第一篇:证券计算机网络应用安全性分析
证券计算机网络应用安全性分析
随着计算机应用进入各行各业,人们的生活对计算机的依赖日趋加重。计算机在国民经济发展方面变得越来越重要。人们借助计算机网络,计算机数据库处理,计算机多媒体等前沿技术实现新型事务处理,新型业务管理及形形色色的生活应用。人对电脑系统的依赖将越来越强。越来越多的信息/数据被存入计算机,越来越多的应用集成在一起,越来越多的计算机连成网络。技术的公开化/标准化为人们带来了方便,也带来了威胁。一旦电脑系统瘫痪,一旦数据被毁灭,网络/通讯失灵;关键业务将出现混乱、停滞,甚至遭受毁灭性的打击。
计算机的系统安全性、可靠性是人们审核一个计算机处理系统的优劣的重要方面。人们只有确信计算机系统是安全的、可靠的,才肯将最机密、最关键的数据交给计算机网络技术的发展,使计算机系统的协同处理能力迅速增强,也将对计算机安全防范的要求推到了一个全新的高度。
本文根据作者对证券行业计算机应用的了解和调查对证券公司营业部的计算机网络安全进行了分析,对常见的一些技术问题给出详细的说明,供证券业的开发商、系统集成商及证券营业部技术人员参考,促进并提高证券网络应用的安全性。
1. 证券营业部的计算机网络应用安全性现状
证券交易是由计算机系统进行撮合、交易的,每个营业部的计算机网络应用系统为股民提供如下的服务:
行情服务:根据从上海交易所和深圳交易所卫星传来的行情数据;为股民提供各种信息分析和决策支持服务,利用多元化的方式为股民创造好的信息环境。
交易服务:对注册股民的股金进行协调管理,帮助/代理股民下单交易,按照股民的意愿完成股民的股票买卖操作,将股民的交易请求发送到交易所进行处理。
随着证券行业的迅猛发展,多种计算机应用软件不断引入到证券网络应用(例如家庭远程炒股、Internet炒股、多应用合一等),使得计算机应用服务日趋复杂;相对的,计算机系统的安全性威胁就更大!由于对核心数据访问途径增加,趋于复杂;可能留下的安全隐患就会越多越大。
一个典型的计算机劫客可以通过如下方式对证券计算机应用进行破坏:
1、干扰、破坏行情服务系统的正常运行。劫客可以放置假的行情数据以造成股民错误的投资倾向,甚至干脆破坏行情服务软件系统,破坏营业部的声誉。
2、偷窃、篡改注册股民的注册信息和资金信息,对股民的管理/数据信息进行修改;假冒客户身份进行交易以达到其个人的目的,使股民/营业部遭受巨大的损失。
从最近的一些报道来看,有一些营业部已经发生了计算机应用被外来人员破坏的事件,并造成极为恶劣的影响。目前,所有证券公司及其营业部都已经注意到计算机安全技术涉及的范围广,以及各种计算机应用环境对安全方面的考虑不尽完善,使得目前证券业计算机应用存有较大的安全隐患的现状。
但是,技术设计方面的不完善可以靠规范化的人员管理、规章制度等方面得到补足。正如军队需要严格的安全体制管理一样,证券计算机应用的安全性可以通过严格的制度、规范的操作等途径得到增强。技术/设计上的安全保护加上人员、操作上的严格管理,才可能将那些恶意的入侵者拒之门外,防患于未然。
2. 对证券营业部的计算机网络应用安全性的深入分析和建议
营业部证券网络的模式基本是相同的,即分为行情系统和交易柜面系统。一个典型的证券营业部的结构如下:
证券业计算机网络应用可分为两类:一类是营业部柜面业务系统(以下简称柜面系统),用于对股民帐户、资金、交易委托等方面进行综合管理。这类系统由专门的证券应用开发商或营业部计算机应用人员开发,采用的平台有NetWare下的Foxpro、Btrieve或基于SQL查询的DBMS(如Sybase)。另一类应用是股票行情发布和行情分析系统(以下简称行情系统),用于为股民提供最新的股票价格信息(大屏)及对股票的历史数据的分析(走势图)。这类应用由专业计算机开发商来开发,多采用基于NetWare的文件共享和网络广播信息包的方式。柜面系统有时也需要访问行情服务器的数据。图1简单地表明了证券业应用的结构方式。
在图1中,S1是柜面服务器,运行NetWare网络服务操作系统。S1中的数据可能是 Foxpro,Btrieve及Sybase等格式的数据。W1,W2是柜面应用工作站PC,采用相应的数据库应用系统,完成储户帐户维护,资金管理,股票买卖等工作。S2是行情服务器,运行NetWare操作系统;S2中存放由深交所及上交所传来的原始数据(该数据由专门的接收站Wr转入,数据文件格式为Foxbase)及行情应用软件的处理数据。Wt为行情数据转换机,它将Wr存入S1的Foxbase数据读出并加以转换及分类处理,形成专门的行情数据,例如乾龙系统。同时Wt将某些行情更新信息以网络广播形式向外广播。W3、W4为行情应用工作站,向股民开放。W3,W4通过接收Wt的行情更新数据和读取服务器内的行情历史数据,加以分析加工,为用户提供股票价格更新和“涨跌起伏曲线”等分析信息。
