序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇軟件安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

隨著互聯(lián)網(wǎng)的觸角深入到生產(chǎn)生活中的各個(gè)層面，軟件已經(jīng)不像以前那樣只是支持辦公和家庭娛樂這兩大主題了，而是成為現(xiàn)代商業(yè)的靈魂。軟件安全問題主要圍繞著軟件漏洞和易被攻擊脆弱點(diǎn)，它們都來自于軟件的設(shè)計(jì)和實(shí)現(xiàn)。Internet催生了電子商務(wù)，移動(dòng)互聯(lián)網(wǎng)使得APP變得如火如荼，未來物聯(lián)網(wǎng)也許可以將生活中的一切元素都納入到通信網(wǎng)絡(luò)中去。因此軟件安全問題將成為計(jì)算機(jī)安全的核心，而非防火墻等網(wǎng)絡(luò)硬件，或是諸如加密等手段。軟件安全是一切計(jì)算機(jī)安全性問題的根源，如果軟件行為出現(xiàn)異常，與之相關(guān)的可靠性、可用性等方面問題就會(huì)隨之暴露。軟件安全問題并不是互聯(lián)網(wǎng)出現(xiàn)后才有的，只不過互聯(lián)網(wǎng)是目前最容易攻擊軟件的途徑罷了。

2軟件安全的現(xiàn)狀

2.1人們的認(rèn)知

隨著黑客攻擊的新聞時(shí)常見諸媒體，人們對(duì)計(jì)算機(jī)安全問題有了一定認(rèn)識(shí)。但不幸很多計(jì)算機(jī)安全人員和計(jì)算機(jī)教育培訓(xùn)人員都忽視了軟件安全的問題。一味地推崇某種軟件平臺(tái)是安全的，單純大力增加對(duì)網(wǎng)絡(luò)安全硬件和軟件的投入，這些做法是盲目甚至荒謬的。一切安全性都不是靜態(tài)特性，也沒有任何軟件是絕對(duì)安全的。軟件安全問題的關(guān)鍵節(jié)點(diǎn)是軟件的設(shè)計(jì)。

2.2軟件安全設(shè)計(jì)的先天不足

世界上知名的軟件廠商并不是不了解軟件安全設(shè)計(jì)安全性的重要性，而是商業(yè)模式讓軟件安全方面存在著先天不足。稍縱即逝的商業(yè)機(jī)會(huì)、敏捷的軟件開發(fā)過程和短暫的軟件開發(fā)周期使得安全性方面的設(shè)計(jì)在很多時(shí)候都是被舍棄的。隨之而來的處理方式則是常見的penetrate-and-pach方法，即不停地補(bǔ)丁。這種做法從長(zhǎng)遠(yuǎn)來看，其成本與作用遠(yuǎn)不及一開始就做好安全性的設(shè)計(jì)和審計(jì)。

3軟件安全設(shè)計(jì)應(yīng)引入風(fēng)險(xiǎn)管理

從項(xiàng)目管理的角度看，風(fēng)險(xiǎn)指損失或損害的可能性。軟件項(xiàng)目涉及到的是：項(xiàng)目中可能發(fā)生的潛在問題和它們?nèi)绾畏恋K項(xiàng)目成功。風(fēng)險(xiǎn)管理則是對(duì)應(yīng)軟件項(xiàng)目生命周期內(nèi)的風(fēng)險(xiǎn)的科學(xué)和藝術(shù)。軟件安全性的設(shè)計(jì)與軟件設(shè)計(jì)的其他一些質(zhì)量性能是互相抵觸的，例如冗余性、高效性。而軟件開發(fā)過程中的風(fēng)險(xiǎn)管理與軟件開發(fā)的諸如時(shí)間、范圍、成本等因素也是相互抵觸的。但是絕不能因?yàn)檫@些可能發(fā)生的抵觸行為而放棄對(duì)安全性和風(fēng)險(xiǎn)管理的考慮，反而應(yīng)該將軟件安全性設(shè)計(jì)納入到風(fēng)險(xiǎn)管理的范疇中去。事實(shí)表明，93%的失控項(xiàng)目都忽視了風(fēng)險(xiǎn)管理。

4軟件安全設(shè)計(jì)風(fēng)險(xiǎn)管理的實(shí)施

目前國(guó)際上對(duì)軟件安全方面的風(fēng)險(xiǎn)管理存在著一個(gè)共同的認(rèn)知，那就是采用高質(zhì)量的軟件工程的方法論可以在一定程度上解決這方面的問題，歐美一些國(guó)家也在試圖制定或修訂相關(guān)的一些“通用準(zhǔn)則”來指導(dǎo)軟件安全性設(shè)計(jì)的實(shí)踐。但是這只是從科學(xué)技術(shù)方面做出努力，我們可以學(xué)習(xí)借鑒。而在管理技術(shù)和藝術(shù)方面需要做出的努力則應(yīng)該嘗試本地化做法。完整的風(fēng)險(xiǎn)管理的過程應(yīng)該包括以下幾個(gè)環(huán)節(jié)：風(fēng)險(xiǎn)管理計(jì)劃的編制、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)定性分析、風(fēng)險(xiǎn)定量分析、風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃編制和風(fēng)險(xiǎn)監(jiān)督控制。將整個(gè)流程都走完的項(xiàng)目和企業(yè)都不多，一般來自于所謂的學(xué)院派。而時(shí)下大多數(shù)國(guó)內(nèi)外企業(yè)的做法是將這個(gè)7個(gè)流程簡(jiǎn)化為誰來識(shí)別風(fēng)險(xiǎn)、誰來對(duì)風(fēng)險(xiǎn)負(fù)責(zé)這兩個(gè)環(huán)節(jié)。原因則是上文所提到的先天不足所致。從技術(shù)上講，風(fēng)險(xiǎn)管理的效益來自于潛在風(fēng)險(xiǎn)最小化和潛在回報(bào)的最大化。而這個(gè)技術(shù)的應(yīng)用則一定需要經(jīng)歷風(fēng)險(xiǎn)定量分析的過程。在這個(gè)過程中，可以使用的主要技術(shù)是決策樹分析、蒙特卡羅分析、PERT分析等等。這些技術(shù)都是建立在一定的數(shù)學(xué)和會(huì)計(jì)基礎(chǔ)之上。而令人遺憾的是，很多決策者本身對(duì)這些技術(shù)的認(rèn)知或理解欠缺，以至于會(huì)抵觸這種方法。大多數(shù)做法是采用小團(tuán)隊(duì)開發(fā)小軟件的做法，即采用訪談和敏感性分析來幫助風(fēng)險(xiǎn)定量分析。然而我們并不是要反對(duì)這種簡(jiǎn)化做法，只是一定不能在簡(jiǎn)化的做法之上再次簡(jiǎn)化或敷衍了事。首先要做的工作是做好需求管理，在建立一組需求輸入的時(shí)候，一定要將安全性作為一個(gè)重要需求考慮進(jìn)去。有一個(gè)比較好的方法是，在軟件設(shè)計(jì)時(shí)采用螺旋模型，需求的輸入可以在螺旋模型的各個(gè)生命周期中進(jìn)行，而有關(guān)安全性的需求輸入則最好是在最初的一個(gè)螺旋中進(jìn)行。之后要做的工作是確定最大風(fēng)險(xiǎn)。不可避免的要使用風(fēng)險(xiǎn)定性和風(fēng)險(xiǎn)定量分析的各種技術(shù)和方法。這個(gè)工作一定要有軟件設(shè)計(jì)師、項(xiàng)目決策者和用戶的參與，采用頭腦風(fēng)暴和專家訪談是不錯(cuò)的選擇。而這個(gè)工作恰恰是現(xiàn)實(shí)生活中中小企業(yè)乃至客戶最容易忽略的。企業(yè)要考慮成本問題，而客戶的參與往往難以落實(shí)，認(rèn)為軟件的設(shè)計(jì)和開發(fā)應(yīng)該由軟件公司負(fù)責(zé)，客戶付款只關(guān)心最后軟件是否可以使用。而一旦由于軟件安全性問題造成了一定后果后將演變成各種糾纏不清的官司，這是企業(yè)和客戶都不想看到的結(jié)果。

5結(jié)語

篇(2)

屆時(shí)，大會(huì)將設(shè)立 “信息系統(tǒng)整體安全保護(hù)的有效途徑”和“電子認(rèn)證服務(wù)的解決之道” 兩個(gè)分論壇，并集納各界經(jīng)典名篇、學(xué)術(shù)成果、研究課題、應(yīng)用經(jīng)驗(yàn)，編輯出版《2012中國(guó)信息安全技術(shù)展望學(xué)術(shù)論文集》，其中優(yōu)秀論文將擇優(yōu)在《信息安全與技術(shù)》雜志（國(guó)家級(jí)刊物）上刊登，并全文收錄于《中國(guó)學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫(kù)》及CNKI系列數(shù)據(jù)庫(kù)、《中文核心期刊（遴選）數(shù)據(jù)庫(kù)》、《中文科技期刊數(shù)據(jù)庫(kù)》。

征文內(nèi)容如下：

1.計(jì)算機(jī)安全、下一代網(wǎng)絡(luò)安全技術(shù)；

2.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理、密碼學(xué)、軟件安全；

3.信息系統(tǒng)等級(jí)安全保護(hù)、重要信息系統(tǒng)安全；

4.云計(jì)算與云安全、物聯(lián)網(wǎng)的安全；

5.移動(dòng)互聯(lián)網(wǎng)的安全信息安全保障體系、移動(dòng)計(jì)算平臺(tái)安全性研究；

6.信息內(nèi)容安全、通信安全、網(wǎng)絡(luò)攻防滲透測(cè)試技術(shù)；

7.可信計(jì)算；

8.關(guān)鍵基礎(chǔ)設(shè)施安全；

9.系統(tǒng)與網(wǎng)絡(luò)協(xié)議安全分析；

10.系統(tǒng)架構(gòu)安全分析；

11.面向業(yè)務(wù)應(yīng)用的整體安全保護(hù)方案；

12.信息安全漏洞態(tài)勢(shì)研究；

13.新技術(shù)新應(yīng)用信息安全態(tài)勢(shì)研究；

14.Web應(yīng)用安全；

15.計(jì)算機(jī)系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)的實(shí)施與發(fā)展現(xiàn)狀；

