前言:我们精心挑选了数篇优质软件安全论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
电子政务系统的应用软件一般规模比较大,软件在应用过程中面向的用户较多,系统结构和业务流程相对复杂,以Web应用为主要实现方式。因而,系统安全常见的风险主要有Web应用的SQL注入漏洞、表单绕过漏洞、上传绕过漏洞、权限绕过漏洞、数据库下载漏洞等。同时也常常存在应用系统管理员账户空口令或弱口令、未设置应用账户口令复杂度限制、无应用系统登录和操作日志等风险。在软件应用安全层面,安全方面的保证没有统一的方法和手段。在保证整个系统安全运行过程中针对信息安全的部分,如对数据库访问安全,访问控制,加密与鉴别等应用层面的安全防护,主要从客户端避免和减少人为非法利用应用程序,从应用软件设计、实现到使用维护,以及应用软件对系统资源、信息的访问等方面保证安全。
二、软件应用安全要求与技术防护
2.1身份鉴别与访问控制
用户身份认证是保护信息系统安全的一道重要防线,认证的失败可能导致整个系统安全防护的失败。电子政务系统的用户对系统资源访问之前,应通过口令、标记等方式完成身份认证,阻止非法用户访问系统资源。从技术防护的角度来说,软件应保障对所有合法用户建立账号,并在每次用户登录系统时进行鉴别。软件应用管理员应设置一系列口令控制规则,如口令长度、口令多次失败后的账户锁定,强制口令更新等,以确保口令安全。软件应用中对用户登录全过程应具有显示、记录及安全警示功能。用户正常登录后,为防止长时间登录而被冒用等情况,系统应有自动退出等登录失效处理功能。此外,应用系统需要及时清除存储空间中关于用户身份的鉴别信息,如客户端的cookie等。系统软件应用中的文件、数据库等客体资源不是所有用户都允许访问的,访问时应符合系统的安全策略。系统中许多应用软件在设计和使用过程中经常会有权限控制不精确,功能划分过于笼统等现象,影响了系统的安全使用。目前,从应用软件的研发和技术实现来看,授权访问控制机制多采用数据库用户和应用客户端用户分离的方式,访问控制的粒度达到主体为用户级,客体为文件、数据库表级。在分配用户权限时,用户所具有的权限应该与其需使用的功能相匹配,不分配大于其使用功能的权限,即分配所谓“最小授权”原则。对于系统的一些特殊用户或角色(如管理和审计)如分配的权限过大,则系统安全风险将过于集中,因此,应将特别权限分配给不同的用户,并在他们之间形成相互制约的关系。
2.2通信安全
电子政务系统应用软件的设计、研发以及应用过程中,需要重点关注通信安全,特别是对通信完整性的保护。除应用加密通信外,通信双方还应根据约定的方法判断对方信息的有效性。在信息通信过程中,为使通信双方之间能正确地传输信息,需要建立一整套关于信息传输顺序、信息格式和信息内容等的约定,因为仅仅使用网络通信协议仍然无法对应用层面的通信完整性提供安全保障,还需在软件层面设计并实现可自定义的供双方互为验证的工作机制。而且,为防止合法通信的抵赖,系统应具有在请求的情况下为数据原发者或接收者提供数据原发或数据接收证据的功能。为保障信息系统通信的保密性,应用软件需具备在通信双方建立连接之前,首先利用密码技术进行会话初始化验证,以确保通信双方的合法性的能力。其次,在通信过程中,能保证选用符合国家有关部门要求的密码算法对整个报文或会话过程进行加密。通信双方约定加密算法,对信息进行编码和解码。此外,应用软件中需设置通话超时和自动退出机制,即当通信双方中有一方在一段时间内未做任何响应,这表明可能存在通信异常情况,另一方能够自动结束会话,以免造成信息在通信过程中的泄露。
2.3安全审计
安全审计通过采集各种类型的日志数据,提供对日志的统一管理和查询,使用特定规则,对系统软件应用状态实时监视,生成安全分析报告。安全审计的应用,能够规范系统用户的软件应用行为,起到预防、追踪和震慑作用。安全审计应用要覆盖所有用户,记录应用系统重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统功能的执行等。记录包括事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息,并有能力依据安全策略及时报警和中断危险操作。此外,审计记录应受到妥善保护,避免受到未预期的删除、修改或覆盖等操作,可追溯到的记录应不少于一年。在日常审计的基础上,应通过分析审计记录,及时发现并封堵系统漏洞,提升系统安全强度,定位网络安全隐患的来源,举证系统使用过程中违法犯罪的法律、刑事责任。电子政务系统软件应用安全审计可结合网络审计、数据库审计、应用和运维日志审计进行,几乎全部需要定制开发。
2.4系统资源控制
电子政务系统的资源使用主要体现在CPU、内存、带宽等资源的使用上,在这个过程中,除了系统软件以外,应用软件也需要建立一组能够体现资源使用状况的指标,来判断系统资源是否能满足软件应用的正常运行要求,当系统资源相关性能降低到预先规定的最小值时,应能及时报警。并对资源使用的异常情况进行检测,及时发现资源使用中的安全隐患。系统资源应保证优先提供给重要、紧急的软件应用。因此,在资源控制的安全策略上应设定优先级,并根据优先级分配系统资源,从而确保对关键软件应用的支持。技术实现上设计用户登录系统时,软件为其分配与其权限相对应的连接资源和系统服务,为防止系统资源的重复分配,应禁止同一用户账号在同一时间内并发登录,并且,在用户登录后防止长时间非正常占用系统资源,而降低系统的性能或造成安全隐患,通常设计根据安全策略设置登录终端的操作超时锁定和鉴别失败锁定,并规定解锁或终止方式。同样,系统对发起业务的会话分配所用到的资源,也采用根据安全属性(用户身份、访问地址、时间范围等)允许或拒绝用户建立会话连接,对一个时间段内可能的并发会话连接数和单个用户的多重并发会话数量进行限制。在系统整体资源的使用上,对最大并发会话连接数进行限制。此外,对电子政务系统被删除的文件等的剩余信息,特别是涉及国家秘密、敏感信息的内容,一定要重点关注并加强安全保护。可采用下列技术实现保护:(1)采用先进的磁盘读写技术对磁盘的物理扇区进行多次反复的写操作,直到擦写过后的磁盘扇区内数据无法恢复;(2)根据不同的分区格式进行采用不同的数据销毁处理算法,对文件在磁盘上所有存放位置进行逐个清除,确保文件不会在磁盘上留下任何痕迹;(3)进行目录、剩余磁盘空间或整个磁盘的数据销毁,销毁后的目录、剩余磁盘空间或者整个磁盘不存在任何数据,无法通过软件技术手段恢复。
2.5软件代码安全
在电子政务系统应用软件开发之前,要制定应用程序代码编写安全规范,要求开发人员遵从规范编写代码。应用程序代码自身存在的漏洞被利用后可能会危害系统安全。因此,应对应用软件代码进行安全脆弱性分析,以帮助其不断改进完善,从而有效降低软件应用的安全风险。研发工作结束后,应及时对程序代码的规范性进行审查,以查找其设计缺陷及错误信息。代码审查一般根据需要列出所需资料清单,由应用软件使用方收集并提供相应的材料。代码测试人员与开发人员书面确认测试内容和过程,配置运行环境,对代码进行预编译操作,确认可执行使用。然后使用特定的测试工具进行代码的安全测试操作,对测试结果进行分析。对发现的问题进行风险分析和估算,制作软件缺陷、问题简表,撰写测试报告并交付开发方修改,并对已经整改的部分进行复测。值得注意的是,那些已经通过安全测试的代码,还需要运行在通过安全测试的支撑平台、编译环境中才能实现真正的安全运行。
2.6软件容错
电子政务系统中应用软件的高可用性是保障系统安全、平稳运行的基础。软件容错的原理是通过提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现错误,并能采取补救措施。对系统软件应用安全来说,应充分考虑到软件自身出现异常的可能性。软件在应用过程中,除设计对软件运行状态的监测外,当故障发生时能实时检测到故障状态并报警,防止软件异常的进一步蔓延,应具有自动保护能力,即当故障发生时能够自动保存当前所有状态。此外,操作人员对应用软件的操作可能会出现失误。因此,系统应对输入的数据、指令进行有效性检查,判断其是否合法、越权,并能及时进行纠正。关键功能应支持按照操作顺序进行功能性撤销,以避免因误操作而导致的严重后果。
三、结语
随着互联网的触角深入到生产生活中的各个层面,软件已经不像以前那样只是支持办公和家庭娱乐这两大主题了,而是成为现代商业的灵魂。软件安全问题主要围绕着软件漏洞和易被攻击脆弱点,它们都来自于软件的设计和实现。Internet催生了电子商务,移动互联网使得APP变得如火如荼,未来物联网也许可以将生活中的一切元素都纳入到通信网络中去。因此软件安全问题将成为计算机安全的核心,而非防火墙等网络硬件,或是诸如加密等手段。软件安全是一切计算机安全性问题的根源,如果软件行为出现异常,与之相关的可靠性、可用性等方面问题就会随之暴露。软件安全问题并不是互联网出现后才有的,只不过互联网是目前最容易攻击软件的途径罢了。
2软件安全的现状
2.1人们的认知
