導語:在移動端網絡安全的撰寫旅程中����,學習并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能����。
第1篇
【關鍵詞】小區重定位�;移動網絡�����;安全管控
1引言
移動通信網作為承載通信平臺的綜合信息服務網絡���,是一個國家關鍵基礎設施的重要組成部分�����,提供包括語音、數據、短信息等多種服務類型�,已成為當前社會主要通信手段�����。然而移動通信在方便大眾的同時����,也為不法分子溝通聯絡提供了便利,已經成為網絡失泄密����、違法勾連���、恐怖活動的主要手段�����。采用移動網絡安全管控��,是解決這一問題的有效途徑。
2移動網絡安全管控的技術現狀
自數字移動通信系統開始在國內部署以來,移動管控相關技術及產品的研發便開始起步�����,目前存在的主要安全管控設備是通信干擾設備、被動式監控定位設備。按照技術體制實現來劃分,移動通信管控分為信號壓制、被動式監聽和協議級主動管控三種��。信號壓制是最早出現的移動管控產品����,主要通過大功率信號輻射,淹沒正常的網絡電磁波傳送,實現區域內通信屏蔽�����;被動式監聽是指通過被動接收并解析來自網絡和用戶的移動通信無線信號獲取重要情報信息�;協議級主動管控是指通過網絡并與用戶進行協議數據交互實現用戶通信監管和控制,是本文研究的重點����。
3協議級移動網絡安全管控分析
眾所周知,目前移動網絡已經進入4G時代����,同時兼容2G���、3G移動通信�����,并正在向5G邁進。對應的安全管控技術必須針對不同制式進行精確管控���,才能有效解決全域管控問題。2G主要制式為GSM�,3G主要制式為CDMA(CDMA2000�����、WCDMA、TD-SCDMA)�,4G主要制式為LTE(TDD-LTE����、FDD-LTE)����,因此必須針對各種制式進行設計。移動通信系統提供的安全機制主要有用戶身份認證和身份保密�����、用戶數據保密和信令保密�����。GSM安全機制存在較大的漏洞,即“單項鑒權”��,只有基站對手機端的認證��,沒有手機端對基站的認證��。我們可充分利用這一漏洞進行移動信號安全管控,方法是采用基站的方式��,模擬公網小區�,使被管控移動終端誤認為基站才是真正的基站,從而脫離原小區�,重新定位到“新”基站�����。這樣被管控的移動終端的所有通信都將被有效管控��,并通過協議級精確管控,實現目標的選通或阻塞���。
4基于公網小區重定位的移動網絡安全管控關鍵技術
第2篇
關鍵詞:網絡工程;安全防護技術����;思考
引言
網絡信息技術的快速普及應用極大地提高了人們的生活和工作效率�,但與此同時��,由于網絡信息技術自身所具有的開放性����、交互性等特征��,網絡工程在帶給人們巨大便捷的同時也面臨著日益嚴峻的安全問題���。因而如何切實加強網絡工程安全防護,形成和發展與快速發展的網絡信息技術相適應的網絡工程安全防護能力�����,就成為現代社會網絡信息化建設的焦點問題之一�。
1網絡工程中存在的主要安全問題
進入新世紀以來,隨著網絡工程的使用進一步走向深層次和綜合化,網絡工程中面臨的安全隱患也進一步加劇�,主要表現在以下幾個方面:
1.1云端安全隱患突出
隨著以“互聯網+”���、“云計算”等新興的互聯網技術的進一步普及應用�,各種針對云端的病毒����、漏洞等的攻擊也隨之增多,并日益威脅到云端等技術平臺的安全使用,而各種針對云端的網絡攻擊,也給目前逐漸普及應用的云計算等帶來了潛在的危害���,例如2011年亞馬遜數據中心發生的宕機事故,直接導致大量業務中斷,而時隔一年之后��,亞馬遜的云計算平臺數據中心再次發生宕機事故�,導致Heroku、Reddit和Flipboard等知名網站和信息服務商受到嚴重影響,而這也已經是過去一年半里亞馬遜云計算平臺發生的第五次宕機事故�,而隨著云計算等的進一步普及�,云端安全隱患也將進一步突出�����。
1.2網絡安全攻擊事件頻發
網絡安全攻擊事件頻發是近年來網絡工程所遭遇的最為顯著和嚴重的安全問題之一�����,數據顯示,僅在2015年��,全球就發生的各種網絡安全攻擊事件就超過了一萬件次�����,直接經濟損失高達兩千億美元,例如2015年5月27日��,美國國家稅務總局遭遇黑客襲擊��,超過十萬名美國納稅人的信息被盜取��,直接經濟損失高達5000萬美元;2015年12月1日�����,香港偉易達公司遭遇黑客襲擊�����,導致全球超過500萬名消費者的資料被泄露��,可以想見,隨著未來網絡技術的快速發展���,網絡安全保護的形勢還將進一步嚴峻化。
1.3移動設備及移動支付的安全問題加劇
隨著互聯網技術的飛速發展�,現代社會已經逐漸進入到了“無現金”時代�,移動設備的進一步普及以及移動支付的出現使得人們的日常消費活動更為便捷,但與此同時���,各種移動支付和移動設備的安全問題也隨之開始浮出水面,目前來看�,移動支付過程匯總所面臨的安全問題主要體現在兩個方面:一是利用移動終端進行支付的過程中面臨著較大的安全風險���,如操作系統風險����、木馬植入等����,二是現有的移動支付的主要驗證手段為短信驗證�����,這種驗證方式較為單一且安全系數較差��,這些都是許多用戶對移動支付說“不”的原因之一。據中國支付清算協會的《2016年移動支付報告》顯示���,移動支付的安全問題仍是未來移動支付所面臨的和需要應對的核心問題,如何進一步強化移動支付的安全“盾牌”�����,仍將是未來移動支付長遠發展的現實挑戰之一��。
1.4網絡黑客的頻繁攻擊
網絡黑客是目前網絡工程所面臨的安全問題的根源之一���,可以說��,如前所述的各種網絡安全問題有很多都來源于網絡黑客攻擊,近年來���,隨著網絡黑客技術的不斷發展,網絡黑客對全球網絡工程的破壞性攻擊也越來越多����,且逐漸呈現出從傳統互聯網領域向工控領域進行發展以及黑客活動政治化等趨勢�����,例如今年年初美國總統大選就曾遭遇過網絡黑客的攻擊,所幸此次大選并未受到實質性影響����。
2網絡工程安全防護技術提升的路徑分析
隨著“互聯網+”戰略的實施以及網絡安全被上升到了國家安全的高度����,加強網絡工程的安全防護已經被提高到了一個前所未有的高度��。而網絡工程安全防護的提升則可以說是一項較為復雜的系統性工程,除了要在資金、人力����、管理等方面上繼續下功夫以外���,還必須要將加強網絡工程安全防護技術的創新與改進放在一個關鍵的位置上���,不斷強化網絡工程安全防護系數�����。
2.1合理使用防火墻技術
防火墻是網絡工程安全防護中所使用的常規性的網絡安全防護技術之一,也是目前主要應用于防護計算機系統安全漏洞的主要技術手段。一般來說,防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統�����,同時具有訪問控制����、內容過濾、防病毒、NAT�����、IPSECVPN、SSLVPN�、帶寬管理��、負載均衡、雙機熱備等多種功能���,因此在利用防火墻技術來加強網絡工程安全防護時�����,首先必須選擇口碑良好�、有市場的防火墻產品如NGFW4000����、NGFW4000-UF等等,利用防火墻來進行可靠的信息過濾,另一方面�����,需要對防火墻進行定期升級���,確保防火墻的始終處于最新版本���,切實利用防火墻技術來提高網絡工程安全防護系數��。圖1防火墻工作原理模型圖
2.2加強網絡工程病毒防護體系建設
