导语:如何才能写好一篇智能医疗调查报告,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
今年会议的主题是:创新、影响、成效、前进。会议安排的内容十分丰富,形式也多种多样,包括了展览、拓导课、社交活动、教育讲座、互动操作、圆桌会议、论坛等等。
大会初体验
会议的核心内容基本围绕着总结美国有意义应用MU(MeaningfulUse)第一阶段的执行情况,如何开展第二阶段,以及IT新技术所带来的HIT的创新变化进行。会议期间了《第25届HIMSS年度权威调查报告》和《2013年HIMSS移动医疗调查报告》,前者重点描述了HIT过去25年的发展历程,后者旨在评估医疗服务提供商在改进病人护理过程中对移动设备的使用情况,都很有参考学习的价值。HIMSS在会议上又了一个新的评估模型――“医疗连续性成熟度模型(TheContinuityofCareMaturityModel)”。HIMSS之前的DELTA驱动的分析成熟度模型(DELTAPoweredAnalyticsMaturity)旨在对医院的数据分析利用(包括临床决策支持)的能力进行评估,此次的医疗连续性成熟度模型则用以评估医疗机构为了改进疗效而使用IT、数据分析和患者参与的能力。
移动医疗是HIT市场中增长最快的一个领域,也是本次大会展示的重点之一。移动医疗的最大益处是有利于获得病人信息,远程访问数据,目前医院应用移动技术用来改善医患关系的效果最为显著,主要是用来支持患者护理业务,包括查看患者信息、药物提醒或药物核实,收集床旁数据纪录等。移动与物联网技术(RFID)结合也是很显著的一个特点。
本次展会上,很多展台上看到的不再是枯燥的界面,到处都是仪表盘,图表类型的展示。商业智能和大数据分析已经成为一种趋势,用数据说话,医院越来越重视数据分析。商业智能可以提供视觉化的历史趋势、当前运营和预测分析的深度观测,是一个分析展示整个医疗机构运营绩效的战略性举措。实现商业智能的前提是信息集成,建立临床数据仓库,然后进行数据挖掘,最终通过个人门户技术展示出来。国内目前有些信息化水平领先的医院已经开始进行这方面的尝试。
找对比,得启示
目前中国宏观经济面临着下滑趋势,但是由于云计算、大数据、人工智能等IT技术迅速发展及与传统行业实现快速融合,一场由数字化转型带来的产业变革正在孕育。以数字来说明,目前全球31亿互联网用户之中,中国已经占有近7亿;同样以智能手机为例,目前全球14.4亿手机用户中,中国手机用户占了4.4亿;在全球150亿物联网设备之中,中国设备约为25亿台;还有在电商领域,中国B2C规模已经超过3万亿元,全球的B2C规模约则22万亿元。
正是信息技术的快速发展,加快了传统行业的转型升级和提质增效,通过融合的方式,传统行业出现了更多的增长点。以互联网与传统行业的融合为主要特点,中国传统行业正在摸索新的商业模式,形成新的竞争力。
“如果将ICT浪潮分为三波,第一波是以PC主机为主;第二波是以PC、客户端服务器、内联网为主;第三波以数据爆炸为特征,包括云基础设施、云服务、大数据和社交商务。目前全球第三波ICT浪潮趋势已经形成。”软银中国合伙人张柏舟介绍,自互联网+等战略提出以来,受服务行业、信息消费、O2O、移动设备的普及等因素的影响,中国在ICT创业创新方面的投资将会大大增加,到2020年前后,中国的投入将远远超过美国。
基于目前市场上人们对于人体健康监测的需要,我们提出了采用HT66FU50单片机的基于脂肪测量的健康度检测仪。该检测仪以人体生物学为基础,采用测量人体电导率的方式,间接测量出人体的脂肪含量,从而根据建立的人体健康度-人体电导率数学关系模型,程序采用模糊智能算法,准确的给出人体是否达到健康标准。
【关键词】HT66FU50电导率脂肪含量检测仪
1作品介绍
1.1作品背景
据调查报告显示,现在广大人民最关心的已经不再是工作岗位和个人收入水平,排在首位的是个人及家庭的健康问题。人们的日常生活饮食营养得到了很大的提升,但同时也出现了很多营养过剩的人群,导致肥胖症等处于亚健康的人群不断的增加。
为此,我们提出了一套基于人体生物学原理的检测方案(检测原理:人体内脂肪含量不同,会导致体内电解质的含量不同,从而影响身体的导电性),采用单片机通过电导率测量方法测出人体的电导率,通过对大量人群的身体的电导率测量,建立起一个判定人体健康程度的数学模型,最终根据这个数学模型来实现对人体健康程度的判定。
1.2创造目的
为了实现我们的检测仪的智能检测功能,我们需达如下的标准
(1)通过对大量人群的身体电导率的测量,以专家经验为基础,建立起一个人体健康程度和身体内电导率关系的权威数学模型;
(2)自制一套检测仪,能够智能检测人体的健康程度,并能够进行数字显示和语音播报的功能,并最终能够实现对不健康人群要达到健康标准的智能化建议。
2工作原理
2.1本作品的理论原理
2.2本作品的硬件电路测量原理
本作品的电导率测量部分电路图如图1所示。
3作品结构
3.1硬件部分
本仪器的硬件结构图如图2所示。本仪器主要由电导率检测电路、HT66FU50最小系统电路、液晶显示屏。其原理是:电导率检测电路产生24V的交流电通过被测人体,将检测到的模拟电压信号通过AD转换为数字电压信号,然后处理器根据数字电压信号利用前面理论设计部分提到的公式,计算出当前测量者的健康数据,然后通过液晶显示部分将其输出给被测量者。
3.2软件设计
本仪器的程序设计思想具体执行流程为:检测电路采集到的输出模拟电压(人体电导率以及重量),并将该电压信号送给AD转换器转换,然后将转换之后的数字电压信号传送给处理器,处理器利用程序中的模糊控制算法,并且根据采样数学模型得到当前人的健康状况,最后通过语音模块和液晶显示模块将数据表达出来。
4测试
在正常环境下,先接通电源,然后被测试者自然地站在仪器底座,两手手指与仪器的测试点接触。现象:液晶显示屏显示出被测试者的脂肪含量。
参考文献
[1]姚鸣放,王天缘,朱羽,倪剑炜.脂肪测量器的应用价值探讨[J].中国医疗设备,2010(3).
[2]许伟成,张鸣生,陈茵.多频生物电阻抗分析法测量人体脂肪率的可行性研究[J].中国康复医学杂志,2013,28(10).
[3]席爱民.模糊控制技术[M].西安:西安电子科技大学出版社,2010,08-31.
[4]钟启仁.HT66FxxFlash单片机原理与实践-C语言篇[M].北京:北京航空航天大学出版社,2012.04-01.
