简述网络安全的定义范文
时间:2023-09-12 17:18:35
导语:如何才能写好一篇简述网络安全的定义,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:计算机;网络;信息安全漏洞扫描
1网络安全简述
网络安全并没有一个固定的范围和固定的定义。随着观察角度的变化,对网络安全的定义也不尽相同。例如,从网络用户个人或者单位来说。他们想要拥有的网络安全,必然是个人隐私信息的安全、单位商业信息受到保护,避免因他人运用窃听、篡改等手段,泄露信息,或者造成商业危害。从网络运用以及管理者的角度来看,他们理解的网络安全必然是希望在对本地网络信息进行访问、读写时,受到相应的保护。防止出现病毒入侵、拒绝服务或者网络资源非法控制等威胁。从本质上来讲,网络安全属于网络上的信息安全范围。指的是通过多网络系统的强化管理,以及对硬件、软件中的数据保护,防止其因有意的,或无意的破坏而出现信息泄露等状况。保障系统连续可靠的运作,以及提供源源不断的网络服务。从宏观上来看,凡是有关网络上信息的隐私、完整、可用、真实等相关的技术研究,以及网络安全管理全部属于网络安全需要研究的对象。网络安全不仅仅是网络使用硬件或软件上的问题,也是信息管理上的问题。在二者的互相补充下,才能实现完善的信息保护。在硬件和软件方面,主要侧重点是防止外在非法行为对网络的攻击。对于管理上来讲,主要的侧重点在于对网络管理人员的管理。对于网络安全的基本要求主要有以下一个方面:
1.1可靠性
可靠性的定义就是网络信息系统能够在目前具有的条件下,以及相应的时间范围之内,保持预先想要其达到的功能性特征。可靠性是对于网络系统安全的最基本的要求,如果连可靠性都保障不了,难么一切的网络活动将无从谈起。
1.2可用性
可用性就是网络经过设置之后,网络信息可以被所授权实体进行访问并按照需求使用的特性。即在经过许可之后,网络信息服务在需要的时候,就会给予授权用户或实体进行使用的特性;或者是网络在受到部分的损坏及需要降级使用的时候,依旧为授权用户提供最有效服务的特性。可用性就是网络信息系统面向所有用户的而最安全性能。网络信息进系统最基础的功能就是向用户提供他们所需的服务,然而用户的需求是随机的、多方面的、甚至还会有时间和速度的要求。与此同时,可用性就会对系统的正常使用时间与整个工作时间的之比来进行度量。
1.3保密性
对保密性的定义就是保障网络信息能够不受外界非法行为的影响,导致出现信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基础之上的,是网络安全保障的重点对象。
1.4完整性
完整性就是网络信息在没有经过授权之前不能对其进行任何改变的特性。也就是说,网络信息在储存或传输的过程中保持其完整,不会偶然的失误或蓄意地删除、修改、伪造、插入等破坏的特性。完整性是网络中面向信息的安全模式,无论经历怎样的阻挠和破坏,它要求必须保持信息的原版,换句话说,就是信息的正确生产及安全准确的存蓄和传输。
2计算机网络安全中的漏洞扫描技术分析
由于网络会给人们带来较多的不安全问题,导致计算机网络的使用者必须要运用相应的安全保护措施,来实现个人或者单位的信息安全。在许多网络安全研究者的共同努力下,推出的网络安全保护技术能够从不同的角度切实保障网络信息的可靠性、可用性、保密性、完整性等。对安全技术进行分析,主要有:漏洞技术扫描、访问控制技术、防火墙技术等。这些事比较常规的,对于一些稍微特殊的,在此就不一一列举。以下主要分析的就是漏洞扫描技术。安全漏洞是计算机网络系统当中的缺陷,它会导致外界非法授权者为获取信息利用其进行不正当的访问。
2.1D级漏洞
D级漏洞允许远程用户获取该计算机当中的某些信息,例如该计算机是否处于运行状态,该计算机的操作系统类别等。例如,可以向一台计算机的目标端口发送SYN分组,假如收到的是一个来自目标端口的SYN/ACK分组,那么我们可以确定此台计算机正处于被监听的状态。从具体实践来讲,D级漏洞在其余漏洞当中,是对计算机危害最小的。但是它会为非法侵入者采取下一项行动奠定基础。
2.2C级漏洞
C级漏洞外在表现为允许拒绝服务。拒绝服务攻击是一类个人或者多人运用ntIemct当中的某些特性,拒绝向其他的用户提供合法访问服务。这种漏洞最终导致的结果就是,受到攻击的计算机反映速度减慢,从而导致合法授权者无法连接目标计算机。
2.3B级漏洞
B级漏洞是允许本地用户获取非授权的访问。此种漏洞常常在多种平台应用程序当中出现。
2.4A级漏洞
A级漏洞主要是允许用户未经授权访问。这属于这几种漏洞当中危害最大的一种。许多情况下产生的A级漏洞,都是由于系统管理出现问题,或者系统内部参数设置错误导致的。
3结语
总而言之,漏洞扫描技术就是在解决网络安全问题的一门比较新颖的技术。通过市场调研,防火墙技术就是当病毒入侵时的被动防御,入侵检测技术也是一门被动的检测,然而,漏洞扫描技术则是在没有别的病毒入侵之前就主动进行有关安全方面的全面检测技术。所以,从网络全面安全的角度出发,主动进行安全检测,防范于未然的漏洞检测越来越受人们的青睐。
作者:吴塍勤 单位:江苏省宜兴中等专业学校
参考文献:
[1]朱健华.浅析信息化建设中的安全漏洞扫描技术[J].中国科技投资,2012(27).
[2]赵燕.漏洞扫描技术浅析[J].内蒙古水利,2011(03).
