安全問題論文匯總十篇

時間：2023-03-22 17:32:59

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇安全問題論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

安全問題論文

篇（1）

一、信息化的內涵、信息資源的性質及信息的安全問題

“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展，信息化已成為各國社會發展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質，主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統的不安全性，給國家的信息化建設帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：

一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點，從網絡架到協議以及操作系統等都具有開放性的特點，通過網絡主體之間的聯系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。

二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統，造成了病毒極易滋生和傳播，從而導致信息危害。

三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為，而網絡環境下的安全問題常常表現為一種技術對抗，對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷，等等。

二、我國信息化中的信息安全問題

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國的信息化仍然存在不安全問題。

1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。3、我國基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊，國內也有部分人利用系統漏洞進行網絡犯罪，例如傳播病毒、竊取他人網絡銀行賬號密碼等。

5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。

造成以上問題的相關因素在于：首先，我國的經濟基礎薄弱，在信息產業上的投入還是不足，尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

除此之外，我國目前信息技術領域的不安全局面，也與西方發達國家對我國的技術輸出進行控制有關。

三、相關解決措施

針對我國信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

1、加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

2、發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業，應大力培養信息安全專業人才，建立信息安全人才培養體系。

篇（2）

當今許多的企業都廣泛的使用信息技術，特別是網絡技術的應用越來越多，而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時，因為計算機網絡特有的開放性，企業的網絡安全問題也隨之而來，由于安全問題給企業造成了相當大的損失。因此，預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。

一、網絡安全問題

在實際應用過程中，遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題，它的劃分大體上可以分為內網和外網。如下表所示：

由上表可以看出，外部網的安全問題主要集中在入侵方面，主要的體現在：未授權的訪問，破壞數據的完整性，拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網，同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查，在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在：物理層的安全，資源共享的訪問控制策略，網內病毒侵害，合法用戶非授權訪問，假冒合法用戶非法授權訪問和數據災難性破壞。

二、安全管理措施

綜合以上對于網絡安全問題的初步認識，有線中心采取如下的措施：

（一）針對與外網的一些安全問題

對于外網造成的安全問題，使用防火墻技術來實現二者的隔離和訪問控制。

防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。

防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信；用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，從而保護內部網絡操作環境。所以，安裝防火墻對于網絡安全來說具有很多優點：（1）集中的網絡安全；（2）可作為中心“扼制點”；（3）產生安全報警；（4）監視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此，中心選用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一種基于主機的實時入侵檢測產品，一旦發現對主機的入侵，RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵，同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能，可以將服務器不開放的端口進行偽裝，進一步迷惑可能的入侵者，提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品，在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后，除了可以及時切斷攻擊行為之外，還可以動態地調整防火墻的防護策略，使得防火墻成為一個動態的、智能的防護體系。

通過部署入侵檢測系統，我們實現了以下功能：

對于WWW服務器，配置主頁的自動恢復功能，即如果WWW服務器被攻破、主頁被纂改，系統能夠自動識別并把它恢復至事先設定的頁面。

入侵檢測系統與防火墻進行“互動”，即當入侵檢測系統檢測到網絡攻擊后，通知防火墻，由防火墻對攻擊進行阻斷。

（二）針對網絡物理層的穩定

網絡物理層的穩定主要包括設備的電源保護，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中，所有的機箱都必須有接地的設計，在機房安裝的時候必須按照接地的規定做工程；對于供電設備，也必須做好接地的工作。這樣就可以防止靜電對設備的破壞，保證了網內硬件的安全。

（三）針對病毒感染的問題

病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件，（例如：SymantecAntivirus等）并控制寫入服務器的客戶端，網管可以隨時升級并殺毒，保證寫入數據的安全性，服務器的安全性，以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。

（四）針對應用系統的安全

應用系統的安全主要面對的是服務器的安全，對于服務器來說，安全的配置是首要的。對于本中心來說主要需要2個方面的配置：服務器的操作系統（Windows2003）的安

全配置和數據庫（SQLServer2000）的安全配置。1．操作系統（Windows2003）的安全配置

（1）系統升級、打操作系統補丁，尤其是IIS6.0補丁。

（2）禁止默認共享。

（3）打開管理工具-本地安全策略，在本地策略-安全選項中，開啟不顯示上次的登錄用戶名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帳號，并給guest加一個異常復雜的密碼。

（6）關閉不必要的端口。

（7）啟用WIN2003的自身帶的網絡防火墻，并進行端口的改變。

（8）打開審核策略，這個也非常重要，必須開啟。

2．數據庫（SQLServer2000）的安全配置

（1）安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。

（2）使用安全的密碼策略

。設置復雜的sa密碼。

（3）在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。

（4）使用操作系統自己的IPSec可以實現IP數據包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網絡管理員還要準備一些針對網絡監控的管理工具，通過這些工具來加強對網絡安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協議的探測工具。

Ipconfig/winipcfg，查看和修改網絡中的TCP/IP協議的有關配置，

Netstat，利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況，用戶或網絡管理人員可以得到非常詳盡的統計結果。

SolarWindsEngineer''''sEditionToolset

另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛，涵蓋了從簡單、變化的ping監控器及子網計算器（Subnetcalculators）到更為復雜的性能監控器何地址管理功能。”

SolarWindsEngineer''''sEditionToolset的介紹：

SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫，包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition還增加了新的SwitchPortMapper工具，它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器（NetworkPerformanceMonitor），以及其他附加網絡管理工具。

SnifferPro能夠了解本機網絡的使用情況，它使用流量顯示和圖表繪制功能在眾多網管軟件中最為強大最為靈活；它能在于混雜模式下的監聽，也就是說它可以監聽到來自于其他計算機發往另外計算機的數據，當然很多混雜模式下的監聽是以一定的設置為基礎的，只有了解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。

除了上面說的五個措施以外，還有不少其他的措施加強了安全問題的管理：

制訂相應的機房管理制度；

制訂相應的軟件管理制度；

制訂嚴格的操作管理規程；

篇（3）

二、企業如何開展檔案安全管理工作

（一）樹立檔案安全管理意識

檔案安全意識是做好檔案安全管理、確保檔案安全的前提。不論是檔案管理人員，還是企業領導、員工，都必須具有檔案安全意識，才能確保檔案安全。檔案安全意識淡泊是個普遍存在的問題。為保證企業利益和企業檔案安全，企業需要樹立檔案安全管理理念和安全管理意識。當前樹立檔案管理安全意識顯得非常緊迫和重要，通過安全管理教育和培訓可以提高檔案管理工作人員和相關人員的檔案安全管理意識。企業可以充分利用企業電視、內部報刊、門戶網站、企業通告通知、企業會議等多種途徑，開展檔案安全管理敦育，樹立和增強檔案安全管理意識。在開展安全管理意識教育和培訓的同時，還可以通過積極開展規范化、制度化的實戰演練，提高安全管理技能和安全管理效率。

