導語：如何才能寫好一篇安全控制方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]物聯(lián)網(wǎng)；通信管道；安全控制

中圖分類號：TP391.44；TN915.08 文獻標識碼：A 文章編號：1009-914X（2014）34-0242-01

1 引言

從定義來講，物聯(lián)網(wǎng)是一種在互聯(lián)網(wǎng)的基礎之上來延伸和擴展的一種網(wǎng)絡，是互聯(lián)網(wǎng)從數(shù)字世界向物理世界的進一步延伸，傳統(tǒng)的互聯(lián)網(wǎng)的安全威脅物聯(lián)網(wǎng)也擁有，所以由于物聯(lián)網(wǎng)涉及的現(xiàn)實世界數(shù)量很龐大，安全風險將從原本的虛擬世界向真實的物理世界所延伸，安全形勢則越來越嚴峻。電信運營商作為物聯(lián)網(wǎng)建設的重要參與者要時刻重視物聯(lián)網(wǎng)的安全問題，為物聯(lián)網(wǎng)業(yè)務發(fā)展提供有利的環(huán)境。

2 物聯(lián)網(wǎng)安全風險及防護思路

1.感知層

物聯(lián)網(wǎng)感知層的特點包括數(shù)量龐大，環(huán)境條件惡劣，無人值守，節(jié)點失效等等，風險很大。所以大多數(shù)感知點在能量和儲存空間方面，計算能力方面受到多方面的限制，無法應付高強度的安全協(xié)議和安全算法，所以安全防護的困難很大。感知層的安全防護重點在于保障信息采集的安全性，在考慮因素中要注意節(jié)點資源受限等因素，建立加密算法，密鑰管理體系，保障采集的節(jié)點信息和其控制信息的有效性和真實性，防止信息的篡改。同時防止感知節(jié)點被病毒和垃圾信息的攻擊導致停止工作。

2.網(wǎng)絡層

物聯(lián)網(wǎng)的網(wǎng)絡層主要包括了有線，無線以及衛(wèi)星通道等等，網(wǎng)絡安全問題已經(jīng)不是物聯(lián)網(wǎng)研究范圍下的新課題，但對于物聯(lián)網(wǎng)通信網(wǎng)絡的大部分安全問題可以通過傳統(tǒng)的安全防護策略來解決。但是物聯(lián)網(wǎng)的網(wǎng)絡層和傳統(tǒng)的通信網(wǎng)絡層也很不同，物聯(lián)網(wǎng)網(wǎng)絡層的特點包括數(shù)量巨大，需要短時間之內接入網(wǎng)絡，信息流量和數(shù)據(jù)流量非常大，短時間內接入網(wǎng)絡，信息流量會到來網(wǎng)絡堵塞，所以要控制加強網(wǎng)絡資源管控能力，減少和環(huán)節(jié)突發(fā)流量對網(wǎng)絡的沖擊。同時物聯(lián)網(wǎng)的網(wǎng)絡層要認真考慮和計算安全性和實用性之間的平衡關系，考慮基于組的形式進行認證，避免導致大量網(wǎng)絡資源被消耗的問題發(fā)生。

（1）應用層

在物聯(lián)網(wǎng)應用層方面主要通過分析處理感知數(shù)據(jù)，為行業(yè)的用戶提供數(shù)據(jù)的服務。所以在這個過程中存在一系列的風險點，比如，大量的在使用無線通信和電子標簽涉及到用戶隱私的泄漏和惡意跟蹤等安全威脅，同時數(shù)據(jù)控制的安全也需要注意，存在一些業(yè)務濫用或者惡意的使用風險。由于應用層涉及各種行業(yè)應用，差異較大，應針對各類智能應用的特點、使用場景、服務對象及用戶特殊要求制定個性化的安全策略。在這些個性化安全策略的制定過程中，會有很多共性的安全防護策略。所以在應用層數(shù)據(jù)處理過程中應注意隱私保護問題，除了采用位置偽裝，空間加密等隱私保護技術外，還應對數(shù)據(jù)存取控制權限進行嚴格限定，防止隱私數(shù)據(jù)的非授權讀取。

3 物聯(lián)網(wǎng)通信管道安全控制方案

3.1 安全管理平臺架構

安全平臺的架構主要包括能力租用管理，能力租用管理又包括本平臺租用他平臺安全能力，另一種包括其他系統(tǒng)租用本平臺的安全管理能力。根據(jù)這幾點本方案主要采用云計算來架構安全管理的平臺，為物聯(lián)網(wǎng)終端提供統(tǒng)一的身份認證和安全基礎服務，同時為了減少終端存在的風險，要為物聯(lián)網(wǎng)終端提供配置安全策略，集中分發(fā)校驗的功能。最后，根據(jù)流量的變化來調整安全策略，用以環(huán)節(jié)突發(fā)流量對物聯(lián)網(wǎng)造成的破壞沖擊。

3.2 實現(xiàn)流程

在終端方面，首先應用系統(tǒng)要確認雙方身份的合法性才能夠保證安全管理，其次，在安全管理平臺驗證使用訪問權限和驗證碼的配置來控制保證安全策略的應用。第三，在雙方配置安全策略實現(xiàn)互相訪問和物聯(lián)網(wǎng)數(shù)據(jù)流量過大時造成的網(wǎng)絡堵塞，對網(wǎng)關的安全進行認證，從而有效的解決大量的驗證請求，最大限度的避免過多請求帶來的資源損耗。最后，在平臺相對閑暇時由管理平臺按照一定的策略來控制終端發(fā)起重認證。

3.3 密鑰管理

對安全密鑰的管理關系到整個數(shù)據(jù)傳輸?shù)陌踩?，所以是非常有必要的手段，在本方案中，感知網(wǎng)絡通信密鑰由安全管理平臺來進行統(tǒng)一的歷和維護。本方案將安全密鑰大體分為兩種，第一是網(wǎng)內通信的密鑰，這個密鑰主要用于感知網(wǎng)絡內普通節(jié)點之間的通信，第二類是網(wǎng)關密鑰，但網(wǎng)關的密鑰要高于網(wǎng)內的密鑰，這兩點要辨析清楚，不能混用。對于普通的節(jié)點與應用服務器之間的數(shù)據(jù)傳輸經(jīng)過網(wǎng)關節(jié)點來進行轉發(fā)，所以在過程中需要對兩段數(shù)據(jù)分別加密，普通節(jié)點和網(wǎng)關節(jié)點都應該加網(wǎng)絡密鑰，此后網(wǎng)關接收并且解密數(shù)據(jù)，最后再采用遠距離傳輸密鑰進行重新的加密和上傳。普通的節(jié)點在需要通信時，如果雙方都支持密鑰組，那么需要交換和協(xié)商，或者直接采用密鑰加密的方法，否則網(wǎng)關申請的密鑰從維護的密鑰組中隨機選擇一組密鑰來分配給雙方，雙方來對該密鑰進行加密。但在此過程中要對嚴格控制密鑰的擴散范圍，每個節(jié)點最多分配m個密鑰，當節(jié)點達到臨界點時，則無需與相同密鑰節(jié)點通信時，網(wǎng)關將為通信的雙方分配缺省的組間通信密鑰。

3.4 方案特點

本方案中，感知網(wǎng)絡安全策略和密鑰由安全管理平臺來進行統(tǒng)一的管理，并且并下發(fā)到網(wǎng)關節(jié)點，網(wǎng)關節(jié)點在感知網(wǎng)絡內實施安全策略從而大量的解決認證請求，特別是突發(fā)請求對于網(wǎng)絡資源大量消耗問題的解決。除此之外，安全管理平臺可以根據(jù)流量的變化來動態(tài)的調整安全策略，避免和緩解突發(fā)流量來對網(wǎng)絡進行沖擊，在本方案中，物聯(lián)網(wǎng)和終端中間，終端和應用服務器之間來進行互訪，由安全管理平臺進行統(tǒng)一的訪問控制和安全控制，配置動態(tài)的安全策略，按需開放最小訪問的權限以此來減少風險。另外，家庭網(wǎng)關默認禁止用戶接入，當控制終端需要接入時，才根據(jù)安全管理平臺下發(fā)的安全策略臨時添加相應的訪問控制策略，從而極大降低家庭網(wǎng)關的安全風險。

4 結語

物聯(lián)網(wǎng)的安全是物聯(lián)網(wǎng)大規(guī)模運用于生活中的基礎，同時物聯(lián)網(wǎng)的特性和安全問題將面臨著巨大的挑戰(zhàn)，給予安全管理平臺的通信管道安全控制方案來感知網(wǎng)絡安全策略，并將通信密鑰由安全管理平臺來統(tǒng)一的進行管理和發(fā)放到網(wǎng)關節(jié)點，這些都能夠有效的解決突發(fā)請求對于網(wǎng)絡資源大量消耗的問題，不僅如此，通過安全管理平臺來實施統(tǒng)一的安全策略控制，通信的雙方采取動態(tài)的配置安全策略，這些都能夠非常有效的減少通信雙方的安全風險。

參考文獻

篇2

【關鍵詞】

中圖分類號：TV523 文獻標識碼：A 文章編號：

一、前言

施工項目質量管理是一個系統(tǒng)工程。涉及施工單位、建設單位、監(jiān)理單位、設計單位直至施工現(xiàn)場的操作工人。加之生產(chǎn)周期長、自然環(huán)境影響等因素，導致質量管理的難度很大。甲方要運用現(xiàn)代管理的思想和方法，建立行之有效的質量管理體系，項目施工的全過程有效運行，才能保證工程質量的穩(wěn)定和提高。

二、工程設計階段甲方的管理

1、根據(jù)工程項目的計劃，優(yōu)化選擇( 或招標選擇) 設計單位

好的設計單位能提供優(yōu)秀的設計，設計成果的優(yōu)劣直接關系到工程的使用效果和工程造價，選擇設計單位是整個工程的關鍵性工作；提供準確詳實的設計基本資料, 及時詳細地了解設計工作進展情況和設計思想，提出甲方對功能的使用要求和意見，避免和減少在施工中固甲方原因出現(xiàn)大量的設計變更；組織好設計圖紙和概算的審查工作;按有關程序做好工程項目的申報上作；辦理前期工作手續(xù)。

2 實行工程招投標制，優(yōu)選施工隊伍

選擇業(yè)績優(yōu)，素質好，社會效益及社會信譽高的施工隊伍是目前社會的大趨勢，國家建設部及省市建設主管部門有明文規(guī)定，全面推行工程招標制，凡超過1 0 0 0㎡的工程均執(zhí)行招標制，我們在總結了過去幾年工程施工經(jīng)驗的同時，為使今后工程質量年年達到優(yōu)良， 實行了招投標制；1 0 0 0 ㎡以內的工程采取邀請招投標制，選擇3 ～4 個比較了解的工程隊伍進行招標；1000㎡ 以上的工程，實行公開招標，對中標的施工隊伍，我們采取了兩種措施：一是要強化技術培訓，對甲方技術人員做開工前的專門技術學習，對乙方的項目經(jīng)理、施工隊伍、技術員、安全員、工長進行業(yè)務培訓，組織學習新的規(guī)范、規(guī)程，總結以前的建筑施工經(jīng)驗，指出新開工的工程可能出現(xiàn)的質量通病，提出處理問題的有效措施，強化防范為主的質量意識。二是同中標單位簽訂合同時要提出強化質量的有效措施，加強合同建設效益，提出工程隊伍文明施工的要求，開展進度質量的勞動競賽，定期組織校區(qū)范圍的工程隊伍聯(lián)合檢查，以打分的形式評出先進的隊伍。

3 編制好施工組織設計

做好工程開工前的準備工作。甲方工程技術人員要以身作則，按圖紙內容，拿出甲方的施工組織設計，將工程線路、進度計劃、材料計劃及預算報上級領導。更主要的是做好中標企業(yè)開工前的技術工作，要求中標單位在半月內依據(jù)圖紙及施工規(guī)范要求，作出施工組織設計和施工進度計劃，及時向甲方人員提交材料計劃及預算，以便于甲方控制投資。對施工單位提交的施工方案，甲方主管工程師要在半個月內認真審查閱讀，批準施工方案。施工期間要根據(jù)該方案，嚴要求、嚴管理，積極配合施工單位落實施工計劃。

三、影響施工項目質量的四大因素

四大因素即人、材料、機械和方法。

1、人的控制

（一）要選配技術水平高，管理能力強的項目經(jīng)理及其領導班子成員。這種“選配”可通過招投標、親自考察等方式，尤其要考察近幾年的業(yè)績，并廣泛聽取有關人員的反映。

（二）要嚴格審查分包單位的資質。審查對象包括企業(yè)整體素質、領導班子素質以及職工隊伍個人素質，尤其要認真核查技術負責人的綜合素質。

（三）技術工人要持證上崗。技術人員的技術等級和相關證件要真實有效，有必要時應認真查驗原件。

（四）到自上而下層層抓緊。

（五）貫徹執(zhí)行獎罰制度。適當?shù)莫剟畋纫晃兜亓P款更具有積極作用。

2、材料控制

嚴格控制建筑材料的質量是保證建筑工程質量的基礎。

（一）首先要把好材料采購關。通過招投標或其他形式，優(yōu)選材料供應廠家。最好組織有關人員去廠家實地考察，檢查是否名列國家批準的名錄以內。另外，對企業(yè)規(guī)模、資質、廠家的檢測手段等項目都要認真考察。

（二）材料的試驗和檢驗。要求承包單位對主要原材料復試，并對復試結果妥善保管。對于材料的試驗和檢驗單位也要認真考察。

（三）對新材料新產(chǎn)品要核查、鑒定其證明和確認的文件。

（四）加強材料進場后的管理。要合理堆放，要有明顯標志；要有專人負責，經(jīng)常檢查；要嚴格貫徹執(zhí)行《建設工程質量管理條例》，不合格的建筑材料、構配件和設備不得在工程中使用或安裝。

3、機械設備的控制

（一）對于主要施工設備應審查其規(guī)格、型號是否符合施工組織設計的要求。設備進場并調試合格后，上報審核，需要定期檢查的設備，應有鑒定證明。

（二）對于工程項目的設備質量控制，主要包括檢查驗收，設備的安裝質量以及調試和試車運轉。要認真審查供貨廠家的資質證明、產(chǎn)品合格證、進口材料和設備商檢證明，并要求承包單位按規(guī)定進行復試。設備的安裝要符合設備的技術要求和質量標準。安裝過程中控制好土建和設備安裝的交叉作業(yè)。設備調試要按照設計要求和程序進行，要求試車運轉正常。

4、施工方法的控制

主要包括施工組織設計、施工技術方案、季節(jié)性的施工方案、冬季施工方案、雨季施工方案等。

（一）施工組織設計的編制、審查和批準應符合規(guī)定的程序。

（二）施工組織設計應符合國家的技術政策，充分考慮承包合同規(guī)定的條件,施工現(xiàn)場的條件及法規(guī)條件的要求。注意其可操作性，工期和質量目標切實可行。

（三）對主要項目、關鍵部位和難度較大的項目，如新結構、新材料、新工藝、大跨度、高大結構等部位，做好處理質量問題的預案。

四、建筑施工安全控制措施

建筑工程施工安全控制管理對象是整個施工過程的具體危險因素，施工過程的危險因素包括技術工藝因素、材料因素、機械設備因素、環(huán)境因素、管理因素等五大類因素，每種因素都包含一定數(shù)量的具體危險因素。根據(jù)建筑工程的施工過程危險因素預防控制工作可分為：施工準備階段的安全方案制定和初始評審及相關準備工作；工程實體施工全過程（基礎施工階段、主體施工階段、裝飾安裝階段）的危險因素識別分析、預報和定期評價分析、根據(jù)評價分析結果采取相應的控制措施；發(fā)生事故后的應急管理和緊急救援等不同階段的內容。

1、材料因素控制措施

建立安全物質材料和建筑實體材料招投標制度；建立安全物質材料和建筑實體材料進場復檢制度，確保使用的材料符合國家相關質量安全標準。

2.機械設備因素控制措施

選用安全性能較高的機械設備指定專人操作危險性較大的機械設備，特殊設備操作人員持證上崗定期檢修保養(yǎng)機械設備、及時更換零部件，確保機械設備安全正常運轉。

3.技術工藝因素控制措施

在施工組織設計中進行專項安全施工方案設計、采用成熟的施工工藝標準和安全技術標準等。專項安全施工方案應包括內容有：臨時用電安全方案、基坑護坡支護安全方案、腳手架搭拆安全方案、模板支撐體系安全設計方案、高處作業(yè)臨邊洞口安全防護方案、建筑構配件吊裝安全方案；使崗位安全化、操作標準化，根據(jù)各個工種所涉及的危險因素和技術工藝特征，編制科學合理的安全操作規(guī)程、安全作業(yè)指導書，通過專門的培訓教育或崗前的技術交底，使崗位安全操作規(guī)程和作業(yè)指導書，真正落到實處。施工企業(yè)對崗位安全操作規(guī)程和作業(yè)指導書，要根據(jù)施工進度和實際狀況進行定期檢查和修正。

結論

作為建設單位甲方是“主人”。應主動協(xié)調好各方的關系做到公正、公平、合理。對待參建各方既要嚴格要求，又要熱情關心。協(xié)調各方齊心協(xié)力把工程干好。作為施工單位要做到急甲方之所急，想甲方之所想。嚴格執(zhí)行國家規(guī)范標準，履行施工合同，把工程建設好。

【參考文獻】

[1] 馬鳳起 甲方代表如何抓好建筑施工現(xiàn)場管理 [期刊論文] -管理觀察2011(33)

篇3

訪問控制技術是網(wǎng)絡安全體系中的重要技術，它是維護網(wǎng)絡安全的一個十分重要的保護屏障。本文首先從訪問控制技術的概念和原理進行了闡述，然后訪問控制涉及的技術手段進行討論，最后網(wǎng)絡安全中的應用層面的具體應用進行了詳細的分析和探討，希望能對保護網(wǎng)絡安全體系結構的研究和設計提出有效的建議。

關鍵詞：

網(wǎng)絡安全；訪問控制技術；應用；探討

0前言

隨著現(xiàn)代計算機網(wǎng)絡的不斷普及，網(wǎng)絡技術的應用已經(jīng)深入社會生活的每個角落，尤其是行業(yè)的業(yè)務辦理系統(tǒng)中。當前很多企業(yè)的業(yè)務辦理，普遍使用的網(wǎng)絡業(yè)務系統(tǒng)進行辦公，在網(wǎng)絡系統(tǒng)不斷發(fā)展的過程中，網(wǎng)絡安全問題逐漸暴露在人們的眼中，也成為當前急切需要解決的重要問題。針對網(wǎng)絡安全問題，IT公司進行了大量的技術開發(fā)，訪問控制技術由此出現(xiàn)，并成為當前應用較廣的網(wǎng)絡安全保護措施。

1訪問控制概念及其應用的原理

（1）訪問控制的概念

訪問控制通常會以顯式手段對訪問能力及訪問內容范圍，進行限制性的設置。訪問控制是一種防范非法用戶進行資源訪問等入侵行為的有效的技術手段，它可以對用戶訪問重要資源的權限進行限定，即使是合法用戶由于錯誤操作而造成破壞，也可以通過訪問限制來進行阻止，這樣就保證了網(wǎng)絡資源在可控、合法的條件下進行使用。用戶進行系統(tǒng)訪問時，只能按照系統(tǒng)授予的權限，禁止越權進行系統(tǒng)訪問。雖然，訪問控制是以身份認證為技術實現(xiàn)的前提，但是訪問控制技術和身份認證技術有著根本性的差別。

（2）訪問控制技術應用的原理

當前訪問控制技術應用的原理是運用路由器上的訪問列表進行數(shù)據(jù)包有效過濾。由訪問列表對網(wǎng)絡數(shù)據(jù)包的傳遞進行嚴格的控制，不僅僅是對虛擬終端的線路通信量實施控制，并且對路由選擇更新也有很好的控制功能。路由器其自身產(chǎn)生的數(shù)據(jù)包，并非是由于包過濾功能造成的，如果數(shù)據(jù)包傳輸?shù)竭_某一個端口的時候，路由器就具備對數(shù)據(jù)是否可以通過路由或者橋接的形式輸出的查驗功能。假設數(shù)據(jù)包無法輸出，則會被丟棄，如果查驗結果是該數(shù)據(jù)包可以有效輸出，那么路由器驗證數(shù)據(jù)包是否能夠符合端口定義的包過濾規(guī)則，若不符合該規(guī)則，路由器仍然會將數(shù)據(jù)包的傳輸阻斷，數(shù)據(jù)包會被路由系統(tǒng)丟棄。通常訪問列表是由多條規(guī)則組成的，因此可以通過制定輸入規(guī)則來進行數(shù)據(jù)包的允許或禁止的權限限定，可以將號碼作為訪問列表的特定標志，同樣的訪問列表中的所有語句應當對應的同樣的號碼，這樣就導致號碼范圍會取決于訪問列表的類型。

2在網(wǎng)絡安全中訪問控制的技術手段

訪問控制是進行網(wǎng)絡安全保護應用的主要技術手段，它通過充分保證網(wǎng)絡資源不會被攻擊和非法訪問。訪問控制的技術手段中涉及的內容也很多，比如：入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等等，下面進行詳細的討論。

（1）用戶入網(wǎng)訪問控制

對用戶入網(wǎng)訪問的操作進行控制是指為網(wǎng)絡訪問提供了第一層訪問控制。其主要的控制功能體現(xiàn)在設置用戶登錄到服務器的權限，以及用戶入網(wǎng)的時間范圍。用戶的入網(wǎng)訪問控制可以分成用戶名的識別、用戶口令的驗證以及用戶賬號的缺省限制查驗這三個主要步驟，必須完成三個步驟才能獲得訪問權限。

（2）網(wǎng)絡權限控制

進行網(wǎng)絡權限控制是為了解決有效防范網(wǎng)絡非法操作的措施，給予用戶及用戶組相應的權限。對于用戶及用戶組進行目錄、子目錄等網(wǎng)絡資源的訪問的權限進行控制，可用于具體指定此類用戶電影對應操作權限的文件、目錄、設備等內容。即以受托者授權用戶和用戶組使用目錄、文件等網(wǎng)絡資源，而繼承權限屏蔽（irm）方式類似于過濾器，對于子目錄從父目錄中繼承的權限進行控制。

（3）目錄級安全控制

網(wǎng)絡控制用戶對目錄進行訪問的方式是在一級目錄對應獲得的權限可以對該一級目錄下的所有子目錄有效，甚至用戶對子目錄中的文件訪問權限進行授權。提出對于目錄中文件的訪問權限有：系統(tǒng)管理員權限、讀寫權限、刪除權限、修改權限、查找權限等。判斷用戶對目錄文件的權限的有效性要看兩個方面，包括有用戶及用戶所在組的受托者指派和繼承權限屏蔽取消的用戶權限。為用戶設置合適的訪問權限是保證網(wǎng)絡資源訪問效率的主要因素。

（4）屬性安全控制

網(wǎng)絡系統(tǒng)管理員可以在權限安全的基礎上設置文件、目錄等內容對應的訪問安全屬性。屬性的具體設置應當將指定的受托者指派和有效權限進行覆蓋，生成對應一張訪問屬性控制表，以表示用戶對網(wǎng)絡資源的訪問能力。屬性能夠控制的權限包括：文件數(shù)據(jù)寫入和拷貝、目錄查看和刪除、文件的執(zhí)行、隱藏和共享操作等。

（5）服務器安全控制

用戶可以使用網(wǎng)絡服務器控制臺進行系統(tǒng)模塊的裝載和卸載操作，以及進行軟件的安裝和刪除等。實施網(wǎng)絡服務器的安全控制，可以設定口令鎖定服務器控制臺和服務器登錄時間限制，有效防范非法用戶對于網(wǎng)絡資源進行惡意的修改、刪除等破壞性操作。

（6）網(wǎng)絡端口和節(jié)點的安全控制

信息通過網(wǎng)絡端口進入計算機系統(tǒng)中，端口對于網(wǎng)絡資源系統(tǒng)進行安全保護的形式，通常是借助自動回呼設備以及靜默調制解調器進行加密以識別節(jié)點身份。自動回呼設備的作用主要在于用戶身份真實性識別，而靜默調制解調器的作用主要在于防御黑客利用自動撥號程序攻擊網(wǎng)絡系統(tǒng)。此外在服務器端和用戶端進行系統(tǒng)安全控制的方式。還有用戶攜帶身份驗證硬件進行驗證，如智能卡、安全密碼驗證器等，只有用戶身份得到訪問控制系統(tǒng)確認之后，才能被授權進入用戶端。

（7）網(wǎng)絡檢測和自動鎖定控制

服務器可以自身具備一定的監(jiān)控功能，對用戶對網(wǎng)絡資源的訪問進行記錄，一旦出現(xiàn)異常，系統(tǒng)可以自發(fā)向網(wǎng)絡資源管理人員發(fā)送警告提示，通知網(wǎng)絡資源管理人員及時采取相應的措施。假如非法攻擊和入侵網(wǎng)絡的次數(shù)達到系統(tǒng)設置的合理數(shù)值，網(wǎng)絡資源系統(tǒng)也可以自行進行鎖定。（8）防火墻控制通過防火墻技術是進行加強網(wǎng)絡間訪問控制的常見手段，可以有效防范外部網(wǎng)絡的用戶強行侵入內部網(wǎng)絡,對內部網(wǎng)絡資源進行竊取、復制等惡意操作。防火墻技術對多個網(wǎng)絡間的數(shù)據(jù)都會在既有的安全規(guī)則框架下進行檢查,以充分保證網(wǎng)絡通信的合法性和安全性,并且可以有效對網(wǎng)絡運行是否正常進行監(jiān)督。

3訪問控制技術在網(wǎng)絡安全中的應用

訪問控制技術在整個的網(wǎng)絡信息系統(tǒng)中的各個層面，都可以進行訪問控制技術的運用，例如本文從應用系統(tǒng)層、網(wǎng)絡層、數(shù)據(jù)庫管理系統(tǒng)層、操作系統(tǒng)層控制技術的運用進行了探討.

（1）訪問控制技術在應用系統(tǒng)層的運用

應用系統(tǒng)是由數(shù)據(jù)庫管理系統(tǒng)、操作系統(tǒng)等軟件進行基礎架構的，能夠為客戶提供其需要的軟件程序。進行應用系統(tǒng)的開發(fā)，就必須考慮訪問控制措施的合理規(guī)劃。而訪問控制措施的規(guī)劃要結合網(wǎng)絡信息系統(tǒng)中主要的綜合業(yè)務系統(tǒng)進行對應的配套開發(fā)。業(yè)務系統(tǒng)的操作模式，系統(tǒng)中操作主體的權限都是需要進行訪問控制規(guī)劃考慮的重要內容。尤其是該業(yè)務系統(tǒng)中的安全管理這一部分，要有針對性的制定訪問控制措施的具體規(guī)則，進行業(yè)務操作必須按照規(guī)則來進行。

（2）訪問控制技術在網(wǎng)絡層的運用

訪問控制列表在路由器和三層交換機中有廣泛的應用。其中主客體即源地址、端口號與目的地址，在進行訪問控制列表的網(wǎng)絡資源時，必須遵循相應的保護規(guī)則，假如數(shù)據(jù)包可以充分滿足網(wǎng)絡安全保護規(guī)則標準，才能被則允許輸出。MAC地址過濾的步驟中，往往就將待訪問目標視為客體，而將MAC地址視為主體，因此通常就是按照定義MAC地址過濾列表來制定相應的保護規(guī)則，滿足這個保護規(guī)則的MAC地址數(shù)據(jù)包才能被允許輸出。此外，網(wǎng)絡內部網(wǎng)絡和外部網(wǎng)絡之分，以源端口號、源IP地址作為主體，而將目的端口號與IP地址作為客體，然后遵循安全保護規(guī)則的數(shù)據(jù)包才能被允許輸出，這種技術就是防火墻技術。

（3）訪問控制技術在數(shù)據(jù)庫管理系統(tǒng)層的運用

在網(wǎng)絡系統(tǒng)中，不僅僅是操作系統(tǒng)具有重要性，數(shù)據(jù)庫管理系統(tǒng)也是非常重要的，它是組成應用系統(tǒng)構架的重要內容。在數(shù)據(jù)庫管理系統(tǒng)中，訪問控制技術也被視為一個關鍵性的安全保護措施。數(shù)據(jù)庫管理系統(tǒng)將身份認證通過的登錄信息作為主體，而系統(tǒng)中的文件、字段、表以及操作作為對應的客體?？刂朴脩粼L問的規(guī)則也會對用戶在數(shù)據(jù)庫中的存取操作的執(zhí)行產(chǎn)生影響。數(shù)據(jù)庫中的存取矩陣也是對用戶訪問控制規(guī)則的反應。數(shù)據(jù)庫中，列在該存取矩陣中代表著系統(tǒng)客體，比如字段、表等等，陣列的各個單元表示的是主體對于客體或相異主體之間的存取方法，比如進行數(shù)據(jù)庫中的增刪、查詢、修改等操作。數(shù)據(jù)庫管理系統(tǒng)由于其數(shù)據(jù)的重要性，進行應用系統(tǒng)設計時要考慮將數(shù)據(jù)庫中內容作為依據(jù)，因而訪問控制措施對于數(shù)據(jù)庫管理系統(tǒng)中數(shù)據(jù)的保護而言就具有重要意義。由于一旦數(shù)據(jù)庫管理系統(tǒng)的訪問權限被非法用戶獲取后，就可能出現(xiàn)不需要經(jīng)過應用系統(tǒng)直接獲取數(shù)據(jù)庫中數(shù)據(jù)的情況，因此，網(wǎng)絡系統(tǒng)開發(fā)管理部門就需要重視制定嚴格有效數(shù)據(jù)庫系統(tǒng)的訪問控制方案，對于數(shù)據(jù)庫管理系統(tǒng)中主體的最小權限進行深入分析，然后再進行存取矩陣的設定工作。一般而言，應用系統(tǒng)用戶沒有直接獲取數(shù)據(jù)庫管理系統(tǒng)權限的途徑,這樣進行規(guī)劃的目的在于不會對數(shù)據(jù)庫管理系統(tǒng)進行直接操作,通過制定有效的管控措施來避免直接授權操作。如果存在直接登錄進行數(shù)據(jù)庫系統(tǒng)操作的必要,那么也要進行操作的限制，不能對開發(fā)用戶進全面的授權?？梢越档筒樵儥嘞薜氖谟枰?但一定要對數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)增刪和修改操作權限的嚴格限制。

（4）訪問控制技術在操作系統(tǒng)層的運用

在網(wǎng)絡操作系統(tǒng)中的系統(tǒng)操作層面，用戶的身份認證有著極其重要作用，也是進行訪問控制依據(jù)的內容，并以此來進行網(wǎng)絡安全管理。隨著技術的不斷進步，進行用戶身份認證的方法有很多，如口令、指紋以及身份卡以等等。系統(tǒng)會對身份認證沒有通過的用戶實施禁入措施，假如用戶的身份認證正確，那么系統(tǒng)會將登錄系統(tǒng)的身份信息作為主體，而將系統(tǒng)的設備、數(shù)據(jù)文件、系統(tǒng)操作、系統(tǒng)進程作為客體，通常會出現(xiàn)比如數(shù)據(jù)讀寫、刪除以及修改等操作行為。通常利用用戶對信息存取控制進行用戶的身識別和存取訪問規(guī)則的制定，系統(tǒng)會根據(jù)需要授予不同的用戶不一樣的系統(tǒng)存取的權限，比如在寫入或者讀取方面。通常以存取矩陣模型來進行訪問控制規(guī)則的表示，因此從大型矩陣陣列則可以看出系統(tǒng)安全運行的狀態(tài)。系統(tǒng)主體由行進行表示，而對應的系統(tǒng)客體則用列來進行表示。主體對于客體或各個不同主體之間的存取是通過陣列單元進行填入的數(shù)值表示的。數(shù)據(jù)庫管理系統(tǒng)以及操作系統(tǒng)都是通過科學的設置訪問控制措施來對內部與外包開發(fā)人員進行有效限，以有效避免出現(xiàn)內部與外包開發(fā)人員故意越權進行操作系統(tǒng)的情況。因為假如出現(xiàn)對系統(tǒng)的內部和外包開發(fā)人授予權限過多的情況，那么網(wǎng)絡系統(tǒng)的安全就難以得到保障。進行網(wǎng)絡系統(tǒng)開發(fā)的科技部門必須對于操作系統(tǒng)訪問控制措施的設計給予充分的重視，對于文件系統(tǒng)中的用戶要按照最小權限進行授予，再在此基礎上通過存取矩陣進行科學的設定。

4結束語

隨著現(xiàn)代社會中網(wǎng)絡科技的迅速發(fā)展和普及，計算機網(wǎng)絡在各行各業(yè)的業(yè)的業(yè)務系統(tǒng)建設建設中占據(jù)了相當重要的位置。在網(wǎng)絡安全體系結構的設計中，訪問控制已經(jīng)成為保障網(wǎng)絡安全的核心技術手段之一。訪問控制措施的設計必須符合相關的標準和要求，即嚴格遵循最小權限授予原則、分散系統(tǒng)業(yè)務職責給多人負責，對非法用戶的操作進行及時阻止等，以此充分保障網(wǎng)絡安全體系結構設計的科學性。

作者：梁樹軍 李玉華 尚展壘 單位：鄭州輕工業(yè)學院

引用：

[1]房文治.網(wǎng)絡安全訪問控制技術[J].電子技術與軟件工程，2014.

[2]許鑫.基于訪問控制模型實現(xiàn)銀行網(wǎng)絡安全目標[J].計算機技術與發(fā)展，2012.

[3]王鐵鋼.淺談“訪問控制”技術在銀行網(wǎng)絡安全中的運用[J].計算機光盤軟件與應用，2012.

[4]黃義強.探究網(wǎng)絡安全中的訪問控制技術[J].無線互聯(lián)科技，2011.

篇4

【關鍵詞】房屋裝修；房屋控制；安全措施；

隨著經(jīng)濟水平的快速增長，近年來，人們的生活水平也得到明顯改善，因而對于一些生活方面的條件要求越來越高，居住環(huán)境要求就是很典型的一個例子，人們伴隨著人們對居住條件的不斷增強，住宅的裝修改造逐漸成為一種時尚潮流。

一、房屋裝修裝飾

1.1含義

房屋建筑裝修裝飾工程即在保證建筑物的主體結構完整的前提下，為了使建筑物的外表看起來更舒適，使用功能更為完備，用各種裝修材料或者裝飾品對建筑物的內外表面以及空間進行裝飾的處理過程[1]。因而對于房屋裝修來說，它是將科學的建筑功能和藝術化的建筑環(huán)境相結合的一項工程，房屋的裝修裝飾已經(jīng)成為人們日常生活中必不可少的一部分。

1.2作用

房屋裝修滿足了人們對于其居住生活環(huán)境的向往，為戶主提供一種更為舒適的、精神所需的生活場所，它與人們的生活息息相關，時時刻刻在為人們的生活質量提供服務。

（1）對建筑主體結構或圍護結構的保護作用

一般情況下，建筑物損害的原因包括兩個方面：一個方面是受到自然條件的影響，比如雨水侵蝕作用等；另一方面是認為因素，如因為人們的行為對其造成損壞等。通過對建筑物進行裝修裝飾，采用科學合理的施工技術及材料，對房屋建筑進行有效的防范保護作用，從而有效的保障了建筑結構的完整，從而延長其使用壽命。

（2）提升房屋建筑使用功能的作用

對房屋建筑進行裝修裝飾，能夠改善其內外部的空間環(huán)境，不單單是對防災措施的完善，另一方面通過對房屋設施裝備的完善，創(chuàng)造更好的居住條件，對于優(yōu)化人們生活居住環(huán)境，提升房屋空間功能有著重要的促進作用。

（3）美化建筑空間增強藝術效果的作用

對房屋的裝飾裝修即是設計者從房屋的空間、體型、比例、尺度、用材等多方面進行考量，對建筑物的室內外色彩、線條、花飾等進行藝術加工處理，從而創(chuàng)造出滿足戶主的和諧豐富費物質空間環(huán)境，從而促使使用者精神物質上得到極大的滿足[2]。

二、房屋控制

2.1設計質量的安全控制

房屋建筑的裝修是將科學與美觀相結合的藝術和技術的吻合之作。然而近些年的裝修市場各種問題的涌現(xiàn)，例如：沒有提前對房屋建筑進行科學設計就直接施工，落后于市場需求的房屋裝飾裝修，只重視設計創(chuàng)新而忽視施工結構和工藝的現(xiàn)象更是普遍。所以對于房屋設計師我們必須要提出更高的職業(yè)要求，不僅僅要求他們要有藝術修養(yǎng)、造型能力，豐富的基礎知識和實踐經(jīng)驗更為重要，要從根本上避免因設計師不科學的實際要求給房屋建筑帶來安全隱患的行為。

2.2房屋空間改造的安全控制

由于存在戶主忽視房屋建筑結構，隨意擴大房屋空間或是隨意更改房屋建造，而設計師只是一味滿足戶主提出的要求的行為，這些不規(guī)范的做法對房屋建筑造成了極大的損害。如：為了增強房屋的采光效果，對具有承重或剪力的墻體進行拆除；抑或是任意增加樓層造成地面負荷載，使房屋樓板承受超過能夠負荷的重量；甚至在對墻面進行裝飾時使用一些厚重且規(guī)格巨大的建筑材料，這些等等行為都為發(fā)生安全隱患埋下伏筆[3]。因而在進行設計裝修時，必須進行嚴格考察研究，盡量保持原有的建筑結構完整性和功能性。

2.3裝飾造型的安全控制

對于裝飾造型的要求，我們必須本著“結構合理、安全可靠”的進行指導。即對于懸掛式吊頂，必須嚴格按照施工規(guī)范操作安裝；對于墻面、地面裝飾的材料也必須是不燃性或者難燃性材料；對一些具有可燃性的木材等物質必須進行防腐、防火處理。裝飾造型必須引起我們的足夠重視，根據(jù)結構特點及承載條件、安全系數(shù)，嚴格按照規(guī)范的規(guī)章制度進行實施，對于一些實際情況要及時采取相關措施來確保其穩(wěn)定性和安全性。

三、對房屋建筑安全問題的防范措施

3.1 改進建筑設計，減少二次裝修

在房屋建筑設計中，為了將建筑結構的破壞減少到最小，通常會采用對房屋的平面設計和功能分的方法，因而在設計的過程中，要極力避免存在某些空間太小或者發(fā)生空間交叉的現(xiàn)象，且對于容易遭到破壞的地方，要根據(jù)合理的布局加以改造。因此在實際的房屋建設設計中，要結合實際的情況，將房屋居住狀況和市場需求分析相結合，探索出舒適科學的房屋裝修設計，共同促進設計市場對于房屋建筑裝修裝飾空間的合理設計，盡量避免二次裝修。3.2加強從業(yè)人員與住戶溝通，合理進行裝修設計

隨著人們生活水平的提高，對生活居住環(huán)境的要求也逐漸走向高端，房屋的裝修裝飾逐漸開始成為市場活躍的主題。但是設計市場中存在的沒有對房屋建筑進行提前設計直接施工的現(xiàn)象極為普遍，設計是一項工程的最基本的程序，沒有科學合格的設計，就不可能保障房屋建設的合理完成，科學合理的設計是對工程順利實施直至完成的重要保證。施工單位應當加強與住戶及使用者的高通問題，通過開展信息咨詢、質量評估等多項服務，判別設計出專業(yè)、合理的設計方案，從根本上杜絕裝飾裝修給房屋帶來損害的行為；戶主也應當積極配合設計者的工作，不能一味追求舒適、美觀，忽視房屋本身的設計結構，向設計者提出不合理的裝修要求，設計出劣質方案而給房屋建筑帶來危害。

3.3 加強裝修市場管理，規(guī)范裝修企業(yè)

由于目前從事裝修業(yè)務的企業(yè)較多，市場還存在規(guī)模大小、實力強弱大相徑庭等多種問題，對各大裝修裝飾企業(yè)進行經(jīng)營資格方面的考察和監(jiān)管是很有必要的行為，從而督促企業(yè)正確開展規(guī)范，健康有序的發(fā)展。然而由于經(jīng)濟發(fā)展步調不一致，我國的裝修裝飾行業(yè)的發(fā)展分布并不等同，在發(fā)達地區(qū)，這些企業(yè)往往都受到相關行業(yè)主管部門的管制，通過對合格的裝修企業(yè)頒發(fā)資質證書來保障正常的運營操作；而在欠發(fā)達地區(qū)，由于缺乏管理，沒有完善的管理制度的保證，各種裝修公司、個體經(jīng)營、甚至是零散的裝修隊伍同時并存，給正規(guī)的房屋裝修公司造成惡性競爭，從而給當?shù)氐难b修企業(yè)的發(fā)展造成不良影響，面對這些惡，我們必須加強相關部門的監(jiān)管工作，為我國的房屋建筑裝修裝飾工作提供一個健康的發(fā)展環(huán)境[4]。

結束語：總而言之，在面對裝修裝飾工程中出現(xiàn)的各種隱患，要根據(jù)實際的項目設計、施工環(huán)節(jié)提出相應的安全控制措施，意識到設計對于安全控制的重要性，從根本上減少災害發(fā)生的幾率，為戶主提供美觀實用、安全可行的生活環(huán)境。

參考文獻：

[1]段汝勝. 淺議發(fā)展規(guī)范裝飾裝修業(yè)[J]. 考試周刊，2011，10：237-238.

[2]周一峰. 淺談建筑裝飾裝修工程的質量控制與安全控制[J]. 科技致富向導，2012，21：362.

篇5

關鍵詞：LAN；威脅；安全控制；病毒防治

隨著信息化的不斷擴展，各類網(wǎng)絡版應用軟件推廣應用，計算機網(wǎng)絡在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，網(wǎng)絡與信息系統(tǒng)建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網(wǎng)絡信息安全以及網(wǎng)絡硬件及軟件系統(tǒng)的正常順利運轉是基本前提，因此計算機網(wǎng)絡和系統(tǒng)安全建設就顯得尤為重要。

1、局域網(wǎng)安全現(xiàn)狀

廣域網(wǎng)絡已有了相對完善的安全防御體系，防火墻、漏洞掃描、防病毒、IDS等網(wǎng)關級別、網(wǎng)絡邊界方面的防御，重要的安全設施大致集中于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，來自網(wǎng)絡外部的安全威脅大大減小。相反來自網(wǎng)絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施，安全威脅較大。未經(jīng)授權的網(wǎng)絡設備或用戶就可能通過到局域網(wǎng)的網(wǎng)絡設備自動進入網(wǎng)絡，形成極大的安全隱患。目前，局域網(wǎng)絡安全隱患是利用了網(wǎng)絡系統(tǒng)本身存在的安全弱點，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。

2、局域網(wǎng)安全威脅分析

局域網(wǎng)（LAN）是指在小范圍內由服務器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡。由于通過交換機和服務器連接網(wǎng)內每1臺電腦，因此局域網(wǎng)內信息的傳輸速率比較高，同時局域網(wǎng)采用的技術比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡安全威脅通常有以下幾類：

（1）欺騙性的軟件使數(shù)據(jù)安全性降低

由于局域網(wǎng)很大的1部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于1些知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息等的1種攻擊方式。最常用的手法是冒充1些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應比較迅速，而且所提供的安全功能不斷增強，網(wǎng)絡釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。

（2）服務器區(qū)域沒有進行獨立防護

局域網(wǎng)內計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務器區(qū)域不進行獨立保護，其中1臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣局域網(wǎng)中任何1臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內部的攻擊。

（3）計算機病毒及惡意代碼的威脅

由于網(wǎng)絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結合推動舊有寄生軟件變種增長3倍之多。2008年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長20%。

（四）局域網(wǎng)用戶安全意識不強

許多用戶使用移動存儲設備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設備帶入內部局域網(wǎng)，同時將內部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外1機兩用甚至多用情況普遍，筆記本電腦在內外網(wǎng)之間平凡切換使用，許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內部局域網(wǎng)絡使用，造成病毒的傳入和信息的泄密。

（五）IP地址沖突

局域網(wǎng)用戶在同1個網(wǎng)段內，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡管理員必須加以解決。

正是由于局域網(wǎng)內應用上這些獨特的特點，造成局域網(wǎng)內的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。

3、局域網(wǎng)安全控制與病毒防治策略

（1）加強人員的網(wǎng)絡安全培訓

安全是個過程，它是1個匯集了硬件、軟件、網(wǎng)絡、人員以及他們之間互相關系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務角度看，主要涉及管理、技術和應用3個層面。要確保信息安全工作的順利進行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進行這種具體操作的是人，人正是網(wǎng)絡安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓。增強內部人員的安全防范意識，提高內部管理人員整體素質。同時要加強法制建設， 進1步完善關于網(wǎng)絡安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內部人員，從下面幾方面進行培訓：

1、加強安全意識培訓，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責任。

2、加強安全知識培訓，使每個計算機使用者掌握1定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。

3、加強網(wǎng)絡知識培訓，通過培訓掌握1定的網(wǎng)絡知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡基本知識，樹立良好的計算機使用習慣。

（2）局域網(wǎng)安全控制策略

安全管理保護網(wǎng)絡用戶資源與設備以及網(wǎng)絡管理系統(tǒng)本身不被未經(jīng)授權的用戶訪問。目前網(wǎng)絡管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡內部的安全問題，才可以排除網(wǎng)絡中最大的安全隱患，對于內部網(wǎng)絡終端安全管理主要從終端狀態(tài)、行為、事件3個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上3個方面的管理是當前解決局域網(wǎng)安全的關鍵所在。1、利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡資源不被非法使用，是網(wǎng)絡安全防范和保護的主要策略。它為網(wǎng)絡訪問提供了第1層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予1定的權限，網(wǎng)絡控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設置符合安全要求的密碼，包括設置口令鎖定服務器控制臺，以防止非法用戶修改。設定服務器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。

2、采用防火墻技術。防火墻技術是通常安裝在單獨的計算機上，與網(wǎng)絡的其余部分隔開，它使內部網(wǎng)絡與Internet之間或與其他外部網(wǎng)絡互相隔離，限制網(wǎng)絡互訪，用來保護內部網(wǎng)絡資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡之間實行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術。采用防火墻技術發(fā)現(xiàn)及封阻應用攻擊所采用的技術有：（1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在1個數(shù)據(jù)流當中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免應用時帶來時延。（2）IP/URL過濾。1旦應用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要1種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應用響應考慮進來，可以大大提高檢測攻擊的準確性。雖然URL過濾是1項重要的操作，可以阻止通常的腳本類型的攻擊。（3）TCP/IP終止。應用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著1些訪問網(wǎng)絡的木馬、病毒等IP地址，檢查訪問的IP地址或者端口是否合法，有效的TCP/IP終止，并有效地扼殺木馬。時等。（4）訪問網(wǎng)絡進程跟蹤。訪問網(wǎng)絡進程跟蹤。這是防火墻技術的最基本部分，判斷進程訪問網(wǎng)絡的合法性，進行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡數(shù)據(jù)攔截，得到操作網(wǎng)絡數(shù)據(jù)報的進程的詳細信息加以實現(xiàn)。

3、封存所有空閑的IP地址，啟動IP地址綁定，采用上網(wǎng)計算機IP地址與MCA地址唯1對應，網(wǎng)絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡中斷和移動計算機隨意上內部局域網(wǎng)絡造成病毒傳播和數(shù)據(jù)泄密。

4、屬性安全控制。它能控制以下幾個方面的權限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件。

5、啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

（3）病毒防治

病毒的侵入必將對系統(tǒng)資源構成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡傳播的計算機病毒，能在很短的時間內使整個計算機網(wǎng)絡處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略：

1、增加安全意識和安全知識，對工作人員定期培訓。首先明確病毒的危害，文件共享的時候盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺等，都可以很好地防止病毒在網(wǎng)絡中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。

2、小心使用移動存儲設備。在使用移動存儲設備之前進行病毒的掃描和查殺，也可把病毒拒絕在外。

3、挑選網(wǎng)絡版殺毒軟件。1般而言，查殺是否徹底，界面是否友好、方便，能否實現(xiàn)遠程控制、集中管理是決定1個網(wǎng)絡殺毒軟件的3大要素。瑞星殺毒軟件在這些方面都相當不錯，能夠熟練掌握瑞星殺毒軟件使用，及時升級殺毒軟件病毒庫，有效使用殺毒軟件是防毒殺毒的關鍵。

通過以上策略的設置，能夠及時發(fā)現(xiàn)網(wǎng)絡運行中存在的問題，快速有效的定位網(wǎng)絡中病毒、蠕蟲等網(wǎng)絡安全威脅的切入點，及時、準確的切斷安全事件發(fā)生點和網(wǎng)絡。

局域網(wǎng)安全控制與病毒防治是1項長期而艱巨的任務，需要不斷的探索。隨著網(wǎng)絡應用的發(fā)展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網(wǎng)絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網(wǎng)絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統(tǒng)來設置和維護對安全的防護策略。

參考文獻

1、鐘平.校園網(wǎng)安全防范技術研究[DB].CNKI系列數(shù)據(jù)庫，2007.

篇6

關鍵詞：權限；訪問控制；視頻服務器

1. 基于數(shù)據(jù)庫訪問安全的訪問控制模型

為了達到安全訪問數(shù)據(jù)庫的目的，在傳統(tǒng)的數(shù)據(jù)庫訪問方式中加入加密和認證安全技術以及防火墻技術，形成新的數(shù)據(jù)庫訪問結構，而基于數(shù)據(jù)庫訪問安全的模型中數(shù)據(jù)庫的安全訪問控制是以的形式在起作用[1]。

1.1 數(shù)據(jù)庫訪問安全

數(shù)據(jù)庫訪問安全DASP是用于對抗惡意DBM各種威脅的應用層防火墻。DBMS被認為是不可信任的，所以必須控制并記錄所有外界信息流與DBMS的交互過程。沒有DASP的環(huán)境中，客戶端將直接與DBMS進行交互；而有了DASP后，客戶端不允許直接與位于物理隔離環(huán)境中的DBMS進行交互，而只能與位于物理隔離環(huán)境邊界上的DASP進行交互，所有信息流只能在DASP的監(jiān)控和管理下，與后端DBMS進行交互。這樣就使得所有DBMS與外界的交互必須經(jīng)過DASP的各種控制，從而達到一定的安全性保障。

1.2 數(shù)據(jù)庫訪問安全的作用

為了不因為安全訪問系統(tǒng)的介入而增加信息系統(tǒng)解決方案的復雜度，采用的形式。有很多系統(tǒng)得到了廣泛應用。例如HTTP、FTP、POP3以至包羅萬象的SOCKS。同HTTP和FTP一樣，數(shù)據(jù)庫安全訪問作用在應用層。之所以稱之為是因為系統(tǒng)接收數(shù)據(jù)庫應用的數(shù)據(jù)庫訪問請求，把請求映射到系統(tǒng)對于數(shù)據(jù)庫的訪問，而系統(tǒng)不對這些請求進行過于復雜的處理。同其它系統(tǒng)一樣，這種具有能夠加入安全控制的特點，同時系統(tǒng)對外接收數(shù)據(jù)庫訪問請求，而數(shù)據(jù)庫系統(tǒng)可以只接受的訪問請求，起到隔離和安全保護作用。另一個重要特點是，可以加入到已經(jīng)開發(fā)應用的信息系統(tǒng)中，極大提高原有系統(tǒng)的安全性能而不需要重新開發(fā)。這是因為接收的是標準的數(shù)據(jù)庫訪問同時通過標準的數(shù)據(jù)庫訪問API對數(shù)據(jù)庫進行訪問。這也和通用的系統(tǒng)很類似。

2. 基于角色的訪問控制模型

基于角色的訪問控制模型的基本思想是:將用戶劃分成與其職能和職位相符合的角色，通過將權限授予角色而不是直接授予主體，主體通過角色分派來得到客體操作權限從而實現(xiàn)授權，因此減少授權管理的復雜性，降低管理開銷，為管理員提供一個比較好的實現(xiàn)復雜安全政策的環(huán)境，引起了極大的關注，以其顯著的優(yōu)勢被認為是自主型訪問控制和強制型訪問控制的最佳替代者[2]。

基于角色的訪問控制模型RBAC是目前主流的訪問控制模型，它比傳統(tǒng)的自主訪問控制和強制訪問控制更優(yōu)越，同時也提供了更高的靈活性和擴展性。

基于角色的訪問策略根據(jù)用戶在系統(tǒng)中的活動來管理用戶對信息的訪問，這種訪問策略首先要求標識出系統(tǒng)中的角色，角色可以定義為與一個工作實體相聯(lián)系的行為和職權的集合[3]。在標識出角色之后，就可以將對客體對象的訪問權限授予各個角色，而不必再對每個用戶分別聲明其允許執(zhí)行的訪問權限，用戶根據(jù)他的職責被分配以相應的角色而獲得對客體的訪問權限，這大大簡化了權限的管理工作。這種策略具有很大的靈活性。

3. RBAC模型在視頻服務器系統(tǒng)中的應用

RBAC模型在系統(tǒng)的應用主要體現(xiàn)在對登錄系統(tǒng)的用戶的身份認證和訪問控制，主要流程如下[4]：

(1)用戶登錄，激活相應的客戶端模塊；

(2)通過數(shù)據(jù)庫訪問服務器查詢數(shù)據(jù)庫，進行用戶身份認證，認證用戶的合法性以及用戶的權限級別；

(3)進入系統(tǒng)，根據(jù)用戶自己的權限實現(xiàn)相應的訪問控制功能；

系統(tǒng)使用者根據(jù)自己的權限類型，通過訪問流程，調用相應的功能模塊實現(xiàn)相應的操作[5]。系統(tǒng)中用戶信息及其權限信息都是以表的形式保存的數(shù)據(jù)庫中，系統(tǒng)中獨立的數(shù)據(jù)庫訪問模塊實現(xiàn)對數(shù)據(jù)庫的訪問控制[6]。

隨著計算機技術和企業(yè)信息化的發(fā)展，對信息系統(tǒng)的安全訪問控制技術也在逐步的探索中完善起來。隨著RBAC模型的發(fā)展完善，應用規(guī)范的逐步建立，必將出現(xiàn)各種新型的RBAC模型，RBAC技術必將在各領域迅速發(fā)展并獲得充分應用。

參考文獻：

[1]黃益民，楊子江，平玲娣等。安全管理系統(tǒng)中基于角色訪問控制的實施方法[J]。浙江大學學報：工學版，2004，38(4)：408413。

[2]黃益民，平玲娣和潘雪增，一種基于角色的訪問控制擴展模型及其實現(xiàn);計算機研究與發(fā)展[J]，2003,10,1521-1528。

[3]李黎，王小明和張黎明，基于角色的統(tǒng)一模型[J]，計算機工程與應用，2004,23,54-58。

[4]張黎明，王小明和李黎，幾種基于角色的授權模型特征比較[J]，微機發(fā)展，2004,11,12 6-129。

篇7

根據(jù)國家安全生產(chǎn)監(jiān)督管理局《關于印發(fā)推廣非公有制企業(yè)安全監(jiān)管試點經(jīng)驗實施方案》的通知，和《關于進一步做好推廣非公有制企業(yè)安全管理經(jīng)驗工作的通知》為深入貫徹落實《國務院關于進一步加強安全生產(chǎn)工作的決定》和國院領導同志關于強化非公有制企業(yè)安全監(jiān)管工作的指示精神，結合我街道實際，按照的要求，在全街道范圍內推廣廣東佛山市非公有制企業(yè)安全監(jiān)管經(jīng)驗。

指導思想

以“三個代表”重要思想為指針，深入貫徹落實《安全生產(chǎn)法》、《國務院關于進一步加強安全生產(chǎn)工作的決定》、《市人民政府關于建立安全生產(chǎn)長效機制的決定》和全省、市安全生產(chǎn)會議精神，大力推廣非公有制企業(yè)安全生產(chǎn)管理經(jīng)驗，牢固樹立“以人為本”的科學發(fā)展觀，強化法律的約束和政策引導，堅持服務宗旨，寓監(jiān)管于服務之中，開創(chuàng)我街道非公有制企業(yè)安全監(jiān)管工作的新局面，建立健全安全生產(chǎn)長效機制。

推廣內容

佛山的非公有制企業(yè)安全監(jiān)管工作的特點：總體規(guī)劃、重心下移、更新觀念、強化主體、立足服務、培育中介、實質和目標是建立非公有制企業(yè)安全生產(chǎn)長效機制，實現(xiàn)非公有制企業(yè)安全生產(chǎn)工作“有人管，管得住，管的好”，為經(jīng)濟建設和全面建設小康社會創(chuàng)造良好的安全環(huán)境。

我街道辦事處要著重從以下六個方面推廣佛山經(jīng)驗：

1、是抓典型經(jīng)驗，發(fā)揮典型經(jīng)驗引導作用，選擇一定代表性的非公有制企業(yè)培養(yǎng)為安全生產(chǎn)樣板企業(yè)，用典型經(jīng)驗推動全街道的安全生產(chǎn)工作。

2、是加強法律約束和政策引導。全面貫徹《安全生產(chǎn)法》，依法落實企業(yè)安全保障各項制度，認真實施安全生產(chǎn)許可制度，推動建立提取安全費用、提高企業(yè)事故賠償標準和風險抵押金等三項經(jīng)濟政策。

3、是加強非公有制企業(yè)“雙基”工作。督促企業(yè)落實主體責任，在非公有制企業(yè)廣泛開展安全質量標準化活動，規(guī)范各環(huán)節(jié)和各崗位的安全行為，提高安全生產(chǎn)管理水平，加強作業(yè)場所安全生產(chǎn)檢查，落實“三同時”制度，促進企業(yè)從防范傷亡事故向全面做好安全生產(chǎn)工作轉變。

4、是建立和完善安全生產(chǎn)服務體系。切實做好政策咨詢、技術指導、培訓教育、隱患整改等服務工作。加強安全生產(chǎn)支撐體系建設，發(fā)揮社團組織和中介機構在安全服務中的作用。加快應急救援體系建設，利用現(xiàn)有資源建立區(qū)域性和地方性應急救援組織，為非公有制企業(yè)提供事故應急救服務。

5、是建立非公有制企業(yè)安全生產(chǎn)信息體系。分級建立包括企業(yè)安全評價等級、安全基本條件、職業(yè)危害程度等在內的信息庫，形成資料齊全、查詢便利的信息系統(tǒng)，使各級安全監(jiān)管部門對轄區(qū)內非公有制企業(yè)安全狀況心中有數(shù)，提高監(jiān)管效率。

6、是加強監(jiān)管體系建設，加大監(jiān)督執(zhí)法力度。爭取各級地方政府支持，充實監(jiān)管力量，提高監(jiān)管人員的整體素質和服務意識，加大對違法行為的經(jīng)濟處罰力度，對嚴重忽視安全生產(chǎn)，造成事故、構成犯罪的違法業(yè)主依法進行打擊。

工作要求

篇8

目前，我區(qū)域將全面進入森林防火期，今冬明春，氣溫偏高，火險等級偏高，森林防火形勢嚴峻，為切實做好今冬明春森林防火工作，保障廣大人民生命財產(chǎn)安全，現(xiàn)就護林防火工作的有關事項通知如下：

高度重視，全面落實防火責任制

為加強今冬明春護林防火工作，各單位要以對人民生命財產(chǎn)高度負責的態(tài)度，充分認識森林防火的重要性增強工作責任感和緊迫感，嚴格執(zhí)行森林防火各級政府行政首長負責制，認真落實好組織機構，防火責任。切實加強對護林防火工作的領導。

1、成立護林防火工作領導組

2、落實各單位護林防火值班人員

3、落實各單位護林防火巡邏人員

4、組建專業(yè)（兼）撲火隊伍30人

5、落實村干部分片包干山場責任區(qū)

6、建立固定護林防火標牌8個，刷寫防火標語50條

7、實行24小時值班巡邏制度

各單位要落實好防火專業(yè)人員及機械手，村委會山場及綠色長廊由村主任負責，林場由場長負責，鎮(zhèn)分工干部分片包干，明確任務責任到人。

加強宣傳，營造全民護林防火氛圍

各單位要把防火安全作為一項重要工作廣泛宣傳，營造聲勢，要充分利用廣播、電視、宣傳欄，刷寫防火標語等形式，大力宣傳護林防火法規(guī)和知識，著力營造有利于護林防火工作開展的良好社會氛圍，要在林區(qū)中小學校普及防火知識教育，增強師生護林防火意識，要嚴格執(zhí)行野外火源監(jiān)督管理，林區(qū)各進山路口及村莊要刷寫護林防火標語，對重點林區(qū)、墳場、墓地集中地段安排專人巡邏，實行死看硬守，確保萬無一失。

加強林區(qū)管理，完善防火預案

各單位要針對當前野外用火增多，根據(jù)各地的實情，制定防火預案，落實措施，做到防火人員時刻在崗，要認真檢查檢修各類防火器械，備齊各種防火用具，對林區(qū)道路兩旁墳場、墓地的雜草、枯枝必須在11月底前集中勞力全部清除，形成寬20米的防火隔離帶，同時刷寫好各林區(qū)及村莊、道路兩側的防火宣傳標語。特別是“三節(jié)”期間林區(qū)用火增多，墳場、墓地及各主要進山路口都要有專人死看硬守，確保不發(fā)生森林火災，要完善撲救預案，一旦發(fā)現(xiàn)火情，及時組織人員撲救，做到打早、打小、打了。

篇9

對Tang等（TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion. IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916）提出的一種云存儲的細粒度訪問控制方案進行安全性分析，發(fā)現(xiàn)其存在不能抵抗合謀攻擊的問題，并給出了具體的攻擊方法。針對該方案安全性方面的不足，利用基于屬性的加密算法抗合謀攻擊的特性，對使用訪問樹結構的密文策略加密（CP-ABE）算法進行改進，使改進后的算法能夠直接運用到云存儲訪問控制方案中而不需要對云存儲服務器進行任何修改，同時可實現(xiàn)細粒度的訪問控制和用戶數(shù)據(jù)的徹底刪除。最后基于判斷雙向性Deffie-Hellman（DBDH）假設，證明了該方案在選擇明文攻擊下的安全性，并通過將方案運用到實際的云環(huán)境中進行分析后證明改進后的方案能夠抵抗合謀攻擊。

關鍵詞：云存儲；訪問控制；密文策略的屬性加密算法；合謀攻擊；判斷雙向性Deffie-Hellman假設

中圖分類號： TP309.1

文獻標志碼：A

Security analysis and improvement of access control scheme for cloud storage

Abstract：

An access control scheme for cloud storage proposed by Tang et al. （TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion. IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916） was analyzed and proved to be vulnerable to collusion attacks， and a detailed attack method was given. To address this problem of the given scheme， this paper took the advantage of the property of collusion attack resistant of the attribute based encryption algorithm and improved a ciphertext-policy attribute-based encryption （CP-ABE） algorithm which used the access tree. Then the improved algorithm could be used seamlessly into the access control and assured deletion scheme for cloud storage without changing the cloud server. Finally， the security against the chosen plaintext attack was proved under the Decision Bilinear Diffie-Hellman （DBDH） assumption， and the ability of resisting the collusion attack of the scheme was proved by analyzing a practical cloud situation.

Key words：

cloud storage； access control； CP-ABE algorithm； collusion attack； Decision Bilinear Diffie-Hellman （DBDH） assumption

0 引言

云存儲是在云計算的概念上發(fā)展起來的，能夠對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的大容量存儲系統(tǒng)。因其強大的存儲能力、高易用性和可擴展性，云存儲具有廣闊的應用前景。然而， 隨著云服務的推廣，業(yè)界很快發(fā)現(xiàn)數(shù)據(jù)的安全問題是制約云存儲服務發(fā)展的重要因素。Gartner2009年的調查結果顯示，70%以上受訪企業(yè)認為近期不采用云服務的首要原因在于存在數(shù)據(jù)安全性與隱私性的憂慮[1]。

針對云存儲的安全問題，訪問控制是實現(xiàn)用戶數(shù)據(jù)機密性和進行隱私保護的重要手段。關于云存儲訪問控制的研究，由于無法信賴云服務提供商，研究者關注最多的是基于密碼學方法實現(xiàn)可問控制。這種訪問機制對數(shù)據(jù)加密后再上傳到服務器，通過控制用戶對解密密鑰的獲取來實現(xiàn)訪問控制目標。目前已提出了大量的密碼訪問控制方案[2-5]。一種方法是基于屬性的加密訪問控制機制（Attribute-Based Encryption，ABE）[6]，這種訪問控制機制以基于身份的密碼體制為基礎，將身份看作是系列屬性的集合。最初的ABE機制僅能支持門限訪問控制策略，為了表示更靈活的訪問控制策略，學者們進一步提出了密鑰策略的屬性加密（Key-Policy Attribute-Based Encryption，KP-ABE）[7-8]和密文策略的屬性加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）[9-10]等機制。

文獻[11]中Tang等將基于用戶屬性的加密機制運用到云存儲安全中，提出了一個云存儲服務的細粒度訪問控制和確認刪除的方案，以下簡稱FADE方案。FADE方案的優(yōu)點是不依賴當前的第三方云存儲服務的形式，云存儲服務只需支持上傳和下載功能即可以實現(xiàn)兩個安全目標：1）實現(xiàn)細粒度訪問控制，防止云存儲服務商泄露用戶隱私；2）確定刪除，即確認云上已刪除的文件對任何人不可見（包括文件所有者）。本文對FADE方案進行了分析，發(fā)現(xiàn)該方案存在著不能抵抗合謀攻擊的問題。

本文對一個使用訪問樹結構的CP-ABE算法進行改進后，將其運用到云存儲細粒度訪問控制和確定刪除的方案中。CP-ABE機制由Bethencourt等[10]提出，其將密文與訪問結構相關聯(lián)，實現(xiàn)由文件發(fā)送方?jīng)Q定的訪問控制策略，適用于云存儲環(huán)境中。文獻[12]是最先在判斷雙向性Deffie-Hellman（Decision Bilinear Diffie-Hellman，DBDH）問題假設下證明CP-ABE 機制安全性的方案，但僅支持屬性的與操作。Ibraimi等[13]提出了訪問樹結構的CP-ABE方案，可實現(xiàn)支持屬性的與、或和門限操作。ABE訪問控制系統(tǒng)的參與實體包括授權機構和用戶，授權機構監(jiān)管屬性并為用戶頒發(fā)屬性密鑰。本文對Ibraimi的方案進行了改進，使得用戶的密鑰產(chǎn)生不依賴于授權機構，在密鑰管理中心的協(xié)助下使每個文件所有者可以靈活產(chǎn)生密鑰并將密鑰安全的存儲在云服務器上，從而可以實現(xiàn)細粒度的訪問控制和確定刪除。最后在DBDH假設下證明了方案在選擇明文攻擊（Chosen Paintext Attack，CPA）下的安全性，并證明方案能夠有效抵抗合謀攻擊。

1 預備知識

1）雙線性對。

G0和G1是兩個階為素數(shù)p的乘法群，g為G0的生成元。雙線性對e：G0×G1G1是具有如下性質的映射：

雙線性性 對于所有的u，v，a，b，都有e（ua，vb）=e（u，v）ab。

非退化性 e（g，g）≠1。

2）DBDH假設。

給定g，ga，gb，gc∈G0（a，b，c∈Z*p是未知的隨機數(shù)），Z∈G1，判斷等式e（g，g）abc=Z是否成立。

對于算法A，如果|Pr[A（g，ga，gb，gc，e（g，g）abc）=1]-Pr[?。╣，ga，gb，gc，Z）=1]|≥ε，則稱算法A能夠以優(yōu)勢ε攻破G0上的DBDH問題。如果不存在運行時間至多為t，解決群G0上的DBDH問題的優(yōu)勢至少為ε的算法，則稱（t，ε）-DBDH假設成立。

2 FADE方案的安全性分析

2.1 FADE方案

FADE方案中引入一個密鑰管理中心對每個策略的對應密鑰進行管理，對于策略Pi，密鑰管理中心產(chǎn)生RSA算法的公私鑰對（ei，di）和模指數(shù)ni。對于單一策略Pi，其相關文件的上傳過程如圖1（a）所示。用戶向密鑰管理中心證明該用戶符合策略Pi，密鑰管理中心將Pi對應的公鑰（ni，ei）發(fā)送給用戶。用戶隨機產(chǎn)生文件加密密鑰K和策略密鑰Si。使用K對文件F進行加密，密文為{F}K，進而利用Si對K進行加密，密文為{K}Si，最后用ei對Si加密，密文為Seii。用戶丟棄K和Si，將Pi，{K}Si，Seii，{F}K上傳到云存儲服務器上。

文件的下載過程如圖1（b）所示，用戶從云存儲服務器上下載Pi，{K}Si，Seii，{F}K，之后用戶產(chǎn)生一個隨機數(shù)R，計算Rei，用戶向密鑰管理中心證明該用戶符合策略Pi并將Seii·Rei=（SiR）ei發(fā)送給密鑰管理中心。密鑰管理中心計算（（SiR）ei）di=SiRi，將SiRi發(fā)送給用戶。用戶可恢復出Si，進而對{K}Si解密得到K，最后對{F}K解密得到F。

FADE方案支持多個訪問策略的與、或等邏輯組合，如果訪問文件F需要多個策略P1，P2，…，Pm相關聯(lián)，用戶需要對每個策略產(chǎn)生不同的策略密鑰：S1，S2，…，Sm，并利用不同的加密密鑰產(chǎn)生S1e1，S2e2，…，Smem。對于多個策略的與運算即P1∩P2∩…∩Pm，用戶計算{{K}S1}S2…Sm并將結果上傳到云存儲服務器上。對應的下載階段，用戶將（S1R）e1，（S2R）e2，…，（SmR）em發(fā)送到密鑰管理中心，解密后得到S1，S2，…，Sm，進而得到K和F。

2.2 FADE方案的分析

分析FADE方案，發(fā)現(xiàn)方案是不能抵抗合謀攻擊的。即如果某加密文件{F}K相關聯(lián)的策略為P1∩P2，則僅滿足策略P1的用戶1和僅滿足策略P2的用戶2可以通過合謀解密文件{F}K。二者合謀攻擊的方案如圖2所示。具體步驟為：

1）用戶1和用戶2都從云存儲服務器上下載P1∩P2，{{K}S1}S2，S1e1，S2e2，{F}K。

2）用戶2產(chǎn)生隨機數(shù)R2，向密鑰管理中心證明其滿足策略P2后將（S2R2）e2發(fā)送給密鑰管理中心。

3）由于用戶2滿足策略P2，密鑰管理中心用d2對（S2R2）e2解密后將S2R2發(fā)給用戶2。

4）用戶2得到后對{{K}S1}S2得到{K}S1。

5）用戶2將{K}S1傳給用戶1。

6）用戶1產(chǎn)生隨機數(shù)R1，向密鑰管理中心證明其滿足策略P1后將（S1R1）e1發(fā)送給密鑰管理中心。

7）由于用戶1滿足策略P1，密鑰管理中心用d1對（S1R1）e1解密后將S1R1發(fā)給用戶1。

8）用戶1利用S1對用戶2傳來的{K}S1解密得到K，進而對{F}K解密，得到F。

3 改進的方案

為了克服FADE方案不能抵抗合謀攻擊的缺陷，本文對該方案提出了一個改進措施。改進的方案描述如下：

文件的上傳階段，分為四個步驟，如圖3所示。

1）初始化：給定階為p的雙線性群G0和G1，g為G0的生成元，定義雙線性映射e：G0×G1G1。生成屬性集A={a1，a2，…，an}，并隨機產(chǎn)生α，t1，t2，…，tn∈Z*p。另y=e（g，g）α，Tj=gtj，則公鑰為pk=（e，g，y，Tj，gα），私鑰為mk=（α，tj）（1≤j≤n）。

2）向密鑰管理中心申請加密公鑰。用戶向密鑰管理中心證明該用戶具有屬性集A，密鑰管理中心將屬性集A中的每個屬性對應的公鑰（nj，ej）發(fā)送給用戶，對tj加密得到sk=（tejj）（1≤j≤n）。

3）加密：隨機選擇s∈Z*p，計算c0=gs，c1=K·gs=Ke（g，g）αs。

生成訪問結構τ，設置τ的根節(jié)點值為s，設置根節(jié)點為已標記，其所有的子節(jié)點為未標記。對于所有未標記的非葉節(jié)點，采用遞歸的方式進行賦值：

如果是與操作，且其子節(jié)點未標記，為其每一個子節(jié)點（除最后一個）分配隨機值1≤si≤p-1，最后一個子節(jié)點分配st=s-∑si mod p，將該節(jié)點設置為已標記。

如果是或操作，且其子節(jié)點未標記，為其每一個子節(jié)點賦值為s，將該節(jié)點設置為已標記。

對于每一個τ中的葉節(jié)點aj，i，計算cj，i=Tsij，i為aj，i在τ中的索引值。

最終的密文為：cτ=（τ，c0，c1，aj，i∈τ：cj，i）。

4）上傳：用戶將cτ、{F}K、sk、pk上傳到云存儲服務器上。

文件下載階段，分為三個步驟，如圖4所示。

1）下載：用戶從云存儲服務器上下載cτ、{F}K、sk、pk。

2）向密鑰管理中心申請解密：用戶判斷自己的屬性集ω是否符合訪問結構τ，如果滿足，選擇ω′ω且能符合τ的最小集合。產(chǎn)生隨機數(shù)r，對ω′={a1，a2，…，am}中的每個屬性aj對應的tejj計算（rtj）ej，向密鑰管理中心證明該用戶具有屬性集ω′，將（rtj）ej（1≤j≤m）、g發(fā)送給密鑰管理中心。

密鑰管理中心計算（（rtj）ej）dj=rtj（1≤j≤m）。產(chǎn)生隨機數(shù)ρ，并計算gρ，dj=gρ（rtj）-1（1≤j≤m）發(fā)送給用戶。

3）解密：用戶計算d0=gα-ρr-1。

對于aj∈ω′，計算

4 安全性分析

4.1 選擇明文攻擊安全性證明

定理1 如果DBDH假設成立，則不存在挑戰(zhàn)者能夠在多項式時間內對方案進行選擇明文攻擊成功。

假設攻擊者Α能夠以不可忽略的優(yōu)勢ε贏得CPA游戲，用反證法證明模擬者β能夠通過ρ以優(yōu)勢ε/2贏得DBDH假設的游戲，即證明DBDH假設不成立。令挑戰(zhàn)者產(chǎn)生群G0和G1，g為G0的生成元，定義雙線性映射e，選擇隨機數(shù)a，b，c，θ∈Z*p。挑戰(zhàn)者通投擲硬幣μ來決定Zμ=e（g，g）abc如果μ=0或者Zμ=e（g，g）θ如果μ=1。挑戰(zhàn)者將tj=kj發(fā)送給模擬者β，β將作為攻擊者Α在CPA游戲中的挑戰(zhàn)者。

初始化：攻擊者選擇挑戰(zhàn)訪問樹τ*并將其發(fā)送給β。

建立：β選擇隨機數(shù)x′∈Zp，令e（g，g）α=e（g，g）abe（g，g）x′，從而有α=ab+x′，對于所有的aj∈A，選擇隨機數(shù)kj∈Zp，如果ajτ*，令Tj=（gb）1/kj，從而tj=b/kj，如果aj∈τ*，令Tj=gkj，從而tj=kj。β將公鑰發(fā)送給Α。

階段1：攻擊者Α請求查詢任意屬性集wj={aj|aj∈A}的私鑰，其中ajτ*。對于每次請求，挑戰(zhàn)者選擇隨機數(shù)r′，ρ′∈Z*p并計算d0=gx′-（r′）-1ρ′b=gα-（ab+（r′）-1ρ′b）。對于aj∈wj，β計算私鑰

4.2 抗合謀攻擊證明

分析如下情形，假設三個用戶u1、u2和u3。他們的屬性集分別為Au1={研發(fā)部門}，Au2={工作10年以上}，Au3={研發(fā)部門，工作10年以上}。用戶u3的訪問結構樹τ3表示同時滿足“研發(fā)部門”和“工作10年以上”這兩個屬性。u3利用文件加密密鑰K根據(jù)本文中的方案對文件F進行加密后得到加密后的文件{F}K，對K加密的密文cτ3，加密公鑰為pk3=（e，g，e（g，g）α，gt1，gt2，gα），私鑰為mk3=（α，t1，t2），密鑰管理中心利用e1、e2對私鑰mk3的加密密文為sk3=（te11，te22）。u3將cτ3、{F}K、sk3、pk3上傳到云存儲服務器。

用戶u1和u2可以從云存儲服務器上下載到cτ3、{F}K、sk3、pk3。為了對cτ3解密得到K，u1和u2分別將自己的屬性證書、sk3=（te11，te22）和各自生成的隨機數(shù)r1、r2上傳到密鑰管理中心。密鑰管理中心對u1的屬性證書驗證，認為其僅滿足屬性“研發(fā)部門”，因此只對te11解密，生成隨機數(shù)ρ1計算d1=gρ1（r1t1）-1后發(fā)給u1。同理，對用戶u2的屬性證書驗證，認為其僅滿足屬性“工作10年以上”，因此只對te22解密，生成隨機數(shù)ρ2計算d2=gρ2（r2t2）-1后發(fā)給u2。u1和u2要想合謀通過式（1）解密cτ3，必須要求ρ1r-11=ρ2r-12。由于用戶u1和u2間的隨機數(shù)ρ1和ρ2不同，而且用戶無法得到這個隨機數(shù)的數(shù)值，不能滿足等式的成立，就不能互相結合私鑰。方案通過密鑰管理中心為每個用戶生成的隨機數(shù)作為掩碼，防止了用戶間的合謀。

5 結語

本文分析了現(xiàn)有的不安全的云存儲訪問控制方案，在對CP-ABE算法改進后，提出了一個訪問樹結構的CP-ABE云存儲訪問控制與確定刪除方案，方案能夠在對云存儲服務器無任何安全性要求的條件下實現(xiàn)對云存儲的細粒度訪問控制，以及確保用戶文件的有效刪除。最后在DBDH假設下證明了方案在選擇明文攻擊下的安全性和抗合謀攻擊的特性，克服了原方案的安全缺陷。

參考文獻：

[1] FENG D， ZHANG M， ZHANG Y， et al. Study on cloud computing security[J].Journal of Software，2011，22（1）：71-83.（馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22（1）：71-83.）

[2] CRAMPTON J，MARTIN K，WILD P. On key assignment for hierarchical access control[C]// Proceedings of the 19th IEEE Computer Security Foundations Workshop. Washington， DC： IEEE Computer Society， 2006：5-7.

[3] MALEK B，MIRI A. Combining attribute-based and access systems[C]// Proceedings of the 12th IEEE International Conference on Computational Science and Engineering. Washington， DC： IEEE Computer Society，2009：305-312.

[4] CHANG Y C， MITZENMACHER M. Privacy preserving keyword searches on remote encrypted data[C]// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security. New York：Springer-Verlag，2005：442-455.

[5] RAY I，RAY I，NARASIMHAMUTHI N.A cryptographic solution to implement access control in a hierarchy and more[C]// Proceedings of the 7th ACM Symposium on Access Control Models and Technologies. New York：ACM，2002：65-73.

[6] SAHAI A，WATES B. Fuzzy identity-based encryption[C]// Proceedings of the 24th Annual International Conference on Theory and Applications of Cryptographic Techniques. Berlin：Springer-Verlag，1984：47-53.

[7] GOYAL V，PANDEY O，SAHAI A，et al. Attribute-based encryption for fine-grained access control of encrypted data[C]// Proceedings of the 13th ACM Conference on Computer and Communications Security. New York： ACM，2006：89-98.

[8] OSTROVSKY R，SAHAI A，WATES B. Attribute-based encryption with non-monotonic access structures[C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York：ACM，2007：195-203.

[9] SU J， CAO D， WANG X， et al. Attribute-based encryption schemes[J].Journal of Software， 2011，22（6）：1299-1315.（蘇金樹，曹丹，王小峰，等.屬性基加密機制[J].軟件學報，2011，22（6）：1299-1315.）

[10] BETHENCOURT J，SAHAI A，WATES B. Ciphertext-policy attribute- based encryption[C]// Proceedings of the 2007 IEEE Symposium on Security and Privacy. Washington， DC：IEEE Computer Society，2007：321-334.

[11] TANG Y，LEE P，LUI J，et al. Secure overlay cloud storage with access control and assured deletion[J].IEEE Transactions on Dependable and Secure Computing，2012，9（6）：903-916.

篇10

【關鍵詞】：土建施工 安全監(jiān)理承包方工程質量

中圖分類號： O213.1 文獻標識碼： A 文章編號：

引言

21世紀以來，在以經(jīng)濟建設為中心的指導下，我國的各項事業(yè)都在有條不紊地發(fā)展壯大。近年來，我國的建筑行業(yè)發(fā)展迅速，建筑施工單位的施工質量也有所提高，但是在快速發(fā)展的過程中也暴露出建筑行業(yè)很多弊端和問題，這主要體現(xiàn)在建筑安全方面，部分施工單位為降低成本忽視了工程質量的重要性，監(jiān)理單位在施工過程中監(jiān)管力度不到位，工作人員專業(yè)業(yè)務知識缺乏等因素同樣制約著土建施工的安全監(jiān)理質量控制，因此，在新的時代背景下，我國建筑行業(yè)更應該加強其施工安全監(jiān)理工作，改善工程的總體質量。

一．建筑施工安全監(jiān)理的基本環(huán)節(jié)

建筑施工的安全監(jiān)理由四個基本環(huán)節(jié)構成，按順序依次為：方案環(huán)節(jié)，交底環(huán)節(jié)，檢查環(huán)節(jié)和總結環(huán)節(jié)，這四個基本環(huán)節(jié)環(huán)環(huán)相扣，任何一個環(huán)節(jié)出現(xiàn)錯誤都會導致整個施工安全監(jiān)理出現(xiàn)嚴重問題。方案環(huán)節(jié)也就是指在施工前不僅需要做好具體的安全方案，而且還需做好現(xiàn)場的施工安全措施；交底環(huán)節(jié)要求施工方對具體施工人員做好有關安全和技術方面的交底工作，使施工人員對施工環(huán)節(jié)有進一步的了解和認識；檢查環(huán)節(jié)也就是施工方為確保方案能順利開展而對現(xiàn)場所做的檢查工作，檢查過程中需要對各方面情況進行詳細記錄，并反復核查確保施工方案安全有效；總結環(huán)節(jié)顧名思義就是對上訴三個環(huán)節(jié)的總結，這種總結有利于施工方對整個施工過程進行宏觀調控，并能夠及時發(fā)現(xiàn)和解決各類安全隱患。

二．土建質量監(jiān)理的具體表現(xiàn)形式

隨著建筑技術的快速發(fā)展，判斷一項工程質量是好是壞的方法越來越多，而工程監(jiān)理體系就能有效反映出工程的質量情況。

監(jiān)理工作因為施工階段的不同而表現(xiàn)出不同的形式，在正式開始施工之前承包人必須先就此次的單項工程作出詳細的開工報告，此類開工報告必須包含以下基本情況：第一，使用材料；第二，機械設備；第三，勞動了；第四、現(xiàn)場管理人員；第五，其他條件的準備。此外，承包方需準備必要的施工基礎材料，如標準試驗和放樣測量等，在完成上述準備工作后，承包人還需對其施工技術安案和設計進行審批。

三．土建施工準備階段的監(jiān)理工作

監(jiān)理工程師在整個安全監(jiān)理過程中起著十分重要的作用，他不僅要了解該項建筑工程的大致情況，而且還要了解業(yè)主的不同要求，在國家相關規(guī)定的許可下盡可能滿足業(yè)主的要求，進一步完善該項工程質量監(jiān)理規(guī)劃，確保此項工程的監(jiān)理標準與目標能順利實現(xiàn)。在具體的土建工程中，施工人員應嚴格按照監(jiān)理規(guī)劃執(zhí)行，相關監(jiān)理單位需認真執(zhí)行監(jiān)理工作，保證整個土建施工工作安全有效開展，從而提高工程總體質量。

一方面，若施工方單純按照設計圖來制定其具體施工方案效果并不理想，施工過程中的細節(jié)部分很難通過這種方式表現(xiàn)出來，因此，在對施工方案進行審批的時候應嚴格規(guī)范方案中的細節(jié)部分。另一方面，為加強對整個施工情況的了解，監(jiān)理部門必須對其專業(yè)圖紙、幾何尺寸和平面設計等進行詳細審批，在對整個土建工程中的各個環(huán)節(jié)都有了較為詳細的認識之后，監(jiān)理部分才能對整個施工環(huán)節(jié)提出合理有效的質量控制安排。此外，科學合理的土建監(jiān)理規(guī)劃有利于避免施工環(huán)節(jié)中容易出現(xiàn)的問題，監(jiān)理部門對整個工程的監(jiān)理應該從審圖著手，針對設計圖中的不足和缺陷，提出問題并與設計單位探討出行之有效的解決措施，保證整個工程能順利開展。

因此，監(jiān)理工程師必須根據(jù)實際情況對整個施工方案進行合理修改以確保整個工程的質量達標。

四．土建施工中的監(jiān)理控制

現(xiàn)階段，建筑施工對于監(jiān)理細則方面的發(fā)展相對滯后，監(jiān)理細則往往是由監(jiān)理單位獨自完成，但實際上施工單位的認識水平很難與相關審查單位一致，這一情況直接導致了施工過程中雙方關系的僵化，從而影響施工進程的正常推進，制約整個工程的發(fā)展。

此外，監(jiān)理人員在監(jiān)理過程中經(jīng)常發(fā)現(xiàn)與設計圖紙不符或是違反規(guī)定的施工情況，在整個工程中質量控制工作往往處于比較被動的地位，因此必須加強施工人員的教育與培訓工作，加強質量檢測，提高承包商的技術管理和質量管理水平。不斷加強施工人員的專業(yè)技術水平也是監(jiān)理質量控制的重要任務之一，只有施工人員對整個施工過程中的重點、難點有足夠認識后才能有效將理論知識與實際情況相結合，從而保證工程質量。

土建施工中的監(jiān)理控制能有效降低事故發(fā)生率，施工過程中的安全監(jiān)理主要包括施工環(huán)境、安全操作、安全防護措施等等，其中施工機械及防護設施、消防設施的檢測尤為重要，它能有效降低人為因素引發(fā)的各類意外。安全監(jiān)理控制不僅能保證工程質量，而且也能保障施工人員的生命安全。安全規(guī)范的施工過程和安全監(jiān)理相輔相成，共同保證整個工程的順利進行。

整個工程中，監(jiān)理部門必須時刻進行全過程、全方位的監(jiān)理，確保對整個施工過程有較為詳細的了解，排除各類安全隱患，同時對出現(xiàn)的突發(fā)問題能及時發(fā)現(xiàn)并提出行之有效的解決措施，確保工程順利竣工。監(jiān)理工程師應按時對整個施工情況進行巡視和考察，以考察得到的實際結果和相關數(shù)據(jù)進行比對以驗證整個工程的實際質量，對不合格的部分下達整改通知，責令其限期整改，整個施工應嚴格遵守安全施工條例，保證工程質量，符合國家法律法規(guī)的相應規(guī)定。

五．土建驗收階段的監(jiān)理把關

監(jiān)理部門在整個工程的施工完成之后需要對工程進行嚴格的監(jiān)理把關，確保整個工程質量達標。監(jiān)理部門的驗收工作主要包括對地基基礎、防水工程、土建主體及水暖電的使用功能進行質量檢測，針對多數(shù)承包商分項分部進行施工的情況，監(jiān)理部門應該一一對應收取其自檢記錄并開展驗收工作，驗收合格則在其申請書上簽字認可，承包商方可交房；若發(fā)現(xiàn)工程中的質量問題和安全隱患，驗收結果為不合格，則應責令施工方根據(jù)處理意見進行工程整改，承包方整改完成之后監(jiān)理部門再次進行驗收。對屢教不改的施工工程，監(jiān)理部門可協(xié)調相關部門按照相應法律法規(guī)對其進行處理。

結束語

總而言之，在全球呼吁加強工程安全監(jiān)理、保證工程質量的大背景下，行之有效的科學安全監(jiān)理工作顯得尤其重要。這不僅是可持續(xù)發(fā)展戰(zhàn)略在建筑行業(yè)的重要體現(xiàn)，更是建筑事業(yè)興旺發(fā)達的活力源泉。施工工程中的監(jiān)理工程師必須時刻進行全過程、全方位的工程監(jiān)理，確保對整個施工過程有較為詳細的了解，并排除各類安全隱患，同時對出現(xiàn)的突發(fā)問題能及時提出行之有效的解決措施，確保工程順利竣工。

參考文獻：

[1] 駱婷. 搞好土建監(jiān)理安全施工——提高工程施工質量[J].中華名居, 2011, (6)：32

[2] 杜清. 淺析如何加強建筑工程施工安全監(jiān)理[J]. 城市建設理論研究（電子版）, 2011, (32) ：68-70