一、論文選題
當今internet技術的迅速發展,使得網路用戶激增,電子商務受到廣泛的關注,電子商務是加快交通信息化建設步伐的重要前提,在增強交通科技創新能力中有著不可替代的位置。為進一步擴展交通公路信息網的服務功能,擴大整合信息和人才、裝備資源,充實交通信息服務內容,擴大交通信息服務範圍,努力用信息化推動智慧型化交通發展交通部及各省交通廳要求必須加快交通科技創新能力,對於交通征費稽查部門而言,因為業務性質的獨特性以及所涉及關係的廣泛性,信息網路安全建設正成為各交通征費稽查部門最大的挑戰。交通征費稽查部門是為國家徵收公路建設與養護資金的部門,交通征費稽查部門的技術套用腳步跨越很大,建立在網路基礎之上的征費、諮詢、稽查等業務已經成為最通用的模式,因此網路安全開始成為交通征費稽查部門最大的威脅。它直接危害交通運輸市場的正常、健康運轉,也會給國家造成重大損失。網路安全問題的解決,對交通征費稽查部門的穩定與健康發展非常重要。
交通征稽部門以省征稽局為中心,在每個市及縣區設有交通征稽處、所,處、所負責具體徵收交通規費,繳納方式包括櫃檯繳納、電話繳納、網上繳納等多種方式。各市縣交通所和省征稽局網路信息中心通過計算機與網路技術將交通征稽所、銀行與繳納規費者等相關實體連線在一起,完成繳納交通規費,實現了從繳納、結算、辦公等各個環節的自動化。隨著信息系統日益龐大和複雜化,信息安全是交通征稽部門急需解決的問題之一。近幾年,各省交通征稽部門加快了信息化建設,但隨之而來的是不斷有交通征稽網路被“黑客”入侵,給交通征稽部門造成重大經濟損失和惡劣影響。交通征稽部門的網路安全已經成為擺在所有交通征稽機構和人員所要考慮的事情之一。近幾年,交通部除在各中會議中提到加快交通信息化建設的要求外,還下發了關於各省要加強交通網路信息化建設的檔案,以各省聯網征費稽查系統建設和套用為重點,全面實現聯網征費和由銀行代征規費。以交通政務信息網為平台,加快交通電子政務建設。目的是建立起交通部門的網路信息系統,和相應的網路安全技術保障體系,最大限度的滿足廣大車主的需要和交通部門健康、穩定的發展。
二、文獻綜述
(一)網路安全系統
防火牆系負責管理intenet和機構內部網路之間的訪問。防火牆的體系結構主要分為三種:
1、雙重宿主主機體系結構
雙重宿主主機體系結構圍繞雙重宿主主機構築。雙重宿主主機至少有兩個網路接口。這樣的主機可以充當與這些接口相連的網路之間的路由器;它能夠從一個網路到另外一個網路傳送ip數據包。然而雙重宿主主機的防火牆體系結構禁止這種傳送。因此ip數據包並不是從一個網路(如外部網路)直接傳送到另一個網路(如內部網路)。外部網路能與雙重宿主主機通信,內部網路也能與雙重宿主主機通信。但是外部網路與內部網路不能直接通信,它們之間的通信必須經過雙重宿主主機的過濾和控制。如圖1。
圖1雙重宿主主機體系結構
2、被禁止主機體系結構
雙重宿主主機體系結構防火牆沒有使用路由器。而被禁止主機體系結構防火牆則使用一個路由器把內部網路和外部網路隔離開,如圖2。在這種體系結構中,主要的安全由數據包過濾提供(例如,數據包過濾用於防止人們繞過代理伺服器直接相連)。
圖2被禁止主機體系結構
這種體系結構涉及到堡壘主機。堡壘主機是網際網路上的主機能連線到的唯一的內部網路上的系統。任何外部的系統要訪問內部的系統或服務都必須先連線到這台主機。因此堡壘主機要保持更高等級的主機安全。
數據包過濾容許堡壘主機開放可允許的連線(什麼是"可允許連線"將由你的站點的特殊的安全策略決定)到外部世界。
3、被禁止子網體系結構
被禁止子網體系結構添加額外的安全層到被禁止主機體系結構,即通過添加周邊網路更進一步的把內部網路和外部網路(通常是internet)隔離開。
被禁止子網體系結構的最簡單的形式為,兩個禁止路由器,每一個都連線到周邊網。一個位於周邊網與內部網路之間,另一個位於周邊網與外部網路(通常為internet)之間。這樣就在內部網路與外部網路之間形成了一個“隔離帶”。為了侵入用這種體系結構構築的內部網路,侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機,他將仍然必須通過內部路由器。如圖3。
圖3被禁止子網體系結構
