安全机制

关键词： 机制 全员 构建 创新

安全机制（精选十篇）

安全机制 篇1

目前, 企业的安全生产绩效考评普遍是根据结果指标情况评定, 这从某种程度上造成了企业事故预防工作的被动态势。笔者认为, 企业应通过建立“三位一体” (监督检查预警、数据分析预警和人员行为预警) 的安全风险预警体系, 强化“过程”考核。

首先, 变事后分析为超前预防。企业应紧紧抓住作业现场、生产设备和人员行为3个安全管理的核心要素, 通过建立监督检查预警、数据分析预警和人员行为预警“三位一体”的预警体系, 强化隐患排查治理常态化管理机制、开展对关键安全生产数据实时监控和定期分析, 以完善“过程”考核机制。例如, 通过对标、对表、对照检查, 人工与管理性、技术与自动型的报警等手段, 及时发现工作场所存在的隐患, 使生产过程中人的不安全行为、物的不安全状态及管理缺陷处于被监测、识别、诊断的状态, 以便于企业对“过程”进行考核。

其次, 变静态监控为动态监控。一是监督检查预警。企业应建立《安全风险评估手册》, 按人员、设备、环境、安全管理4个单元, 确定评价要素, 并对每个要素制定详细的评价标准, 将安全风险评估与隐患排查长效机制相结合, 建立安全评估常态对标机制, 对于日常检查中发现的问题, 可采用下发整改通知书的方式进行即时告警, 然后根据每月或定期的综合统计得分, 对安全生产“过程”进行考核, 并以此得出企业风险度, 指导企业有针对性地采取防范措施。二是数据分析预警。企业可以通过建立安全生产信息系统管理平台, 实时汇总、查询相关数据, 并通过定期召开各种安全生产分析会, 对各类安全生产指标、参数进行分析, 实时掌握安全生产状况, 为“过程”考核提供依据。三是人员行为预警。企业可建立违章连带考核机制, 通过现场作业人员违章连带考核工作负责人的方法, 强化现场作业小组人员的相互监督提醒意识, 当违章次数达到一定数值后, 还要对相应的班组、车间和部门进行考核, 从而实现作业行为的全员、全过程管控。

创新安全发展思路构建安全长效机制 篇2

创新安全发展思路构建安全长效机制

文章从创新安全管理体制和机制、实行全员安全风险抵押、深入开展质量标准化建设、强化全员安全培训、创建隐患信息管理平台、突出“三违”治理重点6个方面介绍了鹤岗矿业集团公司新兴煤矿在安全管理上构建长效管理机制的作法.

作 者：张延 Zhang Yan 作者单位：鹌岗矿业集团公司新兴煤矿,黑龙江,鹌岗,154100刊 名：山东煤炭科技英文刊名：SHANDONG COAL SCIENCE AND TECHNOLOGY年，卷(期)：“”(3)分类号：X925关键词：安全管理体制 风险抵押 机制 创新安全

旅游安全预警机制 篇3

根据2005年中国年度行业报告．2005年，我国入境旅游和国内旅游均快速增长，旅游产业规模日渐庞大，全球第五大旅游国的地位日益巩固。和入境旅游、国内旅游一样，2005年我国的出境旅游得到了较高速度的发展。我国公民的出境旅游相当活跃，中国已经成为保持快速增长的亚洲新兴的国际客源市场，并连续保持两位数的高速增长。

出境旅游目的地扩大，非团体出境旅游逐步放开都推动了出境旅游增势。其中，深圳和广州出境旅游的人数一直飙高。但是，与出境形势的热烈不同的是，境外出行的安全保障令人担忧。地区性险情、事件频频出现，地区武装冲突。恐怖活动给出行蒙上阴影。

尽管这些恐怖活动和动荡并不直接影响我国，但这种不稳定的外部环境，显然对中国公民出境旅游的发展非常不利。除此之外。针对出境旅行者的恶意攻击事件也层出不穷，马来西亚的例子是个极端代表。其实在此之前，当英国和埃及分别发生恐怖爆炸袭击时，外交部和国家旅游局曾一度分别发出过旅游安全警告，提醒中国公民在国外旅行时要注意安全。提高警惕，以防给当地不法分子留下可乘之机。而从2003年起，国家旅游局就已经开始为“五一”和“十一”的旅游黄金周发出安全预警。最近频发的几宗中国女子马来西亚受辱事件，再次将完善旅游安全预警机制问题提上日程，建立旅游安全预警机制迫在眉睫。试想，当人身安全受到威胁的时候，旅行本身的快乐将显得多么的微不足道。好在眼下不论是选择自助游还是跟团出游，国人已开始越来越多地关注出境游的安全问题。

一般说来，出境游的安全预警机制可分为“健康预警”和“政治预警”两大类。前者包括了疾病。自然灾害等信息；后者则包括战争、政变、内乱、恐怖袭击等因素。根据危害程度，安全预警和台风警报一样，又可分为黄色，橙色和红色等级。黄色警戒是提醒公众注意，目的地可能有治安不良。传染病或有潜在恐怖袭击的威胁等；橙色警戒是建议游人暂缓前往目的地，一般指有地震、海啸或其他自然灾害、政局不稳或有恐怖事件发生等；红色警戒则不宜前往。是指已经出现大面积传染病。战乱。政局动荡等情况。相关部门理应在有突发事件发生时，及时对出境游目的地做出相应的安全预警。这样，一套完善的旅游预警机制不仅可以最大限度地保障旅行者的生命财产安全，而且一旦发生突发事件，只要我们有相应的预警机制和得力的措施，那么就能避免不必要的损失。或者把损失减少到最低程度。以这次的中国女子在马来西亚连续受辱事件为例，假如在第一起事件发生后，及时启动了预警机制，引起游人的足够重视，那么后面的类似事件则很有可能得以避免。

国外在旅游预警方面起步较早。已建立起相当完善的机制，在很多方面都值得我们学习借鉴。有些国家的安全预警甚至可以做到事无巨细，精确到了很小的细节。譬如，某条线路会有什么样的常见地方传染病，发病季节是几月，如何防治，甚至水质情况等都有详细的介绍。当然，遇到有自然灾害或恐怖袭击这类大的突发情况时，更会有相关部门和新闻发言人在第一时间对旅游行业和公众提出警示与措施，以保障消费者的知情权。而在我国，由于预警机制尚不够完善，遇有突发事件时，往往是由不同的部门发出警示。例如，有战争和恐怖袭击发生时，通常由外交部发出预警通知；有非典、登革热或禽流感等疾病发生时，由卫生部发通知；对于黄金周长假则由国家旅游局做出预警。其实，不论由哪个职能部门负责，只要能将预警信息及时传达给旅行社和准备出境游的游客，同时加强对出境旅游团队行前说明会的安全告诫。提醒游客在境外旅游时应注意的安全事项，告知游客基本的防范知识和技能以及遇到像受辱一类的意外情况时的应对措施，或者及时调整线路，那么，面对突发事件时就可以争取主动并减少损失。

