前言:中文期刊网精心挑选了移动端网络安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
移动端网络安全范文1
4G无线通信系统的网络是依靠IP网络体系形成的,它可以将不同的网络进行有效的衔接,进而使整个网络的覆盖范围更广,使用效果更佳。首先,在4G网络通信应用的过程中,如果系统网络安全系数低,那么人们在使用的过程中很容易出现泄露隐私的问题,在严重时还会给人们的财产造成很大的威胁,比如个人照片泄露以及银行卡被盗刷等都一直存在。其次,网络的安全问题也会影响到人们对4G无线通信的正常使用,如果无线通信网络安全性差,人们在使用的过程中就会受到很多的限制,这样不仅无法保证人们的使用安全,同时也会限制到4G无线通信技术的发展。因此我们也可以看出,目前4G无线通信系统的网络安全不仅关系着人们的日常生活使用,同时对于4G无线通信技术的发展也会产生很大的影响,因此我们就必须要加强对4G无线通信系统网络安全的重视,并采取有效的措施来提高4G无线通信系统的安全性。
24G无线通信系统中存在的安全问题分析
2.14G移动终端设备的安全问题。目前人们使用4G网络主要是通过移动终端来进行操作的,如果移动终端设备上的安全性差,那么人们在使用时就会遇到很多的安全问题,其中可以通过以下几方面内容来加以表现:首先,移动终端设备的操作系统存在着很大的差异,而系统本身也存在着一些安全性的问题,因此在使用的过程中也会造成4G无线通信系统的不安全,进而给人们的使用安全造成一定的影响。其次,人们在使用的过程中,针对一些无线网络的相关软件也会存在着很多的漏洞问题,这些问题的存在也是造成4G无线通信系统网络安全的主要原因,其中电子邮箱以及相关软件的使用上都会存在着一些漏洞问题,这些问题的存在也相应的增加了无线终端设备的安全隐患。最后,在通信技术快速发展的过程中,网络的各种木马、病毒等问题也一直存在,而为了提高网络的使用安全,我们也需要采用相应的防毒软件来提高系统的安全性。但是防毒软件的应用也间接的增加了移动终端设备的存储负担,这样设备在长期使用后不仅无法支持高质量的防毒软件,也会给病毒的入侵带来到一定的威胁。2.2忽视无线接入网络安全防护工作。无线通信系统的发展普及让人们的工作生活有了更多的便利,人们在一些琐碎的时间中就可以更好的利用网络来获取所需要的信息,而无线网络技术的发展也减少了人们的日常网络使用成本,因此4G无线网络的出现也极大程度的满足了社会发展的基本需求。但是在无线网络应用的过程中,人们对于网络安全的掌握和了解却依然相对较少,首先,无线网络可以实现网络漫游,在漫游的过程中网络系统的在不断更换的,这样无线网络系统的移动管理也会出现一定的安全隐患。其次,在人们使用无线网时不同的网络之间也会存在着很大的差异,这样在融合的过程中也会存在安全威胁,而这些问题的存在也是4G无线通信系统网络安全的重要影响因素。2.3无线业务存在威胁的问题。我国的4G业务经过多年的发展,在行业内也取得了很大的进步,其中推出的电子商务无线应用软件也越来越多,这些软件的应用给人们的日常生活带来了很大的便利,但对于网络安全的要求也越来越高。然而我国的很多无线应用软件都没有良好的安全机制,在应用过程中也存在着很大的安全隐患。同时,无线业务中也没有相对完善的安全交易保证,在一些利益上也存在着很大的冲突。在这里我们也可以看出,4G无线通信系统中网络安全问题所涉及的影响因素也相对较多,在不同的业务之间也存在着一定程度的竞争性,这样也很大程度的降低了无线通信系统的网络安全性。
3加强4G无线通信系统的网络安全策略
