时间:2022-11-30 18:03:23
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇网络安全保障措施范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:云环境 移动视频监控系统 安全性 保障措施
中图分类号:TP391.41;TP277 文献标识码:A 文章编号:1007-9416(2014)05-0203-01
移动视频监控系统具有移动性、实用性以及即时性等诸多优势[1],因而获得了快速发展。在云计算研究不断深入的背景下,基于云环境的移动视频监控系统应运而生,且获得了广泛应用。本文基于后台、网络、前端的安全保障措施进行相关探讨,旨在促进该系统安全性能的提升。
1 总体架构
每一个网络摄像机均可被视作一个云终端。用户经由网络访问目标网络摄像机以得到所需服务。当发生异常时,异常信息将会被捕捉和收集,并提供给网络,后者制定针对性的补丁,然后利用补丁以弥补网络摄像机的不足(如图1)。
2 系统功能
(1)网络摄像机将相关服务于网络上,用户可基于自身需要经由以找到对应的服务。(2)用户访问网络摄像机的过程中,均会记录其相关信息,整理并输送到云数据库中保存起来。当用户再次访问时,系统将会以自动的方式优先显示用户所需服务。 (3)任意网络摄像机均能够满足用户的服务定制需求。(4)某服务发生异常时,将会接收到相关信息并予以数据分析,然后对安全模块进行更新。(5)该系统的安全机制主要涉及三点[2],即后台安全、网络安全、前端安全。
3 系统安全保障措施
3.1 后台安全保障措施
(1)数据安全存储与管理。对于移动视频监控系统而言,数据存储与管理是安全保障工作的核心所在。对系统核心机密数据进行加密处理,然后进行“云”传输或者对磁盘信息进行直接加密,防止个别不法“云”服务商或者用户截取和篡改信息。然而加密有可能导致数据不完整,提高数据的复杂性,同时还会给用户的索引及搜索操作带来一定的难度。所以,有必要对系统中的数据信息予以分门别类,有选择和有目的地予以加密,也可将相关数据存储在私有“云”中。(2)SaaS应用中相关信息存取安全问题。SaaS(软件即服务)属于一种经由因特网提供软件及其服务的模式[3]。用户可通过网络以达成集中存取信息的目的,同时也在某种程度上弱化了自身对于信息的掌控能力,存在一定的安全风险。基于保障用户身份信息和日志数据存取安全的考虑,建议采用如下措施:1)为应对黑客单点攻击问题,可将数据服务器、Web服务器、应用服务器三者有机隔离开来,提高恶意攻击的难度。2)数据服务器属于重中之重,应予以云备份。当数据遭到破坏之后,可借助备份予以修复,确保服务不会因为该类问题而中断。3)对系统绝密信息予以加密存储。当用户需要读取和调用该类数据时,要求系统对用户身份进行认证,并对传输协议进行加密。如此一来,即便数据被窃取,也很难正确读取。
3.2 网络安全保障措施
在网络安全方面,需要重点研究的是视频传输安全。这一类安全威胁主要包括:1)被动攻击:窃听、流量分析。2)主动攻击:数据篡改、中间人攻击、主机欺骗、重放攻击。
对于以上网络安全威胁,当前主要借助SSL及诸多加密算法、消息摘要算法、数字签名等一系列措施的结合应用予以解决。SSL层协议属于应用层和TCP/IP的中间环节,由上层协议传输到该层的信息被加密,然后借助TCP/IP途径传送给目的主机,由TCP/IP传输给SSL层后予以解密,采用客户端、服务器双向认证的做法,对隐私或关键数据进行加密,同时借助数字签名以确保数据具有足够的完整性,构建一个高安全系数的通信通道。最后基于如下方面提供安全服务:1)认证,2)机密性3)完整性。
3.3 前端安全保障措施
(1)身份认证。身份认证是系统针对用户身份进行核对的一个过程,以判断其是否具有访问资格以及使用权限。在身份认证机制中,基于密码的身份认证是最典型、最常用的一种机制。(2)授权。所谓授权指的是,用户身份得到合法确认之后,赋予该用户相应的系统访问权限。授权同样是一个典型的、常用的安全机制。通过授权能够防范非法入侵者对关键信息进行破坏,同时还能够阻止合法用户对非法信息进行访问,从而实现在更近的层次上有效保护信息安全。 (3)审计。所谓审计指的是,将全部用户的行为均有效记录下来,从而便于后期核查。通过审计能够让用户对自己做出的一系列行为负责,不容其抵赖。
4 结语
基于云环境的移动视频监控系统以其诸多优势获得了广泛应用,然而其安全问题也不容忽视。只有基于后台、网络、前端等角度采取相应的安全保障措施,才能降低安全风险,保障其正常运行。
参考文献
[1]陈飞玲,陈湘军,郁建桥等.移动视频监控系统设计[J].电子测量技术,2014,04:109-113.
