安全統計分析精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全統計分析主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:安全統計分析范文
1.1按事故發生地區統計及分析據資料顯示,自2008年1月到2012年12月止,重慶市在這五年內共發生煤礦事故886起,在所統計四省市煤礦事故總起數中所占比例最大,達到47.2%;湖南省內煤礦事故死亡人數總計達1253人,在所統計的四省市煤礦事故死亡總人數中所占的比例最大,達到42.2%。這些差異與不同省份不同地域煤層性質有關。湖南、重慶兩省市煤層瓦斯含量相對豐富,煤層傾角大,開采過程中容易發生瓦斯突出甚至瓦斯爆炸,以及頂板冒落等事故。具體數據,如下圖。
1.2按事故發生類型統計及分析在所統計的南方四省市各類煤礦災害中,無論從事故起數還是從事故死亡人數來分析,頂板事故在湖南、重慶、廣西、江西四省市中都居于首位,其次是瓦斯事故。發生起數最少的是火災事故,死亡人數最少的是機電事故。根據近年來事故分析報告,南方煤礦頂板事故多發的原因主要有以下幾個:(1)礦井支護設施簡陋,支護技術落后。很多地方礦井開采工作面至今使用木支護支護為主,控頂距離不達標,支護強度不到位,極易發生冒頂片幫事故。(2)采煤方法和技術設備落后,機械化程度低。大部分鄉鎮煤礦和部分國有煤礦采用非正規采煤方法,以掘代采,工作面無兩個安全出口,安全狀況堪憂。多數煤礦采用爆破采煤法,以放炮的方式讓煤層松動,之后工作人員用鐵鍬、鎬頭手動采煤。放炮過程對巷道巖層有一定影響,處置不當可能引發冒頂事故。(3)眾多地方小煤礦技術力量薄弱,職工勞動技能和技術管理水平較差;安保人員和技術人員缺乏,很多憑借經驗管理,作業規程和有關設計均不規范,對工作現場的監管力度、對違章行為和違規操作的查處不到位,安全風險整改不力。
2南方煤礦事故防治的對策探討
2.1加快小煤礦資源整合和技術改造受我國煤礦資源賦存規律和條件限制,南方煤礦普遍規模較小,且地質構造復雜開采條件較差,很多小煤礦地質資料缺失嚴重,對煤礦安全開采造成了嚴重威脅。然而本地民用煤、工業動力用煤等都較大程度依賴于分布廣泛的地方煤礦,礦井關閉難度大。國家政策出于對南方省市經濟發展與社會穩定的考慮,較長時間內地方小煤礦仍將繼續存在,但應當通過對小煤礦進行資源整合和加強技術改造來防范煤礦事故的發生。相關部門應進一步完善現有政策法規,對生產工藝嚴重落后、隱患多、布局不合理的小煤窯予以整頓,堅決落實煤礦“四關閉、五停產”措施,杜絕事故的一再發生。同時鼓勵技術力量和財力雄厚的大、中型煤礦企業通過技術合作、投資等方式擴大與小型煤礦企業的合作,促進資源整合和礦井技術改造,加快南方地區煤炭行業穩定、全面、健康地發展。
2.2重視高頻事故,積極采取整治措施頂板事故和瓦斯事故發生頻率相對最高且后果嚴重,是南方煤礦事故防治工作中的重點。應結合具體開采方式,盡可能采用先進可靠的支護方式,對于采煤工作面、掘進工作面等頂板事故頻發的工作區域,應該杜絕使用木支護,采用單體液壓支柱或者提供針對性強的安全保護措施。為著力構建“通風可靠、抽采達標、監控有效、管理到位”的煤礦瓦斯綜合治理工作體系,煤礦企業應全力做到應抽盡抽、多措并舉、抽掘采平衡,礦井瓦斯抽采率、抽采區域煤層瓦斯壓力及含量等指標符合有關法律法規和行業規范的要求,瓦斯抽采達標評判合格,職工防突培訓、區域防突措施到位,突出礦井還應當根據礦井的實際狀況和條件,制定并落實防突管理機構體系以及區域綜合防突措施,并在局部防突措施補充的情況下安全生產,做到不掘突出頭、不采突出面,有效消除生產區域的突出危險性。
2.3規范煤礦用工制度,監管礦工安全培訓認真分析吸取諸多煤礦事故所暴露出的深刻教訓,與相關部門研究完善農民工、外來工、外包工的用工制度,加強安全培訓,提高礦工技能素質,嚴禁新招工人不培訓或雖經培訓但未掌握基本防范技能就下井。加大煤礦專業技術人才和安保人才的引進和培養,尤其是鼓勵相關院校舉辦各類技能比拼、開辦培訓班,確保培訓質量。同時,國家也應出臺相關政策,強制煤礦企業規范職工培訓制度,并保證政府相關部門監督實在,從而促進煤礦安全生產氛圍和諧,發展健全。
2.4管理者守規盡責,強化安全基礎建設通過分析近些年來全國范圍內的煤礦事故,特別是重特大事故發生的主要原因,2013年1月24日,國家安全監管總局頒布實施《煤礦礦長保護礦工生命安全七條規定》,旨在促進礦長更好地履行煤礦安全生產第一責任人的責任。礦長作為煤礦管理者,對煤礦各個生產系統和環節最為了解,應當牢牢把握安全生產主體責任的關鍵,抓住現場安全管理、排查治理隱患、預防重特大事故的關鍵。為了實現煤礦安全生產狀況根本好轉,實現長治久安、構建安全生產長效機制,煤礦管理者須認真落實《七條規定》:必須證照齊全,嚴禁無證或證照失效非法生產;必須在批準區域正規開采,嚴禁超層越界或者巷道式采煤、空頂作業;必須確保通風系統可靠,嚴禁無風、微風、循環風冒險作業;必須做到瓦斯抽采達標,防突措施到位,監控系統有效,瓦斯超限立即撤人,嚴禁違規作業;必須落實井下探放水規定,嚴禁開采防隔水煤柱;必須保證井下機電和所有提升設備完好,嚴禁非阻燃、非防爆設備違規入井;必須堅持礦領導下井帶班,確保員工培訓合格、持證上崗,嚴禁違章指揮。為更好落實《七條規定》,煤礦管理者還需做好以下幾點:(1)強化屬地管理和部門監管責任,推動《七條規定》各項工作的展開。(2)大力開展“保護礦工生命,礦長守規盡責”主題實踐活動,使安全生產責任意識深入人心。(3)及時總結典型,全面推進落實。及時發現和表彰在貫徹執行《七條規定》方面的一些優秀典型,以點帶面,發揮典型引路作用。嚴厲查處反面典型。
3結束語
第2篇:安全統計分析范文
美國安全工程師海因里希早年提出的“海因法則”以及近年來國內外發生的許多事故都說明,事故的發生都有先兆和一個量變到質變的漸進過程,事故的發生其實就源于人們對這些“先兆”的麻木。所以,為了減少和杜絕事故,就應克服麻痹思想,在施工安全監控中不放過任何違章問題,積極尋找事故風險源,把事故消滅在萌芽狀態。下面就路局在施工安全監控中發放的施工安全監察通知書所涉及的一些違章問題進行統計分析,并就此談幾點建議。
一、鐵路施工作業中的違章問題統計分析
2011年在施工安全監控過程中發放安全監察通知書1057張,涉及1312個違章問題,包含137個違章條目(見表1)。
表1施工安全監察通知書涉及的違章問題統計
