第一篇:證券計算機網絡應用安全性分析
證券計算機網絡應用安全性分析
隨著計算機應用進入各行各業,人們的生活對計算機的依賴日趨加重。計算機在國民經濟發展方面變得越來越重要。人們借助計算機網絡,計算機數據庫處理,計算機多媒體等前沿技術實現新型事務處理,新型業務管理及形形色色的生活應用。人對電腦系統的依賴將越來越強。越來越多的信息/數據被存入計算機,越來越多的應用集成在一起,越來越多的計算機連成網絡。技術的公開化/標準化為人們帶來了方便,也帶來了威脅。一旦電腦系統癱瘓,一旦數據被毀滅,網絡/通訊失靈;關鍵業務將出現混亂、停滯,甚至遭受毀滅性的打擊。
計算機的系統安全性、可靠性是人們審核一個計算機處理系統的優劣的重要方面。人們只有確信計算機系統是安全的、可靠的,才肯將最機密、最關鍵的數據交給計算機網絡技術的發展,使計算機系統的協同處理能力迅速增強,也將對計算機安全防范的要求推到了一個全新的高度。
本文根據作者對證券行業計算機應用的了解和調查對證券公司營業部的計算機網絡安全進行了分析,對常見的一些技術問題給出詳細的說明,供證券業的開發商、系統集成商及證券營業部技術人員參考,促進并提高證券網絡應用的安全性。
1. 證券營業部的計算機網絡應用安全性現狀
證券交易是由計算機系統進行撮合、交易的,每個營業部的計算機網絡應用系統為股民提供如下的服務:
行情服務:根據從上海交易所和深圳交易所衛星傳來的行情數據;為股民提供各種信息分析和決策支持服務,利用多元化的方式為股民創造好的信息環境。
交易服務:對注冊股民的股金進行協調管理,幫助/代理股民下單交易,按照股民的意愿完成股民的股票買賣操作,將股民的交易請求發送到交易所進行處理。
隨著證券行業的迅猛發展,多種計算機應用軟件不斷引入到證券網絡應用(例如家庭遠程炒股、Internet炒股、多應用合一等),使得計算機應用服務日趨復雜;相對的,計算機系統的安全性威脅就更大!由于對核心數據訪問途徑增加,趨于復雜;可能留下的安全隱患就會越多越大。
一個典型的計算機劫客可以通過如下方式對證券計算機應用進行破壞:
1、干擾、破壞行情服務系統的正常運行。劫客可以放置假的行情數據以造成股民錯誤的投資傾向,甚至干脆破壞行情服務軟件系統,破壞營業部的聲譽。
2、偷竊、篡改注冊股民的注冊信息和資金信息,對股民的管理/數據信息進行修改;假冒客戶身份進行交易以達到其個人的目的,使股民/營業部遭受巨大的損失。
從最近的一些報道來看,有一些營業部已經發生了計算機應用被外來人員破壞的事件,并造成極為惡劣的影響。目前,所有證券公司及其營業部都已經注意到計算機安全技術涉及的范圍廣,以及各種計算機應用環境對安全方面的考慮不盡完善,使得目前證券業計算機應用存有較大的安全隱患的現狀。
但是,技術設計方面的不完善可以靠規范化的人員管理、規章制度等方面得到補足。正如軍隊需要嚴格的安全體制管理一樣,證券計算機應用的安全性可以通過嚴格的制度、規范的操作等途徑得到增強。技術/設計上的安全保護加上人員、操作上的嚴格管理,才可能將那些惡意的入侵者拒之門外,防患于未然。
2. 對證券營業部的計算機網絡應用安全性的深入分析和建議
營業部證券網絡的模式基本是相同的,即分為行情系統和交易柜面系統。一個典型的證券營業部的結構如下:
證券業計算機網絡應用可分為兩類:一類是營業部柜面業務系統(以下簡稱柜面系統),用于對股民帳戶、資金、交易委托等方面進行綜合管理。這類系統由專門的證券應用開發商或營業部計算機應用人員開發,采用的平臺有NetWare下的Foxpro、Btrieve或基于SQL查詢的DBMS(如Sybase)。另一類應用是股票行情發布和行情分析系統(以下簡稱行情系統),用于為股民提供最新的股票價格信息(大屏)及對股票的歷史數據的分析(走勢圖)。這類應用由專業計算機開發商來開發,多采用基于NetWare的文件共享和網絡廣播信息包的方式。柜面系統有時也需要訪問行情服務器的數據。圖1簡單地表明了證券業應用的結構方式。
在圖1中,S1是柜面服務器,運行NetWare網絡服務操作系統。S1中的數據可能是 Foxpro,Btrieve及Sybase等格式的數據。W1,W2是柜面應用工作站PC,采用相應的數據庫應用系統,完成儲戶帳戶維護,資金管理,股票買賣等工作。S2是行情服務器,運行NetWare操作系統;S2中存放由深交所及上交所傳來的原始數據(該數據由專門的接收站Wr轉入,數據文件格式為Foxbase)及行情應用軟件的處理數據。Wt為行情數據轉換機,它將Wr存入S1的Foxbase數據讀出并加以轉換及分類處理,形成專門的行情數據,例如乾龍系統。同時Wt將某些行情更新信息以網絡廣播形式向外廣播。W3、W4為行情應用工作站,向股民開放。W3,W4通過接收Wt的行情更新數據和讀取服務器內的行情歷史數據,加以分析加工,為用戶提供股票價格更新和“漲跌起伏曲線”等分析信息。
