企业防火墙技术的研究论文

企业基于网络的计算机应用也在迅速增加，基于网络信息系统给企业的经营管理带来了更大的经济效益，但随之而来的安全问题也在困扰着用户，研究解决网络安全问题的方案显得及其重要。下面是我带来的关于企业网络安全解决方案论文的内容，欢迎阅读参考!

浅谈中小企业网络安全整体解决方案

摘要：随着企业内部网络的日益庞大及与外部网络联系的逐渐增多，一个安全可信的企业网络安全系统显得十分重要。局域网企业信息安全系统是为了防范企业中计算机数据信息泄密而建立的一种管理系统，旨在对局域网中的信息安全提供一种实用、可靠的管理方案。

关键词：网络安全 防病毒 防火墙 入侵检测

一、网络安全的含义

网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。网络安全，通常定义为网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

二、中小企业网络安全方案的基本设计原则

(一)综合性、整体性原则。应用系统工程的观点、 方法 ，分析网络的安全及具体 措施 。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

(二)需求、风险、代价平衡的原则。对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

(三)分步实施原则。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需要，亦可节省费用开支。

三、中小企业网络安全方案的具体设计

网络安全是一项动态的、整体的系统工程，从技术上来说，网络安全由安全的 操作系统 、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成，一个单独的组件是无法确保您信息网络的安全性。

该方案主要包括以下几个方面：

(一)防病毒方面：应用防病毒技术，建立全面的网络防病毒体系。随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力：当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点，这就使保证信息的安全变得格外重要。

(二)应用防火墙技术，控制访问权限，实现网络安全集中管理。防火墙技术是今年发展起来的重要网络安全技术，其主要作用是在网络入口处检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯。在网络出口处安装防火墙后，内部网络与外部网络进行了有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全有了很大的提高。

防火墙可以完成以下具体任务：通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问;防火墙可以只保留有用的服务，将其他不需要的服务关闭，这样可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘。

随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线，由最初的路由器设备配置访问策略进行安全防护，到形成专业独立的产品，已经充斥了整个网络世界。在网络安全领域，随着黑客应用技术的不断“傻瓜化”，入侵检测系统IDS的地位正在逐渐增加。一个网络中，只有有效实施了IDS，才能敏锐地察觉攻击者的侵犯行为，才能防患于未然。

参考文献：

[1]陈家琪.计算机网络安全.上海理工大学，电子教材，2005

[2]胡建斌.网络与信息安全概论.北京大学网络与信息安全研究室，电子教材，2005

浅谈网络安全技术与企业网络安全解决方案

网络由于其系统方面漏洞导致的安全问题是企业的一大困扰，如何消除办企业网络的安全隐患成为 企业管理 中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障，为企业的发展奠定坚实的基础。

1 网络安全技术

1.1 防火墙技术

防火墙技术主要作用是实现了网络之间访问的有效控制，对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络，从而实现对企业信息的保护。

如果将公司比作人，公司防盗系统就如同人的皮肤一样，是阻挡外部异物的第一道屏障，其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙，防火墙又可以细分为代理服务防火墙和包过滤技术防火墙。代理服务防火墙的作用一般是在双方进行电子商务交易时，作为中间人的角色，履行监督职责。包过滤技术防火墙就像是一个筛子，会选择性的让数据信息通过或隔离。

1.2 加密技术

加密技术是企业常用保护数据信息的一种便捷技术，主要是利用一些加密程序对企业一些重要的数据进行保护，避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换，改变其原有特征，让外部人员无法直接观察其本质含义，这种加密技术具有简便性和有效性，但是存在一定的风险，一旦加密规律被别人知道后就很容易将其解除。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性，外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙，因此具有较强的保密性。

1.3 身份鉴定技术

身份鉴定技术就是根据具体的特征对个人进行识别，根据识别的结果来判断识别对象是否符合具体条件，再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效，比如指纹或者后虹膜， 一般情况下只有本人才有权限进行某些专属操作，也难以被模拟，安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中，具有较强的实用性。

2 企业网络安全体系解决方案

2.1 控制网络访问

对网络访问的控制是保障企业网络安全的重要手段，通过设置各种权限避免企业信息外流，保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置，针对个体对象按照网络协议进行访问权限设置，将网络进行细分，根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通，其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护，从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行，例如某文件只可以在相应日期的一段时间内打开。

