导语:如何才能写好一篇网络安全与经济安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
FileInformationSecurityMeasuresunderNetworkEnvironment
JiangRui
(LiaoningBroadcastingTVTransmissionandEmissionCenter,Shenyang110016,China)
Abstract:Thethesisanalyzestherisksinfaceofarchivesinformationsafetyandthefactorswhichthreatensthearchivesinformationsafetyinthenetworkenvironmentandresearchonmethodswhichcanguaranteethearchivesinformationsafetyintheviewpointsofnetworkenvironemntbuild-upandtheapplicationofsafetytechnology.
Keywords:Network;File;Informationsafety;Strategy
目前,随着各类档案信息网站的不断建成,档案信息资源面临的风险也越来越大。以辽宁省为例,14个省辖市中已经有11个市建立了档案信息网站,还有1个市的网站正在建设中。同时,经济发展相对较好的县(市、区),像大连市的所有区(市、县)也建立了档案信息网站。这些网站在给人们带来便利的同时,也给档案信息安全造成了一定的威胁。
一、网络环境下档案信息安全所面临的严峻形势
首先,由于我国还没有制定统一的档案信息管理网站的建设规划,各地就自行建设其网站,这就造成了各地档案信息网站的条块分割,互不相连,档案网站的综合防护能力较弱。其次,网站建设是一个系统且复杂的工作,由于经费、技术、人才等现实原因造成了不少档案网站在最初建设时只注重形式上的完成,而忽略了系统的安全,或多或少留下了一些漏洞,不安分的黑客留下了攻击的后门。再次,档案信息系统的安全保护措施在系统初建阶段一般相对安全,但随着软硬件设施升级调整、网络环境变化、系统数据量的增大、信息安全要求调整等,档案信息的安全状况也会发生变化。
二、网络环境下保证档案信息安全的对策
(一)打造档案信息安全的网络软环境
(二)打造档案信息安全的硬件环境
第一,严格落实有关规定,实行内外网分离。不得将计算机及网络接入互联网及其他公共信息网络。对于保存有不宜公开的档案信息的内部网络,坚决不允许接入国际互联网,以防止不该公开的档案信息通过互联网泄露出去。
(三)基于现有技术制定可靠的系统安全和应用策略
第一,选择正确的网络配置技术。目前最有效的防攻击的网络安全技术是多子网网关技术。就是将内部网络划分成若干个安全级别不同的子网,实现内部一个网段与另一个网段的物理隔离。这样,就能防止某一个网段的安全问题影响到整个网络的安全。另外,还可采用IP地址绑定技术,就是将所有的MAC地址与客户端IP地址进行绑定。这样,既可以防止IP地址被冒用,又大大地方便了日常网络的IP地址管理,减少无关人员随意变更网络设置所造成的危险。
第二,安全为先,打造档案信息网络的防毒体系。防毒体系的搭建需要通过相应的防毒软件来实现。防毒软件又有单机版和网络版之分。从全局考虑,应选择网络版,因为网络版在遇到网络类的蠕虫病毒、ARP欺骗病毒等传播能力强的病毒时有较强的查杀能力,而单机版就相形见绌了。同时,网络版在可管理性、统一查杀、推送安装、任务更新等方面都有着相当大的优势。另外,在选择防毒软件时,还要考虑到网络中的可管理节点数、资源占用情况、客户端与服务器的统一性等问题。最后,还要认真地研究软件的配置方式,以做到正确配置。
第三,档案信息数据是档案信息安全的核心。综合运用文档加密、身份认证、数字证书、动态口令等技术手段,保障档案信息数据的安全。同时,也要做好档案信息数据的日常备份工作,以防档案信息网络遭受攻击后能够迅速地恢复数据,保证网络的正常运行。
【关键词】局域网计算机网络安全技术应用管理
(一)前言
如今计算机是每家每户的必备的电子产品,也是因为计算机的进入市场,促进现在文化、技术多元化的原因所在。但是因为计算机网络的大量广泛的应用,相应的在网络安全问题上也存在越来越多的问题,因为网络具有开放性、共享性、边界不确定性和路径的不确定性加上系统的复杂等等原因导致网络安全得不到保障,问题也越来越多,网络很容易受到外界的攻击,对很多重要的数据信息的保密性得不到保障。
(二)计算机网络安全的基本概念
对于计算机网络安全国际标准化组织(ISO)作了这样的定义,计算机网络安全是为了保护数据处理系统而采取的技术和管理的安全措施,保护计算机的硬件、软件以及数据不会因为偶然或者是故意的原因而遭到破坏,被更改或者是泄露。计算机网络主要是由终端的计算机和通信网络两个部分组成,有了作为终端的计算机为前提下,通信网络是网络里面各个计算机之间传输数据和提供交换的必要的手段和方式。计算机网络最重要的资源就是它向用户提供各种服务和提供各类的信息。所谓计算机的安全主要是指各种技术的还有管理上的安全措施,保证网络服务、网络信息的可用性以及完整性。从两个方面上看,一方面要保证网络系统的安全,另一方面还要保证网络的信息上的安全。一个完善的安全的计算机网络应该具有可靠、可用、保密、完整这四个重要的特点。
