发布时间:2023-08-07 17:20:07
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全申请样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:网络安全;网络攻击;安全策略
1 引言
随着Internet的发展,高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。
2 常见网络攻击的原理和手段
2.1 口令入侵
所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。
2.2 放置特洛伊木马程序 [1]
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
2.4 电子邮件攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
2.5 网络监听 [2]
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。
2.6 安全漏洞攻击[2]
许多系统都有这样那样的安全漏洞(Bugs)。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
3 网络攻击应对策略
在对网络攻击进行上述分析与识别的基础上,认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。同时还必须做到未雨绸缪,预防为主,将重要的数据备份并时刻注意系统运行状况。
3.1 利用安全防范技术
正因为网络安全问题,复杂多样,所以出现了一些技术来帮助管理员来加强网络安全。其中主要分为,加密技术,身份认证技术,防火墙技术等等。管理员可以利用这些技术组合使用来保证网络主机的安全。
3.1.1 加密技术
加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快的,但缺点是一旦被解密者追踪到算法,那么算法就彻底废了。公开算法的算法是公开的,有的是不可逆,有用公钥,私钥的。优点是非常难破解,可广泛用于各种应用。缺点是运算速度较慢。使用时很不方便。
3.1.2 身份认证技术
身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,它可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。
3.1.3 防火墙 [3]
防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。
3.2 制订安全策略
系统管理员应提高认识,并分析做出解决办法和提出具体防范方法。更应该在保证好机器设备正常运转的同时,积极研究各种安全问题,制订安全策略。虽然没有绝对的把握阻止任何侵入,但是一个好的安全策略可以最少的机会发生入侵情况,即使发生了也可以最快的做出正确反应,最大程度减少经济损失。
3.2.1 提高安全意识
(1)不随意打开来历不明的电子邮件及文件,不随意运行不明程序。
(2)尽量避免从Internet下载不明软件。一旦下载软件及时用最新的病毒和木马查杀软件进行扫描。
(3)密码设置尽可能使用字母数字混排,不容易穷举。重要密码最好经常更换。
(4)及时下载安装系统补丁程序。
3.2.2 使用防毒、防黑等防火墙
防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3.2.3 设置服务器,隐藏自己的IP地址。
事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。
3.2.4 将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
3.2.5 对于重要的资料做好严密的保护,并养成资料备份的习惯。
4 结束语
没有绝对安全的网络系统,安全问题是多种多样,且随着时间技术的变化而变化,所以安全防护也是非常重要的,保持清醒正确的认识,同时掌握最新的安全问题情况,再加上完善有效的安全策略,是可以阻止大部分安全事件的发生,保持最小程度的损失。
参考文献:
[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006,155-158.
[2]刘远生,等.计算机网络安全[M].北京:清华大学出版社出版,2006.229-244.
[3]姜文红.网络安全与管理[M].北京:清华大学出版社出版,2007.100-113.
上海市网信办相关负责人说,从被抽查的APP情况来看,现在上线的APP几乎都有过度索取用户个人信息的问题,APP运营企业都要对此进行自查自改。上海市网信办今后将定期抽检,并向社会公布抽检结果。
上海市网信办指出,本次抽查主要针对基于Android平台的APP,将APP申请的权限分为三类,一是存在与之对应服务功能且不存在风险的 “合理”权限,二是存在与之对应服务功能,但如被恶意利用会存在潜在风险的“合理但存在风险”权限,三是不存在与之对应服务功能的“不合理”权限。抽查所 指的存在“风险”是指APP权限被恶意利用后可能产生的风险,有别于由APP存在漏洞而造成严重后果的技术性风险。限制APP向用户索取“不合理”权限, 要求运营企业严格管控获得的“合理但有风险”的用户信息,能从源头上减少个人信息被泄露和被滥用的可能。
这次抽查结果显示,23个APP累计共申请864项权限,其中“合理”权限444项,占比51.4%,“不合理”权限264项,占比30.6%,“合理但存在风险”权限156项,占比18%。
透过宏观角度观察界定,计算机网络就是借助电缆、电话等媒介,将不同空间位置的计算机系统交互式连接,确保彼此之间能够进行信息自由快速地传输。但是由于人为操作的随意性,使得各类黑客、病毒侵害难以系统化抵制。常见的计算机安全隐患包括信息大范围泄露、系统机理完整性破坏、特定服务功能难以响应等。
(1)关于信息泄露问题,就是说操作主体在不知情的状况下将个人信息透露给非授权方,包括网络非法监视、射频肆意截取、网络钓鱼等不良状况。
(2)系统机理完整性受损隐患,则基本上利用物理侵权、病毒漏洞等渠道衍生拓展。
