网站安全论文精品(七篇)
网站安全论文篇(1)
从安全技术架构来说,网站群的安全问题主要在于网络层、操作系统、数据库的安全。高职院校一般都具备独立的数据中心。以浙江医药高等专科学校为例,目前已建有MIS+S(基本信息安全保障)系统架构,随着硬件驱动已转变为应用驱动,网络信息基础设施和服务都有了大幅度的提升,能够从物理安全、网络安全、系统安全、应用安全四个环节,打造网站群安全防范技术体系,实现动态防御、主机安全、备份和恢复、安全审计、安全测试配置、安全监控,应用分析等目标。
1.1动态防御
网站群安全防范技术体系以往,我们通常利用防火墙、双核心网络设备以及DMZ区来实现应用防护,防范恶意攻击和病毒入侵的能力有限。在网络安全问题日趋严重和复杂的情况下,需要加固原有的网络拓扑结构,增加应用防护系统、统一防恶意代码软件、网络管理系统,与防火墙一起建立动态防御体系。只有为网站群和服务建立访问控制体系,才能将绝大多数攻击阻止在到达攻击目标之前,或攻击者在突破第一道防线后,延缓或阻断其到达攻击目标,最终提升网站群系统的物理安全、网络安全和应用安全。我们将网站群系统所在区域从原DMZ区划分出来,与其他Web应用一起规划为安全级别较高的WebServer服务区域。同时,在该区域部署统一恶意代码防范管理系统,建立安全的病毒防护措施。在核心交换和WebServer服务区域间,通过串联部署方式,增加一台WAF(应用防护系统),起到防护Web应用、漏洞检测作用,确保网站群在内的Web应用完整性。同时,开启硬件防火墙上的网站防篡改、IPS功能、日志功能,建立攻击监控体系,实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源,等)。网站群系统管理员在统一恶意代码防范管理平台上,对网站群主机进行远程控制。包括:远程启动或停止实时监控、手动扫描、实时更新、功能组件配置、设定分组任务或策略,等,以有效阻隔外来病毒入侵及内部病毒清除,有效保障系统安全。众所周知,网络攻击也可以来自于局域网内部,如内网DoS攻击、ARP等病毒攻击。对于内网攻击的防范,通常采取的应对方法有:为内网终端安装病毒防护软件、加强用户病毒查杀意识,在网络设备上划分VLAN进行逻辑隔离、设置ACL访问控制。现阶段,我们还启用硬件防火墙上的IPS、DDoS/DoS内网防护、病毒防御策略等功能来加强防范。同时,利用上网行为管理设备,对内网终端实施安全检查、网络准入控制、行为审计、危险流量封堵、木马病毒查杀等安全防护措施,针对内网攻击事件查看分析用户行为记录并定位,并且依据学校相关规章制度进行处置处理(如《校园网用户守则》、《校园网联网安全保护管理办法》、《校园网系统安全管理制度》,等),提高局域网内部的综合防范能力,减少内网攻击事件的发生。
1.2主机安全
主机安全是网站群系统安全的保障。可以采用双机热备的方式来解决主机冗余问题。但是,由于网站群系统应用的重要性和网络安全的复杂性,为提高主机安全能力,还需要构建主机集群环境,以保障网站群系统的持续运行。目前,高职院校为提高数据中心的利用率和采购运行成本,通常会采用服务器虚拟化软件规划虚拟数据中心。在该环境中,统一存储设备部署在后端,为物理服务器(虚拟主机)提供空间资源,并为前端虚拟机提供数据存储资源;数台高性能服务器作为虚拟主机,随时划分前端虚拟机,并提供虚拟机所需的CPU、内存资源、存储器访问权和网络连接能力,满足各项应用的服务器需求。采用虚拟机(VM)部署网站群双机热备,在降低采购成本的同时,提高了网站群主机的灵活性、冗余保障和容灾迁移能力,保障网站群主机操作系统的安全需求。为了减少网站群所在虚拟主机(物理服务器)的单点故障,实现网站群系统的不间断运行,我们利用vSphere集群功能,在虚拟数据中心内,配置HA(highavailability)高可用集群(如图4所示)。HA允许一个集群中在资源许可的情况下,将一台出现故障的虚拟主机上面的网站群虚拟机切换到集群中另一台虚拟主机上运行(如192.168.0.116和192.168.0.118)。应用业务时间间断由VM系统启动时间、应用启动时间、心跳检测时间构成。
1.3备份和恢复
数据资料是整个网站群系统运作的核心,建立良好的备份和恢复机制,可以在应用系统遭受攻击时,尽快地恢复数据和系统服务。以往,为降低备份容灾成本,会采用纯软件模式,通过编辑脚本文件,连接两台热备服务器,将数据实时复制到另一台服务器上,如果一台服务器出现故障,可以及时切换到另一台服务器,避免了磁盘阵列的单点故障。在网络安全的新形势下,为实现应用数据及业务存储系统的完整性和可靠性,我们在网络拓朴的DMZ区域,接入存储备份一体机(浙江医药高等专科学校采用SymantecBE3600),构建高可用性的存储备份环境。利用其存储空间及备份管理系统,实现有效的异地备份,为网站群的容灾备份提供了进一步的安全保障。通过制定备份策略,选择合适的备份频率,采用完全备份、增量备份、差分备份或按需备份的组合方式,确保及时恢复失败的网站群虚拟机,快速恢复丢失的应用程序服务,全面提升网站群的数据安全及备份恢复能力,避免在各种极端情况下造成的重大损失和恶劣影响。
1.4安全审计
网站群要达到可控性与可审查性,就必须对站点的访问活动进行多层次的记录。安全审计是网站群主机安全和应用安全中的重要环节,审计范围要覆盖到主机上的每个操作系统用户和数据库用户,审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件,及时发现非法入侵行为。以旁路方式部署了一台审计设备,并接入核心交换。审计设备通过对交换机的镜像口进行旁路监听。网站群系统管理员可通过B/S方式使用日志管理综合审计系统,从网络运行维护、数据库安全及系统安全审计等方面,采集所有网站群的数据库访问行为记录,收集客观、实时的分析数据。一旦发生网站群网络信息安全事件,系统管理员可根据网站群用户对数据库系统的所有操作信息,进行准确快速定位,并排除安全隐患。此外,为确保安全审计,还应要求网站群开发人员去除或隐藏程序中的删除日志功能。
1.5安全测试与配置
由于网络安全不是绝对的,因此,在建立技术防范体系后,我们按照《信息安全技术信息系统安全等级保护基本要求》中的第二级基本要求,对网站群的操作系统、数据库和应用系统进行集成测试和配置。主要包括身份鉴别、访问控制、入侵防范、资源控制、数据完整性和保密性,从而确保信息和管理安全。我们采用Centos和Oracle来构建网站群的操作系统和数据库环境,相关配置如下:
1.5.1身份鉴别良好的身份认证体系可防止攻击者假冒合法用户。为此,须对登录操作系统、数据库系统、网站群的用户进行身份标识和鉴别,操作系统和数据库系统管理用户身份标识应具有不易冒用的特点,并确保用户名具有惟一性。因此,我们做了相关配置:编辑操作系统文件etc/login.defs文件,应达到密码定期更换要求。如:PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN6#最小密码长度6编辑操作系统文件/etc/pam.d/system-auth文件,应达到密码复杂度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密码最小长度6位和至少包含2数字、至少包含2个特殊字符数编辑操作系统文件etc/pam.d/system-auth文件,采取结束会话、限制非法登录次数和自动退出等措施,实现登录失败处理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#设置密码连续错误6次锁定,锁定时间300s。对于数据库的身份鉴别,我们通过配置Oracle公司提供的验证密码复杂度的函数来实现。对于网站群系统,后台管理用户密码复杂度设置高级别,对密码的长度、大小写、特殊字符都方面都要做要求,同时设置口令有效期。
