社交网络;安全问题;解决方案;分析
0引言
1社交网络安全问题分析
社交网络已成为人们生活中的重要组成部分,尤其在科技飞速发展推动下,社交网站及软件逐渐向服务的多元化方向发展,其功能越来越强大,不仅仅局限在沟通交流方面。这一发展无疑给社交网络安全提出更高要求。因此,对社交网络出现的安全问题进行汇总,为提出针对性解决方案提供指导,对促进社交网站及软件的长远发展意义重大。
1.1网络安全问题
网络安全是社交软件或社交网站面临的重要问题,而且每年都会发生一些网络安全事件,给企业及用户带来严重不良影响。分析发现,导致社交网络安全问题出现的因素非常之多,有些是无意的,如通信光纤被挖断,有些则是有预谋的。例如,部分不法分子攻击社交网络,以获得一些重要信息从中牟利,不仅影响社交网络工作稳定性,而且引起用户重要信息的泄露。另外,一些不法分子窃听社交网络,窃取用户重要的聊天信息,尤其针对一些企业社交账户,一旦因网络攻击而泄漏重要信息,导致企业机密的泄漏,给企业造成严重经济损失。
1.2信息安全问题
1.3网络犯罪问题
2社交网络安全问解决方案
2.1加强社交网络管理
2.2采取安全防护策略
社交网站及软件运营企业应从用户的利益出发,切实维护用户权益,采取针对性防护策略,避免用户信息的泄漏。一方面,立足企业内部,充分分析社交网站及软件特点,从安全角度分析社交网站及软件存在的bug,定期向外界,供用户下载,及时修补存在的bug,不给不法分子留下机会。另一方面,做好数据库的安全管理。众多周知,对社交网站及软件而言,数据库存储大量的用户资料、用户聊天信息,保护用户资料安全是企业的职责,一定程度上关系着企业的长远发展。因此,企业可采取硬件与软件相结合的方式提高数据库安全性。在硬件方面,应设计出合理的硬件架构,以屏蔽大量的安全隐患。同时,与实力强的服务器提供商合作。企业应根据用户数量及自身业务状况,与综合实力较强的服务器提供商合作。原因在于综合实力较强的服务器提供商,不仅能保证服务器工作稳定性,而且在机房管理方面更为严格,避免机房原因引起服务器故障的产生。在软件方面,社交网站及软件运营企业,同样需进行软件架构的合理设计,良好的软件架构可明显提升服务器运行安全性,防止数据库出现不良问题。同时,还应使用数据库安全策略,最大限度的提高服务器的防攻击性能。
2.3不断更新安全技术
3总结
社交网络已经融入到人们的生产生活中,拉近了人与人之间的距离,使得人与人之间的交流更为方便。但随之而来的社交网络安全问题,给用户及社交网站及软件运营企业带来诸多意想不到的麻烦。因此如何确保社交网络安全也引起了人们的高度重视。为确保社交网络安全性,企业及国家职能部门应结合当前我国社交网络安全实际,积极寻找有效的解决方案,不断提高我国社交网络安全水平,为人们安全的使用社交网络及软件保驾护航。
作者:李永亮单位:山东交通职业学院
引用:
[1]刘建伟,李为宇,孙钰.社交网络安全问题及其解决方案[J].中国科学技术大学学报,2011.
[2]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014.
[3]周禹江.浅谈社交网络安全问题与解决方案[J].技术与市场,2015.
Abstract:Informationandnetworktechnologyplaysanimportantroleinmanufacturingandoperationsofpowerenterprise,especiallyastheinternetdevelopsrapidly,informatizationanddigitaltechnologyhavebeenextensivelyappliedinpowerindustry.Powercompanieshaveestablishedalargeandcomplexschedulingdatanetworksandintegratedinformationnetwork,computernetwork,informationsystemshavebecomeanincreasinglyimportantandnecessarytechnicalsupportsystem,whichresulttheriskthatfacedwithinformation,networksecuritymayalsopenetrateintoallaspectsofpowerproductionandoperation.Currentinformationandnetworksecurityhasbecomeabigissuethatimpactingonelectricitysafety.
