【文章內(nèi)容簡(jiǎn)介】 網(wǎng)絡(luò)設(shè)備的安全也非常重要。 2)人為的無(wú)意失誤 如操作員安全配置不當(dāng)造成的安全漏洞，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的賬號(hào)隨意轉(zhuǎn)借他人或與他人共享等，都 會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。 3)黑客的惡意攻擊 黑客的惡意攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的主要的和最大的威脅。此類(lèi)攻擊又可以分為兩種，一種是主動(dòng)攻擊，主要是指以各種方式有選擇地破壞信息，如修改、刪除、偽造、添加、重放、亂序、冒充、設(shè)置病毒等；另一種是被動(dòng)攻擊，是指湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 12 ~ 在不影響網(wǎng)絡(luò)正常工 ’作的情況下，進(jìn)行監(jiān)聽(tīng)、截獲、竊取、破譯和業(yè)務(wù)流量分析等。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并會(huì)導(dǎo)致機(jī)密數(shù)據(jù)的泄露。主要的網(wǎng)絡(luò)攻擊手段有如下幾種。 (1)間諜軟件。 所謂間諜軟件，是指在不知會(huì)計(jì)算機(jī)主人、未獲得計(jì)算機(jī)主人許可的情況下 ，就偷偷安裝在系統(tǒng)中的軟件。根據(jù)反間諜軟件生產(chǎn)商 Web root Software 公司有關(guān)間諜軟件的統(tǒng)計(jì)報(bào)告，每 10 臺(tái)連到因特網(wǎng)的計(jì)算機(jī)中，．就有 9 臺(tái)受到過(guò)間諜軟件的侵染；而在公司計(jì)算機(jī)中，大約有 87%感染過(guò)各種類(lèi)型的間諜軟件。間諜軟件侵入用戶(hù)計(jì)算機(jī)的方法有很多種，它可以通過(guò)電子郵件中的可執(zhí)行附件，也可以通過(guò)網(wǎng)站上的 “惡意代碼，還可以通過(guò)其他軟件自身的安全漏洞，將其自身埋藏到其到其他軟件的下載程序中。間諜軟件輕則使系統(tǒng)性能大壞。它還可通過(guò)監(jiān)控記錄用戶(hù)的鍵盤(pán)輸入或者對(duì)用戶(hù)文金融賬號(hào)信息及其他敏感數(shù)據(jù)等。 (2)混合攻擊。 顧名思義，混合攻擊集合了多種不同類(lèi)型的攻擊方代碼于一身，針對(duì)服務(wù)器或者因特網(wǎng)的漏洞進(jìn)行快速攻、傳播、擴(kuò)散，從而會(huì)產(chǎn)生極大范圍內(nèi)的破壞。 (3)各種軟件的漏洞和后門(mén)。 任何軟件都不可能完全無(wú)缺陷和漏洞，而這些缺陷和漏洞恰恰是黑客進(jìn)行攻擊的突破口。另外，軟件所存在的后門(mén)也為黑客攻擊提供了可能。 (4)網(wǎng)頁(yè)及瀏覽器漏洞攻擊。 網(wǎng)頁(yè)漏洞攻擊試圖通過(guò) Web 服務(wù)器來(lái)破壞信息系統(tǒng)的安全防護(hù)，它可以完全控制系統(tǒng)，且可不經(jīng)授權(quán)訪(fǎng)問(wèn)目錄列表并建立新的賬號(hào)，或者對(duì)數(shù)據(jù)進(jìn)行讀取、修改或者刪除。瀏覽器漏洞攻擊試圖 利用用戶(hù)的網(wǎng)頁(yè)瀏覽器自身所帶的漏洞進(jìn)行攻擊，尤其是在用戶(hù)的網(wǎng)頁(yè)瀏覽器沒(méi)有打上最新補(bǔ)丁，或者沒(méi)有進(jìn)行相關(guān)安全配置時(shí)。惡意的 Java 腳本， Acrtive X 及 Java 小程序可以使用戶(hù)的計(jì)算機(jī)癱瘓。它還會(huì)自動(dòng)下載 “后門(mén)程序 ”或者其他惡意代碼，使入侵者獲得對(duì)計(jì)算機(jī)的完全訪(fǎng)問(wèn)權(quán)限。