通常來說,營業部對股民服務采用無盤PC;利用DOS映象文件遠程啟動、上網和進行業務處理。同時營業部內部采用有盤站和無盤站對網絡應用進行管理、監控及內部結算/處理。
本文將從下面幾個方面對證券網絡的結構/模式進行分析并給出相應的建議。
1.布線系統,網絡布局。
2.網絡系統的管理。
3.應用系統的管理。
2.1 證券營業部的網絡布局和布線系統的安全性 從業務操作模式和網絡數據流動方式來看,應將證券營業部的網絡布局進行合理化分布,這樣做的好處是:
1、按應用用戶的種類分隔網絡數據的流動
2、便于應用的規劃、安全設置
3、網絡信息的分隔從根本上局限了入侵者的入侵位置
例如:營業大廳內的普通用戶工作站多以“乾龍”行情顯示為主;將所有行情應用的工作站連到同一網段上有利于對行情應用的統一規劃,另外,在行情網段上的入侵者將無法截取其他系統(例如柜臺系統)的信息;使其在行情網段上很難入侵到其他網絡應用。
建議按如下方式配置:
將行情、柜面應用分開,將功能簡單的、只做瀏覽/讀操作的行情應用單分到一起。
將業務服務網與內部系統管理網分開。
網段的分隔不能用switch實現,可以用服務器多塊網卡或采用路由器實現。
有了布線系統的分隔,對網絡應用的高級配置就易于實現了。
例如:將應用編寫/設置成只能在相對應的IPX/IP網絡上運行,這樣限定了應用的使用范圍,可利用網絡系統管理軟件,限制不同網段上可登錄的用戶身份;應用程序也可以將程序限定只在某些網段上才可以運行。
2.2 通過網絡操作系統的安全管理加強系統及應用的安全性。
由于與交易所的數據交換是通過文件形式來操作的,因此,要嚴格地限制對存放這些關鍵數據的權限。例如限定專門用戶、專門的機器及專用的時間段才能合法登錄、訪問關鍵數據(這些選項在NetWare系統中,可以用NWADMIN的目錄管理工具實現)。
另外,NetWare4.11中提供了審計功能,你可以對關鍵用戶,關鍵數據文件進行審計核查;尤其是關鍵用戶帳戶及關鍵目錄由于審計記錄可以由唯一的專門的用戶帳戶進行管理(一個好的帳戶管理機制可以使網絡管理員帳戶〈ADMIN〉不能干預審計用戶的審計操作)。因此,可以由另外一個人掌管審計;由一個人掌管管理員帳戶。在NetWare4.x中ADMIN用戶可以被刪去/改名,通過對每個內部維護工程人員分配獨自的帳戶,可以清楚地記錄每次關鍵操作。
作者接觸了一些證券營業部網絡應用的開發商、集成商及最終用戶,發現有如下技術問題有待及時解決。
用戶不加口令,采用批處理上網。
由于營業部內有大量的無盤工作站,營業部工程師為簡便開機工程,一般對某些帳戶不設置口令而允許無盤站啟動時利用批處理自動注冊上網,自動啟動相應的應用程序,如“乾龍軟件”和“柜臺管理軟件”。如果權限設定有誤的話,一個入侵者可以中斷批處理,登錄上網,改變系統配置/數據文件(例如可以刪除/修改某些文件),甚至注入網絡病毒!這將直接損壞系統,因此應當對每個帳戶設置口令。如果需要自動啟動上網,可以編寫一些批處理或專門的應用程序完成帶口令登錄。
批處理程序可以被中斷
無盤站在啟動過程中,從NetWare服務器上獲取DOS環境啟動DOS,再運行批處理程序(含Login;login Script及其他DOS批處理)。由于DOS系統的特性,批處理可以被用戶鍵盤中斷,網絡數據很容易的裸現在用戶面前。一旦網絡權限或應用權限管理不充分/不準確,惡意的入侵者就可以修改網絡管理權限或修改應用程序/數據。要解決此類問題需要:
避免批處理被中斷(無盤站)
可以開發一個內存駐留程序(驅動),截取相應的按鍵(例如Ctrl-C和Ctrl-break),避免批處理程序被中斷。
要屏蔽DOS啟動前的按鍵(DOS啟動時可以按某些功能鍵,如F5或F8鍵),可以在Config.sys中加入:
SWITCHES = /N
此操作使DOS在啟動Config.sys之前不檢查F5、F8鍵的請求,從而限制了客戶不能中斷DOS的引導過程。
網絡軟件系統的版本:
網絡系統軟件有其自有的安全等級。目前許多用戶采用比較老的3.11和3.12系統,利用Bindery方式上網(Netx),這些系統并沒有加補最新的增補程序,存有一些安全漏洞。例如,入侵者可以偽裝成Supervisor的身份,輕易地進入網絡系統。另外,由于3.x系統的帳戶口號是基于服務器管理,多個NetWare 3.x系統需要重復創建多個帳戶/口令(一般而言,同名,同口令),為惡意入侵者留下更多的機會去獵取口令。NetWare 4.11采用NDS管理,多服務器可以采用一套用戶管理數據,簡化了用戶的管理,同時也在各方面彌補了在3.x中的安全漏洞。目前,NetWare 4.11達到了網絡C2安全驗證,能滿足用戶的安全要求。
