沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

网站运营 应该如何识别恶意骚扰

昨天发生了一件很是奇葩的事:有人说要对我们关掉自己的网站。 起因是这样的:任何一家网络公司,为了客户联系方便,必然会将QQ的联系放在网站页面,用户直接点击就可以联系了。也正是因为这样,迎来一场闹剧:我们想了解这家伙究竟想干什么?昨天下午的时候,有客户添加客服QQ号为好友,然后说他们是极致创意科技有限公司的,他们2008年注册了公司,我们的极致创意网盗窃了他们的东西,要求我们为了避免给他们公司带来损失,立即将极致创意网关闭掉,并且他们已经将举报材料提交给了北京工商局,且出示了律师证件。 看到这个,我有些想笑不得。为什么呢?下面分析一一道来: 1、他们说他们是极致创意科技有限公司。 显然,他们想都没想就编出来这么一个谎言:在中国注册一家公司,字号的选择是非常重要的,也就是说字号决定了你的门面。而且还有一条限制:就是说要有地域名称,比方说,如果真是的话,那就有北京极致创意科技有限公司,或者极致创意(北京)科技有限公司,除此之外的,不能由北京市工商局审批,而是要由国家工商局来审批。所以对于一些不是超级大的集团公司,一般都不会去这么做的:没有这样的必要。 所以从这里看,骚扰者显然连最起码的注册公司的知识都没有。 2、公司的存在 既然他说是极致创意科技有限公司的,那我是可以查到的,当我登陆北京企业信用网的时候,的确查到了北京极致创意科技有限公司,但这家公司早在2006年就已经注销了。说明骚扰者没有了解到对于公司信息公开的常识; 3、网站域名备案的问题 一般网站的备案,都是由用户提交给服务商先审核,审核通过后,服务商会提交给工信部审核。也就是说,如果真有重复的,那要不是工信部的系统问题,就是骚扰者的个人问题。那么我宁肯相信工信部那面是不可能出现问题的。 4、他人肉了负责人的信息问题 其实这个问题很容易的,有相关的熟人问一问,或者根据已经公开的信息找一个人的信息还是容易的,关键是当提及同一地方的另外一个名字的时候,骚扰者显然就不知道了; 5、对网站进行攻击 话说,这口气也有点太大了。当然不是针对我们,而是针对阿里巴巴。 我们购买的是阿里云服务器,对于一个能突破阿里云防线的黑客来说,不放过他的不是我们,而是在他攻击我们的网站之前,或者他被局子带走了,或者他被阿里招安了。至少,他肯定会被国内另外一大的互联网公司招安,是没有机会在这里跟我们瞎掰的。 后来,我们就说:如果你能提供具体的网站网址和证据,那我们就停止并修改,否则我们将报警,有记录在,调查到你还是很简单的,不出两小时,你就得往局子里走。经过了一番调侃和诱惑,骚扰者终于承认了他的不是,选择不甘心的默默离开。 所以,一般来说,上面五种基本概括了一个骚扰者针对网站站长可能发生的种种情况。希望在各位站长面对此类问题的时候有所帮助。

