网络安全工作报告汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇网络安全工作报告范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

一、领导重视　机构健全

年初，召开了网络安全专题会议，会上对网络安全工作进行了专门安排和部署，明确了网络安全工作任务分解。市场办成立以副县级任为组长、综合处长任副组长、各处室微机员为成员的网络工作小组，下设网络安全工作办公室，办公室设在综合处，日常工作由综合处负责。

二、建章立制　科学管理

首先，根据上级文件求，网络安全工作领导小组成员针对单位实际情况进行了综合分析。并确定了在网络安全方面应重点加强三个方面的管理和规范：一是利用邮箱、微信、QQ、固定电话等通讯方式传达上级文件和会议精神存在不安全因素问题；二是日常文档存储工具优盘、可移动硬盘在交叉使用中易感染病毒的问题。三是微机房的管理问题。为解决这一问题，市场办立足于建章立制，先后制订了《网络机房管理制度》、《文件传输管理制度》、《保密制度》，并倡导各单位要使用正版软件，防止网络病毒侵害计算机数据，造成系统瘫痪、数据丢失或泄秘事件的发生。

三、加强培训　确保安全

进一步规范市场办网络安全管理工作,明确网络安全责任,强化网络安全工作,今年上半年，我单位对机关处室、基层各单位办公室工作人员进行了有关网络知识的专业培训,提高了工作人员的网络安全意识,确保了办公网络安全。除此之外，还对加强网络边界管理、细化防火墙安全策略、关闭不必要的应用、服务和端口,对需要开放的远程服务采用白名单方式进行访问控制。利用杀毒软件和安全客户端进行极端及病毒查杀,强化Ip地址与U盘使用管理,开展计算机弱口令自查工作,继续完善网络信息安全技术防护设施,配备必要的安全防御和监测准入制度,从根本上降低安全风险。定期对操作系统进行漏洞扫描和隐患排查,计算机办公主动防护体系得到了完善和加强。

四、加强硬件建设,防患于未然

篇（2）

为进一步加强全局信息网络系统安全管理工作，我局成立了以局长为组长、分管领导为副组长、办公室人员为成员网络安全工作领导小组，做到分工明确,责任具体到人。分工与各自的职责如下：局长为计算机网络安全工作第一责任人，全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。

二、计算机和网络安全情况

（一）网络安全。我局所有计算机均配备了防病毒软件，采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施，明确了网络安全责任，强化了网络安全工作。

（二）日常管理。切实抓好内网、外网和应用软件管理，确保“计算机不上网，上网计算机不”，严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查：一是加强对硬件安全的管理，包括防尘、防潮、防雷、防火、防盗、和电源连接等；二是加强网络安全管理，对我局计算机实行分网管理，严格区分内网和外网，合理布线，优化网络结构，加强密码管理、IP管理、互联网行为管理等；三是加强计算机应用安全管理，包括邮件系统、资源库管理、软件管理等。定期组织全局工作人员学习有关网络知识，提高计算机使用水平，确保网络安全。

三、计算机信息管理情况

近年来，我局加强了组织领导，强化宣传教育，加强日常监督检查，重点加大对计算机的管理。对计算机外接设备、移动设备的管理，采取专人保管、文件单独存放，严禁携带存在内容的移动介质到上网的计算机上加工、贮存、传递处理文件，形成了良好的安全保密环境。严格区分内网和外网，对计算机实行了与国际互联网及其他公共信息网物理隔离，落实保密措施，到目前为止，未发生一起计算机失密、泄密事故；其他非计算机及网络使用，也严格按照有关计算机网络与信息安全管理规定，加强管理，确保了我局网络信息安全。

四、硬件、软件使用置规范，设备运行状况良好

为进一步加强我局网络安全，我局对部分需要计算机设备进行了升级，为主要计算机配备了UPS,每台终端机都安装了防病毒软件，硬件的运行环境符合要求；防雷地线正常，防雷设备运行基本稳定，没有出现雷击事故；今年已更换了已经老化的一对光纤收发器，目前光纤收发器、交换机、等网络硬件设备运转正常，各种计算机及辅助设备、软件运转正常。

五、严格管理、规范设备维护

篇（3）

为深入开展网络安全执法检查工作，确保工作得到有效落实，2020年5月18日，交通运输局组织全局党员、干部职工召开“县交通运输局网络安全执法检查工作专题部署会议”，要求全局上下充分认识开展网络安全执法检查工作的必要性和急迫性，成立由主要负责人任组长，班子成员为副组长，各科（股）室及全局党员、干部职工为成员的网络安全整治专项行动领导小组，同时强化交通运输行业领域各涉网运输企业的监督监管，畅通举报发现，进一步细化各部门工作措施，突出重点任务，确保工作实效。

二、成立机关网络安全工作领导小组

县交通运输局网络安全检查工作领导小组,负责推进日常工作事务。

三、高度重视防范

篇（4）

随着企业信息化建设的不断推进，信息在整个企业经营过程中起着至关重要的作用，信息安全是信息化可持续发展的保障，信息是社会发展的重要战略资源。网络信息安全已成为急待解决，影响企业发展极为关键的问题。

一、信息安全至关重要

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

国际信息系统安全核准联盟（ISC2）公布其全球信息安全专业人员调查，并指出近四分之三的信息安全从业人士认为，避免企业信誉受损是安全项目的首要任务。《2008 全球信息安全从业员研究》(“GISWS”) 由 Frost & Sullivan 代表ISC2进行。共有来自100多个国家的企业和公共部门机构的7,548名信息安全从业人员接受了调查。数据丢失和审核所带来的压力已经使信息安全的可靠性受到企业管理层的关注。

由国家计算机网络应急技术处理协调中心的《2007年网络安全工作报告》称，网络信息系统存在的安全漏洞和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的安全威胁。2007年各种网络安全事件与2006年相比都有显著增加。企业在面对外忧的同时，还要承受内患的威胁。企业或许通过构建数据隔离系统能有效防御外部攻击，但对内部的主动泄密却毫无招架之力，有数据显示，目前,泄密事件78.9％的损失都是由内部主动泄密导致。除了防御外部攻击外，内网的管理也至关重要。

二、信息安全的基本目标

信息安全通常强调所谓CIA三元组的目标，即:保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。CIA 概念的阐述源自信息技术安全评估标准（Information Technology Security Evaluation Criteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。1.保密性：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。2.完整性：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。3.可用性：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。

除了CIA，信息安全还有一些其他原则，包括可追溯性（Accountability）、抗抵赖性（Non-repudiation）、真实性（Authenticity）、可控性（Controllable）等，这些都是对CIA 原则的细化、补充或加强。

