時間:2023-03-21 17:16:01
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇安全審計論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(ISO)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于B0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
關鍵詞:校園交通安全;深圳大學;交通管理
中圖分類號:TU981 文獻標識碼 A 文章編號 1812-2485(2013)09-018-03
1深圳大學交通發展歷程
深圳大學是響應中國改革開放而建立的一所現代化高校,深圳市政府的大力支持與所處的地理位置優越決定了深圳大學的財力雄厚。由此可知,深圳大學的教師待遇比一般高校的好,工資較高,于是機動車便成了大多數老師的代步工具,而且出于保護本地生源的政策,在校學生多為本地生,經濟條件較好,因而大多數人擁有電動車。車輛一多,安全隱患就逐漸凸顯出來,學校為了滿足學生需求和保護學生安全,出臺了相關政策。以下是深圳大學最近這些年采取的措施:
1.1 2007年交通管理
1.1.1 機動車輛的管理。
(1)所有進入校門的機動車輛須減速慢行,本校車輛和教職工私家車憑《深圳大學機動車通行證》進出;進入校園的校外車輛領取(交回)“深圳大學臨時停車卡”方能進(出)。學生生活區嚴禁機動車進入。
(2)嚴禁無牌無證車輛、出租車、拖拉機與社會旅游車輛進入校園。
(3)嚴禁在校園內無證駕駛機動車車輛,練車和試剎車。駕駛證照必須年檢有效,并與所駕駛的機動車型相符。嚴禁酒后駕駛,嚴禁逆向行駛,嚴禁超載或病車上道。
(4)摩托車、超標電動助力車禁止在校園內行駛(治安巡邏車除外)。達標電動助力車必須按指定位置停放。
(5)車輛進入校園后,禁止鳴號,行駛時速不得超過20公里/小時;嚴禁超車,在遇學生上下課人流高峰時,機動車應主動避讓,嚴禁與學生爭道。上課時間,所有機動車輛嚴禁在教學區內行駛。
(6)本校車輛按指定位置停放,校外車輛在特殊情況下經保衛處批準,并交納停車費可在校內停放。所有車輛嚴禁在禁行區域、道路和距離校門、路口、消防水栓15米內亂停亂放。
1.1.2 非機動車輛的管理
(1)非機動車進出校門時,須在黃線區域內下車推行。
(2)校園內禁止騎車帶人,不準雙手脫把或手中持物;不準扶身并騎,互相追逐或曲折競駛。
(3)所有非機動車應停放在自行車棚或劃定的停車線區域內有序停放,嚴禁亂停亂放。
1.2 2008年交通管理
(1)清理、收繳機動摩托車、超標電動(仿)摩托車。
(2)調整校園內部分行車路線和車輛停放秩序,具體如下:
一是校大門(大西門)實行限時限行管制,在管制期間暫停機動車輛進出,所有機動車輛從校北門、南門進出;教工班車在正門外停靠,乘員步行進入校園,車輛由校外返回車隊。
二是西南學生宿舍區(除學生餐廳生活保障車外)禁止車輛進入。
三是車輛從正門(西大門)右轉經留學生樓與研究生樓路口轉入文山湖餐廳前,經杜鵑山到海望樓路段單向行駛,禁止停放車輛;海濱小區西崗亭至東崗亭路段為單向行車道,右側可有序停放車輛。
四是光電所至辦公樓路段實行單線行駛,靠文山湖一側劃有停車位,車輛可有序停放在此路段。
五是教學樓、學生活動中心、“齋”字學生宿舍區、教工區、西南學生區禁止機動車輛(餐廳生活車除外)進入。
六是車輛從正門(西大門)左轉經后勤樓、科技樓、藝術村、校醫院到南大門為雙向行車道,禁止停放車輛。
1.3 2009年的交通管理
1.3.1 校大門(大西門)實行限時限行管制,在管制期間暫停機動車輛進出,所有機動車輛從校北門、南門進出;教工班車在正門外停靠,乘員步行進入校園,車輛由校外返回車隊。
1.3.2 非本校師生員工車輛(憑《深圳大學校園車輛出入證》)進入我校停車超過半小時的車輛,實行分段收費制度。
1.3.3 電動車自行拆除報警器。
1.4 2010年的交通管理
1.4.1 禁止超標電動(仿)摩托車在校園行駛。凡外觀仿摩托車,整車重量在40公斤以上,時速在20公里以上的超標電動車為超標。
1.4.2 校大門(大西門)實行限時限行管制,在管制期間暫停機動車輛進出,所有機動車輛從校北門、南門進出;教工班車在正門外停靠,乘員步行進入校園,車輛由校外返回車隊。
1.4.3 施的方案。
(1)從各大門進入的車輛均按指定路線單向行駛并停放在指定位置
(2)車輛定向出入須避開高峰時段,車輛停放后,若需在校內更換停車區間請走校外公路。
(3)禁止的機械動力摩托車、電動仿真摩托車、時速20公里以上或重量40公斤以上電動車在校園行駛的規定。合格電動車自覺限速10公里以下并且自覺拆除電動車報警器。
(4)規范西南區、桂廟學生公寓電動車行駛路線。上下課高峰時段電動車行駛路線為潮汐樓海濱小區溜冰場教學樓、潮汐樓海濱小區海邊游泳池校醫院聚翰齋藝術村科技樓文科樓。下課后原路返回。
(5)啟用IC卡智能車輛管理系統,對未持有本校固定出入卡的車輛進出校園將按市物價局核定的標準計時收費。
1.5 年交通管理
1.5.1 標電動車行駛。自行車、合規電單車不得載人,合規電單車、汽車在校園不得超速行駛(電單車限速15公里/小時、汽車限速20公里/小時)。
1.5.2 電動車定點出入:凡基本符合電單標準的電單車,前往文科樓按以下路線行走:學生區南門田徑場元平體育館建工學院文科樓的路線往返。
1.5.3 單車應當停放在指定地點,不得停放在道路出入口、消防通道上。
1.5.4 速行駛、飆車,
1.5.5 校園車輛出入卡進出南校區,不贊成學生開車上學。
2 2012年交通現狀
從2007年開始,深圳大學的交通在不斷完善。學校分析各種可能危害到學生們安全的隱患,學習有關交通管理方法并借鑒中外校園的車輛管理方法,制定了“定向出入、定點停車、限速行駛、憑卡出入”等方案,這些方案的成果是顯著的。校園的交通得到相當大的改善,在實現了保護學生利益的同時,也保全了同學們的安全。
然而交通管理的完善是從來沒有止境的。深圳大學2012年的交通管理在沿用2011年的交通管理的同時,仍在不停地尋找更好的方案。因為校園的交通問題在交通管理改進的同時也在發生著變化。以下是目前常見的交通安全問題:
2.1 部分開電動車的學生交通知識薄弱
