信息安全調查報告范文
時間:2023-04-08 17:16:15
導語:如何才能寫好一篇信息安全調查報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
第一部分 調查背景、方法 隨著用戶在網絡與信息安全意識和安全需求方面的提升,近幾年來,網絡與信息安全市場正以倍速增長,行業發展日趨集中化和規范化,國內的網絡與信息安全廠商已逐漸由原來的星星之火發展起燎原之勢。網絡與信息安全產業不但關系到國家的政治、經濟、文化和國防安全,同時也成為it產業發展的一大亮點,在產業發展的過程中,也涌現出了大批優的網絡與信息產品和服務品牌,其中也不乏行業中的后起之秀。 為了讓優秀的、具有一定實力的中國網絡與信息安全生產和服務廠商脫穎而出,擁有更廣泛的合作機會,讓用戶了解國內優秀的網絡安全廠商和安全產品;推動構建面向未來、一體化的可信賴網絡的發展,XX中國互聯網大會.網絡與信息安全論壇組委會,結合大會和論壇在組織、媒體、用戶和專家層面的資源,發起了中國網絡與信息安全優秀品牌調查活動。本次活動由中國互聯網協會主辦,上海交通大學信息安全工程學院承辦,國家信息產業部、科技部等部委對活動予以指導,組織成立了中國網絡與信息安全優秀品牌推薦專家評審委員會,保證了評選活動的中立性、專業性和權威性。 本次調查共有有效樣本1143份,樣本廣泛覆蓋政府機關、金融、電信、能源、教育文化、互聯網企業等各類用戶。調查時間為**年7月15日--**年8月20日。采用的調查方式是通過網絡調查、傳真、e_mail和信件等多種方式向廣大的互聯網用戶發放問卷。 活動評選的過程同時得到了網易、新浪、天極、計算機世界、信息安全與通信保密、信息網絡安全等大眾和專業媒體的大力支持。 第二部分 調查結果 一、使用過何種類型的網絡與信息安全產品 (一)網民中安全產品的使用情況:防火墻產品和防病毒產品是網民使用最多的兩種網絡與信息安全產品 在調查問卷中設計了問題:在您所在的網絡信息系統中,您使用過何種類型的網絡與信息安全產品?(可多選),調查結果顯示,防火墻產品和防病毒產品是網民使用最多的兩種網絡與信息安全產品,有三分之二的網民使用過防火墻產品,防病毒產品也有62.9%的網民使用過。 身份認證產品、pki平臺產品、入侵檢測(ids)產品也都有二十多個百分點的網民使用率,三者居于調查所列產品的三、四、五位,在網民中分別有26.77%、25.02%和21.35%的人使用過這些產品。vpn產品以17.94%的網民使用率排在第六位。 安全容災與數據存儲產品、安全管理產品、安全審計產品在網民中的使用率分別為7.26%、6.21%和6.04%,排在所調查的十二個產品類別的最后三位。 (具體參見下頁圖) 略 (二)各種安全產品的市場份額比較:防火墻產品、防病毒產品占了四點五成的市場份額 根據網民對各種網絡與信息安全產品的使用情況,可以看出各個產品所擁有的市場份額。從調查的情況來看,病毒和防火墻產品占據市場很高的比例,兩者所占的比例超出了20%。另外依次排列其后的是身份認證類(占9.5%),如果考慮進pki的因素(8.9%),關于認證產品的使用情況也占了很高的比例。另外占比例比較高的還有ids產品、vpn產品,其它產品也都有選擇,所占比例不是很高。 (具體參見下圖) 略 二、最信賴的防病毒廠商品牌:國產品牌位居三甲,趨勢、瑞星、symantic是三種網民最信賴的防病毒廠商品牌 對于問題您認為最值得信賴的防病毒廠商品牌?(最多限選三家),統計結果顯示,占前三名的分別是趨勢、瑞星和symantic,在網民中分別各有23.45%、17.5%、15.84%的網民認為它們是最值得信賴的防病毒廠商品牌。值得注意的是,國產品牌瑞星位居第二,其它兩個屬于國外品牌。 另外,卡巴斯基、金山、.朝華安博士三個品牌都有十個百分點以上的網民信賴率。(具體參見下圖) 三、最值得信賴的國外防火墻產品品牌:cisco和netscreen是中國網民最信賴的國外防火墻產品品牌 調查數據顯示,對于最值得信賴的國外防火墻產品品牌?(最多限選三家)這一問題,cisco和netscreen是中國網民最信賴的國外防火墻產品品牌,在網民中分別有有四分之一的人和五分之一的人認為這兩個品牌是最值得信賴的國外防火墻產品品牌。 3com、checkpoint以非常接近的十七個左右百分點的網民信賴比例位列三、四位;sonicwall和fortigate也以和接近的十二個左右百分點分列五、六位;isa、amaranten、watchguard分別有8.66%、8.22%、6.47%的網民信賴率排在七、八、九位;nokia在所調查的產品品牌中處于最后,只有1.31%的網民最信賴這一產品。(具體參見下圖) 四、最值得信賴的國內防火墻產品品牌:藍盾是在網民中最值得信賴的國內防火墻產品品牌;與國外品牌相比,國內防火墻產品品牌的網民信賴率較低,還沒有絕對的優勢品牌 調查結果顯示,對于調查題目:您認為最值得信賴的國內防火墻產品品牌?(最多限選三家),藍盾是在網民中最值得信賴的國內防火墻產品品牌,在網民中有16.71%的人最信賴這一品牌。 在其它選項中的得票數為14.87%,超出了第二位天融信的得票數,可以看出,一方面是最多信賴率的藍盾的網民比例不是很高,另一方面是 其他 項這種不確定的品牌比例較高,說明了在國內的防火墻品牌中,還沒有在用戶中形成牢固的品牌概念,也就是還沒有絕對優勢的品牌。 