信息安全市场调研

这些一般不会是免费的即使是免费的也都是几年前的数据，建议你去“国家市场调研中心”(reportway_com)看看吧

长期以来，人们对保障信息安全的手段偏重于依靠技术， 从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、 入侵检测、身份认证等等。 厂商在安全技术和产品的研发上不遗余力， 新的技术和产品不断涌现；消费者也更加相信安全产品， 把仅有的预算也都投入到安全产品的采购上。 但事实上仅仅依靠技术和产品保障信息安全的愿望却往往难尽人意， 许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“ 三分技术，七分管理”这个在其他领域总结出来的实践经验和原则， 在信息安全领域也同样适用。据有关部门统计， 在所有的计算机安全事件中，约有52%是人为因素造成的，25% 由火灾、水灾等自然灾害引起，技术错误占10%， 组织内部人员作案占10%，仅有3% 左右是由外部不法人员的攻击造成。简单归类， 属于管理方面的原因比重高达70%以上, 而这些安全问题中的95%是可以通过科学的信息安全管理来避免。 因此，管理已成为信息安全保障能力的重要基础。 一、我国信息安全管理的现状 （1）初步建成了国家信息安全组织保障体系 国务院信息办专门成立了网络与信息安全领导小组， 成员有信息产业部、公安部、国家保密局、国家密码管理会员会、 国家安全部等强力部门，各省、市、 自治州也设立了相应的管理机构。2003年7月， 国务院信息化领导小组第三次会议上专题讨论并通过了《 关于加强信息安全保障工作的意见》， 同年9月，中央办公厅、国务院办公厅转发了《 国家信息化领导小组关于加强信息安全保障工作的意见》（ 2003[27]号文件）。 27号文件第一次把信息安全提到了促进经济发展、维护社会稳定、 保障国家安全、加强精神文明建设的高度，并提出了“积极防御、 综合防范”的信息安全管理方针。 2003年7月成立了国家计算机网络应急技术处理协调中心（ 简称CNCERT/CC），专门负责收集、汇总、核实、 发布权威性的应急处理信息、为国家重要部门提供应急处理服务、 协调全国的CERT组织共同处理大规模网络安全事件、 对全国范围内计算机应急处理有关的数据进行统计、 根据当前情况提出相应的对策、 与其他国家和地区的CERT进行交流。 目前已经在全国各地建立了31个分中心， 并授权公共互联网应急处理国家级服务试点单位10家、 公共互联网应急处理省级服务试点单位20家， 还有国内的10家骨干互联网运营企业成立自己的应急处理中心( CERT)，这10家互联网运营企业与中国数千家的ISP、 个人用户和企业用户，成为了CNCERT/CC的主要联系成员， 由此形成了一个立体交错的应急体系， 形成了信息上下畅通传递的通报制度。 2001年5月成立了中国信息安全产品测评认证中心( 简称CNITSEC)， 代表国家开展信息安全测评认证工作的职能机构， 依据国家有关产品质量认证和信息安全管理的法律法规管理和运行国 家信息安全测评认证体系。 负责对国内外信息安全产品和信息技术进行测评和认证、 对国内信息系统和工程进行安全性评估和认证、 对提供信息安全服务的组织和单位进行评估和认证、 对信息安全专业人员的资质进行评估和认证。目前建有上海、东北、 西南、华中、 华北五个授权评认证中心机构和两个系统安全与测评技术实验室 。 （2） 制定和引进了一批重要的信息安全管理标准 为了更好地推进我国信息安全管理工作，公安部主持制定、 国家质量技术监督局发布的中华人民共和国国家标准GB17895 -1999《计算机信息系统安全保护等级划分准则》， 并引进了国际上著名的《ISO 17799：2000：信息安全管理实施准则》、《BS 7799-2：2002：信息安全管理体系实施规范》、《 ISO/IEC 15408:1999(GB/T 18336:2001)－信息技术安全性评估准则 》、《SSE-CMM:系统安全工程能力成熟度模型》 等信息安全管理标准。信息安全标准化委会设置了10个工作组， 其中信息安全管理工作组负责对信息安全的行政、技术、 人员等管理提出规范要求及指导指南，它包括信息安全管理指南、 信息安全管理实施规范、人员培训教育及录用要求、 信息安全社会化服务管理规范、 信息安全保险业务规范框架和安全策略要求与指南。 （3） 制定了一系列必须的信息安全管理的法律法规 从上世纪九十年代初起，为配合信息安全管理的需要，国家、 相关部门、行业和地方政府相继制定了《 中华人民共和国计算机信息网络国际联网管理暂行规定》、《 商用密码管理条例》、《互联网信息服务管理办法》、《 计算机信息网络国际联网安全保护管理办法》、《 计算机病毒防治管理办法》、《互联网电子公告服务管理规定》、《 软件产品管理办法》、《电信网间互联管理暂行规定》、《 电子签名法》等有关信息安全管理的法律法规文件。 （4） 信息安全风险评估工作已经得到重视和开展 风险评估是信息安全管理的核心工作之一。2003年7月， 国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准 的编制工作， 国家铁路系统和北京移动通信公司作为先行者已完成了的信息安全风 险评估试点工作，国家其它关键行业或系统（如电力、电信、 银行等）也将陆续开展这方面的工作。 二、 我国信息安全管理目前存在的一些问题 1、信息安全管理现状仍还比较混乱， 缺乏一个国家层面上的整体策略。实际管理力度不够， 政策的执行和监督力度不够。部分规定过分强调部门的自身特点， 而忽略了在国际政治经济的大环境下体现中国的特色。 部分规定没有准确地区分技术、管理和法制之间的关系，以管代法， 用行政管技术的做法仍较普遍，造成制度的可操作性较差。 2、具有我国特点的、动态的和涵盖组织机构、文件、控制措施、 操作过程和程序以及相关资源等要素的信息安全管理体系还未建立起 来。 3、具有我国特点的信息安全风险评估标准体系还有待完善， 信息安全的需求难以确定，要保护的对象和边界难以确定， 缺乏系统、全面的信息安全风险评估和评价体系以及全面、 完善的信息安全保障体系。 4、信息安全意识缺乏，普遍存在重产品、轻服务，重技术、 轻管理的思想。 5、专项经费投入不足，管理人才极度缺乏， 基础理论研究和关键技术薄弱，严重依赖国外， 对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和 技术改造。 6、技术创新不够，信息安全管理产品水平和质量不高， 尤其是以集中配置、集中管理、 状态报告和策略互动为主要任务的安全管理平台产品的研究与开发还 很落后。 7、缺乏权威、统一、专门的组织、规划、 管理和实施协调的立法管理机构， 致使我国现有的一些信息安全管理方面的法律法规，法阶层次不高， 真正的法律少，行政规章多，结构不合理，不成体系； 执法主体不明确，多头管理，政出多门、各行其是，规则冲突， 缺乏可操作性，执行难度较大，有法难依；数量上不够， 内容上不完善，制定周期太长，时间上滞后，往往无法可依； 监督力度不够，有法不依、执法不严； 缺乏专门的信息安全基本大法，如信息安全法和电子商务法等； 缺乏民事法方面的立法，如互联网隐私法、互联网名誉权、 网络版权保护法等；公民的法律意识较差，执法队伍薄弱， 人才匮乏。 8、我国自己制定的信息安全管理标准太少，大多沿用国际标准。 在标准的实施过程中，缺乏必要的国家监督管理机制和法律保护， 致使有标准企业或用户可以不执行， 而执行过程中出现的问题得不到及时、妥善解决。 三、对我国信息安全管理的一些对策 （1）在领导体系方面，建议建立 “国家信息安全委员会”， 作为国家机构和地方政府以及私营部门之间合作的主要联络人和推动 者，负责对跨部门保护工作做全面协调， 尽快建立具有信息安全防护能力、隐患发现能力、 网络应急反应能力和信息对抗能力的国家信息安全保障体系。 （2）以开放、发展、积极防御的方式取代过去的以封堵、隔离、 被动防御为主的方式，狠抓内网的用户管理、行为管理、 内容控制和应用管理以及存储管理，坚持“多层保护，主动防护” 的方针。加强信息安全策略的研究、制定和执行工作。 国家信息安全主管部门和标准委员会应该为组织制定信息安全策略提 供标准支持， 保证组织能够以很低的费用制定出专业化的信息安全策略， 提高我国的整体信息安全管理水平。 (3)进一步完善国家互联网应急响应管理体系的建设， 实现全国范围内的统一指挥和分工协作， 全面提高预案制定水平和处理能力。 在建立象SARS一样的信息分级汇报制度的同时， 在现有公安系统中建立一支象现在的“110”和“119” 一样的“信息安全部队”，专门负责信息网络方面安全保障、 安全监管、安全应急和安全威慑方面的工作。 对关键设施或系统制定好应急预案， 并定期更新和测试信息安全应急预案。 (4)加快信息安全立法和实施监督工作，建议成立一个统一、 权威、专门的信息安全立法组织与管理机构， 对我国信息法律体系进行全面规划、设计与实施监督与协调， 加快具有我国特点的信息安全法律体系的建设， 并按信息安全的要求修补已颁布的各项法律法规。 尽快制定出信息安全基本法和针对青少年的网上保护法以及政府信息 公开条例等政策法规。尤其是为配合《电子签名法》的实施和落实《 国务院办公厅关于加快电子商务发展的若干意见》， 应抓紧研究电子交易、信用管理、安全认证、在线支付、税收、 市场准入、隐私权保护、信息资源管理等方面的法律法规问题， 尽快提出制定相关法律法规；推动网络仲裁、 网络公证等法律服务与保障体系的建设。 (5)加快信息安全标准化的制定和实施工作， 尽早制定出基于ISO/IEC 17799国际标准的、并适合我国的信息安全管理标准体系， 尤其是建立与完善信息安全风险评估规范标准和管理机制， 对国家一些关键基础设施和重要信息系统，如经济、科技、统计、 银行、铁路、民航、海关等， 要依法按国家标准实行定期的自评估和强制性检查评估。 (6)坚持“防内为主，内外兼防”的方针，通过各种会议、网站、 广播 电视、报纸等媒体加大信息安全普法和守法宣传力度， 提高全民信息安全意识， 尤其是加强组织或企业内部人员的信息安全知识培训与教育， 提高员工的信息安全自律水平。在国家关键部门和企事业单位中， 明确地指定信息安全工作的责职， 建议由党政一把手作为本单位信息安全工作责任人， 在条件允许的企业里增设CSO（首席安全官）职位， 形成纵向到底、横向到边的领导管理体制。 (7)建议政府制定优惠政策，设立信息安全管理专项基金， 鼓励风险投资，提高信息安全综合管理平台、管理工具、网络取证、 事故恢复等关键技术的自主研究能力与产品开发水平。 (8)重视和加强信息安全等级保护工作， 对重要信息安全产品实行强制性认证， 特定领域用户必须明确采购通过认证的信息安全产品。 (9)加强信息安全管理人才与执法队伍的建设工作， 特别是加大既懂技术又懂管理的复合型人才的培养力度。 (10) 加大国际合作力度，尤其在标准、 技术和取证以及应急响应等方面的国际交流、协作与配合。（ 作者系贵州大学信息工程学院国家信息安全有关课题负责人）