目前，我们的旅游预警在黄金周期间国内游中所起到的作用最为明显，而且也日趋成熟。然而，随着国人物质生活水平的提高。越来越多的人开始走出国门，去享受出境游的乐趣。而实际上，针对出境游目的地国家和地区的旅游预警机制的缺失，却与我国日益提高的旅游大国的地位极不相称。一套权威的旅游预警机制最起码应该对消费者及时起到目的地旅游的警示作用。自然灾害，流行病。哪些线路可以放心游览。哪条线路暂时不宜前往，各个目的地的社会治安状况和其他可能危及旅游者人身和财产安全情形的情况等，这些都是消费者有权了解的基本信息。尤其是对于旅行社来说，更应该在自己的产品目录中向消费者提示这类信息以及对于突发事件应采取的相应措施。遗憾的是，国内的旅游行业迫于竞争的压力，似乎都羞于把这样的警示告诉游客。恰恰相反，假如他们敢于将此类提示告知消费者，那么这不仅是对消费者的尊重和负责。同时也是国际惯例的体现。

Web服务安全机制和安全技术 篇4

Web服务是一种松耦合分布式计算模型,是下一代分布式系统的核心部分,它将业务逻辑封装Internet 的软件组件——服务,并发布该服务供其它异构分布式环境下的用户远程调用。Web服务的松散耦合性、语言中立性、平台无关性和开放性使得它将成为下一代电子商务的架构,然而Web服务要被广泛地接受,要取得成功,其安全性是一个重要因素。

Web服务的安全性是指不同角色(如服务提供者、请求者与中介等)之间相互发送的各种消息、Web 服务的接口描述、URI 和数据内容以及 Web 服务绑定与调用过程中消息内容的安全性。

Web服务是采用传输层协议(如HTTP)之上的SOAP作为其传输协议的。以下分别介绍传输层和SOAP层的安全问题。

1 Web服务安全机制

目前Web服务安全在不同层次上已经有许多有效的安全技术。其安全技术主要可以在两个方面上实现:传输级(点到点)安全、消息级(端到端)安全。

1.1 传输级安全机制

两个端节点(Web服务客户和Web服务)之间的传输渠道可以保证传输级(点到点)的安全通信。传输级的安全协议主要有两个,一个是IPSec,另一个是SSL。传输级安全机制IPSec是指运行在网络层上的一系列协议,它提供的安全服务包括:身份认证、加密、完整性和不可否认等。SSL(安全套接字层)是一组运行在传输层和应用层之间的协议,它提供的安全服务与IPSec相同,但专用性更强。它不是通过对网络层数据报进行签名或加密的方式来保护所有TCP/IP信息的安全性,而是只保护特定应用程序生成的TCP信息的安全性。传输级安全机制有如下的局限性:1)传输级安全机制紧密耦合并依赖于下层平台、传输机制等;2)在传输级不能实现跨多跳网络拓扑和过中介体的端到端的安全服务。

1.2 消息级安全机制

创建Web服务的核心目的是提供异质语言与平台的集成与交互,而传输级安全机制与传输平台密切相关。在传输层外部,当数据被一个中介体收到并向前转发时,中介体可能会执行路由消息甚至是修改消息的操作,如添加报头、加密或解密消息片段等。这样数据的完整性和任何随数据流动的安全信息都可能会丢失。因此,我们需要一种异质平台与体系架构之间端到端的安全通信机制。

为此IBM和Microsoft发布了Security in a Web Services World:A Proposed Architecture and Roadmap的发展规划[1],描述了Web服务环境的安全发展策略。根据这个发展规划,将开发一系列Web服务安全技术规范来确保端消息级安全,这些规范包括WS-Security, WS-Policy, WS-Trust, WS-Privacy, WS-SecureConversation,WS-Federation和WS-Authorization。

2 Web服务安全技术

针对Web服务端到端的安全问题,各大计算机组织和公司正在努力研究,制订一系列的标准,开发相应的技术和解决方案。现阶段已经取得了一些成果,提出了一系列的规范和草案。

2.1 XML Signature和XML Encryption

数字签名是保证数据完整性和一致性的手段。XML-Signature Syntax and Processing (XML签名语法与处理)规范描述了数字签名的XML表示以及计算、验证XML表示的数字签名过程。 XML Signature提供了灵活的数字签名机制,不仅支持对网络资源和消息整体的签名,也支持对XML文档或消息的部分进行签名;既支持公钥数字签名,也支持对称密钥的密钥散列验证码。

数据的机密性是通过对数据加密来实现的。XML Encryption Syntax and Processing(XML加密语法与处理)规范描述了对数据的加密过程以及加密结果的XML表示。数据可以是XML文档、XML元素或者是XML元素的内容甚至是任意的数据。

2.2 WS-Security[2]

WS-Security规范是由IBM,Microsoft,VeriSign公司联合发布的,规范实质上是对SOAP协议的扩展,在SOAP中引入现有的XML Signature和XML Encryption标准,根据这些标准,它定义了一系列的SOAP头消息以包含数字签名、加密信息和安全令牌等安全信息。

WS-Security定义的所有元素都包含在<Security>报头块中,<Security>报头块提供了向SOAP报头中附加安全相关信息的机制。WS-Security描述了对SOAP消息的增强以提供对消息的完整性、机密性的质量保证和单一消息验证,即在Web服务的环境下,如何利用XML Signature和XML Encryption来对SOAP消息进行签名和加密,保证端到端消息的一致性和机密性。

WS-Security安全机制本身并不提供完整的安全性解决方案。相反,WS-Security是一种构件,它被设计成用来构建多种安全性模型(包括PKI、Kerberos和SSL)的基础,还可以与其它Web服务扩展和更高级的特定于应用程序的协议联合使用,以适应多种安全模型和加密技术。

2.3 XKMS& SAML& XACML& SPML

XML Key Management Specification(XML密钥管理规范)是W3C的XML Key Management Working Group制订的。XMKS与XML Signature和XML Encryption结合,对密钥、证书进行管理,包括注册、分发、撤销等等,它还允许客户通Web服务取得密钥信息。

