移动设备安全接入方案(共7篇)
1.移动设备安全接入方案 篇一
2018年接入维护中心“安全生产整顿月”活动方案
为响应公司安全生产整顿月活动,我中心组织召开了相关会议,结合接入维护中心施工实际情况,经中心领导班子和安全生产委员会研究决定2018年度安全生产月活动方案,落实各项活动安排,现将开展 “安全生产整顿月”活动实施方案如下:
一、指导思想:
深入贯彻科学发展观,坚持“安全第一、预防为主、综合治理”的方针,牢固树立以人为本,安全发展理念,结合中心的安全现状和各项重点施工任务,以强化安全意识,提高安全素质为着力点,深入开展安全生产月各项措施落实,保障全年安全生产施工任务的顺利完成。
二、活动时间及主题:
活动时间:3月1日至3月31日 活动主题:强化安全基础、推动安全发展
三、成立活动领导小组
为组织开展好2018年安全生产月活动,成立安全生产整顿月活动领导小组: 组 长:周泽军
副组长:刘建华、赵爱军
成 员:王新乐、丁志林、李特、刘湘辉、万克云、周小勇、欧阳毅
装维队主任、各施工队队长或各施工队兼职安全员务必参加联合检查,本次联合大检查将不分小组,统一由一个大检查组集中检查方式进行。每个装维队至少有一名成员参加联合大检查。
四、加大员工安全知识、规范操作培训力度。
同装维人员业余时间活动结合起来,组织安全教育学习,学习《作业指导书》《安全操作规程》、《安全规章制度》等,强化全体人员的安全意识,掌握安全知识,提高安全方法意识。
五、主要活动及时间安排
“安全生产整顿月”活动由公司领导小组统一部署,分级组织实施,生产基地要悬挂“安全生产整顿月”活动宣传横幅、张贴安全标语、标志标牌,大力营造“安全责任 重在落实”的安全生产警示氛围,提高施工管理人员及施工人员的安全生产、安全防护意识。具体方案如下:
(一)召开“安全整顿月”活动部署会
2月28日晚安委会将召开安全月部署会议,安委会全体人员及各装维队负责人、各专职、兼职安全员参加,按照“安全月”活动的具体要求,认真做好动员、发动工作,要把安全月活动的主要精神及时传达到每一个参与一线装维的人员,确保统一认识,迅速行动;要结合项目实际,制定切实可行的实施方案,进一步明确开展安全月活动的重点内容和基本要求,扎实有序地开展各项活动。
(二)宣传教育动员阶段(3月1日-3月10日)安委会利用各装维队晨会组织安委会全体人员、各装维队负责人、各专职、兼职安全员到安委会学习开展本次“安全生产整顿月”活动精神及意义。各装维队负责人及各专兼职安全员回去后,要立即组织一线装维人员进行传达学习本次活动的精神和意义,必须传达到每位装维人员,安委会安全领导小组将对其进行检查。对不能按要求传达学习的装维队,安全月活动领导小组将对其实施处罚。
(三)安全自查整改阶段(3月11日-3月00日)
为保证全体员工切实深刻掌握安全生产专业知识,要求各装维队、各部门要先组织所属员工对安全、消防知识进行学习教育,为检验此次培训效果,3月底,安全领导小组会同安委会将对全中心范围内安全生产情况进行一次安全大检查,通过细致深入的工作来查找各种生产过程中潜在的安全隐患。
1、自查阶段:时间为3月1日~3月20日,各装维队、部门进行对各自日常工作中涉及到的安全问题自行检查,车队、库区重点进行防火消防自查,对自查出来的问题在3月25日前整改完毕。
一、是检查各装维队对安委会安全管理制度及措施的落实情况;
二、是检查施工现场是否按安全管理规定进行防护,作业人员是否按要求佩戴安全防护装具,检查机械、设备操作人员是否持证上岗,是否按操作规程作业,安全防护设施是否到位;库区、办公区消防器材是否按要求设置摆放到位;
三、是检查施工现场沿线安全警示标志是否丢失,有无安全隐患存在。
2、整改阶段:时间为3月21日~3月30日,初期3.21~3.25,安委会进行联合检查,对各部门的安全问题进行集中检查。各装维队、部门,在自查中发现的安全隐患,一、是对出现安全隐患情况进行分析,查找原因,找出根源,然后制定有针对性防范措施;
二、是限期进行整改,由安委会专职安全员全程监督整改到位。对于各部门通过自查活动查出的问题,要求3月25日之前书面材料上报领导组,自查出的问题各部门在3.26~3.30前务必整改完毕。
(四)活动总结阶段(4月1日-4月10日)4月1日-4月10日之前,安委会负责评比出综合表现优胜队伍的名次,上报中心进行通报奖励。质量安委会收集整理本次安全月活动资料,总结活动成果,总结本次活动过程中好的做法和管理经验。找出活动过程中存在的不足,以及在自查过程中发现的安全隐患,找出根源,组织人员对其进行分析,制定出防范措施,确保不再发生类似隐患。
4月中旬,安委会将组织全体人员及各装维队负责人、各专兼职安全员参加,就本次“安全月活动”取得的成果和存在的不足,召开总结大会,会上宣布本次开展情况,取得成果和不足,研究讨论如何做好安全防范及下一步安全工作如何开展,制定下一步安全工作计划。讲评活动开展情况,对安全工作扎实的装维队给予奖励,好的做法予以推广,对存在问题制定整改措施,限期整改,确保“安全月”活动取得实效。
