前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇云安全原理與實(shí)踐范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

云安全原理與實(shí)踐范文第1篇

關(guān)鍵詞：網(wǎng)絡(luò)技術(shù) 電子商務(wù) 安全技術(shù) 風(fēng)險(xiǎn) 應(yīng)用 分析

1 概述

隨著社會(huì)步入信息時(shí)代，電子商務(wù)在各個(gè)領(lǐng)域也迅速發(fā)展起來，其在工作、學(xué)習(xí)和生活上帶給我們的方便也越來越多，尤其是在計(jì)算機(jī)普及的今天，在任何地方任何場合都可以看見，但是在給我們帶來便捷感的同時(shí)，我們還需要關(guān)注一個(gè)問題，那就是計(jì)算機(jī)安全問題。目前，電子商務(wù)環(huán)境也出現(xiàn)了一些安全隱患，比如：竊取信息、篡改信息、惡意破壞等。使人們在網(wǎng)上交易的時(shí)候會(huì)產(chǎn)生一定的疑慮。因此，為了避免阻礙電子商務(wù)的發(fā)展就需要注意安全問題，因?yàn)榫W(wǎng)上交易雙方并不見面，所以電子商務(wù)對交易是否安全就起到十分重要的作用。電子商務(wù)要是交易不安全，就會(huì)導(dǎo)致其發(fā)展緩慢。因此電子商務(wù)的首要因素就是保證交易安全，而電子商務(wù)是否安全需要從兩大部分分析，即計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)貿(mào)易安全。計(jì)算機(jī)網(wǎng)絡(luò)安全包括三點(diǎn)解決計(jì)算機(jī)網(wǎng)絡(luò)本身存在的安全問題的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備完全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)庫安全方案，都是以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為主要目標(biāo)的。而商務(wù)安全主要解決傳統(tǒng)商務(wù)網(wǎng)絡(luò)安全的基礎(chǔ)性問題，就Internet產(chǎn)生的安全問題來進(jìn)行分析的。為了保障電子商務(wù)的順利進(jìn)行，就需要實(shí)現(xiàn)電子商務(wù)安全保密措施。

2 電子商務(wù)交易中應(yīng)用的網(wǎng)絡(luò)安全技術(shù)

電子商務(wù)很多涉及到重要機(jī)密的活動(dòng)信息都是通過網(wǎng)絡(luò)進(jìn)行傳播的，因此在交易過程中，就必須要保證電子商務(wù)的安全。目前，我國采取的主要形式就是以電子數(shù)據(jù)進(jìn)行存儲(chǔ)，因此我們要保證電子數(shù)據(jù)的加密技術(shù)、認(rèn)證技術(shù)以及安全認(rèn)證協(xié)議的權(quán)威性。

2.1 防火墻技術(shù) 為了保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，就需要在網(wǎng)絡(luò)里建立安全的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)――防火墻。它既是一種控制技術(shù)也可以成為軟件產(chǎn)品，既能制作產(chǎn)品也能嵌入某些硬件產(chǎn)品中。所以所有來自Internet的傳輸信息不論是接收還是傳輸都必須經(jīng)過防火墻，以保證信息安全。我們在進(jìn)行防火墻使用的時(shí)候主要就是要查看防火墻自身是否感染病毒，因?yàn)槲覀冊诎l(fā)送文件時(shí)候，都是通過防火墻來傳輸，因此就需要在每臺(tái)主機(jī)上裝上反病毒的監(jiān)控軟件。雖然防火墻不能夠防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊，但也能都提前對來歷不明的數(shù)據(jù)進(jìn)行殺毒或者程序編碼辯證，起到預(yù)防一些表面看似無害的數(shù)據(jù)驅(qū)動(dòng)式病毒的攻擊。

2.2 加密技術(shù) 加密技術(shù)主要利用的就是加密算法原理，該原理主要是信息安全防范措施，能夠防止一些非法用戶對最初的數(shù)據(jù)的理解，從而能夠保證數(shù)據(jù)的安全性。

2.3 認(rèn)證技術(shù) 我們所說的認(rèn)證技術(shù)就是對信息進(jìn)行認(rèn)證。主要從以下安全認(rèn)證技術(shù)和安全認(rèn)證機(jī)構(gòu)兩個(gè)方面進(jìn)行認(rèn)證。安全認(rèn)證技術(shù)主要包括數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等；而電子商務(wù)認(rèn)證中心主要是核實(shí)用戶的身份等，還一定程度上承擔(dān)網(wǎng)上安全交易的認(rèn)證服務(wù)，并簽發(fā)數(shù)字證書的機(jī)構(gòu)。

2.4 協(xié)議安全認(rèn)證 目前電子商務(wù)的安全套接層SSL協(xié)議和安全電子交易SET協(xié)議兩種安全認(rèn)證協(xié)議被廣大用戶認(rèn)可并廣泛應(yīng)用。兩者相輔相成，但是服務(wù)的對象又不相同，SSL協(xié)議以銀行對企業(yè)或者企業(yè)對企業(yè)的電子商務(wù)為主要服務(wù)對象；SET主要服務(wù)應(yīng)用層，是用來保證互聯(lián)網(wǎng)上支付卡交易活動(dòng)的安全性，主要還是以持卡消費(fèi)和網(wǎng)上購物的電子商務(wù)為主。

3 電子商務(wù)中云技術(shù)應(yīng)用對信息安全的影響

隨著云安全技術(shù)在計(jì)算機(jī)應(yīng)用上的發(fā)展，很多關(guān)于云安全技術(shù)對信息安全的話題成為大家討論的熱點(diǎn)。所以從2007年開始，在全球普遍遭遇惡意軟件攻擊的壓力下，傳統(tǒng)的安全防御技術(shù)難以預(yù)防的時(shí)候 ，“云安全”技術(shù)逐漸代替?zhèn)鹘y(tǒng)防御技術(shù)，得到發(fā)展。

云安全技術(shù)主要有兩個(gè)重要的特點(diǎn)，即是擁有強(qiáng)大的分布式運(yùn)算能力和客戶端安全配置精簡化系統(tǒng)，這也是提高自身發(fā)展趨勢的主要優(yōu)勢。該技術(shù)能夠大大提高企業(yè)用戶的信息安全性能，從而降級客戶端的維護(hù)量。而且云技術(shù)在一定程度上高于傳統(tǒng)防御威脅的評估能力，因此安全級別無疑不受客戶認(rèn)可。但是，云安全技術(shù)對電子商務(wù)安全產(chǎn)生也存在一定的影響，主要是：首先，就是“云安全”技術(shù)就技術(shù)而言，具有高安全防護(hù)能力，這也是無法改變的事實(shí)，因此安全級別具有顯著優(yōu)勢。其次，就是在實(shí)際應(yīng)用過程中，“云安全”技術(shù)有著非常強(qiáng)大的防護(hù)木馬、惡意程序攻擊的能力，能夠降低企業(yè)管理和維護(hù)成本等消耗費(fèi)用等。

隨著計(jì)算機(jī)的迅速發(fā)展，用戶的需求也會(huì)細(xì)化，因此云安全技術(shù)也要更加完善才能滿足用戶應(yīng)用的需求。隨著網(wǎng)絡(luò)威脅的不斷升級，云安全技術(shù)也要隨之不斷發(fā)展，才能最終達(dá)到所有用戶的安全防護(hù)需求。

因此，雖然云計(jì)算既是連接互聯(lián)網(wǎng)上一些強(qiáng)大的包括存儲(chǔ)資源、計(jì)算資源、軟件資源、數(shù)據(jù)資源、管理資源等信息資源，通過自身的服務(wù)方式為廣大用戶所用。但是由于不對用戶進(jìn)行集中控制，只按需付費(fèi)導(dǎo)致用戶感覺不到關(guān)心，一定程度上會(huì)阻礙自身的發(fā)展。因此對電子商務(wù)的發(fā)展也會(huì)產(chǎn)生深刻的影響。

4 企業(yè)網(wǎng)絡(luò)安全檢測體系

網(wǎng)絡(luò)入侵檢測方式分為基于硬件和基于軟件兩種，不過在任務(wù)流程上二者是完全相反的。它們將網(wǎng)絡(luò)接口的形式設(shè)置為混雜形式，方便對全部網(wǎng)段的數(shù)據(jù)實(shí)施全面監(jiān)控，再做出剖析，從而將無害的攻擊數(shù)據(jù)包辨別出來，做出記錄，以便大家翻閱。

