软件安全论文范文
时间:2023-04-02 06:18:28
导语:如何才能写好一篇软件安全论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
电子政务系统的应用软件一般规模比较大,软件在应用过程中面向的用户较多,系统结构和业务流程相对复杂,以Web应用为主要实现方式。因而,系统安全常见的风险主要有Web应用的SQL注入漏洞、表单绕过漏洞、上传绕过漏洞、权限绕过漏洞、数据库下载漏洞等。同时也常常存在应用系统管理员账户空口令或弱口令、未设置应用账户口令复杂度限制、无应用系统登录和操作日志等风险。在软件应用安全层面,安全方面的保证没有统一的方法和手段。在保证整个系统安全运行过程中针对信息安全的部分,如对数据库访问安全,访问控制,加密与鉴别等应用层面的安全防护,主要从客户端避免和减少人为非法利用应用程序,从应用软件设计、实现到使用维护,以及应用软件对系统资源、信息的访问等方面保证安全。
二、软件应用安全要求与技术防护
2.1身份鉴别与访问控制
用户身份认证是保护信息系统安全的一道重要防线,认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前,应通过口令、标记等方式完成身份认证,阻止非法用户访问系统资源。从技术防护的角度来说,软件应保障对所有合法用户建立账号,并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则,如口令长度、口令多次失败后的账户锁定,强制口令更新等,以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后,为防止长时间登录而被冒用等情况,系统应有自动退出等登录失效处理功能。此外,应用系统需要及时清除存储空间中关于用户身份的鉴别信息,如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的,访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确,功能划分过于笼统等现象,影响了系统的安全使用。目前,从应用软件的研发和技术实现来看,授权访问控制机制多采用数据库用户和应用客户端用户分离的方式,访问控制的粒度达到主体为用户级,客体为文件、数据库表级。在分配用户权限时,用户所具有的权限应该与其需使用的功能相匹配,不分配大于其使用功能的权限,即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色(如管理和审计)如分配的权限过大,则系统安全风险将过于集中,因此,应将特别权限分配给不同的用户,并在他们之间形成相互制约的关系。
2.2通信安全
电子政务系统应用软件的设计、研发以及应用过程中,需要重点关注通信安全,特别是对通信完整性的保护。除应用加密通信外,通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中,为使通信双方之间能正确地传输信息,需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定,因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障,还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且,为防止合法通信的抵赖,系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性,应用软件需具备在通信双方建立连接之前,首先利用密码技术进行会话初始化验证,以确保通信双方的合法性的能力。其次,在通信过程中,能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法,对信息进行编码和解码。此外,应用软件中需设置通话超时和自动退出机制,即当通信双方中有一方在一段时间内未做任何响应,这表明可能存在通信异常情况,另一方能够自动结束会话,以免造成信息在通信过程中的泄露。
2.3安全审计
安全审计通过采集各种类型的日志数据,提供对日志的统一管理和查询,使用特定规则,对系统软件应用状态实时监视,生成安全分析报告。安全审计的应用,能够规范系统用户的软件应用行为,起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户,记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息,并有能力依据安全策略及时报警和中断危险操作。此外,审计记录应受到妥善保护,避免受到未预期的删除、修改或覆盖等操作,可追溯到的记录应不少于一年。在日常审计的基础上,应通过分析审计记录,及时发现并封堵系统漏洞,提升系统安全强度,定位网络安全隐患的来源,举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行,几乎全部需要定制开发。
2.4系统资源控制
电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上,在这个过程中,除了系统软件以外,应用软件也需要建立一组能够体现资源使用状况的指标,来判断系统资源是否能满足软件应用的正常运行要求,当系统资源相关性能降低到预先规定的最小值时,应能及时报警。并对资源使用的异常情况进行检测,及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此,在资源控制的安全策略上应设定优先级,并根据优先级分配系统资源,从而确保对关键软件应用的支持。技术实现上设计用户登录系统时,软件为其分配与其权限相对应的连接资源和系统服务,为防止系统资源的重复分配,应禁止同一用户账号在同一时间内并发登录,并且,在用户登录后防止长时间非正常占用系统资源,而降低系统的性能或造成安全隐患,通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式。同样,系统对发起业务的会话分配所用到的资源,也采用根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连接,对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上,对最大并发会话连接数进行限制。此外,对电子政务系统被删除的文件等的剩余信息,特别是涉及国家秘密、敏感信息的内容,一定要重点关注并加强安全保护。可采用下列技术实现保护:(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作,直到擦写过后的磁盘扇区内数据无法恢复;(2)根据不同的分区格式进行采用不同的数据销毁处理算法,对文件在磁盘上所有存放位置进行逐个清除,确保文件不会在磁盘上留下任何痕迹;(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁,销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据,无法通过软件技术手段恢复。
2.5软件代码安全
在电子政务系统应用软件开发之前,要制定应用程序代码编写安全规范,要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此,应对应用软件代码进行安全脆弱性分析,以帮助其不断改进完善,从而有效降低软件应用的安全风险。研发工作结束后,应及时对程序代码的规范性进行审查,以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单,由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程,配置运行环境,对代码进行预编译操作,确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作,对测试结果进行分析。对发现的问题进行风险分析和估算,制作软件缺陷、问题简表,撰写测试报告并交付开发方修改,并对已经整改的部分进行复测。值得注意的是,那些已经通过安全测试的代码,还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。
2.6软件容错
电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现错误,并能采取补救措施。对系统软件应用安全来说,应充分考虑到软件自身出现异常的可能性。软件在应用过程中,除设计对软件运行状态的监测外,当故障发生时能实时检测到故障状态并报警,防止软件异常的进一步蔓延,应具有自动保护能力,即当故障发生时能够自动保存当前所有状态。此外,操作人员对应用软件的操作可能会出现失误。因此,系统应对输入的数据、指令进行有效性检查,判断其是否合法、越权,并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销,以避免因误操作而导致的严重后果。
三、结语
篇2
关键词:计算机;软件安全;问题;防护策略
前言
现阶段,计算机得到人类社会的广泛应用,在这种情况下,人们在对其进行充分运用的过程中,对其软件安全性的要求越来越高,然而现阶段这一问题多种多样,如软件动态破译问题、安全漏洞和质量问题及非法复制问题等,要想利用计算机促进人类社会的不断进步,就应当有针对性的对这些问题进行解决,提高使用者对计算机的信用度。在制定计算机软件防护策略的过程中,可以从技术层面、组织管理层面等分别进行提高。
1 计算机软件概述
1.1 含义
计算机在日常工作中,要想得到正常的系统运行,需要内在程序及文档共同发挥作用而进行,而这些文档和程序的总称就是软件。它们实际上拥有不一样的含义,程序指的是相关数码编制,具有系统性和特定性等特点。而文档指的是能够帮助使用者更好的熟悉和掌握计算机程序的软件,它能够对相应的数据资料进行详细的说明。这两种软件在计算机中存在不同的功能,程序是计算机运行使用的基础,是计算机的必备软件,而计算机在正常运行状态下,是可以脱离文档的。
