安全問(wèn)題論文匯總十篇

時(shí)間：2023-03-22 17:32:59

序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程，我們?yōu)槟扑]十篇安全問(wèn)題論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來(lái)更深刻的閱讀感受。

安全問(wèn)題論文

篇（1）

一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問(wèn)題

“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來(lái)的。經(jīng)過(guò)40多年的發(fā)展，信息化已成為各國(guó)社會(huì)發(fā)展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識(shí)性、中介性、可轉(zhuǎn)化性、可再生性和無(wú)限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導(dǎo)致信息系統(tǒng)的不安全性，給國(guó)家的信息化建設(shè)帶來(lái)不利影響。因此，如何保證信息安全成為亟須解決的重要問(wèn)題。

信息安全包括以下內(nèi)容：真實(shí)性，保證信息的來(lái)源真實(shí)可靠；機(jī)密性，信息即使被截獲也無(wú)法理解其內(nèi)容；完整性，信息的內(nèi)容不會(huì)被篡改或破壞；可用性，能夠按照用戶(hù)需要提供可用信息；可控性，對(duì)信息的傳播及內(nèi)容具有控制能力；不可抵賴(lài)性，用戶(hù)對(duì)其行為不能進(jìn)行否認(rèn)；可審查性，對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問(wèn)題相比，基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn)：

一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來(lái)的開(kāi)放性特點(diǎn)，從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開(kāi)放性的特點(diǎn)，通過(guò)網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開(kāi)放的，而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。

二是信息安全問(wèn)題的易擴(kuò)散性。信息安全問(wèn)題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng)，造成了病毒極易滋生和傳播，從而導(dǎo)致信息危害。

三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問(wèn)題更多的是使用物理手段造成的破壞行為，而網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題常常表現(xiàn)為一種技術(shù)對(duì)抗，對(duì)信息的破壞、竊取等都是通過(guò)技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無(wú)形”的，不受時(shí)間和地點(diǎn)的約束，犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來(lái)困難。

信息安全威脅主要來(lái)源于自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪；人為錯(cuò)誤，比如使用不當(dāng)，安全意識(shí)差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議自身缺陷，等等。

二、我國(guó)信息化中的信息安全問(wèn)題

近年來(lái)，隨著國(guó)家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素，我國(guó)在信息安全管理上的進(jìn)展是迅速的。但是，由于我國(guó)的信息化建設(shè)起步較晚，相關(guān)體系不完善，法律法規(guī)不健全等諸多因素，我國(guó)的信息化仍然存在不安全問(wèn)題。

1、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國(guó)的信息化建設(shè)發(fā)展迅速，各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動(dòng)后，各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒(méi)有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備，整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國(guó)互聯(lián)網(wǎng)安全公司賽門(mén)鐵克公司2007年發(fā)表的報(bào)告稱(chēng)，在網(wǎng)絡(luò)黑客攻擊的國(guó)家中，中國(guó)是最大的受害國(guó)。

2、對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國(guó)信息技術(shù)水平的限制，很多單位和部門(mén)直接引進(jìn)國(guó)外的信息設(shè)備，并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造，從而給他人入侵系統(tǒng)或監(jiān)聽(tīng)信息等非法操作提供了可乘之機(jī)。3、我國(guó)基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴(lài)國(guó)外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國(guó)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來(lái)自國(guó)外，這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù)，我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。

4、信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊，國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪，例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等。

5、在研究開(kāi)發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。

造成以上問(wèn)題的相關(guān)因素在于：首先，我國(guó)的經(jīng)濟(jì)基礎(chǔ)薄弱，在信息產(chǎn)業(yè)上的投入還是不足，尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開(kāi)發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)。其次，全民信息安全意識(shí)淡薄，警惕性不高。大多數(shù)計(jì)算機(jī)用戶(hù)都曾被病毒感染過(guò)，并且病毒的重復(fù)感染率相當(dāng)高。

除此之外，我國(guó)目前信息技術(shù)領(lǐng)域的不安全局面，也與西方發(fā)達(dá)國(guó)家對(duì)我國(guó)的技術(shù)輸出進(jìn)行控制有關(guān)。

三、相關(guān)解決措施

針對(duì)我國(guó)信息安全存在的問(wèn)題，要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)，還要有嚴(yán)格的法律法規(guī)和信息安全教育。

1、加強(qiáng)全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護(hù)設(shè)備，保證個(gè)人的信息安全，提高整個(gè)系統(tǒng)的安全防護(hù)能力，從而促進(jìn)整個(gè)系統(tǒng)的信息安全。

2、發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識(shí)，加大核心技術(shù)的研發(fā)，尤其是信息安全產(chǎn)品，減小對(duì)國(guó)外產(chǎn)品的依賴(lài)程度。

3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國(guó)信息安全的法規(guī)體系，制定相關(guān)的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等，加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度，對(duì)其進(jìn)行嚴(yán)厲的懲處。

4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，應(yīng)大力培養(yǎng)信息安全專(zhuān)業(yè)人才，建立信息安全人才培養(yǎng)體系。

篇（2）

當(dāng)今許多的企業(yè)都廣泛的使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)的應(yīng)用越來(lái)越多，而寬帶接入已經(jīng)成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)接入國(guó)際互聯(lián)網(wǎng)的主要方式。而與此同時(shí)，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)特有的開(kāi)放性，企業(yè)的網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái)，由于安全問(wèn)題給企業(yè)造成了相當(dāng)大的損失。因此，預(yù)防和檢測(cè)網(wǎng)絡(luò)設(shè)計(jì)的安全問(wèn)題和來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊以及病毒入侵成為網(wǎng)絡(luò)管理員一個(gè)重要課題。

一、網(wǎng)絡(luò)安全問(wèn)題

在實(shí)際應(yīng)用過(guò)程中，遇到了不少網(wǎng)絡(luò)安全方面的問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問(wèn)題，它的劃分大體上可以分為內(nèi)網(wǎng)和外網(wǎng)。如下表所示：

由上表可以看出，外部網(wǎng)的安全問(wèn)題主要集中在入侵方面，主要的體現(xiàn)在：未授權(quán)的訪問(wèn)，破壞數(shù)據(jù)的完整性，拒絕服務(wù)攻擊和利用網(wǎng)絡(luò)、網(wǎng)頁(yè)瀏覽和電子郵件夾帶傳播病毒。但是網(wǎng)絡(luò)安全不僅要防范外部網(wǎng)，同時(shí)更防范內(nèi)部網(wǎng)。因?yàn)閮?nèi)部網(wǎng)安全措施對(duì)網(wǎng)絡(luò)安全的意義更大。據(jù)調(diào)查，在已知的網(wǎng)絡(luò)安全事件中,約70%的攻擊是來(lái)自?xún)?nèi)部網(wǎng)。內(nèi)部網(wǎng)的安全問(wèn)題主要體現(xiàn)在：物理層的安全，資源共享的訪問(wèn)控制策略，網(wǎng)內(nèi)病毒侵害，合法用戶(hù)非授權(quán)訪問(wèn)，假冒合法用戶(hù)非法授權(quán)訪問(wèn)和數(shù)據(jù)災(zāi)難性破壞。

二、安全管理措施

綜合以上對(duì)于網(wǎng)絡(luò)安全問(wèn)題的初步認(rèn)識(shí)，有線(xiàn)中心采取如下的措施：

（一）針對(duì)與外網(wǎng)的一些安全問(wèn)題

對(duì)于外網(wǎng)造成的安全問(wèn)題，使用防火墻技術(shù)來(lái)實(shí)現(xiàn)二者的隔離和訪問(wèn)控制。

防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問(wèn)進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。

防火墻可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動(dòng)的網(wǎng)絡(luò)通信；用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，從而保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。所以，安裝防火墻對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)具有很多優(yōu)點(diǎn)：（1）集中的網(wǎng)絡(luò)安全；（2）可作為中心“扼制點(diǎn)”；（3）產(chǎn)生安全報(bào)警；（4）監(jiān)視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務(wù)器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其它攻擊。為此，中心選用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一種基于主機(jī)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，RealSecure可以中斷用戶(hù)進(jìn)程和掛起用戶(hù)賬號(hào)來(lái)阻止進(jìn)一步入侵，同時(shí)它還會(huì)發(fā)出警報(bào)、記錄事件等以及執(zhí)行用戶(hù)自定義動(dòng)作。RealSecureSystemAgent還具有偽裝功能，可以將服務(wù)器不開(kāi)放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統(tǒng)的防護(hù)時(shí)間。Re?鄄alSecureNetworkEngin是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。網(wǎng)絡(luò)入侵檢測(cè)RealSecureNetworkEngine在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的、智能的防護(hù)體系。

通過(guò)部署入侵檢測(cè)系統(tǒng)，我們實(shí)現(xiàn)了以下功能：

對(duì)于WWW服務(wù)器，配置主頁(yè)的自動(dòng)恢復(fù)功能，即如果WWW服務(wù)器被攻破、主頁(yè)被纂改，系統(tǒng)能夠自動(dòng)識(shí)別并把它恢復(fù)至事先設(shè)定的頁(yè)面。

入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行“互動(dòng)”，即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊后，通知防火墻，由防火墻對(duì)攻擊進(jìn)行阻斷。

（二）針對(duì)網(wǎng)絡(luò)物理層的穩(wěn)定

網(wǎng)絡(luò)物理層的穩(wěn)定主要包括設(shè)備的電源保護(hù)，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩(wěn)壓器和不間斷電源。所有的網(wǎng)絡(luò)設(shè)備都放在機(jī)箱中，所有的機(jī)箱都必須有接地的設(shè)計(jì)，在機(jī)房安裝的時(shí)候必須按照接地的規(guī)定做工程；對(duì)于供電設(shè)備，也必須做好接地的工作。這樣就可以防止靜電對(duì)設(shè)備的破壞，保證了網(wǎng)內(nèi)硬件的安全。

（三）針對(duì)病毒感染的問(wèn)題

病毒程序可以通過(guò)電子郵件、使用盜版光盤(pán)等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。防病毒解決方案體系結(jié)構(gòu)中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來(lái)的風(fēng)險(xiǎn)的相關(guān)技術(shù)。中心使用企業(yè)網(wǎng)絡(luò)版殺毒軟件，（例如：SymantecAntivirus等）并控制寫(xiě)入服務(wù)器的客戶(hù)端，網(wǎng)管可以隨時(shí)升級(jí)并殺毒，保證寫(xiě)入數(shù)據(jù)的安全性，服務(wù)器的安全性，以及在客戶(hù)端安裝由奇虎安全衛(wèi)士之類(lèi)來(lái)防止廣告軟件和間諜軟件。

（四）針對(duì)應(yīng)用系統(tǒng)的安全

應(yīng)用系統(tǒng)的安全主要面對(duì)的是服務(wù)器的安全，對(duì)于服務(wù)器來(lái)說(shuō)，安全的配置是首要的。對(duì)于本中心來(lái)說(shuō)主要需要2個(gè)方面的配置：服務(wù)器的操作系統(tǒng)（Windows2003）的安