作者简介
陈楚坪(1992-),男,广东省人,在读大学本科,攻读方向:自动化。
机器人竞赛
机器人实践教学的具体实施
机器人竞赛、创新实践是一项很好的科技创新活动,机器人的趣味性易于激发学生学习和研究的兴趣,同时将创新实践、竞赛引入教学过程,使学生变被动学习为主动学习和研究。“机器人项目教学法”的一般教学结构如图1所示:“项目教学法”最显著的特点是“以项目为主线、教师为引导、学生为主体”,改变了以往“教师讲,学生听”被动的教学模式,创造了学生主动参与、自主协作、探索创新的新型教学模式。本文以参加2012年中国机器人大赛暨RoboCup公开赛的医疗与服务机器人组的项目为例,在比赛初期确定人员,将不同专业和不同年级的学生组成一个竞赛小组,研究竞赛规则、制定项目方案、机器人结构设计、电路设计、程序调试,学生分工合作,过程中集思广益、取长补短、团结协作。这种在探索中学习的过程是其他教学环节无法实现的,对于培养学生的实践创新能力非常重要。本文以一种医疗与服务机器人设计为导向的项目教学法,按照以下六个教学步骤进行:
1.项目的申请
本学院主要参加了医疗服务机器人、机器人游中国、擂台等机器人项目,学生可以针对感兴趣的比赛项目,或者根据江苏省高等学校大学生实践创新训练计划,申报项目,填写申请书。教师针对学生申报的项目,分析学生的实际情况,建议选择项目规模和难度适中的项目。中国已经进入了老龄化社会,而且在今后几年内老龄人口数量将会呈上升趋势,老龄化将更加严重。老龄化使社会的劳动力减少,一些老年人不仅不能参加劳动,而且有的甚至失去了自理能力,需要人照顾,这就增加了他们的子女以及社会的负担。年轻人为了工作日益繁忙,在目前服务行业工作者稀缺的背景下,在医院时不时会有行动不便的病人需要护士和家人的搀扶。而在没有人帮助的情况下,行动不便的病人寸步难行,稍有不慎就有可能摔倒受伤。所以笔者建议学生选择参加医疗与服务机器人创新设计与制作赛项,设计一种医疗服务机器人更好的服务病人。
2.项目团队的建立
建立学生团队,营造互相竞争、互相帮助的学习氛围,学生在做项目过程中携手合作,弥补相互间的不足,遇到问题大家一起讨论解决,这让学生体会到团队的重要性,做到共同进步。同时,团队的学生分工明确,每人负责项目的某一部分,使学生真正参与到项目中,整个项目的完成,离不开每一个学生,学生为使项目不会因为自己负责的部分没有完成而主动学习,主动查资料,可以培养和提高学生的自主学习能力。学生团队的建立,应考虑学生的专业,年纪,特长等因素。教师确定一名队长,根据项目的特点,队长可以自己招学生,实现学生管理学生。参加医疗与服务机器人创新设计与制作赛项,笔者选择了5名学生,队长由09级的一名学生担任,该生组织能力比较强,专业能力也比较脱出,由他负责整个项目的进展,汇报工作。其他学生分别是1名2009级的,2名2010级的,1名2011级的,专业分别是自动化、测控、电气。
3.项目任务、计划的制定
4.项目制作
学生自己确定各自在小组中的分工,然后按照已确立的工作步骤和程序工作。基于机器人项目的作品成果形式多种多样,可以是调查报告、实物模型、演讲稿、论文等。通过展示作品成果,可反映学生在项目完成过程中所掌握的技能。本次设计的医疗服务机器人成果包括机器人模型一个、机器人设计与使用说明书一份、演讲稿一份。在本项目比赛结束后,指导学生按照他们设计的医疗服务机器人撰写论文、申请专利。
5.项目检查评估
整个项目检查评估采用答辩的形式向教师汇报,首先由队长对整个项目进行汇报总结,再由队员对自己负责的工作进行汇报和自我评估,并且对设计的医疗服务机器人进行展示,教师根据团队成员的表现、研究成果表述和作品的展示进行检查,为到现场比赛作准备。针对项目中出现的问题,师生共同讨论,教师引导学生独立思考问题,解决问题。学生通过对比师生评价结果,找出造成结果差异的原因
6.项目资料归档或应用
为使学生养成良好的习惯,项目结束后,教师监督学生将项目工作资料整理归档,材料包括项目申报书、进度表、机器人机械结构图、程序设计流程、机器人控制程序、项目结项书、项目报告讲义等。
机器人项目教学的成果
机器人创新实践是一个综合性、高难度的科技制作过程,有利于提高学生的动手能力和创新能力。在教师指导下,学生通过自己查阅资料、提出有创意的设计方案,选择合适的元件,设计、焊接电路,编程、测试程序等,充分调动了学生的积极性,发挥学生的创造力,使学生在实践中进一步提高自己的综合能力。有助于将学生的兴趣应用到教师的科研中,使学生们热爱科技,投身科技,在学校形成良好的科技学术气氛。本校参加机器人竞赛源于2010年,当时参赛的赛事为“飞思卡尔”杯全国大学生智能汽车竞赛、中国机器人大赛暨RoboCup公开赛、江苏省机器人大赛、“未来伙伴”杯机器人竞赛,并因此开设了机器人技术、机器人创新实践与竞赛等公共选修课;制定了《大学生创新实验室项目负责制实施办法》,针对项目采取一系列措施,保证学生能在项目的过程中锻炼自己的能力,同时能保证创新实验室项目的创新性。实践教学效果显著,本校代表队在2012年第七届“飞思卡尔”杯华东赛区比赛中,获得摄像头组第一名,晋级参加全国决赛的队伍,获得全国摄像头组特等奖。2012年中国机器人大赛暨RoboCup公开赛获得3项季军,2010年“未来伙伴杯”获得灭火比赛冠军,受邀参加在美国举办的国际机器人灭火比赛。
中医药信息化建设意义深远
陈伟处长在主持大会中提到:今年2月22日,总理组织召开国务院常务会议,研究部署了“十二五”期间深化医药卫生体制改革工作,明确提出要持续深入推进医药卫生体制改革,国家中医药管理局作为主要负责部门之一,全面推进中医药信息化建设。县级中医医院是我国省、市、县三级医疗卫生服务网络的重要基础,是我国农村三级中医药医疗卫生服务网络的龙头。县级中医医院信息化建设对县级中医医院医疗服务和卫生保障作用的充分发挥具有重要作用。“十一五”时期,国家中医药管理局连续举办多期全国中医药信息化培训班,这次全国县级中医医院信息管理与信息技术培训班的举办,对提升县级中医医院信息化水平、促进中医药信息化发展具有重要意义。
