2024-07-04
我国信息安全策略研究论文
发布时间:2024-07-03 16:54:21
我国信息安全策略研究论文
论电子商务中网络隐私安全的保护 [摘 要] 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题,对网络隐私数据(网络隐私权)安 全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议、P2P技术成为网络 隐私安全保护的有效手段。 [关键词] 电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。 一、网络隐私权侵权现象 1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。 2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。 3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。 4.网络提供商的侵权行为 (1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。 (2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。 5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。 二、网络隐私权问题产生的原因 网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。 1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。 2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。 3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。 目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。 三、安全技术对网络隐私权保护 1.电子商务中的信息安全技术 电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。 (1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。 (2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。 (3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 (4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。 2.电子商务信息安全协议 (1)安全套接层协议(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 (2)安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。 (3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 (4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。 (5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。 技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。 (1)隐私安全性 ①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 ②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。 (2)对等诚信 为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。 对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。 每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j) 四、电子商务中的隐私安全对策 1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。 2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。 3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。 4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。 5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。 6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。 7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。 参考文献: [1]屈云波.电子商务[M].北京:企业管理出版社,1999. [2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000. [3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8). [4]曹亦萍.社会信息化与隐私权保护[J].政法论坛,1998,(1).
我国信息安全管理的现状、问题及其对策摘要:信息安全是国家安全的基础和关键。在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。本文分析了信息安全管理的现状,并着重讨论了加强信息安全管理的策略。关键词:信息安全;管理;现状;策略信息安全管理是随着信息和信息安金的发展而发展的。在信息社会中,一方面信息已经成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易损毁的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,这样将使组织在业务运作过程巾面临巨大的风险。这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞, 以及大量存在于组织内外的各种威胁, 因此对信启、系统需要加以严格管理和妥善保护,信息安全管理也随之产生。1、国内信息安全管理现状1.1在国家宏观信息安全管理方面的问题(1)法律法规问题。健全的信息安 法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系,对组织与个人的信息安全行为提出了安全要求。但是我国的法律法规体系还存在缺陷,一是现有的法律法规存在不完善的地方,如法律法规之间有内容重复交叉, 同一行为有多个行政处罚主体,有的规章与行政法规相互抵触,处罚幅度不�6�8一致;二是法律法规建设跟不上信息技术发展的需要,这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪、刑事立法、计算机证据的法律效力等方面的法律法规缺乏。(2)管理问题。管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之问,要有明确的分工,以避免“政出多门”和“政策拉车”现象的发生。需要建立切实可行的规章制度,即进行制度建设,以保证信息安全。如对人的管理,需要解决多人负责、责仔到人的问题,任期有限的问题,职责分离的问题,最小权限的问题等。有了组织机构和相应的制度,还需要领导的高度重视和群防群治,即强化人员的安全意识,这需要信息安全意识的教育和培训,以及对信息安伞问题的高度重视。(3)国家信息基础设施建设问题。目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。关于国家信息基础设施方面存在的问题已引起国家的高度重视。如“十五”期问,国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目;2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求:电信产品软件商不能在软件上预留“后门”,外国供货商不能远程登录中国电信商的操作系统,高级 管系统要用国内可靠机构开发的软件产品。1.2我国在微观信息安全管理方面存在的问题主要表现(1)缺乏信息安全意识与明确的信息安全方针。大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足,或者仅局限于IT方面的安全,没有形成一个合理的信息安拿方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。(2)重视安全技术,轻视安全管理。目前组织普遍采用现代通信、计算机和网络技术来构建信息系统,以提高组织效碍暑与竞争能力,但相应的管理措施不到位,如系统的运行、维护和开发等岗位不清,职责不分,存在一人身兼数职现象。(3)安全管理缺乏系统管理的思想。大多数组织现有的安全管理模式仍是传统的管理方法,出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。2、国外信息安全管理现状国际上信息安全管理近几年的发展主要包括以下几个方面。(1)制订信息安全发展战略和计划。制订发展战略和计划是发达国家一贯的作法。美、俄、日国家都已经或正在制订自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。 (2)加强信息安全立法,实现统一和规范管理。以法律的形式规定和规范信息安全工作是有效实施安全措施的最有力保证。制订网络信息安全规则的先锋是各大门户网站,美国的雅虎和美国在线等网站都在实践中形成了一套自己的信息安全管理办法。2000年1O月5日美参议院通过了《互联网网络完备性及关键设备保护法案》。2000年9月,俄罗斯实施了关于网络信息安全的法律。(3)步入标准化与系统化管理时代。随着2O世纪8O年代IS09000质量管理标准的出现及随后在全世界的推广应用,系统管理的思想在其他管理领域也被借鉴与采用,信息安全管理也同样在2O世纪9O年代步入了标准化与系统化管理的时代。1995年英国率先推出了BS7799信息安全管理标准,该标准于2000年被国际标准化组织认可为国际标准ISO/IEC17799。现在该标准已引起许多国家与地区的重视,在一些国家已经被推广与应用;组织贯彻实施该标准可以对信息安全风险进行全面系统的管理,从而实现组织信息安全。与此同时,其他国家以及组织也提出了很多与信息安全管理相关的标准。3、加强信息安全管理的策略随着国民经济和社会信息化进程的全面加快,信息安全管理工作面临着越来越严峻的形势和挑战。从总体上看,当前,我国的信息安全管理工作尚处于起步阶段,基础薄弱,水平不高,存在许多亟待解决的问题,我们要以全局性的眼光,加强信息安全的组织管理工作。(1)建立集中统一、分工协作、各司其职的信息安全管理机制。信息安伞保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。一是国家应建立能够协调维护各种安全利益的综合职能机构,成立有高度权威的国家信息安全委员会,作为国务院信息化领导小组的常设委员会, 以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状;二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;三是尽早建立省、市两级比较完善的信息安全领导管理体系, 以便积极调动各种资源主动配合和协调信息安全保障工作,形成纵横结合的信息安全协调与信息共享机制; 四是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;五是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息安全员,把信息安全责任真正落实到人。(2)加强信息安全法制建设,为信息安全管理提供执法依据。作为信息安全保障体系的重要部分,相关法律法规和标准体系的建设已经势在必行。下一步,应着力建立健全信息安全法律法规体系;同时,要注重和加强信息安全执法队伍的建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使权力和履行职责,保护企业和公民的合法权益,打击网络违法犯罪;各有关主管部门和运营单位要积极支持执法机关工作,履行应尽的义务;社会团体、企业和个人要认真履行法律规定的信息安全责任和义务,在信息网络环境中依法开展活动。(3)采取有效措施,积极推进信息安全等级保护工作的顺利开展。实行信息安全等级保护是国家解决信息安全保护问题的基本政策。信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求,即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度,分级采取科学、合理的保护措施;对于涉及国计民生的国家关键信息基础设施应分级加以重点保护;适度保护,效费合理,避免盲目和浪费。国家实行信息安全等级保护,必须从总体战略角度考虑,把握关键环节,建立长效保护机制。当前,信息安全等级保护的试点工作已积累了一定的经验,为推动信息安全等级保护工作的伞面开展,应着力做好以下几个方面的工作:明确信息系统等级保护各方责任;制定各项信息安全等级保护管理制度;制定、完善信息安全等级保护管理规范和技术标准体系;依托社会技术力量,组建技术支撑体系;研制开发信息安全等级保护备案、检测、评估信息系统和技术工具;加强宣传、培训工作等等。(4)努力探索,创立新形势下的信息网络违法犯罪防范打击体系。近年来,我国在打击网络违法犯罪方面做了大量的工作,也取得了很火的成绩,但是随着信息技术的不断发展,网络违法犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立健全信息网络违法犯罪防范打击体系, 以执法职能部门为主体,动员社会各方力量,运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系,提高对信息网络违法犯罪的防范、控制和侦查、打击能力。重点要做好以下四方面机制建设:一是全社会防范控制机制。二是统一指挥、快速反应的侦查机制。三是有关部门、单位的支持、配合机制。四是公检法三机关的协调、协作机制。
