序論：寫(xiě)作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了七篇中國(guó)信息安全論文范文，愿它們成為您寫(xiě)作過(guò)程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

屆時(shí)，大會(huì)還將繼續(xù)凸顯“我國(guó)電子認(rèn)證服務(wù)業(yè)發(fā)展現(xiàn)狀與重點(diǎn)”的介紹，并以“工業(yè)控制系統(tǒng)安全高峰論壇”為本屆大會(huì)的突出亮點(diǎn)，集納各界經(jīng)典名篇、學(xué)術(shù)成果、研究課題、應(yīng)用經(jīng)驗(yàn)，編輯出版《2013中國(guó)信息安全技術(shù)展望學(xué)術(shù)論文集》，其中優(yōu)秀論文將擇優(yōu)在《信息安全與技術(shù)》（國(guó)家級(jí)刊物）、《信息網(wǎng)絡(luò)安全》、《計(jì)算機(jī)安全》、《電腦編程技巧與維護(hù)》上刊登，并全文收錄于《中國(guó)學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫(kù)》及CNKI系列數(shù)據(jù)庫(kù)、《中文核心期刊（遴選）數(shù)據(jù)庫(kù)》、《中文科技期刊數(shù)據(jù)庫(kù)》和龍?jiān)雌诳W(wǎng)。

征文內(nèi)容如下：

1.計(jì)算機(jī)安全、下一代網(wǎng)絡(luò)安全技術(shù)；

2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全；

3.信息系統(tǒng)等級(jí)安全保護(hù)、重要信息系統(tǒng)安全；

4.云計(jì)算與云安全、物聯(lián)網(wǎng)的安全；

5.移動(dòng)互聯(lián)網(wǎng)的安全信息安全保障體系、移動(dòng)計(jì)算平臺(tái)安全性研究；

6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測(cè)試技術(shù)；

7.可信計(jì)算；

8.關(guān)鍵基礎(chǔ)設(shè)施安全；

9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析；

10.系統(tǒng)架構(gòu)安全分析；

11.面向業(yè)務(wù)應(yīng)用的整體安全保護(hù)方案；

12.信息安全漏洞態(tài)勢(shì)研究；

13.新技術(shù)新應(yīng)用信息安全態(tài)勢(shì)研究；

14.Web應(yīng)用安全；

15.計(jì)算機(jī)系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的實(shí)施與發(fā)展現(xiàn)狀；

16.國(guó)內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究；

17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品；

18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新；

19.電子認(rèn)證服務(wù)行業(yè)研究和熱點(diǎn)事件解析；

20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

21.數(shù)字證書(shū)交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

22.電子認(rèn)證服務(wù)與云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用融合的相關(guān)技術(shù)、標(biāo)準(zhǔn)規(guī)范和應(yīng)用發(fā)展情況；

23.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)；

24.信息安全和功能安全標(biāo)準(zhǔn)化；

25.信息安全和功能安全集成技術(shù)；

26.工業(yè)控制系統(tǒng)安全性的技術(shù)指標(biāo)與經(jīng)濟(jì)成本；

27.信息安全產(chǎn)品設(shè)計(jì)和系統(tǒng)集成；

28.工業(yè)控制系統(tǒng)安全的評(píng)估與認(rèn)證；

29.工業(yè)控制系統(tǒng)的信息安全解決方案；

30.工業(yè)自動(dòng)化安全面臨的風(fēng)險(xiǎn)；

31.國(guó)外工業(yè)控制系統(tǒng)安全的做法；

32.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及其發(fā)展趨勢(shì)；

33.工業(yè)控制系統(tǒng)安全性的建議；

34.工控系統(tǒng)與信息系統(tǒng)對(duì)信息安全的不同需求；

35.工業(yè)控制系統(tǒng)的安全性與可用性之間的矛盾與平衡；

36.應(yīng)用行業(yè)工業(yè)控制系統(tǒng)的信息安全防護(hù)體系；

37.工業(yè)控制系統(tǒng)安全測(cè)評(píng)體系；

38.工業(yè)控制系統(tǒng)安全安全策略；

篇(2)

    論文提要:當(dāng)今世界已進(jìn)入了信息化時(shí)代,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個(gè)國(guó)家綜合國(guó)力的重要標(biāo)準(zhǔn)。黨的十七大明確提出了一條“以信息化帶動(dòng)工業(yè)化,以工業(yè)化促進(jìn)信息化”的具有中國(guó)特色的信息化道路。信息資源隨之成為社會(huì)資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質(zhì),如何保證信息的安全性和保密性成為我國(guó)信息化建設(shè)過(guò)程中需要解決的重要問(wèn)題。 

    一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問(wèn)題 

    “信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來(lái)的。經(jīng)過(guò)40多年的發(fā)展,信息化已成為各國(guó)社會(huì)發(fā)展的主題。 

    信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識(shí)性、中介性、可轉(zhuǎn)化性、可再生性和無(wú)限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導(dǎo)致信息系統(tǒng)的不安全性,給國(guó)家的信息化建設(shè)帶來(lái)不利影響。因此,如何保證信息安全成為亟須解決的重要問(wèn)題。 

    信息安全包括以下內(nèi)容:真實(shí)性,保證信息的來(lái)源真實(shí)可靠;機(jī)密性,信息即使被截獲也無(wú)法理解其內(nèi)容;完整性,信息的內(nèi)容不會(huì)被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對(duì)信息的傳播及內(nèi)容具有控制能力;不可抵賴性,用戶對(duì)其行為不能進(jìn)行否認(rèn);可審查性,對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問(wèn)題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn): 

    一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來(lái)的開(kāi)放性特點(diǎn),從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開(kāi)放性的特點(diǎn),通過(guò)網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開(kāi)放的,而不是封閉的、保密的。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊。 

    二是信息安全問(wèn)題的易擴(kuò)散性。信息安全問(wèn)題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大。由于因特網(wǎng)的龐大系統(tǒng),造成了病毒極易滋生和傳播,從而導(dǎo)致信息危害。 

    三是信息安全中的智能性、隱蔽性特點(diǎn)。傳統(tǒng)的安全問(wèn)題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題常常表現(xiàn)為一種技術(shù)對(duì)抗,對(duì)信息的破壞、竊取等都是通過(guò)技術(shù)手段實(shí)現(xiàn)的。而且這樣的破壞甚至攻擊也是“無(wú)形”的,不受時(shí)間和地點(diǎn)的約束,犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來(lái)困難。 

    信息安全威脅主要來(lái)源于自然災(zāi)害、意外事故;計(jì)算機(jī)犯罪;人為錯(cuò)誤,比如使用不當(dāng),安全意識(shí)差等;“黑客”行為;內(nèi)部泄密;外部泄密;信息丟失;電子諜報(bào),比如信息流量分析、信息竊取等;信息戰(zhàn);網(wǎng)絡(luò)協(xié)議自身缺陷,等等。 

    二、我國(guó)信息化中的信息安全問(wèn)題 

    近年來(lái),隨著國(guó)家宏觀管理和支持力度的加強(qiáng)、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國(guó)在信息安全管理上的進(jìn)展是迅速的。但是,由于我國(guó)的信息化建設(shè)起步較晚,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素,我國(guó)的信息化仍然存在不安全問(wèn)題。 

    1、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國(guó)的信息化建設(shè)發(fā)展迅速,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動(dòng)后,各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒(méi)有防火墻設(shè)備、安全審計(jì)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國(guó)互聯(lián)網(wǎng)安全公司賽門(mén)鐵克公司2007年發(fā)表的報(bào)告稱,在網(wǎng)絡(luò)黑客攻擊的國(guó)家中,中國(guó)是最大的受害國(guó)。

    2、對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國(guó)信息技術(shù)水平的限制,很多單位和部門(mén)直接引進(jìn)國(guó)外的信息設(shè)備,并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造,從而給他人入侵系統(tǒng)或監(jiān)聽(tīng)信息等非法操作提供了可乘之機(jī)。 

    3、我國(guó)基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國(guó)外,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品。我國(guó)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來(lái)自國(guó)外,這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。 

    4、信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊,國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等。 

    5、在研究開(kāi)發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。 

    造成以上問(wèn)題的相關(guān)因素在于:首先,我國(guó)的經(jīng)濟(jì)基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開(kāi)發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)。其次,全民信息安全意識(shí)淡薄,警惕性不高。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過(guò),并且病毒的重復(fù)感染率相當(dāng)高。 

    除此之外,我國(guó)目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達(dá)國(guó)家對(duì)我國(guó)的技術(shù)輸出進(jìn)行控制有關(guān)。 

    三、相關(guān)解決措施 

    針對(duì)我國(guó)信息安全存在的問(wèn)題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù),還要有嚴(yán)格的法律法規(guī)和信息安全教育。 

