⑴ 數據安全有哪些案例
「大數據時代,在充分挖掘和發揮大數據價值同時,解決好數據安全與個人信息保護等問題刻不容緩。」中國互聯網協會副秘書長石現升在貴陽參會時指出。
員工監守自盜數億條用戶信息
今年初,公安部破獲了一起特大竊取販賣公民個人信息案。
被竊取的用戶信息主要涉及交通、物流、醫療、社交和銀行等領域數億條,隨後這些用戶個人信息被通過各種方式在網路黑市進行販賣。警方發現,幕後主要犯罪嫌疑人是發生信息泄漏的這家公司員工。
業內數據安全專家評價稱,這起案件泄露數億條公民個人信息,其中主要問題,就在於內部數據安全管理缺陷。
國外情況也不容樂觀。2016年9月22日,全球互聯網巨頭雅虎證實,在2014年至少有5億用戶的賬戶信息被人竊取。竊取的內容涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登陸密碼。
企業數據信息泄露後,很容易被不法分子用於網路黑灰產運作牟利,內中危害輕則竊財重則取命,去年8月,山東高考生徐玉玉被電信詐騙9900元學費致死案等數據安全事件,就可見一斑。
去年7月,微軟Window10也因未遵守歐盟「安全港」法規,過度搜集用戶數據而遭到法國數據保護監管機構CNIL的發函警告。
上海社會科學院互聯網研究中心發布的《報告》指出,隨著數據資源商業價值凸顯,針對數據的攻擊、竊取、濫用和劫持等活動持續泛濫,並呈現出產業化、高科技化和跨國化等特性,對國家和數據生態治理水平,以及組織的數據安全能力都提出了全新挑戰。
當前,重要商業網站海量用戶數據是企業核心資產,也是民間黑客甚至國家級攻擊的重要對象,重點企業數據安全管理更是面臨嚴峻壓力。
企業、組織機構等如何提升自身數據安全能力?
企業機構亟待提升數據安全管理能力
「大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節,包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱,大數據安全事件風險成因復雜交織,既有外部攻擊,也有內部泄密,既有技術漏洞,也有管理缺陷,既有新技術新模式觸發的新風險,也有傳統安全問題的持續觸發。
5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網路數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要「健全大數據安全保障體系」、「強化安全支撐,提升基礎設施關鍵設備安全可靠水平」。
「目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麼標准作為衡量。」一位業內人士分析稱,問題的症結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標准。
「大數據安全能力成熟度模型」已提國標申請
數博會期間,記者從「大數據安全產業實踐高峰論壇」上了解到,為解決此問題,全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同,著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》,該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
阿里巴巴集團安全部總監鄭斌介紹DSMM。
作為此標准項目的牽頭起草方,阿里巴巴集團安全部總監鄭斌介紹說,該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿里經驗,提升行業整體安全能力。
「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。
⑵ 電子商務安全是指什麼
簡單說就是計算機網路安全和商務交易安全。
網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論,都是網路安全所要研究的領域,包括物理安全、網路安全、傳輸安全、應用安全、用戶安全。
電子商務安全要素體現在:
信息的機密性:密碼技術
信息的完整性:散列函數
數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異;
數據傳輸過程中的信息丟失、重復、差異;
黑客對信息的篡改和假冒