全配置和數(shù)據(jù)庫(kù)（SQLServer2000）的安全配置。1．操作系統(tǒng)（Windows2003）的安全配置

（1）系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁，尤其是IIS6.0補(bǔ)丁。

（2）禁止默認(rèn)共享。

（3）打開(kāi)管理工具-本地安全策略，在本地策略-安全選項(xiàng)中，開(kāi)啟不顯示上次的登錄用戶(hù)名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帳號(hào)，并給guest加一個(gè)異常復(fù)雜的密碼。

（6）關(guān)閉不必要的端口。

（7）啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻，并進(jìn)行端口的改變。

（8）打開(kāi)審核策略，這個(gè)也非常重要，必須開(kāi)啟。

2．?dāng)?shù)據(jù)庫(kù)（SQLServer2000）的安全配置

（1）安裝完SQLServer2000數(shù)據(jù)庫(kù)上微軟網(wǎng)站打最新的SP4補(bǔ)丁。

（2）使用安全的密碼策略

。設(shè)置復(fù)雜的sa密碼。

（3）在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。

（4）使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網(wǎng)絡(luò)管理員還要準(zhǔn)備一些針對(duì)網(wǎng)絡(luò)監(jiān)控的管理工具，通過(guò)這些工具來(lái)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協(xié)議的探測(cè)工具。

Ipconfig/winipcfg，查看和修改網(wǎng)絡(luò)中的TCP/IP協(xié)議的有關(guān)配置，

Netstat，利用該工具可以顯示有關(guān)統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接的情況，用戶(hù)或網(wǎng)絡(luò)管理人員可以得到非常詳盡的統(tǒng)計(jì)結(jié)果。

SolarWindsEngineer''''sEditionToolset

另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛，涵蓋了從簡(jiǎn)單、變化的ping監(jiān)控器及子網(wǎng)計(jì)算器（Subnetcalculators）到更為復(fù)雜的性能監(jiān)控器何地址管理功能?！?/p>

SolarWindsEngineer''''sEditionToolset的介紹：

SolarWindsEngineer’sEdition是一套非常全面的網(wǎng)絡(luò)工具庫(kù)，包括了網(wǎng)絡(luò)恢復(fù)、錯(cuò)誤監(jiān)控、性能監(jiān)控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition還增加了新的SwitchPortMapper工具，它可以在您的switch上自動(dòng)執(zhí)行Layer2和Layer3恢復(fù)。工程師版包含了SolarwindsMIB瀏覽器和網(wǎng)絡(luò)性能監(jiān)控器（NetworkPerformanceMonitor），以及其他附加網(wǎng)絡(luò)管理工具。

SnifferPro能夠了解本機(jī)網(wǎng)絡(luò)的使用情況，它使用流量顯示和圖表繪制功能在眾多網(wǎng)管軟件中最為強(qiáng)大最為靈活；它能在于混雜模式下的監(jiān)聽(tīng)，也就是說(shuō)它可以監(jiān)聽(tīng)到來(lái)自于其他計(jì)算機(jī)發(fā)往另外計(jì)算機(jī)的數(shù)據(jù)，當(dāng)然很多混雜模式下的監(jiān)聽(tīng)是以一定的設(shè)置為基礎(chǔ)的，只有了解了對(duì)本機(jī)流量的監(jiān)聽(tīng)設(shè)置才能夠進(jìn)行高級(jí)混雜模式監(jiān)聽(tīng)。

除了上面說(shuō)的五個(gè)措施以外，還有不少其他的措施加強(qiáng)了安全問(wèn)題的管理：

制訂相應(yīng)的機(jī)房管理制度；

制訂相應(yīng)的軟件管理制度；

制訂嚴(yán)格的操作管理規(guī)程；

篇（3）

二、企業(yè)如何開(kāi)展檔案安全管理工作

（一）樹(shù)立檔案安全管理意識(shí)

檔案安全意識(shí)是做好檔案安全管理、確保檔案安全的前提。不論是檔案管理人員，還是企業(yè)領(lǐng)導(dǎo)、員工，都必須具有檔案安全意識(shí)，才能確保檔案安全。檔案安全意識(shí)淡泊是個(gè)普遍存在的問(wèn)題。為保證企業(yè)利益和企業(yè)檔案安全，企業(yè)需要樹(shù)立檔案安全管理理念和安全管理意識(shí)。當(dāng)前樹(shù)立檔案管理安全意識(shí)顯得非常緊迫和重要，通過(guò)安全管理教育和培訓(xùn)可以提高檔案管理工作人員和相關(guān)人員的檔案安全管理意識(shí)。企業(yè)可以充分利用企業(yè)電視、內(nèi)部報(bào)刊、門(mén)戶(hù)網(wǎng)站、企業(yè)通告通知、企業(yè)會(huì)議等多種途徑，開(kāi)展檔案安全管理敦育，樹(shù)立和增強(qiáng)檔案安全管理意識(shí)。在開(kāi)展安全管理意識(shí)教育和培訓(xùn)的同時(shí)，還可以通過(guò)積極開(kāi)展規(guī)范化、制度化的實(shí)戰(zhàn)演練，提高安全管理技能和安全管理效率。

（二）加強(qiáng)檔案安全日常管理

首先必須建立一套完整的檔案安全日常管理制度，包括檔案安全管理責(zé)任制、庫(kù)房保管制度、庫(kù)房溫濕度管理制度、檔案出入庫(kù)制度、檔案利用制度、檔案保密制度、值班制度等，并嚴(yán)格按制度執(zhí)行。其次，建立完善的檔案安全管理工作臺(tái)帳，包括保管情況檢查記錄、環(huán)境安全檢查記錄、防火安全檢查記錄、庫(kù)內(nèi)外溫濕度記錄、檔案移交登記、檔案出入庫(kù)登記、檔案借閱登記、值班記錄等原始臺(tái)帳，并對(duì)各種原始臺(tái)帳進(jìn)行統(tǒng)計(jì)分析，總結(jié)規(guī)律，再用于指導(dǎo)檔案安全管理工作，提高檔案安全管理工作水平。第三，進(jìn)行檔案安全的全過(guò)程管理，將檔案安全管理從保管環(huán)節(jié)，延伸到形成、積累、收集、整理、鑒定、利用等環(huán)節(jié)，將檔案安全管理落實(shí)到檔案管理工作的全過(guò)程。第四，加強(qiáng)檔案庫(kù)房日常管理，定時(shí)開(kāi)關(guān)設(shè)備、電源、門(mén)窗，定期檢查電源線(xiàn)路、設(shè)備、消防器材、防蟲(chóng)藥品，做好各項(xiàng)檢查記錄，保持庫(kù)內(nèi)外環(huán)境清潔，及時(shí)消除檔案安全隱患。

（三）建立健全安全管理制度

安全管理制度的建立和完善是企業(yè)檔案安全管理的制度保證。為保證企業(yè)檔案安全管理工作的順利進(jìn)行，制定相應(yīng)的企業(yè)檔案安全管理制定非常必要。企業(yè)工作人員尤其是檔案管理工作人員應(yīng)該熟知安全管理制度，并在安全管理制度的指導(dǎo)下有序開(kāi)展安全管理工作。

（四）建立和健全安全管理預(yù)案

篇（4）

1．旅游安全問(wèn)題的類(lèi)型及內(nèi)容

1.1旅游安全問(wèn)題的類(lèi)型主要包括輕微事故，一般事故，重大事故，特大事故。

（1）輕微事故：是指一次事故造成旅游者輕傷或經(jīng)濟(jì)損失在1萬(wàn)元以下者。

（2）一般事故：是指一次事故造成旅游者重傷或經(jīng)濟(jì)損失在1萬(wàn)至10萬(wàn)(含1萬(wàn))元者。

（3）重大事故：是指一次事故造成旅游者殘廢或旅游者重傷致殘，或經(jīng)濟(jì)損失在10萬(wàn)至loo萬(wàn)元(含10萬(wàn)元)者?！吨卮舐糜伟踩鹿侍幚沓绦蛟囆修k法》補(bǔ)充規(guī)定：“涉外旅游住宿、交通、游覽、餐飲、娛樂(lè)、購(gòu)物場(chǎng)所火災(zāi)及其他惡性事故”、“造成海外旅游者人身重傷、死亡的事故”也屬重大事故。

（4）特大事故：是指一次事故造成旅游者死亡多名，或經(jīng)濟(jì)損失在100萬(wàn)元以上，或性質(zhì)特別嚴(yán)重，產(chǎn)生重大影響者。

2.旅游安全主要的問(wèn)題

1.1旅游者對(duì)自身安全意識(shí)淡薄

許多旅游者對(duì)自己的旅游活動(dòng)場(chǎng)所(易起，)的安全隱患了解不足，又在旅游活動(dòng)中麻痹大意，在沒(méi)有做好充足準(zhǔn)備的情況下，盲目活動(dòng)，冒險(xiǎn)行動(dòng)，以至于釀成災(zāi)害事故。

1.2旅游景區(qū)安全防范不足

雖然安全工作是景區(qū)建設(shè)的重要內(nèi)容，但是許多景區(qū)工作做得不夠細(xì)致。一是有些景區(qū)重生產(chǎn)輕安全，追求經(jīng)濟(jì)利潤(rùn)，沒(méi)有處理好生產(chǎn)與安全、效益與安全、發(fā)展與安全的關(guān)系，忽視安全生產(chǎn)投入，造成安全生產(chǎn)基礎(chǔ)薄弱、安全技術(shù)落后、安全設(shè)施不足、安全設(shè)備老化，以至消防、交通、飲食、治安等方面存在安全隱患。二是許多景區(qū)應(yīng)急救援體系不健全，機(jī)制不完善。突發(fā)事件的應(yīng)急預(yù)案要么沒(méi)有，要么不可行，滯后于旅游發(fā)展。安全生產(chǎn)宣傳教育和培訓(xùn)工作不夠普及、深入、細(xì)致和實(shí)用，對(duì)教育和培訓(xùn)重要性的認(rèn)識(shí)有待加強(qiáng)。

1.3部門(mén)監(jiān)管不力

有些地區(qū)對(duì)景區(qū)的監(jiān)管制度不健全，監(jiān)管力量不足，人員、經(jīng)費(fèi)和設(shè)備不足，技術(shù)手段落后，以至監(jiān)管工作不能及時(shí)和到位，監(jiān)管手段有待創(chuàng)新。還有的地區(qū)監(jiān)管機(jī)構(gòu)太多而導(dǎo)致集體不作為的弊端。

1.4存在法律盲區(qū)

近年來(lái)，隨著旅游大眾化的到來(lái)，旅游景區(qū)安全事故和相應(yīng)的法律糾紛也大量出現(xiàn)，不少糾紛解決過(guò)程中出現(xiàn)了適用法律不明確和安全責(zé)任不好界定的問(wèn)題，這與我國(guó)目前旅游法制還不夠健全有一定的關(guān)系。我國(guó)已有的相關(guān)旅游法規(guī)，對(duì)于景區(qū)安全問(wèn)題只是做了原則性規(guī)定，也就是說(shuō)在處理景區(qū)與旅游者旅游安全的問(wèn)題方面存在著法律盲區(qū)，相關(guān)法律法規(guī)有待于進(jìn)一步完善。