随着黑客攻击的新闻时常见诸媒体,人们对计算机安全问题有了一定认识。但不幸很多计算机安全人员和计算机教育培训人员都忽视了软件安全的问题。一味地推崇某种软件平台是安全的,单纯大力增加对网络安全硬件和软件的投入,这些做法是盲目甚至荒谬的。一切安全性都不是静态特性,也没有任何软件是绝对安全的。软件安全问题的关键节点是软件的设计。
2.2软件安全设计的先天不足
世界上知名的软件厂商并不是不了解软件安全设计安全性的重要性,而是商业模式让软件安全方面存在着先天不足。稍纵即逝的商业机会、敏捷的软件开发过程和短暂的软件开发周期使得安全性方面的设计在很多时候都是被舍弃的。随之而来的处理方式则是常见的penetrate-and-pach方法,即不停地补丁。这种做法从长远来看,其成本与作用远不及一开始就做好安全性的设计和审计。
3软件安全设计应引入风险管理
从项目管理的角度看,风险指损失或损害的可能性。软件项目涉及到的是:项目中可能发生的潜在问题和它们如何妨碍项目成功。风险管理则是对应软件项目生命周期内的风险的科学和艺术。软件安全性的设计与软件设计的其他一些质量性能是互相抵触的,例如冗余性、高效性。而软件开发过程中的风险管理与软件开发的诸如时间、范围、成本等因素也是相互抵触的。但是绝不能因为这些可能发生的抵触行为而放弃对安全性和风险管理的考虑,反而应该将软件安全性设计纳入到风险管理的范畴中去。事实表明,93%的失控项目都忽视了风险管理。
4软件安全设计风险管理的实施
目前国际上对软件安全方面的风险管理存在着一个共同的认知,那就是采用高质量的软件工程的方法论可以在一定程度上解决这方面的问题,欧美一些国家也在试图制定或修订相关的一些“通用准则”来指导软件安全性设计的实践。但是这只是从科学技术方面做出努力,我们可以学习借鉴。而在管理技术和艺术方面需要做出的努力则应该尝试本地化做法。完整的风险管理的过程应该包括以下几个环节:风险管理计划的编制、风险识别、风险定性分析、风险定量分析、风险应对计划编制和风险监督控制。将整个流程都走完的项目和企业都不多,一般来自于所谓的学院派。而时下大多数国内外企业的做法是将这个7个流程简化为谁来识别风险、谁来对风险负责这两个环节。原因则是上文所提到的先天不足所致。从技术上讲,风险管理的效益来自于潜在风险最小化和潜在回报的最大化。而这个技术的应用则一定需要经历风险定量分析的过程。在这个过程中,可以使用的主要技术是决策树分析、蒙特卡罗分析、PERT分析等等。这些技术都是建立在一定的数学和会计基础之上。而令人遗憾的是,很多决策者本身对这些技术的认知或理解欠缺,以至于会抵触这种方法。大多数做法是采用小团队开发小软件的做法,即采用访谈和敏感性分析来帮助风险定量分析。然而我们并不是要反对这种简化做法,只是一定不能在简化的做法之上再次简化或敷衍了事。首先要做的工作是做好需求管理,在建立一组需求输入的时候,一定要将安全性作为一个重要需求考虑进去。有一个比较好的方法是,在软件设计时采用螺旋模型,需求的输入可以在螺旋模型的各个生命周期中进行,而有关安全性的需求输入则最好是在最初的一个螺旋中进行。之后要做的工作是确定最大风险。不可避免的要使用风险定性和风险定量分析的各种技术和方法。这个工作一定要有软件设计师、项目决策者和用户的参与,采用头脑风暴和专家访谈是不错的选择。而这个工作恰恰是现实生活中中小企业乃至客户最容易忽略的。企业要考虑成本问题,而客户的参与往往难以落实,认为软件的设计和开发应该由软件公司负责,客户付款只关心最后软件是否可以使用。而一旦由于软件安全性问题造成了一定后果后将演变成各种纠缠不清的官司,这是企业和客户都不想看到的结果。
5结语
1.1计算机软件安全检测的流程
通常计算机软件安全检测的过程中只要有以下几个流程,首先是为了彻底全面的对计算机软件系统当中可能存在的缺陷予以充分的检测和了解,要对软件设计过程中最小的模块进行进行全面的测试,之后是要严格按照设计的标准和要求对组装的系统进行检测,此外还要对与之相关的体系机构进行全面的检查。其次就是要在做好了上述各项功能工作之后,还要对软件自身的有效性和功能性进行详细科学的检测,最后一点就是要对整个系统进行全面的检测,测试整个软件在各种环境下运行的安全性和可靠性。
1.2当前计算机软件安全检测的只要方法
首先是形式化的检测。形式化的安全监测实际上就是根据具体的要求来建立软件应有的数学模型,之后通过对应的标准化语言对其进行格式化的说明。形式化的安全监测通常有两种检测方法,一种是模型检测,一种是定量检测。其次就是在模型基础上的静态安全检测。模型安全监测一方面是通过软件行为和结构构建的一种方式,这样也就形成了一个可供测试的模型,这种模型在运行的过程中一方面可以在计算机上实现读取,在工作的过程中,比较常用的模型安全检测方法有两种,一种是有限状态机检测,一种是马尔科夫链检测、再次就是语法检测。语法检测实际上就是技术人员通过技术措施对软件在不同的输入条件下所产生的反应是否相同。四是基于故障注入的软件安全检测。故障注入的安全检测是应用故障分析树与故障数的最小割集来检测的。五是模糊测试和基于属性的测试。基于白盒的模糊测试较传统的模糊测试技术有很大进步,白盒模糊检测方法有效地结合了传统的模糊测试技术和动态测试用例检测技术的优点。六是混合检测技术。能有效地改善静态技术和动态技术检测存在的一些缺陷,从而更好地对计算机软件的安全进行检测。七是基于Web服务的检测技术。它是一种基于识别内容的分布式Web服务器技术。具有语言中立、互动操作性强等优点,能够将复杂的安全检测分解为子安全类型进行处理,以使其可以更有效地应对复杂的安全检测的需要。
2软件维护的主要类型
2.1改正性维护
改正性维护是指改正在系统开发阶段已发生而系统测试阶段尚未发现的错误。这方面的维护工作量要占整个维护工作量的17%~21%。所发现的错误有的不太重要,不影响系统的正常运行,其维护工作可随时进行:而有的错误非常重要,甚至影响整个系统的正常运行,其维护工作必须制定计划,进行修改,并且要进行复查和控制。
2.2适应性维护
适应性维护是指使用软件适应信息技术变化和管理需求变化而进行的修改。这方面的维护工作量占整个维护工作量的18%~25%。由于计算机硬件价格的不断下降,各类系统软件屡出不穷,人们常常为改善系统硬件环境和运行环境而产生系统更新换代的需求;企业的外部市场环境和管理需求的不断变化也使得各级管理人员不断提出新的信息需求。这些因素都将导致适应性维护工作的产生。进行这方面的维护工作也要像系统开发一样,有计划、有步骤地进行。
3提高软件的可维护性方法
3.1建立明确的软件质量目标
如果要一个可维护性的程序满足可理解的、可靠的、可测试的、可修改的、可移植的、效率高的和可使用的7个全部的要求,要付出很大的代价,甚至是不显示的。但是可理解性和可测试性以及可理解性和可修改性是相互促进的,而效率和可移植性以及效率和可修改性是相互抵触的。因此,要明确软件所追求的质量目标。
3.2使用先进的软件开发技术和工具
利用先进的软件开发技术能够大大提高软件质量和减少软件费用,并且稳定性好,容易修改、容易理解,易于测试和调试,因此可维护性好。
3.3建立明确的质量保证
最有效的方法就是质量保证检查,在软件开发的各个阶段以及软件维护中得到了广泛的应用。
4结束语
关键词:计算机;软件安全;问题;防护策略
前言
现阶段,计算机得到人类社会的广泛应用,在这种情况下,人们在对其进行充分运用的过程中,对其软件安全性的要求越来越高,然而现阶段这一问题多种多样,如软件动态破译问题、安全漏洞和质量问题及非法复制问题等,要想利用计算机促进人类社会的不断进步,就应当有针对性的对这些问题进行解决,提高使用者对计算机的信用度。在制定计算机软件防护策略的过程中,可以从技术层面、组织管理层面等分别进行提高。
1 计算机软件概述
1.1 含义
计算机在日常工作中,要想得到正常的系统运行,需要内在程序及文档共同发挥作用而进行,而这些文档和程序的总称就是软件。它们实际上拥有不一样的含义,程序指的是相关数码编制,具有系统性和特定性等特点。而文档指的是能够帮助使用者更好的熟悉和掌握计算机程序的软件,它能够对相应的数据资料进行详细的说明。这两种软件在计算机中存在不同的功能,程序是计算机运行使用的基础,是计算机的必备软件,而计算机在正常运行状态下,是可以脱离文档的。
1.2 分类
而计算机软件的分类,从整体上来看有两种,即系统软件和应用软件。首先,系统软件。计算机要想维持正常的运行,是绝对离不开不同的操作系统,这就是系统软件,其功能是管理及调节不同的硬件,促使其在计算机系统中相互协作,正常运行。这种软件是由基础操作工具和操作系统组合而成,如软件连接、驱动管理等。可以说,计算机的这一组成是促使使用者、计算机及其内部操作系统紧密相连的基础,促使三者在运行过程中构建为统一整体,在这一整体运行中是可以忽略掉其内部硬件的运行。现阶段市场上主要的系统软件宝库UNIX、Windows等。
其次,应用软件。这类型软件在使用过程中以达到某种用途为目的,通常状况下它以特定的形式展现自身的功能,如图像浏览器等,这种功能表现相对单一;同时还有系统功能的展现,如Office办公软件等,同时还包括人们熟知的数据库管理系统,这一软件系统的组成包含几个独立程序。现阶段人类开发出来了多种应用软件,最常使用的有工具软件、游戏和管理软件等。
2 计算机网络信息安全的含义