上述違章問題按施工作業系統分:工務系統372個,涉及64個違章條目,占全部問題總數的28.4%;施工單位320個,涉及60個違章條目,占全部問題總數的24.4%;供電系統309個,涉及60個違章條目,占全部問題總數的23.6%;電務系統136個,涉及40個違章條目,占全部問題總數的10.4%;車務系統92個,涉及31個違章條目,占全部問題總數的7%;其他系統83個,涉及19個違章條目,占全部問題總數的6.3%。
由表1還看出:前54類違章問題共計1184個,占問題總數的90.24%。占據前三位的是防護問題,共計476個,占問題總數的36.28%。
上述違章問題按作業系統和作業方式進行統計(見表2)。
表2違章問題按作業系統和作業方式統計
由表2看出,工務系統多發生在天窗點外作業和營業線施工方面,共計312個,占工務全部問題總數的83.87%;施工單位主要發生在營業線和臨近營業線施工方面,共計243個,占施工單位全部問題總數的75.94%;供電系統問題主要發生在營業線施工和維修天窗作業方面,共計223個,占供電系統全部問題總數的72.17%;電務系統主要發生在維修天窗作業和營業線施工方面,共計93個,占供電系統全部問題總數的68.38%;車務系統主要發生在維修天窗作業和營業線施工方面,共計75個,占車務系統全部問題總數的81.52%。
前十類最常見違章問題按作業方式進行統計(見表3)。由此可按作業方式有針對性地對施工作業進行安全監控。
表3 十類最常見違章問題按作業方式統計
二、幾點建議
1、 抓基礎、抓管理,把好施工防護關口
由上述統計可見,一個傾向性和關鍵性問題是施工作業沒有
在車站進行登記和設置駐站聯絡員以及忽視施工現場的防護工作,而從安全系統工程的角度看這些防護措施實際就是為施工作業加入一個“與”條件,是預防事故的最后一道關鍵關口。從歷年來由施工造成的事故看,一個重要原因就是這最后一道防護關口沒有把好所致。這項工作也反映了施工作業部門的安全管理是否到位的問題,也是一項防范事故的基礎工作。
還應根據一個時期出現的違章問題的統計情況,科學地制定下一個階段安全檢查表和監控重點。根據來自于施工作業實踐的數據做出相應的預防措施,往往符合施工作業現場實際,具備可行性的特點。另外,還應切實執行好施工方案論證會、協調會、預備會、點名簽到會等會議制度。
管理工作不僅僅反映了一個單位領導的管理水平的高低、管理理念的正確與否,從另一個側面也反映了基層單位領導層內的團結和在職工中的“人心所向”。在施工安全監控工作中之所以重視抓基礎、抓管理工作,就是因為許多歷史的教訓告訴我們,只有把安全工作的基礎夯實,安全管理工作到位,“安全第一,預防為主”的意識才能深入人心,才能杜絕事故的發生。
2、 做好實時統計分析,搞好風險預測評估
這里所說的風險預測和評估,就是根據來自監控實踐和基層
站、段、車間班組的信息,本著實事求是的原則,定期或不定期地對全局、局內各作業系統做出符合實際的全方位的預測評估。根據評估結果采取不同的措施,起到未雨綢繆的作用。
其次,就發現的問題和發生的事故,科學地預測未來的風險概率。這就要對發現的違章問題和事故按風險等級逐一進行排序,按照發生頻次、可能的經濟損失等對一個系統、單位或部門進行安全的定性、定量評估。由此決定投入相適應的人力、物力和財力。當然,由于人、材料和機器等因素,就存在著安全的不可預見性、偶發性的特點,其事故后果往往又不能僅僅用經濟損失來衡量,往往有社會和政治影響力的考量。
3、 根據客觀要求,制定施工安全監控策略
根據來自施工安全監控實踐的第一手資料,在做出科學分析
的基礎上,應制定一個時期的安全戰略。作為安全工作的首要工作,就是要防止近期可能發生的嚴重問題,然后才能考慮未來長遠的監控策略。所謂“人無遠慮,必有近憂”也是這個道理。只有掃清安全的一切近期障礙,才能從長遠籌劃未來戰略。
然而,施工安全監控工作一定要有一個長期的謀劃,有一個切合實際的目標。從長期的目標要求來看,這是一個安全的戰略問題。而對于短期目標,更多的是運用一些技術性的戰術,或者說是“點子”,力求在短期內實現一定的安全既定目標。
長期策略和短期戰術其實是一個辯證的關系問題,僅僅有一個長期規劃,缺乏“點子”戰術,就會使人在較為棘手的問題面前束手無策。同樣,過多的追求短期效果,僅僅依靠所謂“點子”,會使人疲于應付,缺乏思考。這實際上也是一種短視行為,長此以往勢必影響長期策略,對未來安全形勢的健康發展造成負面影響。
4、 根據統計分析,做好安全培訓
首先,這里的安全培訓工作,一是對施工安全監控人員進行培訓,二是對施工作業人員的培訓,特別是對現場防護員的培訓。
上述兩個方面的培訓工作應是有區別的。根據不同的工作職能,對于監控人員的培訓更多的是側重一些較為深層次的東西,使其能深入理解和掌握安全系統工程及安全風險管理知識,學會從戰略層面和全局的角度全面地觀察和思考施工安全面臨的問題;而對于施工單位的防護員和作業人員的培訓則應把著眼點放在一些施工作業中的傾向性和關鍵性問題以及明確施工安全監控的重點和技巧等。
由上述統計看出,共有137類違章問題,如果培訓工作就先從這些違章問題著手,也不失為一種培訓方法。進一步地,如果我們緊緊抓住前54類違章問題進行深入分析并采取相應監控措施,就能掌控90%的問題。因此,有針對性地緊緊圍繞施工出現的問題展開討論,能起到很好的教育啟示作用和事半功倍的效果。
第3篇:安全統計分析范文
方法:對77例腦梗死病患做對比研究,其中47例選用丹紅注射液(Ⅰ組),另30例選擇鹽酸川芎嗪(Ⅱ組),兩組病患連續治療14d,由專業人員觀察記錄其用藥效果以及不良反應,對比兩種用藥方案的療效與使用安全性。
結果:本次治療I組中1例患者有輕微頭暈癥狀,未施加干預,不影響治療。療效:Ⅰ組總有效率85.11%(40/47),Ⅱ組63.33%(19/30),Ⅰ組的療效比Ⅱ組更高,P
結論:丹紅注射液作為中藥制劑對腦梗死的治療有顯著療效,且用藥較為安全,具有推廣價值。
關鍵詞:腦梗死丹紅注射液鹽酸川芎嗪療效安全性
【中圖分類號】R4【文獻標識碼】B【文章編號】1671-8801(2013)04-0185-01
腦梗死病癥在臨床上又被稱作缺血性腦卒中,人體內局部腦組織的血液循環在缺氧或者缺血的環境中出現運行障礙,從而導致組織軟化壞死,便是該病癥的發病機制[1]。它作為腦血管內科疾病中一類多病癥,多由于人體顱內為腦部進行血液供應的動脈血管壁出血管腔狹窄、管路閉塞等病理改變而造成,發病與致殘、致死的比例均較高,對人類健康是極大的威脅[2]。臨床醫師對腦梗死施治,主要致力于使腦組織血液系統循環恢復到正常狀態,改善神經功能缺損問題,使患者殘疾與死亡的比例下降,提高患者治療后生存的質量[3]。我院以提高腦梗死藥物治療效果為目的,對丹紅注射液、鹽酸川芎嗪兩類藥物用藥效果及安全性實施了對比研究,現報告如下:
1資料與方法
1.1一般資料。本組77例腦梗死病患,于2010年4月~2012年6月來我院治療,由醫師依據CT/MRI檢查結果以及腦梗死診斷條目(全國腦血管病會議制定,1995年,第四屆)確診,男45例,女32例,年齡為36~78歲,平均為57.1歲,發病時間在5h~7d之間,平均為2.1d。患者未有肝、腎、心、肺功能嚴重不全者,部分為首次發病及有卒中病史的患者對其神經功能評分未有影響。隨機分組,47例為Ⅰ組,30例為Ⅱ組,比較兩組患者的性別、年齡、梗死部位、發病范圍、既往病史以及治療前神經功能缺損及MRS評分、Barthre指數,差異均不顯著,P>0.05,可以進行組間比較。
1.2方法。Ⅰ組:丹紅注射液(20ml)與5%葡萄糖溶液(250ml)混合,進行靜脈滴注,每日1次,丹紅注射液由步長制藥生產。Ⅱ組:120mg鹽酸川芎嗪,靜脈滴注治療,每日1次。兩組均用藥14d,治療期間接受糖尿病、高血壓、心臟病等病癥對癥支持治療,同時使用抗血小板藥物進行常規治療,觀察兩組用藥反應,計算并統計分析其神經功能缺損(依據中國卒中量表評定)、MRS評分及Barther指數變化狀況,觀察治療前后患者凝血時間、纖維蛋白原、血小板計數、凝血原酶時間的變化。
第4篇:安全統計分析范文
關鍵字:計算機;系統安全
中圖分類號:G623文獻標識碼: A
一、引言
在如今的社會中,計算機作為人類發明的強有力的輔助工具已經滲透到各行各業中,從工作到休閑到處都有計算機的身影,在計算機組成的世界里,存在著海量的數據信息,計算機作為信息的硬件承載者,它的安全至關重要。雖然安全技術一直在發展,但是計算機系統安全問題一直不曾消失,互聯網世界中的計算機仍然存在著較高的安全風險,所以非常有必要改善計算機系統的安全狀況,在一定程度上避免計算機系統受到侵害,保證其正常運行。
二、突破計算機安全防御系統的路徑及技術
任何一個系統都不是一個完美無瑕的系統,每一個系統都存在著可以利用的漏洞,即使很少有病毒、木馬的Linux系統同樣存在著安全隱患,只是因為用戶量太少,加之能夠使用Linux的用戶計算機安全水平都比較高,所以相對受到的安全威脅較少。而windows系統因為用戶量大,門檻又低所以面對的安全威脅更多些,所以本文中涉及到的計算機系統默認為windows系列操作系統。
攻破計算機系統一般有三種途徑:
a)通過網絡攻擊突破安全防御系統。這種攻擊方法是黑客們抓所謂的“肉雞”的主要方法,雖然現在許多的計算機使用者都有了一定的計算機安全意識,會安裝一些計算機安全防護軟件,及時的安裝系統補丁,但是在網絡上仍然存在著大量的存在安全隱患的計算機,這些計算機有的是因為口令過于弱小,還有一些是因為沒有對操作系統的漏洞打補丁,還有的計算機是因為開啟了存在安全隱患的服務卻不加管理,結果被利用服務端口攻破了防御系統。
b)運行惡意代碼方式突破安全防御系統。主要是通過應用程序、電子郵件等方式運行惡意代碼來突破安全防御系統,其技術難度非常高。在目標電腦上運行惡意代碼首先需要面對的是殺毒軟件的攔截,而后為攻擊者控制電腦,發送攻擊者感興趣的數據。最開始的殺毒軟件只是基于RING3層,而后危險代碼進入RING0層,殺毒軟件也隨之跟進。危險代碼又相繼出現了SSDT HOOK、Inline HOOK等 Rookit技術和注冊表轉儲技術、 反查殺技術等等一系列技術。而殺毒軟件等基本處于被動應對狀態,新的技術出現并造成一定的損失后殺毒軟件等安全防御系統才會跟進。
c)通過硬件傳播方式。最為常見的是通過使用非常頻繁的U盤進行,許多計算機使用者都會使用系統默認的設置,而操作系統默認的有一項機制就是打開新增盤下的配置文件,并按照配置文件運行設置好的應用程序。這給了攻擊者可乘之機,在2010年就有一個利用U盤傳播的病毒在我國爆發過,造成了較大的損失。
一般情況下,攻擊者的攻擊是各種技術配合進行的,在攻擊路徑上存在著攻訐節點,在攻擊節點上對攻擊者進行狙擊是能夠有效提升系統安全性的有效思路。
三、計算機系統的有效防護方法
按照上節中對常見的系統安全問題的分析可知,保護系統安全最有效的措施就是截斷對計算機系統的進攻路徑,將進攻扼殺在途中才能更好的保護系統。下面從兩個方面探討如何有效的保護系統。
1.如何面對來自于網絡的安全威脅
針對特定計算機的網絡攻擊存在著諸多的限制條件,因此就個人計算機而言想要避免遭到網絡攻擊最好的辦法是完善操作系統。具體的措施如下:
關閉無用的服務。windows操作系統中會默認開啟許多服務,其中的許多服務會開放一些計算機端口,存在著安全隱患。
開啟訪問密碼并使用長密碼。很多計算機使用者因為每次輸入密碼覺得麻煩而關閉了訪問密碼,或者使用安全性很弱的密碼,這都會增加計算機被攻擊的可能。
安裝網絡監控系統。隨著各種人工智能的發展,出現了許多具有創造性的網絡監控系統,與傳統的簡單的防火墻不同,此類防火墻智能性更高,能夠更好的保護網絡安全,就是資源消耗較大。
及時安裝官方的補丁。每一個補丁都對應著一個系統安全隱患,所以及時安裝系統補丁可以堵住安全漏洞。
2.如何面對惡意代碼的威脅
對惡意代碼的防范有兩個方向,一個是減少運行惡意代碼的可能,另一個是在運行了惡意代碼后的系統防護。兩者的結合才能更好的提升系統的安全性,抵制住惡意代碼的侵襲。
惡意代碼的傳播方式可以分為兩種,一種是用戶知情的情況下,一種是不知情的情況下,我們主要討論用戶知情的情況。許多系統安全問題其實是可以避免的,之所以發生是因為計算機的使用者沒有足夠的安全意識,沒有認識到惡意代碼的危害和特點,直接運行了惡意代碼。所以,有必要提升計算機使用者的安全意識,減少惡意代碼運行機會。
真正抵制惡意代碼的是運行于計算機上的安全防御系統,殺毒軟件算其中的一種,雖然現在的殺毒軟件有了啟發式查毒、內存查毒、脫殼引擎、沙盤殺毒等等查殺惡意代碼的技術,但是明顯難以滿足對安全要求特別高的計算機用戶。更加安全的防御系統是HIPS,配合以各種輔助工具效果更好,如Xuetr、狙劍等Rookit工具。除以上所述外,還有各種基于人工智能算法的防御系統都是很好的選擇,但是這些防御系統都需要占有較多的系統資源,不適合個人計算機的使用,個人計算機一般只需要殺毒軟件配合一定的主動防御系統就可以滿足計算機安全需求。
四、結束語
經過眾多的病毒、木馬的沖擊以及各種現實的計算機安全問題案例,計算機的使用者已經逐步的意識到了計算機安全的重要性,并學會了如何更好的保護自己的計算機。與計算機安全相關的研究也越來越多,研究層次也越來越深,相信隨著眾多計算機使用者的計算機水平的提升,計算機安全性與網絡安全性都會逐步增加。
