云安全原理與實踐
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇云安全原理與實踐范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
云安全原理與實踐范文第1篇
關(guān)鍵詞:網(wǎng)絡(luò)技術(shù) 電子商務(wù) 安全技術(shù) 風(fēng)險 應(yīng)用 分析
1 概述
隨著社會步入信息時代,電子商務(wù)在各個領(lǐng)域也迅速發(fā)展起來,其在工作、學(xué)習(xí)和生活上帶給我們的方便也越來越多,尤其是在計算機普及的今天,在任何地方任何場合都可以看見,但是在給我們帶來便捷感的同時,我們還需要關(guān)注一個問題,那就是計算機安全問題。目前,電子商務(wù)環(huán)境也出現(xiàn)了一些安全隱患,比如:竊取信息、篡改信息、惡意破壞等。使人們在網(wǎng)上交易的時候會產(chǎn)生一定的疑慮。因此,為了避免阻礙電子商務(wù)的發(fā)展就需要注意安全問題,因為網(wǎng)上交易雙方并不見面,所以電子商務(wù)對交易是否安全就起到十分重要的作用。電子商務(wù)要是交易不安全,就會導(dǎo)致其發(fā)展緩慢。因此電子商務(wù)的首要因素就是保證交易安全,而電子商務(wù)是否安全需要從兩大部分分析,即計算機網(wǎng)絡(luò)安全和商務(wù)貿(mào)易安全。計算機網(wǎng)絡(luò)安全包括三點解決計算機網(wǎng)絡(luò)本身存在的安全問題的計算機網(wǎng)絡(luò)設(shè)備完全、計算機網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)庫安全方案,都是以保證計算機網(wǎng)絡(luò)自身的安全性為主要目標(biāo)的。而商務(wù)安全主要解決傳統(tǒng)商務(wù)網(wǎng)絡(luò)安全的基礎(chǔ)性問題,就Internet產(chǎn)生的安全問題來進行分析的。為了保障電子商務(wù)的順利進行,就需要實現(xiàn)電子商務(wù)安全保密措施。
2 電子商務(wù)交易中應(yīng)用的網(wǎng)絡(luò)安全技術(shù)
電子商務(wù)很多涉及到重要機密的活動信息都是通過網(wǎng)絡(luò)進行傳播的,因此在交易過程中,就必須要保證電子商務(wù)的安全。目前,我國采取的主要形式就是以電子數(shù)據(jù)進行存儲,因此我們要保證電子數(shù)據(jù)的加密技術(shù)、認(rèn)證技術(shù)以及安全認(rèn)證協(xié)議的權(quán)威性。
2.1 防火墻技術(shù) 為了保障計算機網(wǎng)絡(luò)的安全,就需要在網(wǎng)絡(luò)里建立安全的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)――防火墻。它既是一種控制技術(shù)也可以成為軟件產(chǎn)品,既能制作產(chǎn)品也能嵌入某些硬件產(chǎn)品中。所以所有來自Internet的傳輸信息不論是接收還是傳輸都必須經(jīng)過防火墻,以保證信息安全。我們在進行防火墻使用的時候主要就是要查看防火墻自身是否感染病毒,因為我們在發(fā)送文件時候,都是通過防火墻來傳輸,因此就需要在每臺主機上裝上反病毒的監(jiān)控軟件。雖然防火墻不能夠防止數(shù)據(jù)驅(qū)動式的攻擊,但也能都提前對來歷不明的數(shù)據(jù)進行殺毒或者程序編碼辯證,起到預(yù)防一些表面看似無害的數(shù)據(jù)驅(qū)動式病毒的攻擊。
2.2 加密技術(shù) 加密技術(shù)主要利用的就是加密算法原理,該原理主要是信息安全防范措施,能夠防止一些非法用戶對最初的數(shù)據(jù)的理解,從而能夠保證數(shù)據(jù)的安全性。
2.3 認(rèn)證技術(shù) 我們所說的認(rèn)證技術(shù)就是對信息進行認(rèn)證。主要從以下安全認(rèn)證技術(shù)和安全認(rèn)證機構(gòu)兩個方面進行認(rèn)證。安全認(rèn)證技術(shù)主要包括數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書等;而電子商務(wù)認(rèn)證中心主要是核實用戶的身份等,還一定程度上承擔(dān)網(wǎng)上安全交易的認(rèn)證服務(wù),并簽發(fā)數(shù)字證書的機構(gòu)。
2.4 協(xié)議安全認(rèn)證 目前電子商務(wù)的安全套接層SSL協(xié)議和安全電子交易SET協(xié)議兩種安全認(rèn)證協(xié)議被廣大用戶認(rèn)可并廣泛應(yīng)用。兩者相輔相成,但是服務(wù)的對象又不相同,SSL協(xié)議以銀行對企業(yè)或者企業(yè)對企業(yè)的電子商務(wù)為主要服務(wù)對象;SET主要服務(wù)應(yīng)用層,是用來保證互聯(lián)網(wǎng)上支付卡交易活動的安全性,主要還是以持卡消費和網(wǎng)上購物的電子商務(wù)為主。
3 電子商務(wù)中云技術(shù)應(yīng)用對信息安全的影響
隨著云安全技術(shù)在計算機應(yīng)用上的發(fā)展,很多關(guān)于云安全技術(shù)對信息安全的話題成為大家討論的熱點。所以從2007年開始,在全球普遍遭遇惡意軟件攻擊的壓力下,傳統(tǒng)的安全防御技術(shù)難以預(yù)防的時候 ,“云安全”技術(shù)逐漸代替?zhèn)鹘y(tǒng)防御技術(shù),得到發(fā)展。
云安全技術(shù)主要有兩個重要的特點,即是擁有強大的分布式運算能力和客戶端安全配置精簡化系統(tǒng),這也是提高自身發(fā)展趨勢的主要優(yōu)勢。該技術(shù)能夠大大提高企業(yè)用戶的信息安全性能,從而降級客戶端的維護量。而且云技術(shù)在一定程度上高于傳統(tǒng)防御威脅的評估能力,因此安全級別無疑不受客戶認(rèn)可。但是,云安全技術(shù)對電子商務(wù)安全產(chǎn)生也存在一定的影響,主要是:首先,就是“云安全”技術(shù)就技術(shù)而言,具有高安全防護能力,這也是無法改變的事實,因此安全級別具有顯著優(yōu)勢。其次,就是在實際應(yīng)用過程中,“云安全”技術(shù)有著非常強大的防護木馬、惡意程序攻擊的能力,能夠降低企業(yè)管理和維護成本等消耗費用等。
隨著計算機的迅速發(fā)展,用戶的需求也會細(xì)化,因此云安全技術(shù)也要更加完善才能滿足用戶應(yīng)用的需求。隨著網(wǎng)絡(luò)威脅的不斷升級,云安全技術(shù)也要隨之不斷發(fā)展,才能最終達到所有用戶的安全防護需求。
因此,雖然云計算既是連接互聯(lián)網(wǎng)上一些強大的包括存儲資源、計算資源、軟件資源、數(shù)據(jù)資源、管理資源等信息資源,通過自身的服務(wù)方式為廣大用戶所用。但是由于不對用戶進行集中控制,只按需付費導(dǎo)致用戶感覺不到關(guān)心,一定程度上會阻礙自身的發(fā)展。因此對電子商務(wù)的發(fā)展也會產(chǎn)生深刻的影響。
