序論：好文章的創(chuàng)作是一個不斷探索和完善的過程，我們?yōu)槟扑]十篇軟件安全論文范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

2軟件安全的現(xiàn)狀

2.1人們的認(rèn)知

隨著黑客攻擊的新聞時常見諸媒體，人們對計(jì)算機(jī)安全問題有了一定認(rèn)識。但不幸很多計(jì)算機(jī)安全人員和計(jì)算機(jī)教育培訓(xùn)人員都忽視了軟件安全的問題。一味地推崇某種軟件平臺是安全的，單純大力增加對網(wǎng)絡(luò)安全硬件和軟件的投入，這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性，也沒有任何軟件是絕對安全的。軟件安全問題的關(guān)鍵節(jié)點(diǎn)是軟件的設(shè)計(jì)。

2.2軟件安全設(shè)計(jì)的先天不足

世界上知名的軟件廠商并不是不了解軟件安全設(shè)計(jì)安全性的重要性，而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機(jī)會、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計(jì)在很多時候都是被舍棄的。隨之而來的處理方式則是常見的penetrate-and-pach方法，即不停地補(bǔ)丁。這種做法從長遠(yuǎn)來看，其成本與作用遠(yuǎn)不及一開始就做好安全性的設(shè)計(jì)和審計(jì)。

3軟件安全設(shè)計(jì)應(yīng)引入風(fēng)險管理

從項(xiàng)目管理的角度看，風(fēng)險指損失或損害的可能性。軟件項(xiàng)目涉及到的是：項(xiàng)目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項(xiàng)目成功。風(fēng)險管理則是對應(yīng)軟件項(xiàng)目生命周期內(nèi)的風(fēng)險的科學(xué)和藝術(shù)。軟件安全性的設(shè)計(jì)與軟件設(shè)計(jì)的其他一些質(zhì)量性能是互相抵觸的，例如冗余性、高效性。而軟件開發(fā)過程中的風(fēng)險管理與軟件開發(fā)的諸如時間、范圍、成本等因素也是相互抵觸的。但是絕不能因?yàn)檫@些可能發(fā)生的抵觸行為而放棄對安全性和風(fēng)險管理的考慮，反而應(yīng)該將軟件安全性設(shè)計(jì)納入到風(fēng)險管理的范疇中去。事實(shí)表明，93%的失控項(xiàng)目都忽視了風(fēng)險管理。

4軟件安全設(shè)計(jì)風(fēng)險管理的實(shí)施

目前國際上對軟件安全方面的風(fēng)險管理存在著一個共同的認(rèn)知，那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題，歐美一些國家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來指導(dǎo)軟件安全性設(shè)計(jì)的實(shí)踐。但是這只是從科學(xué)技術(shù)方面做出努力，我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。完整的風(fēng)險管理的過程應(yīng)該包括以下幾個環(huán)節(jié)：風(fēng)險管理計(jì)劃的編制、風(fēng)險識別、風(fēng)險定性分析、風(fēng)險定量分析、風(fēng)險應(yīng)對計(jì)劃編制和風(fēng)險監(jiān)督控制。將整個流程都走完的項(xiàng)目和企業(yè)都不多，一般來自于所謂的學(xué)院派。而時下大多數(shù)國內(nèi)外企業(yè)的做法是將這個7個流程簡化為誰來識別風(fēng)險、誰來對風(fēng)險負(fù)責(zé)這兩個環(huán)節(jié)。原因則是上文所提到的先天不足所致。從技術(shù)上講，風(fēng)險管理的效益來自于潛在風(fēng)險最小化和潛在回報(bào)的最大化。而這個技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險定量分析的過程。在這個過程中，可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會計(jì)基礎(chǔ)之上。而令人遺憾的是，很多決策者本身對這些技術(shù)的認(rèn)知或理解欠缺，以至于會抵觸這種方法。大多數(shù)做法是采用小團(tuán)隊(duì)開發(fā)小軟件的做法，即采用訪談和敏感性分析來幫助風(fēng)險定量分析。然而我們并不是要反對這種簡化做法，只是一定不能在簡化的做法之上再次簡化或敷衍了事。首先要做的工作是做好需求管理，在建立一組需求輸入的時候，一定要將安全性作為一個重要需求考慮進(jìn)去。有一個比較好的方法是，在軟件設(shè)計(jì)時采用螺旋模型，需求的輸入可以在螺旋模型的各個生命周期中進(jìn)行，而有關(guān)安全性的需求輸入則最好是在最初的一個螺旋中進(jìn)行。之后要做的工作是確定最大風(fēng)險。不可避免的要使用風(fēng)險定性和風(fēng)險定量分析的各種技術(shù)和方法。這個工作一定要有軟件設(shè)計(jì)師、項(xiàng)目決策者和用戶的參與，采用頭腦風(fēng)暴和專家訪談是不錯的選擇。而這個工作恰恰是現(xiàn)實(shí)生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問題，而客戶的參與往往難以落實(shí)，認(rèn)為軟件的設(shè)計(jì)和開發(fā)應(yīng)該由軟件公司負(fù)責(zé)，客戶付款只關(guān)心最后軟件是否可以使用。而一旦由于軟件安全性問題造成了一定后果后將演變成各種糾纏不清的官司，這是企業(yè)和客戶都不想看到的結(jié)果。

篇（2）

計(jì)算機(jī)軟件是計(jì)算機(jī)運(yùn)行系統(tǒng)中有關(guān)程序和文檔的總稱，屬于計(jì)算機(jī)硬件設(shè)備的控制中心，可以滿足人們的各種實(shí)際需求。計(jì)算機(jī)安全從軟件方面來書，軟件開發(fā)部門開發(fā)的軟件既要滿足用于的各種需求，也要有效降低開發(fā)成本，更要避免其他軟件開發(fā)剽竊或者復(fù)制軟件，最大程度的保護(hù)自己的知識產(chǎn)權(quán)。而用戶也要求功能齊全、實(shí)用性好、保密性好、具有高性價比的軟件，尤其是軟件的安全性能，因此計(jì)算機(jī)軟件安全指的是軟件不易被剽竊和軟件自身的安全性。

(二)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題

計(jì)算機(jī)用戶缺乏網(wǎng)絡(luò)安全意識和信息保密意識，同時計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)還不夠完善，有一定的安全漏洞，這是引起網(wǎng)絡(luò)風(fēng)險的一個主要因素，比如，Windows系統(tǒng)自身存在著一定的問題、軟件自身攜帶的插件等，這些存在著一定的安全隱患，為不法分子提供了機(jī)會，有些黑客會侵入計(jì)算機(jī)的安全系統(tǒng)，甚至導(dǎo)致數(shù)據(jù)丟失或者系統(tǒng)的癱瘓。此外，計(jì)算機(jī)病毒入侵也對計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)生威脅。因?yàn)椴《揪哂泻芸斓膫鞑ニ俣?，只要病毒進(jìn)入網(wǎng)絡(luò)，既對計(jì)算機(jī)安全運(yùn)行產(chǎn)生影響，也將計(jì)算機(jī)數(shù)據(jù)破壞，極大的損害了用戶的利益。

二、計(jì)算機(jī)安全問題的解決對策

(一)計(jì)算機(jī)硬件安全問題的對策

當(dāng)前，人們的日常工作、學(xué)習(xí)和生活和計(jì)算機(jī)息息相關(guān)，為了維持計(jì)算機(jī)更長的壽命，并促使其更好的為人類服務(wù)，我們在一定程度上要了解計(jì)算機(jī)，并且具備普通的維修常識?？墒?，計(jì)算機(jī)的壽命是有限的，用戶有必要對操作流程進(jìn)行學(xué)習(xí)，然后正確使用計(jì)算機(jī)，如果計(jì)算機(jī)發(fā)生問題要及時維修，避免計(jì)算機(jī)硬件遭到更嚴(yán)重的損壞。用戶熟練掌握計(jì)算機(jī)日常使用規(guī)范以及基本的維護(hù)知識可以促使用戶及時發(fā)現(xiàn)計(jì)算機(jī)安全問題，并且提早做好預(yù)防，促使計(jì)算機(jī)更好的服務(wù)于用戶。

(二)計(jì)算機(jī)軟件設(shè)施安全問題的對策

首先加密計(jì)算機(jī)軟件，并且確保密碼的安全性，因?yàn)橛?jì)算機(jī)軟件非常容易復(fù)制，因此計(jì)算機(jī)軟件安全防護(hù)的一個重要手段是密碼保護(hù)。而一個密碼只在一段時間內(nèi)有效，因此用戶要定期對密碼進(jìn)行更改，確保計(jì)算機(jī)軟件安全。其次，為了從源頭上確保計(jì)算機(jī)軟件的安全，就要做好它的安全設(shè)計(jì)。軟件設(shè)計(jì)人員在開發(fā)計(jì)算機(jī)軟件的過程中要全面細(xì)致考慮軟件的安全問題，比如從軟件用途方面來說，就要對用途肯能帶來的風(fēng)險進(jìn)行考慮，并且提前制定應(yīng)對措施；在開發(fā)完軟件之后要全方位檢測軟件，及時修補(bǔ)檢測出來的漏洞，并且提高檢測次數(shù)，最大程度的避免軟件漏洞。而用戶在使用軟件的過程中如果發(fā)現(xiàn)問題就要及時解決問題，并應(yīng)用合理措施實(shí)施修補(bǔ)，確保安全運(yùn)行軟件，避免不必要的風(fēng)險。

(三)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題的對策

計(jì)算機(jī)病毒主要通過網(wǎng)絡(luò)以及硬件傳播，所以要定期升級計(jì)算機(jī)軟件，應(yīng)用最新的版本，確保計(jì)算機(jī)軟件具有較少的漏洞。此外也要及時更新瀏覽器的版本，確保網(wǎng)頁瀏覽的安全性。在瀏覽網(wǎng)頁時盡量不要瀏覽不合常規(guī)的網(wǎng)站，不安裝不合常規(guī)的軟件，確保瀏覽的安全性。

