引論:我們?yōu)槟砹?3篇軟件安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
2.1企業(yè)網(wǎng)絡(luò)安全管理可能遇到的問題
作為企業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué),我們需要盡可能的模擬更多的企業(yè)網(wǎng)絡(luò)問題給學(xué)生來思考和解決:(1)給你一個(gè)IP地址,你能準(zhǔn)確地找到這臺(tái)機(jī)器么?你需要什么輔助你?(2)有人說他能上內(nèi)網(wǎng),但外網(wǎng)不行,你會(huì)想到什么?(3)有人說他QQ還可以聊天,但網(wǎng)頁打不開,你怎么想?以上模擬的問題都是企業(yè)中最容易出現(xiàn)的,在讓學(xué)生思考以上問題的同時(shí),以下問題才是需要讓學(xué)生們?cè)谀M企業(yè)網(wǎng)絡(luò)管理者的時(shí)候需要規(guī)劃的:(1)研發(fā)部門的服務(wù)器突然增加了,可是給他們的IP地址不夠分了,怎么辦?(2)財(cái)務(wù)數(shù)據(jù)庫服務(wù)器數(shù)據(jù)很敏感,可是外地分公司的業(yè)務(wù)又必須訪問,你將制定怎樣的策略?(3)規(guī)劃的網(wǎng)絡(luò)是固定IP還是自動(dòng)分配呢?
2.2解決問題的注意事項(xiàng)
2.2.1節(jié)點(diǎn)安全
更多的時(shí)候我們需要讓學(xué)生們了解到通過各種軟件保障設(shè)備的穩(wěn)定運(yùn)行是預(yù)防節(jié)點(diǎn)安全的主要手段。我們可以通過監(jiān)控系統(tǒng)日志實(shí)現(xiàn)對(duì)系統(tǒng)信息日志、權(quán)限管理日志和資源使用率日志的管理;通過監(jiān)控硬件狀態(tài)實(shí)現(xiàn)對(duì)溫度、電壓、穩(wěn)定性和硬件故障的管理;通過異常警報(bào)實(shí)現(xiàn)對(duì)沖突異常、侵入異常、失去功能異常、突發(fā)性性能異常等狀況的管理;通過容災(zāi)實(shí)現(xiàn)對(duì)硬件損壞、停電、失火、散熱失效等的管理。
2.2.2軟件安全
最復(fù)雜最難管理的就是軟件安全,因?yàn)槲覀兯械姆?wù)器硬件都是為運(yùn)行在上面的軟件服務(wù)的,而軟件又都是由人根據(jù)需求編寫代碼開發(fā)出來的應(yīng)用程序。往往一款軟件需要很多人的協(xié)作開發(fā),由于各種局限性,在開發(fā)過程中無法考慮各種情況,因此軟件都會(huì)有各種各樣的缺陷,需要不斷的修正。有的缺陷是無傷大雅的,而有的缺陷卻是致命的。你不是開發(fā)者,這些缺陷對(duì)你來說又是不可控的。你只能被動(dòng)的防范這些缺陷,而往往修補(bǔ)這些缺陷都發(fā)生在缺陷產(chǎn)生危害之后。然而裝的軟件越多,這些缺陷也就越多。更要命的是,病毒、木馬它們也是軟件,操作系統(tǒng)自身無法識(shí)別。殺毒軟件可以處理病毒、木馬,但是安全軟件一不小心也會(huì)成為不安全的因素。例如:金山網(wǎng)盾事件、暴風(fēng)影音事件等。盡管如此,我們依然可以防范,那就是把握以下原則:(1)最少安裝原則:提供什么服務(wù)就只裝什么服務(wù)或軟件,其他一律屏蔽;(2)最少開放原則:需要什么端口就開放什么端口,其他一律屏蔽;(3)最小特權(quán)原則:給予主體“必不可少”的權(quán)限,多余的都不開放。
2.2.3數(shù)據(jù)安全
不論是節(jié)點(diǎn)安全還是軟件安全,我們最終的目的都是為了保障數(shù)據(jù)安全。這也是網(wǎng)絡(luò)安全的終極意義。這是我們?cè)谡n堂上務(wù)必讓學(xué)習(xí)網(wǎng)絡(luò)安全的學(xué)生了解的內(nèi)容。數(shù)據(jù)安全其實(shí)是數(shù)據(jù)保管安全,涉及以下4個(gè)方面:(1)數(shù)據(jù)在存儲(chǔ)介質(zhì)上的物理安全。即防范存儲(chǔ)介質(zhì)損壞造成的數(shù)據(jù)丟失隱患。(2)數(shù)據(jù)在存儲(chǔ)介質(zhì)上的邏輯安全。即防范因各種操作造成的數(shù)據(jù)邏輯破壞、刪除或丟失的隱患。(3)數(shù)據(jù)在空間上的安全。即防范因各種災(zāi)難造成當(dāng)?shù)氐恼麄€(gè)數(shù)據(jù)完全損毀的隱患。(4)數(shù)據(jù)在管理上的安全。即防范敏感或機(jī)密數(shù)據(jù)通過公司內(nèi)部員工人為泄露的隱患。數(shù)據(jù)傳輸安全是互聯(lián)網(wǎng)安全的重點(diǎn),主要防范重點(diǎn)如下:(1)數(shù)據(jù)在傳輸過程中被阻礙(例如,DDOS攻擊);(2)數(shù)據(jù)在傳輸過程中被竊取(因?yàn)闊o線上網(wǎng)設(shè)置不當(dāng)造成公司資源外泄);(3)數(shù)據(jù)在傳輸過程中被修改(網(wǎng)頁注入式攻擊)。
篇2
網(wǎng)絡(luò)安全不只是軟件廠商的事
今年上半年,網(wǎng)絡(luò)安全軟件及服務(wù)廠商——趨勢(shì)科技與網(wǎng)絡(luò)業(yè)界領(lǐng)導(dǎo)廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議。該協(xié)議進(jìn)一步擴(kuò)展了雙方此前針對(duì)思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃建立的合作關(guān)系,并將實(shí)現(xiàn)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全解決方案與趨勢(shì)科技防病毒技術(shù)、漏洞評(píng)估和病毒爆發(fā)防御能力的結(jié)合。
根據(jù)合作協(xié)議,思科首先將在思科IOS路由器、思科Catalyst交換機(jī)和思科安全設(shè)備中采用的思科入侵檢測(cè)系統(tǒng)(IDS)軟件中添加趨勢(shì)科技的網(wǎng)絡(luò)蠕蟲和病毒識(shí)別碼技術(shù)。此舉將為用戶提供高級(jí)的網(wǎng)絡(luò)病毒智能識(shí)別功能和附加的實(shí)時(shí)威脅防御層,以抵御各種已知和未知的網(wǎng)絡(luò)蠕蟲的攻擊。
“在抵御網(wǎng)絡(luò)蠕蟲、防止再感染、漏洞和系統(tǒng)破壞的過程中,用戶不斷遭受業(yè)務(wù)中斷的損失,這導(dǎo)致了對(duì)更成熟的威脅防御方案需求的增長。”趨勢(shì)科技創(chuàng)始人兼首席執(zhí)行官張明正評(píng)論說,“傳統(tǒng)的方法已無法滿足雙方客戶的需求。”
“現(xiàn)在的網(wǎng)絡(luò)安全已不是單一的軟件防護(hù),而是擴(kuò)充到整個(gè)網(wǎng)絡(luò)的防治。”思科全球副總裁杜家濱在接受記者采訪時(shí)表示:“路由器和交換機(jī)應(yīng)該是保護(hù)整個(gè)網(wǎng)絡(luò)安全的,如果它不安全,那它就不是路由器。從PC集成上來看,網(wǎng)絡(luò)設(shè)備應(yīng)該能自我保護(hù),甚至實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全的保護(hù)。”
業(yè)界專家指出,防病毒與網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合,甚至融入到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,這是網(wǎng)絡(luò)安全的發(fā)展潮流,趨勢(shì)科技和思科此次合作引領(lǐng)了這一變革,邁出了安全發(fā)展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細(xì)細(xì)品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋,兩家公司都需要此次合作。
作為網(wǎng)絡(luò)領(lǐng)域的全球領(lǐng)導(dǎo)者,思科一直致力于推動(dòng)網(wǎng)絡(luò)安全的發(fā)展并獨(dú)具優(yōu)勢(shì)。自防御網(wǎng)絡(luò)(Self-DefendingNetwork,SDN)計(jì)劃是思科于今年3月推出的全新的安全計(jì)劃,它能大大提高網(wǎng)絡(luò)發(fā)現(xiàn)、預(yù)防和對(duì)抗安全威脅的能力。思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃則是SDN計(jì)劃的重要組成部分,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部?jī)?nèi)涵。
SDN是一個(gè)比較全面、系統(tǒng)的計(jì)劃,但是它缺乏有效的病毒防護(hù)功能。隨著網(wǎng)絡(luò)病毒的日見猖獗,該計(jì)劃防毒功能的欠缺日益凸顯。趨勢(shì)科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢(shì)科技作為網(wǎng)絡(luò)安全軟件及服務(wù)廠商,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡(luò)服務(wù)器和網(wǎng)關(guān)防毒的潮流。趨勢(shì)科技的主動(dòng)防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新,其核心是企業(yè)安全防護(hù)戰(zhàn)略(EPS)。EPS一反過去被動(dòng)地以防毒軟件守護(hù)的方式,將主動(dòng)預(yù)防和災(zāi)后重建的兩大階段納入整個(gè)防衛(wèi)計(jì)劃當(dāng)中,并將企業(yè)安全防護(hù)策略延伸至網(wǎng)絡(luò)的各個(gè)層次。
“如果此次與思科合作的不是趨勢(shì)科技,我們恐怕連覺都睡不好。”張明正的戲言無不透露出趨勢(shì)科技對(duì)此次合作的迫切性和重要性。
更讓張明正高興的是,通過此次合作,趨勢(shì)科技大大擴(kuò)充了渠道。“我們的渠道重疊性很小。”張明正表示。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間。
網(wǎng)絡(luò)安全路在何方?
