第一篇：證券計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全性分析

證券計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全性分析

隨著計(jì)算機(jī)應(yīng)用進(jìn)入各行各業(yè)，人們的生活對(duì)計(jì)算機(jī)的依賴日趨加重。計(jì)算機(jī)在國(guó)民經(jīng)濟(jì)發(fā)展方面變得越來(lái)越重要。人們借助計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)數(shù)據(jù)庫(kù)處理，計(jì)算機(jī)多媒體等前沿技術(shù)實(shí)現(xiàn)新型事務(wù)處理，新型業(yè)務(wù)管理及形形色色的生活應(yīng)用。人對(duì)電腦系統(tǒng)的依賴將越來(lái)越強(qiáng)。越來(lái)越多的信息/數(shù)據(jù)被存入計(jì)算機(jī)，越來(lái)越多的應(yīng)用集成在一起，越來(lái)越多的計(jì)算機(jī)連成網(wǎng)絡(luò)。技術(shù)的公開(kāi)化/標(biāo)準(zhǔn)化為人們帶來(lái)了方便，也帶來(lái)了威脅。一旦電腦系統(tǒng)癱瘓，一旦數(shù)據(jù)被毀滅，網(wǎng)絡(luò)/通訊失靈；關(guān)鍵業(yè)務(wù)將出現(xiàn)混亂、停滯，甚至遭受毀滅性的打擊。

計(jì)算機(jī)的系統(tǒng)安全性、可靠性是人們審核一個(gè)計(jì)算機(jī)處理系統(tǒng)的優(yōu)劣的重要方面。人們只有確信計(jì)算機(jī)系統(tǒng)是安全的、可靠的，才肯將最機(jī)密、最關(guān)鍵的數(shù)據(jù)交給計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，使計(jì)算機(jī)系統(tǒng)的協(xié)同處理能力迅速增強(qiáng)，也將對(duì)計(jì)算機(jī)安全防范的要求推到了一個(gè)全新的高度。

本文根據(jù)作者對(duì)證券行業(yè)計(jì)算機(jī)應(yīng)用的了解和調(diào)查對(duì)證券公司營(yíng)業(yè)部的計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了分析，對(duì)常見(jiàn)的一些技術(shù)問(wèn)題給出詳細(xì)的說(shuō)明，供證券業(yè)的開(kāi)發(fā)商、系統(tǒng)集成商及證券營(yíng)業(yè)部技術(shù)人員參考，促進(jìn)并提高證券網(wǎng)絡(luò)應(yīng)用的安全性。

1． 證券營(yíng)業(yè)部的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全性現(xiàn)狀

證券交易是由計(jì)算機(jī)系統(tǒng)進(jìn)行撮合、交易的，每個(gè)營(yíng)業(yè)部的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)為股民提供如下的服務(wù)：

行情服務(wù)：根據(jù)從上海交易所和深圳交易所衛(wèi)星傳來(lái)的行情數(shù)據(jù)；為股民提供各種信息分析和決策支持服務(wù)，利用多元化的方式為股民創(chuàng)造好的信息環(huán)境。

交易服務(wù)：對(duì)注冊(cè)股民的股金進(jìn)行協(xié)調(diào)管理，幫助/代理股民下單交易，按照股民的意愿完成股民的股票買(mǎi)賣(mài)操作，將股民的交易請(qǐng)求發(fā)送到交易所進(jìn)行處理。

隨著證券行業(yè)的迅猛發(fā)展，多種計(jì)算機(jī)應(yīng)用軟件不斷引入到證券網(wǎng)絡(luò)應(yīng)用(例如家庭遠(yuǎn)程炒股、Internet炒股、多應(yīng)用合一等)，使得計(jì)算機(jī)應(yīng)用服務(wù)日趨復(fù)雜；相對(duì)的，計(jì)算機(jī)系統(tǒng)的安全性威脅就更大！由于對(duì)核心數(shù)據(jù)訪問(wèn)途徑增加，趨于復(fù)雜；可能留下的安全隱患就會(huì)越多越大。

一個(gè)典型的計(jì)算機(jī)劫客可以通過(guò)如下方式對(duì)證券計(jì)算機(jī)應(yīng)用進(jìn)行破壞：

1、干擾、破壞行情服務(wù)系統(tǒng)的正常運(yùn)行。劫客可以放置假的行情數(shù)據(jù)以造成股民錯(cuò)誤的投資傾向，甚至干脆破壞行情服務(wù)軟件系統(tǒng)，破壞營(yíng)業(yè)部的聲譽(yù)。

2、偷竊、篡改注冊(cè)股民的注冊(cè)信息和資金信息，對(duì)股民的管理/數(shù)據(jù)信息進(jìn)行修改；假冒客戶身份進(jìn)行交易以達(dá)到其個(gè)人的目的，使股民/營(yíng)業(yè)部遭受巨大的損失。

從最近的一些報(bào)道來(lái)看，有一些營(yíng)業(yè)部已經(jīng)發(fā)生了計(jì)算機(jī)應(yīng)用被外來(lái)人員破壞的事件，并造成極為惡劣的影響。目前，所有證券公司及其營(yíng)業(yè)部都已經(jīng)注意到計(jì)算機(jī)安全技術(shù)涉及的范圍廣，以及各種計(jì)算機(jī)應(yīng)用環(huán)境對(duì)安全方面的考慮不盡完善，使得目前證券業(yè)計(jì)算機(jī)應(yīng)用存有較大的安全隱患的現(xiàn)狀。

但是，技術(shù)設(shè)計(jì)方面的不完善可以靠規(guī)范化的人員管理、規(guī)章制度等方面得到補(bǔ)足。正如軍隊(duì)需要嚴(yán)格的安全體制管理一樣，證券計(jì)算機(jī)應(yīng)用的安全性可以通過(guò)嚴(yán)格的制度、規(guī)范的操作等途徑得到增強(qiáng)。技術(shù)/設(shè)計(jì)上的安全保護(hù)加上人員、操作上的嚴(yán)格管理，才可能將那些惡意的入侵者拒之門(mén)外，防患于未然。

2． 對(duì)證券營(yíng)業(yè)部的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用安全性的深入分析和建議

營(yíng)業(yè)部證券網(wǎng)絡(luò)的模式基本是相同的，即分為行情系統(tǒng)和交易柜面系統(tǒng)。一個(gè)典型的證券營(yíng)業(yè)部的結(jié)構(gòu)如下：

證券業(yè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用可分為兩類：一類是營(yíng)業(yè)部柜面業(yè)務(wù)系統(tǒng)(以下簡(jiǎn)稱柜面系統(tǒng))，用于對(duì)股民帳戶、資金、交易委托等方面進(jìn)行綜合管理。這類系統(tǒng)由專門(mén)的證券應(yīng)用開(kāi)發(fā)商或營(yíng)業(yè)部計(jì)算機(jī)應(yīng)用人員開(kāi)發(fā)，采用的平臺(tái)有NetWare下的Foxpro、Btrieve或基于SQL查詢的DBMS(如Sybase)。另一類應(yīng)用是股票行情發(fā)布和行情分析系統(tǒng)(以下簡(jiǎn)稱行情系統(tǒng))，用于為股民提供最新的股票價(jià)格信息(大屏)及對(duì)股票的歷史數(shù)據(jù)的分析(走勢(shì)圖)。這類應(yīng)用由專業(yè)計(jì)算機(jī)開(kāi)發(fā)商來(lái)開(kāi)發(fā)，多采用基于NetWare的文件共享和網(wǎng)絡(luò)廣播信息包的方式。柜面系統(tǒng)有時(shí)也需要訪問(wèn)行情服務(wù)器的數(shù)據(jù)。圖1簡(jiǎn)單地表明了證券業(yè)應(yīng)用的結(jié)構(gòu)方式。

在圖1中，S1是柜面服務(wù)器，運(yùn)行NetWare網(wǎng)絡(luò)服務(wù)操作系統(tǒng)。S1中的數(shù)據(jù)可能是 Foxpro,Btrieve及Sybase等格式的數(shù)據(jù)。W1，W2是柜面應(yīng)用工作站PC，采用相應(yīng)的數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)，完成儲(chǔ)戶帳戶維護(hù)，資金管理，股票買(mǎi)賣(mài)等工作。S2是行情服務(wù)器，運(yùn)行NetWare操作系統(tǒng)；S2中存放由深交所及上交所傳來(lái)的原始數(shù)據(jù)(該數(shù)據(jù)由專門(mén)的接收站W(wǎng)r轉(zhuǎn)入，數(shù)據(jù)文件格式為Foxbase)及行情應(yīng)用軟件的處理數(shù)據(jù)。Wt為行情數(shù)據(jù)轉(zhuǎn)換機(jī)，它將Wr存入S1的Foxbase數(shù)據(jù)讀出并加以轉(zhuǎn)換及分類處理，形成專門(mén)的行情數(shù)據(jù)，例如乾龍系統(tǒng)。同時(shí)Wt將某些行情更新信息以網(wǎng)絡(luò)廣播形式向外廣播。W3、W4為行情應(yīng)用工作站，向股民開(kāi)放。W3，W4通過(guò)接收Wt的行情更新數(shù)據(jù)和讀取服務(wù)器內(nèi)的行情歷史數(shù)據(jù)，加以分析加工，為用戶提供股票價(jià)格更新和“漲跌起伏曲線”等分析信息。

