軟件安全論文范文

時間:2023-04-02 06:18:28

導語:如何才能寫好一篇軟件安全論文,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

軟件安全論文

篇1

電子政務系統的應用軟件一般規模比較大,軟件在應用過程中面向的用戶較多,系統結構和業務流程相對復雜,以Web應用為主要實現方式。因而,系統安全常見的風險主要有Web應用的SQL注入漏洞、表單繞過漏洞、上傳繞過漏洞、權限繞過漏洞、數據庫下載漏洞等。同時也常常存在應用系統管理員賬戶空口令或弱口令、未設置應用賬戶口令復雜度限制、無應用系統登錄和操作日志等風險。在軟件應用安全層面,安全方面的保證沒有統一的方法和手段。在保證整個系統安全運行過程中針對信息安全的部分,如對數據庫訪問安全,訪問控制,加密與鑒別等應用層面的安全防護,主要從客戶端避免和減少人為非法利用應用程序,從應用軟件設計、實現到使用維護,以及應用軟件對系統資源、信息的訪問等方面保證安全。

二、軟件應用安全要求與技術防護

2.1身份鑒別與訪問控制

用戶身份認證是保護信息系統安全的一道重要防線,認證的失敗可能導致整個系統安全防護的失敗。電子政務系統的用戶對系統資源訪問之前,應通過口令、標記等方式完成身份認證,阻止非法用戶訪問系統資源。從技術防護的角度來說,軟件應保障對所有合法用戶建立賬號,并在每次用戶登錄系統時進行鑒別。軟件應用管理員應設置一系列口令控制規則,如口令長度、口令多次失敗后的賬戶鎖定,強制口令更新等,以確保口令安全。軟件應用中對用戶登錄全過程應具有顯示、記錄及安全警示功能。用戶正常登錄后,為防止長時間登錄而被冒用等情況,系統應有自動退出等登錄失效處理功能。此外,應用系統需要及時清除存儲空間中關于用戶身份的鑒別信息,如客戶端的cookie等。系統軟件應用中的文件、數據庫等客體資源不是所有用戶都允許訪問的,訪問時應符合系統的安全策略。系統中許多應用軟件在設計和使用過程中經常會有權限控制不精確,功能劃分過于籠統等現象,影響了系統的安全使用。目前,從應用軟件的研發和技術實現來看,授權訪問控制機制多采用數據庫用戶和應用客戶端用戶分離的方式,訪問控制的粒度達到主體為用戶級,客體為文件、數據庫表級。在分配用戶權限時,用戶所具有的權限應該與其需使用的功能相匹配,不分配大于其使用功能的權限,即分配所謂“最小授權”原則。對于系統的一些特殊用戶或角色(如管理和審計)如分配的權限過大,則系統安全風險將過于集中,因此,應將特別權限分配給不同的用戶,并在他們之間形成相互制約的關系。

2.2通信安全

電子政務系統應用軟件的設計、研發以及應用過程中,需要重點關注通信安全,特別是對通信完整性的保護。除應用加密通信外,通信雙方還應根據約定的方法判斷對方信息的有效性。在信息通信過程中,為使通信雙方之間能正確地傳輸信息,需要建立一整套關于信息傳輸順序、信息格式和信息內容等的約定,因為僅僅使用網絡通信協議仍然無法對應用層面的通信完整性提供安全保障,還需在軟件層面設計并實現可自定義的供雙方互為驗證的工作機制。而且,為防止合法通信的抵賴,系統應具有在請求的情況下為數據原發者或接收者提供數據原發或數據接收證據的功能。為保障信息系統通信的保密性,應用軟件需具備在通信雙方建立連接之前,首先利用密碼技術進行會話初始化驗證,以確保通信雙方的合法性的能力。其次,在通信過程中,能保證選用符合國家有關部門要求的密碼算法對整個報文或會話過程進行加密。通信雙方約定加密算法,對信息進行編碼和解碼。此外,應用軟件中需設置通話超時和自動退出機制,即當通信雙方中有一方在一段時間內未做任何響應,這表明可能存在通信異常情況,另一方能夠自動結束會話,以免造成信息在通信過程中的泄露。

2.3安全審計

安全審計通過采集各種類型的日志數據,提供對日志的統一管理和查詢,使用特定規則,對系統軟件應用狀態實時監視,生成安全分析報告。安全審計的應用,能夠規范系統用戶的軟件應用行為,起到預防、追蹤和震懾作用。安全審計應用要覆蓋所有用戶,記錄應用系統重要的安全相關事件,包括重要用戶行為、系統資源的異常使用和重要系統功能的執行等。記錄包括事件的日期和時間、用戶、事件類型、事件是否成功,及其他與審計相關的信息,并有能力依據安全策略及時報警和中斷危險操作。此外,審計記錄應受到妥善保護,避免受到未預期的刪除、修改或覆蓋等操作,可追溯到的記錄應不少于一年。在日常審計的基礎上,應通過分析審計記錄,及時發現并封堵系統漏洞,提升系統安全強度,定位網絡安全隱患的來源,舉證系統使用過程中違法犯罪的法律、刑事責任。電子政務系統軟件應用安全審計可結合網絡審計、數據庫審計、應用和運維日志審計進行,幾乎全部需要定制開發。

2.4系統資源控制

電子政務系統的資源使用主要體現在CPU、內存、帶寬等資源的使用上,在這個過程中,除了系統軟件以外,應用軟件也需要建立一組能夠體現資源使用狀況的指標,來判斷系統資源是否能滿足軟件應用的正常運行要求,當系統資源相關性能降低到預先規定的最小值時,應能及時報警。并對資源使用的異常情況進行檢測,及時發現資源使用中的安全隱患。系統資源應保證優先提供給重要、緊急的軟件應用。因此,在資源控制的安全策略上應設定優先級,并根據優先級分配系統資源,從而確保對關鍵軟件應用的支持。技術實現上設計用戶登錄系統時,軟件為其分配與其權限相對應的連接資源和系統服務,為防止系統資源的重復分配,應禁止同一用戶賬號在同一時間內并發登錄,并且,在用戶登錄后防止長時間非正常占用系統資源,而降低系統的性能或造成安全隱患,通常設計根據安全策略設置登錄終端的操作超時鎖定和鑒別失敗鎖定,并規定解鎖或終止方式。同樣,系統對發起業務的會話分配所用到的資源,也采用根據安全屬性(用戶身份、訪問地址、時間范圍等)允許或拒絕用戶建立會話連接,對一個時間段內可能的并發會話連接數和單個用戶的多重并發會話數量進行限制。在系統整體資源的使用上,對最大并發會話連接數進行限制。此外,對電子政務系統被刪除的文件等的剩余信息,特別是涉及國家秘密、敏感信息的內容,一定要重點關注并加強安全保護??刹捎孟铝屑夹g實現保護:(1)采用先進的磁盤讀寫技術對磁盤的物理扇區進行多次反復的寫操作,直到擦寫過后的磁盤扇區內數據無法恢復;(2)根據不同的分區格式進行采用不同的數據銷毀處理算法,對文件在磁盤上所有存放位置進行逐個清除,確保文件不會在磁盤上留下任何痕跡;(3)進行目錄、剩余磁盤空間或整個磁盤的數據銷毀,銷毀后的目錄、剩余磁盤空間或者整個磁盤不存在任何數據,無法通過軟件技術手段恢復。

2.5軟件代碼安全

在電子政務系統應用軟件開發之前,要制定應用程序代碼編寫安全規范,要求開發人員遵從規范編寫代碼。應用程序代碼自身存在的漏洞被利用后可能會危害系統安全。因此,應對應用軟件代碼進行安全脆弱性分析,以幫助其不斷改進完善,從而有效降低軟件應用的安全風險。研發工作結束后,應及時對程序代碼的規范性進行審查,以查找其設計缺陷及錯誤信息。代碼審查一般根據需要列出所需資料清單,由應用軟件使用方收集并提供相應的材料。代碼測試人員與開發人員書面確認測試內容和過程,配置運行環境,對代碼進行預編譯操作,確認可執行使用。然后使用特定的測試工具進行代碼的安全測試操作,對測試結果進行分析。對發現的問題進行風險分析和估算,制作軟件缺陷、問題簡表,撰寫測試報告并交付開發方修改,并對已經整改的部分進行復測。值得注意的是,那些已經通過安全測試的代碼,還需要運行在通過安全測試的支撐平臺、編譯環境中才能實現真正的安全運行。

2.6軟件容錯

電子政務系統中應用軟件的高可用性是保障系統安全、平穩運行的基礎。軟件容錯的原理是通過提供足夠的冗余信息和算法程序,使系統在實際運行時能夠及時發現錯誤,并能采取補救措施。對系統軟件應用安全來說,應充分考慮到軟件自身出現異常的可能性。軟件在應用過程中,除設計對軟件運行狀態的監測外,當故障發生時能實時檢測到故障狀態并報警,防止軟件異常的進一步蔓延,應具有自動保護能力,即當故障發生時能夠自動保存當前所有狀態。此外,操作人員對應用軟件的操作可能會出現失誤。因此,系統應對輸入的數據、指令進行有效性檢查,判斷其是否合法、越權,并能及時進行糾正。關鍵功能應支持按照操作順序進行功能性撤銷,以避免因誤操作而導致的嚴重后果。

三、結語

篇2

關鍵詞:計算機;軟件安全;問題;防護策略

前言

現階段,計算機得到人類社會的廣泛應用,在這種情況下,人們在對其進行充分運用的過程中,對其軟件安全性的要求越來越高,然而現階段這一問題多種多樣,如軟件動態破譯問題、安全漏洞和質量問題及非法復制問題等,要想利用計算機促進人類社會的不斷進步,就應當有針對性的對這些問題進行解決,提高使用者對計算機的信用度。在制定計算機軟件防護策略的過程中,可以從技術層面、組織管理層面等分別進行提高。

1 計算機軟件概述

1.1 含義

計算機在日常工作中,要想得到正常的系統運行,需要內在程序及文檔共同發揮作用而進行,而這些文檔和程序的總稱就是軟件。它們實際上擁有不一樣的含義,程序指的是相關數碼編制,具有系統性和特定性等特點。而文檔指的是能夠幫助使用者更好的熟悉和掌握計算機程序的軟件,它能夠對相應的數據資料進行詳細的說明。這兩種軟件在計算機中存在不同的功能,程序是計算機運行使用的基礎,是計算機的必備軟件,而計算機在正常運行狀態下,是可以脫離文檔的。

1.2 分類

而計算機軟件的分類,從整體上來看有兩種,即系統軟件和應用軟件。首先,系統軟件。計算機要想維持正常的運行,是絕對離不開不同的操作系統,這就是系統軟件,其功能是管理及調節不同的硬件,促使其在計算機系統中相互協作,正常運行。這種軟件是由基礎操作工具和操作系統組合而成,如軟件連接、驅動管理等??梢哉f,計算機的這一組成是促使使用者、計算機及其內部操作系統緊密相連的基礎,促使三者在運行過程中構建為統一整體,在這一整體運行中是可以忽略掉其內部硬件的運行?,F階段市場上主要的系統軟件寶庫UNIX、Windows等。

