信息安全相关名词解释

信息安全相关名词解释信息安全管理信息安全是一个多层面、多因素、综合的动态过程，是一个需要系统体系来保证的持续发展过程。如果凭一时的需要，对某些方面加强控制，而没有整体全面的考虑，都难免存在顾此失彼的问题，使信息安全链在某个薄弱环节断裂。因此，信息安全管理是指：用于指导、管理和控制信息安全风险的、一系列相互协调的活动，要尽可能做到，应用有限的资源，保证安全“滴水不漏”。风险评估风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础，风险评估（RiskAssessment）是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。入侵检测系统入侵检测系统的英文名称为“IntrusionDetectionSystems”，简称IDS，是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能的发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦有小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。警惕BIOS的安全漏洞BIOS也称做基本输入输出系统，存放在计算机主板存储芯片上，主要功能是为计算机提供最底层、最直接的硬件设置和控制。由于BIOS芯片所处的位置具有特殊性，一旦被植入恶意代码，任何应用于操作系统层的杀毒软件也无法对其查杀，即使对整个硬盘格式化也无法去除，因此BIOS是整个计算机系统安全链中至关重要的一环。目前。市场上绝大部分计算机的BIOS来自台湾和美国。但近几年，伴随我国信息安全保障体系的建设，国内BIOS技术研究也得到了一定的发展。2007年，我国成功研发出首个具有自主知识产权的“安全BIOS”，并将其成功应用于长城第二代安全计算机中。近两年，又有更多的研发力量投入到国产BIOS的研发中来。安全审计安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。网络战网络战是信息化条下以计算机及其网络为基本工具、以网络攻击与防护为基本手段的一种全新作战样式。网络战正在成为高技术战争的一种日益重要的作战样式，它可以兵不血刃地破坏敌方指挥控制、情报信息和防空的军用网络系统，甚至可以悄无声息地破坏、控制敌方的商务、政治等民用网络系统，不战而屈人之兵。不同的国家和地区，在军事领域推行网络战的空间各有不同：一些国家和地区的作战系统部分运行于互联网络，部分通过专用网络，还用一部分为战场空间即时组网；另一些国家和地区的军事领域则完全不接入互联网络，只通过专有网络和战场空间即时组网实现基于网络的作战。各国家和地区在政治、经济、文化等领域的应用系统基本上连接在互联网络上，少数运行在专用网络中。网络世界的战争即针对互联网络，也针对各种专用网络和战场空间及时组建的作战网络。就是说通过现代高科技的手段在网络战场这样一个虚拟空间进行的一些作战行动，这个基本上都叫网络战，主要在以下四个层面展开：一是信息基础设施，也就是计算机和通信设施的联网包括有线、无线通信设施、通信卫星、计算机等硬件设备；二是基础软件系统，包括操作系统、网络协议、域名解析等；三是应用软件系统，包括金融、电力、交通、行政、军事等方面的软件系统；四是信息本身，针对在网络中流动的所有信息。今天网络战最常见的是围绕秘密资料的窃与防。虽然主要国家和军队都会把机密信息储存在与互联网络断开的电脑系统里，但庞大的系统难免有疏忽的人或者硬件通过复杂的间接渠道错误接入民用网络。攻击者就是要找到这些漏洞，破解密码，把机密信息偷出来。数据加密数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息安全的作用。当今运用得比较广泛的有对称密钥算法、公共密钥算法以及报文摘要算法。对称密钥算法：这类算法使用相同的密钥进行加密和解密，比较于公共密钥算法更为高效且易于实现。但也受到一些限制：一是使用对称密钥算法想要交换信息的双方需要交换加密密钥，但是使用一种秘密的方式来交换加密密钥是非常困难的；二是想要发送或者接受消息的双方都需要保持密钥的副本。存在较大的隐患：如果一方的副本被泄露出去，而另一方并不知情，仍发送消息给对方从而造成泄密；三是如果双方都希望秘密的交换信息，他们就需要使用一套独一无二的密钥，那么N个不同的用户就需要N(N-1)/2个密钥。公共密钥算法：这类算法中，一个密钥用于加密，另一个密钥用于解密。加密的算法通常被称为通常被称为公共密钥，因为这个密钥是公共的，供所有人使用，并且并不危及消息或者解密密钥的安全。公共密钥算法解决了对称密钥算法存在的问题，但也带来了一个新的严重问题：计算代价昂贵。所以在实际开发使用中，数据加密往往结合对称算法和公共密钥算法使用。报文摘要算法：对给定的输入生成一段看上去随机的比特流。对于任何一个不同的输入会产生不同的摘要。报文摘要经常作为文件的“指纹”使用。ARP欺骗阻断企事业单位涉密网是一个完全独立于Internet的网络。对于这样的网络，来自Internet直接攻击的危害较小，其安全威胁主要来自于网络内部。其中最主要的是不明身份人员的设备，擅自连接到涉密网内窃取单位涉密信息，造成信息泄密事件。对于管理者来说，如果涉密网的非授权接入管理问题不能有效解决，涉密网就几乎处于一个不可控状态下，任何人都可以从网络的接口接入，通过盗用合法身份，进行非法活动，而网管人员却难以及时发现并进行有效的阻断。防止非授权接入如同给大门安装门禁，只有具有合法身份的人才能进入。ARP欺骗阻断是一种有效防止非授权接入涉密网的方法。ARP协议是一种将IP地址转化成物理地址、用来确定IP地址与MAC地址之间存在一种对应关系的协议。ARP欺骗阻断的原理是在同一个网络中，计算机通过ARP协议由目标计算机的IP地址获得的目标计算机的MAC地址。每台计算机（包括网关）都有一个ARP缓存表，在正常的情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。若出现在ARP缓存表中所没有的IP地址或MAC地址，那么ARP缓存表的实现机制和ARP请求应答的机制就无法找到对应的IP地址或MAC地址，使其无法正常通信，从而达到阻断的目的。例如：通过合法计算机B，伪造网关（192。168.1.1）的MAC地址，并将伪造的网关MAC地址向非授权接入计算机A发送，直接欺骗非授权接入机，达到阻断其接入网络的目的。ARP欺骗的阻断方式技术实现较简单，被目前国内大部分主机监控与审计产品提供商所采用，对局域网内未安装主机监控与审计客户端软件的计算机进行阻断。ARP欺骗的阻断范式跟网络设备的关联性比较小，对网络的适应性比较强，且均具有日志审计记录。