發布時間:2023-10-13 09:37:58
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的物聯網安全技術趨勢樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
【 關鍵詞 】 物聯網;信息安全;安全模型
An Overview of Information Security Model for IOT
Shao Hua Fan Hong
(The First Research Institute of Ministry of Public Security Beijing 100048)
【 Abstract 】 The internet of things is the extension of the internet, should not only to face the traditional security issues, but also deal with new and specific security problem, which made higher requirements for security model. This article from the security protection object and way to classify the information security model for IOT, summarizes the current popular information security model for IOT, analysis the advantages and disadvantages of the existing security model, and predicts the trend of the development of the IOT information security model.
【 Keywords 】 internet of things; information security; security model
1 引言
據不完全統計,2013年,全球有120億感知設備連接物聯網,預計到2020年,有近500億設備連接物聯網,而在2008年連接在互聯網上的設備將超過地球上人口的總和。如此眾多設備連接上網絡,其造成的危害和影響也是無法估量,特別是當物聯網應用在國家關鍵基礎設施,如電力、交通、工業、制造業等,極有可能在現實世界造成電力中斷、金融癱瘓、社會混亂等嚴重危害公共安全的事件,甚至將危及國家安全,因此伴隨著物聯網快速發展,物聯網安全也越來越受到重視。
信息安全模型最早可以追溯到1973年由Bell和Lapadula提出的機密性模型,但物聯網涉及技術紛繁復雜、防護對象層次不齊,傳統的安全模型已不再適用新的安全需求。近年來,人們在原有的模型基礎上,對物聯網信息安全模型做了初步探討和研究。從安全防護對象以及方式來看,物聯網信息安全模型可分為兩大類:一是單層安全模型,這類模型主要側重于物聯網三層結構中某一層的安全問題,具有一定的安全防護能力,整體防護能力偏弱;二是整體防護安全模型,這類模型以整體角度分析安全防護措施,或以攻擊形式考慮安全問題,或以安全技術考慮問題,不僅相同。本文綜述目前已有的物聯網安全模型,同時在此基礎上展望了未來的研究方向。
2 單層安全模型
2.1 面向感知層安全模型
為了構建通用安全框架模型,最大程度改變當前存在安全系統、信息管理、自治管理的關系,Pierre等人提出一種自管理安全單元模型(SMSC)。該模型適用于大型分布式系統,以資源作為其安全防護對象,其中資源可以理解為連接在網絡上的資產,典型的資源有應用、傳感器等設備。SMSC模型具備互操作性、自動操作、權利下放和上下文前后對照下特性。互操作性是指資源可以相互通信與理解的特性,其被分為三個主要領域:通信語義、通信語法、操作的連接;自動控制是指資源根據偵聽的安全威脅,自動執行安全策略進行響應。在物聯網中,隨著資源數量和它們之間聯系的增加,人工管理效率也越來越低,因此需要系統進行自動控制;權利下放是指在實際應用中,資源不可避免地要管理下放信息的存儲以及制定安全策略;上下文前后對照性是指資源必須根據不同功能、不同類型的數據進行自適應管理,安全實施必須依賴其上下文環境。
SMSC模型是基于自我管理單元模式(SMC)的模型,SMSC模型在SMC中加入了基于安全和管理的組件,通過借助于大量資源結盟潛在的影響來提高網絡安全性,從而能夠保證安全通信,圖1為SMSC模型的邏輯視圖。
SMSC模型要求資源節點具有一定的處理能力來完成自動控制功能,而在物聯網應用中,特別是傳感網應用中,感知節點處理能力、存儲能力、能量消耗均有限,安全功能實現成本代價較高,其實際應用效果并不明顯。
2.2 面向傳輸層安全模型
在EPC物聯網體系結構中,信息傳輸過程中易出現隱私泄漏,其主要原因有:1)閱讀器與標簽之間的任意讀取;2)ONS查詢系統為L-ONS提供無條件查詢功能;3)物品信息有R-TIS以明文形式傳送給L-TIS。為此,吳政強等人提出基于EPC物聯網架構的安全傳輸模型,該模型是面向協議,主要增強了傳輸過程中信息隱私的安全性。其通過引入可信第三方――可信認證服務器對原有模型進行改進:在ONS查詢機制中增加了可信匿名認證過程,對L-ONS的身份合法性以及平臺可信性進行認證;物品信息可信匿名傳輸機制確保物品信息的安全傳輸,物聯網安全傳輸模型如圖2所示。在傳輸過程中,遠程物品信息服務器按響應路徑各節點的順序從后至前用公鑰對物品信息嵌套加密,加密后的數據每經過一個路由節點被解密一層,直到本地信息服務器時,物品信息才被還原成明文。傳輸過程每個路由節點可以驗證收到數據的完整性及轉發路徑的真實性。
物聯網安全傳輸模型匿名認證協議具有抗被動攻擊、抗主動攻擊、信息泄漏量極小,路由可鑒別性、響應數據的可驗證性。但由于其基于EPC網絡結構,適用范圍具有一定局限性。
3 整體防護安全模型
3.1 基于P2DR2的物聯網安全模型
傳統的安全防護方法是對系統或設備進行風險分析,制定相應的安全防護策略或部署安全設備進行防護,這種方式忽略了物聯網安全的動態性,為此PDR模型應運而生,PDR是防護(Protection)、檢測(Detection)、反應(Reaction)的縮寫PDR模型通過Pt(攻擊所需時間)、Dt(檢測安全威脅時間)、Rt(對安全事件的反應時間)來描述系統是否安全,即Pt>Dt+Rt,隨著技術發展,PDR模型演變為P2DR模型,后期又融合了恢復(Recovery),形成了更為完善的P2DR2的動態自適應安全模型。劉波等人提出了基于P2DR2的物聯網安全模型,該模型采用動態防御的思想,結合物聯網的三層體系結構,如圖3所示。
