職業(yè) 型 碩士博士 碩士學(xué)位論文 （專業(yè)學(xué)位） 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 姓 名： 張忠寶 學(xué) 號： 0921170335 所在院系： 軟件學(xué)院 職業(yè)類型： 專業(yè)領(lǐng)域： 軟件工程 指導(dǎo)教師： 李江峰 副 指導(dǎo)教師 ： 二 一 三 年 十 月 A in 2013 0921170335 i 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 張忠寶 同濟大學(xué) 學(xué)位論文版權(quán)使用授權(quán)書 本人完全了解同 濟大學(xué)關(guān)于收集、保存、使用學(xué)位論文的規(guī)定，同意如下各項內(nèi)容：按照學(xué)校要求提交學(xué)位論文的印刷本和電子版本；學(xué)校有權(quán)保存學(xué)位論文的印刷本和電子版，并采用影印、縮印、掃描、數(shù)字化或其它手段保存論文；學(xué)校有權(quán)提供目錄檢索以及提供本學(xué)位論文全文或者部分的閱覽服務(wù)；學(xué)校有權(quán)按有關(guān)規(guī)定向國家有關(guān)部門或者機構(gòu)送交論文的復(fù)印件和電子版；在不以贏利為目的的前提下，學(xué)?？梢赃m當(dāng)復(fù)制論文的部分或全部內(nèi)容用于學(xué)術(shù)活動。 學(xué)位論文作者簽名： 張忠寶 2013 年 10 月 日 同濟大學(xué)學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師指導(dǎo)下，進行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本學(xué)位論文的研究成果不包含任何他人創(chuàng)作的、已公開發(fā)表或者沒有公開發(fā)表的作品的內(nèi)容。對本論文所涉及的研究工作做出貢獻的其他個人和集體，均已在文中以明確方式標(biāo)明。本學(xué)位論文原創(chuàng)性聲明的法律責(zé)任由本人承擔(dān)。 學(xué)位論文作者簽名： 張忠寶 2013 年 10 月 日同濟大學(xué) 碩士學(xué)位論文 摘要 摘要 金融機構(gòu)是指從事金融服務(wù)行業(yè)有關(guān)的金融中介機構(gòu)，是我國金融體系的一部分，金融服務(wù)業(yè)包括銀行、證券、基金、債券、股票等行業(yè)。 網(wǎng)絡(luò)的發(fā)展改變了以往的金融管理模式，目前隨著信息化的不斷發(fā)展，并且對金融行業(yè)不斷地信息支持，以及人們思想的轉(zhuǎn)變，金融信息化已經(jīng)是大勢所趨。但就當(dāng)前形勢來說，我國的金融網(wǎng)絡(luò)安全性相對較低，安全問題較多。網(wǎng)絡(luò)時代的金融信息安全包括硬件、軟件、數(shù)據(jù)保護以及管理方面等。計算機技術(shù)已經(jīng)廣泛應(yīng)用于各大金融機構(gòu)，計 算機技術(shù)的應(yīng)用對于金融業(yè)而言既是機遇也是挑戰(zhàn)，它可以提高金融行業(yè)競爭能力，同時也伴隨著信息被泄露、信息被修改以及信息被偽造等安全問題。本論文以某金融機構(gòu)最為為研究對象，在研究國內(nèi)以及國外先進的管理經(jīng)驗的基礎(chǔ)上對機構(gòu)的內(nèi)部環(huán)境和外部環(huán)境做了全面的分析，從中找出機構(gòu)對于信息管理需求，給機構(gòu)指出了解決問題的方法，同時為機構(gòu)提供了完整的實施方案，目的是使機構(gòu)更加快速發(fā)展。 第一部分，本文對金融機構(gòu)信息管理的現(xiàn)狀以及面臨的問題進行了討論，對系統(tǒng)的功能需求進行了全面的分析，通過數(shù)據(jù)字典和用例圖的形式對機構(gòu)信息管理需求進 行了詳細(xì)說明。 