中國信息安全論文精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇中國信息安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

屆時，大會還將繼續(xù)凸顯“我國電子認(rèn)證服務(wù)業(yè)發(fā)展現(xiàn)狀與重點”的介紹，并以“工業(yè)控制系統(tǒng)安全高峰論壇”為本屆大會的突出亮點，集納各界經(jīng)典名篇、學(xué)術(shù)成果、研究課題、應(yīng)用經(jīng)驗，編輯出版《2013中國信息安全技術(shù)展望學(xué)術(shù)論文集》，其中優(yōu)秀論文將擇優(yōu)在《信息安全與技術(shù)》（國家級刊物）、《信息網(wǎng)絡(luò)安全》、《計算機安全》、《電腦編程技巧與維護》上刊登，并全文收錄于《中國學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫》及CNKI系列數(shù)據(jù)庫、《中文核心期刊（遴選）數(shù)據(jù)庫》、《中文科技期刊數(shù)據(jù)庫》和龍源期刊網(wǎng)。

征文內(nèi)容如下：

1.計算機安全、下一代網(wǎng)絡(luò)安全技術(shù)；

2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全；

3.信息系統(tǒng)等級安全保護、重要信息系統(tǒng)安全；

4.云計算與云安全、物聯(lián)網(wǎng)的安全；

5.移動互聯(lián)網(wǎng)的安全信息安全保障體系、移動計算平臺安全性研究；

6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測試技術(shù)；

7.可信計算；

8.關(guān)鍵基礎(chǔ)設(shè)施安全；

9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析；

10.系統(tǒng)架構(gòu)安全分析；

11.面向業(yè)務(wù)應(yīng)用的整體安全保護方案；

12.信息安全漏洞態(tài)勢研究；

13.新技術(shù)新應(yīng)用信息安全態(tài)勢研究；

14.Web應(yīng)用安全；

15.計算機系統(tǒng)安全等級保護標(biāo)準(zhǔn)的實施與發(fā)展現(xiàn)狀；

16.國內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究；

17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品；

18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新；

19.電子認(rèn)證服務(wù)行業(yè)研究和熱點事件解析；

20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

21.數(shù)字證書交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

22.電子認(rèn)證服務(wù)與云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用融合的相關(guān)技術(shù)、標(biāo)準(zhǔn)規(guī)范和應(yīng)用發(fā)展情況；

23.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)；

24.信息安全和功能安全標(biāo)準(zhǔn)化；

25.信息安全和功能安全集成技術(shù)；

26.工業(yè)控制系統(tǒng)安全性的技術(shù)指標(biāo)與經(jīng)濟成本；

27.信息安全產(chǎn)品設(shè)計和系統(tǒng)集成；

28.工業(yè)控制系統(tǒng)安全的評估與認(rèn)證；

29.工業(yè)控制系統(tǒng)的信息安全解決方案；

30.工業(yè)自動化安全面臨的風(fēng)險；

31.國外工業(yè)控制系統(tǒng)安全的做法；

32.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及其發(fā)展趨勢；

33.工業(yè)控制系統(tǒng)安全性的建議；

34.工控系統(tǒng)與信息系統(tǒng)對信息安全的不同需求；

35.工業(yè)控制系統(tǒng)的安全性與可用性之間的矛盾與平衡；

36.應(yīng)用行業(yè)工業(yè)控制系統(tǒng)的信息安全防護體系；

37.工業(yè)控制系統(tǒng)安全測評體系；

38.工業(yè)控制系統(tǒng)安全安全策略；

篇(2)

    論文提要:當(dāng)今世界已進入了信息化時代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)。黨的十七大明確提出了一條“以信息化帶動工業(yè)化,以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題。 

    一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問題 

    “信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的。經(jīng)過40多年的發(fā)展,信息化已成為各國社會發(fā)展的主題。 

    信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。 

    信息安全包括以下內(nèi)容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內(nèi)容;完整性,信息的內(nèi)容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對其行為不能進行否認(rèn);可審查性,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點: 

    一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊。 

    二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害。 

    三是信息安全中的智能性、隱蔽性特點。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。 

    信息安全威脅主要來源于自然災(zāi)害、意外事故;計算機犯罪;人為錯誤,比如使用不當(dāng),安全意識差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。 

    二、我國信息化中的信息安全問題 

    近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題。 

    1、信息與網(wǎng)絡(luò)安全的防護能力較弱。我國的信息化建設(shè)發(fā)展迅速,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設(shè)備,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱,在網(wǎng)絡(luò)黑客攻擊的國家中,中國是最大的受害國。

    2、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設(shè)備,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。 

    3、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。 

    4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等。 

    5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。 

    造成以上問題的相關(guān)因素在于:首先,我國的經(jīng)濟基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過,并且病毒的重復(fù)感染率相當(dāng)高。 

    除此之外,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)。 

    三、相關(guān)解決措施 

    針對我國信息安全存在的問題,要實現(xiàn)信息安全不但要靠先進的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。 

    1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設(shè)備,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力,從而促進整個系統(tǒng)的信息安全。 

    2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對國外產(chǎn)品的依賴程度。 

    3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī),例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護法、電子信息個人隱私法、電子信息進出境法等,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度,對其進行嚴(yán)厲的懲處。 

    4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應(yīng)大力培養(yǎng)信息安全專業(yè)人才,建立信息安全人才培養(yǎng)體系。 

    5、加強國際防范,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性、交互性和分散性等特征,產(chǎn)生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范,防范來自世界各地的黑客入侵,加強信息網(wǎng)絡(luò)安全。 

篇(3)

國務(wù)院參事、國家信息化專家咨詢委員會原主任曲維枝,國家信息化專家咨詢委員會常務(wù)副主任周宏仁,工業(yè)和信息化部信息化推進司副司長秦海以及信息化領(lǐng)域多位著名專家、教授和企業(yè)界的學(xué)者出席了會議。會上,大家就國家信息化發(fā)展趨勢和信息化重大進展,具有自主知識產(chǎn)權(quán)的最新的產(chǎn)品和技術(shù),學(xué)科和專業(yè)建設(shè)以及課程建設(shè)等內(nèi)容作了報告和交流。這是一次難得的政、企、學(xué)溝通交流的機會,大家高漲的熱情讓整個會議氣氛非常熱烈。