【关键词】 移动互联网 安全技术 现状
引言
移动互联网技术在当前的发展比较迅速,已经和人们的日常生产生活有着紧密联系,移动互联网技术在4G网络的实现下,使得移动终端的功能作用得到了发挥,对人工的移动终端产品和互联网的结合目标得到了实现。移动互联网的安全技术应用过程中,虽然对人们带来了很大方便,但是在安全性问题上一直是比较突出的问题,加强对移动互联网的安全问题解决也是有着难度的,尤其是面对当前的移动互联网发展阶段,通过安全技术的科学应用对互联网安全问题的解决就显得比较重要。
一、移动互联网的安全问题和关键问题分析
1.1移动互联网的安全问题分析
移动互联网的安全问题体现在多层面,其中在互联网的安全问题层面,主要就是在IP开放的架构形式应用下,由于移动互联网的业务丰富性,以及在多样化的接入类型影响下,在上网的终端智能化程度有了很大程度提升[1]。这样就为攻击者提供了有利条件,使得移动网络的攻击者比较容易获得网络拓扑,这样就会对用户的数据信息的传输造成损害,在数据信息的安全性层面的保障力度就会大大降低。
移动互联网安全问题当中的通信网安全也是比较重要的安全类型,主要就是在传统的移动通信网的终端类型单一性情况下,在网络层面相对比较封闭,这就使得智能化程序不是很高,在移动网络的安全上能得到一定的保障。在的那个钱的无线宽带时代到来之后,移动互联网技术得到了很大程度发展,一些终端类型也开始逐渐增多,在软件的漏洞上也比较容易暴露,这就对移动通信网的安全性大大降低,不能有效保障移动通信网络。
除此之外,移动互联网的安全问题还体现在新的安全问题层面,在互联网和移动通信进行结合后,这就对原有的网络安全环境的平衡状态打破了。通信网在安全性能上就有了降低,注重就是互联网的应用丰富性以及身份的可识别性和业务形式的独特性等,这就使得在对电子商务以及移动办公等层面的要求不断提高[2]。在移动互联网的环境下的终端发展安全性,面临着很大的挑战,对终端的芯片处理能力以及内存的功能性有着新的要求,这就比较容易出现恶意代码以及病毒的传播,在移动终端的安全上得不到有效保障,加上移动互联网的环境相对复杂化,这就在网络安全上面临着很大威胁。
1.2移动互联网的安全关键问题分析
从移动互联网的安全关键问题层面来看,涉及到诸多的层面,其中在终端安全机制上就是比较突出的。在终端安全机制层面要能有各个业务应用以及系统资源访问控制能力,在身份认证功能层面也要加以具备。在对业务安全机制层面也要充分重,在3GPP以及3GPP2都有着其相应的业务标准准则,其中有定位以及移动支付等业务安全准则,也有防止版权盗用等标准,在机制层面都要提供可利用技术手段。在网络安全机制层面也要能加强重视,其中在3G等层面都有着相应的安全机制。
虽然在3GPP以及OMA方面提供了相应安全机制,但受到技术因素影响,还都属于基础层面机制,在对移动互联网安全的完善保障层面还比较缺少能力[3]。这就需要结合移动互联网的实际安全问题内容,进行制定完善化的安全技术保障措施加以应用。
二、移动互联网安全隐患以及安全技术保障措施
2.1移动互联网安全隐患分析
移动互联网的安全隐患比较突出,随着社会的发展科技的进步,移动互联网的安全隐患类型也比较多。其中在篡改破坏山就表现的比较突出,一些不法分子对技术手段的应用,对互联网终端系统程序进行恶意修改,对互联网的安全进行破坏,这就对用户的移动互联网正常使用有着很大影响。比较突出的就是黑客以及木马软件对移动互联网系统的破坏,严重的对移动互联网系统造成崩溃。
移动互联网安全隐患中的敲诈欺骗以及窃密监听隐患比较突出,在黑客的攻击下,对移动互联网终端会造成破坏,在一些重要的信息资料上进行获取,并通过欺骗的形式对用户进行诱导,这就影响移动互联网的安全性[4]。还有就是窃密监听的隐患层面,主要就是在当前的而一些智能手机的电脑化发展中,对移动互联网应用中,终端安装上窃密监听的设备对用户的隐私资料进行窃取,以达到自己的不法目的。
移动互联网安全隐患当中的恶意吸费的隐患比较突出。在移动互联网的安全隐患发生所造成的破坏,主要是利益纠葛因素造成的。其中的恶意吸费也是对移动互联网安全破坏的重要因素。在以往的移动互联网恶意吸费主要是通过互联网终端进行秘密连接链接,这样用户在浏览设定的收费网站时候,就会对网站的点击率有效提高,从而实现盈利目的。还有的就是在黑客的这一因素影响下,在移动终端传送手机存储数据,在后台进行发送信息以及彩信等,这就在长期使用过程中,比较容易造成经济上的损失。
2.2移动互联网安全技术保障措施
为保障移动互联网安全技术的作用发挥,笔者结合实际对移动互联网安全技术的应用措施进行了探究,在这些方法的探究下,对实际的移动互联网安全技术的作用发挥就有着积极促进作用。
第一,加强移动互联网终端安全的保障。在移动互联网安全层面,要从多方面进行考虑,从移动互联网终端的安全层面要加强保障,避免外界对终端的入侵,在终端的安全可用性层面加强保证。在互联网终端安全防护层面的加强,能在防毒以及主机的安全层面得以有效保障,对网络的访问控制的作用发挥也比较有利[5]。在移动互联网的终端审计监控工作上要不断强化,移动终端的操作人员在规范性的操作上要充分重视。在实际的监控审计功能发挥上,涉及到的内容比较多,其中的WEB访问控制审计以及网络访问控制审计等,都是比较重要的诶荣。还要注重对移动互联网的终端接入控制以及文档的防密控制,只有在这些层面得到了充分重视,对移动互联网的终端安全性的保障水平就能有效提高。
第二,保障移动互联网运行安全性。在对移动互联网的安全保障措施实施中,在运行过程中的安全防护工作要加强实施。在对网络的内容监听以及安全事件预警方面要不断完善化,形成安全监控以及安全日志管理模式,对移动互联网的安全运行加强保障。从具体的措施实施上,就要充分重视移动互联网业务系统间的访问控制加强,将移动互联网业务以及安全规划的同步性要得以重视,在SDK以及业务上线要求的安全因素植入下,对移动互联网的安全保障就有着积极作用。再有就是对移动互联网的认证技术科学应用加强重视,避免用户对多个系统进行登录造成信息的泄露,然后就要注重对IP地址的溯源部署的科学化实施,对用户网络的接入实名制工作进行完善化实施。