企业网络设计过程中应该考虑到网络安全问题，因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理，例如对各种设备的接口以及设备间的信息传送方式进行科学管理，在保证其基本功能的基础上消除其他功能，利用当前安全性较高的网络系统，消除网络安全的脆弱性。

企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络，远程连接过程中脆弱的网络系统极容易成为别人攻击的对象，因此在企业网络系统中应该加入安全性能较高的远程访问设备，提高远程网络访问的安全性。同时对网络系统重新设置，对登入身份信息进行加密处理，保证企业内部人员在操作过程中信息不被外人窃取，在数据传输过程中通过相应的 网络技术 对传输的数据审核，避免信息通过其他 渠道 外泄，提高信息传输的安全性。

2.2 网络的安全传输

电子商务时代的供应链建立在网络技术的基础上，供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递，信息在传递过程中容易被不法分子盗取，给企业造成重大经济损失。为了避免信息被窃取，企业可以建设完善的网络系统，通过防火墙技术将身份无法识别的隔离在企业网络之外，保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理，技术一些黑客解除企业的防火墙，窃取到的信息也是难以理解的加密数据，加密过后的信息常常以乱码的形式存在。从理论上而言，加密的信息仍旧有被解除的可能性，但现行的数据加密方式都是利用复杂的密匙处理过的，即使是最先进的密码解除技术也要花费相当长的时间，等到数据被解除后该信息已经失去其时效性，成为一条无用的信息，对企业而言没有任何影响。

2.3 网络攻击检测

一些黑客通常会利用一些恶意程序攻击企业网络，并从中找到漏洞进入企业内部网络，对企业信息进行窃取或更改。为避免恶意网络攻击，企业可以引进入侵检测系统，并将其与控制网络访问结合起来，对企业信息实行双重保护。根据企业的网络结构，将入侵检测系统渗入到企业网络内部的各个环节，尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障，再配以检测技术以及相关加密技术，防火记录用户的身份信息，遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击，并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据，难以从中得到有效信息。通过这些网络安全技术的配合，全方位消除来自网络黑客的攻击，保障企业网络安全。

3 结束语

随着电子商务时代的到来，网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用，企业网络安全也将长期伴随企业经营管理，因此必须对企业网络实行动态管理，保证网络安全的先进性，为企业的发展建立安全的网络环境。

随着计算机网络的飞速发展，网络安全越来越被人们所认识和重视，在维护网络正常运行方面越来越起到举足轻重之作用，已成为当代信息社会的一个重要特征。在众多安全措施中，防火墙首当其中。以网络安全为中心，考虑网络的各个层面，整体把握网络在应用中的安全性。在构造防火墙的过程中，阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP／IP(传输控制协议／网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看，文中总体把握包过滤防火墙的思想，深入细致地介绍了网络会话的细节，基于输入包和输出包的过滤思想，如何有选择性地开放Internet公共服务三方面重要的内容，并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明，包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上，本文是基于Redhat Linux操作系统，主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述，给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起，介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计，阐述防火墙设计的两种安全策略：默认禁止一切和默认接受一切，并对其进行相互的比较，给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明，阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙，旨在保护其网络安全并节俭网络费用，为此实现NAT共享IP，屏蔽保护子网共享防火墙外网真实IP，达到伪装保护且节俭网络费用之功效，从而减轻网络负担；构造DMZ，将保护子网与网络服务器分离，有效地解决服务器提供网络服务与子网安全保护这一对矛盾，从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点，同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不，这是大学生防火墙论文的。我去年用的

