时间:2024-01-19 16:08:02
序论:在您撰写网络安全相关认证时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
加强并完善等级保护工作
等级保护,2003年国家在这方面就陆续出台了一些文件,目前处于推广阶段。所以,等级保护制度可以为评估相应的产品、服务、项目作参考,因为等级保护本身就是为了保护安全,不是所有的信息资产都是保护等级最高级的,有些信息重要,有些没那么重要,这个可以用等级保护来区分。可以从设计、选型开始就用等级保护来指导。参照国际上,比如美国2002年7月对政府和军队采购已经规定必须优先采用通过CCC认证的产品。可以考虑对重要的信息系统采购进行等级保护认证,或者说分级测试认证,比较高水平的认证,甚至有些时候可以作为强制认证,这个目前还没做到,能不能把等级保护制度放在这个采购的指标考量里面,这个需要研究。
分级测评认证。等级保护可以借鉴的是产品分级测试认证,这是从国际上,最早的TC到CC,现在我国等同的标准是GB/T18336,七个等级,相当于EAL1-EAL7,以现成国际通用的,还有我国相应的标准,是不是可以拿来作为评估信息相应网络安全的参照。
不同的产品,比如现在IC卡、SIM卡最高可达EAL5,服务器操作系统最高可达到EAL4,那么EAL6、7是不是能够达到,标准能不能跟上都是问题,特别是过去这些方面标准比较少,我查了有36个方面的等级保护标准,分级也相对少,可能将来需要扩展。标准、范围都要扩展,比如分级测试标准,列入的是一小块,现在看来是很小一部分。
生命特征有虹膜识别系统,指纹、掌纹、人脸、声纹都没标准,现在大家知道身份识别标准非常重要,这些远远跟不上发展的需要,跟不上标准的建设,将来通过分级测试认证选购我们所需要的产品,不同的产品要有不同的要求,新的信息技术,尤其云计算、大数据都还来不及做。相关部门要抓紧开展研究,如何分级测试标准,加强我国网络设施安全相关要求提供支撑,这是需要请大家研究的问题。希望将来很多重要信息系统都要以分级测试标准去选购。这需要第三方测试评估标准加以评估。
自主可控的评估标准
分级测试可以解决一部分问题,但不可能解决全部问题。就像性能指标一样,存储容量、主频、计算能力、价格等指标,我们的自主可控的程度是不是可以呢?考虑总的标准,这里提了8个字“自主可控、安全可信”来概括一个系统、产品并提出这8个字作为我们的要求,但这8个字怎么来体现和评估需要大家研讨。有些专门制度,比如网络安全审查制度,但这个制度不可能随时拿出来用。所以,“自主可控”是现在可以定义可评估的标准,比较容易立项加以评估,“安全可信”比较难一点,需要大家探讨。
自主可控也是很重要的,把它作为安全可信的一个前提,自主可控达不到,安全可信就是空话,因为自主可控可以首先做到没恶意后门,自己有能力可以进行改进,进行治理,不断发展。自主可控,我们首先把它定义为属性,是可以评估的,可以独立与场景和生命周期等等作为第三方机构进行安全评估。但安全可信复杂得多。所以现在提出了自主可控的五个维度:知识产权、能力、发展、供应链、“国产”资质。
五个维度的标准
■知识产权(包括标准)自主可控
知识产权非常重要,知识产权不可靠,那就免谈,这个项目我们最终不能去支持,因为当前国际形势,面向全球化的情况之下,知识产权必须得重视,必须很好解决,不是所有的知识产权都是自己的,但可以通过授权方式,商业规则,通过这些方面拿到足够的自,能够自主可控的知识产权,如果不通过这些,下面不能做,做了也没意思。
■能力自主可控
要有足够能力强的队伍,否则知识产权是空话,没有人掌握这个知识产权和这项技术就没有用,最后也只是一个知识产权。
所以,人很重要,假如这个公司没有好的团队,那就是空话,也就做不到自主可控。维度也很重要,但是要求相应的也比较高,不仅需要能掌握生产产品的能力,变成很好的产品和服务,还需要产业链也能够保证到位,需要有时候把生态系统都能构建起来。
■发展自主可控
这是实际碰到的问题,有时候知识产权和能力都可以做,有时候不能做,因为没有发展的自主可控,这个技术就要废弃了,这个技术要过时,人们要用,大家知道它能力很强,要掌握知识产权,但知道几年以后要废弃了就不要去做。有的现在看起来还可以,假如不能真正掌握今后发展的主动权,比如Android操作系统,能否保证Android今后的发展能按照你的要求去做,做不到,发展哪个版本能继续做这个不能保证,如果不能掌握未来,就要看长远一些,不能看眼前。我们要尽量考虑长远发展。
■供应链自主可控
供应链中看起来某一个环节可以,但供应链不能解决,技术安全也不行,比如芯片有问题,即使拥有知识产权,能设计出来,但生产不出来有用吗?最后发现还得为别人生产,生产过程也是不能控制的,这个重大的环节不能控制,可能这个产品就不能做到自主可控,实际也不能保证其安全性。
■“国产”资质
国产化不等于就是自主可控,它只是自主可控的一个环节。知识产权法从2002年到现在,虽然政府采购说优先采购国产产品和货物、工程,但大家知道没有一个统一的界定,这是个很大的问题,希望这方面能够出台一个标准,不是大家最后自己做自己的。
