新一代安全(精选十篇)
新一代安全 篇1
我国的核电, 包括我们用自主技术设计和制造的30万千瓦机组, 也已运行了20多年, 做到了不出事故, 安全运行。所以说, 核电是安全的, 我国已运行和在建的核电安全是有保证的。
几十年来, 世界核电出过三次大事故, 它们是美国的三哩岛、前苏联的切尔诺贝利及日本的福岛。前两次都是因为管理不当, 操作严重失误造成的;第三次的日本福岛事故, 是因为9级地震引发的大海啸, 14米高的海浪破坏了应急电源, 再加上处理不当而造成的。
三哩岛在美国的宾夕发尼亚州, 事故的原因是二回路给水泵发生故障而停运, 造成了一个失去主给水运行事件, 失去主给水后, 一回路压力升高, 迫使反应堆自动停堆, 自动启动了应急给水泵, 但因前些时候检修时, 误关了全部应急给水管道的阀门, 进而形成失去主全部给水事件。这种情况下, 堆芯压力继续升高, 造成稳压器泄压阀开启, 但当压力降到整定值后, 泄压阀却因故障卡在开启位置, 导致一回路出现小破口, 并演变成为堆芯裸露, 堆芯上部三分之一严重损坏, 放射性物质外泄。但由于电站设计了密封性良好的安全壳, 封住了放射性物质向大气中的扩散, 没有造成大的人员伤亡和环境破坏。事故发生后, 核电发展受挫, 核电界深刻反思, 提出了进一步提高设计安全标准, 包括防止人因事故, 即操作失误等人为因素导致的事故。欧美各国为此致力于开发更安全的第三代核电技术。
切尔诺贝利核电站在前苏联的乌克兰地区, 设计容量为100万千瓦。按计划停堆进行检修之前, 汽轮发电机组进行甩负荷试验, 试验规定应在堆热功率700~1000—兆瓦时进行, 而实际堆功率只有200兆瓦时强行进行, 这时反应堆实际上已进入不稳定和不可控状态。在试验时解除了堆芯应急备用系统, 最终发生了堆芯熔化和爆炸。这个核电站没有建安全壳, 放射性物质扩散到大气, 造成了最严重的事故。在事后进行的详细分析中, 发现这类石墨沸水反应堆存在先天的缺陷, 现已逐步退出运行。
日本福岛第一核电站, 2011年3月11日遇9级大地震, 震后电厂基本功能都还存在:自动关闭核电站运行, 自动启动应急电源。但随后由大地震引发的大海啸破坏了电厂的应急电源, 从这时算起, 两天的时间, 电厂没有及时采取措施向需要冷却的反应堆供水, 这样造成反应堆熔毁, 放射性物质外泄, 造成全世界第二大核污染事故。福岛核电站事故是天灾加人祸。
距离福岛第一核电站8公里处, 建有第二核电站。由于该核电站防波堤高, 在这次自然灾难中没有受到大的损坏。其实在地震发生前, 专家们已提出增高第一核电站的防波堤, 有关方面也同意了, 但还没有做就发生了大地震和海啸。福岛核电站的这次事故, 也反证了核电站的抗震能力。
第三代核电站, 我国正在用引进技术建设四台AP1000。它的安全系数比第二代核电技术高100倍, 它有新的设计思想, 巧妙地利用各种自然力, 如重力、蒸发、循环、对流、膨胀等, 可在核岛系统万一出现异常的情况下, 利用相应的自然力实现非能动安全停堆和系统冷却, 能实现在72小时内不需要操作人员干预, 自行维护核电站的安全。
1989年我在加拿大参加世界能源大会时, 美国西屋公司专门派一位副总裁, 带着模型和几位专家来向我介绍第三代核电站, 我很用心地听了一上午, 中间也提出一些问题, 听完后, 那位副总裁问我有什么看法, 当时我说了三句话:“一我对此技术非常感兴趣;二没有看到什么高新技术, 堆芯是成熟技术;三确实有许多新思想。”如把机械通风改为自然通风, 大大简化了系统, 这不能说是什么高新技术, 只能说是新思想。在安全壳上面建一个水池, 当反应堆缺水和温度升高时水自动流下来, 这个想法非常好, 但也算不了什么新技术。还有把循环泵直接安装在蒸汽发生器上, 节约了管道和阀门等。诸如此类的巧妙思想, 使核电站大大简化, 减少了50%的阀门, 35%的水泵, 80%的管道, 45%的抗震构筑物和70%的电缆。第三代比第二代的确有很大的改进, 国家决定不再建造第二代, 只建第三代, 而且要成批生产, 这是非常正确的。
为了能更安全, 改进设计非常重要, 但从几年来发生的事故看, 强化管理, 严格纪律, 保证严格执行的制度也很重要, 我建议能否在核电管理中, 实行半军事化管理。
我国需要大力发展核电, 不是一般的需要, 而是非常需要。核电是安全的, 运行不产生二氧化碳。大量的二氧化碳是导致全球大气变暖的主要根源。2020年, 我国要建成全面小康社会, 经济增速最低要达到年均7%, 而为保证这个经济增长, 电力一年增长应大于7%, 到2020年我国电力装机最低要达到16亿千瓦 (风电、太阳能电二个千瓦才能达到煤电一个千瓦的发电量) 。我国达到全面小康水平之后, 经济还要发展, 要达到中等发达国家的水平。我国台湾只有2300万人口, 已经建了4000万千瓦的发电能力, 还在建第四核电站。我国发展到中等发达国家的时候, 全国需要建多少发电量, 现在还说不准, 不过20亿千瓦是不够的。除了大力发展水电、风电、太阳能外, 还需要大力建核电。我国现在已经有7亿千瓦的煤电, 再大规模地建煤电, 对大气将造成很大的影响。现在我国的二氧化碳排放量已是最多的国家, 世界每年新增的二氧化碳排放量我们是第一了, 再大量增加, 会受到全世界的指责, 而且全球大气变暖我们自己也是受害者。所以, 我们需要大量发展核电, 尽量减少煤电。印度总理讲他们到2050年要建设5亿千瓦的核电, 我国还没有人说过到那时核电规模是多少, 不过应该不会比他们少。