七、活动要求
(一)、高度重视、切实加强领导,各部门及各装维队必须以对生命安全高度负责的精神,把“安全生产月”活动作为安全生产工作的主要内容抓紧抓好,推动各项安全工作的落实,安全领导小组要亲临现场指导检查,发现问题及时解决,要以深化安全专项整治、加大源头治理、改善安全生产状况、实现本月安全无事故为目标,认真谋划,精心部署“安全生产月”活动,做到开展活动有计划、有布置、有检查、有总结、有评比;同时要确保活动取得实效,不能搞形式、走过场。
(二)采取有力措施,推动“安全生产月”活动深入开展,加强安全、环保标准化建设,扎实做好基础性工作,改进和完善安全设备设施,杜绝“三违”现象,认真检查整改隐患,做好各类人员的安全教育培训工作,大力倡导安全文化,提高施工人员的安全意识和安全技能,确保安全生产,生产必须安全的原则。
(三)进一步加大安全生产宣传教育力度,利用安全标语、学习培训等形式,围绕“安全生产月”活动主题,进行广泛宣传。
通过“安全生产整顿月”活动开展,达到不断地提高全体一线施工人员的安全意识和事故防范能力,同时把“安全生产月”活动作为月度安全生产工作重点任务完成,以全面促进线路维护安全生产管理,顺利完成公司今年安全生产“零事故”的工作目标,为衡阳电信健康、稳定发展打下坚实基础。
接入维护中心 2018年2月26日
2.移动设备安全接入方案 篇二
随着无线网络优化工作的日益推进, 移动网络PS域需要新增RNC设备。新增的RNC接入移动承载网的CE设备实现与SGSN的通信。某地移动承载网根据规划, 新增RNC与原网RNC需要共用同一组信令面vlan、同一段信令面的IP地址, 但由于二者型号不同, 对CE设备的数据配置要求不同, 甚至有冲突的地方, 所以针对新增RNC入网需要制定详细的CE数据配置方案, 保证原网RNC业务不受影响, 新增RNC也能正常入网运行。
二、入网分析
2.1原承载网数据配置
原网RNC与CE之间的连接方式如图1所示, RNC上共有两块板卡即A板卡和B板卡与CE互联, A板的主用端口和B板的备用端口上联到CE1, B板的主用端口和A板的备用端口上联到CE2。正常情况下RNC分别使用A板的主用链路和B板的主用链路与CE1、CE2通信, 当A板或B板的主用链路发生故障时, 同一板卡上的备用链路替代主用链路与CE进行通信。
如图1所示, CE1创建vlan410、420, 在vlan410下配置IP地址10.240.42.97/28, CE2创建vlan410、420, 在vlan420下配置IP地址10.240.42.113/28。移动承载网的两台CE下连RNC的端口及CE之间的互联端口都是默认配置, 透传设备上所有的vlan。RNC上A板卡配置vlan410, B板卡配置vlan420。这样RNC上的主用端口通过与CE的直连链路进行信令面的通信, 备用端口通过直连CE到达另一台CE进行信令面的通信。比如A板卡的主用端口通过与CE1的直连链路与CE1进行vlan410的通信, 而A板卡的备用端口则经与CE2的直连链路, 再经CE2与CE1的互连链路到达CE1进行vlan410的通信。
2.2新增RNC接入承载网分析
新型RNC与CE之间的连接方式如图2所示, 新增RNC设备配置了CMXB板卡, CMXB主要作用为转发以太网数据帧, 通过VLAN区分业务。在RNC内部CMXB板之间是互联的, 而同时CE之间也是互联的, 这样在CE和CMXB板之间就形成了“口”字形的网络结构。
由于CMXB板之间默认透传所有vlan, 而在原网配置中CE之间也是透传所有vlan的, 若按照原网的配置模式在CE与RNC之间也透传所有vlan的话, 那么在这个口字型的网络结构中, 信令面vlan410和420就会形成二层环路。
为了避免环路发生, 我们做开环处理, 将信令面vlan410和420从CE之间透传的vlan中移除, 也就是在CE之间不再透传410和420, 但是这样会带来一个问题, 就是当原网RNC的主用链路出现故障, 备用链路启用时, 备用链路所使用的信令面数据流会穿行新RNC设备到达CE。以A板备为例, 当发生流量穿行时, 流量会如图3中箭头方向所示:
为了验证原网RNC的备用链路信令面数据流量会穿行新增RNC, 我们进行了一个测试, 如图3所示, 我们将原网A板主用链路断掉, 这时RNC自动启用A板备用链路, A板备用端口的IP地址为10.240.42.98。在CE1下使用命令行可以看到此IP地址的MAC地址。数据采集如下:
然后在CE1下可以看到此MAC地址是从CE1的3/5端口学习到的, 即是从新增RNC与CE1的互联端口学习到的, 而不是从CE1与CE2的互联端口1/1学习到的。数据采集如下:
三、实施方案