关键词:电力;网络;安全;方案
Keywords:power;network;security;plan
1电力行业的特点
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到电网调度自动化,继电保护及安全装置、厂、站自动化,配电网自动化,电力负荷控制分析、电力市场交易、电力营销、信息网络系统等,发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。
2网络安全分析
一般说来,在电力网络系统中的安全防护主要包括三个方面:一是网络拓扑的结构防护,即在后期当网络的结构调整时,要注意增删节点的合理性;二是硬件方面的防护,即组成网络系统中的各类设备;三是软件方面的防护,即网络系统中存储和传输的信息数据。
3网络安全的防范技术
①配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。②采用全网统一的网络防病毒系统,保护网络中的各类服务器、工作站等不受病毒的干扰和对其上文件的破坏,以保证系统的可用性。③作为防火墙的补充,须在内部关键业务网段配备入侵检测系统和防御系统,以防备来自内部的攻击及外部通过防火墙的攻击。④对关键业务信息跨地区的传输,采用VPN产品进行加密,保证传输过程中的信息安全。⑤对于网络设备、服务器等管理员的身份认证,采用诸如令牌口令的增强身份认证系统。⑥配备灾难恢复系统及冗余,防备意外的发生。⑦建立完善的网络安全管理制度,防止出现人为的安全隐患。
4安全解决方案
4.2网络安全产品的部署
①防火墙的配置:作为保护电力系统内部网免遭外部攻击,最有效的措施就是分别在电力系统各级内部网与外部广域网之间放置防火墙,通过设置有效的安全策略,做到对电力系统内部网的访问控制。不改变原来网络拓扑结构,且保证通讯速度不受较大影响,可以配置使用基于状态检测包过滤技术上的流过滤技术的防火墙――硬件防火墙系统。
②入侵监测系统的配置:为了防范来自电力系统内部网络的攻击,及来自外部透过防火墙的攻击,作为防火墙的补充,须在电力系统内部网各重要网段配备入侵检测系统,通过对网络行为的监视,来识别网络的入侵的行为。实时监视网络上正在进行通信的数据流,分析网络通讯会话轨迹,反映出内外网的联接状态;通过内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯的情况,查询网络事件,进行相应的响应;能根据所发生的网络安全事件,启用配置好的报警方式,比如Email、声音报警等;提供网络数据流量统计功能,能够记录网络通信的所有数据包,对统计结果提供数表与图形两种显示结果,为事后分析提供依据;默认预设了很多的网络安全事件,保障客户基本的安全需要;提供全面的内容恢复,支持多种常用协议;支持分布式结构,安装于大型网络的各个物理子网中,一台管理器可管理多台服务器,达到分布安装,全网监控,集中管理。
③信息传输加密产品的配置:为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。提供穿越防火墙的VPN应用模式,可以用直连的方式把通过认证的数据直接传送到主机的应用程序;可以与第三方认证产品集成,提供更强的身份认证和访问控制功能。
参考文献:
[1]CCNADISCOVERY企业中的路由、交换技术[C]//思科网络技术学院教程.
【关键词】网络安全;安全隐患;解决方案
ResearchonNetworkSecurityTechnologyandSolution
HeMao-hui
(WuhanBioengineeringInstituteHubeiWuhan430415)
【Abstract】Withtherapiddevelopmentofcomputertechnologyandnetworksecurity,security,integrity,availability,controllabilityandcanbereviewedandotherfeaturesmakethenetworksecurityincreasinglybecomethefocusofpublicattention.Inthispaper,theimportanceofnetworksecurityisdiscussed,andthemainformsofnetworksecurityrisksareanalyzed,andthesolutionofnetworksecurityisputforward.
【Keywords】networksecurity;hiddendanger;solution
1引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2网络安全的重要性
2.1网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
2.2提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3对网络安全隐患主要形式的分析
3.1操作系统的漏洞
3.2恶意代码的攻击
4网络安全的解决方案
4.1设置防火墙
4.2对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3采用多重加密
4.4实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1]李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2]关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
[3]任戎.网络安全技术与校园网络安全解决方案刍探[J].四川文理学院学报,2008,05:43-45.