我国发展核电并不算太晚, 大约是上个世纪80年代初, 和韩国一同起步。韩国现在的核电规模达到总发电量的40%, 而我国核电只占到总发电量的1%。什么原因使我国的核电发展落后?主要是对核电的认识不够, 一个原因认为我国有煤, 发展煤电就够用了;另一个原因怕出安全问题。这些和核电专家们的宣传不够是分不开的。
我国建设核电, 在沿海建和内陆建都能做到安全发电, 在内陆建比在沿海建更为安全。从日本的福岛事故来看, 核电站抗震能力很强, 日本这次发生的是9级大地震, 并没有把核电站的基本功能震垮, 而福岛的两个核电站都是上个世纪70年代建的, 技术比现在的核电站要差一个数量级。在我国内陆建核电站不会遇到海啸, 福岛第一核电站这次出事故的主要原因, 就是海啸冲毁了自备电源。另外在内陆建核电站, 不会遇到台风。台风对核电站本身可能不会造成影响, 但台风会破坏输电线路。比较内陆, 在沿海建煤电能较好地解决煤的运输问题, 煤从北方港口下海, 可直达发电厂。在江西、湖北、湖南建电厂, 煤的运输很难解决。沿海地区人口密度比内陆大, 选厂址比较困难。从以上对比看, 沿海和内陆都应根据需要建设核电站, 但内陆应该更为安全。
听说在国务院讨论核电建设时, 有人说日本福岛核电站在这次事故中, 发生了大量被放射性物质污染的水排入大海的事情, 因此提出我国若在内地建核电站, 一旦发生泄漏事故, 会造成全部的河流和水库被污染。我认为, 这种说法是不符合实际情况的。
福岛核电站反应堆破损后, 放射性反应堆已裸露, 再向反应堆喷射大量海水, 被反应堆放射性物质污染的海水又流了出来, 这是造成福岛核电站将带有放射性物质污染的水排入大海的原因。
核电站一般都有三个回路, 第一个回路是把核电站反应堆内的热量带出来, 并和第二回路进行热交换, 产生饱和蒸汽。这个回路因在反应堆得到热量, 所以有低度的放射性, 但总蓄水量并不多。我国利用引进技术新建的4套AP1000, 第一回路的总水容量300立方米, 由四个方面组成, (1) 压力容器; (2) 蒸汽发生器; (3) 稳压器; (4) 管道。第一回路全部建在核电站的安全壳之内, 一旦发生事故, 这点水会全部被封闭在安全壳内, 决不会流到安全壳之外, 造成环境的污染。我国现有的和在建的核电站, 都建有坚固的安全壳, 就是发生事故, 也不会出现放射性物质跑出安全壳的事情。
第二回路的水是不带放射性的。水经过蒸汽发生器的热交换, 变为蒸汽通过管道到常规岛场后, 推动汽轮机转动发电, 在冷凝器中交换又变成水, 再回到蒸汽发生器。
第三回路是冷却用水, 它更不带放射性。通常回到河流、水库、冷却塔、或大海降温。我国将建设的核电站, 都不直接用河水、湖水来降温冷却, 而是采用冷却塔, 用冷却塔会带来一点水的损失, 需用河水或湖水来补充。核电站绝对没有任何水排入河流或湖泊。
核电站中的三个回路用水, 只有第一回路有少量的放射性, 而且水量不多, 并在任何情况下都不会流出核电站安全壳的外边。
大力发展核电, 不仅是为了减少二氧化碳, 防止气候变暖, 危害人类生存, 还能大大降低发电成本, 降低电价。全世界的核电成本都比煤电低:法国核电成本只是煤电的2/3;日本核电也比煤电低;美国现在核电成本只有2美分, 约合0.13元/度。如果能把全国电价降下来, 对经济发展, 降低生产成本也是一次重大的贡献。
新一代安全 篇2
就像每台电脑都配有一颗高效的核心来应对大规模的数据处理一样,在为达到最大安全性所产生的复杂密码运算面前,安全芯片也需要一颗具备凌厉功效的处理器。航天信息在研发AC3192芯片时,就前瞻性地为其装备了32位ARM处理器,增加的DSP指令集可提供强劲的算术运算能力,极大地提高了产品性能和应川灵活性,可快速完成加解码的数据处理,大大缩短用户的等待时间,带来更加方便快捷的使用体验。
更令人惊喜的是.AC3192这款目前市场上尺寸最小的芯片,其所装备的ARM处理器只需占用16位资源就可保留32位系统优势的特性,还可节约更多功耗,相比于等价32位代码核心而言,节省达35%,大大减少了手机的功耗负担。
新一代安全 篇3
第十三届中国信息安全大会, 于2012年5月10日在北京国际会议中心隆重召开。本次大会将以“构建安全生态系统——新一代信息安全防护”为主题, 邀请业内权威专家、国内外知名企业的代表以及重点行业用户CIO, 围绕全新IT环境给信息安全防护体系建设带来的挑战及应对策略进行探讨。
国网信息杜跃进:从RSA2012看中国的网络安全差距
SDA报告中一些非常值得我们借鉴的看点:
1.是否建立国家级CERT组织, 中国这个方面建的非常早, 曾经是世界的领先者。
2.是否参与国际CERT团体, 在座都是搞信息安全, 在安全圈子里边如果没有非常好可信任的合作团队或者合作圈子不可能做好安全的。
3.是否拥有网络安全战略。
4.是否拥有处理安全突发机制。
5.是否处理安全网络事件。
6.是否重视全民网络安全意识的提高
7.是否重视国家网络关键基础设施的安全防护和风险评估等。
中国的网络安全差距刚差一点, 网络安全研发能力不太够、投入不够、产业和研究之间衔接不够、专业人才培养效果不佳, 我们很多培训到底是什么目的?培训和训练怎么样才能达到这个目标需要好好反思, 产业不够发达、创新能力差、国家安全战略和长远目标不够清晰、威胁分析能力不强、整体安全风险分析和动态监测能力不强, 演练不高。
360石晓虹:全面保护互联网时代信息
互联网时代或者移动互联网时代信息安全是一个庞大的体系, 移动互联网快速发展, 广大个人用户的信息安全、信息面临什么样风险?我们应该如何保护?
