云計算網(wǎng)絡安全培訓范文

時間:2023-12-25 17:52:36

導語:如何才能寫好一篇云計算網(wǎng)絡安全培訓,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

云計算網(wǎng)絡安全培訓

篇1

關鍵詞:計算機;網(wǎng)絡;安全;結構;技術;完善

0 引言

網(wǎng)絡安全技術指致力于解決諸如如何有效進行介入控制以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段,在網(wǎng)絡技術高速發(fā)展的今天,它關系到小至個人的利益,大至國家的安全。對網(wǎng)絡安全技術的研究意義重大,對網(wǎng)絡安全技術的研究就是為了盡最大的努力為個人、國家創(chuàng)造一個良好的網(wǎng)絡環(huán)境,讓網(wǎng)絡安全技術更好地為廣大用戶服務。

1 計算機網(wǎng)絡安全體系結構

計算機網(wǎng)絡安全體系結構是由硬件網(wǎng)絡、通信軟件、防毒殺毒、防火墻以及操作系統(tǒng)構成的,對于一個系統(tǒng)而言,首先要以硬件電路等物理設備為載體,然后才能運行載體上的功能程序。對于小范圍的無線局域網(wǎng)而言,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,目前廣泛采用WPA2加密協(xié)議實現(xiàn)協(xié)議加密,通??梢詫Ⅱ?qū)動程序看作為操作系統(tǒng)的一部分,經(jīng)過注冊表注冊后,相應的網(wǎng)絡通信驅(qū)動接口才能被通信應用程序調(diào)用。

2 計算機網(wǎng)絡安全技術研究

2.1 安裝防病毒軟件和防火墻 在計算機主機上安裝可靠性高的防病毒軟件和防火墻,及時對主機的各個存儲空間進行安全保護,定時掃描、修補可能出現(xiàn)的技術漏洞,做到及時發(fā)現(xiàn)異常,及時處理;防火墻是通過軟、硬件組合,對企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)起到過濾網(wǎng)關的作用,從而嚴格控制外網(wǎng)用戶的非法訪問,并只打開允許的服務,防止外部網(wǎng)絡拓展服務的攻擊。

2.2 安裝入侵檢測系統(tǒng)和網(wǎng)絡誘騙系統(tǒng) 計算機安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低,入侵檢測系統(tǒng)由軟件和硬件組成;網(wǎng)絡誘騙系統(tǒng)是通過構建虛假的計算機網(wǎng)絡系統(tǒng),誘騙入侵者對其進行攻擊,從而起到保護實際網(wǎng)絡系統(tǒng)的目的。

2.3 使用數(shù)據(jù)加密技術提高系統(tǒng)安全性 傳統(tǒng)的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障,用戶在進行絕密或重要信息的傳輸過程中,不僅要做好信息本身的加密,還可以利用隱藏技術對信息發(fā)送者、接收者及信息本身進行隱藏。常用的隱藏技術有隱藏術、數(shù)字嵌入、數(shù)據(jù)隱藏、數(shù)字水印和指紋技術。

2.4 做好重要信息的備份工作 計算機信息存儲工作要遵循多備份和及時更新的工作原則,數(shù)據(jù)信息可根據(jù)其重要性或數(shù)據(jù)量進行不同方式的存儲:對于不需修改的重要數(shù)據(jù)可直接刻錄光盤存儲;需要修改的數(shù)據(jù)可存儲在U盤或移動硬盤中;不重要的數(shù)據(jù)可存儲在本地計算機或局域服務器中;較小數(shù)據(jù)可存儲在郵箱中。

2.5 使用安全路由器 安全路由器的使用可將內(nèi)部網(wǎng)絡及外部網(wǎng)絡進行安全隔離,互聯(lián),通過阻塞信息及不法地址的傳輸,保護企業(yè)內(nèi)部信息及網(wǎng)絡的安全性。安全路由器是對其芯片進行密碼算法和加/解密技術,通過在路由器主板增加安全加密模件來實現(xiàn)路由器信息和IP包的加密、身份鑒別和數(shù)據(jù)完整性驗證、分布式密鑰管理等功能。

2.6 重視網(wǎng)絡信息安全人才的培養(yǎng) 加強計算機網(wǎng)絡人員的安全培訓,使網(wǎng)絡人員熟練通過計算機網(wǎng)絡實施正確有效的安全管理,保證計算機網(wǎng)絡信息安全。一方面要注意管理人員及操作人員的安全培訓,在培訓過程中提高專業(yè)能力、安全保密觀念、責任心;對內(nèi)部人員更要加強人事管理,定期組織思想教育和安全業(yè)務培訓,不斷提高網(wǎng)絡人員的思想素質(zhì)、技術素質(zhì)和職業(yè)道德。

3 云計算安全技術的應用

云計算通過集中所需要計算的個體資源,通過需求而獲得企業(yè)所需要的資源,并且通過自動化管理與運行,從而將計算的需求傳達給網(wǎng)絡,使網(wǎng)絡能夠處理企業(yè)所需要的計算服務。云計算開創(chuàng)了一種資源共享的新模式,能夠改變當前用戶使用計算機的習慣,通過網(wǎng)絡計算,能夠大大節(jié)省企業(yè)所需要的空間以及實踐,從而節(jié)約企業(yè)運行成本,提升企業(yè)的工作效率。因此在云計算的過程中,必須考慮到信息安全的問題,避免商業(yè)機密泄露,給企業(yè)帶來重大的損失。

3.1 云計算的應用安全技術性分析 云計算應用安全性需要終端用戶及云服務商雙方共同采取保護措施。一方面,云計算的終端用戶應保證本人或本企業(yè)計算機的安全,利用安全軟件降低計算機被不法分子進行技術攻擊的可能。如反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件等,可保護用戶瀏覽器免受攻擊,并能定期完成瀏覽器打補丁和更新工作,以保護云用戶數(shù)據(jù)信息的安全性。另一方面,用戶可使用客戶端設備訪問各種應用,但不能對云平臺基礎設備進行管理或者控制,因此,選擇云平臺供應商就顯得十分重要。評價供應商主要原則為依據(jù)保密協(xié)議,要求供應商提供有關安全實踐的信息,如設計、架構、開發(fā)、黑盒與白盒應用程序安全測試和管理。

3.2 數(shù)據(jù)安全技術性分析 云計算服務模式包括軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(laaS)三種,這三種服務模式面臨的主要問題是避免數(shù)據(jù)的丟失或被竊,因此,應在數(shù)據(jù)傳輸、隔離及殘留方面進行安全保護。

首先,在使用公共云時,傳輸數(shù)據(jù)應采取加密算法和傳輸協(xié)議,以保證數(shù)據(jù)的安全性和完整性。其次,云計算供應商為實現(xiàn)服務的可擴展性、提高數(shù)據(jù)計算效率及管理等優(yōu)勢。在安全技術未發(fā)展至可給任意數(shù)據(jù)進行安全加密的階段下,可采取的措施就是將重要或者敏感的數(shù)據(jù)與其他數(shù)據(jù)進行隔離,保障數(shù)據(jù)信息的安全性。最后,數(shù)據(jù)殘留是數(shù)據(jù)安全遭受威脅的另一因素,云計算環(huán)境下,數(shù)據(jù)殘留會無意泄露敏感信息,因此需要服務供應商能提供將用戶信息進行徹底清除的保障。

4 結語

綜上所述,加強計算機網(wǎng)絡安全就需要從多方面建立立體的計算機網(wǎng)絡安全結構體系提高對網(wǎng)絡風險的控制和預防,全面保障計算機網(wǎng)絡安全。

參考文獻:

篇2

[關鍵詞]網(wǎng)絡安全;信息化;數(shù)據(jù)信息

1企業(yè)信息化建設集成的重要性

首先,在企業(yè)管理上具有重要現(xiàn)實意義。在企業(yè)的經(jīng)營和發(fā)展過程中經(jīng)營的業(yè)務越來越多,區(qū)域越來越廣泛,導致企業(yè)管理任務越來越復雜和多樣,企業(yè)內(nèi)部的組織結構和流程控制體系越來越完善,這都是因為信息化建設集成發(fā)揮了重要作用,其還促進管理服務和觀念朝著信息化的方向發(fā)展。其次,企業(yè)信息化建設符合時展的潮流。如果想讓集成化效率達到最高水平,就需要對傳統(tǒng)的管理模式進行創(chuàng)新和發(fā)展,避免在集成化效率提高的同時帶來一些嚴重的問題和風險,例如:現(xiàn)場安全管理和對管理人員的裁減等,企業(yè)必須在網(wǎng)絡信息技術和計算機技術發(fā)展飛速的今天,對內(nèi)部管理體系進行創(chuàng)新和改革,挖掘各組織和員工內(nèi)在潛能和上升空間,在激烈的市場競爭中提升企業(yè)自身的活力與優(yōu)勢,從而將企業(yè)的經(jīng)濟收益上升到最高峰。第三,信息化建設集成具有自身獨特的優(yōu)勢。大型公司集團會運用最新的互聯(lián)網(wǎng)數(shù)據(jù)和先進的計算機技術創(chuàng)建一個管理信息平臺,通過這個平臺將在生產(chǎn)和管理方面的數(shù)據(jù)信息進行共享和聯(lián)動,利用相關軟件和系統(tǒng)將公司管理朝著集成化、信息化方向發(fā)展,有效地為公司的管理層提供決策理論支持,避免公司集團內(nèi)部組織結構和人員冗雜,有效提高運營各環(huán)節(jié)的工作效率,以提供高質(zhì)量、高效的服務。

2企業(yè)信息化建設集成中存在的網(wǎng)絡安全問題

在利用現(xiàn)代網(wǎng)絡信息平臺對企業(yè)相關數(shù)據(jù)進行優(yōu)化整合時,網(wǎng)絡安全方面還存在一定的問題,企業(yè)相關信息和資料很容易受到網(wǎng)絡攻擊,系統(tǒng)很容易被黑客入侵,導致數(shù)據(jù)和信息被竊取或者丟失,這些問題都不利于企業(yè)的現(xiàn)代信息化建設集成和正常的運營發(fā)展。從外部環(huán)境來看,日益競爭的市場環(huán)境是造成網(wǎng)絡安全管理的大環(huán)境因素,隨著時代快速的發(fā)展和科學技術的進步,一些不法分子會利用黑客技術和網(wǎng)絡病毒竊取企業(yè)內(nèi)部的數(shù)據(jù)資料,并通過出售來牟取巨額利潤,這種情況若得不到有效控制和整改,會導致企業(yè)網(wǎng)絡安全環(huán)境日益惡化。其次,從企業(yè)的內(nèi)部因素出發(fā),企業(yè)信息化建設集成出現(xiàn)網(wǎng)絡安全問題是因為企業(yè)自身沒具備成熟的網(wǎng)絡信息安全理念,沒有采取相關的措施保證自身的網(wǎng)絡信息安全,所以企業(yè)相關意識的缺乏使黑客有機可乘,他們簡單操作就能獲得企業(yè)內(nèi)部的數(shù)據(jù)信息??傊狈σ欢ǖ木W(wǎng)絡信息防護手段和對員工的網(wǎng)絡信息安全培訓,會導致企業(yè)在信息化建設集成中受到更大的網(wǎng)絡信息安全威脅。

3保障企業(yè)信息化建設集成中網(wǎng)絡安全的措施

3.1創(chuàng)建企業(yè)信息安全標準

針對企業(yè)信息化建設集成中可能會出現(xiàn)的病毒入侵、非法訪問和信息竊取等問題,筆者提出了一些加強網(wǎng)絡安全的措施。首先,要建設一個信息化安全相關標準。當企業(yè)應用現(xiàn)代計算機網(wǎng)絡技術,尤其是計算機集成制造系統(tǒng)時,要創(chuàng)建一個高效、高質(zhì)量的企業(yè)信息化機制和信息安全標準,保證所有信息工作都具備標準流程,例如:我國現(xiàn)已存在的信息安全管理度量機制和測量措施,能夠促使企業(yè)在運用網(wǎng)絡信息平臺時,提高自身的信息管理水平,從而保證企業(yè)在日常運用中能夠順利、安全地開展相關信息交流和信息傳遞工作。

3.2運用先進的網(wǎng)絡安全技術

要引入現(xiàn)代網(wǎng)絡安全技術,包括防火墻技術、入侵檢測技術信息加密技術、訪問控制技術等。防火墻技術是指將計算機與外部建立一道隔墻,防火墻技術包括網(wǎng)絡級防火墻與應用級防火墻兩種,網(wǎng)絡級能夠有效防止網(wǎng)絡中的非法入侵,應用級防火墻技術是全方位地防護相關應用程序,使用起來比較簡單還能夠有效防止病毒入侵和非法訪問。兩者的防護能力與防護范圍不同,因此在使用過程中需要將兩者融合發(fā)揮作用,在動態(tài)防護、屏蔽路由和包過濾的基礎上,更好地發(fā)揮防火墻防護技術。入侵檢測技術是一種辨別網(wǎng)絡系統(tǒng)的使用是否是惡意行為的技術,其在動態(tài)中對網(wǎng)絡進行相關檢測,及時發(fā)現(xiàn)非法訪問行為和未授權的活動并反映給計算機用戶,將軟件與硬件融合起來共同對數(shù)據(jù)進行分析和作用,在瑣碎和繁雜的數(shù)據(jù)處理方面不再需要人工操作,減少人力和資源的浪費和管理成本。但從整體來看,效果不如防火墻技術,也不能夠完全代替防火墻技術。信息加密技術包括對稱加密與非對成加密兩種,且隨著時代的發(fā)展不斷優(yōu)化升級。該技術主要是為了避免數(shù)據(jù)被非法竊取,對相關重要的信息資料進行加密處理,降低數(shù)據(jù)資料丟失和泄露的概率,從而在數(shù)據(jù)傳遞和資料存儲中保證數(shù)據(jù)資料的完整性和安全性。訪問控制技術是指通過檢測訪問者的信息在網(wǎng)絡中保證網(wǎng)絡資源的安全,包括高層和底層訪問控制兩種訪問模式,前者是檢測資源種類、用戶權限和用戶口令,后者是指通過通信協(xié)議中的信息判斷訪問者是否合法,并作出相關反應。