第二部分，在需求分析的基礎(chǔ)上對系統(tǒng)的整體框架進行了設(shè)計，在需求分析的基礎(chǔ)上，提出了系統(tǒng)設(shè)計原則以及要達到的目標(biāo)，然后分別對系統(tǒng)技術(shù)框架、系統(tǒng)采用的網(wǎng)絡(luò)架構(gòu)（包括安全方面：物理安全和數(shù)據(jù)安全）、系統(tǒng)數(shù)據(jù)庫框架設(shè)計、算法設(shè)計、順序圖設(shè)計以及系統(tǒng)的軟硬件框架進行了概要設(shè)計。 第三部分，是系統(tǒng)的實現(xiàn)部分，這里包括系統(tǒng)實現(xiàn)的環(huán)境（軟件環(huán)境和硬件環(huán)境）、系統(tǒng)的主要界面以及系統(tǒng)主要部分編碼。 第四部分，系統(tǒng)的測試部分，采用黑盒和白盒測試對系統(tǒng)進行測試，找出系統(tǒng)的不足之處，并對其進行修改完善。 第五部分，對 金融機構(gòu)信息系統(tǒng)的應(yīng)用情況作了簡單介紹，并對系統(tǒng)進一步改進提了部分建議。 本文是對金融機構(gòu)信息管理系統(tǒng)展開的研究 ， 對于金融機構(gòu)信息管理系統(tǒng)的構(gòu)建具有一定的借鑒意義。 關(guān)鍵字 : 金融機構(gòu) ， 信息管理系統(tǒng) ， 信息管理同濟大學(xué) 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) to in in is a s of at to of s is in of s is of in of is it by is is on of a as on s of is to to is of of as as of to a of in of in on of on of on to be of is of of II is to of of of of of s of of of to of of in of is to of is a of to a 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 錄 第一章 緒論 . 1 題研究背景和意義 . 1 題研究背景 . 1 題研究意義 . 2 題研究現(xiàn)狀 . 3 要研究內(nèi)容 . 4 文組織結(jié)構(gòu) . 4 第二章 系統(tǒng)相關(guān)技術(shù)分析 . 5 問控制技術(shù)簡介 . 5 火墻技術(shù)簡介 . 6 侵檢測技術(shù)簡介 . 7 它相關(guān)技術(shù)簡介 . 8 第三章 系統(tǒng)需求分析 . 10 統(tǒng)開發(fā)必要性 . 10 務(wù)流程分析 . 11 統(tǒng)用例圖設(shè)計 . 12 統(tǒng)需求目標(biāo) . 15 統(tǒng)功能需求目標(biāo) . 15 統(tǒng)性能需求目標(biāo) . 21 第四章 系統(tǒng)設(shè)計 . 23 統(tǒng)的技術(shù)架構(gòu)設(shè)計 . 23 統(tǒng)數(shù)據(jù)流設(shè)計 . 24 統(tǒng)功能模塊設(shè)計 . 25 統(tǒng)主要包圖設(shè)計 . 26 統(tǒng)主要類圖設(shè)計 . 27 統(tǒng)主要類描述 . 28 功能時序序圖的設(shè)計 . 29 據(jù)庫設(shè)計 . 31 據(jù)庫概念設(shè)計 . 31 據(jù)庫邏輯設(shè)計 . 38 第五章 系統(tǒng)的實現(xiàn) . 41 統(tǒng)實現(xiàn)環(huán)境 . 41 統(tǒng)功能界面的實現(xiàn) . 42 息管理模塊 . 42 工信息模塊 . 45 加、刪除、 修改、查找模塊 . 47 第六章 結(jié)論和展望 . 52 同濟大學(xué) 碩士學(xué)位論文 目錄 V 論 . 