1.5.2访问控制访问控制更侧重于管理层面,要求操作系统和数据库管理帐号和实际操作都必须为不同人员。我们制定相关岗位职责文件,实现权限分离,责任分离。如:依据安全策略控制用户对资源的访问;实现操作系统和数据库系统用户权限期的分离;限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。此外,我们对网站群的角色权限进行细分,做到权限相互制约。如超级管理员具有所有功能的操作权限,二级网站管理员只能具有自己站点的操作权限,审计员只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系统方面,我们遵循最小安装的原则,仅安装需要的组件和应用程序,使得端口和服务实现最小化;通过对安全漏洞的周期检查,设置升级服务器等方式保持系统补丁及时得到更新,从而使绝大多数攻击无效。
1.5.4资源控制系统资源控制主要指终端接入的方式、IP地址范围及登录次数限制。我们做了相关配置。
2网站群安全防范措施
单纯期望某一个安全技术或体系架构就能够全面消除或解决网络安全威胁和风险的想法是不现实的。高职院校网站安全问题突出,还归结于学校对网站安全不重视,网站信息保护意识差,网站日常维护缺失,等。我们只能通过大量实践,在网络安全实战对抗中不断完善,明确责任和义务,建立管理制度和安全制度。管理是网络安全的重要部分,在对网站群部署进行有效的安全风险(安全威胁)识别和评估后,我们还围绕技术层面、组织层面、管理层面、服务层面,完善网站群安全防范措施。建立学校、部门两级运行维护的组织体系,按集中建站、分级管理、制度约束、服务保障的原则,通过统一策划、统一标准、统一资源、统一平台来实现集中建站。按照国家有关规章制度和安全办法(策略),形成制度约束机制,确保网站群在高效、安全、有序的体系下运作。理顺管理体制与职责,构建主站和子站间的垂直管理体系,制定网站群管理办法、建立网站群管理和信息员制度、制定安全规范及操作手册、建立内容管理与审核制度、明确各网站内容管理与运行管理岗位职责、规范工作流程、完善信息等环节,全面做好网站群安全管理工作。通过提升服务管理水平,构建健全的网站群服务体系。我们参考ISO/IEC20000-1采用的PDCA方法论,从规划(P)、实施(D)、检查(C)、改进(A)四个方面着手,根据学校技术、政策和资源等实际环境,加强安全服务管理,确保网站群服务水平。并参考信息安全服务体系,从安全评估服务、安全修复服务、安全保障服务、安全信息服务、安全培训服务、数据恢复服务、产品集成服务八个方面,加强安全服务。
3网站群保障体系构建效果
网站安全论文篇(2)
伴随边防检查管理工作的持续深化发展,计算机网络系统技术对海量信息的管控监督也上升到了一个新的层面。如何确保信息数据的安全准确性,强化规范管理,尤其是对于出入境人员各项信息的严格细致清查盘点、做好出入物品的全面监控管理,则成为当前的一项重要任务。新时期,边防检查工作应体现更高的可行性、全面性、主导性且具备可比性,引入计算机网络系统之后,则可有效的对各类出入境数据信息做排查以及核实分析,令边防检查任务更加可靠规范、稳定有序的开展。另外,边防检查工作人员针对出入境各类信息数据的感应以及具备的敏感思维,同样影响到网络系统对于信息的识别发现以及消化管理。做好计算机网络安全管理与建设,积极促进网络信息数据库的全面集成,对于现代边防检查工作体现了重大意义。怎样全面优化边防检查工作信息化建设,促进网络系统的可靠应用,渐渐成为公安边防部队应承担的一项重要任务。从中不难看出,边防部队加强网络信息管理建设是一项长期持久的重要任务。
2边防检查站计算机网络系统应用
边防检查站多项工作中,出入境检查是重要环节,可判定出入境人员具体信息的真实可信性,而该部分人群的信息在边防检查环节体现了重要功能价值。尤其是近年来伴随电子护照、签证以及旅客信息管理系统等现代化技术在边防出入境检查范畴中的频繁应用,令出入境人员具体信息在边防检查工作中的汇总、管理与应用更加常见。
2.1边防检查站信息化建设发展
边防检查站相关信息为我国进行行政执法工作的一项重要资料,不仅体现出一般信息化建设工作中的产业信息化、社会与经济信息化的主要特征,同时还呈现出了广泛性、安全性、目标性等特点。首先,广泛性也就是广泛的应用现代信息技术手段以及系统设备,全面开发与应用边防检查数据信息。广泛性本质在于创建形成一个可将不同口岸边防检查数据全面结合起来的、四面畅通、覆盖各个层面的边防检查网络信息系统。边防检查站信息化建设应特别关注边将公安信息网络建设作为核心,利用加工处理之后实施传输,进而为每个网络系统终端提供更加完整全面的信息资源。不论任何人出入境、违规处罚法律人员或是登轮人员信息,在各个口岸、基层单位或是任何时间均可便利的传输或合理的接收,完成公安边防检查各类数据信息的全面共享。安全性特征也就是说边防检查站检查的各类信息牵涉到机关管理、违规操作、内部机密工作等众多环节。为此,信息的完整、安全与可靠是十分必要的,其核心本质便是确保信息体系、网络体系之中信息资源不会受到各类形式的威胁、影响干扰或是不良破坏。目标性也就是边防检查站主体开展的边防执法服务以及决策管理活动。边防检查站各类信息为具体的执勤工作、执法管理提供了强大的支撑,令警务活动更加高效、核心消耗不断降低。边防检查站开展信息化建设的终极目标便是通过边防检查信息体系进行汇总收集、应用处理、数据反馈、综合不同数据,进而为各个领导阶层、不同职能单位提供更加强大、全面的决策支持。
2.2出入境人员信息网络化应用
边防检查站出入境检查工作具体内容便是核查分析、检验管理出入境人员的具体信息。不同国家具体法律制度均对出入境证件之中的具体个人信息内容进行明确规定,合理清晰的汇总出入境人员具体信息则可准确的证明其来自于哪个国家以及具体身份,进而确保持证人能够更加方便、合理的行使自身出入境权利。近年来,国际恐怖主义袭击事件频繁发生、2001年美国911事件、2015年法国恐怖袭击事件,越发表明国际社会打击恐怖主义的反恐形势更加严峻,边防站有效堵截以及监督管控流窜活动的任务越发艰巨。为更精准快速地掌握判断恐怖主义分子,各个国家边防出入境检查单位应进一步扩充了对个人信息的汇总收集、研究判别力度。2003年以来,国际民航机构规定出入境人员证件之中需要添加生物特征信息,具体来讲涵盖持证人脸部特点、指纹信息以及虹膜资料等。当前,美国、法国、日本等发达国家更多元化的生物特征添加到个人电子护照之中。另外,针对旅客信息资源进行研究评判的体系也渐渐广泛应用。当前,不同国家采用的比较成熟的体系涵盖国际航班搭乘人员资料预报体系、数据传输体系、交换处理体系等。
3边防检查站计算机网络安全管理
3.1做好运维机制建设
边防检查站计算机管理中心配备了存储海量信息的服务器系统、数据库系统以及网络管理、信息存储设备,科技强警经费之中百分之五十以上的投资均应用在此。因此,相关单位应积极做好运维管理机制建设,通过确保设备系统、网络系统的安全、良好、服务运行,以全面提升信息服务管理质量。当前,我们要应对的首要问题在于,做好问题管理、网络管理、应用、数据信息备份以及恢复管理等。首先,应采用智能化运维管理技术手段,全面提升保障水平以及管理质量。另外,应利用不断的巡查了解查询问题,涵盖安全检验、定期评估机房环境条件,做好网络系统运行、应用体系状况的核实检验。对于突发事件的防范管理,应进一步做好停电、温度突变、电源系统引发故障问题、网络系统出现故障现象、应用体系瘫痪等问题的处理。近年来,边防检查总站配备建设的计算机网络体系规模不断扩充,为确保其更加安全可靠的运行服务,在强化各类管理控制的基础之上应配设所需的各项维护系统。具体来讲网络管理涵盖设备系统配置调节、性能管控以及安全运行管理。应用环节要做好系统控制、数据库应用管理、信息更新管理等环节。同时,应编制具体的数据信息备份管理规定,创建有效的核查备份制度,可确保系统在发生故障问题后信息最大化的得到复原。
3.2全面激发技术单位优势力量
技术单位内在优势为可接触到各类共享资源数据、掌握具体的传递通道并可对掌握技术实施全面整合,拥有信息的技术功能,为此,在加强边防检查站现代化、信息化建设工作中,技术单位拥有无可匹敌的技术优势,担任着引导以及统领人的重要职能。针对技术单位来说,重视技术毋庸置疑,然而技术单位通常无法对边防检查站工作业务更深入细致的了解,甚至没投入更多精力进行关注,这令技术单位在实施边防检查、做好执勤执法管理工作中较难凸显自身优势。为保证日常工作的良好开展,体现较强的目标性与针对性,技术单位应积极重视一线实战,发动各方力量探寻一条面向基层执勤人员的高回报、低投入信息应用途径,并积极进行推广应用,以全面提升一线民警、边防站检查人员信息化应用能力。