16.國(guó)內(nèi)外電子認(rèn)證服務(wù)相關(guān)政策與標(biāo)準(zhǔn)研究；

17.電子認(rèn)證服務(wù)最新技術(shù)和產(chǎn)品；

18.電子認(rèn)證服務(wù)應(yīng)用創(chuàng)新；

19.電子認(rèn)證服務(wù)行業(yè)研究和熱點(diǎn)事件解析；

20.可靠電子簽名與數(shù)據(jù)電文的認(rèn)定程序/技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

21.數(shù)字證書交叉認(rèn)證技術(shù)規(guī)范/應(yīng)用規(guī)范/應(yīng)用案例分析；

篇(3)

論文摘要： 走進(jìn)新世紀(jì)，科學(xué)技術(shù)發(fā)展日新月異，人們迎來一個(gè)知識(shí)爆炸的信息時(shí)代，信息數(shù)據(jù)的傳輸速度更快更便捷，信息數(shù)據(jù)傳輸量也隨之增加，傳輸過程更易出現(xiàn)安全隱患。因此，信息數(shù)據(jù)安全與加密愈加重要，也越來越多的得到人們的重視。首先介紹信息數(shù)據(jù)安全與加密的必要外部條件，即計(jì)算機(jī)安全和通信安全，在此基礎(chǔ)上，系統(tǒng)闡述信息數(shù)據(jù)的安全與加密技術(shù)，主要包括：存儲(chǔ)加密技術(shù)和傳輸加密技術(shù)；密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)；消息摘要和完整性鑒別技術(shù)。

當(dāng)前形勢(shì)下，人們進(jìn)行信息數(shù)據(jù)的傳遞與交流主要面臨著兩個(gè)方面的信息安全影響：人為因素和非人為因素。其中人為因素是指：黑客、病毒、木馬、電子欺騙等；非人為因素是指：不可抗力的自然災(zāi)害如火災(zāi)、電磁波干擾、或者是計(jì)算機(jī)硬件故障、部件損壞等。在諸多因素的制約下，如果不對(duì)信息數(shù)據(jù)進(jìn)行必要的加密處理，我們傳遞的信息數(shù)據(jù)就可能泄露，被不法分子獲得，損害我們自身以及他人的根本利益，甚至造成國(guó)家安全危害。因此，信息數(shù)據(jù)的安全和加密在當(dāng)前形勢(shì)下對(duì)人們的生活來說是必不可少的，通過信息數(shù)據(jù)加密，信息數(shù)據(jù)有了安全保障，人們不必再顧忌信息數(shù)據(jù)的泄露，能夠放心地在網(wǎng)絡(luò)上完成便捷的信息數(shù)據(jù)傳遞與交流。

1 信息數(shù)據(jù)安全與加密的必要外部條件

1.1 計(jì)算機(jī)安全。每一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)用戶都首先把自己的信息數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)之中，然后，才進(jìn)行相互之間的信息數(shù)據(jù)傳遞與交流，有效地保障其信息數(shù)據(jù)的安全必須以保證計(jì)算機(jī)的安全為前提，計(jì)算機(jī)安全主要有兩個(gè)方面包括：計(jì)算機(jī)的硬件安全與計(jì)算機(jī)軟件安全。1）計(jì)算機(jī)硬件安全技術(shù)。保持計(jì)算機(jī)正常的運(yùn)轉(zhuǎn)，定期檢查是否出現(xiàn)硬件故障，并及時(shí)維修處理，在易損器件出現(xiàn)安全問題之前提前更換，保證計(jì)算機(jī)通電線路安全，提供備用供電系統(tǒng)，實(shí)時(shí)保持線路暢通。2）計(jì)算機(jī)軟件安全技術(shù)。首先，必須有安全可靠的操作系統(tǒng)。作為計(jì)算機(jī)工作的平臺(tái)，操作系統(tǒng)必須具有訪問控制、安全內(nèi)核等安全功能，能夠隨時(shí)為計(jì)算機(jī)新加入軟件進(jìn)行檢測(cè)，如提供windows安全警報(bào)等等。其次，計(jì)算機(jī)殺毒軟件，每一臺(tái)計(jì)算機(jī)要正常的上網(wǎng)與其他用戶交流信息，都必須實(shí)時(shí)防護(hù)計(jì)算機(jī)病毒的危害，一款好的殺毒軟件可以有效地保護(hù)計(jì)算機(jī)不受病毒的侵害。

1.2 通信安全。通信安全是信息數(shù)據(jù)的傳輸?shù)幕緱l件，當(dāng)傳輸信息數(shù)據(jù)的通信線路存在安全隱患時(shí)，信息數(shù)據(jù)就不可能安全的傳遞到指定地點(diǎn)。盡管隨著科學(xué)技術(shù)的逐步改進(jìn)，計(jì)算機(jī)通信網(wǎng)絡(luò)得到了進(jìn)一步完善和改進(jìn)，但是，信息數(shù)據(jù)仍舊要求有一個(gè)安全的通信環(huán)境。主要通過以下技術(shù)實(shí)現(xiàn)。1）信息加密技術(shù)。這是保障信息安全的最基本、最重要、最核心的技術(shù)措施。我們一般通過各種各樣的加密算法來進(jìn)行具體的信息數(shù)據(jù)加密，保護(hù)信息數(shù)據(jù)的安全通信。2）信息確認(rèn)技術(shù)。為有效防止信息被非法偽造、篡改和假冒，我們限定信息的共享范圍，就是信息確認(rèn)技術(shù)。通過該技術(shù)，發(fā)信者無法抵賴自己發(fā)出的消息；合法的接收者可以驗(yàn)證他收到的消息是否真實(shí)；除合法發(fā)信者外，別人無法偽造消息。3）訪問控制技術(shù)。該技術(shù)只允許用戶對(duì)基本信息庫(kù)的訪問，禁止用戶隨意的或者是帶有目的性的刪除、修改或拷貝信息文件。與此同時(shí)，系統(tǒng)管理員能夠利用這一技術(shù)實(shí)時(shí)觀察用戶在網(wǎng)絡(luò)中的活動(dòng)，有效的防止黑客的入侵。

2 信息數(shù)據(jù)的安全與加密技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)化程度逐步提高，人們對(duì)信息數(shù)據(jù)傳遞與交流提出了更高的安全要求，信息數(shù)據(jù)的安全與加密技術(shù)應(yīng)運(yùn)而生。然而，傳統(tǒng)的安全理念認(rèn)為網(wǎng)絡(luò)內(nèi)部是完全可信任，只有網(wǎng)外不可信任，導(dǎo)致了在信息數(shù)據(jù)安全主要以防火墻、入侵檢測(cè)為主，忽視了信息數(shù)據(jù)加密在網(wǎng)絡(luò)內(nèi)部的重要性。以下介紹信息數(shù)據(jù)的安全與加密技術(shù)。

2.1 存儲(chǔ)加密技術(shù)和傳輸加密技術(shù)。存儲(chǔ)加密技術(shù)分為密文存儲(chǔ)和存取控制兩種，其主要目的是防止在信息數(shù)據(jù)存儲(chǔ)過程中信息數(shù)據(jù)泄露。密文存儲(chǔ)主要通過加密算法轉(zhuǎn)換、加密模塊、附加密碼加密等方法實(shí)現(xiàn)；存取控制則通過審查和限制用戶資格、權(quán)限，辨別用戶的合法性，預(yù)防合法用戶越權(quán)存取信息數(shù)據(jù)以及非法用戶存取信息數(shù)據(jù)。 轉(zhuǎn)貼于

傳輸加密技術(shù)分為線路加密和端-端加密兩種，其主要目的是對(duì)傳輸中的信息數(shù)據(jù)流進(jìn)行加密。線路加密主要通過對(duì)各線路采用不同的加密密鑰進(jìn)行線路加密，不考慮信源與信宿的信息安全保護(hù)。端-端加密是信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP信息數(shù)據(jù)包，然后作為不可閱讀和不可識(shí)別的信息數(shù)據(jù)穿過互聯(lián)網(wǎng)，這些信息一旦到達(dá)目的地，將被自動(dòng)重組、解密，成為可讀信息數(shù)據(jù)。

2.2 密鑰管理加密技術(shù)和確認(rèn)加密技術(shù)。密鑰管理加密技術(shù)是為了信息數(shù)據(jù)使用的方便，信息數(shù)據(jù)加密在許多場(chǎng)合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對(duì)象。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配、保存、更換與銷毀等各環(huán)節(jié)上的保密措施。網(wǎng)絡(luò)信息確認(rèn)加密技術(shù)通過嚴(yán)格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個(gè)安全的信息確認(rèn)方案應(yīng)該能使：合法的接收者能夠驗(yàn)證他收到的消息是否真實(shí)；發(fā)信者無法抵賴自己發(fā)出的消息；除合法發(fā)信者外，別人無法偽造消息；發(fā)生爭(zhēng)執(zhí)時(shí)可由第三人仲裁。按照其具體目的，信息確認(rèn)系統(tǒng)可分為消息確認(rèn)、身份確認(rèn)和數(shù)字簽名。數(shù)字簽名是由于公開密鑰和私有密鑰之間存在的數(shù)學(xué)關(guān)系，使用其中一個(gè)密鑰加密的信息數(shù)據(jù)只能用另一個(gè)密鑰解開。發(fā)送者用自己的私有密鑰加密信息數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開信息數(shù)據(jù)后，就可確定消息來自誰。這就保證了發(fā)送者對(duì)所發(fā)信息不能抵賴。

