簡述網絡安全的定義范文

導語：如何才能寫好一篇簡述網絡安全的定義，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：計算機;網絡;信息安全漏洞掃描

1網絡安全簡述

網絡安全并沒有一個固定的范圍和固定的定義。隨著觀察角度的變化，對網絡安全的定義也不盡相同。例如，從網絡用戶個人或者單位來說。他們想要擁有的網絡安全，必然是個人隱私信息的安全、單位商業信息受到保護，避免因他人運用竊聽、篡改等手段，泄露信息，或者造成商業危害。從網絡運用以及管理者的角度來看，他們理解的網絡安全必然是希望在對本地網絡信息進行訪問、讀寫時，受到相應的保護。防止出現病毒入侵、拒絕服務或者網絡資源非法控制等威脅。從本質上來講，網絡安全屬于網絡上的信息安全范圍。指的是通過多網絡系統的強化管理，以及對硬件、軟件中的數據保護，防止其因有意的，或無意的破壞而出現信息泄露等狀況。保障系統連續可靠的運作，以及提供源源不斷的網絡服務。從宏觀上來看，凡是有關網絡上信息的隱私、完整、可用、真實等相關的技術研究，以及網絡安全管理全部屬于網絡安全需要研究的對象。網絡安全不僅僅是網絡使用硬件或軟件上的問題，也是信息管理上的問題。在二者的互相補充下，才能實現完善的信息保護。在硬件和軟件方面，主要側重點是防止外在非法行為對網絡的攻擊。對于管理上來講，主要的側重點在于對網絡管理人員的管理。對于網絡安全的基本要求主要有以下一個方面:

1．1可靠性

可靠性的定義就是網絡信息系統能夠在目前具有的條件下，以及相應的時間范圍之內，保持預先想要其達到的功能性特征?？煽啃允菍τ诰W絡系統安全的最基本的要求，如果連可靠性都保障不了，難么一切的網絡活動將無從談起。

1．2可用性

可用性就是網絡經過設置之后，網絡信息可以被所授權實體進行訪問并按照需求使用的特性。即在經過許可之后，網絡信息服務在需要的時候，就會給予授權用戶或實體進行使用的特性;或者是網絡在受到部分的損壞及需要降級使用的時候，依舊為授權用戶提供最有效服務的特性?？捎眯跃褪蔷W絡信息系統面向所有用戶的而最安全性能。網絡信息進系統最基礎的功能就是向用戶提供他們所需的服務，然而用戶的需求是隨機的、多方面的、甚至還會有時間和速度的要求。與此同時，可用性就會對系統的正常使用時間與整個工作時間的之比來進行度量。

1．3保密性

對保密性的定義就是保障網絡信息能夠不受外界非法行為的影響，導致出現信息泄露、信息篡改等。保密性是建立在可靠性以及可用性的基礎之上的，是網絡安全保障的重點對象。

1．4完整性

完整性就是網絡信息在沒有經過授權之前不能對其進行任何改變的特性。也就是說，網絡信息在儲存或傳輸的過程中保持其完整，不會偶然的失誤或蓄意地刪除、修改、偽造、插入等破壞的特性。完整性是網絡中面向信息的安全模式，無論經歷怎樣的阻撓和破壞，它要求必須保持信息的原版，換句話說，就是信息的正確生產及安全準確的存蓄和傳輸。

2計算機網絡安全中的漏洞掃描技術分析

由于網絡會給人們帶來較多的不安全問題，導致計算機網絡的使用者必須要運用相應的安全保護措施，來實現個人或者單位的信息安全。在許多網絡安全研究者的共同努力下，推出的網絡安全保護技術能夠從不同的角度切實保障網絡信息的可靠性、可用性、保密性、完整性等。對安全技術進行分析，主要有:漏洞技術掃描、訪問控制技術、防火墻技術等。這些事比較常規的，對于一些稍微特殊的，在此就不一一列舉。以下主要分析的就是漏洞掃描技術。安全漏洞是計算機網絡系統當中的缺陷，它會導致外界非法授權者為獲取信息利用其進行不正當的訪問。

2．1D級漏洞

D級漏洞允許遠程用戶獲取該計算機當中的某些信息，例如該計算機是否處于運行狀態，該計算機的操作系統類別等。例如，可以向一臺計算機的目標端口發送SYN分組，假如收到的是一個來自目標端口的SYN/ACK分組，那么我們可以確定此臺計算機正處于被監聽的狀態。從具體實踐來講，D級漏洞在其余漏洞當中，是對計算機危害最小的。但是它會為非法侵入者采取下一項行動奠定基礎。

2．2C級漏洞

C級漏洞外在表現為允許拒絕服務。拒絕服務攻擊是一類個人或者多人運用ntIemct當中的某些特性，拒絕向其他的用戶提供合法訪問服務。這種漏洞最終導致的結果就是，受到攻擊的計算機反映速度減慢，從而導致合法授權者無法連接目標計算機。

2．3B級漏洞

B級漏洞是允許本地用戶獲取非授權的訪問。此種漏洞常常在多種平臺應用程序當中出現。

2．4A級漏洞

A級漏洞主要是允許用戶未經授權訪問。這屬于這幾種漏洞當中危害最大的一種。許多情況下產生的A級漏洞，都是由于系統管理出現問題，或者系統內部參數設置錯誤導致的。

3結語

總而言之，漏洞掃描技術就是在解決網絡安全問題的一門比較新穎的技術。通過市場調研，防火墻技術就是當病毒入侵時的被動防御，入侵檢測技術也是一門被動的檢測，然而，漏洞掃描技術則是在沒有別的病毒入侵之前就主動進行有關安全方面的全面檢測技術。所以，從網絡全面安全的角度出發，主動進行安全檢測，防范于未然的漏洞檢測越來越受人們的青睞。

作者:吳塍勤 單位:江蘇省宜興中等專業學校

參考文獻:

［1］朱健華．淺析信息化建設中的安全漏洞掃描技術［J］．中國科技投資，2012(27)．

［2］趙燕．漏洞掃描技術淺析［J］．內蒙古水利，2011(03)．

篇2

關鍵詞：網絡安全；防火墻技術；防火墻應用

中圖分類號：TP309文獻標識碼：A文章編號：16727800（2012）009016003

0引言

隨著網絡的迅速普及，網絡安全問題也日益突出。雖然網絡安全技術得到了迅速發展，但網絡安全問題也增加了新的內容 ，主要是由網絡的開放性、無邊界性、自由性造成的，包括以下一些因素：①計算機操作系統本身的一些缺陷；②各種服務，如TELNET NFS，DNS，Active X 等存在bug和漏洞；③TCPIP協議本身的安全因素；④黑客攻擊，追查比較困難，因為攻擊可以來自Internet的任何地方。

目前，保護內部網免遭外部入侵的有效方法是采用防火墻。防火墻技術已成為網絡安全領域中最為重要、最為活躍的領域之一，成為保護網絡安全、網絡數據的重要手段和必選的網絡安全設備之一。防火墻主要涉及軟件技術、密碼技術、安全技術、計算機網絡技術、網絡標準化組織的安全規范、安全操作系統和安全協議等多方面。近年來，防火墻產品多，更新快，且不斷有新的信息安全技術應用到防火墻的開發上，如服務器、包過濾、狀態檢測、用戶身份鑒別、加密技術、虛擬專用網等技術。