完整性一般可通過提取消息文摘獲得,包括兩方面:
數據傳輸的完整性
完整性檢查、上下文檢查:內容的差異和語法規則
信息的有效性:電子文檔的法律確認
認證性:身份確認
信息的不可抵賴性:數字簽名
不可修改性:完整性
部分告知:交易與支付的部分分離
另行確認
系統的可靠性
計算機失效、程序錯誤、傳輸錯誤、硬體故障、系統軟體錯誤、計算機病毒、自然災害等
電子商務安全技術主要有:
密碼技術
加密技術是保證電子商務安全的重要手段,是信息安全的核心。
密鑰管理技術
最棘手的問題:分發和存儲
數字簽名:公鑰加密技術
網路安全技術
操作系統安全、防火牆技術、VPN、漏洞檢測、審核技術等
⑶ 電子商務存在的安全問題是什麼
電子商務中存在安全的問題:
(一)網路信息安全方面
1.伺服器的安全問題。電子商務伺服器是電子商務的核心,安裝了大量的與電子商務有關的軟體和商家信息,並且伺服器上的資料庫里有電子商務活動過程中的一些保密數據。因此伺服器特別容易受到安全的威脅,並且一旦出現安全問題,造成的後果也是非常嚴重。
2.網路信息的安全問題。非法用戶在網路的傳輸上使用不正當手法,非法攔截會話數據獲得合法用戶的有效信息,最終導致合法用戶的一些核心業務數據泄密或者是非法用戶對截獲的網路數據進行一些惡意篡改,如增加、減少和刪除等操作,從而使信息失去真實性和完整性,導致合法用戶無法正常交易,還有一些非法用戶利用截獲的網路數據包再次發送,惡意攻擊對方的網路硬體和軟體。
3.網路安全中的病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以互聯網作為自己的傳播途徑,電腦病毒問世10多年來,各種新型病毒及其變種迅速增加,不少新病毒直接以互聯網作為自己的傳播途徑,還有眾多病毒藉助於互聯網傳播得更快,如何在電子商務領域如何有效防範病毒也是一個十分緊迫的問題。
(二)電子商務交易方面
1.交易身份的不確定。電子商務是一種全球各地廣泛的商業貿易活動在開放的網路環境下,基於瀏覽器/伺服器應用方式,在買賣雙方不謀面的情況下進行各種商貿活動,實現消費者的網上購物、商戶之間的網上交易和在線電子支付以及各種商務活動、交易活動、金融活動和相關的綜合服務活動。正是基於這個特點攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
2.交易協議安全性問題。企業和用戶在電子交易過程中的數據是以數據包的形式來傳送的,惡意攻擊者很容易對某個電子商務網站展開數據包攔截,甚至對數據包進行修改和假冒。TCP/IP協議是建立在可信的環境之下,缺乏相應的安全機制,這種基於地址的協議本身就會泄露口令,根本沒有考慮安全問題;TCP/IP協議是完全公開的,其遠程訪問的功能使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等這些性質使網路更加不安全。
⑷ 電子商務系統安全和電子商務信息安全的關系
這個問題實際上就是系統安全和信息安全的差別。
前者只注重整個系統的安全內,包括容機房(包括機房電磁屏蔽、UPS、電源等)、網路(包括節點、交換設備等)、主機(包括伺服器、網路終端等)、軟體、操作系統、資料庫等安全。
後者是注重除了系統安全以外,整個體系的安全,包括一些日常工作中的信息安全、紙質的信息安全等等方面。
⑸ 電子商務的安全風險有哪些
客戶來面臨的風險
客戶面臨的風險是指客源戶一方的私有信息被盜用或破壞的可能性。例如:客戶的賬號及密碼、信用卡信息、客戶計算機系統及數據等。
銷售商面臨的風險
在電子商務中,銷售商面臨的風險主要有三方面,即假客戶、被封鎖服務和數據被竊。
企業自身面臨的風險
(1)人為製造的災難包括計算機病毒和硬體設備的人為破壞。
(2)企業內部網的風險。據統計,對網路系統的攻擊有85%是來自企業內部的黑客。
(3)企業與其他企業進行商務活動時的風險。企業在與其他企業進行商務合作或競爭時,其他企業可能利用非法手段竊取該企業的文件或數據。其中的風險為:傳輸中數據的被盜、企業計算機上的數據及文件的被盜。
電子商務在網路上的運行還不夠規范
對於網上的稅收、合同以及保險等方面都存在著不規范的現象,在加之法律在網路上的不健全,這些都制約著電子商務在網路的發展。
⑹ 什麼是信息安全什麼是信息安全事件
隨著科技的發展,網路信息安全越來越重要,信息泄露不僅僅是個人問題,,每個企業乃至國家都要重視起來那什麼是信息安全?什麼是信息安全事件?
