導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)安全整體解決方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：電子政務(wù)；信息安全； OA ERP

1.背景

隨著電子政府的飛速發(fā)展，在帶來辦公便利的同事，也使政務(wù)信息面臨前所未有的網(wǎng)絡(luò)信息安全的威脅。電子政務(wù)系統(tǒng)一旦發(fā)生信息被竊取，網(wǎng)絡(luò)癱瘓，將癱瘓政府職能的履行，對政府職能部門以及社會(huì)公眾產(chǎn)生嚴(yán)重的危害。

2.系統(tǒng)安全現(xiàn)狀

根據(jù)省電子政務(wù)內(nèi)外網(wǎng)的建設(shè)目標(biāo)和建設(shè)原則，充分利用現(xiàn)有網(wǎng)絡(luò)資源，充分整合市政府原有的辦公資源網(wǎng)，公務(wù)外網(wǎng)， 將原辦公系統(tǒng)整合到統(tǒng)一的辦公業(yè)務(wù)資源平臺上。將辦公業(yè)務(wù)資源網(wǎng)與公務(wù)外網(wǎng)、互聯(lián)網(wǎng)實(shí)施物理隔離，公務(wù)外網(wǎng)與國際互聯(lián)網(wǎng)實(shí)施邏輯隔離。

電子政務(wù)的網(wǎng)絡(luò)平臺，承載多個(gè)業(yè)務(wù)單位系統(tǒng)數(shù)據(jù)傳輸，核心交換區(qū)應(yīng)具有良好的安全可控性，實(shí)現(xiàn)各業(yè)務(wù)網(wǎng)絡(luò)的安全控制。由于安全防護(hù)為整個(gè)網(wǎng)絡(luò)提供NET、防火墻、VPN、IDS、上網(wǎng)行為管理、防病毒、防垃圾郵件等功能，因此，政府建立辦公業(yè)務(wù)資源網(wǎng)的工程雖是非涉密網(wǎng)，但安全保密仍然是工程建設(shè)的重點(diǎn)內(nèi)容。存在的問題如下圖：

圖2.1

(1)缺乏統(tǒng)一的訪問控制平臺，各系統(tǒng)分別管理所屬的系統(tǒng)資源，隨著用戶數(shù)增加，權(quán)限管理愈發(fā)復(fù)雜，系統(tǒng)安全難以得到充分保障；

(2)缺乏集中統(tǒng)一的訪問審計(jì)，無法進(jìn)行綜合分析，因此不能及時(shí)發(fā)現(xiàn)入侵行為；

(3)缺乏統(tǒng)一的權(quán)限管理，各應(yīng)用系統(tǒng)有一套獨(dú)立的授權(quán)管理，隨著用戶數(shù)據(jù)量的增多，角色定義的日益復(fù)雜，用戶授權(quán)的任務(wù)越來越重;

(4)缺乏統(tǒng)一內(nèi)部安全規(guī)范。為了保證生產(chǎn)、辦公系統(tǒng)的穩(wěn)定運(yùn)行，總部及各部門制定了大量的安全管理規(guī)定，這些管理規(guī)定的執(zhí)行和落實(shí)與標(biāo)準(zhǔn)的制定初衷存在一定距離。

3.網(wǎng)絡(luò)與信息安全平臺設(shè)計(jì)方案

3.1設(shè)計(jì)思路

信息保障強(qiáng)調(diào)信息系統(tǒng)整個(gè)生命周期的防御和恢復(fù)，同時(shí)安全問題的出現(xiàn)和解決方案也超越了純技術(shù)范疇。由此形成了包括預(yù)警、保護(hù)、檢測、反應(yīng)和恢復(fù)五個(gè)環(huán)節(jié)的信息保障概念，即信息保障的WPDRR模型。

3.2 安全體系設(shè)計(jì)方案

綜合安全體系結(jié)構(gòu)主要考慮安全對象和安全機(jī)制，安全對象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、信息安全、設(shè)備安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等。目前，政府網(wǎng)絡(luò)中心安全設(shè)計(jì)主要包括：信息安全基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)。

3.3.1信息安全基礎(chǔ)設(shè)施設(shè)計(jì)方案

信息安全基礎(chǔ)設(shè)施總體設(shè)計(jì)方案架構(gòu)如下圖：

圖3.1 信息安全基礎(chǔ)設(shè)施設(shè)計(jì)方案

基于PKI/PMI的信任體系和授權(quán)體系提供了基本PKI數(shù)字證書認(rèn)證機(jī)制的試題身份鑒別服務(wù)，建立全系統(tǒng)范圍一致的新人基準(zhǔn)，為整個(gè)政府信息化提供支撐。

網(wǎng)絡(luò)病毒防治服務(wù)體系采取單機(jī)防病毒和網(wǎng)絡(luò)防病毒兩類相結(jié)合的形式來實(shí)施。網(wǎng)絡(luò)防病毒用來檢測網(wǎng)絡(luò)各節(jié)點(diǎn)病毒入侵情況，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)不受病毒破壞。作為網(wǎng)絡(luò)防病毒的補(bǔ)充，在終端部署單機(jī)反病毒軟件，實(shí)現(xiàn)動(dòng)態(tài)防御與靜態(tài)殺毒相結(jié)合，有效防止病毒入侵。

邊界訪問采取防火墻和網(wǎng)閘來實(shí)施。網(wǎng)閘可以切斷網(wǎng)絡(luò)之間的通用協(xié)議連接；將數(shù)據(jù)包進(jìn)行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和代碼掃描等；確認(rèn)后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴(yán)格的身份認(rèn)證機(jī)制獲取所需數(shù)據(jù)?？梢愿鶕?jù)需求采取不同的方案。

3.3.2網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)方案

圖3.2 網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)方案

由于網(wǎng)絡(luò)是承載各種應(yīng)用系統(tǒng)的載體，因而網(wǎng)絡(luò)系統(tǒng)的安全是十分重要的，必須從訪問控制、入侵檢測、安全掃描、安全審計(jì)、VPN等方面來進(jìn)行網(wǎng)絡(luò)安全設(shè)計(jì)。

在應(yīng)用層，根據(jù)網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，采用身份認(rèn)證技術(shù)、防病毒技術(shù)、網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)以及對各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)來保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。

在應(yīng)用系統(tǒng)的開發(fā)過程中，要充分考慮到系統(tǒng)安全，采用先進(jìn)的身份認(rèn)證和加密技術(shù)，為整個(gè)系統(tǒng)提供一套完整的安全身份認(rèn)證機(jī)制，以確保每個(gè)用戶在合法的授權(quán)范圍內(nèi)對系統(tǒng)進(jìn)行相應(yīng)的操作。

3.3.3 災(zāi)難備份系統(tǒng)設(shè)計(jì)方案

災(zāi)難備份是為在生產(chǎn)中心現(xiàn)場整體發(fā)生癱瘓故障時(shí)，備份中心以適當(dāng)方式接管工作，從而保證業(yè)務(wù)連續(xù)性的一種解決方案。

備份中心具備與主中心相似的網(wǎng)絡(luò)環(huán)境，例如光纖，E3/T3，ATM，確保數(shù)據(jù)的實(shí)時(shí)備份；具備日常維護(hù)條件；與主中心相距足夠安全的距離。

當(dāng)災(zāi)難情況發(fā)生，可以立即在備份中心的備份服務(wù)器上重新啟動(dòng)主中心應(yīng)用系統(tǒng)，依靠實(shí)時(shí)備份數(shù)據(jù)恢復(fù)主中心業(yè)務(wù)。

4.網(wǎng)絡(luò)架構(gòu)

針對辦公業(yè)務(wù)資源網(wǎng)和公務(wù)外網(wǎng)既要相互隔離又有數(shù)據(jù)交互的特點(diǎn)，在兩網(wǎng)之間部署網(wǎng)閘；為了分別保證兩網(wǎng)的安全，在核心交換區(qū)分別進(jìn)行防火墻的部署，在核心交換區(qū)和應(yīng)用服務(wù)器區(qū)分別部署IDS；建立智能安全管理中心，在辦公業(yè)務(wù)資源、公務(wù)外網(wǎng)部署流量檢測系統(tǒng)，于公務(wù)外網(wǎng)設(shè)置流量清洗系統(tǒng)，抗DDOS攻擊。在系統(tǒng)安全方面部署防病毒系統(tǒng)，另外公務(wù)外網(wǎng)部署了Web應(yīng)用防火墻、網(wǎng)頁防篡改系統(tǒng)。通過安全集成在辦公業(yè)務(wù)資源、公務(wù)外網(wǎng)各部署一套網(wǎng)絡(luò)管理平臺系統(tǒng)和安全管理平臺系統(tǒng)。為防止外來終端接入對內(nèi)部網(wǎng)絡(luò)安全的影響，將引入終端準(zhǔn)入產(chǎn)品。