网络安全审查制度出台 一场中国IT界的暴风雨

随着斯诺登事件爆发一年以来,我们从未关注过的互联网世界顿时危机四伏,那些被掩盖的危险一个个的暴露在了我们的面前,让千万网民们开始怀疑,互联网世界有安全吗?对于本世纪初才开始进入我国的“互联网”,我们是不是过分乐观了呢? 终于,在斯诺登事件爆发,在互联网界造成了严重的后果之后,中国也做出了回应。2013年11月12日,中国共产党中央国家安全委员会正式成立;2014年2月27日,中央网络安全信息化领导小组成立;2014年5月22日,来自国家互联网信息办公室的消息披露,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。这种种的动作无不是在告诉我们,中国已经开始重视网络安全的威胁,将互联网安全上升到了国家的高度,对于那些潜在的危险,我们开始主动出击。 激起千层浪的网络安全审查制度 互联网安全审查这样的制度其实并不是第一次进入人们的视野,早在2000年,美国就率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,实现了对国家安全系统、国防系统、联邦政府系统的全面覆盖,将全方位、综合性的供应链安全审查对策上升至国家战略高度。但是由于美国网络安全审查标准和过程是不公开的,所以我们都没有机会一窥其中的奥秘。 中国即将推出的网络安全审查制度中,规定对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,审查的重点在于该产品的安全性和可控性,旨在防止产品提供者利用提供产品的方便,非法控制、干扰、中断用户系统,非法收集、存储、处理和利用用户有关信息。对不符合安全要求的产品和服务,将不得在中国境内使用。 根据汇总得到的信息,审查对象包括关系国家安全、国家利益、国计民生产品。审查将由第三方机构进行检测,审查的过程包括事前检测、事中监督以及事后惩处三部分。 针对未进入市场的产品,要对用户信息安全进行技术审查,同时对该产品是否对国家安全造成影响、是否会产生垄断等社会经济安全影响进行评估。 针对已经进入市场的产品,这些产品也并非绝对安全,补丁和升级都可能带来新的安全隐患,因此同样需要监控。这些制度,提高外企入华门槛,间接的成为我国对不公平贸易待遇的反制裁武器。 网络安全审查制度出台后,还可能会有相应的网络安全等级保护制度,即如果是高等级的重要领域和部门,采购时就必须通过这个审查制度。 数字安全证书国产化的转机 而随着网络安全审查制度的出台,就像平静的湖面投入了一块巨石,一时间激起千层浪,跨足互联网界的众多企业纷纷受到了波及,可是却给数字安全证书国产化带来了转机。 数字证书作为网络信息安全的重要一环,兼具网络传输加密和网站身份认证双重功能。 中国金融、通信等关系国计民生的重点行业如果采用国外证书,一旦国际局势发生变化,证书被非法吊销,将导致整个行业的瘫痪,而且用户每一次访问行为都需对境外服务器发送请求并被记录,如什么时候访问、从哪里访问、IP地址和使用什么浏览器、每日访问有多少次等大数据信息都掌握在国外CA企业的手里,极易泄露商业机密甚至国家机密,直接影响国家经济命脉的安全。 此前,我国没有高层机构负责国家的网络空间安全,也缺乏相应的制度,导致我国网络基础设施和核心技术设备大量采用国外软硬件,核心金融机构有80%部署了国外网站服务器SSL证书。 “棱镜门”中,美国政府通过本国互联网公司实现“监控”国外用户数据信息的事件给我国网络安全敲响警钟,采用国产数字证书无论对个人、企业还是国家的安全来说,都是势在必行的。 有关专家表示,目前有能力肩负起我国数字证书安全大任的CA机构还很少,中国有34家CA认证机构获得了工信部颁发的《电子认证服务许可证》,但只有3家企业通过国际WebTrust认证,而其中只有沃通电子认证服务有限公司(沃通CA)能颁发全球信任的数字证书,并支持1999年以后的所有终端设备和操作系统、所有浏览器和服务器,能完全替代国外数字证书产品。但我们相信随着国产化、中文化、国际标准化数字证书的逐步推行,国产数字证书品牌将陆续崛起。网络审查制度并非贸易保护措施,但让具备实力的国内厂商有机会拿到进入市场的“通行证”,让自主可控的国产安全产品加入自由竞争市场,有效解除国外企业及政府非法存储、非法监听的安全隐患。 过去,中国在数字证书领域的起步较慢,在通用性和国际标准化方面远落后于国外证书厂商,但随着中国信息安全技术的飞速发展,我国已经出现了具备相当实力的国内厂商,技术水平和服务可完全替代国外产品。然而,由于一些观念上的原因,仍有一些国内核心机构在采购过程中本着“不差钱儿”的机构作风,更多倾向于国外证书,忽视了信息安全问题。审查制度的建立,使国内机构逐渐意识到网络信息安全的重要性,使信息安全产品采购有了可遵循的标准,而不是盲目“崇洋”,更有利于我国信息安全产业的健康发展。 这场暴风雨为中国IT界规划出了一个全新的版图,洗涤了互联网界潜藏的危险,给了中国的网络安全一个全新的保障。我们无从知道未来会如何,但是,这至少是一个好的开始,让我们一起期待中国互联网安全未来20年的发展吧。

数字证书国产化的趋势

去年的今天,斯诺登在英国《卫报》上正式曝光了“棱镜计划”,披露了美国政府监控全球网民的事实。今年5月26日中国互联网新闻研究中心发表的《美国全球监听行动纪录》,查证了美国针对中国的窃密行为基本属实,监听行动涉及到中国政府和领导人、中资企业、科研机构、普通网民、广大手机用户等等,连网络游戏和聊天软件都成为了美国获取情报的渠道。 过去一年的时间里,“棱镜门”事件对信息安全领域产生了巨大的冲击,中国政府将网络安全上升到了国家战略高度,成立了中国中央网络安全和信息化领导小组,并由国家领导人直接领导。“棱镜门”事件给我国网络安全敲响警钟,中国企业开始意识到使用国外信息安全产品存在巨大的隐患。日前,我国还宣布将出台网络安全审查制度,主要审查信息安全产品的安全性和可控性,对不符合安全要求的产品和服务,将不得在中国境内使用。我国推出的这一系列举措,目的就是实现网络安全的自主性和可控性,审查制度的出台,预示着信息安全国产化的必然趋势。 此前,我国在网络安全方面缺乏相应的制度,导致我国网络基础设施和核心技术设备大量采用国外软硬件,数字证书作为网络安全的重要一环,几乎被国外厂商垄断。核心金融机构有80%部署了国外网站服务器SSL证书,一旦国际局势发生变化,证书被非法吊销,将导致整个行业的瘫痪,而且用户每一次访问行为都需对境外服务器发送请求并被记录,如什么时候访问、从哪里访问、IP地址、使用什么浏览器、每日访问有多少次等大数据信息都掌握在国外CA企业的手里,极易泄露商业机密甚至国家机密,直接影响国家经济命脉的安全。 有关专家表示,由于我国电子认证领域起步较晚,目前有能力肩负起数字证书国产化大任的CA机构还很少。中国有34家CA认证机构获得了工信部颁发的《电子认证服务许可证》,但只有沃通CA、北京CA、上海CA、CFCA通过国际WebTrust认证,而其中只有沃通电子认证服务有限公司(沃通CA)能颁发全球信任的数字证书,并支持1999年以后的所有终端设备和操作系统、所有浏览器和服务器,能完全替代国外数字证书产品。但相信随着国产化、中文化、国际标准化数字证书的逐步推行,国产数字证书品牌将陆续崛起。 网络审查制度并非贸易保护措施,但能让具备实力的国内厂商有机会拿到进入市场的“通行证”,让自主可控的国产安全产品加入自由竞争市场,打破中国市场被国外产品垄断的局面,解除国外企业及政府非法存储、非法监听的安全隐患,无论对个人、企业还是国家的安全来说,都是势在必行的。