三、信息安全漏洞

企业信息化建设，既能使企业获得发展的先机，提高和巩固企业竞争优势，也能给企业带来新的风险。信息安全就是其中的核心问题。信息安全问题控制不当，企业信息化不但无法提高企业活力，还可能给企业带来灾难性的后果，威胁企业的生存。企业信息安全的威胁大致有以下几方面。

1.外部威胁。⑴软件系统漏洞：wndows系统的脆弱被大家公认。在2007年中，这种情况有了新的改变，百度搜霸、暴风影音、Qvod（Q播）、realplayer等流行软件取代了windows的“漏洞王”地位。⑵网络攻击：①“黑客”侵入：窃取企业信息、篡改企业数据库、干扰用户之间的通讯信息、攻击服务系统造成系统瘫痪。②计算机病毒：浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。2007年我国计算机病毒感染率为91.4%，为历年来最高；多次感染病毒的比率为54%，仍然维持在较高水平。③邮件灾难：企业管理人员随时可能发送涉及高度敏感话题的未加密电子邮件（股票发行、新产品计划、合并、收购等等），而它极易被人截获并加以利用。批量发送的未经收信人许可垃圾邮件已严重影响正常网络通信，企业带来时间和金钱上的损失。同时，垃圾邮件已成为黑客助纣为虐的工具。而通过电子邮件携带及传播恶意代码、病毒等更是对系统造成严重后果；④自然灾害、意外事故：地震、水灾、火灾等自然灾害将对系统造成毁灭性的伤害；意外事故（断电、水浸、虫咬）同样不可忽视。

2.内部威胁。⑴系统风险：硬件选配不合适，环境不合要求，设备安装不规范等；信息技术方案选择失误，信息技术的快速增长并没有反映到你的系统中，使得系统安全性减弱；⑵非授权访问：未经系统授权而使用网络或计算机资源；⑶人为错误,比如:使用不当，安全意识差等；⑷计算机犯罪：恶意窃取、或出售企业机密；⑸管理漏洞：没有严格的信息安全方针和规程；管理层不重视，不能保证足够的安全预算；用户权限设置混乱；过多的文件读/写权限，休眠的用户账户也是一个常见的安全风险。

四、信息安全控制

1.及时修补软件漏洞。在日常的安全防护中，不但要重视Windows系统漏洞的弥补，还要注意防范应用软件的漏洞。某些IE浏览器的插件、输入法、影音播放等应用软件，都可能成为“黑客”病毒攻击的对象。用户使用这些软件时不要仅仅关注他们的功能，还要注意其安全性能，并使用最新版本的软件。

2.快速事故响应。及时制定事故相应方针和规程，告诉用户当发生事故或入侵时应该做什么、如何做、采取行动的时间以及向谁报告，这将决定企业机密信息的命运。

3.启用防火墙。制定防火墙方针和规程，指定专人负责、定期升级、应用最新补丁、及时培训，阅读审核日志，使用检测软件，快速响应，要求安全证据。

4.跟踪外部连接。随着电子商务的开展，越来越多的企业使用Internet来交换重要的商业信息，从而引起外部连接数目的激增，包括资金和财务数据。有必要专人负责跟踪外部连接，记录并定期提交详细的连接状态报告。

5.加密/过滤电子邮件。电子邮件加密套件十分容易安装，并且对用户来说近乎透明，能对用户的隐私进行有效地加密保护；更为重要的是你必须使用垃圾邮件过滤软件，阻止各种兜售信息（垃圾邮件）、病毒恐慌、真正的病毒、蠕虫、特洛伊木马等的攻击。

6.贯彻冗余方案。建立冷备份、热备份和冗余备份。冷备份指除一个在用网络外，还有一备份网络。备份网络在日常处理时不开机，一旦发现网络出现故障，立即启动备份网络，代替生产网络进行工作。热备份指备份网络也开机运行，但并不服务。一旦网络失效，备份网络即自动代替生产网络进入服务。冗余备份则是多个网络同时进行服务，一个网络的失效不影响整个系统的运行。

7.加强内部管理。企业应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，及时进行用户培训，提高整体网络安全和法律意识；

五、结语

国民经济的发展，综合国力的提升，提高企业的市场竞争力，企业信息化是必经之路。实现信息安全是企业信息化成败的关键，它不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育

参考文献：

[1]Linda McCarthy：《信息安全-企业抵御风险之道》，清华大学出版社，2003。

[2]飘摇：《信息安全成为当前全球企业信息化首要任务》，赛迪网，2008.4。

篇（5）

随着网络时代的到来，越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人，而其安全问题也变得越来越突出。近年来，网络安全事件不断攀升，电子商务金融成了攻击目标，以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心（CNCERT/CC）2005处理的网络安全事件报告中，网页篡改占45.91％，网络仿冒占29%，其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已经成为电子商务的所有参与者十分关心的话题。

一、电子商务中的主要网络安全事件分析

归纳起来，对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等，网页篡改、网络仿冒（Phishing），逐步成为影响电子商务应用与发展的主要威胁。

1.网页篡改

网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说，主页的篡改对计算机系统本身不会产生直接的损失，但对电子商务等需要与用户通过网站进行沟通的应用来说，就意味着电子商务将被迫终止对外的服务。对企业网站而言，网页的篡改，尤其是含有攻击、丑化色彩的篡改，会对企业形象与信誉造成严重损害。

2.网络仿冒（Phishing）

网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。近年来，随着电子商务、网上结算、网上银行等业务在日常生活中的普及，网络仿冒事件在我国层出不穷，诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用，特别是电子商务应用的主要威胁之一。

网络仿冒者为了逃避相关组织和管理机构的打击，充分利用互联网的开放性，往往会将仿冒网站建立在其他国家，而又利用第三国的邮件服务器来发送欺诈邮件，这样既便是仿冒网站被人举报，但是关闭仿冒网站就比较麻烦，对网络欺诈者的追查就更困难了，这是现在网络仿冒犯罪的主要趋势之一。

3.网络蠕虫

网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪，使得各种基于网络的电子商务等应用系统失效。

4.拒绝服务攻击(Dos)

拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务，使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多，则更难进行处置。尤其是被蠕虫侵袭过的计算机，很容易被利用而成为攻击源，并且这类攻击通常是跨网进行的，加大了打击犯罪的难度。

5.特罗伊木马

特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界联接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

二、解决电子商务中网络安全问题的对策研究

随着网络应用日益普及和更为复杂，网络安全事件不断出现，电子商务的安全问题日益突出，需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施，才能有效保护电子商务的正常应用与发展。