通常来说,营业部对股民服务采用无盘PC;利用DOS映象文件远程启动、上网和进行业务处理。同时营业部内部采用有盘站和无盘站对网络应用进行管理、监控及内部结算/处理。
本文将从下面几个方面对证券网络的结构/模式进行分析并给出相应的建议。
1.布线系统,网络布局。
2.网络系统的管理。
3.应用系统的管理。
2.1 证券营业部的网络布局和布线系统的安全性 从业务操作模式和网络数据流动方式来看,应将证券营业部的网络布局进行合理化分布,这样做的好处是:
1、按应用用户的种类分隔网络数据的流动
2、便于应用的规划、安全设置
3、网络信息的分隔从根本上局限了入侵者的入侵位置
例如:营业大厅内的普通用户工作站多以“乾龙”行情显示为主;将所有行情应用的工作站连到同一网段上有利于对行情应用的统一规划,另外,在行情网段上的入侵者将无法截取其他系统(例如柜台系统)的信息;使其在行情网段上很难入侵到其他网络应用。
建议按如下方式配置:
将行情、柜面应用分开,将功能简单的、只做浏览/读操作的行情应用单分到一起。
将业务服务网与内部系统管理网分开。
网段的分隔不能用switch实现,可以用服务器多块网卡或采用路由器实现。
有了布线系统的分隔,对网络应用的高级配置就易于实现了。
例如:将应用编写/设置成只能在相对应的IPX/IP网络上运行,这样限定了应用的使用范围,可利用网络系统管理软件,限制不同网段上可登录的用户身份;应用程序也可以将程序限定只在某些网段上才可以运行。
2.2 通过网络操作系统的安全管理加强系统及应用的安全性。
由于与交易所的数据交换是通过文件形式来操作的,因此,要严格地限制对存放这些关键数据的权限。例如限定专门用户、专门的机器及专用的时间段才能合法登录、访问关键数据(这些选项在NetWare系统中,可以用NWADMIN的目录管理工具实现)。
另外,NetWare4.11中提供了审计功能,你可以对关键用户,关键数据文件进行审计核查;尤其是关键用户帐户及关键目录由于审计记录可以由唯一的专门的用户帐户进行管理(一个好的帐户管理机制可以使网络管理员帐户〈ADMIN〉不能干预审计用户的审计操作)。因此,可以由另外一个人掌管审计;由一个人掌管管理员帐户。在NetWare4.x中ADMIN用户可以被删去/改名,通过对每个内部维护工程人员分配独自的帐户,可以清楚地记录每次关键操作。
作者接触了一些证券营业部网络应用的开发商、集成商及最终用户,发现有如下技术问题有待及时解决。
用户不加口令,采用批处理上网。
由于营业部内有大量的无盘工作站,营业部工程师为简便开机工程,一般对某些帐户不设置口令而允许无盘站启动时利用批处理自动注册上网,自动启动相应的应用程序,如“乾龙软件”和“柜台管理软件”。如果权限设定有误的话,一个入侵者可以中断批处理,登录上网,改变系统配置/数据文件(例如可以删除/修改某些文件),甚至注入网络病毒!这将直接损坏系统,因此应当对每个帐户设置口令。如果需要自动启动上网,可以编写一些批处理或专门的应用程序完成带口令登录。
批处理程序可以被中断
无盘站在启动过程中,从NetWare服务器上获取DOS环境启动DOS,再运行批处理程序(含Login;login Script及其他DOS批处理)。由于DOS系统的特性,批处理可以被用户键盘中断,网络数据很容易的裸现在用户面前。一旦网络权限或应用权限管理不充分/不准确,恶意的入侵者就可以修改网络管理权限或修改应用程序/数据。要解决此类问题需要:
避免批处理被中断(无盘站)
可以开发一个内存驻留程序(驱动),截取相应的按键(例如Ctrl-C和Ctrl-break),避免批处理程序被中断。
要屏蔽DOS启动前的按键(DOS启动时可以按某些功能键,如F5或F8键),可以在Config.sys中加入:
SWITCHES = /N
此操作使DOS在启动Config.sys之前不检查F5、F8键的请求,从而限制了客户不能中断DOS的引导过程。
网络软件系统的版本:
网络系统软件有其自有的安全等级。目前许多用户采用比较老的3.11和3.12系统,利用Bindery方式上网(Netx),这些系统并没有加补最新的增补程序,存有一些安全漏洞。例如,入侵者可以伪装成Supervisor的身份,轻易地进入网络系统。另外,由于3.x系统的帐户口号是基于服务器管理,多个NetWare 3.x系统需要重复创建多个帐户/口令(一般而言,同名,同口令),为恶意入侵者留下更多的机会去猎取口令。NetWare 4.11采用NDS管理,多服务器可以采用一套用户管理数据,简化了用户的管理,同时也在各方面弥补了在3.x中的安全漏洞。目前,NetWare 4.11达到了网络C2安全验证,能满足用户的安全要求。