篇（3）

二、安全生產(chǎn)軟環(huán)境建設(shè)存在的問題

(一)相關(guān)法律法規(guī)不夠完善，缺乏民主性、透明性

立法是安全生產(chǎn)軟環(huán)境建設(shè)的前提條件，公開、透明、民主又是保證立法能夠有效反映市場參與者利益的重要手段。史普博認(rèn)為政策是“管制者和有關(guān)的市場參與者之間互動過程的產(chǎn)物”，強(qiáng)調(diào)了立法公開、民主參與的重要性，并提出聽證會制度這一民主參與的重要方式。目前，我國已基本實(shí)現(xiàn)立法的公開性和透明性，但是還無針對立法民主性的明確規(guī)定，致使聽證會這一保證市場參與者實(shí)現(xiàn)民利的重要方式無法有效開展。同時，安全生產(chǎn)相關(guān)的法律法規(guī)嚴(yán)重不足，無法有效規(guī)范規(guī)制者與企業(yè)、消費(fèi)者的溝通渠道。安全生產(chǎn)的法律環(huán)境建設(shè)存在諸如法律制訂、修改落后于安全狀況，法律條文的規(guī)定缺乏實(shí)際操作性等亟待解決的問題。

(二)安全生產(chǎn)管理體制落后，管理者執(zhí)法不力

在經(jīng)濟(jì)轉(zhuǎn)軌時期，市場經(jīng)濟(jì)發(fā)展的新環(huán)境使得包括安全生產(chǎn)管理體制在內(nèi)的許多政府職能監(jiān)管領(lǐng)域都出現(xiàn)了不同程度的管理體制落后問題。同時，安全生產(chǎn)的監(jiān)督管理部門存在機(jī)構(gòu)主體不清、職能不明，基層監(jiān)管機(jī)構(gòu)設(shè)置不規(guī)范，交叉重疊，“越位”“缺位”等問題。我國各地區(qū)各省市原本捉襟見肘的安全生產(chǎn)保障資金的投入，由于監(jiān)管者本身職業(yè)素養(yǎng)較低、工作效率低下，監(jiān)管機(jī)制落后等原因更呈現(xiàn)出嚴(yán)重不足，直接導(dǎo)致安全生產(chǎn)領(lǐng)域相關(guān)法律法規(guī)無法有效實(shí)施，無法有效保護(hù)從業(yè)者的自身健康和職業(yè)安全。

(三)市場主體非法牟利，行為不規(guī)范

在缺乏相關(guān)完善的法律法規(guī)，缺少社會監(jiān)督的情況下，市場主體即各生產(chǎn)企業(yè)勢必會出現(xiàn)企業(yè)利益至上，缺乏安全生產(chǎn)意識及減少安全生產(chǎn)資金投入的情況。各種健康、安全、環(huán)保的法律法規(guī)，最終要作用到生產(chǎn)企業(yè)才能產(chǎn)生應(yīng)有的績效。加大政府層面對安全生產(chǎn)的資金投入，完善監(jiān)管體制只是改善安全生產(chǎn)軟環(huán)境的方法之一，更重要的是企業(yè)作為行為主體對安全生產(chǎn)監(jiān)管政策的努力實(shí)現(xiàn)。然而在中原經(jīng)濟(jì)區(qū)的建設(shè)發(fā)展中，存在少數(shù)生產(chǎn)企業(yè)雇主無視國家各級政府的法律法規(guī)，將獲取超額利潤作為企業(yè)的最終目標(biāo)，用減少安全設(shè)施投入、降低污水處理費(fèi)等各種方法降低成本。同時，經(jīng)營者以各種尋租手段降低違法風(fēng)險，獲取非法利益，阻礙了我國經(jīng)濟(jì)的正常運(yùn)行和監(jiān)管的有效實(shí)施。

(四)專業(yè)人才供給不足，社會重視程度不夠

人才環(huán)境作為軟環(huán)境建設(shè)的核心內(nèi)容，區(qū)域經(jīng)濟(jì)發(fā)展的重要力量沒有得到足夠的重視。在安全生產(chǎn)領(lǐng)域，專業(yè)人才供給不足，使得安全生產(chǎn)技術(shù)無法得到有效推廣。社會普遍存在對現(xiàn)有人力資源重視不足的問題，人才分配制度不合理，缺乏尊重人才的社會環(huán)境，吸納高層次專業(yè)人才能力不足。同時，一線生產(chǎn)員工缺乏安全生產(chǎn)的專業(yè)知識及技能培訓(xùn)，對部分高危職業(yè)的從業(yè)危險認(rèn)識不足，間接上助長了用工企業(yè)在追求超額利潤的過程中對安全生產(chǎn)相關(guān)投入的漠視，不利于改善現(xiàn)階段安全生產(chǎn)軟環(huán)境建設(shè)。

三、安全生產(chǎn)軟環(huán)境建設(shè)的路徑選擇

從我國安全生產(chǎn)軟環(huán)境建設(shè)存在的問題入手，借鑒其他國家和地區(qū)的改革經(jīng)驗(yàn)，可以從以下幾方面入手，改善我國安全生產(chǎn)軟環(huán)境建設(shè)現(xiàn)狀。

(一)完善相關(guān)領(lǐng)域的立法工作

改革開放后，安全生產(chǎn)的立法工作取得了較大的進(jìn)步，但是與現(xiàn)實(shí)需要還有很大差距，重要領(lǐng)域缺乏可操作性的法律法規(guī)給執(zhí)法工作帶來了巨大的困難。在實(shí)際工作中，中原經(jīng)濟(jì)區(qū)安全生產(chǎn)的立法工作要注意:第一，區(qū)域經(jīng)濟(jì)發(fā)展中制定的安全生產(chǎn)規(guī)章制度與中央、各省市的各項(xiàng)規(guī)章保持一致，對已實(shí)施規(guī)章存在矛盾的地方，在科學(xué)判斷后進(jìn)行修改或者廢除;第二，強(qiáng)調(diào)相關(guān)法律法規(guī)的可操作性，在擬制訂法律法規(guī)之前對該領(lǐng)域進(jìn)行綜合調(diào)研，加強(qiáng)審批過程中的可行性評估;第三，強(qiáng)調(diào)立法過程中的公眾參與，積極推行立法過程中的聽證會制度，廣泛聽取相關(guān)專家、社會公眾的意見和建議，增加立法的透明度。最終目標(biāo)為“通過法律規(guī)制，實(shí)現(xiàn)權(quán)利資源的最優(yōu)配置，從而實(shí)現(xiàn)權(quán)利資源使用價值在質(zhì)上的極優(yōu)化程度和量上的極大化程度”。

(二)深化監(jiān)管體制改革，提高監(jiān)管者素質(zhì)

執(zhí)行是安全生產(chǎn)軟環(huán)境建設(shè)的關(guān)鍵，權(quán)責(zé)明晰的監(jiān)管體制、專業(yè)有素的監(jiān)管隊(duì)伍、獨(dú)立專業(yè)的監(jiān)管機(jī)構(gòu)是安全生產(chǎn)各項(xiàng)政策執(zhí)行有力的重要保證。改革監(jiān)管體制中存在的多頭管理，明確各執(zhí)行機(jī)構(gòu)的權(quán)責(zé)問題，成立專門的監(jiān)管機(jī)構(gòu)是西方國家監(jiān)管體制改革的主要經(jīng)驗(yàn)。我國各級行政機(jī)構(gòu)改革要堅(jiān)持這一改革思路，從人員任命、經(jīng)費(fèi)管理使用上保持安全生產(chǎn)監(jiān)管機(jī)構(gòu)的獨(dú)立性，從而避免出現(xiàn)多頭管理的利益爭奪問題。同時，監(jiān)管者自身的素養(yǎng)和專業(yè)素質(zhì)對安全生產(chǎn)監(jiān)管實(shí)施有重要影響。由于信息不對稱的存在，“規(guī)制過程的當(dāng)事人之間存在著:公眾———政治委托人、政治委托人———規(guī)制者、規(guī)制者———被規(guī)制企業(yè)這樣三層委托關(guān)系”。實(shí)際工作中，諸如安全生產(chǎn)一票否決制、綠色GDP生態(tài)指標(biāo)考核制等問責(zé)制就是激勵和約束監(jiān)管的一種有效方式。我國的安全生產(chǎn)軟環(huán)境建設(shè)也應(yīng)積極探尋有效的方式方法，激勵和約束監(jiān)管者的執(zhí)法行為。

篇（4）

信息技術(shù)快速發(fā)展，尤其Internet的廣泛應(yīng)用，在如今大數(shù)據(jù)時代，軟件是計(jì)算機(jī)技術(shù)一種，在其軟件開發(fā)過程中，計(jì)算機(jī)軟件存在一定漏洞，要保障計(jì)算機(jī)軟件的安全性，必須提高計(jì)算機(jī)軟件的檢測技術(shù)，提升計(jì)算機(jī)軟件性能，是提高計(jì)算機(jī)網(wǎng)絡(luò)安全的有效途徑。

