时间:2023-06-08 15:16:23
导语:在移动端网络安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】小区重定位;移动网络;安全管控
1引言
移动通信网作为承载通信平台的综合信息服务网络,是一个国家关键基础设施的重要组成部分,提供包括语音、数据、短信息等多种服务类型,已成为当前社会主要通信手段。然而移动通信在方便大众的同时,也为不法分子沟通联络提供了便利,已经成为网络失泄密、违法勾连、恐怖活动的主要手段。采用移动网络安全管控,是解决这一问题的有效途径。
2移动网络安全管控的技术现状
自数字移动通信系统开始在国内部署以来,移动管控相关技术及产品的研发便开始起步,目前存在的主要安全管控设备是通信干扰设备、被动式监控定位设备。按照技术体制实现来划分,移动通信管控分为信号压制、被动式监听和协议级主动管控三种。信号压制是最早出现的移动管控产品,主要通过大功率信号辐射,淹没正常的网络电磁波传送,实现区域内通信屏蔽;被动式监听是指通过被动接收并解析来自网络和用户的移动通信无线信号获取重要情报信息;协议级主动管控是指通过网络并与用户进行协议数据交互实现用户通信监管和控制,是本文研究的重点。
3协议级移动网络安全管控分析
众所周知,目前移动网络已经进入4G时代,同时兼容2G、3G移动通信,并正在向5G迈进。对应的安全管控技术必须针对不同制式进行精确管控,才能有效解决全域管控问题。2G主要制式为GSM,3G主要制式为CDMA(CDMA2000、WCDMA、TD-SCDMA),4G主要制式为LTE(TDD-LTE、FDD-LTE),因此必须针对各种制式进行设计。移动通信系统提供的安全机制主要有用户身份认证和身份保密、用户数据保密和信令保密。GSM安全机制存在较大的漏洞,即“单项鉴权”,只有基站对手机端的认证,没有手机端对基站的认证。我们可充分利用这一漏洞进行移动信号安全管控,方法是采用基站的方式,模拟公网小区,使被管控移动终端误认为基站才是真正的基站,从而脱离原小区,重新定位到“新”基站。这样被管控的移动终端的所有通信都将被有效管控,并通过协议级精确管控,实现目标的选通或阻塞。
4基于公网小区重定位的移动网络安全管控关键技术
关键词:网络工程;安全防护技术;思考
引言
网络信息技术的快速普及应用极大地提高了人们的生活和工作效率,但与此同时,由于网络信息技术自身所具有的开放性、交互性等特征,网络工程在带给人们巨大便捷的同时也面临着日益严峻的安全问题。因而如何切实加强网络工程安全防护,形成和发展与快速发展的网络信息技术相适应的网络工程安全防护能力,就成为现代社会网络信息化建设的焦点问题之一。
1网络工程中存在的主要安全问题
进入新世纪以来,随着网络工程的使用进一步走向深层次和综合化,网络工程中面临的安全隐患也进一步加剧,主要表现在以下几个方面:
1.1云端安全隐患突出
随着以“互联网+”、“云计算”等新兴的互联网技术的进一步普及应用,各种针对云端的病毒、漏洞等的攻击也随之增多,并日益威胁到云端等技术平台的安全使用,而各种针对云端的网络攻击,也给目前逐渐普及应用的云计算等带来了潜在的危害,例如2011年亚马逊数据中心发生的宕机事故,直接导致大量业务中断,而时隔一年之后,亚马逊的云计算平台数据中心再次发生宕机事故,导致Heroku、Reddit和Flipboard等知名网站和信息服务商受到严重影响,而这也已经是过去一年半里亚马逊云计算平台发生的第五次宕机事故,而随着云计算等的进一步普及,云端安全隐患也将进一步突出。
1.2网络安全攻击事件频发
网络安全攻击事件频发是近年来网络工程所遭遇的最为显著和严重的安全问题之一,数据显示,仅在2015年,全球就发生的各种网络安全攻击事件就超过了一万件次,直接经济损失高达两千亿美元,例如2015年5月27日,美国国家税务总局遭遇黑客袭击,超过十万名美国纳税人的信息被盗取,直接经济损失高达5000万美元;2015年12月1日,香港伟易达公司遭遇黑客袭击,导致全球超过500万名消费者的资料被泄露,可以想见,随着未来网络技术的快速发展,网络安全保护的形势还将进一步严峻化。
1.3移动设备及移动支付的安全问题加剧
随着互联网技术的飞速发展,现代社会已经逐渐进入到了“无现金”时代,移动设备的进一步普及以及移动支付的出现使得人们的日常消费活动更为便捷,但与此同时,各种移动支付和移动设备的安全问题也随之开始浮出水面,目前来看,移动支付过程汇总所面临的安全问题主要体现在两个方面:一是利用移动终端进行支付的过程中面临着较大的安全风险,如操作系统风险、木马植入等,二是现有的移动支付的主要验证手段为短信验证,这种验证方式较为单一且安全系数较差,这些都是许多用户对移动支付说“不”的原因之一。据中国支付清算协会的《2016年移动支付报告》显示,移动支付的安全问题仍是未来移动支付所面临的和需要应对的核心问题,如何进一步强化移动支付的安全“盾牌”,仍将是未来移动支付长远发展的现实挑战之一。
1.4网络黑客的频繁攻击
网络黑客是目前网络工程所面临的安全问题的根源之一,可以说,如前所述的各种网络安全问题有很多都来源于网络黑客攻击,近年来,随着网络黑客技术的不断发展,网络黑客对全球网络工程的破坏性攻击也越来越多,且逐渐呈现出从传统互联网领域向工控领域进行发展以及黑客活动政治化等趋势,例如今年年初美国总统大选就曾遭遇过网络黑客的攻击,所幸此次大选并未受到实质性影响。
2网络工程安全防护技术提升的路径分析
随着“互联网+”战略的实施以及网络安全被上升到了国家安全的高度,加强网络工程的安全防护已经被提高到了一个前所未有的高度。而网络工程安全防护的提升则可以说是一项较为复杂的系统性工程,除了要在资金、人力、管理等方面上继续下功夫以外,还必须要将加强网络工程安全防护技术的创新与改进放在一个关键的位置上,不断强化网络工程安全防护系数。
2.1合理使用防火墙技术
防火墙是网络工程安全防护中所使用的常规性的网络安全防护技术之一,也是目前主要应用于防护计算机系统安全漏洞的主要技术手段。一般来说,防火墙是一种位于内部网络与外部网络之间的网络安全系统,同时具有访问控制、内容过滤、防病毒、NAT、IPSECVPN、SSLVPN、带宽管理、负载均衡、双机热备等多种功能,因此在利用防火墙技术来加强网络工程安全防护时,首先必须选择口碑良好、有市场的防火墙产品如NGFW4000、NGFW4000-UF等等,利用防火墙来进行可靠的信息过滤,另一方面,需要对防火墙进行定期升级,确保防火墙的始终处于最新版本,切实利用防火墙技术来提高网络工程安全防护系数。图1防火墙工作原理模型图