随着2015年即将接近尾声，我们可以预期，在2016年相关网络罪犯活动的规模、严重程度、危害性、复杂性都将继续增加，一家负责评估安全和风险管理问题的非营利性协会：信息安全论坛(ISF)的总经理史蒂夫·德宾代表其成员表示说。“在我看来，2016年可能将会是网络安全风险最为严峻的一年。”德宾说。“我这样说的原因是因为人们已经越来越多的意识到这样一个事实：即在网络运营正带来了其自己的特殊性。”德宾说，根据ISF的调研分析，他们认为在即将到来的2016年，五大安全趋势将占据主导。当我们进入2016年，网络攻击将进一步变得更加具有创新性、且更为复杂，德宾说：“不幸的是，虽然现如今的企业正开发出新的安全管理机制，但网络犯罪分子们也正在开发出新的技术来躲避这些安全管理机制。在推动企业网络更具弹性的过程中，企业需要将他们的风险管理的重点从纯粹的信息保密性、确保数据信息的完整性和可用性转移到包括风险规模，如企业声誉和客户渠道保护等方面，并充分认识到网络空间活动可能导致的意想不到的后果。通过为未知的各种突发状况做好万全的准备，企业才能过具有足够的灵活性，以抵御各种意外的、高冲击性的安全事件。”德宾说，ISF所发现的这些网络安全威胁趋势并不相互排斥。他们甚至可以结合起来，创造更具破坏性的网络安全威胁配置文件。他补充说，我们预计明年将为出现新的网络安全威胁。1、国家干预网络活动所导致的意外后果德宾说，在2016年，有官方背景参与的网络空间相关活动或将对网络安全造成附带的损害，甚至造成不可预见的影响和后果。而这些影响和后果的危害程度将取决于这些网络活动背后所依赖的官方组织。并指出，改变监管和立法将有助于限制这些活动，无论其是否是以攻击企业为目标。但他警告说，即使是那些并不受牵连的企业也可能会遭受到损害。德宾说：“我们已经看到，欧洲法院宣布欧美数据《安全港协议》无效。同时，我们正看到越来越多的来自政府机构关于重视数据隐私的呼吁，尽管某些技术供应商会表示说，’我们已经彻底执行了端到端的加密。’但在一个连恐怖主义都变得日趋规范的世界里，当看到一个网络物理链接时，我们要如何面对这一问题?”展望未来，企业必须了解政府部分的相关监管要求，并积极与合作伙伴合作，德宾说。德宾说：“立法者必须将始终对此高度重视，并及时跟上最新网络攻击技术的步伐，我甚至认为立法者本身也需要参与到预防网络安全威胁的过程中来。他们所探讨的一直是如何应对昨天已经发生的网络安全事件，但事实上，网络安全的是关于明天的。”2、大数据将引发大问题现如今的企业在他们的运营和决策过程中，正越来越多的运用到大数据分析了。但这些企业同时也必须认识到：数据分析其实是有人为因素的。对于那些不尊重人的因素的企业而言，或将存在高估了大数据输出价值的风险，德宾说。并指出，信息数据集完整性较差，很可能会影响分析结果，并导致糟糕的业务决策，甚至错失市场机会，造成企业品牌形象受损和利润损失。德宾说：“当然，大数据分析是一个巨大的诱惑，而当您访问这些数据信息时，必须确保这些数据信息是准确的。”这个问题关乎到数据的完整性，对我来说，这是一个大问题。当然，数据是当今企业的生命线，但是我们真的对其有充分的认识吗?”“现如今，企业已经收集了大量的信息。而最让我所担忧的问题并不是犯罪份子窃取这些信息，而是企业实际上是在以其从来不会去看的方式来操纵这些数据。”他补充道。例如，他指出，相当多的企业已经将代码编写工作进行外包多年了。他说：“我们并不知道在那些代码中有没有可能会让您企业泄露数据信息的后门。”事实上，这是有可能的。而您更需要怀疑的是：不断提出假设的问题，并确保从数据信息中获得的洞察分析正是其实际上所反映的。”当然，您所需要担心的并不只是代码的完整性。您更需要了解所有数据的出处。“如果企业收集并存储了相关数据信息，务必要明白了解其出处。”他说。一旦您开始分享这些数据，您就是把自己也打开了。您需要知道这些信息是如何被使用的，与谁进行了分享，谁在不断增加，以及这些数据是如何被操纵的。”3、移动应用和物联网德宾说，智能手机和其他移动设备迅速普及正在使得物联网(IoT)日渐成为网络犯罪份子进行恶意行为的首要目标。随着携带自己的设备办公(BYOD)、以及工作场所可穿戴技术的不断推出，在未来的一年里，人们对工作和家庭移动应用程序的要求会不断增加。而为了满足这一需求的增加，开发商们在面临强大的工作压力和微薄的利润空间的情况下，很可能会牺牲应用程序的安全性，并尽快在未经彻底测试的情况下，以低成本交付产品，导致质量差的产品更容易被不法分子或黑客所攻击。“不要把这和手机简单的相混淆了。”德宾说。移动性远不只有这么一点，智能手机只是移动性的一个组成部分。他注意到，越来越多的企业员工也和他一样，需要不断地出差到各地办公。“我们没有固定的办公室。”他说。上次我登陆网络是在一家旅馆。而今天则是在别人的办公环境。我如何确保真的是我史蒂夫本人登录的某个特别的系统呢?我可能只知道这是一款来自史蒂夫的设备登录的，或者我相信是史蒂夫的设备登录的，但我怎么能够知道这是否是用史蒂夫的另一款设备的呢?企业应做好准备迎接日益复杂的物联网，并明白物联网的到来对于他们的意义何在，德宾说。企业的首席信息安全官们(CISO)应积极主动，确保企业内部开发的各款应用程序均遵循了公认的系统开发生命周期方法，相关的测试准备步骤是不可避免的。他们还应该按照企业现有的资产管理策略和流程管理员工用户的设备，将用户设备对于企业网络的访问纳入企业现有管理的标准，以创新的方式推动和培养员工们的BYOD风险意识。4、网络犯罪造成的安全威胁风暴德宾说，网络犯罪高居2015年安全威胁名单榜首，而这一趋势在2016年并不会减弱。网络犯罪以及黑客活动的增加，迫使企业必须遵从不断提升的监管要求，不懈追求技术进步，这使得企业在安全部门的投资激增，而这些因素结合起来，可能形成安全威胁风暴。那些采用了风险管理办法的企业需要确定那些企业的业务部门所最为依赖的技术，并对其进行量化，投资于弹性。网络空间对于网络犯罪分子和恐怖分子而言，是一个越来越有吸引力的攻击动机、和赚钱来源，他们会制造破坏，甚至对企业和政府机构实施网络攻击。故而企业必须为那些不可预测的网络事件做好准备，以便使他们有能力能够承受住不可预见的，高冲击性的网络事件。“我看到越来越多日益成熟的网络犯罪团伙。”德宾说。他们的组织非常复杂和成熟，并具有良好的协调。我们已经看到网络犯罪作为一种服务的增加。这种日益增加的复杂性将给企业带来真正的挑战。我们真的进入了一个新的时代，您根本无法预测一个网络犯罪是否会找您。从企业的角度来看，您要如何防御呢?问题的部分原因在于，许多企业仍然还处在专注于保卫企业外部边界的时代，但现如今的主要威胁则是由于企业内部的人士，无论其是出于恶意目的或只是无知采取了不当的安全实践方案，这使得网络威胁日渐已经开始向外围渗透了“不管是对是错，我们一直是将网络犯罪视为是从外部攻击的角度来看，所以我们试图采用防火墙来简单应对。”德宾说。 “但企业还存在来自内部的威胁。这让我们从企业的角度来看，是一个非常不舒服的地方。”事实的真相是，企业根本无法对付网络犯罪，除非他们采取更具前瞻性的方法。“几个星期前，我在与一名大公司的拥有九年工作经验的首席信息安全官交谈时，他告诉我说，借助大数据分析，他现在已经在整个企业几乎完全实现了可视化。在从业了九年后，他发现网络罪犯的这种能力也在不断积累。而我们的做法只是不断地被动反应，而不是主动的防御。”“网络犯罪分子的工作方式却不是这样的。”他补充说。“他们总是试图想出一个新的方法。我认为我们还不擅长打防守。我们需要真正将其提高到同一水平。我们永远不会想出新的方法。而在我们企业内部甚至还存在这样的想法：即然我们还没有被攻破，为什么我们要花所有这些钱呢?”5、技能差距将成为信息安全的一个无底深渊随着网络攻击犯罪份子的能力日益提高，信息安全专家们正变得越来越成熟，企业对于信息安全专家的需求越来越多。而网络犯罪分子和黑客也在进一步深化他们的技能，他们都在努力跟上时代的步伐，德宾说。企业的首席信息安全官们需要在企业内部建立可持续的招募计划，培养和留住现有人才，提高企业网络的适应能力。德宾说，在2016年，随着超连通性的增加，这个问题将变得更糟。首席信息安全官在帮助企业及时获得新的技能方面将需要更积极。“在2016年，我认为我们将变得更加清楚，也许企业在其安全部门并没有合适的人才。”他说。我们知道，企业有一些很好的技术人员可以安装和修复防火墙等。但真正好的人才则是可以在确保企业网络安全的情况下，满足业务的挑战和业务发展。这将是一个明显的弱点。企业的董事会也开始意识到，企业网络是他们做生意的重要方式。我们还没有在业务和网络安全实践之间建立起联系。”在某些情况下，企业根本没有合适的首席信息安全官会变得相当明显。而其他企业也必须问自己，安全本身是否被放在了恰当的位置。德宾说：“您企业无法避免每一次严重的事件，虽然许多企业在事件管理方面做得很好，但很少有企业建立了一套有组织的方法来评估哪些是错误的。”因此，这会产生不必要的成本，并让企业承担不适当的风险。各种规模的企业均需要对此给予高度重视，以确保他们对于未来的这些新兴的安全挑战做好了充分的准备，并能够很好的应对。通过采用一个切实的，具有广泛基础的，协作的方式，提高网络安全和应变能力，政府部门、监管机构、企业的高级业务经理和信息安全专业人士都将能够更好地了解网络威胁的真实本质，以及如何快速作出适当的反应。”