徐皖生主任在开幕式上作了重要讲话,他强调:县级中医医院是我国省、市、县三级医疗卫生服务网络的重要基础,是我国农村三级中医药医疗卫生服务网络的龙头,在我国中医医疗服务体系中起着十分重要的作用。县级中医医院信息化建设对县级中医医院医疗服务和卫生保障作用的充分发挥具有重要的影响。在医药卫生体制改革承前启后的关键时期,在全面落实2012年全国中医药工作会议精神之际,开展县级中医医院信息化人员培训,对加强中医医院信息化人才队伍建设,提高医院信息化水平,落实医改工作任务,促进中医药事业改革与发展,满足广大农村人民群众日益增长的中医药服务需求具有重大意义。
徐皖生主任在发言中强调了信息化建设对于中医药发展的重要意义,明确了中医药信息化建设的目标。
第一,信息化建设是中医药事业可持续发展的内在要求。
“十二五”时期,国家以转变经济发展方式和改善民生为重点,启动全民健康保障信息化工程,重点建设中西医协同的公共卫生管理信息系统,推动居民电子健康档案和中西医电子病历普及应用,构建支持病情诊断和医疗处置信息共享的医疗公共服务信息系统,建立三级医院与县级医院远程医疗系统,提高突发公共卫生事件的应对能力、重大疾病的防控能力、卫生监督和公众健康的保障能力。
第二,信息化建设是提升中医药医疗服务水平的有效途径。
中医药是我国最具原始创新潜力的领域,将对世界科技和医学不断发展产生积极影响。中医药学的历史渊源和学术特点为信息技术的运用提供了广阔的空间,信息化的发展也对中医药学术的发展和医疗服务水平的提高发挥着积极的促进作用。在中医药科研和临床实践中应注重加强临床信息资源的共享和开发,将现代信息技术融入到中医临床研究,构建基于中医“从临床中来、到临床中去”发展模式的中医临床科研共享信息系统。运用信息网络和人工智能等技术方法,采集、整理和挖掘名老中医专家经验和思想,优化名老中医传承教育模式,创新中医传承方法,提高中医医疗诊疗水平,提升中医药防病抗病和保障健康的能力。构建以病人为中心的跨医院、跨地区中医医院信息共享平台,打破医院之间有形与无形的障碍,充分发挥中医医院的优质资源,实现病人诊疗信息互联互通,避免不必要的重复检查,从而降低病人的就医成本,促进“看病难、看病贵”问题的有效解决。
第三,信息化建设是满足人民群众中医药需求的重要抓手。
中医药信息化建设全面铺开
在培训班的课程中,国家中医药管理局办公室综合处处长陈伟、301医院尹岭、湖南中医药大学第一附属医院胡铁骊、湖北中医药大学信息工程学院邓文萍、准格尔旗中医医院田军、湖北中医药大学信息工程学院沈绍武、上海中医药大学附属龙华医院董亮、广东省中医医院傅昊阳、湖北中医药大学信息工程学院赵臻等教授、专家进行了专题培训课程的演讲。陈伟处长在培训课中,以“十二五中医药信息化建设发展趋势与若干设想”为题,做了重要演讲。
相信很多人了解成都创业,是从手游开始的。而实际上,当我们进入成都后,才发现,除了游戏,移动互联网、软硬件、医疗、物流等领域中,都诞生了不少优质创新创业公司。或许有的公司,或许你听了之后才惊叹一声:原来它是出自成都!除了已经上市的迅游网络,在成都,还有camera360、1919、Tower等公司,以及“蓉漂”外来户,后来落户成都的趣玩网、麦客CRM等,它们正代表着成都的创新力量。
尼毕鲁、天象互动……那些你知道的优秀手游公司,仍然都出自”手游之都”成都,这曾经是成都在外界响亮的名号。一夜成名、一夜暴富后,紧跟着手游资本热度的消失,也一夜进入了洗牌期。i黑马关于成都系列报道的第二弹“一场游戏一场梦”里,讲的就是手游公司生死游戏的故事。但是繁华洗尽,优质的手游公司们,还是在成都沉淀下来了。尼毕鲁,号称“从来没有亏损过”的手游神话,CEO杨祥吉靠3000元启动资金做起了这家年盈利近亿元的公司。现在,尼毕鲁已经向提交了IPO申请。并且,杨祥吉“创而优则投”,成立了子公司抱团科技,主要对手游、社交、互联网金融等领域进行投资。目前,抱团科技已投资移动互联网等领域公司超过50家,投资金额超过5000万元。
数字天空,2012年开发网游《龙之力量》一炮打响,在APPstore畅销排行榜占据了足足一年的位置。其CEO王晟吸取了当年创业失败的经验教训,埋头产品,从不参加各种行业活动以及接触媒体。
如果你知道花千骨,那么你大约也知道天象互动。CEO何云鹏早在去年年底,就预期到花千骨会爆,于是动手和湖南卫视沟通,根据IP同步制作了同名游戏。
生活消费类的电商/O2O:成都创业新热点
看过i黑马推出的成都创业者调查报告的同学们应该还记得成都现在创业的热点是电商/O2O。固然这两年全国创业的热点都是这个,但是作为全国首批电子商务示范城市,成都还是走出了不少新兴的电商/O2O公司。作为一个以“安逸”著称的城市,成都的生活消费服务类电商/O2O,还真是不少。
依托实体门店加线上平台构成的O2O立体销售网络,酒类流通公众公司1919于2014年8月在新三板挂牌,成为国内资本市场第一家酒类销售公司。
受到雷军青睐的互联网家居O2O丽维家继在2014年9月获得顺为资本A轮投资后,在前不久,宣布完成1亿元的B轮融资,联创永宣领投,A轮的投资方顺为资本继续跟投。丽维家现在有350人的团队,每个月服务用户超过1000家。
面对年轻一代对租房产品的需求,房屋租赁行业是现在创业的热点之一。优客逸家主要面向二线城市,提供租房解决方案,开设了包括房屋托管、家居设计、装修、租房和租后管理的一站式服务。2014年11月,优客逸家获得了经纬中国、海纳亚洲等的2200万美元B轮融资。
“蓉城”的现代物流新玩法
随着电商的兴盛,物流业格局也在被不断改写。快递行业和货运行业这几年也是战势正酣。
用众包模式开展快递业务,利用社会大众认证为“自由快递员”进行点对点包裹派送的人人快递,模式虽然遭受了质疑,但是众包已经成为众多物流企业用来解决最后一公里配送的参考模式。人人快递也仍在争议中前行。
品果科技、极米科技、咕咚运动:风口上的智能硬件
智能微投厂商极米科技的产品包括极米云影电视、智能投影设备等。极米生产的无屏电视能投射出分辨率为1080p的平面影像,在投放面积为100吋时亮度为1500流明,配备一颗双核1G的CPU和DLP芯片的设备。6月,极米科技获得了芒果传媒3亿元的Pre-B轮投资。
