云计算网络安全培训范文

时间:2023-12-25 17:52:36

导语:如何才能写好一篇云计算网络安全培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

云计算网络安全培训

篇1

关键词:计算机;网络;安全;结构;技术;完善

0 引言

网络安全技术指致力于解决诸如如何有效进行介入控制以及如何保证数据传输的安全性的技术手段,在网络技术高速发展的今天,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究意义重大,对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好地为广大用户服务。

1 计算机网络安全体系结构

计算机网络安全体系结构是由硬件网络、通信软件、防毒杀毒、防火墙以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。对于小范围的无线局域网而言,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,目前广泛采用WPA2加密协议实现协议加密,通常可以将驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序调用。

2 计算机网络安全技术研究

2.1 安装防病毒软件和防火墙 在计算机主机上安装可靠性高的防病毒软件和防火墙,及时对主机的各个存储空间进行安全保护,定时扫描、修补可能出现的技术漏洞,做到及时发现异常,及时处理;防火墙是通过软、硬件组合,对企业内部网和外部网起到过滤网关的作用,从而严格控制外网用户的非法访问,并只打开允许的服务,防止外部网络拓展服务的攻击。

2.2 安装入侵检测系统和网络诱骗系统 计算机安全防御体系是否完整有效的主要衡量因素为入侵检测能力的高低,入侵检测系统由软件和硬件组成;网络诱骗系统是通过构建虚假的计算机网络系统,诱骗入侵者对其进行攻击,从而起到保护实际网络系统的目的。

2.3 使用数据加密技术提高系统安全性 传统的信息加密技术和新兴的信息隐藏技术可为计算机信息的存储及传输提供安全保障,用户在进行绝密或重要信息的传输过程中,不仅要做好信息本身的加密,还可以利用隐藏技术对信息发送者、接收者及信息本身进行隐藏。常用的隐藏技术有隐藏术、数字嵌入、数据隐藏、数字水印和指纹技术。

2.4 做好重要信息的备份工作 计算机信息存储工作要遵循多备份和及时更新的工作原则,数据信息可根据其重要性或数据量进行不同方式的存储:对于不需修改的重要数据可直接刻录光盘存储;需要修改的数据可存储在U盘或移动硬盘中;不重要的数据可存储在本地计算机或局域服务器中;较小数据可存储在邮箱中。

2.5 使用安全路由器 安全路由器的使用可将内部网络及外部网络进行安全隔离,互联,通过阻塞信息及不法地址的传输,保护企业内部信息及网络的安全性。安全路由器是对其芯片进行密码算法和加/解密技术,通过在路由器主板增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。

2.6 重视网络信息安全人才的培养 加强计算机网络人员的安全培训,使网络人员熟练通过计算机网络实施正确有效的安全管理,保证计算机网络信息安全。一方面要注意管理人员及操作人员的安全培训,在培训过程中提高专业能力、安全保密观念、责任心;对内部人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高网络人员的思想素质、技术素质和职业道德。

3 云计算安全技术的应用

云计算通过集中所需要计算的个体资源,通过需求而获得企业所需要的资源,并且通过自动化管理与运行,从而将计算的需求传达给网络,使网络能够处理企业所需要的计算服务。云计算开创了一种资源共享的新模式,能够改变当前用户使用计算机的习惯,通过网络计算,能够大大节省企业所需要的空间以及实践,从而节约企业运行成本,提升企业的工作效率。因此在云计算的过程中,必须考虑到信息安全的问题,避免商业机密泄露,给企业带来重大的损失。

3.1 云计算的应用安全技术性分析 云计算应用安全性需要终端用户及云服务商双方共同采取保护措施。一方面,云计算的终端用户应保证本人或本企业计算机的安全,利用安全软件降低计算机被不法分子进行技术攻击的可能。如反恶意软件、防病毒、个人防火墙以及IPS类型的软件等,可保护用户浏览器免受攻击,并能定期完成浏览器打补丁和更新工作,以保护云用户数据信息的安全性。另一方面,用户可使用客户端设备访问各种应用,但不能对云平台基础设备进行管理或者控制,因此,选择云平台供应商就显得十分重要。评价供应商主要原则为依据保密协议,要求供应商提供有关安全实践的信息,如设计、架构、开发、黑盒与白盒应用程序安全测试和管理。

3.2 数据安全技术性分析 云计算服务模式包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(laaS)三种,这三种服务模式面临的主要问题是避免数据的丢失或被窃,因此,应在数据传输、隔离及残留方面进行安全保护。

首先,在使用公共云时,传输数据应采取加密算法和传输协议,以保证数据的安全性和完整性。其次,云计算供应商为实现服务的可扩展性、提高数据计算效率及管理等优势。在安全技术未发展至可给任意数据进行安全加密的阶段下,可采取的措施就是将重要或者敏感的数据与其他数据进行隔离,保障数据信息的安全性。最后,数据残留是数据安全遭受威胁的另一因素,云计算环境下,数据残留会无意泄露敏感信息,因此需要服务供应商能提供将用户信息进行彻底清除的保障。

4 结语

综上所述,加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系提高对网络风险的控制和预防,全面保障计算机网络安全。

参考文献:

篇2

[关键词]网络安全;信息化;数据信息

1企业信息化建设集成的重要性

首先,在企业管理上具有重要现实意义。在企业的经营和发展过程中经营的业务越来越多,区域越来越广泛,导致企业管理任务越来越复杂和多样,企业内部的组织结构和流程控制体系越来越完善,这都是因为信息化建设集成发挥了重要作用,其还促进管理服务和观念朝着信息化的方向发展。其次,企业信息化建设符合时展的潮流。如果想让集成化效率达到最高水平,就需要对传统的管理模式进行创新和发展,避免在集成化效率提高的同时带来一些严重的问题和风险,例如:现场安全管理和对管理人员的裁减等,企业必须在网络信息技术和计算机技术发展飞速的今天,对内部管理体系进行创新和改革,挖掘各组织和员工内在潜能和上升空间,在激烈的市场竞争中提升企业自身的活力与优势,从而将企业的经济收益上升到最高峰。第三,信息化建设集成具有自身独特的优势。大型公司集团会运用最新的互联网数据和先进的计算机技术创建一个管理信息平台,通过这个平台将在生产和管理方面的数据信息进行共享和联动,利用相关软件和系统将公司管理朝着集成化、信息化方向发展,有效地为公司的管理层提供决策理论支持,避免公司集团内部组织结构和人员冗杂,有效提高运营各环节的工作效率,以提供高质量、高效的服务。

2企业信息化建设集成中存在的网络安全问题

在利用现代网络信息平台对企业相关数据进行优化整合时,网络安全方面还存在一定的问题,企业相关信息和资料很容易受到网络攻击,系统很容易被黑客入侵,导致数据和信息被窃取或者丢失,这些问题都不利于企业的现代信息化建设集成和正常的运营发展。从外部环境来看,日益竞争的市场环境是造成网络安全管理的大环境因素,随着时代快速的发展和科学技术的进步,一些不法分子会利用黑客技术和网络病毒窃取企业内部的数据资料,并通过出售来牟取巨额利润,这种情况若得不到有效控制和整改,会导致企业网络安全环境日益恶化。其次,从企业的内部因素出发,企业信息化建设集成出现网络安全问题是因为企业自身没具备成熟的网络信息安全理念,没有采取相关的措施保证自身的网络信息安全,所以企业相关意识的缺乏使黑客有机可乘,他们简单操作就能获得企业内部的数据信息。总之,缺乏一定的网络信息防护手段和对员工的网络信息安全培训,会导致企业在信息化建设集成中受到更大的网络信息安全威胁。

3保障企业信息化建设集成中网络安全的措施

3.1创建企业信息安全标准

针对企业信息化建设集成中可能会出现的病毒入侵、非法访问和信息窃取等问题,笔者提出了一些加强网络安全的措施。首先,要建设一个信息化安全相关标准。当企业应用现代计算机网络技术,尤其是计算机集成制造系统时,要创建一个高效、高质量的企业信息化机制和信息安全标准,保证所有信息工作都具备标准流程,例如:我国现已存在的信息安全管理度量机制和测量措施,能够促使企业在运用网络信息平台时,提高自身的信息管理水平,从而保证企业在日常运用中能够顺利、安全地开展相关信息交流和信息传递工作。

3.2运用先进的网络安全技术

要引入现代网络安全技术,包括防火墙技术、入侵检测技术信息加密技术、访问控制技术等。防火墙技术是指将计算机与外部建立一道隔墙,防火墙技术包括网络级防火墙与应用级防火墙两种,网络级能够有效防止网络中的非法入侵,应用级防火墙技术是全方位地防护相关应用程序,使用起来比较简单还能够有效防止病毒入侵和非法访问。两者的防护能力与防护范围不同,因此在使用过程中需要将两者融合发挥作用,在动态防护、屏蔽路由和包过滤的基础上,更好地发挥防火墙防护技术。入侵检测技术是一种辨别网络系统的使用是否是恶意行为的技术,其在动态中对网络进行相关检测,及时发现非法访问行为和未授权的活动并反映给计算机用户,将软件与硬件融合起来共同对数据进行分析和作用,在琐碎和繁杂的数据处理方面不再需要人工操作,减少人力和资源的浪费和管理成本。但从整体来看,效果不如防火墙技术,也不能够完全代替防火墙技术。信息加密技术包括对称加密与非对成加密两种,且随着时代的发展不断优化升级。该技术主要是为了避免数据被非法窃取,对相关重要的信息资料进行加密处理,降低数据资料丢失和泄露的概率,从而在数据传递和资料存储中保证数据资料的完整性和安全性。访问控制技术是指通过检测访问者的信息在网络中保证网络资源的安全,包括高层和底层访问控制两种访问模式,前者是检测资源种类、用户权限和用户口令,后者是指通过通信协议中的信息判断访问者是否合法,并作出相关反应。