(3)特定操作功能无法及时响应结果,随着计算机网络技术的高速普及,基层社会大众不管是学习、生活,以及工作模式上,都发生了本质性的变化,但同时也夹杂着某种不良威胁隐患,包括黑客、病毒的肆意攻击侵害问题等,任何细节处理不当,都将直接造成难以估计的经济名誉损失。因此,笔者决定针对目前我国计算机网络与信息安全管理状况,加以客观观察校验;同时联合外国最先进技术资源和思维理念,进行上述诸多不良状况遏制,希望能够为今后人们正常网络生活秩序维护,提供更多合理的指导性建议。摘要主要是一切合理性访问资格权限一时间被外界非法人员占据,不能在当下展现出和预定时间相关的程序功能特性。
2新时代背景下我国计算机网络与信息
安全的科学防护措施细致性解析随着人们对计算机网络和信息安全防护结果关注意识的系统化提升,有关各类物理防护措施、数据加密和病毒抵御等程序,开始受到广泛好评和有机改造沿用。有关具体调整控制策略内容主要如下所示:
2.1针对社会大众进行计算机网络和信息安全防护知识讲解推广
想要督促个人在计算机操作过程中自主强化信息保密意识,前提条件就是不断参与各类技术培训实践性活动,借此系统化吸纳和熟练解读最新网络信息保密原理,将一切网络病毒和黑客操作行为成功抵制。由此来讲,不管是学生还是单位职员,千万不可随意打开来源渠道不明的文件,单纯拿目前广泛流行的视频软件为例,安装过程中总是伴随着其余机理混乱的程序内容,无故的占据计算机原有内存空间或是借助孔隙窃取操作主体个人账号信息,最终造成的经济损失数据着实难以估量。所以说,进行社会大众进行最新网络信息保护知识科学灌输和灵活讲解,绝对是非常必要的。
2.2专业化病毒防治软件和防火墙的全面性安装
在计算机系统之上进行防病毒程序预先安装,能够发挥出系统漏洞实时性排查遏制等功用,确保一切邮件、网页信息都能够得到更深层次的防护,一旦说发生任何危急状况就可在当下进行快速处理。就拿防火墙为例,其主张进行专业化硬件、软件资源科学吸纳整合,同时于内部和外部网络空间内额外提供一类检验关口,完成数据包合理过滤任务,最终决定是否将其发送到最终目的地。归结来讲,就是进行网络使用信息流量、隐藏IP地址等结构细节多元化控制疏通。
2.3添加服务器并进行自身IP地址适当藏
针对操作主体IP地址进行防护是非常必要的,因为就算是计算机系统内被恶意安装了木马程序,主要IP地址尚未泄露,外方攻击人员始终是束手无策的。针对IP地址加以系统化防护的最佳适应途径,便是设置完善形态的服务器。服务器能起到外部网络访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时.服务器接受申请.然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。目前市场普遍被采用的网络安全技术主要包括以下类型:主机安全、身份认证、访问控制、密码认证、防火墙、安全审计、安全管理、系统漏洞检测、黑客跟踪等。但是,有了安全技术还是远远不够,许多网络安全事件的发生都与缺乏安全防范意识有关。因此,我们要有网络安全防范意识并建立起相应的安全机制,诸如加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、信息流填充机制、路由控制机制、公正机制等,借此保证网络环境的安全性。
3结语
1.制定本规定的目的是为了提供it集中化管理的规范,包括网络中心机房管理,网络接入管理,it,集中化支持服务和it资产管理。
2.此规定也包含了有关it的正确使用,信息安全和集团内部各单位的协调等方面的工作原则及相关前提条件。
第二条依据
本规定依据《中华人民共和国保守国家秘密法》和《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际管理暂行规定》制定。
第三条范围
集团网络由信息中心负责管理,上投大厦内所有单位、部门和员工均必须执行本规定。
第四条主机房安全规定
1.机房不得携入易燃、易爆物品。
2.机房内严禁吸烟。
3.机房内不准吃饭、吃零食或进行其它有害、污损电脑的行为。
4.机房严禁乱拉接电源,以防造成短路或失火。
5.非集团信息中心和信托公司电脑部工作人员严禁进入主机房(特许人员例外),工作人员进出主机房必须随手关门。
6.机房工作人员应定期检查机房消防设备完好情况。
第五条主机房净化规定
1.机房内应及时清扫卫生死角和可见灰尘。
2.精密空调应调节适合温度以适应计算机设备的运转。
3.机房应门窗密封,防止外来粉尘污染。
4.机房内不准带入无关物品,不准睡觉休息。
5.机房工作人员须穿专用拖鞋进入机房。
6.机房用品须定期清洁。
第六条主机房参观管理的规定
1.经信息中心主管批准,外来人员才予安排参观。
2.外来人员参观机房,须有公司指定人员陪同,并登记出入纪录。
3.参观人员不得拥挤、喧哗,应听从陪同人员安排。
4.参观结束后,操作人员应整理如常。
第七条网络中心办公区域管理规定
1.网络中心办公区域包括信息中心办公区域及信托公司电脑部办公区域。
2.办公区域内不得携入易燃、易爆物品,严禁吸烟,严禁乱拉接电源,以防造成短路或失火。
3.外来人员不得随意进入办公区域。
4.非经有关领导及信息中心主管及批准,办公区域不得随意增加、减少有碍办公环境的设备(家具、电器等)。
5.办公时间内须保持办公环境安静,不大声喧哗,不播放音乐。
6.办公区域须定期清洁,值班人员须保持环境卫生整洁。
7.值班人员每日下班前需认真检查门窗关闭情况。
第八条主干网管理规定
1.集团信息中心负责主干网的运行管理、设备管理和发展规划,保证主干网的畅通。
2.信息中心负责楼层接入设备的安装、调试及日常维护,任何单位和个人不得私自移动、改动有关设备。
3.主干网及楼层网络跳线一经固定,任何单位、个人不得私自改变,如有线路调整,需由相关单位提出申请,报信息中心审核同意,由信息中心网络部进行有关跳线工作,更改完毕,网络管理员需做好相应的文档记录。
第九条子网接入单位职责规定
1.各子网网络管理员具体负责子网内相应的网络安全和信息安全工作,保存网络运行的有关记录,指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理。
2.子网接入单位在信息中心的统一规划和指导下,负责按有关要求和规定对子网进行建设、运行和管理;
