时间:2023-03-22 17:32:59
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇安全问题论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
二、企业如何开展档案安全管理工作
(一)树立档案安全管理意识
档案安全意识是做好档案安全管理、确保档案安全的前提。不论是档案管理人员,还是企业领导、员工,都必须具有档案安全意识,才能确保档案安全。档案安全意识淡泊是个普遍存在的问题。为保证企业利益和企业档案安全,企业需要树立档案安全管理理念和安全管理意识。当前树立档案管理安全意识显得非常紧迫和重要,通过安全管理教育和培训可以提高档案管理工作人员和相关人员的档案安全管理意识。企业可以充分利用企业电视、内部报刊、门户网站、企业通告通知、企业会议等多种途径,开展档案安全管理敦育,树立和增强档案安全管理意识。在开展安全管理意识教育和培训的同时,还可以通过积极开展规范化、制度化的实战演练,提高安全管理技能和安全管理效率。
(二)加强档案安全日常管理
首先必须建立一套完整的档案安全日常管理制度,包括档案安全管理责任制、库房保管制度、库房温湿度管理制度、档案出入库制度、档案利用制度、档案保密制度、值班制度等,并严格按制度执行。其次,建立完善的档案安全管理工作台帐,包括保管情况检查记录、环境安全检查记录、防火安全检查记录、库内外温湿度记录、档案移交登记、档案出入库登记、档案借阅登记、值班记录等原始台帐,并对各种原始台帐进行统计分析,总结规律,再用于指导档案安全管理工作,提高档案安全管理工作水平。第三,进行档案安全的全过程管理,将档案安全管理从保管环节,延伸到形成、积累、收集、整理、鉴定、利用等环节,将档案安全管理落实到档案管理工作的全过程。第四,加强档案库房日常管理,定时开关设备、电源、门窗,定期检查电源线路、设备、消防器材、防虫药品,做好各项检查记录,保持库内外环境清洁,及时消除档案安全隐患。
(三)建立健全安全管理制度
安全管理制度的建立和完善是企业档案安全管理的制度保证。为保证企业档案安全管理工作的顺利进行,制定相应的企业档案安全管理制定非常必要。企业工作人员尤其是档案管理工作人员应该熟知安全管理制度,并在安全管理制度的指导下有序开展安全管理工作。
(四)建立和健全安全管理预案
【关键词】外汇储备安全
一、我国外汇储备的现状
近年来我国外汇储备总量不断攀升,2006年2月,中国外汇储备首次超过日本成为世界第一,2008年全球金融危机爆发,经济形势不景气,但我国外汇储备仍然保持高速增长,年增加量均超过4千亿美元。根据国家统计局公布的统计数据,截至今年6月末,我国外汇储备余额达21316亿美元。近来外汇储备的快速增长,与中国经济基本面转好有密切关系,说明国际投资者对中国经济发展充满信心。同时巨额的外汇储备也带了一系列的安全问题。
一是增大了外汇储备安全的风险,汇率风险、利率风险是外汇储备无法规避的两种风险。由于金融危机对美国的冲击最为严重,美元资产最容易遭受金融危机的直接冲击。美国央行为克服金融危机的影响连续10次降低利率。美国国债的收益率也一路走低,自2008年10月全球金融危机爆发以来,美国1年期国库券利率持续走低,截至2008年12月22日,收益率降到0.39%。截至2008年10月,美元对人民币已贬值高达9.5%,当时我国外汇储备额大约是1.9万亿美元,仅此汇率风险一项损失就已高达1300亿美元。我国的外汇储备高度集中于美元资产,不论是美国国债价值下跌抑或是美元汇率大幅贬值,都会导致我国外汇储备大幅缩水。
二是加大了外汇储备成本。超额外汇储备的存在增加了外汇储备管理的成本,有研究表明,向国外进行国债投资比向国内发放贷款所获得利息要少,向国外商业银行借款的利率又比一般的存款利率要高,要多支付利息。超额外汇的巨额存在所造成的少收的利息和多付的利息也不是一个小数字。
二、推行“一控二调三转变”以加强我国外汇储备的安全管理
当前情况下,我国外汇储备要加强安全管理,必须要积极推行“一控二调三转变”的措施。具体说来一是要控制外汇储备规模,二是要调整外汇储备结构,三是要转变人民币在国际货币体系中的角色。
1.要控制外汇储备规模