1.5旅游中受到的損害

據(jù)介紹，消費(fèi)者在旅游過(guò)程中人身、財(cái)產(chǎn)安全受到損害的投訴集中表現(xiàn)為：(一)不潔餐飲引起的食物中毒；(二)攜帶的物品在賓館被盜；(三)有的旅行社為降低成本，違規(guī)操作，讓司機(jī)兼做導(dǎo)游，因疲勞駕駛，導(dǎo)致車(chē)毀人亡；(四)在旅游黃金周期間，車(chē)、船超負(fù)荷運(yùn)作，給消費(fèi)者的人身安全造成的威脅；(五)“黑車(chē)”、“黑導(dǎo)游”坑害游客；(六)旅行社不履行告知義務(wù)，擅自轉(zhuǎn)團(tuán)，使旅游服務(wù)質(zhì)量及安全難保；(七)為降低成本，旅行社不給消費(fèi)者辦理旅游意外保險(xiǎn)等。

3.旅游安全的對(duì)策

3.1旅游者要增強(qiáng)安全意識(shí)

每一位旅游者都要提高自身素質(zhì)，不要僅僅考慮自己便利，把一些不利于景區(qū)安全的壞習(xí)慣帶到旅游目的地中來(lái)。在旅游過(guò)程中，自覺(jué)聽(tīng)從有關(guān)服務(wù)與管理人員的指揮，要本著對(duì)自己負(fù)責(zé)，對(duì)親人負(fù)責(zé)，對(duì)社會(huì)負(fù)責(zé)的態(tài)度來(lái)規(guī)范自己在旅游景區(qū)內(nèi)的行為。在從事徒步穿越、攀爬等戶(hù)外旅游項(xiàng)目時(shí)，一定要做好充分的物資和心理準(zhǔn)備，并且要有經(jīng)驗(yàn)豐富的領(lǐng)隊(duì)來(lái)組織安排。在陌生區(qū)域行動(dòng)時(shí)，一定要請(qǐng)熟悉地形的當(dāng)?shù)叵驅(qū)?，一旦發(fā)生意外，也可以及時(shí)進(jìn)行自救，將損失降到最小程度。

3.2公安部門(mén)要為旅游者的行車(chē)安全提供有力的保障

各地公安機(jī)關(guān)要針對(duì)重點(diǎn)旅游地區(qū)，科學(xué)調(diào)整勤務(wù)，合理配備警力，加強(qiáng)交通組織和疏導(dǎo)，防止發(fā)生交通擁堵。要嚴(yán)厲查糾突出交通違法行為，在高速公路、主要國(guó)道、省道和旅游線(xiàn)路增設(shè)流動(dòng)測(cè)速點(diǎn)和執(zhí)勤服務(wù)點(diǎn)，重點(diǎn)查糾超速行駛、客車(chē)超員、疲勞駕駛等交通違法行為。要切實(shí)加強(qiáng)省際間的工作銜接與配合，加強(qiáng)信息溝通，形成區(qū)域聯(lián)勤、整體聯(lián)動(dòng)，確保暑期旅游交通安全。

針對(duì)夏季多雨、地質(zhì)災(zāi)害易發(fā)的特點(diǎn)，公安部提出，公安機(jī)關(guān)要及時(shí)啟動(dòng)應(yīng)對(duì)惡劣天氣交通管理工作預(yù)案，及時(shí)了解、掌握臺(tái)風(fēng)、暴雨、泥石流等惡劣天氣、地質(zhì)災(zāi)害預(yù)警信息，加強(qiáng)旅游線(xiàn)路的指揮疏導(dǎo)和危險(xiǎn)路段的巡查，及時(shí)處置和清理事故現(xiàn)場(chǎng)。對(duì)水毀路段要實(shí)時(shí)信息，會(huì)同交通部門(mén)及時(shí)組織交通分流，保障道路暢通。

3.3設(shè)立專(zhuān)門(mén)的旅游突發(fā)事件應(yīng)急機(jī)構(gòu)

設(shè)立由社區(qū)醫(yī)院、消防、保險(xiǎn)、交通等多部門(mén)、多人員組成的聯(lián)合機(jī)動(dòng)組織，專(zhuān)門(mén)解決旅游景區(qū)的突發(fā)事件，使事件發(fā)生后的損失降到最低。

3.4完善旅游保險(xiǎn)制度

這是做好安全事故善后工作、保障旅游者合法權(quán)益的保證，也是社會(huì)聯(lián)動(dòng)系統(tǒng)、旅游救援系統(tǒng)的基礎(chǔ)。目前我國(guó)旅游保險(xiǎn)尚不甚完善，因此，改革旅游保險(xiǎn)制度、制定便于各種旅游者投保的險(xiǎn)種是旅游保險(xiǎn)的發(fā)展方向之一。旅游意外保險(xiǎn)屬于強(qiáng)制險(xiǎn)種。但旅行社在履行這一強(qiáng)制性義務(wù)的同時(shí)，可由旅游者根據(jù)自愿原則向保險(xiǎn)公司購(gòu)買(mǎi)除強(qiáng)制性意外保險(xiǎn)外的其他旅游保險(xiǎn)。

3.5加強(qiáng)旅游宣傳和教育

提高旅游安全意識(shí)確保旅游安全的最有效途徑之一就是公眾教育。宣傳教育既要面向旅游者又要面向旅游地社區(qū)和旅游從業(yè)人員。前者可通過(guò)旅途中的各種告示和旅游從業(yè)人員的安全建議等達(dá)到目的。旅游從業(yè)人員安全宣傳和教育包括兩部分內(nèi)容：一為旅游安全問(wèn)題的危害性及其與旅游業(yè)的關(guān)系，二為旅游安全事故的處理。

3.6景區(qū)加強(qiáng)安全防范

落實(shí)“安全第一、預(yù)防為主、綜合治理”的方針。景區(qū)自身要對(duì)安全工作高度重視，并在整體規(guī)劃中進(jìn)行安全規(guī)劃，對(duì)可能發(fā)生的旅游事故制定出相應(yīng)的應(yīng)急預(yù)案。景區(qū)要加強(qiáng)安全管理，設(shè)置維護(hù)游覽秩序和治安的機(jī)構(gòu)和專(zhuān)門(mén)人員，配備必要的裝備，加強(qiáng)巡邏和檢查，嚴(yán)懲擾亂旅游秩序的不法分子，確保國(guó)家財(cái)產(chǎn)和游人的安全。對(duì)船、車(chē)、碼頭、纜車(chē)、索道、觀光電梯、滑道等交通設(shè)施，游覽活動(dòng)器械、險(xiǎn)要道路及危險(xiǎn)地段要定期檢查，落實(shí)責(zé)任制，加強(qiáng)管理和維護(hù)，及時(shí)排除機(jī)械故障、危險(xiǎn)巖石和其他不安全因素。在危險(xiǎn)地段及水域或猛獸出沒(méi)、易發(fā)生雷擊、有害生物生長(zhǎng)的地區(qū)要設(shè)置安全標(biāo)志，做出防范說(shuō)明。在容易發(fā)生交通事故的危險(xiǎn)路段設(shè)立警示牌，清除交通障礙。并加強(qiáng)對(duì)游客集中場(chǎng)所、薄弱環(huán)節(jié)和部位、重要地段的治安保衛(wèi)工作，抓好安全防范與管理工作，消除隱患，堵塞漏洞，杜絕各類(lèi)旅游安全事故的發(fā)生。在沒(méi)有安全保障的區(qū)域，要在顯要位置做出真實(shí)地說(shuō)明和明確的警示，并且不得開(kāi)展游覽活動(dòng)。

篇（5）

隨著國(guó)家經(jīng)濟(jì)的快速發(fā)展和社會(huì)生活生平的不斷提高，以及交通條件的不斷完善，外出旅游已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠?，我?guó)的旅游業(yè)進(jìn)入了蓬勃發(fā)展時(shí)期。然而，旅游活動(dòng)的增多也使旅游安全事故發(fā)生的概率增大，旅游安全問(wèn)題逐漸成為社會(huì)各界日益關(guān)注的焦點(diǎn)。

一、旅游安全現(xiàn)狀

安全是旅游業(yè)發(fā)展的基礎(chǔ)，它不僅是旅游活動(dòng)順利發(fā)展的保障，也是旅游業(yè)發(fā)展的前提。旅游業(yè)是個(gè)綜合性的產(chǎn)業(yè)，它涉及到很多社會(huì)部門(mén)和行業(yè)，旅游活動(dòng)又包含了食、住、行、游、購(gòu)、娛六大方面，涉及到社會(huì)生活的方方面面，可以說(shuō)現(xiàn)代旅游業(yè)由于各種社會(huì)的和自然的因素影響，潛在著許多危險(xiǎn)和不安全因素，旅游行業(yè)和旅游活動(dòng)的各個(gè)環(huán)節(jié)中都可能存在著潛在的旅游風(fēng)險(xiǎn)。旅游安全問(wèn)題產(chǎn)生后，會(huì)通過(guò)各種媒介影響到潛在旅游者，影響潛在旅游者對(duì)目的地決策行為。由表1我們也可以看出，旅游風(fēng)險(xiǎn)可能是來(lái)自旅游目的地的自然環(huán)境或社會(huì)環(huán)境，也可能來(lái)自旅游者自身和旅游組織者等各個(gè)方面。因此，解決旅游安全問(wèn)題，加強(qiáng)旅游安全研究，不僅是旅游活動(dòng)質(zhì)量的重要保證，也是旅游業(yè)做到可持續(xù)發(fā)展的重要因素。

在目前情況下，旅游安全事件還在頻繁發(fā)生，甚至出現(xiàn)了增長(zhǎng)的趨勢(shì)。據(jù)國(guó)家旅游局綜合司統(tǒng)計(jì)，從2009年初至9月份僅9個(gè)月中就發(fā)生了41起旅游事故，其中重大事件8起，比2008年同期增長(zhǎng)60%，整體比2008年同期增長(zhǎng)10.8%。由此可見(jiàn)，旅游安全問(wèn)題越來(lái)越尖銳，已經(jīng)是擺在我們面前需要時(shí)刻關(guān)注的問(wèn)題。

二、旅游安全的表現(xiàn)形式

旅游安全的表現(xiàn)形式在實(shí)際生活中是各種各樣的，而且常常是交叉出現(xiàn)。按照旅游研究對(duì)象劃分，旅游安全表現(xiàn)為旅游主體安全、旅游客體安全、旅游中介安全。旅游主體安全就是旅游者的安全，旅游客體安全為旅游目的地人和物的安全，旅游中介安全為各種旅游接待設(shè)施和人員的安全。按照旅游的六要素：食、住、行、游、購(gòu)、娛進(jìn)行劃分，旅游安全表現(xiàn)為飲食安全、住宿安全、交通安全、游覽安全、購(gòu)物安全和休閑娛樂(lè)安全。按照最終的表現(xiàn)形式劃分，旅游安全表現(xiàn)為交通事故、疾病、治安事件、火災(zāi)、食物中毒、旅游設(shè)施事故等。