3.3促进边防检查信息网络系统的全面延伸
目前,各个政府单位均在快速开展电子政务系统建设,以符合政府单位、行政机关单位管理体制的全面改革与提升任务效率的现实需要。边防检查站身为政府部门的重要组成,应抓住信息化建设这一重要契机,树立为出入境人员提供优质服务的良好目标,体现系统建设发展的共享性,把握前瞻性,真正打消公安信息资源的自我封闭以及不良垄断局面。应清晰划分出什么信息可以公开、具体的面向范围、不可公开的数据以及需要严格保密的数据范畴,促进各项信息资源的全面共享。例如,通过创建边防检查管理警务系统、开设专项网站,面向整体社会边防检查单位具体的管理规定、服务流程、规章体制、发展举措等重要信息;创建形成为大众提供便利的登轮申请等网上管理体系,真正促进边防检查工作业务的信息化与网络化发展。再者,应令社会信息有效的为边防检查站提供重要引导作用,例如边防检查站日常管理中定期要应用外事部门、海关部门、检疫单位、海事部门的重要信息,可利用创建信息互动交换系统,实现重要资源的快速交换以及全面共享,令各类信息资源体现最大化应用效能。
3.4积极防范DDOS攻击
DOS攻击为一类利用合法手段获取较多服务器资源,进而令用户不能正常应用的攻击行为。DDOS在此之上形成攻击,利用更多的攻击机器,同时对系统服务器进行攻击。为有效防范该类攻击,首先应通过简单的服务以及严格的控制进行处理。倘若边防部队网络系统之中存在较多应用,一旦发起攻击,便可获得系统之中的更高权限进行后续入侵。严格管控即利用防火墙系统,判定访问是否被明确允许,否则全部做拒绝处理。同时,应定期做好安全检验,通过入侵检测技术,对入侵行为做动态跟踪,并实施漏洞检测,辅助管理员工快速找到系统漏洞,并及时掌握网络系统异常状况。另外,应创建形成有效的报警制度,在正常状态时,做好网络定期测量以明确基准数值,如果该类参数出现变更,则应快速联系管理员工实施网络监控,进而提升边防部检查站计算机网络安全管理过程中防范DDoS攻击的水平。
4结束语
网站安全论文篇(3)
关键词:网络;意识形态;安全
中图分类号:G20 文献标识码:A
文章编号:1009-0118(2012)05-0061-02
一、网络环境下新疆意识形态安全面临的严峻形势现状分析
(一)西方敌对势力对我“西化”、“分化”战略的实施对新疆意识形态领域构成的现实威胁
利用互联网现代科技手段对新疆意识形态领域的渗透是其显著特点之一,长期以来,西方从未停止过对中国“西化”“分化”的活动。敌对势力想用“互联网崩裂中国的长城”。从20世纪90代后半期开始,西方国家各大媒体开设中文网站,扩大西方国家对华传播的范围,延伸并扩展其“西化”、“分化”中国的阴谋。西方国家把中国政府对网络的依法管理污蔑为侵犯了“互联网”自由,宣称中国的信息网络管理限制了信息的自由流通和言论自由,他们积极培植境内外“”组织,给予经费支持,充分利用网络从事对新疆意识形态领域的渗透和制造各类暴力恐怖活动等,严重地影响了新疆社会稳定。
(二)境内外“”的分裂活动对新疆意识形态领域构成新的挑战
近年来,境内外“”利用网络组织策划对我国领土完整的分裂活动和暴力恐怖袭击等刑事犯罪活动,境外分裂分子利用互联网点多、互动、覆盖力强等特点,以此为平台对新疆进行思想文化渗透,有不断扩大之势。如埃及“伊斯兰之声”网站在网上举办“有奖知识竞赛”,鼓动新疆境内网民参赛;散布“伊斯兰知识的”的“世界伊斯兰网”公开在新疆地区发展会员,向会员在网上传播宣传品;新疆区内一些地下讲经点,则直接从网上下载境外网上信息,进行“网上教经”。据有关部门统计,目前已发现建立于美国、德国、土耳其等国家、专门针对于新疆的反动网站、网页达50多个,这些网站与国内的“维吾尔之声”、“和田玉”、“伊斯兰之声”、“真主唯一”等维吾尔语网站“友情链接”,交互渗透,影响恶劣,如近期查获的《要么独立,要么死亡》、《悲惨与奋斗中度过的人生》两张光碟,均从网上下载。新疆境内打掉的一些暴力恐怖团伙和“伊吉拉特”组织大都是通过互联网与境外恐怖组织取得联系寻求支持,或者是利用互联网发展成员、接受和行动指令。2009年乌鲁木齐“7·5事件”,就是典型的以为首的“世维会”通过“维吾尔在线国际”等网站大肆煽动宣传、传播谣言,境内“”通过QQ群、论坛、个人空间大量发帖组织实施的一起烧严重暴力犯罪事件。2010年阿克苏“8.19事件”也是“”利用互联网传播宗教极端思想和制爆技术,煽动宗教狂热所导致的,是典型的自发式暴力犯罪活动,犯罪分子就是受极端思想的影响,通过网上受教,自己制造炸弹,实施的暴力犯罪活动。总之,网上联络、网上指挥、网上培训、网上进行民族分裂思想渗透、网上传播暴力恐怖知识和技能、网上发展组织已经成为境内外“”渗透的主要渠道之一,对我防控布控打击工作带来新的挑战。
(三)加大向大中院校青少年进行思想渗透
目前,境内外的“东突”暴力恐怖势力通过网络向大中专院校的少数民族男女青年进行渗透,企图从根本上与我争夺青少年,为他们分裂活动培养后备人才。他们通过网络发表文章,把在新疆推行的“双语”教学上升到“民族文化灭绝”上来,极具蛊惑性,同时,利用民族不满情绪排汉、反汉;利用民族毕业生就业困难等积极地向大中专向大中专院校渗透,争夺教育阵地和青少年。因此,面对网络时代给高校带来的挑战,就必须充分发挥信息网络技术的优势,建立一支精通网络技术和网络管理的工作队伍,负责对校园网的总体监控和管理,创造一个良好的网络教育环境,以确保新疆高校意识形态安全。
(四)近年来兴起的网络民族主义
网络民族主义是随着互联网的普及而形成的一种民族主义表达途径,借助于网络平台,民族意识在网络时代获得了全新的表达方式,出现了“网络民族主义”的现象。我国的“”、“”等民族分离主义也利用互联网上来进行分裂活动。1996年在德国慕尼黑成立的“东突厥斯坦新闻信息中心”,该恐怖组织长期利用互联网进行恐怖主义、极端主义、分裂主义的宣传、煽动以暴力手段进行的“圣战”,通过爆炸、投毒等手段制造恐怖事件,危害极大。
二、确保网络时代新疆意识形态安全的对策建议
(一)健全网络安全监管队伍,形成完善的监管网络
由于公安系统对网络监管有一定的经验网络监管工作可以由公安系统从整体上进行,负责主要的网络安全监管工作。下面以2011年库车县公安局网安工作为例,做一阐述。
1、网络管理监察工作。(1)目前,库车县有7家网站备案(龟兹新闻网、库车在线、库车县人民政府网等),并定期进行网上监督巡检工作,发现问题及时处置;(2)目前库车县共有网吧44家,网吧档案资料均在网安大队进行备案,所有的网吧按照网安部门的要求安装视频监控系统,每年年初组织全县网吧业主签订网吧安全责任书,定期召开全县网吧业主管理会议;(3)互联网上网用户基础数据备案工作,目前网安大队已经与库车各电信运营商进行沟通,将电信运营商备案的全县上网用户信息必须无条件的到网安部门备案,目前累计备案上网用户信息8000余条;(4)2011年5月11日在国际互联网上开设我局“网安警务平台”网站平台,拉近了网安民警与网民的距离。真正实现了把网安工作搬到互联网上开展,目前网站点击率达到300余次,运行效果良好;(5)通过网上巡查监控建立了库车县分类专用qq群,并收到良好的效果,获得有害信息200余条,反动网站100余条,行政处罚6人,批评教育4人。
2、互联网信息监控。一年来,我局网安大队民警在互联网开展对境内、境外以及涉及本地互联网信息监控,截止目前累计发现网上有害信息1825条,互联网信息996条,被公安局采取的信息45条,被地区国保支队采用的32条,省采信息2条。
3、涉网案件侦办。一年来,库车县公安局网安大队民警共计协助上级部门协查办理案件16起,网上落地抓获犯罪16人,上报涉网案件基本信息28篇,协查落地库车县网民通过破网工具浏览境外敌对网站24人,抓获在逃人员3人。
(二)加大主流新闻网站和政府网站的建设,构建舆论的主体力量
1、建设新疆本土特色的重点网站。例如,自2001年12月18日成立以来,天山网始终坚持以正面宣传为主,牢牢把握正确的舆论导向,充分发挥重点新闻网站在网络舆论引导中的重要作用,通过近几年的努力,已搭建了天山网、移动手机报、新疆数字报刊三个平台;拥有汉文(简、繁体)、维文、英文、俄文四个语种的五个版面,维文版实现了阿拉伯文字、斯拉夫文字和拉丁文字的三种维吾尔文字网上自动转换功能,其吸引力、影响力、公信力显著增强,正全力打造新疆网络的强势品牌。