5.電子政務(wù)公務(wù)外網(wǎng)安全設(shè)計(jì)總結(jié)

綜上所述，根據(jù)市政府網(wǎng)絡(luò)中心功能需求，我們在網(wǎng)絡(luò)中心建立入侵監(jiān)測系統(tǒng)、防火墻系統(tǒng)、防病毒系統(tǒng)、內(nèi)網(wǎng)管理系統(tǒng)。在通過一系列技術(shù)手段對電子政務(wù)網(wǎng)絡(luò)防護(hù)的同事，加強(qiáng)了安全管理手段。實(shí)現(xiàn)技術(shù)和行政雙重方式來維護(hù)整個(gè)系統(tǒng)的安全，在通過對網(wǎng)絡(luò)使用人員、管理人員進(jìn)行信息安全知識培訓(xùn)，有效的發(fā)揮了網(wǎng)絡(luò)安全防護(hù)效果，達(dá)到了放牧目的。

參考文獻(xiàn)：

[1]龔儉.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[M].東南大學(xué)出版社.     

[2]閆宏生,等.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社.

篇2

其實(shí)全球都有同樣的趨勢，“2005年FBI計(jì)算機(jī)犯罪調(diào)查”指出，在美國接受調(diào)查的公司或個(gè)人，有87%至少發(fā)生一次安全事故，而半數(shù)以上發(fā)生過四次以上事故。為什么企業(yè)會(huì)產(chǎn)生這樣的印象？賽門鐵克中國區(qū)技術(shù)經(jīng)理郭訓(xùn)平日前在賽門鐵克全面安全威脅推介會(huì)上表示：“大多數(shù)企業(yè)的信息安全機(jī)制仍然不堪一擊?！?/p>

實(shí)際分析企業(yè)的安全投入就會(huì)發(fā)現(xiàn)，雖然投入費(fèi)用在不斷增加，但是，來自Ernst && Young 的“2005年全球信息安全調(diào)查”顯示，企業(yè)將其安全預(yù)算的50%用于日常操作和事故響應(yīng)，僅將17%的預(yù)算用于完成更關(guān)鍵的戰(zhàn)略項(xiàng)目。這就意味著，大多數(shù)企業(yè)只是采用被動(dòng)的反應(yīng)性防御措施。但實(shí)際上，企業(yè)需要采用更為完善的解決方案才能針對當(dāng)前的攻擊進(jìn)行自我防護(hù)。為此，賽門鐵克提出了全面威脅管理解決方案，并在中國開始大力推廣。那么合理的安全配置應(yīng)該是什么樣的呢？賽門鐵克認(rèn)為，企業(yè)需要的是“隨需應(yīng)變”的整體化安全方案。

威脅可以提前防御

多數(shù)企業(yè)都在疲于應(yīng)對已經(jīng)發(fā)生的安全事件，郭訓(xùn)平表示：“其實(shí)應(yīng)用整體安全理念，這些是可以提前預(yù)防的?！?/p>

整體安全方案的基本就是應(yīng)該具有較高的主動(dòng)性，這體現(xiàn)了在未明確威脅類型的情況下阻止威脅的能力――不僅可以防御已知攻擊，更重要的是，防御未知攻擊，預(yù)測潛在威脅。由于能夠提供額外的防御級別，因此各個(gè)企業(yè)可以獲得寶貴的時(shí)間，通過更有序的方式對漏洞進(jìn)行補(bǔ)救。這對于面臨嚴(yán)重風(fēng)險(xiǎn)的銀行、電信、網(wǎng)站等企業(yè)尤為重要。

其次，整體安全方案還必須重視的一點(diǎn)，就是應(yīng)全面覆蓋計(jì)算環(huán)境（多層），而不是僅僅針對互聯(lián)網(wǎng)邊界。郭訓(xùn)平特別談到，企業(yè)既要保護(hù)免遭外部威脅，又要看到內(nèi)部的隱患，要做到既能夠防御從內(nèi)部發(fā)起的一定數(shù)量的威脅，又能夠防御以物理方式繞過邊界控制甚至突破邊界的安全威脅。除邊界之外，防御范圍最好包括整個(gè)內(nèi)部網(wǎng)絡(luò)、與遠(yuǎn)程辦公室的網(wǎng)絡(luò)連接、最終用戶的工作站以及重要服務(wù)器。此外，整體化安全解決方案還應(yīng)易于部署和操作，與不干擾合法訪問和關(guān)鍵業(yè)務(wù)信息可用性的需求進(jìn)行平衡，并能夠適應(yīng)企業(yè)隨時(shí)間推移而提出的不斷變化的需求。

如何能夠隨需應(yīng)變

對于不少用戶而言，建立一個(gè)“隨需應(yīng)變”的整體化安全解決方案似乎無從入手。賽門鐵克針對這個(gè)難以駕馭的系統(tǒng)，推出了全面威脅管理方案，可以層層部署，展現(xiàn)清晰脈絡(luò)。

篇3

“在這種情況下，數(shù)據(jù)中心的安全就成為其能否正常提供高效、可用服務(wù)的關(guān)鍵?！痹诮邮鼙緢?bào)記者專訪時(shí)，山石網(wǎng)科新技術(shù)副總裁王鐘認(rèn)為，傳統(tǒng)的數(shù)據(jù)中心安全解決防護(hù)思路難以應(yīng)對云時(shí)代數(shù)據(jù)中心的發(fā)展，“我們需要擺脫以設(shè)備為核心的安全策略，從基礎(chǔ)架構(gòu)層面做起，提供整體的解決方案”。

云時(shí)代數(shù)據(jù)中心多重挑戰(zhàn)

在云時(shí)代，數(shù)據(jù)中心主要面臨兩個(gè)維度上的安全，一是傳統(tǒng)數(shù)據(jù)中心邊界，二是數(shù)據(jù)中心內(nèi)部和跨越不同地域的多個(gè)數(shù)據(jù)中心之間的安全。

“云數(shù)據(jù)中心業(yè)務(wù)和技術(shù)的動(dòng)態(tài)變化和復(fù)雜性，給云數(shù)據(jù)中心的網(wǎng)絡(luò)安全帶來了新挑戰(zhàn)。”王鐘在接受本報(bào)記者專訪時(shí)表示，挑戰(zhàn)源于“服務(wù)器和網(wǎng)絡(luò)的虛擬化、軟件定義網(wǎng)絡(luò)（SDN）和BYOD（Bring Your Own Device，員工攜帶自己的設(shè)備辦公）”。

Gartner認(rèn)為，2012年虛擬化技術(shù)已達(dá)到了50%的普及率。服務(wù)器虛擬化的好處顯而易見，但是別忘記了，服務(wù)器虛擬化并非完美無瑕?；萜招畔踩鉀Q方案技術(shù)服務(wù)事業(yè)部經(jīng)理陳顥明表示：“以前數(shù)據(jù)中心的一臺物理機(jī)只支持一個(gè)操作系統(tǒng)，但現(xiàn)在一個(gè)刀片可能支持25個(gè)操作系統(tǒng)，這就意味著我們原本設(shè)定好的安全域的規(guī)則被打亂，不同安全層級的信息可能在同一臺虛擬機(jī)上，造成的后果是權(quán)限級別低的用戶有可能訪問到更高權(quán)限級別才能訪問的數(shù)據(jù)，并且?guī)戆踩L(fēng)險(xiǎn)?！?/p>

從虛擬化技術(shù)發(fā)展的角度來看，虛擬化數(shù)據(jù)中心多租戶環(huán)境的細(xì)粒度的管理，以及對內(nèi)容、應(yīng)用、身份認(rèn)證的的安全應(yīng)對措施，是數(shù)據(jù)中心安全的關(guān)鍵性問題。

“大多數(shù)的識別和安全控制措施基于固定的位置、靜態(tài)網(wǎng)絡(luò)或者固定IP，難以應(yīng)付虛擬機(jī)遷移帶來的安全問題?！蓖蹒娬J(rèn)為，“虛擬化環(huán)境的動(dòng)態(tài)特性某種程度上意味著新的安全威脅和漏洞。”