基于P2DR2的物聯網安全模型強調了安全防護的各個方面,各層均未給安全技術實施方法,缺乏可操作性。將P2DR2模型直接應用物聯網,雖然考慮了分層結構,但各層策略(Policy)、防護(Protection)、檢測(Detection)、反應(Reaction)、恢復(Recovery)實現能力層次不齊,特別是在感知層,容易出現“短板”問題。
3.2 基于等級劃分的物聯網安全模型
目前,國內外較為流行的無線通信協議均采用為不同安全等級應用配置不同加密等級策略的思路。我國自1994年開始實施信息安全等級保護制度來重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統。隨著物聯網的發展,等級保護也作為物聯網安全防護的重要分支。孫知信等人提出了一種基于等級劃分的物聯網安全模型(BHSM-IOT),該模型以物聯網攻擊模型和以物聯網實際應用為前提構建的物聯網拓撲模型為基礎,利用模糊評價方法對物聯網應用進行等級劃分(無安全模式,ACL模式,認證、完整性和機密性模式,認證、完整性和機密、密鑰管理模式),從而部署實施不同安全配置。BHSM-IOT模式架構如圖4所示,包括應用需求分析、網絡拓撲分析、攻擊類型預測以及應用安全等級判定四個部分,其中BHSM-IOT模型從信息系統提取關鍵對象進行描述:應用系統管理員(ASA)、用戶(User)、維護數據單元(MDU)、系統硬件設備(SH)、應用涉及范圍(AR)、應用類型(AT)和敏感數據單元(SDU)。
范紅等人提出一種從橫向和縱向兩個方面提升物聯網防護水平的物聯網安全技術體系(STA-EPC),橫向防御體系以國標GB25070-2010為依據,涵蓋等級保護物理安全、安全計算環境、安全區域邊界、安全通信網絡、安全管理中心、應急響應恢復與處置六個方面,其中 “一個中心”管理下的“三重保護”是核心,物理安全是基礎,應急響應處置與恢復是保障。縱深防御體系是依據保護對象的重要程度以及防范范圍,將整個保護對象從網絡空間劃分為若干層次,不同層次采取不同的安全技術。目前,物聯網體系以互聯網為基礎,因此可以將保護范圍劃分為邊界防護、區域防護、節點防護、核心防護(應用防護或內核防護),從而實現如圖5所示的縱深防御。STA-EPC模型滿足機密性、完整性、Accountability、可用性安全屬性。
上述兩個安全模型均包含等級防護的思想,BHSM-IOT模型通過賦值進行定量評估信息系統等級,具有一定可操作性,但其安全技術粒度粗糙;STA-EPC模型針對40多個安全技術部署位置以及防御的層次給出了詳細的描述,為了物聯網安全防護提供了細粒度的操作指南。
3.3 基于三層架構的安全模型
目前較為通用的物聯網架構分為三層,即感知層、網絡層和應用層。Omar Said結合物聯網三層架構提出了一種物聯網安全模型,該模型在物聯網三層架構的基礎上,增加了應用安全層、網絡安全層、感知安全層,如圖6所示。其中應用安全層被劃分局部應用安全防御和全局應用安全防御。全局應用安全防御安全級別更高,但其不能與局部應用安全防御相沖突;網絡安全層分為有線網絡與無線網絡,無線網絡安全包括無線局域網、移動通信網、傳感網等,其防護技術包括密鑰分發、入侵探測、身份認證等。有線網絡包括傳統的防火墻、路由訪問控制、IPS等技術;感知安全層依據采集數據分為多媒體、圖像、文本信息。多媒體數據可以通過壓縮加密、時間戳、時間同步、會話認證防護安全威脅。圖像數據使用圖像壓縮算法、循環冗余等技術保障安全。文本信息數據則通過加密、抗干擾等技術進行防護。
該模型通過能量消耗、成本、時間、安全強度參數進行了評估,隨著傳輸量和時間的增長,其能量消耗呈現波形,趨于穩定,并且其安全強度處于80-100之間。雖然上述測試結果比較理想,但其選擇的試驗的安全技術相對簡單,如身份認證、授權管理、時間同步均涉及。
4 結束語
綜上所述,物聯網安全模型的發展必須滿足關鍵要求:1)適用于分布式拓撲架構且安全管理單元可進行自治;2)橫向防御與縱深防御結合;3)需進行能量消耗、成本、時間、安全強度的評估;4)物聯網安全模型涉及的安全技術應細粒度,可操作性要強;5)具有一定通用性,與物聯網體系架構無關,不局限于EPC物聯網、傳感網等形態。
參考文獻
[1] Bell D E, Lapadula L J. Secure Computer Systems: Mathematical Foundations and Model [J]. MITRE CORPBEDFORD MA, 1973.
[2] De Leusse, Periorellis, etc. Self Managed Security Cell, a security model for the Internet of Things and Services[C] First International Conference on Advances in Future Internet, 2009:45-52.
[3] Sventek J. Self-managed cells and their federation [J]. Networks and Communication Technologies, 2006, 10(2):45-50.
[4] 吳振強,周彥偉,馬建峰.物聯網安全傳輸模型[J].計算機學報,2011, 34(8):1351-1364.
[5] 劉波,陳暉等.物聯網安全問題分析及安全模型研究[J].計算機與數字工程, 2012,11:21-24.
[6] 孫知信,駱冰清等. 一種基于等級劃分的物聯網安全模型[J].計算機工程.2011,37(10):1-7.
[7] 范紅,邵華等.物聯網安全技術體系研究.第26次全國計算機安全學術交流會,2011:5-8.
[8] GB/T 25070-2010,信息系統等級保護安全設計技術要求[S].
[9] Omar Said. Development of an Innovative Internet of Things Security System[J]. International Journal of Computer Science Issues.2013,10(6):155-161.