通常來(lái)說(shuō)，營(yíng)業(yè)部對(duì)股民服務(wù)采用無(wú)盤(pán)PC；利用DOS映象文件遠(yuǎn)程啟動(dòng)、上網(wǎng)和進(jìn)行業(yè)務(wù)處理。同時(shí)營(yíng)業(yè)部?jī)?nèi)部采用有盤(pán)站和無(wú)盤(pán)站對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行管理、監(jiān)控及內(nèi)部結(jié)算/處理。

本文將從下面幾個(gè)方面對(duì)證券網(wǎng)絡(luò)的結(jié)構(gòu)/模式進(jìn)行分析并給出相應(yīng)的建議。

1.布線系統(tǒng)，網(wǎng)絡(luò)布局。

2.網(wǎng)絡(luò)系統(tǒng)的管理。

3.應(yīng)用系統(tǒng)的管理。

2.1 證券營(yíng)業(yè)部的網(wǎng)絡(luò)布局和布線系統(tǒng)的安全性 從業(yè)務(wù)操作模式和網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)方式來(lái)看，應(yīng)將證券營(yíng)業(yè)部的網(wǎng)絡(luò)布局進(jìn)行合理化分布，這樣做的好處是：

1、按應(yīng)用用戶的種類分隔網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)

2、便于應(yīng)用的規(guī)劃、安全設(shè)置

3、網(wǎng)絡(luò)信息的分隔從根本上局限了入侵者的入侵位置

例如：營(yíng)業(yè)大廳內(nèi)的普通用戶工作站多以“乾龍”行情顯示為主；將所有行情應(yīng)用的工作站連到同一網(wǎng)段上有利于對(duì)行情應(yīng)用的統(tǒng)一規(guī)劃，另外，在行情網(wǎng)段上的入侵者將無(wú)法截取其他系統(tǒng)(例如柜臺(tái)系統(tǒng))的信息；使其在行情網(wǎng)段上很難入侵到其他網(wǎng)絡(luò)應(yīng)用。

建議按如下方式配置：

將行情、柜面應(yīng)用分開(kāi)，將功能簡(jiǎn)單的、只做瀏覽/讀操作的行情應(yīng)用單分到一起。

將業(yè)務(wù)服務(wù)網(wǎng)與內(nèi)部系統(tǒng)管理網(wǎng)分開(kāi)。

網(wǎng)段的分隔不能用switch實(shí)現(xiàn)，可以用服務(wù)器多塊網(wǎng)卡或采用路由器實(shí)現(xiàn)。

有了布線系統(tǒng)的分隔，對(duì)網(wǎng)絡(luò)應(yīng)用的高級(jí)配置就易于實(shí)現(xiàn)了。

例如：將應(yīng)用編寫(xiě)/設(shè)置成只能在相對(duì)應(yīng)的IPX/IP網(wǎng)絡(luò)上運(yùn)行，這樣限定了應(yīng)用的使用范圍，可利用網(wǎng)絡(luò)系統(tǒng)管理軟件，限制不同網(wǎng)段上可登錄的用戶身份；應(yīng)用程序也可以將程序限定只在某些網(wǎng)段上才可以運(yùn)行。

2.2 通過(guò)網(wǎng)絡(luò)操作系統(tǒng)的安全管理加強(qiáng)系統(tǒng)及應(yīng)用的安全性。

由于與交易所的數(shù)據(jù)交換是通過(guò)文件形式來(lái)操作的，因此，要嚴(yán)格地限制對(duì)存放這些關(guān)鍵數(shù)據(jù)的權(quán)限。例如限定專門(mén)用戶、專門(mén)的機(jī)器及專用的時(shí)間段才能合法登錄、訪問(wèn)關(guān)鍵數(shù)據(jù)（這些選項(xiàng)在NetWare系統(tǒng)中，可以用NWADMIN的目錄管理工具實(shí)現(xiàn)）。

另外，NetWare4.11中提供了審計(jì)功能，你可以對(duì)關(guān)鍵用戶，關(guān)鍵數(shù)據(jù)文件進(jìn)行審計(jì)核查；尤其是關(guān)鍵用戶帳戶及關(guān)鍵目錄由于審計(jì)記錄可以由唯一的專門(mén)的用戶帳戶進(jìn)行管理（一個(gè)好的帳戶管理機(jī)制可以使網(wǎng)絡(luò)管理員帳戶〈ADMIN〉不能干預(yù)審計(jì)用戶的審計(jì)操作）。因此，可以由另外一個(gè)人掌管審計(jì)；由一個(gè)人掌管管理員帳戶。在NetWare4.x中ADMIN用戶可以被刪去/改名，通過(guò)對(duì)每個(gè)內(nèi)部維護(hù)工程人員分配獨(dú)自的帳戶，可以清楚地記錄每次關(guān)鍵操作。

作者接觸了一些證券營(yíng)業(yè)部網(wǎng)絡(luò)應(yīng)用的開(kāi)發(fā)商、集成商及最終用戶，發(fā)現(xiàn)有如下技術(shù)問(wèn)題有待及時(shí)解決。

用戶不加口令，采用批處理上網(wǎng)。

由于營(yíng)業(yè)部?jī)?nèi)有大量的無(wú)盤(pán)工作站，營(yíng)業(yè)部工程師為簡(jiǎn)便開(kāi)機(jī)工程，一般對(duì)某些帳戶不設(shè)置口令而允許無(wú)盤(pán)站啟動(dòng)時(shí)利用批處理自動(dòng)注冊(cè)上網(wǎng)，自動(dòng)啟動(dòng)相應(yīng)的應(yīng)用程序，如“乾龍軟件”和“柜臺(tái)管理軟件”。如果權(quán)限設(shè)定有誤的話，一個(gè)入侵者可以中斷批處理，登錄上網(wǎng)，改變系統(tǒng)配置/數(shù)據(jù)文件（例如可以刪除/修改某些文件），甚至注入網(wǎng)絡(luò)病毒！這將直接損壞系統(tǒng)，因此應(yīng)當(dāng)對(duì)每個(gè)帳戶設(shè)置口令。如果需要自動(dòng)啟動(dòng)上網(wǎng)，可以編寫(xiě)一些批處理或?qū)ｉT(mén)的應(yīng)用程序完成帶口令登錄。

批處理程序可以被中斷

無(wú)盤(pán)站在啟動(dòng)過(guò)程中，從NetWare服務(wù)器上獲取DOS環(huán)境啟動(dòng)DOS，再運(yùn)行批處理程序（含Login;login Script及其他DOS批處理）。由于DOS系統(tǒng)的特性，批處理可以被用戶鍵盤(pán)中斷，網(wǎng)絡(luò)數(shù)據(jù)很容易的裸現(xiàn)在用戶面前。一旦網(wǎng)絡(luò)權(quán)限或應(yīng)用權(quán)限管理不充分/不準(zhǔn)確，惡意的入侵者就可以修改網(wǎng)絡(luò)管理權(quán)限或修改應(yīng)用程序/數(shù)據(jù)。要解決此類問(wèn)題需要：

避免批處理被中斷（無(wú)盤(pán)站）

可以開(kāi)發(fā)一個(gè)內(nèi)存駐留程序（驅(qū)動(dòng)），截取相應(yīng)的按鍵（例如Ctrl-C和Ctrl-break）,避免批處理程序被中斷。