1 計(jì)算機(jī)軟件安全漏洞目前的狀況

計(jì)算機(jī)軟件在開發(fā)的時候有的就存在一定漏洞，當(dāng)時可能沒有技術(shù)解決軟件漏洞問題，但在軟件使用的過程中，會出現(xiàn)一系列問題，必須加強(qiáng)軟件安全漏洞的檢測技術(shù)，檢測軟件是否合格，不合格的軟件必須加強(qiáng)軟件補(bǔ)丁，促使軟件達(dá)到合格標(biāo)準(zhǔn)，經(jīng)過測試后，才能投入市場使用。還有的軟件開發(fā)時候沒有任何漏洞，但隨著時間的推移，軟件會出現(xiàn)一定漏洞，軟件必須是在使用的過程中，逐步進(jìn)行軟件完善，提升軟件性能，讓其達(dá)標(biāo)，減少軟件的漏洞，出現(xiàn)漏洞以后要及時修復(fù)，提高軟件的生命周期，在一個友好的界面下，充分發(fā)揮軟件的功能，讓其在使用過程中，起到一定的作用，提升性能，減少漏洞。軟件在使用的過程中，根據(jù)技術(shù)的發(fā)展與變化，計(jì)算機(jī)軟件的漏洞必須技術(shù)檢測，延長軟件的生命周期，提高軟件性能，滿足其需要。

2 計(jì)算機(jī)軟件安全漏洞檢測技術(shù)解讀

2.1 靜態(tài)程序解析

靜態(tài)程序解析是軟件安全常用的檢測技術(shù)，這種檢測技術(shù)是通過程序代碼，通過利用機(jī)器語言、匯編語言等進(jìn)行編譯，利用反代碼形式，對檢測出來的軟件漏洞，及時進(jìn)行修復(fù)，提高軟件性能，在實(shí)際應(yīng)用過程中，涉及到程序設(shè)計(jì)中的語言、函數(shù)、數(shù)組、過程、集合、文件等。利用軟件技術(shù)解決軟件漏洞問題，靜態(tài)程序解析對程序設(shè)計(jì)起到保護(hù)作用，檢測軟件漏洞，提升計(jì)算機(jī)軟件性能，這是一種常用的計(jì)算機(jī)軟件安全漏洞檢測技術(shù)，通過該技術(shù)對軟件漏洞進(jìn)行合理檢測，提高軟件性能，延長軟件的生命周期。

2.2 利用邏輯公式對程序性質(zhì)進(jìn)行表達(dá)

根據(jù)程序的性質(zhì)，對計(jì)算機(jī)軟件漏洞進(jìn)行檢測，判斷其中的應(yīng)用能力，邏輯公式能對計(jì)算機(jī)軟件的性能進(jìn)行檢測，檢測其的合法性，是否存在軟件漏洞，有的軟件漏洞是需要升級與更新軟件就可以解決的，有的是出現(xiàn)軟件錯誤，必須合理采用措施，解決軟件漏洞問題。其中的公理化方法的邏輯是完整的體系，其中的每個公式都是由單個程序語句和其前后置斷言共同構(gòu)成，具體理論當(dāng)中只有一條賦值公理，形式演算系統(tǒng)以一階謂詞邏輯為基礎(chǔ)，各自為順序、分支以及循環(huán)指令增加了相應(yīng)的演算法則。公理化方法已經(jīng)被證明具有較強(qiáng)的可靠性和完整性，但匹配的形式演算系統(tǒng)存在半可判定的情況。程序的正確性涉及程序設(shè)計(jì)人員利用邏輯公式對程序?qū)?yīng)的功能規(guī)約展開描述，另外一個問題就是要為循環(huán)體確定循環(huán)不變式。邏輯公式的應(yīng)用提高了邏輯判斷能力，在利用語句進(jìn)行科學(xué)判斷，檢測計(jì)算機(jī)軟件是否存在漏洞，根據(jù)邏輯公式的判斷能力，檢測軟件是否存在漏洞，如果存在漏洞，對其合理的進(jìn)行修補(bǔ)，解決軟件漏洞問題，提升軟件性能，完善軟件功能。

2.3 測試庫技術(shù)

測試庫技術(shù)是計(jì)算機(jī)軟件檢測中常用技術(shù)，對解決計(jì)算機(jī)軟件漏洞起到幫助作用。測試庫技術(shù)是檢測計(jì)算機(jī)軟件中的核心部件，判斷計(jì)算機(jī)軟件是否存在漏洞。利用測試庫技術(shù)只能對動態(tài)內(nèi)存操作函數(shù)導(dǎo)致的錯誤進(jìn)行判定。而且其主要對運(yùn)行過程中輸入數(shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)其中的弱點(diǎn)。這種檢測并不是從整體上進(jìn)行判定。這也表明檢測過程只是驗(yàn)證 BUG 是否被發(fā)現(xiàn)，但是無法證實(shí)BUG的存在。使用這項(xiàng)技術(shù)對于普通應(yīng)用程序而言，并不會存在任何兼容問題。使用測試庫技術(shù)的主要優(yōu)勢不存在誤報(bào)。從性能上對這個技術(shù)展開分析，其性能消耗較大，從其工作原理很容易能推導(dǎo)出這個結(jié)論。利用測試庫技術(shù)檢測計(jì)算機(jī)軟件是否存在漏洞，是所有檢測技術(shù)中最科學(xué)的，也是最準(zhǔn)確的，但其測試有一定難度，對計(jì)算機(jī)軟件本身也是一種傷害，提高計(jì)算機(jī)軟件性能，必須合理的利用軟件的檢測技術(shù)，科學(xué)的選擇檢測技術(shù)，有目的的進(jìn)行檢測軟件是否存在漏洞，科學(xué)的解決軟件漏洞問題，提高軟件性能。

2.4 源碼改編

利用軟件漏洞檢測技術(shù)，檢測出計(jì)算機(jī)軟件存在一定漏洞，沒有合理方法進(jìn)行漏洞修復(fù)，就有必要根據(jù)軟件漏洞的階段，去修改程序的源代碼，這種源碼改編技術(shù)，是徹底解決計(jì)算機(jī)軟件漏洞的最根本方法，該檢測技術(shù)對人員的要求很高，能利用其它技術(shù)檢測出軟件漏洞，能利用源碼改編技術(shù)進(jìn)行修改，這是計(jì)算機(jī)軟件檢測技術(shù)的高級階段，是計(jì)算機(jī)軟件發(fā)展到一定程度的需要，也是社會發(fā)展對計(jì)算機(jī)軟件技術(shù)提出的新要求。

總之，計(jì)算機(jī)軟件技術(shù)存在一定漏洞，要解決計(jì)算機(jī)軟件漏洞，必須利用軟件檢測技術(shù)，及時檢測，發(fā)現(xiàn)問題要及時解決，但在計(jì)算機(jī)軟件發(fā)展的過程中，計(jì)算機(jī)軟件肯定存在一定問題，必須科學(xué)的合理解決計(jì)算機(jī)軟件的安全問題，提高對軟件安全認(rèn)識，增加計(jì)算機(jī)軟件的應(yīng)用性，符合現(xiàn)代計(jì)算機(jī)軟件技術(shù)發(fā)展需要。

參考文獻(xiàn)

[1]許躍穎.計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].電子制作，2016（02）.

[2]顏漢權(quán).基于模糊測試的軟件漏洞檢測方法[J].求知導(dǎo)刊，2015（11）.

[3]高妍.計(jì)算機(jī)軟件安全漏洞檢測技術(shù)與應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2014（04）.

[4]陳斯，盧華.計(jì)算機(jī)軟件中安全漏洞檢測技術(shù)及其應(yīng)用[J].電子技術(shù)與軟件工程，2016（11）.

[5]王垌堯.計(jì)算機(jī)軟件安全漏洞檢測技術(shù)與應(yīng)用[J].黑龍江科技信息，2016（09）.

作者簡介

篇（5）

信息網(wǎng)絡(luò)安全事件發(fā)生比例的不斷攀升、病毒利用軟件漏洞猖狂地傳播使得人們越發(fā)認(rèn)識到信息安全的重要性。一般認(rèn)為，傳統(tǒng)的信息安全技術(shù)可以借助防火墻(包括軟件和硬件防火墻)審核通過網(wǎng)絡(luò)的報(bào)文、限定用戶的訪問權(quán)限等來防止非授權(quán)用戶對重要數(shù)據(jù)的訪問，但是這一觀點(diǎn)是建立在軟件安全基礎(chǔ)上的。網(wǎng)絡(luò)應(yīng)用軟件需要暴露在網(wǎng)絡(luò)環(huán)境下，并且授權(quán)外部用戶可以透過網(wǎng)絡(luò)來訪問此軟件。通過網(wǎng)絡(luò)，攻擊者有機(jī)會接觸到軟件，如果軟件本身存在漏洞，那么所有的防火墻就形同虛設(shè)。暴露于網(wǎng)絡(luò)的應(yīng)用軟件往往成為被攻擊的目標(biāo)，是網(wǎng)絡(luò)應(yīng)用軟件安全的重災(zāi)區(qū)。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(nist)2002年的一項(xiàng)研究表明，美國花費(fèi)在軟件缺陷方面的費(fèi)用達(dá)到595億美元。公安部2008年全國信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查分析報(bào)b說明，在發(fā)生的安全事件中，未修補(bǔ)或防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最主要原因。

1安全測試的定義

    安全測試是鑒別信息系統(tǒng)數(shù)據(jù)保護(hù)和功能維護(hù)的過程。安全測試需要涵蓋的6個基本安全概念是:保密性、完整性、權(quán)限(身份驗(yàn)證)、授權(quán)(權(quán)限分配)、可提供性、不可抵賴性陰。軟件開發(fā)商都存在解決安全威脅方古的問題。對軟件開發(fā)商來說，安全性是其核心要求，這是由市場力量所驅(qū)動，也是由保護(hù)關(guān)鍵基礎(chǔ)結(jié)構(gòu)及建立和保持計(jì)算的廣泛信任的需要所決定的。所有軟件開發(fā)商面對的一個主要挑戰(zhàn)就是創(chuàng)建更加安全的軟件，使其不需要頻繁地通過修補(bǔ)程序進(jìn)行更新。軟件安全已經(jīng)成為評判軟件質(zhì)量的一個重要標(biāo)準(zhǔn)，軟件安全測試則成為保證軟件產(chǎn)品能夠符合這一標(biāo)準(zhǔn)的重要手段。軟件的安全性測試主要是測試在正常和非正常情況下，軟件能否對數(shù)據(jù)進(jìn)行安全有效的操作。