第三,加强移动互联网业务安全保障。在移动互联网的应用过程中,在业务安全的保障工作层面要加强实施,移动互联网中的具体业务以及业务组件提供,都是通过多设备以及软件进行完成的,并涉及到诸多的内容,有用户的操作以及协议的交互等等。加上移动互联网业务的多样性以及设备的相关性比较低,这就在安全性层面有着很大影响,这就需要在认证服务层面不断加强,从移动互联网的业务层面着手实施安全措施,在对业务安全的级别以及等级访问和用户可信度等层面进行妥善实施[6]。在业务的安全级别方面通过静态模糊综合评判的方法应用,对业务的安全级别按照实际标准进行定级,针对性的进行管理,在动态化的业务安全管理实施下,对管理的质量就能有效保障。
第四,优化移动互联网的安全部署工作。在对移动互联网的安全进行保障的同时,要从实际出发,在安全部署工作上进行加强完善,在安全部署层面要能够从多方面着手,在互联网和接入网层面着手实施。在互联网层面对接入服务器以及交换机的内容会有所涉及,而在移动通信网方面就对终端设备以及端口控制等比较重视。这就需要在安全工作的部署中,氖导食龇,将移动互联网的自身安全以及终端运行的功能正常发挥得以保证,在多方面的技术应用下,发挥入侵检测技术以及防火墙技术的作用,对业务系统的部署数据加密防护功能发挥层面要不断加强,将移动互联网的信息安全性有效保障。
第五,加强移动互联网用户的安全意识提高。在对移动互联网安全保障方面,要注重用户自身的安全意识加强,运营商在对业务办理过程中,对移动互联网终端安全防护宣传工作要做到位,让用户对移动互联网的安全防范有更深的认识,从而在移动互联网的安全性方面能有效防御。用户也要在自身的互联网技术知识学习上不断加强,对一些基础性的安全保障防范方法能灵活运用,这对自身的信息数据的安全保护也有着积极作用发挥。
三、结语
综上所述,移动互联网安全技术的应用,要和实际安全问题情况相结合,多方面重视技术方法针对性实施。在新的时展背景下,移动互联网对人们的生产生活的作用愈来愈重要,在保障移动互联网的应用安全性层面,也要加强重视,从多方面加强安全技术的科学实施,只有如此才能有助于移动互联网的安全保障。
参 考 文 献
[1]蔡家辉.浅谈我国互联网信息安全与人权保护问题[J]. 网络安全技术与应用. 2016(11)
[2]何乐臻.计算机信息技术在互联网中的应用探析[J]. 中国管理信息化. 2016(23)
[3]宋光泽.浅析移动互联网信息安全威胁与应对策略[J]. 无线互联科技. 2016(22)
[4]王永建,杨建华,牛辉奇.面向移动互联网的智能终端安全监管平台研究[J]. 移动通信. 2016(21)
关键词:信息高速公路;校园网;安全保障
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2019) 11-0000-01
Multi-level Protection Study of Campus Security and Stability
Ma Jianshe
(Internet Center of Shanxi Datong University,Datong 037009,China)
Abstract:With the further development of network technology,network security issues triggered more and more prominent.This paper focuses on the campus during the operation should be noted that multi-level security measures.
Keywords:Information superhighway;Campus network;Security
为了保障信息高速公路畅通、安全、稳定、高效运行,确保校园网这个活跃节点的安全稳定运行,是校园网这个大家族中每个成员都应尽的义务,因为校园网的安全稳定与Internet的安全稳定是局部与整体的关系。鉴于此,笔者就校园网的安全稳定运行方面的保障措施分三个层级浅谈自己的一点儿看法。
一、网络物理层级
校园网络物理核心设备是校园信息高速公路的基础,保证物理网络核心设备的安全稳定运行是校园网安全稳定运行的前提。笔者所在单位校园网络近期受到市电供应不稳定的影响,经常性的断电、断网,给广大校园网络用户带来很大不便。2011年9月份山西某高校承办某次全国性联考,考试期间突然发生供电系统爆炸,造成整个考试网点瘫痪,影响广大。虽然这些可能都是小概率事件,但笔者认为这更突显出在网络建设中保障物理网络安全稳定运行是不可或缺的,因为一旦物理网络发生安全稳定性问题,影响范围较广。可以通过以下方式尽可能确保物理网络的安全稳定运行:
(一)物理隔离核心设备。把核心设备安置在专人值守的专用机房,避免有意或无意的人为因素威胁到物理网络的安全。(二)配备高功率的在线式UPS系统。确保市电不稳定或停电时,网络核心设备能够正常运转,保证主干校园网络的稳定、流畅。(三)定期检修核心设备。专职的网络管理人员定期检查设备的运行状况,建立完备的设备维护日志,定期备份核心设备的配置文件和日志文件等重要资料。
二、网络技术层级
