第一篇：論計算機網(wǎng)絡的安全性設計

論計算機網(wǎng)絡的安全性設計

? 本文將介紹我在網(wǎng)絡安全性和保密性方面所采取的一些方法和策略，主要包括網(wǎng)絡安全隔離、網(wǎng)絡邊界安全控制、交叉病毒防治、集中網(wǎng)絡安全管理等，同時分析了因投入資金有限，我公司網(wǎng)絡目前仍存在的一些問題或不足，并提出了一些改進辦法。

摘要：

我在一家證券公司信息技術部門工作，我公司在2002年建成了與各公司總部及營業(yè)網(wǎng)點的企業(yè)網(wǎng)絡，并已先后在企業(yè)網(wǎng)絡上建設了交易系統(tǒng)、辦公系統(tǒng)，并開通了互聯(lián)網(wǎng)應用。因?qū)Π踩蟛煌?、安全可信度不同的各種應用運行在同一網(wǎng)絡上，給黑客的攻擊、病毒的蔓延打開了方便之門，給我公司的網(wǎng)絡安全造成了很大的威脅。

作為信息技術中心部門經(jīng)理及項目負責人，我在資金投入不足的前提下，充分利用現(xiàn)有條件及成熟技術，對公司網(wǎng)絡進行了全面細致的規(guī)劃，使改造后的網(wǎng)絡安全級別大大提高。本文將介紹我在網(wǎng)絡安全性和保密性方面采取的一些方法和策略，主要包括網(wǎng)絡安全隔離、網(wǎng)絡邊界安全控制、交叉病毒防治、集中網(wǎng)絡安全管理等，同時分析了因投入資金有限，針對我公司網(wǎng)絡目前仍存在的一些問題或不足，提出一些改進辦法。

正文：

我在一家證券公司工作，公司在2002年就建成了與各公司總部及營業(yè)網(wǎng)點的企業(yè)網(wǎng)絡，隨著公司業(yè)務的不斷拓展，公司先后建設了集中報盤系統(tǒng)、網(wǎng)上交易系統(tǒng)、OA、財務系統(tǒng)、總部監(jiān)控系統(tǒng)等等，為了保證各業(yè)務正常開展，特別是為了確保證券交易業(yè)務平臺的實時高效，公司已于2008年已經(jīng)將中心至各營業(yè)部的通訊鏈路由初建時的主鏈路2M的DDN和備份鏈路128K ISDN，擴建成鏈路為10M 光纜作為主鏈路和2M的DDN作為備鏈路，實現(xiàn)了通訊線路及關鍵網(wǎng)絡設備的冗余，較好地保證了公司業(yè)務的需要。并且隨著網(wǎng)上交易系統(tǒng)的建設和網(wǎng)上辦公的需要，公司企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間建起了橋梁。

改造前，應用系統(tǒng)在用戶認證及加密傳輸方面采取了相應措施，如集中交易在進行身份確認后信息采用了Blowfish 128位加密技術，網(wǎng)上交易運用了對稱加密和非對稱加密相結(jié)合的方法進行身份認證和數(shù)據(jù)傳輸加密，但公司辦公系統(tǒng)、交易系統(tǒng)、互聯(lián)網(wǎng)應用之間沒有進行安全隔離，只在互聯(lián)網(wǎng)入口安裝了防火墻，給黑客的攻擊、病毒的蔓延打開了方便之門。

作為公司信息技術中心運保部經(jīng)理，系統(tǒng)安全一直是困擾著我的話題，特別是隨著公司集中報盤系統(tǒng)、網(wǎng)上交易系統(tǒng)的建設，以及網(wǎng)上辦公需要，網(wǎng)絡安全系統(tǒng)的建設更顯得猶為迫切。但公司考慮到目前證券市場疲軟，競爭十分激烈，公司暫時不打算投入較大資金來建設安全系統(tǒng)。

作為部門經(jīng)理及項目負責人，我在投入較少資金的前提下，在公司可以容忍的風險級別和可以接受的成本之間作出了取舍，充分利用現(xiàn)有的條件及成熟的技術，對公司網(wǎng)絡進行了全面細致的規(guī)劃，并且最大限度地發(fā)揮管理功效，盡可能全方位地提高公司的網(wǎng)絡安全水平。在網(wǎng)絡安全性和保密性方面，我采用了以下技術和策略：

1、將企業(yè)網(wǎng)劃分成交易網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)應用網(wǎng)，進行網(wǎng)絡隔離。

2、在網(wǎng)絡邊界采取防火墻、存取控制、并口隔離等技術進行安全控制。

3、運用多版本的防病毒軟件對用戶系統(tǒng)交叉殺毒。

4、制定公司網(wǎng)絡安全管理辦法，進行網(wǎng)絡安全集中管理。

一、網(wǎng)絡安全隔離 為了達到網(wǎng)絡互相不受影響，最好的辦法是將網(wǎng)絡進行隔離，網(wǎng)絡隔離分為物理隔離和邏輯隔離，我主要是從系統(tǒng)的重要程度即安全等級考慮劃分合理的網(wǎng)絡安全邊界，使不同安全級別的網(wǎng)絡或信息媒介不能相互訪問或有控制的進行訪問。

針對我公司的網(wǎng)絡系統(tǒng)的應用特點把公司證券交易系統(tǒng)、業(yè)務辦公系統(tǒng)之間進行邏輯分離，劃分成交易子網(wǎng)和辦公子網(wǎng)，將互聯(lián)網(wǎng)應用與公司企業(yè)網(wǎng)之間進行物理隔離，形成獨立的互聯(lián)網(wǎng)應用子網(wǎng)。公司中心與各營業(yè)部之間建有兩套網(wǎng)絡，中心路由器是兩臺CISCO7206，營業(yè)部是兩臺CISCO2612，一條通訊鏈路是聯(lián)通10M光纜，一條是電信2M DDN，改造前兩套鏈路一主一備，為了充分利用網(wǎng)絡資源實現(xiàn)兩條鏈路的均衡負載和線路故障的無縫切換，子網(wǎng)的劃分采用VLAN 技術，并將中心端和營業(yè)部端的路由器分別采用兩組虛擬地址的HSRP技術，一組地址對應交易子網(wǎng)，一組地址對應辦公網(wǎng)絡，形成兩個邏輯上獨立的網(wǎng)絡。改造后原來一機兩用（需要同時訪問兩個網(wǎng)絡信息）的工作站采用雙硬盤網(wǎng)絡隔離卡的方法，在確保隔離的前提下實現(xiàn)雙網(wǎng)數(shù)據(jù)的安全交換。

二、網(wǎng)絡邊界安全控制

網(wǎng)絡安全的需求一方面要保護網(wǎng)絡不受破壞，另一方面要確保網(wǎng)絡服務的可用性。將網(wǎng)絡進行隔離后，為了能夠滿足網(wǎng)絡內(nèi)的授權(quán)用戶對相關子網(wǎng)資源的訪問，保證各業(yè)務不受影響，在各子網(wǎng)之間采取了不同的存取策略。

（1）互聯(lián)網(wǎng)與交易子網(wǎng)之間：為了保證網(wǎng)上交易業(yè)務的順利進行，互聯(lián)網(wǎng)與交易子網(wǎng)之間建有通訊鏈路，為了保證交易網(wǎng)不受互聯(lián)網(wǎng)影響，在互聯(lián)網(wǎng)與中心的專線之間安裝了NETSCREEN防火墻，并進行了以下控制：

a）只允許股民訪問網(wǎng)上交易相應地址的相應端口。

b）只允許信息技術中心的維護機地址PING、TELNET委托機和路由器。c）只允許行情發(fā)送機向行情主站上傳行情的端口。

d）其他服務及端口全部禁止。

并且在互聯(lián)網(wǎng)和交易網(wǎng)之間還采用了SSL并口隔離，進一步保證了交易網(wǎng)的安全。

（2）交易網(wǎng)和辦公網(wǎng)之間：對于辦公網(wǎng)與交易網(wǎng)之間的互訪，采用CISCO2501路由器進行雙向控制或有限訪問原則，使受控的子網(wǎng)或主機訪問權(quán)限和信息流向能得到有效控制，采用的策略主要是對具體IP進行IP地址與MAC地址的綁定。