2軟件開發(fā)生命周期流程(參見圖1)

    對于軟件行業(yè)來說，要滿足當(dāng)今提升安全性的需要，軟件供應(yīng)商必須轉(zhuǎn)為采用一種更嚴(yán)格的、更加關(guān)注安全性的軟件開發(fā)流程。這種流程旨在盡量減少設(shè)計(jì)、編碼和文檔編寫過程中存在的漏洞，并在軟件開發(fā)生命周期中盡可能早地檢測到并消除這些漏洞。用于處理來自internet的輸人、控制可能被攻擊的關(guān)鍵系統(tǒng)或處理個人身份信息的企業(yè)和消費(fèi)者軟件最需要實(shí)施這種流程。在很多實(shí)際的軟件開發(fā)項(xiàng)目中，安全測試已經(jīng)成為sdl一個不可或缺的組成部分，并成為整個項(xiàng)目過程中的長期任務(wù)。黑盒一白盒測試方法往往執(zhí)行在產(chǎn)品遞交客戶之前，但有的甚至在投人使用之后都未進(jìn)行安全檢測和風(fēng)險評估;在一些安全性要求較高的項(xiàng)目中，雖然將安全風(fēng)險評估納人預(yù)算，但在實(shí)際操作中卻對其并未作過多考慮。這樣，所導(dǎo)致的直接后果是在開發(fā)工作幾近完成的情況下進(jìn)行問題分析處理所造成的成本將遠(yuǎn)遠(yuǎn)大于在軟件開發(fā)階段進(jìn)行缺陷修改的成本。即便是從充分利用現(xiàn)有的有限資金和資源的角度來考慮，也有必要將安全測試囊括到sdl中。這樣做雖然不能取代軟件開發(fā)后期的滲透測試和脆弱性測試，卻可以有效減少后者在施過程中的投人。

    開發(fā)人員應(yīng)該根據(jù)客戶的功能需求來制定相應(yīng)的安全規(guī)約，利用內(nèi)建的明確的控制機(jī)制來降低安全風(fēng)險。開發(fā)人員可以根據(jù)風(fēng)險評估的結(jié)果來確定測試項(xiàng)目:軟件能否可靠運(yùn)行(safety)以及軟件運(yùn)行結(jié)果是否可靠(security)。

    軟件開發(fā)生命周期((sdl)中常用的測試方法有:單元測試、集成測試和驗(yàn)收測試。

2.1需求、設(shè)計(jì)階段—安全性分析

    在軟件項(xiàng)目的設(shè)計(jì)過程中，人們往往只是關(guān)注系統(tǒng)的特性和功能，而沒有充分考慮其他重要的非功能問題(例如性能、可用性、平臺支持、安全，及要在稍后的軟件開發(fā)生命周期中需要解決的安全性)，導(dǎo)致了項(xiàng)目中許多不必要的波動和延遲。由于安全性分析影響了整個的設(shè)計(jì)和架構(gòu)，因此應(yīng)該在項(xiàng)目設(shè)計(jì)階段充分地審查和了解它們。

    安全性考慮包括一系列問題，例如訪問控制和授權(quán)、敏感數(shù)據(jù)的適當(dāng)處理、數(shù)據(jù)和存儲器訪問的適當(dāng)使用，以及加密方法。一些安全性需求不是非功能的需求，如所實(shí)施的加密類型。另外，許多安全性需求是更直接地面向用例的，并且需要定義主要場景，以及定義備選路徑和異常路徑。在沒有將功能的和非功能的需求適當(dāng)?shù)囟x及并人軟件中的情況下，編碼錯誤和設(shè)計(jì)缺陷會表現(xiàn)出關(guān)鍵的信息和操作處于危險。我們應(yīng)該像對待其他的需求那樣處理安全性需求，并將安全性需求劃分出優(yōu)先級，設(shè)定范圍，同時作為整體用例和功能需求的一部分進(jìn)行管理。

2.2實(shí)施階段—單元測試

    受測試方式的影響，開發(fā)者對軟件安全風(fēng)險的評估不可能面面俱到。最典型的就是在代碼設(shè)計(jì)階段，開發(fā)者可以通過單元測試來檢驗(yàn)代碼行為，這些結(jié)果都是可以預(yù)知的，但是受到范圍的局限，不能測試這些類或者模塊集成后的行為。

    實(shí)施單元測試可以從軟件基本單位(單個類)的檢測上保證輸人的有效性;在可能出現(xiàn)惡意攻擊的地方，也可以利用這一思想來組織針對單個類或者方法的單元測試，從而組織起軟件內(nèi)部的縱深防御策略，防止惡意行為對軟件安全造成的損害。但是，這一方法將軟件各組件進(jìn)行強(qiáng)制孤立，因此對于因大量組件交互而引起的軟件缺陷，利用此種方法無法檢測。

    單元層的安全測試比較適合于防止緩沖區(qū)溢出，格式化字符串以及數(shù)據(jù)缺失的審核。

2.3驗(yàn)證階段—集成測試

    在集成層，軟件的整體安全屬性變得可見和可測試，使得這一層的可測試屬性數(shù)量相對單元層而言要多得多，但是對于跨站腳本和網(wǎng)絡(luò)服務(wù)器提供的一些服務(wù)(例如安全套接層ssl和url過濾)的測試，存在一定的困難。我們可以將實(shí)際案例和風(fēng)險分析的結(jié)果作為組織集成測試的指南。

    集成測試要求測試人員通過安全測試培訓(xùn)，并且是有熟練技術(shù)的軟件開發(fā)人員。

    在這一層，我們可以開展諸如注人缺陷驗(yàn)證、旁路驗(yàn)證以及訪問控制等方面的安全測試，來源于外部代碼的安全審查結(jié)果也應(yīng)該以集成測試的方式加以確認(rèn)。

2.4階段—驗(yàn)收測試

    驗(yàn)收測試是軟件產(chǎn)品交付客戶之前的最后一個測試階段，是在真實(shí)的測試環(huán)境中，利用基于惡意事件的安全檢測模板，測試在典型的滲透活動中可被識別的安全缺陷。驗(yàn)收測試的這一特性(基于安全檢測模板)，使得我們可以借助于強(qiáng)大的自動化測試軟件進(jìn)行檢測，并且可以用驗(yàn)收測試的結(jié)果來完善滲透測試報(bào)告內(nèi)容，從而有助于開發(fā)人員理解軟件的脆弱性以及針對軟件脆弱性所采取的補(bǔ)救措施是否有效。

    驗(yàn)收測試針對軟件的外部api，因此不如單元測試和集成測試松散，并且只能測試當(dāng)前已知且暴露的漏洞或者缺陷。非定制的商業(yè)軟件重新設(shè)計(jì)的關(guān)鍵功能或者其他改變都會影響到軟件的整體安全性，因此，如果改變會使得軟件產(chǎn)生不可預(yù)知的缺陷，針對這些缺陷的測試就應(yīng)該在單元層或者集成層開展，而不是在驗(yàn)收層。

    在驗(yàn)收層，我們可以測試針對解釋性程序(sql, xpath,ldap等)的注人式攻擊、跨站腳本攻擊、跨站請求偽造等。緩沖區(qū)溢出及格式化字符串等軟件缺陷也可以在驗(yàn)收測試層得到檢測。

3安全測試隊(duì)伍

    軟件測試一度被認(rèn)為是編程能力偏低的員工的工作，直到今天，仍然有許多公司把優(yōu)秀的人才安排在編碼工作上，也有更多公司讓優(yōu)秀的人才進(jìn)行設(shè)計(jì)，僅有很少公司讓優(yōu)秀的人才進(jìn)行測試工作。實(shí)際的軟件工程實(shí)踐證明，讓對軟件思想有深刻理解的工程師進(jìn)行軟件測試，可以大幅度地提高軟件質(zhì)量軟件供應(yīng)商還必須認(rèn)識到組織測試人員進(jìn)行“安全進(jìn)修”對安全測試的成功實(shí)施至關(guān)重要。在這些情況下，軟件供應(yīng)商必須負(fù)責(zé)對其工程人員進(jìn)行適當(dāng)教育。根據(jù)組織的規(guī)模和可用的資源，擁有大批工程人員的組織可建立一個內(nèi)部計(jì)劃對其工程師進(jìn)行在職安全培訓(xùn)，而小型組織則可能需要依賴外部培訓(xùn)。

    測試人員要像攻擊者那樣帶有“惡意的”想法去思考，而且在測試軟件時還要扮演攻擊者，攻擊自己的系統(tǒng)，以此來幫助發(fā)現(xiàn)軟件的安全漏洞。安全測試并不會總是直接導(dǎo)致安全溢出或者暴露可利用的漏洞，從而引出安全缺陷。要安全測試盡可能地發(fā)揮作用，測試人員需具備較強(qiáng)的分析能力，而這更多的是依靠熟練的開發(fā)技術(shù)和開發(fā)經(jīng)驗(yàn)。

4漏洞舉例:一個sql的注入式漏洞

    有幾種情形使得sql注人攻擊成為可能。最常見的原因是，使用拼接形成的sql語句去操作數(shù)據(jù)庫。譬如，傳入用戶輸人的管理員用戶名和密碼，把這2個參數(shù)拼接形成sql語句，通過執(zhí)行該sql語句，以便驗(yàn)證用戶輸人的管理員用戶名和密碼的正確性。具體過程如下:

    一般情況下，用戶傳人正常的用戶名和密碼進(jìn)行驗(yàn)證，如傳人“myname”和“mypassword”進(jìn)行驗(yàn)證，得到的sql語句將是:

    這個sql語句很正常。但是，這只是開發(fā)人員預(yù)期的做法:通過管理員用戶名和密碼來驗(yàn)證賬戶信息。但因?yàn)閰?shù)值沒有被正確地加碼，黑客可以很容易地修改查詢字符串的值，以改變sql語句的邏輯。譬如，分別傳人“myname’ ori=1--” ,  "mypassword"，得到的sql語句將是: 

   

    在用戶名“myname’  or i=i--”中，第一個“”’結(jié)束了原有字符串中第一個單撇號的配對，"or”后面的“i=i”會導(dǎo)致不管前面的驗(yàn)證結(jié)果如何，都會返回真true值，而隨后的“一”將把其后的sql語句注釋掉。現(xiàn)在問題出現(xiàn)了，不管使用什么用戶名和密碼，都能驗(yàn)證通過。在存在漏洞的數(shù)據(jù)顯示頁面，如果注人join語句，就能獲取數(shù)據(jù)庫里的所有數(shù)據(jù)，顯示在頁面上，如獲取用戶名、密碼等;而注入up-date/insert/delete語句將改變數(shù)據(jù)，如添加新的管理員賬號等。這樣，數(shù)據(jù)庫將不再安全。

篇（6）

③ See Statement of Congressman Rick Boucher，Introduction of the Business Method Patent Improvement Act of 2000，Tuesday， October6，2000，.