三、旅游安全問(wèn)題的對(duì)策

（一）完善旅游安全法規(guī)

旅游安全法規(guī)是從法律上保障旅游安全，為旅游活動(dòng)過(guò)程中出現(xiàn)的各種安全問(wèn)題的解決提供法律依據(jù)，依靠其權(quán)威性和強(qiáng)制性來(lái)規(guī)范和約束旅游從業(yè)人員的行為，增強(qiáng)旅游從業(yè)人員的安全意志和防控意志，提高旅游者的旅游安全防范意志，約束旅游者在旅游活動(dòng)過(guò)程中的各種不當(dāng)行為。目前，雖然旅游安全問(wèn)題已經(jīng)引起了人們的關(guān)注，國(guó)家和地方也相繼出臺(tái)了各種相關(guān)法規(guī)，但是我國(guó)的旅游法體制還不完善，對(duì)安全問(wèn)題只是做出了原則性的指導(dǎo)和規(guī)定，在處理旅游安全的相關(guān)問(wèn)題上還存在著很多空白處。旅游安全法規(guī)是旅游安全得到保障的基礎(chǔ)，完善的旅游安全法規(guī)是旅游業(yè)順利、平穩(wěn)發(fā)展的保障和前提。

（二）建立旅游安全預(yù)警系統(tǒng)

旅游安全不僅僅考慮與人們生命財(cái)產(chǎn)直接相關(guān)的安全問(wèn)題，還應(yīng)涵蓋旅游資源安全、旅游環(huán)境安全等內(nèi)容，準(zhǔn)確、及時(shí)的預(yù)警信息能有效減少?lài)?guó)家經(jīng)濟(jì)損失，確保人們生命財(cái)產(chǎn)安全，從某種意義上說(shuō)對(duì)危險(xiǎn)事故的預(yù)警也是一種安全。旅游安全預(yù)警就是在安全事故發(fā)生之前，通過(guò)科學(xué)指標(biāo)，對(duì)未來(lái)特定的一段時(shí)間，一定旅游區(qū)域內(nèi)的旅游動(dòng)向進(jìn)行預(yù)測(cè)和引導(dǎo)，使旅游效果達(dá)到最佳。旅游安全預(yù)警系統(tǒng)是個(gè)復(fù)雜的系統(tǒng)，它是為了預(yù)防旅游活動(dòng)過(guò)程中發(fā)生危險(xiǎn)而建立的報(bào)警和排警系統(tǒng)，它擔(dān)負(fù)著旅游安全信息的搜集、分析、對(duì)策制定和信息等功能，是國(guó)家旅游安全信息、進(jìn)行安全預(yù)控的組織機(jī)構(gòu)，它在警示旅游者和旅游企業(yè)、增加安全意志、提高安全防范與控制能力，使旅游者和旅游企業(yè)預(yù)見(jiàn)問(wèn)題并采取積極的防范措施等方面有著極大的作用。

我國(guó)目前很多地方都建立了假日旅游預(yù)警系統(tǒng)，屬于旅游團(tuán)體協(xié)作機(jī)構(gòu)，依靠其成員單位的廣泛性和權(quán)威性已經(jīng)在假日旅游活動(dòng)過(guò)程中發(fā)揮了積極、有效的作用。因此，可以在假日旅游預(yù)警系統(tǒng)的基礎(chǔ)上，集成和調(diào)配相應(yīng)的功能，建立一套完善的旅游安全預(yù)警系統(tǒng)。

（三）建立旅游急救系統(tǒng)

我國(guó)現(xiàn)有的旅游安全急救系統(tǒng)還不成體系，相互之間的協(xié)調(diào)合作程度比較低，這使得急救工作的效率不高。張秋芬指出，旅游急救系統(tǒng)應(yīng)包括：（1）救援指揮中心。對(duì)整個(gè)旅游安全急救工作的進(jìn)行開(kāi)展、協(xié)調(diào)、整體統(tǒng)籌。（2）安全救援機(jī)構(gòu)。涉及到很多部門(mén)，如醫(yī)院，消防部門(mén)，及其他與救援工作有關(guān)系的其它部門(mén)。（3）安全救援的直接機(jī)構(gòu)。包括可能發(fā)生旅游安全問(wèn)題的旅游景區(qū)（點(diǎn)）、旅游企業(yè)、旅游管理部門(mén)和社區(qū)。（4）安全救援的間接機(jī)構(gòu)。包括旅游地、保險(xiǎn)機(jī)構(gòu)、新聞媒體和通訊部門(mén)。這些部門(mén)雖然不參加直接的救援工作，但是卻對(duì)救援工作的順利開(kāi)展起著非常重要的影響作用。一個(gè)完善的旅游安全急救系統(tǒng)要能夠這四個(gè)部分組織起來(lái)，以救援指揮中心為核心統(tǒng)一策劃旅游安全急救工作，一旦發(fā)生旅游安全事故，各方面能夠快速、有序的開(kāi)展工作，發(fā)揮集體的力量，順利解決問(wèn)題。

（四）加強(qiáng)旅游從業(yè)人員培訓(xùn)

旅游業(yè)是屬于勞動(dòng)密集型的產(chǎn)業(yè)，相對(duì)于其他產(chǎn)品，旅游產(chǎn)品有無(wú)形性、生產(chǎn)和消費(fèi)的同時(shí)性、不可儲(chǔ)存性、異質(zhì)性的特點(diǎn)。這些特點(diǎn)決定了旅游產(chǎn)品的質(zhì)量在很大程度上是由旅游從業(yè)人員的即時(shí)表現(xiàn)來(lái)決定的。如果旅游從業(yè)人員沒(méi)有掌握足夠的基本安全知志，或是在旅游活動(dòng)過(guò)程中不按有關(guān)規(guī)定行事，就會(huì)大大增加旅游安全事故發(fā)生的可能性。因此，旅游企業(yè)和旅游有關(guān)部門(mén)應(yīng)按照國(guó)家有關(guān)規(guī)定定期對(duì)旅游從業(yè)人員進(jìn)行培訓(xùn)，提高他們的安全知志水平和安全防范意志，強(qiáng)化他們?cè)诼糜位顒?dòng)過(guò)程中嚴(yán)格按照規(guī)章制度工作的意志，將安全事故的發(fā)生扼殺在萌芽階段。

（五）加大旅游安全的宣傳教育

針對(duì)近年來(lái)出現(xiàn)的諸多安全事故，旅游企業(yè)及旅游有關(guān)部門(mén)應(yīng)加大旅游安全的宣傳教育，增加人們對(duì)旅游活動(dòng)過(guò)程中潛在危險(xiǎn)的了解，提高社會(huì)大眾的自我保護(hù)意志。

參考文獻(xiàn)：

篇（6）

一、我國(guó)電子商務(wù)發(fā)展現(xiàn)狀

當(dāng)今世界是數(shù)字化的信息社會(huì)，高新技術(shù)尤其是電子信息技術(shù)對(duì)各行各業(yè)的影響從未像現(xiàn)在這樣明顯。電子商務(wù)就是在這個(gè)信息時(shí)代背景下產(chǎn)生并迅速發(fā)展起來(lái)，它已逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。近幾年，我國(guó)的電子商務(wù)也蓬勃發(fā)展，像阿里巴巴、E-BAY、淘寶網(wǎng)等已取得相當(dāng)?shù)某晒?，給人們的生活觀念與方式帶來(lái)了巨大的改變。但同時(shí)由于我國(guó)電子商務(wù)起步晚、發(fā)展快，以致配套的技術(shù)及管理等方面跟不上，致使安全成為其發(fā)展過(guò)程中的阻礙因素。

二、我國(guó)電子商務(wù)發(fā)展面臨的安全問(wèn)題分析

在我國(guó)電子商務(wù)面臨的安全問(wèn)題主要由三個(gè)方面造成，即技術(shù)落后、信用缺失及法律法制體系不完善。

（一）技術(shù)落后。對(duì)電子商務(wù)的安全而言，其首先要解決的就是安全技術(shù)問(wèn)題，即我國(guó)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)落后，難以建立一個(gè)安全可信賴(lài)的電子商務(wù)環(huán)境。一般來(lái)說(shuō)，電子商務(wù)所面臨的安全威脅主要表現(xiàn)在以下方面：

1、信息篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^(guò)程中，可能被他人非法修改、刪除、插入或重放，從而使信息失去了真實(shí)性和完整性。

2、信息破壞。信息破壞既包括網(wǎng)絡(luò)硬件和軟件的問(wèn)題而導(dǎo)致信息傳遞的丟失與謬誤，也包括一些惡意程序的破壞而導(dǎo)致電子商務(wù)信息遭到破壞。由于攻擊者可以接入網(wǎng)絡(luò)，就可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入兩方的網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

3、身份識(shí)別。（1）假冒他人身份。假冒他人身份有以下幾種方式：第一，假冒交易一方的身份，破壞交易，敗壞被假冒一方的聲譽(yù)或盜竊被假冒一方的交易成果等；第二，冒充主機(jī)欺騙合法主機(jī)及合法用戶(hù)；第三，冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、通行字、密鑰等信息；第四，接管合法用戶(hù)，欺騙系統(tǒng)，占用合法用戶(hù)的資源。（2）不承認(rèn)已經(jīng)做過(guò)的交易。交易的一方可不為自己的行為負(fù)責(zé)任，進(jìn)行否認(rèn)，相互欺詐。具體包括以下幾種情況：第一，發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某信息或內(nèi)容；第二，收信者事后否認(rèn)曾經(jīng)收到過(guò)某信息或內(nèi)容；第三，購(gòu)貨者下了訂貨單不承認(rèn)；第四，商家賣(mài)出的商品因價(jià)格差而不承認(rèn)原有的交易。

4、信息泄密。信息泄密主要包括兩個(gè)方面，即交易雙方進(jìn)行交易的內(nèi)容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。攻擊者可能通過(guò)互聯(lián)網(wǎng)、公共電話(huà)網(wǎng)、搭線(xiàn)或在電磁波輻射范圍內(nèi)安裝截獲裝置等方式，截獲傳輸?shù)臋C(jī)密信息，或者是通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析，獲取有用信息，如消費(fèi)者的銀行卡號(hào)、密碼，銷(xiāo)售者的（二）信用缺失。信用缺失的現(xiàn)象在當(dāng)今的商務(wù)貿(mào)易中已成為一個(gè)日益嚴(yán)重的問(wèn)題?；诰W(wǎng)絡(luò)的電子商務(wù)，連接的是相隔時(shí)間與空間距離的買(mǎi)賣(mài)雙方，信用問(wèn)題則顯得更為突出。很多買(mǎi)方在付款之前會(huì)由于看不到實(shí)體物品，而擔(dān)心其質(zhì)量問(wèn)題或商品是否真正符合自己的要求；在付款之后，還會(huì)擔(dān)心賣(mài)方是否能真正遵守承諾交付貨品。同樣，賣(mài)方也對(duì)買(mǎi)方能否按期付款存在疑慮。在信用問(wèn)題帶來(lái)的顧慮重重之下，電子商務(wù)很難為大眾所普遍接受。我國(guó)已加入WTO，會(huì)進(jìn)行更多的跨國(guó)貿(mào)易，信用問(wèn)題不僅關(guān)系到國(guó)內(nèi)電子商務(wù)貿(mào)易能否正常有序進(jìn)行，也關(guān)系到我國(guó)與國(guó)外的網(wǎng)上貿(mào)易能否順利進(jìn)行。