发达国家怎么做的?可以参照美国的说法,美国是通过“增值”原则,美国的增值达到50%就可以评估国产。高科技对于一般产品都适用,增值包括材料等等,我们可以从这个角度评价,但目前拿出的标准是不合理的。机制还有内资、外资、VIE,当然还可以加上增值原则,这样可以避免通过没有科学的建立,有些硬件贴个牌子,进口贴个牌子就是国产的。软件怎么办呢?集成一下,提供解决方案就增值,能力就变成国产能力了。增值税发票,看抵扣就很容易区分国产化程度。
【关键词】分布式联动 技术原理 网络安全 应用分析
1 联动技术的概述
1.1 联动技术定义
就目前来看,人们对于联动技术的还没有一个具体的定义,在实际的工作中,所谓的联动主要指的是设备之间的关联和互动以及相互之间的影响,通常来说,联动指的是各个设备之间所建立的机制,通过此种方式能够实现各个设备之间的信息资源共享。在网络安全系统中,联动主要包括了防火墙系统、入侵检测系统、防病毒系统、VPN、CA、网络安全指数评估系统等。
分布式以及相关的模块间的要求:从开发到应用,分布式都具有众多优点,并且,能够体现良好的技术性,分布式能够实现模块化,模块化催生分布式,这样就形成了联动。总的来说,联动就相当于一个纽带,有效的将各个模块融合,构建了一个强大的网络安全系统。在实际的工作过程中,联动方式主要是基于Radius的AAA认证体系进行工作。
1.2 分布式联动技术的网络安全构建框架
图1为分布式联动技术网络安全构建的框架。
在图1中,此网络安全构建主要由Client、Relay 和 Commander构成,它们主要设计了设备的认证以及分布式联动技术,在实际应用过程中,三部分都需要进行身份认证,只有通过相关的认证以后才能实现局域网的连接。在实际的工作过程中,分布式联动主要应用在Commander 和Client 、Commander和Relay 之间。分布式联动技术应用在Commander 和Client ,Commander能够及时的将相关的安全策略配置发下Client,然后,Client再对相关的参数进行配置,保证网络安全。如果Commander 和Client 之间存在相关的设备Relay,此设备能及时的将相关的安全策略传达给Client,Relay自身不会对相关的安全策略进行配置。分布式联动技术应用在Commander以及Relay 之间时,能够有效的解决网络汇聚以及核心设备失控时所造成的报文发送状况,维持了整个网络的稳定性,有效的提高了网络安全系数。
2 分布式联动技术的实际应用
2.1 分布式联动技术的应用分析
在实际的工作过程中,分布式联动通常能够分为系统功能安全策略分发、策略动态分析、系统安全监测联动。
2.1.1 系统功能安全策略分发
在实际的应用过程中Commander、Relay 与 client过程中的安全策略分发流程,主要包括了Client、Commander、Relay 三个设备通过认证以后,才能进行相关的安全策略配置,Relay设备在实际工作过程中,能够实现透传参数的配置,在Commander中相当于client。具体的协议安全参数配置应该是该宽带口的加权平均值,相关的计算公式为:
Client_Protocol_parameter=Port_bandwidth*(Protocol_parameter/All Port_enable_bandwidth)。
例如:ARP的队列通常限速为55Mbps,Commander 通过认证的两个端口,并且,每一个物理端口为110Mbps,如果将其分配到一个端口中,相关的协议参数应该为30Mbps,其计算公式为:110Mbps*(55Mbps/110Mbps*2)。
2.1.2 Commander以及Relay 间的安全策略分发
在实际的工作过程过程中,两者之间的参数可以依据实际情况进行配置,并且,在相关的参数分发之前,还应该积极的加强认证。
2.2 相关系统设备的安全策略动态调整
整个系统的安全策略参数分发工作完成以后,如果相关的参数出现变化,可以进行适当的调整,保证整个系统的良好运行。例如:commander 通过相关的认证进行端口增加,相关工作人员应该积极的对协议参数进行计算。
2.3 系统安全联动检测
在实际的系统工作中,安全参数策略分发完成工作完成以后,client 设备就会积极的对相关的工作内容进行检查。如果出现异常,相关设备就会采取一定的措施,保证整个系统的安全。
2.4 分布式联动技术的实现
(1)首先应该积极的对相关的报文进行认证,通过认证以后按照图2方式进行扩展。然后,在依据实际情况进行报文的发送。
(2)安全策略应答
Client系统收到相关的安全策略配置参数以后,应该积极的对相关的策略进行应答,并且积极的进行参数配置。应答报告应该采用DAP格式报文格式如图3。
在实际的应答报文中,TLV Type如果为5,并且TLV的长度为1,如果取值0x01时,则表示相关的安全策略配置成功;反之,则表示相关的安全配置失败。
3 总结
综上所述,分布式联动技术子对网络安全具有重要意义,有效的提高了企业网络的安全性。文章通过对其原理以及相关的应用进行分析,明确了其中的重要内容,希望能够促进分布式联动在网络安全中的应用。
参考文献
[1]张振华.基于动态策略联动响应的网络安全防护技术[J].工业控制计算机,2013,26(3):42-44.
