信息安全调查报告范文
时间:2023-04-08 17:16:15
导语:如何才能写好一篇信息安全调查报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
第一部分 调查背景、方法 随着用户在网络与信息安全意识和安全需求方面的提升,近几年来,网络与信息安全市场正以倍速增长,行业发展日趋集中化和规范化,国内的网络与信息安全厂商已逐渐由原来的星星之火发展起燎原之势。网络与信息安全产业不但关系到国家的政治、经济、文化和国防安全,同时也成为it产业发展的一大亮点,在产业发展的过程中,也涌现出了大批优的网络与信息产品和服务品牌,其中也不乏行业中的后起之秀。 为了让优秀的、具有一定实力的中国网络与信息安全生产和服务厂商脱颖而出,拥有更广泛的合作机会,让用户了解国内优秀的网络安全厂商和安全产品;推动构建面向未来、一体化的可信赖网络的发展,XX中国互联网大会.网络与信息安全论坛组委会,结合大会和论坛在组织、媒体、用户和专家层面的资源,发起了中国网络与信息安全优秀品牌调查活动。本次活动由中国互联网协会主办,上海交通大学信息安全工程学院承办,国家信息产业部、科技部等部委对活动予以指导,组织成立了中国网络与信息安全优秀品牌推荐专家评审委员会,保证了评选活动的中立性、专业性和权威性。 本次调查共有有效样本1143份,样本广泛覆盖政府机关、金融、电信、能源、教育文化、互联网企业等各类用户。调查时间为**年7月15日--**年8月20日。采用的调查方式是通过网络调查、传真、e_mail和信件等多种方式向广大的互联网用户发放问卷。 活动评选的过程同时得到了网易、新浪、天极、计算机世界、信息安全与通信保密、信息网络安全等大众和专业媒体的大力支持。 第二部分 调查结果 一、使用过何种类型的网络与信息安全产品 (一)网民中安全产品的使用情况:防火墙产品和防病毒产品是网民使用最多的两种网络与信息安全产品 在调查问卷中设计了问题:在您所在的网络信息系统中,您使用过何种类型的网络与信息安全产品?(可多选),调查结果显示,防火墙产品和防病毒产品是网民使用最多的两种网络与信息安全产品,有三分之二的网民使用过防火墙产品,防病毒产品也有62.9%的网民使用过。 身份认证产品、pki平台产品、入侵检测(ids)产品也都有二十多个百分点的网民使用率,三者居于调查所列产品的三、四、五位,在网民中分别有26.77%、25.02%和21.35%的人使用过这些产品。vpn产品以17.94%的网民使用率排在第六位。 安全容灾与数据存储产品、安全管理产品、安全审计产品在网民中的使用率分别为7.26%、6.21%和6.04%,排在所调查的十二个产品类别的最后三位。 (具体参见下页图) 略 (二)各种安全产品的市场份额比较:防火墙产品、防病毒产品占了四点五成的市场份额 根据网民对各种网络与信息安全产品的使用情况,可以看出各个产品所拥有的市场份额。从调查的情况来看,病毒和防火墙产品占据市场很高的比例,两者所占的比例超出了20%。另外依次排列其后的是身份认证类(占9.5%),如果考虑进pki的因素(8.9%),关于认证产品的使用情况也占了很高的比例。另外占比例比较高的还有ids产品、vpn产品,其它产品也都有选择,所占比例不是很高。 (具体参见下图) 略 二、最信赖的防病毒厂商品牌:国产品牌位居三甲,趋势、瑞星、symantic是三种网民最信赖的防病毒厂商品牌 对于问题您认为最值得信赖的防病毒厂商品牌?(最多限选三家),统计结果显示,占前三名的分别是趋势、瑞星和symantic,在网民中分别各有23.45%、17.5%、15.84%的网民认为它们是最值得信赖的防病毒厂商品牌。值得注意的是,国产品牌瑞星位居第二,其它两个属于国外品牌。 另外,卡巴斯基、金山、.朝华安博士三个品牌都有十个百分点以上的网民信赖率。(具体参见下图) 三、最值得信赖的国外防火墙产品品牌:cisco和netscreen是中国网民最信赖的国外防火墙产品品牌 调查数据显示,对于最值得信赖的国外防火墙产品品牌?(最多限选三家)这一问题,cisco和netscreen是中国网民最信赖的国外防火墙产品品牌,在网民中分别有有四分之一的人和五分之一的人认为这两个品牌是最值得信赖的国外防火墙产品品牌。 3com、checkpoint以非常接近的十七个左右百分点的网民信赖比例位列三、四位;sonicwall和fortigate也以和接近的十二个左右百分点分列五、六位;isa、amaranten、watchguard分别有8.66%、8.22%、6.47%的网民信赖率排在七、八、九位;nokia在所调查的产品品牌中处于最后,只有1.31%的网民最信赖这一产品。(具体参见下图) 四、最值得信赖的国内防火墙产品品牌:蓝盾是在网民中最值得信赖的国内防火墙产品品牌;与国外品牌相比,国内防火墙产品品牌的网民信赖率较低,还没有绝对的优势品牌 调查结果显示,对于调查题目:您认为最值得信赖的国内防火墙产品品牌?(最多限选三家),蓝盾是在网民中最值得信赖的国内防火墙产品品牌,在网民中有16.71%的人最信赖这一品牌。 在其它选项中的得票数为14.87%,超出了第二位天融信的得票数,可以看出,一方面是最多信赖率的蓝盾的网民比例不是很高,另一方面是 其他 项这种不确定的品牌比例较高,说明了在国内的防火墙品牌中,还没有在用户中形成牢固的品牌概念,也就是还没有绝对优势的品牌。 除了其他项外,天融信是第二家被网民认为最值得信赖的国内防火墙产品品牌,有14%信赖选择率。 