篇2
关键词:网络安全;防火墙技术;防火墙应用
中图分类号:TP309文献标识码:A文章编号:16727800(2012)009016003
0引言
随着网络的迅速普及,网络安全问题也日益突出。虽然网络安全技术得到了迅速发展,但网络安全问题也增加了新的内容 ,主要是由网络的开放性、无边界性、自由性造成的,包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务,如TELNET NFS,DNS,Active X 等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击,追查比较困难,因为攻击可以来自Internet的任何地方。
目前,保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一,成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来,防火墙产品多,更新快,且不断有新的信息安全技术应用到防火墙的开发上,如服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。
那么,什么是防火墙呢?在古代,人们在构筑木制结构房屋时,常在住所之间砌一道砖墙,防止火灾蔓延。在网络中,防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网,犹如一道护栏,置于不安全的非信任的网络与被保护网络之间,阻断外部对内网的威胁和入侵,保护内网的安全。
一般来说,防火墙是一种置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制(包括允许、拒绝、记录和监视)通过网络的访问行为,是一种高级的访问控制设备。狭义上,防火墙是指装了防火墙软件的路由器系统或者主机;广义上,防火墙是指整个网络的安全行为和安全策略。
1防火墙的发展
1986年,在Internet上,美国Digital公司安装了全球第一个防火墙系统。这之后,防火墙产品成为安全领域发展最快的安全技术产品之一,它先后经历了如下发展阶段:
第一代防火墙,又称为包过滤路由器或屏蔽路由器,是基于路由器的防火墙,通过检查经由路由器的数据包的地址(源地址、目的地址)、端口号(源端口号、目的端口号)、协议等参数,来决定是否让数据包通过,如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击,而且审计功能差。
第二代防火墙,是用户化的防火墙工具套,它用来提供应用服务级的控制,起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难,且的时间延迟也较大。
第三代防火墙,是建立在通用操作系统上的商用防火墙产品,有以硬件方式实现的,也有以纯软件方式实现的。采用这种防火墙,用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。
第四代防火墙,是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中,同时也采用了一些主动的网络安全技术,比如网络安全性分析、网络信息安全监测等。总之,它将网关和安全系统合二为一。
2防火墙的基本类型
按使用技术,防火墙主要分为包过滤型防火墙(又可分为静态包过滤、状态动态检测包过滤)、应用、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。
2.1按使用技术分类
2.1.1包过滤型防火墙
静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表,在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑,在收到网络数据包后,检查数据流中的每个数据包,根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素,以确定是转发还是丢弃,它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关,所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。
状态动态检测包过滤防火墙直接对数据分组进行处理,而且结合前后的数据分组进行综合判断,来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务,并能动态地打开服务端口,且能减少端口的开放时间。所以状态动态检测防火墙安全性高,能够检测所有进入防火墙网关的数据包,并能根据通信和应用程序状态确定是否允许包的通行。它性能高,在数据包进入防火墙时就进行识别和判断;伸缩性好,可以识别不同的数据包;已经支持160多种应用,包括Internet应用、数据库应用、多媒体应用等,用户可方便添加新应用,而且对用户、应用程序透明。
2.1.2应用型防火墙
型防火墙,又可分为电路级和应用级。
应用技术是在网络的应用层提供网络数据流保护功能,用来过滤应用层的服务,是内部网与外部网的隔离点,起着内外网之间申请服务时的中间转接作用,监视并隔绝应用层的通信流。应用服务是运行在防火墙主机上的特殊的应用程序或者服务器程序,不同服务的功能需要开发不同的服务程序,而对大多数服务来说,要求要有合适的服务器软件。由于提供替代连接并充当服务的网关,所以,应用有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是,它的速度比包过滤慢,且对用户不透明,对于一些服务不适用,而且不能保护所有协议。
电路级适用于多个协议,能接收客户端的各种服务请求,建立一个回路,对数据包只起转发的作用,工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置,并能隐藏内网的信息,但它不能识别同一个协议栈上运行的不同应用程序。
2.1.3复合型防火墙
所谓复合型防火墙,就是将包过滤和服务整合在一起使用,以实现如网络安全性、性能和透明度的优势互补。复合型防火墙,可以检查整个数据包的内容,并根据需要建立状态连接表,网络层和应用层的保护强,会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等,突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及服务技术是未来防火墙的趋势。
2.1.4核检测防火墙
核检测防火墙,检查整个数据包,当数据包到达防火墙时,建立连接状态,重写会话,检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强,而且前后报文有联系,上下文相关。
2.2按实现方式分类
硬件防火墙,是指采用ASIC芯片设计实现的复杂指令专用系统,它的指令、操作系统、过滤软件都采用定制的方式,一般采取纯硬件设计即嵌入式或者固化计算机的方式,而固化计算机的方式是当前硬件防火墙的主流技术,通常将专用的Linux操作系统和特殊设计的计算机硬件相结合,从而达到内外网数据过滤的目的。
软件防火墙,一般安装在隔离内外网的主机或服务器上,一般来说,这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙,俗话叫“个人防火墙”,因为它是装在个人主机上的,只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。
3防火墙的主要功能
防火墙能提高网络、主机(主机群)以及应用系统的安全性,它主要有以下功能:
(1)网络安全的屏障。对网络存取和访问进行监控和审计,提供内部网络的安全性,过滤不安全的服务,对网络攻击进行检测和报警,比如说,它可以禁止NFS(网络文件系统)服务。把防火墙作为网络通信的阻塞点,为网络安全起到了把关的作用,所以,我们就可以把网络安全防范集中在这个阻塞点上。
(2)强化网络安全策略。通过集中的安全管理,在防火墙上可以实现安全技术应用(加密、身份鉴别与认证、口令密码等),过滤掉不安全的服务和非法用户。
(3)防止内部信息外泄。对于内部网络,可以根据不同的服务设置不同的安全级别,从而实现内部重点网段的隔离与保护,限制敏感的安全问题影响整个网络。
(4)限制暴露用户。封堵禁止的访问行为,有效记录Internet上的活动,管理进出网络的访问行为。
(5)实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。
虽然,防火墙能对网络威胁起到极好的防范作用,但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等,防火墙也是无能为力的。
4防火墙的设计策略
防火墙的设计策略是基于特定的防火墙,通常有两种基本的设计策略:限制策略,拒绝任何服务除非被明确允许;宽松策略,接受任何服务除非被明确禁止。第一种相对保守,也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。
在配置防火墙时,必须要遵循一定的原则,首要的原则是安全且实用。从这个角度,在防火墙的配置过程需要坚持3个原则:①简单实用,越简单,越容易理解和使用,越不容易出错,管理也越可靠、简便;②全面深入,只有采用全面的、多层次的防御战略体系才能实现真正的系统安全,系统地对待整个网络的安全防护体系,使各方面的配置相互加强,进而从深层次上保护整个系统;③内外兼顾,每种产品都有它的主要功能定位,在配置时要针对具体的网络环境进行配置,不必对每一种功能都进行配置。
在站点上配置安全策略,防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型,可以提供软件,也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务,如过滤垃圾邮件、限制外部访问,只允许他们访问本地web服务器的一些信息等。
在大型网络系统中,可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。
防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。
5防火墙的选型和实施
5.1选型原则
防火墙产品众多,如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术,都有自己的定位,让用户眼花缭乱,难以选择。一般来说,防火墙选型时的基本原则有以下几点:
安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此,选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。
明确投资范围和标准,以此来衡量防火墙的性价比。
在相同条件下,比较不同防火墙的各项指标和参数。
综合考虑安全管理人员的经验、能力和技术素质,考查防火墙产品的管理和维护的手段与方法。
根据实际应用的需求,了解防火墙附加功能的定义和日常系统的维护手段与策略。
5.2防火墙的测试与管理
为更好地了解防火墙产品的特点,选择适合自己应用需求的产品,必须先对防火墙产品进行测试,测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中,管理是网络安全的关键,功能是防火墙应用的基础,性能保证了网络的传输效率,而抗攻击能力是网络安全的保证。
选择安装适合的防火墙后,还要对防火墙进行管理与维护,目的是为了让防火墙正常发挥作用,并延长使用寿命。这要求管理维护人员必须接受一定的专业培训,且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测,及时发现问题,堵上漏洞;保证通信线路畅通,当发生网络安全问题时能及时报警,并及时处理;与厂家保持联系,及时获得防火墙有关的升级与维护信息。
6结语
防火墙虽是一项比较成熟的产品,但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能,是网络安全人员面临的一个艰巨课题。
参考文献:
[1]阎慧.防火墙原理与技术[M].北京:机械工业出版社,2004.