（二）加強檔案安全日常管理

首先必須建立一套完整的檔案安全日常管理制度，包括檔案安全管理責任制、庫房保管制度、庫房溫濕度管理制度、檔案出入庫制度、檔案利用制度、檔案保密制度、值班制度等，并嚴格按制度執行。其次，建立完善的檔案安全管理工作臺帳，包括保管情況檢查記錄、環境安全檢查記錄、防火安全檢查記錄、庫內外溫濕度記錄、檔案移交登記、檔案出入庫登記、檔案借閱登記、值班記錄等原始臺帳，并對各種原始臺帳進行統計分析，總結規律，再用于指導檔案安全管理工作，提高檔案安全管理工作水平。第三，進行檔案安全的全過程管理，將檔案安全管理從保管環節，延伸到形成、積累、收集、整理、鑒定、利用等環節，將檔案安全管理落實到檔案管理工作的全過程。第四，加強檔案庫房日常管理，定時開關設備、電源、門窗，定期檢查電源線路、設備、消防器材、防蟲藥品，做好各項檢查記錄，保持庫內外環境清潔，及時消除檔案安全隱患。

（三）建立健全安全管理制度

安全管理制度的建立和完善是企業檔案安全管理的制度保證。為保證企業檔案安全管理工作的順利進行，制定相應的企業檔案安全管理制定非常必要。企業工作人員尤其是檔案管理工作人員應該熟知安全管理制度，并在安全管理制度的指導下有序開展安全管理工作。

（四）建立和健全安全管理預案

篇（4）

1．旅游安全問題的類型及內容

1.1旅游安全問題的類型主要包括輕微事故，一般事故，重大事故，特大事故。

（1）輕微事故：是指一次事故造成旅游者輕傷或經濟損失在1萬元以下者。

（2）一般事故：是指一次事故造成旅游者重傷或經濟損失在1萬至10萬(含1萬)元者。

（3）重大事故：是指一次事故造成旅游者殘廢或旅游者重傷致殘，或經濟損失在10萬至loo萬元(含10萬元)者?！吨卮舐糜伟踩鹿侍幚沓绦蛟囆修k法》補充規定：“涉外旅游住宿、交通、游覽、餐飲、娛樂、購物場所火災及其他惡性事故”、“造成海外旅游者人身重傷、死亡的事故”也屬重大事故。

（4）特大事故：是指一次事故造成旅游者死亡多名，或經濟損失在100萬元以上，或性質特別嚴重，產生重大影響者。

2.旅游安全主要的問題

1.1旅游者對自身安全意識淡薄

許多旅游者對自己的旅游活動場所(易起，)的安全隱患了解不足，又在旅游活動中麻痹大意，在沒有做好充足準備的情況下，盲目活動，冒險行動，以至于釀成災害事故。

1.2旅游景區安全防范不足

雖然安全工作是景區建設的重要內容，但是許多景區工作做得不夠細致。一是有些景區重生產輕安全，追求經濟利潤，沒有處理好生產與安全、效益與安全、發展與安全的關系，忽視安全生產投入，造成安全生產基礎薄弱、安全技術落后、安全設施不足、安全設備老化，以至消防、交通、飲食、治安等方面存在安全隱患。二是許多景區應急救援體系不健全，機制不完善。突發事件的應急預案要么沒有，要么不可行，滯后于旅游發展。安全生產宣傳教育和培訓工作不夠普及、深入、細致和實用，對教育和培訓重要性的認識有待加強。

1.3部門監管不力

有些地區對景區的監管制度不健全，監管力量不足，人員、經費和設備不足，技術手段落后，以至監管工作不能及時和到位，監管手段有待創新。還有的地區監管機構太多而導致集體不作為的弊端。

1.4存在法律盲區

近年來，隨著旅游大眾化的到來，旅游景區安全事故和相應的法律糾紛也大量出現，不少糾紛解決過程中出現了適用法律不明確和安全責任不好界定的問題，這與我國目前旅游法制還不夠健全有一定的關系。我國已有的相關旅游法規，對于景區安全問題只是做了原則性規定，也就是說在處理景區與旅游者旅游安全的問題方面存在著法律盲區，相關法律法規有待于進一步完善。

1.5旅游中受到的損害

據介紹，消費者在旅游過程中人身、財產安全受到損害的投訴集中表現為：(一)不潔餐飲引起的食物中毒；(二)攜帶的物品在賓館被盜；(三)有的旅行社為降低成本，違規操作，讓司機兼做導游，因疲勞駕駛，導致車毀人亡；(四)在旅游黃金周期間，車、船超負荷運作，給消費者的人身安全造成的威脅；(五)“黑車”、“黑導游”坑害游客；(六)旅行社不履行告知義務，擅自轉團，使旅游服務質量及安全難保；(七)為降低成本，旅行社不給消費者辦理旅游意外保險等。

3.旅游安全的對策

3.1旅游者要增強安全意識

每一位旅游者都要提高自身素質，不要僅僅考慮自己便利，把一些不利于景區安全的壞習慣帶到旅游目的地中來。在旅游過程中，自覺聽從有關服務與管理人員的指揮，要本著對自己負責，對親人負責，對社會負責的態度來規范自己在旅游景區內的行為。在從事徒步穿越、攀爬等戶外旅游項目時，一定要做好充分的物資和心理準備，并且要有經驗豐富的領隊來組織安排。在陌生區域行動時，一定要請熟悉地形的當地向導帶路，一旦發生意外，也可以及時進行自救，將損失降到最小程度。

3.2公安部門要為旅游者的行車安全提供有力的保障

各地公安機關要針對重點旅游地區，科學調整勤務，合理配備警力，加強交通組織和疏導，防止發生交通擁堵。要嚴厲查糾突出交通違法行為，在高速公路、主要國道、省道和旅游線路增設流動測速點和執勤服務點，重點查糾超速行駛、客車超員、疲勞駕駛等交通違法行為。要切實加強省際間的工作銜接與配合，加強信息溝通，形成區域聯勤、整體聯動，確保暑期旅游交通安全。

針對夏季多雨、地質災害易發的特點，公安部提出，公安機關要及時啟動應對惡劣天氣交通管理工作預案，及時了解、掌握臺風、暴雨、泥石流等惡劣天氣、地質災害預警信息，加強旅游線路的指揮疏導和危險路段的巡查，及時處置和清理事故現場。對水毀路段要實時信息，會同交通部門及時組織交通分流，保障道路暢通。