計算機病毒是網絡工程所面臨著的主要安全問題之一�,因此有效加強網絡工程的病毒防護體系尤其關鍵�����。眾所周知��,計算機病毒往往具有傳染性強、傳播方式多樣、破壞性大且徹底清除的難度較高等特點��,因而一旦感染很有可能導致一個局域網中的所有計算機都受到影響�,尤其是在網絡工程的使用環境中,一旦感染計算機病毒將很可能導致其他的相關計算機癱瘓,這就需要企業不僅要在殺毒軟件、防火墻技術的更新等方面下足功夫�,更重要的是要努力建立起多層次����、立體化的病毒防護體系����,同時努力搭建起便捷智能化的計算機病毒立體化管理系統����,對整個系統中用戶設備進行集中式的安全管理,切實提升對計算機病毒的防護效率����,嚴格確保計算機不受病毒的侵染�����。
2.3搭配反垃圾郵件系統
隨著互聯網技術的快速發展,電子郵件已經成為互聯網信息時代下最受歡迎的通訊方式之一����,但與此同時越來越多的垃圾郵件的出現也日漸困擾著人們的正常工作�,垃圾郵件不僅占用了人們的寶貴的精力和時間��,更重要的是它有可能給企業帶來嚴重的損失����,我國是世界上的垃圾郵件大國之一��,每年垃圾郵件的接收在全球位居前列�����,為此,不斷提升網絡工程的安全防護需要同時搭配有先進成熟的反垃圾郵件系統��,有效搭建企業內部的“郵箱防護墻”,確保企業內外部的郵件安全���。
2.4強化網絡數據信息加密技術使用
針對當前網絡數據信息頻繁泄露的現實情況����,加強網絡工程安全防護技術必須要努力強化網絡數據信息加密技術的使用,在實際使用過程中�����,可以通過對網絡工程中的相關軟件����、網絡數據庫等進行加密處理,提高和強化網絡數據信息加密技術的普及使用�����。
3總結
總之�,加強網絡工程安全防護是一項較為復雜的系統性工程,需要涉及到方方面面的技術條件乃至相應的管理����、人力物力等方面的投入�,更為重要的是�����,需要經過系統的分析從而將這些技術手段有機結合起來���,使之形成一個系統��,從而更好地在網絡工程安全防范中發揮整體合力,有效提高網絡工程安全防范實效����。
參考文獻:
[1]鄭邦毅,蔡友芬.網絡工程安全防護技術的探討[J].電子技術與軟件工程,2016.
[2]謝超亞.網絡工程中的安全防護技術的思考[J].信息化建設,2015.
[3]陳健,唐彥儒.關于網絡工程中的安全防護技術的思考[J].價值工程���,2015.
[4]彭海琴.關于網絡工程中的安全防護技術的思考[J].電子技術與軟件工程,2014.
第3篇
本報訊 (記者 何源 實習記者 王哲瑋)8月8日,聯想攜手聯通宣布推出千元Android智能手機――聯想A60�����。聯想集團CEO楊元慶宣布�,這標志著聯想全線進軍3G智能手機細分市場。
聯想自去年4月宣布進軍移動互聯以來����,就開始頻頻發力――從樂Phone到樂Pad問世��,再到3個星期以前推出首個平板電腦家族,聯想在移動互聯的戰略日漸明晰。此次推出“平價智能手機”���,楊元慶期望它“能像1996年聯想以萬元奔騰電腦讓PC飛入尋常百姓家一樣,掀起3G智能手機的普及風暴”。
據悉,聯想A60擁有3.5英寸屏幕、320萬像素攝像頭,支持雙卡雙待����、一機雙模(WCDMA+GSM)�����,實現兩個號碼同時在線,搭載Android 2.3操作系統,并預置了社交�����、資訊��、視頻����、游戲��、工具等30余款應用。聯想和聯通都對該款手機寄予了厚望��,希望能將其打造成單款百萬級的明星產品����。中國聯通總經理陸益民則表示����,聯通與聯想的合作不僅體現在終端定制上��,在渠道����、推廣等領域更是開展了全方位的戰略合作�。
近半數網絡安全事件來自境外 亟待加強國際合作
本報綜合消息 日前,在中國國家互聯網安全中心舉行的“計算機網絡安全年會”透露,去年以來網絡安全事件跨境化特點日益突出,中國遭受的各類網絡安全事件中有近半數來自境外。2010年����,國家互聯網應急中心監測發現共近48萬個木馬控制端IP����,其中有22.1萬個位于境外�����,前兩位分別是美國(占14.7%)��、印度(占8.0%);共有13782個僵尸網絡控制端IP���,有6531個位于境外,前三位分別是美國(占21.7%)����、印度(占7.2%)和土耳其(占5.7%)。
另據工業和信息化部互聯網網絡安全信息通報成員單位報送的數據�����,2010年在中國實施網頁掛馬����、網絡釣魚等不法行為所利用的惡意域名半數以上在境外注冊。同時��,去年中國共有近3.5萬家網站被黑客篡改����,其中被篡改的政府網站達4635個,比2009年上升67.6%����,政府網站安全防護較為薄弱�����。據透露,國家互聯網應急中心已經于去年協調境外網絡安全組織和域名機構���,處理了多起針對境內的惡意掃描、網絡釣魚等網絡安全事件����,得到美國����、韓國����、澳大利亞等國應急組織和“國際反網絡釣魚聯盟”等組織的配合�。總體上看�,跨境網絡安全事件呈現快速增長趨勢����,國際網絡安全合作需進一步加強����。
中國移動4G試驗全面展開9月完成第一階段目標
本報綜合消息 8月9日,中國移動透露,正在進行的TD-LTE(準4G技術)規模技術試驗進展順利。目前6個試驗城市的大部分基站已安裝并開通,預計9月將完成第一階段的試驗目標。
據了解�����,按照去年工信部的批復,中國移動將承擔上海����、杭州��、南京、廣州�����、深圳���、廈門6城市的TD-LTE規模技術試驗網和北京演示網建設�����。據中國移動介紹���,目前��,這6個城市的TD-LTE核心網和無線網已基本建成����,擬建基站規模超過1000個,大部分基站設備已安裝并開通。
另外�,中國移動還表示����,6月已完成核心網���、傳輸�、承載和安全方面的測試,并開始無線網絡性能測試,9月底有望完成工信部確定的第一階段試驗目標����。
TD-LTE是我國主導的新一代移動通信技術���,是我國具有自主知識產權的3G(第三代移動通信)國際標準TD-SCDMA的后續演進技術���,具有傳輸速率高���、時延短���、頻譜效率高等特點����。2010年10月���,TD-LTE增強型被國際電信聯盟確定為4G國際標準之一�����。
快遞丟件率將降至千分之八損毀率萬分之一
本報訊 郵政業“十二五”規劃近日正式公布。根據規劃�����,“十二五”期間���,我國重點快遞企業省會及重點城市間快件72小時投遞率將達到90%以上�����;快件延誤率降低到千分之八��、損毀率降低到萬分之一、丟失率降低到十萬分之五以下����;快遞服務的社會用戶總體滿意度須達到70分以上���。
三部委擬建企業失信“黑名單”
本報訊日前����,工信部、工商總局和質檢總局三部委聯合文件,擬用3年時間�����,解決國內重點行業企業失信問題����。文件稱,將懲戒國內不兌現質量承諾以及欺騙消費者的企業,甚至將失信企業納入“黑名單”之列,向社會公布。工信部將指導有關行業協會,在日化、建材、紡織�����、輕工��、電子信息等行業開展企業自我聲明現狀調查。一經核實有企業聲明與實際不符���,或未履行自我聲明承諾,企業將會被質檢部門納入質量失信記錄��,嚴重者甚至列入“黑名單”��,向社會公布����。
我國推進軟件正版化
第4篇
國家網絡安全宣傳周活動方案