1网络安全问题简析
2网络安全技术简介
2.1防火墙
2.2入侵检测
2.3VPN
3网络安全解决方案
3.1构建网络安全体系
网络服务的保密性、完整性和持续性是网络安全体系的最主要体现,现阶段的网络应用中存在不少安全隐患,这在一定程度上影响了网络服务的质量。所以,要提升网络安全系数,保证网络安全质量就不得不首先从构建网络安全体系着手。例如,要构建一个图书馆的网络安全体系,其具体操作流程如下。第一,对具体的业务、系统、网络等实际应用情况做一个全面具体的分析,建立一个初步的、具有一定整体性的安全体系结构框架。图书馆的网络安全体系结构框架可以从存储系统、网络结构和自动化系统这三个方面设计。第二,再对以上三个方面进行详细分点设计,整理出每一方面需要设计的内容。具体如下。(1)存储系统方面,DAS系统的技术相对而言更具成熟性和稳定性,故而该图书馆的存储系统可采用该系统。(2)网络结构方面,为免受设备物理位置的限制,可采用VLAN划分技术,实现每一个职能部门计算机的逻辑划分。(3)自动化系统方面,服务器对应用访问的热备份需求日益增加,为满足这一需求,图书馆在自动化系统方面可以采用双机热备技术。
3.2技术与管理相结合
3.3制定安全问题应急策略
网络安全事故在所难免,但是可以通过一定的措施控制其发生的频率。制定应急措施便是不错的方法之一。应急策略包括紧急响应计划和灾难恢复计划。前者主要是指出在事故发生之时系统和网络可能遭到的破坏和故障有哪些,而后者主要是指明如何及时地应对这些破坏和故障,使其恢复到正常状态。
4结束语
关键词:计算机网络;安全;安全管理;防火墙
中图分类号:TP393.08
随着科技的迅猛发展,计算机信息化建设在医院的高效管理中体现出日益重要的作用。借助计算机网络及管理软件,可以对医疗收费进一步规范、减少资产的恶意流失,同时能促进医院工作的有效提高,加强医院的管理水平,也能对领导提供合理的决策数据,让医院朝着更好的方向发展[1][2]。完善的医院信息管理系统,对医院医务工作的正常运行起着很重要的作用,关系着医院工作的正常开展,如果计算机网络出现问题,那么整个医院的工作将会出现混乱,严重的导致病人的治疗受到延误,给医院也会带来一定的损失,可以说,计算机网络与信息管理系统的安全运行对医院的有序工作极其重要。
1医院计算机网络安全风险分析
1.1TCP/IP协议存在的安全隐患
TCP/IP协议是计算机上网必须的通讯协议,这个协议规定了计算机与网络进行通信的各种规则,其实现原理比较简单,具有较强的扩展性,这也相应的使得该协议存在各种不安全患,比如IP包的劫持,利用Smuff进行攻击等。由于TCP序列号有一定的规律,因此,网络入侵者可以借助预测方法来找到正常连接的一个TCP序列号变化规律,从而实现IP劫持,并将恶意数据插入TCP连接中,导致网络的中断或破坏。
1.2IP协议存在的隐患
IP协议是互联网协议,其本身比较安全,但是,其功能实现都有这两个问题:(1)一般用户的口令与寄录口令一样,且没有经过加密,这就带来了网络被攻击的风险。如果有恶意程序在网络内进行监听,那就可以直接得到网络中的所有口令,从而导致入侵产生。当然,在邮件的POP3协议中也存在相同的问题。(2)对于网络中应用的FTP服务,匿名连接可导致网络攻击,比如RP服务实现的是上传数据,这可以让入侵者通过上传来放置木马,既然能上传,其他的恶意篡改过的文件也能放置到网络中,这样,如果有客户端下载了这种文件,那会导致客户端受到恶意攻击破坏。同时,FTP匿名上下载文件,还能使得账户与口令无形泄露。另外,匿名FTP无法记录信息,所以无法监控攻击源[4]。
1.3DNS解析隐患