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙（Firewall）技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。2 防火墙的概述及其分类 网络安全的重要性越来越引起网民们的注意，大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备，是处于不同网络（如可信任的局域内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。2.1 概述 在逻辑上，防火墙其实是一个分析器，是一个分离器，同时也是一个限制器，它有效地监控了内部网间或Internet之间的任何活动，保证了局域网内部的安全。 1）什么是防火墙 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此就把这个屏障叫做“防火墙”。 防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测；也可以是软件型的，软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件，只是它不占用计算机CPU的处理时间，但价格非常高，对于个人用户来说软件型更加方便实在。 2）防火墙的功能 防火墙只是一个保护装置，它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点： ·根据应用程序访问规则可对应用程序联网动作进行过滤； ·对应用程序访问规则具有学习功能； ·可实时监控，监视网络活动； ·具有日志，以记录网络访问动作的详细信息； ·被拦阻时能通过声音或闪烁图标给用户报警提示。 3）防火墙的使用 由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此，防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间，阻止别人通过不安全与不可信的网络对本网络的攻击，破坏网络安全，限制非法用户访问本网络，最大限度地减少损失。2.2 防火墙的分类 市场上的硬件防火墙产品非常之多，分类的标准比较杂，从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1）包过滤型 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。 2）代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 3）监测型 监测型防火墙是新一代的产品，这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点 防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。3.1 防火墙的作用 防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。3.2 防火墙的特点 我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒；代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性；虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。 防火墙一般具有如下显著特点： ·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合，可以实现WWW浏览器、HTTP服务器、FTP等； ·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏； ·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息； ·反欺 欺是从外部获取网络访问权的常用手段，它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃； ·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。3.3 防火墙的优势和存在的不足 防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的，对待任何事物必须一分为二，防火墙也不例外。在充分利用防火墙优点为我们服务的同时，也不得不面对其自身弱点给我们带来的不便。 1） 防火墙的优势 （1）防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息，不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅允许“认可的”和符合规则的请求通过。 （2）防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙，所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。 （3）防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段，这样就能够防止影响一个网段的信息通过整个网络进行传播。 （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 2） 防火墙存在的不足 （1）不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户可以偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁，只能要求加强内部管理。 （2）不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息，然而它却不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 （3）不能防备全部的威胁。防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，就可以防备新的威胁，但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护 如果已经设计好了一个防火墙，使它满足了你的机构的需要，接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后，使它正常运转还要做大量的工作。值得注意的是，这里许多维护工作是自动进行的。管理与维护工作主要有4个方面，它们分别是：建立防火墙的安全策略、日常管理、监控系统、保持最新状态。4.1 建立防火墙的安全策略 要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。