(三)计算机网络安全技术简介
(四)局域网的安全对策
在局域网中存在有五种安全威胁,即物理安全、逻辑安全、局域网内部的安全、系统安全、应用程序上的安全。这五种安全威胁对数据的保密性、完整性、可靠性都有一定程度上的破坏。针对这五种安全威胁作出的局域网的安全对策:
在逻辑安全中需要注意对操作系统的安全控制以及防范。尽量使用一些安全性能比较高的网络操作系统并且配置一些必要的安全设备,关闭不经常使用但是却存在一定安全隐患的应用程序,对能够保存用户信息和口令的关键性文件对访问上采取使用权限上的严格控制,对口令字的充分加强,增加其口令的复杂性,给操作系统及时进行补丁安装,对系统的内部调用不可对外公开。对系统的安全进行及时扫描,对里面的安全漏洞及时升级和重新配置。
建立严格的管理制度,进行有效的隔离和访问上的控制,对管理权限和口令保密上采取分级的管理。对内部的自动化的网络依据不同用户的安全级别进行不同的虚拟子网的划分,没有专门的配置的状况下,不同的子网之间不能进行交叉式访问,对虚拟子网的有效划分可以实现初步的在访问上的控制。
配备合适的防火墙,防火墙技术是局域网和外部网络之间的安全屏障,是通过在局域网和外部网络的接口,局域网中、网管中心和各分支上单位进行防火墙的安装,保证其不受外部网络的入侵。对防火墙的选择上要注意防火墙的安全性、可扩充性。
保证其通信保密,网络的利用无非就是信息的传输,因为在传输的过程中没有具体固定的路径,在节点上很难进行查证,很容易发现拦截、读取、破坏以及篡改的现象,对于传输上的安全我们可以采取两种加密方式:通信链路层的加密和网络层加密。
在局域网中网络安全对策中除了之前所介绍,还包括有入侵的检测,漏洞扫描,病毒防护和安全管理等,都是对局域网网络安全有一定保护作用的措施。
(五)结束语
计算机网络的安全不仅仅是指技术上的问题,还有管理上的问题,网络的安全技术主要是实现网络系统安全的一个工具,没有绝对性的保障,所以要解决网络系统的安全问题就必须制定出一套综合性的解决方案,最好是将各个措施充分结合起来,加强技术手段进行防御。
参考文献:
[1]精英科技.企业级网络建设实物.中国电力出版社.2010.
关键词:网络环境;计算机信息;安全防护;措施
1网络环境下计算机信息安全面临的威胁
(一)缺乏安全意识
(二)网络技术影响
计算机信息就是以互联网为重要依托,构建起一个无行政管理的世界性网络,在没有监护措施与防护措施的前提下,安全性能相对较差,因此网络犯罪具有跨区域、跨国界等特点,会给行政执法带来巨大困难,如网络木马、黑客病毒、信息间谍等成为威胁计算机信息安全的重要因素。
(三)存储潜在风险
(四)人为因素影响
2网络环境下计算机信息安全防护措施
(一)建立健全网络管理制度
(二)合理维护备份文件安全
计算机硬件与网络若是遭遇了安全威胁,或发生不可抵抗的损坏时,其内部的所有文件也随之出现损坏情况,由此可见备份文件十分重要。文件的备份需要采取全方位、多层次的措施,注重软件及硬件的相互结合。硬件备份能够让系统逐渐恢复运行,软件备份可以保证重要的信息及时恢复,在对系统进行全方位多级防护的过程中,确保网络环境下计算机信息的安全可靠。
(三)病毒引擎防护措施
结合当前的网络环境分析,计算机信息安全防护情况不容乐观,因此需要采取病毒引擎防护措施,为计算机信息提供安全保障。智能化安全防护引擎可以实现对不同病毒特征码的准确扫描,同时也能实行靶向控制。利用智能化病毒引擎防护,能够对未知病毒进行严格的检查,采取针对性举措防护病毒,突破传统病毒扫描技术的限制,把高新技术手段及措施有机结合到一起,通过对存在病毒的系统防护,可以增强计算机信息对病毒的免疫力。当病毒攻击计算机时,智能化病毒引擎防护可以准确快速的进行查杀,虽然能够起到良好的病毒防护效果,但是很多时候此项举措还是显得较为被动,现阶段,实践中常用的病毒软件有Outlook、NetAnt等。
(四)安装系统漏洞补丁程序
在计算机系统设计的过程中,为了计算机信息的安全,需要软件开发商补丁程度,从而及时纠正漏洞问题。伴随着计算机系统的应用,需要定时更新网络补丁程序,同时对其进行安装,为网络系统的实际运行创造优质的安全环境。如COPS软件的应用,就是专门用来扫描漏洞的设备。
3结语
参考文献
[1]陆俊,侯雅莉.浅析计算机信息安全防护措施[J].赤峰学院学报(自然科学版),2016,(12):10-12.
[2]张康荣.计算机网络信息安全及其防护对策分析[J].网络安全技术与应用,2015,(02):92+94.
[3]张嘉.网络环境下计算机信息安全防护措施[J].计算机光盘软件与应用,2014,(03):189+191.
[4]朱亮.计算机网络信息管理及其安全防护策略[J].电脑知识与技术,2012,(18):4389-4390+4395.