篇3
(一)相關(guān)法律法規(guī)不夠完善,缺乏民主性、透明性
立法是安全生產(chǎn)軟環(huán)境建設(shè)的前提條件,公開、透明、民主又是保證立法能夠有效反映市場(chǎng)參與者利益的重要手段。史普博認(rèn)為政策是“管制者和有關(guān)的市場(chǎng)參與者之間互動(dòng)過程的產(chǎn)物”,強(qiáng)調(diào)了立法公開、民主參與的重要性,并提出聽證會(huì)制度這一民主參與的重要方式。目前,我國已基本實(shí)現(xiàn)立法的公開性和透明性,但是還無針對(duì)立法民主性的明確規(guī)定,致使聽證會(huì)這一保證市場(chǎng)參與者實(shí)現(xiàn)民利的重要方式無法有效開展。同時(shí),安全生產(chǎn)相關(guān)的法律法規(guī)嚴(yán)重不足,無法有效規(guī)范規(guī)制者與企業(yè)、消費(fèi)者的溝通渠道。安全生產(chǎn)的法律環(huán)境建設(shè)存在諸如法律制訂、修改落后于安全狀況,法律條文的規(guī)定缺乏實(shí)際操作性等亟待解決的問題。
(二)安全生產(chǎn)管理體制落后,管理者執(zhí)法不力
在經(jīng)濟(jì)轉(zhuǎn)軌時(shí)期,市場(chǎng)經(jīng)濟(jì)發(fā)展的新環(huán)境使得包括安全生產(chǎn)管理體制在內(nèi)的許多政府職能監(jiān)管領(lǐng)域都出現(xiàn)了不同程度的管理體制落后問題。同時(shí),安全生產(chǎn)的監(jiān)督管理部門存在機(jī)構(gòu)主體不清、職能不明,基層監(jiān)管機(jī)構(gòu)設(shè)置不規(guī)范,交叉重疊,“越位”“缺位”等問題。我國各地區(qū)各省市原本捉襟見肘的安全生產(chǎn)保障資金的投入,由于監(jiān)管者本身職業(yè)素養(yǎng)較低、工作效率低下,監(jiān)管機(jī)制落后等原因更呈現(xiàn)出嚴(yán)重不足,直接導(dǎo)致安全生產(chǎn)領(lǐng)域相關(guān)法律法規(guī)無法有效實(shí)施,無法有效保護(hù)從業(yè)者的自身健康和職業(yè)安全。
(三)市場(chǎng)主體非法牟利,行為不規(guī)范
在缺乏相關(guān)完善的法律法規(guī),缺少社會(huì)監(jiān)督的情況下,市場(chǎng)主體即各生產(chǎn)企業(yè)勢(shì)必會(huì)出現(xiàn)企業(yè)利益至上,缺乏安全生產(chǎn)意識(shí)及減少安全生產(chǎn)資金投入的情況。各種健康、安全、環(huán)保的法律法規(guī),最終要作用到生產(chǎn)企業(yè)才能產(chǎn)生應(yīng)有的績(jī)效。加大政府層面對(duì)安全生產(chǎn)的資金投入,完善監(jiān)管體制只是改善安全生產(chǎn)軟環(huán)境的方法之一,更重要的是企業(yè)作為行為主體對(duì)安全生產(chǎn)監(jiān)管政策的努力實(shí)現(xiàn)。然而在中原經(jīng)濟(jì)區(qū)的建設(shè)發(fā)展中,存在少數(shù)生產(chǎn)企業(yè)雇主無視國家各級(jí)政府的法律法規(guī),將獲取超額利潤作為企業(yè)的最終目標(biāo),用減少安全設(shè)施投入、降低污水處理費(fèi)等各種方法降低成本。同時(shí),經(jīng)營者以各種尋租手段降低違法風(fēng)險(xiǎn),獲取非法利益,阻礙了我國經(jīng)濟(jì)的正常運(yùn)行和監(jiān)管的有效實(shí)施。
(四)專業(yè)人才供給不足,社會(huì)重視程度不夠
人才環(huán)境作為軟環(huán)境建設(shè)的核心內(nèi)容,區(qū)域經(jīng)濟(jì)發(fā)展的重要力量沒有得到足夠的重視。在安全生產(chǎn)領(lǐng)域,專業(yè)人才供給不足,使得安全生產(chǎn)技術(shù)無法得到有效推廣。社會(huì)普遍存在對(duì)現(xiàn)有人力資源重視不足的問題,人才分配制度不合理,缺乏尊重人才的社會(huì)環(huán)境,吸納高層次專業(yè)人才能力不足。同時(shí),一線生產(chǎn)員工缺乏安全生產(chǎn)的專業(yè)知識(shí)及技能培訓(xùn),對(duì)部分高危職業(yè)的從業(yè)危險(xiǎn)認(rèn)識(shí)不足,間接上助長了用工企業(yè)在追求超額利潤的過程中對(duì)安全生產(chǎn)相關(guān)投入的漠視,不利于改善現(xiàn)階段安全生產(chǎn)軟環(huán)境建設(shè)。
三、安全生產(chǎn)軟環(huán)境建設(shè)的路徑選擇
從我國安全生產(chǎn)軟環(huán)境建設(shè)存在的問題入手,借鑒其他國家和地區(qū)的改革經(jīng)驗(yàn),可以從以下幾方面入手,改善我國安全生產(chǎn)軟環(huán)境建設(shè)現(xiàn)狀。
(一)完善相關(guān)領(lǐng)域的立法工作
改革開放后,安全生產(chǎn)的立法工作取得了較大的進(jìn)步,但是與現(xiàn)實(shí)需要還有很大差距,重要領(lǐng)域缺乏可操作性的法律法規(guī)給執(zhí)法工作帶來了巨大的困難。在實(shí)際工作中,中原經(jīng)濟(jì)區(qū)安全生產(chǎn)的立法工作要注意:第一,區(qū)域經(jīng)濟(jì)發(fā)展中制定的安全生產(chǎn)規(guī)章制度與中央、各省市的各項(xiàng)規(guī)章保持一致,對(duì)已實(shí)施規(guī)章存在矛盾的地方,在科學(xué)判斷后進(jìn)行修改或者廢除;第二,強(qiáng)調(diào)相關(guān)法律法規(guī)的可操作性,在擬制訂法律法規(guī)之前對(duì)該領(lǐng)域進(jìn)行綜合調(diào)研,加強(qiáng)審批過程中的可行性評(píng)估;第三,強(qiáng)調(diào)立法過程中的公眾參與,積極推行立法過程中的聽證會(huì)制度,廣泛聽取相關(guān)專家、社會(huì)公眾的意見和建議,增加立法的透明度。最終目標(biāo)為“通過法律規(guī)制,實(shí)現(xiàn)權(quán)利資源的最優(yōu)配置,從而實(shí)現(xiàn)權(quán)利資源使用價(jià)值在質(zhì)上的極優(yōu)化程度和量上的極大化程度”。
(二)深化監(jiān)管體制改革,提高監(jiān)管者素質(zhì)
執(zhí)行是安全生產(chǎn)軟環(huán)境建設(shè)的關(guān)鍵,權(quán)責(zé)明晰的監(jiān)管體制、專業(yè)有素的監(jiān)管隊(duì)伍、獨(dú)立專業(yè)的監(jiān)管機(jī)構(gòu)是安全生產(chǎn)各項(xiàng)政策執(zhí)行有力的重要保證。改革監(jiān)管體制中存在的多頭管理,明確各執(zhí)行機(jī)構(gòu)的權(quán)責(zé)問題,成立專門的監(jiān)管機(jī)構(gòu)是西方國家監(jiān)管體制改革的主要經(jīng)驗(yàn)。我國各級(jí)行政機(jī)構(gòu)改革要堅(jiān)持這一改革思路,從人員任命、經(jīng)費(fèi)管理使用上保持安全生產(chǎn)監(jiān)管機(jī)構(gòu)的獨(dú)立性,從而避免出現(xiàn)多頭管理的利益爭(zhēng)奪問題。同時(shí),監(jiān)管者自身的素養(yǎng)和專業(yè)素質(zhì)對(duì)安全生產(chǎn)監(jiān)管實(shí)施有重要影響。由于信息不對(duì)稱的存在,“規(guī)制過程的當(dāng)事人之間存在著:公眾———政治委托人、政治委托人———規(guī)制者、規(guī)制者———被規(guī)制企業(yè)這樣三層委托關(guān)系”。實(shí)際工作中,諸如安全生產(chǎn)一票否決制、綠色GDP生態(tài)指標(biāo)考核制等問責(zé)制就是激勵(lì)和約束監(jiān)管的一種有效方式。我國的安全生產(chǎn)軟環(huán)境建設(shè)也應(yīng)積極探尋有效的方式方法,激勵(lì)和約束監(jiān)管者的執(zhí)法行為。
篇4
1 計(jì)算機(jī)軟件安全檢測(cè)
計(jì)算機(jī)軟件安全檢測(cè)是利用運(yùn)行程序的方式來發(fā)現(xiàn)軟件編寫過程中存在的一些漏洞并對(duì)漏洞進(jìn)行修改的過程,從而對(duì)計(jì)算機(jī)軟件本身可能存在的風(fēng)險(xiǎn)進(jìn)行有效地避免和改正,軟件安全檢測(cè)是軟件開發(fā)中及其重要的一環(huán)。軟件安全檢測(cè)所需要達(dá)到的目標(biāo)是用更少的測(cè)試過程來實(shí)現(xiàn)更大的軟件安全覆蓋面,達(dá)到高效快速地發(fā)現(xiàn)軟件漏洞。目前網(wǎng)絡(luò)中存在很多種對(duì)計(jì)算機(jī)軟件安全檢查的方法,但從本質(zhì)上看,進(jìn)行計(jì)算機(jī)軟件安全測(cè)試的方法主要兩大類。大部分檢測(cè)方案都是基于靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)測(cè)兩大類檢測(cè)方法。
2 進(jìn)行軟件安全檢測(cè)的意義
計(jì)算機(jī)軟件的安全檢測(cè)過程是整個(gè)軟件開發(fā)中極為重要的一個(gè)步驟,越早發(fā)現(xiàn)軟件中可能存在的一些故障問題,就意味著越早解決問題,就能將軟件出現(xiàn)問題的概率降到最低,有效地預(yù)防軟件崩潰。而計(jì)算機(jī)軟件的安全檢測(cè)則主要是對(duì)軟件中可能留存的一些漏洞進(jìn)行測(cè)試,以免該漏洞在今后的日常使用中致使軟件出現(xiàn)故障,因此,對(duì)計(jì)算機(jī)軟件的安全進(jìn)行檢測(cè)是很有必要性的。
3 軟件安全檢測(cè)存在的問題
3.1 軟件安全檢測(cè)人員涉及廣泛
由于計(jì)算機(jī)軟件的相關(guān)特性,軟件安全檢測(cè)工作涉及的方面廣泛,所需要的檢測(cè)人員及技術(shù)的要求也就對(duì)應(yīng)地提高,需要各方面的技術(shù)人才。對(duì)于檢測(cè)人員的多元化問題就極為重要,不僅人員要齊,各方面的合作也要密切。只有多部門的密切合作以及與軟件開發(fā)相關(guān)部門的密切溝通,才能高效的解決軟件檢測(cè)中出現(xiàn)的各種疑難問題。如果沒有密切的合作,在軟件安全檢測(cè)中,各自為戰(zhàn),沒有有效的溝通,不能從實(shí)際出發(fā),軟件安全檢測(cè)將無法順利進(jìn)行下去,即使發(fā)現(xiàn)問題也沒有有效的辦法解決問題。
3.2 軟件安全檢測(cè)工作量巨大
計(jì)算機(jī)檢測(cè)是一個(gè)系統(tǒng)的復(fù)雜的過程,有時(shí)候檢測(cè)工作量巨大。在進(jìn)行對(duì)于系統(tǒng)級(jí)軟件或者代碼級(jí)工程的分析工作時(shí),進(jìn)行軟件安全相關(guān)檢測(cè)必須需要進(jìn)行大量的工作的。不僅如此,在所需檢測(cè)的軟件的規(guī)模較大的時(shí)候,還要對(duì)軟件的結(jié)構(gòu)設(shè)計(jì)方面進(jìn)行必要的分析。而且在對(duì)所需檢測(cè)的軟件的各個(gè)方面進(jìn)行分析的過程中一般采用仿真環(huán)境和相應(yīng)的分析工具來進(jìn)行相關(guān)的檢測(cè)工作,因?yàn)檫@兩種分析比較切合實(shí)際工作,較為合理,所以這些分析工作都是必須進(jìn)行的,這些必須進(jìn)行的工作會(huì)大大增加軟件安全檢測(cè)過程的工作量。
4 軟件檢測(cè)問題解決方法
4.1 在對(duì)軟件進(jìn)行綜合分析的基礎(chǔ)上進(jìn)行檢測(cè)
檢測(cè)人員在進(jìn)行軟件安全檢測(cè)的工作時(shí),必須考慮到每個(gè)軟件都有其獨(dú)一性,每個(gè)軟件都有不同的側(cè)重點(diǎn),只有在對(duì)軟件進(jìn)行系統(tǒng)化的綜合分析的基礎(chǔ)上,才能高效的制定符合該軟件的有效檢測(cè)方案,只有合適的才是最好的,在進(jìn)行綜合分析時(shí)還應(yīng)考慮到符合用戶需求,這樣實(shí)行的檢測(cè)程序才是最為可靠的。
4.2 大力推廣檢測(cè)人員多元化
由于軟件安全檢測(cè)工作涉及范圍大,需要的檢測(cè)人員的技術(shù)方面也不盡相同。所以需要推廣人員多元化需要在進(jìn)行軟件安全檢測(cè)時(shí)注意安排相近但不完全相同的人員在一起。大力推廣檢測(cè)人員的多元化,對(duì)于軟件可能存在的安全問題能夠更可能的發(fā)現(xiàn),并且由于檢測(cè)人員的多元化,對(duì)于出現(xiàn)的問題得以解決的可能性也會(huì)增加。在推廣多元化的同時(shí),也需要注意各部門之間的合作問題,集中優(yōu)勢(shì)技術(shù)人才,加以密切的合作,將專業(yè)技術(shù)人才的潛力發(fā)揮到極致。多元化的人員和密切化的合作能夠到達(dá)檢測(cè)工作的事半功倍,提高軟件安全檢測(cè)效率。
4.3 選擇合理的安全檢測(cè)方法
對(duì)于大量種類不同;用戶需求也不同的軟件,檢測(cè)人員需要選擇合理的檢測(cè)方法。對(duì)于有些系統(tǒng)級(jí)軟件和代碼級(jí)工程,如果采用了不符合要求的檢測(cè)方法,有可能造成工作白費(fèi),耗費(fèi)大量人工精力和大量資源及時(shí)間,最后所得的結(jié)果有可能不符人意。沒有一個(gè)能夠符合所有軟件檢測(cè)工作要求的安全檢測(cè)方法,只有選擇合適的檢測(cè)方法,才能達(dá)到預(yù)定的目標(biāo)。
總體來說,合理地利用安全檢測(cè)方法,在最短時(shí)間內(nèi)有效的找出漏洞,及時(shí)進(jìn)行修改。以下對(duì)于三種方案進(jìn)行簡(jiǎn)要地介紹:
4.3.1 模糊檢測(cè)
當(dāng)今采用的模糊檢測(cè)是在傳統(tǒng)檢測(cè)技術(shù)上進(jìn)行改進(jìn)的檢測(cè)技術(shù),其主要是在白盒技術(shù)上發(fā)展改進(jìn)的檢測(cè)技術(shù),有效地繼承了模糊測(cè)試和動(dòng)態(tài)測(cè)試的優(yōu)點(diǎn),具有準(zhǔn)確高效的特點(diǎn)。
4.3.2 基于故障注入的安全性測(cè)試
故障樹的建立工作是該安全檢測(cè)方法的基本。此方法將系統(tǒng)發(fā)生故障幾率最小的時(shí)間作為頂事件,在此基礎(chǔ)上在進(jìn)行中間事件、底事件的尋找工作,利用邏輯門符號(hào)再將頂事件、中間事件與底事件進(jìn)行連接,完成形成故障樹的工作。在保證精度的條件下,此方法可以實(shí)現(xiàn)故障檢測(cè)的自動(dòng)化,實(shí)現(xiàn)檢測(cè)的高效性。
4.3.3 基于屬性的測(cè)試
基于屬性的檢測(cè)工作首先要完成確定軟件的安全編程規(guī)則工作,再進(jìn)行檢測(cè)待測(cè)程序的代碼是否都遵守其確定的規(guī)則編碼,采用這種方法能夠有效地分析安全漏洞。另外,近年大量分布式軟件快速發(fā)展就是基于web服務(wù)的快速發(fā)展,如何利用好web服務(wù)的優(yōu)勢(shì),將很大程度上取決于如何合理完成這些軟件的安全檢測(cè)工作。而基于web服務(wù)的軟件的安全檢測(cè)也將是適用于基于屬性的測(cè)試方法中的一項(xiàng)重要部分,高效的完成確定軟件的安全編程規(guī)則工作,也就將檢測(cè)工作完成了一大步。
5 結(jié)束語
軟件安全檢測(cè)是重要的一環(huán)軟件開發(fā)工作,合理利用安全檢測(cè),做到軟件潛在漏洞的早發(fā)現(xiàn)、早修正、早解決,有效地避免軟件出現(xiàn)故障的惡性后果。隨著計(jì)算機(jī)技術(shù)的發(fā)展,對(duì)于軟件安全的重要性也在增加,進(jìn)行軟件安全檢測(cè)的必要性也在增加。對(duì)于研究軟件安全檢測(cè)的方法具有重要意義和廣闊前景。
參考文獻(xiàn)
[1]朱巖.淺析計(jì)算機(jī)軟件安全檢測(cè)存在問題及方法[J].科技創(chuàng)新與應(yīng)用,2012(14).