⑧見USPTO網(wǎng)站：103 Rejection Examples for Business Method Inventions FORMULATING AND COMMUNICATING REJECTIONS UNDER 35 U.S.C. 103 FOR PPLICATIONS DIRECTED TO COMPUTER-IMPLEMENTED BUSINESS METHOD INVENTIONS

⑨See UPC 705，

⑩保證商業(yè)方法發(fā)明的新穎性，美國專利商標(biāo)局于2000年3月提出的商業(yè)方法專利行動計(jì)劃中要求擴(kuò)大在先技術(shù)的檢索.美國知識產(chǎn)權(quán)法協(xié)會建議專利商標(biāo)局收集非專利商業(yè)方法的在先技術(shù)，美國國會議員提出的2000年商業(yè)方法專利促進(jìn)法中有充分的在先技術(shù)以檢索商業(yè)方法發(fā)明的新穎性的建議。

參考文獻(xiàn)：

①曾文怡.商業(yè)方法發(fā)明之可專利性研究，世新大學(xué)智慧財(cái)產(chǎn)權(quán)研究所碩士論文，2011年6月。

②陳健.商業(yè)方法專利研究[M].北京：知識產(chǎn)權(quán)出版社，第1版，2011年5月1日；第一章，美國最高法院關(guān)于商業(yè)方法專利審查的“三部曲”。

篇（7）

 

0 引言

RFID是近年來的一項(xiàng)熱門技術(shù)，現(xiàn)在它廣泛應(yīng)用于物流、交通、商業(yè)、管理等各個領(lǐng)域。。RFID系統(tǒng)由標(biāo)簽、閱讀器（Reader）、應(yīng)用軟件和現(xiàn)有的互聯(lián)網(wǎng)的基礎(chǔ)上組成[1]。

在RFID系統(tǒng)里，RFID標(biāo)簽通過讀寫器把標(biāo)簽數(shù)據(jù)讀取出來，傳送給RFID應(yīng)用軟件進(jìn)行相應(yīng)的數(shù)據(jù)處理，然后再通過互聯(lián)網(wǎng)在各個應(yīng)用環(huán)節(jié)“交流”信息，從而實(shí)現(xiàn)商品信息的流通，如圖1所示。

圖1 RFID系統(tǒng)結(jié)構(gòu)圖

RFID的應(yīng)用越來越廣泛，它像計(jì)算機(jī)網(wǎng)絡(luò)一樣也存在著安全隱患，如果不能很好地解決RFID系統(tǒng)的安全問題，隨著應(yīng)用擴(kuò)展，未來遍布全球各地的RFID系統(tǒng)安全可能會像現(xiàn)在的網(wǎng)絡(luò)安全難題

一樣考驗(yàn)人們的智慧。隨著RFID芯片的功能越來越復(fù)雜，它們受到攻擊的危險也越高。這些安全問題將會嚴(yán)重阻礙RFID系統(tǒng)的應(yīng)用推廣。

因此，在RFID技術(shù)大規(guī)模應(yīng)用之前有必要提前解決預(yù)計(jì)出現(xiàn)的安全及隱私問題或者把這種危害降低到相對低點(diǎn)。

1 存在的安全隱患

RFID系統(tǒng)和其他信息系統(tǒng)一樣存在許多安全隱患，這些隱患無疑威脅著RFID系統(tǒng)的正常運(yùn)行，并且不同于其他信息系統(tǒng)的安全問題。根據(jù)上邊的RFID系統(tǒng)結(jié)構(gòu)圖，我們把系統(tǒng)存在的安全問題分為三類：標(biāo)簽集安全、軟件級安全和網(wǎng)絡(luò)級安全，下面分別分析這三種安全隱患。

1.1 標(biāo)簽級安全

目前RFID處于初級起步階段，標(biāo)簽級安全主要集中在以下三個方面：

（1）對電子標(biāo)簽信息的盜讀和篡改[2]

RFID標(biāo)簽和條碼不同，體積小，容量小，通過天線就可以與外界交互信息，因此射頻識別系統(tǒng)很容易受到攻擊。RFID標(biāo)簽擁有惟一的ID，一旦攻擊者獲得ID，也就獲得了目標(biāo)對象的數(shù)據(jù)信息。未被保護(hù)的標(biāo)簽易遭受來自未授權(quán)方的監(jiān)聽，未授權(quán)的讀寫器在沒有訪問控制協(xié)議下可隨時訪問其附近的標(biāo)簽從而獲得機(jī)密數(shù)據(jù)。

在篡改電子標(biāo)簽內(nèi)數(shù)據(jù)方面，存在非法者改寫或是重置標(biāo)簽內(nèi)容的威脅。破壞者也可以通過破壞一組標(biāo)簽的有效工作性能，從而可能使整個供應(yīng)鏈陷入癱瘓狀態(tài)，因此存在標(biāo)簽數(shù)據(jù)被篡改的危險。

（2）讀寫器受到干擾或其他攻擊

由于RFID的開放式環(huán)境，非法用戶通過發(fā)射干擾信號來影響讀寫器讀取信號，或用其他方式釋放攻擊信號直接攻擊讀寫器，使讀寫器無法接收正常的標(biāo)簽數(shù)據(jù)。

（3）對環(huán)境的適應(yīng)性

由于零售業(yè)和物流業(yè)的RFID應(yīng)用環(huán)境比較復(fù)雜，因此需要RFID具有較強(qiáng)的適應(yīng)性，包括能夠在存在非惡意的信號干擾、金屬干擾、潮濕以及一定程度的遮擋等。

1.2 軟件級安全

數(shù)據(jù)進(jìn)入后端系統(tǒng)之后，則屬于傳統(tǒng)應(yīng)用軟件安全的范疇。在這一領(lǐng)域具有比較強(qiáng)的安全基礎(chǔ)，有很多手段來保證這一范疇的安全。。

1.3 網(wǎng)絡(luò)級安全

RFID系統(tǒng)中標(biāo)簽數(shù)據(jù)進(jìn)入系統(tǒng)軟件，然后再經(jīng)由現(xiàn)有的Internet網(wǎng)絡(luò)傳輸。在的Internet網(wǎng)絡(luò)也存在很多安全隱患，這是Internet安全的問題。

2 主要技術(shù)對策及分析

RFID系統(tǒng)存在三個不同層面上的安全隱患：標(biāo)簽、軟件、網(wǎng)絡(luò)。盡管與計(jì)算機(jī)和網(wǎng)絡(luò)的安全問題類似，但實(shí)際上RFID的安全問題要嚴(yán)峻得多。RFID技術(shù)本身就包含了比計(jì)算機(jī)和網(wǎng)絡(luò)中更多更容易泄密的不安全節(jié)點(diǎn)。對于網(wǎng)絡(luò)和軟件安全方面我們已經(jīng)耳熏目染，這里只討論RFID系統(tǒng)特有的安全問題即標(biāo)簽級安全的對策。

RFID芯片本身就存在一些需要我們解決的安全難題。由于RFID芯片很小，內(nèi)存和存儲容量也同樣小，這就限制了它能夠容納的數(shù)字和加密密鑰的長度，從而使它很難實(shí)施進(jìn)行強(qiáng)大加密所需要的公共密鑰交換等事情[3]。

標(biāo)簽級安全對策主要有以下幾種：

(1) 只讀標(biāo)簽

這種方式消除了數(shù)據(jù)被篡改和刪除的風(fēng)險，但仍然具有被非法閱讀的風(fēng)險。

(2 ) 限制標(biāo)簽和讀寫器之間的通信距離

采用不同的工作頻率、天線設(shè)計(jì)、標(biāo)簽技術(shù)和讀寫器技術(shù)可以限制兩者之間的通信距離，降低非法接近和閱讀標(biāo)簽的風(fēng)險，但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L(fēng)險還以損害可部署性為代價。

(3) 實(shí)現(xiàn)專有的通信協(xié)議

在高度安全敏感和互操作性不高的情況下，實(shí)現(xiàn)專有通信協(xié)議是有效的。它涉及到實(shí)現(xiàn)一套非公有的通信協(xié)議和加解密方案?；谕晟频耐ㄐ艆f(xié)議和編碼方案，可實(shí)現(xiàn)較高等級的安全。但是，這樣便喪失了與采用工業(yè)標(biāo)準(zhǔn)的系統(tǒng)之間的RFID數(shù)據(jù)共享能力[4]。

(4) 屏蔽

可以使用法拉第網(wǎng)來屏蔽標(biāo)簽，使其喪失了RF特征。。在不需要閱讀和通信的時候，這也是一個主要的保護(hù)手段，特別是包含有金融價值和敏感數(shù)據(jù)的標(biāo)簽的場合，可以在需要通信的時候解除屏蔽。(5) 使用銷毀指令(KillCommand)