    1、加強(qiáng)全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護(hù)設(shè)備,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力,從而促進(jìn)整個(gè)系統(tǒng)的信息安全。 

    2、發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè),加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識(shí),加大核心技術(shù)的研發(fā),尤其是信息安全產(chǎn)品,減小對(duì)國(guó)外產(chǎn)品的依賴程度。 

    3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國(guó)信息安全的法規(guī)體系,制定相關(guān)的法律法規(guī),例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法、電子信息進(jìn)出境法等,加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度,對(duì)其進(jìn)行嚴(yán)厲的懲處。 

    4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè),應(yīng)大力培養(yǎng)信息安全專業(yè)人才,建立信息安全人才培養(yǎng)體系。 

    5、加強(qiáng)國(guó)際防范,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開(kāi)放性、交互性和分散性等特征,產(chǎn)生了許多安全問(wèn)題,要保證信息安全,必須積極參與國(guó)際合作,通過(guò)吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國(guó)際法律規(guī)范,防范來(lái)自世界各地的黑客入侵,加強(qiáng)信息網(wǎng)絡(luò)安全。 

篇(3)

國(guó)務(wù)院參事、國(guó)家信息化專家咨詢委員會(huì)原主任曲維枝,國(guó)家信息化專家咨詢委員會(huì)常務(wù)副主任周宏仁,工業(yè)和信息化部信息化推進(jìn)司副司長(zhǎng)秦海以及信息化領(lǐng)域多位著名專家、教授和企業(yè)界的學(xué)者出席了會(huì)議。會(huì)上,大家就國(guó)家信息化發(fā)展趨勢(shì)和信息化重大進(jìn)展,具有自主知識(shí)產(chǎn)權(quán)的最新的產(chǎn)品和技術(shù),學(xué)科和專業(yè)建設(shè)以及課程建設(shè)等內(nèi)容作了報(bào)告和交流。這是一次難得的政、企、學(xué)溝通交流的機(jī)會(huì),大家高漲的熱情讓整個(gè)會(huì)議氣氛非常熱烈。

信息化發(fā)展六大趨勢(shì)

秦海分析了在十二五期間國(guó)際、國(guó)內(nèi)的信息化發(fā)展趨勢(shì)。他指出,基于世界社會(huì)經(jīng)濟(jì)發(fā)展的最新動(dòng)態(tài),目前信息化主要體現(xiàn)在兩大方面:一是整個(gè)社會(huì)的轉(zhuǎn)型發(fā)展,包括信息通信技術(shù)的開(kāi)發(fā)應(yīng)用、網(wǎng)絡(luò)普及、信息傳播和知識(shí)擴(kuò)散、人的素質(zhì)等已經(jīng)進(jìn)入了一個(gè)自覺(jué)適應(yīng)的正?；A段;二是國(guó)際金融危機(jī)發(fā)生以后,信息技術(shù)與社會(huì)經(jīng)濟(jì)發(fā)展的融合程度越來(lái)越高。信息化發(fā)展趨勢(shì)則具體體現(xiàn)在六個(gè)方面:一是信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施不斷向?qū)拵?、泛在和融合的方向演進(jìn),對(duì)產(chǎn)業(yè)業(yè)態(tài)、商業(yè)模式和組織形態(tài)等的影響將越發(fā)顯著;二是工業(yè)化與信息化將走向深度融合;三是新一代信息技術(shù)的開(kāi)發(fā)和利用將催生戰(zhàn)略性新興產(chǎn)業(yè)的崛起和發(fā)展;四是信息安全問(wèn)題將日益重要;五是互聯(lián)網(wǎng)應(yīng)用日益普及仍將帶來(lái)經(jīng)濟(jì)社會(huì)發(fā)展的巨大變化;六是諸多國(guó)家面向信息化發(fā)展提出了新的國(guó)家戰(zhàn)略和發(fā)展規(guī)劃,面向未來(lái)的戰(zhàn)略制高點(diǎn)爭(zhēng)奪將越演越烈。

我們要把握這個(gè)趨勢(shì),首先要對(duì)這種趨勢(shì)有比較客觀和務(wù)實(shí)的認(rèn)識(shí)。其次,要有一套科學(xué)的規(guī)劃,無(wú)論是一個(gè)單位還是一個(gè)群體,乃至一個(gè)國(guó)家,科學(xué)規(guī)劃都是非常重要的。

兩只眼睛看信息化

把握信息化發(fā)展趨勢(shì)為我們的教育帶來(lái)了一個(gè)良好的發(fā)展機(jī)會(huì),將大學(xué)里的學(xué)科根據(jù)信息化的發(fā)展趨勢(shì)來(lái)設(shè)置,培養(yǎng)出適應(yīng)社會(huì)發(fā)展的新一代青年,這將對(duì)下一代人才培養(yǎng)和整個(gè)社會(huì)帶來(lái)巨大益處。

篇(4)

論文摘要:隨著計(jì)算機(jī)和互聯(lián)網(wǎng)的廣泛普及,層出不窮的信息安全事件也受到了大家的關(guān)注。高校計(jì)算機(jī)系大都開(kāi)設(shè)了信息安全專業(yè),而網(wǎng)絡(luò)安全基礎(chǔ)是該專業(yè)的一門(mén)實(shí)踐性較強(qiáng)的重要的課程,如何設(shè)計(jì)好該門(mén)課程的實(shí)踐學(xué)習(xí)是掌握網(wǎng)絡(luò)安全方面知識(shí)的一個(gè)重要環(huán)節(jié),建立虛擬機(jī)的實(shí)驗(yàn)環(huán)境、選擇合適的實(shí)驗(yàn)工具可以幫助教師更好的完成教學(xué)、幫助學(xué)生更好地完成課程的學(xué)習(xí)。

1引言

進(jìn)入21世紀(jì),隨著信息技術(shù)的逐步普及和發(fā)展,信息安全問(wèn)題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會(huì)關(guān)注的問(wèn)題。國(guó)際上對(duì)于信息安全的研究起步較早,已取得了許多成果,并得以推廣應(yīng)用。目前國(guó)內(nèi)已有一批專門(mén)從事信息安全基礎(chǔ)研究、技術(shù)開(kāi)發(fā)與技術(shù)服務(wù)工作的研究機(jī)構(gòu)與高科技企業(yè),形成了我國(guó)信息安全產(chǎn)業(yè)的雛形,但由于國(guó)內(nèi)專門(mén)從事信息安全工作技術(shù)人才嚴(yán)重短缺,阻礙了我國(guó)信息安全事業(yè)的發(fā)展。在國(guó)家教育部門(mén)的宏觀指導(dǎo)下,我國(guó)在一些高校已經(jīng)設(shè)置了本科、?？菩畔踩珜I(yè),我國(guó)信息安全學(xué)科建設(shè)已經(jīng)拉開(kāi)序幕。

網(wǎng)絡(luò)安全基礎(chǔ)是一門(mén)具有普及性意義的實(shí)踐性很強(qiáng)的課程,是信息安全專業(yè)中一門(mén)非常重要的課程。通過(guò)學(xué)習(xí)要求學(xué)生具有全面的信息安全專業(yè)知識(shí),使得學(xué)生有較寬的知識(shí)面和進(jìn)一步發(fā)展的基本能力;使學(xué)生具有本學(xué)科科學(xué)研究所需的基本素質(zhì),為學(xué)生今后的發(fā)展、創(chuàng)新打下良好的基礎(chǔ);使學(xué)生具有較強(qiáng)的應(yīng)用能力,具有應(yīng)用已掌握的基本知識(shí)解決實(shí)際應(yīng)用問(wèn)題的能力,不斷增強(qiáng)系統(tǒng)的應(yīng)用、開(kāi)發(fā)以及不斷獲取新知識(shí)的能力。該門(mén)課程對(duì)實(shí)踐操作要求較高,因此如何安排好實(shí)驗(yàn)環(huán)境、選擇合適的實(shí)驗(yàn)工具軟件對(duì)學(xué)好這門(mén)課程顯得十分重要。