哲学告诉我们想问题办事情要“一切从实际出发”,那么关于我国外汇储备规模的控制也不能有一个固定数量的额度,而要结合实际情况,灵活掌握外汇规模。一方面认清国际经济形势非常重要,从国际经济形势的走向来考虑我国外汇储备的规模。例如国际经济形式对做为世界工厂的我国没有太多影响,因此商品与服务项目仍将长久保持顺差,那么从总体上分析就不需要增加外汇储备。另一方面,也不能脱离我国国情。承前例从国际环境来看不需要增加外汇储备,但考虑到我国进出口规模巨大,季节性影响和大宗商品升值的趋势,需要一些流动性外汇储备来满足需求,那么就可以增加外汇储备。
外汇储备的规模还要考虑外汇资产的成本与收益。开放经济条件下,储备作为一种干预资产可以平衡国际收支、稚定汇率,是一国实现外部均衡的重要手段,其收益主要体现在减轻解决内外经济失衡政策的成本。判断外汇储备规模是否适度,主要的是看本国经济是否在实现外部均衡的同时也实现了内部均衡,还要使持有外汇储备的机会成本相对最小。
2.要调整外汇储备结构
调整外汇储备结构主要是指调整外汇货币储备结构,因为货币储备在我国外汇储备中份额较大,且流通性强,应该是调整的重点。从策略上讲可以逐渐减少美元在外汇资产中的比重,并逐渐提高增加欧元比重。根据推测,当前美元在我国外汇储备中的比重约为60%。近年来,美元的国际货币地位正逐步下降,而欧洲经济实力相对上升,目前的国际货币体系中美元虽占主导地位,但己经不具有绝对优势。另外,美国的外债及国际收支赤字,越来越引起人们对未来美元价值及稳定性的怀疑。欧洲经济的发展速度在近年来石头迅猛,欧元的稳定性大大加强,中欧之间政治关系稳定,经济贸易合作更是日益密切,鉴于政治环境的稳定和经济交往的密切,可以预见中欧贸易合作在今后势必会加强。适时地对外汇储备中的增加欧元储备,既能达到分散外汇储备风险,均衡实现外汇储备的安全性的目标,又有利于今后中欧之间的经济贸易合作。所以从长期来看,以欧元作为首选货币将是一个必然趋势。
3.要转变人民币在国际货币体系中的角色
转变人民币在国际货币体系中的角色就是要加快人民币国际化进程,使人民币在国际上得到认可,使其作为货币的职能(部分或全部)在国际上得到广泛的认可,最终演化成国际化的货币。人民币国际货币化既能顺应国际贸易的要求,又可降低金融危机下我国高外汇储备的风险。如果人民币跻身成为国际货币,那么其自身既是一种计价货币又是一种储备货币,我们就可以减少外汇储备,从而在一定程度上缓解因外汇储备过多而导致外汇占款过多造成的被动的流动性过剩问题,有助于内外均衡;在全球金融危机所带来信贷紧缩,外汇储备大量缩水的时期,还能有效地减少因外汇贬值造成的损失。
人民币国际化进程已具备一定的基础。随着中国经济的稳步增长和人民币汇率机制的不断完善,人民币正被周边国家和地区所接受。目前中国已与越南、蒙古、朝鲜、俄罗斯、老挝、尼泊尔等国家签订了双边结算与合作协议,而人民币在中国与东盟国家贸易中的结算量更是逐年稳步提高,成为与这些国家边贸结算中的主要货币。在新加坡、马来西亚、泰国、韩国等国家,人民币同本地货币和美元一样可以用于支付和结算。在菲律宾,2006年12月1日起已经将人民币纳入其官方储备货币。2008年12月12日,中国人民银行和韩国银行宣布签署一个双边货币互换协议。该协议提供的流动性支持规模为1800亿元人民币/38万亿韩元。至此,中国人民银行已与韩国、香港和马来西亚等3个周边贸易伙伴签署了双边货币互换协议,总额高达4600亿元人民币。人民币的国际化进程目前还只能说是有了一定的基础,但要实现国际化定会有一个过程,不可能一蹴而就也不可能一劳永逸。
随着国家经济的快速发展和社会生活生平的不断提高,以及交通条件的不断完善,外出旅游已经成为人们日常生活中不可缺少的一部分,我国的旅游业进入了蓬勃发展时期。然而,旅游活动的增多也使旅游安全事故发生的概率增大,旅游安全问题逐渐成为社会各界日益关注的焦点。
一、旅游安全现状
安全是旅游业发展的基础,它不仅是旅游活动顺利发展的保障,也是旅游业发展的前提。旅游业是个综合性的产业,它涉及到很多社会部门和行业,旅游活动又包含了食、住、行、游、购、娱六大方面,涉及到社会生活的方方面面,可以说现代旅游业由于各种社会的和自然的因素影响,潜在着许多危险和不安全因素,旅游行业和旅游活动的各个环节中都可能存在着潜在的旅游风险。旅游安全问题产生后,会通过各种媒介影响到潜在旅游者,影响潜在旅游者对目的地决策行为。由表1我们也可以看出,旅游风险可能是来自旅游目的地的自然环境或社会环境,也可能来自旅游者自身和旅游组织者等各个方面。因此,解决旅游安全问题,加强旅游安全研究,不仅是旅游活动质量的重要保证,也是旅游业做到可持续发展的重要因素。