为了避免形成环路, 同时解决信令面流量穿行问题, 我们制定了最终的CE数据配置方案。在CE1下连至新增RNC的端口上只透传信令面vlan 410, 不再透传420;在CE2下连至新增RNC的端口上只透传信令面vlan 420, 不再透传410。在CE之间透传信令面vlan 410和420, 以供备用链路使用。相关的详细数据配置如下:
四、结束语
3.移动尽在安全接入中 篇三
与NSAS类似的其他厂商提供的SSL VPN方案在中国市场能见到的至少有4个,但惟有NSAS可以做到对接入前客户端的可靠性扫描和分级访问控制,因为它能够预先检测客户端是否安装了防毒软件、个人防火墙等安全产品,决定是否只允许他收发Mail,或允许他访问Web网站及登录内部机密资源区。还有一个不同的是NSAS即插即用,用户API 等无须作任何修改,一经安装,即可使用。如果说NSAS适用于有如笔记本电脑等大屏幕显示的接入用户,那么NAM更适用于手机等小屏幕显示的接入用户,它安装于企业网DMZ区,允许支持WAP和xHTML的移动设备安全访问企业Mail、日历及支持HTML的应用等,无论访问的文件是何种格式,NAM都可将它们化为文本形式显示在有如手机等移动设备的显示屏上。
适用范围:企业级用户
4.移动设备安全接入方案 篇四
铁通互联网简介
铁通互联网(CENET)是一个全国的实行统一管理,集中调度的高速宽带IP骨干网络,承载包括数据、语音、视频、图像、传真及多协议标签交换虚拟专网等在内的综合业务及其增值业务,并实现各种业务网络的无缝连接。铁通互联网对共计127个城市进行直接网络覆盖,形成一个全国性基于IP技术的宽带数据骨干网络,是国内第一个核心层互连带宽达到10G的IP骨干网,网络核心交换能力高达320G。基于异步传输模式技术的宽带多业务综合数据网,骨干带宽达2.5G,覆盖全国主要地区。
业务优势和特点
* 真正意义的全国全程全网,统一业务,统一实施。
* 业务多样化和前瞻性,实现三网合一。
* 高容量的骨干层设备和链路带宽。
* 以MPLS VPN技术为基础,在CRNET骨干网上迭加多个业务网。
* 各项优惠套餐灵活、实在、贴心、轻松报装可随时致电10050客户服务热线,或前往当地营业厅咨询。
* 超高速上网,速率比普通拨号MODEN快十倍。
* 可享受新时速互联最新、最好的视频点播(VOD)服务。
业务适用对象
* 上网发烧友的首选,超高速的上网速率使您真正体验天高海阔任翱翔的惬意。
* 家庭用户使用宽带新时速业务可令一家大小及时获得各方面的咨讯娱乐服务;也可利用宽带新时速在家网上办公,甚至面对面地和同事进行交谈,完成工作任务;还可享受远程教育、远程医疗等。
* 中小性商业用户:中小型公司采用宽带新时速宽带接入方式可以将不同地点的企业网或局域网连接起来,避免了企业分散所带来的麻烦;利用宽带新时速业务建立一个自己公司的小型信息网连接到INTERNET上,可以发布企业信息和作形象宣传等,从而提高自己公司的知名度。
5.移动网络安全防护方案建议书 篇五
北京天融信公司长春办事处
2011年9月
一. 前言
随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业,全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。这些都使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性,真正做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。
在我国,近几年随着网络技术的发展,网络应用的普及和丰富,网络安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势。根据国际权威应急组织CERT/CC统计,自1995年以来漏洞累计达到24313个,2006年第一季度共报告漏洞1597个,平均每天超过17个,超过去年同期2个。CNCERT/CC 2005年共整理发布漏洞公告75个,CNCERT/CC 2006年上半年共整理发布漏洞公告34个。从统计情况来看,2006年上半年漏洞报告数量仍处较高水平,大量漏洞的存在使得网络安全总体形势仍然严峻。
对信息系统的安全威胁,包括网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,应引起足够警惕,采取安全措施,应对这种挑战。北京天融信公司作为中国信息产业的排头兵,决心凭借自身成熟的安全建设经验,网络安全系统出谋划策。
随着XX单位网络化和信息化建设的发展,安全问题对于XX单位信息网络的发展也越来越重要。安全问题已经成为影响XX单位业务平台的稳定性和业务的正常提供的一个重大问题,所以提升XX单位自身的安全性已经成为不可忽视的问题。XX单位的领导充分认识到网络安全建设的重要性,为了更好的开展、配合XX单位各方面工作,决定对现有信息系统进行网络安全技术改造。
