發布時間:2023-03-01 16:28:17
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的數據保密解決方案樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
JHSE椒圖主機安全環境系統(以下簡稱JHSE),是椒圖科技自主研發的安全操作系統,是當前國內最先進的專利技術產品,代表了國內最先進的安全理念和發展趨勢。目前,JHSE已通過公安部計算機信息系統安全產品質量監督檢驗中心的檢驗,達到了國家等級保護標準《GB/T20272-2006信息安全技術-操作系統安全技術要求》的三級操作系統安全水平,是我國首款通過國標三級檢測的通用型安全操作系統。
JHSE服務器安全操作系統解決方案利用增強型DTE(數據終端設備)、RBAC(基于角色的訪問控制)、BLP(安全訪問控制的模型)三種訪問控制安全模型組合,重構操作系統的安全子系統(SSOOS),通過三種安全模型的相互作用和制約,確保系統中信息和系統自身的安全性,以保障操作系統的保密性、完整性、可用性、可靠性。JHSE符合國家信息安全等級保護三級安全標準,擁有多因子身份鑒別、安全域管理、強制訪問控制、安全審計、數據完整、數據保密、剩余信息清除等200多項核心技術和多項發明專利,能很好地解決操作系統層面的惡意代碼執行、越權訪問、數據泄露、破壞數據完整性等攻擊行為,以保障操作系統的安全性。
與傳統依靠使用開源的Linux源代碼自主研發安全操作系統不同,JHSE服務器安全操作系統解決方案采用重構操作系統安全子系統(SSOOS)確保操作系統安全的方法,在內核層面上對操作系統進行重構和擴充。這種方式對安裝在原服務器操作系統之上的合法應用軟件和數據庫的正常使用不造成任何影響,對底層硬件驅動沒有負面作用,不影響現有業務的連續性,甚至不用重新啟動服務器,就能對整個服務器操作系統的安全性進行動態提升,彌補了傳統安全解決方案的不足。
作為通用型服務器安全操作系統解決方案,JHSE適用于AIX、HP-UX、Solaris、Windows Server、Linux Server等主流商用服務器操作系統,把服務器操作系統安全等級提升為三級安全操作系統。
目前,JHSE服務器安全操作系統解決方案已在政府機構、國防、軍工、金融、證券、保險、銀行、石油、海關、稅務等多個領域得到廣泛應用。其核心價值包括:使操作系統免疫惡意代碼執行和已知、未知的黑客攻擊;具有完全自主知識產權,達到等級保護三級標準;無需采購其他主機安全軟件,節約采購、維護和建設成本;完全兼容現有環境,無需重新購買設備;安裝過程不影響現有業務流程的連續性;可對信息安全事故進行深度分析,精確定位事故發生的源頭,使安全事故得到妥善解決;顛覆傳統的操作觀念,安裝、培訓、使用便捷。
微波:以微波收、發機作為計算機網的通信信道,因其頻率很高,故可以實現高的數據傳輸速率。受天氣影響很小。雖然在這樣高的頻率下工作,要求通信的兩點彼此可視,但其一定的穿透能力和可以控制的波角對通信是極有幫助的。
綜合比較前述各種無線通信媒介,可看到有發展潛力的是采用微波通信。它具有傳輸數據率高(可達11Mbit/s),發射功率小(只有100~250mw)保密性好,抗干擾能力很強,不會與其他無線電設備或用戶互相發生干擾的特點。
擴展頻譜技術在50年前第一次被軍方公開介紹,它用來進行保密傳輸。從一開始它就設計成抗噪聲,干擾、阻塞和未授權檢測。擴展頻儲發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。擴展頻譜的實現方式有多種,最常用的兩種是直接序列和跳頻序列。
無線網技術的安全性有以下4級定義:第一級,擴頻、跳頻無線傳輸技術本身使盜聽者難以捉到有用的數據。第二級,采取網絡隔離及網絡認證措施。第三級,設置嚴密的用戶口令及認證措施,防止非法用戶入侵。第四級,設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容。