網路安全系統以“台”計算機為基點,實現檔案操作的監控和管理,提高系統攔截等級,網路系統現採用密碼登錄的方式,由於微軟公司對nt密碼加密安全等級很低,存在很大的漏洞。在internet上有大量web網站提供黑客軟體,用於攻擊系統。指紋登錄系統採用活體指紋替代密碼登錄,保證了系統登錄者的確定性和系統運行的安全。
系統功能特點:
⑴出現非法操作時,系統將記載操作的事件並報警;
⑵審核紀錄,記載詳細;審核許可權的設定;
⑶系統提供完善的時間表設定;
⑷用戶指紋身份識別,許可權設定功能;
⑸系統與指紋登錄相結合,確保操作事件記錄的真實性;
⑹指紋和密碼全部通過才可以登錄。允許單機登錄或網路登錄;
⑺不改變網路通訊協定保證原有套用軟體的正常運行;
⑻允許把指紋驗證作為唯一的用戶身份驗證方法,也可以與別的方法組合使用;
⑼對於設定指紋登錄、指紋+密碼登錄者,在任何一台計算機上可以登錄指紋,沒有設定的計算機將不能登錄到系統上,保證系統內部的安全;
針對目標:
通過對計算機設備和數據的審核,防止內部人員通過磁碟、光碟或網路向外泄漏企業內部數據或破壞重要數據;防止用黑客軟體破解windowsnt的密碼,侵入網路系統;活體指紋識別,保證登錄者身份的確定性;對於設定指紋登錄或指紋+密碼登錄者,掛接在網路上沒有設定的計算機無法登錄上網,保證了系統的安全。
套用領域:
可普遍套用於對網路內部有安全要求的政府、軍隊、銀行、企業、網路公司等。
(二)ca認證系統
公共網路系統的安全性則依靠用戶、商家的認證,數據的加密及交易請求的合法性驗證等多方面措施來保證。
電子交易過程中必須確認用戶、商家及所進行的交易本身是否合法可靠。一般要求建立專門的電子認證中心(ca)以核實用戶和商家的真實身份以及交易請求的合法性。認證中心將給用戶、商家、銀行等進行網路商務活動的個人或集團發電子證書。
電子商務中,網上銀行的建立,ca的建立是關鍵,只有建立一個較好的ca體系,才能較好地發展網上銀行,才能實現網上支付,電子購物才真正實現。ca的機構如多方並進,各建各的,以後會出現各ca之間的矛盾,客戶的多重認證等。應有一家公認的機構如銀行或郵電或安全部來建立權威性認證機構(ca)。set的認證(ca)
在用戶身份認證方面,set引入了證書(certificates)和證書管理機構(certificatesauthorities)機制。
1、證書
證書就是一份文檔,它記錄了用戶的公共密鑰和其他身份信息。在set中,最主要的證書是持卡人證書和商家證書。持卡人實際上是支付卡的一種電子化表示。它是由金融機構以數字簽名形式簽發的,不能隨意改變。持卡人證書並不包括帳號和終止日期信息,取而代之的是用單向哈希算法根據帳號、截止日期生成的一個編碼,如果知道帳號、截止日期、密碼值即可導出這個碼值,反之不行。商家證書:表示可接受何種卡來進行商業結算。它是由金融機構簽發的,不能被第三方改變。在set環境中,一個商家至少應有一對證書。一個商家也可以有多對證書,表示它與多個銀行有合作關係,可以接受多種付款方法。除了持卡人證書和商家證書以外,還有支付網關證書、銀行證書、發卡機構證書。
2、證書管理機構
ca是受一個或多個用戶信任,提供用戶身份驗證的第三方機構。證書一般包含擁有者的標識名稱和公鑰,並且由ca進行過數字簽名。
ca的功能主要有:接收註冊請求,處理、批准/拒絕請求,頒發證書。用戶向ca提交自己的公共密鑰和代表自己身份的信息(如身份證號碼或e-mail地址),ca驗證了用戶的有效身份之後,向用戶頒發一個經過ca私有密鑰簽名的證書。
3、證書的樹形驗證結構
在兩方通信時,通過出示由某個ca簽發的證書來證明自己的身份,如果對簽發證書的ca本身不信任,則可驗證ca的身份,依次類推,一直到公認的權威ca處。就可確信證書的有效性。set證書正是通過信任層次來逐級驗證的。通過set的認證機制,用戶不再需要驗證並信任每一個想要交換信息的用戶的公共密鑰,而只需要驗證並信任頒發證書的ca的公共密鑰就可以了。
(三)計算機網路病毒的防治技術
計算機網路中最主要的軟硬體實體就是伺服器和工作站,所以防治計算機網路病毒應該首先考慮這兩個部分,另外加強綜合治理也很重要。
