個性化的安全需求。

此外，藍(lán)盾還可以為客戶提供安全咨詢與評估、安全檢測與防護(hù)、安全認(rèn)證培訓(xùn)服務(wù)等專業(yè)化的安全服務(wù)。藍(lán)盾完整的業(yè)務(wù)體系及豐富的產(chǎn)品種類可滿足不同行業(yè)客戶的信息安全需求，增強(qiáng)公司的綜合競爭力。

藍(lán)盾建立了輻射全國的營銷和技術(shù)服務(wù)體系，這為公司掌握信息安全領(lǐng)域的最新市場動態(tài)、及時響應(yīng)客戶需求提供了重要保證。

客戶穩(wěn)定 促進(jìn)增長

信息安全行業(yè)的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高，下游客戶在信息安全系統(tǒng)建設(shè)和升級的過程中會對安全產(chǎn)品、安全集成及安全服務(wù)產(chǎn)生交叉消費(fèi)和重復(fù)消費(fèi)。

因此，下游用戶對信息安全領(lǐng)域的投入是持續(xù)性的。藍(lán)盾現(xiàn)有的客戶資源既是穩(wěn)定的業(yè)務(wù)來源，也是宣傳品牌、擴(kuò)大影響力的最好載體，這有利于新市場及新客戶的開拓，也為公司的持續(xù)盈利提供了重要保障。

精英匯聚 引領(lǐng)成功

篇3

以下是當(dāng)前影響傳統(tǒng)安全領(lǐng)域的五大因素：

1．技術(shù)融合。企業(yè)安全服務(wù)如視頻監(jiān)控、訪問控制及欺詐檢測與數(shù)據(jù)庫的關(guān)系越來越密切，并且通過網(wǎng)絡(luò)來提供。換句話說，信息安全與物理安全的關(guān)系比以往更加緊密。

2．廠商融合。不久前，信息安全廠商只保護(hù)網(wǎng)絡(luò)，物理安全廠商只保護(hù)場地，兩者毫不交叉。而如今，越來越多的安全公司涉足這兩個領(lǐng)域，以及與風(fēng)險相關(guān)的其他領(lǐng)域：裝甲車公司Brink's開始提供托管網(wǎng)絡(luò)安全服務(wù)；昔日的大型機(jī)供應(yīng)商優(yōu)利系統(tǒng)公司現(xiàn)在提供有關(guān)供應(yīng)鏈安全的咨詢業(yè)務(wù)；軟件業(yè)巨擘冠群正與智能卡廠商合作，共同開發(fā)名為PhysBits的網(wǎng)絡(luò)和大樓訪問標(biāo)準(zhǔn)；歷來是物理安全服務(wù)提供商的Kroll現(xiàn)在擁有了數(shù)字取證部門Ontrack Data Recovery。

Savvis的CSO兼全球安全解決方案副總裁Bill Hancock指出，廠商融合是一種最簡單的融合。不過，Hancock預(yù)計廠商會繼續(xù)把這些不同的產(chǎn)品線合并到更加緊密集成的產(chǎn)品當(dāng)中。

3．協(xié)會融合。安全領(lǐng)域是由行業(yè)協(xié)會推動的領(lǐng)域，但多年來，許多協(xié)會很少承認(rèn)對方的存在。這種情況在2004年和2005年出現(xiàn)了重大變化，尤其是信息系統(tǒng)安全認(rèn)證專業(yè)人員（CISSP）的者（ISC）2（屬于信息安全領(lǐng)域）、認(rèn)證保護(hù)專業(yè)人員（CPP）的認(rèn)證方ASIS International（來自企業(yè)安全領(lǐng)域）和信息系統(tǒng)審計與控制協(xié)會（ISACA）宣布要團(tuán)結(jié)一致。Williams等觀察人士預(yù)計，這些協(xié)會將在近期開展更具體的合作。

篇4

ICICS 2013將為國內(nèi)外信息安全學(xué)者與專家齊聚一堂，提供探討國際信息安全前沿技術(shù)的難得機(jī)會。作為國際公認(rèn)的第一流國際會議，ICICS 2013將進(jìn)一步促進(jìn)國內(nèi)外的學(xué)術(shù)交流，促進(jìn)我國信息安全學(xué)科的發(fā)展。本次學(xué)術(shù)會議將由中國科學(xué)院軟件研究所、北京大學(xué)軟件與微電子學(xué)院和中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室主辦，并得到國家自然基金委員會的大力支持。

會議論文集均由德國Springer出版社作為LNCS系列出版。ICICS2013歡迎來自全世界所有未發(fā)表過和未投遞過的原始論文，內(nèi)容包括訪問控制、計算機(jī)病毒與蠕蟲對抗、認(rèn)證與授權(quán)、應(yīng)用密碼學(xué)、生物安全、數(shù)據(jù)與系統(tǒng)安全、數(shù)據(jù)庫安全、分布式系統(tǒng)安全、電子商務(wù)安全、欺騙控制、網(wǎng)格安全、信息隱藏與水印、知識版權(quán)保護(hù)、入侵檢測、密鑰管理與密鑰恢復(fù)、基于語言的安全性、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、風(fēng)險評估與安全認(rèn)證、云安全、無線安全、安全模型、安全協(xié)議、可信計算、可信賴計算、智能電話安全、計算機(jī)取證等，但又不局限于此內(nèi)容。

作者提交的論文，必須是未經(jīng)發(fā)表或未并行地提交給其他學(xué)術(shù)會議或?qū)W報的原始論文。所有提交的論文都必須是匿名的，沒有作者名字、單位名稱、致謝或其他明顯透露身份的內(nèi)容。論文必須用英文，并以 PDF 或 PS 格式以電子方式提交。排版的字體大小為11pt，并且論文不能超過12頁（A4紙）。所有提交的論文必須在無附錄的情形下是可理解的，因?yàn)椴灰蟪绦蛭瘑T閱讀論文的附錄。如果提交的論文未遵守上述投稿須知，論文作者將自己承擔(dān)論文未通過形式審查而拒絕接受論文的風(fēng)險。審稿將由3位程序委員匿名評審，評審結(jié)果為：以論文形式接受；以短文形式接受；拒絕接受。

