内容:
《交通征稽部门网上征收的安全防范技术与实现》开题报告
交通征稽部门安全防范的目的和意义:
当今internet技术的迅速发展,使得网络用户激增,电子商务受到广泛的关注,电子商务是加快交通信息化建设步伐的重要前提,在增强交通科技创新能力中有着不可替代的位置。为进一步扩展交通公路信息网的服务功能,扩大整合信息和人才、装备资源,充实交通信息服务内容,扩大交通信息服务范围,努力用信息化推动智能化交通发展,交通部及各省交通厅要求必须加快交通科技创新能力,对于交通征费稽查部门而言,因为业务性质的独特性以及所涉及关系的广泛性,信息网络安全建设正成为各交通征费稽查部门最大的挑战。交通征费稽查部门是为国家征收公路建设与养护资金的部门,交通征费稽查部门的技术应用脚步跨越很大,建立在网络基础之上的征费、咨询、稽查等业务已经成为最通用的模式,因此网络安全开始成为交通征费稽查部门最大的威胁。它直接危害交通运输市场的正常、健康运转,也会给国家造成重大损失。网络安全问题的解决,对交通征费稽查部门的稳定与健康发展非常重要。
交通征稽部门以省征稽局为中心,在每个市及县区设有交通征稽处、所,处、所负责具体征收交通规费,缴纳方式包括柜台缴纳、电话缴纳、网上缴纳等多种方式。各市县交通所和省征稽局网络信息中心通过计算机与网络技术将交通征稽所、银行与缴纳规费者等相关实体连接在一起,完成缴纳交通规费,实现了从缴纳、结算、办公等各个环节的自动化。随着信息系统日益庞大和复杂化,信息安全是交通征稽部门急需解决的问题之一。近几年,各省交通征稽部门加快了信息化建设,但随之而来的是不断有交通征稽网络被“黑客”入侵,给交通征稽部门造成重大经济损失和恶劣影响。交通征稽部门的网络安全已经成为摆在所有交通征稽机构和人员所要考虑的事情之一。近几年,交通部除在各中会议中提到加快交通信息化建设的要求外,还下发了关于各省要加强交通网络信息化建设的文件,以各省联网征费稽查系统建设和应用为重点,全面实现联网征费和由银行代征规费。以交通政务信息网为平台,加快交通电子政务建设。目的是建立起交通部门的网络信息系统,和相应的网络安全技术保障体系,最大限度的满足广大车主的需要和交通部门健康、稳定的发展。
二、文献综述
(一)网络安全系统
防火墙,系负责管理Intenet和机构内部网络之间的访问。防火墙的体系结构主要分为三种:
1、双重宿主主机体系结构
双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。然而双重宿主主机的防火墙体系结构禁止这种发送。因此IP数据包并不是从一个网络(如外部网络)直接发送到另一个网络(如内部网络)。外部网络能与双重宿主主机通信,内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。如图1。
图1 双重宿主主机体系结构
2、被屏蔽主机体系结构
双重宿主主机体系结构防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开,如图2。在这种体系结构中,主要的安全由数据包过滤提供(例如,数据包过滤用于防止人们绕过代理服务器直接相连)。
图2 被屏蔽主机体系结构
这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。
数据包过滤容许堡垒主机开放可允许的连接(什么是"可允许连接"将由你的站点的特殊的安全策略决定)到外部世界。
3、被屏蔽子网体系结构
被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。一个位于周边网与内部网络之间,另一个位于周边网与外部网络(通常为Internet)之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机,他将仍然必须通过内部路由器。如图3。
图3 被屏蔽子网体系结构
网络安全系统以“台”计算机为基点,实现文件操作的监控和管理,提高系统拦截等级,网络系统现采用密码登录的方式,由于微软公司对NT密码加密安全等级很低,存在很大的漏洞。在Internet上有大量Web网站提供黑客软件,用于攻击系统。指纹登录系统采用活体指纹替代密码登录,保证了系统登录者的确定性和系统运行的安全。
系统功能特点:
⑴出现非法操作时,系统将记载操作的事件并报警;
⑵审核纪录,记载详细;审核权限的设置;
⑶系统提供完善的时间表设置;
⑷用户指纹身份识别,权限设置功能;
⑸系统与指纹登录相结合,确保操作事件记录的真实性;
⑹指纹和密码全部通过才可以登录。允许单机登录或网络登录;
⑺不改变网络通讯协议保证原有应用软件的正常运行;
⑻允许把指纹验证作为唯一的用户身份验证方法,也可以与别的方法组合使用;
⑼对于设置指纹登录、指纹+密码登录者,在任何一台计算机上可以登录指纹,没有设置的计算机将不能登录到系统上,保证系统内部的安全;
针对目标:
通过对计算机设备和数据的审核,防止内部人员通过磁盘、光盘或网络向外泄漏企业内部数据或破坏重要数据;防止用黑客软件破解Windows NT的密码,侵入网络系统;活体指纹识别,保证登录者身份的确定性;对于设置指纹登录或指纹+密码登录者,挂接在网络上没有设置的计算机无法登录上网,保证了系统的安全。
应用领域:
可普遍应用于对网络内部有安全要求的政府、军队、银行、企业、网络公司等。
(二)CA认证系统
公共网络系统的安全性则依靠用户、商家的认证,数据的加密及交易请求的合法性验证等多方面措施来保证。
电子交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。一般要求建立专门的电子认证中心(CA)以核实用户和商家的真实身份以及交易请求的合法性。认证中心将给用户、商家、银行等进行网络商务活动的个人或集团发电子证书。