如果標(biāo)簽支持Kill指令，當(dāng)標(biāo)簽接收到讀寫器發(fā)送的Kill命令便會將自己銷毀，無法被再次激活，以后它將對讀寫器的任何指令都無法反應(yīng)。特別是在零售場合，消費(fèi)者可以在購買產(chǎn)品后執(zhí)行Kill命令使標(biāo)簽失效，從而消除了消費(fèi)者在隱私方面的顧慮。但是使用這種方式影響到商品的反向跟蹤，比如退貨、維修和售后服務(wù)等。因?yàn)闃?biāo)簽卷標(biāo)已經(jīng)無效，相應(yīng)的信息系統(tǒng)將不能再識別該標(biāo)簽的數(shù)據(jù)。

(6) 使用休眠指令(Sleep)

當(dāng)支持休眠命令的標(biāo)簽接收到讀寫器傳來的休眠(Sleep)指令,標(biāo)簽即進(jìn)入休眠狀態(tài)，不會響應(yīng)任何讀寫器的操作；當(dāng)標(biāo)簽收到讀寫器的喚醒(WakeUp)命令才會恢復(fù)正常。

(7) 物理損壞

物理損壞是指使用物理手段徹底銷毀標(biāo)簽，并且不必像殺死命令一樣擔(dān)心標(biāo)簽是否失效，但是對一些嵌入的、難以接觸的標(biāo)簽則難以做到。

(8) 認(rèn)證和加密

可使用各種認(rèn)證和加密手段來確保標(biāo)簽和讀寫器之間的數(shù)據(jù)安全[5]。讀寫器操作標(biāo)簽時必須同時發(fā)送密碼，標(biāo)簽驗(yàn)證密碼成功才響應(yīng)讀寫器，之前，標(biāo)簽的數(shù)據(jù)一直處于鎖定狀態(tài)。更嚴(yán)格的還可能同時包括認(rèn)證和加密方案。

(9) 選擇性鎖定[6]

這種方法使用一個特殊的稱為鎖定者(Blocker)的RFID標(biāo)簽來模擬無窮的標(biāo)簽的一個子集。這一方法可以把阻止非授權(quán)的讀寫器讀取某個標(biāo)簽的子集。

選擇性鎖定克服或者平衡了以上各種方法的缺點(diǎn)，也消除了加密和認(rèn)證方案帶來的高成本性，這一方法在安全性和成本之間取得了較好的平衡。需要的時候，Blocker標(biāo)簽可以防止其他讀寫器讀取和跟蹤其附近的標(biāo)簽，而在不需要的時候，則可以取消這種阻止，使標(biāo)簽得以重新生效。

以上這些方法各有自己的特色和不足，沒有任何一個單一的手段可以徹底保證RFID應(yīng)用的安全，所以必須針對不同應(yīng)用靈活選擇和組合采用綜合性的解決方案，考慮成本和收益之間的關(guān)系。

3 結(jié)束語

RFID安全問題是個系統(tǒng)問題, 關(guān)注的焦點(diǎn)不應(yīng)該只局限在RFID產(chǎn)品本身上，RFID系統(tǒng)的安全, 不僅僅是RFID標(biāo)簽本身的安全技術(shù), 關(guān)鍵是應(yīng)用系統(tǒng)上的安全方案和管理制度。RFID系統(tǒng)安全會在應(yīng)用過程中逐步改善，而隨著安全問題的逐步完善它的應(yīng)用會越來越廣泛。

參考文獻(xiàn)：

[1]甘勇,鄭富娥,吉星.RFID中間件關(guān)鍵技術(shù)研究[J].電子技術(shù)應(yīng)用,2007,33(9):130-132.

[2]蔣文娟.RFID存在的隱私問題及應(yīng)用建議[J],計(jì)算機(jī)安全2005(10):21-22

[3]楊志和.基于中間件和RFID技術(shù)的物流管理系統(tǒng)的應(yīng)用研究[D]:碩士學(xué)位論文.廣西:廣西大學(xué).2006:30-45

[4]周永彬,馮登國.RFID安全協(xié)議的設(shè)計(jì)與分析[J].計(jì)算機(jī)學(xué)報(bào),2006,4:7-8

[5]李曉東.射頻識別技術(shù)中的隱私安全問題及策略[J].微電子學(xué)與計(jì)算機(jī).2005:137-140

篇（8）

課程創(chuàng)新點(diǎn)

經(jīng)過長期的教學(xué)實(shí)踐，西電科大“編譯原理”課程組已建立起了較完整的教學(xué)體系，包括年齡結(jié)構(gòu)和知識結(jié)構(gòu)合理的教師隊(duì)伍、反映本課程水平的自編教材及先進(jìn)的教學(xué)實(shí)踐環(huán)境，其特色和創(chuàng)新點(diǎn)概述如下：

1）堅(jiān)持教學(xué)科研并重，不斷更新教學(xué)內(nèi)容

課程組成員堅(jiān)持教學(xué)與科研并重，十幾年來先后主持與承擔(dān)國防預(yù)研、國防預(yù)研基金、橫向科研課題等十余項(xiàng)，發(fā)表學(xué)術(shù)與教學(xué)研究論文20余篇。這些課題所研究內(nèi)容大部分是編譯領(lǐng)域的核心技術(shù)，科研成果水平在國內(nèi)高校同行中處于領(lǐng)先地位。豐富的科研積累為教學(xué)的實(shí)施與改革提供了充足的養(yǎng)分。

課程組能夠?qū)⒖蒲谐晒皶r轉(zhuǎn)化到本課程的教學(xué)中，同時不斷更新教學(xué)內(nèi)容和教學(xué)手段，極大地發(fā)揮了學(xué)生的學(xué)習(xí)熱情和創(chuàng)造性，提高了“編譯原理”課程教學(xué)的水平和質(zhì)量。同時，通過科研與教學(xué)相結(jié)合，形成了一支學(xué)術(shù)造詣高、知識與年齡結(jié)構(gòu)合理、勇于改革且團(tuán)結(jié)協(xié)作的課程梯隊(duì)。

2）重視實(shí)驗(yàn)教學(xué)研究與改革，培養(yǎng)學(xué)生工程實(shí)踐能力與素質(zhì)

計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)是一個實(shí)踐性要求很高的專業(yè)，而“編譯原理”是本專業(yè)中對軟件設(shè)計(jì)實(shí)驗(yàn)環(huán)節(jié)要求更高的課程?！熬幾g原理”開設(shè)了獨(dú)立的綜合實(shí)驗(yàn)“函數(shù)繪圖語言解釋器構(gòu)造”，其中的三個實(shí)驗(yàn)子系統(tǒng)“詞法分析器構(gòu)造”、“語法分析器構(gòu)造”、“語法制導(dǎo)翻譯圖形繪制”有機(jī)連為一體，反映了“編譯原理”課程的核心技術(shù)和實(shí)驗(yàn)水平，充實(shí)了理論教學(xué)內(nèi)容，培養(yǎng)了學(xué)生的工程實(shí)踐能力與科研素質(zhì)。

我們還根據(jù)國內(nèi)教學(xué)條件的實(shí)際情況，在所承擔(dān)的科研項(xiàng)目工作基礎(chǔ)上，于1993年自主研制開發(fā)了在微機(jī)和DOS/Windows環(huán)境下的詞法分析器生成器XDFLEX和語法分析器生成器XDYACC（它們是與編譯器構(gòu)造領(lǐng)域中最具影響且被廣泛使用的、Unix環(huán)境下的詞法分析器生成器Lex和語法分析器生成器Yacc兼容的軟件，其中XD是我校英文縮寫），當(dāng)時在國內(nèi)是首創(chuàng)。1996年，我們又對XDFLEX進(jìn)行了改造，增加了漢字識別的自動生成，并重新命名為XDCFLEX。至此，XDCFLEX/ XDYACC形成了具有中國特色的、教學(xué)與科研兼顧的編譯器編寫工具（放在我校網(wǎng)站上供自由下載）。此工具不但提高了我校學(xué)生的上機(jī)實(shí)習(xí)水平和“編譯原理”課程實(shí)驗(yàn)室建設(shè)的水平，同時也被國內(nèi)多所高校的教師和學(xué)生以及研究所的科研人員使用，提高了我?！熬幾g原理”課程在國內(nèi)的地位。

課程建設(shè)的實(shí)施辦法

1）明確目標(biāo)，合理安排。根據(jù)課程組的現(xiàn)有條件，制定合理的建設(shè)目標(biāo)和課程質(zhì)量標(biāo)準(zhǔn)，提出師資隊(duì)伍建設(shè)規(guī)劃以及教學(xué)過程、教學(xué)管理和教學(xué)改革等方面的基本要求。依靠教師和教學(xué)管理人員，明確職責(zé)，分級建設(shè)，責(zé)任到人。

2）樹立課程整體優(yōu)化的觀念。在明確課程建設(shè)目標(biāo)的前提下，解決相關(guān)課程之間的配合和銜接問題，推進(jìn)“模塊課程”或“系列課程”的整體優(yōu)化，將課程建設(shè)放在專業(yè)建設(shè)和培養(yǎng)模式中進(jìn)行優(yōu)化設(shè)計(jì)。

3）重視師資隊(duì)伍建設(shè)，開展教學(xué)改革與研究。課程建設(shè)應(yīng)形成合理、優(yōu)化的專業(yè)教師梯隊(duì)，以高層次、高學(xué)歷教師為主體，教師隊(duì)伍中高、中、初級職稱比例合適，課程負(fù)責(zé)人具有較高的學(xué)術(shù)水平和教學(xué)水平，課程組有計(jì)劃地經(jīng)常開展教研活動，加強(qiáng)對中青年教師的培養(yǎng)。保證每年有一定的教學(xué)改革項(xiàng)目或教研項(xiàng)目立項(xiàng)和教學(xué)改革成果。

