基金项目基金项目:贵州省科技厅社发攻关项目(黔科合SY字2012-3050号);贵州大学自然科学青年基金项目(贵大自青合字2010-026号);贵州大学教育教学改革研究项目(JG2013097)
作者简介作者简介:张文勇(1973-),男,贵州台江人,硕士,贵州大学计算机科学与技术学院讲师,研究方向为网络与信息安全;李维华(1961-),男,贵州贵阳人,贵州大学计算机科学与技术学院高级实验师,研究方向为网络与信息安全;唐作其(1980-),男,贵州兴义人,硕士,贵州大学计算机科学与技术学院副教授,研究方向为信息安全保障体系。
0引言
1信息安全等级保护对学生能力培养的作用
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段,信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善,信息安全等级保护测评人员的技术要求涵盖多个方面,包括物理环境、主机、操作系统、应用安全、安全设备等,因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求,主要体现在以下4个方面:①培养学生了解国家关于非信息系统保护的基本方针、政策、标准;②培养学生掌握各种基本信息安全技术操作技能,熟悉各种信息系统构成对象的基本操作,为将来快速融入到信息安全保护实践工作奠定基础;③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力;④培养学生建立信息安全等级保护的基本意识,在工作实践中自觉按国家信息安全等级保护要求开展工作,有利于促进国家信息安全等级保护政策实施。
2实训教学知识体系
3实训教学实施
教学实施依据实训教学知识体系进行,教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。
3.1基本理论教学
该环节采用集中课堂教学方式,讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重,讲解重点包括:①信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读;②信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。
理论教学在突出重点的同时,兼顾全局,让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。
3.2基本技能实训
基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先,应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统,并编写好对应的信息安全等级保护现场测评指导书;然后,指导学生在模拟系统上进行现场测评实训,实训过程按信息安全等级保护现场测评指导书要求进行,实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。
(1)网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练,要求学生理解网络设备和安全设备的安全功能及安全设置,掌握设备的运行状态和信息数据采集方法。
(2)主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练,包括操作系统、数据库系统、中间件等,要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训,学生应具备系统软件安全配置核查和运行状态信息采集能力。
(3)应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练,要求学生理解应用软件的安全功能设计要求,掌握应用软件的安全配置核查和安全功能验证方法。
(4)数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练,让学生了解磁盘冗余阵列的验证方法;通过训练学生在操作系统和数据库管理系统上配置计划备份任务,使其理解系统软件的数据备份安全功能,掌握系统软件的备份操作计划配置和验证方法。
(5)自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描,获取信息系统主要软硬件的漏洞,并验证系统的脆弱性。本部分获取的原始数据作为(1)、(2)、(3)部分的补充,通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。
3.3能力提高实训
在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训,本模块主要培训学生对原始数据的分析、整理,并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目,各项目之间的关系流程如图2所示。
(1)通过基本技能实训获取到原始数据后,根据信息安全等级保护测评过程要求整理、分析原始数据,开展单元测评,并给出各单元层面内控制点中检查项的符合性,分析并给出单元测评结果,按信息安全等级保护报告模板编写单元测评报告。
(2)在完成单元测评后,由于单元测评参照的信息相对独立,未考虑原始数据间的关联性,而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果,因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性,这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用,应从整体角度对信息系统安全的状态进行修正。
(3)风险分析结果是制订信息安全系统防护措施的重要依据,风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算,并编写风险分析报告。
4结语
在信息安全专业的实践教学中引入信息安全等级保护内容,实训教学知识体系完全参照信息安全等级保护要求来构建,信息安全等级保护知识体系完善,保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能,通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险,并编制符合信息安全等级保护要求的安全防护方案,提高学生综合运用信息安全技术解决实际问题的能力,较好地满足了社会对信息安全人才的需求,深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎,为学生毕业后尽快适应工作要求奠定了基础。
由于实验环境的限制,所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足:①实训教学体系未涉及虚拟化、云计算、物联网安全实训,而这些是当前发展较快且正被广泛运用的信息技术;②由于渗透测试对测试环境搭建和学生基本技能要求较高,因而实训教学体系中并未涉及渗透测试项目;③信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容,可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈,而在实训中难以模拟一个完整的安全管理体系实际案例,所以在实训中安全管理部分更多地是采用课堂教学讲解,没有操作实训。这些在后续教学实践工作中都有待改进。
参考文献参考文献:
[1]杨冬晓,严晓浪,于慧敏.信息类特色专业建设的若干实践[J].中国电子教育,2010(1):3945.
[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育,2015(23):3033.
[3]张胜生,吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集,2012:8385.
[4]李琳,陈东方,李涛,等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014,10(35):85148515.
[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究,2015(2):64.
[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2015.
[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(中级)[M].北京:电子工业出版社,2015.
[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程(初级)[M].北京:电子工业出版社,2015.