3.1加强移动端设备的安全防护。移动端设备是使用4G无线通信系统的终端,要想保证人们使用的安全性,首先就要加强移动端设备的安全防护,详细分析,就要做好以下几方面工作:一是不断提高技术水平,通过加强检验、提高启动存储方面的完善性,做好物理硬件网络安全保护工作,防止移动端物理端口受到攻击;二是在制作移动端的过程中,应该尽量选择可靠性高的操作系统,起到加固操作系统的作用,保证人们使用4G无线通信系统的网络安全。3.2做好无线接入网络安全防护工作。(1)做好无线接入网与无线终端的连接工作,借助数字证书,建立良好的双向身份认证机制,保证无线网络源头的安全性;(2)提高无线网络安全技术水平,采取有效的访问控制措施,使接入设备受到约束和控制;(3)完善安全接入功能,借助相关设备和无线接入网络自身的安全策略,实现网络整体的安全接入;(4)采用适合的无线传输方式,保证数据和相关资源的安全传输。
4结语
总而言之,4G无线通信行业的发展离不开网络安全的保证,要想解决好网络安全问题,在当前背景下,相关工作人员就要不断加强移动端设备的安全防护、做好无线接入网络安全防护工作、重视4G无线通信系统效率,只有通过各方人员的共同努力,不断提升技术和设备质量,才能保证人们使用的安全性,希望通过本文的分析能够为4G无线通信业务的发展做出贡献。
作者:李长鹤 赵春燕 单位:中国移动通信集团设计院有限公司黑龙江分公司
参考文献:
移动端网络安全范文2
关键词:移动云计算;网络安全;解决思路
移动云计算领域是云计算和互联网相互融合而产生的,通过移动网络获取资源的一种交付模式。网络的发展也会带来些许问题。接下来笔者通过对移动云计算的内容进行详细介绍,分析当前面临的一系列网络安全问题,并提出探讨出适合各个安全问题的解决方法。
一、移动云计算
想要更好的找到解决网络安全的方法,就要先了解移动云计算的详细内容,接下来通过对内容的梳理使得读者可以更好地了解。服务模式。服务模式可能涉及到使用信息技术和软件,互联网或其他服务。云计算的主要思想是,为了将与网络有关的大量计算机资源综合起来,创建一个计算机资源库,为用户提供所需服务。提供资源的网络被称为“云”。云资源丰富,用户方便获取,可根据需要使用。
二、移动云计算领域的网络安全
现如今的科技发达,网络普及快速,网络安全也因此更加严峻。在移动云计算环境之下,很多软件,硬件应用在内,而且移动云是完全公开的,所以解决起来也需要全方面的考虑。
(一)网络安全网络安全包括保护硬件、软件和数据不受恶意或意外干扰、破坏和泄漏的影响。整个环境保持稳定,网络通畅。移动云计算环境下的网络安全必须是创新的,并与传统的网络相结合。传统的网络系统在流动云层系统方面发生了重大变化:传统的企业网络系统相对关闭,其主要应用程序在企业内部。只有web服务器,邮件服务器和其他几个面向外部世界的节点是通过移动云计算的。因此,只有在外部接口安装防火墙,才能满足基本的安全需要。但是,移动云具有面向人群、部署更加复杂灵活等特点。计算云层的方法是分布式计算、网格计算、功能计算、虚拟化、负载均衡、移动互联网等多种技术综合作用的结果,因此,与计算云相关的网络安全问题日益严重。
(二)移动终端设备安全问题首先,它的保护重点是控制权和移动设备的系统权利。为了使终端能够成功地访问移动云环境,必须制定一项安全战略,其中包括强制性身份证和合法获取身份资料的机会,非法保护和定期更新密码有效防止未经授权的帐户使用同时,移动云服务供应商也必须提供安全的移动应用程序。限制某些不安全的用户操作,实时防止某些危险行为,及时控制终端安全。移动式云层安全软件还应有助于发现所有移动客户的行为异常,并与此相结合。第三,移动云安全软件还应多方技术手段,支持对其所有移动客户端中的应用软件行为进行异常检测,获得最新的特洛伊木马数据,向所有移动客户分发安全解决方案;确保有效的终端安全。
(三)移动云计算管道安全移动云环境中的管道是计算云计算整个结构的中间环节,或者可以说是云移动的安全地点。移动终端的种类和访问范围广泛。因此,移动设备的使用必须统一。应用程序服务接口。我们也需要通过一个外勤安全战略。在建立一个单一的服务接口,需要建立一个狭窄的通信渠道,这样,作为防火墙,安全网关等,迫使攻击者使用这个狭窄的通道进行监测和监视。同时,可以在一个狭窄的通道中部署一个数据内容过滤装置,以找到和筛选敏感信息,这允许您过滤各种网络协议的内容。此外,在数据传输过程中,必须保证数据包通过管道加密。同时,当数据包通过管道时,管道可以用数据包封给每个用户一次,每个包都会生成随机密钥,破解密钥的方式只能为云服务商知道,采用若干密码机制,防止主动和被动攻击,如拦截、中断、伪造、伪造等。确保传输管道的安全和通畅。
