安全审计系统范文
时间:2023-04-02 03:45:09
导语:如何才能写好一篇安全审计系统,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
功能设计如下:1)审计信息记录模块。通过提供通用的审计信息记录接口,完成云平台上用户操作的日志信息的标准化处理,并存储到审计数据库的功能,该模块使得系统具有良好的可移植性。2)审计信息签名模块。日志信息处理后存储至审计数据库中时,在审计信息中加入两次签名——元组签名和分片签名,以保护审计数据库自身的安全和审计信息的完整性、完备性。3)审计信息管理模块。实现通过Web管理页面对审计信息进行浏览、删除、导出等操作,为审计人员提供便利的审计信息分析和管理。审计管理员可在审计信息管理平台上下发已制定的审计策略,筛选出可疑事件信息。
2工作流程
2.1审计信息记录流程
审计信息记录是对云平台上用户的操作信息进行获取、分类、存储至审计数据库中的一个过程(见图2)。审计信息记录的流程如下:1)当云平台上的用户使用正确的账号口令登录云平台系统后,便可进行日常的操作行为,例如修改密码、数据的上传和下载、用户之间数据的传递、启动并使用一个远程软件等。云平台通过日志采集引擎采集到日志信息,并向审计信息记录模块发起审计服务请求。2)在众多的用户日常操作行为中,找出审计重点关注的事件及属性,划分平台事件类型,即对审计事件分类。这样的好处是:筛选出重要的平台事件,使得审计更加有效;将来若扩展系统,添加关联分析模块,可直接对审计数据库中的事件分类信息审计事件分析,而不是对冗长杂乱的日志信息分析,提高了关联分析的效率。例如:将平台事件分为以下4类,并确定相关属性如下:①用户事件,表示用户的各种基本操作行为,包括用户登录和注销、密码修改、个人信息修改等事件,需要记录的信息有用户名、登录IP、操作时间、操作是否成功。②数据传输,表示用户对文件等数据的传输行为,包括上传数据开始和结束,下载数据开始和结束、删除数据,重命名数据事件,需要记录的信息有用户名、登录IP、操作(上传、下载、删除、重命名)时间等。③软件使用,表示用户启动了某一个远程软件的行为,需要记录的信息有用户名、操作时间、软件是否启动成功。④工程计算,表示用户提交了一个工程计算作业的行为,需要记录的信息有用户名、作业名、操作时间、提交操作是否成功等。对平台事件的分类和属性确定可以根据云平台的具体用途确定。将4类信息的处理作为4个审计记录接口,这4个接口相互独立,能够并行处理来自云平台的海量日志信息,对用户事件、数据传输、软件使用、工程计算4类事件进行记录。将审计记录接口在WebServices服务上,后,当WebServices收到请求后,就可以完成审计信息接口的功能。3)日志信息经过处理后,发送至数据库访问接口,数据库访问接口会将数据写入审计数据库。至此,审计信息记录的流程完成。
2.2审计信息签名流程
审计信息记录模块使用4个不同的接口分别接收4类用户日志信息数据,并将其发送给数据库访问接口,由其通过数字签名技术完成对日志信息的安全存储,主要包括对日志信息进行元组签名和分片签名。数字签名,简称签名,是一种基于对称密码或非对称密码(公钥密码体制)的算法。大部分签名算法都是基于非对称密码体制实现的,常见的数字签名方法如RSA、DSA等。签名具有以下几个特征:签名是可信的、不可伪造的、不可重用的;签名的文件是不可篡改的;签名是不可抵赖的[8]。(1)元组签名数据库访问接口接收审计数据,对其接收到的每一条数据,将其各记录项合并成一段连续的数据,根据MD5算法计算该段数据的MD5值,作为该条日志信息的唯一元组签名项,具体流程如图3所示。随后将计算出的元组签名项与该条日志信息的各记录项存储到审计信息数据库中,通过数据库访问接口,完成日志信息的存储操作。(2)分片签名每当审计数据库中插入100条数据时,对这100条数据进行签名,将签名保存在一张签名表中,即完成对文件的分片加密(见图4)。将数字签名应用到审计数据库中,原因是审计数据库对数据的安全性有较高的需求。审计数据库中的数据需要保证每个元组都是来自真实的审计日志,数据的完整性正是利用数字签名这些特征来确保查询结果来自真实的原始数据,没有任何篡改。当审计数据库受到安全威胁攻击时,要能够验证该攻击的真实性。审计数据库采用了对元组签名而不是对其加密是因为:加密能够保证数据库的机密性,但是对审计查询工作时进行模糊匹配、多表查询造成了很大的困难,同时,响应时间的加大和解密时间的增多,都影响了系统的可用性。审计数据库签名的粒度有4种:元组属性值、元组、字段、表。为了保证数据完整性,采用对元组签名和分片签名的方法。在审计数据库中的数据以明文形式存储,当怀疑审计数据的有效性时,即可检查审计数据库返回的是不是审计日志的原始数据。通过重新计算该元组MD5的值,如果当前的签名和该元组里的签名对比,若两个MD5的值不相同,则说明该元组已被篡改,是不可信的,用户和管理员可拒绝接受该元组信息。由于对元组的签名只能保证该元组是可信的,没有随意地篡改数据,但是不能保证日志信息的连续性,即数据没有被删除和添加。通过分片签名的方法,可以保证所有数据的完整性。
2.3审计信息管理流程
审计信息管理主要为云平台管理人员以可视化界面的形式提供信息审查的平台,为其进行审计信息的浏览、导出、删除等管理操作提供方便快捷的操作途径。(1)审计信息浏览通过审计信息管理模块与数据库访问模块的交互,能够将存储在安全审计数据库中的审计信息取出并在浏览器中展示,管理人员能够从浏览器中获取云环境下各主机所对应用户的行为操作描述,便于对云平台的安全状况进行审查和评价,及时发现云平台安全性威胁行为。管理员也可根据相应的审计策略给出审计信息的筛选条件,找出可疑信息。(2)审计信息导出对当前用户日志信息记录表以文件形式导出,并加密保存在本地,实现对云平台日志信息的永久性保存,同时保证了其安全性。(3)审计信息删除管理人员能够通过用户界面操作删除用户日志信息,通过审计信息管理模块与数据库访问模块,将存储在安全审计数据库中的该条记录删除。用户界面的设计是为了帮助管理人员或专业机构了解整个云平台上用户日常行为操作的具体内容,及时发现威胁安全的用户操作,实时维护整个云平台的系统安全与数据安全。用户界面不对管理人员提供主动增加用户日志信息及修改用户日志信息的功能。
3性能测试
3.1安全性测试
安全审计系统具有较强的安全保障,具体体现在以下两个方面:1)审计数据库自身的安全保护。对安全审计系统进行访问控制,由专门的审计管理员负责审计数据库的管理、审计策略的下发、审计信息的分析、审计数据库信息的备份和故障恢复等操作,其他人员无权执行上述操作。2)审计数据的完整性安全保护。日志信息在经过审计接口进行存储时,需经过信息分类、格式标准化、签名处理。元组数据的签名确保了单条数据的完整性,分片数据的签名确保了整个审计数据库的审计数据来自连续的审计日志信息。双重签名机制能够确保审计数据完整性的安全保护,同时也能够让平台用户信服于审计结果的准确性。在测试过程中,随机选取审计数据库中1条测试数据,统计其元组签名以及被划分到片(100条数据)后得到的分片签名,然后修改该条测试数据的内容,再次得到以上两组签名,并进行比对,实验结果如表1所示。安全性测试结果表明,当审计数据库中的某一条数据被非法修改时,通过比对分片签名是否改变,可以确定具体被修改的数据在哪一片中,进一步比对元组签名是否改变,便可以确定被修改数据的具置。
3.2算法效率测试
安全审计系统通过双重签名机制保障安全性的同时,也应具备良好的运行速度。而分片签名是基于100条数据进行的签名算法,其执行效率将影响到安全审计系统的整体执行效率。在排除系统其他操作的情况下,针对分片签名计算进行速度估算测试,测试结果如表2所示。算法效率测试结果表明,当同时插入10000条数据时,需要进行100次分片签名算法,签名计算操作仍然耗时较短,考虑到实际运行环境中,同一时间插入的数据均远小于10000条,可以认为签名算法在运行效率上不会影响安全审计系统的整体运行率。
4进一步研究工作
下一步的研究重点将是在本方案的基础上实现以下两点,来提高审计系统的审计能力和审计效率。(1)审计系统中关联分析、报警功能的实现关联分析(AssociationAnalysis)是指在数据记录的数据项之间挖掘关联关系,某些数据项的出现预示着该记录中其他一些数据项出现的可能。进一步研究关联分析方法对审计信息进行关联分析,以发现攻击的规律和趋势,甚至是预测即将发生的攻击。在审计系统中添加报警功能,并可由审计管理员自定义报警策略及响应措施,当发现云平台有严重的侵害事件发生时,即可启动响应措施,对平台进行保护。(2)研究分析审计数据完整性保护措施方案本方案采用了基于简单签名的数据完整性保护措施。这种方法实现比较简单,能够保证数据的完整性。但是签名数量较多时就会给系统带来较大的时间和空间开销。文献[9]提出了完整性审计方法,即通过在需要委托的数据库中插入少量的伪造元组来验证审计数据库的完整性。文献[10]提出了双重加密方法,这种方法是一种低耗费的可证明安全性的双重加密方法,能够保证实现数据元组的完整性认证。因此,可以对不同的审计数据完整性保护措施方案进行对比分析,根据具体云平台的功能总数、用户量选择合适的方案。
5结语
篇2
关键词:服务器运维;安全审计;日志查询
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)16-3734-03
Abstract: With the improvement of social information, a variety of servers, switches, routers and other hardware devices are more and more, we need to build the centralized maintenance for management and audit the system permissions, We need to standardize the operating behavior of the servers, and upgrade information system operation and maintenance operation of regulatory capacity, improve the network and information security management.
