网络安全技术规范范文

导语：如何才能写好一篇网络安全技术规范，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

届时，大会还将继续凸显“我国电子认证服务业发展现状与重点”的介绍，并以“工业控制系统安全高峰论坛”为本届大会的突出亮点，集纳各界经典名篇、学术成果、研究课题、应用经验，编辑出版《2013中国信息安全技术展望学术论文集》，其中优秀论文将择优在《信息安全与技术》（国家级刊物）、《信息网络安全》、《计算机安全》、《电脑编程技巧与维护》上刊登，并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊（遴选）数据库》、《中文科技期刊数据库》和龙源期刊网。

征文内容如下：

1.计算机安全、下一代网络安全技术；

2.网络安全与网络管理、密码学、软件安全；

3.信息系统等级安全保护、重要信息系统安全；

4.云计算与云安全、物联网的安全；

5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究；

6.信息内容安全、通信安全、网络攻防渗透测试技术；

7.可信计算；

8.关键基础设施安全；

9.系统与网络协议安全分析；

10.系统架构安全分析；

11.面向业务应用的整体安全保护方案；

12.信息安全漏洞态势研究；

13.新技术新应用信息安全态势研究；

14.Web应用安全；

15.计算机系统安全等级保护标准的实施与发展现状；

16.国内外电子认证服务相关政策与标准研究；

17.电子认证服务最新技术和产品；

18.电子认证服务应用创新；

19.电子认证服务行业研究和热点事件解析；

20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析；

21.数字证书交叉认证技术规范/应用规范/应用案例分析；

22.电子认证服务与云计算、物联网、移动互联网等新技术、新应用融合的相关技术、标准规范和应用发展情况；

23.工业控制系统信息安全标准；

24.信息安全和功能安全标准化；

25.信息安全和功能安全集成技术；

26.工业控制系统安全性的技术指标与经济成本；

27.信息安全产品设计和系统集成；

28.工业控制系统安全的评估与认证；

29.工业控制系统的信息安全解决方案；

30.工业自动化安全面临的风险；

31.国外工业控制系统安全的做法；

32.工业控制系统信息安全现状及其发展趋势；

33.工业控制系统安全性的建议；

34.工控系统与信息系统对信息安全的不同需求；

35.工业控制系统的安全性与可用性之间的矛盾与平衡；

36.应用行业工业控制系统的信息安全防护体系；

37.工业控制系统安全测评体系；

38.工业控制系统安全安全策略；

篇2

一、学校网络与信息安全工作情况

本次检查内容主要包含网络与信息系统安全的管理机构、规章制度、设施设备、网站和信息运行情况、人技防护、队伍建设等5个方面，同时从物理安全差距、网络安全差距、主机安全差距、应用安全差距、数据安全及恢复差距等5个方面对主机房和14个信息系统、1个网站进行等级保护安全技术差距分析，通过差距分析，明确各层次安全域相应等级的安全差距，为下一步安全技术解决方案设计和安全管理建设提供依据。

从检查情况看，我校网络与信息安全总体运维情况良好，未出现任何一起重大网络安全与信息安全事件（事故）。近几年，学校领导重视学校网络信息安全工作，始终把网络信息安全作为信息化工作的重点内容；网络信息安全工作机构健全、责任明确，日常管理维护工作比较规范；管理制度较为完善，技术防护措施得当，信息安全风险得到有效降低；比较重视信息系统（网站）系统管理员和网络安全技术人员培训，应急预案与应急处置技术队伍有落实；加强对学生网络宣传引导教育，日常重视微信、微博、QQ群的管理，提倡争当“绿色网民”；工作经费有一定保障，网络安全工作经费纳入年度预算，在最近一年学校信息化经费投入中，网络建设与设备购置费用约占56、5%，数字资源与平台开发费用约占40、6%，培训费用约占0、6%，运行与维护费用约占1、04%，研究及其他费用约占1、23%，总计投入占学校同期教育总经费支出的比例约1、57%，基本保证了校园网信息系统（网站）持续安全稳定运行。

1、网络信息安全组织管理

20xx年学校成立网络与信息安全工作领导小组，校主要领导担任组长，网络与信息安全工作办公室设在党委工作部，领导小组全面负责学校网络信息安全工作，教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作，对全校网络信息安全工作进行安全管理和监督责任。各部门承担本单位信息系统和网站信息内容的直接安全责任。20xx年，由于人动，及时调整网络安全和信息安全领导小组成员名单，依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，明确各部门负责人为部门网站的具体负责人，建立学校网络信息员队伍，同时，还组建网络文明志愿者队伍，对网络出现的热点问题，及时跟踪、跟帖、汇报。

2、信息系统（含网站）日常安全管理

学校建有“校园网络系统安全管理（暂行）条例”、“学生上网管理办法“、“校园网络安全保密管理条例（试行）”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。各系统（网站）使用单位基本能按要求，落实责任人，较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常监控对象包括主要网络设备、安全设备、应用服务器等，其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。日常维护操作较规范，多数单位做到了杜绝弱口令并定期更改，严密防护个人电脑，定期备份数据，定期查看安全日志等，随时掌握系统（网站）状态，保证正常运行。