2.3 消息摘要和完整性鑒別技術(shù)。消息摘要是一個(gè)惟一對(duì)應(yīng)一個(gè)消息或文本的值，由一個(gè)單向Hash加密函數(shù)對(duì)消息作用而產(chǎn)生。信息發(fā)送者使用自己的私有密鑰加密摘要，也叫做消息的數(shù)字簽名。消息摘要的接受者能夠通過密鑰解密確定消息發(fā)送者，當(dāng)消息在途中被改變時(shí)，接收者通過對(duì)比分析消息新產(chǎn)生的摘要與原摘要的不同，就能夠發(fā)現(xiàn)消息是否中途被改變。所以說，消息摘要保證了消息的完整性。

完整性鑒別技術(shù)一般包括口令、密鑰、身份（介入信息傳輸、存取、處理的人員的身份）、信息數(shù)據(jù)等項(xiàng)的鑒別。通常情況下，為達(dá)到保密的要求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)信息數(shù)據(jù)的安全保護(hù)。

3 結(jié)束語

綜上所述，信息數(shù)據(jù)的安全與加密技術(shù)，是保障當(dāng)前形勢(shì)下我們安全傳遞與交流信息的基本技術(shù)，對(duì)信息安全至關(guān)重要。希望通過本文的研究，能夠拋磚引玉，引起國(guó)內(nèi)外專家的重視，投入更多的精力以及更多的財(cái)力、物力來研究信息數(shù)據(jù)安全與加密技術(shù)，以便更好的保障每一個(gè)網(wǎng)絡(luò)使用者的信息安全。

參考文獻(xiàn)：

[1]曾莉紅，基于網(wǎng)絡(luò)的信息包裝與信息數(shù)據(jù)加密[J].包裝工程，2007（08）.

[2]華碩升級(jí)光盤加密技術(shù)[J].消費(fèi)電子商訊，2009（11）.

篇(4)

關(guān)鍵詞：計(jì)算機(jī) 網(wǎng)絡(luò) 安全 防范措施

隨著計(jì)算機(jī)技術(shù)和Internet建設(shè)的發(fā)展與完善，計(jì)算機(jī)網(wǎng)絡(luò)安全問題逐步成為人們關(guān)注和討論的焦點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)深入到社會(huì)的各個(gè)領(lǐng)域，比如政府機(jī)關(guān)、學(xué)校、醫(yī)院、社區(qū)及家庭等，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性越來越大，但隨之而來的是，計(jì)算機(jī)網(wǎng)絡(luò)安全也受到前所未有的威脅，計(jì)算機(jī)病毒無處不在，黑客的猖獗，都防不勝防。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從管理和技術(shù)兩方面就加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全提出相應(yīng)的安全防范措施。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計(jì)算機(jī)網(wǎng)絡(luò)安全包括物理安全、軟件安全、數(shù)據(jù)安全和運(yùn)行安全四個(gè)方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。軟件安全是指網(wǎng)絡(luò)軟件以及各主機(jī)、服務(wù)器、工作站等設(shè)備所運(yùn)行的軟件安全。信息安全是指網(wǎng)絡(luò)中所存儲(chǔ)和傳輸?shù)臄?shù)據(jù)的安全。運(yùn)行安全是指網(wǎng)絡(luò)中各個(gè)信息系統(tǒng)能正常運(yùn)行并能正常地通過網(wǎng)絡(luò)交流信息。

網(wǎng)絡(luò)安全的目的就是為了確保網(wǎng)絡(luò)系統(tǒng)的保密性、完整性和可用性。保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，使之不遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。

2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對(duì)網(wǎng)絡(luò)內(nèi)部的威脅，也包括對(duì)網(wǎng)絡(luò)外部的威脅，同時(shí)也與計(jì)算機(jī)操作系統(tǒng)本身有關(guān)。歸結(jié)起來，主要有以下幾方面：

2.1 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性

計(jì)算機(jī)系統(tǒng)的脆弱性主要來自計(jì)算機(jī)操作系統(tǒng)的不安全性，在網(wǎng)絡(luò)環(huán)境下，還來源于網(wǎng)絡(luò)通信協(xié)議的不安全性，有的操作系統(tǒng)根本就沒有安全防護(hù)措施，如dos、windows95等操作系統(tǒng)，它們不能作為安全性要求高的服務(wù)器的操作系統(tǒng)。Unix和windows nt/2000server/2003

serve/2005serve操作系統(tǒng)主要用于服務(wù)器上，但它們也存在著安全漏洞，都存在著超級(jí)用戶，如果入侵者得到了超級(jí)用戶口令，那么整個(gè)系統(tǒng)將完全受制于人，這樣系統(tǒng)就面臨巨大的危險(xiǎn)。

2.2 內(nèi)部網(wǎng)用戶的安全威脅

來自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅，這些用戶缺乏安全意識(shí)，無意識(shí)的操作失誤，使系統(tǒng)或網(wǎng)絡(luò)誤操作而崩潰，或安全意識(shí)不強(qiáng)，將用戶帳號(hào)泄漏，或操作員對(duì)系統(tǒng)安全配置不當(dāng)造成安全漏洞等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅和隱患，給他人帶來可乘之機(jī)，對(duì)網(wǎng)絡(luò)系統(tǒng)造成危害。

2.3 網(wǎng)絡(luò)外部的安全威脅

除了受到網(wǎng)絡(luò)內(nèi)部的安全威脅，網(wǎng)絡(luò)還受到外界的各種各樣的威脅：

2.3.1 物理威脅：有偷竊、垃圾搜尋和間諜活動(dòng)。偷竊辦公室電腦是偷竊者的主要目標(biāo)，計(jì)算機(jī)中存儲(chǔ)的數(shù)據(jù)信息的價(jià)值遠(yuǎn)遠(yuǎn)超過設(shè)備的價(jià)值，因此，必須做好嚴(yán)格的防盜措施保證計(jì)算機(jī)不被偷。有時(shí)辦公垃圾也會(huì)泄露商業(yè)機(jī)密。

2.3.2 網(wǎng)絡(luò)威脅：如局域網(wǎng)的電子竊聽，如假冒網(wǎng)站電子欺騙，網(wǎng)絡(luò)設(shè)備的因素也可以構(gòu)成網(wǎng)絡(luò)的安全威脅，如通過電話線入侵網(wǎng)絡(luò)用戶等。

2.3.3 身份鑒別：是指計(jì)算機(jī)判斷用戶是否使用它的一種過程，它普遍存在于計(jì)算機(jī)系統(tǒng)中，實(shí)現(xiàn)的方式各種各樣，有的功能十分強(qiáng)大，有的比較脆弱。其中，口令就是一種比較脆弱的身份鑒別手段，功能不是很強(qiáng)，但實(shí)現(xiàn)起來比較簡(jiǎn)單，所以被廣泛采用。身份鑒別造成的威脅有口令圈套、口令破解和算法缺陷等。口令圈套是網(wǎng)絡(luò)安全的一種詭計(jì)，與冒名頂替有關(guān)，靠欺騙來獲取口令。比如登錄欺騙，它通過編寫一個(gè)代碼模塊，運(yùn)行起來和登錄屏幕一模一樣，并把它插入到登錄過程之前，這樣用戶就會(huì)把用戶名和登錄口令告知程序，這個(gè)程序就會(huì)把用戶名和口令保存起來，然后告訴用戶登錄失敗，并啟動(dòng)真正的登錄程序，這樣用戶就不容易發(fā)現(xiàn)這個(gè)欺騙。口令破解是用密碼字典或其他工具軟件來暴力破解口令。如口令用生日、電話號(hào)碼、名字等很容易被破解。口令輸入過程必須滿足一定條件才能正常工作，當(dāng)條件變化時(shí)，口令算法程序就可能工作不正常了，很容易被人破解，并進(jìn)入系統(tǒng)，這就是算法缺陷帶來的安全隱患。

2.3.4 編程。是指通過編制程序代碼實(shí)施對(duì)系統(tǒng)的破壞。編程威脅主要有計(jì)算機(jī)病毒和特洛伊木馬等。病毒是一種能自我復(fù)制的程序代碼，具有感染性和破壞性，使系統(tǒng)癱瘓，也能在網(wǎng)絡(luò)上不斷傳播，危害Internet的安全。特洛伊木馬程序一旦被安裝到計(jì)算機(jī)上，便可按編制者的意圖行事。能摧毀數(shù)據(jù)，創(chuàng)建新用戶和口令等。

2.3.5 系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，被不法者利用，通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，竊取您電腦中的重要資料和信息，甚至破壞您的系統(tǒng)。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會(huì)存在各自不同的安全漏洞問題。產(chǎn)生漏洞的原因可以分成下面三種因素：

①人為因素：編程人員在編寫程序過程中，為了實(shí)現(xiàn)一些特殊的目的，有意在程序代碼的隱藏處保留后門。

②能力因素：受編程人員的能力、經(jīng)驗(yàn)和當(dāng)時(shí)安全技術(shù)所限，在程序中難免會(huì)有不足之處，輕則影響程序效率，重則導(dǎo)致非授權(quán)用戶的權(quán)限提升。

③硬件因素：由于硬件的原因，使編程人員無法彌補(bǔ)硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)出來，例如軟件的不兼容問題。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施

3.1 操作系統(tǒng)安全技術(shù)

首先，及時(shí)安裝“補(bǔ)丁”程序。當(dāng)系統(tǒng)后，發(fā)現(xiàn)有些程序中有漏洞，能被黑客利用而攻擊用戶，所以相應(yīng)的措施來對(duì)付這些黑客，用一些應(yīng)用程序來修復(fù)這些漏洞，稱為“補(bǔ)丁程序”，安裝這些補(bǔ)丁程序后，黑客就不會(huì)利用這些漏洞來攻擊用戶，從而杜絕同類型病毒的入侵。