4.1 入侵檢測的體系構(gòu)造 網(wǎng)絡(luò)入侵檢測的體系構(gòu)造通常由三局部組成，辨別為Agent、Console以及Manager。其中Agent的作用是對網(wǎng)段內(nèi)的數(shù)據(jù)包停止監(jiān)視，找出攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的次要作用是擔(dān)任搜集處的信息，顯示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的次要作用則是呼應(yīng)配置攻擊正告信息，控制臺(tái)所的命令也由Manager來執(zhí)行，再把所收回的攻擊正告發(fā)送至控制臺(tái)。

4.2 入侵檢測的任務(wù)形式 基于網(wǎng)絡(luò)的入侵檢測，要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測，依照網(wǎng)絡(luò)構(gòu)造的不同，其的銜接方式也各不相反。假如網(wǎng)段的銜接方式為總線式的集線器，則把與集線器中的某個(gè)端口相銜接即可；假如為替換式以太網(wǎng)替換機(jī)，由于替換機(jī)無法共享媒價(jià)，因而只采用一個(gè)對整個(gè)子網(wǎng)停止監(jiān)聽的方法是無法完成的。因而可以應(yīng)用替換機(jī)中心芯片中用于調(diào)試的端口中，將入侵檢測零碎與該端口相銜接?；蛟S把它放在數(shù)據(jù)流的關(guān)鍵出入口，于是就可以獲取簡直全部的關(guān)鍵數(shù)據(jù)。

4.3 攻擊呼應(yīng)及晉級攻擊特征庫、自定義攻擊特征 假如入侵檢測零碎檢測出歹意攻擊信息，其呼應(yīng)方式有多種，例如發(fā)送電子郵件、記載日志、告訴管理員、查殺進(jìn)程、切斷會(huì)話、告訴管理員、啟動(dòng)觸發(fā)器開端執(zhí)行預(yù)設(shè)命令、取消用戶的賬號以及創(chuàng)立一個(gè)報(bào)告等等。晉級攻擊特征庫可以把攻擊特征庫文件經(jīng)過手動(dòng)或許自動(dòng)的方式由相關(guān)的站點(diǎn)中下載上去，再應(yīng)用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫中。而網(wǎng)絡(luò)管理員可以依照單位的資源情況及其使用情況，以入侵檢測零碎特征庫為根底來自定義攻擊特征，從而對單位的特定資源與使用停止維護(hù)。

5 結(jié)束語

電子商務(wù)能夠安全運(yùn)行，除了從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，還需要改善電子商務(wù)立法，這樣才能規(guī)范發(fā)展中的電子商務(wù)，解決現(xiàn)實(shí)中存在的各種問題，從而引導(dǎo)電子商務(wù)健康應(yīng)用，促使我國電子商務(wù)能夠快速發(fā)展。

參考文獻(xiàn)：

[1]肖滿梅，羅蘭娥.電子商務(wù)及其安全技術(shù)問題[J].湖南科技學(xué)院學(xué)報(bào)，2006，27.

[2]豐洪才，管華，陳珂.電子商務(wù)的關(guān)鍵技術(shù)及其安全性分析[J].武漢工業(yè)學(xué)院學(xué)報(bào)，2004，2.

[3]閻慧，王偉，寧宇鵬等編著.防火墻原理與技術(shù)[M].北京：機(jī)械工業(yè)出版杜，2004.

[4]韓曉鴻，張艷麗，魏紅君.探討電子商務(wù)信息系統(tǒng)安全與Bent函數(shù)[J].商場現(xiàn)代化，2007（19）.

[5]蔣洪霞.對電子商務(wù)基本理論的探討[J].商場現(xiàn)代化，2009（04）.

[6]王璐璐.關(guān)于電子商務(wù)實(shí)踐教學(xué)的探討[J].科技資訊，2010（31）.

[7]陳萱.電子商務(wù)的交易成本分析[J].科技資訊，2007（36）.

云安全原理與實(shí)踐范文第2篇

【關(guān)鍵詞】云計(jì)算安全關(guān)鍵技術(shù)

所謂的云計(jì)算這屬于一種商業(yè)計(jì)算模型，這也就是在大量計(jì)算機(jī)所組成的資源地上分布計(jì)算任務(wù)，以便能夠?qū)⒏黜?xiàng)應(yīng)用系統(tǒng)按照需求獲得信息服務(wù)、計(jì)算力以及存儲(chǔ)空間，從而實(shí)現(xiàn)發(fā)展網(wǎng)格計(jì)算、分布式計(jì)算以及并行計(jì)算。通常來說，云安全所包含的關(guān)鍵技術(shù)與風(fēng)險(xiǎn)應(yīng)對策略主要應(yīng)該從以下三個(gè)方面進(jìn)行詳細(xì)闡述：

首先是數(shù)據(jù)安全。一是數(shù)據(jù)傳輸安全。在云用戶或者企業(yè)借助于網(wǎng)絡(luò)將數(shù)據(jù)傳輸?shù)焦苍频倪^程當(dāng)中，黑客隨時(shí)都可以篡改與竊取數(shù)據(jù)，嚴(yán)重威脅數(shù)據(jù)的真實(shí)性、保密性、可用性、完整性，這就給予云用戶造成嚴(yán)重的商業(yè)損失。而該階段所采取的保護(hù)策略就是加密傳輸數(shù)據(jù)，在數(shù)據(jù)傳輸過程中使用安全傳輸協(xié)議；二是數(shù)據(jù)存儲(chǔ)安全。云用戶數(shù)據(jù)在對數(shù)據(jù)存儲(chǔ)的過程當(dāng)中，所存在的安全風(fēng)險(xiǎn)由數(shù)據(jù)審計(jì)、災(zāi)難恢復(fù)、隔離、數(shù)據(jù)濫用以后即存儲(chǔ)位置等。為有效防范被云服務(wù)提供商、惡意鄰居租戶或者部分應(yīng)用濫用，那么采取的做法是在應(yīng)用IaaS加密靜止數(shù)據(jù)，可是針對PaaS與SaaS這類的應(yīng)用過程當(dāng)中，由于不能加密數(shù)據(jù)，密文數(shù)據(jù)對于搜索與索引的應(yīng)用造成妨礙，可是從目前的情況來看，尚未發(fā)明能夠用于商用的算法來對數(shù)據(jù)同態(tài)加密實(shí)現(xiàn)，云用戶并且應(yīng)該把握對數(shù)據(jù)具置維持的基本原則，另外還應(yīng)該使用數(shù)據(jù)標(biāo)記，數(shù)據(jù)隔離在單租戶專用數(shù)據(jù)平臺(tái)當(dāng)中實(shí)現(xiàn)，從而做到對數(shù)據(jù)非法訪問的防止，而災(zāi)難恢復(fù)實(shí)現(xiàn)則是使用數(shù)據(jù)多備份；三是數(shù)據(jù)殘留安全。所謂的數(shù)據(jù)殘留安全就是說數(shù)據(jù)在被以某種形式擦除之后殘留的物理表現(xiàn)，黨擦除存儲(chǔ)介質(zhì)之后，存在著一定的可能借助于某些物理特性來重建數(shù)據(jù)，數(shù)據(jù)殘留在云計(jì)算背景下，存在著一定的可能對敏感信息無意當(dāng)中流露，這就使得云服務(wù)提供商為做到有效保證數(shù)據(jù)完整清除，往往使用內(nèi)容發(fā)現(xiàn)、加密數(shù)據(jù)相關(guān)介質(zhì)銷毀、擦拭磁盤以及銷毀存儲(chǔ)介質(zhì)等方法與技術(shù)。