網絡信息人人共享���,網絡安全人人有責����。網民的網絡安全意識和防護技能,關乎廣大人民群眾的切身利益�����,關乎國家網絡安全�����。2019年國家網絡改革安全宣傳周活動將于9月19日-9月25日在武漢市舉行�����。為認真做好國家網絡安全宣傳周活動的各項工作,切實提升全社會的網絡安全意識和安全防護技能���,特制定本方案�����。
一����、宣傳主題
網絡安全為人民��,網絡安全靠人民
二�����、宣傳時間
9月1日至9月30日
三、總體要求
深入學習宣傳貫徹xx關于國家網絡安全的重要講話、重要批示精神和總體國家安全觀�,通過“一網雙微一端”���、微信群��、QQ群等多種網絡媒體和渠道,充分發揮“微宣傳”矩陣傳播作用,普及網絡安全知識����,增強全社會網絡安全意識��,大力倡導依法文明上網�,做到全域全員全覆蓋���,形成宣傳周活動省���、市、縣縱向到底����,省直��、市直�、縣直橫向到邊的有序局面��,營造健康文明的網絡環境�。
四����、活動安排
各鄉鎮�����、縣直各單位要充分利用所屬媒體平臺���,組織開展形式多樣的“2019年國家網絡安全宣傳周”活動��,形成傳播正能量����、激發責任感、弘揚新風尚的強大聲勢和濃厚氛圍���。
㈠新聞單位新媒體宣傳
五峰政府門戶網在首頁顯要位置統一“國家網絡安全宣傳周”標識,懸掛“網絡安全為人民�,網絡安全靠人民”專題��,鏈接中央網信網“2019年國家網絡安全宣傳周”頁面��。同時廣泛宣傳xx在黨的新聞輿論工作座談、網絡安全和信息化工作座談會上的重要講話精神����,著重宣傳xx關于網絡安全治理的重要講話精神,開展互聯網法律法規宣傳和共鑄網絡誠信專題宣傳���。各新媒體官方微博開設#國家網絡安全宣傳周#相關話題����,官方公眾號制作專題稿件,五峰宜點通客戶端轉發活動稿件�����,積極與網友互動交流��,廣泛宣傳傳播活動內容。
責任單位:縣網管辦�、縣電子政務中心
㈡政務單位新媒體宣傳
“國家網絡安全宣傳周”活動期間,各鄉鎮����、縣直各單位要在網站首頁設置“國家網絡安全宣傳周”統一標識和專題專欄�,對各鄉鎮���、縣直各單位領導干部和工作人員普及網絡信息安全知識����,提高安全上網技能?����!镑攘π挛宸濉惫俜轿⒉?��、“魅力五峰”官方微信��、五峰宜點通客戶端要開辟專題欄目�����,以多種形式,通過微宣傳渠道廣泛推送。積極轉載“國家網絡安全宣傳周”新聞動態���、專家解讀文章,本地本單位參與活動的相關信息,宣傳普及防范電信詐騙和互聯網金融風險���,安全使用移動應用軟件等相關知識。
責任單位:縣網管辦、縣電子政務中心等
㈢線下活動
1���、網絡安全宣傳周期間�����,通過社區公示欄�、顯示屏�、電子標語等形式����,宣傳普及網絡安全常識,倡導依法文明上網理念�����,引導大家樹立“網絡安全����,人人有責”意識�,爭做“四有好網民”����。
責任單位:各鄉鎮�����、縣直各單位
2�����、全縣各中小學開展“網絡安全故事進課堂”活動,各校園網首頁設置網絡安全宣傳周活動專題����,集納網絡安全常識。
責任單位:縣教育局
3�����、在五峰移動�、電信�����、聯通�����、供電公司各營業網點,在工���、建��、農等國有銀行和湖北銀行、五峰農商銀行等地方銀行營業處���,網絡安全相關標語、橫幅�����,發放宣傳資料,播放網絡安全公益廣告�。
責任單位:縣國資局�����、人民銀行五峰分行
4��、在縣公共場館開展網絡安全講座,重點宣傳我縣開展清網凈網行動��、打擊網絡違法犯罪行為的重點案例����,宣傳我縣開展智慧城市建設的經驗做法,普及傳播網絡安全基礎知識�,組織機關企事業單位人員�����、學生、教師�、群眾等參加講座��。
責任單位:縣直機關工委、縣公安局�����、縣經信局�、縣教育局、縣文體新廣局
5�����、按照團縣委統一部署�����,利用“青年之聲-五峰”網絡互動社交平臺,在全縣青年中宣傳傳播網絡安全知識;利用“青春五峰”官方微博微信,向全縣青年發出倡議����,開展“我是清朗俠”清網行動����,清朗網絡空間�����。
責任單位:團縣委�����、縣教育局
6、9月1日至30日,縣廣播電臺���、電視臺持續刊播網絡安全題材的新聞、專題�����、評論��、節目����、公益廣告����、電視專題片、電視劇、電影等�。
責任單位:縣廣播電視臺
7、在縣內�、城際公交車載電視集中推介網絡安全宣傳公益廣告�����,制作發放宣傳教育材料。
責任單位:縣交通運輸局����、縣交運集團
五��、工作要求
㈠高度重視,加強領導�。2019年國家網絡安全宣傳周是全國舉辦的第三屆網絡安全宣傳周活動����,今年湖北作為主會場,對展示全湖北網絡安全形象��,構建和諧網絡社會具有重要意義�����。各鄉鎮�����、縣直各單位、各重點企業要高度重視此次活動,精心籌劃,周密部署�����,確?��;顒勇晞荽?�、效果好。要組建工作專班�,明確專人負責�����,抽調精干力量,按要求組織實施���。
㈡統籌分工,合力推進���。各鄉鎮、縣直各單位��、各重點企業要按照責任分工����,結合實際精心制定本地本單位活動方案,按時間節點抓好落實�。
第5篇
基于云計算技術下的移動網絡環境����,必須對以往的網絡風險問題與移動通信技術存在的風險完成防范��,并且對云計算過程中的風險進行有效防范���。因為基于云計算下的環境���,通常會運用許多中虛擬化和多租戶以及動態性等相關技術����,因此在移動網絡環境中存在許多安全隱患�����,現如今已經成為云計算發展的主要制約要素。
1.1虛擬化技術存在安全問題
虛擬化是云計算環境下的一項基本技術,其不僅可以把數據存儲時的內部功能在程序和服務器以及網絡資源中完成抽象化����,還可以對運用程序與網絡相對獨立的數據完成管理����。盡管可以在云計算環境中利用多種技術避免非法訪問的發生��,可是因為大部分運用程序中都存在一定的漏洞��,因此非法訪問經常會發生[3]。另外,在移動網絡環境下云計算時��,部分殘留的數據甚至會導致許多敏感信息的泄露�����。因此��,��,大部分云服務器的供應商一定要面向客戶確保數據存儲空間的有效釋放,同時在下次運用前就會比較清楚�。
1.2運用的數據管理模式存在問題
基于云計算環境下�����,所有的應用過程中關系到的數據資產相關所有權與管理權都是分離的狀態,而網絡用戶一定要經過移動網絡完成對數據的訪問與運用��。在此種狀況下�,客戶常常對數據的安全性存在一定的擔心。若是客戶把自己的數據運用在云計算中��,或是運用在其他有關運用程序中����,就會增大數據的運用風險。同時移動網絡的終端通常是客戶運用的隨身攜帶裝置����,從而導致客戶的隱私信息出現泄漏問題,并且移動網絡終端還具備一直在線的特點,為網絡竊聽與監視提供方便��,也為多種行業尤其是金融行業的攻擊提供方便�����。在計算機網絡客戶方面而言�����,雖然已經充分了解互聯網存在的嚴重安全風險,病毒給計算機網絡帶來的嚴重危害,可是移動網絡客戶對于有關安全風險的認識并不足,對于移動終端的攻擊缺少方向上的認識�����,所有云服務不但可以為客戶提供服務���,還可以運用其他有關云服務商提供的服務[4]��。因此��,客戶在運用云服務時,關系到大量的服務提供商?���?墒?���,此種多層化的服務提供形式在加大網絡復雜程度的時候����,并且給客戶的服務安全帶來一定的隱患�����。因此��,對于云服務就提出了更高的要求,一定要針對各種企業與運用完成差異化服務����,依據移動的運用結構�,為客戶提供更為安全���、可靠的動態差異化服務��,保證客戶通過不同級別進行安全防護����。