移动端网络安全范文3
站被黑客篡改,发现近48万个木马控制端IP中,22.1万个位于境外,前两位分别是美国(占14.7%)、印度(占8.0%);13782个僵尸网络控制端IP中,6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。
中国已打响跨境网络安全战役。近日,国家互联网应急中心组织电信运营企业及域名服务机构,开展木马和僵尸网络专项处置行动,清理了多个恶意域名。此外,国际网络安全合作也在进一步加强,以应对快速增长的跨境网络攻击事件。
严重威胁网络安全
境外攻击愈演愈烈
“仅仅是因为好奇打开了一封英文邮件,没想到电脑瞬间蓝屏,强制关机后重启,却发现硬盘里的资料丢失了一大半,许多重要的客户资料都没了。”一封邮件让境外蠕虫病毒顺利“入侵”电脑,这让在北京从事银行业的徐女士至今后悔不已,“都怪自己当时太鲁莽,辛苦整理大半年的资料全泡汤了。”不单病毒入侵,恶性扫描、网络钓鱼等跨境网络攻击事件,每天都在互联网世界上演,严重威胁着网络安全。
据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。
网络钓鱼又称网页仿冒,其主要仿冒对象是大型电子商务、金融机构、第三方在线支付网站,黑客通过仿冒这些网站或伪造购物网站诱使用户登录和交易,窃取用户账号密码,造成用户经济损失。
今年7月,国家互联网应急中心自主监测发现的仿冒境内银行的网站域名多达278个,且多为境外注册。数据还显示,由于非法收益较高,自2011年1月起,银行类“钓鱼网站”进入急速攀升阶段,截至2011年7月底,已经连续7个月呈现同比暴增趋势。
共同打击网络犯罪
国际合作对抗“入侵”
跨境网络安全事件的急剧增长,使国际合作打击网络犯罪成为大势所趋。
“感谢中国国家互联网应急中心在打击僵尸网络中采取的迅速而果断的行动,期待将来开展更紧密的合作。”就在去年,我国网络安全应急组织与美国某公司以及欧美一些网络安全机构联手,成功打击了一个名叫Waledac的全球大型僵尸网络。行动成功后,该公司向国家互联网应急中心发来了感谢信。
僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被用来发起大规模的网络攻击。据统计,Waledac僵尸网络控制着全球数十万台计算机,每天都能发出超过15亿封垃圾邮件。国家互联网应急中心在进行技术验证后,马上协调国内相关域名注册机构,在数小时内就关闭了微软提供的僵尸网络所使用的全部16个恶意域名。
作为国际权威组织“事件响应与安全组织论坛”的正式成员,国家互联网应急中心一直积极进行国际交流与合作,并参与了很多国际网络安全合作活动。
此外,我国互联网协会网络安全工作委员会还与美国知名智库――东西方研究所开展了中美网络安全对话机制,与国外应急组织、安全厂商和其他相关组织也建立了互信、畅通的合作渠道。接到国外网络安全组织投诉后,只要验证核实,国家互联网应急中心就会协调域名注册机构暂停被举报仿冒域名的解析服务。
应对日益严峻挑战
科技构筑安全屏障
事实上,由于各国网络犯罪相关法律存在较大差异,在短期内很难建立国际通行或相对统一的实体法和程序法,这导致跨境网络攻击在全球范围内都成为一个日益突出的问题。
此外,有业内专家指出,我国网络安全还存在着银行网络脆弱、安全产品匮乏以及电信部门网络安全意识不足等问题,都给境外网络黑客以更多的可乘之机。
急剧增长的跨境网络攻击事件也让我国的网络安全工作面临着更加严峻的挑战。实现网络信息安全,相关国家应该建立起合作协查机制,预防大规模网络攻击事件的发生,并协力追踪网络黑客的来源。此外,我国也应加强网络安全新技术的应用和人员间的交流互动,以提高打击网络犯罪的成效。