在信息技术飞速发展的背景下,网络技术逐渐取得进步,在一定程度上极大的完善了技术机的网络体系。但是计算机网络的构建单纯依靠研发相应管理空间或者促使硬件设备简单实现对接是无法完成的,这是因为该网络的构建最主要的目标是能够为使用者提供更加完善的服务,这就要求网络中能够容纳大量的使用者信息和数据,同时能够更加快捷的促进资源共享。这些信息和资源,一旦发生泄漏将会给使用者带来极大的损失。因此在计算机使用越来越普及的状态下,构建计算机网络信息安全成为人们广泛关注的话题。而要想实现真正意义上的安全,最大限度的保护用户信息,现阶段信息技术的发展,其最主要的工作内容就是实现软件安全。
现阶段,针对计算机网络的信息安全问题,IOS将其定义为要充分采取有效措施来保护网络内计算机的硬件、软件、使用者信息和数据等,有效防止因意外、恶意操作,造成的信息资源泄露或篡改,只有做到这一点,才能够促使互联网在长时间内为人们进行服务的过程中,始终保持着高度的稳定性和安全性,从而为人类带来更加快捷、便利的生活。
计算机的网络安全包含物理和逻辑安全两个方面。前者指的是应用物理保护措施促使计算机硬件及网络连接部位始终处于安全工作状态,减少因意外导致的数据或信息丢失;后者指的是计算机网络系统在日常工作中应处于整体的维护和正常工作状态下,这样一来能够极大提高整个系统的完整性,促使信息泄露的可能大大降低。在这种状况下,安全性在软件当中的体现成为最重要的因素之一,这是因为计算机软件在日常工作状况中,不但可以对别人实施攻击也可以有效的提高自身安全性,起到保护自己的作用。
3 计算机软件安全问题
3.1 对软件的动态破译
在运行过程中,安全问题对软件的威胁就是计算机软件安全,在解决这一问题的过程中,首先应当有效防护软件,保证其运行过程中没有被人为的滥用、破解及随意修改等现象,这样一来,就能够确保其工作状态中充分发挥自身的功能。从技术角度来观察这一问题,就要构建一个稳定平台,包含所有系统硬件,从而实现软件的正常使用;同时还应当加强防护措施,严禁跟踪事件的发生,此时就应当对监测、干扰及随意修改软件的行为进行严格控制。
计算机软件自产生之日起,就面临着各种跟踪及控制的问题,一些掌握计算机技术的人员能够直接修改和读写计算机中的不同格式文件,在将其源代码进行窃取之后,会对计算机的密钥和防复制能力进行破坏,这样一来就能够动态破译任何一个软件,不法分子会在接下来的工作中将一些数据公开或非法买卖。
计算机中的跟踪调试软件具有强大的动态跟踪功能,现阶段该技术能够有效的进行跟踪程序并保证其逐条运行,其中主要使用的是断电中断和单步中断两种技术,分别以静态和动态跟踪两种形式进行。在静态跟踪当中,可以对反编译工具进行充分的运用,在此基础上能够实现源代码的产生,从而促使分析工作更加便利;动态跟踪当中,是对调试工具的充分运用,这样一来能够在某处促使程序得到中断,从而实现其单步执行,达到跟踪的效果。从以上两点可以看出,对软件的动态破译是计算机软件的一个重要安全问题[1]。
3.2 安全漏洞问题
开发软件是一项复杂而系统的工作,其中包含了大量的限制性因素,这就导致现阶段计算机中所使用的软件或多或少都会存在一定程度上的漏洞,严重威胁软件的安全,但是这一现象即使是现阶段世界顶级的计算机软件开发公司也无法对其进行全部避免。也就是说,日常工作及生活过程中,计算机软件始终都存在安全漏洞,有些时候无法得到安全运行。近年来,多发软件安全事件当中,多数都是由于安全漏洞引起的,即使多数使用者会将杀毒软件和防火墙等安装于计算机当中,但是这一问题始终无法被完全杜绝,这是因为当防护软件不断发展的过程中,那些专门实施软件破坏的技术工作者也在不断的摸索,也就是人们常说的“网络高手”。同时,当使用者在计算机当中安装防漏洞软件时,很可能导致更多软件漏洞的出现[2]。
3.3 非法复制问题
在时代的不断进步中,知识密集型产品被大量研发,计算机就属于这一类型,这一特点导致大量的人力和物力将被应用在对计算机软件进行研发和使用的过程中。在计算机软件的研发中,很多硬件在使用过程中所创造的经济效益甚至远远低于其研发成本。然而,现阶段非法复制问题却严重威胁着大量的计算机软件。具调查表明,近年来,每年都有非法盗版的现象发生,这些盗版软件导致一百三十多亿美元的损失出现,并且这一损失数据每年都在上升。现阶段,世界上各国都开始对非法盗版及复制问题加以高度的重视,并对该现象造成的法律、税收等问题进行了一定程度的解决,而这一过程是非常艰难的,在我国这种发展中国家的状态下,现阶段并没有相对完善的管理措施,我国社会受到了非法复制问题的严重影响。
4 计算机软件防护策略
计算机软件在研发的过程中,不仅需要耗费大量的人力和物力,同时其所研制出来的产品属于知识密集型,从这两个角度来看,是值得人们对其给予高度尊重的。现阶段在加强计算机软件防护的过程中,人们不仅可以从法律的角度对其进行严格而强行的约束和管理,从技术层面和组织管理层面加强防护措施具有重要意义,因为这样一来能够更有效的制约软件的动态破译、安全漏洞和非法复制等问题。
4.1 技术层面的提高
技术层面的提高可以从非法复制的防止开始。现阶段我国在保护软件的过程中还没有足够大的力度,开发商所采取的措施是加密。然而为了追求经济效益,大部分已经被破解的软件仍然没有停止使用,而它所带来的危害就是会将多数捆绑后台程序进行启动,来威胁用户数据。这样一来,相关行业领域应及时加强技术研究,有效研制出防止非法复制出现的软件,促使其在对计算机软件进行充分保护的同时能够对计算机软件产生较小的威胁。同时也可以从对用户数据进行加强保护的方面入手,加强密钥的研究[3]。
在对反跟踪技术进行研究的过程中,由于该技术是对调试工具进行充分利用,那么就应当研发相关技术防止该工具被非法利用。现阶段计算机的软件系统当中,都具有一定的结构特点,对于CPU的严重依赖,导致一旦该软件被监控,就会泄漏大量的信息,在这种情况下,应及时将该技术中的安全漏洞进行消除,同时对反跟踪技术进行完善,最大限度的实现对软件的保护。
4.2 组织管理层面上的提高
计算机软件防护策略中,国家应充分发挥管理职能,不仅要构建专门的单位或部门,还应当对软件开发商进行严格的管理,这样一来,就能够保证软件从研发之日起一直到被使用者进行使用,都能够受到严格的监督及管理,从而有效的防止非法复制问题。
相关部门在加强组织管理的过程中,专业的软件安全监督机构的设立是非常必要的,以专题小组的形式进行非法复制和动态跟踪,能够极大的提高打击力度,同时还应当提高对使用者使用过程的管理,严格限制软件的拷贝和移植等[4]。
4.3 防火墙技术的应用
保护计算机软件过程中,首要工作内容就是对专业杀毒软件的应用,同时值得注意的是,另外一个关键技术措施就是对防火墙技术的应用。该技术使用者在应用电脑访问相关网络时,电脑内部网络有时会受到外部网络的不正当攻击,防火墙技术的有效应用,最显著的效果就是能够对外部网络不必要的攻击进行预防和阻止,促使电脑中相关软件免受威胁,从而始终处于正常运行状态。可以说系统内部是否能够稳定运行是防火墙正常工作的重要内容。当电脑内部网络被部分用户访问时,防火墙的功能是始终维护自身系统的正常运行;当电脑内部网络被非法访问时,防火墙的功能是对其进行有效拦截。现阶段,世界上研发出来的防火墙技术具有较高的稳定性和可靠性,因此得到了较广泛的应用,黑客入侵状况逐渐减少,安全性始终存在于电脑软件系统网络当中。
4.4 加强硬件系统安全防护
在维护计算机系统安全的过程中,对其硬件系统进行加强防护具有重要意义。使用者在日常工作和生活中对电脑和网络的使用,需要记忆硬件系统高度的重视。这是因为,硬件系统一旦发生安全威胁将会从两个方面进行,即物理安全和设置安全。前者指的是机柜或交换机等物理设备发生安全问题,这需要使用者在日常工作中提高管理和维护力度,促使电脑免受外力的影响而发生破坏;后者指的是有效设置设备,硬件受到外来入侵的几率就会大大降低。
4.5 数据加密技术的应用
在实施计算机软件安全防护策略的过程中,现阶段最后的防御手段就是对数据加密技术的充分应用。该技术在使用过程中能够有效的促使一个网络系统始终处于安全状况之下,同时在针对部分重要而机密性的信息和数据进行保护时,这一手段也是最有效的方法。要想有效处理这一问题,使用者可以对相关文件进行加密,使用密钥,文件经过加密后,会形成某列无法及时识别的代码,这样一来,只有熟知代码的人员才能够在输入密码以后对其进行访问,也才能够清楚的看见文件的真实内容。在这种情况下,数据加密技术的有效应用能够实现对计算机软件的有效管理和保护。
5 结束语
当今时代是信息技术时代,人们在对计算机进行充分运用的过程中应注重对其软件安全问题的研究,从而提高使用者使用过程中的安全性。现阶段软件安全问题最严重的有软件动态破译问题、安全漏洞及非法复制等问题,在对其进行解决的过程中,首先要加强技术研究,通过提高技术水平来对其进行有效控制,还可以提高管理力度,同时防火墙技术、硬件系统的保护及数据加密技术的应用都能够促使计算机软件得到安全防护,现阶段促使相关部门能够有针对性的对各种问题进行加强解决同样具有重要意义。
参考文献
[1]于翔.扬州智能电网信息平台的安全防护研究[D].华北电力大学,2012.
[2]姚轶敏.校园网不安全信息检测系统的设计与实现[D].苏州大学,2010.