2實(shí)驗(yàn)環(huán)境的建立

通常具備條件的大學(xué)應(yīng)該建立相應(yīng)的信息安全專業(yè)實(shí)驗(yàn)室,專門(mén)用于信息安全相關(guān)課程的學(xué)習(xí)和實(shí)踐,來(lái)完善和加強(qiáng)理論知識(shí)。而無(wú)法建立專門(mén)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室的學(xué)校就要利用現(xiàn)有的條件來(lái)完成課程實(shí)踐部分內(nèi)容的傳授和學(xué)習(xí)。由于在課程實(shí)踐過(guò)程中,會(huì)涉及大量的實(shí)驗(yàn)內(nèi)容,這些內(nèi)容大部分都是與網(wǎng)絡(luò)攻擊與防范有關(guān),因此為避免影響實(shí)驗(yàn)室的正常運(yùn)轉(zhuǎn),不能直接在現(xiàn)有的環(huán)境下進(jìn)行。這就需要以現(xiàn)有的普通計(jì)算機(jī)實(shí)驗(yàn)室為基礎(chǔ),建立專門(mén)用于網(wǎng)絡(luò)安全實(shí)驗(yàn)的環(huán)境。利用虛擬機(jī)軟件建立虛擬實(shí)驗(yàn)環(huán)境是一種有效且實(shí)用的方法。

常用的虛擬機(jī)軟件由VirualPC,Vmware等。這里主要介紹一下VMware虛擬機(jī)軟件。VMwareWorkstation是VMware公司的專業(yè)虛擬機(jī)軟件,可以虛擬現(xiàn)有任何操作系統(tǒng),而且使用簡(jiǎn)單、容易上手。在現(xiàn)有的實(shí)驗(yàn)室人手一機(jī)的環(huán)境下,利用該軟件組建一個(gè)小規(guī)模的雙機(jī)實(shí)驗(yàn)環(huán)境,在課程實(shí)驗(yàn)的過(guò)程中,由物理機(jī)充當(dāng)攻擊主機(jī)或客戶端,虛擬機(jī)充當(dāng)被攻擊主機(jī)或服務(wù)器端,這樣既不會(huì)影響現(xiàn)有的實(shí)驗(yàn)室配置,又可以完成課程的實(shí)驗(yàn),是一種有效的方法。

VMwareWorkstation軟件的完整安裝過(guò)程如下:

1.建立一個(gè)新的虛擬機(jī),利用軟件的安裝向?qū)?chuàng)建一個(gè)新的虛擬機(jī)并選擇在該環(huán)境下要安裝的操作系統(tǒng);

2.配置安裝好的虛擬機(jī):設(shè)置虛擬機(jī)磁盤(pán)容量,內(nèi)存的大小,網(wǎng)絡(luò)連接方式等;

3.配置虛擬機(jī)的網(wǎng)絡(luò),這部分比較重要,是整個(gè)安裝過(guò)程的重點(diǎn)和難點(diǎn)。虛擬機(jī)的三種網(wǎng)絡(luò)連接方式如下:

(1)Bridged模式(VMnet0):橋接方式,結(jié)構(gòu)如圖1所示。

相當(dāng)于在計(jì)算機(jī)上搭建一個(gè)虛擬網(wǎng)橋,如果物理機(jī)上有網(wǎng)卡(IP地址固定),而且位于一個(gè)物理網(wǎng)絡(luò),可以使用該選項(xiàng)。虛擬機(jī)通過(guò)虛擬網(wǎng)卡直接和外部局域網(wǎng)相連,有自己的IP地址,和物理機(jī)所在的局域網(wǎng)處于同一個(gè)網(wǎng)段,在外部看來(lái),虛擬機(jī)和物理機(jī)地位相等,物理機(jī)和虛擬機(jī)都使用本地連接。

設(shè)置方法:將虛擬機(jī)的TCP/IP屬性設(shè)置為與物理機(jī)的TCP/IP屬性在同一物理網(wǎng)段即可。

(2)NAT(VMnet8):網(wǎng)絡(luò)地址轉(zhuǎn)換方式,結(jié)構(gòu)如圖2所示。

虛擬機(jī)使用本地連接與物理機(jī)的VMnet8之間通信并連接到外部網(wǎng)絡(luò),用此方式連網(wǎng)的話可以不必與主機(jī)真實(shí)網(wǎng)卡的地址在同一個(gè)網(wǎng)段中。設(shè)置方法:將虛擬機(jī)的本地連接為自動(dòng)獲取即可。

(3)Host-Only(VMnet1):僅為主機(jī)網(wǎng)絡(luò),結(jié)構(gòu)如圖3所示。這種模式是一種封閉的方式,適合在一個(gè)獨(dú)立的環(huán)境中進(jìn)行各種網(wǎng)絡(luò)實(shí)驗(yàn)。這種方式下Host主機(jī)的“網(wǎng)絡(luò)連接”中出現(xiàn)了一個(gè)虛擬的網(wǎng)卡VMnet1(默認(rèn)情況下)。和NAT的不同的是:此種方式下,沒(méi)有地址轉(zhuǎn)換服務(wù)。因此這種情況下,虛擬機(jī)只能訪問(wèn)到主機(jī),不想和外部網(wǎng)絡(luò)連接,只與物理機(jī)之間搭建一個(gè)虛擬專有網(wǎng)絡(luò),則使用該項(xiàng)。

設(shè)置方法:將虛擬機(jī)的IP地址設(shè)置為與物理機(jī)VMnet1的IP地址為同一網(wǎng)段即可。

在實(shí)際教學(xué)的過(guò)程中,根據(jù)課程內(nèi)容的不同可以靈活的選擇虛擬機(jī)的網(wǎng)絡(luò)連接方式來(lái)完成實(shí)驗(yàn)。

3實(shí)驗(yàn)工具的選擇

在課程的教學(xué)過(guò)程中要培養(yǎng)學(xué)生學(xué)習(xí)信息安全方面的基本理論和基本知識(shí),要使學(xué)生既有扎實(shí)的理論基礎(chǔ),又有較強(qiáng)的應(yīng)用能力,因此要選擇合適的教學(xué)內(nèi)容和實(shí)驗(yàn)工具。在教學(xué)內(nèi)容中以網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)為主。課程主要的學(xué)習(xí)內(nèi)容包括:網(wǎng)絡(luò)安全的基本框架;網(wǎng)絡(luò)安全體系結(jié)構(gòu);密碼技術(shù);計(jì)算機(jī)掃描技術(shù);網(wǎng)絡(luò)攻擊技術(shù);入侵檢測(cè)技術(shù);計(jì)算機(jī)病毒及反病毒技術(shù);防火墻技術(shù);WWW安全;E-mail安全等知識(shí)。實(shí)驗(yàn)工具也是學(xué)習(xí)課程的一個(gè)重要輔助手段,可以幫助學(xué)生迅速有效的掌握所學(xué)的理論知識(shí)。根據(jù)課程的實(shí)際內(nèi)容選擇相應(yīng)的實(shí)驗(yàn)工具,這里根據(jù)網(wǎng)絡(luò)安全基礎(chǔ)課程的內(nèi)容分成幾個(gè)部分分別介紹一下在學(xué)習(xí)實(shí)驗(yàn)過(guò)程中用到的實(shí)驗(yàn)工具。

(1)網(wǎng)絡(luò)安全基本框架和體系結(jié)構(gòu)部分實(shí)驗(yàn)以網(wǎng)絡(luò)命令和數(shù)據(jù)包捕獲為主。網(wǎng)絡(luò)命令主要是讓學(xué)生熟悉一些網(wǎng)絡(luò)測(cè)試基本命令的使用。數(shù)據(jù)包捕獲部分使用工具軟件Sniffer讓學(xué)生了解網(wǎng)絡(luò)體系結(jié)構(gòu)中網(wǎng)絡(luò)層與傳輸層中信息的傳輸情況。Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲數(shù)據(jù)報(bào)文的一種工具。使用該工具把網(wǎng)絡(luò)中傳輸流動(dòng)的數(shù)據(jù)報(bào)抓下來(lái),然后查看并分析其中的內(nèi)容,得到有用的信息。

(2)密碼技術(shù)中除學(xué)習(xí)基本的密碼算法之外,實(shí)驗(yàn)工具可以選擇PGP軟件。PGP加密軟件是美國(guó)NetworkAssociateInc.出產(chǎn)的免費(fèi)軟件,可用它對(duì)文件、郵件進(jìn)行加密,該軟件采用的是由對(duì)稱加密算法(IDEA)、非對(duì)稱加密算法(RSA)、單向散列算法(MD5)以及隨機(jī)數(shù)產(chǎn)生器(從用戶擊鍵頻率產(chǎn)生偽隨機(jī)數(shù)序列的種子)組成的混合加密算法,可以幫助學(xué)生加深對(duì)密碼理論知識(shí)的學(xué)習(xí)和掌握。

(3)計(jì)算機(jī)掃描技術(shù)則通過(guò)一些常用的端口掃描工具的使用來(lái)讓學(xué)生了解如何通過(guò)端口掃描來(lái)收集目標(biāo)主機(jī)的信息、漏洞。工具軟件可以選擇SuperScan、X-Scan之類的掃描軟件。