同樣地，網(wǎng)絡(luò)虛擬化將網(wǎng)絡(luò)服務(wù)和物理網(wǎng)絡(luò)設(shè)備分離，網(wǎng)絡(luò)的部署方式也發(fā)生了改變——從設(shè)備的手工單獨(dú)配置方式變?yōu)榭删幊痰淖詣?dòng)部署，同時(shí)網(wǎng)絡(luò)也可以按需而動(dòng)。而傳統(tǒng)的安全解決方案基于固定物理網(wǎng)絡(luò)設(shè)備的安全技術(shù)，面臨著動(dòng)態(tài)變化的網(wǎng)絡(luò)虛擬化的挑戰(zhàn)。

與網(wǎng)絡(luò)虛擬化相似的是，SDN將網(wǎng)絡(luò)控制與網(wǎng)絡(luò)的物理拓?fù)浞珠_?！爱?dāng)網(wǎng)絡(luò)變成可編程實(shí)現(xiàn)的時(shí)候，網(wǎng)絡(luò)安全該如何實(shí)現(xiàn)？當(dāng)網(wǎng)絡(luò)的控制和管理被虛擬化、集中化之后，安全的管理應(yīng)該如何解決？”王鐘認(rèn)為，SDN帶來的安全問題同樣不可小覷。

最后，隨著IT消費(fèi)化的趨勢，BYOD逐漸被越來越多企業(yè)接受，虛擬化的普及推動(dòng)了這一趨勢的發(fā)展。然而，企業(yè)在享受到降低成本帶來的便利時(shí)，也不得不提升應(yīng)對安全風(fēng)險(xiǎn)的成本。這是因?yàn)閱T工攜帶的個(gè)人設(shè)備，往往沒有部署相應(yīng)的安全策略，員工在哪里使用這些設(shè)備、通過哪種網(wǎng)絡(luò)接入企業(yè)的業(yè)務(wù)平臺，企業(yè)的IT人員往往難以準(zhǔn)確了解。同時(shí)，員工在使用個(gè)人設(shè)備辦公的同時(shí)，往往還進(jìn)行上網(wǎng)和娛樂等行為。這些都給黑客潛入企業(yè)網(wǎng)絡(luò)提供了可乘之機(jī)。

由此可見，相比于傳統(tǒng)的數(shù)據(jù)中心安全防護(hù)，云計(jì)算時(shí)代，尤其是虛擬化技術(shù)發(fā)展帶來的變革之后，數(shù)據(jù)中心的安全防護(hù)對安全設(shè)備提出了更高的要求，包括高性能并按需擴(kuò)展、高可靠保障業(yè)務(wù)連續(xù)性、虛擬防火墻實(shí)現(xiàn)虛擬機(jī)間的隔離和可視化提供業(yè)務(wù)可管理等。在王鐘看來，“安全即服務(wù)和資源、開放可定義、冗余高可靠、分布可擴(kuò)展和綠色節(jié)能將是未來數(shù)據(jù)中心安全解決方案的關(guān)鍵”。

基礎(chǔ)架構(gòu)層面的整體解決方案

在近日舉辦的2012RSA中國信息安全大會(huì)上，作為云計(jì)算技術(shù)落地實(shí)施的最重要環(huán)節(jié)，數(shù)據(jù)中心的安全備受關(guān)注。眾所周知，數(shù)據(jù)中心的安全設(shè)備必不可少，而且隨著這些設(shè)備的日益增多，以及業(yè)務(wù)需求的變化，單一網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)無法應(yīng)對用戶所面臨的挑戰(zhàn)，安全廠商應(yīng)該從數(shù)據(jù)中心基礎(chǔ)架構(gòu)入手提供全面的解決方案。

“以往，安全廠商跟用戶強(qiáng)調(diào)的往往是其產(chǎn)品的性能有多強(qiáng)，速度有多快。但事實(shí)上，某一款設(shè)備的快慢并不能從根本上解決數(shù)據(jù)中心的整體問題?！蓖蹒娤蛴浾呓榻B，“站在管理者的角度上，我們首先要思考的是數(shù)據(jù)中心是否可管理。這個(gè)管理需要集中的、智能的、開放的，能夠跟數(shù)據(jù)中心的管理融合起來。”在他看來，只有這幾個(gè)方面都具備的安全管理架構(gòu)，才是數(shù)據(jù)中心所需要的。

要滿足集中、智能和開放等條件并不容易，山石網(wǎng)科給出的解決方案是提供基礎(chǔ)架構(gòu)層面的完整的網(wǎng)絡(luò)安全解決方案，包括數(shù)據(jù)中心防火墻+彈性安全架構(gòu)+安全監(jiān)控和管理等三部分內(nèi)容。在這個(gè)架構(gòu)之上，山石網(wǎng)科推出了云數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案——云之盾。

“云之盾整合了山石網(wǎng)科數(shù)據(jù)中心防火墻、彈性安全架構(gòu)與安全監(jiān)控與管理方案，具有冗余高可靠、分布可擴(kuò)展、綠色節(jié)能等特點(diǎn)，可以幫助用戶輕松應(yīng)對未來云數(shù)據(jù)中心面臨的各種安全挑戰(zhàn)。”王鐘告訴記者，云之盾是著眼于未來云數(shù)據(jù)中心的安全建設(shè)需求，并考慮未來的發(fā)展，以方便及時(shí)監(jiān)控和管理為出發(fā)點(diǎn)研發(fā)的，能夠幫助用戶解決虛擬化帶來的邊界模糊、被保護(hù)對象不清晰，以及其他各種安全問題。

篇4

作者：侯煒

我國高速公路近幾年來建設(shè)里程越來越遠(yuǎn)，而且隨著互聯(lián)網(wǎng)的迅速發(fā)展，高速公路進(jìn)入了全國聯(lián)網(wǎng)、信息交互的時(shí)代。一方面，這有助于高速公路網(wǎng)絡(luò)信息的共享和傳播。但另一方面，高速公路全面聯(lián)網(wǎng)也對網(wǎng)絡(luò)安全提出了新的要求。一旦網(wǎng)絡(luò)被別有用心的人攻擊，輕則導(dǎo)致信息泄露，重則有可能引起大的交通事故。

一、高速公路網(wǎng)絡(luò)信息安全分析

針對目前高速公路信息網(wǎng)絡(luò)系統(tǒng)安全的現(xiàn)狀，很多專家學(xué)者都提出自己的觀點(diǎn)和看法，例如：北京交科公路勘察設(shè)計(jì)研究院盛剛談到網(wǎng)絡(luò)安全問題時(shí)指出：一方面，不管是在設(shè)計(jì)還是建設(shè)方面，偏重于網(wǎng)絡(luò)系統(tǒng)的技術(shù)和設(shè)備方面，缺乏整體系統(tǒng)的思想觀念和管理理念；重點(diǎn)放在外部攻擊與入侵，忽視內(nèi)容的監(jiān)管；重視網(wǎng)絡(luò)安全的專業(yè)性知識，忽視培養(yǎng)技術(shù)人員，技術(shù)儲(chǔ)備力量不足；新產(chǎn)品，技術(shù)發(fā)展快，信息安全隱患日益凸顯，另一方面，針對高速收費(fèi)、聯(lián)網(wǎng)監(jiān)控這方面，1、建設(shè)施工方面，相關(guān)的運(yùn)營單位的認(rèn)識和重視度不夠，存在著投資大、效率低、操作難等問題；2、技術(shù)方面，未能嚴(yán)格按照國際相關(guān)標(biāo)準(zhǔn)規(guī)定執(zhí)行，提出的技術(shù)不具備針對性。

網(wǎng)絡(luò)安全現(xiàn)階段的外部威脅主要來自黑客活動(dòng)，包括：木馬程序、網(wǎng)絡(luò)安全漏洞、各種病毒，而內(nèi)部人員監(jiān)管手段的疏忽和不規(guī)范的操作也是導(dǎo)致網(wǎng)絡(luò)安全系統(tǒng)受到威脅的原因之一。

在網(wǎng)絡(luò)信息安全問題上，各省又都有各自的實(shí)際問題。例如：江蘇高速公路呈現(xiàn)出：網(wǎng)絡(luò)寬帶分配不均、網(wǎng)絡(luò)大小不同、網(wǎng)絡(luò)技術(shù)復(fù)雜、網(wǎng)絡(luò)資源分散、網(wǎng)絡(luò)系統(tǒng)陳舊、網(wǎng)絡(luò)結(jié)構(gòu)多樣化的特點(diǎn)。網(wǎng)絡(luò)信息安全問題已經(jīng)日趨嚴(yán)重，已成為當(dāng)前高速網(wǎng)絡(luò)首要解決的難題，治理措施刻不容緩。