[3]吴塍勤.对计算机软件安全问题的分析及其防御策略[J].电脑编程技巧与维护,2013,2:87-88+109.
[4]陈宏,朱秀娟.计算机软件安全问题的分析及其防御措施研究[J].河南科技,2014,1:5+15.
[5]张建宏.基于复杂网络的计算机病毒传播模型及其并行计算研究[D].国防科学技术大学,2006.
[6]熊雪波.计算机软件安全问题的分析及其防御措施研究[J].电子技术与软件工程,2014,22:231.
[7]刘涛.试论对计算机网络信息和网络安全及其防护策略[J].信息与电脑(理论版),2012,9:2-3.
[8]张璐.试论计算机网络应用安全问题与防护策略研究[J].科技致富向导,2011,11:367.
【关键词】软件 安全漏洞 检测技术
信息技术快速发展,尤其Internet的广泛应用,在如今大数据时代,软件是计算机技术一种,在其软件开发过程中,计算机软件存在一定漏洞,要保障计算机软件的安全性,必须提高计算机软件的检测技术,提升计算机软件性能,是提高计算机网络安全的有效途径。
1 计算机软件安全漏洞目前的状况
计算机软件在开发的时候有的就存在一定漏洞,当时可能没有技术解决软件漏洞问题,但在软件使用的过程中,会出现一系列问题,必须加强软件安全漏洞的检测技术,检测软件是否合格,不合格的软件必须加强软件补丁,促使软件达到合格标准,经过测试后,才能投入市场使用。还有的软件开发时候没有任何漏洞,但随着时间的推移,软件会出现一定漏洞,软件必须是在使用的过程中,逐步进行软件完善,提升软件性能,让其达标,减少软件的漏洞,出现漏洞以后要及时修复,提高软件的生命周期,在一个友好的界面下,充分发挥软件的功能,让其在使用过程中,起到一定的作用,提升性能,减少漏洞。软件在使用的过程中,根据技术的发展与变化,计算机软件的漏洞必须技术检测,延长软件的生命周期,提高软件性能,满足其需要。
2 计算机软件安全漏洞检测技术解读
2.1 静态程序解析
静态程序解析是软件安全常用的检测技术,这种检测技术是通过程序代码,通过利用机器语言、汇编语言等进行编译,利用反代码形式,对检测出来的软件漏洞,及时进行修复,提高软件性能,在实际应用过程中,涉及到程序设计中的语言、函数、数组、过程、集合、文件等。利用软件技术解决软件漏洞问题,静态程序解析对程序设计起到保护作用,检测软件漏洞,提升计算机软件性能,这是一种常用的计算机软件安全漏洞检测技术,通过该技术对软件漏洞进行合理检测,提高软件性能,延长软件的生命周期。
2.2 利用逻辑公式对程序性质进行表达
根据程序的性质,对计算机软件漏洞进行检测,判断其中的应用能力,逻辑公式能对计算机软件的性能进行检测,检测其的合法性,是否存在软件漏洞,有的软件漏洞是需要升级与更新软件就可以解决的,有的是出现软件错误,必须合理采用措施,解决软件漏洞问题。其中的公理化方法的逻辑是完整的体系,其中的每个公式都是由单个程序语句和其前后置断言共同构成,具体理论当中只有一条赋值公理,形式演算系统以一阶谓词逻辑为基础,各自为顺序、分支以及循环指令增加了相应的演算法则。公理化方法已经被证明具有较强的可靠性和完整性,但匹配的形式演算系统存在半可判定的情况。程序的正确性涉及程序设计人员利用逻辑公式对程序对应的功能规约展开描述,另外一个问题就是要为循环体确定循环不变式。逻辑公式的应用提高了逻辑判断能力,在利用语句进行科学判断,检测计算机软件是否存在漏洞,根据逻辑公式的判断能力,检测软件是否存在漏洞,如果存在漏洞,对其合理的进行修补,解决软件漏洞问题,提升软件性能,完善软件功能。
2.3 测试库技术
测试库技术是计算机软件检测中常用技术,对解决计算机软件漏洞起到帮助作用。测试库技术是检测计算机软件中的核心部件,判断计算机软件是否存在漏洞。利用测试库技术只能对动态内存操作函数导致的错误进行判定。而且其主要对运行过程中输入数据进行监控,发现其中的弱点。这种检测并不是从整体上进行判定。这也表明检测过程只是验证 BUG 是否被发现,但是无法证实BUG的存在。使用这项技术对于普通应用程序而言,并不会存在任何兼容问题。使用测试库技术的主要优势不存在误报。从性能上对这个技术展开分析,其性能消耗较大,从其工作原理很容易能推导出这个结论。利用测试库技术检测计算机软件是否存在漏洞,是所有检测技术中最科学的,也是最准确的,但其测试有一定难度,对计算机软件本身也是一种伤害,提高计算机软件性能,必须合理的利用软件的检测技术,科学的选择检测技术,有目的的进行检测软件是否存在漏洞,科学的解决软件漏洞问题,提高软件性能。
2.4 源码改编
利用软件漏洞检测技术,检测出计算机软件存在一定漏洞,没有合理方法进行漏洞修复,就有必要根据软件漏洞的阶段,去修改程序的源代码,这种源码改编技术,是彻底解决计算机软件漏洞的最根本方法,该检测技术对人员的要求很高,能利用其它技术检测出软件漏洞,能利用源码改编技术进行修改,这是计算机软件检测技术的高级阶段,是计算机软件发展到一定程度的需要,也是社会发展对计算机软件技术提出的新要求。
总之,计算机软件技术存在一定漏洞,要解决计算机软件漏洞,必须利用软件检测技术,及时检测,发现问题要及时解决,但在计算机软件发展的过程中,计算机软件肯定存在一定问题,必须科学的合理解决计算机软件的安全问题,提高对软件安全认识,增加计算机软件的应用性,符合现代计算机软件技术发展需要。
参考文献
[1]许跃颖.计算机软件中安全漏洞检测技术及其应用[J].电子制作,2016(02).
[2]颜汉权.基于模糊测试的软件漏洞检测方法[J].求知导刊,2015(11).
[3]高妍.计算机软件安全漏洞检测技术与应用[J].计算机光盘软件与应用,2014(04).
[4]陈斯,卢华.计算机软件中安全漏洞检测技术及其应用[J].电子技术与软件工程,2016(11).
[5]王垌尧.计算机软件安全漏洞检测技术与应用[J].黑龙江科技信息,2016(09).
作者简介
刘璇(1975-),女,辽宁省沈阳市人。大学本科学历、硕士学位。现为辽宁现代服务职业技术学院副教授。研究方向为计算机应用。
关键词:计算机软件;安全漏洞;防范方法
中图分类号:F123.1 文献标识码:A
软件安全弱点就是可能会带来安全问题的计算机软件中的代码。软件安全弱点和软件安全漏洞不同,只有被证实可以引起攻击的弱点才是漏洞。弱点不一定都是漏洞,但漏洞一定是弱点。软件安全弱点信息披露的三个比较著名的地方是: Bugtraq、CERT与RISKS Digest。
每个计算机系统中都存在着安全脆弱点,而且现在软件安全性问题比过去更大,更加严重。其中的原因有三:第一个原因就是计算机网络的无所不在,这给攻击者寻求弱点提供了途径和方便性;第二个原因是现代信息系统及其相应程序的庞大和复杂,而且广泛使用的低级语言更加剧了弱点的存在;第三个原因就是软件的可扩展性。软件安全弱点随着上述因素的存在而在日益增加,这使得软件安全性问题比以往任何时候都更紧迫。了解软件中存在哪些可能的漏洞就显得很重要了。
一,软件安全漏洞分类
软件安全漏洞可以从不同的角度和层次进行分类,分类的目的是有助于更好的把握漏洞的共性,使漏洞的检测效率更高、针对性更强。
操作系统和绝大多数的协议通信软件都是使用C或C++开发的,该语言拥有简洁、使用方便、灵活、运算能力好、硬件访问能力强、可移植性好和程序执行效率高等诸多的优点,所以使用也是最为广泛的。本论文对漏洞的分类也主要从C或C++语台一的特点出发。软件安全漏洞从语言的角度说就是那些已经成功通过了编译器的编译,但编译器发现不了的,潜藏在程序源代码中的能引起安全故障的编程错误或遗漏。这些软件安全漏洞主要分为如下的几类:
(一)缓冲区溢出
引起缓冲区溢出漏洞的原因也很简单。从大的方面说就是使用了不安全的编程语言,比如C语言或C+十语言等,再加上程序员拙劣的编程技巧。从小的方面说就是语言自身没有边界检查,使得数组或指针的访问常常越界。
溢出漏洞导致的程序行为有:目标程序的执行很古怪;目标程序的执行完全崩溃;目标程序可以继续,而且没有任何明显的不同。其中第三种情况是最棘手的,也是最坏的情况,它掩盖了可能发生的攻击,使得软件的测试人员也不能发现问题。
(二)竞争条件
竞争条件,是一种常见的软件BUG。特别是在多进程多任务的现在操作系统面前情况更是严重。这个问题比起缓冲区溢出漏洞来说更难解决,一个程序可能几年来都一直运行正常,但是突然间就因为竞争条件BUG而出现异常,而这种异常表现又是不能确定的。即使发现了竞争条件问题的存在,想修正它也是十分困难,因为它们极少出现。
随着并行计算和分布式系统的开发和扩展,竞争条件问题近年来愈演愈烈。其中基于文件的竞争条件问题在安全方面一直是最臭名昭著的。大多数基于文件的竞争条件问题都有一个共同的规律:在使用文件之前都会对文件的属性进行检查。但是这个检查存在缺陷。这个缺陷在安全界被称为检查时刻使用时刻,缩写就是TOCTOU。当然了,涉及安全性的竞争条件TOCTOU问题不仅仅在访问文件的时候发生,在其他的各式各样的复杂系统中也常常出现。比如电子商务中的多数据库同步就是一个典型的竞争条件问题。
(三)格式化字符串
格式化字符串,漏洞是另一类微妙的程序代码缺陷。这个漏洞在几年前就已经被了,但是现在的很多软件产品仍然含有这个漏洞。格式化字符串是程序函数殊的一类字符串参数。除了可以利用格式化字符串漏洞显示重要信息外,最危险的就是它可以向内存中写入指定的数据。格式化字符串漏洞只要存在,就可以被用来在进程的内存空间中任意读写,其危害还是非常大的。所以这类漏洞是软件安全漏洞检测的一个重要方面。