(4)網(wǎng)絡(luò)攻擊技術(shù)部分介紹一些常見(jiàn)的網(wǎng)絡(luò)攻擊與防御方法。如木馬攻擊與防御選擇不同類型的比較常見(jiàn)的木馬工具如冰河、廣外男生、灰鴿子等來(lái)進(jìn)行攻擊和防御,讓學(xué)生通過(guò)實(shí)驗(yàn)了解木馬程序如何對(duì)目標(biāo)進(jìn)行攻擊以及如何清除木馬的方法;DDOS攻擊則通過(guò)SYN-FLOOD、UPD-FLOOD等工具了解拒絕服務(wù)攻擊的過(guò)程和預(yù)防。

(5)入侵檢測(cè)技術(shù)則通過(guò)使用SessionWall工具了解入侵檢測(cè)的基本過(guò)程和原理。SessionWall是ComputerAssociates公司的入侵檢測(cè)產(chǎn)品?？梢宰詣?dòng)識(shí)別網(wǎng)絡(luò)使用模式,特殊網(wǎng)絡(luò)應(yīng)用,并能夠識(shí)別各種基于網(wǎng)絡(luò)的入侵、攻擊和濫用活動(dòng),可以對(duì)網(wǎng)絡(luò)安全事件進(jìn)行監(jiān)聽(tīng)、對(duì)事件進(jìn)行偵測(cè)、提前預(yù)警、在偵測(cè)出不正常的網(wǎng)絡(luò)行為時(shí),可自動(dòng)發(fā)出處理動(dòng)作、記錄統(tǒng)計(jì)報(bào)告等。

(6)計(jì)算機(jī)病毒及反病毒技術(shù)則選擇最新的病毒或由學(xué)生根據(jù)實(shí)際體會(huì)來(lái)對(duì)病毒的危害、處理方式進(jìn)行學(xué)習(xí)。并選擇瑞星殺毒軟件來(lái)學(xué)習(xí)防病毒軟件的安裝和使用。

(7)防火墻技術(shù)由于實(shí)驗(yàn)環(huán)境的限制選擇個(gè)人版防火墻如天網(wǎng)防火墻或瑞星防火墻來(lái)完成實(shí)驗(yàn),通過(guò)實(shí)驗(yàn)要求學(xué)生掌握防火墻的基本設(shè)置。

(8)WWW的安全則主要以Win2000系統(tǒng)的Web服務(wù)為例來(lái)學(xué)習(xí)Web服務(wù)器和瀏覽器的安全配置以及如何啟動(dòng)SSL通道獲取數(shù)字證書(shū)來(lái)保證站點(diǎn)安全的整個(gè)設(shè)置過(guò)程。

(9)E-Mail安全部分主要通過(guò)對(duì)OutlookExpress客戶端編輯軟件的設(shè)置來(lái)對(duì)保證郵件的安全。OutlookExpress是微軟公司的一個(gè)基于Internet標(biāo)準(zhǔn)的電子郵件和新聞閱讀程序。它的郵件接收規(guī)則定義、郵件加密和簽名等機(jī)制可以可以幫助用戶發(fā)送和接收安全的電子郵件。通過(guò)該工具幫助學(xué)生學(xué)習(xí)關(guān)于電子郵件安全方面的知識(shí),拒絕垃圾郵件和惡意郵件。

4結(jié)束語(yǔ)

信息安全是國(guó)家信息化健康發(fā)展的基礎(chǔ),是國(guó)家安全的重要組成部分。國(guó)家對(duì)信息安全人才的要求也是極其迫切的,這就要求高校能夠更好的培養(yǎng)信息安全方面的應(yīng)用型人才,培養(yǎng)能利用所學(xué)知識(shí)解決具體問(wèn)題的人才。網(wǎng)絡(luò)安全基礎(chǔ)課程是信息安全專業(yè)的一門(mén)基礎(chǔ)課程,如何更好的完成網(wǎng)絡(luò)安全基礎(chǔ)課程的教學(xué),讓學(xué)生盡可能的將所學(xué)知識(shí)有效的結(jié)合到實(shí)際應(yīng)用中,根據(jù)所學(xué)知識(shí)解決具體的安全問(wèn)題,是該門(mén)課程要解決的主要問(wèn)題。本文從教學(xué)實(shí)踐出發(fā),討論了信息安全基礎(chǔ)課程的教學(xué)過(guò)程中實(shí)驗(yàn)環(huán)境的建立、實(shí)驗(yàn)內(nèi)容和實(shí)驗(yàn)工具的選擇。對(duì)如何更好的完成網(wǎng)絡(luò)安全基礎(chǔ)課程的教學(xué)進(jìn)行了探討。

參考文獻(xiàn):

[1]彭愛(ài)華.實(shí)戰(zhàn)多操作系統(tǒng)與虛擬機(jī)[M].北京:人民郵電出版社,2004.

篇(5)

[論文摘要]隨著Internet的不斷發(fā)展，伴隨而來(lái)的網(wǎng)絡(luò)信息安全問(wèn)題越來(lái)越引人關(guān)注。計(jì)算機(jī)信息一旦遭受破壞，將給單位造成嚴(yán)重的損失。就網(wǎng)絡(luò)信息安全問(wèn)題，對(duì)可能產(chǎn)生的安全因素進(jìn)行剖析，并采取一定的措施。

一、信息安全的概念

目前，我國(guó)《計(jì)算機(jī)信息安全保護(hù)條例》的權(quán)威定義是：通過(guò)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段，使計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫(kù)等受到保護(hù)，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運(yùn)行，使用戶獲得對(duì)信息使用的安全感。信息安全的目的是保護(hù)信息處理系統(tǒng)中存儲(chǔ)、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。

二、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全因素剖析

（一）來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)的病毒攻擊

目前，計(jì)算機(jī)病毒的制造者大多利用Internet網(wǎng)絡(luò)進(jìn)行傳播，所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會(huì)感染大量的機(jī)器系統(tǒng)，也可能會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，如：發(fā)送垃圾郵件的病毒，從而影響計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。

（二）軟件本身的漏洞問(wèn)題

任何軟件都有漏洞，這是客觀事實(shí)。就是美國(guó)微軟公司，全球的軟件霸主，也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對(duì)固有的安全漏洞進(jìn)行攻擊，主要有：①協(xié)議漏洞。利用POP3等協(xié)議的漏洞發(fā)動(dòng)，獲得系統(tǒng)管理員的特權(quán)；②緩沖區(qū)溢出。攻擊者利用該漏洞發(fā)送超長(zhǎng)的指令，超出緩沖區(qū)能處理的限度，造成系統(tǒng)運(yùn)行的不穩(wěn)定，使用戶不能正常工作；③口令攻擊。黑客通過(guò)破譯，獲得合法的口令，而入侵到系統(tǒng)中 。還有IP地址轟擊等方法，不一一舉例。

（三）來(lái)自競(jìng)爭(zhēng)對(duì)手的破壞

俗話說(shuō)：同行是冤家。有的企業(yè)利用不正當(dāng)手段，對(duì)同行進(jìn)行破壞。攻擊對(duì)方的網(wǎng)站或篡改對(duì)方的信息，或在其他網(wǎng)站上散布謠言，破壞競(jìng)爭(zhēng)對(duì)手的良好形象。有的轟擊對(duì)方的IP地址，使對(duì)方的網(wǎng)站不能正常工作。

（四）用戶使用不慎產(chǎn)生的后果

計(jì)算機(jī)管理人員平時(shí)工作馬虎，不細(xì)心，沒(méi)有形成規(guī)范的操作，也沒(méi)有制定相應(yīng)的規(guī)章制度。很多管理人員安全意識(shí)不強(qiáng)，將自己的生日或工號(hào)作為系統(tǒng)口令，或?qū)挝坏馁~號(hào)隨意轉(zhuǎn)借他人使用，從而造成信息的丟失或篡改。

三、網(wǎng)絡(luò)信息安全的應(yīng)對(duì)措施

（一）加強(qiáng)入網(wǎng)的訪問(wèn)控制

入網(wǎng)訪問(wèn)控制是網(wǎng)絡(luò)的第一道關(guān)口，主要通過(guò)驗(yàn)證用戶賬號(hào)、口令等來(lái)控制用戶的非法訪問(wèn)。對(duì)用戶賬號(hào)、口令應(yīng)作嚴(yán)格的規(guī)定，如：口令和賬號(hào)要盡可能地長(zhǎng)，數(shù)字和字母混合，避免用生日、工號(hào)等常見(jiàn)的東西作口令，盡量復(fù)雜化，而且要定期更新，以防他人竊取。目前安全性較高的是USBKEY認(rèn)證方法，這種方法采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設(shè)備，用戶的密鑰或數(shù)字證書(shū)無(wú)需存于內(nèi)存，也無(wú)需通過(guò)網(wǎng)絡(luò)傳播。因此，大大增強(qiáng)了用戶使用信息的安全性。

