引言:易發表網憑借豐富的文秘實踐���,為您精心挑選了九篇建筑安全網絡范例。如需獲取更多原創內容�����,可隨時聯系我們的客服老師���。
第1篇
[關鍵詞]網絡安全����;建筑智能;系統�����;研究 文章編號:2095-4085(2015)11-0047-02
1設計的相關原則
1.1易操作性
安全措施完成的主體為人�����,若安全措施要求高且步驟復雜,本身安全性就會降低。并且安全措施執行過程中�,系統正常運行會被額外消耗系統資源等問題影響�����。
1.2動態發展
安全措施需以網絡安全的具體變化為依據不斷的更新調整,以較強的適應性去面對新的安全需求和網絡環境�。
1.3等級性
具體指的是安全級別以及安全層次�。完整的網絡安全系統要能對不同層次的各種具體需求提供服務��,因此�����,需有不同的等級。具體有系統實現結構等級劃分,鏈路層�、網絡層�����、應用層等;網絡安全程度的等級劃分,安全區域、安全子網,此外�����,還有用戶操作權限����、信息保密程度的等級劃分等���。
1.4統籌兼顧
在攻擊手段不斷進步�,時間、條件����、環境不斷變化�,服務需求�、政策規定不明確等因素的影響下,安全防護要想實現一步到位存在一定的難度。第一步應做基本安全體系的構建�����,其重要前提是全面的規劃�����,對實際需求進行了解��,保障基本的安全。在今后的工作中��,根據實際的變化要求��,對安全防護力度進行改善和強化���,為根本安全需求提供保障����。
1.5管理與技術結合
安全體系這一系統工程涉及到的要素有操作���、技術���、人員等����,比較復雜����,僅憑管理或者技術都不能很好的完成��,必須有效的結合安全規章制度建設、人員技術培訓與思想教育����、運行管理機制與安全技術等要素�。
1.6一致性和標準化
應以相關的標準為參照設計安全體系�,提高設計規范性,保證分系統一致性����,提高信息共享��、互聯互通等行為的安全性。
1.7評價與平衡
在任何網絡中都難以實現絕對的安全����,對代價�����、風險與需求之間的關系進行正確的處理,組織上能夠執行����,可用性與安全性相容是安全體系設計需要考慮的問題��。評價網絡安全是由具體應用環境以及用戶需求決定的,其衡量指標與評判標準并不是絕對的��,具體的決定因素為網絡重要程度與性質�,網絡范圍與規模����。
1.8整體性
設計應包含安全恢復機制、安全檢測機制�、安全防護機制��,在出現破壞與攻擊事件時能夠確保網絡核心服務的迅速恢復,將損傷降低到最小���。安全防護機制是防止非法攻擊的措施,其建立基礎是具體存在的安全威脅���。安全檢測機制是對系統運行進行檢測,從而能夠及時發現攻擊并及時制止����。
1.9木桶原則
最短木板的長短對木桶容積具有決定性作用���,應用于網絡安全意在詮釋其保護的均衡與全面�。系統安全脆弱性是管理����、操作、物理上各種漏洞的作用結果,資源的共享性�、系統的復雜性都增加了技術保護的難度��。根據最易滲透性原則,攻擊者所攻擊的必然是系統最薄弱的環節。因此�����,在設計時應首先完整�����、全面�、充分的分析系統存在的安全威脅與安全漏洞�。
2安全體系的建構
安全體系的建立應分為安全保護對象平面�、安全服務平面、安全協議層次平面。 安全保護對象平面明確了網絡實體與傳輸數據兩大類重點保護對象�����,每一類都將具體保護對象包含其中��。安全服務平面是對3.5節安全目標要求的安全服務進行定義���,多種安全服務可由每一協議層實現����,多個安全協議層次可由每一類服務跨越。以建筑物中智能化系統所要求的安全防護為標準,為了實現對成本的控制以及對資源浪費的減少,安全服務需適應滿足其要求�。在安全協議層次平面中���,從不同層次對網絡中的威脅進行分析�����,將ISO/OSI協議七層模型設定為參考物,分析探討其中的安全服務,并對安全機制進行研究����。公證機制�����、鑒別機制、數據完整性機制、訪問控制機制�、加密機制等是比較常見的安全機制�,每一項都具備具體的安全技術�,以加密機制為例,其中就含有數據加密算法如RSA、AES等。安全服務���、安全機制之間聯系緊密�����,某種安全服務能夠通過一種或組合多種安全機制實現��,如單獨或聯合數字簽名、加密機制能夠實現完整�。
第2篇
學習情境1通過學習局域網的通信特點和安全隱患�,掌握局域網的安全部署����。學習情境2讓學生以本人使用的主機為起點,了解主機容易遭受的病毒和攻擊�����,學習如何保護主機的安全���。學習情境3展現網絡信息離開本地主機���、本地網絡后所面對的外網通信環境�,分析在傳輸通道中存在的大量安全威脅,提出具體的保護策略��。學習情境4將前三個學習情境應用到具體的網絡環境中���,根據校園網�����、企業網具體的特點和安全需求來設計安全方案��,這一過程既是所學知識的回顧也是將知識應用的實踐和創新。針對每個項目����,在教學中都設置具體的基本任務和拓展任務?;救蝿帐菍椖炕緝热莸木C合應用和考察重點�����,主要在課堂教學和實驗教學環節完成;拓展任務具有一定的難度�,是對本項目知識在深度和廣度上延伸����,也可將本項目與其他項目結合起來考查學生能力�����,一般布置在課外或自學環節�����。如在項目1中�����,可將基本的IP、TCP等協議的捕獲與分析作為基本任務�����,而將針對聊天軟件QQ或在線視頻播放器PPTV等網絡通信的捕獲與分析作為拓展任務����,或者將IP協議分析與網絡攻防結合起來作為拓展任務,從多個方面���、層次激發學生自學的興趣����,培養其鉆研精神。
2情境教學的開展
2.1基于情境—案例的課堂教學
將案例教學引入“網絡安全”的課堂教學,有助于把較為抽象的網絡安全基本原理和技術知識蘊含于具體的案例中��,變枯燥的理論學習為主動解決問題的求知過程��,從而激發起學生的興趣并充分調動學習的積極性���。我們根據所設計的學習情境開展教學�����,學習情境1設計了竊取密碼、郵件的安全傳輸、校外訪問校內網資源����、信用卡電子交易犯罪���、Web通信身份認證和加密等案例�;學習情境2首先由教師講解計算機病毒的發展歷程���,輔以尼姆達����、CIH、梅麗莎和熊貓燒香等著名病毒為例,指導學生關注計算機病毒及操作系統安全�;學習情境3中�����,教師從已有的經典網絡攻擊案例入手,通過講解攻擊原理進而分析對應的防御方法,講解防火墻時以古城墻為例比較二者的功能與作用�,從而更加生動地詮釋出防火墻的作用和地位;學習情境4以校園網為經典案例����,向學生介紹網絡安全體系的結構��、安全策略的制定、安全技術的應用����、安全工具的部署及安全服務防范體系的建立���。
2.2基于情境—任務驅動的實踐教學
“網絡安全”課程的實踐教學采用“實踐說明—示范引導—任務布置—糾錯重做—總結拓展”的模式開展�。“實踐說明”指實驗開始前需對實驗內容���、目的��、要求��、考核方法等進行詳細的說明;“示范引導”指教師邊演示邊講解實驗的基本內容,然后向學生布置實驗任務�����,教師在巡視中給予學生實驗的開展以糾錯和針對性指導,并在實驗完成后總結學生的實驗過程和表現,進而向學生布置與本實驗相關的拓展任務作為自學內容���。以學習情境1為例,教師可采用以下步驟組織實踐教學:第一,教師在課前實驗準備中搭建好捕獲環境����;第二���,課程開篇介紹背景知識��,讓學生了解局域網的通信特點,教師執行一次捕獲,得到FTP用戶名和密碼�����,向學生直觀展示FTP協議的安全隱患����,鼓勵學生在10分鐘內通過閱讀教材或互聯網搜索的方式學習和了解協議捕獲的方法及原理����;第三,教師演示協議捕獲的完整過程并布置實踐任務(需告知學生本次實踐的考核標準)���;第四,學生兩人一組分工合作完成實踐任務�����,重在提高學生的動手能力并培養合作精神����;第五,教師對每一組的完成情況予以檢查并進行針對性指導��,組織學生對協議分析的方法�、網絡協議的安全性開展討論,由教師完成課堂教學內容的總結���;第六,教師提出拓展實踐的任務���,要求學生捕獲其他網絡協議并進行分析,進一步培養學生自學及靈活應用知識的能力����。
3情境教學推進學生主動學習
主動學習使學生直接參與到問題的思考和解決中�,從而獲得更多的知識�,明白自己學到了什么和怎樣學習���。“網絡安全”課程在情境教學中結合授課疑點卡�、自選講題和安全周報等方法推進學生的主動學習。
3.1學習情境的動態觀察—安全周報
“安全周報”指每周邀請一位同學解讀國家互聯網應急響應中心(CNCERT/CC)最近一期的網絡安全信息與動態周報,鑒于該周報內容豐富�、更新及時����,涉及本周網絡病毒的活動情況�、網站安全情況、重要的安全漏洞、政府監管和政策法規動態�、網絡安全事件與威脅及業界動態等多個方面�,及時了解周報不僅有助于學生了解本周網絡安全的現狀��,而且能夠促使學生進一步直觀感受網絡安全復雜度高��、涉及面廣、變化快等特點�。
3.2學習情境的深入研究—自選講題
自選講題要求學生自由組成3-4人的學習小組�����,通過討論確定講題對象和類型,獨立完成學習報告���,并制作成PPT演示文件向教師及全班同學進行匯報演講。“網絡安全”課程的每個學習情境均設有案例和綜述兩種類型的講題���,案例類講題要求學生針對該情境中的一個經典案例展開深度分析和講解;綜述類講題要求學生針對該情境中某一項安全技術展開研究���,要求涉及技術背景、技術現狀以及技術展望等。教師對學生選題應有所調控���,保證每個學習情境及每種講題類型都有小組涉及��。實踐結果表明,自選講題的方法能夠充分調動學生自學的積極性���,營造良好的合作氛圍��,提高學生的表達能力�。
3.3學習情境的全面回顧—授課疑點卡
授課疑點卡指在每一個學習情境將要結束時����,教師要求每位學生對所學知識進行思考,并寫下學習中對概念、內容或實踐環節最不清楚的地方�����,且以電子郵件的形式反饋給教師���,教師對普遍存在的問題在下次授課時予以講解�,個別問題則通過回復電子郵件的方式來解答。記錄學習中的問題和建議有助于學生回顧學習過程��、理清知識結構和學習思路����,以便開展更有效的學習活動,也有助于教師及時糾正學生的錯誤理解,進而改進以后的教學����。
3.4學習情境的綜合應用—方案設計
方案設計要求學生針對校園網��、企業網或政府網設計出一個網絡安全方案,這是對學生綜合能力的一次考評,有利于學生回顧整個課程的學習����,將知識全面應用到一個具體的網絡環境中�����,健全其整個安全知識的結構。
4評估方法的創新