(一)创建防火墙隔离带。防火墙隔离带相当于设置在校园网与Internet信息高速公路之间的一个卡子,负责双向检测欲通过关卡的数据包,主要是核准数据包的身份、查看其来源地、目的地等相关的表面化信息,至于数据包内含信息不做过多追究,避免降低通过效率,造成塞车现象。经过防火墙的过滤,可以阻塞并记录未经授权的数据包,而只允许经过授权的数据包通过网络,既能保护校园网内易受攻击的网络资源,又能部分抑制来自校园网的攻击源扩散到Internet。
(二)设立数据包稽查员IDS。具有合法身份的数据包不一定产生合法行为(现实世界中经典案例:911的身份全部合法,但他们的行为却是灾难性的。),也就是说经过防火墙过滤的数据包也有可能存在潜在的危险行为。稽查员IDS主动采集数据包中的数据流并深入分析,查看是否携带危险的行为工具,一旦检测到可能的攻击行为时,立即切断攻击并协助防火墙修改相应的过滤准则,从而杜绝类似的攻击行为。
(三)基础设备健壮性保障。任何一种计算机系统、网络系统都可能存在安全漏洞,人工检测漏洞几乎是不可能的。漏洞扫描技术基于漏洞数据库,通过自动扫描的方式,对计算机系统、网络系统的安全脆弱性进行检测,从而发现漏洞,为用户打安全补丁提供决策。采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
(四)缉拿隐蔽的破坏分子病毒。病毒就是指通过某种手段潜伏在计算机或网络设备里,一旦条件满足就能够被激活,具有对计算机或者网络资源进行破坏的一组计算机指令或者程序代码。在整个网络内可能感染和传播病毒的地方部署相应的防病毒手段,同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程警报、集中管理、分布查杀等多种功能。
三、网络管理层级
(一)校园网安全稳定运行的管理规范。制定详细的网络安全监管制度,安排专业人员负责校园网的安全管理工作,并经常对管理人员进行升级式进修培训,使他们具有和网络发展同步的知识涵养,及时了解当前威胁网络安全的潜在行为,提高网络安全的警觉性。安全管理是保证网络安全稳定运行的基础,安全技术是配合安全管理的辅助措施。
(二)网络用户素质教育。Internet上大部分的安全问题是有意或无意的人为因素导致的,校园网的安全也不例外,只不过校园网中的绝大部分用户是已受或在受高等教育的人群,综合素质普遍较高,但不排除个别活跃分子制造网络混乱,总想破坏或者窥探别人的信息。所以,校园网络安全稳定问题关键在“人”,因为“人”才是信息高速公路真正的主宰者,不管是建设性的技术还是破坏性的技术都是人创造出来的,对使用信息高速公路的人群进行素质方面的教育是必不可少的。
可以从以下两个方面对校园网络用户进行针对性的素质教育:
1.网络安全基础知识教育。要让用户知道网络上哪些工具是安全可靠的,哪些工具是不安全的且具有一定破坏力。条件允许的情况下,还可以单独建立一个网络破坏性实验室,专门用于实验一些网络工具,向用户演示破坏性网络工具的威力,满足其好奇心,这样能够收到更好的正面教育效果。
2.文明使用网络的规范教育。现实生活中,我们受到一些文明规范的约束,所以我们拥有一个相对和谐稳定的生活环境。但是在虚拟的网络世界,人们普遍没有约束感,所以经常会发生网络攻击、谩骂、流言碎语等等严重污染网络环境甚至产生网络安全问题的现象。这就需要网络监管者对校园网络用户进行网络文明规范教育,教育用户自觉维护网络安全,不破坏网络秩序。
四、结束语
前文提到校园网的安全稳定与Internet的安全稳定是局部与整体的关系,也就是说信息高速公路上的一个节点安全稳定了,就会增加Internet的安全稳定性,相应的如果Internet安全稳定了,又能为校园网的安全稳定提供额外的保障。如果我们能够尽可能做到校园网分层级安全稳定,不仅可以实现保护我们自己的目标,还能为Internet的安全稳定运行做出一定贡献,届时校园网安全问题也许不再是个问题。
参考文献:
[1]沙桂兰,浅谈校园网络安全控制策略[J],电脑知识与技术,2007(03)
[2]刘运喜,新形势下高校校园网安全状况与德育对策[J],文史博览(理论)2011(02)
[3]李宁,校园网网络安全分析及对策研究[J],信息通信2011(04)
[4]蔡向阳,浅谈高校校园网的安全现状及其对策[J],电脑学习2010(06)
【关键词】 民航 空管 网络信息
进入到新的发展时代,网络信息技术在各个领域都得到了应用,促进了应用领域的发展。民航空管工作是比较关键的工作内容,对保障民航的安全性起到了关键作用,而将网络信息和民航空管工作相结合,就能有效提高空管的效率水平。通过从理论层面加强对民航空管网络信息安全可靠性保障的研究分析,为实际空管作业的顺利实施提供理论支持。
一、民航空管网络信息安全保障的重要性及现状分析
1.1民航空管网络信息安全保障的重要性分析
加强对民航空管的管理水平提高,是当前民航事业发展中的重要内容。民航空管的实际工作实施中,通过将网络信息技术应用其中,能有效促进管理水平提高,而保障网络信息的安全可靠性就是重要基础。通过先进网络信息技术的应用,在信息资源的共享目标方面能得以实现,可对信息资源进行优化配置[1]。民航空管中网络信息技术的应用是一把双刃剑,在信息的安全可靠性方面的保障,避免黑客的侵害等,是促M民航空管工作顺利进行的重要保障举措,这也是全面提高民航空管网络信息安全的重要战略实施内容。
1.2民航空管网络信息安全保障的现状分析
民航空管网络信息技术的应用中,在安全保障方面还有待进一步加强,其中网络安全问题是比较突出的。民航空管系统中的一些信息维护和管理是通过远程来实现的,网络信息的失窃以及篡改的问题在当前还时有发生。空管网络信息化中对数据的传输是比较重要的环节,在这一过程中的网络信息安全问题就比较突出,造成了空管系统的内部存在着很大的信息安全威胁。民航空管网络信息安全保障工作实施中,比较缺少完善化的管理体系,如果是单一化的通过安全技术对网络信息安全性加以保障,对管理体系的完善性支持作用就很难有效发挥。除此之外,民航空管中网络信息安全管理中在操作系统层面还存在着诸多问题有待解决,主要是操作系统的结构体系缺陷比较突出,这就比较容易受到攻击从而造成操作系统的瘫痪[2]。对于这些层面的安全问题就要加强重视,采取多样化的方法加以实施,如此才能真正有助于民航空管的网络信息化目标实现。