[2]張開.計(jì)算機(jī)軟件安全檢測(cè)問題研究及檢測(cè)實(shí)現(xiàn)方法[J].軟件,2012(07).
[3]潘博.淺談?dòng)?jì)算機(jī)軟件安全檢測(cè)方法[J].電腦知識(shí)與技術(shù),2013(13).
[4]劉鋒.計(jì)算機(jī)軟件安全檢測(cè)方法研究[J].信息通信,2013(06).
篇5
1計(jì)算機(jī)軟件安全漏洞目前的狀況
計(jì)算機(jī)軟件在開發(fā)的時(shí)候有的就存在一定漏洞,當(dāng)時(shí)可能沒有技術(shù)解決軟件漏洞問題,但在軟件使用的過程中,會(huì)出現(xiàn)一系列問題,必須加強(qiáng)軟件安全漏洞的檢測(cè)技術(shù),檢測(cè)軟件是否合格,不合格的軟件必須加強(qiáng)軟件補(bǔ)丁,促使軟件達(dá)到合格標(biāo)準(zhǔn),經(jīng)過測(cè)試后,才能投入市場(chǎng)使用。還有的軟件開發(fā)時(shí)候沒有任何漏洞,但隨著時(shí)間的推移,軟件會(huì)出現(xiàn)一定漏洞,軟件必須是在使用的過程中,逐步進(jìn)行軟件完善,提升軟件性能,讓其達(dá)標(biāo),減少軟件的漏洞,出現(xiàn)漏洞以后要及時(shí)修復(fù),提高軟件的生命周期,在一個(gè)友好的界面下,充分發(fā)揮軟件的功能,讓其在使用過程中,起到一定的作用,提升性能,減少漏洞。軟件在使用的過程中,根據(jù)技術(shù)的發(fā)展與變化,計(jì)算機(jī)軟件的漏洞必須技術(shù)檢測(cè),延長軟件的生命周期,提高軟件性能,滿足其需要。
2計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)解讀
2.1靜態(tài)程序解析
靜態(tài)程序解析是軟件安全常用的檢測(cè)技術(shù),這種檢測(cè)技術(shù)是通過程序代碼,通過利用機(jī)器語言、匯編語言等進(jìn)行編譯,利用反代碼形式,對(duì)檢測(cè)出來的軟件漏洞,及時(shí)進(jìn)行修復(fù),提高軟件性能,在實(shí)際應(yīng)用過程中,涉及到程序設(shè)計(jì)中的語言、函數(shù)、數(shù)組、過程、集合、文件等。利用軟件技術(shù)解決軟件漏洞問題,靜態(tài)程序解析對(duì)程序設(shè)計(jì)起到保護(hù)作用,檢測(cè)軟件漏洞,提升計(jì)算機(jī)軟件性能,這是一種常用的計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù),通過該技術(shù)對(duì)軟件漏洞進(jìn)行合理檢測(cè),提高軟件性能,延長軟件的生命周期。
2.2利用邏輯公式對(duì)程序性質(zhì)進(jìn)行表達(dá)
根據(jù)程序的性質(zhì),對(duì)計(jì)算機(jī)軟件漏洞進(jìn)行檢測(cè),判斷其中的應(yīng)用能力,邏輯公式能對(duì)計(jì)算機(jī)軟件的性能進(jìn)行檢測(cè),檢測(cè)其的合法性,是否存在軟件漏洞,有的軟件漏洞是需要升級(jí)與更新軟件就可以解決的,有的是出現(xiàn)軟件錯(cuò)誤,必須合理采用措施,解決軟件漏洞問題。其中的公理化方法的邏輯是完整的體系,其中的每個(gè)公式都是由單個(gè)程序語句和其前后置斷言共同構(gòu)成,具體理論當(dāng)中只有一條賦值公理,形式演算系統(tǒng)以一階謂詞邏輯為基礎(chǔ),各自為順序、分支以及循環(huán)指令增加了相應(yīng)的演算法則。公理化方法已經(jīng)被證明具有較強(qiáng)的可靠性和完整性,但匹配的形式演算系統(tǒng)存在半可判定的情況。程序的正確性涉及程序設(shè)計(jì)人員利用邏輯公式對(duì)程序?qū)?yīng)的功能規(guī)約展開描述,另外一個(gè)問題就是要為循環(huán)體確定循環(huán)不變式。邏輯公式的應(yīng)用提高了邏輯判斷能力,在利用語句進(jìn)行科學(xué)判斷,檢測(cè)計(jì)算機(jī)軟件是否存在漏洞,根據(jù)邏輯公式的判斷能力,檢測(cè)軟件是否存在漏洞,如果存在漏洞,對(duì)其合理的進(jìn)行修補(bǔ),解決軟件漏洞問題,提升軟件性能,完善軟件功能。
2.3測(cè)試庫技術(shù)
測(cè)試庫技術(shù)是計(jì)算機(jī)軟件檢測(cè)中常用技術(shù),對(duì)解決計(jì)算機(jī)軟件漏洞起到幫助作用。測(cè)試庫技術(shù)是檢測(cè)計(jì)算機(jī)軟件中的核心部件,判斷計(jì)算機(jī)軟件是否存在漏洞。利用測(cè)試庫技術(shù)只能對(duì)動(dòng)態(tài)內(nèi)存操作函數(shù)導(dǎo)致的錯(cuò)誤進(jìn)行判定。而且其主要對(duì)運(yùn)行過程中輸入數(shù)據(jù)進(jìn)行監(jiān)控,發(fā)現(xiàn)其中的弱點(diǎn)。這種檢測(cè)并不是從整體上進(jìn)行判定。這也表明檢測(cè)過程只是驗(yàn)證BUG是否被發(fā)現(xiàn),但是無法證實(shí)BUG的存在。使用這項(xiàng)技術(shù)對(duì)于普通應(yīng)用程序而言,并不會(huì)存在任何兼容問題。使用測(cè)試庫技術(shù)的主要優(yōu)勢(shì)不存在誤報(bào)。從性能上對(duì)這個(gè)技術(shù)展開分析,其性能消耗較大,從其工作原理很容易能推導(dǎo)出這個(gè)結(jié)論。利用測(cè)試庫技術(shù)檢測(cè)計(jì)算機(jī)軟件是否存在漏洞,是所有檢測(cè)技術(shù)中最科學(xué)的,也是最準(zhǔn)確的,但其測(cè)試有一定難度,對(duì)計(jì)算機(jī)軟件本身也是一種傷害,提高計(jì)算機(jī)軟件性能,必須合理的利用軟件的檢測(cè)技術(shù),科學(xué)的選擇檢測(cè)技術(shù),有目的的進(jìn)行檢測(cè)軟件是否存在漏洞,科學(xué)的解決軟件漏洞問題,提高軟件性能。
2.4源碼改編
利用軟件漏洞檢測(cè)技術(shù),檢測(cè)出計(jì)算機(jī)軟件存在一定漏洞,沒有合理方法進(jìn)行漏洞修復(fù),就有必要根據(jù)軟件漏洞的階段,去修改程序的源代碼,這種源碼改編技術(shù),是徹底解決計(jì)算機(jī)軟件漏洞的最根本方法,該檢測(cè)技術(shù)對(duì)人員的要求很高,能利用其它技術(shù)檢測(cè)出軟件漏洞,能利用源碼改編技術(shù)進(jìn)行修改,這是計(jì)算機(jī)軟件檢測(cè)技術(shù)的高級(jí)階段,是計(jì)算機(jī)軟件發(fā)展到一定程度的需要,也是社會(huì)發(fā)展對(duì)計(jì)算機(jī)軟件技術(shù)提出的新要求。總之,計(jì)算機(jī)軟件技術(shù)存在一定漏洞,要解決計(jì)算機(jī)軟件漏洞,必須利用軟件檢測(cè)技術(shù),及時(shí)檢測(cè),發(fā)現(xiàn)問題要及時(shí)解決,但在計(jì)算機(jī)軟件發(fā)展的過程中,計(jì)算機(jī)軟件肯定存在一定問題,必須科學(xué)的合理解決計(jì)算機(jī)軟件的安全問題,提高對(duì)軟件安全認(rèn)識(shí),增加計(jì)算機(jī)軟件的應(yīng)用性,符合現(xiàn)代計(jì)算機(jī)軟件技術(shù)發(fā)展需要。
參考文獻(xiàn)
[1]許躍穎.計(jì)算機(jī)軟件中安全漏洞檢測(cè)技術(shù)及其應(yīng)用[J].電子制作,2016(02).
[2]顏漢權(quán).基于模糊測(cè)試的軟件漏洞檢測(cè)方法[J].求知導(dǎo)刊,2015(11).
[3]高妍.計(jì)算機(jī)軟件安全漏洞檢測(cè)技術(shù)與應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(04).