其次,應用軟件。這類型軟件在使用過程中以達到某種用途為目的,通常狀況下它以特定的形式展現自身的功能,如圖像瀏覽器等,這種功能表現相對單一;同時還有系統功能的展現,如Office辦公軟件等,同時還包括人們熟知的數據庫管理系統,這一軟件系統的組成包含幾個獨立程序。現階段人類開發出來了多種應用軟件,最常使用的有工具軟件、游戲和管理軟件等。

2 計算機網絡信息安全的含義

在信息技術飛速發展的背景下,網絡技術逐漸取得進步,在一定程度上極大的完善了技術機的網絡體系。但是計算機網絡的構建單純依靠研發相應管理空間或者促使硬件設備簡單實現對接是無法完成的,這是因為該網絡的構建最主要的目標是能夠為使用者提供更加完善的服務,這就要求網絡中能夠容納大量的使用者信息和數據,同時能夠更加快捷的促進資源共享。這些信息和資源,一旦發生泄漏將會給使用者帶來極大的損失。因此在計算機使用越來越普及的狀態下,構建計算機網絡信息安全成為人們廣泛關注的話題。而要想實現真正意義上的安全,最大限度的保護用戶信息,現階段信息技術的發展,其最主要的工作內容就是實現軟件安全。

現階段,針對計算機網絡的信息安全問題,IOS將其定義為要充分采取有效措施來保護網絡內計算機的硬件、軟件、使用者信息和數據等,有效防止因意外、惡意操作,造成的信息資源泄露或篡改,只有做到這一點,才能夠促使互聯網在長時間內為人們進行服務的過程中,始終保持著高度的穩定性和安全性,從而為人類帶來更加快捷、便利的生活。

計算機的網絡安全包含物理和邏輯安全兩個方面。前者指的是應用物理保護措施促使計算機硬件及網絡連接部位始終處于安全工作狀態,減少因意外導致的數據或信息丟失;后者指的是計算機網絡系統在日常工作中應處于整體的維護和正常工作狀態下,這樣一來能夠極大提高整個系統的完整性,促使信息泄露的可能大大降低。在這種狀況下,安全性在軟件當中的體現成為最重要的因素之一,這是因為計算機軟件在日常工作狀況中,不但可以對別人實施攻擊也可以有效的提高自身安全性,起到保護自己的作用。

3 計算機軟件安全問題

3.1 對軟件的動態破譯

在運行過程中,安全問題對軟件的威脅就是計算機軟件安全,在解決這一問題的過程中,首先應當有效防護軟件,保證其運行過程中沒有被人為的濫用、破解及隨意修改等現象,這樣一來,就能夠確保其工作狀態中充分發揮自身的功能。從技術角度來觀察這一問題,就要構建一個穩定平臺,包含所有系統硬件,從而實現軟件的正常使用;同時還應當加強防護措施,嚴禁跟蹤事件的發生,此時就應當對監測、干擾及隨意修改軟件的行為進行嚴格控制。

計算機軟件自產生之日起,就面臨著各種跟蹤及控制的問題,一些掌握計算機技術的人員能夠直接修改和讀寫計算機中的不同格式文件,在將其源代碼進行竊取之后,會對計算機的密鑰和防復制能力進行破壞,這樣一來就能夠動態破譯任何一個軟件,不法分子會在接下來的工作中將一些數據公開或非法買賣。

計算機中的跟蹤調試軟件具有強大的動態跟蹤功能,現階段該技術能夠有效的進行跟蹤程序并保證其逐條運行,其中主要使用的是斷電中斷和單步中斷兩種技術,分別以靜態和動態跟蹤兩種形式進行。在靜態跟蹤當中,可以對反編譯工具進行充分的運用,在此基礎上能夠實現源代碼的產生,從而促使分析工作更加便利;動態跟蹤當中,是對調試工具的充分運用,這樣一來能夠在某處促使程序得到中斷,從而實現其單步執行,達到跟蹤的效果。從以上兩點可以看出,對軟件的動態破譯是計算機軟件的一個重要安全問題[1]。

3.2 安全漏洞問題

開發軟件是一項復雜而系統的工作,其中包含了大量的限制性因素,這就導致現階段計算機中所使用的軟件或多或少都會存在一定程度上的漏洞,嚴重威脅軟件的安全,但是這一現象即使是現階段世界頂級的計算機軟件開發公司也無法對其進行全部避免。也就是說,日常工作及生活過程中,計算機軟件始終都存在安全漏洞,有些時候無法得到安全運行。近年來,多發軟件安全事件當中,多數都是由于安全漏洞引起的,即使多數使用者會將殺毒軟件和防火墻等安裝于計算機當中,但是這一問題始終無法被完全杜絕,這是因為當防護軟件不斷發展的過程中,那些專門實施軟件破壞的技術工作者也在不斷的摸索,也就是人們常說的“網絡高手”。同時,當使用者在計算機當中安裝防漏洞軟件時,很可能導致更多軟件漏洞的出現[2]。

3.3 非法復制問題

在時代的不斷進步中,知識密集型產品被大量研發,計算機就屬于這一類型,這一特點導致大量的人力和物力將被應用在對計算機軟件進行研發和使用的過程中。在計算機軟件的研發中,很多硬件在使用過程中所創造的經濟效益甚至遠遠低于其研發成本。然而,現階段非法復制問題卻嚴重威脅著大量的計算機軟件。具調查表明,近年來,每年都有非法盜版的現象發生,這些盜版軟件導致一百三十多億美元的損失出現,并且這一損失數據每年都在上升?,F階段,世界上各國都開始對非法盜版及復制問題加以高度的重視,并對該現象造成的法律、稅收等問題進行了一定程度的解決,而這一過程是非常艱難的,在我國這種發展中國家的狀態下,現階段并沒有相對完善的管理措施,我國社會受到了非法復制問題的嚴重影響。

4 計算機軟件防護策略

計算機軟件在研發的過程中,不僅需要耗費大量的人力和物力,同時其所研制出來的產品屬于知識密集型,從這兩個角度來看,是值得人們對其給予高度尊重的。現階段在加強計算機軟件防護的過程中,人們不僅可以從法律的角度對其進行嚴格而強行的約束和管理,從技術層面和組織管理層面加強防護措施具有重要意義,因為這樣一來能夠更有效的制約軟件的動態破譯、安全漏洞和非法復制等問題。

4.1 技術層面的提高

技術層面的提高可以從非法復制的防止開始。現階段我國在保護軟件的過程中還沒有足夠大的力度,開發商所采取的措施是加密。然而為了追求經濟效益,大部分已經被破解的軟件仍然沒有停止使用,而它所帶來的危害就是會將多數捆綁后臺程序進行啟動,來威脅用戶數據。這樣一來,相關行業領域應及時加強技術研究,有效研制出防止非法復制出現的軟件,促使其在對計算機軟件進行充分保護的同時能夠對計算機軟件產生較小的威脅。同時也可以從對用戶數據進行加強保護的方面入手,加強密鑰的研究[3]。

在對反跟蹤技術進行研究的過程中,由于該技術是對調試工具進行充分利用,那么就應當研發相關技術防止該工具被非法利用?,F階段計算機的軟件系統當中,都具有一定的結構特點,對于CPU的嚴重依賴,導致一旦該軟件被監控,就會泄漏大量的信息,在這種情況下,應及時將該技術中的安全漏洞進行消除,同時對反跟蹤技術進行完善,最大限度的實現對軟件的保護。

4.2 組織管理層面上的提高

計算機軟件防護策略中,國家應充分發揮管理職能,不僅要構建專門的單位或部門,還應當對軟件開發商進行嚴格的管理,這樣一來,就能夠保證軟件從研發之日起一直到被使用者進行使用,都能夠受到嚴格的監督及管理,從而有效的防止非法復制問題。

相關部門在加強組織管理的過程中,專業的軟件安全監督機構的設立是非常必要的,以專題小組的形式進行非法復制和動態跟蹤,能夠極大的提高打擊力度,同時還應當提高對使用者使用過程的管理,嚴格限制軟件的拷貝和移植等[4]。

4.3 防火墻技術的應用

保護計算機軟件過程中,首要工作內容就是對專業殺毒軟件的應用,同時值得注意的是,另外一個關鍵技術措施就是對防火墻技術的應用。該技術使用者在應用電腦訪問相關網絡時,電腦內部網絡有時會受到外部網絡的不正當攻擊,防火墻技術的有效應用,最顯著的效果就是能夠對外部網絡不必要的攻擊進行預防和阻止,促使電腦中相關軟件免受威脅,從而始終處于正常運行狀態。可以說系統內部是否能夠穩定運行是防火墻正常工作的重要內容。當電腦內部網絡被部分用戶訪問時,防火墻的功能是始終維護自身系統的正常運行;當電腦內部網絡被非法訪問時,防火墻的功能是對其進行有效攔截。現階段,世界上研發出來的防火墻技術具有較高的穩定性和可靠性,因此得到了較廣泛的應用,黑客入侵狀況逐漸減少,安全性始終存在于電腦軟件系統網絡當中。

4.4 加強硬件系統安全防護

在維護計算機系統安全的過程中,對其硬件系統進行加強防護具有重要意義。使用者在日常工作和生活中對電腦和網絡的使用,需要記憶硬件系統高度的重視。這是因為,硬件系統一旦發生安全威脅將會從兩個方面進行,即物理安全和設置安全。前者指的是機柜或交換機等物理設備發生安全問題,這需要使用者在日常工作中提高管理和維護力度,促使電腦免受外力的影響而發生破壞;后者指的是有效設置設備,硬件受到外來入侵的幾率就會大大降低。

4.5 數據加密技術的應用

在實施計算機軟件安全防護策略的過程中,現階段最后的防御手段就是對數據加密技術的充分應用。該技術在使用過程中能夠有效的促使一個網絡系統始終處于安全狀況之下,同時在針對部分重要而機密性的信息和數據進行保護時,這一手段也是最有效的方法。要想有效處理這一問題,使用者可以對相關文件進行加密,使用密鑰,文件經過加密后,會形成某列無法及時識別的代碼,這樣一來,只有熟知代碼的人員才能夠在輸入密碼以后對其進行訪問,也才能夠清楚的看見文件的真實內容。在這種情況下,數據加密技術的有效應用能夠實現對計算機軟件的有效管理和保護。

5 結束語

當今時代是信息技術時代,人們在對計算機進行充分運用的過程中應注重對其軟件安全問題的研究,從而提高使用者使用過程中的安全性。現階段軟件安全問題最嚴重的有軟件動態破譯問題、安全漏洞及非法復制等問題,在對其進行解決的過程中,首先要加強技術研究,通過提高技術水平來對其進行有效控制,還可以提高管理力度,同時防火墻技術、硬件系統的保護及數據加密技術的應用都能夠促使計算機軟件得到安全防護,現階段促使相關部門能夠有針對性的對各種問題進行加強解決同樣具有重要意義。

參考文獻

[1]于翔.揚州智能電網信息平臺的安全防護研究[D].華北電力大學,2012.