除了其他項外,天融信是第二家被網民認為最值得信賴的國內防火墻產品品牌,有14%信賴選擇率。 海信、聯想、朝華分別以12.16%、11.9%、10.32%的信賴選擇率居于第二集團;清華得實、紫光比威、天網、東方龍馬、方正、東軟分別以8.92%、7.79%、7.7%、7.61%、7.52%、7.44%居于網民的信賴選擇率的第三集團;在調查所列項目中居于最后兩位的是華堂(6.47%)華依(5.86%)。(具體參見下圖) 略 與國外防火墻品牌相對比,可以發現國內品牌的網民信賴率偏低。如國外最值得信賴的防火墻品牌前兩位的網民信賴率分別比國內品牌的高了九個和六個百分點,國內最高的藍盾在國外品牌的信賴率中只能排在前四名以外。 五、最值得信賴的身份認證品牌:沒有明顯的領先者,相對而言,上海ca unitrust證書系統、verisign、安盟身份認證是最值得網民信賴的前三位 對于調查題目:您認為最值得信賴的身份認證品牌?(最多限選三家),獲得最多網民選擇的是其他,有21.96%的網民選擇率
,這說明了這一產品還沒有形成市場的領先者。 相對而言,不包括其他項,最值得網民信賴的身份認證品牌前三位是上海ca unitrust證書系統、verisign、安盟身份認證,分別有16.71%、13.56%、13.21%的網民信賴選擇率。而彩虹天地ikey、cfca的網民信賴選擇率最低,分別只有7.79%和6.74%的網民信賴選擇率。(具體參見下圖) 略 六、最值得信賴的pki認證廠商品牌:格爾、信安世紀是最值得信賴的兩個品牌 對于題目:您認為最值得信賴的pki認證廠商品牌?(最多限選兩家),調查結果顯示,格爾、信安世紀分別有35.52%、33.42%的網民信賴選擇率居于前兩位。吉大正元獲得了21.87%的網民信賴率,排在第三位。不包括其他項的話,維豪在所列的四個調查品牌中排在了最后,只有4.55%的信賴選擇率。(具體參見下圖) 略 七、最值得信賴的入侵檢測(ids)品牌:排除其它選項,最值得信賴的入侵檢測(ids)品牌前三名的是:綠盟、清華紫光、啟明星辰 調查數據顯示,調查問題:您認為最值得信賴的入侵檢測(ids)品牌?(最多限選三家),沒有絕對的優勢品牌,獲得最多選擇的是其他項。排除其他項,最值得信賴的入侵檢測(ids)品牌前三名的是:綠盟、清華紫光、啟明星辰,它們的信賴選擇率分別是:19.42%、15.14%、13.39%。所列的調查品牌中,也沒有明顯的弱勢品牌,信賴選擇率最低的三零鷹眼品牌都有十個以上的百分點,獲得了10.06%的信賴選擇率。(具體參見下圖) 略 八、最值得信賴的vpn產品:不包括其他項的話,獲得網民最高信賴選擇率的vpn產品品牌前三位依次是:華為、邁普、東軟 對于調查題目:您認為最值得信賴的vpn產品?(最多限選三家),網民的選擇結果是其他項獲得的信賴比例最高。這同樣也說明了在這一產品上還沒有形成優勢品牌。 不包括其他項,獲得網民最高信賴選擇率的vpn產品品牌前三位依次是:華為、邁普、東軟,三者分別獲得了22.05%、16.89%、14.26%的網民信賴選擇率。處于最后兩位的是:安達通vpn(10.76%)、鵬越驚虹(7.35%).(具體參見下圖) 略 九、認為最值得信賴的安全容災與存儲品牌:ibm 、hp是最值得信賴的安全容災與存儲品牌 調查數據顯示,對于問題:您認為最值得信賴的安全容災與存儲品牌?(最多限選三家),ibm 、hp是獲得最多網民選擇的兩個品牌,分別獲得了27.21%、23.10%的信賴選擇率。 brocade silkworm也有較高的選擇率,有21.70%。在所列的七個調查品牌中,最低的是亞美聯estor nas,獲得了7.17%的信賴選擇率。(具體參見下圖) 略 十、最值得信賴的內容安全產品品牌:不包括其他選項的話,美訊智、中網依次是前兩位的產品品牌 對于您認為最值得信賴的內容安全產品品牌?(最多限選兩家),獲得最多選擇的是其它,有25.02%的網民信賴選擇率。與前面的一些產品一樣,說明在這一方面還沒有完全的市場領先者。不包括其它選項,選擇率排在前三位的依次是:美訊智、中網、思維世紀,它們獲得的選擇率分別是:20.56%、15.92%、13.47%。在這一調查題目所列的品牌,沒有明顯的市場弱勢者,最后一個品牌世紀瑞達(10.15%)的信賴選擇率都在十個百分點以上。 (具體參見下圖) 略 十一、最值得信賴的安全服務品牌:不包括其他選項,選擇率最高的前三位依次是:中聯綠盟、iss、聯想 調查結果顯示,對于調查題目:您認為最值得信賴的安全服務品牌?(最多限選三家),獲得最高選擇的是其他選項。排除這一選項的話,選擇率最高的前三位依次是:中聯綠盟、iss、聯想,它們的信賴選擇率依次是:16.54%、13.12%、13.04%。其后依次是安氏(11.37%)、啟明星辰(10.76%)、濟南得安(9.97%)、億陽信通(9.45%)、三零衛士(9.27%)、鵬越驚虹(7.35%)、川大能士(6.04%)。居于后三位的是:科聯(5.60%)、廣州科友(4.11%)、和亞信(2.01%)。(具體參見下圖) 略 十二、最值得信賴的安全隔離品牌: 如果排除其它選項,得票數最多的前三位是:朝華、浪潮網泰、金電網安 調查發現,對于問題:您認為最值得信賴的安全隔離品牌?(最多限選三家),其它選項獲得了20.65%的選擇率,排在最高,比后面的高了近四個百分點。這說明了在這一產品上還沒有形成優勢品牌。不包括其它選項,得票數最多的前四位是:朝華、浪潮網泰、金電網安、天行網安,它們分別獲得了16.97%、14.61%、12.69%、12.34%的信賴選擇率。在所列的調查品牌中,信賴選擇率最低的是中科誠毅(2.80%)。(具體參見下圖) 略