篇6
⑧見USPTO網(wǎng)站:103 Rejection Examples for Business Method Inventions FORMULATING AND COMMUNICATING REJECTIONS UNDER 35 U.S.C. 103 FOR PPLICATIONS DIRECTED TO COMPUTER-IMPLEMENTED BUSINESS METHOD INVENTIONS
⑨See UPC 705,
⑩保證商業(yè)方法發(fā)明的新穎性,美國專利商標(biāo)局于2000年3月提出的商業(yè)方法專利行動(dòng)計(jì)劃中要求擴(kuò)大在先技術(shù)的檢索.美國知識(shí)產(chǎn)權(quán)法協(xié)會(huì)建議專利商標(biāo)局收集非專利商業(yè)方法的在先技術(shù),美國國會(huì)議員提出的2000年商業(yè)方法專利促進(jìn)法中有充分的在先技術(shù)以檢索商業(yè)方法發(fā)明的新穎性的建議。
參考文獻(xiàn):
①曾文怡.商業(yè)方法發(fā)明之可專利性研究,世新大學(xué)智慧財(cái)產(chǎn)權(quán)研究所碩士論文,2011年6月。
②陳健.商業(yè)方法專利研究[M].北京:知識(shí)產(chǎn)權(quán)出版社,第1版,2011年5月1日;第一章,美國最高法院關(guān)于商業(yè)方法專利審查的“三部曲”。
篇7
1引言
“信息安全”是信息安全本科教學(xué)的核心專業(yè)課程。我校本科“信息安全”課程自2005年開設(shè),我們認(rèn)識(shí)到:
(1) 信息安全課程的教學(xué)需要重視理論的講授,使學(xué)生掌握解決問題的基本技術(shù),更要強(qiáng)調(diào)實(shí)驗(yàn)教學(xué),培養(yǎng)學(xué)生解決安全問題的能力。
(2) 信息安全一個(gè)整體概念,解決某一個(gè)安全問題常常要綜合考慮硬件、系統(tǒng)軟件、應(yīng)用軟件、代碼安全、協(xié)議安全等多個(gè)問題,因此需要培養(yǎng)學(xué)生的綜合安全技能,安全實(shí)驗(yàn)內(nèi)容的系統(tǒng)性尤為重要。這里的系統(tǒng)一方面是指實(shí)驗(yàn)內(nèi)容自身的體系完整,也包括實(shí)驗(yàn)內(nèi)容與其他計(jì)算機(jī)或安全專業(yè)課程的有機(jī)關(guān)聯(lián)。此外,為了適應(yīng)實(shí)際應(yīng)用的需求,實(shí)驗(yàn)類型也應(yīng)多樣,可分為原理驗(yàn)證型、操作配置型、編程開發(fā)型、綜合應(yīng)用型。
(3) 目前的信息安全教學(xué)受到學(xué)校資金、場(chǎng)地等硬件條件的限制,缺乏實(shí)驗(yàn)所需的軟硬件,不能開設(shè)課程所要求的全部實(shí)驗(yàn),而且在現(xiàn)實(shí)的實(shí)驗(yàn)環(huán)境中,模擬網(wǎng)絡(luò)攻擊、惡意代碼的分析等對(duì)實(shí)驗(yàn)環(huán)境具有潛在危害的實(shí)驗(yàn)也不能完成。因此,建立信息安全虛擬實(shí)驗(yàn)平臺(tái)也是我們實(shí)驗(yàn)教學(xué)工作中的一個(gè)重點(diǎn)。
我們根據(jù)本校的特點(diǎn),在學(xué)校“研究性教學(xué)示范課程《信息安全》”項(xiàng)目、“網(wǎng)絡(luò)信息安全實(shí)驗(yàn)課程研究與實(shí)驗(yàn)平臺(tái)建設(shè)”項(xiàng)目的支持下,作者在“信息安全”實(shí)驗(yàn)課的實(shí)驗(yàn)內(nèi)容設(shè)置、實(shí)驗(yàn)平臺(tái)建設(shè)、學(xué)生能力培養(yǎng)等方面做了有益的實(shí)踐和探索。
2“信息安全”實(shí)驗(yàn)課教學(xué)內(nèi)容的設(shè)置
2.17大類實(shí)驗(yàn)?zāi)K
計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的信息系統(tǒng)可以用如下的層次結(jié)構(gòu)來描述。
為了確保信息安全,必須考慮每一個(gè)層次可能的信息泄漏或所受到的安全威脅。因此安全實(shí)驗(yàn)的內(nèi)容應(yīng)當(dāng)注意系統(tǒng)性,從以下幾個(gè)層次研究信息安全問題:計(jì)算機(jī)硬件與環(huán)境安全、操作系統(tǒng)安全、計(jì)算機(jī)網(wǎng)絡(luò)安全、數(shù)據(jù)庫系統(tǒng)安全、應(yīng)用系統(tǒng)安全以及安全管理。
我們遵循信息安全PDRR模型的核心思想,以及“信息安全類專業(yè)指導(dǎo)性專業(yè)規(guī)范”項(xiàng)目組提出的“信息安全類專業(yè)知識(shí)體系”,并結(jié)合我們編寫的教材,設(shè)置的“信息安全”實(shí)驗(yàn)課程的內(nèi)容包含7大類30多個(gè)模塊:
第1類:密碼學(xué)基礎(chǔ)與密碼技術(shù)應(yīng)用。包括對(duì)稱、非對(duì)稱密碼系統(tǒng)、公鑰密碼系統(tǒng)、消息摘要、數(shù)字簽名、信息隱藏與數(shù)字水印等實(shí)驗(yàn)?zāi)K。
第2類:硬件與操作系統(tǒng)安全。包括常用硬件設(shè)備防護(hù)、使用微軟基準(zhǔn)安全分析器分析系統(tǒng)漏洞、Windows用戶帳號(hào)口令破解、Windows系統(tǒng)安全配置、微軟安全小工具的使用等實(shí)驗(yàn)?zāi)K。
第3類:數(shù)據(jù)庫安全。包括SQL Server 2000的安全管理等實(shí)驗(yàn)?zāi)K。
第4類:網(wǎng)絡(luò)安全。包括網(wǎng)絡(luò)掃描工具的使用及其編程實(shí)現(xiàn)、網(wǎng)絡(luò)嗅探工具的使用及其編程實(shí)現(xiàn)、遠(yuǎn)程控制原理與實(shí)踐、網(wǎng)絡(luò)防火墻的使用和攻防測(cè)試、Snort入侵檢測(cè)系統(tǒng)的使用、使用SSL為Web服務(wù)器配置安全通信、利用OpenSSL的C/S安全通信程序設(shè)計(jì)等實(shí)驗(yàn)?zāi)K;
第5類:惡意代碼與安全程序設(shè)計(jì)。包括Web入侵方法實(shí)驗(yàn)、代碼復(fù)審與靜態(tài)分析、惡意軟件的剖析與清除等實(shí)驗(yàn)?zāi)K。
第6類:應(yīng)急響應(yīng)與災(zāi)難恢復(fù)。包括數(shù)據(jù)恢復(fù)軟件 Easy Recovery的使用、計(jì)算機(jī)取證軟件使用等實(shí)驗(yàn)?zāi)K。
第7類:風(fēng)險(xiǎn)評(píng)估與安全管理。包括安全掃描工具使用、風(fēng)險(xiǎn)評(píng)估工具使用、整體安全方案設(shè)計(jì)等實(shí)驗(yàn)?zāi)K。
2.2實(shí)驗(yàn)組織及實(shí)驗(yàn)類型
全部30多個(gè)實(shí)驗(yàn)共分為4種實(shí)驗(yàn)類型:
第一種:驗(yàn)證型實(shí)驗(yàn)。學(xué)生在實(shí)驗(yàn)平臺(tái)的瀏覽器端輸入實(shí)驗(yàn)參數(shù),由服務(wù)器運(yùn)行仿真軟件,并將實(shí)驗(yàn)結(jié)果返回用戶,如實(shí)踐RSA算法原理。
第二種:操作配置型。學(xué)生從安全實(shí)驗(yàn)平臺(tái)的瀏覽器端下載實(shí)驗(yàn)所需的工具軟件,如網(wǎng)絡(luò)攻擊、防火墻、入侵檢測(cè)工具等,接著在單臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)環(huán)境中完成實(shí)驗(yàn)內(nèi)容。
第三種:編程開發(fā)型。將核心源代碼程序以類、功能模塊或組件的形式提供給學(xué)生,學(xué)生在瀏覽器端下載程序模塊,自己動(dòng)手編程實(shí)現(xiàn),如利用OpenSSL開發(fā)包進(jìn)行安全通信程序設(shè)計(jì)。
第四種:綜合應(yīng)用型,如為校園網(wǎng)設(shè)計(jì)安全方案等,需要涉及安全需求分析、安全產(chǎn)品的選擇與部署、安全評(píng)估、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)、安全管理等多層次上的安全問題。
每個(gè)實(shí)驗(yàn)以3人小組協(xié)同來完成。一般以一周為完成時(shí)間,在這期間,教師還可以利用發(fā)送電子郵件、在線答疑等方式解答學(xué)生提出的問題。
2.3“惡意代碼與安全程序設(shè)計(jì)實(shí)驗(yàn)”模塊介紹
計(jì)算機(jī)安全專業(yè)的學(xué)生一般都學(xué)習(xí)過C、C++等程序設(shè)計(jì)、軟件工程、網(wǎng)站開發(fā)等課程,那么“信息安全”課程的學(xué)習(xí)如何與之有機(jī)關(guān)聯(lián)呢?學(xué)生如何在已學(xué)課程的基礎(chǔ)上從安全的角度進(jìn)一步提高知識(shí)水平呢?下面以實(shí)驗(yàn)內(nèi)容第5類的“惡意代碼與安全程序設(shè)計(jì)實(shí)驗(yàn)”模塊為例,對(duì)實(shí)驗(yàn)內(nèi)容及其實(shí)施做一介紹。
模塊1:軟件安全實(shí)驗(yàn)知識(shí)準(zhǔn)備
在這個(gè)知識(shí)準(zhǔn)備模塊中介紹:
(1) 軟件安全問題,包括軟件安全問題與信息安全的關(guān)聯(lián)、軟件安全開發(fā)生命周期等,例如介紹風(fēng)險(xiǎn)分析和代碼復(fù)審,并解釋這些行為應(yīng)該發(fā)生是在軟件開發(fā)生命周期中的哪一個(gè)階段、哪種情況下。
(2) 軟件安全漏洞與攻擊,包括緩沖區(qū)溢出(buffer overflows)、跨站點(diǎn)腳本攻擊(cross-site scripting)、錯(cuò)誤開放認(rèn)證(fail open authentication)、隱式表單(hidden form fields)、編譯注入(interpreter injection)、競(jìng)態(tài)條件(race conditions)等,并介紹相關(guān)的攻擊術(shù)語以及如何利用以上安全缺陷的入侵。
(3) 安全設(shè)計(jì)原則,介紹由Saltzer和Schroeder提出的八項(xiàng)安全機(jī)制作為軟件設(shè)計(jì)與實(shí)現(xiàn)原則,例如最少特權(quán)(least privilege)、自動(dòng)防故障缺省(fail-safe defaults)和特權(quán)分離(separation of privilege)。
模塊2:Web入侵方法實(shí)驗(yàn)
利用OWASP (the Open Web Applications Security Project, 開放網(wǎng)絡(luò)應(yīng)用軟件安全計(jì)劃) 設(shè)計(jì)的WebGoat 安全學(xué)習(xí)教程。要求學(xué)生使用Web Scarab測(cè)試工具來完成WebGoat實(shí)驗(yàn)。WebScarab是一個(gè)用來分析使用HTTP和HTTPS協(xié)議的應(yīng)用程序框架。
模塊3:代碼復(fù)審與靜態(tài)分析實(shí)驗(yàn)
代碼復(fù)審是軟件系統(tǒng)安全性檢查的一個(gè)重要部分,它可以在軟件投入運(yùn)行甚至系統(tǒng)沒有集成前發(fā)現(xiàn)和修復(fù)安全漏洞。要求學(xué)生使用ITS4、PCLint、Fortify等靜態(tài)分析工具快速發(fā)現(xiàn)代碼安全漏洞,并對(duì)這些工具的優(yōu)缺點(diǎn)進(jìn)行分析。例如,ITS4的一個(gè)明顯缺陷是,它對(duì)所有出現(xiàn)strcpy()的語句都報(bào)警。
模塊4:惡意代碼剖析與清除實(shí)驗(yàn)
對(duì)惡意代碼的剖析是與操作系統(tǒng)、軟件工程、網(wǎng)絡(luò)等安全緊密相關(guān)的重要實(shí)驗(yàn)。惡意代碼的剖析實(shí)驗(yàn)要求:惡意代碼運(yùn)行主機(jī)的安全性、運(yùn)行主機(jī)操作系統(tǒng)的安全性、感染環(huán)境的安全性、被感染系統(tǒng)的快速恢復(fù)、對(duì)惡意代碼感染前后的操作系統(tǒng)進(jìn)行分析、仿真操作系統(tǒng)的多樣性、減少成本。
