第一篇:网站漏洞可泄露信息的分析与趋势
网站漏洞可泄露信息的分析与趋势
2017 年 3 月,多家新闻网站曝出“58同城陷数据泄露:700 元可采集网站全部简历信息”的新闻。2017 年 4 月,黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号,售价约2000人民币。关于漏洞,下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供。
一、网站漏洞可泄露信息的形势
网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月,补天平台共收录可导致信息泄露的网站漏洞 251 个,较 2016 年的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427个)的 1.5%,涉及网站 150 个,共可能泄露信息 51.2 亿条。
统计显示,251 个可导致信息泄露的网站漏洞,总计可能泄露信息为 51.1 亿条,比 2016 年的 60.5 亿条下降了 15.5%;比 2015 年的 55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露,单个漏洞的危害大大增加。
从危险等级看,2017年可能泄露信息的漏洞中,高危漏洞数量占97.6%,中危占比为2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。
从漏洞的技术类型看,2017年可能泄露信息的漏洞中,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。
从各月泄露信息规模来看,1月份曝出的可能泄露的信息数量达到最高峰,为 8.0 亿条信息。
统计显示,在 251 个可导致信息泄露的网站漏洞中,共有 24 个网站漏洞可能泄露的信息在 5000 万条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。
二、网站漏洞可泄露信息类型分析
补天平台收录的信息泄露相关漏洞中,有 85.3% 的相关漏洞泄露的属于个人信息,14.7% 相关漏洞泄露的属于机构机密信息。
按照数据的敏感度,可将泄露的个信息数据划分为四个基本类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
2)保单信息:保单号、保险信息、车险信息等。
3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:
1)财务信息
2)合同信息 3)企业资产
4)公司注册信息
统计显示,在 251 个可能泄露信息的网站漏洞中:约 85.7% 的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达 42.9 亿条;约 10.8% 的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达 4.5 亿条;约 14.7% 的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达 5.6 亿条,具体如下图所示。
需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息,约 10.4% 的漏洞会同时泄露上述两种不同类型的信息。
三、可泄露信息网站的行业分析
根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为 236 个,占比 94.0%。在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9 亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。
统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。
从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
四、网站信息泄露的原因与趋势
综合过去的监测与分析,可以看到造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。
这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。
但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。
某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。
从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。