[2]杨文虎.网络安全技术与实训[M].北京:人民邮电出版社,2011.
篇3
[关键词]计算机 信息安全技术 相关概念 防护内容 防护措施
中图分类号:TP393.0 文献标识码:A 文章编号:1009-914X(2016)28-0194-01
1.计算机信息安全的相关概念
计算机网络安全指的是现代计算机网络内部的安全环境维护,卞要保护的是计算机网络系统中的硬盘、软件中的数据资源,在没有因为意外或恶意等情况下未遭遇人为型破坏和更改相关重要的数据信息,从而保障计算机网络服务的正常运作。
2.计算机信息安全技术防护的内容
计算机信息安全防护,强化计算机信息安全管理的防护工作和防护内容较多。从现阶段计拿机信息安全防护的实际情况来看,强化对计算机安全信息的管理可以从计算机安全技术入手,对计算机系统的安全信息存在的漏洞进行及时的检测、修补和分析结合检测分析得到的结果制定有效的防护方案建立完善的安全系统体系。其中安全系统体系包括安全防火墙、计算机网络的杀毒软件、入侵监测扫描系统等信息安全防护体系。从计算机信息安全管理方面来看,需要建立健全的信息安全制度,栏窀据信息安全管理制度的相关规定对计算机信息进行防护,加强管理人员的安全防护意识。此外,计算机信息安全防护还需要充分考虑计算机安全数据资源的合法使用、安全稳定运作数据资料存储和传输的完整性、可控性、机密性和可用性等。
3.计算机信息安全防护中存在的问题
随着计算机信息化技术的进一步发展,信息安全已经引起人们的高度关注。现阶段计算机安全信息防护还存在诸多问题。计算机网络系统的安全体系不够完善,因此要保障计算机信息安全必须要配置一些安全信息设备,但是目前的安全技术水平偏低,安全信息质量得不到保障。此外计算机系统内部的应急措施的构建机制不够健全,安全制度不完善,满足不了信息安全的防护标准要求。近几年来,我国用人单位对计算机催息安全管理工作越来越重视,但是有些单位的计算机安全信息防护意识薄弱,负责信息安全防护的管理人员业务素质偏低,计算机信息安全技术防护水平偏低。同时,一些企业对管理人员的信息安全培训力度不足,对安全信息防护的设备费用的投入力度不足。因此,现阶段我国企业的计算机信息安全防护水平与社会服务的程度偏低。
4.计算机信息安全防护的措施
4.1 注计算机病毒的防护
计算机网络之间的病毒传播速度较快。现代计算机网络防护病毒必须要在互联网环境下,对计算机的操作系统采取科学合理的防毒措施,有效防护计算机信息安全。现阶段,从计算机信息行业来看,针对不同的操作系统,所采用的计算机防毒软件的具体功能也会不一样,但是能够加强计算机用户的信息安全防护利用安全扫描技术、访问控制技术、信息过滤技术,制止恶性攻击,加强计算机系统的安全性能,强化对计算机信息安全的防护。
4.2 信息安全技术
计算机信息安全技术主要包括实时的扫描技术、病毒情况研究报告技术、检测技术、检验保护技术、防火墙、计算机信息安全管理技术等。企业需要建立完善的信息安全管理和防护制度,提高系统管理工作人员人员技术水平和职业道德素质。对重要的机密信息进行严格的开机查毒,及时地备份重要数据,对网站访问进行肖致地控制,实现信息安全的防范和保护对数据库进行备份和咬复实现防护和管理数据的完整性。利用数据流加密技术、公钥密码体制、单钥密码体制等密码技术刘信息进行安全管理,保护信息的安全。切断传播途径,对感染的计算机进行彻底性查毒,不使用来路不明的程序、软盘等,不随意打开可疑的邮件等。提高计算机网络的抗病毒能力。在计算机上配置病毒防火墙,对计算机网络文件进行及时地检测和扫描。利用防病毒卡,对网络文件访问权限进行设置。
4.3 提高信息安全管理人员的技术防护水平
计算机信息安全不仅需要从技术上进行信息安全防范措施,同时也要采取有效的管理措施,贯彻落实计算机信息安全防护反律法规制度,提高计算机信息的安全性。对计算机管理人员进行培训;建立完善的计算机信息安全管理机制,改进计算机信息安全管理能力,加强计算机信息安全的立法和执法力度,强化计算机信息管理的道德规范,提高管理人员对安全信息的防护意识;明确计算机系统管理人员的工作职责。此外,企业需要增加对计算机安全信息防护设备的投入费用,整体提高我国社会部门的计算机信息安全防护与社会服务水平。
5.结束语
综合上述,计算机信息安全防护过程中存在着;信息安全管理体系不够健全、信息安全制度不完善、负责信息安全防护的管理人员业务素质偏低等问题,这就要求企业从计算机病毒的防护、信息安全技术、信息安全管理人员的技术防护水平这三方面入手,全面提高计算机信息安全技术水平和管理人员对计算机信息的安全防护能力。
参考文献
篇4
关键词公钥密码体制RSADSAECDSASHA-1数字签名身份认证
1引言
公开密钥密码体制的概念是1976年由美国密码学专家狄匪(Diffie)和赫尔曼(Hellman)[1]提出的,有两个重要的原则:第一,要求在加密算法和公钥都公开的前提下,其加密的密文必须是安全的;第二,要求所有加密的人和掌握私人秘密密钥的解密人,他们的计算或处理都应比较简单,但对其他不掌握秘密密钥的人,破译应是极困难的。随着计算机网络的发展,信息保密性要求的日益提高,公钥密码算法体现出了对称密钥加密算法不可替代的优越性。近年来,公钥密码加密体制和PKI、数字签名、电子商务等技术相结合,保证网上数据传输的机密性、完整性、有效性、不可否认性,在网络安全及信息安全方面发挥了巨大的作用。本文详细介绍了公钥密码体制常用的算法及其所支持的服务。
2公钥密码算法
