总的来说,由于覆盖范围、传输速率和用途的不同,无线网络可以分为无线个域网、无线局域网、无线城域网和无线广域网。从传输距离角度看,各种网络的比较如图1所示。从网络拓扑结构角度,无线网络又可以分为有中心网络和无中心、自组织网络。有中心网络以蜂窝移动通信为代表;无中心网络以移动自组织网络(AdHoc)为代表,采用分布式、自组织的思想形成网络。
1.1WPAN/WLAN/WMAN通信技术
无线个域网(WirelessPersonalAreaNetwork,WPAN)是为了实现活动半径小、业务类型丰富、面向特定群体、无线无缝的连接而提出的新兴无线通信网络技术。WPAN能够有效地解决“最后的几米电缆”的问题,进而将无线联网进行到底。如蓝牙、ZigBee、RFID等。无线局域网(WirelessLocalAreaNetwork,WLAN)的工作模式可分为基础结构(Infrastructure)模式和自组织网络(AdHoc)模式,基础结构的拓扑结构是扩展服务集(ExtendedServiceSet,ESS),而自组织网络的拓扑结构是独立基本服务集(IndependentBasicServiceSet,IBSS)。在基础结构网络下,无线终端通过访问节点(AccessPoint,AP)相互通信,而且可以访问有线网络,这是最常用的网络拓扑结构;自组织网络是无线终端之间任意连接相互通信形成的一种工作方式。WLAN的安全架构经历了从有线等效保密(WiredEquivalentPrivacy,WEP)到IEEE802.11i的演进,我国于2003年首次针对WEP的安全机制不足提出无线局域网安全标准(WirelessLANAuthenticationandPrivacyInfrastructure,WAPI)。无线城域网(WirelessMetropolitanAreaNetwork,WMAN)的推出是为了满足日益增长的无线接入市场需求。在WLAN技术快速发展的同时,由于在用于室外环境时,带宽和用户数方面受到了限制,同时,还存在通信距离较长等一些其他问题。为更好地解决上述问题,IEEE制定了一套全新的、更复杂的全球标准[2],这个标准能同时解决物理层环境(室外射频传输)和QoS2方面的问题,典型的WMAN如WiMAX,Mesh等。
1.2GSM/GPRS通信技术
全球移动通信系统(GlobalSystemforMobileCommunications,GSM)是2G系统的典型例子,其运营成本低、网络覆盖范围广、可靠性相对较高。但是该通信方式的实时性相对较差,尤其是在大数据传输的情况下,可能造成较长时间的传输时延,不适用于实时监测系统。而且GSM没有考虑完整性保护的问题,这一点在以语音通信为主的2G通信中不是十分重要,因为丢失或者改动的语音通常可以认为识别。GPRS是在现有二代移动通信GSM系统基础上发展而来的无线数据传输业务。GPRS采用与GSM相同的无线调制标准、频带、突发结构、调频规则及TDMA帧结构。GPRS允许用户在端到端分组转移模式下发送和接收数据,不需要利用电路交换模式的网络资源。近年来,GPRS技术在配电终端发展非常迅速,但是仍存在不足:GPRS会发生包丢失现象,调制方式不是最优,只采用对用户的单向认证等[3]。
1.33G通信技术
与前两代通信系统相比,第三代移动通信系统的主要特征是可提供多种移动多媒体业务。在高速移动的环境中,其传输速率支持144kbit/s,静止状态下最高支持7.2Mbit/s。3G技术利用在不同网络间的无缝漫游技术,将无线通信系统和Internet连接在一起,从而实现对移动终端用户提供更多、更高级的服务,提高了通信质量、系统容量和传输速率。在安全体系上,3G系统性的考虑了网络接入安全、网络域安全、用户域安全、应用域安全、安全可视性和可配置性。虽然3G和2G相比有很多优点,但还是存在很多缺点:3G缺乏统一的全球标准;3G所采用的语音交换架构不是纯IP的方式,仍采用2G系统的电路交换方式;3G的业务提供和业务管理不够灵活;流媒体的应用不尽如人意;3G的高速数据传输不成熟,接入速度有限;安全方面存在算法过多、认证协议容易被攻击等安全缺陷。
1.44G通信技术
3G正朝着无处不在、全IP化的4G演进。4G网络体系结构如图2所示,4G的关键特征是网络融合,允许多种无线通信技术系统共存,4G致力于融合不同的无线通信系统和技术,以提供普适移动计算环境。用户可以在任何时间、任何地点使用无线网络,这给认证和安全切换提出了更高的要求。在高速移动环境中,移动工作站仍能提供2~100Mbit/s的数据传输速率。4G使用单一的全球范围的IP核心网来取代3G中的蜂窝网络,交换架构从电路交换向分组交换过渡,最终演变成为基于分组交换架构的全IP网络。TD-LTE是时分双工技术(TimeDivisionDupl-exing,TDD)版本的LTE技术,是TD-SCDMA的后续演进技术,同时沿用了TD-SCDMA的帧结构。TD-LTE所采用的不对称频率时分双工方式,是我国拥有自主核心知识产权的国际标准。与之前的通信技术标准相比,TD-LTE技术在物理层传输技术方面有显著改进,主要使用的关键技术包括:多天线技术、多址接入技术、链路自适应、混合自动重传等。1)TD-LTE采用TDD技术,充分利用了有限的频谱资源。在TDD模式下通过将发送和接收信号调度到同一载波下不同时间段传输进行区分,将有限的频谱资源充分利用。2)TD-LTE采用正交频分复用调制编码技术,有效对抗频率选择性衰落或窄带干扰,也提高了单位频谱的传输效率。正交频分复用调制编码技术是将频段内给定的信道分成若干个正交子信道,然后在每个子信道上使用一个载波进行调制,子载波并行传输,从而有效地消除信号波形间的干扰。3)TD-LTE采用多输入输出技术。该技术通过分立式多天线,利用多发射、多接收天线进行空间分集,能将通信链路分解成多个并行子信道,从而提高通信容量。TD-LTE还采用了自适应调制与编码技术、自适应重传技术、载波聚合技术等多种先进技术来实现宽带数据传输[2]。
24G通信安全问题与对策
2.14G通信的接入系统与移动终端
4G的核心网是一个全IP网络,即基于IP的承载机制、基于IP的网络维护管理、基于IP的网络资源控制、基于IP的应用服务。4G的根本优点是可以实现不同网络间的无缝互联。因此,4G网络的接入系统包括无线蜂窝移动通信系统(2G、3G)、无线系统(如DECT)、短距离连接系统(如蓝牙)、无线局域网(WLAN)系统、卫星系统、广播电视接入系统(如DAB,DVB-T,CATV)、有线系统、WiMAX等。4G系统的显著特点是智能化终端,通过实现在各种网络系统之间无缝连接和协作,以最优化的工作方式满足用户的通信需求。当智能化多模式终端接入系统时,网络会自适应地分配频带,给出最优化路由,以达到最佳通信效果。4G的特征决定了4G的移动终端不同于3G终端。4G移动终端应能支持高速率和宽带要求,同时还应保证适应不同的空中接口要求及不同的QoS指标和终端用户移动性能。此外,4G系统中的终端形式多样化,具有物联网功能的终端可视为4G系统的终端,如联网的冰箱、热水器、眼镜、手表等。未来4G移动终端具有如下特征:更强的交互性能,更为方便的个人与网络接口;更高的网络联通性,无线设备可通过AdHoc方式组网;丰富的个性化服务,支持视频电话、GPS定位等多种业务;动态自重构能力,可以自适应地改变业务要求及网络条件;增强型的安全保障功能,如嵌入式指纹识别认证。
2.24G通信安全问题
4G系统包括IP骨干网、无线核心网、无线接入网和智能移动终端等部分,因此,其面临的安全威胁也主要来自这几方面。现有无线网络中存在的安全隐患仍然存在于4G系统中。例如,无线网络链路安全问题和攻击者的窃听、篡改、插入或删除链路上的数据;网络实体身份认证问题,包括核心网和接入网中的实体,如无线局域网中的AP和认证服务器等;Internet网络的各类网络攻击问题等。另外,4G的移动终端与用户的交互更为密切,移动终端作为所有无线协议的参与者和各种无线应用的执行者[4],交互越来越复杂,威胁的来源越来越广泛。而且,随着计算和存储能力的不断增强,可被执行的恶意程序的数量增多,破坏越来越大,使移动终端变得更加脆弱。例如,手机病毒攻击、移动终端硬件平台的篡改、移动终端操作系统漏洞等。
2.34G通信安全策略