3.3提高企业网络安全管理水平

现代化企业集团在发展信息化建设集成过程中还存在很多网络安全隐患,但是传统管理模式已经明显不适用于目前的发展情况,网络安全受到了更大的威胁,造成的经济损失也较多,所以必须提高企业的网络安全管理水平。首先,要提高企业网络信息化系统管理水平和管理效率,要让企业内部包括员工和管理层都建立起网络安全管理的观念,创建一个成熟、完善的网络安全管理平台,树立现代化的网络安全管理意识,从而能够及时解决企业运营和发展过程中存在的问题,将企业发展中重要的资料信息利用网络技术实行集中性存储。另外,要对所有员工进行网络安全培训和再教育,提高员工的综合素质水平,以规范员工对信息化系统的具体操作,将企业重要数据信息进行加密处理和备份处理,企业要营造一个安全、稳定的网络安全环境,防止网络病毒和黑客的入侵。其次,企业要使用有效、实用的安全防护软件,例如,目前市场上的金山毒霸、360杀毒软件都得到了广泛运用,企业要根据自身具体情况选择一个有效的防护软件抵制外部非法入侵,设置好相关的安全管理权限,创建一个完善、严密、分层的安全管理权限体系,在用户登录和用户访问环节都要设置权限和密码,从而保证企业的信息安全。最后,要对企业信息化建设集成中的防火墙系统和访问控制模式进行完善的配置,安排一个较为专业的访问控制模式,避免网络环境中出现各种意外或者病毒入侵的情况,保证企业内部局域网络信息的安全,选择信息隐藏模式提高网络信息安全性。这种信息隐藏模式一般是运用高效的编码将数据修改方法嵌入,包括扩频嵌入和矩阵编码,将编码过程变得更加专业和复杂,网络黑客一般破译不了,有利于企业抵御网络黑客入侵和系统漏洞,保证企业信息化建设集成的健康发展,提高企业的经济收益。

4运用虚拟化的云计算平台创建相关安全机制

在运用虚拟化的云计算平台时,要具备更加安全和稳定的机制和系统,如行为约束机制、CHAOS系统和Shepherd系统,及时监控计算机中的相关进程、避免用户错误操作,防止非法进程对云计算平台的破坏,将异常进程进行数据安全隔离,从而保证企业信息化建设集成中的网络安全。

主要参考文献

[1]王然.企业信息化建设集成与网络安全措施探究[J].数字技术与应用,2017(1).

篇3

计算机网络技术已经逐渐发展成为广泛应用于人们日常生产生活的重要技术,而在实际的使用过程中,却难免要遇到安全隐患,例如黑客的入侵、安全漏洞和病毒传播等。在计算机网络安全的评价体系中,神经网络的应用以其能够形成非线性自适应动态系统的特点,迅速适应网络环境,进而实现对信息的运算、识别和控制功能,提高了计算机的工作效率和安全性。

2计算机网络安全的概念

计算机的网络安全,主要指的是针对网络信息浏览和操作等过程中的安全管理,以达到提高网络信息保密性、安全性的目的,维护使用者的合法权益,最终实现整个网络的顺利运行。我国当前的计算机网络安全问题通常涉及到信息安全、计算机网络技术等多个方面,而伴随计算机网络的日益普及,其网络信息的安全问题更加为人们所重视。例如,对于企业而言,其日常经营活动中往往会运用到计算机网络,因此要求网络必须具备核心技术,对企业信息实施保护和保密,维护重要内部信息的安全性,从而维护企业利益。即便是个人在使用计算机网络时,也同样需要网络对个人信息实施控制与保护,防止泄漏或被不法分子盗取,损害人民的权益和实际利益。

3神经网络概述

3.1概念

所谓神经网络,其模型建立的基础,是人体脑部的信息处理模式作为参考,然后运用数学模型,模拟生物的神经元、脑细胞结构,以及其生理特征,最终模拟获得该神经网络模型。此后,计算机专家则以此模型为基础,添加入编制好的学习机制,然后将其应用到实际工程中,最终开发出了感知器神经网络模型。该模型具备了声纳波的识别功能,可用于探测潜艇位置等实践中。经过进一步的深入研究,相关研究人员在其中运用了映射拓扑性质,在计算机的基础之上建立了映射自组织网络模型;继而通过分析研究生物自组织神经网络,确定神经网络模的实质,获得一组微分非线性方程,然后将神经网络应用于实际,最终形成了神经网络的系统性科学研究,例如具有一定代表性的BP神经网络。

3.2神经网络的优越性

神经网络建立的基础是生物大脑结构和工作原理,因而属于人工智能系统,该系统基于计算机网络内部大量节点的关系分析,发挥出方面优越的应用性能,主要包括以下方面:

3.2.1自学功能

神经网络系统能够进行自我学习,通过自动识别正在输入的信息,自行为操作者总结相关的规律,进而形成联想的模式。其优势即在于这种对于信息的识别能力,使系统能够在之后的工作中,进行独立自动运作,从而缩短操作人员的工作时间。现有计算机神经网络系统,甚至能够实现高于联想模式的预测功能,应用于证券市场中,系统可以基于对当前股市证券、市场经济和企业现状的研究分析,预测其未来的效益,从而企业未来的良性发展,提供了有力的智能支持。

3.2.2优化系统

神经网络同时还具备了自我优化的能力,可以自行提高计算机运转能力,同时帮助操作用户,针对某些问题提出解决方案。基于此,神经网络系统被建议应用于计算机的网络安全评价中,以发挥其自身的优越性能。

4计算机网络安全评价中神经网络的应用

4.1计算机网络安全评价体系的构建

4.1.1构建神经网络体系的必要性

基于神经网络的计算机网络安全评价保护是多元化的,由于其对于环境的适应力较强,因而能够迅速适应周围状况,并对自身进行调整,以降低误差。另外,神经网络的自我训练使其能够在计算机网络安全评价的体系中,实现自我总结和完善。此外,神经网络还具备了良好的容错性,对于一些不完整信息、噪声等并不敏感,因而在网络节点出现问题时,不会对神经网络的整体保护产生影响。且神经网络在进行自我训练之后,能够将正常的工作效率提升至常规的4~5倍。加上神经网络对于结果的获取高效快捷,因此更加便于使用,其各方面的设置也更加人性化。

4.1.2安全评价体系构成指标

计算机网络安全的一级评价,其中的指标通常包括:管理安全、物理安全以及逻辑安全,具体如下:①管理安全评价指标时二级指标,分别为安全组织体系、安全管理制度、人员安全培训以及应急响应机制;②物理安全评价指标为二级指标,包括防电磁泄漏措施、供电线路、网络机房、容错冗余以及设备安全;③逻辑安全评价指标同样是二级指标,包括数据的备份、恢复,访问的控制、软件安全、防病毒措施、系统审计、数字签名、数据加密以及入侵防范。

4.2实现评价指标的标准化

不同的评价指标集,对于影响因素的描述也存在差异,因此需要在实施定量、定性评价时有所侧重。此外,应当合理运用科学的方法,对计算机的网络安全情况作出反应,因而一定程度上影响了指标的客观对比。因此,必须保持客观的态度,对评价指标的取值规则进行调整,以实现指标的标准化。在定量指标评价时,相关工作人员应当结合计算机网络系统的实际运行状况,对其进行客观评价与取值,进行科学的分析。此外,对于不同的评价指标,应当使用不同的衡量单位,有所侧重地进行标准化处理,将取值固定到一定范围内,通常在0~1之间。而为了实现定性指标评价,则通常会采用打分的方式来客观评价计算机的网络系统机型,定性指标评价标准化。

4.3基于神经网络的计算机网络安全评价构建

4.3.1服务器维护机制规范化构建

构建计算机网络安全评价体系,其首要的任务和硬件维护的关键,即在于服务器维护。在构建服务器维护机制规范化的过程中,应当注意避免不当服务器所可能造成的伤害,要求操作人员时刻警醒,保证及时清除网卡冗余,调整服务器的荷载,以维持服务器的平衡与稳定。

4.3.2云主机的建立

以神经网络为基础建立的计算机网络安全评价体系,需要快速打造安全云主机,用以集成包括了云锁服务安全软件的所有安全防护体系,从而达到突破传统服务器安防理念,实现对于用户的实时安全服务效果。因此,构建过程中需要在云主机中使用很多快捷自动安装软件,如MYSQL、PHP、ASP等。这些软件的共同点在于均适用于对网站数据库的实时管控、对于站点信息的实时监控,以及对于计算机各种软件温度进行的调节,和WebShell病毒查杀功能。如今的计算机网络安全系统已经首创了以C/S的神经网络架构为基础的应用体系,实现了计算机端和服务器之间的远程访问与控制功能,从而提升了计算机网络对于木马、病毒和恶意代码、恶意攻击等危害的防御能力,起到保护计算机服务器与网站安全的作用。

4.3.3安全管理和服务体系的建立

基于神经网络建立起来的计算机网络安全评价体系,其作用即在于在进行安全评价时,管理人员能够提供与评价标准判定相对应的具体内容、实施范围等信息,然后针对计算机安全状况、信息技术的关键点,实施研究与分析,运用评价方法测算其安全等级。计算机网络的安全级别评价,可以按照以下公式生成评价因子,基于神经网络的计算机网络安全评价级别公式如下:f=(x1,x2,x3……,xi……xm)式中:xi-计算机网络安全评价中最主要的评价因子;f-计算机网络安全评价模型主体。管理人员应当结合实际,为计算机系统选取正确的评价模型主体与安全等级,进而依据系统要求,对神经网络安全管理体系采取必要的优化措施,以做到有备无患。

4.4建立并完善评价结果评语集

基于计算机网络安全评价指标特征,可建立评价结果评语集,按照网络安全等级差异,将该评语集划分为四个集合:①第一等集合设置为“安全”;②第二等集合设置为“较为安全”;③第三等集合设置为“不安全”;④最后一个等集合则设置为“很不安全”。此外,还可以对这些集合附以说明,从而有效地位计算机使用者提供便捷的方式,来了解计算机网络安全状况,提供良。

5结语

神经网络技术在计算机网络安全评价中的应用,实现了评价体系的自动抽提功能,体现出了外推性、容错性、适应性等优势,满足了计算机网络的在线实用性要求,在有效提高计算机网络评价客观性、正确性的同时,为用户提供了安全的使用环境,确保用户能够通过网络获得可靠、有效的数据信息。

参考文献

[1]王强.基于神经网络的计算机网络故障诊断[J].信息与电脑:理论版,2015(10):157~158.

