安全关键系统范文(精选11篇)
安全关键系统 第1篇
美国数字电影倡导组织(Digital Cinema Initiatives,DCI)于2005年7月颁布了数字电影技术规范DCI V1.0[1],并于2007年4月颁布了修正版本DCI V1.1[2]。DCI规范由好莱坞七家制片公司共同起草、制定。由于这些公司主导着世界数字电影市场的发展,DCI规范受到了全球的电影制片商、发行商、影院经营商和数字电影设备制造商的密切关注。虽然目前我国的暂行技术要求与DCI规范并不完全兼容,但基本框架是一致的,而且将来必然会走向兼容,因而研究DCI V1.1中的关键技术可以为我国的正式数字电影标准的制订提供借鉴。
DCI规范对数字电影从发行母版、压缩、打包、传输、影院系统、投影到安全进行了说明。数字电影安全在整个规范中占据了非常重要的地位。本文根据DCI V1.1,分析了数字电影安全系统的框架,探讨了数字电影安全体系的关键技术——内容加密、内容加密密钥传送、链接加密、取证标记和安全日志,介绍了两种重要的安全设备——安全管理器和媒体块,对数字电影放映环节安全系统进行了深入分析。
1 数字电影安全系统概述
DCI数字电影安全体系中采用的基本技术是内容加密技术和内容密钥管理(即仅对授权用户发送内容加密密钥)。DCI规范安全系统框图如图1所示。其中,DCP为数字电影数据包,KDM为密钥发送消息,TDL为被信任设备列表,SM为安全管理器,MD为媒体解密器,IFM为图像取证水印嵌入器,AFM为音频取证水印嵌入器,DC为解码器,LE为链接加密器,LD为链接解密器。
内容(音频、图像和字幕)采用AES标准[3]加密,然后打成DCP包,传送到各个电影院。内容加密密钥采用RSA公钥加密标准[4]进行再次加密,这个公钥是电影院SM的公钥,加密后在KDM消息中被传送到影院。KDM消息中除了包含再次加密后的内容加密私钥,还包含TDL。TDL用于SM对通过身份验证的安全实体(SE)进行放映授权,只有那些在TDL中的SE才能参与作品的放映。
KDM消息到达影院后,SM用它的私钥对KDM中的信息进行解密,恢复内容密钥。图像、音频和字幕被解密;图像和音频中被嵌入取证标记(Forensic Marker,FM);图像解压缩。图像、音频、字幕通过安全通信信道被传到投影系统。
SM是影院安全体系中最重要的组成部分,数字电影安全管理功能被委托给SM。SM是安全体系中一个逻辑上可分离、功能上独一无二的组件。每个数字影院放映厅都有自己的专门的安全系统,这个安全系统由多个子系统构成,这些子系统都由SM来监管。SM位于图像媒体块(IMB)中,一个数字电影放映厅有一个SM。音频媒体块可以和图像媒体块相互独立,也可以集成在一起。
被解密的内容可能需要从一个SE传输到另一个SE(例如,从图像媒体块传输到投影仪),这些内容在传输到下一个SE之前必须用链接加密(LE)进行保护。到达投影仪之后还需要一个逆过程,即链接解密(LD)。
除了加密和内容密钥管理,取证标记(FM)和安全日志(Security Logging)也是DCI规范安全系统的两个重要内容。取证标记在内容中嵌入跟踪信息,这些信息在后续的合法的或盗版的拷贝中携带。安全日志记录了发行和放映过程中正常的和异常的事件。在调查盗版时,取证标记和日志可以提供取证细节信息。取证标记和安全日志不能阻止内容盗版或其他非法行为,但是取证标记和安全日志提供调查取证的依据。
下面对数字电影安全系统中的关键技术进行分析。
2 数字电影安全系统关键技术
2.1 内容加密
内容(图像、声音和字幕)在从发行方到电影院的传输过程中要被加密。而且,在电影院一直处于加密状态,仅仅在放映时才被解密。图像、音频和字幕分别采用不同的密钥加密。图像采用AES对称加密算法,AES工作在CBC(密码分组链接)模式下,密钥长度为128bit。
针对不同应用,NIST(National Institute of Standards and Technology)为AES算法定义了5种可供选择的操作模式。CBC模式能够防止从具有相同数据的明文产生相同的密文,使得加密处理更加安全。用于对内容进行加密和解密的密钥是相同的。
一旦内容被加密,内容就被认为是安全的。加密后的内容可以通过任何经济、有效的途径传送到电影院。因此,内容管理就转变成内容密钥管理。
2.2 内容加密密钥传送
数字电影数据包(DCP)中包含被加密后的图像、音频和字幕,DCP被送到影院存储起来。图像、音频和字幕的密钥通过另外的途径,可能在不同的时间被传送到影院。密钥发送消息(KDM)用来传输DCP内容加密密钥。
图像、音频和字幕的密钥在打包作为KDM的净荷传输之前,首先要被加密。因此,即使KDM在传输过程中被侦听,也不会危及到内容的安全。图像、音频和字幕的密钥采用RSA公钥加密算法加密,RSA公钥密码长度为2048bit。
SM解密KDM的净荷,得到内容解密密钥。SM必须确保内容解密密钥不被任何其他设备或攻击者获取。SM将这些密钥存放在安全硬件中。如果SM需要临时把密钥存放在安全硬件外的其他存储设备中,SM必须采用对称密钥保护容解密密钥。SM可以选择128bit的AES加密,或112bit的TDES加密。
2.3 链接加密
被解密的内容可能需要从一个安全设备传输到另一个安全设备(例如,从图像媒体块传输到投影仪),这些内容必须用链接加密(LE)进行保护。
SM为LE和LD安全实体提供链接加密用密钥。在此之前,要对这两个SE进行身份验证,确保链接密钥只提供给出现在TDL上的合法设备。
DCI规范规定,链接加密可以采用128bit的AES加密,或112bit的TDES加密,AES密钥由SM产生。密钥产生过程本身必须是安全的,因此必须遵从IETF RFC 3447[5]的要求。
每一次放映的链接加密密钥必须重新产生。
2.4 取证标记
DCI规范要求每一个图像媒体块(IMB)和音频媒体块(AMB)都要有嵌入取证标记的能力。通常说的“水印”和这里说的“取证标记”不是一回事。取证标记包括水印、指纹或在放映时用到的取证用的其他手段等。DCI规范规定了嵌入数据的最小比特数和图像、音频的保真度要求,但对鲁棒性没有给出具体要求,也没有指定嵌入取证标记的具体技术方案。
取证标记数据净荷至少为35bit,且必须包含时间戳和位置信息。
对于图像来说,取证标记要满足以下要求:透明性(即取证标记对观众来说不可见);鲁棒性(即应能抵抗各种视频处理攻击:数模和模数转换、重取样和再量化、一般的信号处理操作、共谋攻击、格式转换、改变帧频和空间分辨率、摄影机捕捉后低码率压缩等)。
对于音频,取证标记同样要满足透明性(即在严格的测听测试中不存在感知差异)和鲁棒性。音频鲁棒攻击包括:数模和模数转换、音频信号在影院内的射频传输和红外传输、声道的任意组合、声道的重采样和下转换、时域拉伸和基音改变(在改变基音的同时不改变信号的长度,或者在改变信号长度的同时不改变基音)、10%以内的时域拉伸(线性速度变化)和4%以内的基音不变的时域拉伸、样本去除、非线性幅度压缩、加性或乘性噪声、频响失真(如均衡)、添加回声(Echo)、带通滤波、抖颤失真(Flutter)和频率偏差失真(Wow)、原带配音(Overdubbing)等。
2.5 安全日志
一场电影放映的准备和执行过程会产生一些信息,这些信息可用于安全控制和法庭取证。这些信息,构成了“安全日志”。安全日志是DCI安全体系中一个重要的组成部分。DCI规范的原则是“轻控制、重审查”。“轻控制”意思是,版权所有者除了指定放映次数(Engagement Window),放映位置和被信任设备列表(TDL)以外,不控制电影怎么放映、什么时间放映。但是版权所有者要求电影院提供电影放映日期/时间、电影放映方式的安全日志,和安全系统状态日志。
所有的安全设备(SE)被要求记录安全事件,如设备上电、断开,传输层安全(TLS)会话的建立和中断,解密、解码或取证标记操作的开始和结束等。另外,安全日志还要记录所有的篡改检测和安全组件的维护。
安全日志包含日志记录(Log Record)和日志报告(Log Report)。日志记录用来记录一个与安全或取证相关的事件。日志报告包含一条或多条日志记录,这些日志记录时间上连续。
日志记录为XML结构。一份日志报告至少包含一个SE的被顺序编号的日志记录。如果日志报告涉及到多个SE,则每个SE的日志记录单独编号。每条记录包含3个XML节点:头、内容和签名。这种结构允许有效的认证,同时支持机密信息的去除,即日志记录的过滤。
必须保证日志数据不被未授权设备更改或删除。传统方法是采用私钥加密,但加密运算量很大。DCI规范采用hash链[6]的方法保证日志的完整性,同时显著降低了运算和存储要求。
3 数字电影安全系统关键设备
DCI系统中包含许多为安全提供保障的设备(安全设备,Security Entity),每种SE执行一种特定的安全功能。安全管理器(SM)是数字电影安全体系中最重要的部件,负责管理放映厅的所有SE和所有安全数据(如密钥、安全日志等)。媒体解密器(MD)把加密后的图像、声音解密成最初的明文。链接加密器(LE)在放映环境内不同的物理设备之间传递内容时,对内容进行加密。链接解密器(LD)解密被LE加密的内容。取证标记嵌入器(FM)在影片回放时在图像和音频中实时嵌入取证标记(即嵌入回放的时间、日期和位置)。安全处理块(Secure Processing Block,SPB)对包含在SPB内的其他SE提供物理安全保护。
MD、LE、LD和FM在第二部分已经进行了介绍,这里介绍安全管理器(SM)。媒体块(MB)是SPB的一个具体实例,是数字电影安全系统中一种重要的安全设备,尤其是图像媒体块(IMB)。因此,有必要介绍MB。
3.1 安全管理器
DCI安全体系中包含许多安全设备,其中最重要的是安全管理器(SM)。SM协调安全系统中所有安全设备的工作。SM负责对其他安全设备进行身份认证。SM在和每一个其他安全设备进行通信之前,首先要建立一个安全的通信信道。SM还负责确认每个安全设备的授权。
SM必须确保只有符合DCI规范的安全设备才能参与安全操作。SM通过检查设备的数字证书实现设备身份认证功能。数字证书由设备制造商发布,用设备制造商的私钥进行加密。数字证书包含设备的公钥和一套数据,包括制造、模型、设备通用唯一编号(UUID)和数字证书的序列号。数字证书中还包括该设备在DCI数字电影系统中起什么作用的信息,即设备的角色信息。
用设备制造商的公钥解密数字证书,SM能确认数字证书由该制造商发布,得到设备的公钥,获取设备身份信息。数字证书代表了设备制造商的承诺,该设备符合DCI对相应角色的要求。
设备制造商也可以不用私钥加密整个数字证书,而是对数字证书进行数字签名。有很多种不同的数字签名算法,但是所有的数字签名算法,都要计算数字证书的hash值,即摘要。设备制造商用私钥加密摘要。当接收到数字证书时,数字签名用制造商的公钥解密。计算出的数字证书的摘要要和数字签名中包含的摘相比较。通过上述过程可以证实数字签名的Originator和数字证书的完整性。
数字证书的使用和第三方提供的身份验证(Certificate Authority,CA)的使用一致。因此,数字证书使用的格式也是IETF X.509版本3。对数字证书采用SHA-256算法产生摘要,对数字证书的摘要进行RSA公钥加密。
数字电影安全系统中,SM有责任建立SM和通过身份验证的安全设备的安全的通信信道。生成会话密钥,交换参与会话的双方设备的公钥或私钥对。这个过程确保窃听者不能获取被交换的密钥。会话密码接着被用来加密这两个设备之间的通信。
上述过程通常被用来进行安全网络通信,DCI采用传输层安全协议(Transport Layer Security,TLS)。事实上,既然TLS协议要求数字证书的交换,这些数字证书的验证、TLS会话的建立包含前一小节描述的设备身份验证过程。换句话说,当设备身份验证和安全通信信道创建作为两个单独的步骤时,实际上他们在建立一个TLS会话的过程中同时被执行。
一旦TLS会话被建立,SM就知道了安全系统中其他安全设备的身份。但是,SM不知道这些设备是否值得信任。SM只信任版权所有人信任的特定的设备。版权所有人为每个影院和每个影院的每一套投影设备建立一个受信任设备列表(TDL)。
TDL被包含在KDM中发送。TDL识别特定的安全设备,这些设备被授权放映特定作品,TDL也说明了被授权设备的角色。版权所有人通过从TDL中除去某个设备,可以很容易的撤消对相应设备的信任。
3.2 媒体块
媒体块(MB)是数字电影放映链中一个关键的部件。MB的一个基本功能是内容解密,即图像解密或声音解密。一个或多个MB把被打包、压缩、加密的数据还原成原始图像、声音和字幕。
MB可以在服务器上实现,或集成到投影系统,也可是一个独立的设备。如一个放映厅同时存在IMB和AMB,则要求该放映厅的SM位于IMB中。
IMB被要求包含SM、图像内容的取证标记嵌入(FM)和图像解压缩(DC)。如果IMB没有包含在投影系统中,IMB中还要求包含链接加密(LE)功能。
声音解密可以在IMB中实现,也可以单独在AMB中实现。AMB要具备声音取证标记嵌入功能。和IMB一样,如果AMB没有包含在投影系统中,AMB中也要求包含链接加密(LE)功能。
所有MB都得具备安全日志(Logging)功能。
MB与安全相关的功能,必须位于物理保护(SPB类型1保护)范围之内。
4 小结
数字电影相比胶片电影更容易拷贝和传播,盗版对内容提供商的权益和积极性有极大的影响,因此安全问题对数字电影的发展至关重要。本文对数字电影安全系统中的关键技术进行了阐述,对我国数字电影标准的制订和数字电影的发展具有重要的借鉴意义。
参考文献
[1]Digital Cinema Initiatives,LLC.Digital Cinema System Specification V1.0,2005.7
[2]Digital Cinema Initiatives,LLC.Digital Cinema System Specification V1.1,2007.4
[3]NIST.Advanced Encryption Standard(AES).Federal Information Processing Standards,2001
[4]Rivest R,Shamir A,Adleman L.A method for obtaining digital signatures and public-key cryptosystems.Communications of the ACM,1978,21(2):120~126
[5]Jonsson J.Kaliski B.IETF RFC3447.Public-Key Cryptography Standards(PKCS)#1:RSA Cryptography Specifications Ver-sion2.1.February2003
成功关键系统 第2篇
一套在美国被禁达70年的神奇课程 造就比尔·盖茨等巨富们的财富课程
你想更加快乐吗?你想更加成功吗?你想更加富有吗?你想获得人生的终极智慧吗?你想知道所有这一切的秘密吗?