信息化發(fā)展六大趨勢

秦海分析了在十二五期間國際、國內(nèi)的信息化發(fā)展趨勢。他指出,基于世界社會經(jīng)濟發(fā)展的最新動態(tài),目前信息化主要體現(xiàn)在兩大方面:一是整個社會的轉(zhuǎn)型發(fā)展,包括信息通信技術(shù)的開發(fā)應(yīng)用、網(wǎng)絡(luò)普及、信息傳播和知識擴散、人的素質(zhì)等已經(jīng)進入了一個自覺適應(yīng)的正?；A段;二是國際金融危機發(fā)生以后,信息技術(shù)與社會經(jīng)濟發(fā)展的融合程度越來越高。信息化發(fā)展趨勢則具體體現(xiàn)在六個方面:一是信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施不斷向?qū)拵?、泛在和融合的方向演進,對產(chǎn)業(yè)業(yè)態(tài)、商業(yè)模式和組織形態(tài)等的影響將越發(fā)顯著;二是工業(yè)化與信息化將走向深度融合;三是新一代信息技術(shù)的開發(fā)和利用將催生戰(zhàn)略性新興產(chǎn)業(yè)的崛起和發(fā)展;四是信息安全問題將日益重要;五是互聯(lián)網(wǎng)應(yīng)用日益普及仍將帶來經(jīng)濟社會發(fā)展的巨大變化;六是諸多國家面向信息化發(fā)展提出了新的國家戰(zhàn)略和發(fā)展規(guī)劃,面向未來的戰(zhàn)略制高點爭奪將越演越烈。

我們要把握這個趨勢,首先要對這種趨勢有比較客觀和務(wù)實的認(rèn)識。其次,要有一套科學(xué)的規(guī)劃,無論是一個單位還是一個群體,乃至一個國家,科學(xué)規(guī)劃都是非常重要的。

兩只眼睛看信息化

把握信息化發(fā)展趨勢為我們的教育帶來了一個良好的發(fā)展機會,將大學(xué)里的學(xué)科根據(jù)信息化的發(fā)展趨勢來設(shè)置,培養(yǎng)出適應(yīng)社會發(fā)展的新一代青年,這將對下一代人才培養(yǎng)和整個社會帶來巨大益處。

篇(4)

論文摘要:隨著計算機和互聯(lián)網(wǎng)的廣泛普及,層出不窮的信息安全事件也受到了大家的關(guān)注。高校計算機系大都開設(shè)了信息安全專業(yè),而網(wǎng)絡(luò)安全基礎(chǔ)是該專業(yè)的一門實踐性較強的重要的課程,如何設(shè)計好該門課程的實踐學(xué)習(xí)是掌握網(wǎng)絡(luò)安全方面知識的一個重要環(huán)節(jié),建立虛擬機的實驗環(huán)境、選擇合適的實驗工具可以幫助教師更好的完成教學(xué)、幫助學(xué)生更好地完成課程的學(xué)習(xí)。

1引言

進入21世紀(jì),隨著信息技術(shù)的逐步普及和發(fā)展,信息安全問題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會關(guān)注的問題。國際上對于信息安全的研究起步較早,已取得了許多成果,并得以推廣應(yīng)用。目前國內(nèi)已有一批專門從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作的研究機構(gòu)與高科技企業(yè),形成了我國信息安全產(chǎn)業(yè)的雛形,但由于國內(nèi)專門從事信息安全工作技術(shù)人才嚴(yán)重短缺,阻礙了我國信息安全事業(yè)的發(fā)展。在國家教育部門的宏觀指導(dǎo)下,我國在一些高校已經(jīng)設(shè)置了本科、專科信息安全專業(yè),我國信息安全學(xué)科建設(shè)已經(jīng)拉開序幕。

網(wǎng)絡(luò)安全基礎(chǔ)是一門具有普及性意義的實踐性很強的課程,是信息安全專業(yè)中一門非常重要的課程。通過學(xué)習(xí)要求學(xué)生具有全面的信息安全專業(yè)知識,使得學(xué)生有較寬的知識面和進一步發(fā)展的基本能力;使學(xué)生具有本學(xué)科科學(xué)研究所需的基本素質(zhì),為學(xué)生今后的發(fā)展、創(chuàng)新打下良好的基礎(chǔ);使學(xué)生具有較強的應(yīng)用能力,具有應(yīng)用已掌握的基本知識解決實際應(yīng)用問題的能力,不斷增強系統(tǒng)的應(yīng)用、開發(fā)以及不斷獲取新知識的能力。該門課程對實踐操作要求較高,因此如何安排好實驗環(huán)境、選擇合適的實驗工具軟件對學(xué)好這門課程顯得十分重要。

2實驗環(huán)境的建立

通常具備條件的大學(xué)應(yīng)該建立相應(yīng)的信息安全專業(yè)實驗室,專門用于信息安全相關(guān)課程的學(xué)習(xí)和實踐,來完善和加強理論知識。而無法建立專門的網(wǎng)絡(luò)安全實驗室的學(xué)校就要利用現(xiàn)有的條件來完成課程實踐部分內(nèi)容的傳授和學(xué)習(xí)。由于在課程實踐過程中,會涉及大量的實驗內(nèi)容,這些內(nèi)容大部分都是與網(wǎng)絡(luò)攻擊與防范有關(guān),因此為避免影響實驗室的正常運轉(zhuǎn),不能直接在現(xiàn)有的環(huán)境下進行。這就需要以現(xiàn)有的普通計算機實驗室為基礎(chǔ),建立專門用于網(wǎng)絡(luò)安全實驗的環(huán)境。利用虛擬機軟件建立虛擬實驗環(huán)境是一種有效且實用的方法。

常用的虛擬機軟件由VirualPC,Vmware等。這里主要介紹一下VMware虛擬機軟件。VMwareWorkstation是VMware公司的專業(yè)虛擬機軟件,可以虛擬現(xiàn)有任何操作系統(tǒng),而且使用簡單、容易上手。在現(xiàn)有的實驗室人手一機的環(huán)境下,利用該軟件組建一個小規(guī)模的雙機實驗環(huán)境,在課程實驗的過程中,由物理機充當(dāng)攻擊主機或客戶端,虛擬機充當(dāng)被攻擊主機或服務(wù)器端,這樣既不會影響現(xiàn)有的實驗室配置,又可以完成課程的實驗,是一種有效的方法。

VMwareWorkstation軟件的完整安裝過程如下:

1.建立一個新的虛擬機,利用軟件的安裝向?qū)?chuàng)建一個新的虛擬機并選擇在該環(huán)境下要安裝的操作系統(tǒng);

2.配置安裝好的虛擬機:設(shè)置虛擬機磁盤容量,內(nèi)存的大小,網(wǎng)絡(luò)連接方式等;

3.配置虛擬機的網(wǎng)絡(luò),這部分比較重要,是整個安裝過程的重點和難點。虛擬機的三種網(wǎng)絡(luò)連接方式如下:

(1)Bridged模式(VMnet0):橋接方式,結(jié)構(gòu)如圖1所示。

相當(dāng)于在計算機上搭建一個虛擬網(wǎng)橋,如果物理機上有網(wǎng)卡(IP地址固定),而且位于一個物理網(wǎng)絡(luò),可以使用該選項。虛擬機通過虛擬網(wǎng)卡直接和外部局域網(wǎng)相連,有自己的IP地址,和物理機所在的局域網(wǎng)處于同一個網(wǎng)段,在外部看來,虛擬機和物理機地位相等,物理機和虛擬機都使用本地連接。

設(shè)置方法:將虛擬機的TCP/IP屬性設(shè)置為與物理機的TCP/IP屬性在同一物理網(wǎng)段即可。

(2)NAT(VMnet8):網(wǎng)絡(luò)地址轉(zhuǎn)換方式,結(jié)構(gòu)如圖2所示。

虛擬機使用本地連接與物理機的VMnet8之間通信并連接到外部網(wǎng)絡(luò),用此方式連網(wǎng)的話可以不必與主機真實網(wǎng)卡的地址在同一個網(wǎng)段中。設(shè)置方法:將虛擬機的本地連接為自動獲取即可。

(3)Host-Only(VMnet1):僅為主機網(wǎng)絡(luò),結(jié)構(gòu)如圖3所示。這種模式是一種封閉的方式,適合在一個獨立的環(huán)境中進行各種網(wǎng)絡(luò)實驗。這種方式下Host主機的“網(wǎng)絡(luò)連接”中出現(xiàn)了一個虛擬的網(wǎng)卡VMnet1(默認(rèn)情況下)。和NAT的不同的是:此種方式下,沒有地址轉(zhuǎn)換服務(wù)。因此這種情況下,虛擬機只能訪問到主機,不想和外部網(wǎng)絡(luò)連接,只與物理機之間搭建一個虛擬專有網(wǎng)絡(luò),則使用該項。

設(shè)置方法:將虛擬機的IP地址設(shè)置為與物理機VMnet1的IP地址為同一網(wǎng)段即可。

在實際教學(xué)的過程中,根據(jù)課程內(nèi)容的不同可以靈活的選擇虛擬機的網(wǎng)絡(luò)連接方式來完成實驗。

3實驗工具的選擇

在課程的教學(xué)過程中要培養(yǎng)學(xué)生學(xué)習(xí)信息安全方面的基本理論和基本知識,要使學(xué)生既有扎實的理論基礎(chǔ),又有較強的應(yīng)用能力,因此要選擇合適的教學(xué)內(nèi)容和實驗工具。在教學(xué)內(nèi)容中以網(wǎng)絡(luò)安全的基礎(chǔ)知識為主。課程主要的學(xué)習(xí)內(nèi)容包括:網(wǎng)絡(luò)安全的基本框架;網(wǎng)絡(luò)安全體系結(jié)構(gòu);密碼技術(shù);計算機掃描技術(shù);網(wǎng)絡(luò)攻擊技術(shù);入侵檢測技術(shù);計算機病毒及反病毒技術(shù);防火墻技術(shù);WWW安全;E-mail安全等知識。實驗工具也是學(xué)習(xí)課程的一個重要輔助手段,可以幫助學(xué)生迅速有效的掌握所學(xué)的理論知識。根據(jù)課程的實際內(nèi)容選擇相應(yīng)的實驗工具,這里根據(jù)網(wǎng)絡(luò)安全基礎(chǔ)課程的內(nèi)容分成幾個部分分別介紹一下在學(xué)習(xí)實驗過程中用到的實驗工具。

(1)網(wǎng)絡(luò)安全基本框架和體系結(jié)構(gòu)部分實驗以網(wǎng)絡(luò)命令和數(shù)據(jù)包捕獲為主。網(wǎng)絡(luò)命令主要是讓學(xué)生熟悉一些網(wǎng)絡(luò)測試基本命令的使用。數(shù)據(jù)包捕獲部分使用工具軟件Sniffer讓學(xué)生了解網(wǎng)絡(luò)體系結(jié)構(gòu)中網(wǎng)絡(luò)層與傳輸層中信息的傳輸情況。Sniffer是利用計算機的網(wǎng)絡(luò)接口截獲數(shù)據(jù)報文的一種工具。使用該工具把網(wǎng)絡(luò)中傳輸流動的數(shù)據(jù)報抓下來,然后查看并分析其中的內(nèi)容,得到有用的信息。

(2)密碼技術(shù)中除學(xué)習(xí)基本的密碼算法之外,實驗工具可以選擇PGP軟件。PGP加密軟件是美國NetworkAssociateInc.出產(chǎn)的免費軟件,可用它對文件、郵件進行加密,該軟件采用的是由對稱加密算法(IDEA)、非對稱加密算法(RSA)、單向散列算法(MD5)以及隨機數(shù)產(chǎn)生器(從用戶擊鍵頻率產(chǎn)生偽隨機數(shù)序列的種子)組成的混合加密算法,可以幫助學(xué)生加深對密碼理論知識的學(xué)習(xí)和掌握。

(3)計算機掃描技術(shù)則通過一些常用的端口掃描工具的使用來讓學(xué)生了解如何通過端口掃描來收集目標(biāo)主機的信息、漏洞。工具軟件可以選擇SuperScan、X-Scan之類的掃描軟件。

(4)網(wǎng)絡(luò)攻擊技術(shù)部分介紹一些常見的網(wǎng)絡(luò)攻擊與防御方法。如木馬攻擊與防御選擇不同類型的比較常見的木馬工具如冰河、廣外男生、灰鴿子等來進行攻擊和防御,讓學(xué)生通過實驗了解木馬程序如何對目標(biāo)進行攻擊以及如何清除木馬的方法;DDOS攻擊則通過SYN-FLOOD、UPD-FLOOD等工具了解拒絕服務(wù)攻擊的過程和預(yù)防。

(5)入侵檢測技術(shù)則通過使用SessionWall工具了解入侵檢測的基本過程和原理。SessionWall是ComputerAssociates公司的入侵檢測產(chǎn)品?？梢宰詣幼R別網(wǎng)絡(luò)使用模式,特殊網(wǎng)絡(luò)應(yīng)用,并能夠識別各種基于網(wǎng)絡(luò)的入侵、攻擊和濫用活動,可以對網(wǎng)絡(luò)安全事件進行監(jiān)聽、對事件進行偵測、提前預(yù)警、在偵測出不正常的網(wǎng)絡(luò)行為時,可自動發(fā)出處理動作、記錄統(tǒng)計報告等。

(6)計算機病毒及反病毒技術(shù)則選擇最新的病毒或由學(xué)生根據(jù)實際體會來對病毒的危害、處理方式進行學(xué)習(xí)。并選擇瑞星殺毒軟件來學(xué)習(xí)防病毒軟件的安裝和使用。