（3）辦公子網(wǎng)與互聯(lián)網(wǎng)之間：采用H3C SecPath 500F硬件防火墻，并進行了以下控制：

a)允許中心上網(wǎng)的地址訪問互聯(lián)網(wǎng)的任何地址和任何端口。

b）允許股民訪問網(wǎng)上交易備份地址的8002端口。

c）允許短消息訪問公司郵件110、25端口，訪問電信SP的8001端口。d）其他的都禁止。

三、病毒防治

網(wǎng)絡病毒往往令人防不勝防，盡管對網(wǎng)絡進行網(wǎng)絡隔離，但網(wǎng)絡資源互防以及人為原因，病毒防治依然不可掉以輕心。因此，采用適當?shù)拇胧┓乐尾《荆沁M一步提高網(wǎng)絡安全的重要手段。我分別在不同子網(wǎng)上部署了能夠統(tǒng)一分發(fā)、集中管理的賽門鐵克SEP11.0網(wǎng)絡病毒防護軟件，并同時購置單機版的江民和瑞星防病毒軟件進行交叉殺毒；限制共享目錄及讀寫權(quán)限的使用；限制網(wǎng)上軟件的下載和禁用盜版軟件；軟盤數(shù)據(jù)和郵件先查毒后使用等等。

四、集中網(wǎng)絡安全管理

網(wǎng)絡安全的保障不能僅僅依靠安全設備，更重要的是要制定一個全方位的安全策略，在全網(wǎng)范圍內(nèi)實現(xiàn)統(tǒng)一集中的安全管理。在網(wǎng)絡安全改造完成后，我制訂了公司網(wǎng)絡安全管理辦法，主要措施如下：

1）多人負責原則，每一項與安全有關的活動，都必須有兩人或多人在場，并且一人操作一人復核。

2）任期有限原則，技術人員不定期地輪崗。

3）職責分離原則，非本崗人員不得掌握用戶、密碼等關鍵信息。

4）營業(yè)部進行網(wǎng)絡改造的方案必須經(jīng)過中心網(wǎng)絡安全小組審批后方可實施。

5）跨網(wǎng)互訪須綁定IP及MAC地址，增加互訪機器時須經(jīng)過中心批準并進行存取控制設置后方可運行。

6）及時升級系統(tǒng)軟件補丁，關閉不用的服務和端口等等。

保障網(wǎng)絡安全性與網(wǎng)絡服務效率永遠是一對矛盾體，在計算機應用日益廣泛的今天，要想網(wǎng)絡系統(tǒng)安全可靠，勢必會增加許多控制措施和安全設備，從而會或多或少的影響使用效率和使用方便性。如，我在互聯(lián)網(wǎng)和交易網(wǎng)之間設置了防火墻的前提下再進行了SSL并口隔離后，網(wǎng)上交易股民訪問交易網(wǎng)的并發(fā)人數(shù)達到一定量時就會出現(xiàn)延時現(xiàn)象，為了保證股民交易及時快捷，我只好采用增加通訊機的辦法來消除交易延時問題。

在進行網(wǎng)絡改造后，我公司的網(wǎng)絡安全級別大大提高。但我知道安全永遠只是一個相對概念，隨著計算機技術不斷進步，有關網(wǎng)絡安全的討論也將是一個無休無止的話題。審視改造后的網(wǎng)絡系統(tǒng)，我認為盡管我們在Internet的入口處部署了防火墻，有效阻擋了來自外部的攻擊，并且將網(wǎng)絡分成三個子網(wǎng)減少了各系統(tǒng)之間的影響，但在公司內(nèi)部的訪問控制以及入侵檢測等方面仍顯不足，如果將來公司投資允許，我將在以下幾方面加強：

1、在中心與營業(yè)部之間建立防火墻，通過訪問控制防止通過內(nèi)網(wǎng)的非法入侵。

2、中心與營業(yè)部之間的通訊，采用通過IP層加密構(gòu)建證券公司虛擬專用網(wǎng)（VPN），保證證券公司總部與各營業(yè)部之間信息傳輸?shù)臋C密性。

3、建立由入侵監(jiān)測系統(tǒng)、網(wǎng)絡掃描系統(tǒng)、上網(wǎng)行為管理設備、系統(tǒng)掃描系統(tǒng)、信息審計系統(tǒng)、集中身份識別系統(tǒng)等構(gòu)成的安全控制中心，作為公司網(wǎng)絡監(jiān)控預警系統(tǒng)。

4、進一步完善網(wǎng)絡安全管理制度，并加以落實和監(jiān)管。

第二篇：證券計算機網(wǎng)絡應用安全性分析

證券計算機網(wǎng)絡應用安全性分析

隨著計算機應用進入各行各業(yè)，人們的生活對計算機的依賴日趨加重。計算機在國民經(jīng)濟發(fā)展方面變得越來越重要。人們借助計算機網(wǎng)絡，計算機數(shù)據(jù)庫處理，計算機多媒體等前沿技術實現(xiàn)新型事務處理，新型業(yè)務管理及形形色色的生活應用。人對電腦系統(tǒng)的依賴將越來越強。越來越多的信息/數(shù)據(jù)被存入計算機，越來越多的應用集成在一起，越來越多的計算機連成網(wǎng)絡。技術的公開化/標準化為人們帶來了方便，也帶來了威脅。一旦電腦系統(tǒng)癱瘓，一旦數(shù)據(jù)被毀滅，網(wǎng)絡/通訊失靈；關鍵業(yè)務將出現(xiàn)混亂、停滯，甚至遭受毀滅性的打擊。

計算機的系統(tǒng)安全性、可靠性是人們審核一個計算機處理系統(tǒng)的優(yōu)劣的重要方面。人們只有確信計算機系統(tǒng)是安全的、可靠的，才肯將最機密、最關鍵的數(shù)據(jù)交給計算機網(wǎng)絡技術的發(fā)展，使計算機系統(tǒng)的協(xié)同處理能力迅速增強，也將對計算機安全防范的要求推到了一個全新的高度。

本文根據(jù)作者對證券行業(yè)計算機應用的了解和調(diào)查對證券公司營業(yè)部的計算機網(wǎng)絡安全進行了分析，對常見的一些技術問題給出詳細的說明，供證券業(yè)的開發(fā)商、系統(tǒng)集成商及證券營業(yè)部技術人員參考，促進并提高證券網(wǎng)絡應用的安全性。

1． 證券營業(yè)部的計算機網(wǎng)絡應用安全性現(xiàn)狀

證券交易是由計算機系統(tǒng)進行撮合、交易的，每個營業(yè)部的計算機網(wǎng)絡應用系統(tǒng)為股民提供如下的服務：

行情服務：根據(jù)從上海交易所和深圳交易所衛(wèi)星傳來的行情數(shù)據(jù)；為股民提供各種信息分析和決策支持服務，利用多元化的方式為股民創(chuàng)造好的信息環(huán)境。

交易服務：對注冊股民的股金進行協(xié)調(diào)管理，幫助/代理股民下單交易，按照股民的意愿完成股民的股票買賣操作，將股民的交易請求發(fā)送到交易所進行處理。

隨著證券行業(yè)的迅猛發(fā)展，多種計算機應用軟件不斷引入到證券網(wǎng)絡應用(例如家庭遠程炒股、Internet炒股、多應用合一等)，使得計算機應用服務日趨復雜；相對的，計算機系統(tǒng)的安全性威脅就更大！由于對核心數(shù)據(jù)訪問途徑增加，趨于復雜；可能留下的安全隱患就會越多越大。

一個典型的計算機劫客可以通過如下方式對證券計算機應用進行破壞：

1、干擾、破壞行情服務系統(tǒng)的正常運行。劫客可以放置假的行情數(shù)據(jù)以造成股民錯誤的投資傾向，甚至干脆破壞行情服務軟件系統(tǒng)，破壞營業(yè)部的聲譽。

2、偷竊、篡改注冊股民的注冊信息和資金信息，對股民的管理/數(shù)據(jù)信息進行修改；假冒客戶身份進行交易以達到其個人的目的，使股民/營業(yè)部遭受巨大的損失。