Key words: server maintenance;security audit ; log query
信息化是当今经济社会发展的大趋势,信息化水平的高低,已经成为衡量一个高等学校竞争力的重要因素。随着计算机技术、网络技术和通信技术的发展和应用,高校信息化已成为高校实现可持续化发展和提高市场竞争力的重要保障。
1 服务器安全审计系统的研究意义
在高校信息化建设的过程中,逐步的配置了大量的服务器、网络设备,而针对这些设备运用、维护、管理和数据保护等等这些问题,都是非常重要的。运用目前广泛使用的远程登录方式,不需要直接跑到机房,通过 PC 机就可以进行应用系统、数据库、网络设备、服务器的配置、修改、上线等,过程简单便利,但也带来了很多安全隐患问题。
1)密码管理:所有管理人员通过口口相传的方式得知设备帐号和密码,非常容易让人非法获得设备帐号和密码,从而对网络设备进行非法访问和攻击,导致敏感数据被窃取或破坏。
2)对设备的操作:管理人员对网络设备的操作过程使用手写笔记记录,无法知道运维人员的笔记可信性和完整性,从而无法知道运维人员对网络设备的运维操作情况,出现故障也无法跟踪责任人。
3)管理人员权限:缺乏网络设备授权平台,容易导致管理人员越权访问,非法操作等,增大了信息泄密风险。对用户的操作行为难以评估。
4)安全审计:网络设备缺乏审计系统,会造成设备被非法操作、误操作无法阻断,对于安全事件,因为缺乏审计记录,事后也无法检查、监督。
所以,对校园网络运维具有以下迫切需求:
・有效保护校园网内部服务器重要保密数据不被窃取和修改;
・解决共享帐号密码的问题,使操作者与操作行为一一对应;
・简化密码管理,提高密码管理的安全性;
・集中管理各种操作行为,提高操作管理效率;
・有效监管管理员或者设备厂商/代维厂商对设备的操作;
・有效审计操作行为(实时监控、真实记录、查询回放、非法操作阻断);
针对这些运维安全问题应运而生的运维安全审计系统,它是一款通过对密码集中管理,对每一个操作人员建立账号,设定操作人员访问设备权限,记录每一位运维人员对设备的操作,并提供实时监控和回放进行审计,集认证、授权、审计为一体的信息安全系统。
2 服务器审计系统的设计和实现
2.1服务器的管理模式
目前各大高校由于工作需要购买了各种类型、数量繁多的服务器,为了安全性的考虑多数采用集中式管理,通常集中放在校园网络中心机房,这样可以带来如下好处:
1) 集中管理可保证无尘环境,统一的温度湿度控制,减少服务器故障率;
2) 集中管理可以实时查看服务器的运行状况,及时发现故障;
3) 中心机房的不间断电力系统,可以保证系统稳定工作;
4) 发挥中心机房网络速度优势,服务器上的应用能够快速访问;
2.2服务器审计系统设计
在服务器集中管理的状况下,各个服务器的使用人员或者管理员,不需要来到中心机房,直接通过远程来访问相应的服务器,由于中心机房管理着少则几十台多则几百台服务器,有时很难判断某台服务器出故障时的原因,因此采取统一密码管理制度,使用者并不知道服务器的登录密码,他只需要通过浏览器登录到WEB页面,输入相应的用户和密码就可以实现对自己要维护的服务器进行操作管理。审计系统能够对用户的行为进行跟踪记录。
网站的设计是基于B/S架构,采用J2EE+MYSQL编程。
系统的结构,如下图所示:
管理员登录:可以设置各种角色,可以添加删除用户,对用户进行授权或者分配服务器管理权限,添加设备、设置访问协议,可以为设备批量添加管理人员。
一般用户登录:登录后只能看到自己管理的服务器列表和已登录的服务器日志,点击直接进入服务器操作界面,服务器用户名和密码对一般用户来说不可见,有管理员统一管理。一般用户的操作将被服务器全程记录,写入日志,生成日志报表。
服务器审计:一般用户和管理员都可以进行服务器审计,管理员可以看到所有的服务器和所有用户的使用情况,可以访问日志报表,查看服务器访问记录。服务器访问记录以视频的形式录像,管理员可以回放,然后进行异常处理。对敏感数据的操作一旦出错,可以查找原因,对相关责任人追责。
2.3多远程管理协议
本系统提供了 RDP、Telnet、SSH、VNC、HTTP、FTP 等协议的支持。对于Windows 系列服务器提供RDP和FTP 协议的支持;对于 Unix 或 Linux系列服务器,提供Telnet、SSH 和 VNC 协议的支持;路由器、交换机等支持其使用 Telnet、SSH 作为访问方式。
2.3.1 RDP协议
远程桌面协议(remote desktop protocol, RDP)是一种构建于Windows系列操作系统的终端服务网络通信协议。它采用了典型的C/S架构,共分为两个部分:运行在远程设备上的客户端和运行在服务器上的终端服务器。作为微软公司的一个工业标准,该协议应用于Windows系列服务器。
2.3.2 Telnet协议/ SSH协议
Telnet 协议是 TCP/IP 协议族中的一员,是Internet远程登陆服务的标准协议和主要方式,它为用户提供了在本地计算机上完成远程主机工作的能力。SSH为 Secure Shell 的缩写,由IETF 的网络工作小组(Network Working Group)所制定;SSH为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
所以,本系统除了支持Telnet协议外,也支持较为安全的SSH协议,使其能非常好的对 Unix或Linux系统的服务器、路由器、交换机等网络设备提供访问和审计。
2.3.3 VNC协议
VNC 是一款优秀的远程控制工具,VNC是在基于UNIX和Linux操作系统的软件,远程控制能力强大,高效实用,其性能可以和Windows中的任何远程控制软件媲美。为了方便对UNIX、Linux系统的图形化XWINDOWS的访问本系统 提供了VNC对UNIX、Linux系统服务器的访问的支持。
2.4服务器运维安全审计
对运维人员对设备的操作过程进行全过程监控,操作人员在操作设备的过程中,任何操作都会被记录,并提供实时监控功能,及时进行操作指导或纠正操作错误。在事后进行查询,通过审计回放,让操作过程都有迹可查。使运维人员的运维工作更轻松、机密数据更安全、安全事故责任更明确。
2.4.1审计数据的采集
把目标设备的启动和关闭、目标设备操作系统的操作、目标设备的文件使用、一切键盘输入操作等等操作过程都记录下来,并生成完整的审计数据。审计记录会被存在到数据库中,方便用户查阅、检索,让所有操作过程都有迹可查。
2.4.2审计数据的回放
提供完善的审计回放功能,让系统管理员轻松完成运维监督、安全事故预防等工作。审计回放包括:图形回放、命令回放、键盘输入显示。
2.4.3日志查阅
为系统管理员提供的可查询日志包括:登录日志、操作日志、审计回放日志等等。提供灵活的日志查询设置,使系统管理员可以根据日志日期范围、运维人员姓名、设备名称、设备IP等条件查询日志。
2.4.4审计日志报表
提供各种报表,包括系统使用情况、设备使用情况等生成报表,统计设备被访问次数和访问的时间,大大简化了日志分析工作。系统还支持报表导出功能,导出报表的格式为Excel。
3 小结
有了服务器审计系统,就不会出现服务器长期没有人管理的问题,不仅可以看到用户什么时候登录,做了些什么操作,还可以定期督促用户做好数据备份、服务器整理、安全防护等工作。在服务器数据出问题时,可以采用视频回放,查找非法操作或者错误操作的原因。还可以生成日志报表,对服务器的使用有一个全面的了解,对使用率很低的服务器可以在上面添加新的应用,负载高的服务器减少应用,达到一个负载平衡。
参考文献:
[1] 陈刚.Eclipse从入门到精通[M].北京:北京清华大学出版社,2007.
[2] 邬继成.J2EE开源编程精要15讲[M].北京:电子工业出版社,2008.
[3] ,周峰,孙更新. J2EE 经典案例设计与实现[M].北京:电子工业出版社,2007.
[4] 刘汝悼.计算机审计技术和方法[M].北京:清华大学出版社,2004.