（三）法律法制體系不完善。當(dāng)電子商務(wù)日益深入我們的生活之時(shí)，越來(lái)越迫切地感覺(jué)到缺少一套專(zhuān)門(mén)的完善的法律法規(guī)來(lái)解決這些問(wèn)題。電子商務(wù)最大的特征是它存在于虛擬世界，極易產(chǎn)生如網(wǎng)上交易糾紛的仲裁、電子合同和網(wǎng)上契約的效力、納稅、隱私或產(chǎn)權(quán)的保護(hù)等問(wèn)題，加之國(guó)際化的電子商務(wù)又涉及到各國(guó)的政治制度、社會(huì)狀況、經(jīng)濟(jì)水平、現(xiàn)行法律法規(guī)及文化社會(huì)傳統(tǒng)等問(wèn)題，所以對(duì)它進(jìn)行立法是非常復(fù)雜的。

目前，我國(guó)規(guī)范電子商務(wù)的相關(guān)法律法規(guī)極為有限。在法律層次上，只有1997年修訂的《刑法》中增加了關(guān)于計(jì)算機(jī)犯罪的條文，1999年通過(guò)的《合同法》對(duì)電子合同的書(shū)面形式、生效時(shí)間地點(diǎn)等做了規(guī)定，但有關(guān)電子合同的描述是粗線(xiàn)條的，缺乏細(xì)化措施和可操作性，遠(yuǎn)遠(yuǎn)不能滿(mǎn)足電子商務(wù)發(fā)展的需要。因此，法律問(wèn)題是為實(shí)現(xiàn)電子商務(wù)安全必須解決的又一個(gè)重要問(wèn)題。

三、解決中國(guó)電子商務(wù)發(fā)展面臨的安全問(wèn)題的有效方法

（一）技術(shù)問(wèn)題的解決方法。對(duì)于技術(shù)問(wèn)題，國(guó)內(nèi)國(guó)外都已有較為常用有效的解決方法。概括地來(lái)說(shuō)，有以下兩個(gè)方面：一是確定安全控制的范圍；二是建立電子商務(wù)安全體系。

1、安全控制的范圍。電子商務(wù)安全的控制應(yīng)涉及以下六個(gè)方面：第一，信息的保密性。EC作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。它是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的（尤其Internet是更為開(kāi)放的網(wǎng)絡(luò)），維護(hù)商業(yè)機(jī)密是EC全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取；第二，數(shù)據(jù)的完整性。EC簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是EC應(yīng)用的基礎(chǔ)。因此，要預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)，并保證信息傳送次序的統(tǒng)一；第三，非偽裝性。在電子商務(wù)環(huán)境中，網(wǎng)上交易的雙方可能素昧平生、遠(yuǎn)隔千里。要使交易成功，首先要能方便可靠地確認(rèn)對(duì)方的身份，這是雙方交易的前提。非偽裝性也能大大加強(qiáng)交易雙方的信任程度，可以促進(jìn)交易廣泛地進(jìn)行；第四，不可否認(rèn)性。商情千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的，否則必然會(huì)損害一方的利益。因此，電子交易通信過(guò)程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)；第五，不可修改性。電子交易的文件要做到不可修改，以保證交易的嚴(yán)肅和公正。同時(shí)，電子交易的文件也可以作為法律承認(rèn)的一種證據(jù)，為交易雙方出現(xiàn)的糾紛提供解決依據(jù)；第六，審查能力。根據(jù)機(jī)密性和完整性的要求，應(yīng)對(duì)數(shù)據(jù)審查的結(jié)果進(jìn)行記錄，以備交易雙方產(chǎn)生糾紛時(shí)交由第三方處理?？蛻?hù)資料等。2、建立電子商務(wù)安全體系。為實(shí)現(xiàn)電子商務(wù)的安全，現(xiàn)在較為通用的是建立包括以下三個(gè)層次的電子商務(wù)安全體系：第一，建立密碼機(jī)制。密碼機(jī)制即基本加密算法，包括對(duì)稱(chēng)密鑰加密、非對(duì)稱(chēng)密鑰加密等，密碼機(jī)制的建立可以保證交易數(shù)據(jù)與交易人個(gè)人信息不受惡意的侵犯；第二，完善基本安全技術(shù)?；景踩夹g(shù)包括以密鑰機(jī)制為基礎(chǔ)的CA體系以及數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、防火墻等?；景踩夹g(shù)的不斷完善為電子商務(wù)的發(fā)展提供一個(gè)良好的技術(shù)平臺(tái)，使其發(fā)展過(guò)程中的技術(shù)障礙得以消除；第三，建立安全應(yīng)用協(xié)議。安全應(yīng)用協(xié)議以密碼機(jī)制、基本安全技術(shù)、CA體系為基礎(chǔ)。如，Internet電子郵件的安全協(xié)議（PEM，S/MIME，PEM-MIME（MOSS））、網(wǎng)絡(luò)安全交易協(xié)議（SSL，S-HTTP，STT，iKP，SEPP，SET）。

（二）信用問(wèn)題的解決方法。美國(guó)是世界上消費(fèi)信貸最成熟的國(guó)家之一，有一整套完善的個(gè)人信用制度，我國(guó)可以借鑒其做法，建立一個(gè)適合中國(guó)國(guó)情的信用制度。第一，我國(guó)可以成立一個(gè)專(zhuān)門(mén)的征信機(jī)構(gòu)——信用局，由政府管理，如銀行一般具有社會(huì)公信力；第二，建立一個(gè)準(zhǔn)確公正的個(gè)人信用檔案。信用檔案的信息應(yīng)包括工商、稅務(wù)、公安、司法、銀行、證券、保險(xiǎn)、經(jīng)貿(mào)等多個(gè)方面。另外，信用檔案應(yīng)實(shí)現(xiàn)全面動(dòng)態(tài)的管理，以實(shí)現(xiàn)對(duì)每個(gè)人全面有效的信用監(jiān)督；第三，設(shè)計(jì)一個(gè)科學(xué)透明的信用分模型。最好由國(guó)家出面招標(biāo)開(kāi)發(fā)信用分模型，設(shè)計(jì)一個(gè)科學(xué)透明的信用分模型，產(chǎn)權(quán)歸國(guó)家所有，無(wú)償提供給社會(huì)使用；第四，完善個(gè)人信用的外部環(huán)境。具體可以從下面兩個(gè)方面著手：一方面國(guó)家的組織和協(xié)調(diào)。建立個(gè)人信用制度是一項(xiàng)非常龐大的系統(tǒng)工程，需要政府各有關(guān)部門(mén)、中央銀行、商業(yè)銀行、個(gè)人信用中介公司等機(jī)構(gòu)密切合作、協(xié)調(diào)配合。由國(guó)家應(yīng)出臺(tái)有關(guān)個(gè)人信用制度的政策，落實(shí)相關(guān)的配套措施，明確各部門(mén)所負(fù)的職責(zé)；另一方面是法律的保障。個(gè)人信用檔案收集的個(gè)人信用資料屬于個(gè)人隱私，國(guó)家應(yīng)當(dāng)對(duì)個(gè)人信用數(shù)據(jù)的收集、個(gè)人信用分的評(píng)定、個(gè)人信用數(shù)據(jù)的使用和披露做出明確規(guī)定，對(duì)于各種違規(guī)以及破壞公民隱私的行為規(guī)定制裁措施。

篇（7）

一、會(huì)計(jì)電算化安全現(xiàn)狀分析

（一）會(huì)計(jì)電算化科技含量提高，但基礎(chǔ)工作仍較薄弱

不僅會(huì)計(jì)信息系統(tǒng)硬件、軟件本身的科技含量比較高，而且由于會(huì)計(jì)電算化所跨學(xué)科比較多，各自的發(fā)展亦很迅速，這就增加了其他學(xué)科與會(huì)計(jì)學(xué)之間融合的難度，科技含量的提高給會(huì)計(jì)電算化安全控制帶來(lái)許多不確定因素。

事實(shí)上許多單位特別是中小企業(yè)在會(huì)計(jì)電算化實(shí)施的過(guò)程中，對(duì)電算化的認(rèn)識(shí)不夠，會(huì)計(jì)電算化實(shí)施時(shí)并沒(méi)有專(zhuān)業(yè)的指導(dǎo)和系統(tǒng)的調(diào)研，沒(méi)有充分的專(zhuān)業(yè)儲(chǔ)備，會(huì)計(jì)電算化的實(shí)施具有一定的盲目性，會(huì)計(jì)電算化基礎(chǔ)工作不健全，操作不規(guī)范。這給本來(lái)很規(guī)范化的計(jì)算機(jī)數(shù)據(jù)處理帶來(lái)了因不當(dāng)操作而造成數(shù)據(jù)丟失、系統(tǒng)錯(cuò)誤分析、甚至?xí)?jì)信息系統(tǒng)不能正常運(yùn)行。建立在此基礎(chǔ)上的電算化安全管理也就出現(xiàn)了一些問(wèn)題。電算化信息系統(tǒng)安全防范缺陷甚至影響了單位會(huì)計(jì)電算化的網(wǎng)絡(luò)化、信息化、財(cái)務(wù)管理專(zhuān)業(yè)化的發(fā)展。

（二）會(huì)計(jì)電算化安全管理難度增大，系統(tǒng)控制方法、控制手段更復(fù)雜

會(huì)計(jì)信息的安全在傳統(tǒng)的紙質(zhì)信息載體和手工處理階段就存在，在長(zhǎng)期的會(huì)計(jì)實(shí)踐中，人們已摸索出比較完善的安全保障措施。隨著計(jì)算機(jī)在會(huì)計(jì)中的運(yùn)用，會(huì)計(jì)的組織管理、日常維護(hù)與管理均發(fā)生了變化。

1.會(huì)計(jì)電算化后會(huì)計(jì)的崗位和工作職責(zé)在原有的手工分工的基礎(chǔ)上新增了電算主管、軟件操作、審核記賬、系統(tǒng)維護(hù)、電算審查、數(shù)據(jù)分析等崗位，崗位職責(zé)發(fā)生變化或調(diào)整。設(shè)置電算化崗位時(shí)不僅要適應(yīng)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)核算的要求，而且要與會(huì)計(jì)部門(mén)的會(huì)計(jì)人員配備相適應(yīng)，要符合單位的實(shí)際規(guī)模。如何合理分工又與安全管理、人員配備、內(nèi)部控制等相適應(yīng)，這給管理提出了更高的要求。