在目前情况下,旅游安全事件还在频繁发生,甚至出现了增长的趋势。据国家旅游局综合司统计,从2009年初至9月份仅9个月中就发生了41起旅游事故,其中重大事件8起,比2008年同期增长60%,整体比2008年同期增长10.8%。由此可见,旅游安全问题越来越尖锐,已经是摆在我们面前需要时刻关注的问题。
二、旅游安全的表现形式
旅游安全的表现形式在实际生活中是各种各样的,而且常常是交叉出现。按照旅游研究对象划分,旅游安全表现为旅游主体安全、旅游客体安全、旅游中介安全。旅游主体安全就是旅游者的安全,旅游客体安全为旅游目的地人和物的安全,旅游中介安全为各种旅游接待设施和人员的安全。按照旅游的六要素:食、住、行、游、购、娱进行划分,旅游安全表现为饮食安全、住宿安全、交通安全、游览安全、购物安全和休闲娱乐安全。按照最终的表现形式划分,旅游安全表现为交通事故、疾病、治安事件、火灾、食物中毒、旅游设施事故等。
三、旅游安全问题的对策
(一)完善旅游安全法规
旅游安全法规是从法律上保障旅游安全,为旅游活动过程中出现的各种安全问题的解决提供法律依据,依靠其权威性和强制性来规范和约束旅游从业人员的行为,增强旅游从业人员的安全意志和防控意志,提高旅游者的旅游安全防范意志,约束旅游者在旅游活动过程中的各种不当行为。目前,虽然旅游安全问题已经引起了人们的关注,国家和地方也相继出台了各种相关法规,但是我国的旅游法体制还不完善,对安全问题只是做出了原则性的指导和规定,在处理旅游安全的相关问题上还存在着很多空白处。旅游安全法规是旅游安全得到保障的基础,完善的旅游安全法规是旅游业顺利、平稳发展的保障和前提。
(二)建立旅游安全预警系统
旅游安全不仅仅考虑与人们生命财产直接相关的安全问题,还应涵盖旅游资源安全、旅游环境安全等内容,准确、及时的预警信息能有效减少国家经济损失,确保人们生命财产安全,从某种意义上说对危险事故的预警也是一种安全。旅游安全预警就是在安全事故发生之前,通过科学指标,对未来特定的一段时间,一定旅游区域内的旅游动向进行预测和引导,使旅游效果达到最佳。旅游安全预警系统是个复杂的系统,它是为了预防旅游活动过程中发生危险而建立的报警和排警系统,它担负着旅游安全信息的搜集、分析、对策制定和信息等功能,是国家旅游安全信息、进行安全预控的组织机构,它在警示旅游者和旅游企业、增加安全意志、提高安全防范与控制能力,使旅游者和旅游企业预见问题并采取积极的防范措施等方面有着极大的作用。
我国目前很多地方都建立了假日旅游预警系统,属于旅游团体协作机构,依靠其成员单位的广泛性和权威性已经在假日旅游活动过程中发挥了积极、有效的作用。因此,可以在假日旅游预警系统的基础上,集成和调配相应的功能,建立一套完善的旅游安全预警系统。
(三)建立旅游急救系统
我国现有的旅游安全急救系统还不成体系,相互之间的协调合作程度比较低,这使得急救工作的效率不高。张秋芬指出,旅游急救系统应包括:(1)救援指挥中心。对整个旅游安全急救工作的进行开展、协调、整体统筹。(2)安全救援机构。涉及到很多部门,如医院,消防部门,及其他与救援工作有关系的其它部门。(3)安全救援的直接机构。包括可能发生旅游安全问题的旅游景区(点)、旅游企业、旅游管理部门和社区。(4)安全救援的间接机构。包括旅游地、保险机构、新闻媒体和通讯部门。这些部门虽然不参加直接的救援工作,但是却对救援工作的顺利开展起着非常重要的影响作用。一个完善的旅游安全急救系统要能够这四个部分组织起来,以救援指挥中心为核心统一策划旅游安全急救工作,一旦发生旅游安全事故,各方面能够快速、有序的开展工作,发挥集体的力量,顺利解决问题。
(四)加强旅游从业人员培训
旅游业是属于劳动密集型的产业,相对于其他产品,旅游产品有无形性、生产和消费的同时性、不可储存性、异质性的特点。这些特点决定了旅游产品的质量在很大程度上是由旅游从业人员的即时表现来决定的。如果旅游从业人员没有掌握足够的基本安全知志,或是在旅游活动过程中不按有关规定行事,就会大大增加旅游安全事故发生的可能性。因此,旅游企业和旅游有关部门应按照国家有关规定定期对旅游从业人员进行培训,提高他们的安全知志水平和安全防范意志,强化他们在旅游活动过程中严格按照规章制度工作的意志,将安全事故的发生扼杀在萌芽阶段。
(五)加大旅游安全的宣传教育
针对近年来出现的诸多安全事故,旅游企业及旅游有关部门应加大旅游安全的宣传教育,增加人们对旅游活动过程中潜在危险的了解,提高社会大众的自我保护意志。
参考文献:
一、我国电子商务发展现状
