前言：我們精心挑選了數篇優質安全技術論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

關鍵詞：稅收信息化；信息狀態安全；信息轉移安全；信息安全技術

從三個方面來考慮：首先是信息狀態安全，即稅務系統安全，要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利，必須以一定的方式將它的數據中心開放，這對稅務系統本身帶來了很大的風險。其次是信息轉移安全，即服務安全，如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度，即使用安全，保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。

一、信息狀態安全技術

信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。

（一）系統主機服務器安全（ServerSecurity）

服務器是存儲數據、處理請求的核心，因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護，對非法接觸服務器配件具有一定的保護措施，比如加鎖或密碼開關設置等；同時，服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性，不會因為大量的訪問導致服務器崩潰；服務器要能夠支持基于硬件的磁盤陣列功能，支持磁盤及磁帶的系統、數據備份功能，使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復，保證服務器的不間斷運行；服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面，這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。

（二）操作系統安全（OperatingSystemSecurity）

設置操作系統就像為構筑安全防范體系打好“地基”。

1.自主訪問控制（DiscretionaryAccessControl，DAC）。自主訪問控制是基于對主體（Subject）或主體所屬的主體組的識別來限制對客體（Object）的訪問。為實現完備的自主訪問控制，由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體，每列表示一個受保護的客體，矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表，根據表中信息的不同可分為三種形式：（1）權力表（CapabilitiesList），它決定是否可對客體進行訪問以及可進行何種模式的訪問。（2）前綴表（PrefixList），它包括受保護客體名以及主體對客體的訪問權。（3）口令（Password），主體對客體進行訪問前，必須向稅務操作系統提供該客體的口令。對于口令的使用，建議實行相互制約式的雙人共管系統口令。

2.強制訪問控制（MandatoryAccessControl，MAC）。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊，這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中，稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性，系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施：（1）限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用，該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下，用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。（2）限制編程。鑒于稅務系統僅需要進行事務處理，不需要任何編程的能力，可將用于應用開發的計算機系統分離出去，完全消除用戶的編程能力。

3.安全核技術（SecurityKernelTechnology）。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是：將與安全有關的軟件隔離在操作系統的一個可信核內，而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則：（1）完備性（Completeness），要求使主體必須通過引進監控器才能對客體進行訪問操作，并使硬件支持基于安全核的系統。（2）隔離性（Isolation），要求將安全核與外部系統很好的隔離起來，以防止進程對安全核的非法修改。（3）可驗證性（Verifiability），要求無論采用什么方法構造安全核，都必須保證對它的正確性可以進行某種驗證。

其他常見措施還有：信息加密、數字簽名、審計等，這些技術方法在數據庫安全等方面也可廣泛應用，我們將在下面介紹。

（三）數據庫安全（DatabaseSecurity）

數據庫是信息化及很多應用系統的核心，其安全在整個信息系統中是最為關鍵的一環，所有的安全措施都是為了最終的數據庫上的數據的安全性。另外，根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求，數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。

數據庫的安全性主要是依靠分層解決的，它的安全措施也是一級一級層層設置的，真正做到了層層設防。第一層應該是注冊和用戶許可，保護對服務器的基本存取；第二層是存取控制，對不同用戶設定不同的權限，使數據庫得到最大限度的保護；第三層是增加限制數據存取的視圖和存儲過程，在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系，稅務網絡信息系統需要設置對機密和非機密數據的訪問控制：（1）驗證（Authentication），保證只有授權的合法用戶才能注冊和訪問；（2）授權（Authorization），對不同的用戶訪問數據庫授予不同的權限；（3）審計（Auditing），對涉及數據庫安全的操作做一個完整的記錄，以備有違反數據庫安全規則的事件發生后能夠有效追查，再結合以報警（Alert）功能，將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定，這樣用戶只能取得對視圖和存儲過程的授權，而無法訪問底層表。視圖可以限制底層表的可見列，從而限制用戶能查詢的數據列的種類。