钓鱼网站以世界杯足球赛为饵,收集个人资料

2014 年巴西世界杯足球赛正在火热进行中,针对此事件的垃圾邮件也开始倾巢而出。比如试图用奖金500 万巴西币(相当于220万美元)的赌球活动等方式来诱惑用户的信息不胜枚举。 (图一、钓鱼邮件) 典型网络钓鱼攻击分为三个阶段。首先,使用者连上钓鱼网站,个人资料被收集。在这起案例中,被窃取的数据包括:信用卡号码、信用卡验证码(CVV )、到期年月、发卡银行 、网银密码、用户电子邮件地址  。 在第二阶段,PHP 档案会将所有撷取的数据储存在恶意网站上的一个文本文件。 (图二、PHP 程序代码) 在这起案例中,文本文件名为CCS.TXT 。在第三阶段,这档案被寄到攻击者所控制的一个电子邮件地址。 (图三、储存的数据) 趋势科技 还发现其他和世界杯相关的攻击。下面是我们在约一个月前首次看到的例子: (图四、世界杯相关的钓鱼网站) 除了网络钓鱼攻击通常会窃取的资料外,幕后黑手也感兴趣两种不常窃取的资料:信用卡额度和用户的个人身份号码CPF (CPF是巴西用来识别纳税人,包括巴西人和外籍人士的11位数号码。跟信用卡一样,CPF有一定格式和算法来检查该号码是否有效)。 这些骗局规模有多大?根据 趋势科技 的识别统计,这些攻击所带给网络犯罪份子的好处是大约有5000 张信用卡随时可以出售。有些卡是用发卡组织标示(例如Visa卡或万事达卡),有些则用发卡银行标示(美国银行被明确提及)。 至于被窃的电子邮件账号,网络犯罪份子也握有大量的数据。经确认,有超过8万笔账号的凭证被窃。特别一提的是,这些凭证几乎83%都来自.BR的网络服务供货商。这些被窃凭证最常见的域名如下表: (表一、被窃电子邮件帐户认证的分布) 垃圾邮件是最常被用来散播攻击给用户的其中一种方式。请千万小心! 2014 世界杯,激情看球同时别忘关注上网安全,安全威胁时刻都在!