摘 要 探索了网络平安的目前状况及新问题由来以及几种主要网络平安技术,提出了实现网络平安的几条办法。网络平安 计算机网络 防火墙1 网络平安及其目前状况 网络平安的概念国际标准化组织(ISO)将“计算机平安”定义为摘要:“为数据处理系统建立和采取的技术和管理的平安保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容,其逻辑平安的内容可理解为我们常说的信息平安,是指对信息的保密性、完整性和可用性的保护,而网络平安性的含义是信息平安的引申,即网络平安是对网络信息保密性、完整性和可用性的保护。 网络平安的目前状况目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋向公司称,像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络平安新问题带来的损失由此可见一斑。2 网络平安的主要技术平安是网络赖以生存的保障,只有平安得到保障,网络才能实现自身的价值。网络平安技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。 认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下摘要: 身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。 报文认证主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。 访问授权主要是确认用户对某资源的访问权限。 数字签名数字签名是一种使用加密认证电子信息的方法,其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。 数据加密加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型摘要:私匙加密和公匙加密。 私匙加密私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很轻易在硬件和软件件中实现。 公匙加密公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。 防火墙技术防火墙是网络访问控制设备,用于拒绝除了明确答应通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。防火墙的平安控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的平安策略;而且防火墙只实现了粗粒度的访问控制,也不能和企业内部使用的其他平安机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。 入侵检测系统入侵检测技术是网络平安探究的一个热点,是一种积极主动的平安防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展摘要:分布式入侵检测、智能化入侵检测和全面的平安防御方案。入侵检测系统(Instusion Detection System, 简称IDS)是进行入侵检测的软件和硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。 虚拟专用网(VPN)技术VPN是目前解决信息平安新问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过平安的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障平安摘要:隧道技术(Tunneling)、加解密技术(Encryption %26amp; Decryption)、密匙管理技术(Key Management)和使用者和设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的平安服务,这些平安服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。 其他网络平安技术(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋和它一个口令或密码字,该密码字和内部网络服务器上注册的密码一致。智能卡技术一般和身份验证联合使用。(2)平安脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的平安漏洞,以改进系统对网络入侵的防御能力的一种平安技术。(3)网络数据存储、备份及容灾规划,它是当系统或设备不幸碰到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。其他网络平安技术还有我们较熟悉的各种网络防杀病毒技术等等。3 网络平安新问题的由来网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息平安方面的规划则非常有限,这样,伴随计算机和通信技术的迅猛发展,网络攻击和防御技术循环递升,原来网络固有优越性的开放性和互联性变成信息的平安性隐患之便利桥梁。网络平安已变成越来越棘手的新问题,只要是接入到因特网中的主机都有可能被攻击或入侵了,而遭受平安新问题的困扰。目前所运用的TCP/IP协议在设计时,对平安新问题的忽视造成网络自身的一些特征,而所有的应用平安协议都架设在TCP/IP之上,TCP/IP协议本身的平安新问题,极大地影响了上层应用的平安。网络的普及和应用还是近10年的事,而操作系统的产生和应用要远早于此,故而操作系统、软件系统的不完善性也造成平安漏洞;在平安体系结构的设计和实现方面,即使再完美的体系结构,也可能一个小小的编程缺陷,带来巨大的平安隐患;而且,平安体系中的各种构件间缺乏紧密的通信和合作,轻易导致整个系统被各个击破。4 网络平安新问题策略的思索网络平安建设是一个系统工程、是一个社会工程,网络平安新问题的策略可从下面4个方面着手。网络平安的保障从技术角度看。首先,要树立正确的思想预备。网络平安的特性决定了这是一个不断变化、快速更新的领域,况且我国在信息平安领域技术方面和国外发达国家还有较大的差距,这都意味着技术上的“持久战”,也意味着人们对于网络平安领域的投资是长期的行为。其次,建立高素质的人才队伍。目前在我国,网络信息平安存在的突出新问题是人才稀缺、人才流失,尤其是拔尖人才,同时网络平安人才培养方面的投入还有较大缺欠。最后,在具体完成网络平安保障的需求时,要根据实际情况,结合各种要求(如性价比等),需要多种技术的合理综合运用。网络平安的保障从管理角度看。考察一个内部网是否平安,不仅要看其技术手段,而更重要的是看对该网络所采取的综合办法,不光看重物理的防范因素,更要看重人员的素质等“软”因素,这主要是重在管理,“平安源于管理,向管理要平安”。再好的技术、设备,而没有高质量的管理,也只是一堆废铁。网络平安的保障从组织体系角度看。要尽快建立完善的网络平安组织体系,明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。最后,在尽快加强网络立法和执法力度的同时,不断提高全民的文明道德水准,倡导健康的“网络道德”,增强每个网络用户的平安意识,只有这样才能从根本上解决网络平安新问题。参考文献1 张千里,陈光英.网络平安新技术[M.北京摘要:人民邮电出版社,20032 高永强,郭世泽.网络平安技术和应用大典[M.北京摘要:人民邮电出版社,20033 周国民. 入侵检测系统评价和技术发展探究[J.现代电子技术,2004(12)4 耿麦香.网络入侵检测技术探究综述[J,网络平安,2004(6)
楼上的不是明摆着会被他老师一搜就搜到了吗?穿帮了。需要就Q我。
网络信息安全对策研究论文
随着互联网的迅猛发展,数据库系统在网络环境下的面临着一系列威胁如病毒感染、黑客攻击等。下文是我为大家搜集整理的关于网络数据库安全论文范文的内容,欢迎大家阅读参考! 网络数据库安全论文范文篇1 浅论计算机网络数据库安全 【摘 要】文章阐述了网络数据库的安全因素,并且对网络数据库的安全防范措施进行了探讨。 【关键词】计算机数据库;网络环境;分析;安全 经过目前网络环境下,网络信息安全是一个亟待解决的重要问题,而计算机数据库的安全问题,又是其核心和关键问题,它直接关系到网络信息管理系统的整体的安全性。所以,为了保证网络信息系统高效、稳定、安全的运行,科学、合理的防范措施是网络数据库技术研究的重点内容。 一、网络数据库的模型构建 网络数据库的基础是后台数据库,其访问控制功能是由前台程序所提供。查询、存储等操作的信息集合是由浏览器完成的,数据库在网络环境下,其特点是实现数据信息的共享,同时能够实现访问控制和最小冗余度,保持数据的一致性和完整性,图1是网络数据库的构建模型图如下 该模型是在网络技术结合数据库技术的基础上构建的,具体是由三层结构组成,包括数据库服务器、应用服务器和WEB服务器、浏览器等。整个系统和用户连接的接口,是通用的浏览器软件。作为第一层的客户端,浏览器的功能是为用户提供信息的输入,将代码转化为网页,提供交互功能,同时处理所提出的各种请求。而第二层的WEB服务器是作为后台,通过对相应的进程进行启动,来响应各种请求,同时生成代码处理各种结果,若数据的存取也在客户端请求的范围内,则数据库服务器必须配合WEB服务器,才能对这一请求共同进行完成。第三层数据库服务器对数据库能进行有效的管理,对不同的SQL服务器发出的请求起到协调的功能。 二、分析网络数据库安全性 1、分析数据安全性 网络数据库是信息管理系统的核心部分,其安全性能会对数据库中数据的安全起到直接的影响作用,由于很多重要的数据保存在数据库服务器上,例如一些账务数据、金融数据、还有一些工程数据、技术数据、涉及到规划和战略发展的决策性数据等等,属于机密信息,严禁非法访问,对外必须严格保密的数据等。而针对企业和公司,内部资源的筹划、对外交易的进行、日常业务的运作等等,必须依赖网络数据库进行,所以数据的安全性至关重要。 2、分析系统的安全性 网络数据库是否安全,直接决定了服务器主机和局域网的安全性能,数据库系统配置的“可从端口寻址的”,表示只要具备数据的使用权限及适合的查询工具,都可直接连接数据库及服务器端口,而针对操作系统的安全检测,可巧妙避开。而多数数据库还具有公开的密码和默认号,而这种默认账号的权限非常高,既可访问数据库的各级资源,同时还可按照指令对操作系统进行操作,甚至还能开启后门,对监听程序进行存放,进而获得相关口令,对整个局域网进行控制,产生较严重的危害性。 3、分析影响数据库的安全因素 数据库服务器是网络信息系统的核心部分,里面有大量敏感的和重要的信息存在,所以数据库的安全性对保存的数据的安全性有着直接的影响。网络数据库不仅有着较大的处理量,较集中的数据信息,同时数据有着非常频繁的更新,用户访问量也非常巨大。所以,对网络数据安全带来威胁的影响因素有: (1)用户没有执行正确的访问操作,造成数据库发生错误; (2)人为对数据库进行破坏,造成数据库不能恢复正常; (3)非法访问机密信息,而表面又不留任何痕迹; (4)通过网络,用户对数据库进行访问时,会受到各种搭线窃听技术的攻击; (5)用户采取非法手段,对信息资源进行窃取; (6)在未被授权的情况下,对数据库进行修改,造成数据失真现象严重; 面对以上种种威胁,只进行网络保护还根本不够,由于和其他系统在结构上有着本质的区别,数据库中所含有的各种数据敏感级别和重要程度不同,同时还具有共享功能,为拥有各种特权的用户提供服务,所以它对安全性的要求更广,也更为严格,不仅仅需要对联机网络、外部设备等实行物理保护,为防止敏感数据被盗用,同时对非法访问进行预防,还必须采取其他有效措施,以实现数据的一致性和完整性。 三、对网络数据库实行安全防范的措施 目前所采取的各种防范策略中,往往还不全面和具体,无法真正实现数据库的安全保障。所以在网络环境下,针对数据库的安全问题,应从日常的维护和开发,系统的设计等整体方面进行考虑和设计,建立各种安全机制,形成整体的安全策略。 1、研发信息管理人员应转变设计观念 首先研发信息管理系统的人员,必须转变观念,改变以往的只对信息管理系统功能进行重视的错误看法,综合考虑系统的安全性,彻底评估所要开发的系统和软件,从后台数据库系统及前台开发工具,以及软件和硬件的实施环境等方面,查找信息系统中潜在的安全隐患,避免因为硬件环境及开发工具的不合适,造成数据库的泄密,进而使整个系统出现不稳定现象。 2、系统管理和维护人员应综合考虑数据库安全性 系统管理和维护人员,必须对数据库的安全性进行全面的考虑,具体涵盖以下两点内容: 1)外围层的安全 主要包括网络安全和计算机系统安全,而来自病毒的侵犯是最主要的威胁,所以为了对整个系统的正常运行做出保证,必须规避外层中病毒的扩散和隐藏及入侵,采用综合治理方法,将防、杀、管结合在一起,对网络数据库系统的虚拟专用网进行构筑,采用技术,使网络路由的传输安全性和接入安全性得到保障,利用防火墙技术,实现网段间隔离及网间隔离,既避免系统遭受非法入侵,同时也使网络边界安全得到保障。 同时,网路数据库外围安全重点是在WEB服务器及操作系统上,既要进行物理保护,同时还应进行应用服务器的保护,通过加密等方式,预防在传输过程中,数据被篡改或监听。因为该层对数据库自身的加密并为涉及,所以不能直接进行文件的加密,也无法使用密钥管理。同时由于主要是以WEB浏览器服务输出进行该层的运行程序,所以在ASP等具体应用软件上,更要实现其安全性能。 2)核心层安全 在整个网路数据库系统中,应用软件和数据库是重要的核心组成部分,若滥用、非法复制、窃取、篡改、丢失软件和数据,将会对系统造成毁灭性的打击,严重的会危害到社会安全。所以,我们必须进行控制用户访问权限,从数据库的加密、恢复和备份、数据分级控制等几个方面,来进行安全防范,使数据库管理系统的完整性和独立性得到保障。数据分级是一种简单易行的操作方法,可对数据库实行信息流控制。采用加密控制,通过加密数据库文件,提供几种不同速度和安全强度的加解密算法,为用户提供合理的设置。 四、结语 伴随着计算机技术的迅猛发展和不断更新换代,各种建立在Internet及计算机上的信息管理系统已经成为重要的手段,支撑和完成各种事物的运作。在网络环境下,开发和使用信息管理系统的过程中,必须重点考虑安全问题,这样才能为整个数据库服务器的数据安全提供保障,以实现一种预期的效益,更好的为广大用户服务。 