二、民航空管网络信息安全保障的措施探究
民航空管网络信息安全的保障,需要从多方面着手实施,在技术层面就要对合法的用户实施认证,这样就能有效避免非法用户获得对公司信息系统的访问,通过身份认证以及数字签名等方法都是比较有效的。另外要加强防病毒技术的实施,这一技术应用对恶意程序的识别就比较有效,在病毒预防技术以及消除技术的应用下,就能有助于网络系统的安全保障。如对病毒消除技术的应用,就是在某一病毒出现后实施的,有着良好的杀毒功能。加强完善安全技术体系的设计。对安全技术体系设计前,就需要在安全管理体系方面系统性的加以设计,这就涵盖着安全策略以及组织体系等方面的内容,设计中要重点对监控体系和有着支撑性的基础设施进行设计,如在入侵检测以及防火墙等系统的设计方面体现出完善性,只有通过安全系统的完善化设计,才能真正有助于保障网络信息的安全。保障民航空管网络信息安全工作中,在对安全扫描技术的应用方面需要加强[3]。安全扫描技术是对网络系统安全进行直接性保障的应用技术,在当前的安全扫描技术的种类上一般分为计算机网络监测,进行主动性的设计校本文件,避免网络受到攻击。还有就是主机对系统实施的检测,在检测对象方面主要是系统当中不合适的口令以及设置,这对网络系信息系统的安全保障也能起到积极作用。通过有效手段来保障民航空管网络信息的安全性,主要可通过结合民航空管的信息安全现状构建完善的安全信息管理体系,要定期的对空管网络信息工作人员进行培训,增强工作人员的责任心,这是对保障空管网络信息系统安全的重要举措。另外就是能加强民航空管计算机信息安全技术的监控,创新应用网络信息安全技术,最大化的降低网络信息安全管理风险[4]。同时也要注重对技术人员以及管理人才的引进,在空管网络信息的安全宣传工作方面进一步加强,构建完善的安全管理责任制度。只有在这些层面得到了加强,才能有助于民航空管网络系统的安全。
结语:综上所述,民航空管工作的顺利实施是保障民航安全的基础,在具体的工作实施中,随着网络信息技术的广泛应用,也对实际空管工作的效率得到了很大程度提高,而加强网络信息的安全保障工作就显得格外重要。本文通过从多方面对民航空管网络信息可靠性的研究分析,对解决实际问题就有着积极意义。
参 考 文 献
[1] 陈瑛,肖银莹,闫振强. 安全管理实用工具软件的研发[J]. 通讯世界. 2015(06)
[2] 钱娟华. 空管信息网络安全与维护探讨[J]. 硅谷. 2014(15)
关键词:电子政务 信息安全
0 引言
随着电子政务不断推进,社会各阶层对电子政务的依赖程度越来越高,信息安全的重要性日益突出,在电子政务的信息安全管理问题中,基于现实特点的电子政务信息安全体系设计和风险评估[1]模型是突出的热点和难点问题。本文试图就这两个问题给出分析和建议。
1 电子政务信息安全的总体要求
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1 基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2 数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3 网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4 数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2 电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题, 通常是将基于公钥证书(PKC)的PKI(Public Key Infrastructure)与基于属性证书(AC)的PMI(Privilege Management Infrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限, 许多用户也可能有相同的权限集, 这些权限都必须写入属性证书的属性中, 这样就增加了属性证书的复杂性和存储空间, 从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP 目录服务器等实体组成,在该模型中:
2.1 终端用户:向验证服务器发送请求和证书, 并与服务器双向验证。
2.2 验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3 应用服务器: 与资源数据库连接, 根据验证通过的用户请求,对资源数据库的数据进行处理, 并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4 LDAP目录服务器:该模型中采用两个LDAP目录服务器, 一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP 目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
