网络招投标财务信息安全的问题与对策毕业设计论文(编辑修改稿)

网络招投标财务信息安全的问题与对策毕业设计论文(编辑修改稿)内容摘要：

网络设备的安全也非常重要。 2)人为的无意失误 如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与他人共享等，都 会给网络安全带来威胁。 3)黑客的恶意攻击 黑客的恶意攻击是计算机网络所面临的主要的和最大的威胁。 此类攻击又可以分为两种，一种是主动攻击，主要是指以各种方式有选择地破坏信息，如修改、删除、伪造、添加、重放、乱序、冒充、设置病毒等；另一种是被动攻击，是指湖南科技大学潇湘学院本科生毕业设计（论文） ~ 12 ~ 在不影响网络正常工 ’作的情况下，进行监听、截获、窃取、破译和业务流量分析等。 这两种攻击均可对计算机网络造成极大的危害，并会导致机密数据的泄露。 主要的网络攻击手段有如下几种。 (1)间谍软件。 所谓间谍软件，是指在不知会计算机主人、未获得计算机主人许可的情况下 ，就偷偷安装在系统中的软件。 根据反间谍软件生产商 Web root Software 公司有关间谍软件的统计报告，每 10 台连到因特网的计算机中，．就有 9 台受到过间谍软件的侵染；而在公司计算机中，大约有 87%感染过各种类型的间谍软件。 间谍软件侵入用户计算机的方法有很多种，它可以通过电子邮件中的可执行附件，也可以通过网站上的 “恶意代码，还可以通过其他软件自身的安全漏洞，将其自身埋藏到其到其他软件的下载程序中。 间谍软件轻则使系统性能大坏。 它还可通过监控记录用户的键盘输入或者对用户文金融账号信息及其他敏感数据等。 (2)混合攻击。 顾名思义，混合攻击集合了多种不同类型的攻击方代码于一身，针对服务器或者因特网的漏洞进行快速攻、传播、扩散，从而会产生极大范围内的破坏。 (3)各种软件的漏洞和后门。 任何软件都不可能完全无缺陷和漏洞，而这些缺陷和漏洞恰恰是黑客进行攻击的突破口。 另外，软件所存在的后门也为黑客攻击提供了可能。 (4)网页及浏览器漏洞攻击。 网页漏洞攻击试图通过 Web 服务器来破坏信息系统的安全防护，它可以完全控制系统，且可不经授权访问目录列表并建立新的账号，或者对数据进行读取、修改或者删除。 浏览器漏洞攻击试图 利用用户的网页浏览器自身所带的漏洞进行攻击，尤其是在用户的网页浏览器没有打上最新补丁，或者没有进行相关安全配置时。 恶意的 Java 脚本， Acrtive X 及 Java 小程序可以使用户的计算机瘫痪。 它还会自动下载 “后门程序 ”或者其他恶意代码，使入侵者获得对计算机的完全访问权限。 成功的攻击可以偷取用户的其他敏感数据，并危及用户的计算机。 (5)网络欺诈。 网络欺诈是指企图欺骗用户，使用户相信那些虚假的电子邮件、电话或网站，并认为它们是合法的。 这些网站往往和网上银行或支付服务相关，而其意图则是让用户提交自己的私人信 息，或是下载恶意程序来感染用户的计算机。 在电子商务企业中，这类攻击后果尤为严重。 (6)击键记录。 击键记录或者输入记录，指的都是那些对用户键盘输入（可能还有鼠标移动）进行记录的程序，它们以此来获取用户的用户名、密码、电子邮件地址，即时通信相关信息，以及其他员工的活动等。 击键记录程序一般会将这些信息保存到某湖南科技大学潇湘学院本科生毕业设计（论文） ~ 13 ~ 个文件中，然后悄悄地将这些文件转发出去，供记录者进行不法活动。 最常见的按键记录方式，是利用间谍软件，或者在用户计算机上使用其他未经授权的相关软件进行记录。 其他方式则包括在键盘或者计算机的 USB 端口中安装 电子窃听的硬件设备等。 (7)即时通信软件漏洞。 和电子邮件一样，即时通信也是病毒和间谍软件肆虐传播的一个常见途径。 病毒和间谍软件主要是在用户之间传递文件时进行传播的。 