公钥密码算法中的密钥依性质划分,可分为公钥和私钥两种。用户或系统产生一对密钥,将其中的一个公开,称为公钥;另一个自己保留,称为私钥。任何获悉用户公钥的人都可用用户的公钥对信息进行加密与用户实现安全信息交互。由于公钥与私钥之间存在的依存关系,只有用户本身才能解密该信息,任何未受授权用户甚至信息的发送者都无法将此信息解密。在近代公钥密码系统的研究中,其安全性都是基于难解的可计算问题的。如:
(1)大数分解问题;(2)计算有限域的离散对数问题;(3)平方剩余问题;(4)椭圆曲线的对数问题等。
基于这些问题,于是就有了各种公钥密码体制。关于公钥密码有众多的研究,主要集中在以下的几个方面:
(1)RSA公钥体制的研究;(2)椭圆曲线密码体制的研究;(3)各种公钥密码体制的研究;(4)数字签名研究。
公钥加密体制具有以下优点:
(1)密钥分配简单;(2)密钥的保存量少;(3)可以满足互不相识的人之间进行私人谈话时的保密性要求;(4)可以完成数字签名和数字鉴别。
2.1RSA算法
RSA算法[2]是RonRivest,AdiShamir和LenAdleman在1978年提出的,是一种公认十分安全的公钥密码算法。RSA算法是目前网络上进行保密通信和数字签名的最有效安全算法。RSA算法的安全性基于数论中大素数分解的困难性。所以,RSA需采用足够大的整数。因子分解越困难,密码就越难以破译,加密强度就越高。其公开密钥和私人密钥是一对大素数的函数。从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积。因式分解理论的研究现状表明:所使用的RSA密钥至少需要1024比特,才能保证有足够的中长期安全。
为了产生两个密钥,选取两个大素数p和q。为了获得最大程度的安全性,两数的长度一样。计算乘积:N=pq,然后随机选取加密密钥e,使e和(p-1)(q-1)互素。最后用欧几里得扩展算法计算解密密钥d,以满足:ed=1mod(p-1)(q-1)则d=e-1mod(p-1)(q-1)注意:d和n也互素。e和n是公开密钥,d是私人密钥。两个素数p和q不再需要,可以舍弃,但绝不能泄漏。
加密消息m时,首先将它分成比n份小的数据分组。加密后的密文c,将由相同长度的分组ci组成。加密公式可表示为:ci=mie×(modn)解密消息时,取每一个加密后的分组ci并计算:mi=cdi×(modn)。
由于:cdi=(mei)d=medi=mik(p-1)(q-1) 1=mi×mik(p-1)(q-1)=mi×1=mi(modn)这个公式能恢复出全部明文。公开密钥n:两个素数p和q的乘积(p和q必须保密);e:与(p-1)(q-1)互素。私人密钥d:与n互素。加密c=me×(modn);解密m=cd×(modn)。
2.2ECDSA算法
椭圆曲线数字签名算法(ECDSA)[5]设计的数学原理是基于椭圆曲线离散对数问题的难解性。EC点上离散对数的研究现状表明:所使用的ECDSA密钥至少需要192比特,才能保证有足够的中长期安全。椭圆曲线是指由韦尔斯特拉斯(Weierstrass)方程:
y2 a1xy a3y=x3 a2x2 a4x a6
所确定的平面曲线。定义F为一个域,其中ai∈F,i=1,2,…6。F可为有理解域、实数域、复数域,也可为有限域GF(q)。在椭圆曲线密码体制中,F一般为有限域。由有限域椭圆曲线上的所有点外加无穷远点组成的集合,连同按照“弦切法”所定义的加法运算构成一个有限Abel群。在此有限Abel群上,定义标量乘法(ScalarMultiplication)为:mP=P P …P(m个P相加);若mP=Q,定义:m=logpQ为椭圆曲线点群上的离散对数问题,此问题无多项式时间内的求解算法。ECDSA的设计正是基于这一问题的难解性。
在此,我们讨论定义在有限域GF(2m)上的椭圆曲线数字签名算法。今定义椭圆曲线方程为:y2 xy=x3 ax2 ba,b∈GF(2m);则椭圆曲线的域参数为D(m,f(x),a,b,P,n)
其中,f(x)为GF(2m)的多项式基表示的不可约多项式。P表示椭圆曲线上的一个基点,n为素数且为点G的阶。
ECDSA算法密钥对的生成过程为:在区间[1,n-1]上选择一个随机数d,计算Q=dP,则Q为公钥,d为私钥。
ECDSA算法的签名生成过程可简述如下:若签名的消息为e,则在区间[1,n-1]上选择一个随机数k,计算kG=(xl,y1);r=xlmodn;s=k-1(e dr)modn。如果r或s为零,则重新计算,否则生成的签名信息为(r,s)。
ECDSA算法的签名验证过程可简述如下:若公钥为Q,签名的消息为e计算:w=s-1modn;u1=ewmodn;u2=rwmodn;X=u1P u2Q=(xl,y1)。如果X为无穷远点,则拒绝签名,否则计算:v=xlmodn;如果v=r,则接受签名,否则拒绝签名。
2.3SHA-1算法
SHA-1杂凑算法[4]起初是针对DSA算法而设计的,其设计原理与RonRivest提出的MD2,MD4,尤其是MD5杂凑函数的设计原理类似。当输入长度<264bit的消息时,输出160bit的摘要,其算法分为5步:
(1)填充消息使其长度为512的倍数减去64,填充的方法是添一个“1”在消息后,然后添加“0”直至达到要求的长度,要求至少1位,至多512位填充位;
(2)完成第1步后,在新得到的消息后附加上64bit填充前的消息长度值;
(3)初始化缓存,SHA-1用5字的缓存,每个字均是32bit;