3.3設立專門的旅游突發事件應急機構

設立由社區醫院、消防、保險、交通等多部門、多人員組成的聯合機動組織，專門解決旅游景區的突發事件，使事件發生后的損失降到最低。

3.4完善旅游保險制度

這是做好安全事故善后工作、保障旅游者合法權益的保證，也是社會聯動系統、旅游救援系統的基礎。目前我國旅游保險尚不甚完善，因此，改革旅游保險制度、制定便于各種旅游者投保的險種是旅游保險的發展方向之一。旅游意外保險屬于強制險種。但旅行社在履行這一強制性義務的同時，可由旅游者根據自愿原則向保險公司購買除強制性意外保險外的其他旅游保險。

3.5加強旅游宣傳和教育

提高旅游安全意識確保旅游安全的最有效途徑之一就是公眾教育。宣傳教育既要面向旅游者又要面向旅游地社區和旅游從業人員。前者可通過旅途中的各種告示和旅游從業人員的安全建議等達到目的。旅游從業人員安全宣傳和教育包括兩部分內容：一為旅游安全問題的危害性及其與旅游業的關系，二為旅游安全事故的處理。

3.6景區加強安全防范

落實“安全第一、預防為主、綜合治理”的方針。景區自身要對安全工作高度重視，并在整體規劃中進行安全規劃，對可能發生的旅游事故制定出相應的應急預案。景區要加強安全管理，設置維護游覽秩序和治安的機構和專門人員，配備必要的裝備，加強巡邏和檢查，嚴懲擾亂旅游秩序的不法分子，確保國家財產和游人的安全。對船、車、碼頭、纜車、索道、觀光電梯、滑道等交通設施，游覽活動器械、險要道路及危險地段要定期檢查，落實責任制，加強管理和維護，及時排除機械故障、危險巖石和其他不安全因素。在危險地段及水域或猛獸出沒、易發生雷擊、有害生物生長的地區要設置安全標志，做出防范說明。在容易發生交通事故的危險路段設立警示牌，清除交通障礙。并加強對游客集中場所、薄弱環節和部位、重要地段的治安保衛工作，抓好安全防范與管理工作，消除隱患，堵塞漏洞，杜絕各類旅游安全事故的發生。在沒有安全保障的區域，要在顯要位置做出真實地說明和明確的警示，并且不得開展游覽活動。

篇（5）

隨著國家經濟的快速發展和社會生活生平的不斷提高，以及交通條件的不斷完善，外出旅游已經成為人們日常生活中不可缺少的一部分，我國的旅游業進入了蓬勃發展時期。然而，旅游活動的增多也使旅游安全事故發生的概率增大，旅游安全問題逐漸成為社會各界日益關注的焦點。

一、旅游安全現狀

安全是旅游業發展的基礎，它不僅是旅游活動順利發展的保障，也是旅游業發展的前提。旅游業是個綜合性的產業，它涉及到很多社會部門和行業，旅游活動又包含了食、住、行、游、購、娛六大方面，涉及到社會生活的方方面面，可以說現代旅游業由于各種社會的和自然的因素影響，潛在著許多危險和不安全因素，旅游行業和旅游活動的各個環節中都可能存在著潛在的旅游風險。旅游安全問題產生后，會通過各種媒介影響到潛在旅游者，影響潛在旅游者對目的地決策行為。由表1我們也可以看出，旅游風險可能是來自旅游目的地的自然環境或社會環境，也可能來自旅游者自身和旅游組織者等各個方面。因此，解決旅游安全問題，加強旅游安全研究，不僅是旅游活動質量的重要保證，也是旅游業做到可持續發展的重要因素。

在目前情況下，旅游安全事件還在頻繁發生，甚至出現了增長的趨勢。據國家旅游局綜合司統計，從2009年初至9月份僅9個月中就發生了41起旅游事故，其中重大事件8起，比2008年同期增長60%，整體比2008年同期增長10.8%。由此可見，旅游安全問題越來越尖銳，已經是擺在我們面前需要時刻關注的問題。

二、旅游安全的表現形式

旅游安全的表現形式在實際生活中是各種各樣的，而且常常是交叉出現。按照旅游研究對象劃分，旅游安全表現為旅游主體安全、旅游客體安全、旅游中介安全。旅游主體安全就是旅游者的安全，旅游客體安全為旅游目的地人和物的安全，旅游中介安全為各種旅游接待設施和人員的安全。按照旅游的六要素：食、住、行、游、購、娛進行劃分，旅游安全表現為飲食安全、住宿安全、交通安全、游覽安全、購物安全和休閑娛樂安全。按照最終的表現形式劃分，旅游安全表現為交通事故、疾病、治安事件、火災、食物中毒、旅游設施事故等。

三、旅游安全問題的對策

（一）完善旅游安全法規

旅游安全法規是從法律上保障旅游安全，為旅游活動過程中出現的各種安全問題的解決提供法律依據，依靠其權威性和強制性來規范和約束旅游從業人員的行為，增強旅游從業人員的安全意志和防控意志，提高旅游者的旅游安全防范意志，約束旅游者在旅游活動過程中的各種不當行為。目前，雖然旅游安全問題已經引起了人們的關注，國家和地方也相繼出臺了各種相關法規，但是我國的旅游法體制還不完善，對安全問題只是做出了原則性的指導和規定，在處理旅游安全的相關問題上還存在著很多空白處。旅游安全法規是旅游安全得到保障的基礎，完善的旅游安全法規是旅游業順利、平穩發展的保障和前提。

（二）建立旅游安全預警系統

旅游安全不僅僅考慮與人們生命財產直接相關的安全問題，還應涵蓋旅游資源安全、旅游環境安全等內容，準確、及時的預警信息能有效減少國家經濟損失，確保人們生命財產安全，從某種意義上說對危險事故的預警也是一種安全。旅游安全預警就是在安全事故發生之前，通過科學指標，對未來特定的一段時間，一定旅游區域內的旅游動向進行預測和引導，使旅游效果達到最佳。旅游安全預警系統是個復雜的系統，它是為了預防旅游活動過程中發生危險而建立的報警和排警系統，它擔負著旅游安全信息的搜集、分析、對策制定和信息等功能，是國家旅游安全信息、進行安全預控的組織機構，它在警示旅游者和旅游企業、增加安全意志、提高安全防范與控制能力，使旅游者和旅游企業預見問題并采取積極的防范措施等方面有著極大的作用。

我國目前很多地方都建立了假日旅游預警系統，屬于旅游團體協作機構，依靠其成員單位的廣泛性和權威性已經在假日旅游活動過程中發揮了積極、有效的作用。因此，可以在假日旅游預警系統的基礎上，集成和調配相應的功能，建立一套完善的旅游安全預警系統。