其次，做好系統(tǒng)安全設(shè)置。如停掉guest帳號(hào)，限制不必要的用戶數(shù)量，創(chuàng)建兩個(gè)管理員帳號(hào)，將系統(tǒng)默認(rèn)帳號(hào)改名，創(chuàng)建一個(gè)陷阱帳號(hào)（將默認(rèn)管理員帳號(hào)的權(quán)限設(shè)置最低，什么事都干不了的那種），使用安全密碼，合理設(shè)置瀏覽器的安全屬性，徹底刪除掉缺省共享，停掉不必要的服務(wù)等。

3.2 防火墻應(yīng)用技術(shù)。防火墻是目前最為流行、使用最廣泛的一種安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。它將內(nèi)部網(wǎng)和外部網(wǎng)分開，限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)之間進(jìn)行信息存取、傳輸?shù)炔僮鳌Ｋ环矫鎸?duì)經(jīng)過他的網(wǎng)絡(luò)通信進(jìn)行掃描，過濾掉一些可能攻擊內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。另一方面可以關(guān)閉不使用的端口，禁止特定端口監(jiān)聽通信，封鎖特洛伊木馬。可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。

3.3 網(wǎng)絡(luò)病毒的防范。與傳統(tǒng)類型的病毒相比，網(wǎng)絡(luò)類型病毒有其特殊性，在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒可以按指數(shù)增長(zhǎng)模式進(jìn)行傳播。病毒侵入計(jì)算機(jī)網(wǎng)絡(luò)，可以導(dǎo)致計(jì)算機(jī)效率急劇下降、系統(tǒng)資源遭到嚴(yán)重破壞，短時(shí)間內(nèi)造成網(wǎng)絡(luò)系統(tǒng)癱瘓。因此網(wǎng)絡(luò)環(huán)境下的病毒防治已經(jīng)成為計(jì)算機(jī)防毒領(lǐng)域的研究重點(diǎn)。我們除了安裝全方位的網(wǎng)絡(luò)反病毒軟件，養(yǎng)成定期升級(jí)軟件和掃描文件系統(tǒng)的好習(xí)慣外，還應(yīng)該對(duì)移動(dòng)存儲(chǔ)設(shè)備，在使用前進(jìn)行查毒，對(duì)從網(wǎng)上下載的文件和電子郵件中的附件打開前也要?dú)⒍荆皇褂没蛳螺d來源不明的軟件，不上不正規(guī)的網(wǎng)站。一旦在網(wǎng)上發(fā)現(xiàn)病毒，立即通知所有用戶下網(wǎng)，關(guān)掉文件服務(wù)，設(shè)法立即清除，確信病毒被徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)和工作站。

3.4 數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采取的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)，數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別，以及密鑰的管理技術(shù)。數(shù)據(jù)存儲(chǔ)加密技術(shù)是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)丟失為目的，可分為秘文存儲(chǔ)和存取兩種，數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對(duì)介入信息的傳送、存取，處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。

3.5 網(wǎng)絡(luò)訪問控制。訪問控制室網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

3.6 數(shù)據(jù)庫(kù)的備份和恢復(fù)。數(shù)據(jù)庫(kù)的備份和恢復(fù)是數(shù)據(jù)庫(kù)管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫(kù)最容易和最能防止意外的保證方法。恢復(fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份。

3.7 防止黑客攻擊的措施。在網(wǎng)絡(luò)環(huán)境下，由于種種原因，網(wǎng)絡(luò)被入侵和攻擊是難免的，可謂是防不勝防，為了避免可能因入侵和攻擊而造成的各種損失，我們最好是防止其入侵，防患于未然，如果我們經(jīng)常注意下面這些情況，我們就可以大大降低被木馬攻擊的幾率：不要執(zhí)行任何來歷不明的軟件；不輕信他人；不要隨便下載軟件；不要隨便留下自己的個(gè)人資料；謹(jǐn)慎使用自己的郵箱；最好使用第三方郵件程序；始終顯示文件的擴(kuò)展名；運(yùn)用反木馬實(shí)時(shí)監(jiān)控程序；給電子郵件加密；隱藏ip地址；不共享文件。當(dāng)我們發(fā)現(xiàn)有黑客入侵后，我們一般采取的措施是：首先要?dú)⑺肋@個(gè)進(jìn)程，切斷黑客與系統(tǒng)的聯(lián)系。必要時(shí)切斷網(wǎng)絡(luò)，同時(shí)注意保存現(xiàn)場(chǎng)，以便事后調(diào)查原因，或進(jìn)行分析。其次，使用安全工具跟蹤這個(gè)鏈接，找出黑客的來路和身份，詢問其要做什么，并發(fā)出警示，如果破壞嚴(yán)重時(shí)，可向公安部門和信息安全部門報(bào)告，通過司法手段解決問題。再次，管理員也可以使用一些工具來監(jiān)視黑客，觀察他們?cè)谧鍪裁础＿€有就是修復(fù)安全漏洞并恢復(fù)系統(tǒng)，不給黑客可乘之機(jī)。

4 結(jié)束語

網(wǎng)絡(luò)安全問題是一個(gè)綜合性的問題，它涉及到技術(shù)、管理和使用等多方面的因素，因此網(wǎng)絡(luò)安全問題的解決方案也應(yīng)該綜合多方面來考慮實(shí)施，不但有物理方面的措施，還要有邏輯技術(shù)方面的措施，當(dāng)然還有系統(tǒng)本身的安全問題。只有完備的系統(tǒng)開發(fā)過程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用，才能保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)，這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)：

[1]高永強(qiáng)等.網(wǎng)絡(luò)安全應(yīng)用技術(shù)大典.北京：人民郵電出版社，2007.

[2]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].廣州：華南理工大學(xué)出版社，2006.

篇(5)

【 關(guān)鍵詞 】 軟件保護(hù)；二進(jìn)制程序的安全加固；PE文件

【 Abstract 】 As the development of software reinforcement technology， how to minimize the cost in exchange of the most secure protection gradually becomes a hot topic in binary security reinforcement researches. In this paper， we analyze various security reinforcement technologies and propose a novel binaries’ security reinforcement system， which could increase the difficulty of static analysis attack and effectively impede dynamic analysis attack. Experiment results show that the reinforcement system performs satisfactory in versatility， stability and effectiveness.

【 Keywords 】 software protection；binaries’ security reinforcement；pe file

1 引言

近年來，隨著反匯編、反編譯和逆向分析等技術(shù)的發(fā)展，針對(duì)軟件的破解、篡改和盜版等現(xiàn)象也層出不窮。為了保障軟件的安全，對(duì)二進(jìn)制程序安全加固技術(shù)的研究已經(jīng)成為軟件安全領(lǐng)域的一個(gè)重要分支。

在實(shí)際應(yīng)用中，軟件廠商們往往會(huì)采用多種加固技術(shù)進(jìn)行軟件保護(hù)，如PE文件壓縮技術(shù)、PE文件代碼段加密技術(shù)、PE文件代碼段反匯編后的代碼混淆技術(shù)以及Shellcode多態(tài)變形技術(shù)等。這些技術(shù)具有較高的通用性，但由此產(chǎn)生的代價(jià)也不容忽視，如何以最小的開銷換來最安全的保護(hù)，成為二進(jìn)制程序安全加固技術(shù)的研究重點(diǎn)。

本文通過分析各種安全加固技術(shù)，提出一種新的二進(jìn)制程序安全加固系統(tǒng)，能夠把任意PE文件轉(zhuǎn)換為Shellcode，并代替Windows系統(tǒng)對(duì)PE文件進(jìn)行加載，同時(shí)保證不增大PE文件的體積。最后通過實(shí)驗(yàn)證明，經(jīng)本系統(tǒng)加固后的二進(jìn)制程序體積沒有大的變化，并且加固后惡意代碼能夠逃過主流殺毒軟件的查殺，以此證明加固后的二進(jìn)制程序不但能加大靜態(tài)分析的難度，還能有效地阻礙對(duì)程序的動(dòng)態(tài)分析。

2 常見的軟件安全加固技術(shù)

軟件安全加固技術(shù)是隨著軟件逆向分析技術(shù)的發(fā)展而發(fā)展的。根據(jù)軟件攻擊者的攻擊目的和方法不同，軟件加固技術(shù)也有不同的側(cè)重點(diǎn)和目標(biāo)。需要指出的是，我們不能將所有的加固技術(shù)全都一起應(yīng)用于軟件保護(hù)中，這是因?yàn)槭褂貌煌陌踩庸碳夹g(shù)一般都會(huì)帶來額外的開銷。簡(jiǎn)要分析常見的六種加固技術(shù)。

（1）加殼與脫殼：加殼的目的是加密或壓縮EXE文件的代碼段，在程序運(yùn)行時(shí)，先由解密或者解壓程序?qū)Υa段進(jìn)行處理，然后程序正常運(yùn)行。這些加密或壓縮功能的機(jī)制稱為加殼，對(duì)應(yīng)的解密和解壓機(jī)制稱為脫殼。加殼后的代碼段能夠有效防止反匯編，但攻擊者可以通過對(duì)脫殼程序的逆向分析，從而破解軟件的殼。

（2）多態(tài)變形技術(shù)：多態(tài)變形是由多態(tài)和變形兩種技術(shù)的結(jié)合，主要是對(duì)解密代碼進(jìn)行變形，使每次生成的解密程序呈現(xiàn)不同狀態(tài)特征，同時(shí)也能對(duì)源程序進(jìn)行簡(jiǎn)單的變換。顯然，多態(tài)變形也是加密技術(shù)的一種，按照殼的定義，多態(tài)變形技術(shù)應(yīng)屬于殼的范疇。這種加密技術(shù)使得經(jīng)過變形的解密程序都具有不同特征，所以是一種特殊的殼。常用的多態(tài)變形引擎有BPE32 Clet、ADMmuate、Jempiscodes、Tapion等。

（3）代碼混淆技術(shù)：指在保持源程序語義不變的情況下，通過對(duì)源程序中的數(shù)據(jù)、布局和控制流程等進(jìn)行變換，使得變換后的程序在功能上與源程序相同或相近。代碼混淆對(duì)代碼的變形除了上述多態(tài)變形技術(shù)所采用的變形方法外，還對(duì)程序的控制流程進(jìn)行了變換，讓程序變得的更加難懂，進(jìn)而加大逆向分析的難度。