当今世界是数字化的信息社会,高新技术尤其是电子信息技术对各行各业的影响从未像现在这样明显。电子商务就是在这个信息时代背景下产生并迅速发展起来,它已逐渐成为人们进行商务活动的新模式。近几年,我国的电子商务也蓬勃发展,像阿里巴巴、E-BAY、淘宝网等已取得相当的成功,给人们的生活观念与方式带来了巨大的改变。但同时由于我国电子商务起步晚、发展快,以致配套的技术及管理等方面跟不上,致使安全成为其发展过程中的阻碍因素。
二、我国电子商务发展面临的安全问题分析
在我国电子商务面临的安全问题主要由三个方面造成,即技术落后、信用缺失及法律法制体系不完善。
(一)技术落后。对电子商务的安全而言,其首先要解决的就是安全技术问题,即我国现有的网络安全技术落后,难以建立一个安全可信赖的电子商务环境。一般来说,电子商务所面临的安全威胁主要表现在以下方面:
1、信息篡改。电子的交易信息在网络上传输的过程中,可能被他人非法修改、删除、插入或重放,从而使信息失去了真实性和完整性。
2、信息破坏。信息破坏既包括网络硬件和软件的问题而导致信息传递的丢失与谬误,也包括一些恶意程序的破坏而导致电子商务信息遭到破坏。由于攻击者可以接入网络,就可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入两方的网络内部,其后果是非常严重的。
3、身份识别。(1)假冒他人身份。假冒他人身份有以下几种方式:第一,假冒交易一方的身份,破坏交易,败坏被假冒一方的声誉或盗窃被假冒一方的交易成果等;第二,冒充主机欺骗合法主机及合法用户;第三,冒充网络控制程序,套取或修改使用权限、通行字、密钥等信息;第四,接管合法用户,欺骗系统,占用合法用户的资源。(2)不承认已经做过的交易。交易的一方可不为自己的行为负责任,进行否认,相互欺诈。具体包括以下几种情况:第一,发信者事后否认曾经发送过某信息或内容;第二,收信者事后否认曾经收到过某信息或内容;第三,购货者下了订货单不承认;第四,商家卖出的商品因价格差而不承认原有的交易。
4、信息泄密。信息泄密主要包括两个方面,即交易双方进行交易的内容被第三方窃取或交易一方提供给另一方使用的文件被第三方非法使用。攻击者可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装截获装置等方式,截获传输的机密信息,或者是通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的银行卡号、密码,销售者的(二)信用缺失。信用缺失的现象在当今的商务贸易中已成为一个日益严重的问题。基于网络的电子商务,连接的是相隔时间与空间距离的买卖双方,信用问题则显得更为突出。很多买方在付款之前会由于看不到实体物品,而担心其质量问题或商品是否真正符合自己的要求;在付款之后,还会担心卖方是否能真正遵守承诺交付货品。同样,卖方也对买方能否按期付款存在疑虑。在信用问题带来的顾虑重重之下,电子商务很难为大众所普遍接受。我国已加入WTO,会进行更多的跨国贸易,信用问题不仅关系到国内电子商务贸易能否正常有序进行,也关系到我国与国外的网上贸易能否顺利进行。
(三)法律法制体系不完善。当电子商务日益深入我们的生活之时,越来越迫切地感觉到缺少一套专门的完善的法律法规来解决这些问题。电子商务最大的特征是它存在于虚拟世界,极易产生如网上交易纠纷的仲裁、电子合同和网上契约的效力、纳税、隐私或产权的保护等问题,加之国际化的电子商务又涉及到各国的政治制度、社会状况、经济水平、现行法律法规及文化社会传统等问题,所以对它进行立法是非常复杂的。
目前,我国规范电子商务的相关法律法规极为有限。在法律层次上,只有1997年修订的《刑法》中增加了关于计算机犯罪的条文,1999年通过的《合同法》对电子合同的书面形式、生效时间地点等做了规定,但有关电子合同的描述是粗线条的,缺乏细化措施和可操作性,远远不能满足电子商务发展的需要。因此,法律问题是为实现电子商务安全必须解决的又一个重要问题。
三、解决中国电子商务发展面临的安全问题的有效方法
(一)技术问题的解决方法。对于技术问题,国内国外都已有较为常用有效的解决方法。概括地来说,有以下两个方面:一是确定安全控制的范围;二是建立电子商务安全体系。