[1]
篇2
這份調查報告基于Applied Research公司在2011年4月~7月期間匯集38個國家的5300名受訪者的意見,包括中小企業和大型企業組織中負責計算機、網絡和技術資源的IT和專業管理人員。該調點關注企業如何部署云計算,以及如何處理云計算給IT管理帶來的變化等。
調查結果顯示,企業對云安全的態度十分矛盾――既將其列為邁入云端的首要目標,同時又將其看做最大的擔憂,潛在風險包括惡意軟件、黑客盜竊以及機密資料的丟失。
同時,大多數公司仍未做好邁入云端的準備。只有少數受訪者(15%~18%)認為其已經完全做好過渡到云計算環境的準備。造成這種局面的部分原因在于相關經驗的缺乏,因為僅有25%的IT團隊擁有部署云計算的經驗。
調查還顯示,目前企業在云計算方面還是說得多做得少,不到20%的公司已經實現了調查所涵蓋的任一種云計算環境。其中,安全是用得最多的云服務,用得較多的云服務包括電子郵件服務(例如管理或安全)、安全管理、網頁和即時通訊(IM)安全在內的云服務。而在那些已經嘗試云計算的企業中,其實現效果并不令人滿意,88%的受訪者期待云計算能改善其IT靈活性,但是僅有47%的企業實現了預期。調查結果還顯示,云計算在災難恢復、效率、降低運營費用以及改進安全性方面的作用仍未達預期。
篇3
云計算的擔憂
對于云計算面臨的安全問題,SafeNet的調查報告顯示,88.5%的企業對云計算安全擔憂,占首位。一方面,安全保護被視為云計算廣泛使用的絆腳石,另一方面,它也可以成為云計算的推動力量。在“云”模式下,通過找到一個有效的保護數據的方法,企業則可以將“云”模式所帶來的商業潛力最大化,從而在行業中保持持續創新和增長。
然而,隨著云計算的普及,以及威脅的不斷增加,傳統的物理控制和管理方法不再有效。SafeNet中國區銷售總監江星指出:“隨著企業內部移動設備日益增多,員工之間的互相協作日益緊密,企業與合作伙伴協作方式發生變革,企業業務與SaaS、Web 2.0等技術結合得越來越緊密的同時,導致外部網絡攻擊、非授權用戶的訪問對企業核心數據造成越來越多的安全威脅。”
與此同時,安全威脅的層級也在不斷提升。江星強調:“從黑客的外部侵害,到有組織的網絡犯罪;從外來者到企業內部人員;從數據損失和身份信息泄露,企業所面臨的信息安全威脅隨著企業技術層級提升,更廣泛應用的普及,相關規范的健全,強度也在不斷提升。”
威脅的目標也更有針對性,根據相關報告,釣魚軟件的主要目標是企業用戶。從Verizon公司所公布的《2009數據侵害調查報告》中可以看出金融服務業是最容易被網絡欺詐盯上的行業,在2008年93%的數據被盜與金融行業相關。
江星表示:“犯罪組織和黑客選擇有針對性的威脅對象后,通過復雜的攻擊技術,系統的結構化工具,利用最新的系統漏洞,迅速發起攻擊,盜取數據、身份、知識產權等敏感信息。而企業還存在著低效數據保護,信息泄露途徑多樣等種種弊端。”
顯然如果企業想要在攻擊來臨之前,守好自家大門,勢必要首先了解企業自身的敏感數據包括什么?目前通過什么方法保護這些數據?這樣的方法和模式是否適合企業,是否能夠保護數據的安全?
數據防護貫穿云中
面對這些,SafeNet有清晰的認識,近30年的基于安全技術的執著探索。江星指出:“目前企業的數據類型主要包括三類:個人身份、支付數字和交易、知識產權。而存儲這些數據設備的孤島化,也使得傳統的安全措施面臨諸多挑戰,如安全策略混亂、安全政策制定和執行脫節、來自虛擬化和云計算等應用的挑戰等。這就需要企業面對安全威脅的變化,提供更合適的數據保護方法。”
“專注于貫穿信息生命周期的可持續性的數據保護,SafeNet公司以數據為中心的安全保護專業技術和產品會讓組織對數據安全問題感到放心,確保他們能夠將數據可靠地遷移到‘云’中。”云安全聯盟聯合創始人Jim Reavis說。
江星解釋說,SafeNet應對云計算安全挑戰的數據保護方案,貫穿于云計算整個信息生命周期各個環節,包括:保護用戶身份,應用程序和服務器,確保交易的安全執行,在數據建立、訪問、共享、存儲和傳輸整個過程中,確保數據的安全,確保關鍵數據通信路徑的安全。
篇4
小企業希望享受大服務
近年來,為了解決企業管理人員的技術水平難以應對不斷翻新的網絡攻擊問題,也為降低網絡安全管理和運維人員成本,提升工作效率,一些大型企業開始購買安全服務,并通過安全評估和應急響應來幫助他們處理各種管理方面的問題。
趨勢科技最新的《網絡安全產品和服務需求調查報告》顯示,85%以上的用戶認為信息安全領域最大的威脅仍是病毒攻擊;75%的用戶更希望能夠在成本可控制下,有選擇性地購買安全服務;92%的企業用戶除了防毒能力之外,最關心防毒廠商是否能提供配套的安全服務體系。
除此以外,大量權威調查機構的數據都表明,絕大多數的中小企業對自身和安全廠商都提出了更高的要求。他們希望以更優惠的價格得到廠商更多的服務支持,并享有大型企業的安全護航服務。
某國際貨運公司的CIO董先生表示:“安全運維工作的難點,首先是缺乏專業的人員協助處理病毒爆發事件,其次是我們缺乏主動性檢測的病毒入侵防御手段,而且IT運維人員可能需要同時肩負多個任務。在這種情況下,IT運維人員很難完成網絡巡檢和定期的網絡健康檢查。”
在很多企業的實際應用中,網絡管理者很難應付大規模的病毒爆發,企業網絡系統的安全性面臨多種挑戰。