作者簡介:
[關鍵詞]下一代防火墻;安全特征;發展趨勢
中圖分類號:TM215 文獻標識碼:A 文章編號:1009-914X(2017)12-0311-01
前言:在信息化潮流的引導下,互聯網的飛速發展給人們的生活帶來便捷,人們對互聯網的依賴程度加大。但是,近年來計算機網絡面臨的威脅越來越多的人為攻擊事件,數量劇烈上升趨勢。人們的利益受到威脅,對互聯網的放火墻安全性能產生不信任。所以,下一代防火墻的安全性值得我們探究和思考,爭取解決下一代互聯網的安全威脅。
1.研究防火墻安全特征
1.1 互聯網面對的安全威脅
自莫里斯蠕蟲病毒出現以來,病毒的數量呈爆炸式增長,安全漏洞數量增長較快,系統或軟件的嚴重級別漏洞增多。同時,黑客等網絡不法分子通過網絡技術,攻破用戶防火墻,帶來安全威脅。對于銀行系統、商業系統、政府和軍事領域而言,這些比較敏感的系統和部門對公共通信網絡中存儲與傳輸的數據安全問題尤為關注。目前,最常見的安全問題是網絡協議和軟件的安全缺陷、計算機病毒、身份信息竊取、網絡釣魚詐騙及分布式拒絕服務。其中計算機病毒并不獨立存在,而是寄生在其他程序之中,所以,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯網金融的發展,人們的身份信息與銀行資產很容易被黑客侵入,個人和企業的信息輕而易舉被竊取,造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。
1.2 目前防火墻的安全技術標準
在2005、2006年,防火墻標準進行了重新編制,只針對包過濾和應用級防火墻技術,其中服務器要求和并列到應用級防火墻技術中進行描述。先后形成了《GB/T20010―2005信息安全技術包過濾防火墻評估準則》。GB/T20281―2006標準則吸收了原來國家標準的所有重要內容。該標準將防火墻通用技術要求分為功能、性能、安全和保證四大。其中,功能要求是對防火墻產品應具備的安全功能提出具體的要求,包括包過濾、應用、內容過濾、安全審計和安全管理等;安全要求是對防火墻自身安全和防護能力提出具體的要求;保證要求則針對防火墻開發者和防火墻自身提出具體的要求。性能要求是對防火墻產品應達到的性能指標做出規定。同時,將防火墻產品進行安全等級劃分。安全等級分為三個級別,逐級提高,功能強弱、安全強度和保證要求的高低是等級劃分的具體依據,功能、安全為該標準的安全功能要求內容。這是我國信息安全標準中第一次將性能值進行量化的標準。
1.3 采用防火墻系統的必要性
隨著越來越多重要的信息應用以互聯網作為運行基礎,信息安全問題已經成為威脅民生、社會、甚至國家安全的重要問題。從計算機網絡安全技術的角度來看,防火墻是指強加于兩個網絡之間邊界處,以保護內部網絡免遭外部網絡威脅的系統或者系統組合。防火墻技術作為保護計算機網絡安全的最常用技術之一,當前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內部網絡數據和其他資源的前提下,允許本地用戶使用外部網絡資源,并將外部未授權的用戶屏蔽在內部網絡之外,從而解決了因連接外部網絡所帶來的安全問題。
2.分析下一代防火墻的發展趨勢
2.1 防火墻發展的新技術趨勢
就目前國內形勢而言,下一代防火墻發展的新技術趨勢有四方面。隨著運行商、金融、大型企業的數據中心等用戶對安全的關注,對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統的硬件構架已經無法滿足用戶的需求,因此多核處理,ASIC加速芯片處理等技術紛紛登場,高性能成為新的技術趨勢。雖然IPv6在目前推廣和普及的力度較大,但新的安全問題也逐漸產生。在純IPv6網絡中,IPv6端與端的IPSec以及最終拜托NAT的發展構架對防火墻產品的沖擊影響較大,但在IPv4/6共存階段,針對不同過渡協議混雜的背景,防火墻產品還是有著技術發展和實現的需求,所以使防火墻適用于IPv4/6也是重要技術趨勢之一。基于防火墻用戶的配置策略,應用深層控制技術開始越來越多的被提及。同時,隨著云時代的到來,各類云服務逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術的發展開發出云服務虛擬化技術。
2.2 下一代互聯網高性能防火墻標準
據國家標準化管理委員會2013年下達的國家標準制修訂計劃,對原有《GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法》進行修訂,由于下一代互聯網的特性是防火墻功能屬性,所以維持原有標準名稱。該標準與GB/T20281-2006的主要差異是增加了高性能防火墻的描述,增加了防火墻的功能分類,加強了防火墻的應用層控制能力,增加了下一代互聯網協議支持能力的要求,級別統一劃分為基本級和增強級。該標準安全功能主要對產品實現的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分,其中網絡層控制主要包括包過濾、NAT、狀態檢測、策略路由等方面。這些安全功能新標準要求將大大提高下一代防火墻的安全特性。在環境適應性要求方面,該標準對下一代防火墻產品的部署模式及下一代互聯網環境的適應性支持進行了要求。同時,該標準的性能要求對下一代防火墻的吞吐量、延遲、最大并發連接數、最大連接速率和最大事務等性能指標進行了要求。
2.3 網絡安全的實現
