发布时间:2023-03-01 16:28:17
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的数据保密解决方案样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
JHSE椒图主机安全环境系统(以下简称JHSE),是椒图科技自主研发的安全操作系统,是当前国内最先进的专利技术产品,代表了国内最先进的安全理念和发展趋势。目前,JHSE已通过公安部计算机信息系统安全产品质量监督检验中心的检验,达到了国家等级保护标准《GB/T20272-2006信息安全技术-操作系统安全技术要求》的三级操作系统安全水平,是我国首款通过国标三级检测的通用型安全操作系统。
JHSE服务器安全操作系统解决方案利用增强型DTE(数据终端设备)、RBAC(基于角色的访问控制)、BLP(安全访问控制的模型)三种访问控制安全模型组合,重构操作系统的安全子系统(SSOOS),通过三种安全模型的相互作用和制约,确保系统中信息和系统自身的安全性,以保障操作系统的保密性、完整性、可用性、可靠性。JHSE符合国家信息安全等级保护三级安全标准,拥有多因子身份鉴别、安全域管理、强制访问控制、安全审计、数据完整、数据保密、剩余信息清除等200多项核心技术和多项发明专利,能很好地解决操作系统层面的恶意代码执行、越权访问、数据泄露、破坏数据完整性等攻击行为,以保障操作系统的安全性。
与传统依靠使用开源的Linux源代码自主研发安全操作系统不同,JHSE服务器安全操作系统解决方案采用重构操作系统安全子系统(SSOOS)确保操作系统安全的方法,在内核层面上对操作系统进行重构和扩充。这种方式对安装在原服务器操作系统之上的合法应用软件和数据库的正常使用不造成任何影响,对底层硬件驱动没有负面作用,不影响现有业务的连续性,甚至不用重新启动服务器,就能对整个服务器操作系统的安全性进行动态提升,弥补了传统安全解决方案的不足。
作为通用型服务器安全操作系统解决方案,JHSE适用于AIX、HP-UX、Solaris、Windows Server、Linux Server等主流商用服务器操作系统,把服务器操作系统安全等级提升为三级安全操作系统。
目前,JHSE服务器安全操作系统解决方案已在政府机构、国防、军工、金融、证券、保险、银行、石油、海关、税务等多个领域得到广泛应用。其核心价值包括:使操作系统免疫恶意代码执行和已知、未知的黑客攻击;具有完全自主知识产权,达到等级保护三级标准;无需采购其他主机安全软件,节约采购、维护和建设成本;完全兼容现有环境,无需重新购买设备;安装过程不影响现有业务流程的连续性;可对信息安全事故进行深度分析,精确定位事故发生的源头,使安全事故得到妥善解决;颠覆传统的操作观念,安装、培训、使用便捷。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定的穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高(可达11Mbit/s),发射功率小(只有100~250mw)保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如NovellNetWare和MicrosoftNT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
常见的无线网络安全加密措施可以采用为以下几种。
一、服务区标示符(SSID)
无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
二、物理地址(MAC)过滤
每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
三、连线对等保密(WEP)
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多
缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2,,该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。
四、虚拟专用网络(VPN)
虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
五、端口访问控制技术(802.1x)
该技术也是用于无线网络的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网802.1x
要求工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证,同时它作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
无线网络以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了用户的青睐。但无线网络的安全及防范无线网络的入侵仍是我们现在和将来要时刻关注的重要问题。
一、建设网站前的市场分析
1、相关行业的市场是怎样的,市场有什么样的特点,是否能够在互联网上开展公司业务。
2、市场主要竞争者分析,竞争对手上网情况及其网站规划、功能作用。
3、公司自身条件分析、公司概况、市场优势,可以利用网站提升哪些竞争力,建设网站的能力(费用、技术、人力等)。
二、建设网站目的及功能定位
1、为什么要建立网站,是为了宣传产品,进行电子商务,还是建立行业性网站?是企业的需要还是市场开拓的延伸?