4 企業(yè)網(wǎng)絡(luò)安全檢測體系
網(wǎng)絡(luò)入侵檢測方式分為基于硬件和基于軟件兩種,不過在任務(wù)流程上二者是完全相反的。它們將網(wǎng)絡(luò)接口的形式設(shè)置為混雜形式,方便對全部網(wǎng)段的數(shù)據(jù)實施全面監(jiān)控,再做出剖析,從而將無害的攻擊數(shù)據(jù)包辨別出來,做出記錄,以便大家翻閱。
4.1 入侵檢測的體系構(gòu)造 網(wǎng)絡(luò)入侵檢測的體系構(gòu)造通常由三局部組成,辨別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內(nèi)的數(shù)據(jù)包停止監(jiān)視,找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器;Console的次要作用是擔(dān)任搜集處的信息,顯示出所受攻擊的信息,把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器;Manager的次要作用則是呼應(yīng)配置攻擊正告信息,控制臺所的命令也由Manager來執(zhí)行,再把所收回的攻擊正告發(fā)送至控制臺。
4.2 入侵檢測的任務(wù)形式 基于網(wǎng)絡(luò)的入侵檢測,要在每個網(wǎng)段中部署多個入侵檢測,依照網(wǎng)絡(luò)構(gòu)造的不同,其的銜接方式也各不相反。假如網(wǎng)段的銜接方式為總線式的集線器,則把與集線器中的某個端口相銜接即可;假如為替換式以太網(wǎng)替換機,由于替換機無法共享媒價,因而只采用一個對整個子網(wǎng)停止監(jiān)聽的方法是無法完成的。因而可以應(yīng)用替換機中心芯片中用于調(diào)試的端口中,將入侵檢測零碎與該端口相銜接。或許把它放在數(shù)據(jù)流的關(guān)鍵出入口,于是就可以獲取簡直全部的關(guān)鍵數(shù)據(jù)。
4.3 攻擊呼應(yīng)及晉級攻擊特征庫、自定義攻擊特征 假如入侵檢測零碎檢測出歹意攻擊信息,其呼應(yīng)方式有多種,例如發(fā)送電子郵件、記載日志、告訴管理員、查殺進程、切斷會話、告訴管理員、啟動觸發(fā)器開端執(zhí)行預(yù)設(shè)命令、取消用戶的賬號以及創(chuàng)立一個報告等等。晉級攻擊特征庫可以把攻擊特征庫文件經(jīng)過手動或許自動的方式由相關(guān)的站點中下載上去,再應(yīng)用控制臺將其實時添加至攻擊特征庫中。而網(wǎng)絡(luò)管理員可以依照單位的資源情況及其使用情況,以入侵檢測零碎特征庫為根底來自定義攻擊特征,從而對單位的特定資源與使用停止維護。
5 結(jié)束語
電子商務(wù)能夠安全運行,除了從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還需要改善電子商務(wù)立法,這樣才能規(guī)范發(fā)展中的電子商務(wù),解決現(xiàn)實中存在的各種問題,從而引導(dǎo)電子商務(wù)健康應(yīng)用,促使我國電子商務(wù)能夠快速發(fā)展。
參考文獻:
[1]肖滿梅,羅蘭娥.電子商務(wù)及其安全技術(shù)問題[J].湖南科技學(xué)院學(xué)報,2006,27.
[2]豐洪才,管華,陳珂.電子商務(wù)的關(guān)鍵技術(shù)及其安全性分析[J].武漢工業(yè)學(xué)院學(xué)報,2004,2.
[3]閻慧,王偉,寧宇鵬等編著.防火墻原理與技術(shù)[M].北京:機械工業(yè)出版杜,2004.
[4]韓曉鴻,張艷麗,魏紅君.探討電子商務(wù)信息系統(tǒng)安全與Bent函數(shù)[J].商場現(xiàn)代化,2007(19).
[5]蔣洪霞.對電子商務(wù)基本理論的探討[J].商場現(xiàn)代化,2009(04).
[6]王璐璐.關(guān)于電子商務(wù)實踐教學(xué)的探討[J].科技資訊,2010(31).
[7]陳萱.電子商務(wù)的交易成本分析[J].科技資訊,2007(36).
云安全原理與實踐范文第2篇
【關(guān)鍵詞】云計算安全關(guān)鍵技術(shù)
所謂的云計算這屬于一種商業(yè)計算模型,這也就是在大量計算機所組成的資源地上分布計算任務(wù),以便能夠?qū)⒏黜棏?yīng)用系統(tǒng)按照需求獲得信息服務(wù)、計算力以及存儲空間,從而實現(xiàn)發(fā)展網(wǎng)格計算、分布式計算以及并行計算。通常來說,云安全所包含的關(guān)鍵技術(shù)與風(fēng)險應(yīng)對策略主要應(yīng)該從以下三個方面進行詳細(xì)闡述:
首先是數(shù)據(jù)安全。一是數(shù)據(jù)傳輸安全。在云用戶或者企業(yè)借助于網(wǎng)絡(luò)將數(shù)據(jù)傳輸?shù)焦苍频倪^程當(dāng)中,黑客隨時都可以篡改與竊取數(shù)據(jù),嚴(yán)重威脅數(shù)據(jù)的真實性、保密性、可用性、完整性,這就給予云用戶造成嚴(yán)重的商業(yè)損失。而該階段所采取的保護策略就是加密傳輸數(shù)據(jù),在數(shù)據(jù)傳輸過程中使用安全傳輸協(xié)議;二是數(shù)據(jù)存儲安全。云用戶數(shù)據(jù)在對數(shù)據(jù)存儲的過程當(dāng)中,所存在的安全風(fēng)險由數(shù)據(jù)審計、災(zāi)難恢復(fù)、隔離、數(shù)據(jù)濫用以后即存儲位置等。為有效防范被云服務(wù)提供商、惡意鄰居租戶或者部分應(yīng)用濫用,那么采取的做法是在應(yīng)用IaaS加密靜止數(shù)據(jù),可是針對PaaS與SaaS這類的應(yīng)用過程當(dāng)中,由于不能加密數(shù)據(jù),密文數(shù)據(jù)對于搜索與索引的應(yīng)用造成妨礙,可是從目前的情況來看,尚未發(fā)明能夠用于商用的算法來對數(shù)據(jù)同態(tài)加密實現(xiàn),云用戶并且應(yīng)該把握對數(shù)據(jù)具置維持的基本原則,另外還應(yīng)該使用數(shù)據(jù)標(biāo)記,數(shù)據(jù)隔離在單租戶專用數(shù)據(jù)平臺當(dāng)中實現(xiàn),從而做到對數(shù)據(jù)非法訪問的防止,而災(zāi)難恢復(fù)實現(xiàn)則是使用數(shù)據(jù)多備份;三是數(shù)據(jù)殘留安全。所謂的數(shù)據(jù)殘留安全就是說數(shù)據(jù)在被以某種形式擦除之后殘留的物理表現(xiàn),黨擦除存儲介質(zhì)之后,存在著一定的可能借助于某些物理特性來重建數(shù)據(jù),數(shù)據(jù)殘留在云計算背景下,存在著一定的可能對敏感信息無意當(dāng)中流露,這就使得云服務(wù)提供商為做到有效保證數(shù)據(jù)完整清除,往往使用內(nèi)容發(fā)現(xiàn)、加密數(shù)據(jù)相關(guān)介質(zhì)銷毀、擦拭磁盤以及銷毀存儲介質(zhì)等方法與技術(shù)。
