導(dǎo)語(yǔ)：如何才能寫好一篇信息安全審計(jì)，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

[關(guān)鍵詞]信息安全審計(jì)；審計(jì)應(yīng)用；審計(jì)實(shí)現(xiàn) ；APP

doi：10.3969/j.issn.1673 - 0194.2015.08.012

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2015）08-0019-01

近年來，隨著辦公業(yè)務(wù)對(duì)手機(jī)軟件相關(guān)信息系統(tǒng)的依賴越來越高，APP應(yīng)用軟件信息系統(tǒng)存在的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的潛在影響也越來越大。解決針對(duì)業(yè)務(wù)信息內(nèi)容的篡改操作行為的監(jiān)控管理的問題，必須要有一種有效的安全技術(shù)手段對(duì)內(nèi)部員工、運(yùn)行維護(hù)人員以及第三方人員的上網(wǎng)行為、內(nèi)網(wǎng)行為、操作行為等進(jìn)行有效的監(jiān)控和管理，并對(duì)其行為趨勢(shì)進(jìn)行分析和總結(jié)。

1 APP應(yīng)用信息安全審計(jì)定義

為了APP應(yīng)用信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串的活動(dòng)稱為IT審計(jì)。IT審計(jì)就是信息系統(tǒng)審計(jì)，也稱IT監(jiān)查。

2 APP應(yīng)用信息安全審計(jì)的實(shí)現(xiàn)

要實(shí)現(xiàn)APP應(yīng)用信息安全審計(jì)，保障計(jì)算機(jī)信息系統(tǒng)中信息的機(jī)密性、完整性、可控性、可用性和不可否認(rèn)性（抗抵賴），需要對(duì)計(jì)算機(jī)信息系統(tǒng)中的所有網(wǎng)絡(luò)資源（包括數(shù)據(jù)庫(kù)、主機(jī)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。

2.1 合規(guī)性審計(jì)

做到有效控制IT風(fēng)險(xiǎn)，尤其是操作風(fēng)險(xiǎn)，對(duì)業(yè)務(wù)的安全運(yùn)營(yíng)至關(guān)重要。因此，合規(guī)性審計(jì)成為被行業(yè)推崇的有效方法。安全合規(guī)性審計(jì)指在建設(shè)與運(yùn)行IT系統(tǒng)中的過程是否符合相關(guān)的法律、標(biāo)準(zhǔn)、規(guī)范、文件精神的要求一種檢測(cè)方法。這作為風(fēng)險(xiǎn)控制的主要內(nèi)容之一，是檢查安全策略落實(shí)情況的一種手段。

2.2 日志審計(jì)

基于日志的安全審計(jì)技術(shù)是通過SNMP、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備、主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對(duì)收集的日志進(jìn)行格式標(biāo)準(zhǔn)化、統(tǒng)一分析和報(bào)警，并形成多種格式和類型的審計(jì)報(bào)表。

2.3 網(wǎng)絡(luò)行為審計(jì)

基于網(wǎng)絡(luò)技術(shù)的安全審計(jì)是通過旁路和串接的方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，進(jìn)行協(xié)議分析和還原，可達(dá)到審計(jì)服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的安全漏洞，審計(jì)合法、非法或入侵操作，監(jiān)控上網(wǎng)行為和內(nèi)容，監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計(jì)更偏重于網(wǎng)絡(luò)行為，具備部署簡(jiǎn)單等優(yōu)點(diǎn)。

2.4 主機(jī)審計(jì)

主機(jī)安全審計(jì)是通過在主機(jī)服務(wù)器、用戶終端、數(shù)據(jù)庫(kù)或其他審計(jì)對(duì)象中安裝客戶端的方式來進(jìn)行審計(jì)，可達(dá)到審計(jì)安全漏洞、審計(jì)合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為、監(jiān)控用戶非法行為等目的。主機(jī)審計(jì)包括主機(jī)的漏洞掃描產(chǎn)品、主機(jī)防火墻和主機(jī)IDS/IPS的安全審計(jì)功能、主機(jī)上網(wǎng)和上機(jī)行為監(jiān)控、終端管理等類型的產(chǎn)品。

2.5 應(yīng)用系統(tǒng)審計(jì)

應(yīng)用系統(tǒng)安全審計(jì)是對(duì)用戶在業(yè)務(wù)應(yīng)用過程中的登錄、操作、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進(jìn)行監(jiān)控和詳細(xì)記錄，并對(duì)這些記錄按時(shí)間段、地址段、用戶、操作命令、操作內(nèi)容等分別進(jìn)行審計(jì)。

2.6 集中操作運(yùn)維審計(jì)

集中操作運(yùn)維審計(jì)側(cè)重于對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、數(shù)據(jù)庫(kù)的運(yùn)行維護(hù)過程中的風(fēng)險(xiǎn)審計(jì)。

運(yùn)維審計(jì)的方式不同于其他審計(jì)，尤其是維護(hù)人員為了安全的要求，開始大量采用加密方式，如遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol，RDP）、SSL等，加密口令在連接建立的時(shí)候動(dòng)態(tài)生成，一般的針對(duì)網(wǎng)絡(luò)行為進(jìn)行審計(jì)的技術(shù)是無法實(shí)現(xiàn)的。

3 審計(jì)系統(tǒng)的實(shí)現(xiàn)

通過對(duì)6類審計(jì)產(chǎn)品的綜合應(yīng)用，可以形成較完備的APP應(yīng)用信息系統(tǒng)安全審計(jì)應(yīng)用系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)與信息系統(tǒng)中的網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)及安全設(shè)備等進(jìn)行安全審計(jì)，且可以支持分布式跨網(wǎng)審計(jì)，并進(jìn)行集中統(tǒng)一管理，達(dá)到對(duì)審計(jì)數(shù)據(jù)綜合的統(tǒng)計(jì)與分析，更有效地防御外部的入侵和內(nèi)部的非法違規(guī)操作，最終起到保護(hù)信息和資源的作用。

參考網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，企業(yè)既可以采取單項(xiàng)逐一建設(shè)方式，也可以采用多項(xiàng)綜合建設(shè)方式建立內(nèi)部審計(jì)應(yīng)用系統(tǒng)。對(duì)于擁有分（子）公司且不在同一地區(qū)的企業(yè)，也可以通過城域網(wǎng)絡(luò)把多個(gè)分（子）公司統(tǒng)一起來，進(jìn)行集中建設(shè)，統(tǒng)一管理。

4 結(jié) 論

通過整合市面上多種不同類型的審計(jì)產(chǎn)品，按照網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用模型，采用“統(tǒng)一規(guī)劃、分步實(shí)施”的方式，可以在企業(yè)內(nèi)部建立起嚴(yán)格監(jiān)控的網(wǎng)絡(luò)與信息系統(tǒng)安全審計(jì)應(yīng)用平臺(tái)，提升企業(yè)信息化日常運(yùn)維及操作的安全性。

主要參考文獻(xiàn)

[1]胡克瑾.IT審計(jì)[M].北京：電子工業(yè)出版社，2002.

篇2

關(guān)鍵詞：審計(jì)；信息化，安全保障體系；主機(jī)審計(jì)

審計(jì)是客觀評(píng)價(jià)個(gè)人，組織、制度、程序、項(xiàng)目或產(chǎn)品。審計(jì)執(zhí)行是以確定有效性和可靠性的信息，還提供了一個(gè)可內(nèi)控的評(píng)估系統(tǒng)。審計(jì)的目標(biāo)是表達(dá)人、組織、系統(tǒng)等的評(píng)估意見，審計(jì)人員在測(cè)試環(huán)境中進(jìn)行評(píng)估工作。審計(jì)必須出示合理并基本無誤的報(bào)表，通常是利用統(tǒng)計(jì)抽樣來完成。審計(jì)也是用來考察和防止虛假數(shù)據(jù)及欺騙行為，檢查、考證目標(biāo)的完整性、準(zhǔn)確性，以及檢查目標(biāo)是否符合既定的標(biāo)準(zhǔn)、尺度和其它審計(jì)準(zhǔn)則。實(shí)現(xiàn)審計(jì)的信息化，有利于管理層迅速準(zhǔn)確的做出決定，對(duì)于政企業(yè)發(fā)展、社會(huì)經(jīng)濟(jì)的進(jìn)步都具有重要作用。目前，我國(guó)的審計(jì)工作尚存在性質(zhì)認(rèn)定模糊、工作范圍過于狹窄等問題，有待進(jìn)一步加強(qiáng)和改進(jìn)。

審計(jì)的基礎(chǔ)工作是內(nèi)部審計(jì)，內(nèi)審是審計(jì)監(jiān)督體系中不可或缺的重要組成部分，是全面經(jīng)濟(jì)管理必不可少的手段，是加強(qiáng)任何機(jī)構(gòu)內(nèi)部管理的必要，推動(dòng)經(jīng)濟(jì)管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計(jì)。因此說審計(jì)部門是其他監(jiān)督部門不能代替的，促進(jìn)黨風(fēng)廉政建設(shè)、加強(qiáng)對(duì)黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計(jì)來完成。審計(jì)應(yīng)用與高新技術(shù)機(jī)構(gòu)中，在防范風(fēng)險(xiǎn)中發(fā)揮著重要作用，也有助于領(lǐng)導(dǎo)層做出正確決策。

一、審計(jì)工作的現(xiàn)狀及存在的問題

隨著我國(guó)經(jīng)濟(jì)迅猛發(fā)展，審計(jì)監(jiān)督力度不斷增強(qiáng)，審計(jì)范圍也不斷擴(kuò)大。當(dāng)前，審計(jì)方式已由財(cái)政財(cái)務(wù)審計(jì)向效益審計(jì)發(fā)展，由賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)、風(fēng)險(xiǎn)基礎(chǔ)審計(jì)發(fā)展，由事后審計(jì)向事中、事前審計(jì)發(fā)展。審計(jì)管理上建立審計(jì)質(zhì)量控制體系，要求審計(jì)機(jī)關(guān)把審計(jì)管理工作前移，把質(zhì)量控制體系貫穿與審計(jì)工作中。在此趨勢(shì)下，傳統(tǒng)的審計(jì)方法暴露出其效率低、審計(jì)范圍小等劣勢(shì)，使得完成審計(jì)任務(wù)，達(dá)到審計(jì)目標(biāo)越發(fā)缺乏及時(shí)性。

(一)內(nèi)部審計(jì)性質(zhì)認(rèn)定較為模糊。內(nèi)部審計(jì)是市場(chǎng)經(jīng)濟(jì)條件下，基于加強(qiáng)經(jīng)營(yíng)管理的內(nèi)在需要，也是內(nèi)部審計(jì)賴以存在的客觀基礎(chǔ)。但是，現(xiàn)代內(nèi)部審計(jì)的產(chǎn)生卻是一個(gè)行政命令產(chǎn)物，強(qiáng)調(diào)外向。這種審計(jì)模式使人們對(duì)內(nèi)部審計(jì)在性質(zhì)認(rèn)定上產(chǎn)生模糊，阻礙了內(nèi)部審計(jì)的發(fā)展。內(nèi)部審計(jì)很難融入經(jīng)營(yíng)管理中，審計(jì)工作很難正常開展，很難履行監(jiān)督評(píng)價(jià)職能和開展保證咨詢活動(dòng)，因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。

(二)內(nèi)部審計(jì)工作范圍過于狹窄。內(nèi)部審計(jì)的目的在于為組織增加價(jià)值并提高組織的運(yùn)作效率，其職能是監(jiān)督和服務(wù)。但是，我國(guó)內(nèi)部審計(jì)工作的重心局限在財(cái)務(wù)收支的真實(shí)性及合規(guī)性審計(jì)。長(zhǎng)久以來內(nèi)部審計(jì)突出了監(jiān)督職能，而忽視了服務(wù)職能。內(nèi)部審計(jì)認(rèn)識(shí)水平、思想觀念的束縛以及管理體制等諸多因素，影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會(huì)計(jì)人員知識(shí)水平、業(yè)務(wù)素質(zhì)不高，也有不重視法律、法規(guī)的因素，還有監(jiān)管不力、查處不嚴(yán)的原因。目前內(nèi)部審計(jì)尚處在查錯(cuò)階段，停留在調(diào)賬、糾正錯(cuò)誤上，還不能多角度、深層次分析問題，沒有較國(guó)際先進(jìn)的審計(jì)理念，我國(guó)內(nèi)部審計(jì)的作用尚待開發(fā)。審計(jì)人員的計(jì)算機(jī)知識(shí)匱乏，不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計(jì)人員硬件知識(shí)掌握不熟練，軟件知識(shí)了解也不足，因此不能有效地評(píng)估信息系統(tǒng)的安全性、效益性。由于計(jì)算機(jī)審計(jì)軟件開發(fā)標(biāo)準(zhǔn)不同，功能也不完整，因此全面推廣計(jì)算機(jī)輔助審計(jì)就有一定難度，導(dǎo)致審計(jì)人員的知識(shí)和審計(jì)手段滯后于信息化的發(fā)展。