3.3提高企業(yè)網(wǎng)絡安全管理水平

現(xiàn)代化企業(yè)集團在發(fā)展信息化建設集成過程中還存在很多網(wǎng)絡安全隱患,但是傳統(tǒng)管理模式已經(jīng)明顯不適用于目前的發(fā)展情況,網(wǎng)絡安全受到了更大的威脅,造成的經(jīng)濟損失也較多,所以必須提高企業(yè)的網(wǎng)絡安全管理水平。首先,要提高企業(yè)網(wǎng)絡信息化系統(tǒng)管理水平和管理效率,要讓企業(yè)內(nèi)部包括員工和管理層都建立起網(wǎng)絡安全管理的觀念,創(chuàng)建一個成熟、完善的網(wǎng)絡安全管理平臺,樹立現(xiàn)代化的網(wǎng)絡安全管理意識,從而能夠及時解決企業(yè)運營和發(fā)展過程中存在的問題,將企業(yè)發(fā)展中重要的資料信息利用網(wǎng)絡技術實行集中性存儲。另外,要對所有員工進行網(wǎng)絡安全培訓和再教育,提高員工的綜合素質(zhì)水平,以規(guī)范員工對信息化系統(tǒng)的具體操作,將企業(yè)重要數(shù)據(jù)信息進行加密處理和備份處理,企業(yè)要營造一個安全、穩(wěn)定的網(wǎng)絡安全環(huán)境,防止網(wǎng)絡病毒和黑客的入侵。其次,企業(yè)要使用有效、實用的安全防護軟件,例如,目前市場上的金山毒霸、360殺毒軟件都得到了廣泛運用,企業(yè)要根據(jù)自身具體情況選擇一個有效的防護軟件抵制外部非法入侵,設置好相關的安全管理權限,創(chuàng)建一個完善、嚴密、分層的安全管理權限體系,在用戶登錄和用戶訪問環(huán)節(jié)都要設置權限和密碼,從而保證企業(yè)的信息安全。最后,要對企業(yè)信息化建設集成中的防火墻系統(tǒng)和訪問控制模式進行完善的配置,安排一個較為專業(yè)的訪問控制模式,避免網(wǎng)絡環(huán)境中出現(xiàn)各種意外或者病毒入侵的情況,保證企業(yè)內(nèi)部局域網(wǎng)絡信息的安全,選擇信息隱藏模式提高網(wǎng)絡信息安全性。這種信息隱藏模式一般是運用高效的編碼將數(shù)據(jù)修改方法嵌入,包括擴頻嵌入和矩陣編碼,將編碼過程變得更加專業(yè)和復雜,網(wǎng)絡黑客一般破譯不了,有利于企業(yè)抵御網(wǎng)絡黑客入侵和系統(tǒng)漏洞,保證企業(yè)信息化建設集成的健康發(fā)展,提高企業(yè)的經(jīng)濟收益。

4運用虛擬化的云計算平臺創(chuàng)建相關安全機制

在運用虛擬化的云計算平臺時,要具備更加安全和穩(wěn)定的機制和系統(tǒng),如行為約束機制、CHAOS系統(tǒng)和Shepherd系統(tǒng),及時監(jiān)控計算機中的相關進程、避免用戶錯誤操作,防止非法進程對云計算平臺的破壞,將異常進程進行數(shù)據(jù)安全隔離,從而保證企業(yè)信息化建設集成中的網(wǎng)絡安全。

主要參考文獻

[1]王然.企業(yè)信息化建設集成與網(wǎng)絡安全措施探究[J].數(shù)字技術與應用,2017(1).

篇3

計算機網(wǎng)絡技術已經(jīng)逐漸發(fā)展成為廣泛應用于人們?nèi)粘Ia(chǎn)生活的重要技術,而在實際的使用過程中,卻難免要遇到安全隱患,例如黑客的入侵、安全漏洞和病毒傳播等。在計算機網(wǎng)絡安全的評價體系中,神經(jīng)網(wǎng)絡的應用以其能夠形成非線性自適應動態(tài)系統(tǒng)的特點,迅速適應網(wǎng)絡環(huán)境,進而實現(xiàn)對信息的運算、識別和控制功能,提高了計算機的工作效率和安全性。

2計算機網(wǎng)絡安全的概念

計算機的網(wǎng)絡安全,主要指的是針對網(wǎng)絡信息瀏覽和操作等過程中的安全管理,以達到提高網(wǎng)絡信息保密性、安全性的目的,維護使用者的合法權益,最終實現(xiàn)整個網(wǎng)絡的順利運行。我國當前的計算機網(wǎng)絡安全問題通常涉及到信息安全、計算機網(wǎng)絡技術等多個方面,而伴隨計算機網(wǎng)絡的日益普及,其網(wǎng)絡信息的安全問題更加為人們所重視。例如,對于企業(yè)而言,其日常經(jīng)營活動中往往會運用到計算機網(wǎng)絡,因此要求網(wǎng)絡必須具備核心技術,對企業(yè)信息實施保護和保密,維護重要內(nèi)部信息的安全性,從而維護企業(yè)利益。即便是個人在使用計算機網(wǎng)絡時,也同樣需要網(wǎng)絡對個人信息實施控制與保護,防止泄漏或被不法分子盜取,損害人民的權益和實際利益。

3神經(jīng)網(wǎng)絡概述

3.1概念

所謂神經(jīng)網(wǎng)絡,其模型建立的基礎,是人體腦部的信息處理模式作為參考,然后運用數(shù)學模型,模擬生物的神經(jīng)元、腦細胞結構,以及其生理特征,最終模擬獲得該神經(jīng)網(wǎng)絡模型。此后,計算機專家則以此模型為基礎,添加入編制好的學習機制,然后將其應用到實際工程中,最終開發(fā)出了感知器神經(jīng)網(wǎng)絡模型。該模型具備了聲納波的識別功能,可用于探測潛艇位置等實踐中。經(jīng)過進一步的深入研究,相關研究人員在其中運用了映射拓撲性質(zhì),在計算機的基礎之上建立了映射自組織網(wǎng)絡模型;繼而通過分析研究生物自組織神經(jīng)網(wǎng)絡,確定神經(jīng)網(wǎng)絡模的實質(zhì),獲得一組微分非線性方程,然后將神經(jīng)網(wǎng)絡應用于實際,最終形成了神經(jīng)網(wǎng)絡的系統(tǒng)性科學研究,例如具有一定代表性的BP神經(jīng)網(wǎng)絡。

3.2神經(jīng)網(wǎng)絡的優(yōu)越性

神經(jīng)網(wǎng)絡建立的基礎是生物大腦結構和工作原理,因而屬于人工智能系統(tǒng),該系統(tǒng)基于計算機網(wǎng)絡內(nèi)部大量節(jié)點的關系分析,發(fā)揮出方面優(yōu)越的應用性能,主要包括以下方面:

3.2.1自學功能

神經(jīng)網(wǎng)絡系統(tǒng)能夠進行自我學習,通過自動識別正在輸入的信息,自行為操作者總結相關的規(guī)律,進而形成聯(lián)想的模式。其優(yōu)勢即在于這種對于信息的識別能力,使系統(tǒng)能夠在之后的工作中,進行獨立自動運作,從而縮短操作人員的工作時間?,F(xiàn)有計算機神經(jīng)網(wǎng)絡系統(tǒng),甚至能夠?qū)崿F(xiàn)高于聯(lián)想模式的預測功能,應用于證券市場中,系統(tǒng)可以基于對當前股市證券、市場經(jīng)濟和企業(yè)現(xiàn)狀的研究分析,預測其未來的效益,從而企業(yè)未來的良性發(fā)展,提供了有力的智能支持。

3.2.2優(yōu)化系統(tǒng)

神經(jīng)網(wǎng)絡同時還具備了自我優(yōu)化的能力,可以自行提高計算機運轉(zhuǎn)能力,同時幫助操作用戶,針對某些問題提出解決方案?;诖?,神經(jīng)網(wǎng)絡系統(tǒng)被建議應用于計算機的網(wǎng)絡安全評價中,以發(fā)揮其自身的優(yōu)越性能。

4計算機網(wǎng)絡安全評價中神經(jīng)網(wǎng)絡的應用

4.1計算機網(wǎng)絡安全評價體系的構建

4.1.1構建神經(jīng)網(wǎng)絡體系的必要性

基于神經(jīng)網(wǎng)絡的計算機網(wǎng)絡安全評價保護是多元化的,由于其對于環(huán)境的適應力較強,因而能夠迅速適應周圍狀況,并對自身進行調(diào)整,以降低誤差。另外,神經(jīng)網(wǎng)絡的自我訓練使其能夠在計算機網(wǎng)絡安全評價的體系中,實現(xiàn)自我總結和完善。此外,神經(jīng)網(wǎng)絡還具備了良好的容錯性,對于一些不完整信息、噪聲等并不敏感,因而在網(wǎng)絡節(jié)點出現(xiàn)問題時,不會對神經(jīng)網(wǎng)絡的整體保護產(chǎn)生影響。且神經(jīng)網(wǎng)絡在進行自我訓練之后,能夠?qū)⒄5墓ぷ餍侍嵘脸R?guī)的4~5倍。加上神經(jīng)網(wǎng)絡對于結果的獲取高效快捷,因此更加便于使用,其各方面的設置也更加人性化。

4.1.2安全評價體系構成指標

計算機網(wǎng)絡安全的一級評價,其中的指標通常包括:管理安全、物理安全以及邏輯安全,具體如下:①管理安全評價指標時二級指標,分別為安全組織體系、安全管理制度、人員安全培訓以及應急響應機制;②物理安全評價指標為二級指標,包括防電磁泄漏措施、供電線路、網(wǎng)絡機房、容錯冗余以及設備安全;③邏輯安全評價指標同樣是二級指標,包括數(shù)據(jù)的備份、恢復,訪問的控制、軟件安全、防病毒措施、系統(tǒng)審計、數(shù)字簽名、數(shù)據(jù)加密以及入侵防范。

4.2實現(xiàn)評價指標的標準化

不同的評價指標集,對于影響因素的描述也存在差異,因此需要在實施定量、定性評價時有所側(cè)重。此外,應當合理運用科學的方法,對計算機的網(wǎng)絡安全情況作出反應,因而一定程度上影響了指標的客觀對比。因此,必須保持客觀的態(tài)度,對評價指標的取值規(guī)則進行調(diào)整,以實現(xiàn)指標的標準化。在定量指標評價時,相關工作人員應當結合計算機網(wǎng)絡系統(tǒng)的實際運行狀況,對其進行客觀評價與取值,進行科學的分析。此外,對于不同的評價指標,應當使用不同的衡量單位,有所側(cè)重地進行標準化處理,將取值固定到一定范圍內(nèi),通常在0~1之間。而為了實現(xiàn)定性指標評價,則通常會采用打分的方式來客觀評價計算機的網(wǎng)絡系統(tǒng)機型,定性指標評價標準化。

4.3基于神經(jīng)網(wǎng)絡的計算機網(wǎng)絡安全評價構建

4.3.1服務器維護機制規(guī)范化構建

構建計算機網(wǎng)絡安全評價體系,其首要的任務和硬件維護的關鍵,即在于服務器維護。在構建服務器維護機制規(guī)范化的過程中,應當注意避免不當服務器所可能造成的傷害,要求操作人員時刻警醒,保證及時清除網(wǎng)卡冗余,調(diào)整服務器的荷載,以維持服務器的平衡與穩(wěn)定。

4.3.2云主機的建立

以神經(jīng)網(wǎng)絡為基礎建立的計算機網(wǎng)絡安全評價體系,需要快速打造安全云主機,用以集成包括了云鎖服務安全軟件的所有安全防護體系,從而達到突破傳統(tǒng)服務器安防理念,實現(xiàn)對于用戶的實時安全服務效果。因此,構建過程中需要在云主機中使用很多快捷自動安裝軟件,如MYSQL、PHP、ASP等。這些軟件的共同點在于均適用于對網(wǎng)站數(shù)據(jù)庫的實時管控、對于站點信息的實時監(jiān)控,以及對于計算機各種軟件溫度進行的調(diào)節(jié),和WebShell病毒查殺功能。如今的計算機網(wǎng)絡安全系統(tǒng)已經(jīng)首創(chuàng)了以C/S的神經(jīng)網(wǎng)絡架構為基礎的應用體系,實現(xiàn)了計算機端和服務器之間的遠程訪問與控制功能,從而提升了計算機網(wǎng)絡對于木馬、病毒和惡意代碼、惡意攻擊等危害的防御能力,起到保護計算機服務器與網(wǎng)站安全的作用。