回答1：发达地区中小企业发展制约的因素及对策全球外国直接投资的特点 近20年来全球外国直接投资（FDI）呈高速增长态势。然而，进入2001年以后，由于新经济泡沫在美国的破灭，美国经济出现持续的衰退，并影响到西欧和日本，尤其是在“9·11”事件后，美国经济不仅复兴无望，反而雪上加霜，全球性经济衰退也进一步加剧，外国直接投资也由此出现了大幅下降的局面。根据联合国2001年9月18日发表的《2001年世界投资报告》，预计全年投资将下跌到7600亿美元，跌幅近1/3. 在外国直接投资的发展过程出现的最大特点就是，发达国家和地区不仅是外国直接投资流出的主角，也是外国直接投资流入的主角。自外国直接投资产生伊始，发达国家和地区就是外国直接投资的主角。20世纪80年代至90年代前期，发展中国家在外国直接投资发展中地位一度有所提高，1993年，发展中国家对外直接投资流出占全球的比重在达到了16.1%，对外直接投资流入占全球的比重在1994年达到了39.9%.然而，20世纪90年代后期，这一趋势却又急转直下，发达国家重新占据主导地位。 统计数字表明，1995 - 2000年，发达国家的对外直接投资流出自3058亿美元增加到10463亿美元，对外直接投资流入由2034亿美元增加到10052亿美元，分别增加了242.2%和336.3%，都超过了同期外国直接投资增长的速度。结果，发达国家占外国直接投资的比重就明显提高了，其中，对外直接投资流出由86.1%提高到了91.0%，对外直接投资流入由61.4%提高到了79.1%.相比之下，同期发展中国家占全球外国直接投资的比重就明显下降了，其中对外直接投资流出由13.8%下降到了8.6% （1998年由于东南亚金融危机的影响曾下降为4.8%），对外直接投资流入由34.2%下降到了18.9% （1996年曾回升为38.4%）。 外国直接投资发展的另一个特点是发达国家之间相互投资非常活跃。1995 - 1999年，美国和西欧的相互投资由840亿美元增加到2863亿美元，增加了240.8%.其中，美国对欧盟的投资由488亿美元增加到582亿美元，欧盟对美国的投资由351亿美元增加到2281亿美元，分别增加了19.3%和549.9%.由于美国和欧盟间相互投资的迅速增加，其相互投资占外国直接投资的比重（按对内直接投资额计），就由1995年的25.3%提高到了1999年的33.1%.另外，欧盟各国间的相互投资也非常活跃，1999年达到了3180亿欧元， 2000年又达到了4360亿欧元，约相当于1995年630亿欧元的6.9倍，占欧盟对内直接投资的60%以上。 中国对外直接投资发展的对策 中国企业对外投资起步于1979年， 20世纪80年代中后期，一些大中型生产企业、中央和地方的国际信托投资公司及综合经营类企业、甚至民营企业也加入对外投资的行列。据不完全统计，截止到2001年9月底，中国对外直接投资，包括贸易与非贸易企业累计为6513家，协议投资额117.95亿美元，中方协议投资额79.03亿美元。在经济金融全球化这一大背景下，我们应该因应全球对外直接投资的新变化，采取各种措施推动我国对外直接投资的发展。 1、我们应该明确发展对外直接投资的目的在于获取经济利益这一观念 中国发展对外直接投资，就是要“充分利用两种资源、两个市场”，通过在国际市场范围内有效地配置资源，从而获得更大的经济利益。中国企业“走出去”不仅仅要获取微观经济利益，还必须兼顾宏观经济利益。一方面，发展对外直接投资服从和服务于中国的国家经济安全。不仅要着眼于当前的投资利润，还要着眼于国民经济的长远发展和安全，抓住机遇，更多地投资海外，开发和利用国外资源，尤其是要注意石油、铜矿、铁矿、森林、橡胶等中国十分缺乏但却具有重要意义的战略物资的储备；另一方面，“走出去”要符合国家的产业发展需要。中国有一些行业，近几年通过技术引进和技术开发，形成了大量有较高技术水平的生产能力，但由于国内生产能力总量大大超过需求。 2、我们应该加快现代企业制度建设从而培育发展对外直接投资的微观经济主体 跨国企业是实施“走出去”战略的微观经济主休。这主体健全与否，在很大程度上制约着我国发展对外直接投资所能获得的经济利益的水平。从我国目前的情况来看，对外直接投资的主体多数仍然是国有和国有控股企业，一方面，“定指标”、“下计划”式的发展思路就不可避免，另一方面，虽然经过多年的改革，许多企业的机制已经发生转变，但“预算软约束”问题然存在，争投资、争项目、轻效益、轻风险的问题并没有完全解决。对于那些体制不顺、机制不活、管理松懈、国有资产监管不到位、缺乏内在发展动力的企业来说，进行境外投资，很有可能成为国有资产流失和损失的新渠道。