ICICS2013會議論文集可在會議其間獲取。凡接受論文的作者中，至少有1位必須參加會議，并在會議上報告論文成果。

投稿截止時間：2013年6月5日 通知接受時間：2013年7月24日 發(fā)表稿提交截止時間：2013年8月14日

會議主席：林東岱 中國科學(xué)院信息工程研究所 研究員

程序委員會主席：卿斯?jié)h 中國科學(xué)院軟件研究所、北京大學(xué)軟件與微電子學(xué)院 教授

Jianying ZHOU博士 Institute for Infocomm Research，新加坡

程序委員會：由國際和國內(nèi)知名學(xué)者組成（參看網(wǎng)站 http：//icsd.i2r.a-star.edu.sg/icics2013/）

篇5

信息安全，附屬于IT行業(yè)，受制于IT行業(yè)的整體發(fā)展趨勢。目前來看還不能稱其為獨(dú)立的“行業(yè)”。由于信息安全產(chǎn)品的特殊性，要研發(fā)和銷售一個產(chǎn)品，需要拿N多部門的證照，條塊分割太厲害，不利于這個行業(yè)的發(fā)展。除了監(jiān)管部門多以外，國家信息安全標(biāo)準(zhǔn)也不太健全。但近些年來國家對信息安全的重視程度有所提高，通過全國信息安全標(biāo)準(zhǔn)化委員會、中國信息安全認(rèn)證中心等機(jī)構(gòu)的成立，在基本制度和長遠(yuǎn)發(fā)展上已經(jīng)有了很好的鋪墊，我堅信這個行業(yè)會發(fā)展起來。

我國信息安全行業(yè)是從90年代后期才開始的，在這10年的發(fā)展道路上，伴隨著信息化的快速發(fā)展，信息安全有了一定的發(fā)展，然而相比較而言，其發(fā)展速度遠(yuǎn)遠(yuǎn)滯后于信息化的建設(shè)。

推動信息安全發(fā)展的主要動力來源于信息安全事件的發(fā)生。安全本身的一個特征就是防患于未然，然而我們的廣大用戶領(lǐng)導(dǎo)層基于幾個原因，沒有對信息安全產(chǎn)生足夠的關(guān)注，都是在以“消防員”的模式運(yùn)行，第一，業(yè)務(wù)是任何企業(yè)的核心，因此，在IT的投入上都放在了基礎(chǔ)設(shè)施和業(yè)務(wù)開發(fā)上，殊不知已經(jīng)將IT安全這個隱患悄悄的放在了其中；第二，從事信息安全的公司，“忽悠”成分太大，這一點(diǎn)我覺也是可以理解的，安全技術(shù)本身就不成熟，它的發(fā)展速度也滯后于計算機(jī)技術(shù)的發(fā)展，另外安全公司太小了，市場供求關(guān)系沒有建立起來，不去忽悠用戶，恐怕難以維持生計。

就此，拉開了“用戶不重視，安全公司亂忽悠”的長期局面。我經(jīng)常做的一個比喻是信息安全就好比是病人去看病，哪里有“萬能藥”（安全技術(shù)產(chǎn)品）包治百?。ㄐ畔踩珕栴}）??！大家的共識就是信息安全真的是太復(fù)雜了，不僅僅是技術(shù)問題，還包括管理等等。這句話估計大家已經(jīng)聽的耳朵都生繭子了，說實(shí)在的這也是句真理，毋庸置疑，不必再講了。需要講的是怎么解決這個問題，我認(rèn)為：安全公司是制藥廠，生產(chǎn)好自己的產(chǎn)品，治療某種或者幾種病，并且藥效比較好，那么你就可以長期生存和發(fā)展壯大；而醫(yī)院的工作應(yīng)該交給專門從事安全咨詢服務(wù)的公司，咨詢服務(wù)公司把重點(diǎn)和精力都放在如何給用戶看病，如何開出處方，如何做手術(shù)。我堅信兩者分離是信息安全發(fā)展的必然結(jié)果。

篇6

鄧高峰：國內(nèi)信息安全產(chǎn)業(yè)經(jīng)歷了十多年的發(fā)展積累了一批中堅力量，大多分布在信息安全產(chǎn)品提供商和服務(wù)提供商以及第三方機(jī)構(gòu)，但從信息安全責(zé)任單位以及為其提供各類信息技術(shù)服務(wù)外包的更廣泛的IT行業(yè)來看，大部分行業(yè)和組織還沒有專門的信息安全崗位設(shè)置和專業(yè)的信息安全人才配置，據(jù)權(quán)威機(jī)構(gòu)估算，我國信息安全人才的需要量在50多萬。目前，信息安全專業(yè)在國內(nèi)仍是高等教育的二級學(xué)科，全國有將近80家高校設(shè)置了信息安全類本科專業(yè)，通過高校培養(yǎng)的信息安全人才不到4萬人，這些青年軍無論在整體數(shù)量還是在實(shí)踐實(shí)戰(zhàn)上，距離國家健全信息安全保障體系、上海市智慧城市所要求的信息安全總體可控，還有很大缺口，亟需通過專業(yè)的職業(yè)培訓(xùn)來補(bǔ)充和提升。

我理解的信息安全是暫時的，不安全是永恒的；信息安全的系統(tǒng)建設(shè)是一個持續(xù)進(jìn)行的過程，其實(shí)就是指信息安全的“新四化”。以上海這樣信息化程度很高的城市為例，無論是政府還是企業(yè)，一方面其業(yè)務(wù)對信息技術(shù)的依賴程度很大，另一方面這些改革開放的前沿也是各方關(guān)注的焦點(diǎn)，信息安全和業(yè)務(wù)連續(xù)的保障需求自然就十分迫切，信息安全不應(yīng)成為信息化發(fā)展瓶頸，而應(yīng)成為趨利避害的重要手段。全面提高各單位各企業(yè)的信息安全意識，有效提升信息安全專業(yè)技能水平，包括重點(diǎn)培育信息安全專業(yè)服務(wù)機(jī)構(gòu)，這些工作都離不開信息安全人才培養(yǎng)和集聚，因此在各行業(yè)大力開展CISP等相關(guān)培訓(xùn)將為建設(shè)上海信息安全人才高地打下堅實(shí)的基礎(chǔ)。