本方案主要针对目前XX单位的最重要部分,即财务系统的安全进行重点防护,提出我们的观点和意见。
二. 用户现状分析 1 用户网络现状
目前XX单位的网络主要是一套星形交换网络,办公网对外出口为互联网,办公网通过部署的一台核心交换机分别为办公网络和财务网络两个子网, 具体如下图所示: 系统资源分析
XX单位网络资产主要可以分为三大类: 物理资源; 软件资源; 其他资源。物理资源:
网络基础设施:包括连接网络的光缆、各个资源内网电缆、路由器、交换设备、数据存储服务器、光电转换设备、个人电脑等。
系统运营保障设施:包括供电设施、供水设施、机房、防火设备、UPS、加湿器、防静电设备等。软件资源:
重要业务软件,如业务应用软件以及其他基本的应用办公软件; 计算机平台软件,包括操作系统、软件开发平台软件、数据库系统、WEB应用软件等;
工具软件,如杀毒软件、OFFICE办公软件、硬件驱动库等。其他资源:
XX单位网络中还包括其他重要的资产,如文档资料等。这些资源在构建信息安全保障体系时也应当被考虑。安全风险分析
XX单位信息系统的建设,给XX单位办公带来了极大的便利,利用此信息平台,极大的提高了办公的效率,提高了事件处理响应速度,同时我们也看到,系统的建设带来了许多安全风险,必然会受到来自外部或内部的各种攻击,包括信息窃取、病毒入侵和传播等行为。针对内部业务网和外部办公网,要保证网络的整体安全,就必须从分析攻击的方式入手。攻击行为一般包括侦听、截获、窃取、破译等被动攻击和修改、伪造、破坏、冒充、病毒扩散等主动攻击。针对主动和被动攻击,通过对XX单位网络结构和应用系统分析,我们认为,网络面临的主要安全威胁包括:物理层安全风险、网络层安全风险、系统层安全风险、应用层安全风险:(1)
物理层安全风险
我们所说的物理层指的是整个网络中存在的所有的信息机房、通信线路、网 络设备、安全设备等,保证计算机信息系统各种设备的物理安全是保障整个 网络系统安全的前提,然而,这些设备都面临着地震、水灾、火灾等环境事 故以及人为操作失误、错误及各种计算机犯罪行为导致的破坏过程,设备安 全威胁主要包括设备的被盗、恶意破坏、电磁信息辐射泄漏、线路截获监听、电磁干扰、电源掉电、服务器宕机以及物理设备的损坏等等。这些都对整个 网络的基础设备及上层的各种应用有着严重的安全威胁,这些事故一旦出现,就会使整个网络不可用,给内网平台造成极大的损失。
(A)信息机房周边对设备运行产生不良影响的环境条件,如:周边环境温度、空气湿度等。
(B)供电系统产生的安全威胁,UPS自身的安全性。
(C)各种移动存储媒体(如软盘、移动硬盘、USB盘、光盘等)在应用后得不到及时的处置,也会造成机密信息的外泄。
(D)一些重要的数据库服务器系统的存在着硬件平台的物理损坏、老化等现象,导致数据的丢失。
(E)网络安全设备有直接暴露在非网络管理人员或外来人员的面前,外来人有可能直接使安全设备丧失功能,为以后的侵入打下基础,如:直接关掉入侵检测系统的电源、关掉防病毒系统等。
(F)外来人员及非网络管理人员可以直接对一些设备进行操作,更改通信设备(如交换机、路由器)、安全设备(如更改防火墙的安全策略配置)等。(2)网络层安全风险
网络层是网络入侵者攻击信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。(A)网络设备存在的风险
在网络中的重要的安全设备如路由器、交换机等有可能存在着以下的安全威胁:(以最常用的交换机为例)
a)交换机缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。b)交换机口令的弱点是没有计数器功能的,所有每个人都可以不限数的尝 试登录口令,在口令字典等工具的帮助下很容易破解登录口令。c)每个管理员都可能使用相同的口令,因此,交换机对于谁曾经作过什么 修改,系统没有跟踪审计能力。
d)交换机实现的协议存在着一定的安全漏洞,有可能被恶意的攻击者利用
来破坏网络的设置,达到破坏网络或为攻击做准备。
(B)网络访问的合理性
网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到内网平台的稳定与安全。如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。
对于XX单位的网络来讲,严格地控制专网内终端设备的操作及使用是非常必要的,例如,一位非法外联的拨号用户将会使在网络边界的防火墙设备的所有安全策略形同虚设。
(C)TCP/IP网络协议的缺陷
TCP/IP协议是当前网络的主流通信协议,已成为网络通信和应用的实际标准。然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在网络发展的