首先,信息安全管理在任何一個IT系統生命周期中的地位是不變的,無論IT運維投入有多艱難,但對于安全管理來講,永遠是“不怕一萬,就怕萬一”。
其次,就如我們所知道的那樣,有效的信息安全管理包括防范、偵測和應急響應的互相配合。除了部署強而有力的安全保護措施外,企業還應具備安全事故應急能力,以備在發生“疾病”的時候可以激活配套的響應程序。
還有,針對“主動式”的運維需求,IT部門在安全問題處理周期中普遍存在明顯的時間滯后現象,所以尋求外界的支持和幫助必不可少。
專家值守服務可自助選擇
其實企業級用戶選擇安全外包或是購買服務早已不是什么新鮮事了,但對中小企業用戶來講,一旦網絡癱瘓,卻很難享受到廠商的安全服務。因為在網絡安全廠商提供的服務方案中,通常會對上門服務收取高額的費用,這讓中小企業用戶幾乎沒有選擇的權利。
近日,趨勢科技提出打造企業安全“一站式服務”的解決方案,嘗試將專家值守服務(EOG)以“自助選擇”的形式提供給中小企業用戶。中小企業不但可以根據自身規模和行業安全等級評估的方式購買應急響應和專家服務,靈活的配套方案還可以使企業選擇的空間更大。
篇5
關鍵詞:云計算;云安全;云服務
1 什么是云計算
據統計,目前云計算的定義超過50種。不同的專家、企業都從自己的角度對云計算的概念進行了定義。其中得到認可的、比較權威的是美國國家標準技術研究所(NIST)的定義。
NIST對云計算的定義:云計算是一個模型,這個模型可以方便地按需訪問一個可配置的計算資源(如網絡、服務器、存儲設備、應用程序以及服務)的公共集。這些資源可以被迅速提供并,同時最小化管理成本或服務提供商的干涉。云計算模型由五個基本特征、三種服務模型和四種形態組成。
云計算的五個基本特征:按需自助服務、廣泛的網絡訪問、資源共享、快速的可伸縮性、可度量的服務。
云計算的三種服務模型:軟件即服務(SaaS)、平臺即服務(PaaS)、架構即服務(IaaS)。
云計算的四種形態:私有云、社區云、公有云、混合云。
2 云計算的安全挑戰
近段時間以來,國內外先后發生數據中心或云主機宕機事件,對企業和用戶造成了一定的損失。云安全這個問題又一次被擺上了臺面,吸引了人們的目光。
2.1 易混淆的云計算安全
云安全的產業鏈條,包括了云安全環境、云安全設計、云安全部署、云安全交付、云安全管理、再到云安全咨詢,是一個閉環。IDC 報告指出,云的安全性至少包含兩個層次,一是制約用戶接受云計算的信用環境問題,這是云計算得以應用的基礎,也是廣泛推廣的門檻,然后才是云計算的應用安全。而其中,良好的信用環境是云計算安全之基礎,也就是說,只有用戶認可并采用了云服務,接下來才談得上云安全的技術問題。對于云安全的推動和實現,市場上的云安全提供商也發出不同的聲音。
同時不容忽視的是云計算安全,它與云安全的區別是Security for the cloud和Security form the cloud。云計算安全指的是如何保護云計算環境本身的安全性,云安全指的是如何利用云計算技術給用戶提供安全服務。
2.2 云計算安全七宗罪
安全專家表示,選擇云計算的企業可能熟悉多重租賃(多個公司將其數據和業務流程托管存放在SaaS服務商的同一服務器組上)和虛擬化等概念,但這并不表示他們完全了解云計算的安全情況。
安全專家Reavis認為,選擇云計算時企業應該采取更加務實的做法,如采用風險評估來了解真正的風險以及如何降低風險,然后再決定是否應該采用云計算技術。
云安全聯盟與惠普公司共同列出了云計算的七宗罪,主要是基于對29家企業、技術供應商和咨詢公司的調查結果而得出的結論。
⑴數據丟失/泄漏:云計算中對數據的安全控制力度并不十分理想,API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏,并且還可能缺乏必要的數據銷毀策略。
⑵共享技術漏洞:在云計算中,錯誤的配置可能會造成嚴重影響,因為云計算環境中的很多虛擬服務器共享著相同的配置。因此必須為網絡和服務器執行服務水平協議(SLA),以確保及時安裝修復程序。
⑶內奸:云計算服務供應商對工作人員背景的調查力度可能與企業數據訪問權限的控制力度有所不同,很多供應商在這方面做得不錯,但還不夠,企業需要對供應商進行評估并提出如何篩選員工的方案。
⑷帳戶、服務和通信劫持:很多數據、應用程序和資源都集中在云計算中,而云計算的身份驗證機制如果很薄弱的話,入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機。因此建議主動監控這種威脅,并采用多重身份驗證機制。
⑸不安全的應用程序接口:在開發應用程序方面,企業必須將云計算看作是新的平臺,而不是外包。在應用程序的生命周期中,必須部署嚴格的審核過程,開發者可以運用某些準則來處理身份驗證、訪問權限控制和加密。
⑹沒有正確運用云計算:在運用技術方面,黑客可能比技術人員進步更快,黑客通常能夠迅速采取新的攻擊技術在云計算中自由穿行。
⑺未知的風險:透明度問題一直困擾著云服務供應商,用戶僅使用前端界面,他們無法確切知道供應商使用的是哪種平臺以及將面臨何種風險。
另外,云計算也有有網絡方面的隱憂。由于病毒破壞,網絡環境等因素,一旦網絡出現問題,云計算反而成了桎梏。
3 云計算的發展與未來