成功的攻擊可以偷取用戶(hù)的其他敏感數(shù)據(jù)，并危及用戶(hù)的計(jì)算機(jī)。 (5)網(wǎng)絡(luò)欺詐。 網(wǎng)絡(luò)欺詐是指企圖欺騙用戶(hù)，使用戶(hù)相信那些虛假的電子郵件、電話(huà)或網(wǎng)站，并認(rèn)為它們是合法的。這些網(wǎng)站往往和網(wǎng)上銀行或支付服務(wù)相關(guān)，而其意圖則是讓用戶(hù)提交自己的私人信 息，或是下載惡意程序來(lái)感染用戶(hù)的計(jì)算機(jī)。在電子商務(wù)企業(yè)中，這類(lèi)攻擊后果尤為嚴(yán)重。 (6)擊鍵記錄。 擊鍵記錄或者輸入記錄，指的都是那些對(duì)用戶(hù)鍵盤(pán)輸入（可能還有鼠標(biāo)移動(dòng)）進(jìn)行記錄的程序，它們以此來(lái)獲取用戶(hù)的用戶(hù)名、密碼、電子郵件地址，即時(shí)通信相關(guān)信息，以及其他員工的活動(dòng)等。擊鍵記錄程序一般會(huì)將這些信息保存到某湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 13 ~ 個(gè)文件中，然后悄悄地將這些文件轉(zhuǎn)發(fā)出去，供記錄者進(jìn)行不法活動(dòng)。最常見(jiàn)的按鍵記錄方式，是利用間諜軟件，或者在用戶(hù)計(jì)算機(jī)上使用其他未經(jīng)授權(quán)的相關(guān)軟件進(jìn)行記錄。其他方式則包括在鍵盤(pán)或者計(jì)算機(jī)的 USB 端口中安裝 電子竊聽(tīng)的硬件設(shè)備等。 (7)即時(shí)通信軟件漏洞。 和電子郵件一樣，即時(shí)通信也是病毒和間諜軟件肆虐傳播的一個(gè)常見(jiàn)途徑。病毒和間諜軟件主要是在用戶(hù)之間傳遞文件時(shí)進(jìn)行傳播的。一旦用戶(hù)打開(kāi)了這些文件，即時(shí)通信軟件病毒立刻就會(huì)將其自身轉(zhuǎn)發(fā)給用戶(hù)好友列表上的每個(gè)人，同時(shí)在系統(tǒng)中安裝間諜軟件。 4)蠕蟲(chóng)及病毒的傳播 感染現(xiàn)有計(jì)算機(jī)程序的病毒，以及那些本身就是可執(zhí)行文件的蠕蟲(chóng)，是最古老，也最廣為人知的計(jì)算機(jī)安全威脅。病毒一般傾向于棲身在文檔、表格或者其他文件之中，然后通過(guò)電子郵件進(jìn)行傳播，而蠕蟲(chóng)通常是直接通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的 。一旦病毒或者蠕蟲(chóng)感染了一臺(tái)電腦，不僅會(huì)試圖感染其他程序，同時(shí)還會(huì)對(duì)現(xiàn)有系統(tǒng)進(jìn)行破壞。更為嚴(yán)重的是，病毒的傳播很容易導(dǎo)致網(wǎng)絡(luò)速度的降低，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓，其危害非常之大。 5)非授權(quán)訪(fǎng)問(wèn) 沒(méi)有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源的行為被視為非授權(quán)訪(fǎng)問(wèn)，如對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用等。該行為主要包括假冒身份攻擊，非法用戶(hù)進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作，合法用戶(hù)以未授權(quán)方式進(jìn)行操作等。 6)信息泄露或丟失 信息泄露或丟失是指敏感數(shù)據(jù)被有意或無(wú)意地泄露出去或者丟失，通常也包括信息傳輸中的丟失或泄露。 7)破壞數(shù) 據(jù)完整性 破壞數(shù)據(jù)完整性是指以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，以干擾用戶(hù)的正常使用。 