海信、联想、朝华分别以12.16%、11.9%、10.32%的信赖选择率居于第二集团;清华得实、紫光比威、天网、东方龙马、方正、东软分别以8.92%、7.79%、7.7%、7.61%、7.52%、7.44%居于网民的信赖选择率的第三集团;在调查所列项目中居于最后两位的是华堂(6.47%)华依(5.86%)。(具体参见下图) 略 与国外防火墙品牌相对比,可以发现国内品牌的网民信赖率偏低。如国外最值得信赖的防火墙品牌前两位的网民信赖率分别比国内品牌的高了九个和六个百分点,国内最高的蓝盾在国外品牌的信赖率中只能排在前四名以外。 五、最值得信赖的身份认证品牌:没有明显的领先者,相对而言,上海ca unitrust证书系统、verisign、安盟身份认证是最值得网民信赖的前三位 对于调查题目:您认为最值得信赖的身份认证品牌?(最多限选三家),获得最多网民选择的是其他,有21.96%的网民选择率
,这说明了这一产品还没有形成市场的领先者。 相对而言,不包括其他项,最值得网民信赖的身份认证品牌前三位是上海ca unitrust证书系统、verisign、安盟身份认证,分别有16.71%、13.56%、13.21%的网民信赖选择率。而彩虹天地ikey、cfca的网民信赖选择率最低,分别只有7.79%和6.74%的网民信赖选择率。(具体参见下图) 略 六、最值得信赖的pki认证厂商品牌:格尔、信安世纪是最值得信赖的两个品牌 对于题目:您认为最值得信赖的pki认证厂商品牌?(最多限选两家),调查结果显示,格尔、信安世纪分别有35.52%、33.42%的网民信赖选择率居于前两位。吉大正元获得了21.87%的网民信赖率,排在第三位。不包括其他项的话,维豪在所列的四个调查品牌中排在了最后,只有4.55%的信赖选择率。(具体参见下图) 略 七、最值得信赖的入侵检测(ids)品牌:排除其它选项,最值得信赖的入侵检测(ids)品牌前三名的是:绿盟、清华紫光、启明星辰 调查数据显示,调查问题:您认为最值得信赖的入侵检测(ids)品牌?(最多限选三家),没有绝对的优势品牌,获得最多选择的是其他项。排除其他项,最值得信赖的入侵检测(ids)品牌前三名的是:绿盟、清华紫光、启明星辰,它们的信赖选择率分别是:19.42%、15.14%、13.39%。所列的调查品牌中,也没有明显的弱势品牌,信赖选择率最低的三零鹰眼品牌都有十个以上的百分点,获得了10.06%的信赖选择率。(具体参见下图) 略 八、最值得信赖的vpn产品:不包括其他项的话,获得网民最高信赖选择率的vpn产品品牌前三位依次是:华为、迈普、东软 对于调查题目:您认为最值得信赖的vpn产品?(最多限选三家),网民的选择结果是其他项获得的信赖比例最高。这同样也说明了在这一产品上还没有形成优势品牌。 不包括其他项,获得网民最高信赖选择率的vpn产品品牌前三位依次是:华为、迈普、东软,三者分别获得了22.05%、16.89%、14.26%的网民信赖选择率。处于最后两位的是:安达通vpn(10.76%)、鹏越惊虹(7.35%).(具体参见下图) 略 九、认为最值得信赖的安全容灾与存储品牌:ibm 、hp是最值得信赖的安全容灾与存储品牌 调查数据显示,对于问题:您认为最值得信赖的安全容灾与存储品牌?(最多限选三家),ibm 、hp是获得最多网民选择的两个品牌,分别获得了27.21%、23.10%的信赖选择率。 brocade silkworm也有较高的选择率,有21.70%。在所列的七个调查品牌中,最低的是亚美联estor nas,获得了7.17%的信赖选择率。(具体参见下图) 略 十、最值得信赖的内容安全产品品牌:不包括其他选项的话,美讯智、中网依次是前两位的产品品牌 对于您认为最值得信赖的内容安全产品品牌?(最多限选两家),获得最多选择的是其它,有25.02%的网民信赖选择率。与前面的一些产品一样,说明在这一方面还没有完全的市场领先者。不包括其它选项,选择率排在前三位的依次是:美讯智、中网、思维世纪,它们获得的选择率分别是:20.56%、15.92%、13.47%。在这一调查题目所列的品牌,没有明显的市场弱势者,最后一个品牌世纪瑞达(10.15%)的信赖选择率都在十个百分点以上。 (具体参见下图) 略 十一、最值得信赖的安全服务品牌:不包括其他选项,选择率最高的前三位依次是:中联绿盟、iss、联想 调查结果显示,对于调查题目:您认为最值得信赖的安全服务品牌?(最多限选三家),获得最高选择的是其他选项。排除这一选项的话,选择率最高的前三位依次是:中联绿盟、iss、联想,它们的信赖选择率依次是:16.54%、13.12%、13.04%。其后依次是安氏(11.37%)、启明星辰(10.76%)、济南得安(9.97%)、亿阳信通(9.45%)、三零卫士(9.27%)、鹏越惊虹(7.35%)、川大能士(6.04%)。居于后三位的是:科联(5.60%)、广州科友(4.11%)、和亚信(2.01%)。(具体参见下图) 略 十二、最值得信赖的安全隔离品牌: 如果排除其它选项,得票数最多的前三位是:朝华、浪潮网泰、金电网安 调查发现,对于问题:您认为最值得信赖的安全隔离品牌?(最多限选三家),其它选项获得了20.65%的选择率,排在最高,比后面的高了近四个百分点。这说明了在这一产品上还没有形成优势品牌。不包括其它选项,得票数最多的前四位是:朝华、浪潮网泰、金电网安、天行网安,它们分别获得了16.97%、14.61%、12.69%、12.34%的信赖选择率。在所列的调查品牌中,信赖选择率最低的是中科诚毅(2.80%)。(具体参见下图) 略