（二）加強(qiáng)病毒防范

為了能有效地預(yù)防病毒并清除病毒，必須建立起有效的病毒防范體系，這包括漏洞檢測(cè)、病毒預(yù)防、病毒查殺、病毒隔離等措施，要建立病毒預(yù)警機(jī)制，以提高對(duì)病毒的反應(yīng)速度，并有效加強(qiáng)對(duì)病毒的處理能力。主要從以下四個(gè)方面來(lái)闡述：

1．漏洞檢測(cè)。主要是采用專業(yè)工具對(duì)系統(tǒng)進(jìn)行漏洞檢測(cè)，及時(shí)安裝補(bǔ)丁程序，杜絕病毒發(fā)作的條件。

2．病毒預(yù)防。要從制度上堵塞漏洞，建立一套行之有效的制度；不要隨意使用外來(lái)光盤(pán)、移動(dòng)硬盤(pán)、U盤(pán)等存儲(chǔ)設(shè)備。

3．病毒查殺。主要是對(duì)病毒實(shí)時(shí)檢測(cè)，清除已知的病毒。要對(duì)病毒庫(kù)及時(shí)更新，保證病毒庫(kù)是最新的。這樣，才可能查殺最新的病毒。

4．病毒隔離。主要是對(duì)不能殺掉的病毒進(jìn)行隔離，以防病毒再次傳播。

（三）進(jìn)行數(shù)據(jù)加密傳輸

為防止信息泄漏，被競(jìng)爭(zhēng)對(duì)手利用，可對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并以密文的形式傳輸。即使在傳輸過(guò)程中被截獲，截獲者沒(méi)有相應(yīng)的解密規(guī)則，也無(wú)法破譯，從而保證信息傳輸中的安全性。比如：微軟公司的Windows XP就有這樣的數(shù)據(jù)加密功能。

（四）采用防火墻技術(shù)

應(yīng)用過(guò)濾防火墻技術(shù)能實(shí)現(xiàn)對(duì)數(shù)據(jù)包的包頭進(jìn)行檢查，根據(jù)其IP源地址和目標(biāo)地址做出放行或丟棄決定，但對(duì)其攜帶的內(nèi)容不作檢查；應(yīng)用防火墻技術(shù)能對(duì)數(shù)據(jù)包所攜帶的內(nèi)容進(jìn)行檢查，但對(duì)數(shù)據(jù)包頭無(wú)法檢查。因此，綜合采用包過(guò)濾防火墻技術(shù)和防火墻技術(shù)，既能實(shí)現(xiàn)對(duì)數(shù)據(jù)包頭的檢查，又能實(shí)現(xiàn)對(duì)其攜帶內(nèi)容的檢查。

（五）應(yīng)建立嚴(yán)格的數(shù)據(jù)備份制度

一要重視數(shù)據(jù)備份的重要性，認(rèn)為它很有意義，是一個(gè)必要的防范措施；二要嚴(yán)格執(zhí)行數(shù)據(jù)備份制度。要定期或不定期備份，對(duì)重要數(shù)據(jù)要有多個(gè)備份。因?yàn)闅⒍拒浖皇侨f(wàn)能的，以防萬(wàn)一，很有必要建立數(shù)據(jù)備份制度。

（六）加強(qiáng)安全管理

安全管理對(duì)于計(jì)算機(jī)系統(tǒng)的安全以及可靠運(yùn)行具有十分重要的作用。就目前而言，應(yīng)做到以下幾點(diǎn)：

1．樹(shù)立守法觀念，加強(qiáng)法制教育。有關(guān)計(jì)算機(jī)和網(wǎng)絡(luò)的一些法律知識(shí)，要了解并熟悉，如：《中國(guó)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等條例，培養(yǎng)良好的法律意識(shí)。

2．制定并嚴(yán)格執(zhí)行各項(xiàng)安全管理規(guī)章制度。包括出入機(jī)房制度、機(jī)房衛(wèi)生管理制度、在崗人員責(zé)任制、機(jī)房維護(hù)制度、應(yīng)急預(yù)案等。

3．建立檢查機(jī)制。定期或不定期地對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全例行檢查，要有記錄，看落實(shí)情況，以免流于形式。

（七）培養(yǎng)用戶的信息安全意識(shí)

篇(6)

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全；教學(xué)手段；交互式教學(xué)

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2014）04-0200-02

隨著國(guó)際一體化的快速推進(jìn)，信息技術(shù)在社會(huì)和經(jīng)濟(jì)發(fā)展中的地位越來(lái)越重要，信息安全成為關(guān)系到信息技術(shù)能否成功得到應(yīng)用的一個(gè)關(guān)鍵因素。培養(yǎng)掌握高級(jí)信息安全高級(jí)人才已成為我國(guó)信息化建設(shè)的關(guān)鍵。

一、國(guó)內(nèi)外現(xiàn)狀

關(guān)于信息安全的教材，國(guó)內(nèi)外有很多，比如由機(jī)械工業(yè)出版社出版的《網(wǎng)絡(luò)與信息安全教程》，清華大學(xué)出版社出版的《信息系統(tǒng)的安全與保密》及William Stallings著的由電子工業(yè)出版社出版的《密碼學(xué)與網(wǎng)絡(luò)安全》。這些教材一般都是基于密碼學(xué)基礎(chǔ)，介紹基礎(chǔ)的相關(guān)網(wǎng)絡(luò)安全知識(shí)和基本原理，比如計(jì)算機(jī)網(wǎng)絡(luò)安全的基本概念和技術(shù)、數(shù)據(jù)加密和認(rèn)證原理技術(shù)、入侵與病毒、防火墻原理和技術(shù)等內(nèi)容，比較適合本科生使用。但是隨著信息技術(shù)及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全涉及的內(nèi)容也越來(lái)越多，技術(shù)難度也越來(lái)越大，比如可信計(jì)算、無(wú)線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)及組播安全等理論和模型，而目前國(guó)內(nèi)外還沒(méi)有合適的教材涉及以上內(nèi)容，適合研究生層次的教學(xué)。以上這些理論和技術(shù)目前只能在相關(guān)科研論文或其他文獻(xiàn)中查到，這對(duì)我校計(jì)算機(jī)學(xué)院所開(kāi)設(shè)的研究生學(xué)位課《高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全》的教學(xué)極不方便，也影響了同學(xué)們的學(xué)習(xí)。

二、課程內(nèi)容的探索

本文作者從2006年開(kāi)始，已經(jīng)連續(xù)8年承擔(dān)計(jì)算機(jī)學(xué)院《高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全》課程的教學(xué)，具有豐富的教課經(jīng)驗(yàn)，并已積累了大量的教學(xué)素材。很多專家和學(xué)者也對(duì)信息安全和研究生教學(xué)進(jìn)行了探討和思考?？紤]到當(dāng)前信息安全的多個(gè)熱點(diǎn)領(lǐng)域和發(fā)展方向，該課程內(nèi)容從可信計(jì)算TCG和可信網(wǎng)絡(luò)TNG開(kāi)始，深入分析當(dāng)前信息安全領(lǐng)域的現(xiàn)狀和存在的問(wèn)題，引出現(xiàn)代信息技術(shù)所涉及的信息安全的各種理論和相關(guān)技術(shù)，包括無(wú)線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)、網(wǎng)絡(luò)流量分析、盲簽名/群簽名、病毒傳播模型及云計(jì)算安全等。同時(shí)，為了加強(qiáng)學(xué)生的理論理解，在課程教學(xué)中融合一定的實(shí)例和案例分析，力求做到理論和實(shí)際相結(jié)合，提高學(xué)生的動(dòng)手能力；同時(shí)對(duì)涉及領(lǐng)域的研究動(dòng)向進(jìn)行全面的綜述，培養(yǎng)學(xué)生的研究能力和創(chuàng)新能力。

三、教學(xué)手段的探索

本課程教學(xué)最初幾年，主要采用教師課堂講授的方式。但由于課程涉及內(nèi)容廣，難度大，大部分學(xué)生有畏難情緒，教學(xué)效果并不好。通過(guò)和研究生多次交流，并不斷總結(jié)經(jīng)驗(yàn)，作者認(rèn)識(shí)到：為了激發(fā)學(xué)生的學(xué)習(xí)興趣、提高學(xué)生的學(xué)習(xí)熱情，調(diào)動(dòng)學(xué)生的積極性、增強(qiáng)學(xué)生的參與度是該課程教學(xué)效果的重要手段。近五年來(lái)，通過(guò)對(duì)該課程教學(xué)手段的不斷改進(jìn)和完善，慢慢總結(jié)出以下有效的教學(xué)手段，這些教學(xué)手段取得了非常好的教學(xué)效果，也得到了學(xué)生的好評(píng)。