(四)随机数
从事过安全研究的人都知道随机数在安全性应用中是很重要的。随机数可以用来生成序列号,甚至可以生成密钥。随机数被用在安全应用中就是一个安全弱点。所以在软件安全弱点中要把它也作为重要组成部分。
二、软件安全漏洞防范方法
(一)防止缓冲区溢出漏洞
防止缓冲区溢出的最好办法就是对程序中的危险函数进行详细检查。使用安全的版本来替换不安全的版本,例如使用Strncat来替换stcrat等等。计算机软件中完全没有BUG,是根本不可能的,除非软件足够小。即使上面的程序源码检查中没有发现缓冲区溢出问题,还是不能掉以轻心,还是有其它方法可以使用的,比如在Linux操作系统上使用的不可执行堆栈补丁程序和stackguard工具等都对缓冲区溢出有较好的保护。
(二)防止竞争条件漏洞
防止竞争条件漏洞的方法就是对能产生竞争的代码实行原子化操作。简单来说就是代码的执行是最小的单元,执行操作的时候,不会有其他的任何事情打断它的执行。原子化体现在代码上就是采用锁定的方式。
防范TOCTOU问题应该做到的是:避免直接使用文件名的系统调用,而是要使用文件句柄或者文件描述字。这样使用,可以保证处理文件时不会在背后被改变。而且不需要自己对文件进行访问检查,应该留给操作系统的底层文件系统函数处理。也就是说要避免使用access等函数调用。
(三)防止格式化字符串漏洞
防止格式化字符串漏洞的方法就是不要给攻击者任意构造格式串的机会。在代码中直接使用格式常量能有效防止这个漏洞。能产生格式化字符串漏洞的函数都是不定参数个数的函数,而且它们都不会对参数进行类型和个数检验。所以在使用这些函数时要确保参数的个数和类型是一一对应的。另外,还可以通过不可执行堆栈程序等在一定程度上防止该漏洞的利用;在Windows下使用窗口来输入输出数据在一定程度上可以避免该漏洞。
(四)防止随机数漏洞
防范随机数漏洞的一个好方法就是使用好的随机数发生器,一个好的随机数发生器本身就是一个密码算法,它提供了安全的随机数流,有足够的嫡,即使攻击者知道了全部算法的细节,也不能猜出生成的数据流。
参考文献:
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(国家级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
关键词:无线射频识别系统,安全,标签
0 引言
RFID是近年来的一项热门技术,现在它广泛应用于物流、交通、商业、管理等各个领域。。RFID系统由标签、阅读器(Reader)、应用软件和现有的互联网的基础上组成[1]。
在RFID系统里,RFID标签通过读写器把标签数据读取出来,传送给RFID应用软件进行相应的数据处理,然后再通过互联网在各个应用环节“交流”信息,从而实现商品信息的流通,如图1所示。
图1 RFID系统结构图
RFID的应用越来越广泛,它像计算机网络一样也存在着安全隐患,如果不能很好地解决RFID系统的安全问题,随着应用扩展,未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题
一样考验人们的智慧。随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。这些安全问题将会严重阻碍RFID系统的应用推广。
因此,在RFID技术大规模应用之前有必要提前解决预计出现的安全及隐私问题或者把这种危害降低到相对低点。
1 存在的安全隐患
RFID系统和其他信息系统一样存在许多安全隐患,这些隐患无疑威胁着RFID系统的正常运行,并且不同于其他信息系统的安全问题。根据上边的RFID系统结构图,我们把系统存在的安全问题分为三类:标签集安全、软件级安全和网络级安全,下面分别分析这三种安全隐患。
1.1 标签级安全
目前RFID处于初级起步阶段,标签级安全主要集中在以下三个方面:
(1)对电子标签信息的盗读和篡改[2]
RFID标签和条码不同,体积小,容量小,通过天线就可以与外界交互信息,因此射频识别系统很容易受到攻击。RFID标签拥有惟一的ID,一旦攻击者获得ID,也就获得了目标对象的数据信息。未被保护的标签易遭受来自未授权方的监听,未授权的读写器在没有访问控制协议下可随时访问其附近的标签从而获得机密数据。
在篡改电子标签内数据方面,存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能,从而可能使整个供应链陷入瘫痪状态,因此存在标签数据被篡改的危险。
(2)读写器受到干扰或其他攻击
由于RFID的开放式环境,非法用户通过发射干扰信号来影响读写器读取信号,或用其他方式释放攻击信号直接攻击读写器,使读写器无法接收正常的标签数据。
(3)对环境的适应性
由于零售业和物流业的RFID应用环境比较复杂,因此需要RFID具有较强的适应性,包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。
1.2 软件级安全
数据进入后端系统之后,则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础,有很多手段来保证这一范畴的安全。。
1.3 网络级安全
RFID系统中标签数据进入系统软件,然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患,这是Internet安全的问题。
2 主要技术对策及分析
RFID系统存在三个不同层面上的安全隐患:标签、软件、网络。尽管与计算机和网络的安全问题类似,但实际上RFID的安全问题要严峻得多。RFID技术本身就包含了比计算机和网络中更多更容易泄密的不安全节点。对于网络和软件安全方面我们已经耳熏目染,这里只讨论RFID系统特有的安全问题即标签级安全的对策。
RFID芯片本身就存在一些需要我们解决的安全难题。由于RFID芯片很小,内存和存储容量也同样小,这就限制了它能够容纳的数字和加密密钥的长度,从而使它很难实施进行强大加密所需要的公共密钥交换等事情[3]。
标签级安全对策主要有以下几种:
(1) 只读标签
这种方式消除了数据被篡改和删除的风险,但仍然具有被非法阅读的风险。
(2 ) 限制标签和读写器之间的通信距离
采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离,降低非法接近和阅读标签的风险,但是这仍然不能解决数据传输的风险还以损害可部署性为代价。
(3) 实现专有的通信协议
在高度安全敏感和互操作性不高的情况下,实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案,可实现较高等级的安全。但是,这样便丧失了与采用工业标准的系统之间的RFID数据共享能力[4]。
(4) 屏蔽
可以使用法拉第网来屏蔽标签,使其丧失了RF特征。。在不需要阅读和通信的时候,这也是一个主要的保护手段,特别是包含有金融价值和敏感数据的标签的场合,可以在需要通信的时候解除屏蔽。(5) 使用销毁指令(KillCommand)
如果标签支持Kill指令,当标签接收到读写器发送的Kill命令便会将自己销毁,无法被再次激活,以后它将对读写器的任何指令都无法反应。特别是在零售场合,消费者可以在购买产品后执行Kill命令使标签失效,从而消除了消费者在隐私方面的顾虑。但是使用这种方式影响到商品的反向跟踪,比如退货、维修和售后服务等。因为标签卷标已经无效,相应的信息系统将不能再识别该标签的数据。
(6) 使用休眠指令(Sleep)
当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态,不会响应任何读写器的操作;当标签收到读写器的唤醒(WakeUp)命令才会恢复正常。
(7) 物理损坏
物理损坏是指使用物理手段彻底销毁标签,并且不必像杀死命令一样担心标签是否失效,但是对一些嵌入的、难以接触的标签则难以做到。
(8) 认证和加密
可使用各种认证和加密手段来确保标签和读写器之间的数据安全[5]。读写器操作标签时必须同时发送密码,标签验证密码成功才响应读写器,之前,标签的数据一直处于锁定状态。更严格的还可能同时包括认证和加密方案。
(9) 选择性锁定[6]
这种方法使用一个特殊的称为锁定者(Blocker)的RFID标签来模拟无穷的标签的一个子集。这一方法可以把阻止非授权的读写器读取某个标签的子集。
选择性锁定克服或者平衡了以上各种方法的缺点,也消除了加密和认证方案带来的高成本性,这一方法在安全性和成本之间取得了较好的平衡。需要的时候,Blocker标签可以防止其他读写器读取和跟踪其附近的标签,而在不需要的时候,则可以取消这种阻止,使标签得以重新生效。
以上这些方法各有自己的特色和不足,没有任何一个单一的手段可以彻底保证RFID应用的安全,所以必须针对不同应用灵活选择和组合采用综合性的解决方案,考虑成本和收益之间的关系。
3 结束语
RFID安全问题是个系统问题, 关注的焦点不应该只局限在RFID产品本身上,RFID系统的安全, 不仅仅是RFID标签本身的安全技术, 关键是应用系统上的安全方案和管理制度。RFID系统安全会在应用过程中逐步改善,而随着安全问题的逐步完善它的应用会越来越广泛。
参考文献:
[1]甘勇,郑富娥,吉星.RFID中间件关键技术研究[J].电子技术应用,2007,33(9):130-132.