[2]胡萍萍.基于分布式数据库的整体安全模型研究[J].网络安全技术与应用,2011,(8):43-46.
[3]白媛.分布式网络入侵检测防御关键技术的研究[D].北京邮电大学,2010.
[4]王菊.基于分布式数据库安全策略的研究[J].科技创新导报,2012,(7):42-42.
[5]杨加园.基于分布式联动技术的网络安全策略研究[D],南京邮电大学,2014.
[6]姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试,2014,(15):134-136.
作者简介
王美玲(1980-),女,卓资县人。大学本科学历。现为武警新疆总队第一支队助理工程师。研究方向为网络信息安全。
一、网络安全对于电子商务的重要性
当前,电子商务已逐步覆盖全球,而网络安全问题也得到了业内广泛关注。电子商务的交易方式有别于传统的面对面交易,在电力商务中,交易双方均通过网络进行信息交流,以网络为媒介无疑加大了交易的风险性,因此安全的网络环境能够给交易双方均带来良好的体验。电子商务的网络安全管理较为复杂,不仅需要高新的技术做支持,如电子签名、电子识别等,还需要用户的配合,通常来说,用户的个人信息越全面,网络交易平台对用户的保护便会越全方位。可见,在电子商务交易平台中,网络安全具有十分重要的作用。
二、电子商务中网络安全的技术要素
1、防火墙技术。防火墙技术主要是通过数据包过滤以及服务的方式来实现病毒的防治和阻挡入侵互联网内部信息[1]。防火墙好比一个可以设定滤网大小的过滤装置,可以根据用户的需求,对信息进行过滤、管理。在服务器中,防火墙的技术便演化为一种连接各个网关的技术,对网关之间的信息联通进行过滤。虽然上述两种过滤管理技术形式略有区别,但本质相同,在电子商务中,可以将两者结合使用,使各自的优势得到充分发挥。实现在防火墙内部设计好一个过滤装置,以便对信息进行过滤与确定是否可以通过。
2、数据加密技术。数据加密是对于指定接收方设定一个解密的密码,由数学的方式,转换成安全性高的加密技术,以确保信息的安全。这里面会涉及到一个认证中心,也就是第三方来进行服务的一个专门机构,必须严格按照认证操作规定进行服务[2]。认证系统的基本原理是利用可靠性高的第三方认证系统CA来确保安全与合法、可靠性的交易行为。主要包括CA和Webpunisher,RA与CA的两者通过报文进行交易,不过也要通过RSA进行加密,必须有解密密钥才可以对称,并通过认证,如果明文与密文的不对称,就不会认证通过,保证了信息的安全[3]。
3、数字认证技术。为了使电子商务交易平台更为安全、可靠,数字认证技术便应运而生,其以第三方信任机制为主要载体,在进行网络交易时,用户需通过这一机制进行身份认证,以避免不法分子盗用他人信息。PKI对用户信息的保护通过密钥来实现,密钥保存了用户的个人信息,在用户下次登陆时,唯有信息对称相符,才能享受到电子商务平台提供的相应服务,在密钥的管理下,数据的信息得到充分保护,电子商务交易的安全性能得到了大幅提升。
三、电子商务中网络安全提升的策略
1、提高对网络安全重要性的认识。随着信息技术的快速发展,网络在人们工作、生活中已无处不在,我们在享受网络带来的便利时,还应了加强对网络安全重要性的了解,树立网络安全防范意识,为加强网络安全奠定思想基础。应加强对网络安全知识的宣传和普及,使公民对网络安全有一个全面的了解;同时,还应使公民掌握一些维护网络安全的技能,以便发生网络安全问题时,能够得到及时控制,避免问题扩大化。
2、加快网络安全专业人才的培养。网络安全的提升离不开素质过硬的专业人才,由于网络技术具有一定的门槛,如果对专业了解不深,技术上不够专攻,专业问题便难以得到有效解决,应着力提升电子商务网络安全技术人员的专业素养,为加强网络安全奠定人力基础。在培养专业人才时,应勤于和国内外的专业人员进行技术交流,加强对网络安全领域前沿技术的了解和掌握,避免在技术更新上落后于人。
3、开展网络安全立法和执法。网络安全的有效提升需要从法律层面进行约束,应着力于完善网络安全立法和执法的相关工作,加快立法工作的步伐,构建科学、合理的网络安全法律体系。自从计算机产生以来,世界各国均设立了维护网络安全的相关法律法规。在新时期,我国应集结安全部、公安部等职能部门的力量,加强对网络安全的管理,力求构建一个安全、健康的网络环境。
四、结论
关键词:校园网;认证系统;体系;安全问题