4.3.3安全管理和服務體系的建立

基于神經(jīng)網(wǎng)絡建立起來的計算機網(wǎng)絡安全評價體系,其作用即在于在進行安全評價時,管理人員能夠提供與評價標準判定相對應的具體內(nèi)容、實施范圍等信息,然后針對計算機安全狀況、信息技術的關鍵點,實施研究與分析,運用評價方法測算其安全等級。計算機網(wǎng)絡的安全級別評價,可以按照以下公式生成評價因子,基于神經(jīng)網(wǎng)絡的計算機網(wǎng)絡安全評價級別公式如下:f=(x1,x2,x3……,xi……xm)式中:xi-計算機網(wǎng)絡安全評價中最主要的評價因子;f-計算機網(wǎng)絡安全評價模型主體。管理人員應當結合實際,為計算機系統(tǒng)選取正確的評價模型主體與安全等級,進而依據(jù)系統(tǒng)要求,對神經(jīng)網(wǎng)絡安全管理體系采取必要的優(yōu)化措施,以做到有備無患。

4.4建立并完善評價結果評語集

基于計算機網(wǎng)絡安全評價指標特征,可建立評價結果評語集,按照網(wǎng)絡安全等級差異,將該評語集劃分為四個集合:①第一等集合設置為“安全”;②第二等集合設置為“較為安全”;③第三等集合設置為“不安全”;④最后一個等集合則設置為“很不安全”。此外,還可以對這些集合附以說明,從而有效地位計算機使用者提供便捷的方式,來了解計算機網(wǎng)絡安全狀況,提供良。

5結語

神經(jīng)網(wǎng)絡技術在計算機網(wǎng)絡安全評價中的應用,實現(xiàn)了評價體系的自動抽提功能,體現(xiàn)出了外推性、容錯性、適應性等優(yōu)勢,滿足了計算機網(wǎng)絡的在線實用性要求,在有效提高計算機網(wǎng)絡評價客觀性、正確性的同時,為用戶提供了安全的使用環(huán)境,確保用戶能夠通過網(wǎng)絡獲得可靠、有效的數(shù)據(jù)信息。

參考文獻

[1]王強.基于神經(jīng)網(wǎng)絡的計算機網(wǎng)絡故障診斷[J].信息與電腦:理論版,2015(10):157~158.

篇4

【關鍵詞】 醫(yī)院管理信息系統(tǒng) 安全管理 防范措施

醫(yī)院管理信息系統(tǒng)是指醫(yī)院在日常運營管理中應用的信息管理、聯(lián)機操作的計算機應用系統(tǒng),其幾乎包括了醫(yī)院內(nèi)部所有的業(yè)務及活動項目,醫(yī)院管理信息系統(tǒng)是提高醫(yī)院信息化水平的重要手段。

一、醫(yī)院管理信息系統(tǒng)的不安全因素

具體而言,醫(yī)院管理信息系統(tǒng)的不安全因素包括以下幾個方面:首先,系統(tǒng)漏洞問題。醫(yī)療機構廣泛應用的網(wǎng)絡操作系統(tǒng)包括Windows、Unix、Linux等,無論哪種操作系統(tǒng)均不可避免的存在漏洞,如果操作系統(tǒng)更新不及時、漏洞修補機制不完善,就會為病毒的入侵提供可乘之機,導致計算機反復感染病毒,降低系統(tǒng)的安全性。其次,病毒入侵。病毒會對計算機系統(tǒng)軟件、文件、網(wǎng)絡資源等產(chǎn)生直接影響,局域網(wǎng)體現(xiàn)出復雜性的特點,是計算機病毒感染的高危地帶,嚴重者可能導致醫(yī)院局域網(wǎng)的癱瘓,直接影響到醫(yī)院的日常業(yè)務。再次,黑客攻擊。醫(yī)院局域網(wǎng)內(nèi)存在大量的學術信息、患者的個人隱私信息等,因此成為網(wǎng)絡黑客的攻擊目標。黑客入侵也會導致醫(yī)院局域網(wǎng)受到嚴重影響,甚至數(shù)據(jù)庫中的數(shù)據(jù)信息都有可能遭到篡改,從而影響到醫(yī)院的信息管理。最后,網(wǎng)絡應用者安全意識薄弱。計算機信息技術的發(fā)展日新月異,網(wǎng)絡普及速度也越來越迅速,醫(yī)院的日常辦公網(wǎng)絡化建設日益完善,網(wǎng)絡端口、上網(wǎng)人數(shù)也越來越多,但是很多醫(yī)院內(nèi)部都缺乏一套可操作性強的、完善的網(wǎng)絡安全管理制度,網(wǎng)絡操作人員安全意識薄弱,導致醫(yī)院內(nèi)部網(wǎng)絡擴張速度遠遠大于網(wǎng)絡安全管理的普及度,為醫(yī)院管理信息系統(tǒng)埋下了安全隱患。

二、加強醫(yī)院管理信息系統(tǒng)安全管理的策略

2.1加強硬件管理

一方面要為計算機系統(tǒng)的運行提供良好的機房環(huán)境,比如機房溫度不超過25度、不低于20度,保持相對濕度在50%-65%;日常運行中要求無人員流動、無塵,安裝必要的避雷裝置及抗磁場干擾裝置等。機房要采用兩路供電系統(tǒng),配有不間斷電源持續(xù)供電,以保證機房供電的穩(wěn)定性及連續(xù)性,同樣要設置抗磁場干擾等裝置。

另一方面要加強網(wǎng)絡硬件設備的維護。網(wǎng)絡硬件設備主要包括路由器、交換機、集線器、光纖收發(fā)器等,要對上述設備的運行狀態(tài)進行實時監(jiān)測,做好設備的除塵保養(yǎng),檢查插頭是否有松動等,注意防水。

2.2合理應用網(wǎng)絡安全管理技術

醫(yī)院管理信息系統(tǒng)安全管理中常用的安全技術包括以下幾種:

首先,備份技術。所謂備份技術是指在最惡劣的情況下一旦醫(yī)院信息系統(tǒng)出問題,可以通過備份技術使數(shù)據(jù)庫在最短的時間內(nèi)恢復運行,保證數(shù)據(jù)安全。備份技術需要硬件設備與軟件系統(tǒng)的配合應用,要根據(jù)醫(yī)院的實際情況制訂備份頻率、備份時間、恢復時間等備份策略,常用的備份策略包括三種,即只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫及事務日志、增量備份等。

其次,冗余技術。冗余技術是指網(wǎng)絡在質(zhì)量惡化的狀態(tài)下不會造成系統(tǒng)停機及數(shù)據(jù)庫丟失的保障性技術,冗余技術除了可應用于網(wǎng)絡技術中外,還可應用于電源、處理器及相關設備、模塊、鏈路、以太網(wǎng)等等。

再次,防火墻技術。防火墻主要設置于風險區(qū)域與內(nèi)部網(wǎng)絡之間,對訪客進行管理,形成內(nèi)部網(wǎng)與外部網(wǎng)之間的隔離保護層,可有效防止黑客入侵及破壞行為,保障系統(tǒng)安全。

最后,加密信息技術。加密技術包括對稱加密技術與非對稱加密技術兩種,其中對稱加密技術是指信息的加密與解密使用同一密鑰,通過加密工作的簡化實現(xiàn)了信息交換雙方無需使用專用的加密算法即可讀取信息;非對稱加密技術則是將密鑰分為公開密鑰與私有密鑰兩種,其中加密密鑰可作為公開密鑰公開,而解密密鑰則作為私有密鑰保存起來。

2.3增強系統(tǒng)操作人員的安全意識

要采取必要的措施降低人為因素導致的網(wǎng)絡故障率,針對技術人員的培訓主要包括安全技術、安全策略和風險防范等,操作安全培訓由信息科技術人員負責,使操作人員了解計算機管理的必要性和管理流程,對相關人員進行新業(yè)務模式和流程教育,對操作人員進行技術培訓,要求準確、熟練等。

三、結語

計算機信息技術的應用大大推動了醫(yī)院信息化發(fā)展的進程,但是網(wǎng)絡環(huán)境的復雜性增加了醫(yī)院管理信息系統(tǒng)的風險性及不確定性,因此日常工作中要結合醫(yī)院的實際情況,具體問題具體分析,通過技術、管理等各方面強化信息系統(tǒng)的網(wǎng)絡安全性,保證管理信息系統(tǒng)的可靠性及穩(wěn)定性。

參 考 文 獻

[1] 王利輝 . 淺析新醫(yī)改背景下醫(yī)院信息系統(tǒng)建設 [J]. 企業(yè)改革與管理 .2014(24):45.

篇5

關鍵詞:棱鏡門 去IOE 國產(chǎn)化替代 云安全

一、IT架構國產(chǎn)化成趨勢

(一)信息安全市場規(guī)模加速發(fā)展,市場發(fā)展空間較大

據(jù)統(tǒng)計,2014年全球信息安全市場規(guī)??偣策_到670多億美元,全球的年復合增長率是8.7%,預計2016年,市場總規(guī)模將達到960億美元。

我國的信息安全建設起步較晚,意識形態(tài)在逐步提升,從行業(yè)分析的數(shù)據(jù)來看,國內(nèi)信息安全市場規(guī)模的平均增幅達到17%,遠遠超過國外的增速。我們認為國內(nèi)信息安全市場規(guī)模的增長速度還會提升,預期會達到20%左右。主要原因有以下兩點:一是中國的人口和企業(yè)基數(shù)多,信息化程度提升后帶來的邊際效應特別快,特別是移動互聯(lián)網(wǎng)的到來,中國的移動用戶終端數(shù)量達到5.5億,基礎的安全建設將隨之有較大比例的提升;二是目前互聯(lián)網(wǎng)建設過程中信息安全投資的比例低,據(jù)公開信息,2010年我國信息安全產(chǎn)業(yè)與軟件和信息服務業(yè)相比不足1.5%,遠低于國外的安全投入比例。

(二)棱鏡門是信息安全可控的助推器

從國家層面來看,十八屆三中全會公報指出將設立國家安全委員會,完善國家安全體制和國家安全戰(zhàn)略,確保國家安全。2014年2月27日,中央網(wǎng)絡安全和信息化領導小組召開第一次會議。指出,網(wǎng)絡安全和信息化對一個國家很多領域都是非常重要,要認清面臨的形勢和任務,充分認識做好工作的緊迫性和重要性,因勢而謀,順勢而為。網(wǎng)絡安全和信息化是一體兩翼、雙輪驅(qū)動,必須統(tǒng)一部署、統(tǒng)一謀劃、統(tǒng)一推進、統(tǒng)一實施。做好網(wǎng)絡信息化安全工作,要處理好安全和發(fā)展的關系,做到協(xié)調(diào)一致、齊頭并進,以安全保發(fā)展、以發(fā)展促安全,努力建久安之勢、成長治之業(yè)。

棱鏡門事件的爆發(fā),使人們發(fā)現(xiàn)美國國家安全局可以接觸到大量個人聊天日志、存儲的數(shù)據(jù)、語音通信、文件傳輸、個人社交網(wǎng)絡數(shù)據(jù)。最重要的是通過對本國公司的合作,達到監(jiān)控他國政府的目的,另外這個名為“棱鏡”的項目還可以使情報人員通過“后門”進入9家主要科技公司的服務器,包括微軟、雅虎、谷歌、Facebook、PalTalk、美國在線、Skype、YouTube、蘋果。

當代社會已經(jīng)進入數(shù)字社會,互聯(lián)網(wǎng)開始連接一切,構成互聯(lián)網(wǎng)時代的基礎則是各種通信設備和系統(tǒng)應用軟件,信息安全是國家安全的重中之重,保障互聯(lián)網(wǎng)安全,保障IT信息產(chǎn)業(yè)安全將是重頭戲。在互聯(lián)網(wǎng)的時代,IT產(chǎn)業(yè)國產(chǎn)化的進程不可逆轉(zhuǎn)。

(三)國家意志下,IT架構國產(chǎn)化的必然性

雖然要求“去IOE”的呼聲在國內(nèi)喊了很久,此前實際上并沒有實質(zhì)進展。但2014年9月銀監(jiān)會的39號文,讓“去IOE”真正落實成“白紙黑字”的文件。

根據(jù)39號文件要求,從2015年起,各銀行業(yè)金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比。2015年起,銀行業(yè)金融機構應安排不低于5%的年度信息化預算,專門用于支持本機構圍繞安全可控信息系統(tǒng)開展前瞻性、創(chuàng)新性和規(guī)劃性研究,支持本機構掌握信息化核心知識和技能。同時,銀監(jiān)會還要求,2015年銀行業(yè)至少完成一個信息系統(tǒng)的遷移,至少實現(xiàn)一個數(shù)據(jù)級災備系統(tǒng)主要部件采用國產(chǎn)設備或軟件,并明確表示不建議再采購大型機設備。

在2015年的銀行采購中,某行已經(jīng)要求采購國產(chǎn)IT產(chǎn)品,最新采購的服務器主要來自聯(lián)想集團、浪潮信息等國內(nèi)知名IT企業(yè)。