2.2加强网络工程病毒防护体系建设
计算机病毒是网络工程所面临着的主要安全问题之一,因此有效加强网络工程的病毒防护体系尤其关键。众所周知,计算机病毒往往具有传染性强、传播方式多样、破坏性大且彻底清除的难度较高等特点,因而一旦感染很有可能导致一个局域网中的所有计算机都受到影响,尤其是在网络工程的使用环境中,一旦感染计算机病毒将很可能导致其他的相关计算机瘫痪,这就需要企业不仅要在杀毒软件、防火墙技术的更新等方面下足功夫,更重要的是要努力建立起多层次、立体化的病毒防护体系,同时努力搭建起便捷智能化的计算机病毒立体化管理系统,对整个系统中用户设备进行集中式的安全管理,切实提升对计算机病毒的防护效率,严格确保计算机不受病毒的侵染。
2.3搭配反垃圾邮件系统
随着互联网技术的快速发展,电子邮件已经成为互联网信息时代下最受欢迎的通讯方式之一,但与此同时越来越多的垃圾邮件的出现也日渐困扰着人们的正常工作,垃圾邮件不仅占用了人们的宝贵的精力和时间,更重要的是它有可能给企业带来严重的损失,我国是世界上的垃圾邮件大国之一,每年垃圾邮件的接收在全球位居前列,为此,不断提升网络工程的安全防护需要同时搭配有先进成熟的反垃圾邮件系统,有效搭建企业内部的“邮箱防护墙”,确保企业内外部的邮件安全。
2.4强化网络数据信息加密技术使用
针对当前网络数据信息频繁泄露的现实情况,加强网络工程安全防护技术必须要努力强化网络数据信息加密技术的使用,在实际使用过程中,可以通过对网络工程中的相关软件、网络数据库等进行加密处理,提高和强化网络数据信息加密技术的普及使用。
3总结
总之,加强网络工程安全防护是一项较为复杂的系统性工程,需要涉及到方方面面的技术条件乃至相应的管理、人力物力等方面的投入,更为重要的是,需要经过系统的分析从而将这些技术手段有机结合起来,使之形成一个系统,从而更好地在网络工程安全防范中发挥整体合力,有效提高网络工程安全防范实效。
参考文献:
[1]郑邦毅,蔡友芬.网络工程安全防护技术的探讨[J].电子技术与软件工程,2016.
[2]谢超亚.网络工程中的安全防护技术的思考[J].信息化建设,2015.
[3]陈健,唐彦儒.关于网络工程中的安全防护技术的思考[J].价值工程,2015.
[4]彭海琴.关于网络工程中的安全防护技术的思考[J].电子技术与软件工程,2014.
本报讯 (记者 何源 实习记者 王哲玮)8月8日,联想携手联通宣布推出千元Android智能手机――联想A60。联想集团CEO杨元庆宣布,这标志着联想全线进军3G智能手机细分市场。
联想自去年4月宣布进军移动互联以来,就开始频频发力――从乐Phone到乐Pad问世,再到3个星期以前推出首个平板电脑家族,联想在移动互联的战略日渐明晰。此次推出“平价智能手机”,杨元庆期望它“能像1996年联想以万元奔腾电脑让PC飞入寻常百姓家一样,掀起3G智能手机的普及风暴”。
据悉,联想A60拥有3.5英寸屏幕、320万像素摄像头,支持双卡双待、一机双模(WCDMA+GSM),实现两个号码同时在线,搭载Android 2.3操作系统,并预置了社交、资讯、视频、游戏、工具等30余款应用。联想和联通都对该款手机寄予了厚望,希望能将其打造成单款百万级的明星产品。中国联通总经理陆益民则表示,联通与联想的合作不仅体现在终端定制上,在渠道、推广等领域更是开展了全方位的战略合作。
近半数网络安全事件来自境外 亟待加强国际合作
本报综合消息 日前,在中国国家互联网安全中心举行的“计算机网络安全年会”透露,去年以来网络安全事件跨境化特点日益突出,中国遭受的各类网络安全事件中有近半数来自境外。2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前两位分别是美国(占14.7%)、印度(占8.0%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。
另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。同时,去年中国共有近3.5万家网站被黑客篡改,其中被篡改的政府网站达4635个,比2009年上升67.6%,政府网站安全防护较为薄弱。据透露,国家互联网应急中心已经于去年协调境外网络安全组织和域名机构,处理了多起针对境内的恶意扫描、网络钓鱼等网络安全事件,得到美国、韩国、澳大利亚等国应急组织和“国际反网络钓鱼联盟”等组织的配合。总体上看,跨境网络安全事件呈现快速增长趋势,国际网络安全合作需进一步加强。
中国移动4G试验全面展开9月完成第一阶段目标
本报综合消息 8月9日,中国移动透露,正在进行的TD-LTE(准4G技术)规模技术试验进展顺利。目前6个试验城市的大部分基站已安装并开通,预计9月将完成第一阶段的试验目标。
据了解,按照去年工信部的批复,中国移动将承担上海、杭州、南京、广州、深圳、厦门6城市的TD-LTE规模技术试验网和北京演示网建设。据中国移动介绍,目前,这6个城市的TD-LTE核心网和无线网已基本建成,拟建基站规模超过1000个,大部分基站设备已安装并开通。
另外,中国移动还表示,6月已完成核心网、传输、承载和安全方面的测试,并开始无线网络性能测试,9月底有望完成工信部确定的第一阶段试验目标。
TD-LTE是我国主导的新一代移动通信技术,是我国具有自主知识产权的3G(第三代移动通信)国际标准TD-SCDMA的后续演进技术,具有传输速率高、时延短、频谱效率高等特点。2010年10月,TD-LTE增强型被国际电信联盟确定为4G国际标准之一。
快递丢件率将降至千分之八损毁率万分之一
本报讯 邮政业“十二五”规划近日正式公布。根据规划,“十二五”期间,我国重点快递企业省会及重点城市间快件72小时投递率将达到90%以上;快件延误率降低到千分之八、损毁率降低到万分之一、丢失率降低到十万分之五以下;快递服务的社会用户总体满意度须达到70分以上。
三部委拟建企业失信“黑名单”
本报讯日前,工信部、工商总局和质检总局三部委联合文件,拟用3年时间,解决国内重点行业企业失信问题。文件称,将惩戒国内不兑现质量承诺以及欺骗消费者的企业,甚至将失信企业纳入“黑名单”之列,向社会公布。工信部将指导有关行业协会,在日化、建材、纺织、轻工、电子信息等行业开展企业自我声明现状调查。一经核实有企业声明与实际不符,或未履行自我声明承诺,企业将会被质检部门纳入质量失信记录,严重者甚至列入“黑名单”,向社会公布。
我国推进软件正版化
国家网络安全宣传周活动方案