(7)防火墻技術(shù)由于實驗環(huán)境的限制選擇個人版防火墻如天網(wǎng)防火墻或瑞星防火墻來完成實驗,通過實驗要求學(xué)生掌握防火墻的基本設(shè)置。

(8)WWW的安全則主要以Win2000系統(tǒng)的Web服務(wù)為例來學(xué)習(xí)Web服務(wù)器和瀏覽器的安全配置以及如何啟動SSL通道獲取數(shù)字證書來保證站點安全的整個設(shè)置過程。

(9)E-Mail安全部分主要通過對OutlookExpress客戶端編輯軟件的設(shè)置來對保證郵件的安全。OutlookExpress是微軟公司的一個基于Internet標(biāo)準(zhǔn)的電子郵件和新聞閱讀程序。它的郵件接收規(guī)則定義、郵件加密和簽名等機制可以可以幫助用戶發(fā)送和接收安全的電子郵件。通過該工具幫助學(xué)生學(xué)習(xí)關(guān)于電子郵件安全方面的知識,拒絕垃圾郵件和惡意郵件。

4結(jié)束語

信息安全是國家信息化健康發(fā)展的基礎(chǔ),是國家安全的重要組成部分。國家對信息安全人才的要求也是極其迫切的,這就要求高校能夠更好的培養(yǎng)信息安全方面的應(yīng)用型人才,培養(yǎng)能利用所學(xué)知識解決具體問題的人才。網(wǎng)絡(luò)安全基礎(chǔ)課程是信息安全專業(yè)的一門基礎(chǔ)課程,如何更好的完成網(wǎng)絡(luò)安全基礎(chǔ)課程的教學(xué),讓學(xué)生盡可能的將所學(xué)知識有效的結(jié)合到實際應(yīng)用中,根據(jù)所學(xué)知識解決具體的安全問題,是該門課程要解決的主要問題。本文從教學(xué)實踐出發(fā),討論了信息安全基礎(chǔ)課程的教學(xué)過程中實驗環(huán)境的建立、實驗內(nèi)容和實驗工具的選擇。對如何更好的完成網(wǎng)絡(luò)安全基礎(chǔ)課程的教學(xué)進行了探討。

參考文獻:

[1]彭愛華.實戰(zhàn)多操作系統(tǒng)與虛擬機[M].北京:人民郵電出版社,2004.

篇(5)

[論文摘要]隨著Internet的不斷發(fā)展，伴隨而來的網(wǎng)絡(luò)信息安全問題越來越引人關(guān)注。計算機信息一旦遭受破壞，將給單位造成嚴(yán)重的損失。就網(wǎng)絡(luò)信息安全問題，對可能產(chǎn)生的安全因素進行剖析，并采取一定的措施。

一、信息安全的概念

目前，我國《計算機信息安全保護條例》的權(quán)威定義是：通過計算機技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運行，使用戶獲得對信息使用的安全感。信息安全的目的是保護信息處理系統(tǒng)中存儲、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。

二、計算機網(wǎng)絡(luò)系統(tǒng)安全因素剖析

（一）來自計算機網(wǎng)絡(luò)的病毒攻擊

目前，計算機病毒的制造者大多利用Internet網(wǎng)絡(luò)進行傳播，所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統(tǒng)，也可能會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響計算機網(wǎng)絡(luò)的正常運行。

（二）軟件本身的漏洞問題

任何軟件都有漏洞，這是客觀事實。就是美國微軟公司，全球的軟件霸主，也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對固有的安全漏洞進行攻擊，主要有：①協(xié)議漏洞。利用POP3等協(xié)議的漏洞發(fā)動，獲得系統(tǒng)管理員的特權(quán)；②緩沖區(qū)溢出。攻擊者利用該漏洞發(fā)送超長的指令，超出緩沖區(qū)能處理的限度，造成系統(tǒng)運行的不穩(wěn)定，使用戶不能正常工作；③口令攻擊。黑客通過破譯，獲得合法的口令，而入侵到系統(tǒng)中 。還有IP地址轟擊等方法，不一一舉例。

（三）來自競爭對手的破壞

俗話說：同行是冤家。有的企業(yè)利用不正當(dāng)手段，對同行進行破壞。攻擊對方的網(wǎng)站或篡改對方的信息，或在其他網(wǎng)站上散布謠言，破壞競爭對手的良好形象。有的轟擊對方的IP地址，使對方的網(wǎng)站不能正常工作。

（四）用戶使用不慎產(chǎn)生的后果

計算機管理人員平時工作馬虎，不細心，沒有形成規(guī)范的操作，也沒有制定相應(yīng)的規(guī)章制度。很多管理人員安全意識不強，將自己的生日或工號作為系統(tǒng)口令，或?qū)挝坏馁~號隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

三、網(wǎng)絡(luò)信息安全的應(yīng)對措施

（一）加強入網(wǎng)的訪問控制

入網(wǎng)訪問控制是網(wǎng)絡(luò)的第一道關(guān)口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應(yīng)作嚴(yán)格的規(guī)定，如：口令和賬號要盡可能地長，數(shù)字和字母混合，避免用生日、工號等常見的東西作口令，盡量復(fù)雜化，而且要定期更新，以防他人竊取。目前安全性較高的是USBKEY認(rèn)證方法，這種方法采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設(shè)備，用戶的密鑰或數(shù)字證書無需存于內(nèi)存，也無需通過網(wǎng)絡(luò)傳播。因此，大大增強了用戶使用信息的安全性。

（二）加強病毒防范

為了能有效地預(yù)防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測、病毒預(yù)防、病毒查殺、病毒隔離等措施，要建立病毒預(yù)警機制，以提高對病毒的反應(yīng)速度，并有效加強對病毒的處理能力。主要從以下四個方面來闡述：

1．漏洞檢測。主要是采用專業(yè)工具對系統(tǒng)進行漏洞檢測，及時安裝補丁程序，杜絕病毒發(fā)作的條件。

2．病毒預(yù)防。要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來光盤、移動硬盤、U盤等存儲設(shè)備。

3．病毒查殺。主要是對病毒實時檢測，清除已知的病毒。要對病毒庫及時更新，保證病毒庫是最新的。這樣，才可能查殺最新的病毒。

4．病毒隔離。主要是對不能殺掉的病毒進行隔離，以防病毒再次傳播。

（三）進行數(shù)據(jù)加密傳輸

為防止信息泄漏，被競爭對手利用，可對傳輸數(shù)據(jù)進行加密，并以密文的形式傳輸。即使在傳輸過程中被截獲，截獲者沒有相應(yīng)的解密規(guī)則，也無法破譯，從而保證信息傳輸中的安全性。比如：微軟公司的Windows XP就有這樣的數(shù)據(jù)加密功能。

（四）采用防火墻技術(shù)