(4)进入消息处理主循环,一次循环处理512bit,主循环有4轮,每轮20次操作;
(5)循环结束后,得到的输出值即为所求。
3公钥密码的服务
3.1数据加密
一般说来,公钥密码中的计算是很慢的,以至于在很多情况下是不可行的。可以用一个两步过程来代替。
(1)用随机生成的对称密钥来加密数据。
(2)用授权接收者的公钥来加密这个对称密钥。
当授权接收者收到加过密的数据后,也采取一个类似的两步过程
:(1)授权接收者用自己的私钥来解出对称密钥。
(2)接着用对称密钥进行解密获得原始数据。
3.2数字签名
数字签名在公钥密码体制下是很容易获得的一种服务,但在对称密码体制下很难获得。数字签名从根本上说是依靠密钥对的概念。发送方必须拥有一个只有自己知道的私钥,这样当他签名一些数据时,这些数据唯一而又明确地和他联系在一起,同时,应该有一个或更多实体都知道的公钥,以便大家验证,并确认签名是发送方的。因此,可以把数字签名操作看作是在数据上的私钥操作。整个签名操作就是一个两步过程:
(1)签名者通过杂凑函数把数据变成固定大小。
(2)签名者把杂凑后的结果用于私钥操作。
验证操作也是一个类似的两步过程:
(1)验证者通过杂凑函数把数据变成固定大小。
(2)验证者检查杂凑后的结果,传输来的签名,如果传输来的签名用公钥解密后的结果和验证者计算的杂凑结果相匹配,签名就被验证,否则,验证失败。
从而,数字签名不仅提供了数据起源认证服务,还有数据完整性及不可否认性的服务。
3.3密钥的建立
公钥密码体制也可以用来实现两个实体间的密钥建立的功能(即密钥交换),也就是说,一个协议用到公钥和私钥,协议的结果是两个实体共享一个对称密钥,而这个密钥不为其他的实体所知。密钥的建立可以通过以下两种途径:
(1)密钥传递:一个实体产生一个对称密钥送给其他的实体,公钥密码体制可以用来保证传送的机密性。如发送方用接收方的公钥来加密对称密钥,使得只有接收方才能得到。
(2)密钥协定:两个实体共同来完成对称密钥的产生,公钥密码体制把这个过程变得相对简单。如Diffie-Hellman[6]体制是第一个利用公钥密码的特点来选取双方共同约定的对称密码体制中密钥的方案。
其具体方法如下:假设Alice和Bob两个用户打算选取一个高阶有限域Zp中某一个数作为会话密钥。设P是一个质数,g是P的一个本原元:0
(1)Alice随机选取整数a(1
(2)Bob随机选取整数b(1(3)Alice将Qa传送给Bob,而Bob将Qb传送Alice;
(4)Alice收到Qb后,计算K=QbamodP∈Zp;Bob收到Qa后,计算K=QabmodP∈Zp;
则K∈Zp就可作为Alice和Bob所使用对称密码体制中的密钥。
3.4身份标识和认证
在对称密码环境下,通信双方的身份认证是十分困难的,这就成了推动公钥密码体制发展的巨大动力之一。通信或交易时,应该保证信息的接收方和发送方能够被唯一地标识出来,让通信双方都能够知道信息从哪里来或者到哪里去。我们也将这种安全保障简称为真实性。按照被验证对象可以将真实性问题分成三种,一种是设备真实性,其二是人的真实性,其三是信息的真实性。通过主机地址,主机名称,拥有者的口令等都在一定的程度上保证了对设备的验证,但都不能很好地满足安全的要求。非对称算法或数字签名是人员、设备或信息验证的一种好方法。原理上说,没有人能够假冒数字签名。基于公钥体制的身份认证主要利用数字签名和hash函数实现。设A对信息M的hash值H(M)的签名为SigSA(H(M)),其中SA为A的私钥.A将M及SigSA(H(M))发送给用户B。B通过A的公钥PA进行解密:
PA(SigSA(H(M))=M。确认信息是由A所发出的并且计算hash值还可对信息M的完整性进行鉴别。在信息需要保密的情况下,A和B应通过密钥分配中心(KDC)获得一个会话密钥KAB,A将信息签名和加密后再传送给B,由于只有A和B拥有KAB,因此B同样可以确信信息来源的可靠性和完整性。
对于那些需要使用密钥对中的公钥来获得基本安全服务的实体来说,公钥总是能很方便地得到。然而,没有完整性保护措施就分发公钥会削弱这些安全服务。需要有一种数据完整性机制来保证公钥及其相关信息不被篡改,即一种把公钥和它的声称者绑定的机制。公私证书可以满足上述要求,使得证书使用者能得到以下保证:
(1)公钥(以及其他相关信息)的完整性得到保障。
(2)公钥(以及其他相关信息)以一种可信的方式和它的声称者绑定在一起。
公私证书机制很好的解决了通信双方相互确定身份的问题。
4结束语
公钥密码体制是非常重要的一种技术,它实现了数字签名的概念,提供了对称密钥协定的切实可行的机制,使安全通信成为可能。密钥对的思想也实现了其他的服务和协议,包括:机密性、数据完整性、安全伪随机数发生器和零知识证明等。目前,公钥密码的重点研究方向,理论方面[7]:
(1)用于设计公钥密码的新的数学模型和陷门单向函数的研究;
(2)公钥密码的安全性评估问题,特别是椭圆曲线公钥密码的安全性评估问题。
应用方面:
(1)针对实际应用环境的快速实现的公钥密码设计;
(2)公钥密码在当今热点技术如网络安全、电子商务、PKI、信息及身份认证等中的应用,这方面还将是持续研究热点。
参考文献
[1]Diffie,W.andM.Hellman.NewdirectionsinCryptography.IEEETransactionsonInformationTheory22(1976):644-654.