（4）防篡改技術(shù)：通過軟件或硬件措施防止程序被非法修改的軟件保護(hù)技術(shù)的統(tǒng)稱，屬于軟件保護(hù)領(lǐng)域中的主動(dòng)防御范疇。防篡改技術(shù)有兩項(xiàng)任務(wù)：一是檢測(cè)軟件采用的安全加固技術(shù)是否被破解，軟件本身是否被修改，通常采用計(jì)算校驗(yàn)的方法以及檢驗(yàn)一些變量值是否改變來確認(rèn)程序是否被正常執(zhí)行；二是當(dāng)發(fā)現(xiàn)程序被篡改或者被調(diào)試時(shí)制定應(yīng)對(duì)措施。

（5）虛擬機(jī)保護(hù)技術(shù)：指將代碼翻譯為機(jī)器和人都無法識(shí)別的一串偽代碼字節(jié)流，即本地代碼虛擬化，在具體執(zhí)行時(shí)再對(duì)這些偽代碼進(jìn)行翻譯，逐步還原為原始代碼并執(zhí)行的技術(shù)。虛擬機(jī)用作軟件保護(hù)的時(shí)候，把軟件的底層指令（例如匯編指令）翻譯成另外一種虛擬機(jī)指令，軟件執(zhí)行的時(shí)候部分運(yùn)算在虛擬機(jī)中執(zhí)行。由于虛擬機(jī)的復(fù)雜度可以很高，指令集可以自定義也可以利用或參考現(xiàn)有的各種成熟指令集，逆向工程需要先看懂虛擬機(jī)的大體結(jié)構(gòu)以及虛擬指令集，才有可能弄明白被虛擬化后代碼行為。在復(fù)雜的虛擬機(jī)和軟件之間緊耦合的情況下，逆向工程會(huì)變得非常困難。

（6）軟件水印：軟件水印（Software WaterMarking）是數(shù)字水印技術(shù)在軟件保護(hù)領(lǐng)域的應(yīng)用和發(fā)展，是數(shù)字水印技術(shù)的分支。軟件水印可分為靜態(tài)水印和動(dòng)態(tài)水印。靜態(tài)水印被嵌入在程序代碼或者數(shù)據(jù)當(dāng)中，一般放在安裝模塊部分或者指令代碼和調(diào)試信息的符號(hào)中。動(dòng)態(tài)水印技術(shù)把水印存放在程序執(zhí)行狀態(tài)中，可用于證明程序是否經(jīng)過了混淆變形處理。

3 基于二進(jìn)制程序的加固系統(tǒng)方案

3.1 加固原理

PE 文件是Microsoft Portable Executable File Format的簡(jiǎn)稱，即可移植可執(zhí)行文件格式，是Windows系統(tǒng)下最常用的文件組織形式。Windows下的可執(zhí)行文件EXE以及動(dòng)態(tài)鏈接庫(kù)文件dll都屬于PE文件。PE文件經(jīng)過Windows系統(tǒng)的正常加載，通過反匯編代碼很容易逆向分析出PE文件的行為。若仿照Windows的加載程序，將源文件轉(zhuǎn)化成機(jī)器碼直接在內(nèi)存中執(zhí)行，可以增大逆向分析的難度。為了保證加固后源文件的體積不發(fā)生較大變化，必須對(duì)源文件進(jìn)行壓縮；壓縮后的PE文件在加載時(shí)，首先進(jìn)行解壓；將壓縮后的PE文件和PE文件的加載函數(shù)進(jìn)行封裝成Shellcode，再對(duì)Shellcode進(jìn)行多態(tài)變形，保證每次生成的解密函數(shù)具有不同特征，最后生成新的PE文件。

3.2 框架構(gòu)成

根據(jù)二進(jìn)制程序加固系統(tǒng)的工作原理，我們將系統(tǒng)的總體結(jié)構(gòu)劃分為兩部分，系統(tǒng)組成結(jié)構(gòu)如圖1所示。第一部分執(zhí)行PE文件的加載功能，即PE文件執(zhí)行模塊，主要負(fù)責(zé)解壓PE文件和動(dòng)態(tài)加載PE文件等工作，是新的PE文件的主要組成部分。第二部分執(zhí)行PE文件的壓縮、多態(tài)變形和組裝功能，并生成新的PE文件，進(jìn)而實(shí)現(xiàn)PE文件的加固。主要包含壓縮模塊、Shellcode組裝模塊、Shellcode多態(tài)變形模塊以及PE文件生成模塊。壓縮模塊的對(duì)PE文件進(jìn)行壓縮；Shellcode組裝模塊將經(jīng)過壓縮的PE文件、PE文件執(zhí)行模塊、以及標(biāo)識(shí)符等字符串進(jìn)行組裝，形成Shellcode；多態(tài)變形模塊對(duì)Shellcode進(jìn)行變形加密，并將解密代碼整合到Shellcode中，設(shè)置入口點(diǎn)；最后，PE文件生成模塊根據(jù)變形后Shellcode生成新的PE文件。

第一部分在加固后的PE文件運(yùn)行時(shí)執(zhí)行，不依賴于第二部分。第二部分將第一部分作為數(shù)據(jù)進(jìn)行封裝，對(duì)PE文件進(jìn)行加固。 本系統(tǒng)由壓縮模塊、多態(tài)變形模塊、Shellcode組裝模塊、PE文件生成模塊、和PE文件執(zhí)行模塊組成。目的是對(duì)源PE文件進(jìn)行壓縮變形，并構(gòu)造成新的PE文件，流程分級(jí)步驟：（1）壓縮模塊負(fù)責(zé)對(duì)原始PE文件進(jìn)行壓縮，目的是減小原始PE文件的體積，同時(shí)也起到一定的混淆作用；壓縮后的源PE文件和PE文件執(zhí)行模塊（如API初始化模塊、解壓縮模塊等）通過Shellcode組裝模塊，成可直接在內(nèi)存中執(zhí)行的Shellcode代碼；（2）多態(tài)變形模塊主要對(duì)生成的Shellcode進(jìn)行多態(tài)變形，本系統(tǒng)的多態(tài)變形模塊主要采用了Tapion多態(tài)變形引擎；（3）PE文件生成模塊主要功能是把變形后的Shellcode和解密代碼進(jìn)行封裝，生成新的PE文件。

3.3 模塊功能

系統(tǒng)一共包含五個(gè)模塊，PE文件壓縮模塊、Shellcode組裝模塊、多態(tài)變形模塊、PE文件生成模塊和PE文件執(zhí)行模塊。系統(tǒng)各模塊的數(shù)據(jù)流圖如圖3所示。

（1）PE文件壓縮模塊：采用了微軟的FCI/FDI庫(kù)對(duì)EXE文件進(jìn)行壓縮。FCI（File Compression Interface）和FDI（File Decompression Interface）是由微軟提供的用于對(duì)文件進(jìn)行壓縮和解壓縮的通用庫(kù)和接口，其在Windows 7、WinNT、Win2000、WinXP等各Windows版本的操作系統(tǒng)下都提供了接口，具有通用性，性能上可以滿足我們對(duì)文件壓縮的要求。

（2）Shellcode組裝模塊：將經(jīng)過壓縮的源PE文件（.cab文件）、PE文件執(zhí)行模塊代碼、以及各標(biāo)識(shí)符（主要用于PE加載時(shí)的函數(shù)定位）等字符串按照一定的規(guī)則進(jìn)行組裝，形成Shellcode。

（3）多態(tài)變形模塊：采用tapion作為多態(tài)變形引擎，對(duì)Shellcode進(jìn)行多態(tài)變形。經(jīng)過多態(tài)變形引擎的變形，能讓每次生成的解密程序都具有不同的特征。首先，對(duì)原始Shellcode進(jìn)行加密，加密采用多態(tài)異或的方法，即每次生成不同的隨機(jī)數(shù)對(duì)Shellcode主體部分進(jìn)行異或。其次，對(duì)解密代碼進(jìn)行多態(tài)變形保護(hù)，讓每次生成的解密代碼具有不同的特征；最后，是把這解密代碼和加密后的shellcode進(jìn)行整合，設(shè)置入口點(diǎn)，生成新的Shellcode。

（4）PE文件生成模塊：系統(tǒng)目標(biāo)是對(duì)PE文件進(jìn)行安全加固，所以最終還要把變形后的Shellcode，重新生成PE文件。采用編譯器進(jìn)行組裝，將Shellcode寫入C或C++源文件中字符串變量中，然后采用獨(dú)立的編譯器對(duì)此C或C++源文件進(jìn)行編譯鏈接，最后生成新的PE文件。

（5）PE文件執(zhí)行模塊：能夠在內(nèi)存中直接執(zhí)行，主要負(fù)責(zé)PE文件的解壓縮和動(dòng)態(tài)加載。其包含三個(gè)子模塊，API初始化模塊、PE文件解壓模塊和PE文件加載模塊。

API初始化模塊：為了編寫具有通用性的Shellcode，Shellcode在其進(jìn)程空間中調(diào)用某些API函數(shù)， 所以需要?jiǎng)討B(tài)定位這些Windows系統(tǒng)自帶的API函數(shù)。API函數(shù)存放在一些動(dòng)態(tài)鏈接庫(kù)中，而定位API函數(shù)主要用到GetProcAddress和LoadLibraryA這兩個(gè)函數(shù)。其中，LoadLibrary函數(shù)用于動(dòng)態(tài)裝載dll文件，GetProcAddress函數(shù)用于從被裝載的dll文件中獲取API函數(shù)的地址。GetProcAddress和LoadLibraryA這兩個(gè)函數(shù)的地址都存放在kernel32.dll模塊的導(dǎo)出表中。所以在查找這兩個(gè)函數(shù)的地址之前，必須先定位kernel32.dll的地址。定位kernel32.dll，進(jìn)而獲取GetProcAddress和LoadLibraryA地址。