云計算的發展大致分為三個階段:首先是準備階段,主要進行技術儲備和概念推廣,解決方案和商業模式尚在嘗試中,用戶對云計算認知度仍然較低,成功案例較少;其次是起飛階段,這一時期成功案例逐漸豐富,用戶對云計算的了解和認可程序也不斷提高,越來越多的廠商開始介入,市場上出現大量的應用解決方案;第三是成熟階段,云計算產業鏈、行業生態環境基本穩定,各廠商解決方案更加成熟穩定,用戶云計算應用取得良好的效果,并成為IT系統不可或缺的組成部分。
在云計算產業實際推進的過程中,2011年無疑是云計算應用的元年,各地云計算數據中心相繼興建和完善,很多軟硬件廠商也推出了云計算發展規劃和相應的云計算產品及解決方案,云計算產業呈現出強勁的發展勁頭。
毫無疑問,云計算確實給企業帶來了新的契機。《2012年中國云計算安全調查報告》顯示:
⑴2012年,79.6的企業在進行或考慮用云計算來做事(PaaS、IaaS、SaaS、云存儲/備份、私有云、混合云)。
⑵超過22.8%的企業正在使用私有云,50%的企業正在考慮建設私有云。
⑶企業當前使用最多的云服務依次為電子郵件業務管理應用(如谷歌APP、微軟Office)、遠程存儲/備份、網絡監控/管理。
……
然而,過去一年里爆發的云計算安全事件,如亞馬遜云計算中心宕機、微軟云計算交換在線服務故障、谷歌郵箱用戶數據泄露等,使云計算產業的發展不可避免地遭遇了瓶頸。
另外,從調查報告中我們也看到:
⑴企業表示對信用卡數據、商業或合作伙伴的財務數據和客戶身份信息等特殊類型的數據永遠不會遷移到云端。
⑵在云計算模型中,企業認為私有云是最安全的,其次為基礎設施即服務(IaaS),平臺即服務(PaaS)位居第三。
⑶在云計算模型中,企業認為軟件即服務(SaaS)是最不安全的。
……
不難看出,安全問題仍是橫亙在云計算與企業之間的一扇門。能否破解這道難題,是擺在云服務提供商、信息安全廠商面前的又一道坎,也是云計算未來能否實現跨越式發展濃墨重彩的一筆。
4 總結
有業內人士認為云安全是一個偽命題,這種說法過于激進,但也是有一定道理的。安全永遠是相對的,沒有絕對的安全存在。就好像飛機是目前最安全的交通方式,卻還是會出現事故一樣。現在云計算的概念非常火熱,越來越多的企業也已經意識到云計算的重要性,開始投資部署云計算。
可以預見,隨著新的安全解決方案和技術的不斷出現,企業的業務、數據管理模式必將發生革命性的變化,但無論如何發展,統一、簡單、自動化、現代化的數據管理模式必將成為主流,也將為企業帶來更多收益。
篇6
1.1網絡層面。在SaaS模式下云服務供應商大都通過因特網向用戶提供應用軟件服務。而在因特網環境下,蠕蟲、惡意代碼、黑客攻擊等安全問題無處不在,攻擊者利用病毒、攻擊腳本等各類手段截獲網絡傳輸過程中的重要用戶數據,甚至進一步入侵服務器獲取權限或破壞數據。
1.2應用層面。在SaaS模式下,對于電子政務系統的建設,政府多是只進行投資建設,而搭建架構及運維均外包給服務供應商。如果沒有建立完善的身份鑒別和訪問控制措施,惡意的,有時候甚至是善意的云服務供應商行為可能會越權或濫用權限獲取客戶的數據及應用。
1.3數據層面。在SaaS模式下,系統的數據安全可靠性完全依賴于軟件服務供應商,而自身對數據的控制能力相對較弱。如果安全措施不完善,服務器管理員或數據庫管理員極有可能直接對數據庫中存儲的用戶敏感數據進行查詢、復制等操作,從而導致信息丟失或泄露。VerizonBusiness最新的數據泄漏調查報告顯示,在所有信息泄露事件中,48%事件是由于內部員工濫用權限所致。
1.4管理層面。“三分技術七分管理”,可見管理在信息安全管理體系的重要性。服務供應商的管理制度不完善可能會造成員工安全意識薄弱,人員分配上沒有明確的制度和規則從而導致,人員管理混亂,責任不明確,一旦出現安全事故無法及時補救,事后追溯時,又無法找到主要責任人。
2基于SaaS的電子政務系統的安全策略
2.1網絡層面。為了防止在因特網環境下的蠕蟲、惡意代碼及攻擊行為對客戶端計算機和服務端計算機的入侵,客戶端和服務端都應采取有效的防惡意代碼及入侵防護等安全措施,并提供必要的網絡審計類措施進行安全事件回溯,服務端除了常使用的網絡防火墻、IDS、IPS設備外,還可通過部署虛擬蜜罐系統加強對重要業務系統的防護。
2.2應用層面。應用層面包括身份鑒別、訪問控制、安全審計等方面。身份鑒別是安全防御體系中的最基本組成部分,也是防止非授權訪問的最主要手段。換而言之,身份鑒別是訪問控制和安全審計的前提。為了加強鑒別措施,SaaS云服務提供商除了采用傳統的“用戶名+口令”的鑒別方式之外,還應該添加兩種以上組合鑒別方式,例如動態口令、智能卡的令牌認證、指紋、虹膜等的用戶身份鑒別方式。訪問控制方面,SaaS服務供應商應嚴格限制不同訪問者的訪問權限,對敏感數據進行隔離。同時SaaS服務供應商應該對安全日志作定期的分析并生成報表,確保在發生安全事件時,有據可查。
2.3數據層面。在SaaS模式下服務端存放用戶數據隸屬于多個租戶,而傳統的信息系統中,用戶數據往往存儲在各自服務器數據庫中。因此SaaS云服務提供商應當在采用有效的隔離措施及訪問控制措施來確保同一系統不同租戶間的數據保密性,防止由于應用程序的漏洞造成用戶數據泄漏或破壞。同時,云服務供應商應具有完善的災備措施和系統恢復能力,以便在發生數據泄漏或破壞時,進行及時恢復。對于SaaS模式的電子政務系統,由于其對因特網的依賴性較大,所有數據的傳輸大都通過互聯網,極有可能被惡意用戶監聽截獲。因此一旦涉及到核心數據、敏感數據的傳輸與存儲,就應當采用加密方式,如通過SSL通道或VPN隧道等途徑。同時在存儲過程中也應采取加密技術,可大大降低云服務提供商竊取用戶重要信息的可能性。
