1、局域网内部存在的安全隐患与保护技术风险 从应用角度分析,局域网内部的风险点如下: (1)用户身份认证系统过于脆弱。过分依赖软件自带的口令机制,往往这种口令系统带有不可预知的后门,尚不够严谨的监管手段难以侦测到入侵行为; (2)系统认定的诚信用户过于宽泛,对使用者的认定和审核机制明显不够完善,致使用户越权、管理等问题层出不穷; (3)内外网阻隔机制的漏洞。内外网用户的互相访问限制与出入网关数据包的监控方面的任何漏洞,都会导致内部信息泄露; (4)数据传输过程控制不力。网管人员对局域网内部风险认识不足,常常以明文形式在局域网内部中传递文件,造成重要信息的外泄; (5)对移动存储介质管理不力; (6
2、)抗否认和事后审计能力较弱。难以对风险的制造者做到事后追究。 系统安全需求 当前系统安全的主要标准来自于“可信计算机系统评估准则(TCSEC-Trusted Computer System Evaluation Criteria) ”,以及国际标准化组织在 ISO7498-2 标准中提出的 OSI 安全架构,其中,局域网必须要绑定身份验证、访问控制、数据保密、数据完整、抗否认等安全技术措施。由此可见,局域网内部安全设计是基于访问控制这一主线,通过有效的加密技术来完成数据加密、身份鉴别、存储安全、网上监控、安全审计以及信息传输安全。 局域网安全保护技术模型 尽管局域网内部安全存在多种安全风险,但
3、其中最根本的风险可以定义为:涉密的信息不能被非授权的用户访问,这就必须依赖基于访问控制安全技术加以控制。因此,文章设计一种适用于局域网内部安全防护的基于访问控制技术的模型,并以此为防护模型基础联络其他安全服务模块。图为局域网内部安全防护服务模型,该模型共分为安全基础层、安全建模层和安全应用层等三个层次,自下而上的构建起局域网内部安全的技术保护体系。 安全基础层是整个模型的底层基础设施。它由身份鉴别与访问控制子模型构成。其中,用户身份鉴别是访问控制的基础,只有在经过身份鉴别后,用户才被获准进入局域网,局域网内部资源才可以被获准使用;访问控制系统负责分配用户权限和管理用户权限,用户池、权限池以及局
4、域网内部资源表示模型通过基于角色的访问控制2结合到一起,多个访问权限可以同时通过访问控制系统准确地分配给各个合法的系统访问者,访问者再根据控制权限控制原则访问权限范围内的系统资源。 安全模型的核心在系统的安全建模层,通过局域网内部资源表示模型以及相应的一系列安全服务子模型共同构成。局域网内部资源用来对局域网内部资源进行形式化描述和分类,这种模型可以为其他安全技术应用提供操作平台。此外,一些基础安全技术模型也可以在安全建模层还中出现,例如:入侵检测、操作系统安、软件保护等技术。从安全建模层的职能分析,该层是以访问控制模型为基础,以各种局域网内部资源为操作处理目标,集约多种安全建模中的子系统构建立
5、体、综合的安全保障体系。 安全应用层是局域网内部安全防护模型的顶层,包括网络管理、操作审计、网络监控、认证服务以及系统管理等应用功能模块,在基础层和建模层的支持下实现局域网内部安全防护服务。 构建该内网安全防护服务模型,一方面是要建立局域网内部资源的形式化表示模型,建立局域网内部访问控制规则库,设计基于零知识的身份鉴别等。另一方面,将局域网内部安全服务保障模型进行形式化,建立局域网内部安全防护的协议标准,并提供安全解决方案和局域网内部安全实现原型。 团购网站要严把商户关 我国网络团购行业迅猛发展,由此引发的各种纠纷也快速增长。为推动我国网络团购行业良性健康发展,3 月 12 日,由中国消费者报