篇4

【关键词】 医院管理信息系统 安全管理 防范措施

医院管理信息系统是指医院在日常运营管理中应用的信息管理、联机操作的计算机应用系统,其几乎包括了医院内部所有的业务及活动项目,医院管理信息系统是提高医院信息化水平的重要手段。

一、医院管理信息系统的不安全因素

具体而言,医院管理信息系统的不安全因素包括以下几个方面:首先,系统漏洞问题。医疗机构广泛应用的网络操作系统包括Windows、Unix、Linux等,无论哪种操作系统均不可避免的存在漏洞,如果操作系统更新不及时、漏洞修补机制不完善,就会为病毒的入侵提供可乘之机,导致计算机反复感染病毒,降低系统的安全性。其次,病毒入侵。病毒会对计算机系统软件、文件、网络资源等产生直接影响,局域网体现出复杂性的特点,是计算机病毒感染的高危地带,严重者可能导致医院局域网的瘫痪,直接影响到医院的日常业务。再次,黑客攻击。医院局域网内存在大量的学术信息、患者的个人隐私信息等,因此成为网络黑客的攻击目标。黑客入侵也会导致医院局域网受到严重影响,甚至数据库中的数据信息都有可能遭到篡改,从而影响到医院的信息管理。最后,网络应用者安全意识薄弱。计算机信息技术的发展日新月异,网络普及速度也越来越迅速,医院的日常办公网络化建设日益完善,网络端口、上网人数也越来越多,但是很多医院内部都缺乏一套可操作性强的、完善的网络安全管理制度,网络操作人员安全意识薄弱,导致医院内部网络扩张速度远远大于网络安全管理的普及度,为医院管理信息系统埋下了安全隐患。

二、加强医院管理信息系统安全管理的策略

2.1加强硬件管理

一方面要为计算机系统的运行提供良好的机房环境,比如机房温度不超过25度、不低于20度,保持相对湿度在50%-65%;日常运行中要求无人员流动、无尘,安装必要的避雷装置及抗磁场干扰装置等。机房要采用两路供电系统,配有不间断电源持续供电,以保证机房供电的稳定性及连续性,同样要设置抗磁场干扰等装置。

另一方面要加强网络硬件设备的维护。网络硬件设备主要包括路由器、交换机、集线器、光纤收发器等,要对上述设备的运行状态进行实时监测,做好设备的除尘保养,检查插头是否有松动等,注意防水。

2.2合理应用网络安全管理技术

医院管理信息系统安全管理中常用的安全技术包括以下几种:

首先,备份技术。所谓备份技术是指在最恶劣的情况下一旦医院信息系统出问题,可以通过备份技术使数据库在最短的时间内恢复运行,保证数据安全。备份技术需要硬件设备与软件系统的配合应用,要根据医院的实际情况制订备份频率、备份时间、恢复时间等备份策略,常用的备份策略包括三种,即只备份数据库、备份数据库及事务日志、增量备份等。

其次,冗余技术。冗余技术是指网络在质量恶化的状态下不会造成系统停机及数据库丢失的保障性技术,冗余技术除了可应用于网络技术中外,还可应用于电源、处理器及相关设备、模块、链路、以太网等等。

再次,防火墙技术。防火墙主要设置于风险区域与内部网络之间,对访客进行管理,形成内部网与外部网之间的隔离保护层,可有效防止黑客入侵及破坏行为,保障系统安全。

最后,加密信息技术。加密技术包括对称加密技术与非对称加密技术两种,其中对称加密技术是指信息的加密与解密使用同一密钥,通过加密工作的简化实现了信息交换双方无需使用专用的加密算法即可读取信息;非对称加密技术则是将密钥分为公开密钥与私有密钥两种,其中加密密钥可作为公开密钥公开,而解密密钥则作为私有密钥保存起来。

2.3增强系统操作人员的安全意识

要采取必要的措施降低人为因素导致的网络故障率,针对技术人员的培训主要包括安全技术、安全策略和风险防范等,操作安全培训由信息科技术人员负责,使操作人员了解计算机管理的必要性和管理流程,对相关人员进行新业务模式和流程教育,对操作人员进行技术培训,要求准确、熟练等。

三、结语

计算机信息技术的应用大大推动了医院信息化发展的进程,但是网络环境的复杂性增加了医院管理信息系统的风险性及不确定性,因此日常工作中要结合医院的实际情况,具体问题具体分析,通过技术、管理等各方面强化信息系统的网络安全性,保证管理信息系统的可靠性及稳定性。

参 考 文 献

[1] 王利辉 . 浅析新医改背景下医院信息系统建设 [J]. 企业改革与管理 .2014(24):45.

篇5

关键词:棱镜门 去IOE 国产化替代 云安全

一、IT架构国产化成趋势

(一)信息安全市场规模加速发展,市场发展空间较大

据统计,2014年全球信息安全市场规模总共达到670多亿美元,全球的年复合增长率是8.7%,预计2016年,市场总规模将达到960亿美元。

我国的信息安全建设起步较晚,意识形态在逐步提升,从行业分析的数据来看,国内信息安全市场规模的平均增幅达到17%,远远超过国外的增速。我们认为国内信息安全市场规模的增长速度还会提升,预期会达到20%左右。主要原因有以下两点:一是中国的人口和企业基数多,信息化程度提升后带来的边际效应特别快,特别是移动互联网的到来,中国的移动用户终端数量达到5.5亿,基础的安全建设将随之有较大比例的提升;二是目前互联网建设过程中信息安全投资的比例低,据公开信息,2010年我国信息安全产业与软件和信息服务业相比不足1.5%,远低于国外的安全投入比例。

(二)棱镜门是信息安全可控的助推器

从国家层面来看,十八届三中全会公报指出将设立国家安全委员会,完善国家安全体制和国家安全战略,确保国家安全。2014年2月27日,中央网络安全和信息化领导小组召开第一次会议。指出,网络安全和信息化对一个国家很多领域都是非常重要,要认清面临的形势和任务,充分认识做好工作的紧迫性和重要性,因势而谋,顺势而为。网络安全和信息化是一体两翼、双轮驱动,必须统一部署、统一谋划、统一推进、统一实施。做好网络信息化安全工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。

棱镜门事件的爆发,使人们发现美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。最重要的是通过对本国公司的合作,达到监控他国政府的目的,另外这个名为“棱镜”的项目还可以使情报人员通过“后门”进入9家主要科技公司的服务器,包括微软、雅虎、谷歌、Facebook、PalTalk、美国在线、Skype、YouTube、苹果。

当代社会已经进入数字社会,互联网开始连接一切,构成互联网时代的基础则是各种通信设备和系统应用软件,信息安全是国家安全的重中之重,保障互联网安全,保障IT信息产业安全将是重头戏。在互联网的时代,IT产业国产化的进程不可逆转。

(三)国家意志下,IT架构国产化的必然性

虽然要求“去IOE”的呼声在国内喊了很久,此前实际上并没有实质进展。但2014年9月银监会的39号文,让“去IOE”真正落实成“白纸黑字”的文件。

根据39号文件要求,从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。同时,银监会还要求,2015年银行业至少完成一个信息系统的迁移,至少实现一个数据级灾备系统主要部件采用国产设备或软件,并明确表示不建议再采购大型机设备。

在2015年的银行采购中,某行已经要求采购国产IT产品,最新采购的服务器主要来自联想集团、浪潮信息等国内知名IT企业。

二、云安全成为新的热点

(一)云计算的发展推动行业新一轮成长

据Gartner公司统计,2014年全球云计算市场总规模已达1500亿美金,而整个全球IT投入是3.6亿美金,云计算占其中不足4%的份额。据Gartner公司日前的调查结果显示,2013年全球公共云市场规模将从2012年的1110亿美元增至1310亿美元,私有云服务及混合云服务发展势头也十分迅猛。工信部云计算研究中心主任杨东日日前也透露,包括中国电信、中国联通、中国移动在内蒙古的云计算投入将达到200亿元。微软亚太研发集团主席张亚勤曾预测,云计算未来几年在全球范围可创造1300万份工作机会,未来五年年化符合增速将达到30%。

随着越来越多的企业部署SaaS和BYOD,Gartner预计企业云安全服务的接受度和依赖性将逐渐增加,而未来几年云安全市场将进入高速发展期。近日,Gartner报告“2014年全球云安全服务市场趋势”预测:随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。

(二)国外云安全趋势的最新动态

2014年8月,IBM收购了云安全服务提供商Lighthouse Security Group,是继7月下旬收购意大利云安全厂商CrossIdeas后,再次进行的另一安全业务并购。该收购显示IBM在身份和访问管理安全服务领域将持续发力。

(三)国内企业逐渐布局云安全

启明星辰紧跟云计算、虚拟化和SDN技术发展,结合公司在信息安全领域深厚的技术、产品、经验积累,推出了“启明星辰智慧流安全平台”,深入诠释和实践了公司SDS(Software Defined Security,软件定义安全)的理念,实现了安全按需使用、安全个性化编排、安全资源高弹性、切实抵御未知威胁等功能,助力SDN网络及云数据中心安全。目前,“启明星辰智慧流安全平台”已经成功完成了与华为SDN网络的联合对接测试,并于“2015华为网络大会”上。