1.2 分类
而计算机软件的分类,从整体上来看有两种,即系统软件和应用软件。首先,系统软件。计算机要想维持正常的运行,是绝对离不开不同的操作系统,这就是系统软件,其功能是管理及调节不同的硬件,促使其在计算机系统中相互协作,正常运行。这种软件是由基础操作工具和操作系统组合而成,如软件连接、驱动管理等。可以说,计算机的这一组成是促使使用者、计算机及其内部操作系统紧密相连的基础,促使三者在运行过程中构建为统一整体,在这一整体运行中是可以忽略掉其内部硬件的运行。现阶段市场上主要的系统软件宝库UNIX、Windows等。
其次,应用软件。这类型软件在使用过程中以达到某种用途为目的,通常状况下它以特定的形式展现自身的功能,如图像浏览器等,这种功能表现相对单一;同时还有系统功能的展现,如Office办公软件等,同时还包括人们熟知的数据库管理系统,这一软件系统的组成包含几个独立程序。现阶段人类开发出来了多种应用软件,最常使用的有工具软件、游戏和管理软件等。
2 计算机网络信息安全的含义
在信息技术飞速发展的背景下,网络技术逐渐取得进步,在一定程度上极大的完善了技术机的网络体系。但是计算机网络的构建单纯依靠研发相应管理空间或者促使硬件设备简单实现对接是无法完成的,这是因为该网络的构建最主要的目标是能够为使用者提供更加完善的服务,这就要求网络中能够容纳大量的使用者信息和数据,同时能够更加快捷的促进资源共享。这些信息和资源,一旦发生泄漏将会给使用者带来极大的损失。因此在计算机使用越来越普及的状态下,构建计算机网络信息安全成为人们广泛关注的话题。而要想实现真正意义上的安全,最大限度的保护用户信息,现阶段信息技术的发展,其最主要的工作内容就是实现软件安全。
现阶段,针对计算机网络的信息安全问题,IOS将其定义为要充分采取有效措施来保护网络内计算机的硬件、软件、使用者信息和数据等,有效防止因意外、恶意操作,造成的信息资源泄露或篡改,只有做到这一点,才能够促使互联网在长时间内为人们进行服务的过程中,始终保持着高度的稳定性和安全性,从而为人类带来更加快捷、便利的生活。
计算机的网络安全包含物理和逻辑安全两个方面。前者指的是应用物理保护措施促使计算机硬件及网络连接部位始终处于安全工作状态,减少因意外导致的数据或信息丢失;后者指的是计算机网络系统在日常工作中应处于整体的维护和正常工作状态下,这样一来能够极大提高整个系统的完整性,促使信息泄露的可能大大降低。在这种状况下,安全性在软件当中的体现成为最重要的因素之一,这是因为计算机软件在日常工作状况中,不但可以对别人实施攻击也可以有效的提高自身安全性,起到保护自己的作用。
3 计算机软件安全问题
3.1 对软件的动态破译
在运行过程中,安全问题对软件的威胁就是计算机软件安全,在解决这一问题的过程中,首先应当有效防护软件,保证其运行过程中没有被人为的滥用、破解及随意修改等现象,这样一来,就能够确保其工作状态中充分发挥自身的功能。从技术角度来观察这一问题,就要构建一个稳定平台,包含所有系统硬件,从而实现软件的正常使用;同时还应当加强防护措施,严禁跟踪事件的发生,此时就应当对监测、干扰及随意修改软件的行为进行严格控制。
计算机软件自产生之日起,就面临着各种跟踪及控制的问题,一些掌握计算机技术的人员能够直接修改和读写计算机中的不同格式文件,在将其源代码进行窃取之后,会对计算机的密钥和防复制能力进行破坏,这样一来就能够动态破译任何一个软件,不法分子会在接下来的工作中将一些数据公开或非法买卖。
计算机中的跟踪调试软件具有强大的动态跟踪功能,现阶段该技术能够有效的进行跟踪程序并保证其逐条运行,其中主要使用的是断电中断和单步中断两种技术,分别以静态和动态跟踪两种形式进行。在静态跟踪当中,可以对反编译工具进行充分的运用,在此基础上能够实现源代码的产生,从而促使分析工作更加便利;动态跟踪当中,是对调试工具的充分运用,这样一来能够在某处促使程序得到中断,从而实现其单步执行,达到跟踪的效果。从以上两点可以看出,对软件的动态破译是计算机软件的一个重要安全问题[1]。
3.2 安全漏洞问题
开发软件是一项复杂而系统的工作,其中包含了大量的限制性因素,这就导致现阶段计算机中所使用的软件或多或少都会存在一定程度上的漏洞,严重威胁软件的安全,但是这一现象即使是现阶段世界顶级的计算机软件开发公司也无法对其进行全部避免。也就是说,日常工作及生活过程中,计算机软件始终都存在安全漏洞,有些时候无法得到安全运行。近年来,多发软件安全事件当中,多数都是由于安全漏洞引起的,即使多数使用者会将杀毒软件和防火墙等安装于计算机当中,但是这一问题始终无法被完全杜绝,这是因为当防护软件不断发展的过程中,那些专门实施软件破坏的技术工作者也在不断的摸索,也就是人们常说的“网络高手”。同时,当使用者在计算机当中安装防漏洞软件时,很可能导致更多软件漏洞的出现[2]。
3.3 非法复制问题
在时代的不断进步中,知识密集型产品被大量研发,计算机就属于这一类型,这一特点导致大量的人力和物力将被应用在对计算机软件进行研发和使用的过程中。在计算机软件的研发中,很多硬件在使用过程中所创造的经济效益甚至远远低于其研发成本。然而,现阶段非法复制问题却严重威胁着大量的计算机软件。具调查表明,近年来,每年都有非法盗版的现象发生,这些盗版软件导致一百三十多亿美元的损失出现,并且这一损失数据每年都在上升。现阶段,世界上各国都开始对非法盗版及复制问题加以高度的重视,并对该现象造成的法律、税收等问题进行了一定程度的解决,而这一过程是非常艰难的,在我国这种发展中国家的状态下,现阶段并没有相对完善的管理措施,我国社会受到了非法复制问题的严重影响。
4 计算机软件防护策略
计算机软件在研发的过程中,不仅需要耗费大量的人力和物力,同时其所研制出来的产品属于知识密集型,从这两个角度来看,是值得人们对其给予高度尊重的。现阶段在加强计算机软件防护的过程中,人们不仅可以从法律的角度对其进行严格而强行的约束和管理,从技术层面和组织管理层面加强防护措施具有重要意义,因为这样一来能够更有效的制约软件的动态破译、安全漏洞和非法复制等问题。
4.1 技术层面的提高
技术层面的提高可以从非法复制的防止开始。现阶段我国在保护软件的过程中还没有足够大的力度,开发商所采取的措施是加密。然而为了追求经济效益,大部分已经被破解的软件仍然没有停止使用,而它所带来的危害就是会将多数捆绑后台程序进行启动,来威胁用户数据。这样一来,相关行业领域应及时加强技术研究,有效研制出防止非法复制出现的软件,促使其在对计算机软件进行充分保护的同时能够对计算机软件产生较小的威胁。同时也可以从对用户数据进行加强保护的方面入手,加强密钥的研究[3]。
在对反跟踪技术进行研究的过程中,由于该技术是对调试工具进行充分利用,那么就应当研发相关技术防止该工具被非法利用。现阶段计算机的软件系统当中,都具有一定的结构特点,对于CPU的严重依赖,导致一旦该软件被监控,就会泄漏大量的信息,在这种情况下,应及时将该技术中的安全漏洞进行消除,同时对反跟踪技术进行完善,最大限度的实现对软件的保护。
4.2 组织管理层面上的提高
计算机软件防护策略中,国家应充分发挥管理职能,不仅要构建专门的单位或部门,还应当对软件开发商进行严格的管理,这样一来,就能够保证软件从研发之日起一直到被使用者进行使用,都能够受到严格的监督及管理,从而有效的防止非法复制问题。
相关部门在加强组织管理的过程中,专业的软件安全监督机构的设立是非常必要的,以专题小组的形式进行非法复制和动态跟踪,能够极大的提高打击力度,同时还应当提高对使用者使用过程的管理,严格限制软件的拷贝和移植等[4]。
4.3 防火墙技术的应用
保护计算机软件过程中,首要工作内容就是对专业杀毒软件的应用,同时值得注意的是,另外一个关键技术措施就是对防火墙技术的应用。该技术使用者在应用电脑访问相关网络时,电脑内部网络有时会受到外部网络的不正当攻击,防火墙技术的有效应用,最显著的效果就是能够对外部网络不必要的攻击进行预防和阻止,促使电脑中相关软件免受威胁,从而始终处于正常运行状态。可以说系统内部是否能够稳定运行是防火墙正常工作的重要内容。当电脑内部网络被部分用户访问时,防火墙的功能是始终维护自身系统的正常运行;当电脑内部网络被非法访问时,防火墙的功能是对其进行有效拦截。现阶段,世界上研发出来的防火墙技术具有较高的稳定性和可靠性,因此得到了较广泛的应用,黑客入侵状况逐渐减少,安全性始终存在于电脑软件系统网络当中。
4.4 加强硬件系统安全防护
在维护计算机系统安全的过程中,对其硬件系统进行加强防护具有重要意义。使用者在日常工作和生活中对电脑和网络的使用,需要记忆硬件系统高度的重视。这是因为,硬件系统一旦发生安全威胁将会从两个方面进行,即物理安全和设置安全。前者指的是机柜或交换机等物理设备发生安全问题,这需要使用者在日常工作中提高管理和维护力度,促使电脑免受外力的影响而发生破坏;后者指的是有效设置设备,硬件受到外来入侵的几率就会大大降低。
4.5 数据加密技术的应用
在实施计算机软件安全防护策略的过程中,现阶段最后的防御手段就是对数据加密技术的充分应用。该技术在使用过程中能够有效的促使一个网络系统始终处于安全状况之下,同时在针对部分重要而机密性的信息和数据进行保护时,这一手段也是最有效的方法。要想有效处理这一问题,使用者可以对相关文件进行加密,使用密钥,文件经过加密后,会形成某列无法及时识别的代码,这样一来,只有熟知代码的人员才能够在输入密码以后对其进行访问,也才能够清楚的看见文件的真实内容。在这种情况下,数据加密技术的有效应用能够实现对计算机软件的有效管理和保护。
5 结束语
当今时代是信息技术时代,人们在对计算机进行充分运用的过程中应注重对其软件安全问题的研究,从而提高使用者使用过程中的安全性。现阶段软件安全问题最严重的有软件动态破译问题、安全漏洞及非法复制等问题,在对其进行解决的过程中,首先要加强技术研究,通过提高技术水平来对其进行有效控制,还可以提高管理力度,同时防火墙技术、硬件系统的保护及数据加密技术的应用都能够促使计算机软件得到安全防护,现阶段促使相关部门能够有针对性的对各种问题进行加强解决同样具有重要意义。
参考文献
[1]于翔.扬州智能电网信息平台的安全防护研究[D].华北电力大学,2012.