6、社主办、北京窝窝团信息技术有限公司协办的“努力提升网络团购服务水平座谈会”在北京召开,国家工商总局市场监督管理司副司长杨洪丰、国家工商总局消费者权益保护局副局长李军、中国消费者协会副秘书长董祝礼、中国消费者报社副总编辑张建、商务部电子商务和信息化司应用促进处调研员白海龙、国家工商总局市场监督管理司网络商品交易处处长吴东平、中国消费者协会投诉部主任邱建国、北京电子商务协会秘书长林亚、中国消费者协会律师团团长邱宝昌、中国电子商务协会政策法律委员会委员于国富、窝窝团高级副总裁陈雨心、窝窝团副总裁赵文强等出席此次会议。与会领导、专家针对我国网络团购市场未来的消费以及发展趋势、如何提升网络团购企业服务质
7、量、怎样破解网络困扰团购市场的服务和消费维权难题等进行了深入的讨论交流。 国家工商总局市场监督管理司副司长杨洪丰表示,作为网络商品交易的主管部门,要对网络商品交易网站的主体资格严把准入关,按照网络商品交易及有关服务行为管理暂行办法相关规定,网络团购企业首先要办理工商营业登记。而且,要求网络团购企业对平台上的经营者核实主体资格,有些经营者的项目本身需要经过行政许可审批的,也要严格把关。执法机关将严厉打击有关企业的违法行为,保护消费者的合法权益。同时,要对有关企业的合同加强管理,尤其是对一些企业的霸王合同格式条款加强整治。杨洪丰透露,在网络购物的监管方面,工商部门正在利用信息化手段建立网络商品交易
8、监管平台。 国家工商总局消费者权益保护局副局长李军分析认为,随着信息技术和计算机网络的进步,网络经济得到了迅猛发展,为国民经济的贡献率逐年提高,已经成为了拉动内需、扩大消费的重要力量。消费者依托互联网络技术突破了城乡、地域差异,自由便捷地实现信息交流和网络购物,充分享受了消费者自由购物的乐趣,实现了消费者平等消费的权利。这种技术上的突破给人们生活带来的变化是革命性的,颠覆性的。网络经济在中国未来经济社会发展中将会发挥着越来越重要的作用,需要社会各方面高度关注,正确引导,规范发展。 李军强调,网络经济需要国家法律的规范,需要政府机关的管理,需要行业组织的自律,更需要行业企业自身素质的提高,在这些
9、方面,政府、行业、社会组织和企业都有大量的工作要做。 中国消费者协会副秘书长董祝礼指出,团购行业的迅猛发展,为消费者提供了方便、省钱、轻松又省事的消费形式,但同时因为团购行业门槛还比较低,管理水平良莠不齐,服务水平可能还处在一个比较初级的阶段,这样导致了网络购物消费者投诉的居高不下。由于假货泛滥,退换困难,高标低折、价外有价、夸大宣传、误导消费、服务超售、兑现困难等问题,使得消费者难得实惠。2012 年,中消协把年主题确定为“消费与安全” ,这既符合目前经济社会发展的需要,同时也是广大消费者的迫切需要。 董祝礼认为,网络团购企业应积极践行“消费与安全” ,他提出三点建议:第一要坚持诚实信用的经
10、营理念,这是提升网络团购服务水平的根本原则。第二要承担社会责任,保障消费安全是提升网络团购服务水平的根本责任。第三要提高服务意识,这是提升网络团购服务水平的根本出路。 近年来,我国电子商务行业呈现高速增长的态势,成为拉动消费需求,优化消费结构的重要的途径。目前,我国网民数量超过 5 亿,网络购物用户规模也随之骤增,达到 1.94 亿人。2011 年,我国电子商务交易规模接近 6 万亿元。其中,网络零售总额超过 7500 亿元,有效拉动了内需增长。作为一种新兴的电子商务模式,网络团购成为电子商务行业中最抢眼的重要组成部分。2011 年,我国网络团购行业发展迅猛,全国团购网站总数曾经超过 5000