2、加强政府网站建设,强化政府网站的媒体功能,将有效提高政府的舆论引导力,有助于将政府议程转化为媒体议程和公众议程,更好的接受监督。但不容乐观的是,自治区的政府网站仍处于起步阶段,功能的发挥有限,需要进一步加大建设力度,充分发挥政府网站引导主流舆论的特殊功能。
3、以“天山网”为依托,加大维吾尔文、哈萨克文等少数民族语种和英文、俄罗斯文网站建设,努力满足国内少数民族干部群众上网学习、娱乐的需求,满足国外网民的信息需求,政府则要加大对区内各级政府网站和重点网站的扶持力度,尤其是少数民族语言文字信息资源的开发与应用,培养少数民族语言文字信息系统开发和服务人才,增强少数民族语言文字网站的影响力,使其成为传播党和政府声音、应答群众诉求、驳斥敌对势力网站的反动宣传、引领网上舆论的主要阵地。
(三)加强媒体网站的舆论引导,解答网民关注的社会热点问题
1、特别是重大突发事件的舆论引导。2009年乌鲁木齐“7.5事件”后,社会各界群众均有震撼,公众对权威信息的需求量急剧增长,各种谣言随之而起,群众心理恐慌、愤怒情绪剧增。各大媒体及时公开事实真相,对事态进行了滚动式报到并积极进行引导,才逐步将群众的心态平复。在“7.5事件”的报道中,天山网于7月6日迅速推出“乌鲁木齐‘7.5’烧暴力犯罪事件”专题,设置了现场目击、新闻报道、权威、各界声音、救援纪实等14个栏目,转载稿件1049篇,原创新闻99篇,视频30个、图片200多幅,集中力量全方位公开报道“7.5事件”,起到了安稳民心、教育民众的积极作用。
2、搭建广泛的网络评论员队伍。可在政法系统、理论宣传部门(例如社会科学院、党校、报社等)建立政治坚定、业务过硬的网络评论员队伍,密切关注舆论动向,积极跟帖,进行正确的舆论引导。通过开通网上论坛的方式,对网民提出的敏感问题进行及时的引导和梳理,唱响网上理论宣传的主旋律。
(四)加强网络安全的技术研制以及法律应对
网站安全论文篇(4)
关键词:高校;信息安全;监控系统;开发
一、当前校园网信息安全面临的困境
当前高校网络建设深入到教学、科研、社会服务等各个领域,成为高校师生获取信息、丰富知识、学习交流的重要渠道。网络在推动教育改革发展、促进思想文化交流、丰富师生精神生活等方面起到积极作用,但也带来了负面影响。各种敌对势力把校园网作为渗透、煽动和破坏的重要工具,借助网站论坛、聊天室、虚拟社区、新闻跟帖等多种方式,散布资产阶级自由化言论,攻击党的路线方针政策:利用热点和敏感问题,蓄意制造谣言,煽动师生不满情绪,破坏正常教学秩序;传播色情、凶杀暴力和封建迷信等不良信息,对大学生健康成长带来了不可估量的负面影响,高校网络信息安全管理面临新挑战。
公安部、网络监察处、教育部门等越来越重视信息安全管理,三申五令地要求各级单位做好信息安全工作。校园网信息安全已经成为校园安全工作的重点之一。但校园网本身存在“重技术、轻安全、轻管理”的倾向,高校网络与生俱来的开放性、自由性和脆弱性使各类违法信息容易趁虚而入。校内各单位都建有自己的网站,几乎每个网站都有论坛和留言系统。据统计,各所重点高校论坛及留言板平均超过150个,网站管理难度极大。要找出校园网内所有非法信息,实非人力所能及。为了规范校园网安全管理,众多高校采用以下校园网整改措施:
(一)统一使用由校固网主管部门提供的MSSQLServer数据库,以便校园网信息监督部门快捷检查;
(二)论坛或留言板只允许IP发表文章;
(三)用户发表的文章必须由论坛管理员审核,通过审核后才能在页面显示:
(四)在服务器端对校园网内新的文章进行数据过滤,滤掉非法敏感内容,过滤的准确率达到80%以上。
以上措施存在一定的弊端,统一使用一种MsSQLServer数据库在一定程度上限定死了网站建设的技术架构,没有给网站建设者足够的发挥空间:另外从技术角度上分析,使用同一个数据库并不能给搜索非法信息带来方便;如果论坛或留言板仅允许校内IP发表文章的话,那么校外人士、居住在校外的教师甚至放假回家的学生通过公网浏览校内网站时想发表文章,即使文章中没有非法关键字,也不能在校内网站发表成功。这样做会使校园网固步自封,大大降低校内网站的人气,不利于扩大高校在社会上的影响力和知名度,不利于学校与外界的交流:而用户发表的文章必须由论坛管理员审核,通过审核后才能在页面显示,会加大网站管理人员的工作强度和压力,同时会影响网友发表文章的积极性。因此开发专用于校园网信息网络安全的自动监控系统显得十分必要。
二、高校自行行开发信息安全监控系统的可行性
公安部、网监处、教育部门和各高校对校园网信息安全的重视使之成为市场热点,众多IT公司都开发出互联网的信息安全监控审计系统,其中比较完善的系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进开发和管理技术,支持绝大多数主流网络协议的监控审计。虽然此类系统功能强大,但功能繁杂,部署起来耗时费力,还要购买厂商指定的硬件设备,致使其价格非常昂贵,动辄上十万几十万。厂商针对互联网的普遍情况开发出来的产品未必适合高校网络的特定需要,造成设备功能浪费。在高校科研经费紧张的情况下购买这些系统不符合许多高校构建节约型校园的发展战略。
高校信息安全的特殊性决定了要由自身来主导,目前高校购买IT厂商开发的网络监控产品的并不多。未来发展趋势是各高校根据实际校情,充分发掘自身技术潜力,自主开发或协同IT厂商共同研发,做出具备安全监控审计系统,并适合高校实际情况的校园网信息安全产品,并结合行政和法律手段,净化校园网空间。各高校可以利用现有服务器,无需再对软硬件进行投资,只需采用Java开源软件做为开发工具,可节省大笔资金。
三、信息监控系统的特点
许多高校管理部门指定专人浏览校内留言板及论坛,对于非法信息发现一条删除一条,并做详细记录,效率低、消耗大;尽管管理人员疲于奔命,但仍常收到公安网监处警告,校园网存在需要立即删除的有害信息。
针对以上情况,新系统采用高效搜索引擎,提高信息搜索自动化程度。对校园网数据包进行过滤,自动搜索非法关键字信息,对校内众多网站论坛及留言系统、FTP站点等出现的各种不良信息、高校突发事件时产生的大量过激言论,系统将立即自动报警,快速定位此类信息的源头,争取在造成恶劣影响之前及时封堵,并追究有关当事人的责任。从而弥补人工监控容易遗漏和公共搜索引擎不能查找敏感数据的缺点,切实减轻管理部门工作强度与工作压力,提高信息安全整体水平。
整个监控系统以较少的经费开发,省去购买IT厂商大型监控审计系统的资金。只针对相对少数的非法敏感信息,对校园网信息查而不禁,疏而不堵,保留师生在网络上发表文章的权利,坚持校园网开放和自由的原则,同时该监控系统的部分功能可向全校师生开放使用,师生可以非常方便地检索所需的校内数据和信息,提高对全校数据信息的共享。
四、新系统模块功能
采用网络平台流行的Java语言开发高效搜索引擎,利用Java线程技术实现定时搜索,利用Java用户界面技术开发系统使用界面。采用MSSQLServer数据库作为数据存储系统,系统搜索到的资料记录和系统运行中产生日志信息将被存储在骼SQLServer数据库中。
安装一台专用的服务器对数据包进行过滤,过滤只针对校园网新产生的信息,对网络上新产生的特定类型数据进行拆包,分析其中的内容,如果带有非法关键词字眼,则将其禁止。
系统基本功能模块:
(一)基于Java的高效搜索引擎:负责搜索全校园网内的非法敏感信息。
(二)定时搜索功能:采用Java线程技术,可以设置每分钟或者更长时间自动搜索。
(三)非法敏感关键词记录:一个非法敏感信息词库,可以自动记忆或者手工添加关键词,如“枪支”、“*”、“”等等。
(四)自动报警功能:凡是搜索到校内网站上有包含非法关键词的内容都被视为非法信息,系统自动声音报警。提示操作者分析处理。
(五)日志记录:系统将每次搜索到非法信息及其资料记录形成日志文件存入数据库中,方便以后备查。
网站安全论文篇(5)
关键词: 信息化时代 高校党建网站 构筑