全球信息化的条件下,保障信息 安全已经成为对敌斗争的重要领域、反分裂斗争的重要战场之一。境内外"三股势力"：1、针对中国信息网络安全的情报攻击越来越猖獗；2、针对中国政治安全发动的信息网络舆论攻击越来越疯狂；3、针对中国社会生活领域的信息网络违法犯罪活动日趋增多；4、针对中国青少年群体的信息网络"毒害"日趋严重；5、针对中国政治安全的IT企业商业纠纷政治化倾向日趋明显，给国家安全、民族团结及社会和谐稳定造成极大威胁甚至严重危害。健全信息化法治，坚持依法打击和防范是国际上通行的策略。为此，中国必须加快信息法治建设，依法保障信息网络安全，坚持把依法保障信息安全纳入维护国家安全之中，依法遏制"三股势力"向信息化领域的蔓延，坚 持从保障信息安全的国际法治建设方面谋划国际合作，不断提高依法应对信息化条件下反分裂斗争的法治能力。

随着信息技术应用的飞速发展，互联网应用的不断普及，基于网络的业务活动的发展以及全球经济一体化进程的加快，人们在享受信息所带来的巨大利益的同时，也面临着信息安全的严峻考验。根据中国互联网络信息中心和国家互联网应急中心联合发布的《2009年中国网民网络信息安全状况调查报告》显示：2009年，71.9%的网民发现浏览器配置被修改，50.1%的网民发现网络系统无法使用，45.0%的网民发现数据文件被损坏，41.5%的网民发现操作系统崩溃，而发现QQ、MSN密码、邮箱账号曾经被盗的网民占32.3%。2009年，网民处理安全事件所支出的服务费用共计153亿元人民币；在实际产生费用的人群中，人均费用约588.90元。因此，如何有效地保护信息的安全是一个重要的研究课题，是国家现在与未来安全保障的迫切需求。随着人们对信息安全意识的提升，信息系统的安全问题越来越受到关注，因此如何构筑信息和网络安全体系已成为信息化建设所要解决的一个迫切问题。计算机网络化、规模化成为趋势，然而计算机信息系统却面临新的问题和挑战。信息系统由网络系统、主机系统和应用系统等要素组成，其中每个要素都存在着各种可被攻击的漏洞、网络线路有被窃听的危险；网络连接设备、操作系统和应用系统所依赖的各种软件在系统设计、协议设计、系统实现以及配置等各个环节都存在着安全弱点和漏洞，有被利用和攻击的危险。面对一个日益复杂的信息安全环境，我们需要动态地、发展地认识信息安全并采取相应的保障措施。7.1.1　信息与信息安全“安全”在《高级汉语大词典》中的意思是“不受威胁，没有危险、危害、损失”。安全的定义是：远离危险的状态或特性，为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。在涉及“安全”词汇时，通常会与网络、计算机、信息和数据相联系，而且具有不同的侧重和含义。其基本含义为“远离危险的状态或特性”或“主观上不存在威胁，主观上不存在恐惧”。在各个领域都存在安全问题，安全是一个普遍存在的问题。信息和数据安全的范围要比网络安全和计算机安全更为广泛。它包括了信息系统中从信息的产生直至信息的应用这一全部过程。我们日常生活中接触的数据比比皆是，考试的分数、银行的存款、人员的年龄、商品的库存量等，按照某种需要或一定的规则进行收集，经过不同的分类、运算和加工整理，形成对管理决策有指导价值和倾向性说明的信息。按字面意思，可以将信息安全理解为“信息安全就是使得信息不受威胁、损失”。但要全面完整地定义信息安全，则不是一件很容易的事。国际标准化组织（ISO）定义的信息安全是“在技术上和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。此概念偏重采取的措施。欧盟在1991年《信息安全评估标准（Version 1.2）》中将信息安全定义为：“在既定的密级条件下，网络与信息系统抵御意外事件，对危及所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和机密性的行为进行防御的能力。”我国信息安全专家沈昌祥院士将信息安全定义为：保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。但信息安全是相对的。可见安全界对信息安全的概念并未达成一致，对于信息安全的理解也随着信息技术及其应用的扩展而加深。1996年美国国防部在国防部对信息保障（IA）做了如下定义：保护和防御信息及信息系统，确保其可用性、完整性、保密性、可认证性、不可否认性等特性。这包括在信息系统中融入保护、检测、反应功能，并提供信息系统的恢复功能。该定义将信息安全的定义拓展到了信息保障，突出了信息安全保障系统的多种安全能力及其对组织业务职能的支撑作用。用“保障”一词代替安全的主要目的有两个：一是使用这一质量领域的用词反映高度信息化社会的安全内涵，即把可靠性、服务品质等概念纳入其中；二是从管理需要出发，将安全防范的内容从防外部扩大到内外兼防，表明其看待信息安全问题的视角已经不再局限于单个维度，而是将信息安全问题抽象为一个由信息系统、信息内容、信息系统的所有者和运营者、信息安全规则等多个因素构成的一个多维问题空间。这些变化均反映了人们对信息安全的意义、内容、实现方法等一直在不断地思索和实践。世界著名黑客米特尼克（Kevin Mitnick）在接受美国参议院一个安全专家组的咨询时曾说过：只要一个人有时间、金钱和动机，他就可以进入世界任何一台电脑。米特尼克的话并非危言耸听。15岁的他就入侵了北美空中防护指挥系统，并先后入侵了美国五角大楼、美国联邦调查局（FBI），以及几乎全美国所有计算机公司的电脑系统。米特尼克的话反映了这样一个事实：网络世界没有绝对的安全。从屡屡传出的美国五角大楼遭受黑客入侵的消息中，我们也可以得到这一结论：戒备森严的五角大楼都难免被黑客攻入，其他的计算机系统又如何确保安全？事实上，无论是在理论上还是技术上，要想提供100%的安全保证都是不现实的。因此，信息安全是一个动态变化的概念，要完整地理解信息安全，需要从信息安全的属性和内容两方面入手。在美国国家信息基础设施（NII）的相关文献中，给出了安全的五个属性：机密性（Confidentiality）、可用性（Availability）、完整性（Integrity）、可控性（Controllability）和不可否认性（Non repudiation）。其中可用性、机密性、完整性是人们在不断实践和探索过程中，总结了信息安全的三个基本属性。随着信息技术的发展与应用，可控性和不可否认性作为信息安全的属性也得到了大多数学者的认可。信息的机密性是指确保只有那些被授予特定权限的人才能够访问到信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。信息的机密性依据信息被允许访问对象的多少而不同，一般可以根据信息的重要程度和保密要求将信息分为不同密级，如所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。例如，军队内部文件一般分为秘密、机密和绝密三个等级，已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息，有的用户既可以进行读操作又可以进行写操作。信息的完整性是指要保证信息和处理方法的正确性和完整性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。信息的完整性包括两个方面含义：一方面是指在信息的生命周期中，使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面是指确保信息处理的方法的正确性，使得处理后的信息是系统所需的、获得正确的、适用的信息，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。信息的可用性是指授权主体在需要信息时能及时得到服务的能力。指确保那些已被授权的用户在他们需要的时候，确实可以访问得到所需要的信息，即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏由于服务器负荷过大而使得授权用户的正常操作不能及时得到响应，或者由于网络通讯线路的断开使得信息无法获取等，这些都是属于对信息的可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。信息的可控性是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。对于信息系统中的敏感信息资源的主体，如果任何主体都能访问、对信息进行篡改、窃取以及恶意散播的话，安全系统显然会失去了效用。对访问信息资源的人或主体的使用方式进行有效控制，是信息安全的必然要求，从国家层面看，信息安全的可控性不但涉及信息的可控性，还与安全产品、安全市场、安全厂商、安全研发人员的可控性紧密相关。严格控制和规范获得信息的主体对信息进行修改、更新、删除、拷贝、传输等操作的权限是提高信息可控性的主要途径和方法。信息的不可否认性也称抗抵赖性、不可抵赖性，是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。它是传统的不可否认需求在信息社会的延伸。在日常生活中，人们通过纸介质上的印章或签名来解决信息的不可否认性问题。但在电子政务和电子商务应用系统中，传统的印章或签名已不能使用，当前只有依靠数字签名技术来解决信息的不可否认性问题。人类社会的各种商务和政务行为是建立在信任的基础上的，传统的公章、印戳、签名等手段便是实现不可否认性的主要机制，信息的不可否认性与此相同，也是防止实体否认其已经发生的行为。信息的不可否认性分为原发不可否认（也称原发抗抵赖）和接收不可否认（也称接收抗抵赖），前者用于防止发送者否认自己已发送的数据和数据内容；后者防止接收者否认已接收过的数据和数据内容，实现不可否认性的技术手段一般有数字证书和数字签名。7.1.2　信息安全的主要研究内容信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。