二、信息化審計(jì)體系的健全

當(dāng)前國(guó)家審計(jì)信息化發(fā)展的趨勢(shì)是建立審計(jì)信息資源的標(biāo)準(zhǔn)化、共享化、公開化，逐步達(dá)到向現(xiàn)代審計(jì)方式的轉(zhuǎn)變。這一趨勢(shì)是隨著當(dāng)前科學(xué)發(fā)展、和諧社會(huì)的推進(jìn)，國(guó)家確立的公共財(cái)政建設(shè)、公共服務(wù)的實(shí)施、公共產(chǎn)品的提供應(yīng)運(yùn)而生的，三個(gè)“公共”的主旨是：國(guó)家財(cái)政資金的使用更注重民生；使用重點(diǎn)更注重服務(wù)；使用效益更注重民意。

信息安全審計(jì)是任何機(jī)構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段。收集并評(píng)估證據(jù)以決定一個(gè)計(jì)算機(jī)系統(tǒng)是否有效地做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成目標(biāo)，同時(shí)能更經(jīng)濟(jì)的使用資源。信息安全審計(jì)與信息安全管理密切相關(guān)，信息安全審計(jì)的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標(biāo)準(zhǔn)。這些控制體系下的信息化審計(jì)可以有效地控制信息安全，從而達(dá)到安全審計(jì)的目的，提高信息系統(tǒng)的安全性。由此，國(guó)際組織也制定了相關(guān)文件規(guī)范填補(bǔ)信息系統(tǒng)審計(jì)方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)。我國(guó)法律也針對(duì)信息安全審計(jì)制定出了《中華人民共和國(guó)審計(jì)法》、《國(guó)務(wù)院辦公廳關(guān)利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)的通知》等文件，基本規(guī)范了內(nèi)部審計(jì)機(jī)制，健全了內(nèi)部審計(jì)機(jī)構(gòu)；強(qiáng)調(diào)機(jī)構(gòu)應(yīng)加強(qiáng)內(nèi)審工作，機(jī)構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍；審計(jì)委員會(huì)直接對(duì)領(lǐng)導(dǎo)班子負(fù)責(zé)，其成員需具有相應(yīng)的獨(dú)立性，委員會(huì)成員具良好的職業(yè)操守和能力，內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格，其工作范圍不應(yīng)受到人為限制。內(nèi)部審計(jì)機(jī)構(gòu)對(duì)審計(jì)過程中發(fā)現(xiàn)的重大問題，視具體情況，可以直接向?qū)徲?jì)委員會(huì)或者領(lǐng)導(dǎo)層報(bào)告。

三、主機(jī)系統(tǒng)安全審計(jì)

信息技術(shù)審計(jì)，或信息系統(tǒng)審計(jì)，是一個(gè)信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計(jì)是一個(gè)通過收集和評(píng)價(jià)審計(jì)證據(jù)，對(duì)信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。

以技術(shù)劃分，信息化安全審計(jì)主要分為主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫(kù)審計(jì)，綜合審計(jì)。簡(jiǎn)單的說獲取、記錄被審計(jì)主機(jī)的狀態(tài)信息和敏感操作就是主機(jī)審計(jì)，主機(jī)審計(jì)可以從已有的系統(tǒng)審計(jì)記錄中提取相關(guān)信息，并以審計(jì)規(guī)則為標(biāo)準(zhǔn)來分析判斷被審計(jì)主機(jī)是否存在違規(guī)行為?？傊?，為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段，而對(duì)計(jì)算機(jī)信息系統(tǒng)的薄弱環(huán)節(jié)進(jìn)行檢測(cè)、評(píng)估及分析，都可稱作安全審計(jì)。

主機(jī)安全審計(jì)系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計(jì)主機(jī)、系統(tǒng)中心、管理與報(bào)警處置控制臺(tái)來替代。實(shí)現(xiàn)主機(jī)安全系統(tǒng)的審計(jì)包括系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)及用戶行為審計(jì)。智能審計(jì)替代主機(jī)安裝在網(wǎng)絡(luò)計(jì)算機(jī)用戶上，并按照設(shè)計(jì)思路監(jiān)視用戶操作行為，同時(shí)智能分析事件安全。從面向防護(hù)的對(duì)象可將主機(jī)安全審計(jì)系統(tǒng)分為系統(tǒng)安全審計(jì)、主機(jī)應(yīng)用安全審計(jì)、用戶行為審計(jì)、移動(dòng)數(shù)據(jù)防護(hù)審計(jì)等方面。

四、待解決的若干問題

計(jì)算機(jī)與信息系統(tǒng)廣泛使用，如何加強(qiáng)對(duì)終端用戶計(jì)算機(jī)的安全管理成為一個(gè)急需解決的問題。這就需要建立一個(gè)信息安全體系，也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。

保護(hù)網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì)，對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)及服務(wù)系統(tǒng)進(jìn)行漏洞修補(bǔ)和安全加固，對(duì)服務(wù)器建立嚴(yán)格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點(diǎn)維護(hù)管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理，形成一套比較完備的信息系統(tǒng)安全管理保障體系。

防火墻是保證網(wǎng)絡(luò)安全的重要屏障，也是降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要因素。VPN可以通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安壘的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng)，可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的，需要從技術(shù)、管理等方面進(jìn)行全面的安全設(shè)計(jì)和建設(shè)，有效提高信息系統(tǒng)的防護(hù)、檢側(cè)、響應(yīng)、恢復(fù)能力，以抵御不斷出現(xiàn)的安全威脅與風(fēng)險(xiǎn)，保證系統(tǒng)長(zhǎng)期穩(wěn)定可靠的運(yùn)行。嚴(yán)格的安全管理制度，明確的安全職責(zé)劃分，合理的人員角色定義，都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。

從戰(zhàn)略高度充分認(rèn)識(shí)信息安全的重要性和緊迫性。健全安全管理組織體系，明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。為了確保突發(fā)重大安全事件時(shí)，能得到及時(shí)的響應(yīng)和支援，信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系，確保整個(gè)信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]宋新月，內(nèi)部審計(jì)在經(jīng)濟(jì)管理中的重要作用淺析[J]，知識(shí)經(jīng)濟(jì)，2009

篇3

 

安全技術(shù)需自主研發(fā)

 

網(wǎng)絡(luò)信息安全行業(yè)不是普通行業(yè)，是關(guān)系到國(guó)家安全的特殊行業(yè)，中國(guó)國(guó)產(chǎn)企業(yè)在從事信息安全行業(yè)時(shí)，需要有強(qiáng)烈的愛國(guó)主義情懷和刻苦研發(fā)技術(shù)的實(shí)干精神。

 

表示，中國(guó)的信息安全更應(yīng)重視核心技術(shù)的自主研發(fā)能力。在電子銀行與移動(dòng)支付興起的今天，金融業(yè)務(wù)中電子銀行和證券等領(lǐng)域面臨著網(wǎng)絡(luò)攻擊、病毒侵?jǐn)_、非法竊取賬戶信息、客戶信息泄漏等新的信息安全問題。眾人科技研發(fā)的‘iKEY多因素動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)’正是針對(duì)信息安全問題所研發(fā)的認(rèn)證系統(tǒng)。

 

記者了解到，“iKEY多因素動(dòng)態(tài)密碼身份認(rèn)證系統(tǒng)”是基于時(shí)間同步技術(shù)的多因素認(rèn)證系統(tǒng)，該系統(tǒng)已獲得了國(guó)家密碼管理局頒發(fā)的國(guó)內(nèi)首張動(dòng)態(tài)口令產(chǎn)品證書，相關(guān)的專用安全芯片也獲得了國(guó)內(nèi)產(chǎn)品型號(hào)證書。

 

去介質(zhì)下的認(rèn)證技術(shù)

 

最新數(shù)據(jù)顯示，截止2015年底，全國(guó)網(wǎng)民數(shù)規(guī)模已達(dá)到6.88億人，手機(jī)網(wǎng)民數(shù)達(dá)到6.2億人，占網(wǎng)民總數(shù)的90.1%，其中網(wǎng)購(gòu)用戶規(guī)模達(dá)到4.13億，比例高達(dá)六成;截至2015年12月，網(wǎng)上支付用戶規(guī)模達(dá)4.16億人，手機(jī)網(wǎng)上支付用戶規(guī)模達(dá)3.58億人，增長(zhǎng)率為64.5%。網(wǎng)民手機(jī)網(wǎng)上支付的比例由2014年底的39.0%提升至57.7%。

 

龐大的網(wǎng)民逐漸使用起網(wǎng)上支付這種便捷移動(dòng)的方式，但背后卻有著巨大的網(wǎng)絡(luò)安全隱患。就中國(guó)而言，每年造成805億資金損失，人均124元。其中約4500萬網(wǎng)民近一年遭受經(jīng)濟(jì)損失在1000元以上，全球范圍內(nèi)的網(wǎng)絡(luò)犯罪掘金已高達(dá)3萬億美金。

 

推測(cè)，隨著支付、存款、轉(zhuǎn)賬、理財(cái)、信貸等金融服務(wù)的線上化，未來金融服務(wù)不再依賴于實(shí)體的銀行卡，銀行物理網(wǎng)點(diǎn)也將轉(zhuǎn)型并逐漸消失，未來銀行的介質(zhì)是可以多元化的，比如虹膜、指紋等，甚至銀行卡實(shí)體會(huì)“消失”或者虛擬化。

 

基于這些實(shí)際情況，上海眾人網(wǎng)絡(luò)安全技術(shù)有限公司的研發(fā)團(tuán)隊(duì)最新發(fā)明了移動(dòng)互聯(lián)網(wǎng)創(chuàng)新密碼技術(shù)——SOTP，即“多因素動(dòng)態(tài)可重構(gòu)的確定真實(shí)性認(rèn)證技術(shù)”，實(shí)現(xiàn)了密鑰和算法的融合，在無需增加硬件的前提下，采用軟件方式解決移動(dòng)設(shè)備中存儲(chǔ)密鑰的關(guān)鍵性問題。表示：“該項(xiàng)技術(shù)從加密協(xié)議到密碼算法的所有部件都由眾人科技自主研發(fā)，在業(yè)界具有領(lǐng)先優(yōu)勢(shì)?！?/p>

 

提高全民安全意識(shí)

 

據(jù)《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告(2015)》顯示，79.2%的中國(guó)網(wǎng)民個(gè)人身份信息被泄露過，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份證號(hào)和工作單位等;63.4%的網(wǎng)民個(gè)人網(wǎng)上活動(dòng)信息被泄露過，包括通話記錄、網(wǎng)購(gòu)記錄、網(wǎng)站瀏覽痕跡、IP地址等等。

 

未來，隨著民眾對(duì)信息安全的重視，信息安全技術(shù)逐漸升溫，很多信息網(wǎng)絡(luò)企業(yè)開始積極投身到這個(gè)領(lǐng)域，說：“網(wǎng)絡(luò)信息安全企業(yè)不同于普通行業(yè)，信息安全人士需要有持久的耐心，由于安全密碼行業(yè)的認(rèn)證許可門檻高，研發(fā)的新技術(shù)從獲得政府監(jiān)管部門的認(rèn)證許可，到產(chǎn)品真正被市場(chǎng)認(rèn)可并應(yīng)用，需要經(jīng)過漫長(zhǎng)的時(shí)間?！?/p>

 

另一方面，認(rèn)為提高廣大民眾和企業(yè)的信息安全意識(shí)是發(fā)展自主信息安全產(chǎn)品的根本與前提。但大多數(shù)人對(duì)信息安全還停留在模糊認(rèn)識(shí)的階段，為此，眾人科技團(tuán)隊(duì)曾四處奔走為信息安全搖旗吶喊，致力于提高廣大民主的信息安全意識(shí)，增進(jìn)公眾對(duì)信息安全的關(guān)注和投入，為信息安全行業(yè)的發(fā)展創(chuàng)造一個(gè)良好的環(huán)境。

篇4

關(guān)鍵詞:基于身份簽密; 安全通信; PBC庫(kù);IBE安全通信系統(tǒng)

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1004-373X(2010)09-0098-03

Secure Communication System of Identity-based Signcryption

LI Shun, ZENG Chao, LI Jun

(Institute of Electronic Engineering, China Academy of Engineering Physics, Mianyang 621900,China)

Abstract: The identity-based signcryption can realize the encryption and digital signature, whose communication cost and computation are less than the traditional encryption-then-signature scheme. The secure communication between usersis rea-lized by PBC library coded by Ben Lynn and identity-based signcryption algorithm proposed by LI Fa-gen et al. The system is securer and easier than the available IBE-based secure communication system.