[2]姚轶敏.校园网不安全信息检测系统的设计与实现[D].苏州大学,2010.
[3]吴塍勤.对计算机软件安全问题的分析及其防御策略[J].电脑编程技巧与维护,2013,2:87-88+109.
[4]陈宏,朱秀娟.计算机软件安全问题的分析及其防御措施研究[J].河南科技,2014,1:5+15.
[5]张建宏.基于复杂网络的计算机病毒传播模型及其并行计算研究[D].国防科学技术大学,2006.
[6]熊雪波.计算机软件安全问题的分析及其防御措施研究[J].电子技术与软件工程,2014,22:231.
[7]刘涛.试论对计算机网络信息和网络安全及其防护策略[J].信息与电脑(理论版),2012,9:2-3.
[8]张璐.试论计算机网络应用安全问题与防护策略研究[J].科技致富向导,2011,11:367.
篇3
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(国家级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
篇4
论文摘要: 走进新世纪,科学技术发展日新月异,人们迎来一个知识爆炸的信息时代,信息数据的传输速度更快更便捷,信息数据传输量也随之增加,传输过程更易出现安全隐患。因此,信息数据安全与加密愈加重要,也越来越多的得到人们的重视。首先介绍信息数据安全与加密的必要外部条件,即计算机安全和通信安全,在此基础上,系统阐述信息数据的安全与加密技术,主要包括:存储加密技术和传输加密技术;密钥管理加密技术和确认加密技术;消息摘要和完整性鉴别技术。
当前形势下,人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,我们传递的信息数据就可能泄露,被不法分子获得,损害我们自身以及他人的根本利益,甚至造成国家安全危害。因此,信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌信息数据的泄露,能够放心地在网络上完成便捷的信息数据传递与交流。
1 信息数据安全与加密的必要外部条件
1.1 计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测,如提供windows安全警报等等。其次,计算机杀毒软件,每一台计算机要正常的上网与其他用户交流信息,都必须实时防护计算机病毒的危害,一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。
1.2 通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。
2 信息数据的安全与加密技术
随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。
2.1 存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。 转贴于
传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入TCP/IP信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。
2.2 密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者,接收者用发送者的公钥解开信息数据后,就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。
2.3 消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向Hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。
完整性鉴别技术一般包括口令、密钥、身份(介入信息传输、存取、处理的人员的身份)、信息数据等项的鉴别。通常情况下,为达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对信息数据的安全保护。
3 结束语
综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。
参考文献:
[1]曾莉红,基于网络的信息包装与信息数据加密[J].包装工程,2007(08).
[2]华硕升级光盘加密技术[J].消费电子商讯,2009(11).
篇5
关键词:计算机 网络 安全 防范措施
随着计算机技术和Internet建设的发展与完善,计算机网络安全问题逐步成为人们关注和讨论的焦点。计算机网络技术已经深入到社会的各个领域,比如政府机关、学校、医院、社区及家庭等,人们对计算机网络的依赖性越来越大,但随之而来的是,计算机网络安全也受到前所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出相应的安全防范措施。
1 计算机网络安全的定义
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机网络安全包括物理安全、软件安全、数据安全和运行安全四个方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。软件安全是指网络软件以及各主机、服务器、工作站等设备所运行的软件安全。信息安全是指网络中所存储和传输的数据的安全。运行安全是指网络中各个信息系统能正常运行并能正常地通过网络交流信息。
网络安全的目的就是为了确保网络系统的保密性、完整性和可用性。保护计算机、网络系统的硬件、软件及其系统中的数据,使之不遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。
2 计算机网络面临的威胁
计算机网络所面临的威胁是多方面的,既包括对网络内部的威胁,也包括对网络外部的威胁,同时也与计算机操作系统本身有关。归结起来,主要有以下几方面:
2.1 计算机网络的脆弱性
计算机系统的脆弱性主要来自计算机操作系统的不安全性,在网络环境下,还来源于网络通信协议的不安全性,有的操作系统根本就没有安全防护措施,如dos、windows95等操作系统,它们不能作为安全性要求高的服务器的操作系统。Unix和windows nt/2000server/2003
serve/2005serve操作系统主要用于服务器上,但它们也存在着安全漏洞,都存在着超级用户,如果入侵者得到了超级用户口令,那么整个系统将完全受制于人,这样系统就面临巨大的危险。
2.2 内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,这些用户缺乏安全意识,无意识的操作失误,使系统或网络误操作而崩溃,或安全意识不强,将用户帐号泄漏,或操作员对系统安全配置不当造成安全漏洞等都会对网络安全带来威胁和隐患,给他人带来可乘之机,对网络系统造成危害。
2.3 网络外部的安全威胁
除了受到网络内部的安全威胁,网络还受到外界的各种各样的威胁:
2.3.1 物理威胁:有偷窃、垃圾搜寻和间谍活动。偷窃办公室电脑是偷窃者的主要目标,计算机中存储的数据信息的价值远远超过设备的价值,因此,必须做好严格的防盗措施保证计算机不被偷。有时办公垃圾也会泄露商业机密。
2.3.2 网络威胁:如局域网的电子窃听,如假冒网站电子欺骗,网络设备的因素也可以构成网络的安全威胁,如通过电话线入侵网络用户等。
2.3.3 身份鉴别:是指计算机判断用户是否使用它的一种过程,它普遍存在于计算机系统中,实现的方式各种各样,有的功能十分强大,有的比较脆弱。其中,口令就是一种比较脆弱的身份鉴别手段,功能不是很强,但实现起来比较简单,所以被广泛采用。身份鉴别造成的威胁有口令圈套、口令破解和算法缺陷等。口令圈套是网络安全的一种诡计,与冒名顶替有关,靠欺骗来获取口令。比如登录欺骗,它通过编写一个代码模块,运行起来和登录屏幕一模一样,并把它插入到登录过程之前,这样用户就会把用户名和登录口令告知程序,这个程序就会把用户名和口令保存起来,然后告诉用户登录失败,并启动真正的登录程序,这样用户就不容易发现这个欺骗。口令破解是用密码字典或其他工具软件来暴力破解口令。如口令用生日、电话号码、名字等很容易被破解。口令输入过程必须满足一定条件才能正常工作,当条件变化时,口令算法程序就可能工作不正常了,很容易被人破解,并进入系统,这就是算法缺陷带来的安全隐患。
2.3.4 编程。是指通过编制程序代码实施对系统的破坏。编程威胁主要有计算机病毒和特洛伊木马等。病毒是一种能自我复制的程序代码,具有感染性和破坏性,使系统瘫痪,也能在网络上不断传播,危害Internet的安全。特洛伊木马程序一旦被安装到计算机上,便可按编制者的意图行事。能摧毁数据,创建新用户和口令等。
2.3.5 系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取您电脑中的重要资料和信息,甚至破坏您的系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。产生漏洞的原因可以分成下面三种因素:
①人为因素:编程人员在编写程序过程中,为了实现一些特殊的目的,有意在程序代码的隐藏处保留后门。
②能力因素:受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
③硬件因素:由于硬件的原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来,例如软件的不兼容问题。
3 计算机网络安全的防范措施
3.1 操作系统安全技术
首先,及时安装“补丁”程序。当系统后,发现有些程序中有漏洞,能被黑客利用而攻击用户,所以相应的措施来对付这些黑客,用一些应用程序来修复这些漏洞,称为“补丁程序”,安装这些补丁程序后,黑客就不会利用这些漏洞来攻击用户,从而杜绝同类型病毒的入侵。
其次,做好系统安全设置。如停掉guest帐号,限制不必要的用户数量,创建两个管理员帐号,将系统默认帐号改名,创建一个陷阱帐号(将默认管理员帐号的权限设置最低,什么事都干不了的那种),使用安全密码,合理设置浏览器的安全属性,彻底删除掉缺省共享,停掉不必要的服务等。
3.2 防火墙应用技术。防火墙是目前最为流行、使用最广泛的一种安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它将内部网和外部网分开,限制被保护的网络与互联网及其他网络之间进行信息存取、传输等操作。它一方面对经过他的网络通信进行扫描,过滤掉一些可能攻击内部网络的数据。另一方面可以关闭不使用的端口,禁止特定端口监听通信,封锁特洛伊木马。可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
3.3 网络病毒的防范。与传统类型的病毒相比,网络类型病毒有其特殊性,在网络环境下,网络病毒可以按指数增长模式进行传播。病毒侵入计算机网络,可以导致计算机效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统瘫痪。因此网络环境下的病毒防治已经成为计算机防毒领域的研究重点。我们除了安装全方位的网络反病毒软件,养成定期升级软件和扫描文件系统的好习惯外,还应该对移动存储设备,在使用前进行查毒,对从网上下载的文件和电子邮件中的附件打开前也要杀毒,不使用或下载来源不明的软件,不上不正规的网站。一旦在网上发现病毒,立即通知所有用户下网,关掉文件服务,设法立即清除,确信病毒被彻底清除后,重新启动网络和工作站。
3.4 数据加密技术。数据加密技术是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采取的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为秘文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.5 网络访问控制。访问控制室网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3.6 数据库的备份和恢复。数据库的备份和恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
3.7 防止黑客攻击的措施。在网络环境下,由于种种原因,网络被入侵和攻击是难免的,可谓是防不胜防,为了避免可能因入侵和攻击而造成的各种损失,我们最好是防止其入侵,防患于未然,如果我们经常注意下面这些情况,我们就可以大大降低被木马攻击的几率:不要执行任何来历不明的软件;不轻信他人;不要随便下载软件;不要随便留下自己的个人资料;谨慎使用自己的邮箱;最好使用第三方邮件程序;始终显示文件的扩展名;运用反木马实时监控程序;给电子邮件加密;隐藏ip地址;不共享文件。当我们发现有黑客入侵后,我们一般采取的措施是:首先要杀死这个进程,切断黑客与系统的联系。必要时切断网络,同时注意保存现场,以便事后调查原因,或进行分析。其次,使用安全工具跟踪这个链接,找出黑客的来路和身份,询问其要做什么,并发出警示,如果破坏严重时,可向公安部门和信息安全部门报告,通过司法手段解决问题。再次,管理员也可以使用一些工具来监视黑客,观察他们在做什么。还有就是修复安全漏洞并恢复系统,不给黑客可乘之机。
4 结束语
网络安全问题是一个综合性的问题,它涉及到技术、管理和使用等多方面的因素,因此网络安全问题的解决方案也应该综合多方面来考虑实施,不但有物理方面的措施,还要有逻辑技术方面的措施,当然还有系统本身的安全问题。只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能保证信息的完整性和正确性,为网络提供强大的安全服务,这也是网络安全领域的迫切需要。
参考文献:
[1]高永强等.网络安全应用技术大典.北京:人民邮电出版社,2007.