三、信息安全行业发展的海外映射

(一)国外信息安全行业发展历程

近年来,全球网络威胁持续增长,各类网络攻击和网络犯罪现象日益突出,并呈现出:攻击工具专业化、目的趋于商业化、行为趋于组织化、手段趋于多样化等特点。许多漏洞和攻击工具被网络犯罪组织商品化,使网络威胁的范围加速扩散。随着网络犯罪背后的黑色产业链获利能力的大幅提高,互联网的无国界性使得网络威胁对全球各国用户造成的损失随着范围的扩散而迅速增长。

国外信息安全领域龙头企业逐渐从内生性成长向外延并购扩张。

(二)美国信息安全龙头的成长之路

赛门铁克营业收入从1989年上市的7400万美元增长到2010年的61.9亿美元,净利润从800万美元增长到6亿美元,是全球收入规模最大的信息安全产商。

赛门铁克向全球的企业及服务供应商提供包括:入侵检测、互联网内容及电子邮件过滤、病毒防护、防火墙、VPN、风险管理、远程管理技术及安全服务等。公司旗下的诺顿品牌是个人安全产品全球零售市场的领导者。

安全需求从单一产品逐渐转向信息安全整体解决方案及服务;信息安全发展迅速,新需求层出不穷;通过收购来扩充自己的产品线和赢得客户。从2000年2月到2006年2月,其收购了不下25家公司。而其也在收购之路上屡试不爽,成功率颇高。

(三)信息安全国产化替代百亿空间

由于信息安全在互联网时代的重要性,我国政府采购信息安全产品有着很高的要求,都要求采购“自主可控的国产安全产品”,具有完全自主创新特点的安全产品成为我国国家战略部门采购时的首选产品,在政策上也受到政府的大力鼓励。我国国家保密局、公安部、国务院信息化工作办公室联合制定《信息安全等级保护管理办法》指出,我国第三级以上信息系统选择使用的安全产品,其产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格。同时要求,产品的核心技术、关键部件具有我国自主知识产权。

截至2014年底,国内信息安全市场规模110亿,信息安全占IT支出比例为1%,而欧美是8%-12%;政府、军队将被划入第三级以上的信息安全等级保护,如果未来信息安全支出可以达到企业级IT支出比例的2%-3%,则每年将会有80-120亿的市场。

四、信息安全产业的发展趋势展望

随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点,信息安全产品与服务演化为多技术、多产品、多功能的融合。作为信息安全领域的领军品牌,清华同方电脑总工程师刘峰认为目前信息安全产业呈现两大新趋势,将引领信息安全产业的发展。

篇6

关键词:公钥基础设施(PKI);数字认证(CA);矿区管理;信息安全;密码服务器

0引言

当前我国矿山企业安全生产形势依然严峻,安全生产基础相对薄弱,事故总量还是很大,煤矿、金矿等高危行业结构不合理,应急处置以及救援抢险能力相对不足,部分企业违规违章现象依然存在,给安全生产带来一定的安全隐患[1]。随着计算机通信和网络技术的快速发展,矿山企业安全生产的信息化管理成为衡量企业现代化建设的重要指标,也是促进企业安全生产、提升效益的重要方式。矿区安全生产管理平台在部署时,采用开放式架构,兼容主流信息技术,在.NET平台的基础上,为了满足多种信息源服务终端的需求,平台采用了多种基础数据库模型技术,保证安全管理平台的系统整合能力。平台采用面向服务的架构(SOA)设计,并基于分层和分类结合的混合模式,数据交换模式采用标准的XML等技术,应用统一规范的数据交换接口及应用程序接口,安全机制相对可靠[2]。平台基于J2EE技术架构,支持HTML和DHTML等Web浏览器标准,设计原则遵循高内聚、低耦合的原则,降低系统各个功能模块间的耦合度,降低操作难度,提高系统的通用性。根据矿山企业矿区分散、不聚集的特点,为保证矿山生产网和办公信息网之间以及与外网之间的信息交换畅通,确保信息在产生、存储、传输和处理过程中的安全性,需要建立全网统一的认证与授权机制、时间服务和密码服务。目前,在各种技术,基于PKI/CA的信息安全技术能合理的作用于矿区安全生产信息化管理平台,从而保证安全策略得以完整准确的实现,该技术是解决数据加密、保护信息安全最有效的方案[3]。

1基于PKI技术的安全生产管理平台体系研究

1.1安全生产管理平台的需求分析

矿区安全生产管理平台为解决矿山企业安全统一管理应运而生,以安全生产风险管控为核心的风险管理平台是目前各个矿山企业信息化建设的新趋势。以安全生产管理为核心的平台建设可以实现对危险隐患的合理分析,形成事前管理、事中风险预控、事后应急救援在内贯穿安全生产管理全过程的监督管理,从而达到提升安全管理水平的目的。

1.2安全生产管理平台的系统功能设计

以矿区实际情况为前提,以信息资源规划和开发利用为主线,以安全法律法规为支撑,根据功能需求,在成熟的软件开发方法论的指导下,矿山企业安全生产信息化管理系统的主要功能框架如图1所示,其子系统设计如下:包括风险管理子系统、事故管理子系统、安全隐患管理子系统、应急救援子系统、安全培训子系统、监督检查子系统、质量标准化子系统等7大部分。其中风险管理子系统主要负责矿区风险评估,衡量事故发生的可能性并对其可能造成的相关损失进行评估,根据风险评估结果,制定相应的管理标准及措施;事故管理子系统主要负责对已发生的事故进行统计,形成事故报告、事故月报、事故数据库等,方便查询,根据需求进行事故通报和责任追究;安全隐患管理子系统主要进行安全隐患追踪、及时对隐患信息进行登记、上报、汇总等,形成隐患整改通知单,及时开展追踪和销号管理等;应急救援子系统主要针对突发紧急事件进行预防、救援、恢复等管理,以应急救援案例库为依托,类比实际案例,推送相关匹配度最高的案例辅助应急救援决策,此外该模块涵盖救援队伍、救援机构等详细信息;安全培训子系统主要负责相关人员安全的培训信息统计,及时对持证人员进行过期预警提示,服务于公司的安全培训管理等制度;监督检查子系统主要进行安全活动制定、、总结等,下设安全检查、整改落实、经验总结等三个子模块,为安全监督管理机构安全检查发现的问题、形成原因、改进措施、整改建议等;质量标准化子系统主要为管理人员提供标准库查询、检查数据汇总等服务,方便现场检查及质量便准化考核等。

1.3安全生产管理平台的PKI/CA技术分析

1.3.1PKI技术体系简介

随着当前信息系统建设的快速发展和数字网络化的应用的普及,不同部门之间、跨部门的信息共享和综合分析的需求也在日益增加,与此同时当前信息网络应用中也面临着信息量大、数据种类繁多,不同数据访问要求不同等现状,因此包括信息保密性、身份认证、访问权限管理等在内的信息安全问题急需解决。公钥基础设施(publickeyinfrastructure)简称PKI,为解决大型信息网络面临的安全问题应运而生。PKI是当前信息化安全建设的基础和重要保证。PKI是一种具有安全性和透明性的密钥管理系统,通过为用户提供密钥和证书管理服务,提供安全策略,从而建立安全有效的网络环境,保证数据信息在安全传输的过程中不被非法偷看以及非授权者篡改等,从而达到保护用户信息机密、完整的目的[4-6]。通常来说,一个完整的PKI系统包含认证中心数CA(certificateauthority)、证书库、密钥备份及恢复系统,证书作废处理系统,客户端证书处理系统等五大部分,其中CA是PKI的核心执行机构,证书库是存放公钥和用户证书的信息库[5-7]。

1.3.2基于PKI体系的矿山安全生产信息化管理体系结构

PKI作为一种安全技术,已经深入到常规网络的各个层面,使用户可以在多种应用环境中使用加密及数据签名技术,是当前网络信息安全问题的综合解决方案,为企业的信息安全保驾护航。对于本文分析的矿山企业安全生产管理平台,PKI技术将重点解决用户访问权限、信息传输、数据共享等问题,如准确验证登录用户身份、保证跨部门之间的信息保密与共享、防止信息窃取保证信息安全传输等等。矿山安全生产信息化管理平台的PKI安全服务体系主要包括证书签发管理和PKI安全服务两部分,如图2的方框所示。其中PKI的主体是证书机构CA、注册机构RA(registrationauthority)、密钥管理KM(keymanagement),其中核心组成CA是数字证书的颁发机构,数字证书就是网络用户的身份证,CA审核用户身份等信息并与公钥结合形成数字证书,从而确保其真实有效性,使得PKI能够为网络用户提供较好的安全服务[7]。RA在整个体系中起承上启下的衔接作用,是连接用户和CA之间的桥梁,既向CA转发证书请求,也向安全服务器转发CA签发的证书等。KM主要负责密钥的备份、恢复、保存等管理服务,三个系统完成了证书签发、管理等功能。公共安全接口具有一套通用、抽象的系统函数,实现语言较多,具体的密码算法不会影响到该接口,设计者可以根据自己对于系统的需求对安全接口进行开发,该接口根据工作环节及性能分为初始化部分、安全操作部分、解编部分、通信部分等。

