一、简要叙述网络安全的主要概述
互联网时代的网络安全主要指的是采取一定的措施来保障网络信息的遗失和泄露,同时坚决杜绝网络信息的采集和加工业包括网络信息的存储和传输等被恶意或者故意的泄漏,人为的更改或者是破坏。这样的操作会造成网络信息无法辨认或者失效。网络安全就是要保障网络信息的五个方面。第一个方面是网络信息的可用性;第二个方面是网络信息的机密性;第三个方面是网络信息的完整性;第四个方面是网络信息的可控性;第六个方面是网络信息的不可依懒性。现阶段我国的网络信息安全的事故多发期主要有两个问题。第一个是计算机网络的信息安全问题。第二个方面是移动网络信息的安全问题。我国的计算机网络安全还需要更加的努力和不断完善才可以有效的控制互联网时代的信息网络安全。
二、简要叙述现阶段网络安全表现出来的主要问题
关于现阶段网络安全表现出来的主要问题的阐述,本文主要从三个方面进行阐述。第一个方面是互联网时代的窃听事件。第二个方面是互联网时代的黑客攻击问题。第三个方面是互联网时代的网络信息泄露问题。下面进行详细的阐述和分析。
(1)问题一:互联网时代的窃听事件。在2013年,在美国发生了一件轰动世界的互联网安全事件。美国的情报部门通过互联网的监听功能,对全世界的政要进行实时监控和监听,这样就最大限度的暴露了互联网时代的网络安全问题,窃听已经是互联网信息安全问题的一个主要突出点。
(2)问题二:互联网时代的黑客攻击问题。2013年3月22日,韩国爆发历史上规模最大的黑客攻击,韩国主要银行、媒体,以及个人计算机均受到影响。
(3)问题三:互联网时代的网络信息泄露问题。2013年6月5日安全平台乌云曝出搜狗输入法导致大量用户敏感信息泄露,时隔五个月,央视又曝出搜狗浏览器致用户QQ,支付宝等信息泄露。
三、简要叙述现阶段网络安全的状态
关于现阶段网络安全的状态的阐述,本文主要从三个方面进行阐述。第一个方面是在互联网的时代,社会公众对于互联网的安全意识没有加强,意识并不是很强烈。第二个方面是在互联网的时代,手机中安装的恶意软件和网站中的钓鱼网站,对于用户的个人真实信息侵害是非常严重的,个人信息的泄漏事件比例在逐渐的增多。第三个方面是在现阶段的互联网时代,网络黑客呈现出逐渐减少的状态,但是网络黑客的针对性更加的强烈,危害也会更大。下面进行详细的阐述和分析。
(1)状态一:在互联网的时代,社会公众对于互联网的安全意识没有加强,意识并不是很强烈。我国的大多数计算机网络用户,除了在网上浏览之外,对于互联网上的自身信息安全并没有足够的重视,同时有的网络用户对于网络信息泄露存在乐观的态度,认为不会产生严重的后果。这种想法本身就是错的,因为很多的网络用户对于网络信息泄露出现的危害没有足够的清楚的认识。
(2)状态二:在互联网的时代,手机中安装的恶意软件和网站中的钓鱼网站,对于用户的个人真实信息侵害是非常严重的,个人信息的泄漏事件比例在逐渐的增多。我国的移动网络装备的普及和推广在一定程度上增加了我国的互联网的收入,为我国的互联网的发展带来了很多的机遇,但是机遇面前也存在投机。很多的移动客户端的运营商会制作很多手机客户端的恶意软件和钓鱼网站,这样更为隐蔽的窃取互联网用户的私人信息。现阶段最为严重的就是恶意软件的骗取用户流量的问题,已经受到了有关部门的关注。
(3)状态三:在现阶段的互联网时代,网络黑客呈现出逐渐减少的状态,但是网络黑客的针对性更加的强烈,危害也会更大。现阶段的网络黑客针对普通的互联网用户的攻击变少了,网络黑客的主要攻击对象改为了政府部门的网站和相关的金融机构,同时有些科研院校也会出现在黑客的攻击名单中。这样就会严重的危害国家的网络安全。我国的政府网站被攻击大致有两个方面。第一个方面是境外网站对我国政府网站的网络攻击。第二个方面是境外网站作为一个恶意插件来干扰我国的政府网站。
四、简要叙述现阶段应对互联网信息安全的主要措施
关于现阶段应对互联网信息安全的主要措施的阐述和分析,本文主要从两个方面进行阐述和分析。第一个方面是要想改善我国的现阶段的互联网的现状,首要的任务就是要生产和研发我国可以控制的网络运行设备,在互联网的运行过程中减少对于国外产品和设备的依赖。第二个方面是我国要增加网络安全建设的力度,不断完善网络安全建设。下面进行详细的阐述和分析。
(1)措施一:要想改善我国的现阶段的互联网的现状,首要的任务就是要生产和研发我国可以控制的网络运行设备,在互联网的运行过程中减少对于国外产品和设备的依赖。现阶段,全世界的互联网的运行服务器一共有13个,但是美国就拥有其中的12个。这样,美国在互联网中占据了绝对的主导权。我国现阶段使用的主流软件,也是大多数来自美国。我国现阶段要研制和开发自主的互联网软件和设备,将互联网的运行全攥在自己的手里,这样可以有效的规避网络安全的问题。但是这是一条需要走很远很长的路。
(2)措施二:我国要增加网络安全建设的力度,不断完善网络安全建设。网络信息安全建设涉及到多方面的管理、技术与法律问题。可以从出台相应的网络安全战略、积极研发关键技术,以及建立健全法律法规等方面来考虑。
参考文献
[1]杨珂.浅谈网络信息安全现状[J].数字技术与应用,2012.
一、信息安全概述
信息网络安全是指防止信息网络本身及其采集,加工,存储,传输的信息数据被故意或偶然的非授权泄露,更改,破坏或使信息被非法辨认,控制,也即保障信息的可用性、机密性、完整性、可控性,不可抵赖性。为保障信息安全,要求有信息源认证,访问控制,不能有非法软件驻留,不能有未授权的操作等行为。从目前形式来看,来自计算机网络和移动网络是信息安全事件来源的两大方面。根据近两年国内外发生的互联网信息安全事件,可以总结出信息安全的主要威胁途径包括以下几个方面:(1)窃听。2013年6月5号曝光的“棱镜门”事件涉及美国情报机构在互联网上对全球上百万用户的通话进行窃听,包括欧盟多个国家领导人的私人电话也遭到窃听。(2)黑客攻击。2013年3月22日,韩国爆发历史上规模最大的黑客攻击,韩国主要银行、媒体,以及个人计算机均受到影响。(3)信息泄露。2013年6月5日安全平台乌云曝出搜狗输入法导致大量用户敏感信息泄露,时隔五个月,央视又曝出搜狗浏览器致用户QQ,支付宝等信息泄露。(4)网络诈骗。一些不法分子利用大量的伪基站伪装运营商、银行等官方号码发送欺诈短信,诱导受害者下载可以拦截和转发用户短信的手机木马,对移动胁端手机用户构成安全威胁。
二、当前网络信息安全现状
我国当前网络信息安全现状反映在如下几个方面:(1)公众网络安全防范意识不高。出现这种情况的原因有,一部分人对网络信息安全方面的知识了解甚少,不关心也不在乎发生在网络上的信息安全事件;也有一部分人对当前网络信息安全盲目的乐观自信,缺乏客观实际的了解。(2)手机恶意软件、钓鱼/假冒网站、个人信息泄露的安全事件比例升高。移动互联网的应用和普及,加速了手机应用等移动端软件产业的快速发展,带来了巨大市场利益,从而开发出的手机软件也层出不穷,鱼目混杂,致使用户难以辨认手机软件的安全性。用户在没有安装安全监测软件的情况下,很容易被手机恶意软件通过骗取流量、乱发广告以及乱扣费等形式影响。(3)黑客攻击减少但更具针对性。 针对普通用户的黑客攻击减少但其针对国家政府网站,金融机构、科研院校频繁,对国家安全层面构成重大威。根据国家互联网应急中心提供的案例显示,中国网站遭境外攻击主要体现在两个方面,一是网站被境外入侵篡改;二是网站被境外入侵并安装插门。