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
篇6
【 关键词 】 软件保护;二进制程序的安全加固;PE文件
【 Abstract 】 As the development of software reinforcement technology, how to minimize the cost in exchange of the most secure protection gradually becomes a hot topic in binary security reinforcement researches. In this paper, we analyze various security reinforcement technologies and propose a novel binaries’ security reinforcement system, which could increase the difficulty of static analysis attack and effectively impede dynamic analysis attack. Experiment results show that the reinforcement system performs satisfactory in versatility, stability and effectiveness.
【 Keywords 】 software protection;binaries’ security reinforcement;pe file
1 引言
近年来,随着反汇编、反编译和逆向分析等技术的发展,针对软件的破解、篡改和盗版等现象也层出不穷。为了保障软件的安全,对二进制程序安全加固技术的研究已经成为软件安全领域的一个重要分支。
在实际应用中,软件厂商们往往会采用多种加固技术进行软件保护,如PE文件压缩技术、PE文件代码段加密技术、PE文件代码段反汇编后的代码混淆技术以及Shellcode多态变形技术等。这些技术具有较高的通用性,但由此产生的代价也不容忽视,如何以最小的开销换来最安全的保护,成为二进制程序安全加固技术的研究重点。
本文通过分析各种安全加固技术,提出一种新的二进制程序安全加固系统,能够把任意PE文件转换为Shellcode,并代替Windows系统对PE文件进行加载,同时保证不增大PE文件的体积。最后通过实验证明,经本系统加固后的二进制程序体积没有大的变化,并且加固后恶意代码能够逃过主流杀毒软件的查杀,以此证明加固后的二进制程序不但能加大静态分析的难度,还能有效地阻碍对程序的动态分析。
2 常见的软件安全加固技术
软件安全加固技术是随着软件逆向分析技术的发展而发展的。根据软件攻击者的攻击目的和方法不同,软件加固技术也有不同的侧重点和目标。需要指出的是,我们不能将所有的加固技术全都一起应用于软件保护中,这是因为使用不同的安全加固技术一般都会带来额外的开销。简要分析常见的六种加固技术。
(1)加壳与脱壳:加壳的目的是加密或压缩EXE文件的代码段,在程序运行时,先由解密或者解压程序对代码段进行处理,然后程序正常运行。这些加密或压缩功能的机制称为加壳,对应的解密和解压机制称为脱壳。加壳后的代码段能够有效防止反汇编,但攻击者可以通过对脱壳程序的逆向分析,从而破解软件的壳。
(2)多态变形技术:多态变形是由多态和变形两种技术的结合,主要是对解密代码进行变形,使每次生成的解密程序呈现不同状态特征,同时也能对源程序进行简单的变换。显然,多态变形也是加密技术的一种,按照壳的定义,多态变形技术应属于壳的范畴。这种加密技术使得经过变形的解密程序都具有不同特征,所以是一种特殊的壳。常用的多态变形引擎有BPE32 Clet、ADMmuate、Jempiscodes、Tapion等。
(3)代码混淆技术:指在保持源程序语义不变的情况下,通过对源程序中的数据、布局和控制流程等进行变换,使得变换后的程序在功能上与源程序相同或相近。代码混淆对代码的变形除了上述多态变形技术所采用的变形方法外,还对程序的控制流程进行了变换,让程序变得的更加难懂,进而加大逆向分析的难度。
(4)防篡改技术:通过软件或硬件措施防止程序被非法修改的软件保护技术的统称,属于软件保护领域中的主动防御范畴。防篡改技术有两项任务:一是检测软件采用的安全加固技术是否被破解,软件本身是否被修改,通常采用计算校验的方法以及检验一些变量值是否改变来确认程序是否被正常执行;二是当发现程序被篡改或者被调试时制定应对措施。
(5)虚拟机保护技术:指将代码翻译为机器和人都无法识别的一串伪代码字节流,即本地代码虚拟化,在具体执行时再对这些伪代码进行翻译,逐步还原为原始代码并执行的技术。虚拟机用作软件保护的时候,把软件的底层指令(例如汇编指令)翻译成另外一种虚拟机指令,软件执行的时候部分运算在虚拟机中执行。由于虚拟机的复杂度可以很高,指令集可以自定义也可以利用或参考现有的各种成熟指令集,逆向工程需要先看懂虚拟机的大体结构以及虚拟指令集,才有可能弄明白被虚拟化后代码行为。在复杂的虚拟机和软件之间紧耦合的情况下,逆向工程会变得非常困难。
(6)软件水印:软件水印(Software WaterMarking)是数字水印技术在软件保护领域的应用和发展,是数字水印技术的分支。软件水印可分为静态水印和动态水印。静态水印被嵌入在程序代码或者数据当中,一般放在安装模块部分或者指令代码和调试信息的符号中。动态水印技术把水印存放在程序执行状态中,可用于证明程序是否经过了混淆变形处理。
3 基于二进制程序的加固系统方案
3.1 加固原理
PE 文件是Microsoft Portable Executable File Format的简称,即可移植可执行文件格式,是Windows系统下最常用的文件组织形式。Windows下的可执行文件EXE以及动态链接库文件dll都属于PE文件。PE文件经过Windows系统的正常加载,通过反汇编代码很容易逆向分析出PE文件的行为。若仿照Windows的加载程序,将源文件转化成机器码直接在内存中执行,可以增大逆向分析的难度。为了保证加固后源文件的体积不发生较大变化,必须对源文件进行压缩;压缩后的PE文件在加载时,首先进行解压;将压缩后的PE文件和PE文件的加载函数进行封装成Shellcode,再对Shellcode进行多态变形,保证每次生成的解密函数具有不同特征,最后生成新的PE文件。
3.2 框架构成
根据二进制程序加固系统的工作原理,我们将系统的总体结构划分为两部分,系统组成结构如图1所示。第一部分执行PE文件的加载功能,即PE文件执行模块,主要负责解压PE文件和动态加载PE文件等工作,是新的PE文件的主要组成部分。第二部分执行PE文件的压缩、多态变形和组装功能,并生成新的PE文件,进而实现PE文件的加固。主要包含压缩模块、Shellcode组装模块、Shellcode多态变形模块以及PE文件生成模块。压缩模块的对PE文件进行压缩;Shellcode组装模块将经过压缩的PE文件、PE文件执行模块、以及标识符等字符串进行组装,形成Shellcode;多态变形模块对Shellcode进行变形加密,并将解密代码整合到Shellcode中,设置入口点;最后,PE文件生成模块根据变形后Shellcode生成新的PE文件。