其研究内容主要包括以下两个方面：一方面是信息本身的安全，主要是保障个人数据或企业的信息在存储、传输过程中的保密性、完整性、合法性和不可抵赖性，防止信息的泄露和破坏，防止信息资源的非授权访问；另一方面是信息系统或网络系统的安全，主要是保障合法用户正常使用网络资源，避免病毒、拒绝服务、远程控制和非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。关于信息安全的内容，美国国家电信与信息系统安全委员会（NTISSC）主席、美国C3I负责人、前国防部副部长 Latham认为，信息安全应包括以下六个方面内容：通信安全（COMSEC）、计算机安全（COMPUSEC）、符合瞬时电磁脉冲辐射标准（TEMPEST）、传输安全（TRANSEC）、物理安全（Physical Security）、人员安全（Personnel Security）。在我国，学者们较为公认的信息安全一般包括实体安全、运行安全、数据安全和管理安全四个方面的内容。现代信息系统中的信息安全其核心问题是密码理论及其应用，其基础是可信信息系统的构作与评估。总的来说，目前在信息安全领域人们所关注的焦点主要有以下几方面：（1）密码理论与技术。密码理论与技术主要包括两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等）和非数学的密码理论与技术（包括信息隐形、量子密码、基于生物特征的识别理论与技术）。密码技术特别是加密技术是信息安全技术中的核心技术，国家关键基础设施中不可能引进或采用别人的加密技术，只能自主开发。目前我国在密码技术的应用水平方面与国外还有一定的差距。（2）安全协议理论与技术。安全协议的研究主要包括两方面内容，即安全协议的安全性分析方法研究和各种实用安全协议的设计与分析研究。安全协议的安全性分析方法主要有两类：一类是攻击检验方法，一类是形式化分析方法，其中安全协议的形式化分析方法是安全协议研究中最关键的研究问题之一，它的研究始于20世纪80年代初，目前正处于百花齐放、充满活力的阶段。许多一流大学和公司的介入，使这一领域成为研究热点。随着各种有效方法及思想的不断涌现，这一领域在理论上正在走向成熟。在安全协议的研究中，除理论研究外，实用安全协议研究的总趋势是走向标准化。我国学者虽然在理论研究方面和国际上已有协议的分析方面做了一些工作，但在实际应用方面与国际先进水平还有一定的差距。（3）安全体系结构理论与技术。安全体系结构理论与技术主要包括：安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符合这些模型、策略和准则的系统的研制（比如安全操作系统、安全数据库系统等）。我国在系统安全的研究与应用方面与先进国家和地区存在很大差距。近几年来，我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由于自主安全内核受控于人，难以保证没有漏洞。（4）信息对抗理论与技术。信息对抗理论与技术主要包括：黑客防范体系，信息伪装理论与技术，信息分析与监控，入侵检测原理与技术，反击方法，应急响应系统，计算机病毒，人工免疫系统在反病毒和抗入侵系统中的应用等。该领域正在发展阶段，理论和技术都很不成熟，也比较零散。但它的确是一个研究热点。目前看到的成果主要是一些产品（比如IDS、防范软件、杀病毒软件等），攻击程序和黑客攻击成功的事件。当前在该领域最引人注目的问题是网络攻击，美国在网络攻击方面处于国际领先地位，有多个官方和民间组织在做攻击方法的研究。（5）网络安全与安全产品。网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热点。研究内容包括：网络安全整体解决方案的设计与分析，网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信息完整性、保密性、非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管理等方方面面的事情，必须综合考虑。7.1.3　信息安全的产生与发展在信息社会中，一方面，信息已成为人类的重要资产，对计算机技术的依赖程度越来越深，信息技术几乎渗透到了社会生活的方方面面。另一方面，由于信息具有易传播、易扩散、易毁损的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，因此随着人们对信息系统依赖程度的增加，信息安全问题也日益突出。信息安全发展的历史分为三个阶段：通信安全发展阶段、计算机安全发展阶段和信息保障发展阶段。7.1.3.1　通信安全发展阶段通信安全发展阶段开始于20世纪40年代，其时代标志是1949年香农发表的《保密系统的信息理论》，该理论首次将密码学的研究纳入到科学的轨道。在这个阶段所面临的主要安全威胁是搭线窃听和密码分析，其主要保护措施是数据加密。20世纪40年代以前，通信安全也叫通信保密，是战争的需要。40年代还增加了电子安全，实际上就是电子通信安全。50年代欧美国家把通信安全和电子安全合称为信号安全，包括了调制和加密，密码学是这个阶段的重要技术，变成了军方拥有的技术，就像武器一样，被控制起来。在这一阶段，虽然计算机已经出现，但是非常脆弱，加之由于当时计算机速度和性能比较落后，使用范围有限，因此该阶段重点是通过密码技术解决通信保密问题。7.1.3.2　计算机安全发展阶段进入到20世纪60年代，计算机的使用日渐普及，计算机安全提到日程上来。此时对计算机安全的威胁主要是非法访问、脆弱的口令、恶意代码（病毒）等，需要解决的问题是确保信息系统中硬件、软件及应用中的保密性、完整性、可用性。在这个时期，密码学也得到了很快发展，最有影响的两个大事件是：一件是Diffiee和Hellman于1976年发表的论文《密码编码学新方向》，该文导致了密码学上的一场革命，他们首次证明了在发送者和接收者之间无密钥传输的保密通信是可能的，从而开创了公钥密码学的新纪元；另一件是美国于1977年制定的数据加密标准 DES。这两个事件标志着现代密码学的诞生，是信息安全中的一个重大事件。1985年美国国防部的可信计算机系统安全评价标准（TCSEC）的公布意味着信息安全问题的研究和应用跨入了一个新的高度。由于军方的参与和推动，计算机安全在密码算法及其应用、信息系统安全模型及评价两个方面取得了很大的进展，主要开发的密码算法有1977年美国国家标准局采纳的分组加密算法 DES（数据加密标准）；双密钥的公开密钥体制 RSA，该体制由 Rivest、Shamir、Adleman根据1976年Diffie与 Hellman在《密码编码学新方向》开创性论文中提出的思想创造的；1985年N.Koblitz和V.Miller提出了椭圆曲线离散对数密码体制（ECC），该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同的安全性。从美国的TCSEC开始，包括英、法、德、荷等四国发布了信息技术的安全评估准则，加拿大在1993年也发布了可信计算机产品评价准则，美国1993年也制定了联邦标准，最后由六国七方，在20世纪90年代中，提出了一个信息技术安全性评估通用准则（Common Criteria）。经过近10年的发展，该准则到现在已经基本成熟。7.1.3.3　信息保障发展阶段信息保障（Information Assurance,IA）是“通过保障信息的可用性、完整性、验证、保密以及非拒认来保护信息和信息系统的措施，包括通过保护、检测、响应等功能恢复信息系统。”资料来源：美国国防部2002年10月24日发表的《信息保障》国防部令。20世纪90年代以来，计算机网络迅速发展，对安全的需求不断地向社会各个领域扩展。此时的安全威胁主要表现在网络环境中黑客入侵、病毒破坏、计算机犯罪、情报窃取等。人们需要保护信息在存储、处理、传输、利用过程中不被非法访问或修改，确保合法用户得到服务和拒绝非授权用户服务。但是人们很快就发现，单靠计算机安全或是通信安全无法在存储、处理与系统转换阶段保障信息安全。信息系统安全就此应运而生，并赋予信息保障更广泛的含义。针对这一需求，人们开发了信息保障（IA）技术，用于在复杂或分布式通信网络中保障信息传递、处理和存储安全，使得接收的信息与原来发送的一致。这一阶段，由于对信息系统攻击日趋频繁和电子商务的发展，信息的安全不再局限于信息的保护，人们需要对整个信息和信息系统的保护和防御，包括保护、检测、反应和恢复能力。官方服务官方网站

通过相关检索，结合亲身经历，给出一个防火墙设计案例，包括：1、应用背景银行金融行业属于国家重点建设和保护的行业，随着市场经济的全面推进，各金融企业之问的竞争也日益激烈，主要是通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来增强自身的竞争优势。由于服务的多样化，应用增多的同时网络安伞风险也会不断暴露出来，而且由于银行系统有大量的商业机密，如果这些涉密信息在网上传输过程中泄密，并且这些信息如果丢失或泄漏；其造成的损失将是不可估量的。近期，针对某银行系统特殊的业务需求和潜在网络风险，天融信公司提出了一套系统的安全解决方案，有力地保证了该银行网络系统的安全。2、安全需求分析目前该银行主要应用业务中，网上银行、电子商务、网上交易系统都是通过Internet公网进行相关操作，由于互联网自身的广泛性、自由性等特点，其系统很可能成为恶意入侵者的攻击目标。银行网络安全的风险来自多个方面：其一 ，来自互联网的风险：银行的系统网络如果与Intemet公网发生联系，如涉及到电子商务、网上交易等系统，都有可能给恶意的入侵者带来攻击的条件和机会。其二 ．来自外单位的风险：而且该银行不断增加中间业务、服务功能，如代收电话费等，这样就与其它单位网络互联，由十与这些单位之间不一定是完全信任关系，因此，该银行网络系统存在着来自外单位的安全隐患。其三．来自不信任域的风险：涵盖范围广泛，全国联网的银行，各级银行之问存在着安全威胁。其四，来自内部网的风险。