我国在网络安全漏洞的发现和研究方面,与发达国家也存在较大差距,至今还没有系统化的安全漏洞发现与分析能力。在网络监测技术方面,我国还有很大的完善空间,需要各方的共同努力。
链 接
网络安全威胁新特点
移动终端安全问题越来越不容忽视。
智能手机被恶意软件侵袭的事件不绝于耳。
越来越多专门针对移动终端的恶意软件开始出现,恶意订购、窃取隐私等威胁移动终端安全的恶意产品层出不穷。
传统恶意软件仍将是感染互联网上计算机的主要途径。
目前,全球每天新出现约55000个恶意软件,这种指数增长模式贯穿2010年,而且会一直继续下去。
移动端网络安全范文4
关键词:无线网络;数据安全;思考
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3结语
移动端网络安全范文5
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating System)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获Host Sensor Program用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP, UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
参考文献:
[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密,2005年12期
[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程,2003年2期
移动端网络安全范文6
在当今社会,上网即对互联网的使用,已经成为人们工作、生活不可分隔的重要组成部分。作为重要的信息“源地”的图书馆,在现代信息技术快速发展和应用的时代,同样也面临者提供数字化服务的新要求,并推动图书馆朝着信息化、处理自动化、媒体多样化、馆藏数字化、通信网络化和服务手段渠道多样化的方向转型和发展。以有线网络和无线网络为基础,以智能手机为代表的移动终端,在互联网应用技术的支持下,大有“一部手机走天下”的气势。许多图书馆都在建设和不断完善数字化服务体系,尤其是国家“211”,“985”高校图书馆在这方面表现的更为突出,其中一些高校已初步实现了如短信、微信、WAP移动数字化图书馆在线服务。但随着图书馆数字化服务步伐的加快以及基于数字化服务路径的增加,数字化图书馆体系所面临的网络信息安全问题日益突出。作为互联网世界应用的主要组成部分,同样也面临着各种不安全因素的威胁。就目前而言,更多的图书馆机构首先关注的图书馆数字化服务功能的实现,由于资金、安全意识等原因,对于实现数字化多路径服务时产生的安全问题重视不够,安全体系建设与数字化服务功能建设不够同步。因此,本文着重对数字化多路径服务过程中图书馆数字化网络信息安全问题的综合防护措施进行研究分析。
1当前数字化图书馆网络信息安全面临的问题
1.1我国网络信息安全的总体态势
根据中国互联网络信息中心(CNNIC)的第35次“中国互联网络发展状况统计报告”,截至2014年12月,我国网民规模达6.49亿,全年共计新增网民3117万人。互联网普及率为47.9%,较2013年底提升了2.1个百分点。到2014年12月,我国手机网民规模达5.57亿,较2013年增加5672万人。网民中使用手机上网的人群提升至85.8%。2014年3月21日,中国互联网协会、国家互联网应急中心在京“中国互联网站发展状况及其安全报告(2014年)”中指出,中国网站安全问题形势严峻,受境外攻击、控制明显增多,是网络安全问题的受害者。