二、云安全成為新的熱點

(一)云計算的發(fā)展推動行業(yè)新一輪成長

據(jù)Gartner公司統(tǒng)計,2014年全球云計算市場總規(guī)模已達1500億美金,而整個全球IT投入是3.6億美金,云計算占其中不足4%的份額。據(jù)Gartner公司日前的調(diào)查結果顯示,2013年全球公共云市場規(guī)模將從2012年的1110億美元增至1310億美元,私有云服務及混合云服務發(fā)展勢頭也十分迅猛。工信部云計算研究中心主任楊東日日前也透露,包括中國電信、中國聯(lián)通、中國移動在內(nèi)蒙古的云計算投入將達到200億元。微軟亞太研發(fā)集團主席張亞勤曾預測,云計算未來幾年在全球范圍可創(chuàng)造1300萬份工作機會,未來五年年化符合增速將達到30%。

隨著越來越多的企業(yè)部署SaaS和BYOD,Gartner預計企業(yè)云安全服務的接受度和依賴性將逐漸增加,而未來幾年云安全市場將進入高速發(fā)展期。近日,Gartner報告“2014年全球云安全服務市場趨勢”預測:隨著越來越多的企業(yè),尤其是中小企業(yè)采用云安全服務,云安全服務市場,包括安全郵件/web網(wǎng)關、身份和訪問管理IAM、遠程漏洞評估、安全信息和事件管理將迎來高速發(fā)展時期,2017年該市場規(guī)模將高達41.3億美元。

(二)國外云安全趨勢的最新動態(tài)

2014年8月,IBM收購了云安全服務提供商Lighthouse Security Group,是繼7月下旬收購意大利云安全廠商CrossIdeas后,再次進行的另一安全業(yè)務并購。該收購顯示IBM在身份和訪問管理安全服務領域?qū)⒊掷m(xù)發(fā)力。

(三)國內(nèi)企業(yè)逐漸布局云安全

啟明星辰緊跟云計算、虛擬化和SDN技術發(fā)展,結合公司在信息安全領域深厚的技術、產(chǎn)品、經(jīng)驗積累,推出了“啟明星辰智慧流安全平臺”,深入詮釋和實踐了公司SDS(Software Defined Security,軟件定義安全)的理念,實現(xiàn)了安全按需使用、安全個性化編排、安全資源高彈性、切實抵御未知威脅等功能,助力SDN網(wǎng)絡及云數(shù)據(jù)中心安全。目前,“啟明星辰智慧流安全平臺”已經(jīng)成功完成了與華為SDN網(wǎng)絡的聯(lián)合對接測試,并于“2015華為網(wǎng)絡大會”上。

三、信息安全行業(yè)發(fā)展的海外映射

(一)國外信息安全行業(yè)發(fā)展歷程

近年來,全球網(wǎng)絡威脅持續(xù)增長,各類網(wǎng)絡攻擊和網(wǎng)絡犯罪現(xiàn)象日益突出,并呈現(xiàn)出:攻擊工具專業(yè)化、目的趨于商業(yè)化、行為趨于組織化、手段趨于多樣化等特點。許多漏洞和攻擊工具被網(wǎng)絡犯罪組織商品化,使網(wǎng)絡威脅的范圍加速擴散。隨著網(wǎng)絡犯罪背后的黑色產(chǎn)業(yè)鏈獲利能力的大幅提高,互聯(lián)網(wǎng)的無國界性使得網(wǎng)絡威脅對全球各國用戶造成的損失隨著范圍的擴散而迅速增長。

國外信息安全領域龍頭企業(yè)逐漸從內(nèi)生性成長向外延并購擴張。

(二)美國信息安全龍頭的成長之路

賽門鐵克營業(yè)收入從1989年上市的7400萬美元增長到2010年的61.9億美元,凈利潤從800萬美元增長到6億美元,是全球收入規(guī)模最大的信息安全產(chǎn)商。

賽門鐵克向全球的企業(yè)及服務供應商提供包括:入侵檢測、互聯(lián)網(wǎng)內(nèi)容及電子郵件過濾、病毒防護、防火墻、VPN、風險管理、遠程管理技術及安全服務等。公司旗下的諾頓品牌是個人安全產(chǎn)品全球零售市場的領導者。

安全需求從單一產(chǎn)品逐漸轉(zhuǎn)向信息安全整體解決方案及服務;信息安全發(fā)展迅速,新需求層出不窮;通過收購來擴充自己的產(chǎn)品線和贏得客戶。從2000年2月到2006年2月,其收購了不下25家公司。而其也在收購之路上屢試不爽,成功率頗高。

(三)信息安全國產(chǎn)化替代百億空間

由于信息安全在互聯(lián)網(wǎng)時代的重要性,我國政府采購信息安全產(chǎn)品有著很高的要求,都要求采購“自主可控的國產(chǎn)安全產(chǎn)品”,具有完全自主創(chuàng)新特點的安全產(chǎn)品成為我國國家戰(zhàn)略部門采購時的首選產(chǎn)品,在政策上也受到政府的大力鼓勵。我國國家保密局、公安部、國務院信息化工作辦公室聯(lián)合制定《信息安全等級保護管理辦法》指出,我國第三級以上信息系統(tǒng)選擇使用的安全產(chǎn)品,其產(chǎn)品研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股的,在中華人民共和國境內(nèi)具有獨立的法人資格。同時要求,產(chǎn)品的核心技術、關鍵部件具有我國自主知識產(chǎn)權。

截至2014年底,國內(nèi)信息安全市場規(guī)模110億,信息安全占IT支出比例為1%,而歐美是8%-12%;政府、軍隊將被劃入第三級以上的信息安全等級保護,如果未來信息安全支出可以達到企業(yè)級IT支出比例的2%-3%,則每年將會有80-120億的市場。

四、信息安全產(chǎn)業(yè)的發(fā)展趨勢展望

隨著信息技術的快速發(fā)展和廣泛應用,基礎信息網(wǎng)絡和重要信息系統(tǒng)安全、信息資源安全以及個人信息安全等問題與日俱增,應用安全日益受到關注,主動防御技術成為信息安全技術發(fā)展的重點,信息安全產(chǎn)品與服務演化為多技術、多產(chǎn)品、多功能的融合。作為信息安全領域的領軍品牌,清華同方電腦總工程師劉峰認為目前信息安全產(chǎn)業(yè)呈現(xiàn)兩大新趨勢,將引領信息安全產(chǎn)業(yè)的發(fā)展。

篇6

關鍵詞:公鑰基礎設施(PKI);數(shù)字認證(CA);礦區(qū)管理;信息安全;密碼服務器

0引言

當前我國礦山企業(yè)安全生產(chǎn)形勢依然嚴峻,安全生產(chǎn)基礎相對薄弱,事故總量還是很大,煤礦、金礦等高危行業(yè)結構不合理,應急處置以及救援搶險能力相對不足,部分企業(yè)違規(guī)違章現(xiàn)象依然存在,給安全生產(chǎn)帶來一定的安全隱患[1]。隨著計算機通信和網(wǎng)絡技術的快速發(fā)展,礦山企業(yè)安全生產(chǎn)的信息化管理成為衡量企業(yè)現(xiàn)代化建設的重要指標,也是促進企業(yè)安全生產(chǎn)、提升效益的重要方式。礦區(qū)安全生產(chǎn)管理平臺在部署時,采用開放式架構,兼容主流信息技術,在.NET平臺的基礎上,為了滿足多種信息源服務終端的需求,平臺采用了多種基礎數(shù)據(jù)庫模型技術,保證安全管理平臺的系統(tǒng)整合能力。平臺采用面向服務的架構(SOA)設計,并基于分層和分類結合的混合模式,數(shù)據(jù)交換模式采用標準的XML等技術,應用統(tǒng)一規(guī)范的數(shù)據(jù)交換接口及應用程序接口,安全機制相對可靠[2]。平臺基于J2EE技術架構,支持HTML和DHTML等Web瀏覽器標準,設計原則遵循高內(nèi)聚、低耦合的原則,降低系統(tǒng)各個功能模塊間的耦合度,降低操作難度,提高系統(tǒng)的通用性。根據(jù)礦山企業(yè)礦區(qū)分散、不聚集的特點,為保證礦山生產(chǎn)網(wǎng)和辦公信息網(wǎng)之間以及與外網(wǎng)之間的信息交換暢通,確保信息在產(chǎn)生、存儲、傳輸和處理過程中的安全性,需要建立全網(wǎng)統(tǒng)一的認證與授權機制、時間服務和密碼服務。目前,在各種技術,基于PKI/CA的信息安全技術能合理的作用于礦區(qū)安全生產(chǎn)信息化管理平臺,從而保證安全策略得以完整準確的實現(xiàn),該技術是解決數(shù)據(jù)加密、保護信息安全最有效的方案[3]。

1基于PKI技術的安全生產(chǎn)管理平臺體系研究

1.1安全生產(chǎn)管理平臺的需求分析

礦區(qū)安全生產(chǎn)管理平臺為解決礦山企業(yè)安全統(tǒng)一管理應運而生,以安全生產(chǎn)風險管控為核心的風險管理平臺是目前各個礦山企業(yè)信息化建設的新趨勢。以安全生產(chǎn)管理為核心的平臺建設可以實現(xiàn)對危險隱患的合理分析,形成事前管理、事中風險預控、事后應急救援在內(nèi)貫穿安全生產(chǎn)管理全過程的監(jiān)督管理,從而達到提升安全管理水平的目的。

1.2安全生產(chǎn)管理平臺的系統(tǒng)功能設計

以礦區(qū)實際情況為前提,以信息資源規(guī)劃和開發(fā)利用為主線,以安全法律法規(guī)為支撐,根據(jù)功能需求,在成熟的軟件開發(fā)方法論的指導下,礦山企業(yè)安全生產(chǎn)信息化管理系統(tǒng)的主要功能框架如圖1所示,其子系統(tǒng)設計如下:包括風險管理子系統(tǒng)、事故管理子系統(tǒng)、安全隱患管理子系統(tǒng)、應急救援子系統(tǒng)、安全培訓子系統(tǒng)、監(jiān)督檢查子系統(tǒng)、質(zhì)量標準化子系統(tǒng)等7大部分。其中風險管理子系統(tǒng)主要負責礦區(qū)風險評估,衡量事故發(fā)生的可能性并對其可能造成的相關損失進行評估,根據(jù)風險評估結果,制定相應的管理標準及措施;事故管理子系統(tǒng)主要負責對已發(fā)生的事故進行統(tǒng)計,形成事故報告、事故月報、事故數(shù)據(jù)庫等,方便查詢,根據(jù)需求進行事故通報和責任追究;安全隱患管理子系統(tǒng)主要進行安全隱患追蹤、及時對隱患信息進行登記、上報、匯總等,形成隱患整改通知單,及時開展追蹤和銷號管理等;應急救援子系統(tǒng)主要針對突發(fā)緊急事件進行預防、救援、恢復等管理,以應急救援案例庫為依托,類比實際案例,推送相關匹配度最高的案例輔助應急救援決策,此外該模塊涵蓋救援隊伍、救援機構等詳細信息;安全培訓子系統(tǒng)主要負責相關人員安全的培訓信息統(tǒng)計,及時對持證人員進行過期預警提示,服務于公司的安全培訓管理等制度;監(jiān)督檢查子系統(tǒng)主要進行安全活動制定、、總結等,下設安全檢查、整改落實、經(jīng)驗總結等三個子模塊,為安全監(jiān)督管理機構安全檢查發(fā)現(xiàn)的問題、形成原因、改進措施、整改建議等;質(zhì)量標準化子系統(tǒng)主要為管理人員提供標準庫查詢、檢查數(shù)據(jù)匯總等服務,方便現(xiàn)場檢查及質(zhì)量便準化考核等。

1.3安全生產(chǎn)管理平臺的PKI/CA技術分析

1.3.1PKI技術體系簡介

隨著當前信息系統(tǒng)建設的快速發(fā)展和數(shù)字網(wǎng)絡化的應用的普及,不同部門之間、跨部門的信息共享和綜合分析的需求也在日益增加,與此同時當前信息網(wǎng)絡應用中也面臨著信息量大、數(shù)據(jù)種類繁多,不同數(shù)據(jù)訪問要求不同等現(xiàn)狀,因此包括信息保密性、身份認證、訪問權限管理等在內(nèi)的信息安全問題急需解決。公鑰基礎設施(publickeyinfrastructure)簡稱PKI,為解決大型信息網(wǎng)絡面臨的安全問題應運而生。PKI是當前信息化安全建設的基礎和重要保證。PKI是一種具有安全性和透明性的密鑰管理系統(tǒng),通過為用戶提供密鑰和證書管理服務,提供安全策略,從而建立安全有效的網(wǎng)絡環(huán)境,保證數(shù)據(jù)信息在安全傳輸?shù)倪^程中不被非法偷看以及非授權者篡改等,從而達到保護用戶信息機密、完整的目的[4-6]。通常來說,一個完整的PKI系統(tǒng)包含認證中心數(shù)CA(certificateauthority)、證書庫、密鑰備份及恢復系統(tǒng),證書作廢處理系統(tǒng),客戶端證書處理系統(tǒng)等五大部分,其中CA是PKI的核心執(zhí)行機構,證書庫是存放公鑰和用戶證書的信息庫[5-7]。

