軟件安全論文精品(七篇)

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇軟件安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個層面，軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂這兩大主題了，而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問題主要圍繞著軟件漏洞和易被攻擊脆弱點，它們都來自于軟件的設(shè)計和實現(xiàn)。Internet催生了電子商務(wù)，移動互聯(lián)網(wǎng)使得APP變得如火如荼，未來物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡(luò)中去。因此軟件安全問題將成為計算機(jī)安全的核心，而非防火墻等網(wǎng)絡(luò)硬件，或是諸如加密等手段。軟件安全是一切計算機(jī)安全性問題的根源，如果軟件行為出現(xiàn)異常，與之相關(guān)的可靠性、可用性等方面問題就會隨之暴露。軟件安全問題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的，只不過互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了。

2軟件安全的現(xiàn)狀

2.1人們的認(rèn)知

隨著黑客攻擊的新聞時常見諸媒體，人們對計算機(jī)安全問題有了一定認(rèn)識。但不幸很多計算機(jī)安全人員和計算機(jī)教育培訓(xùn)人員都忽視了軟件安全的問題。一味地推崇某種軟件平臺是安全的，單純大力增加對網(wǎng)絡(luò)安全硬件和軟件的投入，這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性，也沒有任何軟件是絕對安全的。軟件安全問題的關(guān)鍵節(jié)點是軟件的設(shè)計。

2.2軟件安全設(shè)計的先天不足

世界上知名的軟件廠商并不是不了解軟件安全設(shè)計安全性的重要性，而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機(jī)會、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計在很多時候都是被舍棄的。隨之而來的處理方式則是常見的penetrate-and-pach方法，即不停地補(bǔ)丁。這種做法從長遠(yuǎn)來看，其成本與作用遠(yuǎn)不及一開始就做好安全性的設(shè)計和審計。

3軟件安全設(shè)計應(yīng)引入風(fēng)險管理

從項目管理的角度看，風(fēng)險指損失或損害的可能性。軟件項目涉及到的是：項目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項目成功。風(fēng)險管理則是對應(yīng)軟件項目生命周期內(nèi)的風(fēng)險的科學(xué)和藝術(shù)。軟件安全性的設(shè)計與軟件設(shè)計的其他一些質(zhì)量性能是互相抵觸的，例如冗余性、高效性。而軟件開發(fā)過程中的風(fēng)險管理與軟件開發(fā)的諸如時間、范圍、成本等因素也是相互抵觸的。但是絕不能因為這些可能發(fā)生的抵觸行為而放棄對安全性和風(fēng)險管理的考慮，反而應(yīng)該將軟件安全性設(shè)計納入到風(fēng)險管理的范疇中去。事實表明，93%的失控項目都忽視了風(fēng)險管理。

4軟件安全設(shè)計風(fēng)險管理的實施

目前國際上對軟件安全方面的風(fēng)險管理存在著一個共同的認(rèn)知，那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題，歐美一些國家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來指導(dǎo)軟件安全性設(shè)計的實踐。但是這只是從科學(xué)技術(shù)方面做出努力，我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。完整的風(fēng)險管理的過程應(yīng)該包括以下幾個環(huán)節(jié)：風(fēng)險管理計劃的編制、風(fēng)險識別、風(fēng)險定性分析、風(fēng)險定量分析、風(fēng)險應(yīng)對計劃編制和風(fēng)險監(jiān)督控制。將整個流程都走完的項目和企業(yè)都不多，一般來自于所謂的學(xué)院派。而時下大多數(shù)國內(nèi)外企業(yè)的做法是將這個7個流程簡化為誰來識別風(fēng)險、誰來對風(fēng)險負(fù)責(zé)這兩個環(huán)節(jié)。原因則是上文所提到的先天不足所致。從技術(shù)上講，風(fēng)險管理的效益來自于潛在風(fēng)險最小化和潛在回報的最大化。而這個技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險定量分析的過程。在這個過程中，可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會計基礎(chǔ)之上。而令人遺憾的是，很多決策者本身對這些技術(shù)的認(rèn)知或理解欠缺，以至于會抵觸這種方法。大多數(shù)做法是采用小團(tuán)隊開發(fā)小軟件的做法，即采用訪談和敏感性分析來幫助風(fēng)險定量分析。然而我們并不是要反對這種簡化做法，只是一定不能在簡化的做法之上再次簡化或敷衍了事。首先要做的工作是做好需求管理，在建立一組需求輸入的時候，一定要將安全性作為一個重要需求考慮進(jìn)去。有一個比較好的方法是，在軟件設(shè)計時采用螺旋模型，需求的輸入可以在螺旋模型的各個生命周期中進(jìn)行，而有關(guān)安全性的需求輸入則最好是在最初的一個螺旋中進(jìn)行。之后要做的工作是確定最大風(fēng)險。不可避免的要使用風(fēng)險定性和風(fēng)險定量分析的各種技術(shù)和方法。這個工作一定要有軟件設(shè)計師、項目決策者和用戶的參與，采用頭腦風(fēng)暴和專家訪談是不錯的選擇。而這個工作恰恰是現(xiàn)實生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問題，而客戶的參與往往難以落實，認(rèn)為軟件的設(shè)計和開發(fā)應(yīng)該由軟件公司負(fù)責(zé)，客戶付款只關(guān)心最后軟件是否可以使用。而一旦由于軟件安全性問題造成了一定后果后將演變成各種糾纏不清的官司，這是企業(yè)和客戶都不想看到的結(jié)果。

5結(jié)語

篇(2)

屆時，大會將設(shè)立 “信息系統(tǒng)整體安全保護(hù)的有效途徑”和“電子認(rèn)證服務(wù)的解決之道” 兩個分論壇，并集納各界經(jīng)典名篇、學(xué)術(shù)成果、研究課題、應(yīng)用經(jīng)驗，編輯出版《2012中國信息安全技術(shù)展望學(xué)術(shù)論文集》，其中優(yōu)秀論文將擇優(yōu)在《信息安全與技術(shù)》雜志（國家級刊物）上刊登，并全文收錄于《中國學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫》及CNKI系列數(shù)據(jù)庫、《中文核心期刊（遴選）數(shù)據(jù)庫》、《中文科技期刊數(shù)據(jù)庫》。

征文內(nèi)容如下：

1.計算機(jī)安全、下一代網(wǎng)絡(luò)安全技術(shù)；

2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全；

3.信息系統(tǒng)等級安全保護(hù)、重要信息系統(tǒng)安全；

4.云計算與云安全、物聯(lián)網(wǎng)的安全；

5.移動互聯(lián)網(wǎng)的安全信息安全保障體系、移動計算平臺安全性研究；

6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測試技術(shù)；

7.可信計算；

8.關(guān)鍵基礎(chǔ)設(shè)施安全；

9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析；

10.系統(tǒng)架構(gòu)安全分析；

11.面向業(yè)務(wù)應(yīng)用的整體安全保護(hù)方案；

12.信息安全漏洞態(tài)勢研究；

13.新技術(shù)新應(yīng)用信息安全態(tài)勢研究；

14.Web應(yīng)用安全；

15.計算機(jī)系統(tǒng)安全等級保護(hù)標(biāo)準(zhǔn)的實施與發(fā)展現(xiàn)狀；

16.國內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究；

17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品；

18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新；

19.電子認(rèn)證服務(wù)行業(yè)研究和熱點事件解析；

20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

21.數(shù)字證書交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

篇(3)

論文摘要： 走進(jìn)新世紀(jì)，科學(xué)技術(shù)發(fā)展日新月異，人們迎來一個知識爆炸的信息時代，信息數(shù)據(jù)的傳輸速度更快更便捷，信息數(shù)據(jù)傳輸量也隨之增加，傳輸過程更易出現(xiàn)安全隱患。因此，信息數(shù)據(jù)安全與加密愈加重要，也越來越多的得到人們的重視。首先介紹信息數(shù)據(jù)安全與加密的必要外部條件，即計算機(jī)安全和通信安全，在此基礎(chǔ)上，系統(tǒng)闡述信息數(shù)據(jù)的安全與加密技術(shù)，主要包括：存儲加密技術(shù)和傳輸加密技術(shù)；密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)；消息摘要和完整性鑒別技術(shù)。