4）加強(qiáng)教材建設(shè)，改革教學(xué)手段。一方面采用國內(nèi)現(xiàn)有的先進(jìn)教材和精品教材，另一方面根據(jù)學(xué)院自身的現(xiàn)有條件和專業(yè)特點(diǎn)組織教師自編部分具有一定創(chuàng)新性和特色的教材。同時制作、收集和整理電子教材、課件以及教輔材料，逐步形成立體化教材體系。根據(jù)本課程的教學(xué)特點(diǎn)，采用多媒體教學(xué)，建立教學(xué)網(wǎng)站，實(shí)現(xiàn)網(wǎng)上教學(xué)輔導(dǎo)。

5）建立健全學(xué)生評價、教師同行聽課和教學(xué)督導(dǎo)組聽課機(jī)制，逐步完善教學(xué)質(zhì)量監(jiān)控和評估體系，確保和提高課堂教學(xué)質(zhì)量和效果。

6）建立有效的激勵機(jī)制。對于承擔(dān)精品課程建設(shè)任務(wù)并作出突出貢獻(xiàn)的課程負(fù)責(zé)人及骨干教師在評獎、評優(yōu)、晉職等方面給予優(yōu)先考慮。

教材介紹

課程組曾經(jīng)選用陳火旺院士的《編譯原理》（國防科技大學(xué)出版社）、《編譯原理和技術(shù)》，經(jīng)過長期積累，在總結(jié)二十多年教學(xué)經(jīng)驗(yàn)、科研與教學(xué)改革成果的基礎(chǔ)上，由劉堅(jiān)教授主編了《編譯原理基礎(chǔ)》教材。該教材及與其配套的教學(xué)輔助指導(dǎo)書《編譯原理基礎(chǔ)－習(xí)題與上機(jī)題解答》全面體現(xiàn)編譯原理的教學(xué)規(guī)律，內(nèi)容新穎先進(jìn)，獨(dú)創(chuàng)性、實(shí)用性好，教學(xué)適用性強(qiáng)。自2002年出版以來，已發(fā)行萬余冊，被若干高校選用，在相關(guān)科研技術(shù)人員中亦被廣泛使用。2005年《編譯原理基礎(chǔ)》被評為西安電子科技大學(xué)優(yōu)秀教材，同年，榮獲陜西省優(yōu)秀教材二等獎。

課程組教師

目前，“編譯原理”課程組由4名主講和3名專職輔導(dǎo)教師組成。

劉堅(jiān)：1982年2月起在西安電子科技大學(xué)任教，教授。主講本科生“編譯原理”、研究生“編譯原理與技術(shù)”等課程，研究方向?yàn)橛?jì)算機(jī)軟件理論與技術(shù)。主持“Ada軟件開發(fā)平臺技術(shù)”、“軟件系統(tǒng)安全故障模式分析”、“軟件安全模式”等課題的研究工作，發(fā)表多篇學(xué)術(shù)論文。

龔杰民：1973年5月起在西安電子科技大學(xué)任教，教授，研究方向?yàn)槿藱C(jī)交互技術(shù)和軟件開發(fā)工具。主講“編譯原理”、“形式語言與自動機(jī)理論”、“C程序設(shè)計(jì)”、“PROLOG程序設(shè)計(jì)”、“人機(jī)交互技術(shù)與可靠性工程”等課程。長期從事編譯原理、形式語言與自動機(jī)、人機(jī)交互技術(shù)等課程的教學(xué)與研究。發(fā)表教學(xué)研究及學(xué)術(shù)論文多篇，著有《C語言程序設(shè)計(jì)及其應(yīng)用》、《標(biāo)準(zhǔn)C語言程序設(shè)計(jì)及應(yīng)用》、《人機(jī)交互技術(shù)及可視化技術(shù)》、《人-計(jì)算機(jī)界面設(shè)計(jì)》（譯）等。主持的多項(xiàng)科研課題獲得省部級獎勵，其中，“觸摸屏電子筆”獲中國實(shí)用新型專利證書，主持的“液晶顯示器和等離子體顯示器的工效研究”課題成果已在日本使用。

方敏：1989年起在西安電子科技大學(xué)任教，博士，教授。主講“編譯原理”、“操作系統(tǒng)”、“計(jì)算機(jī)網(wǎng)絡(luò)”等課程，參加“聯(lián)合作戰(zhàn)態(tài)勢評估輔助決策模型研究”、“智能化多源數(shù)據(jù)融合”等課題的研究工作；編著教材“計(jì)算機(jī)操作系統(tǒng)”（西安電子科技大學(xué)出版社，2004）；撰寫論文多篇。

張淑平：1995年起在西安電子科技大學(xué)任教，在讀博士生，副教授。主講“編譯原理”、“數(shù)據(jù)結(jié)構(gòu)”等課程，西電科大 ACM/ICPC競賽基地教練, 參加“寬帶無線IP網(wǎng)絡(luò)安全體系結(jié)構(gòu)”、“基于算法的容忍入侵檢測系統(tǒng)”等科研項(xiàng)目，著有“程序員教程”一書(清華大學(xué)出版社，2004)，撰寫論文多篇。

張立勇：2001年起在西安電子科技大學(xué)任教，在讀博士生，講師。主講“編譯原理”、“分布對象技術(shù)”、“算法設(shè)計(jì)與分析”等課程，參加“計(jì)算機(jī)軟件安全模式分析”等課題研究，擔(dān)任西電科大ACM/ICPC競賽隊(duì)教練。

胡圣明：2003年起在西安電子科技大學(xué)任教，在讀博士生，講師。輔導(dǎo)“編譯原理”課程，主講“數(shù)據(jù)庫應(yīng)用技術(shù)”課程，參加《編譯原理基礎(chǔ)－習(xí)題與上機(jī)題解答》的編寫工作。參加“程序理解征挖掘理論與方法的研究”、“面向?qū)ο竽嫦蚬こ坦ぞ哐芯俊?、“系統(tǒng)應(yīng)用軟件逆向工程工具研究”等科研項(xiàng)目的研究工作，撰寫論文多篇。

篇（9）

8月初，在位于拉斯維加斯舉行的全球規(guī)模最大的國際黑客大會（Def Con hacking convention）上，Twitter公司軟件安全工程師米勒（Charlie Miller）和IOActive安全公司智能安全總監(jiān)瓦拉賽克（Chris Valasek）——這兩位曾因?qū)ふ业轿④浐吞O果軟件的漏洞而名聲大振的工程師，在獲得美國政府許可的情況下，了他們攻擊汽車數(shù)月后的研究。

“壞小子”們在長達(dá)100頁的白皮書中，詳細(xì)闡述攻擊豐田普銳斯（Prius）和福特翼虎（Escape）關(guān)鍵系統(tǒng)的方法——他們讓以每小時130公里速度行駛的豐田普銳斯突然剎車，當(dāng)然也可以讓汽車突然加速，甚至控制方向盤。還讓福特翼虎在慢速行駛時剎車失靈，司機(jī)不論用多大力氣踩剎車都于事無補(bǔ)。

當(dāng)然，他們的研究并非為了為非作歹，“殺人于無形之中”，而是為了搶在不法分子之前找到系統(tǒng)漏洞，這類黑客被稱為“白帽黑客”。

米勒和瓦拉賽克希望他們的數(shù)據(jù)能激勵其他“白帽黑客”去發(fā)現(xiàn)更多的汽車安全漏洞，這樣就能夠加以修復(fù)。米勒調(diào)侃道：“與其相信福特和豐田的眼光，我倒寧可相信100名安全研究人士的眼力。”

這樣看來，似乎汽車“太智能”也會帶來困擾。當(dāng)移動互聯(lián)網(wǎng)技術(shù)進(jìn)入汽車，汽車更像是一個個“移動終端”時候，如何來保證未來的駕駛安全？其實(shí)早在2011年，就有學(xué)術(shù)界人士談到如何利用藍(lán)牙系統(tǒng)和無線網(wǎng)絡(luò)入侵汽車，不過在當(dāng)時，學(xué)術(shù)界人士對細(xì)節(jié)秘而不宣，甚至拒絕透露他們?nèi)肭至耸裁葱吞柕能囕v。

被研究的“對象”有點(diǎn)坐不住了。豐田發(fā)言人漢森（John Hanson）稱豐田正對此加以評估。他稱，豐田在汽車電子安全方面投入了大量資金，但還是存在一些漏洞。而福特發(fā)言人戴奇（Craig Daitch）稱，福特認(rèn)真看待其車輛的電子安全。但他指出，由于米勒和瓦拉賽克的攻擊方法必須要坐在目標(biāo)車輛里才能實(shí)現(xiàn)，因此實(shí)際風(fēng)險是相對較低的。

同樣被暴露出軟件存在漏洞的還有大眾汽車旗下的4個豪華車品牌。英國伯明翰大學(xué)的加西亞（Flavio D. Garcia）、荷蘭內(nèi)梅亨大學(xué)的維杜特（RoelVerdult）和艾齊（BarisEge）一直致力于研究如何突破奧迪、保時捷、賓利和蘭博基尼等大眾汽車集團(tuán)旗下豪華車品牌的Megamos Crypto防護(hù)系統(tǒng)。三人發(fā)現(xiàn)了車輛內(nèi)部的獨(dú)特邏輯代碼，以及能夠允許車輛識別點(diǎn)火鑰匙的特征。而目前，除了大眾以外，不少其他車企的點(diǎn)火鑰匙也使用Megamos Crypto邏輯。

“白帽三劍客”基于研究撰寫的論文原本計(jì)劃在今年8月美國華盛頓Usenix安全研討會上發(fā)表，但此舉遭到大眾汽車反對，大眾稱，論文泄露啟動密碼可能“使得某些人，尤其是經(jīng)驗(yàn)豐富的犯罪集團(tuán)獲得利器，輕易地突破車輛安全系統(tǒng)并實(shí)施盜竊”。

