易用的操作系统安全模型的设计和实现

提出并实现了一种应用于PC操作系统的安全模型USPM,在保证足够安全性同时具有兼容性好、无需专门配置即可使用的特点。模型使系统能够在被黑客攻击成功的情况下保证机密文件不丢失、关键文件完整性不被破坏。USPM模型通过限制那些与远程系统进行数据交换的进程的活动来保证系统的安全性,同时通过设置一些例外规则部分的允许特定进程的访问活动来提高系统的易用性,达到在安全性和易用性间的平衡。测试表明,USPM具有较好的安全性,较低的开销和很好的易用性、兼容性。     

基于云规则的驱动级主动防御系统

主机的安全性主要体现在主机的防御系统方面,而最重要的技术就是系统行为监控技术。通过云规则的动态加载,获取互联网中恶意程序的最新信息,并对操作系统的重要资源进行访问控制。利用进程隐藏和进程终止保护技术对操作系统中重要进程进行保护;采用驱动隐藏和驱动卸载保护技术保护操作系统中的重要内核模块,同时可以阻止内核级和后门的恶意加载行为。实验结果表明,该防御系统具有良好的监控能力,不但可以阻止未知或者未授权的应用运行,还可以防止恶意程序修改正常的应用,从而达到对系统的安全性进行加固和扩展的目的。     

一种灵活的强制完整性访问控制策略

完整性保护是计算机安全的一项重要内容,虽然绝大多数安全操作系统都设计实现了完整性保护机制,但仍存在着系统的完整性被破坏以及完整性策略不够灵活的不足。在实施完整性保护的基本原则下,提出了一种灵活的完整性访问控制策略FIC,并给出了在LSM框架下的实现过程。FIC定义了主完整级和辅助完整级,通过访问控制规则、进程再标记规则和新建客体标记规则,实现了系统的完整性保护以及进程执行的灵活完整性保护控制。最后分析了实现效果,并指出了进一步可扩展性研究需求。     

增强可生存性的访问控制模型

针对传统访问控制模型应用到可生存系统时存在的局限性,提出可生存性访问控制的概念和要求,并设计一种可生存性访问控制模型TTC。TTC模型在系统受到入侵而被控制之后仍然能保护关键服务和数据,能实时响应入侵检测报警并指导入侵恢复工作。它包括触发、跟踪和控制等三个规则。触发规则和跟踪规则利用攻击树跟踪入侵者在系统内的活动,控制规则禁止被跟踪的主体破坏关键服务和数据。通过对模型的形式化证明,模型的应用示例,以及与传统访问控制模型的对比,证实了TTC模型在增强可生存性方面的价值。     

基于可变标签的访问控制策略设计与实现

仅提供了自主访问控制级安全防护能力的Windows操作系统的安全性受到用户广泛关注,而作为一项重要的信息安全技术,强制访问控制能够有效实现操作系统安全加固。访问控制策略的选择与设计是成功实施强制访问控制的关键。针对安全项目的需要,分析了结合经典访问控制模型BLP与Biba的优势,提出了依据进程可信度动态调整的可变标签访问控制策略,解决了因I3工尹与Biba模型的简单叠加而导致的系统可用性问题,最终实现了对进程访问行为进行控制的简单原型系统。实验表明,可变标签访问控制策略的引入在对操作系统安全加固的基础上显著提高了系统的可用性。     

基于通用访问框架的安全操作系统设计

该文介绍Bell-LaPadula模型、Clark-Wilson模型和RBAC模型,在这三种安全策略模型的基础上,结合LSM访问框架体系设计了一个达到结构化保护级要求的安全操作系统方案,提供安全系统的组成和功能,使Linux操作系统达到高安全保护级别。该安全系统结合强大的访问控制机制、系统特权分离、安全审计等一系列功能和技术,体现了安全操作系统设计的安全、可靠、实用、兼容性原则。     

基于安全域隔离的嵌入式系统的访问控制机制研究

针对嵌入式领域安全关键系统的信息安全问题,提出了基于安全域隔离的访问控制模型,采用分区间信息流隔离控制机制,结合分区间消息路由和消息权限鉴别机制,实现了分区操作系统中安全关键类应用任务的多级安全访问控制,并依据该模型设计了多级安全操作系统的访问控制机制。通过安全性分析证明,该机制使基于微内核的嵌入式操作系统能够防止非法的资源访问、身份伪装、信息泄露和隐秘通道等安全威胁;经过系统的性能测试表明,安全访问控制机制的引入使嵌入式操作系统的综合性能消耗约为10%左右。     

一种基于Minifilter的文件安全保护系统

针对操作系统中数据文件可能出现的文件泄露等安全性问题,在研究了访问控制领域经典的BLP和Biba模型的基础上,提出了一种可同时维护数据文件保密性和完整性的新强制访问控制模型.同时,结合Minifilter文件系统过滤驱动程序开发并实现一种文件安全保护系统,对核心逻辑和关键模块进行了详细介绍.该系统能根据既定策略有效地保护系统的文件安全,为数据保护提供了一种新的解决方案.     