其次是應(yīng)用安全。一是終端客戶安全。云客戶端為對應(yīng)用安全進行保證,則應(yīng)該做到對各項防御功能開啟,并且對于IPS類型安全控件、反惡意軟件、個人防火墻以及防病毒軟件在云客戶端進行部署,并且為做到避免瀏覽器遭受攻擊,還應(yīng)該積極使用各種必要保護措施,從而做到端到端的安全在云環(huán)境當(dāng)中實現(xiàn),這就要讓云用戶通過對自動更新功能的使用,從而對于瀏覽器更新與打補丁等定期完成,而其中的企業(yè)客戶必須從制度上做出嚴(yán)格的規(guī)定連接云計算應(yīng)用的PC機就嚴(yán)格禁止安裝虛擬機,定期檢查PC機;二是SaaS應(yīng)用安全。在安全評估選擇SaaS提供商的過程當(dāng)中,應(yīng)該按照相關(guān)保密協(xié)議要求,在一定情況下存在著一定的必要聘請第三方安全廠商做好黑盒安全測試這樣的滲透測試,從而能夠做到對詳實安全信息的獲得,并且對于SaaS提供商所供的訪問控制與身份驗證功能,這屬于唯一性的安全控制措施在客戶管理信息風(fēng)險當(dāng)中,對于云特定訪問控制機制用戶應(yīng)該盡最大可能了解,通過采用必要步驟來對運載的數(shù)據(jù)進行保護;三是PaaS應(yīng)用安全。基于云基礎(chǔ)知識對用戶采購或者創(chuàng)建的應(yīng)用進行部署這屬于PssS云提供給用戶的能力,對于引擎在內(nèi)的平臺軟件與地層安全由PssS提供商負(fù)責(zé),當(dāng)如果有Web服務(wù)、組件以及第三方應(yīng)用在PssS應(yīng)用使用,而那些部署在PaaS平臺上面的應(yīng)用的安全則是由客戶負(fù)責(zé),云用戶部署的應(yīng)用安全還應(yīng)該得到PaaS應(yīng)用開發(fā)商的積極配合,開發(fā)人員必須對平臺被封裝成安全對象與Web服務(wù)的安全特性熟悉。
再次是虛擬化安全。從一方面來看是虛擬化軟件安全,這種軟件層在裸機上進行直接部署,這樣所能夠提供的能力是對虛擬服務(wù)器進行創(chuàng)建、運行以及銷毀。保持著可用性與完整性的虛擬化層這有著極其重要與關(guān)鍵的保持創(chuàng)建可用性與完整性的公有云;從另外一方面來看則是虛擬服務(wù)器安全,通常來說,在虛擬機軟件之上的虛擬服務(wù)器,這就是在虛擬服務(wù)器上面運用物理服務(wù)器的安全原理和實踐,并且要做到對虛擬服務(wù)器所具備的特點兼顧,所采取的措施對具備TPM安全模塊的物理服務(wù)器進行選擇,在對服務(wù)器進行構(gòu)建當(dāng)中,必須在所有的虛擬服務(wù)器分別分配出一個獨立的硬盤分區(qū),還應(yīng)該嚴(yán)密監(jiān)視虛擬服務(wù)器的運行狀態(tài),以便做到對各個虛擬器當(dāng)中的防火墻日志與系統(tǒng)日志進行實時監(jiān)控,從而能夠做到對所存在的安全隱患及時發(fā)現(xiàn),及時關(guān)閉不需要運行的虛擬機。
參考文獻
云安全原理與實踐范文第3篇
【關(guān)鍵詞】控制系統(tǒng);安全;防范對策
1 工業(yè)控制系統(tǒng)介紹
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS)是指由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件,共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED),以及確保各組件通信的接口技術(shù)。
目前工業(yè)控制系統(tǒng)廣泛的應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè),其中超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè),工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。
2 工業(yè)自動化控制系統(tǒng)信息安全定義及現(xiàn)狀
工業(yè)自動化控制系統(tǒng)信息安全就是對工業(yè)自動化控制系統(tǒng)及終端設(shè)備進行安全防護。根據(jù)工業(yè)自動化控制系統(tǒng)涉及的終端設(shè)備及系統(tǒng),普遍認(rèn)為信息安全包括:保護在工業(yè)自動化控制系統(tǒng)中廣泛使用的,如工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運行安全,確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞,為企業(yè)正常生產(chǎn)提供信息服務(wù)。
工業(yè)自動化控制系統(tǒng)信息安全中最為基礎(chǔ)的部分就是工業(yè)以太網(wǎng),所以工業(yè)以太網(wǎng)網(wǎng)絡(luò)首先得必須保證7*24*365天的可用性,必須能夠不間斷的可操作,能夠確保系統(tǒng)的可訪問性,數(shù)據(jù)能夠?qū)崟r進行傳輸,需要有完備的保護方案。
工業(yè)自動化控制系統(tǒng)信息安全的所帶來的風(fēng)險十分廣泛,大致的威脅級別可以分為:未授權(quán)訪問、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導(dǎo)致停產(chǎn)。
2.1 未授權(quán)訪問
未授權(quán)訪問是指未經(jīng)授權(quán)使用網(wǎng)絡(luò)或未授權(quán)訪問網(wǎng)絡(luò)資源、文件的一種行為。主要包括非法進入系統(tǒng)或網(wǎng)絡(luò)后進行操作的行為。
2.2 數(shù)據(jù)竊取
數(shù)據(jù)竊取是通過未授權(quán)的訪問、網(wǎng)絡(luò)監(jiān)聽等非法手段獲取到有價值的信息或數(shù)據(jù)。
2.3 數(shù)據(jù)篡改
數(shù)據(jù)篡改是對計算機網(wǎng)絡(luò)數(shù)據(jù)進行修改、增加或刪除,造成數(shù)據(jù)破壞。
2.4 破壞工廠導(dǎo)致停產(chǎn)
通過病毒或其他攻擊手段對包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進行攻擊,導(dǎo)致其無法正常工作從而影響企業(yè)的正常生產(chǎn)。
3 建立工業(yè)控制系統(tǒng)安全的防范對策
3.1 基于終端的工業(yè)系統(tǒng)安全防御體系
工業(yè)網(wǎng)絡(luò)中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò),考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同,對其防御的策略和保障措施應(yīng)該按照等級進行劃分,實施分層次的縱深防御體系。按照業(yè)務(wù)職能和安全需求的不同,工業(yè)網(wǎng)絡(luò)可劃分為:滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域;滿足在線業(yè)務(wù)需要DMZ 區(qū)域;滿足ICS 管理與監(jiān)控需要的管理區(qū)域;滿足自動化作業(yè)需要的控制區(qū)域。