你知道吗?获得成功最重要的不是知识、不是努力、不是坚持...真正成功的人是那些有着最高精神领悟的人!
终于!...你可以从一套稀世珍贵的精神训练课程中学习,它是有记载的历史以来最成功的商业人士经过深思熟虑而写成的,它是20世纪盛行的最强大有力的成功课程,里面包含着一个惊人的秘密...
你想想看,为什么世界上1%的人,却拥有全球96%的总财富呢?你以为那只是意外吗?那是有原因的。他们知道某些事情,他们明白这个秘密。
千百年来,这个秘密曾被埋藏,这个秘密曾被查封,这个秘密令人窥视,这个秘密遭到禁止。知道这个秘密的人,都是历史上最伟大的商人、企业家、科学家等等。
19,这个被深埋的秘密再一次被重新发现。一个使那些掌握它的人获得最远大的全面成功的秘密,富有的企业家、政治家、工业领袖纷纷聚集到掌握这个秘密的人那里,因为这个秘密,他们支付给他大笔金钱,他们享有无可比拟的成功,他们成为各个时代最伟大的人...
19,第一次世界大战爆发,知道这个秘密的人受到重点保护。
1929年,大萧条使美国遭到重创,知道这个秘密的人依然繁荣。
1933年,天主教会知道这个秘密,这个秘密立即被教会禁止传播。
从那以后,这个秘密就一直只能在一小部分人群中偷偷的传播。比尔·盖兹就是其中的一个幸运儿。
比尔·盖兹还就学于哈佛大学时无意中了解了这个秘密,受到其内容的影响与启发之后,决定辍学创立微软公司,实现他那“让每个家庭都有个人计算机”的梦想。 之后发生了什么事你一定也知道棗 他成为世界上最有钱的人。
如果您对“成功”这件事有兴趣,那么必然读过或至少听过《思考致富》这本书。作者拿破仑·希尔受当时最成功的企业家之一:钢铁大王安德鲁·卡内基之托,用尽一生心力研究成功人士的共通特质,他的诸多著作都被视为成功学经典,而他自己也被誉为是“成功学之父”。 然而,连他都认为,他所有的成功都归功于他知道了这个秘密。
这个秘密究竟是什么呢?如果你知道了这个秘密,你就能得到所有你想要的东西,幸福,健康,财富。你能拥有你想要的东西,干你所想干的事情,成为你想成为的人。我们能拥有我们所选择的任何东西。
你想住什么样的房子?你想成为百万富翁吗?你想经营什么事业?你想有更多的成功吗?你到底想要什么?我看到很多奇迹发生在知道这个秘密的人的生活中。财产上的奇迹,身体康复的奇迹,心理康复的奇迹,感情修复的奇迹,所发生的一切,都是因为知道了如何运用这个秘密。
这个秘密到底是什么呢?它就是世界上最伟大的商业课程《成功关键系统》。
1909 年的时候,纽约商业协会邀请当时最成功的企业家查尔斯·哈尼尔博士授课,查尔斯·哈尼尔博士潜心研究,将自己多年从事商业研究和个人潜能开发的精华体验浓缩成28堂课程。参加这些课程的学员很快都成为那个时代最杰出的商人,而他的这一套课程曾有报道说卖到1500美元,这在当时相当于普通工人两年的工资总数。
那些学习过他的课程的商人全都成为极其有钱的富翁,并且他们请求哈尼尔不要泄漏这个课程给一般大众,以防他们也运用它具有神奇力量的秘密。
在1933年被教会禁止之前,这套课程的受益者已经高达十几万人。当你学习此课程后,你会立即明白为什么教会统治集团显得焦虑不安,以及害怕失去他们虔诚而且极其有利可图的对“上帝和万物精神”的控制。
从那以后,这套课程似乎已经从社会上所有记录中消失!
为什么《成功关键系统》课程这么强大而有力?
《成功关键系统》包含所有鲜为人知和常被误解的神秘真理,所有最最伟大的实业家、金融家、艺术家、发明家和来自各个阶层的成功的人们已经运用它们把他们自己从碰运气般的生活中提升出来,从而进入到一个他们满有把握、确定无疑地取得他们渴望的结果的境地。这些教导已经把最困窘的人们和企业从迫在眉睫的挫败及急剧膨胀的妄自尊大中拯救出来,进而取得令人瞩目的巨大财富。
《成功关键系统》揭示的神秘真理是最强大有力的人生成功的蓝图,你会永远把你的双手放在上面而耕耘不止。
《成功关键系统》不同于任何你已学过的成功课程。假如你经历过毁灭性的失败,那也没有关系。《成功关键系统》可以在短短几个月之内帮助你转变而取得令人震惊的成功。
你还有机会听到这套消失近70年的课程吗?
自从1933年本课程被禁以来,就似乎从市面上消失了,直到20世纪70年代,这套神秘的课程再次在硅谷浮现,有人开始和哈尼尔博士一样开始传授这28堂神秘的课程。
根据《城市商业》杂志报道,来自硅谷的大多数成功企业的领导都参加过这个神秘的课程。而课程的原始版本笔记更以昂贵的价格在人们手中传递。
早年,在硅谷参加《成功关键系统》的课程需要花费10万美金。而今天,由纽约商业协会开办的本课程每年只招收10位学员,学费高达60万美金,只有世界500强的CEO和最杰出的人才有机会学习它。
《成功关键系统》已经引起人们疯狂般的抢购!
无论这套课程在事实上是多么富有力量且似乎具有自己的生命,可它仍然只是在极少数人手中可以见到,今天,原版的《成功关键系统》大多被收藏家与大企业家珍藏着。
非常幸运的是,我们几经波折有幸得到了一套,当我们把《成功关键系统》翻译制作成中文课程时,定价10万元一套,只卖给中国最有钱的人,结果定制的30套三天之内销售一空!
安全关键系统 第3篇
关键词:电力信息系统;安全管理;虚拟专网
中图分类号:TM76 文献标识码:A 文章编号:1671-864X(2015)10-0204-01
电力信息系统信息安全管理水平,主要受各种安全管理技术及其运用的影响,一般来说安全管理技术运用的越多、越合理,信息安全水平也就越高。其中的关键技术有很多,但主要集中在安全隔离技术、系统级安全技术等方面上。
一、安全隔离技术
(一)物理隔离技术。
物理隔离是在物理上将电力信息系统与因特网隔离开,控制内部网与外部网之间的连接,通过防火墙、代理服务器直接和间接隔离。这种方法是方案病毒、黑客入侵、拒绝服务等网络攻击最简单、最有效的手段。从目前国内电力信息系统物理技术技术的运用来看,一般是在安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间设立物理安全隔离层,从而为电力信息同划定了一个安全便捷,增强了整个网络系统的可控性,结合安全管理、监测、审计等技术,可以有效的预防攻击发生和准确的确定网络攻击 的来源,尤其是来自内部的攻击。物理隔离技术主要分为两类,也就是时间隔离系统和安装网络隔离卡。其中,国内主要采用前一种技术,也就是通过转换器根据需要在内外网之间进行切换,达到内外以往之间的通信要求,主要是由物理隔离转换装置、数据暂存区等组成,其中还要运用防火墙技术、基于内核的入侵检测机书、安全皂搓技术等,从技术特点来看比较复杂,效果也比较好。第二种技术应用也比较广泛,也就是通过虚拟技术将一台机器模拟为两台机器,虚拟的两台机器当中有公共与安全两种状态,这两种状态是安全隔离的,硬盘也被划分为安全和公共两个分区,甚至可以安装两个硬盘。技术难度比较低,但是对计算机性能的要求比较高,有时候并不能避免人为操作带来的危險,并且建设的成本相对也比较高。
(二)防火墙技术。
防火墙是在内网与外网之间的一道安全屏障,主要预防潜在的破坏入侵,主要是通过检测、限制和更改经过防火前高的数据流,防止破坏性的数据流进入内网,对外网屏蔽内网的信息、运行等情况。目前,大多数操作系统内部都嵌入了防火墙,主要有数据包过滤、应用级网关管理、代理服务等功能。其中,数据包过滤是主要功能,在过滤的过程中由系统判断其安全等级,这就需要预先设置过滤逻辑,在数据包到达防火墙以后也被存储在缓存区之内,由防火墙根据安全逻辑判断数据包源地址、目的地址、端口号和协议状态等因素,以判断书否允许其通过。有的防火穷有主动识别技术,不同人工操作就可以阻止,有的则需要人工操作才能完成。当然,目前操作系统内嵌的防火墙的作用大大降低,但是可以安装一些专业级的防火墙,有些专业的防火墙软件可以通过定期的更新、打补丁等方式,对黑客入侵、病毒等起到有效的预防作用。
二、系统级安全技术
(一)操作系统安全。
任何一个计算机首先要安装的就是操作系统,电力信息系统当中每一台计算机都有自己的操作系统。在安装操作系统的时候绝大多数公司都购买了正版软件,能够使用系统自带的安全加固措施和防火墙,并能够定期更新。但也有少数电力企业为了降低成本使用了盗版安装软件,安全性上比较差, 并且多数本身就带有病毒、木马程序等,这一点应该引起电力企业的注意。同时,电力信息系统所使用的操作系统多数是专业级,在使用过程中应该在不同的平台上应用操作安全管理。比如说使用nuix平台,要完善和优化用户管理,在Windows平台上要开题用户权限、限制部分用户访问功能,当然所有的计算机都应该安装专业级正版杀毒软件。
(二)数据库系统安全。
数据库系统安全是信息安全管理的最后一道物理防线,并且其它安全技术都是建立在数据库的基础之上的,这就决定了数据库系统安全的重要地位。现在,很多电力公司在信息系统建设当中,忽视了数据库系统安全,当黑客破译其它技术以后,就能直接入侵数据库进行破坏。在数据库系统安全当中,电力企业在信息系统建设当中有两种选择,也就是集中控制和分散控制。集中控制是通过单个授权者来控制系统的整个安全维护,分散控制是将管理程序控制数据路的不同部分单独进行控制,在此基础上形成最小特权策略、最大共享策略、开放与封闭系统、按名存取策略等功能,不同的策略安全防护级别和内容有较大的差异。最小特权策略只能了解与自己相关的信息,最大共享策略是在保证信息保密控制条件下实现最大共享,但并不能随意存储信息,按名存取策略是按照操作者的名字对应的权限范围内存取信息等,对应不同权限的操作者,实现从外部操作上保证数据库系统的安全。
总之,电力信息系统信息安全管理关键技术比较多,在应用的过程中需要根据系统安全管理的需求,以及系统的特点确定使用何种技术,以最大程度的保障信息安全。
参考文献:
[1]余洋. 电力信息系统动态访问控制研究[J]. 制造业自动化. 2012(21)
安全关键系统 第4篇
目前在电力系统中越来越广泛地应用到了电子信息和计算机网络, 电力系统也具有越来越高的电力自动化程度。确保电力系统工快捷、通畅、稳定以及正常运行的关键就是其中的各项运行参数, 所以必须要采取有效的措施确保这些信息的安全性, 防止这些信息丢失或者被篡改。在这一背景下, 电力系统的信息安全防护工作受到了人们的普遍重视, 尤其是在智能电网迅猛发展的今天, 信息安全显得尤为重要。
1 电力系统的信息安全现状分析
作为一个庞大、复杂的网络系统, 电力系统运行的安全可靠性对供配电工作具有极大影响。要想使电力系统的运行的可靠性和安全性得到保障, 就必须要高度重视电力系统信息安全, 从而有效地避免电力系统的运行受到有害信息和恶意攻击的干扰, 并且使电度自动化系统实现安全正常运行。电力信息系统安全具有非常广泛的涉及范围, 其包括生产、传输、分配电力等一系列的环节, 属于一个具有复杂管理程度的工程。我国对电力系统的信息安全非常重视, 并且在国家信息安全示范工程中纳入了电力系统的信息安全。尽管我国在电力系统信息安全方面投入了较多的人力和财力, 但是现在电力信息系统信息安全工作中还是具有较多的问题: (1) 不规范的系统信息安全管理。由于不具备一整套的标准、规范、系统的管理系统, 因此无法对系统信息安全工作进行科学合理的指导; (2) 薄弱的信息安全意识。在一些电力信息系统中只是对防病毒软件和防护墙进行了安装, 并没有关注对信息安全技术和策略的研究, 因此无法及时地解决一些新的信息安全问题; (3) 没有做好统筹规范系统信息安全的工作, 因此导致电力系统中具有较多的信息安全隐患, 使得电力系统的运行安全受到了较大的威胁[1]。
2 电力信息系统的安全关键技术分析
2.1 安全隔离技术
要想避免电力信息系统受到各种各样的攻击和威胁, 就必须要对安全隔离技术进行应用。目前安全隔离技术在电力系统中包括一系列的技术类型, 这些技术能够使电力信息系统的安全稳定性得到了有效的保障。
2.1.1 协议隔离技术
所谓的协议隔离技术主要是通过协议隔离器完全分离电力信息系统的内部系统和外部系统, 进一步的确保内部系统的安全性。因为电力信息内部系统能够通过接口的方式连接外部系统的网络, 协议隔离技术能够使其外部网络与内部网络两者之间具备一种合理的连接机制, 一旦系统的内外部之间具有通信需要, 这时候就能够将专属的密码输入进去, 从而使内外部之间产生有效的连接, 并且传输信息;如果内外部系统并未产生通信需求, 这时候就会自动的断开两者之间的连接, 因此该技术可以确保电力信息系统实现安全可靠的运行。
2.1.2 身份认证技术
所谓的身份认证技术主要就是将特定用户的信息登录在主机或者终端上, 这样用户在进行后续的操作时就可以通过信息认证的方式在内部的信息系统中进入, 一般来说, 认证的方式包括密钥、指纹、口令、智能卡等各种方式。在广义的网络中登录时通常都是采用证书授权的方式, 通过这种方式授权中心的所有用户就可以利用签名的方式获得一个独特的密钥, 从而将信息系统加密的信息数据获得[2]。图1为身份认证技术示意图。
2.1.3 物理隔离技术