[1]
篇2
这份调查报告基于Applied Research公司在2011年4月~7月期间汇集38个国家的5300名受访者的意见,包括中小企业和大型企业组织中负责计算机、网络和技术资源的IT和专业管理人员。该调点关注企业如何部署云计算,以及如何处理云计算给IT管理带来的变化等。
调查结果显示,企业对云安全的态度十分矛盾――既将其列为迈入云端的首要目标,同时又将其看做最大的担忧,潜在风险包括恶意软件、黑客盗窃以及机密资料的丢失。
同时,大多数公司仍未做好迈入云端的准备。只有少数受访者(15%~18%)认为其已经完全做好过渡到云计算环境的准备。造成这种局面的部分原因在于相关经验的缺乏,因为仅有25%的IT团队拥有部署云计算的经验。
调查还显示,目前企业在云计算方面还是说得多做得少,不到20%的公司已经实现了调查所涵盖的任一种云计算环境。其中,安全是用得最多的云服务,用得较多的云服务包括电子邮件服务(例如管理或安全)、安全管理、网页和即时通讯(IM)安全在内的云服务。而在那些已经尝试云计算的企业中,其实现效果并不令人满意,88%的受访者期待云计算能改善其IT灵活性,但是仅有47%的企业实现了预期。调查结果还显示,云计算在灾难恢复、效率、降低运营费用以及改进安全性方面的作用仍未达预期。
篇3
云计算的担忧
对于云计算面临的安全问题,SafeNet的调查报告显示,88.5%的企业对云计算安全担忧,占首位。一方面,安全保护被视为云计算广泛使用的绊脚石,另一方面,它也可以成为云计算的推动力量。在“云”模式下,通过找到一个有效的保护数据的方法,企业则可以将“云”模式所带来的商业潜力最大化,从而在行业中保持持续创新和增长。
然而,随着云计算的普及,以及威胁的不断增加,传统的物理控制和管理方法不再有效。SafeNet中国区销售总监江星指出:“随着企业内部移动设备日益增多,员工之间的互相协作日益紧密,企业与合作伙伴协作方式发生变革,企业业务与SaaS、Web 2.0等技术结合得越来越紧密的同时,导致外部网络攻击、非授权用户的访问对企业核心数据造成越来越多的安全威胁。”
与此同时,安全威胁的层级也在不断提升。江星强调:“从黑客的外部侵害,到有组织的网络犯罪;从外来者到企业内部人员;从数据损失和身份信息泄露,企业所面临的信息安全威胁随着企业技术层级提升,更广泛应用的普及,相关规范的健全,强度也在不断提升。”
威胁的目标也更有针对性,根据相关报告,钓鱼软件的主要目标是企业用户。从Verizon公司所公布的《2009数据侵害调查报告》中可以看出金融服务业是最容易被网络欺诈盯上的行业,在2008年93%的数据被盗与金融行业相关。
江星表示:“犯罪组织和黑客选择有针对性的威胁对象后,通过复杂的攻击技术,系统的结构化工具,利用最新的系统漏洞,迅速发起攻击,盗取数据、身份、知识产权等敏感信息。而企业还存在着低效数据保护,信息泄露途径多样等种种弊端。”
显然如果企业想要在攻击来临之前,守好自家大门,势必要首先了解企业自身的敏感数据包括什么?目前通过什么方法保护这些数据?这样的方法和模式是否适合企业,是否能够保护数据的安全?
数据防护贯穿云中
面对这些,SafeNet有清晰的认识,近30年的基于安全技术的执着探索。江星指出:“目前企业的数据类型主要包括三类:个人身份、支付数字和交易、知识产权。而存储这些数据设备的孤岛化,也使得传统的安全措施面临诸多挑战,如安全策略混乱、安全政策制定和执行脱节、来自虚拟化和云计算等应用的挑战等。这就需要企业面对安全威胁的变化,提供更合适的数据保护方法。”
“专注于贯穿信息生命周期的可持续性的数据保护,SafeNet公司以数据为中心的安全保护专业技术和产品会让组织对数据安全问题感到放心,确保他们能够将数据可靠地迁移到‘云’中。”云安全联盟联合创始人Jim Reavis说。
江星解释说,SafeNet应对云计算安全挑战的数据保护方案,贯穿于云计算整个信息生命周期各个环节,包括:保护用户身份,应用程序和服务器,确保交易的安全执行,在数据建立、访问、共享、存储和传输整个过程中,确保数据的安全,确保关键数据通信路径的安全。
篇4
小企业希望享受大服务
近年来,为了解决企业管理人员的技术水平难以应对不断翻新的网络攻击问题,也为降低网络安全管理和运维人员成本,提升工作效率,一些大型企业开始购买安全服务,并通过安全评估和应急响应来帮助他们处理各种管理方面的问题。
趋势科技最新的《网络安全产品和服务需求调查报告》显示,85%以上的用户认为信息安全领域最大的威胁仍是病毒攻击;75%的用户更希望能够在成本可控制下,有选择性地购买安全服务;92%的企业用户除了防毒能力之外,最关心防毒厂商是否能提供配套的安全服务体系。
除此以外,大量权威调查机构的数据都表明,绝大多数的中小企业对自身和安全厂商都提出了更高的要求。他们希望以更优惠的价格得到厂商更多的服务支持,并享有大型企业的安全护航服务。
某国际货运公司的CIO董先生表示:“安全运维工作的难点,首先是缺乏专业的人员协助处理病毒爆发事件,其次是我们缺乏主动性检测的病毒入侵防御手段,而且IT运维人员可能需要同时肩负多个任务。在这种情况下,IT运维人员很难完成网络巡检和定期的网络健康检查。”
在很多企业的实际应用中,网络管理者很难应付大规模的病毒爆发,企业网络系统的安全性面临多种挑战。