DNS实现的是IP数字与网络字符化域名之间的转换等多种服务,在这些服务中,也存在着多方面漏洞。比如域名的假冒性攻击:如R类服务,网络中的入侵攻击可以冒充真正的域名解析服务器来给出一个回应,目的主机受到信息后并不做判断,将会误认为这个回应是信任的。这样,入侵者一旦掌握了这些信息,就可以连接到网络中监听网络通信,给网络造成很大的威胁。比如一个zolletransfer请求,会得到一部分数据库信息,如果连续进行请求,那就可以获得一份完整的数据库信息,从而知道网络中的所有主机信息,从而实现控制各个主机。
1.4路由寻址协议缺陷
常见的网络中的ARP攻击就是利用路由协议的缺陷,除此外还有ospf攻击、rip攻击等。ARP欺骗利用了目的主机的IP以及以太网地址进行路由攻击,形成一种IPspoof。在交换式的以太网中经常发生,主要是交换机具有转发功能,将收到的ARP欺骗包更新了交换机的CACHE后,开始向网络中的各个主机发送ARP包,这样各种响应信息都会汇集到入侵者。
2医院的网络安全管理主要解决的问题
在信息化的推动下,医院也在加快建设医疗管理系统,网络成为这中间不能缺少的关键一环。通过建设网络,使得医院开始从封闭走向了开放,信息在各部门之间实现了共享,部门之间需要查阅数据变得很快捷,但是为了保证各部门之间的信息安全,在实现的时候一个部门是作为一个完整的单元来建设的,这样可以保证它们之间相对的物理隔绝,并能独立运行,如果在需要的时候,可以将这些网络进行连接,从而实现内外互连。但是,这会给医院的运行管理带来额外的负担,网络运行会存在较大的隐患。
安全管理在医院的管理中最主要的一项工作,对于网络安全管理来说,由于网络涉及到各种信息的泄露与破坏,因此需要制定一些策略与规程。可以看到,这些管理是一项更为复杂的工作,需要一个完整的系统来实现。医院的计算机网络安全需要解决以下这些,例如:安全策略集中化、实时安全监听、建立安全联动机制、做好系统漏洞补丁管理、设置合理的权限管理和设备管理这六部分的安全管理。
3医院网络安全及解决方案
3.1防火墙技术
网络中的防火墙本来是实现将内网与外网进行隔断,是一种保障外网不能侵入内网,但是内网的信息可以传送到外网的一道屏障。在网络中配置防火墙是最为基本的一个措施。从设备来看,可以用硬件实现,也可以使用软件来达到这个功能,或者将这两者结合起来,这样可以达到更好的效果。
防火墙从数据传送上保障了网络的安全,但是对于一些开放的网络,必须将防火墙设置为最低限制,那要保证网络中传送的信息安全,需要通过数据加密或者对用户权限进行设定来实现。对用户权限设置可以保证静态信息的访问安全,这主要在计算机系统中来实现。而保证传送的信息不能被直接获取利用,这可以使用数据加密来实现。
数据加密是保护网络中传送的数据不被他人直接看到,而采用的一种转换编码方式,一般的原理就是对要传送的信息进行某个算法的重新计算,从而得到另一种信息,这个信息从字面上不能直接看出要传送信息的本意。算法中变换信息的值用到一个密钥,常分为公钥和私钥两类。公钥可以公开,但是私钥则必须保密,且只能是信息解密着唯一拥有。在各种算法中RSA是使用较广的一个加密算法。
3.3防病毒技术
由于计算机新技术的出现和投入使用,病毒也随着变得日趋复杂,这对计算机内部文件的管理和系统的安全形成了巨大的威胁。为了防止其受到病毒的破坏,必须使用杀毒软件。
3.4安全管理队伍的建设
建立完善的网络安全管理系统,只有通过工作人员和杀毒软件的共同努力,才能高效、合理的将影响系统稳定的危险原因减到最少。
4总结
计算机信息的安全问题是医院现代化管理中的核心问题,而网络安全能否做到最好主要取决于网络数据的安全和完整性,只有采取最有效的方法保障数据的安全和完整性,才能为医院的现代化建设管理提供良好优质的服务。
参考文献:
[1]任忠敏,马国胜,姚鸣红.医院信息系统安全体系的建立[J].医学信息,2004,17(7):408-410.
[2]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):l04,ll0.
[3]张会芹.医院网络的安全维护措施[J].中国医院统计,2006,12(2):191-192.