据调查，大多数网络安全事件，攻击米自于内部；有可能发生内部攻击、泄露；导致遭受攻击的事件发生。鉴于存在以上潜在风险，该银行网络需要防范来自不安全网络或不信任域的非法访问或非授权访问，防范信息在网络传输过程中被非法窃取，而造成信息的泄露；并动态防范各种来自内外网络的恶意攻击；对进入网络或主机的数据实时监测，防范病毒对网络或主机的侵害；针对银行特殊的应用进行特定的应用开发；必须制定完善安全管理制度，并通过培训等手段来增强员工的安全防范技术及防范意识等等，将风险防患于未然。3、方案设计（图、文字）鉴于以上银行系统可能发生的安全隐患及客户需求，天融信制订出安全，可靠的安全解决方案。首先，保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提，这点涉及到网络环境的安全、设计的安全、媒介的安全．保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程．另外，对系统、网络、应用和信息的安全要重视，系统安全包括操作系统安全和应用系统安全；网络安全包括网络结构安全、访问控制、安全检测和评估；应用安全包括安全认证和病毒防护；信息安全包括加密传输、信息鉴别和信息仔储．其次，对于该银行系统可能会存住的特殊应用，要保护其应用的安拿性，必须通过详细 解和分析，进行有针对性地开发，量体裁衣，才能切实保证应用时安全。而建立动态的、整体的网络安全的另外一关键是建立长期的、与项目相关的信息安全服务。安全服务包括：伞方位的安全咨匈、培训；静态的网络安伞风险评估；特别事件应急响应。另外，除了上述的安全风险外，安全设备本身的稳定性非常重要，为此，天融信安全解决方案中防火墙将采用双机热备的方式。即，两台防火墙互为备份，一台是主防火墙；另一台是从防火墙。当主防火墙发生故障时，从防火墙接替主防火墙的工作。从而最大限度的保证用户网络的连通性。根据该银行的网络结构，天融信把整个网络用防火墙分割成三个物理控制区域，即金融网广域网、独立服务器网络、银行内部网络。 以上三个区域分别连接在防火墙的三个以太网借接口上，从而通过在防火墙上加载访问控制策略，对达三个控制区域间的访问进行限制。主防火墙与从防火墙之间通过CON一SOLE电缆线相连接，用以进行两台防火墙之间的心跳检测。4、经验与教训（尽量加入自己的感悟）我们此次做出的安全解决方案紧密结合该银行的实际应用，结合了用户需求，因此方案具有很强的针对性，并达到了很好的效果．防范系统漏洞：目前大多数操作系统都存在一些安全漏洞、后门，这些因素往往又是被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安伞漏洞，分析系统的安全性，提出补救措施。加强身份认证：对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。对应用系统的使用加强用户登录身份认证以确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。全面网络安全控制：首先从网络结构布局上，对该银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理区域划分，以免局部产牛的威胁，传播到整个网络系统。同时，加强访问控制：任内部局域网内通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制；与外单位网络、不信任域网络之间通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制；配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制；对于远程拔号访问用户的安全性访问，利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的安全访问。进而进行安全检测和评估：配备入侵检测系统，对网络违规事件跟踪、实时报警、阻断连接并做臼志；从操作系统的角度，以管理员的身份对独立的系统主机的安全性进行评估分析，找出用户系统配置、用户配置的安全弱点，建议补救措施。密钥认证：我们引入了通过第三方来发放证书，即构建一个权威认证机构(Ca认证中心)。该银行系统可以联合各专业银行•同构建一个银行系统的CA系统，实现本系统内证书的发交与业务的安全交易。不同的加密传输：对银行普通业务系统，我们建议采用网络层加密设备，来保护数据在网络上传输的安全性。而对网k银行、网上交易等业务系统可以采用应用层加密机制来加密，以保护数据在网上传输的机密性。备份、恢复停储数据：保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份系统可以保存相当完整的数据库信息，在运行数据库主机发生意外事故时，通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态，保证银行业务系统提供服务的及时性、连续性。二、相关检索1、防火墙的定义防火墙是保障网络安全的一个系统或一组系统，用于加强网络间的访问控制，防止外部用户非法使用内部网资源，保护内部网的设备不被破坏，防止内部网络的敏感数据被窃取。2、使用防火墙的目的防止各类黑客的破坏，阻断来自外部网络的威胁与入侵，起着防备潜在恶意活动的作用。3、防火墙的特征（或典型的防火墙的基本特性）（1）、广泛性：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等服务器支持；（2）、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；（3）、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；（4）、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；（5）、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。4、目前防火墙的局限性（1）不能防范内部攻击。（2）不能防范不通过防火墙的连接入侵。（3）不能自动防御新的所有威胁。5、防火墙的基本功能、增值功能（1） 阻止易受攻击的服务进入内部网；（2） 控制访问网点；（3） 集中安全性管理；（4） 对网络存取和访问进行监控审计；（5） 检测扫描计算机的企图；（6） 防范特洛伊木马；（7） 防病毒功能；（8） 支持VPN技术；（9） 提供网络地址翻译NAT功能。6、防火墙的类型（1）概念分类：网络层防火墙、应用层防火墙。（2）技术分类：传统防火墙、分布式防火墙、嵌入式防火墙、智能防火墙。7、防火墙的主要技术包过滤技术、代理服务技术、电路层网关、状态检测技术。8、防火墙的常见体系结构筛选路由器结构、双宿主机结构、屏蔽主机网关结构、屏蔽子网结构。9、防火墙设计的原则与策略设计原则：安全性、可靠性、扩展性、可升级性、兼容性防火墙一般采用2个基本设计策略：（1） 拒绝访问除明确许可以外的任何一种服务，即没有被列为允许的服务都是禁止的。（2） 允许访问除明确拒绝以外的任何一种服务，即没有被列为禁止的服务都是允许的。（1） 替换密码#include <stdio.h>#include <string.h> #include <iostream.h> void main() { char str[12]="how are you"; int i; for(i=0;i<=11;i++) {str[i]+=4; cout<<str[i];} cout<<endl;} （2）换位密码#include <iostream.h>#include <stdio.h>#include <string.h>void main(){char str[12]="how are you";int i,j;char p; printf("%s\n",str); for(i=0,j=1;i<=10,j<=11;) {p=str[i]; str[i]=str[j]; str[j]=p; cout<<str[i]<<str[j]; i+=2; j+=2;} cout<<endl;}将明文分割成N列的分组形式。例如：明文是guangzhou is a beautiful city，按照密钥N=4，最后不全的组用任意符号填充。（空格不理）加密过程如下：第一步，排列1234guangzhouisabeautifulcity第二步，打断1234guangzhouisabeautifulcity###第三步，产生密文ggubtlyuzieic#ahsafi#noauut#/////////////////////////#include <iostream.h>#include <string.h>#define N 4（密钥）void main(){ int m,i,j; char p1[80],p2[20][N],p3[N][20];char pstr[]="guangzhouisabeautifulcity";（如果最后y去掉，程序有什么变化？将下一行改成）if (strlen(pstr)%N==0) m=strlen(pstr);else m=(strlen(pstr)/N+1)*N;） //用符号'#'填充明文 m=(strlen(pstr)/N+1)*N; （m为个数；strlen算字符串长度） for(i=0;i<strlen(pstr);i++) p1[i]=pstr[i]; for(i=strlen(pstr);i<m;i++) p1[i]='#'; //打断 m=m/N; for(i=0;i<m;i++) for(j=0;j<N;j++) p2[i][j]=p1[i*N+j];（把一维数组变成二维数组） //列换位,产生密文 for(i=0;i<N;i++) for(j=0;j<m;j++) p3[i][j]=p2[j][i]; （p2的j行i列变成p3的i行j列） //输出 cout<<"\n明文："; for(i=0;i<m*N;i++) cout<<p1[i]; cout<<"\n密文："; for(i=0;i<N;i++) for(j=0;j<m;j++) cout<<p3[i][j]; cout<<endl;}////////////////////////////////////////2、周期换位密码把明文中的字母按给定的顺序排在一个矩阵中，然后用另一种顺序选出矩阵中的字母来产生密文。