PE文件解壓模塊：EXE殼運(yùn)行之后，先對(duì)被壓縮的PE文件進(jìn)行解壓，解壓程序必須先于PE文件的動(dòng)態(tài)加載模塊獲得控制權(quán)，待解壓完成后將控制權(quán)交回PE文件加載模塊，由模塊內(nèi)的加載程序?qū)鈮汉蟮脑碢E文件進(jìn)行加載。采用Windows提供的FDI接口對(duì)EXE文件進(jìn)行解壓。

PE文件加載模塊：源PE文件被壓縮后，作為一部分存放在Shellcode中，Shellcode經(jīng)過多態(tài)變形之后，被存放到新的PE文件里，即新的PE文件的代碼段中嵌套著源PE文件。為了加載代碼段中的源PE文件，需要在Shellcode中添加PE文件加載模塊，代替操作系統(tǒng)動(dòng)態(tài)加載源PE文件。

4 性能分析

本安全加固系統(tǒng)應(yīng)具備幾種功能：（1）能對(duì)二進(jìn)制可執(zhí)行程序進(jìn)行安全加固，要求經(jīng)過安全加固后的二進(jìn)制可執(zhí)行程序能夠在各操作系統(tǒng)下正常運(yùn)行，體積沒有大的變化，且能加大逆向分析的難度；（2）能實(shí)現(xiàn)對(duì)以二進(jìn)制可執(zhí)行程序進(jìn)行壓縮和解壓，經(jīng)過壓縮和解壓之后程序能正常運(yùn)行；（3）PE文件加載模塊能夠?qū)崿F(xiàn)對(duì)PE文件進(jìn)行動(dòng)態(tài)加載，且此PE文件加載模塊能在不同的宿主程序中對(duì)宿主程序進(jìn)行加載，應(yīng)該有較好的通用性；（4）采用的多態(tài)變形模塊能夠?qū)hellcode進(jìn)行多態(tài)變形，使重新生成的PE文件具備多種不同的形態(tài)。

4.1 測(cè)試過程

為了驗(yàn)證本安全加固系統(tǒng)的性能，實(shí)驗(yàn)環(huán)境如表1所示。

系統(tǒng)操作步驟：（1）選擇需要具有代表性的軟件（包括常用軟件和惡意軟件），記錄下軟件的體積大小；（2）用本安全加固系統(tǒng)對(duì)各軟件進(jìn)行變形，記錄下變形后的體積大小，并檢查這些變形后的軟件的能否正常運(yùn)行。

選擇變形配置，其中g(shù)arbage_size表示垃圾指令系數(shù)，取值范圍為0～5或者R。0～5表示插入的垃圾指令的規(guī)模，0表示無垃圾指令插入，R表示垃圾指令系數(shù)隨機(jī)產(chǎn)生。do_jumps選項(xiàng)表示插入垃圾指令時(shí)是否夾帶指令跳轉(zhuǎn)；選擇需要安全加固的PE文件和需要生成的新的PE文件名；點(diǎn)擊開始按鈕，變形完成后會(huì)彈出提示消息框，在當(dāng)前目錄即可看到最終生成的Shellcode文件和.c文件；調(diào)用vs2010自帶的編譯器對(duì).c文件進(jìn)行編譯，最終生成新的PE文件。

（3）用系統(tǒng)中安裝的殺毒軟件對(duì)變形后的惡意軟件進(jìn)行主動(dòng)檢測(cè)查殺，記錄檢測(cè)結(jié)果。

4.2 測(cè)試結(jié)果

對(duì)本安全加固系統(tǒng)的測(cè)試主要分為兩項(xiàng)，第一項(xiàng)主要針對(duì)系統(tǒng)性能上的驗(yàn)證，主要包括加固前后程序體積變化對(duì)比，以及加固后的程序在各操作系統(tǒng)下是否能正常運(yùn)行。測(cè)試結(jié)果如表2所示。

通常情況下，殺毒軟件采用靜態(tài)和動(dòng)態(tài)分析結(jié)合的方法對(duì)惡意軟件進(jìn)行分析，為了驗(yàn)證此加固系統(tǒng)的有效性，將一些容易被殺毒軟件查殺的惡意代碼進(jìn)行加固，若加固后殺毒軟件不再提示為惡意軟件，即殺毒軟件無法分析出惡意軟件的行為，則說明加固是有效的。測(cè)試結(jié)果如表3所示。

表2說明，經(jīng)過本系統(tǒng)加固后的二進(jìn)制程序，在各操作系統(tǒng)下軟件都能正常運(yùn)行，且其體積沒有較大變化，說明此安全加固系統(tǒng)有較好的通用性和穩(wěn)定性。表3說明，加固后惡意代碼可以逃過主流殺毒軟件的查殺，加固后的二進(jìn)制程序不但能加大靜態(tài)分析的難度，還能有效地阻礙對(duì)程序的動(dòng)態(tài)分析，說明本系統(tǒng)能有效的對(duì)軟件進(jìn)行安全加固。

5 結(jié)束語

針對(duì)現(xiàn)有安全加固技術(shù)存在的不足，本文設(shè)計(jì)并實(shí)現(xiàn)了一種新的二進(jìn)制程序的安全加固系統(tǒng)。隨后選取目前流行的操作系統(tǒng)和殺毒軟件，對(duì)本系統(tǒng)的通用性、穩(wěn)定性和有效性進(jìn)行驗(yàn)證。結(jié)果表明，本系統(tǒng)能有效地隱藏二進(jìn)制程序靜態(tài)特征，阻礙對(duì)程序的動(dòng)態(tài)分析，以及加固前后體積沒有較大變化。所以，本系統(tǒng)所采用的技術(shù)、設(shè)計(jì)思路和實(shí)現(xiàn)方法為后續(xù)二進(jìn)制程序安全加固技術(shù)提供了理論基礎(chǔ)。隨著技術(shù)的發(fā)展，一些更智能的主動(dòng)防御系統(tǒng)對(duì)程序進(jìn)行動(dòng)態(tài)分析時(shí)，仍有可能判斷出解密后程序的入口點(diǎn)，進(jìn)而分析程序行為。所以，在后續(xù)工作中，需要進(jìn)一步研究解密程序的變形技術(shù)和對(duì)抗調(diào)試器的技術(shù)。

參考文獻(xiàn)

[1] 田碩，梁洪亮.二進(jìn)制程序安全缺陷靜態(tài)分析方法的研究綜述[J].計(jì)算機(jī)科學(xué)，2009（7）.

[2] 黃暉，陸余良，夏陽.基于動(dòng)態(tài)符號(hào)執(zhí)行的二進(jìn)制程序缺陷發(fā)現(xiàn)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究， 2013（9）.

[3] 吳慶波， 顏躍進(jìn)， 張亞軍， 吳泉源.一種基于虛擬機(jī)的驅(qū)動(dòng)程序加固技術(shù)[J].計(jì)算機(jī)工程與科學(xué)， 2010（11）.

[4] 楊明，黃劉生.一種采用嵌套虛擬機(jī)的軟件保護(hù)方案[J].小型微型計(jì)算機(jī)系統(tǒng)，2011（2）.

作者簡(jiǎn)介：

韓煜（1982-），男，遼寧海城人，北京郵電大學(xué)，碩士，公安部第一研究所，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全技術(shù)。

張濟(jì)國(guó)（1980-），男，北京人，英國(guó)貝爾法斯特女王大學(xué)，碩士，公安部第一研究所，工程師；主要研究方向和關(guān)注領(lǐng)域：通信技術(shù)。

篇(6)

“2009年，我上任后第一次訪問深圳工廠，當(dāng)時(shí)工廠還只能生產(chǎn)小功率UPS。”伊頓電氣集團(tuán)亞太區(qū)高級(jí)副總裁、電能質(zhì)量業(yè)務(wù)總經(jīng)理羅世光回憶說，“但是現(xiàn)在，10kW~1000kW的UPS都已經(jīng)可以在中國(guó)本地進(jìn)行生產(chǎn)。”

中國(guó)和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場(chǎng)。羅世光相信，中國(guó)數(shù)據(jù)中心市場(chǎng)的快速增長(zhǎng)將給伊頓的電能質(zhì)量業(yè)務(wù)帶來更大的增長(zhǎng)機(jī)會(huì)。因此，在2014年，伊頓將加強(qiáng)與商的合作，拓展分銷渠道，進(jìn)一步推進(jìn)與本土市場(chǎng)的全面融合，同時(shí)加大對(duì)本土產(chǎn)品研發(fā)和檢測(cè)的能力，提供更多符合中國(guó)客戶需求的高效節(jié)能的電能質(zhì)量解決方案。

深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進(jìn)的自動(dòng)化生產(chǎn)線，年產(chǎn)UPS達(dá)到800萬臺(tái)。伊頓在深圳設(shè)立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一，產(chǎn)品研發(fā)和測(cè)試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測(cè)中心，是除美國(guó)、芬蘭之外，伊頓在全球擁有的第三個(gè)產(chǎn)品和系統(tǒng)檢測(cè)中心。“該檢測(cè)中心同時(shí)也是客戶體驗(yàn)中心，配備了全球領(lǐng)先的檢測(cè)設(shè)備和技術(shù)，不僅能夠檢測(cè)單體設(shè)備，還能對(duì)包括UPS、電源分配單元（PDU）、AMS監(jiān)測(cè)系統(tǒng)和第三方設(shè)備的整個(gè)電能系統(tǒng)解決方案進(jìn)行測(cè)試，其最大測(cè)試能力是可對(duì)兩臺(tái)并聯(lián)的1100kW的UPS進(jìn)行測(cè)試。”羅世光介紹說，“客戶在選擇一款定制的電能解決方案后，即可在檢測(cè)中心看到其運(yùn)行的全過程，通過親身體驗(yàn)增進(jìn)對(duì)產(chǎn)品的了解和信心。”