1、安全控制的范围。电子商务安全的控制应涉及以下六个方面:第一,信息的保密性。EC作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。它是建立在一个较为开放的网络环境上的(尤其Internet是更为开放的网络),维护商业机密是EC全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取;第二,数据的完整性。EC简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是EC应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复,并保证信息传送次序的统一;第三,非伪装性。在电子商务环境中,网上交易的双方可能素昧平生、远隔千里。要使交易成功,首先要能方便可靠地确认对方的身份,这是双方交易的前提。非伪装性也能大大加强交易双方的信任程度,可以促进交易广泛地进行;第四,不可否认性。商情千变万化,交易一旦达成是不能被否认的,否则必然会损害一方的利益。因此,电子交易通信过程的各个环节都必须是不可否认的,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识;第五,不可修改性。电子交易的文件要做到不可修改,以保证交易的严肃和公正。同时,电子交易的文件也可以作为法律承认的一种证据,为交易双方出现的纠纷提供解决依据;第六,审查能力。根据机密性和完整性的要求,应对数据审查的结果进行记录,以备交易双方产生纠纷时交由第三方处理。客户资料等。2、建立电子商务安全体系。为实现电子商务的安全,现在较为通用的是建立包括以下三个层次的电子商务安全体系:第一,建立密码机制。密码机制即基本加密算法,包括对称密钥加密、非对称密钥加密等,密码机制的建立可以保证交易数据与交易人个人信息不受恶意的侵犯;第二,完善基本安全技术。基本安全技术包括以密钥机制为基础的CA体系以及数字信封、数字签名、数字时间戳、防火墙等。基本安全技术的不断完善为电子商务的发展提供一个良好的技术平台,使其发展过程中的技术障碍得以消除;第三,建立安全应用协议。安全应用协议以密码机制、基本安全技术、CA体系为基础。如,Internet电子邮件的安全协议(PEM,S/MIME,PEM-MIME(MOSS))、网络安全交易协议(SSL,S-HTTP,STT,iKP,SEPP,SET)。
(二)信用问题的解决方法。美国是世界上消费信贷最成熟的国家之一,有一整套完善的个人信用制度,我国可以借鉴其做法,建立一个适合中国国情的信用制度。第一,我国可以成立一个专门的征信机构——信用局,由政府管理,如银行一般具有社会公信力;第二,建立一个准确公正的个人信用档案。信用档案的信息应包括工商、税务、公安、司法、银行、证券、保险、经贸等多个方面。另外,信用档案应实现全面动态的管理,以实现对每个人全面有效的信用监督;第三,设计一个科学透明的信用分模型。最好由国家出面招标开发信用分模型,设计一个科学透明的信用分模型,产权归国家所有,无偿提供给社会使用;第四,完善个人信用的外部环境。具体可以从下面两个方面着手:一方面国家的组织和协调。建立个人信用制度是一项非常庞大的系统工程,需要政府各有关部门、中央银行、商业银行、个人信用中介公司等机构密切合作、协调配合。由国家应出台有关个人信用制度的政策,落实相关的配套措施,明确各部门所负的职责;另一方面是法律的保障。个人信用档案收集的个人信用资料属于个人隐私,国家应当对个人信用数据的收集、个人信用分的评定、个人信用数据的使用和披露做出明确规定,对于各种违规以及破坏公民隐私的行为规定制裁措施。
2计算机网络的安全设计
计算机网络的安全问题严重制约着计算机的发展与使用,同时也影响着人们的生活与生产,为了有效解决这一问题,需要重视计算机网络的安全设计,通过高效、优化的设计,从而保证计算机网络的安全使用,促进计算机的进一步发展。计算机网络的安全设计主要表现在多层、双网结构与容错性等方面,下文将对其进行阐述。
2.1在多层网络结构方面
计算机网络的结构要具有多层次性,注重此方面的设计,有利于计算机网络安全性的提升,同时也利于其运行环境的稳定。多层网络主要包括接入层、分布层与核心层。接入层,用户可以接入网络的初始点,利用计算机的控制列表便可以对网络进行访问操作,从而实现对计算机的控制。在局域网中的接入层具有服务作用,主要是服务于高级端口配置的设备,同时接入层能够实现对成本的控制。分布层,此层的位置处于接入环节与网络核心二者的中间部位,因此,分布层具有多重作用,不仅可以辅助区分计算机网络的核心,同时还可以定义计算机的边界,通过分布层作用的有效发挥,将实现对计算机数据包的高效处理,进而保证计算机网络的安全使用。核心层,这层是计算机网络的关键部分,其作用主要是对计算机的数据信息进行交换。通过安全设计,将使核心层的功能得到全面的发挥,从而保证计算机的有序操作,促进网络系统的数据交换。
2.2在容错性方面