2.會(huì)計(jì)信息系統(tǒng)不是單一系統(tǒng)而是人機(jī)一體的復(fù)雜系統(tǒng)，其安全不僅涉及設(shè)備安全，而且涉及技術(shù)問(wèn)題和管理問(wèn)題，安全控制內(nèi)容廣泛，安全控制的方法、手段比手工賬務(wù)處理時(shí)期更復(fù)雜，這就增加了安全管理難度。

3.會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理的無(wú)形化，數(shù)據(jù)儲(chǔ)存的電磁化，偽造和舞弊的隱蔽性，這些新特征的存在都會(huì)成為電算化安全的殺手，也給系統(tǒng)的安全控制帶來(lái)了困難，而且電子數(shù)據(jù)的儲(chǔ)存介質(zhì)容易受損，很難保管，會(huì)造成會(huì)計(jì)信息容易丟失和毀壞的危險(xiǎn)。

4.網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的開(kāi)放性也對(duì)會(huì)計(jì)電算化的安全帶來(lái)了嚴(yán)重的威脅。信息技術(shù)和網(wǎng)絡(luò)技術(shù)在會(huì)計(jì)中的應(yīng)用越來(lái)越廣泛。商品化的財(cái)務(wù)軟件一般都具備網(wǎng)絡(luò)版本，會(huì)計(jì)人員在感受網(wǎng)絡(luò)帶來(lái)的便利時(shí)，會(huì)計(jì)機(jī)密的被侵犯、被惡意破壞的可能性大大增加。如網(wǎng)絡(luò)通信協(xié)議和軟件自身不完善，造成網(wǎng)絡(luò)協(xié)議存在漏洞；網(wǎng)絡(luò)自身布線(xiàn)不合理造成通信質(zhì)量差；大量的傳播極易受計(jì)算機(jī)病毒的攻擊；網(wǎng)絡(luò)黑客的惡意入侵、竊取、篡改、破壞系統(tǒng)和數(shù)據(jù)。

（三）會(huì)計(jì)電算化安全法規(guī)、制度建設(shè)相對(duì)滯后

自上個(gè)世紀(jì)80年代以來(lái)，財(cái)政部也先后制定了有關(guān)會(huì)計(jì)軟件開(kāi)發(fā)、評(píng)審及管理的相關(guān)規(guī)定，促進(jìn)了會(huì)計(jì)電算化的健康發(fā)展。但會(huì)計(jì)電算化后與會(huì)計(jì)核算相關(guān)的會(huì)計(jì)工作規(guī)范，仍然按傳統(tǒng)的手工算賬、記賬為制定基礎(chǔ)，電算化會(huì)計(jì)法規(guī)的建設(shè)和電算化的普及推廣不很融洽。

會(huì)計(jì)核算的財(cái)務(wù)處理、會(huì)計(jì)賬簿登記、財(cái)務(wù)報(bào)告的編制、會(huì)計(jì)監(jiān)督、錯(cuò)賬更正方法、內(nèi)部會(huì)計(jì)管理等都因電算化核算環(huán)境、核算手段、技術(shù)方法的變化而變化，電算化實(shí)務(wù)中上述許多問(wèn)題仍然無(wú)法可依，會(huì)計(jì)電算化安全管理的相關(guān)法規(guī)還很不健全，會(huì)計(jì)行業(yè)內(nèi)系統(tǒng)的電算化安全規(guī)范尚未形成。

（四）會(huì)計(jì)人員知識(shí)結(jié)構(gòu)亟待更新

人的素質(zhì)決定了會(huì)計(jì)電算化工作的質(zhì)量，高素質(zhì)的復(fù)合型會(huì)計(jì)人才不僅是電算化工作順利開(kāi)展的重要保證，而且某種程度上能彌補(bǔ)硬軟件投入相對(duì)不足的缺陷，提高信息系統(tǒng)運(yùn)行質(zhì)量。

二、會(huì)計(jì)電算化安全策略

（一）加快電算化法制建設(shè)，規(guī)范電算化安全管理

電算化會(huì)計(jì)的規(guī)范化、制度化管理，是電算化安全正常運(yùn)行的制度保證。規(guī)范化制度化管理主要是通過(guò)認(rèn)真落實(shí)會(huì)計(jì)準(zhǔn)則、會(huì)計(jì)規(guī)章來(lái)實(shí)現(xiàn)，通過(guò)具體會(huì)計(jì)準(zhǔn)則、會(huì)計(jì)規(guī)范、會(huì)計(jì)制度、管理辦法來(lái)指導(dǎo)會(huì)計(jì)業(yè)務(wù)處理，達(dá)到規(guī)范會(huì)計(jì)行為的目的。

相關(guān)的具體會(huì)計(jì)準(zhǔn)則要對(duì)會(huì)計(jì)電算化的軟件采用的標(biāo)準(zhǔn)、軟件的安全性、具體的會(huì)計(jì)處理方法、會(huì)計(jì)信息的規(guī)范使用、會(huì)計(jì)電算化文檔的保管以及會(huì)計(jì)電算化人員的責(zé)任作出指導(dǎo)和說(shuō)明；對(duì)于原有的會(huì)計(jì)工作規(guī)范、管理辦法、會(huì)計(jì)制度，根據(jù)電算化的要求，做出相應(yīng)的調(diào)整。

（二）加強(qiáng)會(huì)計(jì)電算化安全的日常維護(hù)

1.電算化實(shí)施的準(zhǔn)備階段

電算化實(shí)施前要做好充分的調(diào)研。調(diào)研的內(nèi)容主要包括：(1)對(duì)不同會(huì)計(jì)軟件的可用性、安全性進(jìn)行比較，選擇適合本單位核算與管理要求的會(huì)計(jì)軟件。(2)操作系統(tǒng)軟件的選用要與會(huì)計(jì)軟件相適應(yīng)。商業(yè)會(huì)計(jì)軟件都有不同的版本，版本的不同操作系統(tǒng)也有不同，其穩(wěn)定性也有區(qū)別，要選擇安全性高又與會(huì)計(jì)軟件最適應(yīng)的操作系統(tǒng)。(3)硬件的選用對(duì)于系統(tǒng)安全運(yùn)行至關(guān)重要，要根據(jù)會(huì)計(jì)軟件、系統(tǒng)軟件的硬件配置要求，詳細(xì)咨詢(xún)軟件供應(yīng)商或軟件研發(fā)單位，選購(gòu)計(jì)算機(jī)和相關(guān)設(shè)備。

2.電算化系統(tǒng)的運(yùn)行階段

電算化安全控制雖然難度大，但只要制定詳細(xì)的工作規(guī)程，建立規(guī)范有序的業(yè)務(wù)流程和管理模式，實(shí)行日常工作制度化管理就能確保信息系統(tǒng)的安全可靠運(yùn)行。

（1）安全運(yùn)行的制度保障

根據(jù)財(cái)政部頒布的《會(huì)計(jì)電算化工作規(guī)范》，建立健全本單位的會(huì)計(jì)電算化系統(tǒng)操作管理制度，會(huì)計(jì)電算化硬、軟件管理制度，會(huì)計(jì)電算化崗位責(zé)任制，會(huì)計(jì)電算化檔案管理制度，實(shí)現(xiàn)網(wǎng)絡(luò)化的單位還應(yīng)建立網(wǎng)絡(luò)管理制度。制度的制定者還要根據(jù)本單位電算化的發(fā)展需要及時(shí)對(duì)內(nèi)部管理制度進(jìn)行修改。當(dāng)然單位在制定這些內(nèi)部管理制度時(shí)，應(yīng)充分體現(xiàn)對(duì)系統(tǒng)和數(shù)據(jù)的安全保障，制度制訂后還需要重視并倡導(dǎo)制度在工作中的貫徹落實(shí)。

（2）安全運(yùn)行技術(shù)保障

①電算化操作人員要善于運(yùn)用軟件的對(duì)經(jīng)濟(jì)業(yè)務(wù)的控制功能。成熟的財(cái)務(wù)軟件對(duì)輸入的數(shù)據(jù)具有校驗(yàn)功能，如總額控制校驗(yàn)、數(shù)據(jù)平衡校驗(yàn)、重復(fù)輸入校驗(yàn)，以保證數(shù)據(jù)輸入的準(zhǔn)確性。只要對(duì)該功能啟用就能發(fā)揮作用，但要經(jīng)過(guò)必要的授權(quán)，符合內(nèi)部控制的要求。

②建立多級(jí)備份與恢復(fù)機(jī)制。系統(tǒng)備份與恢復(fù)機(jī)制的目的就是防止系統(tǒng)癱瘓，提高安全性，保證在意外情況下有快速自救能力。要善于運(yùn)用先進(jìn)的安全保障設(shè)備和措施，建立多級(jí)備份和恢復(fù)機(jī)制，會(huì)計(jì)電算化開(kāi)展單位應(yīng)結(jié)合單位實(shí)際，分層次的采用以下幾種備份：

進(jìn)行服務(wù)器雙熱機(jī)備份，發(fā)生故障時(shí)，保證在一般故障出現(xiàn)時(shí)，服務(wù)器系統(tǒng)的不停頓工作，瞬間恢復(fù)。其級(jí)別最高，保障系數(shù)最高，但投入多，對(duì)人員要求高。

采取磁盤(pán)鏡像備份技術(shù)，是指通過(guò)磁盤(pán)鏡像技術(shù)，實(shí)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)器磁盤(pán)的完全備份，即兩個(gè)物理磁盤(pán)的數(shù)據(jù)完全一致，保證在一個(gè)磁盤(pán)發(fā)生故障時(shí)，數(shù)據(jù)可從另一個(gè)磁盤(pán)上讀出，不會(huì)停止系統(tǒng)運(yùn)行。

財(cái)務(wù)及管理軟件自動(dòng)備份，它是利用財(cái)務(wù)軟件或管理軟件本身的備份功能，實(shí)現(xiàn)重要數(shù)據(jù)的定期或定時(shí)備份。備份程序運(yùn)行時(shí)可能會(huì)降低系統(tǒng)運(yùn)行效率，但對(duì)數(shù)據(jù)的安全很有必要。網(wǎng)絡(luò)環(huán)境和單機(jī)環(huán)境下都適合使用。

系統(tǒng)管理員定期集中數(shù)據(jù)備份和賬務(wù)主管的日常備份，這是最基本的備份級(jí)別。當(dāng)前三種備份條件不能實(shí)現(xiàn)時(shí)，其備份尤為重要，而且網(wǎng)絡(luò)環(huán)境和單機(jī)環(huán)境下都適合使用。

系統(tǒng)的恢復(fù)也是電算化安全的重要一環(huán)，恢復(fù)時(shí)，特別是第一次恢復(fù)數(shù)據(jù)，要做到忙而不亂，做好充分的技術(shù)準(zhǔn)備，在軟件商的專(zhuān)業(yè)人員或開(kāi)發(fā)人員的指導(dǎo)下進(jìn)行。要注意勤備份、少恢復(fù)，內(nèi)部管理制度也要對(duì)恢復(fù)流程有明確的規(guī)定，每次恢復(fù)操作必須有詳細(xì)的書(shū)面記載。