1.进一步完善法律与政策依据 充分发挥应急响应组织的作用

我国目前对于互联网的相关法律法规还较为欠缺，尤其是互联网这样一个开放和复杂的领域，相对于现实社会，其违法犯罪行为的界定、取证、定位都较为困难。因此，对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法，需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点，需要建立健全协调一致，快速反应的各级网络应急体系。要制定有关管理规定，为网络安全事件的有效处理提供法律和政策依据。

互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织，在我国，CNCERT/CC是国家级的互联网应急响应组织，目前已经建立起了全国性的应急响应体系；同时，CNCERT/CC还是国际应急响应与安全小组论坛（FIRST，Forum of Incident Response and Security Teams）等国际机构的成员。应急响应组织通过发挥其技术优势，利用其支撑单位，即国内主要网络安全厂商的行业力量，为相关机构提供网络安全的咨询与技术服务，共同提高网络安全水平，能有效减少各类的网络事件的出现；通过聚集相关科研力量，研究相关技术手段，以及如何建立新的电子交易的信任体系，为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。

2.从网络安全架构整体上保障电子商务的应用发展

网络安全事件研究中看到，电子商务的网络安全问题不是纯粹的计算机安全问题，从企业的角度出发，应该建立整体的电子商务网络安全架构，结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。

安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督，安全策略的制定、实施、评估和修改，相关人员的安全意识的培训、教育，日常安全管理的具体要求与落实等。

安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护，通常是一些基本的防护，不具有实时性，如在防火墙的规则中实施一条安全策略，禁止所有外部网用户到内部网Web服务器的连接请求，一旦这条规则生效，它就会持续有效，除非我们改变这条规则。这样的保护能预防已知的一些安全威胁，而且通常这些威胁不会变化，所以称为静态保护。

安全监控和审计是实时保护的一种策略，它主要满足一种动态安全的需求。因为网络安全技术在发展的同时，黑客技术也在不断的发展，网络安全不是一成不变的，也许今天对你来说安全的策略，明天就会变得不安全，因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情，以便及时发现新的攻击，制定新的安全策略。可以这样说，安全保护是基本，安全监控和审计是其有效的补充，两者的有效结合，才能较好地满足动态安全的需要。

事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时，能及时做出响应，这需要建立一套切实有效、操作性强的响应机制，及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分，因为网络构筑没有绝对的安全，安全事件的发生是不可能完全避免的，当安全事件发生的时候，应该有相应的机制快速反应，以便让管理员及时了解攻击情况，采取相应措施修改安全策略，尽量减少并弥补攻击的损失，防止类似攻击的再次发生。当安全事件发生后，对系统可能会造成不同程度的破坏，如网络不能正常工作、系统数据被破坏等，这时，必须有一套机制能尽快恢复系统的正常应用，因为攻击既然已经发生了，系统也遭到了破坏，这时只有让系统以最快的速度运行起来才是最重要的，否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。

三、结论

Internet的快速发展，使电子商务逐渐进入人们的日常生活，而伴随各类网络安全事件的日益增加与发展，电子商务的安全问题也变得日益突出，建立一个安全、便捷的电子商务应用环境，解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。

参考文献:

[1]CNCERT/CC.2005年上半年网络安全工作报告

[2]李 卫:计算机网络安全与管理.北京：清华大学出版社，2000

篇（6）

一、 操作系统在安全方面的漏洞

1 操作系统的体系结构造成操作系统本身是不安全的，这是计算机系统不安全的根本原因。操作系统的程序是可以动态连接的，包括I/Q的驱动程序与服务系统，都可以用打补丁的方式进行动态连接。许多UNIX操作系统的版本升级开发都是采用打补丁的方式进行的。这种方法厂商可以试用，黑客也可以使用，而且这种动态连接也是计算机病毒产生的好环境。一个靠打补丁开发的操作系统是不可能从根本上解决安全问题的。

2. 操作系统不安全的另一个因素在于它可以创建程序，甚至支持在网络的节点上进行远程进程的创建和激活，更重要的是被创建的程序可以继承创建程序的权力。这一点与上一点（可在网络上加载程序）结合起来就构成了可以在远端服务器上安装“间谍”软件的条件。若再加上把这种间谍软件以打补丁的方式“打”在一个合法的用户上，尤其“打”在一个特权用户上，间谍软件就可以做到系统进程与作业的监视程序都检测不到它的存在。

3.操作系统通常都提供deamon软件，这种软件实质上是一些系统进程。它们总在等待一些条件的出现，之后程序便继续运行下去。这样的软件都是黑客可以利用的。这里应该说明的是：关键不再与有没有deamom在UNIX以及WINDOWSNT操作系统上具有与操作系统核心层软件同等的权利。

二、 计算机网络安全漏洞

Internet/Intranet使用的TCP/IP协议以及FTP、email、RPC、NFS等都包含许多不安全因素，存在许多漏洞。

（一）数据库管理系统安全漏洞

数据库管理系统的安全必须与操作系统的安全进行配套。例如DBMS的安全级别是B2级，那么操作系统的安全级别也应当是B2级。由于数据库的安全管理同样是建立在分级管理的概念之上的，因此DBMS的安全也是脆弱的。

（二）应用系统安全的漏洞

路由器---错误的路由器配置、隐蔽Modem、缺省的路由器配置这些都导致黑客的攻击。防火墙---它的出发点是防止外部黑客的攻击，从根本上说是防外不防内，在美国的调查表明，32%的泄密是内部作案，所有的防火墙都不同程度地被黑客攻击过。而且防火墙只能防一个口，并且不能对IP包进行分析。Web服务器---又是一个非常容易利用的黑客工具。另外还有位置的安全间歇。

（三）缺少安全管理

世界上现有的信息系统绝大多数都缺少管理员，目前绝大多数企业负责网络安全管理的只有几个人，而且缺少信息系统安全管理的规范，缺少定期的安全测试和检查，更缺少安全监控。另外，安全要求与实际操作相脱离，因为安全策略经常会与用户方便性相矛盾，知识安全措施和实际执行之间存在很大的距离。我国许多的信息系统已经使用了很多年，但计算机的系统管理员与用户的注册还有很大一部分仍然处于缺省状态，信息系统受到威胁。信息系统安全的隐患包括内部的安全隐患、黑客（外部和内部的，内部黑客了解熟悉网络结构，更易下手）的攻击、计算机病毒极易拒绝服务攻击（Denial of Service Attack ）。