另外,NetWare 4.11缺省状态下开启了Bindery仿真方式(是为了与原有的3.x客户软件/应用兼容),入侵者仍有可能利用Bindery 管理的弱点来攻击网络,因此,将客户端的软件升级到4.11的NDS登录,将Bindery仿真关闭(或只在限定的OU或限定的服务器),这样,有助于提高系统的安全性。
2.3 应用软件的安全性
目前证券营业部的应用软件可分为两类,行情应用和柜面应用。从总的来讲,行情应用相对来讲对安全性的要求较低,而柜面业务由于涉及股民的股金管理及交易的金额处理,安全性便显得非常重要。认为行情应用可以撒手不管是错误的,因为行情应用与整个应用系统有许多直接的联系,对行情系统的破坏会波及整个应用系统的各个方面。例如:系统的用户/口令,系统/用户的配置文件,播种病毒„„。恶意的用户可以通过行情系统的入侵来设置各种陷阱,收集系统和用户的信息,并依照这些信息轻易地破坏整个系统。
一般来说,对应用软件的安全性应从以下几个方面来考虑。
*应用软件的安全体系设计
*应用软件所基于的平台/技术的安全
*防病毒能力
2.3.1 应用软件的安全体系设计
应用软件的设计是安全性因素中的最重要因素。它从应用系统的最高层保证系统的整体安全,一个好的设计可以修改/屏蔽/克服其他底层的安全威胁。例如,应用系统拥有自己的帐户管理,数据加密,身份验证和应用/数据维护。由于此类的设计通常牵涉的技术/产品的问题过多和过于复杂,因此应用软件的设计在安全性的管理方面通常采用所依赖的软件/技术平台来帮助应用系统实现安全管理。例如,应用系统可以利用NDS所提供的安全管理手段完成其对用户的身份验证,NDS的可扩展特性允许应用程序将应用方面专有的属性和管理方式嵌入到NDS的管理。由于利用NDS的层次性,面向目标及分布式的计算处理,应用系统除了可以很容易的达到高安全性以外还可以轻而易举地实现大规模网络,跨平台应用及高可靠高容错等特性。
在柜面交易系统中,每个股民的信息是存放在数据库里的。目前,广泛采用的数据库平台有以下几种:
XBASE:没有用户管理,文件共享式访问,对网络系统的安全管理依赖严重,安全漏洞较多。
Btrieve: 无用户管理,Client/Server,无身份验证,对网络系统的安全依赖严重,有安全漏洞。
基于SQL:查询语言的数据库:有数据库自身的用户管理,Client/Server访问方式,安全漏洞较少。
在以上的几种数据库类型中,基于SQL语言的数据库有其独到的优势。在安全性方面,这类数据库有自己的用户管理机制,采用Client/Server结构也使得客户机只通过数据通信协议与数据库打交道,这样客户机无法通过文件访问的方法篡改应用数据,因而从一定意义上保证了网络数据库的安全。
另外,由于技术的原因,目前股民的帐户信息是由应用开发商自行维护的。下面对典型的计算机处理和业务操作过程进行分析,阐明可能存在的安全隐患:
1、用户的创建:用户ID和口令字由应用软件自行管理。
由应用程序自行管理股民的ID和口令字。由于帐户的管理是一门很严谨的系统,一个好的安全帐户管理系统需要很好的设计、实现与技术保障;如果系统的帐户管理有欠缺则极容易被人破译和入侵。Novell的安全管理可以帮助应用程序确认用户的身份和口令,通过 NDS的扩展接口,应用程序可以达到令人满意的安全等级。
2、用户信息入库:建立用户信息(包括股金管理信息),存放在集中的数据库里。
用户信息存放在集中的数据库里,这对用户数据库是一项挑战,必须避免用户直接访问该数据的文件。对数据库文件的任何恶性操作都会造成严重的伤害,应采取严格的文件权限管理,对所有操作记录;同时应选择更安全的数据库系统,利用Client/Server或Client/Middle Server/Sever等多层结构完成信息的处理。目前,NetWare + Oracle 8是一个非常强健的安全的Client/Server系统,用户可以用NDS登录NetWare和Oracle,通过IPX或IP连接到Oracle数据库
3、用户操作:用户提供了个人信息后(键盘、刷卡操作等),应用系统对用户身份进行验证,计算机进行下单操作。