大眾近而向英國高等法院提訟，并獲得了英國高院的支持。英國高院了暫時性禁令，阻止他們，其所屬的兩所大學(xué)的內(nèi)部刊物也表示將遵從禁令，暫緩發(fā)表該論文。

對此，專家們表示不滿，認(rèn)為只是在進(jìn)行“合法的學(xué)術(shù)研究”，目的是為所有人改善安全狀況。被法院禁止后，三人決定退出今年的研討會。

盡管還沒有消費(fèi)者因汽車被黑造成事故，但美國國家公路交通安全管理局發(fā)表的一份聲明中表示：“電子控制和連接越來越多，它強(qiáng)化了交通安全和效率，但給抵抗?jié)撛谌毕輲硇绿魬?zhàn)?！?/p>

篇（10）

 

當(dāng)前形勢下，人們進(jìn)行信息數(shù)據(jù)的傳遞與交流主要面臨著兩個方面的信息安全影響：人為因素和非人為因素。其中人為因素是指：黑客、病毒、木馬、電子欺騙等；非人為因素是指：不可抗力的自然災(zāi)害如火災(zāi)、電磁波干擾、或者是計(jì)算機(jī)硬件故障、部件損壞等。在諸多因素的制約下，如果不對信息數(shù)據(jù)進(jìn)行必要的加密處理，我們傳遞的信息數(shù)據(jù)就可能泄露，被不法分子獲得，損害我們自身以及他人的根本利益，甚至造成國家安全危害。因此，信息數(shù)據(jù)的安全和加密在當(dāng)前形勢下對人們的生活來說是必不可少的，通過信息數(shù)據(jù)加密，信息數(shù)據(jù)有了安全保障，人們不必再顧忌信息數(shù)據(jù)的泄露，能夠放心地在網(wǎng)絡(luò)上完成便捷的信息數(shù)據(jù)傳遞與交流。 

1 信息數(shù)據(jù)安全與加密的必要外部條件 

1.1 計(jì)算機(jī)安全。每一個計(jì)算機(jī)網(wǎng)絡(luò)用戶都首先把自己的信息數(shù)據(jù)存儲在計(jì)算機(jī)之中，然后，才進(jìn)行相互之間的信息數(shù)據(jù)傳遞與交流，有效地保障其信息數(shù)據(jù)的安全必須以保證計(jì)算機(jī)的安全為前提，計(jì)算機(jī)安全主要有兩個方面包括：計(jì)算機(jī)的硬件安全與計(jì)算機(jī)軟件安全。1）計(jì)算機(jī)硬件安全技術(shù)。保持計(jì)算機(jī)正常的運(yùn)轉(zhuǎn)，定期檢查是否出現(xiàn)硬件故障，并及時維修處理，在易損器件出現(xiàn)安全問題之前提前更換，保證計(jì)算機(jī)通電線路安全，提供備用供電系統(tǒng)，實(shí)時保持線路暢通。2）計(jì)算機(jī)軟件安全技術(shù)。首先，必須有安全可靠的操作系統(tǒng)。作為計(jì)算機(jī)工作的平臺，操作系統(tǒng)必須具有訪問控制、安全內(nèi)核等安全功能，能夠隨時為計(jì)算機(jī)新加入軟件進(jìn)行檢測，如提供windows安全警報(bào)等等。其次，計(jì)算機(jī)殺毒軟件，每一臺計(jì)算機(jī)要正常的上網(wǎng)與其他用戶交流信息，都必須實(shí)時防護(hù)計(jì)算機(jī)病毒的危害，一款好的殺毒軟件可以有效地保護(hù)計(jì)算機(jī)不受病毒的侵害。 

1.2 通信安全。通信安全是信息數(shù)據(jù)的傳輸?shù)幕緱l件，當(dāng)傳輸信息數(shù)據(jù)的通信線路存在安全隱患時，信息數(shù)據(jù)就不可能安全的傳遞到指定地點(diǎn)。盡管隨著科學(xué)技術(shù)的逐步改進(jìn)，計(jì)算機(jī)通信網(wǎng)絡(luò)得到了進(jìn)一步完善和改進(jìn)，但是，信息數(shù)據(jù)仍舊要求有一個安全的通信環(huán)境。主要通過以下技術(shù)實(shí)現(xiàn)。1）信息加密技術(shù)。這是保障信息安全的最基本、最重要、最核心的技術(shù)措施。我們一般通過各種各樣的加密算法來進(jìn)行具體的信息數(shù)據(jù)加密，保護(hù)信息數(shù)據(jù)的安全通信。2）信息確認(rèn)技術(shù)。為有效防止信息被非法偽造、篡改和假冒，我們限定信息的共享范圍，就是信息確認(rèn)技術(shù)。通過該技術(shù)，發(fā)信者無法抵賴自己發(fā)出的消息；合法的接收者可以驗(yàn)證他收到的消息是否真實(shí)；除合法發(fā)信者外，別人無法偽造消息。3）訪問控制技術(shù)。該技術(shù)只允許用戶對基本信息庫的訪問，禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時，系統(tǒng)管理員能夠利用這一技術(shù)實(shí)時觀察用戶在網(wǎng)絡(luò)中的活動，有效的防止黑客的入侵。 

2 信息數(shù)據(jù)的安全與加密技術(shù) 

隨著計(jì)算機(jī)網(wǎng)絡(luò)化程度逐步提高，人們對信息數(shù)據(jù)傳遞與交流提出了更高的安全要求，信息數(shù)據(jù)的安全與加密技術(shù)應(yīng)運(yùn)而生。然而，傳統(tǒng)的安全理念認(rèn)為網(wǎng)絡(luò)內(nèi)部是完全可信任，只有網(wǎng)外不可信任，導(dǎo)致了在信息數(shù)據(jù)安全主要以防火墻、入侵檢測為主，忽視了信息數(shù)據(jù)加密在網(wǎng)絡(luò)內(nèi)部的重要性。以下介紹信息數(shù)據(jù)的安全與加密技術(shù)。 

2.1 存儲加密技術(shù)和傳輸加密技術(shù)。存儲加密技術(shù)分為密文存儲和存取控制兩種，其主要目的是防止在信息數(shù)據(jù)存儲過程中信息數(shù)據(jù)泄露。密文存儲主要通過加密算法轉(zhuǎn)換、加密模塊、附加密碼加密等方法實(shí)現(xiàn)；存取控制則通過審查和限制用戶資格、權(quán)限，辨別用戶的合法性，預(yù)防合法用戶越權(quán)存取信息數(shù)據(jù)以及非法用戶存取信息數(shù)據(jù)。 

傳輸加密技術(shù)分為線路加密和端-端加密兩種，其主要目的是對傳輸中的信息數(shù)據(jù)流進(jìn)行加密。線路加密主要通過對各線路采用不同的加密密鑰進(jìn)行線路加密，不考慮信源與信宿的信息安全保護(hù)。端-端加密是信息由發(fā)送者端自動加密，并進(jìn)入tcp/ip信息數(shù)據(jù)包，然后作為不可閱讀和不可識別的信息數(shù)據(jù)穿過互聯(lián)網(wǎng)，這些信息一旦到達(dá)目的地，將被自動重組、解密，成為可讀信息數(shù)據(jù)。 

2.2 密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)。密鑰管理加密技術(shù)是為了信息數(shù)據(jù)使用的方便，信息數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配、保存、更換與銷毀等各環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息確認(rèn)加密技術(shù)通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息確認(rèn)方案應(yīng)該能使：合法的接收者能夠驗(yàn)證他收到的消息是否真實(shí)；發(fā)信者無法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無法偽造消息；發(fā)生爭執(zhí)時可由第三人仲裁。按照其具體目的，信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。數(shù)字簽名是由于公開密鑰和私有密鑰之間存在的數(shù)學(xué)關(guān)系，使用其中一個密鑰加密的信息數(shù)據(jù)只能用另一個密鑰解開。發(fā)送者用自己的私有密鑰加密信息數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開信息數(shù)據(jù)后，就可確定消息來自誰。這就保證了發(fā)送者對所發(fā)信息不能抵賴。 

2.3 消息摘要和完整性鑒別技術(shù)。消息摘要是一個惟一對應(yīng)一個消息或文本的值，由一個單向hash加密函數(shù)對消息作用而產(chǎn)生。信息發(fā)送者使用自己的私有密鑰加密摘要，也叫做消息的數(shù)字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發(fā)送者，當(dāng)消息在途中被改變時，接收者通過對比分析消息新產(chǎn)生的摘要與原摘要的不同，就能夠發(fā)現(xiàn)消息是否中途被改變。所以說，消息摘要保證了消息的完整性。 

完整性鑒別技術(shù)一般包括口令、密鑰、身份（介入信息傳輸、存取、處理的人員的身份）、信息數(shù)據(jù)等項(xiàng)的鑒別。通常情況下，為達(dá)到保密的要求，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對信息數(shù)據(jù)的安全保護(hù)。 

3 結(jié)束語 

綜上所述，信息數(shù)據(jù)的安全與加密技術(shù)，是保障當(dāng)前形勢下我們安全傳遞與交流信息的基本技術(shù)，對信息安全至關(guān)重要。希望通過本文的研究，能夠拋磚引玉，引起國內(nèi)外專家的重視，投入更多的精力以及更多的財(cái)力、物力來研究信息數(shù)據(jù)安全與加密技術(shù)，以便更好的保障每一個網(wǎng)絡(luò)使用者的信息安全。 

 

 

參考文獻(xiàn)： 

[1]曾莉紅，基于網(wǎng)絡(luò)的信息包裝與信息數(shù)據(jù)加密[j].包裝工程，2007（08）.