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)04-0037-02
网络安全认证结构是一个较为复杂的系统化工程,要针对系统软件和人员制度进行系统化分析,要结合网络安全技术进行集中处理,从而保证不同安全问题能得到有效认证和处理,明确校园安全保护方面的需求,从而积极落实动态化安全模型,利用有效的解决方案,确保高效稳定网络运行环境。
1 常用网络安全技术分析
在实际网络安全技术管理过程中,要针对实际管理结构建构系统化管控机制,目前,较为常用的网络安全技术主要包括以下几种。
第一,数据加密技术。在网络管理机制中,数据加密技术是较为重要的安全技术结构,在实际技术应用过程中,主要是利用相应的加密算法建构系统化的计算模型。
第二,身份认证技术。在实际技术结构建立过程中,借助计算机以及网络系统对操作者的身份进行集中关注,并且按照身份信息以及特定数据进行综合分析,计算机借助用户数字身份对用户身份的合理性。要结合物理身份以及数字身份的对应进行集中处理,从而保证相应数据的安全性。
第三,防火墙技术。防火墙是网络安全的基本屏障,也是内部网络安全性提升的重要技术结构,主要是借助相关软件和系统对不安全流量以及风险进行集中处理,确保安全隐患得到有效维护,利用协议对内部网络进行集中处理。在防火墙技术中,要对网路存取以及访问记录进行集中审计。
2 校园网络体系分析
2.1校园网络认证系统
在校园网络体系建立过程中,要针对相应问题进行集中处理,作为高校信息化的基本平台和基础设施,在实际工作中承担着非常重要的作用。因此,要结合高校实际建立切实有效的校园网认证系统,从技术结构层面要积极落实自身网络规模和运营特点,确保校园网络体系认证系统能满足安全高效的工作管理机制。目前,多数高校校园网络都利用以太网,建立局域网标准,并且结合相应的网络体系建构校园网认证模式。
利用以太网对接入认证方式进行处理,主要是利用PPPoE认证模式、802.1认证模式以及Web认证模式等,能结合相关协议对其逻辑点进行综合连接。在认证机制管理过程中,要对认真协议以及访问控制进行综合分处理,从而支持业务和流媒体业务处理业务,确保应用效果切实有效。
2.2校园网络安全问题分析
在校园网络安全管理过程中,要结合相关问题进行集中处理,并且积极落实有效的高校信息化建设机制,在校园网运行过程中,主要是针对高校教育以及科研基础设施进行综合管控,承担科研以及管理任务。网络实际应用过程中,会区别于商业用网络以及政府用网络。其一,网络组成结构较为复杂,分为核心、汇聚以及接入等层次,会直接分别划分为教学子网络、办公子网络以及宿舍子网络等,在对其接入方式进行分析时,并且建构双出口结构。利用多层次和双出口特征,导致校园网运行结构中存在复杂网络环境。其二,在高校校园网运行过程中,网络应用系统和功能较为复杂,同时要满足教学信息交流和科研活动,在运行电子邮件系统和网络办公系统的基础上,教学中应用在线教学系统,日常生活应用一卡通系统,提高整体应对安全隐患的能力。
2.3校园网络安全需求分析
在校园网络安全需求分析过程中,需要对校园网络进行分层管理,确保管控机制和管理维度的有效性,作为大型网络区域,需要对相关协议以及网络运行结构进行细化处理和综合解构。在处理校园网络系统物理结构和安全问题方面,需要技术人员结合校园的实际问题建构有效的校园网认证系统。由于网络应用人群数量基数较大,且安全隐患性问题较多,需要建构系统化且具有一定实际价值的校园网安全支持系统。
在对网络安全需求结构进行分析的过程中,第一,建立网络边缘安全区域,网络边缘安全主要是在校园网和外界网交界处,利用相应的访问数据管理机制,对其进行集中管控。主要包括接入校园内网、信息共享上网体系、远程访问服务网络、服务器、接入CERNET,接入CHINANET等,能禁止外部用户非法访问校园网数据,隐藏校园网内网的IP,并且能为校园网提供更加安全可靠的远程访问服务项目。第二,建立汇聚安全区,应用校园W络骨干节点,并且对网络之间的高速以及稳定进行集中处理。第三,服务器安全区域,要结合外服务器区域以及内服务区域,对其内容和信息进行集中处理,并且保证高风险区域得到有效处理,以保证通讯结构不受到影响。校园网应用系统较多,要对安全性进行针对性分析,确保实施隔离后各个区域能满足相应的管理需求。第四,接入网安全区,在接入网安全问题处理过程中,由于越来越多的病毒会导致二层协议受到漏洞影响,校园接入网络的布点较多,人员组成较为复杂,针对端口环路问题要进行集中管理和层级化处理,确保相应的安全性得到有效维护。