管理调度单元衔接公共安全接口与密码服务单元,公共安全初始化部分通过管理调度单元选择密码服务单元,而管理调度单元向负载最小的密码服务单元进行申请密码服务,从而使得服务器负载均衡。当系统调度单元出现故障时,系统会随机分配一个密码服务单元,保证应用系统的正常运行,在保证系统负载均衡的同时,也保证数据的冗余备份,从而为应用系统提供及时安全的密码服务。密码服务单元是PKI密码服务的核心部分,负责提供相关密码算法及密钥管理功能。密码服务器根据配置需求及应用情况包含多个密码服务单元,当一个单元出现故障时,可以通过管理调度单元进行分配,从而保证应用系统的正常运行。密码算法根据功能特性主要分为三类:非对称密码算法(公钥密码)、对称密码算法(传统密码)和安全Hash算法[9-10]。非对称密码算法计算速度相对较慢,但其电子签名和密钥交换功能有更广阔的应用范围;对称密码算法运算速度较快,适用于大数据高流速的数据加密/解密功能,但是难以实现用户身份识别等功能;安全Hash算法可以用来实现数据完整性验证和辅助电子签名等功能。密钥管理主要包括密钥的产生、更新、泄露处理、有效期管理、存储、销毁等功能,从而保证密钥的安全有效运行。实时监控单元对密码服务器中的单元状态进行实时监控,及时找到密码服务的相关故障,此外实时监控单元的日志功能可以记载密码服务器出现问题的详细信息。以PKI技术为核心的信息安全架构体系可以有效的作用于矿山安全生产信息化管理平台的正常设计和应用中,尤其是多层次的网络系统中,从而保证安全策略顺利实施,从而保证整个平台系统的信息安全和应用安全。

2PKI/CA相关技术在矿山企业安全生产管理建设中的应用效果

以密码技术为核心的PKI/CA技术,提高了网络的安全性与可靠性,较好地解决了信息共享开放与信息保密隐私的关系、网络互联性与局部网络隔离的关系,保证矿山企业安全生产管理建设的信息安全性,为企业内部用户提供了安全信赖的网络环境,保证了企业不受信息安全威胁,为矿山的安全生产、信息管理提供了技术保障,在数据安全管理、业务协调以及实时智能指挥等领域取得了一定的应用效果。

2.1在数据安全管理领域的应用效果

2.1.1身份认证和访问控制方面

安全生产管理平台用户角色众多,有企业监管人员,公众访问人员,平台内部测试管理人员等,一人多账户多角色多权限,容易带来极大的安全隐患问题,因此具有支持多种认证方式同时具有统一认证访问控制的安全机制及用户权限管理方案变的非常重要。安全生产管理平台基于PKI技术将证书策略应用于用户的访问控制中,不同级别的登录人员可以设置不同的访问权限,通过网上进行信息传递的身份证明,为用户和数据之间建立起可信任的桥梁,有效的保证了平台信息的安全服务。

2.1.2安全传输方面

矿山安全生产信息化管理会产生大量的数据,数据规模大、种类繁多,随之而来的是数据安全管理和通讯安全的问题,安全的信息通讯是解决信息安全威胁的重要手段之一。安全生产管理平台采用的PKI相关技术,可以使用不同系统间的跨域共享和灵活授权,可以提供不同系统访问的授权管理、密钥管理、身份认证、责任认定,使得系统传输的数据信息具有较高的安全性、完整性、并在消息传递过程中完成信息的加密和数字签名,大大提高了平台通讯的安全性。

2.2在业务协调、实时智能指挥领域的应用效果

安全生产管理平台以安全生产风险管控为核心,在成熟的软件开发方法论的指导下,将风险管理、事故管理、安全隐患排查、应急救援、安全培训、监督检查等内容整合到统一平台。PKI相关技术保证了各个系统之间的数据共享和安全通信,通过登陆人员访问权限和各模块之间协调管理,为公司的安全生产提供了技术保证,从而对生产过程中的风险进行有效管理,提升安全管理效率,降低安全生产事故。PKI技术保证了系统通讯的正常安全运转,实现各个系统之间的资源共享,消除各个系统之间的信息孤岛,实现各个子系统的协调调度,使得各类用户可以方便快捷的访问、管理平台,将各类信息安全的联系起来,同时借助系统对监控数据进行智能分析和决策支持,使得事故实时智能指挥成为可能,并逐步实现了事故管理由事后应急响应到事前预警提示,对于提高矿区防灾能力,实现矿区安全高效生产、提高安全管理水平具有重要的引领作用。

3结语

PKI技术体系通过管理数字证书和密钥的方式,为用户搭建安全可靠的网络平台,使得用户可以在多种用户环境中方便的进行加密和数字签名,保证了矿区安全生产管理平台身份识别、信息传递、访问权限等的安全实施,依托数字证书、密钥管理等技术,可以有效的生成、保存、更新管理密钥,解决了网络身份认证、信息完整性和抗依赖性等安全难题,为解决矿山安全生产信息化管理中存在的信息安全等因素提供了强大的技术支撑。考虑到PKI技术本身缺点以及矿山企业的行业特性,该技术仍有一定的缺陷。在实际中,PKI技术构建和运行成本高昂,此外用户认识水平、相关法律政策等因素的制约,都不利于PKI技术应用发展。因此,需要解决多个独立PKI系统之间的交叉认证与互操作性等,以及证书过期、撤销、丢失带来的密钥托管和证书安全等问题[11]。尽管如此,PKI技术的前景仍然是广阔的,随着相关技术的快速发展,PKI相关技术仍然是矿山安全管理信息化建设中解决通讯安全问题的必然选择。

参考文献

[1]刘星魁,谢金亮,LIUXing-kui,等.煤矿安全生产现状及对策探讨[J].煤炭技术,2008,27(1):139-141.

[2]史科蕾,石秋发.基于PKI/CA技术在矿区服务平台中安全管理的设计与实现[J].煤炭技术,2013(6):280-281.

[3]熊万安,龚耀寰.基于公开密钥基础结构(PKI)的信息安全技术[J].电子科技大学学报:社会科学版,2001,3(1):4-6.

[4]张慧.PKI技术研究[J].湖北第二师范学院学报,2007,24(8):42-44.

[5]李彦,王柯柯.基于PKI技术的认证中心研究[J].计算机科学,2006,33(2):110-112.

[6]谢冬青,冷健.PKI原理与技术[M].北京:清华大学出版社,2004.

[7]黄兰英.PKI技术和网络安全模型研究[J].孝感学院学报,2007,27(6):62-64.

[8]陈雨婕.基于PKI的矿山企业网络信息安全研究[J].矿山测量,2011(3):46-47.

[9]秦志光.密码算法的现状和发展研究[J].计算机应用,2004,24(2):1-4.

[10]张晓丰,樊启华,程红斌.密码算法研究[J].计算机技术与发展,2006,16(2):179-180.

篇7

1 智慧城市的概念

智慧城市是新一代信息技术支撑、知识社会下一代创新(创新2.0)环境下的城市形态。[3]智慧城市基于物联网、云计算等新一代信息技术以及维基、社交网络、Fab Lab、Living Lab、综合集成法等工具和方法的应用,营造有利于创新涌现的生态,实现全面透彻的感知、宽带泛在的互联、智能融合的应用以及以用户创新、开放创新、大众创新、协同创新为特征的可持续创新。“智慧城市”的四大特征:全面透彻的感知、宽带泛在的互联、智能融合的应用以及以人为本的可持续创新。

智慧城市建设将改变我们的生存环境,也是转变城市发展方式、提升城市发展质量的客观要求。通过建设智慧城市,及时传递、整合、交流、使用城市经济、文化、公共资源、管理服务、市民生活、生态环境等各类信息,提高物与物、物与人、人与人的互联互通、全面感知和利用信息能力,极大提高政府管理和服务能力,提升人民群众物质和文化生活水平。

2 智慧城市建设中,档案部门的角色定位

智慧城市的总体架构(参见图1)自下向上分为“感、传、支、用”四个层,即感知层、传输层、支撑层、应用层,同时建设安全保障体系、标准规范体系、运营管理体系作为支撑。笔者认为,智慧城市建设本质上就是以网络为基础,运用信息和通信技术手段感测、分析、整合各项关键信息,更好地服务大家。其中,最重要的就是数据的互联、共享和安全。

图1:智慧城市总体架构

2.1 是智慧城市建设的管理者和参与者。可能有人要问为什么这些工作都要档案部门来参与呢?首先,档案部门是政府机构建立的基础,是智慧城市建设的重要的管理者和参与者。2007年《中华人民共和国政府信息公开条例》(国务院第492号)规定了档案馆作为政府信息公开查阅的场所,[4]各省辖市根据其精神,档案馆统一挂“×××政府信息公开查阅中心”的牌子,设置政府信息公开查阅场所,档案是智慧城市建设不可缺少的重要的公共信息资源。另外,作为政府信息公开的管理者和参与者,在规划智慧城市建设中所形成的数据分析、初步可行性研究、阶段性报告、可行性报告等,应由档案部门统一收集整理并归档保存,为日后向决策层领导、各部门管理人员提供决策支持。

2.2 是智慧城市建设的基础部门。在智慧城市的建设中,政府部门起到了决定性的作用。档案信息资源是一个政府借以完成其工作的基本行政工具,是政府机构赖以建立的基础,是智慧城市建设不可缺少的重要的公共信息资源之一。搭建智慧城市的公共服务平台必须整合政府传统组织内部的数据,还要整合政府跨部门之间的数据,特别是对各政府内部公文、档案、图表、数据信息化的改造,是智慧城市建设必不可少的一步。由于大部分档案应用系统是基于局域网或政务内网的,因此,档案部门的作用就是把分散在各系统中的原始的信息资源进行集中整合,形成统一的信息资源体系,“九九归一”,建成一个统一的大数据库。并对大数据进行收集、存储和科学管理,使数据高度集中和融合,建立数据中心和共享平台,使数据具有“智能”的技术能力,才能为信息共享提供条件,服务传统行业。其核心就是要构建统一权威的公共信息服务体系和平台,实现一站式信息服务。只有保障了基础数据在“前端”的真实性和安全性,才能为之后智慧城市建设提供基本保证。

3 档案部门在智慧城市建设中存在的问题

3.1 统一标准缺失。单从档案部门内部来看,全国各个档案部门虽然已经建设了规模大小不等的数据库,但都各自为政,缺乏统一性和整体性,而且标准化程度低。更不要说不同行业、不同机构之间的信息化建设了,都各有计划。在其他应用终端上,从政府到行业再到企业,各自也都有自己的标准,相互间的兼容性差,这样就造成宏观上把握不清,信息孤岛与重复建设现象严重,相关资源不能整合应用,档案数据无规范化控制,存在安全隐患。