[2]蒋文娟.RFID存在的隐私问题及应用建议[J],计算机安全2005(10):21-22
[3]杨志和.基于中间件和RFID技术的物流管理系统的应用研究[D]:硕士学位论文.广西:广西大学.2006:30-45
[4]周永彬,冯登国.RFID安全协议的设计与分析[J].计算机学报,2006,4:7-8
[5]李晓东.射频识别技术中的隐私安全问题及策略[J].微电子学与计算机.2005:137-140
[6]RFIDPrivacyWorkshop,IEEESECURITY&PRIVACY,MARCH/APRIL2004,p48-50
论文摘要:电子商务是基于网络盼新兴商务模式,有效的网络信息安全保障是电子商务健康发展的前提。本文着重分析了电子商务活动申存在的网络信息安全问题,提出保障电子商务信息安全的技术对策、管理策略和构建网络安全体系结构等措施,促进我国电子商务可持续发展。
随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网购物、商户之间的网上交易和在线电子支付以及各种商务活动和相关的综合眼务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广,然而由于互联网的开放性,网络安全问题日益成为制约电予商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全性的含义主要是信息的完整性、可用性、保密和可靠。因此电商务活动中的信息安全问题丰要体现在以下两个方面:
1 网络信息安全方面
(1)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电予商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2.电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二 电子商务中的网络信息安全对策
1 电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信皂的完整和提供信包发送者身份的认证,应用数字签名可在电子商务中安全、方便地实现在线支付,而数据传输的安全性、完整,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接入控制和审查跟踪,是一一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和intemet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两种。相应地,对数据加密的技术分为对称加密和非对称加密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介入,主要做好硬件系统日常管理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息等工作。此外,还可将刚络系统中易感染病毒的文什属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应引对信息安全至少提供三个层而的安全保护措施:一是数据存操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以上保护措施可为系统数据安全提供双保险。
三 电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠眭和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电商务网络安全的立法保障。结合我阁实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
论文摘要: 走进新世纪,科学技术发展日新月异,人们迎来一个知识爆炸的信息时代,信息数据的传输速度更快更便捷,信息数据传输量也随之增加,传输过程更易出现安全隐患。因此,信息数据安全与加密愈加重要,也越来越多的得到人们的重视。首先介绍信息数据安全与加密的必要外部条件,即计算机安全和通信安全,在此基础上,系统阐述信息数据的安全与加密技术,主要包括:存储加密技术和传输加密技术;密钥管理加密技术和确认加密技术;消息摘要和完整性鉴别技术。
当前形势下,人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,我们传递的信息数据就可能泄露,被不法分子获得,损害我们自身以及他人的根本利益,甚至造成国家安全危害。因此,信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌信息数据的泄露,能够放心地在网络上完成便捷的信息数据传递与交流。
1 信息数据安全与加密的必要外部条件
1.1 计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测,如提供windows安全警报等等。其次,计算机杀毒软件,每一台计算机要正常的上网与其他用户交流信息,都必须实时防护计算机病毒的危害,一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。
1.2 通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。
2 信息数据的安全与加密技术
随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。
2.1 存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。 转贴于
传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入TCP/IP信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。
2.2 密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者,接收者用发送者的公钥解开信息数据后,就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。
2.3 消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向Hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。
完整性鉴别技术一般包括口令、密钥、身份(介入信息传输、存取、处理的人员的身份)、信息数据等项的鉴别。通常情况下,为达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对信息数据的安全保护。
3 结束语
综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。
参考文献:
[1]曾莉红,基于网络的信息包装与信息数据加密[J].包装工程,2007(08).
[2]华硕升级光盘加密技术[J].消费电子商讯,2009(11).
论文摘要: 走进新世纪,科学技术发展日新月异,人们迎来一个知识爆炸的信息时代,信息数据的传输速度更快更便捷,信息数据传输量也随之增加,传输过程更易出现安全隐患。因此,信息数据安全与加密愈加重要,也越来越多的得到人们的重视。首先介绍信息数据安全与加密的必要外部条件,即计算机安全和通信安全,在此基础上,系统阐述信息数据的安全与加密技术,主要包括:存储加密技术和传输加密技术;密钥管理加密技术和确认加密技术;消息摘要和完整性鉴别技术。
当前形势下,人们进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,我们传递的信息数据就可能泄露,被不法分子获得,损害我们自身以及他人的根本利益,甚至造成国家安全危害。因此,信息数据的安全和加密在当前形势下对人们的生活来说是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌信息数据的泄露,能够放心地在网络上完成便捷的信息数据传递与交流。
1 信息数据安全与加密的必要外部条件
1.1 计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测,如提供windows安全警报等等。其次,计算机杀毒软件,每一台计算机要正常的上网与其他用户交流信息,都必须实时防护计算机病毒的危害,一款好的杀毒软件可以有效地保护计算机不受病毒的侵害。
1.2 通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。
2 信息数据的安全与加密技术
随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。
2.1 存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。
传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入tcp/ip信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。
2.2 密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配、保存、更换与销毁等各环节上的保密措施。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。数字签名是由于公开密钥和私有密钥之间存在的数学关系,使用其中一个密钥加密的信息数据只能用另一个密钥解开。发送者用自己的私有密钥加密信息数据传给接收者,接收者用发送者的公钥解开信息数据后,就可确定消息来自谁。这就保证了发送者对所发信息不能抵赖。
2.3 消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。
完整性鉴别技术一般包括口令、密钥、身份(介入信息传输、存取、处理的人员的身份)、信息数据等项的鉴别。通常情况下,为达到保密的要求,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对信息数据的安全保护。
3 结束语
综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。
参考文献:
[1]曾莉红,基于网络的信息包装与信息数据加密[j].包装工程,2007(08).
[2]华硕升级光盘加密技术[j].消费电子商讯,2009(11).
论文摘要:随着互联网技术的蓬勃发展,基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中,在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂,然而由于互联网的开放性,网络安全问题日益成为制约电子商务发展的一个关键性问题。
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。
(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。
关键词:计算机 网络 安全 防范措施
随着计算机技术和Internet建设的发展与完善,计算机网络安全问题逐步成为人们关注和讨论的焦点。计算机网络技术已经深入到社会的各个领域,比如政府机关、学校、医院、社区及家庭等,人们对计算机网络的依赖性越来越大,但随之而来的是,计算机网络安全也受到前所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出相应的安全防范措施。
1 计算机网络安全的定义