[2]姚軼敏.校園網不安全信息檢測系統的設計與實現[D].蘇州大學,2010.

[3]吳塍勤.對計算機軟件安全問題的分析及其防御策略[J].電腦編程技巧與維護,2013,2:87-88+109.

[4]陳宏,朱秀娟.計算機軟件安全問題的分析及其防御措施研究[J].河南科技,2014,1:5+15.

[5]張建宏.基于復雜網絡的計算機病毒傳播模型及其并行計算研究[D].國防科學技術大學,2006.

[6]熊雪波.計算機軟件安全問題的分析及其防御措施研究[J].電子技術與軟件工程,2014,22:231.

[7]劉濤.試論對計算機網絡信息和網絡安全及其防護策略[J].信息與電腦(理論版),2012,9:2-3.

[8]張璐.試論計算機網絡應用安全問題與防護策略研究[J].科技致富向導,2011,11:367.

篇3

屆時,大會將設立 “信息系統整體安全保護的有效途徑”和“電子認證服務的解決之道” 兩個分論壇,并集納各界經典名篇、學術成果、研究課題、應用經驗,編輯出版《2012中國信息安全技術展望學術論文集》,其中優秀論文將擇優在《信息安全與技術》雜志(國家級刊物)上刊登,并全文收錄于《中國學術期刊網絡出版總庫》及CNKI系列數據庫、《中文核心期刊(遴選)數據庫》、《中文科技期刊數據庫》。

征文內容如下:

1.計算機安全、下一代網絡安全技術;

2.網絡安全與網絡管理、密碼學、軟件安全;

3.信息系統等級安全保護、重要信息系統安全;

4.云計算與云安全、物聯網的安全;

5.移動互聯網的安全信息安全保障體系、移動計算平臺安全性研究;

6.信息內容安全、通信安全、網絡攻防滲透測試技術;

7.可信計算;

8.關鍵基礎設施安全;

9.系統與網絡協議安全分析;

10.系統架構安全分析;

11.面向業務應用的整體安全保護方案;

12.信息安全漏洞態勢研究;

13.新技術新應用信息安全態勢研究;

14.Web應用安全;

15.計算機系統安全等級保護標準的實施與發展現狀;

16.國內外電子認證服務相關政策與標準研究;

17.電子認證服務最新技術和產品;

18.電子認證服務應用創新;

19.電子認證服務行業研究和熱點事件解析;

20.可靠電子簽名與數據電文的認定程序/技術規范/應用規范/應用案例分析;

21.數字證書交叉認證技術規范/應用規范/應用案例分析;

篇4

論文摘要: 走進新世紀,科學技術發展日新月異,人們迎來一個知識爆炸的信息時代,信息數據的傳輸速度更快更便捷,信息數據傳輸量也隨之增加,傳輸過程更易出現安全隱患。因此,信息數據安全與加密愈加重要,也越來越多的得到人們的重視。首先介紹信息數據安全與加密的必要外部條件,即計算機安全和通信安全,在此基礎上,系統闡述信息數據的安全與加密技術,主要包括:存儲加密技術和傳輸加密技術;密鑰管理加密技術和確認加密技術;消息摘要和完整性鑒別技術。

當前形勢下,人們進行信息數據的傳遞與交流主要面臨著兩個方面的信息安全影響:人為因素和非人為因素。其中人為因素是指:黑客、病毒、木馬、電子欺騙等;非人為因素是指:不可抗力的自然災害如火災、電磁波干擾、或者是計算機硬件故障、部件損壞等。在諸多因素的制約下,如果不對信息數據進行必要的加密處理,我們傳遞的信息數據就可能泄露,被不法分子獲得,損害我們自身以及他人的根本利益,甚至造成國家安全危害。因此,信息數據的安全和加密在當前形勢下對人們的生活來說是必不可少的,通過信息數據加密,信息數據有了安全保障,人們不必再顧忌信息數據的泄露,能夠放心地在網絡上完成便捷的信息數據傳遞與交流。

1 信息數據安全與加密的必要外部條件

1.1 計算機安全。每一個計算機網絡用戶都首先把自己的信息數據存儲在計算機之中,然后,才進行相互之間的信息數據傳遞與交流,有效地保障其信息數據的安全必須以保證計算機的安全為前提,計算機安全主要有兩個方面包括:計算機的硬件安全與計算機軟件安全。1)計算機硬件安全技術。保持計算機正常的運轉,定期檢查是否出現硬件故障,并及時維修處理,在易損器件出現安全問題之前提前更換,保證計算機通電線路安全,提供備用供電系統,實時保持線路暢通。2)計算機軟件安全技術。首先,必須有安全可靠的操作系統。作為計算機工作的平臺,操作系統必須具有訪問控制、安全內核等安全功能,能夠隨時為計算機新加入軟件進行檢測,如提供windows安全警報等等。其次,計算機殺毒軟件,每一臺計算機要正常的上網與其他用戶交流信息,都必須實時防護計算機病毒的危害,一款好的殺毒軟件可以有效地保護計算機不受病毒的侵害。

1.2 通信安全。通信安全是信息數據的傳輸的基本條件,當傳輸信息數據的通信線路存在安全隱患時,信息數據就不可能安全的傳遞到指定地點。盡管隨著科學技術的逐步改進,計算機通信網絡得到了進一步完善和改進,但是,信息數據仍舊要求有一個安全的通信環境。主要通過以下技術實現。1)信息加密技術。這是保障信息安全的最基本、最重要、最核心的技術措施。我們一般通過各種各樣的加密算法來進行具體的信息數據加密,保護信息數據的安全通信。2)信息確認技術。為有效防止信息被非法偽造、篡改和假冒,我們限定信息的共享范圍,就是信息確認技術。通過該技術,發信者無法抵賴自己發出的消息;合法的接收者可以驗證他收到的消息是否真實;除合法發信者外,別人無法偽造消息。3)訪問控制技術。該技術只允許用戶對基本信息庫的訪問,禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時,系統管理員能夠利用這一技術實時觀察用戶在網絡中的活動,有效的防止黑客的入侵。

2 信息數據的安全與加密技術

隨著計算機網絡化程度逐步提高,人們對信息數據傳遞與交流提出了更高的安全要求,信息數據的安全與加密技術應運而生。然而,傳統的安全理念認為網絡內部是完全可信任,只有網外不可信任,導致了在信息數據安全主要以防火墻、入侵檢測為主,忽視了信息數據加密在網絡內部的重要性。以下介紹信息數據的安全與加密技術。

2.1 存儲加密技術和傳輸加密技術。存儲加密技術分為密文存儲和存取控制兩種,其主要目的是防止在信息數據存儲過程中信息數據泄露。密文存儲主要通過加密算法轉換、加密模塊、附加密碼加密等方法實現;存取控制則通過審查和限制用戶資格、權限,辨別用戶的合法性,預防合法用戶越權存取信息數據以及非法用戶存取信息數據。 轉貼于

傳輸加密技術分為線路加密和端-端加密兩種,其主要目的是對傳輸中的信息數據流進行加密。線路加密主要通過對各線路采用不同的加密密鑰進行線路加密,不考慮信源與信宿的信息安全保護。端-端加密是信息由發送者端自動加密,并進入TCP/IP信息數據包,然后作為不可閱讀和不可識別的信息數據穿過互聯網,這些信息一旦到達目的地,將被自動重組、解密,成為可讀信息數據。

2.2 密鑰管理加密技術和確認加密技術。密鑰管理加密技術是為了信息數據使用的方便,信息數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配、保存、更換與銷毀等各環節上的保密措施。網絡信息確認加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。數字簽名是由于公開密鑰和私有密鑰之間存在的數學關系,使用其中一個密鑰加密的信息數據只能用另一個密鑰解開。發送者用自己的私有密鑰加密信息數據傳給接收者,接收者用發送者的公鑰解開信息數據后,就可確定消息來自誰。這就保證了發送者對所發信息不能抵賴。

2.3 消息摘要和完整性鑒別技術。消息摘要是一個惟一對應一個消息或文本的值,由一個單向Hash加密函數對消息作用而產生。信息發送者使用自己的私有密鑰加密摘要,也叫做消息的數字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發送者,當消息在途中被改變時,接收者通過對比分析消息新產生的摘要與原摘要的不同,就能夠發現消息是否中途被改變。所以說,消息摘要保證了消息的完整性。

完整性鑒別技術一般包括口令、密鑰、身份(介入信息傳輸、存取、處理的人員的身份)、信息數據等項的鑒別。通常情況下,為達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對信息數據的安全保護。

3 結束語

綜上所述,信息數據的安全與加密技術,是保障當前形勢下我們安全傳遞與交流信息的基本技術,對信息安全至關重要。希望通過本文的研究,能夠拋磚引玉,引起國內外專家的重視,投入更多的精力以及更多的財力、物力來研究信息數據安全與加密技術,以便更好的保障每一個網絡使用者的信息安全。

參考文獻:

[1]曾莉紅,基于網絡的信息包裝與信息數據加密[J].包裝工程,2007(08).

[2]華碩升級光盤加密技術[J].消費電子商訊,2009(11).

篇5

關鍵詞:計算機 網絡 安全 防范措施

隨著計算機技術和Internet建設的發展與完善,計算機網絡安全問題逐步成為人們關注和討論的焦點。計算機網絡技術已經深入到社會的各個領域,比如政府機關、學校、醫院、社區及家庭等,人們對計算機網絡的依賴性越來越大,但隨之而來的是,計算機網絡安全也受到前所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文分析了影響網絡安全的主要因素及攻擊的主要方式,從管理和技術兩方面就加強計算機網絡安全提出相應的安全防范措施。

1 計算機網絡安全的定義

國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機網絡安全包括物理安全、軟件安全、數據安全和運行安全四個方面。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。軟件安全是指網絡軟件以及各主機、服務器、工作站等設備所運行的軟件安全。信息安全是指網絡中所存儲和傳輸的數據的安全。運行安全是指網絡中各個信息系統能正常運行并能正常地通過網絡交流信息。

網絡安全的目的就是為了確保網絡系統的保密性、完整性和可用性。保護計算機、網絡系統的硬件、軟件及其系統中的數據,使之不遭到破壞、更改、泄露,確保系統能連續可靠正常地運行,使網絡服務不中斷。

2 計算機網絡面臨的威脅

計算機網絡所面臨的威脅是多方面的,既包括對網絡內部的威脅,也包括對網絡外部的威脅,同時也與計算機操作系統本身有關。歸結起來,主要有以下幾方面:

2.1 計算機網絡的脆弱性

計算機系統的脆弱性主要來自計算機操作系統的不安全性,在網絡環境下,還來源于網絡通信協議的不安全性,有的操作系統根本就沒有安全防護措施,如dos、windows95等操作系統,它們不能作為安全性要求高的服務器的操作系統。Unix和windows nt/2000server/2003

serve/2005serve操作系統主要用于服務器上,但它們也存在著安全漏洞,都存在著超級用戶,如果入侵者得到了超級用戶口令,那么整個系統將完全受制于人,這樣系統就面臨巨大的危險。