3 电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1 信息系统的安全定级 信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2 采用全面的风险评估办法 风险评估具有不同的方法。在ISO/IEC TR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NIST SP800-30、AS/NZS 4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4 结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
【关键词】保障措施;网络通信技术;网络信息;安全;现状
对于当前网络通信成为人们传输信息数据的主要途径和方式,这主要是由于网络通信自身所具有的开放、快速、灵活等方面的优势以及其先进性所导致的。但是由于网络技术的系统和结构等方面存在的漏洞为病毒或黑客入侵网络通信系统提供了可行性和可能性,如果病毒或黑客成功的侵入了网络通信系统中,就会在一定程度上对网络通信正常运行造成一定的影响,严重的话甚至会对网络中的信息数据造成删除、错误等情况,严重阻碍着人们对网络通信的有效应用。
1目前网络通信信息安全现状
1.1在网络通信结构方面
由于网络通信自身不合理的结构,在很大程度上留下了严重的安全隐患,这也是造成其存在问题的首要原因。互联强通信技术的基础和前提是网间网技术,用户通过在网上按照相关的TCP协议或者是IP协议来注册网上账号,这样再通过网络远程授权之后,就能够实现网络通信。但是由于网络的结构是呈现出树状型的,这样在应用网络通信工程的过程中,如果黑客采取相应手段来攻击的话,就能够通过这一结构与用户的信息相连接,进而对各种用户信息实现窃取。
1.2在网络通信软件安全隐患方面
用户在应用网络通信的过程中,由于其自身所具有的漏洞,为了完成部分操作,就需要在网络中下载相关的补丁或者是采用其他形式的软件方式来满足这一需求,这也是为了与计算机终端系统操作的要求相符合,但是对于这些补丁软件以及相关的下载软件来说,一旦应用的话,就很可能会导致自身的信心处于公开化的状态。如果不法分子利用这一方面漏洞的话,也能够在一定程度上影响人们的网络通信安全,严重的话甚至会对整个网络系统都造成一定的影响,威胁着系统安全。
1.3在人为网络系统攻击方面
有些人为了获得更多的利益,往往会通过不合法的方式来攻击网络系统,在攻击的过程中,可以获得相应的用户信息数据资源。对于这中非法攻击来说,目前已经不仅仅局限于商业管理终端方面了,甚至如今对于一些个人的计算机来说,也有可以会受到黑客攻击,这就会严重威胁着用户的信息安全。对于这一方面的转变来说,人们应该对此有更加客观的认识,随着人们生活质量和水平不断得到提高,网络通信方式已经成为了当前人们传递信息的主流方式,但是与之相应的信息安全维护工作却没有得到相应的发展,这样就必要会造成安全隐患的出现。另外对于部分网络通信管理部门来说,没有足够的认识和重视网络通信信息安全问题,而且在相关的管理制度方面也存在着一些不合理、不健全的问题,这些方面都会在很大程度上增加网络通信安全风险程度,甚至在整个系统中都会造成严重的安全隐患,这也在一定程度上为不法分子提供机会和途径。对于当前我国网络通信安全存在的各种问题,以及相关问题出现的原因,注重网络通信技术改革和加强建设网络通信制度是十分必要的,这也是适应时展。维护网络通信信息安全的重要方面。
2保障网络通信信息安全的有效措施和重要途径
2.1加强对用户IP地址的保护
对于网络通信攻击和入侵来说,黑客应用最多的就是借助用户的IP地址,以此来获取用户的通信信息和数据,因此加强保障用户的IP地址,维护其安全,是实现用户网络通信安全的主要方式和途径。用户自身在应用互联网的过程中,也需要加强保护自身的IP地址,注重严格的控制网络交换机,这主要是由于网络交换机是用户网络通信信息数据被泄露的主要路径,通过对其中的树状网络结构严格的控制,就能够有效的防止不法分子的攻击和入侵。除此之外,还能够对计算机路由器实现隔离控制,在日常的生活中加强对路由器中访问地址的关注,一旦发现非法访问的话,一定要及时的有效切断,这样才能够避免对自身的信息数据造成泄漏。
2.2加强完善信息数据储存和传递秘密性
信息在储存和传递的过程中,是安全隐患存在的主要途径,在储存和传递信息数据的过程中,不法分子能够实现拦截、恶意篡改、盗用、监听等非法操作,以此来得到自身需求。因此用户的信息数据储存和传递的过程中需要进一步的完善其秘密性,最好对这两个环节都进行加密处理,同时确保密码的复杂性和多元化,这样能够在很大程度上增加黑客入侵和攻击的难度,减少安全威胁。用户在应用网络通信的时候,能够使用适当的保密方式来实现对自身信息数据的加密处理,同时网络维护工作者也应该注重对信息加密功能的设置。
2.3进一步促进用户身份验证的完善
为了更好保障网络通信信息安全,其中最重要的,也是最基础的就是注重对用户身份的验证。在应用网络通信之前,需要对用户的身份进行严格的验证,一定要确保是本人操作,这样就能够有效的保障用户的个人信息数据安全。目前在计算机系统中用户身份严重主要应用的是“用户名+密码”的方式,通信权限的获得是两者之间相互匹配,但是这种验证方法比较传统,已经难以适应当前快速发展的社会大环境,比如可以使用视网膜检测、指纹检测、安全令牌等多种先进的验证方式,这对网络通信安全的提高具有重要的意义和作用。
参考文献
[1]董希泉,林利,张小军,任鹏.主动防御技术在通信网络安全保障工程中的应用研究[J].信息安全与技术,2016(01):80-84.
[2]雷一鑫,陈晨,韩松.网络通信中信息安全的保障措施研究[J].通讯世界,2016(08):125.
[3]王继业,郭经红,曹军威,高灵超,胡紫巍,周静,明阳阳,方正伟.能源互联网信息通信关键技术综述[J].智能电网,2015(06):473-485.
[4]张茁,周明.谈网络通信中信息安全的保障措施[J].中国新通信,2014(06):54.