2、整合公司资源,确定网站功能。根据公司的需要和计划,确定网站的功能:产品宣传型、网上营销型、客户服务型、电子商务型等。
3、根据网站功能,确定网站应达到的目的作用。
4、企业内部网(Intranet)的建设情况和网站的可扩展性。
三、网站技术解决方案
根据网站的功能确定网站技术解决方案。
1、采用自建服务器,还是租用虚拟主机。
2、选择操作系统,用unix,Linux还是Window2000/NT。分析投入成本、功能、开发、稳定性和安全性等。
3、采用系统性的解决方案(如IBM,HP)等公司提供的企业上网方案、电子商务解决方案?还是自己开发。
4、网站安全性措施,防黑、防病毒方案。
5、相关程序开发。如网页程序ASP、JSP、CGI、数据库程序等。
四、网站内容规划
1、根据网站的目的和功能规划网站内容,一般企业网站应包括:公司简介、产品介绍、服务内容、价格信息、联系方式、网上定单等基本内容。
2、电子商务类网站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、个人信息保密措施、相关帮助等。
3、如果网站栏目比较多,则考虑采用网站编程专人负责相关内容。 注意:网站内容是网站吸引浏览者最重要的因素,无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查,并在网站后调查人们对网站内容的满意度,以及时调整网站内容。
五、网页设计
1、网页设计美术设计要求,网页美术设计一般要与企业整体形象一致,要符合CI规范。要注意网页色彩、图片的应用及版面规划,保持网页的整体一致性。
2、在新技术的采用上要考虑主要目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。
3、制定网页改版计划,如半年到一年时间进行较大规模改版等。
六、网站维护
1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。
2、数据库维护,有效地利用数据是网站维护的重要内容,因此数据库的维护要受到重视。
3、内容的更新、调整等。
4、制定相关网站维护的规定,将网站维护制度化、规范化。
七、网站测试
网站前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容:
1、服务器稳定性、安全性。
2、程序及数据库测试。
3、网页兼容性测试,如浏览器、显示器。
4、根据需要的其他测试。
八、网站与推广
1、网站测试后进行的公关,广告活动。
2、搜索引掣登记等。
九、网站建设日程表
各项规划任务的开始完成时间,负责人等。
十、费用明细
各项事宜所需费用清单。
以上为网站规划书中应该体现的主要内容,根据不同的需求和建站目的,内容也会在增加或减少。在建设网站之初一定要进行细致的规划,才能达到预期建站目的。
2008年04月22日 星期二 上午 09:49
一、建设网站前的市场分析
1、相关行业的市场是怎样的,市场有什么样的特点,是否能够在互联网上开展公司业务。
2、市场主要竞争者分析,竞争对手上网情况及其网站规划、功能作用。
3、公司自身条件分析、公司概况、市场优势,可以利用网站提升哪些竞争力,建设网站的能力(费用、技术、人力等)。
二、建设网站目的及功能定位
1、为什么要建立网站,是为了宣传产品,进行电子商务,还是建立行业性网站?是企业的需要还是市场开拓的延伸?
2、整合公司资源,确定网站功能。根据公司的需要和计划,确定网站的功能:产品宣传型、网上营销型、客户服务型、电子商务型等。
3、根据网站功能,确定网站应达到的目的作用。
4、企业内部网(Intranet)的建设情况和网站的可扩展性。
三、网站技术解决方案
根据网站的功能确定网站技术解决方案。
1、采用自建服务器,还是租用虚拟主机。
2、选择操作系统,用unix,Linux还是Window2000/NT。分析投入成本、功能、开发、稳定性和安全性等。
3、采用系统性的解决方案(如IBM,HP)等公司提供的企业上网方案、电子商务解决方案?还是自己开发。
4、网站安全性措施,防黑、防病毒方案。
5、相关程序开发。如网页程序ASP、JSP、CGI、数据库程序等。
四、网站内容规划
1、根据网站的目的和功能规划网站内容,一般企业网站应包括:公司简介、产品介绍、服务内容、价格信息、联系方式、网上定单等基本内容。
2、电子商务类网站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、个人信息保密措施、相关帮助等。
3、如果网站栏目比较多,则考虑采用网站编程专人负责相关内容。 注意:网站内容是网站吸引浏览者最重要的因素,无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查,并在网站后调查人们对网站内容的满意度,以及时调整网站内容。