應(yīng)用過濾防火墻技術(shù)能實現(xiàn)對數(shù)據(jù)包的包頭進行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對其攜帶的內(nèi)容不作檢查；應(yīng)用防火墻技術(shù)能對數(shù)據(jù)包所攜帶的內(nèi)容進行檢查，但對數(shù)據(jù)包頭無法檢查。因此，綜合采用包過濾防火墻技術(shù)和防火墻技術(shù)，既能實現(xiàn)對數(shù)據(jù)包頭的檢查，又能實現(xiàn)對其攜帶內(nèi)容的檢查。

（五）應(yīng)建立嚴(yán)格的數(shù)據(jù)備份制度

一要重視數(shù)據(jù)備份的重要性，認(rèn)為它很有意義，是一個必要的防范措施；二要嚴(yán)格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對重要數(shù)據(jù)要有多個備份。因為殺毒軟件不是萬能的，以防萬一，很有必要建立數(shù)據(jù)備份制度。

（六）加強安全管理

安全管理對于計算機系統(tǒng)的安全以及可靠運行具有十分重要的作用。就目前而言，應(yīng)做到以下幾點：

1．樹立守法觀念，加強法制教育。有關(guān)計算機和網(wǎng)絡(luò)的一些法律知識，要了解并熟悉，如：《中國信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》等條例，培養(yǎng)良好的法律意識。

2．制定并嚴(yán)格執(zhí)行各項安全管理規(guī)章制度。包括出入機房制度、機房衛(wèi)生管理制度、在崗人員責(zé)任制、機房維護制度、應(yīng)急預(yù)案等。

3．建立檢查機制。定期或不定期地對計算機系統(tǒng)進行安全例行檢查，要有記錄，看落實情況，以免流于形式。

（七）培養(yǎng)用戶的信息安全意識

篇(6)

關(guān)鍵詞：計算機網(wǎng)絡(luò)安全；教學(xué)手段；交互式教學(xué)

中圖分類號：G642.0 文獻標(biāo)志碼：A 文章編號：1674-9324（2014）04-0200-02

隨著國際一體化的快速推進，信息技術(shù)在社會和經(jīng)濟發(fā)展中的地位越來越重要，信息安全成為關(guān)系到信息技術(shù)能否成功得到應(yīng)用的一個關(guān)鍵因素。培養(yǎng)掌握高級信息安全高級人才已成為我國信息化建設(shè)的關(guān)鍵。

一、國內(nèi)外現(xiàn)狀

關(guān)于信息安全的教材，國內(nèi)外有很多，比如由機械工業(yè)出版社出版的《網(wǎng)絡(luò)與信息安全教程》，清華大學(xué)出版社出版的《信息系統(tǒng)的安全與保密》及William Stallings著的由電子工業(yè)出版社出版的《密碼學(xué)與網(wǎng)絡(luò)安全》。這些教材一般都是基于密碼學(xué)基礎(chǔ)，介紹基礎(chǔ)的相關(guān)網(wǎng)絡(luò)安全知識和基本原理，比如計算機網(wǎng)絡(luò)安全的基本概念和技術(shù)、數(shù)據(jù)加密和認(rèn)證原理技術(shù)、入侵與病毒、防火墻原理和技術(shù)等內(nèi)容，比較適合本科生使用。但是隨著信息技術(shù)及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全涉及的內(nèi)容也越來越多，技術(shù)難度也越來越大，比如可信計算、無線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)及組播安全等理論和模型，而目前國內(nèi)外還沒有合適的教材涉及以上內(nèi)容，適合研究生層次的教學(xué)。以上這些理論和技術(shù)目前只能在相關(guān)科研論文或其他文獻中查到，這對我校計算機學(xué)院所開設(shè)的研究生學(xué)位課《高級計算機網(wǎng)絡(luò)安全》的教學(xué)極不方便，也影響了同學(xué)們的學(xué)習(xí)。

二、課程內(nèi)容的探索

本文作者從2006年開始，已經(jīng)連續(xù)8年承擔(dān)計算機學(xué)院《高級計算機網(wǎng)絡(luò)安全》課程的教學(xué)，具有豐富的教課經(jīng)驗，并已積累了大量的教學(xué)素材。很多專家和學(xué)者也對信息安全和研究生教學(xué)進行了探討和思考。考慮到當(dāng)前信息安全的多個熱點領(lǐng)域和發(fā)展方向，該課程內(nèi)容從可信計算TCG和可信網(wǎng)絡(luò)TNG開始，深入分析當(dāng)前信息安全領(lǐng)域的現(xiàn)狀和存在的問題，引出現(xiàn)代信息技術(shù)所涉及的信息安全的各種理論和相關(guān)技術(shù)，包括無線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)、網(wǎng)絡(luò)流量分析、盲簽名/群簽名、病毒傳播模型及云計算安全等。同時，為了加強學(xué)生的理論理解，在課程教學(xué)中融合一定的實例和案例分析，力求做到理論和實際相結(jié)合，提高學(xué)生的動手能力；同時對涉及領(lǐng)域的研究動向進行全面的綜述，培養(yǎng)學(xué)生的研究能力和創(chuàng)新能力。

三、教學(xué)手段的探索

本課程教學(xué)最初幾年，主要采用教師課堂講授的方式。但由于課程涉及內(nèi)容廣，難度大，大部分學(xué)生有畏難情緒，教學(xué)效果并不好。通過和研究生多次交流，并不斷總結(jié)經(jīng)驗，作者認(rèn)識到：為了激發(fā)學(xué)生的學(xué)習(xí)興趣、提高學(xué)生的學(xué)習(xí)熱情，調(diào)動學(xué)生的積極性、增強學(xué)生的參與度是該課程教學(xué)效果的重要手段。近五年來，通過對該課程教學(xué)手段的不斷改進和完善，慢慢總結(jié)出以下有效的教學(xué)手段，這些教學(xué)手段取得了非常好的教學(xué)效果，也得到了學(xué)生的好評。

1.基礎(chǔ)知識介紹。我校計算機學(xué)院本科階段，開設(shè)了《信息安全數(shù)學(xué)基礎(chǔ)》、《密碼學(xué)與安全協(xié)議》、《網(wǎng)絡(luò)攻防》等課程，為我校畢業(yè)的研究生了解、掌握信息安全的基礎(chǔ)知識。但我校其他研究生來自全國各高校，有的同學(xué)沒有修讀信息安全相關(guān)課程。為了使同學(xué)對信息安全基礎(chǔ)知識有一個基本了解，在課程開始會利用4個課時對信息安全基礎(chǔ)理論和技術(shù)做介紹，為后面的專題打好基礎(chǔ)。