Keywords: identity-based signcryption; secure communication; PBC library;IBE secure cemmunication system

0 引 言

在開放網(wǎng)絡(luò)中傳輸信息需要對(duì)信息進(jìn)行加密。由于基于IBE的密碼體制能極大地簡(jiǎn)化基于證書密碼體制的密鑰管理過程,已經(jīng)成為密碼學(xué)研究的熱點(diǎn)之一。它選擇任意比特串(如身份證號(hào)、Email地址等)作為公鑰,由私鑰生成中心(PKG)生成公鑰。從閱讀的文獻(xiàn)來看,已經(jīng)有很多將IBE體制應(yīng)用于到現(xiàn)實(shí)系統(tǒng)中的例子。文獻(xiàn)[1]中實(shí)現(xiàn)了一個(gè)基于IBE的安全郵件系統(tǒng)。文獻(xiàn)[2]中將IBE體制用于學(xué)分制管理系統(tǒng)中,實(shí)現(xiàn)了安全的學(xué)分制管理。這些文獻(xiàn)都是基于斯坦福大學(xué)計(jì)算機(jī)科學(xué)系安全實(shí)驗(yàn)室Ben Lynn開發(fā)的IBE程序庫(kù)[3],只能實(shí)現(xiàn)IBE加密,不具備簽名功能,而且操作較為繁瑣(需要輸入命令)。

針對(duì)這些問題,本文根據(jù)Ben Lynn最新實(shí)現(xiàn)的PBC庫(kù)[4],實(shí)現(xiàn)了一個(gè)基于身份簽密的安全通信系統(tǒng)?；谏矸莺灻苣茉谝粋€(gè)邏輯步驟內(nèi)完成加密和簽名的功能,其通信成本和計(jì)算量都比傳統(tǒng)先加密后簽名的方案小。該系統(tǒng)能提供加密和數(shù)字簽名的功能,具有更高的安全性,而且操作簡(jiǎn)單,人機(jī)界面好。

1 基于身份簽密體制

2002年Malone Lee定義了基于身份簽密方案的安全模型,利用雙線性對(duì)構(gòu)造了第一個(gè)基于身份的簽密方案[5],但是該方案被證明不是語(yǔ)義安全的。隨后一些新方案相繼提出,文獻(xiàn)[6]中提出目前為止被證明為最高效的基于身份簽密體制,該方案在隨機(jī)預(yù)言機(jī)模型下被證明可滿足機(jī)密性、不可偽造性、不可否認(rèn)性、公開驗(yàn)證性和前向安全性。該方案包括Setup,Signcrypt,Unsigncrypt三個(gè)算法。

1.1 系統(tǒng)初始化(Setup)

設(shè)P為循環(huán)加法群G1的生成元,階為q;G2為具有相同階q的乘法循環(huán)群。PKG隨機(jī)選擇一個(gè)主密鑰s∈Z*q,計(jì)算Ppub=sP作為自己的公鑰。定義4個(gè)安全的Hash函數(shù),滿足:

H1={0,1}*G1,H2={0,1}*Zq,

H3:G1Zq,H4:G2{0,1}n。

公開系統(tǒng)參數(shù): {G1,G2,n,e,P,Ppub,H1,H2,H3,H4}。

每個(gè)用戶擁有自己的ID(ID可以是標(biāo)識(shí)用戶身份的任意比特串)。用戶向PKG發(fā)送自己的ID,PKG計(jì)算QU=H1(ID)作為用戶的公鑰,SU=s QU作為用戶的私鑰。PKG通過安全通道將私鑰傳遞給用戶,并公布用戶的公鑰。

1.2 簽密(Signcrypt)

假設(shè)用戶Alice要給Bob發(fā)送一條簽密消息,即m∈{0,1}n。其中,Alice的公鑰為QA,私鑰為SA;Bob的公鑰為QB,私鑰為SB,則執(zhí)行以下步驟:

(1) Alice隨機(jī)選擇k∈Z*q,計(jì)算R=kP,S=k-1[H2(m)•Ppub+H3(R)•SA];

(2) 計(jì)算w=e(Ppub,QB)k和c=H4(w)m;

(3) 發(fā)送密文σ=(c,R,S)給Bob。

1.3 解簽密(Unsigncrypt)

Bob接收到密文σ后,執(zhí)行如下步驟:

(1) 計(jì)算w=e(R,SB),如果該消息確實(shí)是由Alice發(fā)送給Bob的,則可以通過m=cH4(w)恢復(fù)消息。

(2) 用通過恢復(fù)得到的消息m判斷e(R,S)=e(P,Ppub)H2(m)e(Ppub,QA)H3(R)是否成立,如果成立,則解簽密成功,否則返回符號(hào)“”,解簽密失敗。

2 基于身份簽密的安全通信系統(tǒng)

2.1 系統(tǒng)交互模型

系統(tǒng)交互模型如圖1所示。

圖1 系統(tǒng)交互模型

PKG Server運(yùn)行Setup算法,計(jì)算出系統(tǒng)參數(shù),建立TCP服務(wù)器等待連接。用戶Alice和Bob連接上服務(wù)器,PKG Server登記他們的主機(jī)名作為身份信息。當(dāng)Alice要給Bob發(fā)送簽密消息時(shí),Bob建立TCP服務(wù)器等待Alice的連接,并進(jìn)行下述交互步驟:

(1) Alice申請(qǐng)Bob的公鑰;

(2) PKG生成Alice私鑰和Bob的公鑰,并連同系統(tǒng)參數(shù)一起發(fā)送給Alice;

(3) Alice運(yùn)行Signcrypt算法,發(fā)送密文σ給Bob;

(4) Bob檢測(cè)到Alice的連接(即得到Alice的主機(jī)名),向PKG申請(qǐng)Alice的公鑰;

(5) PKG向Bob發(fā)送Alice的公鑰、Bob私鑰和系統(tǒng)參數(shù);

(6) Bob運(yùn)行Unsigncrypt算法,返回驗(yàn)證結(jié)果給Alice。

2.2 系統(tǒng)安全機(jī)制

(1) 主密鑰的生成與撤銷。本系統(tǒng)傳輸?shù)男畔⑹菢O為重要的,而且傳輸?shù)男畔⒘枯^少,在運(yùn)行PKG服務(wù)器時(shí),需要鍵入用戶口令,以驗(yàn)證操作權(quán)限,驗(yàn)證后才運(yùn)行Setup算法。在Alice和Bob的通信結(jié)束后,PKG關(guān)閉,撤銷原主密鑰,在下次運(yùn)行PKG時(shí),重新生成主密鑰。這樣省去了主密鑰的備份和恢復(fù)機(jī)制,降低了系統(tǒng)的復(fù)雜性。

(2) 私鑰生成、撤銷與安全通道。PKG必須采取訪問控制、入侵檢測(cè)、審計(jì)追蹤等安全防范措施,以保證主密鑰和私鑰生成算法的安全。在一次通信完成后,PKG需要重新生成主密鑰,用戶私鑰也需重新申請(qǐng),原私鑰撤銷、刪除。私鑰發(fā)送的安全通道通過文獻(xiàn)[7]中提出的算法實(shí)現(xiàn)。

(3) 公鑰撤銷。借鑒傳統(tǒng)解決方法,在主機(jī)名后,用有效年限的方法來構(gòu)成公鑰,如使用“主機(jī)名||2009”形式的字符串作為公鑰,其中附加字段“2009”指該公鑰的有效期為2009年。

2.3 基于身份簽密安全通信系統(tǒng)的實(shí)現(xiàn)

2.3.1 核心算法的實(shí)現(xiàn)

斯坦福大學(xué)計(jì)算機(jī)科學(xué)系的Ben Lynn在其博士論文中對(duì)使用對(duì)密碼系統(tǒng)的實(shí)現(xiàn)進(jìn)行了深入研究[8],開發(fā)了開源的PBC庫(kù)[4]。該庫(kù)為循環(huán)群上的雙線形對(duì)提供了虛擬接口,使開發(fā)人員不用考慮底層的數(shù)學(xué)實(shí)現(xiàn)[9]。PBC庫(kù)是建立在GMP庫(kù)之上的,在安裝PBC庫(kù)之前需要安裝GMP庫(kù)。

Hash函數(shù)選擇標(biāo)準(zhǔn)算法SHA1,因此需要安裝openssl庫(kù)。為了有效地進(jìn)行代碼復(fù)用,定義了將PBC數(shù)據(jù)類型散列為字符串的函數(shù)element_hash_to_str。實(shí)現(xiàn)過程如下:

void element_hash_to_str(element_t a, unsigned char * md)

{

mpz_t t;

int n;

char *data = pbc_malloc(n);

mpz_init(t);

element_to_mpz(t, a);

n=mpz_sizeinbase(t, 40) + 2;

mpz_get_str(data, 40, t);

SHA1((unsigned char*)data, sizeof(data), md);

pbc_free(data);

}

算法的主要執(zhí)行過程如圖2所示。

2.3.2 圖形用戶界面的開發(fā)

采用Nokia公司最新推出的開源SDK-Qt Creator 1.0開發(fā)GUI界面。Qt具有非常好的可移植性,能支持大多數(shù)的硬件平臺(tái),具有“一次編譯,到處運(yùn)行”的特點(diǎn),適合復(fù)雜的GUI開發(fā)。在通信過程中,用戶雙方使用面向連接的TCP協(xié)議,以保證傳輸?shù)膶?shí)時(shí)性。Qt中的QTcpServer和QTcpSocket類庫(kù)對(duì)TCP協(xié)議的實(shí)現(xiàn)提供了很好的支持,極大地加快了開發(fā)進(jìn)程。軟件已在Ubuntu 8.10和Windows XP操作系統(tǒng)下進(jìn)行測(cè)試,且運(yùn)行良好。

圖2 算法執(zhí)行流程圖

3 結(jié) 語(yǔ)

針對(duì)網(wǎng)絡(luò)中傳輸重要信息的需要,利用Ben Lynn最新開發(fā)的PBC庫(kù)實(shí)現(xiàn)了文獻(xiàn)[6]等提出的基于身份簽密的算法,并在此基礎(chǔ)上開發(fā)一個(gè)安全通信系統(tǒng)。該系統(tǒng)采用TCP協(xié)議進(jìn)行通信,使用Qt開發(fā)操作界面,有效地解決了當(dāng)前基于IBE體制的實(shí)現(xiàn)中所存在的操作不方便,只實(shí)現(xiàn)單一加密等功能問題。該系統(tǒng)能有效地運(yùn)行在多種平臺(tái),其安全性高,適合于傳輸極為重要的信息。

參考文獻(xiàn)

[1]彭海濤,史清華.基于身份加密的安全郵件系統(tǒng)[J].計(jì)算機(jī)工程,2005,31(13):124-125.

[2]孫飛顯,徐明潔,楊進(jìn),等.基于Web的教務(wù)管理系統(tǒng)安全方案設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用,2006,26(5):1198-1201.

[3]BEN Lynn. Stanford IBE Library[EB/OL]. [2004-11-21]. crypto.stanford.edu/ibe/download/ibe-0.7.2.tgz.

[4]BEN Lynn. PBC Library[EB/OL]. [2005-03-22]. crypto.stanford.edu/pbc/.

[5]MALONE-LEE J. Identity based signcryption[R]. [S.l.]: Cryptology ePrint Archive, 2002.

[6]李發(fā)根,胡予濮,李剛.一個(gè)高效的基于身份的簽密方案[J].計(jì)算機(jī)學(xué)報(bào),2006,29(9):1641-1647.

[7]YUAN Q, LI S. A new efficient ID-based authenticated key agreement protocol[EB/OL]. [2005-07-09]. /2005/309.pdf.