從最近的一些報道來看，有一些營業(yè)部已經(jīng)發(fā)生了計算機應用被外來人員破壞的事件，并造成極為惡劣的影響。目前，所有證券公司及其營業(yè)部都已經(jīng)注意到計算機安全技術涉及的范圍廣，以及各種計算機應用環(huán)境對安全方面的考慮不盡完善，使得目前證券業(yè)計算機應用存有較大的安全隱患的現(xiàn)狀。

但是，技術設計方面的不完善可以靠規(guī)范化的人員管理、規(guī)章制度等方面得到補足。正如軍隊需要嚴格的安全體制管理一樣，證券計算機應用的安全性可以通過嚴格的制度、規(guī)范的操作等途徑得到增強。技術/設計上的安全保護加上人員、操作上的嚴格管理，才可能將那些惡意的入侵者拒之門外，防患于未然。

2． 對證券營業(yè)部的計算機網(wǎng)絡應用安全性的深入分析和建議

營業(yè)部證券網(wǎng)絡的模式基本是相同的，即分為行情系統(tǒng)和交易柜面系統(tǒng)。一個典型的證券營業(yè)部的結(jié)構(gòu)如下：

證券業(yè)計算機網(wǎng)絡應用可分為兩類：一類是營業(yè)部柜面業(yè)務系統(tǒng)(以下簡稱柜面系統(tǒng))，用于對股民帳戶、資金、交易委托等方面進行綜合管理。這類系統(tǒng)由專門的證券應用開發(fā)商或營業(yè)部計算機應用人員開發(fā)，采用的平臺有NetWare下的Foxpro、Btrieve或基于SQL查詢的DBMS(如Sybase)。另一類應用是股票行情發(fā)布和行情分析系統(tǒng)(以下簡稱行情系統(tǒng))，用于為股民提供最新的股票價格信息(大屏)及對股票的歷史數(shù)據(jù)的分析(走勢圖)。這類應用由專業(yè)計算機開發(fā)商來開發(fā)，多采用基于NetWare的文件共享和網(wǎng)絡廣播信息包的方式。柜面系統(tǒng)有時也需要訪問行情服務器的數(shù)據(jù)。圖1簡單地表明了證券業(yè)應用的結(jié)構(gòu)方式。

在圖1中，S1是柜面服務器，運行NetWare網(wǎng)絡服務操作系統(tǒng)。S1中的數(shù)據(jù)可能是 Foxpro,Btrieve及Sybase等格式的數(shù)據(jù)。W1，W2是柜面應用工作站PC，采用相應的數(shù)據(jù)庫應用系統(tǒng)，完成儲戶帳戶維護，資金管理，股票買賣等工作。S2是行情服務器，運行NetWare操作系統(tǒng)；S2中存放由深交所及上交所傳來的原始數(shù)據(jù)(該數(shù)據(jù)由專門的接收站W(wǎng)r轉(zhuǎn)入，數(shù)據(jù)文件格式為Foxbase)及行情應用軟件的處理數(shù)據(jù)。Wt為行情數(shù)據(jù)轉(zhuǎn)換機，它將Wr存入S1的Foxbase數(shù)據(jù)讀出并加以轉(zhuǎn)換及分類處理，形成專門的行情數(shù)據(jù)，例如乾龍系統(tǒng)。同時Wt將某些行情更新信息以網(wǎng)絡廣播形式向外廣播。W3、W4為行情應用工作站，向股民開放。W3，W4通過接收Wt的行情更新數(shù)據(jù)和讀取服務器內(nèi)的行情歷史數(shù)據(jù)，加以分析加工，為用戶提供股票價格更新和“漲跌起伏曲線”等分析信息。

通常來說，營業(yè)部對股民服務采用無盤PC；利用DOS映象文件遠程啟動、上網(wǎng)和進行業(yè)務處理。同時營業(yè)部內(nèi)部采用有盤站和無盤站對網(wǎng)絡應用進行管理、監(jiān)控及內(nèi)部結(jié)算/處理。

本文將從下面幾個方面對證券網(wǎng)絡的結(jié)構(gòu)/模式進行分析并給出相應的建議。

1.布線系統(tǒng)，網(wǎng)絡布局。

2.網(wǎng)絡系統(tǒng)的管理。

3.應用系統(tǒng)的管理。

2.1 證券營業(yè)部的網(wǎng)絡布局和布線系統(tǒng)的安全性 從業(yè)務操作模式和網(wǎng)絡數(shù)據(jù)流動方式來看，應將證券營業(yè)部的網(wǎng)絡布局進行合理化分布，這樣做的好處是：

1、按應用用戶的種類分隔網(wǎng)絡數(shù)據(jù)的流動

2、便于應用的規(guī)劃、安全設置

3、網(wǎng)絡信息的分隔從根本上局限了入侵者的入侵位置

例如：營業(yè)大廳內(nèi)的普通用戶工作站多以“乾龍”行情顯示為主；將所有行情應用的工作站連到同一網(wǎng)段上有利于對行情應用的統(tǒng)一規(guī)劃，另外，在行情網(wǎng)段上的入侵者將無法截取其他系統(tǒng)(例如柜臺系統(tǒng))的信息；使其在行情網(wǎng)段上很難入侵到其他網(wǎng)絡應用。

建議按如下方式配置：

將行情、柜面應用分開，將功能簡單的、只做瀏覽/讀操作的行情應用單分到一起。

將業(yè)務服務網(wǎng)與內(nèi)部系統(tǒng)管理網(wǎng)分開。

網(wǎng)段的分隔不能用switch實現(xiàn)，可以用服務器多塊網(wǎng)卡或采用路由器實現(xiàn)。

有了布線系統(tǒng)的分隔，對網(wǎng)絡應用的高級配置就易于實現(xiàn)了。

例如：將應用編寫/設置成只能在相對應的IPX/IP網(wǎng)絡上運行，這樣限定了應用的使用范圍，可利用網(wǎng)絡系統(tǒng)管理軟件，限制不同網(wǎng)段上可登錄的用戶身份；應用程序也可以將程序限定只在某些網(wǎng)段上才可以運行。

2.2 通過網(wǎng)絡操作系統(tǒng)的安全管理加強系統(tǒng)及應用的安全性。

由于與交易所的數(shù)據(jù)交換是通過文件形式來操作的，因此，要嚴格地限制對存放這些關鍵數(shù)據(jù)的權(quán)限。例如限定專門用戶、專門的機器及專用的時間段才能合法登錄、訪問關鍵數(shù)據(jù)（這些選項在NetWare系統(tǒng)中，可以用NWADMIN的目錄管理工具實現(xiàn)）。

另外，NetWare4.11中提供了審計功能，你可以對關鍵用戶，關鍵數(shù)據(jù)文件進行審計核查；尤其是關鍵用戶帳戶及關鍵目錄由于審計記錄可以由唯一的專門的用戶帳戶進行管理（一個好的帳戶管理機制可以使網(wǎng)絡管理員帳戶〈ADMIN〉不能干預審計用戶的審計操作）。因此，可以由另外一個人掌管審計；由一個人掌管管理員帳戶。在NetWare4.x中ADMIN用戶可以被刪去/改名，通過對每個內(nèi)部維護工程人員分配獨自的帳戶，可以清楚地記錄每次關鍵操作。

作者接觸了一些證券營業(yè)部網(wǎng)絡應用的開發(fā)商、集成商及最終用戶，發(fā)現(xiàn)有如下技術問題有待及時解決。

用戶不加口令，采用批處理上網(wǎng)。

由于營業(yè)部內(nèi)有大量的無盤工作站，營業(yè)部工程師為簡便開機工程，一般對某些帳戶不設置口令而允許無盤站啟動時利用批處理自動注冊上網(wǎng)，自動啟動相應的應用程序，如“乾龍軟件”和“柜臺管理軟件”。如果權(quán)限設定有誤的話，一個入侵者可以中斷批處理，登錄上網(wǎng)，改變系統(tǒng)配置/數(shù)據(jù)文件（例如可以刪除/修改某些文件），甚至注入網(wǎng)絡病毒！這將直接損壞系統(tǒng)，因此應當對每個帳戶設置口令。如果需要自動啟動上網(wǎng)，可以編寫一些批處理或?qū)ｉT的應用程序完成帶口令登錄。