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机网络安全包括物理安全、软件安全、数据安全和运行安全四个方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。软件安全是指网络软件以及各主机、服务器、工作站等设备所运行的软件安全。信息安全是指网络中所存储和传输的数据的安全。运行安全是指网络中各个信息系统能正常运行并能正常地通过网络交流信息。
网络安全的目的就是为了确保网络系统的保密性、完整性和可用性。保护计算机、网络系统的硬件、软件及其系统中的数据,使之不遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。
2 计算机网络面临的威胁
计算机网络所面临的威胁是多方面的,既包括对网络内部的威胁,也包括对网络外部的威胁,同时也与计算机操作系统本身有关。归结起来,主要有以下几方面:
2.1 计算机网络的脆弱性
计算机系统的脆弱性主要来自计算机操作系统的不安全性,在网络环境下,还来源于网络通信协议的不安全性,有的操作系统根本就没有安全防护措施,如dos、windows95等操作系统,它们不能作为安全性要求高的服务器的操作系统。Unix和windows nt/2000server/2003
serve/2005serve操作系统主要用于服务器上,但它们也存在着安全漏洞,都存在着超级用户,如果入侵者得到了超级用户口令,那么整个系统将完全受制于人,这样系统就面临巨大的危险。
2.2 内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,这些用户缺乏安全意识,无意识的操作失误,使系统或网络误操作而崩溃,或安全意识不强,将用户帐号泄漏,或操作员对系统安全配置不当造成安全漏洞等都会对网络安全带来威胁和隐患,给他人带来可乘之机,对网络系统造成危害。
2.3 网络外部的安全威胁
除了受到网络内部的安全威胁,网络还受到外界的各种各样的威胁:
2.3.1 物理威胁:有偷窃、垃圾搜寻和间谍活动。偷窃办公室电脑是偷窃者的主要目标,计算机中存储的数据信息的价值远远超过设备的价值,因此,必须做好严格的防盗措施保证计算机不被偷。有时办公垃圾也会泄露商业机密。
2.3.2 网络威胁:如局域网的电子窃听,如假冒网站电子欺骗,网络设备的因素也可以构成网络的安全威胁,如通过电话线入侵网络用户等。
2.3.3 身份鉴别:是指计算机判断用户是否使用它的一种过程,它普遍存在于计算机系统中,实现的方式各种各样,有的功能十分强大,有的比较脆弱。其中,口令就是一种比较脆弱的身份鉴别手段,功能不是很强,但实现起来比较简单,所以被广泛采用。身份鉴别造成的威胁有口令圈套、口令破解和算法缺陷等。口令圈套是网络安全的一种诡计,与冒名顶替有关,靠欺骗来获取口令。比如登录欺骗,它通过编写一个代码模块,运行起来和登录屏幕一模一样,并把它插入到登录过程之前,这样用户就会把用户名和登录口令告知程序,这个程序就会把用户名和口令保存起来,然后告诉用户登录失败,并启动真正的登录程序,这样用户就不容易发现这个欺骗。口令破解是用密码字典或其他工具软件来暴力破解口令。如口令用生日、电话号码、名字等很容易被破解。口令输入过程必须满足一定条件才能正常工作,当条件变化时,口令算法程序就可能工作不正常了,很容易被人破解,并进入系统,这就是算法缺陷带来的安全隐患。
2.3.4 编程。是指通过编制程序代码实施对系统的破坏。编程威胁主要有计算机病毒和特洛伊木马等。病毒是一种能自我复制的程序代码,具有感染性和破坏性,使系统瘫痪,也能在网络上不断传播,危害Internet的安全。特洛伊木马程序一旦被安装到计算机上,便可按编制者的意图行事。能摧毁数据,创建新用户和口令等。
2.3.5 系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取您电脑中的重要资料和信息,甚至破坏您的系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。产生漏洞的原因可以分成下面三种因素:
①人为因素:编程人员在编写程序过程中,为了实现一些特殊的目的,有意在程序代码的隐藏处保留后门。
②能力因素:受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
③硬件因素:由于硬件的原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来,例如软件的不兼容问题。
3 计算机网络安全的防范措施
3.1 操作系统安全技术
首先,及时安装“补丁”程序。当系统后,发现有些程序中有漏洞,能被黑客利用而攻击用户,所以相应的措施来对付这些黑客,用一些应用程序来修复这些漏洞,称为“补丁程序”,安装这些补丁程序后,黑客就不会利用这些漏洞来攻击用户,从而杜绝同类型病毒的入侵。
其次,做好系统安全设置。如停掉guest帐号,限制不必要的用户数量,创建两个管理员帐号,将系统默认帐号改名,创建一个陷阱帐号(将默认管理员帐号的权限设置最低,什么事都干不了的那种),使用安全密码,合理设置浏览器的安全属性,彻底删除掉缺省共享,停掉不必要的服务等。
3.2 防火墙应用技术。防火墙是目前最为流行、使用最广泛的一种安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它将内部网和外部网分开,限制被保护的网络与互联网及其他网络之间进行信息存取、传输等操作。它一方面对经过他的网络通信进行扫描,过滤掉一些可能攻击内部网络的数据。另一方面可以关闭不使用的端口,禁止特定端口监听通信,封锁特洛伊木马。可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
3.3 网络病毒的防范。与传统类型的病毒相比,网络类型病毒有其特殊性,在网络环境下,网络病毒可以按指数增长模式进行传播。病毒侵入计算机网络,可以导致计算机效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统瘫痪。因此网络环境下的病毒防治已经成为计算机防毒领域的研究重点。我们除了安装全方位的网络反病毒软件,养成定期升级软件和扫描文件系统的好习惯外,还应该对移动存储设备,在使用前进行查毒,对从网上下载的文件和电子邮件中的附件打开前也要杀毒,不使用或下载来源不明的软件,不上不正规的网站。一旦在网上发现病毒,立即通知所有用户下网,关掉文件服务,设法立即清除,确信病毒被彻底清除后,重新启动网络和工作站。
3.4 数据加密技术。数据加密技术是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采取的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为秘文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.5 网络访问控制。访问控制室网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3.6 数据库的备份和恢复。数据库的备份和恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
3.7 防止黑客攻击的措施。在网络环境下,由于种种原因,网络被入侵和攻击是难免的,可谓是防不胜防,为了避免可能因入侵和攻击而造成的各种损失,我们最好是防止其入侵,防患于未然,如果我们经常注意下面这些情况,我们就可以大大降低被木马攻击的几率:不要执行任何来历不明的软件;不轻信他人;不要随便下载软件;不要随便留下自己的个人资料;谨慎使用自己的邮箱;最好使用第三方邮件程序;始终显示文件的扩展名;运用反木马实时监控程序;给电子邮件加密;隐藏ip地址;不共享文件。当我们发现有黑客入侵后,我们一般采取的措施是:首先要杀死这个进程,切断黑客与系统的联系。必要时切断网络,同时注意保存现场,以便事后调查原因,或进行分析。其次,使用安全工具跟踪这个链接,找出黑客的来路和身份,询问其要做什么,并发出警示,如果破坏严重时,可向公安部门和信息安全部门报告,通过司法手段解决问题。再次,管理员也可以使用一些工具来监视黑客,观察他们在做什么。还有就是修复安全漏洞并恢复系统,不给黑客可乘之机。
4 结束语
网络安全问题是一个综合性的问题,它涉及到技术、管理和使用等多方面的因素,因此网络安全问题的解决方案也应该综合多方面来考虑实施,不但有物理方面的措施,还要有逻辑技术方面的措施,当然还有系统本身的安全问题。只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用,才能保证信息的完整性和正确性,为网络提供强大的安全服务,这也是网络安全领域的迫切需要。
参考文献:
[1]高永强等.网络安全应用技术大典.北京:人民邮电出版社,2007.
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
[关键词]会计电算化 问题 对策
本论文是通过对我国会计电算化的一些弊端,近而提出了会计电算化在观念、理论研究、人才、软件以及内部控制制度等方面存在的问题,并对这些问题进行分析,从而提出如何提高会计电算化在应用中的相应对策。
一、我国会计电算化存在的主要问题
1.对会计电算化认识的不到位
长期以来,我国传统会计以手工记账、算账为主,从古至今已习惯于这种工作方式。而在会计电算化中,计算机呈主要因素,会计人员呈次要因素。同时,外部环境形成了“工作的达标、检查都是以机型的好坏作为评价标准”的风气。因此,各单位不断地更新提高计算机系统档次,却缺乏对财会人员的业务培训。
2.会计电算化专业人才的严重缺乏
会计电算化的专业内容,是会计专业和计算机专业的一个交叉学科,偏重于会计,实践操作又离不开计算机和网络,因此这就要求会计电算化专业人员一方面加强会计理论的学习,另外一个方面还要从会计软件和相应专业软件入手,加强计算机的操作水平练习。所以在实践当中我们总是会遇到要么重理论,要么片操作,导致了部分会计电算化人员专业技能“瘸腿”,不够全面,具体表现问题如下:
(1)会计人员知识不全面。很多资历深的传统会计人员对会计业务很熟悉,对于计算机知识却了解有限,而年青人恰恰相反。
(2)计算机培训教材的老化。计算机技术发展十分迅速。软件操作系统也有很大变化。而现在的教材大多都是几年前的,所介绍的知识实用性不强,经过这样培训并通过考试的人员实际操作能力差,并不能很好的适用于实践。
(3)在工作中,各单位缺乏对会计人员的再培训及定期考核,不能让其与社会的快速变化接轨。
3.会计软件存在的缺陷
会计软件的好坏是会计电算化工作的基础。财务上有些数据是企业的机密,很大程度上关系着企业的命运,但当前大部分软件的系统都没有认真研究过数据的保密问题。可想而知,系统一旦瘫痪或受病毒干扰,恢复起来相对比较困难,要恢复原数据就更是问题。
4.企业内部控制制度尚不健全
很多企业的计算机系统管理和维护工作由受过计算机培训的主管会计人员兼任,这些人员有直接修改数据的机会,使财务数据的安全性受到了很大威胁。
二、提高我国电算化发展对策
1.更新对会计电算化的观念
目前很多企业还没有充分认识到会计电算化的重要性。许多管理者片面认为会计电算化只是会计核算工具的改变,看不到对企业管理的深刻影响。所以,我们必须清醒地认识到电算化不仅改变了会计核算方式、数据处理程序和方法,而且也提高了会计信息质量,改变了会计内部控制与审计的方法和技术,是整个会计理论研究与会计实务的一次根本性变革。
2.加强对复合型电算化人才的培养
为实现会计电算化人的素质的提高是关键,不断改革人才教育培养制度,多方面、高层次培养会计电算化人才。首先,在各高校,及时调整专业设置及培养方向,使毕业生成为既懂计算机知识,又懂会计企业经营管理的复合型人才,重点掌握会计电算化应用软、硬件的开发、改进、维护等问题;其次,对在岗会计人员进行培训和进修,使他们能较系统的了解与掌握会计电算化的基本原理和操作方法。最后,对于系统维护人员,系统的维护对于会计电算化工作的进程有较大影响,因此在人员使用上,应尽量聘用专业的计算机网络系统管理人员,利用他们的实践经验就会获得较好的效果。
3.加大软件开发力度
随着计算机通讯技术的发展和计算机网络的形成,以及信息高速公路的建成,会计信息在国民经济中的重要性将进一步发挥出来。要加大软件的开发力度,只有开发出较完善的通用财务软件,才能满足市场的需要。另外,现行会计软件虽然已从核算型向管理型过度,但总体上讲,模块内容、功能不强,不能适应财务管理的需要。因此要逐步提高会计软件功能,增强具有管理的模块,结合网络开发更加高效、安全实用的会计软件。