网络信息人人共享,网络安全人人有责。网民的网络安全意识和防护技能,关乎广大人民群众的切身利益,关乎国家网络安全。2019年国家网络改革安全宣传周活动将于9月19日-9月25日在武汉市举行。为认真做好国家网络安全宣传周活动的各项工作,切实提升全社会的网络安全意识和安全防护技能,特制定本方案。
一、宣传主题
网络安全为人民,网络安全靠人民
二、宣传时间
9月1日至9月30日
三、总体要求
深入学习宣传贯彻xx关于国家网络安全的重要讲话、重要批示精神和总体国家安全观,通过“一网双微一端”、微信群、QQ群等多种网络媒体和渠道,充分发挥“微宣传”矩阵传播作用,普及网络安全知识,增强全社会网络安全意识,大力倡导依法文明上网,做到全域全员全覆盖,形成宣传周活动省、市、县纵向到底,省直、市直、县直横向到边的有序局面,营造健康文明的网络环境。
四、活动安排
各乡镇、县直各单位要充分利用所属媒体平台,组织开展形式多样的“2019年国家网络安全宣传周”活动,形成传播正能量、激发责任感、弘扬新风尚的强大声势和浓厚氛围。
㈠新闻单位新媒体宣传
五峰政府门户网在首页显要位置统一“国家网络安全宣传周”标识,悬挂“网络安全为人民,网络安全靠人民”专题,链接中央网信网“2019年国家网络安全宣传周”页面。同时广泛宣传xx在党的新闻舆论工作座谈、网络安全和信息化工作座谈会上的重要讲话精神,着重宣传xx关于网络安全治理的重要讲话精神,开展互联网法律法规宣传和共铸网络诚信专题宣传。各新媒体官方微博开设#国家网络安全宣传周#相关话题,官方公众号制作专题稿件,五峰宜点通客户端转发活动稿件,积极与网友互动交流,广泛宣传传播活动内容。
责任单位:县网管办、县电子政务中心
㈡政务单位新媒体宣传
“国家网络安全宣传周”活动期间,各乡镇、县直各单位要在网站首页设置“国家网络安全宣传周”统一标识和专题专栏,对各乡镇、县直各单位领导干部和工作人员普及网络信息安全知识,提高安全上网技能。“魅力新五峰”官方微博、“魅力五峰”官方微信、五峰宜点通客户端要开辟专题栏目,以多种形式,通过微宣传渠道广泛推送。积极转载“国家网络安全宣传周”新闻动态、专家解读文章,本地本单位参与活动的相关信息,宣传普及防范电信诈骗和互联网金融风险,安全使用移动应用软件等相关知识。
责任单位:县网管办、县电子政务中心等
㈢线下活动
1、网络安全宣传周期间,通过社区公示栏、显示屏、电子标语等形式,宣传普及网络安全常识,倡导依法文明上网理念,引导大家树立“网络安全,人人有责”意识,争做“四有好网民”。
责任单位:各乡镇、县直各单位
2、全县各中小学开展“网络安全故事进课堂”活动,各校园网首页设置网络安全宣传周活动专题,集纳网络安全常识。
责任单位:县教育局
3、在五峰移动、电信、联通、供电公司各营业网点,在工、建、农等国有银行和湖北银行、五峰农商银行等地方银行营业处,网络安全相关标语、横幅,发放宣传资料,播放网络安全公益广告。
责任单位:县国资局、人民银行五峰分行
4、在县公共场馆开展网络安全讲座,重点宣传我县开展清网净网行动、打击网络违法犯罪行为的重点案例,宣传我县开展智慧城市建设的经验做法,普及传播网络安全基础知识,组织机关企事业单位人员、学生、教师、群众等参加讲座。
责任单位:县直机关工委、县公安局、县经信局、县教育局、县文体新广局
5、按照团县委统一部署,利用“青年之声-五峰”网络互动社交平台,在全县青年中宣传传播网络安全知识;利用“青春五峰”官方微博微信,向全县青年发出倡议,开展“我是清朗侠”清网行动,清朗网络空间。
责任单位:团县委、县教育局
6、9月1日至30日,县广播电台、电视台持续刊播网络安全题材的新闻、专题、评论、节目、公益广告、电视专题片、电视剧、电影等。
责任单位:县广播电视台
7、在县内、城际公交车载电视集中推介网络安全宣传公益广告,制作发放宣传教育材料。
责任单位:县交通运输局、县交运集团
五、工作要求
㈠高度重视,加强领导。2019年国家网络安全宣传周是全国举办的第三届网络安全宣传周活动,今年湖北作为主会场,对展示全湖北网络安全形象,构建和谐网络社会具有重要意义。各乡镇、县直各单位、各重点企业要高度重视此次活动,精心筹划,周密部署,确保活动声势大、效果好。要组建工作专班,明确专人负责,抽调精干力量,按要求组织实施。
㈡统筹分工,合力推进。各乡镇、县直各单位、各重点企业要按照责任分工,结合实际精心制定本地本单位活动方案,按时间节点抓好落实。
基于云计算技术下的移动网络环境,必须对以往的网络风险问题与移动通信技术存在的风险完成防范,并且对云计算过程中的风险进行有效防范。因为基于云计算下的环境,通常会运用许多中虚拟化和多租户以及动态性等相关技术,因此在移动网络环境中存在许多安全隐患,现如今已经成为云计算发展的主要制约要素。
1.1虚拟化技术存在安全问题
虚拟化是云计算环境下的一项基本技术,其不仅可以把数据存储时的内部功能在程序和服务器以及网络资源中完成抽象化,还可以对运用程序与网络相对独立的数据完成管理。尽管可以在云计算环境中利用多种技术避免非法访问的发生,可是因为大部分运用程序中都存在一定的漏洞,因此非法访问经常会发生[3]。另外,在移动网络环境下云计算时,部分残留的数据甚至会导致许多敏感信息的泄露。因此,,大部分云服务器的供应商一定要面向客户确保数据存储空间的有效释放,同时在下次运用前就会比较清楚。
1.2运用的数据管理模式存在问题
基于云计算环境下,所有的应用过程中关系到的数据资产相关所有权与管理权都是分离的状态,而网络用户一定要经过移动网络完成对数据的访问与运用。在此种状况下,客户常常对数据的安全性存在一定的担心。若是客户把自己的数据运用在云计算中,或是运用在其他有关运用程序中,就会增大数据的运用风险。同时移动网络的终端通常是客户运用的随身携带装置,从而导致客户的隐私信息出现泄漏问题,并且移动网络终端还具备一直在线的特点,为网络窃听与监视提供方便,也为多种行业尤其是金融行业的攻击提供方便。在计算机网络客户方面而言,虽然已经充分了解互联网存在的严重安全风险,病毒给计算机网络带来的严重危害,可是移动网络客户对于有关安全风险的认识并不足,对于移动终端的攻击缺少方向上的认识,所有云服务不但可以为客户提供服务,还可以运用其他有关云服务商提供的服务[4]。因此,客户在运用云服务时,关系到大量的服务提供商。可是,此种多层化的服务提供形式在加大网络复杂程度的时候,并且给客户的服务安全带来一定的隐患。因此,对于云服务就提出了更高的要求,一定要针对各种企业与运用完成差异化服务,依据移动的运用结构,为客户提供更为安全、可靠的动态差异化服务,保证客户通过不同级别进行安全防护。
2加强基于云计算下的计算机网络安全对策
2.1文件加密与数字签名技术的运用