计算机网络的容错性,主要是对其冗余网络与并行式网络进行利用,从而保证计算机服务器、路由器、客户端等能够实现有效的连接,同时也能够保证数据连接路径的相互连接操作。在计算机网络中,其边界和中心将连接多种数据,这样才能保证计算机区域网络的安全、正常使用,即使其中一个数据连接存在问题,也不影响计算机网络的使用。同时,容错性设计实现了对计算机网络设备的有效利用,使其功能得到了充分的发挥,如:热插功能、热拔功能等,并且也实现了计算机网络的稳定、可靠与安全运行,提升了容错性的设计能力。
2.3在双网络方面
将计算机网络的独立网络进行双网络设计,也可以称之为冗余设计,主要是通过备用网络的增加方式实现的。其可以让计算机网络具有双网络的结构,从而提升其安全性、稳定性与可靠性。双网络的计算机有着诸多的优点,不仅可以保证每个网络结点的连接,同时也可以有效地传递相关数据信息。如果计算机网络中的某个连接出现问题,其对应的网络将保证计算机的运行,利于计算机网络的安全传递与可靠运行。
3计算机网络的安全技术
为了有效、全面地解决计算机网络的安全问题,不仅要注重安全设计,还要关注安全技术,通过安全技术的利用,用户将能够对各种攻击进行及时的处理,同时也能够对攻击进行防范,还能够增强自身的防范意识,进而实现对计算机网络攻击问题的解决,保证用户对计算机网络的正常使用。安全技术的主要体现在以下四方面:
3.1在拒绝服务方面
用户在使用计算机网络之际,可以关闭不需要的服务,同时可以限制半连接的数量,缩短半连接的时间,还要对系统的补丁进行定期、及时的更新。用户要设置防火墙,禁止访问计算机中的非开放性项目,限制最大连接数量;同时要在IP中设置访问权限,还要启动防火墙中的DDOS。用户要设置路由器,要过滤访问控制列表,并且要设置数据包的流量速率;同时要升级ISO。
3.2在缓冲区方面
为了有效解决缓冲区溢出的攻击,要检测程序指针,保证其具有完整性,从而避免非法分子对程序指针的引用与更改;要利用堆砌保护,此种技术属于编译器技术,将能够实现对程序指针的全面检测,此技术在应用过程中主要是利用函数活动,对返回地址进行检测,从而判断其是否完整,是否受到攻击。
3.3在欺骗方面
对于IP欺骗攻击,可以运用抛弃信任策略、加密与包过滤等技术,其中,信息策略的抛弃主要是指用户抛弃相应的验证,从而阻止欺骗攻击;加密技术主要是指用户加密数据包,从而保证数据的安全性、完整性与可靠性,但在加密之际,要改变网络环境;包过滤技术主要是指用户设置路由器,禁止网外的IP地址,此项技术将对内部网络的外来包进行过滤,同时要将外部可信任的主机网络进行关闭,从而避免IP欺骗的攻击。对于ARP欺骗攻击,可以通过绑定网关地址与IP地址或者绑定计算机端口与MAC地址、配置ACL、过滤IP地址等方式来实现。同时还可以利用ARP服务器、防火墙与反ARP攻击软件等来抵御ARP欺骗攻击。
3.4路由协议方面
路由器在使用过程中,普遍采用了加密方式,通过密文、明文等形式,来实现对用户信息的保护,防止信息的泄露。同时用户也可以启用MD5来提升路由器的安全性。
一、电子商务的安全需求
1.信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
引言:随着万维网wWw的发展,Internet技术的应用已经渗透到科研、经济、贸易、政府和军事等各个领域,电子商务和电子政务等新鲜词汇也不再新鲜。网络技术在极大方便人民生产生活,提高工作效率和生活水平的同时,其隐藏的安全风险问题也不容忽视。因为基于TCP/IP架构的计算机网络是个开放和自由的网络,这给黑客攻击和人侵敞开了大门。传统的病毒借助于计算机网络加快其传播速度,各种针对网络协议和应用程序漏洞的新型攻击方法也日新月异。因此计算机网络应用中的安全问题就日益成为一个函待研究和解决的问题。
1.计算机网络应用的常见安全问题
计算机网络具有大跨度、分布式、无边界等特征,为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性,使得计算机网络应用中的恶意攻击肆意妄为,计算机网络应用中常见的安全问题主要有:①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击,通过向Windows系统TCP端口139发送随机数来攻击操作系统,从而让中央处理器(CPU)一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击,通过恶意地请求资源导致服务超载,造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYNFlood攻击。