五、网页设计
1、网页设计美术设计要求,网页美术设计一般要与企业整体形象一致,要符合CI规范。要注意网页色彩、图片的应用及版面规划,保持网页的整体一致性。
2、在新技术的采用上要考虑主要目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。
3、制定网页改版计划,如半年到一年时间进行较大规模改版等。
六、网站维护
1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。
2、数据库维护,有效地利用数据是网站维护的重要内容,因此数据库的维护要受到重视。
3、内容的更新、调整等。
4、制定相关网站维护的规定,将网站维护制度化、规范化。
七、网站测试
网站前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容:
1、服务器稳定性、安全性。
2、程序及数据库测试。
3、网页兼容性测试,如浏览器、显示器。
4、根据需要的其他测试。
八、网站与推广
1、网站测试后进行的公关,广告活动。
2、搜索引掣登记等。
九、网站建设日程表
各项规划任务的开始完成时间,负责人等。
十、费用明细
面对这些挑战,芝加哥最大的独立银行之一――Cole Taylor选择了RSA enVision解决方案。这家银行的安全总监Erik Hart表示:“以前,一名员工通常每天用2个小时查看几个关键系统的原始日志,寻找可能的违规或内部不端行为。而内部和外部审计结果表明,我们需要提高安全性和法规遵从。在评估了多个厂商的产品后,当发现RSA的解决方案可以降低法规遵从负担而不会大幅增加成本时,我们非常兴奋。”
enVision解决方案可以轻松地把看似不相关的原始安全和网络事件转化为有意义的智能,从而降低IT员工的压力,提高安全人员的工作效率,并为日益严格的法规遵从要求提供支持。RSA enVision平台提供的安全信息和事件管理解决方案利用LogSmart互联网协议数据库(IPDB)从所有网络元件上实时收集和分析所有数据(All the Data),让Cole Taylor最大程度地了解整个信息基础设施上的所有安全威胁。通过整合、规范和分析收集的数据,RSA enVision简化了Cole Taylor的安全管理,并且通过统一、全面查看整个网络,更快速地响应内外部威胁,提高Cole Taylor的安全效率。
现在,Cole Taylor使用这个系统密切跟踪日常安全状况。定期报告功能可以查看主要活动(例如:管理员分配访问权限)以及相关的控制(例如:批准和停止)。报告定义后,就可定期自动运行(每天、每月或每个季度),并通过电子邮件发送给相关人员。enVision还包括预定义的法规遵从报告,可以定期发送给审计人员。
Hart表示:“审计人员在年末来审计时,我们可以轻松地说明我们遵守了既定的控制流程。我们一直在采用两年前制定的报告,根本不需要改变。要手动完成这项工作则需要庞大的人力,可能需要5个人专门处理访问管理工作。”
[关键词]电子政务;信息安全
随着计算机网络技术和Internet技术的飞速发展和广泛应用,电子政务在政府实际工作中已经发挥了越来越重要的作用。由于电子政务的业务范围包括政府机关内部的信息,也包括机关内部部门之间一定范围内交流的信息,还包含可以公开的信息。因此如何保证这种基于网络的、符合Intenet技术标准的、面向政府机关内部和社会公众提供信息服务和信息处理的系统安全、正常运转,是电子政务建设的关键。
一、电子政务的安全架构
由于电子政务中的部分信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向,是为社会提供行政监管的渠道,为社会提供公共服务,同时又需要一定程度的开放。所以,解决电子政务安全问题应从物理安全设计、网络安全设计、信息安全管理等多角度、全方位考虑。
二、系统设计安全
1.物理层安全解决方案:自然环境事故,电源故障,人为操作失误或错误,电磁干扰,线路截获等,都可以对信息系统的安全构成威胁,因此,如何保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安,全设计应从环境安全、设备安全、线路安全三个方面来考虑。采取的主要措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。另外,根据中央保密委有关文件规定,凡是计算机同时具有内网和外网的应用需求,必须采取网络安全隔离技术,在计算机终端安装隔离卡,使内网与外网之间从根本上实现物理隔离,防止信息通过外网泄漏。