3.2 辦公網(wǎng)絡(luò)終端的安全防御
辦公網(wǎng)絡(luò)相對于工業(yè)控制網(wǎng)絡(luò)是開放的,其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性,以及基于終端使用者的角色實施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡,實施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括:木馬等病毒威脅系統(tǒng)正常運行惡意軟件防御能力;基于白名單的惡意行為發(fā)現(xiàn)與檢測能力;終端應(yīng)用控制與審計能力;基于角色的訪問控制能力;系統(tǒng)漏洞的檢測與修復(fù)能力;基于系統(tǒng)異常的恢復(fù)能力;外設(shè)的管理與控制能力;基于終端行為與事件的審計能力;終端安全的應(yīng)急響應(yīng)能力。
3.3 工業(yè)控制網(wǎng)絡(luò)終端的安全防御
工業(yè)控制網(wǎng)絡(luò)具有明顯的獨有特性,其安全防御的核心是確保控制系統(tǒng)與監(jiān)控系統(tǒng)的可用性,以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內(nèi)部自動化控制組件間的訪問控制策略。同時需要確保控制系統(tǒng)在發(fā)生異常或安全事件時,能夠在不影響系統(tǒng)可用性的情況下,幫助管理員快速定位安全故障點。
同時,在確保控制系統(tǒng)可用性的前提下,工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個方面:基于行業(yè)最佳實踐標(biāo)準(zhǔn)的合規(guī)保證能力;基于白名單策略的控制終端惡意軟件防御能力;基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力;基于ICS 協(xié)議的內(nèi)容監(jiān)測能力;基于控制系統(tǒng)的漏洞及威脅防御能力;基于可用性的最小威脅容忍模型建設(shè)能力;基于事件與行為的審計能力;基于可用性的系統(tǒng)補丁修復(fù)能力;終端安全的應(yīng)急響應(yīng)能力。
3.4 工業(yè)網(wǎng)絡(luò)終端安全管控平臺建設(shè)
充分了解控制終端與業(yè)務(wù)終端的安全能力建設(shè)規(guī)范與功能,是構(gòu)建高性能安全事件審計與管理運維平臺模型的前提,也是實現(xiàn)工業(yè)網(wǎng)絡(luò)中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預(yù)警和安全響應(yīng)的基礎(chǔ)平臺。安全管控平臺不僅是實施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心,基于ICS 安全威脅的知識庫仿真模塊,更可實時對檢測到的異常或未授權(quán)訪問進行核查評估,并將風(fēng)險通過短信、郵件等方式對管理員告警。
為確保安管平臺的可用性和時效性,可基于云計算與虛擬化技術(shù)對管理平臺進行建設(shè),目前較成熟的私有云安全技術(shù)、虛擬終端管理技術(shù)、數(shù)據(jù)災(zāi)備技術(shù),都可為ICS 系統(tǒng)統(tǒng)一管理提供良性的技術(shù)支撐。在客戶端系統(tǒng)資源優(yōu)化方面,先進的私有云平臺可將信息終端繁重的功能負(fù)載遷移到云端執(zhí)行,為系統(tǒng)的關(guān)鍵應(yīng)用提供寶貴的計算資源,實現(xiàn)工業(yè)系統(tǒng)調(diào)度與計算資源的最大利用。
4 結(jié)語
工業(yè)自動化控制系統(tǒng)本身的動態(tài)演化中的安全性是一個動態(tài)的過程和設(shè)備的變化,系統(tǒng)升級,將導(dǎo)致工業(yè)自動化、控制系統(tǒng)以及各種安全攻擊的安全威脅,技術(shù)復(fù)雜,技能也不斷發(fā)展,預(yù)防難度也越來越大,因此不能達到100%信息安全,需要繼續(xù)實施的各個階段,工業(yè)自動化控制系統(tǒng)的生命周期,持續(xù)改進。
參考文獻:
[1]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安電子科技大學(xué)出版社,2003.
云安全原理與實踐范文第4篇
【 關(guān)鍵詞 】 移動互聯(lián)網(wǎng);惡意軟件;樣本自動化分析
1 引言
我國移動互聯(lián)網(wǎng)正處在快速發(fā)展的歷史機遇中,手機應(yīng)用軟件(APP)層出不窮、繁榮發(fā)展。但由于安卓系統(tǒng)的開源和開放性,手機木馬、手機病毒等各類惡意APP也開始出現(xiàn)并迅速增粘,安卓平臺的安全形勢越來越不容樂觀。
根據(jù)360安全中心的《2012年中國手機安全狀況報告》顯示,2012年360互聯(lián)網(wǎng)安全中心新增手機惡意軟件樣本174977款,同比2011年增長1907%,感染人次71664334人次,同比2011年增長160%;其中,Android平臺以新增樣本123681款,占全部新增樣本數(shù)量的71%,感染量達51746864人次,占惡意軟件感染總次數(shù)的78%,成為手機惡意軟件的主要感染平臺。2012年12月,其更以單月新增30809款達到歷史新高。
惡意軟件導(dǎo)致的移動終端個人信息泄露問題日益嚴(yán)峻,相關(guān)負(fù)面報道的不斷出現(xiàn),例如2011年12月,一款名為CarrierIQ(簡稱CIQ)的內(nèi)核級間諜軟件被曝光,該軟件會暗中收集用戶隱私信息,甚至每按下一次鍵盤都會被秘密地記錄在案,并將手機內(nèi)容上傳至網(wǎng)絡(luò),讓手機用戶對隱私泄露產(chǎn)生恐慌。
隨著個人信息泄露問題日益嚴(yán)峻,智能手機終端個人信息保護日益受到人們關(guān)注,迫切需求制定移動互聯(lián)網(wǎng)軟件安全標(biāo)準(zhǔn),研發(fā)移動互聯(lián)網(wǎng)智能手機惡意軟件監(jiān)測、分析和查殺的相關(guān)技術(shù)和產(chǎn)品,保護用戶個人信息安全,為用戶提供安全可控的移動互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)。
2 手機惡意軟件自動分析檢測技術(shù)發(fā)展
對手機惡意軟件的樣本進行分析和鑒定,需要有一套自動化的分析和檢測系統(tǒng)。目前,對手機惡意軟件樣本的自動化分析技術(shù)主要包括兩類。