其次是應(yīng)用安全。一是終端客戶安全。云客戶端為對應(yīng)用安全進(jìn)行保證，則應(yīng)該做到對各項(xiàng)防御功能開啟，并且對于IPS類型安全控件、反惡意軟件、個(gè)人防火墻以及防病毒軟件在云客戶端進(jìn)行部署，并且為做到避免瀏覽器遭受攻擊，還應(yīng)該積極使用各種必要保護(hù)措施，從而做到端到端的安全在云環(huán)境當(dāng)中實(shí)現(xiàn)，這就要讓云用戶通過對自動(dòng)更新功能的使用，從而對于瀏覽器更新與打補(bǔ)丁等定期完成，而其中的企業(yè)客戶必須從制度上做出嚴(yán)格的規(guī)定連接云計(jì)算應(yīng)用的PC機(jī)就嚴(yán)格禁止安裝虛擬機(jī)，定期檢查PC機(jī)；二是SaaS應(yīng)用安全。在安全評估選擇SaaS提供商的過程當(dāng)中，應(yīng)該按照相關(guān)保密協(xié)議要求，在一定情況下存在著一定的必要聘請第三方安全廠商做好黑盒安全測試這樣的滲透測試，從而能夠做到對詳實(shí)安全信息的獲得，并且對于SaaS提供商所供的訪問控制與身份驗(yàn)證功能，這屬于唯一性的安全控制措施在客戶管理信息風(fēng)險(xiǎn)當(dāng)中，對于云特定訪問控制機(jī)制用戶應(yīng)該盡最大可能了解，通過采用必要步驟來對運(yùn)載的數(shù)據(jù)進(jìn)行保護(hù)；三是PaaS應(yīng)用安全?；谠苹A(chǔ)知識(shí)對用戶采購或者創(chuàng)建的應(yīng)用進(jìn)行部署這屬于PssS云提供給用戶的能力，對于引擎在內(nèi)的平臺(tái)軟件與地層安全由PssS提供商負(fù)責(zé)，當(dāng)如果有Web服務(wù)、組件以及第三方應(yīng)用在PssS應(yīng)用使用，而那些部署在PaaS平臺(tái)上面的應(yīng)用的安全則是由客戶負(fù)責(zé)，云用戶部署的應(yīng)用安全還應(yīng)該得到PaaS應(yīng)用開發(fā)商的積極配合，開發(fā)人員必須對平臺(tái)被封裝成安全對象與Web服務(wù)的安全特性熟悉。

再次是虛擬化安全。從一方面來看是虛擬化軟件安全，這種軟件層在裸機(jī)上進(jìn)行直接部署，這樣所能夠提供的能力是對虛擬服務(wù)器進(jìn)行創(chuàng)建、運(yùn)行以及銷毀。保持著可用性與完整性的虛擬化層這有著極其重要與關(guān)鍵的保持創(chuàng)建可用性與完整性的公有云；從另外一方面來看則是虛擬服務(wù)器安全，通常來說，在虛擬機(jī)軟件之上的虛擬服務(wù)器，這就是在虛擬服務(wù)器上面運(yùn)用物理服務(wù)器的安全原理和實(shí)踐，并且要做到對虛擬服務(wù)器所具備的特點(diǎn)兼顧，所采取的措施對具備TPM安全模塊的物理服務(wù)器進(jìn)行選擇，在對服務(wù)器進(jìn)行構(gòu)建當(dāng)中，必須在所有的虛擬服務(wù)器分別分配出一個(gè)獨(dú)立的硬盤分區(qū)，還應(yīng)該嚴(yán)密監(jiān)視虛擬服務(wù)器的運(yùn)行狀態(tài)，以便做到對各個(gè)虛擬器當(dāng)中的防火墻日志與系統(tǒng)日志進(jìn)行實(shí)時(shí)監(jiān)控，從而能夠做到對所存在的安全隱患及時(shí)發(fā)現(xiàn)，及時(shí)關(guān)閉不需要運(yùn)行的虛擬機(jī)。

參考文獻(xiàn)

云安全原理與實(shí)踐范文第3篇

【關(guān)鍵詞】控制系統(tǒng)；安全；防范對策

1 工業(yè)控制系統(tǒng)介紹

工業(yè)控制系統(tǒng)（Industrial Control Systems， ICS）是指由各種自動(dòng)化控制組件以及對實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。

目前工業(yè)控制系統(tǒng)廣泛的應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運(yùn)輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。

2 工業(yè)自動(dòng)化控制系統(tǒng)信息安全定義及現(xiàn)狀

工業(yè)自動(dòng)化控制系統(tǒng)信息安全就是對工業(yè)自動(dòng)化控制系統(tǒng)及終端設(shè)備進(jìn)行安全防護(hù)。根據(jù)工業(yè)自動(dòng)化控制系統(tǒng)涉及的終端設(shè)備及系統(tǒng)，普遍認(rèn)為信息安全包括：保護(hù)在工業(yè)自動(dòng)化控制系統(tǒng)中廣泛使用的，如工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)。

工業(yè)自動(dòng)化控制系統(tǒng)信息安全中最為基礎(chǔ)的部分就是工業(yè)以太網(wǎng)，所以工業(yè)以太網(wǎng)網(wǎng)絡(luò)首先得必須保證7*24*365天的可用性，必須能夠不間斷的可操作，能夠確保系統(tǒng)的可訪問性，數(shù)據(jù)能夠?qū)崟r(shí)進(jìn)行傳輸，需要有完備的保護(hù)方案。

工業(yè)自動(dòng)化控制系統(tǒng)信息安全的所帶來的風(fēng)險(xiǎn)十分廣泛，大致的威脅級別可以分為：未授權(quán)訪問、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導(dǎo)致停產(chǎn)。

2.1 未授權(quán)訪問

未授權(quán)訪問是指未經(jīng)授權(quán)使用網(wǎng)絡(luò)或未授權(quán)訪問網(wǎng)絡(luò)資源、文件的一種行為。主要包括非法進(jìn)入系統(tǒng)或網(wǎng)絡(luò)后進(jìn)行操作的行為。

2.2 數(shù)據(jù)竊取

數(shù)據(jù)竊取是通過未授權(quán)的訪問、網(wǎng)絡(luò)監(jiān)聽等非法手段獲取到有價(jià)值的信息或數(shù)據(jù)。

2.3 數(shù)據(jù)篡改

數(shù)據(jù)篡改是對計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行修改、增加或刪除，造成數(shù)據(jù)破壞。

2.4 破壞工廠導(dǎo)致停產(chǎn)

通過病毒或其他攻擊手段對包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進(jìn)行攻擊，導(dǎo)致其無法正常工作從而影響企業(yè)的正常生產(chǎn)。

3 建立工業(yè)控制系統(tǒng)安全的防范對策

3.1 基于終端的工業(yè)系統(tǒng)安全防御體系

工業(yè)網(wǎng)絡(luò)中同時(shí)存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應(yīng)該按照等級進(jìn)行劃分，實(shí)施分層次的縱深防御體系。按照業(yè)務(wù)職能和安全需求的不同，工業(yè)網(wǎng)絡(luò)可劃分為：滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；滿足在線業(yè)務(wù)需要DMZ 區(qū)域；滿足ICS 管理與監(jiān)控需要的管理區(qū)域；滿足自動(dòng)化作業(yè)需要的控制區(qū)域。

3.2 辦公網(wǎng)絡(luò)終端的安全防御

辦公網(wǎng)絡(luò)相對于工業(yè)控制網(wǎng)絡(luò)是開放的，其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性，以及基于終端使用者的角色實(shí)施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實(shí)施進(jìn)一步定向攻擊的橋頭堡，實(shí)施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括：木馬等病毒威脅系統(tǒng)正常運(yùn)行惡意軟件防御能力；基于白名單的惡意行為發(fā)現(xiàn)與檢測能力；終端應(yīng)用控制與審計(jì)能力；基于角色的訪問控制能力；系統(tǒng)漏洞的檢測與修復(fù)能力；基于系統(tǒng)異常的恢復(fù)能力；外設(shè)的管理與控制能力；基于終端行為與事件的審計(jì)能力；終端安全的應(yīng)急響應(yīng)能力。

3.3 工業(yè)控制網(wǎng)絡(luò)終端的安全防御

工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性，其安全防御的核心是確?？刂葡到y(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內(nèi)部自動(dòng)化控制組件間的訪問控制策略。同時(shí)需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r(shí)，能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點(diǎn)。

同時(shí)，在確?？刂葡到y(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個(gè)方面：基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力；基于白名單策略的控制終端惡意軟件防御能力；基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力；基于ICS 協(xié)議的內(nèi)容監(jiān)測能力；基于控制系統(tǒng)的漏洞及威脅防御能力；基于可用性的最小威脅容忍模型建設(shè)能力；基于事件與行為的審計(jì)能力；基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力；終端安全的應(yīng)急響應(yīng)能力。

3.4 工業(yè)網(wǎng)絡(luò)終端安全管控平臺(tái)建設(shè)