参考文献: [1]徐莉.春梅.网络数据库的安全漏洞及解决方法[J].福建电脑,2007(12). [2]钱菁.网络数据库安全机制研究[J].计算机应用研究,2010(12). 网络数据库安全论文范文篇2 浅谈网络数据库安全策略 摘 要: 主要对现今网络环境中数据库所面临的安全威胁进行详尽论述,并由此全面地分析提高网络数据库安全性的解决对策。 关键词: 网络;数据库;安全对策 随着网络在21世纪社会当中的普及发展,越来越多的企业逐渐地 参与进来,并且将企业的核心逐渐的转向互联网,在地理区域内分散的部门和公司以及厂商对于数据库的应用需求明显呈现出过旺的趋势,在数据库的管理系统当中逐渐的从单机有力的扩展到了整个网络环境,针对数据的收集和储存以及处理与后期的传播方式都从集中性迈向了全面分布式模式。企业在使用数据库管理系统的时候,尤为重视的是数据库信息的安全性。 1 网络数据库安全机制 网络数据库的基础是计算机的后台数据库,在加上前台程序所以提供的访问控制,对于数据的储存和查询以及信息之间的集合操作都可以通过有效的浏览器进行逐步完成。当前信息处理网络环境当中,有效的将大量数据信息进行多用户的共享是数据库存在的最大特点,然而与此同时对于数据的完整性以及一致性都有着有效的保障,有力的实现了最小程度的访问控制。 网络数据库所采用的两个典型的模式是B/S模式和C/S模式。C/S所采用的模式主要分为三层结构:① 首先是客户机;② 应用服务器;③ 数据库服务器,主要表现形式的是由客户机将数据传输到应用服务器,然后再次传输到数据库的服务器当中。B/S所采用的模式其主要也是分为三层结构:① 首先是浏览器;② Web服务器;③ 数据库服务器,主要表现形式如上所述。由此我们可以看出,这两种网络数据库模式在结构上存在很大程度的共同点,它们全部都涉及到了网络和系统软件以及应用软件。 2 各层安全机制详述 网络系统安全机制 如果数据库受到了外部恶意的信息的攻击侵入,首先是从网络系统开始进行攻击入侵,由此我们可以判断数据库安全的第一道保护屏障就是网络系统的正常安全。我们仅站在技术角度而言,可以将其大致的分成其防入侵检测以及协作式入侵检测技术等。下面我们分别阐述: 首先,计算机系统当中都安装有防火墙,防火墙的广泛运用俨然成为了现今一种最基本的防范措施。防火墙所起到的主要作用是对可信任的网络以及不可信任的网络之间的访问渠道进行有效的监控,针对内部网络和外部网络建立一道有效的防护措施屏障,将外部网络当中的非法访问进行有效的拦截并且将内部信息进行有效的阻止防止信息外流。防火墙对于外部的入侵具有强有力的防范控制,但是对于网络内部产生的非法操作却无法进行阻拦和加以有效控制。 其次,关于入侵检测,是近几年逐渐发展壮大的一种有力的防范技术,它主要采用了统计技术和规则技术以及网络通信技术与人工智能等技术和方法进行有效的综合在一起的防范技术,入侵检测所起到的主要作用是对网络和计算机系统进行有效的监控,能够及时有效的反映出是否有被入侵或者滥用的情况。 最后,针对协作式入侵检测技术,对于以往独立的入侵检测系统的不足点和诸多方面的缺陷,协作式入侵检测技术都有着极好的弥补,其系统当中IDS是基于一种统一的规范,入侵检测组件之间的信息都有效的自动进行交换。而且通过信息的自动交换可以对入侵信息进行有效的检查,并且还能够有效的在不同的网络环境当中进行运用。 服务器操作系统安全机制 目前,市场上计算机有很大一部分都是Windows NT以及Unix操作系统,其所具有的安全级别一般的处于C1、C2级。主要的安全技术可以归纳为以下三点: ① 操作系统安全策略。主要是在本地计算机的安全设置上进行配置,主要保障的安全策略包括密码策略和账户锁定策略以及审核策略和IP安全策略等一系列的安全选项,其具体运用可以体现在用户的账户以及口令和访问权限等诸多方面。 ② 安全管理策略。主要是网络管理员对系统安全管理所采取的方法和策略。因为,操作系统和网络环境各不相同,所以需要采取的安全管理策略也都存在着各不相同的方法,但是主要核心依旧是有力的保障服务器的安全以及对各类用户的权限进行分配。 ③ 数据安全策略。这点主要具有以下几点体现:数据的加密技术和对数据进行备份以及数据储存当中的安全性等。由此可以采用的技术有很多,其中主要有:认证、IPSec ,SSL ,TLS,等技术。 数据库管理系统安全机制 数据库系统在操作系统当中都是以文件的形式进行有效的管理。所以入侵数据库的人员可以对操作系统当中的漏洞及其数据库当中的文件进行直接盗取,还可以利用OS工具进行违法操作和对数据库文件内容进行篡改。所存在的这种隐患数据库用户一般很难以察觉,针对这种漏洞进行分析被认为是BZ级别的安全技术措施。数据库的层次安全技术,主要针对当前两个层次已经被破坏的情况下进行有效的解决,保障数据库安全性。那么对于数据库的管理系统就必须要求有一套较为强有力的安全机制。 客户端应用程序安全机制 网络数据库安全性的重要方面是客户端应用程序。具有强有力和实现比较快捷方便是其主要的特点,而且还能够根据需求的变化很容易做出相对应的更改。客户端的应用程序不仅可以有效的控制用户的合法登陆以及身份的验证,而且还能够对数据进行直接的设置。想要应用系统具有更好的安全性,首先就必须在应用程序上进行行之有效的控制。另外,针对客户应用程序的编写也具有着较大的灵活性,与此同时还有很多的技巧性,可以有效全面的实现管理的灵活和安全。 3 使用DBMS安全机制防范网络攻击 有很多大型的DBMS对于数据库的安全防范技术的提供相对来讲都是非常完善的,而且针对提高数据库的安全性也有着明显的积极作用。 系统的认证和授权 认证是验证系统中请求服务的人或应用程序身份的过程;授权是将一个通过身份认证的身份映射已经授予数据库用户的许可的过程,该过程限制用户在数据库内部允许发生的行为。对SQL Server数据库服务器进行权限设置时,应该为DPeb程序单独设立一个受限的登录,指定其只能访问特定的数据库,并为该特定数据库添加一个用户,使之与该受限的登录相连,并严格设定该用户的数据库权限。 数据的备份与恢复 通过数据备份可以在系统发生故障的时候,管理员可以在最短的时间内将数据进行恢复,保持原先所处理的状态,对于数据的一个完整性和一致性有着强有力的保障。通常对于数据库的备份一般都是采取以下几种形式备份形式:其一静态备份;其二动态备份;其三逻辑备份等。然而对于数据库的恢复,可以采取磁盘镜像和数据库备份文件以及数据库在线日志等诸多方式进行有效的恢复。 全面有效的加强审查 通过有效的审查,用户可以将数据库当中所进行的所有操作都能够得以有效的自动记录,然后将所记录的信息全部保存在审查的日志当中,对于审查进行全面加强利用可以有效的跟踪信息,将数据库现有状况的一系列事件都进行充分的重现。因此,就可以有效的找出非法存取数据的人员以及存取信息的时间和内容等线索,这样就方便有效的追查有关责任,与此同时关于系统安全方面的弱点和漏洞审查也可以有效的进行发现。 4 总结 现代社会正处于一个不断发展的阶段,网络信息技术也有着空前的发展。然而互联网技术的不断高速发展,其网络数据库的安全性更是当今不断发展的主要问题,随着现代网络入侵系统手段的不断提高,其所采用的安全技术也在不断的进一步提升。只有对所出现的问题进行不断的分析和研究,总结经验进而全面有效的处理出现的一系列的新问题。总之,计算机网络数据库的安全防范是新时期一个永久性的重要问题,只有全面的通过科学合理的安全防范手段以及在后期的发展过程中进行不断的改进和完善,才能够更好的将系统的安全可靠性进行有效的全面提高。 参考文献: [1]周世忠,浅谈网络数据库安全研究与应用[J].电脑知识与技术,2010(05). [2]戴雪蕾,基于SQL SERVER的网络数据库安全管理[J].网络安全技术与应用,2009(04). [3]梁建民,网络数据库的安全因素分析和预防措施探讨[J].光盘技术,2008(09). 猜你喜欢: 1. 网络数据库安全论文 2. 关于安全教育论文范文 3. 数字图书馆论文参考范文 4. 优秀毕业论文范文 5. 技术类论文范文
摘 要 探索了网络平安的目前状况及新问题由来以及几种主要网络平安技术,提出了实现网络平安的几条办法。网络平安 计算机网络 防火墙1 网络平安及其目前状况 网络平安的概念国际标准化组织(ISO)将“计算机平安”定义为摘要:“为数据处理系统建立和采取的技术和管理的平安保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容,其逻辑平安的内容可理解为我们常说的信息平安,是指对信息的保密性、完整性和可用性的保护,而网络平安性的含义是信息平安的引申,即网络平安是对网络信息保密性、完整性和可用性的保护。 网络平安的目前状况目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋向公司称,像Sobig、Slammer等网络病毒和蠕虫造成的网络大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他网络危险造成的损失则很难量化,网络平安新问题带来的损失由此可见一斑。2 网络平安的主要技术平安是网络赖以生存的保障,只有平安得到保障,网络才能实现自身的价值。网络平安技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。 认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下摘要: 身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。 报文认证主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。 访问授权主要是确认用户对某资源的访问权限。 数字签名数字签名是一种使用加密认证电子信息的方法,其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。 数据加密加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型摘要:私匙加密和公匙加密。 私匙加密私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很轻易在硬件和软件件中实现。 公匙加密公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。 防火墙技术防火墙是网络访问控制设备,用于拒绝除了明确答应通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。防火墙的平安控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的平安策略;而且防火墙只实现了粗粒度的访问控制,也不能和企业内部使用的其他平安机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。 入侵检测系统入侵检测技术是网络平安探究的一个热点,是一种积极主动的平安防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展摘要:分布式入侵检测、智能化入侵检测和全面的平安防御方案。入侵检测系统(Instusion Detection System, 简称IDS)是进行入侵检测的软件和硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。 虚拟专用网(VPN)技术VPN是目前解决信息平安新问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过平安的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障平安摘要:隧道技术(Tunneling)、加解密技术(Encryption %26amp; Decryption)、密匙管理技术(Key Management)和使用者和设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的平安服务,这些平安服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。 其他网络平安技术(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋和它一个口令或密码字,该密码字和内部网络服务器上注册的密码一致。智能卡技术一般和身份验证联合使用。(2)平安脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的平安漏洞,以改进系统对网络入侵的防御能力的一种平安技术。(3)网络数据存储、备份及容灾规划,它是当系统或设备不幸碰到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。其他网络平安技术还有我们较熟悉的各种网络防杀病毒技术等等。3 网络平安新问题的由来网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息平安方面的规划则非常有限,这样,伴随计算机和通信技术的迅猛发展,网络攻击和防御技术循环递升,原来网络固有优越性的开放性和互联性变成信息的平安性隐患之便利桥梁。网络平安已变成越来越棘手的新问题,只要是接入到因特网中的主机都有可能被攻击或入侵了,而遭受平安新问题的困扰。目前所运用的TCP/IP协议在设计时,对平安新问题的忽视造成网络自身的一些特征,而所有的应用平安协议都架设在TCP/IP之上,TCP/IP协议本身的平安新问题,极大地影响了上层应用的平安。网络的普及和应用还是近10年的事,而操作系统的产生和应用要远早于此,故而操作系统、软件系统的不完善性也造成平安漏洞;在平安体系结构的设计和实现方面,即使再完美的体系结构,也可能一个小小的编程缺陷,带来巨大的平安隐患;而且,平安体系中的各种构件间缺乏紧密的通信和合作,轻易导致整个系统被各个击破。4 网络平安新问题策略的思索网络平安建设是一个系统工程、是一个社会工程,网络平安新问题的策略可从下面4个方面着手。网络平安的保障从技术角度看。首先,要树立正确的思想预备。网络平安的特性决定了这是一个不断变化、快速更新的领域,况且我国在信息平安领域技术方面和国外发达国家还有较大的差距,这都意味着技术上的“持久战”,也意味着人们对于网络平安领域的投资是长期的行为。其次,建立高素质的人才队伍。目前在我国,网络信息平安存在的突出新问题是人才稀缺、人才流失,尤其是拔尖人才,同时网络平安人才培养方面的投入还有较大缺欠。最后,在具体完成网络平安保障的需求时,要根据实际情况,结合各种要求(如性价比等),需要多种技术的合理综合运用。网络平安的保障从管理角度看。考察一个内部网是否平安,不仅要看其技术手段,而更重要的是看对该网络所采取的综合办法,不光看重物理的防范因素,更要看重人员的素质等“软”因素,这主要是重在管理,“平安源于管理,向管理要平安”。再好的技术、设备,而没有高质量的管理,也只是一堆废铁。网络平安的保障从组织体系角度看。要尽快建立完善的网络平安组织体系,明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。最后,在尽快加强网络立法和执法力度的同时,不断提高全民的文明道德水准,倡导健康的“网络道德”,增强每个网络用户的平安意识,只有这样才能从根本上解决网络平安新问题。参考文献1 张千里,陈光英.网络平安新技术[M.北京摘要:人民邮电出版社,20032 高永强,郭世泽.网络平安技术和应用大典[M.北京摘要:人民邮电出版社,20033 周国民. 入侵检测系统评价和技术发展探究[J.现代电子技术,2004(12)4 耿麦香.网络入侵检测技术探究综述[J,网络平安,2004(6)