关键词:武警;局域网;比较;安全技术
武警部队近年来信息化发展迅速,三级网络已经建成,极大提高了部队工作效率。随之而来的是安全保密形势越来越严峻,主要是涉及到与公安警务网互联、与地方民政部门数据交换、与协同作战等的保密问题。为此,笔者对网络隔离下几种数据交换技术进行了比较研究。
1网络隔离的原因
1)的网络与低密级的网络互联是不安全的,尤其来自不可控制网络上的入侵与攻击是无法定位管理的。互联网是世界级的网络,也是安全上难以控制的网络,又要连通提供公共业务服务,又要防护各种攻击与病毒。要有隔离,还要数据交换是各企业、政府等网络建设的首先面对的问。
因此网络隔离就是先把网络与非安全区域划开,当然最好的方式就是在城市周围挖的护城河,然后再建几个可以控制的“吊桥”,保持与城外的互通。数据交换技术的发展就是研究“桥”上的防护技术。
关于隔离与数据交换,总结起来有下面几种安全策略:
修桥策略:业务协议直接通过,数据不重组,对速度影响小,安全性弱;
防火墙FW:网络层的过滤;
多重安全网关:从网络层到应用层的过滤,多重关卡策略;
渡船策略:业务协议不直接通过,数据要重组,安全性好;
网闸:协议落地,安全检测依赖于现有的安全技术;
交换网络:建立交换缓冲区,采用防护、监控与审计多方位的安全防护;
人工策略:不做物理连接,人工用移动介质交换数据,安全性最好。[1]
2数据交换技术
2.1防火墙
防火墙是最常用的网络隔离手段,主要是通过网络的路由控制,也就是访问控制列表(ACL)技术,网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路,控制了数据包的流向,早期的网络安全控制方面基本上是防火墙。国内影响较大的厂商有天融信、启明星辰、联想网御等。
但是,防火墙有一个很显著的缺点:就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。对于安全要求初级的隔离是可以的,但对于需要深层次的网络隔离就显得不足了。
值得一提的是防火墙中的NAT技术,地址翻译可以隐藏内网的IP地址,很多人把它当作一种安全的防护,认为没有路由就是足够安全的。地址翻译其实是服务器技术的一种,不让业务访问直接通过是在安全上前进了一步,但目前应用层的绕过NAT技术很普遍,隐藏地址只是相对的。目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,方便了木马的进入,进入到内网的木马看到的是内网地址,直接报告给外网的攻击者,NAT的安全作用就不大了。
2.2多重安全网关(也称新一代防火墙)[2]
防火墙是在“桥”上架设的一道关卡,只能做到类似“护照”的检查,多重安全网关的方法就是架设多道关卡,有检查行李的、有检查人的。多重安全网关也有一个统一的名字:UTM(统一威胁管理)。设计成一个设备,还是多个设备只是设备本身处理能力的不同,重要的是进行从网络层到应用层的全面检查。国内推出UTM的厂家很多,如天融信、启明星辰等。
多重安全网关的检查分几个层次:
FW:网络层的ACL;
IPS:防入侵行为;
Av:防病毒入侵;
可扩充功能:自身防DOS攻击、内容过滤、流量整形。
防火墙与多重安全网关都是“架桥”的策略,主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,可以过“汽车”业务,从客户应用上来看,没有不同。
2.3网闸[3]
网闸的设计是“+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有,这个不只是协议,而是数据的“拆卸”,把数据还原成原始的面貌,拆除各种通讯协议添加的“包头包尾”,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些“通讯外衣”,攻击者就很难藏身了。
网闸的安全理念是[4]:
网络隔离-“过河用船不用桥”:用“摆渡方式”来隔离网络。
协议隔离-“禁止采用集装箱运输”:通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用方式支持上层业务。
按国家安全要求是需要网络与非网络互联的时候,要采用网闸隔离,若非网络与互联网连通时,采用单向网闸,若非网络与互联网不连通时,采用双向网闸。
2.4交换网络[5]
交换网络的核心也是业务,客户业务要经过接入缓冲区的申请,到业务缓冲区的业务,才能进入生产网络。
网闸与交换网络技术都是采用渡船策略,延长数据通讯“里程”,增加安全保障措施。
3数据交换技术的比较
不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。
[1]周碧英,浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18-19.
[2]潘号良,面向基础设施的网络安全措施探讨[J].软件导刊,2008(3):74-75.
[3]刘爱国、李志梅,电子商务中的网络安全管理[J].商场现代化,2007(499):76-77.