無線網的站點上應使用口令控制,如NovellNetWare和MicrosoftNT等網絡操作系統和服務器提供了包括口令管理在內的內建多級安全服務。口令應處于嚴格的控制之下并經常變更。假如用戶的數據要求更高的安全性,要采用最高級別的網絡整體加密技術,數據包中的數據發送到局域網之前要用軟件加密或硬件的方法加密,只有那些擁有正確密鑰的站點才可以恢復,讀取這些數據。無線局域網還有些其他好的安全性。首先無線接入點會過濾掉那些對相關無線站點而言毫無用處的網絡數據,這就意味著大部分有線網絡數據根本不會以電波的形式發射出去;其次,無線網的節點和接入點有個與環境有關的轉發范圍限制,這個范圍一般是很小。這使得竊聽者必須處于節點或接入點附近。最后,無線用戶具有流動性,可能在一次上網時間內由一個接入點移動至另一個接入點,與之對應,進行網絡通信所使用的跳頻序列也會發生變化,這使得竊聽幾乎無可能。無論是否有無線網段,大多數的局域網都必須要有一定級別的安全措施。在內部好奇心、外部入侵和電線竊聽面前,甚至有線網都顯得很脆弱。沒有人愿意冒險將局域網上的數據暴露于不速之客和惡意入侵之前。而且,如果用戶的數據相當機密,比如是銀行網和軍用網上的數據,那么,為了確保機密,必須采取特殊措施。
常見的無線網絡安全加密措施可以采用為以下幾種。
一、服務區標示符(SSID)
無線工作站必需出示正確的SSD才能訪問AP,因此可以認為SSID是一個簡單的口令,從而提供一定的安全。如果配置AP向外廣播其SSID,那么安全程序將下降;由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。
二、物理地址(MAC)過濾
每個無線工作站網卡都由唯一的物理地址標示,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必須隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規模。
三、連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術,鑰匙長40位,從而防止非授權用戶的監聽以及非法用戶的訪問。用戶的加密鑰匙必需與AP的鑰匙相同,并且一個服務區內的所有用戶都共享一把鑰匙。WEP雖然通過加密提供網絡的安全性,但也存在許多
缺陷:一個用戶丟失鑰匙將使整個網絡不安全;40位鑰匙在今天很容易破解;鑰匙是靜態的,并且要手工維護,擴展能力差。為了提供更高的安全性,802.11提供了WEP2,,該技術與WEP類似。WEP2采用128位加密鑰匙,從而提供更高的安全。
四、虛擬專用網絡(VPN)
虛擬專用網絡是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,目前許多企業以及運營商已經采用VPN技術。VPN可以替代連線對等保密解決方案以及物理地址過濾解決方案。采用VPN技術的另外一個好處是可以提供基于Radius的用戶認證以及計費。VPN技術不屬于802.11標準定義,因此它是一種增強性網絡解決方案。
五、端口訪問控制技術(802.1x)
該技術也是用于無線網絡的一種增強性網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網802.1x
要求工作站安裝802.1x客戶端軟件,無線訪問點要內嵌802.1x認證,同時它作為Radius客戶端,將用戶的認證信息轉發給Radius服務器。802.1x除提供端口訪問控制之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。
無線網絡以其便利的安裝、使用,高速的接入速度,可移動的接入方式贏得了用戶的青睞。但無線網絡的安全及防范無線網絡的入侵仍是我們現在和將來要時刻關注的重要問題。
一、建設網站前的市場分析
1、相關行業的市場是怎樣的,市場有什么樣的特點,是否能夠在互聯網上開展公司業務。
2、市場主要競爭者分析,競爭對手上網情況及其網站規劃、功能作用。
3、公司自身條件分析、公司概況、市場優勢,可以利用網站提升哪些競爭力,建設網站的能力(費用、技術、人力等)。
二、建設網站目的及功能定位
1、為什么要建立網站,是為了宣傳產品,進行電子商務,還是建立行業性網站?是企業的需要還是市場開拓的延伸?