3、信息系统（网站）技术防护

学校网络信息安全前期的防控主要是基于山石防火墙、深信服防火墙及行为管理软件，20xx年为加强校园网络安全管理，购置了“网页防篡改、教师行为管理、负载均衡”等相关安全设备，20xx年二月中旬完成校园信息系统（含网站）等级保护的定级和备案，并上报xxx市网安支队。同时，按二级等保要求，约投资110万元，完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造（物理安全）”等网络安全设备的采购工作，目前，方案已经通过专家论证。

20xx年4月-6月及20xx年3月对网站系统进行安全测评，特别对系统层和应用层漏洞扫描，发现（教务管理系统、教学资源库）出现漏洞，及时整改，并将结果上报省教育厅、省网安大队、xxx市网安支队。同时，对各防火墙软件7个库进行升级，对服务器操作系统存在的漏洞及时补丁和修复，做好网站的备份工作等。

4、网络信息安全应急管理

20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位，在重大节日及敏感时期，采用24小时值班制度，对网络安全问题即知即改，确保网络安全事件快速有效处置。

二、检查发现的主要问题

对照《通知》中的具体检查项目，我校在网络与信息安全技术和安全管理建设上还存在一定的问题：

1、由于学校信息化建设尚处于起步阶段，学院数据中心建设相对薄弱，未建成完善的数据中心共享体系，各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时，网络安全保障平台（校园网络安全及信息安全等级保护）尚在建设中。

2、部分系统（网站）日常管理维护不够规范，仍存在管理员弱口令、数据备份重视不够、信息保密意识较差等问题；学校子网页网管员为兼职，投入精力难以保证，而且未取得相应资格证书；由于经费问题，个别应用系统未能及时升级，容易发生安全事故。

3、目前尚未开展网络安全预案演练，还未真正组建一支校内外联合的网络安全专家队伍，未与社会企业签订应急支持协议和完成应急队伍建设规划。

三、整改措施

针对存在的问题，学校网络与信息安全工作领导小组专门进行了研究部署。

1、全面开展信息系统等级保护工作。按照相关《通知》要求，20xx年8月底全面完成网络安全保障平台建设，根据系统在不同阶段的需求、业务特性及应用重点，采用等级化与体系化相结合的安全体系设计方案，形成整体的等级化的安全保障体系，同时根据安全技术建设和安全管理建设，保障信息系统整体的安全。

2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等，保障信息系统整体安全。

篇3

关键词：计算机信息管理技术；网络安全；技术应用；研究分析

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 20-0000-01

计算机信息管理技术在现代化的社会之中有着重要的应用，而应用的不断增强也使得其重要性不断提升，随着科学技术的不断发展以及信息化的趋势不断来临，人们在针对计算机信息管理技术进行提升的同时，对于网络安全也有了更多的关注和了解。主要的来讲，计算机信息是一种在网络之上借助一定的传播媒介进行信息传递的管理技术，而广大用户的利益与网络的安全可谓是有着紧密的联系，网络技术安全与计算机信息管理技术有着不可分割的关系。要想进一步的促进计算机信息管理技术的发展与改进，就必须要针对网络安全技术进行全面的改进，并且对网络安全技术的诸多层面进行深度的探讨，根据特定的情况制定出有针对性的网络安全防护措施和方案，提升应用的安全性，进而促进信息化技术的稳步发展。

一、计算机信息管理技术在网络安全应用之中的问题分析

计算机管理技术在整个计算机应用技术当中占有非常重要的地位，所以针对其技术的安全性进行提升有着重要的意义。在应用的过程之中首先需要对网络安全性进行必要的分析，找出存在的基本问题，并且逐步的落实网络安全管理的技术规范，提升计算机信息管理技术的安全性。常见的诸如IP地址以及域名等等其中可能都包含有网络攻击，而针对其安全性进行提升，有助于有效的遏制恶劣信息的攻击，保证网络信息的安全。另外，计算机监测信息技术是安全性工作当中的一项重要手段，通过监测技术可以对计算机网络运行之中的不确定性因素以及危险因素进行实时的监控，避免危险信息对网络安全造成威胁。在日常的计算机信息管理过程当中也需要做好面对突发问题的准备，保证在相应的安全问题发生之时可以正确的、快速的、科学的应对。最后在针对计算机控制信息的范文过程当中还需要注重用户信息的安全性把控，合理的控制信息的访问，是保证信息以及相关资源安全性的首要环节。综合上述的分析，对于计算机信息管理技术之中存在的诸多安全问题，还需要通过不懈的改善网络运行的环境、提升安全保障性来对相应的问题进行解决。

二、计算机信息管理技术安全性提升的策略分析

针对计算机信息管理技术的安全性进行提升，首要的一点就是加强安全风险的防范意识以及防范的观念。使得计算机信息管理的安全性技术深入到每一个工作细节之中，针对相关的技术人员进行安全风险防范意识观念的培训和教育，做到从源头之上针对安全性问题进行控制和管理，控制信息和资源的访问，抵制不良信息和不良因素对计算机网络的攻击，并且深入的认识到计算机信息管理技术工作当中安全性防范工作的重要性与必要性。但是，从整体上来讲针对计算机信息管理技术的安全性进行管理和控制是一项紧迫并且艰巨的任务，由于计算机信息管理技术的安全性与内部所有用户的利益都有着非常紧密的联系，所以针对安全性技术的改进，还需要紧紧的跟随时代和技术发展的步伐，全面的深化技术的改革，不断的对新型技术手段进行分析与探索，做好风险防范的规划与决策，进而推动计算机安全性技术的管理水平。