楼上的不是明摆着会被他老师一搜就搜到了吗?穿帮了。需要就Q我。
信息检索策略研究论文
高校文献信息检索的必要性与有效方法论文
在学习、工作中,大家总免不了要接触或使用论文吧,论文可以推广经验,交流认识。如何写一篇有思想、有文采的论文呢?以下是我收集整理的高校文献信息检索的必要性与有效方法论文,希望能够帮助到大家。
摘要: 随着互联网信息、知识的不断更新,文献信息检索能力已经成为高校师生信息素养的重要内容,也是提高大学生学习能力和教师科研的重要手段,成为继续学习的重要工具。通过探讨文献信息检索的科学定义及高校信息检索的必要性,进而从文献信息检索流程角度提出高校文献信息检索的途径和策略。
关键词: 文献;信息检索;策略;
文献信息是巨大的社会财富,它伴随着社会的广泛进步而迅速更新和积累,在带给我们越来越便捷的同时,也必然给阅读、查找和充分利用信息带来一定困难。为解决庞大的科学文献和个人特定需求之间的矛盾,便产生了文献信息检索,文献信息的检索和利用已经发展成为一门专门的学科,高校信息检索能力已经成为高校师生信息素养的重要内容,也是提高大学生学习能力和教师科研的重要手段。
一、文献信息检索定义
“信息检索(Information Retrieval)”一词最早出现在20世纪50年代,有广义和狭义之分。
广义的信息检索是指将信息按一定的方式组织和存储起来,并根据信息用户的需要找出有关信息的过程和技术。也就是说,信息检索包括两个环节和内容:“存”和“取”。狭义的信息检索则专指信息检索过程中的第二个环节,即从信息集合中找出所需要信息的过程,也就是我们常说的信息检索、信息查找或信息搜索等术语。
信息检索按照检索对象的不同又可以分为文献检索、数据检索、事实检索。本文侧重于文献检索,即通过检索文献来获取所需要的信息、知识、情报[1]。
二、高校文献信息检索的必要性
(一)信息的多元化需要师生具备一定的信息评价和筛选能力
在当今互联网、信息化社会,人们无时无刻不在利用信息资源进行生产、生活和创新创造。但面对浩瀚的信息海洋,信息流和信息量越来越多、越来越大,人们进行检索和利用的困难也就越来越大。随着4G网络的覆盖和智能手机的普及,人们轻而易举就能接触各种各样的信息,各类门户网站、微博、微信、QQ等推送信息的常态化,一方面丰富了我们的日常生活,拓宽了我们的视野;另一方面也给我们对于浩瀚无垠的信息的过滤、评价、筛选和运用带来极大的挑战[2]。在纷繁复杂的信息洪流中,哪些是对我们有益的,哪些会给我们带来负面的影响,都要求我们具备一定的信息鉴别和评价的能力,需要我们具备较高的信息素养和信息处理能力。文献信息检索能力成为高校师生应掌握的基本学习技能之一,是继续学习的重要手段,在教学、学习、科研和生活方面发挥巨大作用。
(二)学校对学生的信息素养教育重视程度不够
早在20世纪70年代,联合国教科文组织就对“文盲”下了新的定义:在当今科学技术飞速发展的时代,文盲已不是不识字的人,而是不知道如何获取知识的人。我国国家教委要求,全国各大院校要全面普及开设文献信息检索课,这对大学生普及文献检索知识、提高信息素养、增强信息检索的兴趣、提高信息检索能力都具有十分重要的现实意义[3]。然而现状却是,全国各大高校开设的信息检索课程大部分是以选修课的形式存在,学生自愿选择,主要目的也就是为了修够学分,以这样的方式开展信息教育并不能取得理想的效果,这种重专业、轻信息素养的教育还普遍客观存在。
(三)信息检索助力高校科学研究
科学研究是高等学校重要职能之一,大学对整个社会的科技进步与发展起着重要引领与推动作用。现代科学技术的迅猛发展,各个学科的交叉和渗透一方面促使了新的学科不断涌现,源源不断地出现大量新的知识;另一方面,知识的老化和被淘汰的速度也会越来越快。作为高校科研人员,必须具备一定的信息素养,即敏锐的信息意识、发现高质量信息的能力、信息的选择和评价的能力以及如何正确地引用文献、尊重他人知识产权的能力。作为科学研究者,必须时时了解学科最前沿的动态,掌握最新的知识,这样才能研究出有价值的科研成果,而文献信息检索能力就是科学研究人员必不可少的要素之一。为了减少课题的重复研究,提高研究的成功率,科研人员在研究一项课题之前,必须要进行的相关的资料收集和文献检索。在确定选题之后同样要科学合理运用文献信息检索方法开展文献信息甄别筛选和运用,进行进一步研究,保障研究成果的承续性,进而推动科学研究向纵深发展。
三、高校文献信息检索的策略
(一)分析检索问题
在解决一个问题之前,我们首先要做的就是分析问题,对问题的分析是解决问题的关键所在。分析一个问题我们可以从如下几个方面考虑:首先,提问者是谁。同样一个问题,教师跟学生对内容的层次要求就不同;一个专业性的问题,高校专业教师和学生对问题的要求也会不同。其次,问题的性质。不同的问题对应不同的要求,如果我们对一个概念需要界定,或者需要查找与自己所撰写文章密切相关的文献,这时对概念的界定和对文献的检索就需要“准”。如果我们要做一个论文的选题的确定或者做一个项目的申报、企业新产品的开发,在做这些工作之前,我们需要对前人的研究成果做一个全面的普查,这类型的问题的要求就是“全”。再如,我们要了解某个领域的趋势前沿和最新进展,对这类问题的要求就是查找的资料必须要有新颖性,即“新”。再有,对一些技术性强的问题,如专利的申报、企业新产品的开发、某一项技术的引进等,对这类问题的检索要求是“细”。再次,学科和主题。如果只是单一的某一个学科或主题,那么只需要找到收录这个学科资源的数据库进行检索就可以。但是有很多跨学科领域研究的问题如果只是在一个数据库查找,就会造成资源的不全面。第四,资源类型。我们熟知的资源类型有学位论文、会议论文、期刊论文、图书、专利、标准等等,不同的资源类型收录的特点也不同,如内容的深度、系统性、时效性都不同,研究课题不同,对资源类型的要求也不同。第五,资源的范围。查找资料的时候往往对范围进行限定,范围包括时间范围、地域范围、语种范围等。
(二)选择合适的检索工具
分析检索问题之后,我们需要选择合适的检索工具。常用的检索工具有搜索引擎和商业数据库。搜索引擎它具有检索过程不收费、面向所有的终端用户、对用户检索水平要求较低等特点,常用的搜索引擎有谷歌、百度、搜狗、必应等。商业性数据库的特点有:第一,检索需要收费或者授权,高等学校一般都与相关商业数据库合作,校园网环境下一些商业数据库是可以免费使用的。第二,它们的功能和收录资源的范围有明确的定位,如只能检索专利信息的德温特专利创新索引、只能检索学位论文的ProQuest Digital Dissertations数据库、只能检索会议论文的CPCI、只收录世界上顶尖期刊论文的Web Of Sicence的三大引文索引数据库等。第三,这些数据库都有自己的一套检索技术,因此对用户的检索水平要求较高。除了上述的专业性数据库之外,还有一些因经常使用被我们熟知的综合性数据库,如中国知网、维普、万方等。
除了搜索引擎和商业数据库之外,还有一些其他可以免费获取资源的途径,如主题指南(导航)、数字图书馆、政府的网站(数据库)、电子预印本、博客、微博、机构知识库等途径。因此,我们只有熟知各个不同的检索工具以及它们的特色才能检索到不同的文献类型。 高校师生要立足本职工作和学习需要选取适合的文献信息检索工具,助力科学研究、日常教学和学习生活。
(三)抽取恰当的关键词
选取科学适当的检索工具后,下一步工作就是确定检索关键词。
首先,要确定研究问题有哪些核心关键词(Core Keywords),抽取核心关键词可以依据汉语主题词表,如查询表述具体事物名称的名词术语、事物的状态或现象的名词术语、科学分类的名词术语、研究方法、技术方法的名词术语、工艺方法、加工技术的名词术语、化学元素、化合物、金属材料与合金的名词术语、国家名称、地名、组织机构名称以及文献类型、文献载体的名词术语等。其次,为了保证查全率和查准率,应当注意这些核心关键词有无其他的表述方式,如同义词、近义词、与之相关的词、有无缩写形式或者全称形式、有无相关的组织机构、英文的单数复数形式等,如果有,分别检索。第三,避免用太泛的关键词,应选用专指性很强的关键词。例如,我们要检索计算机软件有关的视频资料,如果我们只输入“计算机操作视频”这样类似的检索式,当然也可以找到一些检索结果,但缺乏针对性。我们不妨直接明确输出我们要学习的.软件的名称,如“Powerpoint 视频”,这样检索出的结果的相关性就要高很多。第四,学会利用专业术语。不同的学科,他们的专业术语表述不同,如信息检索、克隆人、电子图书等都属于专业术语,对这些专业术语进行检索的时候,尽可能加上双引号进行精确检索,可以提高检索结果的相关度和准确度。
(四)构造检索式
确定几组关键词后,下一步工作就是要构造检索式。即要用一定的运算符号将这些关键词连接起来,形成具有一定意义的表达式,也叫检索提问表达式。构造检索式具有一定的专业性,这就需要依托信息检索课和上机课来实现,重点指导学生如何正确构造检索式。构造检索式,可以从以下几个方面考虑:首先要明确检索词之间的逻辑关系,用布尔逻辑运算符AND、OR、NOT将它们连接起来;然后需要考虑检索词之间的位置是否需要进行限定,如果需要则根据不同的检索工具使用一定的检索手段对检索词的位置进行限定;对于一些专有名词,是否需要作精确检索,如果需要则给检索词加上双引号;为了使检索结果更加精准,我们还需要把检索限制在某一个范围当中,比如限制在某个字段,语种、出版年、摘要、题名等不同的字段作一个限定,还有其他的各种限定,如文献类型、机构的域名的类型等等。当然,不同的检索工具可能有自己特有的语法用法,我们应当学会灵活应用和变通不同的检索方法和技巧。
(五)筛选检索结果
通过选取关键词、构造检索式进行检索后,会得到众多检索结果,但在众多的检索结果当中,并不是每一条都是我们所需要的,所以我们要对检索结果作一些筛选。首先,依据结果的相关度,我们得到的检索结果是否与我们要检索内容的主题相关,是否与我们所需要的信息内容的层次、深浅度相匹配;其次,要看作者,即要看作者的权威性和影响力,这直接影响到我们检索到的文献信息的质量,对于一些没有显示作者的网站来说就缺乏一定的严谨性;再次,要看检索结果的时效性,往往最新的观点、新的理论、新的解决方案都来源于最新发表的文献信息。另外,要合理判断检索信息的公正性、准确性,避免使用错误的、缺乏科学论证的文献资料,等等。
(六)调整检索策略
经过前面的检索步骤得出的检索结果当中,如果还是没有理想的检索结果,就需要调整检索策略。首先,当检索结果太少的时候,则需要扩大检索范围。比如看检索词是否有近义词、同义词、上位词,将这些检索词用布尔逻辑语OR来连接,可以很好的扩大检索范围。再如,利用宽容的检索方法检索,像英文单词中经常会有一部分相同的部分,那些可变换的部分就可以用截词检索代替。还有英文名词的单复数形式,如果我们要找“女性”的相关资料,只输入“woman”检索就会漏检很多,还应该对它的复数形式“women”也进行检索。还比如英文的缩写形式,比如我们要找“慕课”相关的文献,如果我们只是输入“慕课”就可能会漏掉相关重要信息,我们还应该用它的缩写形式去检索,输入“MOOC”或者它的英文全称“Massive Open Online Courses”,这样分别去检索才不会遗漏掉重要文献资料。如果是因为我们的限制太多导致检索结果太少,那么可以考虑去掉一两个限制。因为每一个检索工具收录的范围和内容有一定的侧重点和有限性,所以我们也可以考虑更换不同的检索工具进行检索。其次,当检索结果太多的时候,我们也应该采取一定的措施缩小检索范围。例如用布尔逻辑运算符AND和NOT连接检索词,用AND多加几个检索词进行限定,或者用NOT排除一些限定;使用检索词的下位词进行检索;对一些专有名称,专业术语加上引号进行精确检索也可以缩小检索范围,从而实现更精确地检索;对检索词加上一定的限制,如对它的时间、机构、网站、文献格式等进行一个限制;除此之外,我们还可以利用检索工具本身所具备的二次检索功能来筛选检索结果,从而缩小检索结果。
(七)求助专业人士
如果通过上述途径仍然不能取得理想的文献信息资料,我们可以通过一些掌握现代技术的、具有丰富科学研究经验的专业人士来获取我们想要的文献信息。例如,有很多图书馆的网站主页上都会有在线咨询的功能,我们可以通过在线咨询的服务功能从图书馆员那里获取文献信息资料。很多图书馆都开通了馆际互借的功能,通过馆际互借,我们可以共享很多成员馆的文献信息资源,而这些庞大且宝贵的文献信息资源经常会被老师们和学生们忽略掉。再如,我们还可以求助一些在线的问题回答类的网站,像百度知道、知乎等,还有国外比较权威的网站像AIIExperts等,通过询问这些网站上的一些权威专家,也可以为我们的学习和研究提供宝贵的意见。
总之,互联网是一个非常开放的空间,如果善于应用,我们不仅可以贡献自己的经验和智慧来为他人服务,我们也可以共享他人的智慧来为我们自己的研究和学习服务。
四、结语
信息检索的最终目的是通过解决各种各样的问题,进而提高学习和科学研究能力。正如美国文献家赫伯特所言:“知识的一半,是知道到哪里去寻找它。明日的文盲,不是不能阅读的人,而是缺乏检索能力的人。”互联网时代文献信息检索能力比文献信息本身更重要。来自美国的非盈利性机构“今日信息科学网站”的一份报告“Information Literacy A Skill for Life”也在呼吁互联网时代新的技能,即媒体与信息素养。由此看来,信息素养的培养不光适用于高校信息素养教育,同时也具有世界性的重要意义。文献信息知识伴随着社会的发展而迅速更新和积累,高校应强化对信息检索的指导,提高信息检索能力,助力高校教学和科学研究。
五、参考文献
[1]陈振标.文献信息检索、分析与应用[M].北京:海洋出版社,2016:19.