3.子网接入单位指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理;
4.子网接入单位负责和承担下一级接入单位和用户的管理、教育、技术咨询和培训工作;
5.负责本级网络相应的网络安全和信息安全工作;
6.负责保存本级网络运行的有关记录并接受上一级网络的监督和检查。
第十条ip地址、用户账号申请与电子邮件
1.与集团公司主干网络相连的电脑及网络设备ip地址由信息中心负责统一管理和分配。
2.入网单位应统一向信息中心申请分配或增加ip地址。入网单位和个人应严格使用由信息中心分配的ip地址,严禁盗用他人ip地址或私自乱设ip地址。信息中心有权切断乱设的ip地址入网,以保证公司网络的正常运行。
3.用户要求入网和个人要求办理电子邮件户头,应经过其部门主管同意,并向信息中心提出书面申请,审查同意后由管理员对入网计算机和用户进行逐个登记,在有关系统上开户,分配ip地址,办理有关手续。符合要求的计算机和用户方可入网运行、对外通信。
4.任何电子邮件(包括所有内部邮件)都必须遵守以下规定
4.1每位集团员工只能拥有一个后缀为××××××××*.com的电子邮箱,员工可以发送邮件至公司外部,但仅为工作用途。公司禁止所有不恰当的邮件传递行为并将其视为违反公司规章。
4.2严禁发送附件具有下列扩展名的邮件(例如:.exe,.vbs,.com,.bat,.cmd,mdb等等。
4.3每封发送邮件大小:原则上<=2m字节。严禁向非集团信箱自动转发邮件。
第十一条上网信息及网络安全管理
1.上网信息管理实行谁上网谁负责、后果自负的原则。上网信息不得有违反国家法律、法规或侵犯他人知识产权的内容。
2.各用户必须自觉遵守国家有关保密法规:
2.1不得利用国际联网泄露国家秘密;
2.2文件、资料、数据严禁上网流传、处理、储存;
2.3与文件、资料、数据和科研课题相关的微机严禁联网运行。
3.任何用户不得利用国际联网制作、复制、查阅和传播下列信息:
3.1煽动抗拒、破坏宪法和法律、行政法规实施;
3.2煽动颠覆国家政权,社会主义制度;
3.3煽动分裂国家、破坏国家统一;
3.4捏造或者歪曲事实,散布谣言,扰乱社会秩序;
3.5公然侮辱他人或者捏造事实诽谤他人;
3.6其他违反宪法和法律、行政法规的。
4.任何用户不得从事下列危害计算机信息网络安全的活动:
4.1未经允许,进入计算机信息网络或者使用计算机信息网络资源;
4.2未经允许,对计算机信息网络功能进行删除、修改或者增加的;
4.3未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
4.4故意制作、传播计算机病毒等破坏性程序的;
4.5其他危害计算机信息网络安全的。
5.从internet上下载文件有大小限制,任何例外必须报请信息中心批准。
6.信息中心和各接入单位要定期对相应的网络用户进行有关的信息安全和网络安全教育,并根据国家有关规定对上网信息进行检查。发现问题应及时上报,并采取处理措施。
7.信息中心、接入单位和用户必须接受并配合国家和集团有关部门依法进行的监督检查。
8.对于盗用ip地址、盗用他人口令、入侵及破坏网络和计算机系统、违反网络用户行为规范的行为,信息中心将要求相关子网部门予以配合,并会同集团有关部处共同查处;处罚分为警告、停止户头、停止单机上网、停止子网上网、集团通报批评、罚款;触犯国家有关法律者,要报公安机关依法追究责任。
1、维护内容
日常运行维护管理的内容主要包括主机维护、存储系统维护、系统软件维护、安全系统维护、应用系统维护、软件版本升级。
(1)主机维护
主要是对小型机、PC服务器进行日常维护。包括硬件外观检查,系统状态指示灯检查,清除灰尘等。
(2)存储系统维护
主要是对数据备份设备进行维护。包括对双机备份系统的日常检查和维护、系统运行日志的监控、服务器系统内存、CPU以及负载检查、服务器系统空间检查、综合调整系统配置使系统性能最优、按照备份管理办法完成对操作系统、数据库及应用系统的日常备份、完成诸如增加用户、修改系统配置、提供系统咨询、解决系统问题等。
(3)系统软件维护
主要是对数据库、中间件、操作系统等系统软件的维护。对运行数据库进行日常检查、维护和操作、调整数据库配置参数等。
(4)安全系统维护
主要是对主要对安全保障的平台进行维护。包括安全系统状态、关键安全功能测试和安全日志检查、服务器系统安全检查,检查系统是否有可疑帐户及工作组、系统安全扫描、漏洞扫描等。
(5)网络维护
主要维护网络设备、链路和相关软件,保证网络的正常运行。包括网络系统状态与联通性检测、Internet网络联通检测等。
(6)应用系统维护
主要是对各个应用软件、应用平台进行维护。包括对应用程序执行情况的监控和维护,系统运行日志的监控等。
(7)软件版本升级
在需要软件升级时,首先应从原厂商那里取得要更新的软件在信息中心模拟环境下首先进行测试,确保正确;并由原厂商提供详细的操作说明,说明可进行软件升级的内容,软件升级、迁移,在原厂商指导下进行;在必要的情况下,应由原厂商提供远程或现场的指导、支持。
2、维护方式及人员安排
对以上内容的维护管理一般分为日常性维护、预防性维护与巡检。
(1)日常性维护管理
维护管理人员应在工作日内每天对各项系统的工作情况按照维护内容进行严格检查。查看各类设备是否清洁,如有粉尘要及时清除。查看各类设备工作是否正常,有无故障,有无隐患。一旦发现问题,应及时报告股室负责人,由股室负责人视问题性质和轻重程度组织安排人员处理解决,问题严重的需及时报告分管领导。
维护管理人员应对每天的检查情况做好检查记录,发现问题的,还应详细记录问题描述、问题处理过程以及处理结果等。
日常维护管理人员由二名信息中心专职人员组成,其中一人负责主机维护、存储系统维护和安全系统维护,另一人负责系统软件维护、应用系统维护和软件版本升级。
(2)预防性维护与巡检
预防性维护主要是针对正常运行的设备、应用软件、系统软件等定期进行设备测试检查,找出隐患,尽早排除。对于系统性能问题予以调整,并定期进行设备的清洁保养。主要工作方式为巡检,由软件集成商进行现场维护。一般情况下要求一个月一次的定期巡检,如遇突况下,要求2小时之内到场。同时,要求做好维护与巡检记录。
二、安全防范管理制度
