蔡 曄,陳 霄
公安內(nèi)部信息網(wǎng)經(jīng)過(guò)幾年的建設(shè),得到了日益完善和全面的發(fā)展,業(yè)務(wù)涵蓋多個(gè)領(lǐng)域,公安工作對(duì)應(yīng)用系統(tǒng)的依賴性越來(lái)越強(qiáng),公安的許多對(duì)外業(yè)務(wù)工作也越來(lái)越離不開(kāi)公安網(wǎng)絡(luò)的支持。
在市民中心、社區(qū)服務(wù)中心等一些政府為市民提供便捷綜合服務(wù)的集中辦公場(chǎng)所內(nèi),都要求設(shè)有公安的服務(wù)窗口(如交警窗口、治安窗口、消防窗口、出入境窗口等),將這些場(chǎng)所為“非公安辦公場(chǎng)所”,它們是公安的一線實(shí)戰(zhàn)單元,這些場(chǎng)所服務(wù)窗口的正常業(yè)務(wù)開(kāi)展均需公安信息網(wǎng)的支持。
“非公安辦公場(chǎng)所”中的網(wǎng)絡(luò)和電腦處在公安網(wǎng)絡(luò)的延伸部分,辦公地理位置比較分散,對(duì)此,必須做到,既要保障此類(lèi)辦公場(chǎng)所合理的公安信息網(wǎng)接入需求,又要維護(hù)好公安信息網(wǎng)本身的網(wǎng)絡(luò)信息安全,由此也給公安網(wǎng)帶來(lái)了安全隱患,該場(chǎng)所內(nèi)計(jì)算機(jī)終端的管理、控制、維護(hù)就會(huì)成為一個(gè)突出的問(wèn)題,因此這些場(chǎng)所中的信息安全管理策略應(yīng)該更加得到關(guān)注和增強(qiáng),對(duì)計(jì)算機(jī)進(jìn)行深入的限制性管理。
按照公安部“金盾工程總體方案設(shè)計(jì)”和市局“公安網(wǎng)絡(luò)和信息安全建設(shè)指導(dǎo)性意見(jiàn)”,公安網(wǎng)絡(luò)已經(jīng)進(jìn)行了安全綜合管理防護(hù)體系,包括網(wǎng)絡(luò)設(shè)備身份簽別和認(rèn)證、入侵檢測(cè)、信息過(guò)濾、病毒防范、拒絕攻擊、安全漏洞掃描和彌補(bǔ)、數(shù)據(jù)防篡改、安全審計(jì),達(dá)到安全、可靠、實(shí)用、便于維護(hù)的目的。
但是任何網(wǎng)絡(luò)和信息系統(tǒng)都不能做到絕對(duì)的安全,除了從管理層面上落實(shí)安全規(guī)章制度,加強(qiáng)培養(yǎng)相關(guān)人員的安全保密意識(shí)等外,更應(yīng)該從技術(shù)層面上采取措施,建立一堵嚴(yán)密的防護(hù)墻,增強(qiáng) “非公安辦公場(chǎng)所”的安全管理策略,保證公安網(wǎng)在非公安場(chǎng)所的安全,主要內(nèi)容包括:對(duì)終端電腦入網(wǎng)絡(luò)進(jìn)行增強(qiáng)認(rèn)證、對(duì)終端電腦進(jìn)行增強(qiáng)的桌面管理。
在網(wǎng)絡(luò)鏈路上進(jìn)行增強(qiáng)認(rèn)證,可以采用簡(jiǎn)單的用戶控制列表方式,但此類(lèi)用戶涉及的公安業(yè)務(wù)內(nèi)容廣泛,因此要保障此類(lèi)辦公場(chǎng)所合理的公安信息網(wǎng)接入需求,又要對(duì)終端電腦入網(wǎng)進(jìn)行有效的認(rèn)證和審計(jì),采用簡(jiǎn)單的用戶控制列表方式是無(wú)法解決的,因而我們提出采用用戶認(rèn)證機(jī)制來(lái)有效解決這一問(wèn)題。
此類(lèi)用戶所在的辦公場(chǎng)所,弱電系統(tǒng)采用綜合布線方式,每臺(tái)需接入公安網(wǎng)的計(jì)算機(jī),均直接接入到交換機(jī)的一個(gè)端口。公安網(wǎng)接入計(jì)算機(jī)的IP地址,采用的是靜態(tài)IP地址,而并非是動(dòng)態(tài)分配的。根據(jù)公安部的相關(guān)規(guī)定,每臺(tái)公安網(wǎng)接入計(jì)算機(jī)必須完成公安部的“一機(jī)兩用”注冊(cè)登記,因此每臺(tái)公安網(wǎng)接入計(jì)算機(jī)的IP地址是固定且唯一的。用戶側(cè)的接入交換機(jī)采用的是Cisco 2950以上系列的交換機(jī),支持IEEE 802.1x協(xié)議。而對(duì)于此類(lèi)用戶,不涉及復(fù)雜的上網(wǎng)計(jì)費(fèi)需求,僅需用戶認(rèn)證和審計(jì)功能,用于事后追查。