③加強(qiáng)系統(tǒng)的防病毒入侵工作。盡可能做到財(cái)務(wù)系統(tǒng)的相對(duì)封閉運(yùn)行，控制病毒源，及時(shí)更新防殺病毒軟件，充分運(yùn)用加鎖存儲(chǔ)設(shè)備，加強(qiáng)磁盤(pán)讀寫(xiě)控制。網(wǎng)絡(luò)環(huán)境下除防病毒措施外，還應(yīng)采用網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)關(guān)技術(shù)、身份認(rèn)證技術(shù)、密碼技術(shù)，確保系統(tǒng)的安全。

（三）加強(qiáng)會(huì)計(jì)電算化的監(jiān)督與管理

篇（8）

一、電子商務(wù)的安全需求

1.信息有效性、真實(shí)性

電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式的貿(mào)易信息的有效性和真實(shí)性則是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性和真實(shí)性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。

2.信息機(jī)密性

電子商務(wù)作為貿(mào)易的一種手段，其信息直接廠代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開(kāi)放的網(wǎng)絡(luò)環(huán)境上的，商業(yè)防泄密是電子商務(wù)全面推廣應(yīng)用的重要保障。

3.信息完整性

電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各信息的差異。因此，電子商務(wù)系統(tǒng)應(yīng)充分保證數(shù)據(jù)傳輸、存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴(lài)性和可鑒別性

可靠性要求即是能保證合法用戶(hù)對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^；不可抵賴(lài)性要求即是能建立有效的責(zé)任機(jī)制，防止實(shí)體否認(rèn)其行為；可鑒別性要求即是能控制使用資源的人或?qū)嶓w的使用方式。

5.系統(tǒng)的可靠性

電子商務(wù)系統(tǒng)是計(jì)算機(jī)系統(tǒng)，其可靠性是防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失誤或失效。

二、電子商務(wù)的信息安全技術(shù)

1.數(shù)據(jù)加密技術(shù)

加密技術(shù)用于網(wǎng)絡(luò)安全通常有二種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。面向網(wǎng)絡(luò)的加密技術(shù)通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)使用則是目前較為流行的加密技術(shù)的使用方法，這一類(lèi)加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過(guò)的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

1）電子商務(wù)領(lǐng)域常用的加密技術(shù)數(shù)字摘要(digitaldigest)

這一加密方法亦稱(chēng)安全Hash編碼法，由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱(chēng)為數(shù)字指紋(FingerPrint)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是“真身”的“指紋”了。

數(shù)字簽名(digitalsignature)

數(shù)字簽名將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合起來(lái)使用。主要方式是報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位的散列值(或報(bào)文摘要)，用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值，接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別。概括的說(shuō)，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。

數(shù)字時(shí)間戳(digitaltime-stamp)交

易文件中，時(shí)間是十分重要的信息。在電子交易中，需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)(DTS)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要(digest)；DTS收到文件的日期和時(shí)間；DTS的數(shù)字簽名。

數(shù)字證書(shū)(digitalcertificate,digitalID)數(shù)字證書(shū)又稱(chēng)為數(shù)字憑證，是用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)的權(quán)限。目前，最有效的認(rèn)證方式是由權(quán)威的認(rèn)證機(jī)構(gòu)為參與電子商務(wù)的各方發(fā)放證書(shū)，證書(shū)作為網(wǎng)上交易參與各方的身份識(shí)別，就好象每個(gè)公民都用身份證來(lái)證明身份一樣。認(rèn)證中心作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)定證書(shū)的權(quán)威機(jī)構(gòu)。因而網(wǎng)絡(luò)中所有用戶(hù)可以將自己的公鑰交給這個(gè)中心，并提供自己的身份證明信息，證明自己是相應(yīng)公鑰的擁有者，認(rèn)證中心審查用戶(hù)提供的信息后，如果確認(rèn)用戶(hù)是合法的，就給用戶(hù)一個(gè)數(shù)字證書(shū)。這樣，每個(gè)成員只需和認(rèn)證中心打交道，就可以查到其他成員的公鑰信息了。對(duì)于在網(wǎng)上進(jìn)行交易的雙方來(lái)說(shuō)，數(shù)字證書(shū)對(duì)他們之間建立信任是至關(guān)重要的。數(shù)字憑證有三種類(lèi)型：個(gè)人憑證、企業(yè)（服務(wù)器）憑證、軟件（開(kāi)發(fā)者）憑證；大部分認(rèn)證中心提供前兩類(lèi)憑證。

2.身份認(rèn)證技術(shù)

為解決Internet的安全問(wèn)題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎(chǔ)設(shè)施（PKI）體系結(jié)構(gòu)。PKI體系結(jié)構(gòu)采用證書(shū)管理公鑰，通過(guò)第三方的可信機(jī)構(gòu)CA，把用戶(hù)的公鑰和用戶(hù)的其他標(biāo)識(shí)信息（如名稱(chēng)、e-mail、身份證號(hào)等）捆綁在一起，在Internet網(wǎng)上驗(yàn)證用戶(hù)的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對(duì)稱(chēng)密碼結(jié)合起來(lái)，在Internet網(wǎng)上實(shí)現(xiàn)密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性。

1）認(rèn)證系統(tǒng)的基本原理

利用RSA公開(kāi)密鑰算法在密鑰自動(dòng)管理、數(shù)字簽名、身份識(shí)別等方面的特性，可建立一個(gè)為用戶(hù)的公開(kāi)密鑰提供擔(dān)保的可信的第三方認(rèn)證系統(tǒng)。這個(gè)可信的第三方認(rèn)證系統(tǒng)也稱(chēng)為CA，CA為用戶(hù)發(fā)放電子證書(shū)，用戶(hù)之間利用證書(shū)來(lái)保證信息安全性和雙方身份的合法性。

2）認(rèn)證系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)是一個(gè)大的網(wǎng)絡(luò)環(huán)境，系統(tǒng)從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統(tǒng)跟CA放在一個(gè)單獨(dú)的封閉空間中，為了保證運(yùn)行的絕對(duì)安全，其人員及制度都有嚴(yán)格的規(guī)定，并且系統(tǒng)設(shè)計(jì)為一離線(xiàn)網(wǎng)絡(luò)。CA的功能是在收到來(lái)自RA的證書(shū)請(qǐng)求時(shí)，頒發(fā)證書(shū)。

證書(shū)的登記機(jī)構(gòu)RegisterAuthority，簡(jiǎn)稱(chēng)RA，分散在各個(gè)網(wǎng)上銀行的地區(qū)中心。RA與網(wǎng)銀中心有機(jī)結(jié)合，接受客戶(hù)申請(qǐng)，并審批申請(qǐng)，把證書(shū)正式請(qǐng)求通過(guò)建設(shè)銀行企業(yè)內(nèi)部網(wǎng)發(fā)送給CA中心。

證書(shū)的公布系統(tǒng)WebPublisher，簡(jiǎn)稱(chēng)WP，置于Internet網(wǎng)上，是普通用戶(hù)和CA直接交流的界面。對(duì)用戶(hù)來(lái)講它相當(dāng)于一個(gè)在線(xiàn)的證書(shū)數(shù)據(jù)庫(kù)。用戶(hù)的證書(shū)由CA頒發(fā)之后，CA用E－mail通知用戶(hù)，然后用戶(hù)須用瀏覽器從這里下載證書(shū)。

3.網(wǎng)上支付平臺(tái)及支付網(wǎng)關(guān)

網(wǎng)上支付平臺(tái)分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網(wǎng)上支付平臺(tái)支付型電子商務(wù)業(yè)務(wù)提供各種支付手段，包括基于SET標(biāo)準(zhǔn)的信用卡支付方式、以及符合CTEC標(biāo)準(zhǔn)的各種支付手段。

支付網(wǎng)關(guān)位于公網(wǎng)和傳統(tǒng)的銀行網(wǎng)絡(luò)之間，其主要功能為：將公網(wǎng)傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為公網(wǎng)傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。此外，支付網(wǎng)關(guān)還具有密鑰保護(hù)和證書(shū)管理等其它功能。

三、電子商務(wù)信息安全中的其它問(wèn)題

1.內(nèi)部安全

最近的調(diào)查表明，至少有75%的信息安全問(wèn)題來(lái)自?xún)?nèi)部，在信用卡和商業(yè)詐騙中，內(nèi)部人員所占的比例最大；

2.惡意代碼

它們將繼續(xù)對(duì)所有的網(wǎng)絡(luò)系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet的發(fā)展和編程環(huán)境的豐富而增多，擴(kuò)散起來(lái)也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網(wǎng)和DNS服務(wù)器的可靠性還遠(yuǎn)遠(yuǎn)不能滿(mǎn)足人們的要求，而絕大

部分撥號(hào)PPP連接質(zhì)量并不可靠，且速度很慢；

4.技術(shù)人才短缺

由于Internet和網(wǎng)絡(luò)購(gòu)物都是在近幾年得到了迅猛的發(fā)展，因而，許多地方都缺乏足夠的技術(shù)人才來(lái)處理其中遇到的各種問(wèn)題，尤其是網(wǎng)絡(luò)購(gòu)物具有24x7（每天24小時(shí)，每周7天都能工作）的要求，因而迫切需要有一大批專(zhuān)業(yè)技術(shù)人員對(duì)其進(jìn)行管理。如果說(shuō)加密技術(shù)是電子交易安全的“硬件”，那么人才問(wèn)題則可以說(shuō)是“軟件”。從某種意義上講，軟件的問(wèn)題解決起來(lái)可能更不容易，因此，技術(shù)人才的短缺可能成為阻礙網(wǎng)絡(luò)購(gòu)物發(fā)展的一個(gè)重要因素。

5.Web服務(wù)器的保護(hù)意識(shí)差

在交易過(guò)程中對(duì)數(shù)據(jù)進(jìn)行保護(hù)只是保證交易安全的一個(gè)方面。由于交易的信息均存儲(chǔ)在服務(wù)器上，因此，即使保密信息被客戶(hù)端接收之后，也必須對(duì)存儲(chǔ)在服務(wù)器中的數(shù)據(jù)進(jìn)行保護(hù)。目前，Web服務(wù)器是黑客們最喜歡攻擊的目標(biāo)。因此，建議盡量不要將Web服務(wù)和連接到任何內(nèi)部網(wǎng)絡(luò)，而且要定期對(duì)數(shù)據(jù)進(jìn)行備份，以便于服務(wù)器被攻擊之后對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。當(dāng)然，這畢竟有些不太現(xiàn)實(shí)，現(xiàn)在許多流行的Web應(yīng)用都需要Web服務(wù)器與公司的數(shù)據(jù)庫(kù)進(jìn)行交互式操作，這就要求服務(wù)器必須與公司內(nèi)部網(wǎng)絡(luò)相連，而這個(gè)連接也就成為黑客們從Web站點(diǎn)侵入企業(yè)內(nèi)部網(wǎng)絡(luò)的一條通路。雖然防火墻技術(shù)有助于對(duì)web站點(diǎn)進(jìn)行保護(hù)，但商家卻很少安裝防火墻或?qū)ζ淙狈τ行У木S護(hù)，因而沒(méi)有對(duì)Web服務(wù)器進(jìn)行很好的保護(hù)，這是商家的Web站點(diǎn)尤其要引起注意的地方。