安全防范管理制度内容主要包括机房安全管理制度、网络安全管理制度、设备安全管理制度、介质和资料安全管理制度、数据备份管理制度、用户权限管理制度、人员安全管理制度、应急管理制度、工作人员安全教育制度。
1、机房安全管理制度
(1)信息中心配备机房安全人员,专门负责机房的防火、防盗,负责机房供电系统、空调系统、通风系统的安全和日常养护工作,定期检查机房设施情况,做好安全记录,并对机房全体工作人员经常进行防火、防盗、防爆、防破坏教育,提高安全意识。
(2)机房工作人员要进行必要的消防器具使用培训,做到会使用灭火器具。
(3)严禁易燃、易爆、易腐蚀品进入机房。严禁将水洒落在机房设备和地板上。严禁踩踏机房电源插座或网线插座。未经许可,非机房工作人员严禁动用各种电源开关,严禁动用任何线路和设备。
(4)机房工作人员必须严格遵守各项操作规程。拆装设备时,不准带电作业;维修设备时,必须先切断电源,再行维修;禁止使用汽油、酒精等易燃、易爆品清洗带电设备。
(5)机房必须保持安静、整洁,严禁喧哗、会客、吸烟。机房内实际温度应保持在20℃—25℃之间,相对湿度保持为45%—65%。所有进入机房人员必须换拖鞋。
(6)严格执行机房值班制度,做好值班记录。值班记录应载明机房设备使用登记情况,凡机房的系统、设备及其图纸、随机资料等只限在机房内使用,未经批准不得带离机房。
(7)严禁无关人员进入机房。机房禁止会客。对外来参观单位,需由信息中心派专人陪同。
(8)机房内的网络设备、计算机设备采用实时监控、定期养护,确保设备始终处于良好的运行状态。
(9)为保证系统安全,除网络管理员外,任何人未经批准,不准对机房内网络或计算机设备进行操作。
(10)机房值班员应认真负责,及时解决问题。当出现突发事故,机房报警时,值班员应立即报告,并采取紧急措施。
(11)严禁携带病毒盘和游戏进入机房,严禁在因特网上下载与工作无关的内容,以防系统被破坏。
(12)严格机房钥匙管理。机房钥匙不准转借,若丢失应及时采取补救措施。
(13)每周由安全负责人对整个安全情况做一次彻底检查,并作好安全检查记录。
(14)除工作需要,下班后,任何人不许在机房停留。
(15)严格遵守国家及各级有关安全与保密方面的法规和规章制度。
2、网络安全管理制度
(1)部署防病毒软件,通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
(2)部署防火墙,实时监控网络数据包的状态,网络上流量的动态变化,并对非法数据包进行阻断,防范网络上的攻击行为。
(3)部署IDS设备,作为防火墙的合理补充,入侵检测技术IDS可以识别黑客常用入侵与攻击手段、监控网络异常通信、鉴别对系统漏洞及后门的利用、完善网络安全管理,主动发现网络的隐患,帮助防火墙对付网络攻击。
(4)部署漏洞扫描系统,通过对网络中的工作站、服务器、数据库等各种系统以及路由器、交换机、防火墙等网络设备可能存在的安全漏洞进行逐项检查,测试该系统上有没有安全漏洞存在;系统管理员通过了解扫描出来的安全漏洞报告,及时修补漏洞,从根本上解决网络安全问题,有效的阻止入侵事件的发生。
(5)部署物理隔离网闸,对来自可信网及不可信网的数据进行预处理及内容检测、协议分析、访问控制,安全决策、查病毒等一系列安全检测,完全阻断网络间的TCP/IP连接,剥离通用协议,将数据通过专有数据格式由网络的一端发送到另一端,同时集成多种安全技术对进出数据进行安全检测,保证交换信息的安全,并完美的解决了网络间边界防护和安全信息交换的需求。
3、设备安全管理制度
(1)数据中心机房所有设备必需设立设备操作管理档案,详细记录人员对设备操作情况,包括操作人员、操作开始时间、结束时间、操作命令等记录。
(2)数据中心机房所有设备必需设立中心所有设备信息管理档案,详细记录设备及软件的名称、型号、购买日期、保存场地、运行及维修情况等。
(3)如设备出现故障需要维修时,机房值班人员应该全程陪同指明须维修的设备,避免误操作。中心设备如需运出中心机房进行维修,维修前业务软件及数据要完全备份并彻底清理。
(4)定期清理数据中心设备外壳及工作台,需保持设备所在场所干净卫生,严禁在设备周围放置食物、易燃、易爆、易污染等物品。
(5)定期对主机设备进行杀毒、运行状态检查。
(6)严禁非专业维修人员拆卸数据中心相关设备,操作时应配带防静电手腕。
4、介质、资料安全管理制度
(1)介质、资料包括应用软件、系统软件或业务数据的光盘、磁盘、磁带和硬盘以及所有设备的使用说明、维护手册等。
(2)介质、资料入库要登记造册,介质的升级、报废等,由专人负责保管,所有介质、资料应存放在专门的管理柜中。介质、资料的存放地点应通风良好,温湿度适宜,对特殊要求的介质、资料应放置在规定要求的环境内。
(3)运行维护人员因检修设备需要领取介质、资料时,必须先登记。使用归还情况应及时做记录。紧急情况下可口头通知,但事后须及时补填登记。
(4)应定期检查介质、资料的可用性,版本不是最新时应尽快通知设备厂商升级。
(5)淘汰、损废的磁盘、磁带等重要介质要经中心主任同意后集中销毁。
5、数据备份管理制度
(1)定期、及时的对数据库数据、日志等进行备份。数据备份实行日备、月备。
(3)制作备份的数据要确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
6、用户权限管理制度
(1)用户采用"分级授权,统一管理"方式,即操作员所能进行的业务操作要设定权限级别。
(2)权限级别由专人管理,信息中心由系统管理员管理,主要职责是负责各镇(街道)用户和各单位网管员操作帐户管理,并严格按照各镇(街道)以及各业务单位职责分配部门操作权限。
部门职责分配按照局相关部门规定执行。若部门职责变动应及时通知信息中心,以便重新分配部门权限。
各单位应指派一名网管员,负责本单位内部操作用户的管理,并根据本单位各业务人员的工作职责分配操作权限。
(3)用户只能拥有自己业务范围内的操作权限,系统管理人员以及各单位网管员不得随意授予与其无关的操作权限;对于随意授权造成的后果将追究相关人员的责任。
(4)账号是计算机鉴定操作员合法身份的依据,凡用合法账号登录所进行的操作均视为账号持有者所为。
(5)操作员本人应对密码必须严格保密,不得外泄。若因密码外泄造成损失的,将追究当事人责任。
(6)为防止弱口令,密码应是字母、数字和特殊字符的组合,且不能小于6位。
(7)各单位,镇(街道)由于人员离职、操作员用户必须予以封存,不允许删除。