根据邓宁的国际生产折衷理论，微观因素即企业自身的特点是决定对外直接投资的重要因素之一。因此，只有按照市场经济的要求，实现转机建制，使企业真正成为自主经营、自负盈亏的法人实体和市场竞争主体，企业才会有长期不懈的“走出去”的内在激励和自我约束机制。在目前的条件下，可以鼓励民营企业积极走出去，成为中国企业“走出去”的一支重要力量。 3、根据经济利益目标确立中国发展对外直接投资的地区及产业流向 截止到2001年9月底，中国海外投资最多的是港澳地区，占46.8%；其次是北美，占13.7%；第三是亚洲，占11%；第四是非洲，占9.2%；第五是拉美，占7.5%；第六是大洋洲，占6.2%；最少的是欧洲，只占6%.一般地说，北美、欧洲等国家和地区有着非常发达的科学技术和管理水平，市场广阔，政治稳定，法制健全；亚、非、拉美等发展中国家和地区有着丰富的自然资源，但是，市场和法制建设较为滞后，政治相对较不稳定。目前中国的海外投资涉及的领域已从过去的以贸易和餐饮为主逐步拓宽到矿产、森林、渔业、能源等资源开发，家用电器、纺织服装、机电产品等境外加工贸易，农业及农产品开发、餐饮、旅游、商业零售、咨询服务等行业在内的全方位的经营活动。尽管贸易型企业（占49.7%）仍旧占据了中国海外投资的半壁江山，但从近年来的发展看，境外加工贸易（占22.2%）和资源开发（18.1%）增长比较快。我们应该根据微观经济利益目标和宏观经济利益目标确定我国发展对外直接投资的地区结构和行业结构，以获取最大的经济利益。 摘要]文章阐述了网络银行的基本概念，论述了影响网络银行安全的因素及其安全防范策略。 [关键词]网络银行 网络安全 防范策略 随着计算机和网络通信技术的发展，人类社会的信息传播方式已由原先的矩阵传播逐步转变为网络式、分布式传播，人类社会进入了以网络应用为核心的数字化革命时代，金融业不可避免地受到了计算机网络技术的深刻影响，由此形成了全新的经营模式——网上金融oj。网上金融引发了一系列复杂的问题，其中最为普遍的、最急迫需要解决的就是与网络银行有关的安全问题oj。2iqmdvy3 一、网络银行简介 网络银行又被称为网上银行、在线银行，其包含两层涵义，一是以因特网为背景的传统银行电子化业务(Internet Banking)oj。它是一种金融创新，是对银行业务的发展oj。它利用计算机技术在因特网上建立网点，以替代原来需在柜台操作的多种业务oj。二是在传统银行以外兴起的以Internet技术为依托的另一种类型的银行(Internet Bank)oj。它是一种金融分化，是一种设在因特网上的虚拟机制oj。它不拥有存在于网络之外的独立的金融信息处理系统，因此是对传统银行地位的挑战oj。Internet Banking是目前多数网络银行的形态，但Internet Bank却是未来网络银行发展的趋势oj。 1995年，美国三家银行联合在因特网上成立了全球第一家网络银行“安全第一网络银行”(Security First Network Bank，简称SFNB)oj。在SFNB的刺激下，世界各国几乎所有的金融机构都在考察因特网所提供的契机，争先恐后地把传统的金融业务开到网上oj。我国金融界在这股金融电子化的浪潮中也开始有所动作oj。1998年3月，我国第一笔真正意义上的网络银行交易获得成功，从而拉开了我国网络银行业的序幕oj。目前已有20多家银行的200多个分支机构拥有网址和主页，其中开展网络银行业务的分支机构达50余家oj。据网上调查和估计，这些网络银行的个人客户已超过2万户，公司客户超过1000万户。 二、影响网络银行安全的因素 网络银行的发展如火如荼，但作为一种新生事物，它存在不少亟待解决的问题，其中最为迫切的就是安全问题oj。影响网络银行安全的因素有很多方面，但概括起来主要有两个方面。 1.网络自身的系统安全问题，主要包括以下四方面的因素： (1)网络系统方面的因素。首先是我们的网络系统存在很多安全方面的漏洞，而网络银行是建立在这些系统和网络上的。Internet早期是一个开放的为研究人员服务的网际网，是完全非赢利性的信息共享载体，所以，几乎所有的Internet协议都没有考虑安全机制. (2)难以抗拒的灾害。如地震、雷击、台风等自然灾害和火灾、停电等意外事故等，都可能造成网络问题、主机工作的不稳定和毁坏，造成数据错误或丢失，从而严重影响网络银行的安全。 (3)人为的因素oj。如工作人员的失职、失误造成网络系统的异常，造成网络银行系统安全性问题。 (4)因特网的开放性，使得各种病毒在网络上流传oj。