目前寬帶以太網(wǎng)上的用戶認(rèn)證技術(shù)主要有,基于BNAS(寬帶接入服務(wù)器)和PPPoE(基于以太網(wǎng)的點(diǎn)到點(diǎn)協(xié)議)認(rèn)證方法、基于以太網(wǎng)端口的用戶訪問(wèn)控制技術(shù)IEEE 802.1x協(xié)議、WEB/Portal 認(rèn)證方式3種。
而802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)與關(guān)閉,對(duì)于合法用戶(根據(jù)帳號(hào)和密碼)接入時(shí),該端口打開(kāi),而對(duì)于非法用戶接入或沒(méi)有用戶接入時(shí),則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變,而不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問(wèn)題,是各種認(rèn)證技術(shù)中最簡(jiǎn)化的實(shí)現(xiàn)方案。
以太網(wǎng)技術(shù)“連通和共享”的設(shè)計(jì)初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全問(wèn)題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來(lái)的,成為解決局域網(wǎng)安全問(wèn)題的一個(gè)有效手段。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議,但是需要注意的是802.1x認(rèn)證技術(shù)的操作粒度為端口,因此該協(xié)議僅適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式,其中端口可以是物理端口,也可以是邏輯端口。
IEEE802.1x的體系結(jié)構(gòu)中包括3個(gè)部分:Supplicant System,用戶接入設(shè)備;Authenticator System,接入控制單元;Authentication Sever System,認(rèn)證服務(wù)器。在802.1X協(xié)議中,只有具備了以上3個(gè)元素才能夠完成基于端口的訪問(wèn)控制的用戶認(rèn)證和授權(quán)。
(1)用戶接入設(shè)備:也就是通常所說(shuō)的客戶端,一般安裝在用戶的工作站上,當(dāng)用戶有上網(wǎng)需求時(shí),激活客戶端程序,輸入必要的用戶名和口令,客戶端程序?qū)?huì)送出連接請(qǐng)求。
(2)接入控制單元:即認(rèn)證系統(tǒng),在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)(靠近用戶側(cè)的交換機(jī)),其主要作用是實(shí)現(xiàn)遠(yuǎn)端授權(quán)撥號(hào)上網(wǎng)用戶服務(wù)認(rèn)證代理功能,完成用戶認(rèn)證信息的上傳、下達(dá)工作,并根據(jù)認(rèn)證的結(jié)果打開(kāi)或關(guān)閉用戶連接的端口。
(3)認(rèn)證服務(wù)器:通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)(用戶名和口令)來(lái)判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù),并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開(kāi)或保持端口關(guān)閉的狀態(tài)。
在具有802.1X認(rèn)證功能的網(wǎng)絡(luò)系統(tǒng)中,當(dāng)一個(gè)用戶需要對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)之前必須先要完成以下的認(rèn)證過(guò)程。
(1)當(dāng)用戶有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶端程序,輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口令,發(fā)起連接請(qǐng)求。此時(shí),客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。
(2)交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?lái)。
(3)客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。
(4)認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì),找到該用戶名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶端程序。
