掘金日本电商市场 促销择时很重要
351
2022-10-26
电商培训有辐射吗(去电商培训机构有用吗)
电子商务的优势及劣势
优势:具有的开放性和全球性;提高了中小企业的竞争能力;减少了中间环节,改变了整个社会经济运行的方式;良性互动;成本降低人力减少;效率提高。
劣势:安全性较差;法律法规问题;搜索功能不够完善;当在网上购物时,用户面临的一个很大的问题就是如何在众多的网站找到自己想要的物品,并以最低的价格买到。
电子商务将传统的商务流程电子化、数字化。一方面以电子流代替了实物流,可以大量减少人力、物力,降低了成本;另一方面突破了时间和空间的限制,使得交易活动可以在任何时间、任何地点进行,从而大大提高了效率。
扩展资料:
优势,政策红利窗口期;用户需求潜力巨大;行业有待完善;资本驱动,各路玩家即竞争又共生。
由于认知提升,带动市场壮大。2014年中国网购用户中,跨境网购比例仅为15.3%,还有很大空间可以开拓。从消费者层面来看,海淘人群构成一部分是80丶90的妈妈大军,以母婴领域作为起点培养了自己海购的消费习惯。
另一部分是海归和有海外旅行购物经验的人,除了有自用需求外还辐射到周边的亲友逐步接受国外质优价廉的商品品牌。现在提到海淘,消费者并不能马上想到一个合适的购买平台,需求层面要保真,丰富,价廉,物流快,就看各路玩家谁可以最快满足这些需求,形成品牌效应首先占据消费者的意识。
劣势,不能真实切身的感受和体会,不能感受到它的质地和材料,线下是一手交货一手交钱,网络上支付安全吗有待考察。
行业洗牌将以实力玩家的加入和价格战作为开端,体量规模小的电商会转型差异化竞争,有核心竞争力的创业公司将活下来在这个足够大的增量市场中站住脚。
参考资料:电子商务百度百科
做电商和公司的好坏有差别吗?
其实传统企业和电商企业目标从受众和企业影响力就有本质区别,首先传统企业多数服务的是社会人员男女老少(当然不排除专营店)所以说他们的受众就多样化。这样就要求他们的企业文化中不偏不倚,中庸的东西就要占主要部分,因为服务的是大众,而电商往往是传统企业的衍生或,未来传统实体企业的实验地,而且它们的受众一般偏向于年轻化,能够接受新鲜事物,所以在这种企业中创新和技术往往占主要。
其次从企业辐射范围来讲,传统电商的辐射范围远不及电商企业所以在这方面传统企业文化中守业的概念就要多一点。而电商企业多有的是开拓全国市场的野心。个人这是植根于企业文化中最根本的两点
堔圳百聚汇培训怎么样有人去过吗
报名了他们的vip,还有朋友报名了vip和金宝贝,我认识的几个都是亏的稀里哗啦,讲的什么玩意儿,连白道的东西都讲不明白,什么干货都没有。
问了他们推荐给学员的物流,然后物流商说百聚汇推过来的学员,很多都倒闭了,所以这个昧良心的培训机构,误人子弟,不讲干货,浪费钱浪费时间浪费精力,听他们的还亏钱,真的是想起来就气的不行。
做电商怎么保证安全和效益?