[4]张震江,赵军平.医院网络与信息安全的问题和对策[J].医院数字化,2006,27(16):32-34.
当我们看到这位读者的户型图时,着实吓了我们一跳,整整四层楼的别墅,对于家庭网络布线来说这的确算是一个大工程。不过我们很高兴王先生来信告诉他遇到的问题,一方面是因为这代表了王先生对我们的信任,另外一方面我们也可以利用王先生的这个案例向其他有同样问题的朋友解惑。
负一层
负一层有四个功能房间:车库、酒窖、影音室以及储藏室。从房间的功能来看,只有影音室需要网络接口。目前各种可以连接网络的影音设备越来越多,如功放、蓝光播放机、电视机、高清播放机等等。需要有些影音设备也可以支持无线接入,但是相比来说有线网络更加稳定可靠。因此,我们认为影音室需要的有线网络接口至少为4个。
第一层
第一层有4个功能房间:客厅、茶厅、餐厅和厨房。客厅要放置电视机、播放机等影音设备,因此客厅电视墙处需要留至少2个有线网络接口。茶厅是和朋友喝茶聊天的地方,按理说这里没有必要安装有线网络接口,但是考虑到茶室位于整个一层的中间位置,正好是无线路由器的放置位置,所以在茶室我们建议留有两个有线网络接口(一个用于连接有线网络,一个用于连接无线路由器),并在附近预留电源接口。剩下的房间还有餐厅和厨房,如果在几年前这两个地方几乎没人考虑会预留有线网络接口,然而如今不同了,各种智能家电已经开始有了雏形,所以我们认为现在厨房和餐厅,王先生一定要考虑预留2个左右的网络接口。至于有线网络接口的位置我们建议是电冰箱位置、微波炉位置等。另外,我们暂时不清楚王先生的洗衣机摆放位置,但我们还是要建议王先生在洗衣机位置安装一个网络接口。
第二层
第二层的有线网络接口的确定就相对比较简单了,因为这里房间的功能性较为单一,只有三间卧室和一个休闲厅。三间卧室肯定每一个房间需要一个有线网络接口。家庭休闲厅位于这一楼层的中间位置,正好用来放置无线路由器。因此,在这里也需要1个有线网络接口。如果王先生在就家庭休闲厅有放置电视机的打算,那么在电视机的位置需要1~2个有线网络接口。
第三层
第三层的房间功能性与第二层相近,有两间卧室和一个书房。很显然,和楼下几层一样,用于覆盖全楼层的无线路由器应该放置在楼层中间的房间书房中。再加上书房本身需要1~2个有线网络接口,因此位于第三层的书房肯定至少2~3个有线网络接口。第三层的主卧室和另外一个卧室,当然也各自需要一个有线网络接口。
找准网络中心
网络节点宜多不宜少
网络中心确定后,接下来就要确定每一个有线网络接口的位置,这样才能知道怎样去布设网络线。现在我们需要根据每一层每一个房间的功能以及具体需求来确定每一个网络接口的位置。
建一个完善的弱电控制中心
TIPS
卧室的有线网络接口安装在哪里?