一旦用户打开了这些文件，即时通信软件病毒立刻就会将其自身转发给用户好友列表上的每个人，同时在系统中安装间谍软件。 4)蠕虫及病毒的传播 感染现有计算机程序的病毒，以及那些本身就是可执行文件的蠕虫，是最古老，也最广为人知的计算机安全威胁。 病毒一般倾向于栖身在文档、表格或者其他文件之中，然后通过电子邮件进行传播，而蠕虫通常是直接通过网络进行传播的。 一旦病毒或者蠕虫感染了一台电脑，不仅会试图感染其他程序，同时还会对现有系统进行破坏。 更为严重的是，病毒的传播很容易导致网络速度的降低，甚至导致网络瘫痪，其危害非常之大。 5)非授权访问 没有预先经过同意，就使用网络或计算机资源的行为被视为非授权访问，如对网络设备及资源进行非正常使用等。 该行为主要包括假冒身份攻击，非法用户进入网络系统进行违法操作，合法用户以未授权方式进行操作等。 6)信息泄露或丢失 信息泄露或丢失是指敏感数据被有意或无意地泄露出去或者丢失，通常也包括信息传输中的丢失或泄露。 7)破坏数 据完整性 破坏数据完整性是指以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，恶意添加、修改数据，以干扰用户的正常使用。 系统风险 1)操作系统风险 操作系统是整个网络财务的信息系统和数据库运行的平台，其安全性至关重要。 由于操作系统面向所有的用户，再加上其自身的缺陷，所以它时刻面临着来自各方面的潜在威胁，这些威胁主要包括以下几个方面。 (1)操作系统自身存在的缺陷，包括系统 BUG、后门、安全漏洞等。 (2)操作系统的稳定性。 (3)操作系统的非授权访问，包括系统内部人员 的滥用职权、越权操作和系统外人员的非法访问甚至破坏。 湖南科技大学潇湘学院本科生毕业设计（论文） ~ 14 ~ （ 4）各类针对操作系统的网络攻击。 （ 5）各种病毒对操作系统地破坏。 2）应用系统风险 应用系统风险只要是指系统的开发风险、系统的运行风险和系统的维护风险。 信息风险 1)数据库风险 数据库是网络财务的核心，其面临的主要风险有如下几种。 (1)针对数据库的各种恶意攻击。 (2)数据的窃取、修改、增删等非法操作。 (3)支撑数据库运行的硬件故障风险。 (4)数据库自身的安全漏洞。 (5)数 据库管理上的风险。 2)电子商务交易信息风险 全面防范电子商务的安全威胁是富有挑战性的工作，其中交易信息风险防范对于为 电子商务服务的网络财务而言尤为重要。 交易信息风险有如下几种。 (1)信息的截获和窃取。 (2)信息的篡改。 (3)信息假冒。 (4)交易抵赖 湖南科技大学潇湘学院本科生毕业设计（论文） ~ 15 ~ 第五章 网络招投标财务信息安全问题的对策 网络招投标的完善措施 安全认证技术 非对称密钥密码体制，即公钥密码体制。 在公钥体制中，同时产生一对密钥：加密 密钥和解密密钥。 将加密密钥发送给发送方，谁都可以使用；解密密钥只有解密人自己知道。 由于解密密钥不会在网络上传输，并通过加密密钥和解密密钥不出，所以黑客无法获得解密密钥，也无法获取加密信息。 因此，使用基于非对称密钥密码体制研制出的 PKI（公钥基础设施） 体系作为网络招投标平台的加密认证体系，为网络招投标系统中的认证、授权、抗抵赖提供了可靠的保障。 加快完善网络招投标的相关法律法规 网络招投标作为一种新的发展方向，目前还缺乏国家相关法律、法规的支持。 目前最权威的《招标投标法》所认可的投标形式仍然是 密封投标，对电子投标形式的有效性和操作性没有作出明确解释，造成网络招投标法规效力缺失；最新版《合同法》已将电子文件纳入其书面范畴，但有关电子商务的系列法规还未出台[18]。 因此，政府应该制定相关的法律，尽快建立一个管理网络，良好的法律环境，以确保具有有效性和可靠性的网上招投标环境。 加强招投标门户网站及网络基础设施建设 网络招投标门户网站应该具有一定的规模，有完善的软、硬件的设施支撑，有能力开发完善的电子招标软件和交易平台 [18]。 