咕咚是国内最大的运动社交平台及可穿戴式运动设备方案提供商,旗下有咕咚用户中心及运动社交平台、咕咚APP及包含咕咚智能手环等数十种智能可穿戴运动健康设备。
提供拍照软件及移动影像服务的品果科技Camera360在今年推出了v7.0版本。成立5年来,它已经累积了5亿用户,覆盖了美国、日本、韩国等223个国家和地区。
企业级服务在成都生长
麦客CRM曾经辗转过北京、上海,最后还是落脚成都。或许成都缺乏了一线城市的快速迭代和眼观世界的远大梦想,但是这是一个能够踏实、稳定进行产品开发的大后方,同时也能降低创业成本,让创业者兼顾工作和家庭,能够安心地在创业氛围中去享受生活。
【关键词】回回体质假说;内涵;外延;宁夏回族2型糖尿病;宁夏回族特色药物
1“四性学说”
“四性学说”在回族医学的理论体系中占有重要的地位,在回族医学的重要医学典籍——《回回药方》中,指导着内伤及骨伤各科疾病的用药。如:《回回药方三十卷·杂证门》中:认为消渴的病机是“禀性衰败兼湿”;肺痨的病机是“禀性衰败兼干”等,即将疾病按禀性不同而做出了区分(干性的、湿性的、性冷的和性热的)[2]。
而这种分类方法的依据为:“天人合一论”、“性智本原论”、“禀性论”和“四性气质论”:
1.1天人合一论即:人(小世界)与宇宙(大世界)的统一于“真一”。
伊斯兰哲学认为:“人之本性,乃无极样式,此身之本质,无极虽受真主之命乾坤万物,其生死贵贱之权,必不由无极太极所能自主也。”可以归纳为:“一元论”。
1.2性智本原论即:“真一”分化为“性”与“智”。
伊斯兰哲学认为:“人体仿佛一个小世界,‘性’和‘智’就是这个世界的主宰,与人形影不离,相伴终生。”“‘性’者:根于大命中之性而起,人之所以然。‘智’者:根于大命中之智而起,物之所以然。”也就是说:性和智被认为是人和物的最直接的根据和本原,可以归纳为:“二分论”。
1.3禀性论“性”和“智”与生俱来,与命共生、共存。①“智”的基本特征:思想、意志、信念、情感、智能和知识。②“性”可再分为“真性”和“生性”。《清真指南》[3]中说:“性有二等:一曰真性,二曰生性。真性与命同源,乃仁、义、礼之性,是人的本性。生性因形始具,乃水、火、气、土之性。二者和合则为‘禀性’。”可归纳为:“四分论”。
1.4四性气质论即:“禀性”的四种特征。
《天方性理》中说:“一曰安定性,属风(气);二曰常惺性,属水;三曰悔悟性,属火;四曰自任性,属土。”可以归纳为:“四特性论”。
四个理论一步步地分化为“四性学说”,最终形成了回族特有的病因病机理论。
2“回回体质假说”的内涵
“回回体质假说”由内涵和外延两部分构成,“回回体质假说”的“内涵”是外延的出发点,外延是内涵的具体表现和延伸。
2.1环境制约论
回族医学认为:环境对体质的形成与发展起着重要作用。在回族漫长的迁徙过程中,饮食构成、地理环境、季节变化及宗教信仰等都有一定的影响。如:回族喜食牛羊肉(包括内脏)和八宝茶等高糖高脂类食物造成了回族人血脂普遍偏高。赵玲莉等[4]对回族地区汉、回两个民族1064名中年人血脂水平的调查分析显示:①回族的TC、LDL-C水平高于汉族(P
2.2禀赋决定论
回族医学认为:体质(禀性)由两方面决定:①先天遗传因素;②后天环境因素;而先天遗传因素在体质的构成起着重要的作用。既遗传是世世代代的连续,通过“基因”携带的遗传信息从上一代传给下一代,而中国的回族是古代伊斯兰帝国阿拉伯人的后裔。因此,遗传因素对于回族的体质有重要的影响。
2.3心身结合论
2.4体质发展论
回族医学认为:①“体质”是一种按时相展开,与个体发育同步的生命过程。②“体质”发展的过程为:从“幼年”到“青年”到“壮年”到“老年”,每个阶段的体质特性也有差异。因此,我们对回族人的体质分为“幼年体质”、“青年体质”、“壮年体质”和“老年体质”,并根据每种体质的特性,进行相应的调整达到保健治病的效果,是回族医学理论指导实践的又一典型范例。
3“回回体质假说”内涵的意义
3.1宁夏回族优势病种——宁夏回族2型糖尿病
大量流行病学调查表明:宁夏回族自治区DM的发病有两大特征:第一,发病率高。①发病率明显高于当地汉族人群。全国两次大型DM流行病学调查发现[6-7]:宁夏回族DM发病率显著高于当地汉族。②DM慢性并发症的发生率显著高于国内、外。第二,危害性大。①致残、致死率较高。②医疗经济负担沉重。而回族医学重要典籍《回回药方》(全书共36卷,现仅存残本4卷,由汉语、阿拉伯语、希腊语、古波斯语等写成,是一本包括多种门类的自成体系的回族医学百科全书[2])中记载了一首治疗消渴(糖尿病)的古方——“回回甘松饮”(Hui-huiGan-songYin,HGY),在几百年回族糖尿病的防治中发挥了重要的作用。“回回甘松饮”就是基于回族医学中的“四性体质学说”(针对“寒性体质”),根据益禀补肾、化痰通络的治则,经过宁夏名老回医—单于德教授多年临证经验的验证[1],选用撒苔亦忻的(甘松)、忽咱则(枸杞)、木香、阿咱的答剌黑提(丁香)、罗亦那(大黄)等13味天然药物的有效成分配伍组成的复方制剂,有着广阔的市场前景。
3.2宁夏回族特色药物——张氏秘传正骨膏
宁夏吴忠市张氏正骨第三代传人张宝清先生,自幼随父张成仁学习回族传统医学正骨术,几十年来扶危帮困,济世行医,为数以万计的骨伤患者解除了痛苦。张氏秘传系列回药对治疗各类骨折、烫伤、骨不连、压疮等伤科疾病独具特色,自制的“回药张氏正骨膏”,在回族“四性学说理论”的指导下,经过近200年的临床实际使用,以其用药方法简单、安全可靠、疗效确切,深受患者好评[8]。
综上,在坚持回族医学理论(四性学说)的指导下,以“回回体质假说”内涵和外延为基本理论框架,建立起回族特色科研体系,针对宁夏回族优势病种进行防治,开发宁夏回族特色药物,是回族医药发展必由之路。而“回回体质假说”的内涵是连接“四性学说”和临床研究的纽带,具有重要的意义。
1]单于德,马成义,陈卫川,等.中国回族医药-国家中医药管理局民族医学文献整理丛书[M].银川:宁夏人民出版社,2005:224-231.