參考文獻
[1]王磊.計算機系統安全漏洞研究[D].西安電子科技大學.2004(01)
[2]劉永波,譚凱諾.計算機系統安全綜述[J].中國高新技術企業.2010
第5篇:安全統計分析范文
[關鍵詞]EIM;企業;即時通信;安全
doi:10.3969/j.issn.1673 - 0194.2016.16.000
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)16-00-01
信息化已經成為企業發展過程中的必然選擇。在企業信息化體系之下,數據的流動,除了物聯網帶動的各種數據采集外,工作人員之間的溝通仍然是企業信息流動的重點驅動力量。隨著數據實時性特征領域相關需求的不斷突出,企業環境內部各種即時通信工具也開始日漸盛行。
1 企業即時通信系統安全特征分析
企業即時通信系統(Enterprise Instant Messenger,EIM)是即時通信系統在企業環境中的深入應用,通常以基礎腳本作為起點展開面向企業環境的功能開發,能夠支持文本、語音、視頻以及其他標準數據的傳輸支持。從應用的角度看,在企業環境內部中,EIM的出現對當前社會上正在使用的其他IM通信工具有一定的替代作用,尤其是對于油田組織而言,這種替代作用尤其明顯。因為在這樣的大型工業環境中,工作時涉及的信息溝通方,通常也是日常生活中的朋友,因此EIM對于這樣的群體而言,完全能夠取代社會化IM的地位。
當前EIM系統的工作框架,如圖1所示。
從圖1中可以看出,C/S模式仍然是當前EIM中最為常用的架構。客戶端通過網絡環境實現數據的傳輸與交換,保持對服務器的使用狀態,而同時服務器通過公共數據網實現對于客戶端身份認證,以及消息的過濾與轉發。
從安全的角度看,EIM主要面臨的問題包括病毒的傳播和用戶身份授權管理不善。由于EIM的文件傳輸采取了P2P模式,它可以將文件作為附件通過點對點方式傳送,而繞過網絡周邊安全防御設備。這種工作方式本質上無法對病毒實現有效地防范,造成病毒威脅。除此以外,緩沖區溢出、拒絕服務等攻擊方式也屢見不鮮。而在用戶身份管理方面,用戶賬號授權管理不善,移動端丟失默認登錄以及密碼被盜是主要存在的安全問題。當前IM開發商對于系統的擴展性傾注了過多關注,但對于認證機制考慮不足,也會給攻擊者可乘之機。
文件交換過程中的弱加密甚至于不加密的狀態,同樣可能會導致信息截取問題的發生。以及考慮到當前主流的EIM 軟件都提供了腳本編寫功能,雖然方便了企業用戶實現EIM二次開發,但是卻會進一步加劇蠕蟲病毒等威脅。
2 加強EIM安全建設
考慮到當前EIM對于企業工作正常展開的重要價值,加強對其安全建設就顯得格外重要。結合目前該領域的發展,可以發現有如下幾個方面,可以作為提升EIM安全水平的工作重點。
2.1 加強用戶身份管理
用戶登錄過程中可靠和嚴謹的身份驗證,對提升EIM的整體安全有著毋庸置疑的積極價值。如果用戶在進行注冊的時候,已經將密碼摘要存入服務器,則可以考慮在SHA-1報文摘要算法的基礎上展開對于登錄驗證的優化。首先在客戶端發起登錄請求的時候,服務器端生成一個隨機值,聯通登錄界面一同反饋給客戶端,而后在客戶端完成密碼輸入之后,采用SHA-1算法來生成報文摘要1,再和隨機值散列生成報文摘要2,并進行提交。最后,服務器在接到相關數據之后,將兩個方面的報文摘要進行對比,進一步來確定是否授權登錄。
2.2 加強信息交換安全建設
在EIM環境中,信息的傳輸和交換是主要的職能,同時也是安全隱患最為嚴重的環節。信息傳輸和交換的過程中,必須要保證信息內容不被竊取或篡改,同時要考慮信息傳輸的效率問題,尤其是在工業環境之下,很多數據都要求強實時性的情況下,實現安全和效率的平衡至關重要。實際工作中需要合理安排加密機制,例如:利用對稱密鑰算法IDEA加密明文,同時采用RSA機制對秘鑰進行加密傳輸,確保信息機密。隨后用MD5生成信息摘要,并且用RSA為摘要簽名,提升簽名速度的基礎之上保證信息不可抵賴特征。諸如此類相關機制,共同構建起完善的EIM安全環境。
2.3 文件傳輸模塊設計安全
對于這一方面,主要是考慮在原有文件傳輸功能的基礎上,附加兩層安全防護技術來進一步保證傳輸的安全性,即病毒掃描技術和文件加密技術。其中前者能夠有效防止已經受到病毒感染文件的進一步傳輸,并且對其進行隔離,保證系統安全。而后者則用于實現面向文件內容的安全保證,使文件處于密文狀態發送,用來防止攻擊者竊取文件成功后直接得到文件的真實內容。
3 結 語
EIM必然會隨著組織的發展不斷深入應用,實際工作中必須對相關安全技術保持敏感,積極分析企業環境中的數據特征和安全需求,才能有效引入和設置安全技術,保證企業正常運行。
第6篇:安全統計分析范文
關鍵詞:電力信息系統;建模;安全評估
中圖分類號:TM73 文獻標識碼:A
電力信息系統是由各級調度中心、發電廠、變電站等系統通過緊密的或者松散的聯系構成的分布廣泛、極大規模以及分級階梯的互聯系統構成的。電力信息系統的安全性非常重要,一點遭到破壞將導致電力供應中斷甚至擴大到大規模的停電事故。對于如何加強電力系統的安全性建設,成為水電開發企業迫在眉睫的重大任務。從相關的實踐經歷中不難發現,電力信息系統的安全性工程在通常狀況下,都是通過組織權威的電力信息系統的專家、電力企業的相關用戶、信息安全專家等進行深入的研討活動的方式確立如何完善電力信息系統的安全體系。為了進一步提高電力信息系統的安全體系建設的水平,目前,相關的電力信息系統的專家和學者探討出一種建模語言,來對電力系統的抽象模型加以解釋說明,研究一種安全評估的方法,來設計電力信息系統的安全體系結構。
一、關于電力信息系統建模事項的相關的解讀
(一)水電站運行管理方面的工作效率以及發電能力的建設水平,都是直接影響企業經濟利益的關鍵性因素,由于水電開發有限公司都面臨著同行業的激烈競爭,越來越多的水電開發有限公司更加注重提高本企業水電站運行管理工作的效率以及提高發電能力水平,并以此為競爭優勢,在日趨激烈的市場經濟中,獲得生存與發展的新空間。本文主要是關于電力信息系統建模的相關事項的分析以及對其安全評估方面工作的簡單分析,旨在促進水電開發企業的健康、可持續發展。
(二)電力信息系統安全體系的設計的需要分步驟逐次的進行。電力信息系統存在著復雜的交換行為以及大量的異步操作。也因此,在其建模語言中系統常常被抽象為一組存在交換關系的通信實體。通常情況下,將其角色的定義為通信實體并用相關動作表示存在的交互關系,再用執行動作引發的事件順序表示與其系統安全性相關的行為。根據相關研究資料對電力信息系統安全體系的定義分,我們大致分析最為重要的兩點:
第一點:關于建模的角色分析。一般情況下,角色具有獨特的屬性,相對而言,屬性的不同取值也就表示角色的不同狀態。在應用角色進行判斷時,要注意角色的不同取值所代表的的不同狀態,避免因對問題判斷失誤,造成巨大的經濟損失。通過執行與角色相關的動作,就可以改變角色的狀態。我們將通信實體成為角色,這其中包括網絡、業務系統、進程、數據等。關于角色的類型分為子類型、父類型,同時子類型會繼承父類型的基本屬性,子類型也可以由多個父類型。在實際工作中,我們可以依據角色的特性以及相關的類型,來解決不同的問題。
第二點:關于建模的動作分析。相關專業的資料表明,通信實體之間的交互關系就稱之為動作。相關動作包括:運行、使用、存儲以及處理、連接等等。動作通常情況下,都是與若干角色相關聯的,而且動作的類型和動作的實例用帶角色的類和對象表示出來。動作雖然也有自己的屬性,但是其沒有繼承的特性。動作相關的狀態被稱為動作及其關聯角色的所有屬性記為Q,所有屬性的取值構成動作的狀態值,將其記為。通常狀態下,執行動作能夠改變狀態值,改變后的狀態值記為。這樣,執行動作a可以表示為:
它的語義是:
ifthenQ=;Return;。
由此可見,動作執行只返回true或false,并通過兩個關鍵約束pre和post表示對動作對狀態改變的表現。從而得出一個結論:動作能夠表達系統所能夠提供的基本功能。為了表達更為復雜的系統功能,從而又用順序、選擇、并行、循環四種動作運算來表示復合動作。
二、電力系統與電力信息系統的統一建模方法
一般而言,可以將電力信息系統分為計算、通信、傳感三個部分,分別用于完成信息的處理、傳輸與采集等功能。這三個個部分共同決定電力信息系統的整體性能。這里將基于有窮自動機、隨機過程、微分代數方程等理論首先為計算、通信與傳感系統分別建立適當的數學模型,再將其與現有的電力系統數學模型聯立起來以構成比較完整的電力CPS數學模型。與電力系統類似,從整體上講電力信息系統模型也可以分為穩態模型和動態模型兩類,并分別用代數方程組和微分方程組描述。信息系統建模與電力系統建模的不同之處在于信息系統通常存在若干種離散工作狀態,因此需要引入有窮自動機等數學工具處理離散工作狀態之間的相互轉換。聯合采用微分代數方程組、有窮自動機和隨機過程理論,就可以構成電力信息系統模型。由于信息系統模型和電力系統模型均以微分代數方程組為基礎,因此可以方便地將兩者聯立,形成電力CPS的統一模型。
三、電力信息系統風險的特征
首先,客觀性和不確定性,由于電力信息系統風險是客觀存在的事實,是不以人的意志為轉移的,所以發生在整個電力信息系統發展周期中風險是時刻存在的,但又因其獨有的不確定性,在實際工作的處理方面存在著一定的難度;其次,多層次性和多樣性,信息系統風險包括物理安全、邏輯安全和安全管理等多層次風險。物理安全包括周界控制、區域訪問控制及區內設施安全三大要素。邏輯安全包括信息的保密性、完整性和可用性。安全管理包括人員角色管理、系統管理、應急管理等,因而所面臨的風險多樣。然而可變性和動態性使電力信息系統風險,隨信息技術發展而呈現動態性、可變性。在電力信息系統的發展和運行過程中,由于采用了及時有效的措施而消除了某些風險。有的風險實際發生并得到處理,甚至發生次要風險增大躍升為主要風險的狀況。在每一個新階段都可能出現新的風險。最后可測性、不確定性成為風險的本質,但這種不確定性不等于對風險的全然不知。任何一種具體的風險發生都是諸多風險因素和其他因素共同作用的結果。通過對大量風險事件資料的觀察和統計分析,可以發現其運動規律。由于信息系統風險的多層次性和動態性,難以建立一個覆蓋全部安全問題的安全體系,同時考慮到安全投入費用與被保護的資產價值保持應有的一個恰當的比例,因此只能建立一個適度的安全準則。
四、電力信息系統的安全評估
電力信息系統中安全風險因素的分析。首先,設S為電力信息系統所有安全風險因素集合,通過劃分性質,將性質相近的因素分在一組,假設S中的因素為l組,即S=
式中的代表S中的第i組因素,i=1,2,......,N,。然后,針對每個有n個風險因素集,表示成=這樣,將安全風險因素集合分為多層次集合。最后,關于安全風險指標V,表示電力信息系統安全風險發生時產生的后果對電力信息系統的影響程度。式中的m表示風險指標集的數目;表示安全風險指標,j=1,2,,m。確定安全風險因素的權重系數,中各個因素相對安全風險指標集V的權重,系數可以用矩陣表示為,式中:我們可以依據中各因素對安全風險影響的嚴重程度確定電力信息系統的安全風險。
五、關于電力信息系統的安全防護
首先,建立電力信息安全組織體系,將責任制落實到個人,明確各管理部門的相關職責,各部門要各司其職的負責本部門的相關工作事項。規范對電力信息系統相關安全人員及其重要崗位人員的有效管理,實行電力信息安全責任追究制度;其次,建立健全安全技術規范,包括電力信息系統書安全規范、應用軟件安全開發的規范、相關安全數據的備份規范等,為今后指導電力信息系統的安全開發工作提供制度保障;然后,建立健全相關安全管理制度,包括對人員的管理、機房的管理、設備的管理、技術資料的管理、操作的管理、開發與維護的管理等工作制度,為確保電力信息系統的安全運行提供技術基礎;最后,建立安全培訓的相關機制。對所有相關工作人員進行電力信息系統的安全基本知識、信息系統安全模型以及相關法律法規、安全產品的使用等方面進行培訓,強化相關工作人員的安全意識,提高電力信息系統的技術水平和管理水平,從而提高電力信息系統的整體安全水平。
結語
關于電力信息系統建模和安全評估的系統化方法的研究還在不斷的進行中,將安全體系設計語言應用于建立電力信息系統的抽象模型,利用科學合理的方法推測并嘗試多次建立模型,減少相關工作人員在參與安全體系設計工作時的主觀性。在實際工作中,我們可以通過對一些電力信息系統進行實例分析后,不斷的總結相關經驗,可以在一定程度上有效的驗證相對安全度指標的有效性。最終達到推進電力信息系統安全體系設計的理論化、定量化和計算機輔助化的進程的目標。電力信息系統中包括的信息資產以及物理資產,常常受到來自系統內部、外部以及人為的安全威脅。我們在對電力信息系統建模的相關分析以安全評估的深入探究之后,可以制定出電力信息系統的安全防護戰略,明確電力信息系統的安全風險分析與評估。為電力信息系統管理與使用部門采取相關的防護和管理工作提供了合理的思路。
參考文獻
[1]余勇,林為民.電力信息系統安全保障體系.電力信息化,2003.1(03).