[2]陆和建,姜丰伟.新信息环境下高校信息检索课教学方式的优化策略[J].大学图书馆学报,2015(2):96—99,112.
[3]万爱群,杨红.浅谈开设《信息检索与利用》课程的必要性[J].广西质量监督导报,2007(6):105—118.
“信息资源共享”课程检索报告一 检索课题数字图书馆个性化服务研究现状二 主题分析随着数字图书馆建设和网络通讯技术的高速发展, 数字资源越来越多, 而人们获取所需资源的可能性则越来越少, 用户需求的专业化、垂直化激化了数字图书馆大量信息数据库与用户需求之间的矛盾。1999 年, 美国图书馆与信息技术联合会(LITA) 10 位著名的数字图书馆专家在研讨会上, 把个性化定制服务列为数字图书馆发展的7 大趋势之首。目前, 数字图书馆个性化的信息服务已经开始得到普遍的关注, 人们正在为提供个性化信息服务做出努力的尝试。数字图书馆个性化服务是近几年数字图书馆研究中受到关注较多的一个研究方向,数字图书馆个性化服务是基于信息用户的信息使用行为,习惯,偏好,特点及用户特定的需求,来向用户提供满足其个性化需求的信息内容和系统功能的一种服务。关于数字图书馆个性化服务研究现状,该主题涉及到:(1)数字图书馆个性化服务的有哪些介绍(2)数字图书馆个性化服务的模式有什么(3)数字图书馆个性化服务的技术研究有哪些(4)数字图书馆个性化服务研究的最新进展(2005年-2007年)三 检索情况(一)检索工具1.维普中文期刊数据库 (1989-2007)2.中国期刊全文数据库 (1994-2007)(二)检索过程1.检索途径 关键词 题名 主题词2.检索用词 数字图书馆 关键词或题名、主题词 个性化服务 关键词或题名、主题词3.检索策略(1)维普中文期刊数据库(题名或关键词=数字图书馆)*(题名或关键词=个性化服务) 在高级检索中选择题名或关键词字段,输入“数字图书馆”和“个性化服务”两个检索词进行限定,年代限定在2005-2007年,共检索出78条记录。(2)中国期刊全文数据库(题名或关键词=数字图书馆)* (题名或关键词=数字图书馆)在高级检索中选择篇名字段,输入“数字图书馆”与“个性化服务”,年代限定在2005-2007,共检出89条记录。四 检索结果分析(一) 检索结果经检索上述两个数据库,有关数字图书馆个性化服务的研究论文众多,现选出其中具有代表性,研究主题未重复的文献。1.中国期刊全文数据库(1) 数字图书馆个性化信息服务系统研究 刘燕平 图书情报工作 2006/S2(2) 数字图书馆个性化服务系统分类体系问题 叶红 科技信息(学术研究) 2007年13期(3) 浅析智能搜索引擎技术及其在数字图书馆个性化信息服务中的应用 王林廷 高校图书情报论坛 2006年01期(4)数据挖掘技术在数字图书馆个性化服务中的应用 朱冰冰 科技情报开发与经济 2006年24期(5)数字图书馆个性化信息服务发展研究 马维华 郑州大学学报(哲学社会科学版) 2006年06期(6) 智能推送技术在数字图书馆个性化服务中的应用 石岩 情报探索 2006年11期(7) 基于文本过滤的数字图书馆个性化服务技术 张帆 计算机工程与应用 2006年31期(8) 数字图书馆信息门户的个性化服务模式 何平 中国信息导报 2006年08期(9) 网络信息技术下的数字图书馆个性化服务 张丹 林区教学 2006年07期(10)MyLibrary——数字图书馆个性化服务新趋势 杨华 农业图书情报学刊 2006年08期(11)基于Web服务组合的数字图书馆个性化动态定制服务构建 张晓青 情报学报 2006年03期(12)校园网中数字化图书馆个性化服务的实现 朱江峰 科技经济市场 2006年01期(13)数字图书馆的个性化推送服务 白雪松 图书馆杂志 2005年09期(14)Web日志挖掘在数字图书馆个性化服务中的应用 王英培 科技情报开发与经济 2005年22期(15)国内外数字图书馆个性化信息服务系统的功能与特征比较研究 张俊 情报理论与实践 2005年06期(16)基于知识管理的数字图书馆个性化服务机制研究 郭琳 四川图书馆学报 2004年05期2.维普中文期刊数据库(17)基于Web挖掘的数字图书馆个性化技术研究 王艳 张帆 情报杂志 2007年1期(18)基于文本过滤的数字图书馆个性化服务技术 张帆 杨炳儒 计算机工程与应用 2006年31期(19) 数字图书馆信息门户的个性化服务模式 何平 陈有志 中国信息导报 2006年8期(20)个性化服务深度与广度解决方式探讨 刘月胜 数字图书馆论坛 2006年6期(21)个人数字图书馆模式的分析 石德万 李军 现代情报 2005年9期(22)数字图书馆个性化信息环境与服务构建 杜安平 韶关学院学报 2005年3期(23)数字图书馆个性化信息服务的技术实现 张云瑾 许春漫 农业图书情报学刊 2005年6期(24)个性化信息服务的模式研究及策略分析 杜春光 国家图书馆学刊 2005年2期(二) 检索结论文献一论述了个性化信息服务的涵义,阐述数字图书馆开展个性化信息服务的有利条件,国内外图书馆的有关研究开发状况,分析国内数字图书馆个性化信息服务系统应用实例,并时其工作流程,主要功能进行剖析,指出该系统目前存在的问题,提出改进对策。文献二围绕数字图书馆个性化服务系统分类体系问题展开探讨。首先,简要介绍数字图书馆个性化服务系统的主要内容,包括其定义和服务内容。其次,从用户分类和信息分类两个方面阐述目前数字图书馆个性化服务系统存在的问题。用户分类主要存在的两个问题,根据用户特点分析提出相应建议。信息分类问题从五个方面进行讨论,列举数字图书馆个性化服务系统页面进行分析,提出解决方法。文献三介绍了智能信息检索的实质和发展方向,是智能搜索引擎技术的不断改进和广泛应用。以这一技术为基础构建数字图书馆的个性化服务系统,是数字图书馆信息服务的现实需要。文章论述了当前搜索引擎存在的不足,概述了智能搜索引擎的原理机制及其优越性,探讨了该技术在数字图书馆个性化服务中的应用。文献四阐述了数字图书馆的定义,介绍了个性化服务的工作原理和国内外个性化服务系统的现状,探讨了分类模型、关联模型、序列模型、聚类模型、回归模型以及时间序列模型的原理,对如何把其用在数字图书馆的个性化服务上以描述用户需求,提出了建议。文献五介绍了数字图书馆个性化信息服务是当今图书馆发展的重要趋势,目前国内外都已有比较成熟的数字图书馆个性化信息服务系统,服务方式及其功能也多种多样,但是探索图书馆个性化信息服务有效模式的任务仍很艰巨。文献六介绍了智能推送技术和个性化服务的内容,讨论了将智能推送技术应用于数字图书馆个性化服务,以及智能推送技术存在的优势与不足。文献七提供了一种针对数字图书馆个性化服务策略的文本过滤技术,通过在向量空间内建立用户兴趣模型和文本内容特征模型,计算它们的相似度后,将用户不感兴趣的文本过滤掉。详细描述了具体的建模过程和个性化文本过滤算法,最后给出了在实际的数字图书馆工程中的验证结果。文献八试图对数字图书馆信息门户下的个性化服务模式进行研究,从双向互动式信息服务、集成式信息检索服务、动态式馆藏特色信息服务、渗透式垂直信息门户服务、追踪式数据挖掘信息服务等服务模式来探讨数字图书馆个性化服务的有效模式及发展建势。文献九简述了数字图书馆个性化服务的内涵,分析了网络信息技术对其各项服务的支撑,并通过My Library实例对这些具体技术的集成化运用加以探讨,为构建可互操作的数字图书馆个性化服务系统提供参考。文献十就My Library(我的图书馆)的产生,及其概念、类型、特征、原理、功能等诸方面做了简要的论述,并介绍了它在国内外的发展现状,指出其今后的发展方向。文献十一介绍了Web服务组合是一种利用现有Web服务动态构建新的能满足用户需求的复杂Web服务的Web服务技术。将数字图书馆各种资源组件、应用组件、功能组件和管理组件进行Web服务描述,人们就能利用Web服务组合技术根据用户的个性化需求实现对不同数字图书馆各种组件的动态集成,从而实现开放环境下数字图书馆的个性化动态定制服务。本文讨论了基于Web服务组合的数字图书馆个性化动态定制服务的基本系统架构、构建模型,并对构建过程中需要注意的几个问题展开了讨论。文献十二介绍了数字化图书馆建设是图书信息化发展的必然,而个性化服务能够根据用户不同的特点,提供切实的服务,以更好地为读者服务。本文对数字化图书馆的个性化服务进行了讨论,分析了关键的实现技术,并给出了部分核心代码。文献十三介绍了个性化推送服务是数字图书馆研究的热点,也是建设数字图书馆的关键问题之一。本文针对各种不同的信息形式提出了相应的实现方案,并对实际操作中的几个难点事项做了简要讨论。文献十四介绍了Web日志挖掘的基本概念和过程,指出通过对读者在数字图书馆服务中留下的日志信息进行挖掘,可以实现个性化服务,更好地满足不同类别读者的需求。文献十五从个性化信息服务的概念入手,介绍了个性化信息服务的几种类型,包括分类定制服务、信息推送服务、智能代理服务和垂直门户服务等,并介绍了目前国内外若干图书馆已经开展的个性化信息服务的典型应用实例。在此基础上总结了这些个性化信息服务系统的共同功能与特征,并进行了一些比较研究。文献十六介绍了构建一个基于信息过滤技术的信息服务系统是数字图书馆实现个性化信息服务的有效手段。通过对信息过滤技术概念的研究和与信息检索概念的比较,抽象出此类系统的一般模型,并沿用查全率和查准率评价信息过滤的效果,最后分析了个性化信息服务系统实现的关键技术。文献十七提出一种基于Web挖掘技术的个性化实现策略,针对数字图书馆资源的文献,改进了经典的算法,分别从Web内容挖掘、结构挖掘和日志挖掘出发,建立用户动态的兴趣特征模型,使之更具有实用性和针对性。文献十八提出在数字图书馆的应用中,个性化服务可以为用户提供符合其兴趣的检索结果。提供了一种针对数字图书馆个性化服务策略的文本过滤技术,通过在向量空间内建立用户兴趣模型和文本内容特征模型,计算它们的相似度后,将用户不感兴趣的文本过滤掉。详细描述了具体的建模过程和个性化文本过滤算法,最后给出了在实际的数字图书馆工程中的验证结果。文献十九试图对数字图书馆信息门户下的个性化服务模式进行研究,从双向互动式信息服务、集成式信息检索服务、动态式馆藏特色信息服务、渗透式垂直信息门户服务、追踪式数据挖掘信息服务等服务模式来探讨数字图书馆个性化服务的有效模式及发展趋势。文献二十提出数字图书馆的个性化服务决定了它在借助网络技术的基础上向学科馆和联盟制方向发展,以提高资源的利用率和解决个性化服务的深度与广度问题。文献二十一根据个人数字图书馆文献信息资源存储位置的不同.把个人数字图书馆划分为远程个人数字图书馆和本地个人数字图书馆两种模式,着重对这两种模式的个人数字图书馆的功能特点进行比较分析。文献二十二提出构建数字图书馆的个性化信息服务实际上就是要在数字图书馆上实现个性化资料、个性化检索、个性化过滤、个性化服务等四种环境.数字图书馆可以开发个人图书馆、检索帮助、个性化信息咨询、信息代理、垂直门户等多种个性化信息服务。文献二十三阐述了数字图书馆个性化信息服务的概念、研究与应用的现状,并分析了实现数字图书馆个性化信息服务所需的技术。文献二十四强调个性化信息服务在数字图书馆中有其特定的定义,也是数字图书馆发展中的必需。根据网络环境下图书馆信息服务的内容及用户行为的不同,可以有多种个性化服务模式,有策略地开展服务。(三) 结果分析 从2005-2007年所发表的关于图书馆学个性化服务的论文可以看出,研究的主题和方向主要集中在以下几个方面:1. 数字图书馆个性化服务的概念研究。在中国期刊全文数据库检索到的89篇文章中,有40篇是论述图书馆个性化服务概念的研究。在这些文章中作者都对数字图书馆个性化服务概念有自己的认识,对于这个概念的研究也越来越深入。2. 数字图书馆个性化服务的方式研究。对于数字图书馆个性化信息服务模式, 也在摸索实践中。目前有以下几种方式:(1)信息分类定制服务方式。分定制是指信息用户可以按照自己的目的和需求,在某一特定的系统功能和服务形式中,自己设定信息的资源类型、表现形式,选取特定的系统服务功能等。(2)信息推送服务方式。是运用推送技术(push technology)来实现的一种个性化主动信息服务的方式。(3)信息智能代理服务方式。它是一种能够完成委托任务的计算机系统,能模仿人的行为执行一定的任务,不需要或很少需要用户的干预和指导。通过跟踪用户在信息空间中的活动,自动捕捉用户的兴趣爱好,主动搜索可能引起用户兴趣的信息并提供给用户。(4)信息垂直门户服务方式。通过汇聚网上某一特定专题信息资源并对其进行挖掘及加工,以满足用户基于专业的深入的信息需求。(5)信息帮助检索服务方式。如何帮助用户进行高效的信息检索也是当今数字图书馆信息服务向纵深发展的一个重要内容。(6)数据挖掘服务方式。从数据库中发掘人们感兴趣的知识,这些知识是隐含的、潜在的,目的是帮助用户寻找数据间潜在的关联。(7)信息呼叫中心服务方式。主要利用电话、传真等方式来服务客户,处理简单的呼叫流程。在这些方式中,现在比较热门的个人图书馆(My library)是上述部分个性化服务方式的具体应用,是当前开发应用较为成熟的图书馆个性化服务模式系统,也是一个完全个性化的私人信息空间。3.数字图书馆个性化服务关键技术研究。数字图书馆个性化信息服务的应用技术, 集现代信息技术之大成。它包括推送技术、智能代理技术、智能搜索引擎技术、网页动态生成技术、数据挖掘技术、信息过滤技术、过程跟踪技术、安全身份认证技术、数据加密技术等, 这些都可以为数字图书馆的个性化服务方式提供技术支持。