早期,由于应用范围和技术原因,没有引起重视。但这些安全漏洞正日益成为黑客们的攻击点。在网上办公、网上文件审批、网上数据传递等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。因此,针对网络层安全协议的攻击将给网络带来严重的后果。(D)传输上存在的风险
从网络结构的分析上,我们看到,现今网络接入互联网,网络间只是通过交换机连接,完全透明,那么当数据以明文的方式在这种不可信任网络中进行传递和交换时,就给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有:
窃听、破译传输信息:由于网络间的完全透明,攻击者能够通过线路侦听等 方式,获取传输的信息内容,造成信息泄露;或通过开放环境中的路由或交 换设备,非法截取通信信息;
篡改、删减传输信息:攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。即使没有破译传输的信息,也可以通过删减信息内 容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真;
重放攻击:即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。对于一些业务 系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误; 伪装成合法用户:利用伪造用户标识,通过实时报文或请求文件传输得以进 入通信信道,实现恶意目的。例如,伪装成一个合法用户,参与正常的通信 过程,造成数据泄密。
网络中病毒的威胁:由于网络间都为透明模式,一旦有机器中病毒,就会在 整个网络上大量传播,造成整个网络瘫痪,造成无法办公。(3)应用层安全
操作系统安全即是主机安全。整个网络是一个分布式交换的服务平台,其最核心的和需要保护的是财务处网络中的服务器,从操作系统本身来讲,现在代码的庞大和程序人员编码的习惯等等都会给操作系统留下一些BUG,比如一些鲜为人知的如 WINGDOW 2000的3389、139等等漏洞,都会给财务处网络带来一定的风险。一旦通过其操作系统的问题而造成的网络的崩溃,其后果是不可设想的。
操作系统面临的安全风险主要来自两个方面,一方面来自操作系统本身的脆弱性,另一方面来自对系统的使用、配置和管理,主要有:
操作系统是否安装补丁和修正程序:由于技术开发原因,几乎所有网络中的操作系统在设计时就存在各种各样的漏洞,大多数漏洞直接与系统 的安全有关,操作系统的开发公司发现后都安装了补丁和修正程序,但这种补丁和修正程序不一定为用户所知。
操作系统的后门:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的产品或者其他任何商用操作系统,其开发厂商必然有其Back-Door,这将成为潜在的安全隐患。
系统配置:系统的安全程度与系统的应用面及严格管理有很大关系,一个工作组的打印服务器和一个机要部门的数据库服务器的选择标准显而易见是不可同日而与的,因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案。不同的用户应从不同的方面对其网络作详尽的分析,以正确评定数据流向。比如,由于服务器需要进行日常的维护与管理及内容更新,这就要求系统管理员或服务提供者能登录到服务器上。对此类访问服务器不应拒绝。在使用防火墙之前,服务器通过简单静态的口令字进行身份鉴别(如使用服务器或数据库的认证机制),一旦身份鉴别通过,用户即可访问服务器。侵袭者可以通过以下几种方式很容易地获取口令字:
一是内部的管理人员因安全管理不当而造成泄密; 二是通过在公用网上搭线窃取口令字; 三是通过假冒,植入嗅探程序,截获口令字; 四是采用字典攻击方式,获得口令字。
侵袭者一旦掌握了某一用户口令字,就有可能得到管理员的权限并可造成不可估量的损失。
由于操作系统的配置牵涉到各个方面,上面运行的服务也各种各样,故在系统的配置上很容易出错,因此,我们认为的系统的配置错误地很难避免,但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
(4)应用层安全
数据库安全也是整个财务处网络最为重要的应用,同时也是需要重点考虑的问题之一。整个网络主要的业务就是信息的共享和数据交换的方便性。从应用系统的角度,占据本网络整个信息平台的就是数据库,如果在数据库上不能保证安全,整个本网络的信息中心基本上就是空设防地带,数据库管理系统面临的安全风险有:
系统认证口令强度不够,过期账号,登录攻击的风险; 系统授权。帐号权限,登录时间超时的风险;
系统完整性。如:Y2K兼容,特洛伊木马,审核配置,补丁和修正程序; 脆弱的帐号设置。在许多情况下,数据库用户往往缺乏足够的安全设置,例如未禁用缺省用户帐号和密码,用户口令设置存在脆弱性等。 缺乏角色分离。传统数据库管理并没有“安全管理员(Security Administrator),这一角色,这就迫使数据库管理员(DBA)既要负责帐号的维护管理,又要专门对数据库执行性能和操作行为进行调试跟踪,从而导致安全管理效率低下。