[2]宋岘.《回回药方》考释[M].北京:中华书局,2000:26.
[3]马注,余震贵.清真指南[M].银川:宁夏人民出版社,1988:23.
[4]赵玲莉,马惠英,孔丽蕊.宁夏地区汉回族中年人血脂水平调查分析[J].实用医技杂志,2008,15(19):2501-2502.
[5]雷晨,张如意,何兰杰,等.宁夏回族糖尿病住院患者并发症的13年回顾性研究[J].中华糖尿病杂志,2005,13(6):450-453.
[6]全国糖尿病研究协作组调查研究组.全国14省市30万人口中糖尿病调查报告[J].中华内科杂志,1981,20(3):678.
【关键词】Web应用程序;安全测试;插件;集成框架;漏洞挖掘
【中图分类号】TP393.08【文献标识码】A
ResearchonKeyTechnologiesofWebApplicationSecurityDetectionPlatform
SunYiLiangDong-yunWangWen-jie
(SchoolofComputer,BeijingUniversityofPostsandCommunicationsBeijing100876)
【Abstract】AlongwiththedevelopmentofWebapplication,itisurgenttotestandevaluatethesecurityofWebapplicationefficientlytowithstandthevulnerabilities.Inthispaper,keytechnologieslikethedetectionframeworkwithplug-ins、methodsfordiscoveringunknownvulnerabilitiesandmodeofdetectiontoolsintegrationbyuser-definedareresearched.Applyingthesetechnologies,theplatformisabletoscananddiscoverthevulnerabilitiesefficientlyforWebapplicationbeforeandonrunningtoinsureitssecurity.
【Keywords】webapplication;securitydetection;plug-ins;integratedframework;vulnerabilitydiscovering
1引言
随着信息技术的快速发展,越来越多的应用开始通过Web形式对外提供,方便快捷的Web应用在政府、企业、军队等都得到了广泛应用。然而,不安全的Web应用使得我国金融、医疗、国防、能源和其他重要网络架构面临严峻的安全威胁。随着数字化架构变得越来越复杂并相互关联,实现Web应用程序安全的难度也呈指数级增加。Web应用程序越来越复杂,导致固有的漏洞和缺陷越来越多,因此也正面临着来自网络的越来越多的攻击。目前,Web应用程序安全问题已经成为我国信息技术发展重要的技术挑战,需要有针对性的防护Web应用攻击,即针对不同的攻击行为采用不同的防护技术。因此,研究设计Web应用程序综合测试平台进行安全检测,及时发现Web应用程序漏洞,对于防范各类Web应用攻击意义重大。
2研究现状及存在不足
在Web应用软件分析和测试研究方面,Ricca和Tonella在中提出了一个基于UML的模型。Kung等人将Web应用软件或者Web网站用一张图来表示,根据页面浏览的导航顺序,构建测试树,从而生成测试用例以检测状态行为错误的方法。Kallepalli等人提出了一个基于统计使用数据信息建立统一的马尔可夫模型(UnifiedMarkovModel)方法用于应用测试、性能评估及可靠性分析。
相对于国外,国内对Web应用安全测试的研究还比较薄弱。比较有代表性的研究有武汉大学的卢虹等人从状态测试的角度对Web应用的测试问题进行了讨论,清华大学的武海平等人则开发了一个Web服务器性能测试系统,合肥工业大学的吴蕾等人应用环境错误注入的方法进行了安全性测试的研究,国防科技大学的郑理华等人正在研究基于网络的Web应用安全测试评估系统,理工大学的ZhanweiHui等人在基于软件安全缺陷(SSD)的Web应用安全测试方法上面进行了有益的探索。
通过上述国内外现状分析不难发现,我国现有Web应用安全性测试技术还不能满足信息系统建设的迫切需求,具体差距表现在几个方面。
(1)缺乏集成统一的Web应用安全性测试框架。当前主流的Web应用测试框架和工具通常只针对某些特定Web应用安全漏洞,无法对安全缺陷展开全面的测试,难以满足Web应用安全性测试的要求。
(2)缺乏有效的Web应用未知漏洞的自动扫描和发现技术。当前的Web应用安全性测试主要利用渗透攻击检测已有的安全漏洞,对未知安全漏洞的检测缺乏可行的方法。
针对Web应用程序安全性测试的切实需求,本文针对上述不足,深入研究Web应用的安全性测试技术体系,建立一个插件式、可扩展、重动态交互的Web应用安全性测试工具。以确保安全测试准确性和高效性为出发点,突破未知漏洞智能发掘方法和支持自定义的测试工具集成方法等关键技术,最终为Web应用安全测试提供一整套健壮的、智能化的综合测试工具奠定基础,从而在Web应用运行前和运行时,对其进行安全扫描和风险发现,确保Web应用的安全可靠运行。
3Web应用程序安全
Web应用是一个客户机/服务器软件应用系统,其中的客户程序和服务器程序通过HTTP/HTTPS协议进行交互,通常包括五个组成部分,即客户端(浏览器)、Web服务器、应用服务器、Web应用程序、数据源,它们彼此之间通过一定的机制来进行通信,典型的Web应用架构模型如图1所示。
由于组成Web应用的软件系统相对复杂,涉及网络、操作系统、服务器等多个方法,目前国内外对Web应用安全并没有一个统一的、标准的定义。严格意义上来讲,Web应用安全应该包括其体系结构中涉及的所有安全问题,如网络安全、操作系统安全、浏览器安全、Web服务器安全、应用服务器安全等。企业、政府、军事单位多采用防火墙、SSL、杀毒软件、入侵检测系统等措施来保护Web应用安全,但据Gartner调查,当前大多数Web攻击都直接针对Web应用程序本身。攻击者通过构造表面合法的HTML、XML、SOAP和WebServices等数据流,传送恶意代码直接针对Web应用程序的安全漏洞进行攻击。OWASP(OpenWebApplicationSecurityProject)组织的Web应用程序安全风险报告显示,跨站脚本、SQL注入等已成为Web应用程序安全的重大威胁,如图2所示,传统的边界防护、病毒查杀等安全手段对此心有余而力不足。