系统漏洞系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制计算机，从而窃取计算机中的重要资料信息，甚至破坏整个计算机系统。漏洞会影响到的范围很大，包括系统本身及其支撑软件、网络客户和服务器软件、网络路由器和安全防火墙等。换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。以下是一些常见的系统漏洞：1.UPNP服务漏洞WindowsXP默认启动的UPNP服务存在严重安全漏洞，可使攻击者非法获取任何WindowsXP系统访问等级权限进行攻击，还可通过控制多台安装WindowsXP系统的计算机发起分布式攻击。2.升级程序漏洞WindowsXP的升级程序漏洞不仅会删除IE的补丁文件，还会导致微软的升级服务器无法正确识别IE是否存在缺陷。通过升级程序漏洞，某些网页或HTML邮件的脚本可自动调用Windows的程序，还可通过IE漏洞窥视用户计算机内的文件。3.帮助和支持中心漏洞帮助和支持中心提供集成工具，用户通过该工具获取针对各种主题的帮助和支持。帮助和支持中心漏洞可令攻击者跳过特殊的网页，使上传文件或文件夹的操作失败，随后该网页在网站上公布，攻击访问该网站的用户或通过邮件传播来攻击。该漏洞除使攻击者可删除文件外，不会赋予其他权利，攻击者既无法获取系统管理员的权限，也无法读取或修改文件。4.压缩文件夹漏洞压缩文件夹漏洞可使WindowsXP系统的压缩文件夹按照攻击者的选择运行代码程序。通过该漏洞，解压缩Zip文件时会在非用户指定目录中放置文件，或者有未经检查的缓冲存在于程序中以存放被解压文件，可使攻击者在用户系统的已知位置中放置文件，甚至很可能导致浏览器崩溃。Windows系统漏洞问题是与时间紧密相关的。一个Windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。随着时间的推移，旧的系统漏洞会不断消失，新的系统漏洞会不断出现。系统漏洞问题也会长期存在。作为计算机用户，应养成定期升级系统补丁程序的良好习惯，及时更新系统漏洞，保证计算机安全。“鬼影”病毒“鬼影”病毒是近年来极为罕见的技术型引导区病毒。它可以绕过Winxp的安全限制，直接改写BMR（主引导区记录）。该病毒的特征是:运行后会自动释放两个驱动（A、B）到用户电脑中并加载，和母体病毒捆绑在一起修改桌面快捷方式，并尝试修改IE属性。A驱动会修改系统的主引导记录，并将B驱动写入磁盘，同时保证病毒优先于系统启动，且病毒文件保存在操作系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项和病毒文件，在进程中也找不到任何进程模块。重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载B驱动。B驱动加载后，会监视系统中的所有进程模块，并下载大量的盗号木马，进一步盗取用户的信息。目前升级为最新版本的金山毒霸杀毒软件已可对感染“鬼影”病毒的母体文件进行查杀。计算机木马的类型常见的计算机木马的类型有以下9种：1.破坏型：该类木马唯一的功能就是破坏并且删除文件，它们非常简单、容易使用，能自动删除目标机上的DLL、INI、EXE文件。因此一旦被感染就会严重威胁到电脑的正常使用。2.密码发送型：该类木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用Windows提供的密码记忆功能，这样就可以不必每次都输入密码了。这类木马恰恰是利用这一点获取目标机的密码，它们大多数会在每次启动Windows时重新运行，而且多使用25号端口上送E-mail。如果目标机有隐藏密码，这些木马是非常危险的。3．远程访问型：该类木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序，客户端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。4.键盘记录木马：该类木马非常简单，它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码，并且随着Windows的启动而启动。它们有在线和离线记录这样的选项，可以分别记录你在线和离线状态下敲击键盘时的按键情况，也就是说你按过什么按键，黑客从记录中都可以知道，并且很容易从中得到你的密码等有用信息，甚至是用户的信用卡账号。5.DDoS攻击木马：随着DDoS攻击越来越广泛的应用，被用作DDoS攻击的木马也越来越流行。当黑客入侵计算机并给其安装上DDoS攻击木马后，这台主机便可以被黑客实现远程操控——即俗称的“肉鸡”，黑客通过“肉鸡”向更多的计算机发动DDoS攻击，继而实现更多的控制，同时该控制很难被追溯。这种木马的危害不仅体现在被感染计算机上，更多的体现在黑客利用受控制主机攻击其他计算机或网络，造成极大危害和损失。6．FTP木马：该类木马可能是最简单和古老的木马了，它的惟一功能就是打开计算机的21端口，即FTP端口，等待用户连接的时候进行传播。现在新型的FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。7．反弹端口型木马：有一部分木马开发者在分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。根据防火墙的这个特点，黑客通过反弹端口型木马，使受感染计算机通过最常见的80端口与外界进行连接并实行其他操作。这样，该木马行为即使被发现，用户也很有可能是认为自己在浏览网页，从而逃过反木马软件的检测。8．代理木马：黑客在入侵用户主机的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。9.程序杀手木马：上面介绍的木马功能虽然形形色色，不过到了对方计算机上要发挥其作用，还要过防木马软件（譬如：瑞星、金山、NortonAnti-Virus等）这一关才行。程序杀手木马的功能就是关闭对方机器上运行的防木马软件程序，让其他木马更好地发挥作用。绑架型木马的概念及特点绑架型木马是一种新型的破坏性非常强的木马种类。与感染型木马不同，绑架型木马通过“绑架”正常的系统文件或某个正常的应用软件实现自启动。绑架型木马的特征特点是防不胜防、破坏性强、难以彻底删除。首先，绑架型木马可以通过“绑架”正常的系统文件或某个正常的应用软件的方启动，在这个过程中，该类木马会通过“绑架”用户的方式，强行修改用户浏览器主页、强迫用户浏览恶意网站等。可以被绑架型木马利用的正常的系统文件或软件不计其数、防不胜防。其次，绑架型木马还可以破坏系统组件。杀毒软件在简单删除该木马程序之后，会出现各种各样的系统异常，与之相关的应用程序无法正常运行，甚至出现系统崩溃，危害极大。