（三）建立旅游急救系統

我國現有的旅游安全急救系統還不成體系，相互之間的協調合作程度比較低，這使得急救工作的效率不高。張秋芬指出，旅游急救系統應包括：（1）救援指揮中心。對整個旅游安全急救工作的進行開展、協調、整體統籌。（2）安全救援機構。涉及到很多部門，如醫院，消防部門，及其他與救援工作有關系的其它部門。（3）安全救援的直接機構。包括可能發生旅游安全問題的旅游景區（點）、旅游企業、旅游管理部門和社區。（4）安全救援的間接機構。包括旅游地、保險機構、新聞媒體和通訊部門。這些部門雖然不參加直接的救援工作，但是卻對救援工作的順利開展起著非常重要的影響作用。一個完善的旅游安全急救系統要能夠這四個部分組織起來，以救援指揮中心為核心統一策劃旅游安全急救工作，一旦發生旅游安全事故，各方面能夠快速、有序的開展工作，發揮集體的力量，順利解決問題。

（四）加強旅游從業人員培訓

旅游業是屬于勞動密集型的產業，相對于其他產品，旅游產品有無形性、生產和消費的同時性、不可儲存性、異質性的特點。這些特點決定了旅游產品的質量在很大程度上是由旅游從業人員的即時表現來決定的。如果旅游從業人員沒有掌握足夠的基本安全知志，或是在旅游活動過程中不按有關規定行事，就會大大增加旅游安全事故發生的可能性。因此，旅游企業和旅游有關部門應按照國家有關規定定期對旅游從業人員進行培訓，提高他們的安全知志水平和安全防范意志，強化他們在旅游活動過程中嚴格按照規章制度工作的意志，將安全事故的發生扼殺在萌芽階段。

（五）加大旅游安全的宣傳教育

針對近年來出現的諸多安全事故，旅游企業及旅游有關部門應加大旅游安全的宣傳教育，增加人們對旅游活動過程中潛在危險的了解，提高社會大眾的自我保護意志。

參考文獻：

篇（6）

一、我國電子商務發展現狀

當今世界是數字化的信息社會，高新技術尤其是電子信息技術對各行各業的影響從未像現在這樣明顯。電子商務就是在這個信息時代背景下產生并迅速發展起來，它已逐漸成為人們進行商務活動的新模式。近幾年，我國的電子商務也蓬勃發展，像阿里巴巴、E-BAY、淘寶網等已取得相當的成功，給人們的生活觀念與方式帶來了巨大的改變。但同時由于我國電子商務起步晚、發展快，以致配套的技術及管理等方面跟不上，致使安全成為其發展過程中的阻礙因素。

二、我國電子商務發展面臨的安全問題分析

在我國電子商務面臨的安全問題主要由三個方面造成，即技術落后、信用缺失及法律法制體系不完善。

（一）技術落后。對電子商務的安全而言，其首先要解決的就是安全技術問題，即我國現有的網絡安全技術落后，難以建立一個安全可信賴的電子商務環境。一般來說，電子商務所面臨的安全威脅主要表現在以下方面：

1、信息篡改。電子的交易信息在網絡上傳輸的過程中，可能被他人非法修改、刪除、插入或重放，從而使信息失去了真實性和完整性。

2、信息破壞。信息破壞既包括網絡硬件和軟件的問題而導致信息傳遞的丟失與謬誤，也包括一些惡意程序的破壞而導致電子商務信息遭到破壞。由于攻擊者可以接入網絡，就可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入兩方的網絡內部，其后果是非常嚴重的。

3、身份識別。（1）假冒他人身份。假冒他人身份有以下幾種方式：第一，假冒交易一方的身份，破壞交易，敗壞被假冒一方的聲譽或盜竊被假冒一方的交易成果等；第二，冒充主機欺騙合法主機及合法用戶；第三，冒充網絡控制程序，套取或修改使用權限、通行字、密鑰等信息；第四，接管合法用戶，欺騙系統，占用合法用戶的資源。（2）不承認已經做過的交易。交易的一方可不為自己的行為負責任，進行否認，相互欺詐。具體包括以下幾種情況：第一，發信者事后否認曾經發送過某信息或內容；第二，收信者事后否認曾經收到過某信息或內容；第三，購貨者下了訂貨單不承認；第四，商家賣出的商品因價格差而不承認原有的交易。

4、信息泄密。信息泄密主要包括兩個方面，即交易雙方進行交易的內容被第三方竊取或交易一方提供給另一方使用的文件被第三方非法使用。攻擊者可能通過互聯網、公共電話網、搭線或在電磁波輻射范圍內安裝截獲裝置等方式，截獲傳輸的機密信息，或者是通過對信息流量和流向、通信頻度和長度等參數的分析，獲取有用信息，如消費者的銀行卡號、密碼，銷售者的（二）信用缺失。信用缺失的現象在當今的商務貿易中已成為一個日益嚴重的問題?；诰W絡的電子商務，連接的是相隔時間與空間距離的買賣雙方，信用問題則顯得更為突出。很多買方在付款之前會由于看不到實體物品，而擔心其質量問題或商品是否真正符合自己的要求；在付款之后，還會擔心賣方是否能真正遵守承諾交付貨品。同樣，賣方也對買方能否按期付款存在疑慮。在信用問題帶來的顧慮重重之下，電子商務很難為大眾所普遍接受。我國已加入WTO，會進行更多的跨國貿易，信用問題不僅關系到國內電子商務貿易能否正常有序進行，也關系到我國與國外的網上貿易能否順利進行。

（三）法律法制體系不完善。當電子商務日益深入我們的生活之時，越來越迫切地感覺到缺少一套專門的完善的法律法規來解決這些問題。電子商務最大的特征是它存在于虛擬世界，極易產生如網上交易糾紛的仲裁、電子合同和網上契約的效力、納稅、隱私或產權的保護等問題，加之國際化的電子商務又涉及到各國的政治制度、社會狀況、經濟水平、現行法律法規及文化社會傳統等問題，所以對它進行立法是非常復雜的。

目前，我國規范電子商務的相關法律法規極為有限。在法律層次上，只有1997年修訂的《刑法》中增加了關于計算機犯罪的條文，1999年通過的《合同法》對電子合同的書面形式、生效時間地點等做了規定，但有關電子合同的描述是粗線條的，缺乏細化措施和可操作性，遠遠不能滿足電子商務發展的需要。因此，法律問題是為實現電子商務安全必須解決的又一個重要問題。