要屏蔽DOS啟動(dòng)前的按鍵（DOS啟動(dòng)時(shí)可以按某些功能鍵，如F5或F8鍵），可以在Config.sys中加入：

SWITCHES = /N

此操作使DOS在啟動(dòng)Config.sys之前不檢查F5、F8鍵的請(qǐng)求,從而限制了客戶不能中斷DOS的引導(dǎo)過(guò)程。

網(wǎng)絡(luò)軟件系統(tǒng)的版本：

網(wǎng)絡(luò)系統(tǒng)軟件有其自有的安全等級(jí)。目前許多用戶采用比較老的3.11和3.12系統(tǒng)，利用Bindery方式上網(wǎng)（Netx），這些系統(tǒng)并沒(méi)有加補(bǔ)最新的增補(bǔ)程序，存有一些安全漏洞。例如，入侵者可以偽裝成Supervisor的身份，輕易地進(jìn)入網(wǎng)絡(luò)系統(tǒng)。另外，由于3.x系統(tǒng)的帳戶口號(hào)是基于服務(wù)器管理，多個(gè)NetWare 3.x系統(tǒng)需要重復(fù)創(chuàng)建多個(gè)帳戶/口令（一般而言，同名，同口令），為惡意入侵者留下更多的機(jī)會(huì)去獵取口令。NetWare 4.11采用NDS管理，多服務(wù)器可以采用一套用戶管理數(shù)據(jù)，簡(jiǎn)化了用戶的管理，同時(shí)也在各方面彌補(bǔ)了在3.x中的安全漏洞。目前，NetWare 4.11達(dá)到了網(wǎng)絡(luò)C2安全驗(yàn)證，能滿足用戶的安全要求。

另外，NetWare 4.11缺省狀態(tài)下開(kāi)啟了Bindery仿真方式（是為了與原有的3.x客戶軟件/應(yīng)用兼容），入侵者仍有可能利用Bindery 管理的弱點(diǎn)來(lái)攻擊網(wǎng)絡(luò)，因此，將客戶端的軟件升級(jí)到4.11的NDS登錄，將Bindery仿真關(guān)閉（或只在限定的OU或限定的服務(wù)器），這樣，有助于提高系統(tǒng)的安全性。

2.3 應(yīng)用軟件的安全性

目前證券營(yíng)業(yè)部的應(yīng)用軟件可分為兩類，行情應(yīng)用和柜面應(yīng)用。從總的來(lái)講，行情應(yīng)用相對(duì)來(lái)講對(duì)安全性的要求較低，而柜面業(yè)務(wù)由于涉及股民的股金管理及交易的金額處理，安全性便顯得非常重要。認(rèn)為行情應(yīng)用可以撒手不管是錯(cuò)誤的，因?yàn)樾星閼?yīng)用與整個(gè)應(yīng)用系統(tǒng)有許多直接的聯(lián)系，對(duì)行情系統(tǒng)的破壞會(huì)波及整個(gè)應(yīng)用系統(tǒng)的各個(gè)方面。例如：系統(tǒng)的用戶/口令，系統(tǒng)/用戶的配置文件，播種病毒??。惡意的用戶可以通過(guò)行情系統(tǒng)的入侵來(lái)設(shè)置各種陷阱，收集系統(tǒng)和用戶的信息，并依照這些信息輕易地破壞整個(gè)系統(tǒng)。

一般來(lái)說(shuō)，對(duì)應(yīng)用軟件的安全性應(yīng)從以下幾個(gè)方面來(lái)考慮。

*應(yīng)用軟件的安全體系設(shè)計(jì)

*應(yīng)用軟件所基于的平臺(tái)/技術(shù)的安全

*防病毒能力

2.3.1 應(yīng)用軟件的安全體系設(shè)計(jì)

應(yīng)用軟件的設(shè)計(jì)是安全性因素中的最重要因素。它從應(yīng)用系統(tǒng)的最高層保證系統(tǒng)的整體安全，一個(gè)好的設(shè)計(jì)可以修改/屏蔽/克服其他底層的安全威脅。例如，應(yīng)用系統(tǒng)擁有自己的帳戶管理，數(shù)據(jù)加密，身份驗(yàn)證和應(yīng)用/數(shù)據(jù)維護(hù)。由于此類的設(shè)計(jì)通常牽涉的技術(shù)/產(chǎn)品的問(wèn)題過(guò)多和過(guò)于復(fù)雜，因此應(yīng)用軟件的設(shè)計(jì)在安全性的管理方面通常采用所依賴的軟件/技術(shù)平臺(tái)來(lái)幫助應(yīng)用系統(tǒng)實(shí)現(xiàn)安全管理。例如，應(yīng)用系統(tǒng)可以利用NDS所提供的安全管理手段完成其對(duì)用戶的身份驗(yàn)證，NDS的可擴(kuò)展特性允許應(yīng)用程序?qū)?yīng)用方面專有的屬性和管理方式嵌入到NDS的管理。由于利用NDS的層次性，面向目標(biāo)及分布式的計(jì)算處理，應(yīng)用系統(tǒng)除了可以很容易的達(dá)到高安全性以外還可以輕而易舉地實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)，跨平臺(tái)應(yīng)用及高可靠高容錯(cuò)等特性。

在柜面交易系統(tǒng)中，每個(gè)股民的信息是存放在數(shù)據(jù)庫(kù)里的。目前，廣泛采用的數(shù)據(jù)庫(kù)平臺(tái)有以下幾種：

XBASE：沒(méi)有用戶管理，文件共享式訪問(wèn)，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全管理依賴嚴(yán)重，安全漏洞較多。

Btrieve: 無(wú)用戶管理，Client/Server,無(wú)身份驗(yàn)證，對(duì)網(wǎng)絡(luò)系統(tǒng)的安全依賴嚴(yán)重，有安全漏洞。

基于SQL：查詢語(yǔ)言的數(shù)據(jù)庫(kù)：有數(shù)據(jù)庫(kù)自身的用戶管理，Client/Server訪問(wèn)方式，安全漏洞較少。

在以上的幾種數(shù)據(jù)庫(kù)類型中，基于SQL語(yǔ)言的數(shù)據(jù)庫(kù)有其獨(dú)到的優(yōu)勢(shì)。在安全性方面，這類數(shù)據(jù)庫(kù)有自己的用戶管理機(jī)制，采用Client/Server結(jié)構(gòu)也使得客戶機(jī)只通過(guò)數(shù)據(jù)通信協(xié)議與數(shù)據(jù)庫(kù)打交道，這樣客戶機(jī)無(wú)法通過(guò)文件訪問(wèn)的方法篡改應(yīng)用數(shù)據(jù)，因而從一定意義上保證了網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全。

另外，由于技術(shù)的原因，目前股民的帳戶信息是由應(yīng)用開(kāi)發(fā)商自行維護(hù)的。下面對(duì)典型的計(jì)算機(jī)處理和業(yè)務(wù)操作過(guò)程進(jìn)行分析,闡明可能存在的安全隱患:

1、用戶的創(chuàng)建：用戶ID和口令字由應(yīng)用軟件自行管理。

由應(yīng)用程序自行管理股民的ID和口令字。由于帳戶的管理是一門(mén)很嚴(yán)謹(jǐn)?shù)南到y(tǒng)，一個(gè)好的安全帳戶管理系統(tǒng)需要很好的設(shè)計(jì)、實(shí)現(xiàn)與技術(shù)保障；如果系統(tǒng)的帳戶管理有欠缺則極容易被人破譯和入侵。Novell的安全管理可以幫助應(yīng)用程序確認(rèn)用戶的身份和口令，通過(guò) NDS的擴(kuò)展接口，應(yīng)用程序可以達(dá)到令人滿意的安全等級(jí)。

2、用戶信息入庫(kù)：建立用戶信息（包括股金管理信息），存放在集中的數(shù)據(jù)庫(kù)里。

用戶信息存放在集中的數(shù)據(jù)庫(kù)里，這對(duì)用戶數(shù)據(jù)庫(kù)是一項(xiàng)挑戰(zhàn)，必須避免用戶直接訪問(wèn)該數(shù)據(jù)的文件。對(duì)數(shù)據(jù)庫(kù)文件的任何惡性操作都會(huì)造成嚴(yán)重的傷害，應(yīng)采取嚴(yán)格的文件權(quán)限管理，對(duì)所有操作記錄；同時(shí)應(yīng)選擇更安全的數(shù)據(jù)庫(kù)系統(tǒng)，利用Client/Server或Client/Middle Server/Sever等多層結(jié)構(gòu)完成信息的處理。目前，NetWare ＋ Oracle 8是一個(gè)非常強(qiáng)健的安全的Client/Server系統(tǒng)，用戶可以用NDS登錄NetWare和Oracle，通過(guò)IPX或IP連接到Oracle數(shù)據(jù)庫(kù)

3、用戶操作：用戶提供了個(gè)人信息后（鍵盤(pán)、刷卡操作等），應(yīng)用系統(tǒng)對(duì)用戶身份進(jìn)行驗(yàn)證，計(jì)算機(jī)進(jìn)行下單操作。