(1)靜態(tài)掃描技術(shù):包括兩種,一種是傳統(tǒng)的特征碼掃描匹配技術(shù),另一種是基于數(shù)據(jù)挖掘的樣本識別與分析技術(shù),例如項目承擔(dān)單位實現(xiàn)了基于機器學(xué)習(xí)的樣本人工智能分析技術(shù),亦即:在建立大量已知黑白樣本的訓(xùn)練集基礎(chǔ)之上,采用人工智能機器學(xué)習(xí)算法,對程序文件的靜態(tài)、行為等特征進行抽取,建立一定的機器學(xué)習(xí)模型,經(jīng)過對新樣本的不斷訓(xùn)練,訓(xùn)練模型將在檢出率和誤報率之間達到一個較好的平衡,從而實現(xiàn)對未知惡意軟件的智能啟發(fā)式識別能力。
(2)動態(tài)行為分析技術(shù):即在一個特定的模擬環(huán)境中,監(jiān)控應(yīng)用軟件的行為,建立惡意軟件行為的動態(tài)模型,形成一系列惡意軟件行為的規(guī)則庫,通過實時監(jiān)控識別未知的可疑惡意軟件。
3 360移動互聯(lián)網(wǎng)惡意軟件檢測分析平臺
3.1 系統(tǒng)總體架構(gòu)
360移動互聯(lián)網(wǎng)惡意軟件自動化分析系統(tǒng)的總體設(shè)計方案如圖1所示。
3.1.1終端惡意軟件查殺
惡意軟件查殺的技術(shù)路線主要從客戶端和云端實現(xiàn)惡意軟件的監(jiān)控與防御――在手機客戶端實現(xiàn)主動防御功能,在云端實現(xiàn)聯(lián)網(wǎng)云查殺的接口服務(wù)。其中,主動防御是對系統(tǒng)事件進行實時監(jiān)控,即當(dāng)發(fā)現(xiàn)手機客戶端有異常行為,如未經(jīng)用戶同意即發(fā)送付費短信,或者私自聯(lián)網(wǎng)時,可以在第一時間進行攔截,并且明確提示用戶(由用戶決定是否繼續(xù)此行為以及對該軟件的后續(xù)處理)。
對于普通用戶來說,由于軟件信息不夠透明,用戶可能仍無法定性軟件是否真的為惡意,因此僅有主動防御對于根除惡意軟件是不夠的。采用云安全系統(tǒng)設(shè)計,用戶可以通過與服務(wù)器的交互進行“云查殺”――由手機客戶端提取該軟件的特征碼信息,上傳至服務(wù)端進行即時校驗,然后返回該軟件的具體信息向用戶展現(xiàn),幫助用戶做出準(zhǔn)確判斷。
3.1.2服務(wù)器端手機惡意軟件樣本自動化分析檢測
通過對手機應(yīng)用軟件的使用特點及其面臨的安全風(fēng)險進行分析,選取和使用相應(yīng)的自動化分析技術(shù)和軟件權(quán)限檢測技術(shù)。從安裝與卸載、程序訪問權(quán)限、數(shù)據(jù)安全性、通訊安全性以及人機接口安全性等方面的技術(shù)對手機應(yīng)用軟件的安全性進行檢測,防止非授權(quán)訪問、異常執(zhí)行等。
主要包括三部分技術(shù)實現(xiàn):靜態(tài)的智能終端惡意代碼識別技術(shù);智能終端惡意代碼樣本收集和特征提取技術(shù);基于動態(tài)分析的權(quán)限識別技術(shù)的實現(xiàn)。
3.2 云端手機惡意軟件自動化分析檢測技術(shù)
360在云端實現(xiàn)軟件安全性分析與權(quán)限檢測的技術(shù)實現(xiàn)方法如圖2所示。
(1) 靜態(tài)的智能終端惡意代碼識別技術(shù)
惡意代碼的識別技術(shù)主要分為兩類:基于靜態(tài)特征的惡意代碼識別技術(shù)、基于動態(tài)分析的惡意代碼識別技術(shù),本工具研究中將采取靜態(tài)分析和動態(tài)分析結(jié)合的技術(shù)路線。
基于靜態(tài)特征的惡意代碼識別技術(shù)基于樣本分析軟件的生產(chǎn)者、軟件唯一ID、簽名證書信息、版本、安裝包文件特征(每個文件大小、數(shù)量、時間)、可執(zhí)行文件特征、權(quán)限等靜態(tài)特征信息,對可疑程序進行分析和特征匹配,從而判斷是否為惡意代碼。
通過反編譯軟件包的源代碼并對源代碼進行掃描,找出具有惡意代碼特征的片段,并對其進行分析。關(guān)鍵分析涉及吸費行為、個人隱私、聯(lián)網(wǎng)行為等可能出現(xiàn)安全問題的行為,如圖3所示。
(2) 基于動態(tài)行為監(jiān)控分析的識別技術(shù)
主要有兩種方法。一種是建立系統(tǒng)底層檢測模塊,使其能夠檢測、攔截、記錄惡意使用某些敏感權(quán)限的行為。另一種方法是使用鉤子技術(shù)(Hook)來檢測對敏感權(quán)限相關(guān)API的調(diào)用行為。
建立系統(tǒng)底層模塊是指對現(xiàn)有的系統(tǒng)源代碼進行改造,加入安全檢測模塊。檢測工具可以對軟件運行過程中的發(fā)送扣費信息、非法鏈接、非法內(nèi)容、盜取用戶隱私數(shù)據(jù)的行為進行檢測、記錄和處理。其流程如圖4所示。
使用Hook技術(shù)對調(diào)用系統(tǒng)敏感API的行為進行檢測。應(yīng)用程序請求系統(tǒng)服務(wù)時,首先調(diào)用智能終端上的系統(tǒng)函數(shù)庫,然后由系統(tǒng)函數(shù)庫對智能終端設(shè)備內(nèi)核API進行系統(tǒng)調(diào)用。在進行用戶級調(diào)用和系統(tǒng)調(diào)用時設(shè)置監(jiān)聽攔截器,對應(yīng)用程序調(diào)用信息進行監(jiān)聽、收集,將這些信息傳遞給檢測引擎,檢測引擎提取軟件行為庫中的軟件行為模型與監(jiān)聽攔截的系統(tǒng)調(diào)用信息進行比對,將比對信息傳遞給分析引擎,分析引擎對這些信息進行分析,得出軟件的行為特征。其流程如圖5所示。
4 基于海量用戶群體智慧的惡意行為分析
手機惡意軟件的自動化檢測技術(shù)仍處于其發(fā)展初期階段。由于手機應(yīng)用的特點,應(yīng)用的部分敏感行為需要結(jié)合用戶實際操作場景才能做出準(zhǔn)確判斷,這給完全自動化的檢測帶來的障礙。
我們正在嘗試在360手機衛(wèi)士軟件中引入用戶舉報反饋機制,由海量用戶對特定應(yīng)用軟件進行涉及用戶隱私信息的敏感操作進行判定,并將判定結(jié)果及上下文信息回傳至云端,在云端形成海量用戶對應(yīng)用軟件行為的判定數(shù)據(jù),并進一步通過數(shù)據(jù)挖掘的方法,實現(xiàn)對軟件惡意行為的分析。其基本原理如圖6所示。
360手機終端主動防御模塊,對用戶每款軟件的行為判決,回傳到云端。云端有了億萬用戶對各款軟件的投票之后,能夠根據(jù)真實用戶對軟件行為的評判,利用群體智慧,完成軟件的惡意行為分析。
基于大數(shù)據(jù)的云計算,包括三個核心模塊。
1)MapReduce計算框架。云端可以靈活地選取不同時間窗內(nèi)的用戶評判,利用分布式計算,快速得出結(jié)果,并做交叉驗證。
2)智能用戶分類算法。采用聚類/分類算法,根據(jù)用戶的安裝軟件情況,以及對軟件行為的判決,將用戶劃分為若干類,得到分類用戶的特征。在時間軸內(nèi)迭代計算,不斷調(diào)優(yōu)用戶的特征參數(shù)。
3)采用多種維度的計算方法,如二分法、參與度/覆蓋度排名、90%置信區(qū)間等算法,結(jié)合用戶特征參數(shù),綜合計算軟件的惡意行為的可信度。
5 結(jié)束語