2、整合公司資源,確定網站功能。根據公司的需要和計劃,確定網站的功能:產品宣傳型、網上營銷型、客戶服務型、電子商務型等。
3、根據網站功能,確定網站應達到的目的作用。
4、企業內部網(Intranet)的建設情況和網站的可擴展性。
三、網站技術解決方案
根據網站的功能確定網站技術解決方案。
1、采用自建服務器,還是租用虛擬主機。
2、選擇操作系統,用unix,Linux還是Window2000/NT。分析投入成本、功能、開發、穩定性和安全性等。
3、采用系統性的解決方案(如IBM,HP)等公司提供的企業上網方案、電子商務解決方案?還是自己開發。
4、網站安全性措施,防黑、防病毒方案。
5、相關程序開發。如網頁程序ASP、JSP、CGI、數據庫程序等。
四、網站內容規劃
1、根據網站的目的和功能規劃網站內容,一般企業網站應包括:公司簡介、產品介紹、服務內容、價格信息、聯系方式、網上定單等基本內容。
2、電子商務類網站要提供會員注冊、詳細的商品服務信息、信息搜索查詢、定單確認、付款、個人信息保密措施、相關幫助等。
3、如果網站欄目比較多,則考慮采用網站編程專人負責相關內容。 注意:網站內容是網站吸引瀏覽者最重要的因素,無內容或不實用的信息不會吸引匆匆瀏覽的訪客。可事先對人們希望閱讀的信息進行調查,并在網站后調查人們對網站內容的滿意度,以及時調整網站內容。
五、網頁設計
1、網頁設計美術設計要求,網頁美術設計一般要與企業整體形象一致,要符合CI規范。要注意網頁色彩、圖片的應用及版面規劃,保持網頁的整體一致性。
2、在新技術的采用上要考慮主要目標訪問群體的分布地域、年齡階層、網絡速度、閱讀習慣等。
3、制定網頁改版計劃,如半年到一年時間進行較大規模改版等。
六、網站維護
1、服務器及相關軟硬件的維護,對可能出現的問題進行評估,制定響應時間。
2、數據庫維護,有效地利用數據是網站維護的重要內容,因此數據庫的維護要受到重視。
3、內容的更新、調整等。
4、制定相關網站維護的規定,將網站維護制度化、規范化。
七、網站測試
網站前要進行細致周密的測試,以保證正常瀏覽和使用。主要測試內容:
1、服務器穩定性、安全性。
2、程序及數據庫測試。
3、網頁兼容性測試,如瀏覽器、顯示器。
4、根據需要的其他測試。
八、網站與推廣
1、網站測試后進行的公關,廣告活動。
2、搜索引掣登記等。
九、網站建設日程表
各項規劃任務的開始完成時間,負責人等。
十、費用明細
各項事宜所需費用清單。
以上為網站規劃書中應該體現的主要內容,根據不同的需求和建站目的,內容也會在增加或減少。在建設網站之初一定要進行細致的規劃,才能達到預期建站目的。
2008年04月22日 星期二 上午 09:49
一、建設網站前的市場分析
1、相關行業的市場是怎樣的,市場有什么樣的特點,是否能夠在互聯網上開展公司業務。
2、市場主要競爭者分析,競爭對手上網情況及其網站規劃、功能作用。
3、公司自身條件分析、公司概況、市場優勢,可以利用網站提升哪些競爭力,建設網站的能力(費用、技術、人力等)。
二、建設網站目的及功能定位
1、為什么要建立網站,是為了宣傳產品,進行電子商務,還是建立行業性網站?是企業的需要還是市場開拓的延伸?