二、網(wǎng)絡(luò)信息安全的途徑分析

基于現(xiàn)階段高速公路網(wǎng)絡(luò)信息存在的安全問題，多數(shù)學(xué)者提出自己的看法，其中盛剛提出需要從多角度、多方位的考慮，指出了全面的安全保障體系，包括：技術(shù)體系、運(yùn)維體系、管理體系和標(biāo)準(zhǔn)體系。技術(shù)體系主要從主機(jī)安全、物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多方面考慮的綜合建設(shè)體系；運(yùn)維體系分為四個(gè)部分：風(fēng)險(xiǎn)管理安全、安全體系的推廣落實(shí)、安全維護(hù)、安全管理的工程建設(shè)這四部分；管理體系指信息安全的方針目標(biāo)，以及在完成這些目標(biāo)的過程中所使用的體系方法；標(biāo)準(zhǔn)體系具體主要確定網(wǎng)絡(luò)信息安全的規(guī)章制度、管理辦法，工作流程和總體框架。

針對各省份出現(xiàn)的安全問題，各自根據(jù)實(shí)際情況提出不同的解決方案，例如山西省針對本省高速公路網(wǎng)絡(luò)信息安全也提出了自己的解決方案。從管理和技術(shù)兩方面入手，管理具體從以下幾方面著手：人員安全管理、系統(tǒng)運(yùn)維管理、管理制度安全、安全管理機(jī)構(gòu)、系統(tǒng)建設(shè)管理等方面提出的具體要求。技術(shù)方面主要分為：系統(tǒng)主機(jī)安全、物理安全、應(yīng)用安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全。管理和技術(shù)在維護(hù)系統(tǒng)安全中起著不可替代的作用，兩者相輔相成，缺一不可。

山西省不僅從管理和技術(shù)兩方面確保高速公路網(wǎng)絡(luò)安全，在具體的實(shí)施過程中，更全面透徹地分析了全省高速公路在網(wǎng)絡(luò)安全中存在的各種安全隱患，涉及網(wǎng)絡(luò)安全、主機(jī)設(shè)備、物理安全、網(wǎng)絡(luò)病毒、數(shù)據(jù)安全、業(yè)務(wù)管理、應(yīng)用體系安全、主機(jī)系統(tǒng)安全、行為操作安全等各類隱患，針對具體存在的安全問題，對癥下藥，采取實(shí)施有效的安全防護(hù)措施。

除江蘇和山西省外，福建省也提出了自己的安全措施，制定了詳細(xì)的分析報(bào)告（確定框架―制定方案―修改方案―執(zhí)行方案），從2013年試開始運(yùn)行，截止目前為止，安全防護(hù)措施已步入正軌，已將相關(guān)制度運(yùn)行管理制度實(shí)現(xiàn)了良好的銜接。

篇5

關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院網(wǎng)絡(luò);防火墻

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學(xué)技術(shù)的發(fā)展和信息時(shí)代的來臨,幾乎所有的醫(yī)院都建立了信息網(wǎng)絡(luò),實(shí)現(xiàn)了信息資源的網(wǎng)絡(luò)共享。但在具體建設(shè)這個(gè)醫(yī)院網(wǎng)絡(luò)平臺時(shí)中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫(yī)院網(wǎng)絡(luò)平臺建設(shè)過程中信息安全的建設(shè),包括如何保障醫(yī)療業(yè)務(wù)的正常進(jìn)行、患者及醫(yī)生信息的合法訪問,如何使醫(yī)院網(wǎng)絡(luò)平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經(jīng)成為急需解決的問題。

1 醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)

1.1網(wǎng)絡(luò)方案的模型

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運(yùn)用防護(hù)工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對網(wǎng)絡(luò)進(jìn)行安全防護(hù);利用檢測工具(如漏洞掃描、入侵檢測系統(tǒng)等等)了解和評估系統(tǒng)的安全狀態(tài),檢測針對系統(tǒng)的攻擊行為;通過適當(dāng)?shù)姆磻?yīng)機(jī)制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個(gè)過程是一個(gè)動(dòng)態(tài)的、不斷循環(huán)的過程,檢測到的威脅將作為響應(yīng)和加強(qiáng)防護(hù)的依據(jù),防護(hù)加強(qiáng)后,將繼續(xù)進(jìn)行檢測過程,依次循環(huán)下去,從而達(dá)到網(wǎng)絡(luò)安全性不斷增強(qiáng)的目的[1]。

根據(jù)對網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計(jì)目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個(gè)實(shí)現(xiàn)的技術(shù)問題,分別是:數(shù)據(jù)檢測,入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建動(dòng)態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。

醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時(shí),將監(jiān)測結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對系統(tǒng)所有活動(dòng)作嚴(yán)格和詳細(xì)的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對可疑行為及入侵行為作進(jìn)一步分析,同時(shí)通知入侵行為控制對入侵行為進(jìn)行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進(jìn)行更新,將新的模式添加進(jìn)去。

1.2 防火墻隔離的設(shè)計(jì)

防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時(shí)訪問的一些應(yīng)用服務(wù)器(如醫(yī)療費(fèi)用查詢系統(tǒng)、專家號預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進(jìn)行通信,不可以外部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)[2]。因此,對應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機(jī)構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護(hù)外。還采用堡壘主機(jī)(服務(wù)器)對內(nèi)部網(wǎng)絡(luò)進(jìn)行更加深一些層的保護(hù)。通過核心交換機(jī)的路由功能將想要進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到服務(wù)器中,由包過濾原則。過濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到服務(wù)囂,服務(wù)器進(jìn)行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級別的安全策略,既實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護(hù)醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖2所示。

雖然防火墻系統(tǒng)能夠?yàn)獒t(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來確保醫(yī)院網(wǎng)絡(luò)的安全。

1.3 醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲

如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動(dòng)機(jī)。本文設(shè)計(jì)的醫(yī)院安全系統(tǒng)實(shí)現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機(jī)系統(tǒng)日志。

其中,嗅探器記錄各種進(jìn)出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進(jìn)行存儲(chǔ),這些數(shù)據(jù)不僅以后可用通過Tcpreplay進(jìn)行回放,也可以在無法分析數(shù)據(jù)時(shí),發(fā)送給別的研究人員進(jìn)行分析。

防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機(jī)上的所有系統(tǒng)和用戶活動(dòng)。對于windows系統(tǒng),可以借助第三方應(yīng)用程序來記錄系統(tǒng)日志信息。現(xiàn)在大多數(shù)的攻擊者都會(huì)使用加密來與被黑系統(tǒng)進(jìn)行通信。要捕獲擊鍵行為,需要從管理主機(jī)中獲得,如可以通過修改系統(tǒng)庫或者開發(fā)內(nèi)核模塊來修改內(nèi)核從而記錄下攻擊者的行為。

2 醫(yī)院網(wǎng)絡(luò)安全解決方案的實(shí)現(xiàn)

2.1 防火墻系統(tǒng)的布置

本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用Quidway SecPath 1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過核心交換機(jī)Quidway S6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來,DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBM xSeries 346,其中一臺作為堡壘主機(jī)使用。這臺堡壘主機(jī)起到的就是服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過高性能的醫(yī)院網(wǎng)絡(luò)核心進(jìn)行訪問控制。

2.2 醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實(shí)現(xiàn)

本文研究的數(shù)據(jù)捕獲主要從三層進(jìn)行數(shù)據(jù)捕獲。我們在網(wǎng)橋下運(yùn)行如下命令進(jìn)行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監(jiān)視他在主機(jī)上的活動(dòng),我們采用Sebek來實(shí)現(xiàn)我們的目標(biāo)。Sebek是個(gè)隱藏的記錄攻擊者行為的內(nèi)核補(bǔ)丁。一旦在主機(jī)上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級別運(yùn)行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過UDP數(shù)據(jù)包發(fā)送到遠(yuǎn)程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。

醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的,本文研究使用這個(gè)模塊獲得主機(jī)內(nèi)核空間的訪問,從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來實(shí)現(xiàn)這個(gè)功能,這個(gè)替換的新函數(shù)只是簡單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個(gè)數(shù)據(jù)包緩存,然后加上一個(gè)頭,再把這個(gè)數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針。