當(dāng)前形勢下，人們進(jìn)行信息數(shù)據(jù)的傳遞與交流主要面臨著兩個方面的信息安全影響：人為因素和非人為因素。其中人為因素是指：黑客、病毒、木馬、電子欺騙等；非人為因素是指：不可抗力的自然災(zāi)害如火災(zāi)、電磁波干擾、或者是計算機(jī)硬件故障、部件損壞等。在諸多因素的制約下，如果不對信息數(shù)據(jù)進(jìn)行必要的加密處理，我們傳遞的信息數(shù)據(jù)就可能泄露，被不法分子獲得，損害我們自身以及他人的根本利益，甚至造成國家安全危害。因此，信息數(shù)據(jù)的安全和加密在當(dāng)前形勢下對人們的生活來說是必不可少的，通過信息數(shù)據(jù)加密，信息數(shù)據(jù)有了安全保障，人們不必再顧忌信息數(shù)據(jù)的泄露，能夠放心地在網(wǎng)絡(luò)上完成便捷的信息數(shù)據(jù)傳遞與交流。

1 信息數(shù)據(jù)安全與加密的必要外部條件

1.1 計算機(jī)安全。每一個計算機(jī)網(wǎng)絡(luò)用戶都首先把自己的信息數(shù)據(jù)存儲在計算機(jī)之中，然后，才進(jìn)行相互之間的信息數(shù)據(jù)傳遞與交流，有效地保障其信息數(shù)據(jù)的安全必須以保證計算機(jī)的安全為前提，計算機(jī)安全主要有兩個方面包括：計算機(jī)的硬件安全與計算機(jī)軟件安全。1）計算機(jī)硬件安全技術(shù)。保持計算機(jī)正常的運轉(zhuǎn)，定期檢查是否出現(xiàn)硬件故障，并及時維修處理，在易損器件出現(xiàn)安全問題之前提前更換，保證計算機(jī)通電線路安全，提供備用供電系統(tǒng)，實時保持線路暢通。2）計算機(jī)軟件安全技術(shù)。首先，必須有安全可靠的操作系統(tǒng)。作為計算機(jī)工作的平臺，操作系統(tǒng)必須具有訪問控制、安全內(nèi)核等安全功能，能夠隨時為計算機(jī)新加入軟件進(jìn)行檢測，如提供windows安全警報等等。其次，計算機(jī)殺毒軟件，每一臺計算機(jī)要正常的上網(wǎng)與其他用戶交流信息，都必須實時防護(hù)計算機(jī)病毒的危害，一款好的殺毒軟件可以有效地保護(hù)計算機(jī)不受病毒的侵害。

1.2 通信安全。通信安全是信息數(shù)據(jù)的傳輸?shù)幕緱l件，當(dāng)傳輸信息數(shù)據(jù)的通信線路存在安全隱患時，信息數(shù)據(jù)就不可能安全的傳遞到指定地點。盡管隨著科學(xué)技術(shù)的逐步改進(jìn)，計算機(jī)通信網(wǎng)絡(luò)得到了進(jìn)一步完善和改進(jìn)，但是，信息數(shù)據(jù)仍舊要求有一個安全的通信環(huán)境。主要通過以下技術(shù)實現(xiàn)。1）信息加密技術(shù)。這是保障信息安全的最基本、最重要、最核心的技術(shù)措施。我們一般通過各種各樣的加密算法來進(jìn)行具體的信息數(shù)據(jù)加密，保護(hù)信息數(shù)據(jù)的安全通信。2）信息確認(rèn)技術(shù)。為有效防止信息被非法偽造、篡改和假冒，我們限定信息的共享范圍，就是信息確認(rèn)技術(shù)。通過該技術(shù)，發(fā)信者無法抵賴自己發(fā)出的消息；合法的接收者可以驗證他收到的消息是否真實；除合法發(fā)信者外，別人無法偽造消息。3）訪問控制技術(shù)。該技術(shù)只允許用戶對基本信息庫的訪問，禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時，系統(tǒng)管理員能夠利用這一技術(shù)實時觀察用戶在網(wǎng)絡(luò)中的活動，有效的防止黑客的入侵。

2 信息數(shù)據(jù)的安全與加密技術(shù)

隨著計算機(jī)網(wǎng)絡(luò)化程度逐步提高，人們對信息數(shù)據(jù)傳遞與交流提出了更高的安全要求，信息數(shù)據(jù)的安全與加密技術(shù)應(yīng)運而生。然而，傳統(tǒng)的安全理念認(rèn)為網(wǎng)絡(luò)內(nèi)部是完全可信任，只有網(wǎng)外不可信任，導(dǎo)致了在信息數(shù)據(jù)安全主要以防火墻、入侵檢測為主，忽視了信息數(shù)據(jù)加密在網(wǎng)絡(luò)內(nèi)部的重要性。以下介紹信息數(shù)據(jù)的安全與加密技術(shù)。

2.1 存儲加密技術(shù)和傳輸加密技術(shù)。存儲加密技術(shù)分為密文存儲和存取控制兩種，其主要目的是防止在信息數(shù)據(jù)存儲過程中信息數(shù)據(jù)泄露。密文存儲主要通過加密算法轉(zhuǎn)換、加密模塊、附加密碼加密等方法實現(xiàn)；存取控制則通過審查和限制用戶資格、權(quán)限，辨別用戶的合法性，預(yù)防合法用戶越權(quán)存取信息數(shù)據(jù)以及非法用戶存取信息數(shù)據(jù)。 轉(zhuǎn)貼于

傳輸加密技術(shù)分為線路加密和端-端加密兩種，其主要目的是對傳輸中的信息數(shù)據(jù)流進(jìn)行加密。線路加密主要通過對各線路采用不同的加密密鑰進(jìn)行線路加密，不考慮信源與信宿的信息安全保護(hù)。端-端加密是信息由發(fā)送者端自動加密，并進(jìn)入TCP/IP信息數(shù)據(jù)包，然后作為不可閱讀和不可識別的信息數(shù)據(jù)穿過互聯(lián)網(wǎng)，這些信息一旦到達(dá)目的地，將被自動重組、解密，成為可讀信息數(shù)據(jù)。

2.2 密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)。密鑰管理加密技術(shù)是為了信息數(shù)據(jù)使用的方便，信息數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配、保存、更換與銷毀等各環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息確認(rèn)加密技術(shù)通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認(rèn)方案應(yīng)該能使：合法的接收者能夠驗證他收到的消息是否真實；發(fā)信者無法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無法偽造消息；發(fā)生爭執(zhí)時可由第三人仲裁。按照其具體目的，信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。數(shù)字簽名是由于公開密鑰和私有密鑰之間存在的數(shù)學(xué)關(guān)系，使用其中一個密鑰加密的信息數(shù)據(jù)只能用另一個密鑰解開。發(fā)送者用自己的私有密鑰加密信息數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開信息數(shù)據(jù)后，就可確定消息來自誰。這就保證了發(fā)送者對所發(fā)信息不能抵賴。

2.3 消息摘要和完整性鑒別技術(shù)。消息摘要是一個惟一對應(yīng)一個消息或文本的值，由一個單向Hash加密函數(shù)對消息作用而產(chǎn)生。信息發(fā)送者使用自己的私有密鑰加密摘要，也叫做消息的數(shù)字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發(fā)送者，當(dāng)消息在途中被改變時，接收者通過對比分析消息新產(chǎn)生的摘要與原摘要的不同，就能夠發(fā)現(xiàn)消息是否中途被改變。所以說，消息摘要保證了消息的完整性。

完整性鑒別技術(shù)一般包括口令、密鑰、身份（介入信息傳輸、存取、處理的人員的身份）、信息數(shù)據(jù)等項的鑒別。通常情況下，為達(dá)到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對信息數(shù)據(jù)的安全保護(hù)。

3 結(jié)束語

綜上所述，信息數(shù)據(jù)的安全與加密技術(shù)，是保障當(dāng)前形勢下我們安全傳遞與交流信息的基本技術(shù)，對信息安全至關(guān)重要。希望通過本文的研究，能夠拋磚引玉，引起國內(nèi)外專家的重視，投入更多的精力以及更多的財力、物力來研究信息數(shù)據(jù)安全與加密技術(shù)，以便更好的保障每一個網(wǎng)絡(luò)使用者的信息安全。

參考文獻(xiàn)：

[1]曾莉紅，基于網(wǎng)絡(luò)的信息包裝與信息數(shù)據(jù)加密[J].包裝工程，2007（08）.

[2]華碩升級光盤加密技術(shù)[J].消費電子商訊，2009（11）.