2、整合公司資源,確定網站功能。根據公司的需要和計劃,確定網站的功能:產品宣傳型、網上營銷型、客戶服務型、電子商務型等。
3、根據網站功能,確定網站應達到的目的作用。
4、企業內部網(Intranet)的建設情況和網站的可擴展性。
三、網站技術解決方案
根據網站的功能確定網站技術解決方案。
1、采用自建服務器,還是租用虛擬主機。
2、選擇操作系統,用unix,Linux還是Window2000/NT。分析投入成本、功能、開發、穩定性和安全性等。
3、采用系統性的解決方案(如IBM,HP)等公司提供的企業上網方案、電子商務解決方案?還是自己開發。
4、網站安全性措施,防黑、防病毒方案。
5、相關程序開發。如網頁程序ASP、JSP、CGI、數據庫程序等。
四、網站內容規劃
1、根據網站的目的和功能規劃網站內容,一般企業網站應包括:公司簡介、產品介紹、服務內容、價格信息、聯系方式、網上定單等基本內容。
2、電子商務類網站要提供會員注冊、詳細的商品服務信息、信息搜索查詢、定單確認、付款、個人信息保密措施、相關幫助等。
3、如果網站欄目比較多,則考慮采用網站編程專人負責相關內容。 注意:網站內容是網站吸引瀏覽者最重要的因素,無內容或不實用的信息不會吸引匆匆瀏覽的訪客。可事先對人們希望閱讀的信息進行調查,并在網站后調查人們對網站內容的滿意度,以及時調整網站內容。
五、網頁設計
1、網頁設計美術設計要求,網頁美術設計一般要與企業整體形象一致,要符合CI規范。要注意網頁色彩、圖片的應用及版面規劃,保持網頁的整體一致性。
2、在新技術的采用上要考慮主要目標訪問群體的分布地域、年齡階層、網絡速度、閱讀習慣等。
3、制定網頁改版計劃,如半年到一年時間進行較大規模改版等。
六、網站維護
1、服務器及相關軟硬件的維護,對可能出現的問題進行評估,制定響應時間。
2、數據庫維護,有效地利用數據是網站維護的重要內容,因此數據庫的維護要受到重視。
3、內容的更新、調整等。
4、制定相關網站維護的規定,將網站維護制度化、規范化。
七、網站測試
網站前要進行細致周密的測試,以保證正常瀏覽和使用。主要測試內容:
1、服務器穩定性、安全性。
2、程序及數據庫測試。
3、網頁兼容性測試,如瀏覽器、顯示器。
4、根據需要的其他測試。
八、網站與推廣
1、網站測試后進行的公關,廣告活動。
2、搜索引掣登記等。
九、網站建設日程表
各項規劃任務的開始完成時間,負責人等。
十、費用明細
面對這些挑戰,芝加哥最大的獨立銀行之一――Cole Taylor選擇了RSA enVision解決方案。這家銀行的安全總監Erik Hart表示:“以前,一名員工通常每天用2個小時查看幾個關鍵系統的原始日志,尋找可能的違規或內部不端行為。而內部和外部審計結果表明,我們需要提高安全性和法規遵從。在評估了多個廠商的產品后,當發現RSA的解決方案可以降低法規遵從負擔而不會大幅增加成本時,我們非常興奮。”
enVision解決方案可以輕松地把看似不相關的原始安全和網絡事件轉化為有意義的智能,從而降低IT員工的壓力,提高安全人員的工作效率,并為日益嚴格的法規遵從要求提供支持。RSA enVision平臺提供的安全信息和事件管理解決方案利用LogSmart互聯網協議數據庫(IPDB)從所有網絡元件上實時收集和分析所有數據(All the Data),讓Cole Taylor最大程度地了解整個信息基礎設施上的所有安全威脅。通過整合、規范和分析收集的數據,RSA enVision簡化了Cole Taylor的安全管理,并且通過統一、全面查看整個網絡,更快速地響應內外部威脅,提高Cole Taylor的安全效率。
現在,Cole Taylor使用這個系統密切跟蹤日常安全狀況。定期報告功能可以查看主要活動(例如:管理員分配訪問權限)以及相關的控制(例如:批準和停止)。報告定義后,就可定期自動運行(每天、每月或每個季度),并通過電子郵件發送給相關人員。enVision還包括預定義的法規遵從報告,可以定期發送給審計人員。
Hart表示:“審計人員在年末來審計時,我們可以輕松地說明我們遵守了既定的控制流程。我們一直在采用兩年前制定的報告,根本不需要改變。要手動完成這項工作則需要龐大的人力,可能需要5個人專門處理訪問管理工作。”
[關鍵詞]電子政務;信息安全