第一部分在加固后的PE文件运行时执行,不依赖于第二部分。第二部分将第一部分作为数据进行封装,对PE文件进行加固。 本系统由压缩模块、多态变形模块、Shellcode组装模块、PE文件生成模块、和PE文件执行模块组成。目的是对源PE文件进行压缩变形,并构造成新的PE文件,流程分级步骤:(1)压缩模块负责对原始PE文件进行压缩,目的是减小原始PE文件的体积,同时也起到一定的混淆作用;压缩后的源PE文件和PE文件执行模块(如API初始化模块、解压缩模块等)通过Shellcode组装模块,成可直接在内存中执行的Shellcode代码;(2)多态变形模块主要对生成的Shellcode进行多态变形,本系统的多态变形模块主要采用了Tapion多态变形引擎;(3)PE文件生成模块主要功能是把变形后的Shellcode和解密代码进行封装,生成新的PE文件。
3.3 模块功能
系统一共包含五个模块,PE文件压缩模块、Shellcode组装模块、多态变形模块、PE文件生成模块和PE文件执行模块。系统各模块的数据流图如图3所示。
(1)PE文件压缩模块:采用了微软的FCI/FDI库对EXE文件进行压缩。FCI(File Compression Interface)和FDI(File Decompression Interface)是由微软提供的用于对文件进行压缩和解压缩的通用库和接口,其在Windows 7、WinNT、Win2000、WinXP等各Windows版本的操作系统下都提供了接口,具有通用性,性能上可以满足我们对文件压缩的要求。
(2)Shellcode组装模块:将经过压缩的源PE文件(.cab文件)、PE文件执行模块代码、以及各标识符(主要用于PE加载时的函数定位)等字符串按照一定的规则进行组装,形成Shellcode。
(3)多态变形模块:采用tapion作为多态变形引擎,对Shellcode进行多态变形。经过多态变形引擎的变形,能让每次生成的解密程序都具有不同的特征。首先,对原始Shellcode进行加密,加密采用多态异或的方法,即每次生成不同的随机数对Shellcode主体部分进行异或。其次,对解密代码进行多态变形保护,让每次生成的解密代码具有不同的特征;最后,是把这解密代码和加密后的shellcode进行整合,设置入口点,生成新的Shellcode。
(4)PE文件生成模块:系统目标是对PE文件进行安全加固,所以最终还要把变形后的Shellcode,重新生成PE文件。采用编译器进行组装,将Shellcode写入C或C++源文件中字符串变量中,然后采用独立的编译器对此C或C++源文件进行编译链接,最后生成新的PE文件。
(5)PE文件执行模块:能够在内存中直接执行,主要负责PE文件的解压缩和动态加载。其包含三个子模块,API初始化模块、PE文件解压模块和PE文件加载模块。
API初始化模块:为了编写具有通用性的Shellcode,Shellcode在其进程空间中调用某些API函数, 所以需要动态定位这些Windows系统自带的API函数。API函数存放在一些动态链接库中,而定位API函数主要用到GetProcAddress和LoadLibraryA这两个函数。其中,LoadLibrary函数用于动态装载dll文件,GetProcAddress函数用于从被装载的dll文件中获取API函数的地址。GetProcAddress和LoadLibraryA这两个函数的地址都存放在kernel32.dll模块的导出表中。所以在查找这两个函数的地址之前,必须先定位kernel32.dll的地址。定位kernel32.dll,进而获取GetProcAddress和LoadLibraryA地址。
PE文件解压模块:EXE壳运行之后,先对被压缩的PE文件进行解压,解压程序必须先于PE文件的动态加载模块获得控制权,待解压完成后将控制权交回PE文件加载模块,由模块内的加载程序对解压后的源PE文件进行加载。采用Windows提供的FDI接口对EXE文件进行解压。
PE文件加载模块:源PE文件被压缩后,作为一部分存放在Shellcode中,Shellcode经过多态变形之后,被存放到新的PE文件里,即新的PE文件的代码段中嵌套着源PE文件。为了加载代码段中的源PE文件,需要在Shellcode中添加PE文件加载模块,代替操作系统动态加载源PE文件。
4 性能分析
本安全加固系统应具备几种功能:(1)能对二进制可执行程序进行安全加固,要求经过安全加固后的二进制可执行程序能够在各操作系统下正常运行,体积没有大的变化,且能加大逆向分析的难度;(2)能实现对以二进制可执行程序进行压缩和解压,经过压缩和解压之后程序能正常运行;(3)PE文件加载模块能够实现对PE文件进行动态加载,且此PE文件加载模块能在不同的宿主程序中对宿主程序进行加载,应该有较好的通用性;(4)采用的多态变形模块能够对Shellcode进行多态变形,使重新生成的PE文件具备多种不同的形态。
4.1 测试过程
为了验证本安全加固系统的性能,实验环境如表1所示。
系统操作步骤:(1)选择需要具有代表性的软件(包括常用软件和恶意软件),记录下软件的体积大小;(2)用本安全加固系统对各软件进行变形,记录下变形后的体积大小,并检查这些变形后的软件的能否正常运行。
选择变形配置,其中garbage_size表示垃圾指令系数,取值范围为0~5或者R。0~5表示插入的垃圾指令的规模,0表示无垃圾指令插入,R表示垃圾指令系数随机产生。do_jumps选项表示插入垃圾指令时是否夹带指令跳转;选择需要安全加固的PE文件和需要生成的新的PE文件名;点击开始按钮,变形完成后会弹出提示消息框,在当前目录即可看到最终生成的Shellcode文件和.c文件;调用vs2010自带的编译器对.c文件进行编译,最终生成新的PE文件。
(3)用系统中安装的杀毒软件对变形后的恶意软件进行主动检测查杀,记录检测结果。
4.2 测试结果
对本安全加固系统的测试主要分为两项,第一项主要针对系统性能上的验证,主要包括加固前后程序体积变化对比,以及加固后的程序在各操作系统下是否能正常运行。测试结果如表2所示。
通常情况下,杀毒软件采用静态和动态分析结合的方法对恶意软件进行分析,为了验证此加固系统的有效性,将一些容易被杀毒软件查杀的恶意代码进行加固,若加固后杀毒软件不再提示为恶意软件,即杀毒软件无法分析出恶意软件的行为,则说明加固是有效的。测试结果如表3所示。
表2说明,经过本系统加固后的二进制程序,在各操作系统下软件都能正常运行,且其体积没有较大变化,说明此安全加固系统有较好的通用性和稳定性。表3说明,加固后恶意代码可以逃过主流杀毒软件的查杀,加固后的二进制程序不但能加大静态分析的难度,还能有效地阻碍对程序的动态分析,说明本系统能有效的对软件进行安全加固。
5 结束语
针对现有安全加固技术存在的不足,本文设计并实现了一种新的二进制程序的安全加固系统。随后选取目前流行的操作系统和杀毒软件,对本系统的通用性、稳定性和有效性进行验证。结果表明,本系统能有效地隐藏二进制程序静态特征,阻碍对程序的动态分析,以及加固前后体积没有较大变化。所以,本系统所采用的技术、设计思路和实现方法为后续二进制程序安全加固技术提供了理论基础。随着技术的发展,一些更智能的主动防御系统对程序进行动态分析时,仍有可能判断出解密后程序的入口点,进而分析程序行为。所以,在后续工作中,需要进一步研究解密程序的变形技术和对抗调试器的技术。
参考文献
[1] 田硕,梁洪亮.二进制程序安全缺陷静态分析方法的研究综述[J].计算机科学,2009(7).
[2] 黄晖,陆余良,夏阳.基于动态符号执行的二进制程序缺陷发现系统[J].计算机应用研究, 2013(9).
[3] 吴庆波, 颜跃进, 张亚军, 吴泉源.一种基于虚拟机的驱动程序加固技术[J].计算机工程与科学, 2010(11).
[4] 杨明,黄刘生.一种采用嵌套虚拟机的软件保护方案[J].小型微型计算机系统,2011(2).