另外,NetWare 4.11缺省狀態下開啟了Bindery仿真方式(是為了與原有的3.x客戶軟件/應用兼容),入侵者仍有可能利用Bindery 管理的弱點來攻擊網絡,因此,將客戶端的軟件升級到4.11的NDS登錄,將Bindery仿真關閉(或只在限定的OU或限定的服務器),這樣,有助于提高系統的安全性。
2.3 應用軟件的安全性
目前證券營業部的應用軟件可分為兩類,行情應用和柜面應用。從總的來講,行情應用相對來講對安全性的要求較低,而柜面業務由于涉及股民的股金管理及交易的金額處理,安全性便顯得非常重要。認為行情應用可以撒手不管是錯誤的,因為行情應用與整個應用系統有許多直接的聯系,對行情系統的破壞會波及整個應用系統的各個方面。例如:系統的用戶/口令,系統/用戶的配置文件,播種病毒??。惡意的用戶可以通過行情系統的入侵來設置各種陷阱,收集系統和用戶的信息,并依照這些信息輕易地破壞整個系統。
一般來說,對應用軟件的安全性應從以下幾個方面來考慮。
*應用軟件的安全體系設計
*應用軟件所基于的平臺/技術的安全
*防病毒能力
2.3.1 應用軟件的安全體系設計
應用軟件的設計是安全性因素中的最重要因素。它從應用系統的最高層保證系統的整體安全,一個好的設計可以修改/屏蔽/克服其他底層的安全威脅。例如,應用系統擁有自己的帳戶管理,數據加密,身份驗證和應用/數據維護。由于此類的設計通常牽涉的技術/產品的問題過多和過于復雜,因此應用軟件的設計在安全性的管理方面通常采用所依賴的軟件/技術平臺來幫助應用系統實現安全管理。例如,應用系統可以利用NDS所提供的安全管理手段完成其對用戶的身份驗證,NDS的可擴展特性允許應用程序將應用方面專有的屬性和管理方式嵌入到NDS的管理。由于利用NDS的層次性,面向目標及分布式的計算處理,應用系統除了可以很容易的達到高安全性以外還可以輕而易舉地實現大規模網絡,跨平臺應用及高可靠高容錯等特性。
在柜面交易系統中,每個股民的信息是存放在數據庫里的。目前,廣泛采用的數據庫平臺有以下幾種:
XBASE:沒有用戶管理,文件共享式訪問,對網絡系統的安全管理依賴嚴重,安全漏洞較多。
Btrieve: 無用戶管理,Client/Server,無身份驗證,對網絡系統的安全依賴嚴重,有安全漏洞。
基于SQL:查詢語言的數據庫:有數據庫自身的用戶管理,Client/Server訪問方式,安全漏洞較少。
在以上的幾種數據庫類型中,基于SQL語言的數據庫有其獨到的優勢。在安全性方面,這類數據庫有自己的用戶管理機制,采用Client/Server結構也使得客戶機只通過數據通信協議與數據庫打交道,這樣客戶機無法通過文件訪問的方法篡改應用數據,因而從一定意義上保證了網絡數據庫的安全。
另外,由于技術的原因,目前股民的帳戶信息是由應用開發商自行維護的。下面對典型的計算機處理和業務操作過程進行分析,闡明可能存在的安全隱患:
1、用戶的創建:用戶ID和口令字由應用軟件自行管理。
由應用程序自行管理股民的ID和口令字。由于帳戶的管理是一門很嚴謹的系統,一個好的安全帳戶管理系統需要很好的設計、實現與技術保障;如果系統的帳戶管理有欠缺則極容易被人破譯和入侵。Novell的安全管理可以幫助應用程序確認用戶的身份和口令,通過 NDS的擴展接口,應用程序可以達到令人滿意的安全等級。
2、用戶信息入庫:建立用戶信息(包括股金管理信息),存放在集中的數據庫里。
用戶信息存放在集中的數據庫里,這對用戶數據庫是一項挑戰,必須避免用戶直接訪問該數據的文件。對數據庫文件的任何惡性操作都會造成嚴重的傷害,應采取嚴格的文件權限管理,對所有操作記錄;同時應選擇更安全的數據庫系統,利用Client/Server或Client/Middle Server/Sever等多層結構完成信息的處理。目前,NetWare + Oracle 8是一個非常強健的安全的Client/Server系統,用戶可以用NDS登錄NetWare和Oracle,通過IPX或IP連接到Oracle數據庫
3、用戶操作:用戶提供了個人信息后(鍵盤、刷卡操作等),應用系統對用戶身份進行驗證,計算機進行下單操作。