我国互联网上传播木马的主要类型国家互联网应急中心发布的2009年互联网恶意代码监测分析情况显示：我国互联网的信息安全形势令人堪忧，特别是木马活动猖獗，在恶意代码传播中占据主要比例，已成为互联网中最大的危害者。在已公布的木马种类中，还包括被境外情报机构用以窃取信息的特种木马。据分析，目前互联网上的木马大致可以分为4种类型：1.远程控制型木马远程控制型木马运行后会主动回联其控制端。控制端可以完全控制被感染的主机，并对其进行文件窃取、屏幕监控、键盘记录、音视频控制等。一旦感染远程控制型木马，用户电脑中的所有信息都将给控制者掌控，没有任何秘密可言。2.木马下载器木马下载器运行后会继续下载其他功能模块或其他木马。由于其具有体积小、易于变形、隐蔽性好、植入方便等特点，目前已成为黑客惯用的入侵手段。黑客一般先向目标主机植入下载器，下载器成功运行后会自动下载其他功能的代码或木马文件至内存或本地运行。此种木马具有后续的恶意代码下载能力，已成为木马的重要发展方向之一，危害不可小视。3.盗号木马盗号木马主要以盗取用户的各种账号、口令和敏感信息为目的，给用户带来直接的经济损失。4.其他木马除以上3种功能明确的木马外，还出现了一些其他形式的木马，以多态性木马较为多见，其功能复合，既具有木马的特征，也兼具蠕虫和病毒的特性。还有一种Kido木马，是一种具有木马功能的蠕虫，其具有极强的破坏能力，不仅能够创建十分庞大的僵尸网络，还伴有下载其他病毒文件的能力。此蠕虫曾导致英、法、德军方网络系统瘫痪，在我国互联网上传播也甚为广泛。恶意软件的分类恶意软件是指专门开发的危害他人计算机系统的软件。经过30年的发展，恶意软件至今数量已经超过几百万种，包括广告软件、僵尸网络、计算机病毒、计算机蠕虫、间谍软件、rootkits、特洛伊木马等13大类。随着计算机犯罪盈利组织的出现，恶意软件功能日趋复杂化，其质量也愈来愈高。大多数恶意软件目的是借助窃取信息、破坏数据、危害系统以达到更高目标。恶意软件危害的根源在于用户在执行他们并不了解的程序。多数用户不知道程序会做什么，也没有可靠的方法去发现程序的行为。有安全概念的用户在执行未知程序前会使用病毒扫描工具。尽管现代病毒扫描器具有扩展经验数据的能力，但是恶意软件检测的主要方法仍然是简单的模式匹配机制，即把未知文件与已有的恶意软件特征码数据库进行比较。对于针对某个组织专门定制的恶意软件，既不会广泛传播，也不会送到反病毒厂家，这种方法显然无能为力。恶意软件有多种分类，典型方法是通过其意图和危害程度加以分类，用于生成整体的风险评价。对最终用户而言，恶意软件通常是指那些他们为请求或不需要的、危害他们计算机系统的软件。从恶意软件采取的隐藏方法角度，可以把恶意软件分为四类，对他们需采取不同的分析方法。第一类恶意软件不适用未公开的方法隐藏，大多数标准恶意软件属于此类，可使用传统工具进行分析。第二类恶意软件修改静态资源隐藏自己，对应的分析方法包括对运行时内存和硬盘值比较、数字签名代码等。第三类恶意软件修改动态资源隐藏自身，由于应用数据总在变化，无法比较其哈希值，目前对此类恶意软件没有合适的分析方法。第四类恶意软件将自身隐藏在操作系统也无法看到的地方。因为在操作系统内部几乎无法检测到，因此对他们的检测、组织和分析必须在操作系统外进行。可以通过比较此类恶意软件引入前后的指令事件加以分析。身份认证的分类随着信息技术的广泛运用，数据越来越成为机关、企事业单位日常运作不可缺少的一部分，对单位的生存和发展起着至关重要的作用。身份认证是数据保护方面的一种常用方法，它的作用是为验证用户是否具有合法身份去访问系统，主要可分为静态口令、动态口令、数字证书、生物认证四种主要方式：静态口令：静态口令是由用户自行设定的口令，一般情况下，用户不会在一个相对短的时间间隔内频繁的更换自己的口令，因此这种口令基本上是静态的方式。动态口令：动态口令是由特定的手持终端设备生成的，根据某种加密算法，产生的某一个不断变换的参数（例如时间、事件等）不停地、没有重复变化的一种口令。动态口令卡每次使用时变换一次口令，攻击者没有办法推测出用户下一次登录口令。数字证书：数字证书是基于国际PKI标准的网上身份认证系统，它以数字签名的方式通过第三方权威认证有效地进行网上身份认证，帮助各实体识别对方身份和表明自身身份，具有真实性和防抵赖功能。生物认证：生物认证是通过人体的生物学特征进行个人身份认证的方法，如指纹认证、掌纹认证、面容认证、声音认证、虹膜认证、视网膜认证等等。目前指纹认证运用最为广泛。静态口令、动态口令、数字证书、生物认证四种认证方式的安全程度是有差异的，通常情况下，生物认证安全性最高，数字证书、动态口令次之，静态口令安全性最差。实际使用中往往采用多重认证方式，以达到更高的安全性。云计算CloudComputing云计算(CloudComputing)是一种新兴的商业计算模型。它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。“云”是一些可以自我维护和管理的虚拟计算资源，通常为一些大型服务器集群，包括计算服务器、存储服务器、宽带资源等等。云计算将所有的计算资源集中起来，并由软件实现自动管理，无需人为参与。可信计算TrustedComputing可信计算是指在PC硬件平台引入安全芯片架构，通过其提供的安全特性来提高终端系统的安全性，从而在根本上实现了对各种不安全因素的主动防御。可信计算技术首先是在PC主板上嵌入芯片，其支撑计算机在整个运行过程中的三个主要功能：防御病毒攻击的功能，通过一种可信链来防御攻击；建立一个可信的身份，识别假冒的平台；高安全性的数据保护，使数据能够密封在非常安全的一个区域中。P4PProactivenetworkProviderParticipationforP2PP4P技术是P2P技术的升级版，意在加强服务供应商(ISP)与客户端程序的通信，降低骨干网络传输压力和运营成本，并提高改良的P2P文件传输的性能。与P2P随机挑选Peer(对等机)不同，P4P协议可以协调网络拓扑数据，能够有效选择Peer，从而提高网络路由效率。统一威胁管理ＵＴＭUnifiedThreatManagement统一威胁管理（UTM）安全设备是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。网络安全包括网络安全系统（主机、服务器）安全反病毒系统安全检测入侵检测（监控）审计分析网络运行安全备份与恢复应急局域网、子网安全访问控制（防火墙）网络安全检测下面分几个方面讨论一下：一内外网隔离及访问控制系统在内部网与外部网之间，设置防火墙（包括分组过滤与应用代理）实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。这是一些基本概念：防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲有二大类较为常用：分组过滤、应用代理。分组过滤（Packetfiltering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway）,它作用在应用层，其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。二内部网不同网络安全域的隔离及访问控制在这里，防火墙被用来隔离内部网络的一个网段与另一个网段。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。三网络安全检测网络安全性分析系统网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。