文件加密和数字签名技术主要是提升信息系统与数据保密性,有效避免隐私数据的泄露,或是窃取和损坏利用的基本技术。依据功能与作用的差异,文件的加密与数字签名技术通常可以分成数据传输和数据存储以及数据完整性的有关鉴别。其中数据传输的加密技术通常针对传输过程中的数据流进行加密,主要有线路加密与端对端的加密方式。线路加密一般是在线路上针对保密信息经过的所有线路利用多种加密密钥的模式进行安全防护,可以不考虑信源和信宿[5]。端对端的加密方式主要是指信息在发送人员经过专用的相关加密软件,运用某一项加密技术针对已经发送的文件完成加密保护,将明文加密改变成密文,而此种信息在到达目的地之后,收件人员可以利用对应的密钥完成解密,从而是密文恢复成可以读取数据的明文。此种加密技术通常运用于云端数据的集中备份区域。
2.2数据云端的备份
针对比较重要的云中数据,必须进行定期备份,然后把备份的有关数据传送到云端的存储区域,此种备份数据中仅仅有该分数据相关云用户能够进行访问,同时进行重新的获取与运用,针对备份的相关数据一定要选择对应的先进技术完成处理,例如选择比较机密的技术等,从而防止云端备份相关数据的黑客侵入等。另外,云中客户端的Pn和云中相关数据备份之间的关系如图1所示。
2.3安装防护软件
网络防火墙技术作为一项强化网络间的访问控制,其可以有效避免外部网络用户通过非法的模式侵入内部网络,从而访问内部相关网络资源。网络防火墙可以对两个或者是许多个网络间的传输数据进行检查,进而明确网络间的数据通信是否安全,同时对网络的具体运行状态进行有效监测。依据防火墙选择的各种技术,能够把其分成包过滤形式和地址转换形式以及监测形式等多种。其中包过滤形式的防火墙主要利用网络中先进的分包传输技术,经过读取数据包中相关地址信息进行判断,如果发现来自于危险站点的有关数据包,这时防火墙就会把此种数据拒之门外。
2.4定期完成补漏
漏洞是能够在攻击时主要运用的弱点,其可以为软件和硬件以及程序的缺点等。有关学者曾经给出一份如今比较流行的操作系统与运用程序的相关研究报告,明确指出软件中难以避免存在漏洞与缺陷[6]。现阶段,大部分的病毒与黑客主要运用系统存在的漏洞进行网络用户的攻击。为了可以纠正此种漏洞,软件的开发商必须及时补丁程序。客户一定要及时进行漏洞补丁程序的有效安装,从而科学处理漏洞造成的安全问题。比如客户可以运用360安全软件进行定期的系统扫描,在查找漏洞之后进行及时的修补等。
3结束语
关键词: 涉密网络;安全审计;主机审计;系统设计
1 引 言
随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为人们关注的焦点。
涉密网与因特网之间一般采取了物理隔离的安全措施,在一定程度上保证了内部网络的安全性。然而,网络安全管理人员仍然会对所管理网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在终端用户。网络安全存在着“木桶”效应,单个用户计算机的安全性不足时刻威胁着整个网络的安全[ 1 ] 。如何加强对终端用户计算机的安全管理成为一个急待解决的问题。
本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。
2 安全审计概念。
计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不可否认性,简称“五性”,安全审计是这“五性”的重要保障之一[2 ] 。
凡是对于网络信息系统的薄弱环节进行测试、评估和分析,以找到极佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计[3 ] 。
传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国首先在信息保障技术框架( IA TF) 中提出在信息基础设置中进行所谓“深层防御策略(Defense2in2Dept h St rategy) ”,对安全审计系统提出了参与主动保护和主动响应的要求[4 ] 。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复( PDRR) 动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
3 主机审计系统设计。
安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析判断是否有违规行为。
一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应采用现代综合审计,做到对信息的主动保护和主动响应。因此,涉密网络的主机审计在设计时就应该全方位进行考虑。
3. 1 体系架构。
主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和控制中心间为B/ S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows ,浏览器也不是只有IE。管理端地位重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP 协议。
主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计管理员、系统管理员。
安全策略管理员按照制定的监控审计策略进行实施;审计管理员负责定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为) 是否违规,出审计报告;系统管理员负责分配安全策略管理员和审计管理员的权限。三员的任何操作系统有相应记录,对系统的操作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系统本身的安全。控制中心是审计系统的核心,所有信息都保存在控制中心。因此,控制中心的操作系统和数据库最好是国内自己研发的。控制中心的存储空间到一定限额时报警,提醒管理员及时备份并删除信息,保证审计系统能够采集新的信息。
3. 2 安全策略管理。
不同的安全策略得到的审计信息不同。安全策略与管理策略紧密挂钩,体现安全管理意志。在审计系统上实施安全策略前,应根据安全管理思想,结合审计系统能够实现的技术途径,制定详细的安全策略,由安全员按照安全策略具体实施。如安全策略可以分部门、分小组制定并执行。安全策略越完善,审计越彻底,越能反映主机的安全状态。