如果系统的内部网络和外部网络两者之间发生直接连接, 就有可能会引发黑客侵入系统的问题, 最终导致系统信息被破坏或者丢失。所谓的物理隔离技术就是通过对物理学方法的利用间接或者直接的分离系统的外部网络和内部网络。在具体应用物理隔离技术的时候电力管理人员要针对电力系统进行合理划分, 使其形成不同的安全区域, 要以企业的具体情况为根据以确定具体的划分层次的数量, 同时再运用实时监控技术就能够使系统的信息安全得到有效地保障[3]。
2.1.4 防火墙技术
由包过滤路由器、应用层网关、电流层网关等技术共同构成了防火墙技术, 在电力信息系统的安全防范技术中防火墙技术具有十分重要的作用。作为一项比较复杂的系统, 防火墙系统的主要构成方式就是将一个无形的屏障建立在外部网络与内部网络之间, 由各种软件和硬件共同组成了这一屏障, 从而使电力信息系统的内部网络与外部网络之间形成一种比较安全的沟通方式。图2为防火墙技术示意图。
2.2 加密技术
电力系统在传输各种信息的时候很容易出现信息被窃取、篡改或者迟滞的问题, 通过信息加密技术则可以使上述的问题得到有效的解决。
2.2.1 RSA数字签名技术
在进行密钥的管理和分发的工作中RSA数字签名技术具有非常大的应用优势, 其不仅非常简便, 而且具有较少的成本投入。因为这种技术具有公开的密钥, 所以其能够使密钥的分配和保存问题得到有效地解决。在电力信息系统中应用RSA数字签名技术能够形成较强的稳定性, 而且在进行数字签名的时候也非常方便。
2.2.2 DES加密技术
作为一种比较简便的加密技术, DES技术具有非常快的加密速度, 通常其加密速度能够达到几十兆比特。在应用DES加密技术技术的过程中, 电力企业可以通过较低的成本高效的加密信息系统, 目前在电力企业的信息管理系统中已经广泛地应用到了该技术, 而且发挥了非常重要的作用。与此同时, DES技术也存在着一定的不足, 比如其在分发和管理密钥的时候比较复杂, 而且要想对该技术进行全面地利用, 就要将较多的资金成本投入进去, 这样就使得电力企业的管理压力变得比较大[4]。
2.2.3 共用两种技术
上述的两种加密技术都比较先进, 因此现在很多电力企业都混合使用两种技术, 将混合式的系统加密模式建立了起来, 这种模式可以更加科学合理的分配和管理密钥, 并且有效地提升运算的速度。
3 电力信息系统安全技术应用注意事项
3.1 做好存储密码的设置工作
在电力信息系统的安全工作密码的安全具有十分重要的作用, 目前必须要确保密码具有10位以上的位数, 而普通用户的密码则要有8位以上的位数, 同时还要通过随机穿插数字、大小写字母和其他各种符号的方式设定密码, 要注意不能采用比较容易破解的名字或者生日等作为密码。
3.2 及时更新网络安全框架
在信息安全方面电力企业的信息网络具有一定的特殊性, 而且面临着比较严重的安全威胁, 一旦没有处理好电力信息系统的安全问题, 就会导致出现重大的损失。为此, 必须要及时的更新电力信息系统的网络安全框架, 应用更加智能化的防火墙技术、更加优越的病毒查杀软件、入侵检测系统、密码算法等, 全面地提升电力信息系统的安全性。与此同时, 在这些技术的基础之上, 电力企业还要制定完善的员工安全防范培训机制和安全体系, 只有这样才能够确保系统信息的安全。
4 结语
在智能电网建设不断加快的今天, 电力企业要对信息安全关键技术的应用予以高度重视, 采取有效的措施使电力信息系统的信息安全得到有效保障, 全面地保证供配电的正常开展以及电网的安全运行, 使企业获得良好的经济效益和经济效益。
摘要:在我国智能电网建设越来越快的今天, 电力系统对电子信息和计算机网络也具有了越来越高的依赖程度, 同时也面临着越来越大的信息安全风险, 一旦出现安全事故就会极大的影响到电力生产的安全性。基于此, 本文立足于保护电力信息系统安全的目标, 对目前我国电力系统的信息安全现状进行了分析, 并且介绍了电力信息系统信息安全关键技术, 希望能够有效地保障电力信息系统的信息安全。
关键词:电力信息系统,安全,关键技术
参考文献
[1]魏奇峰, 屈瑶, 饶艳青, 夏炳增.开放互联网电力信息系统的特点、安全风险与防护对策[J].企业技术开发, 2015 (17) .
[2]赵飞.电力信息系统安全体系的构建[J].电子技术与软件工程, 2013 (22) .
[3]梁天乐.电力信息通信在建设智能电网中的重要性探讨[J].硅谷, 2014 (23) .
稳像系统关键技术归纳 第5篇
摘要:随着光电监视、跟踪、侦察系统使用要求的不断提高,对光学图像的稳定要求也日趋严格。图像不稳定的实质是摄像系统的光轴与目标之间有无效的相对运动,包括平移和角运动,其中相对角运动对图像的影响尤为严重,论述了现在采用的两类稳像方法,并对新一代的稳像技术——电子学稳像作了概要的介绍,阐述了平台稳定方法和电子学稳像技术在应用中的技术难点。
关键词:摄像,稳像,瞄准线 引言
图像稳定技术包括摄像机、导引头、火控武器的瞄准线等的稳定。用于人眼观察的摄像系统,图像的不稳定会使观察者产生疲劳感,进而容易导致误判和漏判;对于目标自动识别与跟踪系统会导致动态跟踪误差增大,降低跟踪目标的能力。引起摄像系统光轴与目标之间的角运动有两种情况:一种是目标的运动,另一种是载体的运动。通常摄像时目标距离摄像机较远,因目标运动而造成的相对运动较小;然而载体姿态的变化会完全传递给摄像系统的瞄准线,其造成的相对角速度很大。两者相比,前一个因素可以忽略,所以稳像系统一般都只考虑隔离载体运动。现在使用的方法主要有光学的方法、光学和电子学结合的稳定平台主动补偿方法以及电子学稳像的方法。
在相当程度上,稳像技术就是要隔离外部对摄像机的扰动,最直接的方法是将摄像系统架设在减振装置上,但是其缺点是减振器只能隔离载体的高频低幅振动,并且经过减振以后的窄带随机振动都在系统的固有频率附近,若谐振频率在系统带宽之内将使图像始终都在不断地抖动,所以必须提高系统的刚度,保证系统谐振频率远大于系统的带宽,低频振动极易使摄像系统丢失目标,解决的方法是采用光学系统的方法或图像处理的方法。2 光学稳定方法及其存在的问题
光学稳像的方法主要可分为利用折射元件、利用反射元件、利用结构光学元件作为调整元件的系统。根据稳像元件的位置又分为像空间稳像和物空间稳像方法。在平行光路对视线的控制中,常常可以使用以下的几种方法: 2.1 利用折射元件的方法
使用折射元件的典型方法是利用可变光楔来控制瞄准线的方向,它是由美国 的Dyna-science公司的科技人员最初提出的,根据出射角和入射角之间的关系:
n(n1)
通过移动或转动一个角度为、折射率为n的光楔,使出射光线按近似(n1)的角度改变方向来进行像的随机扰动补偿。可变光楔有三种实现方式:1)使用液体光楔;2)利用两个互补的平凹和平凸的透镜,当在平衡位置时等效于一个平行光板;3)包括两个绕额定光轴相反旋转的固定光楔,两者的组合运动可达到在锥角内作任一个方向的偏转,其极限由光楔的折射率与顶角来确定。
这种稳像技术在日本佳能摄像机中得到了应用。采用可变光楔进行稳像的主要缺点可以归纳为以下几点:
(1)楔形镜补偿只能保证对图像中一个场点的图像运动速度进行补偿;(2)除零位以外的所有位置由于二级光谱的存在,必须对楔形镜消色差和消复色差,因此使补偿器的结构及制造工艺大为复杂;
(3)只有在平行光束中才存在令人满意地工作的可能性,结果大大增加了仪器的体积。
这些缺点限制了楔形镜补偿器在高分辨率的光学仪器中,特别是在侦察设备中的使用,但是在振动较小的环境条件下的电视系统中还是得到了应用。2.2 利用反射光学元件的方法
反射光学元件包括单反射镜、角反射镜。反射镜稳定方法是通过适当的转动一块、两块或多块透镜以补偿由于稳定误差的影响而出现的像移,其中惯性稳定的方法得到了相当广泛的应用,该方法通过陀螺作为敏感元件使其保持空间的稳定,也有采用音叉的方法起传感器的作用。北京理工大学的谷素梅等研制的双目望远镜就是利用屋脊棱镜的横向偏移来稳像的。
反射镜稳定方式较适合小口径的光学传感器系统。要特别注意采用适当的结构设计和光路调整技术,以消除或补偿反射镜和传感器之间的相对运动。在高精度的稳像系统中,仅仅依靠棱镜、反射镜或光楔等被动补偿所达到的稳定精度是无法满足要求的,反射镜单独使用的时候,由于2:1的光机偏转比,加上半角机构的误差,精度难以做得很高,这种稳定方法只能用于中低级精度的稳定系统中,更高精度的稳定系统可以通过平台式稳定方法来完成。3 陀螺稳定平台的现状及其控制技术的发展趋势
平台式稳定方式是通过惯性元件敏感载体的姿态角的变化,其输出信号经过
放大后驱动电机或压电陶瓷来保持摄像机或反射镜、棱镜以保证成像不变。根据消除稳定误差的方式又分为一级稳定和二级稳定两类。3.1 一级稳定
一级稳定技术中的整体稳定得到了广泛的应用,它是采用一个环架系统作为光电传感器的光学平台,在平台上放置陀螺来测量平台的运动,陀螺敏感姿态角的变化经过放大以后反馈给环架的力矩电机,通过力矩电机驱动平台使光电传感器保持稳定。通常整体稳定的方法可分为双轴陀螺稳定平台、三轴陀螺稳定平台和四轴陀螺稳定平台。其中双轴陀螺稳定平台又分为两轴二环和两轴四环两类;由于两轴稳定平台固有的原理误差,它不可能完全隔离载体的扰动力矩,导致瞄准线围绕光轴旋转,当旋转速度较大时会对像质造成严重影响。要完全隔离须采用三轴的陀螺稳定平台,还有一种方法是采用两轴四环的稳定平台,这两种方法在原理上可以完全隔离载体的扰动。两轴、三轴稳定技术在各国的机载侦察设备中得到了广泛的运用,在空地导弹中,三轴陀螺稳定平台得到了广泛的应用,如美国的“幼畜”AGM-65A导弹。
在整体稳定系统中的主要误差来源有以下几个方面: 力矩误差:包括摩擦力矩和不平衡力矩、风阻力矩,比较特殊的是摩擦力矩,它对系统的低速平稳性有很大的影响,将摩擦力矩看做常值处理是不够的,高精度的系统中采用引入状态观测器或模型辨识技术实现摩擦力矩的动态补偿。
传感器误差包括陀螺仪的漂移、信噪比、CCD的视轴安装误差、A/D和运放等电子系统的偏差和噪声、信号处理电路的延迟等,其中,位于最前端的陀螺的漂移噪声对稳定精度的影响较大,改进的方法可以考虑采用微弱信号检测技术提取信号,用建立漂移模型的办法补偿漂移。
整体稳定一般适合较小的光电传感器负载,对于较大的负载则效果不佳,它受到摩擦力矩和静不平衡力矩的影响,随着负载的增加,力矩电机的齿槽效应及热噪声、各传感器的导线扭矩等都有增加,其精度在0.1mrad左右。3.2 二级稳定
由于一级稳定完全依靠稳定平台来稳定瞄准线,受到的各种干扰较多,限制了稳定精度的提高,进一步考虑,可以利用稳定平台实现粗调、用反射镜实现精调,它是反射镜和稳定平台的组合使用,可以达到微弧度级的稳定精度。这种稳定反射镜的技术在国外的高精度侦察系统和激光通信系统中得到了广泛的应用,以色列已经可以做到15μrad的稳定精度。
在陀螺稳定平台中摩擦力矩的抖动是影响陀螺稳定平台精度的重要因素,这集中体现在低速平稳性的问题上,陀螺稳定平台中通常采用超前滞后补偿的方法,为了提高带宽再引入前馈,然而在宽频带、高精度的跟瞄系统中,采用这样的方法达到设计指标比较困难,必须考虑引入现代控制方法,现代控制技术对参数扰动的鲁棒性使得它比较适合于陀螺稳定平台的伺服设计,其典型代表有滑模变结构控制技术(VSC)、模糊控制技术、线性二次型最优控制技术(LQG),其中滑模变结构控制,根据对开关线的不断切换可以有效地克服系统的各种扰动,它对参数摄动和外部扰动不敏感的优点使得它近年来在交直流伺服系统中得到了广泛的应用。较普遍采用的方法是现代控制技术与PID控制技术的结合,这种技术已经在雷达天线的稳定技术中得到应用,这为陀螺稳定平台整体性能的提高提供了一种新的途径。电子学稳像的现状及其发展趋势
采用光学、光电的方法稳像带来的一个问题就是增加了系统的功耗和重量,而对弹载、轻型飞机、星载或外星球探测中的跟瞄、成像设备来说,质量和功耗的问题是非常重要的两个参数。采用电子学方法的稳像技术具有功耗低、质量轻,硬件处理速度快的优点,所以美国、日本、加拿大、土耳其和意大利等国对此展开了深入的研究,其中日本松下公司在其摄象机方面开展了广泛的研究,美国和加拿大在预警系统和侦察飞机的电子稳像方面取得了成功的应用。由美国国防部高科技研究局(DARPA)和马里兰大学(Maryland U-niv.)研制的无人驾驶车辆监视、搜索、侦察系统中已经采取了软件稳像的技术,其稳定精度优于一个像元。加拿大的Defense Research Establish-ment Vilcartier(DREV)也已经成功地将这项技术应用到他们的侦察车上,将摄像机架设在距控制车200m外的三脚架上或架在10m高的桅杆上实现30帧/s的实时监视,可以达到一个像元的稳像精度;由该国Lyre Technologies公司和DREV研究的机载侦察摄像系统中也已经有了类似的实验装置。