虛擬機(jī)作為一種仿真技術(shù)可以完全仿真硬件平臺(tái),這樣就可以對(duì)病毒研究提供大量的仿真PC,節(jié)省了硬件成本。而且不必?fù)?dān)心病毒對(duì)硬件的破壞,同時(shí)通過單獨(dú)的最簡(jiǎn)單的病毒研究網(wǎng)絡(luò)來減小對(duì)于其他網(wǎng)絡(luò)的感染,這樣也解決了病毒研究環(huán)境的安全性。此外,一般的虛擬機(jī)系統(tǒng)管理軟件都可以保存虛擬操作系統(tǒng)的當(dāng)前狀態(tài),因而可以完成“對(duì)病毒感染前后進(jìn)行分析”的實(shí)驗(yàn)要求,也可以解決被感染系統(tǒng)的快速恢復(fù)的問題。因此,利用虛擬機(jī)技術(shù)是完成惡意代碼剖析實(shí)驗(yàn)的一個(gè)很好的解決方案。
3“信息安全”實(shí)驗(yàn)課教學(xué)平臺(tái)的建設(shè)
實(shí)驗(yàn)平臺(tái)的建設(shè)思想是:采用虛擬機(jī)軟件VMWare在單臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)多臺(tái)虛擬機(jī)以完成信息安全相關(guān)實(shí)驗(yàn),學(xué)生通過Web訪問,完成實(shí)驗(yàn)的知識(shí)準(zhǔn)備、實(shí)驗(yàn)內(nèi)容及相關(guān)軟件的下載、實(shí)驗(yàn)報(bào)告的提交等工作。學(xué)生在瀏覽器端按一定步驟完成實(shí)驗(yàn),最終獲得實(shí)驗(yàn)結(jié)果。下面介紹該平臺(tái)的設(shè)計(jì)思想、系統(tǒng)結(jié)構(gòu)及工作機(jī)制,該平臺(tái)的使用情況并提出了進(jìn)一步的工作。
3.1平臺(tái)設(shè)計(jì)原則
虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)遵循以下原則:
(1) 開放性原則:本實(shí)驗(yàn)系統(tǒng)基于校園網(wǎng),任何接入校園網(wǎng)的學(xué)生都能使用本系統(tǒng)。
(2) 交互性原則:給出交互信息,對(duì)學(xué)生的操作做出實(shí)時(shí)反饋。
(3) 安全性與可靠性原則:系統(tǒng)自身運(yùn)行保證安全可靠,并對(duì)用戶的使用過程通過日志記載。
(4) 易于維護(hù)原則:系統(tǒng)的模塊化設(shè)計(jì),這樣既節(jié)省維護(hù)費(fèi)用,又便于實(shí)驗(yàn)項(xiàng)目的及時(shí)更新,保證虛擬實(shí)驗(yàn)教學(xué)的不斷發(fā)展和完善。
3.2虛擬實(shí)驗(yàn)平臺(tái)的結(jié)構(gòu)
如下圖所示,虛擬實(shí)驗(yàn)系統(tǒng)包括若干實(shí)驗(yàn)組,每組一般由3人組成,每組中包括:
PCm(Personal Computer, m=1,2,3),實(shí)驗(yàn)室中供學(xué)生使用的PC機(jī);
VPCn(Virtual Personal Computer, n=1,2,3),在某臺(tái)學(xué)生機(jī)PC上虛擬出的客戶機(jī)。
整個(gè)實(shí)驗(yàn)室還設(shè)置:
LabS (Laboratory Server),實(shí)驗(yàn)服務(wù)器,實(shí)驗(yàn)內(nèi)容的、更新等;
LabC(Laboratory Console),實(shí)驗(yàn)室控制臺(tái),實(shí)驗(yàn)室PC機(jī)的管理等工作。
3.3系統(tǒng)中的軟硬件部署
以一個(gè)實(shí)驗(yàn)組的軟硬件部署為例介紹。
(1) 架設(shè)硬件。這個(gè)過程很簡(jiǎn)單,將實(shí)驗(yàn)室中的PC同時(shí)接到一個(gè)交換機(jī)上。
(2) 在PC1上創(chuàng)建虛擬機(jī)。安裝VMWare Workstation軟件,虛擬出3臺(tái)主機(jī),VPC1-3的IP地址為192.168.2.1-192.168.2.3。在虛擬實(shí)驗(yàn)環(huán)境的操作系統(tǒng)選擇上應(yīng)當(dāng)注意多樣化,我們選擇安裝兩個(gè)主流操作系統(tǒng)Windows 2003 Server和RedHat Linux,它們分別代表了Windows系列商業(yè)操作系統(tǒng)和開放源代碼系列的類UNIX操作系統(tǒng);配置上采用單主機(jī)雙啟動(dòng)的方式選擇啟動(dòng)Windows 2003 Server或RedHat Linux;身份認(rèn)證采用網(wǎng)絡(luò)統(tǒng)一認(rèn)證:Windows 2003 Server采用Windows的活動(dòng)目錄認(rèn)證,RedHat Linux通過pam-smb在Windows的活動(dòng)目錄服務(wù)器上進(jìn)行身份認(rèn)證。
整個(gè)系統(tǒng)采用虛擬主機(jī)的方案,即虛擬主機(jī)是在物理計(jì)算機(jī)(稱為宿主機(jī))的操作系統(tǒng)上(稱為宿主操作系統(tǒng))通過軟件模擬出來的“計(jì)算機(jī)”(稱為客戶機(jī),其上安裝的操作系統(tǒng)稱為客戶操作系統(tǒng)),客戶操作系統(tǒng)僅僅是宿主操作系統(tǒng)上的某個(gè)特定的數(shù)據(jù)文件。客戶機(jī)上的任何操作只會(huì)影響宿主操作系統(tǒng)上的這個(gè)數(shù)據(jù)文件,提供虛擬主機(jī)的軟件還能在客戶機(jī)上虛擬出計(jì)算機(jī)設(shè)備(如網(wǎng)卡、磁盤等),其中,虛擬的網(wǎng)卡可以與宿主機(jī)通信,或與宿主機(jī)所連接的物理網(wǎng)絡(luò)通信,或者,一個(gè)宿主機(jī)的多個(gè)客戶操作系統(tǒng)還可以通過虛擬的網(wǎng)卡組成網(wǎng)絡(luò),該網(wǎng)絡(luò)可以與物理網(wǎng)絡(luò)連接也可以不連接。
這個(gè)技術(shù)對(duì)于網(wǎng)絡(luò)安全實(shí)驗(yàn)是非常有意義的。例如,可以在客戶操作系統(tǒng)上測(cè)試病毒的特性,在客戶操作系統(tǒng)組成的網(wǎng)絡(luò)中測(cè)試網(wǎng)絡(luò)配置,或者安裝、配置某個(gè)操作系統(tǒng)而不用擔(dān)心會(huì)弄壞宿主操作系統(tǒng)導(dǎo)致重新安裝,也可以通過拷貝客戶操作系統(tǒng)的數(shù)據(jù)文件來統(tǒng)一實(shí)驗(yàn)環(huán)境。
3.4系統(tǒng)角色分工
虛擬實(shí)驗(yàn)系統(tǒng)采用登錄機(jī)制,用戶進(jìn)入虛擬實(shí)驗(yàn)室,首先必須以某種身份登錄。例如:教師用戶可以將自己創(chuàng)建的新的虛擬實(shí)驗(yàn)上傳到數(shù)據(jù)庫,以充實(shí)實(shí)驗(yàn)內(nèi)容。而學(xué)生用戶則無此權(quán)限。
3.5系統(tǒng)運(yùn)行情況分析
本虛擬實(shí)驗(yàn)系統(tǒng)具有以下一些顯著的優(yōu)點(diǎn):
(1) 利于實(shí)驗(yàn)的實(shí)施。通過虛擬機(jī)軟件的基本功能,可以保證信息安全實(shí)驗(yàn)的安全性。例如在模擬的網(wǎng)絡(luò)攻擊中,虛擬機(jī)一旦崩潰,可以把整個(gè)虛擬機(jī)刪除,就像刪除普通文件一樣,保證了原計(jì)算機(jī)操作系統(tǒng)環(huán)境的穩(wěn)定性;
(2) 實(shí)驗(yàn)成本低,易于實(shí)驗(yàn)規(guī)模的擴(kuò)展。利用虛擬機(jī)技術(shù),在單機(jī)中模擬多個(gè)系統(tǒng)環(huán)境、模擬規(guī)模不等的網(wǎng)絡(luò)環(huán)境,提高了設(shè)備利用率,降低了實(shí)驗(yàn)成本,按照?qǐng)D2中1:3的比例就可以節(jié)省2/3的硬件資源。使得信息安全的實(shí)驗(yàn)的普及、推廣成為了可能。
(3) 便于實(shí)驗(yàn)內(nèi)容的擴(kuò)展。由于許多儀器或部件都是“虛擬”的,其功能是由開發(fā)者定義的,可隨著新設(shè)備的推出重新“生成”新的儀器設(shè)備,使之能跟上網(wǎng)絡(luò)技術(shù)的不斷更新;
(4) 虛擬實(shí)驗(yàn)系統(tǒng)將使教學(xué)不再局限于有形的實(shí)驗(yàn)室中,教學(xué)和動(dòng)手操作實(shí)踐的空間和時(shí)間得到無形的擴(kuò)展。
通過一段時(shí)間的實(shí)際應(yīng)用,本系統(tǒng)在使用中還存在以下一些問題:
(1) 系統(tǒng)額外開銷增大。x86虛擬化技術(shù)的最大不足就是虛擬化本身會(huì)帶來系統(tǒng)開銷,同時(shí)也要消耗部分資源。這個(gè)開銷主要集中在CPU資源消耗、內(nèi)存資源消耗和硬盤存儲(chǔ)資源消耗上。幸好硬件資源的過剩,可以緩解這一問題。
(2) 平臺(tái)系統(tǒng)維護(hù)復(fù)雜度提高。采用虛擬化技術(shù)后,由于涉及CPU內(nèi)核管理和虛擬化軟件與操作系統(tǒng)間兼容性等問題,無論是宿主操作系統(tǒng)的升級(jí),還是虛擬操作系統(tǒng)的升級(jí),都需要慎重處理,即存在維護(hù)難度。
(3) 硬件配置需要適度提高。虛擬化技術(shù)是要在一臺(tái)計(jì)算機(jī)上運(yùn)行盡可能多的系統(tǒng)和應(yīng)用,因而高配置的單臺(tái)機(jī)器要比低配置的單臺(tái)機(jī)器更適于部署虛擬化系統(tǒng),不過這樣的硬件成本投入也能獲得更顯著的效益。
本系統(tǒng)的進(jìn)一步工作,將實(shí)驗(yàn)成績(jī)的管理納入系統(tǒng),實(shí)驗(yàn)考核成績(jī)的查詢打印等,進(jìn)一步提高實(shí)驗(yàn)系統(tǒng)的服務(wù)質(zhì)量。
4學(xué)生能力的培養(yǎng)
實(shí)驗(yàn)教學(xué)的設(shè)備建設(shè)是搞好實(shí)驗(yàn)教學(xué)的重要環(huán)節(jié),而教師對(duì)設(shè)備的使用、對(duì)實(shí)驗(yàn)內(nèi)容的把握、對(duì)學(xué)生學(xué)習(xí)過程的跟蹤和指導(dǎo)更加重要。我們?cè)趯?shí)驗(yàn)教學(xué)中,要求各組學(xué)生的實(shí)驗(yàn)報(bào)告中包括以下欄目:實(shí)驗(yàn)?zāi)康摹?shí)驗(yàn)原理、實(shí)驗(yàn)詳細(xì)步驟、實(shí)驗(yàn)小結(jié)與思考、參考文獻(xiàn)。其中實(shí)驗(yàn)思考題由教師事先提出若干,要求學(xué)生在實(shí)驗(yàn)中解決這些問題,并鼓勵(lì)學(xué)生在實(shí)驗(yàn)中發(fā)現(xiàn)新的問題并努力解決。參考文獻(xiàn)也做了數(shù)量的要求,這樣一方面是為了督促學(xué)生廣泛閱讀相關(guān)文獻(xiàn),另一方面教師也可從學(xué)生所列的參考文獻(xiàn)對(duì)學(xué)生實(shí)驗(yàn)的完成質(zhì)量有所了解。
對(duì)于各組學(xué)生提交的實(shí)驗(yàn)報(bào)告還會(huì)利用上課時(shí)間進(jìn)行討論,取長補(bǔ)短,歸納整理。課后,教師還對(duì)完成得較好的實(shí)驗(yàn)報(bào)告加以進(jìn)一步地指導(dǎo),進(jìn)行提煉和升華,形成論文。目前,我們這種:實(shí)驗(yàn)――匯報(bào)討論――提煉升華的三階段實(shí)驗(yàn)指導(dǎo)經(jīng)驗(yàn)已取得了一些成果,如學(xué)生已經(jīng)完成了“高性能的文件加密系統(tǒng)”、“OpenSSL的C/S安全通信程序”、“U盤病毒及免疫程序”、“基于系統(tǒng)調(diào)用截獲技術(shù)的軟件行為分析系統(tǒng)”等安全軟件,并已在《電腦編程技巧與維護(hù)》等雜志上發(fā)表。此外,“軟件可信驗(yàn)證”實(shí)驗(yàn)作為我校“本科生科研訓(xùn)練計(jì)劃”項(xiàng)目立項(xiàng),學(xué)生以團(tuán)隊(duì)形式參與完成。學(xué)生的資料搜集以及整理分析能力、編程能力、安全整體意識(shí)、寫作能力、團(tuán)隊(duì)協(xié)作能力都得到了培養(yǎng)和提高。
5結(jié)束語
信息安全的理論和技術(shù)還在不斷的發(fā)展和更新中,這就要求教師不斷更新信息安全實(shí)驗(yàn)課的實(shí)驗(yàn)內(nèi)容,加強(qiáng)與其他課程的關(guān)聯(lián),不斷完善實(shí)驗(yàn)平臺(tái),進(jìn)一步培養(yǎng)學(xué)生安全能力,使得“信息安全”的教學(xué)真正做到使學(xué)生學(xué)以致用。
參考文獻(xiàn):
[1] 陳波,于泠,肖軍模. 計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)[M]. 北京:機(jī)械工業(yè)出版社,2006.