篇(4)

關(guān)鍵詞：計算機(jī) 網(wǎng)絡(luò) 安全 防范措施

隨著計算機(jī)技術(shù)和Internet建設(shè)的發(fā)展與完善，計算機(jī)網(wǎng)絡(luò)安全問題逐步成為人們關(guān)注和討論的焦點。計算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)深入到社會的各個領(lǐng)域，比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等，人們對計算機(jī)網(wǎng)絡(luò)的依賴性越來越大，但隨之而來的是，計算機(jī)網(wǎng)絡(luò)安全也受到前所未有的威脅，計算機(jī)病毒無處不在，黑客的猖獗，都防不勝防。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從管理和技術(shù)兩方面就加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全提出相應(yīng)的安全防范措施。

1 計算機(jī)網(wǎng)絡(luò)安全的定義

國際標(biāo)準(zhǔn)化組織（ISO）將“計算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機(jī)網(wǎng)絡(luò)安全包括物理安全、軟件安全、數(shù)據(jù)安全和運行安全四個方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。軟件安全是指網(wǎng)絡(luò)軟件以及各主機(jī)、服務(wù)器、工作站等設(shè)備所運行的軟件安全。信息安全是指網(wǎng)絡(luò)中所存儲和傳輸?shù)臄?shù)據(jù)的安全。運行安全是指網(wǎng)絡(luò)中各個信息系統(tǒng)能正常運行并能正常地通過網(wǎng)絡(luò)交流信息。

網(wǎng)絡(luò)安全的目的就是為了確保網(wǎng)絡(luò)系統(tǒng)的保密性、完整性和可用性。保護(hù)計算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，使之不遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。

2 計算機(jī)網(wǎng)絡(luò)面臨的威脅

計算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)內(nèi)部的威脅，也包括對網(wǎng)絡(luò)外部的威脅，同時也與計算機(jī)操作系統(tǒng)本身有關(guān)。歸結(jié)起來，主要有以下幾方面：

2.1 計算機(jī)網(wǎng)絡(luò)的脆弱性

計算機(jī)系統(tǒng)的脆弱性主要來自計算機(jī)操作系統(tǒng)的不安全性，在網(wǎng)絡(luò)環(huán)境下，還來源于網(wǎng)絡(luò)通信協(xié)議的不安全性，有的操作系統(tǒng)根本就沒有安全防護(hù)措施，如dos、windows95等操作系統(tǒng)，它們不能作為安全性要求高的服務(wù)器的操作系統(tǒng)。Unix和windows nt/2000server/2003

serve/2005serve操作系統(tǒng)主要用于服務(wù)器上，但它們也存在著安全漏洞，都存在著超級用戶，如果入侵者得到了超級用戶口令，那么整個系統(tǒng)將完全受制于人，這樣系統(tǒng)就面臨巨大的危險。

2.2 內(nèi)部網(wǎng)用戶的安全威脅

來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，這些用戶缺乏安全意識，無意識的操作失誤，使系統(tǒng)或網(wǎng)絡(luò)誤操作而崩潰，或安全意識不強(qiáng)，將用戶帳號泄漏，或操作員對系統(tǒng)安全配置不當(dāng)造成安全漏洞等都會對網(wǎng)絡(luò)安全帶來威脅和隱患，給他人帶來可乘之機(jī)，對網(wǎng)絡(luò)系統(tǒng)造成危害。

2.3 網(wǎng)絡(luò)外部的安全威脅

除了受到網(wǎng)絡(luò)內(nèi)部的安全威脅，網(wǎng)絡(luò)還受到外界的各種各樣的威脅：

2.3.1 物理威脅：有偷竊、垃圾搜尋和間諜活動。偷竊辦公室電腦是偷竊者的主要目標(biāo)，計算機(jī)中存儲的數(shù)據(jù)信息的價值遠(yuǎn)遠(yuǎn)超過設(shè)備的價值，因此，必須做好嚴(yán)格的防盜措施保證計算機(jī)不被偷。有時辦公垃圾也會泄露商業(yè)機(jī)密。

2.3.2 網(wǎng)絡(luò)威脅：如局域網(wǎng)的電子竊聽，如假冒網(wǎng)站電子欺騙，網(wǎng)絡(luò)設(shè)備的因素也可以構(gòu)成網(wǎng)絡(luò)的安全威脅，如通過電話線入侵網(wǎng)絡(luò)用戶等。

2.3.3 身份鑒別：是指計算機(jī)判斷用戶是否使用它的一種過程，它普遍存在于計算機(jī)系統(tǒng)中，實現(xiàn)的方式各種各樣，有的功能十分強(qiáng)大，有的比較脆弱。其中，口令就是一種比較脆弱的身份鑒別手段，功能不是很強(qiáng)，但實現(xiàn)起來比較簡單，所以被廣泛采用。身份鑒別造成的威脅有口令圈套、口令破解和算法缺陷等?？诹钊μ资蔷W(wǎng)絡(luò)安全的一種詭計，與冒名頂替有關(guān)，靠欺騙來獲取口令。比如登錄欺騙，它通過編寫一個代碼模塊，運行起來和登錄屏幕一模一樣，并把它插入到登錄過程之前，這樣用戶就會把用戶名和登錄口令告知程序，這個程序就會把用戶名和口令保存起來，然后告訴用戶登錄失敗，并啟動真正的登錄程序，這樣用戶就不容易發(fā)現(xiàn)這個欺騙?？诹钇平馐怯妹艽a字典或其他工具軟件來暴力破解口令。如口令用生日、電話號碼、名字等很容易被破解?？诹钶斎脒^程必須滿足一定條件才能正常工作，當(dāng)條件變化時，口令算法程序就可能工作不正常了，很容易被人破解，并進(jìn)入系統(tǒng)，這就是算法缺陷帶來的安全隱患。

2.3.4 編程。是指通過編制程序代碼實施對系統(tǒng)的破壞。編程威脅主要有計算機(jī)病毒和特洛伊木馬等。病毒是一種能自我復(fù)制的程序代碼，具有感染性和破壞性，使系統(tǒng)癱瘓，也能在網(wǎng)絡(luò)上不斷傳播，危害Internet的安全。特洛伊木馬程序一旦被安裝到計算機(jī)上，便可按編制者的意圖行事。能摧毀數(shù)據(jù)，創(chuàng)建新用戶和口令等。

2.3.5 系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上的缺陷或錯誤，被不法者利用，通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個電腦，竊取您電腦中的重要資料和信息，甚至破壞您的系統(tǒng)。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。產(chǎn)生漏洞的原因可以分成下面三種因素：

①人為因素：編程人員在編寫程序過程中，為了實現(xiàn)一些特殊的目的，有意在程序代碼的隱藏處保留后門。

②能力因素：受編程人員的能力、經(jīng)驗和當(dāng)時安全技術(shù)所限，在程序中難免會有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。

③硬件因素：由于硬件的原因，使編程人員無法彌補(bǔ)硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)出來，例如軟件的不兼容問題。

3 計算機(jī)網(wǎng)絡(luò)安全的防范措施

3.1 操作系統(tǒng)安全技術(shù)

首先，及時安裝“補(bǔ)丁”程序。當(dāng)系統(tǒng)后，發(fā)現(xiàn)有些程序中有漏洞，能被黑客利用而攻擊用戶，所以相應(yīng)的措施來對付這些黑客，用一些應(yīng)用程序來修復(fù)這些漏洞，稱為“補(bǔ)丁程序”，安裝這些補(bǔ)丁程序后，黑客就不會利用這些漏洞來攻擊用戶，從而杜絕同類型病毒的入侵。

其次，做好系統(tǒng)安全設(shè)置。如停掉guest帳號，限制不必要的用戶數(shù)量，創(chuàng)建兩個管理員帳號，將系統(tǒng)默認(rèn)帳號改名，創(chuàng)建一個陷阱帳號（將默認(rèn)管理員帳號的權(quán)限設(shè)置最低，什么事都干不了的那種），使用安全密碼，合理設(shè)置瀏覽器的安全屬性，徹底刪除掉缺省共享，停掉不必要的服務(wù)等。

3.2 防火墻應(yīng)用技術(shù)。防火墻是目前最為流行、使用最廣泛的一種安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。它將內(nèi)部網(wǎng)和外部網(wǎng)分開，限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)之間進(jìn)行信息存取、傳輸?shù)炔僮?。它一方面對?jīng)過他的網(wǎng)絡(luò)通信進(jìn)行掃描，過濾掉一些可能攻擊內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。另一方面可以關(guān)閉不使用的端口，禁止特定端口監(jiān)聽通信，封鎖特洛伊木馬。可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