7、人员安全管理制度
(1)安全管理员、系统管理人员等要重要岗位人员,上岗前要严格进行审查和业务技能考核,择优上岗。
(2)运行维护人员应熟悉系统设备的基本原理和结构,熟悉系统及运行方式,能熟练地进行正常操作,并能够处理系统异常和故障。
(3)定期对各类计算机人员进行法制教育、安全意识教育和防范技能培训。
(4)重要岗位人员调离时,严格按照规定办理调离手续,各种资料的移交,系统密码、操作员密码的更换要在安全管理员监督下完成,并办理接交手续。
(5)调离人员离岗后,不得泄漏任何涉及安全保密的信息。
8、应急管理制度
灾难应急处理流程是对因人为或自然灾害造成的涉及全局的一时难以恢复的破坏性事件的处理流程。具体流程如下:
1)制定应急计划
风险评估
关键业务影响分析;
关键业务持续运行计划;
技术恢复流程制定等。
2)应急设备的维护
提供与设备系统及配置相匹配的备机;
7X24小时的监控与维护
3)应急恢复流程培训
对维护人员进行灾难恢复流程培训
使用灾难发生后会涉及的所有设备
模仿真正灾难发生后的设备配置和系统加载状况
4)应急业务恢复
灾难核实及业务恢复方案启动;
备用设备在约定时间内到位;
供应商提供技术支持和指导;
故障设备的维修;
业务恢复后,恢复计划的回顾和改进。
病毒应急处理流程
病毒应急处理包括在病毒爆发前的预防性处理和病毒爆发后的紧急处理流程。具体内容如下:
病毒处理流程建立
预防性病毒警告
应急病毒防范与处理机制
全网性升级与病毒查杀措施
危害降低机制
后续报告与补救措施
安全事件应急处理流程
安全事件应急处理流程包括:
安全应急流程建立
事件识别
缩小事件影响范围
事件解决
后续报告与处理机制
补救措施
9、工作人员安全教育培训制度
应根据上级规定的培训制度和年度培训计划要求,将系统的学习纳入培训计划并按期完成。
(1)规程学习,根据本单位实际安排有关规程的学习。
(2)现场培训项目,按规定进行反事故演习。
通过培训使维护人员达到以下标准:
1)熟悉系统设备的基本原理和结构,熟悉系统连接及运行方式。
2)能审核设备维修、检测记录,并能根据设备运行情况和巡视结果,分析设备健康状况,掌握设备缺陷和薄弱环节,能对设备状态做出基本评估。
3)熟悉运行规程内容,遇有设备变更时,能及时修订和补充运行规程,保证运行操作、事故处理正确。
4)熟悉设备的操作要领和相应的操作程序。
5)能熟练、正确地进行事故处理。
10、安全保密管理办法
(1)、遵守国家有关法律、法规,严格执行中华人民共和国计算机信息网络安全保密规定。
(2)不得泄漏有关市劳动保障信息系统的机密信息,数据以及文件等
(3)不得泄漏如帐号,密码等信息。
(4)未经授权,任何人不得使用与自己操作权限无关的功能。
(5)不得干扰和妨碍他人的正常工作。
(6)各部门要配合信息中心进行必要的安全检查。如有违反安全保密制度的情况,将视其情节轻重,根据信息中心管理规定,对当事人进行必要的处理。
(7)未经允许严禁擅自复制、下载、传播市劳动保障信息系统数据。
(8)业务数据必须按规定进行日备、月备和年备,并妥善保存备份盘。月终和年终盘备份两份,一份异地(与中心机房不同建筑物)长期保存。非经领导允许,严禁携带数据盘外出。
三、应用程序及数据维护管理制度
1、市劳动保障信息系统需求提交及问题处理规范
所有涉及业务应用系统功能新增、减少、变更以及出现问题的处理均按下述步骤执行。
第一步:需求变更和问题处理申请
各单位在应用软件使用过程中,根据实际工作需要,提出系统功能新增、减少、变更以及发现问题需处理的,首先应由需求提交人(一般情况下为股室负责人)填写《信息系统需求变更和问题处理提交表》(附件一),一表一需求,经单位负责人签字后提交给信息中心指定人员。
各镇(街道)在使用软件过程中提出的新需求和问题处理,集中反映到归口部门后,由该部门按上述过程统一提出申请。
第二步:现场解释和交流
为保证信息中心人员和软件开发人员对业务部门提出的需求和问题有一个正确的理解,需求提出人提交申请后,信息中心指定人员应积极引导其与软件开发人员进行现场交流,对需求和问题进行详尽的解释,并积极参与。
第三步,需求变更、问题处理的评估、实施和意见反馈
分现场即时处理和限时处理:
1、现场即时处理:经现场解释交流后,信息中心人员和软件开发商要共同对需求变更做综合性和可行性评估,在对现有系统和数据没有较大影响或者改变、不涉及其他业务部门业务、技术可行的条件下,各单位的需求变更和问题处理申请经信息中心软件技术人员和开发公司项目经理在签署接收同意意见后实施。并将同意实施意见当场反馈给需求提交人,由需求提交人签字确认已接收到反馈意见。
2、限时处理:若信息中心技术人员和软件开发商中有一方认为提交的需求变更涉及到原有系统和数据的重大改变,不适宜实施变更的,或技术不可行的情况下,需签署接收意见,说明暂不能接收原由后,由信息中心负责组织相关人员开展进一步的评估后确认实施与否。事情重大的,报分管局长同意后实施。并在需求提出日期后二个工作日内将处理意见反馈给需求提交人,由需求提交人签字确认已接收到反馈意见。
需求若涉及其他部门业务的,需业务双方单位负责人签字同意后提交申请;涉及政策调整变更的,需相应行政科室负责人签字同意后提交申请。
若经现场解释交流后,需求提交人认为需求申请需要有所调整或变更的,需重新按申请程序提交申请。
第四步,处理结果反馈
1、信息中心和开发商应尽量满足业务部门的信息需求,并在计划完成日内对系统程序作出相应调整,并使程序达到最大优化。
业务部门有需求调整的,要尽早向信息中心提出,以保证信息中心有充裕的时间完成程序调整。一般的简单需求在信息中心接收后2至3个工作日内完成,稍复杂的在7至10个工作日内完成,涉及到政策变更以及程序调整较大的视具体情况而定。
2、需求变更和问题处理完毕后,开发人员要及时告知信息中心指定人员,由该人员通知需求提交人进行程序的测试和使用,并签字确认处理结果。需求提交人有责任对处理情况及时告知本部门签字领导。
其他事项:
信息中心人员应认真做好各单位需求变更和问题处理登记记录,并将妥善保管、存档。
3、数据后台修改管理办法数据后台修改程序规范
(1)严禁任何业务人员随意地要求信息中心或开发人员进行数据后台修改,也严禁信息中心和开发人员擅自对后台数据进行处理,造成的后果将追究相关当事人的责任。
(2)在前台业务办理出现差错时,应主动积极寻求在前台修正解决的办法。除以下三种特殊情况外,一般情况下不允许进行数据后台修改。