二、信息轉移安全技術

信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的，安全系統應具有身份認證（IdentificationandAuthentication）；訪問控制（AccessControl）；可記賬性（Accountability）；對象重用（ObjectReuse）；精確性（Accuracy）；服務可用性（AvailabilityofServices）等功能。

1.防火墻技術（FirewallTechnology）

為保證信息安全，防止稅務系統數據受到破壞，常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻，是一類防范措施的總稱，是指在受保護的企業內聯網與對公眾開放的網絡（如Internet）之間設立一道屏障，對所有要進入內聯網的信息進行分析或對訪問用戶進行認證，防止有害信息和來自外部的非法入侵進入受保護網，并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散，從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型，最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋，IP層防火墻對用戶透明性好，應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可，常常將兩種防火墻結合使用，以互相補充，確保網絡的安全。另外，還有專門用于過濾病毒的病毒防火墻，隨時為用戶查殺病毒，保護系統。

2.信息加密技術（InformationEncryptionTechnology）

信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式，經過線路傳送，到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法，可以使破譯的難度大大增加。具體有兩種加密方式：（1）私鑰加密體制（Secret-keyCryptography），即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組，然后逐組加密。而序列密碼把明文符號立即轉換為密文符號，運算速度更快，安全性更高。（2）公鑰加密體制（Public-keyCryptography），其加密密鑰與解密密鑰分為兩個不同的密鑰，一個用于對信息的加密，另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。

在傳輸過程中，只有稅務系統和認證中心（AuthenticationCenter，AC）才有稅務系統的公開密鑰，只有納稅人和認證中心才有納稅人的公開密鑰，在這種情況下，即使其他人得到了經過加密后雙方的私有密鑰，也因為無法進行解密而保證了私有密鑰的重要性，從而保證了傳輸文件的安全性。

3.信息認證技術（InformationAuthenticationTechnology）

數字簽名技術（DigitalSignatureTechnology）。數字簽名可以證實信息發送者的身份以及信息的真實性，它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的，其主要方式是：信息發送方首先通過運行散列函數，生成一個欲發送報文的信息摘要，然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后，首先運行和發送方相同的散列函數生成接收報文的信息摘要，然后再用發送方的公開密鑰對報文所附的數字簽名進行解密，產生原始報文的信息摘要，通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。

完整性認證（IntegrityAuthentication）。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是：信息發送者在信息中加入一個認證碼，經加密后發送給接收者檢驗，接收者利用約定的算法對解密后的信息進行運算，將得到的認證碼與收到的認證碼進行比較，若兩者相等，則接收，否則拒絕接收。

4.防病毒技術（Anti-virusTechnology）

病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施，來最大限度地加強網絡端到端的防病毒架構，再加上防病毒制度與措施，就構成了一套完整的防病毒體系。

參考文獻：

[1]楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.

[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.

[3]滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.

[4]陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.

第2篇

在勘探協同研究云平臺中，應用服務器和存儲集中存放在服務器機房，雙網段的設置保證了數據交換僅在機房內部進行，客戶端與服務器之間的通信數據只有經過壓縮的屏幕顯示，有效防止了數據外泄。同時改變了原有的用戶管理模式，每個科研人員都有自己唯一的賬號，增強了用戶賬號的安全性。

1.1數據隔離

云計算系統對于客戶數據的存放可采用兩種方式實現，即提供統一共享的存儲設備或者單獨的存儲設備。目前各個部門都有單獨的存儲，但后續規劃是建成統一的數據存儲系統。這就需要存儲自身的安全措施，比如存儲映射等功能可以確保數據的隔離性，它基于共享存儲的方式，能夠節約存儲空間并且統一管理。

1.2數據保護

對于存儲在云計算平臺中的數據，可采取快照、備份和容災等重要保護手段確保客戶重要數據的安全。對于數據備份，可通過現有的企業級備份軟件或者存儲備份功能實現，可按照用戶設定的備份策略對其文件和數據庫進行自動備份及恢復，包括在線和離線備份，如圖3所示。一般數據庫備份推薦一周一次全備,根據實際情況配置差分增量備份,差分增量適合數據量變化多的數據庫，恢復時需要的恢復次數較多。