11、 多家。经过激烈的竞争,我国团购网站目前仍有 3000 多家,团购用户达到 6000 多万人。网络团购迅速崛起,成为扩大消费内需的重要渠道,具有巨大发展潜力。2011 年,网络团购的销售额总量达到 110 亿。 中国消费者报社副总编辑张建分析指出,团购在扩大内需、拉动消费、方便消费者、推动社会发展等方面都有所贡献。首先,团购主要是在生活服务方面提供服务,弥补了一般性网络购物的不足,可以在生活服务消费,比如理发、就餐、美容等服务项目帮助消费者;其次,团购让消费者和网络有了进一步接触的机会,可以让服务业“闲置”的服务业成本发挥作用,对商家来讲也是降低成本,扩大销售,提高知名度的好办法;第三,对消费
12、者来讲,团购更加实惠,可以帮助大家省钱,获得更好的服务。 网络团购行业的发展壮大,不仅扩大了传统生活服务类商家的销售渠道,帮助商家消化剩余服务能力,而且扩大了就业,也给消费者带来了更多的实惠和便利,改变了人们的生活。但是由于网络团购市场准入门槛较低,相关政策法规还不健全,网络团购行业信用体系还未建立,网络团购市场出现了一些不正常现象。团购网站鱼龙混杂、良莠不齐,引发不少纠纷,消费者投诉呈现高速增长的态势,成为社会普遍关注的一大热点。 2011 年 12 月,城市消费维权论坛 22 家成员单位,包括北京、上海、香港、澳门等 21 城市消协及中国消费者报社,联合在新浪网、中国消费网和城市消费维权联
13、盟官方网站发起了网络团购消费者权益保护状况调查活动,调查显示,网络团购引发的侵犯消费者合法权益问题,比较突出的是夸大宣传,服务缩水,退款(货)难。团购网站广告宣传与实际商品或服务不符,对消费者极易造成误导。各种夸大其辞的广告宣传在团购网站上经常出现,消费者对此反映也最为强烈。团购网站虚标原价、虚假打折是困扰消费者的一大问题。一些团购网站为了招徕生意,采取虚标原价的方法,炮制打折幅度很大的假象来迷惑消费者。商品货不对板、质量存在瑕疵、假冒伪劣等现象让消费者叫苦不迭。团购网站承诺的服务缩水问题较为严重。消费者在遇到问题要求团购商家解决时,部分团购网站与供应商互相推诿扯皮,问题迟迟得不到解决。退款(
14、货)难,故意延迟退款或者退款程序极其复杂,也是团购消费者经常遇到的问题。 中国消费者报社副总编辑张建认为,关于网络团购,消费者反映比较强烈的问题大致分为三类:第一,团购网站的退款问题最突出。第二,团购消费者和享受正常消费服务的消费者,有差别化对待问题,他们在接受服务的时候,会有一些被歧视的感觉。第三是团购网站提供的服务品类比较少,当然在预约服务方面也有问题。 张建对如何提升网络团购服务水平提出四点建议:首先倡议网络团购企业加强自律,完善自身的服务体系。其次,鼓励团购网站在提升服务方面加强探索。第三,推进网络团购行业服务质量规范与标准的建立,要有好的标杆提供给行业。第四,网络团购监管体系以及信用
15、评价体系要进一步健全,这一点有待于各个监管部门、消费者权益保护部门以及媒体、律师界以及社会各界共同支持。 团购服务的质量已经影响到消费者团购的积极性,尽快提升团购网站服务水平已是势在必行。会议上,窝窝团高级副总裁陈雨心提出了窝窝团服务升级计划三大举措:规范服务条款;设立百万“消费者权益保障金” ;引进社会监督机制,成立第三方机构“团购服务评议中心” 。这三大服务升级计划将大大充实和完善窝窝团的服务体系,促进窝窝团服务质量整体提升。窝窝团称,此举是为了引入社会力量,监督团购服务品质,提升团购消费体验。 与会专家认为,窝窝团推出的服务升级计划亮点之一,就是成立一个独立于公司体系之外的第三方机构团购
16、服务评议中心,这个中心负责解决在窝窝团上购物的消费者和窝窝团发生的、当事人双方解决不了的消费纠纷。为了保证团购服务评议中心的正常运转,窝窝团设立了一个百万消费者权益保障金,同时邀请社会各界人士作为团购服务评议中心的委员,把他们对一件消费纠纷解决的最终决定权交给广大消费者和社会各界人士,这是窝窝团的新举措。这一举措可以促进窝窝团在第一时间、第一阶段,通过与消费者的和解就解决了, 而不需要提交给团购服务评议中心,更不需要提交给消协、工商行政管理机构或法院。 中国消费者协会投诉部主任邱建国指出,2011 年的统计数据显示,有关网购、团购的投诉增长比较大。投诉的问题多与产品品质和企业诚信有关。要减少投