一、NGN安全问题的引出
随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。
2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。
3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。
4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。
5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。
二、NGN面临的安全威胁
就目前通信网络现状而言,NGN可能面临如下安全威胁。
1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。
2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。
3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现"桥毁缆断"通信中断的严重局面。
4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。
5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。
6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。
7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。
8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
9.终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。
10.网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。
11.网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。
12.通信内容安全:网络传输的内容可能被非法窃取或被非法使用。
13.有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。
三、NGN安全问题分析
1.网络多业务影响网络安全
网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。
在传统电信网络上,大多数网络捆绑单一业务:电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离,因此一般不会影响网络安全。
随着新业务的出现,新兴运营商已不满足于每个业务建一张网的思路:网络不但需要承载多种业务,还必须在用户使用同一个接入线路的条件下提供多种业务。为此,网络为识别统一接入线路上的多种业务,不可避免地将部分智能性转移到终端,IP网络成为承载多业务网络的重要选择。IP网络是典型的"智能终端傻网络":网络只负责转发数据,不参与具体业务流程。IP网络的终端主要是计算机系统,因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程,甚至发起黑客攻击使网络瘫痪,这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用,IP网络需要与传统电话网络互通,IP网络的安全隐患进而会影响传统电话网络的安全。
2.多运营商竞争影响网络安全
多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时,网络承载单一业务,支撑网统一设计,业务普遍开展,缆线敷设统一规划,服务质量全程全网统一设计,电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下,我国网络规模有了极大增长,适应了国民经济对通信网络的需求,但是也引入了一些对安全不利的因素:由于快速建设的压力以及缺少网络建设经验,部分运营商网络建设缺乏技术体制的总体指导,而没有技术体制指导的网络缺乏全程全网统一考虑,不利于网络安全;出于对投入成本与利润产出率的考虑,部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入;新兴运营商运营在建设初期缺乏长期电信运营的经验与理念,在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信,但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源;六大运营商网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患;由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。
3.网络规模和设备容量的扩大影响网络安全
网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是为网络带来更多安全隐患。
随着国民经济的增长,通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一,运维如此一个巨大网络没有先例也没有参照对象,极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大,设备越来越复杂,不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品,至少使用的芯片大多数是国外产品,引进产品、芯片的安全性无法评估,因此也使通信网络安全隐患难以预测。
4.管理比技术更影响网络安全
先进的安全技术和设备会因管理不善而崩溃,完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言,管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管,还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。
在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决,可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配,再大规模的程控交换机也只需要近百个局向就可以解决电话选路;而在IP地址随意分配的互联网络上,骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路,由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。
网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人,再安全的操作系统也会需要管理人员来实现;再复杂的安全设备也需要人来维护;[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。
5.新技术新业务新运营模式影响网络安全
新技术、新业务带来新的运营模式,在建立新的价值链的同时也带来新的安全隐患。
随着IP网络的普遍应用,信息机密性、完整性和不可否认性成为网络安全的重要内容;随着分组语音业务的开展,电信运营商必须关注来自IP网络的来源追查;随着软终端的出现,运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费;随着短信业务的爆炸性发展,移动运营商必须关注恶意发送以及短信诈骗;随着电子邮件业务的开展,运营商必须关注垃圾邮件;随着BBS的广泛使用以及巨大的影响力,BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时,也为网络带来了安全上的不确定性。
6.IP技术的使用影响网络安全
IP技术的使用一方面为产业带来新业务、新活力,另一方面为网络带来新的安全隐患。当前IP技术应用广泛,但IP并不是一个完美的网络层技术,也存在服务质量、安全、运营模式等问题,其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异:计算机网络中不是问题的问题在电信网络中却成为严重问题;另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验,用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。
四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁,首先应明确如下应对原则:
1.安全不是绝对的,安全威胁永远存在。
安全不是一种稳定的状态,永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性,但是无论多少代价也不能达到永远、绝对的安全。其次,安全是一个不稳定的状态,随着新技术的出现以及时间的推移,原本相对安全的措施和技术也会变得相对不安全。第三,安全技术和管理措施是有针对性、有范围的,通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。
2.安全应作为基础研究,需要长期努力。
NGN安全研究范围广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就,需要长期努力。安全投入本身不能产生直接效益,只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究,由国家、运营商和相关企业长期投入,共同努力。
3.安全需要付出代价,安全要求应当适度。
NGN安全是所有人都希望的,但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力,也可能是降低效率。因此安全要求应当适度,为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想,但是如需要增加几倍的通话费用来增加机密性(机密性通常只能增加,无法绝对确保),相信大多数用户都无法接受。
4.安全隐患有大有小,应分轻重缓急。
当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患,应当视可能造成的危害以及需要付出的成本,分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决,例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展,或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。
5.安全不仅是技术问题,更重要的是管理。
绝大多数安全隐患可以通过技术手段解决,但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾,以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。
6.安全问题有范围,不是包罗万象的。
NGN安全有自身的范围界定,并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围,将大量与安全无关的课题归结到NGN与信息安全研究中,可能会失去重点,不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关;同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关,用户丢失密码造成的损失也与网络安全无关。
7.网络安全不仅仅是定性的,还应当定量评估。
当前计算机系统有安全登机评估标准,可以定量评估。长期以来,通信网络主要提供话音服务,对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行,因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好,但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。
8.不同网络上关注的安全问题应当各有侧重。
传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计,服务可控性较差,并缺乏有效的商业模式,且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。
电子商务安全威胁及防范措施分别是什么?