52 一步工作的方向 . 52 致謝 . 53 參考文獻 . 54 個人簡歷、在讀期間發(fā)表的學(xué)術(shù)論文與研究成果 . 55 第 一 章 緒論 1 第 一 章 緒論 題 研究背景和意義 20 世紀(jì) 50 年代以來，隨著科學(xué)技術(shù)和世界經(jīng)濟一體化的快速發(fā)展，傳統(tǒng)金融業(yè)也受到了廣泛而深刻的影響，并引發(fā)了傳統(tǒng)金融業(yè)的根本性變革 1。網(wǎng)上銀行、電子商務(wù)、電子支付工具等新的服務(wù)方式不斷出現(xiàn)并且正在興起，金融運行的模式正在發(fā)生著深刻的變化。金融服務(wù)領(lǐng)域日益廣泛，服務(wù)水平不斷提高。這種轉(zhuǎn)變的一個重要基礎(chǔ)就是廣泛采用信息技術(shù)，信息技術(shù)在深刻改變傳統(tǒng)的操作方式的同時，也在不斷地促進金融服務(wù)的創(chuàng)新。當(dāng)前信息技術(shù)在銀行等金融領(lǐng)域的數(shù)據(jù)處理、業(yè)務(wù)運轉(zhuǎn)等方面發(fā)揮著巨大作用，支持著其日常運行 。 由 于金融業(yè)務(wù)的特殊性，金融信息系統(tǒng)對安全性要求也很高。 題 研究背景 網(wǎng)絡(luò)的發(fā)展改變了以往的金融管理模式，目前隨著信息化的不斷發(fā)展， 并且對金融行業(yè)不斷地信息支持，以及人們思想的轉(zhuǎn)變金融信息化已經(jīng)是大勢所趨。但就當(dāng)前形勢來說，我國的金融網(wǎng)絡(luò)安全性相對較低，安全問題較多。網(wǎng)絡(luò)時代的金融信息安全包括硬件、軟件、數(shù)據(jù)保護以及管理方面等。計算機技術(shù)已經(jīng)廣泛應(yīng)用于各大金融機構(gòu)，計算機技術(shù)的應(yīng)用對于金融業(yè)而言既是機遇也是挑戰(zhàn)，它可以提高金融行業(yè)競爭能力，同時也伴隨著信息 被 泄露、信息被修改以及信息被偽造等安全問題 。 國外金融業(yè)發(fā)展比較早，金融信息化的起步也很早。 20 世紀(jì) 60 年代以來，銀行、證券和保險行業(yè)紛紛開始使用計算機代替手工業(yè)，從此金融信息化之門開啟，并取得了較大的發(fā)展。金融信息化系統(tǒng)具有開放性、多功能性、安全性以及保密性的特點。 隨著信息技術(shù)的迅猛發(fā)展和廣發(fā)應(yīng)用，信息被竊取的可能性越來越大，不法分子竊取信息的手段不斷增多，并且信息被竊取造成的危害程度越來越大，所以，金融信息系統(tǒng)保密工作面臨著許多新問題和新情況。 目前國內(nèi)外都有與金融信息系統(tǒng)安全相關(guān)的案例， 1998 年 9 月，有兩兄弟通過在工行儲蓄所安裝遙控發(fā)射裝置 ，侵入銀行電腦系統(tǒng)，非法存入 72 萬元，取走 26 萬元。這是被我國法學(xué)界稱為 98 年中國十大罪案之一的全國首例利用計算機網(wǎng)絡(luò)盜竊銀行巨款的案件。 1985 年 11 月 21 日由于計算機軟件的錯誤 ， 造成紐約銀行與美聯(lián)儲電子結(jié)算系統(tǒng)收支失衡 ， 發(fā)生了超額支付 。 而這個問題一直到晚上才被發(fā)現(xiàn) ， 紐約銀行當(dāng)日帳務(wù)軋差出現(xiàn) 230 億短款 2。 同濟大學(xué) 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 2 題 研究意義 安全是金融信息系統(tǒng)的生命。在 當(dāng)前社會 金融信息系統(tǒng) 不斷更新 發(fā)展， 金融信息越來越向上集中， 系統(tǒng) 規(guī)模越來越大，金融業(yè)對 金融信息化系統(tǒng)額 的依賴性不斷增加， 所以 金融信息化系統(tǒng)安全的重 要性也與日俱增 3。 金融信息化系統(tǒng)安全 關(guān)系到金融機構(gòu)的生存和經(jīng)營的成敗 。 