2.2 內部網用戶的安全威脅

來自內部用戶的安全威脅遠大于外部網用戶的安全威脅,這些用戶缺乏安全意識,無意識的操作失誤,使系統或網絡誤操作而崩潰,或安全意識不強,將用戶帳號泄漏,或操作員對系統安全配置不當造成安全漏洞等都會對網絡安全帶來威脅和隱患,給他人帶來可乘之機,對網絡系統造成危害。

2.3 網絡外部的安全威脅

除了受到網絡內部的安全威脅,網絡還受到外界的各種各樣的威脅:

2.3.1 物理威脅:有偷竊、垃圾搜尋和間諜活動。偷竊辦公室電腦是偷竊者的主要目標,計算機中存儲的數據信息的價值遠遠超過設備的價值,因此,必須做好嚴格的防盜措施保證計算機不被偷。有時辦公垃圾也會泄露商業機密。

2.3.2 網絡威脅:如局域網的電子竊聽,如假冒網站電子欺騙,網絡設備的因素也可以構成網絡的安全威脅,如通過電話線入侵網絡用戶等。

2.3.3 身份鑒別:是指計算機判斷用戶是否使用它的一種過程,它普遍存在于計算機系統中,實現的方式各種各樣,有的功能十分強大,有的比較脆弱。其中,口令就是一種比較脆弱的身份鑒別手段,功能不是很強,但實現起來比較簡單,所以被廣泛采用。身份鑒別造成的威脅有口令圈套、口令破解和算法缺陷等??诹钊μ资蔷W絡安全的一種詭計,與冒名頂替有關,靠欺騙來獲取口令。比如登錄欺騙,它通過編寫一個代碼模塊,運行起來和登錄屏幕一模一樣,并把它插入到登錄過程之前,這樣用戶就會把用戶名和登錄口令告知程序,這個程序就會把用戶名和口令保存起來,然后告訴用戶登錄失敗,并啟動真正的登錄程序,這樣用戶就不容易發現這個欺騙??诹钇平馐怯妹艽a字典或其他工具軟件來暴力破解口令。如口令用生日、電話號碼、名字等很容易被破解??诹钶斎脒^程必須滿足一定條件才能正常工作,當條件變化時,口令算法程序就可能工作不正常了,很容易被人破解,并進入系統,這就是算法缺陷帶來的安全隱患。

2.3.4 編程。是指通過編制程序代碼實施對系統的破壞。編程威脅主要有計算機病毒和特洛伊木馬等。病毒是一種能自我復制的程序代碼,具有感染性和破壞性,使系統癱瘓,也能在網絡上不斷傳播,危害Internet的安全。特洛伊木馬程序一旦被安裝到計算機上,便可按編制者的意圖行事。能摧毀數據,創建新用戶和口令等。

2.3.5 系統漏洞。系統漏洞是指應用軟件或操作系統軟件在邏輯設計上的缺陷或錯誤,被不法者利用,通過網絡植入木馬、病毒等方式來攻擊或控制整個電腦,竊取您電腦中的重要資料和信息,甚至破壞您的系統。在不同種類的軟、硬件設備,同種設備的不同版本之間,由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。產生漏洞的原因可以分成下面三種因素:

①人為因素:編程人員在編寫程序過程中,為了實現一些特殊的目的,有意在程序代碼的隱藏處保留后門。

②能力因素:受編程人員的能力、經驗和當時安全技術所限,在程序中難免會有不足之處,輕則影響程序效率,重則導致非授權用戶的權限提升。

③硬件因素:由于硬件的原因,使編程人員無法彌補硬件的漏洞,從而使硬件的問題通過軟件表現出來,例如軟件的不兼容問題。

3 計算機網絡安全的防范措施

3.1 操作系統安全技術

首先,及時安裝“補丁”程序。當系統后,發現有些程序中有漏洞,能被黑客利用而攻擊用戶,所以相應的措施來對付這些黑客,用一些應用程序來修復這些漏洞,稱為“補丁程序”,安裝這些補丁程序后,黑客就不會利用這些漏洞來攻擊用戶,從而杜絕同類型病毒的入侵。

其次,做好系統安全設置。如停掉guest帳號,限制不必要的用戶數量,創建兩個管理員帳號,將系統默認帳號改名,創建一個陷阱帳號(將默認管理員帳號的權限設置最低,什么事都干不了的那種),使用安全密碼,合理設置瀏覽器的安全屬性,徹底刪除掉缺省共享,停掉不必要的服務等。

3.2 防火墻應用技術。防火墻是目前最為流行、使用最廣泛的一種安全技術,它的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。它將內部網和外部網分開,限制被保護的網絡與互聯網及其他網絡之間進行信息存取、傳輸等操作。它一方面對經過他的網絡通信進行掃描,過濾掉一些可能攻擊內部網絡的數據。另一方面可以關閉不使用的端口,禁止特定端口監聽通信,封鎖特洛伊木馬??梢越箒碜蕴厥庹军c的訪問,從而防止來自不明入侵者的所有通信。

3.3 網絡病毒的防范。與傳統類型的病毒相比,網絡類型病毒有其特殊性,在網絡環境下,網絡病毒可以按指數增長模式進行傳播。病毒侵入計算機網絡,可以導致計算機效率急劇下降、系統資源遭到嚴重破壞,短時間內造成網絡系統癱瘓。因此網絡環境下的病毒防治已經成為計算機防毒領域的研究重點。我們除了安裝全方位的網絡反病毒軟件,養成定期升級軟件和掃描文件系統的好習慣外,還應該對移動存儲設備,在使用前進行查毒,對從網上下載的文件和電子郵件中的附件打開前也要殺毒,不使用或下載來源不明的軟件,不上不正規的網站。一旦在網上發現病毒,立即通知所有用戶下網,關掉文件服務,設法立即清除,確信病毒被徹底清除后,重新啟動網絡和工作站。

3.4 數據加密技術。數據加密技術是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采取的主要手段之一。數據加密技術按作用不同可分為數據存儲,數據傳輸、數據完整性的鑒別,以及密鑰的管理技術。數據存儲加密技術是防止在存儲環節上的數據丟失為目的,可分為秘文存儲和存取兩種,數據傳輸加密技術的目的是對傳輸中的數據流加密。數據完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。

3.5 網絡訪問控制。訪問控制室網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

3.6 數據庫的備份和恢復。數據庫的備份和恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略:只備份數據庫、備份數據庫和事務日志、增量備份。

3.7 防止黑客攻擊的措施。在網絡環境下,由于種種原因,網絡被入侵和攻擊是難免的,可謂是防不勝防,為了避免可能因入侵和攻擊而造成的各種損失,我們最好是防止其入侵,防患于未然,如果我們經常注意下面這些情況,我們就可以大大降低被木馬攻擊的幾率:不要執行任何來歷不明的軟件;不輕信他人;不要隨便下載軟件;不要隨便留下自己的個人資料;謹慎使用自己的郵箱;最好使用第三方郵件程序;始終顯示文件的擴展名;運用反木馬實時監控程序;給電子郵件加密;隱藏ip地址;不共享文件。當我們發現有黑客入侵后,我們一般采取的措施是:首先要殺死這個進程,切斷黑客與系統的聯系。必要時切斷網絡,同時注意保存現場,以便事后調查原因,或進行分析。其次,使用安全工具跟蹤這個鏈接,找出黑客的來路和身份,詢問其要做什么,并發出警示,如果破壞嚴重時,可向公安部門和信息安全部門報告,通過司法手段解決問題。再次,管理員也可以使用一些工具來監視黑客,觀察他們在做什么。還有就是修復安全漏洞并恢復系統,不給黑客可乘之機。

4 結束語

網絡安全問題是一個綜合性的問題,它涉及到技術、管理和使用等多方面的因素,因此網絡安全問題的解決方案也應該綜合多方面來考慮實施,不但有物理方面的措施,還要有邏輯技術方面的措施,當然還有系統本身的安全問題。只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用,才能保證信息的完整性和正確性,為網絡提供強大的安全服務,這也是網絡安全領域的迫切需要。

參考文獻:

[1]高永強等.網絡安全應用技術大典.北京:人民郵電出版社,2007.

[2]龍冬陽.網絡安全技術及應用[M].廣州:華南理工大學出版社,2006.

篇6

【 關鍵詞 】 軟件保護;二進制程序的安全加固;PE文件

【 Abstract 】 As the development of software reinforcement technology, how to minimize the cost in exchange of the most secure protection gradually becomes a hot topic in binary security reinforcement researches. In this paper, we analyze various security reinforcement technologies and propose a novel binaries’ security reinforcement system, which could increase the difficulty of static analysis attack and effectively impede dynamic analysis attack. Experiment results show that the reinforcement system performs satisfactory in versatility, stability and effectiveness.

【 Keywords 】 software protection;binaries’ security reinforcement;pe file

1 引言

近年來,隨著反匯編、反編譯和逆向分析等技術的發展,針對軟件的破解、篡改和盜版等現象也層出不窮。為了保障軟件的安全,對二進制程序安全加固技術的研究已經成為軟件安全領域的一個重要分支。

在實際應用中,軟件廠商們往往會采用多種加固技術進行軟件保護,如PE文件壓縮技術、PE文件代碼段加密技術、PE文件代碼段反匯編后的代碼混淆技術以及Shellcode多態變形技術等。這些技術具有較高的通用性,但由此產生的代價也不容忽視,如何以最小的開銷換來最安全的保護,成為二進制程序安全加固技術的研究重點。

本文通過分析各種安全加固技術,提出一種新的二進制程序安全加固系統,能夠把任意PE文件轉換為Shellcode,并代替Windows系統對PE文件進行加載,同時保證不增大PE文件的體積。最后通過實驗證明,經本系統加固后的二進制程序體積沒有大的變化,并且加固后惡意代碼能夠逃過主流殺毒軟件的查殺,以此證明加固后的二進制程序不但能加大靜態分析的難度,還能有效地阻礙對程序的動態分析。

2 常見的軟件安全加固技術

軟件安全加固技術是隨著軟件逆向分析技術的發展而發展的。根據軟件攻擊者的攻擊目的和方法不同,軟件加固技術也有不同的側重點和目標。需要指出的是,我們不能將所有的加固技術全都一起應用于軟件保護中,這是因為使用不同的安全加固技術一般都會帶來額外的開銷。簡要分析常見的六種加固技術。

(1)加殼與脫殼:加殼的目的是加密或壓縮EXE文件的代碼段,在程序運行時,先由解密或者解壓程序對代碼段進行處理,然后程序正常運行。這些加密或壓縮功能的機制稱為加殼,對應的解密和解壓機制稱為脫殼。加殼后的代碼段能夠有效防止反匯編,但攻擊者可以通過對脫殼程序的逆向分析,從而破解軟件的殼。