用戶進(jìn)行身份驗(yàn)證，要保證該用戶身份密碼不被泄漏（這要求高級(jí)加密技術(shù)，例如RSA），也要保證用戶在操作過(guò)程中不被人侵權(quán)或假冒身份。目前有些證券應(yīng)用系統(tǒng)對(duì)股民身份的驗(yàn)證過(guò)程較簡(jiǎn)單，股民操作對(duì)應(yīng)的計(jì)算機(jī)用戶身份的防偽技術(shù)也較差，因此最容易使黑客進(jìn)行攻擊。在NetWare4.1中，采用RSA技術(shù)進(jìn)行公鑰加密身份驗(yàn)證，對(duì)網(wǎng)絡(luò)上發(fā)出的信息包進(jìn)行防偽識(shí)別，排除了此類入侵的可能性（注意，NetWare3.x沒(méi)有此類功能）。應(yīng)用程序可以利用NDS的優(yōu)勢(shì)方便地實(shí)施其自身的身份驗(yàn)證。例如，應(yīng)用程序可以利用NDS的接口將股民的身份驗(yàn)證轉(zhuǎn)給NDS系統(tǒng)；NDS身份驗(yàn)證完成以后，應(yīng)用程序就可以認(rèn)可股民的身份，這些驗(yàn)證操作將是安全的。

4、數(shù)據(jù)操作：數(shù)據(jù)庫(kù)應(yīng)用軟件通過(guò)網(wǎng)絡(luò)計(jì)算（文件共享、Client/Server）等方式進(jìn)行數(shù)據(jù)綜合。

數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸時(shí)，有可能被別人在網(wǎng)上偷聽(tīng)。最好在應(yīng)用程序里對(duì)要存放的數(shù)據(jù)進(jìn)行加密，這樣網(wǎng)上偷聽(tīng)/截取的將是一些廢碼。選擇的網(wǎng)絡(luò)工具要盡可能支持?jǐn)?shù)據(jù)完整性驗(yàn)證，在確保數(shù)據(jù)不被偷聽(tīng)的同時(shí)，保證在網(wǎng)上的數(shù)據(jù)不被人篡改。

5、操作上傳：將用戶請(qǐng)求及數(shù)據(jù)上傳交易所（文件形式）。

上傳的數(shù)據(jù)是從柜面應(yīng)用系統(tǒng)中對(duì)發(fā)生交易的數(shù)據(jù)信息進(jìn)行總結(jié)形成的Foxbase格式的數(shù)據(jù)，該數(shù)據(jù)庫(kù)文件放在NetWare服務(wù)器上，作為隊(duì)列等待上傳，由專門(mén)的傳輸工作站從隊(duì)列里讀出，發(fā)送到交易所，最后再?gòu)年?duì)列里清除該上傳數(shù)據(jù)。

因此，該Foxbase文件的創(chuàng)建，存放和清除都有可能被侵犯。一個(gè)不安全的網(wǎng)絡(luò)權(quán)限分配或一個(gè)受侵犯的NetWare服務(wù)器都有可能使入侵者有能力自行創(chuàng)建、存放、修改和復(fù)制所需上傳的隊(duì)列文件，一旦此文件傳至交易所并完成交易，股民、營(yíng)業(yè)部都將會(huì)受到嚴(yán)重的損失。

為避免此類事件的發(fā)生，可以采取如下的技術(shù)手段：

修改數(shù)據(jù)上傳的格式；對(duì)要上傳的數(shù)據(jù)進(jìn)行加密及完整性校驗(yàn)信息，這樣能夠保證處理的正確性和防止欺騙。但這要求對(duì)整個(gè)信息處理模式進(jìn)行改造，周期長(zhǎng)，難度大。

嚴(yán)格限制網(wǎng)絡(luò)文件系統(tǒng)的權(quán)限。可以單獨(dú)設(shè)置網(wǎng)絡(luò)帳戶來(lái)處理該上傳隊(duì)列的文件，只有該帳戶可以讀寫(xiě)此隊(duì)列目錄，并且只有有限的工作站（MAC地址）能夠以此帳戶登錄。

修改柜面系統(tǒng)的數(shù)據(jù)上傳處理流程，加入加密機(jī)制和數(shù)字簽名機(jī)制，縮小受侵犯的范圍。

6、操作驗(yàn)證：交易所傳回的對(duì)用戶交易請(qǐng)求的處理結(jié)果。

此類數(shù)據(jù)為確認(rèn)信息，入侵者可以篡改此信息造成系統(tǒng)的混亂。

病毒的防護(hù)：

計(jì)算機(jī)病毒是計(jì)算機(jī)系統(tǒng)安全的另一天敵，一個(gè)惡意的攻擊性病毒可以造成系統(tǒng)性能減退或造成系統(tǒng)癱瘓。更可怕的是一個(gè)計(jì)算機(jī)病毒可以竊取計(jì)算機(jī)系統(tǒng)的安全信息或潛伏在系統(tǒng)中“臥底”，隨時(shí)“出山”攻擊系統(tǒng)。

一個(gè)病毒可以從以下的方面攻擊：

通過(guò)鍵盤(pán)截取方法獲得口令字

偽裝成登錄程序/用戶界面，騙取用戶的口令

為入侵者做“內(nèi)應(yīng)”，在安全性方面留“后門(mén)”

破壞系統(tǒng)程序，造成系統(tǒng)癱瘓

破壞應(yīng)用程序,造成應(yīng)用系統(tǒng)出錯(cuò)

破壞數(shù)據(jù)、改變、增加或刪除數(shù)據(jù)信息，造成系統(tǒng)紊亂

增加網(wǎng)絡(luò)系統(tǒng)負(fù)擔(dān)，降低服務(wù)器/工作站性能，增加網(wǎng)絡(luò)流量

播放錯(cuò)誤導(dǎo)向信息或其它錯(cuò)誤信息，影響股民決策

從實(shí)際操作來(lái)看，一個(gè)病毒難以同時(shí)實(shí)現(xiàn)上述各項(xiàng)攻擊，但是，惡意的攻擊者可以利用多種攻擊工具，由淺入深，一步一步的實(shí)現(xiàn)對(duì)系統(tǒng)的攻擊。

嚴(yán)格周密的文件系統(tǒng)管理和權(quán)限管理能有效的防止病毒入侵。Novell公司提供了ManageWise網(wǎng)絡(luò)管理軟件，除了能對(duì)網(wǎng)絡(luò)進(jìn)行全面的管理以外，還具有防病毒和殺病毒的功能。ManageWise可以在文件服務(wù)器上以NLM方式查找和刪除病毒，也提供了客戶機(jī)端的查病毒與殺病毒的程序。

第二篇：論計(jì)算機(jī)網(wǎng)絡(luò)的安全性設(shè)計(jì)

論計(jì)算機(jī)網(wǎng)絡(luò)的安全性設(shè)計(jì)

? 本文將介紹我在網(wǎng)絡(luò)安全性和保密性方面所采取的一些方法和策略，主要包括網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)邊界安全控制、交叉病毒防治、集中網(wǎng)絡(luò)安全管理等，同時(shí)分析了因投入資金有限，我公司網(wǎng)絡(luò)目前仍存在的一些問(wèn)題或不足，并提出了一些改進(jìn)辦法。

摘要：

我在一家證券公司信息技術(shù)部門(mén)工作，我公司在2002年建成了與各公司總部及營(yíng)業(yè)網(wǎng)點(diǎn)的企業(yè)網(wǎng)絡(luò)，并已先后在企業(yè)網(wǎng)絡(luò)上建設(shè)了交易系統(tǒng)、辦公系統(tǒng)，并開(kāi)通了互聯(lián)網(wǎng)應(yīng)用。因?qū)?duì)安全要求不同、安全可信度不同的各種應(yīng)用運(yùn)行在同一網(wǎng)絡(luò)上，給黑客的攻擊、病毒的蔓延打開(kāi)了方便之門(mén)，給我公司的網(wǎng)絡(luò)安全造成了很大的威脅。

作為信息技術(shù)中心部門(mén)經(jīng)理及項(xiàng)目負(fù)責(zé)人，我在資金投入不足的前提下，充分利用現(xiàn)有條件及成熟技術(shù)，對(duì)公司網(wǎng)絡(luò)進(jìn)行了全面細(xì)致的規(guī)劃，使改造后的網(wǎng)絡(luò)安全級(jí)別大大提高。本文將介紹我在網(wǎng)絡(luò)安全性和保密性方面采取的一些方法和策略，主要包括網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)邊界安全控制、交叉病毒防治、集中網(wǎng)絡(luò)安全管理等，同時(shí)分析了因投入資金有限，針對(duì)我公司網(wǎng)絡(luò)目前仍存在的一些問(wèn)題或不足，提出一些改進(jìn)辦法。