信息安全是什麼:
信息安全是指信息系統受到保護,不受偶然的或者惡意的原因而受到損壞、變動、泄漏,系統持續可靠正常運行,信息服務不中斷,最終實現業務連續性。包含如下五方面的內容:即需保證信息的保密性、真實性、完整性、未授權拷貝及所寄生系統的安全性。
信息安全有四個層面:
1.硬體安全:信息系統安全的緊張成就,包括硬體的穩定性、可靠性和可用性
2.軟體安全:如保護信息系統不被造孽侵入,系統軟體和應用軟體不被造孽復制、篡改,不受惡意軟體侵害等
3.數據安全(傳統的信息安全):採取措施確保數據免受未授權的透露、篡改,不受惡意軟體侵害等
4.安全治理:運行時突發事件的安全處理等,包括建立安全治理軌制,睜開安全審計和風險分析等
信息安全有三個關系:
1.系統硬體和操縱系統的安全 等於 信息安全基礎
2.密碼學、收集安全 等於 信息安全的核心和關鍵
3.信息系統安全 等於 信息安全的目標
主要的網路安全威脅:
重放、重定向、拒絕服務、惡意軟體、社會工程、偽裝假冒、否認抵賴、破壞完整性、破壞機密性、信息量分析等
信息安全法律法規:
《中華人民共和國網路安全法》條例中提到,國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,保障網路安全,避免網路安全受到干擾、破壞,防止網路信息數據泄露或者被竊取、篡改。提供的網路產品、服務的不得設置惡意程序;如果發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,並及時反饋響應部門領導。
網路威脅案例:
事件1:英特爾晶元漏洞
影響評級:★★★★
時間:2018.1.3
原因:處理器存在一個底層設計缺陷。
影響范圍:該漏洞會影響許多CPU,包括來自英特爾、AMD、ARM的晶元,以及搭配運行的設備和操作系統,迫使Linux和Windows內核需要展開重大的重新設計。
警示:沒有百分百的安全,企業要未雨綢繆,早做准備。
事件2:美國HancockHealth支付解密5.5萬美元贖金
影響評級:★★★
時間:2018.1.16
攻擊方法:暴力破解RDP 埠,勒索軟體SamSam對系統進行控制。
影響范圍:技術員暫停了醫院的整個網路,要求員工關閉所有計算機,以避免勒索軟體傳播到其他計算機,醫護人員利用筆和紙代替計算機來繼續工作。
警示:醫院是最易被攻擊的機構,容災建設很關鍵。
事件3:「黑客」入侵快遞公司後台盜近億客戶信息
影響評級:★★★
時間:2018.5.12
原因:「黑客」非法入侵快遞公司後台竊取客戶信息。
影響范圍:中國公民信息泄露近1億條,導致個人經常接到貸款、買房、工藝品等廣告騷擾電話。
⑺ 電子商務案例分析
新加坡電子政府建設及對我國的啟示
摘要:面對全球范圍內的國際競爭和知識經濟的挑戰,許多國家和地區的政府都把電子政務作為優先發展戰略。在各國政府倡導和推動的網路化5個重要應用領域中,大多數國家都把電子政務放在了第1位。目前,我國電子政務還處於起步階段,無論是在建設模式、應用水平還是技術標准上,與發達國家之間的差距顯而易見。文章以新加坡電子政府的建設為例並結合我國國情進行了分析總結,對如何建設我國電子政務系統進行了思考和建議。
關鍵詞:新加坡;電子政府;發展軌跡與現狀;特色;借鑒意義
新加坡是一個面積僅647平方公里,人口448萬的島國。為保持較強的國際競爭力,新加坡政府特別重視信息化和電子政務的建設,甚至連美國賓夕法尼亞州和加拿大的部分省都以新加坡為樣板來發展本地區的電子政務。在2003年11月聯合國發布的《2003年全球公共領域報告:處在十字路口的電子政府》報告中,新加坡電子政府位列全球第12名,是亞洲國家在電子政府建設領域做的最為出色的國家。
一、新加坡政府對電子政務的界定
新加坡電子政府主要是由中央信息技術組來負責推動的。他們認為信息時代的新加坡電子政府應該體現公民和企業導向以及以生活周期為基礎的整合、服務提供者和服務獲取方式的可選擇性和政府各部門和地方政府之間的服務整合等特點。通過其門戶網站,公民能夠無障礙地瀏覽政府網站,從而獲取電子服務。
二、新加坡電子政務發展軌跡與現狀