首先,信息安全管理在任何一个IT系统生命周期中的地位是不变的,无论IT运维投入有多艰难,但对于安全管理来讲,永远是“不怕一万,就怕万一”。
其次,就如我们所知道的那样,有效的信息安全管理包括防范、侦测和应急响应的互相配合。除了部署强而有力的安全保护措施外,企业还应具备安全事故应急能力,以备在发生“疾病”的时候可以激活配套的响应程序。
还有,针对“主动式”的运维需求,IT部门在安全问题处理周期中普遍存在明显的时间滞后现象,所以寻求外界的支持和帮助必不可少。
专家值守服务可自助选择
其实企业级用户选择安全外包或是购买服务早已不是什么新鲜事了,但对中小企业用户来讲,一旦网络瘫痪,却很难享受到厂商的安全服务。因为在网络安全厂商提供的服务方案中,通常会对上门服务收取高额的费用,这让中小企业用户几乎没有选择的权利。
近日,趋势科技提出打造企业安全“一站式服务”的解决方案,尝试将专家值守服务(EOG)以“自助选择”的形式提供给中小企业用户。中小企业不但可以根据自身规模和行业安全等级评估的方式购买应急响应和专家服务,灵活的配套方案还可以使企业选择的空间更大。
篇5
关键词:云计算;云安全;云服务
1 什么是云计算
据统计,目前云计算的定义超过50种。不同的专家、企业都从自己的角度对云计算的概念进行了定义。其中得到认可的、比较权威的是美国国家标准技术研究所(NIST)的定义。
NIST对云计算的定义:云计算是一个模型,这个模型可以方便地按需访问一个可配置的计算资源(如网络、服务器、存储设备、应用程序以及服务)的公共集。这些资源可以被迅速提供并,同时最小化管理成本或服务提供商的干涉。云计算模型由五个基本特征、三种服务模型和四种形态组成。
云计算的五个基本特征:按需自助服务、广泛的网络访问、资源共享、快速的可伸缩性、可度量的服务。
云计算的三种服务模型:软件即服务(SaaS)、平台即服务(PaaS)、架构即服务(IaaS)。
云计算的四种形态:私有云、社区云、公有云、混合云。
2 云计算的安全挑战
近段时间以来,国内外先后发生数据中心或云主机宕机事件,对企业和用户造成了一定的损失。云安全这个问题又一次被摆上了台面,吸引了人们的目光。
2.1 易混淆的云计算安全
云安全的产业链条,包括了云安全环境、云安全设计、云安全部署、云安全交付、云安全管理、再到云安全咨询,是一个闭环。IDC 报告指出,云的安全性至少包含两个层次,一是制约用户接受云计算的信用环境问题,这是云计算得以应用的基础,也是广泛推广的门槛,然后才是云计算的应用安全。而其中,良好的信用环境是云计算安全之基础,也就是说,只有用户认可并采用了云服务,接下来才谈得上云安全的技术问题。对于云安全的推动和实现,市场上的云安全提供商也发出不同的声音。
同时不容忽视的是云计算安全,它与云安全的区别是Security for the cloud和Security form the cloud。云计算安全指的是如何保护云计算环境本身的安全性,云安全指的是如何利用云计算技术给用户提供安全服务。
2.2 云计算安全七宗罪
安全专家表示,选择云计算的企业可能熟悉多重租赁(多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上)和虚拟化等概念,但这并不表示他们完全了解云计算的安全情况。
安全专家Reavis认为,选择云计算时企业应该采取更加务实的做法,如采用风险评估来了解真正的风险以及如何降低风险,然后再决定是否应该采用云计算技术。
云安全联盟与惠普公司共同列出了云计算的七宗罪,主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论。
⑴数据丢失/泄漏:云计算中对数据的安全控制力度并不十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁策略。
⑵共享技术漏洞:在云计算中,错误的配置可能会造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置。因此必须为网络和服务器执行服务水平协议(SLA),以确保及时安装修复程序。
⑶内奸:云计算服务供应商对工作人员背景的调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得不错,但还不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
⑷帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机。因此建议主动监控这种威胁,并采用多重身份验证机制。
⑸不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
⑹没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速采取新的攻击技术在云计算中自由穿行。
⑺未知的风险:透明度问题一直困扰着云服务供应商,用户仅使用前端界面,他们无法确切知道供应商使用的是哪种平台以及将面临何种风险。
另外,云计算也有有网络方面的隐忧。由于病毒破坏,网络环境等因素,一旦网络出现问题,云计算反而成了桎梏。
3 云计算的发展与未来