本文通過配置參數(shù)決定了Sebek收集什么樣的信息,發(fā)送信息的目的地。以下就是一個(gè)linux配置文件的實(shí)例:

INTERFACE="eth0" //設(shè)定接口

DESTINATION_IP="172.17.1.2" //設(shè)定遠(yuǎn)程服務(wù)器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設(shè)定遠(yuǎn)程服務(wù)器MAC

SOURCE_PORT=1101 //設(shè)定源地址UDP端口

DESTINATION_PORT=1101 //設(shè)定目標(biāo)地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網(wǎng)段有多個(gè)客戶端,則設(shè)定相同的數(shù)值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結(jié)束語

該文對醫(yī)院網(wǎng)絡(luò)安全的解決方案進(jìn)行了較深入的研究,但該系統(tǒng)采用的技術(shù)也不能說是完善的,一方面因?yàn)樗鼈円苍诓粩喟l(fā)展中,另一方面是因?yàn)樵O(shè)計(jì)者的水平有局限。比如醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)捕獲技術(shù),它本身就是一個(gè)十分復(fù)雜的技術(shù)問題,解決的手段也是多樣的。

參考文獻(xiàn):

篇6

今年2月份Aruba針對BYOD在中國的發(fā)展情況面向兩百多位來自各個(gè)行業(yè)的企業(yè)高管和IT負(fù)責(zé)人進(jìn)行的一項(xiàng)調(diào)查顯示，目前在中國已經(jīng)有78.9%的企業(yè)允許員工使用個(gè)人設(shè)備工作，這比亞太區(qū)整體還高出了8個(gè)百分點(diǎn)。但與此同時(shí)，BYOD也給企業(yè)帶來了更大的網(wǎng)絡(luò)技術(shù)挑戰(zhàn)，其中調(diào)查者普遍認(rèn)為網(wǎng)絡(luò)安全和管理便捷是BYOD的兩大應(yīng)用挑戰(zhàn)，分別占受訪者的58.2%和43.4%。

“BYOD對企業(yè)的IT部門來說是一把雙刃劍，”市場研究公司ZKResearch首席分析師Zeus Kerravala說：“一方面，讓員工使用自己的設(shè)備接入企業(yè)網(wǎng)絡(luò)能大大提高員工的工作效率；另一方面，對于IT部門來說，為這些設(shè)備配置網(wǎng)絡(luò)、確保安全并進(jìn)行管理簡直是一場噩夢。而Aruba的ClearPass系列產(chǎn)品解決方案，不但能幫助IT部門卸下工作的重?fù)?dān)，同時(shí)還能讓企業(yè)從BYOD中獲得益處?！?/p>

之前業(yè)內(nèi)的解決方案需要IT部門用昂貴卻無序的設(shè)備部署來替代大部分現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。如果考慮到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)升級所帶來的成本，與缺少提供全面移動(dòng)服務(wù)管理功能的“叉車式”解決方案相比，Aruba的ClearPass能為客戶節(jié)省高達(dá)76%的成本。

Aruba的ClearPass系列產(chǎn)品將網(wǎng)絡(luò)接入管理和設(shè)備的自動(dòng)網(wǎng)絡(luò)配置結(jié)合在一起，能夠以不破壞任何現(xiàn)有網(wǎng)絡(luò)的方式進(jìn)行覆蓋部署。不僅如此，ClearPass還能自動(dòng)運(yùn)行繁瑣的網(wǎng)絡(luò)政策管理并對設(shè)備運(yùn)行狀況進(jìn)行檢查，使IT部門以更低的成本和更簡易的方式接入和管理移動(dòng)設(shè)備，同時(shí)還能增強(qiáng)網(wǎng)絡(luò)安全。

Maimonides醫(yī)療中心是位于紐約布魯克林區(qū)的一家優(yōu)秀的治療機(jī)構(gòu)和學(xué)術(shù)性醫(yī)療中心，它在 Aruba移動(dòng)企業(yè)網(wǎng)絡(luò)（MOVE）架構(gòu)的基礎(chǔ)上部署了接入網(wǎng)絡(luò)，使用超過300個(gè)Aruba接入點(diǎn)在整個(gè)中心實(shí)現(xiàn)了無線網(wǎng)絡(luò)覆蓋。Maimonides還使用Aruba的ClearPass用于訪客接入，中心的IT負(fù)責(zé)人都對此系列產(chǎn)品及其無接觸式移動(dòng)設(shè)備配置、安全和管理功能充滿期待。

Maimonides醫(yī)療中心技術(shù)服務(wù)高級經(jīng)理Gabriel Sandu表示，“配合ClearPass使用的Aruba移動(dòng)企業(yè)網(wǎng)絡(luò)（MOVE）架構(gòu)能根據(jù)我們的需要提供最佳解決方案，使用不同廠商的網(wǎng)絡(luò)，能讓我們未來的工作更為靈活。”

Aruba ClearPass結(jié)合高效率BYOD工作流程所有必需組成部分的解決方案，它對所有設(shè)備提供單一的管理平臺，且允許以下附加功能在同一平臺上實(shí)現(xiàn)：

（1）自動(dòng)設(shè)備配置――自動(dòng)進(jìn)行虛擬專用網(wǎng)絡(luò)、電子郵件和網(wǎng)絡(luò)安全設(shè)置，推送企業(yè)應(yīng)用并能根據(jù)需要撤銷設(shè)備接入權(quán)限。（2）自助移動(dòng)設(shè)備網(wǎng)絡(luò)配置――能對設(shè)備提供802.1X網(wǎng)絡(luò)安全設(shè)置的自助配置云服務(wù)。（3）設(shè)備分析――精確的設(shè)備識別以確定安全需求并根據(jù)設(shè)備類型和持有者實(shí)施網(wǎng)絡(luò)政策。（4）設(shè)備風(fēng)險(xiǎn)管理――分析移動(dòng)設(shè)備對網(wǎng)絡(luò)構(gòu)成的風(fēng)險(xiǎn)，根據(jù)風(fēng)險(xiǎn)級別限制接入，修復(fù)設(shè)備的安全保護(hù)。（5）訪客接入――安全的訪客管理，包括完全自動(dòng)的登記流程、詳細(xì)的報(bào)告和定向廣告投放。

Aruba首席策略官Keerti Melkote說道：“ClearPass與其他現(xiàn)有的解決方案最大的不同之處在于，它能跨越不同廠商的有線和無線網(wǎng)絡(luò)，在移動(dòng)設(shè)備和個(gè)人電腦操作系統(tǒng)上運(yùn)行?！?/p>

關(guān)于Aruba Networks

Aruba作為全球分布式企業(yè)網(wǎng)絡(luò)的領(lǐng)導(dǎo)者，屢獲殊榮的校園、分支機(jī)構(gòu)/遠(yuǎn)程工作人員產(chǎn)品組合與移動(dòng)解決方案使用戶無論使用何種設(shè)備，身處何地或何種網(wǎng)絡(luò)，都能簡化運(yùn)營并安全訪問所有公司應(yīng)用和服務(wù)，顯著提高了效率并降低了資本和運(yùn)營成本。

篇7

【關(guān)鍵詞】IP城域網(wǎng) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全防護(hù)

一、引言

由于技術(shù)和專業(yè)的限制，IP城域網(wǎng)建設(shè)初期網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，設(shè)備性能有限的，可提供用戶使用的業(yè)務(wù)類型較少。運(yùn)營商長期處于鋪網(wǎng)、圈地的狀態(tài)，較少關(guān)注網(wǎng)絡(luò)安全性。

隨著寬帶提速、光網(wǎng)城市的推進(jìn)，用戶規(guī)模越來越大，原有網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備性能的一些弊端逐漸顯現(xiàn)出來，IP城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)越來越大，網(wǎng)絡(luò)安全問題正逐步成為影響網(wǎng)絡(luò)正常運(yùn)行、業(yè)務(wù)順利發(fā)展的重要因素。本文主要對IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)需求進(jìn)行分析，并對網(wǎng)絡(luò)安全解決方案進(jìn)行論述。