其次，还需要针对信息管理的技术进行必要的控制。控制技术是管理的核心和最基本的环节，要想使得整个计算机网络之内的科学性和安全性得到提升，就需要考虑内部与外部的诸多影响因素，并且将信息的安全化管理体系建设完善。针对计算机信息管理技术之中相关的风险因素进行研究，保证在安全问题来临之时可以进行科学化的防范和管理，明确网络技术的分工，明确安全性技术管理的基本责任制度，确保所有的安全管理工作可以在有规划和有组织的条件之下开展与进行。

最后，还需要不断的加强信息管理技术模型的创新，最终建立起一个安全的、完善的管理技术模型。管理技术模型对于保证计算机信息管理技术的安全性有着积极的影响。在现阶段的安全技术模型改造工作当中，已经取得了较好的成绩，在下一阶段的工作之中还需要在研究、探讨以及以往经验的工作基础之上，全面的对计算机信息管理技术在网络安全应用之中的管理方案进行规划和协调，采取混合式的管理模式，加强网络技术的安全性。

三、结束语

综上所述，根据对计算机信息管理技术在网络安全之中的应用进行全面的分析，从实际的角度出发论述了现代化的计算机信息管理技术的安全性增强措施与技术方案，旨在进一步的推动技术的创新，完善信息安全技术的管理手段。

参考文献：

[1]傅彦铭，李蕊，陈攀.一种面向攻击效果的网络安全态势评估方法[J].软件，2012，10.

篇4

关键词信息安全；PKI；CA；VPN

1引言

随着计算机网络的出现和互联网的飞速发展，企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，在2003年后，木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场，企业就面临着如何提高自身核心竞争力的问题，而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等，又时刻在制约着自己，企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中，以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台，通过内部网相互连接，根据公司统一规划，通过防火墙与外网互联。在内部网络中，各计算机在同一网段，通过交换机连接。

图1

2)应用系统

经过多年的积累，某公司的计算机应用已基本覆盖了经营管理的各个环节，包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善，计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全，某公司实施了计算机网络安全项目，基于当时对信息安全的认识和安全产品的状况，信息安全的主要内容是网络安全，部署了防火墙、防病毒服务器等网络安全产品，极大地提升了公司计算机网络的安全性，这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析，可得出如下结论：

(1)经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析，也可以看出：随着计算机技术的发展、安全威胁种类的增加，某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷，具体表现在：

(1)系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的，主要工作集中于网络安全，对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证，对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段，很容易被冒充；又如数据备份缺乏整体方案和制度规范，容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念，是基于这样一种信任模型的，即网络内部的用户都是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全，人们提出了内部网络安全的概念，它基于这样一种信任模型：所有的用户都是不可信的。在这种信任模型中，假设所有用户都可能对信息安全造成威胁，并且可以各种更加方便的手段对信息安全造成威胁，比如内部人员可以直接对重要的服务器进行操控从而破坏信息，或者从内部网络访问服务器，下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点：超过80%的信息安全隐患是来自组织内部，这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程，某公司缺乏相关的规章制度、技术规范，也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

已购买的网络安全产品中，有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性，拟对系统的互联网出口进行严格限制，原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求，现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述，某公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

(1)某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定，使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面，任何改造、添加甚至移动，都可能影响现有网络的畅通或在用系统的连续、稳定运行，这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题，在规划与应用系统衔接的基础安全措施时，优先保证透明化，从提供通用安全基础服务的要求出发，设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力，某公司分期、分批建设了一些整体的或区域的安全技术系统，配置了相应的设施。因此，本方案依据保护信息安全投资效益的基本原则，在合理规划、建设新的安全子系统或投入新的安全设施的同时，对现有安全系统采取了完善、整合的办法，以使其纳入总体安全技术体系，发挥更好的效能，而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销的平衡，采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求，亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的，需要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术，可以对多种网络对象进行有效地访问监控，为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部，大量的安全威胁来自企业内部。很早之前安全界就有数据显示，近80%的网络安全事件，是来自于企业内部。同时，由于是内部人员所为，这样的安全犯罪往往目的明确，如针对企业机密和专利信息的窃取、财务欺骗等，因此，对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

(4)在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署，为众多行业提供了网络安全解决手段。

也希望通过本方案的实施，可以建立较完善的信息安全体系，有效地防范信息系统来自各方面的攻击和威胁，把风险降到最低水平。

篇5

现场工作人员详细地向记者介绍了公司的情况：上海众人网络安全技术有限公司是专业从事网络信息安全技术研发和产品生产的高新技术企业，是国家密码管理局正式批准的商用密码产品生产定点单位和销售许可单位，已通过ISO9001质量管理体系和ISO27001信息安全管理体系认证。公司成立于2007年，主要技术和产品包括拥有完全自主知识产权的动态密码身份认证系统、基于云的统一身份认证平台、智慧城市公共区域安全网络系统、可应用于移动互联网的SOTP创新安全认证技术等，已广泛应用于政府、军事、金融、电信等涉及国家和民众网络信息安全的重要领域。