主机审计的安全策略由控制中心统一管理,策略发放采取推拉结合的方式,即由控制中心向受控端推送策略和受控端向控制中心拉策略的方式。当安全策略发生更改时,控制中心可以及时将策略发给受控端。但是,当受控端安装了防火墙时,推送方式将受阻,安全策略发送不到受控端。由受控端向控制中心定期拉策略,可以保证受控端和控制中心的通讯不会因为安装个人防火墙或其他认证保护措施而中断。联网主机(服务器、联网PC 机) 通过网络接收控制中心的管理策略向控制中心传递审计信息。单机(桌面PC 或笔记本) 通过外置磁介质(如U 盘、移动硬盘) 接收控制中心管理策略。审计信息存放在主机内,由管理员定期通过外置磁介质将审计信息传递给控制中心。所有通讯采用SSL 加密方式传输,确保数据在传输过程中不会被篡改或欺骗。
为了防止受控端脱离控制中心管理,受控端程序应由安全员统一安装在受控主机,并与受控主机的网卡地址、IP 地址绑定。该程序做到不可随意卸载,不能随意关闭审计服务,且不影响受控端的运行性能。受控端一旦安装受控程序,只有重装操作系统或由安全员卸载,才能脱离控制中心的管理。联网时自动将信息传到控制中心,以保证审计服务不会被绕过。[ hi138\Com]
3. 3 审计主机范围。
涉密信息系统中的主机有联网主机、单机等。常用操作系统包括Windows 98 ,Windows2000 ,Windows XP ,Linux ,Unix 等。主机审计系统的受控端支持装有不同操作系统的联网主机、单机等,实现使用同一软件解决联网机、单机、笔记本的审计问题。
根据国家有关规定,涉密信息系统划分为不同安全域。安全域可通过划分虚拟网实现,也可通过设置安全隔离设备(如防火墙) 实现。主机审计系统应考虑不同安全域中主机的管理和控制,即能够对不同网段的受控端和安装了防火墙的受控端进行控制并将信息收集到控制中心,以便统一进行审计。同时能给出简单网络拓扑,为管理人员提供方便。
3. 4 主机行为监控。
一般计算机使用人员对计算机软硬件尤其是信息安全知识了解不多,不清楚计算机的安全状态。主机审计系统的受控端软件应具有主机安全状态自检功能,主要用于检查终端的安全策略执行情况,包括补丁安装、弱口令、软件安装、杀毒软件安装等,形成检查报告,让使用人员对本机的安全状况有一个清楚的认识,从而有针对性地采取措施。自检功能可由使用人员自行开启或关闭。检查报告上传给控制中心。
主机审计系统对使用受控端主机人员的行为进行限制、监控和记录,包括对文档的修改、拷贝、打印的监控和记录,拨号上网行为的监控和记录,各种外置接口的禁止或启用(并口、串口、USB 接口等) ,对USB 设备进行分类管理,如USB 存储设备(U 盘,活动硬盘) 、USB 输入设备(USB 键盘、鼠标) 、USB2KEY以及自定义设备。通过分类和灵活设置,增强实用性,对受控主机添加和删除设备进行监控和记录,对未安装受控端的主机接入网络拒绝并报警,防止非法主机的接入。
主机审计系统对接入计算机的存储介质进行认证、控制和报警。做到经过认证的合法介质可以从主机拷贝信息;未通过认证的非法介质只能将信息拷入主机内,不能从主机拷出信息到介质内,否则产生报警信息,防止信息被有意或者无意从存储设备(尤其是移动存储设备) 泄漏出去。在认证时,把介质分类标识为非密、秘密、机密。当合法介质从主机拷贝信息时,判断信息密级(国家有关部门规定,涉密信息必须有密级标识) ,拒绝低密级介质拷贝高密级信息。
在认证时,把移动介质编号,编号与使用人员对应。移动介质接入主机操作时记录下移动介质编号,以便审计时介质与人对应。涉密信息被拷贝时会自动加密存储在移动介质上,加密存储在移动介质上的信息也只能在装有受控端的主机上读写,读写时自动解密。认证信息只有在移动介质被格式化时才能清除,否则无法删除。有防止系统自动读取介质内文档的功能,避免移动介质接在计算机上(无论是合法还是非法计算机) 被系统自动将所有文档读到计算机上。
3. 5 综合审计及处理措施。
要达到综合审计,主机审计系统需要通过标准接口对多种类型、多个品牌的安全产品进行管理,如主机IDS、主机防火墙、防病毒软件等,将这些安全产品的日志、安全事件集中收集管理,实现日志的集中分析、审计与报告。同时,通过对安全事件的关联分析,发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。把主机上一个个原本分离的网络安全产品联结成一个有机协作的整体,实现主机安全管理过程实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应,从而有效提升用户主机的可管理性和安全水平,为整体安全策略制定和实施提供可靠依据。
系统的安全隐患可以从审计报告反映出来,因此审计系统的审计报告是很重要的。审计报告应将收集到的所有信息综合审计,按要求显示并打印出来,能用图形说明问题,能按标准格式(WORD、HTML 、文本文件等) 输出。但是,审计信息数据多,直接将收集的信息分类整理形成的报告不能很好的说明问题,还应配合审计员的人工分析。这些信息可以由审计员定期从控制中心数据库备份恢复。备份的数据自动加密,恢复时自动解密。审计信息也可以删除,但是删除操作只能由审计员发起,经安全员确认后才执行,以保证审计信息的安全性、完整性。
审计系统发现问题的修复措施一般有打补丁、停止服务、升级或更换程序、去除特洛伊等后门程序、修改配置和权限、专门的解决方案等。为了保证所有主机都能得到有效地处理,通过控制中心统一向受控端发送软件升级包、软件补丁。发送时针对不同版本操作系统,由受控端自行选择是否自动执行。因为有些软件升级包、软件补丁与应用程序有冲突,会影响终端用户的工作。针对这种情况,只能采取专门的解决方案。
在复杂的网络环境中,一个涉密网往往由不同的操作系统、服务器,防火墙和入侵检测等众多的安全产品组成。网络一旦遭受攻击后,专业人员会把不同日志系统里的日志提取出来进行分析。不同系统的时间没有经过任何校准,会不必要地增加日志分析人员的工作量。系统应提供全网统一的时钟服务,将控制中心设置为标准时间,受控端在接收管理的同时,与控制中心保持时间同步,实现审计系统的时间一致性,从而提供有效的入侵检测和事后追查机制。
4 结束语
涉密系统的终端安全管理是一个非常重要的问题,也是一个复杂的问题,涉及到多方面的因素。本文从体系架构、安全策略管理、审计主机范围、主机行为监控、综合审计及处理措施等方面提出主机审计系统的设计思想,旨在与广大同行交流,共同推进主机审计系统的开发和研究,最终开发出一个全方位的符合涉密系统终端安全管理需求的系统。
参考文献
[1 ] 网络安全监控平台技术白皮书。 北京理工大学信息安全与对抗技术研究中心,2005.
