智能制造虚拟组织的服务联合安全研究
第37卷第10期一一一一一一一一一一一哈一尔一滨一工一程一大一学一学一报一一一一一一一一一一Vol.37?.10
2016年10月一一一一一
一一
一一一
JournalofHarbinEngineeringUniversity一一一一一一一一一一一Oct.2016
智能制造虚拟组织的服务联合安全研究
张祖国1,2,苏锐丹3
(1.中国科学院空间科学与应用研究中心,北京100190;2.中国船舶重工集团第七一四研究所,北京100101;3.西安电子科技大学计算机学院,陕西西安710071)
摘一要:工业互联网时代的智能制造不仅体现在企业内部的智能化,而且强调企业通过虚拟组织进行制造资源和服务能力的社会化协作,跨企业域的服务联合中的安全认证与授权控制尤为重要三基于VO服务联合安全需求及去中心化自组织特征,利用OAuth2.0二OpenIDConnect协议规范设计的虚拟组织(VO)服务联合安全方案满足跨域服务联合二同域服务联合和公共服务联合的需要三文章详细解释了跨域服务联合二同域服务联合与公共服务联合的安全认证与授权实现流程,并结合海洋装备制造案例说明了制造联盟中服务联合应用过程三最后探讨了方案中涉及到的隐私保护问题三
关键词:智能制造;虚拟组织;服务联合;OAuth2.0;OpenIDConnectDOI:10.11990/jheu.201504052
网络出版地址:http://www.cnki.net/kcms/detail/23.1390.u.20160829.1421.056.html中图分类号:TP399一文献标志码:A一文章编号:1006-7043(2016)10-1341-06
Researchonservicefederationsecurityof
avirtualorganizationforintelligentmanufacturing
ZHANGZuguo1,2,SURuidan3
(1.CenterforSpaceScienceandAppliedResearch,ChineseAcademyScience,Beijing100190,China;2.The714ResearchInstituteofCSIC,Beijing100101,China;3.KeyLaboratoryofComputerNetworkandInformationSecurityoftheMinistryofEducation,XidianUniversity,Xi'an710071,China)
Abstract:Intelligentmanufacturingintheeraoftheindustrialinternetisembodiedinintelligentmanagementinsideanenterprise.Itemphasizesthesocializedcooperationofmanufacturingresourcesandserviceabilityofanenterpriseviaavirtualorganization.Thesafetycertificationandauthorizationcontrolplaysanimportantroleincross-domainservicefederation.ThispaperanalyzescriticalsecurityrequirementsofservicefederationforavirtualorganizationandproposesasecurityschemesuitableforVOservicefederationbasedonOAuth2.0andOpenIDConnectspecifications.Severalfundamentalsecurityfunctionssuchascross?domainservicefederation,servicefederationinshareddomainandpublicservicefederationwerealsoclarified.TheapplicationofservicefederationinthemanufacturingVOwasdemonstratedinthecaseofoffshoreequipmentmanufacturing.Also,theprivacyprotectionissuewasdiscussed.Keywords:Intelligentmanufacturing;virtualorganization;servicefederation;OAuth2.0;OpenIDconnect收稿日期:2015-04-23.网络出版日期:2016-08-29.基金项目:国家高技术支撑计划(2012BAF10B06).作者简介:张祖国(1971-),男,研究员,博士研究生;
苏锐丹(1978-),男,副教授.通信作者:张祖国,E-mail:homer_chang@163.com.
一一工业互联网是互联网与工业生产相结合而形成的交集,主要由智能机器二高级分析二工作人员三个元素构成三现实世界中的机器二设备二团队和网络通过传感器二控制器和软件应用程序连接起来,并使用基于物理的分析法二预测算法二自动化和材料科学,电气工程及其他关键学科知识来理解机器与大型系统的运作方式[1-2]三工业互联网的价值不仅仅体现于企业内部的基于大数据形成的智能制造能力,更
为产业界的资源分享与制造能力的协作提供了基础
模式三智能制造需要突破单一企业的边界,制造资源与生产力的社会化分享促进了企业间合作联盟的形成,通过产业链实现资源的弹性化组织和应用三在此产业链的构成过程中,涉及到设计者二制造者二销售者二集成与咨询者二服务者和运维者三上述所有对象通过信息-物理空间系统(cyber?physicalsys?tem,CPS)构成完整协同平台,在CPS中,企业之间并非具有从属特性,对象之间的联合也不具有恒定的合作关系[3]三他们之间通过虚拟组织(virtualor?ganization,VO)的临时关系来定义三
对各制造服务提供商而言,VO的跨域服务联
万方数据
合带来的安全性需求可能会高于业务逻辑本身三长久以来,国际上许多机构都在积极推动跨组织认证和授权的标准化工作,并制定了安全声明标记语言(securityassertionmarkuplanguage,SAML)[4]和WS?Security系列标准三基于这些标准,文献[5]提出跨域服务联合安全框架,阐述跨域服务联合中的安全功能,包括信任拓扑管理二跨域认证及授权二隐私保护等三文献[6]提出智能制造的社会化协同机制,阐述了跨域松耦合联盟与紧耦合制造集团间的授权信息集成方法三
OAuth2.0[7-8]是OAuth协议的下一版本,关注服务请求方的简易性,为Web应用二移动设备等提供专门的认证流程三它使得服务请求方通过经由用户授权而获得的访问令牌(accesstoken)来使用用户在服务提供方的资源和服务,代表用户执行相关操作,从而避免了直接将用户的凭据(如口令)交给服务请求方三建立在OAuth2.0上的OpenIDCon?nect(OIDC)[9],是OpenID的下一版本,提供了开放的身份认证,其跨域工作的方式,很适合VO中不同服务提供商之间的用户共享三
1一VO服务联合安全需求
VO是一个以动态市场机会为基础的各种核心能力的统一体,组织内各成员异地二异构二无产权联系,相互之间的合作关系是动态的,完全突破了以内部组织制度为基础的传统组织结构三合作是VO存在的基础,但由于VO各成员保持着自己原有的风格松散耦合,彼此间由于信任产生的安全问题尤为突出三
为清晰阐述VO服务联合安全问题,本文给出了一组服务联合典型示例,如图1所示
三
图1一VO服务联合典型示例
Fig.1一TypicalexampleofVOservicefederation
A二B与C为三个彼此独立的域三A1二A2二A3二A4是A域的服务,B域和C域的服务类似,其中B2是一项与用户无关的公共服务三各个域有自己独立
的授权服务器AS(含认证功能),并可选地提供
OpenID服务三ThirdPartyOP/IDP(OpenIDProvid?er)为第三方OpenID服务提供方三示例中包含三种典型的服务联合场景:A域的服务A1调用了本域了服务A2和外域的服务B1,A2和B1又分别跨域调用了服务C1和A3,是典型的跨域服务联合;C域中的服务C2依赖本域服务C3二C4和C5,属于同一安全域/信任域的服务联合,即同域服务联合;服务A4对服务B2的调用产生了(跨域)公共服务联合场景三
传统服务提供方仅对外提供安全的核心业务服务接口,仅需要在本域边界进行有效地防范即可确保本域的整体安全三加入VO的各成员组织出于跨域服务联合的需要,原本各自独立的安全边界遭到破坏,为VO服务联合引入了以跨域认证及授权为核心的安全问题三其中,跨域认证将可信的用户标识信息跨域共享,从而避免用户跨域使用服务资源时的重复认证;跨域授权则允许服务提供方和资源所有者对来自外域的资源使用请求进行授权控制三概括而言,服务联合场景中涉及四类安全问题:
1)服务联合建立:为了使用户的认证与授权信息和服务资源能够在跨域环境下进行共享,跨域服务联合的建立就是要根据服务调用关系构建多域环境下的关联关系,从而形成由一系列服务分享与使用所形成的VO三
2)单点登录(singlesign?on,SSO):在跨域服务联合中,用户只需要完成一次身份认证流程,即可访问所有服务,无需执行多次认证三
3)联合退出(federatedsign?out):在跨域服务联合中,用户主动退出时,清理该服务联合中各服务相关的缓存数据,结束会话以保证会话安全三
4)访问控制:受VO的松散耦合二分布式特点影响,跨域服务联合中需要对服务的跨组织访问进行严格明确地约束,以防止未授权访问三
2一VO服务联合安全方案
OAuth2.0和OIDC分别将授权与认证操作从
业务逻辑中抽象出来,构成VO服务联合安全方案的基础三
OAuth2.0能使VO服务联合场景中服务使用方代表自身或者通过引导用户(服务/资源所有者)与服务提供方进行一系列的授权交互后代表用户获取受限的服务,授权信息以AccessToken形式返回给服务使用方作为访问受保护资源的凭据,每一个AccessToken授权其持有者在特定的时间段内使用特定的服务三
OIDC作为OAuth2.0协议授权过程的扩展,其身份认证结果为JWT(JSONwebtoken)形式的IDToken三IDToken包含着认证相关的信息,而认证用户详细信息的获取则融入了授权流程,需要使用通
四2431四哈一尔一滨一工一程一大一学一学一报一一一一一一一一一一一一一一第37卷
万方数据
过用户授权后得到的AccessToken从资源服务器(resourceserver,RS)的UserInfoEndpoint处获取三跨域服务联合二同域服务联合和公共服务联合由于安全域跨越和业务本身的不同,导致对授权的安全需求不同三本方案权衡安全性需求和授权流程的灵活性与授权效率,为VO的三种服务联合场景选用了不同的授权模式:
1)在跨域服务联合中,服务使用方需要跨越安全域获得用户授权,安全需求最高,采用的是OAuth2.0四种授权模式中功能完整二流程最为严密的授权码模式(authorizationcode);
2)在同域服务联合中,由于服务使用方与服务提供方处于同一个安全域中,彼此存在一定的信任基础,服务访问的授权可在用户身份验证后使用本域内的访问控制策略;
3)在公共服务联合中,服务使用方以自身身份使用资源,并不涉及用户身份认证和请求用户授权的过程,服务提供方仅需对服务使用方身份进行认证即可,授权采用OAuth2.0授权模式中的客户端模式(clientcredentials)三
基于OAuth2.0和OIDC的用户认证授权过程受TLS的保护,能确保认证授权过程的安全三用于身份认证的IDToken使用了JWS(JSONwebsigna?ture)来确保信息的完整性和可认证性,并且可采用JWE(JSONwebencryption)加密以获得机密性保证三包含授权信息的AccessToken由授权服务器(au?thorizationserver,AS)定义,通过数字签名机制确保无法篡改和伪造三
2.1一跨域服务联合
VO跨域服务联合场景中,首次进行跨域服务调用或后续服务调用时已有授权失效(授权过期或用户取消授权)的情况下,都需要用户进行身份认证后对服务请求方所请求资源/服务的访问进行授权三在用户通过身份认证并进行授权后,授权信息以AccessToken形式返回给服务请求方三服务请求方在之后进行的服务调用请求中,携带该AccessToken作为服务使用的的授权凭证三服务提供方则首先对请求信息中的AccessToken进行有效性认证,在确认其完整性二有效性且授权涵盖本次服务请求后,再向服务请求方提供服务三
在图1展示的跨域服务联合场景中,直接面向用户的服务A1需要使用外域服务以完成业务逻辑三由于业务流程分散在A二B二C三个域中,为统一用户管理,需要协商使用同一个OP/IDP(A二B二C三个域的IDP之一或第三方IDP)提供的身份认证服务,本文以选择第三方IDP为例进行描述三
以OIDC及OAuth2.0的认证授权为基础动态建立的虚拟组织中各成员之间是松散耦合的三各VO成员独立提供授权服务(AuthenticationService)二业务服务,并根据需求可选地提供OpenID服务三
跨域服务联合建立的前提是根据服务调用产生基于注册的关联关系三此场景中,由业务逻辑产生的跨域服务调用有<A1,B1>二<A2,C1>和<B1,A3>,此外A二B二C均使用了外域(第三方IDP)提供的OpenID服务,共计六个服务调用,亦即需要相应的六次注册以完成服务联合的建立三服务调用的注册过程与OAuth2.0协议一致,服务使用方向服务提供方提供该跨域服务调用的回调地址并获得自身标识及认证凭据三
用户首次使用服务A1时,认证与授权流程如图2所示
三
图2一跨域服务联合流程
Fig.2一Dataflowofcross?domainservicefederation1)用户首次访问A域的服务A1,且无法提供有效的身份信息,A1根据协商结果引导用户前往第三方IDP处进行身份认证并同时携带所需的用户身份信息请求;
2)第三方IDP首先对用户身份进行合法性认证,认证成功后,引导用户对A1所请求的用户自身身份信息进行访问授权并根据用户的授权分发授权码(authorizationcode)给A1三A1通过此授权码从第三方IDP处换取用户身份标识令牌(IDToken)和访问令牌(AccessToken),此访问令牌可用于从IDP处获取用户授权访问的用户自身身份信息;3)A1对服务A2的调用属于同域服务调用,仅需在服务调用请求中携带从步骤2)获取的IDTo?ken即可,详细步骤参见2.2节;
4)A2初次跨域调用C1时,并没有用户对服务C1的使用授权,需要向C1发送授权请求,请求内容为A2需要以用户的身份在C1处使用的服务/资源;5)用户在C域并未进行登录认证,故C1需要引导用户前往第三方IDP出进行认证操作并同时携带所需的用户身份信息请求;
6)由于步骤1)中用户已经在IDP处认证过(短时间内,会话未失效),通过OIDC的会话管理功能[10],用户在此步骤将直接通过身份认证进入OIDC的用户身份信息授权流程,之后的流程与步骤2)类似,C1得到IDToken和授权用于访问用户身份信息的AccessToken;
7)C1引导用户对A2请求的资源进行访问授
四3431四
第10期一一一一一一一一一一张祖国,等:智能制造虚拟组织的服务联合安全研究万方数据
权并根据用户授权分发授权码给A2,A2获得授权码并进一步从C1得到AccessToken三A2在之后代表该用户对C1的服务请求中携带该AccessToken作为访问凭证;
8) 11)与步骤4) 7)类似;
12)B1初次调用服务A3,需要向A3发送授权请求,请求内容为B1需要以用户的身份在A3处使用的资源;
13)此步骤中,用户已经在A域通过身份认证,会话有效,故直接进入用户授权操作流程,其余流程与步骤7)类似三
以上流程涉及A二B二C三个域对用户身份的认证和三次跨域服务调用,显式的授权操作需要进行三次(不含身份认证过程中用户对访问自身身份信息的授权),每次跨域服务调用对应一次授权过程;共三个域的身份认证需求仅需要用户在第三方IDP处进行一次登录认证,实现了单点登录三
单点登录功能基于OIDC协议的会话管理扩展部分,通过特定方法让A二B二C三个域共享了第三方OP/IDP的认证会话,从而可以使VO跨域服务联合实现单点登录和联合退出三
OAuth2.0协议特有的与用户交互二由用户显式对特定资源访问进行授权的过程使得基于该协议的跨域资源/服务访问控制十分灵活,是细粒度的二用户可知可控的,并可随时增加二修改和撤销授权三2.2一同域服务联合
同域环境中各服务间的彼此调用协作也可视为服务联合的一种,由于各服务处于同一个信任域/安全域,服务联合的建立与访问控制都可根据本地策略灵活进行,本节仅对同域环境中基于OIDC的各服务身份认证方案进行描述三
即使处于同一个信任域,各服务同样可能具有互不相同的底层安全基础设施,且同域的特殊条件使得一致的身份验证策略和可靠的身份验证框架十分必要三耶鲁大学提出的CAS(centralauthentica?tionservice)是解决此问题的经典协议三以下针对内部实现有IDP的企业和组织给出了基于OIDC的解决方法三
图3展示了同域服务联合的典型场景,用户在使用服务C2时,C3二C4由于间接被调用而需要验证用户身份三引入2.1节的基于OIDC会话管理无疑可以解决问题,但基于同一安全域中各服务间基本的信任关系可以更简便地传递可验证的用户身份信息三域C使用本域中的OP/IDP进行用户的统一认证,用户首次访问C2服务时,C2引导用户前往本域的ODP处进行身份认证,在成功通过身份认证后获得IDTo?ken;C2在之后请求C3二C4服务时携带该IDToken作为可认证用户身份标识;C3二C4接收到IDToken后,通过IDToken信息及其有效性验证结果即可获知用户身份及用户通过了身份认证这一事实三该方法通过使用IDP统一了同域身份认证,并借助IDToken在同域服务之间传递了用户身份认证信息,该信息可验证(无法伪造)三值得注意的是,该方法以同域服务不会泄露IDToken这一假设为安全基础
三
图3一同域服务联合流程
Fig.3一Dataflowofshareddomainservicefederation2.3一公共服务联合
跨域条件下的公共服务联合由于没有用户这一角色的参与,故不存在单点登录和联合退出问题,授权流程为OAuth2.0协议授权模式的客户端模式三如图4所示,A域的服务A4需要使用B域的公共服务B2三服务联合建立时,A4在B2处注册并得到自身身份标识与认证凭据,典型地,此处的凭据为一个公私钥对,私钥A4持有,公钥由B2保存三A4在需要使用B2服务时,针对待访问资源/服务发起授权请求,并在请求中携带私钥对该请求的数字签名;B2收到授权请求并成功验证签名信息后,分发Ac?cessToken给A4作为授权结果;A4通过在之后的请求中携带该AccessToken来使用B2提供的服务
三
图4一同域服务联合流程
Fig.4一Dataflowofshareddomainservicefederation3一一个智能制造社会化协同案例船舶与海洋装备制造是高端制造业的典型代表,具有整体长周期二单件少批量二离散制造与局部流程制造的混合形态特征三智能制造的全制造服务周期[11]涵盖了从研发设计到运维服务的全过程三在船舶与海洋装备的制造过程中,服务环节众多,其流程如图5所示三
海洋装备制造流程中的各服务环节由多个企业
四4431四哈一尔一滨一工一程一大一学一学一报一一一一一一一一一一一一一一第37卷万方数据
提供,参与制造流程的不同企业构成临时服务于某个项目任务的VO三装备制造流程主要包括设计服务二总装服务和制造分包服务,其社会化协作的趋势是:提供总体设计CAD(computer?aideddesign)二工艺设计CAPP(computer?aidedprocessplanning)服务的各个企业之间联合构成独立的VO共享彼此的设计智慧;提供分段制造与配套装备服务的不同企业在总装集成企业的任务驱动下依据工艺设计交付相应的配套中间产品三在总装制造环节和分段制造环节中,企业资源计划ERP(enterpriseresourceplan?ning)二产品生命周期管理PLM(productlifecyclemanagement)二供应链管理SCM(supplychainman?agement)二客户关系管理CRM(customerrelationshipmanagement)二制造执行系统MES(manufacturingex?ecutionsystem)二数控机床网络DNC(distributednu?mericalcontrol)以及其他内部服务形成纵向紧耦合集成三
上述案例涉及的VO服务联合如图6所示
三
图5一海洋装备制造流程
Fig.5一Manufacturingflowforoffshore
equipment
图6一船舶与海洋装备制造的VO服务联合
Fig.6一Servicefederationinoffshoreequipmentmanufacturing
位于域G的总装集成企业ERP服务通过调用本域内PLM二CRM二SCM及外域的CAD二CAPP等服务驱动整个制造流程,对外提供船舶与海洋设备制造服务,用户(甲方)通过访问域G的服务来实时了解并操控制造流程三流程中的总体设计环节二工艺设计环节分别由域B提供的CAD服务和域F提供
的CAPP服务负责三域G的ERP服务根据设计结果,调用域H二I二J的MES服务完成部分分段制造与配套设备业务,再基于外域和本域(总装集成企业也可能负责部分中间产品的制造)的分段制造与配套产品进行最终的总装集成三
在图6所示的VO服务联合场景中,域G二H二I二J中都存在同域服务联合,比如域H中MES与DNC服务通过彼此调用以对外提供分段制造与配套设备服务;跨域的服务联合更是普遍存在三
用户通过域G启动的VO服务联合装备制造流程及相应的服务联合类型描述如下,根据服务联合类型即可采用第2节给出的相应认证与授权方案三
1)域G的ERP服务调用域B的CAD设计服务,对应图中步骤1),属跨域服务联合,使用2.1节的跨域服务联合认证授权方案;
2)域B的CAD服务调用域A二C相同行业的CAD服务,获取其相关设计经验,形成总体设计图纸,属于跨域服务联合;
3)域F的CAPP服务调用域B的CAD服务获得总体设计图纸用于工艺设计服务本身,对应步骤2),属跨域服务联合;
4)域F的CAPP服务共享域D二E的工艺设计,形成工艺设计图纸,属于跨域服务联合;
5)域G的ERP服务调用域F的CAPP服务获得工艺设计图纸,对应步骤3),属跨域服务联合;
6)域G的ERP服务根据工艺设计图纸,调用自身的MES二DNC等服务(同域服务联合)和域H二I二J的MES服务(对应步骤4),属跨域服务联合)实现装备的分段制造;
7)最后,域G根据分段制造的中间件完成设备的总装集成,提供给用户三
需要说明的是,出于避免重复劳动和降低成本的考虑,域B与同样提供CAD服务的域A二C以某种约定的机制组成独立的VO以实现复用设计文件,共享彼此经验二技术等智慧成果三这种相同行业构成的VO,通过跨域服务联合进行智慧成果或生产能力的分享是一种典型的社会化协作,避免了信息孤岛的出现和生产能力的局限,为VO成员带来了更大的价值回报三
4一结论
本文基于VO服务联合安全需求及OAuth2.0二
OpenIDConnect协议,设计了VO服务联合安全方案,详细描述了跨域服务联合二同域服务联合与公共服务联合的实现流程,并通过船舶与海洋装备制造的同域及跨域协同案例进行了具体应用过程说明三方案具有开放与实用的特点三
在此方案基础上还需要进一步研究是:
1)基于OpenIDConnect协议的认证过程获得
四
5431四第10期一一一一一一一一一一张祖国,等:智能制造虚拟组织的服务联合安全研究万方数据
IDToken可能会直接或间接暴露用户身份相关的敏感信息三对VO服务联合中的OpenIDProviders而言,隐私保护(privacyprotection)意味着不能在IDToken和AccessToken中暴露用户ID及其他个人身份信息PII(personallyidentifiableinformation)三其提供的OpenID也应为PPID(pairwisepseudonymousidentifier),从而消除不同域获得的用户身份标识的关联三
2)在服务联合实现后,需要建立服务间的合理付费机制,有助于提高虚拟企业在智能制造协同中的制造服务分享动机三
参考文献:
[1]EVANSPC,ANNUNZIATAM.Industrialinternet:pushingtheboundariesofmindsandmachines[EB/OL].USA:GeneralElectricCompany,[2012-11-26].http://www.ge.com/docs/chapters/Industrial_Internet.pdf.[2]BULLINGERTA.Theindustrialinternet[EB/OL].USA:InternationalCouncilonSystemsEngineering,[2013-05-16].http://www.incose.org/flc/events/Documentation/In?dustrialInternet.pdf.
[3]KAGERMANNH,WAHLSTERW,HELBIGJ.Recommen?dationsforimplementingthestrategicinitiativeINDUSTRIE4.0[EB/OL].German:NationalAcademyofScienceandEngineering,[2013-04-16].http://www.acatech.de/fileadmin/user_upload/Baumstruktur_nach_Website/Acat?ech/root/de/Material_fuer_Sonderseiten/Industrie_4.0/Fi?nal_report__Industrie_4.0_accessible.pdf.
[4]OASIS.Securityassertionmarkuplanguagespecifications2.0[EB/OL].USA:OrganizationfortheAdvancementof
StructuredInformationStandards.[2013-05-28].http://saml.xml.org/saml-specifications.
[5]苏锐丹.电子政务安全工程若干关键技术研究[D].西安:西安电子科技大学,2010.
SURuidan.Researchonkeytechnologiesofe?governmentsecurityengineering[D].Xi?an:XidianUniversity,2010.[6]张祖国.基于社会化的协同智能制造系统研究[D].北京:中国科学院大学,2016.ZHANGZuguo.ResearchonSNS?basedcollaborativeintelligentmanufacturingsystem[D].Beijing:TheUniversityofChineseAcademyofSci?ences,2016.
[7]HARDTD.TheOAuth2.0AuthorizationFramework[EB/OL].[2012-10-12].http://tools.ietf.org/html/rfc6749.[8]JONESM,HARDTD.TheOAuth2.0Authorizationframe?work:bearertokenusage[EB/OL].[2012-10-12].ht?tp://tools.ietf.org/html/rfc6750.
[9]SAKIMURAN,BRADLEYJ,JONESM,etal.OpenIDconnectcore1.0[EB/OL].[2014-11-20].http://openid.net/specs/openid?connect?core?1_0.html.[10]SAKIMURAN,BRADLEYJ,JONESM,etal.OpenIDconnectdiscovery1.0[EB/OL].[2014-11-21].http://openid.net/specs/openid?connect?discovery?1_0.html.[11]SAKIMURAN,BRADLEYJ,JONESM,etal.OpenIDconnectsessionmanagement1.0[EB/OL].[2014-11-21].http://openid.net/specs/openid?connect?session?1_0.html.
[12]马晨,陈雪波.基于包含原理的多智能体一致性协调控制[J].智能系统学报,2014,9(4):468-473.
MAChen,CHENXuebo.Coordinatedcontrolofthecon?sensusofamulti?agentsystembasedontheinclusionprin?ciple[J].CAAItransactionsonintelligentsystems,2014,9(4):468-473.
本文引用格式:
张祖国,苏锐丹.智能制造虚拟组织的服务联合安全研究[J].哈尔滨工程大学学报,2016,37(10):1341-1346.
ZHANGZuguo,SURuidan.Researchonservicefederationsecurityofavirtualorganizationforintelligentmanufacturing[J].JournalofHarbinEngineer?ingUniversity,2016,37(10):1341-1346.
四6431四哈一尔一滨一工一程一大一学一学一报一一一一一一一一一一一一一一第37卷万方数据
安全生产综合监管信息平台
安全生产综合监管信息平台 1平台概述 安全生产综合监管信息平台是公司打造的一款面向安全生产监管领域、提供 企业生产过程的全程监控和安全服务的产品。平台监控的数据包括了各类安全生产监控探测设备的实时数据、实时的视频数以及设备的状态数据。本平台监管的对象包括所有生产、存储、运输、销售、使用危险化学品的企业(化工生产、加工企业、加油加气站、油库、气库等)、工业加工企业、建筑行业(建筑工地现场视频监控)、公共服务行业(各类电梯含公共场所电梯、生活小区电梯以及商用电梯的安全监控)。本平台通过对企业各个环节的安全生产数据实行信息化集成监管,能够为安全生产监管部门提供相应的实时动态监管服务功能,能够为接 入平台的企业提供各类安全服务功能,同时实现企业和政府部门之间的双向互动,增强政企之间的沟通。 平台由前端的数据采集设备、数据上报传输网络及后端数据处理系统构成,系统全面采用物联网技术、云计算和移动互联网相结合的技术模式,实现感知、传输、处理的闭环系统,并将结合移动计算实现信息的多渠道发布。 2系统体系架构 感知耒梢节点传感网绪感知匸集节点携入网传強:承联网檢心阿应用蒸轨 图2.1:系统体系架构图
本系统作为物联网项目的典型应用,整体系统架构的设计思路是基于从数据 的感知、传输处理、应用和展示着三个层次结构对系统进行设计。数据感知依靠 前端的企业端数据采集软件实现对企业不同类型的传感器数据进行采集, 然后采 集的数据在物联网网关中进行初步的处理,然后再通过物联网关加密压缩后传输 到中心数据库。在中心通过在GIS 地图上或者其他功能对接入的数据进行处理和 展示。 3软件架构设计 系统软件框架如下图所示: 屐 示层 国家法律法规政策保障 国家信息技术标准及安全生产 相关技术标准保障 应曲殴蜿 匝鶴?8?^ 去輟待系蛻 性则5輕数实 危瀚渝血管平台 应用层 I 安监业务平岂丿动弊歸晒 右】£应用平台 基砒组伴层 网络平台、系统安全平台 可诙网垂关 数据层 (昶展示购j 廳/巒片抓蔬 、 务 数据感知层
以人工智能实现网络安全的一点看法
龙源期刊网 https://www.360docs.net/doc/c38434006.html, 以人工智能实现网络安全的一点看法 作者:王泽宇张小女 来源:《电脑知识与技术》2019年第02期 摘要:通过对我国当前网络的发展状态以及面临的威胁的分析,使人们认识到网络威胁的严重性和人们当下对网络防护的局限性。人工智能经过几十年的积累,目前已经到了厚积薄发的大规模应用阶段,人工智能的迅速发展给网络安全提供了一个更好的技术方向,二者的结合从几个方面有力地促进了网络安全的进步,但是人工智能在网络安全上的应用还有着不少的缺陷,还有很长的技术短板需要去克服。 关键词:人工智能;网络安全;智能设备 中图分类号:TP393; ; ; ; 文献标识码:A; ; ; ; 文章编号:1009-3044(2019)02-0021-02 1 网络安全的当前现状 网络的迅猛发展,促使全世界更加紧密地联系在一起。多样化、互联化的智能设备也已经遍布我们生活、生产、学习的方方面面,网络使我们的工作、生活的界限不再清晰明了,一个联网设备被攻击者攻克,其他互联设备就有可能瞬间被攻克,我们的各种信息就会全部泄露。 智能设备全面互联带给我们便利的同时,也给我们提出了一个迫切而现实的问题:我们的设备安全吗,我们运行于设备之上的各种各样的生产、生活、学习的资产与资料安全吗?答案可以肯定的说是否定的。在当前的网络环境中,我们的各种终端与应用可以说是脆弱的。比如猖獗一时的勒索病毒,它俨然是一场全球性互联网灾难,统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。[1] 从当前的技术发展路线来看,人们发现被攻击与破坏的时间是在逐步缩短中,但是对攻击者而言,这个时间差是足够的,在这段时间内,他们完全能够破坏与窃取数据,给企业造成巨大的损失。 可见,随着网络技术的进步及其相关技术的迅速发展,我们的信息安全受到的威胁也越来越多。据联合国的安全报告,2017年中国的网络及信息安全能力在全球仅排名第32位。 2 传统网络安全手段当前已经达到技术瓶颈 传统的杀毒软件主要是通过比对病毒的特征码等方式来进行病毒查杀,这种方法对新出现的病毒或者变种都缺少有效的应对能力,只有安全人员在病毒库中加入对应病毒的特征码之后,才有可能对病毒进行查杀。对0day攻击可以说接近于无法防护的程度。
互联网交通安全综合服务平台单位用户注册申请表
互联网单位用户注册/变更申请表档案编号:
填表说明 一、打印或者使用黑色、蓝色墨水笔,用中文填写,字体工整,不得涂改。 二、标注有“□”符号的为选择项目,选择后在“□”中划“√”。 三、“申请单位信息”中包含的各栏均应认真填写,不得空项。其中: 1、“单位种类”,只能通过复选框选择一项。校车服务提供者请勾选道路运输企业选项。 2、“单位名称”,应填写组织机构代码证上签注的单位名称。 四、“申请人信息”中包含的各栏均应认真填写,不得空项。其中: 1、“身份证明名称”,属于居民的,填写“居民身份证”或者“临时居民身份证”和证件号码,在暂住地居住的内地居民还要填写公安机关核发的居住、暂住证明名称和证明号码;属于香港、澳门特别行政区居民的,填写香港、澳门特别行政区“居民身份证”和证件号码;属于台湾地区居民的,填写“台湾居民来往大陆通行证”或者“中华人民共和国旅行证”和证件号码;属于华侨的,填写“中华人民共和国护照”和证件号码;属于外国人的,填写“护照”或者其他旅行证件的名称和证件号码;属于外国驻华使、领馆人员及国际组织驻华代表机构人员的,填写外交部核发的有效身份证件名称和证件号码。 2、“手机号码”,填写申请人手机号码,用于接收手机短信告知、提示信息。 3、“电子信箱”,填写申请人电子信箱,用于接收电子邮件告知信息,可以不填写。 4、“邮寄地址”,填写可以通过邮寄送达的地址,应包括区县或县级市、乡镇信息。 五、“申请事项”请按照办理业务勾选。其中: 1、“申请服务”,当单位种类为“道路运输企业”时,可申请服务1、2和3;当单位种类为“驾驶培训机构”、“汽车销售商”、“医院”时,可申请服务3和6;当单位种类为“学校”时,可申请服务2和3;当单位种类为“其他”,可申请服务3;当单位种类为“道路运输管理部门”、“安监部门”时,可申请服务3和4;当单位种类为“教育行政部门”,可申请服务3和5。 2、对于申请了6的汽车销售商单位用户,可以办理网上机动车临时号牌核发业务;对于申请了6的医院单位用户,可以办理网上医院体检、提交身体条件证明业务;对于申请了6的驾校单位用户,可以办理网上本单位学员预约信息查询业务。 3、对于申请了1、2、3中单项或多项的单位用户账号,可以办理网上预选机动车号牌业务。 4、选择用户变更事项为“变更手机号码”的,还需填写变更后用于接收单位告知信息的手机号码。
人工智能与网络安全(带答案)
人工智能与网络安全 【考点解析】 人工智能(Artificial Intelligence) , 英文缩写为AI 。人工智能是计算机科学的一个分支,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式作出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。 人工智能的应用: ①模式识别:指纹识别、语音识别、光学字符识别、手写识别等 ②机器翻译:语言翻译 ③智能机器人、计算机博弈、智能代理 ④其它:机器证明、数据挖掘、无人驾驶飞机、专家系统等 ●例题1:下列不属于人工智能软件的是:( C ) A、语音汉字输入软件 B、金山译霸 C、在联众网与网友下棋 D、使用OCR汉字识别软件 ●例题2.下列运用了人工智能技术的是(C ) A.播放视频 B.播放音乐 C.手写板输入汉字 D.键盘输入汉字 ●例题3.以下不属于人工智能技术应用的( B ) A.超级国际象棋电脑“深蓝二代” B.office软件 C.医疗专家系统 D.于机器人对话 ●例题4.某公司为了加强考勤管理,购置了指纹打卡机,这体现信息技术的( C ) A.多元性 B.网络化 C.智能化 D.多媒体化 ●例题5. 指纹识别属于人工智能学科中的( B ) A.字迹识别研究范畴 B.模式识别研究范畴 C.语音识别研究范畴 D.字符识别研究范畴 【考点】了解信息的发布与交流的常用方式 【考点解析】 信息发布
根据发布的方式:视觉:报纸、杂志、书籍听觉:广播视听:电影、电视、网络 根据发布主体分成三类:个人信息发布;行业信息发布;官方机构信息发布 因特网上信息发布的常用方式:E-mail(电子邮件)BBS(论坛公告板)QQ(同类的还有MSN等)博客(weblog) 信息发布的效果与以下三个方面有关:发布的时间与地点、媒体的发布速度、信息的保存时间 ●例题6:以下关于电子邮件的说法不正确的是: ( C ) A、电子邮件的英文简称是E-mail。 B、所有的E-mail地址的通用格式是:用户名@邮件服务器名 C、在一台计算机上申请的“电子邮箱”,以后只有通过这台计算机上网才能收信 D、一个人可以申请多个电子邮箱 补充:网络常用术语 站点(网站):是一组网络资源的集合。便于维护和管理 超级链接:用超级链接可以实现从一个网页到另一个目标的连接,这个目标可以是一个网页,也可以是图像、动画、视频,甚至可以是一 个可执行程序 超文本:主要以文字的形式表示信息,建立链接关系主要是在文本间进行防火墙:是指一个或一组系统,用来在两个或多个网络间加强防问控制,限制入侵者进入,从而起以安全防护的作用。 BBS:就是我们平时所说的论坛,我们可以在里面就自己感兴趣的话题发布信息或提出看法 E-mail:就是我们平时所说的电子邮件,其特点P91 ●例题7.下列不属于在因特网上发布信息的是( A ) A.将数据保存在光盘中 B.发送E-mail邮件 C.发表博客文章 D.与同学通过QQ聊天 ●例题8.利用业余时间创作了一段flash动画,想与远方的朋友一起分享,下列可供他发表改作品的途径有( C ) ①在因特网以网页形式发布②在论坛公告板BBS上发布③通过电子邮件发送给朋友④通过固定电话告诉朋友⑤通过网络聊天工具QQ传送 A. ①②③④⑤ B. ①②③④ C. ①②③⑤ D.②③④⑤
2017年人工智能+网络安全分析报告
(此文档为word格式,可任意修改编辑!)
正文目录 人工智能需要网络安全保护和限制 (5) 人工智能对网络安全需求程度高于互联网 (5) 人工智能需要网络安全限制边界 (6) 网络安全需要人工智能提升防护能力 (7) “人工智能+网络安全”出现频次急剧上升 (7) 防护边界泛网络化 (9) UEBA用于网络安全 (10) EDR用于网络安全 (12) 人工智能网络安全成为创投并购重点 (13) 2017前2月已有5家AI网络安全企业被收购 (13) 防止未知威胁的Invincea被Sophos收购 (13) UEBA技术的被惠普收购 (14) 关键IP用户行为分析的Harvest.ai日被亚马逊收购 (15) 值得关注的人工智能与网络安全公司 (16) 政策驱动网络安全下游需求 (17) 《网络安全法》实施将有法可依扩大市场空间 (17) 《工控安全指南》指明方向 (18) 工控信息安全是新增长点 (18) 三大潜在风险 (19) 工业控制系统潜在的风险 (19) 两化融合"给工控系统带来的风险 (20) 工控系统采用通用软硬件带来的风险 (20) 工控安全漏洞数回升 (20) 服务器系统和工控数据危害集中区 (21) 启明星辰绿盟科技引领工控安全 (22) 网络信息安全龙头启明星辰 (23) 领航网络信息安全 (23) 政府军队等客户的选择证明公司实力雄厚 (24) 外延收购扩大网络安全服务领域 (25) 安全产品是主力,数据安全是亮点 (27) 受益于并表和内生增长 (27)
相关建议 (30) 风险提示 (30) 图目录 图1:级别越高安全保障要求越高 (5) 图2:无人机撞击电线 (6) 图3:《西部世界》剧照 (7) 图4:“网络安全”、“人工智能”和“机器学习”出现频率 (8) 图5:“网络安全”、“人工智能”和“机器学习”出现频率 (8) 图6:传统网络安全原理 (9) 图7:人工智能时代网络安全需求 (9) 图8:数据泄密渠道和方式 (10) 图9:UEBA工作原理 (11) 图10:传统安全产品与AI安全产品比较 (12) 图11:Invincea首页 (14) 图12:niara官网 (15) 图13:Harvest.ai官网 (16) 图14:投资机器学习与人工智能的网络安全公司列表 (17) 图15:《网络安全法》出台有法可依解决三大问题 (18) 图16:工控安全三大风险 (19) 图17:2000-2016 年公开工控漏洞趋势图 (21) 图18:2000-2016 年公开工控漏洞主要类型统计 (21) 图19:国内工控安全厂商比较 (22) 图20:启明星辰产品和服务 (23) 图21:启明星辰收入构成 (24)
人工智能与网络安全带答案
人工智能与网络安全带 答案 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
人工智能与网络安全 【考点解析】 人工智能(Artificial Intelligence) , 英文缩写为AI 。人工智能是计算机科学的一个分支,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式作出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。 人工智能的应用: ①模式识别:指纹识别、语音识别、光学字符识别、手写识别等 ②机器翻译:语言翻译 ③智能机器人、计算机博弈、智能代理 ④其它:机器证明、数据挖掘、无人驾驶飞机、专家系统等 ●例题1:下列不属于人工智能软件的是:( C ) A、语音汉字输入软件 B、金山译霸 C、在联众网与网友下棋 D、使用OCR汉字识别软件 ●例题2.下列运用了人工智能技术的是(C ) A.播放视频 B.播放音乐 C.手写板输入汉字 D.键盘输入汉字 ●例题3.以下不属于人工智能技术应用的( B ) A.超级国际象棋电脑“深蓝二代”软件 C.医疗专家系统 D.于机器人对话 ●例题4.某公司为了加强考勤管理,购置了指纹打卡机,这体现信息技术的( C ) A.多元性 B.网络化 C.智能化 D.多媒体化 ●例题5. 指纹识别属于人工智能学科中的( B ) A.字迹识别研究范畴 B.模式识别研究范畴 C.语音识别研究范畴 D.字符识别研究范畴 【考点】了解信息的发布与交流的常用方式 【考点解析】 信息发布 根据发布的方式:视觉:报纸、杂志、书籍听觉:广播视听:电影、电视、网络 根据发布主体分成三类:个人信息发布;行业信息发布;官方机构信息发布 因特网上信息发布的常用方式:E-mail(电子邮件) BBS(论坛公告板)QQ(同类的还有MSN等)博客(weblog)
信息安全服务软件-使用说明书
信息安全服务软件 说明书 1.引言 本软件使用说明书是为了指导信息安全服务软件的使用操作,同时为本软件系统的测试提供必要的信息。 本详细设计说明书的读者都包括以下人员: a. 代码编写人员 b. 测试人员 c. 概要设计人员 d. 其它对信息安全服务软件感兴趣的人员。 2.软件概述 2.1目标 安全是一个动态的过程,在信息系统运行维护期间可能遭遇来自各方面的安全威胁。为保证信息系统运营使用单位网络及应用服务的持续正常运行,信息安全服务软件依靠有关信息安全事件相关标准,通过提供网络安全保障服务来加强信息系统运营使用单位的网络安全性,通过定期和不定期的安全扫描服务、安全巡检服务、安全预警服务以及周到的突发应急响应服务将安全工作落到实处,以有效提高信息系统运营使用单位的网络安全保障能力。 ?增强技术设施抵抗非法攻击的能力; ?集中精力维护信息系统的持续可用; ?提高技术人员对信息安全的认识; ?快速发现企业的信息安全漏洞,通过有效的防护方法,提升信息安全水平;
?加强信息基础设施的安全水平,降低安全风险; ?维持企业形象、赢取客户信任。 2.2功能特点 该系统具有以下几个功能特点: (1)本软件系统的开发采用了C/S结构,技术成熟,使得该系统具有高可靠性、较强的拓展性和维护性; (2)该系统支持并发用户数较多。响应时间仅在2s左右,具有良好的实用性和出众的性价比。 (3)同时本软件在预检结果的准确度方面也具有很高的可信性。开发人员在网络安全、数据传输安全、数据访问安全和数据存储安全等几个方面做了大量努力,使得系统安全性极高; 3.运行环境 3.1硬件环境 服务器端:CPU以Intel的型号为准,可以采用AMD相同档次的对应型号,内存基本配置4G 客户端:CPU为Core i3-2100 3.10GHz(标准配置),内存为4 GB(标准配置),磁盘存储为500 GB(标准配置)。 3.2软件环境 所需软件环境如下: 操作系统为:windows xp,windows2003,vista等。推荐windows xp。
智能制造装备专项工程
附件1 项目指南 一、“大规模集成电路”专项工程 (一)集成电路设计 1.超级计算机、服务器等高端通用芯片; 2.数字电视关键芯片; 3.平板显示及驱动芯片; 4.面向智能移动终端应用的芯片; 5.移动通信芯片; 6.高压芯片; 7.金融卡芯片; 8.信息安全关键芯片。 (二)集成电路制造 1.45及以下先进工艺的基础工艺、标准成套工艺、产品工艺; 2.汽车电子工艺; 3工艺; 4.高压工艺; 5.面向移动通信等领域的射频工艺; 6.面向产品工艺的及建库技术。 (三)集成电路装备 1.先进刻蚀和薄膜设备; 2.高端光刻机; 3.镀铜设备; 4.无应力抛光设备;
5.12英寸晶圆清洗设备; 6.高精度聚焦离子束光学检测设备。 (四)集成电路材料 1.大尺寸抛光片、外延片、片; 2.新型化合物半导体材料; 3.集成电路用高性能铜及铜合金材料; 4.超净高纯电子化学品; 5.特种气体; 6.高纯金属及其高性能靶材。 (五)公共服务平台 1.共性(特色)工艺技术开发; 2.关键核/库建设; 3.先进集成电路测试技术。 二、“新型显示”专项工程 (一)领域 1.高功率、高性能外延、芯片制造和高端封装、模组及测试技术开发及产业化 2.灯具光效110流明/瓦及以上功能性照明系统、高密度显示系统的产业化 3.蓝宝石图形衬底、硅衬底技术等新型半导体衬底技术开发及产业化 4.半导体照明驱动及控制芯片 (二)领域 1.新型显示技术开发及产业化 2、氧化物、有机()等新型基板技术及产业化 3显示驱动、彩色滤光膜、玻璃基板等核心配套产品产
业化 (三)领域 1驱动、蒸镀、封装等核心工艺关键技术开发及产业化2配套材料、专用芯片、装备及相关产品产业化 (四)激光显示领域 1.激光光源、激光器、光机、显示芯片、菲涅尔屏、超短焦光学系统、自由曲面镜等激光显示关键模组及系统产业化 2.激光显示微型投影模块、产品及超大尺寸激光显示产品产业化 3.激光电视用高功率激光光源开发、照明光路设计、投影光路设计以及相关产品及系统产业化 (五)3D立体显示等其他新兴显示领域 1.3D立体显示等新一代显示关键技术开发及产业化 2.新型触控面板等关键技术开发及产业化 3.其他新型显示核心配套产品产业化 (六)综合示范应用 具有产业带动效应,具有一定产业影响力,拥有一定知识产权,产品技术水平领先的新型显示产品在各领域的示范应用。 (七)公共服务平台 面向新型显示产业共性技术研发、试验、测试认证、专利、标准、产业政策研究等综合服务及支持。 三、“下一代网络(互联网、通信网、广电网)”专项工程 (一)无线网络
平台安全运维保障方案
平台运维保障方案 1.目的 为了保障平台各项业务的正常开展,确保信息系统的正常运行,规范信息系统日常操作及维护阶段安全要求,特制订此方案。 2.系统日常操作及维护管理 2.1.建立双向联动责任人机制 所有涉及到业务平台的资源,包括主机操作系统、应用系统、网络设备和安全设备,指定电信接口人和支撑单位接口人双向联动,由电信公司指定维护接口人专门负责对接支撑单位的技术负责人和维护人员,电信公司的接口人对支撑单位的日常工作进行监督,支撑单位对业务系统的日常操作和维护按照本方案进行记录,做到责任到人,保证各个业务平台的正常运行。 2.2.操作系统日常操作及维护 (1)必须严格管理操作系统账号,定期对操作系统账号和用户权限分配进行检查,系 统维护人员至少每月检查一次,并报信息技术管理员审核,删除长期不用和废弃 的系统账号和测试账号。 (2)必须加强操作系统口令的选择、保管和更换,系统口令做到: ●长度要求:8位字符以上; ●复杂度要求:使用数字、大小写字母及特殊符号混合; ●定期更换要求:每90天至少修改一次。 (3)支撑单位维护人员需定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于 每月一次,重大安全漏洞发布后,应在3个工作日内进行上述工作。为了防止网 络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时 间做出规定,需安排在非业务繁忙时段。技术负责人应为每个系统指定专门的系 统维护人员,由系统维护人员对所负责的服务器进行检查,至少每天一次,确保 各系统都能正常工作;监控系统的CPU利用率、进程、内存和启动脚本等使用情况。
(4)当支撑单位维护人员监测到以下几种已知的或可疑的信息安全问题、违规行为或 紧急安全事件系统时,应立即报告技术负责人,同时采取控制措施,并进行记录: a)系统出现异常进程; b)CPU利用率,内存占用量异常; c)系统突然不明原因的性能下降; d)系统不明原因的重新启动; e)系统崩溃,不能正常启动; f)系统中出现异常的系统账户; g)系统账户口令突然失控; h)系统账户权限发生不明变化; i)系统出现来源不明的文件; j)系统中文件出现不明原因的改动; k)系统时钟出现不明原因的改变; (5)系统日志中出现非正常时间登录,或有不明IP地址的登录; (6)系统维护人员对操作系统的任何修改,都需要进行备案,对操作系统的重大修改 和配置(如补丁安装、系统升级等操作)必须向技术负责人提交系统调整方案,由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。 (7)保证操作系统日志处于运行状态,系统维护人员应定期对日志进行审计分析,至 少每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报告。 (8)系统维护人员应设置操作系统日志归档保存功能,历史记录保持时间不得低于一 年。 2.3.业务系统安全日常操作及维护 (1)新的应用系统在正式上线运行前应由技术负责人进行安全检查,检查通过方能正 式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括: a)检查应用系统的软件版本;
信息系统安全测评工具
信息系统安全测评工具 一、测评工具分类 一)安全测试工具 1、脆弱性扫描工具 脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。 1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。 常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。 2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。 常用工具:微软基线安全分析器、日志分析工具和木马查杀工具等。 3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。 常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。 4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。 常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth 等。 2、渗透测试工具 渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测和入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。 常用工具:流光(Fluxay)、Pangolin、Canvas、SQLMap、SQLIer、SQL Power Injector和SQLNinja等。 3、静态分析工具 静态程序分析是指使用自动化或半自动化工具软件对程序源代码进行检查,以分析程序行为的技术,广泛应用于程序的正确性检查、安全缺陷检测、程序优化等。 常用工具:FortifySCA、Checkmark CxSuite、IBM Rational AppScan Source Edition、PC-Lint、KlocWork公司的K7,以及其他的开源软件及商业软件。 二)测评辅助工具 测评辅助工具主要实现对原始数据的采集、现状分析和趋势分析等单项功能,其输出结果可作为了解被测系统某方面特性或现状、进一步开展相关安全测试的输入,也可以直接作为系统安全评估的技术依据。 1、性能测试工具 性能测试工具是通过自动化手段模拟多种正常、峰值以及异常负载条件来对系统或网络
社会消防安全服务云平台简介
社会消防安全服务云平台简介 一、系统简介 “智慧消防安全服务云平台”是通过安全隐患巡查、智慧用电监管、工作任务派发、建立电子档案、在线教育、战备资源库设立等手段,有效做到人防与技防相结合的消防信息数据平台。该系统覆盖了安全管理事前、事中和事后全过程,实现了对区域、行业以及社会单位本身的安全24 小时实时监管,是建立在政府、主管部门与社会单位之间的安全管理纽带,是社会单位安全责任人监督管理本单位安全状况的有效工具。该系统的核心观念是理清政府、行业主管部门、消防部门、安监部门、社会单位各级的安全责任,把所有单位以户籍化管理的方式录入到云平台系统内进行统一监管,全程监督安全责任的落实情况。 系统主要由以下模块组成: (一)电子档案系统:建立在大数据基础上的云平台,首先将辖区内各单位安全信息详细录入系统,为各单位建立电子安全档案,同时,该平台使用百度地图技术,将各单位位置清晰准确的标注在电子地图上面,主管部门可打开电脑随时点击查看,可以做到对辖区内所有单位安全信息实时掌握。 (二)安全隐患巡查系统:在重点安全部位、消防设施、危险品仓库等位置处建立身份证标识。根据实际情况制定巡查路线,包括该路线的检查时间、检查周期、检查人员、检查路线点等内容。巡查人员按照系统提示的时限、路线和内容开展巡查检查。并对路线中的所有身份证标识进行扫描,让社会单位能够更清楚的掌握重点部位和安全设施的检查方法、合格依据、底数、位置及完好率。巡查人员通过手机扫描重点部位、安全设施上的身份证标识,通过对照手机端提供的检查标准,识别现场的火灾隐患,并通过手机直接拍照上传。由单位的消防安全责任人对隐患进行内部派发,相关部门指定人员进行整改,待整改完毕后再次对整改完的现场照片拍照上传,从而完成快速 的内部处理和进度汇报;如遇大问题及时通知维保公司,并对他们保养过程进行查看,确保安全防设施完整有效。 上传火灾隐患→派发给指定人员整改→上传整改后图片→整改情况审核 (三)检查痕迹系统:平台使用电子标签功能,改变传统的安全巡查和安全工作模式,改变了检查签字表的监督办法,通过对巡查人员的巡查行为进行实时在线统计,实时查看巡查人员的工作量和检查痕迹。单位消防安全负责人或单位分管领导可以通过手机端和电脑端,实时掌控单位日常消防管理工作的进度,从而把岗位责任制进一步理清。(四)智慧式用电安全隐患监管服务系统:智慧安全用电监管功能是具有远程服务平台的电气火灾监控系统,它对引起电气火灾的主要因素(线缆温度、电流、剩余电流)进行实时在线监测和统计分析,可及时掌握线路存在的用电安全隐患状态,预防并发现电气线路动态运行中出现的安全隐患,判断故障发生的原因,指导用电单位开展治理,达到消除潜在的电气火灾安全隐患,实现“防范于未燃”的目的。 (五)固定消防设施监管系统:通过对社会单位“固定消防设施远程监控系统”加装设备模块,对商场、公寓等人员密集场所的原有固定消防设施远程监控系统数据进行采集,上传至云平台,使管理人员随时随地可以掌握消防监控室的状况,从而起到监督值班人员,确认报警信息的作用,避免了值班人员不履责,不负责现象的发生。提前发现前端消防设施存在的各种故障隐患,督促相关单位整改,降低火灾风险。 (六)安全重点部位可视化监管系统:系统采用了监控+ 防盗、消防报警+ 紧急预警的安全看护模式,将摄像头和防盗消防报警设备(烟感、红外、门磁等)绑定在一起,报警设备发生动作时,摄像头自动拍照并把15 秒短视频发送到PC 端和手机端,同时接警中心24 小时值守,报警后第一时间查看报警照片,确认现场为发生警情之后立即联系相关人员。系统构建了立体防控系统,多元防御、实时防范,更有效地保障人身、财产安全,让用户安心的同时,实现所服务场所”预警在先, 及时处警, 防患在前”。 (七)全民培训系统:系统为全民普及消防相关法律法规、消防常识、火灾案例分析、在线培训考试等内容,用户可以扫描系统生成的二维码即可参加消防培训与考试,实现远程教育和全民消防大培训的功能。 二、系统达到的效果 (一)有效落实了社会单位的安全主体责任:通过使用平台,社会单位按照自身岗位责任制,进行日常安全巡查计划的派发、执行、隐患上传、隐患整改,通过系统大数据统计、分析主体责任执行情况,明确单位责任主体职责,改变了单位传统的安全巡查不到位、检查记录不真实的现状。使得政府主管部门从定期检查社会单位安全报告,安全生产记录式碎片使得安全管理,到关注社会单位安全行为的系统管理,对社会单位的安全管理情况看得见,摸得着,有效的落实了社会单位的安全主体责任。 (二)有力推进了政府督导与行业监管:包括政府及行业年度计划、专项治理、隐患督办、隐患预警、工作提醒等功能,通过信息化手段,实现了对整个行政区划、整个行业消防责任制落实的全程监管,实时掌握各地区、各行业工作任务落实情况,将一年一次的实地督导检查变为全年实时监控。通过大数据分析,科学研判消防安全现状, 采取针对性措施加以解决,有效降低社会整体火灾风险。 (三)使用电“看得见”:通过物联网技术,电脑和手机上即可24小时查看电流值、线缆温度、是否漏电,
信息安全服务工具列表详解
信息安全服务工具列表 15 Troubleshooting Troubleshooting - Sysdig是一个能够让系统管理员和开发人员以前所未有方式洞察其系统行为的监控工具。一款系统调试工具,能够对系统进行故障排查和监控,在系统故障的时候非常实用。 Troubleshooting - SystemTap 是监控和跟踪运行中的Linux 内核的操作的动态方法。 Troubleshooting - Perf 是Linux kernel自带的用来进行软件性能分析的工具。通过它,应用程序可以利用 PMU,tracepoint 和内核中的特殊计数器来进行性能统计。它不但可以分析指定应用程序的性能问题 (per thread),也可以用来分析内核的性能问题,当然也可以同时分析应用代码和内核,从而全面理解应用程序中的性能瓶颈。 16 服务发现 服务发现- etcd 是一个高可用的 Key/Value 存储系统,主要用于分享配置和服务发现。在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现和注册而设计,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等功能,可以方便的跟踪并管理集群节点的状态。 17 持续集成 持续集成-Go 是一款先进的持续集成和发布管理系统,由ThoughtWorks开发。在Go的帮助下,我们能够以流水线的方式实现各类定期执行任务,而这些操作当中的实例会被称为job。还有它能够利用值流图对整个持续交付流程进行可视化处理。最终生成的图表能帮助我们追踪从提交到部署的整个流程中的各项具体变更。 持续集成-Jenkins,之前叫做Hudson,是基于Java开发的一种持续集成工具,用于监控秩序重复的工作,包括:1,持续的软件版本发布/测试项目 2,监控外部调用执行的工作。 持续集成-GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。它还提供一个代码片段收集功能可以轻松实现代码复用,便于日后有需要的时候进行查找。
互联网交互安全平台服务等级协议
合同编号: 互联网交互安全平台服 务等级协议 签订地点: 签订日期:年月日
互联网交互安全平台服务等级协议 一、服务范围 ××验证服务是一种由××网络科技有限公司自主研发的、具有自主知识产权、以SaaS形式服务各类用户的安全验证码产品。××验证通过搜集终端用户的行为特征从多个维度判断终端交互方是否为机器,满足用户各个使用场景下的安全需求。 二、服务等级指标 1.服务的持久性 1.1 考虑用户可能会处于不同的服务环境(私有化服务和公有服务)下,本SLA仅对公有服务具有约束性。 1.2 ××服务持久性周期为一个自然月,如果不满一个月则不计为一个服务周期。 1.3 ××验证以接口形式向客户提供服务,难免在部分区域因为网络波动等链路问题导致接口请求失败,××会配合客户进行链路优 机。 1.4××服务会通过各种手段保证××验证的服务月可用率不低
于99.9%,也即在一个自然月内××验证的宕机时间不会超过43.2分钟。根据用户购买的套餐等级,××验证会对部分超过套餐限额的服务请求进行一定的限制,这部分限制导致的服务不可用不计为服务宕机时间。月可用率计算公式为:每个服务周期服务可用时间/(每个服务周期服务可用时间+每个服务周期服务宕机时间。 1.5 ××验证拥有服务连续性管理方案: 1.5.1、常规服务:正常情况下,××验证提供电信、联通、BGP 以及国外(美国、香港、欧洲)等全球覆盖性的服务接入节点,并配有西咸、台州等备用节点。 1.5.2、异地热备:当××验证核心验证服务集群出现服务器宕机或者网络中断等故障导致××验证服务不可用时,××验证拥有自动检测核心服务集群可用性并自动切换核心验证服务到异地热备的验证服务集群的能力。 1.5.3、离线模式:我们开发了离线版服务供用户集成,在核心服务宕机时,用户可以使用离线服务避免自身业务受到影响。 2.数据可销毁性 数据持久性:不低于99.99%; 数据持久性按服务周期统计,一个服务周期为一个自然月,如不满一个月不计算为一个服务周期。 数据持久性计算公式:阿里云数据存储的可用性*××数据存储
信息系统安全等级测评工具
文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持. 1文档收集于互联网,如有不妥请联系删除. 信息系统安全 等级测评工具 【服务版】 产品规格说明书(PSI ) Product Specification Instructions 公安部第三研究所 2020年07月02日 版权所有 侵权必究 文档编码 CRBJ-PMD-PSI 项目管理号 1001-GFCSP-Tech
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持. [文档信息] [版本变更记录] [文档送呈] 目录 1 产品背景及概述 ................................................ 错误!未定义书签。 1.1 产品背景.................................................... 错误!未定义书签。 1.2 产品概述.................................................... 错误!未定义书签。 2 产品目标及策略 ................................................ 错误!未定义书签。 2.1 产品目标.................................................... 错误!未定义书签。 2.2 产品策略.................................................... 错误!未定义书签。 3 产品执行标准.................................................... 错误!未定义书签。 4 产品说明 ........................................................... 错误!未定义书签。 5 结论 .................................................................. 错误!未定义书签。 I文档收集于互联网,如有不妥请联系删除.