1.基礎(chǔ)知識(shí)介紹。我校計(jì)算機(jī)學(xué)院本科階段，開(kāi)設(shè)了《信息安全數(shù)學(xué)基礎(chǔ)》、《密碼學(xué)與安全協(xié)議》、《網(wǎng)絡(luò)攻防》等課程，為我校畢業(yè)的研究生了解、掌握信息安全的基礎(chǔ)知識(shí)。但我校其他研究生來(lái)自全國(guó)各高校，有的同學(xué)沒(méi)有修讀信息安全相關(guān)課程。為了使同學(xué)對(duì)信息安全基礎(chǔ)知識(shí)有一個(gè)基本了解，在課程開(kāi)始會(huì)利用4個(gè)課時(shí)對(duì)信息安全基礎(chǔ)理論和技術(shù)做介紹，為后面的專題打好基礎(chǔ)。

2.專題介紹及小組選題。信息安全技術(shù)發(fā)展日新月異，課程教師會(huì)總結(jié)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全前沿較新的、較系統(tǒng)的、具有代表性的十多個(gè)研究方向和研究進(jìn)展，并做簡(jiǎn)單介紹。教師會(huì)根據(jù)每個(gè)學(xué)生的研究方向及興趣愛(ài)好將同學(xué)分為十多個(gè)小組，每個(gè)小組4～8名學(xué)生，包括一名組長(zhǎng)。每個(gè)小組選取一個(gè)專題。

3.小組學(xué)習(xí)和討論。在一定時(shí)間內(nèi)，由組長(zhǎng)負(fù)責(zé)組織小組成員對(duì)所選專題進(jìn)行調(diào)研、學(xué)習(xí)和討論，要求每個(gè)成員了解掌握專題主要內(nèi)容，包括涉及的關(guān)鍵問(wèn)題、模型、算法及系統(tǒng)實(shí)現(xiàn)等四個(gè)主要方面。對(duì)調(diào)研、學(xué)習(xí)過(guò)程中遇到的難題，如經(jīng)過(guò)小組討論還無(wú)法理解，可和教師溝通，得到教師的指導(dǎo)。最后，小組要按規(guī)范制作PPT，并發(fā)給教師審核。教師給出修改意見(jiàn)，小組再完善修改，直至定稿。這個(gè)過(guò)程鍛煉了研究生的調(diào)研、學(xué)習(xí)和合作溝通能力。通過(guò)這個(gè)階段，小組成員對(duì)所負(fù)責(zé)專題有了較深刻的理解，并對(duì)小組成員進(jìn)入導(dǎo)師實(shí)驗(yàn)室，對(duì)他們開(kāi)展進(jìn)一步研究大有裨益。

4.課堂報(bào)告。每個(gè)小組將根據(jù)教師安排，在課堂匯報(bào)所負(fù)責(zé)專題的內(nèi)容。為了保證每個(gè)小組成員積極參與小組學(xué)習(xí)和討論，教師在上課時(shí)臨時(shí)指定上臺(tái)報(bào)告的學(xué)生，報(bào)告學(xué)生表現(xiàn)會(huì)作為其個(gè)人及其小組成員平時(shí)成績(jī)的重要依據(jù)。在報(bào)告過(guò)程中，教師和其他小組同學(xué)可以隨時(shí)就相關(guān)問(wèn)題提問(wèn)，有時(shí)對(duì)某一個(gè)復(fù)雜問(wèn)題進(jìn)行深入探討。因?yàn)槭菍W(xué)生上臺(tái)報(bào)告，并且同學(xué)們可以隨時(shí)參與討論，課堂氣氛非常活躍，大大增強(qiáng)了該課程的教學(xué)效果。

5.課程考核。雖然每個(gè)小組在他們負(fù)責(zé)的專題上投入了很多時(shí)間和精力，但該課程的主要目標(biāo)是每個(gè)學(xué)生需要了解各個(gè)小組報(bào)告的專題內(nèi)容。課程講解、討論結(jié)束后，所有同學(xué)還要參加最后的閉卷考試，考試內(nèi)容來(lái)源于每個(gè)小組報(bào)告的內(nèi)容。這樣，在每個(gè)小組課題報(bào)告時(shí)，其他小組成員還要認(rèn)真聽(tīng)講并積極參與討論。每個(gè)同學(xué)在課題上的表現(xiàn)和積極性也將作為該學(xué)生平時(shí)成績(jī)的一部分。

四、小結(jié)

本論文討論的《高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全》的教學(xué)模式和教學(xué)方法具有一定新意，主要體現(xiàn)在以下幾方面。

1.國(guó)內(nèi)外關(guān)于高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)安全專題的教材還沒(méi)有，本課程對(duì)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全前沿研究方向進(jìn)行系統(tǒng)化總結(jié)。本課程主要內(nèi)容既可作為研究生學(xué)習(xí)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域較新和較成熟的科研成果，也可作為課題研究的參考。

2.本課程涉及的內(nèi)容較全面，包括可信計(jì)算TCG和可信網(wǎng)絡(luò)TNG、無(wú)線網(wǎng)絡(luò)安全、信息隱藏和數(shù)字水印技術(shù)、網(wǎng)絡(luò)流量分析、盲簽名/群簽名、病毒傳播模型以及云計(jì)算安全等理論和模型。

3.為了加強(qiáng)學(xué)生對(duì)相關(guān)理論的理解，本課程包含一定的實(shí)例和案例分析，力求做到理論和實(shí)際相結(jié)合，提高學(xué)生的動(dòng)手能力。

4.教學(xué)相長(zhǎng)，通過(guò)小組合作和課堂討論，引導(dǎo)學(xué)生深入研究某一專題，培養(yǎng)學(xué)生的團(tuán)隊(duì)合作能力和研究能力，增強(qiáng)同學(xué)學(xué)習(xí)的主動(dòng)性和積極性。此外，還通過(guò)網(wǎng)上交流及講座論壇等形式開(kāi)展交互式教學(xué)。

參考文獻(xiàn)：

[1]馬建峰，李風(fēng)華.信息安全學(xué)科建設(shè)與人才培養(yǎng)現(xiàn)狀、問(wèn)題與對(duì)策[J].計(jì)算機(jī)教育，2005，（1）.

[2]王海暉，譚云松，伍慶華，黃文芝.高等院校信息安全專業(yè)人才培養(yǎng)模式的研究[J].現(xiàn)代教育科學(xué)：高教研究，2006，（5）.

[3]景靜姝，王玉琨，劉鑒汶.高等院校研究生課程教學(xué)改革問(wèn)題探討[J].理論導(dǎo)刊，2007，（5）：97-99.

篇(7)

關(guān)鍵詞：多屬性群決策；熵權(quán)法；TOPSIS；信息安全；風(fēng)險(xiǎn)評(píng)估

一、 引言

從20世紀(jì)90年代后期起，我國(guó)信息化建設(shè)得到飛速發(fā)展，金融、電力、能源、交通等各種網(wǎng)絡(luò)及信息系統(tǒng)成為了國(guó)家非常重要的基礎(chǔ)設(shè)施。隨著信息化應(yīng)用的逐漸深入，越來(lái)越多領(lǐng)域的業(yè)務(wù)實(shí)施依賴于網(wǎng)絡(luò)及相應(yīng)信息系統(tǒng)的穩(wěn)定而可靠的運(yùn)行，因此，有效保障國(guó)家重要信息系統(tǒng)的安全，加強(qiáng)信息安全風(fēng)險(xiǎn)管理成為國(guó)家政治穩(wěn)定、社會(huì)安定、經(jīng)濟(jì)有序運(yùn)行的全局性問(wèn)題。

信息安全風(fēng)險(xiǎn)評(píng)估方法主要分為定性評(píng)估方法、定量評(píng)估方法和定性與定量相結(jié)合的評(píng)估方法三大類。定性評(píng)估方法的優(yōu)點(diǎn)是使評(píng)估的結(jié)論更全面、深刻；缺點(diǎn)是主觀性很強(qiáng)，對(duì)評(píng)估者本身的要求高。典型的定性評(píng)估方法有：因素分析法、邏輯分析法、歷史比較法、德?tīng)栰撤ǖ?。定量的評(píng)估方法是運(yùn)用相應(yīng)的數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。其優(yōu)點(diǎn)是用直觀數(shù)據(jù)來(lái)表述評(píng)估結(jié)果，非常清晰，缺點(diǎn)是量化過(guò)程中容易將本來(lái)復(fù)雜的事物簡(jiǎn)單化。典型的定量分析方法有：聚類分析法、時(shí)序模型、回歸模型等。定性與定量相結(jié)合的評(píng)估方法就是將定性分析方法和定量分析方法這兩種方法有機(jī)結(jié)合起來(lái)，做到彼此之間揚(yáng)長(zhǎng)避短，使評(píng)估結(jié)果更加客觀、公正。