[2 ] 王雪来。 涉密计算机信息系统的安全审计。 见:中国计算机学会信息保密专业委员会论文集,13 :67 - 72.
在省、市局领导正确指导下,计算站全面完成了2018年各项工作任务。统筹规划网络工程,保证各级经济网络传输通畅;加强硬件基础建设,提高了经济信息处理能力;领会贯彻省局数管中心部署与技术指导,精心维护全市“企业一套表”平台,经济内网、外网网站内容不断更新;完成了三农普数据处理工作;做好各类小型调查数据处理与后期技术服务;维护“数据城市”管理平台、经济客户端安全管理平台、视频会议系统维护、VPN系统管理,网络安全等级保护建设任务、做好经济信息化报表任务及其他各项非常规性任务,做好市政府政务公开办及有关部门布置的各项任务。
2018年主要成绩、经验与做法
一、加快机房硬件更新与管理,网络运行持续稳定
1、网络运行高效稳定。按照机房功能区域合理布置网络设备和各服务器。建立网络设备资产清单,全年主机运行健康安全。
2、定期检查设备,应急突发事件。检查机房温度、湿度、空调运行,对突发火灾、水灾、雷击、电力系统、不间断电源系统故障的应急处理,对故障出现原因进行定位,找出问题根源,避免故障再次发生。
二、网络安全保障与网站建设
为了强化对网络的安全管理,我们时刻保持着高度警惕,随时跟踪查找网络安全隐患,采取各种措施加强监管。
1、 每工作日对设备状况检查一次,一旦发现设备故障报警及时查找问题及时处理排除,处理不了及时将网络故障有关信息上报单位领导并通知相关网络运营服务商提供服务支持。
2、网站建设美观实用,信息内容更新及时。经济内网网站页面设计简洁、美观,突出主要信息。信息更新及时,信息采编人员对送来的各类信息按照规定认真把关,及时;网站安全性高。经济外网功能设置完善、内容信息充实。
三、加强视频会议管理、保障省市正常互动
定期检查音视频设备,保证会议使用。为防止会议过程中信号中断,我们定期检查网络视频设备运行状况、在每次视频会议前做好调试准备,消除故障隐患,保证了会议期间视频清晰、声音流畅。
四、完成各项信息化报表任务。完成了省数管中心布置的信息化年报、网络安全月报及目,关键敏感时期信息安全上报任务等。
五、经济用户网络安全管理。遵照国家和省局对经济内网网络安全管理客户端的要求,及时为各科室安装经济内网用小型交换机、各级经济机构的上网计算机完成用户安全认证与注册。
六、完成城市市政务公开办布置的相关任务。
1、为市目标办设计群众满意度调查问卷,按要求对三区和濉溪县分类汇总,整理各类汇总数据,以经济数据和图表展示的方式,及时提交汇总报表。2、稳步推进“互联网+政务服务”。创新网上服务模式,引入社会力量,利用第三方平台,强化数据资源共享交换;积极推动网上服务向移动端、自助服务终端等延伸;通过政府网站、微信、微博、移动客户端、推进线上线下政务服务融合发展。
3、针对“2018度城市市经济局网站绩效评估简报”提出的整改建议认真整改,增设相关栏目,包括在线办事、服务效能投诉,增设公众参与平台、站点地图、网站帮助等功能,及时更新网站信息内容。
七、充分发挥系统管理员在企业一套表中的重要角色
严格按照省局要求,有效行使市级系统管理员的全部职能,确保企业能正常登陆填报平台,确保各专业能正常审核验收使用;认真热情的为各专业提供业务咨询解答和技术支持,任务定制和权限修改等。
八、完成等级保护阶段性任务。城市经济主干网和“数据城市”等级保护这两个项目已被市公安局确定为二级等级保护系统,与多家专业公司商讨研究制定科学合理的等保建设方案
九、完成了第四次全国经济普查单位清查任务。紧跟省局普查中心、数据管理中心,及时深入领会最新操作方法与要求,上下联动,指导各县区普查工作,咨询解答、PDA数据采集,平台数据分析汇总。指导各区县做好经济普查培训、PAD操作和清查比对平台的数据处理任务。
十、增强服务意识,提供日常技术支持与咨询。为本局各专业提供日常计算机应用支持、联网故障与计算机硬件维护,为县区用户提供技术咨询与远程协助。
存在的问题与不足
一、办公网出口只有1台防火墙,数据城市”服务器系统无任何防护措施,为安装防火墙。
二、网站服务器通过交换机连接到核心交换机且无任何防护措施。
三、缺少防病毒攻击硬件设备。web服务器面对木马、蠕虫等非法攻击缺少必要的防护措施;缺少应用层数据的安全防护和病毒防护功能的设备。
四、缺少整网安全检测产品。急需定期对全网机器和web扫描,对设备的登录、权限、经济没有集中管理措施,存在较大安全隐患,缺日志经济设备,按要求需要留存半年以上的日志数据,目前无法满足要求。
五、机房制度管理尚不完善。需进一步规范机房各项管理措施与规章制度,杜绝不规范操作,需要加强学习网络安全知识,提高防范技能。
2019年工作思路及重点任务
一、尽快完成网络安全二级等保建设。以现有基础设施,保证今年上半年建设并完成满足等级保护二级系统基本要求的网络信息系统。
二、增设下一代防火墙。在办公网出口部署下一代防火墙(含AV、IPS模块),将现有的深信服AF-1210防火墙移至“数据城市”服务器前端。
三、在专网的安全运维区旁路部署日志经济设备、运维堡垒机。设备部署完毕后,日志经济设备可高效统一管理资产日志并为安全事件的事后取证提供依据。堡垒机可集中账号管理和运维经济。
四、机房改造与装饰。建设配电柜系统、电源防雷接地系统、消防报警系统、网络综合布线、机柜设备重整、抗静电活动地板等。
五、完善安全管理制度。建立一个完善的网络安全管理制度,完善机房各项安全管理规章制度、加强计算机安全知识培训,提高各级经济人员安全意识。
六、管好“企业一套表”平台。严格按照省局要求,有效行使市级系统管理员的全部职能,确保填报企业能正常登陆填报平台,确保各专业能正常审核验收使用;认真热情的为各专业提供业务咨询解答和技术支持。
七、完善网站功能、网站信息及时更新。对送来的各类信息按照规定认真把关,及时到各制定网站;按照市政务公开办的要求,做好本单位门户网站集约化建设和政务公开后台管理,加强对城市经济微讯、城市经济微博的信息更新与信息安全监控。
八、管好系统内客户端安全管理。深入学习、领会上级精神,按照国家局要求,做到各级经济机构的上网计算机用户100%与注册;做好数据安全及备份恢复,对重要信息进行备份,网站后台安全维护。
九、管好“数字城市”系统平台。大胆创新、牢记使命、积极采取措施充实完善“数据城市”移动终端信息与终端展示,充分体现现代信息技术、提升经济服务能力、改进服务方式。
十、继续做好第四次全国经济普查数据处理各项具体任务。
及时传达上级经普办最新文件精神、指导意见和具体操作办法,为四经普提供PDA操作咨询服务、做好普查区电子地图导出、清查比对平台底册导出、MDM平台的远程推送与远程监控,做好四经普非一套表平台数据审核、汇总、分析及对县区的任务部署与指导。
近日,专注于安全的解决方案提供商Check Point以色列捷邦安全软件科技有限公司推出了面向未来的网络安全架构Check Point Infinity,这一革命性网络安全架构旨在满足企业组织的关键性需求。
为什么称之为革命性的呢?