第二篇:法律监管漏洞致信息泄露成“常态”
法律监管漏洞致信息泄露成“常态”
对于个人信息的泄露,可能很多人都深有体会:接到推销房子的电话,对方开口就能准确称呼出你的姓;收到理财产品的短信,完全针对你的收入情况而言;甚至你刚刚刷卡消费了一笔钱,立马就“凑巧”地接到一个电话问你需不需要贷款„„
近日,有媒体曝光我国银行信用卡客户数据泄露现象颇为严重,不法商贩在网络上公开贩卖,每条价格从2分到5元不等,数据中含姓名、电话、地址等内容。
信用卡客户信息泄露,绝非偶然巧合,背后更多的是必然因素,法律法条、机构监管等环节措施都需有快速提升。
“数据”泄露泛滥成灾
据报道,目前我国已发行超过4亿张信用卡,每年通过信用卡交易的资金总额超过13万亿元。庞大的用户信息在这个大数据时代显得耀眼,信息泄露的情况也十分严重。
这些信息在QQ群大肆售卖,通过搜索“银行数据”、“电话销售”等关键词就能跳出不少群,正在售卖银行卡主个人信息。只要花钱,任何人都可以获取别人的个人信息资料。
银行“内鬼”倒卖信息易得手
如此庞大的信用卡个人信息资料是如何暴露的呢?实际上,作为银行内部人员,要获取客户信息其实是很容易。如果说普通职员要获取信息需通过批准,那么从客户经理开始,级别越高,权限越大,即越容易获取信息。至少,分到客户经理手上的用户信息是可以被客户经理复制的。
有的银行虽然不允许员工把客户资料带出办公室,但有时候因加班需求而把资料带回家的情况也是存在的。也就是说,银行内部人员只要想窃取用户信息,总是有办法。
另外,有相当部分的信息并非银行直接泄露,而来自与银行有合作关系的企业。不过,根据《商业银行信用卡业务监督管理办法》,商业银行未经客户授权,不得将客户相关信息用于本行信用卡业务以外的其他用途。
那么,究竟部分企业如何获得“未授权信息”的?有媒体此前披露,每张信用卡办理时都会签订合同,合同上密密麻麻条款多大几十条,而部分代理企业则在合同角落中隐藏“猫腻”称有权获取相关信息。
事实上,认真看几十条乃至上百条条款的客户其实不多,签名时不注意往往就会授权银行“个人信息共享”。单凭一己之力,又是自主授权的行为,要追究责任就会变得艰难。
法律不完善监管力度不够需反思
经常受到个人信息泄露造成的骚扰,但又常束手无策。其实,早在2009年,刑法修正案就已明确,金融单位的工作人员将本单位在履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,将可能触犯刑律。
但是到目前为止,我国还没有专门的银行保密法,在客户个人信息保密方面的规定,分散在《中华人民共和国商业银行法》、《银行卡业务管理办法》、《银行结算办法》等中,这些规定零散抽象,缺乏可操作性,对于哪类客户信息应受保护等问题也没有系统性的界定。
从诉讼的角度看,一般人很难知道自己的信息是在什么时间、地点、方式、被谁泄露的,想要起诉他人泄露自己个人信息的成本非常高,以一人之力和千头万绪的信息泄露做斗争,无异于拳头打到了空气中。要保护用户个人信息,就要明确金融机构与用户的责任与义务,就要必须完善相关领域的法律条款。
此外,银监会等金融机构管理部门也要加强监管,信息保护机构也必不可少,如果信息泄露给用户带来了严重的后果,用户至少不用单枪匹马作战。在国外,很多国家有专门的信息保护机构。比如,法国有国家信息处理与自由保护委员会、丹麦有信息保护局,澳大利亚有隐私权保护委员办公室„„这些独立的信息安全保护机构具有跨部门职能,主要职能范围大致都包括授权、监督、协调和保护,可帮助个人维权。
在数据时代,个人信息泄露现象泛滥成灾,给人们生活带来困扰。保护个人隐私势在必行,相关法律需完善,监管部门更应反思与行动。
第三篇:关于信息泄露及其安全的分析
关于信息泄露及其安全的分析
在二十一世纪这个崭新的时代里,随着社会的不断发展,科技的不断进步,极大的满足了人们的各种需求。特别市互联网的广泛普及,不仅方便信息的交流,而且还可以通过其满足物质需求。但与此同时,也会产生许多问题,信息泄露就是一个亟待解决的问题。其中包括个人信息、政府信息和企业信息,甚至国家信息,都可能成为被泄露的对象。
近年来,国家加大力度打击非法买卖公民个人信息的行为。面对互联网的普及给公民个人信息安全的保护带来新的挑战,不久前在公安部统一部署指挥下,我国首次大规模集中打击侵害公民个人信息犯罪的专项行动取得显著成果,共抓获犯罪嫌疑人1700余名。但是,由于侵害公民个人信息的手段、方式不断翻新,公民信息安全保障的形式依然严峻。
对于个人信息泄露的途径,调查发现,银行、保险公司、商场等商业单位是民众认为最有可能泄露个人信息的机构,有1530名受访者对此表达了担心,占参与调查总人数的51%。此外,当前不少网站在用户注册、参与线下活动时要求用户提供个人信息,也被34%的受访者认为是可能造成个人信息泄露的重要途径。