三、利用internet网络监视器

由于现在广泛使用以太网均采用共享信道的方法，即把发给指定机主信息广播到整个网络上。尽管在普通方式下，某台主机只能收到发给它的信息，然而只要这台主机将网络接口的方式设成“杂乱”模式的话，就可以接受挣个网络上的信息包。利用以太网这个特性，internet网络监视器接受整个网络上的信息包，并将其重组，还原为用户传递的文件和明文。

当文件在用户的网络环境与外部的Intranet之间发生转换是，internet网络监视器对交换的文件进行全文检索，如果在交换的文件中发现了目标字，则提醒网络管理员可能发生了安全事件，并记录下是谁在交换文件，从而提供了网络使用的安全性。

（一）网络安全审计员

Internet网络监视器担当Intranet内部网的网络安全审计员。审计谁在执行什么操作、那些操作总是出现等。如网络发生安全事件，特别是在金融、银行、保险行业的安全事件。Internet网络监视器有利于事后分析，和追查网络的攻击、破坏、等犯罪行为。就好比现在银行中的录像机会摄下用户在银行中的活动情况一样。另外internet 网络监视器便于监察网络运行状态和安全状况。

（二）保密检查员

Internet网络监视器可见识机密信息的泄漏，用户的网络环境是自己的Intranet或与Internet连接的局域网，用户的机密材料是以目标字为特征的，当文件在用户的网络环境与内部发生交换时，网络监视器对交换的文件进行全文检索，如果在交换中发现了目标字，则提醒网络管理员可能发生了泄密时间，并记录下是谁在交换文件，供用户追查时使用。

网络监视器有助于用户及时发现问题，对犯罪分子起到相印的威慑作用。它使用简便，只需挂接在用户网络中即可。他本身没有IP地址，所以犯罪分子无法对其进行攻击。因而监视器本身具有较高的安全性。如果将其与防火墙、系统存取控制等网控技术结合使用，彼此取长补短，则可有效组织泄密事件的发生。

参考文献：

[1](美)WilliamStallings著,杨明等译.密码编码学与网络安全[M].电子工业出版社,2001.

篇（7）

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)02-314-02

On the Security of Electric Buisiness on the Internet

ZHAO Ming, SUN Rong-rong

(School of Software,Central South University, Changsha 410002, China)

Abstract: On the basis of connresponding analysis of security accidents on Internet,writer would give a list of factors which impose great influence on security of electric business development.What's more,writer puts forward application of security technologies,associted with law,pracitce of emergency reaction,construction of security management.

Key words: electric business; security on Internet; trade on internet; affair patterns; security

随着Internet的快速发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,如网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等网络安全事件正在大幅攀升,已经成为桎梏电子商务等互联网应用的重要因素。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。

1 电子商务及交易安全

电子商务,Electronic Commerce,简称EC。电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。电子商务的交易安全就是对交易中涉及的各种数据的可靠性、完整性和可用性进行保护。当许多传统的商务方式应用在 Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付的保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。具体来说包括以下几个方面:

1)数据保密:防止非授权用户获得并使用该数据。

2)数据完整性:确保网络上的数据在传输过程中没有被篡改。

3)身份验证:对网络上的另一个用户进行验证,证实他就是他所声称的那个人。

4)授权:控制谁能够访问网络上的信息并且能够进行何种操作。

5)不可抵赖和不可否认:用户不能抵赖自己曾做出的行为,也不能否认曾经接到对方的信息。

6)软件资源或网址免受病毒的侵害与黑客的攻击。

为了满足这些需求,提高电子商务的安全性,网络和管理技术人员研究和开发了多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以提供电子商务交易活动不同程度的安全保障。

2 影响电子商务发展的主要网络安全事件类型

2.1 网络篡改

网络篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对 企业 网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。

2.2 网络蠕虫

网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面:1)蠕虫在进入被攻击的系统后,一旦具有控制系统的能力,就可以使得该系统被他人远程操纵。其危害一方面是重要系统会出现失密现象,另一方面会被利用来对其他系统进行攻击。2)蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。

2.3 拒绝服务攻击

拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。

一般来说,这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。

2.4 特罗伊木马

特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界连接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。

2.5 网络仿冒(Phishing)

Phishing又称网络仿冒、网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡帐号、用户名、密码、社会福利号码等,随后利用骗得的帐号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。

3 安全技术在电子商务中的具体应用

电子商务在功能上要求实现实时帐户信息查询。这就使电子商务系统必须在物理上与生产系统要有连接,这对于电子商务信息系统的安全性提出了更高的要求,必须保证外部网络(Internet)用户不能对生产系统构成威胁。为此,需要全方位地制定系统的安全策略。

3.1 数据通讯的安全性

数据通讯的安全主要依靠对通信数据的加密来保证。在通讯链路上的数据安全,一定程度上取决于加密的算法和加密的强度。电子商务系统的数据通信主要存在于:①客户浏览器与电子商务Web服务器端的通讯;②电子商务Web服务器与电子商务数据库服务器的通讯;③银行内部网与业务之间的数据通讯。

安全链路在客户端浏览器和电子商务Web服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由一家可信证书授权机构(CA中心)签发。浏览器要验证服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥(PKI)。建立SSL链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时)。验证此证书是合法的服务顺证书通过后利用该证书对称加密算法(RSA)与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出现进入安全状态的提示。

3.2 应用程序的安全性

即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运动,而不是只有有限的指令子集在特权模式下运动,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。

这些缺点都被使用到攻击系统的行为中。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现象这些问题一样的错误。

3.3 用户的认证管理

电子商务中企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。

3.4 安全管理

为了确保系统的安全性,除了采用上述技术手段外,还必须建立严格的内部安全机制。对于所有接触系统的人员,按其职责设定其访问系统的最小权限。按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询。定期检查日志,以便及时发现潜在的安全威胁。对于重要数据要及时进行备份,且对数据库中存放的数据,数据库系统应视其重要性提供不同级别的数据加密。安全实际上就是一种风险管理。任何技术手段都不能保证100%安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。决定采用什么安全策略取决于系统的风险要控制在什么程度范围内。

4 结论

电子商务的安全问题是电子商务的核心问题,而电子商务作为全球商务发展的趋势,将给全球的经济、政治和法律带来深刻的影响,所以研究电子商务的安全问题显得尤为重要。而且为了国家的安全,电子商务系统所涉及到的一些关键技术只能靠自主开发,而不能盲目全盘引进。由此可见,如何构造一个安全的电子商务安全体系,永远是个值得研究的课题。

参考文献:

[1] CNCERT/CC.2005年上半年网络安全工作报告[R].2005.