用戶進行身份驗證,要保證該用戶身份密碼不被泄漏(這要求高級加密技術,例如RSA),也要保證用戶在操作過程中不被人侵權或假冒身份。目前有些證券應用系統對股民身份的驗證過程較簡單,股民操作對應的計算機用戶身份的防偽技術也較差,因此最容易使黑客進行攻擊。在NetWare4.1中,采用RSA技術進行公鑰加密身份驗證,對網絡上發出的信息包進行防偽識別,排除了此類入侵的可能性(注意,NetWare3.x沒有此類功能)。應用程序可以利用NDS的優勢方便地實施其自身的身份驗證。例如,應用程序可以利用NDS的接口將股民的身份驗證轉給NDS系統;NDS身份驗證完成以后,應用程序就可以認可股民的身份,這些驗證操作將是安全的。
4、數據操作:數據庫應用軟件通過網絡計算(文件共享、Client/Server)等方式進行數據綜合。
數據通過網絡傳輸時,有可能被別人在網上偷聽。最好在應用程序里對要存放的數據進行加密,這樣網上偷聽/截取的將是一些廢碼。選擇的網絡工具要盡可能支持數據完整性驗證,在確保數據不被偷聽的同時,保證在網上的數據不被人篡改。
5、操作上傳:將用戶請求及數據上傳交易所(文件形式)。
上傳的數據是從柜面應用系統中對發生交易的數據信息進行總結形成的Foxbase格式的數據,該數據庫文件放在NetWare服務器上,作為隊列等待上傳,由專門的傳輸工作站從隊列里讀出,發送到交易所,最后再從隊列里清除該上傳數據。
因此,該Foxbase文件的創建,存放和清除都有可能被侵犯。一個不安全的網絡權限分配或一個受侵犯的NetWare服務器都有可能使入侵者有能力自行創建、存放、修改和復制所需上傳的隊列文件,一旦此文件傳至交易所并完成交易,股民、營業部都將會受到嚴重的損失。
為避免此類事件的發生,可以采取如下的技術手段:
修改數據上傳的格式;對要上傳的數據進行加密及完整性校驗信息,這樣能夠保證處理的正確性和防止欺騙。但這要求對整個信息處理模式進行改造,周期長,難度大。
嚴格限制網絡文件系統的權限。可以單獨設置網絡帳戶來處理該上傳隊列的文件,只有該帳戶可以讀寫此隊列目錄,并且只有有限的工作站(MAC地址)能夠以此帳戶登錄。
修改柜面系統的數據上傳處理流程,加入加密機制和數字簽名機制,縮小受侵犯的范圍。
6、操作驗證:交易所傳回的對用戶交易請求的處理結果。
此類數據為確認信息,入侵者可以篡改此信息造成系統的混亂。
病毒的防護:
計算機病毒是計算機系統安全的另一天敵,一個惡意的攻擊性病毒可以造成系統性能減退或造成系統癱瘓。更可怕的是一個計算機病毒可以竊取計算機系統的安全信息或潛伏在系統中“臥底”,隨時“出山”攻擊系統。
一個病毒可以從以下的方面攻擊:
通過鍵盤截取方法獲得口令字
偽裝成登錄程序/用戶界面,騙取用戶的口令
為入侵者做“內應”,在安全性方面留“后門”
破壞系統程序,造成系統癱瘓
破壞應用程序,造成應用系統出錯
破壞數據、改變、增加或刪除數據信息,造成系統紊亂
增加網絡系統負擔,降低服務器/工作站性能,增加網絡流量
播放錯誤導向信息或其它錯誤信息,影響股民決策
從實際操作來看,一個病毒難以同時實現上述各項攻擊,但是,惡意的攻擊者可以利用多種攻擊工具,由淺入深,一步一步的實現對系統的攻擊。
嚴格周密的文件系統管理和權限管理能有效的防止病毒入侵。Novell公司提供了ManageWise網絡管理軟件,除了能對網絡進行全面的管理以外,還具有防病毒和殺病毒的功能。ManageWise可以在文件服務器上以NLM方式查找和刪除病毒,也提供了客戶機端的查病毒與殺病毒的程序。
第二篇:論計算機網絡的安全性設計
論計算機網絡的安全性設計
? 本文將介紹我在網絡安全性和保密性方面所采取的一些方法和策略,主要包括網絡安全隔離、網絡邊界安全控制、交叉病毒防治、集中網絡安全管理等,同時分析了因投入資金有限,我公司網絡目前仍存在的一些問題或不足,并提出了一些改進辦法。
摘要:
我在一家證券公司信息技術部門工作,我公司在2002年建成了與各公司總部及營業網點的企業網絡,并已先后在企業網絡上建設了交易系統、辦公系統,并開通了互聯網應用。因將對安全要求不同、安全可信度不同的各種應用運行在同一網絡上,給黑客的攻擊、病毒的蔓延打開了方便之門,給我公司的網絡安全造成了很大的威脅。
作為信息技術中心部門經理及項目負責人,我在資金投入不足的前提下,充分利用現有條件及成熟技術,對公司網絡進行了全面細致的規劃,使改造后的網絡安全級別大大提高。本文將介紹我在網絡安全性和保密性方面采取的一些方法和策略,主要包括網絡安全隔離、網絡邊界安全控制、交叉病毒防治、集中網絡安全管理等,同時分析了因投入資金有限,針對我公司網絡目前仍存在的一些問題或不足,提出一些改進辦法。
正文:
我在一家證券公司工作,公司在2002年就建成了與各公司總部及營業網點的企業網絡,隨著公司業務的不斷拓展,公司先后建設了集中報盤系統、網上交易系統、OA、財務系統、總部監控系統等等,為了保證各業務正常開展,特別是為了確保證券交易業務平臺的實時高效,公司已于2008年已經將中心至各營業部的通訊鏈路由初建時的主鏈路2M的DDN和備份鏈路128K ISDN,擴建成鏈路為10M 光纜作為主鏈路和2M的DDN作為備鏈路,實現了通訊線路及關鍵網絡設備的冗余,較好地保證了公司業務的需要。并且隨著網上交易系統的建設和網上辦公的需要,公司企業網與互聯網之間建起了橋梁。
改造前,應用系統在用戶認證及加密傳輸方面采取了相應措施,如集中交易在進行身份確認后信息采用了Blowfish 128位加密技術,網上交易運用了對稱加密和非對稱加密相結合的方法進行身份認證和數據傳輸加密,但公司辦公系統、交易系統、互聯網應用之間沒有進行安全隔離,只在互聯網入口安裝了防火墻,給黑客的攻擊、病毒的蔓延打開了方便之門。
作為公司信息技術中心運保部經理,系統安全一直是困擾著我的話題,特別是隨著公司集中報盤系統、網上交易系統的建設,以及網上辦公需要,網絡安全系統的建設更顯得猶為迫切。但公司考慮到目前證券市場疲軟,競爭十分激烈,公司暫時不打算投入較大資金來建設安全系統。
作為部門經理及項目負責人,我在投入較少資金的前提下,在公司可以容忍的風險級別和可以接受的成本之間作出了取舍,充分利用現有的條件及成熟的技術,對公司網絡進行了全面細致的規劃,并且最大限度地發揮管理功效,盡可能全方位地提高公司的網絡安全水平。在網絡安全性和保密性方面,我采用了以下技術和策略:
1、將企業網劃分成交易網、辦公網、互聯網應用網,進行網絡隔離。
2、在網絡邊界采取防火墻、存取控制、并口隔離等技術進行安全控制。
3、運用多版本的防病毒軟件對用戶系統交叉殺毒。
4、制定公司網絡安全管理辦法,進行網絡安全集中管理。
一、網絡安全隔離 為了達到網絡互相不受影響,最好的辦法是將網絡進行隔離,網絡隔離分為物理隔離和邏輯隔離,我主要是從系統的重要程度即安全等級考慮劃分合理的網絡安全邊界,使不同安全級別的網絡或信息媒介不能相互訪問或有控制的進行訪問。
針對我公司的網絡系統的應用特點把公司證券交易系統、業務辦公系統之間進行邏輯分離,劃分成交易子網和辦公子網,將互聯網應用與公司企業網之間進行物理隔離,形成獨立的互聯網應用子網。公司中心與各營業部之間建有兩套網絡,中心路由器是兩臺CISCO7206,營業部是兩臺CISCO2612,一條通訊鏈路是聯通10M光纜,一條是電信2M DDN,改造前兩套鏈路一主一備,為了充分利用網絡資源實現兩條鏈路的均衡負載和線路故障的無縫切換,子網的劃分采用VLAN 技術,并將中心端和營業部端的路由器分別采用兩組虛擬地址的HSRP技術,一組地址對應交易子網,一組地址對應辦公網絡,形成兩個邏輯上獨立的網絡。改造后原來一機兩用(需要同時訪問兩個網絡信息)的工作站采用雙硬盤網絡隔離卡的方法,在確保隔離的前提下實現雙網數據的安全交換。
二、網絡邊界安全控制
網絡安全的需求一方面要保護網絡不受破壞,另一方面要確保網絡服務的可用性。將網絡進行隔離后,為了能夠滿足網絡內的授權用戶對相關子網資源的訪問,保證各業務不受影響,在各子網之間采取了不同的存取策略。
(1)互聯網與交易子網之間:為了保證網上交易業務的順利進行,互聯網與交易子網之間建有通訊鏈路,為了保證交易網不受互聯網影響,在互聯網與中心的專線之間安裝了NETSCREEN防火墻,并進行了以下控制:
a)只允許股民訪問網上交易相應地址的相應端口。
b)只允許信息技術中心的維護機地址PING、TELNET委托機和路由器。c)只允許行情發送機向行情主站上傳行情的端口。
d)其他服務及端口全部禁止。
并且在互聯網和交易網之間還采用了SSL并口隔離,進一步保證了交易網的安全。
(2)交易網和辦公網之間:對于辦公網與交易網之間的互訪,采用CISCO2501路由器進行雙向控制或有限訪問原則,使受控的子網或主機訪問權限和信息流向能得到有效控制,采用的策略主要是對具體IP進行IP地址與MAC地址的綁定。
(3)辦公子網與互聯網之間:采用H3C SecPath 500F硬件防火墻,并進行了以下控制:
a)允許中心上網的地址訪問互聯網的任何地址和任何端口。
b)允許股民訪問網上交易備份地址的8002端口。
c)允許短消息訪問公司郵件110、25端口,訪問電信SP的8001端口。d)其他的都禁止。
三、病毒防治
網絡病毒往往令人防不勝防,盡管對網絡進行網絡隔離,但網絡資源互防以及人為原因,病毒防治依然不可掉以輕心。因此,采用適當的措施防治病毒,是進一步提高網絡安全的重要手段。我分別在不同子網上部署了能夠統一分發、集中管理的賽門鐵克SEP11.0網絡病毒防護軟件,并同時購置單機版的江民和瑞星防病毒軟件進行交叉殺毒;限制共享目錄及讀寫權限的使用;限制網上軟件的下載和禁用盜版軟件;軟盤數據和郵件先查毒后使用等等。