信息安全与中国信息产业强国之路

中共中央总书记、中央网络安全和信息化领导小组组长习近平不久前提出“没有网络安全就没有国家安全,没有信息化就没有现代化”,“努力把我国建设成为网络强国”等重要论断,把对网络安全和信息化重要性的认识提到了一个新的高度,为下一步推进网络信息安全和信息化建设指明了方向。 各种迹象表明,网络安全已经成为国家高层非常重视的问题,从中央网络安全和信息化领导小组的成立,到国际电联专门推出全球网络安全指数新概念;从美国政府“严密审查”联想收购IBM的低端x86服务器部门,到微软Windows XP“退役”引发中国两亿用户的安全顾虑,网络安全和信息化已成为社会关注的热点。 信息安全形势对我国的信息产业带来了新的发展机遇和挑战,如何建立科学的信息技术研发体系、产业发展体系、创新体系是目前我国信息产业面临的重大课题。就此话题,中国经济时报圆桌论坛邀请了国家信息化专家咨询委员会专家委员曲成义、国家行政学院电子政务研究中心博士丁艺、浪潮集团党政民生行业部总经理曹江阳进行了专题讨论。 信息安全受制于人 中国经济时报:中共中央总书记、中央网络安全和信息化领导小组组长习近平提出“没有网络安全就没有国家安全”,从另一个角度看,这一论断也表明了我国当前信息安全的严峻形势。目前,我国的信息安全事实上是受制于人,对我国经济社会发展产生了巨大影响。 曲成义:“没有网络安全就没有国家安全”,这个重要论断给予我们时代一个光荣的使命。努力把我国建设成为一个具有网络安全保障的网络强国,这是中华民族当代的一个重要使命和光辉的前程。 当今世界,网络和信息化发展迅速,正在深化到社会的各个领域和各个层次,成为国家治理、社会发展、商业兴旺和民生幸福的重要环节。信息网络的普及和壮大正在快速推进,对国强民富发挥了重要作用。 制约信息化发展的一个重要因素,即网络安全是否有强有力的保障。网络安全一定要从顶层设计开始,从战略研究入手,强化信息安全保障体系,推进信息安全产业发展。 当前我国一些高端信息安全核心技术还相对滞后,制约某些重要信息安全产业和应用的推进,影响一些高端应用领域的主动权和可控权,为了保障国家信息安全,必须大力推进信息安全产业的发展,采取果断对策,提升核心技术的研发能力。 丁艺:信息安全的自主可控已经成为事关国家安全的重大战略问题,尤其是“棱镜门”事件的发生,对全世界各国的网络安全问题敲响了警钟。保障国家信息安全已成为国家经济发展、科技进步、社会稳定的先决条件。我国很多涉及国计民生的重大信息系统大量使用外国信息技术产品、装备和服务,它们对于监控者来说几乎是透明的,很容易遇到重要的网络枢纽、要害数据中心遭到恶意攻击、重要信息外泄等情况,从而影响国家安全和社会经济的稳定。纵观整个信息化行业,我国在网络、软件、芯片等诸多重要的IT技术基础设施上大都采用了国外公司的产品,国内企业的市场需求明显不足,不利于自主创新与民族品牌的发展,这反过来又加重了我国对于国外技术设备的依赖性和不安全因素。 曹江阳:目前我国信息安全形势严峻,信息安全受制于人,从手机到服务器、从办公软件到操作系统、从搜索引擎到无线通信,国外的信息产品已经渗透到每一个环节。个人信息安全方面看,也就是个人隐私的泄露以及相关信息被窃取,美国NSA每天收集全球大约50亿条手机通话定位信息,而这些个人零散信息通过大数据处理等技术进行叠加拼接,就可能会形成关系到我国相关经济活动等的重要信息;组织级信息安全主要指一个组织的信息安全问题,由于历史上技术的原因,在很多组织中,特别是很多重要行业中核心业务系统架构应用了很多国外的产品,从硬件基础平台到软件操作系统、数据库等,即使采用了一定的安全防护手段,但是国外机构通过设置系统代码主动窃取、网络攻击等相关手段,都能给我国关键行业的核心系统信息安全带来巨大隐患。 中国经济时报:面对如此现状,目前政府应该从哪几个方面关注国家信息安全问题? 曲成义:主要从宏观管理方面看,应强化国家信息安全的指导,建立国家信息安全的组织领导体系,保障对国家信息安全的前导性和权威性;出台强有力的国家信息安全的指导性策略,汲取专家智慧,抓紧信息安全高端领域的核心技术,出台系列的强有力的指导性对策文件,推进核心技术研发和核心产品的市场,保障信息安全的针对性、科学性和时效性;组建权威的信息安全专家队伍,对企业和用户发挥权威性指导作用,为国家构建网络安全强国出谋划策,包括国家安全技术领域、安全产业领域的信息安全应用领域的专家队伍,以指导信息安全技术、信息安全产业的信息安全应用领域的有效发展。 必须调整优化信息产业布局 中国经济时报:目前我国已经成为信息产业大国,但还不是信息强国。要强化信息安全,首先就必须调整优化信息产业布局,只有先走上信息产业强国之路,才可能实现信息安全保障。 丁艺:要成为信息产业强国,首先,要建立起基于“产学研一体化”的创新平台,发挥市场在资源配置中的作用,建立与各方利益紧密联系的合作平台与共同体。鼓励企业和大学、科研院所通过共建实验室等具体的科研技术创新平台,建立起企业与大学、科研院所协同创新研发机制,进一步充分发挥市场在资源配置中的决定性作用,使技术创新成为我国信息技术产业的主要发展方向。 其次,充分消化利用新思想、新技术,重点发展知识和技术密集型的高新技术产业和基于互联网的现代服务业。重点支持包括电子信息技术与服务应用、与装备技术相关的高新技术产业在内的信息设备服务;包括适用于多元互联网平台的电子商务、基于移动互联网技术的移动支付等基于互联网创新的新型服务业;基于数字互联网技术的创新与消费习惯相结合产生的数字化消费和数字经济。不断对在信息技术与互联网行业内,具有高度服务性并与传统制造业密切相关的信息技术产业进行整合,加大调控力度,不断引导、孕育出具有高度创新性、高度技术附加值的产业形态和价值形态。 最后,紧贴国家“加强信息消费”的相关政策,顺应居民消费习惯的变化。紧紧把握住移动互联网技术的发展机遇,全面加快提升宽带业务技术、加强促进信息技术与传统服务业的结合,促进以网络视频等为代表的互联网型信息服务消费热点不断呈现。 曹江阳:大国靠贸易,强国靠技术,关键靠创新,这已是大家皆知的道理。我国作为信息产业大国,毋庸置疑,但更多的是已有技术产品的应用,自主知识产权的核心技术不够。从产业的角度应该鼓励扶持中小型企业,发挥中小型企业的原创力,并支持中小企业创新与国内大公司大规模兼并重组,为自主知识产权技术提供更好的应用空间;另外进一步发挥产学研结合的道路,科技成果要有更大的市场应用空间以得到有效转化,同时反哺研发端机构,实现良性互动,形成产学研相互推进发展的局面。 中国经济时报:成为信息产业强国,基础软硬件的研发是不可逾越的门槛,这是信息安全的核心技术领域。但目前我国在基础软硬件研发方面还面临很多问题,国家的信息技术基础科研战略和政策应该如何适应今天的信息化快速发展形势。 曲成义:在信息安全核心技术领域,必须下决心给予大力的经费和人才支持,经费是保障,才能产生创新技术的有效产品,没有强有力的投入,就不会产生坚实有效的成果,这需要主管部门的果断决策。 抓好信息安全技术产业和信息安全技术应用的典型领域部门,通过理论与实践的结合,抓典型,树样本,系统研究总结先进产品与应用的样本,从实践中全面推进信息安全技术与产业的发展。 