本文針對(duì)風(fēng)險(xiǎn)評(píng)估主觀性強(qiáng)，要素眾多，各因素較難量化等特殊性，將多屬性群決策方法引入到風(fēng)險(xiǎn)評(píng)估當(dāng)中。多屬性決策方法能夠較有效解決多屬性問(wèn)題中權(quán)重未知的難題，而群決策方法能較好地綜合專家、評(píng)估方、被評(píng)估方以及其他相關(guān)人員的評(píng)估意見(jiàn)。該方法可解決風(fēng)險(xiǎn)評(píng)估中評(píng)估要素屬性的權(quán)重賦值問(wèn)題，同時(shí)群決策理論的引入可提高風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和客觀性。本文用熵權(quán)法來(lái)確定屬性權(quán)重，用TOPSIS作為評(píng)價(jià)模型，對(duì)風(fēng)險(xiǎn)集進(jìn)行排序選擇，并運(yùn)用實(shí)例來(lái)進(jìn)行驗(yàn)證分析。

二、 相關(guān)理論研究

1. 信息安全風(fēng)險(xiǎn)分析原理。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)信息安全相關(guān)的技術(shù)和管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性進(jìn)行評(píng)價(jià)的過(guò)程。它要對(duì)組織資產(chǎn)面臨的威脅進(jìn)行評(píng)估以及確定威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合相應(yīng)安全事件所涉及的資產(chǎn)價(jià)值來(lái)判定當(dāng)安全事件發(fā)生時(shí)對(duì)組織會(huì)造成的影響。文獻(xiàn)中提出了一種改進(jìn)的風(fēng)險(xiǎn)分析流程及原理，該模型對(duì)風(fēng)險(xiǎn)分析基本流程的屬性進(jìn)行了細(xì)分，如圖1所示。

根據(jù)上述原理，總結(jié)出信息安全風(fēng)險(xiǎn)評(píng)估的基本步驟，可以描述如下： （1）首先調(diào)查組織的相關(guān)業(yè)務(wù)，分析識(shí)別出組織需要保護(hù)的重要資產(chǎn)，以及資產(chǎn)本身存在的脆弱性、面臨的威脅，形成風(fēng)險(xiǎn)集。（2）組織各領(lǐng)域?qū)＜覍?duì)風(fēng)險(xiǎn)集中各屬性進(jìn)行評(píng)估并賦權(quán)值，得到每個(gè)風(fēng)險(xiǎn)的屬性值。（3）通過(guò)一定的算法對(duì)所有屬性進(jìn)行綜合分析，得到最后的結(jié)果，進(jìn)一步推算出組織面臨的風(fēng)險(xiǎn)值。

2. 多屬性群決策理論。多屬性群決策，是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息，通過(guò)一定的方式對(duì)一組（這一組是有限個(gè)）備擇方案進(jìn)行排序并選擇，群決策是多個(gè)決策者根據(jù)自己的專業(yè)水平、知識(shí)面、經(jīng)驗(yàn)和綜合能力等對(duì)方案的重要性程度進(jìn)行評(píng)價(jià)。在多屬性群決策過(guò)程中，需要事先確定各專家權(quán)重和屬性權(quán)重，再通過(guò)不同集結(jié)算法計(jì)算各方案的綜合屬性值，從而對(duì)方案進(jìn)行評(píng)價(jià)或擇優(yōu)。

3. 熵權(quán)法原理。香農(nóng)在1948年將熵的概念應(yīng)用到信息領(lǐng)域用來(lái)表示信源的不確定性，根據(jù)熵的思想，人們?cè)跊Q策中獲取信息的數(shù)量和質(zhì)量是提高決策精度和可靠性的重要因素。而熵在應(yīng)用于不同決策過(guò)程的評(píng)價(jià)時(shí)是一個(gè)很理想的方法。熵權(quán)法是確定多屬性決策問(wèn)題中各屬性權(quán)系數(shù)的一種有效方法。它是利用決策矩陣和各指標(biāo)的輸出熵來(lái)確定各指標(biāo)的權(quán)系數(shù)。

試考慮一個(gè)評(píng)估問(wèn)題，它有m個(gè)待評(píng)估方案，n個(gè)評(píng)估屬性，（簡(jiǎn)稱m，n評(píng)估問(wèn)題）。先將評(píng)估對(duì)象的實(shí)際狀況可以得到初始的決策矩陣R′=（′ij）m×n，′ij為第i個(gè)對(duì)象在第j個(gè)指標(biāo)上的狀態(tài)，對(duì)R′進(jìn)行標(biāo)準(zhǔn)化處理，得到標(biāo)準(zhǔn)狀態(tài)矩陣：R=（ij）m×n，用M={1，2，…，m}表示方案的下標(biāo)集，用 N={1，2，…，n}表示屬性的下標(biāo)集，以下同。其中，當(dāng)評(píng)估屬性取值越大越好，即為效益型數(shù)據(jù)時(shí)：

ij=（1）

當(dāng)評(píng)估屬性取值越小越好，即為成本型數(shù)據(jù)時(shí)：

ij=（2）

（1）評(píng)估屬性的熵：

Hj=-kij×lnij j∈N（3）

其中ij=ij/ij k=1/lnm，并假定，當(dāng)ij=0時(shí)，ijlnij=0，Hj越大，事件的不確定性越大，Hj越小，事件的不確定性越小。

（2）評(píng)估屬性的熵權(quán)：在（m，n）評(píng)估問(wèn)題中，第j個(gè)評(píng)估屬性的熵權(quán)j定義為：

j=（1-Hj）/（n-Hj），j∈N，顯然0j1且j=1

3. TOPSIS方法。TOPSIS（Technique for Order Preference by Similarity to Ideal Solution）法是一種逼近理想解的排序方法，適用于多屬性決策中方案的排序和優(yōu)選問(wèn)題，它的基本原理描述如下：（1）界定理想解和負(fù)理想解，（2）以各方案與“理想解”和“負(fù)理想解”的歐氏距離作為排序標(biāo)準(zhǔn)，尋找距“理想解”的歐氏距離最小，（3）距“負(fù)理想解”的歐氏距離最大的方案作為最優(yōu)方案。理想解是一個(gè)方案集中虛擬的最佳方案，它的每個(gè)屬性值都是決策矩陣中該屬性的最好的值；而負(fù)理想解則是虛擬的最差方案，它的每個(gè)屬性值都是決策矩陣中該屬性的最差的值。最優(yōu)方案是通過(guò)需要評(píng)估的方案與理想解和負(fù)理想解之間的歐氏距離構(gòu)造的接近度指標(biāo)來(lái)進(jìn)行判斷的。假設(shè)決策矩陣R=（ij）m×n已進(jìn)行過(guò)標(biāo)準(zhǔn)化處理。具體步驟如下：

（1）構(gòu)造加權(quán)標(biāo)準(zhǔn)狀態(tài)矩陣X=（xij），其中：xij=j×ij，i∈M；j∈N，j為第j個(gè)屬性的權(quán)重；xij為標(biāo)準(zhǔn)狀態(tài)矩陣的元素。

（2）確定理想解x+和負(fù)理想解x-。設(shè)理想解x+的第j個(gè)屬性值為x+j，負(fù)理想解x-的第j個(gè)屬性值位x-j，則

x+j={xij|j∈J1）），xij|j∈J2）}

x-j={xij|j∈J1）），xij|j∈J2）}

J1為效益型指標(biāo)，J2為成本型指標(biāo)。

（3）計(jì)算各方案到理想解的Euclid距離di+與負(fù)理想解的距離di-

di+=；di-=；i∈M

（4）計(jì)算各方案的接近度C+i，并按照其大小排列方案的優(yōu)劣次序。其中

C+i=，i∈M

三、 基于TOPSIS的多屬性群決策信息安全風(fēng)險(xiǎn)評(píng)估模型

1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估中，有以下幾點(diǎn)考慮：

（1）組織成本問(wèn)題。組織需要對(duì)分析出來(lái)的風(fēng)險(xiǎn)嚴(yán)重程度進(jìn)行排序比較，從而利用有限的成本將風(fēng)險(xiǎn)控制到適當(dāng)范圍內(nèi)。因此，組織可以將被評(píng)估方所面臨的風(fēng)險(xiǎn)集，看作是決策問(wèn)題中的方案集，決策目的就是要衡量各風(fēng)險(xiǎn)值的大小及其排序，從中找出最需要控制的風(fēng)險(xiǎn)。