1.3.2基于PKI體系的礦山安全生產(chǎn)信息化管理體系結構

PKI作為一種安全技術,已經(jīng)深入到常規(guī)網(wǎng)絡的各個層面,使用戶可以在多種應用環(huán)境中使用加密及數(shù)據(jù)簽名技術,是當前網(wǎng)絡信息安全問題的綜合解決方案,為企業(yè)的信息安全保駕護航。對于本文分析的礦山企業(yè)安全生產(chǎn)管理平臺,PKI技術將重點解決用戶訪問權限、信息傳輸、數(shù)據(jù)共享等問題,如準確驗證登錄用戶身份、保證跨部門之間的信息保密與共享、防止信息竊取保證信息安全傳輸?shù)鹊取5V山安全生產(chǎn)信息化管理平臺的PKI安全服務體系主要包括證書簽發(fā)管理和PKI安全服務兩部分,如圖2的方框所示。其中PKI的主體是證書機構CA、注冊機構RA(registrationauthority)、密鑰管理KM(keymanagement),其中核心組成CA是數(shù)字證書的頒發(fā)機構,數(shù)字證書就是網(wǎng)絡用戶的身份證,CA審核用戶身份等信息并與公鑰結合形成數(shù)字證書,從而確保其真實有效性,使得PKI能夠為網(wǎng)絡用戶提供較好的安全服務[7]。RA在整個體系中起承上啟下的銜接作用,是連接用戶和CA之間的橋梁,既向CA轉(zhuǎn)發(fā)證書請求,也向安全服務器轉(zhuǎn)發(fā)CA簽發(fā)的證書等。KM主要負責密鑰的備份、恢復、保存等管理服務,三個系統(tǒng)完成了證書簽發(fā)、管理等功能。公共安全接口具有一套通用、抽象的系統(tǒng)函數(shù),實現(xiàn)語言較多,具體的密碼算法不會影響到該接口,設計者可以根據(jù)自己對于系統(tǒng)的需求對安全接口進行開發(fā),該接口根據(jù)工作環(huán)節(jié)及性能分為初始化部分、安全操作部分、解編部分、通信部分等。

管理調(diào)度單元銜接公共安全接口與密碼服務單元,公共安全初始化部分通過管理調(diào)度單元選擇密碼服務單元,而管理調(diào)度單元向負載最小的密碼服務單元進行申請密碼服務,從而使得服務器負載均衡。當系統(tǒng)調(diào)度單元出現(xiàn)故障時,系統(tǒng)會隨機分配一個密碼服務單元,保證應用系統(tǒng)的正常運行,在保證系統(tǒng)負載均衡的同時,也保證數(shù)據(jù)的冗余備份,從而為應用系統(tǒng)提供及時安全的密碼服務。密碼服務單元是PKI密碼服務的核心部分,負責提供相關密碼算法及密鑰管理功能。密碼服務器根據(jù)配置需求及應用情況包含多個密碼服務單元,當一個單元出現(xiàn)故障時,可以通過管理調(diào)度單元進行分配,從而保證應用系統(tǒng)的正常運行。密碼算法根據(jù)功能特性主要分為三類:非對稱密碼算法(公鑰密碼)、對稱密碼算法(傳統(tǒng)密碼)和安全Hash算法[9-10]。非對稱密碼算法計算速度相對較慢,但其電子簽名和密鑰交換功能有更廣闊的應用范圍;對稱密碼算法運算速度較快,適用于大數(shù)據(jù)高流速的數(shù)據(jù)加密/解密功能,但是難以實現(xiàn)用戶身份識別等功能;安全Hash算法可以用來實現(xiàn)數(shù)據(jù)完整性驗證和輔助電子簽名等功能。密鑰管理主要包括密鑰的產(chǎn)生、更新、泄露處理、有效期管理、存儲、銷毀等功能,從而保證密鑰的安全有效運行。實時監(jiān)控單元對密碼服務器中的單元狀態(tài)進行實時監(jiān)控,及時找到密碼服務的相關故障,此外實時監(jiān)控單元的日志功能可以記載密碼服務器出現(xiàn)問題的詳細信息。以PKI技術為核心的信息安全架構體系可以有效的作用于礦山安全生產(chǎn)信息化管理平臺的正常設計和應用中,尤其是多層次的網(wǎng)絡系統(tǒng)中,從而保證安全策略順利實施,從而保證整個平臺系統(tǒng)的信息安全和應用安全。

2PKI/CA相關技術在礦山企業(yè)安全生產(chǎn)管理建設中的應用效果

以密碼技術為核心的PKI/CA技術,提高了網(wǎng)絡的安全性與可靠性,較好地解決了信息共享開放與信息保密隱私的關系、網(wǎng)絡互聯(lián)性與局部網(wǎng)絡隔離的關系,保證礦山企業(yè)安全生產(chǎn)管理建設的信息安全性,為企業(yè)內(nèi)部用戶提供了安全信賴的網(wǎng)絡環(huán)境,保證了企業(yè)不受信息安全威脅,為礦山的安全生產(chǎn)、信息管理提供了技術保障,在數(shù)據(jù)安全管理、業(yè)務協(xié)調(diào)以及實時智能指揮等領域取得了一定的應用效果。

2.1在數(shù)據(jù)安全管理領域的應用效果

2.1.1身份認證和訪問控制方面

安全生產(chǎn)管理平臺用戶角色眾多,有企業(yè)監(jiān)管人員,公眾訪問人員,平臺內(nèi)部測試管理人員等,一人多賬戶多角色多權限,容易帶來極大的安全隱患問題,因此具有支持多種認證方式同時具有統(tǒng)一認證訪問控制的安全機制及用戶權限管理方案變的非常重要。安全生產(chǎn)管理平臺基于PKI技術將證書策略應用于用戶的訪問控制中,不同級別的登錄人員可以設置不同的訪問權限,通過網(wǎng)上進行信息傳遞的身份證明,為用戶和數(shù)據(jù)之間建立起可信任的橋梁,有效的保證了平臺信息的安全服務。

2.1.2安全傳輸方面

礦山安全生產(chǎn)信息化管理會產(chǎn)生大量的數(shù)據(jù),數(shù)據(jù)規(guī)模大、種類繁多,隨之而來的是數(shù)據(jù)安全管理和通訊安全的問題,安全的信息通訊是解決信息安全威脅的重要手段之一。安全生產(chǎn)管理平臺采用的PKI相關技術,可以使用不同系統(tǒng)間的跨域共享和靈活授權,可以提供不同系統(tǒng)訪問的授權管理、密鑰管理、身份認證、責任認定,使得系統(tǒng)傳輸?shù)臄?shù)據(jù)信息具有較高的安全性、完整性、并在消息傳遞過程中完成信息的加密和數(shù)字簽名,大大提高了平臺通訊的安全性。

2.2在業(yè)務協(xié)調(diào)、實時智能指揮領域的應用效果

安全生產(chǎn)管理平臺以安全生產(chǎn)風險管控為核心,在成熟的軟件開發(fā)方法論的指導下,將風險管理、事故管理、安全隱患排查、應急救援、安全培訓、監(jiān)督檢查等內(nèi)容整合到統(tǒng)一平臺。PKI相關技術保證了各個系統(tǒng)之間的數(shù)據(jù)共享和安全通信,通過登陸人員訪問權限和各模塊之間協(xié)調(diào)管理,為公司的安全生產(chǎn)提供了技術保證,從而對生產(chǎn)過程中的風險進行有效管理,提升安全管理效率,降低安全生產(chǎn)事故。PKI技術保證了系統(tǒng)通訊的正常安全運轉(zhuǎn),實現(xiàn)各個系統(tǒng)之間的資源共享,消除各個系統(tǒng)之間的信息孤島,實現(xiàn)各個子系統(tǒng)的協(xié)調(diào)調(diào)度,使得各類用戶可以方便快捷的訪問、管理平臺,將各類信息安全的聯(lián)系起來,同時借助系統(tǒng)對監(jiān)控數(shù)據(jù)進行智能分析和決策支持,使得事故實時智能指揮成為可能,并逐步實現(xiàn)了事故管理由事后應急響應到事前預警提示,對于提高礦區(qū)防災能力,實現(xiàn)礦區(qū)安全高效生產(chǎn)、提高安全管理水平具有重要的引領作用。

3結語

PKI技術體系通過管理數(shù)字證書和密鑰的方式,為用戶搭建安全可靠的網(wǎng)絡平臺,使得用戶可以在多種用戶環(huán)境中方便的進行加密和數(shù)字簽名,保證了礦區(qū)安全生產(chǎn)管理平臺身份識別、信息傳遞、訪問權限等的安全實施,依托數(shù)字證書、密鑰管理等技術,可以有效的生成、保存、更新管理密鑰,解決了網(wǎng)絡身份認證、信息完整性和抗依賴性等安全難題,為解決礦山安全生產(chǎn)信息化管理中存在的信息安全等因素提供了強大的技術支撐??紤]到PKI技術本身缺點以及礦山企業(yè)的行業(yè)特性,該技術仍有一定的缺陷。在實際中,PKI技術構建和運行成本高昂,此外用戶認識水平、相關法律政策等因素的制約,都不利于PKI技術應用發(fā)展。因此,需要解決多個獨立PKI系統(tǒng)之間的交叉認證與互操作性等,以及證書過期、撤銷、丟失帶來的密鑰托管和證書安全等問題[11]。盡管如此,PKI技術的前景仍然是廣闊的,隨著相關技術的快速發(fā)展,PKI相關技術仍然是礦山安全管理信息化建設中解決通訊安全問題的必然選擇。

參考文獻

[1]劉星魁,謝金亮,LIUXing-kui,等.煤礦安全生產(chǎn)現(xiàn)狀及對策探討[J].煤炭技術,2008,27(1):139-141.

[2]史科蕾,石秋發(fā).基于PKI/CA技術在礦區(qū)服務平臺中安全管理的設計與實現(xiàn)[J].煤炭技術,2013(6):280-281.

[3]熊萬安,龔耀寰.基于公開密鑰基礎結構(PKI)的信息安全技術[J].電子科技大學學報:社會科學版,2001,3(1):4-6.

[4]張慧.PKI技術研究[J].湖北第二師范學院學報,2007,24(8):42-44.

[5]李彥,王柯柯.基于PKI技術的認證中心研究[J].計算機科學,2006,33(2):110-112.

[6]謝冬青,冷健.PKI原理與技術[M].北京:清華大學出版社,2004.

[7]黃蘭英.PKI技術和網(wǎng)絡安全模型研究[J].孝感學院學報,2007,27(6):62-64.

[8]陳雨婕.基于PKI的礦山企業(yè)網(wǎng)絡信息安全研究[J].礦山測量,2011(3):46-47.

[9]秦志光.密碼算法的現(xiàn)狀和發(fā)展研究[J].計算機應用,2004,24(2):1-4.

[10]張曉豐,樊啟華,程紅斌.密碼算法研究[J].計算機技術與發(fā)展,2006,16(2):179-180.

篇7

1 智慧城市的概念

智慧城市是新一代信息技術支撐、知識社會下一代創(chuàng)新(創(chuàng)新2.0)環(huán)境下的城市形態(tài)。[3]智慧城市基于物聯(lián)網(wǎng)、云計算等新一代信息技術以及維基、社交網(wǎng)絡、Fab Lab、Living Lab、綜合集成法等工具和方法的應用,營造有利于創(chuàng)新涌現(xiàn)的生態(tài),實現(xiàn)全面透徹的感知、寬帶泛在的互聯(lián)、智能融合的應用以及以用戶創(chuàng)新、開放創(chuàng)新、大眾創(chuàng)新、協(xié)同創(chuàng)新為特征的可持續(xù)創(chuàng)新。“智慧城市”的四大特征:全面透徹的感知、寬帶泛在的互聯(lián)、智能融合的應用以及以人為本的可持續(xù)創(chuàng)新。

智慧城市建設將改變我們的生存環(huán)境,也是轉(zhuǎn)變城市發(fā)展方式、提升城市發(fā)展質(zhì)量的客觀要求。通過建設智慧城市,及時傳遞、整合、交流、使用城市經(jīng)濟、文化、公共資源、管理服務、市民生活、生態(tài)環(huán)境等各類信息,提高物與物、物與人、人與人的互聯(lián)互通、全面感知和利用信息能力,極大提高政府管理和服務能力,提升人民群眾物質(zhì)和文化生活水平。

2 智慧城市建設中,檔案部門的角色定位

智慧城市的總體架構(參見圖1)自下向上分為“感、傳、支、用”四個層,即感知層、傳輸層、支撐層、應用層,同時建設安全保障體系、標準規(guī)范體系、運營管理體系作為支撐。筆者認為,智慧城市建設本質(zhì)上就是以網(wǎng)絡為基礎,運用信息和通信技術手段感測、分析、整合各項關鍵信息,更好地服務大家。其中,最重要的就是數(shù)據(jù)的互聯(lián)、共享和安全。