或者,发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪,典型的攻击方法如ICMPF1ood}ConnectionFloa等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址,使受攻击的服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植人到目标主机中,用户的主机就被黑客完全控制,成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息,如口令、帐号、密码等,对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer(嗅探器)作为工具进行信息窥探。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,为进一步恶意攻击做准备。而嗅探器(sni$}er)是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被用户发现。
2.计算机网络安全问题的常用策略
2.1对孟要的信息数据进行加密保护
为了防止对网络上传输的数据被人恶意窃听修改,可以对数据进行加密,使数据成为密文。如果没有密钥,即使是数据被别人窃取也无法将之还原为原数据,一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制,常用的算法为DES算法,ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥,每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密,用于解密密钥。具体采取那种加密方式应根据需求而定。
2.2采用病毒防护技术
包括:①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原,从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office,Outlook,IE,Winzip,NetAnt等应用软件进行被动式杀毒。
2.3运用入俊检测技术
人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。人侵检测系统的应用,能使在人侵攻击对系统发生危害前,检测到人侵攻击,并利用报警与防护系统驱逐人侵攻击。在人侵攻击过程中,能减少人侵攻击所造成的损失。在被人侵攻击后,收集人侵击的相关信息,作为防范系统的知识,添加人知识库内,以增强系统的防范能力。
根据采用的检测技术,人侵检测系统被分为误用检测(MisuseDetec-lion)和异常检测(AnomalyDetection)两大类。误用检测根据事先定义的人侵模式库,人侵模式描述了人侵行为的特征、条件、排列以及事件间关系,检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。它的人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体,漏报率较高。而异常检测技术则是通过提取审计踪迹(如网络流量、日志文件)中的特征数据来描述用户行为,建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较,如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点:误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击,具有低的误报率,但面对新的攻击行为确无能为力,漏报率高;而异常检测技术具有发现新的攻击行为的能力,漏报率低,但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展,如NIDES,EMER-ALD,Haystack都为误用与异常检测的综合系统,其中用误用检测技术检测已知的人侵行为,而异常检测系统检测未知的人侵行为。
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;