人工智能在网络安全与防护中的应用
人工智能在网络安全与防护中的应用 摘要:随着时代的发展,信息时代已经悄然来临。信息技术不断的成熟,迎来 了一个大数据的时代。因为计算机技术的广泛应用,使人们的生活水平上升到一 个新的层面。网络安全与防护的普及,为人们的生活和学习带来了巨大的便利条件。现在,已经逐渐的向人工智能的方向发展。本篇文章主要探究了在当今时代,人工智能在网络安全与防护中的应用,希望人工智能的应用能为人类社会的发展 开辟一个新纪元。 关键词:人工智能网络安全与防护应用探究 引言:人工智能指的是模拟人的思维方式以及意识,对机器进行改良,使其 具有人工智能功能,以便代替人类完成较为危险的、复杂的工作,以提升此类工 作的效率以及质量。将人工智能应用到计算机网络中,将会发挥出更好的优势。 本篇文章主要分探讨了人工智能在网络安全与防护中的应用,以提高人们的生活 水平。完善人们的生活方式。 一、我国网络安全与防护工作开展的现状研究 (一)我国计算机网络的现状 1、广告的干扰 通常情况下,用户在使用计算机网络的过程中,经常会从网页中弹出很多小 窗口,这些小窗口的内容都是广告,严重的影响了人们的工作和学习。因此,针 对这一情况,就需要相关部门想办法来解决。 2、病毒信息的干扰 随着计算机时代的到来,人们的生活也更加的方便,人们可以从网络上获取 各种各样的资源。网络是把双刃剑,有利也有弊。由于计算机系统中的不足之处,导致人们在下载所需要的信息时,会下载到一些含有病毒的文件,这些病毒下载 到电脑中以后,不仅是文件不能正常的使用,还会对电脑的硬件设施造成极大的 威胁。使电脑处于一个危险的环境中。 二、人工智能的特点 1、能处理模糊信息 人工智能具有较强的处理模糊信息的能力。在传统的计算机网络中,存在着 许多无法明确的以及无法预知的模糊信息。因此,应当将人工智能应用到计算机 网络系统中,使人工智能通过模糊逻辑的处理方式,对模糊信息进行推理,使信 息处理的能力得到提升。 2、具有学习能力以及处理非线性的能力 人工智能具有极强的学习能力以及处理非线性的能力。与传统的网络安全模 式相比较,人工智能的应用对网络安全管理起到了完全不同的作用。网络计算机 系统中所存在的信息不仅数量庞大,而且种类繁多。若想从这些信息中获取到有 效的数据,就应当从学习知识入手,而人工智能恰好有较强的学习能力,能对计 算机网络中的信息进行推理,最终得到有效的信息。由此可以看出,人工智能的 应用,可在很大程度上提升人们的工作效率。 二、人工智能在网络安全与防护中的应用 (一)入侵检测技术的应用 在计算机网络的安全管理工作中,入侵检测技术是整个计算机安全管理工作 中的重要组成部分。与此同时,入侵检测技术也是构成防火墙的核心技术。将人 工智能应用到计算机网络中的入侵检测技术中,能有效的提高计算机网络在运行
安全服务项目管理制度
1.前言 随着网络经济和网络时代的发展,网络已经成了一个无所不有、无所不用的工具。经济文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为了世界各国共同的焦点。而网络自身的一些特点,在为各国带来发展机遇的同时,也必将带来巨大的风险。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。因此网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。 根据不同用户现网环境及目前我单位的安全服务流程,为了提高我单位的安全服务品质,保障用户网络和终端的安全运行,特制定以下安全服务管理制度方案。 2.现场服务管理规定 2.1.1.1.服务方式 我单位提供的现场技术支持服务:包括5×8小时的现场技术支持服务和7×24小时电话支持和电子邮件支持。
日常工作时间,我方服务人员随用户方工作人员一起上下班;工作时间外可以直接拨打服务人员的移动电话或单位固话,在紧急情况下或由用户方提出需求,我单位工作人员可随时返回工作现场。 2.1.1.2.工作内容 防病毒系统 数据防泄漏系统系统 Liveupdate系统 安全预警 ●防病毒服务内容与输出结果:
数据防泄漏服务内容与输出结果:
智能制造云服务平台的设计与实现
智能制造云服务平台的设计与实现 发表时间:2017-10-20T13:55:29.257Z 来源:《防护工程》2017年第16期作者:顾大虎[导读] 云制造作为一种基于知识、面向服务、高效低碳的网络化智能制造新模式。 山东省聊城市民营经济发展局山东聊城 252000 摘要:目前,制造服务正成为制造业新的经济增长点。云制造———面向服务的网络化制造新模式,是2010年初科技部提出的设想,它融合了现有信息化制造技术及云计算、物联网、知识服务等技术,为制造业由生产型成功转型为服务型提供了一种新的思路。 关键词:云制造;服务平台;构架;设计 1.前言 云制造作为一种基于知识、面向服务、高效低碳的网络化智能制造新模式,强调产品全生命周期中各类制造资源的整合与高度共享,已经引起学术界、科技界和国家的高度重视,并开展了大量的研究工作。 2.云制造服务平台概述 云制造的概念起源于云计算,但两者存在显著的不同。云计算是一种利用大规模低成本运算单元、通过IP网络相连而组成的运算系统,它提供各种运算服务,其核心价值是节流、竞争和开源。云计算对制造行业的节流与开源有一定的帮助,但由于云计算服务模型的局限性,还是不能很好地解决当前制造行业的矛盾。近年来,随着云计算、物联网等技术的发展和日趋成熟,一种网络化制造新模式———云制造应运而生。云制造是一种面向服务、高效低能和基于知识的网络化智能制造新模式,其核心思想是“分散资源集中使用,集中资源分散服务”。这种新模式实现了制造过程的社会资源整合,提高了资源利用率,降低了企业资源的消耗,为企业从生产型向服务型转换提供了一个新的发展方向。西方发达国家针对云制造已开展了一些相关的工作,并取得了一系列成就。2000年,美国建立的网络平台MFG.com成为目前世界上最大的制造业交易平台,为全球的制造业合作伙伴快捷高效的合作提供服务;美国越野赛车厂Local-Motors.com平台则采用服务众包的方式,将所有的汽车生产过程中的全部个性化设计与制造过程众包给中小企业;此外,欧盟第七框架于2010年8月启动了在一套软件即服务应用支持下为用户提供可配置制造能力服务的制造云项目。我国制造业正处于从生产型向服务型、从价值链的低端向中高端、从制造大国向制造强国、从中国制造向中国创造转变的关键时期,正在培育新型制造服务模式,以满足制造企业最短的上市速度、最好的质量、最低的成本、最优的服务、最清洁的环境和基于知识的创新需求,支撑绿色和低碳制造。自20世纪末,我国相关研究机构针对计算机集成制造、制造网格、敏捷制造、虚拟制造和网络化制造等相关课题开展研究,取得了一系列成果,并在制造业各个领域发挥了重要作用,对推进我国制造业信息化进程做出了巨大贡献。可以预见,云制造服务平台的研究与开发将是下一阶段我国制造业信息化的重要方向之一,其核心是盘活社会制造资源存量,针对规模大、产业链长、组织结构复杂多样、企业整体协作性差等特点进行研究,以企业群体依托云制造服务平台,实现便捷的访问、知识的聚合与共享、服务资源的优化配置以及企业间的协同管理与交易。 3.制造云服务按需供应模式的架构 制造云服务按需供应模式的架构从整体上对云服务的各类供应模式及其层次、要素、关系进行了规范。针对制造云服务的特点和实际需求,提出的云服务按需供应模式的架构其包含的要素及特点如下: 3.1客户需求分离点 客户需求分离点指云制造服务平台中由基于资源供给、市场预测和使用记录进行资源组织和服务开发转向直接响应用户需求进行资源组织和服务开发的转换点。云服务的供应过程中,CDDP上游的活动是云制造服务平台“推”的过程,CDDP下游的活动是用户需求“拉”的过程。 3.2制造云服务按需供应模式的分类 按照CDDP在云服务供应过程中的位置不同,将云服务的按需供应模式分为按需求提供、按需求组合、按需求设计和按需求研发四种子模式。 (1)按需求提供 在PTD模式中,用户直接根据自身需求通过在云制造平台中主动查找或推送来发现和获取所需服务(这里的服务包括平台上已发布的原子服务、静态组合服务和组合服务模板),调用匹配的服务,并支付相应费用。例如模具企业需要热处理企业提供某种零件的常规热处理服务。 (2)按需求组合 平台或用户根据需求,利用平台中已有的服务装配成满足需求的服务组合的供应方式。CTD是一种面向用户需求的动态服务组合模式。例如,模具企业根据订单要求,组合原料和配件采购、热处理、加工外协、装配和试验等服务,其中的各种服务都是平台中现成的。 (3)按需求设计 在ETD模式中,平台接到用户的需求描述后,根据已有的资源和服务,重新设计所需服务的行为、结构和质量,并进行相关资源的重新封装,以及服务模块的配置和变型,在此基础上向用户提供新的云服务。例如,用户提出某种汽车油箱的整体解决方案服务需求,平台运营方根据用户需求,利用已有的资源和服务配置并重新设计平台中的相关服务,以提供整体解决方案服务。 (4)按需求研发 在RTD模式中,平台中现有的资源和服务无法提供满足用户特殊需求的服务(如平台缺乏用户所需的某种热处理方法和某种加工设备),可采用众包的模式,针对特殊需求服务的研发进行招投标,以引进外部新的资源和服务进行服务创新,扩大云制造服务平台资源优化配置的范围。例如,针对模具的再制造服务需求,模具企业发现平台中缺少模腔表面激光涂覆服务,需要寻找新的合作企业的资源,并需要对再制造服务的流程进行研发。需要说明的是,对于特殊需求的复杂服务而言,面向用户的整体服务往往需要以RTD和ETD模式供应,但组成整体服务的组件服务却可以CTD和PTD模式获取。