“過去3~4年中，我們?cè)谥袊?guó)市場(chǎng)的總投入已經(jīng)超過1200萬美元。我們?nèi)栽诔掷m(xù)加強(qiáng)中國(guó)本地化，并從去年底開始進(jìn)一步提升了針對(duì)中國(guó)用戶的售前和售后服務(wù)能力。”羅世光告訴記者，“目前，我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近，深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國(guó)企業(yè)采取的遠(yuǎn)程遙控式的本地研發(fā)策略相比，我們是實(shí)實(shí)在在地將研發(fā)部門落戶在深圳，為亞太和中國(guó)市場(chǎng)提供本地化服務(wù)的同時(shí)也面向全球客戶。”

云計(jì)算與大數(shù)據(jù)的發(fā)展推動(dòng)了大型數(shù)據(jù)中心的快速發(fā)展，用戶對(duì)數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增。“從2010年開始，伊頓增加了為中國(guó)客戶定制數(shù)據(jù)中心解決方案的服務(wù)。在今年的商大會(huì)上，我看到了商和用戶的積極反饋。”羅世光表示。

針對(duì)小型數(shù)據(jù)中心，伊頓可以提供模塊化、標(biāo)準(zhǔn)化的解決方案；針對(duì)中型數(shù)據(jù)中心，伊頓可以針對(duì)不同行業(yè)客戶的需求，提供有差異化的解決方案；針對(duì)大型數(shù)據(jù)中心，伊頓可以提供按需擴(kuò)展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案，這不僅對(duì)伊頓是一個(gè)新的挑戰(zhàn)，對(duì)其商來說也要經(jīng)歷一個(gè)大的轉(zhuǎn)變。

為了迅速提升商銷售解決方案的能力，伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案，另一方面加強(qiáng)對(duì)商的銷售培訓(xùn)，實(shí)現(xiàn)信息共享。羅世光表示：“我們提供的定制化解決方案一方面要滿足用戶的個(gè)性化需求，另一方面還要保持開放性。我們將為用戶提供解決方案與服務(wù)打包的一體化解決方案。”

第三屆全國(guó)等級(jí)保護(hù)技術(shù)大會(huì)征文通知

為深入貫徹落實(shí)國(guó)家關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的文件精神，進(jìn)一步推進(jìn)信息安全等級(jí)保護(hù)技術(shù)交流，經(jīng)公安主管部門同意，公安部第一研究所擬于2014年7月舉辦第三屆全國(guó)信息安全等級(jí)保護(hù)技術(shù)大會(huì)（ICSP’2014）。

會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門擔(dān)任指導(dǎo)單位，同時(shí)將出版論文集，經(jīng)專家評(píng)選的部分優(yōu)秀論文，將推薦至國(guó)家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù)：物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù)，等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法；

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國(guó)內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機(jī)制特點(diǎn)，信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策，網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究；

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù)：攻擊監(jiān)測(cè)技術(shù)，態(tài)勢(shì)感知預(yù)警技術(shù)，安全監(jiān)測(cè)技術(shù)，安全事件響應(yīng)技術(shù)，應(yīng)急處置技術(shù)，災(zāi)難備份技術(shù)，恢復(fù)和跟蹤技術(shù)，風(fēng)險(xiǎn)評(píng)估技術(shù)；

5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù)：密碼技術(shù)，可信計(jì)算技術(shù)，網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù)，漏洞檢測(cè)技術(shù)，網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù)，網(wǎng)絡(luò)身份認(rèn)證技術(shù)，網(wǎng)絡(luò)攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù)：用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù)，安全態(tài)勢(shì)評(píng)估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)：標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù)，安全基準(zhǔn)驗(yàn)證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測(cè)試技術(shù)，測(cè)評(píng)工具和測(cè)評(píng)方法；

8. 信息安全等級(jí)保護(hù)策略與機(jī)制：網(wǎng)絡(luò)安全綜合防控體系建設(shè)，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護(hù)策略，信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。

二、投稿要求

1. 來稿內(nèi)容應(yīng)屬于作者的科研成果，數(shù)據(jù)真實(shí)、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭(zhēng)議，論文摘要及全文不涉及保密內(nèi)容；

2. 會(huì)議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號(hào)

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

篇(7)

【論文關(guān)鍵詞】 信息系統(tǒng)　內(nèi)部控制　方法

【論文摘要】 會(huì)計(jì)電算化是運(yùn)用計(jì)算機(jī)進(jìn)行會(huì)計(jì)數(shù)據(jù)處理，以計(jì)算機(jī)及數(shù)據(jù)傳輸和通訊設(shè)備作為數(shù)據(jù)處理系統(tǒng)的核心，完成從原始數(shù)據(jù)的搜集、記錄、分類、登記、計(jì)算、匯總、報(bào)告等一系列會(huì)計(jì)工作。會(huì)計(jì)從手工處理到電算化處理，不僅是會(huì)計(jì)數(shù)據(jù)處理方法的變化，更是影響了企業(yè)傳統(tǒng)的內(nèi)部控制制度，使企業(yè)在內(nèi)部控制上發(fā)生了根本性的變化。

一、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制

為了保護(hù)國(guó)家和企業(yè)的資金安全，確保會(huì)計(jì)信息及其他相關(guān)數(shù)據(jù)的可靠，確保國(guó)家和企業(yè)的各項(xiàng)方針政策的貫徹與執(zhí)行，提高經(jīng)濟(jì)效益所采取的一切制度、方法措施和管理程序，都屬于會(huì)計(jì)內(nèi)部控制的范圍。任何一家企業(yè)、事業(yè)單位或其他經(jīng)濟(jì)組織，不論其規(guī)模大小、業(yè)務(wù)性質(zhì)，也不論其采取何種會(huì)計(jì)工作組織程序和信息處理方式，在其會(huì)計(jì)業(yè)務(wù)處理系統(tǒng)中，都會(huì)不同程度、不同方面地存在著一定的系統(tǒng)內(nèi)部控制問題。

二、電算化會(huì)計(jì)信息系統(tǒng)對(duì)內(nèi)部控制的影響

1、內(nèi)部控制形式的變化。手工記賬中的一些內(nèi)部控制措施在電算化后不需要存在。如編制科目匯總表、憑證匯總表，試算平衡的檢查、總賬和明細(xì)賬的核對(duì)。在電算化環(huán)境下，人是執(zhí)行控制的主體，但更多的內(nèi)部控制方法是通過會(huì)計(jì)軟件來實(shí)現(xiàn)。因此，信息系統(tǒng)的內(nèi)部控制也由人工控制轉(zhuǎn)為人工和程序去共同控制。電算化系統(tǒng)許多應(yīng)用程序中包含了內(nèi)部控制功能，這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序，如程序發(fā)生錯(cuò)誤或不起作用，由于人們的依賴性以及程序運(yùn)動(dòng)的重復(fù)性，使得控制失效不被及時(shí)發(fā)現(xiàn)，從而使系統(tǒng)發(fā)生錯(cuò)誤或違規(guī)行為的可能性大。

2、存儲(chǔ)介質(zhì)的改變。在手工會(huì)計(jì)環(huán)境下，企業(yè)的經(jīng)濟(jì)業(yè)務(wù)發(fā)生均記錄于紙張之上，并按會(huì)計(jì)數(shù)據(jù)處理的不同過程分為原始憑證、記賬憑證、會(huì)計(jì)賬簿和會(huì)計(jì)報(bào)表。這些紙質(zhì)原件的數(shù)據(jù)若被修改，很容易找出修改的線索和痕跡，這是傳統(tǒng)紙質(zhì)原件的一個(gè)優(yōu)點(diǎn)。但在電算化系統(tǒng)下，原來紙質(zhì)的會(huì)計(jì)數(shù)據(jù)會(huì)被直接記錄到磁盤或光盤上，非常容易被刪除或篡改，由于在技術(shù)上對(duì)電子數(shù)據(jù)非法修改可做到不留跡象，這就難以辨別哪一筆是業(yè)務(wù)記錄的原始數(shù)據(jù)。另外，電磁介質(zhì)容易受損壞，所以會(huì)計(jì)信息還存在丟失或毀壞的危險(xiǎn)。

3、內(nèi)部控制的內(nèi)容變化。計(jì)算機(jī)技術(shù)的引入，給會(huì)計(jì)工作增加了新的工作內(nèi)容，同時(shí)也增加了新的控制措施，如計(jì)算機(jī)硬件及軟件分析、編程、維護(hù)人員與計(jì)算機(jī)操作人員內(nèi)部控制，以及計(jì)算機(jī)機(jī)內(nèi)及磁盤內(nèi)會(huì)計(jì)信息安全保護(hù)、計(jì)算機(jī)病毒防治、計(jì)算機(jī)操作管理、系統(tǒng)管理員和系統(tǒng)維護(hù)人員的崗位責(zé)任制度等。

4、財(cái)務(wù)網(wǎng)絡(luò)化帶來的新問題。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通訊技術(shù)的發(fā)展，會(huì)計(jì)信息系統(tǒng)網(wǎng)絡(luò)化漸漸普及。網(wǎng)絡(luò)的廣泛應(yīng)用在很大程度上彌補(bǔ)了單機(jī)電算化系統(tǒng)的不足，使電算化會(huì)計(jì)系統(tǒng)的內(nèi)部控制更加完善，同時(shí)也帶來了新問題。目前財(cái)務(wù)軟件的網(wǎng)絡(luò)功能主要包括遠(yuǎn)程報(bào)賬、遠(yuǎn)程報(bào)表、遠(yuǎn)程審計(jì)、網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報(bào)稅、網(wǎng)上采購(gòu)、網(wǎng)上銷售、網(wǎng)上銀行等，實(shí)現(xiàn)這些功能就必須有相應(yīng)的控制，從而加大了會(huì)計(jì)系統(tǒng)安全控制的難度。