充分了解控制終端與業(yè)務(wù)終端的安全能力建設(shè)規(guī)范與功能，是構(gòu)建高性能安全事件審計(jì)與管理運(yùn)維平臺(tái)模型的前提，也是實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預(yù)警和安全響應(yīng)的基礎(chǔ)平臺(tái)。安全管控平臺(tái)不僅是實(shí)施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心，基于ICS 安全威脅的知識(shí)庫仿真模塊，更可實(shí)時(shí)對檢測到的異?；蛭词跈?quán)訪問進(jìn)行核查評估，并將風(fēng)險(xiǎn)通過短信、郵件等方式對管理員告警。

為確保安管平臺(tái)的可用性和時(shí)效性，可基于云計(jì)算與虛擬化技術(shù)對管理平臺(tái)進(jìn)行建設(shè)，目前較成熟的私有云安全技術(shù)、虛擬終端管理技術(shù)、數(shù)據(jù)災(zāi)備技術(shù)，都可為ICS 系統(tǒng)統(tǒng)一管理提供良性的技術(shù)支撐。在客戶端系統(tǒng)資源優(yōu)化方面，先進(jìn)的私有云平臺(tái)可將信息終端繁重的功能負(fù)載遷移到云端執(zhí)行，為系統(tǒng)的關(guān)鍵應(yīng)用提供寶貴的計(jì)算資源，實(shí)現(xiàn)工業(yè)系統(tǒng)調(diào)度與計(jì)算資源的最大利用。

4 結(jié)語

工業(yè)自動(dòng)化控制系統(tǒng)本身的動(dòng)態(tài)演化中的安全性是一個(gè)動(dòng)態(tài)的過程和設(shè)備的變化，系統(tǒng)升級，將導(dǎo)致工業(yè)自動(dòng)化、控制系統(tǒng)以及各種安全攻擊的安全威脅，技術(shù)復(fù)雜，技能也不斷發(fā)展，預(yù)防難度也越來越大，因此不能達(dá)到100%信息安全，需要繼續(xù)實(shí)施的各個(gè)階段，工業(yè)自動(dòng)化控制系統(tǒng)的生命周期，持續(xù)改進(jìn)。

參考文獻(xiàn)：

[1]胡建偉.網(wǎng)絡(luò)安全與保密[M].西安電子科技大學(xué)出版社，2003.

云安全原理與實(shí)踐范文第4篇

【 關(guān)鍵詞 】 移動(dòng)互聯(lián)網(wǎng)；惡意軟件；樣本自動(dòng)化分析

1 引言

我國移動(dòng)互聯(lián)網(wǎng)正處在快速發(fā)展的歷史機(jī)遇中，手機(jī)應(yīng)用軟件（APP）層出不窮、繁榮發(fā)展。但由于安卓系統(tǒng)的開源和開放性，手機(jī)木馬、手機(jī)病毒等各類惡意APP也開始出現(xiàn)并迅速增粘，安卓平臺(tái)的安全形勢越來越不容樂觀。

根據(jù)360安全中心的《2012年中國手機(jī)安全狀況報(bào)告》顯示，2012年360互聯(lián)網(wǎng)安全中心新增手機(jī)惡意軟件樣本174977款，同比2011年增長1907%，感染人次71664334人次，同比2011年增長160%；其中，Android平臺(tái)以新增樣本123681款，占全部新增樣本數(shù)量的71%，感染量達(dá)51746864人次，占惡意軟件感染總次數(shù)的78%，成為手機(jī)惡意軟件的主要感染平臺(tái)。2012年12月，其更以單月新增30809款達(dá)到歷史新高。

惡意軟件導(dǎo)致的移動(dòng)終端個(gè)人信息泄露問題日益嚴(yán)峻，相關(guān)負(fù)面報(bào)道的不斷出現(xiàn)，例如2011年12月，一款名為CarrierIQ（簡稱CIQ）的內(nèi)核級間諜軟件被曝光，該軟件會(huì)暗中收集用戶隱私信息，甚至每按下一次鍵盤都會(huì)被秘密地記錄在案，并將手機(jī)內(nèi)容上傳至網(wǎng)絡(luò)，讓手機(jī)用戶對隱私泄露產(chǎn)生恐慌。

隨著個(gè)人信息泄露問題日益嚴(yán)峻，智能手機(jī)終端個(gè)人信息保護(hù)日益受到人們關(guān)注，迫切需求制定移動(dòng)互聯(lián)網(wǎng)軟件安全標(biāo)準(zhǔn)，研發(fā)移動(dòng)互聯(lián)網(wǎng)智能手機(jī)惡意軟件監(jiān)測、分析和查殺的相關(guān)技術(shù)和產(chǎn)品，保護(hù)用戶個(gè)人信息安全，為用戶提供安全可控的移動(dòng)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)。

2 手機(jī)惡意軟件自動(dòng)分析檢測技術(shù)發(fā)展

對手機(jī)惡意軟件的樣本進(jìn)行分析和鑒定，需要有一套自動(dòng)化的分析和檢測系統(tǒng)。目前，對手機(jī)惡意軟件樣本的自動(dòng)化分析技術(shù)主要包括兩類。

（1）靜態(tài)掃描技術(shù)：包括兩種，一種是傳統(tǒng)的特征碼掃描匹配技術(shù)，另一種是基于數(shù)據(jù)挖掘的樣本識(shí)別與分析技術(shù)，例如項(xiàng)目承擔(dān)單位實(shí)現(xiàn)了基于機(jī)器學(xué)習(xí)的樣本人工智能分析技術(shù)，亦即：在建立大量已知黑白樣本的訓(xùn)練集基礎(chǔ)之上，采用人工智能機(jī)器學(xué)習(xí)算法，對程序文件的靜態(tài)、行為等特征進(jìn)行抽取，建立一定的機(jī)器學(xué)習(xí)模型，經(jīng)過對新樣本的不斷訓(xùn)練，訓(xùn)練模型將在檢出率和誤報(bào)率之間達(dá)到一個(gè)較好的平衡，從而實(shí)現(xiàn)對未知惡意軟件的智能啟發(fā)式識(shí)別能力。

（2）動(dòng)態(tài)行為分析技術(shù)：即在一個(gè)特定的模擬環(huán)境中，監(jiān)控應(yīng)用軟件的行為，建立惡意軟件行為的動(dòng)態(tài)模型，形成一系列惡意軟件行為的規(guī)則庫，通過實(shí)時(shí)監(jiān)控識(shí)別未知的可疑惡意軟件。

3 360移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測分析平臺(tái)

3.1 系統(tǒng)總體架構(gòu)

360移動(dòng)互聯(lián)網(wǎng)惡意軟件自動(dòng)化分析系統(tǒng)的總體設(shè)計(jì)方案如圖1所示。

3.1.1終端惡意軟件查殺

惡意軟件查殺的技術(shù)路線主要從客戶端和云端實(shí)現(xiàn)惡意軟件的監(jiān)控與防御――在手機(jī)客戶端實(shí)現(xiàn)主動(dòng)防御功能，在云端實(shí)現(xiàn)聯(lián)網(wǎng)云查殺的接口服務(wù)。其中，主動(dòng)防御是對系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控，即當(dāng)發(fā)現(xiàn)手機(jī)客戶端有異常行為，如未經(jīng)用戶同意即發(fā)送付費(fèi)短信，或者私自聯(lián)網(wǎng)時(shí)，可以在第一時(shí)間進(jìn)行攔截，并且明確提示用戶（由用戶決定是否繼續(xù)此行為以及對該軟件的后續(xù)處理）。

對于普通用戶來說，由于軟件信息不夠透明，用戶可能仍無法定性軟件是否真的為惡意，因此僅有主動(dòng)防御對于根除惡意軟件是不夠的。采用云安全系統(tǒng)設(shè)計(jì)，用戶可以通過與服務(wù)器的交互進(jìn)行“云查殺”――由手機(jī)客戶端提取該軟件的特征碼信息，上傳至服務(wù)端進(jìn)行即時(shí)校驗(yàn)，然后返回該軟件的具體信息向用戶展現(xiàn)，幫助用戶做出準(zhǔn)確判斷。