(2)多態變形技術:多態變形是由多態和變形兩種技術的結合,主要是對解密代碼進行變形,使每次生成的解密程序呈現不同狀態特征,同時也能對源程序進行簡單的變換。顯然,多態變形也是加密技術的一種,按照殼的定義,多態變形技術應屬于殼的范疇。這種加密技術使得經過變形的解密程序都具有不同特征,所以是一種特殊的殼。常用的多態變形引擎有BPE32 Clet、ADMmuate、Jempiscodes、Tapion等。

(3)代碼混淆技術:指在保持源程序語義不變的情況下,通過對源程序中的數據、布局和控制流程等進行變換,使得變換后的程序在功能上與源程序相同或相近。代碼混淆對代碼的變形除了上述多態變形技術所采用的變形方法外,還對程序的控制流程進行了變換,讓程序變得的更加難懂,進而加大逆向分析的難度。

(4)防篡改技術:通過軟件或硬件措施防止程序被非法修改的軟件保護技術的統稱,屬于軟件保護領域中的主動防御范疇。防篡改技術有兩項任務:一是檢測軟件采用的安全加固技術是否被破解,軟件本身是否被修改,通常采用計算校驗的方法以及檢驗一些變量值是否改變來確認程序是否被正常執行;二是當發現程序被篡改或者被調試時制定應對措施。

(5)虛擬機保護技術:指將代碼翻譯為機器和人都無法識別的一串偽代碼字節流,即本地代碼虛擬化,在具體執行時再對這些偽代碼進行翻譯,逐步還原為原始代碼并執行的技術。虛擬機用作軟件保護的時候,把軟件的底層指令(例如匯編指令)翻譯成另外一種虛擬機指令,軟件執行的時候部分運算在虛擬機中執行。由于虛擬機的復雜度可以很高,指令集可以自定義也可以利用或參考現有的各種成熟指令集,逆向工程需要先看懂虛擬機的大體結構以及虛擬指令集,才有可能弄明白被虛擬化后代碼行為。在復雜的虛擬機和軟件之間緊耦合的情況下,逆向工程會變得非常困難。

(6)軟件水?。很浖。⊿oftware WaterMarking)是數字水印技術在軟件保護領域的應用和發展,是數字水印技術的分支。軟件水印可分為靜態水印和動態水印。靜態水印被嵌入在程序代碼或者數據當中,一般放在安裝模塊部分或者指令代碼和調試信息的符號中。動態水印技術把水印存放在程序執行狀態中,可用于證明程序是否經過了混淆變形處理。

3 基于二進制程序的加固系統方案

3.1 加固原理

PE 文件是Microsoft Portable Executable File Format的簡稱,即可移植可執行文件格式,是Windows系統下最常用的文件組織形式。Windows下的可執行文件EXE以及動態鏈接庫文件dll都屬于PE文件。PE文件經過Windows系統的正常加載,通過反匯編代碼很容易逆向分析出PE文件的行為。若仿照Windows的加載程序,將源文件轉化成機器碼直接在內存中執行,可以增大逆向分析的難度。為了保證加固后源文件的體積不發生較大變化,必須對源文件進行壓縮;壓縮后的PE文件在加載時,首先進行解壓;將壓縮后的PE文件和PE文件的加載函數進行封裝成Shellcode,再對Shellcode進行多態變形,保證每次生成的解密函數具有不同特征,最后生成新的PE文件。

3.2 框架構成

根據二進制程序加固系統的工作原理,我們將系統的總體結構劃分為兩部分,系統組成結構如圖1所示。第一部分執行PE文件的加載功能,即PE文件執行模塊,主要負責解壓PE文件和動態加載PE文件等工作,是新的PE文件的主要組成部分。第二部分執行PE文件的壓縮、多態變形和組裝功能,并生成新的PE文件,進而實現PE文件的加固。主要包含壓縮模塊、Shellcode組裝模塊、Shellcode多態變形模塊以及PE文件生成模塊。壓縮模塊的對PE文件進行壓縮;Shellcode組裝模塊將經過壓縮的PE文件、PE文件執行模塊、以及標識符等字符串進行組裝,形成Shellcode;多態變形模塊對Shellcode進行變形加密,并將解密代碼整合到Shellcode中,設置入口點;最后,PE文件生成模塊根據變形后Shellcode生成新的PE文件。

第一部分在加固后的PE文件運行時執行,不依賴于第二部分。第二部分將第一部分作為數據進行封裝,對PE文件進行加固。 本系統由壓縮模塊、多態變形模塊、Shellcode組裝模塊、PE文件生成模塊、和PE文件執行模塊組成。目的是對源PE文件進行壓縮變形,并構造成新的PE文件,流程分級步驟:(1)壓縮模塊負責對原始PE文件進行壓縮,目的是減小原始PE文件的體積,同時也起到一定的混淆作用;壓縮后的源PE文件和PE文件執行模塊(如API初始化模塊、解壓縮模塊等)通過Shellcode組裝模塊,成可直接在內存中執行的Shellcode代碼;(2)多態變形模塊主要對生成的Shellcode進行多態變形,本系統的多態變形模塊主要采用了Tapion多態變形引擎;(3)PE文件生成模塊主要功能是把變形后的Shellcode和解密代碼進行封裝,生成新的PE文件。

3.3 模塊功能

系統一共包含五個模塊,PE文件壓縮模塊、Shellcode組裝模塊、多態變形模塊、PE文件生成模塊和PE文件執行模塊。系統各模塊的數據流圖如圖3所示。

(1)PE文件壓縮模塊:采用了微軟的FCI/FDI庫對EXE文件進行壓縮。FCI(File Compression Interface)和FDI(File Decompression Interface)是由微軟提供的用于對文件進行壓縮和解壓縮的通用庫和接口,其在Windows 7、WinNT、Win2000、WinXP等各Windows版本的操作系統下都提供了接口,具有通用性,性能上可以滿足我們對文件壓縮的要求。

(2)Shellcode組裝模塊:將經過壓縮的源PE文件(.cab文件)、PE文件執行模塊代碼、以及各標識符(主要用于PE加載時的函數定位)等字符串按照一定的規則進行組裝,形成Shellcode。

(3)多態變形模塊:采用tapion作為多態變形引擎,對Shellcode進行多態變形。經過多態變形引擎的變形,能讓每次生成的解密程序都具有不同的特征。首先,對原始Shellcode進行加密,加密采用多態異或的方法,即每次生成不同的隨機數對Shellcode主體部分進行異或。其次,對解密代碼進行多態變形保護,讓每次生成的解密代碼具有不同的特征;最后,是把這解密代碼和加密后的shellcode進行整合,設置入口點,生成新的Shellcode。

(4)PE文件生成模塊:系統目標是對PE文件進行安全加固,所以最終還要把變形后的Shellcode,重新生成PE文件。采用編譯器進行組裝,將Shellcode寫入C或C++源文件中字符串變量中,然后采用獨立的編譯器對此C或C++源文件進行編譯鏈接,最后生成新的PE文件。

(5)PE文件執行模塊:能夠在內存中直接執行,主要負責PE文件的解壓縮和動態加載。其包含三個子模塊,API初始化模塊、PE文件解壓模塊和PE文件加載模塊。

API初始化模塊:為了編寫具有通用性的Shellcode,Shellcode在其進程空間中調用某些API函數, 所以需要動態定位這些Windows系統自帶的API函數。API函數存放在一些動態鏈接庫中,而定位API函數主要用到GetProcAddress和LoadLibraryA這兩個函數。其中,LoadLibrary函數用于動態裝載dll文件,GetProcAddress函數用于從被裝載的dll文件中獲取API函數的地址。GetProcAddress和LoadLibraryA這兩個函數的地址都存放在kernel32.dll模塊的導出表中。所以在查找這兩個函數的地址之前,必須先定位kernel32.dll的地址。定位kernel32.dll,進而獲取GetProcAddress和LoadLibraryA地址。

PE文件解壓模塊:EXE殼運行之后,先對被壓縮的PE文件進行解壓,解壓程序必須先于PE文件的動態加載模塊獲得控制權,待解壓完成后將控制權交回PE文件加載模塊,由模塊內的加載程序對解壓后的源PE文件進行加載。采用Windows提供的FDI接口對EXE文件進行解壓。

PE文件加載模塊:源PE文件被壓縮后,作為一部分存放在Shellcode中,Shellcode經過多態變形之后,被存放到新的PE文件里,即新的PE文件的代碼段中嵌套著源PE文件。為了加載代碼段中的源PE文件,需要在Shellcode中添加PE文件加載模塊,代替操作系統動態加載源PE文件。

4 性能分析

本安全加固系統應具備幾種功能:(1)能對二進制可執行程序進行安全加固,要求經過安全加固后的二進制可執行程序能夠在各操作系統下正常運行,體積沒有大的變化,且能加大逆向分析的難度;(2)能實現對以二進制可執行程序進行壓縮和解壓,經過壓縮和解壓之后程序能正常運行;(3)PE文件加載模塊能夠實現對PE文件進行動態加載,且此PE文件加載模塊能在不同的宿主程序中對宿主程序進行加載,應該有較好的通用性;(4)采用的多態變形模塊能夠對Shellcode進行多態變形,使重新生成的PE文件具備多種不同的形態。

4.1 測試過程

為了驗證本安全加固系統的性能,實驗環境如表1所示。

系統操作步驟:(1)選擇需要具有代表性的軟件(包括常用軟件和惡意軟件),記錄下軟件的體積大小;(2)用本安全加固系統對各軟件進行變形,記錄下變形后的體積大小,并檢查這些變形后的軟件的能否正常運行。

選擇變形配置,其中garbage_size表示垃圾指令系數,取值范圍為0~5或者R。0~5表示插入的垃圾指令的規模,0表示無垃圾指令插入,R表示垃圾指令系數隨機產生。do_jumps選項表示插入垃圾指令時是否夾帶指令跳轉;選擇需要安全加固的PE文件和需要生成的新的PE文件名;點擊開始按鈕,變形完成后會彈出提示消息框,在當前目錄即可看到最終生成的Shellcode文件和.c文件;調用vs2010自帶的編譯器對.c文件進行編譯,最終生成新的PE文件。

(3)用系統中安裝的殺毒軟件對變形后的惡意軟件進行主動檢測查殺,記錄檢測結果。

4.2 測試結果

對本安全加固系統的測試主要分為兩項,第一項主要針對系統性能上的驗證,主要包括加固前后程序體積變化對比,以及加固后的程序在各操作系統下是否能正常運行。測試結果如表2所示。

通常情況下,殺毒軟件采用靜態和動態分析結合的方法對惡意軟件進行分析,為了驗證此加固系統的有效性,將一些容易被殺毒軟件查殺的惡意代碼進行加固,若加固后殺毒軟件不再提示為惡意軟件,即殺毒軟件無法分析出惡意軟件的行為,則說明加固是有效的。測試結果如表3所示。

表2說明,經過本系統加固后的二進制程序,在各操作系統下軟件都能正常運行,且其體積沒有較大變化,說明此安全加固系統有較好的通用性和穩定性。表3說明,加固后惡意代碼可以逃過主流殺毒軟件的查殺,加固后的二進制程序不但能加大靜態分析的難度,還能有效地阻礙對程序的動態分析,說明本系統能有效的對軟件進行安全加固。

5 結束語

針對現有安全加固技術存在的不足,本文設計并實現了一種新的二進制程序的安全加固系統。隨后選取目前流行的操作系統和殺毒軟件,對本系統的通用性、穩定性和有效性進行驗證。結果表明,本系統能有效地隱藏二進制程序靜態特征,阻礙對程序的動態分析,以及加固前后體積沒有較大變化。所以,本系統所采用的技術、設計思路和實現方法為后續二進制程序安全加固技術提供了理論基礎。隨著技術的發展,一些更智能的主動防御系統對程序進行動態分析時,仍有可能判斷出解密后程序的入口點,進而分析程序行為。所以,在后續工作中,需要進一步研究解密程序的變形技術和對抗調試器的技術。

參考文獻

[1] 田碩,梁洪亮.二進制程序安全缺陷靜態分析方法的研究綜述[J].計算機科學,2009(7).