篇5

［關(guān)鍵詞］ 大壩安全監(jiān)測(cè)； 設(shè)備； 選型

1工程概況

新立城水庫(kù)位于吉林省伊通河中上游，距長(zhǎng)春市區(qū)16km，控制流域面積1 970平方公里，總庫(kù)容5．92億立方米，是一座以防洪、供水為主的大型水庫(kù)。水庫(kù)按百年一遇洪水設(shè)計(jì)，按可能最大洪水校核。樞紐工程包括大壩、輸水洞和溢洪道等主要建筑物。

2大壩滲流監(jiān)測(cè)系統(tǒng)建設(shè)必要性

雖然新立城水庫(kù)大壩現(xiàn)有安全監(jiān)測(cè)設(shè)施對(duì)揭示水庫(kù)存在的問題和保證大壩安全運(yùn)行發(fā)揮了重要作用，但監(jiān)測(cè)項(xiàng)目設(shè)置仍存在不足，不能適應(yīng)新立城水庫(kù)工程管理技術(shù)進(jìn)步的要求；本次除險(xiǎn)加固后，原設(shè)滲流監(jiān)測(cè)設(shè)施無法全部保留，也不滿足《土石壩安全監(jiān)測(cè)技術(shù)規(guī)范》（SL60—1994）的要求，主要表現(xiàn)為：

（1） 大壩壩基壩體滲流監(jiān)測(cè)雖已建立包括輸水洞滲漏監(jiān)測(cè)在內(nèi)的6個(gè)監(jiān)測(cè)斷面，但監(jiān)測(cè)儀器的布設(shè)基于當(dāng)時(shí)大壩滲流狀態(tài)，一是壩基高噴灌漿施工勢(shì)必導(dǎo)致壩頂及上游監(jiān)測(cè)設(shè)施損壞，二是原監(jiān)測(cè)儀器布置難以滿足建立灌漿體后的滲流監(jiān)測(cè)要求。在灌漿體有效作用下，壩軸線下游布設(shè)的監(jiān)測(cè)儀器尤其是壩體滲流監(jiān)測(cè)儀器可能處于非有效工作狀態(tài)，應(yīng)針對(duì)大壩新的防滲體系布設(shè)和完善滲流監(jiān)測(cè)測(cè)點(diǎn)。

（2） 在目前條件下減壓井能起到一定的排水減壓作用，但灌漿體建立后，減壓井功效將發(fā)生根本的改變，應(yīng)視具體情況更新監(jiān)測(cè)方案。滲流量監(jiān)測(cè)將以總堰為主進(jìn)行監(jiān)測(cè)。

3滲流監(jiān)測(cè)系統(tǒng)技術(shù)方案設(shè)計(jì)

3．1滲流監(jiān)測(cè)斷面及測(cè)點(diǎn)設(shè)計(jì)

大壩除險(xiǎn)加固主體工程為壩基高噴灌漿，其主旨為根治大壩壩基滲透隱患。對(duì)于灌漿完工后的防滲效果以及大壩滲流場(chǎng)的變化情況，均需要有針對(duì)性地在特定的位置安裝監(jiān)測(cè)設(shè)施，對(duì)其工程效果進(jìn)行監(jiān)測(cè)。

本次滲流監(jiān)測(cè)設(shè)計(jì)充分考慮壩基地質(zhì)情況及此次除險(xiǎn)加固工程的工程內(nèi)容，并結(jié)合原滲流監(jiān)測(cè)系統(tǒng)的布置及系統(tǒng)運(yùn)行成果，共布設(shè)14個(gè)監(jiān)測(cè)斷面，分別為0＋405、0＋605、0＋805、1＋005、1＋205、1＋405、1＋591、1＋805、1＋911、2＋005、2＋201、2＋401、2＋525。下面以幾個(gè)典型斷面為例闡述一下監(jiān)測(cè)系統(tǒng)的布點(diǎn)原則。

（1） 0＋405斷面。大壩0＋000~0＋400樁號(hào)處于壩址河道岸坡段，此壩段滲流隱患屬于次要部位，建壩時(shí)未清至壩基風(fēng)化巖石，基礎(chǔ)仍為強(qiáng)透水層。盡管庫(kù)區(qū)天然及淤積覆蓋深厚，但了解壩基灌漿效果還是必要的。因此，此斷面僅在灌漿斷面前后各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)其灌漿效果。

（2） 1＋205、1＋405、1＋591、1＋805、1＋911、2＋005斷面。大壩1＋200~2＋200樁號(hào)處于壩址河床段，壩高超過15米。此壩段是大壩變形較大的壩段，也是壩基滲透隱患嚴(yán)重的壩段，應(yīng)予以重點(diǎn)監(jiān)測(cè)。因此，在1＋205、1＋405、1＋591、1＋805、1＋911、2＋005樁號(hào)各布置一個(gè)監(jiān)測(cè)斷面。其中，1＋405和2＋005斷面布置及監(jiān)測(cè)目的與0＋405斷面相同；1＋205斷面布置3條監(jiān)測(cè)垂線，分別位于灌漿斷面前、后及下游馬道，每條垂線壩基壩體各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)高壓灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤(rùn)線。1＋591斷面布置4條監(jiān)測(cè)垂線，灌漿斷面前、后各一個(gè)鉆孔，每孔壩基壩體各設(shè)一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)高壓灌漿效果，每條垂線壩基壩體各布置一個(gè)測(cè)點(diǎn)，監(jiān)測(cè)灌漿在壩基壩體防滲效果、壩基滲流壓力分布和壩體浸潤(rùn)線。下游馬道和壩腳下游的兩條垂線均沿用原滲流監(jiān)測(cè)系統(tǒng)測(cè)點(diǎn)，監(jiān)測(cè)壩基滲流壓力分布和壩體浸潤(rùn)線；1＋805斷面布置4條監(jiān)測(cè)垂線，灌漿斷面前、后布置與1＋591斷面布置和監(jiān)測(cè)目的相同，下游馬道垂線上布置一個(gè)壩體測(cè)點(diǎn)，監(jiān)測(cè)壩體浸潤(rùn)線，下游壩腳外壩基布置一個(gè)測(cè)點(diǎn)，與灌漿斷面前、后壩基測(cè)點(diǎn)形成壩基監(jiān)測(cè)斷面，監(jiān)測(cè)本斷面壩基滲流壓力分布情況；1＋911斷面灌漿斷面前壩基設(shè)一個(gè)測(cè)點(diǎn)，下游馬道和壩腳下游的兩條垂線均沿用原滲流監(jiān)測(cè)系統(tǒng)測(cè)點(diǎn)，本斷面3測(cè)點(diǎn)均為壩基測(cè)點(diǎn)，旨在監(jiān)測(cè)灌漿在壩基的防滲效果。

（3） 2＋201、2＋401、2＋525斷面。大壩2＋200~2＋600樁號(hào)為壩址主河槽段，亦即最大壩高段，是大壩滲流監(jiān)測(cè)的重點(diǎn)壩段。為此，在2＋201、2＋401、2＋525斷面各布置一個(gè)完整監(jiān)測(cè)斷面，監(jiān)測(cè)壩基壩體滲流壓力狀態(tài)。其中2＋201、2＋401斷面基于原滲流斷面布置，并盡量利用原系統(tǒng)有效測(cè)點(diǎn)。

上述滲流監(jiān)測(cè)斷面及布設(shè)滲流測(cè)點(diǎn)構(gòu)成大壩滲流監(jiān)測(cè)體系，基于其監(jiān)測(cè)成果，對(duì)大壩壩基、壩體滲流壓力平面分布狀態(tài)進(jìn)行總體評(píng)價(jià)。

3．2大壩滲流監(jiān)測(cè)系統(tǒng)儀器選型

大壩滲流安全監(jiān)測(cè)和管理自動(dòng)化系統(tǒng)，采用分布式自動(dòng)化數(shù)據(jù)采集系統(tǒng)，各斷面測(cè)點(diǎn)滲流監(jiān)測(cè)數(shù)據(jù)傳入從站的MCU，從站MCU數(shù)據(jù)無線傳輸?shù)皆O(shè)在水庫(kù)管理局工程管理處總控制室控制主站。

3．2．1儀器選型原則

掌握儀器的使用條件，了解其應(yīng)用歷史，包括儀器應(yīng)用歷史、正常使用年限、使用環(huán)境、故障率、準(zhǔn)確度、精度等；考察生產(chǎn)廠家的生產(chǎn)能力，售后保證條件；足夠的可靠性、耐久性及滿足工程需要的使用精度要求；必須根據(jù)工程性態(tài)的預(yù)測(cè)結(jié)果、物理量的變化范圍、使用條件、使用年限及性價(jià)比確定儀器類型、型號(hào)、量程及精度等級(jí)等。

3．2．2滲流壓力監(jiān)測(cè)儀器

滲流壓力監(jiān)測(cè)儀器品種和類型較多，有振弦式、差動(dòng)電阻式、電阻應(yīng)變片式以及電感式、氣動(dòng)式等類型，國(guó)內(nèi)外生產(chǎn)廠家知名的就有20余家。各孔隙水壓力計(jì)的性能指標(biāo)和穩(wěn)定性各有特點(diǎn)，通過性能價(jià)格比的綜合比較，新立城水庫(kù)大壩滲流監(jiān)測(cè)所用孔隙水壓力計(jì)選用美國(guó)GEOKON公司生產(chǎn)的振弦式4500系列孔隙水壓力計(jì)。該類傳感器全部采用受溫度影響最小的不銹鋼元件制造，振弦元件設(shè)在焊接成的真空密封腔內(nèi)，鋼弦的兩端采用特殊鍛壓工藝技術(shù)固定，標(biāo)準(zhǔn)透水石是用帶50微米小孔的不銹鋼制成，從而保證了產(chǎn)品的高穩(wěn)定性和微型化，具有堅(jiān)固耐用、外形尺寸小、安裝簡(jiǎn)便、測(cè)值穩(wěn)定可靠、精度和分辨率高等特點(diǎn)，因而在國(guó)內(nèi)許多大型水利工程中得到應(yīng)用，如二灘水電站、三峽水利樞紐、丹江口水電站、葛洲壩樞紐、官?gòu)d水庫(kù)、黃碧莊水庫(kù)、潘家口水利樞紐、萬家寨引黃入晉工程、豐滿水電站等近百個(gè)水利工程的安全監(jiān)測(cè)，取得了較好的監(jiān)測(cè)效果。

3．3測(cè)控單元（MCU）選型

3．3．1選型原則

大壩安全監(jiān)測(cè)自動(dòng)化系統(tǒng)起步于20世紀(jì)80年代，在90年代得到較大的發(fā)展，國(guó)內(nèi)外均有成熟的產(chǎn)品問世并在實(shí)際應(yīng)用中日臻完善?？紤]到進(jìn)口產(chǎn)品雖在性能上具有較大的優(yōu)勢(shì)，但其價(jià)位高、維護(hù)不及時(shí)且對(duì)操作管理人員要求高（英文操作軟件），建議大壩測(cè)控單元選用國(guó)內(nèi)產(chǎn)品。

3．3．2本系統(tǒng)建議MCU選型

依據(jù)新立城水庫(kù)大壩滲流監(jiān)測(cè)系統(tǒng)工程的特點(diǎn)以及系統(tǒng)建設(shè)先進(jìn)性的要求，數(shù)據(jù)采集單元（MCU），選用基康儀器（北京）有限公司生產(chǎn)的測(cè)量控制單元BGK－MICRO－40MCU。

篇6

【摘要】目的：評(píng)價(jià)α硫辛酸聯(lián)合貝前列腺素鈉治療早期糖尿病的療效及安全性。方法? 將早期2型糖尿病腎病患者隨機(jī)分為3組，飲食+胰島素治療基礎(chǔ)上，聯(lián)合組給予α硫辛酸聯(lián)合貝前列腺素鈉治療，其余兩組僅分別給予α硫辛酸和貝前列腺素鈉治療，療程均為4周，比較三組治療前后血糖、24小時(shí)尿微量蛋白排泄率、內(nèi)生肌酐清除率及眼底事件。結(jié)果?聯(lián)合治療組24小時(shí)尿微量蛋白排泄率和內(nèi)生肌酐清除率明顯優(yōu)于其余兩組(P＜0.05)，不良事件發(fā)生率有所增加，但與其余兩組之間無顯著性差異。結(jié)論?α硫辛酸聯(lián)合貝前列腺素治療早期糖尿病腎病有較好療效和安全性。

【關(guān)鍵詞】 糖尿病腎?。回惽傲邢偎剽c；α硫辛酸

糖尿病腎病（DN）是糖尿病微血管并發(fā)癥之一，也是導(dǎo)致終末期腎臟疾病（ESRD）的常見病因［1］。既往研究認(rèn)為氧化應(yīng)激和內(nèi)皮細(xì)胞功能障礙可參與DN發(fā)生、發(fā)展的病理生理過程［2］。前列腺素可抑制血小板聚集，減少血栓素A2的合成，改善內(nèi)皮細(xì)胞功能異常，但其前體因快速分解，限制了其臨床應(yīng)用，貝前列腺素鈉（Beraprost Sodium，BPS）為一種穩(wěn)定的前列腺素類似物，有學(xué)者認(rèn)為其可改善糖尿病腎病微量白蛋白尿，從而改善糖尿病腎病［3］；α硫辛酸（α-lipoic acid,α-LA）是一種公認(rèn)的抗氧化應(yīng)激藥物，研究顯示其可改善糖尿病鼠血糖和氧化應(yīng)激水平［4］，已有研究證明α-LA對(duì)糖尿病腎病患者有潛在的保護(hù)作用［5］，本研究通過α硫辛酸聯(lián)合貝前列腺素治療DN，分析其療效及安全性。

1 對(duì)象與方法

1.1 研究對(duì)象： 選用2007-2011年住院確診2型糖尿病患者96例，其中男性57例，女性29例，年齡46-75歲，病程3-8年。入選標(biāo)準(zhǔn)：（1）測(cè)24小時(shí)尿微量白蛋白排泄率（UAER）3次，取其平均值。UAER150-100ug/min（UAER大于20μg/min，小于200μg/min為早期糖尿病腎病標(biāo)準(zhǔn)）；（2）血壓135-110 /80 -60 mmHg；（3）肌酐正常，內(nèi)生肌酐清除率（Ccr=(140-年齡)×體重(kg)/72×Scr(mg/dl)）50-70ml/min；（4）眼底檢查無視網(wǎng)膜微血管瘤及眼底出血、滲出；（5）治療前后均無糖尿病急性并發(fā)癥、感染，無腎毒性藥物使用史及嚴(yán)重疾病史。（6）無出血征象、PT、APTT檢查正常；將上述病例隨機(jī)分為聯(lián)合治療組（34例）、α硫辛酸組（29例）及貝前列腺素組（33例）。