批處理程序可以被中斷

無盤站在啟動過程中，從NetWare服務器上獲取DOS環(huán)境啟動DOS，再運行批處理程序（含Login;login Script及其他DOS批處理）。由于DOS系統(tǒng)的特性，批處理可以被用戶鍵盤中斷，網(wǎng)絡數(shù)據(jù)很容易的裸現(xiàn)在用戶面前。一旦網(wǎng)絡權(quán)限或應用權(quán)限管理不充分/不準確，惡意的入侵者就可以修改網(wǎng)絡管理權(quán)限或修改應用程序/數(shù)據(jù)。要解決此類問題需要：

避免批處理被中斷（無盤站）

可以開發(fā)一個內(nèi)存駐留程序（驅(qū)動），截取相應的按鍵（例如Ctrl-C和Ctrl-break）,避免批處理程序被中斷。

要屏蔽DOS啟動前的按鍵（DOS啟動時可以按某些功能鍵，如F5或F8鍵），可以在Config.sys中加入：

SWITCHES = /N

此操作使DOS在啟動Config.sys之前不檢查F5、F8鍵的請求,從而限制了客戶不能中斷DOS的引導過程。

網(wǎng)絡軟件系統(tǒng)的版本：

網(wǎng)絡系統(tǒng)軟件有其自有的安全等級。目前許多用戶采用比較老的3.11和3.12系統(tǒng)，利用Bindery方式上網(wǎng)（Netx），這些系統(tǒng)并沒有加補最新的增補程序，存有一些安全漏洞。例如，入侵者可以偽裝成Supervisor的身份，輕易地進入網(wǎng)絡系統(tǒng)。另外，由于3.x系統(tǒng)的帳戶口號是基于服務器管理，多個NetWare 3.x系統(tǒng)需要重復創(chuàng)建多個帳戶/口令（一般而言，同名，同口令），為惡意入侵者留下更多的機會去獵取口令。NetWare 4.11采用NDS管理，多服務器可以采用一套用戶管理數(shù)據(jù)，簡化了用戶的管理，同時也在各方面彌補了在3.x中的安全漏洞。目前，NetWare 4.11達到了網(wǎng)絡C2安全驗證，能滿足用戶的安全要求。

另外，NetWare 4.11缺省狀態(tài)下開啟了Bindery仿真方式（是為了與原有的3.x客戶軟件/應用兼容），入侵者仍有可能利用Bindery 管理的弱點來攻擊網(wǎng)絡，因此，將客戶端的軟件升級到4.11的NDS登錄，將Bindery仿真關閉（或只在限定的OU或限定的服務器），這樣，有助于提高系統(tǒng)的安全性。

2.3 應用軟件的安全性

目前證券營業(yè)部的應用軟件可分為兩類，行情應用和柜面應用。從總的來講，行情應用相對來講對安全性的要求較低，而柜面業(yè)務由于涉及股民的股金管理及交易的金額處理，安全性便顯得非常重要。認為行情應用可以撒手不管是錯誤的，因為行情應用與整個應用系統(tǒng)有許多直接的聯(lián)系，對行情系統(tǒng)的破壞會波及整個應用系統(tǒng)的各個方面。例如：系統(tǒng)的用戶/口令，系統(tǒng)/用戶的配置文件，播種病毒??。惡意的用戶可以通過行情系統(tǒng)的入侵來設置各種陷阱，收集系統(tǒng)和用戶的信息，并依照這些信息輕易地破壞整個系統(tǒng)。

一般來說，對應用軟件的安全性應從以下幾個方面來考慮。

*應用軟件的安全體系設計

*應用軟件所基于的平臺/技術的安全

*防病毒能力

2.3.1 應用軟件的安全體系設計

應用軟件的設計是安全性因素中的最重要因素。它從應用系統(tǒng)的最高層保證系統(tǒng)的整體安全，一個好的設計可以修改/屏蔽/克服其他底層的安全威脅。例如，應用系統(tǒng)擁有自己的帳戶管理，數(shù)據(jù)加密，身份驗證和應用/數(shù)據(jù)維護。由于此類的設計通常牽涉的技術/產(chǎn)品的問題過多和過于復雜，因此應用軟件的設計在安全性的管理方面通常采用所依賴的軟件/技術平臺來幫助應用系統(tǒng)實現(xiàn)安全管理。例如，應用系統(tǒng)可以利用NDS所提供的安全管理手段完成其對用戶的身份驗證，NDS的可擴展特性允許應用程序?qū)梅矫鎸Ｓ械膶傩院凸芾矸绞角度氲絅DS的管理。由于利用NDS的層次性，面向目標及分布式的計算處理，應用系統(tǒng)除了可以很容易的達到高安全性以外還可以輕而易舉地實現(xiàn)大規(guī)模網(wǎng)絡，跨平臺應用及高可靠高容錯等特性。

在柜面交易系統(tǒng)中，每個股民的信息是存放在數(shù)據(jù)庫里的。目前，廣泛采用的數(shù)據(jù)庫平臺有以下幾種：

XBASE：沒有用戶管理，文件共享式訪問，對網(wǎng)絡系統(tǒng)的安全管理依賴嚴重，安全漏洞較多。

Btrieve: 無用戶管理，Client/Server,無身份驗證，對網(wǎng)絡系統(tǒng)的安全依賴嚴重，有安全漏洞。

基于SQL：查詢語言的數(shù)據(jù)庫：有數(shù)據(jù)庫自身的用戶管理，Client/Server訪問方式，安全漏洞較少。

在以上的幾種數(shù)據(jù)庫類型中，基于SQL語言的數(shù)據(jù)庫有其獨到的優(yōu)勢。在安全性方面，這類數(shù)據(jù)庫有自己的用戶管理機制，采用Client/Server結(jié)構(gòu)也使得客戶機只通過數(shù)據(jù)通信協(xié)議與數(shù)據(jù)庫打交道，這樣客戶機無法通過文件訪問的方法篡改應用數(shù)據(jù)，因而從一定意義上保證了網(wǎng)絡數(shù)據(jù)庫的安全。

另外，由于技術的原因，目前股民的帳戶信息是由應用開發(fā)商自行維護的。下面對典型的計算機處理和業(yè)務操作過程進行分析,闡明可能存在的安全隱患:

1、用戶的創(chuàng)建：用戶ID和口令字由應用軟件自行管理。

由應用程序自行管理股民的ID和口令字。由于帳戶的管理是一門很嚴謹?shù)南到y(tǒng)，一個好的安全帳戶管理系統(tǒng)需要很好的設計、實現(xiàn)與技術保障；如果系統(tǒng)的帳戶管理有欠缺則極容易被人破譯和入侵。Novell的安全管理可以幫助應用程序確認用戶的身份和口令，通過 NDS的擴展接口，應用程序可以達到令人滿意的安全等級。

2、用戶信息入庫：建立用戶信息（包括股金管理信息），存放在集中的數(shù)據(jù)庫里。

用戶信息存放在集中的數(shù)據(jù)庫里，這對用戶數(shù)據(jù)庫是一項挑戰(zhàn)，必須避免用戶直接訪問該數(shù)據(jù)的文件。對數(shù)據(jù)庫文件的任何惡性操作都會造成嚴重的傷害，應采取嚴格的文件權(quán)限管理，對所有操作記錄；同時應選擇更安全的數(shù)據(jù)庫系統(tǒng)，利用Client/Server或Client/Middle Server/Sever等多層結(jié)構(gòu)完成信息的處理。目前，NetWare ＋ Oracle 8是一個非常強健的安全的Client/Server系統(tǒng)，用戶可以用NDS登錄NetWare和Oracle，通過IPX或IP連接到Oracle數(shù)據(jù)庫

3、用戶操作：用戶提供了個人信息后（鍵盤、刷卡操作等），應用系統(tǒng)對用戶身份進行驗證，計算機進行下單操作。

用戶進行身份驗證，要保證該用戶身份密碼不被泄漏（這要求高級加密技術，例如RSA），也要保證用戶在操作過程中不被人侵權(quán)或假冒身份。目前有些證券應用系統(tǒng)對股民身份的驗證過程較簡單，股民操作對應的計算機用戶身份的防偽技術也較差，因此最容易使黑客進行攻擊。在NetWare4.1中，采用RSA技術進行公鑰加密身份驗證，對網(wǎng)絡上發(fā)出的信息包進行防偽識別，排除了此類入侵的可能性（注意，NetWare3.x沒有此類功能）。應用程序可以利用NDS的優(yōu)勢方便地實施其自身的身份驗證。例如，應用程序可以利用NDS的接口將股民的身份驗證轉(zhuǎn)給NDS系統(tǒng)；NDS身份驗證完成以后，應用程序就可以認可股民的身份，這些驗證操作將是安全的。