安全開車和文明駕駛的前提是熟悉交通規則,然而大部分學生為了上課方便而購買電動車,對交通知識了解并不多。若僅是一兩個學生不懂交通規則也不會構成太大威脅,倘若是大部分學生不懂交通規則,那么情況將是混亂的。而且電動車異于自行車,它的速度難以控制,在密度如此大的電動車族里,總免不了擦傷甚至碰撞。據統計,從2012年1月到5月發生了48宗影響較大的有記錄的交通事故。
2.2 部分學生交通安全知識薄弱
在僥幸心理的促使下,開快車、曲折競駛等,一旦發生了意外,部分學生選擇馬上逃離或者推卸責任,最為重要的是部分學生傲慢、不知悔改。
2.3 停車不規范
亂停亂放現象嚴重,堵塞通道出口。譬如教學樓后門,因為后門被堵,從后門出來的學生改走草地,導致后門地帶草地損壞嚴重。類似的堵塞不僅發生在教學樓,圖書館等地方也時常發生。有統計的違規停放的車輛一個月平均有18輛。
2.4 開小車的走讀生和教職工在交通岔口不自覺遵守交通規則
譬如在石頭塢,自石頭塢改為停車場以后,出口處總會時不時發生車輛擦傷現象。在石頭塢停車的車輛不主動減速避讓與陡坡開上來的非機動車、上下課時間段涌下來的人群發生碰撞。雖然曾發生的事故不大,不被引起重視,但依舊能成為危害學生安全的因素。
2.5 學校的車輛以幾何倍數關系上漲,而且車輛集中在一個時間段(上下課)進出,在一定程度上增加了道路的交通壓力。
2.6 南門車行道與人行道設制不合理。人行道過于寬闊,而車行道只能容納一輛機動車經過,使得大部分電動車走人行道,導致電動車與公共設施(圍欄等)發生碰撞。
3 安全隱患背后的原因
3.1 在校園的交通安全事故主角多為電動車,雖然深圳大學的禁摩風波從2007年就刮起,但電動車的數量在這些年來浮浮沉沉,在禁行電動摩托和超標電動車期間,數量大有減少,一旦放緩,數量又多起來了。深圳市今年規定超標電動車在全市主干道禁示行使。目前學生騎行電動車的區域局僅限于學校內,但學生依然冒著禁摩風險購買電動車。學生堅持騎電動車的具體原因如下:
(1)從地勢上分析,深圳大學就是一個小山坡,學生生活區在下坡(齋區除外),教室在上坡。一般學生都是提前半個小時出門,遇上夏季日,去到教室也汗流浹背,(據了解,騎自行車去上課的也不比走路的人流的汗少)若某學生整整一天都有課,那他就頂著臭汗奔波于教室之間。倘若學生在冬季日的中午回宿舍午睡,除去吃飯,來回的時間,僅有半個小時多的睡眠時間。
(2)從電動車本身分析,電動車以電為能源,一般學生能負擔;體積較汽車小得多,可直達目的地,方便學生上下課;馬力足,上坡不費力。自然電動車成了學生在校園的主要交通工具。
(3)增長率最大的群體是大一新生,一般而言,交通知識較為薄弱。新電動車一族得不到很好的交通知識教育,在路標不足的校園,新電動車一族亂放亂走現象嚴重。
(4)學校地小車多,停車位缺乏,對于與日俱增的車輛,導致亂放現象嚴重。常有堵塞消防通道、安全出口的現象發生。
(5)學校內路段寬度有限,難以實現雙向行駛。一旦車輛逆行,容易發生交通事故。
(6)學校南門通道配置不合理。自人行天橋建成以來,經過南門的人流轉向天橋,減輕了南門進出的交通壓力。但隨著機動車的增加,只能通過一輛機動車的車行道無法滿足廣大師生需求,致使較為輕便的電動車走上人行道,時常損壞公共設施。
(7)部分駕駛員不遵守交通規則,逆行、載人、超速行駛、單手駕駛。而單手駕駛最常發生在下雨天路滑的情況下,危險更甚。
(8)校外路段的封鎖堵塞,使得部分外來車輛進入校園走捷徑,增加校園交通壓力。
4針對性的解決措施
深圳大學是個人性化的大學,各個部門都能做到傾聽學生意見,學生也能為營造更美好的大學而出一份力。縱觀歷史,深圳大學部分有效的交通措施來自于學生與保衛部的交流。在這個過程中保衛部認真調研,協調,想方設法,力圖找到更好的治理方向,一心一意為保障學生安全而努力。
深圳大學的交通管理都是在理論知識的支持下,尋找符合實際的管理方案,最值得一提的理論是交通流量均分原則、單向交通原理等,通過實施這種方案案,大大的緩解了深圳大學的交通壓力。為了更好的保障學生的安全,學校擬將建設一條從南校區通往北門的車行天橋,這將是一個緩解目前交通問題的極好措施。但就目前而言,仍有很多地方值得進一步改進。本文從現有交通規則的基礎下,提出以下方案:
4.1 南門人行道與車行道的分配
合理增加車行道的寬度,使得南門車行道在只能容納一輛機動車的前提下,增加電動車和非機動車輛的行駛通道。
4.2 增強新生的交通安全知識
每一個剛來到深圳大學的學子,必定對學校充滿著期待與迷惘,我們能通過舉行交通知識講座讓新生更好地了解到,深圳大學是一個關心同學,管理到位的大學。同時在校園增加指示牌、限速等交通標志,不僅讓來深圳大學辦事的市民找到方向,更讓新一代電車族能更加規范行駛。
4.3 規范車輛的停放地點,有序整齊排放,禁止在主要交通路段停放。清理交通路段和安全疏散通道的車輛。方便上下課的同學。譬如在教學樓前的下坡路限制停放車輛,車輛統一放在教學樓前的空地,但要維持一條通道通行。在教學樓前后門、圖書館門前留出一條通道。所有車輛要統一排放。
4.4 限定學生購買電動車的標準,禁止學生購買超標電動車。一定程度上限制上漲的電動車。
(1)處理廢舊車輛,騰出更多的空間停放。
(2)加大交通管理力度,讓每個措施確切落實。
注:以上涉及電動車的管理方案均以深圳市政府不禁止電動車行駛為前提。
摘要:從系統的、整體的、動態的角度,參照國家對主機審計產品的技術要求和對部分主機審計軟件的了解,結合實際的終端信息安全管理需求,從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,達到對終端用戶的有效管理和控制。
關鍵詞:網絡;安全審計;主機審計;系統設計
1引言
隨著網絡與信息系統的廣泛使用,網絡與信息系統安全問題逐漸成為人們關注的焦點。
網與因特網之間一般采取了物理隔離的安全措施,在一定程度上保證了內部網絡的安全性。然而,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂,因為整個網絡安全的薄弱環節往往出現在終端用戶。網絡安全存在著“木桶”效應,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[1]。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解,結合實際的信息安全管理需求,討論主機審計系統的設計,達到對終端用戶的有效管理和控制。