三、解決中國電子商務發展面臨的安全問題的有效方法

（一）技術問題的解決方法。對于技術問題，國內國外都已有較為常用有效的解決方法。概括地來說，有以下兩個方面：一是確定安全控制的范圍；二是建立電子商務安全體系。

1、安全控制的范圍。電子商務安全的控制應涉及以下六個方面：第一，信息的保密性。EC作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。它是建立在一個較為開放的網絡環境上的（尤其Internet是更為開放的網絡），維護商業機密是EC全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊?。坏诙?，數據的完整性。EC簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是EC應用的基礎。因此，要預防對信息的隨意生成、修改和刪除，同時要防止數據傳送過程中信息的丟失和重復，并保證信息傳送次序的統一；第三，非偽裝性。在電子商務環境中，網上交易的雙方可能素昧平生、遠隔千里。要使交易成功，首先要能方便可靠地確認對方的身份，這是雙方交易的前提。非偽裝性也能大大加強交易雙方的信任程度，可以促進交易廣泛地進行；第四，不可否認性。商情千變萬化，交易一旦達成是不能被否認的，否則必然會損害一方的利益。因此，電子交易通信過程的各個環節都必須是不可否認的，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識；第五，不可修改性。電子交易的文件要做到不可修改，以保證交易的嚴肅和公正。同時，電子交易的文件也可以作為法律承認的一種證據，為交易雙方出現的糾紛提供解決依據；第六，審查能力。根據機密性和完整性的要求，應對數據審查的結果進行記錄，以備交易雙方產生糾紛時交由第三方處理。客戶資料等。2、建立電子商務安全體系。為實現電子商務的安全，現在較為通用的是建立包括以下三個層次的電子商務安全體系：第一，建立密碼機制。密碼機制即基本加密算法，包括對稱密鑰加密、非對稱密鑰加密等，密碼機制的建立可以保證交易數據與交易人個人信息不受惡意的侵犯；第二，完善基本安全技術?；景踩夹g包括以密鑰機制為基礎的CA體系以及數字信封、數字簽名、數字時間戳、防火墻等?；景踩夹g的不斷完善為電子商務的發展提供一個良好的技術平臺，使其發展過程中的技術障礙得以消除；第三，建立安全應用協議。安全應用協議以密碼機制、基本安全技術、CA體系為基礎。如，Internet電子郵件的安全協議（PEM，S/MIME，PEM-MIME（MOSS））、網絡安全交易協議（SSL，S-HTTP，STT，iKP，SEPP，SET）。

（二）信用問題的解決方法。美國是世界上消費信貸最成熟的國家之一，有一整套完善的個人信用制度，我國可以借鑒其做法，建立一個適合中國國情的信用制度。第一，我國可以成立一個專門的征信機構——信用局，由政府管理，如銀行一般具有社會公信力；第二，建立一個準確公正的個人信用檔案。信用檔案的信息應包括工商、稅務、公安、司法、銀行、證券、保險、經貿等多個方面。另外，信用檔案應實現全面動態的管理，以實現對每個人全面有效的信用監督；第三，設計一個科學透明的信用分模型。最好由國家出面招標開發信用分模型，設計一個科學透明的信用分模型，產權歸國家所有，無償提供給社會使用；第四，完善個人信用的外部環境。具體可以從下面兩個方面著手：一方面國家的組織和協調。建立個人信用制度是一項非常龐大的系統工程，需要政府各有關部門、中央銀行、商業銀行、個人信用中介公司等機構密切合作、協調配合。由國家應出臺有關個人信用制度的政策，落實相關的配套措施，明確各部門所負的職責；另一方面是法律的保障。個人信用檔案收集的個人信用資料屬于個人隱私，國家應當對個人信用數據的收集、個人信用分的評定、個人信用數據的使用和披露做出明確規定，對于各種違規以及破壞公民隱私的行為規定制裁措施。

篇（7）

一、會計電算化安全現狀分析

（一）會計電算化科技含量提高，但基礎工作仍較薄弱

不僅會計信息系統硬件、軟件本身的科技含量比較高，而且由于會計電算化所跨學科比較多，各自的發展亦很迅速，這就增加了其他學科與會計學之間融合的難度，科技含量的提高給會計電算化安全控制帶來許多不確定因素。

事實上許多單位特別是中小企業在會計電算化實施的過程中，對電算化的認識不夠，會計電算化實施時并沒有專業的指導和系統的調研，沒有充分的專業儲備，會計電算化的實施具有一定的盲目性，會計電算化基礎工作不健全，操作不規范。這給本來很規范化的計算機數據處理帶來了因不當操作而造成數據丟失、系統錯誤分析、甚至會計信息系統不能正常運行。建立在此基礎上的電算化安全管理也就出現了一些問題。電算化信息系統安全防范缺陷甚至影響了單位會計電算化的網絡化、信息化、財務管理專業化的發展。

（二）會計電算化安全管理難度增大，系統控制方法、控制手段更復雜

會計信息的安全在傳統的紙質信息載體和手工處理階段就存在，在長期的會計實踐中，人們已摸索出比較完善的安全保障措施。隨著計算機在會計中的運用，會計的組織管理、日常維護與管理均發生了變化。

1.會計電算化后會計的崗位和工作職責在原有的手工分工的基礎上新增了電算主管、軟件操作、審核記賬、系統維護、電算審查、數據分析等崗位，崗位職責發生變化或調整。設置電算化崗位時不僅要適應計算機會計信息系統核算的要求，而且要與會計部門的會計人員配備相適應，要符合單位的實際規模。如何合理分工又與安全管理、人員配備、內部控制等相適應，這給管理提出了更高的要求。

2.會計信息系統不是單一系統而是人機一體的復雜系統，其安全不僅涉及設備安全，而且涉及技術問題和管理問題，安全控制內容廣泛，安全控制的方法、手段比手工賬務處理時期更復雜，這就增加了安全管理難度。

3.會計信息系統數據處理的無形化，數據儲存的電磁化，偽造和舞弊的隱蔽性，這些新特征的存在都會成為電算化安全的殺手，也給系統的安全控制帶來了困難，而且電子數據的儲存介質容易受損，很難保管，會造成會計信息容易丟失和毀壞的危險。

4.網絡和數據庫的開放性也對會計電算化的安全帶來了嚴重的威脅。信息技術和網絡技術在會計中的應用越來越廣泛。商品化的財務軟件一般都具備網絡版本，會計人員在感受網絡帶來的便利時，會計機密的被侵犯、被惡意破壞的可能性大大增加。如網絡通信協議和軟件自身不完善，造成網絡協議存在漏洞；網絡自身布線不合理造成通信質量差；大量的傳播極易受計算機病毒的攻擊；網絡黑客的惡意入侵、竊取、篡改、破壞系統和數據。

（三）會計電算化安全法規、制度建設相對滯后

自上個世紀80年代以來，財政部也先后制定了有關會計軟件開發、評審及管理的相關規定，促進了會計電算化的健康發展。但會計電算化后與會計核算相關的會計工作規范，仍然按傳統的手工算賬、記賬為制定基礎，電算化會計法規的建設和電算化的普及推廣不很融洽。

會計核算的財務處理、會計賬簿登記、財務報告的編制、會計監督、錯賬更正方法、內部會計管理等都因電算化核算環境、核算手段、技術方法的變化而變化，電算化實務中上述許多問題仍然無法可依，會計電算化安全管理的相關法規還很不健全，會計行業內系統的電算化安全規范尚未形成。

（四）會計人員知識結構亟待更新

人的素質決定了會計電算化工作的質量，高素質的復合型會計人才不僅是電算化工作順利開展的重要保證，而且某種程度上能彌補硬軟件投入相對不足的缺陷，提高信息系統運行質量。