浪潮SSR捍卫政务信息安全

浪潮信息安全依托浪潮集团在服务器领域独特领先技术的优势。直接针对系统层的核心——服务器操作系统进行安全技术的研发,自主研发出浪潮服务器安全加固系统（SSK）,通过对系统资源实现强制访问控制保护,保障电子政务系统服务器不会被蠕虫病毒、木马感染;根据信息安全管理中的“三权分立”原则,实现了对用户和进程的最小授权,     

一种Web服务器安全机制的实现方法

针对Web网站点的入侵事件不断发生,现有的防火墙、IDS等设备都不能有效防止入侵者篡改网站中的网页、盗取重要信息等攻击,提出了Web服务器安全较完备机制,从核心层保证Web站点中的网页不会被黑客篡改,恶意代码在系统中不会肆意发作。该机制重构了操作系统核心层权限访问控制模型,对操作系统文件、注册表、进程和网络等资源采用白名单规则,并采用多机制相结合的方式提高Web服务器的抗攻击能力。     

基于GSM/SMS的分布式测控系统的通讯实现

针对传统的分布式监控系统数据通讯采用数传电台通讯方式,当系统用于地理位置较为分散、地势起伏较大的地区时存在数据容易丢失的问题,设计了基于GSM/SMS无线通讯方式实现数据通讯。利用GSM Modem TC35T分别与系统管理、现场两级的计算机连接,通过GSM短消息方式实现系统两级间的数据传递和命令传达,从而保证了数据传输的质量。通过在集中供热网工程中的实际应用说明,这种通讯方式不受系统地理条件的限制,在数据传递过程中确保传输的快捷性和数据的可靠性。     

The impact of primary school teachers’ educational beliefs on the classroom use of computers

For many years, researchers have searched for the factors affecting the use of computers in the classroom. In studying the antecedents of educational computer use, many studies adopt a rather limited view because only technology-related variables, such as attitudes to computers and computer experience were taken into account. The present study centres on teachers’ educational beliefs (constructivist beliefs, traditional beliefs) as antecedent of computer use, while controlling for the impact of technology-related variables (computer experience, general computer attitudes) and demographical variables (sex, age). In order to identify differences in determinants of computer use in the classroom, multilevel modelling was used (N = 525). For measuring primary teachers’ use of computers to support the leaching or learning process a modified version of the ‘Class Use of Computers’ scale of van Braak et al. [van Braak, J., Tondeur, J., & Valcke, M. (2004). Explaining different types of computer use among primary school teachers. European Journal of Psychology of Education, 19(4), 407–422] was used. The present article supports the hypothesis that teacher beliefs are significant determinants in explaining why teachers adopt computers in the classroom. Next to the impact of computer experience, general computer attitudes and gender, the results show a positive effect of constructivist beliefs on the classroom use of computers. Traditional beliefs have a negative impact on the classroom use of computers.     

家庭无线局域网的组建与安全策略分析

随着信息技术及移动通信设备的迅速发展,拥有两台或多台计算机的家庭不断增加,尤其是笔记本电脑使用的增加,人们逐渐使用家庭无线局域网进行共享网络信息。通过无线局域网概述、家庭无线局域网的组建过程及安全措施进行分析与阐述。     

Multilink — an open network for personal computers

Multilink is an open, local area network originally intended for connecting user terminals and other peripherals into multiple access computing and telecommunications facilities. Today, users tend to have personal computers rather than ‘dumb’ VDUs, and the network has proved fast enough to support shared disc facilities. The design of the network is described, followed by a review of the support software required for use with personal computers.     