图像稳定的目的是要找到每一帧图像相对于参考图像的全局运动矢量,然后用解算出的运动参数去控制CCD输出像元各行列的起始读取位置,从而达到图像补偿稳定的目的。电子学稳像系统一般包括三个主要的功能模块,即运动矢量的检测模块,补偿量输出模块和图像补偿模块。
由于在检测摄像机的运动矢量的时候,会因为有背景噪声,如小动物的移动或运动,树枝、叶的摇动,以及目标本身的运动、异物进入视场等都会对摄像机运动矢量的提取产生影响。又例如当摄像机做全景扫描时,若被稳像系统误以为是振动而稳定了,就达不到全景扫描的目的了。这些都是电子学稳像技术所需要考虑解决的。
检测图像运动矢量的方法大致可以分成两类:利用传感器敏感运动矢量的方法和利用特征量匹配的方法,现在主要采用特征量匹配的算法稳定图像。
日本的Egosa等人采用的方法是将图像分为四个区域(图5b),每个区域中有30个代表点,每个代表点有16×46个像素的比较面积。首先计算前一场代表点像素数据与当前场相对应的比较面积中所有像素之间绝对差值,从而建立起两场图像代表点之间的关系式,最后,以所有代表点为参考点组成相对坐标系统,相对于每个坐标作一个相同位移值(i,j),相应有一个绝对差值,对所有代表点坐标的绝对差值求和为P(i,j),获得一个相关函数,具有最高相关性的位移值就是检测出的运动矢量。由于量化的原因,图像的运动矢量是一个离散值。运动矢量不连续导致观察时图像缺乏平滑的感觉,为此需要对运动矢量做内插值处理,经过插值处理后的运动矢量的检测精度明显优于未经插值处理的方法。在判断运动矢量的时候为了减小误判的几率而引入了模糊控制的技术,对不同的运动矢量分配相应的隶属度,引入该方法有效地提高了稳定的效果。
图像的位移包括整数部分和小数部分,整数部分可以采用相位相关的方法检测到,小数部分的位移常常导致图像的跳动,尤其是在背景静止时。要做到亚像元级的稳定精度,就必须检测出位移的小数部分,所用的方法有基于图像灰度匹配的方法、基于时空微分(spatio temporal differen-tiation)的方法及参数平面与相位互相关拟合(phase and cross correlation surface)的方法。5 对图像稳定的评价
图像在达到什么样的稳定程度以后算是稳定的,目前还没有统一的评价方法,普遍认为光学传递函数可以提供一个客观的评价标准,对于动基座的摄像系统来说,首先要考虑稳定系统对载体振动的隔离度,进而对各种扰动的物理模型进行精确建模,图像的稳定很大程度上取决于模型的精确程度,但是使用过于复杂的模型去拟合数据,并不一定会取得更好的结果。实际情况是模型越复杂,对跟踪误差越敏感,实际效果并不比简单模型好。
一般认为对于用于人眼观察的摄像系统,振动造成的影响小于0.5个像元时就可以认为图像是稳定的,而对于用于计算机目标跟踪的摄像系统则0.5像元的稳定精度仍是不够的,美国DARPA的实验也表明了这一点。6 结 束 语
现代图像稳定系统中广泛采用陀螺稳定平台实现稳像、稳瞄,随着稳定精度要求的不断提高,用经典的伺服方法达到技术指标已经越来越困难,现代控制理论在稳像、稳瞄系统中的应用已经越来越多,鲁棒控制技术在宽频带、高精度的跟瞄稳像系统中有较大的应用前景。电子稳像技术就目前所能够得到的公开文献来看,已经能够做到实时处理,但是在要求同时考虑平移、旋转和多目标观察有一定的困难,其固有的特性也决定了它难以适应大幅度振动的情况,但是若只用电子稳像处理平移运动,则可以将它作为陀螺稳像的后续装置来进一步提高稳像精度。现代光电侦察系统向着多波段、小型化的方向发展,在多波段的侦察系统中,对每个传感器分别采取伺服稳定的方法是不可取的,其结果将是研制周期长,系统庞大而复杂,与平台稳定的方法相比,电子学稳像具有很强的模块性,可以即插即用,由于其稳定精度很大程度上依赖于运动模型的精确程度,所以需要进一步研究的方向应该是考虑如何准确建立图像运动的模型,实现在多目标、复杂运动的情况下实现图像的稳定输出,以及如何提高稳像的适用范围;至于实时性主要受到当前电子器件的运算速度的限制,随着今后技术的进步,这应该不是主要问题。
参考文献
安全关键系统 第6篇
关键词:操作系统,可调度分析,时间分析,评估结果,故障排除
1 系统时间分析方法
实时软件,特别是如航空电子系统软件这样的强实时软件,其正确性不仅依赖于程序的逻辑,还依赖于程序的时间特性, 即某一任务必须在指定的时间范围内完成,否则会导致时限缺失(Missed Deadline), 如图1所示,T1任务在其规定的时间内没有完成,将在其后继任务T2运行时被检测到并申报该故障。一个时间缺失可能会引起系统的失效,而且对于这种故障类型,一般是由于离线或静态分析的不足而引起,因此在产品运行时很难排除或恢复系统。
安全关键操作系统的时间分析分为三个层面[1],如图2所示。
第一级为基本块的WCET时间分析。基本块(Basic Block)是指一段程序,该段程序只有一个入口和出口,没有循环,分支和调用。
第二级为任务的WCET分析。该层分析的基本单元为任务。任务可以表示成由基本块构成的循环、分支或调用。该层关注单个任务的时间需求。
第三级为处理器的可调度性分析。在该层分析中需要考虑多任务并行运行,相互影响,通信及资源访问等等, 此外调度分析还需要考虑调度策略。
2 系统时间分析理论
程序WCET计算方法有三大类[2]:基于数的(tree-based)方法、基于路径(path-based)方法和隐含路径枚举法(Implicit Path Enumeration Technique, 简称IPET)。
2.1 基于树的计算
Park 和Shaw根据为每种类型的程序语句定义的规则确定该语句的WCET,按照语法树自底向上计算复合语句的WCET:
WCET(S)=MAXT(Bx) (1)
其中Bx表示程序的基本块,MAXT(Bx)表示基本块的最大执行时间。
当语句为顺序结构S1,…,Sn时:
当语句为if (Test) then S1 else S2时:
WCET(S)=WCET(Test)+max(WCET(S1),WCET(S2)) (3)
当语句为for(;Test;Incr)S1 时:
WCET(S)=maxiter×(WCET(Test)+WCET(S1)+WCET(Incr))+WCET(Test)+WCET(Exit) (4)
语法树(Syntax Tree)[3]的节点代表函数结构,叶子代表基本块以及对其它函数的调用。其对应的语法树如图3所示。
将程序按照上图的关系进行表示后,需要进行符号演算,可以采用符号演算工具如MAPLE进行符号抽象计算。
2.2 基于路径的计算
在基于路径[4]的计算中,通过计算程序中不同路径的时间,然后查找具有最长执行时间的路径产生WCET估值。其对应于循环的计算公式可粗略表示为:
WCET_loop_time=WCET_path_time*n (5)
3 系统时间分析工具IMATime的实现
对程序WCET分析主要包括程序路径分析和硬件结构分析两个方面[5]。为了计算分析本文论述的安全关键操作系统,设计并实现了一种WCET分析工具IMATime,其结构框图如图4所示。
IMATime根据输入的程序分析得到程序的控制流图,根据控制流图,程序标记,处理器配置分析得到程序WCET的目标函数和约束。然后采用IPL解析器计算得到程序的WCET。具体运行实例如图5所示。
3.1 系统时间分析工具IMATime的评估
为了评估本文的分析工具IMATime,采用了SNU实时Benchmark, 该Benchmark是专门对时间分析工具进行评估的实时Benchmark。
针对该分析工具IMATime,在不同的优等级下对SNU Benchmark进行了测试。测试结果如图6所示。
3.2 操作系统的时间分析结果
FCOS操作系统通过APEX接口向上层应用提供服务, APEX的时间分析是系统时间分析的基础。在对APEX接口时间分析的过程中,为了减小分析的复杂性,根据APEX接口的调用图(Call Graph)对函数进行分级,采用逐层分析的方法,自底向上地分析。最后联合分析得到APEX的WCET。
图7显示了APEX 接口函数GET_PARTITION_STATUS的调度图,其中有些函数调用并没有在该图中显示出来。可以看出该函数调用了很多函数。
图8显示了函数FCOS_domain_get_id()的控制流图,其基本节点为基本块。接着给出了FCOS_domain_get_id控制图对应的IPET优化目标函数和约束。
对Rhealstone Benchmark采用了动态的方法进行评估。对Rhealstone Benchmark运行100次然后得到最大,最小以及平均值,如图9 所示。
目标函数为:
MAX:
212*nf_0_c0+212*nn_0_c0+8*nf_1_c0+8*nn_1_c0+102*nf_2_c0+102*nn_2_c0+108*nf_3_c0+108*nn_3_c0+114*nf_4_c0+114*nn_4_c0+6*nf_5_c0+6*nn_5_c0+114*nf_6_c0+114*nn_6_c0+114*nf_7_c0+14*nn_7_c0+108*nf_8_c0+8*nn_8_c0+6*nf_9_c0+6*nn_9_c0+108*nf_10_c0+8*nn_10_c0+110*nf_11_c0+10*nn_11_c0+4*nf_12_c0+4*nn_12_c0+206*nf_13_c0+206*nn_13_c0+110*nf_14_c0+110*nn_14_c0+104*nf_15_c0+104*nn_15_c0+4*nf_16_c0+4*nn_16_c0+112*nf_17_c0+112*nn_17_c0+104*nf_18_c0+104*nn_18_c0+4*nf_19_c0+4*nn_19_c0+106*nf_20_c0+106*nn_20_c0+110*nf_21_c0+110*nn_21_c0+212*nf_22_c0+212*nn_22_c0+4*nf_23_c0+4*nn_23_c0+208*nf_24_c0+208*nn_24_c0;
nf_6_c0 <= 1;
nf_7_c0 + nn_7_c0 - n_7_c0 = 0;
nf_7_c0 <= 1;
nf_8_c0 + nn_8_c0 - n_8_c0 = 0;
nf_8_c0 <= 1;
……
e_7_8_c0 - n_8_c0 = 0;
e_8_10_c0 + e_8_9_c0 - n_8_c0 = 0;
约束为:
e_8_9_c0 - n_9_c0 = 0;
e_9_13_c0 - n_9_c0 = 0;
e_7_10_c0 + e_8_10_c0 - n_10_c0 = 0;
e_10_11_c0 - n_10_c0 = 0;
……
nf_19_c0 <= 1;
nf_20_c0 + nn_20_c0 - n_20_c0 = 0;
nf_20_c0 <= 1;
nf_21_c0 + nn_21_c0 - n_21_c0 = 0;
nf_21_c0 <= 1;
e_14_15_c0 - n_14_c0 = 0;
e_14_15_c0 - n_15_c0 = 0;
e_15_16_c0 - n_15_c0 = 0;
e_15_16_c0 - n_16_c0 = 0;
e_16_18_c0 + e_16_17_c0 - n_16_c0 = 0;
……
e_19_20_c0 - n_20_c0 = 0;
e_20_21_c0 - n_20_c0 = 0;
e_17_21_c0 + e_20_21_c0 - n_21_c0 = 0;
nf_22_c0 + nn_22_c0 - n_22_c0 = 0;
nf_22_c0 <= 1;
nf_23_c0 + nn_23_c0 - n_23_c0 = 0;
nf_23_c0 <= 1;
nf_24_c0 + nn_24_c0 - n_24_c0 = 0;
nf_24_c0 <= 1;
……
n_14_c0 - n_23_c0 = 0;
n_22_c0 = 1;
在分区内采用速率单调的调度算法[6],因此分区内人物的可调度性充分条件为:
为此得到如图10所示的系统可调度上限图。
根据图10得到一组系统可调度得分区周期ηk和分区容限αk。
〈ηgd=5ms,αgd=0.5〉
〈ηfk=10ms,αjk=0.35〉
〈ηba=5ms,αba=0.15〉
参考文献
[1]Soyeon Park,Shan Lu,Yuanyuan Zhou.CTrigger:Exposing Atomic-ity Violation Bugs from Their Hiding Places[C]//Proceedings of the 14th international conference on Architectural support for program-ming languages and operating systems,ASPLOS'09,2009:25-36.
