通用计算机系统的可信增强研究

提出了基于USB-KEY的通用计算机系统的可信增强方案.该方案能够帮助用户在现有计算机系统上获得和可信计算机几乎相当的安全保护,方案中开发的各种信任链软件和安全协议栈与现有应用系统保持兼容,并能很好地迁移到将来的可信计算平台当中.探讨了基于USB-KEY对通用计算机系统进行可信增强的若干问题,并构建了一个原型系统.测试结果表明:可信增强的改造方案不仅成本低廉,实施方便,而且能够确保系统被授权使用,有效抵御病毒和木马的攻击,为用户营造一个安全稳定的计算环境.

以学科竞赛为引领的信息安全能力培养

基于网络与信息安全专业人才缺乏解决实际问题的创新能力,阐述信息安全专业建设急需解决的问题,提出以能力为导向的信息安全人才能力培养新模式,以全国大学生信息安全竞赛为契机进行教学改革。

一种新的进程可信保护方法

针对计算机端系统中病毒和木马导致应用程序缺乏可信性的问题,提出了一种新的进程可信保护方法.该方法采用可信计算平台技术,通过度量进程代码和数据的完整性断定其信任性.并综合运用软硬件控制,采用单向散列算法,在通用开放的计算机系统中建立起用户到进程的可信道路,保证了进程代理用户任务的可信性.实际测试结果表明该方法能够增强操作系统的安全性,确保关键应用在不安全的环境中顺利执行,并防止重要文件的非授权使用.

以学生为中心的教学模式研究与实践——记信息安全导论小班教学改革

以作者亲历加拿大ISW和CDI教学培训为切入点,对"以学生为中心"的教学模式进行研究和思考,阐述对信息安全导论课程进行小班教学并实施新教学模式的方法和具体举措。

基于生物击键特性的访问控制

访问控制在安全领域起着越来越重要的作用,个人的一些生物特征具有唯一性而且难以改变,利用这些特征识别用户身份,从而进行系统访问控制具有很强的优势。论文首先通过对人体生物击键特性的分析,阐述了基于生物击键特性的访问控制过程;然后对已有的击键序列识别算法进行分析,提出了一种新的自适应击键特性识别算法。该算法能够适应用户敲击键盘熟练程度的变化,并可防止输入过程中的个别“奇点”影响整体的识别效果。算法改进的讨论中,通过改变特征数据的存储结构使得用户修改密码后,算法仍然能够从历史数据中挖掘击键特性,提高学习效率。最后的测试结果和理论分析都表明该方法对于因密钥丢失导致的系统失控具有很好的防护作用。

“计算机原理”课程教学模式的新探索

本文介绍了我院＂计算机原理＂课程组在总结课程教学特点的基础上大胆改革，创新性地提出了四维教学模式。通过两年教学实践表明，新的教学模式可以极大提高学生学习兴趣、巩固课本知识，培养创新能力。

类比治安系统的开放式网络安全管理

网络安全一直是人们研究的热点,但目前重在研究服务器如何对黑客的破坏和攻击严防死守,对整体网络的安全管理模式研究却不成熟。借鉴现实社会中治安管理的思路,建立信息网络安全管理框架是一个有意义的研究课题。本文首先对社会治安管理和网络安全管理进行了类比分析,建立了安全案件受理中心的三层管理框架;接下来就该框架中如何加强端系统安全等关键问题进行了深入讨论;最后给出了模型的模拟测试结果。

分布式系统的多级信任保护方法

随着网络和分布式系统的不断发展,异地协同办公的需求不断增强.然而,现有的网络环境存在诸多不安全的因素,用户存在着对信息系统的信任危机.在国际TCG倡导的可信计算平台的基础上提出了基于信息完整性度量与验证的多级信任保护方法.从平台可信保护、进程可信保护、资源可信保护和用户可信保护4个方面阐述了该方法的相关技术,并提出了基于多级信任保护技术的多级访问控制思路.最后给出了多级信任保护方法的应用案例.

基于Linux的安全文件系统MultSecFS

从分析现有文件系统的安全性入手，介绍了一种基于Linux的适合保护企业关键数据的多版本安全文件系统MultSecFS，并阐述了MultSecFS的主要功能与实现，最后对MultSecFS的性能进行了分析。

系统可信性验证方法研究

随着病毒、木马等危害的日益严峻,可信逐渐成为计算机系统安全的重要标志。由于可信的定义不统一,可信的内涵和相关理论研究还比较落后。文章从可信概念的追溯入手,总结可信的基本属性,提出了计算机系统可信性验证的一般方法,并从身份、行为、内容和环境四个方面进行了详细说明。在此基础上,结合可信验证的分类给出了相关引理和证明。最后应用可信验证方法提出了一种对系统安全进行增强实施的可信赖引用监控器模型。

一种新型病毒主动防御技术与检测算法

在已有的病毒行为分析和模式识别技术的基础上,提出以用户行为模式为核心的主动防御策略,即识别用户的正常行为模式,在检测到异常行为时,判断出系统是否遭受到了恶意攻击。这种策略不依赖于恶意程序的繁衍和变迁,可以使防御技术不受制于恶意程序。对该防御策略进行了实现,并在虚拟执行环境下进行了实验,实验结果表明,该策略对未知病毒有较高的识别度。

基于TNC的安全认证协议的设计与实现

安全协议是保证网络安全的基础,现有安全协议为服务器和网络提供了很好的保护,但对客户终端缺乏保护。该文以可信网络连接(TNC)的终端完整性度量思想为基础,提出了一种基于TNC结构的安全认证协议。该协议在可信计算环境下将终端完整性度量技术与公钥基础设施(PKI)相结合使用,确保了终端平台的可信性。