所以，應(yīng)把金融信息化系統(tǒng)的安全視同資金的安全一樣，看作是金融機構(gòu)的生命。金融信息系統(tǒng)的安全不僅 僅 是金融行業(yè) 自 身 應(yīng)注意的 問題，它與我國的經(jīng)濟安全、社會安全和國家安全緊密相連，是保障金融業(yè)穩(wěn)定 向前 發(fā)展、增強競爭 能 力和生存能力的重要組成部分，金融信息系統(tǒng)的安全已成為我國金融信息化建設(shè)中具有戰(zhàn)略意義的關(guān)鍵問題。 信息技術(shù)已經(jīng)成為現(xiàn)代金融 業(yè) 服務(wù)的命脈， 金融信息系統(tǒng) 不但在建設(shè) 安全 、方便、高效 的金融服務(wù)體系中發(fā)揮基礎(chǔ) 性 作用，而且對于提高 金融 企業(yè)內(nèi)部 的 管理水平 、 提高資源配置效率 具有重要意義。 首先，金融行業(yè)可以利用金融信息系統(tǒng)提供給用戶必要的服務(wù)，讓用戶足不出戶就可以享受到來自金融機構(gòu)的服務(wù)。這樣既可以減少金融機構(gòu)人力和物力的投入，又可以使用戶體會到信息時代計算機技術(shù)給生活帶來的便利。 第二，金融行業(yè)內(nèi)部可以利用金融信息系統(tǒng)進行行業(yè)內(nèi)部數(shù)據(jù)的交換，方便處理相關(guān)數(shù)據(jù)，提高行業(yè)內(nèi)部的辦事效率。 而且這還有利于金融行業(yè)間各個機構(gòu)之間進行交流，減少不必要的資源和資金投入。 第三，金融機構(gòu)可以利用金融信息系統(tǒng)管理自己部門的相關(guān)信息，將數(shù)據(jù)統(tǒng)一管理利于提高行業(yè)內(nèi)部的辦事效 率以及行業(yè)內(nèi)部資源的配置。 利用金融信息系統(tǒng)進行信息管理可以將信息進行分類管理，有利于信息的查詢以及修改。 總之，金融信息系統(tǒng)對于用戶、行業(yè)能部和部門內(nèi)部都有著重要的影響。所以金融信息系統(tǒng)的安全問題是重中之重，只有在安全保證的條件下，以上提到金融信息系統(tǒng)帶來的便利才能達到預(yù)期的效果。如果金融機構(gòu)在提供給用戶服務(wù)的時候出現(xiàn)安全問題，會造成不可預(yù)計的損失。那么用戶將會失去對金融機構(gòu)的信任。 金融 機構(gòu)之間進行數(shù)據(jù)交換 的過程中如果數(shù)據(jù)被竊取或是修改那么造成的損失會不可估計，可能會造成整個行業(yè)的波動。金融機構(gòu)在進行信息管 理的過程中如果出現(xiàn)安全問題，系統(tǒng)被非法用戶登陸并且修改相關(guān)數(shù)據(jù)，那么這其中造成的損失也是不可預(yù)計的。所以金融信息系統(tǒng)安全是金融信息系統(tǒng)的命脈所在，只有將安全做好系統(tǒng)才會有條不紊的運行，否則機構(gòu)將蒙受巨大的損失。 第 一 章 緒論 3 題研究現(xiàn)狀 20 世紀(jì)，隨著全球經(jīng)濟的蓬勃發(fā)展，眾多經(jīng)濟學(xué)家紛紛提出了新的管理理論。20 世紀(jì) 50 年代， 西蒙 提出管理依賴于信息和決策的思想。同時期的維納發(fā)表 了控制論，他認(rèn)為管理是一個過程。 1958 年，蓋爾寫到： “管理將以較低的成本得到及時準(zhǔn)確的信息，做到較好的控制。 ”這個時期，計算機開始用于會計工作，出現(xiàn)數(shù)據(jù)處理一詞。 1970 年， 剛剛出現(xiàn)的管理信息系統(tǒng)一詞下了一個定義：“以口頭或書面的形式，在合適的時間向經(jīng)理、職員以及外界人員提供過去的、現(xiàn)在的、預(yù)測未來的有關(guān)企業(yè)內(nèi)部及其環(huán)境的信息，以幫助他們進行決策。 ”在這個定義里強調(diào)了用信息支持決策，但并沒有強調(diào)應(yīng)用模型，沒有提到計算機的應(yīng)用。 