篇3
[关键词]学校;网络安全;审计
doi:10.3969/j.issn.1673 - 0194.2016.04.041
[中图分类号]F239.1;TP393.18 [文献标识码]A [文章编号]1673-0194(2016)04-00-02
随着我国互联网技术的快速发展,基础的网络设施得到进一步完善,互联网在各企事业单位中得到充分利用。近几年,学校投入大量人力、物力、财力进行信息化建设,利用网络来管理校园工作、信息,提高了学校的工作效率。在信息系统快速发展的同时,网络管理的安全问题日益突出。因为学校的工作人员除了利用网络办公外,还有利用网络购物等一些与办公无关的行为,这之间可能有意无意地泄露了学校的机密,学校很难追查是谁泄密的。因此,如果对网络不进行监管,网络安全问题将成为学校的效率的杀手,并给学校带来很多麻烦。
1 网络审计功能特性概述
1.1 机器分组管理
网络审计可以实现对局域网内IP地址和机器名的搜索,并对搜索到的机器信息进行分组管理。自动分组功能可实现对指定IP段机器的自动分组,可生成多级树形结构的组织架构,针对不同级别来进行分组管理。
1.2 上网人员控制
网络审计支持12种认证和识别方式,包括邮箱认证、AD域认证、本地Web认证等,可以设定部分或全部机器须用账号上网,通过对账号的分组管理,可实现在同一机器上不同用户具有不同的上网活动权限。
1.3 丰富的策略分配机制
网络审计支持针对组织全局和部分的控制,支持对组织内用户账号、IP、MAC、分组的策略分配根据上网人员的账号或机器及上机范围来对其网络活动权限进行控制。
1.4 全系列娱乐应用封堵
网络审计系统支持对魔兽世界、QQ游戏等近百个市场上主流的网络游戏,大智慧、指南针等二十几个财经股票软件,以及MSN、QQ等常用的即时通讯工具进行实时的封堵,保障组织人员的工作学习效率。
1.5 针对关键字的封堵控制
网络审计支持针对内容关键字的各种应用封堵,包括文件传输、远程登陆、邮件收发、即时通讯等,支持针对用户名的关键字模糊匹配,支持对文件传输的文件类型以及文件内容关键字进行封堵控制,支持邮件内容、标题、附件名、附件内容以及发送、抄送、暗送的地址进行关键字封堵,保障组织内部的敏感信息不外泄。
1.6 URL地址关键字过滤
根据上网请求,对URL中的关键字进行智能模糊匹配过滤,与关键字匹配的网址将被限制访问。
1.7 流量封堵控制
网络审计支持对用户的日、周、月流量进行上网控制,支持对上行、下行流量进行分别统计控制,用户在每日、周、月流量限额用完后将无法正常上网,控制组织内用户的外网访问流量。
1.8 用户自定义协议控制
对于系统未知的协议类型和网络应用,用户可根据自己的需要,添加相应的协议特征实现对自定义协议的审计和控制。
1.9 审计网络行为
系统的网络数据包通过捕获来分析,不仅可以还原完整原始信息协议,还可以准确地记录关键信息的网络访问。网络审计系统支持几乎所有的网络行为的审计,能识别所有常用网络协议的应用,支持对几乎所有网络搜索引擎关键字的审计,支持对网页登录、聊天工具登录、网络游戏登录等应用登录的账号审计。
1.10 深度内容审计
网络审计系统可获取邮件、论坛发帖、聊天记录等所有内容,支持所有Web邮件、SMTP/POP3邮件的内容和附件审计,支持对热点论坛、博客、微博的发帖、留言等的内容及附件审计,支持对网页聊天室、MSN、飞信等聊天工具的聊天内容审计。
1.11 敏感信息告警
网络审计系统可设置行为报警策略和内容关键字审计策略,对触发敏感信息的网络行为进行行为告警处理,对触发敏感内容关键字的论坛发帖、网络聊天、邮件收发等行为进行相应报警处理,支持邮箱和短信的报警方式。
1.12 报表统计与数据分析
网络审计系统支持对用户、行为、关键字、流量及趋势等的数据统计,生成报表及数据分析和展示。通过数据的柱形统计图清晰明了地展现出组织内用户的网络行为情况,IT决策人员通过图形情况了解用户上网行为趋势、了解组织带宽利用分布,可以提出整改网络带宽方案作为参考之用。
2 网络审计部署概述
网络审计系统部署通过分布式部署和串接部署这两种方式进行灵活的结合,如果在不同的网络的环境,可以实现不同的管理模式以及不同的目的控制。下面简单地介绍3种典型的部署方案及其示意图。
2.1 单台旁路铜纤镜像
第一种部署方案是单台旁路铜纤镜像,用户的交换机必须对端口镜像进行支持,它们之间的连接必须以铜缆为介质,这是它的适用环境。该方案主要用于简单的学校和企业的二层和三层网络,审计设备主要是从交换机的镜像端口获取数据,并且该方案旁路部署接入的是最有代表的方案。该方案对原有网络的性能没有影响,而且部署简单、容易维护,如图1所示。
图1 单台旁路铜纤镜像
2.2 单台旁路光纤镜像
第二种部署方案是单台旁路光纤镜像,它适用的环境是用户的交换机必须支持端口的镜像,它们之间必须以光纤作为介质来连接。该方案是审计设备使用光纤作为介质来用于端口镜像最典型的方案,它主要用在学校及企业的二层或三层网络上,和第一种方案一样都是通过镜像端口来获取数据,获取的数据要使用相应的协议对它进行还原分析。该方案部署方便且简单,维护也非常容易,对原来的网络没有影响,如图2所示。
2.3 光纤网络双链路分光
第三种部署方案是光纤网络双链路分光,用户使用的交换机不能用来做端口镜像,必须具备2个或以上,并且独立的物理网络,还有就是在一个逻辑的网络中,使用具有核心功能的两台交换机建立一个均衡或热备的网络,通过上面描述的条件才能使用该方案。该方案是在对千兆线路解决的情况下,交换机不能做端口镜像的时候采用的分光的方案,该分光器采用双向的链路对两组分别进行分光,然后使用4个光口捕获审计数据,并对获得的数据进行还原及更深层次地分析。该方案使用一台审计设备可以同时捕获一个很冗余或两个不通的网络数据,此方案是光纤部署最典型的方案,如图3所示。
图2 单台旁路光纤镜像
图3 光纤网络双链路分光
3 结 语
本文介绍了网络审计系统的功能特性及其部署方式,网络审计系统主要包括上网人的控制、全面的网络行为审计、深度内容审计、敏感信息告警等功能;部署方式主要介绍了单台旁路铜纤镜像、单台旁路光纤镜像及光纤网络双链路分光等三种部署方式。学校安装审计系统和使用设计系统,能帮助管理人员对学校上网的人员进行审计、记录及分析,使管理员有针对性地对网络进行管理。
主要参考文献
[1]郝占军.网络流量分析与预测模型研究[D].兰州:西北师范大学,2011.
[2]凌波,柳景超,张志祥.基于Windows终端信息过滤的网络访问控制研究[J].计算机工程与设计,2011(1).
[3]邓小榕,陈龙,王国胤.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).
篇4
中图分类号:C913 文献标识码: A
Keyword: traffic safety audit; indicator system; u-weight analysis
1 研究背景与内容
交通安全审计是对已有或拟建的道路建设项目、交通工程项目及其它任何将与用路者发生相互影响的工程项目的项目方案所进行的正式的安全性能测试[1]。对现有道路的安全状况进行审计,可以全面地分析影响道路安全的因素,有针对性的消除安全隐患,有效地扩展道路的安全空间和“宽容度”。然而要进行交通安全审计,首先要有完备的审计的指标体系。而建立审计指标体系的重点是确定各指标的权重。
2 确定交通安全审计指标
本着科学、客观、完备、可行、实用、明确的原则,通过参考大量文献和笔者的经验初定指标如下:
交通量:车头间距
横断面:行车道宽度、路肩宽度、路拱横坡度、净空;
平面线形:平曲线半径、超高、加宽、平曲线长度、曲线转角、直线长度;
纵断面:纵坡坡度、坡长、竖曲线半径、竖曲线长度;
视距:停车视距、超车视距
路面:平整度、抗滑能力;
交叉口:类型、相邻交叉口间距、信号灯、冲突点;
交通设施:护栏、交通标线、照明设施、交通标志、渠化;
共分8个大类28个指标。
3 基于U型权重分析法计算各指标权重[2]
3.1 用系统比较法建立指标重要性判断矩阵
系统比较法就是以指标的重要性为参照标准,由多位评判者同时对各指标的重要性多值估量的评判方法[3]。下面由不同的专家对这些交通安全审计指标进行评分,评分的标准(自信程度)如下表所示:
表1 评分的自信程度描述
完全 绝大部分 大部分 基本 半数 小半数 完全不
10 9 8 7 5 3 0
由此构造的各指标权重评判表如下所示,笔者请三位专家针对西安市道路情况对所选指标进行评判,评判结果如下表所示:
表2 自信度评判表
指标 专家A 专家B 专家C
很重要 重要 一般 不重要 很重要 重要 一般 不重要 很重要 重要 一般 不重要
1 0.75 0.5 0.25 1 0.75 0.5 0.25 1 0.75 0.5 0.25
车头间距 8 8 10
行车道宽度 9 9 7
路肩宽度 7 9 9
路拱横坡度 8 9 7
净空 8 8 8
平曲线半径 8 8 8
超高 7 8 8
加宽 7 8 7
平曲线长度 5 8 8
曲线转角 5 8 8
直线长度 7 9 8
纵坡坡度 7 8 8
坡长 7 7 7
竖曲线半径 7 8 8
竖曲线长度 5 7 7
停车视距 8 9 9
超车视距 8 9 9
平整度 8 9 9
抗滑能力 8 9 7
类型 5 7 7
相邻交叉口间距 5 7 8
视距 7 8 7
冲突点 8 8 8
护栏 5 8 8
交通标线 8 9 8
交通标志 8 9 9
照明设施 7 9 9
渠化 10 10 7
3.2自信度分数向秩次转化
完成将自信度分数到秩次的转化,转化规则是:
(1)各大于0的量化分数,其等级越高,秩次越小;
(2)同属于一个等级的量化分数,其分数值越高,秩次越小;
(3)几个指标等级与量化分数相等,则用它们的秩次位置的平均数来表示他们的秩次[5]。转化结果如下表所示:
表3 秩次转化结果
指标 专家 R R2
A B C
车头间距 3.5 8.5 1 13 169
行车道宽度 10 11.5 18.5 40 1600
路肩宽度 23 21 21 65 4225
路拱横坡度 13 11.5 18.5 43 1849
净空 13 15.5 13.5 42 1764
平曲线半径 21 23 23 67 4489
超高 23 27 26.5 76.5 5852.25
加宽 26 27 28 81 6561
平曲线长度 27.5 27 26.5 81 6561
曲线转角 27.5 23 23 73.5 5402.25