系統(tǒng)風(fēng)險(xiǎn) 1)操作系統(tǒng)風(fēng)險(xiǎn) 操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)財(cái)務(wù)的信息系統(tǒng)和數(shù)據(jù)庫(kù)運(yùn)行的平臺(tái)，其安全性至關(guān)重要。由于操作系統(tǒng)面向所有的用戶(hù)，再加上其自身的缺陷，所以它時(shí)刻面臨著來(lái)自各方面的潛在威脅，這些威脅主要包括以下幾個(gè)方面。 (1)操作系統(tǒng)自身存在的缺陷，包括系統(tǒng) BUG、后門(mén)、安全漏洞等。 (2)操作系統(tǒng)的穩(wěn)定性。 (3)操作系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)，包括系統(tǒng)內(nèi)部人員 的濫用職權(quán)、越權(quán)操作和系統(tǒng)外人員的非法訪(fǎng)問(wèn)甚至破壞。 湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 14 ~ （ 4）各類(lèi)針對(duì)操作系統(tǒng)的網(wǎng)絡(luò)攻擊。 （ 5）各種病毒對(duì)操作系統(tǒng)地破壞。 2）應(yīng)用系統(tǒng)風(fēng)險(xiǎn) 應(yīng)用系統(tǒng)風(fēng)險(xiǎn)只要是指系統(tǒng)的開(kāi)發(fā)風(fēng)險(xiǎn)、系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)和系統(tǒng)的維護(hù)風(fēng)險(xiǎn)。 信息風(fēng)險(xiǎn) 1)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn) 數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)財(cái)務(wù)的核心，其面臨的主要風(fēng)險(xiǎn)有如下幾種。 (1)針對(duì)數(shù)據(jù)庫(kù)的各種惡意攻擊。 (2)數(shù)據(jù)的竊取、修改、增刪等非法操作。 (3)支撐數(shù)據(jù)庫(kù)運(yùn)行的硬件故障風(fēng)險(xiǎn)。 (4)數(shù)據(jù)庫(kù)自身的安全漏洞。 (5)數(shù) 據(jù)庫(kù)管理上的風(fēng)險(xiǎn)。 2)電子商務(wù)交易信息風(fēng)險(xiǎn) 全面防范電子商務(wù)的安全威脅是富有挑戰(zhàn)性的工作，其中交易信息風(fēng)險(xiǎn)防范對(duì)于為 電子商務(wù)服務(wù)的網(wǎng)絡(luò)財(cái)務(wù)而言尤為重要。交易信息風(fēng)險(xiǎn)有如下幾種。 (1)信息的截獲和竊取。 (2)信息的篡改。 (3)信息假冒。 (4)交易抵賴(lài) 湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 15 ~ 第五章 網(wǎng)絡(luò)招投標(biāo)財(cái)務(wù)信息安全問(wèn)題的對(duì)策 網(wǎng)絡(luò)招投標(biāo)的完善措施 安全認(rèn)證技術(shù) 非對(duì)稱(chēng)密鑰密碼體制，即公鑰密碼體制。在公鑰體制中，同時(shí)產(chǎn)生一對(duì)密鑰：加密 密鑰和解密密鑰。將加密密鑰發(fā)送給發(fā)送方，誰(shuí)都可以使用；解密密鑰只有解密人自己知道。由于解密密鑰不會(huì)在網(wǎng)絡(luò)上傳輸，并通過(guò)加密密鑰和解密密鑰不出，所以黑客無(wú)法獲得解密密鑰，也無(wú)法獲取加密信息。因此，使用基于非對(duì)稱(chēng)密鑰密碼體制研制出的 PKI（公鑰基礎(chǔ)設(shè)施） 體系作為網(wǎng)絡(luò)招投標(biāo)平臺(tái)的加密認(rèn)證體系，為網(wǎng)絡(luò)招投標(biāo)系統(tǒng)中的認(rèn)證、授權(quán)、抗抵賴(lài)提供了可靠的保障。 