Security Assertion Markup Language(安全断言标记语言)是交换验证和授权信息的XML框架,它定义了对验证、属性和授权信息进行XML编码的语法和语义以及这些安全信息的传输协议。SAML的一个主要目的就是“一次签到”(Single Sign-On) ,就是说用户只需要在一个域中通过验证,就可以使用其他域中的资源,而不需要重新验证身份。

eXtensible Access Control Markup Language(可扩展访问控制标识语言)是一种基于XML的开放标准语言,它是一个描述(访问控制)策略语言,同时也是一个描述访问控制判断请求/应答(request/response)的语言。它设计用于描述安全策略以及对网络服务、数字版权管理以及企业安全应用信息进行访问的权限,使得可以简化企业的访问控制。

Service Provisioning Markup Language (服务配置标记语言)是一个XML框架,用于在不同组织使用的网络和应用程序间管理诸如用户帐户和权限的资源。它允许组织之间安全快速地建立起Web服务和应用程序的用户接口。让用户或系统自动接入使用不同底层信息技术的电子服务,使客户不必受困于所有权问题。该标准与已获得批准的OASIS标准,例如SAML和WS-Security一起将使运行在一个企业中的服务和应用程序与运行在不同企业的组织架构中的服务和应用程序交换信息和互通更为容易。

2.4 WS-Policy[3]

Web Services Policy Framework(Web服务策略框架)提供了一种通用模型及相应的语法,以便描述 Web 服务的策略。WS-Policy 将策略定义为一组策略替换选项,其中每个策略替换选项又是一组策略断言。某些策略断言指定了一些传统的要求和功能,这些要求和功能最终将出现在网络中(如身份验证方案、传输协议选择)。另一些策略断言并不直接表现在网络中,但却对正确地选择和使用服务至关重要(如隐私策略、QoS 特性)。WS-Policy 的目标是提供使 Web 服务应用程序能够指定策略信息所需的机制。

2.5 WS-Trust[4]

Web Services Trust Language (Web服务信任语言)在WS-Security的基础上提供了安全令牌的请求和处理以及信任关系的管理,描述了Web服务的信任模型和处理流程,安全令牌颁发、验证和交换的消息语法,信任关系的评估方法。通过WS-Trust,应用系统可以参与Web服务框架包括WSDL服务描述、UDDI businessServices和bindingTemplates,以及SOAP消息等等的安全通信。在WS-Trust的信任模型中,安全令牌的颁发、验证和交换由安全令牌服务提供。一个服务请求者发送请求,如果策略允许而且满足接收者的需求,那么请求者就得到安全令牌响应。

2.6 WS-Privacy

描述Web服务提供者和请求者如何声明主题隐私权首选项和组织隐私权实践声明的模型。通过使用WS-Policy、WS-Security和WS-Trust的组合,商业机构可以声明并指出遵守声明的隐私权策略。此规范描述一个关于如何把隐私权语言嵌入到WS-Policy的描述,以及如何使用WS-Security把隐私权声明与消息关联起来的模型,它还描述如何使用WS-Trust机制,同时为用户首选项和组织实践声明评价这些隐私权声明。

此规范还在开发中,尚未正式发布。

2.7 WS-SecureConversation[5]

Web Services Secure Conversation Language(Web服务安全会话语言)在WS-Security的基础上定义了构建和共享安全上下文,并从安全上下文中派生会话密钥的机制。

WS-Security提供了基本的消息验证机制,但是只适用于简单和单向的消息,当通信方需要多次交换消息时,就需要建立安全上下文。这个安全上下文在整个会话的过程中由通信各方共享。WS-SecureConversation定义了用于表示安全上下文的<SecurityContextToken>元素以及建立安全上下文的三种方式,包括由安全令牌服务建立,由通信的一方建立并通过消息传播,通过协商建立。

2.8 WS-Federation[6]

Web Services Federation Language(Web服务联盟语言)定义了一种联合不同信任领域间的身份、身份验证和授权的集成模型。它旨在把企业在不同身份验证和授权系统中共享用户和机器身份信息的方式标准化。该规范描述了如何将联合模型应用于活动请求方(如SOAP应用程序)。规范的主要目标是定义对那些应用于活动请求方的身份、身份验证和授权信息进行联合的机制。WS-Federation中描述的联合模型构建与WS-Security 和 WS-Trust 建立的基础之上。因此,此模型定义了在活动请求方上下文内请求、交换及颁发安全性令牌的机制。

2.9 WS-Authorization

WS-Authorization定义了Web服务如何管理授权数据和策略。和WS-Privacy一样,此规范还在开发中,尚未正式发布。

3 总结和分层安全模型的提出

保证Web服务安全通信的机制有两种,传输级安全机制紧密耦合于下层平台,只能保证点到点的安全通信;而消息级安全机制能够提供异质环境的端到端安全保证。整个Web服务安全层次结构如图1所示。

其中XML Signature和XML Encryption是比较成熟的WK推荐规范,定义了数字签名和加密的XML编码格式。XKMS、SAML、XACML、SPML、WS-Security、WS-Policy、WS-Trust、WS-SecureConversation、WS-Federation等规范都是定义消息格式,大多只是定义了一个框架。这些协议自身并不为Web服务提供一个完整的安全解决方案。

根据Web服务安全规范的分层特性,本文提出了如图2所示的Web服务分层安全模型。

根据此模型,按照预先定义的安全策略文件,服务请求方的SOAP消息首先根据XML Signature和XML Encryption规范进行签名和加密处理,其中密钥管理依赖于XKMS;其次,基于SAML 和XACML 技术实现认证和访问控制;根据WS-Policy和WS-Trust规范可以明确消息的信任关系和指明隐私策略;最后通过WS-SecureConversation构建安全上下文,并从安全上下文中派生会话密钥。由以上步骤构建的安全SOAP消息通过传统传输层安全机制发送到服务提供方,服务提供方按照相应的顺序对SOAP消息进行处理。

综上所述,此模型使用了多个Web服务安全协议,通过他们之间的组合合作构筑了一个多层的安全模型。

摘要：Web服务安全问题是近年来信息安全的研究热点之一。介绍两种Web服务安全机制,即传输级安全机制和消息级安全机制,随后详细介绍实现Web服务消息级安全所用到的安全技术,最后对Web服务安全性进行总结并提出了一种新的Web服务分层安全模型。

关键词：Web服务,安全,规范,消息级

参考文献

[1]IBM,Microsoft.Security in a Web Services World:A Proposed Archi-tecture and Roadmap.http://www.ibm.com/developerworks/ibrary/ws-secmap/,2002,4.

[2]IBM,Micosoft,VeriSign.Web Services Security(WS-Security)Version1.0.http://www.ibm.com/developerworks/library/ws-secure/,2002,4.