1985 年，管理信息系統(tǒng)的創(chuàng)始人，明尼蘇 達大學(xué)的管理學(xué)教授 “管理信息系統(tǒng)是一個利用計算機軟硬件資源，手工作業(yè)，分析、計劃、控制和決策模型以及數(shù)據(jù)庫人機系統(tǒng)。它能提供信息支持企業(yè)或組織的運行管理和決策功能。 ”這個定義全面地說明了管理信息系統(tǒng)的目標(biāo)、功能和組成，而且反映了管理信息系統(tǒng)在當(dāng)時達到的水平 。 我國金融業(yè)信息系統(tǒng)的發(fā)展歷程主要包括以下幾個階段： （ 1）建立在單用戶系統(tǒng)的信息管理系統(tǒng)。 20 世紀(jì) 80 年代初，由于受計算機硬件的限制，金融業(yè)的信息管理系統(tǒng)大都是在 或是 用戶系 統(tǒng)上開發(fā)的，實現(xiàn)單個網(wǎng)點、單個業(yè)務(wù)的電算化，主要儲蓄、會計電算化、工資報表、人事報表等單項業(yè)務(wù)處理系統(tǒng)。 （ 2）建立在 用戶系統(tǒng)信息管理系統(tǒng)。 20 世紀(jì) 80 年代中后期，銀行業(yè)有了很大的發(fā)展，物理網(wǎng)點以及前后臺電算化覆蓋率急速提高，網(wǎng)絡(luò)技術(shù)在我國也有了很大的發(fā)展，在 發(fā)的信息管理系統(tǒng)被廣泛應(yīng)用。它具有分時、多用戶、多任務(wù)、可靠性高、安全性好的特點。 （ 3）建立在 的信息管理系統(tǒng)。 20 世紀(jì) 90 年代中后期，隨著信息時代的來臨，新出現(xiàn)的建立在 術(shù)上的銀行企業(yè)網(wǎng)和建立在的網(wǎng)上銀行信息管理系統(tǒng)不僅僅是模擬手工業(yè)務(wù)的電算化，會具有高度辦公自動化水平，強大的對信息資源的整合、集中和共享。同時其在數(shù)據(jù)管理方面也有了新的發(fā)展，開始利用數(shù)據(jù)挖掘和數(shù)據(jù)倉庫等新技術(shù)來管理日益龐大的數(shù)據(jù)。 同濟大學(xué) 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 4 要研究內(nèi)容 本文立足于開放環(huán)境下金融信息系統(tǒng)的信息化要求，借鑒國內(nèi)外先進的軟件工程思想和技術(shù)，設(shè)計和實現(xiàn)簡單、實用、安全、穩(wěn)定而又功能全面的金融信息信息系統(tǒng)，通過本系統(tǒng)的使用，金融機構(gòu)可以有效的管理服務(wù)流、信息流和工作流，對每一 位用戶提供相應(yīng)的服務(wù)，對每一筆交易進行實時監(jiān)控，實現(xiàn)機構(gòu)內(nèi)部、外部信息的充分交流，提高資源利用率，減少管理成本。 1、建立一個計算機網(wǎng)絡(luò)信息化的金融信息系統(tǒng)，實現(xiàn)金融機構(gòu)內(nèi)部數(shù)據(jù)共享。 2、提供簡單和便捷的界面，在滿足機構(gòu)需求前提下，力求簡單化設(shè)計，降低研發(fā)成本，降低使用難度。 3、建立科學(xué)規(guī)范的金融信息 管理 系統(tǒng)，改變過去機構(gòu)純?nèi)斯さ姆?wù)方式。 4、解決信息管理的難題。 5、解決信息交換過程中信息安全的問題。 6、通過信息技術(shù)理順業(yè)務(wù)流程，規(guī)范機構(gòu)管理，有效避免手工管理的不規(guī)范作業(yè)。 文組織結(jié)構(gòu) 第 一章緒論 ， 主要介紹金融信息系統(tǒng)安全的研究背景和研究意義，以及論文的主要研究內(nèi)容，并列出了本文的組織結(jié)構(gòu)。 第二章 系統(tǒng) 相關(guān)技術(shù) 分析 ， 包括控制訪問技術(shù) 簡介 、防火墻技術(shù) 簡介、 入侵檢測技術(shù) 簡介以及其它相關(guān)技術(shù)簡介 。 