2.專題介紹及小組選題。信息安全技術(shù)發(fā)展日新月異，課程教師會總結(jié)當(dāng)前計算機網(wǎng)絡(luò)安全前沿較新的、較系統(tǒng)的、具有代表性的十多個研究方向和研究進展，并做簡單介紹。教師會根據(jù)每個學(xué)生的研究方向及興趣愛好將同學(xué)分為十多個小組，每個小組4～8名學(xué)生，包括一名組長。每個小組選取一個專題。

3.小組學(xué)習(xí)和討論。在一定時間內(nèi)，由組長負責(zé)組織小組成員對所選專題進行調(diào)研、學(xué)習(xí)和討論，要求每個成員了解掌握專題主要內(nèi)容，包括涉及的關(guān)鍵問題、模型、算法及系統(tǒng)實現(xiàn)等四個主要方面。對調(diào)研、學(xué)習(xí)過程中遇到的難題，如經(jīng)過小組討論還無法理解，可和教師溝通，得到教師的指導(dǎo)。最后，小組要按規(guī)范制作PPT，并發(fā)給教師審核。教師給出修改意見，小組再完善修改，直至定稿。這個過程鍛煉了研究生的調(diào)研、學(xué)習(xí)和合作溝通能力。通過這個階段，小組成員對所負責(zé)專題有了較深刻的理解，并對小組成員進入導(dǎo)師實驗室，對他們開展進一步研究大有裨益。

4.課堂報告。每個小組將根據(jù)教師安排，在課堂匯報所負責(zé)專題的內(nèi)容。為了保證每個小組成員積極參與小組學(xué)習(xí)和討論，教師在上課時臨時指定上臺報告的學(xué)生，報告學(xué)生表現(xiàn)會作為其個人及其小組成員平時成績的重要依據(jù)。在報告過程中，教師和其他小組同學(xué)可以隨時就相關(guān)問題提問，有時對某一個復(fù)雜問題進行深入探討。因為是學(xué)生上臺報告，并且同學(xué)們可以隨時參與討論，課堂氣氛非?；钴S，大大增強了該課程的教學(xué)效果。

5.課程考核。雖然每個小組在他們負責(zé)的專題上投入了很多時間和精力，但該課程的主要目標(biāo)是每個學(xué)生需要了解各個小組報告的專題內(nèi)容。課程講解、討論結(jié)束后，所有同學(xué)還要參加最后的閉卷考試，考試內(nèi)容來源于每個小組報告的內(nèi)容。這樣，在每個小組課題報告時，其他小組成員還要認(rèn)真聽講并積極參與討論。每個同學(xué)在課題上的表現(xiàn)和積極性也將作為該學(xué)生平時成績的一部分。

四、小結(jié)

本論文討論的《高級計算機網(wǎng)絡(luò)安全》的教學(xué)模式和教學(xué)方法具有一定新意，主要體現(xiàn)在以下幾方面。

1.國內(nèi)外關(guān)于高級計算機網(wǎng)絡(luò)安全專題的教材還沒有，本課程對當(dāng)前計算機網(wǎng)絡(luò)安全前沿研究方向進行系統(tǒng)化總結(jié)。本課程主要內(nèi)容既可作為研究生學(xué)習(xí)當(dāng)前計算機網(wǎng)絡(luò)安全領(lǐng)域較新和較成熟的科研成果，也可作為課題研究的參考。

2.本課程涉及的內(nèi)容較全面，包括可信計算TCG和可信網(wǎng)絡(luò)TNG、無線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)、網(wǎng)絡(luò)流量分析、盲簽名/群簽名、病毒傳播模型以及云計算安全等理論和模型。

3.為了加強學(xué)生對相關(guān)理論的理解，本課程包含一定的實例和案例分析，力求做到理論和實際相結(jié)合，提高學(xué)生的動手能力。

4.教學(xué)相長，通過小組合作和課堂討論，引導(dǎo)學(xué)生深入研究某一專題，培養(yǎng)學(xué)生的團隊合作能力和研究能力，增強同學(xué)學(xué)習(xí)的主動性和積極性。此外，還通過網(wǎng)上交流及講座論壇等形式開展交互式教學(xué)。

參考文獻：

[1]馬建峰，李風(fēng)華.信息安全學(xué)科建設(shè)與人才培養(yǎng)現(xiàn)狀、問題與對策[J].計算機教育，2005，（1）.

[2]王海暉，譚云松，伍慶華，黃文芝.高等院校信息安全專業(yè)人才培養(yǎng)模式的研究[J].現(xiàn)代教育科學(xué)：高教研究，2006，（5）.

[3]景靜姝，王玉琨，劉鑒汶.高等院校研究生課程教學(xué)改革問題探討[J].理論導(dǎo)刊，2007，（5）：97-99.

篇(7)

關(guān)鍵詞：多屬性群決策；熵權(quán)法；TOPSIS；信息安全；風(fēng)險評估

一、 引言

從20世紀(jì)90年代后期起，我國信息化建設(shè)得到飛速發(fā)展，金融、電力、能源、交通等各種網(wǎng)絡(luò)及信息系統(tǒng)成為了國家非常重要的基礎(chǔ)設(shè)施。隨著信息化應(yīng)用的逐漸深入，越來越多領(lǐng)域的業(yè)務(wù)實施依賴于網(wǎng)絡(luò)及相應(yīng)信息系統(tǒng)的穩(wěn)定而可靠的運行，因此，有效保障國家重要信息系統(tǒng)的安全，加強信息安全風(fēng)險管理成為國家政治穩(wěn)定、社會安定、經(jīng)濟有序運行的全局性問題。

信息安全風(fēng)險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結(jié)合的評估方法三大類。定性評估方法的優(yōu)點是使評估的結(jié)論更全面、深刻；缺點是主觀性很強，對評估者本身的要求高。典型的定性評估方法有：因素分析法、邏輯分析法、歷史比較法、德爾斐法等。定量的評估方法是運用相應(yīng)的數(shù)量指標(biāo)來對風(fēng)險進行評估。其優(yōu)點是用直觀數(shù)據(jù)來表述評估結(jié)果，非常清晰，缺點是量化過程中容易將本來復(fù)雜的事物簡單化。典型的定量分析方法有：聚類分析法、時序模型、回歸模型等。定性與定量相結(jié)合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結(jié)合起來，做到彼此之間揚長避短，使評估結(jié)果更加客觀、公正。

本文針對風(fēng)險評估主觀性強，要素眾多，各因素較難量化等特殊性，將多屬性群決策方法引入到風(fēng)險評估當(dāng)中。多屬性決策方法能夠較有效解決多屬性問題中權(quán)重未知的難題，而群決策方法能較好地綜合專家、評估方、被評估方以及其他相關(guān)人員的評估意見。該方法可解決風(fēng)險評估中評估要素屬性的權(quán)重賦值問題，同時群決策理論的引入可提高風(fēng)險評估的準(zhǔn)確性和客觀性。本文用熵權(quán)法來確定屬性權(quán)重，用TOPSIS作為評價模型，對風(fēng)險集進行排序選擇，并運用實例來進行驗證分析。