网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达到增强网络安全性的目的。四审计与监控审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前以较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。五网络反病毒由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：1.预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。2.检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。3.消毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。六网络备份系统备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场地内高速度、大容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时亦是系统灾难恢复的前提之一。一般的数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有"冷备份"和"热备份"两种。热备份是指"在线"的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。"冷备份"是指"不在线"的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为冷备份在回避风险中还具有便于保管的特殊优点。在进行备份的过程中，常使用备份软件，它一般应具有以下功能。保证备份数据的完整性，并具有对备份介质的管理能力；支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期；支持多种校验手段（如字节校验、CRC循环冗余校验、快速磁带扫描），以保证备份的正确性；提供联机数据备份功能；支持RAID容错技术和图像备份功能。七信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。信息安全信息传输安全（动态安全）数据加密数据完整性鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权1鉴别鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。口令机制：口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。智能卡：访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。主体特征鉴别：利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。2数据传输安全系统数据传输加密技术目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。数据完整性鉴别技术目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（IntegratedCheckVector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。消息完整性编码MIC（MessageIntegrityCode）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。防抵赖技术它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的回执也是同样道理。另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完整性的鉴别。3数据存储安全系统在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。数据库安全：对数据库系统所管理的数据和资源提供安全保护,一般包括以下几点：一，物理完整性，即数据能够免于物理方面破坏的问题，如掉电、火灾等；二，逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其它字段；三，元素完整性，包括在每个元素中的数据是准确的；四，数据的加密；五，用户鉴别，确保每个用户被正确识别，避免非法用户入侵；六，可获得性，指用户一般可访问数据库和所有授权访问的数据；七，可审计性，能够追踪到谁访问过数据库。要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。4信息内容审计系统实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。5安全管理面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。5.1安全管理原则网络信息系统的安全管理主要基于三个原则。(1)多人负责原则每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：访问控制使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等；(2)任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程；②机密资料的接收和传送；

③安全管理和系统管理；

④应用程序和系统程序的编制；

⑤访问证件的管理与其它工作；