[2] OAR - On-Line Applications Research Corporation[Z]. RTEMS POSIX API Users Guide Edition 4.6.6. 2003.
[3]SAE Aerospace. SAE AS5506: Architecture Analysis and Design Language (AADL)[Z].SAE Int'l. 2004.
[4]Gogul Balakrishnan, Thomas Reps. Analyzing Memory Accesses in x86 Executables[C]//Proceedings of CC'04. 2004:5-23.
[5] Singhoff F, Nana L, Legrand J. Implementing an AADL perfor-mance analyzer[C]//Proceedings of the Conference on Data Systems in Aerospace, DASIA’06. 2006.
安全关键系统 第7篇
随着高速公路的发展和汽车性能的提高,汽车的行驶速度越来越快,特别是由于汽车拥有量的迅速增加,交通越来越拥挤,使得事故更为频繁,所以汽车的安全性就变得尤为重要[1]。安全气囊是现代轿车上必备的安全技术装置。为了减小汽车发生正面碰撞时由于巨大的惯性力所造成的对驾驶员和乘员的伤害,现代汽车在驾驶员前端方向盘中央普遍装有安全气囊系统,汽车在驾驶员副座前的工具箱上端也装有安全气囊系统。
汽车安全气囊关键零部件称为引爆部件,是由金属底盘和引爆器通过注塑机注塑封装后取得。在引爆器与金属底盘放入注塑机之前需要进行外观质量检测。现有检测手段通常为人工进行,难以保证引爆器与金属底盘的质量完全符合生产要求,生产效率低下,产品合格率降低,增加了生产成本。
在构建汽车安全气囊柔性制造系统时,针对现有的汽车安全气囊引爆组件在放入注塑机前进行检查时,检查效率低下,产品合格率不高,检查速度慢等技术缺陷,设计一种汽车安全气囊引爆组件智能检测单元,采用自动化机器人配合,对汽车安全气囊引爆组件各项指标进行自动检测,提高了生产效率和产品的合格率。
1 检测要求
引爆器与金属底盘,在放入注塑机之前需进行质量和外观检测,引爆器主要检测引爆器的型号规格以及颜色、引爆器的Pin方向、引爆器的Pin质量,不允许Pin歪斜、短缺;金属底盘主要检查金属底盘的型号规格、金属底盘底部质量,金属底盘定位口的方向。引爆器与金属底盘如图1、图2所示。
2 检测单元的结构设计
根据检测要求和功能的不同,将单元设计分为多个部分进行。系统结构如图3所示,包含了一个PLC主站,两个从站,从站与主站间通过以太网通信。
2.1引爆器排队分离机构
为了对引爆器进行外观与Pin方向的检测,设计了一个引爆器排队、分离、定位机构,其主要由引爆器振动盘,直线输送器和安装了多种传感器的气动分离排队机构组成。
将引爆器加入振动盘中,振动盘可通过巧妙的机械运动保证引爆器以正确的Pin朝向进入直线输送器,直线输送器将引爆器送入气动分离排队机构。
气动排队分离机构的排队分离功能由5个带气爪的气动元件完成,通过5个气动元件将分离机构分成3个位置,在3个位置上分别安装了相应的传感器。位置1安装了用于判别颜色的RGB传感器,位置2安装了检测引爆器存在的光电反射传感器,位置3安装了两对判别引爆器存在和Pin方向的光纤传感器。
考虑到注塑引爆器颜色要求变更的问题,特别选用KEYENCE公司的CZ-H37S型RGB传感器。据文献[2]所述,该传感器具有四个独立输出,能同时保存四种物体的数据并能够对每个物体进行分别设置和输出。如此便可保存引爆器的颜色数据,根据总控信号自动切换检测颜色。
同引爆器排队分离机构控制相关的I/O、阀岛接入从站1,由1734从站模块与PLC通信实现引爆器排队分离机构的功能。气动排队分离机构如图4所示。
2.2 金属底盘料库升降机构
根据安全气囊用途和适用对象的不同,金属底盘的大小形状也各有不同,按照工艺要求把金属底盘分为10个型号。
依据以上情况,我们采用了活动式料库的解决方法。在料库内部安装活动式料框,通过步进电机带动料框托盘上下移动,装入金属底盘后即可实现金属底盘的上升下降。托盘上升下降的限位由安装于料库顶部和底部的反射光电传感器决定,一旦托盘到达指定位置传感器信号发生变化立即停止电机。
步进电机使用Haydon公司的DCM8055高性能细分驱动器进行驱动,据文献[3]所述,该驱动器具有14种十进位和二进位的分辨率可供选择,调节拨码开关即可改变电机传动速度。
一种活动料框仅适合于一种或二种金属底盘,料框内含有相应的定位工装来保证料框中的金属底盘都为同一个方向。料框底部是通过四个定位插销固定在料库下托板上的,更换金属底盘型号时,只需打开顶部面板,提起当前料框换入相应料框即可。
同金属底盘料库升降机构控制相关的I/O接入从站2,由1734从站模块与PLC通信实现金属底盘料库升降机构的功能。
2.3 整备测试工装机构
整备测试工装机构是测试引爆器与金属底盘的最后一个工位,通过该机构的检测和位置限定,引爆器和金属底盘就可用于注塑机上料等工序。
整备测试工装机构分为引爆器准备工装、金属底盘准备工装。
引爆器准备工装依靠引爆器定位插口和对射光电传感器测定引爆器是否已经插入,插入成功时光电传感器会产生信号变化,同时压力传感器进行Pin缺失的检查,引爆器完全插入定位孔,可以密封孔脚,压力传感器可以检测到明显的压力升高,若Pin弯曲或是缺失,压力不会升高,压力传感器检测不通过。引爆器全部检测通过后即为合格。
金属底盘准备工装存在4个定位空腔,其形状和大小是按照不同型号金属底盘进行设计制造的,一种金属底板准备工装通常只对应1或2种型号的金属底盘。定位空腔有定位销来限定方向,空腔的底部安装了按压光电传感器,金属底盘放置方向正确且底部没有缺陷时恰好能按住光电传感器,使其产生信号变化,这时视之为合格的金属底盘。
整备测试工装机构的I/O全部接入机器人,由机器人直接控制。整备测试工装机构如图5所示。
2.4 工业高精度机器人
在本系统中,选用了FANUC公司的Mate-200i C机器人作为串联整套系统的核心硬件。如文献[4]所述,该型号机器人为6自由度中小型机器人,臂长704 mm,最高运行速度4 000 mm/s,手臂负重5 k G,重复定位精度±0.02 mm,足以胜任引爆器金属底盘的抓取放置工作。
机器人采用了4手爪设计,手爪有两种尺寸,一种用于伸入分离机构抓取引爆器,一种用于伸入料库抓取金属底盘,两者不能通用。在每个手爪上都安装了用于检测手爪开闭的光电传感器,信号直接进入机器人,机器人可通过信号判断当前手爪状态。
机器人所需完成的工作是根据分离机构状态抓取引爆器,根据料库状态抓取金属底盘,判断整备测试工装机构的状态并根据状态将手爪上的金属底盘和引爆器放置到整备测试工装机构上,自行剔除不合格的金属底盘和引爆器。
2.5 PLC总控系统与人机界面
控制PLC采用了AB公司的Control Logix 1756,Control Logix1756上插有用于通信的ENET模块、devicenet模块及一些I/O模块。I/O模块控制各个安全门、加料门的上锁开锁与指示灯蜂鸣器的状态变化。ENET模块用于与1734从站1、1734从站2、人机界面进行信息交互。Device Net模块与机器人的Device Net模块直接连接,实现机器人状态的采集和对机器人的操作。
人机界面采用了Panel View工业触摸屏,触摸屏不仅可包含大量的控制信息、使各项操作键及状态显示布置得更为合理,同时也可增强操作的逻辑性和运行状态监控的直观性[5]。人机界面使用ENET与PLC通信,人机界面可以控制整个系统的功能启动、停止,还能单独控制引爆器排队分离机构气爪的伸出缩回、金属底盘料库升降机构电机的上升下降、运行FANUC机器人的各种功能、解锁上锁各个安全门等,从人机界面上还可以看到各个机构甚至各个传感器的状态。
3 检测单元的控制设计
依据控制要求,PLC控制中枢对于引爆器排队分离机构、金属底盘料库升降机构、机器人的控制是分开的,三者皆可独立运行。
3.1 引爆器排队分离机构的控制
引爆器排队分离机构与PLC之间通过从站1进行通信,PLC主要采集的信息有振动盘的开闭状态、各气动元件当前状态、各传感器目前信号。PLC可以通过从站1输出振动盘的开闭信号控制振动盘的电源,接通阀岛上的某个电磁阀使相应的气动元件动作。
引爆器排队分离机构的状态判断和动作决策完全由PLC完成。
引爆器排队分离机构的正常控制流程:将引爆器加入振动盘,振动盘将引爆器以相同Pin方向将引爆器送入直线输送器,之后进入引爆器分离机构进行质量检测。首先进入位置3,位置3检测到引爆器存在之后启动颜色传感器检测引爆器颜色,PLC记录结果输出信号驱动气动元件连续运动将引爆器送入位置2,确认位置3为空时,引爆器进入位置3,检测引爆器是否存在及Pin方向是否正确,结果进入PLC,PLC综合检测的结果决定引爆器是否合格,将判断结果传给机器人。
3.2 金属底盘料库升降机构的控制
金属底盘料库升降机构与PLC之间通过从站2进行通信,PLC主要采集的信息有电机当前前进方向,加料门的开关状态,各传感器目前信号。PLC可以通过从站2输出开闭信号控制加料门的开闭,输出电机驱动信号控制电机启动停止与正反转。
PLC综合所有传感器的信息判断料库当前状态,决定电机启动停止或正反转。
正常的控制逻辑:PLC检测料库口、料库顶、料库底3对传感器信号,都无信号时电机正转托盘上升;料库口有信号时电机停止;料库顶有信号时电机反转托盘下降;料库底有信号时电机停止,加料门打开,等待重新加料,加料完成后关闭加料门启动料库,电机正转托盘上升。料库口有信号时证明存在金属底盘,PLC将给机器人发送底盘存在信号。
3.3 工业高精度机器人的控制
FANUC机器人使用Device Net与PLC进行通信,Devicenet是由Rockwell公司在CAN基础上推出的一种低成本的通信链接,是一种低端网络系统[6]。PLC可以采集到机器人的远程设备UO,向机器人输出远程设备UI。通过UO检测机器人当前状态,通过UI选择机器人所要执行的PNS程序号,启动、暂停、停止机器人,调整机器人的运行速度。
在机器人运行过程中,PLC会将引爆器排队分离机构和金属底盘料库升降机构的检测信息和到位信号发送给机器人,由机器人自主判断,PLC不影响机器人的执行逻辑。
4 检测单元功能实现流程
检测单元的主要功能流程:
(1)单元启动,对引爆器排队分离机构与金属底盘料库升降机构进行初始化,状态还原。
(2)初始化成功后引爆器排队分离机构与金属底盘料库升降机构开始运行,反之单元报错停止。
(3)PLC向机器人发送PNS程序号与启动信号启动机器人。
(4)机器人判断分离机构与料库是否准备完成,完成则进入下一步骤。
(5)机器人抓取分离机构上的引爆器与料库中的金属底盘。
(6)判断整备工装状态,等待工装出现未放满的工作状态。
(7)工装未放满,机器人根据工装放置逻辑放置引爆器与金属底盘。
(8)放完后检测工装状态,已放满发出通知信号,之后继续。
(9)回到(4),在单元停止前在(4)~(9)中循环执行。
功能流程图如图6所示。
5 结束语
安全关键系统 第8篇
关键词:医院信息系统,信息系统安全,信息安全关键环节,信息安全策略
0 引言
随着医院信息系统规模的不断扩大,医院信息系统覆盖的范围也越来越广,信息系统中的数据越来越多,数据的安全性要求随着医院信息系统的不断扩展也越来越高,医院信息系统中存在的安全问题日益暴露。但是目前医院信息系统的发展并不平衡,资金短缺,特别是对于不发达地区和规模较小的医院,信息系统的发展存在的困难更多,如何在这种困难的环境中抓住主要矛盾,找到关键点,做好医院信息安全系统是一个非常现实的问题。
从信息系统安全的角度来看,信息安全系统可以用一个三维的安全空间图来表示,如图1所示:
从图中可以看出信息安全系统包括的许多技术、技巧都是在网络的各个层面上实施的,离开网络,信息系统的安全就失去意义。信息系统的安全包括了安全机制和安全服务两项内容,安全机制可以理解成为提供某些安全服务、利用各种安全技术和技巧,所形成的一个较为完善的结构体系,安全服务就是从网络中各个层次提供给信息应用系统所需要的安全服务支持。从空间图上我们也可以看出,随着网络的逐层扩展,安全的内涵也更加丰富,达到了具有认证、权限、完整、加密和不可否认五大要素。显然,每个"轴"上的内容越丰富,越深入,越科学,"安全空间"就越大,安全性也就越好!从目前医院信息系统的发展状况以及对医疗信息系统数据的安全性要求来看,在医院中如何做到从物理、网络、系统、主机以及应用层面来确保IT系统中各种信息的保密性、完整性、可用性,提高整体防护能力,规范安全管理流程,保障信息系统的平稳运行,是医院信息系统安全的关键所在。但是从目前医院信息系统的发展状况,资金投入等方面来看,实施全面的医院信息安全系统是不现实的。既然实现全面的信息安全系统是不现实的,只有先抓主要矛盾,首先在医院信息系统的关键环节实施信息安全系统,那么医院信息安全系统应该包含哪些关键环节?每个环节又应该采取什么样的策略呢?