例如，给定一个置换F=2、4、1、3，即按第2列、第4列、第1列、第3列，（第6列，第5列）的次序排列。加密过程如下：第一步，排列123456guangzhouisabeautifulcity第二步，打断1234guangzhouisabeautifulcity###第三步，周期换位241365ungazoghiauseuutfctli##y#第四步，产生密文ungazoghiauseuutfctli##y#////////////////////////////////////#include <iostream.h>#include <string.h>#define N 4 （6）void main(){ int m,i,j; char p1[80],p2[20][N],p3[20][N]; char pstr[]="guangzhouisabeautifulcity"; //用符号'#'填充明文 m=(strlen(pstr)/N+1)*N; for(i=0;i<strlen(pstr);i++) p1[i]=pstr[i]; for(i=strlen(pstr);i<m;i++) p1[i]='#'; //打断 m=m/N; for(i=0;i<m;i++) for(j=0;j<N;j++) p2[i][j]=p1[i*N+j]; //2413周期换位,产生密文 for(i=0;i<m;i++) { p3[i][0]=p2[i][1]; p3[i][1]=p2[i][3]; p3[i][2]=p2[i][0];p3[i][3]=p2[i][2];p3[i][4]=p2[i][5];P3[i][5]=p2[i][4]; }//输出 cout<<"\n明文："; for(i=0;i<m*N;i++) cout<<p1[i]; cout<<"\n密文："; for(i=0;i<m;i++) for(j=0;j<N;j++) cout<<p3[i][j]; cout<<endl;}2、网上调研题——要求把主要观点写在答题纸上，主要观点的展开与举例提交电子版到“考试服务器”。1,举例说明用电子邮件传播病毒的常见方法。基本观点：（1）将病毒放在电子邮件的附件中寄给受害者，引诱受害者打开电子邮件附件而传染病毒。（2）将病毒直接放在电子邮件内寄给受害者，诱使受害者阅读电子邮件而传染病毒。示例：网上检索，要体现可操作性与防范性。2,举例说明病毒软件的结构。基本观点：（1）传染子程序——用于寻找还没有被传染的可执行文件，将病毒软件执行代码嵌入其中。（2）引发子程序——定义病毒发作的条件。（3）破坏子程序——定义具体的破坏操作，例如删除或修改文件。示例：网上检索，要体现可操作性与防范性。

　　国建立政府CIO体制的必要性与障碍分析　　--------------------------------------------------------------------------------　　发表日期：2006年2月19日　　引言：　　CIO（Chief information officer）即“首席信息主管”。美国《CIO》杂志对CIO的定义为：“CIO是负责一个公司信息技术和信息系统所有领域的高级官员。他们通过指导对信息技术的利用来支持公司的目标。他们具备技术和业务过程两方面的知识，具有多功能的概念，常常是将组织的技术调配战略与业务战略紧密结合在一起的最佳人选”。　　CIO最早在20世纪80年代前后产生于发达国家的政府部门。1980年，美国政府为了确保联邦政府信息资源的收集、维护、使用 和传播信息的费用减至最低；使收集到的信息得到最充分的利用，颁布了《文书削减法》。首次在成文法中提出了“信息资源管理”的概念。1982年，罗纳德·里根总统任命了一个专家委员会——格雷斯委员会，目的是对联邦政府各部及机构的信息资源管理情况进行调查，该委员会1984年向总统提交了最终调查报告，其中的第7卷《联邦政府中的信息差距》对联邦政府信息资源管理和利用的情况进行了分析，建议以整个政府为基础对信息资源进行管理，为此必须在各级政府（包括总统行政办公室）任命一位由副部长或部长助理担任的信息主管（CIO），从比较高的层次上全面负责信息资源的管理、开发利用并直接参与高层决策管理。此后，西方许多国家增设“信息部长”一职，而且在政府各个部门设立CIO职务。　　尽管CIO起源于政府，但今天却在企业中被广泛认可。这一点可从前面美国《CIO》杂志对CIO给出的定义可以看出。20世纪80年代美国政府部门提出政府机构中要设立CIO以后，一些大型公司采纳了这一经验，产生了企业CIO。目前，全球500强企业几乎都设立了CIO职位。发达国家的经验表明，CIO体制的出现不仅在推动企业信息化过程中起到了不可磨灭的作用，在组织推进政府信息化的过程中同样起到了举足轻重的作用。这对于建立合理的组织结构，以便有效地推进我国的信息化建设，有着积极的借鉴作用。　　一、政府CIO职责与素质要求　　1.1 政府CIO的主要职责　　一般说来，政府CIO的主要职责是实现信息技术战略与政府管理和公共服务过程的整合，优化政府部门的业务流程，实现政府部门内部信息资源的有效利用和最大范围内的共享。具体包括以下几个方面：　　1.1.1 组织制定政府信息化规划和实施方案及部门电子政务发展战略规划和实施方案，参与制定部门的总体工作部署。　　1.1.2 提出政府部门电子政务建设投资建议，参与电子政务项目决策，负责硬件设备、软件系统的采购工作。　　1.1.3 提出政府业务流程再造方案，负责政府部门电子政务建设项目的全程管理。　　1.1.4 负责政府信息资源管理与知识管理及信息技术体系结构和信息系统的建设。　　1.1.5 负责政府部门信息技术人才招聘和公务员信息技术应用技术培训，建立多层次的信息化管理团队和信息技术支撑体系。　　1.2 政府CIO的素质要求　　政府CIO应该是复合性的人才，既要具备领导能力，又要有扎实的技术背景，对政府的业务及流程相当熟悉。　　1.2.1 政府CIO要具有很好的协调能力。政府要做好信息化工作，就必须做好跨部门的沟通、交流与合作。因此，要求这个组织或个人必须能够实现跨部门的统一协调。　　1.2.2 政府CIO应该具有很强的公共服务意识。政府的基本职能是向社会和公众提供公共服务。在政府职能转型后，最大的理念转变是突出它的服务职能。　　二、建立政府CIO体制的必要性　　2.1 建立政府CIO体制是我国政府信息化的必然要求。　　在信息社会的今天，社会信息化、国家信息化成为各个国家的战略选择，在国家信息化体系中，政府信息化是关键。政府信息化是转变政府职能，构建精简、高效、规范廉洁政府以适应时代要求的有效途径。政府CIO职位的设立能促进政府部门信息化的主管领导专业化、知识化，能保证政府信息化的实施效果。因为，首先他们具有公共服务管理的理念，是政府职能转变的带头人；其次他们还具有很强的组织协调能力，是政府信息化不可缺少的组织者和推动者。　　2.2 建立政府CIO体制是政府各项工作与国际接轨的迫切要求。　　我国加入WTO之后，各方面的工作都面临着与国际接轨的要求。政府的各项工作、服务也同样要与国际接轨，要与其他国家和地区的政府、企业进行合作和协调。因此，这就要求我国政府积极建立起能够适应快捷、高效的国际交流需要的电子政府，而政府CIO职位及其相应部门是这一体系的重要基本单元。　　2.3 建立政府CIO体制是政府改善和提高公共服务职能的必然要求。　　信息社会的到来，信息成为人们的第一需要，是最为宝贵的资源。而80%的社会信息掌握在政府手中。政府作为公共服务的提供者，必须为社会公众提供充分的获取信息的机会和渠道。而这些服务职能的实现要求政府有一个负责该领域的专门职位即CIO。　　2.4 建立政府CIO体制是政府实现信息资源共享，提高行政效率、降低行政成本的必然选择。　　政府信息化的最终目的是提高政府工作效率，而有效地实现信息资源共享是提高政府工作效率的一个重要条件。政府CIO主要职责是协调各部门之间的行动，并推动各部门大力开展政务信息化建设和信息资源共享。使各部门之间互连互动。这样，一方面使得各个部门都能够随时享用其他部门的有效资源，从而提高行政效率、降低行政成本；另一方面，更重要的是使得社会公众参与到政府信息化的行动中来，并从信息共享中得到实惠。　　三、我国政府CIO发展状况与障碍分析　　3.1 我国政府CIO发展状况　　CIO的概念开始进入中国并引起人们的关注是在1998年前后，但至今尚未建立起完善的CIO体制。但随着中国社会主义市场经济体制的逐步确立，特别是中国社会、经济的快速发展，我们越来越注意到CIO在信息社会中的重要地位。　　2002年6月7—8日，为推进我国信息主管机制（CIO）的建立与完善，中国信息协会、中国信息协会CIO分会在北京召开了第一次以人为本的“首届中国CIO发展论坛”。这次会议的召开充分表明了我国政府主管部门和理论界对CIO制度的充分重视，同时，这次论坛也使得CIO理念及其影响更加深远。　　近年来，我国有些政府部门建立了CIO制度，取得了积极的效果。但总体而言，目前我国还没有完全意义上的政府CIO，我国现存的政府CIO大致可分为以下几种类型：团队类型的信息化领导小组；准CIO类型的信息办主任、信息中心主任等；兼职CIO的兼管信息化的兼职副手及主要分管信息化的领导干部等。专职的、参与决策的、有协调权力的政府CIO制度在我国还尚未建立起来。　　3.2 建立政府CIO体制的阻碍因素　　3.2.1 我国现有的体制障碍　　在我国，多数政府的信息化工作直接由主管信息工作的领导负责，实行“信息化工作领导小组+信息技术处(科或信息中心)”的模式。这是因为，在我国现有的体制下，工作中没有高层领导的参与，信息化工作无法正常推进。