直线长度 23 11.5 13.5 48 2304
纵坡坡度 17 15.5 13.5 46 2116
坡长 17 19 18.5 54.5 2970.25
竖曲线半径 17 15.5 13.5 46 2116
竖曲线长度 19.5 19 18.5 57 3249
停车视距 3.5 4 2.5 10 100
超车视距 13 4 2.5 19.5 380.25
平整度 3.5 4 2.5 10 100
抗滑能力 3.5 4 8 15.5 240.25
类型 19.5 25 25 69.5 4830.25
相邻交叉口间距 9 19 13.5 41.5 1722.25
视距 7.5 8.5 8 24 576
冲突点 13 15.5 13.5 42 1764
护栏 24 23 23 70 4900
交通标线 3.5 4 5.5 13 169
交通标志 13 11.5 10 34.5 1190.25
照明设施 7.5 4 2.5 14 196
渠化 1 1 8 10 100
3.3 计算肯德尔和谐系数
计算方法如下:
(1)
其中:表示R的离差平方和。
所以可得
A专家在对28个指标进行打分过程产生了20个相同的秩次,B专家产生了22个相同的秩次,C专家产生了22个相同的秩次。所以:
(2)
其中:i表示第i个专家,m表示以为专家在构造评判矩阵时产生的秩次。所以可得:
所以:
由公式
(3)
得:
其中:K表示所邀请的专家的位数,n表示指标的个数,在这里n=28。
3.4 进行肯德尔和谐系数检验
,查值表可以得到
因为
根据显著性检验的理论[5],当,,则在0.01显著水平上拒绝H0,采取H1,属于极其显著。可知所邀请的这几位专家对所选取的这28个交通安全审计指标的判断结果具有较高的一致性。所以,下面可以计算各指标的权重。
3.5 指标权重的计算
(1)将专家的自信度矩阵相加
(4)
其中为各个专家的评判矩阵,C为3位专家的评判矩阵之和。得
(2)计算指标的隶属度
(=1,2…,n)(5)
其中:为第个指标相对于很重要的隶属度,为第个指标重要性隶属于各等级的自信度,K为专家人数,是等级参数的转置矩阵,即:所以由公式可得:
表4 各指标相对于很重要的隶属度:
e1 e2 e3 e4 e5 e6 e7
0.8667 0.6250 0.4167 0.6000 0.6000 0.4000 0.2500
e8 e9 e10 e11 e12 e13 e14
0.1833 0.1750 0.3083 0.5417 0.5750 0.5250 0.5750
e15 e16 e17 e18 e19 e20 e21
0.4750 0.8667 0.8000 0.8667 0.8000 0.3583 0.5417
e22 e23 e24 e25 e26 e27 e28
0.7333 0.6000 0.3500 0.8333 0.6500 0.8333 0.9000
(3)将其正规化得到各个指标的权重如下表所示:
(4)组合构建交通安全审计指标体系如下:
表5 交通安全审计指标体系
交通量0.0533 车头间距 w10.0533 视距
0.1025 停车视距 w160.0533
横断面 0.1379 行车道宽度 w2 0.0385
路肩宽度 w3 0.0256 超车视距 w170.0492
路拱横坡度 w4 0.0369 路面
0.1025 平整度 w180.0533
净空 w5 0.0369 抗滑能力 w190.0492
平面线形0.1144 平曲线半径 w6 0.0246 交叉口
0.1025 类型 w200.0221
超高 w7 0.0154 相邻交叉口间距w210.0333
加宽 w8 0.0113 信号灯 w220.0451
平曲线长度 w9 0.0108 冲突点w23 0.0369
曲线转角 w100.0190 交通设施0.2195 护栏w24 0.0215
直线长度 w100.0333 交通标线w25 0.0513
纵断面0.1323 纵坡坡度 w120.0354 照明设施w26 0.0400
坡长 w130.0323 交通标志w27 0.0513
竖曲线半径 w140.0354 渠化w28 0.0554
竖曲线长度 w150.0292
其中:wi表示各指标的权重。
篇5
关键字:智能手机;安全;神经网络;病毒病毒识别模型在智能手机监测中的优越性以及可行性。
0 引言
现阶段,互联网已成为当今社会不可或缺的一部分,智能手机的数量也是与日俱增,与此同时不断发展的是手机病毒,手机病毒已成为现代病毒发展的趋势。
所谓手机病毒,其实是一种破坏手机系统的程序,且其传播手段极为广泛,可通过短信、彩信、邮件、网站或者下载文件、蓝牙等传播,手机一旦被病毒感染就会根据所感染病毒程序的要求对手机实施破坏,其表现方式不尽相同,可以使关机、死机、删除手机资料、自动通话、发邮件等,有的病毒还能够破坏手机SIM卡和芯片等手机硬件设备。
怎样才能避免手机遭受病毒的破坏?其主要措施还是杀毒软件和防火墙:
①定期对杀毒软件的病毒库进行更新升级,尽可能的保证其拥有当时已出现的病毒程序的破解,若病毒库中不存在某个病毒的特征,则杀毒软件就不能对该病毒进行查杀。此外,现在的手机杀毒软件病毒库采用的是特征代码法,病毒的细微的变化都需要病毒库对其进行辨别,然而智能手机的存储空间和运算能力都是有限的,所以这种防杀毒的方法对智能手机而言,并不是完美的。
②而智能手机的防火墙主要的作用是拦截骚扰电话等,而并不是对手机病毒进行监控,面对现存的多样易变的病毒,防火墙更是显得微不足道。
究竟该选择何种方式来保护手机,这也是本文研究的重点―神经网络。
1 神经网络
神经网络是依据生物神经的机制和原理,对信息进行处理的一种模型。它能够模拟动物大脑的某些机制机理,实现一些特定的功能。人工神经网络具有很大的优越性:
①具有自学功能。比如说,当对一幅图像进行识别时,将各种不同的图像样本及其对应的结果输入人工神经网络,它就能够自己学习识别相同类型的图像。
②具有联想存储功能。人工神经网络中的反馈网络具备了联想存储的功能。
③具有高速寻找优化解的功能。
2 神经网络安全监控系统
神经网络安全监控系统就是监控手机应用程序,使手机的正常业务能够顺利进行,而对那些异常业务则进行阻止。所谓正常的业务就是那些手机用户已知的、按照用户的意愿运行的、并且其运行并不破坏用户手机中的资源和产生额外费用的已经授权的程序。
通过神经网络监控手机的而应用程序的流程图如图1所示:
图1 神经网络安全监控流程图图2 单层感知器神经网络结构
神经网络智能手机安全监控的第一步是获取所运行程序的特征,然后借助于神经网络的识别功能,对所提取的应用程序的行为特征进行识别,如果识别结果为病毒手机会向用户发出提示信息,若不为病毒则程序将继续运行。
3.1 程序行为特征的获取
这里举个例子说明。例如OwnSkin.A病毒,该病毒以手机主题的形式诱导手机用户进行下载安装,一旦该病毒被安装进了手机,它就会在用户不知情的情况下自动连接网络,自动想外界批量发送短信,对手机收到的短信的信息内容进行删除等等。从对病毒的描述详细程度方面来说,病毒具有很多种特征,本文以3个为例,进行说明,这3个特征分别是有无按键、是否自启动、是否特殊号码,程序行为特征获取的方法如下:
①针对手机自启动的行为特征:每种手机的系统,都有其正常的程序启动方式,例如Windows Mobile通过“启动”设置,Symbian的系统式通过“Recognizer”来设置程序的启动,Linux系统是将启动语句加入/ect/init.d/rcs,或者/usr/etc/rc.local中,在程序启动的时候对这些个位置进行监控,就可以很容易的判别其是否为自启动。
②针对按键这个行为特征:塞班的系统对是否有按键这个行为特征的监控是粗略的监控,以短信为例,手机短信的使用一般是先按功能键启动功能图标,然后选取短信的图标,接着是对短信内容的编辑,即一系列的数字键,监控可得到一个相应的按键序列,这样就可以通过是否有按键这个行为特征来监测手机程序的启动是否正常。
③针对“被叫号码”和“文件信息”的特征: 对于被叫号码主要执行的是,查看所要拨出去的电话号码是否是设置在黑名单里的电话,对于文件信息则是查看信息中所添加的附件是否是安装文件,如果是手机用户之间的正常传输行为,则必定有按键行为特征,这样也就会避免手机中的病毒程序隐蔽性的自启动来传输文件。
3.2 神经网络建模
仍旧以上述3个行为特征为例,将其三个特征分别用“0”或者“1”来表示,若无按键、自启动、特殊号码,其特征值都取“1”,反之则取“0”,这三个特征值一共组合成了8中可能出现的情况,将其标记为矩阵如下:
(1)
借助于神经网络的识别功能,本文以单层单神经元的神经网络为例进行说明,采用以下的参数对神经网络进行设计:
该网络包含有一个输入向量,包汗三个元素,并且每个元素取0―1之间的值。
神经网络中的神经元通过hardlim函数为传输手段,根据这个函数设计出如图2所示的神经网络结构,:
(2)
该结构输出结果为二值向量“0”或者“1”,其中“0”表示不是病毒特征,“1”则表示是行为特征。
在智能手机的实际应用中,传输函数和网络结构、层数极易神经元等的类型多种多样,可根据病毒的实际情况进行选择和应用,在此笔者只是举个例子来论述神经网络是如何识别网络的。当网络建好之后,就需要通过适当的方法对病毒样本进行训练得出误差。
仍以上述例子为例进行训练:
输入向量为:p= ;目标向量选为:t= ,在MATLAB7.1的环境中对病毒进行训练,根据所的结果得出训练的误差性能曲线,如图3所示:
图3 训练误差性能曲线
经过训练并获取矩阵权重,至此,神经网络的建模基本完成,其模型为
a=hardlim(P1*2+P2*2+P3*1-3)
在手机中所执行的应用程序,计算程序的行为特征向量与病毒的行为特征向量(111)之间的欧式距离,当所得之数比程序的特征行为向量和正常行为特征向量之间的欧式距离大时,系统将将此程序判定为病毒。
运用神经网络系统对手机进行监测不需要像杀毒软件一样需要定期更新,这对手机的安全具有更好的防护作用。
3结语
随着现代社会智能手机数量的增多和日常化,网络黑客技术也在不断的发展和完善,因此智能手机安全问题已然不能忽视或者小视。本文针对这个问题,以及杀毒软件和防火墙的不足之处,论述了神经网络病毒识别模型在智能手机监测中的优越性以及可行性。
参考文献
[1]刘一静,孙莹,蔺洋. 基于手机病毒攻击方式的研究[J]信息安全与通信保密, 2007, (12) .