在篡改问题上,2013年被篡改的中国网站数量为24034个,增长了46.7%;其中被篡改的政府网站数量为2430个,大幅增长了34.9%。在植入后门问题上,2013年76160个中国网站被植入网站后门,其中政府网站有2425个。“中国互联网络发展状况统计报告”指出:2014年,总体网民中有46.3%的网民遭遇过网络安全问题。本次调查显示,49.0%的网民表示互联网不太安全或非常不安全。我国互联网使用的安全状况不容乐观。今天,图书馆尤其是高校图书馆在不断引进数字资源,丰富图书馆的馆藏数字资源的同时,数字化、网络化的图书馆在网络信息安全方面的问题日益突出,受到的各种安全威胁越来越多。
1.2数字化图书馆网络信息安全的涵义
网络信息安全是指防止信息网络本身的安全,包括采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制,即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。具体到数字图书馆网络信息安全是指数字化图书馆网络系统的硬件、软件及其系统中的数据受到保护,不受偶然和恶意因素而遭到破坏、更改、泄露,系统连续正常运行,网络服务不中断。
1.3图书馆网络信息安全面临的威胁
数字化图书馆系统受到安全威胁,总的来看,主要来自外部和内部两个方面。1.3.1外部安全威胁(1)病毒破坏。病毒威胁同样也是数字化图书馆所面临的安全问题,数字图书馆大多由内、外网构成,一旦内网中的服务器感染病毒就有可能危及整个图书馆信息的安全。(2)后门木马。它的危害大多是隐形的,由于后门木马是以窃取信息同时还能对服务器时行操控,可在管理者不知情的情况下窃取信息,对数字化图书馆有较大的威胁。(3)黑客攻击和信息间谍。这是人为的一种形式,对系统进行入侵、网络窃听、密文破译、流量分析、密钥破解等活动,因为数字化图书馆有大量的资源,其又以破坏或盗窃资源为目的,因此具有很大的威胁性。(4)信息恐怖活动和信息战争。主要是国与国层面的信息战争,这种威胁虽然不是经常出现,但它的危害不容小视。(5)自然灾害。因温度、湿度、灰尘、雷击、静电、地震等因素引起的设备损坏,这种危害发生的几率较小,但一旦发生,后果往往是灾难性的。1.3.2图书馆数字化的内部安全威胁(1)安全意识不强。主要体现在系统管理员和大多数的内部使用者身上,导致信息保护弱化。(2)恶意破坏。主要是内部安全管理人员对内部服务器和网络设备进行的破坏,甚至人为设置故障活动等。(3)内外勾结。主要是内部人员为了金钱等个人利益,给外部人员出卖信息情报资源、透露口令、入侵系统、破坏数据、盗窃资源、破坏系统等。(4)。非职责者,非职权者使用系统等。(5)管理疏漏和操作不当。体现在管理上制度不完善、人员组织不合理、缺乏监控措施及权责不清等。
2图书馆数字化网络安全的保障策略
图书馆数字化网络安全需要进行全面详细的考虑。对于常规如有线网络,主要从物理安全、网络安全、软件平台安全和应用安全几个方面相融合考虑安全策略。首先,建立一个全面立体的安全防护墙,以保证图书馆数字化系统其它层的安全。其次,防范病毒也是图书馆数字化系统需要考虑的问题,通过对图书馆数字化网络中服务器和客户端的防护以及在网关处对病毒进行拦截,可以有效预防病毒侵入。针对图书馆数字化网络安全要解决来自外部和内部的各种非法入侵和攻击、非授权的访问、信息泄露和被窃取等行为,在建立有线图书馆数字化网络安全体系时,要根据图书馆数字化所提供服务路径特征,结合各种网络信息安全防护技术,进行综合保护。如图1所示,给出根据开放式系统互联OSI(OpenSystemInterconnection)模型的常规网络安全结构防护方式。(1)应用层。主要研究事故原因,评估事故的破坏程度。涉及到网络管理,网络监控和系统管理。(2)网络层。一旦发现在任何时间发生意外事故及危险,立即终止该进程,最大限度地减少运行时间的事故,将事故损害降到最低。技术手段的使用包括应用访问控制,安全过滤,入侵检测,病毒防护。(3)物理层。使网络系统从通信开始最大限度地降低风险。包括网络分析和规划设计,同时使用网络安全漏洞扫描技术,及时发现事故征兆,并加以控制。可进行预防性安全检查,找到网络安全系统中存在的最大的风险,进行有效纠正。对于一个可提供完整数字化服务的数字图书馆网络系统来说,一般由单位内网、外部网络和门户网站构成。可在内部网络和外网间设置物理隔离;由于还需要进行数据交换,在外网与门户网站间可采用网闸定时交换所需数据信息,实现逻辑隔离,强化保护。结构如图2所示。