網絡安全的實現是多方面的。訪問控制是網絡安全防御和保護的主要策略。進行訪問控制的目的是保護網絡資源不被非法使用和非法訪問。控制用戶可以訪問網絡資源的范圍,為網絡訪問提供限制,只允許訪問權限的用戶訪問網絡資源。且隨著當前通信技術的快速發展,用戶對信息的安全處理、安全存儲、安全傳輸的需要也越來越迫切,并受到了廣泛關注。信息在網絡傳輸的安全威脅是由于TPC/IP協議所固有的,因此數據加密技術成為實現計算機網絡安全技術的必然選擇。病毒防護主要包括計算機病毒的預防、檢測與清除。最理想的防止病毒攻擊的方法就是預防,在第一時間內阻止病毒進入系統。攻擊防御對網絡及網絡設備的傳輸行為進行實時監視,在惡意行為被發動時及時進行阻止,攻擊防御可以針對特征分析及分析做出判斷。同時,網絡安全建設“三分技術,七分管理”。因此,除了運用各種安全技術之外,還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。
結語
總而言之,事物的發展過程是曲折的,前途是光明的。隨著人類在經濟、工業、軍事領域方面越來越多地依賴信息化管理和處理,由于信息網絡在設計上對安全問題的忽視,以及爆發性應用背后存在的使用和管理上的脫節,使互聯網中信息的安全性逐漸受到嚴重威脅,實用和安全矛盾逐漸顯現。而下一代防火墻的安全特性隨著互聯網的發展是不斷改進,進行高性能技術的研究,已有所成果。所以,關于下一代防火墻的安全特性我們要抱有積極的態度。
參考文獻
日前,國內網絡信息安全行業領軍企業啟明星辰及終端安全領域領軍企業北信源宣布成立合資公司。雙方通過這次合作整合資源旨在打造企業級防病毒第一品牌,同時也將實現防病毒技術與其他終端防護技術的充分融合。
啟明星辰認為,從技術發展趨勢來看,隨著“云物移社大智隨”(云計算、物聯網、移動互聯網、社交網絡、大數據、智慧城市、隨身智能等)的發展,終端安全防護技術也在不斷變化,啟明星辰通過此次合作將新公司的防病毒技術與自身的終端技術融合,在強化傳統終端安全防護能力的同時,同步提升對移動終端、物聯網終端、社交網絡前端、可穿戴設備等智能終端領域的安全能力覆蓋。再與集團公司其他產品線形成整體,成為啟明星辰布局云管端以形成全天候、全方位的企業網絡安全態勢感知體系的重要組成部份。這次合作也意味著啟明星辰繼續加強企業級網絡信息安全市場布局,特別是中小企業市場的布局。
北信源作為國內終端安全領域的領軍企業,通過此次合作將進一步提升公司在信息安全領域的整體優勢,強化公司在終端安全領域的領先地位,有效提升終端入口的技術能力及市場占有率。北信源掌門人及合資公司董事長林皓表示,合資公司的成立將結合終端發展的多元化、智能化等特點,采用云計算、物聯網、大數據、機器學習等新技術,對傳統產品進行升級改造,為用戶提供更精準、更高效、更智能的病毒/木馬查殺和綜合安全防護能力,打造全新的網絡安全服務平臺。通過本次合作,北信源將加快企業級網絡安全市場布局,同時快速向互聯網領域轉化,為公司信息安全、大數據、移動互聯網發展戰略提供更堅實的平臺。
新合資公司辰信領創CEO吳俁向記者表示:合資公司在安全技術和產品層面,將完善并提升在傳統終端和智能終端防護技術及產品的核心競爭力,并將整合合作各方的資源,打造國內一流的病毒及惡意代碼防范技術研發團隊,將各方優秀的專業安全能力融入產品和服務,實現從終端到云端的完整的、全方位的、立體化的安全防護體系。
作為合資公司在防病毒領域的重要合作伙伴,騰訊公司副總裁馬斌表示,本次啟明星辰與北信源的合作是啟明星辰與騰訊合作“云子可信網絡防病毒系統”的延續,為的是能夠讓更多的企業和客戶,用到更好的產品。在產品技術方面,騰訊將與辰信領創更加深入的合作。同時,在互聯網信息安全領域的市場,騰訊堅持搭建一個開放、合作、共享的平臺,與更多企業進行合作。
第四屆中國國際物聯網大會暨展覽會
第四屆中國國際物聯網大會暨展覽會將于6月4-5日在上海國際展覽中心舉行。展覽規模將達到12000平方米,展品范圍涵蓋智能交通、車聯網、智能建筑與家居、移動支付、食品檢疫、供應鏈管理系統、儲藏技術與設備、物品溯源技術、RFID技術、芯片、智能卡、計算機互聯網解決方案、數據管理、投融資機構等。本屆展覽會以“民生物聯網、智慧新生活”為主題,同期還將舉辦主題大會、專題研討、交流洽談、產品展示等相關活動。
6.4-6.6
2013年中國國際智能卡、RFID與物聯網展覽會
作為中國乃至亞太地區最具影響力、規模最大、參展企業最多的國際智能卡、RFID與物聯網的行業盛會,2013年的博覽會內容將涵蓋物聯網產業鏈的眾多方面。博覽會期間將舉辦由國家金卡工程協調領導小組辦公室、中國信息產業商會、中國貿促會電子信息行業分會主辦的“2013年中國國際智能卡、RFID與物聯網展覽會”、“第十一屆中國(北京)RFID與物聯網國際峰會”以及十多個專業論壇。預計博覽會將吸引來自中國()、英國、德國、日本、韓國、新加坡等國家數百家相關企業參展,對推動以物聯網為核心的新興科技產業與應用的發展起到積極的促進作用。
6.9-6.12
2013廣州國際建筑電氣技術展覽會
配合中國智能建筑市場高速增長及承接上屆的成功,第十屆廣州國際建筑電氣技術展覽會將于2013年6月9-12日在廣州中國進出口商品交易會展館隆重舉行。
該展會已被公認為亞洲建筑電工電氣和樓宇自動化及智能家居市場的主要平臺,今年展會將繼續與廣州國際照明展覽會和廣州國際光電建筑展覽會同期舉行。
本屆展會將繼續舉辦多項研討會及論壇活動,探討中國智能建筑及家居自動化市場發展趨勢、智能建筑應用及最新技術發展、智能建筑控制系統標準、物聯網技術及智能家居發展、建筑電氣設計及其設計應用等多個熱門領域。
6.17-6.19
2013中國國際食品安全與創新技術展覽會
本屆展會將在2013年全國食品安全宣傳周期間舉辦,將全面展示我國乃至全球食品安全技術創新和發展成果,進一步提高企業的食品安全控制意識和自檢自控能力。