解决这个问题需要解析卧室的网络使用情况,一般情况我们在卧室里需要使用到网络的设备是智能手机、笔记本电脑以及电视机。而智能手机和笔记本电脑都可以通过覆盖到卧室的无线网络信号达到上网的目的,因此有线网络接口的位置应该安装在卧室电视机的位置。
机柜图
目前网络商城上有很多网络机柜出售,大家可以根据需要购买。购买时,尽量购买一个12U左右的机柜。
选择适合自己的网络设备
到现在,我们基本上已经为王先生确定好了整个别墅的网络布线方案的90%,剩下的就是网络设备的确定了。前面我们提到,在王先生的网络解决方案中,需要用的有线网络接口预计有20个左右,所以王先生首先需要的是一个24口的网络交换机,用于连接每一个网络接口。其次,是网络中心的无线网络路由器,这个无线网络路由器将担负ASDLModem的拨号、负一层的无线网络覆盖以及连接网络交换机的作用。最后是每一楼层的无线网络路由器的选择,考虑到美观和便于隐藏,我们建议王先生在除负一层之外的其他楼层的无线路由器均采用小巧的无线路由AP来承担每一楼层的无线网络信号覆盖。
D-LINKDGS-1024T24口机架型千兆交换机
D-LinkDIR-605无线宽带路由器
DIR-605无线宽带路由器集有线/无线网络连接于一体,符合IEEE802.11n标准,最高无线传输速率可达300M。以前11g的由于技术的限制可能无法对家庭做到完全的无线覆盖。随着11n的出现,在传输距离和无线信号的穿透力方面有了明显的提升,完全可以满足现在3居室、复式、跃层户型的无线覆盖,对于别墅也可以基本保证无线信号覆盖整个家庭。
DIR-605安装也非常简单,它具备的快速安装功能能够快速配置,能够一步一步的引导用户进行安装,指导用户配置互联网连接、无线网络设置和安全设置,以及其他所有运行网络所必须的东西。这样,即便您不是一个互联网专家也可以让您的网络运行起来。
TP-LINKTL-WR800N无线AP
关键词:EPC;对象命名服务;混合加密
0、引言
物联网的安全研究主要分为两类:一类研究RFID阅读器通讯和RFID标签;另一类研究EPCGlobal网络安全。文献分析了EPCG10bal网络体系中0NS系统存在的安全隐患,并给出了解决方案,由于此方案需要与VPN技术结合,因此局限于大规模应用;文献提出了基于DNS安全扩展的解决方案,以加强ONS系统内部的安全,此方案能够保证0NS内部的安全,但当0NS与EPC系统中的其它组件进行交互时,可能会出现窃听、欺骗等安全威胁。
目前数据加密技术有两种:一是对称加密,采用相同的密钥加解密,如DES、IDEA、AES算法等;二是非对称加密,加密解密使用不同的密钥,如RSA、椭圆曲线算法等。这两类加密算法在速度、安全性和密钥的管理上各有优缺点,优势互补。因此,本文提出了基于DES和RSA的混合加密方案,并将DES—RSA混合加密技术应用于ONS查询过程中的数据通信,使得各ONS组件之间交互时更加可信和安全。
1、EPC网络
EPC网络由EPC编码标准、射频识别系统及信息网络系统组成,如图1所示。
(1)EPC编码标准。EPC编码标准是由版本号、厂商识别代码、对象分类代码及序列号等字段组成的一串数字,其作用是为每个对象提供唯一标识。
(2)射频识别(RFID)系统。射频识别系统用于实现EPC代码的自动采集,由EPC标签和阅读器组成。EPC标签是产品电子代码的载体,附于可跟踪的物品上,在各地流转。阅读器与信息网络系统相连,用来读取EPC标签并写入信息网络系统中。EPC标签与阅读器之间采用无线感应方式交换信息。
2、对象名解析服务(ONS)
2.1ONS概述
ONS根据DNS的基本原理,实现产品电子编码与相应的EPCIS信息服务器PML地址的映射管理和查询,其组成部分如下:
(1)映射信息。映射信息分布地存储在各层ONS服务器中,其内容包含了URI和EPC编码的映射关系。
(2)ONS服务器。若本地客户端要求查询某个EPC对应的PML服务器的IP地址,则由ONS服务器处理此请求,若查询成功则返回相应信息。ONS服务器具有与DNS服务器相似的结构,最顶层为根ONS服务器,其下为子ONS服务器,每台ONS服务器都存储着部分EPC的权威映射信息和缓存映射信息。
(3)本地ONS解析器。本地ONS解析器向ONS服务器发出请求,查询PML服务器所在的位置。
(4)ONS本地缓存。ONS本地缓存保存频繁及最近查询的“查询-响应”值,当应用程序进行EPC代码查询时,首先查看ONS缓存中是否包含相应的记录,若有则直接获取,这样可以减少外查询的次数,提高查询效率。
2.2ONS工作过程
ONS查询过程如图2所示。
2.3ONS安全分析
当ONS系统与客户端应用程序交互时,存在一定的安全隐患,如图2中的步骤①和⑥。常见的攻击有欺骗、偷听、篡改等。假如攻击者非法获取了某产品的EPC标签,就可以通过ONS系统来查询此产品的详细信息,这就是伪装身份进行欺骗从而获取信息;攻击者也可以截取ONS与客户端通信的信息,这就是偷听行为;还可以将截获的信息进行修改后再发送,从而导致信息交互出错,这就是篡改行为。
3、基于DES和RSA的混合加密技术
3.1DES算法
DES是一个分组加密算法,它以64位为分组对数据进行加密,其中有8位奇偶校验,有效密钥长度为56位。DES算法的加密和解密采用同一算法,其安全性依赖于所用的密钥。DES对64位的明文分组进行操作,通过一个初始置换,将明文分成左半部分L。和右半部分Rt,各32位长;然后进行16轮完全相同的运算,运算公式为:L。=Ri-1,Rt=Li-1+f(Ri-1,Ki。),在运算过程中数据与密钥结合;经过16轮后,左、右半部分合在一起经过一个逆置换(初始置换的逆置换),完成算法。