那么，什么是防火墻呢？在古代，人們在構筑木制結構房屋時，常在住所之間砌一道磚墻，防止火災蔓延。在網絡中，防火墻就是防止Internet上的不安全因素蔓延到企業或組織的內部網，猶如一道護欄，置于不安全的非信任的網絡與被保護網絡之間，阻斷外部對內網的威脅和入侵，保護內網的安全。

一般來說，防火墻是一種置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間的唯一通道。它能根據有關的安全訪問策略來控制（包括允許、拒絕、記錄和監視）通過網絡的訪問行為，是一種高級的訪問控制設備。狹義上，防火墻是指裝了防火墻軟件的路由器系統或者主機；廣義上，防火墻是指整個網絡的安全行為和安全策略。

1防火墻的發展

1986年，在Internet上，美國Digital公司安裝了全球第一個防火墻系統。這之后，防火墻產品成為安全領域發展最快的安全技術產品之一，它先后經歷了如下發展階段：

第一代防火墻，又稱為包過濾路由器或屏蔽路由器，是基于路由器的防火墻，通過檢查經由路由器的數據包的地址（源地址、目的地址）、端口號（源端口號、目的端口號）、協議等參數，來決定是否讓數據包通過，如Cisco路由器提供的接入控制表。這種防火墻的缺點是很難抵御地址欺騙等攻擊，而且審計功能差。

第二代防火墻，是用戶化的防火墻工具套，它用來提供應用服務級的控制，起到外部網絡向被保護的內部網申請服務時的中間轉接作用。它的缺點是對于每一種網絡應用服務都必須為其設計一個軟件模塊來進行安全控制，而每一種網絡應用服務的安全問題各不相同，分析困難，因此實現也困難，且的時間延遲也較大。

第三代防火墻，是建立在通用操作系統上的商用防火墻產品，有以硬件方式實現的，也有以純軟件方式實現的。采用這種防火墻，用戶必須依賴防火墻廠商和操作系統廠商這兩方面的安全支持。

第四代防火墻，是建立在安全操作系統上的防火墻。各種新的信息安全技術被廣泛應用在防火墻系統中，同時也采用了一些主動的網絡安全技術，比如網絡安全性分析、網絡信息安全監測等?？傊?，它將網關和安全系統合二為一。

2防火墻的基本類型

按使用技術，防火墻主要分為包過濾型防火墻（又可分為靜態包過濾、狀態動態檢測包過濾）、應用、復合型和核檢測這幾大類；按照實現方式可分為硬件防火墻、軟件防火墻。

2.1按使用技術分類

2.1.1包過濾型防火墻

靜態包過濾防火墻是最簡單的防火墻。靜態包過濾被應用于路由器的訪問控制列表，在網絡層對數據包實施有選擇的通過。根據系統內的過濾邏輯，在收到網絡數據包后，檢查數據流中的每個數據包，根據這數據包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及數據包頭的各種標志位等因素，以確定是轉發還是丟棄，它的核心是安全策略即過濾算法的設計。靜態包過濾的優點是邏輯簡單、對網絡性能影響小、有較強的透明性、與應用層無關，所以無須改應用程序。它也存在一些不足：不檢查數據區、不建立連接狀態、前后報文無關、對應用層的控制弱。

狀態動態檢測包過濾防火墻直接對數據分組進行處理，而且結合前后的數據分組進行綜合判斷，來確定是否讓數據包通過。如思科的pix系列防火墻和checkpoint公司的防火墻都采用了這種技術。它的優點在于支持幾乎所有的服務，并能動態地打開服務端口，且能減少端口的開放時間。所以狀態動態檢測防火墻安全性高，能夠檢測所有進入防火墻網關的數據包，并能根據通信和應用程序狀態確定是否允許包的通行。它性能高，在數據包進入防火墻時就進行識別和判斷；伸縮性好，可以識別不同的數據包；已經支持160多種應用，包括Internet應用、數據庫應用、多媒體應用等，用戶可方便添加新應用，而且對用戶、應用程序透明。

2.1.2應用型防火墻

型防火墻，又可分為電路級和應用級。

應用技術是在網絡的應用層提供網絡數據流保護功能，用來過濾應用層的服務，是內部網與外部網的隔離點，起著內外網之間申請服務時的中間轉接作用，監視并隔絕應用層的通信流。應用服務是運行在防火墻主機上的特殊的應用程序或者服務器程序，不同服務的功能需要開發不同的服務程序，而對大多數服務來說，要求要有合適的服務器軟件。由于提供替代連接并充當服務的網關，所以，應用有時也被稱為應用級網關。它的優點在于：不允許內外主機直接連接、能提供詳細的日志和安全審計功能、隱藏內部IP地址、支持用戶認證。但是，它的速度比包過濾慢，且對用戶不透明，對于一些服務不適用，而且不能保護所有協議。

電路級適用于多個協議，能接收客戶端的各種服務請求，建立一個回路，對數據包只起轉發的作用，工作在OSI模型的會話層或TCP/IP模型的TCP層。它的優點是可滿足多種協議設置，并能隱藏內網的信息，但它不能識別同一個協議棧上運行的不同應用程序。

2.1.3復合型防火墻

所謂復合型防火墻，就是將包過濾和服務整合在一起使用，以實現如網絡安全性、性能和透明度的優勢互補。復合型防火墻，可以檢查整個數據包的內容，并根據需要建立狀態連接表，網絡層和應用層的保護強，會話層的控制較弱。目前出現的新技術類型主要有以下幾種：智能IP識別技術、零拷貝流分析、快速搜索算法、實時侵入檢測系統等，突破了復合型防火墻效率較低的瓶頸?；旌鲜褂眠@些技術和包過濾技術及服務技術是未來防火墻的趨勢。

2.1.4核檢測防火墻

核檢測防火墻，檢查整個數據包，當數據包到達防火墻時，建立連接狀態，重寫會話，檢查多個報文組成的會話。核檢測防火墻對網絡層、會話層和應用層的控制強，而且前后報文有聯系，上下文相關。

2.2按實現方式分類

硬件防火墻，是指采用ASIC芯片設計實現的復雜指令專用系統，它的指令、操作系統、過濾軟件都采用定制的方式，一般采取純硬件設計即嵌入式或者固化計算機的方式，而固化計算機的方式是當前硬件防火墻的主流技術，通常將專用的Linux操作系統和特殊設計的計算機硬件相結合，從而達到內外網數據過濾的目的。

軟件防火墻，一般安裝在隔離內外網的主機或服務器上，一般來說，這臺主機或服務器就是整個網絡的網關。國內外有許多網絡安全軟件廠商開發的面向家庭用戶的純軟件防火墻，俗話叫“個人防火墻”，因為它是裝在個人主機上的，只對個人主機進行保護。而防火墻廠商中做網絡版軟件防火墻最出名的莫過于CheckPoint及微軟的ISA軟件防火墻。