3.2 相关法规制度建设存在着严重的滞后性。主要表现在信息立法和档案法律法规没有有机的整合。在上世纪90年代中期,随着大量CAD文件的面世,国家质量技术监督局推出了《CAD电子文件光盘存储、归档与档案管理要求》。1999年,为规范电子文档的归档与管理中的问题,国家档案局又颁布了《电子文件归档与电子档案管理办法》,2000年,为了解决计算机在辅助档案管理中存在的问题,国家档案局又颁布了《归档文件整理规则》。2002年,针对公务活动中电子文件的形成、积累、保管、利用等方面存在的问题,国家档案局对《电子文件归档与电子档案管理办法》进行了修正,在此基础上,又分别在2003 年和2005年出台了第三部和第四部档案信息化部门规章。[5]但有关电子文件采集的元数据标准、电子文件鉴定保存的技术规范依然空白。数字档案长期保存工作往往是在国家档案机构系统内部进行,企业、高校、研究机构、政府其他部门的参与有限,跨部门、跨领域的长期保存合作机制尚未建。

3.3 安全管理的滞后性。主要表现在很多档案信息网络管理人员、应用人员缺乏安全意识,有些档案工作者没有受过正规的网络安全培训,对信息网络的安全重视不够,使档案信息安全管理缺乏针对性和执行力。同时,缺乏既懂档案工作又掌握智慧城市专业知识,又对信息安全领域熟悉的人才。从专业结构看,档案从业人员主要来自文史学科为基础的相关专业,致使在技术层面上无法提供有力的安全支撑,在信息环境的发展中,标准化管理、计算机辅助管理、规章制度管理明显滞后于档案信息化发展的步伐。

4 改进措施

4.1 技术层面

4.1.1 加强对计算机档案管理系统的管理,确保系统安全。智慧城市建设的关键是信息的整合和共享,就是通过计算机和网络把所有数据都放在一个敞开的公共信息资源平台上,大家按需应用。因此,只有平台安全才能保证数据安全,一旦平台被恶意破坏,数据就面临流出的风险。所以,必须提高数据的安全保障,档案信息作为政府的基本行政工具,档案部门应从“源头”抓起,保障数据安全。进一步完善安全防范措施,除采用身份识别、数据备份、访问控制、防火墙技术外,还需采取专用核心密码加密系统进行数据加密,多种安全防范措施并用。及时发现和消除隐患,确保计算机和档案的安全,在有安全保障的前提下才能使有密级的信息在网上安全传输和共享。其次,提高档案管理计算机网络的安全性。档案管理计算机网络必须采取强有力安全措施,以克服网络面临的威胁。这些安全措施分为技术措施(如权限设置、个人身份鉴别、防火墙、建立数据备份系统等)和管理措施(如建立健全网络管理体制、建立完善网络管理规章制度、加强网络运行进程中的监控与管理等)。

4.1.2 采用“云计算”。云计算是一种网络服务方式,用户可以通过网络租用或免费获取所需服务,而这些服务经过云计算技术的不断发展将涵盖全部可能的IT应用。[6]提供服务的网络即被称为“云”,“云”中的使用者可任意扩展并随需获取当中的资源,用户可以通过这种特性,像用水和用电一样按需购买和使用IT服务。

篇8

关键词:计算机实验;网络教学;构建与管理

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)04-0117-02

二十一世纪是经济全球化、信息全球化的社会,因此,计算机技术在当今全球信息化发展中具有十分重要的作用,而且在世界科学技术发展中担任着越来越重要的功能,并且社会生产活动都无法离开计算机技术而发展。科学技术的不断发展,对人的技能水平要求也不断提高,特别是计算机技能水平已经作为职场普遍要求的一种能力。作为培养人才的地方,高校在计算机能力培养方面肩负着义不容辞的责任。高校应注重计算机实验课程的改革与创新,使计算机实验教学能适应社会飞速发展的需求,使学生所学的计算机技能够适应社会职场的需求,培B出高素质人才、同时持续提高高校自身的教学水平。计算机实验室完善的安全管理制度极为重要,教师、学生、实验室管理人员应有章可循,在安全管理制度下,实现实验室安全。下面就学校计算机网络实验教学平台的构建、实验室安全管理进行深入探讨。

1 计算机实验室网络构建

计算机实验室网络构建起来的平台是以校园网络为基础的,运用这种校园网与局域网的网络相结合的网络结构,实现校园网与局域网的网络化分层管理。为了不同专业计算机实验,设有实验室局域网络系统以及独立的分部实验室。首先是能够按照运用不一样的网络管理模式对各个实验室的实验具体情况进行适时管理;甚至对每位学生上机操作适时查看。使管理效率更高,管理更加简化。当然带来网络维护任务更加艰巨、且网络安全运行更加重要,对实验室技术人员要求更高[1]。

1.1计算机实验室的网络信息化

计算机实验教学是在理论课的基础上培养学生对计算机的爱好与兴趣,激发学生对计算机进行探索的热情,有利于培养学生动手能力,促进学生的探索精神,为提高学生创新实践能力提供了良好平台。采取先进的网络化等教课方法,在网上可以自主选择课题,使学生能够在学习书本知识外,更多接触到计算机行业发展与现状,从而毕业后适应信息化社会发展,更快地融入日新月异的社会。

全自动管理与监控课程信息,记录学生使用计算机的数据和实验成绩,详细记录、分析、统计、存档,有效做到按制度、规章办事,避免人为因素,实现智能化科学管理,建立科学的实验中心网络监控系统。计算机实验教学需要一个良好学习、操作环境,而网络智能化的管理必将成为一种发展趋势,建立局域网,采用直连等方式,达到远程监控的目的[2]。

1.2计算机实验室的网络安全

在校园网与实验室教学局域网两套系统并行中,在教学时,学生只能够使用实验室局域网络服务,这样学生上课过程中注意力就不会被分散。在开放的时段,开放系统启动,确保网络教学能够规范和灵活地开展。计算机中心局域网络,需要拥有中心服务器。对资源实现共享,管理者可以对各级服务器进行运用。采取对数据库进行备份的方式,保证网络的安全性[3]。

要重视计算机实验室局域网建设和维护工作。因此计算机实验室要重视局域网的安全性和稳定性,计算机使用者可以利用网络教学和电子资源共享;计算机实验室应该定期检查IP地址是否存在冲突和错误等问题,再者,减少由于网络共享带来的黑客的网络恶意攻击等问题。保证实验室网络的安全运行。

2计算机实验室的安全与管理

2.1组建不同专业实验室项目管理模式

在高校进行不同专业计算机实验课程的过程中,还要对每个学期的所实施的基本项目进行全面性管理,要对于每个学期完成不同实验项目的结果进行全面性科学分析与总结。同时通过教学软件可以实现系统性的检测模式管理实验课程进行的相关内容。从而,为整个教学内容的进展提供跟踪性的服务,从根本上实现网络化管理的最终安全目标[4]。

2.2制定出一套完善的安全管理模式与安全管理制度

要高度重视并认清高校计算机实验室安全管理工作中存在的关键问题,要想尽办法做好安全管理工作,减少并降低其安全管理中问题的发生,并且要制定出一套正确、科学的安全管理模式,形成安全适用的计算机实验室安全管理体系与安全管理制度,大大提升计算机实验室的利用率,为广大师生提供更好的教学实践服务。

计算机实验室的完善的安全管理制度极为重要,安全管理制度的实施可以规范广大师生使用计算机及安全管理人员的行为,按照安全管理制度要求、师生在上机的过程中以及安全管理人员在日常的工作中要按制度来进行操作,师生、工作人员有章可循,在安全管理制度下,实现实验室安全[5]。

2.3 注重建立实验室安全规范

通过制定实验室安全规范,可以有效地提高防范灾害与快速应对灾害能力。例如,每个实验室必须配备两个以上的防火器,并且要定期更换;防鼠、防盗、自然耗损等意外灾害产生时要保证有序、有效的应对;在规定周期内,实验员要参加各级各类安全培训,并且制定相应的事故处罚条例,以杜绝安全隐患[6]。

要根据实验室各专业教学实际要求和实验室建设目标,逐个学期不断修订完善实验室管理制度,达到科学化、规范化、制度化和标准化的实验室管理;同时落实好各层级实验室管理责任;责任具体到人,各级人人把关,形成一张责任安全大网,让隐患无处可逃。检查各项规章制度的执行情况,各级管理部门应作为一项严肃的日常工作,执行各项规章制度的过程中,责任人要有记录、有档案,在实验室日常不间断检查评价过程中,才能有效保障各项规章制度严格、有序圆满执行[7]。

3结束语

计算机实验教学是我国高校教学中的一个重要组成的部分,对于激发学生的求知欲望,提高学生的探索精神,适应当今高速发展的信息化社会对人才的需求,都有着十分巨大的意义与作用。在构建和管理实验教学平台的过程中,要能够做到因地制宜,根据本校的实际情况,发挥特色,构建好、管好和用好计算机实验室,更好地服务于高校教育。在高校的教育发展中,高校领导和广大师生要一起努力,把计算机实验室的安全管理工作做得更加完善,提高工作效率以及计算机实验室的利用率。

参考文献:

[1]景涛.计算机实验教学平台的构建与管理分析[J]. 云计,2005(6):106.

[2]张铭.教学与教育信息化计算机实验教学的多方位改革方案[J]. 信息与电脑2016(4):220-221.

[3]赵爱玲,崔朝军. 构建计算机实验教学平台的探索与实践[J]. 中国高校科学技术,2012(5):39-40.

[4]张小林.高校计算机实验室管理的探讨[J]. 实验室科学,2009(4):99-101.