三、信息网络安全应对措施
针对目前的局势,可从以下两个方面来积极改善:(1)加快开发自主可控国产设备,减少对国外产品依赖。目前,互联网关键汇集渠道都在服务器,全球共有13台根服务器,而12台都在美国,意味着信息的周转都要经过美国。此外,信息的正常运行的设备大部分都来自美国的主流软硬件厂商,因而用户在使用过程中,信息很容易被监听、过滤。因此,要大力改善信息安全技术自主创新,鼓励有实力的企业介入开发周期长、资金回收慢的信息安全基础产品,依托高校、科研机构和自主创新平台,加大核心技术的投入,通过企业间相互支持,协同壮大,加快主机系统在美关键应用领域替代国外同类系统。(2)加快网络和信息安全建设。网络信息安全建设涉及到多方面的管理、技术与法律问题。可以从出台相应的网络安全战略、积极研发关键技术,以及建立健全法律法规等方面来考虑。网络安全战略是对整个国家网络安全的一个总体指导与规划,具有重要的意义,而技术则是避免网络安全事件侵袭的关键和重要保障,互联网发展已进入新的阶段,变得更加复杂及多元化,意味着旧的的技术已不在适应需要,积极研发关键技术也是大势所趋。总之只有在网络安全战略的指导下,在新技术的支撑与保障下,通过健全的法律约束,网络安全事件才能从源头上减少和避免。
四、结论
在信息快速更新,增长的背景下,互联网的发展也将变得更加的多元化,复杂化,因而未来网络信息安全问题必将变得更加的严峻、复杂。所以信息网路安全是一个需要长期关注和解决的问题。只有做到将政策,技术与人才的培养全方位的结合,才能更加高效的应对信息安全问题。
参考文献
一、移动互联网的基本概念
移动互联网:广义上是指用户使用手机、上网本、笔记本等移动终端,通过移动网络获取移动通信网络服务和互联网服务;狭义上是指用户使用手机终端,通过移动网络浏览互联网站和手机网站,获取多媒体、定制信息等其他数据服务和信息服务。本文中移动互联网均采用狭义定义。
移动互联网包括三个重要因素分别是:互联网应用与服务(APP)、移动互联网终端以及移动网络。本文所提到的移动互联网移动终端均是指智能手机,即具有独立操作系统,可以由用户自行安装软件、游戏等第三方应用程序的手机。
二、移动互联网的基本特征
1.移动互联网接入方式的特点
现阶段,移动互联网在网络接入方式方面具有多样化特点,不仅仅局限于一种网络接入方式,用户可以通过多种接入方式,随时随地地进行移动互联网访问。手机用户对手机上网的黏性以及上网的时长不断增加,手机上网常态化特征进一步明显,手机用户对手机的应用也逐渐从碎片化的沟通、信息类应用向时长长的娱乐、商务类应用发展。
2.移动互联网服务模式的特点
移动互联网的移动终端与用户的绑定关系更加亲密,具有手机网上支付、手机网络购物以及地理位置定位等的全新服务模式,并且还能大量详细记录用户的信息数据甚至包括隐私信息,一定程度上成为移动互联网用户的个人信息数据载体。
3.移动互联网使应用管理更随意
移动互联网的发展,打破了传统移动终端应用的下载及安装的封闭性[1]。可以支持多种应用的下载安装,限制条件降低。
4.移动互联网的信息管理水平提高
移动互联网的终端具有较强的信息传递以及交互能力,拥有独特专业化移动网络能力,具有超强的SNS特征。
三、移动互联网信息安全中存在的主要问题
1.移动互联网中存在大量网络垃圾,影响信息安全
移动互联网终端应用的随意下载安装,带来了一系列不利影响。移动互联网网站中存在大量的消费陷阱以及不安全、不健康的网络垃圾信息。移动终端的软件或者应用中,在查看广告时,经常会产生额外移动流量。网页中的木马病毒等会直接窃取移动互联网用户的个人信息,经常出现自动定制业务的现象,甚至会有恶意收费的情况发生,虚假新闻广告、垃圾信息都会通过移动客户端进行传播。
2.移动互联网终端存在问题
目前,移动互联网的智能化移动终端与传统的互联网移动终端存在差异,原有的移动终端主要是通信网的辅助基础设施设备,但是现代化的移动互联网终端大多都是采用智能化移动终端[2]。并且移动互联网的智能化移动终端也随着互联网的快速发展,逐渐出现越来越多样化的功能特点,从而也导致智能化终端的病毒入侵方式越来越多样化,范围日益扩大。移动互联网的移动终端风险系数加大,可以从两个方面来讲。首先,移动业务在一定程度上受到多样化移动终端快速普及的影响,用户对移动互联网智能化终端的使用越来越频繁;其次,移动互联网移动终端的开放化特点,也相应地增加了安全风险。移动互联网移动终端的发展开始阶段,移动企业高度重视移动互联网的快速发展,而忽略了移动互联网的信息安全,在移动互联网移动终端问题上经常出现诸多信息安全事故,比如,色情信息的侵害等,手机移动互联网移动终端的安全问题也显得日益突出。
3.移动互联网IP网络信息安全问题
移动互联网与原有的通信网不同,采用的扁平化网络形式,其核心内容是IP化。目前IP自身以及网络带来的安全威胁日益增加,移动互联网的广泛化普及,网络信息安全越来越受到人们的高度关注。各种移动互联网网络攻击行为,给公众网络用户带来了不利影响,甚至影响到移动互联网网络的核心网,直接关系到用户信息数据以及管理数据的传输,面临着移动互联网核心网被移动终端用户访问的问题。
四、分析研究影响移动互联网信息安全的因素
1.移动互联网信息安全的管理政策不健全
现阶段,我国移动互联网方面的法律法规不健全,信息安全事件的发生仅仅依靠事后的处理,而事先预防的体制机制较为落后,没有建立出台规范化的移动互联网详细接入程序、手机病毒的管理等的法律法规。一定程度上缺乏对现代化移动互联网的制度化以及法律化管理,不能实现真正意义上的制约与安全保护,不能按照标准化规定对移动互联网用户以及企业的切身利益进行统一协调,不能从根本上保证移动互联网的大量信息数据安全。
2.移动互联网软件开发管理不科学
目前移动互联网的开发软件种类越来越多,第三方软件的研究开发人员也在逐年增多,但是他们更多的注重商业发展需要,应用软件数量的增多,却没有加大对第三方软件的控制管理力度,很难保障其自身的信息安全。比如有些软件随意读取手机用户的位置信息、录音功能或者通话记录,甚至调取摄像头等。
3.移动互联网终端用户信息安全意识不强
移动互联网终端用户对智能手机的信息安全防范意识不强。比如,在云存储应用中上传涉及隐私的文档、视频和照片等各类信息,盲目登陆各种免费的移动无线网络,下载软件后对其默认调取的隐私数据权限管理不及时进行设置调整,在智能化手机中传播各种小游戏和文件以及随意浏览智能手机中的网页等,都在一定程度上增加了信息安全的危险系数。
五、移动互联网的信息安全管理措施
1.建立健全移动互联网的信息安全管理法律法规
我国移动互联网的信息安全立法管理力度较差,没有很好的统一协调机制,将目前的国家法律法规政策利用到移动互联网信息安全管理工作中,针对性以及权威性较差,没有明显的约束力。因此,对于移动互联网的信息安全管理要建立健全相关法律法规,确保信息安全有法律的约束以及保护管理。立法在一定程度上是国家对互联网信息安全管制的最有效手段,不断完善移动互联网的信心安全管理立法制度,协调好移动终端客户与移动互联网企业之间的关系,建立完善合理的移动互联网信息安全管理的法律体系,最大限度的将互联网安全以及互联网信息安全区分开来,制定独立的法律法规。比如,移动互联网终端手机实名制的严格落实,确保用户的信息数据安全。移动互联网网络安全管理的法律要进行不断完善,建立移动互联网信息安全的独立法律等。