4G安全的研究刚刚起步,还需要将来深入的研究。安全解决方案的设计应考虑的因素包括:安全性、效率、兼容性、可扩展性和用户的可移动性。包括[5]:①需要通过移动终端完成的任务量尽可能少,以有效减少计算的时延;②安全协议需要交互的信息量尽可能少,且每条信息的数据长度尽可能短,以减少通信的时延;③被访问网络的安全防护措施应对用户透明;④用户可有效识别和了解被访问网络协商所采用的安全防护措施级别、算法,甚至安全协议;⑤合法的用户可自由配置自身使用的业务是否需要采用安全防护措施;⑥协议要求的计算能力要具有明显的非对称性,较大的计算负担应尽量在服务端完成,而非在移动终端完成,要充分利用移动终端的空闲时间和资源进行预计算和预认证;⑦安全防护方案能够应对用户和网络设备数目的持续增长。具体而言,可采取的安全防护策略主要如下[6]。1)可协商机制:移动终端和无线网络能够自行协商安全协议和算法。2)可配置机制:合法用户可配置移动终端的安全防护措施选项。3)多策略机制:针对不同的应用场景提供不同的安全防护措施。例如,首次登陆网络和再次接入网络的认证可以充分利用已有的验证信息来节约成本、提高效率,切换认证也应该较普通接入认证有更高的效率。4)混合策略机制:结合不同的安全机制,如将公钥和私钥体制相结合、生物密码和数字口令相结合。一方面,以公钥保障系统的可扩展性,进而支撑兼容性和用户的可移动性;另一方面,利用私钥的高效性来保证实时性(如切换过程),进一步确保用户的可移动性。
2.44G通信安全措施
根据安全威胁来源,4G通信的安全措施重点在于移动终端和无线接入网2部分,对于移动终端一般可采取的安全防护措施如下。1)防护物理硬件。提升集成度,减少可被攻击的物理接口;增加电流、电压检测电路,防止物理攻击手段;增加完整性检验、可信启动和存储保护等措施。2)加固操作系统。采用坚强可靠的操作系统,使其支持混合式访问控制、域隔离控制和远程验证等安全策略。对于无线接入网一般可采取的安全措施如下。1)安全接入。无线接入网通过自身安全策略或辅助安全设备提供对可信移动终端的安全接入功能。防止非可信移动终端接入无线接入网络。2)安全传输。移动终端与无线接入网能够选择建立加密传输通道,根据业务需求,从无线接入网、用户侧均能自主设置数据传输方式。必要时,无线接入网可以采用专用网络进行物理隔离或逻辑隔离。3)身份认证。移动终端与无线接入网建立基于高可靠性载体(如数字证书)的双向身份认证机制。4)安全数据过滤。无线接入网可提供安全数据过滤功能。在视频、多媒体等应用领域,通过数据过滤,可以有效地防范非法数据通过抢占无线接入网资源,进而影响内部系统或核心网。5)访问控制。无线接入网可通过物理地址过滤、端口访问控制等技术措施进行细粒度访问控制策略设置。6)统一监控与审计。对移动终端的访问行为、无线接入设备的运行情况建立统一的监控与审计系统,可以有效地分析移动终端行为规律、记录异常操作,保证无线接入网的高效、可靠。无线核心网和IP骨干网Internet的安全措施与传统网络类似,包括设备冗余、链路冗余、容灾技术、带宽优化等系列措施。在传统安全措施基础上,4G通信时主要需要考虑无线接入网与核心网之间的安全问题。核心网需要加强对无线接入网的安全接入防护,建立可信接入机制。
3结语
【关键词】 4G通信 无线网络 安全通信
4G移动网络系统融合了多种无线通信技术,可提供高速率、干扰小的通信环境,由于4G网络的无线传播、开放性等特性,其安全通信是整个4G移动网络系统的关键,结合当前4G移动网络系统的安全现状,积极采取有效的措施和策略,推动基于4G通信的无线网络安全通信快速发展。
一、当前4G通信的无线网络安全问题
4G无线网络通信系统主要包括智能移动终端、无线接入网、无线核心网、IP主干网等部分[1],这几部分的安全通信问题是造成4G通信系统安全问题的主要因素。4G无线网络通信系统在管理、技术等方面都有了明显改进,但是在通信系统运行中还存在一些影响因素。例如,无线网络的链接安全问题,如果无线网络通信系统在链接过程中发生中断,会严重影响无线网络的安全通信,导致用户发送的重要数据信息中断,甚至被网络黑客恶意入侵,将一些攻击性病毒植入无线网络通信系统,无线网络传输的数据信息很容易被篡改、删除等。同时,4G无线网络通信系统的移动终端和用户之间的交互越来越频繁,越来越多复杂,移动终端是无线应用和各种无线协议最主要的执行者,这使得4G无线网络通信系统面临着很多不安全的因素。
二、基于4G的无线网络安全通信策略
2.1做好安全防护
基于4G的无线网络通信应充分考虑多种因素,如用户可移动性、系统可扩展性、兼容性和安全效率等,做好安全防护,如建立多策略机制、可配置机制、可协商机制和混合策略机制,多策略机制是指结合不同应用场景采用不同安全防护措施,如首次登陆无线网络和再次接入时必须要经过验证;可配置机制是指无线网络通信系统的合法用户江可根据自己的要求配置移动终端的安全防护选项;可协商机制是指无线网络和移动终端可自行协商安全算法和安全协议;混合策略机制是指结合各种安全机制,如数字口令和生物密码相结合、私钥和公h相结合,以私钥确保无线网络通信系统切换过程的实时性,以公h提高通信系统的可扩展性。
2.2物理硬件防护
基于4G通信的无线网络系统应加强物理硬件防护,减少可被入侵或者攻击的物理接口,提升系统的集成度,适当增加电压、电流检测电路,避免物理攻击,并且增加存储保护、可信启动和完整性检验等安全措施。
2.3优化网络设计
4G无线网络通信系统应尽量减少系统数据传输的时延和移动终端的任务量,减少无线网络通信过程中每条信息数据长度和安全协议信息量,避免过长的信息数据或者信息量过大延误系统通信,并且相关安全防护措施应透明化,明确无线网络通信系统的安全协议和安全级别[2],便于用户了解和有效识别。
2.4无线接入网的安全措施
1、安全传输。无线接入网和移动终端可加设置加密传输通道,结合基于4G通信的无线网络系统的业务需求,在用户侧和无线接入网中自主设置通信方式,或者无线接入网可通过专用网络进行逻辑隔离或者物理隔离。
2、安全接入。对无线接入网设置辅助安全设备或者有针对性地采取安全措施,实现基于4G通信的无线网络系统的安全接入,避免非可信移动终端随便接入无线网络。
3、身份认证。无线接入网和移动终端之间构建双向身份认证机制,从无线接入网连接移动终端需要经过数字认证,移动终端在接入无线接入网时,也应经过高可靠性的载体。
4、访问控制。对无线接入网采用端口访问控制、物理地址过滤等技术措施[3],设置4G无线网络通信系统的细度访问控制。
5、安全数据过滤。安全数据过滤是无线接入网安全防护的重要手段,在多媒体、视频等应用领域进行安全数据过滤,可有效防范网络黑客恶意入侵或者非法数据占用无线接入网,保护核心网络和内部系统。
6、统一审计和监控。结合无线接入设备运行的实际情况和移动终端访问行为,构建统一的审计和监控系统,有效监控移动终端的记录异常操作、行为规律等,保障无线接入网的可靠性和高效性。
三、结束语
当前,4G通信技术的普及,为了提高无线网络通信系统的安全性和稳定性,必须重视基于4G通信的无线网络安全通信策略的设计,结合当前存在的安全问题,有针对性的采取安全防护措施,推动基于4G通信的无线网络安全通信快速发展。
参 考 文 献
[1] 于增忠.初中美术多媒体教学存在的问题及解决方案[J]. 科普童话. 2014(29)
关键词:移动电子政务平台;智能终端;安全
DOI:10.16184/prg.2016.04.014
随着移动互联网技术和通信技术的高速发展,以基于智能系统的手机、PAD、Wi-Fi终端迅速发展,改变了传统电子政务方式,目前,政府部门通过移动办公来审批相关政务信息,已成为一种趋势,不仅是传统电子政务的继承和发展,更是提高民众认知度和发挥电子政务作用的一个更好方式。如何搭建一个安全、高效的移动电子政务平台,将关系着整个政府信息化工作的健康发展,关系到政府工作模式的有效转变和工作效率的提升,更深层次地关系到整个国家的政治安全、经济安全、国防安全、社会稳定和政府工作的正常运转。
1移动电子政务的概念
移动电子政务(MobileE-Govemment),是一种利用移动通信技术和互联网技术的新型电子政务模式[1],是当前广泛应用的一项移动互联网业务。政府公务人员可以利用诸如手机、PDA、Wi-Fi等移动终端通过移动网络随时随地(Anytime,Any-where)接入政府部门信息化办公系统,发送各种即时公告信息,收发电子邮件,审批政务信息等,普通民众也可以利用移动终端随时随地访问政府门户网站、网上办事大厅,查询政府的最新政务信息,办理各项审批业务。相比于基于“固网+PC”的传统电子政务模式,移动电子政务可以更加方便政府公务人员处理政务信息,提高了办公审批速度,缩短了政务信息的流转时间,节省了政府部门日常开支,加强了政府与民众之间的沟通,提高民众满意度。另外鉴于移动网络灵活便捷的特点,移动电子政务还具有较强的灾害处理能力及可扩展性。
2移动电子政务接入安全
移动电子政务接入的安全问题主要表现在数据传输网络、移动终端、操作系统及应用等方面。这些方面与电子政务内网数据之间的交换存在着安全隐患。
2.1数据传输网络的安全隐患