作者简介:
韩煜(1982-),男,辽宁海城人,北京邮电大学,硕士,公安部第一研究所,工程师;主要研究方向和关注领域:信息安全技术。
张济国(1980-),男,北京人,英国贝尔法斯特女王大学,硕士,公安部第一研究所,工程师;主要研究方向和关注领域:通信技术。
篇7
“2009年,我上任后第一次访问深圳工厂,当时工厂还只能生产小功率UPS。”伊顿电气集团亚太区高级副总裁、电能质量业务总经理罗世光回忆说,“但是现在,10kW~1000kW的UPS都已经可以在中国本地进行生产。”
中国和亚太地区是伊顿在全球范围内具有战略意义的市场。罗世光相信,中国数据中心市场的快速增长将给伊顿的电能质量业务带来更大的增长机会。因此,在2014年,伊顿将加强与商的合作,拓展分销渠道,进一步推进与本土市场的全面融合,同时加大对本土产品研发和检测的能力,提供更多符合中国客户需求的高效节能的电能质量解决方案。
深圳是伊顿面向全球的研发和生产基地。三家位于深圳的工厂拥有5000多名员工、29条先进的自动化生产线,年产UPS达到800万台。伊顿在深圳设立的研发中心也是其全球三大电气研发基地之一,产品研发和测试工程师超过1000人。
刚启用的伊顿在深圳的亚太区电能质量产品和系统检测中心,是除美国、芬兰之外,伊顿在全球拥有的第三个产品和系统检测中心。“该检测中心同时也是客户体验中心,配备了全球领先的检测设备和技术,不仅能够检测单体设备,还能对包括UPS、电源分配单元(PDU)、AMS监测系统和第三方设备的整个电能系统解决方案进行测试,其最大测试能力是可对两台并联的1100kW的UPS进行测试。”罗世光介绍说,“客户在选择一款定制的电能解决方案后,即可在检测中心看到其运行的全过程,通过亲身体验增进对产品的了解和信心。”
“过去3~4年中,我们在中国市场的总投入已经超过1200万美元。我们仍在持续加强中国本地化,并从去年底开始进一步提升了针对中国用户的售前和售后服务能力。”罗世光告诉记者,“目前,我们90%的UPS都在深圳研发和生产。最近,深圳研发中心刚刚研制出一款新的UPS产品。与许多跨国企业采取的远程遥控式的本地研发策略相比,我们是实实在在地将研发部门落户在深圳,为亚太和中国市场提供本地化服务的同时也面向全球客户。”
云计算与大数据的发展推动了大型数据中心的快速发展,用户对数据中心整体解决方案和定制化解决方案的需求也与日俱增。“从2010年开始,伊顿增加了为中国客户定制数据中心解决方案的服务。在今年的商大会上,我看到了商和用户的积极反馈。”罗世光表示。
针对小型数据中心,伊顿可以提供模块化、标准化的解决方案;针对中型数据中心,伊顿可以针对不同行业客户的需求,提供有差异化的解决方案;针对大型数据中心,伊顿可以提供按需扩展的高能效、低整体拥有成本的解决方案。从产品到系统再到整体解决方案,这不仅对伊顿是一个新的挑战,对其商来说也要经历一个大的转变。
为了迅速提升商销售解决方案的能力,伊顿一方面不断更新其数据中心整体解决方案,另一方面加强对商的销售培训,实现信息共享。罗世光表示:“我们提供的定制化解决方案一方面要满足用户的个性化需求,另一方面还要保持开放性。我们将为用户提供解决方案与服务打包的一体化解决方案。”
第三届全国等级保护技术大会征文通知
为深入贯彻落实国家关于大力推进信息化发展和切实保障信息安全的文件精神,进一步推进信息安全等级保护技术交流,经公安主管部门同意,公安部第一研究所拟于2014年7月举办第三届全国信息安全等级保护技术大会(ICSP’2014)。
会议拟请公安、工业和信息化、国家保密、国家密码管理主管部门、中国科学院、国家网络与信息安全信息通报中心等部门担任指导单位,同时将出版论文集,经专家评选的部分优秀论文,将推荐至国家核心期刊发表。现就会议征文的有关情况通知如下:
一、征文范围
1. 新技术应用环境下信息安全等级保护技术:物联网、云计算、大数据、工控系统、移动接入网、下一代互联网(IPv6)等新技术、环境下的等级保护支撑技术,等级保护技术体系在新环境下的应用方法;
2. 关键基础设施信息安全保护技术:政府部门及金融、交通、电力、能源、通信、制造等重要行业网站、核心业务信息系统等安全威胁、隐患分析及防范措施;
3. 国内外信息安全管理政策与策略:信息安全管理政策和策略研究,信息安全管理体制和机制特点,信息安全管理标准发展对策,网络恐怖的特点、趋势、危害研究;
4. 信息安全预警与突发事件应急处置技术:攻击监测技术,态势感知预警技术,安全监测技术,安全事件响应技术,应急处置技术,灾难备份技术,恢复和跟踪技术,风险评估技术;
5. 信息安全等级保护建设技术:密码技术,可信计算技术,网络实名制等体系模型与构建技术,漏洞检测技术,网络监测与监管技术,网络身份认证技术,网络攻防技术,软件安全技术,信任体系研究;
6. 信息安全等级保护监管技术:用于支撑安全监测的数据采集、挖掘与分析技术,用于支撑安全监管的敏感数据发现与保护技术,安全态势评估技术,安全事件关联分析技术、安全绩效评估技术,电子数据取证和鉴定技术;
7. 信息安全等级保护测评技术:标准符合性检验技术,安全基准验证技术,源代码安全分析技术,逆向工程剖析技术,渗透测试技术,测评工具和测评方法;
8. 信息安全等级保护策略与机制:网络安全综合防控体系建设,重要信息系统的安全威胁与脆弱性分析,纵深防御策略,大数据安全保护策略,信息安全保障工作评价机制、应急响应机制、安全监测预警机制。
二、投稿要求
1. 来稿内容应属于作者的科研成果,数据真实、可靠,未公开发表过,引用他人成果已注明出处,署名无争议,论文摘要及全文不涉及保密内容;
2. 会议只接受以Word排版的电子稿件,稿件一般不超过5000字;
3. 稿件以Email方式发送到征稿邮箱;
4. 凡投稿文章被录用且未作特殊声明者,视为已同意授权出版;
5. 提交截止日期: 2014年5月25日。
三、联系方式
通信地址:北京市海淀区首都体育馆南路1号
邮编:100048
Email:.cn
联系人: 范博、王晨
联系电话:010-68773930,
13717905088,13581879819
篇8
【论文摘要】 会计电算化是运用计算机进行会计数据处理,以计算机及数据传输和通讯设备作为数据处理系统的核心,完成从原始数据的搜集、记录、分类、登记、计算、汇总、报告等一系列会计工作。会计从手工处理到电算化处理,不仅是会计数据处理方法的变化,更是影响了企业传统的内部控制制度,使企业在内部控制上发生了根本性的变化。
一、会计信息系统内部控制
为了保护国家和企业的资金安全,确保会计信息及其他相关数据的可靠,确保国家和企业的各项方针政策的贯彻与执行,提高经济效益所采取的一切制度、方法措施和管理程序,都属于会计内部控制的范围。任何一家企业、事业单位或其他经济组织,不论其规模大小、业务性质,也不论其采取何种会计工作组织程序和信息处理方式,在其会计业务处理系统中,都会不同程度、不同方面地存在着一定的系统内部控制问题。
二、电算化会计信息系统对内部控制的影响
1、内部控制形式的变化。手工记账中的一些内部控制措施在电算化后不需要存在。如编制科目汇总表、凭证汇总表,试算平衡的检查、总账和明细账的核对。在电算化环境下,人是执行控制的主体,但更多的内部控制方法是通过会计软件来实现。因此,信息系统的内部控制也由人工控制转为人工和程序去共同控制。电算化系统许多应用程序中包含了内部控制功能,这些程序化的内部控制的有效性取决于应用程序,如程序发生错误或不起作用,由于人们的依赖性以及程序运动的重复性,使得控制失效不被及时发现,从而使系统发生错误或违规行为的可能性大。
2、存储介质的改变。在手工会计环境下,企业的经济业务发生均记录于纸张之上,并按会计数据处理的不同过程分为原始凭证、记账凭证、会计账簿和会计报表。这些纸质原件的数据若被修改,很容易找出修改的线索和痕迹,这是传统纸质原件的一个优点。但在电算化系统下,原来纸质的会计数据会被直接记录到磁盘或光盘上,非常容易被删除或篡改,由于在技术上对电子数据非法修改可做到不留迹象,这就难以辨别哪一笔是业务记录的原始数据。另外,电磁介质容易受损坏,所以会计信息还存在丢失或毁坏的危险。
3、内部控制的内容变化。计算机技术的引入,给会计工作增加了新的工作内容,同时也增加了新的控制措施,如计算机硬件及软件分析、编程、维护人员与计算机操作人员内部控制,以及计算机机内及磁盘内会计信息安全保护、计算机病毒防治、计算机操作管理、系统管理员和系统维护人员的岗位责任制度等。
4、财务网络化带来的新问题。随着计算机技术和网络通讯技术的发展,会计信息系统网络化渐渐普及。网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计系统的内部控制更加完善,同时也带来了新问题。目前财务软件的网络功能主要包括远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而加大了会计系统安全控制的难度。
三、完善电算化会计信息系统环境下的内部控制
坚持明确分工、相互独立、互相牵制、相互制约的安全管理原则,建立并不断完善人工与机器相结合的控制机制,使会计电算化运行的每一个过程都处于严密控制之中是我们完善会计电算化内部控制的基本思路。
1、系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。操作环境包括系统操作过程以及系统的维护。操作过程控制主要通过制订一套完整而严格的操作规定来实现。操作规程应明确职责,操作程序和注意事项,并形成一套电算化系统文件。如规定交接班手续和登记运行日志,规定数据备份及机器的使用规范,规定软盘专用以防病毒感染。
2、信息安全控制。电算化会计信息系统的安全控制,是指采用各种方法保护数据和计算机程序,以防止数据泄密、被更改或破坏,主要包括实体安全控制、数据安全控制、网络安全控制等。