构建网络安全强国,这是国家安全当前的一个重要使命,是推进国家信息安全全面快速发展,保障国家经济有效增长,人民生活有效提升,社会稳定安康的重要保障,因此要大力发展信息安全技术产业,支持信息安全保障体系的建设,为构建网络安全强国做出贡献。 丁艺:信息产业主管部门出台对具有核心技术与知识产权并且极具创新能力、安全可控的企业,要给予必要的政策、资金支持,鼓励相关企业与研究机构进行科学研究创新工作。制定包括技术标准、业务标准、流程标准、配套设施标准在内的自主可控的网络信息安全标准体系。实施知识产权战略,在国家层面,应当针对信息产业的发展需求,建立专门的专利分析机构,对未来信息产业发展有影响的国内和国际专利申请情况进行分析,对可能产生垄断和壁垒的专利申请应当即时预警,对已经形成壁垒或垄断的专利,提供在知识产权方面的相应应对策略和战略分析等。 曹江阳:信息技术基础科研战略和政策的制定需要非常注重考虑与应用的结合,战略目标的政策的制定既来源于应用,更重要的是需要回归应用,调整政策去更多地鼓励和促进基础科研技术的产业化和应用市场化。比如全国产化的核高基课题,构建了全国产化的系统环境,从芯片到数据库和应用软件,各方面的产品适配已经取得重要成果,那么就需要为全国产化提供更好的应用市场空间,通过政策制定推进某些敏感性应用将之构筑在全国产化的环境中,在满足应用的前提下,系统亦逐步优化升级。 中国经济时报:这就涉及到了技术创新问题。但从当前的创新体制机制上看,企业是国家创新的重要主体,而当前我国IT企业却都是各自孤军奋战,没有形成合力,中国IT企业如何形成协同创新机制值得重视研究。另一方面,在企业内部,如何从机制上保障创新、鼓励创新,使创新活动能有效延续、继承、升级,避免重复建设,都应该是企业、尤其是国有企业认真思考的问题。 丁艺:技术创新,首先应坚持“以市场为导向,以科研为纽带”,通过相关协同创新平台机制与产业技术创新战略联盟,建立以企业的发展需求和各方的共同利益为基础,以提升产业技术创新能力为目标,以具有法律约束力的契约为保障,形成联合开发、优势互补、利益共享、风险共担的技术创新合作组织。建立跨不同IT企业之间的研发中心和实验室等研发平台,促进企业之间的创新交流合作。 其次,应建立企业间的创新平台机制,打造具有特色的“信息技术创新生态产业圈和产业链”。在相关行业协会与平台的基础上,突出“研发合作”与“创新协同”为企业间的协同合作创造更多沟通、对话与合作的机会,推动产业技术创新战略联盟构建和发展,是整合产业技术创新资源,引导创新要素向企业集聚的迫切要求,是促进产业技术集成创新,提高产业技术创新能力,提升产业核心竞争力的有效途径,打造集“上、中、下”企业于一体的“信息技术创新生态产业圈和产业链”,真正实现资源优势互补和协同创新机制,形成合力共同开拓市场。 曹江阳:企业是国家创新的重要主体,在我国的IT发展进程中,涌现了很多如浪潮、华为等有代表性的企业,中国也有自主的处理器、数据库、中间件,但是都做不大,因为我们面临的竞争是中国企业的“一个点”,并没有形成产业链的合力,基本是在某一个或几个方面分别与国外的先进IT企业竞争。如何形成协同创新,重要的是产业联盟的建立,通过龙头企业与其他企业联盟,形成产业联盟,协同创新,共同构建产业生态链,从而能够与美国进行产业链之间的对话和融合,实现IT产业的转型升级。如2013年在工信部、银监会等政府机构支持下,浪潮牵头成立了首个面向关键应用领域的IT产业联盟,涵盖浪潮、锐捷、东方通等多家IT软硬件企业,从基础平台、操作系统到数据库、中间件,联盟成员共同进行国产化适配,制定产业相关标准,形成很有效的主机产业链合作,构建主机产业“生态圈”。 处理好政府和市场在信息产业发展中的关系 中国经济时报:党的十八大提出,要加快完善社会主义市场经济体制,深化改革是加快转变经济发展方式的关键,经济体制改革的核心问题是处理好政府和市场的关系,实现各种经济平等发展,健全现代市场体系。事实上,在信息产业领域,同样迫切需要正确处理政府和市场在信息产业发展过程中的关系。 丁艺:第一,市场要在信息产业中发挥资源配置的决定性作用,这与党的十八届三中全会的基本精神是一致的,政府要进一步明确自己的角色定位,尽量不做具体的指挥,做到“不失位,不越位,恰到好处”,充分发挥市场作用,调动企业的积极性。 第二,政府要在信息产业发展中起到宏观的引导方向、产业资源优化调节的作用,为信息产业发展搭建一个鼓励协作、自主创新的良好、公平、高效、执法严格的发展平台和生存环境。 第三,针对目前某些需要重点加强发展的信息产业部门,政府需要综合运用财政、税收、政策等多方面的综合扶持措施,通过建立相关产业联盟平台或“产学研”一体化平台,为相关企业合作提供机会,为中国本土化的信息产业发展提供必要的资金、技术、人才、政策支撑。 曹江阳:信息产业的发展离不开政府的支持,市场的有序竞争需要政府的引导。首先政府是信息化建设市场需求的主要提出者之一,具备IT市场需求风向标的作用,政府在采购需求中应该主要考虑国产化产品与解决方案,特别是在目前面临的严峻信息安全形势下,为国产产品提供更多的市场空间和生存土壤,而目前国产产品已经在性能、架构、功能等方面能很好地满足政府应用。 其次,市场的有序竞争需要政府的引导,发挥政府的推动作用,加强产业政策与财税、金融、投资等政策的协调配合,积极通过政策引导、顶层设计、制定标准、投入资金等方式引导IT市场的发展和有序竞争。以政府购买IT服务为例,我国也在积极通过政府采购服务的方式推动IT服务市场的发展。 中国经济时报:从企业角度看,目前我国已经形成了像华为、浪潮这样的具备国际竞争力的企业,中国企业如何面对当前全球信息安全形势,实现国际化战略? 丁艺:首先,中国IT企业的国际化之路,也需要有一个具有长远规划和眼光的顶层设计,需要政府部门、科研机构参与进来,共同制定一个中国本土IT业企业实现国际化的整体战略规划,这是一个涉及到中国产业升级转型的重大问题,政府部门与科研机构必然要起到提纲挈领、宏观引导大方向的作用。 其次,政府在IT企业国际化的过程中,需要用一系列的政策措施加以引导,促进那些自主研发、创新驱动的企业不断发展;同时政府也要为企业搭建合作平台,将国际化企业之间的竞争关系转化为良好的优势互补。 最后,对于IT企业来说,当前云计算、智慧城市、大数据、移动互联网等新技术、新思想不断发展的客观环境,都为我国IT企业实现国际化成长提供了良好的客观环境,应该把握住这些新的技术机遇,利用好“后发优势”,推进技术创新,建设完善具有高度自主知识产权和安全可控的、具有自身特色的软硬件产业链生态系统,立足发展中国家市场,积极探索开拓发达国家市场,实现具有中国特色的IT产业国际化之路。 曹江阳:企业走向国际化是经济全球化、世界市场一体化的必然趋势,是企业发展到一定阶段的必然选择。例如浪潮已经在53个国家实现了产品销售,在26个国家设有分公司或者代表处,已形成了输出产品、输出技术、输出理念的发展模式。在当前全球信息安全形势下,对于国内企业的国际化道路既有挑战,但更多的是发展机遇。由于美国引起的各国对信息安全的重视,各国在购买美国IT产品时,会逐渐变得慎重,为中国的IT产品海外销售其实带来了更多的发展机遇和市场,特别是加大亚非拉等地区的相关市场开拓力度,同时要形成输出技术和输出理念的发展模式,通过开展大量的援外培训,在国外当地建设合资公司等,输出相关技术和理念,强化国际影响力。