1 医院信息安全系统的关键环节
1.1 中心机房、服务器、数据库的安全
医院中心机房作为医院信息系统的心脏,安全稳定运行应该包括稳定的电源,专用的空调设备,安全的防雷、防静电措施,灵敏的监控报警系统,安全的防火墙、最新的安全补丁以及规范的机房管理措施。
服务器的安全运行首先应该是建立在机房安全运行的基础上,其次应该是自身软硬件的安全运行,最后应该是防止各种非法的网络入侵。
数据库的安全运行应该建立在服务器安全运行的基础上,不仅仅是数据库软件的安全运行,更重要的是数据库中数据的安全备份、保护与及时恢复等。
1.2 网络设备及其连接线路
网络设备中的核心交换机就像人体的供血枢纽,各级交换机就像中转站,连接医院各种信息设备的网线,就像人体通向各个地方的血管,其重要性不言而喻。
1.3 终端机器的稳定运行
医院大多数系统采用C/S或B/S结构,各种信息系统的使用主要是在终端机器运行,只有终端机器的稳定运行才可以保证医院信息系统得到充分应用。
1.4 应用软件的健壮性
应用软件的健壮性、稳定性也是医院信息系统安全的重要环节,因为所有软硬件都是为应用系统的运行创造条件、搭建环境,如果应用系统本身存在安全问题,其它环节的安全将失去意义。
1.5 人的因素
在医院信息系统安全的关键环节中,人的因素是最重要的因素,因为信息系统安全中存在的主要风险应该是人的因素占有很大比例。
2 医院信息安全系统关键环节的主要策略
2.1 中心机房、服务器、数据库的安全运行策略
医院中心机房应该在温度、湿度、电磁、噪声、防尘、静电和震动等方面做好安全策略,温度波动控制在24±1~2℃之内,相对湿度波动控制在50%±5%RH之内,每升的空气中,大于等于0.5微米的颗粒应小于18,000个,换气次数/小时>30,中心机房机房与其它房间、走廊间的压差不应小于4.9Pa,与室外静压差不应小于9.8Pa。机房中应具有报警系统,并具备发手机短信报警功能。中心机房应采取双路供电,配有满足要求的UPS设备,做好防雷措施。
定期对服务器进行安全评估、安全加固,是保证服务器正常运行的必要手段,内容至少包括对服务器定期进行硬件检查,操作系统、应用软件的补丁升级,做好系统备份,安装杀毒软件并及时升级病毒库,重要业务服务器要做好双机备份。对于医院互连网业务用服务器要单独放到DMZ区域,并配备IPS,以防止互连网黑客或病毒的攻击,并尽量使得在受到攻击后不影响内部服务器的使用。
对服务器及核心交换机要做好入侵检测、审计、网管等相应的安全系统,以便实时检测核心设备及整个网络的状况,如果出现问题可以及时通过审计系统查到问题的根源。
数据库应该做好增量备份、全备份及异地备份,以保证信息系统的数据万无一失。
2.2 网络设备及其线路的安全策略
网络设备应该根据设备的重要程度对硬件进行定期的维护检查,软件进行定期升级,网络设备中应该根据业务的具体需要进行安全域的划分,网络设备的连接线路应该具有明确的标志,以便在系统出现问题时可准确及时的定位。
2.3 终端机器的安全策略
终端机器由于医院使用者计算机水平的限制,对系统的维护及保护意识比较差,而且终端机器往往又是业务系统的直接运行设备,所以对终端机器的管理显得尤为重要。对终端机器至少应该根据业务的不同将其划分到不同的安全域中,通过网络设备做好访问控制,系统一定要打最新的补丁,安装杀毒软件并及时升级病毒库,因为病毒目前来看仍然是医院信息系统安全的"第一杀手"。另外,终端机器应做好准入控制,防止外来笔记本电脑等移动设备直接进入网络,业务用终端机器最好禁用USB设备。在条件允许的情况下,业务系统和办公系统使用的终端机器最好做到物理隔离。
2.4 应用软件的安全性策略
应用软件的安全应从系统级安全、程序资源访问控制安全、功能性安全和数据域安全四个层次去考虑,在医院信息系统中,由于涉及到的业务类型比较多,部门间职能划分差异比较大,因此程序资源访问控制及数据域安全显得尤为重要,程序的授权模型需考虑组织、岗位和用户等各个层面。
另外,应用软件在安装使用之前一定要按照软件测试的标准流程进行测试,对软件中身份认证部分的数据一定要进行必要的加密,软件系统中一定要记录软件使用者的具体信息,保留使用痕迹。
2.5 人员管理培训策略
医院信息安全系统中人的因素占有很大比重,包括管理水平、技术水平、职业道德等。
医院信息系统的管理水平具有决定性的作用,因为医院信息系统中主要以应用现有计算机技术为主,主要是计算机技术在医院信息系统中的应用,可以说是"三分技术、七分管理",管理水平将直接决定信息系统的安全性、稳定性。
信息系统发展快、更新快的特点决定了从事信息技术工作的人员必须经常学习,才可以跟上计算机技术的不断更新,所以对于从事信息技术的人员要进行定期的培训,最好能具备专业的信息安全知识,对于业务系统的使用者也要进行定期培训,具备必要的安全知识。
加强信息从业人员的职业道德培训,信息工作人员的职业道德对信息系统的安全具有非常重要的作用,信息系统的安全问题有很大一部分是由于内部人员造成的,很大程度与内部人员的职业道德有直接关系,因此对于信息技术从业人员应该加强企业道德培训。
3 医院信息安全系统的发展趋势
医院信息化起步晚、发展不平衡的特点也将决定医院信息安全系统的发展具有同样的特点,医院信息安全系统将首先在信息化发展比较好的大型医院发展起来,但是其发展速度会受到资金等因素的影响在近期内发展不会很快。现在信息化程度相对落后的医院,可能会实现跨越式发展,如果在资金充足的情况下,借鉴已经发展起来的医院信息安全系统的建设经验,很可能会和信息系统同时建设,这样可以避免造成一些不必要的资源浪费。
医院信息系统的安全必将随着医院信息系统的不断发展而快速的发展,医院信息安全保障系统必将由"MIS+S(Management Informention Sytem+Security,初级信息安全保障系统)"发展到"S-MIS(Security-Management Information System,标准信息安全保障系统)"直到"S2-MIS(Super Security-Management Informention System,超安全的信息保障系统)"。也就是说,医院信息安全系统最终将会做到"进不来、拿不走、看不懂、改不了、逃不掉"的安全程度。进不来,是指我们在访问控制机制方面,尽量做到不允许进来的计算机、内容等进不来;拿不走,是指在授权机制方面,做到不该拿走的内容拿不走;看不懂,是指对关系到医院重大发展的机密文件进行加密处理,做到拿走看不懂;改不了,是指在数据完整性方面,信息安全系统要做到重要数据修改不了;逃不掉,是指在审计/监控/签名机制方面,做到在信息系统中做了不该做的事情逃不掉。但是,医院信息安全系统的建设将是一个逐步发展的过程,需要探索、研究,需要医院信息化工作者的共同努力!
参考文献
[1]柳纯录主编《.信息系统项目管理师教程》[M(]第二版).北京:清华大学出版社,2008,538-539.
[2]王志奇,徐兴良,张红.浅析医院中心机房安全稳定运行的必备要素[J].医疗设备信息,2007.22(1):.33-34.
[3]任凯.加强医院信息安全的几点措施[J].医学信息,2005,18(7):716-717.
优化安全关键系统中的警报器放置 第9篇
应用在各种安全领域的大型安全关键系统,由许许多多的复杂的部件组成。为了系统的安全运行、提供监测界面以及辅助操作人员决策,可以对系统的架构进行分析并建立一个系统的FPG,动态地观察系统状况。FPG中的节点代表系统的部件,有向边代表着节点之间的关系。
为了能及时发现故障,需要在系统中设置一定的监测点和警报器,也就是在FPG中的节点上放置警报器。当故障发生时,节点的警报器就会检测到异常并触发,然后系统的FPG可使用MFD算法,计算出故障的来源节点,提醒操作人员采取应对措施,避免进一步的灾难发生。
然而,大型系统中往往存在警报器不足或冗余的现象。警报器不足时,故障不易被检测到。警报器过多时,造成系统的计算负荷大,运行速度缓慢。怎样给系统增加节点的警报器,或怎样减少节点上冗余的警报器,需要科学的分析方法来解决,从而提高监测工作的有效性,减少系统的计算负担,对于系统的安全运行有着重大的意义。
1 报警功能的需求和特性
报警功能的需求和特性,是通过监测系统的某些条件或现象。因为异常的条件或现象往往预示着故障的出现。对于硬件,监测的是人机界面上系统的运行状态和发生的事件。对于软件,监测的是系统内部的参数或者变量。软硬件监测的共同之处在于对每一个重要的参数都建立一个监视点,这些重要的参数应能反映出系统的行为或具体的监测值。
在监测时,需要预先在监视点上添加条件约束。条件约束可以是一组逻辑表达式、运算表达式或者关系表达式。它可以理解为一个监视点———能监测参数的边界值。即在软件系统中,它可以理解为某个参数所加的上限或者下限。若有故障发生,参数值就会突破条件约束,即越过边界值。比如说,一个燃气管道压力的条件约束,可以描述为以下形式:
压力值>最高上限;
压力值<最低下限;
Where:压力值:燃气管道的压力值;
最高上限:管道所能承受的最大压力值;
最低下限:管道内最小压力值。
在上述的条件约束中,如果系统运行正常,那么压力值将会在最高上限和最低下限之间波动。当压力值超过管道压力值的最高上限时,发生故障的机率就很大,处于危险状况。如果在参数“最高上限”已设置了一个压力上限警报器,那么此时就会触发报警。所以,警报器适合设置在系统中具体的条件约束处。
2 优化警报器的放置目的
在一个系统中常常有一系列的部件放置了警报器。这些警报器在系统发生故障时会被触发,并作为计算故障来源的的依据。因为系统部件可以用FPG中的节点来表示,每个节点可以用FMECA对其失效危害程度给予不同的分级,危害程度最高的节点将被优先安装警报器。
优化警报器放置的目的,是为了在具有复杂部件的大型系统中,对警报器的数量进行优化,有选择地在系统部件上放置警报器,保证系统更有效地进行故障监测。同时,可以剔除冗余的警报器,减少计算故障来源的时间复杂度。
3 警报器放置的分析方法
现实中,我们不可能面面俱到地在大型系统中的每一个部件上都放置警报器。为了减少系统计算所花费的时间和代价,需要在系统的部件中有选择地放置警报器。这就需要采用适合的方法对系统进行风险分析,从而指导我们在系统的哪些部件上放置警报器。
在对安全系统进行分析时,选择合适的分析方法很重要。常见的安全分析的方法有故障树分析(FTA)、风险和可操作性分析(HAZOP)、严重程度分析(SA)、失效模式与影响分析(FMEA)、失效模式影响和危害性分析(FMECA)等。
其中,FMECA方法可以识别出系统的各个部件和这些部件的失效模式。即系统各部件的功能、失效模式、失效后果和失效危害程度都能被FMECA分析出来。失效危害程度最高的节点,会最先被放置警报器。所以,FMECA适合用于如何在节点上放置报警器的问题。
FMECA方法分析的危害程度可以细分为几种级别:灾难性的(Catastrophic);危急的(Critical);轻度的(Marginal);微小的(Minor)。
4 如何进行警报器的优化放置
在这里,我们以SCADA系统作为研究对象,采用FMECA分析系统部件的失效模式和危害程度,以期解决警报器优化放置的问题。
SCADA(Supervisory Control and Data Acquisition System)系统,在监测和控制领域十分常见,也称为“三遥”系统,是一种可以执行遥测、遥控、遥调的数据采集和控制系统。
SCADA系统由硬件和软件两大部分组成。硬件包括数据采集模块、通信模块、PLC/单片机、电源、前端仪表等。软件包括中心控制系统、客户端数据浏览系统,Web数据发布系统、后台数据库等。前端仪表从传感器采集数据,包括流量计、压力表等。通信模块通过无线网络接收或发送数据帧。中心控制系统则是一套软件,提供实时数据的浏览、遥控、遥调终端设备等功能。
在使用FMECA分析之前,需要建立一个系统的FPG。在建立FPG之前,需要先弄清楚系统架构。我们以一个燃气SCADA系统为例,其架构图如图1所示。
有了系统架构图,接着可以构造出该系统的FPG,如图2所示。
然后,可以使用FMECA分析该系统并生成表格。表1展示了该系统的部件的功能、失效模式、原因、后果和危害程度。
下一步,我们给失效危害程度为“灾难性的”和“危急的”节点“n1”、“n2”、“n3”、“n7”,“n10”、“n11”上放置了警报器。当系统内某故障产生后,“n1”、“n2”、“n3”、“n11”上的警报器就被触发。如图3所示。
此时,可以应用MFD算法来分析系统的故障传递图,找出产生故障的来源节点。具体步骤如下:
第一步,删除未触发警报和没有放置警报器的节点。节点“n7”和“n10”装有警报器但未被触发,可以先在图4中删除。节点“n4”,“n5”,“n6”,“n8”,“n9”,“n12”上因为没有警报器,也可以删除,如图4所示。图5显示的是在第一步删除了部分节点后的情况。
第二步,分析触发警报的节点,删除不可能是故障来源的节点。在图5中,节点“n1”,“n2”,”n3”相连,且这三个节点上的警报器都被触发。在图6中,根据MFD算法,若是节点“n2”单独发生故障时,”n1”应该不会被触发。同理,若是节点“n3”单独发生故障,“n2”和“n3”不应该被触发。所以节点“n2”和“n3”可以被删除。图7显示的在第二步删除节点后的情形。
第三步,找出最后的故障来源节点。在图7中,节点“n1”和“n11”上都有警报被触发,故障的来源就存在于这两个节点中。根据节点代表的意义,“n11”是中心控制系统,而“n1”是输送气体的管道。“n1”正好是“n11”监测的对象和数据来源。由于中心控制系统软件设有监测数据上下限的机制,当管道压力值超过上限或者下限时,在“n11”处就会触发警报。一般情况下,节点“n11”都不会发生故障。而且,若故障来源于“n11”的话,”n1”不应有触发的警报。所以,“n11”不可能是故障来源节点,而“n1”就应该是故障的来源节点。
我们再来分析一下燃气SCADA系统的另外一种警报器放置情况,即不按照节点的失效危害程度级别来放置警报器。这种情况下,警报器只是设置在一些失效危害程度为“轻度的”的节点,于是系统的FPG就变成如图8的形式:
如图8所示,如果有燃气管道破裂且气体泄漏,管道的压力会很快下降至零。管道压力为零现象是一种燃气SCADA系统的典型故障。在图8中,零压力故障会沿着节点路径“n1->n2->n3”传递。由于节点”n3”上没有安装警报器,故障到达”n3”时仍然不会告警。
节点“n4”是数据存储模块,其警报器是检查数据有无丢失。“n5”是电池,其警报器作用是检测电池的状态,如电力是否耗尽。这两个节点上的警报器都不具有检测管道压力值的功能,因此这里不会触发警报。
于是,故障会继续沿着路径传递至后续的节点。当故障传递至具有警报器的节点“n6”和“n9”,这两个节点是通讯设备,警报器也不会被触发。因为这里的警报器只检查通讯故障:如通信是否正常,能否接收数据等,并不检查压力值范围,这里也不会引发报警。
节点”n7”、”n10”是看门狗模块,”n8”是无线网络,都没有放置警报器,不会触发警报。
当故障经过节点”n11”中心控制系统时,这里没放置警报器,不会触发警报。故障会继续传递至系统最后一个节点———”n12”数据库服务器,这里的警报器只是检查数据有无被正确存储,即便是压力值为零的数据,也能被储存,不会触发警报。
最终,故障在系统中所有节点传递,竟没有一个节点的警报器被触发。应用MFD算法分析故障来源节点,是建立在必须有一个或者多个被触发的警报节点的前提下的。因此,如果不按照节点的失效危害程度级别来选择节点放置警报器,故障无法被发现,也不能应用MFD算法找出故障的来源。
5 结束语
在大型的安全关键系统中,根据节点的失效危害程度级别,选择合适的节点放置警报器,既能减少系统的计算复杂度,又能保证有效地查找出产生故障的来源。
FMEACA是风险分析的一种有效方法,它采用了失效危害程度级别的评定,能分析出系统的每个部件(节点)的失效后果和失效危害程度,为决定在系统的哪些部件放置警报器提供了依据。
实现系统警报器的优化放置,要求尽可能地减少系统节点上不必要或冗余的警报器,包括三个步骤:第一步,分析整个系统的架构;第二步,生成系统的故障传递图;第三步,使用FMECA生成一个节点失效模式和危害程度的表格。
每个节点的失效危害程度决定了其是否需要放置警报器。失效危害程度级别高的节点,应优先放置警报器。如果没按照节点的失效危害程度的优先级来放置警报器,将会导致不能发现故障和计算出故障的来源。
参考文献
[1]薛亮.建立和分析安全关键系统的错误传递图[J].现代计算机,2011,总376期:21~24.