电子商务中,网上银行的建立,CA的建立是关键,只有建立一个较好的CA体系,才能较好地发展网上银行,才能实现网上支付,电子购物才真正实现。CA的机构如多方并进,各建各的,以后会出现各CA之间的矛盾,客户的多重认证等。应有一家公认的机构如银行或邮电或安全部来建立权威性认证机构(CA)。 SET的认证(CA)
在用户身份认证方面,SET引入了证书(Certificates)和证书管理机构(Certificates Authorities)机制。
1、证书
证书就是一份文档,它记录了用户的公共密钥和其他身份信息。在SET中,最主要的证书是持卡人证书和商家证书。持卡人实际上是支付卡的一种电子化表示。它是由金融机构以数字签名形式签发的,不能随意改变。持卡人证书并不包括帐号和终止日期信息,取而代之的是用单向哈希算法根据帐号、截止日期生成的一个编码,如果知道帐号、截止日期、密码值即可导出这个码值,反之不行。商家证书:表示可接受何种卡来进行商业结算。它是由金融机构签发的,不能被第三方改变。在SET环境中,一个商家至少应有一对证书。一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。除了持卡人证书和商家证书以外,还有支付网关证书、银行证书、发卡机构证书。
2、证书管理机构
CA是受一个或多个用户信任,提供用户身份验证的第三方机构。证书一般包含拥有者的标识名称和公钥,并且由CA进行过数字签名。<BR> <BR> CA的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。用户向CA提交自己的公共密钥 和代表自己身份的信息(如身份证号码或E-mail地址),CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。
3、证书的树形验证结构
在两方通信时,通过出示由某个CA签发的证书来证明自己的身份,如果对签发证书的CA本身不信任,则可验证CA的身份,依次类推,一直到公认的权威CA处。就可确信证书的有效性。SET证书正是通过信任层次来逐级验证的。通过SET的认证机制,用户不再需要验证并信任每一个想要交换信息的用户的公共密钥,而只需要验证并信任颁发证书的CA的公共密钥就可以了。
(三)计算机网络病毒的防治技术
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。
1、基于工作站的防治技术。工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。
上述三种方法,都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
2、 基于服务器的防治技术。网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。 3、 加强计算机网络的管理。计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。其次,应有专人负责具体事务,及时检查系统中出现病毒的症状,汇报出现的新问题、新情况,在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。除在服务器主机上采用防病毒手段外,还要定期用查毒软件检查服务器的病毒情况。最重要的是,应制定严格的管理制度和网络使用制度,提高自身的防毒意识;应跟踪网络病毒防治技术的发展,尽可能采用行之有效的新技术、新手段,建立"防杀结合、以防为主、以杀为辅、软硬互补、标本兼治"的最佳网络病毒安全模式。
三、论文提纲
(一)概述
交通征稽部门安全防范的目的和意义
(二)交通征稽网络存在的安全问题综述
1、交通征稽部门网络现状
2、陕西省交通部门现有网络存在的安全问题
(三)网络安全风险和策略
1、系统安全风险
2、网上缴费安全风险
3、数据的安全风险
4、安全策略
(四)常用的网络安全防范技术
1、加密技术
2、防火墙技术
3、数字签名技术
4、病毒防治技术
5、身份认证与访问控制技术
6、安全通信协议与交易协议
(五)交通征稽部门安全防范技术实现方案
1、层次式安全防护体系安全模型
2、技术实施方案设计
3、安全监控
4、利用先进防病毒软件建立整体防病毒体系
(六)结束语
四、参考文献
覃征、谢国彤等编著:《商务体系结构及系统设计》,西安交通大学出版社,2001年;
梁春晓:《电子商务应用》,电子工业出版社,2001年;
陈戈止编著:《信息系统与管理》,西南财经大学出版社, 2001年2月;
韩杰:《计算机网络与通信》,邮电出版社,2002年;
刘颖:《电子商务的安全之道》,《网络世界》,2000年3月13日;
祁明:《电子商务安全与保密》,高等教育出版社,2001年;
林枫:《电子商务安全技术及应用》,北京航空航天大学出版社,2002年;
李小东、陈德人、冯雁;《电子商务概论》,浙江大学出版社. 2002年;
刘渊、乐红兵等:《因特网防火墙技术》,机械工业出版社,1998年;
林晓东、杨义先:《网络防火墙技术》,《电信科学》, 1997年;
陈海卫:《电子商务安全技术综述》,《网络世界》周报,2003年第11期;
谢怀军:《建立电子商务安全平台》,《网络世界》,2002年2月4日;
刘颖悟:《安全电子商务的技术机制与法律要素》,《网络世界》,2000年3月13日;
蒋兴浩、姚亦峰等:《基于SET协议的网上购物系统的实现》,浙江大学信息与电子工程学系,2001年。