用户进行身份验证,要保证该用户身份密码不被泄漏(这要求高级加密技术,例如RSA),也要保证用户在操作过程中不被人侵权或假冒身份。目前有些证券应用系统对股民身份的验证过程较简单,股民操作对应的计算机用户身份的防伪技术也较差,因此最容易使黑客进行攻击。在NetWare4.1中,采用RSA技术进行公钥加密身份验证,对网络上发出的信息包进行防伪识别,排除了此类入侵的可能性(注意,NetWare3.x没有此类功能)。应用程序可以利用NDS的优势方便地实施其自身的身份验证。例如,应用程序可以利用NDS的接口将股民的身份验证转给NDS系统;NDS身份验证完成以后,应用程序就可以认可股民的身份,这些验证操作将是安全的。
4、数据操作:数据库应用软件通过网络计算(文件共享、Client/Server)等方式进行数据综合。
数据通过网络传输时,有可能被别人在网上偷听。最好在应用程序里对要存放的数据进行加密,这样网上偷听/截取的将是一些废码。选择的网络工具要尽可能支持数据完整性验证,在确保数据不被偷听的同时,保证在网上的数据不被人篡改。
5、操作上传:将用户请求及数据上传交易所(文件形式)。
上传的数据是从柜面应用系统中对发生交易的数据信息进行总结形成的Foxbase格式的数据,该数据库文件放在NetWare服务器上,作为队列等待上传,由专门的传输工作站从队列里读出,发送到交易所,最后再从队列里清除该上传数据。
因此,该Foxbase文件的创建,存放和清除都有可能被侵犯。一个不安全的网络权限分配或一个受侵犯的NetWare服务器都有可能使入侵者有能力自行创建、存放、修改和复制所需上传的队列文件,一旦此文件传至交易所并完成交易,股民、营业部都将会受到严重的损失。
为避免此类事件的发生,可以采取如下的技术手段:
修改数据上传的格式;对要上传的数据进行加密及完整性校验信息,这样能够保证处理的正确性和防止欺骗。但这要求对整个信息处理模式进行改造,周期长,难度大。
严格限制网络文件系统的权限。可以单独设置网络帐户来处理该上传队列的文件,只有该帐户可以读写此队列目录,并且只有有限的工作站(MAC地址)能够以此帐户登录。
修改柜面系统的数据上传处理流程,加入加密机制和数字签名机制,缩小受侵犯的范围。
6、操作验证:交易所传回的对用户交易请求的处理结果。
此类数据为确认信息,入侵者可以篡改此信息造成系统的混乱。
病毒的防护:
计算机病毒是计算机系统安全的另一天敌,一个恶意的攻击性病毒可以造成系统性能减退或造成系统瘫痪。更可怕的是一个计算机病毒可以窃取计算机系统的安全信息或潜伏在系统中“卧底”,随时“出山”攻击系统。
一个病毒可以从以下的方面攻击:
通过键盘截取方法获得口令字
伪装成登录程序/用户界面,骗取用户的口令
为入侵者做“内应”,在安全性方面留“后门”
破坏系统程序,造成系统瘫痪
破坏应用程序,造成应用系统出错
破坏数据、改变、增加或删除数据信息,造成系统紊乱
增加网络系统负担,降低服务器/工作站性能,增加网络流量
播放错误导向信息或其它错误信息,影响股民决策
从实际操作来看,一个病毒难以同时实现上述各项攻击,但是,恶意的攻击者可以利用多种攻击工具,由浅入深,一步一步的实现对系统的攻击。
严格周密的文件系统管理和权限管理能有效的防止病毒入侵。Novell公司提供了ManageWise网络管理软件,除了能对网络进行全面的管理以外,还具有防病毒和杀病毒的功能。ManageWise可以在文件服务器上以NLM方式查找和删除病毒,也提供了客户机端的查病毒与杀病毒的程序。
第二篇:论计算机网络的安全性设计
论计算机网络的安全性设计
本文将介绍我在网络安全性和保密性方面所采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。
摘要:
我在一家证券公司信息技术部门工作,我公司在2002年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。
作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一些方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,针对我公司网络目前仍存在的一些问题或不足,提出一些改进办法。
正文:
我在一家证券公司工作,公司在2002年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务平台的实时高效,公司已于2008年已经将中心至各营业部的通讯链路由初建时的主链路2M的DDN和备份链路128K ISDN,扩建成链路为10M 光缆作为主链路和2M的DDN作为备链路,实现了通讯线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。