新加坡的電子政務起步於20世紀80年代初。經過20多年的發展,新加坡的電子政務取得了很大的成就。總的來說,新加坡電子政務建設歷程可分為起步,融合和定製3個階段:第1階段是起步階段(1992-1999年),以「IT2000計劃」為標志,明確提出將新加坡建設成為「智慧島」的目標,並建設了新加坡的首個寬頻網路,政府部門開始提供基於互聯網的服務。民眾通過Internet能夠在各級政府網站上提取政府機構的信息。第2階段是融合階段(2000-2006年),通過實施「信息通信21世紀藍圖」(2000-2003年)和「聯系新加坡」(2004-2006年)等計劃,全面開放了通信市場,把信息通信的發展作為推動經濟發展、提升國民素質的主要動力,政府所有部門全部完成業務系統的建設。政府機構在網上開展納稅,辦理執照等業務。第3階段是定製階段,目前正在實施「智慧國2015藍圖」(2007-2015年),提出「3I策略」(創新、整合與國際化),推出「多個部門、一個政府」口號,努力提高政府辦事事項的信息化服務水平。
從上述發展軌跡可以看出,新加坡的電子政務已經步入政治,經濟,法律,技術等領域全面發展。目前,新加坡的電子政府網站建設已經相當完善和成熟。新加坡的各級政府機構基本上都已上網,幾乎各市區都建有自己的站點。公眾參與程度:「電子公民中心」的門戶網站是新加坡政府眾多在線服務的第一站,為公民提供在線政府服務。2004年1月到3月,「電子公民中心」用戶訪問量達125萬,佔新加坡總人口的近1/3。新加坡的電子政務系統完全是由國家控制,據統計,新加坡電子政務每年可為政府節省辦公經費約2300萬美元;不僅節省了大量的人、財、物,而且提高了政務透明度。
三、新加坡電子政務的特色
新加坡作為建設電子政務的佼佼者,成績斐然。主要體現在以下方面:
新加坡政府網站的功能極為強大,包含的內容也極為廣泛,曾在1999年被美國大眾服務管理部評為世界上最先進的綜合服務網站。政府網站最具代表性也最具特色的為「電子公民中心(eCitizen)」,這一虛擬型的網路服務中心主要是向公民提供方便、快捷的網上服務。「電子公民」項目的設計思想是讓各個政府部門都可以擁有自己獨立的網站,而網站內容則根據不同部門的職能設定,從而讓使用者能夠對整個政府的運作情況有一個整體的了解。政府部門的一些商業信息和商業機會以打包的方式提供。所有政府機構都必須為網上表格、網上支付和安全環境等事項採用一致的系統基礎構件和模板,而且採用同一種方法論。以公民的需求為導向進行設計,用戶不必具體知道有關事務,只要按程序接受政府服務就行了。「電子公民」的用戶界面採取了一種模擬的方法來描繪一位新加坡公民從小到大在人生不同階段所要走過的道路,他可以在不同的「城堡」中停留。每一個「城堡」里都有一組相互關聯的服務包。例如,在「就業城堡」里,你可以找到這樣如下服務包:「僱傭員工」(專為僱主設計)、「尋找工作」(專為求職者設計)、「退休」、「提高技能」和「在新加坡工作」(專為外國人提供)等。目前「電子公民」網站里共有9個「城堡」,涵蓋商業貿易、國防、教育、就業、家庭、醫療健康、住房、法律法規和交通運輸等方面。
(一)以需求為導向,建立開放的電子政務信息平台
依託Internet強大的功能和良好的基礎條件,新加坡在開展電子政務的過程中注重政府網站的建設。針對不同的服務對象——企業、公民和外國人3大客戶群體,開辟了3個主要入口,開展以需求為導向的用戶服務。
企業入口:
通過企業入口,新加坡企業可以進入4個快速連接。通過使用這4個連接,企業可以查詢到從申請成立到人員僱傭,納稅,融資,出口,網上投標,專利申請,統計報表等信息。
公民入口:通過公民入口,新加坡公民可以快速查詢到經常使用的信息與服務,如健康,求職,權利保護,網上納稅,旅遊,居住等。
外國人入口:通過非加拿大國籍和國際客戶入口,國外留學生、商人、旅遊者、工人等可以查詢到所需的不同信息。該入口不僅為外國人提供了便捷的信息服務,同時也是宣傳新加坡,增強國際競爭力,吸引外資和國外人才的重要工具和渠道。
(二)成立專門機構,統一規劃領導
作為政府主導型的電子政府發展模式,新加坡政府專門設立了「資訊通信發展管理局」,負責電子政府的全面協調發展。新加坡政府專門組織成立了由各大委、局等機構共同參與的、跨部門的委員會——「國家電子商務行動委員會」,統一負責協調和推動實現電子經濟、電子政府和電子社會的目標。
(三)提倡政務公開,注重對外服務
依託和服務於「政務公開」的政策,新加坡各級政府廣泛利用不同層級,功能強大的政府網站向社會公開大量政務信息,如國家領導人的重要活動,演講,政府工作的最新動態,民眾辦理注冊,登記等事項的手續與相關信息等,具有了「單一窗口」,「一站式」,「全天候」等特點。
