发布时间:2023-06-22 09:31:56
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的移动端网络安全样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:互联网+;网络安全;网络体系结构
“互联网+”顾名思义是以互联网为中心所构成的一个信息化的世界[1-3]。例如,目前的在线支付、远程智能家具控制以及移动OA等,都是以Internet为中心而构建起来的信息化服务。自Internet以全球互联网络问世以来,其在计算机网络世界已经达到了无可替代的地位;人们所构建的网络若需与外界通信,则必需首先考虑是否连入“外网”,而这里的“外网”一般所指即为互联网;另外,特别是跨区域甚至是跨国企业,若要将各子公司的信息化构成一个内网,假设在没有互联网的情况下,该企业必须专线架构基础设施来完成,而现在企业只需借助互联网基础设施采用相关安全技术和隧道技术等就可以实现它。随着物联网技术和移动互联网技术的飞速发展,“互联网+”中“+”的含义越来越明显,使得人类真正进入信息化时代,从而使得各项生活活动都以互联网为中心而完成,诸如上述在线支付等。“互联网+”的时代改变了人们的生活方式,使得人们的生活越来越便利,同时,它也给人们带来相关安全隐患,在这个时代下的网络安全问题显得越来越重要[4-5]。这具体表现在,网络的一体化使得网络安全问题以互联网为中心而衍生开来;网络的多样化和异构化使得网络安全问题也变得复杂和多样化。例如,在移动互联网发展的今天,人们都以智能终端移动设备连入互联网进行相关活动,这就使得网络的管理变得复杂而困难。为解决“互联网+”时代下的网络安全问题,本文首先分析其特征,然后引出用户的需求,再从网络安全的不同层次来进行分析,以提出解决相关安全问题的方案。
1“互联网+”的相关特征
“互联网+”的时代是一个信息化大统一的时代,它是以互联网为基本网络架构设施,采用不同种网络计算技术将人类的生活真正统一到信息化中去,具体有如下特征。
1.1以互联网为中心
“互联网+”是以Internet为基础网络架构,因此,它必然以互联网为中心而存在。例如,目前流行的智能家具远程控制就是首先采用无线传感器将各家具连成一个局域网络,然后通过该网络的网关收发数据并传入互联网;再次,在用户的智能终端设备启用相应的APP客户端,然后通过此客户端对智能家具进行控制。因此,互联网是数据传输的中心,其安全问题也必然是“互联网+”网络的关键点之一。Internet以TCP/IP协议簇为基础,由互联网层的IP协议将异种的各子网连成一个统一的互联网;另外,IP协议还负责将数据从一个网络路由到另一个网络,但IP只是尽力将数据进行传递,而对数据的可靠性传递不给予保证。因此,互联网通过TCP来实现端到端的可靠传输。
1.2用户需求的多样性
在当前的信息化时代,人们的各项活动都通过互联网来实现。例如,人们为实现工业生产的协同工作及信息化共享等需要网络服务;人们的日常生活活动,如在线办公、在线购物等也需要网络服务;再有,人们的基本生活需求,如智慧城市、智能家具、人工智能等相关产品都需要网络服务。
1.3万物互联的特征越来越明显
随着物联网技术从概念提出到现在的万物互联的实现,使得物联网的概念不再局限于一个实物相连概念,而上升到一个哲学上的高度;即万物互联使得信息化时代的中心即为信息,而信息相连的中心则为互联网。目前的大数据、物联网及云计算等网络计算的发展使得万物互联成为现实。
1.4移动互联网技术解决了终端网络接入的最后束缚
移动智能终端的飞速发展使得连入网络的最后束缚得到了解决,目前,人们可以通过智能手机等智能终端便捷地接入互联网而进行各项活动,特别是在线支付宝或微信支付,使得我国在支付方式上走在了世界的前列,从而改变了人们的生活方式。毫不夸张地说,移动互联网技术的实现使得信息化技术的普及成为现实。目前,没有任何计算机知识基础的人都能使用相关终端设备来获取信息而为工作、学习和生活服务。从上述“互联网+”信息时代的四大特征来看,目前,我们已经进入了一个统一化、多样化及异构化和复杂化的信息化时代,从而使得各行各业都离不开信息化技术;在这个大背景下,网络的安全问题也必然成为一个不可忽视的问题。例如,如果人们在进行在线支付时,没有相关安全保证,试问,还有谁愿意使用这样的支付方式。当然,随着网络的发展,网络的安全问题也得到了相应的保证。在下一小节,笔者将分析说明目前网络安全技术发展的相关现状及挑战,并给出相关解决方案。
2“互联网+”时代下的网络安全技术
由于“互联网+”的信息化时代人们对信息的依赖已经到达了如依赖水和电的程度,因此,网络信息的安全问题也必然成为人们最关心的问题之一。在本小节,笔者从数据安全、网络安全及“互联网+”的相关特征下的安全问题等方面来分析“互联网+”下的安全问题。
2.1数据安全
数据是信息的表现形式,计算机处理的数据是以二进制表示的机器编码,不管是文本、声音还是图像、动画等,最终都以二进制数据编码后由计算机存储或处理。因此,二进制数据的安全问题必然是网络安全中最基本的安全问题之一。为了实现数据的安全,人们一般采用密码技术与计算机结合而形成现代密码技术来完成此任务。所谓密码技术,即将数据通过相关技术手段使之成为不可识别的内容,若合法用户则需将这些不可识别的内容还原为原有数据后才能使用,而这些过程中需要的一项关键因素即为密钥。采用密码技术可从数据的底层保证数据机密性、完整性和可用性。
2.2网络安全
“互联网+”下的网络安全即为互联网的安全,目前,在Internet网络的各个层次都建立起了相应的安全机制。在互联网层的IP协议的基础之上,采用了IPSec协议来实现IP层的安全;在传输层,运用了SSL和TLS等协议来实现端到端的网络安全;在应用层,各应用协议也有相应的安全协议相支撑,例如超文本传输协议即有HTTPS来实现万维网的应用安全。
2.3子网层安全
在互联网的分层网络体系结构中,子网层位于网络的最底层,主要表现为各物理网络的构成。目前在“互联网+”的网络时代,子网层的多样性、异构性和复杂性使得万物互联的信息化时代成为现实。同样也因为子网层的这些特性,使得其安全问题变得更为复杂。首先,现在连入互联网络的物理网络不再是单一的有线局域网络,它可以是有线局域网、无线局域网,也可以是以任何形式的智能物理设备组成的自组织网络;其次,移动通信技术和无线网络技术使得各种不同物理设备随意自组织加入互联网成为现实。因此,从子网层入手来解决安全问题,已经是“互联网+”时代下的重要网络安全问题之一。
3“互联网+”时代下的网络安全的几点建议
网络安全的相关问题从TCP/IP协议簇的上层结构来看,已经拥有很成熟的网络安全技术,这是因为随着互联网的发展,人们为了满足其安全需求,其安全技术的发展也日趋成熟。而随着移动通信技术和无线技术的不断发展,使得移动互联网技术成为“互联网+”时代的前动力。因此,终端用户从其子网层随意自组织进入互联网络,这使得其安全问题越来越严峻。下面笔者针对“互联网+”的相关特征,从子网层入手,提出几点与“互联网+”网络安全相关的建议。
3.1接入网安全
在底层终端用户连入互联网之前,必须选择相关接入网络来进入互联网。例如,可能通过有线将设备连入物理网络,也可以通过无线局域网或移动流量数据等连入网络。为保证接入网的安全,从网络的角度而言,要阻止不法用户接入网络最好的办法就是进行相应的身份认证,例如,在无线局域网络中就有WEP和WPA等相关协议来完成相关认证。另外,从用户的角度而言,不随意连入来历不明的网络热点,以使自己不暴露在不法人员的网络中而得到相应安全保护。
3.2加强终端用户安全意识
用户终端一旦连入互联网后,网络数据的表现形式及传输方式即不为其所知和所关心;此外,用户也因没有专业的网络知识而无法解决网络下层数据处理问题。因此,网络的底层对终端用户而言都是透明的,从而使得用户也不需要去关心下层安全问题,把这些问题都交给网络安全机制去处理。而对于终端用户主要是针对网络应用方面的安全需自身处理,使得网络信息用户的层次是安全的,这需要用户增强安全意识且制定相应安全策略。
3.3用户安全策略
“互联网+”时代下,信息的使用者网络终端用户需制定相应安全策略以确保自身的信息安全,笔者依据“互联网+”的特性提出如下安全策略。(1)口令安全。用户在进行网络应用时,一般都采用口令进行身份认证,因此,口令的安全即为用户网络安全的第一要素。(2)访问安全。用户在运用“互联网+”获取信息时,访问的安全尤为重要,用户应不随意访问来历不明的信息系统。(3)支付安全。用户在运用网络在线支付时,不可采用“一篮子工程”,即为了支付的便捷将各支付系统与网上银行随意绑定;可采用“即存即用”原则来确保将损失降到最低,即需要支付多少,提前存入多少资金,即使账号有失也不会带来太大损失。(4)个人隐私信息安全。用户不可随意将个人隐私信息暴露在各信息系统,应采用相关安全机制来保护个人隐私信息。(5)防网络陷阱安全。在信息一体化的时代,不法分子也通过信息手段来制造网络陷阱骗取财物,例如黑网贷、电信诈骗等,其实防网络陷阱只需自身安全意识强且不贪小便宜即可防范此安全问题。
4结语
本文首先阐述了“互联网+”时代的基本特征,然后从网络的各个层次分析了网络安全机制,最后从用户接入网络和用户终端层面上重点阐述在信息一体化时代下网络安全的相关建议。下一步的工作是将相关安全策略具体化以形成网络安全模型。
[参考文献]
[1]肖宏,马彪.“互联网+”时代学术期刊的作用及发展前景[J].中国科技期刊研究,2015(10):1046-1053.
[2]赵若瑜.“互联网+”电子信息技术发展研究[J].科技与创新,2018(1):151-152.
[3]欧阳日辉.从“+互联网”到“互联网+”—技术革命如何孕育新型经济社会形态[J].人民论坛(学术前沿),2015(10):25-38.
随着移动互联网、云计算的迅猛发展,网络流量的分布从以PC为主的固定网络向规模更大的以移动化的手机、平板电脑、智能设备等为核心的移动网络转移。用户业务的Web化、APP化让数据的存储和计算进入云端。海量的数据呈现多样化和集中化的趋势。同时,为保障网络中各个信息点和核心区域的安全,多种网络安全设备和软件也在每天不间断地运转过程中产生着海量的数据信息。这些信息借助大数据分析正在为网络安全发展提供新的机会,通过对海量数据的分析,可以更好地捕捉网络异常行为,从而找出网络和应用中存在的风险点。利用大数据技术整合计算和处理资源,有助于更有针对性地应对信息安全威胁,有助于简化网络管理的资源投入,甚至可以促进客户业务的价值创新。
面对上述新时期网络安全的变化趋势,思普公司CEO苏长君谈到:“要让安全由‘看不见、摸不着’变成让用户‘能感知、可体验’。网络安全产品和解决方案不仅可以防范风险,为用户带来安全感,而且要为企业的业务发展带来可体验的价值。”正是基于此种理念,思普一直致力于为客户构建可体验到的安全、高价值的业务网络。
在传统网络中,安全和客户的业务应用结合得并不紧密,有些时候甚至还存在对立的情况。IT管理员对安全产品产生的大量日志数据无从下手,不断增加的安全投入不仅见不到明显成效,而且增加了网络复杂度,同时在一定程度上降低了业务运行的流畅度。为此,思普公司面向客户业务推出了融合大数据分析的“云+端”技术架构平台――BOC&G(Business Oriented Cloud & Gateway),将安全和客户业务相融合。思普BOC&G架构不仅可以提供传统安全网关和管理软件的相应功能,还可支持基于私有云或公有云来构建“云+端”的解决方案。作为“端”的轻量级云安全网关硬件设备载体,它对计算处理的性能要求更低,配置更简单,通过和云平台基于大数据分析形成的特征、内容、策略的交互,在实现传统安全网关提供的网络连通、安全防护过滤、QoS、VPN、内容审计等功能以外,还可为客户提供全网的业务服务质量监测和优化、个性化内容推送和加速、客户行为数据挖掘、精准营销等增值功能。
B=Amnon Bar—Lev
云计算和虚拟化的出现造成了更为复杂的网络环境,而针对移动设备的恶意应用程序、技術也日益增多,安全解决方案未来的发展重点何在?技術究竟能在多大程度上解决网络安全问题?近日Check Point软件技術有限公司总裁Amnon Bar—Lev与《第一财经周刊》实习记者施闻分享了他对网络安全技術发展的看法。
C:网络安全问题层出不穷且很难根除,如何能够在威胁造成重创之前,提供前瞻性的保护?
B:首先,并非所有危险都是可以预先防御的,我们认为能够解决97%的问题就已非易事。如果此前曾遇到类似案例,可以预先通过签名等技術发现危险何在。但也有些情况下,我们不知道潜在的危险,只能依靠网络行为分析,检测是否有异常情况并拦截。在安全的情况下,大多数公司并不想因为防御网络威胁影响正常业务运行,所以重要的是,在面对不同情况时,如何采取正确的应对措施。
C:目前,不少企业开始通过云端对整个电脑系统进行管理维护,企业云计算平台是否会存在隐患?可以采取哪些特定的安全保护措施以避免威胁?
B:云计算提供了分享的环境,也因为这种环境而导致黑客的攻击。通常受到威胁的是保存在云端的数据,所以最大的挑战是如何保护那些数据。对于不同的云端,可以运用不同的方式来保护数据。一是私有云,也就是大家通常所说的云端,可以针对数据中心不同的网络,在同一台设备上建立不同的虚拟防火墙,在数据中心前面用网关来保护后面的数据。二是,在数据中心内部,也有特定方案针对每一台虚拟机设备做出保护。三是公有云,公有云常以基础建设租用的方式运行,客户用我们的设备来保护整个私有云。目前,真正应用云端的企业还是可数的,而且多数只限于私有云,也就是自己的数据中心。我认为云技術还不是目前最主流的趋势,移动方面的安全应用比云端更多。
C:那么在移动设备安全方面,现在又有哪些最新的技術应用?
B:移动设备安全是个大问题,人们在用作为终端的手机、电脑时,数据跟随着人暴露在外,非常危险。首先要解决如何安全接入移动设备的问题;其次,因为同一设备,可能既为工作所用,也有私人用途,所以工作环境与私人环境的隔离也是一大需求。人们希望通过简单易用的应用程序来解决这些问题。其实最重要的不是保护移动设备本身,而是保护设备里的数据。对商业文档进行加密后,即使手机被偷,也无法被读取信息。
关键词:无线网络;数据安全;思考
1 无线网络安全问题的表现
1.1 插入攻击 插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2 漫游攻击者 攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3 欺诈性接入点 所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4 双面恶魔攻击 这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5 窃取网络资源 有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6 对无线通信的劫持和监视 正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2 保障无线网络安全的技术方法
2.1 隐藏ssid ssid,即service set identifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被ap无线接入点广播出去的,客户端只有收到这个参数或者手动设定与ap相同的ssid才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到ssid的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏ssid适用于一般soho环境当作简单口令安全方式。
2.2 mac地址过滤 顾名思义,这种方式就是通过对ap的设定,将指定的无线网卡的物理地址(mac地址)输入到ap中。而ap对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的mac地址信息,仍可以通过各种方法适用假冒的mac地址登陆网络,一般soho,小型企业工作室可以采用该安全手段。
2.3 wep加密 wep是wired equivalent privacy的简称,所有经过wifi认证的设备都支持该安全协定。采用64位或128位加密密钥的rc4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和ap上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于soho、中小型企业的安全加密。
2.4 ap隔离 类似于有线网络的vlan,将所有的无线客户端设备完全隔离,使之只能访问ap连接的固定网络。该方法用于对酒店和机场等公共热点hot spot的架设,让接入的无线客户端保持隔离,提供安全的internet接入。
2.5 802.1x协议 802.1x协议由ieee定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了ppp协议定义的扩展认证协议eap。作为扩展认证协议,eap可以采用md5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6 wpa wpa即wi-fi protected access的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。wpa率先使用802.11i中的加密技术-tkip (temporal key integrity protocol),这项技术可大幅解决802.11原先使用wep所隐藏的安全问题。很多客户端和ap并不支持wpa协议,而且tkip加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7 wpa2 wpa2与wpa后向兼容,支持更高级的aes加密,能够更好地解决无线网络的安全问题。由于部分ap和大多数移动客户端不支持此协议,尽管微软已经提供最新的wpa2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及soho用户。
2.8 02.11i ieee 正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术aes(advanced encryption standard)与tkip,以及认证协议ieee802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
3 结语
一、通信网络安全面临的挑战
1.通信网络的开放性、虚拟性,使其受攻击成为不可避免。网络开放性使攻击者有可乘之机。一个网络中的安全威胁将延伸到另一个网络中,从而出现全网的安全威胁。2通信网络信息传播的“无中心化”和交互性特点,加大了安全监管的难度。网民“人人都是信息源”,为“黑客”入侵和“病毒”扩散提供了空间。3.通信网络终端接入方式多样化,内容安全面临着巨大的考验。目前,网络端终已由传统电脑接入发展为各种电子信息终端接入模式,尤其将会增加大量移动终端的网络接入,如网络电视、电子书、手机、GPS等,随之而来,垃圾邮件、商业诈骗以及危害国家安全的信息充斥在各种网络当中,对网络的信息安全带来极大的挑战。
二、通信网络安全与管理中存在的主要问题
1.通信系统安全意识不够强,认识不到位。设计通信系统及其各种规制时往往对安全问题的考虑不够充分,致使系统在实际使用时,面临着许多具体的安全挑战,此时再考虑来补强相关的安全举措,行动滞后。
2.通信网络的核心组件独立自主性不足,协议的主导地位不强。现在的通信网络已经离不开电脑网络的支撑,而电脑网络的核心部件例如CPU、芯片,至于移动端的如操作系统,虚拟端的如网络协议等等的主导权并不为我们国家所有,这在一定程度上上制约着中国通信网络领域的发展与安全。
3.通信网络安全防范技术能力欠佳。目前,通信系统大量使用的是商用软件,由于商用软件源程序的公开性,使不法分子可直接入侵到网络系统中,达到窃取通信信息的目的。
三、加强通信网络安全与管理的思考
1.健全法律法规,依法管理通信网络。法律规范是通信系统安全的一种非技术因素,法律不仅强制规定了所禁止的行为,并且有相关的取证、审讯和判决等过程,最终还将对违法行为进行处罚或刑法等。法律的因素能够有效地起到提升通信系统安全的功效,并将随着法律体制的不断健全而发挥越来越重要的作用。
2.加强安全防范设施的管理和建设。在管理通信网络安全的时候要时刻绷紧“通信安全事关全局”的思想,“知己知彼”的兵家思想和“居安思危”的战斗意识应该在通信网络安全管理中发扬和继承。加强自动化巡视,常态化管理,科学设计和实施预警机制和意外紧急方案,从而达到常态安全与非常态稳定相结合。
3.注重对通信网络技术的研发,将安全预案放置在通信方案之前。通信网络的发展离不开专业的高技术人才,我们应该培养具有通信技术、熟知通信系统和通信网的人才,创造留住人才的良好环境和文化,加强通信网络方向的专业化和通信交叉点的研究。
4.跟随并创造国际潮流,积极探索具有高效率和绝对安全等特点的量子通信大规模应用的可能性。把握通信网络趋势,在系统安全的前提下争取率先实现通信系统的转型换代。加强通信系统的独立性,比如核动力信息系统的可能性,做到通信网络的独立自主,时刻保证通信系统的畅通。
5.增强通信网络的边际和终端安全等方面的安全架构。牢牢把握下一代网络安全问题的核心——密码学及安全通信协议。同时努力抢占安全通信协议的国际制高点。
6.勇于创新,打破陈规,跳出现有的安全体系,进一步思考下一代网络安全体系。探索采用大地和海洋作为介质的大规模通信传输,从而将传输介质和方式极大扩展,进而探索实现从通信网络向下一代通信方式的转变,最终实现通信方式的质变。
一、信息安全应用研究――以未来项目“工业4.0”为例
信息通信技术渗透至生活和工作的每个领域。数字世界和现实世界的界限日益模糊,同时网络犯罪和网络间谍越来越专业化,传统的预防方式已不足以应对新情况,网络安全挑战越发严峻。特别是斯诺登事件爆发后,网络安全问题引起全球关注。
能否拥有可靠、安全的信息通信技术对德国经济至关重要。德国高技术战略的未来项目“工业4.0”(即“第四次工业革命”项目)具有典型意义。在“工业4.0”中,以往的界限都将消失,生产性信息技术、销售物流、零部件产业、商业信息技术等领域都将联系到一起。因此,信息技术系统将遇到许多新的挑战,病毒将可能攻击生产设备,不够安全的机器有可能被远程操控,给现实世界带来巨大损失。
在“工业4.0”中,设备和产品都将纳入智能的物联网中。这一网络范围越大、越具活力,就越有必要使每个系统(从每个组件到每个产品)都相互区别,明确确定其信息,并保证安全的相互交流。随着网络成为最重要的交流媒介,云计算成为中央系统,服务和人都需要更加安全可靠的身份证明。不仅必须保证交流的安全可靠,而且要在网络攻击情况下保持系统的长效安全可靠。对于德国高科技工业,特别是机械设备制造业的中小企业,采取有力措施应对经济间谍行为对它们的存亡至关重要。面对非法攻击,云端数据也应得到强有力的安全保障。
“工业4.0”中的所有要素,包括人、机器、生产设备、应用程序、产品和服务都会不断产生数据。只有保证数据的实时整合和高效分析才能优化资源和生产链。大数据给企业信息保护和个人隐私保护带来了无法回避的问题,同时也带来了机遇。
“工业4.0”中的工人是灵活的、全球性的和自主的,信息通信技术对于工人也应该灵活多样、更易于使用。这一要求给科研带来了挑战,包括移动网络的通信安全和更加安全的运营方案,例如在生产、维护、运营、物流等领域,移动终端设备如何在移动商务过程中实现更加安全可靠的融合。
二、“网络安全2020”研究议程
德国弗劳恩霍夫协会是欧洲最大的应用研究机构,在德国乃至欧洲信息安全研究中占据重要地位。它对德国国家网络安全研究议程“网络安全2020”提出了7项建议:
1.捍卫数字。
在信息安全这一核心领域,德国必须绝对独立,必须找出灵活的、第三方检测的安全解决方案,作为以信息通信技术为基础的基础设施的信任基石。不仅在信息通信技术这一关键领域,也要在跨领域的重大未来项目(如“工业4.0”和“互联网经济”)的服务中保证德国信息技术的独立。
2.信息安全应用研究。
信息安全研究必须保证实用性。要建立和运行同企业保持紧密合作的应用实验室,针对网络犯罪和网络间谍行为的系统解决方案的可行性进行实际研究和验证。
3.通过设计保护安全。
要保证产品、服务和解决方案在全生命周期的安全性。也就是从最开始就要考虑到安全问题,要促进各个组成系统的融合并明显提高安全性。
4.可由第三方检测。
为获得可信赖的安全,要支持研发新的技术方法,对组件、产品、服务和解决方案在全生命周期的安全性进行检查,并使已达到的安全性具有可证性。
5.通过设计保护隐私。
要同时保护经济、国家和个人隐私,应对网络犯罪和网络间谍行为,特别要考虑个人信息保护的重要意义,如客户信息对于经济发展的重要意义。必须通过适当办法,按照“通过设计保护隐私”原则预防非法网络入侵和信息滥用。
6.了解自身安全情况。
要高效及时地绘制自身安全形势图,使决策者能够就安全情况作出可靠评估,并为负责任、可持续的行为创造前提。
7.人性化的信息安全。
信息安全机制及方法应该人性化,应该具有良好的可用性,使研发人员、信息安全专家和普通人都能完成与安全相关的任务。
三、德国网络安全研究的机遇和需求
1.德国信息安全研究概况。
德国高校和研究机构对信息安全研究作出了杰出贡献,德国企业开展信息安全工作以满足顾客需求。国家自身支持信息安全研究,其重点是不安全环境中的安全研究、网络基础设施保护、嵌入式安全等。自2011年起,有3个信息安全能力研究中心先后成立。但是,德国明显缺乏更加贴近实际的信息安全应用研究,科研发展也没有持续跟上实际发展需求的脚步。在信息安全研究中,新兴应用领域不断产生,能源供应、交通、隐私保护等新兴应用领域引起社会广泛关注。在这些新兴应用领域,对信息安全仍甚少涉及,甚至在自动化、移动系统和云计算领域也缺少贴近实际的解决方案。
2.德国信息安全研究需求――加强应用研究。
“信息安全,德国制造”将为德国科研和经济带来巨大机遇。德国迫切需要使基础研究成果应用于实践,这具有四项重要意义。一是将基础研究成果转化成市场欢迎的产品。这样新兴应用领域才能从这些贴近实际并经过检验的解决方案中直接受益,这样信息安全将不再是障碍,而会在国际市场上为德国企业增彩。二是保护经济和公民。没有哪个生活领域可以脱离信息技术,许多新兴应用领域与信息技术密切相关,重要的基础设施、相互依赖的经济系统都必须通过安全可靠的信息安全系统来保护。三是降低损失。如果企业对信息技术基础设施保护不力,遭到网络攻击的风险就很大,这不仅会带来直接经济损失,还会导致难以估量的名誉损失。四是提升国际竞争力。德国在信息安全基础研究方面享有很高声望,在信息安全、自动化、数据保护、能源供应等领域处于领先地位。鉴于国际信息技术和安全市场不断发展,未来竞争越发激烈,有必要不断促进应用研究,为在国际市场保持领先地位创造必要条件,并在尚未完全发展起来的领域中抢占先机。
四、研发需求
为保持德国的技术和独立,保持德国的创新地位,弗劳恩霍夫协会建议特别关注以下研究主题。
1.云安全。
云计算是信息技术资源的下一次革命,硬件和软件向云端转移将成为新的信息技术范式。借助云计算,企业能够大幅降低成本。由于许多潜在用户对云安全有所顾虑,导致拒绝使用云技术,云安全研究势在必行。其研究重点应包括安全规则建模、用于安全规则建模和可信评测的衡量标准、云端环境的认证信息管理、云计算中心威胁评估模型、安全虚拟环境机制、隐私保护技术、信任与策略管理、固定设备和移动设备通过云设施的安全同步、高度敏感信息的云利用模式和方法、云端恶意软件的识别和处理、云服务供应商审核控制机制等。
2.信息物理融合系统(CPS)。
信息物理融合系统是嵌入式系统,借助传感器或制动器来评估和储存信息,通过网络连接和人机接口实现交流。信息物理融合系统用于数据和信号加工,已广泛应用于航空航天、汽车制造、化工、能源、医疗卫生、生产及自动化、物流、终端服务等领域。随着其性能的增强和联网程度的提高,迫切需要新的技术和方法满足它在安全和保护上的需求。其研究重点包括网络化智能交互技术的安全、特殊密码程序和安全技术、软硬件结合的安全机制、受到攻击时的紧急应对、安全等级标准检测方法、分布式智能传感机制等诸多问题。
3.数据保护和隐私管理。
个人信息非法交易问题日益凸显,许多大公司,如银行和通讯公司,都遭遇到了这样的问题,这不仅损害公司形象,而且导致经济损失。个人信息保护已成为科研与社会的核心话题。
4.能源生产和供应。
能源互联网是极其重要的基础设施,智能电网的发展要求必须注意新的风险。从电力生产者、储存者、电网到终端用户的相互联系,再到管控,智能电网意味着各环节之间存在更多的交流,也会产生更多的未知风险。该领域的研究重点是实现智能电网的建立和保证智能电网的安全。
5.预警系统。
随着网络的发展,各种恶意软件不断出现,信息系统运营者已很难及时告知新的威胁并予以保护。使用信息预警系统及早应对网络意外情况至关重要,在这方面还有很多问题有待解决,例如新兴应用领域预警系统、僵尸网络问题。
6.工业生产和自动化。
工业自动化技术是工业化国民经济良好运行的支柱,信息安全是信息技术融入生产设备的基石。
7.信息技术取证。
网络作案者会留下痕迹。信息技术取证的任务就是发现、确定并分析这些痕迹。主要研究任务包括:研发可针对各种媒体类型自动高效识别禁止内容的程序以及在删除信息后从信息碎片中识别禁止内容的程序;对大数据快速分类以及在大数据中快速自动检索图片和视频内容的办法。
8.交通信息技术安全。
越来越多的汽车功能通过软件实现。汽车联网并且车联网将逐渐对外开放,既会给汽车制造商、供应商和服务商带来许多安全问题,又带来了新市场和新机遇。
9.媒体安全。
数字化媒体涉及影片、音乐、有声读物和电子书,重点要进行版权保护和防操纵保护。
10.网络安全。
网络与日常生活密不可分,人们日益重视网络安全问题。保证交流基础设施的安全意味着保护网络基础设施技术,保护通讯服务的连通性、延伸性和可用性,研发可对攻击和安全漏洞进行识别和分类的支持方法。
11.预防盗版。
对产品、设备和设计的盗版不仅会给企业带来巨大的损失,也会给消费者带来安全和质量隐患,在机械制造和电子技术方面尤其如此。因此急需考虑整个产品研发和产品生命周期内预防盗版的方法和工具。
12.物理嵌入式网络安全。
物理嵌入式网络安全是把物理世界和信息世界联系起来保护两者安全。它意味着免受非法攻击,也意味着面对意外和系统违规操作时提供安全保护。其研究重点在于信息世界和物理世界以及两者间节点的安全保护、信息世界和物理世界相互联系的建立与协调。
13.安全工程学。
许多信息技术产品存在安全缺陷。从产品的设计和研发阶段就开始考虑安全问题并将它延展至产品的整个生命周期,对于企业具有战略性意义。
14.安全的移动系统。
智能手机、平板电脑等移动设备越来越受欢迎,逐渐成为网络攻击目标。如果没有特定的保护措施,移动设备更容易受到攻击,并且其影响范围远大于固定设备。
15.预防旁路攻击和故障攻击。
随着越来越多的事物网络化,旁路攻击明显增加。采取保护措施保证长期的密码信息安全十分必要,这样也可以有效处理潜在攻击。
16.安全管理。
在信息技术应用领域,信息安全管理面临巨大挑战。在云环境、生产基础设施以及由信息系统控制的重要基础实施中急需一体化的安全管理解决方案。研究需求主要包括新兴应用领域和新兴技术领域的风险管理方法、一体化信息安全管理系统、跨组织安全管理办法研究等。
17.可信系统。
[关键词] 网络安全;安全设计;应急措施
[中图分类号]R197.324 [文献标识码] B[文章编号] 1673-7210(2009)03(a)-154-02
Discussion on security elements of the hospital computer information network system
HAN Yi-qin
(Information Department of Xi'an Railway Central Hospital, Xi'an 710054, China)
[Abstract] Through the hospital computer information network security problems faced by, propose hospital computer information network system safety design, emphasis on strengthening the hospital network security protection measures as well as the occurrence of system failures, and emergency measures.
[Key words] Network security; Safety design; Contingency measures
在当今信息网络发展突飞猛进的时代,医疗信息化在医院管理、临床管理和局域医疗卫生服务方面取得了相当大的进展。临床信息系统(CIS)的建设,即医生工作站、电子病历系统(EMR)、实验室信息系统(LIS)、病理信息系统(PIS)、医学影像系统(PACS)、手术室信息系统等相继在医院得到了应用。医院信息系统越来越不可替代,医院信息网络系统一旦瘫痪,手工业务很难立即恢复,这将引起医疗业务混乱、患者等待时间过长等状况的发生,不但给医院带来巨大的经济损失,医院的形象也将受到损害。因此,医院计算机信息网络系统的安全问题显得十分重要。如何建立一个安全、可靠、高效、可控和持续性全方位的安全体系,保障信息系统安全稳定运行,是亟待解决的问题。
1 医院计算机信息网络安全所面临的问题
1.1 网络共享导致非应用软件互通
医院网络内只要有一台客户端安装了游戏与网络小说,通过网络共享方式就会导致全院性游戏与网络小说的流行。虽然医院制度规定医院计算机不能玩电脑游戏,但很难使用行政手段杜绝此类行为。医务人员在上班时间玩电脑游戏或看网络小说,一方面有损其在患者心目中的形象,另一方面会引发患者对医务人员的不信任,容易发生医患纠纷,使医院处于被动状态。
1.2 擅自安装光驱与使用USB移动存储设备
医院内网计算机拆除光驱、CMOS禁止USB端口,但个别工作人员通过将外界拿来的光驱接到客户机上或主板电池放电方式重置CMOS设定,达到客户机可以使用光驱与USB移动存储设备,将游戏、网络小说安装到客户机上,从而引发医院网络内游戏与网络小说的不断更新与增多,并带来病毒来源,增加医院信息系统的安全风险。
1.3 擅自修改IP地址
绝大多数医院信息系统软件采用C/S构架,且医院网络的核心交换机未设置VLAN。客户端修改IP地址,轻则导致网络不通,增加微机室工作人员维护工作量;但若客户端IP地址与数据库服务器一致未及时发现,将影响客户端访问数据库服务器,直接影响信息系统的正常运行。
1.4 蠕虫病毒感染
医院客户机多,计算机中心很难有精力逐台维护客户端的操作系统。针对医院客户机未及时安装最新的补丁程序,网络内一有蠕虫病毒就会导致网络、服务器瘫痪,信息系统停止运行。
1.5 安装黑客软件非法获取数据库密码
有关数据显示,90%的局域网攻击来自内部。医院内个别计算机水平高超的年轻工作人员,通过黑客软件非法获取数据库访问密码,安装编程开发工具非法访问医院核心数据库,对信息安全造成非常大的隐患。一旦发生蓄意破坏,这将给医院信息系统带来毁灭性的打击,造成无可挽回的损失。
2 医院计算机信息网络系统的安全设计
医院计算机信息网络系统安全管理分为两个方面:一是网络方面,即保护网络服务的可用性;二是应用方面,即保护系统数据和用户数据的可用性。在网络方面重点解决的是数据安全问题。通过网络和应用、系统安全和数据安全相结合,架构立体的防护体系,通过与管理手段的结合,确保整个医院信息系统的安全。
2.1 建立完善的计算机安全管理制度
网络安全管理必须以制度为保障,在建立制度的基础上,通过技术手段保障制度的强制执行。没有制度保障,网络安全不可能有效落实;同样,没有技术手段保障制度的有效落实也是一纸空文。只有制度与技术手段二者互相配套,网络安全才能真正到位。
2.2 防火墙及病毒监控
通过防火墙过滤不安全服务和非法用户,控制对特殊站点的访问,提供监视Internet安全和预警的方便端点。选择网络版病毒监控软件,定期升级病毒库。
2.3系统补丁升级及漏洞修复
目前医院服务器使用的是Windows Server 2003操作系统,黑客攻击及病毒传播一般是利用操作系统漏洞或服务平台漏洞进行的,为堵塞这些不利于安全的漏洞,应利用微软的Service Pack来对其进行修复,网络管理员应密切关注最新的漏洞及病毒信息并安装相应修复补丁。
2.4 数据库备份
数据库要严格按期进行备份,备份内容应包括:应用数据库备份、应用程序备份、操作系统备份、系统的灾难恢复。对于建立好的备份计划、备份任务要经常进行检查,定期将数据库备份拷贝至其他的硬盘上,以减少突发事件带来的损失。
2.5 安装实施网络监测系统
医院绝大多数计算机为客户端,保证客户端的安全才能有效保障整体信息安全。安装实时网络监测系统,随时把被监控工作站的屏幕画面抓取到控制台中,网络管理人员对相应工作站所进行的操作一目了然,若发现有非法操作,比如上班玩游戏、安装非法程序等,即可采取发送警告或强制措施,强迫其停止相应操作,防止病毒的蔓延、杜绝某些用户的越权或非法操作等,从而从根源上解决客户端对服务器与数据库安全的影响。
2.6 实施桌面安全管理系统
有效地控制共享与进程监控,对客户端光驱与USB移动存储设备进行控制,固定客户端IP地址,不允许更换硬件,并对端口、进程进行控制。还可对计算机资产进行管理,通过管理软件自动获取主机IP地址、主机MAC地址、MAC厂商、主机名称、所属域、操作系统、交换机端口以及计算机硬件信息等描述,微机室的管理员可以全面掌握医院网络内计算机资产情况和网络安全状况。
2.7 网络硬件安全设计
网络硬件安全主要由交换机来实现。我科在设计中使用交换机断口MAC地址限制技术,有效地防止非法入侵。计算机是通过网卡来访问计算机网络的,而每一块网卡都具有全球唯一的MAC地址,就象每个人具有唯一的身份证号码一样。交换机“端口MAC地址限制”这样可以有效防止非许可的电脑访问医院的内部网络。
2.8 系统管理措施
网络系统中需要制定统一的安全策略,包括:制定长口令机制和使用周期;划分用户级别明确访问权限;划分信息资产级别使用户相互制约,避免出现单一的“超级”用户等。
3 系统故障的应急措施
3.1 硬件设备
服务器、交换机、路由器、计算机等需要留有备件并做好调试,一旦硬件发生故障,在最短的时间内进行更换,以保障医院正常的医疗秩序。
3.2 备用电源
中心机房配备8 h不间断备用电源UPS,主要用于服务器、交换机、路由器,在主要部门(如门诊划价收费、药房发药、住院结账等部门)配备UPS,以解决临时停电所带来的困扰。
3.3 数据备份
数据库做到每天备份、每天转移至备份服务器上,机器一旦发生故障而造成系统瘫痪,可以在短时间内恢复数据。
3.4 工作制度
制定完善的应急预案,将应急事件处理流程中具体的任务分配给每一位工作人员,做到遇事不乱。
4 结语
目前计算机网络产品发展迅速,网络安全的配置也要不停地调整。同时,新的漏洞会不断地被发现和公布,入侵的手段也会不断地升级,原来的产品和配置都可能需要做出相应的改变。为了保障医院计算机网络系统的正常运行,保障网络和数据资源的安全,必须清醒地意识到网络安全防范策略不是一劳永逸的,网络安全设备的投资也不是一次性的。我们需要加强安全意识,加强医院网络安全防护措施,建立安全防护体系,只有这样才能确保医院信息系统安全、稳定地运行。
[参考文献]
[1]袁蓉燕.医院计算机网络的安全管理[J].现代中西医结合杂志,2005,14(2):274-275
[2]顾海华,张刚.医院安全建设[J].中国数字医学,2007,2(7):50-53.
[3]邱杰,周小龙,谢晓宇,等.医院信息网络安全防护体系建设与实践[J].中国数字医学,2008,3(12):25-26.
网络安全已成为不容忽视的问题。这种情况下,对计算机自身性能的要求也更高。因此,重新反思硬件对网络安全的支持作用是十分必要的。基于对网络安全中硬件的基本组成及其安全性能的分析,本文探讨了提高通过硬件保障网络安全运行的一些策略,同时就局域网的硬件维护及网络安全做了讨论,希望大家共同探讨。
【关键词】局域网 网络设备 维护 计算机病毒
在网络化的时候,把各自独立的计算机通过通信线缆进行连接,并达成一定的互联网协议进行相互访问,这种立足于信息共享与资源互换的网络系统,就是计算机网络的基本构成。而局域网作为计算机网络中的一种,是建立在OSI模型上,采用TCP/IP的技术,来进行信息共享与数据传输与处理。目前来说,局域网的应用主流在于众多的企事业单位与大中型企业等,考虑到局域网连接距离短、运行速率高、低延时、出错率低的特点,在进行局域网络维护时,应重要关注其硬件维护与网络信息安全的工作。
总的来说,网络维护工作者,其管理的目的就是要维护局域网运行的安全与运行的效率,以提高局域网络对于企事业单位的助力作用。
1 局域网中的硬件维护内容
1.1 网卡与网络连接
对于局域网的安装来说,都是以网卡作为基本配置,其功能简单,设置便捷。而作为网络连接与转发设备来说,常见的局域网中的硬件维护内容包括HUB、交换机、路由器等。其中对于HUB或者交换机而言,如果其指示灯光闪烁不停,或者黄灯长亮,则可以考虑到是否是因为同一局域网中有重复性IP地址的存在,因此,这种情况表明了网络上的数据包出现了拥堵现象。还有一种情况是专门针对由两个路由器直接连接的案例,这里的安装应把两台路由器入口对应出口,或者出口对应入口进行连接,而不能出口对出口,入口对入口,这会直接造成网络连接失败。作为局域网通信的唯一媒介,网络连线的质量直接决定了网络连接的传输效率,在这里当某条网络连接线路发生突然中断时,应用ping或fping检查线路在网管中心这边是否连通、若连续几次ping都出现Request time out信息,则表明网络不通.而在连线故障中,网线的内部断裂,网线出现双绞线与Ru-45水晶头接触不良以及双绞线是否采用标准线序连接等都属于常见的网络连接故障。
1.2 双绞线的使用与联接
一般来说,8根4对的双绞线在10Base-T标准中,第1第2为一对线,第3第6为一对线。这样的线路双绞基础可以有效地把涡流进行抵消,保持了信号的强度,避免了信号的过度衰减,所以双绞线的正确使用与其中对线的工作情况直接决定了网络连接的通讯质量。如果不正确使用双新绞线,就很难起到涡流抵消的作用,那么整个网络连接的物理距离与通讯质量都会直接下降。而如果双方为同样的线序,表明是接集线器的直联线。但如果1.3.2.6反接,称为双机直联线,也称Hub集线器级联线。
2 局域网安全与防范措施
2.1 局域网安全防范的重点内容
基于局域网的安全防范内容来说,对于网络用户自身资源与网络管理系统的保护是相当关键的。其局域网网络安全的管理重点是保证客户端的安全,即要防范客户端面临安全威胁。总的来说,立足于客户端安全而存在的局域网网络安全工作可以从终端状态、行为、事件三方面入手,而这三方面只要做到位了,也就解决了局域网安全问题的关键性难点。
2.1.1 入网访问受限
对于局域网的安全来说,强调入网的访问受限是保证网络资源不被违规非法使用,保证整个局域网安全的重要策略之一。而桌面管理系统对于用户用网权限的严格执行,是整个局域网访问控制的第一道关卡。不同权限的用户可以登录到其许可范围内的局域网内,进行其权限范围内的资源访问与信息获取。网络安全控制下,用户与用户组在不同的权限下,所访问的目录与文件等,都是有着规定的。对于某些权限低的用户来说,有些局域网的资源对其是不可见的。同时,为了提高入网访问受限的安全度,每一个可入网用户都有着其自身的密码策略,这种强制性执行的密码访问要求,也就有效地防止了非法用户进入局域网进行非法访问的可能性,防止局域网内重要信息与数据被篡改与外泄。在这个过程中,如果一个用户的密码被多次证实输入错误,系统会在警告后直接阻断其联网的可能性,以保证整个局域网的安全。
2.1.2 防火墙与IP地址的管制
作为一种内部网络与因特网间的隔离措施,防火墙的安装可以保证安装的电脑在网络互访时其内部资源不被非法入侵与非法分享。即防火墙的存在可以把内部网络与外部网络进行互访隔离,对于可能的非法可疑事件进行记录,并配置相应的安全管理级别,这种立足于两个网络间的控制措施,可以有效地保障用户使用外部网络的自由度,也可以有效保障内部局域网内资源不被外部网络访问。
而对于IP地址的管制中,重要的一点是把局域网内所有未经使用的IP地址进行封存,把每台电脑与其对应的IP地址进行相互绑定,保证每台上网的计算机其IP地址与其MCA地址是唯一对应关系。这样的措施可以有效地避免局域网使用过程中网络中断形成的病毒传播与移动计算机联接局域网而造成的内部资源泄密现象。
2.2 如何提高局域网使用人员的网络安全意识
2.2.1 必要的培训与技巧操作
对于局域网使用人员的网络安全意识培养来说,应安排相关的专业工作人员对其进行定期的培训,明确病毒的性质与其可能造成的损失等。特别是对于文件共享操作这类涉及数据数据传播的问题,应做好权限控制与加设密码,并提高对于来历不明文件的警惕心,养成良好的操作习惯,打开文件前先进行病毒查杀等等。
2.2.2 移动存储设备与网络版杀毒软件
目前在局域网应用中,越来越多的移动存储设备应用已经成为了潜在的病毒传播源。对于这方面来说,在使用移动存储设备时,应对病毒进行扫描与查杀,以阻断病毒的传播。而对于网络杀毒软件的应用上,应做好及时的更新与病毒库升级,以提高杀毒软件的查杀效率。
3 结语
综上所述,基于局域网的硬件维护与网络安全应立足于不同企事业单位的网络特点,针对不同的维护要点与安全防范重点进行相关策略的制订与采取,以提高局域网的运行效率与安全性。
参考文献
[1]李慧嘉.加权局域网络的构建及应用的研究[D].山东师范大学,2010.
[2]席卓.局域网络综合管理系统的研究与实现[D].北京邮电大,2012.
[3]曾瑾.局域网络用户行为分析[D].北京邮电大学,2011.