[2] 黃暉,陸余良,夏陽.基于動態符號執行的二進制程序缺陷發現系統[J].計算機應用研究, 2013(9).

[3] 吳慶波, 顏躍進, 張亞軍, 吳泉源.一種基于虛擬機的驅動程序加固技術[J].計算機工程與科學, 2010(11).

[4] 楊明,黃劉生.一種采用嵌套虛擬機的軟件保護方案[J].小型微型計算機系統,2011(2).

作者簡介:

韓煜(1982-),男,遼寧海城人,北京郵電大學,碩士,公安部第一研究所,工程師;主要研究方向和關注領域:信息安全技術。

張濟國(1980-),男,北京人,英國貝爾法斯特女王大學,碩士,公安部第一研究所,工程師;主要研究方向和關注領域:通信技術。

篇7

“2009年,我上任后第一次訪問深圳工廠,當時工廠還只能生產小功率UPS。”伊頓電氣集團亞太區高級副總裁、電能質量業務總經理羅世光回憶說,“但是現在,10kW~1000kW的UPS都已經可以在中國本地進行生產?!?/p>

中國和亞太地區是伊頓在全球范圍內具有戰略意義的市場。羅世光相信,中國數據中心市場的快速增長將給伊頓的電能質量業務帶來更大的增長機會。因此,在2014年,伊頓將加強與商的合作,拓展分銷渠道,進一步推進與本土市場的全面融合,同時加大對本土產品研發和檢測的能力,提供更多符合中國客戶需求的高效節能的電能質量解決方案。

深圳是伊頓面向全球的研發和生產基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產線,年產UPS達到800萬臺。伊頓在深圳設立的研發中心也是其全球三大電氣研發基地之一,產品研發和測試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區電能質量產品和系統檢測中心,是除美國、芬蘭之外,伊頓在全球擁有的第三個產品和系統檢測中心?!霸摍z測中心同時也是客戶體驗中心,配備了全球領先的檢測設備和技術,不僅能夠檢測單體設備,還能對包括UPS、電源分配單元(PDU)、AMS監測系統和第三方設備的整個電能系統解決方案進行測試,其最大測試能力是可對兩臺并聯的1100kW的UPS進行測試。”羅世光介紹說,“客戶在選擇一款定制的電能解決方案后,即可在檢測中心看到其運行的全過程,通過親身體驗增進對產品的了解和信心。”

“過去3~4年中,我們在中國市場的總投入已經超過1200萬美元。我們仍在持續加強中國本地化,并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力。”羅世光告訴記者,“目前,我們90%的UPS都在深圳研發和生產。最近,深圳研發中心剛剛研制出一款新的UPS產品。與許多跨國企業采取的遠程遙控式的本地研發策略相比,我們是實實在在地將研發部門落戶在深圳,為亞太和中國市場提供本地化服務的同時也面向全球客戶?!?/p>

云計算與大數據的發展推動了大型數據中心的快速發展,用戶對數據中心整體解決方案和定制化解決方案的需求也與日俱增?!皬?010年開始,伊頓增加了為中國客戶定制數據中心解決方案的服務。在今年的商大會上,我看到了商和用戶的積極反饋?!绷_世光表示。

針對小型數據中心,伊頓可以提供模塊化、標準化的解決方案;針對中型數據中心,伊頓可以針對不同行業客戶的需求,提供有差異化的解決方案;針對大型數據中心,伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產品到系統再到整體解決方案,這不僅對伊頓是一個新的挑戰,對其商來說也要經歷一個大的轉變。

為了迅速提升商銷售解決方案的能力,伊頓一方面不斷更新其數據中心整體解決方案,另一方面加強對商的銷售培訓,實現信息共享。羅世光表示:“我們提供的定制化解決方案一方面要滿足用戶的個性化需求,另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案?!?/p>

第三屆全國等級保護技術大會征文通知

為深入貫徹落實國家關于大力推進信息化發展和切實保障信息安全的文件精神,進一步推進信息安全等級保護技術交流,經公安主管部門同意,公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術大會(ICSP’2014)。

會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:

一、征文范圍

1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;

2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;

3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;

4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;

5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;

6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;

7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;

8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。

二、投稿要求

1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;

2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;

3. 稿件以Email方式發送到征稿郵箱;

4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;

5. 提交截止日期: 2014年5月25日。

三、聯系方式

通信地址:北京市海淀區首都體育館南路1號

郵編:100048

Email:.cn

聯系人: 范博、王晨

聯系電話:010-68773930,

13717905088,13581879819

篇8

【論文關鍵詞】 信息系統 內部控制 方法

【論文摘要】 會計電算化是運用計算機進行會計數據處理,以計算機及數據傳輸和通訊設備作為數據處理系統的核心,完成從原始數據的搜集、記錄、分類、登記、計算、匯總、報告等一系列會計工作。會計從手工處理到電算化處理,不僅是會計數據處理方法的變化,更是影響了企業傳統的內部控制制度,使企業在內部控制上發生了根本性的變化。

一、會計信息系統內部控制

為了保護國家和企業的資金安全,確保會計信息及其他相關數據的可靠,確保國家和企業的各項方針政策的貫徹與執行,提高經濟效益所采取的一切制度、方法措施和管理程序,都屬于會計內部控制的范圍。任何一家企業、事業單位或其他經濟組織,不論其規模大小、業務性質,也不論其采取何種會計工作組織程序和信息處理方式,在其會計業務處理系統中,都會不同程度、不同方面地存在著一定的系統內部控制問題。

二、電算化會計信息系統對內部控制的影響

1、內部控制形式的變化。手工記賬中的一些內部控制措施在電算化后不需要存在。如編制科目匯總表、憑證匯總表,試算平衡的檢查、總賬和明細賬的核對。在電算化環境下,人是執行控制的主體,但更多的內部控制方法是通過會計軟件來實現。因此,信息系統的內部控制也由人工控制轉為人工和程序去共同控制。電算化系統許多應用程序中包含了內部控制功能,這些程序化的內部控制的有效性取決于應用程序,如程序發生錯誤或不起作用,由于人們的依賴性以及程序運動的重復性,使得控制失效不被及時發現,從而使系統發生錯誤或違規行為的可能性大。

2、存儲介質的改變。在手工會計環境下,企業的經濟業務發生均記錄于紙張之上,并按會計數據處理的不同過程分為原始憑證、記賬憑證、會計賬簿和會計報表。這些紙質原件的數據若被修改,很容易找出修改的線索和痕跡,這是傳統紙質原件的一個優點。但在電算化系統下,原來紙質的會計數據會被直接記錄到磁盤或光盤上,非常容易被刪除或篡改,由于在技術上對電子數據非法修改可做到不留跡象,這就難以辨別哪一筆是業務記錄的原始數據。另外,電磁介質容易受損壞,所以會計信息還存在丟失或毀壞的危險。

3、內部控制的內容變化。計算機技術的引入,給會計工作增加了新的工作內容,同時也增加了新的控制措施,如計算機硬件及軟件分析、編程、維護人員與計算機操作人員內部控制,以及計算機機內及磁盤內會計信息安全保護、計算機病毒防治、計算機操作管理、系統管理員和系統維護人員的崗位責任制度等。

4、財務網絡化帶來的新問題。隨著計算機技術和網絡通訊技術的發展,會計信息系統網絡化漸漸普及。網絡的廣泛應用在很大程度上彌補了單機電算化系統的不足,使電算化會計系統的內部控制更加完善,同時也帶來了新問題。目前財務軟件的網絡功能主要包括遠程報賬、遠程報表、遠程審計、網上支付、網上催賬、網上報稅、網上采購、網上銷售、網上銀行等,實現這些功能就必須有相應的控制,從而加大了會計系統安全控制的難度。

三、完善電算化會計信息系統環境下的內部控制

堅持明確分工、相互獨立、互相牽制、相互制約的安全管理原則,建立并不斷完善人工與機器相結合的控制機制,使會計電算化運行的每一個過程都處于嚴密控制之中是我們完善會計電算化內部控制的基本思路。

1、系統維護控制。系統維護包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等,涉及到系統功能的調整、擴充和完善。對財務系統進行維護必須經過周密計劃和嚴格記錄,維護過程的每一環節都應設置必要的控制,維護的原因和性質必須有書面形式的報告,經批準后才能實施修改。軟件修改尤為重要,系統操作員不能參與軟件的修改,所有與系統維護有關的記錄都應打印后存檔。操作環境包括系統操作過程以及系統的維護。操作過程控制主要通過制訂一套完整而嚴格的操作規定來實現。操作規程應明確職責,操作程序和注意事項,并形成一套電算化系統文件。如規定交接班手續和登記運行日志,規定數據備份及機器的使用規范,規定軟盤專用以防病毒感染。

2、信息安全控制。電算化會計信息系統的安全控制,是指采用各種方法保護數據和計算機程序,以防止數據泄密、被更改或破壞,主要包括實體安全控制、數據安全控制、網絡安全控制等。

(1)實體安全控制。實行電算化以后,設立計算機房的主要目的是給計算機設備創造一個良好的運行環境,保護機器設備;防止各種非法人員進入機房,保護機內程序和數據的安全。具體措施包括:對進入機房內的人員進行嚴格審查;保證機房設備安全的措施,如機房防火規定等;保證計算機正常運行措施,如機房防潮、防磁及恒溫等方面的規定等;會計數據和會計軟件安全保密的措施,如數據備份規定及不準在計算機上玩電腦游戲等規定;修改會計核算軟件的審批和監督制度。

(2)數據安全控制。計算機會計系統有關的資料應及時存檔,企業應建立起完善的檔案制度,加強檔案管理。一個合理完善的檔案管理制度一般有合格的檔案管理人員、完善的資料借用和歸還手續、完善的標簽和索引方法、安全可靠的檔案保管設備等。除此之外,還應定期對所有檔案進行備份并保管好這些備份。為防止檔案被破壞,企業應制訂出檔案被破壞的事件發生時的應急措施和恢復手段,企業使用的會計軟件也應具有強制備份的功能和一旦系統崩潰及時恢復到最近狀態的功能。