第三章 系統(tǒng)需求分析 ， 主要包括金融信息管理系統(tǒng)開發(fā)的必要性、業(yè)務(wù)流程分析、系統(tǒng)用例圖設(shè)計以及系統(tǒng)需求目標(biāo)設(shè)計（包括系統(tǒng)的功能需求和系統(tǒng)的性能需求）。 第四章 系統(tǒng)設(shè)計 ， 主要包括系統(tǒng)技術(shù)架構(gòu)的設(shè)計、系統(tǒng)數(shù)據(jù)流的設(shè)計、系統(tǒng)功能模塊的設(shè)計、系統(tǒng)各功能的時序圖的設(shè)計以及系統(tǒng)的數(shù)據(jù)庫設(shè)計（包括數(shù)據(jù)庫概念設(shè)計和數(shù) 據(jù)庫邏輯設(shè)計）。 第五章 系統(tǒng)實現(xiàn) ， 系統(tǒng)的實現(xiàn)環(huán)境、系統(tǒng)功能界面的實現(xiàn)以及系統(tǒng)其它主要部分編碼的實現(xiàn) 。 第六章 系統(tǒng)測試 ，首先描述系統(tǒng)的總體實現(xiàn)然后對各個模塊進行描述，最后對實現(xiàn)的系統(tǒng)進行相應(yīng)的測試。 主要包括系統(tǒng)的測試方法和測試內(nèi)容。 第七章 系統(tǒng)總結(jié)與展望 ， 對本文研究給出了結(jié)論，并對研究工作進行了總結(jié)和歸納，為進一步研究工作指明研究方向。 第 二 章 系統(tǒng)相關(guān)技術(shù)分析 5 第二章 系統(tǒng) 相關(guān)技術(shù) 分析 多年來，研究人員已經(jīng)提出了許多基于信息系統(tǒng)安全的措施和方法，本文的研究依賴于之前提出的一些相關(guān)算法，同時又對以前的算法進行改進設(shè)計出一套符合 本系統(tǒng)的相關(guān)理論方法，應(yīng)用于本系統(tǒng)的開發(fā)。系統(tǒng)的開發(fā)是在微軟提供的框架下進行的，利用 QL 005、 005、003 等軟件進行系統(tǒng)開發(fā)。 問控制技術(shù) 簡介 1、 訪問控制 （ 系統(tǒng) 對用戶 的類型、身份以及該用戶 所屬的 由管理員事先 定義的 用戶組或是策略組 限制 用戶 使用 相關(guān) 資源能力的 方法 。 訪問控制技術(shù) 通常 被 用于系統(tǒng) 超級 管理員控制 管理員或是普通 用戶對 系統(tǒng)所在的服務(wù)器、 服務(wù)器 中的 目錄 以及服務(wù)器中保存的 文件等網(wǎng)絡(luò)資源的訪問。訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全防范和資源保護的關(guān)鍵策略之一，也是 系統(tǒng)的超級管理員或管理員（主體） 依據(jù)某些控制策略或 訪問 權(quán)限對 用戶（ 客體 ） 本身或 服務(wù)器中的網(wǎng)絡(luò) 資源進行的不同授權(quán)訪問。 2、訪問控制技術(shù)包括三個關(guān)鍵要素：主體、客體和控制策略。主體，是指提出訪問資源具體請求，一般指的是普通影虎?？腕w主要是指被訪問的資源，包括數(shù)據(jù)、文件、目錄等?？刂撇呗灾傅氖枪芾韱T制定的相關(guān)訪問控制規(guī)則的集合，主要指出用戶滿足什么樣子的要求可以 對客體進行訪問。 訪問控制的具體功能主要包括如下幾點，顯現(xiàn)保證合法用戶能夠訪問到受保護的客體，防止非法的主體進入受保護的網(wǎng)絡(luò)對網(wǎng)絡(luò)資源進行訪問。他的具體流程如下圖所示： 圖 問控制示意圖 同濟大學(xué) 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 火墻技術(shù) 簡介 1、 防火墻 (一 種 協(xié)助 系統(tǒng) 確保 相關(guān) 信息安全 的設(shè)備， 防火墻 會依照事先設(shè)定好的 特定的規(guī)則，允許或是限制 網(wǎng)絡(luò)中 傳輸?shù)?相關(guān) 數(shù)據(jù)通過。防火墻可以是一臺專 屬的 硬件 也可以是架設(shè)在一般硬件上的一套 軟件 4。 