4.加强会计信息系统的安全性和保密性
财务数据是企业的绝对秘密,关系着企业的生存与发展。会计信息系统的安全控制是通过计算机程序防止数据泄密、更改或破坏,主要包括:实体安全控制、硬件安全控制、内部控制、软件安全控制、网络安全控制、病毒的防范与控制和加强审计监督等。
三、提高自身系统功能的网络技术
改善和提高会计软件网络功能,真正充分发挥会计电算化的技术优点,结合网络为财务管理提供更多服务,我们可以提高会计软件功能,增加具有网络管理的模块,设计比较分析、因素分析、差额分析、图表分析、网络互助等财务分析模块,资金需求供给预测模块等等。
随着我国会计电算化进一步发展与完善,最终会与国际接轨。而互联网将延伸至财务及企业管理软件的管理范畴,网络技术又帮助企业实现财务与业务协同,彼此共享,实现远程得报表、报账、查账、审计等工作处理,实现动态进行会计核算的在线财务管理,使移动管理最终成为现实。
参考文献:
[1]高腊生,田细菊.财务管理模式的局限性及其创新[J].财会通讯, 2005, (5): 82-83
[2]吴介军,龚福和.正确处理财务管理中的几个关系[J].财会月刊(综合), 2005, (8): 13-14
[3]杜强.我国会计电算化存在的问题与对策[J].中国商界(下半月), 2010,(03)
关键词:集成电路芯片;数据手册;硬件设计;软件设计;微控制器
中图分类号:TP39;TN60 文献标识码:A 文章编号:2095-1302(2017)06-00-02
0 引 言
目前电子产品的智能化、微型化乃是大势所趋,而设计的重点主要为硬件电路设计与软件程序设计。硬件电路设计必须熟悉集成电路芯片的功能及相应的应用电路,为此我们经常需要阅读集成电路芯片的数据手册(Datasheet)。
在项目设计阶段的芯片选型、硬件电路设计、软件程序设计,直至后期的产品系统调试等,都离不开集成电路芯片数据手册的技术支持。从阅读集成电路芯片数据手册的角度来看,数据手册大致可分为两大类,一类是不带有CPU的集成电路芯片,如常用的74HC系列数字电路、功率MOSFET电子器件等;另一类是带CPU的集成电路芯片-微控制器等,如STM8S系列、ARM Cortex-M4。
如何在最短的时间内根据项目设计的功能要求,选择并熟悉集成路芯片功能参数、设计硬件原理图及印制电路板图,直至最终完成系统调试工作,本文从电子工程师应用的角度,就集成电路芯片数据手册的快速阅读内容、方法、建议作归纳总结,供设计者参考。
1 集成电路芯片数据手册简介
集成电路芯片数据手册是集成电路芯片制造商提供的芯片使用手册,比较详细地描述产品的特性(Features)、电气特性(Electrical Characteristics)、引脚功能(Pinout and Pin Description)、典型应用电路(Typical Application Circuit)、封装尺寸(Package Dimensions)或封装信息(Package Information)、PCB库元件封装参考图(Soldering Footprint or Recommended Package Footprint)、备用功能映射(Alternate Function Remapping)、通用硬件寄存器映射(General Hardware Register Map)、时序图(Timing Diagram)、详细型号说明及订货信息(Ordering Information)等,是工程师在电子产品设计、维修等工作过程中查阅最多的文档资料。
2 集成电路芯片数据手册的阅读内容
2.1 阅读集成电路芯片数据手册的简介部分
阅读集成电路芯片数据手册(Datasheet)简介部分的目在于知道这是什么元件,有什么功能,可应用在什么场合。主要包括产品提供商、元器件型号、封装类型、基本特性或应用场合等内容。概述(General Description),相对而言比较笼统的介绍了芯片的功能;特性(Features) 标注的是基本电气的性能;应用(Applications)大致了解芯片的用途,可应用在哪些方面等。有些手册会给出等效原理图(Schematic Diagram),但只是电路效果相同,并非芯片内部的实际电路,即使按该电路搭建,也无法替代该芯片的使用。
2.2 熟悉元器件的功能框图、引脚功能描述及注意事项
首先要特别注意元器件的工作电源及引脚编号,若单片机集成电路AT89S52是5 V工作电源,只有一个接地引脚,而目前很多基于ARM Cortex-M0、ARM Contex-M4等微控制器的工作电源为3.3 V,且有多个工作电源VDD引脚与多个接地引脚GND。其次接线图(Connection Diagram)或引脚描述(Pinout and Pin Description)会告诉读者引脚的编号、功能,注意选用的芯片封装,不同的封装往往编号相同但引脚功能不同。最后功能块图(Block Diagram)会描述芯片内部的主要功能模块,方便使用者进一步熟悉芯片内部的资源;注意事项是指芯片工作所能长期承受的电气参数及工作环境,超出这一条件芯片便会损坏或无法正常工作。正确理解引脚功能描述是使用芯片、正确设计接口电路并选取正确电路参数的前提。
2.3 电路的设计
阅读芯片数据手册的最终目的是使用电子元器件进行电路设计。正确设计电路是应用该电子元器件的前提。所谓电路设计就是在电子元器件的外面添加一些电阻以限流,添加电容进行滤波,添加三极管进行电流放大,添加光电藕合器进行隔离以提高抗干扰或实现电平转换等,以便电子元器件能够按照工艺控制要求正常、稳定、长期工作。不仅要查阅数据手册提供的典型应用电路(Typical Application Circuit)作为参考,还要特别注意制造商提供的应用笔记(Application Note),应用笔记是生产制造商对Data Sheet的延伸和补充,是制造商对芯片使用经验的总结,提供的参考电路具有非常好的实用效果,若有应用笔记一般会在Data Sheet中加以说明。
2.4 器件的封装
在进行原理图设计时,必须确定芯片的封装,因为不同的封装其引脚的编号很可能不同,且制作电路板时必须有详细的尺寸才能建PCB元件库。封装尺寸(Package Dimensions)或封装信息(Package Information)会详细说明芯片的机械尺寸,主要包括芯片大小、引脚间距、引脚宽度及PCB库元件封装参考图(Soldering Footprint or Recommended Package Footprint)。
2.5 横向阅读
通过横向阅读可以阅读不同公司相同产品的数据手册,因为有的制造商提供的数据手册比较详细,而有的则比较简单,且仅部分制造商会提供应用笔记参考。同时还可以从互联网上百度芯片的应用案例,并进入知网查阅芯片的相关应用论文,以进一步加深对芯片应用的理解,正确、快速设计出芯片的应用电路。
2.6 元器件的采购
认真阅读订货须知(Ordering Information),主要内容为型号的详细含义,注意芯片引脚数、芯片封装、引脚间距、工作温度范围、包装形式等标识,需提供详细的型号才能采购,同时注意包装信息,方便现自动贴装。
2.7 微控制器的阅读
对于微控制器的阅读,必须注意内部资源及相关寄存器,具体内容为程序空间及存贮类型、数据空间RAM、掉电保护E2PROM或D_Flash空间、系统振荡电路及时钟、定时器/计数器、A/D转换及D/A转换、SPI接口、I2C总线、CAN总线、异步通信口UART等。值得注意的是,通用输入输出(GPIO)引脚往往是复合多功能引脚,其功能的确定由相关寄存器设置,因此硬件设计必须与软件设计相结合。此外,从编程的角度出发,还要熟悉编译系统及程序下载适配器等。
3 快速阅读集成电路芯片数据手册方法建议
3.1 阅读集成电路芯片数据手册方法
快速阅读集成电路芯片的数据手册,建议采用如下步骤:
(1)到芯片制造商官方网站下载数据手册及芯片应用笔记资料,亦可通过供货商提供;
(2)正确理解参数的含义,熟悉芯片的相关参数,确认该芯片能否满足功能需求;
(3)硬件设计时要研究与引脚、功能控制等相关的芯片内部资源;
(4)软件编程要熟悉相关寄存器;
(5)无需阅读全文,只需阅读所要使用的功能部分即可,且需注意所选型号与所提供资源的关系;
(6)注意关连性,如用到定时器时要熟悉系统时钟,因为定时器的时钟源来自系统时钟分频;
(7)软件编程时应注意分析并读懂时序图,不必阅读大量的文字说明;
(8)到百度或智库查阅相关应用性案例作为参考,以节省研究时间,尽快正确使用。
(9)注意结合芯片采购,选中的型号或封装需能在市场采购到且要考虑供货时间、价格成本等,尤其对于用量不大的产品设计,更应注意供货市场的稳定性。
(10)考虑芯片的生命周期,同时尽可能选用小封装贴片元件,注意其后续的供货生命周期及需求量,有些元件虽然新,但用户少,有些元件虽然老但用户多,典型的如AT89C52芯片。
(11)注意数据手册中的“note”,重要通知(Important Notice)以及法律责任申明等信息,这也是较好利用芯片的关键所在。
3.2 阅读集成电路芯片数据手册建议
阅读芯片数据手册的目的是为了正确应用芯片。因此对工程师做出如下建议:
(1)平时可以通过选择两篇典型的数据手册,如美国安森美(ON Semiconductor) 的NTD5865NL功率MOSFET管和意法半导体ST的STM8S103微控制器,阅读研究并积累;
(2)注意提高英文阅读能力,因为大多数集成电路芯片产自国外;
(3)尽可能找制造厂家的英文版数据手册阅读,翻译的中文数据手册中往往存在错误。
4 结 语
阅读英文版集成电路芯片数据手册,在阅读过程中要将重点内容与所需功能相结合,芯片选型和市场供货相结合,硬件设计和软件设计相结合,在阅读过程中注意查阅并理解参数的正确含义,具备快速阅读芯片数据手册的能力,是所有电子工程师必须具备的基本能力,本文仅作一些探讨。
参考文献
[1] Athalye P, Maksimovic D, Erickson R. High-Performance front-end converter for avionics applications[J].IEEE Trans. On Aerospace and Electronic Systems,2003,39(2):462-470.
[2]闫琪,王江,熊小龙.智能车设计“飞思卡尔杯”从入门到精通[M].北京:北京航空航天大学出版社,2014.
[3]刘建,解洪成,张卫国.交互式电子技术手册的数据来源分析[J].江苏科技大学学报(自然科学版),2007,21(S1):84-88.
[4]马沛生.特性数据与数据手册[J].化学工程,1987,7:9-12.
[5]黄志球,徐丙凤,阚双龙,等.嵌入式机载软件安全性分析标准、方法及工具研究综述[J].软件学报,2014,25(2):200-218.
[6] Maithil Pachchigar,Richard Liggiero.获取数据手册以外的ADC数据[J].中国集成电路,2015,24(11):40-43.
[7]赵廷弟.安全性设计分析与验证[M].北京:国防工业出版社,2011.
[8]胡璇,杨春晖,黄茂生,等.航电系统软件需求知识本体构建及评价[J].计算机工程, 2013,39(3):56-62.
[9]李震,刘斌,陆民燕,等.基于扩展Petri网的除冰软件安全需求建模和验证[J].北京航空航天大学学报,2012,38(1):64-68.
[10]崔萌,李宣东,郑国梁.UML实时活动图的形式化分析[J].计算机学报,2004, 27(3):339-346.
[11]樊晓光,文奎,张凤鸣.软件安全性研究综述[J].计算机科学,2011,38(5):8-13.
[12]杨仕平,桑楠,熊光泽.安全关键软件的防危性测评技术研究[J].计算机学报,2004,27(4):442-450.
[13]方滨兴,陆天波,李超.软件确保研究进展[J].通信学报,2009,30(2):106-117.
[14]邵津,邓芳,王千祥.一种基于模型的软件系统监测方法[J].计算机研究与发展, 2010,47(7):1175-1183.