該課程的評估原則有:注重工作能力的考評,在試卷中體現平時工作內容�����;注重工作結果的考評���,平時作業存檔作為評分依據�����;注重工作理解的考評,在實驗打分中考查學生對實驗的理解層次���。具體應用中采用筆試、口試�����、表現評分����、實驗報告與大作業相結合的方法來測評學生的學習情況。筆試是傳統而有效的考核方法�����,筆試題目要求反映學習效果���,并根據學習效果考查學生的成績�。口試要求學生對學習情境中的概念問題加以闡述�。表現評分根據學生在自選講題和安全周報中的具體表現予以評價�����。實驗報告要求學生記錄實驗的目標、實驗內容����、實驗步驟���、結果綜述以及拓展任務的開展和完成情況����,這一考核幫助學生理清本次實驗的思路����,總結經驗,督促學生在課外完成拓展任務并給出詳細的記錄���。大作業要求學生針對校園網、企業網或政府網給出一個網絡安全方案�����,這是對學生綜合能力的一次考評�,有利于學生回顧整個課程的學習,將知識全面應用到一個具體的網絡環境中����,健全其整個安全知識結構����。筆試一般安排在整個課程結束之后����,集中開展;口試安排在每個學習情境結束之后����,分批開展�;表現評分�����、實驗日志和大作業在學生完成任務或遞交作業之后開展,并及時予以評價���,有利于學生在課程后繼環節中及時調整學習方法,更有效地開展學習���。
5結束語
第3篇
關鍵詞:信息安全;網格安全管理;SNMP
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2009)13-3360-02
1 引言
當今信息安全技術主要包括密碼技術、身份認證�、訪問控制�����、入侵檢測、風險分析與評估等諸多方面。在實際運用中,這些安全技術相互支持與協作,各自解決安全問題的某一方面。目前人們關注的重點在入侵檢測��、密碼技術等,作為訪問控制沒有得到應有的重視,事實上訪問控制是一個安全信息系統下不可或缺的安全措施���。訪問控制就是通過某種途徑顯式地限制對關鍵資源的訪問[1-2]�。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網絡安全監控系統,在分析主動式網絡監控系統設計基礎上,針對企業網非法接入防范子系統采用的SNMP協議進行相關分析。
2 網絡管理概述
隨著網絡技術的發展,網絡規模增大,復雜性也增加,以前的網絡管理技術已經無法適應這一情況,特別是由于以往的網絡管理系統往往是生產制造廠商在自已的網絡系統中開發的應用系統,很難對其它廠商的網絡系統、通信設備等進行管理,這種狀況很不適應網絡異構互聯的發展趨勢。網絡管理一般采用管理―的管理結構。網絡管理站是實施網絡管理的處理實體,駐留在管理工作站上,它是整個網絡系統的核心,完成復雜網絡管理的各項功能,如排除網絡故障、配置網絡等,一般位于網絡中的一個主機節點上。被管(簡稱)是配合網絡管理的處理實體,駐留在被管理對象上����。被管監測所在網絡部件的工作狀況,收集有關網絡信息��。公共網絡管理協議描述了管理器與被管之間的數據通信機制。
3 主動式網絡安全監控系統
3.1 需求分析
一般企業網內部資源的安全策略(諸如訪問權限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權限或IP地址,將會對企業內部造成重大損失,因此,系統主要從以下幾個方面考慮安全監控問題:
1)企業網內部主機資源的安全。 企業網內部主機除了應用傳統的防火墻�、入侵檢測系統以外,還可應用強制訪問控制機制對本機內部的重要資源實施強制訪問控制保護;
2)入侵檢測����。在發現非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發現入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關信息等;
3)企業網的接入安全 企業網安全監控的另一主要目的即對企業網內部的非法接入進行監控,發現非法入網者,主動地采取相關措施避免和阻止類似情況的發生,實現企業網安全的外部屏障;
4)安全審計,監控系統應當具備記錄監控信息的能力;
5)通訊機制,除了各子系統本身的主動式的反應機制���、通訊機制和控制機制以外,監控系統還應當建立通訊體系,向上級監控模塊提供安全監控信息,為管理機構制定相關策略提供有價值的參考����。
3.2 ANSMS 系統設計方案
主動式網絡安全監控系統(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統:主機強制訪問控制監控子系統(MACMS,Mandatory Access Control Monitor Subsystem)和企業網非法接入防范子系統(ICMS,Illegal Connection Monitor Subsystem)�。主機強制訪問控制監控子系統主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊��。
1)強制訪問控制模塊:建立和管理安全標簽庫,實現對用戶進程和文件安全標簽的管理,在對進程和文件的安全標簽進行比較后,根據相關規則決定進程對文件的操作權限和操作方式;
2)入侵檢測模塊,檢測網絡入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當中;
3)安全審計模塊 對強制訪問控制的監控信息進行安全審計,記錄入侵主機和非法操作進程,統計和審核,對高危險性和頻繁多發的操作進行分類和統計;
4)通訊模塊 與安全監控模塊實現通訊,及時地通報和匯總安全信息��。企業網非法接入防范子系統主要分為四個模塊:非法接入的檢測模塊��、非法接入的處理模塊和審計模塊����。
4 企業網防范非法接入監控子系統
4.1 非法接入防范策略
非法接入是指沒有經過科技部門允許直接將各類計算機和移動設備接入內聯網的行為���。網絡上出現不經常使用的IP�����、IP和MAC映射表與科技部門認定的不一致等現象,都可以認為是非法接入�。這類非法事件雖不是暴力入侵,但可能在內聯網傳播病毒���、移植木馬和泄露內聯網業務機密信息等嚴重的后果,而且發生的主要原因是內控措施不利和內部人員的安全意識不夠,所以很難預防和控制��。
非法接入的主要途徑――IP 地址盜用侵害了 Internet 網絡的中正常用戶的權益,并且給網絡計費���、網絡安全和網絡運行帶來巨大的負面影響,因此解決 IP地址盜用成為當前一個迫切的問題����?����;贗P盜用的非法接入的形式繁多,常見的主要有以下幾種:不經過系統分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發數據包時修改IP 地址。
在上述防范措施的基礎上,結合用戶認證和IP-MAC-PORT三者綁定的技術,首先確保合法用戶通過認證,再通過SNMP協議編寫相關的網絡管理軟件,輪詢交換機等網絡設備,獲取當前網絡中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發現非法的IP地址和接入點���。企業網監控著重于監控網絡當前主機狀況,發現非法接入點,采取相關行動阻止非法用戶接入網內。具體的設計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監控模塊����。
4.2 簡單網絡管理協議 SNMP
SNMP 的網絡管理模型包括以下關鍵元素:管理站�����、者、管理信息庫��、網絡管理協議���。管理站一般是一個分立的設備,也可以利用共享系統實現�。管理站被作為網絡管理員與網絡管理系統的接口。SNMP 中的對象是表示被管資源某一方面的數據變量����。對象被標準化為跨系統的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)��。MIB 作為設在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網絡監控。管理站可以在者處產生動作,也可以通過修改變量值改變者處的配置����。
SNMP 的規范 SMI(Structure of Management Information)為定義和構造MIB提供了一個通用的框架�。同時也規定了可以在MIB中使用的數據類型,說明了資源在 MIB 中怎樣表示和命名��。SMI 避開復雜的數據類型是為了降低實現的難度和提高互操作性�����。MIB 中的每個對象類型都被賦予一個對象標識符(OID),以此來命名對象。另外,由于對象標識符的值是層次結構的,因此命名方法本身也能用于確認對象類型的結構���。
在 TCP/IP 網絡管理的建議標準中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網絡管理而開發的 MIB-II��。管理站和者之間以傳送 SNMP 消息的形式交換信息�。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協議數據單元之一的消息類型�����。
4.3 非法接入防范子系統
SNMP++是一套 C++類的集合,它為網絡管理應用的開發者提供了 SNMP 服務�����。SNMP++并非是現有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP�。SNMP++只是通過提供強大靈活的功能,降低管理和執行的復雜性,把面向對象的優點帶到了網絡編程中���??梢岳肧NMP++來實現非法接入防范子系統的設計相關工作。在具體過程中需要考慮:
1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發現非法的IP地址,進而關閉其端口,阻止其接入企業網;
2)非法用戶成對修改 IP-MAC 地址方面���。
5 結束語
隨著 Internet 的運用愈加廣泛,網絡安全和信息安全的問題日益突出,入侵主機通過修改相關設置入侵企業網并在網內主機上安置木馬程序,對企業網內部資源造成很大的危害,嚴重影響了企業網內部資源的共享和保密性要求。論文提出的主動式網絡安全監控可有效的解決本地和網絡入侵以及外部非法接入的隱患,具有較高的安全性���、易用性和可擴展性。
參考文獻:
第4篇
這家成立剛剛兩年的公司再一次填補了我國在工業控制系統(下稱“工控系統”)網絡安全風險評估領域缺乏有效工具和方法的空白�。
近年來����,國內外發生的越來越多的工控網絡安全事件����,用慘重的經濟損失和被危及的國家安全警示我們:工業控制網絡安全正在成為網絡空間對抗的主戰場和反恐新戰場。 匡恩網絡總裁孫一桉說�����,預計匡恩網絡在今年可以實現可信和自主控制�,形成―個基于可信計算的安全體系。
隨著“中國制造2025”和“互聯網+”在各個領域的深度滲透和廣泛推進���,我們期待出現基于智能化����、網絡化的新的經濟發展形態。而這個目標的實現,離不開自主可控的工控系統�����,離不開我國工控網絡安全行業的健康快速發展和像匡恩網絡這樣專注于智能工業網絡安全解決方案的高科技創新企業��。
近日���,就我國工控網絡安全的行業現狀和產業發展等相關問題����,《中國經濟周刊》記者專訪了匡恩網絡總裁孫一桉���。
匡恩網絡是工控安全行業最強的技術力量
《中國經濟周刊》:在國內工控網絡安全行業�����,匡恩網絡是規模最大�、實力最強的企業之一�����,匡恩網絡在發展工控網絡安全產業方面有哪些優勢�?