4、數(shù)據(jù)操作：數(shù)據(jù)庫應用軟件通過網(wǎng)絡計算（文件共享、Client/Server）等方式進行數(shù)據(jù)綜合。

數(shù)據(jù)通過網(wǎng)絡傳輸時，有可能被別人在網(wǎng)上偷聽。最好在應用程序里對要存放的數(shù)據(jù)進行加密，這樣網(wǎng)上偷聽/截取的將是一些廢碼。選擇的網(wǎng)絡工具要盡可能支持數(shù)據(jù)完整性驗證，在確保數(shù)據(jù)不被偷聽的同時，保證在網(wǎng)上的數(shù)據(jù)不被人篡改。

5、操作上傳：將用戶請求及數(shù)據(jù)上傳交易所（文件形式）。

上傳的數(shù)據(jù)是從柜面應用系統(tǒng)中對發(fā)生交易的數(shù)據(jù)信息進行總結(jié)形成的Foxbase格式的數(shù)據(jù)，該數(shù)據(jù)庫文件放在NetWare服務器上，作為隊列等待上傳，由專門的傳輸工作站從隊列里讀出，發(fā)送到交易所，最后再從隊列里清除該上傳數(shù)據(jù)。

因此，該Foxbase文件的創(chuàng)建，存放和清除都有可能被侵犯。一個不安全的網(wǎng)絡權(quán)限分配或一個受侵犯的NetWare服務器都有可能使入侵者有能力自行創(chuàng)建、存放、修改和復制所需上傳的隊列文件，一旦此文件傳至交易所并完成交易，股民、營業(yè)部都將會受到嚴重的損失。

為避免此類事件的發(fā)生，可以采取如下的技術手段：

修改數(shù)據(jù)上傳的格式；對要上傳的數(shù)據(jù)進行加密及完整性校驗信息，這樣能夠保證處理的正確性和防止欺騙。但這要求對整個信息處理模式進行改造，周期長，難度大。

嚴格限制網(wǎng)絡文件系統(tǒng)的權(quán)限。可以單獨設置網(wǎng)絡帳戶來處理該上傳隊列的文件，只有該帳戶可以讀寫此隊列目錄，并且只有有限的工作站（MAC地址）能夠以此帳戶登錄。

修改柜面系統(tǒng)的數(shù)據(jù)上傳處理流程，加入加密機制和數(shù)字簽名機制，縮小受侵犯的范圍。

6、操作驗證：交易所傳回的對用戶交易請求的處理結(jié)果。

此類數(shù)據(jù)為確認信息，入侵者可以篡改此信息造成系統(tǒng)的混亂。

病毒的防護：

計算機病毒是計算機系統(tǒng)安全的另一天敵，一個惡意的攻擊性病毒可以造成系統(tǒng)性能減退或造成系統(tǒng)癱瘓。更可怕的是一個計算機病毒可以竊取計算機系統(tǒng)的安全信息或潛伏在系統(tǒng)中“臥底”，隨時“出山”攻擊系統(tǒng)。

一個病毒可以從以下的方面攻擊：

通過鍵盤截取方法獲得口令字

偽裝成登錄程序/用戶界面，騙取用戶的口令

為入侵者做“內(nèi)應”，在安全性方面留“后門”

破壞系統(tǒng)程序，造成系統(tǒng)癱瘓

破壞應用程序,造成應用系統(tǒng)出錯

破壞數(shù)據(jù)、改變、增加或刪除數(shù)據(jù)信息，造成系統(tǒng)紊亂

增加網(wǎng)絡系統(tǒng)負擔，降低服務器/工作站性能，增加網(wǎng)絡流量

播放錯誤導向信息或其它錯誤信息，影響股民決策

從實際操作來看，一個病毒難以同時實現(xiàn)上述各項攻擊，但是，惡意的攻擊者可以利用多種攻擊工具，由淺入深，一步一步的實現(xiàn)對系統(tǒng)的攻擊。

嚴格周密的文件系統(tǒng)管理和權(quán)限管理能有效的防止病毒入侵。Novell公司提供了ManageWise網(wǎng)絡管理軟件，除了能對網(wǎng)絡進行全面的管理以外，還具有防病毒和殺病毒的功能。ManageWise可以在文件服務器上以NLM方式查找和刪除病毒，也提供了客戶機端的查病毒與殺病毒的程序。

第三篇：論當今計算機網(wǎng)絡安全問題

計算機網(wǎng)絡安全問題淺析

摘要：

隨著科技的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的各個領域之中，人們對計算機和網(wǎng)絡的應用和依賴程度愈來愈高，信息化的社會對互聯(lián)網(wǎng)的要求也越來越高，人們對計算機的使用，已不是簡單的運算，與此同時計算機網(wǎng)絡的問題也就凸現(xiàn)出來，計算機網(wǎng)絡安全問題，直接關系到一個國家的政治、軍事、經(jīng)濟等領域的安全和穩(wěn)定，因此，網(wǎng)絡安全是非常重要的問題，網(wǎng)絡安全問題成為了人們在使用計算機中越來越重視的問題。

關鍵詞：互聯(lián)網(wǎng) 計算機 網(wǎng)絡安全引言世紀的一些重要特征就是數(shù)字化、網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。網(wǎng)絡現(xiàn)已成為信息社會的命脈和發(fā)展知識經(jīng)濟的重要基礎。網(wǎng)絡是指“三網(wǎng)”，即電信網(wǎng)絡、有線電視網(wǎng)絡和計算機網(wǎng)絡。發(fā)展最快的并起到核心作用的是計算機網(wǎng)絡。因特網(wǎng)起源于美國現(xiàn)已發(fā)展成為世界上最大的國際性計算機互聯(lián)網(wǎng)，因特網(wǎng)又稱國際互聯(lián)網(wǎng)，是全球性的網(wǎng)絡，是一種公用信息的載體，是大眾傳媒的一種。具有快捷性、普及性，是現(xiàn)今最流行、最受歡迎的傳媒之一。這種大眾傳媒比以往的任何一種通訊媒體都要快。互聯(lián)網(wǎng)是由一些使用公用語言互相通信的計算機連接而成的網(wǎng)絡，即廣域網(wǎng)、局域網(wǎng)及單機按照一定的通訊協(xié)議組成的國際計算機網(wǎng)絡。

2計算機網(wǎng)絡安全

2.1 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)安全從其本質(zhì)上來講就是互聯(lián)網(wǎng)上的信息安全。從廣義來說，凡是涉及到互聯(lián)網(wǎng)上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域?；ヂ?lián)網(wǎng)安全是一門涉及計算機科學、網(wǎng)絡技術、通

信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使網(wǎng)絡系統(tǒng)在穩(wěn) 定性和可擴充性方面受到影響。網(wǎng)絡硬件的配置不協(xié)調(diào)主要表現(xiàn)為一是文件服務 器，它是網(wǎng)絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量；網(wǎng)絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而影響網(wǎng)絡的可靠性、擴充性和升級換代；二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定，許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員 濫用，從而給他人以可乘之機。資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者進行破壞提供了機會。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞，不合理的網(wǎng)絡設計會成為網(wǎng)絡安全的威脅。

2.2 計算機信息安全

信息系統(tǒng)安全的內(nèi)容應包括兩個方面：物理安全和邏輯安全。物理安全指系 統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括確保信息的 完整性、保密性和可用性。在計算機網(wǎng)絡中，根據(jù)國際標準化組織 ISO 的定義，信息系統(tǒng)安全就是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計 算機的硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)能 夠連續(xù)可靠正常地運行，信息服務不中斷。