二、IP城域網(wǎng)網(wǎng)絡(luò)安全整體情況

IP城域網(wǎng)網(wǎng)絡(luò)分層結(jié)構(gòu)現(xiàn)狀

IP城域網(wǎng)是在城域范圍內(nèi)組建的，用于實(shí)現(xiàn)個(gè)人和企業(yè)用戶的語音、視頻、數(shù)據(jù)等多種業(yè)務(wù)接入、匯聚和轉(zhuǎn)發(fā)，可獨(dú)立進(jìn)行管理的IP網(wǎng)絡(luò)平臺。包括城域骨干網(wǎng)、業(yè)務(wù)控制層和寬帶接入網(wǎng)兩部分。

城域骨干網(wǎng)：由城域核心路由器負(fù)責(zé)對業(yè)務(wù)控制層設(shè)備進(jìn)行端口和流量匯聚，并作IP城域網(wǎng)到IP骨干網(wǎng)的流量轉(zhuǎn)發(fā)出口。

業(yè)務(wù)控制層由寬帶接入服務(wù)器（BRAS）與業(yè)務(wù)路由器（SR）兩種業(yè)務(wù)接入控制點(diǎn)組成，主要負(fù)責(zé)業(yè)務(wù)接入與控制。

寬帶接入網(wǎng)：是業(yè)務(wù)控制層以下，用戶家庭網(wǎng)關(guān)以上（不含CPE）的二層接入網(wǎng)絡(luò)。

三、IP城域網(wǎng)網(wǎng)絡(luò)安全需求分析

目前IP城域網(wǎng)主要以Intemet業(yè)務(wù)為主，需重點(diǎn)考慮以下方面：

（1）對外需加強(qiáng)黑客防御，對內(nèi)提升安全控制;

（2）業(yè)務(wù)層、網(wǎng)絡(luò)層和用戶層安全并重;

（3）合理規(guī)劃網(wǎng)絡(luò)流量，保障網(wǎng)絡(luò)的可達(dá)性和可靠性;

（4）加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證、訪問授權(quán);

（5）網(wǎng)絡(luò)按需隔離。

四、IP城域網(wǎng)網(wǎng)絡(luò)安全研究

IP城域網(wǎng)是城域業(yè)務(wù)接入和流量轉(zhuǎn)發(fā)的綜合數(shù)據(jù)網(wǎng)絡(luò)，不同的網(wǎng)絡(luò)結(jié)構(gòu)和層次所面對的網(wǎng)絡(luò)安全問題將有所區(qū)別，為控制網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)，需要有針對性的采取不同的安全策略。

4.1 IP城域網(wǎng)核心層安全

由于核心層網(wǎng)絡(luò)承擔(dān)整個(gè)城域網(wǎng)出口流量匯聚和轉(zhuǎn)發(fā)，為保證其網(wǎng)絡(luò)安全性和可靠性，建議采用以下安全策略，包括：

采用路由和交換設(shè)備應(yīng)保證全線速、無阻塞;

盡量采用加密方式實(shí)現(xiàn)設(shè)備或系統(tǒng)登錄，并強(qiáng)化登錄口令管理;

采用節(jié)點(diǎn)、機(jī)框、板卡和端口級冗余備份;

采用資源預(yù)留，分布式轉(zhuǎn)發(fā)等技術(shù)提高設(shè)備系統(tǒng)安全性;

對異常網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)和解決問題。

4.2 IP城域網(wǎng)匯聚層安全

匯聚層業(yè)務(wù)控制點(diǎn)的安全性能主要體現(xiàn)在以下幾個(gè)方面：

根據(jù)用戶簽約帶寬配置線路速率，并通過限速和QoS等技術(shù)控制用戶合法帶寬;

對傳輸層和會(huì)話層的會(huì)話數(shù)和連接數(shù)進(jìn)行總量限制，避免DoS/DDoS攻擊;

通過加強(qiáng)密碼、密鑰等方式提高網(wǎng)絡(luò)安全控制管理水平;

創(chuàng)建訪問控制列表（ACI），根據(jù)安全需求有選擇控制非法用戶訪問網(wǎng)絡(luò)安全服務(wù);

通過syslog溯源系統(tǒng)強(qiáng)化安全日志管理。

4.3 IP城域網(wǎng)接入層安全

通過各種接入技術(shù)和傳輸資源實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋，為用戶提供多種業(yè)務(wù)接入和流量控制。

通過用戶網(wǎng)絡(luò)隔離、用戶屬性（IP、MAC和設(shè)備端口等）精確綁定等手段防止用戶非法接入和惡意攻擊，提高網(wǎng)絡(luò)接入安全性;

在LAN接入，需要通過端口環(huán)路檢測避免二層環(huán)路的發(fā)生，避免廣播風(fēng)暴對網(wǎng)絡(luò)的影響。

五、結(jié)語

目前，電信運(yùn)營商IP城域網(wǎng)在網(wǎng)絡(luò)安全管理上還存在不足，網(wǎng)絡(luò)安全防御手段相對匱乏。對網(wǎng)絡(luò)安全的控制還集中在ACL、黑洞路由等傳統(tǒng)手段，未規(guī)模推進(jìn)防火墻/IPS等專用第三方網(wǎng)絡(luò)安全設(shè)備與傳統(tǒng)的路由器/交換機(jī)進(jìn)行聯(lián)動(dòng)控制。且由于現(xiàn)有的檢測和控制方式相對分散，部分系統(tǒng)或設(shè)備必須由運(yùn)維人員手工配置，難以在網(wǎng)絡(luò)安全受到威脅下，保證各系統(tǒng)和設(shè)備相互協(xié)調(diào)，迅速作出響應(yīng)，以形成一個(gè)完整和有效的安全網(wǎng)絡(luò)。

篇8

關(guān)鍵詞信息安全；PKI；CA；VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場，企業(yè)就面臨著如何提高自身核心競爭力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中，以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：

(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：

(1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對某公司信息化和信息安全現(xiàn)狀的分析，對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺，能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo)：

身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality)：對敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation)：防止通信對方否認(rèn)自己的行為，確保通信方對自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)，可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證，而最上一級的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。基于PKI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。

篇9

11月6日,東軟集團(tuán)在其2009解決方案論壇的信息安全分論壇上,宣布推出一款具有行業(yè)標(biāo)桿意義的新產(chǎn)品NISG,全稱為新一代集成安全網(wǎng)關(guān),在今年信息安全領(lǐng)域新品乏善可陳的時(shí)候,這一可謂意義重大。

市場對應(yīng)用安全

需求巨大

東軟集團(tuán)副總裁兼網(wǎng)絡(luò)安全產(chǎn)品營銷中心總經(jīng)理賈彥生告訴記者,UTM在信息安全領(lǐng)域已經(jīng)不是什么新鮮的概念,它包括防火墻、VPN網(wǎng)關(guān)、IPS、防病毒網(wǎng)關(guān)、防垃圾郵件網(wǎng)關(guān)、抗DDoS網(wǎng)關(guān)等各種功能,主要還是網(wǎng)絡(luò)層的安全,因此,UTM面臨著性能等多種瓶頸問題,導(dǎo)致發(fā)展極為不暢,經(jīng)過市場的千錘百煉,才逐漸為人們接受。集成安全網(wǎng)關(guān)(ISG)與此類似,卻又不完全相同。ISG定位于應(yīng)用層防護(hù),并不是一味比拼性能、功能種類。

所謂應(yīng)用層防護(hù),就是針對Web服務(wù)、電子郵件、數(shù)據(jù)服務(wù)器、電子商務(wù)、VoIP和視頻會(huì)議的抗DDoS攻擊、P2P的監(jiān)控、IM的監(jiān)控、內(nèi)容審計(jì)等應(yīng)用層的防護(hù),這是未來行業(yè)用戶網(wǎng)絡(luò)將面臨的主要問題。賈彥生介紹,面向應(yīng)用安全的ISG,一定是未來信息安全領(lǐng)域的重點(diǎn)產(chǎn)品,因?yàn)?未來,人們賴以生存的網(wǎng)絡(luò),將會(huì)從“路由器為核心”的轉(zhuǎn)發(fā)型網(wǎng)絡(luò),向以“服務(wù)和數(shù)據(jù)為核心”的應(yīng)用網(wǎng)絡(luò)轉(zhuǎn)變,因此未來網(wǎng)絡(luò)攻擊會(huì)有五個(gè)明顯的新特征:一是,傳統(tǒng)4層防火墻的普遍應(yīng)用,使得攻擊技術(shù)會(huì)轉(zhuǎn)而面向傳統(tǒng)安全網(wǎng)關(guān)的盲區(qū)―應(yīng)用安全,針對某些應(yīng)用的專項(xiàng)攻擊、或者利用某些應(yīng)用作為攻擊通道將會(huì)成為主流;其次,視頻、語音等大數(shù)據(jù)業(yè)務(wù)會(huì)決定網(wǎng)絡(luò)帶寬繼續(xù)擴(kuò)大,對安全網(wǎng)關(guān)轉(zhuǎn)發(fā)性能的需求是持續(xù)的;第三,電子商務(wù)、網(wǎng)上銀行、投資理財(cái)、虛擬交易等應(yīng)用會(huì)使網(wǎng)絡(luò)攻擊更加具有吸引力,攻擊頻率會(huì)加大,攻擊方式也會(huì)多樣化;第四,傳統(tǒng)局域網(wǎng)內(nèi)網(wǎng)的擴(kuò)大和復(fù)雜,使得網(wǎng)絡(luò)內(nèi)部攻擊和泄密更加嚴(yán)重;第五,3G的普及指日可待,對應(yīng)移動(dòng)終端的網(wǎng)關(guān)安全問題也將爆發(fā)。這種情況下,需要有新的安全解決方案予以應(yīng)對。