隨著計算機網絡技術和Internet技術的飛速發展和廣泛應用,電子政務在政府實際工作中已經發揮了越來越重要的作用。由于電子政務的業務范圍包括政府機關內部的信息,也包括機關內部部門之間一定范圍內交流的信息,還包含可以公開的信息。因此如何保證這種基于網絡的、符合Intenet技術標準的、面向政府機關內部和社會公眾提供信息服務和信息處理的系統安全、正常運轉,是電子政務建設的關鍵。
一、電子政務的安全架構
由于電子政務中的部分信息涉及國家秘密、國家安全,因此它需要絕對的安全。但是同時電子政務現在很重要的發展方向,是為社會提供行政監管的渠道,為社會提供公共服務,同時又需要一定程度的開放。所以,解決電子政務安全問題應從物理安全設計、網絡安全設計、信息安全管理等多角度、全方位考慮。
二、系統設計安全
1.物理層安全解決方案:自然環境事故,電源故障,人為操作失誤或錯誤,電磁干擾,線路截獲等,都可以對信息系統的安全構成威脅,因此,如何保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理層的安,全設計應從環境安全、設備安全、線路安全三個方面來考慮。采取的主要措施包括:機房屏蔽,電源接地,布線隱蔽,傳輸加密。另外,根據中央保密委有關文件規定,凡是計算機同時具有內網和外網的應用需求,必須采取網絡安全隔離技術,在計算機終端安裝隔離卡,使內網與外網之間從根本上實現物理隔離,防止信息通過外網泄漏。
2.數據鏈路層安全解決方案:主要是利用VLAN技術將內部網絡分成若干個安全級別不同的子網,從而實現內部一個網段與另一個網段的隔離。有效防止某一網段的安全問題在整個網絡傳播。
3.網絡層安全解決方案:①防火墻技術建議:防火墻是實現網絡信息安全的最基本設施,采用包過濾或技術使數據有選擇的通過,有效監控內部網和外部網之間的任何活動,防止惡意或非法訪問,保證內部網絡的安全。②入侵檢測技術(IDS)建議:IDS是近年出現的新型網絡安全技術,通過從計算機網絡系統中若干關鍵節點收集信息并加以分析,監控網絡中是否有違反安全策略的行為或者是否存在入侵行為,它能提供安全審計、監視、攻擊識別和反攻擊等多項功能,并采取相應的行動如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源、緊急告警等,是安全防御體系的一個重要組成部分。
4.應用層安全解決方案:根據電子政務專用網絡的業務和服務內容,采用身份認證技術、防病毒技術以及對各種應用的安全性增強配置服務來保障網絡系統在應用層的安全。①身份認證技術:公共密鑰基礎設施(簡稱PKl)是由硬件、軟件、各種產品、過程、標準和人構成的一體化的結構,正是由于它的存在,才能在電子事務處理中建立信任和信心。PKI可以做到:確認發送方的身份;保證發送方所發信息的機密性;保證發送方所發信息不被篡改;發送方無法否認已發該信息的事實。公鑰基礎設施是電子政務在技術上和法規上最重要的基礎設施之一,它以公開密鑰技術為基礎,以數據機密性、完整性、身份認證和行為的不可否認為安全目的。從電子政務的發展看,為了確保政務的安全可靠運行和政府通信的保密和安全,應該由政府來規劃和組建專門為政府部門服務的“證書管理機構”。②防病毒技術:計算機病毒對電子政務系統安全威脅很大。但是一般情況,病毒總有一段時間的潛伏期。如果在其發作之前,就采取了清除措施,則可以避免或減少危害。所以發現病毒是關鍵。對于電子政務系統維護人員,應樹立“預防為主,治預結合”安全防范意識。
5.系統層安全解決方案:系統層安全主要包括兩個部分:操作系統安全以及數據庫安全。操作系統是電子政務的基礎平臺,應根據計算機系統評級準則要求,對操作系統安全加固,提高操作系統的安全級別。對于重要的應用信息系統和數據庫系統,除了對操作系統加固外,還應將數據庫系統和應用系統加固,這樣整個信息系統的安全性才有比較根本的保障。對于操作系統的安全防范,可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置;關閉一些不常用卻存在安全隱患的應用;對一些保存有用戶信息及其口令的關鍵文件如UNIX下的etc/host、shadow、group等,Windows NT下的SAM、LMHOST的使用權限進行嚴格限制;加強口令編排的保密性;及時給系統打補丁;配備操作系統安全掃描系統,并及時升級系統。