调查显示,公众对个人信息安全的认知和重视程度还有待加强,38%的受访者日常并不注意保护个人信息,在网站需要提供个人信息时不清楚信息收集的目的。长期关注网络社会问题的中国传媒大学詹骞老师认为,网上个人信息频频被泄露的根源,一方面是由于公民个人的信息保护意识和能力还不够强,另一方面在于技术和商业利益裹挟在一起,不法分子通过各种技术手段盗取用户的个人信息,背后是商业利益的驱使。另外,人们在享受互联网便捷性的过程中,也不知不觉地将个人信息和隐私交换出去,如通过微博和交际网站晒个人的生活细节等,都存在信息泄露的隐患。
面对个人信息泄露可能给公民人身和财产安全造成的威胁,民众普遍呼吁出台保障个人信息安全的专门政策,加强立法。“保障个人在信息泄露后有获得补偿和救济的权利”“对盗取个人信息的行为予以法律制裁”“强调个人在信息收集时的权利,若所收集信息与办理的业务无关,个人可选择不提供信息”是网民呼声最高的三个选项,有近70%的受访者表达了这样的期待。
除了相关政策法规的完善,詹骞还认为,网站有义务从技术上为用户提供保护,以防止不法分子对网民个人信息的盗取和挖掘。“除了法律规定的一些机密信息,采集公民个人信息的机构、网站也应对用户个人隐私数据的保护承担更多责任。”詹骞说。以下将会介绍几则关于个人信息安全的实例。
(1)手机登录网站“领奖” 聊城男子被骗1500元。“尊敬的用户您好:您的手机号被《快乐大本营》节目后台抽取为场外幸运号,您将获得由苹果公司赞助提供的79000元奖金与苹果笔记本电脑一台,请用电脑登录网站:www.xiexiebang.com及时领取,您的验证码为XXXX。”5月17日,聊城男子小周的手机上收到这样一条短信,结果他按对方的提示进行操作后被骗1500元。东昌府警方表示,现在骗子行骗的手段越来越高明,而且故意在短信中提示用电脑登录网站,从心理上误导大家,现在不少人都用手机直接登录,这样很容易上当受骗。因为在电脑上登录网站,会显示湖南快乐大本营官方网站的提醒。
(2)胡某是四川成都一家非法调查公司的主要犯罪嫌疑人。在近日落网之后,记者对他作了采访。“3年以下有期徒刑或者拘役”,这是胡某可能面临的刑罚,这还有一个前提——“情节严重的”。过低的违法犯罪成本和丰厚的获利,让不法分子不惜以身试法。
胡某的犯罪行为,只是侵害公民个人信息犯罪利益链条的一环。他所掌握的个人信息,来自于网上的众多“上家”。公安部刑侦局副局长廖进荣介绍,这种利益链条的构成为:泄露信息的源头→买卖信息的中介平台→从事非法调查、暴力讨债的犯罪组织,每一个环节均有利可图。
从案情上看,警方认为,只要堵住信息源头,这种“生意”就没法做了。廖进荣告诉记者,已被挖出的“源头”中,大都是掌握公民个人信息的单位和部门的“内鬼”,涉及电信、银行、工商、民政、保险等多个行业和部门。
还有证据显示,倒卖信息行为在一些行业内部已成“公开的秘密”。个别企业或机构的内部监管流于形式。(3)沃尔玛旗下山姆会员店被指买卖个人资料
网易财经5月21日讯 昨日,网友“作家-天佑”称自己家里的每个人都接到了来自深圳星河时代沃尔玛山姆会员店的入会邀请信,并称其邻居也受到了类似的邀请信。他表示担忧自己个人信息被泄露并被用于买卖,并在其后深圳警方举报沃尔玛“买卖个人资料”。
沃尔玛中国公共关系高级总监李玲今日下午向网易财经表示,“山姆会员店的邮寄广告是由合作的广告公司通过邮政系统进行入户投递,邮政本身有这样的服务提供”,并强调沃尔玛并不是前述信息的收集主体。
网易财经编辑查询发现,中国邮政确实有较详细的名址信息服务。不过,中国邮政还有另一种仅提供投放的服务,由于网易财经未能联系上中国邮政,尚不能判定信息来自于何方。
(4)数据的价值 删除无用数据可降低风险2012年05月21日00:00
【IT168 编译】本月早些时候,一名美国密苏里州参议员阻挠议事,以阻止该州创建新的处方追踪数据库,因为一旦这个数据库发生数据泄露事故,有关公民的处方信息将会被泄露。这个事件说明大家都逐渐意识到保护敏感个人识别信息(PII)的最佳方式之一删除它。
针对各种个人信息泄露的事件,自然就要对其采取解决措施。以下将用具体的实例来说明。(1)近日,泰安工行岱岳支行根据省市行和《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》的要求,支行高度重视,强化制度执行力,采取有效措施,所辖部室网点扎实开展自查工作,将客户个人信息安全保护不泄露,确保万无一失。领导重视,强化责任心。支行成立客户个人金融信息保护工作领导小组,行长任小组长,负总责,分管内控行长为副组长亲自抓,所辖营业网点主任、内控副主任为成员,综合管理部上下协调,明确责任,各负其责,细化分工。
强化执行力,签订保密承诺。1.针对2011年“个人客户信息安全大检查”中发现的问题,从机制、制度、流程等方面提出解决方案,落实改进措施。2.与网点负责人和个人客户经理逐人签订了《保密承诺》。3.对柜员办理业务过程中知晓的客户身份证信息,要求严格保密,身份证复印件随传票装订,不得遗留在柜台和个人物品中,身份证复印件要留存核查信息。