隨著移動互聯(lián)網(wǎng)惡意軟件的爆發(fā)式增長,惡意軟件自動化分析技術(shù)的需求日益強烈。在傳統(tǒng)的PC互聯(lián)網(wǎng)安全領(lǐng)域的靜態(tài)分析和基于行為監(jiān)控的動態(tài)分析方法,依然適用于手機惡意軟件的自動化分析。與此同時,針對手機應(yīng)用的特性,對于軟件惡意行為的判定依賴于用戶操作場景,給自動化分析帶來障礙。
在此方面,奇虎360公司開始嘗試依據(jù)海量終端用戶對特定敏感行為的舉報,通過數(shù)據(jù)挖掘的方法提升樣本自動化分析的能力。
基金項目:
本文研究工作得到“新一代寬帶無線移動通信網(wǎng)”國家科技重大專項課題《移動應(yīng)用軟件的認(rèn)證管理軟件開發(fā)》(2012ZX03002029)支持。
作者簡介:
卞松山(1981-),男,畢業(yè)于北京工業(yè)大學(xué),獲得通信工程專業(yè)學(xué)士學(xué)位,現(xiàn)任北京奇虎科技有限公司核心安全團隊技術(shù)經(jīng)理,主要從事手機應(yīng)用軟件的安全分析檢測的產(chǎn)品技術(shù)研發(fā)工作。
云安全原理與實踐范文第5篇
關(guān)鍵詞: 知識工程; 知識發(fā)現(xiàn); 知識管理; 應(yīng)用
中圖分類號:TP391 文獻標(biāo)志碼:A 文章編號:1006-8228(2013)10-10-03
0 引言
在1977年第五屆國際人工智能聯(lián)合會議上,美國斯坦福大學(xué)計算機系教授Feigenbaum作了關(guān)于“人工智能的藝術(shù)”(The Art of Artificial Intelligence)的講演,提出“知識工程”這一名稱,并指出“知識工程是應(yīng)用人工智能的原理與方法,對那些需要專家知識才能解決的應(yīng)用難題提供求解的手段。恰當(dāng)?shù)剡\用專家知識的獲取、表達和推理過程的構(gòu)成與解釋,是設(shè)計基于知識的系統(tǒng)的重要技術(shù)問題”[1]。
知識工程的發(fā)展大體經(jīng)歷了三個時期。
⑴ 實驗性系統(tǒng)時期,從1965年至1974年。
1965年Feigenbaum教授與其他科學(xué)家合作,研制出DENDRAL專家系統(tǒng)。這是一種推斷分子結(jié)構(gòu)的計算機程序,該系統(tǒng)貯存有非常豐富的化學(xué)知識,它所解決問題的能力達到專家水平,甚至在某些方面超過同行專家的能力,其中包括它的設(shè)計者。DENDRAL系統(tǒng)標(biāo)志著“專家系統(tǒng)”的誕生。
⑵ MYCIN時期,從1975年至1980年。
20世紀(jì)70年代中期MYCIN專家系統(tǒng)研制成功,這是一種用醫(yī)學(xué)診斷與治療感染性疾病的計算機程序“專家系統(tǒng)”。MYCIN專家系統(tǒng)是規(guī)范性計算機專家系統(tǒng)的代表,許多其他專家系統(tǒng)都是在MYCIN專家系統(tǒng)的基礎(chǔ)上研制而成的。MYCIN系統(tǒng)不但具有較高的性能,而且具有解釋功能和知識獲取功能,可以用英語與用戶對話,回答用戶提出的問題,還可以在專家指導(dǎo)下學(xué)習(xí)醫(yī)療知識,該系統(tǒng)還使用了知識庫的概念和不精確推理技術(shù)。MYCIN系統(tǒng)對計算機專家系統(tǒng)的理論和實踐,都有較大的貢獻。
⑶ 知識工程的“產(chǎn)品”在產(chǎn)業(yè)部門開始應(yīng)用的時期,時間從1980年至今。
知識工程的研究,目前在美國開展得較為活躍和深入,特別是在斯坦福大學(xué)。
人工智能的研究表明,專家之所以成為專家,主要在于他們擁有大量的專門知識,特別是長時期從實踐中總結(jié)和積累的經(jīng)驗技能知識。從知識工程的發(fā)展歷史可以看出,知識工程是伴隨“專家系統(tǒng)”的研究而產(chǎn)生的。實際上,知識工程的焦點就是知識。知識工程領(lǐng)域的主要研究方向包含知識獲取、知識表示和推理方法等,其研究目標(biāo)是挖掘和抽取人類知識,用一定的形式表現(xiàn)這些知識,使之成為計算機可操作的對象,從而使計算機具有人類的一定智能。
目前,知識工程已廣泛應(yīng)用于數(shù)據(jù)處理、診斷、監(jiān)視、預(yù)測、規(guī)劃、設(shè)計等方面,并取得了良好的效果。本文將綜述近年來國內(nèi)外知識工程的應(yīng)用情況,并展望其前景。
1 基于知識發(fā)現(xiàn)的應(yīng)用
知識發(fā)現(xiàn)(Knowledge Discovery, KD)是1989年提出的新興、交叉、邊緣學(xué)科領(lǐng)域。
知識發(fā)現(xiàn)的目的是向使用者屏蔽原始數(shù)據(jù)的繁瑣細(xì)節(jié),從原始數(shù)據(jù)中提煉出有意義的、簡潔的知識,直接向使用者報告。知識發(fā)現(xiàn)是從數(shù)據(jù)集中識別出有效的、新穎的、潛在有用的,以及最終可理解的模式的非平凡過程。知識發(fā)現(xiàn)將信息變?yōu)橹R,從數(shù)據(jù)資源中發(fā)現(xiàn)知識寶藏[2]。
知識發(fā)現(xiàn)的潛在應(yīng)用十分廣闊。從工業(yè)到農(nóng)業(yè),從天文到地理,從預(yù)測預(yù)報到?jīng)Q策支持,KD都發(fā)揮著越來越重要的作用。許多計算機軟件開發(fā)商都已經(jīng)推出了其數(shù)據(jù)挖掘產(chǎn)品,如IBM、Microsoft、SPSS、SGI、SLPInfoware、SAS(Object Business)等。它們被廣泛應(yīng)用于商業(yè)、農(nóng)業(yè)、醫(yī)學(xué)生物、金融保險、通訊、國防等多個方面。
基于知識發(fā)現(xiàn)的專家系統(tǒng)(ESKD)成功運行于農(nóng)業(yè)、鋁電解;基于知識發(fā)現(xiàn)的智能決策支持系統(tǒng)(IDSSKD)成功運行于國際電子商務(wù)中心(北京)的外貿(mào)加工業(yè)務(wù)中。
我國著名知識工程專家楊炳儒教授構(gòu)建了由理論基礎(chǔ)、4條機制(理論支柱)、8個新過程模型、17種新技術(shù)方法組成的,多層遞階、綜合集成的,基于內(nèi)在認(rèn)知機理的知識發(fā)現(xiàn)理論體系KDTICM。
KDTICM及其衍生的新型智能系統(tǒng)成功地應(yīng)用于蛋白質(zhì)結(jié)構(gòu)預(yù)測、農(nóng)業(yè)、現(xiàn)代遠(yuǎn)程教育網(wǎng)、氣象、國際商務(wù)、鋁電解生產(chǎn)、稅務(wù)、數(shù)字資源整合等八個領(lǐng)域,有效地驗證了KDTICM,并解決了一批領(lǐng)域中的典型問題。尤其體現(xiàn)在解決生物信息學(xué)領(lǐng)域國際性難題的重要核心作用——取得蛋白質(zhì)2級結(jié)構(gòu)預(yù)測精度的國際領(lǐng)先地位[3]。
2 知識工程在工業(yè)工程中的典型應(yīng)用
2.1 在工業(yè)設(shè)計中的應(yīng)用