(5)客戶端程序收到由交換機(jī)傳來(lái)的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。
(6)認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過(guò)的消息,并向交換機(jī)發(fā)出打開(kāi)端口的指令,允許用戶的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。
這里要提出的一個(gè)值得注意的地方是:在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候,沒(méi)有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸,而是對(duì)口令信息進(jìn)行了不可逆的加密算法處理,使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩U?,杜絕了由于下級(jí)接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問(wèn)題。
(1)AAA 控制中心的建立
采用Cisco的訪問(wèn)控制軟件Cisco Secure Access Control System (ACS),安裝在一臺(tái)認(rèn)證服務(wù)器PC Server上,建立AAA控制中心。
(2)對(duì)用戶側(cè)接入交換機(jī)進(jìn)行配置:
用戶側(cè)的接入交換機(jī)選用Cisco 2950以上系列的交換機(jī),必須能支持IEEE 802.1x協(xié)議,具體配置如下:
Switch(config)#――進(jìn)入全局模式進(jìn)行配置
802.1 x認(rèn)證功能啟用――aaa new-model、aaa authentication dot1x default group radius
設(shè)置重認(rèn)證時(shí)間――dot1x re-authentication、dot1x timeout re-authperiod (重認(rèn)證的時(shí)間)
設(shè)置認(rèn)證服務(wù)器的IP地址――radius-server host (認(rèn)證服務(wù)器的IP地址)
Switch (config-if)#――進(jìn)入端口模式進(jìn)行配置
激活交換機(jī)端口的802.1x認(rèn)證――dot1x port-control auto
(3)對(duì)認(rèn)證服務(wù)器上的ACS進(jìn)行配置:
配置接入交換機(jī)的信息――選擇“Network Configuration”選項(xiàng),在“AAA Clients”表項(xiàng)中選擇“Add Entry”選項(xiàng),彈出如圖1對(duì)話框所示:
圖1 彈出對(duì)話框
在“AAA Client Hostname”中填寫(xiě)接入交換機(jī)的名稱(chēng)。(可以與接入交換機(jī)的hostname不同)
在“AAA Client IP Address”中填寫(xiě)接入交換機(jī)的IP地址。(必須與接入交換機(jī)的ip address一致)
在“Key”中填寫(xiě)接入交換機(jī)的認(rèn)證口令。
在“Authenticate Using”中選擇“RADIUS(IETF)”選項(xiàng)。
選擇“Submit”選項(xiàng)提交配置的參數(shù)。
配置用戶的信息――選擇“User Setup”選項(xiàng),在“User”對(duì)話框中填寫(xiě)需開(kāi)設(shè)的用戶名,再選擇“Add/Edit“選項(xiàng),彈出如圖2對(duì)話框所示:
圖2 Add/Edit選項(xiàng)對(duì)話框
在“Supplementary User Info”中填寫(xiě)所開(kāi)設(shè)的用戶的關(guān)聯(lián)信息。
在“User Setup”中為開(kāi)設(shè)的用戶設(shè)置認(rèn)證口令。
在其他表項(xiàng)中可根據(jù)需求為開(kāi)設(shè)的用戶設(shè)置相應(yīng)的參數(shù)。(如為防止用戶口令失竊和口令擴(kuò)散,可以通過(guò)設(shè)置限定同時(shí)接入具有同一用戶名和口令認(rèn)證信息的請(qǐng)求數(shù)量來(lái)達(dá)到控制用戶接入,避免非法訪問(wèn)網(wǎng)絡(luò)系統(tǒng)的目的。)