第7篇:安全統計分析范文
【關鍵詞】計算機系統;系統安全;維護策略
計算機系統主要是指運行在計算機內的系統軟件,是計算機正常工作的基礎元素,而影響計算機系統安全的主要因素多種多樣。為了確保計算機可以正常工作安全運行則需要做好計算機系統安全防范工作以及對系統進行定期的維護,嚴格控制計算機訪問人員的使用權限,這樣才可以充分保證計算機的安全運行。信息技術的不斷發展,攻擊計算機的手段越來越多樣化,本文將對計算機系統安全及維護策略展開探索,提出提高計算機安全性的有效策略,已解決計算機信息被竊取盜用等影響計算機安全性的問題。
1當前計算機系統安全所面臨的主要問題
1.1信息化犯罪
如今人們的日常生活、工作都已經離不開計算機的幫助,一些關鍵性信息和資料都利用計算機進行儲存和傳輸,而不法分子即可利用計算機漏洞攻擊用戶的計算機進行信息化犯罪,竊取資料影響計算機的正常運行。除了對個人計算機進行入侵以外,不法分子也會對政府部門或者金融機構的計算機系統入侵,以篡改數據獲得不法收益。除此以外,由于計算機互聯網的開放性與隱蔽性,計算機也為不法分子提供了可靠的信息傳輸和交易場所,所以必須要做好計算機系統安全防護工作,打擊不法分子的犯罪行為。
1.2網絡病毒
網絡病毒主要是指在計算機中可以快速傳播的一種程序或者指令代碼,但是該程序不受計算機使用者的控制,會自行破壞系統軟件計算機內的儲存數據,甚至會威脅到計算機硬件,并且通過網絡快速的傳播,影響范圍極大,會造成不必要的經濟損失。目前隨著計算機系統安全性的不斷提高,網絡病毒也更加多樣化,由于病毒的傳染性較強隱蔽性較強,很難在互聯網中精準打擊病毒傳播的源頭,所以計算機病毒就成為了時刻威脅計算機安全運行的主要因素。
1.3網絡黑客攻擊
黑客攻擊主要是指計算機黑客利用互聯網對計算機發起入侵以獲取對方計算機中的信息或者干擾對方計算機的正常運行,網絡黑客攻擊的手段目前更加多樣化,特別是當前在線支付的應用越來越廣,如果不做好網絡安全防護,那么就有可能會留給黑客進行網絡攻擊的機會,從而影響到人們的財產安全。
1.4計算機系統自帶漏洞
計算機本身自帶系統并不是十分全面完善的,隨著操作系統和網絡系統的不斷更新各類軟件也會存在一定的漏洞,部分漏洞是由于軟件設計工作人員工作的疏漏,也有部分漏洞是開發設計者為了以后更新提供便利而故意設置的,這些漏洞雖然不會影響的系統的安全運行,但是一旦受到不法分子的利用,后果將會非常嚴重。1.5強制性安裝流氓軟件部分網絡公司為了提升本公司生產的軟件使用率和安裝率,在用戶不知情的情況下,為用戶強制安裝多個軟件,雖然這些軟件對計算機系統威脅度不大,但是也會在一定程度上影響整體計算機性能。并且當前部分流氓軟件也擁有竊取系統信息監視用戶行為等違法功能,所以流氓軟件也是影響計算機安全使用的主要因素。
1.6計算機硬件故障
計算機的正常使用是建立在計算機硬件正常運行的前提下,而計算機硬件本身使用壽命會隨著使用時間的增加而減少,硬件的正常損壞也會影響到計算機系統的正常運作,會對計算機內部信息造成一定的威脅。
2提高計算機系統安全的主要策略
2.1制定完善的計算機使用安全管理制度
制定完善的計算機使用安全管理制度是保證計算機系統安全運行的基礎環節,根據計算機系統的相應標準確定整個系統環境中的各個控制區域實施分區管理制度,并且設置區域管理工作人員定期對計算機進行檢測與查驗,如若發現計算機安全隱患應當及時上報管理人員,從源頭保證計算機的安全使用。并且計算機管理人員需要落實硬件設備的安全檢測與管理,防止外界因素而造成硬件損壞或損傷,導致計算機無法正常運行。同時在計算機使用方面限制不同人員計算機使用管理權限,以確保計算機使用人員明確職能范圍,避免出現違規操作。
2.2防范計算機病毒以及信息化犯罪
提供計算機病毒查殺能力,主要是以提高計算機病毒預防技術手段為主,該手段可以分為軟件和硬件兩種預防模式軟件則主要是指針對當前已經出現的病毒加以防范和查殺,對于一些新型病毒和無法檢測的病毒尚無防范能力,但是依然可以屏蔽掉當前互聯網中大量危害病毒。當前防范計算機病毒的技術手段主要為互聯網和入侵檢測設備,是保證網絡安全的主要元素。同時也需要針對計算機病毒制定好科學的管理模式,要求計算機使用用戶避免進入未知網站下載未知文件,在使用外接硬盤時需要首先對該儲存設備進行病毒檢測,避免由于人為失誤而對計算機造成威脅。而打擊信息化犯罪則主要需要從計算機網絡相關法律建設上來進行完善,目前由于網絡犯罪的成本較低,所以很多信息化犯罪人員抱著僥幸的心態從事違法犯罪。健全相關法律法規規范網絡使用者的行為,準確打擊犯罪促進計算機網絡應用的安全發展,建設有法可依有法必依的網絡社會,使網絡環境得到凈化,使信息系統的建設走向法治科學的正確軌道。
2.3加強網絡黑客攻擊防范工作
為了加強網絡黑客攻擊的防范工作,系統維護人員需要從多角度出發考慮計算機系統的功能和維修工作。首先,網絡路由器是計算機聯網的主要設備,為了從源頭阻止網絡黑客的攻擊,首先在網絡入網關鍵節點設置安裝防火墻,當計算機受到外部攻擊時,防火墻可以將該攻擊行為隔離在安全范圍之外,并且阻止攻擊的進一步擴展,并且根據攻擊來源快速尋找到網絡攻擊源頭。在日常計算機系統維護時需要定期檢測在關鍵節點處安裝網絡檢測設備,如若在檢測過程中發現疑似于網絡攻擊的數據包,則應當對該數據包進行及時的攔截與檢測,以避免計算機設備受到威脅。同時也需要利用主機過濾網關來防范黑客的攻擊行為,主機過濾網關需要由過濾路由器和雙速網關共同組成,以確保在傳遞過程中的數據信息安全性,并且將計算機用戶的使用行為約束在服務器所支持的服務內容中。
2.4加強計算機系統的后期更新維護
信息技術的不斷發展,使得計算機系統會隨著時間的推移而不斷更新,但每一次更新也會帶來系統上的新漏洞和新問題,所以需要加強計算機系統的后期維護工作,仔細檢測計算機系統可能會出現的系統漏洞問題,提高計算機系統的安全性。
第8篇:安全統計分析范文
【關鍵詞】高校計算機信息管理系統安全性
一、高校計算機信息管理系統安全的重要性
隨著科技的不斷進步和經濟的飛速發展,計算機信息管理系統已經被廣泛應用于我們的學習和生活中,尤其是高校,對于計算機信息管理系統的應用更加普遍。但計算機信息系統在具有開放性和共享性的同時,也具有一定的危險性和潛在的威脅,特別容易被不發分子或居心叵測發人利用,盜取重要的個人信息和相關資料,造成巨大的信息和財產的損失,因此,高校計算機信息管理系統的安全性就顯得十分重要。如今許多高校都特別依賴計算機信息管理系統,將所有學生和老師的信息,甚至學校機密的資料都會保存在計算機信息管理系統中,但卻很少有高校對計算機信息管理系統進行維護和安全性檢測,來確保計算機信息管理系統的安全性。因此,加強計算機信息管理系統的安全性,具有非常重要的現實意義,能夠更加有效的保證計算機系統的安全性和信息的保密性。
