网络安全相关认证篇1
关键词:校园网;认证系统;体系;安全问题
中图分类号:tp393文献标识码:a文章编号:1009-3044(2017)04-0037-02
网络安全认证结构是一个较为复杂的系统化工程,要针对系统软件和人员制度进行系统化分析,要结合网络安全技术进行集中处理,从而保证不同安全问题能得到有效认证和处理,明确校园安全保护方面的需求,从而积极落实动态化安全模型,利用有效的解决方案,确保高效稳定网络运行环境。
1常用网络安全技术分析
在实际网络安全技术管理过程中,要针对实际管理结构建构系统化管控机制,目前,较为常用的网络安全技术主要包括以下几种。
第一,数据加密技术。在网络管理机制中,数据加密技术是较为重要的安全技术结构,在实际技术应用过程中,主要是利用相应的加密算法建构系统化的计算模型。
第二,身份认证技术。在实际技术结构建立过程中,借助计算机以及网络系统对操作者的身份进行集中关注,并且按照身份信息以及特定数据进行综合分析,计算机借助用户数字身份对用户身份的合理性。要结合物理身份以及数字身份的对应进行集中处理,从而保证相应数据的安全性。
第三,防火墙技术。防火墙是网络安全的基本屏障,也是内部网络安全性提升的重要技术结构,主要是借助相关软件和系统对不安全流量以及风险进行集中处理,确保安全隐患得到有效维护,利用协议对内部网络进行集中处理。在防火墙技术中,要对网路存取以及访问记录进行集中审计。
2校园网络体系分析
2.1校园网络认证系统
在校园网络体系建立过程中,要针对相应问题进行集中处理,作为高校信息化的基本平台和基础设施,在实际工作中承担着非常重要的作用。因此,要结合高校实际建立切实有效的校园网认证系统,从技术结构层面要积极落实自身网络规模和运营特点,确保校园网络体系认证系统能满足安全高效的工作管理机制。目前,多数高校校园网络都利用以太网,建立局域网标准,并且结合相应的网络体系建构校园网认证模式。
利用以太网对接入认证方式进行处理,主要是利用pppoe认证模式、802.1认证模式以及web认证模式等,能结合相关协议对其逻辑点进行综合连接。在认证机制管理过程中,要对认真协议以及访问控制进行综合分处理,从而支持业务和流媒体业务处理业务,确保应用效果切实有效。
2.2校园网络安全问题分析
在校园网络安全管理过程中,要结合相关问题进行集中处理,并且积极落实有效的高校信息化建设机制,在校园网运行过程中,主要是针对高校教育以及科研基础设施进行综合管控,承担科研以及管理任务。网络实际应用过程中,会区别于商业用网络以及政府用网络。其一,网络组成结构较为复杂,分为核心、汇聚以及接入等层次,会直接分别划分为教学子网络、办公子网络以及宿舍子网络等,在对其接入方式进行分析时,并且建构双出口结构。利用多层次和双出口特征,导致校园网运行结构中存在复杂网络环境。其二,在高校校园网运行过程中,网络应用系统和功能较为复杂,同时要满足教学信息交流和科研活动,在运行电子邮件系统和网络办公系统的基础上,教学中应用在线教学系统,日常生活应用一卡通系统,提高整体应对安全隐患的能力。
2.3校园网络安全需求分析
在校园网络安全需求分析过程中,需要对校园网络进行分层管理,确保管控机制和管理维度的有效性,作为大型网络区域,需要对相关协议以及网络运行结构进行细化处理和综合解构。在处理校园网络系统物理结构和安全问题方面,需要技术人员结合校园的实际问题建构有效的校园网认证系统。由于网络应用人群数量基数较大,且安全隐患性问题较多,需要建构系统化且具有一定实际价值的校园网安全支持系统。
在对网络安全需求结构进行分析的过程中,第一,建立网络边缘安全区域,网络边缘安全主要是在校园网和外界网交界处,利用相应的访问数据管理机制,对其进行集中管控。主要包括接入校园内网、信息共享上网体系、远程访问服务网络、服务器、接入CeRnet,接入CHinanet等,能禁止外部用户非法访问校园网数据,隐藏校园网内网的ip,并且能为校园网提供更加安全可靠的远程访问服务项目。第二,建立汇聚安全区,应用校园w络骨干节点,并且对网络之间的高速以及稳定进行集中处理。第三,服务器安全区域,要结合外服务器区域以及内服务区域,对其内容和信息进行集中处理,并且保证高风险区域得到有效处理,以保证通讯结构不受到影响。校园网应用系统较多,要对安全性进行针对性分析,确保实施隔离后各个区域能满足相应的管理需求。第四,接入网安全区,在接入网安全问题处理过程中,由于越来越多的病毒会导致二层协议受到漏洞影响,校园接入网络的布点较多,人员组成较为复杂,针对端口环路问题要进行集中管理和层级化处理,确保相应的安全性得到有效维护。
3校园网认证系统的安全体系
3.1校园网认证系统的安全风险和应对措施
在校园网认证系统建立和运行过程中,要对校园网认证安全风险进行综合评估。
其一,应用层面对的安全风险,主要包括病毒木马攻击、缓冲区溢出问题、逆向工程问题、注册表供给问题以及社交工程问题等。攻击依赖关系中主要是aRp攻击、Sniffer攻击以及病毒直接攻击等。针对上述问题,技术人员要提高程度的安全性,并且确保学生能提高安全防护意识,而对于aRp攻击项目,需要应用高安全性加密算法取代弱加密算法,并且宝恒用户登录信息不会存储在注册表内。
其二,表示层、会话层、传输层的安全风险,主要是来自URL的编码攻击、会话劫持问题以及DoS攻击等,依赖的是Sniffer攻击,需要技术人员针对相关问题进行集中的技术升级和综合处理。
其三,传输层的安全风险,主要是来自于ip地址的攻击,需要技术人员针对相应适配结构安装有效的防火墙。
其四,数据链路层的安全风险,主要是来自于aRp攻击,依赖关系是Sniffer攻击,利用相应的aRp地址绑定能有效的应对相关问题,建构更加有效的管理系统。
其五,物理层的安全风险,主要是Sniffer攻击以及直接攻击,针对上诉问题,需要技术人员利用相应的手段对poSt进行有效消除,并且去掉数据中的maC地址密文,以保证有效地减少秘钥泄露问题,并且要指导学生提高网络安全防护意识。
3.2校园网认证系统的接入层安全设计
在校园网络系统中,接入层是和用户终端相连的重要结构,在实际认证系统建立过程中,由于接入层的交换机需要承受终端的流量攻击,因此,技术人员需要对其进行集中处理和综合管控,确保其设计参数和应用结构的有效性。
其一,利用aRp欺骗技术,对于相应的缓存信息进行集中处理和综合维护,并且保证相应参数结构不会对网络安全运行产生影响,也能针对aRp攻击进行有效应对,从而建立切实有效的防御体系,借助修改攻击目标的aRpcache表实现数据处理,从而提高校园网认证系统的安全性。
其二,用户身份认证部署结构,为了更好地满足校园网的安全需求,要积极落实有效的管理模式,由于接入用户识别和认证体系存在问题,需要对网络接入控制模型进行集中处理和综合管控,提高认证结构资源维护机制的同时,确保相应认证结构得以有效处理。
3.3校园网认证系统的网络出口安全设计
校园网认证系统建立过程中,出口安全设计是整个网络安全体系中较为重要的项目参数结构,需要技术人员针对其网络通道进行系统化分析和综合处理,确保安全设计内部网络和外部资源结构之间建立有效的平衡态关系,并对性能问题和内网访问速度,并对光纤服务器进行综合分析。
3.4校园网认证系统的网络核心层安全策略
网络核心层是交换网络的核心元件,也是安全策略得到有效落实的基本方式,核心层设计要对其通信安全进行集中处理,并有效配置aCL策略,对其进行访问控制,从而保证端口过滤得到有效管理。在核心层管理过程中,要对VLan进行有效划分,也要对安全访问控制列表进行有效配置,对不同子网区域之间的访问权限进行有效管理,为了进一步提高关键业务实现系统的独立,从而保证网络管理系统和隔离系统的优化,实现有效的数据交互,确保访问权限得到有效分类,也为系统整体监督管理的优化奠定坚实基础,并且积极落实相应的配置方案。只有对病毒端口进行集中过滤,才能保证网路端口的扫描和传播模型进行分析,有效处理病毒传递路径,保证访问控制列表的有效性,真正落实病毒端口过滤的管理路径,保证管理维度和管理控制模型的有序性。
4结束语
总而言之,校园网认证系统的管理问题需要得到有效解决,结合组织结构和网络多样性进行系统升级,并针对地理区域特征和网络基础设施等特征建构系统化处理模型,对于突发性网络需求以及校园网网络堵塞等问题进行集中处理和综合管控,从根本上提高校园网网络维护和管理效率。在提高各层次网络安全性的同时,积极建构更加安全的校园网认证系统,实现网络管理项目的可持续发展。
参考文献:
[1]杜民.802.1x和web/portal认证协同打造校园网认证系统[J].山东商业职业技术学院学报,2015,10(6):104-107.
[2]冯文健,郭小锋.利用RouteroSHotspot认证架构低成本校园网认证系统[J].柳州师专学报,2016,24(3):131-133.
网络安全相关认证篇2
当前,无线网络技术正在被广泛的应用到校园信息化建设之中,具有高灵活性、可移动性、开放性等特点。但是,由于无线网络本身所具有的这些特点,造成用户量大、密度不均、应用多样和环境复杂等问题,无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源,对校园无线网络安全建设实践进行了分析与探究。
关键词:
无线网络;安全;防范
高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。
1无线网络安全面临的主要问题
1.1访问权限的控制
学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。
1.2攻击主机的主动识别和防护
动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;
2无线网络安全主要的设计内容
基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用web认证模式,无线控制器和学校目前采用的aaa认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-oS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-oS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线ap接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。
2.1学生数据加密安全
无线ap通过wep、tKip和aeS加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.2虚拟无线分组技术
通过虚拟无线接入点(Virtualap)技术,整机可最大提供16个eSSiD,支持16个802.1QVLan,网管人员可以对使用相同SSiD的子网或VLan单独实施加密和隔离,并可针对每个SSiD配置单独的认证方式、加密机制等。
2.3标准Capwap加密隧道确保传输安全无线
ap接入点与网络无线控制器以国际标准的Capwap加密隧道模式通信,确保了数据传输过程中的内容安全。
3安全准入设计
无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署aaa服务器,通过aaa服务器实现无线用户身份认证。通过引入aaa服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。
4安全审计设计
无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行nat转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。传统的日志审计平台只记录了出口设备的nat日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错误。为了加强出口行为管理和日志记录,解决安全审计方面的问题,安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录nat日志、流日志、URL日志、会话日志等,并可存储3个月以上,满足公安部82号令相关要求,学校也可对相关安全事件有效溯源。日志对于网络安全的分析和安全设备的管理非常重要,网关设备采用统一格式记录各种网络攻击和安全威胁,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。nat日志查询(如图1所示)。在充分考虑校园无线网络安全设计的前提下,对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时,提升用户信息安全意识,从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”,才能更好的应对网络安全问题,提高校园信息的安全性,为师生提供安全可靠的无线网络服务。
参考文献
[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).
[2]冯博琴,陈主编,吕军,程向前,李波编.计算机网络简明教程[m].北京:高等教育出版2009.
网络安全相关认证篇3
关键词:电子商务pKiCa网络公证
引言
电子商务逐渐成为21世纪经济生活的新领域,它可以大幅度地降低交易成本,增加贸易机会,简化贸易流程,改善物流系统,提高贸易效率,推动企业和国民经济结构的改革。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于internet的电子交易过程中与传统交易方式一样地安全、可靠。从安全和信任的角度来看,传统交易方式的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,建立交易双方的安全和信任关系相当困难。如何解决电子商务中的信用及网络传输中的安全问题,如何判别网上交易对方的真实身份,如何固化并保存网上的交易内容并使之成为有效的法律证据,如何履行网络合同中最敏感的资金支付等一系列问题已构成了电子商务发展的障碍,建立完善的电子认证体系已成为电子商务发展的关键。
为解决internet的信息安全,世界各国对其进行了多年的研究,初步形成了一套完整的解决方案,即目前被广泛采用的pKi(publicKeyinfrastructure)技术,pKi技术采用证书管理公钥,通过第三方的可信任机构即认证中心Ca(Certificateauthority),把用户的公钥和用户的其他标识信息如名称、身份证号等捆绑在一起,在internet网上验证用户的身份。目前,通用的办法是采用建立在pKi基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息在网络上的安全传输。
完整的pKi应包括认证政策的制定、遵循的认证规则技术标准、运作制度的制定、所涉及的各方法律关系以及技术的实现。笔者就网络电子认证体系采用网络公证从法律制度与安全技术相结合的角度做了探索性研究,并尝试对网络公证以解决网络中的信用安全给出了一整套解决方案。
国内Ca的现状
互联网的开放性大大降低了网络环境的可信性。电子商务中的交易信任问题成为信息安全的主要问题和关键问题,而信任是交易的基础。为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,还必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体在网上信息交流及商务交易活动中的身份证明,该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是Ca认证机构。各级Ca认证机构的存在组成了整个电子商务的信任链。如果Ca机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
电子商务对网络安全的要求,不仅推动着internet上交易秩序和交易环节,同时也带来了巨大的商业机会。自1998年国内第一家以实体形式运营的上海Ca中心成立以来,全国各地、各行业纷纷上马建成了几十家不同类型的Ca认证机构。如果从Ca中心建设的背景来分,国内的Ca中心大致可以分为三类:行业建立的Ca,如CFCa,CtCa等;政府授权建立的Ca,如上海Ca,北京Ca等;商业性Ca。不难看出,行业性Ca不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与Ca中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性Ca更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安Ca认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性Ca,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性Ca离不开与银行、邮电等行业的合作。
国内Ca存在的问题
在电子商务系统中,Ca安全认证中心负责所有实体证书的签名和分发。Ca安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,Ca的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。在技术层面上,由于受到美国出口限制的影响,国内的Ca认证技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。在应用层面上,一些Ca认证机构对证书的发放和审核不够严谨。目前国内相关的Ca中心在颁发Ca证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人员往往是Ca中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的Ca中心本身往往也是交易或合同的一方,难免存在不公正性。为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公证性。在分布格局上,很多Ca认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
电子商务认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入wto后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内Ca认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,笔者认为网络公证方案是电子商务安全与信用的一个整体解决方案。
转贴于
网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的Ca安全认证体系。以pKi技术为核心的Ca证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络Ca电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的Ca证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用Ca证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的Ca中心以及其他纯商业性的Ca中心是不符合国际惯例的。
一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在Ca证书的发放中,最关键的环节是Ra(Registrationauthority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的Ca公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从Ca公司那里获得个人Ca证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得Ca证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点具有很大的难度。因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到Ca证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请Ca证书时,即可到所在地的公证机构进行离线的面对面审核,也即Ra审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过Ra审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证Ra审核后所颁发的Ca证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行Ra审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与Ca中心以及其他公司相配合,为其发放Ca证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,Ca在现阶段的应用已趋成熟,pKi公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
保存网络中的数据,使之成为有效的法律证据
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用Ca证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,彻底解决了网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
参考资料:
1.姜新、汪秉文、李斌,电子支付网络系统中的保密通信研究,计算机应用与软件,2002年第9期
网络安全相关认证篇4
[关键词]电子商务网络CapKi
随着网络技术和信息技术的发展,电子商务已经被普通百姓所接受,它将逐步取代传统商务活动,并有可能彻底改变贸易活动的本质,形成一套全新的贸易活动框架。但由于多种原因,电子商务的安全性仍然得不到有效的保障。为了解决电子商务的安全问题,世界各国经过多年的研究,初步形成了一套比较完整的解决方案,即公开密钥基础设施pKi(publicKeyinfrastructure)。pKi是基于公开密钥理论和技术建立起来的、提供信息安全服务的具有通用性的安全基础设施,可以保证网络通信、网上交易的安全。它采用证书进行公钥管理,通过
第三方可信任机构———认证中心Ca(Certificateauthority),把用户的公钥和用户的其他标识信息(如用户名、email地址、身份证号码等)捆绑在一起,从而实现用户身份的验证、密钥的自动管理等安全功能。而电子商务它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。电子商务仍须严谨地按照传统交易规则进行。与传统交易模式相比较,除了利用了更为便捷高效的网络媒介手段外,整个交易流程没有改变,交易各方仍须经过互相确认身份、邀约及承诺、合约履行三个环节。
在商务活动中,公证司法证明权也必需在网上的实现,而这种在网络上进行的证明,有别于纸介质的书面证明方式,我们称之为“网络公证”(Cybernotary)。
一、国内Ca的现状
Ca认证机构是电子商务发展的需要。各级Ca认证机构的存在组成了整个电子商务的信任链。如果Ca机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。自1998年国内第一家以实体形式运营的上海Ca中心成立以来,全国各地、各行业已经建成了几十家不同类型的Ca认证机构。从Ca中心建设的背景来分,国内的Ca中心可以分为三类:行业建立的Ca,如CFCa,CtCa等;政府授权建立的Ca,如上海Ca、北京Ca等商业性Ca。不难看出,行业性Ca不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与Ca中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性Ca更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安Ca认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性Ca,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性Ca离不开与银行、邮电等行业的合作。
二、国内Ca存在的问题
在电子商务系统中,Ca安全认证中心负责所有实体证书的签名和分发。Ca安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,Ca的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。
1.在技术层面上
标准不统一,既有国际上的通行标准,又有自主研发的标准,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
2.在应用层面上
一些Ca认证机构对证书的发放和审核不够严谨。从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的Ca中心本身往往也是交易或合同的一方,难免存在不公正性。在分布格局上,很多Ca认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
三、认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入wto后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内Ca认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,我认为网络公证方案是电子商务安全与信用的一个整体解决方案。
1.网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的Ca安全认证体系。以pKi技术为核心的Ca证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络Ca电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的Ca证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用Ca证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的Ca中心以及其他纯商业性的Ca中心是不符合国际惯例的。一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在Ca证书的发放中,最关键的环节是Ra(Registrationauthority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的Ca公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从Ca公司那里获得个人Ca证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得Ca证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点,目前还具有很大的难度,因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到Ca证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一的网络—中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请Ca证书时,即可到所在地的公证机构进行离线的面对面审核,也即Ra审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过Ra审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证Ra审核后所颁发的Ca证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行Ra审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与Ca中心以及其他公司相配合,为其发放Ca证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,Ca在现阶段的应用已趋成熟,pKi公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
2.网络中的交易数据的安全保存
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用Ca证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
3.网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,将彻底解决网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
网络安全相关认证篇5
【关键词】计算机;网络安全;现状;对策
随着计算机信息技术的发展和网络的普及,保证计算机网络安全已经成为计算机领域普遍关注和研究的课题。计算机网络安全包括计算机网络系统中的硬件、软件以及系统中的信息数据能够得到及时保护,从而在计算机网络受到攻击时可以充分保证内部信息不受侵害,防止由于外界干扰导致的内部信息被篡改或者泄密状况的发生。当前,计算机网络安全直接关系到计算机应用的效果,因此,针对当前计算机网络安全现状进行分析并提出相关解决对策是至关重要的。
1.计算机网络安全现状
1.1计算机网络基础设施条件较差
当前,计算机网络面临着各种各样的安全问题,对计算机安全运行构成了巨大的威胁。我国作为计算机发展水平有待提高的国家,网络安全问题更为严重,在预防、反应和恢复等方面存在着很多不足之处,这种基础设施条件的缺陷就导致计算机网络安全问题。除此之外,计算机设备的老化以及电磁辐射干扰都因素都会导致计算机网络安全受到不同程度的威胁,导致计算机信息存储的障碍,难以充分保证计算机的安全运行。
1.2缺乏自主的核心软硬件技术
当前,我国在计算机软硬件方面还处于发展状态,大部分软硬件关键部件都是源自国外进口,其中,一些核心的设备以及操作系统都不是自主开发的,因此,缺乏核心技术的应用就很难保证计算机网络的安全性和不可摧毁性,这就必然导致计算机网络方面的漏洞,因此,计算机网络就更易受到入侵,阻碍了计算机系统的正常使用,导致了信息的泄露以及篡改。
1.3计算机网络安全意识相对淡薄
近年来,计算机网络安全问题层出不穷,网络安全问题在广播电视的曝光率也越来越高,但是,计算机网络安全问题受到的重视程度仍然不够,人们对计算机网络安全的意识相对淡薄,并且缺乏计算机网络安全的认识,在网络安全层面还存在着许多误区。一些计算机用户应用计算机网络工作和娱乐,自认为离网络安全问题远之又远,因此,从自身意识上对网络安全重视程度不够,在网络安全方面过多依赖于杀毒软件,对安全方面认识还停留在较为粗浅的阶段。因此,目前我国计算机网络安全防范水平不高,这要部分归因于计算机网络使用群体的安全意识淡薄的趋势。
1.4计算机网络安全防护措施不够
计算机网络是一个动态性的系统,在网络的使用过程中既可以给人们带来便利也蕴藏着巨大的安全威胁。因此,在计算机网络的使用过程中,一些用户对计算机网络安全认识不够透彻,计算机网络安全防护措施不到位,在这种安全隐患存在的情况下,一些用户进行相关网络操作就极易造成计算机安全问题,使计算机操作系统以及软硬件的漏洞被暴露出来,从而给用户的使用带来了严重的威胁。计算机网络要想安全运行,就要充分保证防护措施的建立效果,从而使计算机在安全的环境下运行。
2.计算机网络安全防范对策
2.1提高计算机网络安全意识
当前,计算机应用越来越广泛,在各个领域计算机都发挥着至关重要的作用。因此,计算机网络安全防护就要充分保证计算机的安全运行,从而使计算机信息得以保护。所以,就要提高计算机网络安全管理意识,要使用户切实认识到计算机网络安全对计算机运行的重要作用,要对用户灌输网络安全威胁的严重后果,使用户从自身自主提高网络安全意识,并自主进行安全防护机制的建立,只有这样,才能使计算机网络得以充分保护,保证计算机的安全顺利运作。
2.2建立网络安全机制
在计算机网络安全的完善过程中,要逐步建立网络安全机制,从而切实保证计算机的安全,防止安全漏洞的发生。首先,就要建立身份认证机制,其中包括访问控制安全机制,在用户使用计算机系统或者访问资源数据时,要验证用户的身份,从而保证访问者的真实合法性,对不能完成认证的用户坚决禁止其访问各种网络资源。其次,要建立访问控制机制,要设置不同的访问权限,主要建立自主访问和强制访问控制两种。自主访问控制是依据主体的设定来限制客体的访问,也就是资源的拥有者可以设定允许访问的资源需求者。强制访问控制要对不同的主客体进行安全级别的设置,从而通过安全级别来决定是否拥有访问权限。计算机网络安全机制的建立可以对资源的访问者进行设定,从而使允许访问的用户可以访问资源,不允许访问的用户则被列在权限之外,由此可以充分提高计算机网络的安全系数,优化计算机网络的安全运行环境。
2.3优化系统访问控制
在计算机网络安全措施建立的过程中,要不断进行系统访问控制的优化,为计算机网络建立防护平台。首先,可以建立入网访问控制,保证计算机网络的访问只限定在有权限的用户,还可以细化到入网的时间和地点,从而为网络安全提供第一层保护。除此之外,建立网络服务器安全控制措施,设定网络管理人员对系统目录的访问,从而排除其他人员的访问和使用,对服务器进行相关设定,使服务器设定为软件必须从系统目录进行安装,从而提高软件的安全性。再次,要对计算机防火墙功能进行优化和改善,要建立双层机制,外层防火墙用于过滤,内层防火墙用于阻隔,并且在内外部之间建立特殊的单独区域,从而使内部防火墙充分发挥作用。最后,对计算机网络数据资料进行加密处理,从而对一些重要的信息进行保护,从而阻隔非法用户对关键信息的侵入和获取,最大限度的保证计算机网络资源的安全性,保证计算机的正常运作和安全运行。
参考文献
[1]姜川.试论计算机网络安全与防范[J].数字技术与应用,2013(1)
网络安全相关认证篇6
1引言
随着“互联网+”等现代信息技术的发展,新的网络时代已经到来。网络信息安全不仅关系到个人信息安全,更关系到国家安全稳定。所以网络信息安全是一个复杂的综合性问题,高速发展的信息技术为网络安全管理增加了难度,引发了新的网络安全问题,如何有效保障网络信息安全成为值得深思的重要问题。
2网络信息安全的内涵
网络信息安全是一个关系到国家安全和主权、社会稳定的重要问题。从内涵上来讲,网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。它主要是指要保护网络环境下系统的硬件、软件和相关数据的安全,让网络系统不能遭到破坏或泄露数据信息,使系统能够正常可靠运行,不停止网络服务。
3网络信息安全的特征
3.1保密性
网络信息安全的主要特征就是其具有保密性。网络信息需要按照既定的要求,传递过程中不得泄漏给非授权的个人、实体,或提供给其他人员利用,也就是强调有用的信息只能被授权对象所使用,非授权个人或实体无权使用。
3.2统一性
又称为“网络信息的完整性”。它主要是指信息在传输、交换、存储和处理过程中具有保持非修改、非破坏和非丢失的特性,即保持信息原样性,能正确生成、存储、传输信息,这是最基本的安全特征。要求数据结构和当前值严格保持一致和统一,预防未经授权的人擅自修改。
3.3肯定性
网络信息行为人发出信息后将无法否认自己曾经发出的信息,也无法否认接收方接收的信息是否与自己发出信息一致,故所有参与者都不可能否认或抵赖其真实身份,以及提供信息的原样性和完成的操作。网络信息安全的肯定性可以利用数字签字、数字邮戳、数字凭证和认证中心等技术和手段维护网络系统安全。
4网络信息安全保障体系
网络信息安全保障体系模式建设主要着眼在技术、立法和管理三个方面。技术是基础,立法是规范,管理是提升,这三个方面互相联系,互相制约,构成有机整体,如图1所示。因为信息安全本身就是一个需要综合治理的问题,仅靠一个方面并不能解决实际问题。
4.1技术方面
技术是网络信息安全保障体系的基础。网络病毒与反病毒、侵害与反侵害的斗争,主要是体现在技术方面。所以抓好信息安全的技术环节,将会有效遏制网络犯罪。
4.1.1网络认证技术
由于网络用户的不断增加,有些别有用心的人通过黑客技术进行信息盗取,危害网络环境。认证是防止主动攻击的重要技术,目的就是检查网络信息的统一性,检查信息发送者信息的真伪。目前主要的认证技术有身份认证、消息认证以及数字签名等。
4.1.2网络防火墙技术
网络防火墙技术是用来阻挡外部不安全因素影响内部网络的屏障,外界网络访问不经过防火墙的验证将无法连接到用户终端。常见的防火墙技术有基于服务技术、包过滤技术等,这些技术可以防止外部网络对内部网络中重要信息的非授权访问,有效提升网络的安全性。
4.1.3网络信息加密技术
网络信息加密技术主要是在网络上信息传输时,在发送端对信息进行加密,利用一定的加密算法,将明文转换成密文,再在信息的接收端对信息进行解密还原,这样就能够阻止非法用户获得和截取原始数据,从而确保网络信息的保密性。
4.2立法方面
4.2.1建立网络信息安全总法
总法主要体现在建立网络信息安全管理中主体、责任、义务等方面,主要阐述总法的目标和原则,明确网络中各个主体的权利及义务,建立网站身份认证,实施网络后台实名制,保护网络主体的隐私权,推进网络信息保密制度,完善行政机关对网络信息安全的监管程序和制度以及规定具体的诉讼救济程序等。
4.2.2建立网络信息安全单行法
鉴于网络社会更新发展速度快,而规范立法滞后的特点,在总法下,可建立专门保护网络商业信息安全以及网络个人信息安全的单行法。例如现可以通过立法保障电子支付等各个方面的网络信息安全问题,减少电子商务、通信服务的障碍,保障个人的信息安全,减少违法犯罪。
4.2.3完善其他法律中有关信息安全的规定
在总法或单行法未出台或者未规定前,新出现的网络信息安全问题可以通过修改现有法律来规范,及时处理网络发展、网络监管和网络服务中存在的问题,完善网络信息安全的相关条款,这也是网络信息安全立法的一部分。
4.3管理层面
网络信息安全不仅涉及到技术和立法,重要的是管理。要通过加强管理来提升重要信息的安全性。
4.3.1建立权威性的管理机构
针对国家面临的重大信息安全事件,统筹规划,做出决断。2014年“中央网络安全和信息化领导小组”在北京成立,说明国家高度重视网络安全和信息化工作。同时要求工业和信息化部、公安部做好网络安全及相关信息安全管理工作,维护国家信息安全,监督处理网络安全舆情,建设国家信息安全保障体系。
4.3.2明确具体执法部门职责
在网络安全执法过程中不能出现主体不清的现象。虽然《计算机信息系统安全保护条例》中明确规定由公安部负责全国计算机信息系统安全保护工作,而国家安全部、国家保密局等其他部门协助做好信息系统安全保护的有关工作,但是这些规定没有细化明确具体责任,容易造成在具体实施过程中出现职责冲突的情况。
4.3.3制定网络安全管理制度
一是明确网络信息系统中管理人员的权限、职责,制定人员管理制度,二是完善使用网络使用权限、身份认证、防火墙、数据备份等基本安全措施,制定计算机信息系统管理制度。
总而言之,“没有网络安全就没有国家安全,没有信息化就没有现代化”,在新环境下网络安全形势日益严峻,为了国家安全和社会稳定,我们要提高对网络信息安全的重视程度,增强网络信息的安全意识,重视网络信息安全技术应用,建立健全完善法律法规,加强信息安全管理,保障网络信息的安全。
作者简介:
网络安全相关认证篇7
关键词:802.1X身份认证网络安全RaDiUS服务器交换机
中图分类号:tp393.18文献标识码:a文章编号:1007-9416(2013)12-0087-01
1引言
802.1x协议是基于Client/Server的访问控制和认证协议。身份认证是在计算机网络中确认操作者身份的过程。基于802.1x协议的身份认证体系是根据用户iD,对网络客户端进行鉴权,它采用远程认证拨号用户服务方法,并将其划分为三个不同小组:请求方、认证方和认证服务器。利用该体系可以解决目前大多数医院对于局域网内用户匿名入网,用户上网行为无法受到监控,在发生安全事件后无法准确定位到人等网络安全问题。
2基于802.1x协议的身份认证体系
根据用户iD,对网络客户端进行鉴权,采用RaDiUS方法,并在体系中分配三个不同角色:请求者、认证者和认证服务器。请求者是处于整个网络链路中末端的实体,例如一台安装了支802.1x身份认证系统的pC机。由连接在该链路中的认证系统对其进行认证,用户通过启动客户端软件发起802.1x认证。认证者通常为支持802.1x协议的网络设备,例如一台支持802.1x协议的接入层交换机。它对请求接入网络的请求者进行认证,并为其提供服务端口,该端口可以是物理端口也可以是逻辑端口。认证服务器是为认证系统提供认证服务的实体,通常使用RaDiUS服务器,该服务器可以存储相关用户信息,例如ip地址、mac地址、端口等。将这些信息与认证者系统发来的请求者信息进行比对,从而完成认证和授权的过程。
3医院网络管理面临的安全威胁
在没有完善的身份认证系统的医院网络环境中,管理者需要面对诸多安全威胁。(1)匿名入网。管理者无法确认在网络中运行的计算机是否合法,究竟有没有医院以外的不法人员擅自将计算机接入医院网络也不得为知。(2)用户上网行为无法受到监控。在网内所有计算机可以随意访问服务器的资源,即使能够在服务器端制定出一些策略加以防范,但是随着应用系统的不算增加,往往防不胜防。(3)在发生安全事件后无法准确定位到人,给安全事件的排查带来很大的难度。
4基于802.1X协议的身份认证体系在医院网络管理中的应用实践
某医院采用了基于802.1X协议和Radius协议的身份验证体系,以防范上文所提及的网络安全威胁。该体系通过与网络交换机的联动,实现了对于用户访问网络的身份的控制。同时,采用用户名、密码、用户ip、用户maC、认证交换机ip、认证交换机端口号等多达6个元素的灵活绑定,来保障用户的身份正确性及唯一性,根据用户身份的不同,给于用户相应等级的网络访问权限。同时记录用户使用网络情况的日志,便于日后进行追查。
4.1部署方式
将身份认证系统客户端软件部署在网络中的所有计算机中,这些安装了身份认证系统的计算机就成为了该体系中的请求者。它们处于网络的最末端,即在支持802.1X的接入层交换机上进行身份认证,此时接入交换机起到了认证者的作用。同时,在核心交换机上接入认证服务器,以完成用户信息存储、核对、授权的过程。采用强制客户端的方式进行主机完整性检查等安全管理,即无法使用该体系进行身份认证的终端将无法使用网路资源。这种部署模式的好处在于,认证设备处于网络最边缘,能够控制的粒度最细,对用户端的管理权限最强。
4.2用户认证上线过程
当用户请求接入网络时,安装了认证系统客户端的计算机通过RaDiUS协议并使用“三次握手”的方式与接入交换机建立连接,进行身份认证的过程。当认证服务器接收到相关用户的信息时,将与已经存储在服务器上的信息进行比对,并将符合该用户权限等级的规则配置打包成eap报文附加在Snmpset报文中,并将Snmpset报文向交换机下发。交换机截取收到的Snmp报文中的用户配置,通过eapoL报文发送给认证系统客户端。在完成以上认证过程后,用户即可在允许的范围使用网络资源。
4.3强制用户下线过程
认证服务器将通知用户下线信息打包成eapfailure报文附加在Snmpset报文中,并将Snmpset报文向交换机下发。交换机截取Smp中的eapfailure报文发送给认证系统客户端。客户端接受到信息后将主机下线,并发送eaplogoff报文给认证服务器。认证服务器通过Snmp报文拆卸和用户相关的访问控制策略。通过强制下线的功能可以有效的阻止正在窃取重要资料的主机,或者正在攻击网络的主机,以最快的速度保护网络安全,避免更严重的损失。
5结语
通过本次研究,不难看出,基于802.1X协议的身份认证体系确实能够为医院的网络安全提供有力的保障。消除网络中匿名接入、无法追查网络使用情况等不安全因素,让不法分子难以遁形。但是网络安全仅仅依靠身份认证系统是远远不够的,而且随着信息技术的发展,目前看似可靠的系统也可能存在安全漏洞,故此我们应该在将未来的工作中继续学习与研究,探讨出更安全的网络管理方案。
参考文献
[1]edwinLyleBrown.802.1Xport-basedauthentication[m].BocaRaton:auerbach,2007.
网络安全相关认证篇8
水下战场环境涉及多维的作战空间和复杂的电磁环境,研究水下无线通信网络的安全风险,是研究适用于海战场水下无线通信网络安全保密技术及体系的前提。本文根据水下通信网络的特点,分析了水下无线通信网络的安全保密需求,研究了水声网络信息安全保密设计考虑要素,并对认证与完整性问题进行了探讨,可为研究军用水声网络安全保密体系提供借鉴参考。
关键词:
水声网络;安全保密;风险
1引言
现代战争需要及时获取尽可能全局的敌我信息和环境信息,准确识别目标,得出战场态势并进行信息共享,及时做出有利的战略决策或战术决策,以立于不败之地。而水下战场环境涉及多维的作战空间和复杂的电磁环境,面临各种威胁和攻击,所以保证其通信网络的安全性和可靠性是首要问题。由于水下环境和水下通信网络的特殊性,现有传统无线通信网络的安全技术不能直接移植应用到水下。因此,研究水下无线通信网络的安全风险,研究适用于水下无线通信网络的安全技术,使水下无线通信网络能更好地、更安全地为构建一体化的水下信息预警探测网络、有效扩大信息优势、增加侦察和捕获目标的范围和效力提供重要支撑作用。
2水下网络特点与隐患
利用水下通信网络进行预警探测主要是建立反潜监视网络和海洋环境监视网络,包括水面舰艇、潜艇、水下UUV、浮标、海底声呐阵等。网络传感器节点主要装备有各类综合声呐、侦察声呐,探测声呐、噪声测距声呐、磁感应量测等设备。对于这些节点,当采用被动探测方式时,在对目标稳定跟踪后可获得的目标信息主要是方位;采用侦察方式或用侦察节点则可获得目标方位、载频、脉冲宽度和重复周期等数据;通过噪声测距节点可获得目标距离和方位。出于安全、隐蔽的考虑,舰艇(特别是潜艇)装备的声呐设备通常采用被动方式工作,只能得到目标的方位信息。由于海水声传播特性极其复杂,水下无线通信网络通常包括大量在水下分布的、能源受限的、自配置和自感知的传感器节点,在诸多方面不同于传统网络系统。军用水下无线通信网络具有如下重要特性:
(1)各种移动模式:尽管一些传感器以超音速移动,其他的水下节点可能是固定的。
(2)广泛的终端类型:范围广泛的设备,如传感器、单声道收音机和计算机,可能是军事水下通信网络的终端。
(3)可变的通信距离:通信距离从几米到几千千米,无线电波在海水中选择性衰减严重,无法满足远距离传输的要求,因此,水下无线通信系统多采用声波作为传输载体,但水声通信技术存在着难以克服的传输速率低、高延时、功耗大等缺陷。
(4)可变的通信介质特征:各种媒介类型(如有线、光纤、空气和海水)可台会组合起来使用。
(5)快速改变通信地点:被广泛的水下通信网络覆盖的区域可能需要清空,同时在一次军事行动中,同样的网络在不同的地区内几天之内能够安装好。
(6)敌对和嘈杂的环境:在水下战场,对方的通信设施是高优先级目标。此外上千的炸弹爆炸、车辆和故意干扰会产生噪声。
(7)突发流量:通信流量常常是与时间和空间相关的。长时间的无线电静默可能在特定的地区突然被极其密集的报告和通信需求打破,然而其他的地区保于静默。
(8)各种安全限制:非数据与数据在同一个通信信道里传输。
3安全设计考虑
在水下无线通信网络环境中,设计实现一个完善的无线网络系统时,首先要分析网络中存在的各种安全威胁,针对这些威胁提炼必需的安全需求,从而设计相应的安全方案,需要考虑的因素包括以下几个方面。
(1)无线传输信道。水下无线通信网络节点有严格的能量限制、低容量和微型传感器节点的小尺寸。在水下无线通信网络中,能量最小化假设具有重大意义,超过衰变、散射、阴影、反射、衍射、多径效应和衰落影响。总的来说,在距离d内传输信号需要的最小输出功率与dn成比例,其中2≤n<4。因此,有着更多跳数和更短距离的路径比那些少跳数长距离的路径,能效更高。
(2)网络体制。在水下无线通信网络中,一个中心点或一个关键节点的存在使得它们在敌对环境中更加脆弱。通过分析流量可能发现一个收集节点,并且在这些关键节点中监视或阻止所有数据流量。在水下无线通信网络中,节点间相互依靠来传送一个包。这种多跳自组织特性也带来了额外的弱点,使它们易受攻击。当一个恶意节点使其他节点相信它是一个中继节点时,它可以接收它们的包,且不转发它们。
(3)流量特性。在水下无线通信网络中,数据流量通常是与时间和空间相关的。网络节点覆盖范围通常是重叠的,因此当一个事件发生时,它在同一个区域触发多个传感器。时间和空间的相关性表明,对于某些区域和时间段来说过度使用,对另一些区域和时间段来说未充分利用。这给通信协议和算法设计包括安全方案带来了额外的挑战。当数据流量是相关的,对付流量分析攻击变得更具有挑战性。
(4)服务质量。在水下无线通信网络中,功率是首先要考虑的,当然这取决于应用。当网络用于军事实时应用方面时,延时也是一个重要的限制,通常和功率限制相冲突。对于这术的网络,带宽需求可能会高些。水下通信网络应用中,延时和带宽问题是一个最重要的挑战。对于声纳水下介质,传播延迟很长时间(平均每100m为67ms),容量十分有限(5~30kbit/s)。
(5)容错性。水下无线通信网络中的收集节点代表了故障的关键点。数据通过这些节点中继到外部系统,若它们不存在,网络将变得不相连。这在网络中尤其重要,因为如果传感器收集的数据没有到达用户,它们不会有任何用处,而且传感器节点中的数据只能通过收集节点访问。因此,它们可能成为拒绝服务攻击的重要目标,容错性方案应该考虑到这一点。
(6)操作环境。水下无线通信网络的设计是在恶劣和难以接近的地区无人值守运行的,这给容错方案带来了额外的挑战。此外,传感器网络可能在敌后的对抗性环境中。在这种情况下,它们易受物理攻击,且更容易篡改。
(7)能效问题。功耗是影响水下无线通信网络协议设计的最重要因素之一,这也需要安全方面的特殊处理。水下无线通信的安全方案必须在计算和网络需求方面都是低成本的。
(8)可扩展性。水下无线通信网络设计方案需要高度可扩展,这也影响到了安全协议。对于水下军事通信网络来说,可扩展需求和功率限制一起阻碍了后部署密钥分配方案的适用性,因此,在这种应用中,密钥应在节点部署之前先行部署。
(9)硬件成本。水下无线通信网络节点的存储和计算能力有限,因此,有着更少存储和计算需求的安全方案更适合于水下军事通信网络。
4认证与完整性设计
在一个安全的水下无线通信网络中,节点由网络授权,并且只有被授权的节点才被允许使用网络资源。建立这样一个网络的一般步骤包括自举、预认证、网络安全关联、认证、行为监控和安全关联撤销。在这几部分中,认证是最重要的,同时也是网络安全中最基本的一项服务。其它的基本安全服务例如机密性、完整性和不可抵赖性均取决于认证。秘密信息只有在节点进行互相验证和确认后才能进行交换。
4.1认证问题
在水下无线通信网络中,敌手很容易篡改数据,并把一些消息注入数据,这样接收者应该确保接收到的数据来自一个合法的发送方,并且没有被篡改过。数据认证允许接收方验证数据真正是由声称的发送方发送的。这样,接收方需要确保任何决策过程用到的数据来自正确的源节点。在双方通信情况下,发送方用秘密密钥计算消息内容的校验和,产生一个消息认证码(maC)。数据认证能被接收方验证,这个接收方拥有用于产生相同消息认证码(maC)的共享密钥和源消息。然而在水下多方通信中,比如基站广播数据给一些节点时,就不能使用对称的数据认证。这种情况下,可采用非对称机制如定时高效流容忍损耗认证(teSLa)。在这种方法中,首先发送方用密钥产生的消息认证码(maC)广播一个消息,这里的密钥稍后将公开。当节点收到消息时,如果它还没收到发送方透露的密钥,将首先缓存消息。当节点收到密钥以后,它将用密钥和缓存的消息产生消息认证码(maC)来认证此消息。teSLa的缺点是认证的初始参数应该单播给每一个接收方,这对拥有庞大数量节点的网络来说是低效的。因此将多级密钥链用于密钥分配中,初始参数是预设的,并广播给接收方,而不是单播发送,这样做增加了拥有大量节点网络的可扩展性,同时可抵抗重放攻击和拒绝服务攻击。
4.2完整性问题
数据完整性的含义是接收方收到的数据和发送方发出的数据是一样的。在水下无线通信网络中,如果一个节点被敌手捕获,敌手可能会修改数据或把一些错误的信息注入网络里。由于节点有限的资源和节点部署在恶劣的环境中,通信数据会丢失或被损坏,或数据的完整性可能会受到破坏。为了保护数据完整性,最简单的办法是使用循环冗余校验(CRC);另一个方法是使用基于加密的完整性方法,比如在认证时使用消息认证码maC,这会更加安全,但也更复杂。机密性可以阻止信息泄漏。然而,为了扰乱通信,敌手仍然可能会篡改数据。比如,一个恶意节点可能会在一个包里添加片段或操纵包中的数据。这个新数据包会被发送给原接收方。由于恶劣的通信环境,甚至都不需要出现恶意节点,数据就会丢失或遭到破坏。因此,数据完整性要确保任何接收到的数据在传输过程中不会被修改。
5结语
水下通信网络的迅速部署、自组织和容错特性使其在军事C4iSR系统中有着非常广阔的应用前景。因此需要针对水下无线通信网的威胁提炼必需的安全保密需求,从而设计相应的安全体系架构与安全方案,通常包括用户接入控制设计、用户身份认证方案设计、密钥协商及密钥管理方案设计等,以满足其安全保密需求。尤其是认证与完整性问题,是水下通信网络安全需要解决的首要问题,这也是今后开展研究工作的重点。
作者:张继永单位:海军计算技术研究所
参考文献
[1]吴学智,靳煜,何如龙.水声网络及其军事应用研究[J].电声技术,2012(08).
[2]郎为民,杨宗凯,吴世忠,谭运猛.一种基于无线传感器网络的密钥管理方案[J].计算机科学,2005(04).
[3]熊飞,吴浩波,徐启建.一种传感器网络的分布式信任模型[J].无线电工程,2009(08).
网络安全相关认证篇9
关键词可控网络系统;控制中心;身份认证;访问控制;边界控制
中图分类号tp393Doi:10.3969/j.issn.1672-9722.2016.03.021
1引言
随着网络规模的不断增加、网络设备的多样化和网络拓扑结构的复杂度不断增加,对网络安全提出了新的挑战,传统的网络管理已经不能适应当前网络安全形势的变化。针对当前网络中的安全威胁,为了解决传统网络安全技术功能单一,被动防护的问题,可控网络理论的研究逐渐兴起。可控网络理论是以网络控制论为核心理论,是以实现网络安全性为控制目标的网络安全控制理论[1]。接入控制是对节点接入网络及节点的访问权限进行控制,是信息网络安全的基础。因此,对可控网络中的接入控制进行研究,实现对网络节点的接入功能动态可控,对增强网络的安全性具有重要意义。
2可控网络中的接入控制系统
2.1相关理论知识
可控网络理论是在网络控制论的指导下的各种有关网络安全控制的理论,它以解决网络安全问题为着眼点,以网络安全性能为目标,整合集成现有的各种网络安全技术,构建高效的、科学合理的网络安全控制体系[2]。基于可控网络理论,通过反馈控制,实现网络安全性指标的网络系统,称为可控网络系统。可控网络系统的显著特点是通过施加一定的作用,使得网络的状态和行为在能够预期和把握的范围内。为了实现真正的网络安全,网络必须具有对用户行为高度的控制和管理能力,能够实现网络行为状态的监测、网络行为结果的评估和网络异常行为的控制,形成对网络行为的反馈闭环控制,提高网络安全防护能力[3]。接入控制是可控网络安全的第一道防线,包括边界控制、身份认证和访问控制三个方面。通过边界控制实现对内部网络(以下简称内网)与外部网络(以下简称外网)通信的管控以及对内网接入终端的控制,防止外网非法用户访问内网、内网用户访问非授权资源以及非法终端接入内网;通过身份认证,检查用户身份是否真实可信,防止非法人员违规操作获得不当利益;通过访问控制设计不同力度的访问控制策略,对进入可控网络中的用户的资源访问权限进行监督和限制。三者之间功能相辅相成能够有效地杜绝外界网络的安全入侵、非法用户的违规操作和合法用户的越权操作,确保了网络的安全性。
2.2接入控制系统的组成与功能
接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成,如图1所示。安全控制中心是可控网络的核心,主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及各种相应功能的服务器组成,其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控,确保系统的安全性与稳定性。边界控制服务通过设置相应的过滤规则对访问内网的用户及通信数据进行控制,从而达到保护内网中存在安全漏洞的网络服务的目的,同时实施安全策略对网络通信进行访问控制、防止内部网信息暴露;同时能够限制内网中的用户对外网的非授权访问。通过设定交换机端口、绑定网卡maC地址和ip地址等手段对接入子网的终端进行限定,以此来限定内网的边界。身份认证服务通过相应的认证协议对可控网络中的用户进行身份的鉴别,从而确保非法用户被拒绝于应用服务之外。身份认证的本质是被验证者与验证者之间执行多次信息协商后,由验证者确认被验证者的身份是否真实可信,防止非法人员违规操作获得不当利益。访问控制服务通过相应的访问控制策略对网络中通过认证用户的访问权限进行判定,从而解决内部合法用户的安全威胁,作为可控网络的第二道防线,访问控制主要解决“合法用户在系统中对各类资源以何种权限访问”的问题。
3接入控制结构
可控网络系统一般包括施控部分、被控部分、控制单元及反馈单元四部分。当网络节点接入可控网络系统进行资源访问时,节点的接入请求会受到外界信息的干扰,主要是非法分子的攻击和系统入侵;同时节点访问网络资源时,也会受到扰动,主要为内部安全威胁。通过对网络异常行为进行分析将结果通过反馈单元传给控制者和控制子网,控制者和控制子网针对异常行为通过控制单元实施网络主动防御控制,从而形成网络控制闭环,达到主动防御控制目的[4]。可控网络中的接入控制系统主要由信息采集节点、中间控制节点和安全控制中心组成,具体如图2所示。施控部分的主要功能是根据反馈回路中的反馈信息对网络中的异常行为进行分析、处理,并实施调控。在接入控制系统中,安全控制中心属于施控部分。控制中心通过大数据分析、日志审计及入侵检查等服务器对终端的接入控制行为进行分析、判断,并将处理结果通过控制回路发送给被控部分。被控部分的主要功能是将网络中的行为通过反馈单元发送给施控部分,并根据控制单元的控制信息对异常行为进行处理。在接入控制中,信息采集节点及网络资源与行为属于被控部分。信息采集节点将终端的接入控制行为通过安全接口反馈给控制中心,并根据控制单元的处理信息进行相应的响应。控制单元的主要功能是对控制信息进行传输,同时对网络异常行为进行处理,使得网络系统向安全可控状态转变。控制单元包括各种控制作用和控制通道。控制作用在某种意义上可以说是按一定目标对受控系统在状态空间中的各种可能状态进行选择,使系统的运动达到或趋近这些被选择的状态[5]。因此,没有选择的目标就没有控制。控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合,它可以是物理的组合,也可以是逻辑的组合。在控制通道上,控制信息从施控部分传递到被控部分,属于前向通道。反馈单元的主要功能是针对一定目标对受控系统的状态进行监测、分析和报告,使施控系统能够及时做出响应。接入控制系统在反馈作用的影响下,能够监视系统处于何种状态。反馈单元包括反馈作用和反馈通道。反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成。在反馈通道上,反馈信息从被控部分传递到施控部分,属于反向通道。
4接入控制的工作过程
接入控制要经过边界控制、身份认证和访问控制三道流程后,才能确定用户能否访问应用资源,具体流程如图3所示。当用户提出访问请求后,首先要判断访问请求来自内网用户还是外网用户。当访问请求来自内网用户时,首先判断用户访问的资源是否为外网资源;若为外网资源,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问外网的权限;若为内网资源,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限。当访问请求来自外网用户时,则边界控制服务器根据过滤规则库判断该请求能否通过,用户是否具有访问内网的权限;当用户通过边界控制服务器认证后进入内网,身份认证服务器根据认证规则库进行用户身份认证,判断用户是否合法;用户通过身份认证后进入应用系统,访问控制器根据访问控制策略库进行访问权限控制,判断用户是否具有访问资源的权限;只有当所有的接入控制都通过后,用户才能进行应用资源的访问。当接入控制某个环节出现问题时,安全控制中心会根据反馈单元的信息对异常行进行分析和处理,并通过控制单元对相应节点进行调控[6]。
5接入控制模型
5.1身份认证模型
身份认证模型一般由用户、认证服务器、控制中心以及数据库存服务器组成,如图4所示。身份认证模型一般包括注册与认证两个阶段。注册阶段主要完成用户与认证服务器身份标识的选择、密钥的分发(针对基于密钥的身份认证)。用户将能够证明自己身份的信息,通过加密等手段传递给认证服务器,认证服务器将用户注册信息存储在数据库存服务器中用于下步的认证,并将注册结果返回给用户。认证阶段主要完成用户与认证服务器之间的身份认证[7]。用户和服务器根据注册信息以及采用的身份认证协议进行单向或双向的身份认证。控制中心通过反馈通道采集用户身份认证行为,并通过大数据分析对异常身份认证行为进行分析处理,通过控制通道将处理结果通过控制通道传递给身份认证服务器。综述所述,身份认证的结构控制如图5所示。当受控对象根据认证协议和认证信息执行身份认证服务时,控制单元能够采集受控对象信息以及认证服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和认证协议进行认证服务处理,完成认证回路。
5.2访问控制模型
访问控制模型一般由主体、客体、控制中心、访问控制器以及规则数据库组成,如图6所示。访问控制器包括执行部件和授权部件两大部分[8]。执行部件根据访问规则和授权关系实现对主体访问客体的控制,它要验证访问的有效性和合法性,记录访问事件,杜绝非法访问;授权部件根据控制策略选择访问控制类型,根据不同的控制类型与方式建立和维护访问规则和授权关系,包括能力表、访问表等,并将它们保存在数据库中。主体不能绕过访问控制器直接存取客体。主体在必要的时候,可携带访问令牌,该令牌由授权部件核发,并经过完整性、真实性保护,提交访问请求时,它由执行部件验证。一般情况下,访问令牌具有时效性。控制中心通过反馈通道采集用户访问行为,并通过大数据分析对异常访问行为进行分析处理,通过控制通道将处理结果通过控制通道传递给访问控制器。综上所述,访问控制的控制结构如图7所示。访问控制器的授权部件属于控制单元,它根据系统的控制策略、主体的访问请求和被控对象的信息,针对不同的控制方式形成访问能力表(针对自主访问控制下的主体)、访问控制表(针对自主访问控制下的客体)和访问控制规则(针对强制访问控制与基于角色的访问控制),并传递给作为执行单元的执行部件执行。同时,控制单元还可建立被控对象的安全标记(用于强制访问控制),也可根据主体的访问请求核发访问令牌,这些控制信息均属于前馈控制信息流。在具体执行访问控制时,受控对象向执行单元提交安全标记或访问令牌,执行单元根据访问控制表或控制规则实施具体的访问控制,并将访问事件记录在案,反馈给控制单元。客体所在系统的日志信息也会被反馈给控制单元,由控制单元根据反馈信息做出访问权限的调整[9]。
5.3边界控制模型
边界控制可以分为外网边界控制和内网边界控制。外网边界控制通常作用于内网与外网之间,明确哪些数据包能够离开或者进入内网,防止其到达目的主机[10]。内网边界控制主要作用于内网终端上,明确哪些终端能够接入内网,防止未授权终端接入内网。外网边界控制模型一般由内网、外网、控制中心、边界控制服务和相应的过滤规则组成,如图8所示。边界控制服务器根据需求设置相应的过滤规则,进入或离开内网的数据包应根据规则进行相应判断,符合过滤规则的数据才能进行转发。控制中心通过反馈通道采集用户边界服务行为,并通过大数据分析对异常边界服务行为进行分析处理,通过控制通道将处理结果通过控制通道传递给边界控制器。边界控制器中的执行部件根据过滤规则和控制信息实现对内网和外网数据通信的控制。综上所述,外网边界控制的控制结构如图9所示。当受控对象根据过滤规则执行外网边界控制服务时,控制单元能够采集受控对象信息以及边界服务,通过控制中心进行大数据分析后,将控制结果通过控制回路反馈给受控对象,同时将控制信息反馈给执行单元,执行单元根据控制信息和过滤规则进行边界服务处理,完成边界控制回路。内网边界控制主要作用于用户终端。边界控制服务器根据交换机端口、终端ip地址以及maC地址对用户终端接入内网权限进行判定。控制中心通过反馈通道能够采集终端接入子网的接入行为,并进行大数据分析和风险评估,边界控制服务器根据自身设定的规则和控制中心处理结果对终端接入子网的行为进行控制。
6结语
网络安全相关认证篇10
【关键词】信息安全网络安全身份认证防火墙
一、信息安全的概述
(一)信息安全的发展
信息安全最初起源于计算机网络安全,计算机网络系统使得通信双方可以收发信息,计算机网络系统中各个主机之间没有主从关系,是相互独立的,它们利用网络服务器和网络设备实现通信,因而在网络中容易收到黑客的攻击,盗取信息或散布非法内容等,而由于人们对于新型的计算机网络犯罪不了解,使得近年来网络犯罪层出不穷,造成每年国家损失近千亿元。
(二)信息安全的定义
信息安全并没有准确的定义,它与看待问题的人的角度有关,广义来说,凡是与信息的保密性,安全性,可用性,可控性有关的理论或者实际问题都是信息安全研究的方向,信息安全包含计算机的硬件和软件安全,使与计算机通信相关的各种信息免受恶意的攻击,窃取,破坏等,保护信息的完整性和安全性。
二、计算机网络信息安全面临的攻击
(一)影响计算机网络安全的客观因素
1.网络软件的漏洞。使用各种网络软件常常有可能受到木马,病毒的攻击,任何软件在编写时常常会设计一个“后门”方便软件研发人员进行维护和管理,通常这个漏洞是不为人所知的,但是一旦网络被黑客破解,软件将直接面临瘫痪的危险,而装载该软件的计算机也常常会受到木马的攻击,使得整个计算机硬件系统无法正常运行。
2.网络中各种资源共享造成的信息泄露。互联网是一个开放的平台,不受终端限制,不受地理位置的影响,各种各样的信息在网络中泛滥,缺乏一个有效合理的管理平台来进行管理,例如在查阅信息时常常莫名其妙进入另一个页面,同时又无法关闭此页面,导致信息丢失等。
3.网络环境的不安全性。随着社会重要基础设施网络化,使得国家的信息安全受到一些非法组织蓄意进行信息盗窃,信息泄露,信息监听,虚假信息散布的威胁,给国防安全,社会和谐带来隐患
4.计算机设备的缺陷。就像房子不够坚固,就容易受到地震,雷击等自然灾害的攻击一样,计算机终端系统设计不够完善,就使计算机更易被木马,病毒入侵,使计算机性能下降。
(二)影响计算机网络安全的人为因素
计算机管理员对计算机安全配置不当容易造成安全隐患,使计算机被网络黑客攻击,另外用户设置口令简单,浏览钓鱼网站,将自己的银行卡密码,身份证信息随意泄露给他人,防范意识不强,对电话诈骗,QQ诈骗等案例了解不深,如著名影星汤唯就被电话诈骗28万,这都是人为因素造成的网络安全问题,另一方面,人为蓄意盗取信息,进行非法犯罪,是计算机网络中的重大隐患.此类攻击包含主动攻击和被动攻击两类,其中,主动攻击是指攻击者截获信息后进行更改,或者阻止用户进行访问,这类攻击常常用于对各大网站,运营商中,攻击者对某个链接中的信息进行各种处理。被动攻击是指截获信息的攻击,攻击者只是观察和分析某一信息,并不篡改信息。无论哪种攻击,其造成的危害都是恶劣的,因此我们迫切需要信息安全技术来进行防御,保护人们的信息不受侵犯。
三、信息安全中的防御技术
(一)加密技术
加密就是我们通常意义的密码,类似于一把锁,需要正确的钥匙才可以打开,加密可以使我们的信息隐蔽起来,防止泄露,加密技术分为基于数学的加密技术和基于非数学的加密技术。
1.基于数学的加密算法。随着信息安全技术的发展,各种各样的加密算法层出不穷,截止到目前,已有200余种,它们常常划分为常规算法(私钥加密算法)和非对称加密算法(公钥加密算法)两种。私钥加密算法是指发送方使用的加密密钥与接收方使用的解密密钥相同,私钥加密的特点是保密性好,可靠性高,但是密钥管理非常复杂,而公钥加密算法发送方和接收方使用的密钥不相同,常用的公钥密码有RSa算法,背包密码等,公钥加密的特点是密钥管理较为简单,且很好地满足网络公开性的需要,可以很容易地使用数字签名和认证,但是公钥密码算法复杂,对设备要求较高。
2.基于非数学的加密算法。基于数学的加密算法常常是在密码算法上设置关卡,而基于非数学的加密算法例如量子密码,就是在信息的解密条件上进行封锁,使得攻击者即使截获了信息,仍然不能解密。量子密码采用量子纠缠态来传递密码,使得我们在发送方并不需要发送多么复杂的密钥,而是将信息以量子纠缠态发送出去,如果不了解发送方或者接收方的粒子自旋方向信息就无法破解,大大提高了解密难度。
(二)网络防火墙技术
网络防火墙是信息安全中的常用技术,通常意义上来说,它是设立一层保护屏障,使得我们需要的信息得以进入,而屏蔽掉系统不需要的其他信息。防火墙可以禁止使用某些端口,可以屏蔽不明信息的访问,可以对特定端口的数据流进行检测和修改,从而加强了计算机对网络威胁的防御功能,防火墙就是一道坚固的屏障,保护计算机的内部信息安全。
(三)身份认证技术
身份认证是指对拨号用户的身份进行验证并记录相应的登录信息,用来确认登录者的身份,身份认证包含用户名密码认证,口令认证,指纹认证,,iC卡认证,生物识别等。常用的身份认证技术有Cisco公司提出的taCaCS+技术,RaDiUS技术等。身份认证是用来确定身份安全,在计算机网络中,保证身份安全是信息安全的前提,因此研究身份认证技术也是信息安全技术的必要课题
信息安全技术的不断发展,给人们使用网络,使用智能手机浏览信息提供了一定的保障,也给公安部门的工作减轻了负担,但是目前的信息安全技术仍然还有待进步,信息泄露,信息盗取,信息隐藏案件还在不断发生,因而想要彻底解决信息安全的问题,不仅依赖于科研工作者的辛勤劳动,还需要广大群众提高警惕,对自己的隐私一定要有所防范,我们有理由相信,未来的计算机网络一定会更安全更可靠。