4.国内外数字图书馆个性化服务现状研究。还有一部分论文是主要介绍当今国内外数字图书馆个性化服务的现状,通过介绍这些先进的技术和模式来指导我国数字图书馆个性化的服务。5.其他研究。除了数字图书馆个性化信息服务的概念、模式、技术和国内外研究现状外, 数字图书馆个性化信息服务的研究还就数字图书馆个性化信息服务的模型构建、用户评价、馆员角色的变化、存在的问题与对策等作了深入探讨。综上所述,这两年国内有关数字图书馆个性化服务的研究可谓是硕果累累,随着对数字图书馆个性化信息服务理论研究和实践的不断深入,我国数字图书馆个性化信息服务一定能够真正实现以用户需求为中心, 利用数字图书馆信息资源开展不同层次的、多种类型的、满足用户个性需求的有效信息服务。五 检索情况总结由于这个学期开了数字图书馆这门课,对于数字图书馆有一些简单的了解,特别是对个性化信息服务这部分内容有兴趣,课本上涉及得比较少,所以就把这个内容作为了检索主题。在选择检索工具时选择了平时最常用的两个检索工具,本来还选用了中文Google,想找一下国内在研究这个主题的项目或者网站,但是检索到的内容数量实在太庞大,而且检索到的大量结果都来自各个数据库的论文,最后就放弃了使用搜索引擎。在构造检索策略时,因为该主题比较简单,不用构造很复杂的检索式,就选择了“数字图书馆”和“个性化服务”作为关键词,开始有想到是不是需要使用与“数字图书馆”概念相近的“电子图书馆”或者“虚拟图书馆”,但考虑到国内现在已经比较统一的使用“数字图书馆”这个概念,使用其他两个词检索到的文章不多,所以还是以数字图书馆为重点。检索途径选择了关键词,题名以及主题词,在使用中国期刊全文数据库进行检索时,一开始是使用关键词作为检索途径,检索出423条记录,但是有很多文章与该主题相关度不高,所以采用了篇名作为检索途径,这样两个词同时限定在文章题名中,检索的相关度就非常高,但也可能会造成漏检。觉得自从学习检索课程以来,检索最难的就是检索式的构造,检索式构造的好与坏,直接关系到检索结果的好坏。维普提供的字段有题名或关键词字段,使用高级检索将两个检索词都限定在这个字段中,检索出来的结果相对比较精确。检索完成之后,接下来的工作就是分析检索结果,这其实也是难度挺大的一项任务,要看完150几篇文章不是一件简单的事,文摘和篇名这个时候就帮了很大的忙了,一般看文摘可以略知一二,需要了解详细内容的再打开全文阅览。从文章中归纳出研究的主要内容和方向,找出比较有特色而又不重复的内容,最后再整理出结论,这就是我整个辛苦但却有趣的检索过程。通过完成这次作业,首先就是复习与巩固了以往的知识,平时虽然也经常在进行检索,但是严格按照检索步骤进行的就不太多,也没有这么有条理的对整个检索过程做一个安排,并按照计划一步一步的执行,直到完成检索结果。其次就是以往做作业都是完成老师布置的具体任务,有些题目比较简单或是比较有兴趣的检索起来还好,有些比较深奥的主题做起来真的十分困难,没有专业背景,拿到题目和检索出来的结果就觉得十分茫然。而这次老师让我们自己选择题目,我就可以从自己的兴趣和想了解的领域下手,这样完成作业的过程也不再那么枯燥,兴致自然也大了很多。还有最重要的是,做作业的目的不只是完成作业,更重要的是有收获,巩固了检索知识自不用说,通过这次阅读大量文章,也算对所检索的主题有了一个大概的认识和了解,增长了知识,开阔了视野,可是说从完成这次检索作业中的确是收获不少。
论文信息检索策略研究
该文包括引言、第1-4章共五个部分.引言部分阐述了网络医学信息检索策略的研究背景和理由,提出从用户角度研究网络医学信息检索策略的必要性 和重要性.第1章围绕网络医学信息检索策略这一核心问题,从医学搜索引擎检索语言、医学搜索引擎分类、医学搜索引擎检索规则、医学搜索引擎性能比 较与评价、网络医学信息检索策略构建等五个方面对目前网络医学信息检索所取得的理论与实践研究成果进行综述,从静态角度对网络医学信息检索策略 问题进行探讨.第2章依托网络医学信息检索理论,从影响网络医学信息检索效率的人文因素研究这一薄弱环节入手,以医学用户为调查对象,以检索策略的 制定与检索结果的反馈调节为研究内容,自行设计"网络医学信息资源检索策略用户调查表",在四个单位10个场所共分发调查表183份,回收调查表180份 ,其中有效问卷145份.采用定性和定量相结合的方法,对145名临床医务工作者、医学生、医学科研人员关于网络医学信息资源检索策略问题16个方面的征 询结果进行统计与分析,对医学用户网络信息检索特征及规律、校园网用户和非校园用户检索行为差异有了一系列的研究发现.第3部分在问卷调查的基础 上针对临床医生检索策略构建能力进一步展开实证分析.研究分两个阶段进行:鉴于网络医学用户年轻化特征突出,第一阶段以临床住院医生为实验对象 ,设计具体的检索测试问题和实证访问卷,收集与检索策略构建能力有关的5个方面的资料,通过考察、分析实验对象构建检索策略的思维活动,了解他们对 信息检索方法的实际掌握程度,并对其全面获取证据的能力进行初步评估.第二阶段开展对比研究,比较实验对象之间、实验对象与医学信息检索专家之间 在制定检索方案时的思维活动差异,对造成检索结果差异的原因进行了剖析.研究表明不同的信息认知能力将导致不同的信息检索行为,从而产生不同的信 息利用结果.作者就如何全面获取证据提出了参考建议,同时结合检索经验,初步摸索出一套针对性的医学专业搜索引擎选择策略及其查询模式.第4章对第 2章与第3章的研究结果进行回顾,发现实证分析进一步验证与澄清了第2章中的相关调查结果.作者认为用户信息认知行为的研究应该受到关注,技术因素 与人文因素相结合,既是全面解决医学信息资源管理与利用问题的指导思想,也是未来的研究趋势.针对调查方法、分析手段的不足和局限,作者指出网络 医学信息检索策略研究的结果只是初步、探索性的,鉴于网络医学信息检索策略目前尚缺乏系统的理论指导框架,提出引进循证医学的相关思想与方法,进 一步完善、优化网络医学信息检索策略构建指南. 4.期刊论文 潘萍.PAN Ping 基于网络环境的信息检索策略 -现代电子技术2007,30(4) 网络信息资源的检索和利用已经成为人们获取信息的主要方式,但要迅速、准确地获取所需要的信息,必须掌握一定的网络检索技术和检索策略.主要 阐述了网络环境下影响信息检索的两个主要因素和采取相应的检索方法和策略以更快、更准确地检索需要的信息. 5.期刊论文 KANG Yan-xing 引文检索策略的探讨 -情报科学2005,23(8) 引文检索是一种比较复杂的信息检索,在具体的引文检索中,如何制定优良的检索策略是一个关系到能否获得满意检索结果的核心问题.本文就引文检 索的实际工作中所触及到的一些常见的典型问题提出了若干探讨性的意见. 6.期刊论文 刘肖静 网络信息资源的收集与利用--检索策略和技巧 -现代情报2004,24(11) 文中针对当前网上信息检索的困难,通过介绍网络检索工具的性能,提出合理的检索策略,并列举了一些设置关键词的技巧. 7.期刊论文 张冬梅 浅议网络环境下的信息检索 -网络财富2009,""(22) 本文论述了信息检索的含义、特点和策略.阐明了如何利用网络快速而准确地获得有效信息资源. 8.期刊论文 燕慧泉 手工检索与计算机信息检索在检索策略之拟定和优化方面的分析比较 -现代情报2003,23(12) 本文通过手工检索和计算机检索在检索策略的制定及执行方面进行比较,指出了两者在策略的拟定和优化方面的区别. 9.期刊论文 王征清.成全.Wang Quan 信息检索策略研究 -情报探索2007,""(4) 分析影响信息检索效率的要素,并从各个要素层面提出了相应的信息检索策略,以期指导用户的信息检索行为. 10.学位论文 吴清锋 基于内容的中草药植物图像检索关键技术研究 2007 论文工作针对基于内容的中草药植物图像检索问题,在系统分析已有关键技术及发展趋势基础上,对中草药植物叶子图像的领域特征提取、层次化 检索策略、基于显著轮廓曲线的图像检索、基于视觉注意的花卉图像检索等问题进行了系统、深入和较为全面的研究。这些研究内容不但是基于内容的 中草药植物图像检索亟待解决的关键问题,也是图像处理和信息检索领域的研究重点,具有重要的理论意义和实际应用价值。论文的主要工作和贡献如 下: (1)对基于内容图像检索领域的一些关键技术作了深入的研究分析,包括:颜色、形状、纹理等常用的图像底层视觉特征和高层语义特征的描述,图 像相似性度量准则,图像数据库特征索引,检索系统性能评价,相关反馈等;并对基于内容图像检索领域的主要研究方向进行了阐述;最后还给出了部 分原型系统的比较分析结果。 (2)叶子作为植物的重要器官,它的识别与分类在整株植物的识别与分类过程中占有重要的地位。使用颜色、纹理、形状等通用的视觉特征并不能取 得很好的检索效果,因此论文从植物形态学角度,分析并提取了中草药植物叶片的叶形、叶脉、叶齿等领域视觉特征,并且将所提取的特征归类为全局 特征和局部特征,在此基础上,构建了一个层次化检索策略,并进行了实验分析。实验表明:应用领域特征的检索较传统的检索更有效,并且,层次化 检索策略在提高系统检索速度的同时,又保证具有较高的检索精度。 (3)非标准环境下采集到的中草药植物叶子图像,一般具有复杂的背景,遮挡现象普遍存在,这都极大地影响着检索的效果。受到神经心理学中形状 感知研究的启发,我们将非经典感受野抑制机制引入到图像边缘检测中,保留图像中叶子的轮廓,同时抑制复杂背景中的短小边缘,并且使用获取的轮 廓曲线的特征来代表图像的形状特征。然后采用“综合多对多”的匹配策略来度量图像间的相似性,取得了良好的匹配效果。 (4)一般情况下,非标准环境下采集到的中草药植物花卉图像,花卉区域具有比背景更加突出的特征属性。利用人类视觉选择性注意机制研究的成果 ,首先对图像进行分析,综合视觉注意模型和传统的区域生长法,来定义和获取用户感兴趣的区域,然后采用一种新的“一对一”的匹配策略来度量图 像间的相似性,解决了图像的注意性匹配问题。实验证明:上述方法简单有效,降低了信息处理的计算量,提高了系统的效率。 总之,我们在基于内容的中草药植物图像检索方面,首次运用比较先进的图像匹配与检索方法与技术,对中草药图谱检索问题做了有开拓性意义的 研究工作,特别是提出的“植物叶子图像的领域特征提取与层次化检索"、“图像显著轮廓提取与综合轮廓匹配”、“基于视觉注意的感兴趣区域提取与 花卉图像检索”等具体方法,对于推动中草药植物图像自动检索研究领域的技术发展,有着重要的学术价值和具体的应用意义。 引证文献(2条) 1.田质兵.谈春梅 科技电子资源检索的探讨[期刊论文]-大学图书情报学刊 2003(2) 2.董建成 网上医学信息检索策略初探[期刊论文]-中华医学图书情报杂志
高校文献信息检索的必要性与有效方法论文
在学习、工作中,大家总免不了要接触或使用论文吧,论文可以推广经验,交流认识。如何写一篇有思想、有文采的论文呢?以下是我收集整理的高校文献信息检索的必要性与有效方法论文,希望能够帮助到大家。
摘要: 随着互联网信息、知识的不断更新,文献信息检索能力已经成为高校师生信息素养的重要内容,也是提高大学生学习能力和教师科研的重要手段,成为继续学习的重要工具。通过探讨文献信息检索的科学定义及高校信息检索的必要性,进而从文献信息检索流程角度提出高校文献信息检索的途径和策略。
关键词: 文献;信息检索;策略;
文献信息是巨大的社会财富,它伴随着社会的广泛进步而迅速更新和积累,在带给我们越来越便捷的同时,也必然给阅读、查找和充分利用信息带来一定困难。为解决庞大的科学文献和个人特定需求之间的矛盾,便产生了文献信息检索,文献信息的检索和利用已经发展成为一门专门的学科,高校信息检索能力已经成为高校师生信息素养的重要内容,也是提高大学生学习能力和教师科研的重要手段。
一、文献信息检索定义
“信息检索(Information Retrieval)”一词最早出现在20世纪50年代,有广义和狭义之分。
广义的信息检索是指将信息按一定的方式组织和存储起来,并根据信息用户的需要找出有关信息的过程和技术。也就是说,信息检索包括两个环节和内容:“存”和“取”。狭义的信息检索则专指信息检索过程中的第二个环节,即从信息集合中找出所需要信息的过程,也就是我们常说的信息检索、信息查找或信息搜索等术语。
信息检索按照检索对象的不同又可以分为文献检索、数据检索、事实检索。本文侧重于文献检索,即通过检索文献来获取所需要的信息、知识、情报[1]。
二、高校文献信息检索的必要性
(一)信息的多元化需要师生具备一定的信息评价和筛选能力
在当今互联网、信息化社会,人们无时无刻不在利用信息资源进行生产、生活和创新创造。但面对浩瀚的信息海洋,信息流和信息量越来越多、越来越大,人们进行检索和利用的困难也就越来越大。随着4G网络的覆盖和智能手机的普及,人们轻而易举就能接触各种各样的信息,各类门户网站、微博、微信、QQ等推送信息的常态化,一方面丰富了我们的日常生活,拓宽了我们的视野;另一方面也给我们对于浩瀚无垠的信息的过滤、评价、筛选和运用带来极大的挑战[2]。在纷繁复杂的信息洪流中,哪些是对我们有益的,哪些会给我们带来负面的影响,都要求我们具备一定的信息鉴别和评价的能力,需要我们具备较高的信息素养和信息处理能力。文献信息检索能力成为高校师生应掌握的基本学习技能之一,是继续学习的重要手段,在教学、学习、科研和生活方面发挥巨大作用。