【关键词】等级保护;虚拟专网;VPN
1.引言
2.信息安全管理体系发展轨迹
对于信息安全管理问题,在上世纪90年代初引起世界主要发达国家的注意,并投入大量的资金和人力进行分析和研究。英国分别于1995年和1998年出版BS7799标准的第一部分《信息安全管理实施细则》和第二部分《信息安全管理体系规范》,规定信息安全管理体系与控制要求和实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,是一个全面信息安全管理体系评估的基础和正式认证方案的根据。国际标准化组织(ISO)联合国际电工委员会(IEC)分别于2000年和2005年将BS7799标准转换为ISO/IEC17799《信息安全管理体系实施细则》和ISO/IEC27001《信息安全管理体系要求》,并向全世界推广。中国国家标准化管理委员会(SAC)于1999年了GB/T17859《计算机信息系统安全保护等级划分准则》标准,把信息安全管理划分为五个等级,分别针对不同组织性质和对社会、国家危害程度大小进行了不同等级的划分,并提出了监管方法。2008年制订并下发了与ISO/IEC17799和ISO/IEC27001相对应的GBT22081-2008《信息安全管理体系实用规则》和GBT22080-2008《信息安全管理体系要求》。
3.信息系统安全的等级
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,国家公安部、保密局、密码管理局和国务院信息化工作办公室等,于2007年联合了《信息安全等级保护管理办法》,就全国机构/企业的信息安全保护问题,进行了行政法规方面的规范,并组织和开展对全国重要信息系统安全等级保护定级工作。同时,制订了《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》和《信息系统安全等级保护定级指南》等相应技术规范(国家标准审批稿),来指导国内机构/企业进行信息安全保护。
在《信息系统安全等级保护基本要求》中,要求从网络安全、主机安全、应用安全、数据安全及备份恢复、系统运维管理、安全管理机构等几方面,按照身份鉴别、访问控制、介质管理、密码管理、通信和数据的完整、保密性以及数据备份与恢复等具体要求,对信息流进行不同等级的划分,从而达到有效保护的目的。信息系统的安全保护等级分为五级:第一级为自主保护级,第二级指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级。
针对政府、企业常用的三级安全保护设计中,主要是以三级安全的密码技术、系统安全技术及通信网络安全技术为基础的具有三级安全的信息安全机制和服务支持下,实现三级安全计算环境、三级安全通信网络、三级安全区域边界防护和三级安全管理中心的设计。
图1三级系统安全保护示意图
图2VPN产品部署示意图
4.VPN技术及其发展趋势
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。VPN通道的加密方式成为主要的技术要求,目前VPN技术主要包括IPSecVPN,非IPSecVPN(如PPTP,L2TP等),基于WEB的SSLVPN等。
IPSecVPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障,协议包括AH、ESP、ISAKMP等协议。其通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。通过采用加密封装技术,对所有网络层上的数据进行加密透明保护。IPSec协议最适合于LAN到LAN之间的虚拟专用网构建。
整个VPN通信过程可以简化为以下4个步骤:
(1)客户机向VPN服务器发出连接请求。
(2)VPN服务器响应请求并向客户机发出身份认证的请求,客户机与VPN服务器通过信息的交换确认对方的身份,这种身份确认是双向的。
(3)VPN服务器与客户机在确认身份的前提下开始协商安全隧道以及相应的安全参数,形成安全隧道。
(4)最后VPN服务器将在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的内部网络。
5.VPN技术在等级保护中的应用
在三级防护四大方面的设计要求中,VPN技术可以说是在四大方面的设计要求中都有广泛的应用:
在安全区域边界的设计要求中:网络边界子系统的边界控制与VPN功能一体化实现,在保证传输安全性的同时提高网络数据包处理效率。
在安全通信网络的设计要求中:网络安全通信的子系统主要是为跨区域边界的通信双方建立安全的通道,通过IPSEC协议建立安全的VPN隧道传输数据。完成整个应用系统中边界或部门服务器边界的安全防护,为内部网络与外部网络的间的信息的安全传输提供加密、身份鉴别及访问控制等安全机制。在客户端和应用服务器进出的总路由前添加网络VPN网关,通过IPSEC协议或者SSL协议建立VPN隧道为进出的数据提供加密传输,实现应用数据的加密通信。
在信息系统安全等级保护设计中VPN产品的部署示意图如图2所示。