2.2.1 計算機信息安全問題的成因

第一，電磁信號的輻射。目前網(wǎng)絡通信中常用的傳輸電纜以及計算機、網(wǎng)絡 設備都會因為電磁屏蔽不完善而通過電磁輻射向外泄露。第二，工作環(huán)境的安全 漏洞。包括自身的體系結(jié)構(gòu)問題、對特定網(wǎng)絡協(xié)議實現(xiàn)的錯誤以及系統(tǒng)開發(fā)過程 中遺留的后門和陷門。第三，人為的惡意攻擊。以各種方式有選擇地破壞信息的 有效性和完整性，對計算機網(wǎng)絡造成嚴重的危害，并導致機密數(shù)據(jù)的泄漏，這是 計算機網(wǎng)絡所面臨的最大威脅。第四，安全產(chǎn)品自身的問題。自身實現(xiàn)過程中的 安全漏洞或錯誤都將導致用戶內(nèi)部網(wǎng)絡安全防范機制的失效。第五，網(wǎng)絡軟件的 缺陷和漏洞。

2.2.2 網(wǎng)絡安全缺陷產(chǎn)生的原因

第一，TCP/IP 的脆弱性。由于 TCP/IP 協(xié)議是公布于眾的，如果人們對 TCP/IP 很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。第二，網(wǎng)絡結(jié)構(gòu)的不安全性。如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路 徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。人們普遍缺乏安全意識，使網(wǎng)絡中設置的安全保護屏 障形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的 PPP 連接從而避開了防火墻的保護。

3網(wǎng)絡安全的問題

3.1計算機網(wǎng)絡安全的威脅

網(wǎng)絡缺陷：正是由于 Internet 在全球范圍內(nèi)的普及，使其保護信息安全存在 先天不足，缺乏相應的安全監(jiān)督機制。黑客攻擊：現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。各種病毒：病毒時時刻刻威脅著整個互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡的各個 環(huán)節(jié)考慮對于各種病毒的檢測防治。管理的欠缺及資源濫用：很多上互聯(lián)網(wǎng)的企業(yè)在管理上存在漏洞，對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，降低了員工的工作效率，這是造成網(wǎng)絡安全問題的根本原因。信息泄露：惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、集體和個人利益。

3.2 計算機網(wǎng)絡安全問題

計算機網(wǎng)絡受攻擊主要有六種形式：①內(nèi)部竊密和破壞。②截收信息。③非法訪問。④利用 TCP/IP 協(xié)議上的某些不安全因素進行APR欺騙和IP欺騙攻擊。⑤病毒破壞。⑥其 它網(wǎng)絡攻擊方式。目前網(wǎng)絡環(huán)境中廣泛采用的TCP/IP協(xié)議，因為其開放性，故其本身就意味著一種安全風險。由于大量重要的應用程序都以TCP作為 它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡帶來嚴重的后果。網(wǎng)絡結(jié)構(gòu)的安全問題?；ヂ?lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進行加密，因此黑客利 用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行破解，這就是互聯(lián)網(wǎng)所 固有的安全隱患。系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全 問題，因為對于防火墻來說，該入侵行為的訪問過程和正常的Web訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。4 計算機網(wǎng)絡安全防范

4.1 安全技術手段 物理措施：例如，保護網(wǎng)絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網(wǎng)絡安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡設備配置的權(quán)限，等等。

數(shù)據(jù)加密：加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡病毒，安裝網(wǎng)絡防病毒系統(tǒng)。

其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術和防火墻技術等。數(shù)據(jù)加密是對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密，到達目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網(wǎng)絡的隔離和限制訪問等方法來控制網(wǎng)絡的訪問權(quán)限，從而保護網(wǎng)絡資源。其他安全技術包括密鑰管理、數(shù)字簽名、認證技術、智能卡技術和訪問控制等等。

4.2 防火墻技術

防火墻通過在網(wǎng)絡邊界上建立網(wǎng)絡安全監(jiān)測系統(tǒng)，對流經(jīng)它的網(wǎng)絡通信進行掃描，能夠 有效隔離內(nèi)部和外部網(wǎng)絡，確定允許哪些內(nèi)部服務訪問外部服務，以及允許哪些 外部服務訪問內(nèi)部服務，以阻擋來自外部網(wǎng)絡的入侵和攻擊。現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng) 防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。

4.3 計算機網(wǎng)絡安全的相關技術

數(shù)據(jù)加密技術，加密技術是信息安全技術的核心，是一種主動的信息安全 防范措施，信息加密技術是其他安全技術的基礎，加密技術是指通過使用代碼或 密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的 不可理解的密文形式，對電子信息在傳輸過程中或存儲體內(nèi)進行保護，以阻止信息泄露或盜取，從而確保信息的安全性。

入侵檢測技術，入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS 被認為是 防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前檢測到入侵 攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻 擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

防病毒技術，隨著計算機技術的不斷發(fā)展，計算機病毒變得越來越復雜和高級，對計算機 信息系統(tǒng)構(gòu)成的威脅也越來越大。在病毒防范中普遍使用的防病毒軟件，從功能 上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝 在單臺 PC 機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢 測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者 從網(wǎng)絡向其它資源傳染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。

網(wǎng)絡安全掃描技術，網(wǎng)絡安全掃描技術是網(wǎng)絡安全領域的重要技術之一。利用安全掃描技術，可以對局域網(wǎng)絡、Web 站點、主機操作系統(tǒng)、系統(tǒng)服務以及防火墻系統(tǒng)的安全漏洞進行服務，檢測在操作系統(tǒng)上存在的可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務 攻擊的安全漏洞，還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是 否存在安全漏洞和配置錯誤。安全建議

采用防火墻與防病毒技術以提高網(wǎng)絡安全性，通過防火墻在網(wǎng)絡邊界上建立起來的通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)有效地分隔，以阻擋外部網(wǎng)絡的侵入，從而實施安全訪問控制，提高檢察信息網(wǎng)的安全性。安裝網(wǎng)絡版防病毒軟件，加強 病毒檢測，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡上蔓延和破壞。

運用網(wǎng)絡加密技術，網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種： ①鏈接加密。②節(jié)點加密。③首尾加密。網(wǎng)絡加密技術是網(wǎng)絡安全最有效的技術之一，既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

加強計算機網(wǎng)絡訪問控制，訪問控制是網(wǎng)絡安全防范的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非正常訪問，也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制技術主要包括入網(wǎng)訪問控制、網(wǎng)絡的權(quán)限控制、目錄級安全控制、屬性安全 控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制。

加強設備的安全監(jiān)管，對入網(wǎng)的硬件設備和軟件，統(tǒng)一由網(wǎng)絡安全技術部門嚴格把關，對涉及網(wǎng)絡安全的核心設備可列入政府專項，由專業(yè)人員把關統(tǒng)一購買安裝。建立健全管理 制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生，并定期的對運行環(huán)境條件進行檢查、測試和維護。對于傳輸線路，要定期檢查連接情況，以檢測 是否有搭線竊聽、非法外連或破壞行為。

加強網(wǎng)絡安全教育，加強網(wǎng)絡安全教育對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業(yè)務、技術的培訓，提高操 作技能； 教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。

設置網(wǎng)絡權(quán)限，將檢察機關內(nèi)部計算機維護權(quán)限與操作權(quán)限、數(shù)據(jù)權(quán)限分開，根據(jù)檢察機關 業(yè)務的不同，程序?qū)⒆詣臃峙淦涫褂脵?quán)限。設置訪問權(quán)限可以讓用戶有效地完成工作，同時又能控制用戶對服務器資源的訪問，從而加強網(wǎng)絡和服務器的安全性。

參考文獻

[1]陳愛民．計算機的安全與保密［Ｍ］．北京：電子工業(yè)出版社，2002

[2]黎連業(yè),張維.防火墻及其應用技術[M].北京:清華大學,2004.[3]楊義先.網(wǎng)絡安全理論與技術[M].北京:人民郵電出版社,2003.[4]王達.網(wǎng)管員必讀——網(wǎng)絡安全[M].北京:電子工業(yè)出版社,2007.[5]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,2012.[6] 于峰.計算機網(wǎng)絡與數(shù)據(jù)通信.北京.中國水利水電出版社，2003

[7]謝希仁.計算機網(wǎng)絡（第 5 版）[M].北京:電子工業(yè)出版社,2008.[8] 張水平.計算機網(wǎng)絡及應用.西安.西安交通大學出版社，2002

[9] 陳浩．Internet上的網(wǎng)絡攻擊與防范[J] ．電信技術．1998.[10] 雷震甲.網(wǎng)絡工程師教程.[M].北京：清華大學出版社，2004

[11]王其良,高敬瑜.計算機網(wǎng)絡安全技術[M].北京大學出版社,2006.11.[12] 宋乃平、文樺．Internet網(wǎng)絡安全管理[J] ．天中學刊．2002.