二、會計電算化安全策略

（一）加快電算化法制建設，規范電算化安全管理

電算化會計的規范化、制度化管理，是電算化安全正常運行的制度保證。規范化制度化管理主要是通過認真落實會計準則、會計規章來實現，通過具體會計準則、會計規范、會計制度、管理辦法來指導會計業務處理，達到規范會計行為的目的。

相關的具體會計準則要對會計電算化的軟件采用的標準、軟件的安全性、具體的會計處理方法、會計信息的規范使用、會計電算化文檔的保管以及會計電算化人員的責任作出指導和說明；對于原有的會計工作規范、管理辦法、會計制度，根據電算化的要求，做出相應的調整。

（二）加強會計電算化安全的日常維護

1.電算化實施的準備階段

電算化實施前要做好充分的調研。調研的內容主要包括：(1)對不同會計軟件的可用性、安全性進行比較，選擇適合本單位核算與管理要求的會計軟件。(2)操作系統軟件的選用要與會計軟件相適應。商業會計軟件都有不同的版本，版本的不同操作系統也有不同，其穩定性也有區別，要選擇安全性高又與會計軟件最適應的操作系統。(3)硬件的選用對于系統安全運行至關重要，要根據會計軟件、系統軟件的硬件配置要求，詳細咨詢軟件供應商或軟件研發單位，選購計算機和相關設備。

2.電算化系統的運行階段

電算化安全控制雖然難度大，但只要制定詳細的工作規程，建立規范有序的業務流程和管理模式，實行日常工作制度化管理就能確保信息系統的安全可靠運行。

（1）安全運行的制度保障

根據財政部頒布的《會計電算化工作規范》，建立健全本單位的會計電算化系統操作管理制度，會計電算化硬、軟件管理制度，會計電算化崗位責任制，會計電算化檔案管理制度，實現網絡化的單位還應建立網絡管理制度。制度的制定者還要根據本單位電算化的發展需要及時對內部管理制度進行修改。當然單位在制定這些內部管理制度時，應充分體現對系統和數據的安全保障，制度制訂后還需要重視并倡導制度在工作中的貫徹落實。

（2）安全運行技術保障

①電算化操作人員要善于運用軟件的對經濟業務的控制功能。成熟的財務軟件對輸入的數據具有校驗功能，如總額控制校驗、數據平衡校驗、重復輸入校驗，以保證數據輸入的準確性。只要對該功能啟用就能發揮作用，但要經過必要的授權，符合內部控制的要求。

②建立多級備份與恢復機制。系統備份與恢復機制的目的就是防止系統癱瘓，提高安全性，保證在意外情況下有快速自救能力。要善于運用先進的安全保障設備和措施，建立多級備份和恢復機制，會計電算化開展單位應結合單位實際，分層次的采用以下幾種備份：

進行服務器雙熱機備份，發生故障時，保證在一般故障出現時，服務器系統的不停頓工作，瞬間恢復。其級別最高，保障系數最高，但投入多，對人員要求高。

采取磁盤鏡像備份技術，是指通過磁盤鏡像技術，實現數據庫服務器磁盤的完全備份，即兩個物理磁盤的數據完全一致，保證在一個磁盤發生故障時，數據可從另一個磁盤上讀出，不會停止系統運行。

財務及管理軟件自動備份，它是利用財務軟件或管理軟件本身的備份功能，實現重要數據的定期或定時備份。備份程序運行時可能會降低系統運行效率，但對數據的安全很有必要。網絡環境和單機環境下都適合使用。

系統管理員定期集中數據備份和賬務主管的日常備份，這是最基本的備份級別。當前三種備份條件不能實現時，其備份尤為重要，而且網絡環境和單機環境下都適合使用。

系統的恢復也是電算化安全的重要一環，恢復時，特別是第一次恢復數據，要做到忙而不亂，做好充分的技術準備，在軟件商的專業人員或開發人員的指導下進行。要注意勤備份、少恢復，內部管理制度也要對恢復流程有明確的規定，每次恢復操作必須有詳細的書面記載。

③加強系統的防病毒入侵工作。盡可能做到財務系統的相對封閉運行，控制病毒源，及時更新防殺病毒軟件，充分運用加鎖存儲設備，加強磁盤讀寫控制。網絡環境下除防病毒措施外，還應采用網絡防火墻技術、網關技術、身份認證技術、密碼技術，確保系統的安全。

（三）加強會計電算化的監督與管理

篇（8）

一、電子商務的安全需求

1.信息有效性、真實性

電子商務以電子形式取代了紙張，如何保證這種電子形式的貿易信息的有效性和真實性則是開展電子商務的前提。電子商務作為貿易的一種形式，其信息的有效性和真實性將直接關系到個人、企業或國家的經濟利益和聲譽。

2.信息機密性

電子商務作為貿易的一種手段，其信息直接廠代表著個人、企業或國家的商業機密。傳統的紙面貿易都是通過郵寄封裝的信件或通過可靠的通信渠道發送商業報文來達到保守機密的目的。電子商務是建立在一個較為開放的網絡環境上的，商業防泄密是電子商務全面推廣應用的重要保障。

3.信息完整性

電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護商業信息的完整、統一的問題。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各信息的差異。因此，電子商務系統應充分保證數據傳輸、存儲及電子商務完整性檢查的正確和可靠。

4.信息可靠性、不可抵賴性和可鑒別性

可靠性要求即是能保證合法用戶對信息和資源的使用不會被不正當地拒絕；不可抵賴性要求即是能建立有效的責任機制，防止實體否認其行為；可鑒別性要求即是能控制使用資源的人或實體的使用方式。

5.系統的可靠性

電子商務系統是計算機系統，其可靠性是防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失誤或失效。

二、電子商務的信息安全技術

1.數據加密技術

加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。面向網絡的加密技術通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出特殊要求，對電子郵件數據實現了端到端的安全保障。

1）電子商務領域常用的加密技術數字摘要(digitaldigest)

這一加密方法亦稱安全Hash編碼法，由RonRivest所設計。該編碼法采用單向Hash函數將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數字指紋(FingerPrint)，它有固定的長度，且不同的明文摘要成密文，其結果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗證明文是否是“真身”的“指紋”了。

數字簽名(digitalsignature)

數字簽名將數字摘要、公用密鑰算法兩種加密方法結合起來使用。主要方式是報文的發送方從報文文本中生成一個128位的散列值(或報文摘要)，用自己的私有密鑰對這個散列值進行加密來形成發送方的數字簽名。然后，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密，如果兩個散列值相同，那么接收方就能確認該數字簽名是發送方的，通過數字簽名能夠實現對原始報文的鑒別。概括的說，簽名的作用有兩點，一是因為自己的簽名難以否認，從而確認了文件已簽署這一事實；二是因為簽名不易仿冒，從而確定了文件是真的這一事實。