智能手机安全的迷思

最近一段时间,关于智能手机安全的问题又被炒作了起来,一方面各个准备向高大上发展的手机品牌都拿安全作为卖点,另一方面手机造成金钱损失的新闻频频出现。智能手机为什么不安全?应该如何解决呢? 一、智能手机为什么不安全? 在功能机的时候,我们没有所谓手机信息安全的概念。如同在 DOS 时代,我们不担心互联网木马一样。非联网时代的电脑和手机就是简单的工具,他干不了很多事情,也就没有安全问题。 电脑安全问题的泛滥是互联网时代以后的事情,一方面各种账号密码有了价值,QQ 号可以卖钱,游戏账号可以卖钱,肉机可以卖钱。另外一方面,互联网与实体经济结合的越来越紧密,网络可以购物了,可以转账了。网络可以盗取的不仅仅是 QQ 号,而是真金白银。电脑的信息安全问题就严重了。 而智能手机流行的年代,已经是互联网经济发展很成熟的年代。智能手机木马可以直接盗取用户的金钱。而智能手机用户的信息化经验远不如电脑用户。诱惑力足够大,防范足够低。智能手机的安全问题就愈发严重。 二、信息是怎么丢的? 就目前来看,智能手机的安全问题主要出在两个地方。 (一)木马程序 木马程序是安装在智能手机里面的,安装的途径很多很多,你上网下载个游戏,在不靠谱的商店下载个应用,扫个二维码,QQ 或者旺旺点个链接,收到短信点个链接…… 能中招的方式太多了,只要木马程序进入,就能获取最高权限,然后你的一切就没有秘密了。你在手机上干什么,信息就丢什么。你用网银就丢网银密码,用 QQ 就丢 QQ 密码,用淘宝就丢淘宝密码…… 更糟的是,木马还能干涉短信验证功能,这个本来是银行或者网络支付的验证利器。但是智能手机的短信第三方程序是可以管理的。木马转发删除不通知你,这招也就没用了。 (二)WiFi 泄密或者第三方泄密 无论是加密的 WiFi,不加密的 WiFi,只要在 WiFi 端开个监控程序抓包。你通过 WiFi 干的一切事情也就没有秘密了。少数程序对外发送信息是严格加密的,大多程序就是明文。 还有一个问题是程序或者网站泄密,你注册网站也好,使用 App 也好,这些东西都要搜集你的信息,干什么不知道。假设他们的善意的,不对外出售你的信息。但是他们自己管理不善,给黑客破解。你的秘密也就没有了,前一段比较出名的是小米网站和携程网,携程网保留用户信用卡的后三码,这是相当危险的。 三、普通人怎么防范? 如果你是高手,你能看源代码,控制权限,写程序加密信息……不幸的是大多数人不是高手。 普通人只能用笨办法防范,其实也很简单。你和钱有关的手机别随便装东西。或者你用功能机或者小众系统的手机。或者你用智能机,但是严格控制用途。 和钱有关的手机,只装自带应用,只打电话,发短信。平时网络断开,或者干脆这个手机卡就不开联网功能。要联网只在可信的网络中去联(譬如运营商的 WiFi)。 总之,不联网的功能机相对比较安全,和钱有关的手机(短信银行验证),你就当功能机来用。 电脑不插网线,天才的黑客也没辙,手机不开通上网功能也有同样的效果。 四、厂商的责任 对厂商来说,一方面应该给用户各种提醒,另外一方面应该从技术上解决问题。 能不能把安卓程序放到一个黑箱里面去运行,不允许安卓程序去动电话短信这些东西,要动也要先提示授权。 在信息传送上,能不能向黑莓一样做到两端硬件信息做密钥加密,即使传输信息被截获也没关系? PC 时代的安全问题,是安全软件厂商解决的。智能手机的安全问题,需要硬件厂商和安全软件厂商一起努力。