2安全審計概念。
計算機網絡信息系統中信息的機密性、完整性、可控性、可用性和不可否認性,簡稱“五性”,安全審計是這“五性”的重要保障之一[2]。
凡是對于網絡信息系統的薄弱環節進行測試、評估和分析,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3]。
傳統的安全審計多為“日志記錄”,注重事后的審計,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變,美國首先在信息保障技術框架(IATF)中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2DepthStrategy)”,對安全審計系統提出了參與主動保護和主動響應的要求[4]。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念,是全方位、分布式、多層次的強審計概念,符合信息保障技術框架提出的保護、檢測、反應和恢復(PDRR)動態過程的要求,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應。
3主機審計系統設計。
安全審計從技術上分為網絡審計、數據庫審計、主機審計、應用審計和綜合審計。主機審計就是獲取、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息,依據審計規則分析判斷是否有違規行為。
一般網絡系統的主機審計多采用傳統的審計,系統的主機審計應采用現代綜合審計,做到對信息的主動保護和主動響應。因此,網絡的主機審計在設計時就應該全方位進行考慮。
3.1體系架構。
主機審計系統由控制中心、受控端、管理端等三部分組成。管理端和控制中心間為B/S架構,管理端通過瀏覽器訪問控制中心。對于管理端,其操作系統應不限于Windows,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施,同時管理端和控制中心的通訊應有安全保障,可考慮隔離措施和SHTTP協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員、審計管理員、系統管理員。
安全策略管理員按照制定的監控審計策略進行實施;審計管理員負責定期審計收集的信息,根據策略判斷用戶行為(包括三個管理員的行為)是否違規,出審計報告;系統管理員負責分配安全策略管理員和審計管理員的權限。三員的任何操作系統有相應記錄,對系統的操作互相配合,同時互相監督,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此,控制中心的操作系統和數據庫最好是國內自己研發的。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息,保證審計系統能夠采集新的信息。
3.2安全策略管理。
不同的安全策略得到的審計信息不同。安全策略與管理策略緊密掛鉤,體現安全管理意志。在審計系統上實施安全策略前,應根據安全管理思想,結合審計系統能夠實現的技術途徑,制定詳細的安全策略,由安全員按照安全策略具體實施。如安全策略可以分部門、分小組制定并執行。安全策略越完善,審計越徹底,越能反映主機的安全狀態。
主機審計的安全策略由控制中心統一管理,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。當安全策略發生更改時,控制中心可以及時將策略發給受控端。但是,當受控端安裝了防火墻時,推送方式將受阻,安全策略發送不到受控端。由受控端向控制中心定期拉策略,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷。聯網主機(服務器、聯網PC機)通過網絡接收控制中心的管理策略向控制中心傳遞審計信息。單機(桌面PC或筆記本)通過外置磁介質(如U盤、移動硬盤)接收控制中心管理策略。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心。所有通訊采用SSL加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機,并與受控主機的網卡地址、IP地址綁定。該程序做到不可隨意卸載,不能隨意關閉審計服務,且不影響受控端的運行性能。受控端一旦安裝受控程序,只有重裝操作系統或由安全員卸載,才能脫離控制中心的管理。聯網時自動將信息傳到控制中心,以保證審計服務不會被繞過。
3.3審計主機范圍。
信息系統中的主機有聯網主機、單機等。常用操作系統包括Windows98,Windows2000,WindowsXP,Linux,Unix等。主機審計系統的受控端支持裝有不同操作系統的聯網主機、單機等,實現使用同一軟件解決聯網機、單機、筆記本的審計問題。
根據國家有關規定,信息系統劃分為不同安全域。安全域可通過劃分虛擬網實現,也可通過設置安全隔離設備(如防火墻)實現。主機審計系統應考慮不同安全域中主機的管理和控制,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心,以便統一進行審計。同時能給出簡單網絡拓撲,為管理人員提供方便。
3.4主機行為監控。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況,包括補丁安裝、弱口令、軟件安裝、殺毒軟件安裝等,形成檢查報告,讓使用人員對本機的安全狀況有一個清楚的認識,從而有針對性地采取措施。自檢功能可由使用人員自行開啟或關閉。檢查報告上傳給控制中心。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄,包括對文檔的修改、拷貝、打印的監控和記錄,撥號上網行為的監控和記錄,各種外置接口的禁止或啟用(并口、串口、USB接口等),對USB設備進行分類管理,如USB存儲設備(U盤,活動硬盤)、USB輸入設備(USB鍵盤、鼠標)、USB2KEY以及自定義設備。通過分類和靈活設置,增強實用性,對受控主機添加和刪除設備進行監控和記錄,對未安裝受控端的主機接入網絡拒絕并報警,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警。做到經過認證的合法介質可以從主機拷貝信息;未通過認證的非法介質只能將信息拷入主機內,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備)泄漏出去。在認證時,把介質分類標識為非密、秘密、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,信息必須有密級標識),拒絕低密級介質拷貝高密級信息。