⑥计算机操作与信息处理系统使用媒介的保管等。5．2安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是：根据工作的重要程度，确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。③制订相应的机房出入管理制度对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。④制订严格的操作规程操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

⑤制订完备的系统维护制度

对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

⑥制订应急措施

要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。3S是对地理信息系统（GeographicalInformationSystem,GIS）、遥感(RemoteSensing,RS)和全球定位系统（GlobalPositioningSystem,GPS）的总称。地理信息系统是以地理空间数据库为基础，采用地理模型分析方法，适时提供多种空间的和动态的地理信息，为地理研究和地理决策服务的计算机技术系统。从外部来看，它表现为计算机软硬件系统；而其内涵是由计算机程序和地理数据组织而成的地理空间信息模型，是一个逻辑缩小的高度信息化的地理系统。遥感的定义是指在不直接接触的情况下，对目标物或自然现象远距离感知的一种探测技术。狭义是指在高空和外层空间的各种平台上，应用各种传感器（如摄影仪、扫描仪和雷达等）获取地表的信息，通过数据的传输和处理，从而实现研究地理物体形状、大小、位置、性质及其环境的相互关系的一门现代化应用技术科学。全球定位系统，是一种卫星导航系统，用于测定地表位置的由一系列卫星和接收设备组成的系统，它使用户能很准确地判定所处位置。数字城市“数字城市”通常是指城市信息化，利用宽带网、地理信息系统等网络基础设施，将与城市生活息息相关的信息整合成能在网上顺利通行的数据，然后通过互联网络及卫星系统，实现信息的无障碍流通，我们日常提到的电子政务、电子商务、智能建筑、智能交通等都属于数字城市的内容。海光缆海底光揽（SubmarineOpticalFiberCable）是敷设在海底、由光缆与其周围的加强钢丝、铜管和绝缘体组成的缆心以及护层所构成的通信光缆。海底光缆能适应水压、磨损、腐蚀与海底生物等的海底环境，能承受敷设与回收时的高张力；具有一个低电阻的远供电导体，使用寿命长。海底光缆按照敷设与运用的海城条件，可氛围深海或浅海海底光蓝两种。GPRS通用无线分组业务(GeneralPacketRadioService,GPRS)是一种基于GSM系统的无线分组交换技术，提供端到端、广域的无线IP连接。通俗地讲，GPRS是一项高速数据处理的科技，以“分组”的形式传递信息到用户手上。GPRS与GSM系统最根本的区别是，GSM是一种电路交换系统，而GPRS是一种分组交换系统。GPRS特别使用于间断的、突发性的或频繁的、少量的数据传输，也适用于偶尔的大数据传输。可以将GPRS理解为GSM的一个更高层次。码分多址（CodeDivisionMultipleAccess,CDMA）是一种扩频多址数字式通信技术，通过独特的代码序列建立信道。与GSM相同，CDMA也有2代、2.5代和3代技术。CDMA被认为是第3代移动通信技术的首选，目前的标准有WCDMA、CDMA2000、TD-SCDMA。宽带分码多工（WideBrandCodeDivisionMultipleAccess,WCDMA）可支持348kbps-2Mbps不等的数据传输速率，在高速移动的状态，可提供384kbps的传输速率，在低速或是在室内环境下，则可提供高达2Mbps的传输速率。是一项无线宽带通信标准。此外，在同一些传输通道中，它还可以提供电路交换和分组交换的服务，因此，消费者可以同时利用交换方式接听电话，然后以分组交换方式访问互联网，移动电话的使用效率得到提高，使得我们可以超越在同一时间只能进行语音或数据传输的服务的限制。时分同步码分多址（TD-SCDMA）是由大唐电信科技产业集团代表中国提交，并于2000年5月和2001年3月分别被国际电联和3GPP认可的全球第三代移动通信（3G）三个主要标准之一。主要特点是频谱利用率高、系统容量大，特别适合运营商开展数据业务，系统成本低，代表移动技术发展方向，系统易于升级，保护运营商投资。IP城域网IP是互联网协议（InternetProtocol）的缩写，城域网MAN（MetropolitanAreaNetwork）的作用范围是一个城市，作用距离约为5-50公里。IP城域网指在城市范围内以IP协议为主的互联网。它以多种传输媒介为基础，采用TCP/IP协议为通信协议，通过路由器组网，实现IP数据包的路由和交换传输。其优点是传输速率高，用户投入少，接入简单，技术先进、安全。集群通信系统又称集群高度系统，是一种多信道、多用户共享的高级调度系统，是专用无线通信系统的高级发展阶段，广泛应用于政府机关、能源交通、机场码头、工矿企业、消防警察、水利和军事等单位。超级计算中心由若干台超级计算机组成，能够为各行各业提供海量信息处理，能为高科技领域的研究开发和技术创新提供高性能计算服务的机构。特别在气象预报、地质勘探、生物医药、基因研究、航空航天、汽车设计、新材料研究等领域提供有效的支持。互联网络交换中心为网络运营商进一步扩大网络用户数目，真正体现互联网络，有效地在网络之间构建互联互通的桥梁，实现本地网间高速互访而建立的交互机构。互联网络交互中心是地区信息基础设施建设中的一个关键性、基础性的设施。互联网数据中心互联网数据中心（InternetDataCenter,IDC）目前还没有一个权威的定义，但它比传统的数据中心有着更深层次的内涵，它是伴随着互联网不断发展的需求而发展起来的，对为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器群托管的场所；是各种模式电子商务赖以安全运作的基础设施，也是支持企业及其商业联盟，其分销商、供应商、客户等实施价值链管理的平台。集成电路集成电路（IntergratedCircuit,IC）是用半导体晶体材料经平面工艺加工制造，将电路和各种元件、器件和互连线集成在同一基片上的微小型化电路。根据集成器件数量，分为小规模集成电路（SSI）、中规模集成电路（MSI）、大规模集成电路（LSI）、超大规模集成电路（VLSI）、巨大规模集成电路（GSI）等。封装封装是指安装半导体集成电路芯片用的外壳，它不仅起着安放、固定、密封、保护芯片和增强电热性能的作用，而且还是沟通芯片内部世界和外部电路的桥梁——芯片上的接点用导线连接到封装外壳的外脚上，这些引脚又通过印制板上的导线与其他器件建立连接。