17、诉需要做两点:一是自律,二是他律。保护消费者的合法权益是全社会的共同责任,企业是第一责任主体,靠政府部门,靠消费者协会,靠媒体实际上都不能从根上解决问题,要想从根上解决问题,还是需要企业把消费者的利益放在十分重要的地位。这不仅仅需要企业高层管理人员在理念上进行转换,而且要转换每一个员工的心理,因为与最终消费者接触的是最基层的员工,所以考核业绩的时候要把做服务好不好,消费者问题解决的好不好,作为衡量其业绩的重要的指标,不能仅仅依据创造了多少经济效益。第二要靠他律,他律首先是依靠立法解决问题,其次是政府监督部门要加强执法力度。并且,需要媒体以及社会其他方面的监督。要想自律到位,必须他律严格。 国家
18、工商总局市场监督管理司网络商品交易处处长吴东平认为,团购网站要主动担当起社会责任,团购企业要想把市场做大做好,就要有社会责任,能够担当是很重要的。团购网站应加强自身队伍的管理,加强制度建设,在选择合作伙伴的时候应该精中选优。吴东平建议,随着网络团购的发展,团购企业应该加强对自身合作客户的检查,核实商家是否兑现了相关承诺。并且,团购企业应该有相应的处罚措施,也希望团购网站加强与行政执法部门的合作配合,发现商家有不法行为,应该向执法机关举报,配合执法部门进行查处。 中国电子商务协会政策法律委员会委员于国富认为,网络团购企业要增强对供应商的管控能力、控制能力、审核能力。团购网站与供应商盲目签约,对供
19、应商侵犯消费者合法权益的事情不管不问,是无法让消费者满意的。另外,消费者通过网络购物往往有后顾之忧,犹如隔山买牛,消费者团购后如果找不着供应商,或者跟供应商交涉时间比较长,后顾之忧难以解除。于国富坦言,只有既物美,又价廉,又无后顾之忧的网络团购,才是“正确的团购” 。同时, “正确的团购”应该是建立在合法合规的基础之上。 中国消费者协会律师团团长邱宝昌认为,团购网站实际上是一种网络消费的预付费的模式,团购网站存在很多隐患,要规范团购网站的行为,如果不依据法律法规进行严格监管,光靠行业自律,企业诚信,消费者维权非常困难。实际上,我国现行的法律对于网络上的虚假宣传,货不对板等问题,都应有约束力。我
20、国互联网上的商品交易行为,都应该受到我国相关法律法规的监督,但是网络的跨地域性、隐蔽性使网络的监管有相当大的难度。 与会专家还指出,目前,网络团购行业服务质量规范标准尚属一片空白,网络团购企业亟需建立健全团购网站服务标准。团购网站在终端消费者与供应商之间怎样理顺关系,提高团购网站的服务质量,改善用户的消费体验,需要行业主管部门积极引导,加强管理,推进整个网络团购服务水平的提升。 三星 S4 曝短信欺诈漏洞机主或被恶意扣费 6 月 17 日,360 手机安全中心独家检测发现,三星“机皇”Galaxy S4 存在一个高危短信欺诈漏洞。据称,利用该漏洞,恶意软件可在后台偷偷发送扣费短信,或伪造任意发送号码在中招手机收件箱中写入诈骗短信,对机主进行恶意扣费或欺诈。为此,360 安全中心已及时通知三星,并紧急发布新版 360 手机卫士,全球首家提供针对该漏洞的临时安全解决方案,建议 S4 用户尽快安装使用。 360 手机安全专家分析发现,新漏洞存在于三星 S4 的“云备份”组件,该系统组件并不会校验数据发送者的身份。这直接导致恶意软件可以在不申请发送短信和存取短信权限的情况下,向任何号码发送任何内