3.3 網(wǎng)絡(luò)病毒的防范。與傳統(tǒng)類型的病毒相比，網(wǎng)絡(luò)類型病毒有其特殊性，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒可以按指數(shù)增長模式進(jìn)行傳播。病毒侵入計算機(jī)網(wǎng)絡(luò)，可以導(dǎo)致計算機(jī)效率急劇下降、系統(tǒng)資源遭到嚴(yán)重破壞，短時間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)癱瘓。因此網(wǎng)絡(luò)環(huán)境下的病毒防治已經(jīng)成為計算機(jī)防毒領(lǐng)域的研究重點。我們除了安裝全方位的網(wǎng)絡(luò)反病毒軟件，養(yǎng)成定期升級軟件和掃描文件系統(tǒng)的好習(xí)慣外，還應(yīng)該對移動存儲設(shè)備，在使用前進(jìn)行查毒，對從網(wǎng)上下載的文件和電子郵件中的附件打開前也要殺毒，不使用或下載來源不明的軟件，不上不正規(guī)的網(wǎng)站。一旦在網(wǎng)上發(fā)現(xiàn)病毒，立即通知所有用戶下網(wǎng)，關(guān)掉文件服務(wù)，設(shè)法立即清除，確信病毒被徹底清除后，重新啟動網(wǎng)絡(luò)和工作站。

3.4 數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采取的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲，數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別，以及密鑰的管理技術(shù)。數(shù)據(jù)存儲加密技術(shù)是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的，可分為秘文存儲和存取兩種，數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對介入信息的傳送、存取，處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，達(dá)到保密的要求，系統(tǒng)通過對比驗證對輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。

3.5 網(wǎng)絡(luò)訪問控制。訪問控制室網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

3.6 數(shù)據(jù)庫的備份和恢復(fù)。數(shù)據(jù)庫的備份和恢復(fù)是數(shù)據(jù)庫管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法?；謴?fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。

3.7 防止黑客攻擊的措施。在網(wǎng)絡(luò)環(huán)境下，由于種種原因，網(wǎng)絡(luò)被入侵和攻擊是難免的，可謂是防不勝防，為了避免可能因入侵和攻擊而造成的各種損失，我們最好是防止其入侵，防患于未然，如果我們經(jīng)常注意下面這些情況，我們就可以大大降低被木馬攻擊的幾率：不要執(zhí)行任何來歷不明的軟件；不輕信他人；不要隨便下載軟件；不要隨便留下自己的個人資料；謹(jǐn)慎使用自己的郵箱；最好使用第三方郵件程序；始終顯示文件的擴(kuò)展名；運用反木馬實時監(jiān)控程序；給電子郵件加密；隱藏ip地址；不共享文件。當(dāng)我們發(fā)現(xiàn)有黑客入侵后，我們一般采取的措施是：首先要殺死這個進(jìn)程，切斷黑客與系統(tǒng)的聯(lián)系。必要時切斷網(wǎng)絡(luò)，同時注意保存現(xiàn)場，以便事后調(diào)查原因，或進(jìn)行分析。其次，使用安全工具跟蹤這個鏈接，找出黑客的來路和身份，詢問其要做什么，并發(fā)出警示，如果破壞嚴(yán)重時，可向公安部門和信息安全部門報告，通過司法手段解決問題。再次，管理員也可以使用一些工具來監(jiān)視黑客，觀察他們在做什么。還有就是修復(fù)安全漏洞并恢復(fù)系統(tǒng)，不給黑客可乘之機(jī)。

4 結(jié)束語

網(wǎng)絡(luò)安全問題是一個綜合性的問題，它涉及到技術(shù)、管理和使用等多方面的因素，因此網(wǎng)絡(luò)安全問題的解決方案也應(yīng)該綜合多方面來考慮實施，不但有物理方面的措施，還要有邏輯技術(shù)方面的措施，當(dāng)然還有系統(tǒng)本身的安全問題。只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用，才能保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)，這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)：

[1]高永強(qiáng)等.網(wǎng)絡(luò)安全應(yīng)用技術(shù)大典.北京：人民郵電出版社，2007.

[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2006.

篇(5)

【 關(guān)鍵詞 】 軟件保護(hù)；二進(jìn)制程序的安全加固；PE文件

【 Abstract 】 As the development of software reinforcement technology， how to minimize the cost in exchange of the most secure protection gradually becomes a hot topic in binary security reinforcement researches. In this paper， we analyze various security reinforcement technologies and propose a novel binaries’ security reinforcement system， which could increase the difficulty of static analysis attack and effectively impede dynamic analysis attack. Experiment results show that the reinforcement system performs satisfactory in versatility， stability and effectiveness.

【 Keywords 】 software protection；binaries’ security reinforcement；pe file

1 引言

近年來，隨著反匯編、反編譯和逆向分析等技術(shù)的發(fā)展，針對軟件的破解、篡改和盜版等現(xiàn)象也層出不窮。為了保障軟件的安全，對二進(jìn)制程序安全加固技術(shù)的研究已經(jīng)成為軟件安全領(lǐng)域的一個重要分支。

在實際應(yīng)用中，軟件廠商們往往會采用多種加固技術(shù)進(jìn)行軟件保護(hù)，如PE文件壓縮技術(shù)、PE文件代碼段加密技術(shù)、PE文件代碼段反匯編后的代碼混淆技術(shù)以及Shellcode多態(tài)變形技術(shù)等。這些技術(shù)具有較高的通用性，但由此產(chǎn)生的代價也不容忽視，如何以最小的開銷換來最安全的保護(hù)，成為二進(jìn)制程序安全加固技術(shù)的研究重點。

本文通過分析各種安全加固技術(shù)，提出一種新的二進(jìn)制程序安全加固系統(tǒng)，能夠把任意PE文件轉(zhuǎn)換為Shellcode，并代替Windows系統(tǒng)對PE文件進(jìn)行加載，同時保證不增大PE文件的體積。最后通過實驗證明，經(jīng)本系統(tǒng)加固后的二進(jìn)制程序體積沒有大的變化，并且加固后惡意代碼能夠逃過主流殺毒軟件的查殺，以此證明加固后的二進(jìn)制程序不但能加大靜態(tài)分析的難度，還能有效地阻礙對程序的動態(tài)分析。

2 常見的軟件安全加固技術(shù)

軟件安全加固技術(shù)是隨著軟件逆向分析技術(shù)的發(fā)展而發(fā)展的。根據(jù)軟件攻擊者的攻擊目的和方法不同，軟件加固技術(shù)也有不同的側(cè)重點和目標(biāo)。需要指出的是，我們不能將所有的加固技術(shù)全都一起應(yīng)用于軟件保護(hù)中，這是因為使用不同的安全加固技術(shù)一般都會帶來額外的開銷。簡要分析常見的六種加固技術(shù)。

（1）加殼與脫殼：加殼的目的是加密或壓縮EXE文件的代碼段，在程序運行時，先由解密或者解壓程序?qū)Υa段進(jìn)行處理，然后程序正常運行。這些加密或壓縮功能的機(jī)制稱為加殼，對應(yīng)的解密和解壓機(jī)制稱為脫殼。加殼后的代碼段能夠有效防止反匯編，但攻擊者可以通過對脫殼程序的逆向分析，從而破解軟件的殼。

（2）多態(tài)變形技術(shù)：多態(tài)變形是由多態(tài)和變形兩種技術(shù)的結(jié)合，主要是對解密代碼進(jìn)行變形，使每次生成的解密程序呈現(xiàn)不同狀態(tài)特征，同時也能對源程序進(jìn)行簡單的變換。顯然，多態(tài)變形也是加密技術(shù)的一種，按照殼的定義，多態(tài)變形技術(shù)應(yīng)屬于殼的范疇。這種加密技術(shù)使得經(jīng)過變形的解密程序都具有不同特征，所以是一種特殊的殼。常用的多態(tài)變形引擎有BPE32 Clet、ADMmuate、Jempiscodes、Tapion等。

（3）代碼混淆技術(shù)：指在保持源程序語義不變的情況下，通過對源程序中的數(shù)據(jù)、布局和控制流程等進(jìn)行變換，使得變換后的程序在功能上與源程序相同或相近。代碼混淆對代碼的變形除了上述多態(tài)變形技術(shù)所采用的變形方法外，還對程序的控制流程進(jìn)行了變換，讓程序變得的更加難懂，進(jìn)而加大逆向分析的難度。

（4）防篡改技術(shù)：通過軟件或硬件措施防止程序被非法修改的軟件保護(hù)技術(shù)的統(tǒng)稱，屬于軟件保護(hù)領(lǐng)域中的主動防御范疇。防篡改技術(shù)有兩項任務(wù)：一是檢測軟件采用的安全加固技術(shù)是否被破解，軟件本身是否被修改，通常采用計算校驗的方法以及檢驗一些變量值是否改變來確認(rèn)程序是否被正常執(zhí)行；二是當(dāng)發(fā)現(xiàn)程序被篡改或者被調(diào)試時制定應(yīng)對措施。