3.1.2服務(wù)器端手機(jī)惡意軟件樣本自動(dòng)化分析檢測

通過對手機(jī)應(yīng)用軟件的使用特點(diǎn)及其面臨的安全風(fēng)險(xiǎn)進(jìn)行分析，選取和使用相應(yīng)的自動(dòng)化分析技術(shù)和軟件權(quán)限檢測技術(shù)。從安裝與卸載、程序訪問權(quán)限、數(shù)據(jù)安全性、通訊安全性以及人機(jī)接口安全性等方面的技術(shù)對手機(jī)應(yīng)用軟件的安全性進(jìn)行檢測，防止非授權(quán)訪問、異常執(zhí)行等。

主要包括三部分技術(shù)實(shí)現(xiàn)：靜態(tài)的智能終端惡意代碼識(shí)別技術(shù)；智能終端惡意代碼樣本收集和特征提取技術(shù)；基于動(dòng)態(tài)分析的權(quán)限識(shí)別技術(shù)的實(shí)現(xiàn)。

3.2 云端手機(jī)惡意軟件自動(dòng)化分析檢測技術(shù)

360在云端實(shí)現(xiàn)軟件安全性分析與權(quán)限檢測的技術(shù)實(shí)現(xiàn)方法如圖2所示。

（1） 靜態(tài)的智能終端惡意代碼識(shí)別技術(shù)

惡意代碼的識(shí)別技術(shù)主要分為兩類：基于靜態(tài)特征的惡意代碼識(shí)別技術(shù)、基于動(dòng)態(tài)分析的惡意代碼識(shí)別技術(shù)，本工具研究中將采取靜態(tài)分析和動(dòng)態(tài)分析結(jié)合的技術(shù)路線。

基于靜態(tài)特征的惡意代碼識(shí)別技術(shù)基于樣本分析軟件的生產(chǎn)者、軟件唯一ID、簽名證書信息、版本、安裝包文件特征（每個(gè)文件大小、數(shù)量、時(shí)間）、可執(zhí)行文件特征、權(quán)限等靜態(tài)特征信息，對可疑程序進(jìn)行分析和特征匹配，從而判斷是否為惡意代碼。

通過反編譯軟件包的源代碼并對源代碼進(jìn)行掃描，找出具有惡意代碼特征的片段，并對其進(jìn)行分析。關(guān)鍵分析涉及吸費(fèi)行為、個(gè)人隱私、聯(lián)網(wǎng)行為等可能出現(xiàn)安全問題的行為，如圖3所示。

（2） 基于動(dòng)態(tài)行為監(jiān)控分析的識(shí)別技術(shù)

主要有兩種方法。一種是建立系統(tǒng)底層檢測模塊，使其能夠檢測、攔截、記錄惡意使用某些敏感權(quán)限的行為。另一種方法是使用鉤子技術(shù)（Hook）來檢測對敏感權(quán)限相關(guān)API的調(diào)用行為。

建立系統(tǒng)底層模塊是指對現(xiàn)有的系統(tǒng)源代碼進(jìn)行改造，加入安全檢測模塊。檢測工具可以對軟件運(yùn)行過程中的發(fā)送扣費(fèi)信息、非法鏈接、非法內(nèi)容、盜取用戶隱私數(shù)據(jù)的行為進(jìn)行檢測、記錄和處理。其流程如圖4所示。

使用Hook技術(shù)對調(diào)用系統(tǒng)敏感API的行為進(jìn)行檢測。應(yīng)用程序請求系統(tǒng)服務(wù)時(shí)，首先調(diào)用智能終端上的系統(tǒng)函數(shù)庫，然后由系統(tǒng)函數(shù)庫對智能終端設(shè)備內(nèi)核API進(jìn)行系統(tǒng)調(diào)用。在進(jìn)行用戶級調(diào)用和系統(tǒng)調(diào)用時(shí)設(shè)置監(jiān)聽攔截器，對應(yīng)用程序調(diào)用信息進(jìn)行監(jiān)聽、收集，將這些信息傳遞給檢測引擎，檢測引擎提取軟件行為庫中的軟件行為模型與監(jiān)聽攔截的系統(tǒng)調(diào)用信息進(jìn)行比對，將比對信息傳遞給分析引擎，分析引擎對這些信息進(jìn)行分析，得出軟件的行為特征。其流程如圖5所示。

4 基于海量用戶群體智慧的惡意行為分析

手機(jī)惡意軟件的自動(dòng)化檢測技術(shù)仍處于其發(fā)展初期階段。由于手機(jī)應(yīng)用的特點(diǎn)，應(yīng)用的部分敏感行為需要結(jié)合用戶實(shí)際操作場景才能做出準(zhǔn)確判斷，這給完全自動(dòng)化的檢測帶來的障礙。

我們正在嘗試在360手機(jī)衛(wèi)士軟件中引入用戶舉報(bào)反饋機(jī)制，由海量用戶對特定應(yīng)用軟件進(jìn)行涉及用戶隱私信息的敏感操作進(jìn)行判定，并將判定結(jié)果及上下文信息回傳至云端，在云端形成海量用戶對應(yīng)用軟件行為的判定數(shù)據(jù)，并進(jìn)一步通過數(shù)據(jù)挖掘的方法，實(shí)現(xiàn)對軟件惡意行為的分析。其基本原理如圖6所示。

360手機(jī)終端主動(dòng)防御模塊，對用戶每款軟件的行為判決，回傳到云端。云端有了億萬用戶對各款軟件的投票之后，能夠根據(jù)真實(shí)用戶對軟件行為的評判，利用群體智慧，完成軟件的惡意行為分析。

基于大數(shù)據(jù)的云計(jì)算，包括三個(gè)核心模塊。

1）MapReduce計(jì)算框架。云端可以靈活地選取不同時(shí)間窗內(nèi)的用戶評判，利用分布式計(jì)算，快速得出結(jié)果，并做交叉驗(yàn)證。

2）智能用戶分類算法。采用聚類/分類算法，根據(jù)用戶的安裝軟件情況，以及對軟件行為的判決，將用戶劃分為若干類，得到分類用戶的特征。在時(shí)間軸內(nèi)迭代計(jì)算，不斷調(diào)優(yōu)用戶的特征參數(shù)。

3）采用多種維度的計(jì)算方法，如二分法、參與度/覆蓋度排名、90%置信區(qū)間等算法，結(jié)合用戶特征參數(shù)，綜合計(jì)算軟件的惡意行為的可信度。

5 結(jié)束語

隨著移動(dòng)互聯(lián)網(wǎng)惡意軟件的爆發(fā)式增長，惡意軟件自動(dòng)化分析技術(shù)的需求日益強(qiáng)烈。在傳統(tǒng)的PC互聯(lián)網(wǎng)安全領(lǐng)域的靜態(tài)分析和基于行為監(jiān)控的動(dòng)態(tài)分析方法，依然適用于手機(jī)惡意軟件的自動(dòng)化分析。與此同時(shí)，針對手機(jī)應(yīng)用的特性，對于軟件惡意行為的判定依賴于用戶操作場景，給自動(dòng)化分析帶來障礙。

在此方面，奇虎360公司開始嘗試依據(jù)海量終端用戶對特定敏感行為的舉報(bào)，通過數(shù)據(jù)挖掘的方法提升樣本自動(dòng)化分析的能力。

基金項(xiàng)目：

本文研究工作得到“新一代寬帶無線移動(dòng)通信網(wǎng)”國家科技重大專項(xiàng)課題《移動(dòng)應(yīng)用軟件的認(rèn)證管理軟件開發(fā)》（2012ZX03002029）支持。

作者簡介：

卞松山（1981-），男，畢業(yè)于北京工業(yè)大學(xué)，獲得通信工程專業(yè)學(xué)士學(xué)位，現(xiàn)任北京奇虎科技有限公司核心安全團(tuán)隊(duì)技術(shù)經(jīng)理，主要從事手機(jī)應(yīng)用軟件的安全分析檢測的產(chǎn)品技術(shù)研發(fā)工作。

云安全原理與實(shí)踐范文第5篇

關(guān)鍵詞： 知識(shí)工程； 知識(shí)發(fā)現(xiàn)； 知識(shí)管理； 應(yīng)用

中圖分類號：TP391 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2013）10-10-03

0 引言

在1977年第五屆國際人工智能聯(lián)合會(huì)議上，美國斯坦福大學(xué)計(jì)算機(jī)系教授Feigenbaum作了關(guān)于“人工智能的藝術(shù)”（The Art of Artificial Intelligence）的講演，提出“知識(shí)工程”這一名稱，并指出“知識(shí)工程是應(yīng)用人工智能的原理與方法，對那些需要專家知識(shí)才能解決的應(yīng)用難題提供求解的手段。恰當(dāng)?shù)剡\(yùn)用專家知識(shí)的獲取、表達(dá)和推理過程的構(gòu)成與解釋，是設(shè)計(jì)基于知識(shí)的系統(tǒng)的重要技術(shù)問題”[1]。