改造前,应用系统在用户认证及加密传输方面采取了相应措施,如集中交易在进行身份确认后信息采用了Blowfish 128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身份认证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装了防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
作为公司信息技术中心运保部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及网上办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。
作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作出了取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司的网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:
1、将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。
2、在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。
3、运用多版本的防病毒软件对用户系统交叉杀毒。
4、制定公司网络安全管理办法,进行网络安全集中管理。
一、网络安全隔离 为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离和逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。
针对我公司的网络系统的应用特点把公司证券交易系统、业务办公系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISCO7206,营业部是两台CISCO2612,一条通讯链路是联通10M光缆,一条是电信2M DDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的划分采用VLAN 技术,并将中心端和营业部端的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网,一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据的安全交换。
二、网络边界安全控制
网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
(1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通讯链路,为了保证交易网不受互联网影响,在互联网与中心的专线之间安装了NETSCREEN防火墙,并进行了以下控制:
a)只允许股民访问网上交易相应地址的相应端口。
b)只允许信息技术中心的维护机地址PING、TELNET委托机和路由器。c)只允许行情发送机向行情主站上传行情的端口。
d)其他服务及端口全部禁止。
并且在互联网和交易网之间还采用了SSL并口隔离,进一步保证了交易网的安全。
(2)交易网和办公网之间:对于办公网与交易网之间的互访,采用CISCO2501路由器进行双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制,采用的策略主要是对具体IP进行IP地址与MAC地址的绑定。
(3)办公子网与互联网之间:采用H3C SecPath 500F硬件防火墙,并进行了以下控制:
a)允许中心上网的地址访问互联网的任何地址和任何端口。
b)允许股民访问网上交易备份地址的8002端口。
c)允许短消息访问公司邮件110、25端口,访问电信SP的8001端口。d)其他的都禁止。
三、病毒防治
网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的赛门铁克SEP11.0网络病毒防护软件,并同时购置单机版的江民和瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。