四、集中網絡安全管理
網絡安全的保障不能僅僅依靠安全設備,更重要的是要制定一個全方位的安全策略,在全網范圍內實現統一集中的安全管理。在網絡安全改造完成后,我制訂了公司網絡安全管理辦法,主要措施如下:
1)多人負責原則,每一項與安全有關的活動,都必須有兩人或多人在場,并且一人操作一人復核。
2)任期有限原則,技術人員不定期地輪崗。
3)職責分離原則,非本崗人員不得掌握用戶、密碼等關鍵信息。
4)營業部進行網絡改造的方案必須經過中心網絡安全小組審批后方可實施。
5)跨網互訪須綁定IP及MAC地址,增加互訪機器時須經過中心批準并進行存取控制設置后方可運行。
6)及時升級系統軟件補丁,關閉不用的服務和端口等等。
保障網絡安全性與網絡服務效率永遠是一對矛盾體,在計算機應用日益廣泛的今天,要想網絡系統安全可靠,勢必會增加許多控制措施和安全設備,從而會或多或少的影響使用效率和使用方便性。如,我在互聯網和交易網之間設置了防火墻的前提下再進行了SSL并口隔離后,網上交易股民訪問交易網的并發人數達到一定量時就會出現延時現象,為了保證股民交易及時快捷,我只好采用增加通訊機的辦法來消除交易延時問題。
在進行網絡改造后,我公司的網絡安全級別大大提高。但我知道安全永遠只是一個相對概念,隨著計算機技術不斷進步,有關網絡安全的討論也將是一個無休無止的話題。審視改造后的網絡系統,我認為盡管我們在Internet的入口處部署了防火墻,有效阻擋了來自外部的攻擊,并且將網絡分成三個子網減少了各系統之間的影響,但在公司內部的訪問控制以及入侵檢測等方面仍顯不足,如果將來公司投資允許,我將在以下幾方面加強:
1、在中心與營業部之間建立防火墻,通過訪問控制防止通過內網的非法入侵。
2、中心與營業部之間的通訊,采用通過IP層加密構建證券公司虛擬專用網(VPN),保證證券公司總部與各營業部之間信息傳輸的機密性。
3、建立由入侵監測系統、網絡掃描系統、上網行為管理設備、系統掃描系統、信息審計系統、集中身份識別系統等構成的安全控制中心,作為公司網絡監控預警系統。
4、進一步完善網絡安全管理制度,并加以落實和監管。
第三篇:計算機網絡及應用第四章
第四章
1、無線局域網的特點
? 無線局域網—無線以太網—WiFi
? 利用空間無線電波作為傳輸介質
? 結點可以是固定的、也可以移動的? 不需鋪設線纜,安裝簡單、使用靈活、易擴展
? 技術標準:
IEEE 802.11:2Mbps
IEEE 802.11b: 11Mbps
IEEE 802.11a: 54Mbps
IEEE 802.11g: 54Mbps
IEEE 802.11n: 300Mbps2、無線傳輸
? 信號衰減:信號在無線傳輸介質中的衰減速度比有線傳輸介質大;信號穿過不同物體時的衰減速度不相同。
? 易受干擾:相同頻段相互干擾:802.11b/g和2.4GHz無繩電話;無線信號更易受到電磁噪聲干擾。
? 具有多徑傳播特性:由于障礙物形成的反射,無線信號在發送方和接收方之間穿越多條路徑,接收方接收的疊加信號模糊不清;發送方與接收方之間移動物體,多徑傳播對接收信號的影響更大。
3、基本服務集與擴展服務集、組網設備
? 基本服務集BSS—獨立基本服務集IBSS:IBSS中不存在中心結點,各無線結點地位平等,數據勿需經中間結點轉發。
? 基本服務集BSS—帶AP基本服務集:AP是BSS的中心結點,結點間的信息須由AP轉發;BSSID:AP的48位MAC地址(即該BSS由AP代表);基礎設施無線局域網:利用AP組建;安全性和可靠性較高,可實現無線網絡與其他網絡(包括有線網絡)的互聯;適用環境:辦公自動化等領域;基于AP的無線局域網是最常見的無線局域網組網模式。
? 擴展服務集ESS:ESS由多個帶有AP的基本服務集通過分布式系統連接而成;基于ESS無線局域網屬基礎設施的無線局域網;如果ESS中BSS的覆蓋區域相互交疊,那么無線站點在ESS中移動時不會失去連接。? 組網所需的器件和設備:無線網卡、天線。
4、無線信道、訪問機制、幀結構
? 無線信道:將使用的頻帶范圍劃為多個子頻帶;子頻帶被稱為信道;提高通信效率,減少無線局域網之間的相互干擾。
? 訪問機制:
? 幀結構:
5、無線局域網標準
第四篇:計算機網絡及應用 教案
課題:計算機網絡及應用
一、教材分析