《上海信息化》：三零衛(wèi)士在CISP培訓(xùn)體系建設(shè)上，又有哪些新的創(chuàng)新與思考？

鄧高峰：CISP培訓(xùn)一直致力于培養(yǎng)信息安全的組織者、推動者和管理者。信息安全體系建設(shè)，不只是用信息安全產(chǎn)品搭建一個堡壘，更重要的是組織自身需建立一套完善的信息安全制度，只有硬件（技術(shù)）和軟件（人才）相互結(jié)合，才能保障信息的機(jī)密性、完整性和可用性。對于公司的培訓(xùn)來說，則是將安全知識體系和實(shí)際工作中的應(yīng)用一起納入了信息安全體系建設(shè)。組織面臨的安全問題多種多樣，除了常見的系統(tǒng)漏洞、黑客入侵、掛馬和釣魚網(wǎng)站、木馬下載器等一些技術(shù)性威脅外，一些安全意識薄弱同樣也會產(chǎn)生安全問題，比如：沒有專業(yè)的安全培訓(xùn)嚴(yán)重缺乏安全意識；不知道組織存在哪些安全隱患；出現(xiàn)突發(fā)安全事故無法第一時間了解等等。對于那些沒有經(jīng)過專門的安全培訓(xùn)、沒有配備專業(yè)的技術(shù)人才、沒有設(shè)定合理安全流程的企業(yè)來講，只靠采購安裝軟、硬件安全產(chǎn)品來避免威脅或在遇到威脅時應(yīng)急處理，是非常不現(xiàn)實(shí)的。

對此，CISP全面覆蓋全球信息安全知識，充分貼合中國信息安全國情，具有非常系統(tǒng)化的知識體系，使用組件模塊化的結(jié)構(gòu)，包括知識類、知識體、知識域和知識子域四個層次，更注重全面性、前沿性和實(shí)用性。

《上海信息化》：國際上也有CISSP等信息安全培訓(xùn)，與之相比CISP有什么優(yōu)勢或特點(diǎn)？

鄧高峰：國際上除了（ISC）2的CISSP（信息系統(tǒng)安全專家）培訓(xùn)之外，還有ISACA的CISA（注冊信息安全審計師）、ISO27001的主任審核員等與信息安全相關(guān)的人員培訓(xùn)，但分別側(cè)重技術(shù)、審計和管理體系，參與培訓(xùn)的人員也未必是信息安全從業(yè)人員。國內(nèi)有公安部的信息安全師、工信部網(wǎng)絡(luò)信息安全師、國家信息安全認(rèn)證中心的CISAW（信息安全保障從業(yè)人員）等培訓(xùn)，還有不少社會化IT培訓(xùn)中也有所謂的信息安全模塊，但是無論從專業(yè)人員定位、培訓(xùn)體系構(gòu)成還是從與國家信息安全保障工作的關(guān)聯(lián)度來看，均遜色于CISP。

CISP最初是瞄準(zhǔn)CISSP所設(shè)計的高端專業(yè)培訓(xùn)，十年來結(jié)合國家信息安全保障的需求，不斷得到更新和充實(shí)，現(xiàn)在已形成由CISM（注冊信息安全人員）、CISO（注冊信息安全管理人員）、CISE（注冊信息安全工程師）、CISP-AUDIT（注冊信息安全審計師）、CISP-DRP（注冊信息安全災(zāi)難恢復(fù)工程師）、CISD（注冊信息安全專業(yè)開發(fā)人員）所構(gòu)成的系列培訓(xùn)和人員認(rèn)證。所以說，如果希望在信息安全行業(yè)長期發(fā)展，就目前而言，CISP專業(yè)培訓(xùn)具有不可替代性。

《上海信息化》：今年上海針對信息安全教育培訓(xùn)有什么具體的政策和要求？

鄧高峰：“發(fā)展以安全為重，安全以人才為本”是CISP培訓(xùn)的宗旨，信息化的成效很大程度上取決于信息安全保障水平，而信息安全保障的關(guān)鍵在于人，CISP培訓(xùn)的初衷就是在最大范圍建立大家的信息安全意識，并針對信息安全相關(guān)人員普及信息安全知識，掌握必要的信息安全技能。就目前來看，CISP不僅是申請信息安全服務(wù)資質(zhì)的必備條件，并在越來越多的行業(yè)成為信息安全崗位的“上崗證”，上海市也開始要求IT服務(wù)外包企業(yè)將信息安全專業(yè)人員納入技術(shù)團(tuán)隊標(biāo)準(zhǔn)配置。

篇7

據(jù)瑞星安全專家介紹，此次的全新瑞星殺毒軟件網(wǎng)絡(luò)版2012中，增加了“私有云”技術(shù)、動態(tài)資源分配技術(shù)、企業(yè)自定義白名單系統(tǒng)、第二代身份標(biāo)識和客戶端密碼防護(hù)系統(tǒng)?；谶@些全新的功能，企業(yè)的信息安全管理可以更為穩(wěn)定，并且更加精準(zhǔn)。

瑞星企業(yè)專屬“私有云”為每個企業(yè)單獨(dú)構(gòu)建、提供專屬的云應(yīng)用和云服務(wù)。它主要有兩大功能：其一，為企業(yè)提供安全應(yīng)用軟件平臺，便于企業(yè)獲取經(jīng)過瑞星安全認(rèn)證的各類應(yīng)用軟件，也便于管理員分發(fā)、管理和監(jiān)控。其二，瑞星“私有云”為每個企業(yè)定制專屬的安全服務(wù)，企業(yè)客戶端無需存放病毒庫和進(jìn)行復(fù)雜的殺毒運(yùn)算，大大降低了對系統(tǒng)資源的占用。

而全新的企業(yè)自定義白名單系統(tǒng)意味著瑞星可以有效解決企業(yè)內(nèi)部程序、文件、網(wǎng)站的誤報問題，通過系統(tǒng)，用戶可實(shí)現(xiàn)文件、網(wǎng)站的自動錄入，通過系統(tǒng)的自動識別、入庫，并借助瑞星“私有云”技術(shù)瞬間將方案分發(fā)給所有客戶端。

此外，智能動態(tài)資源分配技術(shù)優(yōu)化了殺毒引擎的核心技術(shù)，使其變得更加輕便，突破了傳統(tǒng)殺毒軟件一次性將病毒庫加載到內(nèi)存中，使用高負(fù)荷CPU進(jìn)行運(yùn)算的方式。它還對病毒庫進(jìn)行細(xì)化，同時優(yōu)化其存儲和加載方式，在殺毒時，實(shí)現(xiàn)化整為零、按需加載，從而達(dá)到降低資源占用的目的，使更多老舊電腦也可以流暢運(yùn)行。