同时，要保证电子招标数据的可靠性和安全性。 网络速度和网络质量直接影 响着电子招标门户网站的访问速度和数据传输速度。 试想，假如打开一份招标公告或者上传一份招标文件都需要耗时十分钟以上，那么网络招投标也就失去了其高效便捷的优势。 5． 加强网络招投标的安全性管理 网络招投标系统作为一种网络信息系统，存在不容忽视的安全隐患，容易受到黑客、病毒的攻击，从而造成信息被盗、被改写或被删除等严重后果。 这将给招投标工作带来极大危害，严重影响工程招投标的顺利进行 [18]。 因此，确保网络招投标系统中信息的安全性、真实性、可靠性和保密性，也是网络招投标过程中面临的一项重要任务。 信息安 全的解决方案 综合以上分析 ,可以归纳出以下几大方面的网络安全解决方案 : 湖南科技大学潇湘学院本科生毕业设计（论文） ~ 16 ~ 经常使用安全检测工具、加强网络和系统的自身安全性能 目前 ,市场上有许多的安全检测工具出售 ,如网威公司的 Net power 产品 ,它采用了扫描策略 ,发现安全问题和薄弱环节 ,给出相关的安全建议和修补措施 ,及时进行修补防护 ,通过提高网络和系统自身的安全性能来防止攻击。 系统可以购买这样的产品作为加强内部网络与系统的安全防护性能和抗破坏能力的工具。 使用防火墙技术 ,建立网络安全屏障。 使用防火墙系统来防止外部网络对内部网络的未授 权访问 ,建立网络信息系统的对外安全屏障 [19]。 防火墙的主要目的就是根据本单位的安全策略 ,对外部网络与内部网络交流的数据进行检查 ,符合的放行 ,不符合的拒之门外。 聘请网络安全顾问 ,跟踪网络安全最新技术。 聘请网络安全专家作为网络信息系统的安全顾问 ,同时 ,系统管理员和网络管理员也要经常浏览国际上一些著名网络安全组织的信息主页 ,了解最新技术动态 ,获取系统和网络最新安全软件 ,使自己的网络系统能够得到最新的安全技术支持[20]。 对系统进行定期备份。 定期备份重要数据的备份，每日，每周和每月的添 加备份，完全备份数据，保证网络信息安全系统的恢复。 总而言之 ,只要我们能够重视网络信息安全中存在的问题 ,注意采取有效的措施方法来保护网络 ,就可以最大限度地阻止网上入侵者的攻击 ,保证网络信息系统的安全性。 网络财务信息系统风险管理制度 在网络财务风险防范中，硬件设备和信息技术是非常重要的，但是再先进的设备和技术都需要人去操作和掌控。 因此，要真正发挥好这些安全设备和防范技术的作用，建立起一整套完善的风险管理制度是非常关键的，否则所有的风险防范方案都只是摆设。 1．安全管理模型 对于网络财 务来说，在管理方案的制定上一般采用的是以安全管理为中心的MPDR 模型 o MPDR (Management Protection Detection Response,MPDR)模型就是体现主动防御思想的安全模型。 它以管理为核心平台。 通过这个核心平台，各个安全特性，即防护 ( Protection)、检测 (Detection)、响应 (Response)并不是简单地以流程或者平面的方式组合在一起，而是互相影响、互相促进的 oMPDR 模型。 (1)安全管理 (M)，指以统一的管理安全策略为基础，控制和协调网络 中部署的防护、检测、响应模块，防范和处理安全事件，审计和分析安全日志，制定和实施安全管理规章，完整地实现网络安全目标。 湖南科技大学潇湘学院本科生毕业设计（论文） ~ 17 ~ (2)防护 (P)，指采用一切可能采取的手段保障信息的保密性、完整性、可用性、可控性和不可否认性。 技术手段包括网络安全、操作系统安全、数据库系统安全访问控制、口令等保密性和完整性技术。 (3)检测 (D)，指利用高级技术提供的工具检查系统可能存在的由黑客攻击白领犯罪、病毒泛滥等造成的脆弱性。 技术手段包括病毒检测。