(1)老系统遗留的数据问题;
(2)老系统数据经合并后出现部分信息不准确或缺失;
(3)前台业务处理差错,经业务部门、信息中心、开发商三方共同确认前台操作无法补救或修正的。
(4)由于以上三种情况确需进行数据后台修改的均需严格遵照以下流程进行操作:
第一步:申请
由申请部门填写《数据后台修改申请单》(附件二),将申请事项写明原由以及修改要求由申请部门负责人签署同意修改的意见后,将申请单递交给信息中心。
各镇(街道)若需申请数据后台修改应先向业务单位提出,由业务部门按上述过程提出申请。
第二步:评估
递交申请后,由信息中心指定人员和开发公司共同对其修改事项进行可行性评估,确实可行的确定修改方案,并需对该数据修改产生的后果进行全面细致的分析。
第三步:确认
开发公司和信息中心对后台数据修改进行评估和风险分析后,根据评估和风险评估结果,签署是否同意修改的意见,若不同意修改,需写明原因。此意见需由开发公司项目经理和信息中心主任分别签署,并需经申请部门负责人确认签字。评估和确认过程信息中心应在申请部门提出申请之日起三个工作日之内完成。
第四步:实施
三方共同确认同意修改的进入实施阶段,一般情况下由信息中心指定人员对数据实施后台修改。修改人需严格根据已定的修改方案实施修改,坚决杜绝随意修改的情况。修改时需由信息中心技术人在场监督。
第五步:记录和结果确认
所有涉及数据后台修改的,应由修改人做好详细的修改过程记录并签字,同时在登记表上做好登记。修改完成后修改结果交由申请部门负责人签字确认。
3、数据定时检查纠错和质量控制制度
(1)对劳动保障信息系统内的所有业务存储数据实行一个月一次的定期检查。
(2)数据检查内容包括是业务数据是否输入错误(主要从逻辑关系上判断)、业务办理数据是否符合政策规定、系统参数设置是否正确、计算公式是否准确等。
(3)明确分工,落实责任,定时做好数据检查纠错工作。
【 关键词 】 公开密钥基础设施;授权管理基础设施;安全认证
Design of Security Authenticate Based on PKI/PMI Architecture in Digital Library
Zhai Jian-feng
(Computer Center, China Youth University for Political Science Beijing 100089)
【 Abstract 】 First, this paper briefly introduces problems in security certification of digital library currently, and then proposes a dual certificate joint certification mechanism on the base of both public-key certificates and attribute certificates based on analyzing the PKI and PMI. The mechanism uses public key certificates to achieve user authentication, attribute certificate achieve the user's authorized access, to ensure that different users have different access rights. A certain extent,this mechanism meet with the requirements of Security Authenticate in Digital Library .Thereby, expediently and neatly realize security access control for digital resource.
【 Keywords 】 PKI; PMI; security authenticate
1 引言
随着信息技术和互联网技术的飞速发展和广泛应用,在很大程度上促进了传统图书馆向数字化图书馆发展,数字化图书馆不仅包含传统图书馆的功能,还能够更好地实现知识共享,为公众提供更加便利的信息服务。但在给公众带来全新阅读体验和便利的同时,也随之带来了相应的安全问题:首先,缺乏严格的身份认证机制,一般都仅凭用户名、密码这种传统的方式实现用户的身份认证,无法核实系统用户的真实身份,对系统信息的安全是个很大的考验;其次,用户级别、角色划分缺失,或划分不够严格,容易导致访问权限混乱、控制策略失效等。因此在图书馆数字化的发展过程中,如何进行身份验证,有效管理用户访问、借阅和下载权限等将是需要面对的主要问题。
公开密钥基础设施(PKI)是目前被广泛接受的网络安全基础和核心,通过管理密钥和数字证书来确定用户身份,已经成功第应用到电子政务和电子商务中。在PKI的基础上,授权管理基础设施(PMI)通过颁发属性证书的方式,解决了网络环境下的授权问题。因此把PKI/PMI技术应用到数字图书馆的网络安全中来具有重要的意义。
2 PKI与PMI
2.1 PKI概述
PKI(Public Key Infrastructure,公开密钥基础设施) 是一种利用公开密钥进行加密的技术,为信息的安全可靠传递提供了基本的安全保证。PKI技术把公开密钥和用户的身份信息进行绑定,形成用户的数字身份证。在通信过程中,验证用户数字身份证的有效性,从而在网络中可以建立起相互信任的关系,达到保证网上传递信息的安全、真实、完整和不可否认的目的。
概念上讲,PKI主要包括X.509格式的证书(X.509 V3)和证书废止列表CRL(X.509V2),CA/RA操作协议,CA管理协议以及CA政策制定四个方面的内容。其中安全认证系统CA/RA系统是PKI的核心。
2.2 PMI概述
PMI(Privilege Management Infrastructure,授权管理基础设施)是在PKI的基础上提出的技术体系,其目的是解决统一的授权管理问题。在2000年的X.509 v4中,首先提出了PMI的概念,利用属性证书(AC)对有效用户进行统一授权,对资源的访问控制进行统一管理,从而可以有效地实现较为复杂的权限分配和管理,并且能够在用户请求服务的时候进行权限验证。其核心内容主要是属性证书的管理,包括属性证书的分发、更新及撤销等。