在安全問題日益嚴(yán)峻的大環(huán)境下，服務(wù)必將成為安全企業(yè)最重要的市場標(biāo)桿。瑞星此次提出的5S專業(yè)級企業(yè)信息安全服務(wù)，即信息安全評估服務(wù)、信息安全預(yù)警服務(wù)、信息安全專家服務(wù)、信息安全應(yīng)急響應(yīng)服務(wù)和信息安全培訓(xùn)服務(wù)，充分依托本土化的服務(wù)經(jīng)驗(yàn)，為國內(nèi)安全行業(yè)樹立了發(fā)展的新標(biāo)桿。

據(jù)了解，本次瑞星全新推出的“私有云”技術(shù)，是國內(nèi)信息安全領(lǐng)域的第一個產(chǎn)品化的“私有云”平臺，在國內(nèi)安全企業(yè)中尚屬首次。瑞星方面表示，這是繼2011年連續(xù)推出16款企業(yè)級軟硬件新品之后，公司發(fā)展的又一個新里程碑，

篇8

蔡晶晶

永信至誠創(chuàng)始人

i春秋，e春秋產(chǎn)品經(jīng)理

國內(nèi)白帽黑客元老

中國信息安全領(lǐng)域最早的資深技術(shù)專家之一，“國家級信息安全特聘專家”、“中國漏洞庫專家委員會委員”、北京奧運(yùn)會“反黑客方向帶頭人” 、“互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急專家組委員”、 “北京市公安局計算機(jī)安全技術(shù)專家”；承擔(dān)多項(xiàng)信息產(chǎn)業(yè)部信息安全科研項(xiàng)目、國家863項(xiàng)目、科技部重大項(xiàng)目、核高基等國家級科研項(xiàng)目。

目前企業(yè)對信息安全的重視程度確實(shí)普遍不夠，IT企業(yè)中，乃至傳統(tǒng)企業(yè)的IT部門中，關(guān)心安全考慮安全的往往僅僅是安全部門的人員，業(yè)務(wù)部門、開發(fā)部門的人員往往不具備基本的信息安全意識和基礎(chǔ)，甚至對安全規(guī)定有抗拒性，認(rèn)為會降低自身工作的效率，加上安全部門自身的人員缺口也很大，實(shí)際情況就是，人是企業(yè)內(nèi)部安全最薄弱的環(huán)節(jié)。

目前企業(yè)對信息安全的重視程度確實(shí)普遍不夠。傳統(tǒng)企業(yè)乃至IT企業(yè)的IT部門，往往僅有安全部門的人員關(guān)心和考慮考慮安全問題，業(yè)務(wù)部門、開發(fā)部門的人員往 往不具備基本的信息安全意識和基礎(chǔ)，甚至對安全規(guī)定有抗拒性，認(rèn)為會降低自身工作的效率。再加上安全部門自身的人員缺口也很大，所以實(shí)際情況就是，人成為 企業(yè)內(nèi)部安全最薄弱的環(huán)節(jié)。

XcodeGhost病毒的爆發(fā)和蔓延，可以成為移動開發(fā)領(lǐng)域的一個無法被忽視的里程碑，將安全提升到了新的高度。這件事會讓很多開發(fā)人員以及管理者都意識到信息安全在移動開發(fā)中的重要性，因?yàn)樵絹碓蕉嗟钠髽I(yè)將自身的應(yīng)用放到了APP上，而如果你的APP因?yàn)榘踩珕栴}導(dǎo)致客戶的隱私泄露，甚至是財產(chǎn)損失，那企業(yè)面臨的將不僅僅是聲譽(yù)的損失，會有更嚴(yán)厲的經(jīng)濟(jì)和法律風(fēng)險。這件事會敦促更多的企業(yè)負(fù)責(zé)人和從業(yè)者提高對安全的 重視程度，企業(yè)安全真的需要包括研發(fā)人員和管理者在內(nèi)的全員參與。

網(wǎng)絡(luò)安全的攻防對抗是一個動態(tài)的過程。長期以來，雖然我國的網(wǎng)絡(luò)監(jiān)管相對嚴(yán)格， 但在具體的技術(shù)儲備和研究上與美國這樣的網(wǎng)絡(luò)強(qiáng)國還存在一定的差距。其中最突出的一個問題就是，我們長期提倡“安全保障”，在意識和宣傳上都避諱提到“攻 擊”二字，甚至部分安全從業(yè)人員都對各類攻擊手段和方法缺乏實(shí)質(zhì)的認(rèn)識，往往流于紙上談兵。但是，“未知攻，焉知防”？

篇9

【關(guān)鍵詞】手機(jī)銀行安全 威脅分析 安全評估

1 前言

隨著移動終端的研發(fā)，手機(jī)早已經(jīng)不僅是為通信而存在，智能手機(jī)也已經(jīng)不再是奢侈品，更加成為娛樂和商務(wù)功能的主要應(yīng)用對象，同時也成為人們工作和學(xué)習(xí)的有力助手。2013年1月15日，國內(nèi)手機(jī)市場整體規(guī)模達(dá)2.6億臺，相比2012年同期增長20.6%。隨著快速發(fā)展的無線網(wǎng)絡(luò)技術(shù)，智能手機(jī)的功能越來越強(qiáng)大，更重要的是帶有WiFi和3G或4G功能，使得上網(wǎng)速度，安全性和穩(wěn)定性都獲得了很大的提升。

手機(jī)研發(fā)技術(shù)的發(fā)展給手機(jī)銀行的使用帶來了巨大的契機(jī)，銀行與每個人的生活息息相關(guān)，傳統(tǒng)的銀行柜臺服務(wù)經(jīng)常是長隊如龍，排隊浪費(fèi)人們大量的時間。

通過各種智能終端和手機(jī)連接到手機(jī)銀行的用戶可以直接完成各種銀行交易。伴隨著智能手機(jī)技術(shù)的發(fā)展，通信速率和功能的拓展以及手機(jī)存儲技術(shù)的進(jìn)步，促使手機(jī)應(yīng)用愈加廣泛。同樣，這也造成手機(jī)保留越來越多的重要數(shù)據(jù)信息， 使手機(jī)上的各種數(shù)據(jù)成為攻擊者的新目標(biāo)，手機(jī)的信息安全將從最初的用戶隱私上升到數(shù)字內(nèi)容安全，以及支付安全等各個方面。移動互聯(lián)網(wǎng)與業(yè)務(wù)應(yīng)用的重要組成部分，手機(jī)的安全性，是關(guān)系到移動互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)，如何保障手機(jī)銀行相關(guān)系統(tǒng)的安全，安全評估必須作為系統(tǒng)建設(shè)的基礎(chǔ)，也是系統(tǒng)安全的重要保障。