此时，高层领导处于决策层，但他们考虑问题往往较为宏观，而对于具体的技术不太熟悉。于是，信息化建设的重任实际上就落在了那些准CIO们——信息技术处(科或信息中心)——的肩上。而他们实际上只是一个负责信息技术部门的中层领导，他们发挥的职能还只是停留在技术层面，因为他们的行政级别较低，无权参与领导层决策，在规划和指导层面上缺乏权威性，也没有对其他部门和全局性工作的有效管理手段。这与作为主管信息工作的高层领导的CIO职权要求相差甚多。　　3.2.2 各部门之间的利益冲突　　政府信息化的目的就是通过技术手段对资源和各部门进行约束实现对各部门各种资源的整合。在信息化过程中，有些部门会把他们所掌握的信息视为自己的权力保障，并设法垄断信息，阻碍信息的正常流通。他们担心在资源整合的过程中会对他们的既得利益构成威胁，因而产生抵触、消极的情绪，认为过多地向社会提供信息会使部门工作陷入被动，可能会以信息安全为由拒绝向社会公开相关信息。　　3.2.3 缺乏有效的绩效机制　　随着信息经济的快速发展，拥有了CIO机制，如何建立一套完善的绩效考核和评价系统是一项非常重要的任务。这一点在企业中做的比较好，而在政府机关，至今仍然没有一套科学的信息资源规划体系与相应的决策流程。于是，在实践中经常会出现“信息化黑洞”、“信息孤岛”、“低水平重复建设”等现象。　　3.2.4 CIO自身素质和能力的局限　　正如前文所述，政府CIO应该是一个复合型的人才，他们不仅需要具备领导能力，还要有扎实的技术背景，对政府的业务及流程相当熟悉；除了拥有信息技术方面的专业知识外，还要拥有丰富的现代化管理知识，熟悉本单位的业务处理及其管理流程。但由于历史与现实的原因，我国政府CIO大多是由信息技术人员出身，信息技术的飞速发展和政府管理改革的不断更新，加之缺乏持续性、有计划、成体系的能力素质培训支持，他们普遍存在技术脱节和知识结构老化的问题。因此，我国现有政府CIO的综合素质和能力与严格意义上的CIO素质和能力要求还有很大距离。设置CIO这一职位的中国企业数量少,中国企业的领导人也不将CIO视作企业经营战略的一部分。CIO不易将创新想法传递给公司最高决策者。他们的想法和意见不能有效地得以表达和传递。企业的决策者们必须意识到，技术不仅仅是让电灯亮着，让电子表格排列整齐，它还能够留住客户，使股东们开心。中国CIO需要掌握一定的商业技能，CIO必须走出办公室，与客户促膝交谈，耐心倾听客户的意见，发掘革新技术，将客户数据实时传送到企业更多的角落，让更多的人参与到客户方案制订中来。这无疑将加强CIO在企业中的地位和作用。原来CIO只负责网络连接和服务器维护之类的事务，但现在，却要去关心如何使客户保持品牌忠诚度和客户怎样选择产品。

程序员是最低级的编程者。你不能胜任他，就别学编程了。囧~MFC？学这个，不如看VCL，那个更快，跟vb擦不多。要真想好好学，就学Win32API吧；简易的WEB浏览器和防火墙；WEB浏览器你说的是内核吧，那个量可大了。。。要是一个用ACtiveX的浏览器就行了，那很简单。防火墙,简单的防火墙很简单。但是，防火墙需要有入侵检查，这个很复杂，您做的你自己觉得谁会用？你可以看一些别人的代码，自己在网上找，那两个的。给你个建议，实际一点，编一个类似**的就好。ps：这里不是你的问题的地方，去csdn问。

2019年中国金融科技行业市场现状及发展前景分析 未来十大发展趋势分析2019年中国金融科技行业发展概况分析《经济参考报》3月26日刊发题为《机构加速抢滩布局金融科技》的报道。文章称，随着金融与科技的深度融合，金融科技正跃上新风口。一方面，银行等传统金融机构不断加注金融科技砝码。邮储银行、农业银行等多家金融机构近日召开了金融科技专场校园招聘，2019年将在金融科技领域加大研发投入。另一方面，互联网系的金融科技公司快速崛起，腾讯、360金融、乐信等多家巨头近日发布的业绩报告显示，2018年金融科技收入增长迅猛，其中360金融2018年净收入同比增长464%。同时，传统金融机构与科技公司的“跨界合作”也愈加紧密，金融科技发展生态正在形成。业内专家表示，金融科技的发展将提高金融运行效率，为民企融资、金融防风险带来新的环境，但同时也为金融监管带来了新的挑战。根据监管层近期密集释放的信号，金融科技将获更大力度政策支持，金融科技监管也将同步趋严。未来中国金融科技营收规模将接近2万亿据前瞻产业研究院发布的《中国科技金融服务深度调研与投资战略规划分析报告》统计数据显示，2013年中国金融科技营收规模仅仅达695.1亿元。之后呈现高速增长状态，2016年以来，我国互联网金融正逐渐从用户流量驱动向金融科技驱动转型。虽然目前我国金融科技仍处于发展初期，但是我国尚未成熟的金融市场给予了金融科技快速发展的土壤。截止至2017年我国金融科技企业的营收总规模达到6541亿元左右，同比增速55.2%。根据前瞻产业研究院测算：2018年，我国金融科技企业的营收总规模达到9698.8亿元，同比增速48.3%。前瞻认为，目前金融科技服务于金融机构，更偏向实际金融业务的后端，并不是金融产业链中利润最丰厚的一环，因此短时间内金融科技营收规模很难迎来爆发式增长，或将继续保持这样的增速稳定增长。并预测在2020年中国金融科技营收规模将达19704.9亿元。2013-2020年中国金融科技营收规模统计及增长情况预测数据来源：前瞻产业研究院整理未来中国金融科技十大发展趋势分析云计算、大数据、人工智能和区块链等新兴技术与金融业务不断融合，科技对于金融的作用被不断强化，在政策的大力支持下，金融机构、科技企业对金融科技的投入力度持续加大，数据价值持续不断的体现并释放出来，金融业务环节的应用场景更加丰富，金融解决方案创新推陈出新。开发银行、无人银行、资产证券化、数字票据、不良资产处置等方面业务在科技的赋能下由概念逐步变为现实，随着第五代移动通信技术(5G)、量子计算等前沿技术由概念阶段到实际应用，金融作为最先拥抱技术的领域，也会摩擦出新的火花。未来，金融科技发展趋势体现在十个方面：1、开放银行开放银行是银行通过开放应用编程接口(API)对外开放服务。即指银行把自己的金融服务，通过开放平台(OpenAPI)等技术方式开放给外部客户(企业或个人)，客户可以通过调用API来使用银行的服务，而不需要直接面向银行。银行通过API的开放开展跨界融合，实现银行与银行、银行与非银金融机构、银行与跨界企业间的数据共享与场景融合，极大拓展了银行服务的生态。开放银行成为近年来国内外银行转型的新浪潮。“开放银行”概念起源于英国，2018年1月英国9家银行共享数据，首次落地开放银行理念。2018年7月，浦发银行在北京率先发布“APIBank”无界开放银行，标志着国内“开放银行”的首家落地。随后，工商银行、建设银行、招商银行、兴业银行、光大银行等纷纷展开探索，通过开放API, 实现金融和生活场景的链接。以API Bank为代表的开放银行4.0时代即将到来。未来，银行的商业模式将从B2C变为B2B2C，服务标准也将从标准NPS升级为整合型NPS。随着金融服务嵌入生活与生产的方方面面，“场景在前，金融在后”的跨界生态圈将成为主流。虽然目前开放银行应用仍处于早期阶段，但未来，银行的账户功能、支付功能、理财产品、贷款产品等将势必形成标准化的API集中输出，成为打通跨界生态的接口。2、无人银行无人银行是指通过科技手段减免传统银行的人力使用。通过运用生物识别、语音识别、数据挖掘、人工智能、VR、AR、全息投影等科技手段，替代传统银行的柜员、大堂经理、引导员等岗位，为客户提供全自助式的智能银行服务。银行人力减少是目前大势所趋。目前大部分银行都实现了人力的部分替代，少数银行试点几乎实现了厅店全替代。至2018年5月28日，我国银行物理网点共退出4591家，从2017年下半年开始银行退出网点数目同比增速平均是55%。截至2018年6月底，四大行员工数与2017年底相比，减少已超过3.2万人。短期内无人银行将仍处在试点阶段。目前建设银行已经开启了无人银行试点，通过更高效率的智能柜员机替代柜员、保安、大堂经理，刷脸刷身份证替代人工验证的方式，覆盖90%以上现金及非现金业务。尽管无人银行为银行网点转型打开探索新路径，但目前银行业务还难以实现百分之百无人化，例如需要安排保安值班;客户在智能终端上开卡、汇款时，出于安全风险考虑，也会安排工作人员现场服务。因此未来的一段时间内，无人银行仍将作为探索性的试点存在。3、量子计算与金融量子计算是一种遵循量子力学规律的新型计算模式。普通计算机使用比特(bit) 中0与1的两种状态存储数据，而量子计算机的存储单位量子比特，除0和1外， 同时还可以实现多个状态的相干叠加态。 所以， 基于量子计算的量子计算机就可以通过控制原子或小分子的状态，记录和运算信息，其存储和运算速度都能远远超越传统通用计算机。例如使用超级计算机分解一个400位的数字，需要60万年，而用量子计算机只需要几小时甚至几十分钟。量子计算的应用能极大提升金融服务效率。量子计算由于其超强大的计算能力，可应用于在金融业多个方面。例如金融高频交易，利用算法根据预先设定好的交易策略自动执行股票交易，在达到相同结果的前提下，量子计算比传统计算机的速度要快得多。再比如诈骗检测，利用量子计算机的快速学习的特点，能大大加速神经网络学习速度，迅速打击新兴的诈骗方式。量子计算也可能会为金融业带来巨大风险。量子计算在计算速度上的飞跃式提升，也可能会对现有金融体系带来威胁。例如目前正在使用的许多公钥密码系统，在量子计算极大的计算性能下，很有可能会遭到破解，这些将严重影响互联网及各地数字通信的保密性和完整性，对现有的安全系统和管理机制造成大范围和系统性的破坏。因此，在量子计算机瓦解当前密码体系并实现商业化之前，必须建立量子安全解决方案形成安全的过渡。4、5G与金融5G是第五代移动通信技术，是4G之后的延伸。5G概念由标志性能力指标“Gbps用户体验速率”和一组关键技术组成。5G技术创新主要来源于无线技术和网络技术两方面。在无线技术领域，大规模天线阵列、超密集组网、新型多址和全频谱接入等技术已成为业界关注的焦点;在网络技术领域，基于软件定义网络(SDN)和网络功能虚拟化(NFV)的新型网络架构已取得广泛共识。5G将进一步优化金融服务，实现金融场景的再造，为金融行业注入新的生机。