(四)提高民眾素質
新加坡政府重視公民素質教育,政府投入大量人力、財力進行人才教育和培訓,努力提高民眾的信息化水平和技能。政府要求各級官員、公務員都具備一定的信息化知識和操作技能。這就為推行電子政務奠定了良好的群眾基礎和人才基礎。
(五)注重法律保障,推陳出新
新加坡政府於1998年修訂了1993年出台的《濫用計算機法》,增加了「干預或阻礙合法使用的行為」、「在授權和未經授權的情況下,進入電腦系統犯案」以及「將進入網路的密碼透露,非法獲利和使別人受損失」等3項新罪名。與此同時,政府還制訂了與此相配套的《信息安全指南》和《電子認證安全指南》,更好地為電子政府和電子商務等發展保駕護航。
四、新加坡電子政務成功經驗對我國的借鑒意義
如今新加坡電子政務的發展相當成熟,已成為一個全方位的、具有高度在線服務能力的一站式電子政務典範。美國和加拿大的一些政府均以新加坡為樣板來建設自己的電子政府。電子政府建設在我國尚處於起步階段,學習和借鑒新加坡的成功經驗很有意義。本文提出以下建議:
(一)以政府為主導,統一規劃電子政務的發展
電子政務是政府的全方位變革,需要由政府主導,統一行動,設立專職機構,明確政府職能。通過統籌規劃、強化管理,建立跨部門的電子政務建設管理組織保障體系,建立強有力的業務協作機制,以公共服務為中心來設計電子政務系統,將電子內網、電子外網、交互系統和應用系統建設統籌規劃,構建一體化的電子政務整體解決方案。
(二)要把滿足公眾的需求放在首位
切實落實以服務為向導,體現「以公民為本」的宗旨。電子政務的本質是要通過技術應用實現制度和管理的創新,優化服務,提高效率。政府門戶網站是電子政務面向公眾的主要窗口,要堅持「以人為本、以服務對象為中心」,把用戶需求作為政府門戶網站建設的出發點和落腳點,提高電子政務公共服務的用戶滿意度,提高公眾對政府服務的信任度。
(三)立法先行,推進相關法規出台
當前,我國有關電子政務的法律法規整體滯後,如信息公開、電子簽章等基本的法律法規還未出台,這在一定程度上給資源的共享帶來障礙,也制約著應用系統的使用和推廣。
(四)大力提高民眾素質,為電子政務的推行奠定良好的群眾基礎
人的因素是電子政務順利實施的關鍵,關繫到e化服務的質量和效率。因此我國政府領導要高瞻遠矚,堅定信心,加大信息化建設投入。大力培訓電子政務人才,提高公務員及企事業單位信息主管的信息化知識及網路應用、管理水平。
(五)規范標准,完善電子政務的基礎條件
電子政務實施的一體化、標准化是電子政務建設過程中的關鍵問題。信息化建設必須有標准化的支持,尤其要發揮標准化的導向作用,以確保其技術上的協調一致和整體效能的實現。一體化和標准化是電子政務建設的基礎性工作,是電子政務系統實現互聯互通、信息共享、業務協同、安全可靠的前提。
五、結束語
我國必須分析國外電子政務的發展道路,積極學習國外政府發展電子政務的先進經驗,只要堅持「以人為本」和「以用戶為導向」的指導思想,加強政府的引導和統一規劃,有計劃地推進電子政務信息工程。同時,加強法律法規和電子政務體制建設,把我國的電子政務建成世界一流的電子政務是指日可待的。
參考文獻:
1、王元放.新加坡電子政務成功經驗及對我國的啟示[J].電子政務,2007(11).
2、方敏.中國、新加坡電子政務比較[J].大學圖書情報學刊,2006(5).
3、吳鵬,鄧三鴻.新加坡電子政務案例[J].電子政務,2005(11).
4、張軍.新加坡電子政務對我國電子政務建設的啟示[J].電子政務,2005(11).
⑻ 電子商務信息安全技術
信息安全復技術在電子商務系統中的製作用非常重要,它守護著商家和客戶的重要機密,維護著商務系統的信譽和財產,同時為服務方和被服務方提供極大的方便,因此,只有採取了必要和恰當的技術手段才能充分提高電子商務系統的可用性和可推廣性。
信息安全技術(計算機信息安全管理)3+1(二年制)
培養目標:培養掌握系統與網路安全的基本理論與病毒防範、黑客攻擊手段分析與防範技術,能熟練應用信息安全產品,熟悉信息安全管理規范,具有開發、維護和管理信息安全系統能力的高等技術應用型人才,是學院的重點專業。
就業方向:畢業後可到政府部門、企事業單位、各類計算機網路公司、銀行、證券公司,從事網路安全管理、計算機信息安全管理、信息安全產品銷售服務及技術支持、信息安全系統開發維護等工作。
主要課程:網路管理,信息安全概論,現代密碼學,網路安全實踐,信息安全管理與策略。