2.加大移动互联网移动终端的管理力度
移动互联网的安全技术与产品的研究开发以及生产力度要不断加大,特别是移动互联网智能化移动终端中智能手机应用的安全技术与产品研发管理,充分协调好各管理部门之间的密切关系,形成有效合理的管理链条。不断加强安全生产过程中的质量检查以及销售环节的工商管理,国家公安部门的工作人员要增强自身的责任意识,端正工作态度,规范监督检查工作流程,加大查处工作的管理控制力度,若出现安全问题,必须按照标准制度严肃处理[3]。尽快制定出完善的司法方面管理措施以及处理方法。对移动互联网移动终端智能手机的用户加强信息安全的宣传培训,可以通过发放安全知识宣传册等方式,强化政府以及移动网络运营商的网络信息安全知识教育培训。重视移动互联网办公企业以及政府单位的信息安全保密制度管理,严格控制移动互联网信息数据泄密问题,充分做好预防管理工作。
3.移动互联网在信息安全控制管理结构上的全覆盖
【关键词】移动互联网 信息安全 措施
手机控成为了现在很流行的词语,上到老年人,下到幼儿园的小朋友,都开始接触智能手机、PAD等智能设备,像我的同学,几乎每人一部手机。正式因为移动互联越来越普遍,深入渗透到我们的生活,自然会涉及到很多个人信息。移动互联网信息安全成为人们广泛关注的问题,尤其是时常爆出个人信息泄露等丑闻,使得安全被越来越多的人重视起来。我们应该制定相关的解决方案,从根本上解决移动互联网信息的安全,使得移动互联网健康的发展,更好的服务我们的生活。
1 移动互联网的基本概念及特征
1.1 移动互联网基本概念
移动互联网顾名思义,就是能够连接移动网络,获取多媒体、互联网等服务,我们生活中常见的手机、平板电脑、笔记本等都算移动终端。由于手机是目前最普遍的,本文主要以手机移动互联来介绍。移动互联终端、应用与服务(APP)再加上移动网络,是移动互联网三个主要的因素。
1.2 移动互联网基本特征
1.2.1 网络接入方式多样化
移动互联网是用户获取服务的基础,移动终端联网方式多种多样,本身有移动数据网,很多地方也都有WIFI,目前大部分手机还可以设置移动热点,使得用户基本实现随时随地畅想网络。
1.2.2 移动互联网服务模式多样
目前,智能手机与用户之间的关系非常紧密,用户可以通过手机进行购物、支付、乘车、导航等等,同时手机还能收集用户大量的个人信息和生活习惯。移动互联终端已经成为用户信息的载体,彼此依存。
1.2.3 移动互联网信息管理水平提高
社交是移动互联最有粘性的应用了,也是移动互联得以快速发展的基础,这种较强的信息传递和交互能力需要更加专业的信息管理。
2 移动互联网信息安全中存在的主要问题
2.1 大量网络垃圾,严重影响移动互联网信息安全
现在APP可以随意下载安装,尤其是安卓终端,下载渠道很多,很难有效的去管理。有些人就利用这一点,在APP下载中夹杂大量的消费陷阱或者不健康的垃圾信息。另外,在我们使用APP时,经常会弹出一些广告,当我们不慎点到后,产生额外流量。有些应用或者软件,会携带木马病毒来窃取用户的个人信息,尤其现在手机都有大量个人隐私和经济信息,后果是很严重的。此外现在很多虚假广告、垃圾信息也会通过移动终端进行传播,有些软件甚至会产生恶意收费的情况。
2.2 移动终端多样化引发的信息安全
目前,移动终端普遍是智能化终端,随着移动产业的发展以及人们个性化需求的增加,移动终端也开始呈现多样化的特点,这也导致病毒入侵方式也多样化,终端的风险系数不断加大。用户对终端的使用频繁以及终端的开放化是造成这种情况主要的原因。尤其是过去,企业更加注重的是移动终端的功能特点,忽视信息安全,所以导致现在经常出现信息安全的问题。
2.3 IP网络引发的移动互联信息安全
目前的移动互联网采用的是扁平化网络形式,IP化是其核心内容,IP自身的安全风险日益成为移动安全的重要部分。现在很多网络攻击行为,极大地影响用户的使用,有的甚至会影响移动核心网,用户信息数据的传输等都会受到影响。
3 移动互联网信息安全问题产生的因素
3.1 相关管理政策不健全
移动互联网已经成为我们生活中的很重要的一部分,但是,我国移动互联网相关的法律还不健全,尤其是信息安全的预防机制比较落后,当事件发生后,都是事后处理的多。现在我国还没有出台比较规范的管理手机互联网病毒、接入程序等法律法规。这就导致没有办法按照明确的标准对移动互联网用户或企业进行有效的协调和管理。
3.2 APP开发管理不科学
现在移动APP种类越来越多,而且每天都有很多APP推出。官方APP还好,出现问题的情况不多,现在第三方APP管理成为了影响信息安全的关键点,尤其是第三方APP研发人员越来越多,他们更加注重商业利益,这就使得他们缺乏信息安全的考虑。现在很多APP都能查看用户的通讯录、位置等个人信息。
3.3 用户缺乏必要的信息安全意识
现在很多移动用户都缺乏信息安全的意识,比如随意登录免费网络,而不去注意其安全性;下载一些应用应用后,不去设置一些设计隐私的权限,导致个人信息被应用收集;随意点击推送的一些网页或者小游戏,都在增加信息安全的风险系数。
4 移动互联信息安全管理措施
4.1 完善移动互联网信息安全相关的法律法规
明确的法律制度,是维护移动信息安全的前提和关键。不断完善相关的法律法规,可以有效的协调移动互联网企业与用户的关系;建立健全移动信息安全的预防措施,严厉打击信息安全犯罪,使其不敢去破坏信息安全;移动终端实名制是维护用户信息安全的有效措施,所以需要严格执行实名制的实施。
4.2 加强移动终端管理力度
移动互联网的安全技术与产品的研究开发以及生产力度要不断加大,特别是移动互联网智能化移动终端中智能手机应用的安全技术与产品研发管理,充分协调好各管理部门之间的密切关系,形成有效合理的管理链条。不断加强安全生产过程中的质量检查以及销售环节的工商管理,国家公安部门的工作人员要增强自身的责任意识,端正工作态度,规范监督检查工作流程,加大查处工作的管理控制力度,若出现安全问题,必须按照标准制度严肃处理。
4.3 增加移动用户信息安全的知识普及
要想保护用户的信息安全,自身的安全保护意识是关键,毕竟现在移动互联网的信息太复杂,各种各样的APP充斥在我们生活里,需要我们在使用的时候注意安全防护。
总而言之,移动互联网信息安全管理工作是一项复杂性、难度性较大的工作。信息安全管理工作的好坏直接影响到移动互联网用户以及各企业移动互联网网络的正常运行,对移动互联网自身发展起到非常重要的作用。这要求我们针对移动互联网信息管理中出现的安全问题,从整体出发,采取科学的解决措施,从根本上保障移动互联网运行环境的安全性、稳定性。
参考文献
[1]陈福莉.移动互联网时代的信息安全[J].信息安全与通信保密,2014(01).
[2]邓青殷,黄兆敏,洪真忠.移动互联网信息安全技术体系浅析[J].无线互联科技,2014(06).