四、集中网络安全管理
网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制订了公司网络安全管理办法,主要措施如下:
1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。
2)任期有限原则,技术人员不定期地轮岗。
3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。
4)营业部进行网络改造的方案必须经过中心网络安全小组审批后方可实施。
5)跨网互访须绑定IP及MAC地址,增加互访机器时须经过中心批准并进行存取控制设置后方可运行。
6)及时升级系统软件补丁,关闭不用的服务和端口等等。
保障网络安全性与网络服务效率永远是一对矛盾体,在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。如,我在互联网和交易网之间设置了防火墙的前提下再进行了SSL并口隔离后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通讯机的办法来消除交易延时问题。
在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在Internet的入口处部署了防火墙,有效阻挡了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的访问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
1、在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
2、中心与营业部之间的通讯,采用通过IP层加密构建证券公司虚拟专用网(VPN),保证证券公司总部与各营业部之间信息传输的机密性。
3、建立由入侵监测系统、网络扫描系统、上网行为管理设备、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。
4、进一步完善网络安全管理制度,并加以落实和监管。
第三篇:计算机网络及应用第四章
第四章
1、无线局域网的特点
无线局域网—无线以太网—WiFi
利用空间无线电波作为传输介质
结点可以是固定的、也可以移动的 不需铺设线缆,安装简单、使用灵活、易扩展
技术标准:
IEEE 802.11:2Mbps
IEEE 802.11b: 11Mbps
IEEE 802.11a: 54Mbps
IEEE 802.11g: 54Mbps
IEEE 802.11n: 300Mbps2、无线传输
信号衰减:信号在无线传输介质中的衰减速度比有线传输介质大;信号穿过不同物体时的衰减速度不相同。
易受干扰:相同频段相互干扰:802.11b/g和2.4GHz无绳电话;无线信号更易受到电磁噪声干扰。
具有多径传播特性:由于障碍物形成的反射,无线信号在发送方和接收方之间穿越多条路径,接收方接收的叠加信号模糊不清;发送方与接收方之间移动物体,多径传播对接收信号的影响更大。
3、基本服务集与扩展服务集、组网设备
基本服务集BSS—独立基本服务集IBSS:IBSS中不存在中心结点,各无线结点地位平等,数据勿需经中间结点转发。
基本服务集BSS—带AP基本服务集:AP是BSS的中心结点,结点间的信息须由AP转发;BSSID:AP的48位MAC地址(即该BSS由AP代表);基础设施无线局域网:利用AP组建;安全性和可靠性较高,可实现无线网络与其他网络(包括有线网络)的互联;适用环境:办公自动化等领域;基于AP的无线局域网是最常见的无线局域网组网模式。
扩展服务集ESS:ESS由多个带有AP的基本服务集通过分布式系统连接而成;基于ESS无线局域网属基础设施的无线局域网;如果ESS中BSS的覆盖区域相互交叠,那么无线站点在ESS中移动时不会失去连接。 组网所需的器件和设备:无线网卡、天线。
4、无线信道、访问机制、帧结构
无线信道:将使用的频带范围划为多个子频带;子频带被称为信道;提高通信效率,减少无线局域网之间的相互干扰。
访问机制:
帧结构:
5、无线局域网标准
第四篇:计算机网络及应用 教案
课题:计算机网络及应用
一、教材分析
本课选自川教版信息技术教材八年级下册第一课的内容。网络已经深入我们的生活,了解“什么是网络”及网络的功能有助于我们更好地使用网络。通过前面的学习同学们已经知道计算机的不断发展是为了满足社会的需要,同样的道理,计算机网络也要不断的发展。本课从什么是网络、计算机网络的发展历程以及网络的功能几个方面对网络进行了分析与解释,为后面的课程的学习打下基础。