第四篇：論第三方支付平臺的安全性

論第三方支付平臺的安全性

隨著網(wǎng)絡信息、通信技術的快速發(fā)展和支付服務的不斷分工細化，越來越多的非金融機構(gòu)借助互聯(lián)網(wǎng)、手機等信息技術廣泛參與支付業(yè)務。非金融機構(gòu)提供支付服務、與銀行業(yè)既合作又競爭，已經(jīng)成為一支重要的力量。非金融機構(gòu)支付服務，是指非金融機構(gòu)在收付款人之間作為中介機構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務，包括網(wǎng)絡支付、預付卡的發(fā)行與受理、銀行卡收單，及中國人民銀行確定的其他支付服務。這些非金融機構(gòu)被稱作“第三方支付機構(gòu)”。

非金融機構(gòu)支付服務的多樣化、個性化等特點較好地滿足了電子商務企業(yè)和個人的支付需求，促進了電子商務的發(fā)展，在支持“刺激消費、擴大內(nèi)需”等宏觀經(jīng)濟政策方面發(fā)揮了積極作用。雖然非金融機構(gòu)的支付服務主要集中在零售支付領域，其業(yè)務量與銀行業(yè)金融機構(gòu)提供的支付服務量相比還很小，但其服務對象非常多，主要是網(wǎng)絡用戶、手機用戶、銀行卡和預付卡持卡人等，其影響非常廣泛。目前國內(nèi)約有300多家第三方支付機構(gòu)，其中多數(shù)非金融機構(gòu)從事互聯(lián)網(wǎng)支付、手機支付、電話支付以及發(fā)行預付卡等業(yè)務。

一、第三方支付平臺存在的安全問題

隨著第三方支付的廣泛應用，其安全性問題也越來越突出。由于我國電子支付方面的法律較為滯后，對第三方支付市場監(jiān)管不夠，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，員工安全意識薄弱，安全防護措施不夠，用戶的交易安全和個人信息存在很大的風險。安全問題可以歸納為幾個方面：

第三方支付機構(gòu)安全意識薄弱

相對于銀行業(yè)金融機構(gòu)，非金融支付機構(gòu)安全意識還比較淡薄，還不能充分認識到信息安全面臨的形勢和信息安全工作的重要性，對支付平臺的操作風險、信用風險和法律風險等重視不夠。領導對信息安全的不重視，就會導致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識，認為安全案件都是偶然發(fā)生，存在僥幸心理；一些員工總認為與己無關，信息科技引發(fā)的案件是科技部門的事。從而導致安全措施執(zhí)行不到位，安全制度無法貫徹的現(xiàn)象。正是這些安全意識上的薄弱環(huán)節(jié)，導致了安全威脅有機可乘。很多信息安全事件往往不是因為技術原因，而是由于系統(tǒng)運維人員的疏忽或不作為。安全意識薄弱是安全問題發(fā)生的根源。

安全管理機構(gòu)不健全安全管理制度不完善

多數(shù)第三方支付機構(gòu)還沒有形成信息安全組織結(jié)構(gòu)，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現(xiàn)漏洞，操作上出現(xiàn)失誤，引發(fā)安全事故，造成損失。

安全技術防護能力薄弱

在第三方支付平臺建設中，沒有充分重視安全技術防護能力的建設，安全技術防護能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測設備，沒有劃分安全域；沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護措施；重要數(shù)據(jù)的傳輸和存儲存在安全隱患；重要網(wǎng)絡設備沒有進行安全策略配置，致使非法訪問網(wǎng)絡系統(tǒng)、假冒網(wǎng)絡終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生；應急處理方案不完備，應對和處理危機的能力還比較弱。

應用程序中存在安全漏洞

系統(tǒng)上線前，沒有對應用程序進行全面的測評，致使生產(chǎn)系統(tǒng)存在功能、安全性及性能方面的問題。通過對第三方支付系統(tǒng)應用程序的檢測，發(fā)現(xiàn)了大量的安全隱患，如SQL注入、跨站腳本、網(wǎng)絡釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對

數(shù)據(jù)進行竊取，或?qū)τ脩舻拿舾行畔⑦M行非法獲取，給第三方支付機構(gòu)和用戶造成損失。個人信息不能得到保護

一些第三方支付平臺要求用戶提供真實姓名、聯(lián)系方式、住址、銀行賬號甚至身份證號，個別網(wǎng)站在設計上存在問題，致使這些信息很容易泄露。第三方支付平臺隱私政策不合理，免責條款過多，用戶為了使用其服務只能同意該條款，導致發(fā)生問題時維權(quán)艱難。第三方支付機構(gòu)除了應采用技術手段進行保護之外，還應該以文件、政策或公告的方式在網(wǎng)站上公開對用戶信息進行安全承諾。

二、國家對第三方支付的監(jiān)督管理

我國電子商務自20世紀90年代起步以來，很快進入快速發(fā)展期，交易額以年均40%的速度增長。2009年，交易規(guī)模達到3.8萬億元，電子商務已滲透到經(jīng)濟和社會各個層面。與此同時，有關非金融機構(gòu)備付金管理、系統(tǒng)穩(wěn)定性以及消費者權(quán)益保護等問題，需要高度關注。如何促進非金融機構(gòu)支付服務市場的健康發(fā)展，關系到電子商務的成敗，關系到中國支付網(wǎng)絡體系的安全與效率。

2009年4月，人民銀行發(fā)布公告，對從事支付業(yè)務的非金融機構(gòu)進行登記。2010年6月14日，人民銀行發(fā)布《非金融機構(gòu)支付服務管理辦法》（以下簡稱《管理辦法》），對非金融機構(gòu)支付業(yè)務實施行政許可。2010年12月，發(fā)布《非金融支付服務管理辦法實施細則》（以下簡稱《實施細則》）?！豆芾磙k法》和《實施細則》的發(fā)布，意味著我國非金融機構(gòu)支付市場監(jiān)管的基本原則已經(jīng)確立。

《管理辦法》中規(guī)定對于《支付業(yè)務許可證》的申請人必須具備有符合要求的支付業(yè)務設施，而且在向中國人民銀行申請許可證是必須符合中國人民銀行規(guī)定的非金融機構(gòu)支付服務系統(tǒng)技術和安全標準，提交《技術安全檢測認證證明》?？梢娧胄袑Ψ墙鹑跈C構(gòu)支付的技術和安全性的高度重視，技術和安全檢測是非金融機構(gòu)申請許可證過程中最關鍵也是最嚴格的環(huán)節(jié)。

三、提高第三方支付平臺安全性的建議

政府應加強監(jiān)管力度

通過《管理辦法》和《實施細則》的發(fā)布和實施，一些具備良好資信水平、較強盈利能力和一定從業(yè)經(jīng)驗的非金融機構(gòu)進入支付服務市場，在中國人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務，切實維護了社會公眾的合法權(quán)益。整個第三方支付平臺的安全性有了一定的保障。但這樣還不夠，應進一步強管理和監(jiān)控，可以考慮將第三方支付機構(gòu)納入金融機構(gòu)的安全管理體系，使其遵循金融機構(gòu)相關的安全管理制度和標準規(guī)范。

第三方支付機構(gòu)應增強安全意識，加強信息安全體系建設

信息安全教育和培訓是信息安全管理工作的重要基礎，在實際工作中，大部分信息技術風險要依靠員工進行有效的控制，因此需要通過宣傳、培訓和教育等手段提升員工的信息安全認知（包括提高安全意識、了解安全職責、培養(yǎng)安全技能），發(fā)揮員工在信息安全管理中的主觀能動性，以自律的方式來實現(xiàn)信息安全保障。

建立全面、科學的信息安全管理體系。建立組織、人員結(jié)構(gòu)合理的安全組織結(jié)構(gòu)。加強信息安全隊伍建設，充實信息安全管理隊伍，完善激勵機制。建立完整的信息安全策略，主要包括信息安全策略、安全規(guī)章制度、安全操作流程和設備操作指南等方面。完善信息安全應急恢復體系，推進信息安全風險評估，實行信息安全等級保護，健全信息安全標準規(guī)范和有關制度。