3防火墻的主要功能

防火墻能提高網絡、主機（主機群）以及應用系統的安全性，它主要有以下功能：

（1）網絡安全的屏障。對網絡存取和訪問進行監控和審計，提供內部網絡的安全性，過濾不安全的服務，對網絡攻擊進行檢測和報警，比如說，它可以禁止NFS（網絡文件系統）服務。把防火墻作為網絡通信的阻塞點，為網絡安全起到了把關的作用，所以，我們就可以把網絡安全防范集中在這個阻塞點上。

（2）強化網絡安全策略。通過集中的安全管理，在防火墻上可以實現安全技術應用（加密、身份鑒別與認證、口令密碼等），過濾掉不安全的服務和非法用戶。

（3）防止內部信息外泄。對于內部網絡，可以根據不同的服務設置不同的安全級別，從而實現內部重點網段的隔離與保護，限制敏感的安全問題影響整個網絡。

（4）限制暴露用戶。封堵禁止的訪問行為，有效記錄Internet上的活動，管理進出網絡的訪問行為。

（5）實現虛擬專用網的連接。防火墻支持因特網服務特性的內部網絡技術系統——虛擬專用網。

雖然，防火墻能對網絡威脅起到極好的防范作用，但它不能解決所有的網絡安全問題。某些威脅如惡意的知情者、不通過它的連接、一些病毒等，防火墻也是無能為力的。

4防火墻的設計策略

防火墻的設計策略是基于特定的防火墻，通常有兩種基本的設計策略：限制策略，拒絕任何服務除非被明確允許；寬松策略，接受任何服務除非被明確禁止。第一種相對保守，也相對安全；第二種可能造成安全隱患。一般建議采用限制型包過濾策略。

在配置防火墻時，必須要遵循一定的原則，首要的原則是安全且實用。從這個角度，在防火墻的配置過程需要堅持3個原則：①簡單實用，越簡單，越容易理解和使用，越不容易出錯，管理也越可靠、簡便；②全面深入，只有采用全面的、多層次的防御戰略體系才能實現真正的系統安全，系統地對待整個網絡的安全防護體系，使各方面的配置相互加強，進而從深層次上保護整個系統；③內外兼顧，每種產品都有它的主要功能定位，在配置時要針對具體的網絡環境進行配置，不必對每一種功能都進行配置。

在站點上配置安全策略，防火墻可提供服務控制、方向控制、用戶控制和行為控制。服務控制是指確定防火墻內外可以防火的網絡服務類型，可以提供軟件，也可直接運行服務器軟件；方向控制主要是啟動特定的有方向性的服務請求并允許它通過防火墻；用戶控制是指根據訪問請求的用戶來確定是否為該用戶提供他要的服務；行為控制是控制用戶如何使用某種特定的服務，如過濾垃圾郵件、限制外部訪問，只允許他們訪問本地web服務器的一些信息等。

在大型網絡系統中，可在如下位置部署防火墻：局域網內的VLAN之間、內聯網與外網之間、總部的局域網與各分支機構之間構成虛擬專用網VPN、遠程用戶撥號訪問時加入VPN等。

防火墻主要包括5個部分：安全操作系統、過濾器、網關、域名服務、函件處理。

5防火墻的選型和實施

5.1選型原則

防火墻產品眾多，如國內的天融信網絡衛士、聯想的網御防火墻、東軟的網眼防火墻、國外Cisco的PIX系列和ASA系列、CheckPoint的FireWall1、NetScreen公司的NetScreen防火墻等。而每一種防火墻都有它的獨特功能和技術，都有自己的定位，讓用戶眼花繚亂，難以選擇。一般來說，防火墻選型時的基本原則有以下幾點：

安全和功能需求分析：選擇合適產品的一個前提條件就是明確用戶的具體需求。因此，選擇產品的第一個步驟就是針對用戶的網絡結構、業務應用系統、用戶及通信流量規模、防攻擊能力、可靠性、可用性、易用性等具體需求進行分析。

明確投資范圍和標準，以此來衡量防火墻的性價比。

在相同條件下，比較不同防火墻的各項指標和參數。

綜合考慮安全管理人員的經驗、能力和技術素質，考查防火墻產品的管理和維護的手段與方法。

根據實際應用的需求，了解防火墻附加功能的定義和日常系統的維護手段與策略。

5.2防火墻的測試與管理

為更好地了解防火墻產品的特點，選擇適合自己應用需求的產品，必須先對防火墻產品進行測試，測試的主要內容包括管理測試、功能測試、性能測試和抗攻擊能力的測試。其中，管理是網絡安全的關鍵，功能是防火墻應用的基礎，性能保證了網絡的傳輸效率，而抗攻擊能力是網絡安全的保證。

選擇安裝適合的防火墻后，還要對防火墻進行管理與維護，目的是為了讓防火墻正常發揮作用，并延長使用壽命。這要求管理維護人員必須接受一定的專業培訓，且對本單位的網絡有一個清晰的認識和了解；定期地對防火墻進行掃描與檢測，及時發現問題，堵上漏洞；保證通信線路暢通，當發生網絡安全問題時能及時報警，并及時處理；與廠家保持聯系，及時獲得防火墻有關的升級與維護信息。

6結語

防火墻雖是一項比較成熟的產品，但也在不斷地完善與發展。怎樣讓防火墻具有高安全性、高透明性和高網絡性三高為一體的性能，是網絡安全人員面臨的一個艱巨課題。

參考文獻：

[1]閻慧.防火墻原理與技術[M].北京：機械工業出版社，2004.

[2]楊文虎.網絡安全技術與實訓[M].北京：人民郵電出版社，2011.

篇3

[關鍵詞]計算機 信息安全技術 相關概念 防護內容 防護措施

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1009-914X（2016）28-0194-01

1.計算機信息安全的相關概念

計算機網絡安全指的是現代計算機網絡內部的安全環境維護，卞要保護的是計算機網絡系統中的硬盤、軟件中的數據資源，在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關重要的數據信息，從而保障計算機網絡服務的正常運作。

2.計算機信息安全技術防護的內容

計算機信息安全防護，強化計算機信息安全管理的防護工作和防護內容較多。從現階段計拿機信息安全防護的實際情況來看，強化對計算機安全信息的管理可以從計算機安全技術入手，對計算機系統的安全信息存在的漏洞進行及時的檢測、修補和分析結合檢測分析得到的結果制定有效的防護方案建立完善的安全系統體系。其中安全系統體系包括安全防火墻、計算機網絡的殺毒軟件、入侵監測掃描系統等信息安全防護體系。從計算機信息安全管理方面來看，需要建立健全的信息安全制度，欄窀據信息安全管理制度的相關規定對計算機信息進行防護，加強管理人員的安全防護意識。此外，計算機信息安全防護還需要充分考慮計算機安全數據資源的合法使用、安全穩定運作數據資料存儲和傳輸的完整性、可控性、機密性和可用性等。

3.計算機信息安全防護中存在的問題

隨著計算機信息化技術的進一步發展，信息安全已經引起人們的高度關注?，F階段計算機安全信息防護還存在諸多問題。計算機網絡系統的安全體系不夠完善，因此要保障計算機信息安全必須要配置一些安全信息設備，但是目前的安全技術水平偏低，安全信息質量得不到保障。此外計算機系統內部的應急措施的構建機制不夠健全，安全制度不完善，滿足不了信息安全的防護標準要求。近幾年來，我國用人單位對計算機催息安全管理工作越來越重視，但是有些單位的計算機安全信息防護意識薄弱，負責信息安全防護的管理人員業務素質偏低，計算機信息安全技術防護水平偏低。同時，一些企業對管理人員的信息安全培訓力度不足，對安全信息防護的設備費用的投入力度不足。因此，現階段我國企業的計算機信息安全防護水平與社會服務的程度偏低。

4.計算機信息安全防護的措施

4.1 注計算機病毒的防護

計算機網絡之間的病毒傳播速度較快?，F代計算機網絡防護病毒必須要在互聯網環境下，對計算機的操作系統采取科學合理的防毒措施，有效防護計算機信息安全?，F階段，從計算機信息行業來看，針對不同的操作系統，所采用的計算機防毒軟件的具體功能也會不一樣，但是能夠加強計算機用戶的信息安全防護利用安全掃描技術、訪問控制技術、信息過濾技術，制止惡性攻擊，加強計算機系統的安全性能，強化對計算機信息安全的防護。

4.2 信息安全技術

計算機信息安全技術主要包括實時的掃描技術、病毒情況研究報告技術、檢測技術、檢驗保護技術、防火墻、計算機信息安全管理技術等。企業需要建立完善的信息安全管理和防護制度，提高系統管理工作人員人員技術水平和職業道德素質。對重要的機密信息進行嚴格的開機查毒，及時地備份重要數據，對網站訪問進行肖致地控制，實現信息安全的防范和保護對數據庫進行備份和咬復實現防護和管理數據的完整性。利用數據流加密技術、公鑰密碼體制、單鑰密碼體制等密碼技術劉信息進行安全管理，保護信息的安全。切斷傳播途徑，對感染的計算機進行徹底性查毒，不使用來路不明的程序、軟盤等，不隨意打開可疑的郵件等。提高計算機網絡的抗病毒能力。在計算機上配置病毒防火墻，對計算機網絡文件進行及時地檢測和掃描。利用防病毒卡，對網絡文件訪問權限進行設置。

4.3 提高信息安全管理人員的技術防護水平

計算機信息安全不僅需要從技術上進行信息安全防范措施，同時也要采取有效的管理措施，貫徹落實計算機信息安全防護反律法規制度，提高計算機信息的安全性。對計算機管理人員進行培訓;建立完善的計算機信息安全管理機制，改進計算機信息安全管理能力，加強計算機信息安全的立法和執法力度，強化計算機信息管理的道德規范，提高管理人員對安全信息的防護意識;明確計算機系統管理人員的工作職責。此外，企業需要增加對計算機安全信息防護設備的投入費用，整體提高我國社會部門的計算機信息安全防護與社會服務水平。

5.結束語

綜合上述，計算機信息安全防護過程中存在著;信息安全管理體系不夠健全、信息安全制度不完善、負責信息安全防護的管理人員業務素質偏低等問題，這就要求企業從計算機病毒的防護、信息安全技術、信息安全管理人員的技術防護水平這三方面入手，全面提高計算機信息安全技術水平和管理人員對計算機信息的安全防護能力。

參考文獻

篇4

關鍵詞公鑰密碼體制RSADSAECDSASHA-1數字簽名身份認證

1引言

公開密鑰密碼體制的概念是1976年由美國密碼學專家狄匪(Diffie)和赫爾曼(Hellman)[1]提出的，有兩個重要的原則：第一，要求在加密算法和公鑰都公開的前提下，其加密的密文必須是安全的；第二，要求所有加密的人和掌握私人秘密密鑰的解密人，他們的計算或處理都應比較簡單，但對其他不掌握秘密密鑰的人，破譯應是極困難的。隨著計算機網絡的發展，信息保密性要求的日益提高，公鑰密碼算法體現出了對稱密鑰加密算法不可替代的優越性。近年來，公鑰密碼加密體制和PKI、數字簽名、電子商務等技術相結合，保證網上數據傳輸的機密性、完整性、有效性、不可否認性，在網絡安全及信息安全方面發揮了巨大的作用。本文詳細介紹了公鑰密碼體制常用的算法及其所支持的服務。

2公鑰密碼算法

公鑰密碼算法中的密鑰依性質劃分，可分為公鑰和私鑰兩種。用戶或系統產生一對密鑰，將其中的一個公開，稱為公鑰；另一個自己保留，稱為私鑰。任何獲悉用戶公鑰的人都可用用戶的公鑰對信息進行加密與用戶實現安全信息交互。由于公鑰與私鑰之間存在的依存關系，只有用戶本身才能解密該信息，任何未受授權用戶甚至信息的發送者都無法將此信息解密。在近代公鑰密碼系統的研究中,其安全性都是基于難解的可計算問題的。如:

(1)大數分解問題；(2)計算有限域的離散對數問題；(3)平方剩余問題；(4)橢圓曲線的對數問題等。

基于這些問題,于是就有了各種公鑰密碼體制。關于公鑰密碼有眾多的研究,主要集中在以下的幾個方面:

(1)RSA公鑰體制的研究；(2)橢圓曲線密碼體制的研究；(3)各種公鑰密碼體制的研究；(4)數字簽名研究。

公鑰加密體制具有以下優點:

(1)密鑰分配簡單；(2)密鑰的保存量少；(3)可以滿足互不相識的人之間進行私人談話時的保密性要求；(4)可以完成數字簽名和數字鑒別。

2.1RSA算法

RSA算法[2]是RonRivest,AdiShamir和LenAdleman在1978年提出的，是一種公認十分安全的公鑰密碼算法。RSA算法是目前網絡上進行保密通信和數字簽名的最有效安全算法。RSA算法的安全性基于數論中大素數分解的困難性。所以，RSA需采用足夠大的整數。因子分解越困難，密碼就越難以破譯，加密強度就越高。其公開密鑰和私人密鑰是一對大素數的函數。從一個公開密鑰和密文中恢復出明文的難度等價于分解兩個大素數之積。因式分解理論的研究現狀表明：所使用的RSA密鑰至少需要1024比特，才能保證有足夠的中長期安全。

為了產生兩個密鑰，選取兩個大素數p和q。為了獲得最大程度的安全性，兩數的長度一樣。計算乘積：N=pq，然后隨機選取加密密鑰e，使e和（p-1）（q-1）互素。最后用歐幾里得擴展算法計算解密密鑰d，以滿足：ed=1mod（p-1）（q-1）則d=e-1mod（p-1）（q-1）注意：d和n也互素。e和n是公開密鑰，d是私人密鑰。兩個素數p和q不再需要，可以舍棄，但絕不能泄漏。

加密消息m時，首先將它分成比n份小的數據分組。加密后的密文c，將由相同長度的分組ci組成。加密公式可表示為：ci=mie×(modn)解密消息時，取每一個加密后的分組ci并計算：mi=cdi×(modn)。

由于：cdi=(mei)d=medi=mik(p-1)(q-1) 1=mi×mik(p-1)(q-1)=mi×1=mi(modn)這個公式能恢復出全部明文。公開密鑰n：兩個素數p和q的乘積（p和q必須保密）；e：與（p-1）（q-1）互素。私人密鑰d：與n互素。加密c=me×(modn)；解密m=cd×(modn)。

2.2ECDSA算法

橢圓曲線數字簽名算法(ECDSA)[5]設計的數學原理是基于橢圓曲線離散對數問題的難解性。EC點上離散對數的研究現狀表明:所使用的ECDSA密鑰至少需要192比特,才能保證有足夠的中長期安全。橢圓曲線是指由韋爾斯特拉斯(Weierstrass)方程：

y2 a1xy a3y=x3 a2x2 a4x a6

所確定的平面曲線。定義F為一個域，其中ai∈F，i＝1,2，…6。F可為有理解域、實數域、復數域，也可為有限域GF(q)。在橢圓曲線密碼體制中，F一般為有限域。由有限域橢圓曲線上的所有點外加無窮遠點組成的集合，連同按照“弦切法”所定義的加法運算構成一個有限Abel群。在此有限Abel群上，定義標量乘法(ScalarMultiplication)為：mP＝P P …P(m個P相加)；若mP＝Q，定義：m＝logpQ為橢圓曲線點群上的離散對數問題，此問題無多項式時間內的求解算法。ECDSA的設計正是基于這一問題的難解性。

在此，我們討論定義在有限域GF(2m)上的橢圓曲線數字簽名算法。今定義橢圓曲線方程為：y2 xy＝x3 ax2 ba,b∈GF(2m)；則橢圓曲線的域參數為D(m,f(x),a,b,P,n)

其中,f(x)為GF(2m)的多項式基表示的不可約多項式。P表示橢圓曲線上的一個基點，n為素數且為點G的階。

ECDSA算法密鑰對的生成過程為：在區間[1，n-1]上選擇一個隨機數d，計算Q＝dP，則Q為公鑰，d為私鑰。

ECDSA算法的簽名生成過程可簡述如下：若簽名的消息為e，則在區間[1，n-1]上選擇一個隨機數k，計算kG＝(xl，y1)；r＝xlmodn；s＝k-1(e dr)modn。如果r或s為零，則重新計算，否則生成的簽名信息為(r，s)。

ECDSA算法的簽名驗證過程可簡述如下：若公鑰為Q，簽名的消息為e計算：w＝s-1modn；u1＝ewmodn；u2＝rwmodn；X＝u1P u2Q＝(xl，y1)。如果X為無窮遠點，則拒絕簽名，否則計算：v＝xlmodn；如果v＝r，則接受簽名，否則拒絕簽名。

2.3SHA-1算法

SHA-1雜湊算法[4]起初是針對DSA算法而設計的，其設計原理與RonRivest提出的MD2，MD4，尤其是MD5雜湊函數的設計原理類似。當輸入長度<264bit的消息時，輸出160bit的摘要，其算法分為5步：

(1)填充消息使其長度為512的倍數減去64，填充的方法是添一個“1”在消息后，然后添加“0”直至達到要求的長度，要求至少1位，至多512位填充位；

(2)完成第1步后，在新得到的消息后附加上64bit填充前的消息長度值；

(3)初始化緩存，SHA-1用5字的緩存，每個字均是32bit；

(4)進入消息處理主循環，一次循環處理512bit，主循環有4輪，每輪20次操作；

(5)循環結束后，得到的輸出值即為所求。

3公鑰密碼的服務

3.1數據加密

一般說來，公鑰密碼中的計算是很慢的，以至于在很多情況下是不可行的?？梢杂靡粋€兩步過程來代替。

(1)用隨機生成的對稱密鑰來加密數據。

(2)用授權接收者的公鑰來加密這個對稱密鑰。

當授權接收者收到加過密的數據后，也采取一個類似的兩步過程

：(1)授權接收者用自己的私鑰來解出對稱密鑰。

(2)接著用對稱密鑰進行解密獲得原始數據。

3.2數字簽名

數字簽名在公鑰密碼體制下是很容易獲得的一種服務，但在對稱密碼體制下很難獲得。數字簽名從根本上說是依靠密鑰對的概念。發送方必須擁有一個只有自己知道的私鑰，這樣當他簽名一些數據時，這些數據唯一而又明確地和他聯系在一起，同時，應該有一個或更多實體都知道的公鑰，以便大家驗證，并確認簽名是發送方的。因此，可以把數字簽名操作看作是在數據上的私鑰操作。整個簽名操作就是一個兩步過程：

(1)簽名者通過雜湊函數把數據變成固定大小。

(2)簽名者把雜湊后的結果用于私鑰操作。

驗證操作也是一個類似的兩步過程：

(1)驗證者通過雜湊函數把數據變成固定大小。

(2)驗證者檢查雜湊后的結果，傳輸來的簽名，如果傳輸來的簽名用公鑰解密后的結果和驗證者計算的雜湊結果相匹配，簽名就被驗證，否則，驗證失敗。

從而，數字簽名不僅提供了數據起源認證服務，還有數據完整性及不可否認性的服務。

3.3密鑰的建立

公鑰密碼體制也可以用來實現兩個實體間的密鑰建立的功能（即密鑰交換），也就是說，一個協議用到公鑰和私鑰，協議的結果是兩個實體共享一個對稱密鑰，而這個密鑰不為其他的實體所知。密鑰的建立可以通過以下兩種途徑：

(1)密鑰傳遞：一個實體產生一個對稱密鑰送給其他的實體，公鑰密碼體制可以用來保證傳送的機密性。如發送方用接收方的公鑰來加密對稱密鑰，使得只有接收方才能得到。

(2)密鑰協定：兩個實體共同來完成對稱密鑰的產生，公鑰密碼體制把這個過程變得相對簡單。如Diffie-Hellman[6]體制是第一個利用公鑰密碼的特點來選取雙方共同約定的對稱密碼體制中密鑰的方案。

其具體方法如下:假設Alice和Bob兩個用戶打算選取一個高階有限域Zp中某一個數作為會話密鑰。設P是一個質數,g是P的一個本原元:0

(1)Alice隨機選取整數a(1

(2)Bob隨機選取整數b(1(3)Alice將Qa傳送給Bob,而Bob將Qb傳送Alice；

(4)Alice收到Qb后,計算K=QbamodP∈Zp；Bob收到Qa后,計算K=QabmodP∈Zp；

則K∈Zp就可作為Alice和Bob所使用對稱密碼體制中的密鑰。

3.4身份標識和認證

在對稱密碼環境下，通信雙方的身份認證是十分困難的，這就成了推動公鑰密碼體制發展的巨大動力之一。通信或交易時，應該保證信息的接收方和發送方能夠被唯一地標識出來，讓通信雙方都能夠知道信息從哪里來或者到哪里去。我們也將這種安全保障簡稱為真實性。按照被驗證對象可以將真實性問題分成三種，一種是設備真實性，其二是人的真實性，其三是信息的真實性。通過主機地址，主機名稱，擁有者的口令等都在一定的程度上保證了對設備的驗證，但都不能很好地滿足安全的要求。非對稱算法或數字簽名是人員、設備或信息驗證的一種好方法。原理上說，沒有人能夠假冒數字簽名。基于公鑰體制的身份認證主要利用數字簽名和hash函數實現。設A對信息M的hash值H(M)的簽名為SigSA(H(M)),其中SA為A的私鑰.A將M及SigSA(H(M))發送給用戶B。B通過A的公鑰PA進行解密：

PA（SigSA(H(M))=M。確認信息是由A所發出的并且計算hash值還可對信息M的完整性進行鑒別。在信息需要保密的情況下，A和B應通過密鑰分配中心(KDC)獲得一個會話密鑰KAB,A將信息簽名和加密后再傳送給B，由于只有A和B擁有KAB，因此B同樣可以確信信息來源的可靠性和完整性。

對于那些需要使用密鑰對中的公鑰來獲得基本安全服務的實體來說，公鑰總是能很方便地得到。然而，沒有完整性保護措施就分發公鑰會削弱這些安全服務。需要有一種數據完整性機制來保證公鑰及其相關信息不被篡改，即一種把公鑰和它的聲稱者綁定的機制。公私證書可以滿足上述要求，使得證書使用者能得到以下保證：

(1)公鑰（以及其他相關信息）的完整性得到保障。

(2)公鑰（以及其他相關信息）以一種可信的方式和它的聲稱者綁定在一起。

公私證書機制很好的解決了通信雙方相互確定身份的問題。

4結束語

公鑰密碼體制是非常重要的一種技術，它實現了數字簽名的概念，提供了對稱密鑰協定的切實可行的機制，使安全通信成為可能。密鑰對的思想也實現了其他的服務和協議，包括：機密性、數據完整性、安全偽隨機數發生器和零知識證明等。目前，公鑰密碼的重點研究方向,理論方面[7]:

(1)用于設計公鑰密碼的新的數學模型和陷門單向函數的研究；

(2)公鑰密碼的安全性評估問題，特別是橢圓曲線公鑰密碼的安全性評估問題。

應用方面:

(1)針對實際應用環境的快速實現的公鑰密碼設計；

(2)公鑰密碼在當今熱點技術如網絡安全、電子商務、PKI、信息及身份認證等中的應用，這方面還將是持續研究熱點。

參考文獻

[1]Diffie,W.andM.Hellman.NewdirectionsinCryptography.IEEETransactionsonInformationTheory22(1976):644-654.

[2]RivestR,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1976,21(2):120-126.

[3]譚凱軍,諸鴻文,顧尚杰.基于數字簽名方案DSS/DSA的幾種應用方案[J].計算機研究與發展.1999,36(5):632-638.

[4]吳世忠，祝世雄等.應用密碼學-協議、算法與C源程序[M].機械工業出版社,20__.

[5]MJBRobshaw,YiqunLisaYin.EllipticCurveCryptosystems.AnRSAlaboratoriesTechnicalNote,Revised,1997:URL-.

[6]龐南,戴英俠,李鎮江.因特網密鑰交換協議研究[J].計算機工程,20__,28(5):67-70.

[7]馮登國.國內外密碼學研究現狀及發展趨勢[J].通信學報,20__,23(5):18-27.

篇5

關鍵詞：自組網；移動IP；接入分析

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044(2007)05-11267-02

1 引言

自組網絡是分布式系統，無論是合法的網絡用戶還是惡意的入侵節點都可以接入無線信道，且所有節點既是終端也負責數據的轉發，沒有特定的可以部署鑒權的安全設備。因此，無線網絡融合的安全方案首先要從安全性最差的自組網絡做起，網間的安全方案也要特別考慮到無特定安全設備的自組網。自組網絡的特殊結構決定了它只能提供極差的安全性能，并且極易受到主動和被動的攻擊。早期對自組網的研究重點主要放在了無線信道接入和多跳路由上，因此假設了一個友好且合作的環境?，F在由于要在一個潛在的敵對環境里為移動節點間提供受到保護的通信，安全問題已經成為了倍受關注的焦點。由于移動自組網絡(MANET)獨特的特性給安全方案的設計帶來一系列新的問題，如開放的網絡結構、共享的無線資源、嚴格的資源限制和高度動態的網絡拓撲。因此，現有的有線網絡的安全解決方案并不能直接應用到MANET中。

由于自組網絡的安全問題一直未被深入研究，它的安全問題十分嚴重，已經成為實現自組網的一個巨大障礙。自組網主要存在以下的安全性問題：無線鏈路使自組網絡容易受到鏈路層的攻擊，包括被動竊聽和主動假冒、信息重放和信息破壞；節點在敵方環境(如戰場)漫游時缺乏物理保護，使網絡容易受到已經泄密的內部節點(而不僅僅是外部節點)的攻擊；分布式的網絡體系結構使自組網絡的拓撲和成員經常改變，節點間的信任關系經常變化，與移動IP相比，自組網絡沒有值得信任的第三方的證書的幫助，在節點間建立信任關系成為自組網絡安全的中心問題；通常自組網絡包含成百上千個節點，需要采用具有擴展性的安全機制。

2 自組網絡和移動IP技術概述

2.1 自組網絡概述

自組網是由一組帶有無線收發裝置的移動節點組成，網絡中所有節點的地位平等，無需設置任何的中心控制節點，也被稱為多跳無線網（Multihop Wireless Network）、無固定設施的網絡（Infrastructureless Network），具有無中心、自組織、多跳路由、動態拓撲等特點。自組網絡通過移動節點間的相互協作來進行網絡互聯，而不依賴于任何固定的網絡基礎設施，每個移動節點都具有報文轉發能力；當一個節點需要和另一個節點通信時，它或使用直接的無線鏈路，或通過到目的節點的多個中間節點的轉發，即經過多跳路由，從而實現網絡的自動組織和運行。自組網絡路由協議通常被分為兩類：先驗式（proactive）和反應式（reactive）。先驗式協議通過周期性路由控制信息的交換，每個節點始終維護到網絡中所有節點的路由，如DSDV和OLSR；反應式協議在節點需要時才發現路由，并且僅維護活動路由，如AODV和DSR。但是，它所使用的路由算法大多數只適用于單個自組網絡，很少涉及如何實現自組網絡與Internet的互聯，這些因素使它難以大范圍與互聯網通信。

2.2 移動IP概述

移動 IP 是用于移動主機移動性管理的一組網絡層協議，其目的是使移動中的主機在保持原IP地址不變的條件下能保持通信，類似于移動電話系統中的漫游，可適用于各種不同類型的移動通信系統。它定義了四個功能實體：移動主機（mobile host）、通信主機（corresponding host）、家鄉（home agent）和外地（foreign agent）。移動主機是一個能在子網間移動的主機，當Internet 上的通信主機向移動主機發送IP數據包時，數據包將交付到移動主機的家鄉網絡，若移動主機離開了家鄉網絡，數據包將通過隧道（tunnel）機制交付到外地網絡，外地負責拆封數據包并轉發到移動主機。因此，移動IP使節點在不同的子網間切換時仍可保持正在進行的通信，它所提供的IP路由機制，使移動節點能夠以一個永久的IP地址連接到任何子網中，這種擴展性使移動IP技術能在整個Internet上應用。

3 自組網和移動IP結合的體系結構及工作過程

近幾年，許多國內外學者從事自組網絡和移動IP集成方面的研究，并且提出了不同的解決方案。

3.1 體系結構

無線移動網絡由多個自組網組成，每個自組網相當于一個子網，它們都通過相應的網關（即基站）接入Internet，每個網關需配置兩塊網卡：一塊連接有線網絡，另一塊連接無線網絡，其職責是在自組網和Internet之間轉發/中繼數據包；為支持移動IP，每一個網關還同時扮演外地的角色，周期性地廣播公告消息，同時運行自組網路由協議、移動IP協議和Internet路由協議，保證自組網內的節點利用自組網路由協議來創建和維持路由，并通過移動IP實現移動節點的移動管理。由于移動節點與網關之間可以進行多跳通信，在不添加任何固定設施的情況下，只要有一個支持移動IP的網關節點能夠訪問Internet，網絡就能有效地訪問Internet。

3.2 工作過程

在上述無線移動網絡中，通過移動IP實現自組網接入Internet的幾個主要過程簡述如下：

3.2.1 網關發現

網關發現是 自組網與 Internet連接的一個關鍵技術，通過合適的網關發現方法可以同時解決地址分配及路由等問題。當自組網的移動節點要向其它節點發送數據包時，首先要判斷目的節點是否在本網內，這時節點根據路由協議發起路由查找，如果找到就判定目的節點在網內，并使用自組網絡路由協議進行通信，如果找不到就判斷目的節點在Internet中，就需要通過網關進行外部訪問。通常，網關節點通過網關通告算法周期性地在本自組網內網關信息通告，以表明它是當前可用的Internet接入網關，當自組網中的節點想要發送數據到 Internet節點時，它首先必須將數據發送到網關。對于自組網節點，每當它收到（以直接或間接方式）一個網關通告消息之后，就會立即記錄下該網關的信息（包括其IP地址、路由信息以及該信息的有效期(TTL)等），當需要同本自組網之外的節點通信時，便向選擇的網關發送接入請求消息，網關決定是否接受該請求，并發送Accept/Reject消息通知該節點。為了避免因多個自組網重疊而造成網關的服務范圍變得不清晰，可設置一個參數N來限定網關的服務范圍，任何在網關N跳范圍內的移動主機可獲得網關的服務。

3.2.2 協議轉換

網關同時運行自組網路由協議、移動IP協議和Internet路由協議， 為了確保采用不同的協議自組網與 Internet進行通信，網關實現了自組網協議和Internet中的TCP/IP協議的轉換。

3.2.3 地址轉換

移動節點將數據包發送到網關節點后，網關對發往目的節點的數據包進行封裝，通過網絡地址轉換（NAT）將數據包的源地址改為自己的地址，并將外層報頭的目的IP地址設為外地的IP地址，從而將數據包轉換為由本地網關發往外地（即目標節點的家鄉），在網關節點上，維持一個網絡地址轉換(NAT)表用來記錄通過本網關訪問Internet的節點，以及它們各自的網絡地址的映射關系。

3.2.4 路由選擇

在此體系結構中，路由選擇分自組網內路由選擇和網間路由選擇。自組網內節點之間通信時，路由選擇采用自組網路由協議，如AODV路由協議。如果通信的節點中有一個在Internet中，通信節點就通過自組網路由協議獲得網關的路由，將數據發往網關。一旦數據包經過網關進入Internet，則依據標準IP路由協議進行網間路由，將數據包發送到外地，外地查詢移動節點注冊表，將數據轉發往目標移動節點，若外地在移動節點注冊表中沒有直接查詢到目標移動節點，則要進行外地切換或網關切換。

3.2.5 切換

當目標主機從一個自組網移動進入了另一個自組網，數據包轉發到其后，由移動IP負責在自組網間轉發數據包，實現原到新的切換，原對數據進行封裝，采用移動IP路由協議，利用隧道機制將數據包轉發至新，最后新將數據包直接發送到目的移動節點。

3.3 性能分析

總結起來該體系結構具有如下特點：（1）自組網內部的通訊可以直接進行。設想在一個校園內部，如果用戶的手機之間可以直接或以多跳的方式通信，而不經過公用的基站，就可以省去通過公用基站的費用；（2）增強了無線接入網的可靠性和擴展性。移動節點可能移動到基站覆蓋范圍以外，也可能因某些無線傳輸現象（如衰減、多路徑干擾等）或是障礙物等因素而無法直接訪問基站，這時節點仍可通過多跳路由的方式間接地訪問基站；（3）微觀移動對家鄉來說是透明的。當移動節點在自組網內移動時，從網關到移動節點的路由是自動改變的，家鄉無須更新位置信息。

4 結束語

目前，隨著移動通信技術逐漸普及，各種便攜式終端大量涌現，底層通信技術層出不窮，越來越多的移動應用正逐漸被人們所發現和熟悉，這都極大地推進了無線移動網絡的應用和推廣。通過移動IP和自組網絡的結合，在不添加任何固定設施的情況下，傳統的接入點可以直接利用自組網的靈活性并擴展它們的覆蓋范圍，從而提高了無線移動網絡的工作效率和服務質量，在家庭、辦公、工業、商業、醫療、軍事等多種領域應用前景廣闊。

參考文獻：

[1]Jonsson U, Fredrik A, Tony L, et al. MIPMANET-Mobile IP for mobile Ad Hoc networks[A].Proc of Workshop on Mobile Ad Hoc Networking & Computing [C]. Boston:[s.n. ], 2000:75-85.

[2]James D S. Mobile IP: the internet unplugged [M].NJ: Prentice Hall, 1998.

[3]姚尹雄，王豪行.利用中心實現移動Ad-hoc網絡接入的方法[J].上海交通大學學報,2002,36(5):665-669.

[4]Gerla M, Tsai J T C. Multicluster mobile multimedia radio network[J].ACM Wireless Networks,1995, 1(3): 255-266.

篇6

論文摘要：簡述了建立企業信息化水平評價體系的意義及其應當遵循的原則。提出了物流企業信息化水平評估指標體系，并對各個指標進行相關分析。

0前言

從20世紀90年代開始，傳統物流開始向現代物流轉變。其顯著的標志是它充分運用先進的信息技術，打破了運輸環節與生產環節之間界限，通過供應鏈管理建立起企業供、產、銷、儲、運全過程的計劃和控制，從整體上實現最優化的生產體系設計、企業運營和管理，實現物流、資金流、信息流之間的有機統一。通常我們理解物流企業信息化是指企業以業務流程重組為基礎，廣泛使用現代物流信息技術，控制和集成企業物流活動的所有信息，實現企業內外信息資源共享和有效利用，以提高企業的經濟效益，加強核心競爭力。物流信息化意味著整個物流作業環節從運輸、倉儲、裝卸、搬運、包裝、流通加工到配送全面使用現代信息技術，實現企業內外信息資源的優化配置和集成化管理。目前現代物流信息技術涵蓋廣泛的內容，主要包括計算機技術、通信技術、電子數據交換技術、地理信息系統、貨物識別技術等。正是由于這些基本的信息技術構成了現代物流信息化的基礎。當前，各級政府職能部門和企業都在積極建設物流信息平臺。其目的就是為了能夠利用物流信息平臺來協調和科學管理社會資源，充分利用社會資源為社會提供更好的服務。企業則是為了加強其自身的經濟活動，提高物流效率，不斷實現信息價值增值等方面的客觀推動力。

1建立企業信息化水平評價體系的意義

當前，企業決策層都對自身的信息化建設高度重視，投人相當大的人力、物力和財力來發展信息系統。一個好的企業物流信息系統應該與企業自身的生產技術水平相匹配。并不是所有先進的技術都適應一個企業的發展，不能簡單認為擁有了先進的信息設備的企業就是一個信息化水平高度發達的企業。只有采用合理科學的信息系統才可能發揮其應該發揮的作用，否則可能產生相反的作用，使企業背上沉重的負擔，束縛了企業所應有的靈活機動的市場敏銳性。建立以企業管理信息化、企業業務需求信息化和信息系統本身安全性、可靠性評價指標為基礎的評價體系，其目的就是使得企業能夠以業務解決方案為核心，更系統地、更有目地性建設和更好地發展企業物流信息系統。

2建立評價企業信息化水平評價體系的原則

企業信息系統的建設其最終目的是為了滿足物流企業生產水平發展的需要。而企業物流信息化水平評價體系建立，其目的是解決當前物流信息系統投資建設管理過程中的概念化、隨意性問題，因此既要遵循一般信息系統建設管理等有很多一般性的原則，如安全性、先進性、兼容性等，更要體現一些物流領域的特點，因此要遵循如下原則。

2.1科學客觀性原則

指標的選取應具有科學的理論根據。首先，要與當前社會客觀生產技術水平相匹配。其次，評價指標體系應能準確地反映客觀實際情況，有利于企業之間的橫向比較，發現自身優勢和不足之處，挖掘競爭潛力。物流信息化水平評價指標應成為物流企業完善物流信息系統、解決企業發展所面臨問題的有力工具。

2.2系統性與整體性原則

企業信息化水平是多種因素綜合的結果，評價指標體系應該全面反映企業物流信息系統的情況，既要反映系統的內部結構與功能，又要正確評估系統與外部環境的關聯。因此，系統的可兼容性和擴展性也是評價指標的一個衡量標準。

2.3先進性原則

物流信息系統不僅要滿足當前企業發展需求，同時還要求與企業未來發展相適應。一個能夠與未來發展相適應的物流信息系統，就要求把握好行業和技術未來發展方向，積極發展現代物流，從供應鏈的高處整合企業和社會資源，以增強企業的綜合競爭能力。

2.4定性與定量相結合的原則

在綜合評價企業物流信息化水平時應綜合考慮影響評估水平的定性和定量指標。對定性指標要明確其含義，并按照某種標準制定界限，使其能恰如其分地反映指標的性質。定量指標要有清晰的概念和根據標準確切的賦值和計算。

3物流企業信息化水平評價指標體系

根據物流企業信息化建設的需求，將評估系統分為三個體系和四級評估層次。具體結構見圖1。我們將整體評價體系分為三個部分:企業管理信息系統評價體系、企業業務信息評價體系以及與系統本身相關的安全性能評價體系。主要是依據當前企業管理和發展所需要的信息系統本身功能所劃分的，同時兼顧系統本身的安全性和可靠性的角度出發，因此將對系統安全的評估納人企業信息化評估體系中來。

物流信息系統是實現企業管理網絡化、自動化、智能化和標準化的一個集成系統。我們所選擇企業資源計劃(ERP)信息系統評價項目中主要突出的是物流企業在實現自己領域中區別其他企業ERP方面的管理體系，這包括指標U1， U2和U3都是物流企業的業務特點。其中由于物流企業多元化和多種業務關系，針對不同的物流企業，ERP項目的評價指標可以根據用戶需求進行刪減。例如，針對第三方物流企業可以只考慮U2和U3評估指標。對于企業的發展具支持作用的支持信息系統由于企業的性質不同可以簡單定性為有無。關于先進的企業決策支持系統目前還沒有確切的定義，但是通過分析當前的企業業務需求而產生企業發展所需要的支持策略也是企業信息化建設的一個重點發展對象。

業務信息系統評價系統是對評估物流企業日常運行所必須的信息系統的一個衡量準則。電子商務評估體系是對企業在電子交易平臺上所具有的訂單處理、帳務結算以及與工商稅務等政府機關所建立的網絡辦公系統的評估項目。網絡資源信息系統評估指標是針對企業在互聯網上所能獲取的資源和能力的評估。同時，作為物流企業需要對流動的物資進行有效監控，因此建立了的電子貨物跟蹤系統，包括與智能交通相對應GIS ， GPS、射頻技術系統、運載貨物工具的信息系統，以及條碼技術和射頻技術為主，能夠快速準確識別貨物的識別系統的評估指標。

系統安全本身是對所有信息系統建設的一個內在要求。評估體系根據信息系統中數據處理、系統兼容性及其網絡安全性等方面考慮劃分成S6， S7，S8三個子體系。目前國際組織和我們國家對數據安全和認證，以及通信安全等方面都要有相對完善的準則，例如《信息技術軟件產品評價質量特性及其使用指南》、《信息技術一軟件包質量要求和測試》和《工具檢測用軟件評定準則》等，這些方法和準則在制定具體標準的時候都應該考慮到其中。

4評估方法

將物流企業信息化水平作為一項指標列人物流企業等級評價體系中去，而物流企業等級評價系統本身就是一項復雜的系統工程，況且對物流企業信息化水平評價模型研究甚少。評價中包含大量的不確定性因素和模糊性指標，這是因為評價指標的模糊性和難以量化性等客觀原因，也有評價者自身的主觀原因，例如性格、偏好、價值觀念和認知程度等主觀原因。為此，我們將模糊集合論的方法進行評估處理。圖2是專家評審系統模型。

專家在評審的時候通過網絡將評審選項送到數據處理中心去。同時，數據處理中心也接受到由系統安全檢測設備對信息系統的評估結果后進行統計計算。針對不同時期的評估對評估項目的加權值是不一樣的。例如當前根據現在信息技術發展情況我們把PG ={G1，G2，G3}，Pg，為第一層加權值，同樣還有Ps和Pu作為第二層和第三層加權值，其中對于Pu如果為定性衡量的值為{0， 1}如果為定量衡量的話取值在「0， 1]區間之間。同樣建立專家評審結果的模糊評價矩陣:

其中rij表示在第i位專家在第j選項投票結果。將PxH就得到我們需要的評價結果。最后對處理結果進行歸一化處理成為我們所需要的結果。目前社會上將物流企業評估等級劃分為:AA A_AA級、AAAA級、AAA級、從級、A級五個等級，所以在進行數據處理的時候要把劃分成五六個區間，最終計算結果都在這幾個區間內。最后經過專家評審組的認可就完成最終的評定。