孫一桉:匡恩網絡作為中國的工控安全民營企業���,源于中國��,扎根于中國,對中國工控網絡安全行業有自己的見解和應對之道����。
首先�����,匡恩網絡匯聚了網絡安全、工控系統等領域的優秀人才����,是國內安全界普遍認可的工控網絡安全領域技術實力最強�、規模最大的一支技術力量����。
其次,匡恩網絡擁有完全自主知識產權的安全檢測和防護技術�,國際領先����,填補國內空白,申請和取得了發明專利30余項和著作權30余項。
再就是�,以“4+1”防護理念為指導思想���,匡恩網絡已完成3大系列�、12條產品線����,成為國內首家以全產品線和服務覆蓋工控網絡全業務領域的高技術創新公司;獨創了從設備檢測、安全服務到威脅管理、監測審計再到智能保護的全生命周期自主可控的解決方案��。
“四個安全性”加“時間持續性”缺一不可
《中國經濟周刊》:我們了解到�����,您提出了“4+1”工控網絡安全防護理念,這一理念應該如何理解���,對匡恩網絡的產品研發有什么意義?
孫一桉:匡恩網絡在實踐探索中創新性地提出了“4+1”的立體化工控安全防護理念�。
第一是結構安全性����,包括網絡結構的優化和防護類設備的部署;第二是本體安全性���,主要關注工控系統中設備自身的安全性;第三是行為安全性����,工控系統對行為的判斷、處理原則和入侵容忍度與信息系統不同���,要根據工控系統的行業特點,判斷系統內部發起的行為是否具有安全隱患����,系統外部發起的行為是否具有安全威脅����,并采取相應的機制;第四是基因安全性���,實現工控安全設備基礎軟硬件的自主可控����、安全可信,并進一步將可信平臺植入到工業控制設備上;最后是時間持續性�����,即安全的持續管理與運維��,在持續的對抗中保障安全。 在“4?29首都網絡安全日”博覽會上,匡恩網絡推出的部分保護類產品���。
綜上,四個安全性加時間持續性,就構成了我們的工控安全防護體系。
匡恩網絡已實現全系列產品自主可控
《中國經濟周刊》:工控網絡安全領域的關鍵就是自主可控?��?锒骶W絡在這方面是如何布局并逐步推進的?
孫一桉:匡恩網絡是做工業控制網絡安全的,行業涉及國家關鍵基礎設施、制造���、軍隊軍工等重大領域,所以我們從一開始就在硬件和軟件方面全部堅持自主研發�,所有的解決方案都是自主開發����,也申請了大量的專利和知識產權保護���,目前已做到了全系列十幾款產品的自主可控����,是國內同類廠商中的佼佼者���。下一步,我們將把自己開發的硬件、軟件全部納入可信計算體系�。我們可以保證任何篡改����、植入的系統都不能在我們的環境下運行。預計匡恩網絡在今年可以實現可信和自主控制�,形成一個基于可信計算的安全體系���。
工控系統的特點是行業差異化大�����、投資大
《中國經濟周刊》:許多業內人士表示�,工控網絡安全是一個很大的市場,也是將來能出現大公司的行業。關于這個市場�����,目前工控網絡安全主要針對或服務的是哪些行業���?
孫一桉: 工控網絡安全的市場應從三個層次去看�����。
第一�,工控網絡安全本身�。我國制造業、基礎設施的規模非常大,它們在安全方面的花費有一個固定的比例����。
第二��,更大范圍內的大安全的概念。工業網絡安全也是生產安全的一部分,在大安全概念中的市場就更廣泛了�,涉及到與功能安全相結合�、數據安全相結合等��,而不僅僅是網絡安全���。 匡恩網絡推出的虛擬電子沙盤����,展示智能制造等六大行業解決方案�����。
第三�,做安全一方面是為了保護���、防御系統安全��,另一方面也是為了提高生產力,所以�,在此基礎上衍生出了工控系統本身智能化的提升和生產力的提高����?�?锒骶W絡的定位是從“工控的安全”做到“安全的工控”�。這個過程當然不是一蹴而就�����,我們先要解決工控系統的網絡安全�����,之后再擴大到大安全的概念,最后再擴大到工業智能化����,以安全為基因的智能化生產和智能化服務�。
我們自2015年成立匡恩網絡智能工業安全研究院以來�����,就已經突破了傳統的��、簡單的工業網絡安全的概念���,在新能源和智能制造等領域開始布局新的產品�����,今年會有一系列新的產品�����。隨后我們還會再進一步擴大范圍���。
之前的一兩年我們著重做平臺建設���。工控系統的特點是行業差異化太大���,我們投入巨大的研發力量����,做了一個適應性非常好的平臺����。這些前期的工作現在已經開花結果了,我們針對各個行業的特點做行業解決方案��,提供定制化服務����。目前覆蓋的行業主要包括能源電力、軌道交通����、石油石化�����、智能制造等�,凡是智能化水平比較高的工業和制造業企業都是我們的客戶。也包括基礎設施如燃氣����、水�����、電、軌道交通、高鐵、航空����、港口等�。今后我們還要繼續拓展行業范圍�,比如防疫站、醫院,未來也會關注更多的物聯網終端。
工控安全市場只開發了冰山一角
《中國經濟周刊》:工控網絡安全的需求這么大��,您估計國內市場有多大規模����?
孫一桉:我一直都不認為工控網絡安全是整體信息安全的一個細分市場,它更像是傳統信息安全領域的平行市場,市場規模非常大。但是這個市場的成長,從大家認識到開始采用再到大量采用,跳躍性很強,需要一個比較長的培養過程��。
這種跳躍是由幾個原因造成的:一�����、這個市場更大程度上是一個事件驅動�、政策驅動的市場����,是跳躍性的。二����、行業進入門檻非常高。不管是匡恩網絡還是華為��、思科,要進入一個新行業,都要經過一個很長時間的試點和適應階段���,而且在此期間看不到效益。但一個小小的試點,隨之而來的可能就是復制性很強的��、爆炸性的市場�。
現在我們所做的點點滴滴,只是未來更大的市場的冰山一角。盡管我們2015年相比2014年有10倍的增長��,今年預計還會有大幅增長�����,但這并不是我們最看重的���。在工控安全市場爆發點來臨之前����,我們要做的���,就是全力以赴地練內功��,做品牌���,做產品���,讓用戶的認可度和滿意度不斷提升����。
我們與傳統信息安全廠商主要還是合作關系�,我們做工業控制網絡安全��,介于信息安全和工業控制之間���。這是一個新生態�,我們在努力適應并融入這個新的生態圈����。
專家點評
北京中安國發信息技術研究院院長、信息安全應急演練關鍵技術研究中心主任張勝生:我國工控安全保障需要從業務安全需求出發
在“兩化融合”“工業4.0”和“中國制造2025”的大背景下���,隨著信息化的推進和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統����,在為工業生產帶來極大推動作用的同時���,也帶來了工控系統的安全及泄密問題�����。我國工控系統及設備的安全保護水平明顯偏低,長期以來沒有得到關注�����,如系統終端平臺安全防護弱點��,系統配置和軟件安全漏洞����、工控協議安全問題���、私有協議的安全問題�����、隱藏的后門和未知漏洞、TCP/IP自身的安全問題�����、用戶權限控制的接入、網絡安全邊界防護�����,以及內部非法人員��、密鑰管理�、當前國際復雜環境等���,存在各種網絡安全的風險和漏洞���。
第5篇
關鍵詞:人工神經 網絡之下 建筑施工 安全評價
前言
建筑施工���,在整個城市發展過程當中占據著非常重要的地位的����,并且也是推動一個國家城市化的重要基礎,但與此同時�,建筑施工領域本身也是具有較強的危險性���,并且���,自身還具有生產流動性大以及產品形式光��,施工技術比較復雜等等特點���,所以�,定期定時的對建筑施工采取合理有效的安全評價,不光是能夠在很大程度上提升了建筑施工作業的全面管理水平,還是能夠為整個建筑施工的安全性,打下結實的基礎保障�����。
一�、訓練人工神經網絡
訓練人工神經網絡,其實主要是就通過使用BP算法的神經網絡,也是當前被我國各個領域所廣泛使用到的一種神經網絡,主要是由眾多的神經元所組合而成的��,包括了輸入���、隱含��、輸出等層��,其在實際工作運行的過程當中,主要是分成以下步驟:1.學習期��。對于此狀態下的各個計算單元自身的狀態值是不發生任何改變的�,但是,在對其網絡的連接權進行修改的過程當中�,也使得系統的輸入�����、輸出之間的呈現出一種映射的關系,也即為函數關系,其主要的目的也是為了能夠在最大限度上保證,整個系統實際的輸出則是為期望輸出����。2.工作期����,此時各個連接權是被固定的�����,然后計算單元狀態變化以求達到穩定[1]。
在整個模型的輸入層單元數即是對安全評價指標數目�,則是根據前面分析的建筑施工現場自身的安全評級指標�,在其的輸入層當中的節點數則是設定在了20�����,那么對于中間層則是要確認為隱含層�,其層數與之所相對應的節點數的選取則是為一個非常具有復雜性的問題����,這里主要是因為,在采用不同的內部表象的過程當中����,其所需要的內部單元數上����,是完全不相同的,所以,這也就意味著����,綜合評價結果對應的是很安全��、較安全、合格、較危險、危險等幾種不同的程度的�,這里對于輸出層的節點數則設定在5����,那么其標準的輸出模式則是分別在了(1����,0,0,0����,0)、(0����,1����,0��,0�����,0)、(0����,0�,1����,0,0)���、(0,0�,0��,1,0)�����、(0����,0��,0��,0,1)[2]����。
二���、實力分析
依照于我國某個建筑施工的安全評價指標體系�,所選取出二級指標的16個指標��,作為整建筑施工事故可能會發生的一些潛在患�,然后在對其進行全面綜合的分析�,以此來有效的判斷出,整個建筑施工自身的安全狀況[3]��。
(一)樣本數據的離散化和約簡