數字時間戳(digitaltime-stamp)交

易文件中，時間是十分重要的信息。在電子交易中，需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務(DTS)就能提供電子文件發表時間的安全保護。時間戳(time-stamp)是一個經加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要(digest)；DTS收到文件的日期和時間；DTS的數字簽名。

數字證書(digitalcertificate,digitalID)數字證書又稱為數字憑證，是用電子手段來證實一個用戶的身份和對網絡資源的訪問的權限。目前，最有效的認證方式是由權威的認證機構為參與電子商務的各方發放證書，證書作為網上交易參與各方的身份識別，就好象每個公民都用身份證來證明身份一樣。認證中心作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任，是一個負責發放和管理數定證書的權威機構。因而網絡中所有用戶可以將自己的公鑰交給這個中心，并提供自己的身份證明信息，證明自己是相應公鑰的擁有者，認證中心審查用戶提供的信息后，如果確認用戶是合法的，就給用戶一個數字證書。這樣，每個成員只需和認證中心打交道，就可以查到其他成員的公鑰信息了。對于在網上進行交易的雙方來說，數字證書對他們之間建立信任是至關重要的。數字憑證有三種類型：個人憑證、企業（服務器）憑證、軟件（開發者）憑證；大部分認證中心提供前兩類憑證。

2.身份認證技術

為解決Internet的安全問題，初步形成了一套完整的Internet安全解決方案，即被廣泛采用的公鑰基礎設施（PKI）體系結構。PKI體系結構采用證書管理公鑰，通過第三方的可信機構CA，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網上驗證用戶的身份，PKI體系結構把公鑰密碼和對稱密碼結合起來，在Internet網上實現密鑰的自動管理，保證網上數據的機密性、完整性。

1）認證系統的基本原理

利用RSA公開密鑰算法在密鑰自動管理、數字簽名、身份識別等方面的特性，可建立一個為用戶的公開密鑰提供擔保的可信的第三方認證系統。這個可信的第三方認證系統也稱為CA，CA為用戶發放電子證書，用戶之間利用證書來保證信息安全性和雙方身份的合法性。

2）認證系統結構

整個系統是一個大的網絡環境，系統從功能上基本可以劃分為CA、RA和WebPublisher。

核心系統跟CA放在一個單獨的封閉空間中，為了保證運行的絕對安全，其人員及制度都有嚴格的規定，并且系統設計為一離線網絡。CA的功能是在收到來自RA的證書請求時，頒發證書。

證書的登記機構RegisterAuthority，簡稱RA，分散在各個網上銀行的地區中心。RA與網銀中心有機結合，接受客戶申請，并審批申請，把證書正式請求通過建設銀行企業內部網發送給CA中心。

證書的公布系統WebPublisher，簡稱WP，置于Internet網上，是普通用戶和CA直接交流的界面。對用戶來講它相當于一個在線的證書數據庫。用戶的證書由CA頒發之后，CA用E－mail通知用戶，然后用戶須用瀏覽器從這里下載證書。

3.網上支付平臺及支付網關

網上支付平臺分為CTEC支付體系（基于CTCA/GDCS）和SET支付體系（基于CTCA/SET）。網上支付平臺支付型電子商務業務提供各種支付手段，包括基于SET標準的信用卡支付方式、以及符合CTEC標準的各種支付手段。

支付網關位于公網和傳統的銀行網絡之間，其主要功能為：將公網傳來的數據包解密，并按照銀行系統內部的通信協議將數據重新打包；接收銀行系統內部的傳回來的響應消息，將數據轉換為公網傳送的數據格式，并對其進行加密。此外，支付網關還具有密鑰保護和證書管理等其它功能。

三、電子商務信息安全中的其它問題

1.內部安全

最近的調查表明，至少有75%的信息安全問題來自內部，在信用卡和商業詐騙中，內部人員所占的比例最大；

2.惡意代碼

它們將繼續對所有的網絡系統構成威脅，并且，其數量將隨著Internet的發展和編程環境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大；

3.可靠性差

目前，Internet主干網和DNS服務器的可靠性還遠遠不能滿足人們的要求，而絕大

部分撥號PPP連接質量并不可靠，且速度很慢；

4.技術人才短缺

由于Internet和網絡購物都是在近幾年得到了迅猛的發展，因而，許多地方都缺乏足夠的技術人才來處理其中遇到的各種問題，尤其是網絡購物具有24x7（每天24小時，每周7天都能工作）的要求，因而迫切需要有一大批專業技術人員對其進行管理。如果說加密技術是電子交易安全的“硬件”，那么人才問題則可以說是“軟件”。從某種意義上講，軟件的問題解決起來可能更不容易，因此，技術人才的短缺可能成為阻礙網絡購物發展的一個重要因素。

5.Web服務器的保護意識差

在交易過程中對數據進行保護只是保證交易安全的一個方面。由于交易的信息均存儲在服務器上，因此，即使保密信息被客戶端接收之后，也必須對存儲在服務器中的數據進行保護。目前，Web服務器是黑客們最喜歡攻擊的目標。因此，建議盡量不要將Web服務和連接到任何內部網絡，而且要定期對數據進行備份，以便于服務器被攻擊之后對數據進行恢復。當然，這畢竟有些不太現實，現在許多流行的Web應用都需要Web服務器與公司的數據庫進行交互式操作，這就要求服務器必須與公司內部網絡相連，而這個連接也就成為黑客們從Web站點侵入企業內部網絡的一條通路。雖然防火墻技術有助于對web站點進行保護，但商家卻很少安裝防火墻或對其缺乏有效的維護，因而沒有對Web服務器進行很好的保護，這是商家的Web站點尤其要引起注意的地方。

四、與電子商務安全有關的協議技術討論

1．SSL協議（SecureSocketsLayer）安全套接層協議———面向連接的協議。

SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式。但它是一個面向連接的協議，在涉及多方的電子交易中，只能提供交易中客戶與服務器間的雙方認證，而電子商務往往是用戶、網站、銀行三家協作完成,SSL協議并不能協調各方間的安全傳輸和信任關系。

2.SET協議（SecureElectronicTransaction）安全電子交易———專門為電子商務而設計的協議。由于SET提供了消費者、商家和銀行之間的認證，確保了交易數據的安全性、完整可靠性和交易的不可否認性，特別是保證不將消費者銀行卡號暴露給商家等優點，因此它成為了目前公認的信用卡/借記卡的網上交易的國際安全標準。雖然它在很多方面優于SSL協議，但仍然不能解決電子商務所遇到的全部問題。

結束語

本文分析了目前電子商務的安全需求，使用的安全技術及仍存在的問題，并指出了與電子商務安全有關的協議技術使用范圍及其優缺點，但必須強調說明的是，電子商務的安全運行，僅從技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

[參考文獻]