數據庫管理系統應具有如下能力:自主訪問控制(DAC):用來決定用戶是否有權訪問數據庫對象;驗證:保證只有授權的合法用戶才能注冊和訪問;授權:對不同的用戶訪問數據庫授予不同的權限;審計:監視各用戶對數據庫施加的動作;數據庫管理系統應能夠提供與安全相關事件的審計能力。
6.應急預案。如果電子政務信息系統缺乏有效的安全管理體系和數據備份,一旦信息網絡出現意外事故,將對長期積累的網絡信息造成災難性損失,并且會束手無策。所以,要盡快建立網絡安全管理中心和數據備份中心,健全災難恢復與緊急響應機制,加強管理,確保信息網絡的數據安全和運行安全。建立電子政務網絡安全事件預警與應急響應體系,通過整體部署入侵檢測與預警系統作為有效的技術手段,建立以客戶安全隊伍為基礎、技術服務隊伍為后備的組織管理、預案流程、制度規范等綜合措施,以便盡早對有重大危害的計算機和網絡安全事件進行發現、分析和確認,并對其進行響應,以降低可能造成的風險和損失的綜合安全體系。
綜上所述,由于電子政務的最終目標是建設政府辦公自動化、面向決策支持、面向公眾服務的資源共享的綜合信息系統,它涉及諸多方面,包括技術、設備、各類人員、管理制度、法律等,需要在網絡硬件及環境、軟件和數據、網際通訊等不同層次上實施一系列的保護措施。應該堅持“安全為先,應用為本,整體規劃、穩步發展”的思路,推進我國電子政務健康、有序發展。
參考文獻:
[1]鄧長春.淺談網絡信息安全面臨的問題
和對策[J].網絡天地,2005,(7).
[2]劉洋.淺談信息安全[J].科技咨詢導報,
2007,(8).
[3]馮卓,任然. 信息安全的現階段問題分
析與發展動向[J]. 安全與環境學報,
2007,(4).
[4]段海新,吳建平. 計算機網絡安全體系
關鍵詞:無線局域網 安全 實施方案
中圖分類號:U284 文獻標識碼:A 文章編號:1007-9416(2015)04-0188-01
1 WLAN常用安全技術
目前常用的無線局域網安全技術主要有以下幾種:
(1)服務集標識符(SSID)。SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡,每一個子網絡都需要獨立的身份驗證,只有通過身份驗證的用戶才可以進入相應的子網絡,防止未被授權的用戶進入本網絡。SSID通常由AP廣播出來,出于安全考慮最好設置“禁止SSID廣播”。
(2)物理地址過濾(MAC)。 在網絡底層的物理傳輸過程中,是通過物理地址來識別主機的,它是全球唯一的。因此可以在WLAN中手工維護一組允許訪問的MAC地址列表,實現物理地址的訪問過濾。但手工操作擴展能力教差,適合于小型網絡規模。
(3)有線等效保密(WEP)。有線等效保密(WEP)協議是對在兩臺設備間無線傳輸的數據進行加密的方式。WEP加密機制需要WLAN設備端以及所有接入到該WLAN網絡的客戶端配置相同的密鑰。它采用RC4序列密碼算法,支持40bit和128bit密鑰。但是受到RC4加密算法、過短的初始向量和靜態配置密鑰的限制,WEP加密存在比較大的安全隱患,因此逐步被WPA和WPA2所取代。
(4)Wi-Fi網絡安全接入(WPA)。WPA是一種基于標準的可互操作的WLAN安全性增強解決方案,WPA超越WEP的主要改進就是使用了臨時鑰匙完整性協議TKIP。相比WEP算法,TKIP將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位;其次,TKIP支持密鑰的動態協商,解決了WEP加密需要靜態配置密鑰的限制;此外,TKIP還支持信息完整性校驗MIC認證功能,防止數據中途被篡改。
(5)WPA2。WPA2是WPA的升級版,采用了更為安全的算法。用CCMP取代了WPA的MIC,提供更強大的加密算法和信息完整性的運算,用高級加密標準AES取代了WPA的TKIP, AES是對稱密鑰加密中最流行的算法之一,提供比WEP/TKIP中RC4算法更高的加密性能,是目前IEEE802.11定義的最安全的數據報文保護機制。
(6)端口訪問控制技術(802.1x)。該技術也是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。
2 WLAN安全防范方案
通過對目前常用的無線局域網安全技術的分析,并結合東莞地鐵2號線車地無線網絡應用的實際環境,安全防范方案主要包含認證和加密這2個部分,具體如下:
2.1 認證
認證方式上,主要考慮在802.1x和WPA2-PSK這2種方式中選擇。
由于802.1x有通用密鑰維護,如果在網絡切換時碰到重新認證和密鑰維護時,可能會出現信息完整性出錯,進而影響無線鏈路的正常運行且不能回轉;
而且802.1x認證結構復雜,需要另配Radius服務器,認證環節較多,認證時間相對較長;
此外,Radius服務器是網絡中的單故障點,一旦其宕機,全網可能會中斷。要解決這一問題,則需要服務器冗余。
考慮到車載無線單元在系統中承擔的是路由轉發的功能,并不具有與NT登錄網絡相同的工作模式,因此如采用802.1x,一般情況下其用戶名和密碼也是固定的。而一般用戶名和密碼位數較短,不如WPA2-PSK能做到最大63字符。
因此,綜合以上原因,在東莞地鐵2號線車地無線網絡中將采用WPA2-PSK和MAC地址認證。
2.2 加密
由于選擇了WPA2-PSK的認證方式,因此加密采用高級加密標準AES。這也是目前IEEE802.11定義的最安全的數據報文保護機制。
3 WLAN安全實施方案
綜上所述,東莞地鐵2號線車地無線網絡安全實施方案主要包含以下幾點:
(1)設置復雜的SSID,隱藏并禁止WLAN向外廣播SSID,避免無惡意用戶的侵入。(2)設定MAC綁定認證,禁止未經綁定的MAC地址設備訪問網絡。(3)采取WPA2-PSK認證,確保用戶接入的合法性,WPA2-PSK認證的通用密鑰長度在8-63位之間選擇,可設置復雜的密鑰。(4)采取WPA2-AES對無線傳輸數據進行加密,由于AES采用的是動態的密鑰管理機制,保證了無線傳輸很難被攻破。
參考文獻
【關鍵詞】DCS系統;網絡;信息安全;思考
隨著DCS系統在電力行業的普遍推廣,DCS系統對于電廠安全生產有決定性的影響。SIS系統完成生產過程的監控和管理,故障診斷和分析,性能計算和分析、生產調度、生產優化等業務過程,是集電廠各專業(如:爐、機、熱控等)綜合優勢,經過長期科研開發、成果儲備和豐富的現場實踐經驗積累而成的。SIS系統以DCS系統為基礎,以經濟運行和提高發電企業整體效益為目的,采用先進、適用、有效的專業計算方法,實現整個電廠范圍內信息共享和全廠生產過程的實時信息監控,提高了機組運行的可靠性。
一、DCS系統網絡不安全因素
(1)物理層的不安全因素分析。網絡的物理不安全因素主要指網絡物理特性和周邊環境的變化,而引起的線路和網絡設備的不可用,而造成網絡系統的不可用,物理層的安全是整個網絡系統安全的前提條件。(2)網絡層不安全因素分析。一方面由于在上下級網絡數據傳輸線路和同級局域網之間存在被竊聽的威脅,另一方面,局域網內部也存在內部攻擊行為。(3)管理層不安全因素分析。網絡離不開人的管理,網絡安全策略需要人去實現,在整個網絡中,人起著重要的作用。同時對人的管理也是網絡安全管理中的最重要的環節。
二、解決DCS網絡實時信息安全問題措施
(1)網絡安全方案提出的原則。對于DCS網絡而言,在指導思想上,首先,應該在對DCS網絡不安全因素分析的基礎上,做到全面考慮、統一規劃;其次,應積極采用各種先進技術,防火墻技術,虛擬交換網絡,虛擬專用網絡技術、加密技術、PKI技術等等,特別是入侵檢測系統,并實現集中統一的監控、配置、管理;最后,應加強各項有關網絡安全保密的規章制度的制定,并嚴格執行。(2)DCS網絡安全解決方案。第一,物理層安全解決方案。一是環境安全:對系統所在環境的安全保護,如災難保護和區域保護。我們可以參考國家相關標準,例如《計算站場地技術條件》、《電子計算機機房設計規范》、《計算站產地安全要求》等等。二是設備安全:主要包括設備的、防電磁信息輻射泄露、防毀,防止線路截獲、防盜、抗電磁干擾和電源保護;設備冗余備份等等,以上這些問題,需要我們加強管理及和提高員工整體安全意識來克服。三是媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除了在網絡規劃和環境、場地等高要求外,還要防止系統信息在空間的擴散。第二,網絡層安全解決方案。一般采用VPN、防火墻、訪問控制表等等技術手段,而目前基于數據挖掘的入侵檢測系統也日趨成熟。入侵檢測給我們提供了一個用于發現合法用戶濫用特權和入侵攻擊的重要方法。常見的檢測方法包括神經網絡法和概率統計法。第三,安全管理解決方案。安全體系也就是安全組織機構,它具體可以劃分為:管理層、決策層、執行層;而安全制度則包括規范、章程、法律;安全管理手段包括有:咨詢、評估、審計,以及人員安全培訓等等。