Check Point北亚洲区总裁罗杉在采访时表示:“Check Point Infinity是业内首个跨网络、云端和移动设备的统一安全平台,是可以提供最高等级威胁防护的统一安全机制,可保护客户免遭日益增加的网络攻击威胁。”
当前,许多企业采用多个系统、各自独立的管理控制平台来提高威胁防护,但这将导致企业花费庞大且缺乏效率。统一的安全平台可以在降低企业费用的同时,提高威胁防护的效率。另外,从架构上来讲,Check Point Infinity满足了我们对安全架构的总体设想,完全可以胜任帮助企业做好万全之策,来应对未来 IT复杂多变的动态格局。
罗杉介绍,Check Point Infinity 通过将三个关键要素进行组合来实现这一设想:一是统一安全平台,利用通用平台、威胁情报共享和开放式基础设施,跨所有网络、云端和移动设备提供无与伦比的安全性;二是先发制人的威胁防护,注重预防,以便在最复杂的已知和未知攻击发生之前进行拦截;三是统一整合的系统,通过单一控制台进行单独管理、模块化策略管理与威胁可见性集成,从而有效实现安全集中化。
“Check Point Infinity的原理非常简单――统一安全架构将会借助提供更有效、更实用的 IT 运营,保证各种环境中的企业安全。”罗杉认为,Check Point Infinity 使企业能够掌控自身安全性,并将其整体 IT 运营作为单一内聚架构进行保护和管理,从而为企业自己的业务运营及客户带来益处。
技术的进步推动组织在运营方式上做出无数改进,而这些进步也已改变企业所应采取的安全方法。Check Point Infinity 满足了对前瞻性架构的这种需求,此外还引入了新功能。
在安全管理方面,新的R80.10 具备数十种新型功能和增强功能,其中包括独特的策略层、多区安全保护和增强性性能,是整合了W络、云端和移动设备的未来的安全平台,可以为企业提供下一代管理策略,能够高效、自行执行保护,以及整合式的威胁管理,无惧任何威胁。R80.10威胁防护性能最高可提升37%,达到3.95Gbps。
在云端方面,实现了私有云、公有云和混合云之间最广泛的平台支持,包括亚马逊AWS、思科、微软智能云Azure、OpenStack、阿里云等,确保云环境受到保护。
在移动设备方面,全新 SandBlast Mobile是业界唯一的统一性跨平台解决方案,能够保护企业免受针对移动设备的漏洞攻击。SandBlast Mobile 检测和拦截已知与未知恶意软件,并将中毒的 Wi-Fi 网络、中间人攻击,以及 SMS 钓鱼诈骗拒之门外。
在威胁防御方面,最新推出的 Check Point 反勒索软件技术能够保护企业远离网络勒索,即使面对最复杂的勒索软件也能提供完善保护。
在安全设备方面,Check Point 宣布推出全新的超高端44000 和64000 安全网关,它拥有世界上速度最快的威胁防护平台,具有42Gbps 的真实产品威胁防护吞吐量和636Gbps的真实产品防火墙吞吐量。
罗杉强调,SandBlast的行为分析能够提取若干勒索软件操作,包括阴影复制删除和进行系统性文件加密的企图,从而迅速将其归类为恶意软件。WannaCry感染基于SandBlast的取证分析而被完全自动隔离。可将加密文件自动恢复到遭受攻击控制前的原始状态。
关键词:无线局域网;WIFI;全球定位系统;无缝定位;网络安全
1 引言
针对无线局域网网络安全的特点,文中提出了将基于WIFI的无缝定位技术用于网络安全的解决方案,为企业级用户解决无线局域网网络安全问题提供一条新的技术路线。
2 无线局域网及其安全问题解决方案
2.1 WIFI网络
随着“无线城市”概念的提出,许多国家和地区都提出了WIFI网络覆盖计划,并付诸实施。WIFI网络覆盖范围的扩展也促进了集成WIFI接收模块的终端的发展,逐渐成为各种终端如计算机、手机、相机甚至汽车的标配。当前移动通信已进入“3G”时代,移动用户对于数据上传下载的需求急剧增长,只依靠3G网络无法承担日益增长的网络载荷,而WIFI网络具有低成本、无线、高速的特点,可以弥补3G网络的不足,因此WIFI网络在未来将有更加广阔的应用前景。
2.2 MESH网络
无线MESH是一种非常适合于覆盖大面积开放区域(包括室外和室内)的无线区域网络解决方案.无线MESH网的特点是:由包括一组呈网状分布的无线AP构成,AP均采用点对点方式通过无线中继链路互联,将传统WLAN中的无线“热点”扩展为真正大面积覆盖的无线“热区”。终端目前的普及应用为无线MESH的迅速推广带来好处。因此,WIFI和无线MESH网络可以相互补充、相互融合。
2.3 无线局域网安全问题常用解决方案
无线局域网以无线信号作为传输媒介,由于无线信道的特殊性及公开性,任何人都能监测到信号,甚至使用各种非法手段窃听及盗取数据,给网络安全带来了巨大的挑战。由于WIFI网安全领域存在重大隐患,WIFI网被禁止在国内进行大规模推广,可见无线局域网存在安全问题已成为WLAN产业进一步发展的最大阻力。
针对无线局域网存在的安全问题,IEEE802.11指定了多个安全机制来加强无线局域网的安全性(图1是利用WPA方式构建的安全系统结构解决方案),相关安全标准已经进行实际应用并推广。目前无线局域网的安全机制主要有以下几种。
(1)WEP安全机制。WEP机制是一种对称密钥加密算法,采用了RSA数据保密公司的RC4伪随机数产生器。在WEP机制中,同一无线网络的所有用户和AP都是用相同的密钥用于加密和解密,网络中的每一个用户和AP都存放密钥。802.11标准没有定义一种密钥管理协议,所以WEP密钥都必须通过手工来管理。但是WEP加密机制存在缺点,在数据机密性、完整性及访问控制方面并没有达到预期的安全水平,利用现在的脚本工具就能成功的攻入网络并发现WEP密钥,因此引入更高安全级别、更完善的安全机制成为必然趋势。