关键网络安全事件及安全理念总结 第10篇
网站数据库信息泄漏引爆网民的安全恐慌
最近引起众多关注的莫过于国内主流专业技术网站、社交平台以及电子商务、电子政务网站爆发的用户数据泄露事件,包括CSDN、人人网、天涯、当当网、百合网等众多互联网公司,随后又有关于多家银行用户数据泄漏的谣传。
当当网部分用户数据资料
2011年我们看到过太多数据泄漏事件,4月份开始索尼遭遇的黑客事件,直接导致其在线PlayStation网络中7700万客户的信息,包括信用卡账号被窃,损失1.7亿美元;为花旗银行、百思买等知名企业提供广告服务的电邮行销公司Epsilon的数百万笔消费者的电子邮件被盗。如果说这些主要发生在国外的数据泄漏案并没有让我们有切肤之痛,那么赶着年底发生的众多国内互联网用户数据泄漏事件让我们对于互联网的信息安全产生了严重的怀疑。
加上部分网站并没有对用户信息采取妥善的安全措施,甚至采用明文形式保存用户密码等关键信息,这些信息泄漏事件为企业对于网站安全、数据库安全的保护敲响了警钟。这些信息泄漏事件最大的受害者便是用户,因为这些事件导致的改密码狂潮也使人们对于网站信息安全的产生强烈质疑,从而危害互联网的发展。
从国外的类似事件来看,韩国数据泄漏事件的扩大升级直接导致了韩国废除网络实名制。
手机安全成热议
与此同样伤害广大用户隐私安全的还有众多手机安全问题。智能手机在2011年获得了里程碑式的胜利,成为主流,曾经的手机巨人诺基亚也因此转投微软合力开发智能机。但智能手机在安全领域却备受诟病。2011年3月,当谷歌发现50个Android应用程序为恶意程序时,被迫从其Android Market中删除了这些应用程序。12月,谷歌又从其移动应用商店Android Market撤下22款被发现包含欺诈软件的应用。手机恶意软件呈现快速的增长趋势。
2011年12月爆出的Carrier IQ事件也引起公众强烈关注和质疑,美国多家主流移动运营商在用户的苹果、HTC、三星等1.41亿部手机中预装了Carrier IQ公司提供的软件,该软件默认在后台运行,能够记录软硬件上所有按钮的键击行为,监控所有的收发短信,记录上网行为。
与此类似的还有2011年7月因窃听丑闻而遭关闭的英国《世界新闻报》,这家拥有168年历史的报纸因窃听犯罪受害者、名人以及政治家的手机而受到谴责。
事实上,手机安全不仅让广大公众倍感头疼,对于企业而言,也是一项重大的安全隐患。因为越来越多的企业员工不仅使用手机访问个人信息,还用手机访问企业的商业信息。如何管理这些移动设备,实现安全与效率的并重,防止企业的关键数据泄漏成为企业必须考虑的问题。
APT挑动企业的安全神经
2011年3月RSA(国际顶级安全厂商,众多大型公司和政府机构采用RSA SecureID作为认证凭据)遭到APT攻击,部分SecurID技术信息及客户资料被窃取,随后很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商先后遭到攻击,重要资料遭窃取。此外还有针对伊朗核电站的超级工厂病毒,针对美国政府、联合国、红十字会、武器制造商、能源公司、金融公司的Shady RAT攻击。
APT(Advanced Persistent Threat)就是高级持续性威胁,或称针对特定目标的攻击,是为了获取某个组织甚至是国家的重要信息,有针对性地进行一系列攻击行为的整个过程。APT让人防不胜防的一点在于没有100%的安全,攻击者们总能找到漏洞所在。由于其强大的破坏性,甚至有人已经将之上升到国家网络战争的高度。APT攻击让网络安全与现实环境中的安全一样引起了大型企业和政府组织的高度关注,如何构建坚固的网络安全防御体系也在业界引起了众多讨论。
2011年网络安全厂商也基于对整个IT环境变化的洞察,进行了安全产品和理念的推陈出新。2011年被厂商提及的最热的关键词莫过于下一代防火墙、云计算安全服务,以及信息安全系统的相关概念。
下一代防火墙
权威的IT研究与咨询公司Gartner在2009年给出了关于下一代防火墙的最受认同的定义,用来形容应对攻击行为、业务流程和使用IT方式的不断变化中,防火墙产品发展所要经历的必然阶段。Gartner认为,下一代防火墙(NGFW)是一种多功能、集成式、线速网络安全处理平台,包含所有标准功能,即常见的网络功能,如网络地址转换(NAT)、包过滤和全状态包检测功能,而应用识别、控制和可视化是其重要的核心特性。包括梭子鱼、东软、深信服、SonicWALL、Juniper、Palo Alto、Check Point、稳捷网络等在内的众多网络安全厂商都相继推出了下一代防火墙产品,并在2011年进行了众多推广。
安全威胁防御体系
为了应对威胁的无孔不入,企业也需要建立完整的安全威胁防御体系,并借助这样的体系或者分析模型来构筑坚固的防御屏障,尽可能将攻击阻挡在外。
针对APT攻击的愈演愈烈,众多安全厂商也提出了各自的信息安全系统理念。如2011年的RSA大会上,RSA 主席亚瑟 ·W·科维洛提出了应对高端威胁的高端防御战略,即建立高级的安全系统,强调高级的安全系统应该基于风险(了解自己存在的漏洞和可能会被攻击的资产的价值)、具有灵活性(能够结合先进、持续的监测技术)、能够结合具体情境进行分析(使用大数据技术对数据进行智能分析)。然而,目前大数据技术仍处于起步阶段,如此智能的高级安全系统的建设仍需假以时日。
赛门铁克企业信息安全部门高级副总裁Art Gilliland提出从一次典型的网络攻击的行为步骤和可能存在安全威胁的人(如下图)分析企业可能存在的威胁,并针对性地构建完整的防御体系。因此在接入环节中,防御政策主要是进行准入控制,阻断有风险的接入点连接到公司内网。很不幸的是,诸如移动设备、通过家里互联网访问公司内网对于安全部门而言都是有一定风险的接入点,但为了保证业务的灵活性,又不得不允许这种风险接入。而在攻击入侵和窃取信息的环节,最为重要的是保护企业关键的敏感信息。为此企业需要知道敏感信息存储的位置,追踪数据移动和使用的全过程,并将之加密,避免其被非法获取和破坏。如果攻击成功,则需要制定应急计划,包括备份以及数据和系统的恢复,以及如何向媒体和公众解释,反应速度越快入侵带来的损失越少。
此外,绿盟科技CEO吴云坤在2011年的云安全联盟的大会上使用企业IT运维的金字塔模式来分析企业安全运维的现状。企业IT部门在金字塔底层的打补丁和安全配置核查等相关方面发挥了大量的时间和精力,但对于金字塔顶层的最有价值的工作——确保安全策略与业务相呼应上面却无暇顾及,这种现状容易产生安全与业务的脱节,易出现安全事故。安全是三分技术,七分管理,如何将安全策略融入到业务流程中是企业必须思考的问题。
云安全
这个词常被人们提及,一个是指云计算环境中的安全,一个是将云计算技术运用到安全领域。云环境中的安全问题主要包括虚拟化环境下的技术及管理问题;云服务模式带来了所有权管理权和使用权的分离,如何界定用户与服务供应商的不同责任将是一个很大的问题:此外,云平台聚集了大量用户应用和数据资源,这些资源如何安全隔离也是云环境中需要考虑的安全问题。这些安全问题基本都已经提出了相应的解决方案,也是众多网络安全厂商及第三方组织机构正在推进的工作。
在防病毒方面,目前在虚拟化安全方面动作最大的便是趋势科技,其与Vmware一起专门为虚拟机研发了防病毒的无代理安全,能够与虚拟化底层无缝集成。该策略是由VMware提出,旨在解决传统的基于代理的防病毒软件在扫描虚拟化环境时会影响机器性能的问题。然而,赛门铁克并不完全同意VMware的无代理安全方式,认为“没有代理则无法完全解决病毒预防”。
在提供虚拟化流量可见性方面,不少厂商已经推出相应的解决方案。如Net Optics的Phantom 虚拟分路器(Tap)能在一台物理服务器上对虚拟机(VM)之间的流量进行监测,对管理程序栈上虚拟机之间的流量提供全面可见性。
对于将云计算技术运用到安全领域,即以云服务的模式实现安全功能,目前越来越多的安全厂商也开始逐渐将其安全产品搬到云上,并通过服务的模式进行交付。2012年将有越来越多的安全云服务出现。
通过对2011年关键的安全事件和安全理念的梳理,我们发现整个网络安全领域正随着信息化程度的加深,呈现安全威胁日趋复杂,安全需求不断增多的趋势。加之移动化、社交媒体、IT消费化、虚拟化和云计算等全新的IT环境的变化,整个安全技术和解决方案需要不断更新,或许这也是为什么安全云服务将广受青睐的原因,因为它使专业的人做专业的工作,并且随着安全态势的变化实时提供相应的安全保护,而无需重新更换设备和系统。
站在2012年的新起点,让我们期待数据安全、虚拟化安全、安全云服务、威胁防御体系等方面的新进展!