三、DCS系統安全解決方案的檢驗
DCS數據網絡安全措施應主要包括三個目標:(1)保持系統及數據的完整;(2)對實時控制信息傳輸及存取的控制;(3)能
夠對系統進行恢復和對數據進行備份。對于DCS系統安全問題,我們應該做到事先防范,未雨綢繆,方可避免不必要的損失。任何商業性的經營都離不開成本核算,而電力部門也不例外。我們在對一個網絡的安全進行評估是,首先要考慮的是其保護的是什么、防范的又是什么、打算有多少投入。只有把這些問題都搞清楚了,我們才能制定出一套綜合、完善的方案來,進而確定該方案所需要的技術。在某種意義上講,安全也是一種投資。既然是投資,我們就不得不考慮其性價比。例如選用防火墻技術,其安全級別和價倍的關系等。正所謂旁觀者清,網絡是否安全,有時并不是網絡所有者自己能完全清楚的。因此,很多公司要請專家或者第三方評估機構對網絡安全進行評估。這樣做可以使我們對自己所處的環境有個更加清醒的認識,力爭把未來可能的風險降到最小。研究和解決我們通向信息化社會中遇到的網絡安全問題,已經不僅僅是單純的技術問題,其難度和負責度已經不容忽視。
綜上所述,DCS系統是電廠發展成數字化企業的基礎和根本,因此,DCS系統的安全是電廠信息安全的關鍵。目前我國有許多電廠的DCS系統安全,只是簡單依靠某一單一技術,常見的如防火墻等,信息安全問題十分嚴峻,內人士務必要對此引起高度重視。
參考文獻
服務集合標識符(SSID)
通過對多個無線接入點AP(Access Point)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。因此可以認為SSID是一個簡單的口令,從而提供一定的安全,但如果配置AP向外廣播其SSID,那么安全程度還將下降。由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全功能。
物理地址(MAC)過濾
由于每個無線工作站的網卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差。而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合于小型網絡。
連線對等保密(WEP)
在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位(有時也稱為64位)和128位長度的密鑰機制,但是它仍然存在許多缺陷。例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。而且40位的密鑰在現在很容易被破解。密鑰是靜態的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。
Wi-Fi保護接入(WPA)
WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數據將由各不相同的密鑰加密而成。無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。作為802.11i標準的子集,WPA包含了認證、加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。
國家標準(WAPI)
WAPI(WLAN Authenticationand Privacy Infrastructure),即無線局域網鑒別與保密基礎結構,它是針對IEEE802.11中WEP協議安全問題,在中國無線局域網國家標準 GB15629.11中提出的WLAN安全解決方案。同時本方案已由ISO/IEC授權的機構IEEE Registration Authority審查并獲得認可。它的主要特點是采用基于公鑰密碼體系的證書機制,真正實現了移動終端(MT)與無線接入點(AP)間雙向鑒別。用戶只要安裝一張證書就可在覆蓋WLAN的不同地區漫游,方便用戶使用。與現有計費技術兼容的服務,可實現按時計費、按流量計費、包月等多種計費方式。AP設置好證書后,無須再對后臺的AAA服務器進行設置,安裝、組網便捷,易于擴展,可滿足家庭、企業、運營商等多種應用模式。