深入贯彻和落实科学发展观,要求我们思考如何坚持以改革创新精神全面推进党的建设新的伟大工程,使党的建设工作更富有时代气息、更富有实际成效[1]。在信息化高速发展的今天,将高校党建网站这个可供校内党员、干部、入党积极分子和其他大学生教育、学习、沟通的虚拟场所建设好,能提高高校党的思想政治工作绩效。“网上网下互动”可以改变主流意识形态宣传的单向传输,从而增强高校各级党组织的内聚力、吸引力。
一、当前高校党建网站构筑存在的主要问题
网络对党建的影响是毋庸置疑的,只要我们上网时稍加关注就会发现,越来越多的政府部门和单位、学校开始注重网络党建的作用。但是在高校党建网站构筑过程中还明显存在着一些不足。
(一)对信息化认识不足、缺乏统筹规划、信息标准化差、资金投入不够。
一是目前党建工作者并不熟悉计算机操作,对利用计算机开展党建工作的能力、动力和信心不足。大量党建工作基本上还是沿用传统的工作方法,即便是利用计算机从事组织管理,也仅是局限于党内统计等工作。特别是有些单位的主要领导对党建信息化工作重视不够,积极性不高。[2]二是目前我国高校党建工作信息化都是各自为政,缺乏统筹规划,没有形成统一的网络传输途径与网站建设的有效布局,导致重复建设。三是在硬件建设、软件开发和应用等方面,缺乏科学、统一的标准,致使资源不能共享。四是由于投入不足,致使党建网站建设所需的各种设备不齐全、更新缓慢,继而影响党建网站建设的进程。
(二)党建网站内容贫乏、更新速度慢、人才匮乏、综合素质有待提高。
首先,各高校网站栏目普遍存在数据库建设不够,内容贫乏,对高校党建工作缺乏全面、及时、规范化的信息支持。其次,网站更新速度慢,不能及时、动态地反映国内外政治、经济、文化等领域的变化,难以跟上信息化时代的步伐,也就不能更好地利用信息与网络为党建工作服务。最后,由于对高校党建信息化的重视程度和资金投入力度不够,加之高校党建工作者年龄和专业结构的限制,致使高校党建工作人员信息技术与网络化应用水平参差不齐。
二、构筑高校党建网站的对策
构筑高校党建网站工作任重而道远。高校党务工作者必须把解放思想与实事求是高度统一,提高认识,把高校党建网站做好,充分发挥其应有的作用。
(一)培养新型网络传播队伍,处理好公开与安全的关系。
“政府上网工程”呼之欲出,而党建网站却寥若晨星,主要有两个关键性制约因素,一是人的观念问题,办公自动化是世界发展的潮流,但是许多工作人员普遍认为纸质文件是看得见摸得着的东西,对网络传递的安全性存疑。二是技术水平问题,程序员可能考虑问题不周全或者自身水平有限,导致一些系统存在技术漏洞,被一些人攻击或者破坏。鉴于此,我们必须在以下两个方面做好充分准备。
一是要适应网络时代的要求,高校各级党组织要按照“科学发展观”的要求,培养造就一大批既具有深厚的马克思主义理论素养,又有较高网络技术水平的新型党员干部队伍。全体党员干部要转变观念,不断增强科技意识,学习、掌握计算机操作和网络技术,在网络技术应用的实践中锻炼自己。
二是要加强技术攻关,建立技术上的“防火墙”,消除网上的安全隐患。党建网站在最大限度地将党建信息灌输给在校园老师和同学的同时,首要考虑的就是党建网站自身的可靠性、安全性的问题。[3]一定要做好安全保密工作。首先,要通过技术手段保证网络安全和信息安全,比如防火墙的应用,身份验证,数字密码口令的核准,数据加密,局域网的有效控制等。其次,要制定科学的安全管理制度,严格按照党的工作性质、原则、范围、保密程度等方面的要求,对党务信息进行分类、分级界定,确定保密与公开的范围,加强党建信息化的安全管理,从制度层面防止泄密事件的发生,确保信息的公开与安全。再次,要加强信息工作者安全意识的培养,做好信息保密工作,定期检查网络体系的安全,严防非法分子的侵入和破坏。最后,要制定防险应急备案措施,增强应对和处理各种信息不安全风险的能力。
(二)科学筛选党建网站的内容,处理好共性与特性的关系。
一般而言,党建网站应遵循国际通行的准则,有统一的顶级域名和完整的链接列表,承担网站所具有的电子化公文、电子资料库、电子身份认证等多种应用功能。[4]高校党建网站要想成为网苑中的一朵奇葩,有电子网站所应有的一般功能还不够,还必须突出本专业的特色才行。它要有体现党的形象的统一标志,如党徽、党旗等。主页要严肃活泼,既体现党的权威,又不能让人看了望而生畏;内容上要有一定的权威性、丰富性、活泼性、趣味性。这就要求我们在实际创建过程中精心构思,打造党建品牌栏目,如最全面的马克思主义经典原创资料,最丰富的党的文献、政策,最前沿的党建理论动态,最真实的“第一时间”党建信息,最鲜活的健康向上的影视作品,尽可能多的党建网站链接。这些栏目一定会受到在校大学生的广泛关注,产生积极的影响。
(三)开拓党建理论研究和宣传的新领域,实现质量和特色的有机统一。
实践证明:党务工作网络化,降低了党建工作的成本,提高了党建工作的效率,体现了党建工作信息化的优势。而党建网站要办出实效,关键就是要办出质量和特色,提高党建网站的访问量。总的来说,党建网站要向更具实用性、时效性、互动性的方向发展,让党务工作者从传统的“纸笔+书本”的办公方式中跳出来。此外,党建网站建成之后应加以推广,推广的方法有很多,党务工作者可以在自己的名片上打上网址,在单位的信封上印上网址;可以与一些有一定知名度的网站交换友情链接。具体而言,党建网站的质量和特色可从以下几方面着手。
1.构建“电子党务”平台。一是建立“网上党支部”。高校运用已有的网络资源,在互联网上对流动党员进行教育管理,是完全可行的。其基本思路是开辟“网上入党”、“网上支部生活”等栏目,录入有关入党、组织生活会的所有表格、材料。只要具备上网条件,就能随时随地通过党建网站的专门网页填写入党材料;也能随时随地从网页上了解所在党支部的活动安排,并在网上过组织生活,通过电子邮件寄发其思想、工作、学习等汇报材料。这是一种现代化的组织管理方式,可以不受时空的限制,把党的组织工作扩展、延伸到社会的每一个角落,高校师生走到哪里,发展党员的工作就开展到哪里;党员走到哪里,党组织的教育、管理活动就延伸到哪里。二是开发党务信息管理系统。该系统应由基本信息管理、基层组织建设、统计与分析、数据交换传输、党内法规查询等多个相互联系的系统模块组成,应是集党务工作的日常管理、统计分析、信息传输等为一体的多功能、高效率的党务管理信息系统。利用系统平台,可实现党组织的垂直指导和相关文件交换,体现党的核心领导作用;可实现基层组织建设、党员管理、发展党员、组织生活、党费管理、党内统计、党员学习培训等党组织工作的实时动态管理,为学校各级党组织随时把握党的建设“脉搏”和党员队伍发展动态,及时制订有关政策,提供快速、准确、科学的信息。三是建立网上新闻系统。通过建立网上新闻渠道,发挥互联网在信息传播中的时效优势,第一时间网上即时新闻,能使各级党组织、党员和广大网民以最快速度了解国内外政治、经济和社会生活信息,了解学校所的一些实用性的新闻。
2.构建网上党建理论研讨阵地。传统党建理论研究一般采用研讨会、专家讲授等方式,受参与人数、地点和时间等限制已难以适应。而互联网为党建理论研究提供了完全灵活机动和充分自治的研讨模式,给许多迫切需要参与学习研究党建理论的党建工作者和广大师生提供了一个完全可行的参与方式。一是构建党建理论研究模块,通过开展网上党建理论研究课题招标、网上调查研究、网上党建论坛、网上党建图书馆、网上党建数据库等方面的网上活动,促进党建理论研究。二是在网站上构建党建理论宣传、教育专题。定期党建理论研究成果和党建动态等,宣传和展示中国改革开放和社会主义现代化建设的实践和成就;宣传爱国主义、遵纪守法、文明诚实等道德规范;深入揭批一些反动言论的错误本质;引导党员群众关注理论热点,掌握最新研究成果,指导具体工作实践。
总之,高校党建网络阵地对马克思主义的宣传,一定要从我国的国情及高校的实际出发,善于总结人民群众在实践中创造和积累的新思想、新经验;应当直面新时期高校党建教育中的热点和难点,针对党员干部、学生对新时期党建工作中的种种困惑和疑点,通过科学理论的说服力、典型事例的感召力、客观事实的雄辩力及时进行引导教育;要借助于网络技术优势,建立灵敏快捷的信息接受、反馈系统,及时检索、收集、处理来自各方面的思想信息,有针对性地开展网上党的基本理论、基础知识和基本路线的教育;要以主动进攻的态势,改变目前我国高校网络思想政治宣传的“守势”。
参考文献:
[1]科学发展观重要论述摘编.中央文献出版社、党建读物出版社,2008.9:95.