1计算机网络安全问题
计算机网络安全问题主要表现在计算机遭受恶意病毒攻击、IP地址被非法盗用、计算机被非法访问以及操作系统或者应用软件本身的安全漏洞等。
1.1计算机病毒和恶意程序的存在
计算机病毒是本质是一种常见的侵害网络安全的一种代码,这种代码具有语言无关性(C、C++或者其他语言编写的计算机程序)。其主要通过附着在其他程序代码上进行传播,传播速度较快,并且可以进行自我复制和隐藏,危害性较大。随着网络的发展,计算机病毒不可能被杀毒软件彻底的清除,我们只能做好防治工作。就现实来看,导致网络存在安全隐患,主要表现在以下两个方面:
(2)技术问题。计算机病毒防护是一门学问,做计算机安全维护问题的工作人员,首先需要了解病毒(要求高的地方,需要能写病毒),只有了解了病毒才能防止,而了解病毒就需要我们去学习计算机技术,计算机原理,甚至是操作系统的计算机专业技术。
1.2非法访问网络
对于一个企业而言,其网络结构一般可分为内网和外网结构。一般外网是企业的门户网站,或者商务交流平台,其到达内网需要通过多层数据访问。而网络受到攻击,可以分为来自企业内部的内网攻击以及来自企业外部的外网攻击。对于企业级的非法访问网络,主要目的就是下载用户商务数据其过程主要为搜集信息作为企业数据目标选择,实施网络访问攻击,下载需要的企业数据[1]。
1.3操作系统安全问题
随着信息技术的发展,操作系统存在安全隐患因素越来越低,但是不可否认,其还是存在一定的安全风险。
第一,操作系统支持的文件中隐含不安全因素。操作系统是传送所有类型文件的一个通道平台,为不安全因素的隐藏提供了有利条件。在绝大多的安装程序中都会包含可执行文件,这些可执行文件容易出现漏洞,这主要是因为这些文件基本上都是人为编程实现的二进制代码,了解了程序逻辑结构后,完全可以在可执行文件中,添加必要的可执行病毒代码段,而这些漏洞会导致整个系统瘫痪。一般而言,系统安全问题很容易在程序安装和加载中产生,因此,为了确保网络安全性,在程序安装和加载时需谨慎。
第二,守护进程的好与坏。一般而言,在系统引导装入时守护进程被启动,在系统关闭时守护进程被终止。守护进程有好有坏,如防病毒软件就说明守护进程是好的,但是进程本身就是一种病毒,其也具有一定的危害性。
第三,远程调用。进行远程调用的程序基本上都存在于大型服务器中,虽然远程调用这项功能,操作系统本身就有,但是在远程调用过程中,非法者也能够进行非法活动,进而给操作系统带了威胁。第四,操作系统的漏洞。漏洞无时无刻存在于操作系统中,一般解决这些漏洞的方式就是对软件进行升级,但是如果此时你的操作系统已经升级到最高级别,还有漏洞存在,那么操作系统就会因为这个漏洞的存在而崩溃。
2计算机网络安全防范策略
2.1计算机病毒安全防范策略
针对目前多种形式的计算机病毒,如果仅仅采取一种方法对其进行防范,那么无法保证网络安全性,因此需要配合一些全方位的防病毒产品来彻底清除计算机病毒[2]。如,在清除内网计算机病毒时,需要的防病毒软件必须具有服务器操作系统平台的功能以及必须具有针对性(主要针对各种桌面操作系统);在清除外网的计算机病毒时,需要防病毒软件的支持以及确保联网所有计算机的安全。另外,提高网络安全意识非常重要,不用盗版软件,病毒在盗版软件的传播速度非常快;下载资料时必须先进行病毒扫描,在无病毒的环境下进行下载等等,这些都是防范计算机病毒的有效管理策略。
2.2身份认证技术
合法用户一般都具有两种身份,一种是物理身份和数字身份,身份认证就是对这两种身份是否一致进行鉴别。身份认证系统最重要的技术指标就是看合法用户被他人冒充的难易度。合法用户身份如果被非法用户所冒充,那么将会直接损害合法用户利益,并且会对整个系统造成威胁。由此可见,身份认证不仅是权限管理的基础,而且它更是网络安全的一种基础策略。
2.3入侵检测技术
入侵检测是检测非法入侵网络的行为,这些非法行为都会威胁到网络安全。入侵检测技术一般属于事前措施,将威胁网络安全的非法行为扼杀在摇篮中,这种网络安全技术属于一种主动策略。一般而言,误用检测技术和异常监测技术是入侵检测所采用的技术。
(1)误用检测技术。这种技术的前提条件是假设所有的入侵行为都能认为是一种特征,分析已知的入侵行为,根据分析结果构建相应特征模型,此时对入侵行为的检测就转换成搜索与之匹配的特征模型,结果匹配,即表示是非法行为。误用检测技术在对已知入侵检测方面准确性较高,但是对于一些未知入侵检测效率不高;
(2)异常检测技术。这种技术的前提条件就是假设所有的入侵行为与正常活动不同,对正常用户活动进行分析,根据分析结果构建相应的模型,统计与正常用户活动不同的数量,如果此行为与统计出来的规律不符,则证明是入侵行为。对于误用检测技术不能检测到未知入侵这一不足之处,通常采用异常检测技术来进行补充。由此可见,误用检测技术与异常检测技术是目前入侵检测的两种主要技术。入侵检测在构建模型时有一种通用入侵检测模型,如图1所示。另外,除了上述两种技术支持外,入侵检测还需要入侵检测系统的支持。入侵检测系统是以一种安全设备的形式来进行入侵检测,它主要通过发出警报等形式来检测网络,它是一种积极主动的安全防护设备。
二、网络环境下会计信息系统安全体系构建的基本思路