目前政府部门在用的移动电子政务网主要有两种方式,一种是由政府部门自建的、独立于运营商的移动通信专用网络。该方式由于网络专用,具有很高的安全性,主要用于承载语音信息或小数据量的报文。但专用网络也存在频段限制、宽带较低、投资大、扩展性差等缺点,很难满足大数据时代的数据量传输要求。另一种移动电子政务网则是由运营商提供的,基于公网的通信网络。各运营商提供的移动电子政务网络会采取一定的措施,提高其网络传输层面的安全性。目前主要采用虚拟专网技术,主流包括有APN、VPN、SSLVPN等技术。虽然上述安全措施确实为数据传输提供了保护,但根据相关移动电子政务安全接入规范要求,该措施仍远远不能满足安全接入的需求。在数据通信传输的过程中仍然存在信息被截获、读取、破解的风险。攻击者可利用专业的通信干扰工具或者流氓软件来获取传输通道的信息、解密密钥,从而破坏数据的完整性。
2.2移动终端的安全隐患
目前市场上的智能移动终端品牌很多,但智能手机及平板终端主流的操作系统不外乎是Android、IOS和WindowsPhone。移动办公终端所面临的安全隐患主要在于操作系统存在的安全BUG和设备的非授权使用。Android为开放式系统,攻击者很容易在应用软件里“留后门”,从而盗取终端上的信息。而IOS、WindowsPhone则为国外开发商的操作系统,对其安全性有所保留。同时终端的被盗或者遗失都有可能影响电子政务网的正常使用。
2.3应用访问的安全隐患
应用系统的安全隐患主要是攻击者利用操作系统或应用系统的漏洞造成。例如使用者在终端上随意安装不明来历的软件或者访问恶意网站,攻击者就有可能通过恶意代码或者木马程序对网络、操作系统或应用系统进行攻击,利用非法手段获取用户的鉴权信息,从而访问电子政务网内的系统资源。
3移动电子政务接入安全保障体系
结合所在单位移动办公系统的实际,重点讲述现有的移动电子政务接入安全保障体系。根据本单位需求,移动办公安全接入系统的网路拓扑如图1所示。本系统在充分借鉴了网络接入控制NAC(NetworkAdmis-sionControl)技术,网络接入保护技术NAP(NetworkAccessProtection)以及TCG组织的可信网络连接TNC(TrustedNet-workConnect)等技术特点基础上,基于我国自主密码算法和我国信息安全的相关规范要求,运用了经国家密码管理局安审批准了我国第一套具有完整安全体系架构的SQY42移动安全接入系统。由图1可以看出,在不与现有政企内网发生信息交互、保障现有政企内网安全的前提下,为移动办公系统构建一个封闭、安全的移动办公安全专网。该专网被划分为移动终端、移动通信网、安全接入区、内部办公区等多个区域,共同构建了:移动办公安全专网;两个安全区域:APN移动专网,安全接入网;三处安全防护:移动终端安全防护、通信链路安全防护、系统访问安全防护;公网上的虚拟专用信道:移动终端和安全接入网之间、基于数字证书实现设备级双向认证:硬件密码卡与安全接入网关、基于SM1实现穿越移动公网的端到端加密隧道。移动办公安全接入系统主要设备包括系统应用服务器群、移动应用服务器群、防火墙、移动应用缓存服务器(服务器)、安全认证管理系统、安全接入网关、移动终端及安全组件等。目前移动办公系统运行在由安全认证管理系统、安全接入网关、终端安全组件等专用安全设备所构成的加密传输系统上,该系统获得国家密码管理局批准的商用密码产品型号证书。
3.1移动通信网络安全
移动通信网指运营商提供的移动通信链路。为了确保网络接入安全,防止非授权用户的非法接入和攻击,建议系统采用APN/VPDN接入方式,用户通过拨号,经运营商提供虚拟专用私网连到移动办公专网的安全接入区;运营商给移动办公专网分配的IP地址应是私网地址,不是公网地址,不能直接和Internet相连,确保系统的安全性。移动政务安全接入对移动通信网络的具体要求包括:(1)提供移动通信网络到安全接入区的专线接入,保证稳定可靠的传输服务;(2)提供必要的网络安全隔离措施,建立移动政务虚拟专用网络(如虚拟拨号专用网络VPDN、访问节点网络APN等),减少政务信息被泄漏、窃取和篡改的安全风险;(3)采用必要的防范措施,防止对移动办公安全接入系统的攻击;对网络安全事件的调查、发现和解决进行积极配合,并提供相关保障措施和承诺。
3.2移动终端安全保障
3.2.1移动终端安全该项目通过采用终端安全卡方式,确保文件交换和传输安全。终端安全卡集成了安全加密模块和智能控制芯片,加密芯片支持的密码学运算主要有:真随机数生成、SM1加解密、HASH计算、HMAC计算、SM2、1024位RSA算法、加解密及签名功能,移动终端在配备了终端加密卡后,即可实现终端的身份认证、信息加解密、信息加密存储功能。3.2.2移动终端接入安全本项目采用的CDMAVPDN技术利用CDMA高速分组数据网络构建移动虚拟专用网络,从而可任何地点都能够通过CDMA网络无缝和安全的连接到政务内网的安全接入区。只有通过合法认证的用户才能够成功建立虚拟隧道与专网系统进行数据交互、检索、传输等操作,如图2所示。
3.3安全接入区
安全接入区主要包括防火墙、短消息安全接入系统、GPRS/CDMA/3G安全接入系统、安全认证管理系统、鉴别评估管理系统、密信通服务系统等。3.3.1防火墙本项目在网络入口处部署企业级百兆/千兆包过滤防火墙,防止来自无线通信网络的非法访问和各种网络攻击,通过配置安全策略,实现授权访问控制,任何终端只能访问安全策略允许访问的系统资源。3.3.2GPRS/CDMA/3G安全接入网关针对电子政务的实际应用需求,该系统采用了国际标准无线通信协议,采用相对移动应用透明的无线安全通信技术的设计,建立在一个国际水准的技术起点上,可保障智能手机和后台网络之间的数据传输在公网路段上的安全(内容不可见、不可随意更改),系统安全传输机制相对应用透明,上层应用不需做任何改动就可享受安全传输服务,可以保障整个系统具有良好的可扩展性,未来可以随时增加各种移动应用;系统实现安全通信协议来保护移动终端和移动接入网之间交互的通行数据的安全,提供基于数字身份证书的身份认证和基于硬件密码芯片的数据加解密服务,可保证数据信息的真实性、保密性、完整性和一致性。3.3.3安全认证管理系统该系统集成了CA数字证书认证和管理服务,可支持第三方CA。系统一方面提供对数字证书的审核、签发、管理、撤销等,实现对网关接入认证、终端身份认证,提供基于Web的配置和管理功能。另一方面提供用户管理、终端安全卡管理、日志审计等安全管理功能,实现对系统的运维管理。
3.4内部办公区的安全
内部办公区用于部署移动办公应用系统所需的应用服务器、数据库服务器、管理维护终端等,一方面为移动办公应用系统提供应用和数据支撑;一方面通过管理维护终端实现对移动办公系统的管理维护功能。本项目通过安装McAfee(服务器端)安全防护系统,确保后台服务器的安全。
3.5存储安全
对于需要持久的存储在移动办公服务器上的重要数据存储安全,本项目采取了两种方法。(1)在移动应用系统服务器采用加密安全存储,而不是直接存储系统硬盘数据。(2)采用移动办公缓存服务器(服务器),移动用户访问的只是服务器数据,而不是直接访问系统服务器的数据。这样即使服务器被侵入,攻击者依旧无法取得用户存储于移动办公系统的机密数据。
3.6移动终端安全管理
利用MDM技术加强对移动终端的管理。MDM技术可从移动终端设备注册、激活、使用、停用各个环节进行全面管理。可设置信任名单列表,能有效地管理终端上的应用软件,同时可远程擦除/卸载相关软件,保证移动办公软件的使用环境安全。
4应用实例
作者所在单位负责区政府移动电子政务办公平台的建设和管理工作,该项目的建设目标是方便政府具有审批权限的公务人员随时、随地、随需地使用移动办公系统进行业务审批,大大提高工作效率,降低工作成本,在当地取得良好的实际效果,得到了当地群众的高度赞誉。
4.1客户端安全登录
手机客户端首先通过VPN厂家和应用系统双方定制的TF卡认证,通过验证硬件特征码,进入应用系统登录界面,如图3所示。
4.2客户端主要功能
智能手机客户端结合移动通信网络,主要实现我的待办、收文管理、发文管理、阅件管理、会务接待、应急、外出管理、信息公告、通信录等基本的移动办公功能,具体功能如图4所示。我的待办:按不同的分类方式(按流程、按到达时间、按要求完成时间)汇总需要用户审批的公文。收文管理:实现收文审批、办理等操作。发文管理:实现文件的自动流转、快速批阅功能。阅件管理:查看最新需阅的简报、公文。会务接待:审批会务接待类方案。应急:审批、应急等部门受理的业务。外出管理:领导干部请(休)假、外出审批。信息公告:具有查阅权限的人员阅,以便能及时了解新的信息。包括最新信息、活动安排等。通信录:根据权限查看单位通信录的详细信息。
5结语
结合已开发项目对移动电子政务平台安全性架构进行了初步的阐述,重点对接入安全进行分析和构建接入安全保障体系进行阐述,并结合本单位建设项目实例介绍,展现平台搭建后的实例,供读者分享参考,不足之处请批评指正。
参考文献
[1]巩永华,李大伟.移动电子政务发展研究.电子政务,2006,03(09):48.