[2]李彩华.论新形势下高校“网络党建”阵地建设[J].高教与科技,2008.9:50.
网站安全论文篇(6)
2011年12月21日,中文IT技术社区CSDN网站数据库遭黑客入侵,600万用户的登录名及密码惨遭泄露,用户隐私信息沦为了黑客炫耀的战利品。更有甚者将泄露用户信息做成压缩包,上传至网络供人下载,构成以获取利益为目标的违法行为。至此,泄密事件一发不可收拾,逐步衍化为一起波及多方的社会事件。
中国软件开发联盟CSDN(Chinese Software Develop Net)是中国最大的IT知识服务集团,从事IT信息传播、技术交流、教育培训和专业技术人才服务。CSDN拥有超过1800万注册会员、10000名CTO、50万注册企业及合作伙伴,全球中文网站排名第27位。可以想象,这样一个企业的用户数据被泄露,后果不堪设想。
CSDN“泄密门”事件之所以有如此广泛的影响,还因为作为一个开发者、程序员汇集的技术社区网站,普遍被认为安全级别很高,被黑客袭击似乎是件很讽刺的事情。
祸不单行的是,之后几天里,人人网、天涯社区、百合网等众多知名网站也相继中招,纷纷卷入“泄密门”。这种大范围的用户信息泄漏在公众中造成了很大的不安和恐慌,一时之间,关于网站和数据库安全、用户密码设置和安全意识提升的讨论如火如荼,各种防盗宝典、安全贴士铺天盖地。
2012年1月10日,北京市公安局称,CSDN两名涉案黑客已经被抓获,并指出此次泄密与实名制无关,对此前广为流传的“黑客向实名制的挑战”传闻做了澄清。1月12日,CSDN董事长蒋涛在事件爆发20天后首次直面媒体,正面解释泄密事件。鉴于此前CSDN同大多网络公司一样,没有配备专门的安全系统或安全工程师,CSDN宣布将与阿里云公司的专业安全团队合作,共同打造安全可信的服务平台。
然而,从CSDN泄密事件爆发到宣布与阿里云公司合作,对互联网安全的讨论和反思,仅持续了一个月便淡出公众视线。从泄密发生后舆论爆发,到调查结果出台后事态迅速冷却,再至春节气氛下彻底遗忘,CSDN“泄密门”像很多之前曾轰动一时的事件一样,在时间面前败下阵来。但如何从中吸取教训、构筑互联网信息安全,是一件我们必须时常考虑的事情。
信息泄露,谁之过?
泄密事件发生后,CSDN网站的回应速度远远赶不上事态的扩张和舆论的蔓延。在1月12日的见面会上,董事长蒋涛向媒体介绍了事件爆发后CSDN采取的3方面措施:重置所有遭泄露用户的密码、提醒使用前100个最常用密码的用户自行修改密码、请第三方信息技术公司进行安全审计。而蒋涛表示:“审计发现,CSDN确实存在应用程序漏洞、系统后台认证漏洞等一系列安全问题。”
但问题不仅仅存在于这场悲剧的主角CSDN,许多大型网站都存在安全意识薄弱的问题。据统计,有80%的常用网站和60%的安全类网站也存在漏洞,70%的密码库可以被破解。蒋涛称:“这些数据早都存在,长久以来国内整个信息系统都存在问题,只是在CSDN事件爆发后,才被摊在桌面上。这是我们互联网的现状。”
此次CSDN的泄密事件让很多网站开始反思自己的安全问题。
按照蒋涛的说法,国内互联网公司普遍存在的问题是重视业务、缺乏安全意识、对于数据安全和系统安全认识不够,由此导致了用于安全维护的投入不高。多数企业还在采取老旧的信息安全防护方法,与目前先进的IT技术完全脱节,无法抵御形式多样的攻击。
有资料表明,在欧美国家,互联网公司的信息安全投入占整体支出的8%—10%,而中国企业这个投入的比例还不到1%。互联网数据中心IDC(Internet Data Center)对来自多个国家近3000家公司的调查也显示,国外信息安全投入远大于中国。
另一个同样严重的问题是,目前在我国互联网行业,信息安全和信息技术是分离的。蒋涛也表示:“一般只有像百度、腾讯这样的网络公司才会有安全工程师,其他网站很少有这样的人才配备。”当然,要求每一个IT企业都有专门的安全系统或安全工程师也不现实。因此,网站同信息安全公司结合的模式或许会成为许多公司未来的选择。
网站信息安全的建设不是一朝一夕的事,能意识到问题只是第一步,和信息安全公司的磨合也需要时间。与此同时,网站自身还需要采取一些具体的措施,力保用户信息安全。
为防止信息泄露,网站首先要做的是全面掌握自己有哪些信息,清楚信息安全维护的短板何在。比如,许多网络安全专家认为,明文保存密码是使包括CSDN在内的多个商业网站用户信息轻易被攻破的重要原因。然后要做的是根据现存的安全问题,结合各部门的具体情况进行相应管理。
同时,网站应建立规范的制度,如签署保密协议、对信息的获取权限、流程等进行严格规定。此外,还需要建立严格的审计机制,对内部人员,尤其是有高权限的IT管理人员的行为进行定期审计,若有问题,及早发现。
除了技术性的防护手段和操作规范以外,网站自身的管理也必不可少。网站企业应普及并提高保护用户隐私的意识。一些企业长期忽视用户利益,责任意识淡薄,更不排除在看到内部资料,如客户信息的价值后,有些员工会突破职业底线。如此一来,这类事件的后果会比由外部攻击引起的信息泄露事故更为严重。为杜绝这些隐患,网站企业需加强内部管理,如利用企业文化规范员工行为,提升员工凝聚力等。
对于某些信息安全问题,装在客户端的杀毒软件无能为力,用户更是束手无策。但实际上,有些安全问题不仅限于服务端,也存在于用户端。
很多用户不重视账户安全,以为账号不值得被利用,殊不知黑客会用程序批量扫描获取密码。终端自身和访问目标是否安全也常常被人们忽略。其实,不论网站还是用户,安全意识淡薄都是发生信息泄露的根本原因。
密码是用户在保护自身信息安全中的重要部分。但通过一组数据数据便可看出,密码设置并没有引起大部分用户的重视:在我国,100个最常用的密码被22.6%的用户使用、60%以上的用户使用纯数字口令。拿CSDN事件为例,即便在信息遭泄露、网站反复提醒下,也仅有30%密码遭泄露的用户对密码进行了修改。
根据安全专家的建议,网友应该把日常使用的网络服务分类。“邮箱就像保险箱,里面有打开其他服务的全部钥匙”,所以重要服务如邮箱等,设置密码时需要尤为注意,避免一但被黑客恶意进入,暴露更多真实信息。同时,应尽量在不同网站设置不同的登录密码,以防其中之一被攻破,其它的全军覆没。至少银行、金融支付等重要密码应和其它网站进行区别。最后,养成定期更换密码的习惯,且设置的密码安全等级要有一定强度。
除了在密码上花些心思,确保终端电脑和访问网站的安全也十分重要。具体如及时给系统升级、修补漏洞、定期杀毒、不在公共场所进行涉及个人信息的操作、不随意访问不可信网站等。
相比于一般企业,网站内保存大量客户资料和智力资产。电子商务平台里有许多真实的用户信息,如姓名、地址、手机号码,一旦泄漏,后果将不堪设想。而政府服务网站泄露信息危害更大。有专家指出,此次CSDN事件值得我们反思的地方很多。除了网站应加强安全建设、用户应注意隐私保护外,法律方面,主管部门应尽快出台法规,从权利保护、责任认定、责任追究和法律保障上,对个人信息予以保护,明确个人、网站和监管机构各方所应承担的责任、义务。