2 手機(jī)銀行主要使用的技術(shù)探究

手機(jī)銀行現(xiàn)階段主要使用的技術(shù)有以下三種：

2.1 SMS方式

SMS（short message service）即短信服務(wù)方式，該實(shí)現(xiàn)方式主要是由手機(jī)銀行系統(tǒng)，短信中心以及手機(jī)終端組成?？蛻羰褂肧IM卡上的菜單用加密短信方式向銀行系統(tǒng)發(fā)出短信指令，然后通過GSM網(wǎng)絡(luò)發(fā)出短信；GSM短信中心系統(tǒng)收到短信之后，轉(zhuǎn)發(fā)給銀行系統(tǒng)，銀行系統(tǒng)接著對短信內(nèi)容執(zhí)行處理。銀行主機(jī)處理客戶請求后，系統(tǒng)將處理結(jié)果轉(zhuǎn)換成短信格式再把需要的結(jié)果短息信發(fā)給客戶。該方式的優(yōu)點(diǎn)就是客戶很容易接入手機(jī)銀行系統(tǒng)，缺點(diǎn)則是較復(fù)雜的銀行業(yè)務(wù)交互性差，完成一次業(yè)務(wù)也可能需要發(fā)送多條短信。

2.2 STK（Sim Tool Kit） 方式

手機(jī)銀行卡系統(tǒng)的客戶端使用的貼片式SIM擴(kuò)展卡，是標(biāo)準(zhǔn)的CPU智能卡。采用STK技術(shù)實(shí)現(xiàn)相關(guān)功能，通過加密短信和柜面端進(jìn)行交互，因此，只要支持STK功能、能夠收發(fā)短信的手機(jī)都可以使用。而STK功能是GSM/CDMA規(guī)范的標(biāo)準(zhǔn)功能，絕大部分手機(jī)都支持該功能，因此手機(jī)銀行卡具有良好的開放性。

2.3 WAP方式

WAP（Wirelessa Application Protoeol）即通過WAP的方式使用手機(jī)瀏覽器訪問銀行網(wǎng)站辦理銀行業(yè)務(wù)。WAP方式是一種無線應(yīng)用協(xié)議，是全球性的開放協(xié)議。手機(jī)銀行客戶端無需安裝任何軟件，絕大部分手機(jī)都內(nèi)置WAP瀏覽器。使用WAP瀏覽器來處理銀行業(yè)務(wù)的在線服務(wù)很早就已成為國內(nèi)外手機(jī)銀行的主流技術(shù)。

2.4 客戶端方式

客戶端方式就是指在手機(jī)上面通過下載安裝客戶端軟件，利用Client方式實(shí)現(xiàn)訪問手機(jī)銀行功能的軟件技術(shù)，目前流行的主要有KJAVA、BREW（Binary Runtim Environment for Wireless）、iPhone等不同平臺的版本?？蛻舳塑浖κ謾C(jī)終端要求較高，需要對指定的手機(jī)開發(fā)客戶端軟件，優(yōu)點(diǎn)是客戶端軟件針對性更強(qiáng)，更多的功能都集成在客戶端軟件中，訪問速度加快，缺點(diǎn)就是各種版本的手機(jī)操作系統(tǒng)的能力和特點(diǎn)存在著很大的差異，增加了開發(fā)的難度，維護(hù)成本也比較高。

3 手機(jī)銀行安全機(jī)制分析

幾乎所有商業(yè)銀行都推出手機(jī)銀行業(yè)務(wù)，手機(jī)銀行的安全產(chǎn)品可分為兩類：

3.1 獨(dú)立于手機(jī)終端的安全產(chǎn)品主要有以下幾種

靜態(tài)密碼：客戶預(yù)先留存的密碼，每次使用銀行服務(wù)帳戶時使用此密碼登錄，密碼發(fā)送到銀行，服務(wù)器提取銀行系統(tǒng)的密碼進(jìn)行比較保留，使客戶身份驗(yàn)證得以實(shí)現(xiàn)。靜態(tài)密碼安全性較低，存在著比較嚴(yán)重的安全隱患，易受到暴力破解、釣魚網(wǎng)站詐騙、鍵盤記錄、在線篡改等攻擊，其優(yōu)點(diǎn)體現(xiàn)在易用性方面，用戶在初次使用以及交易時的易用性較好。

電子銀行口令卡：以矩陣形式印有若干字符串的卡片，每個字符串對應(yīng)一個唯一的坐標(biāo)。在驗(yàn)證身份時，用戶將系統(tǒng)指定坐標(biāo)所對應(yīng)的字符串作為密碼輸入，系統(tǒng)校驗(yàn)密碼字符的正確性。在使用上，用戶不需要安裝程序，初次使用時的易用性較好，但在交易時易用性較差，且使用過程比較繁瑣。

動態(tài)口令牌：是一個有顯示屏的專用硬件，類似電子表，內(nèi)部有電源，有顯示芯片，一般以一分鐘為一個顯示周期，用此設(shè)備產(chǎn)生的動態(tài)口令輸入到手機(jī)終端設(shè)備讓銀行系統(tǒng)進(jìn)行核對，至此就實(shí)現(xiàn)了客戶的身份認(rèn)證。安全性較好，不容易被復(fù)制，不需要在手機(jī)或電腦安裝程序。缺點(diǎn)就是完成一次交易較復(fù)雜。

證書密碼器：也是一種內(nèi)置電源和芯片，能夠隨機(jī)產(chǎn)生密碼，有外顯示屏以及數(shù)字鍵盤?？蛻艨梢砸揽繑?shù)字鍵盤把擬交易的金額還有賬號名稱等信息手工輸入到證書密碼器中去。密碼器經(jīng)過一定的安全算法對交易要素進(jìn)行簽字，產(chǎn)生安全密碼。其優(yōu)點(diǎn)在于安全性高于動態(tài)口令牌，能夠有效地預(yù)防病毒篡改交易信息，而且還能夠依靠簽名防止交易抵賴。不足之處是使用較為復(fù)雜，需要輸入一些用戶的交易信息。