[5]张志成.高校计算机实验室的安全管理[J]. 黑龙江科学,2015(6):102-103

篇9

关键词:档案;管理;信息化;建设;攻关

1 高校档案管理信息化的内容及意义

高校档案管理涉及多个相关学科,诸如计算机、网络、管理以及信息等。高校档案管理信息化建设的主要内容包括基础设施建设、应用系统开发、档案信息资源整合、标准规范以及安保体系等四个方面的建设。

1.1 基础设施建设和应用系统开发

档案管理信息化建设的基础设施涉及硬件和软件两个方面。其中,应用系统的开发作为软件支持存在,其基本要求是软件操作简便,易于广泛推广,具备组卷、分卷、维护以及查询等多种功能;管理界面友好;软件可及时更新,修补漏洞;较高的兼容性。

硬件建设需要同时考虑以下三个问题。首先,数字化校园与数字档案和数字档案馆的建设同步,其次,将存储和备份电子文件的相关硬件设备作为内部局域网建设的重点,第三,提高本地备份及存储电子文件的硬件配置,建设异地备份设备及网络。

1.2 档案信息资源整合

高校档案信息资源的整合需要注意以下几个方面的问题。第一,高校各单位档案部门收集并归档已有的电子文件,及时录入信息数据库,避免资源的流失;第二,对将要接收的电子文档提前做好准备工作,包括组织、技术和人员上的准备,建立数据中心,统一接收和管理高校各单位信息资源,开通检索服务;第三,建设档案网站或者数字档案馆,成立数字化服务中心,为各单位提交信息提供高效服务。

1.3 标准和规范的制定

高校档案管理工作的重要职能之一是制定和完善标准、规范,其依据为《档案法》、《电子公文归档管理暂行办法》 等相关政策法规。建立的规范和标准需要满足实际需求,能够科学的指导高校档案管理信息化建设的全过程,确保信息化建设、管理和运作过程有章可循,保证规范化、标准化以及制度化的档案管理信息化建设大方向不变。其主要职责为高校电子文件信息采集、管理、存储格式标准、执行细则等标准与制度的建立;制定电子文件归档、整理、公布、利用的格式要求和工作规范; 建立和完善电子文件保管、存储及安全利用的制度等。

1.4 安保系统的建设

信息安全是档案管理工作首先需要确保的重点之一。安保体系的建设主要包括计算机网络等硬件安全系统的建设,同时还包括内外网隔离、网络防火墙、文档加密、访问控制、用户访问认证以及网络密钥的管理,双管齐下,确保数字档案系统信息传递的安全。

2 高校档案管理信息化建设的现状及问题

2.1 高校档案管理信息化建设的现状

2.1.1基础设施薄弱,管理手段老化

目前国内许多高校在信息化基础设施建设上投入力度不够,用普通计算机代替专业服务器,在管理方式和方法上也一直沿用传统的管理手段,效率低下,缺漏较多。虽然在一定程度上利用了计算机存储和网络技术,但是并未形成一体化的系统。生成与接收电子文档,是高校档案管理系统的基础功用,但是目前的现状是高校档案管理的软件与配套程序建设速度慢,管理不科学,制约了信息化建设的步伐。

2.1.2档案管理方式落后、档案结构不合理

从目前的档案管理方式来看,从业人员缺少科学化管理的培训,多数从业者并非档案专业,专业知识匮乏,没有系统、科学的档案管理知识,对已有管理系统掌握不够深入。

从档案结构来看,目前多数高校关注的档案类别多为纸质,而对视频、音频以及其他实物档案的关注不够。而且从档案涉及的方面来说,多为教学、会议以及其他文字记录的档案,而对设备、基建档案,以及高校日常工作中的档案记录较为缺乏。此外,档案收集工作滞后,不够全面,导致了档案可复用性差,利用价值较低。

2.1.3高校档案管理开发利用率较低

目前,高校档案管理仍旧受到传统档案管理理念的影响,重保管轻利用,已经收录的档案资料无法惠及教职工与学生,利用效率低下,档案因此失去了应有的参考价值,导致高校档案资源的极大浪费,长此以往将会形成恶性循环,极大的影响档案管理工作的可持续发展。此外,档案利用的垄断局面仍旧存在,高校档案多数被行政人员利用,同时还有一部分科研人员,虽然目前各大高校已经致力于扩大档案利用人群,但是力度仍旧不够,同时宣传乏力,没有对宣传形成有效的纵深,因此收效甚微。如何打破传统的档案管理模式,改变落后的管理理念,推广先进、科学的管理方法,是档案从业人员需要认真考虑的问题。

2.2 高校档案管理信息化建设进程出现的问题

2.2.1 投资规模大与资金来源少的矛盾

档案信息化建设需要大量的资金作为后盾,其建设速度受到资金来源及稳定性的制约。信息化建设中基础设备的投资包括服务器、交换机、扫描仪、微缩设备等,这类设备需要大量的资金来购置。此外,内部局域网的建设,光纤接入以及购买带宽,购置、维护软件以及进行安全防护等,都需要资金支持。电子产品高速的升级换代和较短的生命周期也导致了大量资金的投入。但是由于资金来源较少,筹措困难,两者的矛盾日益激化,影响信息化建设的发展。

2.2.2 建设任务重,进程缓慢

高校档案信息化建设的任务中,第一,需要对现存的档案资源进行处理,利用扫描、微缩等手段,将之数字化;第二,对数字化的文档按照档案管理标准进行分类整理,并录入数据库,便于检索和利用;第三,建设网络应用平台,给用户提供远程服务;第四,采用隔离技术,应用数据备份和加密对档案进行保护,防止来自网络的恶意访问,避免由于工作人员误操作而导致的删除、修改等,确保档案信息的安全以及可用;第五,不断升级管理系统的同时,要对现存电子文档进行升级转换,确保其可用,避免电子档案资源的损毁;第六,由于档案管理信息化建设进程的繁重任务导致其不可能在短时间内完成,因此对于档案管理人员来说,除进行数据化处理与维护外,还要对现存的纸质文档进行妥善的保管和处理,工作量较大,任务繁重。在档案管理信息化建设完全完成,并纳入档案工作运行管理体制之前,如果文档复制、扫描等技术没有较大发展,财政投入没有较大突破的前提下,这个过程将持续数年时间。

2.2.3 队伍建设要求高与人才缺乏的矛盾

档案信息化管理人员需要具备新的思想观念,扎实的专业知识和技能,较高的写作水平以及综合素质。需要的人才类型是有熟练的计算机技能、网络安全技能、获取以及运用情报信息的能力、档案专业知识丰富的复合型人才。档案信息化人才引进的主要阻力首先是体制问题,难以引进有效的竞争手段,其次是冗余人员多,导致工资待遇普遍较低,难以吸引高层次人才。老面孔,老方法,效率低下,进展缓慢,是目前档案部门工作的现状。

2.2.4 应对环境变化能力差,服务方式转变困难

由于长期以来的档案管理模式与管理理念影响,当前高校档案管理普遍表现出思想陈旧、不思进取的现状,抵御外来风险能力较差,缺乏核心竞争力。这种档案管理模式在信息化背景下已经不再适用,信息化背景下的档案管理以用户的需求作为主要目标,需要从业人员真正更新、转变服务理念,拓展档案管理的服务业务,提高服务质量。

3 加快档案管理信息化建设的策略

3.1 加快统一标准建立,统一管理

建立统一标准,有利于不同高校系统之间资源的共享与整合,同时也有利于对整个集成系统进行安全保护。系统可以按照标准进行相应的操作,提高系统可操作性,同时避免由于标准不一致而导致的系统内部漏洞等安全问题。该标准的制定由信息化部门进行安排、实施,保证接口以及底层设备和数据格式等的一致性,避免数据冗余和资金浪费现象。

3.2 应用现有系统,整合信息资源

各高校应当以现有的应用系统作为基础,对校内各二级单位施行统一标准管理,以实现数据一次采集,长久利用的目的,节省人力物力和财力。第一,规划建设校级信息数据中心,整合各单位分散的资源,统一数据采集格式;第二,提高硬件水平,统一底层数据库以及相关接口,实现数据共享,加大应用系统投入。这样可以有效避免硬件的重复建设等问题的发生。

3.3 加强安全保护体系的建设

信息安全问题包括两个方面,从技术层面来讲,各高校应当建立有效的用户认证机制,访问准入机制以及安全加密机制,应用各种硬件保护和软件保护技术对系统实现安全保护;从管理角度来考虑,首先应当健全管理制度,提高管理人员实施、监督等方面的警觉性,定期巡检、实时监控,明确各部门职责和相关负责人,定期进行安全培训,提高工作人员解决问题的能力;另外还应当建立应急反应体系,在发生网络安全事件时,能够及时、有效的进行处理,从问题的发现、处理以及事后补救等多个方面进行全方位考虑。

3.4 变革组织机构,健全人才引进机制

变革现有的比较陈旧和落后的组织机构,对于加快档案管理信息化建设具有重要作用。新的组织机构和人才引进机制应当具有以下几个方面的优势。首先,能够充分调动基层工作人员的工作热情,使其能够将创造性的想法实施,增加部门工作活力;其次,分工明确,责任到人,各部门各司其职,提高系统整体的工作效率;第三,有利于人才的引进以及留用,组织机构的变革能够为部门发展带来新的活力,能够吸引高端人才的留用,有利于壮大人才队伍。

4 结语

高校档案管理信息化程度是高校教学质量、学术水平以及管理水平的体现,也是构建数字校园的关键所在,是信息化社会给高校档案管理工作提出的必然要求。各高校应当积极建设统一标准,整合校内资源,加快建设信息化的档案管理系统,变革陈旧的思想观念与组织机构,提高竞争力,适应新环境下的变化,努力实现其标准化、制度化、科学化、现代化的高校档案管理信息化建设目标。

参考文献

[1]刘晓云.高校档案管理体系信息化建设研究. 计算机光盘软件与应用. 2013(15).