【 关键词 】 高考招生网络;安全风险分析;网络安全技术
Analysis on Security Mechanism of College Entrance Examination Enrollment Network
Huang Xiang-nong Wang Hai-yuan Xu Yu
(Network and Information Technology Center of Sun Yat-sen University GuangdongGuangzhou 510275)
【 Abstract 】 The practice of college entrance examination enrollment online admission can upgrade its quality and efficiency , but those many security weaknesses and threats existing in campus network will affect the security of online admission. By understanding the security risks that components of the network may face and applying network security technology, security threats can be especially reduced, and smooth college entrance examination enrollment online admission can be ensured.
【 Keywords 】 college entrance examination enrollment network; security risk analysis; network security technology
1 引言
我国利用互联网技术,实行高考招生网上录取工作,大大提高了工作质量和效率,有效地保证录取工作的公平公正,取得了非常满意的效果。然而,互联网中存在各种各样的安全弱点和安全威胁,将会影响到网上录取的安全性。一直以来,上级主管部门非常重视网络信息安全管理,不断改进网上招生系统,规范网上录取流程,指导各高校严格执行。
网上招生系统采用分布式C/S架构,由各省级招办的网上招生系统服务器、安装在学校的网上招生系统客户端,以及相关网络构成,如图1所示。
为了实行一年一度的网上录取工作,学校的高考招生网络一般为临时搭建。以中山大学为例,网上招生录取场地分为省内、省外场地两个地方,分别借用能接入校园网的院系计算机房,安装上全国版的网上招生系统客户端,以此构建高考招生网络,并上报该网地址段和对系统进行安全性设置。
网上招生系统服务器设置必要的访问控制规则,只允许学校高考招生网络及相关网络访问。而且,从客户端登录到网上招生系统后,就在客户端与服务器之间建立VPN加密隧道,保证网上录取数据在端到端传输过程中的机密性和完整性。可以认为该系统的校园网以外部分有足够的安全性,本文着重讨论基于校园网的高考招生网络的安全保障措施。
2 安全风险分析
从图1可知,学校高考招生网络由主机、接入交换机、汇聚交换机、骨干交换机、核心路由器和边界路由器等组件构成,相关组件的安全风险分析如下。
1) 主机:作为网上招生系统客户端,与省级招生办服务器通信、进行数据交换,完成网上录取工作。因为这些主机必须与各省级招办互联互通,需要接入外网,若主机系统存在安全漏洞,随时会被利用,如果不加以限制地与外网通信,容易成为网络入侵攻击的目标。另外招生录取现场工作人员多而杂,U盘的使用,系统的误操作,感染病毒、木马等等,都有可能构成安全威胁。
2) 接入交换机:一个较大的计算机房需要使用几台交换机提供足够的端口来连接主机,实现网络接入。由相关交换机构成的VLAN是一个广播域,遇到人为的或恶意程序产生的广播风暴或二层欺骗攻击等,会影响到该广播域上的主机。
3) 楼栋汇聚交换机:作为VLAN网关,配置有访问控制功能,但也有可能受到网关ARP欺骗攻击、源地址欺骗攻击以及广播风暴攻击等,导致主机连网异常。
4) 骨干三层交换机(路由器):用作区域汇聚交换机、校区骨干交换机、核心路由器和边界路由器等设备,主要用来提供网络互联和访问控制功能,与校园网所有网段相关,流经的流量类型复杂,尽管这些设备性能较高,已做好自身的管理访问,具有较高的抗攻击能力,但仍会面临各种DoS攻击,可能会造成骨干网络运行性能降低。而且,学校招生网络骨干部分涉及到的设备越多,故障率也就会越大。
3 安全保障实施
针对基于普通校园网构建的高考招生网络存在的安全风险,可按如图2所示,为网上招生系统建设专网。这样做的目的是,减少该专网接触校园网内部恶意流量的机会,便于加强对外部网络的访问控制力度,只允许由该专网主动发起的业务流量通过,过滤业务无关的网络流量,相关安全保障措施按如下所述加以实施。
3.1 物理安全
按照高考录取的业务要求,招生场地分为省内、省外录取现场。需要配备保安、系统和网络管理人员在现场值守,全程参与现场安全保障工作。加强招生场地保安,维护招生秩序,防止无关人员进入,减少主机数据被更改或系统被暴力性破坏等的可能性。
3.2 VLAN划分与用途
为了满足招生录取环境的安全性,同时又能保持与外界联系,可以将招生专网分为内、外网两部分,内网又分为省内和省外。内网只与网上招生系统服务器通信,外网则用于访问互联网,内、外网间的主机被逻辑隔离,互不连通。先安装内网主机,根据需要,后加装外网主机。该专网共划分3个业务和1个网管VLAN。主机的IPv4地址采用静态配置模式,IPv6地址采用无状态自动配置模式。在两个录取场地各安装一台打印服务器,连接于招生内网,可为内、外网服务。通过网管VLAN监视现场主机和传输网络的运行状况。
3.3 网络互联与路由规划
高考招生专网汇聚层采用三层交换机,以路由类型接口与核心层连接,隔离专网与校园网之间的广播流量;采用进行过VLAN修剪的trunk接口与接入层相连,接入层分为两级,主交换机通过光纤直连汇聚层,下接若干台桌面交换机。
该专网采用静态路由方案,在汇聚层只需配置默认路由指向核心层,在作为核心层的边界路由器上,配置源地址为信任网络(各省级招办服务器、招生相关网络,以及提供DNS、系统补丁、病毒库升级等服务的校园网数据中心)到目的网络为招生专网的静态路由,使来自非信任网络的流量不会转发到招生专网,又可实现招生网络访问外部信任网络。目前校园网主要采用OSPF路由方案,对于在校园网骨干中与招生专网相关的静态路由,需禁止重分布到OSPF进程中,并设置路由黑洞来终结非信任网络访问招生专网的流量。
招生外网访问互联网时,需通过校园网的SSL-VPN设备来实现,使该招生专网不会暴露在非信任网络中。
3.4 三层访问控制
招生网络对外不必提供服务,只会主动发起访问请求。在汇聚层与核心层的互联接口上配置访问控制规则时,只需考虑在接口的入方向应用基于源地址和目的地址的扩展ACL,让由招生网络主动发起请求的访问可信网络的TCP回应包进入,还要注意放行特定UDP包和其他协议包(由省级招办的信息技术部门提供),禁止外部网络对招生专网主动访问,尽量减少网络被入侵的机会。在边界路由器与汇聚交换机互联接口的入方向,只接受来自招生专网的合法流量,过滤非法流量对校园网的影响。
在指定主机和网络范围条件下,采用SSH方式来远程管理设备,确保远程安全管理。
3.5 二层接入控制
为了控制招生现场主机发出的数据包是与业务相关的而且是合法的,以此提高接入层的安全性,除了做好物理安全防范,还要进行接入层端口级别上的控制,例如,禁用闲置端口,设置防环功能,广播风暴抑制功能,还要确认主机入网许可等。所谓主机入网许可是通过对接入交换机进行特殊配置实现的,在交换机上对IPv4接入主机的MAC地址、IPv4地址、所属VLAN和连接端口实行绑定,生成静态的DHCP侦听表,然后基于该表启用防ARP欺骗功能和防源IP地址欺骗功能;类似地,对IPv6接入采用SAVI技术来实现。
在招生录取现场中的招生内网主机分为组长机和组员机,组长机负责对所有数据加工和汇总处理,以及向网上招生系统提交录取结果,而组员机主要负责预录取工作。对于省内录取而言,组长机可以控制组员机的显示内容,并向组员机分发登录客户端的用户名和密码,各院系的录取人员只能看到填报本院系志愿的学生数据。组员机有访问组长机的需求,但组员机之间没有必要相互访问。为了防止这些用来连接主机的端口被不合理使用,可采用私有VLAN技术和ACL技术。在接入交换机上启用私有VLAN功能,每个端口属于一个VLAN,隔离端口之间的所有流量,使处于相同子网的主机不能互访,只能经网关与外界通信;再利用ACL使处于不同VLAN的主机也不能互访。注意,组长机要能与组员机通信,且都要使用打印机,连接组长机和打印机的端口不能应用私有VLAN。
3.6 主机安全配置
由于招生录取工作人员是从全校各个院系、部门临时抽调而来的,人多手杂,直接接触、操作主机,有较大的安全隐患,因此对主机进行统一安全配置,可以避免人为引入的病毒、木马,防止网络蠕虫病毒对整个招生专网的攻击影响,也可防止录取数据外泄。
主机安全配置的主要原则是最小化配置原则,根据招生应用软件的需求,配备统一的操作系统,并更新到最新版本,为登录用户名设置强密码。还要清理操作系统自带的服务,禁用不需要的服务,禁用自动播放功能,防止移动存储介质插入自动感染病毒、木马。启用主机防火墙,拒绝网络上的其它主机对本机端口的访问。安装统一的网络版防病毒软件,并通过校内防病毒服务器更新最新的软件版本及病毒库。由于统一的网络版防病毒软件有安全监控中心,可以实时监控主机的病毒感染情况,有利于病毒主机的快速定位及相关处理。
一般招生工作人员使用的主机都连接在招生内网,不能访问与招生无关的站点,从而减少了工作人员随意上网造成的病毒感染及信息泄露的风险。
4 结束语
为了配合国家实施高校招生阳光工程,确保高校招生公平公正,学校高考招生专网必须严格配置、严格管理,从物理安全、网络安全和主机安全等多个维度,结合多种网络技术,提高招生专网的网络安全性能;采用独立网络、VLAN技术、接入控制、路由控制等技术措施加以保障,并通过管理制度、宣传教育、培训及安全监测手段对招生工作人员使用专网及主机进行配套的管理,最大限度减少安全漏洞和隐患,防止网络与信息安全事件的发生,切实维护良好招生秩序,保证学校的网上录取数据的机密性、完整性和可用性。
参考文献
[1] 姜钢. 强化信息安全管理 确保普通高校招生工作顺利进行[J]. 中国高教研究, 2005,(10):5-6.
[2] 陈可. 高校网上录取群集系统网络数据安全防护[J]. 黄冈职业技术学院学报, 2007,(04):32-34.
[3] 杜马. 网上录取与网络安全[J]. 中国考试, 2005,(12):40-42.
[4] [美] Yusuf Bhaiji著;罗进文,王喆,张媛等译. 网络安全技术与解决方案[M]. 北京: 人民邮电出版社, 2009年3月.
[5] 福建星网锐捷网络有限公司. RG-S2600E系列交换机RGOSV10.4(3)版本配置手册[EB/OL]. [2011-8-10]. http://.cn.
[6] 潘莹,梁京章,王世辉. 基于SAVI的IPv6校园网源地址验证方案及其实现[J]. 广西大学学报(自然科学版), 2011,(S1):185-189.