[2]邹翔.电子政务网络移动安全接入体系及关键技术研究.技术研究与应用,2007:52-54.
关键词:移动通信;4G
4G移动网络系统融合了多种无线通信技术,可提供高速率、干扰小的通信环境,由于4G网络的无线传播、开放性等特性,其安全通信是整个4G移动网络系统的关键,结合当前4G移动网络系统的安全现状,积极采取有效的措施和策略,推动基于4G通信的无线网络安全通信快速发展。
一、当前4G通信的概述及无线网络安全问题
移动通信技术经历了三个主要发展阶段。每一个阶段的发展都是一次技术上的突破。第一代起源于20世纪80年代,它完成于20世纪90年代初,主要采用模拟传输技术。第二代起源于90年代初期,主要采用时分多址和码分多址技术。第三代移动通信系统最基本的特征是智能信号处理技术,智能信号处理单元将成为基本功能模块,支持话音和多媒体数据通信。然而,第三代移动通信系统没有一套统一的标准而且频谱利用率低下,尽管其传输速率可高达2Mb/s,但仍无法满足多媒体通信的要求,因此,第四代移动通信系统(4G)的研究随之应运而生。新兴的4G通信系统可以适应移动计算、移动数据和移动多媒体的运作,并能满足数据通信和多媒体业务快速发展的需求。4G的核心技术包括:接入方式和多址方案、调制与编码技术、高性能的接收机、智能天线技术、MIMO技术、软件无线电技术、基于IP的核心网和多用户检测技术等。
4G无线网络通信系统主要包括智能移动终端、无线接入网、无线核心网、IP主干网等部分,这几部分的安全通信问题是造成4G通信系统安全问题的主要因素。4G无线网络通信系统在管理、技术等方面都有了明显改进,但是在通信系统运行中还存在一些影响因素。例如,无线网络的链接安全问题,如果无线网络通信系统在链接过程中发生中断,会严重影响无线网络的安全通信,导致用户发送的重要数据信息中断,甚至被网络黑客恶意入侵,将一些攻击性病毒植入无线网络通信系统,无线网络传输的数据信息很容易被篡改、删除等。同时,4G无线网络通信系统的移动终端和用户之间的交互越来越频繁,越来越多复杂,移动终端是无线应用和各种无线协议最主要的执行者,这使得4G无线网络通信系统面临着很多不安全的因素。
二、基于4G的无线网络安全通信策略
(1)做好安全防护
基于4G的无线网络通信应充分考虑多种因素,如用户可移动性、系统可扩展性、兼容性和安全效率等,做好安全防护,如建立多策略机制、可配置机制、可协商机制和混合策略机制,多策略机制是指结合不同应用场景采用不同安全防护措施,如首次登陆无线网络和再次接入时必须要经过验证;可配置机制是指无线网络通信系统的合法用户江可根据自己的要求配置移动终端的安全防护选项;可协商机制是指无线网络和移动终端可自行协商安全算法和安全协议;混合策略机制是指结合各种安全机制,如数字口令和生物密码相结合、私钥和公钥相结合,以私钥确保无线网络通信系统切换过程的实时性,以公钥提高通信系统的可扩展性。
(2)物理硬件防护
基于4G通信的无线网络系统应加强物理硬件防护,减少可被入侵或者攻击的物理接口,提升系统的集成度,适当增加电压、电流检测电路,避免物理攻击,并且增加存储保护、可信启动和完整性检验等安全措施。
(3)优化网络设计
4G无线网络通信系统应尽量减少系统数据传输的时延和移动终端的任务量,减少无线网络通信过程中每条信息数据长度和安全协议信息量,避免过长的信息数据或者信息量过大延误系统通信,并且相关安全防护措施应透明化,明确无线网络通信系统的安全协议和安全级别,便于用户了解和有效识别。
(4)无线接入网的安全措施
1、安全传输。无线接入网和移动终端可加设置加密传输通道,结合基于4G通信的无线网络系统的业务需求,在用户侧和无线接入网中自主设置通信方式,或者无线接入网可通过专用网络进行逻辑隔离或者物理隔离。
2、安全接入。对无线接入网设置辅助安全设备或者有针对性地采取安全措施,实现基于4G通信的无线网络系统的安全接入,避免非可信移动终端随便接入无线网络。
3、身份认证。无线接入网和移动终端之间构建双向身份认证机制,从无线接入网连接移动终端需要经过数字认证,移动终端在接入无线接入网时,也应经过高可靠性的载体。
4、访问控制。对无线接入网采用端口访问控制、物理地址过滤等技术措施[3],设置4G无线网络通信系统的细度访问控制。
5、安全数据过滤。安全数据过滤是无线接入网安全防护的重要手段,在多媒体、视频等应用领域进行安全数据过滤,可有效防范网络黑客恶意入侵或者非法数据占用无线接入网,保护核心网络和内部系统。
6、统一审计和监控。结合无线接入设备运行的实际情况和移动终端访问行为,构建统一的审计和监控系统,有效监控移动终端的记录异常操作、行为规律等,保障无线接入网的可靠性和高效性。
三、结束语
随着社会的进步和科技的发展,现在人们使用的移动通信系统已更新到了第四代,它广泛应用于世界各国极大的改变了人们的生活方式和交流方式,为人们的生活提供了便捷。然而随着人们生活水平的提高,3G移动通信系统自身存在的不足已经不能满足人们日益提高的需求,在这种情况下4G移动通信系统的研发就得到了促进。与3G技术相比有了有效的提升,但也存在许多技术性问题亟待改进,4G通信技术的普及,为了提高无线网络通信系统的安全性和稳定性,必须重视基于4G通信的无线网络安全通信策略的设计,结合当前存在的安全问题,有针对性的采取安全防护措施,推动基于4G通信的无线网络安全通信快速发展。
参考文献
[1] 胡国华,袁树杰,谭敏.4G移动通信技术与安全缺陷分析[J].通信技术,2008,07:155-157.