3 校园网认证系统的安全体系
3.1校园网认证系统的安全风险和应对措施
在校园网认证系统建立和运行过程中,要对校园网认证安全风险进行综合评估。
其一,应用层面对的安全风险,主要包括病毒木马攻击、缓冲区溢出问题、逆向工程问题、注册表供给问题以及社交工程问题等。攻击依赖关系中主要是ARP攻击、Sniffer攻击以及病毒直接攻击等。针对上述问题,技术人员要提高程度的安全性,并且确保学生能提高安全防护意识,而对于ARP攻击项目,需要应用高安全性加密算法取代弱加密算法,并且宝恒用户登录信息不会存储在注册表内。
其二,表示层、会话层、传输层的安全风险,主要是来自URL的编码攻击、会话劫持问题以及DOS攻击等,依赖的是Sniffer攻击,需要技术人员针对相关问题进行集中的技术升级和综合处理。
其三,传输层的安全风险,主要是来自于IP地址的攻击,需要技术人员针对相应适配结构安装有效的防火墙。
其四,数据链路层的安全风险,主要是来自于ARP攻击,依赖关系是Sniffer攻击,利用相应的ARP地址绑定能有效的应对相关问题,建构更加有效的管理系统。
其五,物理层的安全风险,主要是Sniffer攻击以及直接攻击,针对上诉问题,需要技术人员利用相应的手段对POST进行有效消除,并且去掉数据中的MAC地址密文,以保证有效地减少秘钥泄露问题,并且要指导学生提高网络安全防护意识。
3.2校园网认证系统的接入层安全设计
在校园网络系统中,接入层是和用户终端相连的重要结构,在实际认证系统建立过程中,由于接入层的交换机需要承受终端的流量攻击,因此,技术人员需要对其进行集中处理和综合管控,确保其设计参数和应用结构的有效性。
其一,利用ARP欺骗技术,对于相应的缓存信息进行集中处理和综合维护,并且保证相应参数结构不会对网络安全运行产生影响,也能针对ARP攻击进行有效应对,从而建立切实有效的防御体系,借助修改攻击目标的ARPcache表实现数据处理,从而提高校园网认证系统的安全性。
其二,用户身份认证部署结构,为了更好地满足校园网的安全需求,要积极落实有效的管理模式,由于接入用户识别和认证体系存在问题,需要对网络接入控制模型进行集中处理和综合管控,提高认证结构资源维护机制的同时,确保相应认证结构得以有效处理。
3.3校园网认证系统的网络出口安全设计
校园网认证系统建立过程中,出口安全设计是整个网络安全体系中较为重要的项目参数结构,需要技术人员针对其网络通道进行系统化分析和综合处理,确保安全设计内部网络和外部资源结构之间建立有效的平衡态关系,并对性能问题和内网访问速度,并对光纤服务器进行综合分析。
3.4校园网认证系统的网络核心层安全策略
网络核心层是交换网络的核心元件,也是安全策略得到有效落实的基本方式,核心层设计要对其通信安全进行集中处理,并有效配置ACL策略,对其进行访问控制,从而保证端口过滤得到有效管理。在核心层管理过程中,要对VLAN进行有效划分,也要对安全访问控制列表进行有效配置,对不同子网区域之间的访问权限进行有效管理,为了进一步提高关键业务实现系统的独立,从而保证网络管理系统和隔离系统的优化,实现有效的数据交互,确保访问权限得到有效分类,也为系统整体监督管理的优化奠定坚实基础,并且积极落实相应的配置方案。只有对病毒端口进行集中过滤,才能保证网路端口的扫描和传播模型进行分析,有效处理病毒传递路径,保证访问控制列表的有效性,真正落实病毒端口过滤的管理路径,保证管理维度和管理控制模型的有序性。
4 结束语
总而言之,校园网认证系统的管理问题需要得到有效解决,结合组织结构和网络多样性进行系统升级,并针对地理区域特征和网络基础设施等特征建构系统化处理模型,对于突发性网络需求以及校园网网络堵塞等问题进行集中处理和综合管控,从根本上提高校园网网络维护和管理效率。在提高各层次网络安全性的同时,积极建构更加安全的校园网认证系统,实现网络管理项目的可持续发展。
参考文献:
[1] 杜民.802.1x和web/portal认证协同打造校园网认证系统[J].山东商业职业技术学院学报,2015,10(6):104-107.
[2] 冯文健,郭小锋.利用RouterOS Hotspot认证架构低成本校园网认证系统[J].柳州师专学报,2016,24(3):131-133.