篇8
一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題
電子商務(wù)的前提是信息的安全性保障,信息安全性的含義主要是信息的完整性、可用性、保密和可靠。因此電商務(wù)活動(dòng)中的信息安全問題豐要體現(xiàn)在以下兩個(gè)方面:
1 網(wǎng)絡(luò)信息安全方面
(1)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問題。
(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電予商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會(huì)非常嚴(yán)重。
2.電子商務(wù)交易方面
(1)身份的不確定問題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進(jìn)行交易。
(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴。有些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。
二 電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1 電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信皂的完整和提供信包發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全、方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾?身份驗(yàn)證機(jī)制以及交易的不可抵賴性等均可通過電子簽名的安全認(rèn)證手段加以解決。
(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接入控制和審查跟蹤,是一一種訪問控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和Intemet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱密鑰體制和公用密鑰體制兩種。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來說,應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介入,主要做好硬件系統(tǒng)日常管理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒入侵信息等工作。此外,還可將剛絡(luò)系統(tǒng)中易感染病毒的文什屬性、權(quán)限加以限制,斷絕病毒入侵的渠道,從而達(dá)到預(yù)防的目的。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)引對(duì)信息安全至少提供三個(gè)層而的安全保護(hù)措施:一是數(shù)據(jù)存操作系統(tǒng)內(nèi)部或者盤陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以上保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三 電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
篇9
“壞小子”們?cè)陂L達(dá)100頁的白皮書中,詳細(xì)闡述攻擊豐田普銳斯(Prius)和福特翼虎(Escape)關(guān)鍵系統(tǒng)的方法——他們讓以每小時(shí)130公里速度行駛的豐田普銳斯突然剎車,當(dāng)然也可以讓汽車突然加速,甚至控制方向盤。還讓福特翼虎在慢速行駛時(shí)剎車失靈,司機(jī)不論用多大力氣踩剎車都于事無補(bǔ)。
當(dāng)然,他們的研究并非為了為非作歹,“殺人于無形之中”,而是為了搶在不法分子之前找到系統(tǒng)漏洞,這類黑客被稱為“白帽黑客”。
米勒和瓦拉賽克希望他們的數(shù)據(jù)能激勵(lì)其他“白帽黑客”去發(fā)現(xiàn)更多的汽車安全漏洞,這樣就能夠加以修復(fù)。米勒調(diào)侃道:“與其相信福特和豐田的眼光,我倒寧可相信100名安全研究人士的眼力。”
這樣看來,似乎汽車“太智能”也會(huì)帶來困擾。當(dāng)移動(dòng)互聯(lián)網(wǎng)技術(shù)進(jìn)入汽車,汽車更像是一個(gè)個(gè)“移動(dòng)終端”時(shí)候,如何來保證未來的駕駛安全?其實(shí)早在2011年,就有學(xué)術(shù)界人士談到如何利用藍(lán)牙系統(tǒng)和無線網(wǎng)絡(luò)入侵汽車,不過在當(dāng)時(shí),學(xué)術(shù)界人士對(duì)細(xì)節(jié)秘而不宣,甚至拒絕透露他們?nèi)肭至耸裁葱吞?hào)的車輛。
被研究的“對(duì)象”有點(diǎn)坐不住了。豐田發(fā)言人漢森(John Hanson)稱豐田正對(duì)此加以評(píng)估。他稱,豐田在汽車電子安全方面投入了大量資金,但還是存在一些漏洞。而福特發(fā)言人戴奇(Craig Daitch)稱,福特認(rèn)真看待其車輛的電子安全。但他指出,由于米勒和瓦拉賽克的攻擊方法必須要坐在目標(biāo)車輛里才能實(shí)現(xiàn),因此實(shí)際風(fēng)險(xiǎn)是相對(duì)較低的。
同樣被暴露出軟件存在漏洞的還有大眾汽車旗下的4個(gè)豪華車品牌。英國伯明翰大學(xué)的加西亞(Flavio D. Garcia)、荷蘭內(nèi)梅亨大學(xué)的維杜特(RoelVerdult)和艾齊(BarisEge)一直致力于研究如何突破奧迪、保時(shí)捷、賓利和蘭博基尼等大眾汽車集團(tuán)旗下豪華車品牌的Megamos Crypto防護(hù)系統(tǒng)。三人發(fā)現(xiàn)了車輛內(nèi)部的獨(dú)特邏輯代碼,以及能夠允許車輛識(shí)別點(diǎn)火鑰匙的特征。而目前,除了大眾以外,不少其他車企的點(diǎn)火鑰匙也使用Megamos Crypto邏輯。
“白帽三劍客”基于研究撰寫的論文原本計(jì)劃在今年8月美國華盛頓Usenix安全研討會(huì)上發(fā)表,但此舉遭到大眾汽車反對(duì),大眾稱,論文泄露啟動(dòng)密碼可能“使得某些人,尤其是經(jīng)驗(yàn)豐富的犯罪集團(tuán)獲得利器,輕易地突破車輛安全系統(tǒng)并實(shí)施盜竊”。
大眾近而向英國高等法院提訟,并獲得了英國高院的支持。英國高院了暫時(shí)性禁令,阻止他們,其所屬的兩所大學(xué)的內(nèi)部刊物也表示將遵從禁令,暫緩發(fā)表該論文。
對(duì)此,專家們表示不滿,認(rèn)為只是在進(jìn)行“合法的學(xué)術(shù)研究”,目的是為所有人改善安全狀況。被法院禁止后,三人決定退出今年的研討會(huì)。
盡管還沒有消費(fèi)者因汽車被黑造成事故,但美國國家公路交通安全管理局發(fā)表的一份聲明中表示:“電子控制和連接越來越多,它強(qiáng)化了交通安全和效率,但給抵抗?jié)撛谌毕輲硇绿魬?zhàn)。”
篇10
An Android software protection scheme based on remote verification
Zhang Jianxin
(College of software,North university of China, Taiyuan, Shanxi 030051, China)
Abstract: Encrypting DEX files and SO library files can be a good way to protect the security of Android software, but the key information will remain in the local file and will leave a security risk. In order to solve this problem, this paper proposes that the key information is not hard coded in the program, but is placed on the remote server, and the critical information is confirmed by communicating with the remote service, to achieve the purpose of protecting Android software. The experimental results show that this method can effectively protect the security of Android software and has high reliability.
Key words: Android software security; remote verification; packer technology; software encryption; AES algorithm
0 引言
安卓系y占據(jù)了智能終端市場(chǎng)接近90%占有率[1],它的開源和內(nèi)核的可移植性,既可以吸引愛好者的關(guān)注也給不法分子留下了機(jī)會(huì)。攻擊者可以利用各種手段對(duì)原始應(yīng)用進(jìn)行破解和篡改,隨著越來越多的受害者出現(xiàn),人們開始重視安卓平臺(tái)應(yīng)用軟件的保護(hù)。
文獻(xiàn)[2]闡述了安卓各個(gè)層面的細(xì)節(jié)和攻擊方法。文獻(xiàn)[3-4]通過自定義加載的方法實(shí)現(xiàn)在內(nèi)存中加載核心代碼(SMC代碼字修改)。文獻(xiàn)[5]在設(shè)計(jì)安卓代碼保護(hù)方案時(shí)將MVC的概念引入到方案的設(shè)計(jì)中。文獻(xiàn)[6-8]提出的代碼保護(hù)方法都主要依賴于加密和加殼技術(shù)。文獻(xiàn)[9]是比較有代表性的一種方案,它通過AES加密算法加密DEX文件并將解密功能放到“傀儡class”文件中來增強(qiáng)其保密信息的安全性。但是上述方案在加密算法的選擇或者密鑰信息的保護(hù)方面都有漏洞。所以本文采用了一種文件保護(hù)和和遠(yuǎn)程校驗(yàn)相結(jié)合的安卓軟件保護(hù)方案。
1 方案設(shè)計(jì)思路
本文提出一種基于遠(yuǎn)程校驗(yàn)的安卓軟件保護(hù)方案,同時(shí)也用到了關(guān)鍵文件變形和加密的技術(shù)。
在apk包的所有文件中,最重要的是classes.dex文件。了解smali語法的人可以通過反編譯和靜態(tài)分析技術(shù)來破解軟件。除了dex文件之外 SO文件也是攻擊的目標(biāo)之一,本文對(duì)SO文件也進(jìn)行相應(yīng)的處理。
對(duì)dex文件和so文件進(jìn)行變形和加密,這樣對(duì)關(guān)鍵文件進(jìn)行保護(hù),具體的功能模塊示意圖如圖1。
加密模塊通過AES算法加密需要保護(hù)的文件,并取得需要保護(hù)的信息部署到遠(yuǎn)程服務(wù)器,然后再重新打包;解密模塊執(zhí)行的時(shí)候通過殼程序調(diào)用遠(yuǎn)程服務(wù)器上的固定方法完成完整性校驗(yàn),然后返回密鑰信息對(duì)文件進(jìn)行解密,再執(zhí)行正常流程。本方案采用的方法雖然會(huì)在遠(yuǎn)程通信中耗費(fèi)一定的資源,主要是對(duì)網(wǎng)絡(luò)傳輸?shù)囊蟊容^高,但其他方面都能做到用最少的資源最大限度地增加軟件的安全性。
2 關(guān)鍵技術(shù)闡述
保護(hù)方案主要技術(shù)點(diǎn)包括dex文件保護(hù)技術(shù)、SO文件保護(hù)技術(shù)和遠(yuǎn)程服務(wù)實(shí)現(xiàn)技術(shù)。