在認證時,把移動介質編號,編號與使用人員對應。移動介質接入主機操作時記錄下移動介質編號,以便審計時介質與人對應。信息被拷貝時會自動加密存儲在移動介質上,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫,讀寫時自動解密。認證信息只有在移動介質被格式化時才能清除,否則無法刪除。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機)被系統自動將所有文檔讀到計算機上。
3.5綜合審計及處理措施。
要達到綜合審計,主機審計系統需要通過標準接口對多種類型、多個品牌的安全產品進行管理,如主機IDS、主機防火墻、防病毒軟件等,將這些安全產品的日志、安全事件集中收集管理,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢,確保任何安全事件、事故得到及時的響應和處理。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測、動態策略調整、綜合安全審計、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平,為整體安全策略制定和實施提供可靠依據。
系統的安全隱患可以從審計報告反映出來,因此審計系統的審計報告是很重要的。審計報告應將收集到的所有信息綜合審計,按要求顯示并打印出來,能用圖形說明問題,能按標準格式(WORD、HTML、文本文件等)輸出。但是,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題,還應配合審計員的人工分析。這些信息可以由審計員定期從控制中心數據庫備份恢復。備份的數據自動加密,恢復時自動解密。審計信息也可以刪除,但是刪除操作只能由審計員發起,經安全員確認后才執行,以保證審計信息的安全性、完整性。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序、去除特洛伊等后門程序、修改配置和權限、專門的解決方案等。為了保證所有主機都能得到有效地處理,通過控制中心統一向受控端發送軟件升級包、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行。因為有些軟件升級包、軟件補丁與應用程序有沖突,會影響終端用戶的工作。針對這種情況,只能采取專門的解決方案。
在復雜的網絡環境中,一個網往往由不同的操作系統、服務器,防火墻和入侵檢測等眾多的安全產品組成。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析。不同系統的時間沒有經過任何校準,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間,受控端在接收管理的同時,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4結束語
系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題,涉及到多方面的因素。本文從體系架構、安全策略管理、審計主機范圍、主機行為監控、綜合審計及處理措施等方面提出主機審計系統的設計思想,旨在與廣大同行交流,共同推進主機審計系統的開發和研究,最終開發出一個全方位的符合系統終端安全管理需求的系統。
參考文獻:
[1]網絡安全監控平臺技術白皮書。北京理工大學信息安全與對抗技術研究中心,2005.
低等級(五等船員)等證船員定期審驗,是保障船舶安全航行的措施之一,也是海事機關船員管理的一項工作內容,具有相當的權威性和強制性。通過實踐證明,搞好船員審驗的安全教育,有助于提高船員的法制觀念、安全意識和遵紀守法的自覺性,提高船員的政治思想素質,操作技能素質。通過學習行之有效的航行經驗,探討解決航行中遇到的疑難問題,吸取事故教訓,把審驗教育的過程成為廣大船員再學習再提高的過程。達到控制和減少人為因素所造成的水上交通事故,為水運企業和船戶提高經濟效益和安全管理水平服務。筆者就做好持證船員審驗安全教育,談一點個人探索。其難點主要有以下幾個方面:一、現狀及工作難點
近幾年來,隨著市場經濟的發展,個體船舶的逐年增多,大批農民從田頭走上船頭,進入了低等級船員隊伍。這一方面滿足了水運勞動力市場對低等級船員的需要求,推動和促進了水運經濟的發展。但另一方面,也使低等級船員隊伍結構發生了變化。每年都有大量的持證船員需要證書審驗。由于船員審驗工作面廣量大,船員流動性強,安全教育又必不可少,還給海事機關開展審驗工作帶來了一定的困難。
1、近期、隨著我市和周邊地區各項建設工程相繼開工,工程建設物資運輸用船不斷增加,特別是大量的土方運輸船舶擁入主要干線航道航行,這此土方運輸船舶均存在著無證、超載和無夜航設備航行等違章情況,引發各類水上交通事故。
2、由于目前水運市場不景氣,水運企業普遍存在經濟效益滑坡,船員外流的現象,在崗人員尚且不足,如將持證船員抽調集中起來學習三至五天,水運企業無論從經濟支出上還是從人員調度上都有相當的困難。
3、來自農民的船員在低等船員隊伍中占了較大的比重。他們無論在文化層次、專業技術、操作技能、法制觀念、安全意識等方面,都比不上原屬于專業航企業的持證船員,因此降低等級船員隊伍的整體素質。由于新加入船員隊伍的部門船員政治思想素質逐年增多,嚴重地威脅水運安全和水運事業的健康穩定發展。
4、我市城區船舶種類繁多,有工程船、運輸船、區間客船、機動貨船、快速船等;航行區域廣,安全教育的重點不盡相同,混合編班難以滿足實際需要。
二、對策及建議:
1、大力宣傳船員證書審驗安全教育的重要性必要性。要利用多種開式和多種渠道,把審驗對象、審驗要求、時間安排提前通知到船舶單位、船員和船戶,在各基層海事所和船員經常活動的場所張貼審驗通知和宣傳提綱。其目的是提高船舶單位和船員、船戶對審驗工作的認識,使他們能認真對待,主動配合,為審驗工作奠定正確的思想基礎。在大力宣傳的同時要做到周密安排,從教材、教員、教室到食宿都要有專人負責,使受訓船員有一個良好的學習和生活環境。有師資條件的專業運輸單位,可以批準自辦安全教育培訓班,屆時由海事機關考核認可。做好組織工作,不公使安全教育能順利進行,不能提高船員奮發向上,求知求學、刻苦鉆研的精神,形成一個好的風尚。
2、要注重安全教育的實效。培養高素質的持證船員是一個長期而又艱巨的工作,關系到水運事業的振興與繁榮。而充分利用審驗的機會,宣傳交通法律法規,提供技術咨詢和服務,使廣大船員掌握安全航行的科學知識和操作技能,熟悉預防水上交通事故的基本方法,去指導航行實踐。開展審驗安全教育無論是理論知識還是操作方法,都要求船員容易理解和接受,根據不同季節、不同階段、不同船舶、不同環境、不同航區、不同運輸任務,針對薄弱環節和存在的不足,突出重點,開展安全教育,激發船員的學習熱情,使船員學有所得,學有提高。
3、在安全教育的內容上下功夫。審驗工作時間緊、內容多、要求高,如何安排教育內容是十分重要的,應根據不同船員各有側重,就其主要內容有以下幾個方面:
(1)、法規教育。法規教育主要使船員懂得嚴格執行交通法規的重要性,交通法規包括國家制定的有關政策、法令、規章、規定和各項海事規章制度,如《中華人民共和國內河交通安全管理條例》、《中華人民共和國內河避碰規則》、《中華人民共和國船舶簽證管理規則》、《江蘇省內河交通事故處理辦法》等等。通過教育,使船員充分認識到遵紀守法的重要性,認識到安全與生產、安全與效益、安全與社會穩定辯證關系,牢固樹立“安全第一、預防為主”的思想,把遵守交通法規,搞好安全生產作為自已的首要任務。
(2)、安全態度教育。確立正確的安全態度,牢記“責任重于泰山”的指示,是安全教育中的重中之重。態度就是意識教育,正確的態度來自于正確的認識,態度可以控制一個人的行為。安全態度教育就是船員繃緊安全這根弦,任何情況下都不能忘記自已的責任。要共同努力,責任重于泰山的責任感,落實安[!]全生產責任制和事故責任追究制,杜絕重、特大事故的發生。認識到:安全工作只有起點,沒有終點;只有及格,沒有合格。
(3)、勞動紀律教育。實踐證明,勞動紀律松懈,工作秩序混亂,事故的發生率極高。農村的自然環境缺乏有組織生產的訓練,而個體船舶又長年分散經營,因此船員普遍存在散漫習氣。在效益滑坡船員普遍收入下降的情況下,勞動紀律教育顯得特別重要。務必要向船員再三說明的是,要樹立勞動保護意識,防止發生工傷事故,在作業時不要傷害自已,不要傷害別人,不要被他人傷害。在教育時,要多舉實例,告誡大家必須遵守勞動紀律和操作規程。
(4)、事故案例教育。把近年來發生的典型事故用圖片、文字加以說明,讓大家注重分析事故案例,讓船員判斷事故責任、找出教訓,采取什么樣的行動可以避免事故。通過直觀的案例教育,使廣大船員認識到事故的危害,吸取事故教訓,舉一反三,從而激發廣大船員對本職工作的責任心和使命咸,在航行中 采取有效的防范措施,來避免各類事故的發生。
我們在引用他人的論點、數據等內容載錄下來,在論文引用的地方標注出來,把它的來源作為參考文獻列出來就可以了。關注學術參考網,查看更多優秀的論文參考文獻,下面是小編整理的個關于校園網論文參考文獻,歡迎大家閱讀欣賞。
校園網論文參考文獻:
[1]張勝利.局域網內網格計算平臺構建[J].碩士學位論文,西北工業大學,2007.3.
[2]殷鋒,李志蜀,楊憲澤等.基于XML的校園網格應用研究[J].計算機應用研究,2007.12.
[3]殷鋒.網格關鍵技術及校園網格應用研究[M].西南交通大學出版社,2007.6.
[4]王海燕.基于.net的校園網格異構數據統一訪問接口[J].計算機工程,2010.6.
[5]韓旭東,陳軍,郭玉東,等.網格環境中基于Web服務的DAI中間件的設計與實現[J].計算機工程與設計,2007.5.
[6]鄭榮,馬世龍.網格環境下基于XML的異構數據集成系統[J].計算機工程,2008,34(22).
校園網論文參考文獻:
[1]李春霞,齊菊紅.校園網安全防御體系的相關技術及模型[J].自動化與儀器儀表,2014(1):122-124.
[2]智慧.計算機信息安全技術在校園網中的應用[J].信息安全與技術,2014(3):94-96.
[3]高楊.淺談網絡安全技術及其在校園網中的應用[J].科技與創新,2014(11):135.
[4]樊建永,薛濱瑞.網絡安全審計系統在校園網絡中的應用與研究[J].中國教育信息化,2011(7).
[5]李斌.學校網絡安全審計系統的研究與探索[J].中國管理信息化,2016(4).
校園網論文參考文獻:
[1]沈卓逸.校園網貸規范發展策略[J].金華職業技術學院學報,2016,(05):812.
[2]包艷龍.“校園網貸”發展情況調查與分析[J].征信,2016,(08):7375.
[3]謝留枝.如何解決大學生網貸出現的問題[J].經濟研究導刊,2016,(19):7374.
[4]林麗群.網貸視域下當代大學生科學消費觀培育探究[J].長江工程職業技術學院學報,2016,(03):4850.
[5]馬俊.淺談高校校園網的管理[J].長沙醫學院學報,2008(7):93.
Abstract: The technical-economic index and engineering quality of highway construction is paid attention to, and the safety of highway construction whole process simultaneously is taken into account. As concerning some methods of road safety assessment and their accommodations, the method of road safety audit is suggested, which can adapt to the highway construction project in cold area.