广电行业有着良好的发展前景,近年来,随着人们生活质量的提高,对广播电视节目的需求量越来越大,这促进了广电网络的发展,为了更好的满足用户的需求,相关技术人员必须提高网络传输的速度。在三网融合政策的影响下,广电行业必须对网络体系进行优化,要扩大网络的规模,还要促进网络技术的双向、数字化发展。广电行业属于服务行业,为了更好的满足市场的需求,相关技术人员还要提高服务水平,满足市场需求。广电行业的网络集中程度比较高,传统分散经营的模式逐渐被网络集中化模式所取代,这可以统一不同省份的网络技术,可以统一网络服务的供应商。政府在提出一省一网的政策后,广电行业的网络整合力度越来越高。广电行业在发展的过程中,市场越来越规范化,运营商采用的是统一经营的方式,这可以保证市场秩序的规范性,还可以提高广电行业网络市场化规范水平。
2广电行业网络安全的影响因素
广电行业在发展的过程中,存在较多的网络安全问题,这与网络自身的因素有着一定关系,影响着广电行业发展的健康性。广电行业对信息安全要求比较高,在网络建设的过程中,需要保证网络的安全性,这样才能提高广电行业发展水平。广电行业应用的网络技术在不断变化,随着科技的不断发展,网络环境也在不断的变化,在不同的时期,存在的网络安全隐患也有较大的差异,在解决的过程中,需要结合市场发展现状。在广电网络发展的初级阶段,存在的安全问题主要是物理故障,常见的问题就是设备故障,技术人员需要对设备进行定期检修。在发展阶段,网络安全影响因素逐渐变为网络攻击问题,这对技术人员提出了更高的要求,其必须结合当前网络形式,找出导致广电行业存在安全隐患的原因。广电行业电缆分配网络的形式本身存在一定缺陷,这会导致广电网络容易受到病毒的攻击,网络安全维护技术在发展的过程中,遭遇了瓶颈期,这主要是因为广电网络抵御攻击的能力比较低,在优化网络技术时,需要引进国外的先进技术,但是又会受到国际出口网络地址的限制,需要将私网地址转化为公用网络地址。我国广电行业双向网络的发展比较缓慢,这一行业缺乏专业的人才,需要培养网络安全维护人才,这样才能提高网络安全防御能力,才能提高网络传输数据的能力。针对广电行业网络安全问题,必须针对影响因素,找出相应的解决措施,这样才能保证广电行业健康、长远的发展下去。
3提高广电行业网络安全的措施
3.1网络特点分析
一是网络处于转型阶段,广电网络正处于将模拟电视转变成数字电视的阶段,广电网络投资也主要用于电视转型领域,用于网络安全维护领域的资金和力量相对不足,缺少必要的人才和财力保障网络安全。二是广电对网络的管理能力不足。虽然广电网络发展势头迅猛,但是广电行业还未形成统一的网络管理,需依赖核心网络设备提供的网络安全管理软件进行管理。网络安全管理能力的不足还体现在系统和网络安全建设滞后方面,广电网络系统和网络安全建设处于起步阶段,没有形成集中式管理系统。
3.2对网络结构进行完善
3.2.1接入层的安全防御方案含析
接人层安全需要局端设备具备认证能力,根据安全策略分析接人终端设备的身份,防止不服从安全策略的非法终端设备接人网络。当前一些网络运营商采用实名制结构,每个用户配发一张智能卡,开通增值业务时根据智能卡内的用户密钥完成身份认证,无身份密钥的用户无法进人网络,从而确保网络接人层的安全。应用范围较广的身份认证有PKI技术,它是一种较为安全可靠的身份认证技术。其操作原理为将用户信息发送至认证服务器接受认证,认证服务器接受信息、后确定信息、是否符合安全策略。如果信息、符合安全策略,认证服务器才会想用户端发送随机数值,用户端的用户根据密钥显示的随机数值以及接认证服务器发送的随机数值进行加密,将加密信息发送至认证服务端。认证服务端接收加密数值后,根据用户的公钥进行解密,并对比发送的随机数值信息。如果信息均一致,则通过认证,允许人网,否则禁止人网。
3.2.2内容层的安全防御方案
由于广电HFC网络传输的数据容易被黑客切取,应格外重视提高内容层的防御能力。对于内容层的防御,可采用数字签名和数字信封技术保障HFC网络传输数据的保密性和完整性。例如数字信封,它要求采用特定的方式接受数字信封,否则无法读取信封内的信息。数字信封安全措施弥补了非对称密钥及对称密钥加密时间过长及分发困难的问题,也提高了信息传输安全性。数字信封保护方式流程如下:首先使用对称密钥加密发送方发送的信息,使用接收方的公钥将信息加工为数字信封,再发送给用户。用户使用私钥解开对称密钥,再使用对称密钥解开加密的信息。另外,还可应用虚拟专用技术手段,位于公共网络系统之中创建专用网络,进而令数据在可靠安全的管理工作下。该技术手段主要应用隧道技术手段、加密解密方式以及秘钥管理,认证辨别身份技术手段做好安全可靠的保障。
4结论
【关键词】 4G无线网络 安全 接入技术