二、互联网金融信息安全风险分析
互联网金融的迅猛发展,在给我国经济金融带来活力、给大众带来便利的同时,也存在着大量的风险隐患。同所有金融业务一样,互联网金融存在流动性风险、信用风险、洗钱风险等,在此,本文仅从信息安全的角度分析互联网金融风险。
(一)客户端安全认证风险。客户端通常采用用户名和密码方式进行认证,用户计算机在感染病毒、木马程序或被黑客攻击后,用户的账户、密码、验证码等敏感信息会在未经安全认证的情况下,通过键盘记录或屏幕录制等方式,被发送至黑客指定服务器的后端,严重威胁互联网金融账户和密码安全。
(二)信息通信风险。互联网金融业务通过网络在银行、互联网金融机构、用户之间进行数据传输,数据传输过程要求进行数据加密。网络传输系统被侵入或者加密算法被黑客攻破,将导致用户的资金、账号、密码在网络中以明文传输,造成客户信息泄露,严重影响客户资金及信息安全。
(三)系统漏洞风险。互联网金融业务系统无论采用Java技术还是其他技术进行开发,均可能存在一些系统漏洞和安全隐患。黑客会搜寻并利用系统漏洞进行攻击来获得非法利益,给互联网金融业务带来巨大的信息安全风险。
(四)数据安全风险。互联网金融业务数据要求绝对安全和保密。用户基本信息、支付信息、资金信息、业务处理信息、数据交换信息等丢失、泄露和被篡改,都会给商业银行及互联网金融机构带来不可估量的损失。在互联网的开放式环境中,互联网金融业务系统应确保数据输入和传输的完整性、安全性与可靠性,防止对数据的非法篡改,实现对数据非法操作的监控与制止。
(五)系统应急风险。目前,大多数互联网金融机构在系统建设和运行中,特别是尚未纳入监管体系的P2P等机构,不能严格执行应急演练计划。电力中断、地震、洪水等灾害的发生,将导致系统数据丢失,给互联网金融机构造成巨大损失。
(六)内部控制风险。互联网金融内控制度是为了保护金融资产的安全完整,形成的一系列具有控制职能的方法、措施和程序。互联网金融业务内控制度建设或执行不到位,会导致业务操作处理过程中出现安全隐患,如由单个系统管理员重置客户密码或调整客户账户信息等,将造成互联网金融信息安全风险。
(七)外包管理风险。由于专业技术人员不足,许多互联网金融机构通过购买第三方外部服务的方式来获取技术支持。外包服务管理不到位、外包服务公司经营不善或破产,都会给互联网金融机构带来数据泄密的风险,严重影响互联网金融业务安全稳定运行。
(八)操作风险。操作风险来源于机构内部员工或用户的错误操作、恶意操作。互联网金融机构员工对业务不熟悉,可能导致业务操作风险,从而危及互联网金融业务的总体安全。同样,互联网金融业务也可能因为客户缺乏网络安全知识、安全意识淡薄而面临相当高的操作风险。
(九)法律风险。法律风险来源于网上交易过程中违反相关法律、法规和制度,以及未能遵守有关权利义务的规定。电子商务和互联网金融业务在我国正处于加快发展阶段,政府相关法律法规对网上交易权利与义务的规定仍不清晰,互联网金融存在着相当大的法律风险。
三、互联网金融信息安全风险防范
(一)构建互联网金融信息安全保障体系。一是改善互联网金融的运行环境。在硬件配置方面,加大对计算机信息安全设备的投入,增强系统的抗攻击、防病毒能力;在系统运行方面,通过身份识别、分级授权、短信验证等多种登录方式,限制非法用户登录互联网金融网站。二是加强数据安全管理。将互联网金融纳入现代金融体系的发展规划,制订统一的技术标准规范;利用数字证书与加密技术保障互联网金融业务的交易主体的信息安全,防范交易过程中的不法行为。三是开发具有自主知识产权的信息安全技术。大力发展国产加密技术、密钥管理技术及数字签名技术,提高信息系统的安全技术水平和关键设备的安全防御能力,保护互联网金融安全。
(二)健全互联网金融信息风险管理体系。一是加强互联网金融机构的内部控制。互联网金融机构应制定完备的计算机安全管理办法和互联网金融风险防范制度,加强制度学习落实,完善业务操作规程;充实内部科技力量,建立从事防范互联网金融信息风险的专业技术队伍。二是加快社会信用体系建设。以人民银行的企业、个人征信系统为基础,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网金融业务提供者因信息不对称作出不利选择;针对从事互联网金融业务的机构建立信用评价体系,降低互联网金融业务的不确定性,避免客户因不了解互联网金融机构的业务服务质量而作出逆向选择。
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
随着科技的高速发展、互联网的大力普及,越来越多的人在互联网这个虚拟的世界里面开创了自己的小世界,很多以前只能在日常生活中完成的事情,也都搬到了网上进行。网络不仅成为了人们娱乐休闲的场所,成为了人们的一种职业手段,更成为了人们生活中不可或缺的一部分。在这种情况下,很多私人信息,包括个人及家庭基本信息、银行帐号信息等更加私密的信息,都需要通过互联网进行传输,在这种大背景之下,信息安全技术就显得尤为重要,而其在互联网中的运用也成为了人们不得不考虑的问题。
二、网络环境下信息安全技术简介
单从信息安全来看,其包括的层面是很大的。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全技术,从广义上来看,凡是涉及到信息的安全性、完整性、可用性、真实性和可控性的相关理论和技术都是信息安全所要研究的领域。狭义的信息安全技术是指为对抗利用电子信息技术手段对信息资源及软、硬件应用系统进行截获、干扰、篡改、毁坏等恶意破坏行为所采用的电子信息技术的总称[1]。随着互联网热潮的兴起,整个社会对网络的依赖越来越强,信息安全的重要性开始显现。
随着信息安全内涵的不断延伸,信息安全技术也得到了长足的发展,从最初对信息进行保密,发展到现在要保证信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。互联网环境下,信息安全技术可以主要概括为以下几个方面的内容:身份认证技术、加密解密技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术、检测监控技术等。
三、互联网中的信息安全技术
互联网是面向所有用户的,所有信息高度共享,所以信息安全技术在互联网中的应用就显得尤为重要。
(一)信息安全技术之于互联网的必要性
国际互联网十分发达,基本可以联通生活的方方面面,我国的互联网虽不如发达国家先进,但是同作为互联网,其所面临的安全问题都是一样的。网络信息安全有三个重要的目标:完整性、机密性和有效性,对于信息的保护,也便是从这三个方面进行展开,
(二)信息安全技术在互联网中的运用
美国国家安全局对现有的信息安全工程实践和计算机网络系统的构成进行了系统分析和总结,提出了《信息保障技术框架》[2],从空间维度,将分布式的网络信息系统划分为局域计算环境、网络边界、网络传输和网络基础设施四种类型的安全区域,并详细论述了在不同安全域如何应用不同的安全技术要素构建分布式的信息安全系统。所以互联网中对于信息安全技术的使用是有一个应用体系的,不同的网络系统有不同的安全策略,但是不论是何种网络形式,有三项信息安全技术是必须被运用的,它们是:身份认证技术、数据加密技术、防火墙技术。
1.身份认证技术
身份认证是网络安全的第一道防线,也是最重要的一道防线。对于身份认证系统来说,最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益,也可能损害其他用户和整个系统。所以,身份认证是授权控制的基础[3]。现实生活中,可以通过很多途径来进行身份的认证,就在这种情况下也有人伪造身份,而对于网络虚拟环境,身份应该如何认证确实是一项头疼的技术难题。目前网络上的身份认证方式主要有:密码认证、口令卡认证、u盾认证以及各种技术结合使用等方式,也取得了一定的成效,对于信息安全的保障,起了很大的作用。
2.数据加密解密技术
数据加密技术是互联网中最基本的信息安全技术,因为众所周知,互联网的本质就是进行信息的共享,而有些信息是只对个人或者部分群体才可以共享的,另一方面,裸数据在网络中传播是很容易被窃取的,所以在信息发送端对数据进行加密,接收信息的时候进行解密,针对互联网信息传播的特点,是行之有效的信息安全技术。
3.防火墙技术
防火墙,很多人都很熟悉,它实质上是起到一个屏障的作用,正如其名,可以将有害信息挡在墙外,过滤到不利信息,阻止破坏性的信息出现在用户的计算机。防火墙的基本准则有两种:一切未被禁止的就是允许的;一切未被允许的就是禁止的。这种过来是如何实现的?这就涉及实现防火墙的技术,主要有:数据包过滤、应用网关和服务等。对于互联网而言,一个有效的防火墙,可以帮助用户免除很多有害信息的干扰,也是信息安全技术对于互联网非常大的贡献。
除了使用一些安全技术措施之外,在网络安全中,通过制定相关的规章制度来加强网络的安全管理,对于确保网络顺利、安全、可靠、有序的运行,也会起到十分重要的作用。
四、结束语
本文简要介绍了身份认证技术、数据加密技术、防火墙技术这三项技术对于网络信息安全的重要性及其应用,事实上随着科学技术的飞速发展,互联网的组织形式也在发生极大变化,网络信息安全技术在互联网上应用将会越来越多,但是笔者相信,本文所介绍的三个基本运用,会随着互联网的越来越透明化而得到更大的发展。
参考文献:
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。
1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
无论是个人、商家,还是社会组织、媒体,在发展过程中均离不开互联网。从目前来看,较为常用的信息安全技术包括:防火墙技术、生物识别技术以及入侵检测技术等。这些技术的应用,在很大程度上保证了网络信息的安全性。从网络系统以及管理等层面考虑,要想使互联网的信息安全得到全面提升,还有必要从多个方面加以完善。互联网的优势主要包括:其一,能够不受空间限制,实现信息的交换;其二,信息更新速度快,具备时域性特征;其三,具备互动性特征,能够满足人与信息以及人与人之间的互动交流;其四,在信息交换过程中,存在诸多形式,包括文字的信息交换、图片的信息交换以及视频的信息交换等。也正因为互联网的诸多优势,使其具备非常广阔的发展前景。虽然我国互联网网民的数量众多,但是由于受到内外部环境的影响,我国互联网发展和西方发达国家比较起来,尚存在一定的差距。这种差距主要体现在商业用途、信息价值以及信息安全等方面。我国互联网内容中,存在着一些低俗信息,这些信息充满了语言上的谩骂以及诽谤等,显然,这些低俗信息违反了国家法律法规。此外,由于互联网信息安全问题的存在,在没有很好的防范措施的情况下,还可能让企业面临巨大的经济损失。因此,有必要及时解决信息的安全问题,在确保互联网信息安全的基础上,为互联网的良性发展奠定坚实的基础。
互联网信息安全的三个层次
信息安全属于传统保密技术的延续及其发展,也属于互联网时代出现的一个全新概念。信息安全涵盖的内容很多,信息安全行为主体、信息防护策略以及任务目标等均属于信息安全的内容。要想更为深入地认识信息安全,需从三个层次出发。
第一个层次,被称为信息安全的重要性层次。从信息内容安全、信息系统安全以及信息网络安全等多个层面来看,信息安全的重要性是毋庸置疑的。常见的信息安全事件包括信息内容伪造、泄露以及假冒等;信息系y受到病毒感染、攻击以及入侵等;信息网络中断、瘫痪等;信息基础建设被损坏等。显然,确保信息的安全性非常关键。在确保信息的安全性的基础上,才能够使信息安全事件的发生得到有效控制。
第二个层次,被称为信息安全的影响力层次。网络攻击武器和信息之间存在密切的关联性,而美国把网络攻击武器视作杀伤力巨大的破坏性武器。倘若一个国家或企业的信息系统出现瘫痪故障,那么带来的损失将难以估计。显然,信息安全的影响力是巨大的。要想促进网络发展,需要确保信息的安全性,合理应用信息,并采取有效的预防和处理措施。
第三个层次,被称为信息安全的技术作用层次。近年来,随着航海技术的进步及其发展,国家的领海范围有所扩充。而航空技术的进步及发展,也让国家进行了领空的扩展。显然,科学技术的发展离不开网络的支持,而网络疆域的出现,更能够体现出信息安全技术的重要性。要想使国家疆域得到有效发展,需要注重信息安全技术的作用,并逐步提高信息安全。
互联网信息安全的实现
加强互联网信息安全的防御能力。要想使互联网信息安全得到有效保障,有必要加强互联网信息安全的防御能力。互联网信息防御过程中,最为重要的是查找出不良信息以及信息病毒等,进而采取有效防御策略。其中,防火墙技术和入侵检测技术在其中的应用便显得非常关键。防火墙的设置,能够使一些重要信息被窃取的几率大大降低。近年来,随着网络信息安全问题的不断增加,防火墙技术也不断完善。入侵检测技术主要是对未授权的网络信息或者有违法律法规的信息进行检测,通过检测将这部分不良信息排除,进而确保信息的安全性。除上述提到的两项常用技术外,生物识别技术、数据加密技术等,均能够保证信息的安全性。
加强互联网信息安全的系统化管理。对于互联网来说,其系统的构成存在复杂程度高的特点,主要的子系统包括:操作系统、服务系统、数据库系统。为使系统信息的安全性得到有效保障,需做好每一个子系统的监控以及保护工作。通过系统数据的分析,掌握系统可能受到的损害,进而加强监控。与此同时,还有必要逐步对系统的防御功能进行强化,例如,网络安全漏洞扫描技术的应用,能够在一定程度上确保系统的信息安全。通过这项技术,对互联网系统潜在安全隐患进行预警,并进行风险评估,进而采取有效防范措施。
构建完善的互联网信息安全管理方案。对互联网信息安全管理方案加以构建,才能够使互联网信息安全得到有效实现。一方面,需加强对信息管理工作人员的教育,提高信息管理工作人员的安全管理意识,使其认识到加强互联网内外部信息安全管理的重要性,使得不法分子传播网络病毒以及攻击网络的行为得到有效遏制。另一方面,对于网络秘密信息,未经授权人员不可访问,同时需利用加密处理技术,防范不法分子窃取。此外,为了使网络信息安全在整体上得到有效保障,还有必要构建完善的网络信息安全管理制度。
互联网信息安全的价值
互联网的良好规范发展。要想使互联网在未来具备良性的发展,有必要采取策略,确保互联网信息的安全。从信息安全的价值来看,它能够促进互联网的有序发展。比如,在经济方面,我国目前构建了覆盖全国的公用电信网以及广播电视网等,且互联网逐步渗透到各个行业,对其发展起到了促进的作用。然而,由于互联网信息存在一些问题,如病毒传播问题,以及信息管理问题等,针对这些问题,需要采取行之有效的防范处理方法,进一步确保信息的安全。在确保网络信息安全的基础上,互联网技术不仅能够稳定企业的经济,还能够起到稳定社会的作用,并进一步强化国家的安全。
使用者的权益保证。在科学技术不断发展的背景下,我国国民经济也呈现出不断发展的状况。在这样的大背景、大趋势之下,广大人民群众对信息的依赖表现得越来越明显。例如,平板电脑、智能手机开始渗透到人们的日常生活以及工作、学习当中。通过互联网的应用,手机和电脑都能够丰富人们的生活、开拓人们的视野。但人们在“网上冲浪”过程中,势必涉及到信息的、获取,为了保护人们的信息安全,需要采取一些安全技术,如信息加密技术、防火墙技术等。在信息安全得到有效保障基础上,使用者的合法权益便能够得到有效保证。
保护电子信息的机密。除上述作用之外,信息安全还具备保护电子信息机密的作用。近年来,我国电子商务呈现了快速的发展态势。电子商务关乎一些商业机密信息,以及个人财产信息等。为了使电子商务信息的安全得到有效保障,有必要采取一些防范技术,如公钥加密技术,以及私钥加密技术等,这些技术的应用,能够实现对文件的加密以及解密,进而确保电子商务信息的安全性。总的来说,信息安全能保护电子信息的机密,进而使经济损失以及商业机密窃取等风险事件的发生得到有效控制。此外,VPN加密技术的应用等,也在很大程度上保护了电子信息的机密。
(作者单位分别为新疆警察学院;新疆工程学院)
【参考文献】
【关键词】互联网 移动互联网 信息安全 对策建议
1 引言
在移动通讯技术快速发展的今天,我国互联网用户规模日益庞大,移动互联网应用层出不穷,深刻改变了人们的生产和生活方式,极大地促进了国民经济的转型与发展。与此同时,中国网络安全面临严峻挑战:互联网电视、电脑、智能手机平台安全威胁日益增高,网络信息安全趋势日益严峻,对社会经济和国家安全也造成了巨大的威胁和挑战。指出:“没有网络安全,就没有国家安全”。网络安全是事关国家安全的重大战略问题,与每个网络使用者的日常生活息息相关。本文通过对当前移动互联网络安全问题的分析,给出网络安全的解决方案,以期为建立安全可信的网络环境,确保各类基础信息网络和关键信息系统的安全运行。
2 我国互联网信息安全现状
伴随着互联网技术的应用和经济的不断发展,互联网信息安全问题日益突出。各种信息安全风险和潜在漏洞导致网络用户成为信息失窃的受害者,进而带来大量的经济损失和社会问题。以事实为例,中国境内在2013年被黑客篡改的网站高达24034个,同时1100万以上的服务器受到境外的僵尸和木马程序控制,每年的经济损失高达数百亿美元。随着智能手机的广泛使用,网络安全状况更加恶化,以腾讯手机管家获取的数据为例,2014年第一季度截获的手机病毒包数为143945个,感染手机病毒用户数达到4318.81万。近年来手机管家截获的手机病毒数量如图1所示。
如图1所示,2011年、2012年、2013年,腾讯手机管家截获的手机病毒包分别为25404、177407、763351。2012年是2011年的6.98倍、2013年截获的手机病毒包是2011年的30倍,这些数据从某种程度上表明,中国网络面临巨大的信息安全威胁。
2014年是中国全功能接入国际互联网20周年,网络已经从传统的电脑平台慢慢拓展到手机、有线电视等多平台环境,国家也不断加强互联网战略并提出了“宽带中国”目标,要求到2015年固定宽带家庭普及率和3G/LTE(第三代移动通信及其长期演进技术)用户普及率分别达到50%和32.5%,2020年分别达到70%和85%。移动互联网的普及以及社交化信息的传播速度和传播能力使信息的传播速度,辐射范围比传统方式更快更广,这也使网络信息安全的威胁以几何趋势上升。社交化信息分布如图2所示。
3 网络安全威胁及防范技术手段
3.1 常见的网络安全威胁
目前的网络安全威胁大致有随机失效、黑客攻击、病毒破坏和协议框架漏洞等。最为常见的就是人为原因安全配置不当而造成的安全漏洞,用户安全意识不强,口令选择不慎,将自己的账号随意转借他人或与别人共享等都会对网络信息安全带来严重的后果。从人为攻击的视角来看,常见的网络安全威胁可以划分为:信息泄露、完整性破坏、拒绝服务以及网络滥用。
