數據通信安全匯總十篇
時間:2024-03-21 11:48:28
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇數據通信安全范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
量子保密通信是基于量子密鑰分發的密碼通信解決方案,量子密鑰分發不依賴于計算的復雜性來保證通信安全,而是基于量子力學基本原理。只要能夠在通信雙方成功的建立密鑰,這組建立的密鑰就是絕對安全的,并且這種密鑰是具有絕對隨機性的,從原理上無法破解。由于量子密碼系統基于的這種隨機性,其安全性不因數學水平和計算能力的提高受到威脅,所以不僅是現在,而且在未來利用量子密碼系統加密的信息都是安全的。由此,人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內已有量子通信網絡初步建成并運行。在傳統數據傳輸系統基礎上,使用量子通信保證數據傳輸的安全性,提高數據通信網絡的可靠性、安全性和穩定性,是一個值得研究和發展的方向,兩者結合能夠有效保證數據在通信過程中的安全可靠。
一、QKD系統基本結構
如圖表1.1所示,QKD系統主要由主控模塊、數據處理模塊、系統管理模塊、光電系統(光學模塊和單光子探測器)組成。該QKD系統的運行受控于密鑰生成控制系統,由密鑰生成控制系統下發QKD控制指令給終端設備的系統管理模塊,系統管理模塊將接收到的指令進行必要的協議轉換(某些關鍵指令還需要加解密處理),完成對QKD系統進行工作流程控制。系統管理模塊的主要硬件結構如圖表1.2所示:
二、QKD系統與數據通信
在當前的要求數據安全性比較高的網絡中,會采用專線進行保密的數據通信,會添加防護設備,增加一道安全措施。設備首先需要通過證書機制,完成身份認證過程,然后將一端產生的隨機數通過非對稱密碼學算法加密處理后傳輸給另一端,而另一端的防護設備將接收到數據,并把數據進行解密,由此獲得隨機數,這樣就完成了對稱密鑰的分發過程。由于目前的對稱密鑰分發機制,必須由經典密鑰學的加解密算法處理,這樣就有可能被攻破。因此,通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協議,使得防護設備可以使用QKD系統提供的對稱量子密鑰,對目前系統網絡中的數據進行實時量子加解密處理。如圖表2.1所示:
三、多用戶應用場景下的量子密鑰分配、存儲和管理機制
如圖表3.1所示,在要求較高的專線數據傳輸系統多用戶應用場景下,可將該專線網絡分為“客戶大區”和“管理大區”兩大部分。該場景下的兩個用戶之前數據通信的安全通信可由QKD系統直接向認證設備提供的量子密鑰保證。在該網絡中,可使用一個全通型光量子交換機,掛接6臺量子網關,在密鑰生成控制服務器的調度下,實現任意兩個設備間的量子密鑰分發,并直接把生成的量子密鑰存儲在各自設備內。管理大區用戶與客戶大區用戶之間進行通信,其防護設備可以使用QKD系統提供的量子密鑰,完成數據加解密功能,達到安全的保密通信要求。多用戶應用場景量子加密數據傳輸的主要步驟如下:(1)場景內,每個用戶終端部署一臺QKD系統,由密鑰生成控制服務器定時監控每個用戶的當前量子密鑰量,根據制定的排隊策略,把各個QKD系統按照規則進行配對,啟動量子密鑰分發;(2)各個QKD系統必須由唯一的ID號標識身份,該QKD與其他的QKD系統進行量子密鑰分發,并且會使用對方ID號對生成的量子密鑰進行標識和保存。(3)通過具體的用戶通信進行演示:客戶大區的用戶2需要與用戶4進行通信,密鑰生成控制服務器會統一管理,安排用戶2與用4進行通信,用戶2的QKD系統會根據ID號與用戶4的QKD系統分發的量子密鑰進行設備認證,而用戶4的QKD系統也會根據ID號與用戶2的QKD系統分發的量子密鑰提供給認證設備;(4)認證設備采用量子密鑰,對傳輸的數據進行加解密處理,使保密通信過程完成。
四、通信網絡與量子網絡融合
(一)通信網絡中的加密認證設備部署
專線網絡要實現“分級管理”的要求,各級數據調度中心以及下屬的各個數據站點部署了加密認證設備,根據總部調度通信關系建立加密隧道(理論上只能在上級和下級之間建立加密隧道),加密隧道拓撲的結構是網狀結構。如圖表4.1、圖表4.2所示:
(二)量子通信網絡融入實例
在一級分部調度中心管理中,加密認證設備需要對相鄰的二級分部使用QKD系統提供的量子密鑰進行加解密處理。網絡拓撲如圖表4.3所示:一級分部調度中心控制二級分部1和二級分部2的通信網絡,一級分部與兩個二級分部都可以通過量子集控站,完成兩兩間的量子信道建立,在集控站的統一協調下,使其具備兩兩之間能夠分發量子密鑰的能力。由此,一級分部調度中心與兩個分部之間就可以實現兩兩加密認證設備通過使用量子密鑰進行加解密處理的保密通信。該場景下的通信數據加解密與傳輸流程如下所示:(1()這里一級分部調度中心簡稱為一級中心;二級分部1簡稱為二分1;二級分部2簡稱為二分2)。(2)一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站,在密鑰生成控制服務器(處于集控站中)的統一協調管理下,實現量子密鑰分發;(3)二分1需要完成與一級中心的通信數據傳輸,二分1的認證設備先用與一級中心分發的量子密鑰,對數據進行加密處理,然后由經典網絡傳給一級中心;(4)一級中心接收到二分1傳輸的加密數據,一級中心認證設備使用與二分1分發的量子密鑰進行解密,這樣就實現了二分1傳輸通信數據給一級中心的功能;(5)與此同時,一級中心下發調度指令給二分1,一級中心的認證設備使用與二分1分發的量子密鑰,對調度指令進行加密處理,然后通過經典網絡傳輸給二分1;(6)二分1接收到一級中心傳輸的加密調度指令,二分1認證設備使用與一級中心分發的量子密鑰進行解密,這樣就完成了一級中心傳輸數據給二分1的功能;(7)二分2與一級中心之間的通信數據傳輸與二分1相似。在二級分部1下,用戶1和用戶2的量子信道通過全通光量子交換機與該分部集控站連接,實現用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發。該場景下的通信數據加解密與傳輸流程如下所示:(1)用戶1與二級分部1、用戶2與二級分部1,在密鑰生成控制服務器(處于集控站中)的統一協調,實現量子密鑰分發;(2)用戶1需要與一級分部調度中心進行通信數據傳輸,用戶1的認證設備首先使用其與一級分部1交互分發的量子密鑰,加密通信數據,然后由經典網絡傳輸給一級分部1;(3)一級分部1收到用戶1傳輸的經過加密通信數據,一級分部1的認證設備使用與用戶1分發的量子密鑰對加密數據進行解密,這樣就實現了用戶1傳輸數據給一級分部1的功能;(4)同時,一級分部1可以下發調度指令給用戶1,一級分部1的認證設備使用與用戶1分發的量子密鑰,加密調度指令,然后經由經典網絡傳輸給用戶1;(5)用戶1接收到二級分部1傳輸的加密調度指令,其認證設備使用與二級分部1分發的量子密鑰進行解密,這樣就完成了二級分部1傳輸通信數據給用戶1的功能;(6)用戶2與二級分部1之間的通信數據傳輸與用戶1類似。如果用戶1或用戶2需要與一級分部調度中心直接傳輸通信數據,則要用到密鑰中繼功能,以用戶2上傳數據給一級分部調度中心為例,主要步驟如下所示:(1)一級分部調度中心的集控站與二級分部1下的用戶2,通過它們之間的二級分部1集控站,利用經典密鑰中繼的方式,使一級分部調度中心與用戶2之間擁有共享的量子密鑰;(2)用戶2的認證設備,需要給傳輸給一級分部調度中心的數據進行加密,加密密鑰為上述共享的量子密鑰,然后由經典網絡傳輸給一級分部調度中心;(3)一級分部調度中心的認證設備,利用對應的量子密鑰作為業務密鑰,將用戶2傳輸過來的加密數據進行解密,這樣就實現了用戶2與一級分部調度中心之間數據加解密傳輸功能。
篇(2)
中圖分類號:TP309.7 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Mobile Data Communication Security Encryption Program Analysis
Chen Huaiying
(TISSON Ruida Communication Technology Co.,Ltd.,Guangzhou510600,China)
Abstract:This paper mobile data communication of a symmetric encryption scheme is analyzed and discussed,and targeted for a pilot test to obtain a better than actual results.That the process used in the mobile communications simple symmetric encryption is calculated to achieve security requirements.
Keywords:Mobile data;Communication encryption;Symmetric encryption;Test analysis
一、移動數據通信安全加密方案分析
(一)加密算法選擇。信息的加密的目的就是將“明文”化的可讀取信息經過一組規則變化而成為不易識別和破解的密文,使得惡意攻擊或者攔截者無法獲得其中的內容。這種變換的規則就是加密算法。在移動數據通信中要建立其安全加密方案,對加密算法的選擇是首先要解決的問題。
目前加密的算法按照密鑰可以劃分為對稱密鑰加密、分對稱密鑰加密。因為對稱加密和非對稱加密個有所長,因此網絡中通常采用的混合形式的加密算法對傳輸的數據進行加密,即密鑰采用分對稱加密,而數據則采用對稱加密的形式。移動數據通信系統尤其獨特的特征,其加密的算法要比常規的通信網絡要求更高,應符合:較高的安全性能;算法的執行效率高;密文長度限制性強;計算與通信的負擔不能過大。
鑒于此,非對稱加密雖然不存在密鑰管理的問題,但是其算法較為復雜,利用軟件實現其效率偏低,同時移動設備與服務器支架愛你的敏感數據傳輸在一次連接過程中往往只需要有限的次數,所以在保證安全性的基礎上可以采用對稱加密方式對數據通信進行加密。根據信息論思路,對方查看密文和前后明文的不確定性是對等的,即觀察密文不會給其提供任何破譯密碼信息的幫助,所以對稱加密的方案在合理設計的情況下可以保證數據通信的安全,同時降低了系統的負擔。在方案設計中經過比對證明采用AES和XXTEA算法是可行的。
(二)密鑰和密鑰管理。密鑰是加密方案中的核心信息,是控制信息加密和算法實現的關鍵。對稱密鑰加密措施的弱點就是需要解決的最大的安全性問題,即:共享的密鑰的和管理。
在移動數據通信安全加密方案中,設計服務器端與客戶端共享多種加密方式,設定為C0,C1,C2……Cn+1。等待的密鑰為K,則服務器密鑰的過程為:受到客戶端的請求后,服務器隨機生成一個整數,此數字正在0-26535之間設為r,即得到m=modr;選取m為對應的加密方式,即Cm。如果這個加密方式需要參數,則隨機生成并采用Cm加密K,賦予參數為P,加密后得到密鑰Ke;此時將r、P、Ke的長度約定補足到C0-Cn+1所對應的序列長度,其中補充的部分是隨機生成的。令補足后的序列設定為I1,并將此傳遞給用戶端。即完成了密鑰的。
客戶端在接收到密鑰時就對前面的算法進行逆向操作,過程如下:從服務器端獲得I1序列并讀取隨機的整數r;在獲得m=rmodn,獲得其對應的加密方式為Cm,如果此加密方式需要參數,則從服務器端獲得的序列中讀到參數P;利用參數P的加密方式Cm就可解密Ke得到K。
客戶端獲得密鑰后,就可以利用實現設定的加密算法對需要處理的加密信息,并將加密后的信息I2傳遞到服務器上。此時服務器通過ID的識別驗證客戶身份然后利用約定的密鑰解密信息。至此就完成了敏感信息的傳遞。
二、方案的性能分析
為了保證設計方案的可以用性,設計完成后針對方案的安全性能等方面的分析和測試。具體情況如下:
(一)安全性能的分析。在方案中,明文中不會出現任何與客戶相關的字節,同時在一次執行過程中,線后出現在無線端口上的不同兩個序列I1、I2對于攻擊者而言是沒有任何關系的信息,所以攻擊者無法從數據通信中獲得任何兩條相關聯的信息,另外因為一次性隨機數據的存在此種關聯性更加無法獲取,因此可以有效的保護用戶身份和位置的匿名性。
根據所選用的加密算法的差異,和選擇使用固定密鑰和可變密鑰的技術措施,針對不同的加密算法方案,參數的長度是不同的,最終發給客戶的字節數也長度不等,這樣就降低了密碼分析的難度而導致安全漏洞,所以方案中設計了補充措施,然后再進行加密就提高了解譯密碼的難度。
在移動數據通信中,此方案的共享密鑰不是存儲在手機中,也不是保存在服務器的數據庫中,而是在每次數據通信過程中由執行的過程隨機產出,所以即使用戶的終端設備被竊聽或者服務器遭到入侵,也可保證其較好的安全性能。
(二)方案的運行效率分析。在實際的應用中,與混合加密的措施相比,設計的對稱加密措施可以不需要同第三方參與,避免了大素數生成而耗時過長的情況,因此大大提高了系統加密的性能,增加了移動平臺上的使用效果,而方案中包含的操作相當的簡單,其算術操作、對稱加密等對于目前的計算機和移動設備而言是相當容易的,主要是因為其算量可以接受。具體看:計算量分析,移動客戶端需要一次移位操作,一次對稱密鑰解密,一次對稱密鑰加密操作;服務器需要一次隨機數生成,需要一次移位操作,一次對稱加密,一次對稱解密,可見其操作的計算量十分簡單易行。交互次數分析,移動用戶和服務器網絡需要進行的是兩次交互即完成了信息加密和解密。需要的消息數目也僅僅是2條而已。
三、結束語
在實際的測試中,客戶端采用J2me實現,模擬器為某公司提供的WTK2.2;服務器工作站的實現算法的編程語言為C+;對于密鑰的過程進行多次的執行試驗,同時統計了幾種加密方式各自在過程中的響應延時。實體機測試采用的是摩托羅拉某款手機,因為需要加密的數據長度不固定,此時給出了加密1Kbit數據的平均時間。結果顯示,系統可以完成毫秒級的程序執行,完全可以滿足實際移動數據通信的需求,在實踐中只要利用合理的程序設定就可以實現信息加密,保證信息安全。
參考文獻:
篇(3)
1.2管理漏洞在現實中,很多的企業和政府機關在利用網絡數據通信時沒有充分重視安全方面的問題,一方面在這方面投入的硬件設施較為落后,更新換代速度慢,另一方面由于相關技術和管理人員缺乏,使得信息資源的使用和傳輸非常隨意,再加上對計算機等設備的采購控制不嚴,容易被不法人員預先在計算機內部植入病毒,給數據通信帶來了安全隱患。
2、網絡數據通信中的安全防范措施
2.1對網絡的安全性進行評估對涉及網絡安全的各因素進行科學而準確的評估,包括對網絡信息、網絡用戶、網絡行為的評估,得出網絡數據通信系統的安全指數,然后通過專業人士分局評估狀況進行分析和審查,提出改進意見,以最大程度的保證企業、機關單位網絡的安全性,同時要注意網絡環境是不斷變化的,網絡安全性的評估方法和指標也必須要不斷更新,并要定期對網絡系統急性安全性評估,以保證評估結果與當下的網絡環境相適應,更具有參考價值。
2.2對網絡入侵進行檢測由于網絡數據的通信是基于TCP/IP等網絡通訊協議的基礎上的,因此可通過對訪問網絡和系統主機的行為進行監視和分析,判斷其是否為入侵、違反安全策略的行為,對網絡入侵進行迅速的攔截,確保數據通信安全,同時發出報警,以提示相關工作人員進行進一步的處理。
2.3實施訪問控制首先,對入網進行訪問控制,通過設置權限的方式使登陸到網絡服務器的用戶均是得到授權的用戶,從很大程度上杜絕了非法訪問的情況,同時要做好內部訪問外部網絡的控制,防止病毒、木馬程序順著訪問路徑入侵;其次,通過對主機的訪問權限設置口令的方式限制用戶訪問,通過這兩種訪問控制措施增強網絡系統的安全性。
2.4在傳輸途徑中進行數據加密將信息數據在傳輸前編譯成代碼,使之在網絡傳輸過程中不易被破譯,被接收之后通過解密手段將信息還原,目前有兩種加密方式,分別是鏈路加密技術與端到端加密技術,其中鏈路加密技術可以保證數據在傳輸過程中的安全,而端到端加密技術則可在數據信息的發送端和接受端同時以加密的形式存在,保證數據在兩端均不受到破壞,在實際中,更多的是將這兩種加密技術同時采用,以提高數據信息的安全性。
2.5從網絡數據通信軟件與硬件設施方面進行安全防護網絡安全涉及到的范圍很廣,除了數據在傳輸過程中的安全性外還有計算機軟件與各種網絡設備硬件的損壞等,因此要對可能產生的網絡安全風險的因素進行全面分析,尋找導致安全問題風險的原因所在,并對網絡安全薄弱環節進行重點防御,做到未雨綢繆,對于軟件方面帶來的威脅,要不斷修補系統存在的漏洞,并著重對上網的軟件漏洞進行修復,啟動防火墻以應對非法訪問,安裝先進的殺毒、查殺木馬軟件等,對于硬件方面,要以及不斷更新硬件設備和配套軟件,采用具備安全防護的網絡節點設備以及具備自我防御能力的服務器等,盡量采用電腦的主機與服務器一體化的終端設備,同時設置不間斷供電電源,以避免數據的丟失,并對數據庫的數據進行安全備份等。
篇(4)
一、數據通信網絡簡介
所謂的數據通信網絡,簡單來說,就是圍繞計算機為核心,通過光纜以及無線等諸多通道,達到一種網絡相連的目的,最終,借助數據通信的作用,做好信息之間的傳遞以及接收,努力促使各項信息在人們之間實現共享。基于覆蓋范圍視角下來看,數據通信網絡主要包括局域網、廣域網、城域網以及國際網四種。小到家庭,大到一個企業、公司,都可以合理的應用局域網,所以在數據通信網絡四種形式當中,局域網有著較為廣泛的應用范圍。在網絡應用過程中,正因為應用的范圍之廣,頻率之高,進而增大的網絡的不安全性,對人們各項信息之間的共享增加了危險性。對此,做好數據通信網絡的維護工作,確保網絡環境具備較高的安全性是最為迫切的任務。
二、維護數據通信網絡對于保障網絡安全的現實意義
對于網絡維護工作而言,最本質的目的就在于促使數據傳遞之間具備較高穩定性的同時,增強人們網絡環境的安全性,以此提高網絡維護工作的技術保護力度,為人們信息的安全以及企業內部數據的安全提供有力保障。其中,在不法分子對數據通信網絡進行攻擊過程中,針對其中存在的漏洞,能夠導致企業局域網出現問題,進而企業內部重要信息得以丟失的基礎上,還可以印發企業發展危機等事故,基于該種現狀下,著重突出了數據通信網絡安全性的重要意義。而如果數據通信網絡處于較差的環境當中,在人們利用網絡傳遞信息過程中,就會出現延時甚至無法發送的問題,特別市對于一些大型的企業,不僅導致決策上出現失誤,而且還會導致企業最終經濟效益無法有效提升,對此,數據通信網絡具備較高的穩定性有著重要的作用。
三、通過數據通信網絡維護保障網絡安全的具體措施
(一)評估網絡安全性
對于數據通信網絡而言,主要的作用就是促使企業以及個人等,在應用網絡過程中,促使數據以及信息之間的傳遞能夠處于一個安全的平臺當中,而要想實現數據通信網絡的安全性,進行必要的網絡維護至為關鍵。首先,相關工作人員應該先對網絡的安全性進行全面的評估,重點檢查好局域網環境的安全性,準確找出存在于網絡環境當中的危險因素,合理的計劃出網絡環境的安全系數,進而為接下來更好的制定維護措施打下堅實的基礎。在對網絡安全性進行評估過程中,最為關鍵的應該由專業人士進行評估,綜合考慮數據通信網絡硬件以及軟件等條件,由此快速準確的找出威脅網絡安全的因素,制定合理有效的網絡評估方案。
(二)分析網絡可能存在的漏洞與威脅
在專業人士對評估局域網過程中,如果發現網絡環境的安全性較差,那么從中可以判斷出該網絡環境中存在較大的安全隱患,相關人員應該以此為核心進行深入的分析。第一,事先劃分出數據信息的重要等級程度,然后找出信息是否存在攻擊的問題,如果發生被他人惡意進入,那么工作人員應該第一時間提高網絡的安全防護級別。比如,工作人員可以再次對訪問IP進行升級等。與此同時,嚴格的分析網絡的內部系統,及時找出內部環境當中存在的安全危險因素,找出引發安全問題的原因,制定有效的維護措施,促使數據通信網絡環境的安全性有效提升。
(三)消除網絡漏洞或威脅
篇(5)
在經濟與科技迅速發展的時代背景下,數據通信網絡借助計算機以及多種智能客戶端逐漸普及,數據通信網絡應用者逐漸增多,借助網絡平臺共享各類數據與資源,更能應用于企業工作、大眾娛樂等多種環節,網絡時代已然到來。但是,在數據網絡傳遞過程中,依舊存在諸多安全問題。只有高度重視網絡安全問題,致力于打造安全、穩定網絡環境,才能發揮數據通信網絡應用價值,為大眾構建安全的數據通信網絡環境,真正做好數據通信網絡安全管理工作。
1數據通信網絡維護的重要性
在數據通信網絡[1]應用過程中,除了技術性影響因素,還存在人為破壞問題。不法分子利用數據網絡通信漏洞,容易攻擊企業網絡,不僅會導致企業網絡運行受到影響,嚴重時,甚至會導致企業重要信息外泄,致使企業經濟受損,出現不可挽回的損失。因此,無論是從技術角度考量,還是從數據網絡通信安全性角度分析,都應做好數據通信網絡安全工作,最大限度降低網絡運行導致企業受損。對于數據通信網絡存在的問題,應及時應對,并進行維修工作,從而保障數據通信網絡數據與資源安全。
2數據通信網絡存在的安全隱患問題
2.1網絡病毒入侵問題
對網絡病毒進行分析,網絡病毒本身的傳播能力強、破壞性強,一旦數據通信網絡被病毒所入侵,不僅會導致網絡數據資料泄露,還會使整個網絡呈現癱瘓現象。近些年,隨著網絡普及,破壞性極強的網絡病毒問題時有出現,這些病毒伴隨著網絡安全管理強化工作不斷發展,而部分人員為謀取不正當權益,借助網絡病毒攻擊各大網站以及企業賬戶,勢必會增加網絡病毒危險性,破壞網絡穩定運行環境,進一步威脅數據通信網絡安全性,阻礙社會經濟與科技進一步發展,對社會與科技發展極為不利。
2.2網絡系統漏洞問題
當前的網絡系統中大多數據通信網絡主要應用Windows與Linux系統[2],上述兩種系統處于數據通信網絡系統底層,網絡中任何形式的操作都在此系統之上進行。在上述系統中構建內部操作體系,并在這一設置過程中,在網絡系統上設置訪問權限與系統參數,確保網絡系統能夠穩定運行。只有這樣,才能避免數據通信網絡信息被篡改與破壞。但是,正是由于底層系統具有復雜性,系統內部很容易出現多種攻擊,致使系統信息數據被更改,從而拒絕數據通信網絡服務請求,引發多種安全問題,不利于維護數據通信網絡安全。
2.3網絡軟件漏洞問題
計算機在系統支持下,能夠下載多個軟件,正是這些不同軟件,能夠為企業工作與大眾生活構建良好網絡環境。但是,并不是所有的軟件都具有極強安全性,部分軟件本身存在一些漏洞,軟件的使用者大都沒有較高計算機水準,難以發現軟件漏洞問題。而這些軟件存在的漏洞,很容易為病毒以及不法分子提供可乘之機,從而以軟件漏洞為突破口入侵數據通信網絡。雖然軟件在更新過程中,能夠對漏洞問題進行修補,但多數的軟件使用者并沒有及時進行更新,增加軟件漏洞被利用率,從而引起數據通信網絡安全問題。
3數據通信網絡安全問題有效解決策略
3.1不斷強化網絡加密技術
在數據通信網絡運用過程中,網絡傳輸作為不可或缺的一部分,在每一臺計算機以及智能設備運行過程中,都會出現數據傳輸行為。但是,如果數據通信網絡數據傳輸本身存在問題,勢必難以保障網絡運行安全性。因此,在實際的工作中,為解決網絡運行存在的多種問題,應做好數據通信網絡傳輸工作,不斷提高數據網絡傳輸的安全性與可靠性。針對這一問題,在實際的應對工作中,首先應給予斷電加密工作充分重視。斷電加密的方式相對簡單,在用戶獲取相關數據前,用戶本身的信息并不會被泄漏,此種加密方式安全性相對較高,但并不適合所有數據通信網絡加密工作。其次在數據加密工作中,應結合鏈路加密方式[3],結合數據通信網絡具體情況,做好鏈路加密工作,最大限度提高網絡數據傳輸的安全性,避免重要信息被竊取。最后,應做好節點加密工作。對節點加密工作進行分析,此種加密方式主要通過設置密碼,將對應的節點進行連接與加密處理,在此種加密處理方式中,應對信息密級進行針對性處理。對于數據通信網絡加密技術進行分析,此種加密方式安全級別加高,適合企業以及各種大型網站,從而避免病毒入侵以及人為因素干擾,降低網絡安全性。
3.2做好操作系統維護工作
數據通信網絡操作底層操作系統本身相對復雜,具有開源性特點,漏洞問題在底層系統在所難免。因此,在實際的工作中,為提高底層操作系統安全性,維護網絡整體安全性,針對網絡系統存在的安全問題,應做好系統定期檢查工作,只有精準掌握系統情況,并做好漏洞修補工作,針對系統漏洞進行更新,才能提高系統整體安全性。此外,應結合先進技術,做好系統漏洞修復工作,引入漏洞掃描技術,對系統進行定期掃描,并結合系統存在的問題,制定專業修復方案。在修復過程中,可以綜合端口掃描方式,對數據通信網絡設備端口進行掃描,并將掃描情況與系統服務情況進行分析與對比,并結合漏洞做好處理方案,對漏洞進行匹配處理。最后,可以在系統漏洞掃描中,模擬不同黑客攻擊方式,并在模擬攻擊過程中尋找數據通信網絡系統中潛藏漏洞,從而開展系統性修復工作。只有不斷提高維護與修復可行性,才能規避多種系統漏洞問題,規避底層攻擊,提高數據通信系統的穩定性與安全性。
3.3應選擇正版網絡軟件
很多計算機用戶使用者,并不具備正版軟件使用意識,絕大部分的計算機使用者,所選用的多為盜版軟件。盜版軟件雖具有相應功能,但是存在的安全隱患較多,很容易攜帶病毒,存在諸多安全隱患問題。而且,盜版軟件本身漏洞較多,在使用過程中極易被病毒攻擊。因此,應做好數據通信網絡宣傳工作,不斷提高計算機使用者安全意識,并對正版軟件購買者提供一定優惠,從而加大軟件維護力度,并在軟件使用過程中,及時進行軟件更新工作。最后,應做好軟件的日常應用于管理工作,在日常使用中,對網絡軟件進行查殺,對垃圾程序以及網絡垃圾進行清理,第一時間處理帶病毒的軟件。只有這樣,才能從根源處規避軟件漏洞帶來的安全問題,提高網絡軟件運行安全性,提高數據通信網絡運行可靠性,解決網絡軟件存在的各種安全隱患。
3.4及時更新網絡防火墻
篇(6)
由于計算機網絡的普遍應用,我國數據通信網絡的使用率也隨之提高,因此,數據通信網絡的網絡安全對其具有重要意義。科學技術的不斷發展,數據通信網絡安全防護的方式也隨之多樣化,當前最為普遍的安全防護方式是維護管理,而且維護管理對網絡安全具有重要意義,維護管理工作的工作人員利用管理系統進而確保網絡的良好運行,網絡運行的安全環境才能使用戶放心使用數據通信網絡,也能夠進一步保障信息通信的有效性以及真實性。因此,針對大數據環境下的網絡安全以及數據通信網絡維護進行研究具有重要的意義。
1數據通信網絡與網絡安全的性質
1.1數據通信網絡的性質
數據通信網絡主要是以計算機作為載體,通過有線或是無線的通道進行的網絡互聯,用戶可以利用數據通信網絡進行數據的傳輸,當前數據通信網絡技術的發展速度相對較快,因此用戶對其也提出了相對較高的要求,數據通信以及信息資源作為互聯網的重要組成部分,但是依舊存在泄露的風險。因此,網絡安全作為通信安全以及隱私保護的基本保障,對信息的準確性、真實性和有效性都有較高要求。
1.2網絡安全的性質
網絡安全是用戶數據保障的基本,根據對網絡硬件、軟件以及數據的保護從而有效的確保用戶信息的真實性以及有效性,網絡安全維護能夠抵擋外部以及病毒的惡意攻擊,進而確保信息不會因綜合因素被破壞或是泄露,而且還能夠確保系統正常的運行,通過計算機終端以及服務器共同構建網絡,網絡的構建能夠儲存大量的信息,不僅有共享的信息還有用戶的隱私信息,一般隱私信息難以被攻擊,但是并不能確保用戶在提取信息的過程中出現風險[1]。而且隨著當下網絡節點的不斷增加,網絡安全、維護以及防御逐漸也凸顯出其中的價值,一些不法分子利用數據傳輸的漏洞截獲用戶傳輸的信息,如果用戶是個人PC,那么虛擬財產也會受到網絡黑客的威脅。
2網絡安全與數據通信中存在的問題
2.1病毒入侵
病毒入侵是當前最為常見的問題之一,病毒的入侵能夠破壞計算機程序,而且病毒具有較強的傳播性以及隱蔽性,對計算機系統正常的運行造成嚴重的影響。因此,數據通信在病毒的影響下也會出現一些問題,信息技術不斷的發展,病毒的種類以及病毒的強度也隨之提升,其破壞性以及感染性也隨之提升。病毒入侵的方式主要有以下幾種:(1)源代碼嵌入攻擊型。此類病毒入侵的目標基本上都是高級語言編寫出來的源代碼(源程序)。在源代碼編譯之前,這類病毒就已經將病毒代碼植入其中,然后與源代碼捆綁在一起被編譯程序編譯成可執行文件。因此剛剛生成的可執行文件就已經是帶毒文件。不過此類文件不多見,因為病毒的研發者想獲得源程序文件極為困難,而且編寫此類病毒,對于病毒的研發者自身的專業要求非常高,必須具備專業的代碼編程能力和水平。(2)代碼取代攻擊型。此類病毒主要針對編譯生成的可執行文件(程序),將它自己的病毒代碼替換目標程序的部分或者全部模塊,此類病毒同樣碰到的幾率不高,因為它具有特定性和針對性,只攻擊預先設定的程序,針對性比較強,同時很難被發現,即使被發現也很難清除。(3)系統修改型。此類病毒是日常最為常見的一種病毒類型,基本上都是文件型病毒。它主要是用自己的代碼修改或者覆蓋系統中的已有的某些文件,從而非法調用或替換操作系統的部分功能。因為此類病毒可以直接入侵和感染系統,所以它的危害較大。(4)外殼附加型。目前大多數文件型的病毒屬于外殼附加型病毒。此類病毒一般是將它的病毒代碼添加在正常程序的頭部或者通過跳轉指針附加在正常程序的尾部,就好像給正常程序增加了一個包裹其的外殼。因此被感染此類病毒的正常程序在執行前,勢必先執行病毒代碼,將其自身調入內存,隨后才將正常程序調入內存。
2.2軟件系統存在的問題
計算機中存在的大量的附有特殊功能的軟件或系統(統稱為軟件系統),同時,這些軟件系統也會存在一定的漏洞。漏洞指的是一個軟件系統先天存在的某些缺陷和隱患,軟件系統對危險事件與特定威脅攻擊的敏感性,或進行攻擊及威脅安全的可能性。在應用軟件或操作系統設計和編碼階段,由于某些原因而與生俱來的缺陷就是產生漏洞之源,當然也可能來自在交互處理過程中的業務流程設計缺陷或者不合理的邏輯處理流程。這些先天存在的缺陷、隱患或不合理之處可能會吸引黑客有意或無意地加以利用,從而對一個軟件系統的正常運行造成不利影響,比如黑客利用某個管理信息系統(MIS)的漏洞對其進行攻擊,那么他可能會竊取系統中存儲的敏感和重要信息或資料,篡改系統中存儲的各種數據,甚至該軟件系統還可能被作為繼續入侵其他主機系統的中轉站。根據目前發現的漏洞種類和攻擊方式來看,應用軟件中的漏洞要大大多于操作系統中的漏洞,尤其對于當前盛行的各種Wed應用系統,它可能的漏洞在信息系統中的占比是非常高的,甚至達到90%以上。因此,漏洞的存在或者說不可避免性,就為不法分子侵入計算機系統提供了一定的門路,而且當前黑客入侵計算機系統最為常見的方式就是利用軟件系統的漏洞,進而對用戶的信息以及網絡系統進行破壞,對用戶的隱私問題以及計算機安全問題造成一定的影響。
3網絡安全與數據通信網絡維護的對策
3.1安全評估
為確保數據共享的安全性以及信息數據的有效性,網絡安全評估是其中必不可少的一項,網絡安全評估所指的是對通信網絡內部的檢查情況,進而確定是否存在安全隱患。工作人員在對數據通信網絡進行評估時,對所檢驗的數據要細致入微,根據所得出的信息進行全面的分析,進而給予符合實際的評價。
3.2網絡安全風險分析
網絡安全性能評估之后就需要對網絡安全風險進行分析,通過對網絡安全風險的分析從而發現數據通信中存在的威脅,根據所存在的威脅設置具有針對性的訪問權限,為能夠進一步提高數據通信網絡的安全性,需要確保漏洞消除的徹底性和及時性。例如,使用服務器對漏洞進行修補,利用防火墻技術從而實行網絡動態監控,數據在傳輸以及儲存過程中一旦出現問題,防火墻功能能夠及時發現并且解決。
3.3建立數據網絡災難備份中心
利用技術以及管理手段和一些相關的資源構建數據網絡災難備份中心,確保數據在發生事故后能被有效的恢復,針對災難備份中心的構建,首先要確保機構擁有完善的恢復計劃。其次對數據網絡災難備份中心的備份系統進行定期的檢測,如果發生這樣的事故,導致用戶的信息以及隱私被泄露破壞,可以啟動數據網絡的災難備份中心,將意外造成的損失降到最低[2]。例如我國最大的在線旅游公司——攜程于2015年發生的網絡癱瘓事件,由于其部分服務器受到不明的攻擊,導致官網以及APP軟件無法使用,攜程經過內部的一系列排查,最終確定該事件是由內部員工因操作錯誤所造成的[3]。綜上所述,建立數據網絡災難備份中心對數據網絡維護具有重要意義。
3.4有效實施各種網絡安全防護技術措施
篇(7)
硬件端主要由PCI總線接口芯片CH365、USB接口芯片CH375、邏輯控制芯片ATF16V8B組成。其中,CH365是一種32位轉8位、數據傳輸速率可達7Mbit的計算機PCI(或PCI-E)總線接口芯片;CH375是一個具有8位數據總線和讀、寫、片選控制線以及中斷輸出的USB總線通用接口芯片,并且里面帶有2個可用于數據交換的64字節收發雙向緩沖區;ATF16V8B是可寫入控制邏輯的控制芯片。硬件通信原理,見圖2。由圖2可見,驅動軟件通過PCI總線向CH365芯片發起64字節的數據傳輸請求,并通過ATF16V8B芯片知CH375芯片并查詢相應狀態直到當CH375芯片可寫時,CH365芯片向CH375芯片寫完數據并產生中斷告知CH375芯片;CH375芯片收到此中斷信號,則通過USB協議向對方的卡發送待傳輸的64字節數據。對方的CH375芯片收到數據后將數據存放在64字節接收緩沖區,同時向ATF16V8B芯片發出中斷信號并等待CH365芯片接收數據,待數據接收完畢后關閉中斷信號。由于CH375芯片具有2個64字節緩沖區,可以將2個緩沖區分別設置為接收緩沖區和發送緩沖區,由此構成數據收發的全雙工鏈路。
2通訊協議
2.1通訊鏈路的建立通信卡雖然不建立標準的TCP/IP鏈接,但是為了保證數據收發的同步,建立鏈接時仍然使用類似于TCP/IP的“3次握手”協議和“4次分手”協議。所謂的“3握手”就是對每次發送的數據量怎樣跟蹤、協商,使數據段的發送和接收同步;當數據發送、接收完畢后何時撤消聯系,并建立虛擬連接。為了提供可靠的傳送信息,TCP在發送新的數據之前,以特定的順序號將數據打包并傳送給目標機。TCP總是用于發送大批量數據。當應用程序在收到數據后做出確認時也要用到TCP。握手時序通信原理,見圖3。第1次握手:建立連接時,A端發送syn包(syn=j)到B端,并進入SYN_SEND狀態,等待B端確認。第2次握手:B端收到syn包,必須確認A端的SYN(ack=j+1),同時自己也發送一個SYN包(syn=k),即SYN+ACK包,此時服務器進入SYN_RECV狀態。第3次握手:A端收到B端的SYN+ACK包,向B端發送確認包ACK(ack=k+1),此包發送完畢,A端和B端進入ESTABLISHED狀態,完成3次握手。由于TCP連接是全雙工的,因此每個方向都必須單獨進行關閉。這個原則是當一方完成數據發送任務后就發送1個FIN來終止這個方向的連接;收到1個FIN只意味著這一方向上沒有數據流動。1個TCP連接在收到1個FIN后仍能發送數據,首先進行關閉的一方將執行主動關閉,而另一方執行被動關閉。
2.2數據幀格式通訊卡采用有限數據通信模式,即數據服務器所能接收的指令事先定義并保存在相應的請求指令集。數據處理服務器端接收到的數據首先需要進行解密,再進行有效性判斷,不符合的數據一律被認為是無效數據(丟棄);對于符合指令處理程序的數據,根據指令的要求加密后返回給客戶端。這樣,即使黑客掌握通信協議向PCI硬件卡發送的信息,也無法進行正確的加密、解密,其指令也是數據處理服務器不認可的。CH375芯片里面帶有2個可用于數據交換的64字節收發雙向緩沖區,在通信協議設計時,協議的幀頭固定占用4個字節,幀數據區占用60個字節。4個字節的幀頭又分為握手區和指令區,第1個字節用來存放上位機的通訊信道和握手協議信號;第2~4這3個字節用來存放具體的通訊指令。第1字節握手區的8bit又分為兩部分。第一部分為前3bit,用來存放通訊信道,支持23=8種通訊信道,即已配對的1套通信卡可以支持上位機8種通訊程序;第二部分為剩下的5個bit,用于存放握手協議和分手協議的應答信號,協議支持25=32種協議握手信號。指令區3個字節的字長支持224=1703936種有效性通信指令。內部通信指令還可區分為控制指令和數據傳輸指令。控制指令占用第3字節,包含3次握手和4次分手指令集合,最多可以達到28=256種指令;數據傳輸指令共同占用第2、3字節,包括數據傳輸開始、數據幀中傳輸、丟棄指令、數據重發、數據結束等指令。指令集支持216=65536種指令。為了保證通信卡的通用性,協議保留第1字節給上位機自行定義。上位機用戶可以根據具體的應用自行定義指令格式,指令集數量支持224-216-28=16777216-65536-256=16711424種指令。幀數據區由緩沖區的第4字節和其他59個字節組成,其中第4字節的低4位組成的最大可表示64數值、代表59個字節的數據長度。高4位組成的最大可表示64數值、表示數據傳輸的加密標準(數據加密標準涉及通信卡通信安全,此處不展開說明)。由此構成的幀格式示意圖,見圖4。
3通信端配置
在準備好硬件與定義相應的通訊協議后,基于不同的操作系統還要進行相應權限分配的設置。本通訊方式在數據傳輸時,在請求客戶端服務器與數據處理服務器間并沒有相應的標準協議,而是分別在兩個服務器的操作系統中定義了通訊雙方所能夠訪問的目錄。該目錄通過操作系統用戶的權限來設定,只具備讀、寫的功能,并限定存儲文件類型為文本類型。這樣的限定將會極大降低服務器間傳遞惡意程序的可能性,從而提高服務器的安全性。
4通訊設備的使用
經過硬件、通訊協議以及通訊兩端之間的安全配置后,只需在通訊的服務器上安裝相應的上位機驅動程序,并進行簡單的配置,即可為通訊的雙方提供相應的安全數據通訊。在數據處理服務端,需要配置可接收的指令集,并設置接收數據的加密機制。當請求客戶端發起正確加密的指令后,服務器通過監控指定目錄接收的指令,從數據庫或者其他存儲介質中獲取到處理的結果數據,并通過加密的方式傳輸到請求客戶端。請求客戶端接收到的數據同樣放在指定的目錄下,請求客戶端通過將返回的數據格式與相應的發送請求進行匹配,形成相應的結果數據,返回給最終用戶。由于通訊卡內部CH365數據傳輸速率可達7Mbit并且采用全雙工通信鏈路,去除協議包的數據流量損耗,實際的通信速率可以達到6.4Mbit。在給醫保、農保和互聯網提供查詢應用時,其速率已和普通互聯網接入的下行帶寬相當。在實際使用中,應用程序并未有明顯的網絡隔離中斷等待。對用戶和黑客也實現了網絡透明,讓惡意程序無法進入可信端竊取和破壞數據,實現理想的隔離,使數據高速率、安全地進行通信。
篇(8)
作為二十一世紀這一快速發展的世界,一個關鍵的組成部分就是數據通信網絡。準確并能快速的轉移信息是通信的本質。現今的通信技術正在朝著網絡化,智能化,寬帶化,綜合化,高速化,數字化的方向迅猛發展。數據通信網絡不僅能夠使通信變得方便利落,而且能有效的解決大部分網絡安全所存在的問題。就如很多地方的多媒體聯機數據庫有效的與通信網絡聯合在一起,形成高速網絡化的信息高速公路,以達到達到資源高速共同分享的目的, 向廣大人民提供圖像圖形,數據以及圖像等等高速通信。
一、通信網絡安全的本質
所謂的數據通信網絡就是通過有線信道以及無線信道同時用計算機來充當載體形成網絡互聯的一種集合,在數據網絡里能夠達到針對文檔,程序等等信息和資源的共同享用。網絡上的信息安全則是網絡安全的本質,要確保網絡系統中數據,程序以及各種軟硬件的安全性,并要使數據通信不會受到偶然或者惡意的破壞,泄漏以及篡改,達到系統可以有效,可靠,連續的運轉,這就要不能因為干擾等問題而中斷網絡服務。盡管在平常狀況下外部攻擊是很難攻擊內部的專門使用的網絡,但是這也不排除某些網絡過于開放,給黑客制造了機會,從而盜用有利信息。造成很大損失。因而最大限度的降低資源和數據的被攻擊的可能是維護通信安全的關鍵所在。
二、目前的通信網絡安全
分散性,交互性以及開放性是互聯網的顯著特點,人們利用這些特點達到共享信息開放交流的目的,卻也忽視了這會引起很多網絡安全問題,同時現今網絡競爭越來越激烈,網絡戰爭隨時可能爆發,隨時目前為了應對隨時可能爆發的網絡戰爭,網絡戰爭武器的研發和網絡戰爭部隊的組建已經在很多國家悄然進行著,還做著時刻實戰的準備。網絡空間對我國國家展有著的重要作用,這已被很多人意識到,只是我國沒有詳盡清晰的國家戰略,網絡信息安全也不盡如人意。這樣就不能知道了解國家對待網絡安全的態度,不明確怎樣規劃網絡安全的措施來獲得什么樣的核心利益。由中國互聯網絡信息中心的數據表明,我國的網民規模事實上已達到了一定的高度,并且有著上升趨勢,還有就是手機網名的規模發展也相當理想,這卻也無法避免被攻擊很多次的威脅,這也就致使人們的個人利益還有社會利益的損失。這也就表明通信網絡會越來越發達,通信網絡安全問題也會越來越明顯。
三、通信網絡安全需提高
保障數據通信網絡的穩定是為了實現保密通信中的信息的目標,只是維護數據通信的穩定不只是個技術上的障礙,同樣還是一個既有商業性還有社會性的重要問題。維護網絡通信的穩定需要提高提高通信網絡的安全,盡管這也許不能給企業帶來直接的經濟利益,但是,如果能穩定數據通信網絡,就可以使各個單位和企業內部傳輸和共享各種信息。相信對這些單位和企業來說,這些信息是非常重要的。因而,通信網絡安全如果能提高的話,就能很好的維護數據通信網絡的穩定,從而就可以確保通信數據的真實可靠。
四、維護網絡安全的措施
現今階段對于發展越來越迅猛的數據通信網絡,已很大程度上影響著人們的日常生活,有著不容忽視的地位,采取幼小的維護網絡安全的措施,最大程度降低網絡風險,才能使人們放心使用通信網絡。我們現在常用的是防火墻技術。通過防火墻在網絡的外接口處控制在網絡層的。目的是為了更改限制、鑒別穿越防火墻的數據流來達到維護網絡安全的目標。以最大程度的防止黑客來攻擊自己的網絡,避免自己的信息流失帶來不必要的損失。防火墻是為了以防因特網上的不安全因素擴展到局域網內部,這也就顯示出防火墻對網絡安全的維護室多么重要。另一種就是網絡加密技術。加密的好處就是可以使自己的各種信息不被竊取,網絡安全的宗旨也就在于此。網絡加密技術的應用,也是維護網絡安全的一個提升,它能保證公共網絡中信息傳輸額保密性,也可以確保信息的完整無缺,還能防止遠程用戶訪問自己的內網現象。還有的就是身份認證技術。身份認證顯而易見就是個人所知曉,身份認證技術的運用時就需要在運用網絡時提供各種身份認證,這就可以獲得完整,可靠,保密的信息。除了上文那些技術,還有虛擬專用網技術。這是一個臨時鏈接系統,很具有安全性,利用公用網安全的鏈接公司業務伙伴,分支機構以及遠程用戶的內網,在這個網絡下不會有公網的干擾。最后就是漏洞掃描技術了,針對越來越嚴重的網絡安全問題,網絡管理員的經驗和技術已經不能應付隨時變化的網絡情況以及網絡的復雜,漏洞掃描技術的的發展,是對微小的潛在的隱患的網絡安全問題的打擊,很大程度上保護了用戶的信息。
五、結語
二十一世紀的今天,我們順應了這個時代各種技術的高速發展,在信息技術和計算機網絡高速發展的同時,大幅度豐富的就是數據通信網絡,網絡技術的發展會不斷進步,網絡信息安全也會是一個永久性話題。人們以后大多的日常生活,工作,娛樂等等都離不開網絡,人們生活水平越來越高,追求越來越高的同時,就會對網絡安全問題也會有更高的要求。這也就表明,需要廣大網絡信息工作者,網絡技術專業人才不斷努力,不斷研發出更權威,更有用的維護網絡安全的技術,因為網絡信息將會是以后生活里不會間斷的一個話題,更好的完善網絡信息安全工作,任重道遠卻也刻不容緩,讓我們拭目以待以后更好維護網絡通信技術安全技術的誕生。
參考文獻:
[1]蔣宏.現代通信網絡安全現狀及維護措施淺析[J]. 民營科技. 2010(02)
篇(9)
有效保障數據通信網絡的穩定性和安全性,就必須充分發揮技術人力資源的作用,積極構建起健全完善的數據通信平臺,并積極對系統平臺的安全性進行科學的全面的評估。作為一名合格具備專業化技術的人員,應按照相關制度要求和標準流程,設置科學的評估方式,對整個網絡環境進行系統的評估,并適時給予安全調整,準確分析潛在的用戶群體以及信息源,并對他們進行安全評估和識別,充分了解數據通信網絡的發展實際,以此為出發點開展系統安全性的分析活動。
1.2及時排查隱存的安全威脅
定期開展網絡安全的檢查與維修活動,以及時確保數據信息的可靠性與真實性得到有效的安全確認,避免服務器的終端設備以及信息網中的硬件設備和軟件設備受到惡意破壞,防止系統網絡受到不法分子的嚴重攻擊,達到對數據庫內部的信息進行保密的目的。所以這就要求專業化的技術人員需以對網絡安全性的有效評估為前提,全面仔細存在的隱形的安全威脅,積極設置高效的網管設置等形式,不斷優化系統漏洞,拒絕一切不法分析用戶的對網絡系統的入侵和攻擊,降低安全風險的發生。
2路由器與交換機漏洞的發現和防護
作為通過遠程連接的方式實現網絡資源的共享是大部分用戶均會使用到的,不管這樣的連接方式是利用何種方式進行連接,都難以避開負載路由器以及交換機的系統網絡,這是這樣,這些設備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機存在漏洞致因看,路由與交換的過程就是于網絡中對數據包進行移動。在這個轉移的過程中,它們常常被認為是作為某種單一化的傳遞設備而存在,那么這就需要注意,假如某個黑客竊取到主導路由器或者是交換機的相關權限之后,則會引發損失慘重的破壞。縱觀路由與交換市場,擁有最多市場占有率的是思科公司,并且被網絡領域人員視為重要的行業標準,也正因為該公司的產品普及應用程度較高,所以更加容易受到黑客攻擊的目標。比如,在某些操作系統中,設置有相應的用于思科設備完整工具,主要是方便管理員對漏洞進行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關功能查找出設備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進行攻擊。所以針對這類型的漏洞防護最基本的防護方法是開展定期的審計活動,為避免這種攻擊,充分使用平臺帶有相應的多樣化的檢查工具,并在需要時進行定期更新,并保障設備出廠的默認密碼已經得到徹底清除;而針對BGP漏洞的防護,最理想的辦法是于ISP級別層面處理和解決相關的問題,假如是網絡層面,最理想的辦法是對攜帶數據包入站的路由給予嚴密的監視,并時刻搜索內在發生的所有異常現象。
3交換機常見的攻擊類型
3.1MAC表洪水攻擊
交換機基本運行形勢為:當幀經過交換機的過程會記下MAC源地址,該地址同幀經過的端口存在某種聯系,此后向該地址發送的信息流只會經過該端口,這樣有助于節約帶寬資源。通常情況下,MAC地址主要儲存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數據包,則會促使交換機往不同的連接方向輸送大量的數據流,最終導致該交換機處在防止服務攻擊環節時因過度負載而崩潰。
3.2ARP攻擊
這是在會話劫持攻擊環節頻發的手段之一,它是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上后,這個節點會收到確認其物理地址的應答,這樣的數據包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,ARP欺騙過程如圖1所示。
3.3VTP攻擊
以VTP角度看,探究的是交換機被視為VTP客戶端或者是VTP服務器時的情況。當用戶對某個在VTP服務器模式下工作的交換機的配置實施操作時,VTP上所配置的版本號均會增多1,當用戶觀察到所配置的版本號明顯高于當前的版本號時,則可判斷和VTP服務器實現同步。當黑客想要入侵用戶的電腦時,那他就可以利用VTP為自己服務。黑客只要成功與交換機進行連接,然后再本臺計算機與其構建一條有效的中繼通道,然后就能夠利用VTP。當黑客將VTP信息發送至配置的版本號較高且高于目前的VTP服務器,那么就會致使全部的交換機同黑客那臺計算機實現同步,最終將全部除非默認的VLAN移出VLAN數據庫的范圍。
4安全防范VLAN攻擊的對策
4.1保障TRUNK接口的穩定與安全
通常情況下,交換機所有的端口大致呈現出Access狀態以及Turnk狀態這兩種,前者是指用戶接入設備時必備的端口狀態,后置是指在跨交換時一致性的VLAN-ID兩者間的通訊。對Turnk進行配置時,能夠避免開展任何的命令式操作行為,也同樣能夠實現于跨交換狀態下一致性的VLAN-ID兩者間的通訊。正是設備接口的配置處于自適應的自然狀態,為各項攻擊的發生埋下隱患,可通過如下的方式防止安全隱患的發生。首先,把交換機設備上全部的接口狀態認為設置成Access狀態,這樣設置的目的是為了防止黑客將自己設備的接口設置成Desibarle狀態后,不管以怎樣的方式進行協商其最終結果均是Accese狀態,致使黑客難以將交換機設備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實現在局域網的攻擊。其次是把交換機設備上全部的接口狀態認為設置成Turnk狀態。不管黑客企圖通過設置什么樣的端口狀態進行攻擊,這邊的接口狀態始終為Turnk狀態,這樣有助于顯著提高設備的可控性[3]。最后對Turnk端口中關于能夠允許進出的VLAN命令進行有效配置,對出入Turnk端口的VLAN報文給予有效控制。只有經過允許的系類VLAN報文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發送錯誤報文而進行攻擊,保障數據傳送的安全性。
4.2保障VTP協議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協議)是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議,它主要用于管理在同一個域的網絡范圍內VLANs的建立、刪除以及重命名。在一臺VTPServer上配置一個新的VLAN時,該VLAN的配置信息將自動傳播到本域內的其他所有交換機,這些交換機會自動地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺設備上配置同一個VLAN信息的工作量,而且保持了VLAN配置的統一性。處于VTP模式下,黑客容易通過VTP實現初步入侵和攻擊,并通過獲取相應的權限,以隨意更改入侵的局域網絡內部架構,導致網絡阻塞和混亂。所以對VTP協議進行操作時,僅保存一臺設置為VTP的服務器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩定與安全的目的,應將VTP域全部的交換機設置為相同的密碼,以保證只有符合密碼相同的情況才能正常運作VTP,保障網絡的安全。
篇(10)
中圖分類號:TN919 文獻標識碼:A 文章編號:1672-3791(2013)05(c)-0028-02
1 總體設計思路
為了加強對IT系統核心數據的安全管控,本方案借助SaaS云平臺技術著力為企業的數據信息安全設計一套“安全城堡”——數據安全管控平臺,OA、EDA的用戶都需要到平臺上進行日常辦公,通過平臺提供的辦公軟件(如:word/excel/ppt/pdf/rar等)實現文件的編輯;所有的數據只能在平臺內部流轉,公司的戰略決策、經營數據等等機密數據只能在平臺中查看、修改和傳遞。該平臺就是一個典型的SaaS型云計算應用在安全領域的虛擬場景,它通過IE瀏覽器向用戶提供一切應用服務,所有的辦公軟件、電子郵件以及OA和經分系統均由云來提供,從而實現一個封閉的辦公工作環境。同時,該方案通過閉環審批、數字加密和PDF水印等技術,有效防范核心數據的泄漏,保證核心數據的只能看、不能下,能互傳,需要下、領導批、加水印。
數據安全管控平臺方案如圖1所示。
2 數據安全管控平臺的特色功能
(1)軟件透明化。
很多人熟悉Google Docs的使用場景,在瀏覽器中完成文件的編輯,此為應用的1.0版本;1.0版本的致命缺陷是改變了用戶的使用習慣,文檔被困在瀏覽器的窗口中,不能全屏。本方案將在windows 2008 server的Terminal Services RemoteApp技術上通過定制開發,實現應用軟件動態在線,和用戶本地安裝的軟件無任何區別,提升用戶的使用感知。
(2)彈性云計算的應用。
該方案通過應用云平臺的使用,實現應用的動態伸縮、按需分配,以降低能耗,達到節能減排的目的。通過管理中心實現智能調度,實現空閑時(如夜間)服務器自動休眠,繁忙時(上班期間)服務器自動激活。經過測算,假設該方案為7500個用戶提供在線辦公服務的場景,按照需求配置12臺刀片服務器的情況,每夜可以休眠8臺服務器,以每臺機器600 W功率,每天休眠8小時,1年節省的電費高達19622元,隨著系統規模的擴大,節能減排的效果更好。
(3)個人文件夾的應用。
通過云端給每個用戶設置一個個人文件夾,所有從OA、EDA系統中下載的文件只能保持在個人文件夾中,在個人文件夾中可以查看、編輯和傳遞文件,不同用戶的個人文件夾保持隔離,但可以相互傳遞文件,傳遞的文件將被管理中心系統進行審計。
(4)公共存儲區的應用。
在實際應用場景中,大量相同的文件被很多用戶保存在各自的個人文件夾中,極大的浪費了存儲空間。為了避免相同的文件被重復存儲,該方案設計公共存儲區,通過Hash算法能夠識別出相同的文件,文件只保存一份在公共存儲區,個人文件夾中只有保存文件的路徑信息,以此節約大量存儲投資成本。
3 數據安全管控平臺解決方案
3.1 應用云技術
基于應用云技術將用戶需要使用的應用軟件或工具(包括B/S和C/S架構的應用)集中部署在應用服務器上,應用云平臺通過WEB服務器向不同用戶或用戶群其所需的應用(包括OA系統、經營分析(EDA)系統、各類辦公軟件等),用戶在客戶端通過應用云平臺提供的遠程IE瀏覽器訪問其所需要的應用(圖2)。
3.2 用戶集中管理
系統基于“主從帳號”機制實現用戶的集中管理和單點登錄功能。
(1)主賬號:用戶登錄數據安全管控系統的賬號。系統的各項安全策略設置、用戶的操作審計記錄等均基于該帳號實現,該賬戶需進行身份的實名認證。
(2)從賬號:用戶登錄各業務系統的原始賬號。每個從賬號需根據各用戶的實名身份與主賬號進行自動關聯。
系統需提供用戶主賬號的生命周期管理功能。系統支持對用戶的屬性(臨時用戶、周期性用戶、永久用戶)進行靈活設置。
3.3 私有文件夾
系統針對用戶的主賬號提供相應的私有文件夾功能。私有文件夾具有以下功能和特點。
(1)每個主賬號只能訪問自己的私有文件夾,禁止互相訪問。
(2)主賬號在應用云平臺的操作數據將保存在私有文件夾中。
(3)當主賬號需要對某文件進行下載時,該文件將被同步至專有的文檔服務器中,用戶需要在文檔服務器中進行下載。
(4)應用云平臺需針對所有文件的上傳、下載進行審計。
(5)應用云平臺需提供針對所有文件上傳、下載審計的模糊搜索和報表功能。
(6)下載時需采用加密機制保證數據的安全。
3.4 文件傳遞和流轉
數據安全管控系統支持在私有文件夾中進行文件的相互傳遞和流轉功能。在私有文件夾中,不需要審批即可進行文件的相互傳遞和流轉,但被傳遞和流轉的文件內容將被審計記錄。
當系統接收到文件傳遞或流轉申請的請求后,管理服務器將需傳遞或流轉的文件以及相關的審計信息直接傳遞至文檔服務器的其他用戶的權限目錄下,同時將該文件以及該文件的審計信息備份到文檔操作備份服務器上,以便事后查詢。
3.5 PDF水印
為保證下載到應用云平臺中的文件安全,管理員可對某些賬號或某些文件設置導出文件添加PDF水印功能,相關處理流程如下。
(1)管理員定義應用云平臺的數據安全策略,包括以下幾點。
①納入控制的主賬號列表。
②只允許通過PDF形式導出文件的列表。
(2)如果只允許PDF,則PDF設置權限需包括。
①是否允許導出(包括打印)。
②是否需添加水印(水印內容為下載用戶的姓名、工號等實名信息)。
③是否允許被復制。
(3)用戶選擇需導出的文件,申請下載,根據虛擬平臺數據安全策略系統將提示用戶將文檔導出為PDF格式。
(4)用戶下載申請通過后,將成功進行文檔的下載。
3.6 虛擬工作區
在私有文件夾中,系統支持通過應用云平臺遠程的Word、Excel、Powerpoint、計算器等常用辦公軟件對文件進行編輯、修改等操作。所有數據均保存在應用云平臺的私有文件夾中,不允許保存在本機硬盤。如需保存在本機硬盤,必須進行下載審批并添加相應的水印。
3.7 閉環審批
在應用云平臺上,系統可對文件的上傳、下載等操作行為進行審計和審批。如某用戶因業務需要需下載某些敏感數據,系統將根據相關的安全策略對數據的下載進行審計、審批,同時通過短信、郵件等方式通知相關負責人,最終形成閉環審批。同時也可將某用戶設置為無需審批權限,即該用戶可直接下載、上傳敏感資料,無需審批,但其下載、上傳的文件和操作過程必須存檔備份,以便事后查詢。