知識(shí)工程的發(fā)展大體經(jīng)歷了三個(gè)時(shí)期。

⑴ 實(shí)驗(yàn)性系統(tǒng)時(shí)期，從1965年至1974年。

1965年Feigenbaum教授與其他科學(xué)家合作，研制出DENDRAL專家系統(tǒng)。這是一種推斷分子結(jié)構(gòu)的計(jì)算機(jī)程序，該系統(tǒng)貯存有非常豐富的化學(xué)知識(shí)，它所解決問題的能力達(dá)到專家水平，甚至在某些方面超過同行專家的能力，其中包括它的設(shè)計(jì)者。DENDRAL系統(tǒng)標(biāo)志著“專家系統(tǒng)”的誕生。

⑵ MYCIN時(shí)期，從1975年至1980年。

20世紀(jì)70年代中期MYCIN專家系統(tǒng)研制成功，這是一種用醫(yī)學(xué)診斷與治療感染性疾病的計(jì)算機(jī)程序“專家系統(tǒng)”。MYCIN專家系統(tǒng)是規(guī)范性計(jì)算機(jī)專家系統(tǒng)的代表，許多其他專家系統(tǒng)都是在MYCIN專家系統(tǒng)的基礎(chǔ)上研制而成的。MYCIN系統(tǒng)不但具有較高的性能，而且具有解釋功能和知識(shí)獲取功能，可以用英語與用戶對話，回答用戶提出的問題，還可以在專家指導(dǎo)下學(xué)習(xí)醫(yī)療知識(shí)，該系統(tǒng)還使用了知識(shí)庫的概念和不精確推理技術(shù)。MYCIN系統(tǒng)對計(jì)算機(jī)專家系統(tǒng)的理論和實(shí)踐，都有較大的貢獻(xiàn)。

⑶ 知識(shí)工程的“產(chǎn)品”在產(chǎn)業(yè)部門開始應(yīng)用的時(shí)期，時(shí)間從1980年至今。

知識(shí)工程的研究，目前在美國開展得較為活躍和深入，特別是在斯坦福大學(xué)。

人工智能的研究表明，專家之所以成為專家，主要在于他們擁有大量的專門知識(shí)，特別是長時(shí)期從實(shí)踐中總結(jié)和積累的經(jīng)驗(yàn)技能知識(shí)。從知識(shí)工程的發(fā)展歷史可以看出，知識(shí)工程是伴隨“專家系統(tǒng)”的研究而產(chǎn)生的。實(shí)際上，知識(shí)工程的焦點(diǎn)就是知識(shí)。知識(shí)工程領(lǐng)域的主要研究方向包含知識(shí)獲取、知識(shí)表示和推理方法等，其研究目標(biāo)是挖掘和抽取人類知識(shí)，用一定的形式表現(xiàn)這些知識(shí)，使之成為計(jì)算機(jī)可操作的對象，從而使計(jì)算機(jī)具有人類的一定智能。

目前，知識(shí)工程已廣泛應(yīng)用于數(shù)據(jù)處理、診斷、監(jiān)視、預(yù)測、規(guī)劃、設(shè)計(jì)等方面，并取得了良好的效果。本文將綜述近年來國內(nèi)外知識(shí)工程的應(yīng)用情況，并展望其前景。

1 基于知識(shí)發(fā)現(xiàn)的應(yīng)用

知識(shí)發(fā)現(xiàn)（Knowledge Discovery， KD）是1989年提出的新興、交叉、邊緣學(xué)科領(lǐng)域。

知識(shí)發(fā)現(xiàn)的目的是向使用者屏蔽原始數(shù)據(jù)的繁瑣細(xì)節(jié)，從原始數(shù)據(jù)中提煉出有意義的、簡潔的知識(shí)，直接向使用者報(bào)告。知識(shí)發(fā)現(xiàn)是從數(shù)據(jù)集中識(shí)別出有效的、新穎的、潛在有用的，以及最終可理解的模式的非平凡過程。知識(shí)發(fā)現(xiàn)將信息變?yōu)橹R(shí)，從數(shù)據(jù)資源中發(fā)現(xiàn)知識(shí)寶藏[2]。

知識(shí)發(fā)現(xiàn)的潛在應(yīng)用十分廣闊。從工業(yè)到農(nóng)業(yè)，從天文到地理，從預(yù)測預(yù)報(bào)到?jīng)Q策支持，KD都發(fā)揮著越來越重要的作用。許多計(jì)算機(jī)軟件開發(fā)商都已經(jīng)推出了其數(shù)據(jù)挖掘產(chǎn)品，如IBM、Microsoft、SPSS、SGI、SLPInfoware、SAS（Object Business）等。它們被廣泛應(yīng)用于商業(yè)、農(nóng)業(yè)、醫(yī)學(xué)生物、金融保險(xiǎn)、通訊、國防等多個(gè)方面。

基于知識(shí)發(fā)現(xiàn)的專家系統(tǒng)（ESKD）成功運(yùn)行于農(nóng)業(yè)、鋁電解；基于知識(shí)發(fā)現(xiàn)的智能決策支持系統(tǒng)（IDSSKD）成功運(yùn)行于國際電子商務(wù)中心（北京）的外貿(mào)加工業(yè)務(wù)中。

我國著名知識(shí)工程專家楊炳儒教授構(gòu)建了由理論基礎(chǔ)、4條機(jī)制（理論支柱）、8個(gè)新過程模型、17種新技術(shù)方法組成的，多層遞階、綜合集成的，基于內(nèi)在認(rèn)知機(jī)理的知識(shí)發(fā)現(xiàn)理論體系KDTICM。

KDTICM及其衍生的新型智能系統(tǒng)成功地應(yīng)用于蛋白質(zhì)結(jié)構(gòu)預(yù)測、農(nóng)業(yè)、現(xiàn)代遠(yuǎn)程教育網(wǎng)、氣象、國際商務(wù)、鋁電解生產(chǎn)、稅務(wù)、數(shù)字資源整合等八個(gè)領(lǐng)域，有效地驗(yàn)證了KDTICM，并解決了一批領(lǐng)域中的典型問題。尤其體現(xiàn)在解決生物信息學(xué)領(lǐng)域國際性難題的重要核心作用——取得蛋白質(zhì)2級結(jié)構(gòu)預(yù)測精度的國際領(lǐng)先地位[3]。

2 知識(shí)工程在工業(yè)工程中的典型應(yīng)用

2.1 在工業(yè)設(shè)計(jì)中的應(yīng)用

工業(yè)企業(yè)隨著知識(shí)積累形式的“老齡化”和客戶需求的“年輕化”，產(chǎn)品的設(shè)計(jì)要求和種類都變得越來越復(fù)雜及繁多。以往單純依靠CAD系統(tǒng)和知識(shí)數(shù)據(jù)庫之問文件形式的交互方式，使得CAD系統(tǒng)和知識(shí)數(shù)據(jù)庫之間出現(xiàn)了“斷層”，無法滿足工程師知識(shí)積累運(yùn)用的合理傳遞和管理要求。為此，嚴(yán)雯琦設(shè)計(jì)了KWE系統(tǒng)[4]。

KWE在工業(yè)設(shè)計(jì)中起到了知識(shí)系統(tǒng)集線器的作用，它相當(dāng)于一個(gè)交互平臺(tái)，為其他產(chǎn)品設(shè)計(jì)活動(dòng)提供了實(shí)時(shí)數(shù)據(jù)調(diào)度。通過該系統(tǒng)，能進(jìn)行產(chǎn)品整體模型的搜集和再生，標(biāo)準(zhǔn)件的選擇，質(zhì)量標(biāo)準(zhǔn)的分析校驗(yàn)，也能提品制造工藝流程的模擬，也為工程師提供信息共享的平臺(tái)[5]。