圖1:智慧城市總體架構

2.1 是智慧城市建設的管理者和參與者??赡苡腥艘獑枮槭裁催@些工作都要檔案部門來參與呢?首先,檔案部門是政府機構建立的基礎,是智慧城市建設的重要的管理者和參與者。2007年《中華人民共和國政府信息公開條例》(國務院第492號)規(guī)定了檔案館作為政府信息公開查閱的場所,[4]各省轄市根據(jù)其精神,檔案館統(tǒng)一掛“×××政府信息公開查閱中心”的牌子,設置政府信息公開查閱場所,檔案是智慧城市建設不可缺少的重要的公共信息資源。另外,作為政府信息公開的管理者和參與者,在規(guī)劃智慧城市建設中所形成的數(shù)據(jù)分析、初步可行性研究、階段性報告、可行性報告等,應由檔案部門統(tǒng)一收集整理并歸檔保存,為日后向決策層領導、各部門管理人員提供決策支持。

2.2 是智慧城市建設的基礎部門。在智慧城市的建設中,政府部門起到了決定性的作用。檔案信息資源是一個政府借以完成其工作的基本行政工具,是政府機構賴以建立的基礎,是智慧城市建設不可缺少的重要的公共信息資源之一。搭建智慧城市的公共服務平臺必須整合政府傳統(tǒng)組織內(nèi)部的數(shù)據(jù),還要整合政府跨部門之間的數(shù)據(jù),特別是對各政府內(nèi)部公文、檔案、圖表、數(shù)據(jù)信息化的改造,是智慧城市建設必不可少的一步。由于大部分檔案應用系統(tǒng)是基于局域網(wǎng)或政務內(nèi)網(wǎng)的,因此,檔案部門的作用就是把分散在各系統(tǒng)中的原始的信息資源進行集中整合,形成統(tǒng)一的信息資源體系,“九九歸一”,建成一個統(tǒng)一的大數(shù)據(jù)庫。并對大數(shù)據(jù)進行收集、存儲和科學管理,使數(shù)據(jù)高度集中和融合,建立數(shù)據(jù)中心和共享平臺,使數(shù)據(jù)具有“智能”的技術能力,才能為信息共享提供條件,服務傳統(tǒng)行業(yè)。其核心就是要構建統(tǒng)一權威的公共信息服務體系和平臺,實現(xiàn)一站式信息服務。只有保障了基礎數(shù)據(jù)在“前端”的真實性和安全性,才能為之后智慧城市建設提供基本保證。

3 檔案部門在智慧城市建設中存在的問題

3.1 統(tǒng)一標準缺失。單從檔案部門內(nèi)部來看,全國各個檔案部門雖然已經(jīng)建設了規(guī)模大小不等的數(shù)據(jù)庫,但都各自為政,缺乏統(tǒng)一性和整體性,而且標準化程度低。更不要說不同行業(yè)、不同機構之間的信息化建設了,都各有計劃。在其他應用終端上,從政府到行業(yè)再到企業(yè),各自也都有自己的標準,相互間的兼容性差,這樣就造成宏觀上把握不清,信息孤島與重復建設現(xiàn)象嚴重,相關資源不能整合應用,檔案數(shù)據(jù)無規(guī)范化控制,存在安全隱患。

3.2 相關法規(guī)制度建設存在著嚴重的滯后性。主要表現(xiàn)在信息立法和檔案法律法規(guī)沒有有機的整合。在上世紀90年代中期,隨著大量CAD文件的面世,國家質(zhì)量技術監(jiān)督局推出了《CAD電子文件光盤存儲、歸檔與檔案管理要求》。1999年,為規(guī)范電子文檔的歸檔與管理中的問題,國家檔案局又頒布了《電子文件歸檔與電子檔案管理辦法》,2000年,為了解決計算機在輔助檔案管理中存在的問題,國家檔案局又頒布了《歸檔文件整理規(guī)則》。2002年,針對公務活動中電子文件的形成、積累、保管、利用等方面存在的問題,國家檔案局對《電子文件歸檔與電子檔案管理辦法》進行了修正,在此基礎上,又分別在2003 年和2005年出臺了第三部和第四部檔案信息化部門規(guī)章。[5]但有關電子文件采集的元數(shù)據(jù)標準、電子文件鑒定保存的技術規(guī)范依然空白。數(shù)字檔案長期保存工作往往是在國家檔案機構系統(tǒng)內(nèi)部進行,企業(yè)、高校、研究機構、政府其他部門的參與有限,跨部門、跨領域的長期保存合作機制尚未建。

3.3 安全管理的滯后性。主要表現(xiàn)在很多檔案信息網(wǎng)絡管理人員、應用人員缺乏安全意識,有些檔案工作者沒有受過正規(guī)的網(wǎng)絡安全培訓,對信息網(wǎng)絡的安全重視不夠,使檔案信息安全管理缺乏針對性和執(zhí)行力。同時,缺乏既懂檔案工作又掌握智慧城市專業(yè)知識,又對信息安全領域熟悉的人才。從專業(yè)結構看,檔案從業(yè)人員主要來自文史學科為基礎的相關專業(yè),致使在技術層面上無法提供有力的安全支撐,在信息環(huán)境的發(fā)展中,標準化管理、計算機輔助管理、規(guī)章制度管理明顯滯后于檔案信息化發(fā)展的步伐。

4 改進措施

4.1 技術層面

4.1.1 加強對計算機檔案管理系統(tǒng)的管理,確保系統(tǒng)安全。智慧城市建設的關鍵是信息的整合和共享,就是通過計算機和網(wǎng)絡把所有數(shù)據(jù)都放在一個敞開的公共信息資源平臺上,大家按需應用。因此,只有平臺安全才能保證數(shù)據(jù)安全,一旦平臺被惡意破壞,數(shù)據(jù)就面臨流出的風險。所以,必須提高數(shù)據(jù)的安全保障,檔案信息作為政府的基本行政工具,檔案部門應從“源頭”抓起,保障數(shù)據(jù)安全。進一步完善安全防范措施,除采用身份識別、數(shù)據(jù)備份、訪問控制、防火墻技術外,還需采取專用核心密碼加密系統(tǒng)進行數(shù)據(jù)加密,多種安全防范措施并用。及時發(fā)現(xiàn)和消除隱患,確保計算機和檔案的安全,在有安全保障的前提下才能使有密級的信息在網(wǎng)上安全傳輸和共享。其次,提高檔案管理計算機網(wǎng)絡的安全性。檔案管理計算機網(wǎng)絡必須采取強有力安全措施,以克服網(wǎng)絡面臨的威脅。這些安全措施分為技術措施(如權限設置、個人身份鑒別、防火墻、建立數(shù)據(jù)備份系統(tǒng)等)和管理措施(如建立健全網(wǎng)絡管理體制、建立完善網(wǎng)絡管理規(guī)章制度、加強網(wǎng)絡運行進程中的監(jiān)控與管理等)。

4.1.2 采用“云計算”。云計算是一種網(wǎng)絡服務方式,用戶可以通過網(wǎng)絡租用或免費獲取所需服務,而這些服務經(jīng)過云計算技術的不斷發(fā)展將涵蓋全部可能的IT應用。[6]提供服務的網(wǎng)絡即被稱為“云”,“云”中的使用者可任意擴展并隨需獲取當中的資源,用戶可以通過這種特性,像用水和用電一樣按需購買和使用IT服務。

篇8

關鍵詞:計算機實驗;網(wǎng)絡教學;構建與管理

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)04-0117-02

二十一世紀是經(jīng)濟全球化、信息全球化的社會,因此,計算機技術在當今全球信息化發(fā)展中具有十分重要的作用,而且在世界科學技術發(fā)展中擔任著越來越重要的功能,并且社會生產(chǎn)活動都無法離開計算機技術而發(fā)展。科學技術的不斷發(fā)展,對人的技能水平要求也不斷提高,特別是計算機技能水平已經(jīng)作為職場普遍要求的一種能力。作為培養(yǎng)人才的地方,高校在計算機能力培養(yǎng)方面肩負著義不容辭的責任。高校應注重計算機實驗課程的改革與創(chuàng)新,使計算機實驗教學能適應社會飛速發(fā)展的需求,使學生所學的計算機技能夠適應社會職場的需求,培B出高素質(zhì)人才、同時持續(xù)提高高校自身的教學水平。計算機實驗室完善的安全管理制度極為重要,教師、學生、實驗室管理人員應有章可循,在安全管理制度下,實現(xiàn)實驗室安全。下面就學校計算機網(wǎng)絡實驗教學平臺的構建、實驗室安全管理進行深入探討。

1 計算機實驗室網(wǎng)絡構建

計算機實驗室網(wǎng)絡構建起來的平臺是以校園網(wǎng)絡為基礎的,運用這種校園網(wǎng)與局域網(wǎng)的網(wǎng)絡相結合的網(wǎng)絡結構,實現(xiàn)校園網(wǎng)與局域網(wǎng)的網(wǎng)絡化分層管理。為了不同專業(yè)計算機實驗,設有實驗室局域網(wǎng)絡系統(tǒng)以及獨立的分部實驗室。首先是能夠按照運用不一樣的網(wǎng)絡管理模式對各個實驗室的實驗具體情況進行適時管理;甚至對每位學生上機操作適時查看。使管理效率更高,管理更加簡化。當然帶來網(wǎng)絡維護任務更加艱巨、且網(wǎng)絡安全運行更加重要,對實驗室技術人員要求更高[1]。

1.1計算機實驗室的網(wǎng)絡信息化

計算機實驗教學是在理論課的基礎上培養(yǎng)學生對計算機的愛好與興趣,激發(fā)學生對計算機進行探索的熱情,有利于培養(yǎng)學生動手能力,促進學生的探索精神,為提高學生創(chuàng)新實踐能力提供了良好平臺。采取先進的網(wǎng)絡化等教課方法,在網(wǎng)上可以自主選擇課題,使學生能夠在學習書本知識外,更多接觸到計算機行業(yè)發(fā)展與現(xiàn)狀,從而畢業(yè)后適應信息化社會發(fā)展,更快地融入日新月異的社會。

全自動管理與監(jiān)控課程信息,記錄學生使用計算機的數(shù)據(jù)和實驗成績,詳細記錄、分析、統(tǒng)計、存檔,有效做到按制度、規(guī)章辦事,避免人為因素,實現(xiàn)智能化科學管理,建立科學的實驗中心網(wǎng)絡監(jiān)控系統(tǒng)。計算機實驗教學需要一個良好學習、操作環(huán)境,而網(wǎng)絡智能化的管理必將成為一種發(fā)展趨勢,建立局域網(wǎng),采用直連等方式,達到遠程監(jiān)控的目的[2]。

1.2計算機實驗室的網(wǎng)絡安全

在校園網(wǎng)與實驗室教學局域網(wǎng)兩套系統(tǒng)并行中,在教學時,學生只能夠使用實驗室局域網(wǎng)絡服務,這樣學生上課過程中注意力就不會被分散。在開放的時段,開放系統(tǒng)啟動,確保網(wǎng)絡教學能夠規(guī)范和靈活地開展。計算機中心局域網(wǎng)絡,需要擁有中心服務器。對資源實現(xiàn)共享,管理者可以對各級服務器進行運用。采取對數(shù)據(jù)庫進行備份的方式,保證網(wǎng)絡的安全性[3]。

要重視計算機實驗室局域網(wǎng)建設和維護工作。因此計算機實驗室要重視局域網(wǎng)的安全性和穩(wěn)定性,計算機使用者可以利用網(wǎng)絡教學和電子資源共享;計算機實驗室應該定期檢查IP地址是否存在沖突和錯誤等問題,再者,減少由于網(wǎng)絡共享帶來的黑客的網(wǎng)絡惡意攻擊等問題。保證實驗室網(wǎng)絡的安全運行。

2計算機實驗室的安全與管理

2.1組建不同專業(yè)實驗室項目管理模式

在高校進行不同專業(yè)計算機實驗課程的過程中,還要對每個學期的所實施的基本項目進行全面性管理,要對于每個學期完成不同實驗項目的結果進行全面性科學分析與總結。同時通過教學軟件可以實現(xiàn)系統(tǒng)性的檢測模式管理實驗課程進行的相關內(nèi)容。從而,為整個教學內(nèi)容的進展提供跟蹤性的服務,從根本上實現(xiàn)網(wǎng)絡化管理的最終安全目標[4]。

2.2制定出一套完善的安全管理模式與安全管理制度

要高度重視并認清高校計算機實驗室安全管理工作中存在的關鍵問題,要想盡辦法做好安全管理工作,減少并降低其安全管理中問題的發(fā)生,并且要制定出一套正確、科學的安全管理模式,形成安全適用的計算機實驗室安全管理體系與安全管理制度,大大提升計算機實驗室的利用率,為廣大師生提供更好的教學實踐服務。

計算機實驗室的完善的安全管理制度極為重要,安全管理制度的實施可以規(guī)范廣大師生使用計算機及安全管理人員的行為,按照安全管理制度要求、師生在上機的過程中以及安全管理人員在日常的工作中要按制度來進行操作,師生、工作人員有章可循,在安全管理制度下,實現(xiàn)實驗室安全[5]。

2.3 注重建立實驗室安全規(guī)范

通過制定實驗室安全規(guī)范,可以有效地提高防范災害與快速應對災害能力。例如,每個實驗室必須配備兩個以上的防火器,并且要定期更換;防鼠、防盜、自然耗損等意外災害產(chǎn)生時要保證有序、有效的應對;在規(guī)定周期內(nèi),實驗員要參加各級各類安全培訓,并且制定相應的事故處罰條例,以杜絕安全隱患[6]。

要根據(jù)實驗室各專業(yè)教學實際要求和實驗室建設目標,逐個學期不斷修訂完善實驗室管理制度,達到科學化、規(guī)范化、制度化和標準化的實驗室管理;同時落實好各層級實驗室管理責任;責任具體到人,各級人人把關,形成一張責任安全大網(wǎng),讓隱患無處可逃。檢查各項規(guī)章制度的執(zhí)行情況,各級管理部門應作為一項嚴肅的日常工作,執(zhí)行各項規(guī)章制度的過程中,責任人要有記錄、有檔案,在實驗室日常不間斷檢查評價過程中,才能有效保障各項規(guī)章制度嚴格、有序圓滿執(zhí)行[7]。

3結束語

計算機實驗教學是我國高校教學中的一個重要組成的部分,對于激發(fā)學生的求知欲望,提高學生的探索精神,適應當今高速發(fā)展的信息化社會對人才的需求,都有著十分巨大的意義與作用。在構建和管理實驗教學平臺的過程中,要能夠做到因地制宜,根據(jù)本校的實際情況,發(fā)揮特色,構建好、管好和用好計算機實驗室,更好地服務于高校教育。在高校的教育發(fā)展中,高校領導和廣大師生要一起努力,把計算機實驗室的安全管理工作做得更加完善,提高工作效率以及計算機實驗室的利用率。

參考文獻:

[1]景濤.計算機實驗教學平臺的構建與管理分析[J]. 云計,2005(6):106.