缺乏审计跟踪。数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或关闭,这大大降低了安全管理的效率。XX单位财务系统可能存在的风险和问题
1)来自财务网络外部的风险
虽然财务网络依托于XX单位的办公网络,但是财务网络毕竟是独立的网络个体,如果没有边界防护将是危险的。财务网络很容易遭到来自于办公网络可能的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪在Internet上爆发网络蠕虫病毒的时候,如果内网的边界处没有访问控制设备对蠕虫病毒在第一时间进行隔离,那么蠕虫的攻击
将会对网络造成致命的影响。2)来自财务网络外部的非授权访问
非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。3)来自财务网络内部的风险
目前财务网络内部的财务主服务器与财务办公主机,混杂在一台交换机上,这对于财务主服务器是完全不可取的,由于财务办公主机的使用人员纷杂,计算机安全意识参差不齐,所以财务办公主机的安全性和可靠性完全不能保证,而财务办公主机与财务主服务器之间完全没有任何防护手段。4)来自财务网络内部的非授权访问
对于财务处网络向外部网络的访问没有任何的限制,也是不可取的,针对不同用户的不同访问需求,应给于不同的访问权限。无限制的任由用户使用现有的网络资源,将会造成网络品质的整体下降。同时当财务处网络中的主机因蠕虫原因大量向外发送数据包,没有相应安全防护设备,将造成包括办公网络的整个网络的瘫痪。同时,没有完善的日志能力,对于日后的责任认定也造成了很大的麻烦。
5)病毒的风险
病毒的危险是现在网络最需要解决的问题,目前的病毒传播途径多样化,传播方式智能化,决定了使用单一的防病毒软件是无法完全解决病毒问题的,在网络的边界处,部署网关防护设备,可以有效地抑制病毒的传播,尤其是当出现大规模爆发的蠕虫病毒的时候,网关防护设备可以有效地把蠕虫病毒抑制在小范围之内,而不至于继续扩散。6)没有完善的日志系统
财务处网络中数据的完整性,可靠性,要求对于任何一次访问,都要有明确的记录,以便日后审查使用,而目前XX单位的财务网络中没有这样的能力,这对日后的究责是非常不利的 三.整体方案的设计
根据XX单位的现有网络环境,分析可能存在的威胁和风险,考虑通过部署
天融信防火墙系统,入侵防御系统及病毒过滤网关系统来加固XX单位的信息网络。
采用千兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在互联 网与XX单位办公网接入处用于互联网与XX单位办公网的安全防护,百兆天融信防火墙系统,入侵防御系统及病毒过滤网关系统部署在财务网络与XX单位办公网络的边界处,用于隔离财务网络中的工作主机和内部业务网络中的服务器,通过天融信防火墙系统,入侵防御系统及病毒过滤网关系统,保护服务器不受外来攻击。
具体部署如下图所示:
四.防火墙子系统 1 防火墙部署的意义
防火墙是近年发展起来的重要安全技术,其主要作用是在网络区域边界处检查网络通信,根据用户设定的安全规则,在保护重要网络区域安全的前提下,提供不同网络区域间通信。通过使用防火墙过滤不安全的通信,提高网络安全和减少主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。设立防火墙的目的就是保护一个网络区域不受来自另一个网络区域的攻击,防火墙的主要功能包括以下几个方面:
(A)防火墙提供安全边界控制的基本屏障。设置防火墙可提高网络安全性,降
低受攻击的风险。
(B)防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件(如口令、加密、认证、审计等),比分散管理更经济。
(C)防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火
墙,使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。(D)防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器,即能防
外,又能防止内部业务网络中未经授权主机对服务器区域的访问。防火墙的安装部署
防火墙部署的目的是隔离不同安全等级的网络区域,所以我们把XX单位办公网络,XX单位财务网络分别看作一个网络区域,同时XX单位办公网络与财务网络之外的所有节点看作另一个网络区域,防火墙部署在两个网络区域之间,即部署在财务网络和办公网络的接口处。XX单位办公网络与互联网络接口处。防火墙的工作模式和接入方式