解決應(yīng)用安全

需新技術(shù)

然而,應(yīng)用防護(hù)最大的特點(diǎn)也是難點(diǎn),是應(yīng)用協(xié)議的多樣性和多變性,一款設(shè)備很難窮舉多種應(yīng)用協(xié)議。東軟NISG則通過兩種方式解決了這一問題,一是采用NEL專利核心技術(shù),可將引擎、協(xié)議分析和攻擊檢測數(shù)據(jù)快速融合,增加檢測技術(shù)的兼容性,檢測粒度也會(huì)非常精細(xì),從而提高檢測的效率;其次是采用了三層交換技術(shù),將二層交換和三層路由結(jié)合成為一個(gè)有機(jī)的整體,實(shí)現(xiàn)了“一次路由、后續(xù)二次轉(zhuǎn)發(fā)”的快速包轉(zhuǎn)發(fā),并實(shí)現(xiàn)了VLAN與接口的密切耦合,使得VLAN、Trunk、Channel等技術(shù)能夠很方便地在防火墻上實(shí)施,減輕了管理員配置維護(hù)的工作負(fù)擔(dān)。

此外,用戶在應(yīng)用中還會(huì)面臨一些新的獨(dú)立業(yè)務(wù)安全管理難題,需要依靠新的技術(shù)手段。例如,銀行、電信、電力等大型行業(yè)用戶的數(shù)據(jù)中心通常部署著數(shù)百臺服務(wù)器,分屬于不同的業(yè)務(wù)部門。在部署安全網(wǎng)關(guān)時(shí),每個(gè)業(yè)務(wù)部門都會(huì)有一些個(gè)性化需求,隨著部門業(yè)務(wù)的調(diào)整,安全策略也要相應(yīng)調(diào)整。因此,以前單一安全網(wǎng)關(guān)對整個(gè)內(nèi)部服務(wù)器群進(jìn)行防護(hù),很難同時(shí)滿足不同業(yè)務(wù)部門的安全需求,并在部門安全策略的調(diào)整中增加了管理維護(hù)的復(fù)雜性和難度。如果為每個(gè)部門采購獨(dú)立的安全網(wǎng)關(guān)設(shè)備,又會(huì)帶來投資的增加和性能的浪費(fèi),這些部門的流量往往很小,發(fā)揮出的性能不到10%。

通過虛擬化技術(shù)就能很好地解決這一難題,東軟的虛擬集成安全網(wǎng)關(guān)技術(shù)就是將一臺物理上的NISG在邏輯上劃分成多臺虛擬的NISG,每個(gè)虛擬系統(tǒng)都可以被看成是一全獨(dú)立的NISG設(shè)備,針對不同的業(yè)務(wù)采用不同的安全策略。

最后,賈彥生介紹,東軟的NISG中的“N”,一般可以理解成“NEW”,意譯為新一代。但是在東軟的解釋中,“N”這個(gè)字母含義頗豐,“N”既是東軟NEUSOFT的開頭字母,也是安全子品牌NetEye的開頭字母,同時(shí)也包含了NEXT的含義,表示東軟集團(tuán)對下一代集成安全網(wǎng)關(guān)寄予了厚望。

銳捷三道防線打造

立體防護(hù)體系

本報(bào)訊近日,銳捷網(wǎng)絡(luò)了一套GSN(Global Security Network)全局安全網(wǎng)絡(luò)解決方案,該方案構(gòu)筑三道安全防線:用戶身份管理體系、端點(diǎn)安全防護(hù)體系和網(wǎng)絡(luò)通信防護(hù)體系,通過軟硬件的聯(lián)動(dòng)、計(jì)算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合,從入網(wǎng)身份、客戶端PC、網(wǎng)絡(luò)通信等多個(gè)角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理,確保行業(yè)網(wǎng)絡(luò)安全,尤其是金融網(wǎng)絡(luò)的安全。

用戶身份管理體系:眾所周知,在金融交易過程中,確保每個(gè)連入網(wǎng)絡(luò)中用戶身份的合法性是重中之中,因此,需要對每個(gè)入網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)準(zhǔn)入權(quán)限控制,GSN采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系,通過嚴(yán)格的多元素綁定認(rèn)證,如IP地址、MAC地址、硬盤ID、認(rèn)證交換機(jī)IP地址、認(rèn)證交換機(jī)端口號、用戶名、密碼、數(shù)字證書等,確保接入用戶身份的合法性。

端點(diǎn)安全管理體系:可通過管理入網(wǎng)的各個(gè)客戶端PC的方式,保護(hù)整個(gè)網(wǎng)絡(luò)安全。包括防止該客戶端非法外聯(lián);可通過軟件黑白名單控制的方式,讓終端只能安裝或不允許安裝軟件,保證終端的干凈;可定期對操作系統(tǒng)打補(bǔ)丁,對軟件強(qiáng)制更新。

網(wǎng)絡(luò)通信防護(hù)體系:是前兩道防線的重要補(bǔ)充,通過可信任的ARP(Trusted ARP)專利技術(shù),可徹底防止網(wǎng)絡(luò)中的ARP欺騙的發(fā)生,這是目前用戶非常頭疼、難以解決的安全問題;同時(shí),可通過RG-SMP安全管理平臺、RG-IDS入侵檢測設(shè)備、安全智能交換機(jī)和Su客戶端的聯(lián)動(dòng),實(shí)現(xiàn)對網(wǎng)絡(luò)安全事件的檢測、分析、處理一條龍服務(wù)。

篇10

產(chǎn)品技術(shù)創(chuàng)新獎(jiǎng)

唐桓科技一直秉承“自主可控，安全服務(wù)”的發(fā)展理念，立志成為全球領(lǐng)先的網(wǎng)絡(luò)和數(shù)據(jù)安全解決方案供應(yīng)商，在“多系統(tǒng)身份認(rèn)證”、“企業(yè)內(nèi)外網(wǎng)安全防護(hù)”、“云計(jì)算安全解決方案”、“物聯(lián)網(wǎng)安全體系管理”、“安全子網(wǎng)控制管理”、“企業(yè)外發(fā)文件安全管理”等方面有成熟的技術(shù)產(chǎn)品和最佳應(yīng)用實(shí)踐。

北京唐桓科技發(fā)展有限公司（簡稱“唐桓科技”）成立于2007年4月，在中關(guān)村科技園區(qū)內(nèi)注冊，屬于國家級高新技術(shù)企業(yè)、雙軟企業(yè)。唐桓科技一直秉承“自主可控，安全服務(wù)”的發(fā)展理念，立志成為全球領(lǐng)先的網(wǎng)絡(luò)和數(shù)據(jù)安全解決方案供應(yīng)商，在“多系統(tǒng)身份認(rèn)證”、“企業(yè)內(nèi)外網(wǎng)安全防護(hù)”、“云計(jì)算安全解決方案”、“物聯(lián)網(wǎng)安全體系管理”、“安全子網(wǎng)控制管理”、“企業(yè)外發(fā)文件安全管理”等方向有成熟的技術(shù)產(chǎn)品和最佳應(yīng)用實(shí)踐。

作為行業(yè)安全解決方案提供商，唐桓科技在“銀行業(yè)安全體系解決方案”、“電子商務(wù)平臺安全解決方案”、“移動(dòng)支付安全解決方案”、“工業(yè)控制系統(tǒng)安全解決方案”等方面有多年的研究和實(shí)施經(jīng)驗(yàn)。