2.4管理層面。信息安全的核心實際上是管理,安全技術只是實現管理的一種手段[4]。管理層面上,應確保能夠接觸客戶信息或業務數據的各類人員具備履行其信息安全責任的素質和能力,還應在授予相關人員訪問權限之前對其進行審查并定期復查,在人員調動或離職時履行安全程序,對于違反信息安全規定的人員進行處罰。此外,應制定應急響應計劃及事件處理計劃,并定期演練,確保在緊急情況下重要信息資源的可用性。加強對安全事件的預防、檢測、分析、控制,并對已發生的事件進行跟蹤、記錄并向相關人員報告。并應定期或在威脅環境發生變化時,對云計算平臺進行風險評估,確保云計算平臺的安全風險處于可接受水平。
3結束語
篇7
熱門專業變成失業大戶
麥可思公司(MyCOS)對20萬名畢業半年后的學生進行了“2007屆大學畢業生求職與工作能力調查”,結果顯示,我國最熱門的幾個本科專業都是供大于求,其中計算機科學與技術、法學、英語3個專業的學生在畢業半年后的失業人數都在萬人以上,在失業人數最多的10個本科專業中,熱門專業占了9個。
部分熱門專業就業難
畢業證、學位證都已經順利到手,可是湖北省武漢市某高校的小尹卻高興不起來。四年前,他“擠過獨木橋”,考進了武漢市的一所重點大學,學的也是熱門專業:法學。然而四年后的今天,他的父母卻依然在想方設法為他尋找工作,他自己也幾經“崩潰”。
小尹剛入校的時候對四年后滿懷信心, “那時候我們專業的畢業生進入的都是大企業,差一點兒的也進入了律師事務所。”
劉興目前的狀況雖然比小尹好點兒,但他也開心不起來,“學了四年的計算機,現在成為電腦城一名電腦修理工。”劉興告訴記者,他的同學中簽約大企業的幾乎沒有,“現在對口的好點兒的單位或是不招人,或是限制學校,我們正卡在縫兒里。”劉興說,他現在正備考公務員,“這是改變現狀的最好的出路。”
據麥可思的調查顯示,在635個本科專業中,最熱門的10個專業半年后的失業人數達到6.67萬人,占本科畢業生總失業人數的32.9%。應屆大學生畢業半年后失業人數最多的10個本科專業依次為計算機科學與技術、法學、英語、國際經濟與貿易、漢語言文學、工商管理、電子信息工程、信息管理與信息系統、會計學、數學與應用數學。
調查還表明,畢業半年后,本科專業的平均就業率是91.2%,但是很多熱門專業的就業率并沒有達到這個水平,其中法學專業就業率只有86%,存在嚴重過熱跡象。
本科熱門專業難就業,在高職/專科中,熱門專業的就業情況也不容樂觀。調查顯示,在573個高職/專科專業中,10個熱門專業半年后的總失業人數高達11.6萬,占了高職/專科半年后失業人群的28.6%。失業人數最多10個高職/專科專業中,就有8個是熱門專業。
對社會需求信息的掌握不準確是主因
江西省玉山縣第一中學的鄭廷高考估完分后,就和家人一起開家庭會議討論如何選學校、如何選專業,“先是仔細看學校發的《高考指南》,又上了好多相關網站查資料,看看每個專業到底學什么課,就業率怎么樣。”
但是做完這些工作之后,報考什么專業,他心里還是“沒譜”。
他又跑去咨詢老師,查看各個專業的全國排名,還看了幾個不同版本的大學排行榜。但是大學排行榜令他很失望,“大學排行榜太多了,比較雜,看來看去都不知道該參考哪一個了。”
“不認識專業,盲目跟風。”總結起當年填報志愿時,北京某高校的黃穎一臉無奈,“班里很多同學要么報經濟,要么報法律。”黃穎也義無反顧地選擇了法學,但是現在回過頭來看,黃穎才發覺,“當年考入一些冷門專業的同學幾乎都找到了對口的工作。”
據麥可思的調查顯示,考生在填報志愿時,大多數學生(56.7%)選擇和父母一起商量做出決定。與老師商量做出決定的占20%,另外15.9%的人自己決定。
調查報告指出,考生報考時了解的信息不全,是造成教育資源浪費的原因之一。就業率高的專業沒有人報,就業率低的“熱門”專業扎堆報。大部分考生在挑選大學專業時沒有做過職業規劃,加上老師、父母的經驗和知識有限,觀點有時也存在偏差,沒有一個完整的信息系統可供參考。
報考之前要對自己的實際情況定位
熱門專業難就業,與考生扎堆報考熱門專業有一一定的關系,如果考生在報考之前能進行自我認知和定位,找到適合自身潛能特征的專業和職業方向,那么,這一情況將有所改觀。調查報告指出,近幾年,潛能測試開始介入高考志愿填報,但是其優勢還沒有完全體現。
麥可思的調查顯示,在一些熱門專業難就業的前提下,機械電子工程則實現了就業率100%。除此之外,2007屆大學畢業生半年后就業率較高的本科專業還包括:醫學檢驗(99.1%)、醫學影像學(99%)、注冊會計師(98.4%)、物流工程(98.3%)、勘察技術與工程(98.2%)、建筑學(97.9%)、車輛工程(97.7%)、信息安全(97.2%)等。
調查顯示,畢業半年后就業率最高的高職/專科專業依次為:發電廠及電力系統(94.9%),土木工程施工與管刪(93.5%),機械設計與制造(93.4%),護理(92.8%),應用化工技術(92.8%)等。
專家分析高校專業設置與社會需求要吻合
一所經濟類院校新聞專業的畢業生楊青描述,學校原本的想法是依托學校的商科優勢辦經濟新聞,但新聞與經濟完全是“兩張皮”,“教經濟的根本不懂新聞,教新聞的老師也沒有人懂經濟。”
法學、計算機、生物等專業也是如此。據統計,目前國內法學院、系及專業教育機構已達600余個。這些法學專業點實力懸殊較大,法學14門核心課程都應該具備教員,但有的學校一名教師教數門課程。同時,圖書資料、模擬法庭等必需的教學實驗設施也都不具備。