防火墻根據(jù)P 結(jié)構(gòu)可以分為以下兩種：網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種，其中 網(wǎng)絡(luò)層防火墻可視為一種 據(jù) 包過濾器，運作在底層的 P 協(xié)議堆棧 之 上。我們可以 通過 枚舉的 方法 ，只允許符合 事先設(shè)定好的特定 規(guī)則的 據(jù) 包通過，其余的 據(jù)包全部 禁止穿越防火墻。 以上所說的防火墻相關(guān) 規(guī)則通常 都 可以經(jīng)由 系統(tǒng)的超級 管理員 定義或 是 修改，不過 也有例外，一些特定的 防火墻設(shè)備可能 里面的相關(guān)規(guī)則不能修改，只能使用其內(nèi)置的規(guī)則 。應(yīng)用層防火墻是在 ， 用戶在 使用 瀏覽器 時所產(chǎn)生的 數(shù)據(jù)流 或 者 是 在 使用 行文件傳輸 時 所產(chǎn)生的 數(shù)據(jù)流都是屬于 應(yīng)用層 。應(yīng)用層防火墻可以 阻止進入某些應(yīng)用程序的所有封裝數(shù)據(jù)包或是從應(yīng)用程序中發(fā)出的封裝數(shù)據(jù)包 (通常是直接將封包丟棄 )。 從 理論上 講 ， 應(yīng)用層 的防 火墻可以完全阻絕外部的數(shù)據(jù) 進入 到受保護的 服務(wù)器中 。 另外根據(jù)防火墻的基本特性可以總結(jié)出以下幾種：（ 1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻。（ 2）只有符合超級管理員設(shè)定的安全策略的數(shù)據(jù)包才可以經(jīng)過防火墻。（ 3）防火墻本身應(yīng)該具備非常強的抗攻擊免疫能力。 防火墻示意圖如下圖所示： 圖 火墻示意圖 2、防火墻的使用： 防火墻 對系統(tǒng)內(nèi)部的服務(wù)器、主機等 具有 良 好 的 保護 作用 。入侵者 要想進入系統(tǒng)內(nèi)部 首先 必須 穿越 管理員設(shè)置的 防火墻的安全防線，才能接觸 到要入侵的 目標(biāo) 主 機 。 管理員 可以 將 防火墻 配置 多種 保護 級別 。 其中較 高級別的保護可能會禁第 二 章 系統(tǒng)相關(guān)技術(shù)分析 7 止一些服務(wù)，如 視頻 流 等，但至少這是 我們 自己的 保護 選擇。 系統(tǒng) 在具體 的環(huán)境中 應(yīng)用防火墻技術(shù)時，還要考慮到 以下 兩個方面： 一是防火墻 不是殺毒軟件 是不能 防 御 病毒 的，盡管 目前市場上 有不少的防火墻產(chǎn)品 宣 稱其具有 防御病毒的 功能 ， 但是 作為消費者 還是要慎重選擇。 二是防火墻 技術(shù) 的另外一個 弱點 在于 系統(tǒng)的 數(shù)據(jù)在防火墻之間的更新是一個 棘手的問題 ，如果 數(shù)據(jù) 在防火墻之間 更新 延遲 的時間 太大將無法支持 用戶的 實時服務(wù)請求。并且， 絕大多數(shù) 防火墻采用 的 技術(shù) 是濾波 ，濾波通常 情況下會 使網(wǎng)絡(luò)的 總體 性能 降低 50%以上，如果為了改善網(wǎng)絡(luò) 的總體 性能而 去購買高配置的路由器 ，又會提高系統(tǒng)的 經(jīng)濟 預(yù)算 。 總之， 利用 防火墻 進行安全方面的保護 是 企業(yè) 解決 網(wǎng) 安全問題的 通用 方案，即把 系統(tǒng)的 公共數(shù)據(jù)和 系統(tǒng)提供的 服務(wù)置于防火墻 之 外， 這些數(shù)據(jù)和服務(wù) 對防火墻內(nèi)部 的 資源 的 訪問受到限制。 防火墻 作為一種 網(wǎng)絡(luò)安全技術(shù) ，具有簡單實用的特點，并且 其 透明度 高 。 