1、未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
2、未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
3、拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
4、安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
5、缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
6、窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
7、篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
8、假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
9、恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
安全对策
1、保护网络安全。
保护网络安全的主要措施如下:全面规划网络平台的安全策略,制定网络安全的管理措施,使用防火墙,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制。
2、保护应用安全。
应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
3、保护系统安全。
在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
4、加密技术
加密技术为电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
5、认证技术。
用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。包括数字签名、数字证书。
6、电子商务的安全协议。
电子商务的运行还有一套完整的安全协议,有SET、SSL等。
扩展资料
从电子商务的含义及发展历程可以看出电子商务具有如下基本特征:
1、普遍性。电子商务作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带入了一个网络经济、数字化生存的新天地。
2、方便性。在电子商务环境中,人们不再受地域的限制,客户能以非常简捷的方式完成过去较为繁杂的商业活动。如通过网络银行能够全天候地存取账户资金、查询信息等,同时使企业对客户的服务质量得以大大提高。在电子商务商业活动中,有大量的人脉资源开发和沟通,从业时间灵活,完成公司要求,有钱有闲。
3、整体性。电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成为一个不可分割的整体,这样不仅能提高人力和物力的利用率,也可以提高系统运行的严密性。
4、安全性。在电子商务中,安全性为一个至关重要的核心问题,它要求网络能提供一种端到端的安全解决方案,如加密机制、签名机制、安全管理、存取控制、防火墙、防病毒保护等等,这与传统的商务活动有着很大的不同。
5、协调性。商业活动本身为一种协调过程,它需要客户与公司内部、生产商、批发商、零售商间的协调。在电子商务环境中,它更要求银行、配送中心、通信部门、技术服务等多个部门的通力协作,电子商务的全过程往往是一气呵成的。
参考资料来源:百度百科-电子商务
参考资料来源:百度百科-信息安全
从事电子商务的企业受过那些安全威胁,它是如何应对的?
一、NGN安全问题的引出
随着信息产业的发展,信息技术逐渐主导国民经济和社会的发展。世界各国都在积极应对信息化的挑战和机遇。信息化、网络化正在全球范围内形成一场新的技术、产业和社会革命。要发展信息化,就必须重视信息网络安全,它绝不仅是IT行业问题,而是一个社会问题以及包括多学科系统安全工程问题,它直接关系到国家安全。因此,知名安全专家沈昌祥院士呼吁要像重视两弹一星那样去重视信息安全问题。NGN作为下一代通信网络,是未来信息传递的主要载体。网络安全事关国家经济、政治、文化、国防,因此在NGN研究中安全将是最重要的课题之一。