[2]马静.高校档案管理信息化建设. 办公室业务. 2013(17).

[3]初庆华.浅谈高校档案管理信息化模式研究. 华章. 2013(04).

篇10

关键词:OWASP;Web应用漏洞;安全攻防;实训平台;SQL注入

一、引言

随着计算机与互联网的快速发展,Web应用已经深入各个领域当中。但是由于 Web 开发人员能力的良莠不齐,致使大量的站点存在着 Web应用安全漏洞,这就给攻击者打开方便之门。世界上权威的Web安全与数据库安全研究组织OWASP(Open Web Application Security Project)提供的OWASP TOP10 WEB安全报告,总结了Web应用程序最可能、最常见、最危险的十大安全威胁,包括SQL注入漏洞;跨站脚本(XSS);直接引用安全漏洞;跨站请求伪造(CSRF);配置安全缺陷;加密存储威胁;未检验重定向等。Trust Wave公司在其2012 Global Security Report的十大Web应用安全威胁包括SQL注入漏洞;逻辑缺陷;跨站脚本;授权旁路;会话处理缺陷;旁路认证;跨站请求伪造;源代码泄露;详细的错误信息;脆弱的第三方软件等。

Web应用安全受到越来越多的攻击者的关注,一方面是由于传统的C/S架构方式逐渐在往“瘦客户端”的B/S架构上迁移,而且其应用与数据库系统的结合也更加紧密,使得存在安全漏洞的环节增多;另一方面是由于防火墙和IDS/IPS可以关闭不必要暴露的端口,但是对于Web应用常用的80端口都是对外开放的,这样使得攻击者可以方便地借助于这个通道进行攻击或者执行恶意的操作。

二、系统框架设计

基于B/S架构的Web应用安全攻防实训平台允许用户使用浏览器与站点进行交互操作,并且可以通过应用来访问后台数据库系统,其架构主要包括以下方向。

1.Web应用系统。采用标准HTML代码进行编写用于显示数据和接收用户输入的数据,在Net Framework框架基础上采用C#进行编写代码接受用户端传递过来的参数,负责处理业务逻辑和数据库访问等功能。

2.Web应用服务器。用来支持Web应用和用户浏览器之间的正常通信,负责处理HTTP请求/响应消息等操作,采用Windows自带的IIS程序,根据实际需要可以扩展到Apache、Lighttpd等Web应用服务器。

3.操作系统和数据库系统。操作系统默认采用Windows Sever系列,后台数据库默认采用SQL Server作为后台数据库系统,根据实际需要可以进行相应扩展My SQL、Access、Oracle等等。

攻防实训平台的硬件部分包括Web应用服务器、数据库服务器、防火墙、教师端和学生端等,其系统拓扑图如图1所示。学生端分为校内学生端和校外学生端两组,其中校外学生端通过防火墙进行访问、分析和处理。

图1 系统拓扑图

三、安全漏洞设计和利用

在OWASP和TrustWave的报告中,SQL注入漏洞都被列为最危险的攻击形式之一,因此,提取SQL注入漏洞作为分析和测试用例。

1.SQL注入漏洞分析。其原理是通过把SQL命令插入到Web表单递交、或输入域名或页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令,通过构造巧妙的递交参数构造巧妙的SQL语句,从而成功获取想要的数据。其严重后果会使得攻击者得到在数据库服务器上执行命令的权限,并且甚至可以获得管理员的权限进行更为危险的操作。

2.SQL注入漏洞构造。为了利用SQL注入漏洞,攻击者必须找到一个参数传递数据,然后这个参数传送到操作数据库的SQL语句中,Web应用程序使用该语句操作数据库,可能导致信息泄漏、数据丢失、记录篡改等危害。

在Web应用安全攻防平台的显示页面(view.aspx)的部分代码编写如下。

SqlCommand Cmd=new SqlCommand("select*from NewView where id =" +Request.QueryString["id"], Conn);

SqlDataReader Dr = Cmd.ExecuteReader();

其传递过来的参数id,没有做任何的限制和处理就传递给操作数据库的SQL语句,那么该语句就产生了SQL注入漏洞。

3.模拟攻击过程。在构造完SQL注入漏洞以后,使用经典的参数后面附带单引号(’)、and 1=1、and 1=2和分号(;)测试数据,分析其返回结果。对于SQL Server的数据库可以采用错误的安全配置和猜解管理员数据表及其内容的方式进行模拟攻击。

(1)SA用户权限利用。如果Web应用采用了SA用户进行数据连接,那么可以构造特殊的SQL Server命令来提交到查询字符串中,利用SQL Server自带的xp_cmdshell操作系统外壳命令来执行相应的系统命令,提交的页面字符串(Web应用地址:192.168.2.5)为:

http://192.168.2.5/view.aspx?id=28;exec master.dbo.xp_cmdshell "net user test test /add"

对于SQL Server阻止了对xp_cmdshell的访问情况,可以使用sp_configure来恢复和启用xp_cmdshell,提交的页面字符串为:

http://192.168.2.5/view.aspx?id=28;EXEC sp_configure 'show advanced options',1 RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE

再次执行xp_cmdshell操作系统外壳命令,如果执行成功即可添加一个系统用户。

(2)数据表的猜解。对于非SQL Server数据库的情况,比如,Access和MySQL数据库类型或者Web应用没有使用SA用户进行数据库连接,那么可以通过SQL注入来完成数据表的猜解,其过程可以分为:猜解表名和记录数;猜解字段名称;猜解字段长度;猜解字段字符等步骤。

猜解表名提交的页面字符串为:

http://192.168.2.5/View.aspx?id=28 and exists(select * from admin)

猜解记录数提交的页面字符串为:

http://192.168.2.5/View.aspx?id=28 and 5

其余提交的页面字符串都可以通过手工构造SQL命令或者使用SQL注入工具来自动完成。

4.获得服务器管理权限。在获得Web应用管理权限之后,可以进入其管理后台利用其Web编辑器的上传功能将准备好的Web Shell上传到Web服务器上。根据其Web应用服务器类型的不同,可以上传ASP(.NET)、PHP和JSP等类型的Web Shell,以获得服务器的管理控制权。

综上所述,其攻击过程如图2所示。

图2漏洞攻击过程

四、SQL注入攻击防范设计

SQL注入攻击防范首先需要对Web应用和数据库系统进行安全合理的配置,包括以下几点。

1.不使用管理员(SA)权限的数据库连接,为每个应用分配权限有限的数据库连接。

2.使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误页面提示。

对于用户提交的客户端信息,使用SQL注入检测模块进行必要的检测,其步骤主要包括。

1.对客户端提交的信息进行URL解码,防止用户以URL编码的方式构造SQL命令用来欺骗SQL注入检测模块。

2.使用正则表达式来验证提交信息中是否包含单引号(’)、分号(;)、结束符(--)等特殊字符,如果存在则转至异常处理模块。

3.检测提交信息中是否包含select、insert、update、from、user、exec等特殊命令,如果存在则转至异常处理模块。

4.检测提交参数信息的长度是否超过预设的阈值,如果超过则转至异常处理模块。

SQL注入检测步骤流程如图3所示。

图3 SQL注入检测防御模块设计

五、结束语

紧密结合OWASP和Trust Wave提供的相关安全报告,采用积极主动的办法来训练用户对于SQL注入漏洞的处理,分析漏洞原因、构造和设计漏洞、模拟攻击平台,并对结果进行分析,确定问题所在,给出改进建议和防护措施。在平台上,一方面可以实现Web应用攻防技术、过程、方法的演示再现甚至对抗性的攻防演练;另一方面,将教学和实验操作中产生的Web应用攻击行为限制在一定的范围内,防止对互联网的实际网络和服务造成干扰和破坏。

Web应用程序的安全攻防是信息(网络)系统安全中具有挑战性的部分,对于满足信息安全人才的培养,实现网络安全专业方向实验教学,满足教育、政府信息化和企业Web应用安全培训需求是一项十分有意义的工作。

参考文献:

1.OWASP.The Ten Most Critical Web ApplicationSecurityRisks[R],http:///images/0/0f/OWASPT10 2010 rc1.pdf.2012-10

2.TrustWave.2012 Global Security Report[R],http://.cn/OWASP Training/Trustwave WP Global Security Report 2012.pdf.2012-10

3.范渊,《Web应用风险扫描的研究与应用》[J],《电信网技术》,2012.3:13-17

4.章建国,《利用WEB应用漏洞构筑WEB安全检测系统》[J],《广东公安科技》,2006.2:36-39

5.尹中旭、朱俊虎、魏强等,《网络攻防演练平台的设计与实现》[J],《计算机教育》,2011.2:108-112

6.徐川、唐建、唐红,《网络攻防对抗虚拟实验系统的设计与实现》[J],《计算机工程设计》,2011.32(4):1268-1271

7.王云、郭外萍、陈承欢,《Web 项目中的 SQL 注入问题研究与防范方法》[J],《计算机工程与设计》,2010.31(5):976-978

8.李扬、朱晓民、李炜,《网站安全漏洞解析》[J],《四川兵工学报》,2012.33(1):97-99

9.余静、高丰、徐良华,《基于 SQL 注入的渗透性测试技术研究》[J],《计算机工程与设计》2007.28(15):3577-3578

10.朱辉、周亚建、钮心忻,《数据库SQL注入攻击与防御研究》[A],《2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集》,2011,580-583

11.熊婧、曹忠升、朱虹等,《基于构造路径的存储过程SQL注入检测》[J],《计算机研究与发展》,2008.45:125-129

12.王伟平、李昌、段桂华,《基于正则表示的SQL注入过滤模块设计》[J],《计算机工程》,2011.37(5):158-160

基金项目:河北省高等学校科学研究计划项目(课题编号:Z2012087),石家庄市哲学社会科学规划研究项目(课题编号:WH1217)