本文主要重點闡述在使用運用BP進行樣本數據的約簡�����,從而通過使用Boolean Reasoning Algorithm的方式����,來對整個樣本的數據進行離散化,然后在合理的通過使用Genetic algorithm的方式來對整個樣本數據����,進行屬性上的約間�,從而使得約簡出來的總共多達1700度條規則��,然后在以此依照于BP人工神經自身的約減規則��,從而有效的選擇出了關于LHA自身的覆蓋率以及RHS自身的覆蓋率等指標,然后在對整個數據集�,合理的進行規則上的提取�,從而有效的到了30條規則����。在通過對于提取規則進行進一步的研究分析���,在優先參考我國相關建筑施工人員自身的意見���,從而才能夠最終的確定好幾項指標��,是在整個建筑施工安全當中的關鍵核心要素��,即U12U24U32U42U43.在針對于約簡前的評價指標當中,主要是存在大約16個左右,在對于訓練樣本上則是分成了14組,在通過對樣本數據離散化以及屬性的約簡以后����,就能夠將原本眾多的評價指標�,逐漸的變為5個���,這樣也是在最大限度上降低了整個輸入空間�,也是便于之后簡化神經網絡結構的展開以及運行,以此提升訓練的效率強度[4]。
(二)約簡后的樣本數據進行預測概述
在這里主要是按照已經被約簡之后所得到的屬性集�����,剩下的U12U24U32U42U43這五列數據��,便能夠很好得的得出了約簡以后的神經網絡訓練的樣本���。對于這五列數據����,均采用三層的BP神經網絡結構�,在輸入層為5個神經元上,在合理的采用以上幾種方式,估計出其中所隱含的層節點數為3.以此����,有效的計算出其中所隱含的層節點數的設置,在將這些數值求出總體的平均值�。
三�、結果
在合理的通過對于建筑施工安全相關的指標體系的研究���,并且��,主要依照于建筑施工自身的實際����,在合理的通過使用安全系統的整體工程原理����,在立足于人、機器�����、環境�����、管理等幾方面上�,對其更進一步的研究����,從而有效的確定出了建筑施工安全的16個評價指標�。在基于人工神經網絡之下的建筑施工安全評價模型�,也主要是將粗糙集作為整個神經網絡自身的前段處理器,主要將其應用在了有效縮減整個神經網絡學習過程當中的一些學習樣本,這樣做也是為了能夠在最限度上滿足于簡化神經網絡結構所對其提出的各種要求����,不僅如此,還合理的利用BP神經網絡�����,并且�����,自身也是具有較強的預測精準度的����。在利用人工神經網絡下的建筑施工安全評價模型當中����,也是對我國各個實際建筑施工工程自身的安全狀況,進行了及時有效的安全評價����,其所顯示出來的結果也是完全與建筑施工工程自身的實際情況所想符合[5]����。
四��、結論
只有真正的增強人工神經網絡下的建筑施工安全評價的重視度�,才能夠在最大限度上提升我國建筑施工的安全以及穩定性�����。
參考文獻:
[1]袁寧�,楊立兵.基于粗糙集-人工神經網絡的建筑施工安全評價及應用[J].安全與環境工程���,2012��,01:60-64.
[2]張文博,宋德朝�����,鄭永前.基于人工神經網絡的建筑施工安全評價[J].工業工程�,2011,02:
75-79.
[3]宋飛,許程潔,吳紅霞. 基于改進BP神經網絡的建筑施工安全評價[J].工程管理學報,2011����,
06:629-632.
[4]徐平. 基于BP神經網絡的建筑施工現場安全評價研究[J].江蘇建筑����,2013�,02:63-64+69.
第6篇
垃圾郵件、網絡病毒、網上詐騙����、惡意掛馬等無時無刻不困擾著企業網絡��,同時,內部員工利用互聯網下載、玩網游��、上班聊天����,這些無序行為會導致企業辦公效率下降。企業在面對內憂外患的情況下�,該如何創造出一個安全高效的網絡環境呢?
第一�����,如何反垃圾郵件?
垃圾郵件每天都消耗著CEO、CIO的寶貴時間,據較早前英國媒體報道�����,英國企業員工在處理垃圾郵件上平均每天要花一個小時���。垃圾郵件所帶來的不僅是安全隱患��,更重要的是導致員工工作效率低下��。
因此,有自建郵件系統能力的大企業要加強對垃圾郵件區分以及監控;租用外包郵件系統的企業,則需選擇反垃圾郵件出色的企業郵箱服務商。筆者認為中國諾網企業全球郵值得信賴��,因為企業全球郵擁有Linux CentOS release 4 5(Fianal)與McAfee uvscan for linux的高級反病毒結合���。即時郵件殺毒監控�,有效攔截附件中的病毒文件或者是郵件內容中的惡意代碼。及時更新垃圾郵件數據庫,每天有專人負責收集互聯網上的信息�����,通過篩選��、分析��、整改等一系列細致過程來更新垃圾郵件數據庫。
還可以通過設置策略,判斷郵件來源�、郵件內容�����、郵件容量和類型等各項功能來實現避免對正常郵件的誤判:也可以對收到的所有郵件進行以下處理方法:“直接丟棄”、“保存在指定的郵件文件夾”、“轉發到其他郵箱”��、“拒收并回復你想說的內容”或“自動回復來告訴對方你已經收到信”�����,最大限度地減少垃圾郵件的接收�����。
同時�,支持IP白名單、域名白名單���、發件人白名單、IP黑名單��、域名黑名單����、發件人黑名單等項目功能?���?偠灾?����,經過三重過濾、五重凈化�,反病毒����、垃圾郵件過濾率都能達到98.32%����。
第二,提高邊界防御能力以及對局域網的管理
通過網絡基礎設備進行過濾�����、抵抗外網的攻擊�����,如防火墻���、IPS、IDS能防范大多數的網絡攻擊,起到一定的保護作用��。同時,局域網也進行安全防御�,萬一某臺計算機中毒就可以避免連累整個網絡系統����。局域網內計算機要及時更新個人防火墻和殺毒軟件�,定時進行殺毒以及對安全漏洞進行補丁。
第三���,加強公司對外信息交流的審核以及監控
企業商業機密信息泄露有可能危及到企業競爭,甚至生存����,企業也應該從即時聊天�����、HTTP、FTP等各個出口����,進行外發信息審計和監控���,包括對關鍵字審計����。
第四�����,對網絡應用進行管理
首先要優化帶寬�,對垃圾流量進行限制����,采用QoS技術對重要服務先行��。其次��,剛才筆者提到某些員工上班時間玩網游、在線聊天等嚴重浪費帶寬資源。例如某廣告公司就規定���,員工上班用即時聊天工具即當泄露公司秘密處理,某些企業就干脆限制對“開心網”等SNS社區的訪問。
第7篇
著作權的對象是作品,是指文學、藝術和科學領域內具有獨創性并能以某種有形形式復制的智力成果。網絡著作權是著作權的下位概念��,是指各類以數字形式存在的具有獨創性的作品在網絡環境下所享有的著作權權利����。換句話說,網絡著作權保護的對象是網絡中的作品�����。在網絡中傳播的作品主要有兩類:傳統作品的數字化形式和借助數字化技術產生的作品形式�,統稱為“網絡作品”。〔1 〕網絡著作權與傳統著作權相比有以下特點:網絡著作權的地域性消失;網絡著作權的權利人身份認證困難���;網絡著作權的專有性被削弱。在批量復制技術、網絡傳播技術日益發達的今天�,網絡著作權侵權現象日益嚴重�,也受到了很大關注���。對于網絡著作權案件是否應予以立法上的特殊關注���,筆者認為這屬于刑事政策范疇的考量�,對于任何一種社會現象的規制,尤其是因為社會現代化而在商業、經濟領域內新出現的社會現象的規制,都不僅僅是法律條文�����、法律體系的討論���,還有實際的國情及立法價值的探討��。〔2 〕而本文僅在現行法的框架下展開��,擬對司法實踐有所裨益����。
在現行法看來�����,網絡只是一個環境,一個場所,很多傳統的行為在網絡上都可以發生,同樣地,犯罪行為也會隨之而來���。例如,盜竊Q幣的構成盜竊罪,散布謠言的視為尋釁滋事��,〔3 〕雖然頗有爭議���,但這些論爭乃至最后結論的得出很大程度上都是將網絡視為一個看不見摸不著的場景����,認為在這個場景中切切實實地發生了傳統的民事行為和犯罪行為。此時,民法和刑法的觸角伸及網絡��,并非法律的擴張�,而是技術的進步給我們的生活拓寬了空間。對網絡行為進行規范判斷,首先要進行定性分析��,如果從性質上等同于我們在傳統生活場景中的行為�,那么適用傳統法律法規就沒有問題,除非在傳統生活中找不到對應的情形,才需要特殊的網絡相關法律法規予以規制。
關于著作權法禁止的違法行為���,《刑法》第217條至第218條著作權刑法規范從8種侵犯著作權行為(2010年《著作權法》第48條)中選取特定的4種行為(非完全一一對應 〔4 〕)成立侵犯著作權罪和銷售侵權復制品罪,并且明確了“以營利為目的”作為前提�。就“以營利為目的”的存廢論,有“取消論”�、〔5 〕“加重量刑情節論”����、〔6 〕“有條件的保留論”����、〔7 〕“保留論”,〔8 〕觀點聚訟�,爭鋒相對��。在網絡侵犯著作權的情形,只是著作權侵權行為發生的地點和方式發生了變化�,同樣的爭論不僅重演�,甚至“取消論”者的呼聲更高����。筆者認為,網絡著作權刑事案件不能因為網絡侵權的便宜性�、犯罪偵查的復雜性就輕易提出要特殊相待�,甚至提出降低犯罪構成的門檻�。學界關于網絡著作權刑事案件中“以營利為目的”應否廢止的論爭實際上源自于對網絡新生事物的恐慌,缺失刑法學的理性判斷����。
如果說人類的智力成果是廣袤的海洋�����,無邊又無際,知識產權法的保護就只是其中的幾座孤島���。而鑒于知識產權是私權,公權力對私權的保護只是基于最后保障性地位���,因而應具有最大程度的謙抑性。據此����,知識產權的刑法保護只能是孤島中的大島。刑法的威懾性在經濟犯罪中本身就是有限的,而刑法對于新興事物的“事必躬親”是缺乏說服力的����。網絡侵犯知識產權行為作為新生事物�,司法機關既要保護知識產權���、打擊侵權行為�,也要注意區分、加以甄別�,對輕微侵權行為和非典型權行為慎用刑罰�,以期達到良好的社會效果和法律效果�����。立足司法適用的視角���,筆者首先要明確的是���,現行刑法關于著作權犯罪就規定了侵犯著作權罪和銷售侵權復制品罪兩個罪名�����,下面就這兩個罪名中的“以營利為目的”展開分析��。
二、我國刑法學界關于著作權犯罪“以營利為目的”的觀點