[3]IBM,Microsoft,BEA,SAP AG.Web Services Policy Framework(WS-Policy)Version 1.0.http://www.ibm.com/developerworks/library/ws-polfam/,2006,4.

[4]IBM,Microsoft,RSA Security,VeriSign.Web Services Trust Language(WS-Trust)Version 1.0.http://www.ibm.com/developerworks/li-brary/ws-trust/,2005,2.

[5]IBM,Microsoft,RSASecurity,VeriSign.Web Services Secure Conversa-tion Language(WS-SecureConversation)Version 1.0.http://www.ibm.com/developerworks/library/ws-secon/,2002,12.

安全工作预警机制 篇5

加强学校安全工作，创造安全、文明的校园环境，为此，制定本安全工作预警和检查制度。

一、安全工作预警

1、健全学校安全组织，完善安全网络。制订切实可行的各类安全管理员职责，督促其认真履行；

2、做好学生的安全常规教育。如不喝生水、不购买“三无”食品、不乘无安全保障的车辆、课间活动注意安全等，使学生及时了解学校的安全制度。

3、、饮水和饮食卫生安全：认真落实《学校内食堂和副食品店专项整治实施方案》，对水池(储水器具)、水井进行彻底清洗、消毒；对水源周边环境进行检查，确保水质安全；饮用水和非饮用水要分开供应；要为师生提供充足卫生的饮用水，教育学生不共用饮水茶具，开水桶要及时加锁；对学校食堂卫生进行一次全面彻底的检查，实行食品准入制度，进货索票、索证率达100%；严把进货关、操作关、存放关、销售关，规范学校食堂管理及食品采购、加工、销售的过程管理；逐一落实责任，严格细化管理。检查校内商店是否存在霉变、超保质期、无产址、产名、生产日期的“三无“食品。

4、学习和生活场地的安全：对学生教室、食堂、图书馆、厕所、会议室等人群集中等场所做好清洁、通风，进行必要的消毒。对安全通道进行全面检查，确保通道无阻，通道照明正常，通道出口处要安装应急灯。

5、消防安全：对消防设备、消防器材进行全面排查，按照消防法规的要求，配齐配足消防器材，过期失效的要及时更新，确保消防设施完好和消防通道畅通，确保消防设施能用、够用、会用；检查线路、开关、用电设施是否安全，禁止学生携带易燃物品、引火器材进入校园。

6、交通安全：禁止未满12周岁学生骑车，禁止学生驾驶机动车。

7、安全防范：做好有关安全预警、隐患排查、目击报告，尤其是灾害性天气（雷击、台风、暴风雨等）及地质灾害的防范；禁止学生携带凶器、有毒物品；建立安全危险源跟踪制度，落实安全监控管理措施，建立特殊学生的档案，落实安全结对教育措施。

二、安全工作检查制度

安全检查是搞好安全工作的重要形式，也是消除安全隐患的重要手段。特制定本制度：

1、认真贯彻“安全第一，预防为主”的方针，牢固树立安全第一思想，广泛进行安全工作法律法规的教育，形成人人讲安全，事事讲安全的氛围。

2、班级和学校安全领导小组有责任和义务对所辖区的安全进行有组织地经常性地全面检查，为全校师生的学习和生活提供安全保障。

3、加强对学校周边环境的检查清理。对发生交通安全隐患可能性大的路口，报请交警部门协助管理，确保学生的上学、放学安全。

4、加强对学生的安全教育，定期检查开展安全教育的情况，定期检查安全教育落实情况。

5、凡对检查中发现的事故隐患或不安全因素，要及时组织进行整改，并做好安全记录，该上报的要及时上报。

6、检查中发现重大隐患的，负责检查的人应详实记录在案，及时提出整改意见，并限期整改。

建立安全生产长效机制 篇6

国务院召开全国安全生产工作会议，专门研究部署安全生产工作，在新中国成立以来还是第一次。会议深入贯彻党的十六届三中全会和中央经济工作会议精神，实事求是地总结了近年来的安全生产工作，深刻地分析了当前的形势，提出了今年工作的总体要求和主要任务。会议传达了《国务院关于进一步加强安全生产工作的决定》，进一步明确了安全生产工作的重要地位和作用，提出了相关的政策和措施。这对于统一思想，把握全局，做好安全生产工作具有十分重要的意义。

安全生产事关人民群众生命财产安全，事关改革发展和稳定的大局。做好安全生产工作，是企业生存发展的基本要求，是全面建设小康社会、统筹经济社会全面发展的重要内容，是实施可持续发展战略的组成部分，是政府履行社会管理和市场监管职能的基本任务，是维护人民群众根本利益的具体表现。党和国家历来高度重视安全生产工作。一个时期以来，党中央、国务院针对安全生产领域的主要矛盾和突出问题，从法制建设、管理体制、财政投入等方面相继采取一系列措施，使安全生产工作得到切实有效的加强和改进，促使全国安全生产总体上呈现出相对稳定、趋于好转的发展态势。但是也要看到，由于我国尚处在社会主义初级阶段，生产力发展不平衡，安全生产基础工作薄弱，目前全国的安全生产形势仍然相当严峻。要实现我国安全生产状况的根本好转，必须付出长期艰苦的努力，必须警钟长鸣、常抓不懈。落实会议精神，关键是各级党委、政府和广大干部从贯彻“三个代表”重要思想的高度，从立党为公、执政为民的本质要求上，充分认识安全生产工作的重要意义，树立“责任重于泰山”的思想观念，进一步增强抓好安全生产工作的责任感和紧迫感。从树立和落实以人为本、协调发展的科学发现观上，认识和把握安全生产工作的基本任务，把安全生产纳入地方经济和社会发展的总体布局，做到同步规划，同步实施，同步发展；按照适应完善社会主义市场经济体制的要求，积极推进安全生产理论、监管体制和机制、监管方式和手段、安全科技、安全文化等方面的创新，加快实现安全生产工作的五个转变：一要推进安全生产工作从政治向法治转变，依法规范，依法监管，建立和完善安全生产法制秩序；二要推进安全生产工作从被动防范向源头管理转变，建立安全生产行政许可制度，严格市场准入，管住源头，防止不具备安全生产条件的单位进入生产领域；三要推进安全生产工作从集中开展安全生产专项整治向规范化、经常化、制度化管理转变，建立安全生产长效管理机制；四要推进安全生产工作从事后查处向强化基础转变，在各类企业普遍开展安全质量标准化活动，夯实安全生产工作基础；五要推进安全生产工作从以控制伤亡事故为主向全面做好职业健康工作转变，把职工安全健康放在第一位。我们要通过五个转变，把安全生产工作提高到一个新的阶段。努力构建“政府统一领导、部门依法监管、企业全面负责、群众参与监督、全社会广泛支持”的安全生产工作新格局，建立长效机制，实现安全生产的长治久安。这就要求各级政府把安全生产纳入重要议事日程，形成强有力的安全生产工作组织领导和约束激励机制；要求加快地方各级安全生产监管机构和队伍建设，落实编制、人员和经费，理顺各方面关系，依法履行职责，严格考核奖惩，尽快形成责权明确、行为规范、监督有效、保障有力的安全生产监管体系；要求强化企业安全生产责任主体地位。