5G技术的热点高容量场景，将为用户提供极高的数据传输速率，满足网络极高的流量密度需求，该技术场景将有效提升移动端金融服务的速率，减少因网络延迟造成的支付卡顿等情况，同时速率的提升也有助于通过AR/VR技术进一步丰富支付模式，提供更加真实的场景体验;5G技术的连续广域覆盖场景还可有助于银行无人网点的部署，通过AR/VR技术将金融服务带到此前网点无法覆盖的偏远地区，实现普惠金融服务。此外，5G面向物联网业务的低功耗大连接和低时延高可靠场景还将通过实现万物互联，获取海量、多维度、相关联的人、物、企业数据，进一步优化供应链金融、信用评估、资产管理等相关金融服务，实现丰富场景的探索。5G及相关产业的发展带来广阔投资空间，引发金融高度关注。5G一方面提供更快的速率和更高的带宽，促进移动互联网进一步的蓬勃发展和人机交互新模式的创新，另一方面还将实现机器通信，千亿量级的设备将接入5G网络。5G还将与云计算、人工智能、AR/VR、无人驾驶等技术相结合在车联网、物联网、工业互联网、移动医疗、金融等领域带来更加丰富的应用场景，此外，5G网络还将是能力开放的网络，通过与行业的结合，运营商将构建以其为核心的开放业务生态，拓展新的业务收入模式，目前中国移动已经联合战略伙伴打造了百亿级规模的5G投资基金，国内外险资、券商、阳光私募、风投等众多机构，也早在2017年成立了数十支5G产业专项投资基金，未来5G及相关产业将持续引发金融高度关注。5、移动金融安全移动金融指的是使用移动智能终端及无线互联技术处理金融企业内部管理及对外产品服务的解决方案的总称，移动金融安全指的是移动金融业务开展过程中的安全。当前移动智能终端的普及加速了金融信息化建设，越来越多的金融服务向移动化逐步转型。移动金融丰富了金融服务的渠道，为金融产品和服务模式的创新、普惠金融的发展提供了有效途径。央行印发《关于推动移动金融技术创新健康发展的指导意见》将“安全可控”作为移动金融的健康发展的重要原则之一，强调了移动金融安全的对于移动金融技术创新发展的保驾护航的地位。移动金融在创新与安全的博弈中发展，安全问题愈发引起重视。随着金融产业的发展，金融行业移动应用日渐成为金融服务及产品的重要支撑手段，移动金融未来将继续在规模和创新上发展。金融科技快速发展给移动金融带来了无限生机，但同时也滋生了诸多风险。移动金融应用中频发木马病毒、支付安全、敏感信息泄露、身份认证绕过、仿冒等安全问题，引发了监管部门乃至社会的广泛关注，移动金融安全成为金融创新发展中至关重要的保障。个人信息安全是移动金融安全的重中之重。近年来，移动互联网应用程序(APP)越界获取用户隐私权限、超范围收集个人信息的现象频发。移动金融应用中隐私窃取类恶意应用占比最高，用户个人信息受到极大威胁。为保障个人信息安全，维护网民合法权益，中央网信办、工业和信息化部、公安部、市场监管总局开展“App违法违规收集使用个人信息专项治理”，加强个人信息保护，推动移动信息安全建设。生物特征识别兼顾安全与便捷，成为移动金融安全关注的热点。目前，生物特征识别技术已经基本成为移动智能终端的标准配置，逐渐成为了金融业务中新型用户身份核实和认证的发展方向。中国人民银行于2018年10月颁布金融行业首个生物识别技术标准《移动金融基于声纹识别的安全应用技术规范》，将安全性和个人隐私保护摆到了突出位置，规范如声纹等生物特征识别的安全应用。6、数字票据数字票据是一种将区块链技术与电子票据进行融合，实现自动安全交易的新型票据。数字票据借助区块链具有分布式账本、去中心化、集体维护、信息不可篡改等特点，使数字票据更具安全性和信息公开性，更加智能交易，更加便捷使用。数字票据可以实现全程高效真实的信息传递，全程自动化交易，以及交易过程全程追踪，提高用户隐私保护。区块链具有点对点传输，采用去中心化的信任机制的优势，保证数字票据的数据安全性、完整性和不可篡改性。数字票据利用区块链提供可编程的智能合约，实现票据的自动抵押、清付和偿还，避免交易风险。并且，所有交易都被记录在完整的“时间链”上，一旦有违约行为发生，可以追溯其责任，并且通过隐私保护算法保护参与者隐私，可实现参与者在区块链上的匿名性。上海票据交易所数字票据实验性生产系统成功上线，工行中行浦发等银行参与其中。数字票据交易平台实验性生产系统已在2018年1月25日成功上线试运行，工商银行、中国银行、浦发银行和杭州银行在数字票据交易平台实验性生产系统顺利完成基于区块链技术的数字票据签发、承兑、贴现和转贴现业务。数字票据交易平台实验性生产系统结合区块链技术和票据业务实际情况，对前期数字票据交易平台原型系统进行了全方位的改造和完善，使结算方式更加创新，业务功能更加完善，系统性能不断提高，安全防护不断加强，隐私保护更加优化，实现实时监控管理。7、数字资产证券化数字资产证券化是将数字资产转化为证券的过程。将域名、商标、品牌、数字货币、游戏装备、账户号码等相关缺乏市场流动性的数字资产，转换为在金融市场上可以自由买卖的证券的行为。数字资产证券化目的在于获取融资，以最大化提高资产的流动性。数字资产是文化产业的创新蓝海，是互联网+文化产业的新业态，是“文化互联网+”的文化大产业下的商业模式创新。域名、商标等数字资产缺乏市场流动性，通过数字资产证券化，有效打破刚性兑付，有效盘活巨大的金融资产和社会的存量资产，能把缺乏流动性但有收益性的数字资产设计成证券化产品卖出去，收回现金，提高流动性，进而获得融资。数字资产证券化是区块链的最佳实践场景。我国央行货币研究所也在不断探索数字资产证券化区块链平台，借助区块链的分布式数据储存、去中心化的特点，保证了以及底层数字资产数据真实性，且不可纂改，降低了信息不对称性，增强了信息的透明及可靠程度，有效解决了机构间费时费力的对账清算问题，降低数字资产的融资成本，提高融资效率。8、消费金融消费金融是为满足消费者具体消费需求的现代金融服务方式。是金融机构向消费者提供用于购买装修、旅游、电子产品、教育、婚庆等具体的消费需求的个人消费贷款服务。除银行提供的贷款服务外，接触较多的消费金融服务有京东金融的“京东白条”、蚂蚁金服的“花呗”、苏宁的“任性付”等以及被大众接受的P2P小额理财服务。根据银监会发布的《消费金融公司试点管理办法》中定义，消费贷款是指消费金融公司向借款人发放的以消费(不包括购买房屋和汽车)为目的的贷款。未来中国消费金融行业迎来巨大发展空间。2018 年，国家出台了多项鼓励消费金融发展的政策。特别提到“加快消费信贷管理模式和产品创新、不断提升消费金融服务的质量和效率。“作为消费主体的80、90后，更愿意通过借贷的方式满足产品购买需求。同时，随着消费金融规模的不断扩大，消费金融会向二三线城市下沉，各类金融应用场景需求增多。金融科技助力消费金融产品创新和风控体系建设。目前， 我国消费金融存在监管机制有待完善、企业产品创新不足、风险防控体系不健全等问题。金融科技的发展为消费金融开发的产品应用场景，提升消费者体验，激活和拓展市场空间;同时，利用金融科技建立构建完善的风控运营体系，解决消费金融面临的征信记录缺失、运营经验缺乏，降本增效。在科技的驱动下，消费金融将不断提升风险防控能力，不断提升运营能力与科技创新能力，科技驱动下的产品创新和风控体系的建立将为消费金融迎来更大的发展空间。9、智能客服智能客服可以显著提高金融服务效率。智能客服系统是利用机器学习、语音识别和自然语言处理等人工智能技术，处理金融客户服务中重复率高、难度较低且对服务效率要求较高的事务，如服务引导、业务查询、业务办理以及客户投诉等业务。目前应用的智能客服场景有智能客服机器人、智能语音导航、智能营销催收机器人、智能辅助和智能质检等。金融机构及互联网企业都在加大智能客服的探索和应用。金融机构在线上线下对智能客服系统应用广泛，网站、App客户端等线上智能客服服务系统能够实现自动理解客户问题并进行解答和办理简单业务。在线下网点的智能化进程加速，逐步推广无人银行，智能机器人、智慧柜员机、VTM机、外汇兑换机等大量智能自主终端，大幅减少人工服务成本，使客户获得更满意和周到的服务体验。同时，互联网企业在智能机器人方面的研发投入力度不断加大，为这些金融客户提供个性化的智能客户服务。智能客服系统逐渐渗透到金融业务的售前、售中、售后全流程。目前，智能客服系统已经能够代替人工客服为客户解决许多简单、重复的问题，为金融机构节约了大量的人工成本。随着社会的发展，客户对服务的及时性、移动性、多渠道性提出的要求，智能客服的应用为金融机构留住客户，提供全天候及时、便捷的服务，增强客户粘性。在智能客服的应用过程中，大量用户数据通过智能客服积累和沉淀下来，为精准营销和业务流程优化提供参考。同时，智能客服系统利用大量完备的用户数据，逐渐承担起售前、售中、售后全流程的金融业务。10、不良资产处置的科技运用科技带来不良资产处置方式创新发展。不良资产可分为股权类资产、债券类资产和实物类资产。不良资产处置有破产清算、拍卖、招标、协议转让、折扣变现，以及债转股、债务重组、资产证券化、资产重组、实物资产出租、实物资产投资等方式。近年来，随着云计算、大数据、人工智能、区块链技术的发展应用，出现了以互联网为基础的创新处置模式，如不良资产综合处置平台，众筹投资、撮合催收等。经济新常态背景下对不良资产处置任务艰巨。不良资产率的持续攀升，政府鼓励不良资产处置的市场化。据银保监会称，2018年中国商业银行的不良贷款率为1.89%，为10年新高，截至12月底，商业银行不良贷款总额为2万亿元。 在经济新常态下，风险和各种不确定因素增多，对不良资产处置的效率和处置效益提出更高的要求。近年来，银行机构、资产管理公司等纷纷与互联网企业合作，通过网络平台模式进行不良资产的拍卖，涉及股权、债权和各种实物抵押物，取得良好效果。金融科技已经在多个环节开发实际应用场景。科技运用可以快速发现资产价值，减少错配情况的发生，同时，可以显著提高信息互通，提升效率，提高不良资产处置回收率。目前金融科技已经在多个环节开发应用场景。如在运用自然语言处理和机器学习技术优化催收策略，同时，实现催收业务流程自动化，缩短处置的时间周期;通过大数据分析实现信用风险的精准定价;区块链分布式记账解决信用机制、信息不对称等问题，优化不良资产证券化流程，缩短处置周期，保证信息的真实有效性。