(二)学校对学生的信息素养教育重视程度不够
早在20世纪70年代,联合国教科文组织就对“文盲”下了新的定义:在当今科学技术飞速发展的时代,文盲已不是不识字的人,而是不知道如何获取知识的人。我国国家教委要求,全国各大院校要全面普及开设文献信息检索课,这对大学生普及文献检索知识、提高信息素养、增强信息检索的兴趣、提高信息检索能力都具有十分重要的现实意义[3]。然而现状却是,全国各大高校开设的信息检索课程大部分是以选修课的形式存在,学生自愿选择,主要目的也就是为了修够学分,以这样的方式开展信息教育并不能取得理想的效果,这种重专业、轻信息素养的教育还普遍客观存在。
(三)信息检索助力高校科学研究
科学研究是高等学校重要职能之一,大学对整个社会的科技进步与发展起着重要引领与推动作用。现代科学技术的迅猛发展,各个学科的交叉和渗透一方面促使了新的学科不断涌现,源源不断地出现大量新的知识;另一方面,知识的老化和被淘汰的速度也会越来越快。作为高校科研人员,必须具备一定的信息素养,即敏锐的信息意识、发现高质量信息的能力、信息的选择和评价的能力以及如何正确地引用文献、尊重他人知识产权的能力。作为科学研究者,必须时时了解学科最前沿的动态,掌握最新的知识,这样才能研究出有价值的科研成果,而文献信息检索能力就是科学研究人员必不可少的要素之一。为了减少课题的重复研究,提高研究的成功率,科研人员在研究一项课题之前,必须要进行的相关的资料收集和文献检索。在确定选题之后同样要科学合理运用文献信息检索方法开展文献信息甄别筛选和运用,进行进一步研究,保障研究成果的承续性,进而推动科学研究向纵深发展。
三、高校文献信息检索的策略
(一)分析检索问题
在解决一个问题之前,我们首先要做的就是分析问题,对问题的分析是解决问题的关键所在。分析一个问题我们可以从如下几个方面考虑:首先,提问者是谁。同样一个问题,教师跟学生对内容的层次要求就不同;一个专业性的问题,高校专业教师和学生对问题的要求也会不同。其次,问题的性质。不同的问题对应不同的要求,如果我们对一个概念需要界定,或者需要查找与自己所撰写文章密切相关的文献,这时对概念的界定和对文献的检索就需要“准”。如果我们要做一个论文的选题的确定或者做一个项目的申报、企业新产品的开发,在做这些工作之前,我们需要对前人的研究成果做一个全面的普查,这类型的问题的要求就是“全”。再如,我们要了解某个领域的趋势前沿和最新进展,对这类问题的要求就是查找的资料必须要有新颖性,即“新”。再有,对一些技术性强的问题,如专利的申报、企业新产品的开发、某一项技术的引进等,对这类问题的检索要求是“细”。再次,学科和主题。如果只是单一的某一个学科或主题,那么只需要找到收录这个学科资源的数据库进行检索就可以。但是有很多跨学科领域研究的问题如果只是在一个数据库查找,就会造成资源的不全面。第四,资源类型。我们熟知的资源类型有学位论文、会议论文、期刊论文、图书、专利、标准等等,不同的资源类型收录的特点也不同,如内容的深度、系统性、时效性都不同,研究课题不同,对资源类型的要求也不同。第五,资源的范围。查找资料的时候往往对范围进行限定,范围包括时间范围、地域范围、语种范围等。
(二)选择合适的检索工具
分析检索问题之后,我们需要选择合适的检索工具。常用的检索工具有搜索引擎和商业数据库。搜索引擎它具有检索过程不收费、面向所有的终端用户、对用户检索水平要求较低等特点,常用的搜索引擎有谷歌、百度、搜狗、必应等。商业性数据库的特点有:第一,检索需要收费或者授权,高等学校一般都与相关商业数据库合作,校园网环境下一些商业数据库是可以免费使用的。第二,它们的功能和收录资源的范围有明确的定位,如只能检索专利信息的德温特专利创新索引、只能检索学位论文的ProQuest Digital Dissertations数据库、只能检索会议论文的CPCI、只收录世界上顶尖期刊论文的Web Of Sicence的三大引文索引数据库等。第三,这些数据库都有自己的一套检索技术,因此对用户的检索水平要求较高。除了上述的专业性数据库之外,还有一些因经常使用被我们熟知的综合性数据库,如中国知网、维普、万方等。
除了搜索引擎和商业数据库之外,还有一些其他可以免费获取资源的途径,如主题指南(导航)、数字图书馆、政府的网站(数据库)、电子预印本、博客、微博、机构知识库等途径。因此,我们只有熟知各个不同的检索工具以及它们的特色才能检索到不同的文献类型。 高校师生要立足本职工作和学习需要选取适合的文献信息检索工具,助力科学研究、日常教学和学习生活。
(三)抽取恰当的关键词
选取科学适当的检索工具后,下一步工作就是确定检索关键词。
首先,要确定研究问题有哪些核心关键词(Core Keywords),抽取核心关键词可以依据汉语主题词表,如查询表述具体事物名称的名词术语、事物的状态或现象的名词术语、科学分类的名词术语、研究方法、技术方法的名词术语、工艺方法、加工技术的名词术语、化学元素、化合物、金属材料与合金的名词术语、国家名称、地名、组织机构名称以及文献类型、文献载体的名词术语等。其次,为了保证查全率和查准率,应当注意这些核心关键词有无其他的表述方式,如同义词、近义词、与之相关的词、有无缩写形式或者全称形式、有无相关的组织机构、英文的单数复数形式等,如果有,分别检索。第三,避免用太泛的关键词,应选用专指性很强的关键词。例如,我们要检索计算机软件有关的视频资料,如果我们只输入“计算机操作视频”这样类似的检索式,当然也可以找到一些检索结果,但缺乏针对性。我们不妨直接明确输出我们要学习的.软件的名称,如“Powerpoint 视频”,这样检索出的结果的相关性就要高很多。第四,学会利用专业术语。不同的学科,他们的专业术语表述不同,如信息检索、克隆人、电子图书等都属于专业术语,对这些专业术语进行检索的时候,尽可能加上双引号进行精确检索,可以提高检索结果的相关度和准确度。
(四)构造检索式
确定几组关键词后,下一步工作就是要构造检索式。即要用一定的运算符号将这些关键词连接起来,形成具有一定意义的表达式,也叫检索提问表达式。构造检索式具有一定的专业性,这就需要依托信息检索课和上机课来实现,重点指导学生如何正确构造检索式。构造检索式,可以从以下几个方面考虑:首先要明确检索词之间的逻辑关系,用布尔逻辑运算符AND、OR、NOT将它们连接起来;然后需要考虑检索词之间的位置是否需要进行限定,如果需要则根据不同的检索工具使用一定的检索手段对检索词的位置进行限定;对于一些专有名词,是否需要作精确检索,如果需要则给检索词加上双引号;为了使检索结果更加精准,我们还需要把检索限制在某一个范围当中,比如限制在某个字段,语种、出版年、摘要、题名等不同的字段作一个限定,还有其他的各种限定,如文献类型、机构的域名的类型等等。当然,不同的检索工具可能有自己特有的语法用法,我们应当学会灵活应用和变通不同的检索方法和技巧。
(五)筛选检索结果
通过选取关键词、构造检索式进行检索后,会得到众多检索结果,但在众多的检索结果当中,并不是每一条都是我们所需要的,所以我们要对检索结果作一些筛选。首先,依据结果的相关度,我们得到的检索结果是否与我们要检索内容的主题相关,是否与我们所需要的信息内容的层次、深浅度相匹配;其次,要看作者,即要看作者的权威性和影响力,这直接影响到我们检索到的文献信息的质量,对于一些没有显示作者的网站来说就缺乏一定的严谨性;再次,要看检索结果的时效性,往往最新的观点、新的理论、新的解决方案都来源于最新发表的文献信息。另外,要合理判断检索信息的公正性、准确性,避免使用错误的、缺乏科学论证的文献资料,等等。
(六)调整检索策略
经过前面的检索步骤得出的检索结果当中,如果还是没有理想的检索结果,就需要调整检索策略。首先,当检索结果太少的时候,则需要扩大检索范围。比如看检索词是否有近义词、同义词、上位词,将这些检索词用布尔逻辑语OR来连接,可以很好的扩大检索范围。再如,利用宽容的检索方法检索,像英文单词中经常会有一部分相同的部分,那些可变换的部分就可以用截词检索代替。还有英文名词的单复数形式,如果我们要找“女性”的相关资料,只输入“woman”检索就会漏检很多,还应该对它的复数形式“women”也进行检索。还比如英文的缩写形式,比如我们要找“慕课”相关的文献,如果我们只是输入“慕课”就可能会漏掉相关重要信息,我们还应该用它的缩写形式去检索,输入“MOOC”或者它的英文全称“Massive Open Online Courses”,这样分别去检索才不会遗漏掉重要文献资料。如果是因为我们的限制太多导致检索结果太少,那么可以考虑去掉一两个限制。因为每一个检索工具收录的范围和内容有一定的侧重点和有限性,所以我们也可以考虑更换不同的检索工具进行检索。其次,当检索结果太多的时候,我们也应该采取一定的措施缩小检索范围。例如用布尔逻辑运算符AND和NOT连接检索词,用AND多加几个检索词进行限定,或者用NOT排除一些限定;使用检索词的下位词进行检索;对一些专有名称,专业术语加上引号进行精确检索也可以缩小检索范围,从而实现更精确地检索;对检索词加上一定的限制,如对它的时间、机构、网站、文献格式等进行一个限制;除此之外,我们还可以利用检索工具本身所具备的二次检索功能来筛选检索结果,从而缩小检索结果。
(七)求助专业人士
如果通过上述途径仍然不能取得理想的文献信息资料,我们可以通过一些掌握现代技术的、具有丰富科学研究经验的专业人士来获取我们想要的文献信息。例如,有很多图书馆的网站主页上都会有在线咨询的功能,我们可以通过在线咨询的服务功能从图书馆员那里获取文献信息资料。很多图书馆都开通了馆际互借的功能,通过馆际互借,我们可以共享很多成员馆的文献信息资源,而这些庞大且宝贵的文献信息资源经常会被老师们和学生们忽略掉。再如,我们还可以求助一些在线的问题回答类的网站,像百度知道、知乎等,还有国外比较权威的网站像AIIExperts等,通过询问这些网站上的一些权威专家,也可以为我们的学习和研究提供宝贵的意见。
总之,互联网是一个非常开放的空间,如果善于应用,我们不仅可以贡献自己的经验和智慧来为他人服务,我们也可以共享他人的智慧来为我们自己的研究和学习服务。
四、结语
信息检索的最终目的是通过解决各种各样的问题,进而提高学习和科学研究能力。正如美国文献家赫伯特所言:“知识的一半,是知道到哪里去寻找它。明日的文盲,不是不能阅读的人,而是缺乏检索能力的人。”互联网时代文献信息检索能力比文献信息本身更重要。来自美国的非盈利性机构“今日信息科学网站”的一份报告“Information Literacy A Skill for Life”也在呼吁互联网时代新的技能,即媒体与信息素养。由此看来,信息素养的培养不光适用于高校信息素养教育,同时也具有世界性的重要意义。文献信息知识伴随着社会的发展而迅速更新和积累,高校应强化对信息检索的指导,提高信息检索能力,助力高校教学和科学研究。
五、参考文献
[1]陈振标.文献信息检索、分析与应用[M].北京:海洋出版社,2016:19.
[2]陆和建,姜丰伟.新信息环境下高校信息检索课教学方式的优化策略[J].大学图书馆学报,2015(2):96—99,112.
[3]万爱群,杨红.浅谈开设《信息检索与利用》课程的必要性[J].广西质量监督导报,2007(6):105—118.
国际信息安全法律研究论文
摘要:众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种联网的计算机,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。 关键词:网络信息安全 防火墙 数据加密 内部网 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。 一、网络信息安全的脆弱性 因特网已遍及世界180多个国家,为亿万用户提供了多样化的网络与信息服务。在因特网上,除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外,网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。 然而,伴随着信息产业发展而产生的互联网和网络信息的安全问题,也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前,全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题。 互联网安全问题为什么这么严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,我们可以归纳为四个方面:互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。 (一)互联网是一个开放的网络,TCP/IP是通用的协议 各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束,迅速通过互联网影响到世界的每一个角落。 (二)互联网的自身的安全缺陷是导致互联网脆弱性的根本原因 互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。比如,系统的缺省安装和弱口令是大量攻击成功的原因之一。 (三)互联网威胁的普遍性是安全问题的另一个方面 随着互联网的发展,攻击互联网的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,因此攻击者也更为普遍。 (四)管理方面的困难性也是互联网安全问题的重要原因 具体到一个企业内部的安全管理,受业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间,虽然安全事件通常是不分国界的,但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制。跨国界的安全事件的追踪就非常困难。 二、网络安全的主要技术 (一)防火墙技术 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(securitygateway),从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。 1.防火墙的技术实现 防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。 防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。现在,防火墙技术的研究已经成为网络信息安全技术的主导研究方向。 2.防火墙的特性 从物理上说,防火墙就是放在两个网络之间的各种系统的集合,这些组建具有以下特性: (1)所有从内到外和从外到内的数据包都要经过防火墙; (2)只有安全策略允许的数据包才能通过防火墙; (3)防火墙本身应具有预防侵入的功能,防火墙主要用来保护安全网络免受来自不安全的侵入。 3.防火墙的使用 网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,近期,美国网屏(NetScreen)技术公司推出了第三代防火墙,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。 需要说明的是,并不是所有网络用户都需要安装防火墙。一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网、公司网,才建议使用防火墙。另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。 (二)数据加密技术 1.数据加密技术的含义 所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进入TCP/IP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。 2.常用的数据加密技术 目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。3.数据加密技术的发展现状 在网络传输中,加密技术是一种效率高而又灵活的安全手段,值得在企业网络中加以推广。目前,加密算法有多种,大多源于美国,但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。 (三)访问控制 1.身份验证 身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。 2.存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。 三、常见网络攻击方法及对策 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。 (一)网络攻击的步骤 1.隐藏自己的位置 普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。 2.寻找目标主机并分析目标主机 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。 3.获取帐号和密码,登录主机攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。4.获得控制权攻击者们用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。5.窃取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。(二)网络攻击的常见方法1.口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。2.放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。3.WWW的欺技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺的目的了。
论电子商务中网络隐私安全的保护 [摘 要] 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题,对网络隐私数据(网络隐私权)安 全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议、P2P技术成为网络 隐私安全保护的有效手段。 [关键词] 电子商务;网络隐私权;信息安全技术;安全协议;P2P技术;安全对策 随着电子商务技术的发展,网络交易安全成为了电子商务发展的核心和关键问题。在利益驱使下,有些商家在网络应用者不知情或不情愿的情况下,采取各种技术手段取得和利用其信息,侵犯了上网者的隐私权。对网络隐私权的有效保护,成为电子商务顺利发展的重要市场环境条件。 一、网络隐私权侵权现象 1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。 2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,、Toysmart和等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。 3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。 4.网络提供商的侵权行为 (1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。 (2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。 5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。 二、网络隐私权问题产生的原因 网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。 1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。 2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。 3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。 目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。 三、安全技术对网络隐私权保护 1.电子商务中的信息安全技术 电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。 (1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。 (2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。 (3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。 (4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。 2.电子商务信息安全协议 (1)安全套接层协议(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。 (2)安全电子交易公告(Secure Electronic Transactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。 (3)安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。 (4)安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。 (5)UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。 技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。 (1)隐私安全性 ①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。 ②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。 (2)对等诚信 为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。 对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。 每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为: Sij=sat(i,j)-unsat(i,j) 四、电子商务中的隐私安全对策 1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。 2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。 3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。 4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。 5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。 6.强化网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。 7.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的技术规范、技术标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。 参考文献: [1]屈云波.电子商务[M].北京:企业管理出版社,1999. [2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000. [3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8). [4]曹亦萍.社会信息化与隐私权保护[J].政法论坛,1998,(1).
信息安全方面的毕业论文,键盘论文网很多的哦,我当时就是找他们的老师帮忙的,非常专业,很快就给我了这里还有些资料1)Internet是目前世界上影响最大的网络,经过国防应用、科研应用、商业和社会应用三个阶段的发展,正在向全球迅速扩张。2)伴随着网络物质实体的发展,网络用户环境、信息政策与法律环境以及社会文化环境也发生着变化。网络环境正在形成并不断演变。3)网络环境下,用户的信息需求在广泛性、多元化的基础上向着综合化与专业化、个性化与精品化的方向发展,用户需要对网络环境下分布的信息资源深层的开发与利用。同时,网络环境下,信息服务也正由传统信息服务向网络信息服务过渡。4)目前的网络信息服务存在着诸多问题,解决分布信息资源的有效服务问题,在网络信息资源的深层开发与利用方面还存在着明显的不足,已经滞后于用户进一步发展了的信息需求。需求牵引服务,网络环境下,信息需求的发展和信息服务的实践呼唤新的服务模式和服务理念,网络信息集成服务应运而生。 5)作为一个全新的研究课题,目前对网络信息集成服务的研究还很不充分,相关的理论研究和实践活动大多分散在不同的领域,领域的研究又各有侧重,对相关概念的表述也略有不同,缺少一般性的、系统的研究。6)本文基于网络信息资源的深层开发与利用,结合信息服务领域和信息技术领域关于网络信息集成服务的研究成果,对网络信息集成服务进行了一次一般性的较为系统的研究,探讨了网络信息集成服务的概念体系、体系结构等问题。 7)网络信息集成服务是指根据某一特定的主题,将相关信息从不同的信息源(无论其地理位)有机地链接成 个整体,并以网络的方式将整个动态过程展示给它的用户,使用户能得到动态的、在时间和空间上一致的面向主题的信息服务。8)用户利用网络信息集成服务时,在前台面对着的将是“一站到位”的计算机界面,而后台则是整体化的信息集成服务保障体系如果还有什么不清楚的,可以参考下键盘论文网。
相关百科
2024-07-04
2024-07-03
2024-07-04
2024-07-04
2024-07-04