關鍵詞:寒區;公路建設項目;交通安全評價;交通安全審計
Key words: cold area;highway construction project;road safety assessment;road safety audit
中圖分類號:U41文獻標識碼:A文章編號:1006-4311(2010)25-0077-02
0引言
道路交通安全研究大體經歷了“事故統計分析――交通安全評價――交通事故預測――交通事故預防”等四個階段,每個階段都產生了一系列分析方法和指標[1]。目前,我國對交通安全的研究,著重于交通安全評價和交通事故預測以及事故多發點的判別標準的確定和治理等,而對交通事故預防、潛在交通事故多發點的判定研究甚少。黑龍江省高等級公路建設起步晚,針對寒區高等級公路的交通事故預防、潛在交通事故多發點的判定研究則更少。
本文在總結國內外交通安全研究歷程的基礎上,對公路建設項目安全評價的方法及所適用的工作階段進行了比較,確定了適合寒區公路建設全過程安全性評價方法。
1公路安全性評價
所謂交通安全評價,即運用安全系統工程的原理和方法,對擬建或已有工項目可能存在的危險性及可能產生的后果進行綜合評價和預測,并根據可能導致的事故風險的大小,提出相應的安全對策措施,以達到系統安全的目的。
交通安全評價以道路使用者安全為中心,從預防交通事故、降低事故產生的可能性和嚴重度入手,對道路項目建設的全過程,即規劃、設計、施工和服務期進行全方位的安全性評價,從而揭示道路發生事故的潛在危險因素及安全性能。
2寒區公路建設項目安全評價
2.1 公路交通事故影響因素分析道路交通系統是人―車―路及環境相互作用的動態耦合系統[2],道路交通安全問題是人―車―路環境系統中諸因素相互沖突、矛盾激化的結果。根據道路交通事故統計資料[3] ,2005年我國道路交通事故共發生450254起,交通事故影響因素見圖1所示;2005年黑龍江省發生公路交通事故2943起,交通事故影響因素見圖2所示。
對比圖1和圖2,可知黑龍江省寒區道路交通事故影響因素中,路的影響高于我國道路交通事故的統計。
2.2 公路安全性評價方法公路安全評價分為宏觀評價和微觀評價[4]。宏觀評價一般是國家、區域層面上分析交通安全與人口、機動化水平、路網、經濟等因素的關系,依此制定宏觀的技術和政策方面的交通安全改進對策。微觀評價一般是在路或區域路網層面上分析交通安全與道路特征、交通特征等因素的關系,依此制定道路基礎設施改進、交通安全管理改進等安全對策,一般分為定性和定量方法。定性方法主要是規范符合性檢查、公路安全審計的方法。從國內外的關于公路交通安全性評價的研究和應用看,安全審計是比較成熟、有效的安全性評價方法;定量方法主要是基于數學、統計的方法尋求交通安全與其影響因素的定量關系。
2.3 各種方法適用的工作階段對于公路安全評價的各種方法,適用于不同的工作階段[4],詳見表1。
通過表1公路建設項目不同階段安全評價方法的選用的比較分析,規范符合性和道路安全審計適應各個工作階段和不同的評價對象,而規范符合性是對公路安全性的最低要求。
道路交通安全審計基于公路建設項目投資的全過程,即投資前期、投資執行期、投資服務期,探討從工程安全角度出發來審計公路建設項目投資的每一階段,即規劃、預工程可行性研究、工程可行性研究階段,初步設計階段,詳細設計、施工圖設計階段,施工、竣工階段,運營階段的安全可靠性,從而找出事故的潛在危害因素并進行改進而達到預防和改善交通事故的目的。
3寒區公路建設項目交通安全審計
3.1 道路安全審計的定義根據通部頒布實施的《公路項目安全性評價指南》[5],公路安全性評價,是針對公路行車安全進行的一個系統的評價程序,它將公路行車安全、降低交通事故概念引入公路工程可行性研究及設計工作中。
根據國內外有關道路安全審計定義,并結合相關道路安全審計的具體實踐,提出道路安全審計定義:即由獨立的、有資格和經驗的道路交通安全專業技術人員,以道路運輸安全系統理論為基礎,從所有的道路用戶角度,對處于規劃、工可研、設計、施工、運營的公路建設項目及交通工程和與公路使用者有關的任何工程項目進行正式的審查,以評價公路發生交通事故的潛在危險性及安全性能,推薦可能的改善措施,提交道路安全審計報告。它是一個正式的檢查而不是一個非正式的檢查;是一個獨立的不受業主或設計單位影響的過程;由具有豐富經驗和道路安全專業技術的人員執行,且僅限于安全問題。
3.2道路安全審計階段劃分及其審計范圍道路安全審計作為一種系統方法,貫穿于公路建設項目的前期、中期、運營期的各個階段。根據各國道路安全審計的實際情況和現行的實踐,道路安全審計一般可劃分為規劃階段,初步設計階段,詳細設計階段,施工階段和運營階段[6]。
3.3 道路安全審計程序為了確保道路安全審計結果的客觀性和一致性,道路安全審計工作必須按照標準的過程進行。不同的道路管理部門,由于體制和機構的差異;不同階段的道路安全審計,其審計過程也有一定的差異。一般情況下,道路安全審計的流程如圖3所示。
4結論
本文在總結國內外交通安全研究歷程的基礎上,明確了公路安全性評價的定義、方法及各種方法適用的工作階段;通過比較了各種安全評價方法,確定了適合寒區公路建設全過程的安全評價方法;明確了基于道路安全審計的公路安全性評價的工作范圍、程序等。
參考文獻:
[1]王建軍.公路建設項目后評價理論研究[D].長安大學博士學位論文,2003.7.21-26.
[2]方守恩,郭忠印,陳雨人.道路安全系統與道路安全工程[J].中國公路學報,2001增刊,27-31.
[3]中華人民共和國道路交通事故統計年報(2005年度)[M].公安部交通管理局.2006,13-17.
[4]唐bb,何勇,張鐵軍.公路安全性評價[J].公路,2007.8,24-29.
[論文摘要]計算機網絡日益成為重要信息交換手段,認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題,采取強有力的安全策略,保障網絡信息的安全,是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。
隨著計算機網絡技術的不斷發展,全球信息化己成為人類發展的大趨勢,計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此,網絡必須有足夠強的安全措施,否則網絡將是尤用的,相反會給使用者帶來各方面危害,嚴重的甚至會危及周家安全。
一、信息加密技術
網絡信息發展的關鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證,來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現虛假信息。
信息加密技術是保證網絡、信息安全的核心技術,是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數據,從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數叫做密鑰。
傳統上,幾種方法町以用來加密數據流,所有這些方法都町以用軟件很容易的實現,當只知道密文的時候,是不容易破譯這些加密算法的。最好的加密算法塒系統性能幾乎沒有影響,并且還可以帶來其他內在的優點。例如,大家郜知道的pkzip,它既壓縮數據義加密數據。義如,dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術
“防火墻”是一個通用術i五,是指在兩個網絡之間執行控制策略的系統,是在網絡邊界上建立的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成,在內部網和外部網之間構建起安全的保護屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強intranet(內部網)之間安全防御的一個或一組系統,它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。
防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點,在此進行檢查和連接,只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離,從而防止非法入侵及非法使用系統資源。同時,防火墻還日,以執行安全管制措施,記錄所以可疑的事件,其基本準則有以下兩點:
(1)一切未被允許的就是禁止的。基于該準則,防火墑應封鎖所有信息流,然后對希單提供的服務逐項丌放。這是一種非常災用的方法,可以造成一種十分安全的環境,為只有經過仔細挑選的服務才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務范同受到限制。