展會將對食品安全控制技術、食品安全可追溯檢測技術、食品安全可追溯設備、食品安全應用可追溯技術的最新成果以及國內知名食品企業在食品安全方面成就等進行展示。
6.18-6.20
2013第八屆中國國際RFID、物聯網技術與云計算展覽會
由廣東省現代信息服務行業協會、國際自動識別制造商協會、中國RFID產業聯盟、香港EPC/RFID供應鏈創科中心、香港物流及供應鏈管理應用技術研發中心、廣東防偽行業協會、中國傳感器協會、中國物流與采購聯合會、廣東省自動化學會、廣東連鎖經營協會聯合主辦的第八屆中國(廣州)國際RFID、物聯網暨云計算展覽會將于6月在廣州舉辦。
展會面積預計超過約1萬平方米,將吸引來自國內及港、澳、臺地區、及英國、法國、日本、加拿大、芬蘭、德國、意大利、韓國、瑞典、阿聯酋、美國等行業多個國家和地區的知名機構和企業參展。
6.18-6.20
2013第十三屆中國(廣州)國際自動識別展覽會
2013第十三屆中國(廣州)國際自動識別展覽會充分考慮到物聯網行業當前需求和行業發展特征,以RFID(無線射頻識別)、傳感網、自動識別技術和應用為主體展示內容,包含產業鏈上下游產品、技術、設備及各領域的成功案例展示,充分體現了自動識別、RFID、無線傳感等技術、應用、商務以及整個行業的特色和當前需求。
同期還將舉辦2013中國(廣州)國際RFID與物聯網技術應用展會、2013中國(廣州)國際零售業展覽會、2013世界物聯網產業技術發展暨投資峰會論壇等精彩活動。
6.18-6.21
2013海峽智慧城市與物聯網產業博覽會
第十一屆中國?海峽項目成果交易會“2013第二屆海峽物聯網產業博覽會暨海峽電子信息產業博覽會”將于2013年6月在福州海峽國際會展中心舉辦。
展會以現場展示新技術新產品和高峰論壇及項目對接為主,將邀請相關部門領導、行業專家、企業精英圍繞以上主題現場探討,讓物聯網企業對自身企業的發展有清晰的定位與認識,讓行業主管部門對于如何引導和促進物聯網企業發展有了更多的思路和方法。
6.28-6.30
【關鍵詞】檔案管理 檔案數字化
隨著信息技術的發展,將帶動檔案數字化管理技術的發展,數字化在檔案事業中發揮著重要的作用,已成為檔案工作發展的必然趨勢。檔案數字化的概念和作用
一、概念
檔案數字化是指利用數據庫技術、數據壓縮技術、高速掃描技術等技術手段,將紙質文件、聲像文件等傳統介質的文件和已歸檔保存的電子檔案,系統組織成具有有序結構的檔案信息庫。檔案數字化管理,是指在國家檔案建設管理部門的統一規劃和組織下,在檔案管理的活動中全面應用現代信息技術,對檔案信息資源進行數字化管理和提供利用。
二、作用
檔案的數字化可以節省檔案存貯空間,緩解庫房壓力,也可以減少因對檔案原件頻繁使用而造成的磨損,妥善解決珍貴檔案文獻的利用問題,有利于保護檔案原件,尤其是珍貴檔案的保存。它使檔案管理模式發生轉變,從以檔案實體保管和利用為重點,轉向以檔案信息的數字化存儲和提供服務為重心,從而使檔案工作進一步走向規范化、數字化、網絡化、社會化。
三、檔案數字化管理主要內容
簡單來講,數字化管理主要內容包括基礎設施建設、信息資源建設、應用系統建設、標準規范建設和人才隊伍建設五個方面的內容。
(一)標準規范建設。是對電子文件的形成、歸檔和電子檔案信息資源標識、描述、存儲、查詢、交換、網上傳輸和管理等方面,制定標準、規范,并指導實施的過程,相當于信息高速公路上的“交通規則”,對于確保計算機管理的檔案信息和網絡運行的安全、暢通,具有十分重大的意義。
(二)基礎設施建設。指檔案信息網絡系統和檔案數字化設備。它是檔案信息傳輸、交換和資源共享的基礎條件,只有建設先進的檔案信息網絡,才能充分發揮檔案信息化的整體效益。
(三)應用系統建設。主要內容包括檔案信息的收集、檔案信息的管理、檔案信息的利用、檔案信息的安全等方面,它關系到檔案信息化建設的速度與質量,集中體現了檔案信息建設的效益和檔案信息服務的效果。
(四)檔案信息化資源建設。包括館藏檔案的數字化和電子文件的采集和接收。檔案信息資源建設主要形式包括館藏檔案目錄中心數據庫建設、各種數字化檔案全文及專門數據庫建設。
(五)人才建設。包括檔案專業人才、計算機專業人才,特別是既懂檔案業務,又熟悉信息技術的復合型人才。
四、檔案數字化管理的安全保障體系建設
安全保障體系建設是一項復雜而龐大的系統工程,主要應該由以下五個要素組成:法制標準保障建設、基礎設施保障建設、組織管理保障建設、安全技術保障建設和災難恢復機制保障建設。該體系以法制標準為重要手段,以安全基礎設施為基礎,在整體安全策略和安全組織管理之下,采用國內外先進成熟的安全技術,制訂統一的備份恢復策略,建立完備的綜合防范機制,以保障檔案信息安全、可靠、有序、高效地運行。
五、檔案數字化管理技術發展趨勢
結合先進的技術,實現檔案數字化管理的多元化、網絡化、多媒體化、智能化和虛擬化。
(一)物聯網。在檔案領域,物聯網作為新技術在檔案領域被應用于不同層面:
1.互動式檔案館。傳統的檔案館展廳都是簡單的展覽模式,參觀者只是被動地看看展品和簡要介紹。利用物聯網技術,可以建設互動式檔案展廳,使傳統的檔案館變為互動式的檔案館,參觀者可以利用手勢與實物檔案進行互動,甚至能讓檔案開口說話。2.煙霧報警系統。檔案庫房安裝煙霧報警系統,采用分布式物聯網可以實現對大樓不同區域的氣流、溫度等的全分散監測與控制。3.檔案庫房管理。在未來的檔案庫房管理方式中,庫房中的每件實物檔案都攜帶一個RFID標簽,該標簽存儲實物檔案的存放地點、來源、背景信息、內容概要等信息。通過物聯網就可以掌握每個物品的準確位置及每一類型物品的數量、內容等相關信息。4.3D虛擬現實。檔案館利用物聯網技術,提供全三維、逼真的數字檔案館場景。用戶可以自己控制在場景中游走的路線,可以與虛擬檔案進行互動。5.移動辦公。適于物聯網應用的GPRS/TD/WSN(無線傳感器網絡)融合網絡構建,隨時隨地都能利用移動終端上傳、查找檔案信息。