随着互联网和移动互联网的快速发展，网络安全已成为一个关乎社会信息、金融安全的重要课题。银行卡被盗刷、第三方支付安全漏洞等网络安全问题频繁发生，越来越威胁到大众的隐私权益和财产安全，被推向全民热议的高峰。现场工作人员坦言，其实网络信息安全都是属于幕后的工作，绝大多数人并不了解信息安全企业在做什么，这也是企业选择参加南博会的重要原因之一，希望借此让更多民众了解信息安全行业，呼吁民众增强网络信息安全的意识，防范可能存在的安全隐患。“从网络信息安全行业角度而言，盈利已经不是众人的终极目标，我们更看重的是对国家信息安全、对整个民族的使命感和责任感。因此，众人科技始终坚持‘自主研发、自主设计、自主生产’的‘国产化’发展战略，不断进行科技储备，致力于研发制造出更多有技术含量的安全产品。自主可控的技术和产品被更多人认可和使用，并能走出国门走向世界是众人科技的目标和追求”。

目前，众人科技已发展成为行业的标杆企业，是国内信息安全关键细分领域――身份认证领域的领航企业，申报国家专利过百项，核心技术填补了国内空白，已达到国际同类产品先进水平，是国产信息安全标准制定的积极参与者和推动者。

这些成绩的取得绝非偶然，首先，众人科技具备专业的多元化的研发团队。众人科技拥有的技术研发人员和技术支持人员的占比超过公司总人数的50%，80%以上的人员学历都在大学本科以上。众人科技拥有多个领域的专业化技术研发团队，其中研发团队的核心工作人员都是多年从事该领域、具有丰富实战工作经验的软件设计、研发、测试人员。

其次，公司拥有完全的自主知识产权。众人科技已申报国家专利过百项，包括发明专利、实用新型专利、外观设计专利和商标专利。并且，目前众人科技已具备与多个行业的合作基础和丰富经验，针对不同行业应用和场景的解决方案，包括政企、金融、电信、电商、第三方支付以及学校、医院、铁路等。随着电子银行、移动支付的发展需求，众人科技还建立了与金融行业的长期合作，现已与中国工商银行、中国建设银行、中国民生银行等多家大型银行开展了深入的合作，为网银业务提供了多样化、个性化的系统解决方案，在支付领域积累了十分丰富的经验。众人科技与电信等运营商也有成功合作的项目，在方案制作、工程部署、运行维护方面奠定了扎实的技术和实施能力。同时，众人科技还积极参与政府项目的建设，并严格按照政策要求研究开发相应的技术和产品，获得了政府包括军队的高度认可。

篇6

【关键词】等级保护；虚拟专网；VPN

1.引言

随着因特网技术应用的普及，以及政府、企业和各部门及其分支结构网络建设和安全互联互通需求的不断增长，VPN技术为企业提供了一种低成本的组网方式。同时，我国现行的“计算机安全等级保护”也为企业在建设信息系统时提供了安全整体设计思路和标准。如何充分利用VPN技术和相关产品，为企业提供符合安全等级保护要求、性价比高的网络安全总体解决方案，是当前企业信息系统设计中面临的挑战。

2.信息安全管理体系发展轨迹

对于信息安全管理问题，在上世纪90年代初引起世界主要发达国家的注意，并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》，规定信息安全管理体系与控制要求和实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织（ISO）联合国际电工委员会（IEC）分别于2000年和2005年将BS7799标准转换为ISO/IEC 17799《信息安全管理体系 实施细则》和ISO/IEC 27001《信息安全管理体系 要求》，并向全世界推广。中国国家标准化管理委员会（SAC）于1999年了GB/T 17859《计算机信息系统安全保护等级划分准则》标准，把信息安全管理划分为五个等级，分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分，并提出了监管方法。2008年制订并下发了与ISO/IEC 17799和ISO/IEC 27001相对应的GBT 22081-2008《信息安全管理体系 实用规则》和GBT 22080-2008《信息安全管理体系 要求》。

3.信息系统安全的等级

为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，国家公安部、保密局、密码管理局和国务院信息化工作办公室等，于2007年联合了《信息安全等级保护管理办法》，就全国机构/企业的信息安全保护问题，进行了行政法规方面的规范，并组织和开展对全国重要信息系统安全等级保护定级工作。同时，制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范（国家标准审批稿），来指导国内机构/企业进行信息安全保护。

在《信息系统安全等级保护基本要求》中，要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面，按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求，对信息流进行不同等级的划分，从而达到有效保护的目的。信息系统的安全保护等级分为五级：第一级为自主保护级，第二级指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。

针对政府、企业常用的三级安全保护设计中，主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下，实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。

图1 三级系统安全保护示意图

图2 VPN产品部署示意图

4.VPN技术及其发展趋势

VPN即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN使用三个方面的技术保证了通信的安全性：隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求，目前VPN技术主要包括IPSec VPN，非IPSec VPN（如PPTP，L2TP等），基于WEB的SSL VPN等。

IPSec VPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障，协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术，对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。

SSL VPN是基于SSL协议的VPN产品。在企业中心部署SSL VPN设备，无需安装客户端软件，授权用户能够从任何标准的WEB浏览器和互联网安全地连接到企业网络资源。SSL VPN产品最适合于远程单机用户与中心之间的虚拟网构建。