Web应用程序是开发和组成Web应用的核心组成部分,要保护Web应用程序安全,需要针对不同的攻击行为采用不同的防护技术。这就要求在真实攻击发生前,及时的发现Web应用程序存在的各种安全漏洞,并采取相应的防范措施进行加固。WhiteHat调查报告指出,漏洞发现得越早、弥补得越及时,攻击者利用漏洞进行攻击的机会就越小。因此,深入研究Web应用程序的安全性检测技术,开发测评工具对Web应用程序进行安全性测试,及时发现Web应用程序所存在的漏洞,对于防范Web应用攻击意义重大。
4Web应用安全综合测试平台关键技术研究
4.1基于插件的Web应用安全测试集成框架
Web应用安全漏洞成为应用系统安全风险的重灾区,而且呈现逐年上升的趋势。当前的Web应用安全测试工具虽然种类繁多,但是无一例外存在一些缺陷,运行效率相对较低。为克服这些缺陷,本文设计了图3所示的基于插件的Web应用安全测试集成框架,主要由三大部分构成:插件管理部件、扫描管理部件和全局管理部件。
插件管理部件主要负责对漏洞扫描插件的管理与维护,主要包含以下模块:插件接口层,为扩展层提供插件接插的标准接口和规范;插件管理模块,维护插件库的完整性和时效性,保证框架自身的安全性;插件调度模块,根据Web应用系统的业务逻辑属性,自主智能地调度最优的测试插件进行测试,保证系统运行效率和漏洞检出率。在这三个模块之上,是插件库及插件库维护模块,插件库用于存储各种插件,包括本地库和在线库两个部分,以方便系统快速检索并加载插件,其中包括标准的CVE漏洞扫描插件、第三方基准测试插件(包含接口合规性测试等插件),以及用户根据系统特定属性定义的漏洞扫描插件等。插件库维护模块主要负责本地库与在线库之间的插件传输、插件审核以及插件库的完整性维护等功能。
扫描管理部件负责调用各种扫描插件,利用插件基于各种先验知识库、基准漏洞库对Web应用展开漏洞扫描。其中主要包括几种模块:知识库/基准漏洞库,用于存放各种已知的或习得的先验知识和基准漏洞,作为扫描以及启发式学习的基础;Web应用信息收集模块,主要用于截获测试框架与Web应用间的消息,以提供给扫描插件作为分析的资料;插件调用模块,作为具体插件在扫描部件中的抽象,通过该模块,扫描部件可以调用相应的插件,并保持扫描部件与插件管理部件的松散耦合;测试报告生成模块,根据测试结果生成相应的测试报告并反馈给测试人员。
全局管理部件,负责对整个框架的运行进行监控与支持。主要包括以下模块:系统配置模块,对全系统各个部件进行配置,保证系统按照测试人员的预期运行;虚拟用户生成与管理模块,产生并维护具有不同权限的不同角色的虚拟用户,利用虚拟用户可以对Web应用展开近似于实际环境的测试;用户交互模块,使用测试报告生成模块生成的测试报告产生友好的供测试员阅读的测试分析结果;错误处理模块,对系统运行中出现的错误进行及时的响应和处理。
4.2支持未知漏洞发现的漏洞智能挖掘技术
4.3Web应用安全性测试工具实现技术
根据上述理论和技术,最后实现一个针对Web应用的可用的安全性综合测试工具。该工具将集成上述安全测试技术,对Web应用的已知漏洞、接口合规性、业务动态安全性以及未知漏洞展开全面的测试,确保在Web应用上线前发现大部分潜在的安全漏洞,保证基于Web应用的新型信息系统的安全可靠运行。一个利用该工具的典型Web应用安全测试场景如图5所示。
测试人员使用控制台对测试工具进行配置并启动测试过程,测试框架根据测试人员的配置调用相应的插件构造测试(即一个经定制的测试工具的实例),该生成若干具有不同身份、不同角色的虚拟角色,虚拟角色通过网络向带测试的Web应用发起测试请求,测试工具截获请求与服务返回的响应,之后使用配置好的插件对Web应用的安全漏洞进行智能的发现与挖掘,高效地发现大部分Web应用安全漏洞。
5结束语
本文研究了Web应用程序安全测试技术,并构建了插件式、可扩展的安全测试技术框架。以确保安全测试准确性和高效性为出发点,突破未知漏洞智能发掘方法和支持自定义的测试工具集成方法等关键技术,最终为信息系统建设中的Web应用安全测试提供一整套健壮的、智能化的综合测试工具,在Web应用运行前和运行时,对其进行安全扫描和风险发现,确保Web应用的安全可靠运行,为推进Web应用安全提供支撑和保证。
[1]Ricca,F.andP.Tonella.Analysisandtestingofwebapplications.2001:PublishedbytheIEEEComputerSociety.
[2]Kung,D.C.,C.H.Liu,andP.Hsia.Anobject-orientedwebtestmodelfortestingwebapplications.2000:IEEE.
[3]Kallepalli,C.andJ.Tian,Measuringandmodelingusageandreliabilityforstatisticalwebtesting.IEEEtransactionsonsoftwareengineering,2001:p.1023-1036.
[6]Jovanovic,N.,C.Kruegel,andE.Kirda,Pixy:Astaticanalysistoolfordetectingwebapplicationvulnerabilities(shortpaper).2006.
[7]Nguyen-Tuong,A.,etal.,Automaticallyhardeningwebapplicationsusingprecisetainting.SecurityandPrivacyintheAgeofUbiquitousComputing,2005:p.295-307.
[8]卢虹,徐宝文.一种Web应用的状态测试方法.计算机工程与应用,2002.38(002):p.55-57.
[9]武海平,蒋东兴.Web服务器通用性能测试系统的设计与实现.小型微型计算机系统,2003.24(002):p.188-190.
[10]吴蕾,李心科,汪洪.基于错误注入技术的Web服务可靠性测试研究.小型微型计算机系统,2007.28(1).
[11]郑理华.Web应用安全测试评估系统的研究与实现.国防科学技术大学,2005.
[12]Zhanwei,H.andH.Song.SoftwareSecurityTestingofWebApplicationsBasedonSSD.inAdvancedIntelligentComputingTheoriesandApplications-6thInternationalConferenceonIntelligentComputing,ICIC2010.2010.Changsha,China.
基金项目:
国家自然科学基金资助项目(61179029)。
作者简介:
云计算有多热
有观点认为云计算不过是“新瓶装旧酒”,偏离了IT发展的方向。实际上云计算提供的是一种IT服务方式,是一种商业模式的创新。ESG(企业战略集团)认为,云计算是一个逐步走向用户自我服务的消费模型。IT不管是企业内部,还是通过互联网的业务部署和使用,都是透明的。基于业务消费,企业通过按需支付获取相应的IT资源和服务。
“2012年,中国云计算市场规模将达606.78亿元,2013年将达到1174.12亿元,年均复合增长率高达91.5%。”赛迪网联合赛迪顾问的2011版《中国云计算产业发展白皮书》发表预测称,“到那时,云计算应用将重点覆盖政府、电信、教育、医疗、金融、石油石化和电力等诸多行业。”
近几年,国家将云计算提升到战略地位,中国的云计算在政策的驱动力下正呈现爆发式的增长。许多城市都在积极地部署云计算项目,智慧城市等云计算应用已经在开展积极的探索和尝试。
在如此诱人的市场前景和政策驱动下,众多厂商也竞相在研发和市场层面加大投入,抢占先机。然而目前看来,用户对于云计算的观望多于实际的应用和落地,云计算普及的道路依然漫长。
技术市场双重驱动
实际上,云计算是由用户实际需求催生的――今天复杂的经济环境、对IT投资的限制以及对业务灵活性的追求让企业更重视IT资源的充分利用和投资回报率。云计算可以适应企业的这些需求,帮助企业破解传统IT在可扩展性、灵活性、能效等方面的瓶颈和难题。
在技术储备方面,虚拟化技术为用户发展云计算奠定了良好的基础。越来越多的用户已经采用虚拟化技术来优化数据中心应用。随着服务器虚拟化比例的不断提高,虚拟化应用在企业业务应用中所占的比例越来越大,并逐渐向核心应用发展。
企业面对越来越高的市场需求。移动性、大数据、用户体验、物联网等潜在方向已经暗示了新的基于云的“定制化系统”需求,而大多数企业的现有系统和适应这些需求的云环境之间存在着空白。如何更快地改造和部署适应市场需求的IT系统将成为企业至关重要的竞争力。
数据的积累和集中化趋势也是云计算快速发展的重要原因。IDC数据显示,预计到2015年,全球将有超过10亿的网民,超过150亿的各种设备,超过1ZB的数据容量。在大数据的存储、计算和分析方面,云计算技术和商业路径能够更好地为数据服务。实际上,云计算不是对传统IT的破而后立,而是渐进的改良、逐步的优化,它的实施和应用更像是老城市的改造,而不是在平地上一举建起一座新城。它需要审慎的决策,以及分阶段地部署和实施,用户要正视其每个阶段面临的困难和挑战。
私有云成主流
从Gartner的2012年技术成熟度曲线报告上我们可以看出,云计算和私有云计算已经跨越了过热期,这预示着云计算技术将在未来2~5年内成为市场的主流应用。从云计算类型上来看,公共云服务商已经能提供较为成熟的云计算产品,并且达成规模经济;私有云在企业中也已经有了很广泛的应用。Gartner指出,2012年企业将加大投资私有云,而随着云服务产品的不断演进和完善,未来的企业将是混合型的IT架构。
IDC在伦敦云安全会议上的调查报告结果显示:“2012年以及未来几年内,大型企业可能只会考虑私有云平台的搭建与应用。”出于数据隐私和安全的考虑,以及定制化的需求,企业倾向于采用接近内部日常IT部署环境的私有云。当前,许多大型企业已经普遍采用了虚拟化技术对原有的服务器、存储和网络平台进行优化。从虚拟化过渡到私有云,这是企业IT基础架构变革的必由之路。
IDC认为,私有云计算将成为下一代数据中心建设的主要目标,中国将有更多大型企业开始尝试建设私有云计算平台。
云的部署和实施必须分阶段实现。数据中心从现有架构转向私有云架构,大体要经过三个步骤:第一步,实现IT资源的融合和池化,目前许多大中型企业已经基本实现了这一步;第二步,实现对资源的自动化管理;第三步,让这些资源能够自我完善,并且可以智能地响应不同用户的需求,为用户提供灵活、适度的资源支持或服务。英特尔的云愿景正好契合了上述私有云的发展之路。从资源互通到系统自动化,再到客户端自适应,英特尔描绘出一幅推动私有云快速发展的蓝图。到2015年,这一蓝图将初具规模。
为云而生
在英特尔还没有确定E5系列处理器正式的日期时,各主流的服务器厂商已经跃跃欲试。对于急于在云计算市场上圈地的服务器厂商来说,专为企业私有云定制的英特尔E5系列处理器无疑是一个强有力的助推器。云计算市场一直是众说纷纭,服务器、存储、网络、软件等厂商都从自己的角度来阐述云的价值,但缺少一个统一的标准,或者说在IT基础架构的底层上缺少一个统一的平台作为支撑。E5系列处理器的出现填补了这一空白。
其实,英特尔E系列处理器就是专为云计算设计的,它具有高功耗比、高可扩展性和高性能,为未来各种应用向云计算迁移奠定了良好的基础。
面向云计算的处理器,性能的提升只是一方面,更重要的是实现性能、成本、能耗和安全性的平衡和综合能力的提升,同时还要为虚拟化应用提供更强有力的支持。英特尔至强处理器在设计上都充分体现了上述特色。尤其是E5系列处理器,最多可集成8个内核,并能支持多达768GB的系统内存,其性能比5600系列处理器提高80%。此外,E5系列处理器在SPECpower_ssj2008上取得的能效得分比5600系列处理器高50%。E5系列处理器对服务器、存储甚至是网络的支持能力得到了全面提升,这也为系统厂商构建多元化的面向不同云计算需求的解决方案打下了基础。比如,在E5系列处理器的基础之上,包括IBM、惠普、戴尔等都推出了性能更加优化、能耗更低和性价比更优的服务器产品。
转变从基础架构底层开始
时至今日,云计算的趋势已经不可逆转,云的生态系统正在建立和不断完善之中。云应用的落地、基于云的商业模式的形成,都离不开IT基础设施的优化和变革。作为IT设备的核心――处理器的革新至关重要。英特尔抓住了云计算走向普及的契机,适时推出了专为云计算设计和优化的E5处理器。E5处理器的推出帮助企业打开了通向私有云架构的大门。云计算的变革已经渗透到IT基础架构的最底层。
【关键词】信息安全等级保护;等级测评;物联网;云计算
ResearchofEffectofInternetofThingsandCloudComputingtoClassifiedEvaluation
ZhaoLiang
(SinopecShandongDongyingOilCompanyShandongJinan257000)
【Abstract】ClassifiedProtectionofInformationSecurityisthebasicsystemandstrategyofnationalinformationsecuritywork.AndClassifiedEvaluationisanimportantmethodoftestingandevaluatingthelevelofInformationSecurityProtection.Theappearanceofnewtechnologies,suchascloudcomputing,InternetofThings,tri-networksintegration,bringsnewchallengetotheClassifiedEvaluationtechnology.ThispaperintroducedtheinfluencesuponClassifiedEvaluationfromnewtechnologydevelopment,representedbycloudcomputingandInternetofThings,inordertopromotethedevelopmentoftestmethodresearch,andprovidetheoreticalbasistofurtherresearch.