2網絡安全

在進行勘探云平臺建設的過程中，網絡虛擬化技術是其中的一個必要環節和組成部分。利用網絡虛擬化技術可以比較好地提供網絡鏈路安全和網絡隔離的解決方案，不僅可以提供高帶寬和低延時，還能提供負載均衡和高強度的冗余性，為云平臺業務應用提供可靠的網絡環境保障。

2.1網絡鏈路安全

網絡鏈路是一個端到端的通路，一邊是服務器端，一邊是交換機端。在服務器端應用端口虛擬化連接技術，可以將實際的物理網絡端口，按照需求通過虛擬化連接管理配置到各個不同的VLAN端口中，在與交換機的鏈接上，可通過端口匯聚技術及協議實現高帶寬、負載均衡以及多鏈路冗余，在端對端配置的過程中，必須遵照相互可通行的網絡協議。應用網絡虛擬化技術后不但可以滿足勘探云平臺的網絡速度的要求，同時也提供了可靠的網絡鏈路保障。如圖4所示。

2.2網絡隔離

針對網絡、存儲和服務器安全問題，采用網絡隔離技術，網絡隔離提供數據傳輸的安全性。從網絡的角度，業務隔離必須要從接入層能夠將各業務的服務器分開。（1）VLAN。VLAN主要用在研究院內部，用于隔離不同的應用和客戶程序，確保一個客戶無法獲取其他用戶的網絡數據，但是網絡的管理員可以看到所有的網絡數據。因此，這種方法只有隔離性，沒有保證私密性。為了既能滿足研究院外網絡訪問勘探云平臺的要求，又要最大限度地保障勘探數據的安全性，勘探云平臺設計運行在內網（192.168.X.X網段用于高速內部數據交換）和外網（10.72.x.x網段用于外部平臺訪問）兩個不同網段。數據庫服務器、集中存儲系統，關鍵性管理服務器僅配置內部網段。（2）VPN。VPN又稱虛擬專用網絡，是將多臺分布的計算機用一個私有的經過加密的網絡連接起來，形成一個私有的網絡。當用戶通過數據網絡訪問云服務時，對鏈路加密是保證用戶數據不被非法竊取的必要手段。VPN是通用的鏈路加密方式，在云計算環境中，SSL是被廣泛使用的VPN技術，是一種常見的傳輸安全技術，主要用在瀏覽器和服務器之間的通信上，比較適合點對點的安全保障。

3災備管理

遇到UPS無法供電、機房失火、地震等極端情況造成的數據丟失和業務停止，云計算平臺應該可以切換到其他備用站點以繼續提供服務。對于一個云計算服務的用戶，可以選擇不同地點的中心機房提供服務，這樣即使服務停止用戶也可以保留自己的數據，并繼續運行自己的業務。

4總結

第3篇

偏重基礎知識和專業知識，而國家考核大綱要求的安全知識和法規知識涉及內容很少。沒有達到安全技術培訓的目的，安全培訓是讓學員掌握更多的安全技能，法規知識。培訓不是目的，而是讓學員把學到更多安全知識運用到工作中。各種職業考試形式，逐步向客觀試題測試形式過渡，如注冊安全工程師考試的4門課程，其中3門課程就是客觀題，只有1門課程帶主管題內容。這種考試方式通過增加考題數量，增加考察知識點的覆蓋范圍。

2組卷策略設計

通過不斷總結以往傳統考試經驗，借鑒一些專業類型的考試形式，對特種作業安全技術計算機遠程考試的組卷策略進行研究和優化。

2.1規范題庫歸類建設

題庫的題目按照功用結合其內容及適用范圍進行劃分知識點，形成若干個不同的小題庫，即功能模塊，然后將所需的功能模塊組合成不同的資格項目試題庫。所有的特種作業種類所涉及的政策法規、基本知識、專業知識、安全知識或節能環保等知識點建成不同的模塊，按照考核大綱要求，根據知識點所占試卷總分的權重不同，可以設計出符合相應比例內容的試卷。