同PKI相比,PKI的公钥证书由统一机构发放,能够验证用户的身份,而PMI在验证用户身份有效性的基础上,可以根据具体操作而权限不同,可以由不同的机构发放,用于验证用户有什么权限。承担什么角色。公钥证书一般包含了用户相对固定的信息,生命周期较长。而PMI的属性证书主要包含用户的权限信息,承担的角色信息,可能会经常进行角色转变,其生命周期较短。PKI是PMI实施的基础,而PMI是PKI应用的延伸。
3 基于PKI/ PMI 的安全认证方案设计
数字图书馆的安全认证方案主要在PKI/ PMI安全框架的基础上,并结合基于角色的访问控制技术,以PKI的公开密钥证书作为用户的真实身份的凭证,用于身份有效性验证;而PMI的属性证书则作为特权的载体,用于记录用户访问数字图书资源时的角色,实现用户的授权。通过将公开密钥证书及属性证书两个证书的属性结合起来,从而达到安全认证授权的目的,其中PKI提供了相应的安全平台,为用户提供了相应的身份认证服务;而PMI利用属性证书及基于角色的访问控制,对不同用户分配不同的角色,并相应的控制策略赋予不同的权限。
系统具体由PKI认证管理,PMI授权管理及访问控制管理及相应的一些支撑组建构成。其中,PKI认证管理用于用户身份证书的相应处理、身份验证、数字签名等,PMI授权管理用于属性证书申请、审核、颁发等,是授权管理的核心;访问控制管理用于访问在LDAP目录服务器存储的数字身份证书、属性证书及相应的操作。
3.1 PKI认证管理
PKI认证管理通过RA(Register Authority)处理用户申请,审核用户的真实身份,把通过审核的申请信息提交到CA(Certificate Authority)认证中心,CA颁发PKC(公开密钥证书),并由RA把新的公开密钥证书提交到LDAP目录服务器。其中LDAP提供目录浏览服务,负责将RA服务器传输过来的用户信息以及数字证书加入到服务器上,使其他用户能够通过访问LDAP服务器就能够查询其它的数字证书。数字证书的处理流程图如图1所示,有几项申请步骤。
(1)数字证书申请。系统用户在线填写相应的个人信息,将生成的私钥保存在客户端,同时将其相应的公开密钥和用户的申请信息发送给RA。
(2)注册机构审核。注册机构证明用户的真实身份,如果同意用户申请证书请求,须对证书申请信息进行数字签名,或拒绝用户的申请。
(3)CA分发证书。审核通过后,将用户的证书申请及相应的数字签名发送给CA,如签名验证通过,则同意用户的证书请求,颁发证书,否则拒绝证书申请。颁发的数字证书中包含能唯一标识用户的姓名及其它标识信息等。
(4)证书转发。注册机构RA将新的证书发送到LDAP目录服务器以提供目录浏览服务,同时用户可以访问LDAP服务器,获得他人的数字证书。
3.2 PMI授权管理
为了保证整个认证系统的安全可靠,要求用户不仅需要提供身份信息,同时要提供证明其身份的公开密钥证书(PKC)。首先让用户填写用户信息表单,然后通过PKI证书验证用户身份真实性,最后依据安全授权策略授予用户相应角色,同时给角色授予相应的权限。属性证书的申请流程如图2所示,具体几项步骤。
(1)用户申请。用户提交有效证书申请信息及身份信息给属性证书注册机构ARA。
(2)申请审核。属性证书注册机构ARA为用户颁发唯一的标识名和密码,根据授权策略授予用户相应角色,根据授权策略将角色授予相应的权限,同时将唯一标识名、密码、角色信息及相应的权限信息到LDAP上。属性证书注册机构ARA用相应的私钥对授权策略进行签名,并到LDAP上以供应用系统验证特权。
(3)授权服务中心AA发行证书。ARA将用户全部信息、密钥等提交AA,其数字签名如果通过验证,则同意用户的证书请求,颁发证书。
(4)注册机构证书转发。属性证书注册机构ARA从AA得到新的证书,首先将证书输出到LDAP目录服务器以提供目录浏览服务,同时通知用户证书已经分发成功,下载相应的属性证书。
3.3 访问控制管理
访问控制管理根据用户的操作请求,对用户的数字证书进行身份验证,验证其公开密钥证书的合法性,如通过验证则验证用户的角色分配属性证书签名的正确性、是否在有效期之内、验证相应的角色规范属性证书的有效性,并根据授权策略,验证属性证书的有效性,来确定用户是否有权对目标对象实施操作。访问控制管理的处理流程如图3所示,其具体有几项步骤。
(1)首先用户向访问控制管理模块提出访问请求,并提供自己的公开密钥证书和属性证书。
(2)对用户的公开密钥证书合法性进行验证。通过访问公开密钥证书目录服务器LDAP,检索用户的公开密钥证书,并将验证结果返回给访问控制模块。
(3)访问控制管理模块根据用户的身份信息,从授权目录服务器LDAP中获取属性证书和角色规范证书,并验证属性证书和角色规范证书的有效性,并根据其属性证书和角色规范证书验证用户的访问请求是否满足授权策略。如果满足则向数字资源转发服务请求,否则结束会话。
4 结束语
本文针对当前图书馆数字化的安全认证需要,针对传统的基于公开密钥体制的证书认证方式存在的缺陷,引入授权管理基础设施PMI的概念,设计了一个基于公开密钥证书和属性证书的双证书联合认证方案,并应用于数字图书馆的安全认证系统中。采用PMI证书与PKI证书结合的方式,能够保证不同用户具有不同的访问权限,可以使得公开密钥证书、属性证书具备不同的生命周期,利于用户自身的角色转变。但由于证书的验证过程相对比较繁琐,可能造成一定的系统负担,以及PKI体系及PMI体系两者之间的相互协调机制未做深入的研究,均是需进一步研究探讨的问题。
参考文献
[1] Carlisle Adams,Steve Lloyd,冯登国等译.公开密钥基础设施——概念、标准和实施.人民邮电出版社.2001.
[2] 韩水玲,马敏,王涛等.数字证书应用系统的设计与实现[J].信息网络安全,2012,(09):43-45.
[3] 余幸杰,高能,江伟玉.云计算中的身份认证技术研究[J].信息网络安全,2012,(08):71-74.
[4] CarliseAdams,SteveLloyd,冯登国等译.公开密钥基础设施概念、标准和实施.北京:人民邮电出版社.2004.
[5] 杜鹏,贾晨军,丛军.基于PKI的角色识别访问控制技术初探[J].计算机工程,2003,29(6):137139..