正文：

我在一家證券公司工作，公司在2002年就建成了與各公司總部及營(yíng)業(yè)網(wǎng)點(diǎn)的企業(yè)網(wǎng)絡(luò)，隨著公司業(yè)務(wù)的不斷拓展，公司先后建設(shè)了集中報(bào)盤(pán)系統(tǒng)、網(wǎng)上交易系統(tǒng)、OA、財(cái)務(wù)系統(tǒng)、總部監(jiān)控系統(tǒng)等等，為了保證各業(yè)務(wù)正常開(kāi)展，特別是為了確保證券交易業(yè)務(wù)平臺(tái)的實(shí)時(shí)高效，公司已于2008年已經(jīng)將中心至各營(yíng)業(yè)部的通訊鏈路由初建時(shí)的主鏈路2M的DDN和備份鏈路128K ISDN，擴(kuò)建成鏈路為10M 光纜作為主鏈路和2M的DDN作為備鏈路，實(shí)現(xiàn)了通訊線路及關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，較好地保證了公司業(yè)務(wù)的需要。并且隨著網(wǎng)上交易系統(tǒng)的建設(shè)和網(wǎng)上辦公的需要，公司企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間建起了橋梁。

改造前，應(yīng)用系統(tǒng)在用戶認(rèn)證及加密傳輸方面采取了相應(yīng)措施，如集中交易在進(jìn)行身份確認(rèn)后信息采用了Blowfish 128位加密技術(shù)，網(wǎng)上交易運(yùn)用了對(duì)稱加密和非對(duì)稱加密相結(jié)合的方法進(jìn)行身份認(rèn)證和數(shù)據(jù)傳輸加密，但公司辦公系統(tǒng)、交易系統(tǒng)、互聯(lián)網(wǎng)應(yīng)用之間沒(méi)有進(jìn)行安全隔離，只在互聯(lián)網(wǎng)入口安裝了防火墻，給黑客的攻擊、病毒的蔓延打開(kāi)了方便之門(mén)。

作為公司信息技術(shù)中心運(yùn)保部經(jīng)理，系統(tǒng)安全一直是困擾著我的話題，特別是隨著公司集中報(bào)盤(pán)系統(tǒng)、網(wǎng)上交易系統(tǒng)的建設(shè)，以及網(wǎng)上辦公需要，網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)更顯得猶為迫切。但公司考慮到目前證券市場(chǎng)疲軟，競(jìng)爭(zhēng)十分激烈，公司暫時(shí)不打算投入較大資金來(lái)建設(shè)安全系統(tǒng)。

作為部門(mén)經(jīng)理及項(xiàng)目負(fù)責(zé)人，我在投入較少資金的前提下，在公司可以容忍的風(fēng)險(xiǎn)級(jí)別和可以接受的成本之間作出了取舍，充分利用現(xiàn)有的條件及成熟的技術(shù)，對(duì)公司網(wǎng)絡(luò)進(jìn)行了全面細(xì)致的規(guī)劃，并且最大限度地發(fā)揮管理功效，盡可能全方位地提高公司的網(wǎng)絡(luò)安全水平。在網(wǎng)絡(luò)安全性和保密性方面，我采用了以下技術(shù)和策略：

1、將企業(yè)網(wǎng)劃分成交易網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)應(yīng)用網(wǎng)，進(jìn)行網(wǎng)絡(luò)隔離。

2、在網(wǎng)絡(luò)邊界采取防火墻、存取控制、并口隔離等技術(shù)進(jìn)行安全控制。

3、運(yùn)用多版本的防病毒軟件對(duì)用戶系統(tǒng)交叉殺毒。

4、制定公司網(wǎng)絡(luò)安全管理辦法，進(jìn)行網(wǎng)絡(luò)安全集中管理。

一、網(wǎng)絡(luò)安全隔離 為了達(dá)到網(wǎng)絡(luò)互相不受影響，最好的辦法是將網(wǎng)絡(luò)進(jìn)行隔離，網(wǎng)絡(luò)隔離分為物理隔離和邏輯隔離，我主要是從系統(tǒng)的重要程度即安全等級(jí)考慮劃分合理的網(wǎng)絡(luò)安全邊界，使不同安全級(jí)別的網(wǎng)絡(luò)或信息媒介不能相互訪問(wèn)或有控制的進(jìn)行訪問(wèn)。

針對(duì)我公司的網(wǎng)絡(luò)系統(tǒng)的應(yīng)用特點(diǎn)把公司證券交易系統(tǒng)、業(yè)務(wù)辦公系統(tǒng)之間進(jìn)行邏輯分離，劃分成交易子網(wǎng)和辦公子網(wǎng)，將互聯(lián)網(wǎng)應(yīng)用與公司企業(yè)網(wǎng)之間進(jìn)行物理隔離，形成獨(dú)立的互聯(lián)網(wǎng)應(yīng)用子網(wǎng)。公司中心與各營(yíng)業(yè)部之間建有兩套網(wǎng)絡(luò)，中心路由器是兩臺(tái)CISCO7206，營(yíng)業(yè)部是兩臺(tái)CISCO2612，一條通訊鏈路是聯(lián)通10M光纜，一條是電信2M DDN，改造前兩套鏈路一主一備，為了充分利用網(wǎng)絡(luò)資源實(shí)現(xiàn)兩條鏈路的均衡負(fù)載和線路故障的無(wú)縫切換，子網(wǎng)的劃分采用VLAN 技術(shù)，并將中心端和營(yíng)業(yè)部端的路由器分別采用兩組虛擬地址的HSRP技術(shù)，一組地址對(duì)應(yīng)交易子網(wǎng)，一組地址對(duì)應(yīng)辦公網(wǎng)絡(luò)，形成兩個(gè)邏輯上獨(dú)立的網(wǎng)絡(luò)。改造后原來(lái)一機(jī)兩用（需要同時(shí)訪問(wèn)兩個(gè)網(wǎng)絡(luò)信息）的工作站采用雙硬盤(pán)網(wǎng)絡(luò)隔離卡的方法，在確保隔離的前提下實(shí)現(xiàn)雙網(wǎng)數(shù)據(jù)的安全交換。

二、網(wǎng)絡(luò)邊界安全控制

網(wǎng)絡(luò)安全的需求一方面要保護(hù)網(wǎng)絡(luò)不受破壞，另一方面要確保網(wǎng)絡(luò)服務(wù)的可用性。將網(wǎng)絡(luò)進(jìn)行隔離后，為了能夠滿足網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對(duì)相關(guān)子網(wǎng)資源的訪問(wèn)，保證各業(yè)務(wù)不受影響，在各子網(wǎng)之間采取了不同的存取策略。

（1）互聯(lián)網(wǎng)與交易子網(wǎng)之間：為了保證網(wǎng)上交易業(yè)務(wù)的順利進(jìn)行，互聯(lián)網(wǎng)與交易子網(wǎng)之間建有通訊鏈路，為了保證交易網(wǎng)不受互聯(lián)網(wǎng)影響，在互聯(lián)網(wǎng)與中心的專線之間安裝了NETSCREEN防火墻，并進(jìn)行了以下控制：

a）只允許股民訪問(wèn)網(wǎng)上交易相應(yīng)地址的相應(yīng)端口。

b）只允許信息技術(shù)中心的維護(hù)機(jī)地址PING、TELNET委托機(jī)和路由器。c）只允許行情發(fā)送機(jī)向行情主站上傳行情的端口。

d）其他服務(wù)及端口全部禁止。

并且在互聯(lián)網(wǎng)和交易網(wǎng)之間還采用了SSL并口隔離，進(jìn)一步保證了交易網(wǎng)的安全。

（2）交易網(wǎng)和辦公網(wǎng)之間：對(duì)于辦公網(wǎng)與交易網(wǎng)之間的互訪，采用CISCO2501路由器進(jìn)行雙向控制或有限訪問(wèn)原則，使受控的子網(wǎng)或主機(jī)訪問(wèn)權(quán)限和信息流向能得到有效控制，采用的策略主要是對(duì)具體IP進(jìn)行IP地址與MAC地址的綁定。