2.数据链路层安全解决方案:主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网,从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。
3.网络层安全解决方案:①防火墙技术建议:防火墙是实现网络信息安全的最基本设施,采用包过滤或技术使数据有选择的通过,有效监控内部网和外部网之间的任何活动,防止恶意或非法访问,保证内部网络的安全。②入侵检测技术(IDS)建议:IDS是近年出现的新型网络安全技术,通过从计算机网络系统中若干关键节点收集信息并加以分析,监控网络中是否有违反安全策略的行为或者是否存在入侵行为,它能提供安全审计、监视、攻击识别和反攻击等多项功能,并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源、紧急告警等,是安全防御体系的一个重要组成部分。
4.应用层安全解决方案:根据电子政务专用网络的业务和服务内容,采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络系统在应用层的安全。①身份认证技术:公共密钥基础设施(简称PKl)是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构,正是由于它的存在,才能在电子事务处理中建立信任和信心。PKI可以做到:确认发送方的身份;保证发送方所发信息的机密性;保证发送方所发信息不被篡改;发送方无法否认已发该信息的事实。公钥基础设施是电子政务在技术上和法规上最重要的基础设施之一,它以公开密钥技术为基础,以数据机密性、完整性、身份认证和行为的不可否认为安全目的。从电子政务的发展看,为了确保政务的安全可靠运行和政府通信的保密和安全,应该由政府来规划和组建专门为政府部门服务的“证书管理机构”。②防病毒技术:计算机病毒对电子政务系统安全威胁很大。但是一般情况,病毒总有一段时间的潜伏期。如果在其发作之前,就采取了清除措施,则可以避免或减少危害。所以发现病毒是关键。对于电子政务系统维护人员,应树立“预防为主,治预结合”安全防范意识。
5.系统层安全解决方案:系统层安全主要包括两个部分:操作系统安全以及数据库安全。操作系统是电子政务的基础平台,应根据计算机系统评级准则要求,对操作系统安全加固,提高操作系统的安全级别。对于重要的应用信息系统和数据库系统,除了对操作系统加固外,还应将数据库系统和应用系统加固,这样整个信息系统的安全性才有比较根本的保障。对于操作系统的安全防范,可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用;对一些保存有用户信息及其口令的关键文件如UNIX下的etc/host、shadow、group等,Windows NT下的SAM、LMHOST的使用权限进行严格限制;加强口令编排的保密性;及时给系统打补丁;配备操作系统安全扫描系统,并及时升级系统。
数据库管理系统应具有如下能力:自主访问控制(DAC):用来决定用户是否有权访问数据库对象;验证:保证只有授权的合法用户才能注册和访问;授权:对不同的用户访问数据库授予不同的权限;审计:监视各用户对数据库施加的动作;数据库管理系统应能够提供与安全相关事件的审计能力。
6.应急预案。如果电子政务信息系统缺乏有效的安全管理体系和数据备份,一旦信息网络出现意外事故,将对长期积累的网络信息造成灾难性损失,并且会束手无策。所以,要尽快建立网络安全管理中心和数据备份中心,健全灾难恢复与紧急响应机制,加强管理,确保信息网络的数据安全和运行安全。建立电子政务网络安全事件预警与应急响应体系,通过整体部署入侵检测与预警系统作为有效的技术手段,建立以客户安全队伍为基础、技术服务队伍为后备的组织管理、预案流程、制度规范等综合措施,以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认,并对其进行响应,以降低可能造成的风险和损失的综合安全体系。
综上所述,由于电子政务的最终目标是建设政府办公自动化、面向决策支持、面向公众服务的资源共享的综合信息系统,它涉及诸多方面,包括技术、设备、各类人员、管理制度、法律等,需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列的保护措施。应该坚持“安全为先,应用为本,整体规划、稳步发展”的思路,推进我国电子政务健康、有序发展。
参考文献:
[1]邓长春.浅谈网络信息安全面临的问题
和对策[J].网络天地,2005,(7).
[2]刘洋.浅谈信息安全[J].科技咨询导报,
2007,(8).
[3]冯卓,任然. 信息安全的现阶段问题分
析与发展动向[J]. 安全与环境学报,
2007,(4).