篇（8）

2010年卫生信息化工作情况

1. 积极推动医改各项工作

2009年国家颁布新医改方案，2010年北京市制定“北京市2010~2011深化医药卫生体制改革实施方案”。关于卫生信息化工作，在北京的医改文件中提出：“启动医药卫生信息综合服务平台建设前期工作。探索利用网络信息技术，试点发展远程会诊。推进信息化标准建设，逐步统一规范医院信息系统数据接口和信息采集，推进公共卫生、医疗、医保、药品、财务监管等信息系统互联互通工作。提高信息化水平，城乡居民电子健康档案建档率达到20%。”

2. 卫生信息化人员机构和队伍建设又见成效

2010年，昌平区卫生局新成立了信息中心，使我市16个区县中，区县卫生局成立信息中心的数量达到12个。目前，只有海淀、丰台、通州、门头沟4个区县卫生局仍然没有成立信息中心。

3. 坚持卫生信息化行业管理不松懈

自2003年后，为避免信息化建设各自为政、重复建设、盲目建设、数据多头采集，北京卫生信息化按照“统一规划、统一标准、统一建设、统一管理”的“四统一”原则开展工作。

起草《北京市“十二五”卫生信息化规划》

2010年是十二五规划之年，《北京市“十二五”卫生信息化规划》专项规划是《北京市卫生事业发展改革“十二五”规划》的重要组成部分。市卫生局全面征求区县卫生局、直属事业单位和直属三级医院的意见，多次组织召开专题研讨会征求意见。目前，已经完成了规划的制订，准备近期。

制订医院门急诊信息系统相关标准规范

完成《北京地区医院门急诊信息系统基本功能规范和数据采集规范》（试行稿），于9月19日向北京地区50家三级医院及11家远郊区县中心医院下发《关于建立北京地区医疗机构门急诊信息报告制度的通知》（京卫医字〔2010〕212号）以及《关于做好门急诊信息系统接口改造工作的通知》，该规范作为医院门、急诊信息系统改造以及数据采集的规范依据正式试行。

完成了《北京市药品分类与代码规范》，北京市质量技术监督局已经将其列入2011年北京市地方标准修订计划之中。

完成卫生信息化项目前置审核工作

按照《北京市卫生信息化项目建设管理办法》（京卫办字〔2008〕107号），做好卫生信息化项目的前置审核评审等项目管理工作。2010年共收到各单位上报项目76项，涉及资金3亿元。经市卫生局信息化领导小组审核，通过22项。

通过统一评审和归口管理，可以全面了解各单位的卫生信息化情况，做到统筹管理，使得各部门的信息化建设符合卫生信息化总体规划和发展方向；同时利用市公共卫生信息中心及相关专家资源对于项目建设方案进行评估，使得方案在总体设计、安全管理、网络建设、国产软硬件产品和信息共享等方面更加全面、科学。

4. 重点应用系统建设取得实效

新社区卫生信息系统推广实施顺利

新社区卫生服务综合管理信息系统是全面覆盖社区卫生服务机构和社区卫生管理机构，以建立居民健康档案为核心，支持基本医疗和公共卫生服务的信息系统，符合社区卫生改革的要求。

在新社区卫生服务综合管理信息系统中，着力建设社区卫生业务和财务等应用系统，实现市、区县和基层三层体系架构。2010年完成了试点项目验收，6月24日启动全市推广。截至到2011年3月6日，在西城、原崇文、原宣武、顺义、朝阳、海淀、石景山等8个区县、52个社区卫生服务中心、178个社区卫生服务站稳定运行，建立电子健康档案526万份，原东城、西城、崇文、宣武四个城区基本完成实施推广任务，顺义、海淀、石景山、昌平区、密云县进展顺利。

借助医联码系统，实现门急诊信息采集

北京市实名就诊卡完善（医联码系统）项目是我市建立门急诊信息报告制度的支撑项目，是我局针对目前管理需求对原北京市实名就诊卡完善项目进行变更后重新启动的项目。该项目在全市三级医院及十一家区级中心医院实施，将为非医保患者建立统一的条码，通过此条码采集门急诊就诊信息。项目实施至今，已在全市推开，医联码发放及信息采集工作业已开始。截至3月15日，已有39家医院完成接口改造，大兴人民医院、妇产医院、同仁医院、房山第一医院等31家医院共计发放医联码28.95万条。朝阳医院、妇产医院、人民医院、北医三院、中日友好医院等17家医院已经上报门急诊信息，共计93.8万条。

5. 固化卫生行业信息安全保障成果，提高安全管理水平

2010年的卫生行业信息安全的重点工作是固化奥运和国庆信息安全保障工作成果，在行业内以推动等级保护为依托，进一步提高全行业信息安全管理水平。在各级领导的重视下，各单位圆满完成了2010年信息安全相关工作。

开展卫生行业信息安全检查

2010年，为督促我市卫生行业各单位做好信息安全保障工作，细化各项信息网络安全工作措施，进一步提升网络与信息系统支撑医疗服务工作的效率和水平，确保我市卫生行业网络与信息系统安全稳定运行，市公安局和市卫生局对全市大中型医院及市属医疗卫生机构开展了网络和信息系统安全检查。

出台《医疗卫生信息安全等级保护实施指南》

2010年，结合近几年信息安全联合检查中遇到的各类问题，信息中心组织出版了《医疗卫生信息安全等级保护实施指南》。规范了医疗卫生信息安全等级保护工作的基本思路和实施方法，指导我市医疗卫生信息建设中的信息安全保障工作，对搞好医疗卫生信息安全保障具有十分重要的现实意义。

开展信息安全培训

2010年，在卫生局直属单位开展了信息安全员信息安全保障知识培训，共进行了8次授课，共400余人次接受了培训，提高了信息安全员的信息安全保障能力，为各单位的信息安全保障奠定了基础。

2011年卫生信息化重点任务

1. 十二五期间信息化建设基本任务

未来五年，卫生信息化建设的主要任务是建立“基于电子病历和居民健康档案的医药卫生信息化工程”，主要内容可以概括为一张网络、两级平台、三个基础数据库。

一张网络，是指全市各级各类医疗卫生机构与行政管理部门互联互通的信息传输网络；两级平台，是指市、区/县两级卫生信息交换平台；三个基础数据库，是指执法相对人数据库、医疗卫生资源数据库和居民健康档案数据库。实现上述目标，依靠的是标准规范和信息安全保障两个体系。