（3）辦公子網(wǎng)與互聯(lián)網(wǎng)之間：采用H3C SecPath 500F硬件防火墻，并進(jìn)行了以下控制：

a)允許中心上網(wǎng)的地址訪問(wèn)互聯(lián)網(wǎng)的任何地址和任何端口。

b）允許股民訪問(wèn)網(wǎng)上交易備份地址的8002端口。

c）允許短消息訪問(wèn)公司郵件110、25端口，訪問(wèn)電信SP的8001端口。d）其他的都禁止。

三、病毒防治

網(wǎng)絡(luò)病毒往往令人防不勝防，盡管對(duì)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)隔離，但網(wǎng)絡(luò)資源互防以及人為原因，病毒防治依然不可掉以輕心。因此，采用適當(dāng)?shù)拇胧┓乐尾《?，是進(jìn)一步提高網(wǎng)絡(luò)安全的重要手段。我分別在不同子網(wǎng)上部署了能夠統(tǒng)一分發(fā)、集中管理的賽門(mén)鐵克SEP11.0網(wǎng)絡(luò)病毒防護(hù)軟件，并同時(shí)購(gòu)置單機(jī)版的江民和瑞星防病毒軟件進(jìn)行交叉殺毒；限制共享目錄及讀寫(xiě)權(quán)限的使用；限制網(wǎng)上軟件的下載和禁用盜版軟件；軟盤(pán)數(shù)據(jù)和郵件先查毒后使用等等。

四、集中網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全的保障不能僅僅依靠安全設(shè)備，更重要的是要制定一個(gè)全方位的安全策略，在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一集中的安全管理。在網(wǎng)絡(luò)安全改造完成后，我制訂了公司網(wǎng)絡(luò)安全管理辦法，主要措施如下：

1）多人負(fù)責(zé)原則，每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)，并且一人操作一人復(fù)核。

2）任期有限原則，技術(shù)人員不定期地輪崗。

3）職責(zé)分離原則，非本崗人員不得掌握用戶、密碼等關(guān)鍵信息。

4）營(yíng)業(yè)部進(jìn)行網(wǎng)絡(luò)改造的方案必須經(jīng)過(guò)中心網(wǎng)絡(luò)安全小組審批后方可實(shí)施。

5）跨網(wǎng)互訪須綁定IP及MAC地址，增加互訪機(jī)器時(shí)須經(jīng)過(guò)中心批準(zhǔn)并進(jìn)行存取控制設(shè)置后方可運(yùn)行。

6）及時(shí)升級(jí)系統(tǒng)軟件補(bǔ)丁，關(guān)閉不用的服務(wù)和端口等等。

保障網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)服務(wù)效率永遠(yuǎn)是一對(duì)矛盾體，在計(jì)算機(jī)應(yīng)用日益廣泛的今天，要想網(wǎng)絡(luò)系統(tǒng)安全可靠，勢(shì)必會(huì)增加許多控制措施和安全設(shè)備，從而會(huì)或多或少的影響使用效率和使用方便性。如，我在互聯(lián)網(wǎng)和交易網(wǎng)之間設(shè)置了防火墻的前提下再進(jìn)行了SSL并口隔離后，網(wǎng)上交易股民訪問(wèn)交易網(wǎng)的并發(fā)人數(shù)達(dá)到一定量時(shí)就會(huì)出現(xiàn)延時(shí)現(xiàn)象，為了保證股民交易及時(shí)快捷，我只好采用增加通訊機(jī)的辦法來(lái)消除交易延時(shí)問(wèn)題。

在進(jìn)行網(wǎng)絡(luò)改造后，我公司的網(wǎng)絡(luò)安全級(jí)別大大提高。但我知道安全永遠(yuǎn)只是一個(gè)相對(duì)概念，隨著計(jì)算機(jī)技術(shù)不斷進(jìn)步，有關(guān)網(wǎng)絡(luò)安全的討論也將是一個(gè)無(wú)休無(wú)止的話題。審視改造后的網(wǎng)絡(luò)系統(tǒng)，我認(rèn)為盡管我們?cè)贗nternet的入口處部署了防火墻，有效阻擋了來(lái)自外部的攻擊，并且將網(wǎng)絡(luò)分成三個(gè)子網(wǎng)減少了各系統(tǒng)之間的影響，但在公司內(nèi)部的訪問(wèn)控制以及入侵檢測(cè)等方面仍顯不足，如果將來(lái)公司投資允許，我將在以下幾方面加強(qiáng)：

1、在中心與營(yíng)業(yè)部之間建立防火墻，通過(guò)訪問(wèn)控制防止通過(guò)內(nèi)網(wǎng)的非法入侵。

2、中心與營(yíng)業(yè)部之間的通訊，采用通過(guò)IP層加密構(gòu)建證券公司虛擬專用網(wǎng)（VPN），保證證券公司總部與各營(yíng)業(yè)部之間信息傳輸?shù)臋C(jī)密性。

3、建立由入侵監(jiān)測(cè)系統(tǒng)、網(wǎng)絡(luò)掃描系統(tǒng)、上網(wǎng)行為管理設(shè)備、系統(tǒng)掃描系統(tǒng)、信息審計(jì)系統(tǒng)、集中身份識(shí)別系統(tǒng)等構(gòu)成的安全控制中心，作為公司網(wǎng)絡(luò)監(jiān)控預(yù)警系統(tǒng)。

4、進(jìn)一步完善網(wǎng)絡(luò)安全管理制度，并加以落實(shí)和監(jiān)管。

第三篇：計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用第四章

第四章

1、無(wú)線局域網(wǎng)的特點(diǎn)

? 無(wú)線局域網(wǎng)—無(wú)線以太網(wǎng)—WiFi

? 利用空間無(wú)線電波作為傳輸介質(zhì)

? 結(jié)點(diǎn)可以是固定的、也可以移動(dòng)的? 不需鋪設(shè)線纜，安裝簡(jiǎn)單、使用靈活、易擴(kuò)展

? 技術(shù)標(biāo)準(zhǔn)：

IEEE 802.11：2Mbps

IEEE 802.11b： 11Mbps

IEEE 802.11a： 54Mbps

IEEE 802.11g： 54Mbps

IEEE 802.11n： 300Mbps2、無(wú)線傳輸

? 信號(hào)衰減：信號(hào)在無(wú)線傳輸介質(zhì)中的衰減速度比有線傳輸介質(zhì)大；信號(hào)穿過(guò)不同物體時(shí)的衰減速度不相同。

? 易受干擾：相同頻段相互干擾：802.11b/g和2.4GHz無(wú)繩電話；無(wú)線信號(hào)更易受到電磁噪聲干擾。

? 具有多徑傳播特性：由于障礙物形成的反射，無(wú)線信號(hào)在發(fā)送方和接收方之間穿越多條路徑，接收方接收的疊加信號(hào)模糊不清；發(fā)送方與接收方之間移動(dòng)物體，多徑傳播對(duì)接收信號(hào)的影響更大。

3、基本服務(wù)集與擴(kuò)展服務(wù)集、組網(wǎng)設(shè)備

? 基本服務(wù)集BSS—獨(dú)立基本服務(wù)集IBSS：IBSS中不存在中心結(jié)點(diǎn)，各無(wú)線結(jié)點(diǎn)地位平等，數(shù)據(jù)勿需經(jīng)中間結(jié)點(diǎn)轉(zhuǎn)發(fā)。

? 基本服務(wù)集BSS—帶AP基本服務(wù)集：AP是BSS的中心結(jié)點(diǎn)，結(jié)點(diǎn)間的信息須由AP轉(zhuǎn)發(fā)；BSSID：AP的48位MAC地址(即該BSS由AP代表)；基礎(chǔ)設(shè)施無(wú)線局域網(wǎng)：利用AP組建；安全性和可靠性較高，可實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)與其他網(wǎng)絡(luò)(包括有線網(wǎng)絡(luò))的互聯(lián)；適用環(huán)境：辦公自動(dòng)化等領(lǐng)域；基于AP的無(wú)線局域網(wǎng)是最常見(jiàn)的無(wú)線局域網(wǎng)組網(wǎng)模式。

? 擴(kuò)展服務(wù)集ESS：ESS由多個(gè)帶有AP的基本服務(wù)集通過(guò)分布式系統(tǒng)連接而成；基于ESS無(wú)線局域網(wǎng)屬基礎(chǔ)設(shè)施的無(wú)線局域網(wǎng)；如果ESS中BSS的覆蓋區(qū)域相互交疊，那么無(wú)線站點(diǎn)在ESS中移動(dòng)時(shí)不會(huì)失去連接。? 組網(wǎng)所需的器件和設(shè)備：無(wú)線網(wǎng)卡、天線。

4、無(wú)線信道、訪問(wèn)機(jī)制、幀結(jié)構(gòu)

? 無(wú)線信道：將使用的頻帶范圍劃為多個(gè)子頻帶；子頻帶被稱為信道；提高通信效率，減少無(wú)線局域網(wǎng)之間的相互干擾。

? 訪問(wèn)機(jī)制：

? 幀結(jié)構(gòu)：

5、無(wú)線局域網(wǎng)標(biāo)準(zhǔn)