(2)一切未被禁止的就是允許的。基于該準則,防火埔轉發所有信息流,然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境,可為用戶提供更多的服務。其弊端是,在口益增多的網絡服務面前,網管人員疲于奔命,特別是受保護的網絡范嗣增大時,很難提供町靠的安全防護。
較傳統的防火墻來說,新一代防火墻具有先進的過濾和體系,能從數據鏈路層到應用層進行全方位安全處理,協議和的直接相互配合,提供透明模式,使本系統的防欺騙能力和運行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術,如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。
三、網絡入侵檢測與安全審計系統設計
在網絡層使用了防火墻技術,經過嚴格的策略配置,通常能夠在內外網之問提供安全的網絡保護,降低了網絡安全風險。但是,儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部;防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵);不能防范惡意的知情者、不能防范來自于網絡內部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實時動態的保護等。
因此,需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統,能夠彌補防火墑等其他系統的不足,進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統,可以在網絡巾建立完善的安全預警和安全應急反應體系,為信息系統的安全運行提供保障。
在計算機網絡信息安全綜合防御體系巾,審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent,審計管理中心,審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接,對網絡的各個層次(網絡,操作系統,應用軟件)進行審計,受審計巾心的統一管理,并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件,主要實現管理員對于審計系統的數據瀏覽,數據管理,規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理,而且多個管理員可以同時進行管理,根據權限的不同完成不同的職責和任務。
四、結論
[摘要]計算機網絡安全建設是涉及我國經濟發展、社會發展和國家安全的重大問題。本文結合網絡安全建設的全面信息,在對網絡系統詳細的需求分析基礎上,依照計算機網絡安全設計目標和計算機網絡安全系統的總體規劃,設計了一個完整的、立體的、多層次的網絡安全防御體系。
[關鍵詞]網絡安全方案設計實現
一、計算機網絡安全方案設計與實現概述
影響網絡安全的因素很多,保護網絡安全的技術、手段也很多。一般來說,保護網絡安全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術,等等。為了保護網絡系統的安全,必須結合網絡的具體需求,將多種安全措施進行整合,建立一個完整的、立體的、多層次的網絡安全防御體系,這樣一個全面的網絡安全解決方案,可以防止安全風險的各個方面的問題。
二、計算機網絡安全方案設計并實現
1.桌面安全系統
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
本設計方案采用清華紫光公司出品的紫光S鎖產品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內部的芯片操作系統COS(ChipOperatingSystem)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數據的侵入和數據的篡改,防止非法軟件對S鎖進行操作。
2.病毒防護系統
基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。
(1)郵件防毒。采用趨勢科技的ScanMailforNotes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是NotesDominoServer使用率最高的防病毒軟件。
(2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。
3.動態口令身份認證系統
動態口令系統在國際公開的密碼算法基礎上,結合生成動態口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統的安全性。
4.訪問控制“防火墻”
單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻,分別配置在高性能服務器和三個重要部門的局域網出入口,實現這些重要部門的訪問控制。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段,彼此隔離。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。
5.信息加密、信息完整性校驗
為有效解決辦公區之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。
SJW-22網絡密碼機系統組成
網絡密碼機(硬件):是一個基于專用內核,具有自主版權的高級通信保護控制系統。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統)上的對全網的密碼機設備進行統一管理的系統軟件。
6.安全審計系統
根據以上多層次安全防范的策略,安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法,“內審”是對系統內部進行監視、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密,以解決內層安全。
安全審計系統能幫助用戶對安全網的安全進行實時監控,及時發現整個網絡上的動態,發現網絡入侵和違規行為,忠實記錄網絡上發生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。
在安全網中使用的安全審計系統應實現如下功能:安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
本設計方案選用“漢邦軟科”的安全審計系統作為安全審計工具。
漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統。
(1)安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上,其監視目標主機的人機界面操作、監控RAS連接、監控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺,網絡管理員通過安全監控中心為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。
①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。
②主機信息審計:對網絡內公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統類型、IP地址信息。
(2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內,系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。②監視鍵盤:在用戶指定的時間段內,截獲HostSensorProgram用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結束。
③監測監控RAS連接:在用戶指定的時間段內,記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束。當gas連接非法時,系統將自動進行報警或掛斷連接的操作。
④監測監控網絡連接:在用戶指定的時間段內,記錄所有的網絡連接信息(包括:TCP,UDP,NetBios)。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表,當出現非法連接時,系統將自動進行報警或掛斷連接的操作。