【关键词】 4G通信技术 无线网络 安全通信
4G移动网络中融合了多种无线通信技术,能够使得人们的通信环境收到的干扰更小、传输速率更高,但是4G通信技术却存在一定的安全风险,对此应该加强对4G通信网络的无线网络的安全通信问题的研究,使得4G通信网络具有更加安全性的应用。
一、基于4G通信网络的无线网络安全通信问题
1、移动终端的安全通知问题。4G移动终端形式为了提高自身的多样化,加强了对多种系统的接入,通过4G移动终端的个性化服务,能够使得用户更好的接入到网络,能够具有视频通话和安全保障等方面的功能。但是为了保证上述功能的实现,需要保证4G移动终端的较高的宽带和速率的要求,并且需要物联网作用的充分发挥。并且随着用户数量的增多,需要保证用户和4G移动终端的紧密的联系,这就使得4G移动终端的存储计算能力得到相应的考验,经常会收到可执行的恶意程序,这些可执行的恶意程序对移动终端的抵抗力产生影响,出现了越来越多的安全隐患,不能充分的对无线网络的安全通信进行保证。
2、网络链路上的安全问题。基于4G通信技术的无线网络在应用的过程中需要发挥自身的全IP网络功能,需要保证各种通信系统的接入,但是因为4G系统和无线网络的发展过快,使得有限或者无线在链路上出现了安全问题。出现安全问题可能会使得链路上的数据被窃取、修改和删除等恶意操作,影响了网络的安全性。当前链路的容错率较低,经常会出现因为网络结构的不同而造成的数据的传输错误。通常情况下4G的无线终端会随机的出现在子网中,并且会不断的移动,网络链路也需要依靠网关或者路由器来保证网络的互通,但是随着用户数量的不断增多,会增加网络链路的负担,不能对网络连接的安全性进行充分的保证。
2、网络实体认证的安全问题。无论是在有线网络还是在无线网络中,都没有对网络实体认证给予相应的重视,这就会使得网络犯罪更加的容易,也会容易发生法律纠纷问题。当前4G网络实体认证因为收到了一些方面因素的影响而不能对4G无线网络的实体认证进行落实。出现这种情况的原因有很多方面,首先是因为互联网用户数量的剧增,使得网络实体认证的实施较为复杂,不能及时快速的完成所有的网络实体认证。我国当前无线网络在种类上较多,不能保证网络模式的固定,增加了网络实体认证的难度。
二、基于4G通信网络的无线网络安全通信措施
1、移动终端的防护。在4G移动终端的安全防护措施中,做好系统的硬件防护是防护措施之一。在系统的硬件防护保护措施中需要对4G网络操作系统进行加固,保证操作系统的可靠性,使得系统能够具有远程验证功能、地域隔离控制功能以及混合式访问控制功能等功能的支持。提高系统物理硬件的集成度也是很重要的,这样能够减少可能受到攻击的物理接口的数量。为了实现对物理攻击的防护,可以增加必要的电流检测电路和电压检测电路的防护。最后需要加强对存储保护、可信启动和完整性检验的保护。
2、建立安全体系机制。在4G网络安全通信中,无线网络的安全体系机制的建立是必要的,在建立相应安全防护措施的过程中,需要对系统安全效率、兼容性和可扩展性等方面的因素进行全面性的掌握。在对多策略机制安全防护措施的制定过程中,需要针对不同场景的网络通信使用状况进行合理的选择,为了完成对一定终端的安全防护选项的配置,应该加强对可配置机制的建立。合法用户在对移动终端的安全防护选项进行选择的时候,需要根据自身的需求来进行,然后通过对可协商机制的建立来为无线网络和移动终端进行自行协商安全协议的提供,保证网络连接的顺利程度。
3、入网安全措施的实施。无线网络接入的过程中,需要针对性的进行安全措施的实施,加上相应辅助安全设备的设置,能够对不安全移动终端的接入进行阻止。需要在无线接入网和移动终端之间进行双向身份认证机制的建立,然后利用数字认证来完成移动终端的安全接入。对于移动终端的访问行为,需要利用相关的技术来控制无线接入网的访问,根据无线接入设备的实际情况来统一的完成对监控系统进行构建,从而对移动终端的各种操作和行为进行完整有效的监控并进行相应的记录,提高无线接入网的可靠性和高效性。加强对视频和多媒体等方面数据的安全数据过滤手段的过滤,能够减少黑客的攻击和非法数据的接入,更好的保证内部系统和核心网络的保护。
结语:4G通信网络为人们的生产生活带来了极大的便利,但是应该加强对4G通信网络的无线网络安全通信的重视,通过相关措施的实施,使得4G通信网络得到更好的应用。
参 考 文 献
[1]李炜键,孙飞. 基于4G通信技术的无线网络安全通信分析[J]. 电力信息与通信技术,2014,01:127-131.
[关键词]医院移动医疗网络;网络安全;安全隐患;风险管理
目前,随着信息科学技术的飞速发展、无线网络技术的日趋完善,移动医疗、智慧医疗和远程会诊已成为医院信息化建设完善与否的重要指标。移动医疗系统在传统医院信息管理系统上增加了无线网络以及配套的医疗软件系统、无线终端设备及移动应用程序(applicationprogram,APP)等设施,为患者提供更加便捷的医疗服务。同时,无线网络的开放性为传统医院医疗信息系统增加了新的安全风险因素,为医院信息系统的安全管理带来了新的挑战。移动医疗在传统医院信息系统(hospitalinformationsystem,HIS)基础上完成了对医疗工作流程的闭环管理,通过移动查房系统使医护人员的工作流程更加高效、安全,对患者的门诊、住院治疗过程中的信息处理更加完善、准确[1]。移动查房系统解决了传统HIS的使用中医生在病区日常工作中查看患者病例、获取化验结果和下发医嘱不及时等问题[2]。移动护理系统避免了护士在执行医嘱过程中抽血及用药错误等问题。移动APP为广大患者提供了在线预约挂号、查询检查结果及健康咨询等功能。然而,移动医疗系统在实际使用中对提高医疗效率、医护质量控制管理有显著作用的同时,也不容忽视随之而来的数据安全性风险。为此,本研究针对移动医疗系统网络安全问题进行分析,提出医疗信息网络安全管理措施。
1移动医疗系统网络安全现状分析
移动医疗系统的网络通常由移动终端、移动APP、工作站、接入访问节点(accesspoint,AP)、交换机、防火墙以及服务器等设备连接而成。典型网络拓扑如图1所示。
1.1移动医疗的接入方式
移动医疗的网络接入具有开放性和隐蔽性,不能直观从物理上发现隐患。无线接入分为无线广域网、无线城域网、无线局域网、无线个域网和无线体域网[3]。医院本地局域网基于成本和维护效率通常选择无线局域网接入。医院本地区域内的移动医生终端、移动护理终端Internet等设备通过分布在楼道或病房的无线AP接入医院网络[4]。AP通过百兆局域网线接入到楼层交换机,楼层交换机通过光纤连接到汇聚交换机,再经过核心交换机、防火墙连接到中心机房。在连接过程中,无线AP的接入方式具有开放性和隐蔽性,任何一个移动终端都可能接入,并不能从物理上直观发现。这是移动网络的特点,是可能导致网络非法接入和网络攻击的重要环节。
1.2移动医疗网络的安全隐患
移动医疗网络的开放性导致破解容易,存在接入安全隐患。移动APP在IOS和安卓系统上运行,通过Internet接入到医院外网防火墙,再接入医院Web网络服务器。外网防火墙能够过滤非法IP地址、防止有安全风险的服务协议报文通过,如网络信息服务(networkinformationservice,NIS)和网络文件系统(networkfilesystem,NFS)等。但存在终端外部攻击的安全风险,如果被攻击者通过防火墙访问,就有可能使内部网络文件失窃。目前,AP上应用最广泛的无线传输协议有802.11b/a/g/n。802.11系列协议因其使用便捷给网络部署带来了方便,同时又由于其开放性导致存在服务集标识符(servicesetidentifier,SSID)可视、密码中国医学装备2016年6月第13卷第6期移动医疗医院信息网络安全分析及措施*-罗宇红等简单、无线路由器WEP破解等安全隐患。(1)SSID可视是指无线WiFi的SSID广播处于打开状态,可以被任何移动终端搜索到,即为攻击者提供了找到网络入口的便捷途径。(2)密码简单是指网络管理员设置WiFi接入时使用了规则简单、长度过短的数字、字母及常用词作为密码。由于WiFi连接可以随时接入,所以很容易被暴力破解或字典攻击破解。(3)无线AP接入通常会选择有线等效保密(wiredequivalentprivacy,WEP)算法安全机制进行的认证和加密。WEP算法通过认证请求、挑战、响应和确认认证成功4个步骤进行用户认证。但WEP算法存在完整性校验值(integritycheckvalue,ICV)被篡改、RC4算法缺陷、密钥管理机制缺失及用户密钥过短等风险问题[5]。由于这些风险点,已经有多种软件工具能够破解WEP密码。