2.2 在機(jī)械產(chǎn)品參數(shù)化設(shè)計(jì)中的應(yīng)用

當(dāng)今機(jī)械工程領(lǐng)域，CAD/CAM技術(shù)飛速發(fā)展，伴隨著產(chǎn)品研發(fā)體系的不斷完善，知識(shí)的延續(xù)與再利用作為一種全新的設(shè)計(jì)理念應(yīng)運(yùn)而生。知識(shí)工程思想在設(shè)計(jì)軟件中得到了完美的體現(xiàn)。CATIA V5的知識(shí)顧問模塊能使設(shè)計(jì)人員在可視化的環(huán)境下，高速高效地進(jìn)行三維零件的特征參數(shù)化設(shè)計(jì)造型，完成的參數(shù)化設(shè)計(jì)造型能根據(jù)按人機(jī)交互方式輸入的設(shè)計(jì)變量來控制特征的修改。

學(xué)者張學(xué)忱等結(jié)合CATIAV5平臺(tái)的知識(shí)顧問模塊，運(yùn)用知識(shí)工程原理，創(chuàng)建產(chǎn)品參數(shù)化知識(shí)庫，方便、快速地完成產(chǎn)品的三維參數(shù)化造型設(shè)計(jì)，并通過知識(shí)功能對零件進(jìn)行參數(shù)控制和特征狀態(tài)的檢查[5]。該方法為標(biāo)準(zhǔn)件庫的創(chuàng)建提供了便捷的途徑，加快了企業(yè)的產(chǎn)品系列化的設(shè)計(jì)進(jìn)程。作者通過實(shí)例詳細(xì)闡述了基于知識(shí)工程的參數(shù)化設(shè)計(jì)的方法，靈活運(yùn)用了CATIA的知識(shí)工程模塊，顯示了其強(qiáng)大的設(shè)計(jì)功能，實(shí)現(xiàn)知識(shí)驅(qū)動(dòng)下的產(chǎn)品參數(shù)化造型設(shè)計(jì)。這種人機(jī)交互共同設(shè)計(jì)的智能化CAD手段已成為當(dāng)今機(jī)械設(shè)計(jì)領(lǐng)域的熱門課題，知識(shí)工程在機(jī)械產(chǎn)品參數(shù)化構(gòu)型設(shè)計(jì)過程中將得到廣泛應(yīng)用。

2.3 在工藝決策方面的應(yīng)用

工藝過程設(shè)計(jì)是產(chǎn)品設(shè)計(jì)和制造的橋梁，包括加工方法選擇、制造資源選擇、加工活動(dòng)排序等多個(gè)決策環(huán)節(jié)?，F(xiàn)代集成制造背景下的工藝決策，處于產(chǎn)品制造數(shù)據(jù)、信息和知識(shí)集成的大環(huán)境中，所涉及的信息越來越復(fù)雜，知識(shí)變得無處不在，而孤立和面向數(shù)據(jù)的工藝決策方法，顯得越來越難以適應(yīng)這種復(fù)雜應(yīng)用環(huán)境。不少研究采用了諸如單一的產(chǎn)生式規(guī)則、遺傳算法、人工神經(jīng)網(wǎng)絡(luò)等方法研究工藝決策的解決方法，但這類研究中往往較少涉及工藝決策對象、工藝決策過程和工藝決策知識(shí)之間的關(guān)聯(lián)和方便地對它們進(jìn)行擴(kuò)展的機(jī)制。北京航空航天大學(xué)研究了集成制造信息建模基礎(chǔ)上的工藝決策方法，但尚缺少知識(shí)角度的建模研究、統(tǒng)一的決策機(jī)制和對模型的充分利用。工藝過程設(shè)計(jì)中決策問題求解的本質(zhì)在于不斷改變對象即工藝過程的狀態(tài)以使其滿足后續(xù)指導(dǎo)加工的要求，知識(shí)是對這種變化的抽象描述，包括變化的過程和變化的動(dòng)力，問題求解中對象、規(guī)則是與過程密不可分的。

知識(shí)工程，其知識(shí)表達(dá)、使用和獲取三個(gè)方面的理論方法，可以充分支持工藝決策問題對于問題描述、知識(shí)驅(qū)動(dòng)和智能處理的要求，利用知識(shí)工程解決工藝決策問題將是一個(gè)突破的新方向。為此，學(xué)者沈偉等提出了基于知識(shí)工程的工藝決策方法[6]。

3 知識(shí)工程在教育領(lǐng)域的應(yīng)用

目前，很多高校的教育技術(shù)學(xué)專業(yè)都已經(jīng)將知識(shí)工程引入并作為一個(gè)重要的研究方向，其目的是借助于知識(shí)工程的方法和技術(shù)，改善教學(xué)，使教育更加智能化。隨著對知識(shí)工程的研究越來越引起人們的關(guān)注，知識(shí)工程早已超出了最開始被定義的范疇，它是“一門研究人類智能及人類知識(shí)的機(jī)理以及如何用機(jī)器模擬人的智能并促進(jìn)人類知識(shí)發(fā)展的學(xué)科”。教育知識(shí)管理是教育技術(shù)的組成部分，其實(shí)質(zhì)是研究人類獲取、傳播、共享、利用和創(chuàng)造新知識(shí)的活動(dòng)規(guī)律，管理有關(guān)知識(shí)的各種連續(xù)過程，以促進(jìn)經(jīng)濟(jì)和社會(huì)發(fā)展的理論和實(shí)踐。首先，知識(shí)工程的知識(shí)處理功能，有利于評價(jià)者獲取被評價(jià)事物的信息和學(xué)習(xí)者獲得所需知識(shí)。其次，知識(shí)工程的專家系統(tǒng)也可以為評價(jià)者或?qū)W習(xí)者提供幫助[7]。

知識(shí)工程與知識(shí)科學(xué)的發(fā)展極大地推動(dòng)了教育技術(shù)學(xué)的研究和發(fā)展，已經(jīng)有很多知識(shí)工程的方法與技術(shù)被應(yīng)用到教育中。如學(xué)者那一沙等提出了基于建構(gòu)主義的學(xué)習(xí)者知識(shí)工程模型[8]。作者指出，越來越多的學(xué)者關(guān)注學(xué)習(xí)過程的研究，認(rèn)為學(xué)習(xí)過程是一個(gè)復(fù)雜的知識(shí)轉(zhuǎn)移的過程，教師在傳授知識(shí)時(shí)，將自己的顯性知識(shí)和隱性知識(shí)轉(zhuǎn)移給學(xué)習(xí)者；同時(shí)，學(xué)習(xí)者自身也有一個(gè)顯性知識(shí)向隱性知識(shí)轉(zhuǎn)化的過程。與此同時(shí)，建構(gòu)主義教學(xué)方式越來越得到人們的普遍認(rèn)可，這一全新的教育理念結(jié)合知識(shí)工程，將為教育的研究發(fā)展提供有利的技術(shù)支持。

4 知識(shí)工程的新興應(yīng)用領(lǐng)域

4.1 在電子政務(wù)中的應(yīng)用

基于知識(shí)工程的電子政務(wù)系統(tǒng)是指把知識(shí)工程理論與電子政務(wù)理論相結(jié)合，以知識(shí)工程思想來實(shí)現(xiàn)涉及多個(gè)知識(shí)領(lǐng)域和多層推理的小城鎮(zhèn)電子政務(wù)系統(tǒng)。這里，知識(shí)工程實(shí)現(xiàn)了電子政務(wù)系統(tǒng)的知識(shí)獲取以及推理功能，使得電子政務(wù)系統(tǒng)進(jìn)行分工合作，共同完成更高層次的推理，提高系統(tǒng)的效率，實(shí)現(xiàn)了高度的實(shí)用性和易用性。

學(xué)者張鳳霞等曾針對電子政務(wù)建設(shè)面臨的業(yè)務(wù)差異顯著、分布范圍廣、辦公模式缺乏智能性和分析能力等問題，研究了基于知識(shí)工程的小城鎮(zhèn)電子政務(wù)系統(tǒng)模型。智能型電子政務(wù)集成了軟構(gòu)件、知識(shí)工程、多Agent以及多決策支持系統(tǒng)等技術(shù)，主要實(shí)現(xiàn)三個(gè)方面的目標(biāo)：①提供可復(fù)用性構(gòu)件和高效資源整合的基層政務(wù)信息服務(wù)平臺(tái)；②基于知識(shí)工程的多Agent協(xié)作辦公模式；③面向基層電子政務(wù)的決策支持服務(wù)[9]。