整个VPN通信过程可以简化为以下4个步骤：

（1）客户机向VPN服务器发出连接请求。

（2）VPN服务器响应请求并向客户机发出身份认证的请求，客户机与VPN服务器通过信息的交换确认对方的身份，这种身份确认是双向的。

（3）VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数，形成安全隧道。

（4）最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密，然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。

目前国外公开的相关VPN产品多数采用软件加密的方式，加解密算法也多使用通用的3DES、RSA加解密算法，不符合国家密码产品管理和应用的要求。《商用密码管理条例》（中华人民共和国国务院第273号令，1999年10月7日）第四章第十四条规定：任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。国家密码管理局在2009年针对VPN产品下发了《IPSec VPN技术规范》和《SSL VPN技术规范》，明确要求了VPN产品的技术体系和算法要求。

5.VPN技术在等级保护中的应用

在三级防护四大方面的设计要求中，VPN技术可以说是在四大方面的设计要求中都有广泛的应用：

在安全计算环境的设计要求中：首先在实现身份鉴别方面，在用户访问的中心，系统管理员都统一建立的有用户的用户组和用户名，用户会通过VPN的设备登录访问中心的应用系统，当身份得到鉴别通过时才可访问应用系统；其次在数据的完整性保护和保密性保护上都能够防止用户的数据在传输过程中被恶意篡改和盗取。

在安全区域边界的设计要求中：网络边界子系统的边界控制与VPN功能一体化实现，在保证传输安全性的同时提高网络数据包处理效率。

在安全通信网络的设计要求中：网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道，通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护，为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关，通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输，实现应用数据的加密通信。

在安全管理中心的设计要求中：系统管理中，VPN技术在主机资源和用户管理能够实现很好的保护，对用户登录、外设接口、网络通信、文件操作及进程服务等方面进行监视机制，确保重要信息安全可控，满足对主机的安全监管需要。

在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。

篇7

（一）起步阶段

我国金融会计电子化工作最早起步于20世纪70年代末，在80年代初期得到了初步发展。这一时期，计算机开始在会计制表、储蓄、对公核算业务方面得到初步应用，应用系统一般在DOS平台上单机运行，系统的开发、硬件的选型均不统一，软件系统的特点也只是模拟手工核算，其目的只是为了减少劳动强度和工作量，缺乏操作规范和管理规章制度。

（二）发展阶段

到了20世纪80年代中后期，金融电子化工作得到各家银行的重视，各银行系统纷纷制订本行的电子化发展规划，人民银行对整个金融业的发展规划也做出了安排。在此期间，金融会计电子化的应用领域和规模迅速扩大，区域性乃至全国性的清算网络开始建设。这一时期的另一特点是，一些银行开始了微机应用由单机向网络运行的过渡，如出现了城市通存通兑网络、同城清算网络，业务应用领域也从单项业务发展向综合会计业务过渡，软件开发和硬件选型在一定范围内得到统一，操作规范和管理规章制度已经建立。人民银行总行在这一时期牵头制定了金融电子化发展规划和远期目标设想，1989年，人民银行全国电子联行清算网络系统开始启动，同年，财政部颁布实施了《会计核算软件管理的几项规定（试行）》，以规范会计软件管理工作。

（三）规范再发展阶段

进入20世纪90年代，金融会计电子化规范管理工作得到有关部门重视，各行在此基础上逐渐建立起了本系统的全国异地电子联行清算系统，如异地汇划系统、信用卡清算系统等。在90年代后期，一些银行在大中城市建立了集中清算中心，财政部也于1994年7月颁布实施了《会计电算化管理办法》、《商品化会计核算软件评审规则》和《会计核算软件基本功能规范》。这一时期，会计电子化安全问题得到进一步的重视，网络安全问题逐渐成为安全防范的主要研究课题。今后，伴随电子商务的发展，金融会计电子化工作将向网络化发展，网络银行、电话银行出现，网络安全成为金融会计电子化安全工作的重点，金融会计电子化的规章制度和法规应运而生，金融会计电子化的安全日益关系到银行生存乃至整个社会的稳定。

二、我国金融会计电子化工作中的安全问题

回顾我国金融会计电子化的发展历程，笔者认为目前我国金融会计电子化工作中主要存在以下安全问题。

（一）软件设计、开发过程中技术安全措施少、安全级别低

现有的会计应用软件系统在设计、开发阶段，普遍存在系统需求中安全需求少、软件设计重功能轻安全等问题。软件设计选用语言和数据库时没有过多考虑安全性能因素，以至于软件投入运行后暴露出诸多安全隐患，如数据库呈开放状态、易于打开、应用系统软件存在安全漏洞等。这类现象在金融会计电子化起步、发展阶段开发的系统中更为明显，并且这些软件系统在目前还未得到彻底的更新换版。

（二）硬件自身安全性能低

这主要是在硬件选型上安全性能因素考虑的比较少，而主要侧重硬件功能和价格的考察。另外，这与在硬件选型上不统一，缺乏金融系统统一的硬件选型标准也有关系。硬件自身安全性能低造成的安全问题将直接影响会计应用系统软件的正常运行。