二、学情分析
教学对象是乐山是实验中学八年级的学生。同学们对“网络”并不陌生,比如经常会浏览网页、利用QQ通信等,但是更多的同学会把它的概念缩小理解为“互联网”,因此,这节课首先就是要让学生能够了解什么是网络。可以利用学生们已有的上网经验来激发学生学习本课的兴趣。
三、教学目标
1、了解计算机网络的概念、发展、功能及分类。
2、根据网络的概念及组成要素,知道组建网络要做哪些事。如果身边碰巧有这种需要,自己可以参与其中。
3、通过对生活中不同网络类型的介绍,激发学生的兴趣,并且能恰当地将身边的一些网络进行归类。
四、教学重、难点
重、难点同为:计算机网络的分类及功能
五、教学环境
普通教室
六、教学过程
1、导入
这是春节开学后的第一次课,可以先问问同学们春节了都做了些什么。其中必不可少的一件事就是给亲友送祝福了。问大家在用邮箱发新年贺卡的时候有没有想过它是通过什么传送的对方的邮箱的呢?可能部分同学会想到网络,以此导入新课。
2、什么是计算机网络
先让同学们说说他们理解的网络是什么样的。绝大多数同学可能都会把网络与英特网划上等号,先不告诉他们对错。在讲完计算机网络的概念以及它必须具备的基本要素之后,再让同学们讨论:网络与英特网是不是等同的。这样同学们就比较容易理清楚网络与英特网是一种包含与被包含的关系。
3、计算机网络的发展历程
大家都知道电子计算机的不断发展是为了满足社会的需求,同样的道理,这也是促进计算机网络发展的一个至关重要的原因。接着就以社会的发展需求为主线来介绍计算机网络发展的四个阶段。
4、计算机网络的分类
借助大家熟悉的校园网、英特网等的特点让学生理解不同类型的网络
5计算机网络的主要功能
先让同学们讨论大家平时都借助于网络做了些什么,并对他们的所提到的功能进行分类。对于同学们没提到的方面着重讲解。
第五篇:食品包装安全性分析
食品包装安全性分析
摘要:近年来,由于受对外贸易中技术壁垒的限制,我国出口食品因包装质量问题频遭国外封杀,造成严重的经济损失,食品包装材料的安全性问题面临严峻挑战。我国是食品包装材料生产和使用大国,国家对食品包装材料的生产和使用都有严格的规定;然而,在我国使用有毒有害物质的违规行为非常严重。本文分析了我国食品包装材料的安全现状,以及所面临的主要问题,并探讨了我国食品包装材料的解决对策。
关键词:食品包装、现状与问题、对策
一、食品包装的定义
食品包装是食品商品的组成部分。食品工业过程中的主要工程之一。它保护食品,使食品在离开工厂到消费者手中的流通过程中,防止生物的、化学的、物理的外来因素的损害,它也可以有保持食品本身稳定质量的功能,它方便食品的食用,又是首先表现食品外观,吸引消费的形象,具有物质成本以外的价值。因此,食品包装制程也是食品制造系统工程的不可分的部分。但食品包装制程的通用性又使它有相对独立的自我体系【1】。
二、安全现状与存在的问题
2.1食品包装材料自身缺陷带来的危害
目前人们普遍使用的食品包装材料主要分为塑料类、金属类、和纸(壳)类等。塑料是使用最广泛的食品包装材料。塑料属于高分子聚合物,在聚合合成工艺中会有一些单体残留和一些低分子量物质溶出【2】。为了改善塑料的加工性能和使用性能,在其生产过程中需要加入一些添加剂(如稳定剂、润滑剂、着色剂、抗静电剂、可塑剂等加工助剂)。上述物质在一定条件下,会从聚合物材料向接触的食品中迁移而污染食品。
金属包装材料化学稳定性差,特别是包装酸性内容物时,金属离子极易析出而影响食品风味,一般需要在金属容器的内、外壁施涂涂料,内壁涂层中的化学污染物会向内容物迁移污染食品,外壁含苯的涂料和油墨也会渗透而污染内容物。
纸制品是一种传统的食品包装材料,在食品包装中占有相当重要的地位。纸包装的安全问题主要来自于造纸过程中加入的添加剂,或原料本身的不清洁,或采用霉变甚至使用回收废纸作为原料【3】。
2.2包装材料生产不规范带来的危害
目前我国食品包装生产企业近6 000余家,规模和产品质量良莠不齐。小型企业占相当大的比例,目前仅就塑料袋的生产,全国90%的企业都是小企业,从业人员素质偏低和技术水平落后等问题比较突出【4】。有些企业为降低成本,使用劣质原材料,甚至非法使用回收的废旧塑料;在一次性塑料餐饮具生产中,使用工业级碳酸钙、滑石粉、石蜡等有毒有害原辅材料;或加入有毒色母料把产品染成黄色,还堂而皇之地标上“可降解”字样;或加入有致癌作用的荧光增白剂掩盖杂质。