二、 相關(guān)理論研究

1. 信息安全風(fēng)險分析原理。信息安全風(fēng)險評估是指依據(jù)信息安全相關(guān)的技術(shù)和管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性進行評價的過程。它要對組織資產(chǎn)面臨的威脅進行評估以及確定威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合相應(yīng)安全事件所涉及的資產(chǎn)價值來判定當(dāng)安全事件發(fā)生時對組織會造成的影響。文獻中提出了一種改進的風(fēng)險分析流程及原理，該模型對風(fēng)險分析基本流程的屬性進行了細分，如圖1所示。

根據(jù)上述原理，總結(jié)出信息安全風(fēng)險評估的基本步驟，可以描述如下： （1）首先調(diào)查組織的相關(guān)業(yè)務(wù)，分析識別出組織需要保護的重要資產(chǎn)，以及資產(chǎn)本身存在的脆弱性、面臨的威脅，形成風(fēng)險集。（2）組織各領(lǐng)域?qū)＜覍︼L(fēng)險集中各屬性進行評估并賦權(quán)值，得到每個風(fēng)險的屬性值。（3）通過一定的算法對所有屬性進行綜合分析，得到最后的結(jié)果，進一步推算出組織面臨的風(fēng)險值。

2. 多屬性群決策理論。多屬性群決策，是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息，通過一定的方式對一組（這一組是有限個）備擇方案進行排序并選擇，群決策是多個決策者根據(jù)自己的專業(yè)水平、知識面、經(jīng)驗和綜合能力等對方案的重要性程度進行評價。在多屬性群決策過程中，需要事先確定各專家權(quán)重和屬性權(quán)重，再通過不同集結(jié)算法計算各方案的綜合屬性值，從而對方案進行評價或擇優(yōu)。

3. 熵權(quán)法原理。香農(nóng)在1948年將熵的概念應(yīng)用到信息領(lǐng)域用來表示信源的不確定性，根據(jù)熵的思想，人們在決策中獲取信息的數(shù)量和質(zhì)量是提高決策精度和可靠性的重要因素。而熵在應(yīng)用于不同決策過程的評價時是一個很理想的方法。熵權(quán)法是確定多屬性決策問題中各屬性權(quán)系數(shù)的一種有效方法。它是利用決策矩陣和各指標(biāo)的輸出熵來確定各指標(biāo)的權(quán)系數(shù)。

試考慮一個評估問題，它有m個待評估方案，n個評估屬性，（簡稱m，n評估問題）。先將評估對象的實際狀況可以得到初始的決策矩陣R′=（′ij）m×n，′ij為第i個對象在第j個指標(biāo)上的狀態(tài)，對R′進行標(biāo)準(zhǔn)化處理，得到標(biāo)準(zhǔn)狀態(tài)矩陣：R=（ij）m×n，用M={1，2，…，m}表示方案的下標(biāo)集，用 N={1，2，…，n}表示屬性的下標(biāo)集，以下同。其中，當(dāng)評估屬性取值越大越好，即為效益型數(shù)據(jù)時：

ij=（1）

當(dāng)評估屬性取值越小越好，即為成本型數(shù)據(jù)時：

ij=（2）

（1）評估屬性的熵：

Hj=-kij×lnij j∈N（3）

其中ij=ij/ij k=1/lnm，并假定，當(dāng)ij=0時，ijlnij=0，Hj越大，事件的不確定性越大，Hj越小，事件的不確定性越小。

（2）評估屬性的熵權(quán)：在（m，n）評估問題中，第j個評估屬性的熵權(quán)j定義為：

j=（1-Hj）/（n-Hj），j∈N，顯然0j1且j=1

3. TOPSIS方法。TOPSIS（Technique for Order Preference by Similarity to Ideal Solution）法是一種逼近理想解的排序方法，適用于多屬性決策中方案的排序和優(yōu)選問題，它的基本原理描述如下：（1）界定理想解和負理想解，（2）以各方案與“理想解”和“負理想解”的歐氏距離作為排序標(biāo)準(zhǔn)，尋找距“理想解”的歐氏距離最小，（3）距“負理想解”的歐氏距離最大的方案作為最優(yōu)方案。理想解是一個方案集中虛擬的最佳方案，它的每個屬性值都是決策矩陣中該屬性的最好的值；而負理想解則是虛擬的最差方案，它的每個屬性值都是決策矩陣中該屬性的最差的值。最優(yōu)方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構(gòu)造的接近度指標(biāo)來進行判斷的。假設(shè)決策矩陣R=（ij）m×n已進行過標(biāo)準(zhǔn)化處理。具體步驟如下：

（1）構(gòu)造加權(quán)標(biāo)準(zhǔn)狀態(tài)矩陣X=（xij），其中：xij=j×ij，i∈M；j∈N，j為第j個屬性的權(quán)重；xij為標(biāo)準(zhǔn)狀態(tài)矩陣的元素。

（2）確定理想解x+和負理想解x-。設(shè)理想解x+的第j個屬性值為x+j，負理想解x-的第j個屬性值位x-j，則

x+j={xij|j∈J1）），xij|j∈J2）}

x-j={xij|j∈J1）），xij|j∈J2）}

J1為效益型指標(biāo)，J2為成本型指標(biāo)。

（3）計算各方案到理想解的Euclid距離di+與負理想解的距離di-

di+=；di-=；i∈M

（4）計算各方案的接近度C+i，并按照其大小排列方案的優(yōu)劣次序。其中

C+i=，i∈M

三、 基于TOPSIS的多屬性群決策信息安全風(fēng)險評估模型

1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應(yīng)用于信息安全風(fēng)險評估中，有以下幾點考慮：

（1）組織成本問題。組織需要對分析出來的風(fēng)險嚴(yán)重程度進行排序比較，從而利用有限的成本將風(fēng)險控制到適當(dāng)范圍內(nèi)。因此，組織可以將被評估方所面臨的風(fēng)險集，看作是決策問題中的方案集，決策目的就是要衡量各風(fēng)險值的大小及其排序，從中找出最需要控制的風(fēng)險。

（2）風(fēng)險評估中的復(fù)雜性問題。風(fēng)險評估的復(fù)雜性，適合用多屬性群決策方法來解決。如圖1所示，信息安全風(fēng)險評估中涉及多個評估指標(biāo)，通過評估指標(biāo)u1，u2，…，u7的取值來計算風(fēng)險值z。風(fēng)險值z的計算適用于多屬性決策的方法。而由于風(fēng)險評估的復(fù)雜性和主觀依賴性決定了風(fēng)險評估需要綜合多人的智慧，因此風(fēng)險評估的決策者在各方面優(yōu)勢互補，實現(xiàn)群決策的優(yōu)勢。