(二)云計算。網格技術很早就受到了檔案界人士的關注,云計算是由網格技術發展而來的,這是云計算受到檔案界人士青睞的原因之一。還有更重要的一個原因,那就是云計算技術具有一些新的特征,其優點突出表現為:一是經濟實惠。可以降低用戶電腦的成本,減少維護費用。二是超強的計算能力。云計算中的所有計算機會運用各種不同方法,搜索眾多數據庫,為用戶提供盡可能完整的搜索結果。三是數據安全性強。在云計算中,一臺電腦的崩潰不會影響到數據的存儲,因為云會自動備份存儲數據。四是以服務為中心。云計算的用戶不需隨身攜帶文檔,只需一臺計算機,連接到網絡即可獲取到相關的信息和服務。
(三)商業性電子文件中心。商業性電子文件中心,是國外檔案保管的一種模式,提供五種服務:簡單文件管理服務、數字文件管理服務、數據保護和備份服務、文件信息銷毀服務、其他服務,通過這五種服務實現服務的全面、廣泛、精細、靈活、個性化、設施精良、技術先進和安全。
商業性電子文件中心雖然在國外已經發展成為比較成熟的文件管理機構,如Iron Mountain和Recall是全球規模最大的商業文件中心。但在國內,縱然已經有此性質的商業文件中心,但絕大多數人對它的認識仍然處于模糊階段,對其管理、服務水平和安全性持懷疑態度。
因此,商業性文件中心在建立之初,要想獲得客戶的信賴,就必須以服務為根本宗旨,建立一套客戶所認可的、比較系統、安全、可行的文件、檔案管理服務制度,不斷地加強體制建設,研究新時期下的法律法規配套制度,逐步形成我國的商業電子文件中心管理體系。
參考文獻:
[1]何燦;分布式數字化檔案館的研究與實現[D];北京交通大學;2007
[2]張勇;數字檔案信息安全保障體系研究[D];蘇州大學;2007
[3]錢志祥;;檔案數字化管理實踐[J];浙江檔案;2006,01
1.1“大數據”定義
所謂大數據(bigdata),或稱巨量資料,通常情況下,是指涉及的資料規模龐大,在現有的技術條件的基礎上,難以通過主流軟件,在合理時間內對其進行擷取、管理、處理。對于“大數據”來說,其特征主要表現為:一是數據量(volumes)大,在實際應用中,把多個數據集放在一起,形成PB級的數據量。根據IDC(國際數據公司)的監測統計,2011年全球數據總量已經達到1.8ZB;二是數據類別(variety)大,數據來自多個數據源,無論是種類,還是格式,數據日趨豐富,以前所限定的結構化數據范疇等,已經被沖破,半結構化和非結構化數據早已囊括其中;三是數據處理速度(Velocity)快,在數據量非常龐大的情況下,能夠對數據進行實時的處理;四是數據具有較高的真實性(Veracity),隨著社交數據、物聯計算、交易與應用數據等新數據源的興起,沖破了傳統數據源的局限,在這種情況下需要有效的技術,進一步確保數據的真實性、安全性。
1.2“大數據”技術
“大數據”的價值不只在于其數據量之大,更大的意義在于通過數據采集、處理、分析、挖掘等技術對“大數據”的屬性,包括數量、速度、多樣性等等進行分析,能獲取很多智能的、深入的、有價值的信息。而這些信息提取過程可大致分為以下三個階段。
1.2.1數據輸入
將分布的、異構數據源中的關系數據、平面數據等數據進行采集抽取,然后對其進行清洗、轉換、集成等,最后將數據加載到數據倉中,進而為數據聯機分析、挖掘等處理奠定基礎。其特點主要表現為并發數高,因為成千上萬的用戶有可能同時訪問、操作數據,比較典型的就是火車票售票網站、淘寶等,在峰值時,它們并發的訪問量能達到上百萬,在這種情況下,在采集端需要部署大量數據庫。
1.2.2數據處理
“大數據”技術核心就是數據挖掘算法,基于不同的數據類型和格式的各種數據挖掘的算法深入數據內部,快速地挖掘出公認的價值,科學地呈現出數據本身具備的特點。并根據用戶的統計需求,對存儲于其內的海量數據利用分布式數據庫或分布式計算集群進行普通的分析和分類匯總等。其特點主要表現為用于挖掘的算法比較復雜,并且計算涉及的數據量和計算量都很大,常用數據挖掘算法都以單線程為主。
1.2.3數據輸出
從“大數據”中挖掘出特點,科學的建立模型,通過導入數據,以得到用戶需要的結果。這已在能源、醫療、通信、零售等行業有了廣泛應用。
2“大數據”安全隱患
“大數據”時代,數據量是非線性增長的,隨著數據價值的不斷提高,黑客對于數據的覬覦已經由原來的破壞轉變成竊取和利用,病毒或黑客繞過傳統的防火墻、殺毒軟件、預警系統等防護設備直接進入數據層,一些高級持續性攻擊已經難以用傳統安全防御措施檢測防護。“大數據”的安全風險主要可以分為以下兩個方面。
2.1從基礎技術角度看
NoSQL(非關系型數據庫)是“大數據”依托的基礎技術。當前,應用較為廣泛的SQL(關系型數據庫)技術,經過長期的改進和完善,通過設置嚴格的訪問控制和隱私管理工具,進一步維護數據安全。在NoSQL技術中,沒有這樣的要求。而且,對于“大數據”來說,無論是來源,還是承載方式都比較豐富,例如物聯網、移動互聯網、車聯網,以及遍布各個角落的傳感器等,通常情況下,數據都是處于分散存在的狀態,難以對這些數據進行定位,同時難以對所有的機密信息進行保護。
2.2從核心價值角度來看
“大數據”技術關鍵在于數據分析和利用,但數據分析技術的發展,對用戶隱私產生極大的威脅。在“大數據”時代,已經無法保證個人信息不被其他組織挖掘利用。目前,各網站均不同程度地開放其用戶所產生的實時數據,一些監測數據的市場分析機構可通過人們在社交網站中寫入的信息、智能手機顯示的位置信息等多種數據組合,高精度鎖定個人,挖掘出個人信息體系,用戶隱私安全問題堪憂。