[2]RivestR,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1976,21(2):120-126.
[3]谭凯军,诸鸿文,顾尚杰.基于数字签名方案DSS/DSA的几种应用方案[J].计算机研究与发展.1999,36(5):632-638.
[4]吴世忠,祝世雄等.应用密码学-协议、算法与C源程序[M].机械工业出版社,20__.
[5]MJBRobshaw,YiqunLisaYin.EllipticCurveCryptosystems.AnRSAlaboratoriesTechnicalNote,Revised,1997:URL-.
[6]庞南,戴英侠,李镇江.因特网密钥交换协议研究[J].计算机工程,20__,28(5):67-70.
[7]冯登国.国内外密码学研究现状及发展趋势[J].通信学报,20__,23(5):18-27.
篇5
关键词:自组网;移动IP;接入分析
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)05-11267-02
1 引言
自组网络是分布式系统,无论是合法的网络用户还是恶意的入侵节点都可以接入无线信道,且所有节点既是终端也负责数据的转发,没有特定的可以部署鉴权的安全设备。因此,无线网络融合的安全方案首先要从安全性最差的自组网络做起,网间的安全方案也要特别考虑到无特定安全设备的自组网。自组网络的特殊结构决定了它只能提供极差的安全性能,并且极易受到主动和被动的攻击。早期对自组网的研究重点主要放在了无线信道接入和多跳路由上,因此假设了一个友好且合作的环境。现在由于要在一个潜在的敌对环境里为移动节点间提供受到保护的通信,安全问题已经成为了倍受关注的焦点。由于移动自组网络(MANET)独特的特性给安全方案的设计带来一系列新的问题,如开放的网络结构、共享的无线资源、严格的资源限制和高度动态的网络拓扑。因此,现有的有线网络的安全解决方案并不能直接应用到MANET中。
由于自组网络的安全问题一直未被深入研究,它的安全问题十分严重,已经成为实现自组网的一个巨大障碍。自组网主要存在以下的安全性问题:无线链路使自组网络容易受到链路层的攻击,包括被动窃听和主动假冒、信息重放和信息破坏;节点在敌方环境(如战场)漫游时缺乏物理保护,使网络容易受到已经泄密的内部节点(而不仅仅是外部节点)的攻击;分布式的网络体系结构使自组网络的拓扑和成员经常改变,节点间的信任关系经常变化,与移动IP相比,自组网络没有值得信任的第三方的证书的帮助,在节点间建立信任关系成为自组网络安全的中心问题;通常自组网络包含成百上千个节点,需要采用具有扩展性的安全机制。
2 自组网络和移动IP技术概述
2.1 自组网络概述
自组网是由一组带有无线收发装置的移动节点组成,网络中所有节点的地位平等,无需设置任何的中心控制节点,也被称为多跳无线网(Multihop Wireless Network)、无固定设施的网络(Infrastructureless Network),具有无中心、自组织、多跳路由、动态拓扑等特点。自组网络通过移动节点间的相互协作来进行网络互联,而不依赖于任何固定的网络基础设施,每个移动节点都具有报文转发能力;当一个节点需要和另一个节点通信时,它或使用直接的无线链路,或通过到目的节点的多个中间节点的转发,即经过多跳路由,从而实现网络的自动组织和运行。自组网络路由协议通常被分为两类:先验式(proactive)和反应式(reactive)。先验式协议通过周期性路由控制信息的交换,每个节点始终维护到网络中所有节点的路由,如DSDV和OLSR;反应式协议在节点需要时才发现路由,并且仅维护活动路由,如AODV和DSR。但是,它所使用的路由算法大多数只适用于单个自组网络,很少涉及如何实现自组网络与Internet的互联,这些因素使它难以大范围与互联网通信。
2.2 移动IP概述
移动 IP 是用于移动主机移动性管理的一组网络层协议,其目的是使移动中的主机在保持原IP地址不变的条件下能保持通信,类似于移动电话系统中的漫游,可适用于各种不同类型的移动通信系统。它定义了四个功能实体:移动主机(mobile host)、通信主机(corresponding host)、家乡(home agent)和外地(foreign agent)。移动主机是一个能在子网间移动的主机,当Internet 上的通信主机向移动主机发送IP数据包时,数据包将交付到移动主机的家乡网络,若移动主机离开了家乡网络,数据包将通过隧道(tunnel)机制交付到外地网络,外地负责拆封数据包并转发到移动主机。因此,移动IP使节点在不同的子网间切换时仍可保持正在进行的通信,它所提供的IP路由机制,使移动节点能够以一个永久的IP地址连接到任何子网中,这种扩展性使移动IP技术能在整个Internet上应用。
3 自组网和移动IP结合的体系结构及工作过程
近几年,许多国内外学者从事自组网络和移动IP集成方面的研究,并且提出了不同的解决方案。
3.1 体系结构