構(gòu)建一個科學合理的安全技術保障體系。加大網(wǎng)絡安全設施建設力度，加強網(wǎng)絡邊界防護，實施網(wǎng)絡安全域控制；加強軟件開發(fā)控制，對軟件進行安全測評核漏洞檢測；保障基礎設施和物理環(huán)境的安全，加強檢測、監(jiān)控和審計措施，實施安全加固；加強備份管理，建立災備

中心，保證支付業(yè)務的連續(xù)性。

第三方支付機構(gòu)應加強安全檢查，及時修復安全漏洞

即時在安全方面都做了很多工作，但沒有絕對的安全，要時刻警惕系統(tǒng)的監(jiān)控情況?？山M建技術團隊或委托專業(yè)安全服務機構(gòu)對系統(tǒng)進行安全測評。系統(tǒng)安全隱患是否能及時發(fā)現(xiàn)，并進行漏洞修復或制定實施相應安全防護措施，對系統(tǒng)的正常運行至關重要。由于系統(tǒng)的不斷更新，操作系統(tǒng)和代碼漏洞也不斷有新的發(fā)現(xiàn)，因此，對系統(tǒng)進行定期的安全測測評是非常必要的。

第五篇：計算機網(wǎng)絡教學設計

《計算機網(wǎng)絡》教學設計

平遙職業(yè)中學

阮宇科

【教學目標】

1、理解計算機網(wǎng)絡的定義，特點，發(fā)展歷史，基本分類方法。

2、了解計算機網(wǎng)絡的基本拓撲結(jié)構(gòu)。

3、掌握如何組建基本的計算機局域網(wǎng)?！窘虒W重點】

計算機網(wǎng)絡的定義，特點，發(fā)展歷史，基本分類方法。如何組建基本的計算機局域網(wǎng)?！窘虒W難點】

如何組建基本的計算機局域網(wǎng)?！窘虒W方法】

課件演示，實踐操作演示 【教學時數(shù)】 一課時

【教學過程】

一、導入

隨著計算機技術的普及與發(fā)展，計算機網(wǎng)絡已經(jīng)在我們現(xiàn)實生活中占據(jù)越來越重要的低位，而人們計算機網(wǎng)絡技術也日益重視，本節(jié)課我們學習計算機網(wǎng)絡技術的基本知識，并學習如何組建簡單的局域網(wǎng)。

二、教學過程

1、計算機網(wǎng)絡的定義：

把分布在不同地點且具有獨立功能的多個計算機系統(tǒng)通過通信設備和線路連接起來，在功能完善的軟件和協(xié)議的管理下實現(xiàn)網(wǎng)絡中資源共享的系統(tǒng)。

由定義可知：

(1)計算機網(wǎng)絡是“通信技術”與“計算機技術”的結(jié)合產(chǎn)物

(2)以數(shù)據(jù)交換為基礎，以資源共享為目的

2、計算機網(wǎng)絡的特點：

（1）開放式的網(wǎng)絡體系結(jié)構(gòu)，使不同軟硬件環(huán)境、不同網(wǎng)絡協(xié)議的網(wǎng)可以互連，真正達到資源共享，數(shù)據(jù)通信和分布處理的目標。

（2）向高性能發(fā)展。追求高速、高可靠和高安全性，采用多媒體技術，提供文本、聲音圖像等綜合性服務。

（3）計算機網(wǎng)絡的智能化，多方面提高網(wǎng)絡的性能和綜合的多功能服務，并更加合理地進行網(wǎng)絡各種業(yè)務的管理，真正以分布和開放的形式向用戶提供服務。隨著社會及科學技術的發(fā)展，對計算機網(wǎng)絡的發(fā)展提出了更加有利的條件。計算機網(wǎng)絡與通信網(wǎng)的結(jié)合,可以使眾多的個人計算機不僅能夠同時處理文字、數(shù)據(jù)、圖像、聲音等信息, 而且還可以使這些信息四通八達,及時地與全國乃至全世界的信息進行交換。

3、計算機網(wǎng)絡的發(fā)展：

第一階段（50年代）：計算機通信網(wǎng)絡，特征是主機計算機與終端互連，實現(xiàn)遠程訪問。1．具有遠程通信功能的單機系統(tǒng)

解決了多個用戶共享主機資源的問題 存在問題：主機負擔重，通信費用高

2、具有遠程通信功能的多機系統(tǒng)，解決了主機負擔重、通信費用昂貴的問題。主要問題：多個用戶只能共享一臺主機資源 第二階段（60年代）：計算機通信系統(tǒng)，特征是計算機與計算機互連 采用分組交換技術實現(xiàn)計算機—計算機之間的通信，使計算機網(wǎng)絡的結(jié)構(gòu)、概念都發(fā)生了變化，形成了通信子網(wǎng)和資源子網(wǎng)的網(wǎng)絡結(jié)構(gòu)主要問題：網(wǎng)絡對用戶不是透明的。

第三階段（70年代中期—80年代末期）：現(xiàn)代計算機網(wǎng)絡階段，特征是網(wǎng)絡體系結(jié)構(gòu)的形成和網(wǎng)絡協(xié)議的標準化。

在計算機通信系統(tǒng)的基礎之上，重視網(wǎng)絡體系結(jié)構(gòu)和協(xié)議標準化的研究，建立全網(wǎng)統(tǒng)一的通信規(guī)則，用通信協(xié)議軟件來實現(xiàn)網(wǎng)絡內(nèi)部及網(wǎng)絡與網(wǎng)絡之間的通信，通過網(wǎng)絡操作系統(tǒng)，對網(wǎng)絡資源進行管理，極大的簡化了用戶的使用，使計算機網(wǎng)絡對用戶提供透明服務。局域網(wǎng)技術出現(xiàn)突破性進展。

4、計算機網(wǎng)絡的分類

5、計算機網(wǎng)路拓撲結(jié)構(gòu)

概念：

網(wǎng)絡拓撲結(jié)構(gòu)指連接于網(wǎng)絡中的端系統(tǒng)或工作站之間互連的方式；簡單地說：指網(wǎng)絡形狀，網(wǎng)絡的連通性

常見的網(wǎng)絡拓撲結(jié)構(gòu)：

總線型、星型、環(huán)型、樹型、混合型、網(wǎng)狀型、蜂窩型

6、如何組建簡單局域網(wǎng)

要組建一個基本的網(wǎng)絡，只需要一臺集線器（Hub）或一臺交換機、幾臺電腦和幾十米電纜就能完成。這樣搭建起來的小網(wǎng)絡雖然簡易，卻是全球數(shù)量最多的網(wǎng)絡。在那些只有二、三十人的小型公司、辦公室、分支機構(gòu)中，都能看到這樣的小網(wǎng)絡。這樣的簡單網(wǎng)絡是更復雜網(wǎng)絡的基本單位。把這些小的、簡單的網(wǎng)絡互連到一起，就形成了更復雜的局域網(wǎng)LAN。再把局域網(wǎng)互連到一起，就組建出廣域網(wǎng)WAN

水晶頭的制作

水晶頭種類主要有以下幾種:RJ45(主要應用在計算機網(wǎng)絡環(huán)境)568B:白橙／橙／白綠／藍／白藍／綠／白棕／棕 568A:白綠／綠／白橙／藍／白藍／橙／白棕／棕

應用：

直通線(straight-through cable)： 一根網(wǎng)線，兩端的線序相同叫直通線，即兩端線序相同，都是568B標準,用在不同設備之間，比如：PC到交換機、PC到ADSL modem等

交叉線(crossover cable)：

一根網(wǎng)線，一段為568B線序，另一端為568A線序。相同類型設備連接使用交叉線，如電腦與電腦，交換機與交換機、交換機與集線器等 實例示范：

教師實際操作制作一個水晶頭 【教學小結(jié)】

本節(jié)課學習了計算機網(wǎng)絡的定義，特點，分類以及發(fā)展歷程，并簡要介紹了計算機網(wǎng)絡的拓撲結(jié)構(gòu)。重點學習了計算機網(wǎng)絡局域網(wǎng)的組建方法?！菊n后作業(yè)】

觀察學校機房局域網(wǎng)組建的案例。