告别“XP时代”

不久前,微软公司宣布工作了13年之久的WindowsXP系统正式“退休”,微软将不再为其提供任何更新。这也意味着,坚持使用XP系统的用户,不得不独自承担被黑客攻击的风险。在“我爱南开BBS”网站的一次小范围调查中,大约还有12%的用户在使用这一系统,告别“XP时代”后他们该如何应对呢? 对于普通用户,继续使用XP系统,将会面临一系列安全隐患,新的系统漏洞将会被黑客利用,如果没有微软的官方更新,XP系统将面临木马病毒感染、敏感信息泄露等问题,甚至可能造成用户的经济损失。 告别“XP时代”,最彻底、最好的方法,就是更新升级到高版本的系统,如Windows7、Win-dows8或Windows8.1。使用校园网的南开师生可以享受特殊“福利”,在学校正版软件下载系统( http://ca.nankai.edu.cn/ )中,可以方便地获得高版本Windows系统和office办公软件的正版使用权。此外,如果是技术高手,还可以考虑改用Linux、Unix等专业操作系统。 有媒体报道称“中国XP用户数约2亿,有6成用户表示继续使用XP”,实际上,想让一个习惯了XP系统的人放弃,还是存在很多困难的。一方面,高版本系统的页面风格、操作习惯与XP系统完全不同,特别Windows8系统专为平板电脑设计,让习惯了鼠标点击的用户会感到很别扭;另一方面,安装新系统就必须安装一系列软件,特别是一些相对专业领域或近几年没有更新的软件,不仅安装复杂,还有可能在高版本系统上无法正常使用。此外,很多老电脑硬件配置较低,根本无法安装高版本系统,只能停留在“XP时代”。 如果短时间还不想放弃XP系统,普通用户也可以尝试使用国内安全软件,如腾讯公司的“电脑管家”、360公司的“安全卫士”均宣称与微软公司合作,为继续使用XP系统的用户提供安全保障。但这些安全软件的防护作用,毕竟无法替代Windows系统补丁,甚至一些安全软件曾被人质疑存在窃取用户数据的行为。依靠安全软件维护XP系统,只能是一个暂时过渡的办法。 从长远看,无论情愿与否,更换新的电脑、安装高版本Windows系统是每一个普通用户的最佳选择。而使用校园网的南开师生,更应使用学校正版软件下载系统获取软件的正版使用权,提升电脑系统的安全性和稳定性,同时不忘安装安全软件和杀毒软件。只有预先做好安全防护措施,才能更好地发挥电脑作用,充分利用网络资源。

网络支付存风险 银行与第三方支付仍需防火墙

(中国电子商务研究中心讯)《经济参考报》于6月6日刊发了《支付密码被改持卡人质疑交行风控》一文。近日,记者从持卡人方面获悉,对于信用卡被盗刷8552元一事,交行方面依然拒绝承担责任,并要求持卡人偿还被盗刷的欠款。“我和交行协商,交行方面说可以分三个月还款,前三个月可以不收取手续费和利息,但本金不能少还。”杨女士对《经济参考报》记者说。 杨女士称,“交行方面认为当时是我把个人信息泄露了,但至于为什么我的手机在没有收到密码修改的短信提示和验证码的情况下,就被修改了密码,交行不能给出明确的说法。” 今年5月8日,杨女士的交行信用卡被盗刷了8552元是分为三笔交易,通过第三方支付平台易宝支付进行,在一个名为宝物网的购物网站上下单完成的。至于这笔资金具体流向了哪个商户名下,则不得而知。 事实上,近年来,支付宝、微信、财付通等都建立起了庞大的支付链条,第三方支付工具也日渐成为银行与商户间的资金流通桥梁。不过,在这些合作过程中,资金风险隐患时常被消费者诟病,第三方支付金融终端等工具的漏洞也频频被不法分子所利用。 《经济参考报》记者查阅以往的案例发现,不法分子盗刷信用卡或银行卡有几种手段。一种是制造虚假第三方支付软件或网站,骗取网上或手机购物的持卡人输入银行卡信息,从而复制并伪造银行卡进行盗刷。还有一种更新的做法是,以办卡人的名义和自己的手机号开通第三方支付,并与办卡人的信用卡号捆绑,使用第三方支付的密码以及指定手机号收到验证码,直接转走卡内的资金。 另外,随着互联网技术的提高,平时只要在手机上输入银行卡在第三方支付的密码就可以轻松进行网购支付,但由此带来的风险是,如果手机遗失,很容易被不法分子利用。 一位业内分析人士指出,“如果,随意拿起一部已绑定了第三方快捷支付的手机,并同时获知该快捷支付开通者的身份证号。那么,登录快捷支付账户,在输入账户名后,点击忘记登录密码,之后输入手机短信上的验证码就可以进入更改密码界面。在完成修改密码并登录快捷支付账户,可以看到绑定的银行卡信息,同样运用找回密码功能更改银行卡快捷支付密码,接下来就可以顺利地转账或消费。” 北京邮电大学经济管理学院教授杨学成表示,“就信用卡盗刷来说,整个链条涉及商户、第三方支付机构和银行三方。从支付交易的各个环节所承担的风险责任来分析,商户承担了用户身份及购买行为风险识别的责任。” “第三方支付机构受限于用户、商品和银行卡等信息不足,不太可能完全识别和控制交易环节中的风险。银行则负责对用户信用卡信息核对,提供不同安全级别的安全认证接口,一旦用户信息泄露,银行也很难做出判断。”杨学成认为,“支付风险控制是一个链条系统化、结构化的体系,一个安全的消费环境需要商户、第三方支付机构和金融机构三方共同营造,任何一方存在漏洞,都有可能引发安全风险。” 业内分析人士普遍认为,目前,越来越多的人选择快捷支付进行网上购物,但第三方移动支付行业的快捷支付功能,本身就面临着安全与快捷的矛盾。 今年4月,银监会与央行联合下发了《关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发【2014】10号),明确强调,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”,在实践操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别。同时,还指出“第三方支付需要和银行共享客户和交易信息”,交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等;网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。但在实际操作中,部分第三方支付机构发送给银行的信息并不包括二级账户的信息,即银行只能看到有一笔钱交易,但无法得知资金具体流向和用途。 这意味着,银行需要在与第三方支付机构合作过程中,更严格地把控资金交易风险。一位第三方支付机构人士认为,“快捷支付领域应在安全和快捷之间找到平衡点,要在确保安全性的前提下,考虑缩短流程改进用户体验。快捷支付必须研发新技术提升支付安全,如新增指纹识别、声控识别等技术,或者考虑设定一定时间到账之类的方法。”(来源:《经济参考报》)