1.信息安全是必须的互联网服务。网友QQ被盗号, 多家网站数据泄露的事件, 所有事件都告诉大家, 你的信息甚至包括你的资产在网上传递和处理, 这种情况越来越普遍, 面临非常大的风险。在中国很多互联网安全问题更加严重, 比如说有很多用户用的不是正版软件, 缺乏基本安全方面的支持, 另外很多中国网民比较下载软件, 如果不到太知名网站下载软件, 很有可能里边被捆绑一个插件或者木马。像网络游戏这样应用在中国也是非常普及的, 盗号情况也时有发生。
2.个人信息的泄露。通过各种各样手段设备使用互联网, 其中最主要安全风险就是被恶意软件;你的很多信息已经递交给网站, 很多网站服务商由于安全意识不到位、或者技术能力缺陷, 有可能被泄露;你的信息从终端传到网上也可能面临风险, 你网站传输的信息可能被泄露。
3.防止信息泄露。从政府到网站、到专业安全公司相互配合的多个环节共同努力, 才能减少或者更好保护个人信息。整个个人信息保护涉及到很多层面, 我们尽力从终端安全防护、以及面向互联网网站提供安全支持, 能够为广大网民、以及广大网站提供安全方面的支持, 尽到我们力所能及的责任, 同时我们希望同业内其他安全公司合作, 一起改善整个互联网个人信息环境。
H3C李彦宾:云时代的安全之道
H3C是做交换机, 无论技术创新、解决方案, 都是扎扎实实做一些项目。
一是, 网络之变。超超带宽;从客户端到应用端能不能做无损的传输;网络和安全的融合;有线和无线的一体化。二是, 四个变化结合云计算领域。1.传统安全威胁防护;2.云接触这一侧;3.虚拟化带来的风险。三是, H3C从几个方面考虑解决。1.云介入这一侧;2.云计算当中的虚拟化双层安全保护措施。3.安全的虚拟化。
目前, 网络H3C已经走在前边, 技术创新不在于一下看多远, 而在于扎扎实实做技术工作, 这些就是技术创新, 三大件不会变化, 安全基本类型不会发生变化, 只不过新的信息环境要求下要做适应的变化。
腾讯电脑管家:早期预警、共同捍卫:打造云时代立体防御体系
面对花样百出的病毒入侵, 以及安全防护“敌明我暗”的防护特点, “毒来我防”的传统防护形式已远远不能适应新形势下安防需要。唯有从源头入手, 加强防接触、防入侵、抓潜伏、防爆发等四个层面安防力度, 才能为用户打造安全、值得信赖的电脑空间。
目前, 电脑管家7.0已经为用户打造全方位智能预警体系。通过对搜索结果、下载文件、有害网页、移动设备的预先扫描, 从根源上实现“防接触”;通过AD进程防护、FD文件防护、RD注册表防护实现“防入侵”;针对系统生成早期进入的病毒和处于休眠状态下的恶意程序, 通过主动智能查杀技术“抓潜伏”;通过云鉴定、云学习、云统计等技术, 秒级响应最新的风险, 与现在处于安防主旋律的“防爆发”全面接轨。借助这四个方面层层递进, 不断过滤电脑风险, 彻底实现即时防护, 为电脑形成真正的全程防御体系。
盈世龚嘉:云时代的企业邮件安全
邮件安全, 邮件频繁提到, 邮件经常是我们安全漏洞的来源, 就算花了几百万买了一系列防火墙、安全解决方案, 但是如果邮件不够安全, 谁也没有办法。邮件说复杂是比较复杂, 在网易邮箱应用服务器超过几千台了, 说简单也简单, 点击、发送、阅读。第一个访问, 邮箱必须通过账号密码登录, 如果你的密码被别人知道, 邮箱就落入别人之手。第二个传输, 同样在邮箱界有一个技术, 叫SNTB, 这个协议由于创始者之初并没有说过多从邮件安全角度考虑, 一旦被截获邮件没有秘密可言。第三个内容, 很多病毒木马注入最终渠道通过邮件传递的, 就是发给所有人邮件正文当中的。第四个管理, 邮件承载很多信息, 管理也是需要我们注重的安全。
信息安全也是一个非常重要的, 特别在信息社会里边, 所以信息安全也是每一个企业IT厂商认真关心、关注的问题, “安全责任重于泰山”。
从下一代防火墙到下一代安全 篇4
“iPhone上面没有网线接口,这是乔布斯为智能终端做出的最大贡献之一。其在近几年的发展反映了一个趋势:互联网的未来属于移动。”Palo Alto Networks(下文简称“Palo Alto”)大中华区销售总裁徐涌表示。这番回答可以说一语双关。一方面他解读了当前业界的趋势,同时也表达了Palo Alto对端点安全的关注。
从“下一代”起步
安全领域近几年出现了很多革命性的技术和产品,比如下一代防火墙、沙箱技术以及大数据安全。这些变革的目的其实很简单:从用户需求出发,在性能线性增长的同时提供更加智能便捷的安全服务。如果有人想要详细记录这段变革过程的话,那么Palo Alto的名字很难不出现在历史记载上。
这家以美国加州高科技“圣地”地名命名的公司,从2007年创立初期较早提出了下一代防火墙的概念。当时,有一些人认为这不过是噱头而已,其本质与统一威胁管理(UTM)没有太大区别。不过很快的,Palo Alto就拿出了完整的解决方案,这让当时的业界为之赞叹。
在下一代防火墙的概念下,Palo Alto改变了传统防火墙基于策略或者“五元组”进行标识的做法,将原本位于底层的协议与上层应用对应,将IP地址与用户身份绑定,同时对网络流量进行解包进行内容可视化。将这些内容产品化后,就形成了Palo Alto标志性的App-ID应用感知、User-ID用户感知、Content-ID内容感知架构。
由点及面的安全
在2013年Gartner的企业网络防火墙魔力象限中,Palo Alto被排入了领导者的位置。与之相对应的是,很多传统大厂却没有进入这一象限区间。“很多公司都是由于赶不上下一代的变化而被淘汰的。”徐涌表示。
对于Palo Alto而言,其所认准的下一代变化就是终端安全。日前,其正式收购了以色列的网络安全公司Cyvera。而在此前,其还收购了一家名为Morta Security的初创公司。徐涌明确地表示,Palo Alto如今已经不再是一家单纯的防火墙公司,而是完整的安全解决方案与端到端防护企业。在这个思路中,Palo Alto提出了“下一代安全平台”的概念。终端安全是其中重要的组成部分。同时,移动互联的防护也被带入其中。
Cyvera所关注的就是端点安全的部分。其所推出的TRAPS((Targeted Remote Attack Prevention System)解决方案,关注在通过统一控制和管理维护终端安全。与一般安全产品不同,TRAPS并非在攻击发生时被动进行防御和告警,而是感知判断全网的应用状况,并设置各类警告点和阻隔,进行主动的防护。同时,其也具有可视化的后台数据分析与判断能力。从理念上,Cyvera与Palo Alto非常相似。这为未来整合提供了更加便捷的通道。
“原来很多人的概念是,安全只是部署防火墙就可以。而如今,安全架构在发生改变。”徐涌表示。