3、防火墻主要類型 （ 1）網(wǎng)絡(luò)層防火墻 （ 2）應(yīng)用層防火墻 （ 3）數(shù)據(jù)庫防火墻 侵檢測技術(shù) 簡介 1、 入侵檢測 技術(shù) 是指 “通過對 系統(tǒng)內(nèi)部的用戶的 行為、 系統(tǒng)中的 安全日志或是系統(tǒng)中的 審計 數(shù)據(jù) 或 是 網(wǎng)絡(luò)上可以獲得的 實用 信息 進行操作，檢測 其是否有 對系統(tǒng)闖入或 者 闖入 系統(tǒng) 的企圖 ”。 入侵檢測 技術(shù) 是檢測 并且 響應(yīng)計算 機內(nèi)部數(shù)據(jù)被非法使用的 學(xué)科，其 中入侵檢測系統(tǒng)的 作用包括 防御 、檢測、響應(yīng)、 系統(tǒng) 損失情況評估、攻擊 的 預(yù)測和起訴支持 等 。 入侵檢測的方法可以分為以下幾種：入侵檢測系統(tǒng)對系統(tǒng)的中存在的弱點以及系統(tǒng)的內(nèi) 部結(jié)構(gòu)進行審計；對系統(tǒng)中的用戶進行監(jiān)視，并且實時對系統(tǒng)中用戶的活動機型統(tǒng)計分析；對系統(tǒng)中已經(jīng)明確的攻擊行為進行識別，入侵檢測系統(tǒng)在檢測到黑客對系統(tǒng)進行攻擊時實時的向管理員報警 ； 評估系統(tǒng)重要的數(shù)據(jù)文件的完整性；對 操作系統(tǒng)的審計 進行 跟蹤管理，并判斷出 用戶違反 系統(tǒng) 安全策略的行為 5； 異常的攻擊行為進行統(tǒng)計并且建立模型進行分析 。 下圖所示為入侵檢測系統(tǒng)示意圖： 同濟大學(xué) 碩士學(xué)位論文 金融信息管理系統(tǒng)安全設(shè)計與實現(xiàn) 8圖 火墻示意圖 2、入侵檢測分類 從技 術(shù) 方面進行 劃分主要包括以下兩種： （ 1）異常檢測 模型 （ 檢測與可接受行為之間的偏差。 （ 2）誤用檢測 模型 （ 檢測與已知的不可接受行為之間的匹配程度。 它相關(guān)技術(shù)簡介 1、 QL 005 （ 1）、 005 是一個全面的數(shù)據(jù)庫管理系統(tǒng)，它的數(shù)據(jù)庫引擎為關(guān)系數(shù)據(jù)和結(jié)構(gòu)化數(shù)據(jù)提供了更加安全可靠地存儲功能，可以用于業(yè)務(wù)的高可用和高性能的應(yīng)用程序。另外 有以下特點 架主機、術(shù)、 本、增強的安全性、 務(wù)中介、通告服務(wù)、 （ 2）、 加強的 事務(wù)處理 開始出現(xiàn) 就是基于集合的關(guān)系型數(shù)據(jù)庫管理系統(tǒng) 的 編程語言， 其可以提供 對數(shù)據(jù)庫管理系統(tǒng) 高性能的數(shù)據(jù)訪問。 目前 ，它與許多新的特性相結(jié)合，包括通過同 時使用 進行錯誤 的 處理，可以在 語句中返回一個結(jié)果集的通用 表的 表達式 (以及通過 令將列轉(zhuǎn)化為行和將列轉(zhuǎn)化為行的能力。 （ 3）、可以 獲取更多 的 有關(guān) 信息。 第 二 章 系統(tǒng)相關(guān)技術(shù)分析 9 005 中的第二個主要的增強特性就是整合了符合 范的語言 ，例如 C#, 者是可以構(gòu)建對象 (存儲過程，觸發(fā)器，函數(shù)等 )的 一點讓你可以在數(shù)據(jù)庫管理系統(tǒng)中執(zhí)行 碼以充分利用 有望 在 000 的運行 環(huán)境中取代 之前 擴展的存儲過程，同時005 還擴展了傳統(tǒng) 的 關(guān)系型引擎功能。 2、 005 005 是基于 框架的。它不僅可以開發(fā)一般的應(yīng)用程序，跨平臺的程序也可以進行開發(fā)，就像我們看到的手機中的應(yīng)用程序一樣。它是一個非常龐大的應(yīng)用軟件，系統(tǒng)的代碼測試也可用它來進行。這個版本的 據(jù)使用其進行開發(fā)的用戶不同，被分為多個應(yīng)用版本。 它具有以下優(yōu) 點 ，模式更簡潔明了，代碼和設(shè)計相分離，有助于提高開發(fā)效率和可維護性 。 計