（5）虛擬機(jī)保護(hù)技術(shù)：指將代碼翻譯為機(jī)器和人都無法識別的一串偽代碼字節(jié)流，即本地代碼虛擬化，在具體執(zhí)行時再對這些偽代碼進(jìn)行翻譯，逐步還原為原始代碼并執(zhí)行的技術(shù)。虛擬機(jī)用作軟件保護(hù)的時候，把軟件的底層指令（例如匯編指令）翻譯成另外一種虛擬機(jī)指令，軟件執(zhí)行的時候部分運算在虛擬機(jī)中執(zhí)行。由于虛擬機(jī)的復(fù)雜度可以很高，指令集可以自定義也可以利用或參考現(xiàn)有的各種成熟指令集，逆向工程需要先看懂虛擬機(jī)的大體結(jié)構(gòu)以及虛擬指令集，才有可能弄明白被虛擬化后代碼行為。在復(fù)雜的虛擬機(jī)和軟件之間緊耦合的情況下，逆向工程會變得非常困難。

（6）軟件水?。很浖。⊿oftware WaterMarking）是數(shù)字水印技術(shù)在軟件保護(hù)領(lǐng)域的應(yīng)用和發(fā)展，是數(shù)字水印技術(shù)的分支。軟件水印可分為靜態(tài)水印和動態(tài)水印。靜態(tài)水印被嵌入在程序代碼或者數(shù)據(jù)當(dāng)中，一般放在安裝模塊部分或者指令代碼和調(diào)試信息的符號中。動態(tài)水印技術(shù)把水印存放在程序執(zhí)行狀態(tài)中，可用于證明程序是否經(jīng)過了混淆變形處理。

3 基于二進(jìn)制程序的加固系統(tǒng)方案

3.1 加固原理

PE 文件是Microsoft Portable Executable File Format的簡稱，即可移植可執(zhí)行文件格式，是Windows系統(tǒng)下最常用的文件組織形式。Windows下的可執(zhí)行文件EXE以及動態(tài)鏈接庫文件dll都屬于PE文件。PE文件經(jīng)過Windows系統(tǒng)的正常加載，通過反匯編代碼很容易逆向分析出PE文件的行為。若仿照Windows的加載程序，將源文件轉(zhuǎn)化成機(jī)器碼直接在內(nèi)存中執(zhí)行，可以增大逆向分析的難度。為了保證加固后源文件的體積不發(fā)生較大變化，必須對源文件進(jìn)行壓縮；壓縮后的PE文件在加載時，首先進(jìn)行解壓；將壓縮后的PE文件和PE文件的加載函數(shù)進(jìn)行封裝成Shellcode，再對Shellcode進(jìn)行多態(tài)變形，保證每次生成的解密函數(shù)具有不同特征，最后生成新的PE文件。

3.2 框架構(gòu)成

根據(jù)二進(jìn)制程序加固系統(tǒng)的工作原理，我們將系統(tǒng)的總體結(jié)構(gòu)劃分為兩部分，系統(tǒng)組成結(jié)構(gòu)如圖1所示。第一部分執(zhí)行PE文件的加載功能，即PE文件執(zhí)行模塊，主要負(fù)責(zé)解壓PE文件和動態(tài)加載PE文件等工作，是新的PE文件的主要組成部分。第二部分執(zhí)行PE文件的壓縮、多態(tài)變形和組裝功能，并生成新的PE文件，進(jìn)而實現(xiàn)PE文件的加固。主要包含壓縮模塊、Shellcode組裝模塊、Shellcode多態(tài)變形模塊以及PE文件生成模塊。壓縮模塊的對PE文件進(jìn)行壓縮；Shellcode組裝模塊將經(jīng)過壓縮的PE文件、PE文件執(zhí)行模塊、以及標(biāo)識符等字符串進(jìn)行組裝，形成Shellcode；多態(tài)變形模塊對Shellcode進(jìn)行變形加密，并將解密代碼整合到Shellcode中，設(shè)置入口點；最后，PE文件生成模塊根據(jù)變形后Shellcode生成新的PE文件。

第一部分在加固后的PE文件運行時執(zhí)行，不依賴于第二部分。第二部分將第一部分作為數(shù)據(jù)進(jìn)行封裝，對PE文件進(jìn)行加固。 本系統(tǒng)由壓縮模塊、多態(tài)變形模塊、Shellcode組裝模塊、PE文件生成模塊、和PE文件執(zhí)行模塊組成。目的是對源PE文件進(jìn)行壓縮變形，并構(gòu)造成新的PE文件，流程分級步驟：（1）壓縮模塊負(fù)責(zé)對原始PE文件進(jìn)行壓縮，目的是減小原始PE文件的體積，同時也起到一定的混淆作用；壓縮后的源PE文件和PE文件執(zhí)行模塊（如API初始化模塊、解壓縮模塊等）通過Shellcode組裝模塊，成可直接在內(nèi)存中執(zhí)行的Shellcode代碼；（2）多態(tài)變形模塊主要對生成的Shellcode進(jìn)行多態(tài)變形，本系統(tǒng)的多態(tài)變形模塊主要采用了Tapion多態(tài)變形引擎；（3）PE文件生成模塊主要功能是把變形后的Shellcode和解密代碼進(jìn)行封裝，生成新的PE文件。

3.3 模塊功能

系統(tǒng)一共包含五個模塊，PE文件壓縮模塊、Shellcode組裝模塊、多態(tài)變形模塊、PE文件生成模塊和PE文件執(zhí)行模塊。系統(tǒng)各模塊的數(shù)據(jù)流圖如圖3所示。

（1）PE文件壓縮模塊：采用了微軟的FCI/FDI庫對EXE文件進(jìn)行壓縮。FCI（File Compression Interface）和FDI（File Decompression Interface）是由微軟提供的用于對文件進(jìn)行壓縮和解壓縮的通用庫和接口，其在Windows 7、WinNT、Win2000、WinXP等各Windows版本的操作系統(tǒng)下都提供了接口，具有通用性，性能上可以滿足我們對文件壓縮的要求。

（2）Shellcode組裝模塊：將經(jīng)過壓縮的源PE文件（.cab文件）、PE文件執(zhí)行模塊代碼、以及各標(biāo)識符（主要用于PE加載時的函數(shù)定位）等字符串按照一定的規(guī)則進(jìn)行組裝，形成Shellcode。

（3）多態(tài)變形模塊：采用tapion作為多態(tài)變形引擎，對Shellcode進(jìn)行多態(tài)變形。經(jīng)過多態(tài)變形引擎的變形，能讓每次生成的解密程序都具有不同的特征。首先，對原始Shellcode進(jìn)行加密，加密采用多態(tài)異或的方法，即每次生成不同的隨機(jī)數(shù)對Shellcode主體部分進(jìn)行異或。其次，對解密代碼進(jìn)行多態(tài)變形保護(hù)，讓每次生成的解密代碼具有不同的特征；最后，是把這解密代碼和加密后的shellcode進(jìn)行整合，設(shè)置入口點，生成新的Shellcode。

（4）PE文件生成模塊：系統(tǒng)目標(biāo)是對PE文件進(jìn)行安全加固，所以最終還要把變形后的Shellcode，重新生成PE文件。采用編譯器進(jìn)行組裝，將Shellcode寫入C或C++源文件中字符串變量中，然后采用獨立的編譯器對此C或C++源文件進(jìn)行編譯鏈接，最后生成新的PE文件。

（5）PE文件執(zhí)行模塊：能夠在內(nèi)存中直接執(zhí)行，主要負(fù)責(zé)PE文件的解壓縮和動態(tài)加載。其包含三個子模塊，API初始化模塊、PE文件解壓模塊和PE文件加載模塊。

API初始化模塊：為了編寫具有通用性的Shellcode，Shellcode在其進(jìn)程空間中調(diào)用某些API函數(shù)， 所以需要動態(tài)定位這些Windows系統(tǒng)自帶的API函數(shù)。API函數(shù)存放在一些動態(tài)鏈接庫中，而定位API函數(shù)主要用到GetProcAddress和LoadLibraryA這兩個函數(shù)。其中，LoadLibrary函數(shù)用于動態(tài)裝載dll文件，GetProcAddress函數(shù)用于從被裝載的dll文件中獲取API函數(shù)的地址。GetProcAddress和LoadLibraryA這兩個函數(shù)的地址都存放在kernel32.dll模塊的導(dǎo)出表中。所以在查找這兩個函數(shù)的地址之前，必須先定位kernel32.dll的地址。定位kernel32.dll，進(jìn)而獲取GetProcAddress和LoadLibraryA地址。