随着时代经济的飞速发展以及科学技术的日新月异,现代化无线网络和因特网应运而生,进而使得移动通信逐渐成为当前最有发展活力的产业之一。现如今,伴随着数据通信和多媒体业务需求的持续发展,第四代移动通信逐渐兴起,为人们的日常生活和工作学习带来了极大的便利。本文对4G无线网络安全接入技术进行探究分析。
一、 4G无线网络安全接入安全概述
4G无线网络接入的过程中,同样也面临着各种各样的安全威胁,一方面是其ME面临着一定的安全威胁,主要表现为IMSI被截获和UE潜形式的被跟踪,并对用户的信息进行暴露,难以从根本上保证用户信息的真实性。而无线接入网络中的安全威胁,同样也有移动性的管理和对其基站的攻击,这种攻击不仅仅将Dos攻击实现,同时也使得攻击者在安全性相对较弱的网络中对用户的通信加以截获,进而使得其受到更加严重的安全攻击。
二、4G无线网络安全接入技术的理论基础
1、自证实公钥系统。自证实公钥系统在实际的注册过程中,用户通过对自己的私钥加以选定,并对离散对数困难问题加以解决,系统中心在某种程度上难以从数据中心对用户的私钥进行接收,同时也不能对其签名进行冒充伪造,这种公钥系统往往有着相对较高的安全性。
2、安全协议。安全协议主要采取密码算法,并对其发送的消息进行高强度的加密,安全协议在将不可信网络通信参与方之间的安全通信实现的过程中,主要有建立于会话密钥的一种密钥交换协议和结合认证协议的一种认证密钥交换协议。而安全协议在实际的设计过程中,主要是对模型检测方法和其安全性协议分析方法加以采用,并将协议安全性的分析更加的具有规范化和科学化。4G无线网络安全接入技术在实际的应用过程中,主要借助于网络平台上的相关系统,并做好自证实公钥系统的控制,严格的遵守相关安全协议,进而实现数据加入和传输过程的安全性。
三、4G无线网络安全接入技术的认证新方案
现如今,基于移动网络的特殊需求和特点,4G无线网络安全接入技术更是本着适应终端移动性和漫游性的基本原则,对用户首次接入网络、再次接入网络以及漫游切换场景进行不同的验证,并借助于相关的技术,将其认证的效率显著提高。
3.1 参数的基本概述
出,并将其公钥发送给ME,ME受到公钥之后,并对等式YeME+DME+DHE=VME进行验证,一旦验证成功,其移动终端将会获得公钥YME和私钥XME。
3.2 首次接入认证和切换接入认证
4G无线网络安全接入中的首次接入认证和切换接入认证的过程中,其主要的认证过程图如1所示。
3.3 再次接入认证
对于移动通信环境而言,往往需要频繁的验证,将会带给系统相对较大的负担,一旦连接的用户数增多的过程中,系统运行的负荷相对较大,而再次接入认证场景的认证过程有着一定的简便性。再次接入场景下的认证过程中,首先对ME在首次切换接入认证之后,将会自动的再次将其接入统一网络,借助于临时身份TIDME对自己的TDME进行代替,并进行再次介入认证,对ME的身份隐私进行保护,经攻击者通过已经攻陷的会话密钥网络交互的风险降低。
四、结语
随着时代经济的飞速发展,现代化无线网络和通信技术的不断成熟发展,进而使得现代化移动网络的发展更加的具有 时代性,而4G无线网络接入的安全性始终是移动网络用户关注的焦点之一,而基于4G无线网络安全接入技术的应用,不仅仅对无线网络用户的身份进行隐藏和保护,同时也保证了4G无线网络安全接入过程中的安全性,在某种程度上将4G移动通信的安全性显著提高。
参 考 文 献
关键词:Agent软件;网络安全;多智能体系统
中图分类号:TP393.08
随着网络技术的不断发展与更新,黑客攻击的方式也在逐渐的更新,网络的安全问题也就越来越突出。目前,比较有效的安全防御对策就是及时发现并且改正网络系统中出现的安全隐患,不仅要定期对网络安全性开展分析、检查以及评估工作,还要充分了解黑客的最新攻击方式以此来完善系统的数据库,进而提高网络系统自身的抗攻击性能。除此之外,木马、病毒等还可以利用漏洞攻击主机,留下相应的痕迹,进而出现安全事故。对此可以采取审计技术,记录相应的痕迹与事故日志,进而采取相应的措施确保网络系统的安全性。
1 可控网络安全系统概述
可控网络安全系统指的就是一种运行安全,具有可扩展性与较高灵活性的综合解决系统。该系统首先利用控制中心认证客户的主机,以此来确保客户主机身份的可操作性与合法性,之后开展漏洞检测与安全审计工作,对网络的所有客户主机展开安全扫描,记录扫描结果与异常活动的审计日志,在完成综合评估之后,对存在着一些高风险的主机进行封网,以此来增强网络系统的安全性。在该网络系统的结构当中,控制中心是处在外部网络中。在网络系统运行过程中,一般均会包括不同的分散内网,相应的内网用户能够对任何交换机进行操作,甚至在网络系统中接入集线器。
2 Agent软件的认证