[4]段海新,吴建平. 计算机网络安全体系
关键词:无线局域网 安全 实施方案
中图分类号:U284 文献标识码:A 文章编号:1007-9416(2015)04-0188-01
1 WLAN常用安全技术
目前常用的无线局域网安全技术主要有以下几种:
(1)服务集标识符(SSID)。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。SSID通常由AP广播出来,出于安全考虑最好设置“禁止SSID广播”。
(2)物理地址过滤(MAC)。 在网络底层的物理传输过程中,是通过物理地址来识别主机的,它是全球唯一的。因此可以在WLAN中手工维护一组允许访问的MAC地址列表,实现物理地址的访问过滤。但手工操作扩展能力教差,适合于小型网络规模。
(3)有线等效保密(WEP)。有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式。WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。它采用RC4序列密码算法,支持40bit和128bit密钥。但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制,WEP加密存在比较大的安全隐患,因此逐步被WPA和WPA2所取代。
(4)Wi-Fi网络安全接入(WPA)。WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,WPA超越WEP的主要改进就是使用了临时钥匙完整性协议TKIP。相比WEP算法,TKIP将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位;其次,TKIP支持密钥的动态协商,解决了WEP加密需要静态配置密钥的限制;此外,TKIP还支持信息完整性校验MIC认证功能,防止数据中途被篡改。
(5)WPA2。WPA2是WPA的升级版,采用了更为安全的算法。用CCMP取代了WPA的MIC,提供更强大的加密算法和信息完整性的运算,用高级加密标准AES取代了WPA的TKIP, AES是对称密钥加密中最流行的算法之一,提供比WEP/TKIP中RC4算法更高的加密性能,是目前IEEE802.11定义的最安全的数据报文保护机制。
(6)端口访问控制技术(802.1x)。该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2 WLAN安全防范方案
通过对目前常用的无线局域网安全技术的分析,并结合东莞地铁2号线车地无线网络应用的实际环境,安全防范方案主要包含认证和加密这2个部分,具体如下:
2.1 认证
认证方式上,主要考虑在802.1x和WPA2-PSK这2种方式中选择。
由于802.1x有通用密钥维护,如果在网络切换时碰到重新认证和密钥维护时,可能会出现信息完整性出错,进而影响无线链路的正常运行且不能回转;
而且802.1x认证结构复杂,需要另配Radius服务器,认证环节较多,认证时间相对较长;
此外,Radius服务器是网络中的单故障点,一旦其宕机,全网可能会中断。要解决这一问题,则需要服务器冗余。
考虑到车载无线单元在系统中承担的是路由转发的功能,并不具有与NT登录网络相同的工作模式,因此如采用802.1x,一般情况下其用户名和密码也是固定的。而一般用户名和密码位数较短,不如WPA2-PSK能做到最大63字符。
因此,综合以上原因,在东莞地铁2号线车地无线网络中将采用WPA2-PSK和MAC地址认证。
2.2 加密
由于选择了WPA2-PSK的认证方式,因此加密采用高级加密标准AES。这也是目前IEEE802.11定义的最安全的数据报文保护机制。
3 WLAN安全实施方案
综上所述,东莞地铁2号线车地无线网络安全实施方案主要包含以下几点:
(1)设置复杂的SSID,隐藏并禁止WLAN向外广播SSID,避免无恶意用户的侵入。(2)设定MAC绑定认证,禁止未经绑定的MAC地址设备访问网络。(3)采取WPA2-PSK认证,确保用户接入的合法性,WPA2-PSK认证的通用密钥长度在8-63位之间选择,可设置复杂的密钥。(4)采取WPA2-AES对无线传输数据进行加密,由于AES采用的是动态的密钥管理机制,保证了无线传输很难被攻破。
参考文献
【关键词】DCS系统;网络;信息安全;思考
随着DCS系统在电力行业的普遍推广,DCS系统对于电厂安全生产有决定性的影响。SIS系统完成生产过程的监控和管理,故障诊断和分析,性能计算和分析、生产调度、生产优化等业务过程,是集电厂各专业(如:炉、机、热控等)综合优势,经过长期科研开发、成果储备和丰富的现场实践经验积累而成的。SIS系统以DCS系统为基础,以经济运行和提高发电企业整体效益为目的,采用先进、适用、有效的专业计算方法,实现整个电厂范围内信息共享和全厂生产过程的实时信息监控,提高了机组运行的可靠性。