2.1 dex文件保護(hù)
本文提出一種自定義代碼替換集的代碼混淆方法用于加密前處理dex文件。自定義代碼替換集可以由軟件使用者自己定義,自己掌控需要替換的代碼及相應(yīng)位置,而替換的規(guī)則只有開發(fā)者知道,這就大大增加了分析者的破解難度,而且恢復(fù)替換所消耗的資源也少于大規(guī)模的替換,在資源的占用方面有優(yōu)勢(shì),主要的工作難度都集中在前期自定義階段。這就使得分析人員即使得到了dex文件也不能充分的了解其中代碼的意義,無法順利的進(jìn)行分析。具體實(shí)現(xiàn)中可以把代碼替換集置于遠(yuǎn)程服務(wù)器中,使規(guī)則對(duì)程序透明化。當(dāng)然,為了進(jìn)一步增加獲得dex文件的難度,在打包之前還需要通過加密等其他手段對(duì)其進(jìn)行處理。具體實(shí)現(xiàn)流程如圖2所示。
2.2 SO文件保護(hù)
以現(xiàn)行的分析技術(shù),如果我們將SO文件直接放在jni目錄下打包發(fā)出,攻擊者可以輕而易舉地破解開發(fā)人員寫出來的代碼。本文在研究前人加固方案的基礎(chǔ)上,采用一種核心文件替代的方法。通過分析java調(diào)用動(dòng)態(tài)鏈接庫的函數(shù)System.loadLibrary()發(fā)現(xiàn)接口中調(diào)用本地庫的關(guān)鍵語句為nativeLoad(name,loader,ldLibraryPath),該方法執(zhí)行的時(shí)候調(diào)用路徑為ldLibraryPath下名字為name的SO文件,由此系統(tǒng)可以自己定義一個(gè)核心SO文件,對(duì)其他SO文件進(jìn)行統(tǒng)一處理,而動(dòng)態(tài)鏈接庫中的主要實(shí)現(xiàn)邏輯文件則統(tǒng)一置于文件夾中并對(duì)其進(jìn)行變形操作,最后將它放入assets文件夾。密鑰信息并不在本地文件中,而保存在遠(yuǎn)程服務(wù)器中。具體處理與運(yùn)行流程如圖3所示。
2.3 Axis2簡(jiǎn)介
本文基于遠(yuǎn)程獲取校驗(yàn)信息和密鑰信息的功能將通過Axis2引擎來實(shí)現(xiàn)。
Apache Axis2項(xiàng)目是一個(gè)基于java的包括服務(wù)端和客戶端的webservice框架。它適合輕量級(jí)的數(shù)據(jù)處理。客戶端可以通過Axis2接口調(diào)用特定服務(wù)端出來的指定方法來實(shí)現(xiàn)某些特定的功能,用戶只需要發(fā)送請(qǐng)求的參數(shù),它就可以返回最后的結(jié)果。
在手機(jī)端發(fā)送密鑰或者校驗(yàn)請(qǐng)求到服務(wù)端,服務(wù)端根據(jù)請(qǐng)求信息找到對(duì)應(yīng)的方法處理數(shù)據(jù)并返回結(jié)果。服務(wù)器端的主要代碼非常簡(jiǎn)單,就是通過soap消息傳遞當(dāng)前META-INF文件夾簽名或者直接發(fā)送需要的密鑰請(qǐng)求到事先部署到服務(wù)器配置文件中的初始簽名參數(shù)對(duì)比,如果判斷失敗則返回失敗指令,讓App停止運(yùn)行,代碼如表1所示,客戶端發(fā)送請(qǐng)求代碼如表2所示。
代碼中,RPCServiceClient對(duì)象是可以處理發(fā)送與接收數(shù)據(jù)業(yè)務(wù)的專用對(duì)象;Options對(duì)象用來攜帶可選參數(shù);EndpointReference對(duì)象裝載服務(wù)端的URL;Object數(shù)組用來存放需要校驗(yàn)的數(shù)據(jù),即META-INF文件夾的數(shù)字簽名;Class數(shù)組用來指定返回值數(shù)據(jù)對(duì)應(yīng)的類;Qname對(duì)象限定要調(diào)用的方法和WSDL文件的命名空間。最后通過業(yè)務(wù)處理對(duì)象調(diào)用接口中的invokeBlocking()方法實(shí)現(xiàn)與服務(wù)端的通信。
3 方案的實(shí)現(xiàn)流程
本文提出的方案包括PC端處理和遠(yuǎn)程服務(wù)。PC端處理用到代碼集替換、加殼技術(shù)、MD5算法提取哈希值等。本方案將校驗(yàn)信息和加密算法的密鑰都放在遠(yuǎn)程服務(wù)端,運(yùn)行的過程中通過殼程序的指令和遠(yuǎn)程服務(wù)端進(jìn)行通信,最終確定軟件是否安全。
3.1 PC端處理
文件保護(hù)主要工作包括代碼集標(biāo)識(shí)符的定義和具體代碼集的選取以及加密功能的實(shí)現(xiàn)。代碼集標(biāo)識(shí)符的定義需要遵循一定的原則,不能使用Dalvik字節(jié)碼的語法指令關(guān)鍵字,也不能選用能夠見文知義的標(biāo)識(shí)符。系統(tǒng)根據(jù)用戶輸入的標(biāo)識(shí)符和代碼集位置,在dex文件中替換相應(yīng)的代碼并創(chuàng)建惟一標(biāo)識(shí),將一一對(duì)應(yīng)的標(biāo)識(shí)和代碼存儲(chǔ)在一個(gè)資源文件中生成代碼集,然后用AES算法對(duì)替換后的dex文件進(jìn)行加密并將密鑰保留備用。
當(dāng)程序中存在jni代碼時(shí),apk包中有一個(gè)lib文件夾用來存放所有的庫文件,核心文件替換會(huì)先將所有的SO文件用AES算法加密,產(chǎn)生的密鑰會(huì)部署在遠(yuǎn)程服務(wù)端供運(yùn)行時(shí)調(diào)用。然后將lib文件夾壓縮并修改文件名和擴(kuò)展名來混淆破解者的判斷,最后將其放在資源文件目錄下。為了執(zhí)行調(diào)用,在原位置創(chuàng)建一個(gè)同名的lib文件夾并在里面編寫一個(gè)恢復(fù)源文件并執(zhí)行具體調(diào)用的”文件”,最后在殼程序中調(diào)用該文件處理具體的操作。
3.2 遠(yuǎn)程校驗(yàn)
綜合上述可以知道遠(yuǎn)程服務(wù)端的實(shí)現(xiàn)機(jī)制,在具體的實(shí)現(xiàn)中,校驗(yàn)META-INF完整性的功能可以在整個(gè)安卓應(yīng)用的任何流程之前均執(zhí)行調(diào)用,此功能與前面的文件加密處在軟件運(yùn)行的一前一后進(jìn)行交叉保護(hù),使得保護(hù)方案更加可靠。在性能方面,該手段對(duì)于資源的要求并不高,整個(gè)過程中只需要傳送一個(gè)字符串接收一個(gè)字符串,或者發(fā)送一個(gè)請(qǐng)求獲取一個(gè)字符串,對(duì)程序性能的影響基本可以忽略不計(jì),只要在網(wǎng)絡(luò)暢通的情況下均可執(zhí)行。
4 實(shí)驗(yàn)驗(yàn)證與分析
為了驗(yàn)證本方案的有效性和實(shí)用性,在win7系統(tǒng)下對(duì)本文實(shí)現(xiàn)的系統(tǒng)Xpro v1.0進(jìn)行效果測(cè)試和功能對(duì)比實(shí)驗(yàn)。
4.1 方案效果測(cè)試
系統(tǒng)加固處理發(fā)生在PC端,運(yùn)行環(huán)境采用win7旗艦版系統(tǒng)和常用的反編譯工具。首先進(jìn)行整體的運(yùn)行,打開該系統(tǒng),選擇源文件路徑,把功能模塊都選中,并設(shè)置好替換代碼集,點(diǎn)擊開始,執(zhí)行結(jié)束后界面如圖4所示。
本文從不同的應(yīng)用市場(chǎng)的200多個(gè)應(yīng)用中隨機(jī)篩選出了50個(gè)沒有經(jīng)過外部加固手段處理的,具有代表性的應(yīng)用,通過本系統(tǒng)的處理之后,再進(jìn)行安裝和使用。結(jié)果發(fā)現(xiàn),它的正常使用率達(dá)到93%,并且不受Android系統(tǒng)版本的影響,在不同的版本上測(cè)試,結(jié)果基本一致。剩余的7%,經(jīng)過進(jìn)一步分析發(fā)現(xiàn)是程序內(nèi)部已經(jīng)存在簽名校驗(yàn)機(jī)制或其他的代碼保護(hù)機(jī)制,所以導(dǎo)致了二次打包之后無法運(yùn)行,去除這部分之后,用自己新開發(fā)出來的測(cè)試程序去測(cè),可用率都達(dá)到了100%。可見本系統(tǒng)是一個(gè)很可靠的加固系統(tǒng)。
4.2 運(yùn)行效率分析
本系統(tǒng)對(duì)空間的消耗在一個(gè)正常的范圍內(nèi),雖然會(huì)隨著原始文件的大小變化出現(xiàn)小的波動(dòng)但并不會(huì)出現(xiàn)加固后容量超過應(yīng)用本身的狀況出現(xiàn),這是由加固的手段決定的,所以,本文只對(duì)加固后應(yīng)用啟動(dòng)時(shí)間和未加固時(shí)的啟動(dòng)時(shí)間做一個(gè)統(tǒng)計(jì)分析。作為對(duì)比本文還使用了網(wǎng)易易盾的免費(fèi)試用版和應(yīng)用樂固的體驗(yàn)版以及本文的Xpro V1.0版分別對(duì)相同的應(yīng)用進(jìn)行加固,并記錄其啟動(dòng)時(shí)間。
找出文件大小處于不同區(qū)間的十個(gè)應(yīng)用的apk文件,分別在不加固、本系統(tǒng)加固和兩個(gè)免費(fèi)的商業(yè)加固系統(tǒng)試用版本進(jìn)行加固和啟動(dòng),記錄應(yīng)用啟動(dòng)時(shí)間,統(tǒng)計(jì)分析結(jié)果如圖5所示。
從圖5中可以看出,無論是哪種加固系統(tǒng)處理之后的apk啟動(dòng)時(shí)間都會(huì)有一定的延長,這是因?yàn)楸Wo(hù)措施在正式的源程序加載之前需要一定的時(shí)間和資源來處理前面的加載工作,在本系統(tǒng)中,無論是對(duì)dex文件的解密還是SO文件恢復(fù),這一系列操作都需要占用一定時(shí)間。不過,通過延長一定的初始化時(shí)間,仍在用戶可以接受的范圍之內(nèi)的話就是值得的。本系統(tǒng)的效率雖然達(dá)不到商業(yè)加固應(yīng)用的頂級(jí)水平,但跟它們的試用版本在效率方面也在伯仲之間,很好的完成了加固的任鍘
5 結(jié)束語
本文提出基于遠(yuǎn)程校驗(yàn)和本地關(guān)鍵文件加密的安卓軟件保護(hù)方案,很好的平衡了安全性和軟件工作效率之間的矛盾,將校驗(yàn)及解密信息存放于遠(yuǎn)程服務(wù)器中,并選擇了效率及安全性都很優(yōu)秀的加密算法。實(shí)驗(yàn)證明,本方案能夠有效抵抗靜態(tài),有效地保護(hù)了APK文件,在實(shí)際的應(yīng)用中,本方案往往會(huì)與其他保護(hù)手段結(jié)合使用,使其發(fā)揮更大的作用。本方案的不足之處是未能考慮到遠(yuǎn)程服務(wù)器交互過程中的信息安全問題及遠(yuǎn)程服務(wù)器本身的安全問題,這也將是下一步優(yōu)化的方向。
參考文獻(xiàn)(References):
[1] 騰訊移動(dòng)安全實(shí)驗(yàn)室.騰訊安全實(shí)驗(yàn)室2016年上半年手機(jī)安全報(bào)告,2016.7.
[2] 豐生強(qiáng).Android軟件安全與逆向分析[M].人民郵電出版社,2013.
[3] 董航.移動(dòng)應(yīng)用程序檢測(cè)與防護(hù)技術(shù)研究[D].北京郵電大學(xué)博士學(xué)位論文,2014.
[4] 張曉,李林,許家樂等.基于SMC的Android軟件保護(hù)研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2014.11:74-78
[5] 史成潔.Android平臺(tái)應(yīng)用軟件保護(hù)技術(shù)的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)碩士學(xué)位論文,2015.