（三）机房建设中存在安全隐患

尽管国家出台了《中华人民共和国计算机房、站、场地安全要求》，但这一要求在一些小的机房、场地建设中注意的较少，尤其在一些县支行机房建设中，安全要求没有得到彻底落实，甚至有的地方没有专用的计算机房和场地。此外，即使建立了专用计算机房，考虑到资金等因素，许多安全设施并未配置齐全，存在机房无避雷系统、不配备UPS系统、UPS损坏后不及时修理、机房管理不严密等问题。

（四）网络安全问题突出

由于我国计算机网络建设时间比较短，安全经验不足，暴露出的网络安全问题比较多。这主要表现在以下2个方面。1.网络传输载体本身安全性能不稳定目前我国网络传输载体主要分有线和微波2种，但从应用会计电子化网络的实践来看，这2种载体都或多或少地存在安全问题。比如电信部门提供的传输线路传输质量不高，所用电话线路由于多为明线易损坏；而微波载体由于通信发送、接收设备安全性能不高，一些外来自然因素影响了传输效果，甚至导致传输线路暂时中断。2.投入使用的网络软件安全技术措施少，尤其是地方性局域网络目前，由于对地方建设的清算和会计信息传输网络的安全技术规范还不太明确，并且对于局域网络安全建设的认证、验收还没有一个技术规范和认证体系，使得局域网络建设缺少安全把关，使已建成的网络在安全方面存在较多漏洞和隐患。

（五）应用系统操作和使用过程中存在安全问题

金融会计电子化工作在应用会计微机系统方面存在安全问题的主要原因是操作和管理人员安全意识淡薄，当然具体管理工作薄弱也是不可忽视的一点。

1.在操作人员方面，主要表现为操作密码管理不严格，存在密码口令使用周期过长、密码泄密、操作用户离岗不签退应用系统、窃密等问题，这主要源于操作人员安全意识淡薄。

2.业务部门管理人员安全意识淡薄。对于一些安全管理制度检查落实不到位，尤其对安全操作与方便业务处理两者之间的关系处理不妥当。在管理中的突出表现是违背安全规定去设置和配备操作岗位与操作人员，出现违规操作、违规兼岗现象，对计算机房疏于管理。

3.系统管理人员安全职责履行不到位。系统管理员的两项重要职责是保证自己操作的安全和会计应用系统运行的安全。目前，有些系统管理员对以上两项职责履行不到位，存在重视自身操作安全，忽视对用户操作安全进行检查的现象；有些系统管理员疏于对计算机电源、硬件设备的定期安全检查、检修，对会计应用系统的操作和运行状况不能做到定期检查。

4.在具体安全管理方面，手段比较少，对软、硬件的安全检查更少。银行会计部门每年都要进行安全检查，但往往只是注重业务操作管理制度落实情况的检查，很少联合科技部门对会计应用系统软硬件的安全状况进行检查。即使对业务操作安全方面进行检查，由于只是对操作现场简单地了解一下，很难发现日常工作中存在的一些安全问题。

（六）制度和法规建设滞后，直接降低了会计应用

系统的运行安全性能1993年，人民银行宿州市中心支行就开始了推广人民银行总行组织开发的“中央银行会计核算系统”应用工作。1996年，该核算系统已推广到人民银行系统内多数营业机构，而真正的管理办法《中央银行会计核算系统》直到1997年方出台，这在当时为许多银行管理此系统的安全造成了不便。另外，法律制度的滞后也使一些机构无所适从，例如，目前印鉴技术已发展到电子印鉴逐渐取代传统印鉴阶段，电子印鉴的安全系数不断得到提高，但是现在的法律不认可电子印鉴；伴随金融电子联行的普及和异地汇划网络的建设，异地汇兑处理手续也发生了变化，《支付结算会计核算处理手续》中的一些环节已不适应电子化发展的形势，但至今未做出改变，这使得一些电子联行处理手续合理不合法。此外，即使有些银行及时制定了有关的操作规程和管理办法，但由于基层银行没有制定切实可行的安全实施细则，加之操作和管理人员安全意识的淡薄，现有制度没有落实到位的情况还很多。

三、解决金融会计电子化安全问题的几点建议

为防范和解决金融会计电子化工作中的安全问题，确保金融会计工作在电子化条件下安全、高效地开展，笔者特提出几点建议。

（一）程序设计、开发阶段加强系统安全技术措施的运用

首先，要求业务部门在谋划系统业务需求时，要充分考虑到诸多安全因素，对系统安全提出明确、具体的业务需求，一改过去重功能、轻安全的做法；其次，在软件系统设计开发阶段，软件编辑人员应选用安全性能高的数据库、运用严密的编程语言开发软件，尽量减少程序上的安全漏洞；再次，在硬件选型时，要尽量采用安全性能高、运行质量好的设备，减少硬件安全隐患；四是建议有关部门，尽快制订出金融系统软件开发规范和硬件选型标准，尤其要明确安全规范。