[2]李锦. 手机病毒特点及防范对策[J]通信技术, 2009, (02) .
[3]杨建强,吴钊,李学锋. 增强智能手机安全的动态恶意软件分析系统[J]. 计算机工程与设计, 2010, (13) .
[4]智能手机安全防护框架浅析[J]. 信息安全与通信保密, 2010, (10).
篇6
关键词 数字信息处理;电力信息系统;日志审计;信息安全
中图分类号:TP393 文献标识码:A 文章编号:1671—7597(2013)042-097-01
现代数字信息处理技术在电力系统中得到了广泛的应用,利用信息系统对电力生产、运营以及管理等多方面内容进行处理和维护可以有效提高电力系统运行的自动化程度,控制电力产业运行安全度。综合来看,应用于电力行业的信息网络和相关操作系统有如下几类:在网络建设方面,有各层级的电力调度网和电力通信网;在信息系统应用方面,有生产控制系统、服务与信息管理系统等,其中每一类应用系统又由多个子系统如调度自动化系统、办公自动化系统、计费系统、配电系统等组成。可见电力信息网络非常复杂,这就要求对电力信息体系的运营和维护要更加严格和规范,以保证电力系统的正常、稳定、安全、高效运营。
日志审计系统是一种作用于整个信息管理体系的,以整体监控和审计为目标的,可为电力企业提供预警和客观决策依据信息安全保障系统,能够很好满足电力信息网络的上述要求。
1 电力信息安全涉及的审计要素分析
日志审计系统主要用于对电力信息系统进行信息采集记录和监控,具体而言,主要涉及以下几部分运营要素。
首先是系统硬件设备的运行状态记录。电力信息系统是由多种现代化计算机硬件组成的,这些硬件集成度、自动化程度较高,工作状态和工作模式多样,可在运行中产生多种日志文件,如防火墙状态日志、服务器运行状态日志、网络接入设备接入状态和接入时长记录等,这些日志文件受限于硬件设备的智能化程度以及管理格式等,相互之间存在较大的差距。应用日志审计系统可以方便的实现对分散的、格式差别较大的运行日志进行统一管理。
其次是网络行为记录。部分操作内容或设备需要联网进行数据处理,为保证数据传输和网络访问的安全性,需要应用日志审计系统对网络行为进行监控和限制。
再次是系统操作记录。系统关键业务运行生成的数据同样需要进行审计。
除此之外,在人工操作系统时同样需要日志审计系统对操作人员的行为进行记录,便于确定操作性质,查处或阻止违规操作。
2 日志审计系统在电力信息系统中的应用
在实际应用中可以日志审计系统主要通过数据采集、信息存储与检索、行为监控,数据分析与审计等功能保障电力信息系统的安全。
2.1 数据采集
日志审计系统主要监控对象为信息系统运行中产生数据、传输数据的软硬件设备如服务器、交换机、网络接入终端等硬件设备,数据库系统、自动办公系统、电力调度控制与管理系统等软件设备。主要监控行为为操作人员对系统的控制管理与维护、网络访问、后台维护等。
由上可知,日志审计系统必须要独立于电力信息系统多个子系统运行,且数据采集功能应该根据审计需求通过特定端口对整个系统各个部分进行信息采集完成。在采集实现方式上,日志审计系统可以按照数据属性实现自动采集,如对系统硬件运行日志的数据采集;也可以根据实际操作需求进行主动采集,如调取采集工作人员操作记录;还能够对数据节点进行探测采集,如对传输节点交换机的传输数据包监听。数据采集功能的实现主要通过相关通信协议、旁路等方式完成,这样不仅可以消除审计系统对其他应用系统正常运行的干扰,还能够确保所采集信息的正确性。
2.2 信息存储与检索
电力行业是一个安全性、稳定性要求较高的行业,是国民经济的保障。电力信息系统处理生成的日志文档应该具有较大的存储空间和较长的存储时间,以便于进行事件追溯或统计数据分析等。这就要求日志审计系统将日志文件进行统一编码和归纳,按照文件属性和结构选取最佳存储方式,提高日志的关联程度和检索效率。
2.3 行为监控
日志审计系统的主要作用之一就是按照预先制定的安全策略对信息系统的操作和行为进行监控,及时发现不符合操作要求或与正常运行状态不相符的系统行为,依照行为的严重程度选取相应的报警方式向管理人员进行报警处理。
该功能可以有效规范操作人员的操作行为,将电力系统潜在威胁和损失降到最低,切实保障电力信息系统的信息安全。
2.4 数据分析与审计
电力信息系统在一段时期后需要对相关电力通信网络,应用运行状态、内部信息安全保障度等进行总结和分析,根据分析结果解决现存问题,排除潜在隐患,完善运营策略,指导后续工作,确保电力信息系统的稳定有序运行。
3 日志审计系统对电力信息安全的意义
应用日志审计系统可以客观全面的记录电力信息系统运营过程中产生的数据,确保数据来源的客观性,消除故意人为因素的干扰。同时日志审计系统还能够对所采集到的数据进行统一管理和维护,这对于保障数据的安全性具有重要意义。除此之外,日志审计系统的应用可以大幅度降低相关工作人员的工作量,消除人力工作中存在的不确定性因素,增强数据处理的实时性,缩短预警时间,降低经济损失。
4 总结
应用数字信息管理手段对电力企业进行信息管理是电力企业发展的必然趋势,如何保障数据信息管理系统中的数据安全就成为企业稳健运营的关键。日志审计系统可以有效辅助对信息安全故障和安全事件的记录、追溯和定位,对于电力企业的信息安全具有十分重要的现实意义。
参考文献
[1]洪杰,耿德成,於晓晖,詹磊.网络日志审计系统在电力信息安全中的运用[J].信息网络安全,2010(7).
[2]刘利成.解决电力信息安全的技术措施和管理措施[J].电力安全技术,2006,8(2).
篇7
关键词:阿立哌唑;利培酮;精神分裂症;安全性;疗效
Analysis of Clinical Efficacy and Safety of Aripiprazole and Risperidone
for Two Drugs in the Treatment of Schizophrenia
DENG Yan
(Central Hospital of China Railway No.2 Engineering Group,Chengdu 610031,Sichuan,China)
Abstract:Objective To investigate the efficacy and safety of aripiprazole and risperidone for two drugs in the treatment of schizophrenia.Methods From our hospital psychiatric department admitted to hospital 118 schizophrenic patients according to admission order were divided into study group and control group with 59 cases in each group,the study group was treated with aripiprazole,the control group were treated with risperidone and the treatment results were compared between the two groups.Results In the treatment of two groups of patients, the study group of patients with effective rate of 93.2% was better than the control group 91.5%, The difference was not statistically significant (P > 0.05), adverse reactions occurred in 32 patients in control group, 18 cases of adverse reactions occurred in the study group,the incidence of adverse reactions in the study group was significantly lower than that in the control group, the difference was statistically significant (P< 0.05).Conclusion Aripiprazole and risperidone on schizophrenia patients with positive and negative symptoms are effective,and aripiprazole has less adverse reactions and better compliance, especially in the spirit of the female schizophrenic patients and clinical shall be applied.