篇8
網絡巨頭思科的難題
據相關統計資料顯示,移動辦公市場在未來三年將保持穩步增長。預計在2013年,采用移動辦公模式的辦公人員將超過12億人,占全球辦公人員總數的35%。同時,CEA研究機構針對美國市場的移動辦公進行研究后結果稱,遠程工作人員中只有34%使用公司提供的終端。這意味著,大多數移動辦公人員更傾向于使用自己的設備。BYOD模式可以提升員工的工作效率,并且可以按照員工自己的時間來安排工作,使員工在工作的同時感覺更加舒心,但是在對BYOD毫無防備的情況下,或者是由于移動設備丟失,已經使某些公司遭遇了商業秘密數據丟失。這是一個非常重要,而且是非常危險的信號——BYOD已經開始對企業造成了直接的利益損失。
此時,CIO們不得不對安全戰略重新部署,而IT部門不得不全力支持員工們的工作并且保護其信息安全。網絡巨頭公司思科在接受BYOD戰略后,思科的CSIRT(計算機安全事件響應小組)關心的政策執行也變得更加復雜。“隨著用戶攜帶自己的設備來公司,政策執行變得更加困難,”思科CSIRT團隊信息安全調查經理Matthew Valites在討論思科的安全事件響應做法時表示,“BYOD是一個真正的問題。”為了節約成本,思科不再向員工提供智能手機,而希望員工使用他們自己的手機,除非他們的工作受到政府的監管限制而必須使用企業配備的設備。Valites承認:“對于我的團隊而言,這是一個很大的問題。”
移動設備安全需雙管齊下
據調查,面對這種顯而易見的安全威脅,為了保護企業的核心信息,不被個人自帶設備而破壞,只有9%企業用戶準備引入一些更加嚴格的防護禁止手段,來控制這些設備的使用。不過,據Gartner預測,到2014年,將有90%的公司支持在員工的私人設備上安裝企業工作軟件。
對于CIO們而言,保護移動設備數據安全一般需要雙管齊下:①對移動設備磁盤和數據加密,②對移動設備進行監管和認證許可。例如周期性地生成新的加密鎖,以及一定次數的登陸失敗后鎖定并清除數據等手段。現在市場上已經逐漸出現了移動設備安全管理系統(MDM),它面向各類移動提供安全保護、監控、管理和支持的軟件。目前國外一些廠商(McAfee)已有自己MDM產品。
BYOD的安全保護與員工體驗
盡管BYOD的初衷是為了使得員工更為舒適和方便的辦公,提高員工工資的滿意度,但是隨著BYOD安全的管理逐漸增強,不少員工開始為BYOD有些擔憂。比如,基于GPS和三角定位等移動位置追蹤與移動設備安全管理系統(MDM)的結合,使得員工的位置信息可以被安裝在諸如平板或者智能手機等移動設備上的應用軟件所記錄下來,這些位置數據可以被公司獲得甚至利用。因為當設備丟失或者被盜的情況發生時,管理者可以通過MDM遠程擦除設備上的個人資料,以及公司的內部數據。這種決策其實在某種角度上也是有利于數據保護的。很多時候,員工在簽署BYOD條款時,都會接受并且同意通過在他們自己的設備上安裝MDM應用來與公司的MDM服務器建立連接,從而方便自己的工作,但是員工同樣也擔心自己時刻會被跟蹤。
篇9
近日,由中國金融認證中心(CFCA)舉辦的“第十屆中國電子銀行年會暨中國移動金融發展論壇”在京舉行。中國金融認證中心在論壇上還同時了《2014中國電子銀行調查報告》(下文簡稱《報告》)和《互聯網金融研究報告》。從與會嘉賓的演講和討論中不難發現,移動金融或許正在重構電子銀行發展格局。
《報告》顯示,2014年移動金融勢頭發展迅猛,移動支付用戶比例成倍增長,尤其是在遠程支付方面,2013年的遠程支付的用戶比例為13.3%,2014年則達到了37.8%。
這也顯示出了手機銀行業務的巨大發展潛力。該報告預測,2015年個人手機銀行將出現爆發式增長,用戶比例將達24%,超過4成的用戶將通過手機銀行購買理財產品。
該報告還指出,中國電子銀行業務連續五年呈增長趨勢,2014年個人電子銀行用戶比例為43.1%,同比增長7.2個百分點。
中國金融認證中心總經理季小杰認為,2014年電子銀行領域最突出的特點概括起來就是網絡金融高歌猛進,直銷銀行陸續上線,銀行系P2P逐漸被大眾認可,微信銀行服務深入人心,創新型產品不斷涌現,移動金融快速發展,電子銀行業正在進入精細化客戶管理時代。
中國人民銀行支付結算司副司長樊爽文指出,一年多來,金融領域最引人矚目的話題是互聯網金融,其中包括互聯網支付、P2P網貸、股權眾籌等各種新業態,在業界討論得廣泛熱烈,實踐得紅紅火火。經過充分的討論和實踐,雖然有關各方分歧依然不少,但共識越來越多。其中主要的共識之一,就是無論在哪種業態下,都必須最大限度地保護金融消費者的合法權益。
顯然,保護金融消費者的合法權益和資金安全是金融行業的職業操守和準則。然而,無論是從用戶的體驗還是系統的設計方面,安全和風險控制仍然需要引起相關機構的關注。《報告》顯示,有72%的用戶認為網上銀行仍然是最安全的電子銀行渠道,遠高于其他電子銀行渠道。
篇10
關鍵詞:移動支付;風險分析;安全策略
1 引言
移動支付也稱為手機支付,就是允許用戶使用其移動終端(通常是手機)對所消費的商品或服務進行賬務支付的一種服務方式。單位或個人通過移動設備、互聯網或者近距離傳感直接或間接向銀行金融機構發送支付指令產生貨幣支付與資金轉移行為,從而實現移動支付功能。移動支付將終端設備、互聯網、應用提供商以及金融機構相融合,為用戶提供貨幣支付、繳費等金融業務。