“以營利為目的”作為人的一種主觀心理態度��,不僅僅停留在其大腦中的純主觀思維活動����,而是必然通過支配行為人客觀的犯罪活動,從犯罪前��、犯罪中�����、犯罪后的一系列客觀外在活動表現出來?�!? 〕《刑法》第217條侵犯著作權罪和第218條銷售侵權復制品罪雖然從表面上看�����,兩罪的罪過形式都是故意���,且“以營利為目的”���,但通過對行為方式的考察���,大致可歸屬于侵犯著作權的直接侵權和間接侵權情形��。所謂直接侵權是指行為人直接實施了侵權行為,主觀上有直接的故意,并造成侵權后果的發生,如《刑法》第217條侵犯著作權罪,相應的網絡上著作權的直接侵權可以表現為行為人沒有合法的理由�,把受版權法保護的作品上傳到網絡上或從網絡上下載使用��,以此營利。間接侵權是指行為人雖沒有直接實施侵犯受版權法保護的作品的行為,但為直接實施侵權行為提供了便利�,這種便利本應包括引誘�、教唆或有意幫助�。在刑法上僅就事后的“幫助”行為進行了規定,發生在網絡環境下就可能是對于明知的侵權復制品在網絡上加以銷售。根據《刑法》第217條和第218條的關系,可見間接侵權是建立在直接侵權的基礎之上的�����,也就是說沒有直接侵權就不存在間接侵權���。我國現行犯罪論體系采取的是主觀的違法性說���,即只有同時符合主客觀要件的行為��,才具有違法性。根據主客觀相統一原則�����,兩罪的不同在主觀方面也會體現出來����,這就需要對于“以營利為目的”的性質進行辨析。
1.同一論
有學者認為�,我國《刑法》第217條侵犯著作權罪和第218條銷售侵權復制品罪主觀方面都要求“以營利為目的”����,因此�����,如果行為人缺乏該主觀要件����,即使行為造成嚴重的危害后果���,根據罪刑法定原則依然不能構成犯罪。還有學者認為���,我國《刑法》第217條侵犯著作權罪的故意是一種包含了“營利目的”的故意——認識到未經他人許可,認識到自己的行為是在復制發行他人作品,認識到自己行為的營利性��,并且希望自己的行為能夠復制發行他人作品�����,希望自己的行為能夠營利���。同樣,第218條銷售侵權復制品罪的犯罪故意也是包含了“營利目的”的故意����。這兩種觀點雖然對于兩罪的“目的”屬于何種性質的認定未必相同�����,前者認為兩罪犯罪構成要件中故意以外的必備要素,是籠統的�、一般的主觀超過要素���;后者認為“營利目的”是犯罪故意的意志要素的一部分��。但它們的共同點在于,認為“以營利為目的”在《刑法》第217條和第218條中明確規定表明著作權犯罪是一種目的犯���,目的犯的罪過前提是故意,即排除了過失構成侵犯著作權罪的可能��。在兩罪的司法認定中���,舉證責任相同��,都需要對故意以外的“營利目的”進行證明�,故為“同一論”��。
2.區別論
有學者將犯罪目的與犯罪故意的關系分為三種情況:第一種�����,犯罪目的屬于注意規定,犯罪目的對犯罪故意和犯罪行為的違法性都沒有影響�����。這類犯罪雖然含有犯罪目的�,但不是目的犯�;第二種,犯罪目的是犯罪故意的意志要素的一部分,其功能在于明確犯罪故意的內容。第三種,犯罪目的是犯罪故意之外的主觀超過要素�����,其功能在于影響行為的違法性����。〔10 〕根據這個分類,作者將《刑法》第218條銷售侵權復制品罪的“以營利為目的”歸于第一種���,即不影響犯罪故意和犯罪行為違法性,只是起到提醒司法工作人員注意的作用。換言之,《刑法》第217條不屬于這種注意規定可有可無的情形,“以營利為目的”是具備實質意義的構成要件要素���,在司法實踐中,需要對之予以證明。故稱“區別論”�����。
三���、《刑法》第217條和第218條“以營利為目的”性質辨析
筆者同意上述區別論�����,認為對兩罪“以營利為目的”的性質有必要區別對待����,并嘗試運用德日刑法中目的犯之“二分法”進行辨析。
1.目的犯之“二分法”
對于主觀的超過要素�����,德日刑法學通說將目的犯分為斷絕的結果犯與短縮的二行為犯兩種類型�?�!?1 〕在斷絕的結果犯中�,事實上的行為結果與規范上的危害結果不一致��,發生斷裂�����。因此,僅僅根據客觀要件(行為和事實上的行為結果)以及對客觀要件(行為和事實上的行為結果)的認識與意志尚難以認定犯罪是否成立或成立何罪,此時就需要(立法規定和刑法解釋)某種目的以揭示�、補充犯罪故意的意志要素�。例如�����,誣告陷害罪的客觀行為是捏造事實�����,誣告陷害他人,從該行為并不能夠推出行為人具有犯罪故意,如果行為人出于損害他人名譽的目的或者使他人受行政處分的目的都不具有犯罪故意����,不構成本罪����,只有當行為人意圖使他人受刑事追究時�����,該目的“補足”本罪犯罪故意所缺少的內容��,從而才能夠明確行為人具有犯本罪的故意,有助于本罪的認定?�!?2 〕而短縮的二行為犯(間接目的犯)是以實施第二行為為目的的犯罪�,但只有第一行為是構成要件行為����,第二行為不是構成要件行為;間接故意可以成立短縮的二行為犯����;例如�����,要求行為人客觀上實施第二個行為;與此同時�,如果行為人不以實施第二個行為為目的��,即使客觀上實施了第一個行為,也不成立犯罪(或者僅成立其他犯罪)��?�!?3 〕例如《刑法》第269條轉化型搶劫罪���,“犯盜竊�����、詐騙、搶奪罪�,為窩藏贓物��、抗拒抓捕或者毀滅罪證……”作為法律擬制的搶劫罪,其對于特殊的目的有法律明文規定作為依據����,這種目的是超過主觀故意以外的要素�。而且���,有學者認為�����,短縮的二行為犯可以由間接故意構成��。〔14 〕因為���,第一個行為的結果與行為人實施第二行為的目的并不相同,因此��,對第一個行為的結果的放任與對第二個行為的目的完全可以并存�。簡單說來,兩者最大的區別在于斷絕的結果犯的目的是直接故意的內容��;短縮的二行為犯的目的是故意之外的獨立要素��。據此�����,斷絕的結果犯的目的必須在論證直接故意之上;而短縮的二行為犯的目的相對獨立�����,在主觀方面不需要證明有直接故意��,證明間接故意即可告成���。
隨著概念的引進和不斷的被討論��,我國學者對這兩個概念也逐步地接受并內化形成了自己的理解。針對《刑法》第217條中的“以營利為目的”究竟屬于哪種類型�,有兩種觀點:一種觀點認為�,侵犯著作權罪的“以營利為目的”屬于斷絕的結果犯�����。侵犯著作權罪的故意是一種包含了“營利目的”的故意——認識到未經他人許可,認識到自己的行為是在復制發行他人作品,認識到自己行為的營利性,并且希望自己的行為能夠復制發行他人作品,希望自己的行為能夠營利�����。如果抽掉犯罪故意中的“營利目的”��,剩余的內容就是一種法國刑法傳統概念式的抽象故意���,這種故意不是我國刑法規定的犯罪故意�����。另一種觀點認為,侵犯著作權罪是一種典型的“短縮的二行為犯”。就行為人的主觀方面的“以營利為目的”的目的與其所具體實施的侵權行為二者之間的關系進行分析,侵犯著作權罪屬于所謂“短縮的二行為犯”����,是為了達到最終實施第二個行為的目的����,直接實施了第一個侵犯著作權的行為�,就以犯罪既遂處理,對于行為人的第二個行為是否實施、及其實施的程度沒有任何客觀要求�。
2.性質辨析
對于外來法學理論的借鑒�,還是要“不忘初心”��,回歸到最基本的關系上進行解讀�����。
首先,考察目的和行為的關系。就侵犯著作權罪而言�,行為人實施故意侵犯著作權的行為�,只有在為了營利時才構成犯罪��,侵犯著作權是第一個行為,營利可以通過行為人自己或者第三人銷售以達到目的����,這是第二個行為����。第二個行為未必要實現,只需要有第二行為的目的即可,二行為犯(營利)目的的實現與否��,既不影響犯罪的成立���,也不影響犯罪既遂的認定����。侵犯著作權是數額犯、情節犯,達到數額或情節要求的按既遂處理;而未達到量的要求的按照未遂處理�,跟二行為犯的目的沒有關系�����。對于銷售侵權復制品而言,雖然規定了“以營利為目的”,但“銷售”一詞表明了行為的營利性�,“營利”根據《辭?!丰屃x��,是謀求私利��、謀求利潤或贏利的意思。從表面來看,這是對行為人主觀罪過的要求。有學者對“營利�、盈利��、贏利、牟利”進行了詞義考察��,指出贏利與盈利�,兩者很相似,是企業經營獲得利潤的結果���。而“營利”強調謀求利潤的目的性,與“牟利”接近���?����!?5 〕銷售是賣出(貨物)的意思����,作為商品買賣的雙方��,一方為了營利�,一方為了獲得自己所需����。所以,銷售活動本身就是一種經營活動��,其目的就是營利��。也就是說�,行為人實施符合構成要件的行為就可以實現其目的�,符合斷絕的結果犯對目的和行為關系的定義。
其次�,考察事實和規范的關系��。事實上,有沒有不以營利為目的��,侵犯他人著作權的情形�?答案是肯定的。這種情形“不以營利為目的”是否需要刑法規制�����?答案是否定的���。這是按照目的解釋得出的必然結論:如果沒有對目的加以規定����,立法者認為其行為對法益的侵犯沒有達到應受刑罰處罰的程度����,于是該目的具備了區分罪與非罪的機能。從事實層面來看���,“以營利為目的”是內化于“故意”之心的。但是從規范意義上來說���,正是由于立法者基于應受刑罰懲罰的目的性考慮,只擇取了營利目的這一種情形入罪,體現了強烈的規范意義����。所以�����,對于直接侵權而言���,“以營利為目的”不僅僅是注意規定�,它不是犯罪故意里面所包含的必然要素�。誠然多數犯罪故意都是“以營利為目的”,但不否認有其他目的例如娛樂���、滿足自我愛好等目的。第217條侵犯著作權罪要求有特定的犯罪目的才能構成犯罪�����,“以營利為目的”這個主觀的超過要素�����,是法律規范施加的,相應地在司法實踐中也需要得到特殊的證明。而銷售侵權復制品的事實和規范內容是同一的��。實施銷售活動本身的目的里面就包含了營利目的���,在罪狀描述中強調了“以營利為目的”只是對銷售行為的主觀方面的一種重復���,并沒有任何補充��。這只是法律的一種提示性規定�,用以提醒法律工作者在認定行為時常與此相關聯��,彼此間存在事實和規范相互印證的關系���。2011年“兩高”����、公安部《關于辦理侵犯知識產權刑事案件適用法律若干問題的意見》(以下簡稱“2011意見”)第10條關于侵犯著作權犯罪案件“以營利為目的”的認定問題的表述也說明了這一問題��,“除銷售外��,具有下列情形之一的,可以認定為‘以營利為目的’”,這說明如果具有銷售行為的��,就不再需要對“營利目的”加以說明�,有銷售行為即證明主觀上有“營利目的”,這是一種基于字面解釋得出的結論,是合理的司法推定��。
可見�,雖然侵犯著作權罪和銷售侵權復制品罪都規定了“以營利為目的”,但在兩罪的構成要件中所起的作用截然不同,第217條是限制作用�,第218條是強調作用���。按照目的犯的“二分法”����,前者屬于短縮的二行為犯���,后者則是斷絕的結果犯���。對此性質的辨析和明確�,有助于司法實踐中準確定罪量刑����。
四、網絡侵犯著作權罪中“以營利為目的”的司法適用
1.目的犯和間接故意
[案件一] 〔16 〕被告單位北京易查無限信息技術有限公司�,于某為其法定代表人�����。自2012年起,于某為提高“易查網”的用戶數量��,通過技術部早已開發的爬蟲軟件將互聯網上發現的小說形成目錄索引��,用戶搜索���、點擊某小說閱讀時����,就通過自己開發的程序進行文本樣式轉碼,最后將轉碼后的小說內容緩存到自己的服務器,從而提高用戶的瀏覽速度����;用戶訪問觸發轉碼�����,互聯網上的小說就自動緩存下來,供移動電話用戶在小說頻道內免費閱讀。
面對辯護人提出被告人不存在主觀故意,“被告單位易查公司設有法律部門負責處理涉嫌侵權作品的‘通知-刪除’工作�����,盡到了注意義務……于某僅提出了做小說轉碼業務的要求����,其設想的技術過程并不侵權”��,一審法院認為��,“被告人于某在被告單位易查公司中負責技術工作,其提議開發涉案觸屏版小說產品���,且由其直接提出該產品的技術需求,則在具體開發中����,尤其是產品上線前�����,其應跟蹤了解該產品的技術實現方式,以確保不侵犯他人合法權益��。于某自認其并未完全了解該技術的具體實現方式�,也未就開發中的具體技術問題進行后續跟蹤,其主觀上至少存在放任的間接故意”���。對此,有人認為���,如果僅僅證明被告人具有間接故意,對于說明主觀罪過恐怕不夠充分����。因為傳統刑法理論告訴我們�,目的犯只能存在于直接故意中���,間接故意和過失犯罪不存在犯罪目的問題���,間接故意犯罪和過失犯罪中的行為人�,都不期望危害社會結果的發生����。如果無法證明行為人具有直接故意,則不能證明其主觀上具有“營利目的”。
但由于侵犯著作權罪屬于短縮的二行為犯,這就為間接故意的存在提供了可能性�。從心理事實來說�����,當行為人所放任的結果與行為人所追求的目的不具有同一性時,即兩者分別為不同的內容時,完全可能并不矛盾地存在于行為人的主觀心理中�����?��!?7 〕換句話說��,在短縮的二行為犯中�����,由于行為人預期的前行為的犯罪結果與后行為的犯罪目的指向的內容是不同的���。因此��,行為人主觀上完全可以既有對前行為的結果的放任態度,又有追求后行為的目的��。
當然���,在本案中���,對直接故意的認定也并無困難���。經審理查明�����,被告人通過在“易查網”內植入廣告,使用易查公司的銀行賬戶收取廣告收益分成。從這個事實就可以看出行為人對采取技術手段侵犯他人著作權將為自己帶來利益是明知并且希望的主觀心態��,從而可以得出行為人主觀罪過為直接故意�����,并具有“營利目的”��。這與司法解釋“投放相關廣告收取相關費用”也是一致的,“投放相關廣告收取相關費用”作為一種司法推定,符合了刑法理論中直接故意和犯罪目的之間的關系而具有合理性。所謂犯罪目的���,是行為人對發生危害結果的希望或者追求的心理態度。在一般情況下,法律對犯罪目的不作明文規定�,因為通過分析這些犯罪的構成要件���,便可明確其要求的犯罪目的�����;犯罪目的不是犯罪主觀方面的必要要素,但明確犯罪目的,對正確定罪量刑有所幫助。而在目的犯的場合,則需要證明這主觀的超過要素的存在�。由于目的和動機往往深藏于人的內心深處�,無法洞察�����,表面上看增加了公訴方的舉證責任,但實際上運用合理的司法推定就可以使行為人的狡辯遁于無形�����,例如“投放廣告收取費用”說明行為人為了獲利而直接希望危害結果的發生���,排除了放任結果發生的可能�����。
2.直接營利和間接營利
[案件二] 〔18 〕2010年12月�����,被告人馬某某在互聯網上設計并推出了“Excel三國殺”游戲,并于2011年7月取得了計算機軟件著作權登記證書�����。其間��,馬某某未經著作權人許可���,使用了邊鋒公司運營的三國殺游戲的圖片和聲音���。2012年7月�,馬某某和邊鋒公司在談判合作“Excel三國殺”游戲未果后�,邊鋒公司明確禁止馬某某使用三國殺游戲的相關圖片和聲音。馬某某為謀取私利���,仍編輯三國殺游戲的相關圖片和聲音����,制作成“Excel三國殺”素材包V2.0����,為規避法律�����,使用“六只白蟻”的網名在互聯網上該素材包供用戶下載�,用于“Excel三國殺”游戲的運營�。
在本案中,一審法院認為�,“Excel三國殺”游戲是馬某某用以營利的主要手段����,其直接目的是通過“Excel三國殺”游戲獲取相關收益���?!癊xcel三國殺素材包”是其用以增加“Excel三國殺”游戲用戶體驗從而增加下載量的輔助手段,該侵權行為的實施客觀上增加了“Excel三國殺”游戲的營利�����,馬某某對此事實明知����,但仍積極實施侵權行為,間接地收取了相關費用�����,故應認定其具有“營利目的”�。在一審判處被告人馬某某犯侵犯著作權罪后,被告人提出上訴�,諸理由中有一項是認為“以營利為目的”的認定事實不清�。被告人提出�,司法解釋對于“以營利為目的”的規定�,是通過信息網絡傳播他人作品,在網站或者網頁上提供刊登收費廣告服務,直接、間接收取費用的�����。而馬某某在馬峰窩網站中不存在投放相關廣告收取相關費用的行為���。
對于涉嫌侵犯著作權罪的案件而言����,公訴方除了證明犯罪嫌疑人主觀上是犯罪故意以外,還需要證明額外的“以營利為目的”。“2011意見”以列舉的方式表明三種情形可以認定為“以營利為目的”�,并在第(4)項兜底性地規定了其他利用他人作品牟利也可構成���。也就是說����,“以營利為目的”的情形包括但不限于前三項����,關鍵在于行為目的的牟利性,只要排除非營利的目的(包括著作權合理使用)皆有構成犯罪的可能。所以,被告人認為自己沒有投放廣告收取費用就不構成“營利目的”的辯護意見不能成立。
從營利取得的途徑來看,可以分為直接營利和間接營利。直接營利目的相對容易理解���;間接營利目的,是指行為人實施完畢刑法規定的某種犯罪的構成要件,并不能直接獲取利潤�,尚需要行為人或者第三人實施其他行為才能獲取利潤���。在實踐中����,間接營利因其具有隱蔽性��、復雜性而難以認定的情況多發生于網絡環境下��?���!?9 〕本案就是典型的通過侵犯他人著作權的方式���,增加其用戶(第三方)體驗���,從而增加下載量而獲利的情形���,屬于間接營利��,也是屬于短縮的二行為犯的第二行為目的的情形。
除此以外,間接營利的情形還有:行為人以通過電子郵箱免費發送某專業領域的他人作品為誘餌����,在網絡社區要求他人留下郵箱地址�,大量套取他人的郵箱地址��,出售給電子郵件廣告者�,等等�。這種通過侵犯他人著作權,通過網絡渠道營利的情形雖然頗經周折,但仍然不能阻斷其中的“營利目的”,屬于以間接方式構成的“以營利為目的”。
3.積極利益和消極利益
[案例三] 〔20 〕磊若公司系“Serv-U”系列軟件的版權所有人���,依法對該系列軟件享有所有權及著作權。2011年4月11日,磊若公司通過系統命令監測到���,朗科公司的官方網站netac.com.cn正在使用磊若公司一款“Serv-UFTPServerv6.3”的軟件,該軟件系磊若公司于2006年�����,然而至今為止��,其銷售系統上都未見朗科公司的購買記錄���。由此可見,朗科公司系長期使用盜版軟件���,侵害了磊若公司享有的計算機軟件著作權。遂訴至法院請求損害賠償���。法院通過審理,認定被告朗科公司的行為構成商業性使用侵權行為���,判決如下:(1)朗科公司停止侵權行為,卸載盜版軟件���;(2)朗科公司在國內主要報刊上向磊若公司公開賠禮道歉;(3)朗科公司賠償磊若公司為本案支付的律師費及公證費�。確定朗科公司賠償磊若公司經濟損失及維權合理費用共計人民幣200000元��。
該案是商業使用盜版軟件的民事案件,商業使用盜版軟件的刑事判決尚未檢索到���。這是因為,最高人民法院《著作權解釋》第21條規定:“計算機軟件用戶未經許可或者超過許可范圍商業使用計算機軟件的�����,依據著作權法第四十七條第(一)項����、《計算機軟件保護條例》第二十四條第(一)項的規定承擔民事責任?����!边@是我國法律上第一次對最終用戶使用盜版軟件的民事責任予以明確��,這一規定使得追究商業使用盜版軟件有了法律依據�����。2013年修訂后的《計算機軟件保護條例》第24條規定��,“除《中華人民共和國著作權法》����、本條例或者其他法律���、行政法規另有規定外,未經軟件著作權人許可”��,“復制或者部分復制著作權人的軟件”�����,“同時損害社會公共利益的”����,應當負行政責任�。這是對商業使用盜版軟件行為追究行政責任的直接法律依據。至于是否可以追究刑事責任���,以及商業使用盜版軟件行為的含義等沒有明確規定?!?1 〕
在實踐中�����,商業使用盜版軟件行為并不罕見,很多企業使用網絡上的盜版軟件���,一般不會直接產生經濟效益,而是為了節約購置軟件的成本���。肯定論者認為��,如果“以營利為目的”包括間接營利的話���,商業使用盜版軟件也屬于間接營利的情形�,可以認定為第217條的“以營利為目的”��。判定某項行為是否具有營利目的���,需要進行宏觀上的�、整體上的考察��,考慮到單位經營行為的整體性�,成本與利潤的“此消彼長”性���,完全可以把節省的成本納入單位的利潤中����,從而把單位降低經營成本的目的與動機視為營利的動機與目的。否定論者認為,將商業使用盜版軟件行為人節省開支等的動機理解為間接營利����,進而認定屬于營利目的����,不符合刑法解釋的原則����,不利于法律的理解和適用。〔22 〕
筆者認為����,上述的直接營利和間接營利都體現為積極利益的增加���,只是增加的方式不同,對于認定其屬于“以營利為目的”并無困難����,司法解釋也證明了這一點���。而對于節省開支是不是間接營利的問題����,筆者持否定觀點���。首先��,擬借用民法上關于“不當得利”的概念來加以說明���,民法上將取得財產利益分為兩種情形:一是財產或利益的積極增加���,即通過取得權利����、增強權利效力或獲得某種財產利益或義務的減弱而擴大財產范圍。二是財產或利益的消極增加,即因財產或利益本應減少而未減少所得的利益��。跟上面的無論是直接營利還是間接營利所產生的積極利益的增加相比�����,節省開支體現的是消極利益的增加����,這是一種狀態的描述��,而“營利”的關鍵在于“營”,即通過經營方式謀求���。從語詞邏輯上來看,消極利益只能獲得�,而不存在“消極營利”的可能��。其次,根據系統解釋����,在相關知識產權罪名中����,如假冒注冊商標罪���、銷售侵權復制品����、侵犯商業秘密罪等,都存在“營利目的”的構成要件�����,而這些“營利目的”從罪名體現的表現形式來看��,通常都是通過實施侵犯知識產權的行為獲取積極利益的增加�。唯獨將侵犯著作權罪“營利”包含消極利益的增加�,恐怕行之過遠。再次��,“2011意見”第(4)項規定中的“利用”非“商業使用盜版軟件”中的“使用”���?���!袄谩币辉~帶主觀負面評價色彩,而“使用”則是一般的中性詞��。刑法是追求精準的科學�,用語上的差之毫厘有可能謬以千里���。這里是否可以將“使用”解釋為“利用”�,是否會突破罪刑法定的邊界,不無疑問。最后��,在我國法律對商業使用盜版軟件行為作出民事和行政責任追究的明文規定之前���,對該行為追究民事和行政責任尚且被認為沒有法律依據����,而要進行刑事責任追究恐怕更需要以法律明文規定的方式,而不是模棱兩可的學理解釋所能解決��。
4.銷售行為反制“營利目的”
《刑法》第218條的銷售侵權復制品罪屬于斷絕的結果犯���,“以營利為目的”作為注意規定��,并不需要額外的證明����,都只要證明其行為性質為銷售即可,因為銷售本身就涵蓋了“營利目的”��。同樣地��,《刑法》第217條侵犯著作權罪中涉及銷售的情形亦是如此����。
第8篇
關鍵詞:氧化鋁 制造業執行系統 信息化管理 Java開發平臺
中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2014)03(c)-0027-02
現代網絡環境中��,其安全體系的構建主要采取以技術為中心的應對式安全防護策略���,需要在應用中根據需求不斷增加相應的設備或者軟件。現在,互聯網平臺為了能夠有效應對日益復雜和嚴重的網絡威脅��,配置了大量的防火墻�、防病毒軟件、入侵檢測、系統漏洞掃描���、災難恢復等多種安全設備。雖然,所采用的這些安全解決方案和策略能夠有效解決大部分的網絡安全威脅�,但是���,也給網絡安全的管理造成了嚴重影響����。究其根本����,就是因為現在所采用的這些策略主要是消極被動地去解決出現的安全問題,網絡管理人員難以對采用和設計適合自己的安全管理策略,只能成為復雜新技術和產品的盲從者?���,F在的網絡安全產品還主要從某個側面對網絡安全進行靜態的防護��,更沒有積極主動的網絡管理策略和能力。研究和應用結果表明,單靠網絡安全產品的簡單堆積和產品的缺省配置����,是不能解決安全問題的��,需要在具體的應用中根據網路偶的不同需求,為其制定相應的安全策略,并對安全組件進行靈活多樣的配置���,這樣,就能夠在實現整體和動態安全功能的前提下,將網絡運行狀態調整到最優的狀態點。
1 總體設計
前面已經提到,現有的網絡環境主要采用以技術為中心的應對式網絡安全防護策略����,也就是被動地去解決網絡運行中的問題�����。在本文中�,對基于用戶網絡應為的主動網絡安全和管理方式進行研究,下面的圖1中��,給出了該安全管理方式的總體設計圖���。
在圖1中����,網絡行為監控器的職責是對用戶的網絡行為進行監控,并將用戶的網絡行為監控結果存入數據庫中���,在使用過程匯總,可以通過相應的技術和方法��,將用戶所使用網絡的行為進行記錄���,再將記錄結果寫入行為數據庫���,從而為網絡行為分析器的具體分析過程提供第一手數據和資料���。網絡行為分析器則需要從行為數據庫中對存儲的數據進行提取�,找到需要的數據記錄后利用相應技術和方法對數據進行處理分析,對存在于網絡中的某些潛在危險行為進行挖掘���,還可以針對危險行為的發展趨勢��,以及這些危險行為有可能導致的安全問題進行剖析;在后獲取報警信息后�����,就能夠將相關信息傳送給網絡管理人員��,為網絡管理人員的網絡管理和操作提供依據和決策參考。
由網絡行為分析器所發出的報警信息�,包括了多種網絡威脅�����,比如常見的木馬、網絡病毒以及非法入侵等等�。在收到這些報警信息后����,網絡管理員需要根據這些報警信息的嚴重級別�,對相應的網絡設備和軟件進行及時的查詢和配置,進而將有可能出現的網絡安全隱患消滅在萌芽狀態�����,而非在網絡威脅事件發生之后再對相應的網絡設備進行查詢和配置�����。這種網絡安全的管理模式����,就是文中所要研究的主動網絡安全管理方式��。完成了對網絡設備的參數修改后���,還應該針對網絡用戶行為監控器中的監控標識進行相應的修改和設置�����,確保用戶網絡行為監控器的監控標識能夠與網絡管理模塊中的管理策略保持一致。
2 安全管理方式的技術分析與設計
2.1 Winpcap工具
Winpcap即Windows packet capture的簡稱��,是Windows平臺下的一個公共網路訪問系統��,可以為用戶提供免費服務,采用基于Win32平臺的網絡分析架構�����,能夠為Win32應用程序的設計提供高效的網絡底層訪問功能���。采用Winpcap的一個明顯優勢就是能夠為用戶提供標準的抓包接口����,對網路性能和各種效率優化情況進行綜合考慮,其中就包括對NPF內核層上的過濾器支持,以及對內核態的統計模式的支持等等�,此外����,還能夠為用戶提供數據包的發送功能�����。利用Winpcap����,網絡行為監控器能夠對流過局域網的所有數據包進行采集��,在對數據進行協議分析的基礎上���,實現對數據包的起始地址�����、目的地址等網絡行為的實時獲取����,最終實現對局域網內所有鏈接終端的上網行為的監控��。
2.2 網絡行為監控器構成
利用網絡行為監控器,不僅要對網絡使用情況進行檢測,還應該將發現的潛在網絡危險行為進行記錄����,并將其保存到數據庫�。在網絡行為監控器中��,包含有網絡嗅探器和協議分析器等兩個主要部分���。
2.2.1 網絡嗅探器
通過對經過網絡監控器的所有數據進行采集���,可以準確判斷各個數據包的源地址與目的地址��,然后對所有數據包的網絡行為進行分類處理,將處理結果發送到協議分析器。
2.2.2 協議分析器
對網絡嗅探器所得到的初步分析結果進行進一步的深入分析,能夠對用戶的具體網絡行為進行判斷�����,在數據包與標識匹配成功的情況下����,就能夠在網絡行為數據庫中進行記錄。
2.3 網絡行為分析器實現過程
2.3.1 對用戶網絡行為進行分析的現狀
在現有技術條件下�����,對用戶網絡行為的分析過程�,主要通過對網絡行為數據庫中的數據進行統計分析所得到的,不過,此類分析過程對網絡管理員的經驗比較依賴��,所以�����,在網絡管理員對用戶上網行為的數據庫結構、IP協議等不是特別清楚的話�����,就難以進行正確的統計與分析����。
2.3.2 知識發現技術
文中的主要思路就是利用知識發現理論和技術對用戶的網絡行為進行分析。其實�,知識發現技術就是從海量數據中發現有用知識的完整過程���,也是一個人機進行反復交互的處理過程����。要實現準確的知識發現����,需要經過多個步驟,且很多決策過程都需要用戶的支持�。從宏觀的層面來看��,知識發現的過程主要包括數據整理、數據挖掘和結果評估等三個不同的部分����。
在這三個構成部分中���,數據挖掘是知識發現的核心�����,需要利用專門算法從大量數據中對模式進行抽取,也就是從當前數據中抽取潛在的��、隱含的且具有應用價值信息的過程����。作為知識發現中的核心內容,數據挖掘與傳統的分析工具相比�����,差距在于數據挖掘所采用的為基于發現的方法����,通過模式匹配和其他算法來實現不同數據之間關系的確定。
現在�����,在數據挖掘技術中�,還包括有其他方法,如統計分析方法�����、神經元方法���、決策樹和遺傳方法等��。其中���,決策數一種經常用于預測模型的算法���,該算法能夠將大量數據進行有目的分類��,進而從數據中得到更加有價值的信息。所以��,在用戶網絡行為分析過程中����,就能夠采用決策樹算法來實現?��,F在所采用的決策樹算法主要有ID3�����、CART算法等等��。
2.4 防護效果與分析
文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比,其根本區別就在于傳統防護技術著重于對外部攻擊的防護,而文中方式則更多的強調自身管理與外部方法的并重�����。
基于用戶網絡行為的主動網絡安全管理方式的根本出發點�,就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護,比如針對常見的黑客攻擊活動�����,就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題���,有效解決和減少網絡上的攻擊行為�����,增加網絡使用的安全性�����。舉例����,如果發現有潛在的黑客存在于網絡用戶中,在出現網絡安全問題的情況下����,就能夠對非法攻擊者進行準確定位���;特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控�,所以,在國際互聯網中���,就能夠有效減少網絡的攻擊流量;在大部分網絡攻擊行為被本地監控系統發現的情況下�,就可以將網絡安全管理的問題從網絡間向地區間進行限定���。不過���,文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中�����,其關鍵問題還在于系統的部署。
只有在所有的接入網絡都采用此類安全管理模式的情況下,才能實現更加安全的網絡環境��?;诂F有網絡中的包括路由器在內的網絡連接設備,以及包括防火墻在內的網絡安全設備等,都可以增添安全功能���,再與現有的網絡安全防護措施相結合,就能夠有效增強互聯網中的安全性能。
3 結語
基于現有的用戶網絡行為分析方法�����,采用了基于知識發現的決策樹選擇算法�。論文最后,對需要進一步進行解決的問題進行說明�,就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現�����,對用戶的網絡行為進行分析是實現安全管理的前提��,能夠為配置管理和修改奠定基礎��。
參考文獻
[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊,2007(5).
[2] 鄧明林�,魏文全.網絡反攻擊技術的研究[J].計算機與網絡��,2009(2).
[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊,2006(23).
[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場����,2006(5).
[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報�����,2005(1).
[6] 伏曉,蔡圣聞��,謝立.網絡安全管理技術研究[J].計算機科學���,2009��,36(2):15-19.
第9篇
關鍵詞:網絡安全��;協同;輔助決策
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)11-20237-03
1 校園網安全管理現狀
隨著局域網規模的不斷增大���,以及網速的快速提升,原來主要在廣域網爆發的病毒攻擊等行為���,成為了局域網面對的主要安全問題,對局域網的穩定運行造成極大影響�。當然隨著安全技術的發展各種各樣的應對的技術措施和管理措施相繼出現���,起到了相當關鍵的作用,但是很多具體的技術措施和管理措施的實施結果卻并不如人意。具體分析如下:
目前的主要局域網應用的安全措施主要有以下兩類:
1.1 針對使用者的管理和培訓措施
主要是針對網絡主機的使用者,制訂出過各種各樣的關于網絡運行及安全的規章制度,這是非常有必要的�����,例如大部分都會涉及到下面的內容�,要求局域網用戶首先要注冊后接入局域網,入網的主機必須安裝殺毒軟件,保證殺毒軟件實時監控有效���,即使升級到最新版本及時修補操作系統補丁,設置復雜的密碼口令,不要瀏覽不明網站����,對用戶要定期安全培訓�,如果誰出了問題會怎樣等等����,如果得到徹底的有效的執行�����,那安全問題出現的幾率將會降低很多,但是這些制度對于計算機或相關專業基礎的用戶來說可能理解和執行的很多好����,但是目前大部分的用戶對于這些問題并不明了���,比如什么是病毒�����、殺毒軟件,如何安裝��、卸載�����、修復、升級,何為復雜口令密碼���,什么是操作系統漏洞怎樣打補丁,操作系統或殺毒軟件出了問題無法打補丁�,殺毒軟件無法升級感染了病毒的時候�,自己還不知道出了問題���,這是主機出現安全問題的主要原因��,也是局域網安全的主要隱患��。網絡用戶對于這些規章制度里的基本名詞概念都不明白當然也少有人主動去學習,關于定期舉辦培訓,牽扯到網絡用戶的基礎知識水平高低不平,人員數量太多培訓的效果去這樣必然導致制度得不到很好的貫徹執行����,可能有的規章制度會規定像通告���、停機懲罰措施�����,這樣的措施從使用者角度勢必會導致正常的網上辦公、學習等正常業務的中斷。這樣去懲罰那些根本就不明白這些措施是何意義,又不知如何執行的用戶��,必然會導致網絡管理者和使用者的矛盾����。
1.2 應用各種安全技術手段主要有以下兩種
1.2.1 針對主機的安全技術
主機是局域網的構成元素,所有的網絡安全問題絕大多數來自主機��,解決了主機安全問題也就解決了安全問題的絕大部分���,但是目前的效果都不盡人意:
安裝網絡版殺毒軟件���,防火墻�����,殺木馬軟件和流氓軟件清除等安全軟件可以查殺攔截大部分的病毒、木馬和流氓軟件�,但是由于目前查殺技術的滯后性�����,病毒木馬流氓軟件經過加密,加殼等處理后�,有相當多的病毒木馬殺軟件無法識別��,有些識別出來卻無法清除,并且很多病毒木馬會首先破壞掉這些安全軟件使其無法正常工作�。使安全軟件形同虛設�����。
修補系統漏洞補丁,這個比殺毒軟件讓很多用戶更加陌生的安全措施�����,目前的各種安全軟件大部分都有修補系統漏洞的功能,但是由于是新增功能使用率并不高��。微軟對盜版的打擊使很多盜版用戶無法修補補丁���,這就造就了局域網內很多機器都有嚴重的系統漏洞���。
對arp攻擊的處理�����,單獨把arp攻擊拿出來,是因為它影響范圍的廣大和攻擊方法的特別����,使其與其他安全問題區分開來��,目前主要的解決辦法是ip-mac雙向邦定,安裝arp防火墻等措施��,ip-mac雙向邦定是比較有效的辦法�����,但是目前有相當多的局域網交換機并不支持此功能�����,如果網絡規模很大會造成工作量激增,僅在主機上邦定ip-mac或安裝防火墻效果并不理想�����。
1.2.2 針對網絡設備的安全技術
目前應用最為廣泛的是在交換機上關閉病毒常用端口�����、防火墻��、認證準入、流量控制等措施�����。對于外網對內網的攻擊可以直接攔截�����,但是對于內網中對內或對外攻擊的主機,目前這些設備的主要做法是直接攔截丟棄,或為了防止對內網主機的攻擊直接斷開問題主機的網絡連接���,可能這些攻擊是惡意的或者是感染病毒導致的,如果是在用戶不知情的情況下因為感染病毒導致,這樣勢必會導致用戶的正常業務中斷��,而自己并不知道�,還可能會誤以為網絡不穩定,故障等,將自己業務損失的責任算在網絡管理者的頭上���,很容易造成誤解。如果內網問題主機很多,而安全設備大都在內網的出口�,一些主機發送的無節制的病毒連接��,病毒流量,會對出口設備造成壓力,甚至問題嚴重會耗盡cpu或帶寬,導致出口堵塞��。
經過以上分析可以看出���,目前的網絡管理從規章制度也好還是技術措施也好都存在著管理與服務脫節的問題�,網絡技術屬于一種新事物,目前剛剛普及時間不長,讓這些普通用戶短時間內自己去根據這些規章制度和操作技術,去發現、認識��、解決一些安全問題是不現實的��,可能自己的主機已經感染病毒����,可是自己并不知道����,造成了嚴重網絡問題以后經管理員查找才確認那臺主機有問題然后予以解決�����,但是這已經影響了正常業務。解決安全問題僅僅有規章制度和技術措施使不夠的��,關鍵是這些安全措施和規章制度需要得到網絡用戶的最大程度的貫徹執行�����,才能發揮效力,所以需要一個系統實現幫助用戶對主機安全問題實時發現,實時提醒和問題解決幫助系統����,這樣可以將安全問題解決在隱患或者萌芽狀態����,用戶還可以了解到到底哪里出了問題�,學習到如何解決,整體提高網絡用戶的安全問題認識和操作水平。
2 平臺的構建
針對以上問題考慮利用現有網絡設備構建一個安全問題早期預警提示平臺,將這些安全措施通過一個平臺實現相互協作�,此平臺可以實時讀取各安全相關系統的數據��,實時發現問題,分析識別,確認問題后----向內網問題主機通過客戶端發送警告消息�����,包含問題名稱��、類別�、癥狀�、危害及處理辦法和進一步詳細信息的鏈接和咨詢電話,并同時向管理員報告��,保存此日志���, 如用戶沒有在規定時間內處理將強制注銷登錄一次如還不處理可根據安全問題嚴重等級選擇斷開鏈接��、強制關機等措施�����。
如圖示:
2.1 利用現有各種軟件和設備提供目前主要的幾種主機安全問題的信息
(1)網絡掃描信息,在網絡上掃描目標主機是網絡攻擊者和網絡病毒、木馬尋找攻擊傳播對象的主要手段��,所以識并阻斷惡意掃描是阻斷病毒和攻擊的重要手段�����。
(2)異常廣播數據包信息,大量異常廣播數據包也是主機感染病毒后攻擊其它機器的顯著特點�����,可以利用集成在認證客戶端的檢測模塊來搜集�。
(3)識別網內ip通過網絡出口的tcp連接數、udp數據包數和流量�,識別出異常ip