面向用例安全关键系统开发方法研究 第11篇
随着计算机和通信网络技术的飞速发展,软件系统面临着越来越多的攻击。安全性是一个复杂非功能性需求,由系统中许多部分相互协调进行保证,为开发高质量软件系统,在软件开发整个过程中必须一致地考虑安全的方方面面,如果早期没有系统分析安全问题并延迟到后期解决,可能导致系统存在很多安全隐患,纠正将要付出更大的代价。
模型驱动架构MDA(Model Driven Architecture)是国际对象管理组织OMG(The Object Management Group)提出的软件系统开发过程中的模型组织管理框架,通过建模行为的驱动,考虑模型中是否包含与平台技术相关的信息以及不同抽象层次,定义了CIM(计算独立模型)、PIM(平台独立模型)、PSM(平台相关模型)和ISM(实现相关模型),并有效地集成各种跨平台的应用,增强系统的可移植性,然而,在使用uml对安全关键系统进行建模时,现有的基本模型元素无法准确描述系统安全需求,如机密性,真实性以及相关安全策略等。
针对上述具体问题,文献[2]给出基于MDA与UML扩展的安全软件开发方法;文献[3]介绍了集成安全分析的模型驱动软件开发方法, 采用umlsec描述安全性,但上述方法都未给出一种分析安全性的规范,导致umlsec描述安全性时缺乏原则标准,因此提出一种面向用例安全关键系统开发方法OUCDM(The Method Of Security Critical System Development Oriented Use Cases)。该方法以MDA模型框架为基础,从系统需求说明文中提取用例模型UCM(Use Case Model),这是以文本形式描述的,并对UCM形式化规格描述,进一步将UCM集成为合成使用模型SUM(Synthesized Usage Model);在此过程中,给出UCM的安全性分析规范,总结出SUM添加umlsec构造型描述安全性的原则,并利用实现的安全性验证工具进行验证,之后依次实现PIM和ISM完成系统开发。
1 umlsec
umlsec是由德国Jürjens等人为满足开发安全关键系统的需求,在uml基础上进行的安全扩展。
1.1 uml安全扩展机制
umlsec使用uml安全扩展机制———构造型、标记值、约束,以umlsec模板(profile)的形式提供。构造型对新模型元素进行定义,并对uml元模型中现有类型或类语义进行扩展;标记是一种给模型元素附加属性的方法,允许在建模元素中定义标记值,标记值是名字-值对,对应符号是{tag=value}其中标记名为tag,对应value赋值给tag。构造型和标记一起用于形式化规范系统环境的安全需求和假设;约束提供了决定系统设计是否满足这些安全需求的标准。
1.2 umlsec构造型设计原则
Step1 分析系统安全需求s-requirment;
Step2 根据安全需求的类型确定关键点k-point,每个关键点对应一类构造型;
Step3 构造型ST可定义为一个五元组:ST={type,name,tag,constrain,associate-on}, type表明构造型的应用范围;name表示构造型的名字;tag为构造型关联的标记值; constrain描述构造型的约束条件; association描述了所属构造型和其它构造型的关联关系。
1.3 典型构造型形式化描述
S代表构造型应用范围子系统,A代表敌手类型并且由标记{adversary}规范,T代表与构造型关联的标记,则形式化描述分别如下:
• critical
在S中,该构造型与T∈{{secrecy}、{integrity}、{authenticity}、{fresh}}关联时,标注S中关键数据。{secrecy}的值为被保护机密性的表达式、属性、或消息因变量的名;{integrity}的值为(v,E),v是要保护完整性的变量,E是赋给v的可接受表达式集合;{authenticity}的值为二元组(a,o),a提供认证属性的数据,o存储数据的来源;{fresh}的值为新鲜生成的原子数据。
• fair exchange
在S中,该构造型与T∈ {{start}、{stop}}关联时,其值为(good,state);S执行A的《fair exchange》的约束,对于S的每个执行e,∃n∈N, 使得对每一个输入序列i1,…,in,∃e′是e的扩展,在e′中{stop}状态至少和e中的{start}状态一样多。
• provable
在S中,该构造型与T∈{{action}、{cert}}关联时,{cert}包含一个表达式,用于证明{action}中给定的动作被有效执行;S满足约束,仅当以下条件对A成立,即对每个S中的执行e来说,如果在{cert}中的表达式被给定为在e中的状态S输出,那么{action}指定的状态就作为在e中状态S之前的当前状态出现。
2 面向用例安全关键系统开发方法(OUCDM)
OUCDM从分析系统需求文档的用例,建立UCM,并进行UCM形式化规格描述, 之后给出UCM安全性分析规范;将UCM集成为SUM,并为SUM添加umlsec构造型描述安全性,在此基础上,利用安全性验证工具对SUM中umlsec构造型描述的安全性进行验证。
2.1 OUCDM框架
如图1所示:OUCDM框架分为三个阶段,CIM阶段建立UCM并对形式化规格描述后的UCM进行安全性分析;PIM阶段集成为SUM并添加umlsec构造型描述安全性,进一步对安全性验证;PSM和ISM阶段将模型转化为代码,完成系统开发。
2.2 UCM
2.2.1 基本概念
使用者是使用系统时具有相似行为的一类用户扮演规定的角色。用户可以是人、外部系统或者与系统进行通信的设备。使用者被认为是一个类,而用户则是类的一个实例。
用例是一个规定的使用者执行系统某个连贯功能单元的描述。
2.2.2 统一描述术语
系统需求文档描述用例时存在以下问题:首先是用例的语义没有进行清晰的定义,其次哪种类型的事件应该被关注。这些问题将导致无法对用例进行形式化描述及验证,因此,我们必须对用例进行统一描述。
根据需求文档中用例描述的相关内容,系统的用户类及其对象,用例静态域对象以及对象的属性和方法,用户和系统通信的激励和响应,用户和系统行为,事件流以及触发条件,总结出UCM统一描述术语包含:使用者、前置条件、触发/包含(变量)、行为事件流描述、影响应用核心的类、后置条件、用例的名称。
2.2.3 UCM的形式化规格
UCM的形式化是指为每个UCM生成一个形式化用例规格,由顺序图描述,主要步骤如下:
(1) 明确UCM的关键输入/输出对象;
(2) 明确UCM的原子操作;
(3) 生成一个形式化的用例规格,由顺序图表示。
2.2.4 安全性分析
系统功能性规范已经精确到用例,必须把所有的安全需求影射到用例。为追溯阐述UCM的安全需求,主要从以下几个方面进行安全性分析:
(1) 使用者相关风险:使用者信息可能遭到破坏,从而进行冒名顶替;
(2) 安全关键输入/输出数据:在通信过程中可能被敌手进行攻击,数据在发送和接受中可能由于安全级别的高低,存在泄露信息的可能;
(3) 用例影响哪些应用核心类安全:用例行为可能对应用核心类的安全造成影响;
(4) 如何扩展系统行为实现安全规范。
根据UCM的安全性分析,可以分为安全关键UCM和非安全关键UCM。
2.3 SUM
2.3.1 UCM集成
UCM集成是指将各个形式化的用例规格进行合成,生成一个SUM,主要包含要素:使用者、应用核心类、用户行为和系统行为。SUM由uml图描述,其中类图描述SUM静态结构应用核心类,而使用者和系统行为则主要由用例图、活动图、时序图和部署图等描述,其中用例图主要是捕获SUM的需求,特别是安全需求,活动图描述了用户使用系的安全行为规程,部署图描述了物理层的安全。
2.3.2 安全扩展
根据UCM安全性分析,总结得出从以下几个方面为集成后SUM添加umlsec构造型描述安全需求:
(1) 安全属性:描述应用核心类的机密性和完整性<<secrecy>>和<<integrity>>;
(2) 安全策略: 描述使用者身份的真实性以及访问应用核心类权限的逻辑分离<<access>>和<<rbac>>;
(3) 安全通信:描述通信链路的安全性<<sceure links>>;
(4) 安全信息流:描述高级别的信息不会被低级别的用户接收或发送<<no down flow>>;
(5) 安全行为:描述行为的有效性和公平性<<provable>>和<<fair exchange>>。
2.3.3 安全性验证
为确保安全关键系统能够满足安全需求,利用安全性验证工具对SUM中umlsec构造型描述的安全性进行验证,从而在系统开发早期发现和弥补存在的安全漏洞。
3 OUCDM应用
以基于互联网的商业应用系统为例, 阐述如何使用OUCDM开发包含安全需求的应用系统。
3.1 UCM描述
对于示例应用系统,包含UCM有查询商品、支付、发送订单、收集订单等,按第2节介绍的OUCDM方法分析UCM,以安全关键UCM付款为例。
3.1.1 按照统一描述术语描述
用例: 付款
前置条件: 输入客户ID、订单ID、信用卡号、 信用卡有效日期;
后置条件: 输出消息OK;
使用者: 客户;
影响应用核心的类:付款、信用卡、订单;
描述: 当客户支付订单时,系统获得顾客ID和订单ID。付款之前,客户输入信用卡号和卡的有效日期,系统将从指定的信用卡帐户检查信用卡数据和借记订单价格;在付款后,系统发送一个消息“OK”给客户;
触发/包含(变量):客户ID无效、订单ID无效、信用卡号或卡有效日期检查失败,则付款失败。
3.1.2 UCM的规格描述
key object: 顾客ID、订单ID、信用卡号、信用卡有效日期、ok;
automic action:send,pay,check,return;
顾客:send(顾客ID、订单ID、信用卡号、信用卡有效日期),pay;
系统:check(顾客ID、订单ID、信用卡号、信用卡有效日期),return ok。
UCM付款的顺序图描述如图2所示。
3.2 UCM安全性分析
为确保UCM付款中key object的安全属性,添加<<integrity>>和<<secrecy>>描述机密性和完整性,前者规定对象只能读取,不能被修改;而后者禁止外部对象读写和访问。
除了对key object的安全属性进行umlsec描述外,还需从用户访问key object的安全策略以及key object传输过程中安全通信添加<<rbac>>和<<secure links>>。其中<<rbac>>描述顾客访问key object的策略,实现顾客与访问应用核心类权限的逻辑分离;而<<secure links>>关联<<internet>>和<<secrecy>>描述建立安全通信连接,<<internet>>标记了客户端到服务器的链路连接,<<secrecy>>描述了key object的机密性。
3.3 从UCM到SUM
在完成对系统UCM分析之后,将查询商品、支付、发送订单、收集订单集成为SUM。其中SUM安全属性由应用核心类图添加<<integrity>>和<<secrecy>>描述,安全行为由用例图捕获,并通过为UML活动图添加<<fair exchange>>进行描述,安全策略和安全通行由部署图描述。
3.3.1 SUM安全性描述
图3表明了SUM应用核心类之间的依赖关系以及安全属性的描述。
图4所示:当客户和商家在网上进行交易时, 用例图捕获的安全需求是客户付款行为被证明有效前提下,要么拿到订单,要么索回付款,从而实现和商家公平交易。
SUM活动图描述客户和商家进行交易的行为,通过添加构造型<<fair exchange>>来描述用例图捕获的安全需求。
定义:活动图是一个D=(W,JF,BM,T,F,C) 六元组,W表示非空的有限活动集,w0是初始活动,wn是结束活动,JF是并发分支与汇聚结点集,BM是条件分支与汇聚结点集,T是非空的有限转移集,C是有限条件转移表达式,F表示活动与转移之间的流关系。
在图5中: BM={bm1 },JF={jf1}为, C={c1,c2},{start= w1}、{stop= w4}为构造型<<fair exchange>>的标记值。
在图6中, BM={jf1′,jf2′},JF={bm1′},JF={bm1′},C={c1′,c2′},{{start=w1′}、{stop=(w5′,w6′)}}为构造型<<fair exchange>>的标记值。
如图7所示: 部署图描述了顾客使用系统时,必须建立安全通信连接和明确顾客访问应用核心类的特权。
3.3.2 安全性验证
通过安全性验证工具对SUM活动(图5和图6)的<<fair exchange>>的约束(当客户的付款行为通过构造型<< provable >>确保有效的前提下,客户要么收到订单,要么索回支付款)进行验证,其结果为:图5,当执行w1后,如果c1和c2都成立且执行w3情况下,才能执行w4,否则的话,当执行w1,无法执行w4,违背c2′了构造型<<fair exchange>>的约束条件,只要start是可达,则 stop最终可达。图6,当执行w1′,如果c1′和c2′都成立且执行w4′情况下,则执行w6′,否则执行w5′,因此满足了构造型<<fair exchange>>的约束条件。
4 支持工具的设计
4.1 验证工具框架
为支持本文介绍的面向用例安全关键系统开发方法(OUCDM),验证SUM中添加构造型能否满足安全需求,设计开发了支持umlsec的验证工具, 其框架如图8所示。
Umlsec验证工具可以添加各种构造型的验证插件,通过加载插件实现自动检测SUM中umlsec构造型的相关约束,从而判断应用系统能否满足特定的安全需求。其验证过程首先将uml模型存储到MDR仓库内,并通过MDR仓库生成的JMI接口来访问该模型;静态检查器对模型进行解析,验证其静态属性,将结果发给错误分析器;动态检查器把相关的uml模型部分转化为模型检查器的输入语言,通过模型检测器进行验证,并将验证的结果发给错误分析器;错误分析器用所搜集的信息,包括来自静态检查器和动态检查器的信息,生成一个文本型报告。
4.2 实例验证
通过支持工具验证SUM活动图图6是否满足构造型<<fair exchange>>描述的安全性需求。
活动图和状态图的验证原理相同,都是通过静态或者动态检查器来检查模型中的状态是否可达,而状态图被形式化定义为D={Objects,Class,States,Initials,Tranisitions},把状态图的一个对象
通过验证支持工具对SUM活动图图6的构造型<<fair exchange>>的安全性进行验证的结果可知, <<fair exchange>>能够满足安全需求。
5 结 语
本文介绍一种面向用例安全关键系统开发方法,通过分析UCM的安全性,在SUM中添加umlsec构造型进行安全性描述,并进行验证,不仅确保了系统的安全需求,同时提高了系统的开发效率。在下一步的工作中,研究一种自动分析形式化规格描述的UCM安全性算法,从而实现一个自动分析,描述以及验证安全性的工具,并将该方法应用于更多的系统开发项目中。
参考文献
[1]Rodriguez A,Fernandez-Medina E,Piattini M.An MDA Approach toDevelop Secure Business Processes Through a UML 2.0 Extension[J].Computer Systems Science and Engineering,2007,22(5):307-319.
[2]陈峰,李伟华,房鼎益,等.集成安全分析的模型驱动软件开发方法研究[J].计算机科学,2009,36(11).
[3]袁柯,宋顺林,姜自雷.基于MDA与UML扩展的安全软件开发方法[J].计算机工程,2011,37(15).
[4]Muhammad Qaiser Saleem,Jafreezal Jaafar.Model Driven SecurityFramework for Definition of Security Requirements for SOA Based Ap-plications[C].ICCAIE,2010.
[5]Bjrn Regnell,Kristofer Kimbler,Anders Wesslén.Improving the UseCase Driven Approach to Requirements Engineering[J].IEEE,1995.
[6]Jan Jürjens,Pasha Shabalin.Automated Verification of UMLsec Modelsfor Security Requirements[J].Computer Science,2004.
[7]Jan Jürjens.UMLsec:Extending UML for Secure Systems Development[J].Computer Science,2002.
【安全关键系统】相关文章:
分布式安全关键系统08-23
安全关键技术07-02
安全生产[关键词06-16
关键岗位安全责任书09-04
关键设备安全管理制度01-25
网络安全风险评估关键技术研究09-11
食品分析及安全检测关键技术分析09-12
设施蔬菜安全优质高效生产关键技术与应用01-25
4关键岗位从业人员食品安全岗位职责06-21