无线移动网络由多个自组网组成,每个自组网相当于一个子网,它们都通过相应的网关(即基站)接入Internet,每个网关需配置两块网卡:一块连接有线网络,另一块连接无线网络,其职责是在自组网和Internet之间转发/中继数据包;为支持移动IP,每一个网关还同时扮演外地的角色,周期性地广播公告消息,同时运行自组网路由协议、移动IP协议和Internet路由协议,保证自组网内的节点利用自组网路由协议来创建和维持路由,并通过移动IP实现移动节点的移动管理。由于移动节点与网关之间可以进行多跳通信,在不添加任何固定设施的情况下,只要有一个支持移动IP的网关节点能够访问Internet,网络就能有效地访问Internet。
3.2 工作过程
在上述无线移动网络中,通过移动IP实现自组网接入Internet的几个主要过程简述如下:
3.2.1 网关发现
网关发现是 自组网与 Internet连接的一个关键技术,通过合适的网关发现方法可以同时解决地址分配及路由等问题。当自组网的移动节点要向其它节点发送数据包时,首先要判断目的节点是否在本网内,这时节点根据路由协议发起路由查找,如果找到就判定目的节点在网内,并使用自组网络路由协议进行通信,如果找不到就判断目的节点在Internet中,就需要通过网关进行外部访问。通常,网关节点通过网关通告算法周期性地在本自组网内网关信息通告,以表明它是当前可用的Internet接入网关,当自组网中的节点想要发送数据到 Internet节点时,它首先必须将数据发送到网关。对于自组网节点,每当它收到(以直接或间接方式)一个网关通告消息之后,就会立即记录下该网关的信息(包括其IP地址、路由信息以及该信息的有效期(TTL)等),当需要同本自组网之外的节点通信时,便向选择的网关发送接入请求消息,网关决定是否接受该请求,并发送Accept/Reject消息通知该节点。为了避免因多个自组网重叠而造成网关的服务范围变得不清晰,可设置一个参数N来限定网关的服务范围,任何在网关N跳范围内的移动主机可获得网关的服务。
3.2.2 协议转换
网关同时运行自组网路由协议、移动IP协议和Internet路由协议, 为了确保采用不同的协议自组网与 Internet进行通信,网关实现了自组网协议和Internet中的TCP/IP协议的转换。
3.2.3 地址转换
移动节点将数据包发送到网关节点后,网关对发往目的节点的数据包进行封装,通过网络地址转换(NAT)将数据包的源地址改为自己的地址,并将外层报头的目的IP地址设为外地的IP地址,从而将数据包转换为由本地网关发往外地(即目标节点的家乡),在网关节点上,维持一个网络地址转换(NAT)表用来记录通过本网关访问Internet的节点,以及它们各自的网络地址的映射关系。
3.2.4 路由选择
在此体系结构中,路由选择分自组网内路由选择和网间路由选择。自组网内节点之间通信时,路由选择采用自组网路由协议,如AODV路由协议。如果通信的节点中有一个在Internet中,通信节点就通过自组网路由协议获得网关的路由,将数据发往网关。一旦数据包经过网关进入Internet,则依据标准IP路由协议进行网间路由,将数据包发送到外地,外地查询移动节点注册表,将数据转发往目标移动节点,若外地在移动节点注册表中没有直接查询到目标移动节点,则要进行外地切换或网关切换。
3.2.5 切换
当目标主机从一个自组网移动进入了另一个自组网,数据包转发到其后,由移动IP负责在自组网间转发数据包,实现原到新的切换,原对数据进行封装,采用移动IP路由协议,利用隧道机制将数据包转发至新,最后新将数据包直接发送到目的移动节点。
3.3 性能分析
总结起来该体系结构具有如下特点:(1)自组网内部的通讯可以直接进行。设想在一个校园内部,如果用户的手机之间可以直接或以多跳的方式通信,而不经过公用的基站,就可以省去通过公用基站的费用;(2)增强了无线接入网的可靠性和扩展性。移动节点可能移动到基站覆盖范围以外,也可能因某些无线传输现象(如衰减、多路径干扰等)或是障碍物等因素而无法直接访问基站,这时节点仍可通过多跳路由的方式间接地访问基站;(3)微观移动对家乡来说是透明的。当移动节点在自组网内移动时,从网关到移动节点的路由是自动改变的,家乡无须更新位置信息。
4 结束语
目前,随着移动通信技术逐渐普及,各种便携式终端大量涌现,底层通信技术层出不穷,越来越多的移动应用正逐渐被人们所发现和熟悉,这都极大地推进了无线移动网络的应用和推广。通过移动IP和自组网络的结合,在不添加任何固定设施的情况下,传统的接入点可以直接利用自组网的灵活性并扩展它们的覆盖范围,从而提高了无线移动网络的工作效率和服务质量,在家庭、办公、工业、商业、医疗、军事等多种领域应用前景广阔。
参考文献:
[1]Jonsson U, Fredrik A, Tony L, et al. MIPMANET-Mobile IP for mobile Ad Hoc networks[A].Proc of Workshop on Mobile Ad Hoc Networking & Computing [C]. Boston:[s.n. ], 2000:75-85.
[2]James D S. Mobile IP: the internet unplugged [M].NJ: Prentice Hall, 1998.
[3]姚尹雄,王豪行.利用中心实现移动Ad-hoc网络接入的方法[J].上海交通大学学报,2002,36(5):665-669.
[4]Gerla M, Tsai J T C. Multicluster mobile multimedia radio network[J].ACM Wireless Networks,1995, 1(3): 255-266.