1.NGN安全相关经济领域:随着我国网上银行的建设、电子商务的发展,无数财富将以比特的形式在网络上传输。
2.NGN安全相关文化领域:当前网上聊天已成为一种重要沟通手段,生存在网络中的虚拟社会已成为人们的第二生活方式,网络已成为继报刊杂志、广播和电影电视后的重要媒体。
3.NGN安全相关政府职能:当前我国正在大量建设电子政务网,也就是政府职能上网,在网上建立一个虚拟的政府,实现政府的部分职能性工作。
4.NGN安全相关国防:随着军事国防信息化的进展,信息对抗已成为战争的一部分。大量的信息都可能在网络上传输。除泄密可能外,网络安全问题还可能导致指挥系统的瘫痪。
5.NGN安全相关国家重要基础设施:大多数国家重要基础设施都依赖网络。网络瘫痪可能造成电网故障、机场封闭、铁路停运等问题,进而引发更多更严重的问题。
二、NGN面临的安全威胁
就目前通信网络现状而言,NGN可能面临如下安全威胁。
1.电磁安全:随着侦听技术的发展以及计算机处理能力的增强,电磁辐射可能引发安全问题。
2.设备安全:当前设备容量越来越大,技术越来越复杂,复杂的技术和设备更容易发生安全问题。
3.链路安全:通信光缆电缆敷设规范性有所下降。在长江、黄河、淮河等几条大江大河上布放光缆时,基本都敷设并集中在铁路桥(或公路桥)上,可能出现“桥毁缆断”通信中断的严重局面。
4.通信基础设施过于集中:国内几个主要运营商在省会城市的长途通信局(站)采用综合楼方式,在发生地震火灾等突发事件时,极易产生通信大规模中断的局面。
5.信令网安全:传统电话网络的信令网曾经是一个封闭的网络,相对安全。然而随着软交换等技术的引入,信令网逐渐走向开放,增加了安全隐患。
6.同步外安全:同步网络是当前SDH传输网络以及CDMA网络正常运行的重要保障。当前大量网络包括CDMA等主要依赖GPS系统。如GPS系统出现问题将对现有网络造成不可估量的损失。
7.网络遭受战争、自然灾害:在网络遭受战争或自然灾害时,网络节点可能会遭受毁灭性打击,导致链路大量中断。
8.网络被流量冲击:当网络受到流量冲击时,可能产生雪崩效应,网络性能急剧下降甚至停止服务。网络流量冲击可能因突发事件引起,也可能是受到恶意攻击。
9.终端安全:典型的多业务终端是一个计算机,与传统的专用傻终端例如电话相比,智能终端故障率以及配置难度都大大提高。
10.网络业务安全:多业务网络很少基于物理端口或者线路区分用户,因此业务被窃取时容易产生纠纷。
11.网络资源安全:多业务网络中,用户恶意或无意(感染病毒)滥用资源(例如带宽资源)会严重威胁网络正常运行。
12.通信内容安全:网络传输的内容可能被非法窃取或被非法使用。
13.有害信息扩散:传统电信网不负责信息内容是否违法。随着新业务的开展,对于有害信息通过网络扩散传播的问题应引起NGN的高度重视。
三、NGN安全问题分析
1.网络多业务影响网络安全
网络提供的多业务以及随之而来的终端智能化为网络带来了更多安全隐患。
在传统电信网络上,大多数网络捆绑单一业务:电话网提供电话业务以及部分补充业务;DDN网络提供点到点数据专线业务;帧中继网络提供数据专线以及虚拟专用网业务;同步网提供网络同步服务;信令网为电话网提供信令服务;即使是号称多媒体网络的ATM也基本用作数据专线以及虚拟专用网。大多数用户终端智能性较低并且与网络信令隔离,因此一般不会影响网络安全。
随着新业务的出现,新兴运营商已不满足于每个业务建一张网的思路:网络不但需要承载多种业务,还必须在用户使用同一个接入线路的条件下提供多种业务。为此,网络为识别统一接入线路上的多种业务,不可避免地将部分智能性转移到终端,IP网络成为承载多业务网络的重要选择。IP网络是典型的“智能终端傻网络”:网络只负责转发数据,不参与具体业务流程。IP网络的终端主要是计算机系统,因此用户设备需要参与到业务流程中。恶意用户可以使用计算机系统干扰业务流程,甚至发起黑客攻击使网络瘫痪,这样的模式严重影响了IP网络安全。由于当前分组语音的大量使用,IP网络需要与传统电话网络互通,IP网络的安全隐患进而会影响传统电话网络的安全。
2.多运营商竞争影响网络安全