实际上,不仅仅是Palo Alto,业内其它厂商也在布局安全产业,这中间既有像FireEye这样的新晋厂商,也不乏思科这样的老牌企业。从长远来看,移动互联的应用趋势已经打破了安全边界,这意味着稍有不慎,原本安逸的网络环境就会遭受破坏。因此,安全绝不再是一个产品或者几个产品的组合,而是一整套思路、方法以及认知。
新一代移动网络安全问题与防护 篇5
一、3G网络构架和安全体系
在国际电信联盟的3G框架中, 主要推广的是UMTS系统。以UMTS为例的3G系统的接入网部分采用了UTMS地球无线接入网络方案, 核心网包含电路域和分组域两大部分。接入网部分处理所有无线收发相关的功能, 进行无线资源的管理。核心网部分则处理所有的电话交换和路由功能, 进行扩展到外部网络的数据连接。系统由用户设备完成用户与网络的交互接口。移动网络由各个运营商统一管理, 运营商之间或者不同类型的网络之间通过一些特定网络相连。例如, 集成服务数字网络, 公共交换电话网络, 因特网等。
3G系统是从2G系统发展而来的, 它继承了2G在安全方面的一些特点, 同时也出现了自己的一些特性。3G系统的安全体系中定义了五种特性, 每一组特性都针对特定的安全威胁, 完成特定的安全目标。
网络接入安全 (Ⅰ) :定义了为用户提供安全接入到3G网络的服务, 特别强调了保护对无线链路的攻击。
网络域安全 (Ⅱ) :定义了在运营商网络节点间安全交换数据的重要性, 保护针对有线链路的攻击。
用户域安全 (Ⅲ) :定义了用户接入移动基站的安全。
应用域安全 (Ⅳ) :定义了用户和运营商应用程序交换数据的安全。
安全的可见度和可配置性 (Ⅴ) :定义了用户能够知道在操作中是否使用了安全特性, 并且用户使用的服务是否依赖安全特性。
虽然3GPP提供了很多措施和机制来保障3G系统的安全, 但其仍有很多安全缺陷。USIM模块用来提供用户身份认证, 但它并不能保证终端设备的可靠性。而且基于密码身份证明的安全性不足以控制用户对终端设备和USIM的访问, 一些攻击手段可以很容易地获取数据。即使保证了数据通信和接入到骨干网络的安全性, 移动设备仍然是对攻击者开放的。针对这些问题, 下一章我们将详细讨论目前移动网络面临的安全威胁和需求。
二、安全威胁和需求
UMTS网络结构包括用户设备、接入网、核心网和Internet网四个部分, 其安全威胁也来自这四个方面。并且现有的无线网络和Internet网络所面临的安全威胁将全部适用于移动网络。本文着重分析用户终端和运营商网络方面的安全特性。
1. 移动终端连接上Internet网络后, 面对蠕虫、病毒、木马等的攻击威胁。
2. 与电脑连接同步交换数据, 攻击者感染电脑, 再感染移动终
端。
3. 移动终端使用蓝牙等方式进行点对点通信时, 已经感染病毒的一方将病毒传染给另一方。
4. 对终端硬件进行攻击威胁。
5. 运营商网络面临安全威胁。
6. 对移动基站的Do S攻击, 对移动网络的DDo S攻击。
7. 用户身份窃取和欺骗的威胁。
8. 通信数据非法窃听的威胁。
9. 另外还有一些非法传播垃圾邮件、窃取终端设备、运营商计费抵赖等威胁。
通过对这些问题的分析可以看出, 移动终端的安全是整个移动网络安全的保障和基础, 同时认证和访问控制是提高安全特性的有效手段。
三、基于安全服务的移动网络安全体系
在现有的3G移动网络基础上, 我们提出了基于安全服务的移动网络安全体系, 从整个网络的角度出发, 为用户提供安全可信服务, 从而解决安全问题。由于3GPP已经提出一系列方案, 解决了接入交互时用户和网络的相互认证安全问题, 并且增强了用户数据、语音和信号的加密和认证的安全性。因此本文重点在安全体系的阐述和移动终端的安全环境构建上, 而对现有无线链路还有接入网的安全协议等不再做过多阐述。
一个合法的软件中应有身份和安全属性。身份属性是SWP给该软件签发的数字证书, 安全属性则是该软件源码的摘要信息以及SWP对该摘要信息的加密签名。整个软件还必须有SSP的签名, 获得SSP的安装许可。
访问控制是一个有效的保护系统资源的方法。系统的安全问题归根结底都是对系统资源的非法或者不正确的访问。因此我们可以对系统资源进行细分, 对控制系统资源的主体——操作系统进行安全强化来执行访问控制策略, 从而赋予不同的软件以不同的访问权限, 来达到保护系统资源的目的。
四、未来关注的研究方向
硬件平台需要可靠的安全保护机制, 内存空间的关键位置读写保护也是一个很好的思路。系统和软件装载到内存中, 通过对CPU访问内存的监控, 控制对关键位置的读写操作。由于是从硬件上来控制读写, 几乎不会影响到系统的运行效率。这种区域隔离方案是解决系统实时防护的有效方法, 但需要操作系统的配合, 提供完整的内存存储信息。
软件平台安全的关键在于操作系统, 访问控制是有效的手段, 但缺乏足够的理论支撑和安全性测量方法, 这也是可信计算技术面临的问题之一。因此在操作系统的安全性研究上, 侧重于理论指导下构建安全模型, 从而增强操作系统的安全性。
五、总结
基于新一代网络安全技术的实现 篇6
随着Internet的高速发展,全国的各个地方都普遍建立了自己的网络,与之前的网络一样,网络安全具有相应的特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。如何保证网络能正常的运行不受各种网络黑客的侵害就成为不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起重视。
2、网络安全分析
2.1 网络的建设概述
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。新一代网络有多方面,有学校的网络,企业的网络,事业的网络等等。我国在构建信息防卫系统时,应着力发展自己独特的技术和安全产品。随着计算机网络技术与多媒体技术的不断发展,使现代教育面临一系列的改革。尤其是多媒体网络技术在教育教学过程中的应用越来越普遍,使校园网络建设成为教育信息化发展的必然趋势。大部分高校的校园网基础设施己初具规模,几乎所有的办公、教学、宿舍楼都接入了校园网,网络系统成熟稳定,网络应用系统更加丰富。
2.2 校园网络与各个网络共同面临的不安全因素
随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络安全管理也逐步成为网络管理中极为关键的任务之一。从根本上说,计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点,而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁网络系统的安全的因素很多,主要表现如下:
(1) 网络协议的漏洞
TCP/IP协议簇是互联网使用的网络协议,也是多数网络采用的协议。TCP/IP议簇具有开放性和通用性等特点,并且在因特网最初的设计中基本没有考虑安全问题,存在着很大的安全隐患,缺乏强健的安全机制,同时,任何组织或个人都可以研究、分析及使用,因此,TCP/IP协议的任何安全漏洞都可能被利用。主要存在的安全问题有:数据窃听、源地址欺骗、源路由选择欺骗、地址欺骗、鉴别攻击、TCp序列号欺骗、ICMp攻击、拒绝服务 ( (DoS) 攻击、IP栈攻击等。
(2) 操作系统的缺陷
操作系统的安全是网络安全的核心,操作系统结构体系本身有很多缺陷,操作系统的程序是可以动态连接的,I/O驱动程序与系统服务都可以用打补丁的方式进行动态链接,而打补丁的方式很容易被黑客利用。一个靠补丁改进与升级的操作系统是不可能从根本上解决问题的。现在,操作系统一般都提供了强大的网络功能。用户在使用时,必须了解这些功能并进行正确的配置;否则,这些功能反而可能成为被黑客利用的极大"后门"。
(3) 攻击工具获取容易,使用简单
在互联网上,有很多攻击工具可自由下载,此类攻击工具设置简单、使用简便,即使对网络不太精通的人都可以利用攻击工具进行网络攻击。大量的廉价好用的攻击工具充斥于网络中,自动化攻击工具大量泛滥。随着攻击复杂度的降低,使得一个普通的攻击者也可以对系统造成巨大的危害。攻击技术的普及使得高水平的攻击者越来越多,反而言之,安全管理员面临着巨大的挑战,我们的系统面临的安全威胁也越来越大。
(4) 大部分用户的安全意识不强, 计算机及网络应用水平有限
网络用户对网络安全尚未能充分认识,基本上没有或很少对所使用计算机作安全防范。校园网用户更多地侧重于各类应用软件的操作上面,以期望方便、快捷、高效地使用网络,最大限度地获取有效的信息资源,而企业网络用户考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。目前,国家网络中心也都制定了各自的管理制度,但宣传教育的力度不够。还有很大一部分用户出于好奇或卖弄编程技巧的心理,破坏了网络的安全。网上活跃的黑客交流活动,也为他们的破坏活动奠定了技术基础。
3、新一代网络安全防范技术
3.1 病毒防护技术
病毒防护技术是指通过对网络上传输的数据、系统内的文件、内存和磁盘等进行扫描和实时监控,发现病毒并将其清除的技术。
3.2 数据加密技术
数据加密技术是保证信息的安全性的关键技术,是一种主动的防御技术,其基本思想是通过对数据进行加密变换,将其转换成非法入侵者无法识别的一字符来保障网络安全。如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。目前主要存在两种加密技术:一种是对称加密,其实现算法主要是AES;一种是非对称加密,其实现算法主要是RSA。
3.3 认证技术
认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。认证常常被用于通信双方相互确认身份,以保证通信的安全。认证可采用各种方法进行,其实现主要是通过数字信封、数字摘要、数字签名、数字证书、智能卡和生物特征识别等技术方法。
3.4 防火墙技术
防火墙技术实际上是一种隔离控制技术,它是一系列部件的组合,用来有效地监控不同网络或网络安全域之间的任何活动,拦截非授权的访问。目前,防火墙技术是实现网络安全策略最有效的工具之一。但防火墙技术是一种被动的防御技术,对来自内部的非法访问难以有效地控制。
防火墙关键技术有:一是数据包过滤技术,是一种完全基于网络层的安全技术,它只能根据数据包的源地址、目标地址、端口号、协议类型以及状态信息等进行过滤,无法对应用层的数据进行过滤,因此对于基于应用层的恶意入侵就无能为力。二是代理技术,它用来提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接作用,这种方法可以有效地防止对内部网络的直接攻击,安全性较高。三状态监控技术,有效地提高了防火墙的安全性,可以对每一层的数据包进行检测和监控。四智能技术,一个全方位的安全技术集成系统,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
3.5 防火墙中的网络地址转化-NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
3.6 入侵检测技术
入侵检测技术通过对从计算机网络或计算机系统的若干关键点收集的信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,关对非法使用系统资源的行为及时判断、记录和报警。协助系统管理员进行安全管理或对系统所受到的攻击采取相对应的对策。
3.7 VPN技术
虚拟专用网VPN (VirtualPrivateNetwork) ,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应用商同公司内部建立可信的安全连接,并保证数据的安全传输。VPN实现的两个关键技术是隧道技术和加密技术。
4、构建基于主动防御的动态网络安全模型
随着计算机技术和通信技术的发展,网络的安全问题日渐突出,变得更加重要。但目前对于网络安全都采取的是"被动防御"技术,即发现网络受到了攻击,才采取打补丁、关端口和用防火墙或用防毒软件杀毒,这往往是网络已造成了损失,进行事后补救,而并不能使网络具备主动防御的能力。黑客和病毒对网络的攻击往往会采用一些新方法和手段,使得网络在未知攻击的情况下不能做出任何反应,而导致重大损失,因此研究校园网络的主动防御技术具有重要的现实意义。
在网络安全防范方面,传统的安全防护方法是通过对网络进行风险分析,制定相应的安全策略,采取一种或多种安全技术作为防护措施。这种方法忽略了网络安全没有标准的过程和方法这一重要特征。我们必须认识到网络安全没有一个一劳永逸的解决方案,新的安全问题出现需要新的技术和手段来解决,因此,网络安全是一个动态的、不断完善的过程,从而提出了动态安全体系结构模型的网络安全新概念。
动态安全体系结构模型以整个网络作为安全管理的对象,在该对象上以策略和管理为核心,部署检测、防护、反应和恢复等安全技术,以此来保证对象的安全。主动防御体系则将校园网络内部署组织资源的主机 (也可以是全部的主机) 看作一个安全系统,将检测、防护、反应和恢复分散到每个安全系统中去,同时,各安全系统通过统一的安全消息协议进行通讯,使各安全系统既各自相对独立又相互依存。如此,各安全系统之间形成了具有防御纵深和梯次部署的整体防线,使网络形成了一个交互和联动的安全系统,从而构成了主动防御体系。将主动防御的思想融入到动态安全体系结构模型中去,构建基于主动防御的动态校园网络安全模型。
5、结束语
网络的安全技术防范的建设是一项复杂的系统工程,其要求统一考虑,长远规划,保证技术的先进性和可扩展性。在技术上要求适应网络动态变化,建立自适应的安全保障体系。在各种的网络安全建设中,我们将根据所建立的模型,在不断完善网络安全方案的同时,逐步实施,不断提高新技术,不断完善和优化,形成一个立体的、全方位的具有主动防御的动态网络安全防范体系。
摘要:当前互联网的不断发展已经把世界各地的计算机紧紧的连接在一起, 网络连接在一起, 网络服务也就不断的应用在各行各业。因此也存在着各种各样的网络安全问题。本文讨论了新一代网络面临的各种的安全威胁, 深入研究了网络安全防范的相关技术, 为如何构建可靠的网络安全体系提供了依据。
关键词:网络,安全,新技术
参考文献
[1].雷渭侣、王兰波.计算机网络安全技术.北京:清华大学出版社, 2010
[2].秦宗全, 于咏梅, 郭大春.校园网络安全防范体系研究[J].计算机时代, 2007 (2) :16一18
[3].魏永红, 李天智, 张志.网络信息安全防御体系探讨[J].河北省科学院学报, 2006, 23 (1) :25一28
[4].刘朝晖, 汪琳霞, 李康满.主动式安全防御技术的研究与设计[J].南华大学学报 (自然科学版) , 2006, 20 (2) :2一24
新一代安全 篇7
概述
基于相位敏感光时域反射计 (Φ - OTDR) 技术的国铁光纤分布式铁路周界安全监测系统, 利用沿光缆传输的后向瑞利散射光相干探测外部入侵, 并根据注入光脉冲与接收信号之间的时间延迟定位入侵地点, 从而实现大范围、长距离的分布式入侵监测与报警。该系统最大的特点是整个光缆均为敏感区域, 灵敏度高、定位精度高、实时性高, 数据处理简单。在处理终端, 通过时域、频域多种信号分析方法、多参数特征提取方法等现代信号处理技术, 实现长距离周界上单点和多点同时入侵的准确检测、精确定位。该系统还可以根据特定算法对于环境及非人为因素入侵予以排除, 只对具有威胁性的行为进行及时的声光报警, 报警同时对入侵的具体位置进行数字地图定位显示, 并与入侵对应位置的摄像头进行视频联动。同时, 系统具有SQL数据库管理功能, 能够对监测数据和报警日志进行实时自动记录、跟踪、调用和管理。
系统的技术创新点:
双参量光时域反射技术优势:高灵敏度振动探测模块对微弱的振动信号敏感, 保证了系统的灵敏度和检测率, 可对翻越周界护栏的入侵行为进行有效捕捉和预警。光缆应变探测模块只对较大的光缆弯曲应变敏感 (但对振动不敏感) , 可对翻越周界护栏的入侵动作可以进行二次判别和有效确认。通过一根光缆获得双重判据, 在保证检测率的基础上大幅降低系统的误报率。
OTDR光时域反射技术优势:基于OTDR (光时域反射) 技术的光纤分布式定位型周界监测系统具有全程无源、抗电磁干扰、抗雷击、定位精确、灵敏度高、超长距离监测等诸多优点。
在技术上与防区型的光纤周界监测系统相比的优势:在监测距离、定位精度和防误报这三个方面具有明显的优势。并具备多点入侵同时监测与定位功能。
工程上的优势:光纤分布式定位型周界监测系统采用单根振动传感光缆单向布设, 无需构成回路, 并且单套系统监测距离可达数十公里, 无需续接辅件 (无中继和续接单元) , 大幅降低了施工难度和后期维护成本。
系统的特色
实时报警:响应时间<0.1 s ;
极高探测率:入侵探测率100%;
极低误报率:误报率<2%;
单套系统监测防护范围:10-60km不等;
定位精度:可实现监测周界沿线的连续定位。入侵定位精度为±10m;
可实现2点以上的多点入侵同时监测, 多点入侵的定位精度有保证;
可以在单套系统中实现对周界不同入侵行为和环境干扰的双重判断, 从而大大降低了系统的误报率;
具备声光报警及数字地图定位功能;
具备设备故障自查和反破坏能力;
具备数据库管理功能, 实现实时监测数据及报警日志的自动输入、查询、调用与管理;
具备视频联动 (遥视、摇控) 功能;
手动设置报警门限;
全天候运行, 实时监控。
本文将就国铁光纤分布式铁路周界安全监测系统的设计方案进行讨论。
系统设备组成
国铁新一代光纤分布式铁路周界安全监测系统, 如图4所示, 由三个主要部分组成:入侵探测光缆、入侵信号解调主机和控制主机单元。入侵信号解调主机由激光发射系统、激光方法系统、激光接收系统以及激光处理系统等部分集成。控制主机单元作为上位机, 基于计算机平台, 实现系统控制和信息显示, 信息处理和数据通信等功能。
处理终端
系统处理终端由处理主机、显示器、键盘鼠标等外设构成, 由于本系统涉及海量数据运算, 系统配置最低要求如下:
操作系统:Windows XP/7/ME/2000
入侵信号解调设备
入侵信号解调设备, 如图3所示, 是国铁光纤分布式铁路周界安全监测系统的核心器件, 其监测原理是将光纤一端注入光脉冲信号, 探测后向瑞利散射光, 由于注入光纤中的激光线宽很窄, 具有很好的相干性, 因此入侵信号解调设备探测的信号实际上就是脉冲宽度区域内反射回来的瑞利散射光相干干涉的结果。当光纤线路上的某个位置由于入侵而发生扰动时, 光纤相应位置的折射率将发生变化, 这将导致该处光相位发生变化, 由于干涉作用, 相位的变化将引起后向散射光光强发生变化, 所以这些光强变化的时间将会对应于入侵发生的位置。
入侵信号解调主机是光纤分布式铁路周界安全监测系统的核心设备, 如下图所示。该主机光纤通道的光学接口类型为FC-APC接口。
主要技术指标:
监测系统硬件连接
该系统硬件连接方式: (1) 探测光缆与入侵系统解调主机之间通过FC-APC光缆接口方式连接; (2) 入侵信号解调主机与控制主机之间采用网线连接; (3) 控制主机与其它监控系统可通过以太网连接。
传感光缆及其工程施工
探测光缆安装方式根据具体周界类型不同可进行灵活调整。对于周界围栏的挂网安装方式, 一般在网面上采用S型或直线型的路径布设光缆, 光缆长度对实际物理距离长度的推荐比例为1.5~2:1。整个铺设光缆的线路即为所监控的区域周界。沿着需要监控的区域将光缆按上述方式布铺设好, 光缆上下端固定处可采用尼龙绑带固定, 光缆布设过程中应避免光缆被拉的太紧或者弯曲太大, 导致传输的光信号衰减较大影响传感光缆的有效检测距离。部分光缆布设实例如图7所示。
监测系统软件功能的实现
系统软件通过控制数据采集卡, 实时读取数据, 并通过后台对数据的分析、处理, 监控防护周界上的传感光缆状态, 并将处理结果进行报警输出, 通过报警声音提示保安人员作及时响应, 同时将报警入侵的具体地点显示在程序主界面的数字地图上。同时, 通过视频联动, 可以控制视频监控系统进行重点区域或入侵地域的图像记录和捕捉。
监测系统软件包括光纤主机的周界入侵检测识别模块、可视化综合交互功能模块、数据库日志综合管理功能模块、周界入侵视频联动模块4个主要功能模块, 以及登录及权限管理等其他功能模块。
当监测系统检测到光缆扰动, 怀疑有入侵行为时, 监控软件会自动跳转到电子地图的监控主页面, 点亮“黄色”预警灯, 在电子地图上显示该入侵位置以及该入侵点所处的区段, 并将其对应的光缆位置及物理位置等信息显示于界面右边报警信息栏中, 如图8所示。
结束语
新一代安全 篇8
1 防火墙拓扑结构及其应用
防火墙的拓扑结构与防火墙系统的性能密切相关, 一般采用以下三种结构:双宿主主机结构、屏蔽主机结构和屏蔽子网结构[1]。
1.1 双宿主主机结构
双宿主主机是指具有至少两个网络接口的通用计算机系统。这种主机可以配置成两个网络之间的路由器, 即它能将一个网络的IP包在无安全控制下传递给另一个网络。但是, 当一台双宿主主机被配置成防火墙的时候, 它的路由功能将首先被禁止。内外网络均可以与双宿主主机通信, 但内外网络之间不可以直接通信。因此, 这种结构的防火墙通常使用应用代理功能。其结构如图1所示。
双宿主主机结构的优点是防火墙结构简单, 能有效隔离内部与外部网络的连接。缺点是只有用代理服务的方式或者让用户直接注册到双宿主主机上才能提供安全控制服务, 而用户帐户本身就会产生很大的安全问题。如果用户非法获得双宿主主机的管理权限, 则可以改变防火墙的配置, 使防火墙失效。例如开通路由功能将使内外部网络直接连通。
1.2 屏蔽主机结构与双宿主主机结构不同, 在屏蔽主机结构中, 提供安全保护的堡垒主机完全放在了内部网络。此外, 还需一台单独的路由器作为内外部网络的过滤路由器。屏蔽主机结构如图2所示。这种结构中的堡垒主机位于内部网络, 而过滤路由器按如下规则过滤数据包:任何外部网的主机都只能与内部网的堡垒主机建立连接, 任何外部系统对内部网络的操作都必须经过堡垒主机;同时, 禁止内部主机对外部网络的直接访问。
主机过滤结构与双宿主主机结构最大的不同是把提供安全服务的堡垒主机移到了内网上, 但是主机过滤结构能够提供比双宿主主机结构更高的安全性。因为一般来说, 在一台路由器上施加保护, 比在一台主机上施加保护要容易得多。在这种情况下, 对路由器配置的正确与否成为防火墙是否安全的关键, 如果路由表被修改, 则堡垒主机可能被超越, 使内部网完全暴露。
1.3 屏蔽子网结构
屏蔽子网结构就是在主机过滤结构中再增加一层隔离措施, 使得内部网与外部网之间有两层隔断。这两层之间被称为非军事区 (DMZ) 。在这种结构中, 有两台都与DMZ相连的过滤路由器, 分别位于内部和外部网的边缘。路由器的配置规则使内、外部网络都能访问DMZ, 但禁止内、外部网络直接通信。非军事区放置堡垒主机, 以提供内、外部网络的安全服务。另外, 允许外部直接访问的服务器如HTTP服务器、邮件服务器等也放在非军事区, 如图3示。
屏蔽子网防火墙能提供较高的安全保护。即使入侵者攻克了堡垒主机, 他还必须通过内部路由器才能到达内部网络。这样, 整个网络安全机制就不会因为一点被攻破而全部瘫痪。
2 防火墙的设计策略
防火墙的基本设计策略有以下两种[3]:拒绝访问, 除明确许可以外的任何一种服务, 即拒绝一切未赋予特许的东西;允许访问, 除明确拒绝以外的任何一种服务, 即允许一切未被特别拒绝的东西。
如果防火墙采取第一种安全策略, 那么, 需要确定所有可以被提供的服务以及他们的安全特性, 然后开放这些服务, 并将其他服务排斥在外, 禁止访问。这种策略比较保守, 因此提供比较高的安全性。如果采用第二种安全策略, 则需要确定哪些认为是不安全的服务, 并禁止对其访问:其他服务则被认为是安全的, 允许访问。这种策略好处是较灵活, 能提供较多的服务, 但是缺点也很明显, 当网络规模扩大或网络提供的服务较复杂的时候难以周全考虑禁止的范围, 以至产生安全漏洞。
采用哪种安全策略要看具体应用。对Linux防火墙的包过滤规则采用缺省拒绝的策略;对WEB过滤则采用缺省允许的策略是比较好的方法。
摘要:基于Linux的应用程序方兴未艾, 对基于Linux的防火墙提出了三种模式, 分析了其优劣。
关键词:Linux,防火墙,结构
参考文献
[1]刘渊等编著.因特网防火墙技术[M].北京:机械工业出版社, 1998.
[2]石文昌.安全操作系统研究的发展[J].计算机科学2001, 1 (29) .
新一届信息安全教指委成立 篇9
会上,教育部高等教育司理工科教育处副处长侯永峰代表教育部对新一届信息安全教指委的工作提出了要求;新一届信息安全教指委主任、工信部信息安全协调司司长赵泽良,新一届信息安全教指委名誉主任、中国工程院院士沈昌祥做了主旨讲话。电子工业出版社副社长兼总编辑刘九如代表信息安全教指委支撑机构也在会上致辞。工信部信息安全协调司综合处处长胡啸以及来自全国各相关高校、企业和军队等机构的新一届信息安全教指委成员参加了成立大会。
与会的新一届信息安全教指委成员侧重就新一届教指委的工作目标和主要任务进行了深入讨论,大家期望新一届教指委充分发挥“研究、咨询、指导、评估和服务”的职能,真正成为“教育部管理教学的依靠力量、指导高校教学工作和教学改革的骨干力量、实现高校规范教学管理的推动力量、加强高校教师队伍建设的引导力量”,要在上届信息安全教指委工作的基础上,着力宣传和推行《信息安全专业指导性专业规范》,着重开展信息安全专业规范建设的实践与完善;着手研究制订《信息安全专业国家教育标准》,为开展信息安全专业认证评估工作做好准备;并建议编制《信息安全专业发展战略报告》和《信息安全学科发展报告》,为信息安全专业和学科建设奠定坚实基础。
新一代安全 篇10
3G业务的迅速推广、三网融合试点的全面启动, 使得我国信息通信产业进入了一个全新时代—固定宽带、无线通信及广电网实现融合, 传统通信网络逐渐IP化, 手机终端也朝着智能化、多媒体化的方向发展。这些变化引发了数据业务的大集中趋势, 而数据中心作为电信运营商实现信息服务的核心枢纽, 其重要性正在不断提升。
相关咨询报告显示, 预计到2013年, 中国下一代数据中心市场规模将超过977亿元人民币, 2010~2013年的复合增长率将达到25%。可以看到, 不断膨胀的数据业务需求使得数据中心的市场规模迅速扩张, 但同时, 也让数据中心暴露出一些新的安全隐患。
今年上半年, 包括谷歌在内的一些知名服务提供商和电信运营商都曾因非法网络侵害而造成较长时间的断网事故, 包括电信级数据中心在内的很多IDC机房都存在着安全性、隐私性以及内容合法性等一系列问题, 由此也成为各大企业、电信运营商及政府机构关注的重点。
来自国外的监测报告显示, 目前地下黑客组织已呈现产业化、经济化趋势, 而SQL注入、跨站脚本 (XSS) 、跨浏览器攻击 (ClickJacking) 等攻击行为已经成为网络非法侵害的主要方式。
传统安全思路亟需转换
在电信数据中心机房中, 鉴于种种历史原因, 传统的安全保障系统呈现层次化的结构, 即针对互联网接入层、汇聚层、业务接入层和运维管理层, 不同的层次拥有不同的安全策略。
比如业务接入层, 主要是对主机资源的病毒防护, 建立集中的病毒库、病毒引擎, 周期性地杀毒和清洗主机;其次是实施周期性安全评估, 根据安全评估结果, 更新防护手段;最后是主机安全加固。而在运维管理层, 一方面是对远程接入形式的安全防护, 另一方面则是对本地运维人员的安全防护。
尽管这种传统的安全策略的覆盖范围相对完整, 但其弊端也在于不能完全以用户的业务体验为中心, 各层面间往往各自为战, 在保障用户体验方面存在欠缺。
工业和信息化部电信研究院信息安全专家靳亚男表示:“在数据中心的后续规划中, 电信运营商将逐渐调整安全策略思路, 重新建立一个全新的信息安全模型—从上而下是用户安全、数据安全、应用安全、网络安全、主机安全、物理环境安全, 从左到右是加密/防泄密、标识认证、访问控制、监控检测、容灾恢复、审计检查, 其中各个层面的安全都将设计相应的防护手段。”
与此同时, 基于电信级数据中心将承载越来越多的关键业务和应用的发展趋势, 如服务器、操作系统、数据库、Web服务、中间件、邮件等, 为了在不影响业务系统运营的基础上, 既保证高可靠性和可视化性, 又可进行必要的监控和管理, 靳亚男告诉记者, 未来数据中心安全体系的搭建, 也将围绕管控中心、防护中心、审计中心、采集展示中心等几大重点展开。
IDC扩建加速凸显安全隐患
在2010年, 可以看到, 企业客户成为电信运营商争夺利润的关键, 为了能够提供更加全面的信息化业务服务, 扩建数据中心机房已经成为各家的共同选择。目前, 国内三家电信运营商都在大力兴建数据中心机房, 并为不断增长的业务需求实施系统升级和模块扩充。
据了解, 中国移动已在今年初制定了数据中心3年规划, 并宣称在未来3年内, 将其他两家依靠“固网”起家的电信运营商, 在数据中心规模、企业客户市场等方面三分天下;中国电信数据中心的发展规划则以网络为核心, 建立一个综合服务信息平台, 同时通过能力汇聚和接口开放策略, 提供定制化服务;中国联通也开展了新一轮的数据中心业务推广, 并通过内部机制改革, 实现跨域业务的“一点受理、一点签约、一点缴费”的新服务模式。
但是, 如此快速的扩建计划也使得数据中心的安全问题逐渐暴露。一位中国移动研究院网络技术研究所的内部人士告诉记者:“目前, IDC的安全能力仍主要集中于网络侧。以中国移动为例, 在网络接入层尤其在省网和骨干网出口都部署了流量清洗系统, 主要用来抵御DDoS攻击;在网络汇聚层, 一方面利用防火墙等工具建立严格的控制访问权限, 另一方面对入侵防御系统进行有效补充;而在业务接入层, 则面向主机资源等建立集中病毒库, 并进行周期性的安全评估。”
现有安全资源分配不均
针对黑客主要的攻击对象—应用层 (包括Web应用、数据库和文件管理) , 电信运营商却少有关注。“现阶段, 一些地方运营商除了针对后台计费系统等关键性业务加装了数据库防火墙外, 其余大量的安全防御设施都被部署在了网络层面。”前述研究院人士补充道。
“我们需要重新审视应用层的安全问题, 由于这些针对业务层的安全攻击, 如非法篡改网页和盗取数据库信息往往能够直接获得利益, 电信运营商数据中心的后台查询、计算资源以及网站信息管理也就成为了易受攻击的对象。”一位中国联通IDC运营中心的内部人士如是说。
据了解, 数据中心应用层的安全防御对象可大致分为三类, 分别是Web应用、数据库和文件。一旦这些应用受到直接威胁, 传统的数据中心安全解决方案则多少显得有些无力。相关技术专家解释说, 传统网络防火墙将威胁挡于自身网络外, IPS可抵御已知的漏洞威胁, 但这些手段仅在网络层面, 对于一些来自应用层面的攻击入侵行为, 效果并不明显。“也就是说, 数据中心的安全策略除了需要粗线条地在网络层、传输层部署安全解决方案以外, 也要考虑针对一些关键性应用分别配备更为精细的应用防火墙设施。”
新技术规划引发“安全”思考
同时, 下一代数据中心的发展规划也对安全策略防护提出了新的挑战。中国移动研究院网络研究所项目经理黄璐表示, 电信级数据中心计划规划将走向三个方向, 一是建设基于“云计算”的数据中心;二是通过引入新技术—CDN、P2P等提高业务能力;三是建设节能绿色的数据中心。
“在具体思路上, 云计算以其自身动态部署的特性、业务创新和标准化架构的特征成为电信运营商降低成本和业务创新的必然选择, 在未来云计算数据中心的系统架构中, 包括服务器、存储以及网络等, 这些都将以虚拟化形式来提供资源的整合以及对外服务;在CDN技术方面, CDN将资源分布到网络距离用户最近的点, 一方面改善用户体验, 另一方面可以高效利用网络内部带宽;而在绿色节能方面, 我们将进一步使用节能设备, 引入新节能技术, 比如高压控电技术、精确制冷技术等。”黄璐表示。
“这些新的技术走势将引发运营商对于电信级数据中心安全策略的重新思考。”中国电信北京研究院互联网应用创新中心主任雷葆华表示, 比如在云计算和云服务的推广方面, 如何实现云计算与云服务的安全性保障, 如何实现个人隐私的保护, 这其中有些是用户、电信运营商、方案提供商层面能够解决的, 但有些则需要整个行业、政府在法律法规遵从和信用体系的建设方面做出努力。
移动终端成信息安全新重点
除了基于传统互联网的病毒传播外, 移动终端也在移动互联网的迅速发展下, 面临越来越多的信息安全方面的威胁。统计数据显示, 截至2010年9月底, 共发现2012种手机病毒, 预计今年底将接近2500种, 超过前五年病毒数量的总和。
陕西联通网管中心工程师黄文告诉记者, 针对移动终端的安全防护十分必要, 目前手机安全状况并不很理想, 包括ipad等热门终端都相继暴露出许多安全问题, 未来针对移动终端的安全防护之路还有很长。
据了解, 目前传播的手机病毒中, 受经济利益驱动的病毒接近50%, 通过恶意扣费、资费消耗、欺诈软件、盗号木马给手机用户带来经济损失。同时手机病毒还会影响到网络业务, 比如同时发起大量呼叫造成网络流量高峰行、网络拥堵等。