本課選自川教版信息技術教材八年級下冊第一課的內容。網絡已經深入我們的生活,了解“什么是網絡”及網絡的功能有助于我們更好地使用網絡。通過前面的學習同學們已經知道計算機的不斷發展是為了滿足社會的需要,同樣的道理,計算機網絡也要不斷的發展。本課從什么是網絡、計算機網絡的發展歷程以及網絡的功能幾個方面對網絡進行了分析與解釋,為后面的課程的學習打下基礎。
二、學情分析
教學對象是樂山是實驗中學八年級的學生。同學們對“網絡”并不陌生,比如經常會瀏覽網頁、利用QQ通信等,但是更多的同學會把它的概念縮小理解為“互聯網”,因此,這節課首先就是要讓學生能夠了解什么是網絡。可以利用學生們已有的上網經驗來激發學生學習本課的興趣。
三、教學目標
1、了解計算機網絡的概念、發展、功能及分類。
2、根據網絡的概念及組成要素,知道組建網絡要做哪些事。如果身邊碰巧有這種需要,自己可以參與其中。
3、通過對生活中不同網絡類型的介紹,激發學生的興趣,并且能恰當地將身邊的一些網絡進行歸類。
四、教學重、難點
重、難點同為:計算機網絡的分類及功能
五、教學環境
普通教室
六、教學過程
1、導入
這是春節開學后的第一次課,可以先問問同學們春節了都做了些什么。其中必不可少的一件事就是給親友送祝福了。問大家在用郵箱發新年賀卡的時候有沒有想過它是通過什么傳送的對方的郵箱的呢?可能部分同學會想到網絡,以此導入新課。
2、什么是計算機網絡
先讓同學們說說他們理解的網絡是什么樣的。絕大多數同學可能都會把網絡與英特網劃上等號,先不告訴他們對錯。在講完計算機網絡的概念以及它必須具備的基本要素之后,再讓同學們討論:網絡與英特網是不是等同的。這樣同學們就比較容易理清楚網絡與英特網是一種包含與被包含的關系。
3、計算機網絡的發展歷程
大家都知道電子計算機的不斷發展是為了滿足社會的需求,同樣的道理,這也是促進計算機網絡發展的一個至關重要的原因。接著就以社會的發展需求為主線來介紹計算機網絡發展的四個階段。
4、計算機網絡的分類
借助大家熟悉的校園網、英特網等的特點讓學生理解不同類型的網絡
5計算機網絡的主要功能
先讓同學們討論大家平時都借助于網絡做了些什么,并對他們的所提到的功能進行分類。對于同學們沒提到的方面著重講解。
第五篇:食品包裝安全性分析
食品包裝安全性分析
摘要:近年來,由于受對外貿易中技術壁壘的限制,我國出口食品因包裝質量問題頻遭國外封殺,造成嚴重的經濟損失,食品包裝材料的安全性問題面臨嚴峻挑戰。我國是食品包裝材料生產和使用大國,國家對食品包裝材料的生產和使用都有嚴格的規定;然而,在我國使用有毒有害物質的違規行為非常嚴重。本文分析了我國食品包裝材料的安全現狀,以及所面臨的主要問題,并探討了我國食品包裝材料的解決對策。
關鍵詞:食品包裝、現狀與問題、對策
一、食品包裝的定義
食品包裝是食品商品的組成部分。食品工業過程中的主要工程之一。它保護食品,使食品在離開工廠到消費者手中的流通過程中,防止生物的、化學的、物理的外來因素的損害,它也可以有保持食品本身穩定質量的功能,它方便食品的食用,又是首先表現食品外觀,吸引消費的形象,具有物質成本以外的價值。因此,食品包裝制程也是食品制造系統工程的不可分的部分。但食品包裝制程的通用性又使它有相對獨立的自我體系【1】。
二、安全現狀與存在的問題
2.1食品包裝材料自身缺陷帶來的危害
目前人們普遍使用的食品包裝材料主要分為塑料類、金屬類、和紙(殼)類等。塑料是使用最廣泛的食品包裝材料。塑料屬于高分子聚合物,在聚合合成工藝中會有一些單體殘留和一些低分子量物質溶出【2】。為了改善塑料的加工性能和使用性能,在其生產過程中需要加入一些添加劑(如穩定劑、潤滑劑、著色劑、抗靜電劑、可塑劑等加工助劑)。上述物質在一定條件下,會從聚合物材料向接觸的食品中遷移而污染食品。
金屬包裝材料化學穩定性差,特別是包裝酸性內容物時,金屬離子極易析出而影響食品風味,一般需要在金屬容器的內、外壁施涂涂料,內壁涂層中的化學污染物會向內容物遷移污染食品,外壁含苯的涂料和油墨也會滲透而污染內容物。
紙制品是一種傳統的食品包裝材料,在食品包裝中占有相當重要的地位。紙包裝的安全問題主要來自于造紙過程中加入的添加劑,或原料本身的不清潔,或采用霉變甚至使用回收廢紙作為原料【3】。
2.2包裝材料生產不規范帶來的危害
目前我國食品包裝生產企業近6 000余家,規模和產品質量良莠不齊。小型企業占相當大的比例,目前僅就塑料袋的生產,全國90%的企業都是小企業,從業人員素質偏低和技術水平落后等問題比較突出【4】。有些企業為降低成本,使用劣質原材料,甚至非法使用回收的廢舊塑料;在一次性塑料餐飲具生產中,使用工業級碳酸鈣、滑石粉、石蠟等有毒有害原輔材料;或加入有毒色母料把產品染成黃色,還堂而皇之地標上“可降解”字樣;或加入有致癌作用的熒光增白劑掩蓋雜質。