它是威胁网络银行正常运作的主要威胁之一，特别是银行网络的逐步开放，为病毒的快速传播提供了便利条件，也带来了更大的威胁性。 2.各种主动攻击手段所带来的安全问题，主要是下列三方面的因素。 (1)黑客攻击。Internet不安全的另一个因素是因为人们很容易从Internet上获得相关的核心技术资料，特别是有关Internet自身的技术资料(比如RFC,FAQ文档)的各类应用程序原代码(如TCP/IP，Sendmail，FTP等)，还有各类安全工具的原代码也是公开免费的，像颇有争议的SATAN、Crack等oj。这些资料拿出来共享的想法是好的，但也难免产生事与愿违的效果oj。因为黑客会利用这些资料通过Internet非法入侵网络银行系统，从而使系统和数据遭到破坏。 (2)犯罪分子利用网络银行进行经济犯罪，即所谓的高智商犯罪oj。网络银行是进行金钱支付和结算的系统，因此容易吸引经济犯罪分子的注意，他们可能会通过各种手段在几秒钟内使银行蒙受巨额损失。 (3)内部工作人员的犯罪oj。银行内部工作人员利用工作之便进入银行系统，造成安全威胁oj。 三、网络银行安全防范策略 影响网络银行安全的各因素不是孤立的，而是相互关联、且为因果关系的，所以网络银行的安全防范措施可以从以下几个方面着手。 1.基础工作 首先，在建设网络银行时要综合考虑软硬件需求，利用操作系统(尽量采用高等级安全操作系统) 的安全管理能力和多种安全机制来增强网络银行的安全性，在运行过程中要不断地检测各种网络入侵、审核安全记录，检查是否有对网络银行构成安全威胁的漏洞，及时发现并作相应处理oj。此外还应考虑到网络银行的安全除受到系统软件影响外，也会受到应用软件安全性能的影响，因此在当前积极开发有我国特色并拥有自主知识产权的网络银行安全系统与应用软件也是非常必要的。 其次，网络银行的安全更要考虑到人为的因素影响。人为的因素主要包括银行网站内部管理人员与工程技术人员的素质和技术水准，以及使用网络银行的客户的安全意识以及自我保护意识。例如建立内部人员安全管理制度，加强对内部员工的计算机安全教育，提高员工素质，狠抓内部职工的道德品质。 2.计算机病毒技术。计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。计算机病毒，特别是通过网络传输的计算机病毒具有极大危害性，是影响网络银行正常运作的主要威胁之一。 网络银行对病毒的防范要采取多种手段和方法。网络银行的用户端要配备安全有效的病毒防范系统，并定期检查和扫描，及时解决出现的问题。而网络银行端则更为重要，防治病毒要从全面着手，管理员通过网络管理主机进行扫描、检查病毒情况，设置在线报警系统，一旦发现病毒要立刻报警，从而在管理中心处予以解决。同时还要采用多级防范系统。新的防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来，形成多层防御体系。另外，物理的和政策的手段也会对病毒的防范起到很大的作用。 3.防火墙技术。防火墙是一个或一组在网络之间执行访问控制策略的系统oj。实现防火墙的实际方式各不相同，但是在原则上可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种是允许传输流通过oj。而防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。由于防火墙所保护的对象是网络中有明确闭合边界的一个网块，而所防范的对象是来自被保护网块外部的安全威胁，所以防火墙技术最适合于在企业专网中使用，特别是在企业专网与公共网络互连时使用。网络银行系统正好符合这一模型，可以利用防火墙技术来保证网络银行的网络安全oj。目前防火墙产品中采用的技术有如下几种：(1)数据包过滤技术是在网络层(IP层)中对数据包实施有选择的通过,依据系统内事先设定的过滤逻辑检查数据流中每个数据包后,再根据数据包的源地址、目的地址所用的TCP/UDP端口与TCP链路状态等因素来确定是否允许数据包通过。 (2)应用网关技术是建立在应用层上的协议过滤,它针对特别的网络应用服务协议——数据过滤协议,能够对数据包分析并形成相关报告,对某些易于登录和控制所有输出输入的通迅环境给予严格的控制,以防止有价值的程序和数据被窃取。 (3)代理服务技术作用在应用层上,是由一个高层的应用网关作为代理服务器来接受外来的应用连接请求，在进行安全检查后再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务oj。