2. 推进医院信息化建设

电子病历试点工作

卫生部为推进医药卫生体制改革，加强医院信息化建设，于2010年9月下发了《关于开展电子病历试点工作的通知》（卫医政发〔2010〕85号）文件，决定在北京市等22个省（区、市）部分区域和医院开展电子病历试点工作，确定试点工作时间为1年。市卫生局根据卫生部文件的精神和要求，组织制定了《北京市以电子病历为核心的医院信息化试点工作实施方案》，明确了指导思想、工作目标、组织管理、实施步骤及工作要求。同时还制定了《北京地区电子病历试点技术方案》，指导试点医院推进电子病历工作。

医联码相关工作

医联码系统为北京地区医疗机构门急诊信息采集提供了支持，奠定了基础。根据北京市卫生局《关于建立北京地区医疗机构门急诊信息报告制度的通知》（京卫医字〔2010〕212号）文件要求，三级医疗机构及11家远郊区县区域医疗中心2011年1月起，正式启用门急诊信息上报工作。今年要继续推进医联码相关工作，希望各医院建立院内的组织协调工作机制，积极开展医联码接口改造、信息上传、门急诊就诊信息上传等工作。

3. 推广实施社区卫生信息系统

市卫生局、市编办、市发改委、市财政等八部门联合下发的《关于进一步推进社区卫生改革与管理工作的意见》（京卫基层字〔2010〕25号）要求，“以有利于工作开展、有利于方便居民、有利于加强管理为目标，全面推广应用全市统一的新社区卫生服务综合管理信息系统，并不断完善功能。到2011年底，建立起以健康档案为基础的覆盖全市社区卫生服务和管理机构的信息化管理体系，搭建完成覆盖全市社区卫生服务管理中心、社区卫生服务中心、社区卫生服务站的互联互通的网络。加强市、区两级社区卫生服务综合管理信息平台的建设。”

各区县积极推进社区卫生信息化工作，年底之前，完成16区县推广应用部署工作。目前，推进较好的区县为东城、西城、顺义、海淀、石景山、昌平、密云、大兴等。

4. 加强公共卫生和卫生管理信息化建设和综合利用

推动居民电子健康档案建立工作

根据医改要求，把为辖区常住人口重点人群自愿建立统一、规范的居民健康档案，及时更新健康档案，并逐步试行计算机管理等工作列为本市为居民提供的基本公共卫生服务项目。2011年的医改任务责任书中，各区县居民电子健康档案建档率指标有所不同，但全市总体要求达到50%以上。北京市新社区卫生服务信息系统已经提供了电子健康档案建立的工具，请各区县组织人员开展电子健康档案相关工作，以便建立实时动态变化的社区居民电子健康档案，为社区居民服务，为家庭医生服务。

启动妇幼保健网络信息系统二期

3月启动妇幼保健二期建设，系统将覆盖北京市妇幼保健院、16所区县妇幼保健院（所）、近800家承担妇幼保健服务与管理工作的医疗保健机构、1000余家托幼园所等机构，以妇幼健康档案为核心，实现与医院和社区信息共享的、完整的、动态的、连续的妇女儿童保健信息库。计划9月开发完成，试运行。各区县不需再单独建立妇幼信息系统。

2011年工作要求

1. 领导重视，加快落实信息化机构和人才队伍建设

目前，仍有部分区县没有成立信息中心，部分直属机构没有信息管理部门，卫生人才队伍薄弱，严重影响了信息化建设。各单位领导要高度重视，尽快落实机构设置和人员配置问题。

2. 加强管理，保障信息系统安全

今年市卫生局将继续以信息系统等级保护工作为依托，继续加强全市卫生行业信息安全管理工作。

继续联合市公安局对行业进行信息安全检查，重点针对电子病历试点单位、重要公共卫生部门进行安全检查。

按照市信息安全协调领导小组工作部署要求，进一步加快推动等级保护。

3. 树立大局观念，加快社区卫生信息系统的推广应用

要求各区县加强组织，落实责任，协调相关部门，加大推广力度，2011年底之前完成任务。

篇（9）

前言

在网络还没有普及的情况下，电脑之间只能通过磁盘、光盘等存储设备进行文件复制，每台电脑之间相对独立，只需防范磁盘光盘中的电脑病毒就能基本保证电脑系统的安全。近年来，随着互联网技术及应用的飞速发展，互联网已成为个人不可或缺的日常应用。但是人们在享受网络带来便捷的同时，个人电脑网络安全问题也日渐突出，非法分子利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益。由CNCERT/CC（国家计算机网络应急技术处理协调中心）每年的电脑网络安全工作报告显示，每年各种网络安全事件与上一年相比都有显著增加，因此在互联网环境中如何加强个人电脑安全已是迫眉睫问题。

一、计算机网络安全的现状

现阶段，社会的发展离不来计算机网络信息的安全，网络信息的安全涉及到国家的各个领域（包括行政、外交、军事等等），并且信息的传输处理很多是国家政府的内部机密，如调空政策、股票证券、银行的转帐信息、能源数据库以及科研数据等等中校信息。所以这些重要的信息不免会受到世界各地的攻击，以至于造成信息数据的切取、篡改、删除和计算机病毒的入侵等损失。针对计算机网络的犯罪行为，它有着侦察难度大，举证困难的原因，所以这就刺激了很多计算机领域的高科技犯罪（黑客）分子的心理。从而是计算机网络领域的犯罪率邹升。因此世界各地的计算机网络系统将面临严峻的考验。一旦计算机网络被攻击破坏，将严重影响人类使用计算机的安全性。

二、计算机网络不安全因素

2.1 计算机网络的脆弱性

我们所使用的计算机网络（互联网）是一个开放的网络，任何使用者都可以很方便直接的在网络上收发信息和文件，正是因为互联网有这种开放性、共享性和国际性的特点，因此计算机网络安全就将面临着严峻的挑战。计算机网络的不安全性主要有：首先网络技术的开放性使得网络计算机网络有可能受到各个方面的攻击，攻击是来自多个方面的。其次计算机网络的国际性就使得一旦计算机网络受到攻击就不一定是本的网络用户所为，有可能是世界上别的国家的黑客所为，因此计算机网络的安全性也面临国际性的挑战。最后就是计算机网络的自由性，因为任何使用计算机网络的用户都可以随意使用网络技术，随意上网信息以及索取信息等等。

2.2 操作系统存在的安全问题

所谓操作系统只是一个软件，它作为一个支撑的软件它所提供的是让你程序正常运行的一个环境。既然是软件运行环境，那么它就存在一定的不安全性，可能是由于系统的开发者在开发过程中所留下的破绽或者漏洞，这都会给黑客可乘之机。