PE文件解壓模塊：EXE殼運行之后，先對被壓縮的PE文件進(jìn)行解壓，解壓程序必須先于PE文件的動態(tài)加載模塊獲得控制權(quán)，待解壓完成后將控制權(quán)交回PE文件加載模塊，由模塊內(nèi)的加載程序?qū)鈮汉蟮脑碢E文件進(jìn)行加載。采用Windows提供的FDI接口對EXE文件進(jìn)行解壓。

PE文件加載模塊：源PE文件被壓縮后，作為一部分存放在Shellcode中，Shellcode經(jīng)過多態(tài)變形之后，被存放到新的PE文件里，即新的PE文件的代碼段中嵌套著源PE文件。為了加載代碼段中的源PE文件，需要在Shellcode中添加PE文件加載模塊，代替操作系統(tǒng)動態(tài)加載源PE文件。

4 性能分析

本安全加固系統(tǒng)應(yīng)具備幾種功能：（1）能對二進(jìn)制可執(zhí)行程序進(jìn)行安全加固，要求經(jīng)過安全加固后的二進(jìn)制可執(zhí)行程序能夠在各操作系統(tǒng)下正常運行，體積沒有大的變化，且能加大逆向分析的難度；（2）能實現(xiàn)對以二進(jìn)制可執(zhí)行程序進(jìn)行壓縮和解壓，經(jīng)過壓縮和解壓之后程序能正常運行；（3）PE文件加載模塊能夠?qū)崿F(xiàn)對PE文件進(jìn)行動態(tài)加載，且此PE文件加載模塊能在不同的宿主程序中對宿主程序進(jìn)行加載，應(yīng)該有較好的通用性；（4）采用的多態(tài)變形模塊能夠?qū)hellcode進(jìn)行多態(tài)變形，使重新生成的PE文件具備多種不同的形態(tài)。

4.1 測試過程

為了驗證本安全加固系統(tǒng)的性能，實驗環(huán)境如表1所示。

系統(tǒng)操作步驟：（1）選擇需要具有代表性的軟件（包括常用軟件和惡意軟件），記錄下軟件的體積大?。唬?）用本安全加固系統(tǒng)對各軟件進(jìn)行變形，記錄下變形后的體積大小，并檢查這些變形后的軟件的能否正常運行。

選擇變形配置，其中g(shù)arbage_size表示垃圾指令系數(shù)，取值范圍為0～5或者R。0～5表示插入的垃圾指令的規(guī)模，0表示無垃圾指令插入，R表示垃圾指令系數(shù)隨機(jī)產(chǎn)生。do_jumps選項表示插入垃圾指令時是否夾帶指令跳轉(zhuǎn)；選擇需要安全加固的PE文件和需要生成的新的PE文件名；點擊開始按鈕，變形完成后會彈出提示消息框，在當(dāng)前目錄即可看到最終生成的Shellcode文件和.c文件；調(diào)用vs2010自帶的編譯器對.c文件進(jìn)行編譯，最終生成新的PE文件。

（3）用系統(tǒng)中安裝的殺毒軟件對變形后的惡意軟件進(jìn)行主動檢測查殺，記錄檢測結(jié)果。

4.2 測試結(jié)果

對本安全加固系統(tǒng)的測試主要分為兩項，第一項主要針對系統(tǒng)性能上的驗證，主要包括加固前后程序體積變化對比，以及加固后的程序在各操作系統(tǒng)下是否能正常運行。測試結(jié)果如表2所示。

通常情況下，殺毒軟件采用靜態(tài)和動態(tài)分析結(jié)合的方法對惡意軟件進(jìn)行分析，為了驗證此加固系統(tǒng)的有效性，將一些容易被殺毒軟件查殺的惡意代碼進(jìn)行加固，若加固后殺毒軟件不再提示為惡意軟件，即殺毒軟件無法分析出惡意軟件的行為，則說明加固是有效的。測試結(jié)果如表3所示。

表2說明，經(jīng)過本系統(tǒng)加固后的二進(jìn)制程序，在各操作系統(tǒng)下軟件都能正常運行，且其體積沒有較大變化，說明此安全加固系統(tǒng)有較好的通用性和穩(wěn)定性。表3說明，加固后惡意代碼可以逃過主流殺毒軟件的查殺，加固后的二進(jìn)制程序不但能加大靜態(tài)分析的難度，還能有效地阻礙對程序的動態(tài)分析，說明本系統(tǒng)能有效的對軟件進(jìn)行安全加固。

5 結(jié)束語

針對現(xiàn)有安全加固技術(shù)存在的不足，本文設(shè)計并實現(xiàn)了一種新的二進(jìn)制程序的安全加固系統(tǒng)。隨后選取目前流行的操作系統(tǒng)和殺毒軟件，對本系統(tǒng)的通用性、穩(wěn)定性和有效性進(jìn)行驗證。結(jié)果表明，本系統(tǒng)能有效地隱藏二進(jìn)制程序靜態(tài)特征，阻礙對程序的動態(tài)分析，以及加固前后體積沒有較大變化。所以，本系統(tǒng)所采用的技術(shù)、設(shè)計思路和實現(xiàn)方法為后續(xù)二進(jìn)制程序安全加固技術(shù)提供了理論基礎(chǔ)。隨著技術(shù)的發(fā)展，一些更智能的主動防御系統(tǒng)對程序進(jìn)行動態(tài)分析時，仍有可能判斷出解密后程序的入口點，進(jìn)而分析程序行為。所以，在后續(xù)工作中，需要進(jìn)一步研究解密程序的變形技術(shù)和對抗調(diào)試器的技術(shù)。

參考文獻(xiàn)

[1] 田碩，梁洪亮.二進(jìn)制程序安全缺陷靜態(tài)分析方法的研究綜述[J].計算機(jī)科學(xué)，2009（7）.

[2] 黃暉，陸余良，夏陽.基于動態(tài)符號執(zhí)行的二進(jìn)制程序缺陷發(fā)現(xiàn)系統(tǒng)[J].計算機(jī)應(yīng)用研究， 2013（9）.

[3] 吳慶波， 顏躍進(jìn)， 張亞軍， 吳泉源.一種基于虛擬機(jī)的驅(qū)動程序加固技術(shù)[J].計算機(jī)工程與科學(xué)， 2010（11）.

[4] 楊明，黃劉生.一種采用嵌套虛擬機(jī)的軟件保護(hù)方案[J].小型微型計算機(jī)系統(tǒng)，2011（2）.

作者簡介：

韓煜（1982-），男，遼寧海城人，北京郵電大學(xué)，碩士，公安部第一研究所，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全技術(shù)。

張濟(jì)國（1980-），男，北京人，英國貝爾法斯特女王大學(xué)，碩士，公安部第一研究所，工程師；主要研究方向和關(guān)注領(lǐng)域：通信技術(shù)。

篇(6)

“2009年，我上任后第一次訪問深圳工廠，當(dāng)時工廠還只能生產(chǎn)小功率UPS?！币令D電氣集團(tuán)亞太區(qū)高級副總裁、電能質(zhì)量業(yè)務(wù)總經(jīng)理羅世光回憶說，“但是現(xiàn)在，10kW~1000kW的UPS都已經(jīng)可以在中國本地進(jìn)行生產(chǎn)。”

中國和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場。羅世光相信，中國數(shù)據(jù)中心市場的快速增長將給伊頓的電能質(zhì)量業(yè)務(wù)帶來更大的增長機(jī)會。因此，在2014年，伊頓將加強(qiáng)與商的合作，拓展分銷渠道，進(jìn)一步推進(jìn)與本土市場的全面融合，同時加大對本土產(chǎn)品研發(fā)和檢測的能力，提供更多符合中國客戶需求的高效節(jié)能的電能質(zhì)量解決方案。

深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進(jìn)的自動化生產(chǎn)線，年產(chǎn)UPS達(dá)到800萬臺。伊頓在深圳設(shè)立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一，產(chǎn)品研發(fā)和測試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測中心，是除美國、芬蘭之外，伊頓在全球擁有的第三個產(chǎn)品和系統(tǒng)檢測中心。“該檢測中心同時也是客戶體驗中心，配備了全球領(lǐng)先的檢測設(shè)備和技術(shù)，不僅能夠檢測單體設(shè)備，還能對包括UPS、電源分配單元（PDU）、AMS監(jiān)測系統(tǒng)和第三方設(shè)備的整個電能系統(tǒng)解決方案進(jìn)行測試，其最大測試能力是可對兩臺并聯(lián)的1100kW的UPS進(jìn)行測試?！绷_世光介紹說，“客戶在選擇一款定制的電能解決方案后，即可在檢測中心看到其運行的全過程，通過親身體驗增進(jìn)對產(chǎn)品的了解和信心?！?/p>