加强监督检查力度,保护好客户信息。1.对包括个人客户信息系统(ECIS)、个人客户营销管理系统(PBMS)、个人客户信贷管理系统(PCM2003)等涉及个人客户信息管理的系统及其他个人金融业务应用中涉及的客户信息管理环节,重点关注各类数据库信息的安全,业务应用中对客户信息的查询、下载、保存等符合制度要求,不存在泄露客户信息情况。2.对自查中发现的问题,认真分析原因,立即整改,深入查找制度缺陷及管理中存在的薄弱环节。3.对所辖员工存在泄露个人客户信息嫌疑的,支行领导要采取与经办员工面谈、调阅监控录像等方式认真核实,属实泄露个人客户信息的,严格按照相关规定,采取对有关责任人当事人进行严肃处理,视为高压线,警钟长鸣。
积极开展客户个人金融信息保护培训。利用晨会、周会、省行网讯、LED屏、宣传栏等多种形式积极开展客户个人金融信息保护的培训教育工作,使员工充分了解、认真贯彻相关法律、法规、规章和规范性文件的规定,明确个人金融信息泄露和滥用对本机构及员工个人带来的法律后果,落实各项内控制度,提升全体员工依法自我保护、防范风险防控意识。
(2)连日来,一些被曝光的单位、部门陆续开始采取整改措施。例如,中国移动(行情,资讯,评论)相关负责人日前表示,针对用户信息保护链条长和环节多的实际情况,中国移动已经成立专门机构强化管理,发布并实施了严禁泄露或交易客户信息等“五条禁令”,并制定了《客户信息安全保护管理规定》等10余项制度,对客户信息产生、传输、存储、处理、消除的各个环节进行严格监管。
对此,不少专家予以肯定。他们表示,对于个人信息保护来说,需要国家立法、有关单位和部门自我监管及与行业监管的协调配合。在法律尚未出台的情况下,相关单位和部门的自我监管及行业监管应该先行一步。
北京大学法学院教授储槐植表示,一是要增加非法获取信息的难度和成本。二是要增加信息泄露者被查处的风险。
相应的问责机制也应同时发力。北京市律师协会刑事诉讼业务委员会主任钱列阳建议,有必要在既有法律框架下,尽快建立一个完善的、具有可操作性的处罚体系,同时进一步明确行政处罚和刑事处罚这两部分的追责标准。
在如今的这个信息时代,网络安全技术也是维护信息安全的主要手段。
在网络安全领域,攻击随时可能发生,系统随时可能崩溃,因此必须一年365天、一天24小时地监视网络系统的状态这些工作仅靠人工完成是不可能的,所以,必须借助先进的技术和工具来帮助企业完成如此繁重的劳动,下面给大家介绍一些网络安全方面的内容。
杀毒软件
与一般单机的杀毒软件相比,杀毒软件的网络版市场更多是技术及服务的竞争。其特点表现在:
首先,杀病毒技术的发展日益国际化。世界上每天有13种到50种新病毒出现,并且60%的病毒均通过Internet传播,病毒发展有日益跨越疆界的趋势,杀病毒企业的竞争也随之日益国际化。
其次,杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台,并实现软件安装、升级、配置的中央管理及自动化,要达到这样的要求需要大量工程师几年的技术积累。
第三,杀毒软件面临着Internet的挑战。好的企业级杀病毒软件要保护企业所有的可能病毒入口,也就是说要支持所有企业可能用到的 Internet协议及邮件系统,能适应并且及时跟上瞬息万变的Internet时代步伐。现今60%以上的病毒是通过Internet传播,可以说 Internet的防毒能力成为杀病毒软件的关键技术,在这方面,国际的杀毒软件如:Norton、McAfee、熊猫卫士走到了前面,它们均可以支持所有的Internet协议,辨识出其中病毒。
当前国内正从杀病毒软件的单机应用逐步过渡到企业级的防护,企业防病毒软件的市场无疑将越来越大。企业级用户会更多考虑如何保护自身的数据、程序,对技术、服务和管理的要求比较高。国内大部分的杀毒软件目前在价格和对本土病毒的查杀能力两个方面存在着优势,但在企业级的某些特殊性能上存在差距。例如管理方面,一个企业要管理1000台机器,Norton的SRC有一台管理器就可以处理,它可以自动分发,自动安装到所有机器里,使管理人员节省很多时间,减少重复劳动。另外,企业级需要更安全的保护,现在政府上网、企业上网都会遇到很多国际病毒,国内部分厂商在这些方面尚待改进。
防火墙
网络安全中系统安全产品使用最广泛的技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。
对企业网络用户来说,如果决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP 等)以及服务请求的类型(如ftp、www等)等。
除了基于硬件的包过滤技术,防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。
当然,网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。
需要说明的是,并不是所有网络用户都需要安装防火墙,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