2.3 数据库存储的内容存在的安全问题

所谓数据库主要是用来存储数据信息和管理利用信息的一个软件，它所存储的数据包括我们网络上浏览的所有信息。作为数据库它所考虑的主要是信息内容的存储、利用以及管理，但针对安全方面数据库软件考虑的就比较少了。所谓数据库的安全就是保证数据库所存储的内容不要收到破坏和非法用户的窃取；保证数据库的内容完整性就是要保证存储单元中没有不符合要求的数据。

2.4 防火墙的安全性

防火墙简单来描述就是网络内部和外部连接的一道墙，它一个由软硬件设备组合而成的一个对网络起保护作用的工具。但它它却不能保护你的网络不受外界所有的攻击。因为伴随着计算机技术日新月异的发展，有一些破解的方法能够给防火墙带来一定的隐患。这就是防火墙的一些局限性。

2.5 其他方面的因素

计算机的硬件设备以及网络通讯设备很容易受到自然环境的影响，例如水灾、地震、风暴、建筑物的损坏等等。这些也都会对计算机网络造成一定的危害。另外还有一些危害因素是由于软件本身的漏洞，硬件设备功能失常，电源断电等等所造成的。再就是由于单位的规章制度不健全不完善，技术人员的操作失误等等也会给计算机网络安全造成威胁。

三、计算机安全的防护措施

3.1 网络病毒的防范措施

计算机病毒在平常情况下通过网络传播的速度是惊人的快，对于我国的一些学校、政府机关单位以及企事业单位所使用的网络一般都是内部的局域网，因此在服务器的操作系统上安装上防病毒的软件是必须的，这样就可以有效的保证网络使用的安全性。另外，对内部网络如果用发送邮件来传递信息的时候，还应安装一个针对邮件服务器的防病毒的软件，以此来判断病毒邮件的病毒地址等。因此在计算机网络中安装使用防病毒软件对于网络用户来说是一个很普遍的行为。并且计算机用户要定期的为防病毒软件进行升级，为计算机所存在的漏洞打补丁，并且要加强检测行为，以保证自己的信息免受病毒的侵害。

3.2 合理地选择防病毒软件

随着计算机的普及以及网络的畅通，随之而来的是电脑病毒。上网的人群中，基本上都被病毒侵害过。对于一般电脑用户而言，面对电脑病毒的侵害，首先要做的就是为自已的电脑安装一套正版的杀毒软件，以防电脑有病毒时能及时查杀。现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”毒，其实对待电脑病毒应当是以“防”毒为主。因此我们的电脑在安装杀毒软件时，应当一并安病毒实时监控程序，这样一但在上网过程中有病毒入侵，监控程序马上会发现病毒，杀毒软件能及时处理，以达到病毒入侵电脑前，就被“杀”死，以达到防毒效果。同时，要设置自己安装的软件定时查找电脑系统的漏洞，以达到及时补漏，让自己的电脑达到最好状态。

从上一点的病毒软件的分析我们得出了选择病毒软件需要有以下特点：首先是能够扫描计算机里所有下载或者使用的各种文件；其次是能够全面监控病毒的入侵入口和计算机漏洞；第三开发界面人性化，方便用户的操作和管理；第四能够自动的饿定期提示更新软件；最后技术支持到位，在发现病毒后会第一时间隔离或者删除一保证计算机正常运行。

3.3 数据备份

计算机里总会存一些非常重学的资料，比如工作上的重要文件或自己的私人隐私资料等等。那么在使用电脑时，备份有用资料就显得非常重要，一旦电脑出现状况需要重装或格式化电脑硬盘时，如果你手中没有备份资料，那么对自己造成的损失是无法估量。所以，无论采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患！

3.4 黑客网站、不轻易碰

上网的人群都知道，上网很容易出现中病毒的情况，是自己有不良好的上网习惯，比如打开一些不知道的网站，浏览一些或官方已经公布的黑网，这样很容易使电脑中毒，往往这种情况中毒时更容易使电脑瘫痪，所以要养成良好的上网习惯。

3.5 安装个人防火墙

现在上网用户一般较少装有个人防火墙，原因是在上网的过程中，很少会出现黑客入侵的情况发生，也就忽视了给自己的电脑安装防火墙。其实安装防火墙是很必要的，在上网的过程上，可以抵御黑客的袭击，阻止黑客入侵自己的电脑，从而使自己的隐私的泄漏，给自己造成不必要的麻烦。在理想情况下，一个好的防火墙应该能把各种安全问题在发生之前解决。

3.6 密码设置要复杂

就像大家使用的网上银行一样，使用了一定的时间，网上银行页面都会提示要修改自己的密码，这也是为了客户能在使用银行时保护客户的密码不会轻易泄漏。网上需要设置密码的地方很多，如网上银行、上网账户、E-mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄，如果实在记不住，就在随身携带的包里放一个记密码的本子，使自己的上网更安全。对于重要的密码一定要单独设置，并且不要与其他密码相同。设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。不要贪图方便在拨号连接的时候选择“保存密码”选项；如果是使用email客户端软件来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置账户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码，利用它可以轻而易举地得到你保存的密码。定期地修改上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。

3.7 必要时才设置共享文件夹

一般情况下是没有必要设置共享文件的，共享的文件越多，越容易使电脑中毒。不要以为在内部网上共享的文件是安全的，其实在共享文件的同时就会有软件漏洞呈现在互联网的面前，公众可以自由地访问你的那些文件，并很有可能被有恶意的人利用和攻击。因此共享文件应该设置密码，一旦不需要共享时立即关闭。

3.8 清除上网痕迹和没必要的插件

个人在上网时，浏览过的网页、看过的网址或电脑、使用过的软件、玩过的游戏等等，电脑会自己记录下来以备客户下次使用时的方便，但这些会给电脑带来安全隐患，使别人通过自己使用的电脑上网痕迹，来入侵自己的电脑，所以非常有必要在一定的时间内清除自己的上网痕迹，以确保电脑安全。

上网过程中往往会为了暂时的功能，会下载安装一些插件，但安装使用过之后往往以后不会在用到，这时应该及时清除，以免使自己的电脑运行速度变慢或更容易被不速客利用。

3.9 安全建议

计算机用户在使用计算机过程中应该注意以下几方面内容以保证计算机网络信息的安全性：首先要把系统中没有必要的服务全部关闭掉；其次在网络中登陆软件或者后台时社子密码不要过于简单；再次是不要随意浏览一些非法网站下载一些非法内容，养长良好的安全上网的习惯；最后了解一些病毒知识为系统漏洞打好补丁并且安装上专业的防病毒软件严格监控自己的计算机，防止计算机病毒的入侵等。

结束语

本文描述的计算机网络安全除了网络上的一些病毒或者入侵者会对自己网络的安全造成威胁外。还有一些情况可能是认为的操作不当而引起的，这也会给系统的安全埋下隐患。所以，计算机用户在做到以上提出的观点外还要做到文明上网，尽量改掉一些不良的用机习惯，并且正确和安全使用计算机。

参考文献：

[1]王倩.网络发展期待安全与法制[J].河南师范大学学报（哲学社会科学版），2001，6.

