【文章內容簡介】 機及大量網絡設備的安全也非常重要。2)人為的無意失誤如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與他人共享等，都會給網絡安全帶來威脅。3)黑客的惡意攻擊黑客的惡意攻擊是計算機網絡所面臨的主要的和最大的威脅。此類攻擊又可以分為兩種，一種是主動攻擊，主要是指以各種方式有選擇地破壞信息，如修改、刪除、偽造、添加、重放、亂序、冒充、設置病毒等；另一種是被動攻擊，是指在不影響網絡正常工’作的情況下，進行監(jiān)聽、截獲、竊取、破譯和業(yè)務流量分析等。這兩種攻擊均可對計算機網絡造成極大的危害，并會導致機密數據的泄露。主要的網絡攻擊手段有如下幾種。 (1)間諜軟件。所謂間諜軟件，是指在不知會計算機主人、未獲得計算機主人許可的情況下，就偷偷安裝在系統中的軟件。根據反間諜軟件生產商Web root Software公司有關間諜軟件的統計報告，每10臺連到因特網的計算機中，．就有9臺受到過間諜軟件的侵染；而在公司計算機中，大約有87%感染過各種類型的間諜軟件。間諜軟件侵入用戶計算機的方法有很多種，它可以通過電子郵件中的可執(zhí)行附件，也可以通過網站上的“惡意代碼，還可以通過其他軟件自身的安全漏洞，將其自身埋藏到其到其他軟件的下載程序中。間諜軟件輕則使系統性能大壞。它還可通過監(jiān)控記錄用戶的鍵盤輸入或者對用戶文金融賬號信息及其他敏感數據等。 (2)混合攻擊。顧名思義，混合攻擊集合了多種不同類型的攻擊方代碼于一身，針對服務器或者因特網的漏洞進行快速攻、傳播、擴散，從而會產生極大范圍內的破壞。(3)各種軟件的漏洞和后門。任何軟件都不可能完全無缺陷和漏洞，而這些缺陷和漏洞恰恰是黑客進行攻擊的突破口。另外，軟件所存在的后門也為黑客攻擊提供了可能。 (4)網頁及瀏覽器漏洞攻擊。 網頁漏洞攻擊試圖通過Web服務器來破壞信息系統的安全防護，它可以完全控制系統，且可不經授權訪問目錄列表并建立新的賬號，或者對數據進行讀取、修改或者刪除。瀏覽器漏洞攻擊試圖利用用戶的網頁瀏覽器自身所帶的漏洞進行攻擊，尤其是在用戶的網頁瀏覽器沒有打上最新補丁，或者沒有進行相關安全配置時。惡意的Java腳本，Acrtive X及Java小程序可以使用戶的計算機癱瘓。它還會自動下載“后門程序”或者其他惡意代碼，使入侵者獲得對計算機的完全訪問權限。成功的攻擊可以偷取用戶的其他敏感數據，并危及用戶的計算機。(5)網絡欺詐。 網絡欺詐是指企圖欺騙用戶，使用戶相信那些虛假的電子郵件、電話或網站，并認為它們是合法的。這些網站往往和網上銀行或支付服務相關，而其意圖則是讓用戶提交自己的私人信息，或是下載惡意程序來感染用戶的計算機。在電子商務企業(yè)中，這類攻擊后果尤為嚴重。 (6)擊鍵記錄。擊鍵記錄或者輸入記錄，指的都是那些對用戶鍵盤輸入（可能還有鼠標移動）進行記錄的程序，它們以此來獲取用戶的用戶名、密碼、電子郵件地址，即時通信相關信息，以及其他員工的活動等。擊鍵記錄程序一般會將這些信息保存到某個文件中，然后悄悄地將這些文件轉發(fā)出去，供記錄者進行不法活動。最常見的按鍵記錄方式，是利用間諜軟件，或者在用戶計算機上使用其他未經授權的相關軟件進行記錄。其他方式則包括在鍵盤或者計算機的USB端口中安裝電子竊聽的硬件設備等。(7)即時通信軟件漏洞。和電子郵件一樣，即時通信也是病毒和間諜軟件肆虐傳播的一個常見途徑。病毒和間諜軟件主要是在用戶之間傳遞文件時進行傳播的。一旦用戶打開了這些文件，即時通信軟件病毒立刻就會將其自身轉發(fā)給用戶好友列表上的每個人，同時在系統中安裝間諜軟件。4)蠕蟲及病毒的傳播感染現有計算機程序的病毒，以及那些本身就是可執(zhí)行文件的蠕蟲，是最古老，也最廣為人知的計算機安全威脅。病毒一般傾向于棲身在文檔、表格或者其他文件之中，然后通過電子郵件進行傳播，而蠕蟲通常是直接通過網絡進行傳播的。一旦病毒或者蠕蟲感染了一臺電腦，不僅會試圖感染其他程序，同時還會對現有系統進行破壞。更為嚴重的是，病毒的傳播很容易導致網絡速度的降低，甚至導致網絡癱瘓，其危害非常之大。5)非授權訪問 沒有預先經過同意，就使用網絡或計算機資源的行為被視為非授權訪問，如對網絡設備及資源進行非正常使用等。該行為主要包括假冒身份攻擊，非法用戶進入網絡系統進行違法操作，合法用戶以未授權方式進行操作等。 6)信息泄露或丟失信息泄露或丟失是指敏感數據被有意或無意地泄露出去或者丟失，通常也包括信息傳輸中的丟失或泄露。7)破壞數據完整性 破壞數據完整性是指以非法手段竊得對數據的使用權，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數據，以干擾用戶的正常使用。 系統風險1)操作系統風險 操作系統是整個網絡財務的信息系統和數據庫運行的平臺，其安全性至關重要。由于操作系統面向所有的用戶，再加上其自身的缺陷，所以它時刻面臨著來自各方面的潛在威脅，這些威脅主要包括以下幾個方面。(1)操作系統自身存在的缺陷，包括系統BUG、后門、安全漏洞等。 (2)操作系統的穩(wěn)定性。 (3)操作系統的非授權訪問，包括系統內部人員的濫用職權、越權操作和系統外人員的非法訪問甚至破壞。（4）各類針對操作系統的網絡攻擊。（5）各種病毒對操作系統地破壞。2）應用系統風險應用系統風險只要是指系統的開發(fā)風險、系統的運行風險和系統的維護風險。 信息風險 1)數據庫風險 數據庫是網絡財務的核心，其面臨的主要風險有如下幾種。 (1)針對數據庫的各種惡意攻擊。 (2)數據的竊取、修改、增刪等非法操作。 (3)支撐數據庫運行的硬件故障風險。 (4)數據庫自身的安全漏洞。 (5)數據庫管理上的風險。 2)電子商務交易信息風險 全面防范電子商務的安全威脅是富有挑戰(zhàn)性的工作，其中交易信息風險防范對于為 電子商務服務的網絡財務而言尤為重要。交易信息風險有如下幾種。 (1)信息的截獲和竊取。 (2)信息的篡改。 (3)信息假冒。 (4)交易抵賴第五章 網絡招投標財務信息安全問題的對策 安全認證技術非對稱密鑰密碼體制，即公鑰密碼體制。在公鑰體制中，同時產生一對密鑰：加密密鑰和解密密鑰。將加密密鑰發(fā)送給發(fā)送方，誰都可以使用；解密密鑰只有解密人自己知道。由于解密密鑰不會在網絡上傳輸，并通過加密密鑰和解密密鑰不出，所以黑客無法獲得解密密鑰，也無法獲取加密信息。因此，使用基于非對稱密鑰密碼體制研制出的 PKI（公鑰基礎設施） 體系作為網絡招投標平臺的加密認證體系，為網絡招投標系統中的認證、授權、抗抵賴提供了可靠的保障。 加快完善網絡招投標的相關法律法規(guī)網絡招投標作為一種新的發(fā)展方向，目前還缺乏國家相關法律、法規(guī)的支持。目前最權威的《招標投標法》所認可的投標形式仍然是密封投標，對電子投標形式的有效性和操作性沒有作出明確解釋，造成網絡招投標法規(guī)效力缺失；最新版《合同法》已將電子文件納入其書面范疇，但有關電子商務的系列法規(guī)還未出臺[18]。因此，政府應該制定相關的法律，盡快建立一個管理網絡，良好的法律環(huán)境，以確保具有有效性和可靠性的網上招投標環(huán)境。網絡招投標門戶網站應該具有一定的規(guī)模，有完善的軟、硬件的設施支撐，有能力開發(fā)完善的電子招標軟件和交易平臺[18]。同時，要保證電子招標數據的可靠性和安全性。網絡速度和網絡質量直接影響著電子招標門戶網站的訪問速度和數據傳輸速度。試想，假如打開一份招標公告或者上傳一份招標文件都需要耗時十分鐘以上，那么網絡招投標也就失去了其高效便捷的優(yōu)勢。5．網絡招投標系統作為一種網絡信息系統，存在不容忽視的安全隱患，容易受到黑客、病毒的攻擊，從而造成信息被盜、被改寫或被刪除等嚴重后果。這將給招投標工作帶來極大危害，嚴重影響工程招投標的順利進行[18]。因此，確保網絡招投標系統中信息的安全性、真實性、可靠性和保密性，也是網絡招投標過程中面臨的一項重要任務。綜合以上分析,可以歸納出以下幾大方面的網絡安全解決方案:、加強網絡和系統的自身安全性能目前,市場上有許多的安全檢測工具出售,如網威公司的Net power產品,它采用了掃描策略,發(fā)現安全問題和薄弱環(huán)節(jié),給出相關的安全建議和修補措施,及時進行修補防護,通過提高網絡和系統自身的安全性能來防止攻擊。系統可以購買這樣的產品作為加強內部網絡與系統的安全防護性能和抗破壞能力的工具。,建立網絡安全屏障。使用防火墻系統來防止外部網絡對內部網絡的未授權訪問,建立網絡信息系統的對外安全屏障[19]。防火墻的主要目的就是根據本單位的安全策略,對外部網絡與內部網絡交流的數據進行檢查,符合的放行,不符合的拒之門外。,跟蹤網絡安全最新技術。聘請網絡安全專家作為網絡信息系統的安全顧問,同時,系統管理員和網絡管理員也要經常瀏覽國際上一些著名網絡安全組織的信息主頁,了解最新技術動態(tài),獲取系統和網絡最新安全軟件,使自己的網絡系統能夠得到最新的安全技術支持[20]。定期備份重要數據的備份，每日，每周和每月的添加備份，完全備份數據，保證網絡信息安全系統的恢復?？偠灾?只要我們能夠重視網絡信息安全中存在的問題,注意采取有效的措施方法來保護網絡,就可以最大限度地阻止網上入侵者的攻擊,保證網絡信息系統的安全性。 網絡財務信息系統風險管理制度 在網絡財務風險防范中，硬件設備和信息技術是非常重要的，但是再先進的設備和技術都需要人去操作和掌控。因此，要真正發(fā)揮好這些安全設備和防范技術的作用，建立起一整套完善的風險管理制度是非常關鍵的，否則所有的風險防范方案都只是擺設。 1．安全管理模型對于網絡財務來說，在管理方案的制定上一般采用的是以安全管理為中心的MPDR模型o MPDR (Management Protection Detection Response,MPDR)模型就是體現主動防御思想的安全模型。它以管理為核心平臺。通過這個核心平臺，各個安全特性，即防護( Protection)、檢測(Detection)、響應(Response)并不是簡單地以流程或者平面的方式組合在一起，而是互相影響、互相促進的oMPDR模型。 (1)安全管理(M)，指以統一的管理安全策略為基礎，控制和協調網絡中部署的防護、檢測、響應模塊，防范和處理安全事件，審計和分析安全日志，制定和實施安全管理規(guī)章，完整地實現網絡安全目標。 (2)防護(P)，指采用一切可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認性。技術手段包括網絡安全、操作系統安全、數據庫系統安全訪問控制、口令等保密性和完整性技術。 (3)檢測(D)，指利用高級技術提供的工具檢查系統可能存在的由黑客攻擊白領犯罪、病毒泛濫等造成的脆弱性。技術手段包括病毒檢測、漏洞掃描、入侵檢測、用戶身份鑒別等。 （4)響應（R）．指對危機安全的事件、行為、