移動支付突破了傳統電子商務的載體和地域限制,真正實現隨時隨地地通過無線方式進行交易,大大增強了買賣雙方的靈活性和支付性,從而使大規模用戶參與和個性化服務成為可能。2016年是移動支付快速發展的一年,全球市場呈現爆發式增長態勢,據專業調研機構分析,2016年全球移動支付用戶將突破10億,移動支付交易額將達到2000億美元。
根據中國銀聯近日的《2016移動支付安全調查報告》顯示,2016年消費者網上消費金額及使用移動支付人數占比呈現雙增長。根據報告,去年有超過九成的受訪者曾使用手機完成付款(在商戶現場支付或遠程支付)。約四成的受訪者選擇“大額支付用卡,小額支付選手機”。
但是,目前在移動支付信息安全保障方面還存在著很多問題,報告顯示,2016年電信詐騙案件持續高發,消費者受損比例持續走高。約有1/4的被調查者表示遭遇過電信網絡詐騙并發生過損失,較2015年上升11個百分點。據調查,遭受電信網絡欺詐的被調查者中,超過八成遭遇過盜用社交賬號詐騙,較2015年同比增長了36個百分點。另外,木馬鏈接短信和騙取短信驗證碼等欺詐手法也是常見的支付欺詐方式,遭遇兩類手法的持卡人比例達到63%和51%。因此,保障移動支付安全將是移動支付發展的一大瓶頸。
2 移動支付的風險分析
2.1 基礎網絡風險隱患
運營商網絡通信環境的潛在威脅無處不在。一是手機目前還無法完全驗證網絡接入點的安全性。黑客從偽基站、惡意WiFi網絡可能獲取用戶信息,發起惡意攻擊。二是在無線通信網絡中,黑客可通過技術手段竊聽無線信道,截獲傳輸消息報文,偽造合法用戶身份或篡改數據信息。三是一些不法分子利用偽基站技術發送詐騙短信,利用群呼、透傳等技術實施電話詐騙,將主叫號碼偽裝成虛假的銀行、運營商等官方號碼,迷惑用戶上當受騙。
2.2 移動設備安全漏洞
移動支付業務的實現依托移動設備,而作為最常用的移動設備,智能手機的安全性值得高度關注。一是手機操作系統漏洞不易修復。手機生產商在安卓操作系統上進行個性化定制開發后,難以形成統一的技術標準,尚未形成如個人電腦Windows系統那樣全球統一的漏洞與補丁更新機制,手機操作系統的安全性面臨挑戰。二是手機病毒防范能力較弱。手機客戶端軟件打開的網址往往無法被手機安全軟件捕獲,二維碼掃碼工具僅簡單地將二維碼翻譯成網站地址,并不具有識別惡意網址的能力,使得手機被木馬程序入侵的幾率大增。
2.3 服務提供商重便捷輕安全
第三方支付機構通過搶紅包、打車補貼、互聯網理財等支付場景積極搶占移動支付市場,往往犧牲部分安全性以提高便捷性。如部分快捷支付功能在綁定銀行卡后僅需輸入支付密碼即可完成網上支付,二維碼掃碼支付通過手勢密碼登錄客戶端后就可進行200元以下的免密小額支付,某些應用程序通過讀取通訊錄和短信記錄可實現免填驗證碼等,強調了用戶體驗,卻埋下了安全隱患。如何在便捷與安全之間尋求平衡點成為移動支付產業鏈各方積極探尋的突破口。
2.4 行業制度規范尚不完善
我國移動支付方興未艾,相關規章制度正在逐步建立和完善中,尚未形成明確的監管框架和體系,在發展過程中難免會出現責任不清、監管缺失的真空地帶。當前,互聯網上借貸理財、眾籌模式、虛擬比特幣等新興金融工具給別有用心的不法分子留下了可乘之機,如紅包浪潮中紅色“AA收款”詐騙事件再次給我們提出安全警示。完善制度約束,保障信息安全已經成為當務之急。
3 移動支付的風險防范措施
相對于傳統的支付方式來說,移動支付的安全問題尤為嚴峻,產業鏈上所有部門都必須從技術到信用通力合作。如果要讓移動支付更好的為人們提供方便快捷的服務,就必須先保證個人隱私和信息安全,如果人們在第一次認識移動支付時就有很不好的或者不安全的體驗,那么以后移動支付想要扭轉這個“第一印象”會非常困難。因此手機支付發展的瓶頸是安全問題。根據移動支付的安全問題,可以采取以下措施,從而保證其安全性。
3.1 完善手機支付的安全管理
首先,對于移動應用發行商與移動支付服務商,二者要加強安全管理,通過測試與監管等手段,對惡意應用進行預防,對應用軟件進行全面的管理,從而保證應用市場的安全性,提升渠道的安全性。其次,要提升安全防護能力,對于智能終端、應用軟件與操作系統等進行不斷的研發,從而保證其安全能力的逐步提升。最后,可以將手機支付業務也納入到金融法律法規監管范圍,當用戶遇到欺詐等安全問題時可以在法律責任上找到明確的判斷,明確各方應付的責任和賠付條款。
3.2 強化安全模塊的保護功能
安全模塊的功能主要是保證應用的實現,同時保障數據的安全存儲,并且要提供相應的安全運算服務等。安全模塊具有較高的安全性,在手機支付過程中,可以利用手機中的安全模塊,即:用戶識別卡(SIM),用戶識別卡保證著手機支付的安全,是最為基礎的安全保障,在其中將用戶的私鑰與數字證書進行存放,此時,要保C密鑰也在卡內,對于加密與解密等操作,均要在卡中實現,從而將實現對用戶數據信息的保護。現階段,在手機支付中,主要的方案是機卡協作,此方案是最為基礎的,其原理與Usbkey相似,其主控制芯片便是安全芯片,進而具有了諸多的功能,如:防復制、防篡改、抗攻擊等。
3.3 引導客戶建立手機支付的安全意識
培養良好的手機使用習慣,譬如只從官方網站或可信任的網站下載軟件,安裝手機安全防護軟件,不點開陌生的彩信,不接收陌生的藍牙推送程序,不隨意掃描二維碼.不要隨意連接陌生兔費WiFi等。
參考文獻
[1]陶凱.紅包大戰引發對移動支付安全的冷思考[J].中國信用卡,2015(5)
[2]陳鐘.移動支付安全保障――挑戰與機遇[J].金融電子化, 2012(6)
相關期刊
精品范文
4信息簡報