多运营商竞争在开拓通信市场以及增加网络备份的同时也带来新的安全隐患。我国通信网络历经了一个从单运营商走向多运营商的过程。在原有邮电部领导中国电信建立通信网络时,网络承载单一业务,支撑网统一设计,业务普遍开展,缆线敷设统一规划,服务质量全程全网统一设计,电信业务与网络安全性基本满足当时需求。在当前多运营商竞争环境下,我国网络规模有了极大增长,适应了国民经济对通信网络的需求,但是也引入了一些对安全不利的因素:由于快速建设的压力以及缺少网络建设经验,部分运营商网络建设缺乏技术体制的总体指导,而没有技术体制指导的网络缺乏全程全网统一考虑,不利于网络安全;出于对投入成本与利润产出率的考虑,部分运营商在降价吸引客户以及快速大规模网络建设中忽略网络安全设施与投入;新兴运营商运营在建设初期缺乏长期电信运营的经验与理念,在网络安全方面缺乏重视。虽然六大运营商网络资源总量大于原中国电信,但是当前任何一个运营商都不能像原中国电信那样拥有如此丰富的资源;六大运营商网络互连互通,但是安全策略、安全管理力度以及安全设施各不相同,容易出现安全隐患;由于恶性竞争的存在,运营商互连互通时还可能造成人为的安全事故。
3.网络规模和设备容量的扩大影响网络安全
网络规模和容量的不断增加在带来效益的同时也引起设备的复杂化以及管理的复杂化,随之而来的便是为网络带来更多安全隐患。
随着国民经济的增长,通信需求不断扩大。我国电信网络已发展成全球最大固网和移动网络之一,运维如此一个巨大网络没有先例也没有参照对象,极有可能出现一些意想不到的安全问题。随着网络规模的扩大以及设备容量的扩大,设备越来越复杂,不可控因素随之增加。在一个规模空前的网络上因网管操作失误、用户恶意攻击、故障的不恰当处理等原因引起大量用户无法正常使用业务则会导致安全事故的发生。而且最新型、大容量的新设备大多是引进产品,至少使用的芯片大多数是国外产品,引进产品、芯片的安全性无法评估,因此也使通信网络安全隐患难以预测。
4.管理比技术更影响网络安全
先进的安全技术和设备会因管理不善而崩溃,完善的管理可以在一定程度上消除技术落后带来的不利因素。因此就网络安全而言,管理比技术更重要。这里所说的管理并不局限于一般所说的TNM电信网管或者互联网的简单网管,还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。
在很多情况下通过管理可以轻易解决的问题如果使用纯技术方案解决,可能需要付出十倍甚至百倍的努力和成本。例如电话网络号码资源统一分配,再大规模的程控交换机也只需要近百个局向就可以解决电话选路;而在IP地址随意分配的互联网络上,骨干路由器需要保留十万个以上的路由表条目才能保证IP包的正常选路,由此带来的协议和设备的复杂性为网络带来了极大的安全隐患。而网络完善的管理机制便可以更有效地保障网络安全。
网络内部的安全审计与对网络外部内容的过滤一样重要。内部人员的安全意识和安全管理的重要性一点也不亚于使用复杂昂贵的防火墙设备。此外任何安全技术最终都会落实到人,再安全的操作系统也会需要管理人员来实现;再复杂的安全设备也需要人来维护;[WL2]再精密的加密算法和加密机制也不能防范密钥泄漏或设置简单密码。
5.新技术新业务新运营模式影响网络安全
新技术、新业务带来新的运营模式,在建立新的价值链的同时也带来新的安全隐患。
随着IP网络的普遍应用,信息机密性、完整性和不可否认性成为网络安全的重要内容;随着分组语音业务的开展,电信运营商必须关注来自IP网络的来源追查;随着软终端的出现,运营商必须从基于端口认证与计费扩展到基于用户标识认证和计费;随着短信业务的爆炸性发展,移动运营商必须关注恶意发送以及短信诈骗;随着电子邮件业务的开展,运营商必须关注垃圾邮件;随着BBS的广泛使用以及巨大的影响力,BBS的管理与监管已迫在眉睫。因此新技术新业务和新运营模式在为运营商带来增长点的同时,也为网络带来了安全上的不确定性。
6.IP技术的使用影响网络安全
IP技术的使用一方面为产业带来新业务、新活力,另一方面为网络带来新的安全隐患。当前IP技术应用广泛,但IP并不是一个完美的网络层技术,也存在服务质量、安全、运营模式等问题,其中安全问题一直是最受关注的问题之一。IP网络的安全问题部分是因为计算机网络设计理念与电信网络设计理念有差异:计算机网络中不是问题的问题在电信网络中却成为严重问题;另一方面是因为IP网络在电信中使用缺乏运维管理的经验和手段。由于IP网络不能有效地对源地址进行检验,用户终端可以伪造源地址对网络发起流量冲击进而影响控制层面。
四、NGN安全威胁应对原则
面对上述以及未来可能出现的未知的安全威胁,首先应明确如下应对原则:
1.安全不是绝对的,安全威胁永远存在。
安全不是一种稳定的状态,永远不能认为采用了怎样的安全措施就能到达安全状态。首先,付出资源、管理代价可以增加安全性,但是无论多少代价也不能达到永远、绝对的安全。其次,安全是一个不稳定的状态,随着新技术的出现以及时间的推移,原本相对安全的措施和技术也会变得相对不安全。第三,安全技术和管理措施是有针对性、有范围的,通常只对已知或所假想的安全威胁有效。安全技术和安全管理措施不确保对未知或未预想的安全威胁生效。
2.安全应作为基础研究,需要长期努力。
NGN安全研究范围广泛,包括法律法规、技术标准、管理措施、网络规划、网络设计、设备可靠性、业务特性、商业模式、缆线埋放、加密强度、加密算法、有害信息定义等大量领域。因此安全研究不是一蹴而就,需要长期努力。安全投入本身不能产生直接效益,只能防止和减少因不安全因素而造成的损失。安全研究应当作为一项基础研究,由国家、运营商和相关企业长期投入,共同努力。
3.安全需要付出代价,安全要求应当适度。
NGN安全是所有人都希望的,但不是所有人都能意识到为达到一定的安全标准所需要付出的代价。为安全付出的代价可能是人力、物力、财力,也可能是降低效率。因此安全要求应当适度,为机密性付出的代价大于因泄密可能受到的损失时该安全要求便意义不大。在日常通话中能保证机密性当然理想,但是如需要增加几倍的通话费用来增加机密性(机密性通常只能增加,无法绝对确保),相信大多数用户都无法接受。
4.安全隐患有大有小,应分轻重缓急。
当前NGN上存在大量已知和未知的安全隐患。对于众多的安全隐患,应当视可能造成的危害以及需要付出的成本,分轻重缓急分别解决。一般来说可能大面积影响网络业务提供的安全隐患应当优先解决,例如影响同步网安全、网络路由协议正常运行的安全隐患等。对于不影响业务正常开展,或者只以较小可能影响少量用户同时需要资金人员较多的安全隐患例如无线接口用户数据未加密等可以稍稍延后解决。
5.安全不仅是技术问题,更重要的是管理。
绝大多数安全隐患可以通过技术手段解决,但是安全更重要的是管理。当前技术条件下任何安全技术都是需要人来参与。完善的管理机制能最大程度上防止管理人员有意或无意的增加安全隐患的行为。通常这样的管理机制是以日志和审计作后盾,以降低效率作代价。因此没有完善管理机制的网络不可能是安全的网络。此外一些通过管理可以轻易解决的问题可能需要极其复杂的技术手段才能解决。
6.安全问题有范围,不是包罗万象的。
NGN安全有自身的范围界定,并不是所有的问题都会影响NGN和信息安全。随意扩展安全研究范围,将大量与安全无关的课题归结到NGN与信息安全研究中,可能会失去重点,不利于安全研究与安全隐患的解决。例如传输网络设计指标范围内的误码与安全问题无关;同样IP网络上设计范围内的丢包率、电话网上掉线率范围内的掉线等都与NGN安全无关,用户丢失密码造成的损失也与网络安全无关。
7.网络安全不仅仅是定性的,还应当定量评估。
当前计算机系统有安全登机评估标准,可以定量评估。长期以来,通信网络主要提供话音服务,对话音自身的信息安全以及内容是否合法并不关心。因此主要采用业务可用性以及设备可靠性来体现网络安全。但是当前通信网络支撑着国家重要安全设施的正常运行,因此网络安全有必要定量评估并划分等级。不同的网络应用应当有最低安全等级要求。对所有通信都提供最高安全等级固然很好,但是为此付出几倍甚至几十倍的成本显然不是公众和运营商所期望的。
8.不同网络上关注的安全问题应当各有侧重。
传统电信网络主要提供专线型的数据传输以及点到点的话音业务。因此传统电信网主要关注的是网络自身的安全以及网络服务的安全。而互联网是为教育科研网络设计,服务可控性较差,并缺乏有效的商业模式,且其所具有的可大量传递数据信息并开展BBS以及点到多点、匿名发送等业务的特性也决定了互联网应更关注服务可控性以及网络上的信息安全。
发表评论
暂时没有评论,来抢沙发吧~