云计算的发展大致分为三个阶段:首先是准备阶段,主要进行技术储备和概念推广,解决方案和商业模式尚在尝试中,用户对云计算认知度仍然较低,成功案例较少;其次是起飞阶段,这一时期成功案例逐渐丰富,用户对云计算的了解和认可程序也不断提高,越来越多的厂商开始介入,市场上出现大量的应用解决方案;第三是成熟阶段,云计算产业链、行业生态环境基本稳定,各厂商解决方案更加成熟稳定,用户云计算应用取得良好的效果,并成为IT系统不可或缺的组成部分。
在云计算产业实际推进的过程中,2011年无疑是云计算应用的元年,各地云计算数据中心相继兴建和完善,很多软硬件厂商也推出了云计算发展规划和相应的云计算产品及解决方案,云计算产业呈现出强劲的发展劲头。
毫无疑问,云计算确实给企业带来了新的契机。《2012年中国云计算安全调查报告》显示:
⑴2012年,79.6的企业在进行或考虑用云计算来做事(PaaS、IaaS、SaaS、云存储/备份、私有云、混合云)。
⑵超过22.8%的企业正在使用私有云,50%的企业正在考虑建设私有云。
⑶企业当前使用最多的云服务依次为电子邮件业务管理应用(如谷歌APP、微软Office)、远程存储/备份、网络监控/管理。
……
然而,过去一年里爆发的云计算安全事件,如亚马逊云计算中心宕机、微软云计算交换在线服务故障、谷歌邮箱用户数据泄露等,使云计算产业的发展不可避免地遭遇了瓶颈。
另外,从调查报告中我们也看到:
⑴企业表示对信用卡数据、商业或合作伙伴的财务数据和客户身份信息等特殊类型的数据永远不会迁移到云端。
⑵在云计算模型中,企业认为私有云是最安全的,其次为基础设施即服务(IaaS),平台即服务(PaaS)位居第三。
⑶在云计算模型中,企业认为软件即服务(SaaS)是最不安全的。
……
不难看出,安全问题仍是横亘在云计算与企业之间的一扇门。能否破解这道难题,是摆在云服务提供商、信息安全厂商面前的又一道坎,也是云计算未来能否实现跨越式发展浓墨重彩的一笔。
4 总结
有业内人士认为云安全是一个伪命题,这种说法过于激进,但也是有一定道理的。安全永远是相对的,没有绝对的安全存在。就好像飞机是目前最安全的交通方式,却还是会出现事故一样。现在云计算的概念非常火热,越来越多的企业也已经意识到云计算的重要性,开始投资部署云计算。
可以预见,随着新的安全解决方案和技术的不断出现,企业的业务、数据管理模式必将发生革命性的变化,但无论如何发展,统一、简单、自动化、现代化的数据管理模式必将成为主流,也将为企业带来更多收益。
篇6
1.1网络层面。在SaaS模式下云服务供应商大都通过因特网向用户提供应用软件服务。而在因特网环境下,蠕虫、恶意代码、黑客攻击等安全问题无处不在,攻击者利用病毒、攻击脚本等各类手段截获网络传输过程中的重要用户数据,甚至进一步入侵服务器获取权限或破坏数据。
1.2应用层面。在SaaS模式下,对于电子政务系统的建设,政府多是只进行投资建设,而搭建架构及运维均外包给服务供应商。如果没有建立完善的身份鉴别和访问控制措施,恶意的,有时候甚至是善意的云服务供应商行为可能会越权或滥用权限获取客户的数据及应用。
1.3数据层面。在SaaS模式下,系统的数据安全可靠性完全依赖于软件服务供应商,而自身对数据的控制能力相对较弱。如果安全措施不完善,服务器管理员或数据库管理员极有可能直接对数据库中存储的用户敏感数据进行查询、复制等操作,从而导致信息丢失或泄露。VerizonBusiness最新的数据泄漏调查报告显示,在所有信息泄露事件中,48%事件是由于内部员工滥用权限所致。
1.4管理层面。“三分技术七分管理”,可见管理在信息安全管理体系的重要性。服务供应商的管理制度不完善可能会造成员工安全意识薄弱,人员分配上没有明确的制度和规则从而导致,人员管理混乱,责任不明确,一旦出现安全事故无法及时补救,事后追溯时,又无法找到主要责任人。
2基于SaaS的电子政务系统的安全策略
2.1网络层面。为了防止在因特网环境下的蠕虫、恶意代码及攻击行为对客户端计算机和服务端计算机的入侵,客户端和服务端都应采取有效的防恶意代码及入侵防护等安全措施,并提供必要的网络审计类措施进行安全事件回溯,服务端除了常使用的网络防火墙、IDS、IPS设备外,还可通过部署虚拟蜜罐系统加强对重要业务系统的防护。
2.2应用层面。应用层面包括身份鉴别、访问控制、安全审计等方面。身份鉴别是安全防御体系中的最基本组成部分,也是防止非授权访问的最主要手段。换而言之,身份鉴别是访问控制和安全审计的前提。为了加强鉴别措施,SaaS云服务提供商除了采用传统的“用户名+口令”的鉴别方式之外,还应该添加两种以上组合鉴别方式,例如动态口令、智能卡的令牌认证、指纹、虹膜等的用户身份鉴别方式。访问控制方面,SaaS服务供应商应严格限制不同访问者的访问权限,对敏感数据进行隔离。同时SaaS服务供应商应该对安全日志作定期的分析并生成报表,确保在发生安全事件时,有据可查。
2.3数据层面。在SaaS模式下服务端存放用户数据隶属于多个租户,而传统的信息系统中,用户数据往往存储在各自服务器数据库中。因此SaaS云服务提供商应当在采用有效的隔离措施及访问控制措施来确保同一系统不同租户间的数据保密性,防止由于应用程序的漏洞造成用户数据泄漏或破坏。同时,云服务供应商应具有完善的灾备措施和系统恢复能力,以便在发生数据泄漏或破坏时,进行及时恢复。对于SaaS模式的电子政务系统,由于其对因特网的依赖性较大,所有数据的传输大都通过互联网,极有可能被恶意用户监听截获。因此一旦涉及到核心数据、敏感数据的传输与存储,就应当采用加密方式,如通过SSL通道或VPN隧道等途径。同时在存储过程中也应采取加密技术,可大大降低云服务提供商窃取用户重要信息的可能性。