此外,我國大部分食品生產企業實行外購包裝制品,而生產包裝制品的企業通常是通用型企業,其生產環境和衛生條件難以保證產品的安全性。同時,現在絕大多數食品企業不允許包裝企業在產品上打上自己的標志,公眾無法監督,包裝企業又多以成本高低來決定購買加工材料,從而造成食品安全隱患。
2.3食品包裝安全監管薄弱
在我國盡管食品包裝材料有相應的法律法規(《中華人民共和國食品安全法》)和衛生標準。但是受食品安全管理體制和政府職能分工的限制,目前的法律體系并沒有得到較高水平的貫徹執行。監管缺乏依據,缺乏技術支撐。相對于食品本
【5】身的安全監管來說,我國食品包裝安全監管明顯薄弱,甚至存在“監管盲區”。我國要求食品生產企業必須獲得生產許可,但在包裝企業中,卻缺乏有效的準入和管理機制。目前只制定了《食品用塑料及紙制品的包裝、容器、工具等制品市場準入強制生產許可(QS)認證》,實行了市場準入制度。而陶瓷、玻璃、金屬、橡膠、竹制品等食品包裝材料,大部分仍未實行市場準入制度。更令人憂慮的是,即使對被納人市場準入制度的食品容器、包裝產品也未能做到嚴格地“許可”后續監管。
2.4包裝材料的標準和檢測方法亟待健全完善
由于各種因素的影響,我國對食品包裝材料的管理相對滯后,部分食品容器、包裝材料及加工助劑的標齡較長,檢測項目相對較少,嚴重制約了行業的健康發展。許多成分和新產品缺乏相應的標準和檢測方法,導致包裝材料中的有害成分得不到有效控制。在復合包裝材料生產中,廣泛使用的油墨和膠粘劑,目前還沒有衛生標準和全國統一的產品標準【6】。隨著一些新型的食品包裝材料的層出不窮,亟待標準的制定、修訂和更新,并完善新材料的安全性評價程序和評價機制。
三、對策
3.1制定和完善法規
通過有關法規的制定和對廣大食品生產者和消費者的教育和引導,使人們充分認識到綠色包裝可以改善人類的生存環境,確保綠色包裝行業的健康、持續發展。
3.2加強對新型材料的研究
大力推廣現代包裝新技術取代傳統包裝工藝是確保獲取綠色包裝的有效方法。例如,采用電子分色、電子雕刻取代落后照相凹版制作工藝,避免了因腐蝕液排放而危害環境衛生。在食品包裝工藝上大力推廣使用公害小、污染小的“綠色”印刷材料,有著重要的現實意義。3.3積極引進、吸收國外成熟技術
對綠色食品進行適度包裝,積極推廣“無包裝”、“減包裝”及局部包裝。美國頒布了《包裝和包裝廢棄物限制法》,日本頒布了《商品禮盒包裝適當化綱要》,還有一些國家明確規定了包裝費用應控制在商品價格的15%以內【7】。盡量使用同一材料,減少材料種類。盡量使用同一材料進行設計,不是限制包裝設計的多樣性,而主要是出于方便回收的考慮。采用可拆卸化、易壓縮、折疊的設計。在設計包裝物的結構時,應考慮可拆卸、易壓縮、易折疊,使之更便于運輸和回收。建立先進的回收系統,從而做到節約能源與資源。3.4加強設計識別
綠色包裝與綠色食品密不可分,綠色包裝在對綠色食品的包裝過程中不僅是對材料、功能的要求,同時對包裝外觀的識別也有明確規定。環保部門對綠色包裝的外觀要求必須是“五位一體”:綠色食品、綠色食品字樣、編碼、防偽激光標簽和認證單位。消費者在購買綠色食品時依據其外包裝上的上述5項標準即可確定所購商品是否為真正的綠色商品【8】。由于各方面的原因,對綠色食品生產企業的產品包裝沒有統一的要求,大部分綠色食品沒有采用綠色包裝,有些甚至使用有毒、有害物質做包裝。綠色包裝已成為我國商品進入國際市場的障礙,因此,在我國包裝行業推廣“綠色包裝”,勢在必行。
總結:
隨著科技的不斷發展,食品包裝材料的研究與開發也越來越“以人為本”,想著健康環保的方向發展。隨著國家政策的調整以及消費觀念的改變,借鑒發達國家的經驗,我國的相關制度越來越完善,廣大消費者對食品包裝材料安全性的認識也越來越深入。從長遠的角度看,社會環境需要食品產業的高安全性,因此,作為食品生產最后環節的包裝材料的安全也成為重中之重。我們應當清楚目前所面臨的困境,同時也應該對未來充滿期望和信心。
參考文獻:
[1]《中華人民共和國食品安全法》
[2] 劉浩 趙笑虹.食品包裝材料安全性分析.中國食物與營養,2009 [3] 黃大川.食品包裝材料對食品安全的影響及預防措施探討.食品工業科技,2007,4:188 [4] 梁燕君.注意食品包裝材料的安全性.勞動保護雜志2002,(1):32 [5] 郭恒斌 曾慶祝 王雅卿.食品包裝材料的安全性及其對策.現代食品科技,2006 [6] 章建浩主編食品包裝大全.中國輕工業出版社,2000 [7] 唐志祥.包裝材料與實用包裝技術.化學工業出版社,1996 [8] 章建浩.食品包裝學.中國農業出版社2002
點擊咨詢 