(1)信息泄露:信息泄露破坏了系统的保密性,即信息被透漏给非授权的实体。常见的威胁有网络监听,业务流分析,电磁射频截获、病毒、木马、后门、流氓软件、网络钓鱼等。
(2)完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒、木马等方式实现。
(3)拒绝服务:对信息或资源可以合法的访问却被非法的拒绝或者推迟操作。
(4)网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用等。
3.2 网络安全防护技术
网络信息安全的复杂性和关联性导致单独的组件无法确保网络信息的安全性,因此网络安全从技术上来说主要由防病毒、防火墙、入侵检测等多个安全组件组成。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、访问控制技术、防病毒技术等。
3.2.1 防火墙技术
防火墙是一种隔离控制技术,通过预定义的安全策略对内外网通信强制实施访问控制。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术等。
3.2.2 数据加密与用户授权访问控制技术
与防火墙技术相比,数据加密与用户授权访问控制技术更为灵活,适用于开放网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密技术一般用于防护对于动态数据的被动攻击。
3.2.3 防病毒技术
在网络环境下,计算机病毒具有更大的破坏力,遭到病毒破坏的网络难以顺利恢复。防病毒就是防止计算机病毒对系统的传染和破坏等,主要技术手段包括磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
4 互联网信息安全对策建议
基于互联网信息安全面临的严峻形势,本文从以下三个方面入手来给出对策和建议:正规化建设、加大资金投入和加强人才培养。
4.1 正规化建设
建立专门独立的负责机构并制定合乎管理的规章制度,并由专人负责统一管理。管理规章制度应结合应急预案,实现快速预警,快速响应。目前,国家对网络信息安全的领导和管理是从制度角度去保障网络信息安全。网络信息安全需要有成系统的管理制度和相对应的具体管理措施,从大到小,从高到低,各个层面的科学管理制度是保障安全的重要手段之一。从国家层面上成立中央网络安全和信息化领导小组就是为了解决网络信息安全的统一领导和管理问题,就是为了适应加强战略层面和制度管理的需要。
建立严格的信息安全管理制度和应急预案需要借助管理制度以及一体化技术平台,完成快速响应,快速预警的目的。图3所示为基于技术平台结合相关应急预案制度来提高应对网络突发事件能力的应急救援指挥系统。
4.2 资金投入与技术应对
目前国内几乎所有的个人计算机操作系统都是国外的,软件系统也以国外为主,国产软件也多是基于国外基础而做的二次开发和本地化开发。手机操作系统亦然,核心芯片也多依赖进口。自主创新、微创新需要花时间和精力去大力培养,这也表明了从技术层面提升网络信息安全是一项长期活动。目前中国互联网公司的信息安全支出在整体IT支出中的比例远低于欧美发达国家的水平。
从技术角度着眼需要着重从系统层、网络层和应用层三个层面应对网络安全威胁。系统层的安全主要解决当前操作系统的安全问题,应加速开发具有自主产权的操作系统,并加强对现有操作系统的研究,完善系统本身安全缺陷及安全配置。网络层的安全包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。应用层的安全主要解决由应用软件和数据的安全性产生的安全问题,包括Web服务、电子邮件系统以及DNS等。对这些威胁的处理主要体现在对现有的新型平台以及数据进行汇总收集,借助于开源的组件,深度进行定制,完善现有的监控体系,建立出基于大数据的平台,实时预警和进行对应的应对操作。以云计算为代表的大数据解决方案就是当前的热门研究方向。
4.3 人才培养
在互联网时代,信息安全需要的不仅是被动保护,同时需要信息保护、漏洞检测、威胁策略分析以及安全恢复等。这就需要培养专业的技术人才,从保护、检测、应对和修复等阶段去加强信息安全保障。因此,网络安全环境的建立需要建立在互联网使用者安全意识提高的前提下,并有相对应的方针和原则。人才培养应遵循知识普及和专业培养的原则:
4.3.1 知识普及
普及网络安全知识,建立大众安全培训机制。以国家的“净网”行动为契机,打击不良网站,使网络的建设者和使用者有一个健康安全的环境。同时通过各种方式不断宣传和教育网络参与者,提高人们的安全意识。
4.3.2 专业培养
加强网络安全相关专业人才培养,加强各个团体组织内对应网络安全的专门岗位人员培养。从技术层面来看,主要培养硬件、软件和应用三类技术人员。
5 结束语
互联网信息安全是一个综合性课题,涉及技术、管理、使用等许多方面。互联网信息安全问题的解决需要不断加强和提高软硬件技术研究水平,需要持之以恒的不断培养各类专业人才,需要所有网络参与者提高安全意识并共同努力建设良好的网络环境。建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发,从而形成技术手段、法律法规、监管和舆论导向相结合的长效机制,唯有如此我们才能迎头赶上,成为一个真正的网络强国。
参考文献
[1]国家互联网应急中心.2013年我国互联网网络安全态势综述[DB/OL]. http://.cn.
[2]腾讯移动安全实验室.腾讯移动实验室2014年1月手机安全报告[DB/OL]. http://.
[3]工信部“宽带中国”战略. 南方财富论坛[DB/OL]. http://.
[4]卞晓光. 基于云计算的网络安全的探析[J].网络安全技术与应用,2013(12): 49-50.
[5]杨晨.信息时代下计算机网络安全技术初探[J].网络安全技术与应用,2014(1): 108-109.
[6]肖英,邹福泰.计算机病毒及其发展趋势[J].计算机工程,2011,37(11): 149-151.
[7]姚平,李洪.浅谈云计算的网络安全威胁与应对策略[J].电信科学,2013(8):90-93.
作者简介
许广(1969-),男,江西省彭泽县人。现为91551部队工程师。研究方向为信息安全保密。
王欣蕾(1990-),女,江苏省扬州市人。现为92001部队参谋。研究方向为信息安全与密码学。
梁勇(1983-),男,湖南省祁阳县人。现为海军南海舰队司令部工程师。研究方向为信息安全与密码学。
作者单位
中图分类号:R197.1; TP393.0 文献标识码:C 文章编号:1006-1533(2017)09-0014-03
Privacy protection and information security of E-health*
MA Shishi1**, YU Guangjun2***, CUI Wenbin2(1. School of Public Health, Shanghai Jiao Tong University, Shanghai 200025, China; 2. Shanghai Children’s Hospital, Shanghai 200062, China)
ABSTRACT Health information security and privacy issues which are brought in by the rise of E-health can not be underestimated. The information security issues (such as privacy leak) of E-health possibly existed in the use of consulting services, telemedicine and mobile medical equipment were analyzed based on the characteristics of the internet and health information and the corresponding solutions were proposed, which are included in establishing the laws and regulations of the privacy information protection suitable to Chinese national conditions by learning from the practical experience of foreign health information protection, applying the advanced information technology and timely introducing a review system for technology application and implementing the standardized management to the relevant institutions so as to better protect the health information under the internet medical environment.