2加強基于云計算下的計算機網絡安全對策
2.1文件加密與數字簽名技術的運用
文件加密和數字簽名技術主要是提升信息系統與數據保密性����,有效避免隱私數據的泄露,或是竊取和損壞利用的基本技術��。依據功能與作用的差異�,文件的加密與數字簽名技術通?���?梢苑殖蓴祿鬏敽蛿祿鎯σ约皵祿暾缘挠嘘P鑒別�����。其中數據傳輸的加密技術通常針對傳輸過程中的數據流進行加密�,主要有線路加密與端對端的加密方式��。線路加密一般是在線路上針對保密信息經過的所有線路利用多種加密密鑰的模式進行安全防護,可以不考慮信源和信宿[5]��。端對端的加密方式主要是指信息在發送人員經過專用的相關加密軟件�,運用某一項加密技術針對已經發送的文件完成加密保護,將明文加密改變成密文�����,而此種信息在到達目的地之后���,收件人員可以利用對應的密鑰完成解密��,從而是密文恢復成可以讀取數據的明文��。此種加密技術通常運用于云端數據的集中備份區域。
2.2數據云端的備份
針對比較重要的云中數據�,必須進行定期備份�����,然后把備份的有關數據傳送到云端的存儲區域,此種備份數據中僅僅有該分數據相關云用戶能夠進行訪問�,同時進行重新的獲取與運用����,針對備份的相關數據一定要選擇對應的先進技術完成處理����,例如選擇比較機密的技術等,從而防止云端備份相關數據的黑客侵入等����。另外�,云中客戶端的Pn和云中相關數據備份之間的關系如圖1所示�。
2.3安裝防護軟件
網絡防火墻技術作為一項強化網絡間的訪問控制,其可以有效避免外部網絡用戶通過非法的模式侵入內部網絡�����,從而訪問內部相關網絡資源��。網絡防火墻可以對兩個或者是許多個網絡間的傳輸數據進行檢查,進而明確網絡間的數據通信是否安全,同時對網絡的具體運行狀態進行有效監測�����。依據防火墻選擇的各種技術�����,能夠把其分成包過濾形式和地址轉換形式以及監測形式等多種�。其中包過濾形式的防火墻主要利用網絡中先進的分包傳輸技術���,經過讀取數據包中相關地址信息進行判斷����,如果發現來自于危險站點的有關數據包,這時防火墻就會把此種數據拒之門外。
2.4定期完成補漏
漏洞是能夠在攻擊時主要運用的弱點����,其可以為軟件和硬件以及程序的缺點等�����。有關學者曾經給出一份如今比較流行的操作系統與運用程序的相關研究報告,明確指出軟件中難以避免存在漏洞與缺陷[6]?�,F階段���,大部分的病毒與黑客主要運用系統存在的漏洞進行網絡用戶的攻擊。為了可以糾正此種漏洞,軟件的開發商必須及時補丁程序。客戶一定要及時進行漏洞補丁程序的有效安裝����,從而科學處理漏洞造成的安全問題。比如客戶可以運用360安全軟件進行定期的系統掃描,在查找漏洞之后進行及時的修補等。
3結束語
第6篇
關鍵詞: 涉密網絡�����;安全審計�����;主機審計����;系統設計
1 引 言
隨著網絡與信息系統的廣泛使用�����,網絡與信息系統安全問題逐漸成為人們關注的焦點�。
涉密網與因特網之間一般采取了物理隔離的安全措施�,在一定程度上保證了內部網絡的安全性。然而����,網絡安全管理人員仍然會對所管理網絡的安全狀況感到擔憂���,因為整個網絡安全的薄弱環節往往出現在終端用戶�。網絡安全存在著“木桶”效應��,單個用戶計算機的安全性不足時刻威脅著整個網絡的安全[ 1 ] �����。如何加強對終端用戶計算機的安全管理成為一個急待解決的問題。
本文從系統的、整體的����、動態的角度,參照國家對安全審計產品的技術要求和對部分主機審計軟件的了解�����,結合實際的信息安全管理需求��,討論主機審計系統的設計��,達到對終端用戶的有效管理和控制。
2 安全審計概念�。
計算機網絡信息系統中信息的機密性��、完整性、可控性�����、可用性和不可否認性�����,簡稱“五性”��,安全審計是這“五性”的重要保障之一[2 ] 。
凡是對于網絡信息系統的薄弱環節進行測試�、評估和分析��,以找到極佳途徑在最大限度保障安全的基礎上使得業務正常運行的一切行為和手段,都可以叫做安全審計[3 ] �。
傳統的安全審計多為“日志記錄”����,注重事后的審計����,強調審計的威懾作用和安全事件的可核查性。隨著國家信息安全政策的改變�,美國首先在信息保障技術框架( IA TF) 中提出在信息基礎設置中進行所謂“深層防御策略(Defense2in2Dept h St rategy) ”,對安全審計系統提出了參與主動保護和主動響應的要求[4 ] 。這就是現代網絡安全審計的雛形,突破了以往“日志記錄”
等淺層次的安全審計概念�,是全方位�、分布式、多層次的強審計概念����,符合信息保障技術框架提出的保護�、檢測�����、反應和恢復( PDRR) 動態過程的要求�����,在提高審計廣度和深度的基礎上,做到對信息的主動保護和主動響應��。
3 主機審計系統設計�。
安全審計從技術上分為網絡審計、數據庫審計����、主機審計�、應用審計和綜合審計�����。主機審計就是獲取�����、記錄被審計主機的狀態信息和敏感操作,并從已有的主機系統審計記錄中提取信息�����,依據審計規則分析判斷是否有違規行為����。
一般網絡系統的主機審計多采用傳統的審計���,涉密系統的主機審計應采用現代綜合審計��,做到對信息的主動保護和主動響應��。因此,涉密網絡的主機審計在設計時就應該全方位進行考慮。
3. 1 體系架構。
主機審計系統由控制中心��、受控端�、管理端等三部分組成。管理端和控制中心間為B/ S架構,管理端通過瀏覽器訪問控制中心����。對于管理端�����,其操作系統應不限于Windows ,瀏覽器也不是只有IE。管理端地位重要,應有一定保護措施����,同時管理端和控制中心的通訊應有安全保障��,可考慮隔離措施和SHTTP 協議。
主機審計能夠分不同的角色來使用,至少劃分安全策略管理員�����、審計管理員���、系統管理員���。
安全策略管理員按照制定的監控審計策略進行實施�;審計管理員負責定期審計收集的信息���,根據策略判斷用戶行為(包括三個管理員的行為) 是否違規��,出審計報告�����;系統管理員負責分配安全策略管理員和審計管理員的權限�����。三員的任何操作系統有相應記錄,對系統的操作互相配合�����,同時互相監督�,既方便管理,又保證整個監控體系和系統本身的安全。控制中心是審計系統的核心,所有信息都保存在控制中心。因此�����,控制中心的操作系統和數據庫最好是國內自己研發的�。控制中心的存儲空間到一定限額時報警,提醒管理員及時備份并刪除信息���,保證審計系統能夠采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的審計信息不同�。安全策略與管理策略緊密掛鉤��,體現安全管理意志。在審計系統上實施安全策略前����,應根據安全管理思想,結合審計系統能夠實現的技術途徑�����,制定詳細的安全策略���,由安全員按照安全策略具體實施��。如安全策略可以分部門���、分小組制定并執行���。安全策略越完善��,審計越徹底,越能反映主機的安全狀態�。