[6] 谭寒生,张舰,等.则PMI与PKI模型关系研究[J].计算机应用,2002,(8):86~88.
[7] 苏丹. X509V4 中基于角色的PMI 应用[J ].高性能计算技术,2004 (1) :58~60.
[8] 曹晟,杨洁,孟庆春. 基于PMI 的系统访问安全管理研究与设计[J].计算机工程,2007 ,33 (24) :141.
[9] 谭强,黄蕾.PMI原理及实现初探.计算机工程.2002.8:187.189.
[10] Housley R. RSA Laboratories. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile[S].RFC3280,2002.
数字证书是在网络中用来判断用户的身份,以及验证用户对网络进行访问的权限的文件。数字证书通过将加密技术和认证技术进行结合来保护的文件安全,数字证书可以利用一个密钥对同一个用户的多个数学进行绑定。数字证书包含了用户主要的个人信息,以及证书的有效期和证书的验证机构信息,其中的个人信息主要包含了持有人的名字、电子邮件地址以及证书的编号等信息。一般来说一个公钥对应着一个数字证书,私钥通过安全的方式交给用户,数字证书的内容要点包含了发证结构的数字签名、用户的公钥等其他的个人信息,对方可以利用密钥以及其它的信息来确定数字证书的真实与否。在应用数字证书的过程中还应当注意防止密钥丢失所产生的不良影响,可以通过密钥托管或者恢复密钥的方式来解决。当私钥被非法利用或者丢失时,应当废止数字证书的应用。
2数字证书在网络安全中的应用
在互联网世界中,一切信息都是依靠数据来实现的,为了保证信息的操作者是信息的合法拥有者,需要对操作证的物理和数字身份进行验证,这就需要数字证书技术。通过合理的应用数字证书技术,能够实现信息系统之间的有效链接,从而解决了网络应用中身份验证的问题。
2.1集中式身份认证在网络安全中的应用
集中式身份认证是相当于传统的身份认证,特别是随着各种间谍软件的泛滥,导致了依靠用户名和密码的单一认证的认证体系非常的不安全。特别是金融领域以及收费方面,集中式身份认证将成为发展的趋势,而市场对于集中式认证的需求也有利于迫切。集中式认证在一定的硬件基础上,通过建立完善的数字证书系统来进行认证。特别是随着网络交易的日益频繁,很多网站采用的传统的用户名加口令的方式来进行用户身份认证,对于每个用户来说,需要在多个交易项目中来注册多个用户名,这样就影响了网络的便利性。同时这种认证方式也难以实现用户和本人身份的真实对应,同时也难以解决不同类型、不同应用的信息访问控制的需要。在这种情况下,需要为全部的网络用户提供统一的身份认证方式,为每个用户提供数字身份证书,用户提供数字证书来证明自己的真实身份,从而获得应用信息的权限。在目前的网络认证中的访问控制还存在比较多的漏洞,例如口令容易被截获并且冒用,同时这种认证方式也难以满足全国各个行业和地区的应用需要,导致了认证系统难以对用户的行为进行有效的控制,难以帮助认证系统的安全性。通过采用数字证书来进行身份认证和服务控制,能够有效的解决数据库访问中的控制问题。通过对用户的数字证书进行检验,能够有效的防止非法用户的入侵,防止用户进行越权访问以及多人应用同一用户名和口令等,保证了网络信息的访问在一定的范围内,实现了网络安全保护的需要。
2.2数字证书在电子政务中的应用
电子政务通过网络的方式取代了传统的办公模式,而且这种方式能够在确定的时间和地点内是有效的。电子政务作为一种办公的方式和手段,工作的过程中伴随着信息的传递,这些信息中也包含了企业或者国家的秘密。电子政务处于开放式的网络环境中,因此需要保证信息在传递的过程中不被非法的截取,这就需要应用到数字证书。
2.3数字证书在网络交易中的应用
近年来随着电子银行的发展,不少用户在进行网络交易的过程中因为银行账户信息泄露而导致财产损失的新闻,在一定程度上影响了用户对于网络安全的信心。但是在使用数字证书的网络银行中,黑客或者其它窃取信息的行为将难以得逞。在这种网络交易中,用户需要在银行中申请并且下载数字证书,只有使用数字证书才能够登录网络银行的软件。数字证书在网络安全中的优点,充分的保证了交易的安全,与传统的口令验证存在着改变的区别。目前在网络用户中所使用的数字证书主要有文件证书和移动证书两种方式,要想应用银行数字证书,需要在银行网络中申请个人数字证书,并且目前要管理的银行账户。然后在银行的网站中下载相应的软件,在安装的过程中会要求用户保存相应的个人信息等重要的数据。然后在安装向导的指导下,激活所申请的数字证书,激活后就可以安全的教学网络交易。在网络交易中,如果不是应用到个人的私人电脑,那么为了保证交易的安全可以将数字证书存储在移动闪盘上,这就是移动证书的初衷。
3结束语
2、成年人才可以开网店(不是的话也可以用家人的身份证),要满18周岁的,有身份证并要给身份证照反正面的照片,【做扫描也可以】【要上传到电脑上用的,不是洗成照片】这个到你附近的照相馆就可以做好的。
3、办一张银行卡。然后可以申请网上银行,请办理中国工商银行、招商银行、中国建设银行、中国农业银行、中国民生银行、兴业银行、浦发银行、交通银行这八家之一的银行卡然后申请网银;可以申请支付宝卡通,也可以完成认证,他所支持的银行有50家,比较常见的都支持的【注意要学会怎么使用,这个可以问银行工作人员的】。
4、登录淘宝网,在网页的右上角有个网址导航,打开后在右下角方位,找到淘宝大学,里面有新手上路,就是从注册到卖东西的详细步骤了。开网店,像注册之类的就是一个步骤,很好学的。
5、新店新手最好做虚拟的(最基本的投资只有300元)因为实物的要找货源进货,要联系快递发货,还要做大量的宣传,最重要的一点是信用低,这一点直接决定了你的网店是否可以生存。
6、做虚拟的只要有软件,就有货源。他的货源就是软件,软件里有余额就有货源了,因为不管用软件做充值还是授权软件,都要从软件里扣除相应的余额的。