(2)WPA安全机制。针对WEP的设计缺陷,为增强无线局域网安全性,WIFI联盟提出了一种新的安全机制:WPA(WIFI联盟受限接入)作为无线网络安全的一个过渡机制。WPA使用临时密钥集成协议TKIP进行数据加密,而认证有两种模式:一种是适用企业级用户的802.1X协议,一种是适用于家庭的预先共享密钥PSK。WAP有效地解决了WEP中加密算法密钥过短、静态密钥和密钥缺乏管理等问题,但是依然存在缺陷:它采用的加密算法还是RC4加密算法,很容易遭到黑客的暴力破解;802.1x也存在不足,对于合法的EAPOL_Start报文AP都会进行处理,攻击者只要发送大量EAPOL_Start报文就可以消耗AP的资源,使AP无法响应新的EAPOL请求,达到瘫痪网络的目的。WPA存在的这些缺陷决定了难以成为一个理想的安全机制。
(3)802.11i安全机制。802.11i是一种新型的无线局域网安全机制,它提出了一个全新的安全体系,采用了公认最为成熟的AES加密算法,定义了而过渡安全网络TSN,以802.1x作为认证和密钥管理方式、以TKIP和CCMP作为数据加密机制,改进了原有安全机制存在的不足,具有很强的技术优势和应用前景。
除以上三种常用的安全机制,还有其它的安全机制,如WAPI(无线局域网鉴别和保密基础结构)安全机制、基于VPN(虚拟个人局域网)的安全机制等。虽然无线局域网网络安全组织推出了各种安全体制来提升WLAN的安全性,但是依然无法满足企业级用户对安全性的要求,需要探索利用其它技术手段来建立新的安全机制。
3 基于WIFI的无缝定位技术
WIFI不仅可以提供无线接入及数据传输功能,还可以用于定位。WIFI网络在不增加额外的硬件情况下,通过分析接入点相对于无线网络设备信号强度或者信噪比来推断目标物体的位置。客户端使用或连接到一个接入点,此接入点提供最强的RSS信号。客户端漫游,定期检查信号强度,确定最佳的接入点。通过信号测量,可以得到客户端的位置。基于WIFI的室内定位方法主要有两种:传播模型法和位置指纹法。位置指纹法需要大量的训练,其定位精度与训练点的个数有关系。传播模型法是利用信号在室内的衰减规律,将接收到的信号强度转换为距离,再由室内定位算法得出用户终端的位置。传播模型法的优点是不需要大量的训练,但其定位的准确度依赖于传播模型和定位算法。基于WIFI的定位技术具有覆盖面广,信息传输速度快,成本低特点,成为室内定位的主要技术。
基于WIFI网的定位技术也存在诸多不足,当WIFI网信号不稳定,基于WIFI的定位技术精度就会比较低,在室外无WIFI信号或者信号微弱的时候不能提供定位服务,难以保证定位服务的时空连续性。因此WIFI常用来辅助GPS进行定位与导航,为终端提供GPS无法实现的室内定位功能。
4 无缝定位技术用于无线局域网网络安全
基于WIFI网的无缝定位技术提供的连续位置服务功能,在方便用户进行定位与导航,也为实时监测用户的位置提供了可能性。只要用户进入WIFI网信号区域时,并连接到WIFI网络之后,采用必要的技术手段获取用户的位置信息,就可以对用户的访问行为进行实时监控。如果配以必要的识别技术如RFID识别,在用户进入WIFI网时进行身份识别。利用身份识别和位置监测技术,可以形成一套基于位置信息的网络安全解决方案,为无线网络安全的监管提供一条新的技术路线。
基于WIFI的无缝定位技术用于无线网络安全基本思想就是根据用户的位置信息限制无线局域网访问权限,通过在无线局域网有效信号范围构建起“物理围栏”以及在用户周围构建起虚拟的“地理围栏”,综合了传统的网络安全和物理安全技术,有效的保护了无线网络的安全。
4.1 物理围栏
物理围栏就是基于访问用户的授权建立的,主要应用RFID技术,它可以对访问用户的身份进行识别,当用户的身份符合要求时,就可以突破物理围栏,获取无线局域网的访问权限,这就从源头上降低了用户非法访问无线局域网网络资源的可能性。
4.2 地理围栏
用户在突破物理围栏进入无线局域网后,还需要对用户的行为进行实时监控,这依赖于在访问用户的终端周围建立起的地理围栏。
利用WIFI网络与GPS定位技术的融合,可以获取用户的位置信息,并将其访问行为限定在合法的访问区域之内,一旦用户的访问行为突破限定的访问区域,可以采取断网或者警告等手段来对用户访问进行控制。
基于位置信息的安全技术和用户移动设备身份识别技术的综合运用,把网络的防护和智能辨认功能提升到更高的层次,地理围栏可以创建一个伴随每一个移动设备移动的客户化的无形围栏,使网络管理员能够确保每一个设备仅能访问网络上被授权的区域和资源。
5 结论
基于WIFI的无缝定位技术由于精度还比较低,需要进一步提高定位精度,此时基于WIFI的无缝定位技术用于网络安全才具有实用性。
基于位置信息的网络安全技术作为一种新兴的跨学科的安全防护技术还处于研究和应用的初级阶段,物理围栏技术只是定位技术与网络安全技术的简单结合。随着研究的深入及无缝定位技术的发展,基于位置信息的网络安全技术必将更为成熟和完善,其应用领域也不再局限于无线局域网,将在更加广泛的安全领域中发挥积极的作用。
[参考文献]
[1]陈.定位技术在网络安全领域中的应用[J].网络技术,2010,(6):15-17.
[2]吴雨航.WIFI网辅助GPS的无缝定位方法研究[D].北京:北京大学,2010:1-4.
购物车(0)