《交通徵稽部門網上徵收的安全防範技術與實現》開題報告格式

《交通徵稽部門網上徵收的安全防範技術與實現》開題報告

交通徵稽部門安全防範的目的和意義：

當今internet技術的迅速發展，使得網絡用戶激增，電子商務受到廣泛的關注，電子商務是加快交通信息化建設步伐的重要前提，在增強交通科技創新能力中有着不可替代的位置。爲進一步擴展交通公路信息網的服務功能，擴大整合信息和人才、裝備資源，充實交通信息服務內容，擴大交通信息服務範圍，努力用信息化推動智能化交通發展,交通部及各省交通廳要求必須加快交通科技創新能力，對於交通徵費稽查部門而言，因爲業務性質的獨特性以及所涉及關係的廣泛性，信息網絡安全建設正成爲各交通徵費稽查部門最大的挑戰。交通徵費稽查部門是爲國家徵收公路建設與養護資金的部門，交通徵費稽查部門的技術應用腳步跨越很大，建立在網絡基礎之上的徵費、諮詢、稽查等業務已經成爲最通用的模式，因此網絡安全開始成爲交通徵費稽查部門最大的威脅。它直接危害交通運輸市場的正常、健康運轉，也會給國家造成重大損失。網絡安全問題的解決，對交通徵費稽查部門的穩定與健康發展非常重要。

交通徵稽部門以省徵稽局爲中心，在每個市及縣區設有交通徵稽處、所，處、所負責具體徵收交通規費，繳納方式包括櫃檯繳納、電話繳納、網上繳納等多種方式。各市縣交通所和省徵稽局網絡信息中心通過計算機與網絡技術將交通徵稽所、銀行與繳納規費者等相關實體連接在一起，完成繳納交通規費，實現了從繳納、結算、辦公等各個環節的自動化。隨着信息系統日益龐大和複雜化，信息安全是交通徵稽部門急需解決的問題之一。近幾年，各省交通徵稽部門加快了信息化建設，但隨之而來的是不斷有交通徵稽網絡被“黑客”入侵，給交通徵稽部門造成重大經濟損失和惡劣影響。交通徵稽部門的網絡安全已經成爲擺在所有交通徵稽機構和人員所要考慮的事情之一。近幾年，交通部除在各中會議中提到加快交通信息化建設的要求外，還下發了關於各省要加強交通網絡信息化建設的文件，以各省聯網徵費稽查系統建設和應用爲重點，全面實現聯網徵費和由銀行代徵規費。以交通政務信息網爲平臺，加快交通電子政務建設。目的是建立起交通部門的網絡信息系統，和相應的網絡安全技術保障體系，最大限度的滿足廣大車主的需要和交通部門健康、穩定的發展。

二、文獻綜述

（一）網絡安全系統

防火牆,系負責管理intenet和機構內部網絡之間的訪問。防火牆的體系結構主要分爲三種：

1、雙重宿主主機體系結構

雙重宿主主機體系結構圍繞雙重宿主主機構築。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器；它能夠從一個網絡到另外一個網絡發送ip數據包。然而雙重宿主主機的防火牆體系結構禁止這種發送。因此ip數據包並不是從一個網絡（如外部網絡）直接發送到另一個網絡（如內部網絡）。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。如圖1。

圖1 雙重宿主主機體系結構

2、被屏蔽主機體系結構

雙重宿主主機體系結構防火牆沒有使用路由器。而被屏蔽主機體系結構防火牆則使用一個路由器把內部網絡和外部網絡隔離開，如圖2。在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用於防止人們繞過代理服務器直接相連）。

圖2 被屏蔽主機體系結構

這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。

數據包過濾容許堡壘主機開放可允許的連接（什麼是"可允許連接"將由你的站點的特殊的安全策略決定）到外部世界。

3、被屏蔽子網體系結構

被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡（通常是internet）隔離開。

被屏蔽子網體系結構的最簡單的形式爲，兩個屏蔽路由器，每一個都連接到周邊網。一個位於周邊網與內部網絡之間，另一個位於周邊網與外部網絡（通常爲internet）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。爲了侵入用這種體系結構構築的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。如圖3。

圖3 被屏蔽子網體系結構

網絡安全系統以“臺”計算機爲基點，實現文件操作的監控和管理，提高系統攔截等級，網絡系統現採用密碼登錄的方式，由於微軟公司對nt密碼加密安全等級很低，存在很大的漏洞。在internet上有大量web網站提供黑客軟件，用於攻擊系統。指紋登錄系統採用活體指紋替代密碼登錄，保證了系統登錄者的確定性和系統運行的安全。