[2]張銘.教學與教育信息化計算機實驗教學的多方位改革方案[J]. 信息與電腦2016(4):220-221.

[3]趙愛玲,崔朝軍. 構建計算機實驗教學平臺的探索與實踐[J]. 中國高校科學技術,2012(5):39-40.

[4]張小林.高校計算機實驗室管理的探討[J]. 實驗室科學,2009(4):99-101.

[5]張志成.高校計算機實驗室的安全管理[J]. 黑龍江科學,2015(6):102-103

篇9

關鍵詞:檔案;管理;信息化;建設;攻關

1 高校檔案管理信息化的內(nèi)容及意義

高校檔案管理涉及多個相關學科,諸如計算機、網(wǎng)絡、管理以及信息等。高校檔案管理信息化建設的主要內(nèi)容包括基礎設施建設、應用系統(tǒng)開發(fā)、檔案信息資源整合、標準規(guī)范以及安保體系等四個方面的建設。

1.1 基礎設施建設和應用系統(tǒng)開發(fā)

檔案管理信息化建設的基礎設施涉及硬件和軟件兩個方面。其中,應用系統(tǒng)的開發(fā)作為軟件支持存在,其基本要求是軟件操作簡便,易于廣泛推廣,具備組卷、分卷、維護以及查詢等多種功能;管理界面友好;軟件可及時更新,修補漏洞;較高的兼容性。

硬件建設需要同時考慮以下三個問題。首先,數(shù)字化校園與數(shù)字檔案和數(shù)字檔案館的建設同步,其次,將存儲和備份電子文件的相關硬件設備作為內(nèi)部局域網(wǎng)建設的重點,第三,提高本地備份及存儲電子文件的硬件配置,建設異地備份設備及網(wǎng)絡。

1.2 檔案信息資源整合

高校檔案信息資源的整合需要注意以下幾個方面的問題。第一,高校各單位檔案部門收集并歸檔已有的電子文件,及時錄入信息數(shù)據(jù)庫,避免資源的流失;第二,對將要接收的電子文檔提前做好準備工作,包括組織、技術和人員上的準備,建立數(shù)據(jù)中心,統(tǒng)一接收和管理高校各單位信息資源,開通檢索服務;第三,建設檔案網(wǎng)站或者數(shù)字檔案館,成立數(shù)字化服務中心,為各單位提交信息提供高效服務。

1.3 標準和規(guī)范的制定

高校檔案管理工作的重要職能之一是制定和完善標準、規(guī)范,其依據(jù)為《檔案法》、《電子公文歸檔管理暫行辦法》 等相關政策法規(guī)。建立的規(guī)范和標準需要滿足實際需求,能夠科學的指導高校檔案管理信息化建設的全過程,確保信息化建設、管理和運作過程有章可循,保證規(guī)范化、標準化以及制度化的檔案管理信息化建設大方向不變。其主要職責為高校電子文件信息采集、管理、存儲格式標準、執(zhí)行細則等標準與制度的建立;制定電子文件歸檔、整理、公布、利用的格式要求和工作規(guī)范; 建立和完善電子文件保管、存儲及安全利用的制度等。

1.4 安保系統(tǒng)的建設

信息安全是檔案管理工作首先需要確保的重點之一。安保體系的建設主要包括計算機網(wǎng)絡等硬件安全系統(tǒng)的建設,同時還包括內(nèi)外網(wǎng)隔離、網(wǎng)絡防火墻、文檔加密、訪問控制、用戶訪問認證以及網(wǎng)絡密鑰的管理,雙管齊下,確保數(shù)字檔案系統(tǒng)信息傳遞的安全。

2 高校檔案管理信息化建設的現(xiàn)狀及問題

2.1 高校檔案管理信息化建設的現(xiàn)狀

2.1.1基礎設施薄弱,管理手段老化

目前國內(nèi)許多高校在信息化基礎設施建設上投入力度不夠,用普通計算機代替專業(yè)服務器,在管理方式和方法上也一直沿用傳統(tǒng)的管理手段,效率低下,缺漏較多。雖然在一定程度上利用了計算機存儲和網(wǎng)絡技術,但是并未形成一體化的系統(tǒng)。生成與接收電子文檔,是高校檔案管理系統(tǒng)的基礎功用,但是目前的現(xiàn)狀是高校檔案管理的軟件與配套程序建設速度慢,管理不科學,制約了信息化建設的步伐。

2.1.2檔案管理方式落后、檔案結構不合理

從目前的檔案管理方式來看,從業(yè)人員缺少科學化管理的培訓,多數(shù)從業(yè)者并非檔案專業(yè),專業(yè)知識匱乏,沒有系統(tǒng)、科學的檔案管理知識,對已有管理系統(tǒng)掌握不夠深入。

從檔案結構來看,目前多數(shù)高校關注的檔案類別多為紙質(zhì),而對視頻、音頻以及其他實物檔案的關注不夠。而且從檔案涉及的方面來說,多為教學、會議以及其他文字記錄的檔案,而對設備、基建檔案,以及高校日常工作中的檔案記錄較為缺乏。此外,檔案收集工作滯后,不夠全面,導致了檔案可復用性差,利用價值較低。

2.1.3高校檔案管理開發(fā)利用率較低

目前,高校檔案管理仍舊受到傳統(tǒng)檔案管理理念的影響,重保管輕利用,已經(jīng)收錄的檔案資料無法惠及教職工與學生,利用效率低下,檔案因此失去了應有的參考價值,導致高校檔案資源的極大浪費,長此以往將會形成惡性循環(huán),極大的影響檔案管理工作的可持續(xù)發(fā)展。此外,檔案利用的壟斷局面仍舊存在,高校檔案多數(shù)被行政人員利用,同時還有一部分科研人員,雖然目前各大高校已經(jīng)致力于擴大檔案利用人群,但是力度仍舊不夠,同時宣傳乏力,沒有對宣傳形成有效的縱深,因此收效甚微。如何打破傳統(tǒng)的檔案管理模式,改變落后的管理理念,推廣先進、科學的管理方法,是檔案從業(yè)人員需要認真考慮的問題。

2.2 高校檔案管理信息化建設進程出現(xiàn)的問題

2.2.1 投資規(guī)模大與資金來源少的矛盾

檔案信息化建設需要大量的資金作為后盾,其建設速度受到資金來源及穩(wěn)定性的制約。信息化建設中基礎設備的投資包括服務器、交換機、掃描儀、微縮設備等,這類設備需要大量的資金來購置。此外,內(nèi)部局域網(wǎng)的建設,光纖接入以及購買帶寬,購置、維護軟件以及進行安全防護等,都需要資金支持。電子產(chǎn)品高速的升級換代和較短的生命周期也導致了大量資金的投入。但是由于資金來源較少,籌措困難,兩者的矛盾日益激化,影響信息化建設的發(fā)展。

2.2.2 建設任務重,進程緩慢

高校檔案信息化建設的任務中,第一,需要對現(xiàn)存的檔案資源進行處理,利用掃描、微縮等手段,將之數(shù)字化;第二,對數(shù)字化的文檔按照檔案管理標準進行分類整理,并錄入數(shù)據(jù)庫,便于檢索和利用;第三,建設網(wǎng)絡應用平臺,給用戶提供遠程服務;第四,采用隔離技術,應用數(shù)據(jù)備份和加密對檔案進行保護,防止來自網(wǎng)絡的惡意訪問,避免由于工作人員誤操作而導致的刪除、修改等,確保檔案信息的安全以及可用;第五,不斷升級管理系統(tǒng)的同時,要對現(xiàn)存電子文檔進行升級轉(zhuǎn)換,確保其可用,避免電子檔案資源的損毀;第六,由于檔案管理信息化建設進程的繁重任務導致其不可能在短時間內(nèi)完成,因此對于檔案管理人員來說,除進行數(shù)據(jù)化處理與維護外,還要對現(xiàn)存的紙質(zhì)文檔進行妥善的保管和處理,工作量較大,任務繁重。在檔案管理信息化建設完全完成,并納入檔案工作運行管理體制之前,如果文檔復制、掃描等技術沒有較大發(fā)展,財政投入沒有較大突破的前提下,這個過程將持續(xù)數(shù)年時間。

2.2.3 隊伍建設要求高與人才缺乏的矛盾

檔案信息化管理人員需要具備新的思想觀念,扎實的專業(yè)知識和技能,較高的寫作水平以及綜合素質(zhì)。需要的人才類型是有熟練的計算機技能、網(wǎng)絡安全技能、獲取以及運用情報信息的能力、檔案專業(yè)知識豐富的復合型人才。檔案信息化人才引進的主要阻力首先是體制問題,難以引進有效的競爭手段,其次是冗余人員多,導致工資待遇普遍較低,難以吸引高層次人才。老面孔,老方法,效率低下,進展緩慢,是目前檔案部門工作的現(xiàn)狀。

2.2.4 應對環(huán)境變化能力差,服務方式轉(zhuǎn)變困難

由于長期以來的檔案管理模式與管理理念影響,當前高校檔案管理普遍表現(xiàn)出思想陳舊、不思進取的現(xiàn)狀,抵御外來風險能力較差,缺乏核心競爭力。這種檔案管理模式在信息化背景下已經(jīng)不再適用,信息化背景下的檔案管理以用戶的需求作為主要目標,需要從業(yè)人員真正更新、轉(zhuǎn)變服務理念,拓展檔案管理的服務業(yè)務,提高服務質(zhì)量。

3 加快檔案管理信息化建設的策略

3.1 加快統(tǒng)一標準建立,統(tǒng)一管理

建立統(tǒng)一標準,有利于不同高校系統(tǒng)之間資源的共享與整合,同時也有利于對整個集成系統(tǒng)進行安全保護。系統(tǒng)可以按照標準進行相應的操作,提高系統(tǒng)可操作性,同時避免由于標準不一致而導致的系統(tǒng)內(nèi)部漏洞等安全問題。該標準的制定由信息化部門進行安排、實施,保證接口以及底層設備和數(shù)據(jù)格式等的一致性,避免數(shù)據(jù)冗余和資金浪費現(xiàn)象。

3.2 應用現(xiàn)有系統(tǒng),整合信息資源

各高校應當以現(xiàn)有的應用系統(tǒng)作為基礎,對校內(nèi)各二級單位施行統(tǒng)一標準管理,以實現(xiàn)數(shù)據(jù)一次采集,長久利用的目的,節(jié)省人力物力和財力。第一,規(guī)劃建設校級信息數(shù)據(jù)中心,整合各單位分散的資源,統(tǒng)一數(shù)據(jù)采集格式;第二,提高硬件水平,統(tǒng)一底層數(shù)據(jù)庫以及相關接口,實現(xiàn)數(shù)據(jù)共享,加大應用系統(tǒng)投入。這樣可以有效避免硬件的重復建設等問題的發(fā)生。

3.3 加強安全保護體系的建設

信息安全問題包括兩個方面,從技術層面來講,各高校應當建立有效的用戶認證機制,訪問準入機制以及安全加密機制,應用各種硬件保護和軟件保護技術對系統(tǒng)實現(xiàn)安全保護;從管理角度來考慮,首先應當健全管理制度,提高管理人員實施、監(jiān)督等方面的警覺性,定期巡檢、實時監(jiān)控,明確各部門職責和相關負責人,定期進行安全培訓,提高工作人員解決問題的能力;另外還應當建立應急反應體系,在發(fā)生網(wǎng)絡安全事件時,能夠及時、有效的進行處理,從問題的發(fā)現(xiàn)、處理以及事后補救等多個方面進行全方位考慮。

3.4 變革組織機構,健全人才引進機制

變革現(xiàn)有的比較陳舊和落后的組織機構,對于加快檔案管理信息化建設具有重要作用。新的組織機構和人才引進機制應當具有以下幾個方面的優(yōu)勢。首先,能夠充分調(diào)動基層工作人員的工作熱情,使其能夠?qū)?chuàng)造性的想法實施,增加部門工作活力;其次,分工明確,責任到人,各部門各司其職,提高系統(tǒng)整體的工作效率;第三,有利于人才的引進以及留用,組織機構的變革能夠為部門發(fā)展帶來新的活力,能夠吸引高端人才的留用,有利于壯大人才隊伍。

4 結語

高校檔案管理信息化程度是高校教學質(zhì)量、學術水平以及管理水平的體現(xiàn),也是構建數(shù)字校園的關鍵所在,是信息化社會給高校檔案管理工作提出的必然要求。各高校應當積極建設統(tǒng)一標準,整合校內(nèi)資源,加快建設信息化的檔案管理系統(tǒng),變革陳舊的思想觀念與組織機構,提高競爭力,適應新環(huán)境下的變化,努力實現(xiàn)其標準化、制度化、科學化、現(xiàn)代化的高校檔案管理信息化建設目標。

參考文獻

[1]劉曉云.高校檔案管理體系信息化建設研究. 計算機光盤軟件與應用. 2013(15).