選擇“Submit”選項(xiàng)提交配置的參數(shù)。
(4)對(duì)終端用戶的設(shè)置:
在終端用戶的計(jì)算機(jī)上安裝相應(yīng)的IEEE 802.1x 協(xié)議撥號(hào)軟件,用管理員在ACS認(rèn)證服務(wù)器上開(kāi)設(shè)的用戶名和口令進(jìn)行撥號(hào)上網(wǎng)。
當(dāng)計(jì)算機(jī)接入公安網(wǎng)絡(luò)時(shí),“信通設(shè)備管理系統(tǒng)”能自動(dòng)發(fā)現(xiàn),并強(qiáng)制計(jì)算機(jī)進(jìn)行備案登記,否則不容許瀏覽公安網(wǎng)頁(yè)。通過(guò)登記,系統(tǒng)獲得計(jì)算機(jī)使用人的信息,從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的“戶籍”式電子檔案。當(dāng)計(jì)算機(jī)進(jìn)行在線備案登記時(shí),計(jì)算機(jī)的硬件參數(shù)如操作系統(tǒng)、安全補(bǔ)丁、主板、硬盤(pán)、內(nèi)存、顯卡、聲卡、網(wǎng)卡、機(jī)器名、工作組名、IP地址、MAC地址、操作系統(tǒng)、補(bǔ)丁、瀏覽器、安裝軟件等能自動(dòng)獲得,并將獲得的信息自動(dòng)反饋服務(wù)器,而且自動(dòng)跟蹤這些信息的變動(dòng)情況。
增強(qiáng)的終端桌面管理是指在計(jì)算機(jī)本身上進(jìn)行全面的控制、監(jiān)測(cè)和預(yù)警,包括軟件控制、設(shè)備控制、網(wǎng)絡(luò)控制,以下一一進(jìn)行描述。
軟件控制可分為軟件黑名單控制和軟件紅名單控制。
軟件黑名單控制:針對(duì)在非公安場(chǎng)所使用的公安網(wǎng)計(jì)算機(jī),系統(tǒng)可以指定這些計(jì)算機(jī)不能運(yùn)行的一些軟件進(jìn)程,例如:游戲、電驢等軟件。如果運(yùn)行則將之強(qiáng)制終止,從而達(dá)到對(duì)其行為進(jìn)行控制的目的。即使用戶運(yùn)行的是綠色軟件(非安裝版本),或者用戶修改了應(yīng)用程序(*.exe)的文件名,也同樣逃脫不了系統(tǒng)的監(jiān)測(cè)。
軟件紅名單控制,系統(tǒng)可以指定某些電腦一定要安裝一些軟件,如果不安裝則不斷提示。例如:殺毒軟件、監(jiān)控軟件等。
這里的設(shè)備包括光驅(qū)、軟驅(qū)、USB移動(dòng)存儲(chǔ)(如U盤(pán)、移動(dòng)硬盤(pán)、錄音筆、數(shù)碼攝像機(jī)、數(shù)碼照相機(jī)、手機(jī)等)。對(duì)設(shè)備進(jìn)行控制的目是減少涉密途徑,強(qiáng)化內(nèi)部安全控制機(jī)制。移動(dòng)存儲(chǔ)的多樣性決定了移動(dòng)存儲(chǔ)控制是比較復(fù)雜的過(guò)程。
首先,要進(jìn)在數(shù)據(jù)泄漏方面,有3大主要途徑:軟驅(qū)拷貝、移動(dòng)存儲(chǔ)拷貝、網(wǎng)絡(luò)拷貝,其中在個(gè)人電腦上實(shí)施的移動(dòng)存儲(chǔ)拷貝是最大的、最簡(jiǎn)便的泄漏源頭。
具體的措施如下:
(1)實(shí)施移動(dòng)存儲(chǔ)設(shè)備的認(rèn)證注冊(cè),分部門(mén)、分密級(jí),已注冊(cè)的設(shè)備視為合法。
(2)實(shí)施移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)限制,不經(jīng)過(guò)認(rèn)證的不能使用,經(jīng)過(guò)認(rèn)證的也不一定能在每臺(tái)電腦上都可以使用??梢灾付骋灰苿?dòng)存儲(chǔ)設(shè)備只能在某一電腦上使用,別的就不行;也可以指定某一電腦上除了某一移動(dòng)設(shè)備外,別的設(shè)備就不能使用。
(3)實(shí)施移動(dòng)存儲(chǔ)設(shè)備的訪問(wèn)日志記錄。
(4)禁止軟驅(qū)的使用。
(5)其他的措施還包括軟件控制、網(wǎng)絡(luò)控制、桌面巡拍、性能快照等等。
操作包括設(shè)備認(rèn)證、設(shè)備管理策略定義、設(shè)備管理策略分發(fā)、設(shè)備使用日志查詢,詳細(xì)分述如下:
(1)USB存儲(chǔ)認(rèn)證
要對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行管理,必須先進(jìn)行注冊(cè)登記,建立相應(yīng)的數(shù)據(jù)庫(kù),已注冊(cè)的設(shè)備視為合法,注冊(cè)登記的界面如圖3所示:
圖3 注冊(cè)登記界面
(2)設(shè)備管理策略定義
在默認(rèn)的情況下,系統(tǒng)已經(jīng)有一個(gè)“默認(rèn)組合”,該默認(rèn)組合允許對(duì)所有設(shè)備都可以使用。
用戶可以定義一個(gè)或多個(gè)組合,名稱(chēng)可以叫“全部允許(有例外)”、“全部禁止(有例外)”等等。如果想達(dá)到所有經(jīng)過(guò)認(rèn)證的USB設(shè)備才能在網(wǎng)絡(luò)中使用,其他的全部禁止的目的,則可建立一個(gè)組合叫“全部禁止(認(rèn)證外)”,具體做法是:默認(rèn)情況下全部禁止,經(jīng)過(guò)認(rèn)證的設(shè)為例外,但這樣需要日常維護(hù),即認(rèn)證完一些移動(dòng)設(shè)備以后,要將之添加到例外中來(lái)。
編輯組合的過(guò)程是:①如果是新建的,則點(diǎn)擊“新增組合”按鈕;如果是修改的,則點(diǎn)擊左欄已經(jīng)定義的某個(gè)組合名稱(chēng),然后點(diǎn)擊“修改組合”按鈕;如果是刪除的,則點(diǎn)擊左欄已經(jīng)定義的某個(gè)組合名稱(chēng),然后點(diǎn)擊“刪除組合”按鈕;②編輯組合名稱(chēng);③選擇禁止情況,④在例外框上點(diǎn)擊鼠標(biāo)右鍵選擇菜單項(xiàng),選擇例外的設(shè)備;⑤“保存數(shù)據(jù)”,界面如圖4所示:
圖4 組合界面
(3)設(shè)備管理策略分發(fā)
點(diǎn)擊左欄的某一組合名稱(chēng),右欄中會(huì)顯示該功能的應(yīng)用目標(biāo),點(diǎn)“添加”可以增加目標(biāo),點(diǎn)中一目標(biāo)后點(diǎn)“刪除”可以解除對(duì)該電腦的控制,點(diǎn)“應(yīng)用”表示馬上實(shí)行所有未實(shí)施的控制策略,如圖5所示:
圖5 設(shè)備管理策略
(4)設(shè)備使用日志查詢控制情況查詢
可查詢各種移動(dòng)設(shè)備在各種電腦上的使用日志,如圖6所示:
圖6 設(shè)備的使用日志
如上圖,點(diǎn)擊左欄的某一組合名稱(chēng),右欄中會(huì)顯示該功能的應(yīng)用目標(biāo),狀態(tài)處打勾√的表示已經(jīng)將策略應(yīng)用到目標(biāo)計(jì)算機(jī)中,由客戶機(jī)端監(jiān)測(cè)程序負(fù)責(zé)控制執(zhí)行。
網(wǎng)絡(luò)控制包括IP+MAC綁定、IP控制和端口控制。
(1)IP+MAC綁定限制。系統(tǒng)可以指定某些計(jì)算機(jī)進(jìn)行IP和MAC地址綁定,保證設(shè)備的合法性和唯一性。
(2)IP地址訪問(wèn)限制。系統(tǒng)可以指定某些計(jì)算機(jī)只能訪問(wèn)有限個(gè)范圍或拒絕有限范圍計(jì)算機(jī)的訪問(wèn)。
(3)端口訪問(wèn)限制。系統(tǒng)可以指定某些計(jì)算機(jī)的一些TCP或UDP端口被禁止,放止非法訪問(wèn)或掃描。
在網(wǎng)絡(luò)交換機(jī)上,將接入端口配置為IEEE 802.1x端口,利用這一認(rèn)證機(jī)制可實(shí)現(xiàn)按照身份進(jìn)行訪問(wèn)控制,保證了接入交換機(jī)物理端口的安全性;另外,集中式的用戶管理控制可使所有的用戶身份和密碼的維護(hù)都集中在分局信息中心統(tǒng)一維護(hù),簡(jiǎn)化了管理工作量。根據(jù)分局公安信息網(wǎng)的建設(shè)現(xiàn)狀,這種終端電腦的入網(wǎng)增強(qiáng)控制方式,是一種合理有效的解決方案,可充分利用現(xiàn)有的資源,降低成本的投入,并能迅速部署到位。
在終端電腦上,通過(guò)制定客戶個(gè)性化的桌面控制安全策略,對(duì)電腦外設(shè)硬件使用、軟件安裝運(yùn)行、聯(lián)網(wǎng)訪問(wèn)三方面進(jìn)行安全管理,更能增強(qiáng)這些場(chǎng)所的信息安全。
[1]羅萬(wàn)伯,羅霄嵐等,多域環(huán)境的安全策略管理框架研究,[j]四川大學(xué)學(xué)報(bào)(工程科學(xué)版),2006年第2 期
[2]汪靖,林植,李云山. 一種安全策略的沖突檢測(cè)與消解方法 [J].計(jì)算機(jī)應(yīng)用.2009 (03)
[3]夏春和,魏玉娣,李肖堅(jiān),王海泉,何巍. 計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究 [J].計(jì)算機(jī)研究與發(fā)展.2009(01)