四、與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)討論

1．SSL協(xié)議（SecureSocketsLayer）安全套接層協(xié)議———面向連接的協(xié)議。

SSL協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，它不能保證信息的不可抵賴(lài)性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用WebServer方式。但它是一個(gè)面向連接的協(xié)議，在涉及多方的電子交易中，只能提供交易中客戶(hù)與服務(wù)器間的雙方認(rèn)證，而電子商務(wù)往往是用戶(hù)、網(wǎng)站、銀行三家協(xié)作完成,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

2.SET協(xié)議（SecureElectronicTransaction）安全電子交易———專(zhuān)門(mén)為電子商務(wù)而設(shè)計(jì)的協(xié)議。由于SET提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認(rèn)性，特別是保證不將消費(fèi)者銀行卡號(hào)暴露給商家等優(yōu)點(diǎn)，因此它成為了目前公認(rèn)的信用卡/借記卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務(wù)所遇到的全部問(wèn)題。

結(jié)束語(yǔ)

本文分析了目前電子商務(wù)的安全需求，使用的安全技術(shù)及仍存在的問(wèn)題，并指出了與電子商務(wù)安全有關(guān)的協(xié)議技術(shù)使用范圍及其優(yōu)缺點(diǎn)，但必須強(qiáng)調(diào)說(shuō)明的是，電子商務(wù)的安全運(yùn)行，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還必須完善電子商務(wù)立法，以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類(lèi)問(wèn)題，從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。

[參考文獻(xiàn)]

①姚立新，新世紀(jì)商務(wù):電子商務(wù)的知識(shí)發(fā)展與運(yùn)作，中國(guó)發(fā)展出版社，1999年。

篇（9）

引言:隨著萬(wàn)維網(wǎng)wWw的發(fā)展，Internet技術(shù)的應(yīng)用已經(jīng)滲透到科研、經(jīng)濟(jì)、貿(mào)易、政府和軍事等各個(gè)領(lǐng)域，電子商務(wù)和電子政務(wù)等新鮮詞匯也不再新鮮。網(wǎng)絡(luò)技術(shù)在極大方便人民生產(chǎn)生活，提高工作效率和生活水平的同時(shí)，其隱藏的安全風(fēng)險(xiǎn)問(wèn)題也不容忽視。因?yàn)榛赥CP/IP架構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)是個(gè)開(kāi)放和自由的網(wǎng)絡(luò)，這給黑客攻擊和人侵敞開(kāi)了大門(mén)。傳統(tǒng)的病毒借助于計(jì)算機(jī)網(wǎng)絡(luò)加快其傳播速度，各種針對(duì)網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法也日新月異。因此計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的安全問(wèn)題就日益成為一個(gè)函待研究和解決的問(wèn)題。

1.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的常見(jiàn)安全問(wèn)題

計(jì)算機(jī)網(wǎng)絡(luò)具有大跨度、分布式、無(wú)邊界等特征，為黑客攻擊網(wǎng)絡(luò)提供了方便。加上行為主體身份的隱匿性和網(wǎng)絡(luò)信息的隱蔽性，使得計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的惡意攻擊肆意妄為，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中常見(jiàn)的安全問(wèn)題主要有:①利用操作系統(tǒng)的某些服務(wù)開(kāi)放的端口發(fā)動(dòng)攻擊。這主要是由于軟件中邊界條件、函數(shù)拾針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。如利用軟件系統(tǒng)中對(duì)某種特定類(lèi)型的報(bào)文或請(qǐng)求沒(méi)有處理，導(dǎo)致軟件遇到這種類(lèi)型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。比較典型的如OOB攻擊，通過(guò)向Windows系統(tǒng)TCP端口139發(fā)送隨機(jī)數(shù)來(lái)攻擊操作系統(tǒng)，從而讓中央處理器(CPU)一直處于繁忙狀態(tài)。②以傳輸協(xié)議為途徑發(fā)動(dòng)攻擊。攻擊者利用一些傳輸協(xié)議在其制定過(guò)程中存在的一些漏洞進(jìn)行攻擊，通過(guò)惡意地請(qǐng)求資源導(dǎo)致服務(wù)超載，造成目標(biāo)系統(tǒng)無(wú)法正常工作或癱瘓。比較典型的例子為利用TCP/IP協(xié)議中的“三次握手”的漏洞發(fā)動(dòng)SYNFlood攻擊?；蛘撸l(fā)送大量的垃圾數(shù)據(jù)包耗盡接收端資源導(dǎo)致系統(tǒng)癱瘓，典型的攻擊方法如ICMPF1ood}ConnectionFloa等。③采用偽裝技術(shù)發(fā)動(dòng)攻擊。例如通過(guò)偽造IP地址、路由條目、DNS解析地址，使受攻擊的服務(wù)器無(wú)法辨別這些請(qǐng)求或無(wú)法正常響應(yīng)這些請(qǐng)求，從而造成緩沖區(qū)阻塞或死機(jī);或者，通過(guò)將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無(wú)法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。④通過(guò)木馬病毒進(jìn)行人侵攻擊。木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植人到目標(biāo)主機(jī)中，用戶(hù)的主機(jī)就被黑客完全控制，成為黑客的超級(jí)用戶(hù)。木馬程序可以被用來(lái)收集系統(tǒng)中的重要信息，如口令、帳號(hào)、密碼等，對(duì)用戶(hù)的信息安全構(gòu)成嚴(yán)重威脅。⑤利用掃描或者Sniffer(嗅探器)作為工具進(jìn)行信息窺探。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，為進(jìn)一步惡意攻擊做準(zhǔn)備。而嗅探器(sni$}er)是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過(guò)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)通信、分析數(shù)據(jù)來(lái)非法獲得用戶(hù)名、口令等重要信息，它對(duì)網(wǎng)絡(luò)安全的威脅來(lái)自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被用戶(hù)發(fā)現(xiàn)。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的常用策略

2.1對(duì)孟要的信息數(shù)據(jù)進(jìn)行加密保護(hù)

為了防止對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被人惡意竊聽(tīng)修改，可以對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)成為密文。如果沒(méi)有密鑰，即使是數(shù)據(jù)被別人竊取也無(wú)法將之還原為原數(shù)據(jù)，一定程度上保證了數(shù)據(jù)的安全?？梢圆捎脤?duì)稱(chēng)加密和非對(duì)稱(chēng)加密的方法來(lái)解決。對(duì)稱(chēng)加密體制就是指加密密鑰和解密密鑰相同的機(jī)制，常用的算法為DES算法，ISO將之作為數(shù)據(jù)加密標(biāo)準(zhǔn)。而非對(duì)稱(chēng)加密是指加密和解密使用不同的密鑰，每個(gè)用戶(hù)保存一個(gè)公開(kāi)的密鑰和秘密密鑰。公開(kāi)密鑰用于加密密鑰而秘密密鑰則需要用戶(hù)自己保密，用于解密密鑰。具體采取那種加密方式應(yīng)根據(jù)需求而定。

2.2采用病毒防護(hù)技術(shù)

包括:①未知病毒查殺技術(shù)。未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。②智能引擎技術(shù)。智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn)，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。③壓縮智能還原技術(shù)。它可以對(duì)壓縮或打包文件在內(nèi)存中還原，從而使得病毒完全暴露出來(lái)。④病毒免疫技術(shù)。病毒免疫技術(shù)一直是反病毒專(zhuān)家研究的熱點(diǎn)，它通過(guò)加強(qiáng)自主訪問(wèn)控制和設(shè)置磁盤(pán)禁寫(xiě)保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。⑤嵌人式殺毒技術(shù)。它是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c(diǎn)保護(hù)的技術(shù)，它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來(lái)實(shí)現(xiàn)。它對(duì)使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的防護(hù)。如對(duì)MS一Office,Outlook,IE,Winzip,NetAnt等應(yīng)用軟件進(jìn)行被動(dòng)式殺毒。

2.3運(yùn)用入俊檢測(cè)技術(shù)

人侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。人侵檢測(cè)系統(tǒng)的應(yīng)用，能使在人侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到人侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐人侵攻擊。在人侵攻擊過(guò)程中，能減少人侵攻擊所造成的損失。在被人侵攻擊后，收集人侵擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加人知識(shí)庫(kù)內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。

根據(jù)采用的檢測(cè)技術(shù)，人侵檢測(cè)系統(tǒng)被分為誤用檢測(cè)(MisuseDetec-lion)和異常檢測(cè)(AnomalyDetection)兩大類(lèi)。誤用檢測(cè)根據(jù)事先定義的人侵模式庫(kù)，人侵模式描述了人侵行為的特征、條件、排列以及事件間關(guān)系，檢測(cè)時(shí)通過(guò)將收集到的信息與人侵模式進(jìn)行匹配來(lái)判斷是否有人侵行為。它的人侵檢測(cè)性能取決于模式庫(kù)的完整性。它不能檢測(cè)模式庫(kù)中沒(méi)有的新入侵行為或者變體，漏報(bào)率較高。而異常檢測(cè)技術(shù)則是通過(guò)提取審計(jì)蹤跡(如網(wǎng)絡(luò)流量、日志文件)中的特征數(shù)據(jù)來(lái)描述用戶(hù)行為，建立典型網(wǎng)絡(luò)活動(dòng)的輪廓模型用于檢測(cè)。檢測(cè)時(shí)將當(dāng)前行為模式與輪廓模型相比較，如果兩者的偏離程度超過(guò)一個(gè)確定的閩值則判定為人侵。比較典型的異常檢測(cè)技術(shù)有統(tǒng)計(jì)分析技術(shù)、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)等。二者各有優(yōu)缺點(diǎn):誤用檢測(cè)技術(shù)一般能夠較準(zhǔn)確地檢測(cè)已知的攻擊行為并能確定具體的攻擊，具有低的誤報(bào)率，但面對(duì)新的攻擊行為確無(wú)能為力，漏報(bào)率高;而異常檢測(cè)技術(shù)具有發(fā)現(xiàn)新的攻擊行為的能力，漏報(bào)率低，但其以高的誤報(bào)率為代價(jià)并不能確定具體的攻擊行為?，F(xiàn)在的人侵檢測(cè)技術(shù)朝著綜合化、協(xié)同式和分布式方向發(fā)展，如NIDES,EMER-ALD,Haystack都為誤用與異常檢測(cè)的綜合系統(tǒng)，其中用誤用檢測(cè)技術(shù)檢測(cè)已知的人侵行為，而異常檢測(cè)系統(tǒng)檢測(cè)未知的人侵行為。

篇（10）