1.2 治療方法： 入選患者予糖尿病飲食，每日三餐前后及睡前血糖監(jiān)測(cè)，胰島素強(qiáng)化治療，血糖控制目標(biāo)空腹：4-6.1mmol/L，餐后5.6-7.8mmol/L。其中聯(lián)合組予以亞寶力舒（α硫辛酸，亞寶藥業(yè)）600mg+0.9%生理鹽水250ml 靜滴 1/日（連續(xù)靜滴5日后，停用2日，再次使用）、德納（貝前列腺素，日本山之內(nèi)公司）40ug 口服 3/日。α硫辛酸組予以亞寶力舒600mg+0.9%生理鹽水250ml 靜滴 1/日（連續(xù)靜滴5日后，停用2日，再次使用）。貝前列腺素組使用德納40ug 口服 3/日。

1.3 觀察指標(biāo)：治療時(shí)間4周，期間監(jiān)測(cè)血糖，4周后測(cè)定24小時(shí)尿微量蛋白排泄率，安全性評(píng)價(jià)指標(biāo)包括眼底事件（指眼底出血或滲出），全身皮膚檢查（指皮下淤血）及APTT。

1.4 統(tǒng)計(jì)學(xué)方法：各組數(shù)據(jù)以均數(shù)±標(biāo)準(zhǔn)差(±S)表示，用SPSS10.0軟件對(duì)數(shù)據(jù)進(jìn)行分析，試驗(yàn)前后及組間比較用t檢驗(yàn)。以P

2 結(jié)果

2.1 血糖監(jiān)測(cè)結(jié)果如表1：

表1 聯(lián)合治療組、α-LA組及貝前列腺素組治療前后血糖（mmol/L）

組別 空腹血糖餐后血糖

治療前 治療后 治療前 治療后

聯(lián)合治療組 6.4±1.1 6.3±1.2 7.7±1.3 7.5±1.0

α-LA組 6.6±1.2 6.1±1.3 7.3±1.2 7.6±1.1

貝前列腺素組 6.2±0.9 6.4±1.0 7.1±1.4 7.4±1.5

#: p

*: p

2.2 24小時(shí)尿蛋白定量和內(nèi)生肌酐清除率結(jié)果如表2：

2.3 安全性評(píng)價(jià)結(jié)果如表3：

2.4 隨訪情況：試驗(yàn)結(jié)束后將出現(xiàn)不良事件的入選者均給予對(duì)癥治療，癥狀好轉(zhuǎn)后出院。此后上述患者逐一隨訪，分別在出院后1月、2月、6月復(fù)查眼底檢查及凝血檢查，未再發(fā)生不良事件。

3 討論

糖尿病患者因長(zhǎng)期血糖、血脂、血壓異常導(dǎo)致氧化應(yīng)激以及內(nèi)皮細(xì)胞功能障礙，最終致腎臟損傷，研究證明若在DN早期進(jìn)行有效的干預(yù)治療，有望延緩甚至逆轉(zhuǎn)其發(fā)生和發(fā)展［6］。近年來，抗氧化劑在糖尿病慢性并發(fā)癥治療應(yīng)用中日趨廣泛［7］。α硫辛酸是丙酮酸脫氫酶的輔助因子，可以轉(zhuǎn)變?yōu)槎淞蛐了? 激活丙酮酸脫氫酶，并活化磷脂酰肌醇-3激酶使胞漿內(nèi)葡萄糖轉(zhuǎn)運(yùn)體GLUT1、GLUT3、GLUT4易位至胞膜，促進(jìn)葡萄糖的轉(zhuǎn)運(yùn)和利用［8］。此外，其通過抑制脂質(zhì)過氧化反應(yīng)，糾正內(nèi)皮功能障礙，對(duì)腎血管起到保護(hù)作用［9］。

前列腺素（PG）類物質(zhì)應(yīng)用于DN的治療已得到共識(shí)［10］。在動(dòng)物和臨床研究中證實(shí)貝前列腺素具有較強(qiáng)的抑制血小板聚集、降低血液粘度和紅細(xì)胞聚集性、改善其變形能力，從而起到改善血液流變學(xué)，降低血管阻力的作用［11］；同時(shí)，貝前列腺素通過擴(kuò)張腎阻力血管，降低血管緊張素II所導(dǎo)致的腎小球高壓，抑制PDGF生成以及腎小球系膜細(xì)胞的增殖，降低糖尿病患者微量白蛋白尿［3］。

本研究以α硫辛酸和貝前列腺素鈉聯(lián)合治療早期糖尿病腎病，結(jié)果顯示三者均不影響血糖控制，α硫辛酸組與貝前列腺素組在改善尿微量蛋白排泄率和內(nèi)生肌酐清除率中不存在顯著差異。聯(lián)合治療組尿微量蛋白排泄率和內(nèi)生肌酐清除率的改善明顯優(yōu)于其余兩組 (P＜0.05)，證實(shí)在α硫辛酸聯(lián)合貝前列腺素治療可有效延緩糖尿病腎臟損傷，各組之間安全性比較也無明顯差異。

綜上所述，α硫辛酸和貝前列腺素聯(lián)合治療在可明顯改善早期糖尿病腎病患者24小時(shí)尿微量蛋白排泄率和內(nèi)生肌酐清除率，長(zhǎng)期應(yīng)用安全性高，其機(jī)制可能與糾正糖尿病腎病患者氧化應(yīng)激與內(nèi)皮細(xì)胞功能障礙有關(guān)，尚需進(jìn)一步研究證實(shí)。

參考文獻(xiàn)

［1］ Choudhury D, Tuncel M, Levi M. Diabetic nephropathy―a multifaceted target of new therapies, Discov Med［J］, 2010，10（54）:406-415.

［2］ Satirapoj B. Review on pathophysiology and treatment of diabetic kidney disease. J Med Assoc Thai［J］，2010，93（6）：228 - 241.

［3］ Owada A, Suda S, Hata T. Effect of long-term administration of prostaglandin I(2) in incipient diabetic nephropathy. Nephron. 2002;92(4):788-96.

［4］ 郭沛艷，于德民，劉德敏。α-硫辛酸對(duì)糖尿病小鼠血糖和氧化應(yīng)激水平的影響。天津醫(yī)藥［J］。2006，34（11）792-794。

［5］ Chang JW, Lee EK, Kim TH,et al. Effects of alpha-lipoic acid on the plasma levels of asymmetric dimethylarginine in diabetic end-stage renal disease patients on hemodialysis: a pilot study. Am J Nephrol. 2007;27(1):70-74

［6］ Giacco F, Brownlee M. Oxidative stress and diabetic complications. Circ Res［J］. 2010 29;107(9):1058-1070.

［7］ Kashihara N, Haruna Y, Kondeti VK, et al. Oxdative stress in diabetic nephropathy. Curr Med Chem［J］，2010，17（34）：4256 - 4269.

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全；審計(jì)安全；監(jiān)控系統(tǒng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）16-3707-02

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全性一直是人們關(guān)注的話題，同時(shí)也是網(wǎng)絡(luò)體系中的薄弱環(huán)節(jié)之一，面對(duì)網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)安全性的高要求，做好網(wǎng)絡(luò)安全工作十分重要。在網(wǎng)絡(luò)體系中，網(wǎng)絡(luò)安全主要包括以下幾個(gè)方面：網(wǎng)絡(luò)數(shù)據(jù)具有私有性，網(wǎng)絡(luò)系統(tǒng)需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行保護(hù)，防止數(shù)據(jù)被非法侵入和利用；數(shù)據(jù)和信息的使用需要經(jīng)過信息所有者的授權(quán)，網(wǎng)絡(luò)系統(tǒng)需要保護(hù)數(shù)據(jù)在非授權(quán)情況下不被非法使用；網(wǎng)絡(luò)信息可以進(jìn)行訪問控制，對(duì)網(wǎng)絡(luò)資源的訪問進(jìn)行規(guī)范的控制。針對(duì)網(wǎng)絡(luò)安全問題，常見的網(wǎng)絡(luò)安全管理措施主要包括加密技術(shù)，授權(quán)管理以及訪問控制管理等。還包括對(duì)網(wǎng)絡(luò)安全日志的維護(hù)和檢查，對(duì)安全日志進(jìn)行創(chuàng)建和刪除，建立網(wǎng)絡(luò)日志的安全服務(wù)機(jī)制，相關(guān)安全信息等。

網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)，需要對(duì)網(wǎng)絡(luò)信息的傳輸進(jìn)行嚴(yán)格的審計(jì)，保證數(shù)據(jù)傳輸?shù)囊?guī)范。同時(shí)，還需要對(duì)網(wǎng)絡(luò)操作行為進(jìn)行監(jiān)督，通過網(wǎng)絡(luò)信息訪問控制機(jī)制的建立來做好對(duì)網(wǎng)絡(luò)信息的審計(jì)和監(jiān)控工作，實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全性保障。網(wǎng)絡(luò)安全的訪問控制環(huán)節(jié)，主要通過訪問限制的設(shè)置來實(shí)現(xiàn)對(duì)資源訪問的控制，減少和及時(shí)發(fā)現(xiàn)非法入侵，網(wǎng)絡(luò)信息安全體系中常見的訪問控制系統(tǒng)主要有網(wǎng)絡(luò)用戶主體與客體間的安全訪問規(guī)則等。通過對(duì)網(wǎng)絡(luò)安全訪問控制機(jī)制的建立，規(guī)范了網(wǎng)絡(luò)信息訪問秩序，確定了訪問主體以及訪問的權(quán)限等，防止未授權(quán)的非法訪問。進(jìn)而做好對(duì)網(wǎng)絡(luò)信息的安全審計(jì)以及監(jiān)控工作，確保網(wǎng)絡(luò)信息安全。

2 安全審計(jì)和監(jiān)控系統(tǒng)設(shè)計(jì)技術(shù)分析

1）Web Service技術(shù)

Web Service技術(shù)是Web應(yīng)用技術(shù)的分支，通過該技術(shù)可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的描述性以及模塊化管理。通過信息定位以及等方式，Web Service可以進(jìn)行數(shù)據(jù)請(qǐng)求以及數(shù)據(jù)處理等操作。當(dāng)命令發(fā)出之后，Web Service就開始對(duì)任務(wù)的執(zhí)行工作，通過網(wǎng)絡(luò)信息中的各種Web Service應(yīng)用程序來執(zhí)行任務(wù)服務(wù)。綜上所述，Web Service是網(wǎng)絡(luò)信息環(huán)境中的一種應(yīng)用程序，通過標(biāo)準(zhǔn)化互聯(lián)網(wǎng)協(xié)議的使用，實(shí)現(xiàn)網(wǎng)絡(luò)信息功能性綱領(lǐng)在互聯(lián)網(wǎng)上的體現(xiàn)。其中使用的互聯(lián)網(wǎng)協(xié)議主要有超文本傳輸協(xié)議（HTP）以及XML協(xié)議等。

2）XML數(shù)據(jù)處理

XML主要是指可擴(kuò)展性的標(biāo)記語(yǔ)言，屬于標(biāo)準(zhǔn)通用標(biāo)記語(yǔ)言的范疇。XML技術(shù)在互聯(lián)網(wǎng)環(huán)境中，實(shí)現(xiàn)了跨平臺(tái)數(shù)據(jù)操作和處理，是一種對(duì)數(shù)據(jù)內(nèi)容依賴程度比較高的技術(shù)，在當(dāng)下一些結(jié)構(gòu)化的文檔信息處理中應(yīng)用的比較廣泛。同時(shí)，XML屬于比較簡(jiǎn)單的數(shù)據(jù)存儲(chǔ)語(yǔ)言，對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的標(biāo)記和描述，標(biāo)記可以通過特定的方式來建立，因此，利用XML技術(shù)對(duì)數(shù)據(jù)的處理比較好操作，而且處理方式比較靈活。通過可擴(kuò)展標(biāo)記語(yǔ)言可以在網(wǎng)絡(luò)信息系統(tǒng)中建立共同信息格式以及共享格式等，主要應(yīng)用在金融行業(yè)內(nèi)部網(wǎng)以及其他網(wǎng)絡(luò)體系中。例如，一些計(jì)算機(jī)制造商往往用同一種標(biāo)準(zhǔn)來進(jìn)行計(jì)算機(jī)產(chǎn)品相關(guān)信息的定義，然后通過XML描述產(chǎn)品信息格式。通過這種標(biāo)準(zhǔn)數(shù)據(jù)描述方式，讓使用戶通過智能程序，來對(duì)各個(gè)計(jì)算機(jī)制造商的信息進(jìn)行了解，最終通過比較來得出自己需要的計(jì)算機(jī)產(chǎn)品。