3.2 基于手機(jī)終端的安全產(chǎn)品

手機(jī)銀行尤盾：其技術(shù)原理與在普通電腦使用的網(wǎng)上銀行尤盾類似，手機(jī)銀行盾是以存儲卡的方式，使用它之前需要銀行系統(tǒng)事先為客戶簽發(fā)證書。證書一般會存在于移動終端的內(nèi)存卡中，用戶通過專門的瀏覽器來登陸手機(jī)銀行網(wǎng)站。當(dāng)客戶在手機(jī)銀行辦理業(yè)務(wù)需要安全認(rèn)證的時候，專用的瀏覽器會自動調(diào)用存儲于內(nèi)存卡安全認(rèn)證，當(dāng)客戶輸入密碼后完成簽名認(rèn)證。還有一種方式是在SIM卡上貼膜。這兩種手機(jī)銀行尤盾的優(yōu)點(diǎn)就是便于攜帶，不需要額外的設(shè)備支持。缺點(diǎn)是容易受到病毒攻擊。

手機(jī)證書密碼器：原理與證書密碼器類型，它只需要把安全認(rèn)證模塊預(yù)先裝入到手機(jī)內(nèi)存卡或者SIM卡膜片上，不再需要額外的設(shè)備。用移動終端的數(shù)字鍵輸入密碼和一些交易信息。缺點(diǎn)是初次使用需要購買專用的裝在有安全認(rèn)證模塊的內(nèi)存卡或者SIM卡膜片。

4 移動終端面臨的安全威脅

4.1 威脅分析

客戶使用網(wǎng)上銀行最關(guān)注的一件事情就是安全問題，在普通電腦網(wǎng)絡(luò)環(huán)境中面臨的安全威脅種類繁多，在移動網(wǎng)絡(luò)環(huán)境下要想實(shí)現(xiàn)一個安全性高的需求是極其復(fù)雜的。隨著移動終端設(shè)備的發(fā)展，相應(yīng)的移動網(wǎng)絡(luò)技術(shù)也在迅速發(fā)展，在互聯(lián)網(wǎng)中出現(xiàn)的各種安全問題逐步開始向移動網(wǎng)絡(luò)延伸。在移動終端中也出現(xiàn)了各種病毒和攻擊。因而，手機(jī)銀行安全問題越來越受到關(guān)注。手機(jī)銀行與互聯(lián)網(wǎng)網(wǎng)上銀行類似，遇到的安全威脅主要包括以下幾種：手機(jī)釣魚網(wǎng)站、在線篡改個人信息、暴力破解用戶密碼、鍵盤輸入信息記錄、遠(yuǎn)程控制等。

（1）移動網(wǎng)絡(luò)對手機(jī)銀行安全的主要影響有如下情況：最主要的就是移動網(wǎng)絡(luò)本身的安全機(jī)制存在著較大的漏洞，運(yùn)行在移動網(wǎng)絡(luò)上面的各種實(shí)體會面臨到一些威脅。比如手機(jī)比較容易遺失，一般在移動終端設(shè)置的密碼都不是特別復(fù)雜，這就給不法分子有機(jī)可乘，容易讓不法分子利用密碼破解軟件對密碼進(jìn)行破解。

（2）手機(jī)本身也有許多安全威脅存在，移動終端的主頻越來越高，內(nèi)外存越來越大，但是各個廠商對其設(shè)計時的安全性考慮很有限。對手機(jī)銀行的安全性產(chǎn)生影響的主要有如下幾個方面：病毒攻擊威脅，主要是通過手機(jī)本身的漏洞程序或者是手機(jī)操作系統(tǒng)的漏洞進(jìn)行下載和傳播，使手機(jī)上面的信息和各種資源受到嚴(yán)重的威脅；木馬威脅，主要是進(jìn)行自身的復(fù)制，竊取終端上的賬號密碼等個人隱私信息；漏洞威脅，手機(jī)操作系統(tǒng)的系統(tǒng)漏洞比PC機(jī)操作系統(tǒng)漏洞還多，操作系統(tǒng)上的各個應(yīng)用程序在設(shè)計和實(shí)施的過程中都存在潛在漏洞；竊聽威脅，在移動通信的信道中，個人重要信息很容易被各種監(jiān)聽設(shè)備捕捉到。最嚴(yán)重的威脅是由于客戶個人疏忽造成手機(jī)的丟失或者個人信息的泄露，所以我們需要從以上幾個方面引起重視，防范手機(jī)銀行中的各種威脅。

4.2 手機(jī)銀行安全性評估的需求

經(jīng)過上述分析，我們得出：針對手機(jī)銀行安全的評估主要可以從以下幾個方面探究。智能手機(jī)終端是手機(jī)銀行發(fā)展的主要趨勢，我們需要重視手機(jī)銀行的安全問題。

4.2.1 提高用戶使用手機(jī)銀行的安全意識

手機(jī)銀行用戶需要妥善保管好自己的個人信息，防止自己的手機(jī)丟失，積極參加銀行的安全風(fēng)險意識宣傳等活動，在用手機(jī)銀行交易的時候時刻提高自己的安全警惕性。

4.2.2 手機(jī)終端的認(rèn)證技術(shù)有待提高

手機(jī)接入移動網(wǎng)絡(luò)的身份認(rèn)證、手機(jī)終端與手機(jī)銀行業(yè)務(wù)服務(wù)器的身份認(rèn)證以及交易平臺的認(rèn)證，我們需要從這些方面來提高手機(jī)認(rèn)證方式，實(shí)現(xiàn)手機(jī)銀行的安全性。

4.2.3 利用指紋識別技術(shù)提高手機(jī)銀行安全

指紋是世界上獨(dú)一無二的，每個人的指紋都不同，當(dāng)用戶需要支付的時候，只有本人使用指紋才能完成一次支付，而且安全防偽技術(shù)高，即使被復(fù)制也不能使用。

5 結(jié)束語

隨著電子商務(wù)和電子銀行技術(shù)的發(fā)展，人們已經(jīng)逐漸適應(yīng)了利用手機(jī)銀行辦理業(yè)務(wù)，也漸漸體會到了手機(jī)銀行帶來的便利，同時人們對手機(jī)銀行的安全性要求也越來越高。本論文主要闡述了手機(jī)銀行和移動網(wǎng)絡(luò)發(fā)展的趨勢，接著對目前主要的手機(jī)銀行的幾種安全機(jī)制進(jìn)行了分析對比和總結(jié)，然后討論了手機(jī)銀行主要的面臨的威脅，最后總結(jié)了一些提高手機(jī)銀行安全的方法和經(jīng)驗(yàn)。希望通過本論文的研究，能夠帶動移動網(wǎng)絡(luò)安全的相關(guān)研究，并且能夠帶動電子商務(wù)和手機(jī)銀行的發(fā)展。

參考文獻(xiàn)

[1]趙昱光，張雪梅.信息技術(shù)與金融發(fā)展[J].技術(shù)經(jīng)濟(jì)與管理研究，2009（05）.