此外,我国大部分食品生产企业实行外购包装制品,而生产包装制品的企业通常是通用型企业,其生产环境和卫生条件难以保证产品的安全性。同时,现在绝大多数食品企业不允许包装企业在产品上打上自己的标志,公众无法监督,包装企业又多以成本高低来决定购买加工材料,从而造成食品安全隐患。
2.3食品包装安全监管薄弱
在我国尽管食品包装材料有相应的法律法规(《中华人民共和国食品安全法》)和卫生标准。但是受食品安全管理体制和政府职能分工的限制,目前的法律体系并没有得到较高水平的贯彻执行。监管缺乏依据,缺乏技术支撑。相对于食品本
【5】身的安全监管来说,我国食品包装安全监管明显薄弱,甚至存在“监管盲区”。我国要求食品生产企业必须获得生产许可,但在包装企业中,却缺乏有效的准入和管理机制。目前只制定了《食品用塑料及纸制品的包装、容器、工具等制品市场准入强制生产许可(QS)认证》,实行了市场准入制度。而陶瓷、玻璃、金属、橡胶、竹制品等食品包装材料,大部分仍未实行市场准入制度。更令人忧虑的是,即使对被纳人市场准入制度的食品容器、包装产品也未能做到严格地“许可”后续监管。
2.4包装材料的标准和检测方法亟待健全完善
由于各种因素的影响,我国对食品包装材料的管理相对滞后,部分食品容器、包装材料及加工助剂的标龄较长,检测项目相对较少,严重制约了行业的健康发展。许多成分和新产品缺乏相应的标准和检测方法,导致包装材料中的有害成分得不到有效控制。在复合包装材料生产中,广泛使用的油墨和胶粘剂,目前还没有卫生标准和全国统一的产品标准【6】。随着一些新型的食品包装材料的层出不穷,亟待标准的制定、修订和更新,并完善新材料的安全性评价程序和评价机制。
三、对策
3.1制定和完善法规
通过有关法规的制定和对广大食品生产者和消费者的教育和引导,使人们充分认识到绿色包装可以改善人类的生存环境,确保绿色包装行业的健康、持续发展。
3.2加强对新型材料的研究
大力推广现代包装新技术取代传统包装工艺是确保获取绿色包装的有效方法。例如,采用电子分色、电子雕刻取代落后照相凹版制作工艺,避免了因腐蚀液排放而危害环境卫生。在食品包装工艺上大力推广使用公害小、污染小的“绿色”印刷材料,有着重要的现实意义。3.3积极引进、吸收国外成熟技术
对绿色食品进行适度包装,积极推广“无包装”、“减包装”及局部包装。美国颁布了《包装和包装废弃物限制法》,日本颁布了《商品礼盒包装适当化纲要》,还有一些国家明确规定了包装费用应控制在商品价格的15%以内【7】。尽量使用同一材料,减少材料种类。尽量使用同一材料进行设计,不是限制包装设计的多样性,而主要是出于方便回收的考虑。采用可拆卸化、易压缩、折叠的设计。在设计包装物的结构时,应考虑可拆卸、易压缩、易折叠,使之更便于运输和回收。建立先进的回收系统,从而做到节约能源与资源。3.4加强设计识别
绿色包装与绿色食品密不可分,绿色包装在对绿色食品的包装过程中不仅是对材料、功能的要求,同时对包装外观的识别也有明确规定。环保部门对绿色包装的外观要求必须是“五位一体”:绿色食品、绿色食品字样、编码、防伪激光标签和认证单位。消费者在购买绿色食品时依据其外包装上的上述5项标准即可确定所购商品是否为真正的绿色商品【8】。由于各方面的原因,对绿色食品生产企业的产品包装没有统一的要求,大部分绿色食品没有采用绿色包装,有些甚至使用有毒、有害物质做包装。绿色包装已成为我国商品进入国际市场的障碍,因此,在我国包装行业推广“绿色包装”,势在必行。
总结:
随着科技的不断发展,食品包装材料的研究与开发也越来越“以人为本”,想着健康环保的方向发展。随着国家政策的调整以及消费观念的改变,借鉴发达国家的经验,我国的相关制度越来越完善,广大消费者对食品包装材料安全性的认识也越来越深入。从长远的角度看,社会环境需要食品产业的高安全性,因此,作为食品生产最后环节的包装材料的安全也成为重中之重。我们应当清楚目前所面临的困境,同时也应该对未来充满期望和信心。
参考文献:
[1]《中华人民共和国食品安全法》
[2] 刘浩 赵笑虹.食品包装材料安全性分析.中国食物与营养,2009 [3] 黄大川.食品包装材料对食品安全的影响及预防措施探讨.食品工业科技,2007,4:188 [4] 梁燕君.注意食品包装材料的安全性.劳动保护杂志2002,(1):32 [5] 郭恒斌 曾庆祝 王雅卿.食品包装材料的安全性及其对策.现代食品科技,2006 [6] 章建浩主编食品包装大全.中国轻工业出版社,2000 [7] 唐志祥.包装材料与实用包装技术.化学工业出版社,1996 [8] 章建浩.食品包装学.中国农业出版社2002
点击咨询 