因此，封装对CPU和其他LSI集成电路都起着重要的作用。液晶显示屏液晶显示屏（LiquidCrystalDisplay,LCD）是中间夹有液晶材料的两块玻璃板。在此夹层的各个节点上通以微小的电流，就能够让液晶显现图案，诸如计算器上的数字、PDA上的文本、笔记本电脑显示器上的图像之类的东西。等离子体显示器等离子体显示器（PlasmaDisplayPanel,PDP）是利用惰性气体电子放电，产生紫外线激发所涂布的红、绿、蓝荧光粉，呈现各种彩色光点的画面。等离子体技术同其他显示方式相比存在明显的差别，在结构和组成方面领先一步。数码光输处理器投影技术数码光输处理器（DigitalLightProcessor,DLP）投影技术是应用数字微镜晶片（DMD）来做主要关键元件以实现数字光学处理过程的技术。光源籍由一个积分器（Integrator）,均匀化，再通过一个有色彩三原色的色环（ColorWheel）将光分成R、G、B三色，由透镜成像在DMD上。以同步信号的方法，把数字旋转镜片的电讯号，将连续光转为灰阶，配合R、G、B三种颜色而将色彩表现出来，最后经过镜头投影成像。机顶盒是扩展电视机功能的一种信息家电。电视机顶盒根据接收的信号种类分为模拟电视机顶盒和数字电视机顶盒。模拟电视机顶盒接收模拟信号，使用范围有限，随着数字视频技术的发展和各国对数字电视的推进，数字电视机顶盒已成为人们观念中真正的机顶盒。由于它与电视机紧密联系，且是一种数字化设备，就被称为数字电视机顶盒。CMM软件能力成熟度模型（CapabilityMaturityModelforSoftware,CMM）是美国卡内基—梅隆大学软件工程研究所（简称SEI）的研究成果、最早颁布于1993年。SEI将CMM定义为一种描述软件组织实施其软件过程的各个发展阶段的模型，指明了一个成熟的软件组织在软件开发方面需要管理的主要工作、这些工作之间的关系，以及以怎样的先后次序一步一步做好这些工作，使软件组织走向成熟.嵌入式系统通常指以应用为中心，软硬件可裁减，与应用系统对功能、可靠性、成本、体积、功耗等综合性严格要求的专用计算机系统。它主要包括四个部分：嵌如式微处理器、外围硬件设备、嵌入式操作系统，以及应用软件系统。嵌入式软件嵌入式软件是固化在硬件中、运行在嵌入式系统上的后PC软件，具有小型化、专业化、简单化、实时性、低配置等特点，适用于各种家电设备、移动设备和控制设备中。EPR企业资源计划（EnterpriseResourcePlanning,EPP）是一种基于“供应链”式的管理思想。这种管理思想将客户的需求、企业内部的制造活动以及供应商的制造资源整合在一起，体现了完全按照用户需求进行制造的宗旨。ERP系统打破了以往的企业管理模式局限于传统制造业的格局，将触角伸向各行各业，如金融业、高科技产业、电信也、零售业等。国际上一批大型企业如东芝、康柏、摩托罗拉等企业都已采用这些管理软件。CAD/CAM/CAE计算机辅助设计（ComputerAidedDesign,CAD）是在计算机硬件与软件的支撑下，通过对产品的描述、造型、系统分析、优化、仿真和图形处理的研究，使计算机辅助技术工程师完成产品的全部设计过程，最后输出满意的设计结构和产品图形。计算机辅助制造（ComputerAidedManufacture,CAM）指应用计算机进行制造信息处理的全部工作。包括：编制加工指令、安排生产计划和进度、进行车间工段控制和质量控制等。CAM技术是利用计算机系统将已设计好的零件，形成相应的加工方法程序代码，付诸加工。计算机辅助工艺（ComputerAidedEngingeering,CAE）主要是指一系列的对产品设计进行各种模拟、仿真、分析和优化的技术。PDM产品数据管理（ProductDataManagement,PDM）是用于管理产品定义信息的所有系统，它包括工作数据管理（EngineeringDataManagement,EDM）、文档管理（DocumentManagement）、产品信息管理（ProductInformationManagement,PIM）、技术数据管理（TechnicalDataManagement,TDM）、技术信息管理（TechnicalInformationManagement,TLM）、图像管理（ImageManagemet）等，概括起来就是管理产品定义信息的所有管理系统。MIS管理信息系统（ManagementInformationSystem,MIS）是指利用计算机网络技术及通信设备所建立的数据库及网络信息收集、存储、加工、维护和使用的综合系统，该系统主要用来管理对客户具有利用价值记录，并对记录数据进行相关处理。它不仅记录了各类需要管理的静态信息，如人员信息、规划信息、各类工作档案和科研成果信息等，而且还记录了工作流程信息和各类工作的实际进度及反馈信息主要管理工作的动态信息。管理信息系统包括数据处理系统（应用程序）、决策支持模块、专家系统和其他补充功能模块。该系统具有以下特点：①向管理、决策层人员提供自动化管理服务；②数据集中统一，能够形成信息资源；③具备预测和辅助决策的功能。SCM供应链（SupplyChainManagement,SCM）。供应链是由供应商、制造工厂、分销网络、客户等环节组成。供应链管理是对供应链上物流、资金流、信息流，还有增值流和工作流的管理。CAPP计算机辅助过程规划（ComputerAidedProcessPlanning,CAPP）可以用来对机械零部件进行辅助工艺编程。它与CAM不同，CAPP关心的是对零件的整个加工工艺过程进行规划，它能辅助设计人员编出一整套的加工过程方法，并形成一系列的加工规范、详细步骤和加工量参数。有了这种工具也可以使得设计人员对自己设计的后续过程有充分的了解和评估。电子口岸中国电子口岸运用了现代信息技术，借助国家电信公网资源，将国家各行政管理机关分别管理的进行出口业务信息流、资金流、货物流电子底帐数据集中存放到公共数据中心，在统一、安全、高效的计算机平台上实现数据共享和数据交换。各国家行政管理部门可进行跨部门、跨行业的联网数据核查，企业可以在网上办理各种进出口业务。CA数字认证中心（CertificateAuthority,CA），主要负责执行数字证书的签发、更新、废除、管理等核心作业，并且提供对证书状态的在线查询，证书和黑名单（CRL）的公布等服务。CA通过发放的数字证书，可以对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息专递的安全性、完整性、可靠性和交易的不可抵赖性。通常，CA由受信任的第三放权威机构承担。公共交通“一卡通”公共交通“一卡通”是公共交通活动中使用的一种具有自主知识产权、可充值、可扣值的储值型IC卡。它可通用于上海公交汽车、地铁、出租车和轮渡等公共交通行业。