一种实现数据主动泄漏防护的扩展中国墙模型

中国墙模型具有能够同时提供自主控制和强制控制的特性,因而被广泛应用于商业领域中,以防止有竞争关系的企业之间的信息流动而导致利益冲突.但是由于对读写约束过于严格,因而应用范围有限,特别是在数据泄漏防护的应用中未能发挥其优越性.针对数据泄漏防护对信息流动的控制需求,从数据客体的角度出发,考虑中国墙模型中的利益冲突问题,提出了主动冲突关系的概念,将原来对信息双向流动的约束转换为对单向流动的约束.在此基础上,提出了一种可以实现数据主动泄漏防护的扩展中国墙模型ACWM(aggressive Chinese wall model),并给出了模型的形式化描述和相关定理的证明.分析表明,ACWM模型可以实现传统中国墙模型的安全目标,而约束条件更加灵活,可以实现数据泄漏防护的需求.

一种面向软件生命周期的授权保护系统设计与实现

当今软件行业开发模式由独立开发转向协同开发,销售形式由软件整体销售转向权限控制销售,原有的加密狗、注册码等单项软件保护技术已很难适应当前软件在开发、销售及使用等过程中各环节对产权保护所提出的新需求,软件侵权问题日益严重。针对以上情况,设计了一种面向软件生命周期的新型软件授权保护系统,该系统综合使用U-Key技术、身份认证及数字签名技术、证书链和硬件加密技术,并采用了可由开发商自填写的组件功能模板和以组件为基本授权实体的许可证文件技术加以实现。实现表明,系统结构合理,各项功能正确,可以满足软件在开发、销售和使用环节上对安全性的需求。

BOPPPS模型在信息安全数学基础课堂中的应用

针对信息安全数学基础课堂教学中存在的教学方法单一和学生参与性不足等问题,提出结合课程的特点及知识体系,将国际前沿教学理念——BOPPPS模型教学运用到信息安全数学基础课程的设计中,通过课堂导入、明确课堂目标、课堂前测、参与式学习和课堂后测、课堂总结6个环节设计了完整的课堂内容。

显示器电磁木马的Soft-TEMPEST技术研究

显示器电磁木马是通过控制计算机屏幕电磁辐射达到窃取信息目的的一种新型木马。当前的主流防护思想是用软件防护代替较为成熟但造价昂贵的硬件防护机制,然而目前软防护思想大多侧重于理论方法的探索,在实现机制上相对比较复杂。针对显示器电磁木马的工作特点提出了Soft-TEMPEST防护机制,设计了显示器电磁木马的ADFA(API Detection and Frequency Analysis)检测方法。该方法通过API函数序列的周期性挖掘分析,结合对屏幕像素信息的傅里叶变换及频谱分析,达到检测出木马进程的目的。测试结果表明,该方法能够成功检测出多种显示器电磁木马,而且原理简单,方便投入使用。

TRSF:一种移动存储设备主动防护框架

移动存储设备属于被动设备,其安全防护往往依赖于终端系统的安全机制,在提供安全性的同时会降低系统可用性.本文提出了一种基于可信虚拟域的移动存储设备结构框架TRSF(TrustedRemovable StorageFramework)实现存储设备的主动防护.TRSF将智能卡芯片和动态隔离机制绑定到存储设备中,并由片上操作系统构建从底层可信平台模块到隔离运行环境的可信数据通道,从而为移动存储设备在非可信终端系统中被非可信进程访问和使用提供一个可信虚拟环境.最后基于TRSF实现了一款主动安全U盘UTrustDisk.与没有增加主动防护机制相比,增加该机制导致平均读写性能开销分别增加了7.5%和11.5%.

DIFS:基于临时文件隔离实现数据泄漏防护

很多第三方文档处理软件在编辑处理文档的过程中都会产生一些必要的临时文件.这些临时文件通常位于系统临时目录或者软件安装目录等非保护域中,因此可能成为数据泄漏的重要通道.为解决这一问题,研究实现了一种动态隔离文件系统DIFS.DIFS动态监控临时文件的访问操作,并通过动态隔离机制将临时文件重定向到与对应源文件相同的保护域中.给出了在Windows系统平台下的实现框架和关键技术,并对系统的空间和时间开销进行了测试分析.实验结果说明,DIFS的空间和时间开销对系统性能影响不大.

一种支持服务恢复的文件备份恢复技术研究与实现

面对入侵和攻击事件如此频繁的网络环境,信息系统应急响应服务恢复已经成为保障信息系统强生存性的重要手段,传统的数据备份恢复技术难以满足实际的服务恢复应用需求.因此,从保障服务应用连续性入手,在数据备份过程中,通过实时监控对文件的修改操作,针对此操作对文件进行分片备份,并根据文件系统中链式存储的特性记录这些分片的簇信息;在数据恢复过程中,通过将选择出来的文件分片集合进行扇区重组,从而实现在数据恢复过程中无拷贝恢复文件.对数据备份恢复系统进行的测试表明,新方法能够极大地提高数据恢复的效率,从而满足信息系统服务恢复的高实时性和高连续性应用需求.

基于学习圈理论的五步递进教学方法设计

针对内容安全课程的重要性以及当前教学中存在的问题,基于学习圈理论提出"案例体验—原理剖析—设计实现—测试检验—拓展创新"的五步递进教学方法,阐述五步递进教学方法在内容安全课程中的应用情况及注意事项,并说明教学效果。