Agent软件主要包括消息处理器、策略部件、目标函数、效用器、感知器以及处在感知融合基础上的世界模型。从此软件的外在行为方面而言,其可以对外界环境的改变展开一定的感知,可以同相关的软件展开合作,还可以影响外界环境的变化。由此可以看出,消息处理器、效用器以及感知器是该软件的重要组成部件,在设计的时候一定要对其展开详细的分析。其中感知器是用来输入相关数据的,对外界环境以及系统运行状态进行一定的检测,完成相应对认证软件的维护。所以,认证Agent一定会具备实时定位与识别网络环境的作用,也就证明了该系统是值得推广的。通常情况下,认证Agent的状态主要有六种:认证失败(0)、认证成功(1)、认证超时(2)、封网(3)、解网(4)以及正在认证(5)。一般将认证超时理解为主机系统的运行情况不在可控网络中,这时就不需要管理员对其展开相关的监控操作,认证Agent要将主机的全部数据包展开放行操作。当认证失败与封网的时候,主机的所有数据包均会被阻塞,而当处在正在认证状态的时候,只有相关的认证数据包才能够通过。
通常情况下,网络系统的初始认证状态是认证失败,其转换的过程主要包括以下步骤:一是,在进行初始化的时候,如果检测到封网状态,就可以将其认证状态设置成封网;二是,对封网状态进行实时检测,如果确认是封网,就将其设置为封网;三是,当认证超时的时候,就将其状态设置成认证超时;四是,如果不是认证超时,并且还检测到了CN,一定要进行空操作;五是,如果不是认证超时,并且没有检测到CN,就可以将其状态设置成认证超时;六是,在认证超时的状态下,还检测到了CN,一定要自行开展重新认证,如果认证失败的话,就将其状态设置成认证失败,相反就是认证成功。开展这样的操作就能够有效的防止恶意攻击与通讯。
软件认证的实现主要可以从三个方面展开分析:身份属性、通信接口以及功能属性。身份属性也就表示认证软件一定要有自己的标识名称,主要就是负责软件的管理与合作,同时在网络系统内部此项名称是唯一的。在可控网络安全系统中,该软件的名称主要包括两个部分:一是逻辑名称,说明软件目前的位置,利用相应的IP地址表示;二是物理名称,在网络范围内具有唯一性,用于绑定硬盘序列号、中央处理器序列号以及用户名的身份认证,进而对主机与用户进行划分。通信接口基本上就是软件通信的一种规范与流程,主要体现为数据包与协议。功能属性主要指的就是认证、检测软件的执行环境以及实现软件的自我保护。
3 Agent软件的保护机制
因为Agent软件能够被用户有意或者无意之间破坏,所以,在可控网络安全系统中一定要对其展开相应的保护。与此同时,相关的网络用户还可以利用新设备或者重装系统等行为避免认证,进而展开非法访问网络的行为,所以,一定要对认证软件的执行环境展开监测操作,及时发现并且制止这些不安全的现象,保证网络系统运行的安全性。通过对网络系统的内核进行安全加固,能够完成对认证软件的静态保护操作,也就是对相关文件、注册表以及进程的一种保护。此时认证软件是采用一致的驱动程序对相关文件、注册表以及进程展开保护。并且静态保护也只是针对安装了认证软件的系统进行保护,没有办法处理一些恶意躲避认证的行为。所以,在可控网络安全系统中一般采用的均是动态方式,并且可以敦促相关用户改正不良行为,此项技术也被称之为自我保护检测技术。主要就是由控制中心对网络主机进行判断其认证软件的部署状态,先决条件就是一定要分析其主机在线的实际状况。其运行原理就是:控制中心将相应加密的认证数据包发送到相应的在线主机上,如果有验证数据回应,就表示相应的主机是合法的,要不然就是非控节点。在发现存在非控节点的时候,相关的管理员与控制中心一定要实施相应的保障措施,部署正确、安全的认证软件。
可控网络安全系统的在线监测协议就是ARP协议,可以处理一般的监测方法,比如,TCP SYN、TCP ACK等,但是相应的处理效率就比较低,通常情况下需要对端口进行逐一的测试。各个网络系统是由相应的路由器予以划分的,ARP数据包通常不能跨越路由器,只可以在同一个网段范围内进行传播。同时可控网络安全系统也可以授权给相关可信的可控节点进行检测工作。其原理就是:控制中心需要对在同一网段范围内的IP地址进行相关的检测,对其其他相关的网络可以由可信的可控节点检测,在完成相关检测工作之后,将检测信息发送到控制中心。
4 结束语
总而言之,与网络信息资源相关的安全服务主要有身份认证、安全审计以及漏洞检测等方面,在分析可控网络安全系统的时候,一定要基于安全性标准、容易达成以及综合功能的方面,采取多Agent软件系统的智能化与自主化,在确保网络系统安全性的基础上,对网络系统的运行环境与状态转换进行认证,同时采取非对称的加密技术,确保认证软件通信的迁移以及安全性。之后运用ARP协议实现Agent软件执行环境的检测工作,进而达到静态与动态的双重保护。
参考文献:
[1]陈国龙,陈火旺,康仲生.基于内容的网络信息安全审计中的匹配算法研究[J].小型微型计算机系统,2004(09).
[2]杜春燕,黄宪,陆建德.一种改进的基于PKI/ECC的IKE协议设计[J].微电子学与计算机,2006(05).
[3]周剑岚,罗健峰,冯珊等.基于移动智能体技术的先进日志审计系统[J].华中科技大学学报,2005(04).