Key words:Aripiprazole;Risperidone.Schizophrenia;Security;Curative effect
阿立哌唑(aripiprazole)属于DA (多巴胺)D2受体、5-HT(5羟色胺)1A受体部分激动剂和5-HT(5羟色胺)2A受体拮抗剂,能够调节DA功能不足或者DA功能亢进,是多巴胺系统稳定剂,被称为第三代抗精神病药;利培酮(risperidone) 是5-HT2A和DA-D2受体拮抗剂,属于第二代抗精神病药。二者作用机理略有不同,我院分析总结精神分裂症患者临床资料,对比阿立哌唑和利培酮两种药物治疗精神分裂症的安全性及疗效,现报道如下:
1资料与方法
1.1一般资料 选取2012年1月~2014年5月我院收治的精神分裂症患者118例,按入院顺序分为研究组与对照组,每组各59例, 患者的入选标准方面,均符合国际疾病分类与诊断标准第十版(ICD 10)精神分裂症诊断标准[1],阳性症状以及阴性症状量表(PANSS)的评分≥60分。其中研究组患者男性30例,女性29例,年龄19~56岁,平均年龄(31.3±1.6)岁,病程3个月~30年,平均病程(11.2±0.7)年,首次发病住院者11例,反复住院或长期住院患者48例;对照组患者男性30例,女性29例,年龄19~57岁,平均年龄(30.1±1.2)岁,病程3个月~29年,平均病程(10.2±0.6)年,首次发病住院者9例,反复住院或长期住院患者50例。排除合并有心肝肾、脑器质疾病以及糖尿病、高血压等慢性疾病的患者,同时排除妇科肿瘤患者以及妊娠哺乳期患者[2]。两组患者在年龄、性别、病程以及病情等方面的差异无统计学意义(P>0.05),有可比性。
1.2方法
1.2.1研究组 研究组患者使用阿立哌唑(博思清,成都康弘药业集团股份有限公司)治疗,入组时未用药患者服用阿立哌唑,首次剂量是5mg/d,视病情隔1~2d增加1次剂量,增幅是5mg/次,最佳剂量是20~25mg/d,最大剂量30mg/d;换药患者入组时联合使用阿立哌唑治疗,首次剂量为10mg/d,遵循快增慢减原则,递减之前用药,1w内停用之前用药。增加剂量之后如果患者发生不良反应,对症处理仍然无法耐受,则退回原剂量,多为1次/d(日间)给药,平均终末治疗剂量(23.3±3.2)mg/d,持续治疗2个月。
1.2.2对照组 对照组患者使用利培酮(卓夫,山东齐鲁制药有限公司)治疗,入组时未用药患者服用利培酮,首次剂量为1mg/d,每隔1d~2d增加1次剂量,增幅为1mg/次,1w内增加至3~6mg/d,最佳剂量5mg/d;换药患者入组时联合使用利培酮治疗,逐渐滴定剂量并递减之前用药,1w内停用之前用药。治疗期间根据患者病情以及耐受情况调整,最大剂量是6mg/d,日剂量大于3mg时分为2次服用,平均终末治疗剂量(4.6±1.2)mg/d,治疗期间根据患者副反应不同酌情合用苯海索、普莱洛尔、苯二氮卓类等,持续治疗2个月。
1.3疗效判断标准 两组患者治疗结束后,使用PANSS量表进行治疗效果评定。由2名精神科的主治医师在治疗前以及治疗后第1、2、4、8w末进行评定。显效:患者治疗之后PANSS减分率≥75%;有效:患者治疗之后PANSS减分率50%~74%;好转:患者治疗之后PANSS减分率25%~49%;无效:患者治疗之后PANSS减分率
1.4统计学方法 将所检测的数据用统计学专业软件数据包SPSS18.0进行分析,以P
2结果
2.1两组患者治疗结果比较 在两组患者的治疗结果方面,研究组患者的治疗总有效率93.2%略优于对照组91.5%,经卡方检验,差异无统计学意义(P>0.05),见表1。两组患者治疗前后PANSS评分比较见表2。
2.2不良反应发生情况 对照组患者出现不良反应32例次,研究组患者出现不良反应18例次,总的不良反应发生率分别为54.2%和30.5%,研究组患者的不良反应发生情况显著低于对照组,差异有统计学意义(P
3讨论
20世纪60年代提出了精神分裂症的多巴胺假说,即认为精神分裂症患者中枢多巴胺功能亢进,但临床研究表明精神分裂症一方面存在阳性症状,另一方面还存在阴性症状,而控制多巴胺功能抗精神病的药物仅仅能够缓解阳性症状,而对阴性症状缺乏效果,甚至会加重患者的阴性症状[3]。近年来脑影像学以及神经影像学等研究修正多巴胺不平衡假说,认为中脑边缘多巴胺-D2 功能亢进,会导致幻觉、妄想等阳性症状,而额叶皮质多巴胺-D2 功能下降,则会导致阴性症状和认知功能下降等。阿立哌唑属多巴胺系统稳定剂,既部分阻断(94%的阻断)又部分激动(6%的激动)多巴胺D2受体,在多巴胺功能亢进的背景下,阿立哌唑发挥其94%的D2受体阻断效应,产生抗精神分裂症阳性症状的作用,在多巴胺不足的背景下,阿立哌唑发挥其6%的激动效应,对精神分裂症的阴性症状、认知障碍、抑郁症状有益[4]。本研究的结果显示,阿立哌唑治疗有效率为93.2%,利培酮治疗有效率为91.5%,二者临床治疗效果相当(P>0.05),在第2w末均能体现改善阳性、阴性症状,因为二者都作用于DA、5-HT受体,对精神分裂症的阳性、阴性和认知症状均有效,但在阴性症状方面,阿立哌唑略显优势,因阿立哌唑除阻断5-HT 2A受体以外,还阻断突触前膜上的5-HT 1A受体而增加多巴胺能、部分激动多巴胺D1和D2受体,故能较多地对阴性症状有益,更大程度地改善认知功能[4],使慢性、衰退精神分裂症患者更加获益。所以,阿立哌唑具有不同于其他抗精神病药的药理作用机制,又被称为"第三代抗精神病药(TGA)"。
本研究结果显示,阿立哌唑和利培酮在不良反应方面存在统计学差异,阿立哌唑不良反应少于利培酮,尤其在药源性帕金森综合征、内分泌改变和体质量增加方面,研究组患者显著少于对照组(P
综上所述,利培酮和阿立哌唑都属于有效安全的抗精神病药物,在临床治疗的过程当中都能够有效控制患者的阳性症状以及阴性症状[7],还可改善精神分裂症患者的情感症状及认知障碍,不过同利培酮相比,使用阿立哌唑患者的不良反应风险更低,几乎不会导致月经紊乱以及溢乳问题,运动系统副反应更少,较少引起体质量增加,患者依从性更好,尤其适用于女性精神分裂症患者,临床上应当推广应用。
参考文献:
[1]张明园.精神科评定量表手册[M].第2版.长沙:湖南科学出版社,2013:150-153.
[2]喻东山.多巴胺与精神药理[J].国外医学:精神病学分册,2014,31(1):64-65.
[3]徐俊矍.精神分裂症药物治疗的新经验[J].上海精神医学,2014,16(2):100-102.
[4]喻东山,葛茂宏.精神科合理用药手册[M].第2版.南京:江苏科学技术出版社,2011:83-89.
[5]吴仁容,李乐华.新型抗精神病药:阿立哌唑[J].国外医学:精神病学分册,2014,31(3):177.
篇8
【关键词】 普瑞巴林;加巴喷丁;带状疱疹后神经痛;疗效;安全性
DOI:10.14163/ki.11-5547/r.2016.30.104
带状疱疹后神经痛为临床多发的一种顽固性皮肤疾病, 是指因带状疱疹病毒感染皮肤损害愈合后出现的剧烈、持续性疼痛, 病发时常伴有撕裂样疼痛、闪电样疼痛、针刺样疼痛等, 改变患者对炎症及刺激的敏感性, 使患者惧怕触碰衣服、食欲不振、睡眠质量低下, 且患者多伴有不同程度的抑郁、焦虑, 甚至有自杀倾向, 严重影响患者的日常生活[1, 2]。本研究选取在本院接受治疗的带状疱疹后神经痛患者101例, 通过对比, 以探讨普瑞巴林联合加巴喷丁治疗带状疱疹后神经痛的疗效及安全性。报告如下。
1 资料与方法
1. 1 一般资料 选取2014年7月~2016年2月在本院接受治疗的带状疱疹后神经痛患者101例, 随机分为对照组(50例)及观察组(51例)。对照组男24例, 女26例, 年龄50~80岁, 平均年龄(62.12±10.48)岁, 其中颈胸部27例, 头面部11例, 腰腿部12例;观察组男25例, 女26例, 年龄50~81岁, 平均年龄(62.16±10.46)岁, 其中颈胸部26例, 头面部12例, 腰腿部13例。两组患者基本资料比较, 差异无统计学意义(P>0.05), 具有可比性。
1. 2 纳入及排除标准 ①纳入标准:病程>3个月者;皮肤损害已经愈合但伴有持续剧烈的疼痛; VAS评分>4分者;知晓并同意本研究。②排除标准:凝血功能出现障碍者;其他疾病导致的疼痛;合并肾、心、肺功能障碍者;无法顺利完成本研究者。
1. 3 方法
1. 3. 1 对照组 在口服100 mg维生素B1(山西新宝源制药有限公司, 国药准字H14021291)+0.5 mg甲钴胺胶囊(山东仁和制药有限公司, 国药准字H20070279)的基础上, 第1天口服加巴喷丁(海南赛立克药业有限公司, 国药准字H20080223), 100 mg/次, 3次/d;第2天口服200 mg/次, 3次/d;第3天口服300 mg/次, 3次/d;3 d以后300 mg/次, 3次/d, 疗程4周。
1. 3. 2 观察组 在对照组基础上前3 d口服普瑞巴林(重庆赛维药业有限公司, 国药准字H20130065), 75 mg/次, 2次/d, 3 d后口服150 mg/次, 2次/d, 疗程4周。
1. 4 观察指标及评定标准 ①采用VAS评分[1]对两组患者用药前及用药后3、14、21、28 d的疼痛程度进行评价, 0分为无痛感, 10分为剧烈疼痛。②观察比较两组疼痛缓解程度, 疼痛缓解程度评定标准[3]:患者疼痛症状无改善为0级;疼痛有轻度缓解, 缓解75%, 甚至完全消失为4级。疼痛缓解率=(4级+3级+2级)/总例数×100%。③采用生活质量评分表[2]对患者用药前后情绪、食欲、睡眠、一般活动等进行评分, 分值越高生活质量越高。④对两组患者术后外周水肿、头晕、口干、嗜睡等不良反应发生情况进行比较。
1. 5 统计学方法 采用SPSS17.0统计学软件进行统计分析。计量资料以均数±标准差( x-±s)表示, 采用t检验;计数资料以率(%)表示, 采用χ2检验。P
2 结果
2. 1 两组用药前后VAS评分比较 观察组用药前VAS评分为(7.28±1.82)分, 对照组为(7.18±1.72)分, 比较差异无统计学意义(t=0.284, P>0.05);观察组用药3、14、21、28 d后VAS评分分别为(6.38±1.32)、(3.78±0.92)、(3.08±0.72)、(2.38±0.42)分, 对照组分别为(7.02±1.38)、(4.88±1.22)、(4.28±0.89)、(3.68±0.62)分, 观察组均低于对照组, 差异均具有统计学意义(t=2.382、5.123、7.457、12.359, P
2. 2 两组疼痛缓解程度比较 观察组0级0例, 1级4例, 2级10例, 3级20例, 4级17例, 疼痛缓解率为92.16%(47/51);对照组0级8例, 1级12例, 2级8例, 3级15例, 4级7例, 疼痛缓解率为60.00%(30/50), 观察组疼痛缓解率高于对照组, 差异具有统计学意义(χ2=14.411, P
2. 3 两组生活质量评分比较 观察组生活质量评分为(76.28±13.46)分, 对照组为(60.02±11.48)分, 观察组高于对照组, 差异具有统计学意义(t=6.526, P
2. 4 两组不良反应发生情况比较 观察组出现口干1例, 外周水肿0例, 嗜睡1例, 头晕1例, 不良反应发生率为5.88%(3/51);对照组出现口干2例, 外周水肿1例, 嗜睡0例, 头晕1例, 不良反应发生率为8.00%(4/50), 两组不良反应发生率比较, 差异无统计学意义(χ2=0.176, P>0.05)。
3 讨论
带状疱疹后神经痛为临床常见的带状疱疹并发症之一, 且多为水痘带状疱疹病毒感染引起, 有资料显示[4], 水痘带状疱疹病毒感染发病率为8%~27%, 且多发于中老年群体, 其中在带状疱疹后神经痛患者中有25%~50%在50岁以上, 而70岁以上的患者更是高达75%, 此外随着老龄化的加剧, 此病发病率呈持续上升趋势, 且病程长、不可治愈性, 给患者的身心健康造成极大威胁。临床治疗以口服加巴喷丁等抗癫痫类药物为主, 同时辅助以营养神经及抗抑郁药治疗, 但效果不尽人意。
2004年12月美国批准普瑞巴林作为治疗带状疱疹后神经痛药物后, 被临床广泛应用且取得较好效果, 前后多次被国际疼痛协会、美国神经病学学会等众多学会推荐为治疗带状疱疹后神经痛的首选药物[5], 也有学者指出[6]普瑞巴林联合加巴喷丁使用, 效果更佳, 为此本院对51例患者行普瑞巴林联合加巴喷丁治疗, 另以50例行加巴喷丁治疗作为对照, 研究结果显示, 用药3、14、21、28 d后观察组VAS评分均低于对照组, 差异具有统计学意义(P
综上所述, 对带状疱疹后神经痛患者采用普瑞巴林联合加巴喷丁治疗, 可有效缓解患者疼痛症状, 提高患者生活质量, 安全性高, 具有极高临床推广应用价值。
参考文献
[1] 郭志毅, 黄盛辉, 敖兴亮, 等.普瑞巴林与加巴喷丁治疗带状疱疹后期神经痛.西北药学杂志, 2015, 30(3):299-301.