三、网络环境下会计信息系统安全体系的建设过程
一是网络会计信息系统的安全系统就是该网络信息系统的信息安全服务系统,它由安全控制系统、安全控制管理系统和安全控制认证系统组成。信息系统的安全系统是信息系统安全技术型保障,这些技术保障是根据信息系统的具体安全需求建立的。安全系统的建设、维护和应用都应建立在信息系统环境中。目前,信息安全理论界普遍提倡采用信息系统安全工程过程(ISSE)来进行信息系统安全系统的建设、维护和应用。二是信息系统安全工程过程(ISSE)主要告知人们如何根据系统工程的原则构建安全信息系统的方法、步骤与任务。包括进行信息安全需求分析、定义系统功能、进行系统设计、获得系统实现以及ISSE过程的同步进行。ISSE强调系统工程要与被建设的系统特性紧密结合,其工程环节要与系统的生命周期保持同步。网络会计信息系统同一般的信息系统一样都是有生命周期的,该周期包括了系统规划、设计、建设、验收、运行、改造和报废等,其信息安全服务系统的生命周期也是如此。所以,本文对网络会计信息安全系统设计的思路是:根据ISSE的描述,将网络会计信息安全系统的建设纳入到工程过程,该过程包含6个工程环节:安全需求分析、安全系统设计、安全系统集成、安全系统认任务。如图1所示:
四、网络环境下会计信息系统安全模型设计
关键词:聚类分析;网络文化安全预警;文化算法
InternetCultureSecurityWarningModelonCulturalAlgorithms
ChenTing
(UniversityofScience&TechnologyBeijing,Beijing100083,China)
Abstract:Inthispapertheearly-warningmodelbasedontheCulturalAlgorithmsofthecyber-culturalevolutionprocessisdesignedandproposed.Simulationresultsshowthattheapproachproducesmorecompetitiveresultatrelativelycomputationalcostcomparedwithsomeotherbetterconstraint-handlingalgorithms.
Keywords:Clusteranalysis;Internetculturesecuritywarning;Culturalalgorithms
一、文化算法
通过聚类分析与文化算法的结合,完成文化安全“粒子”数据的聚类分析。该方法可以很好的提高速度和准确率。文化算法是演化算法的一种,算法的灵感来自于文化进化论的研究者对文化进化过程的描述。模仿这个过程,得到的新的方法。
文化算法设计原则包括以下三个部分:
(一)种群空间设计:种群空间设计主要是对研究对象的确定。之后即就是研究对象的表示。种群空间的对象可以是简单的个体信息,同时也可以是关系信息。根据具体问题分析而定。相对于信念空间的抽象化信息的表示和演化的模型,简单的说,种群空间就是对实物,具体存在信息的表示和演化模型。种群空间个体的表示种群空间个体在不同应用过程中表示方法不同。常见的是通过一系列属性编码表示个体。其中有二进制表示、实值表示等。
(二)信念空间(believespace):不同的符号化表示方法能够用于描述信念空间。包括语义网、逻辑和集合论等。可以说,信念空间一定是对实体的抽象。信念空间的表示方法:文化算法同PSO算法的不同是由于CA算法在问题求解过程中利用了五种基本的知识类型,而不仅仅是利用一个或两个简单的本地间传输的值(twolocallytransmittedvalue)。在认知科学(cognitivescience)领域研究证明,上述五种知识类型都在不同的动物种群中找到证据,并且认为人类社会的知识系统至少有这五种类型知识。这五种知识包括:形势知识(SituationalKnowledge)、标准化知识(NormativeKnowledge)、领域知识(DomainKnowledge)、历史知识(HistoryKnowledge)、地形知识(TopographicKnowledge)
(三)信念空间的演化和更新。对于不同的表示方法会进行不同的演化。基于模式的形式表示知识的话,其演化过程主要是指不同的Schemata完成:模式分离(Segmentation)过程,如图1.1所示:
图1.1:Schemata分离演化过程图
基于粒子群优化的文化算法基本步骤如下:1.初始化一群随机粒子(随机解)。2.每次迭代中,粒子通过跟踪两个极值更新自己:(1)-粒子本身找到的历史最好解(个体极值点pbest);(2)-整个种群目前找到的最好解(全局极值点gbest)。3.需要计算粒子的适应值,以判断粒子位置距最优点的距离。4每次迭代中,根据适应度值更新pbest和gbest。5迭代中止条件:设置最大迭代次数或全局最优位置满足预定最小适应阈值。
假设有相互竞争的N个粒子;第个主体的综合生态位宽度
粒子的生态位置:,将代入适应函数
求适应值;
粒子速度:
粒子个体极值点位置:
种群的全局极值点位置:
粒子的第m维速度和位置更新公式:
c1,c2―学习因子,经验值取c1=c2=2,调节学习最大步长
r1,r2―两个随机数,取值范围(0,1),以增加搜索随机性
w―惯性因子,非负数,调节对解空间的搜索范围。
二、基于文化算法的预警模型设计
(一)总体设计。该模型分为以下三个部分,前台访问模块,用于对外接口,模型主体包括:警情分析模块,基本的统计查询模块,内容规则添加与查询,用于计算信息生态位的最优解。最后一部分数据库。
如图2.1所示:
图2.1:网络文化安全预警模型结构图
(二)信息人个体的统计模块。信息人个体统计模块的任务是完成对单个个体信息人的基础数据的统计,这个统计是为了计算单个个体生态位宽度,信息生态位宽度是指信息人在不同的信息生态维度上对多个信息环境因子适应、占有和利用的范围与数量。信息生态位宽度表示信息人具有信息功能和利用信息资源多样化的程度,也反映了信息人对信息资源的利用能力和竞争水平。
该模块主要是利用基本的统计分析方法,按照信息人个体进行统计。并对其每个个体计算信息人生态位宽度。生态位维度的值用表示:
式中,;;;表示第个维度中第j个分指标的值;表示该指数在该层次中的权重。
式子,;为第n个主体在第个维度上的值。
设待聚类分析的对象全体为其中为维模式向量,聚类分析就是要找到的一个划分,满足:
,其中,且,并且使得类之间的误差平方和最小。其中表示第类中样本与第类的聚类中心之间的欧式距离,即。
信念空间的更新函数,
信念空间的函数:文中仅取当前最优个体来更新信仰空间中的形势知识
其中,
本文中,规划化知识的更新规则如下:
其中第t代变量的下限和上限所对应的适应值。
影响函数设计:
使用规范知识调整变量变化步长,形式知识调整其变化方向。定义如下:
其中为服从正态分布的随机数,为信仰空间中变量可调整区间的长度,为步长收缩因子,这是对文献算法的改进。这里,。
步骤1、初始化的种群空间:是从所有样本中随机抽取K个样本作为聚类中心。并进行编码,这样就产生了一个一个个体。重复以上步骤p次,产生种群空间为P的初始种群空间;
步骤2、通过适应度函数,对种群空间中的个体进行评价;
步骤3、根据样本集和初始种群空间中的候选集,按照信念空间结构,生成初始信仰空间;
步骤4、根据影响函数计算,对种群空间中的每个父个体进行变异,生成P个相应子个体;
步骤5、对于由于子个体和父个体共同生成的规模为2p的种群空间中的每个个体,从该种群空间中随机选取c个个体与它进行比较。如果该个体优于其它,则称该个体取得一次胜利,并记录胜利的次数;
步骤6、选择前P个具有最多胜利次数的个体作为下一代父个体;
步骤7、设定接受函数,并按照更新函数,更新该信仰空间;
步骤8、不满足终止条件,则重复步骤4),反之,则结束。
三、总结
本文依据文化算法的设计策略,应用粒子群优化文化算法,设计完成了基于文化算法的预警模型,本文重点为互联网信息提供一种估算预警值模型以便于对互联网文化的审查。本文提出了一种预警模式,为以后的进一步实现打下为了基础。
[1]周平红,张峰.从网络文化安全的视角谈青少年媒介素养教育[J].教育技术导刊,2007,3:10-11
[2]贺善侃.网络时代:社会发展的新纪元[M].上海:上海辞书出版社,2004
[3]张长全.中国金融开放与发展中的安全预警问题研究[M].北京:经济科学出版社,2008
关键词信息化;医院;网络安全;病毒传播
现代化医院运营的必备技术支撑环境和基础设施,是医院信息系统,简称HIS。医院只有具备良好的信息管理、信息处理系统,才能实现高效的现代化管理。网络管理的安全、高效,是医院网络信息保持较高保密性、可用性、完整性,大规模信息系统的安全运作,医院各项工作的高效运转的根本性保障。
1医院当前的信息系统管理存在的不安全因素
1.1恶劣天气带来的安全隐患
在实际的信息系统管理中,创建的自然环境危害因素主要有:周围环境中存在的电磁辐射、不稳定的静电、雷击、供电电源以及不相适宜的温度和湿度等。尽管计算机技术发展迅速,然而其工作也深受温度的影响,在环境温度太低或者太高的情况下,网络系统无法开展正常的工作。湿度也是影响计算机能否正常工作的重要因素,过干的环境下,很容易产生较大电压的静电,损害计算机中的电子器件;过湿的环境下,会降低电路的绝缘能力,损害用于存储信息的媒体。在处于雷电的天气下,网络系统中的主交换机,可能遭受彻底的损坏。
1.2黑客病毒等攻击的人为安全隐患
无意识失误的人为因素和恶意攻击的人为因素,是威胁信息系统网络安全的两种主要因素。影响计算机网络系统安全的人为因素是多方面的,因此,信息系统网络管理者应高度重视各种人为威胁因素。人为因素对医院信息系统的危害,重则彻底摧毁整个医院信息系统,网络系统会因此而处于瘫痪状态;轻者直接影响网络系统数据的准确性,或是出错、或者丢失、或者外泄。一般情况下,主要有用户口令选择不慎、用户安全意识较差、操作员安全配置不当、程序设计错误、内部医院人员操作失误等人为的无意失误行为。
人为因素的恶意攻击,主要体现在“黑客”、间谍、计算机犯罪分子的破坏。随着计算机科学技术的飞速发展,滋生了不少电脑高手、能手,如“黑客”、网络间谍等,他们往往蓄意碰坏网络系统,非法复制软件,窃取网络信息,是网络系统的人为恶意攻击威胁因素。当前,人为的恶意攻击,是计算机网络面临的最大威胁,造成的损失也是不可估量的。