[2]卓翔.网络犯罪若干问题研究[D].中国政法大学，2004.

篇（10）

近年来频繁集中爆发的互联网安全事件不仅应验了业内人士此前的忧虑，而且也给年轻的互联网金融敲响了警钟：

2014年春节前夕，拍拍贷、好贷网、火币网等多家P2P网贷平台遭黑客攻击，平台页面无法打开，致使投资人无法登录平台投资和提现，平台负责人随后收到黑客几千元至几万元不等的敲诈信息。

近期，多个P2P平台陆续爆出问题，P2P网贷行业资讯门户网贷之家、网贷天眼及第一网贷等平台都遭受到了黑客攻击。

此外，央行近期对虚拟信用支付和二维码支付的叫停，也可以理解为，考虑到支付流程中的安全问题，比如虚拟信用支付中的本人确认问题、材料真实性问题以及二维码支付中的客户信息安全问题，都已经成为监管机构履行安全监管职责的监管地带。

严峻的金融信息安全形势，要求金融业切实采取措施，努力提高信息安全保障水平，坚决打击危害金融信息安全的犯罪活动。因此，清醒地看到当前我国互联网金融安全面临的形势，充分认识金融安全工作的重要性，未雨绸缪，勇于应对挑战，对于我国的金融机构来说尤其迫切。

2 互联网金融危机呈现新特点，技术性风险上升

业内普遍认为，互联网金融最大的成本不是平台运营成本，也不是客户的获取成本，更不是监管上的投入成本，而是作为平台本身的信誉成本，也就是常说的平台信任度。一旦缺乏了信任度，客户挤兑，资金流逝，平台成为了无源之水，即便符合监管标准，降低运营成本也无济于事。

从用户角度出发，选择一个安全、审慎的平台进行理财、融资、投资是十分有必要的。传统金融之所以没能在金融互联网化上有更多创新，一方面是监管设限，另一方面也是考虑到平台的安全性问题，在一个没有良好的IT后台支撑，没有风险拨备和不良率控制的互联网平台，一旦遭遇平台的信任风险，就将很难再次获取客户的信任。客户的迁移习惯需要一个长期培育的过程，这个过程在遭遇了风险和安全问题后，一般是不可逆的。

我们注意到，对于互联网金融，监管层的立场基本上是有条件的鼓励和支持，即便是在今年的两会期间，互联网金融写入了政府工作报告，但是潜台词是要风险可控。否则，一旦出现不可控的风险趋势，监管层必然会以保护投资者利益为由进行更严格的准入监管。

从近期发生的互联网金融安全危机来看，中国的互联网金融业已经进入了风险的第二阶段，因为技术力量的不足，在互联网非法攻击面前，平台的抵御能力和用户资金、信息的保护能力正逐步陷入捉襟见肘的窘境。

2014年，互联网金融通过概念和收益的引领，开创了互联网金融元年的新时期，也成为金融新趋势的代名词。在这个初创阶段，互联网金融的平台风险主要是集中在平台的运营风险和模式风险，也就是平台自身的风险，比如部分p2p进行自融、诈骗、频繁债权转让等，在不规范、甚至违法的业务运作中放大了平台的运营风险。

为此，央行、银监会以及相关部门在上海、深圳等地对互联网金融开展了深度的调研，并成立了一些专业的互联网金融协会，分享运营模式经验和风险，给当时的不规范的互联网金融打了一剂猛药。在行业性风险的处理中，互联网金融也逐渐形成了一些安全与风控的基本原则，比如P2P行业的“点对点、数据征信、第三方”以及不搞自融，不建立资金池，不非法集资等。

那么近期爆发的互联网金融安全危机，普遍呈现出哪些特点呢？从这一轮安全性风险的溯源来看，大多不是平台的模式风险，而是外部的网络安全性问题，也就是平台在抵抗互联网非法攻击方面的抵御能力和用户资金、信息的保护能力。从这个意义上而言，目前的互联网金融是进入了风险的第二个阶段。如果说前一个风险是经验上的不足导致的风险，这一个阶段的风险就是技术上的不足导致的风险。

频繁发生的安全危机无疑正在不断推高互联网金融成本。相关技术分析和舆论解读普遍认为，传统金融的成本集中在线下的人力成本、物理店面成本以及复杂性较高的后台IT成本；而成长初期的互联网金融平台，在安全性上的配套资源相对不那么充足，主要的成本在于平台搭建成本和市场营销成本。

我们注意到，随着互联网金融往纵深发展以及金融互联网化的发展，互联网金融和传统金融的成本差距正呈现缩小的趋势。

就互联网金融而言，安全性问题在短期内将成为一把达摩利斯之剑，为提高平台的抗安全攻击能力，除了在平台流程和数据征信上加强完善外，互联网金融平台将不得不在安全性问题上投入更多的资源，包括设备配置、网络维护、人员安排以及应急处理机制。特别是对于部分中小P2P网贷平台，资金实力本来有限，购买宽带、使用防火墙，将耗费巨额成本，往往难以控制风险。

在互联网金融领域，特别是对于非专业IT公司出身的一般互联网金融平台，在互联网安全问题上碰到危机可能性更大，短期内也会加大平台的运营成本，甚至有覆盖利润的风险。所以，互联网金融并非没有成本，在很大程度上而言，中小平台的运营成本将会呈现更大的上升趋势；不仅如此，技术性安全隐患更是风控以外的另一个核心命题。

3 护航互联网金融安全，规避技术风险的任重道远

我们认为，互联网金融并不是仅仅互联网与金融简单嫁接，他是互联网利用现代信息技术对传统金融业务方式重新组合捆绑提供的一种新的服务模式。金融安全的核心工作是风险管理，基于互联网信息传播的特殊性，互联网金融风险管理与控制是一项技术性和专业性很强的工作，对从事这项工作的团队及其人员的要求，有着比传统金融更高的技能要求标准；而从国家金融安全的层面看，互联网金融安全或将有更加缜密的顶层制度设计。