（二）会计计算机系统应用阶段安全防范

1.建议各银行对会计系统内计算机房建设情况进行一次安全大检查，对于不符合《中华人民共和国计算机房、站、场地安全要求》的，责令立即进行整改。

2.各家银行有必要对自家先投入使用的会计计算机系统进行一次自我分析，目的是发现和解决系统设计、开发阶段遗留的安全隐患，并在此基础上对旧版本软件进行换版升级。

3.加强计算机安全教育，提高操作人员和管理人员的计算机安全意识。金融会计电子化的安全防范措施最基本的还是要发挥人的因素。因此，需要尽更大的努力去提高人们对计算机安全的认识，尤其对会计系统安全的认识，各级教育部门和业务管理部门在这方面应做更多的教育工作。

4.将金融会计网络安全作为今后研究和防范的重点。目前，金融计算机网络已走进我们身边，无论是集中结算体系的运转、电子联行通汇还是新兴的银行卡清算系统、网上银行和其他网上会计服务项目的开通，都离不开网络，而金融会计电子化安全也逐渐以网络的安全防范为重点，因为网络的安全直接关系到整个金融业的稳定，关系到国家和社会经济的安全。笔者认为，目前应将尽快制定出金融会计系统网络建设规范列入会计网络安全工作议事日程，并逐级成立管理机构，负责网络工程项目的安全性能验收和日常网络安全工作，如定期的安全检查、提出安全管理建议和修改网络规范的建议等。

（三）加快金融会计电子化的制度和法规建设，改变制度和法规滞后于电子化发展的现状

1.有关管理部门应认真分析目前金融会计电子化工作中存在的诸多法规问题，要在征求有关计算机专家意见，并认真分析借鉴国外金融会计电子化发展经验的基础上，对今后一定时期内可能出现的金融会计系统法规性问题做出预测，从而尽快制定出切实可行的金融会计计算机安全规范和有关法规。

篇8

关键词：统计信息化；因素；措施

一、制约统计信息化建设的主要因素

近几年，我国统计信息化建设步伐加快.目前已建成了从国家统计局到各省、区、市和重点城市统计局的骨干网络，初步形成了运用计算机及网络收集、传输、处理、储存和统计资料的网络环境和硬件条件。但是，由于受现行的统计体制、统计制度和方法的制约，现代信息技术的应用受到很大的制约。具体表现在：

1.数据采篡和传输受到体制的制约。经过“九五”统计信息工程建设，目前己具备了国家统计局通过网络直接采集企业数据的条件。通过计算机网络实施企业数据直报，将大大提高统计数据的采集速度，同时也有利于减少地方政府对统计调查的干扰。但是，这种采集数据的方式也受到现行统计体制的制约。企业直接为国家统计局报送调查表，省、市、县三级也需要企业数据，因而国家统计同采集到的企业数据还要反馈给地方统计局，人为的增加了工作量；此外，许多地方在企业表上按自己需要又增加了一些指标，导致了各地的企业表指标和结构不一样，给国家统计局进行计算机数据审核和处职带来麻烦；另外，由于地方政府和地方统计各有各自的利益，实施企业直报也遇到了一定的阻力

2.数据处理受到报表方式的制约。运用计算机进行统汁数据处理、最大的优势是基础数据可按一定的标志进行任意的分组和加工，数据处理的对象应当是基层表。但是，目前各级政府都需要本地区的汇总数据，因而许多进度性统计报表采取逐级汇总的方式，报送的是综合数据而不是基层数据，其结果越往上报指标及分组就越少，无法对调查数据按不同需要进行再分组相加工。

3.统计数据库建设受到统计制度的制约。由于目前各专业执行的标准不完全一致，如产业分类、产品分类、职业分类、城乡分类等标准不一样，制约着建立统一、共用的统计指标及标准库，也给建设统一的统计数据库带来困难。改革开放以来，我国的统计制度变化较大，各年度之间的统计指标途径、统计范围和统计标准上有差别，因此，建立历史统计数据库，需要铵统一的口径重新整理历史数据，工作难度大，数据库建设进展缓慢。目前已建成的历史统计数据库，由于指标范围、口径和标准不一，不好使用，大多数成了“死库”。大量的历史统计数据以纸介质为载体散存在各地、各专业，一些历史数据已经丢失，其损失是不可挽回的。

二、措施

1.加强统计信息系统的安全教育及制度建设。要树立全员安全意识。大力加强信息安全的法制建设和宣传活动，努力增强广大群众的信息安全知识和安全防范意识，自觉遵守信息安全管理的各项规定。严肃打击各种计算机信息犯罪活动，为各种信息网络的安全运行建立起良好的社会秩序，努力构建一个健康、良好、合作及和谐的统计信息系统运行的社会环境。

随着国家统计系统对网络调查安全工作的重视，国家统计局和各地统计部门都结合自身情况制定了一系列的统计信息系统应急保障预案，相应的规章制度建设、标准制订、技术保障措施等都得到了一定程度的完善。当前，尤其是要加快制定《统计信息系统信息安全管理规定》，从信息安全的组织保证、人员管理、运行环境和操作使用、管理服务等多层面建设统计信息系统的安全防范运行新机制。

在指导思想方面，应该将《统计法》的贯彻落实、统计制度及方法的改革与发展、网络安全技术的普及与发展相结合，从制度和技术等方面保障统计信息系统的安全运行。要以风险管理思想为指导，以保障安全运行为中心，始终牢固树立安全防范意识。切实加强信息安全保障工作的组织领导，落实信息安全责任制。要积极开展不同形式的信息安全培训，提高网络统计报表系统管理和使用人员的信息化安全业务素质。