3“大數據”安全防范
由于“大數據”的安全機制是一個非常龐大而復雜的課題,幾乎沒有機構能一手包攬所有細節,因此業界也缺乏一個統一的思路來指導安全建設。在傳統安全防御技術的基礎上,通過對“大數據”攻擊事件模式、時間空間特征等進行提煉和總結,從網絡安全、數據安全、應用安全、終端安全等各個管理角度加強防范,建設適應“大數據”時代的安全防御方案,可以從一定程度上提高“大數據”環境的可靠度。
3.1網絡安全
網絡是輸送“大數據”資源的主要途徑,強化網絡基礎設施安全保障,一是通過訪問控制,以用戶身份認證為前提,實施各種策略來控制和規范用戶在系統中的行為,從而達到維護系統安全和保護網絡資源的目的;二是通過鏈路加密,建立虛擬專用網絡,隔離公用網絡上的其他數據,防止數據被截取;三是通過隔離技術,對數據中心內、外網絡區域之間的數據流量進行分析、檢測、管理和控制,從而保護目標數據源免受外部非法用戶的侵入訪問;四是通過網絡審計,監聽捕獲并分析網絡數據包,準確記錄網絡訪問的關鍵信息;通過統一的策略設置的規則,智能地判斷出網絡異常行為,并對異常行為進行記錄、報警和阻斷,保護業務的正常運行。
3.2虛擬化安全
虛擬機技術是大數據概念的一個基礎組成部分,它加強了基礎設施、軟件平臺、業務系統的擴展能力,同時也使得傳統物理安全邊界逐漸缺失。加強虛擬環境中的安全機制與傳統物理環境中的安全措施,才能更好地保障在其之上提供的各類應用和服務。一是在虛擬化軟件層面建立必要的安全控制措施,限制對虛擬化軟件的物理和邏輯訪問控制;二是在虛擬化硬件方面建立基于虛擬主機的專業的防火墻系統、殺毒軟件、日志系統和恢復系統,同時對于每臺虛擬化服務器設置獨立的硬盤分區,用以系統和日常數據的備份。
3.3數據安全
基于數據層的保護最直接的安全技術,數據安全防護技術包括:一是數據加密,深入數據層保護數據安全,針對不同的數據采用不同的加密算法,實施不同等級的加密控制策略,有效地杜絕機密信息泄漏和竊取事件;二是數據備份,將系統中的數據進行復制,當數據存儲系統由于系統崩潰、黑客人侵以及管理員的誤操作等導致數據丟失和損壞時,能夠方便且及時地恢復系統中的有效數據,以保證系統正常運行。
3.4應用安全
由于大數據環境的靈活性、開放性以及公眾可用性等特性,部署應用程序時應提高安全意識,充分考慮可能引發的安全風險。加強各類程序接口在功能設計、開發、測試、上線等覆蓋生命周期過程的安全實踐,廣泛采用更加全面的安全測試用例。在處理敏感數據的應用程序與服務器之間通信時采用加密技術,以確保其機密性。
3.5終端安全
隨著云計算、移動互聯網等技術的發展,用戶終端種類不斷增加,很多應用程序被攻擊者利用收集隱私和重要數據。用戶終端上應部署安全軟件,包括反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件,并及時完成應用安全更新。同時注重自身賬號密碼的安全保護,盡量不在陌生的計算機終端上使用公共服務。同時還應采用屏蔽、抗干擾等技術為防止電磁泄漏,可從一定程度上降低數據失竊的風險。
4“大數據”安全展望
“大數據”時代的信息安全已經成為不可阻擋的趨勢,如何采用更加主動的安全防御手段,更好地保護“大數據”資源將是一個廣泛而持久的研究課題。
4.1重視“大數據”及建設信息安全體系
在對“大數據”發展進行規劃的同時,在“大數據”發展過程中,需要明確信息安全的重要性,對“大數據”安全形式加大宣傳的力度,對“大數據”的重點保障對象進行明確,對敏感、重要數據加大監管力度,研究開發面向“大數據”的信息安全技術,引進“大數據”安全的人才,建立“大數據”信息安全體系。
4.2對重點領域重要數據加強監管
海量數據的匯集在一定程度上可能會暴露隱私信息,廣泛使用“大數據”增加了信息泄露的風險。政府層面,需要對重點領域數據范圍進行明確,制定完善的管理制度和操作制度,對重點領域數據庫加大日常監管力度。用戶層面,加強內部管理,建立和完善使用規程,對“大數據”的使用流程和使用權限等進行規范化處理。
4.3加快研發“大數據”安全技術
眼下,他的努力已有所收獲。談劍峰率領上海眾人網絡安全技術有限公司(下稱“眾人科技”)最新研發的移動互聯網創新密碼技術SOTP(Super One-time Password),能有效解決快速發展的移動支付中安全與便捷的平衡問題,不僅填補了國內空白,也填補了國際上該領域的空白,這使談劍峰成為我國在網絡安全身份認證領域的第一人。
今年年初,上海市委書記韓正邀請8位上海市民營企業家代表到市委座談,聽取他們對上海科創中心建設和經濟社會發展的建議,談劍峰正是其中之一。在現場,他提出,“互聯網+”不能成為沙漠上的海市蜃樓,需要從具有核心技術的產業中尋求融合發展之路,而基石正是安全。 動態密碼國產化首家企業
1994年,互聯網進入中國伊始,談劍峰就開始接觸網絡。
1997年,他和另外兩位成員一起創建了“綠色兵團”,這個組織后來被稱為“中國黑客界的黃埔軍校”,可見其影響力。
隨后,他創辦過網站,不久便被一家美國公司收購。再后來,他去香港做投行。2006年回到上海,他給自己放了一年假,做起了網游《魔獸世界》的玩家。談劍峰表示,“最風光時成了世界60-70升級第一人(玩家名:銀龍),那一周全球所有的游戲網站頭條都是我們團隊。”
玩《魔獸世界》需要組織團隊,在這個過程中,談劍峰的不少團隊伙伴被盜號,價值上萬元的裝備瞬間蒸發。做技術出身的他,開始思考網游賬號的安全問題:“賬號+靜態密碼”的安全級別太低,隨便一個木馬就能輕松盜取。放眼當時的中國,絕大多數網民都和網游玩家一樣,存在被盜號的風險。
經過一番摸索,談劍峰最終認定,用動態密碼技術相對來說最安全、最方便。而那時這個領域還沒有中國產品,談劍峰開始又一次創業。