“過去3~4年中，我們在中國市場的總投入已經(jīng)超過1200萬美元。我們?nèi)栽诔掷m(xù)加強(qiáng)中國本地化，并從去年底開始進(jìn)一步提升了針對中國用戶的售前和售后服務(wù)能力?！绷_世光告訴記者，“目前，我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近，深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國企業(yè)采取的遠(yuǎn)程遙控式的本地研發(fā)策略相比，我們是實實在在地將研發(fā)部門落戶在深圳，為亞太和中國市場提供本地化服務(wù)的同時也面向全球客戶。”

云計算與大數(shù)據(jù)的發(fā)展推動了大型數(shù)據(jù)中心的快速發(fā)展，用戶對數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增?！皬?010年開始，伊頓增加了為中國客戶定制數(shù)據(jù)中心解決方案的服務(wù)。在今年的商大會上，我看到了商和用戶的積極反饋?！绷_世光表示。

針對小型數(shù)據(jù)中心，伊頓可以提供模塊化、標(biāo)準(zhǔn)化的解決方案；針對中型數(shù)據(jù)中心，伊頓可以針對不同行業(yè)客戶的需求，提供有差異化的解決方案；針對大型數(shù)據(jù)中心，伊頓可以提供按需擴(kuò)展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案，這不僅對伊頓是一個新的挑戰(zhàn)，對其商來說也要經(jīng)歷一個大的轉(zhuǎn)變。

為了迅速提升商銷售解決方案的能力，伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案，另一方面加強(qiáng)對商的銷售培訓(xùn)，實現(xiàn)信息共享。羅世光表示：“我們提供的定制化解決方案一方面要滿足用戶的個性化需求，另一方面還要保持開放性。我們將為用戶提供解決方案與服務(wù)打包的一體化解決方案?！?/p>

第三屆全國等級保護(hù)技術(shù)大會征文通知

為深入貫徹落實國家關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的文件精神，進(jìn)一步推進(jìn)信息安全等級保護(hù)技術(shù)交流，經(jīng)公安主管部門同意，公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護(hù)技術(shù)大會（ICSP’2014）。

會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學(xué)院、國家網(wǎng)絡(luò)與信息安全信息通報中心等部門擔(dān)任指導(dǎo)單位，同時將出版論文集，經(jīng)專家評選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表?，F(xiàn)就會議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級保護(hù)支撐技術(shù)，等級保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點，信息安全管理標(biāo)準(zhǔn)發(fā)展對策，網(wǎng)絡(luò)恐怖的特點、趨勢、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測技術(shù)，態(tài)勢感知預(yù)警技術(shù)，安全監(jiān)測技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險評估技術(shù)；

5. 信息安全等級保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計算技術(shù)，網(wǎng)絡(luò)實名制等體系模型與構(gòu)建技術(shù)，漏洞檢測技術(shù)，網(wǎng)絡(luò)監(jiān)測與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢評估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績效評估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級保護(hù)測評技術(shù)：標(biāo)準(zhǔn)符合性檢驗技術(shù)，安全基準(zhǔn)驗證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測試技術(shù)，測評工具和測評方法；

8. 信息安全等級保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評價機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測預(yù)警機(jī)制。

二、投稿要求

1. 來稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭議，論文摘要及全文不涉及保密內(nèi)容；

2. 會議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

篇(7)

【論文關(guān)鍵詞】 信息系統(tǒng)　內(nèi)部控制　方法

【論文摘要】 會計電算化是運用計算機(jī)進(jìn)行會計數(shù)據(jù)處理，以計算機(jī)及數(shù)據(jù)傳輸和通訊設(shè)備作為數(shù)據(jù)處理系統(tǒng)的核心，完成從原始數(shù)據(jù)的搜集、記錄、分類、登記、計算、匯總、報告等一系列會計工作。會計從手工處理到電算化處理，不僅是會計數(shù)據(jù)處理方法的變化，更是影響了企業(yè)傳統(tǒng)的內(nèi)部控制制度，使企業(yè)在內(nèi)部控制上發(fā)生了根本性的變化。

一、會計信息系統(tǒng)內(nèi)部控制

為了保護(hù)國家和企業(yè)的資金安全，確保會計信息及其他相關(guān)數(shù)據(jù)的可靠，確保國家和企業(yè)的各項方針政策的貫徹與執(zhí)行，提高經(jīng)濟(jì)效益所采取的一切制度、方法措施和管理程序，都屬于會計內(nèi)部控制的范圍。任何一家企業(yè)、事業(yè)單位或其他經(jīng)濟(jì)組織，不論其規(guī)模大小、業(yè)務(wù)性質(zhì)，也不論其采取何種會計工作組織程序和信息處理方式，在其會計業(yè)務(wù)處理系統(tǒng)中，都會不同程度、不同方面地存在著一定的系統(tǒng)內(nèi)部控制問題。

二、電算化會計信息系統(tǒng)對內(nèi)部控制的影響

1、內(nèi)部控制形式的變化。手工記賬中的一些內(nèi)部控制措施在電算化后不需要存在。如編制科目匯總表、憑證匯總表，試算平衡的檢查、總賬和明細(xì)賬的核對。在電算化環(huán)境下，人是執(zhí)行控制的主體，但更多的內(nèi)部控制方法是通過會計軟件來實現(xiàn)。因此，信息系統(tǒng)的內(nèi)部控制也由人工控制轉(zhuǎn)為人工和程序去共同控制。電算化系統(tǒng)許多應(yīng)用程序中包含了內(nèi)部控制功能，這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序，如程序發(fā)生錯誤或不起作用，由于人們的依賴性以及程序運動的重復(fù)性，使得控制失效不被及時發(fā)現(xiàn)，從而使系統(tǒng)發(fā)生錯誤或違規(guī)行為的可能性大。

2、存儲介質(zhì)的改變。在手工會計環(huán)境下，企業(yè)的經(jīng)濟(jì)業(yè)務(wù)發(fā)生均記錄于紙張之上，并按會計數(shù)據(jù)處理的不同過程分為原始憑證、記賬憑證、會計賬簿和會計報表。這些紙質(zhì)原件的數(shù)據(jù)若被修改，很容易找出修改的線索和痕跡，這是傳統(tǒng)紙質(zhì)原件的一個優(yōu)點。但在電算化系統(tǒng)下，原來紙質(zhì)的會計數(shù)據(jù)會被直接記錄到磁盤或光盤上，非常容易被刪除或篡改，由于在技術(shù)上對電子數(shù)據(jù)非法修改可做到不留跡象，這就難以辨別哪一筆是業(yè)務(wù)記錄的原始數(shù)據(jù)。另外，電磁介質(zhì)容易受損壞，所以會計信息還存在丟失或毀壞的危險。

3、內(nèi)部控制的內(nèi)容變化。計算機(jī)技術(shù)的引入，給會計工作增加了新的工作內(nèi)容，同時也增加了新的控制措施，如計算機(jī)硬件及軟件分析、編程、維護(hù)人員與計算機(jī)操作人員內(nèi)部控制，以及計算機(jī)機(jī)內(nèi)及磁盤內(nèi)會計信息安全保護(hù)、計算機(jī)病毒防治、計算機(jī)操作管理、系統(tǒng)管理員和系統(tǒng)維護(hù)人員的崗位責(zé)任制度等。

4、財務(wù)網(wǎng)絡(luò)化帶來的新問題。隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)通訊技術(shù)的發(fā)展，會計信息系統(tǒng)網(wǎng)絡(luò)化漸漸普及。網(wǎng)絡(luò)的廣泛應(yīng)用在很大程度上彌補(bǔ)了單機(jī)電算化系統(tǒng)的不足，使電算化會計系統(tǒng)的內(nèi)部控制更加完善，同時也帶來了新問題。目前財務(wù)軟件的網(wǎng)絡(luò)功能主要包括遠(yuǎn)程報賬、遠(yuǎn)程報表、遠(yuǎn)程審計、網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報稅、網(wǎng)上采購、網(wǎng)上銷售、網(wǎng)上銀行等，實現(xiàn)這些功能就必須有相應(yīng)的控制，從而加大了會計系統(tǒng)安全控制的難度。