系統功能特點：

⑴出現非法操作時，系統將記載操作的事件並報警；

⑵審覈紀錄，記載詳細；審覈權限的設置；

⑶系統提供完善的時間表設置；

⑷用戶指紋身份識別，權限設置功能；

⑸系統與指紋登錄相結合，確保操作事件記錄的真實性；

⑹指紋和密碼全部通過纔可以登錄。允許單機登錄或網絡登錄；

⑺不改變網絡通訊協議保證原有應用軟件的正常運行；

⑻允許把指紋驗證作爲唯一的用戶身份驗證方法，也可以與別的方法組合使用；

⑼對於設置指紋登錄、指紋+密碼登錄者，在任何一臺計算機上可以登錄指紋，沒有設置的計算機將不能登錄到系統上，保證系統內部的安全；

針對目標：

通過對計算機設備和數據的審覈，防止內部人員通過磁盤、光盤或網絡向外泄漏企業內部數據或破壞重要數據；防止用黑客軟件破解windows nt的密碼，侵入網絡系統；活體指紋識別，保證登錄者身份的確定性；對於設置指紋登錄或指紋+密碼登錄者，掛接在網絡上沒有設置的計算機無法登錄上網，保證了系統的安全。

應用領域：

可普遍應用於對網絡內部有安全要求的政府、軍隊、銀行、企業、網絡公司等。

（二）ca認證系統

公共網絡系統的安全性則依靠用戶、商家的認證，數據的加密及交易請求的合法性驗證等多方面措施來保證。

電子交易過程中必須確認用戶、商家及所進行的交易本身是否合法可靠。一般要求建立專門的電子認證中心（ca）以覈實用戶和商家的真實身份以及交易請求的合法性。認證中心將給用戶、商家、銀行等進行網絡商務活動的個人或集團發電子證書。

電子商務中，網上銀行的建立，ca的建立是關鍵，只有建立一個較好的ca體系，才能較好地發展網上銀行，才能實現網上支付，電子購物才真正實現。ca的機構如多方並進，各建各的，以後會出現各ca之間的矛盾，客戶的多重認證等。應有一家公認的機構如銀行或郵電或安全部來建立權威性認證機構（ca）。

set的認證（ca）

在用戶身份認證方面，set引入了證書（certificates）和證書管理機構（certificates authorities）機制。

1、證書

證書就是一份文檔，它記錄了用戶的公共密鑰和其他身份信息。在set中，最主要的證書是持卡人證書和商家證書。持卡人實際上是支付卡的一種電子化表示。它是由金融機構以數字簽名形式簽發的，不能隨意改變。持卡人證書並不包括帳號和終止日期信息，取而代之的是用單向哈希算法根據帳號、截止日期生成的一個編碼，如果知道帳號、截止日期、密碼值即可導出這個碼值，反之不行。商家證書：表示可接受何種卡來進行商業結算。它是由金融機構簽發的，不能被第三方改變。在set環境中，一個商家至少應有一對證書。一個商家也可以有多對證書，表示它與多個銀行有合作關係，可以接受多種付款方法。除了持卡人證書和商家證書以外，還有支付網關證書、銀行證書、髮卡機構證書。

2、證書管理機構

ca是受一個或多個用戶信任，提供用戶身份驗證的第三方機構。證書一般包含擁有者的標識名稱和公鑰，並且由ca進行過數字簽名。<br>　<br>

ca的功能主要有：接收註冊請求，處理、批准/拒絕請求，頒發證書。用戶向ca提交自己的公共密鑰 和代表自己身份的信息（如身份證號碼或e-mail地址），ca驗證了用戶的有效身份之後，向用戶頒發一個經過ca私有密鑰簽名的證書。

3、證書的樹形驗證結構

在兩方通信時，通過出示由某個ca簽發的證書來證明自己的身份，如果對簽發證書的ca本身不信任，則可驗證ca的身份，依次類推，一直到公認的權威ca處。就可確信證書的有效性。set證書正是通過信任層次來逐級驗證的。通過set的認證機制，用戶不再需要驗證並信任每一個想要交換信息的用戶的公共密鑰，而只需要驗證並信任頒發證書的ca的公共密鑰就可以了。