加快完善網(wǎng)絡(luò)招投標(biāo)的相關(guān)法律法規(guī) 網(wǎng)絡(luò)招投標(biāo)作為一種新的發(fā)展方向，目前還缺乏國(guó)家相關(guān)法律、法規(guī)的支持。目前最權(quán)威的《招標(biāo)投標(biāo)法》所認(rèn)可的投標(biāo)形式仍然是 密封投標(biāo)，對(duì)電子投標(biāo)形式的有效性和操作性沒(méi)有作出明確解釋?zhuān)斐删W(wǎng)絡(luò)招投標(biāo)法規(guī)效力缺失；最新版《合同法》已將電子文件納入其書(shū)面范疇，但有關(guān)電子商務(wù)的系列法規(guī)還未出臺(tái)[18]。因此，政府應(yīng)該制定相關(guān)的法律，盡快建立一個(gè)管理網(wǎng)絡(luò)，良好的法律環(huán)境，以確保具有有效性和可靠性的網(wǎng)上招投標(biāo)環(huán)境。 加強(qiáng)招投標(biāo)門(mén)戶(hù)網(wǎng)站及網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè) 網(wǎng)絡(luò)招投標(biāo)門(mén)戶(hù)網(wǎng)站應(yīng)該具有一定的規(guī)模，有完善的軟、硬件的設(shè)施支撐，有能力開(kāi)發(fā)完善的電子招標(biāo)軟件和交易平臺(tái) [18]。同時(shí)，要保證電子招標(biāo)數(shù)據(jù)的可靠性和安全性。網(wǎng)絡(luò)速度和網(wǎng)絡(luò)質(zhì)量直接影 響著電子招標(biāo)門(mén)戶(hù)網(wǎng)站的訪(fǎng)問(wèn)速度和數(shù)據(jù)傳輸速度。試想，假如打開(kāi)一份招標(biāo)公告或者上傳一份招標(biāo)文件都需要耗時(shí)十分鐘以上，那么網(wǎng)絡(luò)招投標(biāo)也就失去了其高效便捷的優(yōu)勢(shì)。 5． 加強(qiáng)網(wǎng)絡(luò)招投標(biāo)的安全性管理 網(wǎng)絡(luò)招投標(biāo)系統(tǒng)作為一種網(wǎng)絡(luò)信息系統(tǒng)，存在不容忽視的安全隱患，容易受到黑客、病毒的攻擊，從而造成信息被盜、被改寫(xiě)或被刪除等嚴(yán)重后果。這將給招投標(biāo)工作帶來(lái)極大危害，嚴(yán)重影響工程招投標(biāo)的順利進(jìn)行 [18]。因此，確保網(wǎng)絡(luò)招投標(biāo)系統(tǒng)中信息的安全性、真實(shí)性、可靠性和保密性，也是網(wǎng)絡(luò)招投標(biāo)過(guò)程中面臨的一項(xiàng)重要任務(wù)。 信息安 全的解決方案 綜合以上分析 ,可以歸納出以下幾大方面的網(wǎng)絡(luò)安全解決方案 : 湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 16 ~ 經(jīng)常使用安全檢測(cè)工具、加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的自身安全性能 目前 ,市場(chǎng)上有許多的安全檢測(cè)工具出售 ,如網(wǎng)威公司的 Net power 產(chǎn)品 ,它采用了掃描策略 ,發(fā)現(xiàn)安全問(wèn)題和薄弱環(huán)節(jié) ,給出相關(guān)的安全建議和修補(bǔ)措施 ,及時(shí)進(jìn)行修補(bǔ)防護(hù) ,通過(guò)提高網(wǎng)絡(luò)和系統(tǒng)自身的安全性能來(lái)防止攻擊。系統(tǒng)可以購(gòu)買(mǎi)這樣的產(chǎn)品作為加強(qiáng)內(nèi)部網(wǎng)絡(luò)與系統(tǒng)的安全防護(hù)性能和抗破壞能力的工具。 使用防火墻技術(shù) ,建立網(wǎng)絡(luò)安全屏障。 使用防火墻系統(tǒng)來(lái)防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的未授 權(quán)訪(fǎng)問(wèn) ,建立網(wǎng)絡(luò)信息系統(tǒng)的對(duì)外安全屏障 [19]。防火墻的主要目的就是根據(jù)本單位的安全策略 ,對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查 ,符合的放行 ,不符合的拒之門(mén)外。 聘請(qǐng)網(wǎng)絡(luò)安全顧問(wèn) ,跟蹤網(wǎng)絡(luò)安全最新技術(shù)。 聘請(qǐng)網(wǎng)絡(luò)安全專(zhuān)家作為網(wǎng)絡(luò)信息系統(tǒng)的安全顧問(wèn) ,同時(shí) ,系統(tǒng)管理員和網(wǎng)絡(luò)管理員也要經(jīng)常瀏覽國(guó)際上一些著名網(wǎng)絡(luò)安全組織的信息主頁(yè) ,了解最新技術(shù)動(dòng)態(tài) ,獲取系統(tǒng)和網(wǎng)絡(luò)最新安全軟件 ,使自己的網(wǎng)絡(luò)系統(tǒng)能夠得到最新的安全技術(shù)支持[20]。 對(duì)系統(tǒng)進(jìn)行定期備份。 定期備份重要數(shù)據(jù)的備份，每日，每周和每月的添 加備份，完全備份數(shù)據(jù)，保證網(wǎng)絡(luò)信息安全系統(tǒng)的恢復(fù)?？偠灾?,只要我們能夠重視網(wǎng)絡(luò)信息安全中存在的問(wèn)題 ,注意采取有效的措施方法來(lái)保護(hù)網(wǎng)絡(luò) ,就可以最大限度地阻止網(wǎng)上入侵者的攻擊 ,保證網(wǎng)絡(luò)信息系統(tǒng)的安全性。 網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理制度 在網(wǎng)絡(luò)財(cái)務(wù)風(fēng)險(xiǎn)防范中，硬件設(shè)備和信息技術(shù)是非常重要的，但是再先進(jìn)的設(shè)備和技術(shù)都需要人去操作和掌控。因此，要真正發(fā)揮好這些安全設(shè)備和防范技術(shù)的作用，建立起一整套完善的風(fēng)險(xiǎn)管理制度是非常關(guān)鍵的，否則所有的風(fēng)險(xiǎn)防范方案都只是擺設(shè)。 1．安全管理模型 對(duì)于網(wǎng)絡(luò)財(cái) 務(wù)來(lái)說(shuō)，在管理方案的制定上一般采用的是以安全管理為中心的MPDR 模型 o MPDR (Management Protection Detection Response,MPDR)模型就是體現(xiàn)主動(dòng)防御思想的安全模型。它以管理為核心平臺(tái)。通過(guò)這個(gè)核心平臺(tái)，各個(gè)安全特性，即防護(hù) ( Protection)、檢測(cè) (Detection)、響應(yīng) (Response)并不是簡(jiǎn)單地以流程或者平面的方式組合在一起，而是互相影響、互相促進(jìn)的 oMPDR 模型。 (1)安全管理 (M)，指以統(tǒng)一的管理安全策略為基礎(chǔ)，控制和協(xié)調(diào)網(wǎng)絡(luò) 中部署的防護(hù)、檢測(cè)、響應(yīng)模塊，防范和處理安全事件，審計(jì)和分析安全日志，制定和實(shí)施安全管理規(guī)章，完整地實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。 湖南科技大學(xué)瀟湘學(xué)院本科生畢業(yè)設(shè)計(jì)（論文） ~ 17 ~ (2)防護(hù) (P)，指采用一切可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。技術(shù)手段包括網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全訪(fǎng)問(wèn)控制、口令等保密性和完整性技術(shù)。 (3)檢測(cè) (D)，指利用高級(jí)技術(shù)提供的工具檢查系統(tǒng)可能存在的由黑客攻擊白領(lǐng)犯罪、病毒泛濫等造成的脆弱性。技術(shù)手段包括病毒檢測(cè)