KEy WORDS E-health; privacy information; security information
互联网医疗是指以互联网为载体,以信息技术(包括通讯技术、云计算、物联网、大数据分析等)为支撑,开展在线健康教育、电子健康档案、医疗信息查询、电子处方和远程医疗等多种活动的一种新型健康和医疗信息服务的总称,其本质是将互联网及相关信息技术延伸至医疗服务这个大行业中来[1-2]。
互联网医疗的兴起在方便患者就诊、节省医疗成本、优化医疗模式、保证医疗安全、方便医学研究等方面发挥了重要作用。然而随着互联网医疗的推广,云技术、大数据分析的应用,患者医疗信息变得更集中、更易获得,在医疗数据采集、存储和应用过程中常发生数据泄露的问题。数据泄露会危及患者个人隐私,如某社区居民疾病登记管理系统的账号和密码泄露,就会暴露大量居民的敏感信息。近几年,孕、产妇个人信息泄露的新闻几乎不绝于耳,其带来的一系列推销、诈骗问题严重困扰信息当事人[3]。因此,很有必要对在互联网医疗环境下的咨询服务、远程医疗、移动医疗设备使用中可能存在的隐私泄露等信息安全性问题进行分析,从而有针对性地予以解决及预防。
1 互联网医疗中隐私信息保护面临的挑战
1.1 咨询服务中的泄露风险
在互联网医疗中,患者可在具有挂号功能的网页上进行预约挂号、医疗保健咨询,还可通过网络上的医疗社区向医生寻求建议以及与病友交流治疗信息,但存在患者相关隐私数据的安全性、保密性等问题。首先,患者要填写一系列个人信息注册,这样才能获取网站服务;其次,在进行医疗咨询或在患者社区分享就诊经验时,患者会有意无意地泄露一些碎片信息,虽然这些碎片信息单独看似毫无价值,但将之与患者提供的其他信息关联后却有可能识别其身份[4]。最重要的是,一些网站允许广告商或其他第三方获取用户信息,当患者浏览网站时点击了外部广告,广告商便能追踪这些患者,对患者进行定向广告推送。但互联网具有开放性,患者并不知道哪些人可以获取他们的哪些信息,也不知道那些信息被用于何处,甚至以上行为的发生都很难被患者觉察,而信息泄露时也无从申诉。
目前有S多互联网医疗机构,水平与资质参差不齐,工作人员同样层次复杂,而他们可从网络后台获取用户的大量健康信息[5],若发生隐私泄露问题,很难追踪根源来明确责任。少数从业人员受利益驱使,拷贝、贩卖健康信息,也造成了患者隐私泄露的问题。
1.2 远程医疗中的泄露风险
远程医疗是指远距离地对患者进行医学诊疗,其应用使得医疗服务突破了空间的限制,有利于优质医疗资源的配置,处于医疗资源不足区域以及身体行动不便的患者也可不再需要长途跋涉、劳心劳力地去医院就诊,在家就能通过网络得到专业的医疗服务。2014年8月国家卫计委印发的《关于推进医疗机构远程医疗服务的意见》中规定,远程医疗服务只能由医疗机构提供。国家发改委、卫计委还于2015年初联合印发了《关于同意在宁夏、云南等5省(区)开展远程医疗政策试点工作的通知》,要求试点省(区)落实远程医疗服务工作[6]。
然而,在远程医疗过程中同样存在隐私泄露风险。在远程诊疗过程中,患者的病理学诊断、影像学诊断等数据或图片都通过互联网传送,与医生的沟通也是采用视频通话方式,数据容易受到拦截、甚至篡改,视频也有可能被窃听。远程医疗结束后需进行医疗档案的记录,医疗信息电子化、档案化可提高医疗服务的效率,且方便在不同医疗机构之间传输或共享。传统的医疗机构通过将内部的电子病历系统与外部网络隔绝开来保障信息安全,互联网医疗则将医疗信息的共享范围拓展至整个互联网,而电子记录容易复制、共享、被第三方截获的特性便带来了信息安全的隐患[7]。
1.3 移动医疗设备使用中的泄露风险
互联网医疗催生了各种类型的移动医疗设备,主要包括健康管理类的可穿戴设备如手环、慢性病管理类的监测设备如家用血糖仪、适用于远程医疗的监控设备等,受到目标人群的欢迎。这些设备可持续性地采集、存储患者的数据,帮助患者进行健康管理,并向互联网医疗机构传输数据。同时,这些移动医疗设备具有汇总患者数据、创建患者的详细的合成档案的功能,还有将收集到的患者的大量数据聚合、关联、分析的功能,可从中挖掘出新的信息。此外,这些设备还有可能记录其他数据,如患者的位置信息等。这些数据对商业企业有很大的利用价值,如用于定向营销等,可为其带来巨大的商业利益,然而目前国内对此类设备的数据采集与利用并无相关规定。
对于家用远程设备,在信息访问、传输和存储时,由于用户的操作失误或有意为之,也会造成信息的泄露、篡改和丢失[8]。由于用户疏忽、错误地使用了不安全的上网设备(免费路由器等)而导致信息泄露的事例并不鲜见,2015年央视“3・15”晚会上就特别展示了信息诈骗犯罪如何利用免费路由器获取用户信息的例子[9]。因此,对移动医疗设备用户来说,要有个人信息保护的意识,否则将其他端口把控得再严也是徒劳的。
2 相关建议
当前,我国互联网医疗正处于发展初期,在保障医疗信息隐私与安全的前提下,应本着鼓励发展的原则,不可过分束缚。对互联网医疗实际运行中出现的问题,建议从立法、信息技术和管理三个维度来解决,使之能够健康发展。
2.1 加快制定健康信息保护的法律、法规,以适应互联网医疗发展的需求
目前,世界上有109个国家有专门的个人信息保护法[10],而我国尚无系统性的法律、法规来确保医疗信息安全,尤其是在涉及隐私保护方面。我国有关个人信息的保护规定虽多,但基本上是分散在效力层次不一的各种法律、法规甚至规范性文件中的,即目前法律对个人信息及隐私保护采用的主要是间接方式,且规定模糊、震慑力有限,不仅会使隐私信息泄露者肆无忌惮,而且在出现纠纷时也往往无法可依。
建议制定个人信息或医疗健康信息方面的专门法律,在规范远程医疗、移动设备健康信息收集与利用等方面适应互联网医疗发展的需求。同时,通过立法设立专门的部门对互联网医疗机构进行统筹管理,主要职能包括日常信息安全与隐私保护的监督、侵权事件的咨询和诉讼等,建立、健全层级管理机制,提高行政干预效率。
2.2 利用先进技术为患者医疗信息的存储与传输安全保驾护航
一些不法分子可能会利用各种技术手段侵入存储有健康信息的网站非法浏览、篡改、盗窃隐私信息,远程医疗也可能遭到黑客的拦截而导致数据泄露或失真。
建议建立互联网医疗服务的相关技术应用审查机制,并构建分级、分类审查制度,对信息技术的使用进行监管。互联网医疗中健康信息面临的安全威胁大多可以通过信息技术手段来解决,因此可引入国际上的先进技术,包括访问控制技术、匿名技术、加密技术、安全监控和审计技术等,同时鼓励创新与我国国情相适应的信息技术。
2.3 有效的管理是互联网医疗信息安全的重要屏障
各互联网医疗机构应以法律、法规和行业标准为最低要求,制定适合自身发展的管理规范及操作规章,并认真落实。以下三点需予强调:
1)加强从业人员的隐私保护意识培养和专业素养教育。互联网医疗信息工作人员能接触到大量健康信息,涉及用户的个人隐私,若他们信息安全意识缺乏,对信息安全威胁认识不足,就很可能导致健康信息泄露甚至丢失。因此,要提高隐私保护的效果,必须加强各类从业人员的隐私保护意识,强化自我约束能力,这样才能从根本上保证隐私信息能够得到妥善的使用和保护。
2)畅通患者知情同意权的行使渠道。互联网医疗产生的大数据具有很大的商业价值,信息利用者有义务告知信息主体他们将如何存储、使用或会与谁共享这些健康信息,且理论上应获得信息主体同意后方能实施,而在获得知情同意的过程中还需注意使用公众能够理解的语言。笔者建议借鉴美国的隐私保护电子化技术,该技术会将与隐私有关的决策自动传送给信息主体,信息主体可选择碎片化后分享信息。
3)平衡好信息开放与隐私保护的关系。互联互通和信息开放是大趋势。我们确实需要重点关注医疗信息的安全与隐私保护问题,但对隐私的保护也不能绝对化,不可过分限制信息流通。健康信息在医学研究和公共卫生管理方面都具有重要的用价值,其合理利用有利于促进和实现互联网医疗服务的健康、可持续发展。
参考文献
[1] 舒婷. “互联网+”时代的患者隐私保护[J]. 中国数字医学, 2016, 11(5): 41-43.
[2] World Health Organization. Atlas eHealth country profiles: based on the findings of the second global survey on eHealth (Global Observatory for eHealth Series, 1) [EB/OL]. [2017-01-05]. http://apps.who.int/iris/ bitstream/10665/44502/1/9789241564168_eng.pdf.
[3] 上千名孕妇信息被贩卖 数据安全难保障[J]. 中国医院院长, 2016(7): 17.
[4] 周思成, 翟悦. 电子医疗保健情境下的隐私保护[J]. 中国医学伦理学, 2016, 29(4): 681-684.
[5] 王安其, 郑雪倩. 我国互联网医疗运行现状――基于3家医院的调查分析[J]. 中国卫生政策研究, 2016, 9(1): 69-73.
[6] 孟群, 尹新, 董可男. 互联网医疗监管体系与相关机制研究[J]. 中国卫生信息管理杂志, 2016, 13(5): 441-447.
[7] Draper H, Sorell T. Telecare, remote monitoring and care [J]. Bioethics, 2013, 27(7): 365-372.
随着移动互联网技术的发展,手机的功能越来越强大,上网、买东西,支付,一台移动互联网手机都可以完成。在2013年斯诺登曙光的美国棱镜门、9月上海出现首例伪机站案例导致GSM手机大面积通信中断;2014年好莱坞艳照门事件等事件,苹果被曝留有手机侧“后门”之后,手机的信息安全问题逐渐走进了公众视线。而中国互联网络信息中心在2015年2月份的《第35次中国互联网络发展状况统计报告》中的几组数据,“2014年底,我国手机网民规模达5.57亿,网民中使用手机上网的人群占比高达85.8%,手机中病毒或木马、账号或密码被盗在安全事件中的占比例已高达25.9%”,充分说明针对移动互联网手机的窃听、监控、病毒等事件层出不穷,移动互联网手机已经成为了窃听、监控以及病毒入侵、传播的重要入口。相关报道显示,2014年被手机病毒感染的用户超过1亿户,因为手机信息泄露造成的直接经济损失已达到100亿元,移动互联网手机的信息安全问题越来越引起政府、企业和广大消费者的高度关注。
移动互联网手机安全信息面临着日益严重的安全威胁,它既有传统通信面临的安全挑战,如通话内容被窃听、短信内容被截获等典型威胁;又有传统互联网面临安全难题,如上网行为被监控、内部网络被攻破等安全威胁;同时又带来了新的安全难题,如实时性的个人资料(如个人的位置信息)会被盗取。因此移动互联网时代手机信息安全策略在兼顾解决传统通信、互联网安全,还要着力解决自身带来新的信息安全。在研究了众多学者研究成果的基础上,笔者主张从通信网络选择策略、手机终端选择策略、手机使用安全策略、社会信息安全环境营造等四个纬度共同努力,才能缓解越来越烈的移动互联网时代手机信息安全。
1通信网络选择策略
随着2015年2月27日FDD牌照的正式发放,我国正式全面进入了4G时代。通过认真分析研究,无论3G,还是4G,各运营商的数据传送安全方面不分仲伯,但到目前为止,国内运营采取的策略均是语音和短信业务都是回落到2G网络上传送。目前在国内运营的2G网络主要有CDMA~HGSM两大阵营,GSM技术由欧洲主导,国内运营商有中国移动、中国联通;CDMA技术主要由美国主导,国内主要的运营商有中国电信。CDMA和GSM两大制式各有优劣势,但由于两者采用了不同信号编码方式:GSM将频分多址和时分多址结合起来使用,而CDMA却采用了码分多址方式,这个本质上区别导致了两者在保密性等方面有了巨大的差别。
CDMA在手机端使用带扩频技术的模数转换(ADC),同一时间和频率内,在空中传输信号频率按指定类型编码,即用户信号的区分只是所用码型的不同,因此只有频率响应编码一致的接收机才能拦截信号。频率顺序编码高达4.4万亿次,空中被拦截窃听机率非常小。在此基础上,还可方便地进行二次加密,有四层保密机制,在一般的技术条件下,拦截窃听几乎不可能。
GSM采用的频分多址和时分多址相结合的方式。频分多址和时分多址简单形象的说就是在不同的车道上开不同的车和在同一车道的不同时段内开不同的车。可以说明,GSM以电路交换方式通信,容易捕捉信号进行窃听,近年来层出不穷出现手机话单等失窃密事件大多来自GSM系统。
基于以上分析,用户要根据自己的语音、短信等保密要求,选择不同的通信技术,从而选择支持相应通信网络的手机的运营商。
2手机终端选择策略
目前市场上销售的手机主要有智能手机、非智能手机两大类机手机。非智能手机基本上只能实现传统通话、短信等功能,而智能手机除了可以实现传统通话、短信等业务外,还具备了绝大多数Pc机的功能。同一通信制式的功能手机的安全方面表现差别不大,重点讨论智能手机选择策略。智能手机可以按支撑通信网络制式、厂商、操作系统、屏幕等列出许许多多分类,但就安全方面来说,可以分为普通智能手机、安全手机两大类。
普通智能手机通俗形象的讲,就是在将手机传统的语音通话和Pc机的主要功能集合在一起,它像电脑一样,有自己的操作系统、存储系统、中央处理器、输入输出系统等,它也像非智能手机一样有移动通信功能。就目前的国内智能手机而言,主要有以下几个特点:Android(安卓)和iOS是操作系统无可非议的主流,屏幕上智能手机主要的输入输出设备,手机处理芯片以高通、联发科技、三星为主。普通智能手机往往关注手机自身的安全,通常使用普通密码、增加杀毒软件、使用指纹识别系统以及增加防盗系统等等安全策略,不能很好的解决窃听等问题,更不能彻底的保证手机和机内数据的安全。
随着手机失泄密事件不断发生,人们手机安全意识的不断提升,国产的安全手机成为了智能手机家族中的新宠。安全手机在骚扰拦截、黑白名单、杀毒、广告检测、指纹应用锁、权限管理、防吸费、流量管理、通知管理、自启动管理等等智能通用安全基础能力基础上,从开机认证、正常使用、下载软件、丢失、借用等使用中的每个环节,着力解决私密通信防窃听、移动上网防木马、隐私信息防APP、信息隐藏防偷窥、资料防拷贝等问题,为用户进行全方位的安全防护。下面对一些主要的安全策略进行分析。
2.1开机认证策略
开机认证是手机安全的第一道防护,普通的智能手机往往只提供口令保护功能,安全手机基本上会提供如指纹等图像识别技术,而且通常由专门的芯片模块处理和保存信息,操作系统和外部应用都无法访问,从而确保芯片中的信息安全可靠。
2.2防木马策略
安全手机主要有两大策略,一是内置杀毒软件,自动更新木马病毒库。此方式易于实现且成本低,但由于病毒库可以更新,木马病毒也有机可乘。二是独立一个不能被木马病毒入侵的系统,彻底隔绝木马。这就像是将不会中病毒的功能机和智能机集成在一起,在安全模式下,数据网络被彻底禁用,实现GPS定位等功能模块被自动断电关,完全隔绝病毒,仅剩通话、短信功能。这种方式最为可靠,但成本高和操作等原因,普通用户不易接受。
2.3防窃听策略
策略一是设置自动、手动断麦克风、定位等设备电源,并关闭所有数据传输通道。策略二是语音加密,这种技术依托于运营商的透传网络和加密系统。语音加密主要由运营商密钥管理中心、透传网络和手机来完成,手机发起申请密钥消息(终端与运营商的密钥管理中心的密钥协商采用了非对称密码技术),密钥管理中心完成鉴权、密钥生成、加密、签名等认证工作后,下发给手机密钥通知消息,主被叫双方上发透传请求给网络控制中心(得到双方加密通话使用了对称密码技术),加密通话建立完成。
2.4防拷贝策略
一是通过专业的加密软件对资料设置密码;二是采用芯片模块来实现加密。前者可以通过用数据线与电脑相连等方式,读取出来数据,并经专业人士处理后可能会被拷贝;后者通过芯片加密,信息无法读取,即使强制拷贝出来也是一堆乱码,无法使用,但缺点是会提高手机的制造成本。
2.5隐私保护策略
一是远程设备管理,在云服务支持下,当手机丢失后,机主可以通过系统进行远程备份、远程锁定、远程销毁、远程定位、远程备份等操作,从而实现手机上数据备份保护和数据的安全。二是双锁屏保护,一台手机上设置两套锁屏保护,分别控制进入机主模式和访客模式。在机主模式下可设置隐私联系人,隐私相册,隐私应用;切换至访客模式后隐藏上述隐私信息。
消费者可以根据以上手机各种安全策略,结合自身的需求、消费能力、喜好等因素,选择合适自己的手机。
3手机使用安全策略
互联网手机的安全跟个人的使用习惯也有很大的关系,往往是我们的不正确、不留意等的使用给了不法份子可乘之机,就应该引起注意。日常手机使用安全策略介绍如下。
坚持不使用来源不明的WIFI信号,当你在蹭别人wifi网的时侯,不法份子可能正在窃取你的资料、值入木马……不要因为能省一点网费或方便一点,而把自己的信息给别人,这个帐大家都会算。
坚持不使用非主流应用中心提供的第三方面公共APP软件,不要乱点网页、短信、邮箱等提供链接,尤其要防范一些后缀为APK的链接。
坚持为智能手机安装正版的安全软件,并坚持定期更新病毒、定期杀毒,不定期的使用在线联网杀毒。
坚持开机有密码(或指纹认别等),不同的应用软件使用不同的账号和密码,并定期更换密码,并保证密码不是弱密码。
坚持像保管自己的财务一样保管自己的手机,不轻易借给别人,发现异常扣费、非正常短信等及时与提供服务的运营商联系,发现重要的信息失窃等即时报警。
4社会信息安全环境营造
时至今日,信息已成为推动人类社会进步重要的生产要素。作为当前信息最为活跃的载体一一手机的信息安会环境,理应成为社会关注点。
4.1道德引领,立法打击
一方面,政府引导,广泛的开展网上道德宣传,提供网络文明,培养网民在虚拟的移动互联网世界遵守现实生活中的伦理道德,从自己做起保护网络信息安全。另一方面,加大、加快相关法律的出台实施,做到保护互联网手机信息安全有法可依。欧美及亚洲很多国家和地区出台了一系列互联网安全方面的法律法规,已经明确把互联网手机的信息纳入其中,而我们在这方面的法律法规是滞后于移动互联网的发展。据传网络安全法已列入2015年的立法计划,但必须加快进程。
4.2利益共享,责任共担