(1)实体安全控制。实行电算化以后,设立计算机房的主要目的是给计算机设备创造一个良好的运行环境,保护机器设备;防止各种非法人员进入机房,保护机内程序和数据的安全。具体措施包括:对进入机房内的人员进行严格审查;保证机房设备安全的措施,如机房防火规定等;保证计算机正常运行措施,如机房防潮、防磁及恒温等方面的规定等;会计数据和会计软件安全保密的措施,如数据备份规定及不准在计算机上玩电脑游戏等规定;修改会计核算软件的审批和监督制度。
(2)数据安全控制。计算机会计系统有关的资料应及时存档,企业应建立起完善的档案制度,加强档案管理。一个合理完善的档案管理制度一般有合格的档案管理人员、完善的资料借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等。除此之外,还应定期对所有档案进行备份并保管好这些备份。为防止档案被破坏,企业应制订出档案被破坏的事件发生时的应急措施和恢复手段,企业使用的会计软件也应具有强制备份的功能和一旦系统崩溃及时恢复到最近状态的功能。
(3)网络安全控制。公司应对网络安全进行控制,设置网络安全性指标,包括数据保密、访问控制、身份识别等。一是用户权限设置,应从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管把等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。二是密码设置,用户应按照自己的用户身份和密码进入系统,对密码进行分组管理,对存储在网络上的重要数据进行有效加密,在网络中传播数据前对相关数据进行加密,接收到数据后再进行相应的解密处理,并定期更新加密密码。另因网络病毒日益猖獗,防范病毒也是安全控制的重点。对不需要本地硬盘和软盘的工作站,尽量采用无盘工作。
3、电算化会计信息系统的人员职能控制。人员控制是电算化系统管理的根本,会计电算化人才的缺乏是制约我国会计信息化工作发展的关键环节。为此,首先要通过各种培训提高会计人员的计算机业务水平和职业道德水准、增强遵守各项法规的自觉性,实行考核合格才准上岗的制度。其次要通过各类院校培养既懂会计又掌握一定计算机知识及技能的专业人才充实到会计队伍中。再次,会计人员不仅要具备财会知识和计算机知识,同时还要掌握一定的管理知识。最后,业务主管应当熟悉整个会计电算化处理业务,以便对系统会计工作流程进行监控和指导。
4、信息系统的内部审计。内部审计是单位或企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。电算化会计信息系统的运作往往是“人机”对话的特殊形态,对网络环境下的会计信息审核必须运用更复杂的查核技术,只有精通计算机网络知识、熟悉审计财务程序的人员才能胜任此项工作,这给内部审计加大了难度。内部审计制度是保障内部控制的重要手段之一,通过内部审计可以了解现有的一些内部控制措施是否能满足为内部会计系统提供准确、可靠的信息,以及这些控制措施能否有效地运作以达到预期的目的。在电算化系统运行过程中,审计人员对会计业务处理等工作进行评价和检验,有利于检测财务软件的可靠性,发现存在的问题、提出解决问题的建议,有利于提高会计核算质量和管理水平。
在电算化条件下,关键的会计信息处理和业务核算工作已由会计电算化软件集中代替,会计工作的执行主体演变为人与电算化软件两个因素,且电算化软件是主要的执行因素。这种变化使得会计电算化系统中的内部控制实施主体也演变为人与软件两个因素,且电算化软件导致的系统问题风险将成为会计系统中内部控制的主要风险。完善有效的计算机系统及管理制度是电算化会计信息系统安全之本,提高会计电算化人员素质,规范和完善电算化会计信息系统操作和管理章程,重视内部审计,增强数据安全意识,是当前强化电算化会计信息系统内部控制的关键问题。
【参考文献】
篇9
[论文关键词] 会计 电算化 网络安全性 系统 分析
[论文摘要] 随着计算机网络的快速发展及应用,财务ASP也在飞速发展,如何保证会计信息的网络安全性,我们从业人员应该对此提起重视,及时对会计信息进行维护。网络会计信息的安全是指系统保持正常稳定运行状态的能力。信息安全是会计信息系统安全的核心,确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。
一、网络会计信息系统安全的主要表现
会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险主要表现在以下几个方面。
(一)会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。随着网络化会计电算化的发展,不法分子篡改网络上传送的信息,通过加大结算金额,更改收款单位账号,达到贪污或窃取资金的目的。
(二)企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。 如利用数据资源的复制可在瞬间完成的特点,通过拷贝窃取全部账户信息,或借日常维修之机,趁人不备偷窃数据。在网络会计电算化的环境下,可以通过网络黑客窃取传送的数据信息,其最大特点是既不干扰破坏信息流,又能窃取数据信息。因此,保证财务数据的安全亦不容忽视。
(三)会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,故存在极大的危险,但一旦出现存储在计算机内的文件丢失或破坏,数据的恢复则需要一个时间过程。由于网络病毒的多发性和快速感染性,计算机感染病毒的现象不同程度的存在。计算机一旦感染病毒,极易破坏会计电算化应用软件系统中的数据文件和应用软件,使数据文件突然出现不明真象的丢失,以及应用软件无法正常工作。同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
(四)网络系统的安全性。网络是一把双刃剑,它使企业在利用internet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。
二、会计电算化应用硬件与软件系统安全性分析
(一)对于会计电算化硬件系统来讲,保持不间断的电源是很重要的,因为突然断电,会导致用户所做的会计电算化工作因为没有来得及存盘而前功尽弃,若是程序正在向数据库中写内容时也会因突然断电,导致数据出现错乱。
(二)对于网络会计信息的软件系统安全性表现:
1.数据备份与数据恢复必要性分析
数据备份与数据恢复功能可以进行会计数据的保全与恢复。如果系统出现故障,可以在系统管理界面把最近一次备份的数据引入,将最后一次备份与故障发生前的这一阶段所发生的数据进行补充登记。系统管理员可以执行对整个会计电算化系统的数据备份。会计主管可以执行对全部或部分会计电算化系统的数据备份。
2.设置操作员权限与口令必要性分析
操作员的权限分配与口令设置是构成软件安全性的两个重要方面。众所周知,会计电算化工作中,操作人员的职务级别不同,工作范围不同,可以操作的软件功能和访问的数据内容也不同,因此需要由最高级别的管理员对操作员进行权限分配。
在功能权限中,每个操作员都需要经过授权才能使用该会计电算化系统,并且只能使用被授权的功能。通过类别权限控制对操作员进一步的限制,使操作员只能在同一功能下不同类别范围内操作。操作员在操作时,尤其在做数据录入的操作时,可以限制其操作的数据发生额在一定的限度内。
3.外部防护的必要性
(1)周界安全防范。
周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是预防一切实行外来攻击措施的基础,主要内容包括:设置外部访问区域,采用二层式客户机/服务器模式组建内部网,利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施、记录所有可疑事件。
(2)数据通讯安全防范。
数据通讯控制是为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,单位可采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:保证良好的物理安全,对传输的数据进行加密与数字签名,在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
三、网络会计信息安全的措施
通过加强会计信息系统的安全建设与管理,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。
(一)系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。
(二)形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证) 。
(三)建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。所谓分布存储,是指对数据文件采用一定的算法,组成新的两个或多个文件,并存在不同的物理存储设备中,甚至是异地设备中。
(四)完善和积极实施法律法规。国家应尽快建立和完善电子商务法规,以规范网上交易的购销、支付及核算行为;借签国外有关研究成果和实践经验,制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,为网络会计信息系统提供一个良好的社会环境。
总之,在网络化环境中,信息高速公路为会计信息系统实时提供了可能,这就需要建立适应网络化经济环境下会计时间、空间和速度的新理念。网络会计信息系统在产生、发展过程中虽然存在着各种各样的问题,但毋庸置疑的是,建立于“事项会计”下的网络会计信息系统是网络经济发展的必然趋势。在网络环境下,会计信息系统的安全问题将成为会计工作的重要组成部分。
参考文献
[1] 王建.企业会计电算化网络的规划与建设[J].中国农业会计,2000,(10).