2.4管理层面。信息安全的核心实际上是管理,安全技术只是实现管理的一种手段[4]。管理层面上,应确保能够接触客户信息或业务数据的各类人员具备履行其信息安全责任的素质和能力,还应在授予相关人员访问权限之前对其进行审查并定期复查,在人员调动或离职时履行安全程序,对于违反信息安全规定的人员进行处罚。此外,应制定应急响应计划及事件处理计划,并定期演练,确保在紧急情况下重要信息资源的可用性。加强对安全事件的预防、检测、分析、控制,并对已发生的事件进行跟踪、记录并向相关人员报告。并应定期或在威胁环境发生变化时,对云计算平台进行风险评估,确保云计算平台的安全风险处于可接受水平。
3结束语
篇7
热门专业变成失业大户
麦可思公司(MyCOS)对20万名毕业半年后的学生进行了“2007届大学毕业生求职与工作能力调查”,结果显示,我国最热门的几个本科专业都是供大于求,其中计算机科学与技术、法学、英语3个专业的学生在毕业半年后的失业人数都在万人以上,在失业人数最多的10个本科专业中,热门专业占了9个。
部分热门专业就业难
毕业证、学位证都已经顺利到手,可是湖北省武汉市某高校的小尹却高兴不起来。四年前,他“挤过独木桥”,考进了武汉市的一所重点大学,学的也是热门专业:法学。然而四年后的今天,他的父母却依然在想方设法为他寻找工作,他自己也几经“崩溃”。
小尹刚入校的时候对四年后满怀信心, “那时候我们专业的毕业生进入的都是大企业,差一点儿的也进入了律师事务所。”
刘兴目前的状况虽然比小尹好点儿,但他也开心不起来,“学了四年的计算机,现在成为电脑城一名电脑修理工。”刘兴告诉记者,他的同学中签约大企业的几乎没有,“现在对口的好点儿的单位或是不招人,或是限制学校,我们正卡在缝儿里。”刘兴说,他现在正备考公务员,“这是改变现状的最好的出路。”
据麦可思的调查显示,在635个本科专业中,最热门的10个专业半年后的失业人数达到6.67万人,占本科毕业生总失业人数的32.9%。应届大学生毕业半年后失业人数最多的10个本科专业依次为计算机科学与技术、法学、英语、国际经济与贸易、汉语言文学、工商管理、电子信息工程、信息管理与信息系统、会计学、数学与应用数学。
调查还表明,毕业半年后,本科专业的平均就业率是91.2%,但是很多热门专业的就业率并没有达到这个水平,其中法学专业就业率只有86%,存在严重过热迹象。
本科热门专业难就业,在高职/专科中,热门专业的就业情况也不容乐观。调查显示,在573个高职/专科专业中,10个热门专业半年后的总失业人数高达11.6万,占了高职/专科半年后失业人群的28.6%。失业人数最多10个高职/专科专业中,就有8个是热门专业。
对社会需求信息的掌握不准确是主因
江西省玉山县第一中学的郑廷高考估完分后,就和家人一起开家庭会议讨论如何选学校、如何选专业,“先是仔细看学校发的《高考指南》,又上了好多相关网站查资料,看看每个专业到底学什么课,就业率怎么样。”
但是做完这些工作之后,报考什么专业,他心里还是“没谱”。
他又跑去咨询老师,查看各个专业的全国排名,还看了几个不同版本的大学排行榜。但是大学排行榜令他很失望,“大学排行榜太多了,比较杂,看来看去都不知道该参考哪一个了。”
“不认识专业,盲目跟风。”总结起当年填报志愿时,北京某高校的黄颖一脸无奈,“班里很多同学要么报经济,要么报法律。”黄颖也义无反顾地选择了法学,但是现在回过头来看,黄颖才发觉,“当年考入一些冷门专业的同学几乎都找到了对口的工作。”
据麦可思的调查显示,考生在填报志愿时,大多数学生(56.7%)选择和父母一起商量做出决定。与老师商量做出决定的占20%,另外15.9%的人自己决定。
调查报告指出,考生报考时了解的信息不全,是造成教育资源浪费的原因之一。就业率高的专业没有人报,就业率低的“热门”专业扎堆报。大部分考生在挑选大学专业时没有做过职业规划,加上老师、父母的经验和知识有限,观点有时也存在偏差,没有一个完整的信息系统可供参考。
报考之前要对自己的实际情况定位
热门专业难就业,与考生扎堆报考热门专业有一一定的关系,如果考生在报考之前能进行自我认知和定位,找到适合自身潜能特征的专业和职业方向,那么,这一情况将有所改观。调查报告指出,近几年,潜能测试开始介入高考志愿填报,但是其优势还没有完全体现。
麦可思的调查显示,在一些热门专业难就业的前提下,机械电子工程则实现了就业率100%。除此之外,2007届大学毕业生半年后就业率较高的本科专业还包括:医学检验(99.1%)、医学影像学(99%)、注册会计师(98.4%)、物流工程(98.3%)、勘察技术与工程(98.2%)、建筑学(97.9%)、车辆工程(97.7%)、信息安全(97.2%)等。
调查显示,毕业半年后就业率最高的高职/专科专业依次为:发电厂及电力系统(94.9%),土木工程施工与管删(93.5%),机械设计与制造(93.4%),护理(92.8%),应用化工技术(92.8%)等。
专家分析高校专业设置与社会需求要吻合
一所经济类院校新闻专业的毕业生杨青描述,学校原本的想法是依托学校的商科优势办经济新闻,但新闻与经济完全是“两张皮”,“教经济的根本不懂新闻,教新闻的老师也没有人懂经济。”
法学、计算机、生物等专业也是如此。据统计,目前国内法学院、系及专业教育机构已达600余个。这些法学专业点实力悬殊较大,法学14门核心课程都应该具备教员,但有的学校一名教师教数门课程。同时,图书资料、模拟法庭等必需的教学实验设施也都不具备。
篇8
网络巨头思科的难题
据相关统计资料显示,移动办公市场在未来三年将保持稳步增长。预计在2013年,采用移动办公模式的办公人员将超过12亿人,占全球办公人员总数的35%。同时,CEA研究机构针对美国市场的移动办公进行研究后结果称,远程工作人员中只有34%使用公司提供的终端。这意味着,大多数移动办公人员更倾向于使用自己的设备。BYOD模式可以提升员工的工作效率,并且可以按照员工自己的时间来安排工作,使员工在工作的同时感觉更加舒心,但是在对BYOD毫无防备的情况下,或者是由于移动设备丢失,已经使某些公司遭遇了商业秘密数据丢失。这是一个非常重要,而且是非常危险的信号——BYOD已经开始对企业造成了直接的利益损失。
此时,CIO们不得不对安全战略重新部署,而IT部门不得不全力支持员工们的工作并且保护其信息安全。网络巨头公司思科在接受BYOD战略后,思科的CSIRT(计算机安全事件响应小组)关心的政策执行也变得更加复杂。“随着用户携带自己的设备来公司,政策执行变得更加困难,”思科CSIRT团队信息安全调查经理Matthew Valites在讨论思科的安全事件响应做法时表示,“BYOD是一个真正的问题。”为了节约成本,思科不再向员工提供智能手机,而希望员工使用他们自己的手机,除非他们的工作受到政府的监管限制而必须使用企业配备的设备。Valites承认:“对于我的团队而言,这是一个很大的问题。”
移动设备安全需双管齐下
据调查,面对这种显而易见的安全威胁,为了保护企业的核心信息,不被个人自带设备而破坏,只有9%企业用户准备引入一些更加严格的防护禁止手段,来控制这些设备的使用。不过,据Gartner预测,到2014年,将有90%的公司支持在员工的私人设备上安装企业工作软件。
对于CIO们而言,保护移动设备数据安全一般需要双管齐下:①对移动设备磁盘和数据加密,②对移动设备进行监管和认证许可。例如周期性地生成新的加密锁,以及一定次数的登陆失败后锁定并清除数据等手段。现在市场上已经逐渐出现了移动设备安全管理系统(MDM),它面向各类移动提供安全保护、监控、管理和支持的软件。目前国外一些厂商(McAfee)已有自己MDM产品。
BYOD的安全保护与员工体验
尽管BYOD的初衷是为了使得员工更为舒适和方便的办公,提高员工工资的满意度,但是随着BYOD安全的管理逐渐增强,不少员工开始为BYOD有些担忧。比如,基于GPS和三角定位等移动位置追踪与移动设备安全管理系统(MDM)的结合,使得员工的位置信息可以被安装在诸如平板或者智能手机等移动设备上的应用软件所记录下来,这些位置数据可以被公司获得甚至利用。因为当设备丢失或者被盗的情况发生时,管理者可以通过MDM远程擦除设备上的个人资料,以及公司的内部数据。这种决策其实在某种角度上也是有利于数据保护的。很多时候,员工在签署BYOD条款时,都会接受并且同意通过在他们自己的设备上安装MDM应用来与公司的MDM服务器建立连接,从而方便自己的工作,但是员工同样也担心自己时刻会被跟踪。
篇9
近日,由中国金融认证中心(CFCA)举办的“第十届中国电子银行年会暨中国移动金融发展论坛”在京举行。中国金融认证中心在论坛上还同时了《2014中国电子银行调查报告》(下文简称《报告》)和《互联网金融研究报告》。从与会嘉宾的演讲和讨论中不难发现,移动金融或许正在重构电子银行发展格局。
《报告》显示,2014年移动金融势头发展迅猛,移动支付用户比例成倍增长,尤其是在远程支付方面,2013年的远程支付的用户比例为13.3%,2014年则达到了37.8%。
这也显示出了手机银行业务的巨大发展潜力。该报告预测,2015年个人手机银行将出现爆发式增长,用户比例将达24%,超过4成的用户将通过手机银行购买理财产品。
该报告还指出,中国电子银行业务连续五年呈增长趋势,2014年个人电子银行用户比例为43.1%,同比增长7.2个百分点。
中国金融认证中心总经理季小杰认为,2014年电子银行领域最突出的特点概括起来就是网络金融高歌猛进,直销银行陆续上线,银行系P2P逐渐被大众认可,微信银行服务深入人心,创新型产品不断涌现,移动金融快速发展,电子银行业正在进入精细化客户管理时代。
中国人民银行支付结算司副司长樊爽文指出,一年多来,金融领域最引人瞩目的话题是互联网金融,其中包括互联网支付、P2P网贷、股权众筹等各种新业态,在业界讨论得广泛热烈,实践得红红火火。经过充分的讨论和实践,虽然有关各方分歧依然不少,但共识越来越多。其中主要的共识之一,就是无论在哪种业态下,都必须最大限度地保护金融消费者的合法权益。
显然,保护金融消费者的合法权益和资金安全是金融行业的职业操守和准则。然而,无论是从用户的体验还是系统的设计方面,安全和风险控制仍然需要引起相关机构的关注。《报告》显示,有72%的用户认为网上银行仍然是最安全的电子银行渠道,远高于其他电子银行渠道。
篇10
关键词:移动支付;风险分析;安全策略
1 引言
移动支付也称为手机支付,就是允许用户使用其移动终端(通常是手机)对所消费的商品或服务进行账务支付的一种服务方式。单位或个人通过移动设备、互联网或者近距离传感直接或间接向银行金融机构发送支付指令产生货币支付与资金转移行为,从而实现移动支付功能。移动支付将终端设备、互联网、应用提供商以及金融机构相融合,为用户提供货币支付、缴费等金融业务。