防火墙提供多种工作模式,包括透明接入,路由接入和混合接入。
连接方式:将百兆天融信防火墙的接口1连接财务网络区域交换机,接口 2连接XX单位办公网络,接口3连接财务网络服务器区域交换机,千兆天融信
防火墙接口1连接XX单位办公网络,接口2连接互联网区域,这样我们使用防火墙实现了各个安全区域的隔离作用。
工作模式:考虑到对XX单位办公网络和财务网络的影响尽可能小,建议将 百兆防火墙配置成透明工作模式,即防火墙本身不参与路由转发和运算,只提供访问控制等防护功能,这样对网络中原有IP地址的配置影响小,互联网与XX单位办公网络需要地址转换,将配置成的路由工作模式。防火墙的配置和功能
1)通过防火墙隔离财务网络的各个区域
通过防火墙的连接,原本属于一个网络(XX单位办公网络)的节点,被划分为不同的网络区域(财务处办公区域、财务处服务器区域、办公区域、互联网区域等),通过对访问请求的审核,我们隔离不同网络区域间的网络连接,可以达到保护脆弱的服务、控制对财务服务器的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能。这样在工作主机访问财务服务器时,全部通信都受到防火墙的监控,通过防护墙的策略可以设置成相应的保护级别,以保证系统的安全。2)通过防火墙保护财务服务器
通过在防火墙上设置详细的访问控制规则,各个区域,各个IP节点间的通信,必须要符合防火墙的访问控制规则,例如当工作主机向服务器请求访问时,也只能访问服务器的相应服务端口,在保护了服务器的同时,也清除了网络中传输的不必要的数据。保证了整个业务网络的纯净,提高了网络的品质。通过防火墙的阻断功能,使得内部业务网络各个区域不受到恶意的攻击,攻击者无法通过防火墙进行扫描、攻击等非法动作。防火墙可防止攻击者对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS / RIP / ICMP攻击、SYN攻击、拒绝服务攻击等多种攻击。测的功能.3)通过防火墙限制对服务器的访问权限
通过在防火墙上进行严格的访问控制,通过对不同的用户进行分组,对于不同的用户组,给予不同的访问权限进行访问服务器,减小用户对于服务器可以进行操作的权限,极大地降低了服务器面临的风险。
4)通过防火墙限制财务网用户向外的访问
通常大多数用户认为从财务网络向外部的访问不会造成风险和威胁,这种想法是错误的,例如反弹型木马就是借助这种麻痹大意的想法进行侵入的。
缺乏安全控制的滥用互联网络,可能导致:组织内部重要资料和秘密资料通过 BBS、Email、QQ 和 MSN 等途径向外散发,或被别有用心的人截获而加以利用,或是进行不当互联网访问而引起组织内部计算机感染木马病毒,加大了组织重要及秘密信息的曝光率,给组织信息安全带来隐患:对于政府、事业单位以及其他公共服务单位,如果互联网管理的不够完善,将会带来极大信息安全隐患,例如经济等类型的重要的信息被通过非法渠道泄漏,此举必然会有损组织的权威及名誉,并导致组织的公信力下降。对于公司企业等盈利性机构而言,企业的机密信息等同于企业的生命。而在互联网极度开放的今天,任何的疏忽都有可能导致企业机密信息外泄;而一旦发生企业机密信息外泄的情况,企业因此而投入了的大量人力物力将会付诸东流,此类案例在互联网广泛使用的今天是屡见不鲜的。
5)通过防火墙调整网络使用效率
通过防火墙具有带宽控制的特性,可以依据应用来限制流量,来调整链路的带宽利用如:在网络中如果有工作主机向服务器区域FTP的访问、Web访问等等,可以在防火墙中直接加载控制策略,使FTP访问、Web访问按照预定的带宽进行数据交换。实现每个用户、每个服务的带宽控制,调整链路带宽利用的效率。
6)通过防火前完善日志
通过防火墙可以采集所有流经防火墙的数据,记录到防火墙的日志服务器中,通过日志服务器的日志分析和统计功能,在对收集的事件进行详尽分析及统计的基础上输出丰富的报表,实现分析结果的可视化;系统提供多达300多种的报表模板,不仅支持对网络事件按条件统计,更提供了对流量等变化趋势的形象表现;对于分析结果系统提供了表格及多种图形表现形式(柱状图、曲线图),使管理员一目了然。同时采用多种告警方式,通知网络管理人员。7)实现了重要财务工作人员直接访问财务处网络
通过天融信防火墙的访问控制能力,我们可以控制各个访问者访问的权限,同时我们采用用户名,口令,证书等验证方式,彻底实现了对于访问者身份验证的目的。
五.入侵防御子系统