（三）計算機網絡病毒的防治技術

計算機網絡中最主要的軟硬件實體就是服務器和工作站，所以防治計算機網絡病毒應該首先考慮這兩個部分，另外加強綜合治理也很重要。

１、基於工作站的防治技術。工作站就像是計算機網絡的大門，只有把好這道大門，纔能有效防止病毒的侵入。工作站防治病毒的方法有三種：一是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力，但需人爲地經常去啓動軟盤防病毒軟件，因而不僅給工作人員增加了負擔，而且很有可能在病毒發作後才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。三是在網絡接口卡上安裝防病病毒芯片。它將工作站存取控制與病毒防護合二爲一，可以更加實時有效地保護工作站及通向服務器的橋樑。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網絡的傳輸速度也會產生一定的影響。

上述三種方法，都是防病毒的有效手段，應根據網絡的規模、數據傳輸負荷等具體情況確定使用哪一種方法。

２、 基於服務器的防治技術。網絡服務器是計算機網絡的中心，是網絡的支柱。網絡癱瘓的一個重要標誌就是網絡服務器癱瘓。網絡服務器一旦被擊垮，造成的損失是災難性的、難以挽回和無法估量的。目前基於服務器的防治病毒的方法大都採用防病毒可裝載模塊（nlm），以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術，目的在於保護服務器不受病毒的攻擊，從而切斷病毒進一步傳播的途徑。 ３、 加強計算機網絡的管理。計算機網絡病毒的防治，單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術手段和管理機制緊密結合起來，提高人們的防範意識，纔有可能從根本上保護網絡系統的安全運行。目前在網絡病毒防治技術方面，基本處於被動防禦的地位，但管理上應該積極主動。首先應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度，對網絡系統的管理員及用戶加強法制教育和職業道德教育，規範工作程序和操作規程，嚴懲從事非法活動的集體和個人。其次，應有專人負責具體事務，及時檢查系統中出現病毒的症狀，彙報出現的新問題、新情況，在網絡工作站上經常做好病毒檢測的工作，把好網絡的第一道大門。除在服務器主機上採用防病毒手段外，還要定期用查毒軟件檢查服務器的病毒情況。最重要的是，應制定嚴格的管理制度和網絡使用制度，提高自身的防毒意識；應跟蹤網絡病毒防治技術的發展，儘可能採用行之有效的新技術、新手段，建立"防殺結合、以防爲主、以殺爲輔、軟硬互補、標本兼治"的最佳網絡病毒安全模式。

三、論文提綱

（一）概述

交通徵稽部門安全防範的目的和意義

（二）交通徵稽網絡存在的安全問題綜述

1、交通徵稽部門網絡現狀

2、陝西省交通部門現有網絡存在的安全問題

（三）網絡安全風險和策略

1、系統安全風險

2、網上繳費安全風險

3、數據的安全風險

4、安全策略

（四）常用的網絡安全防範技術

1、加密技術

2、防火牆技術

3、數字簽名技術

4、病毒防治技術

5、身份認證與訪問控制技術

6、安全通信協議與交易協議

（五）交通徵稽部門安全防範技術實現方案

1、層次式安全防護體系安全模型

2、技術實施方案設計

3、安全監控

4、利用先進防病毒軟件建立整體防病毒體系

（六）結束語

四、參考文獻

覃徵、謝國彤等編著：《商務體系結構及系統設計》，西安交通大學出版社，XX年；

樑春曉：《電子商務應用》，電子工業出版社，XX年；

陳戈止編著：《信息系統與管理》，西南財經大學出版社, XX年2月；

韓傑：《計算機網絡與通信》，郵電出版社，XX年；

劉穎：《電子商務的安全之道》，《網絡世界》，XX年3月13日；

祁明：《電子商務安全與保密》，高等教育出版社，XX年；

林楓：《電子商務安全技術及應用》，北京航空航天大學出版社，XX年；

李小東、陳德人、馮雁；《電子商務概論》，浙江大學出版社. XX年；

劉淵、樂紅兵等：《因特網防火牆技術》，機械工業出版社，1998年；

林曉東、楊義先：《網絡防火牆技術》，《電信科學》, 1997年；

陳海衛：《電子商務安全技術綜述》，《網絡世界》週報，XX年第11期；

謝懷軍：《建立電子商務安全平臺》，《網絡世界》，XX年2月4日；

劉穎悟：《安全電子商務的技術機制與法律要素》，《網絡世界》，XX年3月13日；

蔣興浩、姚亦峯等：《基於set協議的網上購物系統的實現》，浙江大學信息與電子工程學系，XX年。