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用 教案

課題：計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用

一、教材分析

本課選自川教版信息技術(shù)教材八年級(jí)下冊(cè)第一課的內(nèi)容。網(wǎng)絡(luò)已經(jīng)深入我們的生活，了解“什么是網(wǎng)絡(luò)”及網(wǎng)絡(luò)的功能有助于我們更好地使用網(wǎng)絡(luò)。通過(guò)前面的學(xué)習(xí)同學(xué)們已經(jīng)知道計(jì)算機(jī)的不斷發(fā)展是為了滿足社會(huì)的需要，同樣的道理，計(jì)算機(jī)網(wǎng)絡(luò)也要不斷的發(fā)展。本課從什么是網(wǎng)絡(luò)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展歷程以及網(wǎng)絡(luò)的功能幾個(gè)方面對(duì)網(wǎng)絡(luò)進(jìn)行了分析與解釋，為后面的課程的學(xué)習(xí)打下基礎(chǔ)。

二、學(xué)情分析

教學(xué)對(duì)象是樂(lè)山是實(shí)驗(yàn)中學(xué)八年級(jí)的學(xué)生。同學(xué)們對(duì)“網(wǎng)絡(luò)”并不陌生，比如經(jīng)常會(huì)瀏覽網(wǎng)頁(yè)、利用QQ通信等，但是更多的同學(xué)會(huì)把它的概念縮小理解為“互聯(lián)網(wǎng)”，因此，這節(jié)課首先就是要讓學(xué)生能夠了解什么是網(wǎng)絡(luò)。可以利用學(xué)生們已有的上網(wǎng)經(jīng)驗(yàn)來(lái)激發(fā)學(xué)生學(xué)習(xí)本課的興趣。

三、教學(xué)目標(biāo)

1、了解計(jì)算機(jī)網(wǎng)絡(luò)的概念、發(fā)展、功能及分類。

2、根據(jù)網(wǎng)絡(luò)的概念及組成要素，知道組建網(wǎng)絡(luò)要做哪些事。如果身邊碰巧有這種需要，自己可以參與其中。

3、通過(guò)對(duì)生活中不同網(wǎng)絡(luò)類型的介紹，激發(fā)學(xué)生的興趣，并且能恰當(dāng)?shù)貙⑸磉叺囊恍┚W(wǎng)絡(luò)進(jìn)行歸類。

四、教學(xué)重、難點(diǎn)

重、難點(diǎn)同為：計(jì)算機(jī)網(wǎng)絡(luò)的分類及功能

五、教學(xué)環(huán)境

普通教室

六、教學(xué)過(guò)程

1、導(dǎo)入

這是春節(jié)開(kāi)學(xué)后的第一次課，可以先問(wèn)問(wèn)同學(xué)們春節(jié)了都做了些什么。其中必不可少的一件事就是給親友送祝福了。問(wèn)大家在用郵箱發(fā)新年賀卡的時(shí)候有沒(méi)有想過(guò)它是通過(guò)什么傳送的對(duì)方的郵箱的呢？可能部分同學(xué)會(huì)想到網(wǎng)絡(luò)，以此導(dǎo)入新課。

2、什么是計(jì)算機(jī)網(wǎng)絡(luò)

先讓同學(xué)們說(shuō)說(shuō)他們理解的網(wǎng)絡(luò)是什么樣的。絕大多數(shù)同學(xué)可能都會(huì)把網(wǎng)絡(luò)與英特網(wǎng)劃上等號(hào)，先不告訴他們對(duì)錯(cuò)。在講完計(jì)算機(jī)網(wǎng)絡(luò)的概念以及它必須具備的基本要素之后，再讓同學(xué)們討論：網(wǎng)絡(luò)與英特網(wǎng)是不是等同的。這樣同學(xué)們就比較容易理清楚網(wǎng)絡(luò)與英特網(wǎng)是一種包含與被包含的關(guān)系。

3、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展歷程

大家都知道電子計(jì)算機(jī)的不斷發(fā)展是為了滿足社會(huì)的需求，同樣的道理，這也是促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的一個(gè)至關(guān)重要的原因。接著就以社會(huì)的發(fā)展需求為主線來(lái)介紹計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的四個(gè)階段。

4、計(jì)算機(jī)網(wǎng)絡(luò)的分類

借助大家熟悉的校園網(wǎng)、英特網(wǎng)等的特點(diǎn)讓學(xué)生理解不同類型的網(wǎng)絡(luò)

5計(jì)算機(jī)網(wǎng)絡(luò)的主要功能

先讓同學(xué)們討論大家平時(shí)都借助于網(wǎng)絡(luò)做了些什么，并對(duì)他們的所提到的功能進(jìn)行分類。對(duì)于同學(xué)們沒(méi)提到的方面著重講解。

第五篇：食品包裝安全性分析

食品包裝安全性分析

摘要：近年來(lái)，由于受對(duì)外貿(mào)易中技術(shù)壁壘的限制，我國(guó)出口食品因包裝質(zhì)量問(wèn)題頻遭國(guó)外封殺，造成嚴(yán)重的經(jīng)濟(jì)損失，食品包裝材料的安全性問(wèn)題面臨嚴(yán)峻挑戰(zhàn)。我國(guó)是食品包裝材料生產(chǎn)和使用大國(guó)，國(guó)家對(duì)食品包裝材料的生產(chǎn)和使用都有嚴(yán)格的規(guī)定；然而，在我國(guó)使用有毒有害物質(zhì)的違規(guī)行為非常嚴(yán)重。本文分析了我國(guó)食品包裝材料的安全現(xiàn)狀，以及所面臨的主要問(wèn)題，并探討了我國(guó)食品包裝材料的解決對(duì)策。

關(guān)鍵詞：食品包裝、現(xiàn)狀與問(wèn)題、對(duì)策

一、食品包裝的定義

食品包裝是食品商品的組成部分。食品工業(yè)過(guò)程中的主要工程之一。它保護(hù)食品，使食品在離開(kāi)工廠到消費(fèi)者手中的流通過(guò)程中，防止生物的、化學(xué)的、物理的外來(lái)因素的損害，它也可以有保持食品本身穩(wěn)定質(zhì)量的功能，它方便食品的食用，又是首先表現(xiàn)食品外觀，吸引消費(fèi)的形象，具有物質(zhì)成本以外的價(jià)值。因此，食品包裝制程也是食品制造系統(tǒng)工程的不可分的部分。但食品包裝制程的通用性又使它有相對(duì)獨(dú)立的自我體系【1】。

二、安全現(xiàn)狀與存在的問(wèn)題

2．1食品包裝材料自身缺陷帶來(lái)的危害

目前人們普遍使用的食品包裝材料主要分為塑料類、金屬類、和紙(殼)類等。塑料是使用最廣泛的食品包裝材料。塑料屬于高分子聚合物，在聚合合成工藝中會(huì)有一些單體殘留和一些低分子量物質(zhì)溶出【2】。為了改善塑料的加工性能和使用性能，在其生產(chǎn)過(guò)程中需要加入一些添加劑(如穩(wěn)定劑、潤(rùn)滑劑、著色劑、抗靜電劑、可塑劑等加工助劑)。上述物質(zhì)在一定條件下，會(huì)從聚合物材料向接觸的食品中遷移而污染食品。

金屬包裝材料化學(xué)穩(wěn)定性差，特別是包裝酸性內(nèi)容物時(shí)，金屬離子極易析出而影響食品風(fēng)味，一般需要在金屬容器的內(nèi)、外壁施涂涂料，內(nèi)壁涂層中的化學(xué)污染物會(huì)向內(nèi)容物遷移污染食品，外壁含苯的涂料和油墨也會(huì)滲透而污染內(nèi)容物。

紙制品是一種傳統(tǒng)的食品包裝材料，在食品包裝中占有相當(dāng)重要的地位。紙包裝的安全問(wèn)題主要來(lái)自于造紙過(guò)程中加入的添加劑，或原料本身的不清潔，或采用霉變甚至使用回收廢紙作為原料【3】。

2．2包裝材料生產(chǎn)不規(guī)范帶來(lái)的危害

目前我國(guó)食品包裝生產(chǎn)企業(yè)近6 000余家，規(guī)模和產(chǎn)品質(zhì)量良莠不齊。小型企業(yè)占相當(dāng)大的比例，目前僅就塑料袋的生產(chǎn)，全國(guó)90％的企業(yè)都是小企業(yè)，從業(yè)人員素質(zhì)偏低和技術(shù)水平落后等問(wèn)題比較突出【4】。有些企業(yè)為降低成本，使用劣質(zhì)原材料，甚至非法使用回收的廢舊塑料；在一次性塑料餐飲具生產(chǎn)中，使用工業(yè)級(jí)碳酸鈣、滑石粉、石蠟等有毒有害原輔材料；或加入有毒色母料把產(chǎn)品染成黃色，還堂而皇之地標(biāo)上“可降解”字樣；或加入有致癌作用的熒光增白劑掩蓋雜質(zhì)。