3.2RSA算法
RSA算法使用两个密钥:加密密钥(公开)和解密密钥(保密)。其过程如下:①随机选择两个大素数a和b(均保密);②计算n=ab(公开);③计算欧拉函数ω(η)=(a-1)(b-1)(保密);④随机选取一整数e,满足O
3.3算法比较
(1)加解密速度。DES算法的密钥仅为56位,进行的是简单位处理,加解密速度快,适合长数据的加密;RSA算法需要进行多位整数乘幂和求模等多字长处理,运算量大且复杂,速度明显慢于DES算法,只适合于少量数据的加密。
(2)安全性。DES算法的密钥一旦丢失,任何人都可以破解密文,安全性差;RSA算法用不同的密钥来加密和解密,难以破解,安全性相对较高。
(3)密钥的分配和管理。RSA算法公开分配加密密钥,加密密钥容易更新,与不同的对象通信时,只需保管好解密密钥,密钥的分配和管理容易;DES算法在通信前就要秘密分配密钥,密钥难以更换,与不同的对象通信时,要分配和保管不同的密钥,密钥分配和管理相对困难。
3.4基于DES和RSA的混合加密
通过以上分析,DES和RSA算法各具优势,优缺点正好互补。可以结合两者的优点,避免缺点,因此本文提出了基于DES和RSA的混合加密,思路是:加解密采用DES,密钥传递采用RSA,这样既可以利用DES运算速度快的优势,也可以利用RSA密钥管理容易的优势,克服了各自的弱点。
DES-RSA混合加密的思路是:先用DES算法加密消息明文,再用RSA算法加密DES的密钥,然后将数据发送给接收方。接收方收到密文和被加密的密钥后,先用RSA算法解密密钥,再用此密钥解密密文。混合加密的过程如图3所示。
4、DES-RSA混合加密在ONS中的应用
在ONS服务器与客户端交互时,将DES-RSA混合加密应用到图2中的①和⑥,客户端发送信息的过程为:
将要发送的EPC编码M用DES算法加密,得到密文C。①客户端生成一个DES方式的密钥K;②采用RSA算法,客户端用ONS服务器端的公钥对K进行加密,得到K1;③将密文C和K1发送到ONS服务器。
ONS服务器端收到客户端的请求后,作以下处理:①服务器端用私钥对K1解密,得到K;②服务器端用K作为密钥,对C进行解密,得到原始EPC编码M,并销毁K;③进行下一步查询。
获取不到真正的信息明文,即可以防止攻击者利用非法得到的信息进行攻击。
关键词:电子政务;信息安全;OAERP
1.背景
随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。
2.系统安全现状
根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网,将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。
电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非涉密网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:
图2.1
(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;
(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;
(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。
3.网络与信息安全平台设计方案
3.1设计思路
信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。
3.2安全体系设计方案
综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。
3.3.1信息安全基础设施设计方案
信息安全基础设施总体设计方案架构如下图:
图3.1信息安全基础设施设计方案
网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。
边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。
3.3.2网络安全防护体系设计方案
图3.2网络安全防护体系设计方案
由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。
在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。
3.3.3灾难备份系统设计方案
灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案。
备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。
当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。
4.网络架构
针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。
5.电子政务公务外网安全设计总结
综上所述,根据市政府网络中心功能需求,我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事,加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效的发挥了网络安全防护效果,达到了放牧目的。