[2]戴宏，移動支付系統(tǒng)安全風(fēng)險評估[D].北京：北京交通大學(xué)，2010.

[3]張應(yīng)豐.手機(jī)銀行技術(shù)應(yīng)用與發(fā)展趨勢田[J].中國金融電腦，2010（05）.

[4]周春曉，呂東芳.手機(jī)銀行業(yè)務(wù)安全分析及解決方案田.電信技術(shù)，2010（02）.

[5]張婷，張輝極.智能手機(jī)安全問題及防護(hù)技術(shù)分析[J].信息網(wǎng)絡(luò)安全，2011（12）.

[6]郇鳳悅.基于安全視角的網(wǎng)絡(luò)銀行的技術(shù)風(fēng)險研究[J].廣東財經(jīng)職業(yè)學(xué)院學(xué)報，2009（02）.

作者簡介

徐立杰（1980-），男（漢），河北沙河人，華北電力大學(xué)，碩士研究生，主要研究方向?yàn)橛嬎銠C(jī)應(yīng)用技術(shù)、網(wǎng)絡(luò)信息安全。

篇10

1 移動互聯(lián)網(wǎng)的安全現(xiàn)狀

自由開放的移動網(wǎng)絡(luò)帶來巨大信息量的同時，也給運(yùn)營商帶來了業(yè)務(wù)運(yùn)營成本的增加，給信息的監(jiān)管帶來了沉重的壓力。同時使用戶面臨著經(jīng)濟(jì)損失、隱私泄露的威脅和通信方面的障礙。移動互聯(lián)網(wǎng)由于智能終端的多樣性，用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時代很不相同，使得移動網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別，移動互聯(lián)網(wǎng)的安全威脅要遠(yuǎn)甚于傳統(tǒng)的互聯(lián)網(wǎng)。

⑴移動互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣，部分業(yè)務(wù)還可以由第三方的終端用戶直接運(yùn)營，特別是移動互聯(lián)網(wǎng)引入了眾多手機(jī)銀行、移動辦公、移動定位和視頻監(jiān)控等業(yè)務(wù)，雖然豐富了手機(jī)應(yīng)用，同時也帶來更多安全隱患。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題。

⑵移動互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò)，其核心是IP化，由于IP網(wǎng)絡(luò)本身存在安全漏洞，IP自身帶來的安全威脅也滲透到了移動專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面，存在進(jìn)行非法接入網(wǎng)絡(luò)，對數(shù)據(jù)進(jìn)行機(jī)密性破壞、完整性破壞；進(jìn)行拒絕服務(wù)攻擊，利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負(fù)荷過重等等，還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進(jìn)行攻擊。

⑶隨著通信技術(shù)的進(jìn)步，終端也越來越智能化，內(nèi)存和芯片處理能力也逐漸增強(qiáng)，終端上也出現(xiàn)了操作系統(tǒng)并逐步開放。隨著智能終端的出現(xiàn)，也給我們帶來了潛在的威脅：非法篡改信息，非法訪問，或者通過操作系統(tǒng)修改終端中存在的信息，產(chǎn)生病毒和惡意代碼進(jìn)行破壞。

綜上所述，移動互聯(lián)網(wǎng)面臨來自三部分安全威脅：業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動終端的安全威脅。

2 移動互聯(lián)網(wǎng)安全應(yīng)對策略

2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》第11號政府令，對網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求。客戶需求和政策導(dǎo)向成為了移動互聯(lián)網(wǎng)安全問題的新挑戰(zhàn)，運(yùn)營商需要緊緊圍繞“業(yè)務(wù)”中心，全方位多層次地部署安全策略，并有針對性地進(jìn)行安全加固，才能打造出綠色、安全、和諧的移動互聯(lián)網(wǎng)世界。

2.1 業(yè)務(wù)安全

移動互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類：第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動互聯(lián)網(wǎng)上的復(fù)制；第二類是移動通信業(yè)務(wù)在移動互聯(lián)網(wǎng)上的移植，第三類是移動通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合，適配移動互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全：

⑴提升認(rèn)證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實(shí)現(xiàn)對業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配，能夠?qū)崿F(xiàn)用戶賬號的分級管理和分級授權(quán)。針對業(yè)務(wù)安全要求較高的應(yīng)用，應(yīng)提供業(yè)務(wù)層的安全認(rèn)證方式，如雙因素身份認(rèn)證，通過動態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級，防止機(jī)密數(shù)據(jù)、核心資源被非法訪問。

⑵健全安全審計能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計模塊，對相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫操作等處理行為進(jìn)行分析和記錄，實(shí)施安全設(shè)計策略，并提供事后行為回放和多種審計統(tǒng)計報表。

⑶加強(qiáng)漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng)，定期對主機(jī)、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進(jìn)行漏洞掃描和安全評估，確保攔截來自各方的攻擊，保證業(yè)務(wù)系統(tǒng)可靠運(yùn)行。

⑷增強(qiáng)對于新業(yè)務(wù)的檢查和控制，尤其是針對于“移動商店”這種運(yùn)營模式，應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步，通過SDK和業(yè)務(wù)上線要求等將安全因素植入。

2.2 網(wǎng)絡(luò)安全

移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分：接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動通信網(wǎng)，由終端設(shè)備、基站、移動通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成；后者主要涉及路由器、交換機(jī)和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。

⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動互聯(lián)網(wǎng)的接入方式可分為移動通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對移動通信接入網(wǎng)安全，3G以及未來LTE技術(shù)的安全保護(hù)機(jī)制有比較全面的考慮，3G網(wǎng)絡(luò)的無線空口接入采用雙向認(rèn)證鑒權(quán)，無線空口采用加強(qiáng)型加密機(jī)制，增加抵抗惡意攻擊的安全特性等機(jī)制，大大增強(qiáng)了移動互聯(lián)網(wǎng)的接入安全能力。針對Wi-Fi接入安全，Wi-Fi的標(biāo)準(zhǔn)化組織IEEE使用安全機(jī)制更完善的802.11i標(biāo)準(zhǔn)，用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net代了原來的RC4，提高了加密魯棒性，彌補(bǔ)了原有用戶認(rèn)證協(xié)議的安全缺陷。針對需重點(diǎn)防護(hù)的用戶，可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)網(wǎng)的安全接入。

⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1）實(shí)施分域安全管理，根據(jù)風(fēng)險級別和業(yè)務(wù)差異劃分安全域，在不同的安全邊界，通過實(shí)施和部署不同的安全策略和安防系統(tǒng)來完成相應(yīng)的安全加固。移動互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2）在關(guān)鍵安全域內(nèi)部署人侵檢測和防御系統(tǒng)，監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作，判別非法進(jìn)入網(wǎng)絡(luò)和破壞系統(tǒng)運(yùn)行的惡意行為，提供主動化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問等惡意操作時，系統(tǒng)會及時作出響應(yīng)，包括斷開網(wǎng)絡(luò)連接、記錄用戶標(biāo)識和報警等。3）通過協(xié)議識別，做好流量監(jiān)測。依據(jù)控制策略控制流量，進(jìn)行深度檢測識別配合連接模式識別，把客戶流量信息捆綁在安全防護(hù)系統(tǒng)上，進(jìn)行數(shù)據(jù)篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量，可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4）加強(qiáng)網(wǎng)絡(luò)和設(shè)備管理，在各網(wǎng)絡(luò)節(jié)點(diǎn)安裝防火墻和殺毒系統(tǒng)實(shí)現(xiàn)更嚴(yán)格的訪問控制，以防止非法侵人，針對關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護(hù)等加固措施。

2.3 終端安全

移動互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護(hù)手段、移動終端的保密管理、終端的準(zhǔn)入控制等。

⑴加強(qiáng)移動智能終端進(jìn)網(wǎng)管理。移動通信終端生產(chǎn)企業(yè)在申請入網(wǎng)許可時，要對預(yù)裝應(yīng)用軟件及提供者 進(jìn)行說明，而且生產(chǎn)企業(yè)不得在移動終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個人信息的軟件，也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動終端通信功能、造成流量耗費(fèi)、費(fèi)用損失和信息泄露的軟件。

⑵不斷提高移動互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測處置能力，建設(shè)完善相關(guān)技術(shù)平臺。移動通信運(yùn)營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測處置能力。

⑶安裝安全客戶端軟件，屏蔽垃圾短信和騷擾電話，監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能，將重要數(shù)據(jù)備份到遠(yuǎn)程專用服務(wù)器，當(dāng)用戶的手機(jī)丟失時可通過發(fā)送短信或其他手段遠(yuǎn)程鎖定手機(jī)或者遠(yuǎn)程刪除通信錄、手機(jī)內(nèi)存卡文件等資料，從而最大限度避免手機(jī)用戶的隱私泄露。

⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法，由指定研究機(jī)構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞信息，定期官方的智能終端漏洞信息，建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識，鼓勵安裝移動智能終端安全軟件，在終端廠商的指導(dǎo)下及時升級操作系統(tǒng)、進(jìn)行安全配置。

3 從產(chǎn)業(yè)鏈角度保障移動互聯(lián)網(wǎng)安全

對于移動互聯(lián)網(wǎng)的安全保障，需要從整體產(chǎn)業(yè)鏈的角度來看待，需要立法機(jī)關(guān)、政府相關(guān)監(jiān)管部門、通信運(yùn)營商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價值鏈各方共同努力來實(shí)現(xiàn)。

⑴立法機(jī)關(guān)要緊跟移動互聯(lián)網(wǎng)的發(fā)展趨勢，加快立法調(diào)研工作，在基于實(shí)踐和借鑒他國優(yōu)秀經(jīng)驗(yàn)的基礎(chǔ)上，盡快出臺國家層面的移動互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù)，明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時，要加大執(zhí)法力度，嚴(yán)專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net厲打擊移動互聯(lián)網(wǎng)信息安全違法犯罪行為，保護(hù)這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。

⑵進(jìn)一步加大移動互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國家層面建立一個強(qiáng)有力的移動互聯(lián)網(wǎng)監(jiān)管專門機(jī)構(gòu)，統(tǒng)籌規(guī)劃，綜合治理，形成“事前綜合防范、事中有效監(jiān)測、事后及時溯源”的綜合監(jiān)管和應(yīng)急處置工作體系；要在國家層面建立移動互聯(lián)網(wǎng)安全認(rèn)證和準(zhǔn)入制度，形成常態(tài)化的信息安全評估機(jī)制，進(jìn)行統(tǒng)一規(guī)范的信息安全評估、審核和認(rèn)證；要建立網(wǎng)絡(luò)運(yùn)營商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度，以經(jīng)濟(jì)手段促進(jìn)其改善和彌補(bǔ)網(wǎng)絡(luò)運(yùn)營模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。

⑶運(yùn)營商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商等廠商，要從移動互聯(lián)網(wǎng)整體建設(shè)的各個層面出發(fā)，分析存在的各種安全風(fēng)險，聯(lián)合建立一個科學(xué)的、全局的、可擴(kuò)展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護(hù)措施，保護(hù)各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全，并對安全產(chǎn)品進(jìn)行統(tǒng)一的管理，包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng)，做到防患于未然。移動互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強(qiáng)設(shè)備安全性能研究，利用集成防火墻或其他技術(shù)保障設(shè)備安全。

⑷內(nèi)容提供商要與運(yùn)營商合作，為用戶提供加密級業(yè)務(wù)，并把好內(nèi)容安全之源，采用多種技術(shù)對不合法內(nèi)容和垃圾信息進(jìn)行過濾。軟件提供商要根據(jù)用戶的需求變化，提供整合的安全技術(shù)產(chǎn)品，要提高軟件技術(shù)研發(fā)水平，由單一功能的產(chǎn)品防護(hù)向集中統(tǒng)一管理的產(chǎn)品類型過渡，不斷提高安全防御技術(shù)。

⑸普通用戶要提高安全防范意識和技能，加裝手機(jī)防護(hù)軟件并定期更新，對敏感數(shù)據(jù)采取防護(hù)隔離措施和相關(guān)備份策略，不訪問問題站點(diǎn)、不下載不健康內(nèi)容。

4 結(jié)束語

解決移動互聯(lián)網(wǎng)安全問題是一個復(fù)雜的系統(tǒng)工程，在不斷提高軟、硬件技術(shù)水平的同時，應(yīng)當(dāng)加快互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、法規(guī)建設(shè)步伐，加大對互聯(lián)網(wǎng)運(yùn)營監(jiān)管力度，全社會共同參與進(jìn)行綜合防范，移動互聯(lián)網(wǎng)的安全才會有所保障。

[參考文獻(xiàn)]