各级党委、政府应当迅速行动起来，切实加强对安全生产工作的领导，发扬求真务实的精神，切实转变工作作风，深入安全生产工作第一线，把安全生产工作抓实、抓细、抓出成效，真正做到“为之于未有，治之于未乱，防患于未然”，为全面建设小康社会创造一个安全稳定的环境。

移动支付安全机制研究 篇7

随着移动通信市场的迅猛发展,3G网络建设、物联网技术应用、智能终端普及等基础设施的不断完善,移动支付凭借其无可比拟的支付优势,成为电子支付方式的主流发展方向和市场竞争焦点。移动支付,是指用户利用移动通信终端和设备(如智能手机、便携式电脑、PDA等),通过运营商的移动网络和移动支付系统所进行的银行转账、缴费、购物等商业交易活动。本文主要侧重于对智能手机为终端的支付形式研究。移动支付主要有以下优势,优势一:便捷优势,随着移动通信网络的广泛覆盖,移动支付更好地为用户提供近场或者远程支付服务,有效提高支付的便利性;优势二:效率优势,移动支付可以提高资金的流转效率,提升资金运营效率和安全稳定性;优势三:成本优势,移动支付可以节省更多的中间环节,降低业务成本的同时使支付更加便捷。

移动支付作为一种新兴的电子支付方式,越来越受到银行业金融机构、非金融支付服务机构、移动运营商以及相关支付清算组织等部门的青睐,将其视为最具前景的应用业务之一。由于移动支付是基于传统支付方式发展起来的新支付方式,对其应用环境提出更高的要求,尤其是为移动支付提供安全技术保障的移动安全机制,而一个健康的移动支付生态环境是移动支付未来成功发展的保证,因此有必要对相关的安全机制问题进行探索研究并构建安全机制体系。

2. 发展历程

早在1999年,移动支付的概念在国内开始出现,2000年以后,随着Internet的广泛普及和移动通信技术的发展盛行,以及支付环境的不断改善,移动支付逐渐被人们所认识并接受。经过产业界的多年摸索与研究,移动支付在一些领域开始尝试应用,主要经历了以下三个阶段[1]:

(1)以短信为主的手机话费小额支付,这种技术多用于购买虚拟数字产品。

(2)手机绑定银行卡账号,这种技术仍然以短信支付为主,多用于购买虚拟数字产品和生活缴费等服务。

(3)手机或智能卡集成RFID技术,以非接触的数字钱包为主,支持近场和远程支付,将线上的各种交易量应用到线下实体店消费,应用范围进一步扩大,凸显便捷的支付体验与业务品牌,实现线上、线下的立体化综合服务。

3. 存在的安全问题

由于整个社会信用体系不完善,导致欺诈和垃圾短信遍地开花,乱收费的手机费用陷阱更是让用户对手机等移动设备缺乏安全感,更不用说使用移动支付方式完成商品交易。所有问题的存在都是由于移动支付背后的产业链过长,它涉及金融机构、第三方移动支付服务提供商、移动通信网络运营商、设备终端提供商等行业,它们在整个复杂的支付产业链中扮演各自的角色(见图1)。如果整个产业链中某个环节存在安全问题,都将会阻碍移动支付业务快速健康发展,因此有必要仔细剖析产业链中各主要环节存在的安全问题。

(1)金融机构:作为用户手机卡号关联的银行账户管理者,金融机构在整个移动支付环节中尤为重要[2]。在进行大额交易以及手机卡号绑定银行卡业务时,若出现客户手机意外丢失或者被盗,手机卡号与其绑定的相关信息都将被泄漏。同时各金融机构的网络银行业务由各金融机构独立开发、推销,缺乏统一的被广泛认可的交易安全标准,手机银行的总体安全状况不乐观。

(2)第三方移动支付服务提供商:按照中国人民银行颁布的《支付清算管理办法》,第三方移动支付服务提供商属于非银行类金融机构,由于这类机构游离于传统的行业监管视野之外,在交易过程中的沉淀资金管理不善容易产生资金风险问题,因此必须对沉淀资金进行界定以及保障沉淀资金的安全。此外,作为金融机构和网络运营商之间的衔接环节,第三方移动支付服务提供商起着协调各方关系的能力。若在交易信息传输中,客户端与服务端不能实时交换信息,就会导致客户重复支付;或者若攻击者设法使用户和服务提供商之间的通信变为由攻击者转发,那么其将可以控制双方交易过程并非法获利[3]。

(3)移动通信网络运营商:作为连接用户、金融机构和服务提供商的桥梁,移动通信网络运营商在推动移动支付业务发展起着关键性作用[2]。在开放的移动通信网络中,SIM卡存有该用户签约的所有敏感数据信息,若SIM卡被复制或者冒领时,所有机密信息将被非法截取。此外数据信息通过移动网络、红外线视线技术或者“蓝牙”无线网络传递时一般都使用明文传输,信号有可能被拦截或者被窃听,造成交易协议中的秘密信息被破解。

(4)设备终端提供商:随着3G网络和手机终端的日益完善,手机终端承载的功能越来越多,集成各种消费交易功能的手机支付应用也层出不穷。用户在利用手机终端接入支付平台时,涉及到用户注册签约信息、用户传递账号及密码等数据信息,若使用冒牌、山寨的手机终端设备或者连入不安全的支付终端都将导致签约用户的银行卡账号、用户名、密码等敏感信息受到病毒、木马程序的攻击,威胁用户银行账号信息安全,是整个移动支付环节的硬件。

4. 对策及建议

(1)金融机构需要对用户的ID及密码作加密处理,尤其对重要的数据信息作硬件加密处理,传输信息时不能以明文形式出现。用户对系统的访问应有安全日志,把访问动态信息及时反馈到用户客户端;对所有应用系统发生的错误要记录在错误日志中,同时反馈到金融机构相关部门及用户客户端。若出现用户手机意外丢失或者被盗,挂失后金融机构应迅速冻结与其手机卡号绑定的银行签约信息。金融机构还应允许用户设置每次交易及每天消费的限额,并提供消费金额提醒,大大提高安全系数。除此之外,金融机构应尝试整合出适用于移动支付业务的行业安全标准,不一定全部统一模式,但应统一移动支付的安全机制。