[2]馬靜.高校檔案管理信息化建設. 辦公室業(yè)務. 2013(17).

[3]初慶華.淺談高校檔案管理信息化模式研究. 華章. 2013(04).

篇10

關鍵詞:OWASP;Web應用漏洞;安全攻防;實訓平臺;SQL注入

一、引言

隨著計算機與互聯(lián)網(wǎng)的快速發(fā)展,Web應用已經(jīng)深入各個領域當中。但是由于 Web 開發(fā)人員能力的良莠不齊,致使大量的站點存在著 Web應用安全漏洞,這就給攻擊者打開方便之門。世界上權威的Web安全與數(shù)據(jù)庫安全研究組織OWASP(Open Web Application Security Project)提供的OWASP TOP10 WEB安全報告,總結了Web應用程序最可能、最常見、最危險的十大安全威脅,包括SQL注入漏洞;跨站腳本(XSS);直接引用安全漏洞;跨站請求偽造(CSRF);配置安全缺陷;加密存儲威脅;未檢驗重定向等。Trust Wave公司在其2012 Global Security Report的十大Web應用安全威脅包括SQL注入漏洞;邏輯缺陷;跨站腳本;授權旁路;會話處理缺陷;旁路認證;跨站請求偽造;源代碼泄露;詳細的錯誤信息;脆弱的第三方軟件等。

Web應用安全受到越來越多的攻擊者的關注,一方面是由于傳統(tǒng)的C/S架構方式逐漸在往“瘦客戶端”的B/S架構上遷移,而且其應用與數(shù)據(jù)庫系統(tǒng)的結合也更加緊密,使得存在安全漏洞的環(huán)節(jié)增多;另一方面是由于防火墻和IDS/IPS可以關閉不必要暴露的端口,但是對于Web應用常用的80端口都是對外開放的,這樣使得攻擊者可以方便地借助于這個通道進行攻擊或者執(zhí)行惡意的操作。

二、系統(tǒng)框架設計

基于B/S架構的Web應用安全攻防實訓平臺允許用戶使用瀏覽器與站點進行交互操作,并且可以通過應用來訪問后臺數(shù)據(jù)庫系統(tǒng),其架構主要包括以下方向。

1.Web應用系統(tǒng)。采用標準HTML代碼進行編寫用于顯示數(shù)據(jù)和接收用戶輸入的數(shù)據(jù),在Net Framework框架基礎上采用C#進行編寫代碼接受用戶端傳遞過來的參數(shù),負責處理業(yè)務邏輯和數(shù)據(jù)庫訪問等功能。

2.Web應用服務器。用來支持Web應用和用戶瀏覽器之間的正常通信,負責處理HTTP請求/響應消息等操作,采用Windows自帶的IIS程序,根據(jù)實際需要可以擴展到Apache、Lighttpd等Web應用服務器。

3.操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。操作系統(tǒng)默認采用Windows Sever系列,后臺數(shù)據(jù)庫默認采用SQL Server作為后臺數(shù)據(jù)庫系統(tǒng),根據(jù)實際需要可以進行相應擴展My SQL、Access、Oracle等等。

攻防實訓平臺的硬件部分包括Web應用服務器、數(shù)據(jù)庫服務器、防火墻、教師端和學生端等,其系統(tǒng)拓撲圖如圖1所示。學生端分為校內(nèi)學生端和校外學生端兩組,其中校外學生端通過防火墻進行訪問、分析和處理。

圖1 系統(tǒng)拓撲圖

三、安全漏洞設計和利用

在OWASP和TrustWave的報告中,SQL注入漏洞都被列為最危險的攻擊形式之一,因此,提取SQL注入漏洞作為分析和測試用例。

1.SQL注入漏洞分析。其原理是通過把SQL命令插入到Web表單遞交、或輸入域名或頁面請求的查詢字符串中,最終達到欺騙服務器執(zhí)行惡意的SQL命令,通過構造巧妙的遞交參數(shù)構造巧妙的SQL語句,從而成功獲取想要的數(shù)據(jù)。其嚴重后果會使得攻擊者得到在數(shù)據(jù)庫服務器上執(zhí)行命令的權限,并且甚至可以獲得管理員的權限進行更為危險的操作。

2.SQL注入漏洞構造。為了利用SQL注入漏洞,攻擊者必須找到一個參數(shù)傳遞數(shù)據(jù),然后這個參數(shù)傳送到操作數(shù)據(jù)庫的SQL語句中,Web應用程序使用該語句操作數(shù)據(jù)庫,可能導致信息泄漏、數(shù)據(jù)丟失、記錄篡改等危害。

在Web應用安全攻防平臺的顯示頁面(view.aspx)的部分代碼編寫如下。

SqlCommand Cmd=new SqlCommand("select*from NewView where id =" +Request.QueryString["id"], Conn);

SqlDataReader Dr = Cmd.ExecuteReader();

其傳遞過來的參數(shù)id,沒有做任何的限制和處理就傳遞給操作數(shù)據(jù)庫的SQL語句,那么該語句就產(chǎn)生了SQL注入漏洞。

3.模擬攻擊過程。在構造完SQL注入漏洞以后,使用經(jīng)典的參數(shù)后面附帶單引號(’)、and 1=1、and 1=2和分號(;)測試數(shù)據(jù),分析其返回結果。對于SQL Server的數(shù)據(jù)庫可以采用錯誤的安全配置和猜解管理員數(shù)據(jù)表及其內(nèi)容的方式進行模擬攻擊。

(1)SA用戶權限利用。如果Web應用采用了SA用戶進行數(shù)據(jù)連接,那么可以構造特殊的SQL Server命令來提交到查詢字符串中,利用SQL Server自帶的xp_cmdshell操作系統(tǒng)外殼命令來執(zhí)行相應的系統(tǒng)命令,提交的頁面字符串(Web應用地址:192.168.2.5)為:

http://192.168.2.5/view.aspx?id=28;exec master.dbo.xp_cmdshell "net user test test /add"

對于SQL Server阻止了對xp_cmdshell的訪問情況,可以使用sp_configure來恢復和啟用xp_cmdshell,提交的頁面字符串為:

http://192.168.2.5/view.aspx?id=28;EXEC sp_configure 'show advanced options',1 RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE

再次執(zhí)行xp_cmdshell操作系統(tǒng)外殼命令,如果執(zhí)行成功即可添加一個系統(tǒng)用戶。

(2)數(shù)據(jù)表的猜解。對于非SQL Server數(shù)據(jù)庫的情況,比如,Access和MySQL數(shù)據(jù)庫類型或者Web應用沒有使用SA用戶進行數(shù)據(jù)庫連接,那么可以通過SQL注入來完成數(shù)據(jù)表的猜解,其過程可以分為:猜解表名和記錄數(shù);猜解字段名稱;猜解字段長度;猜解字段字符等步驟。

猜解表名提交的頁面字符串為:

http://192.168.2.5/View.aspx?id=28 and exists(select * from admin)

猜解記錄數(shù)提交的頁面字符串為:

http://192.168.2.5/View.aspx?id=28 and 5

其余提交的頁面字符串都可以通過手工構造SQL命令或者使用SQL注入工具來自動完成。

4.獲得服務器管理權限。在獲得Web應用管理權限之后,可以進入其管理后臺利用其Web編輯器的上傳功能將準備好的Web Shell上傳到Web服務器上。根據(jù)其Web應用服務器類型的不同,可以上傳ASP(.NET)、PHP和JSP等類型的Web Shell,以獲得服務器的管理控制權。

綜上所述,其攻擊過程如圖2所示。

圖2漏洞攻擊過程

四、SQL注入攻擊防范設計

SQL注入攻擊防范首先需要對Web應用和數(shù)據(jù)庫系統(tǒng)進行安全合理的配置,包括以下幾點。

1.不使用管理員(SA)權限的數(shù)據(jù)庫連接,為每個應用分配權限有限的數(shù)據(jù)庫連接。

2.使用參數(shù)化的SQL或者直接使用存儲過程進行數(shù)據(jù)查詢存取。

3.應用的異常信息應該給出盡可能少的提示,最好使用自定義的錯誤頁面提示。

對于用戶提交的客戶端信息,使用SQL注入檢測模塊進行必要的檢測,其步驟主要包括。

1.對客戶端提交的信息進行URL解碼,防止用戶以URL編碼的方式構造SQL命令用來欺騙SQL注入檢測模塊。

2.使用正則表達式來驗證提交信息中是否包含單引號(’)、分號(;)、結束符(--)等特殊字符,如果存在則轉(zhuǎn)至異常處理模塊。

3.檢測提交信息中是否包含select、insert、update、from、user、exec等特殊命令,如果存在則轉(zhuǎn)至異常處理模塊。

4.檢測提交參數(shù)信息的長度是否超過預設的閾值,如果超過則轉(zhuǎn)至異常處理模塊。

SQL注入檢測步驟流程如圖3所示。

圖3 SQL注入檢測防御模塊設計

五、結束語

緊密結合OWASP和Trust Wave提供的相關安全報告,采用積極主動的辦法來訓練用戶對于SQL注入漏洞的處理,分析漏洞原因、構造和設計漏洞、模擬攻擊平臺,并對結果進行分析,確定問題所在,給出改進建議和防護措施。在平臺上,一方面可以實現(xiàn)Web應用攻防技術、過程、方法的演示再現(xiàn)甚至對抗性的攻防演練;另一方面,將教學和實驗操作中產(chǎn)生的Web應用攻擊行為限制在一定的范圍內(nèi),防止對互聯(lián)網(wǎng)的實際網(wǎng)絡和服務造成干擾和破壞。

Web應用程序的安全攻防是信息(網(wǎng)絡)系統(tǒng)安全中具有挑戰(zhàn)性的部分,對于滿足信息安全人才的培養(yǎng),實現(xiàn)網(wǎng)絡安全專業(yè)方向?qū)嶒灲虒W,滿足教育、政府信息化和企業(yè)Web應用安全培訓需求是一項十分有意義的工作。

參考文獻:

1.OWASP.The Ten Most Critical Web ApplicationSecurityRisks[R],http:///images/0/0f/OWASPT10 2010 rc1.pdf.2012-10

2.TrustWave.2012 Global Security Report[R],http://.cn/OWASP Training/Trustwave WP Global Security Report 2012.pdf.2012-10

3.范淵,《Web應用風險掃描的研究與應用》[J],《電信網(wǎng)技術》,2012.3:13-17

4.章建國,《利用WEB應用漏洞構筑WEB安全檢測系統(tǒng)》[J],《廣東公安科技》,2006.2:36-39

5.尹中旭、朱俊虎、魏強等,《網(wǎng)絡攻防演練平臺的設計與實現(xiàn)》[J],《計算機教育》,2011.2:108-112

6.徐川、唐建、唐紅,《網(wǎng)絡攻防對抗虛擬實驗系統(tǒng)的設計與實現(xiàn)》[J],《計算機工程設計》,2011.32(4):1268-1271

7.王云、郭外萍、陳承歡,《Web 項目中的 SQL 注入問題研究與防范方法》[J],《計算機工程與設計》,2010.31(5):976-978

8.李揚、朱曉民、李煒,《網(wǎng)站安全漏洞解析》[J],《四川兵工學報》,2012.33(1):97-99

9.余靜、高豐、徐良華,《基于 SQL 注入的滲透性測試技術研究》[J],《計算機工程與設計》2007.28(15):3577-3578

10.朱輝、周亞建、鈕心忻,《數(shù)據(jù)庫SQL注入攻擊與防御研究》[A],《2011年通信與信息技術新進展——第八屆中國通信學會學術年會論文集》,2011,580-583

11.熊婧、曹忠升、朱虹等,《基于構造路徑的存儲過程SQL注入檢測》[J],《計算機研究與發(fā)展》,2008.45:125-129

12.王偉平、李昌、段桂華,《基于正則表示的SQL注入過濾模塊設計》[J],《計算機工程》,2011.37(5):158-160

基金項目:河北省高等學??茖W研究計劃項目(課題編號:Z2012087),石家莊市哲學社會科學規(guī)劃研究項目(課題編號:WH1217)