單位內網中安全審計系統采集的數據來源于安全計算機,所以應在安全計算機安裝主機傳感器,保證探頭能夠采集進出網絡的所有數據。安全監控中心安裝在信息中心的一臺主機上,負責為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。單位內網中的安全計算機為600臺,需要安裝600個傳感器。
7.入侵檢測系統IDS
入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全的立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視,這從國際入侵檢測產品市場的蓬勃發展就可以看出。
根據網絡流量和保護數據的重要程度,選擇IDS探測器(百兆)配置在內部關鍵子網的交換機處放置,核心交換機放置控制臺,監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。
在單位安全內網中,入侵檢測系統運行于有敏感數據的幾個要害部門子網和其他部門子網之間,通過實時截取網絡上的是數據流,分析網絡通訊會話軌跡,尋找網絡攻擊模式和其他網絡違規活動。
8.漏洞掃描系統
本內網網絡的安全性決定了整個系統的安全性。在內網高性能服務器處配置一臺網絡隱患掃描I型聯動型產品。I型聯動型產品適用于該內網這樣的高端用戶,I型聯動型產品由手持式掃描儀和機架型掃描服務器結合一體,網管人員就可以很方便的實現了集中管理的功能。網絡人員使用I型聯動型產品,就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描,可以實現和IDS、防火墻聯動,尤其適合于制定全網統一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻,實現分布式掃描,服務器和掃描儀都支持定時和多IP地址的自動掃描,網管人員可以很輕松的就可以進行整個網絡的掃描,根據系統提供的掃描報告,配合我們提供的三級服務體系,大大的減輕了工作負擔,極大的提高了工作效率。
聯動掃描系統支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理,網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網段、穿透防火墻,對重點的服務器和網絡設備直接掃描防護,這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能地消除安全隱患。
在防火墻處部署聯動掃描系統,在部門交換機處部署移動式掃描儀,實現放火墻、聯動掃描系統和移動式掃描儀之間的聯動,保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能的消除安全隱患,盡可能早地發現安全漏洞并進行修補,優化資源,提高網絡的運行效率和安全性。
三、結束語
【關鍵詞】多媒體 網絡技術 數字證書庫
1 安全的相關技術
隨著科學技術的發展,多媒體技術也越來越成熟,其應用范圍包括了教育、科研、經濟、軍事等諸多領域。隨著其應用范圍的擴大,有些部門在其安全性上也提出了更高的要求。多媒體應用的安全問題已收到越來越多的專家學者的關注。在本論文中筆者對媒體應用中的相關安全技術作簡要介紹。
1.1 PKI技術
PKI是公鑰基礎設施英文的縮寫,它主要由四個部分組成,包括數字證書庫、密鑰管理中心、證書認證中心和審核機構。它以公共密鑰技術作為理論基礎,是目前應用最廣泛的安全機制之一。在此安全機制中有一對密鑰、私鑰和公開的公鑰。利用公鑰無法將私鑰推導出來,但是要想還原公鑰加密的數據,那就只能依靠特定的私鑰。因此,即使在不安全的客戶端也能實現安全通信,不用擔心會泄露相關數據。
在這整個安全體系的基礎設施中,其核心是認證機構;對于認證機構所發放的證書,如果要對其管理、發放進行相關擴充,那就需要審核機構發揮作用;密鑰管理中心不僅能夠產生密鑰也能夠對這些密鑰進行有效管理,每個認證機構必須要有一個密鑰管理中心;證書就存放在數字證書庫中,因此,數字證書庫的安全性以及完整性十分重要。
1.2 PMI技術
PMI 和PKI 兩者之間的結構十分類似,它的組成主要包含三個部分:屬性證書、證書庫和權威。對于證書的產生、發放、存儲、管理和撤銷等相關操作它都可以順利完成。其體系結構又主要分為三層:信任源點、權威機構中心、中心點。
1.3 XML安全技術
XML 是可擴展標記語言英文的縮寫,這種數據描述語言是開放型的。互聯網上的信息具有開放性的特點,每一個用戶都可以對網絡上的數據都進行相關修改。對于所要描述的內容,XML 語言能夠清晰地進行表達。XML文件同樣也具有開放性的特點,對于其信息數據,任何人都能夠輕而易舉地知道。因此,對于某些重要的XML文件,其安全性和完整性是不容忽視的。
對于XML簽名加密技術來說,其技術本身并沒有突破。只是在XML文件內部,能夠對XML元素進行簽名和加密處理。因此 XML 文件的安全保密工作也就具有了相當的擴展性和靈活性。
XML的簽名包含兩部分:創建和驗證。而創建又分為兩個方面:引用創建和簽名創建。在進行引用創建時,要通過URI對相關數據進行查找,然后轉換這些數據,使其生成摘要,這樣就創建出了 Reference 元素;而簽名創建就是創建SignedInfo元素,然后將上述 Reference 元素納入其中,并指定相關方法,把元素標準化并簽名,從而組合成 Signature 元素。驗證也分為兩個方面:引用驗證和簽名驗證。簽名驗證需要對相關密鑰進行獲取,從而將標準化的元素摘要生成,再將其同解密元素作比較,如果同原文無差別,那么就驗證成功。
2 多媒體應用安全模型設計
多媒體應用安全模型主要包含三大模塊:PKI/PMI模塊、多媒體訪問控制模塊和強審計模塊。
2.1 模塊設計
在上述系統中,PKI/PMI模塊的功能就是為用戶提供公鑰證書和屬性證書,其中公鑰證書用以表明身份和屬性證書用以表明權限。PMI的建立是以PKI公鑰基礎設施為基礎,因此,用戶要想申請屬性證書,那就必須先取得身份證書。
PKI 由兩個部分構成,即CA 認證中心和證書庫。用戶需要提交相關申請請求,然后 CA 認證中心對用戶身份進行驗證核對,通過后方能為用戶頒發公鑰證書,同時在證書庫中對證書進行儲存和管理。
PMI 不同之處在于,用戶只有具有了 CA 頒發的公鑰證書后,其屬性證書的申請才會被接受。在然后在AA 權限機構中對用戶身份和權限進行驗證,通過之后方為用戶頒發屬性證書。兩種證書結構類似,只是內容略有差異。
2.2 多媒體訪問控制設計
系統對用戶的身份及角色進行驗證,就是對 PKI/PMI 模塊為用戶提供的公鑰證書和屬性證書進行驗證。用戶的身份信息保存在公鑰證書中,用戶的角色信息及公鑰證書序列號都保存在屬性證書中,這樣能夠有效實現兩種證書的統一。用戶要想證明身份,就需要提供公鑰證書即其私鑰,若要證明用戶角色,就需要再提供屬性證書及其私鑰。不同的角色有著不同的視頻訪問權限,在RBAC 策略中記錄著用戶角色以及用戶可以訪問視頻的權限。換言之,角色與權限之間的對應由 RBAC 策略來實現。對于相同的視頻來說,不同的角色訪問的范圍也各不相同,這就是權限的不同。
我們可以用一個四元組(who,what,when,where)來表示用戶的訪問請求。系統對RBAC模型進行了相關擴展,對這四個方面也作了不同的訪問限制,從而大大提高了系統的安全性。
2.3 安全審計的設計
安全審計模塊在系統中是獨立的,其查看權限僅限于系統的審計管理員。在系統中,審計功能主要包含兩個方面:一、數據庫審計,它是跟蹤數據的讀取行為,從而確保存儲在數據庫中的信息是被安全地、合理地使用,從而才能讓合法用戶在權力范圍內對數據庫進行訪問;二、應用審計,它主要是審計系統管理員對安全策略的更新。一般會有專門的審計管理員,他能夠對日志記錄的存儲進行管理,但是無法對日志記錄進行刪除和修改操作。這樣就有效控制了系統管理員的權限,避免其權限過大而產生瀆職行為。
3 結束語
本論文對多媒體應用安全的相關技術作了簡單介紹,著重對認證和加密方式作了相關描述并構建了相關安全模型。隨著科技的進步,多媒體應用的安全必然會變得更加重要,在以后的研究過程中,有必要以多媒體應用安全平臺中的密鑰管理、證書管理的合理性和安全性為重點進行深入研究。筆者學識有限,所作論述僅供參考。
參考文獻
[1]程安潮.基于屬性證書的 PMI 授權管理模型應用研究[J].計算機工程,2006,(4).162 164.
[2]張文凱,曹元大.基于 PKI/PMI 的應用安全平臺模型的研究[J].計算機工程,2004,30(9).131133.
[3]譚寒生,張艦.PMI 與 PKI 模型關系研究[J]. 計算機應用,2002,(8).8688.
[4]周學廣,張煥國,張少武等.信息安全學(第二版)[M].北京:機械工業出版社.2008,104.