此外，我國(guó)大部分食品生產(chǎn)企業(yè)實(shí)行外購(gòu)包裝制品，而生產(chǎn)包裝制品的企業(yè)通常是通用型企業(yè)，其生產(chǎn)環(huán)境和衛(wèi)生條件難以保證產(chǎn)品的安全性。同時(shí)，現(xiàn)在絕大多數(shù)食品企業(yè)不允許包裝企業(yè)在產(chǎn)品上打上自己的標(biāo)志，公眾無(wú)法監(jiān)督，包裝企業(yè)又多以成本高低來(lái)決定購(gòu)買(mǎi)加工材料，從而造成食品安全隱患。

2．3食品包裝安全監(jiān)管薄弱

在我國(guó)盡管食品包裝材料有相應(yīng)的法律法規(guī)(《中華人民共和國(guó)食品安全法》)和衛(wèi)生標(biāo)準(zhǔn)。但是受食品安全管理體制和政府職能分工的限制，目前的法律體系并沒(méi)有得到較高水平的貫徹執(zhí)行。監(jiān)管缺乏依據(jù)，缺乏技術(shù)支撐。相對(duì)于食品本

【5】身的安全監(jiān)管來(lái)說(shuō)，我國(guó)食品包裝安全監(jiān)管明顯薄弱，甚至存在“監(jiān)管盲區(qū)”。我國(guó)要求食品生產(chǎn)企業(yè)必須獲得生產(chǎn)許可，但在包裝企業(yè)中，卻缺乏有效的準(zhǔn)入和管理機(jī)制。目前只制定了《食品用塑料及紙制品的包裝、容器、工具等制品市場(chǎng)準(zhǔn)入強(qiáng)制生產(chǎn)許可(QS)認(rèn)證》，實(shí)行了市場(chǎng)準(zhǔn)入制度。而陶瓷、玻璃、金屬、橡膠、竹制品等食品包裝材料，大部分仍未實(shí)行市場(chǎng)準(zhǔn)入制度。更令人憂慮的是，即使對(duì)被納人市場(chǎng)準(zhǔn)入制度的食品容器、包裝產(chǎn)品也未能做到嚴(yán)格地“許可”后續(xù)監(jiān)管。

2．4包裝材料的標(biāo)準(zhǔn)和檢測(cè)方法亟待健全完善

由于各種因素的影響，我國(guó)對(duì)食品包裝材料的管理相對(duì)滯后，部分食品容器、包裝材料及加工助劑的標(biāo)齡較長(zhǎng)，檢測(cè)項(xiàng)目相對(duì)較少，嚴(yán)重制約了行業(yè)的健康發(fā)展。許多成分和新產(chǎn)品缺乏相應(yīng)的標(biāo)準(zhǔn)和檢測(cè)方法，導(dǎo)致包裝材料中的有害成分得不到有效控制。在復(fù)合包裝材料生產(chǎn)中，廣泛使用的油墨和膠粘劑，目前還沒(méi)有衛(wèi)生標(biāo)準(zhǔn)和全國(guó)統(tǒng)一的產(chǎn)品標(biāo)準(zhǔn)【6】。隨著一些新型的食品包裝材料的層出不窮，亟待標(biāo)準(zhǔn)的制定、修訂和更新，并完善新材料的安全性評(píng)價(jià)程序和評(píng)價(jià)機(jī)制。

三、對(duì)策

3．1制定和完善法規(guī)

通過(guò)有關(guān)法規(guī)的制定和對(duì)廣大食品生產(chǎn)者和消費(fèi)者的教育和引導(dǎo)，使人們充分認(rèn)識(shí)到綠色包裝可以改善人類的生存環(huán)境，確保綠色包裝行業(yè)的健康、持續(xù)發(fā)展。

3．2加強(qiáng)對(duì)新型材料的研究

大力推廣現(xiàn)代包裝新技術(shù)取代傳統(tǒng)包裝工藝是確保獲取綠色包裝的有效方法。例如，采用電子分色、電子雕刻取代落后照相凹版制作工藝，避免了因腐蝕液排放而危害環(huán)境衛(wèi)生。在食品包裝工藝上大力推廣使用公害小、污染小的“綠色”印刷材料，有著重要的現(xiàn)實(shí)意義。3．3積極引進(jìn)、吸收國(guó)外成熟技術(shù)

對(duì)綠色食品進(jìn)行適度包裝，積極推廣“無(wú)包裝”、“減包裝”及局部包裝。美國(guó)頒布了《包裝和包裝廢棄物限制法》，日本頒布了《商品禮盒包裝適當(dāng)化綱要》，還有一些國(guó)家明確規(guī)定了包裝費(fèi)用應(yīng)控制在商品價(jià)格的15％以內(nèi)【7】。盡量使用同一材料，減少材料種類。盡量使用同一材料進(jìn)行設(shè)計(jì)，不是限制包裝設(shè)計(jì)的多樣性，而主要是出于方便回收的考慮。采用可拆卸化、易壓縮、折疊的設(shè)計(jì)。在設(shè)計(jì)包裝物的結(jié)構(gòu)時(shí)，應(yīng)考慮可拆卸、易壓縮、易折疊，使之更便于運(yùn)輸和回收。建立先進(jìn)的回收系統(tǒng)，從而做到節(jié)約能源與資源。3．4加強(qiáng)設(shè)計(jì)識(shí)別

綠色包裝與綠色食品密不可分，綠色包裝在對(duì)綠色食品的包裝過(guò)程中不僅是對(duì)材料、功能的要求，同時(shí)對(duì)包裝外觀的識(shí)別也有明確規(guī)定。環(huán)保部門(mén)對(duì)綠色包裝的外觀要求必須是“五位一體”：綠色食品、綠色食品字樣、編碼、防偽激光標(biāo)簽和認(rèn)證單位。消費(fèi)者在購(gòu)買(mǎi)綠色食品時(shí)依據(jù)其外包裝上的上述5項(xiàng)標(biāo)準(zhǔn)即可確定所購(gòu)商品是否為真正的綠色商品【8】。由于各方面的原因，對(duì)綠色食品生產(chǎn)企業(yè)的產(chǎn)品包裝沒(méi)有統(tǒng)一的要求，大部分綠色食品沒(méi)有采用綠色包裝，有些甚至使用有毒、有害物質(zhì)做包裝。綠色包裝已成為我國(guó)商品進(jìn)入國(guó)際市場(chǎng)的障礙，因此，在我國(guó)包裝行業(yè)推廣“綠色包裝”，勢(shì)在必行。

總結(jié)：

隨著科技的不斷發(fā)展，食品包裝材料的研究與開(kāi)發(fā)也越來(lái)越“以人為本”，想著健康環(huán)保的方向發(fā)展。隨著國(guó)家政策的調(diào)整以及消費(fèi)觀念的改變，借鑒發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)，我國(guó)的相關(guān)制度越來(lái)越完善，廣大消費(fèi)者對(duì)食品包裝材料安全性的認(rèn)識(shí)也越來(lái)越深入。從長(zhǎng)遠(yuǎn)的角度看，社會(huì)環(huán)境需要食品產(chǎn)業(yè)的高安全性，因此，作為食品生產(chǎn)最后環(huán)節(jié)的包裝材料的安全也成為重中之重。我們應(yīng)當(dāng)清楚目前所面臨的困境，同時(shí)也應(yīng)該對(duì)未來(lái)充滿期望和信心。

參考文獻(xiàn)：

[1]《中華人民共和國(guó)食品安全法》

[2] 劉浩 趙笑虹.食品包裝材料安全性分析.中國(guó)食物與營(yíng)養(yǎng)，2009 [3] 黃大川．食品包裝材料對(duì)食品安全的影響及預(yù)防措施探討．食品工業(yè)科技，2007，4：188 [4] 梁燕君.注意食品包裝材料的安全性.勞動(dòng)保護(hù)雜志2002,(1):32 [5] 郭恒斌 曾慶祝 王雅卿.食品包裝材料的安全性及其對(duì)策.現(xiàn)代食品科技，2006 [6] 章建浩主編食品包裝大全.中國(guó)輕工業(yè)出版社，2000 [7] 唐志祥.包裝材料與實(shí)用包裝技術(shù).化學(xué)工業(yè)出版社，1996 [8] 章建浩.食品包裝學(xué).中國(guó)農(nóng)業(yè)出版社2002