三、完善電算化會(huì)計(jì)信息系統(tǒng)環(huán)境下的內(nèi)部控制

堅(jiān)持明確分工、相互獨(dú)立、互相牽制、相互制約的安全管理原則，建立并不斷完善人工與機(jī)器相結(jié)合的控制機(jī)制，使會(huì)計(jì)電算化運(yùn)行的每一個(gè)過程都處于嚴(yán)密控制之中是我們完善會(huì)計(jì)電算化內(nèi)部控制的基本思路。

1、系統(tǒng)維護(hù)控制。系統(tǒng)維護(hù)包括軟件修改、代碼結(jié)構(gòu)修改和計(jì)算機(jī)硬件與通訊設(shè)備的維修等，涉及到系統(tǒng)功能的調(diào)整、擴(kuò)充和完善。對(duì)財(cái)務(wù)系統(tǒng)進(jìn)行維護(hù)必須經(jīng)過周密計(jì)劃和嚴(yán)格記錄，維護(hù)過程的每一環(huán)節(jié)都應(yīng)設(shè)置必要的控制，維護(hù)的原因和性質(zhì)必須有書面形式的報(bào)告，經(jīng)批準(zhǔn)后才能實(shí)施修改。軟件修改尤為重要，系統(tǒng)操作員不能參與軟件的修改，所有與系統(tǒng)維護(hù)有關(guān)的記錄都應(yīng)打印后存檔。操作環(huán)境包括系統(tǒng)操作過程以及系統(tǒng)的維護(hù)。操作過程控制主要通過制訂一套完整而嚴(yán)格的操作規(guī)定來實(shí)現(xiàn)。操作規(guī)程應(yīng)明確職責(zé)，操作程序和注意事項(xiàng)，并形成一套電算化系統(tǒng)文件。如規(guī)定交接班手續(xù)和登記運(yùn)行日志，規(guī)定數(shù)據(jù)備份及機(jī)器的使用規(guī)范，規(guī)定軟盤專用以防病毒感染。

2、信息安全控制。電算化會(huì)計(jì)信息系統(tǒng)的安全控制，是指采用各種方法保護(hù)數(shù)據(jù)和計(jì)算機(jī)程序，以防止數(shù)據(jù)泄密、被更改或破壞，主要包括實(shí)體安全控制、數(shù)據(jù)安全控制、網(wǎng)絡(luò)安全控制等。

（1）實(shí)體安全控制。實(shí)行電算化以后，設(shè)立計(jì)算機(jī)房的主要目的是給計(jì)算機(jī)設(shè)備創(chuàng)造一個(gè)良好的運(yùn)行環(huán)境，保護(hù)機(jī)器設(shè)備；防止各種非法人員進(jìn)入機(jī)房，保護(hù)機(jī)內(nèi)程序和數(shù)據(jù)的安全。具體措施包括：對(duì)進(jìn)入機(jī)房?jī)?nèi)的人員進(jìn)行嚴(yán)格審查；保證機(jī)房設(shè)備安全的措施，如機(jī)房防火規(guī)定等；保證計(jì)算機(jī)正常運(yùn)行措施，如機(jī)房防潮、防磁及恒溫等方面的規(guī)定等；會(huì)計(jì)數(shù)據(jù)和會(huì)計(jì)軟件安全保密的措施，如數(shù)據(jù)備份規(guī)定及不準(zhǔn)在計(jì)算機(jī)上玩電腦游戲等規(guī)定；修改會(huì)計(jì)核算軟件的審批和監(jiān)督制度。

（2）數(shù)據(jù)安全控制。計(jì)算機(jī)會(huì)計(jì)系統(tǒng)有關(guān)的資料應(yīng)及時(shí)存檔，企業(yè)應(yīng)建立起完善的檔案制度，加強(qiáng)檔案管理。一個(gè)合理完善的檔案管理制度一般有合格的檔案管理人員、完善的資料借用和歸還手續(xù)、完善的標(biāo)簽和索引方法、安全可靠的檔案保管設(shè)備等。除此之外，還應(yīng)定期對(duì)所有檔案進(jìn)行備份并保管好這些備份。為防止檔案被破壞，企業(yè)應(yīng)制訂出檔案被破壞的事件發(fā)生時(shí)的應(yīng)急措施和恢復(fù)手段，企業(yè)使用的會(huì)計(jì)軟件也應(yīng)具有強(qiáng)制備份的功能和一旦系統(tǒng)崩潰及時(shí)恢復(fù)到最近狀態(tài)的功能。

（3）網(wǎng)絡(luò)安全控制。公司應(yīng)對(duì)網(wǎng)絡(luò)安全進(jìn)行控制，設(shè)置網(wǎng)絡(luò)安全性指標(biāo)，包括數(shù)據(jù)保密、訪問控制、身份識(shí)別等。一是用戶權(quán)限設(shè)置，應(yīng)從業(yè)務(wù)范圍出發(fā)，將整個(gè)網(wǎng)絡(luò)系統(tǒng)分級(jí)管理，設(shè)置系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員和專職會(huì)計(jì)員等崗位，層層負(fù)責(zé)，對(duì)各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格限制，把各項(xiàng)業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管把等職能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他用戶的訪問。二是密碼設(shè)置，用戶應(yīng)按照自己的用戶身份和密碼進(jìn)入系統(tǒng)，對(duì)密碼進(jìn)行分組管理，對(duì)存儲(chǔ)在網(wǎng)絡(luò)上的重要數(shù)據(jù)進(jìn)行有效加密，在網(wǎng)絡(luò)中傳播數(shù)據(jù)前對(duì)相關(guān)數(shù)據(jù)進(jìn)行加密，接收到數(shù)據(jù)后再進(jìn)行相應(yīng)的解密處理，并定期更新加密密碼。另因網(wǎng)絡(luò)病毒日益猖獗，防范病毒也是安全控制的重點(diǎn)。對(duì)不需要本地硬盤和軟盤的工作站，盡量采用無盤工作。

3、電算化會(huì)計(jì)信息系統(tǒng)的人員職能控制。人員控制是電算化系統(tǒng)管理的根本，會(huì)計(jì)電算化人才的缺乏是制約我國(guó)會(huì)計(jì)信息化工作發(fā)展的關(guān)鍵環(huán)節(jié)。為此，首先要通過各種培訓(xùn)提高會(huì)計(jì)人員的計(jì)算機(jī)業(yè)務(wù)水平和職業(yè)道德水準(zhǔn)、增強(qiáng)遵守各項(xiàng)法規(guī)的自覺性，實(shí)行考核合格才準(zhǔn)上崗的制度。其次要通過各類院校培養(yǎng)既懂會(huì)計(jì)又掌握一定計(jì)算機(jī)知識(shí)及技能的專業(yè)人才充實(shí)到會(huì)計(jì)隊(duì)伍中。再次，會(huì)計(jì)人員不僅要具備財(cái)會(huì)知識(shí)和計(jì)算機(jī)知識(shí)，同時(shí)還要掌握一定的管理知識(shí)。最后，業(yè)務(wù)主管應(yīng)當(dāng)熟悉整個(gè)會(huì)計(jì)電算化處理業(yè)務(wù)，以便對(duì)系統(tǒng)會(huì)計(jì)工作流程進(jìn)行監(jiān)控和指導(dǎo)。

4、信息系統(tǒng)的內(nèi)部審計(jì)。內(nèi)部審計(jì)是單位或企業(yè)內(nèi)部控制系統(tǒng)的重要組成部分，也是強(qiáng)化內(nèi)部會(huì)計(jì)監(jiān)督的制度安排。電算化會(huì)計(jì)信息系統(tǒng)的運(yùn)作往往是“人機(jī)”對(duì)話的特殊形態(tài)，對(duì)網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息審核必須運(yùn)用更復(fù)雜的查核技術(shù)，只有精通計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)、熟悉審計(jì)財(cái)務(wù)程序的人員才能勝任此項(xiàng)工作，這給內(nèi)部審計(jì)加大了難度。內(nèi)部審計(jì)制度是保障內(nèi)部控制的重要手段之一，通過內(nèi)部審計(jì)可以了解現(xiàn)有的一些內(nèi)部控制措施是否能滿足為內(nèi)部會(huì)計(jì)系統(tǒng)提供準(zhǔn)確、可靠的信息，以及這些控制措施能否有效地運(yùn)作以達(dá)到預(yù)期的目的。在電算化系統(tǒng)運(yùn)行過程中，審計(jì)人員對(duì)會(huì)計(jì)業(yè)務(wù)處理等工作進(jìn)行評(píng)價(jià)和檢驗(yàn)，有利于檢測(cè)財(cái)務(wù)軟件的可靠性，發(fā)現(xiàn)存在的問題、提出解決問題的建議，有利于提高會(huì)計(jì)核算質(zhì)量和管理水平。

在電算化條件下，關(guān)鍵的會(huì)計(jì)信息處理和業(yè)務(wù)核算工作已由會(huì)計(jì)電算化軟件集中代替，會(huì)計(jì)工作的執(zhí)行主體演變?yōu)槿伺c電算化軟件兩個(gè)因素，且電算化軟件是主要的執(zhí)行因素。這種變化使得會(huì)計(jì)電算化系統(tǒng)中的內(nèi)部控制實(shí)施主體也演變?yōu)槿伺c軟件兩個(gè)因素，且電算化軟件導(dǎo)致的系統(tǒng)問題風(fēng)險(xiǎn)將成為會(huì)計(jì)系統(tǒng)中內(nèi)部控制的主要風(fēng)險(xiǎn)。完善有效的計(jì)算機(jī)系統(tǒng)及管理制度是電算化會(huì)計(jì)信息系統(tǒng)安全之本，提高會(huì)計(jì)電算化人員素質(zhì)，規(guī)范和完善電算化會(huì)計(jì)信息系統(tǒng)操作和管理章程，重視內(nèi)部審計(jì)，增強(qiáng)數(shù)據(jù)安全意識(shí)，是當(dāng)前強(qiáng)化電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的關(guān)鍵問題。

參考文獻(xiàn)