加密技术
网络安全的另一个非常重要的手段就是加密技术,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。加密的技术主要分两种:
单匙技术
这种技术无论加密还是解密都是用同一把钥匙(secretkey)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。
这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。
但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。但是如果确实存在这样一个安全渠道(如通过信差、长途电话等等),他们又何必需要加密呢?后来出现的双匙技术解决了这个难题。
双匙技术
此技术使用两个相关互补的钥匙:一个称为公用钥匙(publickey),另一个称为私人钥匙(secretkey)。公用钥匙是大家被告知的,而私人钥匙则只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人--即使是发信者--能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。而只知道公用钥匙是无法导出私人钥匙的。现有软件如Internet免费提供的PGP(PrettyGoodPrivacy)可直接实现这些功能。
加密技术主要有两个用途,一是加密信息,正如上面介绍的;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信者才知道自己的私人钥匙);另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。
如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方。反过来收信者只需用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。
在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准DES.近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。
除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,在此做一个简单介绍。
身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网上信息安全的第一道屏障。
存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。数据完整性
完整性证明是在数据传输过程中,验证收到的数据和原来数据之间保持完全一致的证明手段。检查是最早采用数据完整性验证的方法,它虽不能保证数据的完整性,只起到基本的验证作用,但由于它的实现非常简单(一般都由硬件实现),现在仍广泛应用于网络数据的传输和保护中。近几年来研究比较多的是数字签名等算法,它们虽可以保证数据的完整性,但由于实现起来比较复杂,系统开销比较大,一般只用于完整性要求较高的领域,特别是商业、金融业等领域。安全协议
安全协议的建立和完善是安全保密系统走上规范化、标准化道路的基本因素。一个较为完善的内部网和安全保密系统,至少要实现加密机制、验证机制和保护机制。
需要强调的是,网络安全是一个系统工程,不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面,既有层次上的划分、结构上的划分,也有防范目标上的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等;在结构上,不同节点考虑的安全是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节(如审计),有些系统解决信息的加密、认证问题,有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题,这与系统的复杂程度、运行的位置和层次都有很大关系,因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统,既有技术的因素,也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术和产品。
第四篇:2014年网站分析10大发展趋势
中国领先的互联网营销分析服务提供商
2014年网站分析10大发展趋势
1.更好的内容分析工
当涉及到内容(文本、图像、视频等)时,大多数Web分析平台都会显示相同的数据——浏览、着陆页面访问量、下一页浏览、跳出页等。为了内容的实际参与报告,分析师需要借助更好的内容分析工具来进行跟踪,如滚动、鼠标移动、缩放和高亮。