3基于图书馆数字化服务的移动网络安全保护
3.1图书馆数字化移动服务概述
图书馆数字化移动服务实际上是依托国际互联网、无线移动通讯技术以及多媒体技术,通过使用智能手机、掌上电脑、笔记本电脑等便携式移动设备,自由访问数字图书馆系统,方便灵活地进行图书馆文献信息咨询、浏览、检索及获取的一种新型文献信息服务方式。数字化图书馆为读者提供移动、交互、便捷、自由服务。但同时数字化移动图书馆所面临的安全问题也越来越严峻。只有建立一个综合、安全、可靠的移动图书馆信息平台,才能为用户提供长久安全的服务。
3.2完善数字化图书馆移动安全系统总体结构设计
上面主要分析了基于有线网络路径提供数字化服务网络信息安全的保护方式。在以数字化图书馆以移动路径方式提供数字化服务时,由于其服务更加灵活和开发,其安全保障体系更显得十分重要。其移动安全系统应进一步完善,应当由安全信息服务平台和移动终端设备组成,总体架构如图3所示。数字化图书馆安全信息服务平台应具有身份认证、密钥管理、用户权限管理、数据加解密、信息查询、数据存储管理、网络状态监视和日志管理等功能融为一体;安全信息服务平台能对移动设备用户进行身份认证、加解密与移动设备用之同传输的信息,要根据移动设备用户提供的关键字,从后台数据库中查询相应的数据,并返回给用户,对移动设备用户上传的文件进行统一存储管理;信息服务平台的日志管理模块实时记录不同用户所执行的操作,包括所进行的查询、上传的文件和系统异常,日志中所记录的字段可由系统管理员自由设定。
3.3完善数字化图书馆移动安全技术保障
就目前来看,图书馆数字化环境常用的移动网络安全架构还不够完善,对其进行改进完善是数字化图书馆移动服务快速发展的必然要求,可考虑采用如下两个技术措施进一步完善移动网络体系安全:(1)在移动终端增加安全措施。这样不至于因使用者出现安全问题而祸及图书馆数字化环境。因此,可在移动终端增加具有移动可信计算功能的独立模块。该模块使其具有安全计算和识别能力,能计算出移动终端中所有软件的完整性,检查所安装和所执行软件的合法性,如果没有授权,就不能安装和执行,但它可与安全服务提供者实现安全通信,并把计算发现的情况随时报告给安全服务提供者。(2)在移动网络中再添加安全服务提供者角色。在互联网中,软件提供商向移动用户提供的软件让其必须持有安全服务提供者签发的数字证书,只有这样该软件才能被安装和运行使用。因此增加安全服务提供者角色后,可通过其为移动终端提供软件合法性证明,从而避免对图书馆数字化安全体系所造成的威胁和破坏。如图4所示,给出了加上可信服务的移动网络安全结构。在如图4的安全结构中,安全服务提供者的服务器是直接接入网络服务器的,因此对已经有的移动网络安全系统结构不会造成大的改动。如果安全服务提供者检查发现软件完整性遭到破坏,则说明终端可能已经染毒了,为了避免终端将病毒扩散到数字化图书馆环境中,就主动不允许其进一步接入图书馆网络系统,以保障数字化图书馆移动服务功能的安全。
4图字化图书馆基于IPSecVPN访问方式实现移动服务的安全保障
使用移动通讯终端设备尤其是智能手机可随时随地接人因特网,但接入Internet不等于不受限制地访问获取图书馆所有资源。比如高校数字化图书馆服务对象主要是本校教职工,是有身份限制的,为了识别访问者身份和信息的安全传输,大多采用了VPN技术。4.1IPSecVPN分析虚拟专用网VPN(VirtualPrivateNetwork)实现不同网络组件和资源之问的相互连接,同时对用户提供透明的服务,利用Internet或其他公共互联网络设施为用户创建一个传输的逻辑隧道,在一个公共网上传输信息时,其它用户不能进入此隧道,这样就为使用者提供一个专用网络信息通道,起到了对资源提供者和访问者的安全保障。IPSecVPN即指采用IPSec(InternetProtocolSecurity)协议来实现远程接入的一种VPN技术。在VPN技术中可提供公用和专用网络的端对端加密和验证服务。IPsec提供IP层上的安全服务,这样系统就可以选择所要求的安全协议,以决定服务所使用的算法、配置所需要的密钥,实现数据传输的机密性和完整性。4.2完善IPSecVPN接入安全布置为通过IPSecVPN实现移动用户和数字图书馆的端到端的加密传输。在移动终端可安装安全卡和安全软件;在移动公网部署二层隧道协议访问集中器LAC(1ayer2tunnelprotocolaccessconcentrator)、二层隧道协议访问服务器LNS(1ayer2tunnelprotocolnetworkserver)和验证授权以及帐户AAA(authentication、authorization、accounting)提供虚拟专用拨号网服务;对移动安全接入部署防火墙、VPN网关、身份认证鉴别管理、安全策略和评估、监控审计和应用隔离系统进行完善,具体如图5所示。(1)为了使移动终端系统对移动用户的身份识别更加准确,可采用开机密码或硬件双要素的认证方式;(2)针对无线虚拟专用拨号网,在拨号过程中加强网络运营商对拨号终端身份认证采用“用户名@域名/口令”的方式;(3)在移动终端接入IPSecVPN网关时,要对移动终端接入采用数字签名认证。采用通过三次握手周期性对端的身份进行校验,同时在初始链路建立完成时,以及在链路建立之后重复进行。改善审计记录的关联性,以增强安全强度。
5系统认证方式
在数字化图书馆基于局域网、有线网络以及无线网络针对特定对象提供多路径数字化服务这一特点,如何识别服务对象、发现非服务对象甚至恶意侵入者,对保护图书馆数字化环境体系安全具有十分重要的作用。数字化图书馆虽然大多都有认证功能,但总的来说认证方式比较单一,不能完全适应多路径数字化服务的发展要求。建立一个统一的,各种认证方式相融合、互为补充的身份认证系统迫在眉睫,可考虑将以下认证方式进行融合使用。5.1系统接入虚拟专用网的认证现在数字化图书馆大多采用以VPN的方式进行访问接入,IPSec基于证书认证的方式非常适合大型VPN,这也符合数字化图书馆用户不断增加的趋势。它所采用的PKI(PublicKeyInfrastructure)安全体系架构,保证了VPN的安全性,并可在必要时,重新颁发证书来增加用户数量。5.2SD扩展卡与终端之间的认证增加安全数码SD(SecureDigita)扩展卡与终端之间的认证,分别针对扩展卡和读写设备的合法性认证。一是可验证终端卡的合法性,杜绝伪造卡使用的可能;二是可用卡来验证终端的合法性,以判定此终端是否具有读写卡的权限。5.3对持卡人的身份认证SD扩展卡需要持有人使用PIN(PersonalIdentificationNumber)码,即SIM卡的个人识别密码,证明它的身份。当用户将SD扩展卡插入移动终端,在使用之前,系统要求用户要输入只有其本人知道的PIN码,若输入正确,则表明用户为该SD扩展卡的合法拥有者,系统也才能进行SD读写操作,反之就拒绝。
6用好其它常规安全技术和安全管理措施
(1)其它常规安全技术保护措施。比如设置防火墙,安装使用网络管理软件,本地与在线杀毒等,这里不作过多叙述。(2)加强管理体系的建设①坚持功能规划、建设与网络信息安全建设同步的思想,确保安全的基础条件达标。②加快建立图书馆数字化安全机制。完善组织机构,加快建立完善图书馆数字化各项安全制度。加大使用安全宣传,共建数字化图书馆网络安全环境。③对图书馆工作人员进行网络信息安全知识、技能的培训,提高基于数字化服务的安全能力。
7结语