4.2 在電子商務(wù)中的應(yīng)用

電子商務(wù)模式是管理科學(xué)學(xué)術(shù)界和企業(yè)咨詢界的一個(gè)熱點(diǎn)。商務(wù)模式創(chuàng)新最大限度地為挖掘技術(shù)創(chuàng)新的商業(yè)潛力提供了轉(zhuǎn)化機(jī)制和橋梁，已成為各國有企業(yè)競爭的一個(gè)重要的領(lǐng)域。

電子商務(wù)具有很好的透明度模式，電子商務(wù)的模型是可以用軟件工程的方法形式化表示出來。如OBELIX項(xiàng)目以軟件工程的方法描述商務(wù)需求。利用這一點(diǎn)，劉祖斌提出了基于知識(shí)工程電子商務(wù)模式創(chuàng)新研究，其核心是對虛擬價(jià)值鏈本體描述和挖掘[10]。面向電子商務(wù)模式創(chuàng)新的知識(shí)工程架構(gòu)細(xì)分為模式本身本體描述、模式相關(guān)IT技術(shù)發(fā)展和商務(wù)背景等知識(shí)環(huán)境下的本體描述、模式演化路徑本體描述三個(gè)層次。

4.3 在虛擬企業(yè)中的應(yīng)用

虛擬企業(yè)是一種新型的知識(shí)創(chuàng)新組織，這種組織必須建立完善的知識(shí)創(chuàng)新專家系統(tǒng)，以對知識(shí)的獲取、識(shí)別、共享、集成進(jìn)行有效地管理。

學(xué)者劉程等分析了虛擬組織知識(shí)共享特點(diǎn)，并從技術(shù)層面解決了虛擬組織的知識(shí)共享問題。利用本體技術(shù)解決虛擬組織間的語義異構(gòu)和結(jié)構(gòu)異構(gòu)，并在此基礎(chǔ)上構(gòu)建了基于本體的知識(shí)共享模型[11]。文獻(xiàn)[12]探討了基于本體實(shí)現(xiàn)虛擬組織知識(shí)共享的基本原理。

4.4 本體與知識(shí)共享

知識(shí)共享是知識(shí)工程中的技術(shù)之一，有利于產(chǎn)生創(chuàng)新性的知識(shí)。本體論闡明了區(qū)分不同類型物體的標(biāo)準(zhǔn)，也闡明了這些不同類型物體的聯(lián)系。簡言之，在知識(shí)共享范疇中，本體論就是一個(gè)概念化的規(guī)范，它的作用是使知識(shí)可以共享和重用。

本體論包含著描述一個(gè)領(lǐng)域的概念、公理、聯(lián)系，而高級本體論則僅限于原子的（meta）、普通的（generic）、抽象的（abstract）和哲學(xué)的（philosophical）概念，高級本體論比本體論普遍，它能用于領(lǐng)域中一個(gè)很廣的范圍。這些就是IEEE制定的高級本體論標(biāo)準(zhǔn)（SUO，Standard Upper Ontology）。

世界范圍的本體論項(xiàng)目有兩種主要的形式：一種是面向基于知識(shí)庫的（Knowledge base oriented），CYC本體論就是這類，同屬這類的還有斯坦福大學(xué)知識(shí)系統(tǒng)實(shí)驗(yàn)室的“知識(shí)共享成果”（Knowledge Sharing Effort）；另一種是基于延伸的詞典/字典（Extended thesaurus/dictionary based），傾向于機(jī)器翻譯的，如普林斯頓大學(xué)米勒研究的WordNet，這是一個(gè)在線的詞匯參考系統(tǒng)，日本電子詞典研究機(jī)構(gòu)的EDR電子詞典，由新墨西哥州立大學(xué)、南加州大學(xué)和卡內(nèi)基梅隆大學(xué)共同研究開發(fā)的Pangloss系統(tǒng)等[13]。

由于本體是高度共享的概念模型，以形式化的方法進(jìn)行表示，并且能被計(jì)算機(jī)系統(tǒng)直接處理，使得它在異構(gòu)系統(tǒng)之間的互操作方面得到廣泛的應(yīng)用。目前，基于本體的跨組織知識(shí)共享系統(tǒng)的解決思路，多采用領(lǐng)域?yàn)楦鱾€(gè)組織分別建立不同的本地本體系統(tǒng)。領(lǐng)域標(biāo)準(zhǔn)定義的本體作為本地本體系統(tǒng)的擴(kuò)展，提供領(lǐng)域共享詞匯和統(tǒng)一視圖，解決不同本地本體系統(tǒng)之間的語義異構(gòu)性，同時(shí)滿足不同本地本體系統(tǒng)之間的相互查詢需求[14]。

5 結(jié)束語

知識(shí)工程是一個(gè)浩大的人工智能系統(tǒng)工程，其中，知識(shí)的獲取、知識(shí)的表示和知識(shí)的運(yùn)用是它最為重要的三大部分。本文從知識(shí)發(fā)現(xiàn)、在工業(yè)工程方面的應(yīng)用、在教育領(lǐng)域的應(yīng)用、新興應(yīng)用等視角對知識(shí)工程的應(yīng)用進(jìn)行了綜述。

隨著IT技術(shù)的進(jìn)一步發(fā)展和應(yīng)用，網(wǎng)絡(luò)已成為各行各業(yè)不可缺少的服務(wù)平臺(tái)，而由此引發(fā)的安全問題也廣受關(guān)注。傳統(tǒng)的管理模式往往只采用“是”與“非”兩種結(jié)論判斷安全性，但事實(shí)上安全性可以細(xì)分為更多的層次和類別；系統(tǒng)根據(jù)不同的安全性提供不同類型的服務(wù)，因此可考慮利用知識(shí)工程、云安全等多種技術(shù)，提供智能化的安全認(rèn)證。信任包含理性與非理性因素，如何利用知識(shí)工程挖掘出非理性因素的作用，以便確定一個(gè)綜合信任度，從而在網(wǎng)絡(luò)中實(shí)現(xiàn)更人性化的信任管理，這有待進(jìn)一步研究與實(shí)現(xiàn)。

參考文獻(xiàn)：

[1] 陸汝鈐主編.世紀(jì)之交的知識(shí)工程與知識(shí)科學(xué)[M].清華大學(xué)出版社，2001.

[2] 史忠植.知識(shí)發(fā)現(xiàn)（第2版）[M].清華大學(xué)出版社，2011.

[3] 王濤.研究知識(shí)工程專注知識(shí)發(fā)現(xiàn)——訪著名知識(shí)工程專家楊炳儒教授[J].科技成果管理與研究，2009.10：20-20

[4] 嚴(yán)雯琦.工業(yè)設(shè)計(jì)中知識(shí)工程的研究和實(shí)踐意義[J].中國科技博覽，2010.11：91

[5] 張學(xué)忱，陳錦昌，范汝祥等.知識(shí)工程在機(jī)械產(chǎn)品參數(shù)化設(shè)計(jì)中的應(yīng)用研究[J].工程圖學(xué)學(xué)報(bào)，2009.6：191-195

[6] 沈偉，喬立紅.基于知識(shí)工程的工藝決策方法研究[J].組合機(jī)床與自動(dòng)化加工技術(shù)，2011.5：108-112

[7] 王曉丹，凌鋒，樊磊.知識(shí)工程在教育技術(shù)發(fā)展中的應(yīng)用[J]. 軟件導(dǎo)刊，2008.1：6-8

[8] 那一沙，吳子?xùn)|，汪宏東.基于建構(gòu)主義的學(xué)習(xí)者知識(shí)工程模型的研究[J].現(xiàn)代遠(yuǎn)距離教育，2009.3：36-38

[9] 張鳳霞，丁振蘭，吳華瑞.基于知識(shí)工程的小城鎮(zhèn)電子政務(wù)系統(tǒng)模型研究術(shù)[J].計(jì)算機(jī)應(yīng)用研究，2006.23（8）：61-63

[10] 劉祖斌.基于知識(shí)工程電子商務(wù)模式創(chuàng)新研究[J].商業(yè)研究，2006.20：98-101

[11] 劉程，于曉.基于本體的虛擬企業(yè)知識(shí)共享方法研究[J].山東科學(xué)，2010.23（6）：91-95

[12] USEHOLD M. Ontologies Principle， Methods and Applications[J].Knowledge Engineering Review，1996.11（2）： 96-136