智能交通系统（ITS）通过信息技术的应用，将所有的交通资源（交通工具、交通设施、交通信息等）及所有的交通需求（使用各种交通工具的人和物）经统一规划、统一管理、统一组织、统一调配，从整体上优化整个交通系统，最终实现交通资源的合理配置，交通系统的安全、高效运行。停车诱导系统静态交通系统（停车系统）是城市综合交通系统重要组成部分。该系统是提供停车场所在地停车车位“满”或“空”信息的发布系统，引导驾驶员安全高效地停车。系统结构由(停车厂（库）采集端、控制中心和停车信息引导屏发布端组成，采用先进的无线通信方式，实现整个区域无缝覆盖。数字图书馆数字图书馆是对以数字化形式存在的信息进行收集、整理、保存、发布和利用的机构，其形式可以是具体的社会机构或组织，也可以是虚拟的网站或者任何数字信息资源集合。数字图书馆的内容特征是数字化信息，结构特征是不论其资源组织或用户利用都可以通过网络进行分布式的管理和存取，具有个性化、人性化和动态化特征。随着计算机和网络技术的研究和发展，数字图书馆正在从基本信息的处理和简单的人机界面逐步向基于知识的处理和广泛的机器之间的理解发展，从而使人们能够利用计算机和网络更大范围地扩展智力活动的能力，在所有需要交流、传播、存储和利用知识的领域，包括电子商务、教育、远程医疗等，发挥极其重要的作用。数字移动电视数字移动电视采用了当今世界最先进的数字电视技术，是通过无线数字信号发射，地面接收的方法进行电视节目的广播，它与传统的模拟电视无线广播有着本质的区别，它的最大优势就是支持移动接收，通过市区范围发射信号的单频网布设，使得市区的信号覆盖达到90%以上，在市区30公里范围内通过无线接收，即使在高速运动的车辆上，也能收看到高质量的电视画面。城市信息化水平测评城市信息化水平测试是从城市信息化三要素（城市信息化基础设施、城市信息化发展环境、信息技术应用）的角度出发，持续并综合地评估城市在三要素有机结合的信息化建设方面的成效以及各要素对信息化水平影响程度的过程。它通常采用信息化指数模型表示从定量角度考察城市的信息系统及其环境的现状、质量和发展潜力，反映城市信息化的程度与进度.数字移动电视数字移动电视采用了当今世界最先进的数字电视技术，是通过无线数字信号发射，地面接受的方法进行电视节目的广播，它与传统的模拟电视无线广播有着本质的区别，它的最大优势就是支持移动接收，通过市区范围发射信号的单频网布设，使得市区的信号覆盖达到90%以上，在市区30公里范围内通过无线接收，即使在高速运动的车辆上，也能收看到高质量的电视画面。城市信息化水平测评城市信息化水平测评是从城市信息化三要素（城市信息化基础设施、城市信息化发展环境、信息技术应用）的角度出发，持续并综合地评估城市在三要素有机结合的信息化建设方面的成效以及各要素对信息化水平影响程度的过程。它通常采用信息化指数模拟表示从定量角度考察城市的信息系统及其环境的现状、质量和发展潜力，反映城市信息化的程度与进度。信息化常用术语及解释一、基础术语交换switching暂时将各功能单元、传输信道或供连接的电信电路联系起来的过程。例：电路交换、报文交换、包交换。端口port一种终端终点，信号能通过它进入或离开网络。节点node（数据通信）在数据网络中的一点，一个或多个功能单元与传输信道或数据电路在此互联。连接connection在各功能单元之间为数据传输而建立的一种联系。点对点连接point-to-pointconnection在两个数据站之间建立的一种连接。多点连接multipointconnection在两个以上的数据站之间建立的一种连接.互通interworking互通是指不同物理实体（网络或设备）在互联后业务信息能够透明传输，各项性能满足规定的要求，各种功能能够相互协调工作。互通的范围包括网络的互通和设备的互通等。互通的基本内容包括提供预先规定的业务、性能和功能等，互通的内容根据网络、设备以及开放的业务不同而有所不同。注1：互通可以分层次，如可以分业务上的互通、功能上的互通和协议上的互通等。注2：网络互通的前提条件是设备的互通。注3：互通可能还需要包括号码转换、信令转换、计费、结算、管理、鉴权、拦截等功能可以互操作为条件。注4：互通可以通过具有相互协调工作功能（IWF）功能/物理实体（网关）来实现。互连interconnect互连是指不同物理实体在物理上的互相连接，包括网络间的连接和设备或物理媒质间的连接。两个网络互连点又叫接口点（POD），接口点必须符合相应的标准。注1：光/电借口参数包括：光/电气特性参数，物理（机械结构和几何尺寸）参数，以及接口功能和接口规程。其他接口，如空中接口需其他参数。注2：物理上相互连接是否可行的最终表征是能否互通。能够互通的基本要求是做到不告警、不失步、不倒换、不发生影响正常运行的其他事件。广播broadcast将同一数据传输到所有目的地组播多播multicast将同一数据传输到被选定的一组目的地。令牌token局域网中，用作权限象征的特定的一组比特，它接连不断地从一个数据站传到另一个数据站，以表示该站暂时控制传输媒体。注：所有的信息由帧传递。某些帧包含一个令牌，但不包含用户数据，其他帧包含数据，但不含令牌。呼叫、主叫calling为了在数据站之间建立连接而发送选择信号的过程。呼叫call在数据站之间建立的一种关系，包括建立连接、发送报文及终止连接。协议protocol为实现通信，而确定功能单元特征的一组规则。多址访问、多址接入multipleaccess多个终端能以预定方式或按通信需求来共享传输信道性能的任一种技术。传输线路transmissionline一种物理性的传输媒体注：线路是在数据电路终接设备和数据交换机之外的数据电路的一部分。帧frame一种数据结构，由协议预定的字段组成，用于传输用户数据和控制数据。注：帧的组成，特别是字段的数日和类型，可以随协议类型而变化。比特率bitrate比特的传送速度。注：比特率通常表示为比特每秒、千比特每秒、%比特每秒等。传送率transferrate两点之间每个单位时间内传诵的比特、字符或块的平均数。带宽bandwidth带宽即频带宽度，是一个度量频率范围或频谱宽度的参数，它用单一数值来表示，该单一数值等于两个界限频率之差。“带宽”用于信道，可称信道带宽，表征通信信道容量参数之一，信道带宽影响信道传输信息的速率。带宽”还可以与其他限定连用，派生出许多相关词，如信号带宽，放大器带宽带，表示更多的不同含义。注：在模拟通信系统总，带宽用赫兹（Hz）作单位来表示。例如典型的模拟电话信道的有效带宽为3100Hz.宽带broadband网络宽带通常是表示支持信号带宽较大或速率较高的业务，宽带网（络）是指能综合提供话音、数据、视像等多种业务的网络。注1：对于不同国家、不同领域、以及网络的不同部分，“宽带”有不同的具体含义。注2：宽带综合业务数字网（B-ISDN）的宽带含义是大于等于集群速率（1544或2048kbps）.