[2] 王兰青, 张伟文.普瑞巴林联合甲钴胺治疗带状疱疹疗效及对后遗神经痛不良反应的对比分析.中国现代医生, 2016, 54(13): 109-112.
[3] 邱洪兵, 范玉华, 范科.普瑞巴林治疗神经病理性疼痛的疗效与安全性分析.新医学, 2014, 45(4):258-261.
[4] 王传光, 雷李培, 吴炜, 等.加巴喷丁联合用药治疗带状疱疹后神经痛伴焦虑患者的疗效观察.中国药师, 2015, 18(4):592-594.
[5] 闫军, 李刚, 刘娟, 等.普瑞巴林与加巴喷丁治疗带状疱疹后遗神经痛的荟萃分析.医药导报, 2014, 33(12):1578-1583.
篇9
经过近几年的努力,中国矿山企业的安全生产状况总体上呈现出相对稳定、趋于好转的态势。但重、特大事故时有发生,事故总量仍然偏大,矿山安全生产形势依然严峻。实践证明,要实现矿山安全生产的长治久安,就必须建立矿山安全生产长效机制。积极有效地开展矿山安全审计工作,发挥审计的监督检查作用,促进矿山切实落实安全生产主体责任,认真执行安全生产的各项法律法规,保证安全生产的必要投入,落实各项安全防范措施,不断改善安全生产条件。使矿山生产的运行方式、管理形式和监督体制等走上正轨,才能使矿山安全生产状况实现真正意义上的根本好转。安全审计作为一项专门针对企业安全生产进行监督和评价的独立审计活动,有助于督促企业遵守安全生产法律法规,有助于督促企业执行安全设施“三同时”,有助于督促企业生产责任事故赔偿及时到位,有助于督促企业安全投入及时、足额等。从而保证安全生产形势根本好转。借鉴相关学科知识建立完善的评价指标体系,是开展安全审计的关键。
一、构建矿山安全审计评价指标体系应遵循的原则
安全审计有别于常规的财政、财务审计,安全审计是企业安全生产主体责任的人格化,审计客体由静态的会计资料,到动态审计对象(企业)的主体责任和社会责任,从有形到无形,从客观反映到抽象分析。安全审计评价指标体系是度量企业安全生产活动的有效工具。为了提高这一测度工具的信度与效度,构建该评价体系时,必须满足以下几个原则:
(一)重要性原则
在中国矿山企业开展安全审计工作还仅仅处于探讨阶段,笔者认为与要求评价指标体系的全面性相比较,强调重要性原则对实践工作的开展更具有指导意义。同时,重要性原则也是在指标设定过程中对安全审计工作重点、成本与效率的综合考虑。当然,随着中国安全审计工作的发展与完善,该指标评价体系将进一步改进,以满足全面性原则的要求。
(二)责任性原则
矿山安全审计评价指标体系应准确考评被审计单位及内部各部门和个人必须履行的安全生产责任,即所衡量、评价的安全生产活动及其结果应是审计对象的职责范围,是其应当全部或部分负责,是可以控制和调节的,是其通过主观努力可以改变的结果和过程。事故的发生具有偶然性、不确定性及外部不经济性等特点,进一步造成一些企业盲目追求经济效益,重生产轻安全,安全管理薄弱;无证或证照不全非法生产,超能力、超强度、超定员违法违规生产。所有这些安全生产主体责任不落实是矿山事故易发、多发、频发,重特大事故集中、长期以来尚未得到切实有效遏制的根源。责任性原则是保证安全审计评价结论切实有效必须遵循原则之一。
(三)简明性原则
安全审计评价指标体系中应选择具有代表性、能够准确清楚反映问题的指标。由于安全审计评价涉及的领域非常广泛,评价指标虽然要求全面,但并不是越多越好。如果所选指标变量过多,一方面资料难以获取,另一方面综合分析过程也很困难。同时不便于决策者应用,而且大大增加了安全审计工作的复杂性和冗余度。如果所选指标变量过少,就有可能不足以或不能充分表征系统的真实行为或真实的行为轨迹。所以指标的设置要围绕评价的目的有针对性地加以选择,每个指标的含义要求明确,代表特征要求清楚,无相互交叉重叠现象。
(四)相关性原则
评价体系应与矿山安全审计的目标紧密相关,评价标准能够反映信息使用者的需求,能揭示被审计对象的具体安全生产状况及被审单位安全生产主体责任实现程度。相关性原则与简明性原则具有内在一致性要求。
(五)动态性原则
安全审计评价是一个随着审计项目的发展而发展以及安全生产形势变化而变化的动态过程,客观上要求设置的指标体系具有动态特点,既能反映该审计项目的历史状况和现状,在一定的时期内保持相对的稳定性,又能对未来的变化发展做出评价。同时能够适应安全生产形势变化、安全监管工作要求做出相应调整。
(六)地域性原则
不同地区的自然环境和社会环境不同,所处地区的地理位置、经济状况、水文地质等条件不同,对安全的影响因子也不同,因此应按照因地制宜原则,针对所研究地区及其主要问题选择评价指标。矿山安全评价指标体系的构建尤其注意遵循地域性原则。
二、构建矿山安全审计评价指标体系设计思路
(一)评价指标体系的维度定位
根据建立矿山安全审计评价体系的目标与原则,从范围层次上划分,安全审计评价标准分为总体评价标准和具体评价标准。所以在试图建立安全审计评价标准时,也分别从这两个方面考虑,先确立总体评价标准,再逐步完善具体标准。在指标体系架构中,不仅在矿山安全生产的规范性、效用管理以及外部效应三个维度进行了体系的构建(如图1所示)。并且从安全生产法律法规、安全内控制度、安全设施“三同时”、事故处理、安全投入等五个层面进行了体系的设计。当然,安全审计评价指标体系应该是动态的、可扩充的,审计人员可以随时按照实际情况增减,以增强其科学性、有效性,但主要指标需保留。
(二)评价权重的分配
评价权重的分配涉及到各评价维度的权重分配以及每一维度内各评价指标之间的权重分配。在构建安全审计评价指标体系过程中,要确定评价指标的权重值。各项指标的权重值,反映了该指标在整个安全审计评价指标体系中所占的比重。权重值应根据该指标对企业安全生产水平的影响程度及其实施的难易程度来确定。指标权重的确定有主观法和客观法两大类,主观法主要包括专家调查法、层次分析法等,客观法主要包括主成分分析法、熵值法和数据包络法等。
安全审计评价指标体系的构建过程,应该是主观分析法和客观分析法相结合的过程。此外,指标体系的构造过程可分为指标体系框架的构建和指标筛选两个阶段,即指标初选和指标完善的过程。该过程可以概述为:分解总目标、构造层次结构、建立预选指标集筛选指标、最终确立评价指标体系。
在构建安全审计评价指标体系过程中,要确定定量指标的评价基准值。并应按照下列原则确定:凡是国家或行业管理部门在有关政策、规划等文件中对该指标已有明确要求值的就应选用国家要求的数值;凡是国家或行业管理部门对该指标尚无明确要求值的,则选用国内重点大型企业近年来满足安全管理要求所实际达到的中上等以上水平的指标值。确保定量指标的基准值代表了行业安全生产活动的平均水平。
需要说明的是,评价权重的分配会因不同阶段、发展重点、矿山生产特点的不同而有所差别。而对情况各异的矿山安全生产管理,我们不可能确定一成不变的安全审计评价指标体系,也不存在统一的指标权重,即使同一评价对象在不同的历史时期也会有所不同。尽管卓越的绩效评价系统对每个组织都是独特的,即按每个组织的需要和特点“量体裁衣”,但是反映社会满意度的指标,应该在安全审计评价体系中占据绝对的比重,社会评议信息应是评价结论的主要证据资料。
三、构建矿山安全审计评价指标体系
(一)安全审计内容
安全审计评价指标体系应紧紧围绕安全审计内容设定。考虑到中国矿山安全生产实际以及政府安全监管过程中存在的突出问题,笔者主张矿山安全审计主要内容应包括以下五部分:
1.安全生产法律法规遵守和执行情况审计
该审计主要是对矿山企业在生产经营过程中遵守相关安全生产法律法规的情况进行评价,包括定性指标和定量指标。评价时只需考虑法律法规的执行情况及效果,而不对法律法规本身进行过多地评价。评价时需遵循两条原则:首先,企业能否执行相关安全生产法律法规;其次,企业能否做到持续、全面执行安全生产法律法规。这也符合性测试重点之一。
2.安全内部控制制度设计及运行情况审计
该审计主要是对矿山企业安全内控制度是否健全,能否保证整个业务处理系统控制目标的实现,制度与制度之间的衔接是否紧密协调以及内控制度是否有效执行进行评价。从而判定矿山企业各种安全内控制度的履行结果是否达到预期目标,是否结合企业安全生产实际及时自查修订完善。为进一步确定安全审计的重点提供决策依据。