3） 軟件開發(fā)和應(yīng)用

網(wǎng)絡(luò)安全環(huán)境下的安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)和開發(fā)需要軟件平臺(tái)來支持，通過軟件系統(tǒng)的開發(fā)和應(yīng)用，網(wǎng)絡(luò)信息系統(tǒng)中的上層應(yīng)用為一些同網(wǎng)絡(luò)硬件以及操作系統(tǒng)無關(guān)的軟件開發(fā)以及應(yīng)用提供必要的環(huán)境支持。同時(shí)，軟件平臺(tái)也可以為用戶的各種數(shù)據(jù)處理工作提供便利，例如數(shù)據(jù)訪問、數(shù)據(jù)封裝以及數(shù)據(jù)分析等。通過軟件應(yīng)用為上層透明數(shù)據(jù)訪問提供了一個(gè)明確的接口。

3 網(wǎng)絡(luò)安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1）安全審計(jì)設(shè)計(jì)

網(wǎng)絡(luò)安全中的安全審計(jì)主要包括以下幾個(gè)步驟：首先需要對(duì)被審計(jì)單位的各項(xiàng)信息數(shù)據(jù)進(jìn)行采集，采集過程中保證數(shù)據(jù)的全面性和完整性；其次，需要對(duì)采集的各種數(shù)據(jù)進(jìn)行綜合分析和處理，集合審計(jì)工作的具體需要將相關(guān)數(shù)據(jù)進(jìn)行整合，然后轉(zhuǎn)換成審計(jì)所需要的數(shù)據(jù)形式；最后還要對(duì)審計(jì)數(shù)據(jù)進(jìn)行復(fù)核工作，復(fù)核工作主要通過計(jì)算機(jī)審計(jì)軟件來完成。在安全審計(jì)設(shè)計(jì)過程中，數(shù)據(jù)采集環(huán)節(jié)是整個(gè)審計(jì)工作的前提和基礎(chǔ)，只有完整、全面、準(zhǔn)確以及及時(shí)的數(shù)據(jù)，才能有效的開展審計(jì)工作。常用的審計(jì)數(shù)據(jù)采集方式有三種，即直接讀取數(shù)據(jù)、通過數(shù)據(jù)庫(kù)連接件進(jìn)行數(shù)據(jù)讀取以及文件傳輸讀取數(shù)據(jù)三種。其中，在直接讀取數(shù)據(jù)這種數(shù)據(jù)采集方式中，一般通過審計(jì)軟件來進(jìn)行數(shù)據(jù)庫(kù)的審計(jì)工作；在數(shù)據(jù)庫(kù)連接件這種采集方式中，采集時(shí)也需要直接同被審計(jì)單位的數(shù)據(jù)庫(kù)進(jìn)行連接。因此，這兩種數(shù)據(jù)采集方式具有一定的相似性，采用這兩種方式進(jìn)行數(shù)據(jù)采集時(shí)，首先需要對(duì)雙方的數(shù)據(jù)存儲(chǔ)格式進(jìn)行了解，當(dāng)采集過程中有一方的數(shù)據(jù)存儲(chǔ)格式發(fā)生了變化，整個(gè)數(shù)據(jù)采集的存儲(chǔ)格式都需要進(jìn)行重新調(diào)整，在這種情況下，數(shù)據(jù)采集的效率就受到了影響，靈活性也降低了。此外，采集過程中直接同被采集單位的數(shù)據(jù)進(jìn)行連接，也影響了被采集單位的數(shù)據(jù)安全和數(shù)據(jù)運(yùn)行速度，進(jìn)而影響了被采集單位的正常工作。因此，在進(jìn)行數(shù)據(jù)采集工作時(shí)，需要采取第三種方式進(jìn)行，由被采集單位進(jìn)行數(shù)據(jù)格式的指定，然后將數(shù)據(jù)導(dǎo)出，避免同被采集方數(shù)據(jù)庫(kù)的直接連接，在獲得采集數(shù)據(jù)的同時(shí)也保障了被審計(jì)單位的信息安全，真正實(shí)現(xiàn)安全審計(jì)。

2）網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)設(shè)計(jì)

在網(wǎng)絡(luò)安全監(jiān)控體系中，最主要的就是對(duì)網(wǎng)絡(luò)操作對(duì)象進(jìn)行監(jiān)控，對(duì)網(wǎng)絡(luò)操作的各種文件和數(shù)據(jù)進(jìn)行監(jiān)控，進(jìn)而實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行的目標(biāo)。對(duì)操作對(duì)象的監(jiān)控可以通過Windows程序來實(shí)現(xiàn)，工作原理為：利用Windows程序中的文件過濾驅(qū)動(dòng)系統(tǒng)來對(duì)用戶進(jìn)程中的各種文件操作進(jìn)行攔截，做好對(duì)網(wǎng)絡(luò)數(shù)據(jù)訪問的審核和控制，決定用戶進(jìn)程的訪問權(quán)限以及訪問方式，在這種監(jiān)控環(huán)境下，網(wǎng)絡(luò)環(huán)境中的文件安全得以保障和實(shí)現(xiàn)。通過網(wǎng)絡(luò)文件監(jiān)控可以實(shí)現(xiàn)對(duì)文件系統(tǒng)的過濾和管理，具體表現(xiàn)在：Driver Message Controller負(fù)責(zé)對(duì)監(jiān)控系統(tǒng)的驅(qū)動(dòng)以及通信，通過監(jiān)控程序來進(jìn)行消息發(fā)送；利用標(biāo)簽維護(hù)模塊來進(jìn)行安全標(biāo)簽的處理，比如添加和刪除等，該模塊主要用作文件訪問日志的顯示；此外，網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)中的驅(qū)動(dòng)程序消息控制模塊主要借助CDriverMsgController類型的多用線程技術(shù)來實(shí)現(xiàn)，進(jìn)而對(duì)驅(qū)動(dòng)程序所監(jiān)視的消息進(jìn)行接收和發(fā)送等方面的處理。

4 結(jié)束語(yǔ)

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全問題也越來越突出，一些非授權(quán)網(wǎng)絡(luò)信息訪問以及非法網(wǎng)絡(luò)入侵行為大量存在，嚴(yán)重影響了金融行業(yè)的網(wǎng)絡(luò)信息安全，危及業(yè)務(wù)系統(tǒng)正常運(yùn)行，甚至造成了信息泄露，系統(tǒng)數(shù)據(jù)被非法篡改等重大損失。做好網(wǎng)絡(luò)安全維護(hù)工作十分重要，在安全的網(wǎng)絡(luò)環(huán)境下開展安全審計(jì)工作以及系統(tǒng)監(jiān)控工作時(shí)必須的，金融行業(yè)要做好安全審計(jì)以及監(jiān)控系統(tǒng)的設(shè)計(jì)工作。通過安全審計(jì)工作的開展來保證金融行業(yè)的信息安全，通過監(jiān)控系統(tǒng)來規(guī)范管理網(wǎng)絡(luò)信息環(huán)境，進(jìn)而打造安全的網(wǎng)絡(luò)信息環(huán)境，保證金融行業(yè)及住房公積金行業(yè)的網(wǎng)絡(luò)運(yùn)行安全。

參考文獻(xiàn)：

[1] 倪竹清.網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)的探索與實(shí)踐[J].中國(guó)傳媒科技，2011（7）.

篇8

天識(shí)公司凝聚著一批優(yōu)秀的生物識(shí)別和信息安全方面的專業(yè)人才，其研發(fā)團(tuán)隊(duì)掌握著世界領(lǐng)先水平的生物識(shí)別技術(shù)和信息安全技術(shù)。公司堅(jiān)持不斷學(xué)習(xí)，不斷創(chuàng)新，確保技術(shù)水平和國(guó)際同步。公司具有專業(yè)安全服務(wù)隊(duì)伍，基于國(guó)內(nèi)外標(biāo)準(zhǔn)，為客戶提供從信息訪問控制、網(wǎng)絡(luò)策略制定、漏洞評(píng)估、緊急響應(yīng)，以及安全培訓(xùn)等全方位的服務(wù)，在互聯(lián)網(wǎng)應(yīng)急響應(yīng)、應(yīng)急處理、應(yīng)急服務(wù)方面具有卓越能力。天識(shí)公司是客戶深為信賴的信息安全技術(shù)伙伴，與國(guó)內(nèi)的許多著名企業(yè)和科研機(jī)合作進(jìn)行卓有成效的技術(shù)、產(chǎn)品和市場(chǎng)合作，建立了戰(zhàn)略合作伙伴關(guān)系。

天識(shí)科技是美國(guó)Motorola公司PDA和日本富士通公司PDA指紋算法提供商，是國(guó)內(nèi)銀行總行選用的指紋管理平臺(tái)供應(yīng)商，該平臺(tái)管理著銀行業(yè)眾多的指紋儀。是國(guó)內(nèi)領(lǐng)先的指紋產(chǎn)品研發(fā)、生產(chǎn)廠商，天識(shí)科技在全國(guó)范圍內(nèi)為中國(guó)銀行、中國(guó)建設(shè)銀行、中國(guó)民生銀行、中信銀行、上海浦東發(fā)展銀行、華夏銀行、興業(yè)銀行、福州商業(yè)銀行等超過50家省市分行提供了生物識(shí)別應(yīng)用安全產(chǎn)品的全面解決方案。天識(shí)科技對(duì)生物識(shí)別技術(shù)的研發(fā)已有10年以上的歷史，有著豐富的產(chǎn)品設(shè)計(jì)、生產(chǎn)組織、項(xiàng)目實(shí)施經(jīng)驗(yàn)，為銀行業(yè)實(shí)施各種安全解決方案有15年以上的經(jīng)驗(yàn)。天識(shí)科技同時(shí)還是美國(guó)APPSEC 公司的專注于網(wǎng)絡(luò)應(yīng)用評(píng)估、審計(jì)產(chǎn)品的中國(guó)金融業(yè)總，是用生物識(shí)別技術(shù)和Web 應(yīng)用審計(jì)技術(shù)完美結(jié)合，防止非法入侵信息系統(tǒng)整體解決方案的提供商。結(jié)合整體解決方案需要，公司產(chǎn)品和服務(wù)劃分成生物識(shí)別產(chǎn)品系列、審計(jì)評(píng)估和Cefis安保三個(gè)部分。

第一部分，生物識(shí)別產(chǎn)品系列。公司擁有自由知識(shí)產(chǎn)權(quán)的指紋產(chǎn)品獲得多項(xiàng)國(guó)家發(fā)明，指紋管理平臺(tái)TS-Match 是行業(yè)領(lǐng)先的指紋管理平臺(tái)，目前管理著國(guó)內(nèi)銀行業(yè)眾多的指紋儀。

第二部分，Web 應(yīng)用安全審計(jì)系列。公司的Web 應(yīng)用安全審計(jì)產(chǎn)品緊緊圍繞Web 應(yīng)用安全，充分結(jié)合應(yīng)用安全管理技術(shù)，提供以主動(dòng)掃描、入侵檢測(cè)、安全監(jiān)控、阻斷技術(shù)和安全審計(jì)為核心的主動(dòng)防御體系系列安全應(yīng)用產(chǎn)品。

篇9

關(guān)鍵詞：信息安全；等級(jí)保護(hù)；技術(shù)方案

中圖分類號(hào)：TP393.092

隨著采供血業(yè)務(wù)對(duì)信息系統(tǒng)的依賴程度越來越高，信息安全問題日益突現(xiàn)，各采供血機(jī)構(gòu)對(duì)信息安全保障工作給予了高度重視，各方面的信息安全保障工作都在逐步推進(jìn)?！缎l(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號(hào)）指出[1]，依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，遵循相關(guān)標(biāo)準(zhǔn)規(guī)范，全面開展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任，建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制，切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急能力，做好信息安全等級(jí)保護(hù)工作，對(duì)于促進(jìn)采供血機(jī)構(gòu)信息化發(fā)展，維護(hù)公共利益、社會(huì)秩序和國(guó)家安全具有重要意義。

1 信息安全等級(jí)保護(hù)概述

1994年國(guó)務(wù)院147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)保護(hù)條例》，規(guī)定我國(guó)實(shí)行“計(jì)算機(jī)信息安全等級(jí)保護(hù)制度”[2]。根據(jù)147號(hào)令的要求，公安部制定了《計(jì)算機(jī)信息等級(jí)劃分標(biāo)準(zhǔn)》（GB17859-1999以下簡(jiǎn)稱GB17859），該標(biāo)準(zhǔn)是我國(guó)最早的信息安全等級(jí)標(biāo)準(zhǔn)。

當(dāng)前實(shí)施的信息安全等級(jí)保護(hù)制度是由公安部等四部委聯(lián)合發(fā)文《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)）及《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），文件明確了信息安全等級(jí)保護(hù)制度的原則、內(nèi)容、工作要求、部門分工和實(shí)施計(jì)劃，為信息安全工作提供了規(guī)范保障。這些信息安全的有關(guān)政策法規(guī)主要是從管理角度劃分安全等級(jí)的要求。

2006年，國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)以GB17859為基本依據(jù)，提出并制定了一系列信息安全國(guó)家標(biāo)準(zhǔn)（GB/T20269-2006《信息安全技術(shù) 信息系統(tǒng)安全管理要求》等）。這一系列規(guī)范性文件體現(xiàn)了從技術(shù)角度劃分信息安全等級(jí)的要求，主要以信息安全的基本要素為單位，對(duì)實(shí)現(xiàn)不同安全要求的安全技術(shù)和機(jī)制提出不同的要求。本文主要討論以GB17859為依據(jù)從技術(shù)角度探討信息安全等級(jí)保護(hù)技術(shù)在采供血機(jī)構(gòu)中的實(shí)踐。

2 等級(jí)保護(hù)技術(shù)方案

信息安全等級(jí)保護(hù)制度明確了信息安全防護(hù)方案，要求確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保信息內(nèi)容安全。保證業(yè)務(wù)數(shù)據(jù)在生成、存儲(chǔ)、傳輸和使用過程中的安全，重要業(yè)務(wù)操作行為可審計(jì)，保證應(yīng)用系統(tǒng)可抵御黑客、惡意代碼、病毒等造成的攻擊與破壞，防范惡意人員對(duì)信息系統(tǒng)資源的非法、非授權(quán)訪問。

2.1 實(shí)現(xiàn)要求。三級(jí)安全應(yīng)用平臺(tái)安全計(jì)算環(huán)境的安全目標(biāo)是保護(hù)計(jì)算環(huán)境的終端、重要服務(wù)器、乃至上層的應(yīng)用安全和數(shù)據(jù)安全，并對(duì)入侵事件進(jìn)行檢測(cè)/發(fā)現(xiàn)、防范/阻止和審計(jì)/追查。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)、安全管理中心及四個(gè)部分，形成“一個(gè)中心”三重保障體系[3]。

圖1 三級(jí)安全應(yīng)用平臺(tái)TCB模型

2.2 安全計(jì)算機(jī)環(huán)境。安全計(jì)算機(jī)環(huán)境是由安全局域通信網(wǎng)絡(luò)連接的各個(gè)安全的計(jì)算資源所組成的計(jì)算環(huán)境，其工作方式包括客戶/服務(wù)器模式；主機(jī)/終端模式；服務(wù)器/工作站模式。

2.3 安全區(qū)域邊界。是安全計(jì)算環(huán)境通過安全通信網(wǎng)絡(luò)與外部連接的所有接口的總和，包括防火墻、防病毒網(wǎng)關(guān)及入侵檢測(cè)等共同實(shí)現(xiàn)。

2.4 安全通信網(wǎng)絡(luò)。實(shí)現(xiàn)信息系統(tǒng)中各個(gè)安全計(jì)算機(jī)環(huán)境之間互相連接的重要設(shè)施。包括安全性檢測(cè)、安全審計(jì)病毒防殺、備份與故障恢復(fù)以及應(yīng)急計(jì)劃與應(yīng)急反應(yīng)。

2.5 安全管理中心。針對(duì)安全計(jì)算機(jī)環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)三個(gè)部分的安全機(jī)制的集中管理設(shè)施。針對(duì)安全審計(jì)網(wǎng)絡(luò)管理、防病毒等技術(shù)的安全集中管理。

3 采供血機(jī)構(gòu)信息系統(tǒng)等級(jí)保護(hù)建設(shè)

3.1 定級(jí)。采供血機(jī)構(gòu)為地市級(jí)公益衛(wèi)生事業(yè)單位，信息管理系統(tǒng)受到破壞會(huì)嚴(yán)重?fù)p害社會(huì)秩序，采供血業(yè)務(wù)停滯會(huì)嚴(yán)重?fù)p害公共利益，信息泄露則會(huì)嚴(yán)重影響公眾利益，按信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南，確定采供血信息系統(tǒng)安全保護(hù)等級(jí)為第三級(jí)。

3.2 系統(tǒng)分析。采供血信息系統(tǒng)覆蓋采供血業(yè)務(wù)和相關(guān)服務(wù)過程，包括獻(xiàn)血者檔案、血液采集、制備、檢驗(yàn)和發(fā)放等信息記錄必須妥善保存并保持可溯性。艾滋病疫情信息根據(jù)國(guó)家相關(guān)法律法規(guī)的要求，必須防止泄露，以免產(chǎn)生對(duì)國(guó)家安全及社會(huì)穩(wěn)定的負(fù)面影響。

信息系統(tǒng)核心由兩臺(tái)雙機(jī)熱備服務(wù)器、磁盤陣列柜組成，采用硬件VPN、硬件防火墻作為網(wǎng)絡(luò)安全設(shè)備。應(yīng)用VPN技術(shù)將遠(yuǎn)離采供血機(jī)構(gòu)本部的獻(xiàn)血屋、移動(dòng)采血車及醫(yī)院輸血科使用的業(yè)務(wù)計(jì)算機(jī)與站內(nèi)的服務(wù)器聯(lián)網(wǎng)。

3.3 等級(jí)保護(hù)建設(shè)。依據(jù)GB17859-1999等系列標(biāo)準(zhǔn)把相關(guān)技術(shù)要求落實(shí)到安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)和安全管理中心四部分。構(gòu)建“一個(gè)中心”管理下的“三重保障體系”，實(shí)現(xiàn)拓樸圖如下：

圖2 采供血機(jī)構(gòu)拓?fù)鋱D

3.3.1 安全計(jì)算環(huán)境。系統(tǒng)層主要進(jìn)行身份認(rèn)證及用戶管理、訪問控制、安全審計(jì)、審惡意代碼防范，補(bǔ)丁升級(jí)及系統(tǒng)安全性檢測(cè)分析。安全計(jì)算環(huán)境主要依靠在用戶終端或是服務(wù)器中充分挖掘完善現(xiàn)有windows/Linux操作系統(tǒng)本身固有的安全特性來保證其安全性。在應(yīng)用系統(tǒng)實(shí)現(xiàn)身份鑒別、訪問控制、安全審計(jì)等安全機(jī)制。

3.3.2 安全區(qū)域邊界。在網(wǎng)絡(luò)邊界處以網(wǎng)關(guān)模式部署深信服下一代防火墻AF-1320，電信及聯(lián)通兩條線路都接入其中，達(dá)到以下防護(hù)目的：（1）區(qū)域邊界訪問控制：邏輯隔離數(shù)據(jù)、透明并嚴(yán)格進(jìn)行服務(wù)控制，隔離本單位網(wǎng)絡(luò)和互聯(lián)網(wǎng)，成為網(wǎng)絡(luò)之間的邊界屏障，單位內(nèi)部電腦上網(wǎng)，實(shí)施相應(yīng)訪問控制策略，設(shè)置自主和強(qiáng)制訪問控制機(jī)制；（2）區(qū)域邊界包過濾：通過檢查數(shù)據(jù)包源地址、過濾與狀態(tài)檢測(cè)提供靜態(tài)的包過濾和動(dòng)態(tài)包過濾功能；（3）區(qū)域邊界安全審計(jì)：由內(nèi)置數(shù)據(jù)中心和獨(dú)立數(shù)據(jù)中心記錄各類詳細(xì)事件，并產(chǎn)生統(tǒng)計(jì)報(bào)表。還可根據(jù)管理者定義的風(fēng)險(xiǎn)行為特征自動(dòng)挖掘并輸出風(fēng)險(xiǎn)行為智能報(bào)表；（4）完整性保護(hù)：保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)免受非授權(quán)人員的騷擾與黑客的入侵，過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換。該防火墻具有IPS入侵防護(hù)，防護(hù)類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測(cè)/掃描/間諜軟件/利用漏洞的攻擊/緩沖區(qū)溢出攻擊/協(xié)議異常/ IPS逃逸攻擊等；具有網(wǎng)絡(luò)應(yīng)用層防護(hù)，識(shí)別及清殺惡意代碼功能。

3.3.3 安全通信網(wǎng)絡(luò)。當(dāng)用戶跨區(qū)域訪問時(shí)，根據(jù)三級(jí)標(biāo)準(zhǔn)要求，需要進(jìn)行數(shù)據(jù)傳輸保護(hù)。通過部署VPN安全設(shè)備構(gòu)建安全隧道，實(shí)施機(jī)密性和完整性保護(hù)，實(shí)現(xiàn)對(duì)應(yīng)用數(shù)據(jù)的網(wǎng)絡(luò)傳輸保護(hù)。（1）本單位用采兩臺(tái)深信服VPN網(wǎng)關(guān)為跨區(qū)域邊界的通信雙方建立安全的通道。一臺(tái)為IPsec VPN用于連接采供血機(jī)構(gòu)的分支機(jī)構(gòu)如大型獻(xiàn)血屋，另一臺(tái)為SSL VPN用于小型捐血屋、流動(dòng)采血車、各醫(yī)院與采供血機(jī)構(gòu)的數(shù)據(jù)通信。VPN設(shè)備可為采供血機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間信息的安全傳輸提供加密、身份鑒別、完整性保護(hù)及控制等安全機(jī)制。另外，VPN安全網(wǎng)關(guān)中設(shè)計(jì)了審計(jì)功能來記錄、存儲(chǔ)和分析安全事件，可為安全管理員提供有關(guān)追蹤安全事件和入侵行為的有效證據(jù)；（2）在防火墻下端部署華為S5700系列三層核心交換機(jī)，并在網(wǎng)絡(luò)中劃分VLAN，設(shè)置部門應(yīng)用終端的訪問權(quán)限，規(guī)定哪些部門可以訪問哪些服務(wù)器等以減少網(wǎng)絡(luò)中的廣播風(fēng)暴，提高網(wǎng)絡(luò)效率；（3）在行政辦公區(qū)域利用深信服上網(wǎng)行為管理（Sinfor-M5000-AC）有效管理與利用互聯(lián)網(wǎng)資源，合理封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用。

3.3.4 安全管理中心。信息安全等級(jí)保護(hù)三級(jí)的信息系統(tǒng)，應(yīng)建立安全管理中心，主要用于監(jiān)視和記錄信息系統(tǒng)中比較重要的服務(wù)器、網(wǎng)絡(luò)設(shè)備等環(huán)節(jié)，以及所有應(yīng)用系統(tǒng)和主要用戶的安全狀況。本單位目前安全管理中心由兩部分組成，配置賽門鐵克賽門鐵克SEP12.1，采用分布式的體系結(jié)構(gòu)部署了防病毒系統(tǒng)中心、防病毒服務(wù)器端、防病毒客戶端、防病毒管理員控制臺(tái)。防病毒軟件與防火墻、VPN及上網(wǎng)行為管理協(xié)同完成通信線路、主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件的運(yùn)行等監(jiān)測(cè)和報(bào)警，并形成相關(guān)報(bào)表。對(duì)設(shè)備狀態(tài)、惡意代碼、補(bǔ)丁升級(jí)及安全審計(jì)等相關(guān)事項(xiàng)進(jìn)行集中管理。

4 結(jié)束語(yǔ)

按照等級(jí)保護(hù)的相關(guān)規(guī)范和技術(shù)要求，結(jié)合采供血機(jī)構(gòu)具體網(wǎng)絡(luò)和系統(tǒng)應(yīng)用，設(shè)計(jì)三級(jí)信息安全等級(jí)保護(hù)方案并建設(shè)，保證采供血機(jī)構(gòu)網(wǎng)絡(luò)的安全、穩(wěn)定、通暢，保障了整個(gè)采供血業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，更好地服務(wù)于廣大患者。

參考文獻(xiàn)：

[1]網(wǎng)神信息技術(shù)（北京）股份有限公司[J].信息網(wǎng)絡(luò)安全，2012（10）：28.

[2]郎漫芝，王暉，鄧小虹.醫(yī)院信息系統(tǒng)信息安全等級(jí)保護(hù)的實(shí)施探討[J].計(jì)算機(jī)應(yīng)用與軟件，2013（01）：206.

[3]胡志昂，范紅.信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)實(shí)現(xiàn)與應(yīng)用[M].北京：電子工業(yè)出版社，2011：98-104.

篇10

 

1現(xiàn)狀與問題

 

1.信息安全現(xiàn)狀

 

隨著信息化建設(shè)的推進(jìn)，我校信息化建設(shè)初具規(guī)模，軟硬件設(shè)備配備完成，運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備。網(wǎng)絡(luò)中心技術(shù)力量雄厚，承擔(dān)網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20余人;針對(duì)重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行，具備了基本的安全防護(hù)能力|6];日常運(yùn)行管理規(guī)范，按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對(duì)象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。由網(wǎng)絡(luò)中心進(jìn)行日常管理的主要有六大業(yè)務(wù)應(yīng)用系統(tǒng)，即網(wǎng)絡(luò)通信平臺(tái)、認(rèn)證計(jì)費(fèi)系統(tǒng)、校園一卡通、電子校務(wù)系統(tǒng)、網(wǎng)站群、郵件系統(tǒng)。

 

網(wǎng)絡(luò)通信平臺(tái)是大學(xué)各大業(yè)務(wù)平臺(tái)的基礎(chǔ)核心，是整個(gè)校園網(wǎng)的基礎(chǔ)，其他應(yīng)用系統(tǒng)都運(yùn)行在高校的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上;認(rèn)證計(jì)費(fèi)系統(tǒng)是針對(duì)用戶接入校園網(wǎng)和互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式;校園一卡通系統(tǒng)建設(shè)在物理專網(wǎng)上，主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理，校園卡與大學(xué)網(wǎng)絡(luò)有3個(gè)物理接口;電子校務(wù)系統(tǒng)是大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲(chǔ)著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息;大學(xué)主頁(yè)網(wǎng)站系統(tǒng)為大學(xué)校園的互聯(lián)網(wǎng)窗口起到學(xué)校對(duì)外介紹宣傳的功能;郵件系統(tǒng)主要為大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)注冊(cè)用1.2面臨的主要問題

 

通過等級(jí)保護(hù)差距分析和風(fēng)險(xiǎn)評(píng)估，目前大學(xué)所面臨的信息安全風(fēng)險(xiǎn)和主要問題如下：

 

(1)高校領(lǐng)域沒有總體安全標(biāo)準(zhǔn)指引，方向不明確，缺少主線。

 

(2)對(duì)國(guó)際國(guó)內(nèi)信息安全法律法規(guī)缺乏深刻意識(shí)和認(rèn)識(shí)。

 

(3)信息安全機(jī)構(gòu)不完善，缺乏總體安全方針與策略，職責(zé)不夠明確。

 

(4)教職員工和學(xué)生數(shù)量龐大，管理復(fù)雜，人員安全意識(shí)相對(duì)薄弱，日常安全問題多。

 

()建設(shè)投資和投入有限，運(yùn)維和管理人員的信息安全專業(yè)能力有待提高。

 

(6)內(nèi)部管理相對(duì)松散，缺乏安全監(jiān)管及檢查機(jī)制，無法有效整體管控。

 

(7)缺乏信息安全總體規(guī)劃，難以全面提升管理

 

(8)缺乏監(jiān)控、預(yù)警、響應(yīng)、恢復(fù)的集中運(yùn)行管理手段，無法提高安全運(yùn)維能力。

 

2建設(shè)思路

 

2.1建設(shè)原則和工作路線

 

學(xué)校信息安全建設(shè)的總體原則是:總體規(guī)劃、適度防護(hù)，分級(jí)分域、強(qiáng)化控制，保障核心、提升管理，支撐應(yīng)用、規(guī)范運(yùn)維。

 

依據(jù)這一總體原則，我們的信息安全體系建設(shè)工作以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，以安全體系為核心，通過對(duì)安全工作生命周期的理解從風(fēng)險(xiǎn)評(píng)估、安全體系規(guī)劃著手，并以解決方案和策略設(shè)計(jì)落實(shí)安全體系的各個(gè)環(huán)節(jié)，在建設(shè)過程中逐步完善安全體系，以安全體系運(yùn)行維護(hù)和管理的過程等全面滿足安全工作各個(gè)層面的安全需求，最終達(dá)到全面、持續(xù)、突出重點(diǎn)的安全保障。

 

2.2體系框架

 

信息安全體系框架依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》GBT22239-2008、《信息系統(tǒng)等級(jí)保護(hù)安全建設(shè)技術(shù)方案設(shè)計(jì)要求》(征求意見稿)，并吸納了IATF模型[7]中“深度防護(hù)戰(zhàn)略，，理論，強(qiáng)調(diào)安全策略、安全技術(shù)、安全組織和安全運(yùn)行4個(gè)核心原則，重點(diǎn)關(guān)注計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等多個(gè)層次的安全防護(hù)，構(gòu)建信息系統(tǒng)的安全技術(shù)體系和安全管理體系，并通過安全運(yùn)維服務(wù)和itsm[8]集中運(yùn)維管理(基于IT服務(wù)管理標(biāo)準(zhǔn)的最佳實(shí)踐)，形成了集風(fēng)險(xiǎn)評(píng)估、安全加固、安全巡檢、統(tǒng)一監(jiān)控、提前預(yù)警、應(yīng)急響應(yīng)、系統(tǒng)恢復(fù)、安全審計(jì)和違規(guī)取證于一體的安全運(yùn)維體系架構(gòu)(見圖2)，從而實(shí)現(xiàn)并覆蓋了等級(jí)保護(hù)基本要求中對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求，以滿足信息系統(tǒng)全方位的安全保護(hù)需求。

 

(1)安全策略：明確信息安全工作目的、信息安全建設(shè)目標(biāo)、信息安全管理目標(biāo)等，是信息安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。

 

(2)安全組織：是信息安全體系框架中最重要的

 

各級(jí)組織間的工作職責(zé)，覆蓋安全管理制度、安全管理機(jī)構(gòu)和人員安全管理3個(gè)部分。

 

(3)安全運(yùn)行：是信息安全體系框架中最重要的安全管理策略之一，是維持信息系統(tǒng)持續(xù)運(yùn)行的保障制度和規(guī)范。主要集中在規(guī)范信息系統(tǒng)應(yīng)用過程和人員的操作執(zhí)行，該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理2個(gè)部分。

 

(4)安全技術(shù):是從技術(shù)角度出發(fā)，落實(shí)學(xué)校組織機(jī)構(gòu)的總體安全策略及管理的具體技術(shù)措施的實(shí)現(xiàn)，是對(duì)各個(gè)防護(hù)對(duì)象進(jìn)行有效地技術(shù)措施保護(hù)。安全技術(shù)注重信息系統(tǒng)執(zhí)行的安全控制，針對(duì)未授權(quán)的訪問或誤用提供自動(dòng)保護(hù)，發(fā)現(xiàn)違背安全策略的行為，并滿足應(yīng)用程序和數(shù)據(jù)的安全需求。安全技術(shù)包含通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界和提供整體安全支撐的安全支撐平臺(tái)。該部分以國(guó)家等級(jí)保護(hù)制度為依據(jù)，覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和數(shù)據(jù)層5個(gè)部分。

 

()安全運(yùn)維:安全運(yùn)維服務(wù)體系架構(gòu)共分兩層，實(shí)現(xiàn)人員、技術(shù)、流程三者的完美整合，通過基于ITIL[9]的運(yùn)維管理方法，保障基礎(chǔ)設(shè)施和生產(chǎn)環(huán)境的正常運(yùn)轉(zhuǎn)，提升業(yè)務(wù)的可持續(xù)性，從而也體現(xiàn)了安全運(yùn)3重點(diǎn)建設(shè)工作

 

3.1安全滲透測(cè)試

 

2009年4月，學(xué)校對(duì)38個(gè)網(wǎng)站、2個(gè)關(guān)鍵系統(tǒng)和6臺(tái)主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程滲透測(cè)評(píng)。通過測(cè)評(píng)，全面、完整地了解了當(dāng)前系統(tǒng)的安全狀況，發(fā)現(xiàn)了20個(gè)高危漏洞，并針對(duì)高危漏洞分析了系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，根據(jù)測(cè)評(píng)結(jié)果發(fā)現(xiàn)被測(cè)系統(tǒng)存在的安全隱患。滲透測(cè)試主要任務(wù)包括:收集網(wǎng)站信息、網(wǎng)站威脅分析、脆弱性分析和滲透入侵測(cè)評(píng)、提升權(quán)限測(cè)評(píng)、獲取代碼、滲透測(cè)評(píng)報(bào)告。

 

3.2風(fēng)險(xiǎn)評(píng)估和安全加固

 

2009年5月，依據(jù)安全滲透測(cè)試結(jié)果，對(duì)大學(xué)的六大信息系統(tǒng)進(jìn)行了安全測(cè)評(píng)。根據(jù)評(píng)估結(jié)果得出系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。主要工作任務(wù)包括:系統(tǒng)調(diào)研、方案編寫、現(xiàn)場(chǎng)檢測(cè)、資產(chǎn)分析、威脅分析、脆弱性分析和風(fēng)險(xiǎn)分析。通過風(fēng)險(xiǎn)評(píng)估最終得出了威脅的數(shù)量和等級(jí)，表1、表2為威脅的數(shù)量和等級(jí)統(tǒng)計(jì)。2009年6月和9月，基于風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)涉及到的網(wǎng)絡(luò)設(shè)備(4臺(tái))和主機(jī)設(shè)備(14臺(tái))進(jìn)行了安全加固工作。

 

3.3安全體系規(guī)劃

 

根據(jù)前期對(duì)全校的網(wǎng)絡(luò)、重要信息系統(tǒng)及管理層面的全面評(píng)估和了解整理出符合大學(xué)實(shí)際的安全需求，并結(jié)合實(shí)際業(yè)務(wù)要求，對(duì)學(xué)校整體信息系統(tǒng)的安全工作進(jìn)行規(guī)劃和設(shè)計(jì)，并通過未來3年的逐步安全建設(shè)，滿足學(xué)校的信息安全目標(biāo)及國(guó)家相關(guān)政策和標(biāo)準(zhǔn)學(xué)校依據(jù)國(guó)際國(guó)內(nèi)規(guī)范及標(biāo)準(zhǔn)，參考業(yè)界的最佳實(shí)踐ISMS[10](信息安全管理體系)，結(jié)合我校目前的實(shí)際情況，制定了一套完整、科學(xué)、實(shí)際的信息安全管理體系，制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本原則和要求。

 

通過信息安全管理體系的建立，使學(xué)校的組織結(jié)構(gòu)布局更加合理，人員安全意識(shí)也明顯提高，從而保證了網(wǎng)絡(luò)暢通和業(yè)務(wù)正常運(yùn)行，提高了IT服務(wù)質(zhì)量。通過制度、流程、標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)了日常安全工作執(zhí)行能力，提高了信息安全保障水平。

 

4未來展望和下一步工作

 

4.1安全防護(hù)體系

 

根據(jù)網(wǎng)絡(luò)與信息系統(tǒng)各節(jié)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求，可以考慮使用邏輯隔離技術(shù)(VLAN或防火墻技術(shù))將整個(gè)學(xué)校的網(wǎng)絡(luò)系統(tǒng)劃分為3個(gè)層次的安全域：第一層次安全域包括整個(gè)學(xué)校網(wǎng)絡(luò)信息系統(tǒng);第二層次安全域?qū)⒏鲬?yīng)用系統(tǒng)從邏輯上和物理上分別劃分;第三層次安全域主要是各應(yīng)用系統(tǒng)內(nèi)部根據(jù)應(yīng)用人群的終端分布、部門等劃分子網(wǎng)或子系統(tǒng)。

 

公鑰基礎(chǔ)設(shè)施包括：CA安全區(qū)：主要承載CAServer、主從LDAP、數(shù)據(jù)庫(kù)、加密機(jī)、OCSP等;KMC管理區(qū):主要承載KMCServer、加密機(jī)等;RA注冊(cè)區(qū):主要承載各院所的RA注冊(cè)服務(wù)器，為各院所的師生管理提供數(shù)字證書注冊(cè)服務(wù)。

 

應(yīng)用安全支撐平臺(tái)為各信息系統(tǒng)提供應(yīng)用支撐服務(wù)、安全支撐服務(wù)以及安全管理策略，使得信息系統(tǒng)建立在一個(gè)穩(wěn)定和高效的應(yīng)用框架上，封裝復(fù)雜的業(yè)務(wù)支撐服務(wù)、基礎(chǔ)安全服務(wù)、管理服務(wù)，并平滑支持業(yè)務(wù)系統(tǒng)的擴(kuò)展。主要包括:統(tǒng)一身份管理、統(tǒng)一身份認(rèn)證、統(tǒng)一訪問授權(quán)、統(tǒng)一審計(jì)管理、數(shù)據(jù)安全引擎、單點(diǎn)登錄等功能。

 

4.2安全運(yùn)維體系

 

ITSM集中運(yùn)維管理解決方案面對(duì)學(xué)校日益復(fù)雜的IT環(huán)境，整合以往對(duì)各類設(shè)備、服務(wù)器、終端和業(yè)務(wù)系統(tǒng)等的分割管理，實(shí)現(xiàn)了對(duì)IT系統(tǒng)的集中、統(tǒng)一、全面的監(jiān)控與管理;系統(tǒng)通過融入ITIL等運(yùn)維管理理念，達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合，實(shí)現(xiàn)了IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化，極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。

 

根據(jù)終端安全的需求，系統(tǒng)應(yīng)建設(shè)一套完整的技術(shù)平臺(tái)，以實(shí)現(xiàn)由管理員根據(jù)管理制度來制定各種詳盡的安全管理策略，對(duì)網(wǎng)內(nèi)所有終端計(jì)算機(jī)上的軟硬件資源、以及計(jì)算機(jī)上的操作行為進(jìn)行有效管理。實(shí)現(xiàn)將以網(wǎng)絡(luò)為中心的分散管理變?yōu)橐杂脩魹橹行募胁呗怨芾?對(duì)終端用戶安全接入策略統(tǒng)一管理、終端用戶安全策略的強(qiáng)制實(shí)施、終端用戶安全狀態(tài)的集中審計(jì);對(duì)用戶事前身份和安全級(jí)別的認(rèn)證、事中安全狀態(tài)定期安全檢測(cè)，內(nèi)容包括定期的安全風(fēng)險(xiǎn)評(píng)估、安全加固、安全應(yīng)急響應(yīng)和安全巡檢。

 

4.3安全審計(jì)體系