(2)制订和完善关于第三方移动支付服务提供商的相关法规,通过检测认证、业务许可等手段,将其纳入日常监管,必要时采取限额等针对性措施[4],同时建立合理的信用评价体系,规避其在运营过程中的风险。若出现支付超时或者延迟等特殊情况导致用户重复支付时,第三方移动支付服务提供商应限制用户短时间内发送支付请求的次数,保证用户支付信息的准确性。

(3)移动通信网络运营商在无线信道这个开放性的信道中应制定统一的加密标准,提高通信标准安全性,采取严格的实名认证和指纹验证,确定交易双方身份认证的同时保障交易信息的加密完整性,确保交易数据的真实性和不可逆转性,若出现SIM卡被复制或者入侵,需尽快更换新SIM卡,通过身份识别SIM卡的唯一加密ID,将原SIM卡中的数据库数据更新至新SIM卡中继续使用[5]。由于手机卡号及密码等容易被破译、篡改、窃听、假冒,移动通信网络运营商需加强信号传播的安全问题,采取密文传递方式,防止信号被截获。此外,由于网络的不稳定性加上支付行为的难以追踪性,移动通信网络运营商必须加强灾难体系建设和应急预案建立,保证支付数据能够迅速恢复,避免由此引起的纠纷。

(4)设备终端提供商作为整个移动支付产业链的硬环境,应加强手机终端技术和后台支持技术的开发,同时在手机设备终端中安装金融级智能安全芯片、加密软硬件[5]、数字证书等,确保用户密码进行加密后移动支付交易安全。

5. 结束语

移动支付业务在其产业链的大力推进下,产业环境已基本形成,移动支付将进入一个快速发展时期,成为“十二五”规划国家信息化战略的重要组成部分之一,因此解决移动支付产业链中存在的各种安全机制问题迫在眉睫,同时加强产业链中各环节之间的合作,制定通用的移动支付安全标准,营造一个健康的移动支付生态环境,共同促进移动支付产业安全、高速的发展。

参考文献

[1]张萌.移动支付未来发展前景和趋势[J].金融电子化,2011,(11):38.

[2]杨国明.移动支付产业链分析[J].商业时代,2007,(10):81.

[3]何亮.第三方移动支付平台设计与原型系统实现[D].北京邮电大学硕士学位论文,2009,(02):9.

[4]郭全明.构建和谐的移动支付产业模式[J].金融电子化,2011,(11):40.

安全机制 篇8

一、对煤炭生产安全费提取的政策依据及使用情况探讨

新疆焦煤集团是新疆煤矿焦煤类生产企业, 提取的安全费用主要用于矿井主要通风设备的更新改造支出;完善和改造矿井瓦斯监测系统与抽放系统、综合防治煤与瓦斯突出、防灭火、防治水、机电设备的安全防护设备设施、供配电系统的安全防护设备设施、运输 (提升) 系统的安全防护设备设施支出;完善和改造矿井综合防尘系统支出;其他与煤矿安全生产直接相关的支出。

2009年6月, 财政部出台《企业会计准则解释第3号》, 规定了高危行业企业提取的安全生产费会计处理方法。高危行业企业按照国家规定提取的安全生产费, 应当计入相关产品的成本或当期损益, 同时记入“专项储备”科目。企业使用提取的安全生产费, 属于费用性支出的, 直接冲减专项储备。企业使用提取的安全生产费形成固定资产的, 应当通过“在建工程”科目归集所发生的支出, 待安全项目完工达到预定可使用状态时确认为固定资产;同时, 按照形成固定资产的成本冲减专项储备, 并确认相同金额的累计折旧。该固定资产在以后期间不再计提折旧。

在新的核算办法下, 安全方面的投入在实际支出时才可以税前抵扣, 这实质上已经取消了安全费用计提政策。在原有安全生产费用计提政策下, 所预提的安全生产费用实行所得税前列支, 能够充分鼓励煤炭企业计提安全生产费用, 保证煤矿的安全生产投入, 对煤矿企业建立安全生产投入长效机制起到保障作用。在新会计政策下, 虽然所计提的安全生产费用也可在“盈余公积——专项储备”中反应, 但也只是进行一般的会计处理, 没有实际意义, 不能很好地发挥鼓励企业计提安全生产费用的作用。为了建立长效安全投入机制, 从而有力保证煤炭企业的安全生产, 建议:一是将煤矿安全生产支出界定为资本性支出部分, 即安全生产设备投入, 使安全生产支出概念更为清晰、边界更为准确;对建立煤矿安全长效机制真正起到保障作用。二是将目前执行的所得税法中关于煤炭安全生产专用设备优惠政策进一步扩大。 (1) 允许煤炭安全生产设备投资额的50%-100%可以从企业当年的应纳税额中抵免;当年不足抵免的, 可以在以后3个纳税年度结转抵免 (2) 将优惠政策所涉及的相关设备范围从“安全生产专用设备”扩大到“安全生产设备”或重新对安全生产专用设备种类进行界定, 以充分反映煤炭企业安全生产设备现状, 使税法充分发挥鼓励煤炭企业建设安全本质型矿井的激励和引导作用。

二、对煤矿企业维简费的提取和使用情况探讨

煤矿维简费是由煤炭生产企业按规定标准提取, 专项用于维持简单再生产的资金。煤矿维简费不包括安全费用, 但包括井巷费用。企业根据原煤实际产量, 每月按规定标准在成本中提取煤矿维简费。煤矿维简费的提取和使用, 是按照 (财建[2004]119号) 《关于规范煤矿维简费管理问题的若干规定》的通知文件要求, 遵循先提后用, 量入为出的原则, 专款专用, 专项核算。煤矿维简费年度结余资金允许结转下年度使用。

煤矿维简费, 主要用于煤矿生产正常接续的开拓延深、技术改造等, 以确保矿井持续稳定和安全生产, 提高效率。具体使用范围是:矿井 (露天) 开拓延深工程;矿井 (露天) 技术改造;煤矿固定资产更新、改造和固定资产零星购置;矿区生产补充勘探;综合利用和“三废”治理支出;大型煤矿一次拆迁民房50户以上的费用和中小煤矿采动范围的搬迁赔偿;矿井新技术的推广;小型矿井的改造联合工程等。