(3)網絡安全控制。公司應對網絡安全進行控制,設置網絡安全性指標,包括數據保密、訪問控制、身份識別等。一是用戶權限設置,應從業務范圍出發,將整個網絡系統分級管理,設置系統管理員、數據錄入員、數據管理員和專職會計員等崗位,層層負責,對各種數據的讀、寫、修改權限進行嚴格限制,把各項業務的授權、執行、記錄以及資產保管把等職能授予不同崗位的用戶,并賦予不同的操作權限,拒絕其他用戶的訪問。二是密碼設置,用戶應按照自己的用戶身份和密碼進入系統,對密碼進行分組管理,對存儲在網絡上的重要數據進行有效加密,在網絡中傳播數據前對相關數據進行加密,接收到數據后再進行相應的解密處理,并定期更新加密密碼。另因網絡病毒日益猖獗,防范病毒也是安全控制的重點。對不需要本地硬盤和軟盤的工作站,盡量采用無盤工作。

3、電算化會計信息系統的人員職能控制。人員控制是電算化系統管理的根本,會計電算化人才的缺乏是制約我國會計信息化工作發展的關鍵環節。為此,首先要通過各種培訓提高會計人員的計算機業務水平和職業道德水準、增強遵守各項法規的自覺性,實行考核合格才準上崗的制度。其次要通過各類院校培養既懂會計又掌握一定計算機知識及技能的專業人才充實到會計隊伍中。再次,會計人員不僅要具備財會知識和計算機知識,同時還要掌握一定的管理知識。最后,業務主管應當熟悉整個會計電算化處理業務,以便對系統會計工作流程進行監控和指導。

4、信息系統的內部審計。內部審計是單位或企業內部控制系統的重要組成部分,也是強化內部會計監督的制度安排。電算化會計信息系統的運作往往是“人機”對話的特殊形態,對網絡環境下的會計信息審核必須運用更復雜的查核技術,只有精通計算機網絡知識、熟悉審計財務程序的人員才能勝任此項工作,這給內部審計加大了難度。內部審計制度是保障內部控制的重要手段之一,通過內部審計可以了解現有的一些內部控制措施是否能滿足為內部會計系統提供準確、可靠的信息,以及這些控制措施能否有效地運作以達到預期的目的。在電算化系統運行過程中,審計人員對會計業務處理等工作進行評價和檢驗,有利于檢測財務軟件的可靠性,發現存在的問題、提出解決問題的建議,有利于提高會計核算質量和管理水平。

在電算化條件下,關鍵的會計信息處理和業務核算工作已由會計電算化軟件集中代替,會計工作的執行主體演變為人與電算化軟件兩個因素,且電算化軟件是主要的執行因素。這種變化使得會計電算化系統中的內部控制實施主體也演變為人與軟件兩個因素,且電算化軟件導致的系統問題風險將成為會計系統中內部控制的主要風險。完善有效的計算機系統及管理制度是電算化會計信息系統安全之本,提高會計電算化人員素質,規范和完善電算化會計信息系統操作和管理章程,重視內部審計,增強數據安全意識,是當前強化電算化會計信息系統內部控制的關鍵問題。

參考文獻

篇9

[論文關鍵詞] 會計 電算化 網絡安全性 系統 分析

[論文摘要] 隨著計算機網絡的快速發展及應用,財務ASP也在飛速發展,如何保證會計信息的網絡安全性,我們從業人員應該對此提起重視,及時對會計信息進行維護。網絡會計信息的安全是指系統保持正常穩定運行狀態的能力。信息安全是會計信息系統安全的核心,確保信息的生存性、完整性、可用性和保密性是會計信息系統的中心任務。

一、網絡會計信息系統安全的主要表現

會計信息系統是一種特殊的信息系統,它除了一般信息系統的安全特征外,還具有自身的一些安全特點。會計信息系統的安全風險主要表現在以下幾個方面。

(一)會計信息的真實性、可靠性。開放性的網絡會計環境下,存在信息失真的風險。盡管信息傳遞的無紙化可以有效避免一些由于人為原因而導致會計失真的現象,但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。隨著網絡化會計電算化的發展,不法分子篡改網絡上傳送的信息,通過加大結算金額,更改收款單位賬號,達到貪污或竊取資金的目的。

(二)企業重要的數據泄密。在信息技術高速發展的今天,信息在企業的經營管理中變得尤為重要,它已經成為企業的一項重要資本,甚至決定了企業的激烈的市場競爭中的成敗,企業的財務數據屬重大商業機密,在網絡傳遞過程中,有可能被競爭對手非法截取,導致造成不可估量的損失。 如利用數據資源的復制可在瞬間完成的特點,通過拷貝竊取全部賬戶信息,或借日常維修之機,趁人不備偷竊數據。在網絡會計電算化的環境下,可以通過網絡黑客竊取傳送的數據信息,其最大特點是既不干擾破壞信息流,又能竊取數據信息。因此,保證財務數據的安全亦不容忽視。

(三)會計信息是否被篡改。會計信息在網上傳遞過程中,隨時可能被網絡黑客或競爭對手非法截取并惡意篡改,故存在極大的危險,但一旦出現存儲在計算機內的文件丟失或破壞,數據的恢復則需要一個時間過程。由于網絡病毒的多發性和快速感染性,計算機感染病毒的現象不同程度的存在。計算機一旦感染病毒,極易破壞會計電算化應用軟件系統中的數據文件和應用軟件,使數據文件突然出現不明真象的丟失,以及應用軟件無法正常工作。同時,病毒也會影響信息的安全性和真實性,這些都是亟待解決的問題。

(四)網絡系統的安全性。網絡是一把雙刃劍,它使企業在利用internet網尋找潛在的貿易伙伴、完成網上交易的同時,也將自己暴露于風險之中。這些風險來自于:泄密與惡意攻擊。所謂泄密是指未授權人員非法侵入企業信息系統,竊取企業的商業機密,從而侵吞企業財產或賣出商業機密換取錢財。所謂惡意攻擊是指網絡黑客的蓄意破壞或者病毒的感染,將可能使整個系統陷于癱瘓。

二、會計電算化應用硬件與軟件系統安全性分析

(一)對于會計電算化硬件系統來講,保持不間斷的電源是很重要的,因為突然斷電,會導致用戶所做的會計電算化工作因為沒有來得及存盤而前功盡棄,若是程序正在向數據庫中寫內容時也會因突然斷電,導致數據出現錯亂。

(二)對于網絡會計信息的軟件系統安全性表現:

1.數據備份與數據恢復必要性分析

數據備份與數據恢復功能可以進行會計數據的保全與恢復。如果系統出現故障,可以在系統管理界面把最近一次備份的數據引入,將最后一次備份與故障發生前的這一階段所發生的數據進行補充登記。系統管理員可以執行對整個會計電算化系統的數據備份。會計主管可以執行對全部或部分會計電算化系統的數據備份。

2.設置操作員權限與口令必要性分析

操作員的權限分配與口令設置是構成軟件安全性的兩個重要方面。眾所周知,會計電算化工作中,操作人員的職務級別不同,工作范圍不同,可以操作的軟件功能和訪問的數據內容也不同,因此需要由最高級別的管理員對操作員進行權限分配。

在功能權限中,每個操作員都需要經過授權才能使用該會計電算化系統,并且只能使用被授權的功能。通過類別權限控制對操作員進一步的限制,使操作員只能在同一功能下不同類別范圍內操作。操作員在操作時,尤其在做數據錄入的操作時,可以限制其操作的數據發生額在一定的限度內。

3.外部防護的必要性

(1)周界安全防范。

周界控制是通過對安全區域的周界實施控制來達到保護區域內部系統的安全性目的,它是預防一切實行外來攻擊措施的基礎,主要內容包括:設置外部訪問區域,采用二層式客戶機/服務器模式組建內部網,利用中間服務器隔離客戶與數據庫服務器的聯系,實現數據的一致性;建立防火墻,在內部網和外部網之間的界面上構造保護屏障,防止非法入侵、非法使用系統資源,執行安全管理措施、記錄所有可疑事件。

(2)數據通訊安全防范。

數據通訊控制是為了防止數據在傳輸過程中發生錯誤、丟失、泄密等事故而采取的內部控制措施,單位可采取各種有效手段來保護數據在傳輸過程中準確、安全、可靠。主要措施有:保證良好的物理安全,對傳輸的數據進行加密與數字簽名,在系統的客戶端和服務器之間傳輸的所有數據都進行兩層加密保證數據的安全性,使用數字簽名確保傳輸數據的保密性和完整性。

三、網絡會計信息安全的措施

通過加強會計信息系統的安全建設與管理,使系統能夠抵御各種威脅,有效保護企業資產,提高會計的完整服務。為了更好的利用網絡會計帶來的優勢,保證信息數據質量和安全,應從以下幾方面入手,以網絡技術為基礎,結合會計需要,確保網絡安全有效的傳遞信息。

(一)系統加密管理。在會計信息系統中,對一些須嚴格控制操作的環節,設上“雙口令”只有“雙口令”同時到位才能進行該操作?!半p口令”由分管該權限的兩個人各自按照規定設置,不得告知他人。對“雙口令”進行“并鑰”處理后,方可執行相應的操作。這樣不僅加強了控制管理,保證了數據安全,而且也保護了相關的人員,便于分清各自的責任。

(二)形成網上公證由第三方牽制的安全機制。網絡環境下原始憑證用數字方式進行存儲,應利用網絡所特有的實時傳輸功能和日益豐富的互聯網服務項目,實現原始交易憑證的第三方監控(即網上公證) 。

(三)建立嚴格的數據存儲措施。為了提高系統數據的安全性和在意外情況下的“自救能力”,應建立雙備份,備份后的兩份數據應有不同的人員持有,另一份是非加密的,有具體操作人員使用。對一些重要的數據,可采用分布存儲。所謂分布存儲,是指對數據文件采用一定的算法,組成新的兩個或多個文件,并存在不同的物理存儲設備中,甚至是異地設備中。

(四)完善和積極實施法律法規。國家應盡快建立和完善電子商務法規,以規范網上交易的購銷、支付及核算行為;借簽國外有關研究成果和實踐經驗,制定符合我國國情的網絡會計信息管理、財務報告披露的法規、準則,具體規定企業網上披露的義務與責任、網絡會計信息質量標準要求、監管機構及其權責等,為網絡會計信息系統提供一個良好的社會環境。

總之,在網絡化環境中,信息高速公路為會計信息系統實時提供了可能,這就需要建立適應網絡化經濟環境下會計時間、空間和速度的新理念。網絡會計信息系統在產生、發展過程中雖然存在著各種各樣的問題,但毋庸置疑的是,建立于“事項會計”下的網絡會計信息系統是網絡經濟發展的必然趨勢。在網絡環境下,會計信息系統的安全問題將成為會計工作的重要組成部分。

參考文獻

[1] 王建.企業會計電算化網絡的規劃與建設[J].中國農業會計,2000,(10).