1.3医院计算机软件管理漏洞
2信息环境下做好医院信息安全的保障对策及建议
2.1注重保护计算机硬件设施
做好计算机的物理安全工作,能够很好的预防自然灾害、人为破坏、搭线攻击等因素,确保计算机系统、网络服务器、扫描仪等硬件设施、通信链路。物理安全策略,是构建一个良好的电磁兼容计算机工作环境的重要措施。借助于一些技术手段,最大限度的减少自然环境因素对计算机的危害。比如在机房屋顶和交换设备网点安装避雷针、接地装置等防雷措施,以减少雷电对网络系统的危害;在干燥或潮湿的地方购置加湿或者去湿的设备,根据机房面积安装相适宜的空调,控制网络环境的湿度和温度;安装标准地线、铺设活动抗静电地板,减少静电对计算机网络系统的危害。
2.2通过数据加密技术保护网络系统
2.3完善医院网络防火墙的安全管控
防火墙,包括一切预防、抵御外界侵犯,保护网络信息系统安全的各种应对、防范措施。防火墙,实际上是一项访问控制技术,在内外部网络之间设置一道隔离墙,控制两个或多个网络之间的访问,以保护内部网络中的机密数据不被篡改或偷窃,监测流入内部网络的所有信息和流出内部网络的而所有信息。防火墙,不仅有效的屏蔽了需要屏蔽的信息,“阻止”了该阻止的信息,同时也能够允许信息的流通。防火墙的隔离设备,是一组能够提供网络安全的硬件、软件系统。
2.4从规章制度上来完善网络信息安全
医院必须正确认识并认真对待医院信息管理系统网络安全问题。采用上述技术措施保障网络安全,还不够完整。因此,医院应在内部构建完整的网络安全管理规章制度。网络安全管理策略具体包括应急措施和数据质量分析评价制度、管理人员登记制度、管理员网络操作使用规程、网络技术管理规则和人员培训制度等。
3结束语
医院医疗业务的正常开展,有赖于正常运行的信息系统,而医院信息系统安全管理工作也是一项长期、艰苦的工作。为此,医院网络管理人员应认真学习、细心搜集,不断更新知识、累计经验,全方位、多角度的考察网络安全漏洞,力争准确把控乃至消灭各种网络不安全因素,确保医院信息系统的安全、健康、持续运行。
[1]王强.医院网络安全现状研究[J].医学信息(中旬刊),2010(05).
[2]张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(07).
[3]姚征.医院网络建设的一些误区分析[J].科技资讯,2007(29).
【关键词】员工安全等级;粗糙集理论;人工神经网络
1.引言
电力行业是国民经济的基础产业,它直接关系到经济发展和社会稳定。然而,电力企业员工在生产过程中,由于知识、能力与经验的不足或者心理因素等原因,为了追求某些利益,从而导致人身事故、电网事故、设备事故和火灾事故等人因事故[1]。据统计60%-70%电力生产事故是由人的失误造成的,所以减少人因失误是有效控制电力生产事故发生的关键[2-3]。
目前专门针对电力企业生产中人因失误的研究成果还不是很丰富,对电力企业生产中人的不安全行只分析了其对电力系统的影响,提出了防范不安全行为的措施,并没有对不安全行为的严重程度进行划分。另外,一些地区已经开始着手进行了员工等级的鉴定工作,但标准和方法不一致且过于简单造成了结果的不具有可比性,并且存在着评价周期长、缺乏准确性等诸多弊端。所以,需要构建统一的电力企业员工安全等级评价模型。
2.电力企业员工安全等级评价模型的设计
电力企业中现行的管理经验和方法缺乏系统性和前瞻性,管理还比较粗放,特别是员工的习惯性违章仍屡禁不止,为了从根本上提高电力企业员工的安全意识,减少人因事故的发生,本文在充分研究电企中人因失误问题的基础上,基于粗糙集与BP神经网络设计了电力企业员工安全等级评价模型,模型框架如图1所示。
评价前,首先要确定宽泛的评价属性集,然后收集数据,界定属性值语义,并对每个属性界定属性值,最后构建出属性约简决策表。构建员工属性决策表是进行员工安全等级评价的首要问题,决策表是一类特殊而重要的知识表达系统,多数决策问题都可以用决策表形式来表达。
评价中,将粗糙集作为人工神经网络的前置系统,以减少神经网络的复杂性。
3.评价核心要素的提取方法
3.2属性约简算法
粗糙集的属性约简就是指在保持原始决策表条件属性和决策属性之间的依赖关系不发生变化的前提下删除冗余的属性和属性值[5]。粗糙集的属性约简算法有很多种,本文使用的是基于区分矩阵的约简算法。算法具体如下:
(1)计算区分矩阵,将区分矩阵的核赋给约简后的集合;
(2)找出不含和指标的指标组合;
(3)将不包含和指标的指标集表示为合取范式;
(4)将合取范式转换为析取范式的形式;
(5)根据需要选择合理的指标组合。
4.BP神经网络的实现
6.结论
[1]袁周.电力生产事故人因分析与预防简明问答[M].北京:中国电力出版社,2007.
[2]马京源,李哲,何宏明,钟定珠.电气误操作事故人因因素分析与控制[J].中国电力,2010(5):72-76.
[3]林杰.安全行为科学理论在电力生产中的应用研究[D].贵州:贵州大学硕士论文,2006.