主機審計的安全策略由控制中心統一管理�����,策略發放采取推拉結合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式���。當安全策略發生更改時,控制中心可以及時將策略發給受控端����。但是��,當受控端安裝了防火墻時,推送方式將受阻��,安全策略發送不到受控端���。由受控端向控制中心定期拉策略�,可以保證受控端和控制中心的通訊不會因為安裝個人防火墻或其他認證保護措施而中斷��。聯網主機(服務器����、聯網PC 機) 通過網絡接收控制中心的管理策略向控制中心傳遞審計信息�����。單機(桌面PC 或筆記本) 通過外置磁介質(如U 盤�����、移動硬盤) 接收控制中心管理策略��。審計信息存放在主機內,由管理員定期通過外置磁介質將審計信息傳遞給控制中心���。所有通訊采用SSL 加密方式傳輸,確保數據在傳輸過程中不會被篡改或欺騙���。
為了防止受控端脫離控制中心管理,受控端程序應由安全員統一安裝在受控主機����,并與受控主機的網卡地址��、IP 地址綁定。該程序做到不可隨意卸載�����,不能隨意關閉審計服務���,且不影響受控端的運行性能�。受控端一旦安裝受控程序���,只有重裝操作系統或由安全員卸載��,才能脫離控制中心的管理���。聯網時自動將信息傳到控制中心��,以保證審計服務不會被繞過。[ hi138\Com]
3. 3 審計主機范圍。
涉密信息系統中的主機有聯網主機��、單機等�����。常用操作系統包括Windows 98 ��,Windows2000 ,Windows XP ,Linux ��,Unix 等��。主機審計系統的受控端支持裝有不同操作系統的聯網主機��、單機等,實現使用同一軟件解決聯網機、單機����、筆記本的審計問題��。
根據國家有關規定,涉密信息系統劃分為不同安全域��。安全域可通過劃分虛擬網實現����,也可通過設置安全隔離設備(如防火墻) 實現。主機審計系統應考慮不同安全域中主機的管理和控制��,即能夠對不同網段的受控端和安裝了防火墻的受控端進行控制并將信息收集到控制中心��,以便統一進行審計。同時能給出簡單網絡拓撲����,為管理人員提供方便�。
3. 4 主機行為監控����。
一般計算機使用人員對計算機軟硬件尤其是信息安全知識了解不多,不清楚計算機的安全狀態���。主機審計系統的受控端軟件應具有主機安全狀態自檢功能,主要用于檢查終端的安全策略執行情況�����,包括補丁安裝����、弱口令���、軟件安裝���、殺毒軟件安裝等�,形成檢查報告�����,讓使用人員對本機的安全狀況有一個清楚的認識�,從而有針對性地采取措施����。自檢功能可由使用人員自行開啟或關閉��。檢查報告上傳給控制中心��。
主機審計系統對使用受控端主機人員的行為進行限制、監控和記錄�,包括對文檔的修改��、拷貝、打印的監控和記錄�����,撥號上網行為的監控和記錄����,各種外置接口的禁止或啟用(并口、串口�����、USB 接口等) ���,對USB 設備進行分類管理�,如USB 存儲設備(U 盤,活動硬盤) ���、USB 輸入設備(USB 鍵盤、鼠標) �����、USB2KEY以及自定義設備��。通過分類和靈活設置��,增強實用性,對受控主機添加和刪除設備進行監控和記錄��,對未安裝受控端的主機接入網絡拒絕并報警��,防止非法主機的接入。
主機審計系統對接入計算機的存儲介質進行認證、控制和報警����。做到經過認證的合法介質可以從主機拷貝信息���;未通過認證的非法介質只能將信息拷入主機內��,不能從主機拷出信息到介質內,否則產生報警信息,防止信息被有意或者無意從存儲設備(尤其是移動存儲設備) 泄漏出去�。在認證時���,把介質分類標識為非密����、秘密�、機密。當合法介質從主機拷貝信息時,判斷信息密級(國家有關部門規定,涉密信息必須有密級標識) �����,拒絕低密級介質拷貝高密級信息����。
在認證時,把移動介質編號���,編號與使用人員對應�。移動介質接入主機操作時記錄下移動介質編號�,以便審計時介質與人對應。涉密信息被拷貝時會自動加密存儲在移動介質上����,加密存儲在移動介質上的信息也只能在裝有受控端的主機上讀寫�����,讀寫時自動解密�����。認證信息只有在移動介質被格式化時才能清除���,否則無法刪除��。有防止系統自動讀取介質內文檔的功能,避免移動介質接在計算機上(無論是合法還是非法計算機) 被系統自動將所有文檔讀到計算機上。
3. 5 綜合審計及處理措施。
要達到綜合審計�����,主機審計系統需要通過標準接口對多種類型���、多個品牌的安全產品進行管理���,如主機IDS�、主機防火墻、防病毒軟件等����,將這些安全產品的日志���、安全事件集中收集管理��,實現日志的集中分析、審計與報告。同時,通過對安全事件的關聯分析,發現潛在的攻擊征兆和安全趨勢�,確保任何安全事件�����、事故得到及時的響應和處理�。把主機上一個個原本分離的網絡安全產品聯結成一個有機協作的整體,實現主機安全管理過程實時狀態監測����、動態策略調整���、綜合安全審計�����、數據關聯處理以及恰當及時的威脅響應,從而有效提升用戶主機的可管理性和安全水平�,為整體安全策略制定和實施提供可靠依據����。
系統的安全隱患可以從審計報告反映出來��,因此審計系統的審計報告是很重要的�。審計報告應將收集到的所有信息綜合審計�����,按要求顯示并打印出來����,能用圖形說明問題�����,能按標準格式(WORD�����、HTML 、文本文件等) 輸出����。但是�����,審計信息數據多,直接將收集的信息分類整理形成的報告不能很好的說明問題����,還應配合審計員的人工分析����。這些信息可以由審計員定期從控制中心數據庫備份恢復���。備份的數據自動加密��,恢復時自動解密���。審計信息也可以刪除���,但是刪除操作只能由審計員發起����,經安全員確認后才執行���,以保證審計信息的安全性����、完整性�。
審計系統發現問題的修復措施一般有打補丁、停止服務、升級或更換程序�����、去除特洛伊等后門程序����、修改配置和權限、專門的解決方案等����。為了保證所有主機都能得到有效地處理����,通過控制中心統一向受控端發送軟件升級包�、軟件補丁。發送時針對不同版本操作系統,由受控端自行選擇是否自動執行��。因為有些軟件升級包���、軟件補丁與應用程序有沖突�����,會影響終端用戶的工作����。針對這種情況�����,只能采取專門的解決方案。
在復雜的網絡環境中��,一個涉密網往往由不同的操作系統�、服務器���,防火墻和入侵檢測等眾多的安全產品組成�����。網絡一旦遭受攻擊后,專業人員會把不同日志系統里的日志提取出來進行分析��。不同系統的時間沒有經過任何校準�,會不必要地增加日志分析人員的工作量。系統應提供全網統一的時鐘服務,將控制中心設置為標準時間�,受控端在接收管理的同時��,與控制中心保持時間同步,實現審計系統的時間一致性,從而提供有效的入侵檢測和事后追查機制。
4 結束語
涉密系統的終端安全管理是一個非常重要的問題,也是一個復雜的問題�����,涉及到多方面的因素�����。本文從體系架構��、安全策略管理、審計主機范圍�����、主機行為監控����、綜合審計及處理措施等方面提出主機審計系統的設計思想����,旨在與廣大同行交流,共同推進主機審計系統的開發和研究���,最終開發出一個全方位的符合涉密系統終端安全管理需求的系統。
參考文獻
[1 ] 網絡安全監控平臺技術白皮書�����。 北京理工大學信息安全與對抗技術研究中心�����,2005.