由眾人科技自主研發的多因素動態密碼,是一把運用“時間+挑戰因子”的網絡鑰匙,即通過認證事件的不同,加上實時產生的即時密碼結果,來提高網絡認證的安全性。
終于,在2009年初,眾人科技拿到了國家密碼管理局動態口令類產品資質企業的第一張許可證。如今,他們的“iKEY”產品已被國家相關機構認定為“填補國內空白,國際先進水平”。
與國外基于單一時間因子的動態密碼口令相比,眾人科技的密碼技術像一把雙重保險,根據國內消費現狀和市場環境而做出了優化和改良,能防止用戶密碼被“釣魚”,達到了金融系統風控的高要求,也成為首個被國際采用的認證技術和標準。
作為動態密碼國產化的第一家企業,談劍峰率領眾人科技還牽頭制定了該領域的國家標準和相關行業標準,在完善網絡安全標準方面扮演了重要的角色。
談劍峰告訴記者,公司啟動了全員股權激勵計劃。對于公司而言,每一位員工的創新力、執行力、主動性、使命感是公司取得成功的關鍵因素。希望大家與公司共同成長、共赴未來、共享收益。他要將公司打造成大家的“眾人”科技。而現如今,眾人科技已儼然成為行業的標桿企業,其研發的身份認證技術也已被金融、電信、航空、醫療、教育和公安等各行業和系統廣泛應用。 SOTP技術有望下半年上線
采訪談劍峰之時,恰巧他正在為赴德國參加全球最大規模的ICT(Information Communications Technology,信息與通信技術)科技展做準備。“這次是我們的技術和產品第一次走出國門,我想借此機會,讓國外企業了解中國在信息安全領域的技術水平。同時,我也抱著學習的心態,去了解國際上的最新科技,提高公司未來的價值和競爭力,為公司今后的發展開拓視野。” 談劍峰告訴記者。
據估計,在通過國家相關單位的最后審批后,眾人科技研發的SOTP技術將有望于今年下半年全面上線。
當前移動互聯網的安全需求對以往基于PKI(Public Key Infrastructure,公鑰基礎設施)的密碼技術提出了挑戰,無卡去介質化必將成為發展趨勢。SOTP技術創新地實現了密鑰與算法的融合,在無需增加硬件SE的前提下,采用軟件方式解決了移動設備中存儲密鑰的關鍵性問題。同時基于“一人一密”+“一次一密”的安全特性,保護了移動互聯網用戶的身份認證安全、個人信息安全以及應用數據安全,并實現了云端統一化認證。 上海眾人網絡安全技術有限公司創始人談劍峰
“我相信未來是去介質的時代,不只是移動支付,還會是無卡支付。”談劍峰表示,“如果哪一天我們不需要銀行卡了,網絡支付變成了虛擬動態卡號,這樣的場景是否比傳統的綁定銀行卡號更為安全?”
長期以來,我國IT業基本沒有核心技術的留存,仍處在“商業模式+人口紅利”的互聯網經濟發展的初級階段。隨著消費互聯網向產業互聯網的不斷演變,必須要從具有核心技術的產業中尋求融合發展。
APT攻擊仍是“心腹大患”
報告顯示,本季度亞信安全客戶終端檢測并攔截惡意程序約 12128 萬次,與前幾個季度相比,惡意程序數量相對穩定。但是,這并不意味著企業在威脅防御方面可以掉以輕心。事實上,惡意程序正在變得更具隱蔽性、針對性,這也是APT攻擊的常用手法。在Rotten Tomato APT 組織的攻擊中,攻擊者主要利用微軟Office漏洞來將惡意程序附帶到Office文件中。之后,不法分子會以清單、通知、快遞等信息為幌子,精心編造郵件以誘使企業員工點擊。一旦點擊,惡意程序就可能通過內網感染企業系統,繼而導致企業機密信息外泄。
亞信安全發現,雖然該 APT 利用的是Office 的已知漏洞,但由于大量企業用戶并沒有及時升級版本或修復漏洞,所以他們處于APT攻擊的威脅之中。加上企業內部人員安全意識參差不齊,防病毒和入侵檢測系統部署不到位,魚叉式釣魚郵件往往可輕松直達內網,嚴重威脅企業信息安全。
亞信安全技術總經理蔡N欽指出:“要更好地防范APT攻擊,企業信息安全要著眼于構建多層防護體制,定期更新系統和應用軟件補丁、升級安全軟件特征庫。同時也要加強員工信息安全培訓,教育員工養成良好的安全意識,不隨意打開陌生來源的郵件附件。”
金融安全再敲警鐘
在第三季度,金融行業再次爆出嚴重的網絡安全事件。7月份,臺灣發生 ATM 機自動吐錢事件,總計 41 臺 ATM 機被盜,被盜金額達 8327 余萬元;無獨有偶,一個月后,泰國 ATM 機被盜,總計 21 臺 ATM 機受影響,損失達 1200萬泰銖。在這兩起事件中,入侵者都是通過仿冒更新軟件程序在ATM 機中植入惡意程序,并通過ATM遠程控制服務(Telnet Service)來控制ATM 機吐鈔。
蔡N欽表示:“ATM自動吐錢事件再度證明了金融安全的脆弱性,近年來不僅與銀行有關的網絡釣魚網站數量出現激增,針對金融行業的移動安全威脅、高級持續性攻擊也迅速增長。要防范此類攻擊,不僅要及時更新系統和安全軟件,在防御構建上也要做到整體的關聯與對應,這對隔離網絡犯罪者的定點攻擊有著關鍵作用。”
移動及物聯網設備風險劇增
在近幾年,移動及物聯網設備數量出現爆發式增長,這正吸引著大量不法分子的入侵。第三季度報告顯示,安卓平臺的惡意程序仍然呈現快速增長的趨勢,亞信安全對 APK 文件的處理數量已經累計達到 3595 萬個,比去年同期增長將近一倍。
緊盯熱門APP以及熱門設備是移動惡意程序的突出特征。在本季度,亞信安全就截獲一款仿冒《Pokemon GO》APP 的勒索軟件,該款勒索軟件能加密用戶手機文件,以勒索高額贖金。另外,黑客還利用蘋果 iOS 系統的“三叉戟”0day 漏洞來遠程控制用戶手機,會造成短信、郵件、通話記錄、電話錄音、存儲密碼等大量隱私數據的失竊。這提醒用戶即使在使用以安全性著稱的蘋果手機時,也要注意防范安全風險。