三、完善電算化會計信息系統(tǒng)環(huán)境下的內(nèi)部控制

堅持明確分工、相互獨立、互相牽制、相互制約的安全管理原則，建立并不斷完善人工與機(jī)器相結(jié)合的控制機(jī)制，使會計電算化運行的每一個過程都處于嚴(yán)密控制之中是我們完善會計電算化內(nèi)部控制的基本思路。

1、系統(tǒng)維護(hù)控制。系統(tǒng)維護(hù)包括軟件修改、代碼結(jié)構(gòu)修改和計算機(jī)硬件與通訊設(shè)備的維修等，涉及到系統(tǒng)功能的調(diào)整、擴(kuò)充和完善。對財務(wù)系統(tǒng)進(jìn)行維護(hù)必須經(jīng)過周密計劃和嚴(yán)格記錄，維護(hù)過程的每一環(huán)節(jié)都應(yīng)設(shè)置必要的控制，維護(hù)的原因和性質(zhì)必須有書面形式的報告，經(jīng)批準(zhǔn)后才能實施修改。軟件修改尤為重要，系統(tǒng)操作員不能參與軟件的修改，所有與系統(tǒng)維護(hù)有關(guān)的記錄都應(yīng)打印后存檔。操作環(huán)境包括系統(tǒng)操作過程以及系統(tǒng)的維護(hù)。操作過程控制主要通過制訂一套完整而嚴(yán)格的操作規(guī)定來實現(xiàn)。操作規(guī)程應(yīng)明確職責(zé)，操作程序和注意事項，并形成一套電算化系統(tǒng)文件。如規(guī)定交接班手續(xù)和登記運行日志，規(guī)定數(shù)據(jù)備份及機(jī)器的使用規(guī)范，規(guī)定軟盤專用以防病毒感染。

2、信息安全控制。電算化會計信息系統(tǒng)的安全控制，是指采用各種方法保護(hù)數(shù)據(jù)和計算機(jī)程序，以防止數(shù)據(jù)泄密、被更改或破壞，主要包括實體安全控制、數(shù)據(jù)安全控制、網(wǎng)絡(luò)安全控制等。

（1）實體安全控制。實行電算化以后，設(shè)立計算機(jī)房的主要目的是給計算機(jī)設(shè)備創(chuàng)造一個良好的運行環(huán)境，保護(hù)機(jī)器設(shè)備；防止各種非法人員進(jìn)入機(jī)房，保護(hù)機(jī)內(nèi)程序和數(shù)據(jù)的安全。具體措施包括：對進(jìn)入機(jī)房內(nèi)的人員進(jìn)行嚴(yán)格審查；保證機(jī)房設(shè)備安全的措施，如機(jī)房防火規(guī)定等；保證計算機(jī)正常運行措施，如機(jī)房防潮、防磁及恒溫等方面的規(guī)定等；會計數(shù)據(jù)和會計軟件安全保密的措施，如數(shù)據(jù)備份規(guī)定及不準(zhǔn)在計算機(jī)上玩電腦游戲等規(guī)定；修改會計核算軟件的審批和監(jiān)督制度。

（2）數(shù)據(jù)安全控制。計算機(jī)會計系統(tǒng)有關(guān)的資料應(yīng)及時存檔，企業(yè)應(yīng)建立起完善的檔案制度，加強(qiáng)檔案管理。一個合理完善的檔案管理制度一般有合格的檔案管理人員、完善的資料借用和歸還手續(xù)、完善的標(biāo)簽和索引方法、安全可靠的檔案保管設(shè)備等。除此之外，還應(yīng)定期對所有檔案進(jìn)行備份并保管好這些備份。為防止檔案被破壞，企業(yè)應(yīng)制訂出檔案被破壞的事件發(fā)生時的應(yīng)急措施和恢復(fù)手段，企業(yè)使用的會計軟件也應(yīng)具有強(qiáng)制備份的功能和一旦系統(tǒng)崩潰及時恢復(fù)到最近狀態(tài)的功能。

（3）網(wǎng)絡(luò)安全控制。公司應(yīng)對網(wǎng)絡(luò)安全進(jìn)行控制，設(shè)置網(wǎng)絡(luò)安全性指標(biāo)，包括數(shù)據(jù)保密、訪問控制、身份識別等。一是用戶權(quán)限設(shè)置，應(yīng)從業(yè)務(wù)范圍出發(fā)，將整個網(wǎng)絡(luò)系統(tǒng)分級管理，設(shè)置系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員和專職會計員等崗位，層層負(fù)責(zé)，對各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格限制，把各項業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管把等職能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他用戶的訪問。二是密碼設(shè)置，用戶應(yīng)按照自己的用戶身份和密碼進(jìn)入系統(tǒng)，對密碼進(jìn)行分組管理，對存儲在網(wǎng)絡(luò)上的重要數(shù)據(jù)進(jìn)行有效加密，在網(wǎng)絡(luò)中傳播數(shù)據(jù)前對相關(guān)數(shù)據(jù)進(jìn)行加密，接收到數(shù)據(jù)后再進(jìn)行相應(yīng)的解密處理，并定期更新加密密碼。另因網(wǎng)絡(luò)病毒日益猖獗，防范病毒也是安全控制的重點。對不需要本地硬盤和軟盤的工作站，盡量采用無盤工作。

3、電算化會計信息系統(tǒng)的人員職能控制。人員控制是電算化系統(tǒng)管理的根本，會計電算化人才的缺乏是制約我國會計信息化工作發(fā)展的關(guān)鍵環(huán)節(jié)。為此，首先要通過各種培訓(xùn)提高會計人員的計算機(jī)業(yè)務(wù)水平和職業(yè)道德水準(zhǔn)、增強(qiáng)遵守各項法規(guī)的自覺性，實行考核合格才準(zhǔn)上崗的制度。其次要通過各類院校培養(yǎng)既懂會計又掌握一定計算機(jī)知識及技能的專業(yè)人才充實到會計隊伍中。再次，會計人員不僅要具備財會知識和計算機(jī)知識，同時還要掌握一定的管理知識。最后，業(yè)務(wù)主管應(yīng)當(dāng)熟悉整個會計電算化處理業(yè)務(wù)，以便對系統(tǒng)會計工作流程進(jìn)行監(jiān)控和指導(dǎo)。

4、信息系統(tǒng)的內(nèi)部審計。內(nèi)部審計是單位或企業(yè)內(nèi)部控制系統(tǒng)的重要組成部分，也是強(qiáng)化內(nèi)部會計監(jiān)督的制度安排。電算化會計信息系統(tǒng)的運作往往是“人機(jī)”對話的特殊形態(tài)，對網(wǎng)絡(luò)環(huán)境下的會計信息審核必須運用更復(fù)雜的查核技術(shù)，只有精通計算機(jī)網(wǎng)絡(luò)知識、熟悉審計財務(wù)程序的人員才能勝任此項工作，這給內(nèi)部審計加大了難度。內(nèi)部審計制度是保障內(nèi)部控制的重要手段之一，通過內(nèi)部審計可以了解現(xiàn)有的一些內(nèi)部控制措施是否能滿足為內(nèi)部會計系統(tǒng)提供準(zhǔn)確、可靠的信息，以及這些控制措施能否有效地運作以達(dá)到預(yù)期的目的。在電算化系統(tǒng)運行過程中，審計人員對會計業(yè)務(wù)處理等工作進(jìn)行評價和檢驗，有利于檢測財務(wù)軟件的可靠性，發(fā)現(xiàn)存在的問題、提出解決問題的建議，有利于提高會計核算質(zhì)量和管理水平。

在電算化條件下，關(guān)鍵的會計信息處理和業(yè)務(wù)核算工作已由會計電算化軟件集中代替，會計工作的執(zhí)行主體演變?yōu)槿伺c電算化軟件兩個因素，且電算化軟件是主要的執(zhí)行因素。這種變化使得會計電算化系統(tǒng)中的內(nèi)部控制實施主體也演變?yōu)槿伺c軟件兩個因素，且電算化軟件導(dǎo)致的系統(tǒng)問題風(fēng)險將成為會計系統(tǒng)中內(nèi)部控制的主要風(fēng)險。完善有效的計算機(jī)系統(tǒng)及管理制度是電算化會計信息系統(tǒng)安全之本，提高會計電算化人員素質(zhì)，規(guī)范和完善電算化會計信息系統(tǒng)操作和管理章程，重視內(nèi)部審計，增強(qiáng)數(shù)據(jù)安全意識，是當(dāng)前強(qiáng)化電算化會計信息系統(tǒng)內(nèi)部控制的關(guān)鍵問題。

參考文獻(xiàn)