[2 ] 王雪來���。 涉密計算機信息系統的安全審計��。 見:中國計算機學會信息保密專業委員會論文集,13 :67 - 72.
第7篇
在省�����、市局領導正確指導下����,計算站全面完成了2018年各項工作任務��。統籌規劃網絡工程,保證各級經濟網絡傳輸通暢�����;加強硬件基礎建設����,提高了經濟信息處理能力;領會貫徹省局數管中心部署與技術指導,精心維護全市“企業一套表”平臺����,經濟內網����、外網網站內容不斷更新;完成了三農普數據處理工作����;做好各類小型調查數據處理與后期技術服務�;維護“數據城市”管理平臺�、經濟客戶端安全管理平臺、視頻會議系統維護�、VPN系統管理�,網絡安全等級保護建設任務�、做好經濟信息化報表任務及其他各項非常規性任務�,做好市政府政務公開辦及有關部門布置的各項任務。
2018年主要成績��、經驗與做法
一���、加快機房硬件更新與管理,網絡運行持續穩定
1����、網絡運行高效穩定。按照機房功能區域合理布置網絡設備和各服務器��。建立網絡設備資產清單�,全年主機運行健康安全。
2��、定期檢查設備�,應急突發事件。檢查機房溫度、濕度����、空調運行,對突發火災�、水災���、雷擊�����、電力系統、不間斷電源系統故障的應急處理,對故障出現原因進行定位,找出問題根源,避免故障再次發生。
二��、網絡安全保障與網站建設
為了強化對網絡的安全管理��,我們時刻保持著高度警惕����,隨時跟蹤查找網絡安全隱患�����,采取各種措施加強監管����。
1���、 每工作日對設備狀況檢查一次�,一旦發現設備故障報警及時查找問題及時處理排除,處理不了及時將網絡故障有關信息上報單位領導并通知相關網絡運營服務商提供服務支持�����。
2��、網站建設美觀實用,信息內容更新及時��。經濟內網網站頁面設計簡潔����、美觀,突出主要信息����。信息更新及時�����,信息采編人員對送來的各類信息按照規定認真把關,及時�����;網站安全性高。經濟外網功能設置完善��、內容信息充實����。
三、加強視頻會議管理����、保障省市正?;?/p>
定期檢查音視頻設備��,保證會議使用���。為防止會議過程中信號中斷��,我們定期檢查網絡視頻設備運行狀況、在每次視頻會議前做好調試準備,消除故障隱患,保證了會議期間視頻清晰、聲音流暢�。
四、完成各項信息化報表任務�����。完成了省數管中心布置的信息化年報����、網絡安全月報及目,關鍵敏感時期信息安全上報任務等�。
五��、經濟用戶網絡安全管理。遵照國家和省局對經濟內網網絡安全管理客戶端的要求�����,及時為各科室安裝經濟內網用小型交換機�����、各級經濟機構的上網計算機完成用戶安全認證與注冊���。
六���、完成城市市政務公開辦布置的相關任務��。
1、為市目標辦設計群眾滿意度調查問卷��,按要求對三區和濉溪縣分類匯總���,整理各類匯總數據�����,以經濟數據和圖表展示的方式,及時提交匯總報表。2����、穩步推進“互聯網+政務服務”��。創新網上服務模式,引入社會力量,利用第三方平臺���,強化數據資源共享交換;積極推動網上服務向移動端、自助服務終端等延伸�����;通過政府網站���、微信��、微博����、移動客戶端����、推進線上線下政務服務融合發展�。
3���、針對“2018度城市市經濟局網站績效評估簡報”提出的整改建議認真整改����,增設相關欄目,包括在線辦事���、服務效能投訴,增設公眾參與平臺���、站點地圖�����、網站幫助等功能����,及時更新網站信息內容�����。
七�、充分發揮系統管理員在企業一套表中的重要角色
嚴格按照省局要求����,有效行使市級系統管理員的全部職能,確保企業能正常登陸填報平臺�,確保各專業能正常審核驗收使用���;認真熱情的為各專業提供業務咨詢解答和技術支持���,任務定制和權限修改等�。
八���、完成等級保護階段性任務�。城市經濟主干網和“數據城市”等級保護這兩個項目已被市公安局確定為二級等級保護系統,與多家專業公司商討研究制定科學合理的等保建設方案
九、完成了第四次全國經濟普查單位清查任務�。緊跟省局普查中心�����、數據管理中心����,及時深入領會最新操作方法與要求,上下聯動�����,指導各縣區普查工作�����,咨詢解答��、PDA數據采集,平臺數據分析匯總����。指導各區縣做好經濟普查培訓�����、PAD操作和清查比對平臺的數據處理任務。
十��、增強服務意識����,提供日常技術支持與咨詢。為本局各專業提供日常計算機應用支持����、聯網故障與計算機硬件維護����,為縣區用戶提供技術咨詢與遠程協助�����。
存在的問題與不足
一���、辦公網出口只有1臺防火墻�,數據城市”服務器系統無任何防護措施����,為安裝防火墻。
二�����、網站服務器通過交換機連接到核心交換機且無任何防護措施����。
三、缺少防病毒攻擊硬件設備��。web服務器面對木馬���、蠕蟲等非法攻擊缺少必要的防護措施�����;缺少應用層數據的安全防護和病毒防護功能的設備�����。
四、缺少整網安全檢測產品�����。急需定期對全網機器和web掃描����,對設備的登錄����、權限、經濟沒有集中管理措施�,存在較大安全隱患���,缺日志經濟設備�,按要求需要留存半年以上的日志數據����,目前無法滿足要求。
五、機房制度管理尚不完善。需進一步規范機房各項管理措施與規章制度,杜絕不規范操作�����,需要加強學習網絡安全知識�����,提高防范技能����。
2019年工作思路及重點任務
一����、盡快完成網絡安全二級等保建設。以現有基礎設施���,保證今年上半年建設并完成滿足等級保護二級系統基本要求的網絡信息系統。
二��、增設下一代防火墻����。在辦公網出口部署下一代防火墻(含AV、IPS模塊)�,將現有的深信服AF-1210防火墻移至“數據城市”服務器前端�。
三����、在專網的安全運維區旁路部署日志經濟設備、運維堡壘機。設備部署完畢后,日志經濟設備可高效統一管理資產日志并為安全事件的事后取證提供依據��。堡壘機可集中賬號管理和運維經濟��。
四�����、機房改造與裝飾。建設配電柜系統、電源防雷接地系統��、消防報警系統�、網絡綜合布線、機柜設備重整、抗靜電活動地板等����。
五����、完善安全管理制度��。建立一個完善的網絡安全管理制度��,完善機房各項安全管理規章制度、加強計算機安全知識培訓�����,提高各級經濟人員安全意識�����。
六、管好“企業一套表”平臺���。嚴格按照省局要求,有效行使市級系統管理員的全部職能�����,確保填報企業能正常登陸填報平臺�����,確保各專業能正常審核驗收使用�����;認真熱情的為各專業提供業務咨詢解答和技術支持。
七�����、完善網站功能�、網站信息及時更新。對送來的各類信息按照規定認真把關����,及時到各制定網站����;按照市政務公開辦的要求����,做好本單位門戶網站集約化建設和政務公開后臺管理��,加強對城市經濟微訊�����、城市經濟微博的信息更新與信息安全監控���。
八�����、管好系統內客戶端安全管理。深入學習����、領會上級精神����,按照國家局要求����,做到各級經濟機構的上網計算機用戶100%與注冊;做好數據安全及備份恢復��,對重要信息進行備份���,網站后臺安全維護�。
九、管好“數字城市”系統平臺。大膽創新����、牢記使命、積極采取措施充實完善“數據城市”移動終端信息與終端展示,充分體現現代信息技術�����、提升經濟服務能力��、改進服務方式�����。
十、繼續做好第四次全國經濟普查數據處理各項具體任務。
及時傳達上級經普辦最新文件精神�����、指導意見和具體操作辦法��,為四經普提供PDA操作咨詢服務��、做好普查區電子地圖導出、清查比對平臺底冊導出�����、MDM平臺的遠程推送與遠程監控�����,做好四經普非一套表平臺數據審核���、匯總�����、分析及對縣區的任務部署與指導�。
第8篇
近日,專注于安全的解決方案提供商Check Point以色列捷邦安全軟件科技有限公司推出了面向未來的網絡安全架構Check Point Infinity�����,這一革命性網絡安全架構旨在滿足企業組織的關鍵性需求����。
為什么稱之為革命性的呢?