同时,有律师表示,不管是黑客入侵还是内部泄露,网站既构成侵权,又构成违约。如果用户因为信息泄露造成损失,有权向网站索赔。
而目前,我国对个人信息安全保护的相关法律条例仍有待完善。更有通过法律的明确规定,才能让企业真正实行其义务,有力保障个人信息。在制定公民信息法律方面, 美、德、法、英四国就为我们做出了很好的表率。
美国是隐私权相关概念和理论的发祥地,其保护隐私权的法案早在1974年就已生效。之后,又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来。随着信息技术的发展,联邦政府及各州还不断出台新法、升级老法,使隐私权保护能紧跟时代步伐。
在德国,隐私权作为一项独立的人格权受到民法典保护。1970年,德国黑森州颁布了德国首部地方性《数据保护法》,从而在全球开辟了一个新的立法领域。《联邦数据保护法》和《州数据保护法》在1977年和1981年也先后出台。1983年,德国立法机构全面修订了《数据保护法》。为适应时代变化,德国又于2001年和2006年根据欧盟的新规定两度修订《联邦数据保护法》。
法国国家信息技术与自由委员会成立于1978年,目的是保证信息技术不妨碍人权、个人隐私和自由。2004年,法国国民议会通过法律,赋予委员会对违规机构进行经济处罚的权利。
英国议会于1984年通过了《数据保护法》,并于1998年对该法进行修订。此后,英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等一系列旨在保护公民个人信息的法律。
做好信息安全,需要网站企业、用户个人、监管部门三方共同促进。一种处在这三种角色之间的新力量,能否肩负起维护信息安全的重任?
在媒体见面会上,蒋涛曾承认,CSDN当时对乌云平台发出的预警没有足够的重视,导致事件不断扩大。乌云网是国内一家披露互联网厂商安全漏洞的网站,其信息来源于注册用户的提交,旨在为厂商和安全研究者之间搭建一个平台:企业可通过该平台获知自己网站的潜在危险,后者可以在此学习、交流和研究。
去年岁末,作为许多网络泄密事件的源头,乌云网先后曝出了CSDN、天涯社区、当当网、京东商城等网站存在安全漏洞。12月29日又披露了1,500万至2500万支付宝用户资料泄露事件和广东出入境政务网站后台存在的严重漏洞。据称,444万网上申请用户的真实信息,如姓名、护照号码、港澳通行证号码等已经遭到泄密。
鉴于以上几起泄密事件为自身带来的巨大压力,12月31日,乌云网宣布暂时关闭网站,理由是“对系统做短暂升级”。同时,网站还公告称:“最近频繁披露的安全事件及带来的影响表明,一方面我们企业的整体安全建设还不够完善,但是同样反馈出乌云平台无论是沟通渠道还是响应机制都存在一些问题。在漏洞公开机制上,乌云考虑是否逐渐向公众披露,以减少实际可能带来的影响。”但分析人士指出,网站选择暂时关闭,更可能是来自政府以及企业的压力。“社会影响太大,已经远远超出漏洞公布的技术层面了。”有专家这样说。
结语
网站安全论文篇(7)
[关键词]淘宝网;顾客忠诚;影响因素;提升策略
doi:10.3969/j.issn.1673-0194.2013.02.033
[中图分类号]F713.36[文献标识码]A[文章编号]1673-0194(2013)02-0069-03
当前,人类社会处于信息时代,企业和用户对电子商务给予了高度的关注,政府也致力于促进电子商务的发展,制定并了《2006-2020年国家信息化发展战略》等行业扶持政策,电子商顾客忠诚务也逐渐成为当代经济发展和科学研究的新的焦点。本文对C2C网站的典型代表“淘宝网”进行实证研究,以期分析C2C电子商务网站顾客忠诚影响因素及提升策略。
1 相关概念界定
电子商务,是以计算机和国际互联网为技术手段从事销售、市场到商业信息管理的全过程,是利用信息技术和互联网络进行商务活动的总称。目前学界普遍认为电子商务可以划分为B2B(企业对企业)模式、B2C(企业对个人)模式和C2C(个人对个人)模式。
电子商务顾客忠诚,综合电子商务顾客忠诚的相关研究,我们将电子商务网站顾客忠诚定义为:顾客对电子商务网站或者是企业提供的在线产品或者服务持偏爱态度,愿意向别人推荐、称赞该网站、经常重复购买并且承诺在未来持续购买该网站产品和服务的行为。
2 电子商务顾客忠诚分析模型的构建
早期的学者一般将电子商务顾客忠诚的影响因子分为行为、意动、认知和情感4个方面分析。后来倾向于分成分为主观和客观,也就是顾客内因和环境外因2个方面。Gremler和Brown(1996)将顾客忠诚细化为行为忠诚、意向忠诚和情感忠诚3个因素。
综合前人的理论和实证研究成果,本文从顾客体验的角度对顾客忠诚的影响因素进行了调查分析,结果认为影响电子商务网站顾客忠诚的因素主要可分为:时间因素、服务因素及网站设计技术因素。
2.1 时间因素
电子商务开辟了7天24小时的全方位服务,在时间上较传统行业有很大的优势,是影响顾客购买行为和忠诚度的重要因素。主要表现在:网站的浏览速度、信息搜寻速度、回复信息的及时程度,网站发货速度、顾客收到货物的等待时间等因素与顾客忠诚呈正向影响,时间越快速,顾客的忠诚度越高。另外,客户服务解决效率也是影响时间因素的主要原因,企业要对顾客的网上购买行为尽快作出答复。进行直接沟通的越及时,顾客满意度越高。
2.2 服务因素
服务因素在这里不仅包括商家的服务态度,还表现在商品的质量、价格、商品信息是否真实详细等。主要表现在:供货到位、及时;提供个性化服务;商品价格合理;信息详细真实;商品质量有保障等。服务越好,顾客忠诚度越高。
2.3 网站设计技术因素
网站设计技术包括网站设计美观程度、搜索便捷度、网站购物流程的实用性、社区论坛粘性、登录速度以及顾客信息的保密性等。具体表现在:网站设计美观;搜索便捷度;交易流程简单易用;个人信息安全和支付信息的安全等几个方面。
2.4 电子商务顾客忠诚的分析框架
综合上述论述,本文设计电子商务顾客忠诚的主要驱动因素为:时间因素、服务因素和网站技术3个方面。通过文献研究和调查分析,本文认为时间因素主要包括在网站寻找合意买家的时间、熟悉网站流程时间、等待与商家进行沟通时间、商家送货时间、页面载入速度5个方面。服务因素分为5小类:供货到位、商品价格合理、商品信息详细、商品描述与商品质量吻合、商家交流时的态度。网站技术主要涉及个人信息安全、个人支付安全和交易安全等。详细设计如表1。
3 基于淘宝网的顾客忠诚实证分析
3.1 问卷设计与实施
艾瑞咨询研究表明2012年C2C市场格局稳定,2012年第二季度数据显示:淘宝网占94.96%,稳居第一,拍拍网次之,占比5.03%。文章选用淘宝网进行实证研究具有较强的代表性。研究采用问卷调查的方式进行,以表1的分析模型和指标设计形成调查问卷,通过调查进行数据分析和结论总结。调查问卷共3个变量,14个问题项,问卷设计借鉴了前人和研究和访谈结论。调查对象为淘宝的网购顾客,通过问卷调查和电子邮件调查方式进行,一共发放问卷180份,回收问卷126份,其中有效样本数为118份,有效回收率是65.5%,无效问卷是填写不完整或有明显错误。