微信支付病毒猖獗 马化腾有何脸面面对6亿用户?

(中国电子商务研究中心讯)黑客日益猖獗,不管是企业还是国家,网络安全的重要性也就越发凸显了。日前,国内仅次于支付宝的在线支付平台微信支付却被曝光了一款手机木马“鬼脸银贼”,该木马能骗取用户在假微信支付界面输入身份证、银行卡号等敏感信息然后偷偷发送到黑客邮箱,以此窃取用户钱财。 作为国内目前最大的互联网公司腾讯有何脸面面对江东父老,有何脸面面对广大网友,有何脸面面对千万微信支付用户?腾讯安全何在? 若用户钱财被截取,谁还敢使用微信支付?幸好360手机卫士发现及时,否则后果不堪设想。真的不知道马化腾每天都在干些什么,在线支付这么重要的平台居然都能让病毒攻破,天天就光想着做游戏怎么套用户的钱??不管怎样,马化腾必须就此事给网民一个交代,给6亿微信用户一个交代。(来源:购团邦资讯 文/刘旷点)

钓鱼网站 网警入伙

“网银到期需要升级。”浙江省永嘉桥下某公司董事长收到这样一条短信,赶忙让公司会计升级网银,不料账户中300万元不翼而飞。日前,浙江省永嘉县检察院起诉一起通过开设钓鱼网站获取他人信息盗窃430余万元的特大盗窃案。 该案主犯名叫林溪泉,今年41岁,曾因合同诈骗罪被判刑。他没有正当职业,仅初中文化,根本不懂计算机,连基本的银行转账都不会,却做着利用互联网发财致富的美梦。自己不懂不要紧,让懂的人为自己服务。为此,他找上了曾任厦门市公安局网安支队民警的黄恩平。黄恩平硕士学历,精通互联网。 二人系十几年的老友,林溪泉一直声称,自己要投资黄恩平的科技公司,首先得从互联网上赚些钱。他让黄恩平提供网络技术支持,事成后分给黄20%提成,二人一拍即合。林溪泉的所谓赚钱大计,就是通过开设钓鱼网站获取他人银行账户信息,然后盗取网银里的财物。他吸纳了数十人组成一个盗窃团伙,包括亲友、情人、老乡。他们分工明确,林溪泉系整个盗窃团伙的总指挥,负责盗窃团伙的整体运作及事后分成;黄恩平负责虚假域名的注册、购买并提供钓鱼网站的网络技术支撑;陈振杰和易泰晖二人负责电脑、手机、银行卡等作案工具的购买及窃得钱款的转移。另外,还有专人负责发送“网银到期需要升级”的虚假短信,专人负责钓鱼网站盯梢及窃得钱款的转移,有人负责后勤保障工作。 检察机关指控,2013年5月,林溪泉、黄恩平、陈振杰等人经商谋后,利用钓鱼网站实施盗窃,即在互联网上开设多个假冒的中国银行(601988,股吧)网站,并购买银行卡、U盾等作案工具,通过群发升级短信诱骗他人登录钓鱼网站输入账号和密码,林溪泉等人则利用钓鱼网站的后台获取他人账号与密码,再使用这些账号和密码登录中国银行官网盗窃钱款。该盗窃团伙先后14次在海口、深圳、郑州、合肥、西安等地窃得他人钱款430余万元。每到一地,他们就置办新的作案工具,事毕再转卖掉。 为何有这么多人上当受骗?据悉,他们经常不定期买进企业老板、炒股人员及个人联系方式,然后编组群发,永嘉县桥下镇某公司董事长就属于个人信息被泄露者之一。据该公司会计回忆,2013年6月22日,自己根据董事长要求,登录假冒中国银行网站进行网银升级,按照网页提示输入用户名、密码、动态密码,后来发现账户里少了300万元,是被对方分3笔转走的。 为了不引起警方注意,林溪泉让其在香港的表姐林梅香通过深圳地下钱庄,将人民币换成港币取走。林梅香又让其子陈重鑫乔装打扮,并用假名提走钱。林溪泉深感黄恩平的技术支撑重要,送给黄恩平30万元港币。 6月10日,永嘉县检察院以盗窃罪起诉林溪泉、陈振杰、黄恩平、林梅香等9人,以掩饰、隐瞒犯罪所得罪起诉林梅香的儿子陈重鑫等人。