Check Point北亞洲區總裁羅杉在采訪時表示:“Check Point Infinity是業內首個跨網絡��、云端和移動設備的統一安全平臺,是可以提供最高等級威脅防護的統一安全機制�����,可保護客戶免遭日益增加的網絡攻擊威脅�。”
當前�����,許多企業采用多個系統�、各自獨立的管理控制平臺來提高威脅防護,但這將導致企業花費龐大且缺乏效率�����。統一的安全平臺可以在降低企業費用的同時���,提高威脅防護的效率���。另外���,從架構上來講�,Check Point Infinity滿足了我們對安全架構的總體設想��,完全可以勝任幫助企業做好萬全之策���,來應對未來 IT復雜多變的動態格局�����。
羅杉介紹,Check Point Infinity 通過將三個關鍵要素進行組合來實現這一設想:一是統一安全平臺�,利用通用平臺�����、威脅情報共享和開放式基礎設施,跨所有網絡�����、云端和移動設備提供無與倫比的安全性�;二是先發制人的威脅防護,注重預防���,以便在最復雜的已知和未知攻擊發生之前進行攔截;三是統一整合的系統�����,通過單一控制臺進行單獨管理��、模塊化策略管理與威脅可見性集成����,從而有效實現安全集中化�。
“Check Point Infinity的原理非常簡單――統一安全架構將會借助提供更有效���、更實用的 IT 運營����,保證各種環境中的企業安全。”羅杉認為��,Check Point Infinity 使企業能夠掌控自身安全性�����,并將其整體 IT 運營作為單一內聚架構進行保護和管理��,從而為企業自己的業務運營及客戶帶來益處。
技術的進步推動組織在運營方式上做出無數改進,而這些進步也已改變企業所應采取的安全方法。Check Point Infinity 滿足了對前瞻性架構的這種需求,此外還引入了新功能。
在安全管理方面����,新的R80.10 具備數十種新型功能和增強功能�����,其中包括獨特的策略層�����、多區安全保護和增強性性能,是整合了W絡��、云端和移動設備的未來的安全平臺�,可以為企業提供下一代管理策略,能夠高效���、自行執行保護,以及整合式的威脅管理��,無懼任何威脅��。R80.10威脅防護性能最高可提升37%,達到3.95Gbps。
在云端方面����,實現了私有云��、公有云和混合云之間最廣泛的平臺支持,包括亞馬遜AWS、思科��、微軟智能云Azure�����、OpenStack�、阿里云等����,確保云環境受到保護。
在移動設備方面����,全新 SandBlast Mobile是業界唯一的統一性跨平臺解決方案��,能夠保護企業免受針對移動設備的漏洞攻擊。SandBlast Mobile 檢測和攔截已知與未知惡意軟件,并將中毒的 Wi-Fi 網絡���、中間人攻擊,以及 SMS 釣魚詐騙拒之門外。
在威脅防御方面�����,最新推出的 Check Point 反勒索軟件技術能夠保護企業遠離網絡勒索��,即使面對最復雜的勒索軟件也能提供完善保護��。
在安全設備方面,Check Point 宣布推出全新的超高端44000 和64000 安全網關����,它擁有世界上速度最快的威脅防護平臺,具有42Gbps 的真實產品威脅防護吞吐量和636Gbps的真實產品防火墻吞吐量�。
羅杉強調����,SandBlast的行為分析能夠提取若干勒索軟件操作���,包括陰影復制刪除和進行系統性文件加密的企圖��,從而迅速將其歸類為惡意軟件��。WannaCry感染基于SandBlast的取證分析而被完全自動隔離?����?蓪⒓用芪募詣踊謴偷皆馐芄艨刂魄暗脑紶顟B��。
第9篇
關鍵詞:無線局域網����;WIFI�����;全球定位系統����;無縫定位;網絡安全
1 引言
針對無線局域網網絡安全的特點����,文中提出了將基于WIFI的無縫定位技術用于網絡安全的解決方案����,為企業級用戶解決無線局域網網絡安全問題提供一條新的技術路線�����。
2 無線局域網及其安全問題解決方案
2.1 WIFI網絡
隨著“無線城市”概念的提出,許多國家和地區都提出了WIFI網絡覆蓋計劃�,并付諸實施�����。WIFI網絡覆蓋范圍的擴展也促進了集成WIFI接收模塊的終端的發展,逐漸成為各種終端如計算機����、手機�����、相機甚至汽車的標配。當前移動通信已進入“3G”時代����,移動用戶對于數據上傳下載的需求急劇增長����,只依靠3G網絡無法承擔日益增長的網絡載荷�����,而WIFI網絡具有低成本����、無線��、高速的特點,可以彌補3G網絡的不足,因此WIFI網絡在未來將有更加廣闊的應用前景�����。
2.2 MESH網絡
無線MESH是一種非常適合于覆蓋大面積開放區域(包括室外和室內)的無線區域網絡解決方案.無線MESH網的特點是:由包括一組呈網狀分布的無線AP構成��,AP均采用點對點方式通過無線中繼鏈路互聯����,將傳統WLAN中的無線“熱點”擴展為真正大面積覆蓋的無線“熱區”�����。終端目前的普及應用為無線MESH的迅速推廣帶來好處��。因此,WIFI和無線MESH網絡可以相互補充、相互融合。
2.3 無線局域網安全問題常用解決方案
無線局域網以無線信號作為傳輸媒介�,由于無線信道的特殊性及公開性����,任何人都能監測到信號���,甚至使用各種非法手段竊聽及盜取數據,給網絡安全帶來了巨大的挑戰。由于WIFI網安全領域存在重大隱患��,WIFI網被禁止在國內進行大規模推廣���,可見無線局域網存在安全問題已成為WLAN產業進一步發展的最大阻力����。
針對無線局域網存在的安全問題��,IEEE802.11指定了多個安全機制來加強無線局域網的安全性(圖1是利用WPA方式構建的安全系統結構解決方案)�,相關安全標準已經進行實際應用并推廣。目前無線局域網的安全機制主要有以下幾種����。