篇10
为满足上述需求,设计并开发工业外观申请专利对比Web应用系统,该系统可以和专利库中产品进行比对,为工业设计产品设计人员提供有效的参考,提高工业外观申请专利时的成功率。
1 系统的架构设计
工业设计产品外观对比网络系统前端面向的是用户,后台是系统管理员,通过系统云平台支持各项服务,该WEB系统总体架构如图1所示。
工业设计产品外观对比系统首先建立自己的专利库,将现在的专利产品上传到数据库中,工业设计师在上传自己的产品之后,就可与专利库中的专利产品进行外观对比。从而实现实时、有效、精确的信息对比,帮助设计人员提高专利申请的成功率。
设计人员通过WEB端登录系统,上传作品并指定相应指标与专利库中的产品进行外观对比,后台维护人员维护专利库中的作品,并即时将新产品进行上传。
1.1 系统逻辑结构
工业设计产品外观对比系统框架是一种分层结构,共分为六层,从下至上分别是:硬件网络层、操作系统层、数据库层、应用中间件层、操作应用层、3D转换层,两边有系统安全保证和管理控制台,如图2所示。系统安全保证数据传输和存储的安全,管理控制台保证系统平台可以进行灵活的管理和配置。
1.2 分层支持体系
工业设计产品外观对比系统具有严格分层支持体系,支持体系分为三层,每一层具有特定的功能,确保系统的有效运行。
(1)基础设施层:基础设施为各类应用提供基础的支撑环境。包括支撑各类应用运行网络设备和主机设备、各类包括操作系统、基础数据库在内的基础系统软件等。
(2)资源层:资源层包括业务数据源和外部系统资源,如数据库资源等。
(3)应用支撑层:现场管理系统作为应用支撑层支撑所有的移动业务。
1.3 保障支持体系
为了实现对工业设计产品外观对比系统的安全保障,建立两级保障体系。
安全保障体系:安全保障体系涉及各个层面的完整的安全技术和措施。安全保障体系为整个系统提供鉴别、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务,形成集防护、检测、响应、恢复于一体的安全防护体系,实现实体安全、应用安全、系统安全、网络安全、管理安全,以满足整个系统各层次的安全需求。
维护支持体系:维护与支持是贯穿系统运行的全过程的保障体系,主要通过管理控制台和运行和维护整个移动商务平台和建立在上面的各个应用。平台建成后,运行维护将是关系到平台能否正常运转、发挥效能的关键因素,因此在平台配置过程中充分考虑平台建设中和建成后的运行维护问题。
2 系统关键技术
2.1 系统技术框架
技术框架从系统构成的业务逻辑元素入手,描述现场管理系统的关键技术,如图3所示。
2.2 关键技术简介
(1)PHP技术。PHP独特的语法混合了C、Java、Perl以及PHP自创的语法。它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
(2)中间件技术。比较流行中间件的定义是:中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上,管理计算资源和网络通讯。
从中间件的定义可以看出,中间件是一类软件,而非一种软件;中间件不仅仅实现互连,还能实现应用之间的互操作;中间件是基于分布式处理的软件,定义别强调了其网络通讯功能。
(3)jQuery技术。jQuery是继prototype之后又一个优秀的Javascript框架。它是轻量级的js库,它兼容CSS3,还兼容各种浏览器(IE 6.0+,FF 1.5+,Safari 2.0+,Opera 9.0+),jQuery2.0及后续版本将不再支持IE6/7/8浏览器。jQuery使用户能更方便地处理HTML(标准通用标记语言下的一个应用)、events、实现动画效果,并且方便地为网站提供AJAX交互。jQuery还有一个比较大的优势是,它的文档说明很全,而且各种应用也说得很详细,同时还有许多成熟的插件可供选择。jQuery能够使用户的html页面保持代码和html内容分离,也就是说,不用再在html里面插入一堆js来调用命令了,只需定义id即可。
(4)HTML5技术。基于最新的HTML5技术,允许实时渲染的高质量3D作品在网页中原生展示;依靠强大的双核3D引擎支持所有的主流浏览器。基于SVG、Canvas、WebGL及CSS3的3D功能,用户会惊叹于在浏览器中,所呈现的惊人视觉效果。
(5)Web 服务。
Web服务具有以下特点:
①良好的封装性:Web服务是一种部署在Web上的对象,具备对象的良好封装性,对于使用者而言,他看到的仅仅是该服务的描述。
②松散耦合:当Web服务的实现发生变更时,只要Web服务的调用接口不变,调用者是不会感到这种变更,Web服务的任何变更对调用他们的接口来说都是透明的。json是Internet环境下Web服务一种比较适合的消息交换协议。
③协议规范:Web服务使用标准的描述语言来描述(比如WSDL)服务;其次,通过服务注册机制,由标准描述语言描述的服务界面是可以被发现的;同时,标准描述语言不仅用于服务界面,也用于Web服务的聚合、跨Web服务的事务、工作流等。其次,Web服务的安全标准也已形成;最后,Web服务是可管理的。
④高度可集成能力:由于Web服务采取简单的、易理解的标准Web协议作为构件界面描述和协同描述规范,完全屏蔽了不同软件平台的差异,无论是CORBA、DCOM还是EJB都可以通过这一种标准的协议进行互操作,实现了在当前环境下最高的可集成性。
2.3 系统安全保障
(1)系统级安全保障。通过系统实现用户的认证控制,任何用户进入网络之前必须先经过有效的用户名及口令的认证。其次,任何的网络服务器也必须进行用户认证,只有通过口令认证的用户,才允许访问服务器。
(2)数据库安全保障。一方面利用数据库系统本身的安全控制功能:用户名/口令字识别、视图、使用权限控制等管理措施,另一方面从应用程序也进行控制管理,对数据库中存储的重要数据进行加密处理,以实现数据存储的安全保护,以避免某些用户尤其是一些内部用户非法获取用户名、口令字,窃取或篡改信息的可能。
系统通过以下措施保证数据库系统的安全:用户口令字鉴别;用户存取权限控制;数据存取权限、方式控制;数据加密。
(3)应用软件安全保障。应用软件系统是运行在内部Web服务器上,系统数据存放在现场管理系统数据库中,管理系统只安装在服务器上,客户端只能通过手机和管理控制台查询结果。管理控制台建有系统的访问用户和访问权限管理,对系统操作过程的重要操作和事件设置了完善的业务日志,检测和发现系统的故障差错或对系统的恶意侵害行为。
相关人员登录服务器,一律记录日志,而且使用管理控制台访问系统数据库的信息数据,有严格的用户访问权限控制,需要系统管理员对授权访问用户进行管理和维护,授权用户也需要对个人信息进行定制修改。
(4)数据加密。现场管理管理系统在进行数据库的重要敏感数据存取时,进行加密和解密处理,并且对数据库的加密保证不会对数据库管理系统原有功能造成影响。重要的数据加密存储,不能直接对数据库进行修改。能够最大限度地防止关键数据被非法修改。
3 系统功能的实现
根据上述的工业设计产品外观对比系统架构设计,提出了系统功能实现方案,系统功能包括两个子模块,分别是系统的前台和后台,系统的前台面向用户,为用户提供一个应用接口,用户可以上传作品,进行产品比对,并输出比对结构,为用户改进作品提供依据。系统的后台是面向管理员,可以实现用户管理,产品信息管理等功能,工业设计产品外观对比系统的具体功能模块实现如图4所示。
3.1 系统前台功能
系统前台功能实现包括用户登录,作品,会员中心,帮助中心与退出系统五个功能模块。
(1)用户登录模块实现前台用户的注册和登录功能,用户登录成功后,就可以使用该系统平台实现设计作品的网络比对。
(2)作品模块实现用户对设计出的作品的相关管理。
①用户上传作品,用户登陆后上传自己制作设计的3D作品模型到服务器,服务器将3D模型通过WebGL算法结合CSS3将其转换成html5三维网页模型。并存入用户自己的作品库。
②用户可以在作品库可对作品进行相应的维护修改。
③用户上传完作品后存入后台数据库,后台网站管理员对其进行审核。
④用户可对搜索感兴趣的作品加入自己的收藏,可随时查看。
⑤用户退出系统,清空session。保证帐号安全性。
3.2 系统后台管理
系统后台的管理功能主要包括:系统信息管理、用户管理、产品信息管理和碎片信息管理四个功能模块。
(1)系统信息管理。该模块可以实现角色管理、菜单管理、系统信息设置和数据库管理等功能。超级管理员可以在后台添加管理人员,并进行相应的权限分配;超级管理员可管理后台菜单;后台管理员可对整个系统进行相应的参数设置与邮件系统设置和3D转换接口设置;后台管理员可定期对数据库进行备份。
(2)用户管理。该模块可以实现管理员管理和用户管理功能。超级管理员可对其他管理员进行相应的管理和分配权限;网站管理员可管理网站用户。
(3)产品信息管理。
①产品类别管理:网站管理员可以添加产品的种类与相应指标。
②专利库管理:网站管理员后台上传产品形成专利库,可对其进行维护修改。
③产品库管理:网站管理员后台对用户上传的产品进行修改。
(4) 碎片信息管理。网站管理员对“关于我们”“ 使用说明”“ 帮助说明”等相关碎片信息进行修改。
4 结语
工业设计师设计作品时候,无法及时掌握作品是否存在雷同,造成申请的失败,因此对设计的作品与现有的专利产品进行对比是一项重要的任务。本文设计一个WEB应用平台,该平台通过层次化的结构,使用WEB应用技术,通过上传作品自动与专利数据库中的产品进行对比,为用户修改自己作品提供依据,提高了专利申请的成功率,实践使用证明该系统平台的有效性。
参考文献:
