发布时间:2022-05-09 13:33:08
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全解决方案样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
随着网络技术的不断发展,社交网络逐渐融入到人们的生活中,一定程度上改变人们的交流方式。人们在利用社交网络过程中常常会涉及一些重要信息,甚至是用户的隐私。怎样提高社交网络安全性,营造良好的社交网络环境,是业内值得深思的重要问题。本文对社交网络安全问题进行分析,提出相关的解决方案,为营造安全的社交网络环境提供参考。
关键词:
社交网络;安全问题;解决方案;分析
0引言
社交网络的出现给人们彼此之间的交流提供了前所未有的便利。利用社交网络不仅可与亲朋好友交流感情,而且还可结识一些新朋友扩大交际圈。因此,人们不可避免的在社交网络上留下一些重要信息,如何确保社交网络安全问题,引起越来越多人的关注。
1社交网络安全问题分析
社交网络已成为人们生活中的重要组成部分,尤其在科技飞速发展推动下,社交网站及软件逐渐向服务的多元化方向发展,其功能越来越强大,不仅仅局限在沟通交流方面。这一发展无疑给社交网络安全提出更高要求。因此,对社交网络出现的安全问题进行汇总,为提出针对性解决方案提供指导,对促进社交网站及软件的长远发展意义重大。
1.1网络安全问题
网络安全是社交软件或社交网站面临的重要问题,而且每年都会发生一些网络安全事件,给企业及用户带来严重不良影响。分析发现,导致社交网络安全问题出现的因素非常之多,有些是无意的,如通信光纤被挖断,有些则是有预谋的。例如,部分不法分子攻击社交网络,以获得一些重要信息从中牟利,不仅影响社交网络工作稳定性,而且引起用户重要信息的泄露。另外,一些不法分子窃听社交网络,窃取用户重要的聊天信息,尤其针对一些企业社交账户,一旦因网络攻击而泄漏重要信息,导致企业机密的泄漏,给企业造成严重经济损失。
1.2信息安全问题
一些不法分分子攻击社交网站或软件的数据库,窃取用户的账户信息,能够轻而易举的登录社交网站及软件,窃取用户的个人信息、浏览用户的聊天记录等,导致用户隐私泄漏。另外,社交网站开发过程中因考虑不周存在bug,这些bug一旦受到蠕虫及黑客攻击,会恶意添加一些下载文件的链接或植入不良代码,当用户点击后会下载一些病毒,或将重要信息发送给黑客,如此黑客便轻而易举的窃取用户相关账户信息,从事某些非法活动,严重损害用户利益。
1.3网络犯罪问题
一些不法分子通过攻击、监听等手段获得用户信息后会从事一些网络犯罪活动。例如,当获得用户的账户信息后,在用户空间一些不良信息,引诱用户好友点击,以达到传播目的。同时,一些用户为便于好友识别,常常将个人信息填写在社交网站或软件上,当不法分析运用相关手段获得用户的个人信息后,常常冒充用户好友、企业老板等,给用户好友或企业财务人员发信息,以达到骗取钱财的目的。另外,部分不法分子窃取用户的账户信息后,一些虚假信息,威胁国家安全,甚至引发社会恐慌等。
2社交网络安全问解决方案
社交网络极大的方便了人们的沟通与交流,拉近了人们之间的距离,使人们充分享受到了信息时代的乐趣。但人们在享受这一新的交流方式时,不能忽略安全方面的考虑,应积极提出有效的解决方案,以解决社交网络面临的安全问题。
2.1加强社交网络管理
在网络技术发展推动下,我国社交网络发展迅速,出现了一大批社交网站及软件,如豆瓣、人人网、新浪微博等,尤其以腾讯的QQ、微信为代表,其拥有庞大的用户群。这些社交网站及软件一旦出现安全问题,后果不堪设想。因此,为避免社交网络出现安全问题,无论企业内部还是国家职能部门应加强社交网络管理。一方面,企业内部应将社交网络管理当做重要工作加以落实,尤其注重对网络的监控,及时发现网络攻击行为。同时,与网络运营商建立良好的合作伙伴关系,针对出现的网络安全问题及时与运营商沟通,共同解决网络安全问题。另一方面,国家职能部门应充分认识到当前社交网络拥有的庞大用户群,无论从我国信息化发展角度,还是从舆论引导角度,均应重视对社交网络的管理。因此,国家职能部门应做好社交网络立法工作,加大对破坏网络安全行为的处罚力度,营造安全、健康的社交网络氛围,尤其针对利用社交网络坑蒙拐骗的行为,应督促企业锁定账户,情节严重的给予封号处理,或追究刑事责任。
2.2采取安全防护策略
社交网站及软件运营企业应从用户的利益出发,切实维护用户权益,采取针对性防护策略,避免用户信息的泄漏。一方面,立足企业内部,充分分析社交网站及软件特点,从安全角度分析社交网站及软件存在的bug,定期向外界,供用户下载,及时修补存在的bug,不给不法分子留下机会。另一方面,做好数据库的安全管理。众多周知,对社交网站及软件而言,数据库存储大量的用户资料、用户聊天信息,保护用户资料安全是企业的职责,一定程度上关系着企业的长远发展。因此,企业可采取硬件与软件相结合的方式提高数据库安全性。在硬件方面,应设计出合理的硬件架构,以屏蔽大量的安全隐患。同时,与实力强的服务器提供商合作。企业应根据用户数量及自身业务状况,与综合实力较强的服务器提供商合作。原因在于综合实力较强的服务器提供商,不仅能保证服务器工作稳定性,而且在机房管理方面更为严格,避免机房原因引起服务器故障的产生。在软件方面,社交网站及软件运营企业,同样需进行软件架构的合理设计,良好的软件架构可明显提升服务器运行安全性,防止数据库出现不良问题。同时,还应使用数据库安全策略,最大限度的提高服务器的防攻击性能。
2.3不断更新安全技术
众多周知,网络技术发展迅速,更新周期比较短,一些新的安全技术不断涌现。为此,社交网站及软件运营企业应不断更新安全技术,提高社交网站及软件整个系统的安全性。首先,企业应综合分析当前运用的安全技术存在的不足,寻找其与新安全技术的契合点,有针对性的应用新安全技术。其次,企业应加强与国际间安全技术企业的交流与合作,把握安全技术发展动向,引进新的网络安全思路与方法,做好用户聊天信息的保护。最后,在社交网络及软件改版时,将安全问题当做重要内容加以考虑,最大限度的提高社交网站及软件安全性,避免安全漏洞的出现,让不法分子有机可乘。另外,考虑到社交网络安全性,参与的角色很多如,社交网站及软件运营企业、网络运营商、服务器提供商等,除运营企业更新安全技术外,网络运营商及服务器提供商同样应注重安全技术的更新。尤其对于网络运营商而言,提高网络安全性是其重要职责,为此,网络运营商应增加在网络安全方面的投入,及时更新网络设备,及安全管理系统,加强对网络运营的监控,尤其应结合大数据思想分析出不法分子的活动规律,及时锁定异常流量,洞察发生的网络安全问题。另外,服务器提供商应定期更新管理技术,不断提高服务器安全技术水平,将攻击服务器的发生机率降到最低。
3总结
社交网络已经融入到人们的生产生活中,拉近了人与人之间的距离,使得人与人之间的交流更为方便。但随之而来的社交网络安全问题,给用户及社交网站及软件运营企业带来诸多意想不到的麻烦。因此如何确保社交网络安全也引起了人们的高度重视。为确保社交网络安全性,企业及国家职能部门应结合当前我国社交网络安全实际,积极寻找有效的解决方案,不断提高我国社交网络安全水平,为人们安全的使用社交网络及软件保驾护航。
作者:李永亮 单位:山东交通职业学院
引用:
[1]刘建伟,李为宇,孙钰.社交网络安全问题及其解决方案[J].中国科学技术大学学报,2011.
[2]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014.
[3]周禹江.浅谈社交网络安全问题与解决方案[J].技术与市场,2015.
Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.
关键词:电力;网络;安全;方案
Key words: power;network;security;plan
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0165-01
1电力行业的特点
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到电网调度自动化,继电保护及安全装置、厂、站自动化,配电网自动化,电力负荷控制分析、电力市场交易、电力营销、信息网络系统等,发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。
2网络安全分析
一般说来,在电力网络系统中的安全防护主要包括三个方面:一是网络拓扑的结构防护,即在后期当网络的结构调整时,要注意增删节点的合理性;二是硬件方面的防护,即组成网络系统中的各类设备;三是软件方面的防护,即网络系统中存储和传输的信息数据。
3网络安全的防范技术
①配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。②采用全网统一的网络防病毒系统,保护网络中的各类服务器、工作站等不受病毒的干扰和对其上文件的破坏,以保证系统的可用性。③作为防火墙的补充,须在内部关键业务网段配备入侵检测系统和防御系统,以防备来自内部的攻击及外部通过防火墙的攻击。④对关键业务信息跨地区的传输,采用VPN产品进行加密,保证传输过程中的信息安全。⑤对于网络设备、服务器等管理员的身份认证,采用诸如令牌口令的增强身份认证系统。⑥配备灾难恢复系统及冗余,防备意外的发生。⑦建立完善的网络安全管理制度,防止出现人为的安全隐患。
4安全解决方案
4.1 总体设计思路和原则。在基本的访问控制,身份鉴别和安全审计方面采用合理的技术手段。使用防火墙产品划分网络区域,对需要保护的区域进行网络层的访问控制。正确使用系统中已有的安全机制,各系统通常包含了基本的安全机制,如身份认证、访问控制和审计功能。正确的使用这些安全功能可以减少系统可被利用的漏洞。采用专用产品强化系统中对安全构成威胁的薄弱环节(包括防病毒)。用必要和有效的监控和审查机制保证安全机制的有效性,安全策略的正确性;定期审查。持续监控,部署必要的技术和产品在安全机制失效和灾难的情况下采取正确、及时、有效的措施。及时报警,以争取管理和技术人员的及时介入。在入侵正在进行时自动或通过人员干预终止威胁系统安全的行动。系统遭到破坏是在尽可能短的时间内回复系统的运行。
4.2 网络安全产品的部署
①防火墙的配置:作为保护电力系统内部网免遭外部攻击,最有效的措施就是分别在电力系统各级内部网与外部广域网之间放置防火墙,通过设置有效的安全策略,做到对电力系统内部网的访问控制。不改变原来网络拓扑结构,且保证通讯速度不受较大影响,可以配置使用基于状态检测包过滤技术上的流过滤技术的防火墙――硬件防火墙系统。
②入侵监测系统的配置:为了防范来自电力系统内部网络的攻击,及来自外部透过防火墙的攻击,作为防火墙的补充,须在电力系统内部网各重要网段配备入侵检测系统,通过对网络行为的监视,来识别网络的入侵的行为。实时监视网络上正在进行通信的数据流,分析网络通讯会话轨迹,反映出内外网的联接状态;通过内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯的情况,查询网络事件,进行相应的响应;能根据所发生的网络安全事件,启用配置好的报警方式,比如Email、声音报警等;提供网络数据流量统计功能,能够记录网络通信的所有数据包,对统计结果提供数表与图形两种显示结果,为事后分析提供依据;默认预设了很多的网络安全事件,保障客户基本的安全需要;提供全面的内容恢复,支持多种常用协议;支持分布式结构,安装于大型网络的各个物理子网中,一台管理器可管理多台服务器,达到分布安装,全网监控,集中管理。
③信息传输加密产品的配置:为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。提供穿越防火墙的VPN应用模式,可以用直连的方式把通过认证的数据直接传送到主机的应用程序;可以与第三方认证产品集成,提供更强的身份认证和访问控制功能。
④防病毒系统部署。总之电力企业网络的安全保障可从以下几方面考虑:a.在电力企业网络各节点处构筑防御(如防火墙),防止外网影响内网。b.建立一个统一、完善的安全防护体系,该体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。c.在互联网日益广泛应用的今天,为保障电力企业网络的安全,必需树立全程安全的观念。
参考文献:
[1]CCNA DISCOVERY企业中的路由、交换技术[C]//思科网络技术学院教程.
【 关键词 】 网络安全;安全隐患;解决方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2 网络安全的重要性
2.1 网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
(2)危及财产安全。随着网络一卡化的运用,人们不用麻烦的随身携带大量财物,只需要几张卡片就能进行各类消费,在一卡化模式的运作下,网络也最大化地便利了人们。如今,由网络芯卡衍生出了更高端的消费方式,常见的微信转账、微信红包、支付宝等支付手段,只需在手机网络中就能实现网络消费,为网络数字时展撑起了一片天。而在这样的环境背后,网络消费却潜藏着巨大的财产安全隐患。密码是数字时代的重要组成部分,网络中的众多信息都牵涉着密码,但是密码并非不可破译的,一旦被危险的木马软件抓到漏洞,无疑等于是凿开了保险柜的大门。在以牟取利益为宗旨的经济犯罪中,网络经济犯罪占据着极大的比例,无论个人还是企业,其经济财产安全都受到网络安全隐患严重的威胁。
2.2 提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3 对网络安全隐患主要形式的分析
3.1 操作系统的漏洞
任何计算机操作系统都有着自身的脆弱性,因此其被称之为操作系统的漏洞。操作系统自身的脆弱性一旦被放大,就会导致计算机病毒通过系统漏洞直接入侵。不仅如此,操作系统的漏洞具有推移性,会根据时间的推移,在不断解决问题的过程中不断衍生,从解决了的旧漏洞中又产生新的漏洞,周而复始,长期存在于计算机系统之中。不法者通过系统漏洞可以利用木马、病毒等方式控制电脑,从而窃取电脑中重要的信息和资料,是当今网络安全隐患存在的主要形式之一。
3.2 恶意代码的攻击
恶意代码的概念并不单指病毒,而是一种更大的概念。病毒只是恶意代码所包含的一种,网络木马、网络蠕虫、恶意广告也从属于恶意代码。恶意代码的定义是不必要的、危险的代码,也就是说任何没有意义的软件都可能与某个安全策略组织产生冲突,恶意代码包含了一切的此类软件。通常情况下,黑客就是恶意代码的撰写者,一般黑客受人雇佣,旨在通过非法的侵入盗取机密信息,或者通过破坏企业计算机系统,非法获取经济利益,形成行业恶性竞争。现在的网络环境中,恶意代码是最常见的网络安全隐患,常隐藏在正常的软件或网站之中,并且不易被发现,渗透性和传播性都非常强,具有极大的威胁性。
4 网络安全的解决方案
4.1 设置防火墙
防火墙是一种集安全策略和控制机制为一体的有效防入侵技术,是指通过网络边界所建立的安全检测系统来分隔外部和内部网络,并明确限制内部服务与外部服务的权限,可以实际阻挡相关攻击性网络入侵。防火墙的基本类型有六种,分别是复合型、过滤型、电路层网关、应用层网关、服务及自适应技术。在目前的大多数企业中,都运用到了防火墙技术。
4.2 对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3 采用多重加密
网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程:首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式;其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制;最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见,比如在微信、微博、游戏账号、邮箱等各大社交软件中,都设有个人密码,这是多重加密技术的第一层屏障,随着高级别威胁的出现,第一层的密码保护无法满足数据安全的需要。因此,在社交软件中就出现了动态码、验证码、密保信息等更高级的数据保护措施,在多元的数据保护手段下就形成了多重加密的安全技术。
4.4 实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5 结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1] 李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2] 关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
[3] 任戎.网络安全技术与校园网络安全解决方案刍探[J].四川文理学院学报,2008,05:43-45.
随着网络时代的发展,人们已经进入了一个全新的信息世界,世界连成了一个整体,实现了“双脚不出门,尽知天下事”的时展目标。计算机技术的快速发展以及网络安全所具有的保密性、完整性、可用性、可控性和可审查性等特征使得网络安全愈发成为各界关注焦点。网络安全能够做到防范于未然,将潜在的网络安全隐患扼杀在摇篮中,以使各自的利益得到保障。不同应用环境有不同的网络安全类型,最常见的网络安全类型有系统安全,网络的安全、网络传播安全和信息内容安全等。计算机技术的快速发展使得网络安全技术相关工作不断面临挑战,网络安全隐患大大增多。因此,利用网络安全技术,解决相关问题,减少安全隐患,提升网络安全性迫在眉睫。
1网络安全问题简析
现阶段的网络安全问题主要体现在存在较多网络隐患上,具体表现为以下六个方面。(1)Internet作为一个没有控制机构的开放网络,其计算机系统很容易遭到黑客入侵,最终导致特权被盗用、重要数据被破坏、机密数据被窃取甚至是系统瘫痪的后果。(2)TCP/IP是一种没有信息安全措施的通信协议,而Internet所有的数据传输都是在此基础上进行的,所以存在一定安全隐患。(3)Unix是一种安全性较弱的操作系统,而Internet中大部分的通信业务都是由该系统支持完成的,因此仍旧存在一定安全隐患。(4)由计算机存储、传输及处理的电子信息的真实性和可靠性还不能保证,其在应用层中的相关服务协议全靠彼此间的君子协定维系,安全性有待加强。(5)电子邮件被误投、拆看以及伪造的情况大量存在,用其传输机密性的信息文件时,安全系数将会大大降低。(6)Internet在传播过程中容易带来计算机病毒,进而导致数据文件丢失、系统瘫痪等较为严重的后果。
2网络安全技术简介
2.1防火墙
防火墙通常被放置在网络边界地带,用于隔离网络内外两部,发挥安全隔离作用,以此监控审核通信信息,确保网络安全。防火墙结合相关安全策略,对网络传输数据进行检测分析,改变所检测到的较为机密的数据,将内部的数据结构以及运行状态等隐藏起来,进而使网络安全得以保障。包过滤技术、技术、状态检测技术以及地址转换技术是最为常见的四种防火墙技术,是依据其所采用的技术标准划分的。防火墙是网络安全的屏障,能够阻止与安全策略不相符合的较为危险的网络信息的传播,进而提高网络安全防护能力。防火墙对用户权限的访问以及数据内容的控制也是其的重要功能。除此之外,防火墙还具有网络访问审计和地址转换的功能,作为连接网络内外两部的唯一通道,防火墙能够记录有关网络的所有访问记录,再对其进行了较为仔细的审计和分析,并以日志信息的形式呈现出来。在此过程中,NAT服务协助防火墙实现内外部网络的地址交换,共享资源,提高其安全性能。
2.2入侵检测
与防火墙不同的是,入侵检测技术在安全防御这个过程中显得更为主动,其实质是一种自我防御技术。入侵检测技术通过“整理收集分析”这一流程对网络中那些较为关键的节点信息进行处理,再判断其是否被人入侵或者攻击。此外,该技术还能监督系统的运转状况,发觉各种各样的进攻计划、行为或者后果,进而保障系统的完整性、机密性以及可用性。入侵检测技术主要有使用主机入侵的检测和使用网络入侵的检测两种方式。前者是以主机为检测对象,将入侵检测设置于系统之上,以避免因网络遭到外部攻击而造成系统不能正常运行的状况发生。后者是以网络为检测对象,又可以称是硬件检测,该检测是将网络中的数据包安插在相对重要的地方,再对其进行分析和配置,一旦发现有攻击行为存在,系统便根据有之前配置的相关安全策略阻断网络,以保证网络安全。
2.3VPN
VPN是一种利用公用网络架设虚拟专用网络的远程访问技术,其实质通过共享网络建立一个能够连接内部网络的隧道。对远程用户来说,VPN非常实用,不仅成本较低,还能够通过其获取可靠安全的资源,并且在此过程中传输数据时的安全性也能够得到相应保障。隧道技术、加密和解密技术、密钥管理技术以及身份认证技术是VPN中最主要的四种安全技术。VPN技术最主要的特点有两个,一是能够保障安全性,二是能够保证QoS的服务质量。前者主要体现在VPN能够保证网络传输中所传输数据的可靠性和保密性。而后者主要体现在能够预测网络在高峰期的使用情况,并建立一定策略机制,设置相关权限以控制执行先后顺序,避免出现拥塞现象。
3网络安全解决方案
3.1构建网络安全体系
网络服务的保密性、完整性和持续性是网络安全体系的最主要体现,现阶段的网络应用中存在不少安全隐患,这在一定程度上影响了网络服务的质量。所以,要提升网络安全系数,保证网络安全质量就不得不首先从构建网络安全体系着手。例如,要构建一个图书馆的网络安全体系,其具体操作流程如下。第一,对具体的业务、系统、网络等实际应用情况做一个全面具体的分析,建立一个初步的、具有一定整体性的安全体系结构框架。图书馆的网络安全体系结构框架可以从存储系统、网络结构和自动化系统这三个方面设计。第二,再对以上三个方面进行详细分点设计,整理出每一方面需要设计的内容。具体如下。(1)存储系统方面,DAS系统的技术相对而言更具成熟性和稳定性,故而该图书馆的存储系统可采用该系统。(2)网络结构方面,为免受设备物理位置的限制,可采用VLAN划分技术,实现每一个职能部门计算机的逻辑划分。(3)自动化系统方面,服务器对应用访问的热备份需求日益增加,为满足这一需求,图书馆在自动化系统方面可以采用双机热备技术。
3.2技术与管理相结合
技术和管理的有机结合能够更好地实现网络安全,控制网络内部的不安全因素的产生。此处仍以图书馆为例,具体操作如下所示。(1)使用防火墙。DDoS和DoS的攻击可能会使得PC机和关键服务器受到损害,这个时候就需要设置防火墙,并制定相关的限制访问策略,以响应各种网络攻击。图书馆可以根据自身实际情况配置防火墙,以防止外部非法用户在该图书馆网络中自由出入,获取资源。另外,为了保证计算机网络系统安全,图书馆还应该随时对系统进行升级。(2)安装防毒软件。安装防毒软件防止病毒入侵的重要方式之一,桌面、服务器、邮件以及网关等随时都有可能遭病毒入侵,所以设置防病毒软件尤为必要。在选择时,一定要选择公认的质量较好的、升级服务较为及时的、响应和跟踪新病毒速度较快的防病毒软件。(3)多重加密技术。网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程,首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式。其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制。最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见。比如各大社交软件、游戏账号、邮箱等,都设有个人密码,只不过多重加密技术是一种更高级的渗透入网络数据传输各环节的一种加密形式,有效地采用多重加密技术将极大促进网络重要数据的安全性。
3.3制定安全问题应急策略
网络安全事故在所难免,但是可以通过一定的措施控制其发生的频率。制定应急措施便是不错的方法之一。应急策略包括紧急响应计划和灾难恢复计划。前者主要是指出在事故发生之时系统和网络可能遭到的破坏和故障有哪些,而后者主要是指明如何及时地应对这些破坏和故障,使其恢复到正常状态。
3.4注重相关人员技术培训
培训不能仅仅只针对相关技术人员,非技术管理人员的培训也尤为重要。现阶段,无论是技术性还是非技术性员工,对网络安全的重视程度仍旧不够。所以,加强其网络安全意识势在必行。对非技术人员的培训而言,主要是使其了解基本安全技术、能够分辨网络或系统中存在的安全隐患等。而对于技术人员而言,要求则相对较高,必须使其掌握相关的黑客攻击技术,找到应对方法,并将其应用于实际工作中,以保证网络安全等。
4结束语
关键词:计算机网络;安全;安全管理;防火墙
中图分类号:TP393.08
随着科技的迅猛发展,计算机信息化建设在医院的高效管理中体现出日益重要的作用。借助计算机网络及管理软件,可以对医疗收费进一步规范、减少资产的恶意流失,同时能促进医院工作的有效提高,加强医院的管理水平,也能对领导提供合理的决策数据,让医院朝着更好的方向发展[1][2]。完善的医院信息管理系统,对医院医务工作的正常运行起着很重要的作用,关系着医院工作的正常开展,如果计算机网络出现问题,那么整个医院的工作将会出现混乱,严重的导致病人的治疗受到延误,给医院也会带来一定的损失,可以说,计算机网络与信息管理系统的安全运行对医院的有序工作极其重要。
1 医院计算机网络安全风险分析
对于医院这个重要的单位来说,信息化的管理系统包括医院信息管理系统,这个系统主要提供了医院内部工作人员进行自动化办公,实现医院各部门之间信息的共享,医院相关信息的统一管理;另外,还需要网络的支持,可以接入因特网,允许医院在需要的时候通过外部网络来搜索相关的资料、数据,同时也能够将医院的一些数据到网上,给病人与医院提供一个交互的平台,让病人能够更好的了解医院,宣传医院,实现医院的社会与经济效益双丰收。由于网络与信息管理系统的安全构成了医院正常开展工作的瓶颈,这也使得医院的工作受到网络攻击的极大威胁[3]。
1.1 TCP/IP协议存在的安全隐患
TCP/IP协议是计算机上网必须的通讯协议,这个协议规定了计算机与网络进行通信的各种规则,其实现原理比较简单,具有较强的扩展性,这也相应的使得该协议存在各种不安全患,比如IP包的劫持,利用Smuff进行攻击等。由于TCP序列号有一定的规律,因此,网络入侵者可以借助预测方法来找到正常连接的一个TCP序列号变化规律,从而实现IP劫持,并将恶意数据插入TCP连接中,导致网络的中断或破坏。
1.2 IP协议存在的隐患
IP协议是互联网协议,其本身比较安全,但是,其功能实现都有这两个问题:(1)一般用户的口令与寄录口令一样,且没有经过加密,这就带来了网络被攻击的风险。如果有恶意程序在网络内进行监听,那就可以直接得到网络中的所有口令,从而导致入侵产生。当然,在邮件的POP3协议中也存在相同的问题。(2)对于网络中应用的FTP服务,匿名连接可导致网络攻击,比如RP服务实现的是上传数据,这可以让入侵者通过上传来放置木马,既然能上传,其他的恶意篡改过的文件也能放置到网络中,这样,如果有客户端下载了这种文件,那会导致客户端受到恶意攻击破坏。同时,FTP匿名上下载文件,还能使得账户与口令无形泄露。另外,匿名FTP无法记录信息,所以无法监控攻击源[4]。
1.3 DNS解析隐患
DNS实现的是IP数字与网络字符化域名之间的转换等多种服务,在这些服务中,也存在着多方面漏洞。比如域名的假冒性攻击:如R类服务,网络中的入侵攻击可以冒充真正的域名解析服务器来给出一个回应,目的主机受到信息后并不做判断,将会误认为这个回应是信任的。这样,入侵者一旦掌握了这些信息,就可以连接到网络中监听网络通信,给网络造成很大的威胁。比如一个zolletransfer请求,会得到一部分数据库信息,如果连续进行请求,那就可以获得一份完整的数据库信息,从而知道网络中的所有主机信息,从而实现控制各个主机。
1.4 路由寻址协议缺陷
常见的网络中的ARP攻击就是利用路由协议的缺陷,除此外还有ospf攻击、rip攻击等。ARP欺骗利用了目的主机的IP以及以太网地址进行路由攻击,形成一种IPspoof。在交换式的以太网中经常发生,主要是交换机具有转发功能,将收到的ARP欺骗包更新了交换机的CACHE后,开始向网络中的各个主机发送ARP包,这样各种响应信息都会汇集到入侵者。
2 医院的网络安全管理主要解决的问题
在信息化的推动下,医院也在加快建设医疗管理系统,网络成为这中间不能缺少的关键一环。通过建设网络,使得医院开始从封闭走向了开放,信息在各部门之间实现了共享,部门之间需要查阅数据变得很快捷,但是为了保证各部门之间的信息安全,在实现的时候一个部门是作为一个完整的单元来建设的,这样可以保证它们之间相对的物理隔绝,并能独立运行,如果在需要的时候,可以将这些网络进行连接,从而实现内外互连。但是,这会给医院的运行管理带来额外的负担,网络运行会存在较大的隐患。
安全管理在医院的管理中最主要的一项工作,对于网络安全管理来说,由于网络涉及到各种信息的泄露与破坏,因此需要制定一些策略与规程。可以看到,这些管理是一项更为复杂的工作,需要一个完整的系统来实现。医院的计算机网络安全需要解决以下这些,例如:安全策略集中化、实时安全监听、建立安全联动机制、做好系统漏洞补丁管理、设置合理的权限管理和设备管理这六部分的安全管理。
3 医院网络安全及解决方案
3.1 防火墙技术
网络中的防火墙本来是实现将内网与外网进行隔断,是一种保障外网不能侵入内网,但是内网的信息可以传送到外网的一道屏障。在网络中配置防火墙是最为基本的一个措施。从设备来看,可以用硬件实现,也可以使用软件来达到这个功能,或者将这两者结合起来,这样可以达到更好的效果。
3.2 数据加密与用户授权访问控制技术
防火墙从数据传送上保障了网络的安全,但是对于一些开放的网络,必须将防火墙设置为最低限制,那要保证网络中传送的信息安全,需要通过数据加密或者对用户权限进行设定来实现。对用户权限设置可以保证静态信息的访问安全,这主要在计算机系统中来实现。而保证传送的信息不能被直接获取利用,这可以使用数据加密来实现。
数据加密是保护网络中传送的数据不被他人直接看到,而采用的一种转换编码方式,一般的原理就是对要传送的信息进行某个算法的重新计算,从而得到另一种信息,这个信息从字面上不能直接看出要传送信息的本意。算法中变换信息的值用到一个密钥,常分为公钥和私钥两类。公钥可以公开,但是私钥则必须保密,且只能是信息解密着唯一拥有。在各种算法中RSA是使用较广的一个加密算法。
3.3 防病毒技术
由于计算机新技术的出现和投入使用,病毒也随着变得日趋复杂,这对计算机内部文件的管理和系统的安全形成了巨大的威胁。为了防止其受到病毒的破坏,必须使用杀毒软件。
3.4 安全管理队伍的建设
建立完善的网络安全管理系统,只有通过工作人员和杀毒软件的共同努力,才能高效、合理的将影响系统稳定的危险原因减到最少。
4 总结
计算机信息的安全问题是医院现代化管理中的核心问题,而网络安全能否做到最好主要取决于网络数据的安全和完整性,只有采取最有效的方法保障数据的安全和完整性,才能为医院的现代化建设管理提供良好优质的服务。
参考文献:
[1]任忠敏,马国胜,姚鸣红.医院信息系统安全体系的建立[J].医学信息,2004,17(7):408-410.
[2]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):l04,ll0.
[3]张会芹.医院网络的安全维护措施[J].中国医院统计,2006,12(2):191-192.
[4]张震江,赵军平.医院网络与信息安全的问题和对策[J].医院数字化,2006,27(16):32-34.
当我们看到这位读者的户型图时,着实吓了我们一跳,整整四层楼的别墅,对于家庭网络布线来说这的确算是一个大工程。不过我们很高兴王先生来信告诉他遇到的问题,一方面是因为这代表了王先生对我们的信任,另外一方面我们也可以利用王先生的这个案例向其他有同样问题的朋友解惑。
负一层
负一层有四个功能房间:车库、酒窖、影音室以及储藏室。从房间的功能来看,只有影音室需要网络接口。目前各种可以连接网络的影音设备越来越多,如功放、蓝光播放机、电视机、高清播放机等等。需要有些影音设备也可以支持无线接入,但是相比来说有线网络更加稳定可靠。因此,我们认为影音室需要的有线网络接口至少为4个。
第一层
第一层有4个功能房间:客厅、茶厅、餐厅和厨房。客厅要放置电视机、播放机等影音设备,因此客厅电视墙处需要留至少2个有线网络接口。茶厅是和朋友喝茶聊天的地方,按理说这里没有必要安装有线网络接口,但是考虑到茶室位于整个一层的中间位置,正好是无线路由器的放置位置,所以在茶室我们建议留有两个有线网络接口(一个用于连接有线网络,一个用于连接无线路由器),并在附近预留电源接口。剩下的房间还有餐厅和厨房,如果在几年前这两个地方几乎没人考虑会预留有线网络接口,然而如今不同了,各种智能家电已经开始有了雏形,所以我们认为现在厨房和餐厅,王先生一定要考虑预留2个左右的网络接口。至于有线网络接口的位置我们建议是电冰箱位置、微波炉位置等。另外,我们暂时不清楚王先生的洗衣机摆放位置,但我们还是要建议王先生在洗衣机位置安装一个网络接口。
第二层
第二层的有线网络接口的确定就相对比较简单了,因为这里房间的功能性较为单一,只有三间卧室和一个休闲厅。三间卧室肯定每一个房间需要一个有线网络接口。家庭休闲厅位于这一楼层的中间位置,正好用来放置无线路由器。因此,在这里也需要1个有线网络接口。如果王先生在就家庭休闲厅有放置电视机的打算,那么在电视机的位置需要1~2个有线网络接口。
第三层
第三层的房间功能性与第二层相近,有两间卧室和一个书房。很显然,和楼下几层一样,用于覆盖全楼层的无线路由器应该放置在楼层中间的房间书房中。再加上书房本身需要1~2个有线网络接口,因此位于第三层的书房肯定至少2~3个有线网络接口。第三层的主卧室和另外一个卧室,当然也各自需要一个有线网络接口。
找准网络中心
按照王先生的要求,这套别墅要实现无线网络全覆盖,肯定要采用有线+无线的网络布局方式。确定了方向,那么我们首先就是要确定网络中心的位置。别墅户型与平层户型不同,一般别墅都是2层以上的楼房,因此网络a每层楼的具体功能:负一层是影音室和车库;第一层是客厅、餐厅以及茶厅,这里是平时招待朋友聚会的主要场所;第二层是次卧室和儿童房等,是休息的地方;第三层主卧室和书房。从各方面综合考虑,我们认为负一层应该是最好的网络中心所在地。因为负一层平时来客不多,而且可供隐藏有很多网线的网络中心的地方较多,比如车库、储藏室等。恰好的是,经过我们和王先生的电话沟通,王先生这套别墅的弱电箱正好位于负一层的车库,于是网络中心就定下来在车库了。
网络节点宜多不宜少
网络中心确定后,接下来就要确定每一个有线网络接口的位置,这样才能知道怎样去布设网络线。现在我们需要根据每一层每一个房间的功能以及具体需求来确定每一个网络接口的位置。
建一个完善的弱电控制中心
鉴于每一楼层的情况,到这里我们基本可以总结出整个别墅大致需要20个左右。可以想象20根网线同时有各个房间到车库弱电箱处汇集,将是很大一捆线缆。一般的弱电箱恐怕难以满足需求。所以我们建议王先生放弃原有开发商提供的弱电箱,而单独购置一个网络机柜用作网络控制中心,用于放置所有的弱电设备,如电话交换机、有线电视分配器、网络交换机、ADSL Modem以及无线路由器。
TIPS
卧室的有线网络接口安装在哪里?
解决这个问题需要解析卧室的网络使用情况,一般情况我们在卧室里需要使用到网络的设备是智能手机、笔记本电脑以及电视机。而智能手机和笔记本电脑都可以通过覆盖到卧室的无线网络信号达到上网的目的,因此有线网络接口的位置应该安装在卧室电视机的位置。
机柜图
目前网络商城上有很多网络机柜出售,大家可以根据需要购买。购买时,尽量购买一个12U左右的机柜。
选择适合自己的网络设备
到现在,我们基本上已经为王先生确定好了整个别墅的网络布线方案的90%,剩下的就是网络设备的确定了。前面我们提到,在王先生的网络解决方案中,需要用的有线网络接口预计有20个左右,所以王先生首先需要的是一个24口的网络交换机,用于连接每一个网络接口。其次,是网络中心的无线网络路由器,这个无线网络路由器将担负ASDL Modem的拨号、负一层的无线网络覆盖以及连接网络交换机的作用。最后是每一楼层的无线网络路由器的选择,考虑到美观和便于隐藏,我们建议王先生在除负一层之外的其他楼层的无线路由器均采用小巧的无线路由AP来承担每一楼层的无线网络信号覆盖。
D-LINK DGS-1024T 24口机架型千兆交换机
DGS-1024T是D-Link了具有环保绿色以太网技术的非网管型千兆级交换机,虽然这是一款专门针对企业级用户设的计交换机,不过对于家庭用来说使用这款产品更加确保了产品长时间工作的可靠性。DGS-1024T的端口都可以在无连接时自动休眠以降低电源功率,并且能够根据不同以太网线缆长度来预先估计功率输出以达到环保的目的。 DGS-1024T支持IEEE 802.1p QoS,能够在数据包爆发期间,对时间效应敏感的数据被有效发送,确保游戏玩家和要求优先权的数据包优先发送,保证用户的最佳使用效果。DGS-1024T具备的D-Link诊断功能带有连续的驱动器来适合于家庭和Soho千兆级用户,使他们仅通过查看前面板的LED指示灯显示就可以来检测线缆状况。
D-Link DIR-605无线宽带路由器
DIR-605 无线宽带路由器集有线/无线网络连接于一体,符合IEEE 802.11n标准,最高无线传输速率可达300M。以前11g的由于技术的限制可能无法对家庭做到完全的无线覆盖。随着11n的出现,在传输距离和无线信号的穿透力方面有了明显的提升,完全可以满足现在3居室、复式、跃层户型的无线覆盖,对于别墅也可以基本保证无线信号覆盖整个家庭。
DIR-605安装也非常简单,它具备的快速安装功能能够快速配置,能够一步一步的引导用户进行安装,指导用户配置互联网连接、无线网络设置和安全设置,以及其他所有运行网络所必须的东西。这样,即便您不是一个互联网专家也可以让您的网络运行起来。
TP-LINK TL-WR800N无线AP
关键词:EPC;对象命名服务;混合加密
中图分类号:TP309 文献标识码:A 文章编号:1672-7800(2013)005-0130-03
0、引言
EPC网络(又称为物联网)是当今的热门研究领域,在此网络中,可以识别任何事物及其在物流链中的位置,以达到降低成本、提高物流供应链管理水平的目的。近年来物联网飞速发展,其通信安全也受到了广泛关注。
物联网的安全研究主要分为两类:一类研究RFID阅读器通讯和RFID标签;另一类研究EPC Global网络安全。文献分析了EPC G10bal网络体系中0NS系统存在的安全隐患,并给出了解决方案,由于此方案需要与VPN技术结合,因此局限于大规模应用;文献提出了基于DNS安全扩展的解决方案,以加强ONS系统内部的安全,此方案能够保证0NS内部的安全,但当0NS与EPC系统中的其它组件进行交互时,可能会出现窃听、欺骗等安全威胁。
目前数据加密技术有两种:一是对称加密,采用相同的密钥加解密,如DES、IDEA、AES算法等;二是非对称加密,加密解密使用不同的密钥,如RSA、椭圆曲线算法等。这两类加密算法在速度、安全性和密钥的管理上各有优缺点,优势互补。因此,本文提出了基于DES和RSA的混合加密方案,并将DES—RSA混合加密技术应用于ONS查询过程中的数据通信,使得各ONS组件之间交互时更加可信和安全。
1、EPC网络
EPC网络由EPC编码标准、射频识别系统及信息网络系统组成,如图1所示。
(1)EPC编码标准。EPC编码标准是由版本号、厂商识别代码、对象分类代码及序列号等字段组成的一串数字,其作用是为每个对象提供唯一标识。
(2)射频识别(RFID)系统。射频识别系统用于实现EPC代码的自动采集,由EPC标签和阅读器组成。EPC标签是产品电子代码的载体,附于可跟踪的物品上,在各地流转。阅读器与信息网络系统相连,用来读取EPC标签并写入信息网络系统中。EPC标签与阅读器之间采用无线感应方式交换信息。
(3)信息网络系统。信息网络系统由本地网络和全球互联网组成,用于实现信息管理及流通。EPC中间件是连接标签阅读器和企业应用程序的纽带,其功能是处理来自于阅读器的数据流,任务是校对数据、阅读器协调、数据传送存储和任务管理。对象名解析服务(ONS)类似于域名解析服务DNS,它将一个EPC映射到一个或多个URI,据此可以找到该产品的详细信息,这些信息存放在EPCIS服务器上。EPC信息服务(EPCIS)存放了大量制造商生产的所有物品相关数据信息的PML文件。
2、对象名解析服务(ONS)
2.1 ONS概述
ONS根据DNS的基本原理,实现产品电子编码与相应的EPCIS信息服务器PML地址的映射管理和查询,其组成部分如下:
(1)映射信息。映射信息分布地存储在各层ONS服务器中,其内容包含了URI和EPC编码的映射关系。
(2)ONS服务器。若本地客户端要求查询某个EPC对应的PML服务器的IP地址,则由ONS服务器处理此请求,若查询成功则返回相应信息。ONS服务器具有与DNS服务器相似的结构,最顶层为根ONS服务器,其下为子ONS服务器,每台ONS服务器都存储着部分EPC的权威映射信息和缓存映射信息。
(3)本地ONS解析器。本地ONS解析器向ONS服务器发出请求,查询PML服务器所在的位置。
(4)ONS本地缓存。ONS本地缓存保存频繁及最近查询的“查询-响应”值,当应用程序进行EPC代码查询时,首先查看ONS缓存中是否包含相应的记录,若有则直接获取,这样可以减少外查询的次数,提高查询效率。
2.2 ONS工作过程
ONS查询过程如图2所示。
①阅读器从RFID标签上读取EPC编码,如64位的EPC编码(01000000000000000000010 00000000000000011000000000000000000011100);②阅读器将EPC编码发送给本地服务器;③本地服务器将二进制的EPC编码转换为十进制整数,并在首部添加“urn:epc:”,转换为URI格式(urn:epc:1.2.3.28),然后将其发送到本地ONS解析器;④本地ONS解析器将URI转换成DNS域名,方法为:清除urn:epc,得1.2.3.28;清除EPC序列号,得到1.2.3;颠倒数列,得到3.2.1;添加“”,得到,本地ONS解析器访问本地ONS服务器,若找到相关的ONS记录,则直接返回DNSNAPTR记录;否则转发给上级ONS服务器做进一步处理;⑤通过ONS基础架构,将EPC域名对应的PML服务器的IP地址返回给本地ONS解析器;⑥本地ONS解析器将IP地址返回给本地ONS服务器;⑦本地服务器根据IP地址找到PML服务器,并与其建立连接,获取EPC信息。
2.3 ONS安全分析
当ONS系统与客户端应用程序交互时,存在一定的安全隐患,如图2中的步骤①和⑥。常见的攻击有欺骗、偷听、篡改等。假如攻击者非法获取了某产品的EPC标签,就可以通过ONS系统来查询此产品的详细信息,这就是伪装身份进行欺骗从而获取信息;攻击者也可以截取ONS与客户端通信的信息,这就是偷听行为;还可以将截获的信息进行修改后再发送,从而导致信息交互出错,这就是篡改行为。
3、基于DES和RSA的混合加密技术
3.1 DES算法
DES是一个分组加密算法,它以64位为分组对数据进行加密,其中有8位奇偶校验,有效密钥长度为56位。DES算法的加密和解密采用同一算法,其安全性依赖于所用的密钥。DES对64位的明文分组进行操作,通过一个初始置换,将明文分成左半部分L。和右半部分Rt,各32位长;然后进行16轮完全相同的运算,运算公式为:L。=Ri-1,Rt=Li-1+f(Ri-1,Ki。),在运算过程中数据与密钥结合;经过16轮后,左、右半部分合在一起经过一个逆置换(初始置换的逆置换),完成算法。
3.2 RSA算法
RSA算法使用两个密钥:加密密钥(公开)和解密密钥(保密)。其过程如下:①随机选择两个大素数a和b(均保密);②计算n=ab(公开);③计算欧拉函数ω(η)=(a-1)(b-1)(保密);④随机选取一整数e,满足O
3.3 算法比较
(1)加解密速度。DES算法的密钥仅为56位,进行的是简单位处理,加解密速度快,适合长数据的加密;RSA算法需要进行多位整数乘幂和求模等多字长处理,运算量大且复杂,速度明显慢于DES算法,只适合于少量数据的加密。
(2)安全性。DES算法的密钥一旦丢失,任何人都可以破解密文,安全性差;RSA算法用不同的密钥来加密和解密,难以破解,安全性相对较高。
(3)密钥的分配和管理。RSA算法公开分配加密密钥,加密密钥容易更新,与不同的对象通信时,只需保管好解密密钥,密钥的分配和管理容易;DES算法在通信前就要秘密分配密钥,密钥难以更换,与不同的对象通信时,要分配和保管不同的密钥,密钥分配和管理相对困难。
3.4 基于DES和RSA的混合加密
通过以上分析,DES和RSA算法各具优势,优缺点正好互补。可以结合两者的优点,避免缺点,因此本文提出了基于DES和RSA的混合加密,思路是:加解密采用DES,密钥传递采用RSA,这样既可以利用DES运算速度快的优势,也可以利用RSA密钥管理容易的优势,克服了各自的弱点。
DES-RSA混合加密的思路是:先用DES算法加密消息明文,再用RSA算法加密DES的密钥,然后将数据发送给接收方。接收方收到密文和被加密的密钥后,先用RSA算法解密密钥,再用此密钥解密密文。混合加密的过程如图3所示。
4、DES-RSA混合加密在ONS中的应用
在ONS服务器与客户端交互时,将DES-RSA混合加密应用到图2中的①和⑥,客户端发送信息的过程为:
将要发送的EPC编码M用DES算法加密,得到密文C。①客户端生成一个DES方式的密钥K;②采用RSA算法,客户端用ONS服务器端的公钥对K进行加密,得到K1;③将密文C和K1发送到ONS服务器。
ONS服务器端收到客户端的请求后,作以下处理:①服务器端用私钥对K1解密,得到K;②服务器端用K作为密钥,对C进行解密,得到原始EPC编码M,并销毁K;③进行下一步查询。
获取不到真正的信息明文,即可以防止攻击者利用非法得到的信息进行攻击。
关键词:电子政务;信息安全; OA ERP
1.背景
随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。
2.系统安全现状
根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网, 将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。
电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非涉密网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:
图2.1
(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
(3)缺乏统一的权限管理,各应用系统有一套独立的授权管理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重;
(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。
3.网络与信息安全平台设计方案
3.1设计思路
信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
3.2 安全体系设计方案
综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。
3.3.1信息安全基础设施设计方案
信息安全基础设施总体设计方案架构如下图:
图3.1 信息安全基础设施设计方案
基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务,建立全系统范围一致的新人基准,为整个政府信息化提供支撑。
网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。
边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.3.2网络安全防护体系设计方案
图3.2 网络安全防护体系设计方案
由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。
在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
在应用系统的开发过程中,要充分考虑到系统安全,采用先进的身份认证和加密技术,为整个系统提供一套完整的安全身份认证机制,以确保每个用户在合法的授权范围内对系统进行相应的操作。
3.3.3 灾难备份系统设计方案
灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案。
备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。
当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。
4.网络架构
针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。
5.电子政务公务外网安全设计总结
综上所述,根据市政府网络中心功能需求,我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事,加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效的发挥了网络安全防护效果,达到了放牧目的。
参考文献:
[1]龚俭.计算机网络安全导论[M].东南大学出版社.
[2]闫宏生,等.计算机网络安全与防护[M].电子工业出版社.