二、高校計算機信息管理系統安全性的現狀
2.1重要信息和數據的丟失
由于計算機信息管理系統具有開放性的特點,因此有許多信息無法被計算機信息系統識別,同時也存在有不法軟件可以越過計算機信息管理系統的防火墻,通過計算機信息管理系統的漏洞來竊取計算機信息管理系統的信息和數據。除了計算機信息系統自身的劣勢導致重要信息丟失,在對信息和數據的拷貝、傳輸和整理過程中也容易引起重要信息的丟失。比如,用移動硬盤或U盤等設備拷貝數據的過程中,很容易泄露甚至銷毀一些重要的信息,這對計算機信息管理系統的安全性帶來了極大的威脅。
2.2不良信息的廣泛傳播
目前我國關于信息管理系統安全性的法律還不是很健全,因此,大量的違法信息可以鉆法律的空子來進行非法活動,對高校的信息管理系統進行破壞,甚至竊取相關人員的個人信息或者學校的相關重要資料,并在網上進行大肆的宣傳和傳播。網絡的虛擬性和匿名性,也給不良信息的傳播創造了良好的條件,更有利于不良分子躲避法律責任,嚴重威脅高校信息管理系統的安全性。
2.3計算機病毒的廣泛傳播
我國目前網絡安全性的最大威脅就是計算機病毒的廣泛傳播,計算機病毒是一種惡意的程序,能夠在網絡空間中肆意傳播和擴散。高校計算機信息管理系統經常會進行信息數據的整理,一不小心就會受到計算機病毒的侵害,導致高校的信息管理系統紊亂,信息數據被篡改甚至丟失。計算機病毒對計算機系統的破壞性較大,一旦受到損壞很難恢復。因此,是提高高校計算機信息管理系統安全性的最大難題之一。
三、提高高校計算機信息管理系統安全性的措施
1、合理安排高校計算機信息管理系統的配置;2、在高校計算機信息管理系統中運用身份認證技術;3、在高校計算機信息管理系統中安裝防毒軟件與防火墻;4、及時進行信息的備份與恢復。提高高校計算機信息管理系統的安全性首先要增強對計算機信息管理系統安全性的意識,合理安排高校計算機信息管理系統的資源配置。優化高校計算機信息管理系統的資源配置是確保計算機信息管理系統安全性的重要措施之一。安排和制定科學性的、合理性的計算機資源配置,可以使計算機信息管理系統操作起來更加方便、快捷。此外,還可以在進行數據傳輸時節省不少時間,從而避免出現數據丟失和盜用的現象,確保高校計算機信息管理系統的正常運行。在高校計算機信息管理系統中運用身份認證技術,可以更加有效的保證計算機信息系統的安全性運行,避免計算機系統被黑客和木馬入侵。目前進行身份驗證的方法有很多種。比如可以輸入規定的口令,通過計算機口令進行驗證是最簡單的一種身份認證技術。只有輸對了口令,才能夠進入計算機信息管理系統。此外,還可以包括指紋識別和臉部識別等方式進行身份認證,這些身份認證的方式要比普通的口令認證的安全性更高。在高校計算機信息管理系統中安裝防病毒軟件和防火墻,可以對計算機信息管理系統進行實時的監控,以一種更加主動的方式攔截病毒,防止病毒入侵和破壞信息管理系統。除了對病毒進行實時的監控外,還可以在計算機信息管理系統出現異常情況時,及時作出反應和進行恢復重要信息不會隨意散播到外界網絡。對高校計算機信息管理系統中的信息進行備份十分重要。通過備份相關信息和資料,可以在計算機信息管理系統出現故障時仍保持數據的完整性,能夠有效的避免數據的丟失。通常可以使用光盤、U盤或者移動硬板等進行備份。對于信息的備份做好天天進行,但如果不能夠每天都進行備份,可以每周進行備份。為了避免數據的丟失,可以定期對計算機信息管理系統進行恢復,也可以有效確保數據和信息的完整性,提高高校計算機信息管理系統安全性。
總結:
第9篇:安全統計分析范文
關鍵詞:bug;拒絕服務攻擊;密碼學;防火墻
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)05-10853-03
1 引言
對于應用程序開發商和用戶來說,如果要對基于Web的系統充滿信息,就必須對系統的安全有充分的信任。但是,百分之百安全的Web系統是不存在的!由于Web系統包含的變量如此之多,以至于無法完全避免所有的安全隱患,這一點正如軟件本身的bug。所以“足夠好”一直是我們追求的目標,在Web系統的安全工作方面也是如此。作為狹義的理解,“足夠好”是指對安全方案的投入要遠遠小于因安全遭到破壞而蒙受的損失。同時,理想的安全方案應該是通過加大侵入系統的難度和時間,從而使侵入系統(即使是取得了成功)所取得的回報顯得毫無價值,并最終使進行持續入活動的侵入者望而卻步。
2 安全隱患
在Web或網絡環境下,黑客通過使用各種技術來發掘存在于每個系統組件中的各種安全漏洞,從而達到攻擊Web系統的目的。在這些技術中,一部分用來允許非法用戶獲得Web系統資源訪問權限,或者禁止合法用戶訪問資源;另一部分用來制造麻煩,降低服務質量,或者破壞數據。
2.1 軟件bug
許多安全隱患都是由程序(如Web瀏覽器和Web服務器程序)中的bug造成的。由于這些bug在測試階段沒有被檢測到,或者是由于軟件修復所帶來的負面影響,安全漏洞隨之產生。緩沖區溢出是我們常常提及的一種bug,該bug允許在客戶機上運行惡意代碼。例如,在瀏覽器上輸入一個URL,如果該URL的長度遠遠超出為URL分配的緩沖區的容量,并且瀏覽器不具有用于確認輸入URL長度的錯誤檢測代碼,那么這是就會引起緩沖區溢出錯誤。老練的黑客可以狡猾得通過輸入一個冗長的、帶有可執行代碼的URL來利用這種bug,這些可執行代碼可能會導致瀏覽器崩潰,或者改變瀏覽器的安全設置,更為嚴重的是,還可能會破壞用戶數據。
Java腳本語言的安全漏洞通常會危及用戶隱私的安全或者導致用戶數據的泄漏。例如,當導航到不可信站點的Web頁面中的某個鏈接時,一段有害腳本可能被附加于用戶向Web服務器提交的請求當中,如一個URL或數據查詢請求。當Web服務器響應這個請求時,該有害腳本就會同時附帶上去。此時,該有害腳本已經存在于用戶的瀏覽器上。用戶的私人信息(如用戶的ID或密碼)可能會被泄漏,然后發送到某個用戶并不知道的位置(Internet上的某臺服務器)。
2.2 病毒和蠕蟲
病毒是通過計算機之間的交互來進行傳播的,最常見的傳播途徑是發送電子郵件和電子郵件的附件、移動文件或下載文件。當執行一個感染了病毒的程序或者病毒時,病毒代碼就會被載入并運行。通常可以將病毒程序的主要目的分為兩類:(1)實現病毒代碼本身的設計目的,比如破壞硬盤數據;(2)通過附著在其他程序上來影響其它程序,以達到傳播自己的目的。蠕蟲與病毒相類似,二者的不同之處在于可以通過向別人的機器發送自己的副本(比如通過電子郵件)來進行自我傳播。