身份認(rèn)證系統(tǒng)

信息化時(shí)代到來，數(shù)字技術(shù)的廣泛應(yīng)用在改變?nèi)藗兊纳睢⑸a(chǎn)和學(xué)習(xí)方式的同時(shí)，也帶來了突出的安全問題。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）近年的報(bào)告，信息安全熱點(diǎn)問題如下：一是由于社交網(wǎng)站、論壇等信息失竊導(dǎo)致的用戶身份被盜以及產(chǎn)生的其他負(fù)面影響；二是智能終端將成為黑客攻擊的重點(diǎn)目標(biāo)；三是針對網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取攻擊將急劇增加；四是下一代互聯(lián)網(wǎng)的應(yīng)用將帶來IPv6網(wǎng)絡(luò)安全、無線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問題。另外，在3G網(wǎng)絡(luò)趨向成熟、移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)得到廣泛普及的當(dāng)前，越來越多的網(wǎng)絡(luò)和手機(jī)安全問題開始出現(xiàn)。據(jù)不完全統(tǒng)計(jì)，因?yàn)橐陨习踩珕栴}有過賬號或密碼被盜經(jīng)歷的用戶達(dá)到1.21億，占總網(wǎng)民數(shù)的24.9%。

為了保護(hù)信息安全，先后出現(xiàn)了身份認(rèn)證、授權(quán)控制、日志審計(jì)、防火墻、VPN等安全技術(shù)。其中身份認(rèn)證是授權(quán)控制、日志審計(jì)等技術(shù)的基礎(chǔ)，如果用戶的身份能被非法假冒，那么用戶權(quán)限也就可能被非法使用，審計(jì)日志也失去了意義。因此身份認(rèn)證是信息安全中最重要的環(huán)節(jié)。

目前，身份認(rèn)證技術(shù)主要有靜態(tài)口令、動(dòng)態(tài)口令、USBkey、智能卡（IC卡）、短信、數(shù)字證書、生物識別等。唐桓科技認(rèn)為與動(dòng)態(tài)口令相比較，傳統(tǒng)的靜態(tài)口令安全性差，非常容易受到各類盜號和釣魚網(wǎng)站的攻擊；數(shù)字證書安全性較強(qiáng)，但其投資較大，使用較復(fù)雜，管理費(fèi)用較高，使用范圍受系統(tǒng)使用邏輯而受限；生物識別技術(shù)由于生物仿冒手段的提高，安全可靠性也正在逐步降低。

根據(jù)這些情況，唐桓科技開發(fā)研制了基于事件同步的動(dòng)態(tài)口令雙向身份認(rèn)證系統(tǒng)，該產(chǎn)品是具有自主知識產(chǎn)權(quán)的專利技術(shù)（專利申請?zhí)枺?00710195695.3），利用高強(qiáng)度加密算法、應(yīng)用事件激發(fā)和同步機(jī)制，實(shí)現(xiàn)用戶端和服務(wù)器端的雙向身份認(rèn)證。該技術(shù)能夠抵御現(xiàn)有的各種攻擊手段，并且兼容基于靜態(tài)口令認(rèn)證的各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)，系統(tǒng)采用“一事一密”的設(shè)計(jì)理念，動(dòng)態(tài)口令可以一次一變。與其他產(chǎn)品相比較，該產(chǎn)品使用簡單，管理方便，成本低，適用于所有基于軟硬件環(huán)境的信息化體系下需要身份認(rèn)證安全保證的各類應(yīng)用場景。

網(wǎng)絡(luò)信息安全綜合管理方案

針對內(nèi)外網(wǎng)絡(luò)基礎(chǔ)設(shè)施的設(shè)備和資源，唐桓科技提供登錄賬戶的整體安全解決方案，保證用戶遠(yuǎn)程接入、穿越防火墻、遠(yuǎn)程VPN登錄、數(shù)據(jù)庫系統(tǒng)，以及網(wǎng)絡(luò)設(shè)備運(yùn)維管理等多方面的統(tǒng)一身份管理和認(rèn)證。以第三代動(dòng)態(tài)口令技術(shù)為核心，集中管理網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的登錄賬戶，從而確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的賬戶登錄安全。

基于云計(jì)算的安全防護(hù)系統(tǒng)

針對人、機(jī)、物三元融合的協(xié)同計(jì)算環(huán)境，以云計(jì)算虛擬環(huán)境的安全性理論、模型和方法為理論基礎(chǔ)，唐桓科技基于云計(jì)算的安全防護(hù)系統(tǒng)包含安全地支持大規(guī)模用戶的安全可靠的通用身份認(rèn)證的公共服務(wù)平臺、技術(shù)標(biāo)準(zhǔn)、應(yīng)用示范。

該系統(tǒng)通過通用、實(shí)名、集中的電子身份信息管理，可實(shí)現(xiàn)獨(dú)立權(quán)威的網(wǎng)絡(luò)身份信息認(rèn)證；通過數(shù)據(jù)加密、安全存儲(chǔ)，實(shí)現(xiàn)用戶個(gè)人信息資產(chǎn)的安全管理服務(wù)；通過虛擬社區(qū)安全子網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境資產(chǎn)的安全流轉(zhuǎn)與共享；通過個(gè)性化推薦服務(wù)，實(shí)現(xiàn)資源找人的主動(dòng)服務(wù)模式。

在網(wǎng)絡(luò)生態(tài)環(huán)境中，該系統(tǒng)針對各種應(yīng)用模式、各種終端類型、各種接入方式提供滿足各類安全等級需求的可信的身份認(rèn)證公共服務(wù)平臺、技術(shù)及管理標(biāo)準(zhǔn)，實(shí)現(xiàn)實(shí)體的身份信息可在動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中通用、鑒別、定位、監(jiān)管，促進(jìn)我國具有自主創(chuàng)新技術(shù)的網(wǎng)絡(luò)身份生態(tài)系統(tǒng)的規(guī)范化建設(shè)與產(chǎn)業(yè)化應(yīng)用。

基于物聯(lián)網(wǎng)的安全支撐系統(tǒng)

物聯(lián)網(wǎng)的核心共性技術(shù)、網(wǎng)絡(luò)與信息安全技術(shù)以及關(guān)鍵應(yīng)用是物聯(lián)網(wǎng)的主要研究內(nèi)容。物聯(lián)網(wǎng)感知節(jié)點(diǎn)大都部署在無人監(jiān)控環(huán)境，并且由于物聯(lián)網(wǎng)是在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上擴(kuò)展了感知網(wǎng)絡(luò)和應(yīng)用平臺，傳統(tǒng)網(wǎng)絡(luò)安全措施不足以提供可靠的安全保障。物聯(lián)網(wǎng)安全研究將主要集中在物聯(lián)網(wǎng)安全體系、物聯(lián)網(wǎng)個(gè)體隱私保護(hù)模式、終端安全功能、物聯(lián)網(wǎng)安全相關(guān)法律的制訂等方面。

唐桓科技提供的基于物聯(lián)網(wǎng)的安全支撐系統(tǒng)通過在感知物件接入網(wǎng)絡(luò)層提供物件身份認(rèn)證和監(jiān)測技術(shù)，確保數(shù)量龐大的智能物件的行為、來源、數(shù)據(jù)完整性能被相互實(shí)時(shí)認(rèn)證鑒別和接受；在信息采集層，根據(jù)智能物件的處理能力、網(wǎng)絡(luò)狀態(tài)，可定制信息傳遞的安全協(xié)議、加密算法和個(gè)體隱私性保護(hù)策略；通過將智能物件、傳輸網(wǎng)絡(luò)、應(yīng)用三者動(dòng)態(tài)綁定，確保系統(tǒng)的實(shí)時(shí)可擴(kuò)展性，同時(shí)滿足應(yīng)用安全隔離需要；利用云計(jì)算、模糊識別等各種智能計(jì)算技術(shù)，確保對海量物聯(lián)網(wǎng)信息的安全存儲(chǔ)、分析和處理，對物體實(shí)施智能化的控制。從整體上，實(shí)現(xiàn)物聯(lián)網(wǎng)的各層網(wǎng)絡(luò)連接組成的異構(gòu)、多級、分布式網(wǎng)絡(luò)的統(tǒng)一的安全體系的“橋接”和過渡，實(shí)現(xiàn)端和云協(xié)同計(jì)算的整體安全性。

移動(dòng)互聯(lián)網(wǎng)終端安全