【Keywords】classifiedprotectionofinformationsecurity;multilevelsecuritydatabase;cloudcomputing;internetofthings
社会信息化技术和国民经济的飞速发展,使得信息系统与网络的基础性与全面性作用逐渐增强,而由此带来的信息安全问题也变得突出,并逐渐成为关系国家安全的重大战略问题。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,而等级测评作为检验和评价信息系统安全保护水平的重要方法,是信息安全等级保护实施过程中的重要环节。近几年,越来越多的研究者致力于等级测评技术、方法和工具的研究与开发,并取得了一定的成果。但越来越多网络新技术的出现,在开拓等级保护与等级测评应用领域的同时,也对传统等级测评技术带来了一定的挑战。本文分别介绍了物联网和云计算两种新的技术应用,并探讨了其对等级测评技术产生的影响,旨在推动等级测评技术的发展,为其深入研究提供理论参考。
2安全等级保护与等级测评
信息安全等级保护是指根据应用业务重要程度及其实际安全需求,通过制定统一的信息安全等级保护管理规范和技术标准,对信息安全实行等级化保护和等级化管理,以保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护是帮助用户分析、评定信息系统的等级,在后期的工作中根据不同的等级进行不同级别的安全防护,
在我国的信息安全等级保护制度中,等级保护工作主要分为五个环节:定级、备案、建设整改、等级测评和监督检查。
等级测评是指第三方等级测评机构根据等级保护的管理规范和技术标准要求,针对已经实施了安全等级保护的信息系统进行的符合性测评活动,以确保信息系统的安全性保护措施符合对应等级的基本安全要求,是信息安全等级保护工作的重要环节,既可以在信息系统安全建设完成后进行,也可以在信息系统的运行维护过程中进行。《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》作为等级测评的基础性标准,目前主要基于其进行符合性判定。
3物联网技术与等级测评
3.1物联网技术简介
物联网(InternetofThings,IOT),顾名思义,就是“物物相连的网络”,是指通过各种信息传感设备(如传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术),实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学等各种需要的信息,与互联网结合形成的一个巨大网络。物联网作为新一代信息技术的重要组成部分,其目的是实现物与物、物与人,所有的物品与网络的连接,方便识别、管理和控制。
与传统的互联网相比,物联网有其明显的特征:(1)它是各种感知技术的广泛应用;(2)以互联网为基础;(3)其本身具有智能处理的能力,能对物体实施智能控制。物联网用途广泛,主要应用领域有智能家居、智能医疗、智能环保、智能交通、智能农业。
3.2物联网对等级测评技术的影响
物联网技术的推广和应用,一方面将显著提高经济和社会运行效率,另一方面也对国家、社会、企业、公民的信息安全和隐私保护问题提出了严峻的挑战,其开放性的特点与信息安全理念背道而驰,对信息安全等级测评的工作方法及测评范围产生了较大的影响。主要体现在几个方面。
(1)信号易扰:虽然物联网能够智能化的处理一些突发事件,不需要人为干涉,但传感设备都是安装在物品上的,且其信号很容易收到干扰,因此很可能导致物品的损失。此外,如果国家某些重要机构如金融机构依赖物联网,也存在信号扰导致重要信息丢失的隐患。这样如何评估物联网技术的安全性及稳定性成为等级测评中的难题。
(2)针对性入侵技术:物联网与互联网的关系,使得互联网上的安全隐患同样也会对物联网造成危害。物联网上传播的黑客、病毒和恶意软件等进行的恶意操作会侵害物品,进一步侵犯用户的隐私权。尤其是对一些敏感物品如银行卡、身份证等物品的恶意掌控,将造成不堪设想的后果。因此,在对物联网进行安全保护以及等级测评过程中,不仅要考虑到物联网无线网络的防恶意入侵能力,更要考虑互联网传统的入侵技术。
(3)通讯安全:物联网与3G手机的结合,在很大程度上方便了人们的生活。然而,移动通讯设备本身存在的安全问题也会对物联网造成影响。移动通信设备存在许多安全漏洞,黑客很有可能通过移动设备的漏洞窃取物联网内部的各种信息,从而带来安全隐患。而且移动设备的便携性也使得其很容易丢失,若被不法分子获得,则很容易造成用户敏感信息的泄露。因此,在对物联网进行等级测评的过程中,还要考虑到通信终端及通信过程的保密性。
总之,在考虑物联网的等级保护与等级测评过程中,要以构建物联网安全体系框架为目标,在充分理解物联网的结构、技术和应用模式的基础上,深入分析物联网设备、网络、信息和管理等各层面面临的安全威胁和风险,梳理物联网安全的主要问题,明确物联网安全需求(“物”的真实性、“联”的完整性、“网”的健壮性),并针对各项安全需求,研究保障物联网安全的关键技术(低能耗密码算法设计技术、海量信息标识技术、物联网设备管理技术、物联网密钥管理技术、动态安全策略控制技术、物联网安全等级保护技术、传感设备物理安全防护技术),提出物联网安全目标以及技术体系、承载装备体系、标准规范体系和管理体系框架,给出物联网安全体系顶层设计思路、建设任务和应对措施,为全面建设物联网安全体系奠定必要的基础。
4计算与等级测评
4.1云计算技术简介
云计算作为一种新的概念和应用模式,研究尚未成熟,还存在若干制约其发展的问题,包括服务的可靠性、标准化问题、安全性问题、数据传输瓶颈以及信誉和法律危机。其中云安全问题是目前发展云计算首要解决的问题之一。
4.2云计算对等级测评技术的影响
云计算平台在为用户提供服务的同时,仍不可避免的面临严峻的安全考验。由于其用户、信息资源的高度集中,带来的安全事件后果与风险较传统应用高出很多。据IDC在2009年底的一项调查报告显示,当前云计算面临的三大市场挑战分别为安全性、稳定性和性能表现。由此可见,解决云计算的安全问题尤为迫切。云计算面临的安全问题及其对等级保护和等级测评造成的影响主要有几个方面。
(3)计算层并行计算的干扰:计算层的主要功能是为整个云计算提供高效、灵活、高强度的计算服务,但也面临一定的问题,主要有计算性能的不可靠性,即资源竞争造成的性能干扰,云计算主要采用并行计算间性能隔离机制来解决此问题。因此在等级测评中,需要开发新的测试技术和方法来评估并行计算间的干扰问题。
云计算给我们带来创新和变革的同时,对安全问题与等级测评技术也提出了更高的要求。在云计算环境下,无论是使用云服务的用户,还是云服务提供商,安全问题都是第一大问题。研究适用于云计算应用的等级测评技术,将极大的推动云计算领域的发展。
[1]公通字[2004]66号关于信息安全等级保护工作的实施意见.
[2]GB/T22239-2008信息安全技术信息系统安全等级保护基本要求.
[3]杨磊,郭志博.信息安全等级保护的等级测评.中国人民公安大学学报(自然科学版),No.12007.
[4]刘忠宝.物联网技术应用与研究.信息与电脑,2010年第10期.
[5]郝文江,武捷.物联网技术安全问题探析.实践探究,2010.
[6]王斐.浅谈信息化的新浪潮――云计算.科技创新导报,2010No.30
[8]陈丹伟,黄秀丽,任勋益.云计算及安全分析.计算机技术与发展,2010第2期.
[9]任伟.物联网安全架构与技术路线研究.信息网络安全,2012.5.