2.3 拒絕服務攻擊(DOS)
拒絕服務攻擊是指利用大量的虛假請求或電子郵件信息來攻擊服務器,致使服務器無法正常處理提交的合法請求。實施這種攻擊,通常需要黑客先將軟件程序秘密地放置在與目標服務器無關的服務器上,然后通過主命令激活這些程序并識別目標服務器,因此,包含程序的服務器的全部帶寬容量就被釋放到了目標服務器上。由于拒絕服務攻擊程序是通過比較隱秘的方式進行放置的,因此很難被發現。發生在2000年的“3天攻擊”事件,在這次事件中,一些Internet上的大型站點如Yahoo!、等由于受到一連串拒絕服務攻擊的重創,有的被迫臨時關閉。許多專家推測,發動這次攻擊的目的就是要證明許多電子商務站點還缺乏強有力的安全措施。
2.4 物理攻擊
低級入侵者的攻擊方式通常是通過到處翻閱垃圾桶來搜索私人信息,如用戶ID和密碼列表;進入機房盜取計算機,竊取計算機硬盤上的數據;或者干脆趁機主不在、坐在已登錄的計算機前對資源進行非法竊取。
3 Web安全技術基礎
基于Web的系統所采用的最常見的安全技術有加密技術、身份驗證、數字證書、防火墻和授權技術。
3.1 密碼學
密碼學是一門對信息進行加密的科學,可以使除了合法的接受方之外,其他人無法閱讀信息。公鑰和私鑰技術是通過使用兩類密鑰來實現雙方信息的安全傳送,這兩類密鑰是用來解碼加密信息的字符串。顧名思義,公鑰是公開的,而私鑰卻拒絕公開訪問。例如,為了讓B方給自己傳送某種私人信息,A方可能需要先向B發送一個公鑰。然后,B方可以利用A方發過來的公鑰對信息進行加密,再發回給A方,如圖1所示。從理論上講,截獲該信息的人是不能破譯信息的,因為他們沒有掌握A方的私鑰。
圖1 公鑰和私鑰技術
數字證書是密碼技術的一種具體形式,它將證書所有者的身份與用于加/解密的公鑰和私鑰一一對應。它還可以用來驗證可疑的發送方和接收方的身份。
數字證書至少應包含的信息有:所有者公鑰、所有者姓名、證書有效期、證書序列號、頒發證書的機構名稱、發證機構的數字簽名。數字證書可以從證書頒發機構處獲得,例如VeriSign()。現有的數字證書類型有:站點證書、發行人證書以及個人證書。證書頒發機構應該提供的功能有:保證信息傳送安全的技術、硬件基礎設施,如安全設施、IS以及客戶支持人員、監控用戶活動和處理糾紛的管理體系結構。
安全的多用途Internet郵件擴展(Secure Multipurpose Internet Mail Extensions,S/MIME)使用的是RSA加密機制,該方法支持在Internet上發送秘密的電子郵件信息。Microsoft和Netscape的Web瀏覽器的都支持S/MIME。
3.2 安全協議
幾種普遍支持的安全協議有:工作于會話層的安全套接字層(SSL);工作于應用層的增強型安全超文本傳輸協議(S-HTTP);工作于網絡層或IP層的IP安全協議(IPSec)。IPSec協議通常是在路由器和交換機中實現的。安全套接字層是最受商用Web瀏覽器和服務器支持的一種安全協議。SSL協議協議提供如下的功能:使用加密技術實現客戶/服務器的秘密通信;通過驗證交換信息中的內容,為客戶/服務器通信進行數據集成,確保數據在傳輸過程中不被篡改或增刪;通過數字證書實現客戶/服務器認證。
圖2 安全套接字(SSL)協議
與SSL相似的其他安全協議有傳輸層安全協議(TLS)和微軟秘密通信技術(PCT)。SSL安全協議支持是一個雙端操作,即需要分別配置客戶端和服務器端:必須得到證書頒發機構頒發的、帶有公鑰和私鑰的證書,并且將其安裝在服務器端;Web服務器必須支持諸如SSL或PCT之類的安全協議;客戶端也必須能夠支持諸如SSL或PCT之類的協議;必須在HTML頁面中對HTTP進行正確編碼,以實現安全通信。
3.3 防火墻
防火墻是隔離私有網絡和Internet的屏障。它用來防止非法用戶訪問私人信息、利用網絡資源以及破壞系統硬件,但允許合法用戶訪問自己所需的資源。防火墻技術是對軟、硬件資源的綜合使用,即利用路由器、服務器和軟件來隔離內部網絡和Internet。防火墻可以分為兩種類型:包過濾防火墻和基于的防火墻。包過濾防火墻通常在路由器中實現,提供了IP級的基本網絡安全特性。它通過配置路由器表格來篩選數據包,路由器通過檢查數據包的頭文件信息來判斷數據包的來源、數據包的目的地以及傳送數據所使用的協議,然后根據這些信息來阻止某些數據包的傳輸。與包過濾相比,基于的服務器是一項更為安全的防火墻技術。服務器是一種運行在防火墻周邊主機上的軟件,由于服務器位于周邊的網絡上,所以它并不是構成網絡本體的組成部分。服務器用來實現私有網絡與Internet的唯一連接。由于只有服務器與Internet進行交互,因此其安全性比較容易維護。它還可用于記錄私有網絡和Internet之間的通信量。
路由器可以與服務器一起使用,以增加額外的網絡保護環節,一旦服務器失敗,路由器可以代替它進行工作。
DMZ(demilitarized zone,非軍事緩沖區)是位于公司私有網絡和外部公關網絡之間的一個小型網絡或者主機。它防止外部用戶直接訪問公司網絡的任何服務器或主機。通常DMZ主機首先接收私有網絡內部用戶要求訪問Internet上的Web站點或其他數據的請求,然后在Internet上為這些請求創建會話。但是,DMZ主機并不能將會話引回到私有網絡中。對于Internet上的外部用戶來說,他們只能訪問DMZ主機或者內部網絡。一般而言,DMZ主機還包括公司的Web服務器以及FTP服務器,所以它內部的數據可以被外界共享。但是,DMZ禁止訪問私有網絡內的主機,因為它不能啟動任何內部連接。如果DMZ網絡的安全受到了威脅,那么服務器上數據的安全就很難保證了。通過這樣一個DMZ區域,更加有效地保護了內部網絡,因為這種網絡部署,比起一般的防火墻方案,對攻擊者來說又多了一道關卡。
4 結束語
本文主要概括了Web系統潛在的安全隱患,以及當前的主要網絡安全技術。但由于影響Web服務的因素很多,隨著Web技術的飛速發展,Web系統背后還存在很多的隱患。在當前網絡環境下,想要使一個Web系統完全免受攻擊是不可能的,我們所能夠做到的就是盡可能的使系統堅固,將攻擊的可能性降到最低。
參考文獻:
[1](美)Hung Q. Nguyen,著. 馮學民,等,譯. Web應用測試[M]. 北京:電子工業出版社, 2003.
[2]布拉格. 網絡安全完全手冊[M]. 北京:電子工業出版社, 2005,10.