3.安全设施“三同时”情况审计
在安全设施“三同时”审计中,应该重点审查和评价与被审计单位安全设施“三同时”相关的下列内容:(1)被审计单位在生产经营过程中对相关的安全生产法律法规、规章制度、政策、计划、预算、程序、合同等的遵守情况;(2)安全设施项目风险的识别、评估及应对措施;(3)相关安全控制活动的适当性和有效性;(4)有关安全资产、安全负债、安全支出项目等财务信息和非财务信息的获取、处理、传递情况。
4.事故损失及事故责任履行情况审计
该审计主要是对矿山企业事故损失及事故责任履行情况进行评价。为事故责任认定及事故赔偿提供决策依据。工伤事故赔偿审计主要集中在两点:(1)赔偿标准是否合法合规。(2)赔偿额度是否足额、及时。这一点往往也是事故双方争执的焦点。有第三方出具相应审计意见,有助于安全监管部门执法,切实保障受伤员工合法权益。
5.安全投入情况审计
安全投入情况审计是安全审计的重点。众所周知,安全投入不足是造成中国安全生产形势依然严峻的主要原因之一。造成企业安全投入不足重要原因之一就在于缺乏有效监督。近几年,中国为扩大矿山企业安全投入资金来源及数量,建立稳定的安全保障资金渠道,颁布了一系列规定制度。由于安全投入效益的隐蔽性、滞后性、不确定性及其他原因(经济效益不佳、领导不重视、短期行为等),一些企业(尤其小型矿山企业)往往在安全投入方面“勤俭节约”。企业为了应付针对安全投入状况的检查弄虚作假。通过安全投入审计,能够有效监督矿山企业安全生产费用提取及使用情况,确保安全投入足额、及时。
(二)分级设立评价指标
矿山安全审计评价体系的建立是一项系统工程,需要花很大力气进行研究和实践。在这里我们先构思一个指标框架,许多指标还有待于讨论和完善。安全审计评价指标体系包括一级评价指标和二级评价指标两个层次。一级评价指标包括安全生产法律法规执行情况评价指标、企业安全内部控制情况评价指标、安全设施“三同时”、事故损失及事故责任履行情况评价指标和安全投入情况评价指标。二级评价指标是一级评价指标的具体化。具体内容(见表1)。
安全审计的综合评价,应该以评价年度各项二级定量指标的实际数据和各项二级定性指标的专家评分为基础,按照各二级指标的基准值和权重值计算各单项指标得分,再综合得出该企业安全管理水平的评价总分值。
单项指标评价分值=权重值× (1)
当>1时,按1计算。
二级定性指标和定量指标都采用百分制测评。定性指标采用专家评分平均值。
篇10
关键词:数据库;安全审计;安全插件
中图分类号:TP311.13
数据库系统信息规模化发展势头强劲,数据库的应用日益广泛,涉及到铜矿产业方方面面,给公司带来了实实在在的收益,同时也深刻反映了公司对信息系统的巨大依赖性,对产业研究和生产起到了重要的引导作用,当今数据库的安全问题变得尤为重要。
1 数据库安全总体架构
1.1 数据库系统设计思路
数据库安全系统的重点是解决安全审计和安全插件问题,对来自网络和本地的用户对数据库的操作行为进行审计,及时识别和发现其中是否对数据库系统构成威胁,系统提出了用安全插件来提高数据库安全性的设计方案。安全插件采用阻断非法用户访问进入系统来保障数据库信息的安全性和可控性。
1.2 数据库系统设计目标
(1)高安全性:对于一些重要的机密的数据,足够的加密强度,在共享环境下保证数据所有者的安全。
(2)统一审计:对日志数据库进行统一审计、客户端访问数据库集中控制;事后可以整合信息分析导致数据库出现异常的一系列行为,追踪攻击者的来源提供依据。
(3)权限管理:将管理权限集中管理,由系统安全审计引擎统一进行设置、解析。
1.3 方案总体设计
数据库安全系统总体构架见图1
图1
数据库安全审计系统是通过以网络审计为主,兼容数据库本地审计的方式。数据库审计监管系统将从网上采集到的信息包发送到前台审计监管平台上的数据库日志,通过后台的审计监管服务器对数据包进行分析,为管理者和系统管理员提供及时、准确、详细的数据异动信息,发现工作中的越权、违规、过失、恶意篡改等操作反馈在审计监管管理平台上,实现对数据库系统安全状况的全面审计,从而保障数据库的安全.
安全插件是在数据库管理系统外的安全防护罩,登陆数据库系统的用户访问应用服务器时,系统自动弹出提示,用户按照提示安装安全插件。安全插件截获数据库各种访问接口的访问请求,对用户访问控制进行安全审核,将允许访问的命令送到数据库管理系统,系统插件自动对用户访问行为做出安全级别的评价,根据安全级别评价的提示对用户进行认证和监控控制。如果系统发现非法用户的指令,则安全插件将自动切断用户对数据库的。
1.4 数据库系统技术路线
数据库安全系统是采用自主研发安全插件与数据库安全审计,并与传统系统相结合的路线,解决支路安全设备的阻断问题。
(1)系统安全插件可自动获取用户的IP地址、MAC、PC名以及操作系统类别和系统软件等信息,监控中心发出指令,防止非授权的用户访问数据库系统。安全插件具有超高安全性,卸载、删除安全插件系统将自动弹出预警提示,防止非法操作破坏系统的安全性。
(2)解决旁路安全产品的阻断问题
本系统采用数据库审计系统和安全插件的技术,可以成功解决旁路安全设备的阻断问题。即在用户访问数据库前假设个“关卡”,所有要访问数据库的操作都需先经过审计监控系统,只有审计监控系统授权才能够对数据库进行访问。安全插件接收监控系统的指令,阻止非授权的用户对数据库服务器的访问。与数据库审计系统进行联动,对数据库用户的越权访问进行阻断和报警。
(3)系统集成与安全审计和安全插件的联合应用
数据库系统安全创新之处在于:数据库集成与安全审计和安全插件管理系统相结合,做到系统兼容、风格一致、界面协调。集成后的系统操作界面由两部分组成:数据库审计子系统和数据库用户管理子系统,两个子系统相得益彰,用户操作快捷,方便系统管理。
(4)系统的联动
通过数据库系统管理平成前、后台审计的安全策略和若干审计引擎设置相结合的管理方式,操作简便快捷和安全性高。审计引擎作为数据库安全的重要组成部分与审计监管系统联动,对个别服务器终端作相应的共享。
1.5 数据库系统功能实现
(1)支持对SQL Server、Oracle、informix、MYSQL数据库类型的审计监控分析。
(2)系统提供用户需要配置条件。不同性质的用户可按一定的范围对特定主机和特定网段进行监控,从而保证用户能够按照自己的需求实施监控。
(3)系统支持数据库服务器的事件统计、安全报警功能。
(4)数据库系统可生成安全报表:直观、简洁、丰富。
(5)系统采用多级用户管理体系,包括系统管理员、普通管理员、一般用户三种权限用户,不同级别的用户之间彼此制衡,保证了系统安全性和可控性.
2 系统应用效果
自数据库安全系统运行以来,自动提示用户安装的安全插件近70多个,能够对保护的数据库服务器的访问进行审计和监控。数据库安全系统对于科研和生产发挥了巨大的作用,取得了很好的效果。
数据库安全系统的实施较好地解决了信息资源的安全问题和可控问题,主要体现在以下四个方面:
(1)在数据库系统的外网增加了一道安全屏障,实时监控分析,拦截非法用户的入侵,通过数据库系统审计平台管理,有效防止重要数据的破坏和泄漏。
控制非法用户对数据库系统强行的访问,全面记录用户对数据库的所有操作行为,通过系统安全插件提前预警,杜绝用户违规操作的问题。
数据库系统提供用户查询权限范围内的数据信息,通过日志列表查询和事件列表查询,对每条事件信息进行审计,监控分析用户的具体操作行为是否对数据库系统构成威胁,并且导出系统原始数据为管理人员全面掌握数据库资源安全使用情况提供科学的依据.
可按时间周期来评定系统审计事件的强、中、弱三个级别的数量,以及日志数和会话的信息。
3 结语
数据库安全系统伴随着网络的更高层次利用,需要进一步加强信息资源安全审计和监控,数据库系统安全管理是一项长期而艰巨的工作。信息安全是涉及公司产业发展和公司安全的重大问题。数据库安全系统部署了审计数据处理中心、安全管理系统控制台、多台数据库审计系统、及大量的数据库安全插件,保障数据库信息的有效性和合法性。规范了用户访问行为,加强了安全审计、风险级别评价工作,从而更有力保障数据库系统的安全。
参考文献:
[1]王永祥.论企业数据安全保护方案[J].网络安全技术与应用,2011(61):13-14.