2.2題目的設置形式

題目全部是客觀題，有四種形式即：判斷題、單選題、多選題、識圖題。判斷題只有兩項選擇，選擇正確、錯誤；有四項選擇只有一個答案是正確的屬單項選擇題；有四項選擇答案有兩個以上是正確的屬多項選擇題，第四種是識圖題目，對照題目所給的圖片，測試安全附件、設備結構和安全標識等方面的知識。難度系數的確定：根據題目內容考察難易程度將試題劃分1、2、3、4級（一般、中等、較難、高難）數值越大難度越高，對卷面的難度用題目的難度級別所占的比例來控制。例如，要提高卷面的難度，只要在設置試卷時增加難度級別高的題目的比例就能實現。

2.3設計組卷模式

把計算機考試系統設計出支持手工出卷、自動出卷、隨機出卷三種出卷模式。試卷類型設計支持作業、練習和考試三種形式。理論試卷生成既能滿足學員在線作答，又能按照設計格式生成固定試卷并實現紙質打印。支持兩種卷面結構：整卷模式和逐題模式。支持生產試卷題目和答案隨機排序。支持試卷總分的靈活設置功能，手動組卷時能顯示已選題總分和剩余分數，提示組卷入應選擇題目的數量。

2.4優化隨機組卷方式

根據對軟件技術探究和實際考試需求分析，設計出“隨機試題動態緩存服務”（DynamicCacheService，DCS）和“答卷頁面局部提交技術”（PartSubmitTechnology，PST）。這兩項技術的應用可以滿足在同樣的硬件、網絡條件下，能支持同時在線考試學員數量是其他網絡考試系統的3到5倍。同時隨機試卷動態緩存服務，防止意外情況，斷網等情況下，保證提交試卷不丟失。

3創建試卷

通過實例模擬操作，介紹如何利用設計的組題策略在考試系統創建試卷。

3.1創建試卷基本信息

在“試卷管理”中創建手工試題，具體操作可通過單擊【新增】按鈕選擇【新增手工試卷】按鈕，進入試卷編輯頁面（如圖2所示）。在試卷基本信息欄目中填寫包括試卷名稱、試卷編號、試卷類型、分數設置、將分數折算、分數選項、單選變為不定項、難度系數等內容。試卷編號：編號以字母+數字的形式，由系統自動生成，可手動修改編號，修改后按修改后的樣式自動生成；試卷類型：分為通用試卷和測評試卷，默認為通用試卷，測評試卷主要用于測評考試，并可生成相應的測評報告；分數設置：在出卷時設置計劃分數，系統會根據所選的題目自動算出剩余分數；將分數折算成：試題折算后的分數=折算前試題分數（*折算后的試卷總分/折算前的試卷總分）；分數選項：設置是否在卷面上顯示試題分數；單選變為不定項：設置單選題為不定項選擇題；難度系數：系統可以設置不同難易程度的試卷。根據試題的難易程度，系統設置了五個級別，從1到4逐漸增加。

3.2選擇題型

選擇試卷大題題型。在題型列表中雙擊所選題型，或選中題型后點擊移動箭頭將題型從左邊移到右邊已選大題（如圖3所示），在這里根據需要修改大題標題、添加大題說明及每題分數，總分由系統自動核算。每題分數即卷面上題目的分值。如果設置分數，則以設置的為準；如果未設置，則以題庫中設置的分數為準。

3.3添加試題

在已選題型列表中選擇題型，點擊【添加試題】按鈕，進入“選擇試題”頁面，（如圖4所示）：在“選擇試題”頁面首先選中試題分類，系統將列出分類下對應題型的所有試題，勾上試題前的復選框選中試題，點擊【確定并關閉】或【確定并返回】按鈕。即完成了一份符合設計要求的試卷就完成了。

4結語