3.2 问卷分析
3.2.1 样本的描述性分析
本次调查有效问卷为118份,统计情况如表2,参与调查的男性50人,占42.4%,女性68人,占57.6%;年龄方面,18岁以下的占10.2%,18~24岁占38.1%,其次是25~30岁占比为25.4%,总人数30人;从受教育程度来看高中文化以下10人,占比8.5%,高中-大专文化37人,占比31.4%,本科41人,占比34.%,硕士以上30人,占比25.4%,比例情况基本符合我国网购人员结构,具有较好的代表性。
3.2.2 问卷调查的主要结论
(1)服饰、家电类商品为网购顾客偏好产品,较畅销。
图1为顾客在淘宝网络的购买产品偏好的数据统计,A类表示虚拟产品(手机冲值卡,游戏币等)、B类表示数码、家电产品、C类代表护肤、服饰产品等、D类代表书籍及其他品类。数据显示:喜好B类数码、家电产品和C类护肤、服饰产品的人数,占调查人素比例分别为29.7%和32.2%,共计占总人数的61.9%,说明数码、家电、护肤和服饰类产品为淘宝网畅销产品。
(2)网民对网站服务要求高。
网民对于电子商务网站服务的期待较高、要求高。
图2数据表明,顾客对于产品丰富程度、送货的及时性、付款方式的灵活性和购买流程是否简单易4大主要因素的选择较为均衡,分别为27人、31人、29人和31人,说明网购顾客对这4大因素的关注程度相当,4因素均为影响顾客忠诚的重要因素。
(3)顾客对商品质量、服务态度、商品信息披露等服务满意度不高。
调查数据显示:顾客对商品质量、服务态度、商品信息披露等项给予5分的分别为17人、18人、23人,见图3,占总人数118人的14.4%、15.3%、19.5%,比例较低,说明网购用户对上述服务整体满意度不高,这跟我国电子商务发展历史短、尚不成熟有关。
(4)商品价格满意度低于预期
图3数据显示,网购顾客对于商品价格的满意度不高,对商品价格非常满意的有32人,占总人数的27.1%,比较满意的为20人,占比16.9%,比较满意以上的人数占比为44%,比例较低。原因在于,网购商品在价格上虽有一定程度的降低,但物流费用较高,综合而言优势不明显,而且,网购商品质量风险更高,因此价格的满意度低于预期。
(5)网购的便捷性和节约时间得到顾客的肯定。
图4数据显示:对网站页面接入速度、网站流程、商家送货时间、等待时间以及寻找卖家的时间给分在4分以上表示满意的人数分别为:13人、45人、84人、76人、89人,占总人数的比例分别为:11%、38.1%、71.2%、64.4%、75.5%。总体而言满意度较高。说明网络购物在节约时间和提供方便等功能上得到了顾客的认可。对网站接入速度的满意度为35.8%,相对较低,应成为电子商务网站重点改进的要素。
(6)顾客对网购的安全性认识分歧较大,网站安全建设有待加强。
图5数据显示:顾客对于网站保护个人信息安全、支付安全、购买程序的安全性、订单的有效性等指标的认识分歧较大。从不满意到非常满意的各个分数段的选择比较均衡,认识各不一致。我们认为,主要原因是网购的安全建设缺乏统一的标准,顾客对于网络安全的知识水平和认知程度不平衡。如,支付宝提高了网络支付的安全性,但不熟悉电脑操作的用户则认为复杂了交易流程,反而不满意。
4 对提升电子商务企业顾客忠诚的建议
根据理论及实证研究结论,本文尝试提出提升C2C电子商务网站顾客忠诚建议如下。
4.1 丰富产品种类、为顾客提供个性化产品
产品因素是电子商务的关键。电子商务企业可以通过丰富产品的种类、提供“一站式”服务,来为顾客提供良好的购物体验。同时,加强产品的个性化,通过网络的互动性和便捷性让顾客参与到产品的设计中来,为顾客提供自己个性化产品能够有效提高网购商品的竞争力。
4.2 完善产品服务、简化购物流程、提升服务质量
建立科学的服务管理体制,企业可以在网站设计中加入消费者心理行为分析模型,使网站能够根据消费者的特点推荐商品。提供安全、灵活的支付手段,给用户购买提供方便。简化购物流程,缩短顾客对网站流程的学习时间,提供简洁有效的服务,提升顾客的购物体验。提供多种送货方式,加强对物流公司的选择和监控,提高物流效率,提升服务质量,对顾客而言,物流公司的服务直接关系到顾客对网站的信任程度。
4.3 确保商品质量、完善商品信息体系
调查数据显示,商品质量难以得到保证是顾客对网络购物有所犹豫的主要原因。部分商家在信息的时候提供的数据和照片不真实,购买的商品与描述的商品质量不一致,这种欺骗行为导致了顾客的离去。而的商品信息不详细,使顾客对产品认识不够全面,也使得顾客对商品持观望态度。因此,完善商品信息体系,对信息的真实性和详细性作出明确要求;对产品质量进行监督,建立质量信用档案等措施对提高顾客忠诚有着非常重要的作用。
4.4 努力降低成本,科学制订价格、增强网购商品价格优势
本文数据显示目前顾客对商品价格的满意程度低于预期。电子商务企业需要千方百计降低商品的成本,降低产品价格,真正给顾客以实惠,这样才能打动顾客,提升顾客忠诚。顾客感知的商品价值是由顾客对于产品的心理预期与产品质量共同作用形成的。因此,通过引导顾客的心理预期,提高产品的附加价值来提高顾客对于价格的满意度也是可行之道。如:利用舆论和广告宣传来引导顾客对于价格的心理预期,通过促销、让利、附送赠品等形式不仅可以扩大销量而且可以提升顾客满意,从而导致顾客忠诚。
4.5 改进网购流程、提升网站技术、节约顾客时间
电子商务能够节约顾客时间的特点已经得到了顾客的肯定,是顾客选择电子商务的重要影响因素。电子商务网站应该对顾客反映进行深入的调查研究,对网络购物流程进行深入改进,使之更简洁、实用,提高交易效率。同时,网站应该提升网站设计技术,加快网站和网页的反应速度,为顾客节约时间不仅在时间上获得顾客的好感,而且给顾客以良好的购物体验。
4.6 加强安全技术建设,促进电子商务法律规范体系建设
电子商务安全是顾客关注的焦点,电子商务网站首先应加强网站安全技术的建设,从技术上保证网络购物的信息、资金和交易的安全。但是,技术不能解决所有的问题,我们还需要倡导政府立法,通过构建完备的电子商务法律体系来维护电子商务交易的秩序。
5 结语
电子商务顾客忠诚是电子商务得以良性发展的重要保证,本文研究结论显示,服务、时间便捷度和网站技术是顾客忠诚的重要影响因素,电子商务企业需要全面关注顾客体验,简化购物流程,加强安全保障才能留住顾客。电子商务正飞速发展,相信在更多学者研究的指导下,在电子商务企业的实践努力下,中国电子商务一定会越来越成熟、越来越繁荣。
主要参考文献
[1]唐文源.电子商务顾客忠诚研究述评[C].湖南省市场营销学会2008年年会论文集,2008.
[2]唐文源.电子商务网站顾客忠诚驱动模型设计[J].科学时代,2009(6).
[3]唐文源,李频宇.基于心理契约理论的电子商务课堂教学效果提升策略探讨[J].中国管理信息化,2012(11).