篇10

為滿足上述需求,設計并開發工業外觀申請專利對比Web應用系統,該系統可以和專利庫中產品進行比對,為工業設計產品設計人員提供有效的參考,提高工業外觀申請專利時的成功率。

1 系統的架構設計

工業設計產品外觀對比網絡系統前端面向的是用戶,后臺是系統管理員,通過系統云平臺支持各項服務,該WEB系統總體架構如圖1所示。

工業設計產品外觀對比系統首先建立自己的專利庫,將現在的專利產品上傳到數據庫中,工業設計師在上傳自己的產品之后,就可與專利庫中的專利產品進行外觀對比。從而實現實時、有效、精確的信息對比,幫助設計人員提高專利申請的成功率。

設計人員通過WEB端登錄系統,上傳作品并指定相應指標與專利庫中的產品進行外觀對比,后臺維護人員維護專利庫中的作品,并即時將新產品進行上傳。

1.1 系統邏輯結構

工業設計產品外觀對比系統框架是一種分層結構,共分為六層,從下至上分別是:硬件網絡層、操作系統層、數據庫層、應用中間件層、操作應用層、3D轉換層,兩邊有系統安全保證和管理控制臺,如圖2所示。系統安全保證數據傳輸和存儲的安全,管理控制臺保證系統平臺可以進行靈活的管理和配置。

1.2 分層支持體系

工業設計產品外觀對比系統具有嚴格分層支持體系,支持體系分為三層,每一層具有特定的功能,確保系統的有效運行。

(1)基礎設施層:基礎設施為各類應用提供基礎的支撐環境。包括支撐各類應用運行網絡設備和主機設備、各類包括操作系統、基礎數據庫在內的基礎系統軟件等。

(2)資源層:資源層包括業務數據源和外部系統資源,如數據庫資源等。

(3)應用支撐層:現場管理系統作為應用支撐層支撐所有的移動業務。

1.3 保障支持體系

為了實現對工業設計產品外觀對比系統的安全保障,建立兩級保障體系。

安全保障體系:安全保障體系涉及各個層面的完整的安全技術和措施。安全保障體系為整個系統提供鑒別、訪問控制、抗抵賴和數據機密性、完整性、可用性、可控性等安全服務,形成集防護、檢測、響應、恢復于一體的安全防護體系,實現實體安全、應用安全、系統安全、網絡安全、管理安全,以滿足整個系統各層次的安全需求。

維護支持體系:維護與支持是貫穿系統運行的全過程的保障體系,主要通過管理控制臺和運行和維護整個移動商務平臺和建立在上面的各個應用。平臺建成后,運行維護將是關系到平臺能否正常運轉、發揮效能的關鍵因素,因此在平臺配置過程中充分考慮平臺建設中和建成后的運行維護問題。

2 系統關鍵技術

2.1 系統技術框架

技術框架從系統構成的業務邏輯元素入手,描述現場管理系統的關鍵技術,如圖3所示。

2.2 關鍵技術簡介

(1)PHP技術。PHP獨特的語法混合了C、Java、Perl以及PHP自創的語法。它可以比CGI或者Perl更快速地執行動態網頁。用PHP做出的動態頁面與其他的編程語言相比,PHP是將程序嵌入到HTML(標準通用標記語言下的一個應用)文檔中去執行,執行效率比完全生成HTML標記的CGI要高許多;PHP還可以執行編譯后代碼,編譯可以達到加密和優化代碼運行,使代碼運行更快。

(2)中間件技術。比較流行中間件的定義是:中間件是一種獨立的系統軟件或服務程序,分布式應用軟件借助這種軟件在不同的技術之間共享資源。中間件位于客戶機/服務器的操作系統之上,管理計算資源和網絡通訊。

從中間件的定義可以看出,中間件是一類軟件,而非一種軟件;中間件不僅僅實現互連,還能實現應用之間的互操作;中間件是基于分布式處理的軟件,定義別強調了其網絡通訊功能。

(3)jQuery技術。jQuery是繼prototype之后又一個優秀的Javascript框架。它是輕量級的js庫,它兼容CSS3,還兼容各種瀏覽器(IE 6.0+,FF 1.5+,Safari 2.0+,Opera 9.0+),jQuery2.0及后續版本將不再支持IE6/7/8瀏覽器。jQuery使用戶能更方便地處理HTML(標準通用標記語言下的一個應用)、events、實現動畫效果,并且方便地為網站提供AJAX交互。jQuery還有一個比較大的優勢是,它的文檔說明很全,而且各種應用也說得很詳細,同時還有許多成熟的插件可供選擇。jQuery能夠使用戶的html頁面保持代碼和html內容分離,也就是說,不用再在html里面插入一堆js來調用命令了,只需定義id即可。

(4)HTML5技術?;谧钚碌腍TML5技術,允許實時渲染的高質量3D作品在網頁中原生展示;依靠強大的雙核3D引擎支持所有的主流瀏覽器。基于SVG、Canvas、WebGL及CSS3的3D功能,用戶會驚嘆于在瀏覽器中,所呈現的驚人視覺效果。

(5)Web 服務。

Web服務具有以下特點:

①良好的封裝性:Web服務是一種部署在Web上的對象,具備對象的良好封裝性,對于使用者而言,他看到的僅僅是該服務的描述。

②松散耦合:當Web服務的實現發生變更時,只要Web服務的調用接口不變,調用者是不會感到這種變更,Web服務的任何變更對調用他們的接口來說都是透明的。json是Internet環境下Web服務一種比較適合的消息交換協議。

③協議規范:Web服務使用標準的描述語言來描述(比如WSDL)服務;其次,通過服務注冊機制,由標準描述語言描述的服務界面是可以被發現的;同時,標準描述語言不僅用于服務界面,也用于Web服務的聚合、跨Web服務的事務、工作流等。其次,Web服務的安全標準也已形成;最后,Web服務是可管理的。

④高度可集成能力:由于Web服務采取簡單的、易理解的標準Web協議作為構件界面描述和協同描述規范,完全屏蔽了不同軟件平臺的差異,無論是CORBA、DCOM還是EJB都可以通過這一種標準的協議進行互操作,實現了在當前環境下最高的可集成性。

2.3 系統安全保障

(1)系統級安全保障。通過系統實現用戶的認證控制,任何用戶進入網絡之前必須先經過有效的用戶名及口令的認證。其次,任何的網絡服務器也必須進行用戶認證,只有通過口令認證的用戶,才允許訪問服務器。

(2)數據庫安全保障。一方面利用數據庫系統本身的安全控制功能:用戶名/口令字識別、視圖、使用權限控制等管理措施,另一方面從應用程序也進行控制管理,對數據庫中存儲的重要數據進行加密處理,以實現數據存儲的安全保護,以避免某些用戶尤其是一些內部用戶非法獲取用戶名、口令字,竊取或篡改信息的可能。

系統通過以下措施保證數據庫系統的安全:用戶口令字鑒別;用戶存取權限控制;數據存取權限、方式控制;數據加密。

(3)應用軟件安全保障。應用軟件系統是運行在內部Web服務器上,系統數據存放在現場管理系統數據庫中,管理系統只安裝在服務器上,客戶端只能通過手機和管理控制臺查詢結果。管理控制臺建有系統的訪問用戶和訪問權限管理,對系統操作過程的重要操作和事件設置了完善的業務日志,檢測和發現系統的故障差錯或對系統的惡意侵害行為。

相關人員登錄服務器,一律記錄日志,而且使用管理控制臺訪問系統數據庫的信息數據,有嚴格的用戶訪問權限控制,需要系統管理員對授權訪問用戶進行管理和維護,授權用戶也需要對個人信息進行定制修改。

(4)數據加密?,F場管理管理系統在進行數據庫的重要敏感數據存取時,進行加密和解密處理,并且對數據庫的加密保證不會對數據庫管理系統原有功能造成影響。重要的數據加密存儲,不能直接對數據庫進行修改。能夠最大限度地防止關鍵數據被非法修改。

3 系統功能的實現

根據上述的工業設計產品外觀對比系統架構設計,提出了系統功能實現方案,系統功能包括兩個子模塊,分別是系統的前臺和后臺,系統的前臺面向用戶,為用戶提供一個應用接口,用戶可以上傳作品,進行產品比對,并輸出比對結構,為用戶改進作品提供依據。系統的后臺是面向管理員,可以實現用戶管理,產品信息管理等功能,工業設計產品外觀對比系統的具體功能模塊實現如圖4所示。

3.1 系統前臺功能

系統前臺功能實現包括用戶登錄,作品,會員中心,幫助中心與退出系統五個功能模塊。

(1)用戶登錄模塊實現前臺用戶的注冊和登錄功能,用戶登錄成功后,就可以使用該系統平臺實現設計作品的網絡比對。

(2)作品模塊實現用戶對設計出的作品的相關管理。

①用戶上傳作品,用戶登陸后上傳自己制作設計的3D作品模型到服務器,服務器將3D模型通過WebGL算法結合CSS3將其轉換成html5三維網頁模型。并存入用戶自己的作品庫。

②用戶可以在作品庫可對作品進行相應的維護修改。

③用戶上傳完作品后存入后臺數據庫,后臺網站管理員對其進行審核。

④用戶可對搜索感興趣的作品加入自己的收藏,可隨時查看。

⑤用戶退出系統,清空session。保證帳號安全性。

3.2 系統后臺管理

系統后臺的管理功能主要包括:系統信息管理、用戶管理、產品信息管理和碎片信息管理四個功能模塊。

(1)系統信息管理。該模塊可以實現角色管理、菜單管理、系統信息設置和數據庫管理等功能。超級管理員可以在后臺添加管理人員,并進行相應的權限分配;超級管理員可管理后臺菜單;后臺管理員可對整個系統進行相應的參數設置與郵件系統設置和3D轉換接口設置;后臺管理員可定期對數據庫進行備份。

(2)用戶管理。該模塊可以實現管理員管理和用戶管理功能。超級管理員可對其他管理員進行相應的管理和分配權限;網站管理員可管理網站用戶。

(3)產品信息管理。

①產品類別管理:網站管理員可以添加產品的種類與相應指標。

②專利庫管理:網站管理員后臺上傳產品形成專利庫,可對其進行維護修改。

③產品庫管理:網站管理員后臺對用戶上傳的產品進行修改。

(4) 碎片信息管理。網站管理員對“關于我們”“ 使用說明”“ 幫助說明”等相關碎片信息進行修改。

4 結語

工業設計師設計作品時候,無法及時掌握作品是否存在雷同,造成申請的失敗,因此對設計的作品與現有的專利產品進行對比是一項重要的任務。本文設計一個WEB應用平臺,該平臺通過層次化的結構,使用WEB應用技術,通過上傳作品自動與專利數據庫中的產品進行對比,為用戶修改自己作品提供依據,提高了專利申請的成功率,實踐使用證明該系統平臺的有效性。

參考文獻: