【文章內(nèi)容簡介】 機(jī)及大量網(wǎng)絡(luò)設(shè)備的安全也非常重要。2)人為的無意失誤如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與他人共享等，都會(huì)給網(wǎng)絡(luò)安全帶來威脅。3)黑客的惡意攻擊黑客的惡意攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的主要的和最大的威脅。此類攻擊又可以分為兩種，一種是主動(dòng)攻擊，主要是指以各種方式有選擇地破壞信息，如修改、刪除、偽造、添加、重放、亂序、冒充、設(shè)置病毒等；另一種是被動(dòng)攻擊，是指在不影響網(wǎng)絡(luò)正常工’作的情況下，進(jìn)行監(jiān)聽、截獲、竊取、破譯和業(yè)務(wù)流量分析等。這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并會(huì)導(dǎo)致機(jī)密數(shù)據(jù)的泄露。主要的網(wǎng)絡(luò)攻擊手段有如下幾種。 (1)間諜軟件。所謂間諜軟件，是指在不知會(huì)計(jì)算機(jī)主人、未獲得計(jì)算機(jī)主人許可的情況下，就偷偷安裝在系統(tǒng)中的軟件。根據(jù)反間諜軟件生產(chǎn)商Web root Software公司有關(guān)間諜軟件的統(tǒng)計(jì)報(bào)告，每10臺連到因特網(wǎng)的計(jì)算機(jī)中，．就有9臺受到過間諜軟件的侵染；而在公司計(jì)算機(jī)中，大約有87%感染過各種類型的間諜軟件。間諜軟件侵入用戶計(jì)算機(jī)的方法有很多種，它可以通過電子郵件中的可執(zhí)行附件，也可以通過網(wǎng)站上的“惡意代碼，還可以通過其他軟件自身的安全漏洞，將其自身埋藏到其到其他軟件的下載程序中。間諜軟件輕則使系統(tǒng)性能大壞。它還可通過監(jiān)控記錄用戶的鍵盤輸入或者對用戶文金融賬號信息及其他敏感數(shù)據(jù)等。 (2)混合攻擊。顧名思義，混合攻擊集合了多種不同類型的攻擊方代碼于一身，針對服務(wù)器或者因特網(wǎng)的漏洞進(jìn)行快速攻、傳播、擴(kuò)散，從而會(huì)產(chǎn)生極大范圍內(nèi)的破壞。(3)各種軟件的漏洞和后門。任何軟件都不可能完全無缺陷和漏洞，而這些缺陷和漏洞恰恰是黑客進(jìn)行攻擊的突破口。另外，軟件所存在的后門也為黑客攻擊提供了可能。 (4)網(wǎng)頁及瀏覽器漏洞攻擊。 網(wǎng)頁漏洞攻擊試圖通過Web服務(wù)器來破壞信息系統(tǒng)的安全防護(hù)，它可以完全控制系統(tǒng)，且可不經(jīng)授權(quán)訪問目錄列表并建立新的賬號，或者對數(shù)據(jù)進(jìn)行讀取、修改或者刪除。瀏覽器漏洞攻擊試圖利用用戶的網(wǎng)頁瀏覽器自身所帶的漏洞進(jìn)行攻擊，尤其是在用戶的網(wǎng)頁瀏覽器沒有打上最新補(bǔ)丁，或者沒有進(jìn)行相關(guān)安全配置時(shí)。惡意的Java腳本，Acrtive X及Java小程序可以使用戶的計(jì)算機(jī)癱瘓。它還會(huì)自動(dòng)下載“后門程序”或者其他惡意代碼，使入侵者獲得對計(jì)算機(jī)的完全訪問權(quán)限。成功的攻擊可以偷取用戶的其他敏感數(shù)據(jù)，并危及用戶的計(jì)算機(jī)。(5)網(wǎng)絡(luò)欺詐。 網(wǎng)絡(luò)欺詐是指企圖欺騙用戶，使用戶相信那些虛假的電子郵件、電話或網(wǎng)站，并認(rèn)為它們是合法的。這些網(wǎng)站往往和網(wǎng)上銀行或支付服務(wù)相關(guān)，而其意圖則是讓用戶提交自己的私人信息，或是下載惡意程序來感染用戶的計(jì)算機(jī)。在電子商務(wù)企業(yè)中，這類攻擊后果尤為嚴(yán)重。 (6)擊鍵記錄。擊鍵記錄或者輸入記錄，指的都是那些對用戶鍵盤輸入（可能還有鼠標(biāo)移動(dòng)）進(jìn)行記錄的程序，它們以此來獲取用戶的用戶名、密碼、電子郵件地址，即時(shí)通信相關(guān)信息，以及其他員工的活動(dòng)等。擊鍵記錄程序一般會(huì)將這些信息保存到某個(gè)文件中，然后悄悄地將這些文件轉(zhuǎn)發(fā)出去，供記錄者進(jìn)行不法活動(dòng)。最常見的按鍵記錄方式，是利用間諜軟件，或者在用戶計(jì)算機(jī)上使用其他未經(jīng)授權(quán)的相關(guān)軟件進(jìn)行記錄。其他方式則包括在鍵盤或者計(jì)算機(jī)的USB端口中安裝電子竊聽的硬件設(shè)備等。(7)即時(shí)通信軟件漏洞。和電子郵件一樣，即時(shí)通信也是病毒和間諜軟件肆虐傳播的一個(gè)常見途徑。病毒和間諜軟件主要是在用戶之間傳遞文件時(shí)進(jìn)行傳播的。一旦用戶打開了這些文件，即時(shí)通信軟件病毒立刻就會(huì)將其自身轉(zhuǎn)發(fā)給用戶好友列表上的每個(gè)人，同時(shí)在系統(tǒng)中安裝間諜軟件。4)蠕蟲及病毒的傳播感染現(xiàn)有計(jì)算機(jī)程序的病毒，以及那些本身就是可執(zhí)行文件的蠕蟲，是最古老，也最廣為人知的計(jì)算機(jī)安全威脅。病毒一般傾向于棲身在文檔、表格或者其他文件之中，然后通過電子郵件進(jìn)行傳播，而蠕蟲通常是直接通過網(wǎng)絡(luò)進(jìn)行傳播的。一旦病毒或者蠕蟲感染了一臺電腦，不僅會(huì)試圖感染其他程序，同時(shí)還會(huì)對現(xiàn)有系統(tǒng)進(jìn)行破壞。更為嚴(yán)重的是，病毒的傳播很容易導(dǎo)致網(wǎng)絡(luò)速度的降低，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓，其危害非常之大。5)非授權(quán)訪問 沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源的行為被視為非授權(quán)訪問，如對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用等。該行為主要包括假冒身份攻擊，非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作，合法用戶以未授權(quán)方式進(jìn)行操作等。 6)信息泄露或丟失信息泄露或丟失是指敏感數(shù)據(jù)被有意或無意地泄露出去或者丟失，通常也包括信息傳輸中的丟失或泄露。7)破壞數(shù)據(jù)完整性 破壞數(shù)據(jù)完整性是指以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。 系統(tǒng)風(fēng)險(xiǎn)1)操作系統(tǒng)風(fēng)險(xiǎn) 操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)財(cái)務(wù)的信息系統(tǒng)和數(shù)據(jù)庫運(yùn)行的平臺，其安全性至關(guān)重要。由于操作系統(tǒng)面向所有的用戶，再加上其自身的缺陷，所以它時(shí)刻面臨著來自各方面的潛在威脅，這些威脅主要包括以下幾個(gè)方面。(1)操作系統(tǒng)自身存在的缺陷，包括系統(tǒng)BUG、后門、安全漏洞等。 (2)操作系統(tǒng)的穩(wěn)定性。 (3)操作系統(tǒng)的非授權(quán)訪問，包括系統(tǒng)內(nèi)部人員的濫用職權(quán)、越權(quán)操作和系統(tǒng)外人員的非法訪問甚至破壞。（4）各類針對操作系統(tǒng)的網(wǎng)絡(luò)攻擊。（5）各種病毒對操作系統(tǒng)地破壞。2）應(yīng)用系統(tǒng)風(fēng)險(xiǎn)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)只要是指系統(tǒng)的開發(fā)風(fēng)險(xiǎn)、系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)和系統(tǒng)的維護(hù)風(fēng)險(xiǎn)。 信息風(fēng)險(xiǎn) 1)數(shù)據(jù)庫風(fēng)險(xiǎn) 數(shù)據(jù)庫是網(wǎng)絡(luò)財(cái)務(wù)的核心，其面臨的主要風(fēng)險(xiǎn)有如下幾種。 (1)針對數(shù)據(jù)庫的各種惡意攻擊。 (2)數(shù)據(jù)的竊取、修改、增刪等非法操作。 (3)支撐數(shù)據(jù)庫運(yùn)行的硬件故障風(fēng)險(xiǎn)。 (4)數(shù)據(jù)庫自身的安全漏洞。 (5)數(shù)據(jù)庫管理上的風(fēng)險(xiǎn)。 2)電子商務(wù)交易信息風(fēng)險(xiǎn) 全面防范電子商務(wù)的安全威脅是富有挑戰(zhàn)性的工作，其中交易信息風(fēng)險(xiǎn)防范對于為 電子商務(wù)服務(wù)的網(wǎng)絡(luò)財(cái)務(wù)而言尤為重要。交易信息風(fēng)險(xiǎn)有如下幾種。 (1)信息的截獲和竊取。 (2)信息的篡改。 (3)信息假冒。 (4)交易抵賴第五章 網(wǎng)絡(luò)招投標(biāo)財(cái)務(wù)信息安全問題的對策 安全認(rèn)證技術(shù)非對稱密鑰密碼體制，即公鑰密碼體制。在公鑰體制中，同時(shí)產(chǎn)生一對密鑰：加密密鑰和解密密鑰。將加密密鑰發(fā)送給發(fā)送方，誰都可以使用；解密密鑰只有解密人自己知道。由于解密密鑰不會(huì)在網(wǎng)絡(luò)上傳輸，并通過加密密鑰和解密密鑰不出，所以黑客無法獲得解密密鑰，也無法獲取加密信息。因此，使用基于非對稱密鑰密碼體制研制出的 PKI（公鑰基礎(chǔ)設(shè)施） 體系作為網(wǎng)絡(luò)招投標(biāo)平臺的加密認(rèn)證體系，為網(wǎng)絡(luò)招投標(biāo)系統(tǒng)中的認(rèn)證、授權(quán)、抗抵賴提供了可靠的保障。 加快完善網(wǎng)絡(luò)招投標(biāo)的相關(guān)法律法規(guī)網(wǎng)絡(luò)招投標(biāo)作為一種新的發(fā)展方向，目前還缺乏國家相關(guān)法律、法規(guī)的支持。目前最權(quán)威的《招標(biāo)投標(biāo)法》所認(rèn)可的投標(biāo)形式仍然是密封投標(biāo)，對電子投標(biāo)形式的有效性和操作性沒有作出明確解釋，造成網(wǎng)絡(luò)招投標(biāo)法規(guī)效力缺失；最新版《合同法》已將電子文件納入其書面范疇，但有關(guān)電子商務(wù)的系列法規(guī)還未出臺[18]。因此，政府應(yīng)該制定相關(guān)的法律，盡快建立一個(gè)管理網(wǎng)絡(luò)，良好的法律環(huán)境，以確保具有有效性和可靠性的網(wǎng)上招投標(biāo)環(huán)境。網(wǎng)絡(luò)招投標(biāo)門戶網(wǎng)站應(yīng)該具有一定的規(guī)模，有完善的軟、硬件的設(shè)施支撐，有能力開發(fā)完善的電子招標(biāo)軟件和交易平臺[18]。同時(shí)，要保證電子招標(biāo)數(shù)據(jù)的可靠性和安全性。網(wǎng)絡(luò)速度和網(wǎng)絡(luò)質(zhì)量直接影響著電子招標(biāo)門戶網(wǎng)站的訪問速度和數(shù)據(jù)傳輸速度。試想，假如打開一份招標(biāo)公告或者上傳一份招標(biāo)文件都需要耗時(shí)十分鐘以上，那么網(wǎng)絡(luò)招投標(biāo)也就失去了其高效便捷的優(yōu)勢。5．網(wǎng)絡(luò)招投標(biāo)系統(tǒng)作為一種網(wǎng)絡(luò)信息系統(tǒng)，存在不容忽視的安全隱患，容易受到黑客、病毒的攻擊，從而造成信息被盜、被改寫或被刪除等嚴(yán)重后果。這將給招投標(biāo)工作帶來極大危害，嚴(yán)重影響工程招投標(biāo)的順利進(jìn)行[18]。因此，確保網(wǎng)絡(luò)招投標(biāo)系統(tǒng)中信息的安全性、真實(shí)性、可靠性和保密性，也是網(wǎng)絡(luò)招投標(biāo)過程中面臨的一項(xiàng)重要任務(wù)。綜合以上分析,可以歸納出以下幾大方面的網(wǎng)絡(luò)安全解決方案:、加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)的自身安全性能目前,市場上有許多的安全檢測工具出售,如網(wǎng)威公司的Net power產(chǎn)品,它采用了掃描策略,發(fā)現(xiàn)安全問題和薄弱環(huán)節(jié),給出相關(guān)的安全建議和修補(bǔ)措施,及時(shí)進(jìn)行修補(bǔ)防護(hù),通過提高網(wǎng)絡(luò)和系統(tǒng)自身的安全性能來防止攻擊。系統(tǒng)可以購買這樣的產(chǎn)品作為加強(qiáng)內(nèi)部網(wǎng)絡(luò)與系統(tǒng)的安全防護(hù)性能和抗破壞能力的工具。,建立網(wǎng)絡(luò)安全屏障。使用防火墻系統(tǒng)來防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的未授權(quán)訪問,建立網(wǎng)絡(luò)信息系統(tǒng)的對外安全屏障[19]。防火墻的主要目的就是根據(jù)本單位的安全策略,對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查,符合的放行,不符合的拒之門外。,跟蹤網(wǎng)絡(luò)安全最新技術(shù)。聘請網(wǎng)絡(luò)安全專家作為網(wǎng)絡(luò)信息系統(tǒng)的安全顧問,同時(shí),系統(tǒng)管理員和網(wǎng)絡(luò)管理員也要經(jīng)常瀏覽國際上一些著名網(wǎng)絡(luò)安全組織的信息主頁,了解最新技術(shù)動(dòng)態(tài),獲取系統(tǒng)和網(wǎng)絡(luò)最新安全軟件,使自己的網(wǎng)絡(luò)系統(tǒng)能夠得到最新的安全技術(shù)支持[20]。定期備份重要數(shù)據(jù)的備份，每日，每周和每月的添加備份，完全備份數(shù)據(jù)，保證網(wǎng)絡(luò)信息安全系統(tǒng)的恢復(fù)?？偠灾?只要我們能夠重視網(wǎng)絡(luò)信息安全中存在的問題,注意采取有效的措施方法來保護(hù)網(wǎng)絡(luò),就可以最大限度地阻止網(wǎng)上入侵者的攻擊,保證網(wǎng)絡(luò)信息系統(tǒng)的安全性。 網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)風(fēng)險(xiǎn)管理制度 在網(wǎng)絡(luò)財(cái)務(wù)風(fēng)險(xiǎn)防范中，硬件設(shè)備和信息技術(shù)是非常重要的，但是再先進(jìn)的設(shè)備和技術(shù)都需要人去操作和掌控。因此，要真正發(fā)揮好這些安全設(shè)備和防范技術(shù)的作用，建立起一整套完善的風(fēng)險(xiǎn)管理制度是非常關(guān)鍵的，否則所有的風(fēng)險(xiǎn)防范方案都只是擺設(shè)。 1．安全管理模型對于網(wǎng)絡(luò)財(cái)務(wù)來說，在管理方案的制定上一般采用的是以安全管理為中心的MPDR模型o MPDR (Management Protection Detection Response,MPDR)模型就是體現(xiàn)主動(dòng)防御思想的安全模型。它以管理為核心平臺。通過這個(gè)核心平臺，各個(gè)安全特性，即防護(hù)( Protection)、檢測(Detection)、響應(yīng)(Response)并不是簡單地以流程或者平面的方式組合在一起，而是互相影響、互相促進(jìn)的oMPDR模型。 (1)安全管理(M)，指以統(tǒng)一的管理安全策略為基礎(chǔ)，控制和協(xié)調(diào)網(wǎng)絡(luò)中部署的防護(hù)、檢測、響應(yīng)模塊，防范和處理安全事件，審計(jì)和分析安全日志，制定和實(shí)施安全管理規(guī)章，完整地實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)。 (2)防護(hù)(P)，指采用一切可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。技術(shù)手段包括網(wǎng)絡(luò)安全、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全訪問控制、口令等保密性和完整性技術(shù)。 (3)檢測(D)，指利用高級技術(shù)提供的工具檢查系統(tǒng)可能存在的由黑客攻擊白領(lǐng)犯罪、病毒泛濫等造成的脆弱性。技術(shù)手段包括病毒檢測、漏洞掃描、入侵檢測、用戶身份鑒別等。 （4)響應(yīng)（R）．指對危機(jī)安全的事件、行為、