摘要:网络带给人们的便利之一就是信息资源共享,然而,与之俱来的是来自各方的网络安全问题。网络安全预警系统针对大规模的网络进行预警,但传统的系统存在对未知的攻击缺乏有效的检测方法、对安全问题的检测通常处于被动阶段.本文主要介绍NAT技术的特点及网络安全预警系统中穿越防火墙/NAT技术的实现方法,使网络信息传递更安全、更快速、更准确。
关键词:网络安全预警NAT防火墙/NAT的穿越
0网络安全预警系统
0.1功能及体系结构
网络安全预警系统主要具有评估不同攻击者造成的信息战威胁、提供信息战攻击的指示和报警、预测攻击者的行为路径等功能。
目前的网络安全预警系统通常采用多层式结构,以入侵检测系统作为中心,对受保护的网络进行安全预警。该类系统通常由嗅探器模块、安全管理中心、远程管理系统服务器、远程终端管理器组成。嗅探器模块按一定策略检测网络流量,对非法的流量进行记录以便审计,并按照安全策略进行响应;安全管理中心管理嗅探器运行,并生成及加载嗅探器需要的安全策略,接受嗅探器的检测信息,生成审计结果;远程管理系统服务器负责监听控制信息,接收控制信息传递给安全管理中心,为实现远程管理实现条件;远程终端管理器为用户提供远程管理界面。
0.2局限性
但是随着目前网络安全形势的日渐严峻,传统的网络安全预警系统逐渐显示出以下几方面的不足:
(2)新的攻击手段层出不穷,而作为中心的入侵检测系统在新的攻击面前显得力不从心。虽然目前也出现了一些启发式的检测方法,但是由于误报率或者漏报率比较高,在实际使用时也不太理想。
(3)预警信息传送的时效性。目前令人可喜的是用户己经注意到了安全问题,所以采用了一些安全部件如防火墙、入侵检测系统等对网络进行保护,但是同时也为预警信息的传送带了问题,即如何穿越防火墙/NAT进行信息的实时、有效传送就是一个关键的问题。
(4)传统的网络预警系统中着重在预警,相应的响应很少或者没有。
1NAT技术
1.1概念
NAT,即NetworAddressTranslation,可译为网络地址转换或网络地址翻译。它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
1.2分类
1.2.1静态NAT(StaticNAT)
即静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
1.2.2动态地址NAT(PooledNAT)
1.2.3网络地址端口转换NAPT(Port-LevelNAT)
即端口多路复用通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
1.3常用穿越技术
由于NAT的种类不同,所以具体对于NAT的穿越技术也有所不同。目前比较典型的穿越技术是协议隧道传输和反弹木马穿透。前者,采用直接从外网往内网连接的方式,利用防火墙通常允许通过的协议(如HTTP协议),将数据包按协议进行封装,从而实现从外网向内网进行数据传输,但是如果数据在通过防火墙时经过了NAT转换,就会失效;后者是采用由内向外的连接方式,通常防火墙会允许由内向外的连接通过,但是没有真正解决防火墙的穿越问题,无法解决对于由外向内的对实时性要求较高的数据传输,并且对于应用型防火墙,穿越时也比较困难。
2网络安全预警系统中防火墙/NAT的穿越
2.1应用型防火墙检测及信息注册模块
当发送方或接收方存在应用型防火墙时,可由发送方或接收方连接服务器,从而建立映射关系。由于发送方或接收方采用TCP连接方式连接服务器,所以映射关系可以一直保持。所以当服务器与主机连接时只需要知道相应的服务器地址、端口即可,而这些信息又可以从全局预警中心的注册信息中获得,从而解决了穿越应用型防火墙的问题。
2.2阵雨NAT及包过滤、状态检测型防火墙检测模块
2.3NAT映射维持模块
本模块主要根据NAT及包过滤、状态检测型防火墙检测模块的检测结果,反映出不同的映射维持。
当接收方所在网络存在NAT时,经过映射维持,使得在接收方所在网络的NAT处始终保持了一条接收方外网地址与内网地址的映射关系,从而使得发送方只要根据接收方的外网地址和端口即可与接收方直接通信,从而解决了外网与内网直接通信的问题。
当接收方所在的网络不存在NAT,但存在状态检测、包过滤类型的防火墙时,由于不断发送的NAT维持报文的存在,相应地在防火墙处开放了相应的端口,使得发送方可以从外到内通过此端口进行信息传送。
2.4信息传送模块
防火墙的问题。对于一般类型的包过滤、状态检测防火墙,因为通信内容已封装成HTTPS协议的格式,所以对于从防火墙内部向外部的连接可穿越此类型的防火墙。对于从防火墙外部到内部的连接,NAT映射维持模块中NAT映射报文的存在也巧妙的解决了信息传送的问题。
本文采用HTTPS封装实际传输数据,可以使得数据安全传送,保证了信息可以穿越防火墙/NAT进行。但也存在着增加硬件额外开销、NAT映射相对维持报文较频繁等缺点,这些有待在进一步的研究中予以解决。
[1]肖枫涛.网络安全主动预警系统关键技术研究与实现[D].长沙:国防科学技术大学.2009.
[2]张险峰等.网络安全分布式预警体系结构研究[J].计算机应用.2011.05.