[6] 徐劍,武爽,孫琦等.面向Android應(yīng)用程序的代碼保護(hù)方法研究[J].信息網(wǎng)絡(luò)安全,2014.10:11-17
篇11
1.計(jì)算機(jī)安全、下一代網(wǎng)絡(luò)安全技術(shù);
2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全;
3.信息系統(tǒng)等級(jí)安全保護(hù)、重要信息系統(tǒng)安全;
4.云計(jì)算與云安全、物聯(lián)網(wǎng)的安全;
5.移動(dòng)互聯(lián)網(wǎng)的安全信息安全保障體系、移動(dòng)計(jì)算平臺(tái)安全性研究;
6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測(cè)試技術(shù);
7.可信計(jì)算;
8.關(guān)鍵基礎(chǔ)設(shè)施安全;
9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析;
10.系統(tǒng)架構(gòu)安全分析;
11.面向業(yè)務(wù)應(yīng)用的整體安全保護(hù)方案;
12.信息安全漏洞態(tài)勢(shì)研究;
13.新技術(shù)新應(yīng)用信息安全態(tài)勢(shì)研究;
14.Web應(yīng)用安全;
15.計(jì)算機(jī)系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的實(shí)施與發(fā)展現(xiàn)狀;
16.國內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究;
17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品;
18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新;
19.電子認(rèn)證服務(wù)行業(yè)研究和熱點(diǎn)事件解析;
20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析;
21.數(shù)字證書交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析;
22.電子認(rèn)證服務(wù)與云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用融合的相關(guān)技術(shù)、標(biāo)準(zhǔn)規(guī)范和應(yīng)用發(fā)展情況;
23.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn);
24.信息安全和功能安全標(biāo)準(zhǔn)化;
25.信息安全和功能安全集成技術(shù);
26.工業(yè)控制系統(tǒng)安全性的技術(shù)指標(biāo)與經(jīng)濟(jì)成本;
27.信息安全產(chǎn)品設(shè)計(jì)和系統(tǒng)集成;
28.工業(yè)控制系統(tǒng)安全的評(píng)估與認(rèn)證;
29.工業(yè)控制系統(tǒng)的信息安全解決方案;
30.工業(yè)自動(dòng)化安全面臨的風(fēng)險(xiǎn);
31.國外工業(yè)控制系統(tǒng)安全的做法;
32.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及其發(fā)展趨勢(shì);
33.工業(yè)控制系統(tǒng)安全性的建議;
34.工控系統(tǒng)與信息系統(tǒng)對(duì)信息安全的不同需求;
35.工業(yè)控制系統(tǒng)的安全性與可用性之間的矛盾與平衡;
36.應(yīng)用行業(yè)工業(yè)控制系統(tǒng)的信息安全防護(hù)體系;
37.工業(yè)控制系統(tǒng)安全測(cè)評(píng)體系;
篇12
一、網(wǎng)絡(luò)文檔的建立
作為網(wǎng)絡(luò)管理員,最重要的一項(xiàng)任務(wù)就是建立網(wǎng)絡(luò)文檔,這是因?yàn)橛泻芏嗲闆r要求網(wǎng)絡(luò)管理員必須全面一貫地記錄網(wǎng)絡(luò)的情況。無論是網(wǎng)絡(luò)突然出現(xiàn)問題而必須馬上排除,還是因?yàn)榫W(wǎng)管員的請(qǐng)假或者離職,有了一份詳盡、及時(shí)的文檔,查找問題和維護(hù)系統(tǒng)的時(shí)間都將大大縮短,許多錯(cuò)誤和混亂也可以避免。
1.何時(shí)編寫文檔?如果正在從草案開始設(shè)計(jì)網(wǎng)絡(luò)文檔,應(yīng)該從第一天開始記錄所有細(xì)節(jié)。找一個(gè)筆記本,把記錄寫在上面,并作為網(wǎng)絡(luò)的一個(gè)組成部分。如果同時(shí)管理多個(gè)網(wǎng)絡(luò),網(wǎng)絡(luò)文檔是十分關(guān)鍵的。如網(wǎng)絡(luò)管理員剛剛接手網(wǎng)管工作,那么第一項(xiàng)任務(wù)就是學(xué)習(xí)這些信息并填補(bǔ)缺少的細(xì)節(jié)。如果根本就沒有網(wǎng)絡(luò)文檔,應(yīng)立即著手查詢并創(chuàng)建文檔。網(wǎng)絡(luò)文檔需要及時(shí)更新,至少一周一次。關(guān)鍵是養(yǎng)成保持最新信息的習(xí)慣。
2.文檔中記錄什么?首先當(dāng)然還是網(wǎng)絡(luò)的物理基礎(chǔ)結(jié)構(gòu);此外,應(yīng)該記錄所有在安裝網(wǎng)絡(luò)硬件和軟件時(shí)計(jì)算機(jī)和網(wǎng)絡(luò)適配器的配置信息。在用戶進(jìn)行硬件和軟件升級(jí)或服務(wù)器故障需重新安裝操作系統(tǒng)時(shí),這些信息可以節(jié)省時(shí)間。
網(wǎng)絡(luò)文檔可以包括網(wǎng)絡(luò)故障的恢復(fù)方案、備份步驟和日程,存儲(chǔ)和解決方法的記錄、用戶請(qǐng)求、維護(hù)記錄及長期和短期的網(wǎng)絡(luò)擴(kuò)充計(jì)劃。網(wǎng)絡(luò)管理員還可以將更新操作系統(tǒng)、硬件或安全措施和培訓(xùn)新用戶的計(jì)劃包容在網(wǎng)絡(luò)文檔中。
二、硬件網(wǎng)絡(luò)資源的管理和維護(hù)
1.實(shí)施常規(guī)檢查。網(wǎng)絡(luò)管理的重大責(zé)任之一是對(duì)網(wǎng)絡(luò)計(jì)算機(jī)實(shí)施常規(guī)、周期的診斷和防護(hù)性的維護(hù)措施。
2.排除網(wǎng)絡(luò)故障。網(wǎng)絡(luò)管理人員花費(fèi)時(shí)間最多的就是排除網(wǎng)絡(luò)故障。這是最能體現(xiàn)網(wǎng)絡(luò)管理員的技術(shù)水平和保持冷靜及邏輯思考能力的時(shí)候。隨著經(jīng)驗(yàn)的增長,解決問題的能力也會(huì)逐步提高。
網(wǎng)絡(luò)管理員要了解各處可能發(fā)生的問題:時(shí)刻不忘在筆記本中記下調(diào)查結(jié)果和建議;利用書籍、期刊和自學(xué)培訓(xùn)等方式盡可能地積累常見問題的解決方法;應(yīng)盡可能多地收集信息,記錄在網(wǎng)絡(luò)文檔中。
3.為故障恢復(fù)作準(zhǔn)備。提前準(zhǔn)備不是預(yù)防網(wǎng)絡(luò)故障發(fā)生的最好辦法,但它可以減少網(wǎng)絡(luò)故障造成的損失。在預(yù)防網(wǎng)絡(luò)故障的計(jì)劃中,網(wǎng)絡(luò)管理員不應(yīng)將自己的思維局限在普通的問題上。應(yīng)該考慮得更廣泛一些。設(shè)想發(fā)生了自然災(zāi)害,如地震、火災(zāi)等將整個(gè)網(wǎng)絡(luò)全部摧毀,網(wǎng)絡(luò)管理員該如何恢復(fù),花費(fèi)多少時(shí)間,采取哪一種步驟進(jìn)行恢復(fù)。
雖然不可能對(duì)每一次自然災(zāi)害都做好充分的準(zhǔn)備,也不可能完全避免可能會(huì)導(dǎo)致網(wǎng)絡(luò)停止工作的人類的某些缺點(diǎn),但卻可以制訂一個(gè)可靠適時(shí)的備份計(jì)劃,使數(shù)據(jù)損失最小化。
三、軟件管理和維護(hù)
軟件管理包括添加新軟件、升級(jí)現(xiàn)有軟件和刪除過時(shí)軟件。如果在服務(wù)器上安裝,最好在安裝之前先備份好服務(wù)器。如果在工作站上安裝,應(yīng)該先做一個(gè)安裝測(cè)試,并記錄下每一個(gè)步驟,然后保證每一臺(tái)工作站的一致性。如果每臺(tái)工作站上都使用相同的硬件和操作系統(tǒng),一致性的安裝應(yīng)用程序非常簡(jiǎn)單;如果網(wǎng)絡(luò)上用戶過多,可以考慮使用某些特殊工具來生成軟件自動(dòng)安裝過程,如Microsoft系統(tǒng)管理服務(wù)器。
軟件永遠(yuǎn)不可能完美,總會(huì)有這樣或那樣的問題。無論是操作系統(tǒng)還是設(shè)備的驅(qū)動(dòng)程序,至少應(yīng)每季度檢查一次有無升級(jí)的提示,進(jìn)行現(xiàn)有軟件升級(jí)。對(duì)于過時(shí)軟件也應(yīng)及時(shí)刪除。
四、管理網(wǎng)絡(luò)安全
要想保證網(wǎng)絡(luò)安全,應(yīng)同時(shí)做好邊界防護(hù)和內(nèi)部網(wǎng)絡(luò)的管理。網(wǎng)絡(luò)管理的職責(zé)之一就是定義、實(shí)施、管理和加強(qiáng)網(wǎng)絡(luò)的安全性。軟件安全策略的目標(biāo)是:
保證只有授權(quán)用戶可以使用一定受限的網(wǎng)絡(luò)資源,預(yù)防給予過高的權(quán)限,定時(shí)檢查用戶權(quán)限和用戶組賬號(hào)有無變更。減小數(shù)據(jù)、服務(wù)器和網(wǎng)絡(luò)設(shè)備等由于受到疏忽操作或惡意破壞而造成的損失。防止網(wǎng)絡(luò)中非授權(quán)的外部訪問。
篇13
1.3智能規(guī)劃。智能規(guī)劃是一個(gè)動(dòng)作序列,是一個(gè)智能體agent在初始狀態(tài)(initialstate)下經(jīng)過執(zhí)行動(dòng)作1,動(dòng)作2,……,動(dòng)作n這樣的一系列動(dòng)作,最后到達(dá)目標(biāo)狀態(tài)(goalstate),該一系列動(dòng)作,我們也稱為是這個(gè)動(dòng)作的序列所構(gòu)成的整體叫做一個(gè)規(guī)劃。每一個(gè)規(guī)劃問題(planningproblem)都要涉及到以下四個(gè)集合:一個(gè)操作的集合operators、一個(gè)對(duì)象的集合objects、一個(gè)初始條件集合initialconditions和一個(gè)目標(biāo)集合goals,其中初始條件集合和目標(biāo)集合的每個(gè)元素都是一個(gè)命題。
1.4規(guī)劃識(shí)別。規(guī)劃識(shí)別是人工智能一個(gè)重要的研究領(lǐng)域,是多學(xué)科交叉的一個(gè)研究領(lǐng)域,涉及到了知識(shí)表達(dá)、知識(shí)推理、非單調(diào)邏輯和情景演算等。規(guī)劃識(shí)別問題是指從觀察到的某一智能體的動(dòng)作或動(dòng)作效果出發(fā),推導(dǎo)出該智能體的目標(biāo)/規(guī)劃的過程。
1.5入侵檢測(cè)。入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
1.6應(yīng)對(duì)規(guī)劃。應(yīng)對(duì)規(guī)劃是將規(guī)劃識(shí)別和智能規(guī)劃進(jìn)行融合,實(shí)現(xiàn)識(shí)別與應(yīng)對(duì)同時(shí)進(jìn)行,針對(duì)敵方系統(tǒng)實(shí)施的敵意規(guī)劃,采取一個(gè)動(dòng)作序列來阻止、破壞敵意規(guī)劃的執(zhí)行,進(jìn)而使我方系統(tǒng)不受到破壞或者將所受損失降到最小,這樣的動(dòng)作序列就稱為應(yīng)對(duì)規(guī)劃(counterplan)。在作者蔡增玉的《基于應(yīng)對(duì)規(guī)劃的入侵防護(hù)系統(tǒng)設(shè)計(jì)與研究》一文中對(duì)應(yīng)對(duì)規(guī)劃賦予的定義是:為Agent根據(jù)敵對(duì)Agent的動(dòng)作,利用規(guī)劃識(shí)別技術(shù)發(fā)現(xiàn)敵對(duì)Agent的目標(biāo)和將來的動(dòng)作,并采取適當(dāng)?shù)捻憫?yīng)措施阻止敵對(duì)Agent目標(biāo)的實(shí)現(xiàn),整個(gè)過程稱為應(yīng)對(duì)規(guī)劃.在網(wǎng)絡(luò)安全領(lǐng)域,敵對(duì)Agent通常是指網(wǎng)絡(luò)的入侵者。
2識(shí)別及應(yīng)對(duì)模型
對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的研究較多,但是,將智能規(guī)劃與規(guī)劃識(shí)別技術(shù)應(yīng)用于該領(lǐng)域的研究卻并不多見。本文在前期的理論研究的基礎(chǔ)上,提出了開放環(huán)境下網(wǎng)絡(luò)安全規(guī)劃問題的識(shí)別與應(yīng)對(duì)模型,進(jìn)而得到了解決網(wǎng)絡(luò)安全問題的新的方法。具體模型如圖1所示。該模型的具體執(zhí)行過程是根據(jù)針對(duì)服務(wù)器端或客戶端產(chǎn)生的人為攻擊,通過入侵檢測(cè)的方法,檢測(cè)到該動(dòng)作后,對(duì)這一動(dòng)作進(jìn)行識(shí)別,并在此動(dòng)作中提取該動(dòng)作所導(dǎo)致的系統(tǒng)變化,將變化的結(jié)果作為當(dāng)前系統(tǒng)工作的初始狀態(tài),將此狀態(tài)傳遞至應(yīng)對(duì)規(guī)劃器,此規(guī)劃器中以此狀態(tài)為初始狀態(tài)展開應(yīng)對(duì)規(guī)劃的求解過程,應(yīng)對(duì)規(guī)劃器均以系統(tǒng)安全為目標(biāo)狀態(tài),并按照規(guī)劃器得到的規(guī)劃步驟,觸發(fā)相關(guān)軟硬件設(shè)備,逐步執(zhí)行規(guī)劃中的每個(gè)操作,使服務(wù)器端及客戶端達(dá)到安全狀態(tài)。該模型的核心在于攻擊動(dòng)作的識(shí)別及應(yīng)對(duì)規(guī)劃的產(chǎn)生。動(dòng)作的識(shí)別主要依靠規(guī)劃識(shí)別器,應(yīng)對(duì)規(guī)劃的產(chǎn)生則依靠應(yīng)對(duì)規(guī)劃器,將這兩個(gè)部分進(jìn)行組合,并應(yīng)用到網(wǎng)絡(luò)安全的問題中,進(jìn)而對(duì)人為攻擊計(jì)算機(jī)網(wǎng)絡(luò)的安全問題有了解決的方法。