（2）風(fēng)險(xiǎn)評(píng)估中的復(fù)雜性問(wèn)題。風(fēng)險(xiǎn)評(píng)估的復(fù)雜性，適合用多屬性群決策方法來(lái)解決。如圖1所示，信息安全風(fēng)險(xiǎn)評(píng)估中涉及多個(gè)評(píng)估指標(biāo)，通過(guò)評(píng)估指標(biāo)u1，u2，…，u7的取值來(lái)計(jì)算風(fēng)險(xiǎn)值z(mì)。風(fēng)險(xiǎn)值z(mì)的計(jì)算適用于多屬性決策的方法。而由于風(fēng)險(xiǎn)評(píng)估的復(fù)雜性和主觀依賴性決定了風(fēng)險(xiǎn)評(píng)估需要綜合多人的智慧，因此風(fēng)險(xiǎn)評(píng)估的決策者在各方面優(yōu)勢(shì)互補(bǔ)，實(shí)現(xiàn)群決策的優(yōu)勢(shì)。

2. 評(píng)估過(guò)程。

（1）構(gòu)造決策矩陣，并將決策矩陣標(biāo)準(zhǔn)化為R=（ij）m×n，由于風(fēng)險(xiǎn)評(píng)估屬性都是成本型屬性，所以用公式（2）標(biāo)準(zhǔn)化。

（2）專家dk權(quán)重的確定。為確定專家權(quán)重，由風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人構(gòu)造專家判斷矩陣，假設(shè)共有r個(gè)專家，Eij表示第i位專家對(duì)第j專家的相對(duì)重要性，利用Saaty（1980）給出了屬性間相對(duì)重要性等級(jí)表，計(jì)算判斷矩陣的特征向量，即可得到專家的主觀權(quán)重：=（1，2，3，…，r）。

（3）指標(biāo)權(quán)重的確定。指標(biāo)權(quán)重由熵權(quán)法確定，得到專家dk各指標(biāo)權(quán)重（k）=（1（k），2（k），3（k），…，n（k））。

（4）利用屬性權(quán)重對(duì)決策矩陣R（k）進(jìn)行加權(quán)，得到屬性加權(quán)規(guī)范化決策矩陣X（k）=（xij（k））m×n，其中，xij（k）=ij（k）·j（k），i∈M；j∈N。

（5）利用加權(quán)算術(shù)平均（WAA）算子將不同決策者的加權(quán)規(guī)范矩陣X（k）集結(jié)合成，得到綜合加權(quán)規(guī)范化矩陣X=（xij）m×n，其中xij=xij（k）k。

（6）在綜合加權(quán)規(guī)范化矩陣X=（xij）m×n中尋找理想解x+=（x1+，x2+，…，xn+） 和負(fù)理想解x-=（x1-，x2-，…，xn-）， 因?yàn)轱L(fēng)險(xiǎn)評(píng)估屬性類型為成本型，故x+j=xij，x-j=xij，j∈N。

（7）計(jì)算各風(fēng)險(xiǎn)集分別與正理想解的Euclid距離di+和di-。

（8）計(jì)算各風(fēng)險(xiǎn)集的接近度C+i，按照C+i的降序排列風(fēng)險(xiǎn)集的大小順序。

四、 實(shí)例分析

1. 假設(shè)條件。為了計(jì)算上的方便，本文作以下假設(shè)：

（1）假設(shè)共有兩個(gè)資產(chǎn)，資產(chǎn)A1，A2。

（2）資產(chǎn)A1面臨2個(gè)主要威脅T1和T2，資產(chǎn)A2面臨1個(gè)主要威脅T3。

（3）威脅T1可以利用資產(chǎn)A1存在的1個(gè)脆弱性V1，分別形成風(fēng)險(xiǎn)X1（A1，V1，T1）；威脅T2可以利用資產(chǎn)A1存在的1個(gè)脆弱性V2，形成風(fēng)險(xiǎn)X2（A1，V2，T2）；威脅T3可以利用資產(chǎn)A2存在的1個(gè)脆弱性V3，形成風(fēng)險(xiǎn)X3（A2，V3，T3）。以上假設(shè)條件參照文獻(xiàn)“7”。

（4）參與風(fēng)險(xiǎn)評(píng)估的人員來(lái)自不同領(lǐng)域的專家3名，分別是行業(yè)專家d1，評(píng)估人員d2和組織管理者d3，系統(tǒng)所面臨的風(fēng)險(xiǎn)已知，分別是X1，X2，X3。

2. 信息安全風(fēng)險(xiǎn)評(píng)估。

（1）構(gòu)造決策矩陣。如表1，決策屬性為u1，u2，…，u7，決策者d1，d2，d3依據(jù)這些指標(biāo)對(duì)三個(gè)風(fēng)險(xiǎn)X1，X2，X3進(jìn)行評(píng)估給出的風(fēng)險(xiǎn)值（范圍從1～5）。

（2）決策矩陣規(guī)范化，由于上述數(shù)值屬成本型，用公式（2）進(jìn)行標(biāo)準(zhǔn)化。

（3）專家權(quán)重的確定，評(píng)估負(fù)責(zé)人給出3個(gè)專家的判斷矩陣。

計(jì)算出各專家權(quán)重=（0.717，0.201，0.082），最大特征值為3.054 2，C.I=0.027，R.I=0.58，C.R=0.0470.1，判斷矩陣滿足一致性檢驗(yàn)。

（3）指標(biāo)權(quán)重的確定

w1=（0.193，0.090，0.152，0.028，0.255，0.090，0.193）

w2=（0.024，0.312，0.024，0.223，0.024，0.168，0.223）

w3=（0.024，0.024，0.312，0.168，0.168，0.223，0.079）

（4）得到綜合加權(quán)規(guī)范矩陣X

X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026

（5）求出理想解x+=（0.002，0.017，0.063，0.013，0.006，0.045，0.026） 負(fù)理想解x-=（0.072，0.080，0.084，0.039，0.146，0.101，0.107）。

（6）計(jì)算d+i、d-i和C+i及對(duì)結(jié)果排序，見(jiàn)表5。

從排序結(jié)果可以看出，風(fēng)險(xiǎn)大小依次為X3X2X1，因此，組織要按此順序根據(jù)企業(yè)的經(jīng)濟(jì)實(shí)力加強(qiáng)風(fēng)險(xiǎn)控制。與參考文獻(xiàn)“8”中的風(fēng)險(xiǎn)計(jì)算方法比較，提高了風(fēng)險(xiǎn)計(jì)算的準(zhǔn)確性。

五、 結(jié)論

通過(guò)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估特點(diǎn)分析，將多屬性群決策用于信息安全風(fēng)險(xiǎn)評(píng)估當(dāng)中，多屬性群決策中最重要的就是權(quán)重的確定，本文對(duì)專家權(quán)重采用兩兩成對(duì)比較矩陣來(lái)獲得，對(duì)屬性權(quán)重采用熵權(quán)法來(lái)確定，最后采用TOPSIS方法進(jìn)行結(jié)果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響，提高信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性，為信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估提供一種研究新思路。

參考文獻(xiàn)：

1.趙亮.信息系統(tǒng)安全評(píng)估理論及其群決策方法研究.上海交通大學(xué)博士論文，2011.

2.中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，2007.

3.陳曉軍.多屬性決策方法及其在供應(yīng)商選擇上的應(yīng)用研究.合肥工業(yè)大學(xué)碩士論文，2008.

4.周輝仁，鄭丕諤，秦萬(wàn)峰等.基于熵權(quán)與離差最大化的多屬性群決策方法.軟科學(xué)，2008，22（3）.

5.管述學(xué)，莊宇.熵權(quán)TOPSIS模型在商業(yè)銀行信用風(fēng)險(xiǎn)評(píng)估中的應(yīng)用.情報(bào)雜志，2008，（12）.

6.郭凱紅，李文立.權(quán)重信息未知情況下的多屬性群決策方法及其拓展.中國(guó)管理科學(xué)，2011，19（5）.

7.唐作其，陳選文等.多屬性群決策理論信息安全風(fēng)險(xiǎn)評(píng)估方法研究.計(jì)算機(jī)工程與應(yīng)用，2011，47（15）.

8. 中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范.北京：中國(guó)標(biāo)準(zhǔn)出版社，2007.

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（項(xiàng)目號(hào)：60970143，70872120）；教育部科學(xué)技術(shù)研究基金資助重點(diǎn)項(xiàng)目（項(xiàng)目號(hào)：109016）。