工業(yè)企業(yè)隨著知識積累形式的“老齡化”和客戶需求的“年輕化”,產(chǎn)品的設(shè)計要求和種類都變得越來越復(fù)雜及繁多。以往單純依靠CAD系統(tǒng)和知識數(shù)據(jù)庫之問文件形式的交互方式,使得CAD系統(tǒng)和知識數(shù)據(jù)庫之間出現(xiàn)了“斷層”,無法滿足工程師知識積累運用的合理傳遞和管理要求。為此,嚴(yán)雯琦設(shè)計了KWE系統(tǒng)[4]。
KWE在工業(yè)設(shè)計中起到了知識系統(tǒng)集線器的作用,它相當(dāng)于一個交互平臺,為其他產(chǎn)品設(shè)計活動提供了實時數(shù)據(jù)調(diào)度。通過該系統(tǒng),能進行產(chǎn)品整體模型的搜集和再生,標(biāo)準(zhǔn)件的選擇,質(zhì)量標(biāo)準(zhǔn)的分析校驗,也能提品制造工藝流程的模擬,也為工程師提供信息共享的平臺[5]。
2.2 在機械產(chǎn)品參數(shù)化設(shè)計中的應(yīng)用
當(dāng)今機械工程領(lǐng)域,CAD/CAM技術(shù)飛速發(fā)展,伴隨著產(chǎn)品研發(fā)體系的不斷完善,知識的延續(xù)與再利用作為一種全新的設(shè)計理念應(yīng)運而生。知識工程思想在設(shè)計軟件中得到了完美的體現(xiàn)。CATIA V5的知識顧問模塊能使設(shè)計人員在可視化的環(huán)境下,高速高效地進行三維零件的特征參數(shù)化設(shè)計造型,完成的參數(shù)化設(shè)計造型能根據(jù)按人機交互方式輸入的設(shè)計變量來控制特征的修改。
學(xué)者張學(xué)忱等結(jié)合CATIAV5平臺的知識顧問模塊,運用知識工程原理,創(chuàng)建產(chǎn)品參數(shù)化知識庫,方便、快速地完成產(chǎn)品的三維參數(shù)化造型設(shè)計,并通過知識功能對零件進行參數(shù)控制和特征狀態(tài)的檢查[5]。該方法為標(biāo)準(zhǔn)件庫的創(chuàng)建提供了便捷的途徑,加快了企業(yè)的產(chǎn)品系列化的設(shè)計進程。作者通過實例詳細(xì)闡述了基于知識工程的參數(shù)化設(shè)計的方法,靈活運用了CATIA的知識工程模塊,顯示了其強大的設(shè)計功能,實現(xiàn)知識驅(qū)動下的產(chǎn)品參數(shù)化造型設(shè)計。這種人機交互共同設(shè)計的智能化CAD手段已成為當(dāng)今機械設(shè)計領(lǐng)域的熱門課題,知識工程在機械產(chǎn)品參數(shù)化構(gòu)型設(shè)計過程中將得到廣泛應(yīng)用。
2.3 在工藝決策方面的應(yīng)用
工藝過程設(shè)計是產(chǎn)品設(shè)計和制造的橋梁,包括加工方法選擇、制造資源選擇、加工活動排序等多個決策環(huán)節(jié)。現(xiàn)代集成制造背景下的工藝決策,處于產(chǎn)品制造數(shù)據(jù)、信息和知識集成的大環(huán)境中,所涉及的信息越來越復(fù)雜,知識變得無處不在,而孤立和面向數(shù)據(jù)的工藝決策方法,顯得越來越難以適應(yīng)這種復(fù)雜應(yīng)用環(huán)境。不少研究采用了諸如單一的產(chǎn)生式規(guī)則、遺傳算法、人工神經(jīng)網(wǎng)絡(luò)等方法研究工藝決策的解決方法,但這類研究中往往較少涉及工藝決策對象、工藝決策過程和工藝決策知識之間的關(guān)聯(lián)和方便地對它們進行擴展的機制。北京航空航天大學(xué)研究了集成制造信息建模基礎(chǔ)上的工藝決策方法,但尚缺少知識角度的建模研究、統(tǒng)一的決策機制和對模型的充分利用。工藝過程設(shè)計中決策問題求解的本質(zhì)在于不斷改變對象即工藝過程的狀態(tài)以使其滿足后續(xù)指導(dǎo)加工的要求,知識是對這種變化的抽象描述,包括變化的過程和變化的動力,問題求解中對象、規(guī)則是與過程密不可分的。
知識工程,其知識表達、使用和獲取三個方面的理論方法,可以充分支持工藝決策問題對于問題描述、知識驅(qū)動和智能處理的要求,利用知識工程解決工藝決策問題將是一個突破的新方向。為此,學(xué)者沈偉等提出了基于知識工程的工藝決策方法[6]。
3 知識工程在教育領(lǐng)域的應(yīng)用
目前,很多高校的教育技術(shù)學(xué)專業(yè)都已經(jīng)將知識工程引入并作為一個重要的研究方向,其目的是借助于知識工程的方法和技術(shù),改善教學(xué),使教育更加智能化。隨著對知識工程的研究越來越引起人們的關(guān)注,知識工程早已超出了最開始被定義的范疇,它是“一門研究人類智能及人類知識的機理以及如何用機器模擬人的智能并促進人類知識發(fā)展的學(xué)科”。教育知識管理是教育技術(shù)的組成部分,其實質(zhì)是研究人類獲取、傳播、共享、利用和創(chuàng)造新知識的活動規(guī)律,管理有關(guān)知識的各種連續(xù)過程,以促進經(jīng)濟和社會發(fā)展的理論和實踐。首先,知識工程的知識處理功能,有利于評價者獲取被評價事物的信息和學(xué)習(xí)者獲得所需知識。其次,知識工程的專家系統(tǒng)也可以為評價者或?qū)W習(xí)者提供幫助[7]。
知識工程與知識科學(xué)的發(fā)展極大地推動了教育技術(shù)學(xué)的研究和發(fā)展,已經(jīng)有很多知識工程的方法與技術(shù)被應(yīng)用到教育中。如學(xué)者那一沙等提出了基于建構(gòu)主義的學(xué)習(xí)者知識工程模型[8]。作者指出,越來越多的學(xué)者關(guān)注學(xué)習(xí)過程的研究,認(rèn)為學(xué)習(xí)過程是一個復(fù)雜的知識轉(zhuǎn)移的過程,教師在傳授知識時,將自己的顯性知識和隱性知識轉(zhuǎn)移給學(xué)習(xí)者;同時,學(xué)習(xí)者自身也有一個顯性知識向隱性知識轉(zhuǎn)化的過程。與此同時,建構(gòu)主義教學(xué)方式越來越得到人們的普遍認(rèn)可,這一全新的教育理念結(jié)合知識工程,將為教育的研究發(fā)展提供有利的技術(shù)支持。
4 知識工程的新興應(yīng)用領(lǐng)域
4.1 在電子政務(wù)中的應(yīng)用
基于知識工程的電子政務(wù)系統(tǒng)是指把知識工程理論與電子政務(wù)理論相結(jié)合,以知識工程思想來實現(xiàn)涉及多個知識領(lǐng)域和多層推理的小城鎮(zhèn)電子政務(wù)系統(tǒng)。這里,知識工程實現(xiàn)了電子政務(wù)系統(tǒng)的知識獲取以及推理功能,使得電子政務(wù)系統(tǒng)進行分工合作,共同完成更高層次的推理,提高系統(tǒng)的效率,實現(xiàn)了高度的實用性和易用性。
學(xué)者張鳳霞等曾針對電子政務(wù)建設(shè)面臨的業(yè)務(wù)差異顯著、分布范圍廣、辦公模式缺乏智能性和分析能力等問題,研究了基于知識工程的小城鎮(zhèn)電子政務(wù)系統(tǒng)模型。智能型電子政務(wù)集成了軟構(gòu)件、知識工程、多Agent以及多決策支持系統(tǒng)等技術(shù),主要實現(xiàn)三個方面的目標(biāo):①提供可復(fù)用性構(gòu)件和高效資源整合的基層政務(wù)信息服務(wù)平臺;②基于知識工程的多Agent協(xié)作辦公模式;③面向基層電子政務(wù)的決策支持服務(wù)[9]。
4.2 在電子商務(wù)中的應(yīng)用
電子商務(wù)模式是管理科學(xué)學(xué)術(shù)界和企業(yè)咨詢界的一個熱點。商務(wù)模式創(chuàng)新最大限度地為挖掘技術(shù)創(chuàng)新的商業(yè)潛力提供了轉(zhuǎn)化機制和橋梁,已成為各國有企業(yè)競爭的一個重要的領(lǐng)域。
電子商務(wù)具有很好的透明度模式,電子商務(wù)的模型是可以用軟件工程的方法形式化表示出來。如OBELIX項目以軟件工程的方法描述商務(wù)需求。利用這一點,劉祖斌提出了基于知識工程電子商務(wù)模式創(chuàng)新研究,其核心是對虛擬價值鏈本體描述和挖掘[10]。面向電子商務(wù)模式創(chuàng)新的知識工程架構(gòu)細(xì)分為模式本身本體描述、模式相關(guān)IT技術(shù)發(fā)展和商務(wù)背景等知識環(huán)境下的本體描述、模式演化路徑本體描述三個層次。
4.3 在虛擬企業(yè)中的應(yīng)用
虛擬企業(yè)是一種新型的知識創(chuàng)新組織,這種組織必須建立完善的知識創(chuàng)新專家系統(tǒng),以對知識的獲取、識別、共享、集成進行有效地管理。
學(xué)者劉程等分析了虛擬組織知識共享特點,并從技術(shù)層面解決了虛擬組織的知識共享問題。利用本體技術(shù)解決虛擬組織間的語義異構(gòu)和結(jié)構(gòu)異構(gòu),并在此基礎(chǔ)上構(gòu)建了基于本體的知識共享模型[11]。文獻[12]探討了基于本體實現(xiàn)虛擬組織知識共享的基本原理。
4.4 本體與知識共享
知識共享是知識工程中的技術(shù)之一,有利于產(chǎn)生創(chuàng)新性的知識。本體論闡明了區(qū)分不同類型物體的標(biāo)準(zhǔn),也闡明了這些不同類型物體的聯(lián)系。簡言之,在知識共享范疇中,本體論就是一個概念化的規(guī)范,它的作用是使知識可以共享和重用。
本體論包含著描述一個領(lǐng)域的概念、公理、聯(lián)系,而高級本體論則僅限于原子的(meta)、普通的(generic)、抽象的(abstract)和哲學(xué)的(philosophical)概念,高級本體論比本體論普遍,它能用于領(lǐng)域中一個很廣的范圍。這些就是IEEE制定的高級本體論標(biāo)準(zhǔn)(SUO,Standard Upper Ontology)。
世界范圍的本體論項目有兩種主要的形式:一種是面向基于知識庫的(Knowledge base oriented),CYC本體論就是這類,同屬這類的還有斯坦福大學(xué)知識系統(tǒng)實驗室的“知識共享成果”(Knowledge Sharing Effort);另一種是基于延伸的詞典/字典(Extended thesaurus/dictionary based),傾向于機器翻譯的,如普林斯頓大學(xué)米勒研究的WordNet,這是一個在線的詞匯參考系統(tǒng),日本電子詞典研究機構(gòu)的EDR電子詞典,由新墨西哥州立大學(xué)、南加州大學(xué)和卡內(nèi)基梅隆大學(xué)共同研究開發(fā)的Pangloss系統(tǒng)等[13]。
由于本體是高度共享的概念模型,以形式化的方法進行表示,并且能被計算機系統(tǒng)直接處理,使得它在異構(gòu)系統(tǒng)之間的互操作方面得到廣泛的應(yīng)用。目前,基于本體的跨組織知識共享系統(tǒng)的解決思路,多采用領(lǐng)域為各個組織分別建立不同的本地本體系統(tǒng)。領(lǐng)域標(biāo)準(zhǔn)定義的本體作為本地本體系統(tǒng)的擴展,提供領(lǐng)域共享詞匯和統(tǒng)一視圖,解決不同本地本體系統(tǒng)之間的語義異構(gòu)性,同時滿足不同本地本體系統(tǒng)之間的相互查詢需求[14]。
5 結(jié)束語
知識工程是一個浩大的人工智能系統(tǒng)工程,其中,知識的獲取、知識的表示和知識的運用是它最為重要的三大部分。本文從知識發(fā)現(xiàn)、在工業(yè)工程方面的應(yīng)用、在教育領(lǐng)域的應(yīng)用、新興應(yīng)用等視角對知識工程的應(yīng)用進行了綜述。
隨著IT技術(shù)的進一步發(fā)展和應(yīng)用,網(wǎng)絡(luò)已成為各行各業(yè)不可缺少的服務(wù)平臺,而由此引發(fā)的安全問題也廣受關(guān)注。傳統(tǒng)的管理模式往往只采用“是”與“非”兩種結(jié)論判斷安全性,但事實上安全性可以細(xì)分為更多的層次和類別;系統(tǒng)根據(jù)不同的安全性提供不同類型的服務(wù),因此可考慮利用知識工程、云安全等多種技術(shù),提供智能化的安全認(rèn)證。信任包含理性與非理性因素,如何利用知識工程挖掘出非理性因素的作用,以便確定一個綜合信任度,從而在網(wǎng)絡(luò)中實現(xiàn)更人性化的信任管理,這有待進一步研究與實現(xiàn)。
參考文獻:
[1] 陸汝鈐主編.世紀(jì)之交的知識工程與知識科學(xué)[M].清華大學(xué)出版社,2001.
[2] 史忠植.知識發(fā)現(xiàn)(第2版)[M].清華大學(xué)出版社,2011.
[3] 王濤.研究知識工程專注知識發(fā)現(xiàn)——訪著名知識工程專家楊炳儒教授[J].科技成果管理與研究,2009.10:20-20
[4] 嚴(yán)雯琦.工業(yè)設(shè)計中知識工程的研究和實踐意義[J].中國科技博覽,2010.11:91
[5] 張學(xué)忱,陳錦昌,范汝祥等.知識工程在機械產(chǎn)品參數(shù)化設(shè)計中的應(yīng)用研究[J].工程圖學(xué)學(xué)報,2009.6:191-195
[6] 沈偉,喬立紅.基于知識工程的工藝決策方法研究[J].組合機床與自動化加工技術(shù),2011.5:108-112
[7] 王曉丹,凌鋒,樊磊.知識工程在教育技術(shù)發(fā)展中的應(yīng)用[J]. 軟件導(dǎo)刊,2008.1:6-8
[8] 那一沙,吳子?xùn)|,汪宏東.基于建構(gòu)主義的學(xué)習(xí)者知識工程模型的研究[J].現(xiàn)代遠(yuǎn)距離教育,2009.3:36-38
[9] 張鳳霞,丁振蘭,吳華瑞.基于知識工程的小城鎮(zhèn)電子政務(wù)系統(tǒng)模型研究術(shù)[J].計算機應(yīng)用研究,2006.23(8):61-63
[10] 劉祖斌.基于知識工程電子商務(wù)模式創(chuàng)新研究[J].商業(yè)研究,2006.20:98-101
[11] 劉程,于曉.基于本體的虛擬企業(yè)知識共享方法研究[J].山東科學(xué),2010.23(6):91-95
[12] USEHOLD M. Ontologies Principle, Methods and Applications[J].Knowledge Engineering Review,1996.11(2): 96-136