(1)WEP安全機制�。WEP機制是一種對稱密鑰加密算法�,采用了RSA數據保密公司的RC4偽隨機數產生器。在WEP機制中,同一無線網絡的所有用戶和AP都是用相同的密鑰用于加密和解密,網絡中的每一個用戶和AP都存放密鑰��。802.11標準沒有定義一種密鑰管理協議����,所以WEP密鑰都必須通過手工來管理。但是WEP加密機制存在缺點,在數據機密性、完整性及訪問控制方面并沒有達到預期的安全水平,利用現在的腳本工具就能成功的攻入網絡并發現WEP密鑰��,因此引入更高安全級別����、更完善的安全機制成為必然趨勢。
(2)WPA安全機制。針對WEP的設計缺陷,為增強無線局域網安全性�,WIFI聯盟提出了一種新的安全機制:WPA(WIFI聯盟受限接入)作為無線網絡安全的一個過渡機制��。WPA使用臨時密鑰集成協議TKIP進行數據加密,而認證有兩種模式:一種是適用企業級用戶的802.1X協議�,一種是適用于家庭的預先共享密鑰PSK�。WAP有效地解決了WEP中加密算法密鑰過短��、靜態密鑰和密鑰缺乏管理等問題��,但是依然存在缺陷:它采用的加密算法還是RC4加密算法,很容易遭到黑客的暴力破解����;802.1x也存在不足�����,對于合法的EAPOL_Start報文AP都會進行處理,攻擊者只要發送大量EAPOL_Start報文就可以消耗AP的資源����,使AP無法響應新的EAPOL請求,達到癱瘓網絡的目的��。WPA存在的這些缺陷決定了難以成為一個理想的安全機制�����。
(3)802.11i安全機制��。802.11i是一種新型的無線局域網安全機制,它提出了一個全新的安全體系�����,采用了公認最為成熟的AES加密算法��,定義了而過渡安全網絡TSN�����,以802.1x作為認證和密鑰管理方式、以TKIP和CCMP作為數據加密機制���,改進了原有安全機制存在的不足,具有很強的技術優勢和應用前景�。
除以上三種常用的安全機制�����,還有其它的安全機制,如WAPI(無線局域網鑒別和保密基礎結構)安全機制��、基于VPN(虛擬個人局域網)的安全機制等�����。雖然無線局域網網絡安全組織推出了各種安全體制來提升WLAN的安全性,但是依然無法滿足企業級用戶對安全性的要求,需要探索利用其它技術手段來建立新的安全機制�����。
3 基于WIFI的無縫定位技術
WIFI不僅可以提供無線接入及數據傳輸功能,還可以用于定位����。WIFI網絡在不增加額外的硬件情況下�����,通過分析接入點相對于無線網絡設備信號強度或者信噪比來推斷目標物體的位置?��?蛻舳耸褂没蜻B接到一個接入點,此接入點提供最強的RSS信號��?��?蛻舳寺?,定期檢查信號強度,確定最佳的接入點���。通過信號測量,可以得到客戶端的位置�?����;赪IFI的室內定位方法主要有兩種:傳播模型法和位置指紋法。位置指紋法需要大量的訓練,其定位精度與訓練點的個數有關系�。傳播模型法是利用信號在室內的衰減規律�����,將接收到的信號強度轉換為距離����,再由室內定位算法得出用戶終端的位置。傳播模型法的優點是不需要大量的訓練,但其定位的準確度依賴于傳播模型和定位算法����?����;赪IFI的定位技術具有覆蓋面廣,信息傳輸速度快,成本低特點,成為室內定位的主要技術。
基于WIFI網的定位技術也存在諸多不足,當WIFI網信號不穩定,基于WIFI的定位技術精度就會比較低,在室外無WIFI信號或者信號微弱的時候不能提供定位服務,難以保證定位服務的時空連續性�。因此WIFI常用來輔助GPS進行定位與導航���,為終端提供GPS無法實現的室內定位功能�。
4 無縫定位技術用于無線局域網網絡安全
基于WIFI網的無縫定位技術提供的連續位置服務功能��,在方便用戶進行定位與導航��,也為實時監測用戶的位置提供了可能性。只要用戶進入WIFI網信號區域時��,并連接到WIFI網絡之后��,采用必要的技術手段獲取用戶的位置信息�,就可以對用戶的訪問行為進行實時監控��。如果配以必要的識別技術如RFID識別����,在用戶進入WIFI網時進行身份識別�����。利用身份識別和位置監測技術����,可以形成一套基于位置信息的網絡安全解決方案���,為無線網絡安全的監管提供一條新的技術路線���。
基于WIFI的無縫定位技術用于無線網絡安全基本思想就是根據用戶的位置信息限制無線局域網訪問權限�,通過在無線局域網有效信號范圍構建起“物理圍欄”以及在用戶周圍構建起虛擬的“地理圍欄”,綜合了傳統的網絡安全和物理安全技術����,有效的保護了無線網絡的安全����。
4.1 物理圍欄
物理圍欄就是基于訪問用戶的授權建立的���,主要應用RFID技術����,它可以對訪問用戶的身份進行識別,當用戶的身份符合要求時�����,就可以突破物理圍欄����,獲取無線局域網的訪問權限,這就從源頭上降低了用戶非法訪問無線局域網網絡資源的可能性。
4.2 地理圍欄
用戶在突破物理圍欄進入無線局域網后�����,還需要對用戶的行為進行實時監控���,這依賴于在訪問用戶的終端周圍建立起的地理圍欄����。
利用WIFI網絡與GPS定位技術的融合�����,可以獲取用戶的位置信息��,并將其訪問行為限定在合法的訪問區域之內,一旦用戶的訪問行為突破限定的訪問區域�,可以采取斷網或者警告等手段來對用戶訪問進行控制�����。
基于位置信息的安全技術和用戶移動設備身份識別技術的綜合運用,把網絡的防護和智能辨認功能提升到更高的層次��,地理圍欄可以創建一個伴隨每一個移動設備移動的客戶化的無形圍欄��,使網絡管理員能夠確保每一個設備僅能訪問網絡上被授權的區域和資源���。
5 結論
基于WIFI的無縫定位技術由于精度還比較低�����,需要進一步提高定位精度,此時基于WIFI的無縫定位技術用于網絡安全才具有實用性��。
基于位置信息的網絡安全技術作為一種新興的跨學科的安全防護技術還處于研究和應用的初級階段�����,物理圍欄技術只是定位技術與網絡安全技術的簡單結合�����。隨著研究的深入及無縫定位技術的發展�����,基于位置信息的網絡安全技術必將更為成熟和完善��,其應用領域也不再局限于無線局域網,將在更加廣泛的安全領域中發揮積極的作用。
[參考文獻]
[1]陳.定位技術在網絡安全領域中的應用[J].網絡技術�����,2010�����,(6):15-17.
[2]吳雨航.WIFI網輔助GPS的無縫定位方法研究[D].北京:北京大學����,2010:1-4.