篇9

[关键词]电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策

随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。

一、网络隐私权侵权现象

1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。

2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。

3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。

4.网络提供商的侵权行为

(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。

(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。

5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。

二、网络隐私权问题产生的原因

网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。

1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。

2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。

3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。

目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。

三、安全技术对网络隐私权保护

1.电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。

(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。

(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。

(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。

(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。

2.电子商务信息安全协议

(1)安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。中国

(2)安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。

(3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

(4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。

(5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。

3.P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。

(1)隐私安全性

①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。

②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。

(2)对等诚信

为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。

对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。

每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:

Sij=sat(i,j)-unsat(i,j)

四、电子商务中的隐私安全对策

1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。

2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。

3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。

4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。

5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。

6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。

7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。

参考文献:

[1]屈云波.电子商务[M].北京:企业管理出版社,1999.

[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.

[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8).

篇10

关键词:计算机网络; 危险因素; 安全策略

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)14-3678-02

网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。计算机网络安全的含义就是通过各种密码技术和信息安全技术,保护在通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服务。

1 计算机网络的危险因素

1.1 威胁网络安全的主要因素

计算机网络安全受到的威胁包括:

1)“黑客”的攻击:利用UNIX系统提供的Telnet Daemon、FTPd、Remote Exee Daemon等默认账户进行攻击;利用UNIX系统提供的Finger、RuserS收集的信息进行攻击;利用FTP、NFS、Rlogin等进行攻击;

2)计算机病毒和拒绝服务攻击;

3)威胁的类型:非授权访问。这主要的是指对网络设备以及信息资源进行非正常使用或超越权限使用;假冒合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权,以达到占用合法用户资源的目的;数据完整性受破坏;干扰系统的正常运行,改变系统正常运行的方向,以及延时系统的响应时间;病毒;通信线路被窃听等;

4)操作系统的脆弱性。

操作系统支持的程序动态连接与数据动态交换是现代系统集成和系统扩展的必备功能,而动态连接、I/O程序与系统服务、打补丁升级可被黑客利用,滋生病毒。操作系统可能创建进程,即使在网络的节点上同样也可以进行远程进程的创建与激活,且该进程有继续创建进程的权力,加上操作系统支持在网络上传输文件,在网络上能加载程序,二者结合起来就可以在远端服务器上安装“间谍”软件,常以打补丁的方式“打”入合法用户(尤其是在特权用户)以躲避监测。守护进程Daemon具有操作系统核心层软件同等权力,会被黑客利用。网络操作系统提供的远程过程调用(RPC)服务以及它所安排的无口令入口也是黑客的通道。

不管是什么样的网络系统都离不开人的管理,但大多数网络系统缺少安全管理员,特别是高素质的网络管理员。此外,缺少网络安全管理的技术规范,缺少定期的安全测试与检查,更缺少安全监控。令人担忧的是许多网络系统已使用多年,但网络管理员与用户的注册、口令等还是处于默认状态。

1.2 来自外部各种威胁

物理威胁:物理安全是指用以保护计算机硬件和存储介质的装置与工作程序,常见的物理威胁有偷窃、废物搜寻和间谍活动。

网络威胁:网络威胁常见的有:电子窃听、拨号入网、假冒。

身份鉴别:身份识别普遍存在于计算机系统中,最简单的形式是口令,但是口令是脆弱的鉴别手段,黑客可以设法破解口令,如安排口令圈套(模仿登录界面)套取口令;用密码字典或其他工具软件来破解口令,或者破坏口令算法(使用超长的字符串)。

编制程序:主要是病毒、蠕虫、特洛伊木马、宏病毒等通过不同的方式进入用户的系统。

系统漏洞:主要是后门backdoor(如VMS操作系统、一些BIOS的万能密码)和源代码漏洞。

2 计算机网络的安全策略

2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击:验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抵制和防止电磁泄露是物理安全策略的一个主要问题。目前主要防护措施有两类,一类是对传导辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉祸合。另一类是对辐射的防护,这类防护措施又可分为以下的两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和异常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。

1)入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户名和口令验证有效之后,再进一步履行用户账号的默认限制用户入网的工作站数量。当用户对交费网络的访问“交费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则是认为是非法用户的入侵,应给出报警信息。

2)网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,以控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

3)目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种:系统管理员权限(SuPervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(FileSean)、存取控制权限(AeeeSSControl)。用户对文件或目标的有效权限取决于三个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强网络和服务器的安全性。

4)网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

2.3 防火墙控制

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的入侵。目前的防火墙主要有以下三种类型:

1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的工P地址、传输协议类型(TCP、UDP、工CMP等)、协议源端口号、协议目的端口号、连接请示方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。

2)防火墙:防火墙又称应用层网关级防火墙,它由服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件技术结合在一起。过滤路由器负责网络互联,并对数据进行严格选择,然后将筛选过的数据传送给服务器。服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。防火墙无法快速支持一些新出现的业务(如多媒体)。

3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。

参考文献:

[1] 彭静,章军祥,田萍芳. 计算机网络化管理与安全设计[J].计算机与数字工程, 2007,(5) .

[2] 王道乾. 校园网络安全策略分析[J].科技资讯, 2006,(31) .