一、DCS系统网络不安全因素
(1)物理层的不安全因素分析。网络的物理不安全因素主要指网络物理特性和周边环境的变化,而引起的线路和网络设备的不可用,而造成网络系统的不可用,物理层的安全是整个网络系统安全的前提条件。(2)网络层不安全因素分析。一方面由于在上下级网络数据传输线路和同级局域网之间存在被窃听的威胁,另一方面,局域网内部也存在内部攻击行为。(3)管理层不安全因素分析。网络离不开人的管理,网络安全策略需要人去实现,在整个网络中,人起着重要的作用。同时对人的管理也是网络安全管理中的最重要的环节。
二、解决DCS网络实时信息安全问题措施
(1)网络安全方案提出的原则。对于DCS网络而言,在指导思想上,首先,应该在对DCS网络不安全因素分析的基础上,做到全面考虑、统一规划;其次,应积极采用各种先进技术,防火墙技术,虚拟交换网络,虚拟专用网络技术、加密技术、PKI技术等等,特别是入侵检测系统,并实现集中统一的监控、配置、管理;最后,应加强各项有关网络安全保密的规章制度的制定,并严格执行。(2)DCS网络安全解决方案。第一,物理层安全解决方案。一是环境安全:对系统所在环境的安全保护,如灾难保护和区域保护。我们可以参考国家相关标准,例如《计算站场地技术条件》、《电子计算机机房设计规范》、《计算站产地安全要求》等等。二是设备安全:主要包括设备的、防电磁信息辐射泄露、防毁,防止线路截获、防盗、抗电磁干扰和电源保护;设备冗余备份等等,以上这些问题,需要我们加强管理及和提高员工整体安全意识来克服。三是媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除了在网络规划和环境、场地等高要求外,还要防止系统信息在空间的扩散。第二,网络层安全解决方案。一般采用VPN、防火墙、访问控制表等等技术手段,而目前基于数据挖掘的入侵检测系统也日趋成熟。入侵检测给我们提供了一个用于发现合法用户滥用特权和入侵攻击的重要方法。常见的检测方法包括神经网络法和概率统计法。第三,安全管理解决方案。安全体系也就是安全组织机构,它具体可以划分为:管理层、决策层、执行层;而安全制度则包括规范、章程、法律;安全管理手段包括有:咨询、评估、审计,以及人员安全培训等等。
三、DCS系统安全解决方案的检验
DCS数据网络安全措施应主要包括三个目标:(1)保持系统及数据的完整;(2)对实时控制信息传输及存取的控制;(3)能
够对系统进行恢复和对数据进行备份。对于DCS系统安全问题,我们应该做到事先防范,未雨绸缪,方可避免不必要的损失。任何商业性的经营都离不开成本核算,而电力部门也不例外。我们在对一个网络的安全进行评估是,首先要考虑的是其保护的是什么、防范的又是什么、打算有多少投入。只有把这些问题都搞清楚了,我们才能制定出一套综合、完善的方案来,进而确定该方案所需要的技术。在某种意义上讲,安全也是一种投资。既然是投资,我们就不得不考虑其性价比。例如选用防火墙技术,其安全级别和价倍的关系等。正所谓旁观者清,网络是否安全,有时并不是网络所有者自己能完全清楚的。因此,很多公司要请专家或者第三方评估机构对网络安全进行评估。这样做可以使我们对自己所处的环境有个更加清醒的认识,力争把未来可能的风险降到最小。研究和解决我们通向信息化社会中遇到的网络安全问题,已经不仅仅是单纯的技术问题,其难度和负责度已经不容忽视。
综上所述,DCS系统是电厂发展成数字化企业的基础和根本,因此,DCS系统的安全是电厂信息安全的关键。目前我国有许多电厂的DCS系统安全,只是简单依靠某一单一技术,常见的如防火墙等,信息安全问题十分严峻,内人士务必要对此引起高度重视。
参考文献
服务集合标识符(SSID)
通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何(ANY)”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差。而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络。
连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷。例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的密钥在现在很容易被破解。密钥是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
Wi-Fi保护接入(WPA)
WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
国家标准(WAPI)
WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展,可满足家庭、企业、运营商等多种应用模式。