分组交换网宽带是指接入速率达到和超过某一较高速率。注：通常电信运营企业将用户能获得的接入速率大雨等于200kbps称带宽。面向连接的网络宽带是指被交换的信息或电路带宽较大，或者被交换的信息或通道速率较高。注1：在普通老式电话业务（POTS）网中，带宽大于4kHz可称宽带。注2：在公用电话交换网（PSTN）和综合业务数字网（ISDN）中，当带宽大于等于基群速率（1544或2048Kbps）时，可称宽带。移动通信宽带是指传输速率传导和超过某一较高速率。注：空中接口的上、下行速率之一大于等于144kbps/s称宽带。宽带broadband、wideband一种频带，它用于需要宽频率范围的应用。注：宽带可分成几个窄带，每个窄带可用于不同的目的，或者提供不同用户使用。信道channel在两点之间单向传输信号的一种手段。注：例如，传输信道可通过频分复用提供，也可通过时分复用提供。数据传输datatransmission数据通过点心设施从一个点到一个或多个其他点的传送。离散信号discretesignal一种信号，它由时间上相继的元素组成，每个元素有一个或多个能表示数据的特征量。注：特征量的例子有：振幅、波形、持续期和时间位置。数字信号digitalsignal一种离散信号，其中的数据由有限个已定义好的离散值来表示，并且这些离散值的某一个特征量可按时间取值。模拟信号analogsignal一种信号，其中表示数据的特征量，在一个连续时间间隔内可在任一瞬间取任一值。注：例如，模拟信号可以连续地遵循表示数据的另一个物理量的值。数据通信datacommunication按照管理数据传输和协调交换的规则的计划，在功能单元之间进行的数据传送。TCP/IP协议用于Internet的协议系列。系列中包含许多协议，TCP/IP是两个最重要的协议。传输控制协议TCP：TransmissionControlProtocolTCP/IP协议为应用程序提供访问的面向连接通信服务。TCP提供可靠的、流量控制的发送。更重要的是，TCP采用重发机制在Internet中可适应变化的条件。互联网协议IP：InternetProtocol定义TCP/IP互联网上包的格式和路由包到它的目的地机制的协议。二、网络术语网络（简称网）network接点和互连分文的一种安排。局域网LAN：LocalAreaNetworkLAN是一种小范围计算机网，覆盖较小地理区域（如一座大楼、几座大楼、一个校园等）的网络。注1：LAN通常归一个企业，组织或部门拥有、使用、维护和管理。注2：LAN通常用集线器（Hub）将计算机主机和终端、数据库和外设等网络设备连接起来，通过共享介质技术实现网络资源的共享，并通过使用网桥、交换机、路由器等设备扩展网络规模。注3：常用的局域网技术包括以太网、令牌环等。城域网MAN：MetropolitanAreaNetwork一种网络，它对一个局域网或城域网更大的地理区域提供各种通信服务。广域网WAN：WideAreaNetwork一种网络，它对一个比局域网或城域网更大的地理区域提供各种通信服务。互联网internet泛指由多个计算机网络相互连接而形成的网络，它是功能和逻辑上组成的大型计算机网络。注1：互联网一词与英文第一个字母大小的“internet”对应，泛指一般网际互联，不强调采用的技术和协议。注2：“因特网”一词与英文第一个字母大写的“internet”对应，因特网是互联网的一种。因特网Internet因特网特指全球最大的、开放的、由众多网络相互连接而形成的计算机网络。它由美国阿帕网（ARPANet）发展而成的，主要采用TCP/IP协议。注1：因特网可提供全球范围的通信，例如信息检索、电子邮件、话音、数据和图像等通信。注2：因特网的核心部分由许多互连的路由器构成，完成用户信息的选路转发功能。注3：因特网用户可以采用电话拨号方式、各种专线方式（如DDN,帧中继等）及无线方式接入因特网。专用网PN：PrivateNetwork专用网是仅仅为了满足某些企业、组织或部门需要而组建的、并由该企业、组织或部门拥有、管理和使用的网络。注1：组建专用网时，可以自行敷设专线，也可以租用公用数据网的专线电路。注2：专用网比较适合于内部书记通信业务量大，具有一定安全保密性要求的企业、组织或部门使用。虚拟专用网VPN：VirtualPrivateNetworkVPN是公用电信网运营者提供的一种服务，即利用功用电信网的资源向客户提供具有专用因特性和功能的网络。注1：VPN由公用电信网提供的端口、电路及其他网络资源组成。注2：在公用IP网络建立虚拟专用网时，为了保障通信安全，可以采用隧道和加密技术将VPN用户的数据流保护起来，以免遭到恶意的攻击和破坏。注3：VPN一般为租用的企业、组织或部门拥有、管理和使用。客户可以自行对VPN资源进行监视、控制、测试等操作。内联网Intranet内联网是使用因特网技术建立的可支持企事业内部业务处理和信息交流的综合信息系统，通常采用一定的安全措施与企事业外部的因特网用户相互隔离，对内部用户在信息使用的权限上也有严格的规定。注1：外联网使用与因特网相同的通信标准和公积金，提供与因特网相同的业务。注2：外联网采用了各企业、组织或部门间彼此兼容访问控制措施，以及防火墙等安全措施，以防止无权用户的访问。万维网WWW：WorldWideWeb万维网是因特网中的一种信息服务系统，主要有两层含义：第一是广泛的使用，即用户通过使用Gopher、FTP、HTTP、Telnet、USENET、WAIS和其他工具可接入所有信息源；第二是指通用的超文本服务器，它可对文本、图像、声音文件进行混合处理。注：万维网提供图形截面的信息浏览方式。WWW服务器为用户提供信息内容，用户可以通过浏览器软件（如NetscapeNavigator、InternetExplorer等）访问服务器并获得所需信息。用户还可以通过建立永久性的因特网连接，建立自己的WWW服务器并发布信息，或者在因特网网站上租用部分WWW服务器空间发布信息。以太网Ethernet以太网是采用以太网技术组建的一种局域网。以太网技术是一种介质共享、面向广播、、竞争接入的局域网技术。以太网采用IEEE标准802.3，数据传送速率10Mb/s等。注1：以太网技术标准开始是由三家设备开发公司（DEC、Intel和Xerox）推出的，气候由IEEE802工作组推出了针对带冲突检测的截波侦听多址访问（CSM/C）局域网络的标准802.3，该标准与设备开发公司推出的以太网标准稍有不同。注2：目前在许多场合使用的“以太网）一词与本词条含义有差异，除采用以太网的帧格式和接口外，没有上述以太网的其他特征。千兆比以太网GE：GigabitEthernetCE是以光缆为传输介质、速率达到1000Mbps的扩展的以太网技术。注1：千兆比以太网技术采用1EEE标准802.3z，它保留802.3规定的帧格