企业提取的维简费和安全费一样, 也相应纳入到新的《企业会计准则》核算体系。新的维简费核算办法与原有的核算办法相比, 费用的核算简洁、明了, 但是会给煤炭企业的生产带来一定的影响。一是煤炭企业不能有效发挥原有核算办法中先提后用, 量入为出的原则及以丰补欠的作用。在原有的核算办法下, 预提的维简费一般可税前抵扣, 这样就能使煤矿在正常生产的情况下计提的维简费, 可以用在矿井技术改造, 矿区生产补充勘探, 塌陷区环境治理等, 如遇特殊情况 (如矿井透水、矿井瓦斯突出) 造成企业不能正常生产, 但在费用投入上仍可充分利用以前年度预提的维简费用, 保证煤矿能够早日投入生产, 使企业不致于因为没有生产, 不能计提维简费而无法进行恢复生产的工作。二是在新的核算办法下, 维简费在实际支出时才可以税前抵扣, 在原有维简费计提政策下, 所预提的维简费实行所得税前列支, 在新政策下, 虽然所计提的维简费在“盈余公积———专项储备”中反应, 只是进行一般的会计处理, 没有实际意义, 不能很好地发挥维简费的作用。三是维简费的具体使用范围与安全费的使用范围没有严格的区分标准, 如:安全费中矿井主要通风设备的更新改造支出与维简费中矿井技术改造;矿井新技术的推广;煤矿固定资产更新、改造和固定资产零星购置等使用范围不能明确划分。

为确保煤炭企业生产性再投入, 矿井持续稳定和安全生产, 对建立企业安全长效投入机制真正起到保障作用, 建议: (1) 煤矿维简费允许结转下年度使用, 允许税前列支。 (2) 考虑到在核算当期不容易分清是属于安全费范围还是维简费范围, 为加强管理与考核, 并接受煤炭安全监察等部门的安全费用检查, 建议安全费、维简费使用统一考虑, 综合平衡, 用足用好, 为煤炭企业的安全生产及再投入发挥更大的作用。

SNMP安全机制的改进 篇9

1.1 消息处理

采用循环处理的方式, SNMPv3代理不断地接收消息, 其接收消息的方式为采用套接字接收。若捕获到消息, 消息处理将首先解析消息体, 分析其中的信息, 并且对消息进行认证, 对认证后的信息处理PDU, 并返回消息, 若有错误则返回错误报告。

1.2 消息解析

消息解析函数中有一个消息结构体SNMPMsg专门存放消息, 这个结构体包括msg ID、msg Flags等字段。我们将解析后的参数置入消息结构体中。采用哪个函数进行消息的认证, 需要通过字段msg Flags的值来确定。不同安全级别所对应的处理函数也是不一样的。在确定了指定的认证函数后, 就要对消息体进行解密, 即PDU密文。同样, 我们将解析后的变量置入消息结构体的变量列表中。还有, 回复消息要调用消息结构体中的correct_complete和error_complete两个域, 所以在此还要将这两个域填入要执行处的函数指针。消息函数执行完毕后, 会产生一个返回码, 根据返回码判断以上的操作是否成功。若成功则执行下一个消息体, 否则根据返回码执行error_complete字段中所指向的函数, 并将执行后的错误报告返回。

1.3 PDU处理

消息解析成功后, 进入PDU处理。在找到认证模块的处理函数后, 调用执行, 依据消息结构体中的信息找到用户访问的视图名, 并将找到的值放到消息结构体的指定的存放视图的域中。倘若没找到则不再继续接受消息并将错误信息返回。前面的认证检查成功后, 需要将变量找到其对应的节点, 将每一个变量进行遍历匹配后, 继续根据试图名称得到对象实力的集合, 如果变量属于这个集合, 则可以对该变量对应的实例集合进行合法的操作。

1.4 回复消息的生成和发送

正如上面的分析, 消息处理完成后需要给管理站发送一个返回的消息。返回的消息由消息结构中的correct_complete域中的指针所指向的函数产生。现在的关键问题是对返回的消息的处理上, 返回的消息也受安全机制保护, 所以消息并非直接返回, 而是和发送消息的处理方式一致, 也要进行认证加密后发送。

管理站接收返回的消息并确认是否成功, 若成功则继续循环等待下一个发送消息;若失败则将错误报告返回, 前提是返回的消息允许报告的产生。管理站根据返回的错误报告来判断错误出处。报告不再进行其他的处理。

1.5 安全认证

SNMPv3对消息的安全性提供保护。其中保护的部分为PDU, 主要防止别人对消息的获取, 从而采用加密算法, 使消息得到保护。认证默认采用CBC-DES作为加密算法。加密过程中, 将需要加密的明文与上一个数据块的密文进行异或, 对异或后的结果再进行DES加密。除了第一个数据块没有上一个节点, 其余每一个都可以通过以上方式进行加密。针对第一个数据块, 用一个初始化的向量与其异或。解密过程中, 参照加密过程, 逆序执行即可。首先取第一个密文块进行解密, 然后同初始化向量异或, 得到非加密的第一个明文块, 接下来每次取出下一个密文块进行解密操作, 再与前一个明文块异或, 依次循环执行下去即可得到全部明文。

对消息的完整性以及可靠性验证可以通过双方的MAC得到确认。通信双方都在本地保存了认证密钥, 只有发送方和接收方的密钥。发送消息时, 将密钥和发送的消息体计算出MAC, 接收方在接受消息后同样以该方法计算MAC值, 如果和收到的MAC值一致, 则认为用户是可靠的;反之则认为是不可靠的。

2 SNMPv3安全机制实现在应用中的改进

通过前面有关SNMP安全机制, 可以看出时间的花费主要集中于获取snmp Engine ID、snmp Engine Boots和snmp Engine Ti Me上。其中设备的本身固化数据是不会改变的, 所以设备标号是不会改变的, 我们只要讨论生成的两个变量的变化情况即可, 而它们是随着启动和时间而变化的, 所以是动态变化的, 对于同时考虑两个变动的变量是较复杂的。

SNMP++开发包里有一个文件为Engine ID, 利用Engine ID我们可以采用读取本地文件的方式来减少信息交换的次数, 这样就大大节省了时间。开发包内有一个V3MP类, 它负责创建和解析消息, 并且对启动信息进行维护。基于V3MP还有一个Engine IDTable类, 它主要就负责对启动信息进行维护, 可以通过该类读取启动信息或者写入启动信息。

由于开发包不提供将启动信息写入及读取的接口, 所以我们需要实现这个操作。这个操作的实现过程没有考虑加密过程, 因为主要考虑的是效率问题。当然可以格外执行数据的加密。在开发包中有两个针对启动信息进行加密的接口:encode String () 和decode String () , 它们通过一系列复杂的操作 (像前面的异或操作一样) 达到对信息数据的加密。下面扼要地说明一下该函数的执行方式。主要是实现启动信息的保存和读取。以保存Engine ID为例说明。

以上为保存Enginel D至本地的简单实现, 至此, 如果再次用到engined则不必通过发送消息获得, 而直接从本地读取。一旦判断获取的消息与保存的一致, 直接读取, 少了一次消息的交换过程, 提高了消息的利用率。

3 小结

通过SNMPv3引入安全机制考虑到在处理消息上要比以前版本花费更长的时间, 这样就考虑到能否从效率方面入手提高它的性能。通过分析, 本文通过把启动消息的Engine ID数据保存至本地, 若再次用到, 则直接从本地读取的方式来减少信息交换次数。这种方法使其请求响应时间大大提高, 减轻了SNMPv3安全机制对管理性能的影响, 增强了SNMPv3在网络管理中的应用。

参考文献

[1]张丹, 胡方炜, 等.基于SNMP的网络管理的原理与实现[D].浙江工业大学, 2005.

[2]刘建伟.基于SNMP的网络化病毒防护系统设计与实现初探[J].科学技术与工程, 2009.

[3]罗雪松.嵌入式SNMP Agent与管理站的研究与实现[D].成都:电子科技大学计算机学院, 2004.

[4]陈岳.SNMPv3设计、实现及在安全网络管理平台中的应用[D].成都:电子科技大学计算机学院, 2006.

浅谈网络安全机制 篇10

访问控制是网络安全防范和保护的主要策略之一, 其主要内容是保证网络资源不被非法使用和访问。访问控制涉及到技术比较广, 主要包括:第一, 入网访问控制。入网访问控制为网络访问提供了第一层访问控制。能控制那些用户能登陆到服务器并获取网络资源, 控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的默认限制检查。三道关卡中只要任何一关不过, 用户便不能进入网络。第二, 网络权限控制。网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限, 控制用户可以访问那些目录、子目录、文件和其他资源。例如, 可以根据访问权限将用户分为几类:特殊用户、一般用户、审计用户等, 对不同的用户分配不同的资源访问权限。第三, 目录级安全控制。网络允许合法用户对相关目录, 文件和设备的访问。例如, 对目录和文件的访问权限一般有八中:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。网络管理员应当为用户指定适当的访问权限, 这些访问权限控制着用户的访问和操作, 八种访问权限的有效组合可以让用户有效的完成工作, 同时又能有效地控制用户对服务器资源的访问, 从而加强网络与服务器的安全性。第四, 属性安全控制。当使用文件, 目录和网络设备等资源时, 系统管理员应给文件、目录等指定访问属性。属性安全是在权限安全的基础上提供进一步的安全性。网络上的资源都应预先标出一组安全属性, 用户对网络资源的访问权限对应一张访问控制表, 用以表明用户对网络资源的访问能力。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享等。

2 数据加密技术

通常由加密和解密两个过程组成, 通过加密密钥将明文转变成不可读的密文, 通过解密算法和解密密钥将密文恢复为可读的明文。加密的目的是防止有价值的信息在网络上别拦截和窃取。根据加密方和解密方使用的密钥是否相同, 可将加密技术分为对称加密算法和非对称加密算法。前者算法简单, 算法效率高, 但是密钥管理非常麻烦, 因为任意一对通信之间都需要分配一个密钥。它在一些特殊的应用场合非常有效, 如银行系统中应用等。而后者算法复杂, 算法效率低, 但是密钥管理简单, 因为其中有一方的密钥是公开的。下面通过ATM取款来说明加密算法的应用。如何保证客户在ATM机上输入的银行账号数据不泄露呢?用数据加密使客户的银行数据在ATM端通过加密后, 将数据传送到银行的服务器端, 服务器完成数据解密和处理后, 再将处理结果传送给ATM端。

3 防火墙

一个实施访问控制策略的系统, 它位于内部网与公共网络之间, 将内部网与公共网络分隔开来, 用于控制进出内部网的通信数据, 加强网间访问控制。防火墙软件可以运行在一台路由器或者主机之上, 也可以运行在由这些设备构成的小规模网络上。运行防火墙软件的硬件设备可以是专门的路由器或者主机, 也可以是兼有传输功能的路由器或计算机功能的主机。两种类型的防火墙可以相互补充, 相互配合。实现防火墙的技术包括分组过滤技术、代理服务器技术和状态检测技术。防火墙不能保证网络上数据的完整性。它本身不是完整的安全解决方案, 需要与其他安全措施相结合, 如加密技术、认证技术和入侵检测技术。

4 Windows XP的基本安全防范手段

主要包括用户管理、密码设置、共享管理、系统信息备份与恢复以及硬盘安全操作等。这些针对身份认证、基本访问控制、灾难恢复方面的基本设置可以提高系统的安全性, 提供对病毒和恶意代码攻击的防御能力。

要进一步提高系统的安全保障, 可以使用更高级的安全措施, 如Windows XP提供的更高级安全防范手段包括关闭不必要的端口和服务、Office办公软件的保密性设置、压缩文件的加密方法、电子邮件和IE浏览器的安全使用等。

下面以关闭端口为例说明Windows XP的高级安全防范手段:端口是计算机与外界通信的渠道, 它们就像一道道门一样控制着数据与指令的传输。各类数据包在最终封包时都会加入端口信息, 以标识不同的协议和应用。许多蠕虫病毒就是利用端口信息实现恶意骚扰的。因此, 有必要把一些危险而又不常用的端口关闭掉, 以保证系统安全。

在TCP/IP中关闭端口的步骤如下:⑴进入配置IP地址的“Internet协议 (TCP/IP) 属性”对话框后, 单机“高级”按钮, 打开“高级TCP/IP设置”对话框;⑵选择“选项”选项卡;⑶选中“TCP/IP筛选”, 单击“属性”按钮, 打开“TCP/IP筛选”对话框。选中“只允许”单选按钮, 单击“确定”按钮后, 就关闭了除指定的三个端口以外的其他端口。这样, 计算机安全得多。还可以对其他选项卡设置。例如, 要禁Net BIOS (Network Basic Input/Output System, 网络基本输入输出系统) , 只需选择“WINS”选项卡, 然后选中“禁用TCP/IP上的Net BIOS”单选按钮即可。禁用Net BIOS后, 可避免黑客利用Net BIOS漏洞入侵计算机系统。

摘要：网络安全机制是网络安全策略的实施手段。安全机制的种类繁多, 本文简单的讲述了一些常用的安全机制。要实现某个安全策略或模型, 通常要结合一种或多种安全机制。

关键词：访问控制,加密技术,防火墙技术,Windows安全机制

参考文献

[1]吴基传.信息技术与信息产业[M].北京:新华出版社, 2000.[1]吴基传.信息技术与信息产业[M].北京:新华出版社, 2000.