篇6
论文摘要:简述了建立企业信息化水平评价体系的意义及其应当遵循的原则。提出了物流企业信息化水平评估指标体系,并对各个指标进行相关分析。
0前言
从20世纪90年代开始,传统物流开始向现代物流转变。其显著的标志是它充分运用先进的信息技术,打破了运输环节与生产环节之间界限,通过供应链管理建立起企业供、产、销、储、运全过程的计划和控制,从整体上实现最优化的生产体系设计、企业运营和管理,实现物流、资金流、信息流之间的有机统一。通常我们理解物流企业信息化是指企业以业务流程重组为基础,广泛使用现代物流信息技术,控制和集成企业物流活动的所有信息,实现企业内外信息资源共享和有效利用,以提高企业的经济效益,加强核心竞争力。物流信息化意味着整个物流作业环节从运输、仓储、装卸、搬运、包装、流通加工到配送全面使用现代信息技术,实现企业内外信息资源的优化配置和集成化管理。目前现代物流信息技术涵盖广泛的内容,主要包括计算机技术、通信技术、电子数据交换技术、地理信息系统、货物识别技术等。正是由于这些基本的信息技术构成了现代物流信息化的基础。当前,各级政府职能部门和企业都在积极建设物流信息平台。其目的就是为了能够利用物流信息平台来协调和科学管理社会资源,充分利用社会资源为社会提供更好的服务。企业则是为了加强其自身的经济活动,提高物流效率,不断实现信息价值增值等方面的客观推动力。
1建立企业信息化水平评价体系的意义
当前,企业决策层都对自身的信息化建设高度重视,投人相当大的人力、物力和财力来发展信息系统。一个好的企业物流信息系统应该与企业自身的生产技术水平相匹配。并不是所有先进的技术都适应一个企业的发展,不能简单认为拥有了先进的信息设备的企业就是一个信息化水平高度发达的企业。只有采用合理科学的信息系统才可能发挥其应该发挥的作用,否则可能产生相反的作用,使企业背上沉重的负担,束缚了企业所应有的灵活机动的市场敏锐性。建立以企业管理信息化、企业业务需求信息化和信息系统本身安全性、可靠性评价指标为基础的评价体系,其目的就是使得企业能够以业务解决方案为核心,更系统地、更有目地性建设和更好地发展企业物流信息系统。
2建立评价企业信息化水平评价体系的原则
企业信息系统的建设其最终目的是为了满足物流企业生产水平发展的需要。而企业物流信息化水平评价体系建立,其目的是解决当前物流信息系统投资建设管理过程中的概念化、随意性问题,因此既要遵循一般信息系统建设管理等有很多一般性的原则,如安全性、先进性、兼容性等,更要体现一些物流领域的特点,因此要遵循如下原则。
2.1科学客观性原则
指标的选取应具有科学的理论根据。首先,要与当前社会客观生产技术水平相匹配。其次,评价指标体系应能准确地反映客观实际情况,有利于企业之间的横向比较,发现自身优势和不足之处,挖掘竞争潜力。物流信息化水平评价指标应成为物流企业完善物流信息系统、解决企业发展所面临问题的有力工具。
2.2系统性与整体性原则
企业信息化水平是多种因素综合的结果,评价指标体系应该全面反映企业物流信息系统的情况,既要反映系统的内部结构与功能,又要正确评估系统与外部环境的关联。因此,系统的可兼容性和扩展性也是评价指标的一个衡量标准。
2.3先进性原则
物流信息系统不仅要满足当前企业发展需求,同时还要求与企业未来发展相适应。一个能够与未来发展相适应的物流信息系统,就要求把握好行业和技术未来发展方向,积极发展现代物流,从供应链的高处整合企业和社会资源,以增强企业的综合竞争能力。
2.4定性与定量相结合的原则
在综合评价企业物流信息化水平时应综合考虑影响评估水平的定性和定量指标。对定性指标要明确其含义,并按照某种标准制定界限,使其能恰如其分地反映指标的性质。定量指标要有清晰的概念和根据标准确切的赋值和计算。
3物流企业信息化水平评价指标体系
根据物流企业信息化建设的需求,将评估系统分为三个体系和四级评估层次。具体结构见图1。我们将整体评价体系分为三个部分:企业管理信息系统评价体系、企业业务信息评价体系以及与系统本身相关的安全性能评价体系。主要是依据当前企业管理和发展所需要的信息系统本身功能所划分的,同时兼顾系统本身的安全性和可靠性的角度出发,因此将对系统安全的评估纳人企业信息化评估体系中来。
物流信息系统是实现企业管理网络化、自动化、智能化和标准化的一个集成系统。我们所选择企业资源计划(ERP)信息系统评价项目中主要突出的是物流企业在实现自己领域中区别其他企业ERP方面的管理体系,这包括指标U1, U2和U3都是物流企业的业务特点。其中由于物流企业多元化和多种业务关系,针对不同的物流企业,ERP项目的评价指标可以根据用户需求进行删减。例如,针对第三方物流企业可以只考虑U2和U3评估指标。对于企业的发展具支持作用的支持信息系统由于企业的性质不同可以简单定性为有无。关于先进的企业决策支持系统目前还没有确切的定义,但是通过分析当前的企业业务需求而产生企业发展所需要的支持策略也是企业信息化建设的一个重点发展对象。
业务信息系统评价系统是对评估物流企业日常运行所必须的信息系统的一个衡量准则。电子商务评估体系是对企业在电子交易平台上所具有的订单处理、帐务结算以及与工商税务等政府机关所建立的网络办公系统的评估项目。网络资源信息系统评估指标是针对企业在互联网上所能获取的资源和能力的评估。同时,作为物流企业需要对流动的物资进行有效监控,因此建立了的电子货物跟踪系统,包括与智能交通相对应GIS , GPS、射频技术系统、运载货物工具的信息系统,以及条码技术和射频技术为主,能够快速准确识别货物的识别系统的评估指标。
系统安全本身是对所有信息系统建设的一个内在要求。评估体系根据信息系统中数据处理、系统兼容性及其网络安全性等方面考虑划分成S6, S7,S8三个子体系。目前国际组织和我们国家对数据安全和认证,以及通信安全等方面都要有相对完善的准则,例如《信息技术软件产品评价质量特性及其使用指南》、《信息技术一软件包质量要求和测试》和《工具检测用软件评定准则》等,这些方法和准则在制定具体标准的时候都应该考虑到其中。
4评估方法
将物流企业信息化水平作为一项指标列人物流企业等级评价体系中去,而物流企业等级评价系统本身就是一项复杂的系统工程,况且对物流企业信息化水平评价模型研究甚少。评价中包含大量的不确定性因素和模糊性指标,这是因为评价指标的模糊性和难以量化性等客观原因,也有评价者自身的主观原因,例如性格、偏好、价值观念和认知程度等主观原因。为此,我们将模糊集合论的方法进行评估处理。图2是专家评审系统模型。
专家在评审的时候通过网络将评审选项送到数据处理中心去。同时,数据处理中心也接受到由系统安全检测设备对信息系统的评估结果后进行统计计算。针对不同时期的评估对评估项目的加权值是不一样的。例如当前根据现在信息技术发展情况我们把PG ={G1,G2,G3},Pg,为第一层加权值,同样还有Ps和Pu作为第二层和第三层加权值,其中对于Pu如果为定性衡量的值为{0, 1}如果为定量衡量的话取值在「0, 1]区间之间。同样建立专家评审结果的模糊评价矩阵:
其中rij表示在第i位专家在第j选项投票结果。将PxH就得到我们需要的评价结果。最后对处理结果进行归一化处理成为我们所需要的结果。目前社会上将物流企业评估等级划分为:AA A_AA级、AAAA级、AAA级、从级、A级五个等级,所以在进行数据处理的时候要把划分成五六个区间,最终计算结果都在这几个区间内。最后经过专家评审组的认可就完成最终的评定。
- 上一篇:如何做好网络安全的防护
- 下一篇:作风建设的意义及重要性