2. 評估過程。

（1）構(gòu)造決策矩陣，并將決策矩陣標(biāo)準(zhǔn)化為R=（ij）m×n，由于風(fēng)險評估屬性都是成本型屬性，所以用公式（2）標(biāo)準(zhǔn)化。

（2）專家dk權(quán)重的確定。為確定專家權(quán)重，由風(fēng)險評估負責(zé)人構(gòu)造專家判斷矩陣，假設(shè)共有r個專家，Eij表示第i位專家對第j專家的相對重要性，利用Saaty（1980）給出了屬性間相對重要性等級表，計算判斷矩陣的特征向量，即可得到專家的主觀權(quán)重：=（1，2，3，…，r）。

（3）指標(biāo)權(quán)重的確定。指標(biāo)權(quán)重由熵權(quán)法確定，得到專家dk各指標(biāo)權(quán)重（k）=（1（k），2（k），3（k），…，n（k））。

（4）利用屬性權(quán)重對決策矩陣R（k）進行加權(quán)，得到屬性加權(quán)規(guī)范化決策矩陣X（k）=（xij（k））m×n，其中，xij（k）=ij（k）·j（k），i∈M；j∈N。

（5）利用加權(quán)算術(shù)平均（WAA）算子將不同決策者的加權(quán)規(guī)范矩陣X（k）集結(jié)合成，得到綜合加權(quán)規(guī)范化矩陣X=（xij）m×n，其中xij=xij（k）k。

（6）在綜合加權(quán)規(guī)范化矩陣X=（xij）m×n中尋找理想解x+=（x1+，x2+，…，xn+） 和負理想解x-=（x1-，x2-，…，xn-）， 因為風(fēng)險評估屬性類型為成本型，故x+j=xij，x-j=xij，j∈N。

（7）計算各風(fēng)險集分別與正理想解的Euclid距離di+和di-。

（8）計算各風(fēng)險集的接近度C+i，按照C+i的降序排列風(fēng)險集的大小順序。

四、 實例分析

1. 假設(shè)條件。為了計算上的方便，本文作以下假設(shè)：

（1）假設(shè)共有兩個資產(chǎn)，資產(chǎn)A1，A2。

（2）資產(chǎn)A1面臨2個主要威脅T1和T2，資產(chǎn)A2面臨1個主要威脅T3。

（3）威脅T1可以利用資產(chǎn)A1存在的1個脆弱性V1，分別形成風(fēng)險X1（A1，V1，T1）；威脅T2可以利用資產(chǎn)A1存在的1個脆弱性V2，形成風(fēng)險X2（A1，V2，T2）；威脅T3可以利用資產(chǎn)A2存在的1個脆弱性V3，形成風(fēng)險X3（A2，V3，T3）。以上假設(shè)條件參照文獻“7”。

（4）參與風(fēng)險評估的人員來自不同領(lǐng)域的專家3名，分別是行業(yè)專家d1，評估人員d2和組織管理者d3，系統(tǒng)所面臨的風(fēng)險已知，分別是X1，X2，X3。

2. 信息安全風(fēng)險評估。

（1）構(gòu)造決策矩陣。如表1，決策屬性為u1，u2，…，u7，決策者d1，d2，d3依據(jù)這些指標(biāo)對三個風(fēng)險X1，X2，X3進行評估給出的風(fēng)險值（范圍從1～5）。

（2）決策矩陣規(guī)范化，由于上述數(shù)值屬成本型，用公式（2）進行標(biāo)準(zhǔn)化。

（3）專家權(quán)重的確定，評估負責(zé)人給出3個專家的判斷矩陣。

計算出各專家權(quán)重=（0.717，0.201，0.082），最大特征值為3.054 2，C.I=0.027，R.I=0.58，C.R=0.0470.1，判斷矩陣滿足一致性檢驗。

（3）指標(biāo)權(quán)重的確定

w1=（0.193，0.090，0.152，0.028，0.255，0.090，0.193）

w2=（0.024，0.312，0.024，0.223，0.024，0.168，0.223）

w3=（0.024，0.024，0.312，0.168，0.168，0.223，0.079）

（4）得到綜合加權(quán)規(guī)范矩陣X

X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026

（5）求出理想解x+=（0.002，0.017，0.063，0.013，0.006，0.045，0.026） 負理想解x-=（0.072，0.080，0.084，0.039，0.146，0.101，0.107）。

（6）計算d+i、d-i和C+i及對結(jié)果排序，見表5。

從排序結(jié)果可以看出，風(fēng)險大小依次為X3X2X1，因此，組織要按此順序根據(jù)企業(yè)的經(jīng)濟實力加強風(fēng)險控制。與參考文獻“8”中的風(fēng)險計算方法比較，提高了風(fēng)險計算的準(zhǔn)確性。

五、 結(jié)論

通過對信息安全風(fēng)險評估特點分析，將多屬性群決策用于信息安全風(fēng)險評估當(dāng)中，多屬性群決策中最重要的就是權(quán)重的確定，本文對專家權(quán)重采用兩兩成對比較矩陣來獲得，對屬性權(quán)重采用熵權(quán)法來確定，最后采用TOPSIS方法進行結(jié)果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響，提高信息安全風(fēng)險評估的準(zhǔn)確性，為信息系統(tǒng)安全風(fēng)險評估提供一種研究新思路。

參考文獻：

1.趙亮.信息系統(tǒng)安全評估理論及其群決策方法研究.上海交通大學(xué)博士論文，2011.

2.中國國家標(biāo)準(zhǔn)化管理委員會.GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范，2007.

3.陳曉軍.多屬性決策方法及其在供應(yīng)商選擇上的應(yīng)用研究.合肥工業(yè)大學(xué)碩士論文，2008.

4.周輝仁，鄭丕諤，秦萬峰等.基于熵權(quán)與離差最大化的多屬性群決策方法.軟科學(xué)，2008，22（3）.

5.管述學(xué)，莊宇.熵權(quán)TOPSIS模型在商業(yè)銀行信用風(fēng)險評估中的應(yīng)用.情報雜志，2008，（12）.

6.郭凱紅，李文立.權(quán)重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學(xué)，2011，19（5）.

7.唐作其，陳選文等.多屬性群決策理論信息安全風(fēng)險評估方法研究.計算機工程與應(yīng)用，2011，47（15）.

8. 中國國家標(biāo)準(zhǔn)化管理委員會.GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范.北京：中國標(biāo)準(zhǔn)出版社，2007.

基金項目：國家自然科學(xué)基金資助項目（項目號：60970143，70872120）；教育部科學(xué)技術(shù)研究基金資助重點項目（項目號：109016）。