①姚立新，新世紀商務:電子商務的知識發展與運作，中國發展出版社，1999年。

篇（9）

引言:隨著萬維網wWw的發展，Internet技術的應用已經滲透到科研、經濟、貿易、政府和軍事等各個領域，電子商務和電子政務等新鮮詞匯也不再新鮮。網絡技術在極大方便人民生產生活，提高工作效率和生活水平的同時，其隱藏的安全風險問題也不容忽視。因為基于TCP/IP架構的計算機網絡是個開放和自由的網絡，這給黑客攻擊和人侵敞開了大門。傳統的病毒借助于計算機網絡加快其傳播速度，各種針對網絡協議和應用程序漏洞的新型攻擊方法也日新月異。因此計算機網絡應用中的安全問題就日益成為一個函待研究和解決的問題。

1.計算機網絡應用的常見安全問題

計算機網絡具有大跨度、分布式、無邊界等特征，為黑客攻擊網絡提供了方便。加上行為主體身份的隱匿性和網絡信息的隱蔽性，使得計算機網絡應用中的惡意攻擊肆意妄為，計算機網絡應用中常見的安全問題主要有:①利用操作系統的某些服務開放的端口發動攻擊。這主要是由于軟件中邊界條件、函數拾針等方面設計不當或缺乏限制，因而造成地址空間錯誤的一種漏洞。如利用軟件系統中對某種特定類型的報文或請求沒有處理，導致軟件遇到這種類型的報文時運行出現異常，從而導致軟件崩潰甚至系統崩潰。比較典型的如OOB攻擊，通過向Windows系統TCP端口139發送隨機數來攻擊操作系統，從而讓中央處理器(CPU)一直處于繁忙狀態。②以傳輸協議為途徑發動攻擊。攻擊者利用一些傳輸協議在其制定過程中存在的一些漏洞進行攻擊，通過惡意地請求資源導致服務超載，造成目標系統無法正常工作或癱瘓。比較典型的例子為利用TCP/IP協議中的“三次握手”的漏洞發動SYNFlood攻擊?；蛘?，發送大量的垃圾數據包耗盡接收端資源導致系統癱瘓，典型的攻擊方法如ICMPF1ood}ConnectionFloa等。③采用偽裝技術發動攻擊。例如通過偽造IP地址、路由條目、DNS解析地址，使受攻擊的服務器無法辨別這些請求或無法正常響應這些請求，從而造成緩沖區阻塞或死機;或者，通過將局域網中的某臺機器IP地址設置為網關地址，導致網絡中數據包無法正常轉發而使某一網段癱瘓。④通過木馬病毒進行人侵攻擊。木馬是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點，一旦被成功植人到目標主機中，用戶的主機就被黑客完全控制，成為黑客的超級用戶。木馬程序可以被用來收集系統中的重要信息，如口令、帳號、密碼等，對用戶的信息安全構成嚴重威脅。⑤利用掃描或者Sniffer(嗅探器)作為工具進行信息窺探。掃描，是指針對系統漏洞，對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會被惡意使用和隱蔽使用，探測他人主機的有用信息，為進一步惡意攻擊做準備。而嗅探器(sni$}er)是利用計算機的網絡接口截獲目的地為其它計算機的數報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息，它對網絡安全的威脅來自其被動性和非干擾性，使得網絡嗅探具有很強的隱蔽性，往往讓網絡信息泄密變得不容易被用戶發現。

2.計算機網絡安全問題的常用策略

2.1對孟要的信息數據進行加密保護

為了防止對網絡上傳輸的數據被人惡意竊聽修改，可以對數據進行加密，使數據成為密文。如果沒有密鑰，即使是數據被別人竊取也無法將之還原為原數據，一定程度上保證了數據的安全。可以采用對稱加密和非對稱加密的方法來解決。對稱加密體制就是指加密密鑰和解密密鑰相同的機制，常用的算法為DES算法，ISO將之作為數據加密標準。而非對稱加密是指加密和解密使用不同的密鑰，每個用戶保存一個公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密，用于解密密鑰。具體采取那種加密方式應根據需求而定。

2.2采用病毒防護技術

包括:①未知病毒查殺技術。未知病毒技術是繼虛擬執行技術后的又一大技術突破，它結合了虛擬技術和人工智能技術，實現了對未知病毒的準確查殺。②智能引擎技術。智能引擎技術發展了特征碼掃描法的優點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。③壓縮智能還原技術。它可以對壓縮或打包文件在內存中還原，從而使得病毒完全暴露出來。④病毒免疫技術。病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區來實現病毒免疫的基本構想。⑤嵌人式殺毒技術。它是對病毒經常攻擊的應用程序或對象提供重點保護的技術，它利用操作系統或應用程序提供的內部接口來實現。它對使用頻度高、使用范圍廣的主要的應用軟件提供被動式的防護。如對MS一Office,Outlook,IE,Winzip,NetAnt等應用軟件進行被動式殺毒。

2.3運用入俊檢測技術

人侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。人侵檢測系統的應用，能使在人侵攻擊對系統發生危害前，檢測到人侵攻擊，并利用報警與防護系統驅逐人侵攻擊。在人侵攻擊過程中，能減少人侵攻擊所造成的損失。在被人侵攻擊后，收集人侵擊的相關信息，作為防范系統的知識，添加人知識庫內，以增強系統的防范能力。

根據采用的檢測技術，人侵檢測系統被分為誤用檢測(MisuseDetec-lion)和異常檢測(AnomalyDetection)兩大類。誤用檢測根據事先定義的人侵模式庫，人侵模式描述了人侵行為的特征、條件、排列以及事件間關系，檢測時通過將收集到的信息與人侵模式進行匹配來判斷是否有人侵行為。它的人侵檢測性能取決于模式庫的完整性。它不能檢測模式庫中沒有的新入侵行為或者變體，漏報率較高。而異常檢測技術則是通過提取審計蹤跡(如網絡流量、日志文件)中的特征數據來描述用戶行為，建立典型網絡活動的輪廓模型用于檢測。檢測時將當前行為模式與輪廓模型相比較，如果兩者的偏離程度超過一個確定的閩值則判定為人侵。比較典型的異常檢測技術有統計分析技術、機器學習和數據挖掘技術等。二者各有優缺點:誤用檢測技術一般能夠較準確地檢測已知的攻擊行為并能確定具體的攻擊，具有低的誤報率，但面對新的攻擊行為確無能為力，漏報率高;而異常檢測技術具有發現新的攻擊行為的能力，漏報率低，但其以高的誤報率為代價并不能確定具體的攻擊行為。現在的人侵檢測技術朝著綜合化、協同式和分布式方向發展，如NIDES,EMER-ALD,Haystack都為誤用與異常檢測的綜合系統，其中用誤用檢測技術檢測已知的人侵行為，而異常檢測系統檢測未知的人侵行為。

篇（10）