动联身份认证产品
动联动态密码身份认证软件支持多种动态密码认证技术形式,为用户的账号提供全面的保护。通过动态密码保护账号,可以有效防止盗号木马攻击;通过主机认证,可以有效防止网络钓鱼;通过签名动态密码,可以有效保护用户交易的真实性和安全性,防止中间人攻击。动联身份认证软件支持多种的动态密码认证终端,并支持多种终端混合使用。支持的终端形式包括多种品牌的多个型号的硬件动码令、软件动码令、手机动码令、SIM动码令和短信动码令等。客户可以根据自己的实际需求和预算选择适合自己的认证终端。
动联身份认证软件具备极高的性能,只需采用一套动联身份认证软件就可以为企业主要信息资产提供全面的动态密码保护,保护的范围包括多个应用系统、VPN访问、大型数据库、网络设备、服务器和计算机终端。
动联提供全面的接口调用,包括Socket方式(可提供Jar包、动态链接库或Socket编程方式)、支持WebServices,支持Radius协议。与应用系统的集成开发极为方便,在实际的应用案例中,往往1~3天内即可完成。
动码令用户终端
完全兼容现有电子政务系统的基础认证体系,包括公务员内部办公认证、外部公众身份认证等。在认证过程中,不影响电子政务系统的原业务逻辑,与电子政务系统应用服务器之间的通信过程中采取双向身份认证的机制,能够保证整个认证过程不被绕过。
动联电子政务解决方案符合国家“信息安全等级保护条例”等政策性要求,从物理安全、网络安全、主机系统安全、应用安全等各方面提供了身份鉴别保护,帮助政府提高政务工作的效率,提升电子政务系统的安全等级。
网上银行解决方案
关键词:电子政务信息安全
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
提起《指导意见》的背景,印·希尔咨询高级咨询师刘秀丽认为,经过近几年的发展,我国物联网在技术研发、标准研制、产业培育和行业应用等方面初步具备了一定基础。2012年我国物联网产业市场规模达到3650亿元,比2011年增长了38.6%。不过在迅速发展的同时,产业基础薄弱、关键核心技术有待突破、网络信息安全存在潜在隐患等问题依然突出,亟需加强引导和加快解决。
从物联网全球竞争形势来看,物联网目前仍处于起步阶段,在全球还没有成熟的技术和标准,发达国家一方面加大力度发展传感器节点核心芯片、嵌入式操作系统、智能计算等核心技术,另一方面不断加快标准制定和产业化进程,积极谋求在未来的物联网大规模发展及国际竞争中占据有利位置。基于物联网的战略地位及其在国内的发展现状,我国政府亟需大力推动行业标准制定。因此,在此前颁布的政策的基础上,细化和明确产业发展指导规范,是物联网发展的当务之急。
“物联网产业链分布广,具有很强的行业示范作用,在政策支持下,这一新兴行业将吸引众多投资者进入,此次《指导意见》出台,物联网产业链上的行业,如无线通信、有线通信、设备和芯片等都会成为受益者,这无疑会推动中国物联网市场快速发展。”刘秀丽如此评价《指导意见》。
物联网促终端融合
以长虹为代表的家电企业,近年在以“智能家居系统”为代表的物联网智能技术研发及重大应用等领域,持续发力,走在行业的前列。
长虹还将物联网技术应用到智慧家庭中,使新一代的信息技术与消费者的生活需求紧密结合起来,集中反映了我国物联网产业在应用示范、技术研发等方面所取得的阶段成果和未来发展的考虑。长虹表示,未来将以智能家电为基础,逐渐开展智能小区和智能家居系统方案设计服务,提供成套解决方案,并建设运营维护E家平台,为消费者提供各种个性化服务,如远程教育、团购、缴费等服务。
鼓励民间资本进入物联网
安全问题较突出
值得注意的是,本次《指导意见》重点提及了安全保护。“强化安全意识,注重信息系统安全管理和数据保护。加强物联网重大应用和系统的安全测评、风险评估和安全防护工作,保障物联网重大基础设施、重要业务系统和重点领域应用的安全可控。”《指导意见》这样提及。
对于物联网安全问题的重要性,中国联通物联网办公室主任马彦这样认为,物联网的某些应用,如车联网和移动医疗等,可能会涉及人生安全,一旦出现安全问题,后果将不堪想象。因此物联网的安全标准要远远高于互联网的安全标准。
不过,现实情况是,目前国内外的物联网安全都还处于起步阶段,虽然在无线传感器网络和射频识别领域有一些针对性的研发工作,但是统一标准的物联网安全体系尚未正式形成。国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路,对如何为物联网划分安全等级的研究还较少。
“从物联网安全需求和特点可以看出,物联网安全将是其能否真正普及的决定性因素,物联网的发展已经开始加速,对安全的需求日益迫切。”刘秀丽表示。
网络层和应用层应区别对待
对于如何构建物联网安全保障体系,《指导意见》提出:“完善安全等级保护制度,建立健全物联网安全测评、风险评估、安全防范、应急处置等机制,增强物联网基础设施、重大系统、重要信息等的安全保障能力,形成系统安全可用、数据安全可信的物联网应用系统。”
刘秀丽认为,与互联网安全相比,物联网安全呈现出平民化、轻量级、非对称和复杂性等特点。