1.3移动医疗网络与接入安全隐患
移动医疗网络受到免费WiFi软件干扰,存在接入安全隐患,通过在局域网的计算机上非法安装免费WiFi软件或随身WiFi可以提供非法的无线接入。未经授权允许的终端设备通过非法接入,可能会访问内部保密数据引起数据泄露,或者用户通过手机、平板电脑访问视频网站、下载数据,大量占用可用带宽而影响网络系统正常工作。此类行为对网络管理带来负面效果,存在严重的安全隐患。目前,可随身携带的移动WiFi设备,通过USB口插到接入局域网的工作站或笔记本电脑上便可提供WiFi连接。这些设备可以关闭WiFi广播发送信号,很难通过检测无线信号的方式发现。此产品通过介质访问控制(mediumaccesscontrol,MAC)地址克隆技术和网络地址转换协议转换(networkaddresstranslation-protocoltranslation,NAT-PT)技术可以绕过目前IP和MAC绑定的安全机制,具备一定的管理难度。这种方式下的非法接入终端绕过了用户认证、安全密码甚至防火墙等安全机制。从局域网内部打开了一个访问通道,存在很高的安全风险。
1.4管理措施执行与外侵安全隐患
在日常工作中疏于网络安全管理,对管理措施执行不严,带来外侵安全隐患。(1)医生移动站和护士移动站等移动终端通常采用安卓或IOS操作系统,在使用中存在被安装第三方软件、植入病毒木马的可能性。(2)网络中的楼层交换机设备放在每层的楼道网络间或楼道处,通常不会有专人看管,存在非法接入的风险。(3)中心机房通常部署门禁和视频监控系统,安全等级较高,但可能存在门卡盗用、监控系统未正常运行等风险。(4)Web服务器是移动医疗系统中提供Web服务的重要角色。在提供强大的医疗服务功能的同时,由于web服务的开放性非常容易受到各种攻击,包括Ddos攻击、URL攻击及缓存区溢出攻击等,一旦受到恶意攻击会直接导致使用Web服务器的医疗系统功能失效。移动医疗系统中除了服务器外,还包括大量的工作站和使用不同版本的操作系统。日常工作中访问外部网络,或者工作人员需要在医院内、外拷贝数据,这些行为均会带来感染病毒的风险。系统中感染病毒后会占用网络带宽导致数据传输变慢,占用CPU处理时间导致工作站和服务器运行变慢,甚至会泄露或破坏医疗工作数据,因此需要有完善的病毒防护策略和机制。移动APP运行在IOS和安卓系统下存在被反编译,加入恶意代码拦截密码的安全风险。
1.5通用性与非法攻击安全隐患
移动医疗操作系统的通用性可导致非法攻击的安全隐患,系统主要使用WindowsServer作为服务器。WindowsServer系统作为通用的操作系统提供了友好的操作界面,减少了操作维护成本。由于其易用性导致网络黑客可以进行全面而深入的研究,并利用发现的系统安全漏洞进行攻击。移动医疗系统通常使用大型数据库系统如Oracle存储数据,随着系统运行会产生大量的医嘱、病历、CT图像及MRI影像等大量医疗数据。这些数据需要长期保存,而数据库服务器在长期运行中可能由于软件、硬件故障而导致数据丢失。
2移动医疗系统网络安全措施
2.1网络设备安全措施
(1)对于SSID可视、密码简单等可以通过设备简单操作进行消除的风险点,通过在HIS设备安全部署规范中纳入针对性的操作要求条例,建立日常安全风险控制工作规范操作流程消除风险。在某医院系统日常管理中规定了AP设备必须关闭SSID广播设备部署要求、密码复杂度要求,并设定分层负责的例行检查制度,由分管设备安全维护的负责人定期对其进行设置检查,对于发现的不符合安全规范的情况进行风险排除和通报[6]。(2)WEP密码由于风险性偏高,可选择更高安全性的加密算法,如WPA和WPA2加密算法[7]。这两种加密算法具备严密的安全性,具有极高的安全强度。因此,在AP上优先选择使用WPA或WPA2加密算法。
2.2定期更新检测软件
对于非法接入的设备可通过部署检测软件进行探测分析。此类软件通过分析报文IP头特征、应用层数据内容特征来检测是否存在私自接入的随身WiFi或者无线路由器。由于无线路由和随身WiFi设备不断更新,所以也需要定期更新检测软件以减少系统风险。外网防火墙上可以部署最新的WEB防火墙产品,该产品工作在超文本传输协议(hypertexttransferprotocol,HTTP)层以及更高协议层,通过增强验证、HTTP状态管理以及增强的HTTP层防护技术,能够有效识别假冒终端情况,降低攻击风险。2.3数据库安全解决方案(1)服务器WindowServer、linux操作系统与无线终端统一安装防病毒和防木马软件,并由管理员负责定期升级最新系统补丁、病毒数据库,最大程度减少软件系统风险。(2)采用oracle数据库以提高数据库的稳定性。(3)数据库服务器部署采用双机热备、磁盘容错作为标配,可以极大提供数据可用性。具备条件的情况下可以考虑对数据库进行异地备份,进一步减少数据丢失的可能性。2.4终端安全解决方案(1)制定严格的无线终端使用管理制度,对于医院无线网络的使用者进行必要的安全技术培训。(2)严格认证无线终端使用者账号和密码的使用,并对密码进行定期强制修改。(3)对无线终端进行严格管理,每日对使用者发放和收回登记[8]。(4)严格禁止无线终端被用作其他用途,如上网、游戏等,防止病毒的入侵。(5)在手持终端工作站中安装查杀病毒软件,并定期进行升级。安装第三方软件将MAC地址与IP地址进行绑定。(6)尽量使用基于Android系统的平板电脑和PDA,保证手持工作站对多种软件有良好的兼容性。(7)移动APP使用基于PKI签名的防篡改技术、防止ROOT权限下运行技术、自定义键盘、防止窥探技术以及RSA高强度机密技术,提高客户端安全性[9]。
3结语
近年来,随着手机网络技术的成熟,4G、wifi移动网络迅速普及、手机应用数量的迅猛提升。我国的手机等移动终端访问互联网业务已远超固定PC设备,各行业对移动终端的网络的安全要求越来越高,对移动信息的安全性更加关注,如何保证终端设备网络通信的安全性已成为人们急需面对的问题。因此,我们应当防范互联网犯罪,预防个人隐私泄漏,有效保证移动终端网络安全。而PC设备和移动设备共同形成网络终端设备,我们主要以此为讨论重点。
1 计算机通信网络安全现状
1.1 网络终端设备通信网络安全概况
网络终端设备主要由计算机终端、移动终端和通信网络组成,其中移动设备和计算机是通信网络的信源或终端,通信网络是传输和交换数据的必要手段,最终实现各类终端设备的资源共享。网络终端设备通信网络安全,是通过对应的安全措施防止计算机及移动终端中的通信网络中的密码、数据、各类操作系统等内容遭到更改破坏、防止其它用户窃取服务。从网络的运行环节来分,网络安全有设备安全、数据传输安全、用户识别安全等几个方面。
1.2 网络安全研究的历史、现状
网络安全研究最早是由美国进行相关的基础理论研究,先后制订了计算机系统安全评估准则、网络系统数据库方面的系统安全解释,形成了安全信息系统体系结构的基本准则。安全协议作为信息安全的重要内容,作为信息安全关键技术的密码学,更是取得了长远的发展,近年来信息人员解决了数字签名的问题,而电子商务的安全性要求更是带动了网络安全论证、密码管理等研究。
2 目前网络安全存在的问题
2.1 系统自身的问题
由于各类个人移动设备终端及PC终端在设计时由于各种原因,厂家总是留有“窗口”或是“后门”,这就导致了各类设备在实际运用的过程中由于其系统自身的不完善导致了安全隐患。
2.1.1 操作系统的脆弱性
各类操作系统由于开发企业的技术不同,在网络安全方面总是存在各类流动,导致存在各类信息隐患的存在,尤其是当前黑客技术的不断发展,后门类软件能够做到在入侵各类终端后自行上传隐私数据、窃取密码等重要资料。
2.1.2 软件的漏洞
各类应用及通信软件系统的不完善,给各种不安全因素和入侵留下了隐患,应用的不规范更导致了信息安全的缺陷。
2.1.3 脆弱的网络安全服务
我们常接触的PC终端因特网的基石是TCP/IP协议,该协议在设计上就有许多安全隐患,很多基于TCP/IP的应用服务,在不同程度上存在着信息安全问题,而无线设备可能在接触钓鱼WIFI及其他恶意网络渠道会导致安全风险。
2.2 人为因素
网络黑客通过各种技术手段进入各类终端设备,进行破坏、窃取、篡改损坏网络,对网络构成了极大的威胁。黑客入侵的手段和方式多种多样,有传统的利用病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等方式进行攻击,还有新型的利用0day工具、rootkit软件、利用虚拟机实施攻击、无线入侵等方式,为自己谋求各个方面的利益。
2.3 自身因素
网络危害的另一个主因是因为企业及个人对网络安全意识淡薄,缺乏必要的安全防护意识和安全防护措施,导致信息危害的发生。
3 提升网络安全的几点建议
安全针对以上提出的影响网络安全的因素,我们应当从以下6个方面着手提高终端通信网络安全。
(1)加快网络安全政策法规建设,制定新的信息安全法律,规范网络空间主体的权利和义务。
(2)加强个人及企业的网络安全意识,进一步的推广和普及网络安全知识。
(3)进一步的研发加密设备芯片,在集成电路、核心电子元器件、基础软件等核心关键技术方面实现进一步的推进,将新科技手段融入终端设备中,提升设备保密性能。
(4)进一步增加网络安全资金投入,形成多层次、多渠道、多方式筹措资金的模式和机制,重点支持信息安全关键技术研究、信息安全产品开发与产业化、重要基础设施防护、国家信息安全重大工程建设、信息安全关键标准制定与信息安全宣传教育等重要基础性工作。
(5)积极开展国际对话与合作交流,推进网络外交,加强信息安全事件与威胁信息共享,联手打击网络犯罪行为和网络恐怖行为。
(6)进一步的研发操作系统安全技术,对目前的手机及计算机系统的网络安全弱点进行全面整改,尽量做好已发现漏洞的安全维护工作。
【关键词】 移动终端 安全接入 APN SSL VPN
引言
目前,随着移动互联网的发展,在南方电网公司已经存在一批移动应用,如移动办公、ITSM、基建作业、营销作业和电力抢修等。但由于各项业务终端和通信网络的不安全性,为企业内网安全带来了巨大的风险,主要体现在以下三个方面:
(1)移动终端自身的安全性问题。由于移动终端接入电力信息内网后可能处于“一机两网”的状态,即同时连接Internet 和电力信息内网, 同时由于移动终端缺乏保护终端数据文件的有效手段,因此存在电力信息内网敏感信息泄露等安全隐患。
(2)通信过程中的安全性问题。在移动终端接入电力信息内网的过程中,以及在接入后数据的传输过程中,数据传输链路都面临着被攻击干扰、破坏、截获数据、篡改数据等威胁。
(3)营销终端的访问控制问题。移动终端一经成功接入电力信息内网后就被看作是电力信息内部可信的用户来使用电力信息内网的资源,一旦终端被挟持,将会给整个电力信息内网带来不可控制的风险威胁。
因此必须加强企业移动应用的安全保证措施,才能使个人和企业的数据安全得到保证。
概述
从实践的角度来看,终端接入企业内网的问题通常涉及三个部分:传输通道的安全、内网应用的安全和终端设备的安全。这三个方面任何一方面出现问题,都将导致远程接入过程的不安全。而传统的基于 APN 专网的接入方案都只关注于传输通道的安全,虽然在某个方面上保证了远程接入的数据传输安全,但缺乏对整个接入过程的完整保护,无法保证移动终端在接入内网应用时的安全。
移动安全接入平台从技术的角度出发,通过对企业应用环境的资产、威胁和脆弱性进行分析,将整个安全架构在网络传输安全、终端安全、应用安全之上,以多种技术手段和多重保障机制,有效地保障企业的网络安全和数据安全。
一、企业移动应用发展现状
4G 加速进入生活,智能手机和平板已经成为我们生活中不可或缺的产品。甚至在工作中,移动设备也是我们重要的工具和伙伴,越来越多的人们在工作中使用移动设备。
针对企业员工进行的一项调查数据显示,62%的员工日常工作中使用智能手机,56%的员工使用平板电脑。
使用移动设备进行办公已经成为一种全新的工作方式。这种工作方式形式灵活,不受时间地点限制,办公效率得到提升,同时节省了企业的办公成本。
与此同时,移动设备易携带、易丢失、个人消费应用和企业应用混用等特点,导致 IT支持部门非常担心由此带来的安全风险。这些风险包括:
(1)数据安全。智能终端易于携带、容易丢失,会导致敏感商业信息的泄漏,对数据安全构成极大威胁,给企业带来法规遵从的风险。此外, 移动终端易被他人非授权使用,产生拷贝、下载或打印企业内部敏感资料的风险。
(2)网络安全。由于自携带设备的特殊性,智能终端经常在不安全网络和企业网络之间来回切换,因此更容易遭受木马或病毒的侵害,从而将病毒或木马自动传播至企业网络,对内部网络安全构成极大威胁。
(3)应用安全。相当一部分移动设备来自于员工, 而非企业。员工可以任意下载和安装消费类应用,这极大地降低系统的可靠性,引入了安全风险,造成企业数据丢失或设备功能失效。
南方电网为解决移动设备在企业办公中存在的安全问题,早在 2010 年就实施了自己的移动安全接入平台,并建立了《南方电网远程移动安全接入平台技术规范》,对企业如何进行移动信息化以及移动安全方面做出了积极探索。
二、移动安全接入平台中的安全机制
本文将从网络传输安全、终端安全、应用安全三个方面介绍移动安全接入平台的安全机制。
2.1网络传输安全
网络传输安全通过以下技术手段来保证。
2.1.1 APN 技术
APN(Anywhere Private Network)是解决以动态 IP 接入Internet的局域网之间的互联,并以较低成本接入,以较低通信成本提供较高性能以及可靠的网络专网的计算机网络技术。
在移动安全接入平台中,移动终端被强制要求通过企业APN 来访问系统。终端用户需要经过准入申请和准入审核才可接入网络,移动终端对企业内网的访问是完全可控的。
2.1.2设备绑定
UDID,是用于区分设备的 GUID 唯一编码。由于操作系统厂商的限制,获取设备物理编码(IMEI)变得不可能。因此移动安全接入平台根据一定的编码规则及设备的物理特性为每一台设备生成一个唯一的 UDID 码,用于识别移动终端。同时将该编码和特定用户进行绑定。
移动安全平台支持对入网设备的 MDN(手机号) 和UDID 进行绑定。针对首次入网的设备,系统将要求用户对该设备进行绑定。绑定是基于向该用户发送认证码短信来进行的,而用户接收短信的手机号信息来自于平台登录数据库,而短信的发送完全是由企业管理人员手动操作的。只有经过设备绑定的用户,才会被系统准入。
一旦设备绑定完成,该用户的注册账户和该设备的UUID 将绑定到一起,任一信息不符用户都将无法登入平台。从而最大限度地保证设备不被挟持和滥用,降低资产脆弱性。
此外,平台可对终端设备进行管理,如用户的移动终端不慎遗失,管理人员可通过管理后台的禁止该设备的登录。
2.1.3身份认证
此外,用户在登录内网应用之前,需要进行身份认证。平台认证的措施包括用户密码和动态口令。动态口令每次都会随机生成,客户端不会进行缓存,并以短信的方式发送到设备所绑定的手机上。
动态口令只在指定时间内有效,一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间,并随时查询动态口令的生成情况及有效状态。
2.1.4信息传输加密
对于在网络中传输的数据,移动安全接入平台也提供了相应的安全加密措施,包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据,移动接入平台提供了一种“非对称加密+对称加密”的复合网络传输加密机制。
顾名思义,对称加密算法,即加密与解密用的是同一把秘钥;而非对称加密算法,加密与解密用的是不同的秘钥。
显然,非对称加密比对称加密有着更高的安全性。因为对于对称加密,由于加密与解密的秘钥是同一把,通信的一方必须将秘钥和密文都传递过去,对方才能解密。而非对称加密则不然,只需传递密文与用于解密的公钥,对方即可解密,用于加密的私钥由己方保留不必传递给对方。目前公认的观点认为:只要钥匙的长度足够长,使用非对称加密的信息永远不可能被解破。
当然,由于非对称加密对 CPU 计算性能的依赖很大,在使用相同秘钥的情况下,非对称加密的运算速度比对称密码也要慢许多。此外,非对称加密长度能够加密的信息的长度往往受限于密钥长度。
因此,鉴于二者各自的特点,移动安全接入平台将二者取长补短,结合起来使用,极大地保障了移动安全接入平台在网络中的传输的数据安全性和完整性。
2.2终端安全
终端安全技术包括:终端安全检查、代码签名技术、MDM(移动设备管理)。
2.2.1终端安全检查
终端安全检查是检查终端状态是否合乎安全要求、用户的行为是否合法。移动终端在访问内网资源前,需要进行安全性检查,不符合安全检查策略的终端将被禁止访问内网资源。安全检查模块对终端的操作系统版本、系统是否越狱、锁屏密码是否合规、特殊位置的磁盘文件等进行严格检查。
根据检查策略,系统在处理移动终端接入时会先检查终端是否具备上述一项或者几项特征参数,依据检查结果判断是否允许该终端与安全接入网关建立连接,彻底杜绝不健康的移动终端接入内网,确保移动终端的安全,从源头杜绝威胁的发生。
2.2.2代码签名技术
代码签名证书为软件开发商提供了一个理想的解决方案,使得软件开发商能对其软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份,保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时,能够有效的验证该代码的可信度。
移动安全接入平台根据不同移动终端所用的平台(iOS、Android、Windows)及平台所对应的 app 商店,采用不同的技术对 app 进行代码签名,从而可让用户确信它来自已知来源,且自最后一次签名之后未被修改。
2.2.3 MDM 移动设备管理
移动安全平台通过 MDM 进行移动终端的管理。包括:
1) 移动设备访问控制
移动设备本身的访问控制不高,通常没有安全保护(如使用简单的滑动锁)或仅有弱保护(如使用 9 点屏幕锁)。同时, 移动设备很容遗失或被盗。MDM 通过锁屏、清除密码、下发策略强制加强密码强度等远程指令来操作设备的访问控制。
2) 数据自毁
通过 MDM 的“远程擦除”操作,可以强制销毁移动设备上的所有用户数据。防止用户隐私或企业数据泄露。
3) 应用程序管理
对于“托管”设备,MDM 可以检查设备上的应用安装情况,存储空间大小,操作系统版本以及是否越狱等状态,一旦发现设备上安装可疑程序,即可通过安装在设备上的MDM 服务终止企业应用程序运行。
2.3应用安全
应用安全包括:应用数据加密、权限控制、企业应用商店。
2.3.1应用数据加密
数据的保密性要求我们对于企业中敏感数据进行必要的加密和访问控制。
移动安全接入对用户敏感数据,例如用户密码、证书及密钥进行加密处理。此外,对于缓存在客户端的企业机密数据,包括移动办公系统中的各种内部文档、组织结构和企业通讯录,也进行了加密处理。
2.3.2权限控制
对于移动安全接入平台系统来讲,访问控制主要是基于角色进行访问的控制。基于角色访问控制也是在信息系统中使用比较广泛的访问控制机制。用户在通过了平台的身份认证后,只能看到相应权限下才能查看数据,以及使用相应权限才可操作的功能。
2.3.3企业应用商店
南方电网移动安全平台内置企业应用商店,所有移动应用终端 app 均在企业应用商店内进行,由企业代替操作系统厂商对应用进行管理。
同时,对于企业应用商店中的应用,可通过 MDM 进行企业应用的无线部署(OTA)或直接推送至终端桌面。通过企业应用商店这一有力工具,无疑将极大地简化应用的安装和升级步骤,改善用户体验,并保证了移动应用来源的可靠性和安全性。
三、结论
企业办公移动化必将成为下一轮企业发展的新趋势。于此同时,企业必将在 IT 安全和管理方面遭遇新的挑战。南方电网移动安全接入系统是南网信息化建设中的重要组成部分。
南网移动安全平台在分析总结企业移动应用接入现状的基础上,以保证移动终端接入的安全性为目标,深入研究了安全接入的关键技术, 从网络传输安全、终端安全、应用安全三个方面入手,研究并解决移动终端接入过程的信息安全问题,有效地保障了企业的网络安全和数据安全,极大地推动南网移动信息化和“六加一”工程的建设,符合南网“十二五”信息化规划的远景目标,加快南方电网网内信息资源的整合及信息的规范化、一体化建设。
参 考 文 献
[1钱煜明.BYOD企业移动设备管理技术[J] .中兴通讯技术,2013,9(6).
[2]许丽萍.BYO来袭把握移动安全四大趋势[J] .上海信息化,2013,(6).
[3]孙强强.BYOD 在电力企业中的研究与应用[J] .现代计算机,2013,(4).
4G通信网络属于一个全新的IP网络,4G通信网络具有很多方面的优点,能够实现不同网络之间的无缝互联。因此,4G网络的接入系统主要包括以下几个方面,即2G、3G、DECT、蓝牙、WLAN系统、卫星系统、有线系统、WIMAX等等。此外,4G系统的主要优点是能够实现智能化终端,通过某种方式,能够使系统之间实现无缝连接与协作,通过采用科学、合理的工作方式,以不断满足用户的通信需求。当智能化模式终端接入系统时,网络会分配与之相适应的频带,进而给出最优化的路由,从而获取最优的通信效果。由于4G通信技术自身的特殊性质,使3G终端与4G终端存在很大的差距,4G移动终端的实现,使其能够达到较高速率、宽带的基本要求。4G移动通信技术的实现,使终端形式能够由单一化转变为多样化,物联网终端可以逐渐转变为4G系统终端,即联网的冰箱、热水器、眼镜、手表等等。在以后4G移动通信技术发展的过程中,主要有以下几个方面的特点,即交互性较强,能够将个人与网络接口有机地结合在一起,强化了网络的联通性能。此外,4G移动通信技术的实现,能够为人们提供多样化的个,并且支持视频通话,以及全球定位等功能。
24G通信安全存在的主要问题
4G通信系统主要包括以下几个方面,即IP骨干网、无线核心网络、无线接入网络、智能移动终端网络等等。现阶段,在4G移动通信技术发展的过程中,虽然存在很多问题,但是仍旧存在诸多的缺陷。例如,无线网络链路安全存在的问题,以及攻击人员的窃听、篡改、插入或删除数据,网络实体的身份认证问题,主要包括两个实体,即核心网、接入网。例如,在无线局域网中,主要包括AP、认证服务等等。此外,4G移动通信技术的实现,使用户之间的联系更为密切,移动终端技术的实现,主要是作为无线协议的参与人员,也是无线应用的执行人员,导致交互环节变得越来越复杂,威胁的来源也随之增多。然而,随着信息技术的快速发展,以及存储能力的逐渐增强,恶意程序的数量也会随之增多,造成的破坏性也比较大,导致移动终端的性能变弱。
3完善4G通信安全的策略
4G通信技术的实现,虽然发展的时间较长,但是仍旧需要进行深入的研究,因此,我们可以看出,4G移动通信技术的发展仍旧属于初级阶段。因此,相关管理人员在设计安全方案的过程中,应全面、深入细致的考虑各种影响因素,即安全性、效率、兼容性、扩展性等等。(1)4G移动通信技术的实现,应当最大限度的减少需要完成的任务,从而延长计算的时间,在制定安全协议的过程中,因为需要交互的信息较少,并且对每一条的信息数据也有明确的要求,应当减少其数据长度,进而最大限度减少通信技术交互的时间。(2)用户应当熟悉和了解被访问网络协商,即协商所采用的安全防护措施的级别、防护算法以及安全协议。用户可以自由选择经营业务,即是否可以使用安全防护措施。如果需要承担的计算量较多,相关管理人员必须在服务端完成,然而,不能够在移动终端完成。因此,相关管理人员应充分利用移动终端的空闲时间,以及利用资源进行预算和计算环节等等。(3)依据安全威胁的来源,相关管理人员应当明确安全措施的重点,即移动终端、无线接入网,通常情况下,移动终端安全措施主要应当做到以下几个方面,即防护物理硬件、提升集成度,以最大限度的减少可以被攻击的物理接口。还应当增加电流、电压检测线路,以免出现物理攻击的方式,还应强化完整性检验、存储保护等措施。相比于移动终端,无线接入网的实现,主要包括以下几个方面,无线接入网的实现,主要是通过安全策略,实现移动终端安全接入的功能,以免非移动终端进入无线接入网络。此外,移动终端和无线网的成功接入,能够建立加密传输通道,依据业务发展的基本需要、无线接入网,合理设置数据传输方式。
4结语
购物车(0)