移动支付突破了传统电子商务的载体和地域限制,真正实现随时随地地通过无线方式进行交易,大大增强了买卖双方的灵活性和支付性,从而使大规模用户参与和个性化服务成为可能。2016年是移动支付快速发展的一年,全球市场呈现爆发式增长态势,据专业调研机构分析,2016年全球移动支付用户将突破10亿,移动支付交易额将达到2000亿美元。
根据中国银联近日的《2016移动支付安全调查报告》显示,2016年消费者网上消费金额及使用移动支付人数占比呈现双增长。根据报告,去年有超过九成的受访者曾使用手机完成付款(在商户现场支付或远程支付)。约四成的受访者选择“大额支付用卡,小额支付选手机”。
但是,目前在移动支付信息安全保障方面还存在着很多问题,报告显示,2016年电信诈骗案件持续高发,消费者受损比例持续走高。约有1/4的被调查者表示遭遇过电信网络诈骗并发生过损失,较2015年上升11个百分点。据调查,遭受电信网络欺诈的被调查者中,超过八成遭遇过盗用社交账号诈骗,较2015年同比增长了36个百分点。另外,木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇两类手法的持卡人比例达到63%和51%。因此,保障移动支付安全将是移动支付发展的一大瓶颈。
2 移动支付的风险分析
2.1 基础网络风险隐患
运营商网络通信环境的潜在威胁无处不在。一是手机目前还无法完全验证网络接入点的安全性。黑客从伪基站、恶意WiFi网络可能获取用户信息,发起恶意攻击。二是在无线通信网络中,黑客可通过技术手段窃听无线信道,截获传输消息报文,伪造合法用户身份或篡改数据信息。三是一些不法分子利用伪基站技术发送诈骗短信,利用群呼、透传等技术实施电话诈骗,将主叫号码伪装成虚假的银行、运营商等官方号码,迷惑用户上当受骗。
2.2 移动设备安全漏洞
移动支付业务的实现依托移动设备,而作为最常用的移动设备,智能手机的安全性值得高度关注。一是手机操作系统漏洞不易修复。手机生产商在安卓操作系统上进行个性化定制开发后,难以形成统一的技术标准,尚未形成如个人电脑Windows系统那样全球统一的漏洞与补丁更新机制,手机操作系统的安全性面临挑战。二是手机病毒防范能力较弱。手机客户端软件打开的网址往往无法被手机安全软件捕获,二维码扫码工具仅简单地将二维码翻译成网站地址,并不具有识别恶意网址的能力,使得手机被木马程序入侵的几率大增。
2.3 服务提供商重便捷轻安全
第三方支付机构通过抢红包、打车补贴、互联网理财等支付场景积极抢占移动支付市场,往往牺牲部分安全性以提高便捷性。如部分快捷支付功能在绑定银行卡后仅需输入支付密码即可完成网上支付,二维码扫码支付通过手势密码登录客户端后就可进行200元以下的免密小额支付,某些应用程序通过读取通讯录和短信记录可实现免填验证码等,强调了用户体验,却埋下了安全隐患。如何在便捷与安全之间寻求平衡点成为移动支付产业链各方积极探寻的突破口。
2.4 行业制度规范尚不完善
我国移动支付方兴未艾,相关规章制度正在逐步建立和完善中,尚未形成明确的监管框架和体系,在发展过程中难免会出现责任不清、监管缺失的真空地带。当前,互联网上借贷理财、众筹模式、虚拟比特币等新兴金融工具给别有用心的不法分子留下了可乘之机,如红包浪潮中红色“AA收款”诈骗事件再次给我们提出安全警示。完善制度约束,保障信息安全已经成为当务之急。
3 移动支付的风险防范措施
相对于传统的支付方式来说,移动支付的安全问题尤为严峻,产业链上所有部门都必须从技术到信用通力合作。如果要让移动支付更好的为人们提供方便快捷的服务,就必须先保证个人隐私和信息安全,如果人们在第一次认识移动支付时就有很不好的或者不安全的体验,那么以后移动支付想要扭转这个“第一印象”会非常困难。因此手机支付发展的瓶颈是安全问题。根据移动支付的安全问题,可以采取以下措施,从而保证其安全性。
3.1 完善手机支付的安全管理
首先,对于移动应用发行商与移动支付服务商,二者要加强安全管理,通过测试与监管等手段,对恶意应用进行预防,对应用软件进行全面的管理,从而保证应用市场的安全性,提升渠道的安全性。其次,要提升安全防护能力,对于智能终端、应用软件与操作系统等进行不断的研发,从而保证其安全能力的逐步提升。最后,可以将手机支付业务也纳入到金融法律法规监管范围,当用户遇到欺诈等安全问题时可以在法律责任上找到明确的判断,明确各方应付的责任和赔付条款。
3.2 强化安全模块的保护功能
安全模块的功能主要是保证应用的实现,同时保障数据的安全存储,并且要提供相应的安全运算服务等。安全模块具有较高的安全性,在手机支付过程中,可以利用手机中的安全模块,即:用户识别卡(SIM),用户识别卡保证着手机支付的安全,是最为基础的安全保障,在其中将用户的私钥与数字证书进行存放,此时,要保C密钥也在卡内,对于加密与解密等操作,均要在卡中实现,从而将实现对用户数据信息的保护。现阶段,在手机支付中,主要的方案是机卡协作,此方案是最为基础的,其原理与Usbkey相似,其主控制芯片便是安全芯片,进而具有了诸多的功能,如:防复制、防篡改、抗攻击等。
3.3 引导客户建立手机支付的安全意识
培养良好的手机使用习惯,譬如只从官方网站或可信任的网站下载软件,安装手机安全防护软件,不点开陌生的彩信,不接收陌生的蓝牙推送程序,不随意扫描二维码.不要随意连接陌生兔费WiFi等。
参考文献
[1]陶凯.红包大战引发对移动支付安全的冷思考[J].中国信用卡,2015(5)
[2]陈钟.移动支付安全保障――挑战与机遇[J].金融电子化, 2012(6)