同样,内部网络到外部的服务连接也可以受到监控oj。应用网关的代理服务实体将对所有通过它的连接作出日志记录,以便对安全漏洞进行检查并收集相关的信息oj。使用应用网关的高层代理服务实体有以下优点:日志记录,便于网络管理;隐蔽信息,内部受保护的主机名等信息不为外部所知;可以由应用网关代理有关RPC服务,进行安全控制。 4.数据加密技术和鉴别技术 数据加密技术是保障信息安全最基本、最核心的技术措施和理论基础，用于保障网络银行数据的私有性、完整性和不可否认性。常用的加密技术有对称密钥加密、公开密钥加密和混合密钥加密。其中混合密钥加密既保证了数据安全，又提高了加密和解密的速度，这种加密技术在电子商务中得到广泛使用。 鉴别技术主要是在信息交换过程中防止信息被非法伪造、篡改和假冒的一种技术。如果黑客进入了网络银行系统,发布虚假信息或更改真实的信息,通过鉴别技术即可作出判断。鉴别技术主要有:（1）报文鉴别。指在两个通信者之间建立通信联系之后,每个通信者对收到的信息进行检证,以保证所收到的信息是真实的过程oj。（2）身份鉴别。主要指在网络系统对用户身份真实性的鉴别。（3）数字签名oj。是指信息接收和发送双方在收到和发出信息时的身份验证技术，可使信息发收双方不能根据各自利益而互相修改签名后的文档和推卸责任,在发生争执时可由第三方仲裁。 5.安全协议支持 安全协议是为了保障电子商务的安全性和互操作性而产生的数据交流标准，因为因特网的通信协议TCP/IP本身几乎没有考虑安全因素,而目前发生的安全事故中,最为严重的便是IP欺与窃听获取合法用户的登录信息，因此安全协议在网络银行中也同样重要。目前，在用户端和网络银行之间主要的安全协议为SSL(安全套接字协议)和SET(安全电子交易)。 网络银行的交易服务器实际上是一个Web服务器，客户端所使用的是浏览器，但它与信息发布类Web服务器相比，又具有更高的安全要求。使用证书是实现浏览器与Web服务器之间双向身份认证的标准方法，主要由SSL3.0协议实现。目前大多数的浏览器和Web服务器均支持SSL3.0，该协议完成的主要工作包括：实现基于公钥技术的验证交换，完成浏览器与Web服务器之间的双向身份认证；密码算法协商，利用公钥技术实现浏览器与Web服务器之间的密钥交换；对数据进行加密/解密操作。 SET是一个更为复杂的协议，由VISA和MASTCARD所开发，是为了在Internet上进行在线交易时保证用卡支付的安全而设立的一个开放的规范oj。由于得到了IBM、HP、Microsoft、NetScape、VeriFone、GTE、VeriSign等很多大公司的支持，现已形成了事实上的工业标准，并已获得IETF标准的认可。它定义了消费者、商家和银行之间网上交易的安全规范，要求在网络银行的支付网关安装支持SET的服务器软件。 6.建立完善的相关法律法规。 网络银行的出现，给我国乃至全世界法学领域引出了许多空白点。为了使网络银行的发展有一个规范、明确的法律环境，立法机关要密切关注网络银行的最新发展和科技创新及其对金融业和监管造成的影响，集中力量研究、制定与完善有关的法律法规，比如数字签名法、加密法、电子证据法等。要明确定义电子交易各方(消费者、商家、银行、CA中心)的权利和义务，充分利用法律、法规的规范性、稳定性、强制性，才能更有效地保护网络银行交易当事人的合法权益。 2iqmdvy3 网络银行作为新经济的产物，是传统银行的发展和延伸，也是未来银行业在市场竞争中取胜的一个重要筹码。网络银行在我国才刚刚起步，它的业务点和网上服务问题仍在不断探索中。作为以信誉为生命的银行业，在建设网络银行时一定要对网络银行所面临的各种风险周全考虑，要将安全问题放在首位。同时整个系统还应具备系统风险评估、安全策略实施、系统运行控制、灾难恢复功能、事后监督机制等等条件，为网络银行提供全方位、立体的防御体系。只有这样，网络银行才具有生命力，才能够健康、快速地发展。 参考文献 1 李 成.当前我国网络银行技术风险问题研究.中国金融电脑，2003， 2 杨晏忠.试论我国网络银行发展中的制约因素、功能定位及对策选择.中国金融电脑，2003， 3 李彦旭，巴大志.网络信息安全技术综述.半导体技术，2002， 4 韩 宏，杨增荣.网络安全及安全技术.宝鸡文理学院学报（自然科学版），2002， 5 贺建华.网络银行安全策略.计算机世界报，2001， 6 张景安，曹素娥.网络安全技术在电子商务中的应用.福建电脑，2003， 7 王小兰.发展我国网络银行的思考.西南民族学院学报（哲学社会科学版），2002， 8 方 琢.网络银行的经济解释.北方经贸，2003，