1、基於工作站的防治技術。工作站就像是計算機網路的大門,只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一是軟體防治,即定期不定期地用反病毒軟體檢測工作站的病毒感染情況。軟體防治可以不斷提高防治能力,但需人為地經常去啟動軟碟防病毒軟體,因而不僅給工作人員增加了負擔,而且很有可能在病毒發作後才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際套用的效果看,對工作站的運行速度有一定的影響。三是在網路接口卡上安裝防病病毒晶片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向伺服器的橋樑。但這種方法同樣也存在晶片上的軟體版本升級不便的問題,而且對網路的傳輸速度也會產生一定的影響。
上述三種方法,都是防病毒的有效手段,應根據網路的規模、數據傳輸負荷等具體情況確定使用哪一種方法。
2、基於伺服器的防治技術。網路伺服器是計算機網路的中心,是網路的支柱。網路癱瘓的一個重要標誌就是網路伺服器癱瘓。網路伺服器一旦被擊垮,造成的損失是災難性的、難以挽回和無法估量的。目前基於伺服器的防治病毒的方法大都採用防病毒可裝載模組(nlm),以提供實時掃描病毒的能力。有時也結合利用在伺服器上的插防毒卡等技術,目的在於保護伺服器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。3、加強計算機網路的管理。計算機網路病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防範意識,才有可能從根本上保護網路系統的安全運行。目前在網路病毒防治技術方面,基本處於被動防禦的地位,但管理上應該積極主動。首先應從硬體設備及軟體系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度,對網路系統的管理員及用戶加強法制教育和職業道德教育,規範工作程式和操作規程,嚴懲從事非法活動的集體和個人。其次,應有專人負責具體事務,及時檢查系統中出現病毒的症狀,匯報出現的新問題、新情況,在網路工作站上經常做好病毒檢測的工作,把好網路的第一道大門。除在伺服器主機上採用防病毒手段外,還要定期用查毒軟體檢查伺服器的病毒情況。最重要的是,應制定嚴格的管理制度和網路使用制度,提高自身的防毒意識;應跟蹤網路病毒防治技術的發展,儘可能採用行之有效的新技術、新手段,建立"防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治"的最佳網路病毒安全模式。
三、論文提綱
(一)概述
交通征稽部門安全防範的目的和意義
(二)交通征稽網路存在的安全問題綜述
1、交通征稽部門網路現狀
2、陝西省交通部門現有網路存在的安全問題
(三)網路安全風險和策略
1、系統安全風險
2、網上繳費安全風險
3、數據的安全風險
4、安全策略
(四)常用的網路安全防範技術
1、加密技術
2、防火牆技術
3、數字簽名技術
4、病毒防治技術
5、身份認證與訪問控制技術
6、安全通信協定與交易協定
(五)交通征稽部門安全防範技術實現方案
1、層次式安全防護體系安全模型
2、技術實施方案設計
3、安全監控
4、利用先進防病毒軟體建立整體防病毒體系
(六)結束語
3 論文主體部分的撰寫
論文主體部分一般都包括研究的方法、結果這樣兩個部分。撰寫科技論文要求語言簡潔明確,思路清晰、合乎邏輯,內容要求客觀、科學、完備。論文主體作為科技論文的核心組成部分,集中體現出作者研究成果的學術性和創造性,決定著論文作者水平的高低。論文主體部分體現出(下轉第6頁)(上接第3頁)論文的“新穎”, 主要闡明論文的觀點及其原理,闡述如研究問題和解決問題的方法。
論文正文撰寫時應注意語氣一致,層次標題要簡短明確,同一層次標題意義相關,用阿拉伯數字連續編號;不同層次的數字之間用圓點“.”相隔,末位數字後面不需加圓點號,如“1”,“2.1”,“3.1.2”等;各層次的序號均左頂格起,後空1個字距接標題。
在進行各種研究和和試驗過程中,會涉及諸多數據和圖表。數據獲取必須既要精確又要準確,還應具有代表性。圖表要精心設計,設計有規律,圖表中的度量單位、術語、單位、文字及插圖表達要一致,使其一目了然。表符號中所有單位相同,並且不可省略。