2.多访问点击路径
现在,几乎所有的网站分析平台,都专注于单一访问的报表。实际上,持续性跟踪变量可用于显示多访问属性,网站所有者更需要看到访客行为的变化,以为产品/服务的发展提供更好的支撑。
3.物理交互跟踪
我们与网站互动的方式正在发生改变。触屏的笔记本电脑、职能手机、平板电脑、Web浏览器的游戏系统等,均允许我们与网络进行物理交互。Web分析平台需要帮助我们跟踪变焦、设备方向、倾斜以及其他肢体动作。目前的Web分析平台跟踪这种类型的互动需要大量自定义的JavaScript。2014年,我们希望看到网站分析工具提供这种类型的对话框跟踪。
4.更好的视频跟踪
在过去的5年,网站使用的视频内容越来越多,但是大多数网站分析平台任然不能帮助分析人员分析视频的访问者。Web分析厂商应该提供更好的开箱视频跟踪功能。
5.多域跟踪
许多企业无论大还是小,都有跨域的多个站点。他们的潜在客户、客户、合作伙伴、员工等都可能进行跨域的多次访问或单独访问。但是目前大部分Web分析平台不能进行跨域跟踪。虽然这不是大多数网站所有者面临的问题,但是我们还是希望这个问题在2014年能得到解决。
6.弥补“不提供”
谷歌继续加密用户搜索的提交,这使得检测SEO性能和优化很困难。分析师需要谷歌提供某些形式的帮助,如果没有显示精确搜索短语,也许他们可以公开搜索短语类别等。这将有助于网站所有者能够分析SEO报表,但是又不用担心用户隐私或网站完全性。
7.更好的与第三方数据集成的工具
如果说2013是“大数据”的一年,那么2014将是数据与网站分析集成的一年。像Adobe Analytics和的SiteFlow这样的平台,使分析人员能够集成来自多个数据源的网站分析数据进行分析。2014年,我们希望Web分析平台提供更优秀的工具,帮助网站所有者360度的分析他们的潜在客户和现有客户。
8.Web分析与CMS集成多数网站中最常用的管理工具就是内容管理系统。我们希望CMS厂商能够将Web分析工具与CMS系统集成,这样网站所有者使用起Web分析来将更加得心应手。
9.更好的数据导出
谷歌2013年有一项很了不起的改进,与其他平台分享Google Analytics数据。但是网站分析领域其他厂商还都不支持,希望2014年其他Web分析提供商也能提供该功能。
10.Web分析中的数据操作
像Google Analytics、Webtrends和Adobe Analytics、SiteFlow这样的Web分析平台,他们都是伟大的跟踪访问者。但是这些平台不提供数据操作方面的功能。使Web分析工具具有商业智能方面的编辑字段和值的功能,将使Web分析功能更加完善。
T:010-62703392-281[1]商助科技(北京)有限公司 市场部
第五篇:中国信息大学:2013年网站设计趋势
中国信息大学:2013年网站设计趋势
本网讯(记者 唐会)2013年6月18号下午在9号楼302会议室召开了本学期第一次学术动态研讨会。会议上,信息工程系的吴彩英老师与校领导和老师们分享了文章《2013年网站设计趋势》。
吴彩英老师目前担任2010级软件工程专业的毕业作品指导工作,部分学生选择网站开发为自己的选题。目前在移动互联网的迅猛发展之势下,出现了多种移动终端来满足随时随地上网的需求,用户对网站的要求也悄然的发生着变化。吴老师认为,本着对学生负责的态度,要结合当前流行的技术,辅导学生开发出企业需要的网站。
传统的网站需要不断的改进,从而适应互联网发展的需要。吴彩英老师主要从“扁平化设计”、“ 响应式网页设计”和“ 灵活使用手势,从而减少按钮”三方面来进行介绍。
“扁平化设计”是抛弃那些已经流行多年的渐变、阴影、高光等视觉效果,打造出一种看上去更“平”的界面。为什么要避免这种很炫的效果呢?由于生活节奏越来越快,用户对网站的反应速度的要求也更高了。扁平化的网站能减少网页代码量,获得更快的加载速度。
2013网站发展趋势
左:未实现扁平化设计的按钮(账户安全)
右:扁平化设计处理后的按钮(账户安全)
“响应式网页设计”就是一个网站能够兼容多个终端,而不必为每个终端做一个特定的版本。我们用手机、平板电脑、计算机打开网站时,网站会自动根据屏幕调整显示效果。
2013网站设计发展趋势
同一网站在只能手机、平板电脑、计算机上的呈现效果
“ 灵活使用手势,从而减少按钮”则是充分考虑触屏终端的用户体验需求。
基于以上对网站设计趋势的研究,吴彩英老师建议在网站前端课程的基础上,增设《Html5.0》、《Css3.0》和《Jqeury》,结合学校已有的网站后台设计课程,并辅以网站开放实训,学生做出优秀的毕业作品是没有问题的。
康妍老师对吴老师的建议表示赞同,她认为网站开放的前台离不开设计,而网站开放者也应该或多或少的懂一些设计方面的知识和技术。建议适当增加此类课程,如Photoshop、Flash等。
张亚林董事长认为可以在这个方向上抓住一个点继续深入研究,例如,将“响应式网页设计”作为一个问题,多参考一些有价值的资料,讲的更加透彻一些。
编辑 王洋