A hierarchical overlay with cluster-based reputation tree for dynamic peer-to-peer systems

Traditional peer-to-peer technologies and systems assume that people operate with desktop computers in fixed broadband networks. When people with modern mobile devices now access Internet and Web services much in the manner they used to on desktop computers, the classical peer-to-peer overlay models can be vulnerable in wireless and mobile networks. This paper proposes a hierarchical overlay architecture based on partially central and semi-structured overlay models for the deployment of peer-to-peer systems in dynamic network environments. To keep up system scalability and efficacy, this architecture design exploits peer locality and network proximity, and contends with several problems of peer churn, peer mobility, search redundancy and traffic overhead that become much stickier in dynamic network environments. This design also integrates the reputation notion to mitigate the free-riding problem in peer-to-peer systems. According to a special cluster-based reputation tree, the hierarchical overlay is adjustable to moderate unfair or imbalanced resource utilization over the system. Furthermore, the cluster hierarchy is resilient to any points of failure at peer clusters in the overlay topology. Therefore, the effort of this study achieves an efficient and robust overlay architecture in dynamic network environments. Simulation results show that the proposed architecture is not only scalable to peer population, but also sustainable to peer- and network-initiated dynamics and influences in peer-to-peer systems.     

基于GPS信号和NTP协议的本地时间同步网络

一般情况下,未接入互联网的本地网络中的计算机都使用本台的BIOS时钟作为自身时钟源,易导致本地网络中由于没有统一时间源产生本地网络时差。方案利用GPS信号中的精确时间信息作为本地网络时间源,通过NTP协议将本地网络中的各个需要时间服务的应用接点统一在相同的精准时间下。     

面向图像目标识别的轻量化卷积神经网络

传统图像目标识别模型通常使用结构复杂、层数更深的神经网络以提升其在计算机视觉领域的准确率,但该类模型存在对计算机算力要求过高、占用内存较大、无法部署在手机等小型计算机上的问题。提出一种轻量化卷积神经网络ConcatNet,采用特征拼接的方式,通过多支路并行将通道注意力机制与深度可分离卷积相结合,在增强有效特征权重的基础上,降低模型的参数量和复杂度,实现网络的轻量化。在网络输出阶段,采用先筛选再混洗的方式提高模型的识别精度。利用全局平均池化和全局随机池化提取中间特征图的信息,其中全局平均池化可以较好地保留背景信息,全局随机池化按概率值选取特征,具有较强的泛化性,两者相结合能够减少信息的丢失。在CIFAR-10、CIFAR-100等数据集上的实验结果表明,与MobileNetV2等轻量化神经网络相比,ConcatNet网络在保持Top-1和Top-5精度相当的情况下,将参数量和计算复杂度均降低了约50%,极大降低了对承载设备的要求。     

浅析办公自动化网络安全

随着计算机网络技术的普及,利用联网实现办公自动化,并将办公自动化应用到机关事业单位等安全性要求较高的机构已成为一种迫切的需要.所谓办公自动化是指运用电脑及相关外设,有效地管理和传输各种信息,达到提高工作效率的目的。办公自动化网络是一个中小型的局部网络.办公自动化网络系统是自动化无纸办公系统的重要组成部分。在实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理。还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失.因此,加强网络安全,防止信息被泄露、修改和非法窃取成为当前网络办公自动化普及与应用迫切需要解决的问题。本文总结了办公自动化网络常见的安全问题及其后果,探讨了解决这些安全问题的方法,提供了基于网络内部的安全策略。     

Novel clock synchronization algorithm of parametric difference for parallel and distributed simulations

Clock synchronization is crucial in distributed simulation applications (DSAs). Traditional synchronization methods are mainly based on computers’ physical clocks and have network delays. Consequently, the clock jumps easily, and the stability of the algorithm is less than excellent. Furthermore, a new class of DSAs with flexible and dynamically assembled simulation components to optimize the performance of clock clusters is emerging. To remedy the problems, we propose a novel logic parametric difference clock (PDC), which is recursively constructed by an alterable parametric difference frequency (PDF) and its counter. We also develop a simple and efficient synchronization algorithm of parametric difference (SAPD), in which the indeterminate network delay is considered in the PDF, and the PDC counter is used as the synchronous symbol. Compared with existing typical algorithms, the SAPD has the predominant advantages of convergence, stability, and precision for DSAs in local area networks.     

如何做好企业计算机病毒的防范工作

随着计算机在企业的广泛运用,计算机病毒的危害已经严重干扰了计算机及网络的正常使用,给计算机系统和网络带来了巨大威胁和破坏,计算机病毒已成为影响计算机系统安全和网络安全的重大问题。以下将结合自己的工作经验,谈如何更好的在企业中预防病毒的传播。