通常通过防火墙进行网络安全防范。从理论上分,防火墙可以说是第一层安全防范手段,通常安装在网络入口来保护来自外部的攻击。其主要防范原理为基于TCP/IP的IP地址和及端口进行过滤、限制。由于防火墙本身为穿透型(所有数据流需要经过防火墙才能到达目的地),因此为了提高其过滤、转发效率,通常不会对每个数据报文或者数据流进行过多的、细致地分析、检查。但是恰恰很多符合防火墙的TCP/IP过滤安全策略的数据流或者报文中参杂着恶意的攻击企图。虽然目前一些防火墙增强了对于应用层内容分析的功能,但是考虑其因分析、处理应用层内容而导致的网络延迟的增加,因此从其实际应用角度来说,存在一些局限性。但是网络入侵防御系统由于其以串接模式部署到现有网络中,执行各种复杂的应用层分析工作。因此可以成为防火墙有效的扩展。同时自带阻断功能,可以实现整体的安全防范体系。1入侵防御产品概述
天融信公司新版本的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术,它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等,安全地保护内部IT资源。
网络卫士入侵防御系统部署于网络中的关键点,实时监控各种数据报文及网络行为,提供及时的报警及响应机制。其动态的安全响应体系与防火墙、路由器等静态的安全体系形成强大的协防体系,大大增强了用户的整体安全防护强度。
2入侵防御系统产品特点 强大的高性能并行处理架构
TopIDP应用了先进的多核处理器硬件平台,将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS(Topsec Operating System)系统,集成多项发明专利,形成了先进的多核架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力,能够胜任高速网络的安全防护要求。
精确的基于目标系统的流重组检测引擎
传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击,任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎,在受保护的目标服务器主机上形成真正的攻击。TopIDP产品采用了先进的基于目标系统的流重组检测引擎,首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组,然后对重组后的完整数据进行攻击检测,从而从根源上彻底阻断了TCP流分段重叠攻击行为。
准确与完善的检测能力
TopIDP产品的智能检测引擎可分析网络攻击的组合行为特征来准确识别各种攻击,准确性更高;可以智能地识别出多种攻击隐藏手段及变种攻击,带来更
高安全性;通过智能化检测引擎,能够识别出多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的,带来更高网络安全性;同时新版TopIDP具有强大的木马检测与识别能力;完善的应用攻击检测与防护能力;丰富的网络应用控制能力和及时的应急响应能力。丰富灵活的自定义规则能力
TopIDP产品内置了丰富灵活的自定义规则能力,能够根据协议、源端口、目的端口及协议内容自行定义攻击行为,其中协议内容支持强大灵活的PCRE(兼容perl的正则表达式)语法格式,特定协议支持更多达10种,包括:ip、tcp、http、dns、ftp、pop3、smtp、qq、msn、imap等。借助于灵活的自定义规则能力,用户可以轻松定义自己的应用层检测和控制功能。
可视化的实时报表功能
现实网络中的攻击行为纷繁复杂且瞬息万变,TopIDP产品提供了可视化的实时报表功能,可以实时显示按发生次数排序的攻击事件排名,使网络攻击及其威胁程度一目了然。应用配套的TopPolicy产品,可以实时显示Top10攻击者、Top10被攻击者、Top10攻击事件等统计报表,更可以显示24小时连续变化的事件发生统计曲线图。借助于可视化的实时报表功能,用户可以轻松实现全网威胁分析。
3入侵防御产品的作用
在基于TCP/IP的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。有效的入侵防御系统可以同时检测内部和外部威胁。入侵防御系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。
利用防火墙技术,经过精心的配置,通常能够在内外网之间提供安全的网络保护,降低网络安全风险。但是,存在着一些防火墙等其它安全设备所不能防范的安全威胁,这就需要入侵防御系统提供实时的入侵检测及采取相应的防护手
段,如记录证据用于跟踪和恢复、断开网络连接等,来保护电子政务局域网的安全。
入侵防御是防火墙等其它安全措施的补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的流量中收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵防御被认为是防火墙之后的第二道安全闸门,对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测。
除了入侵防御技术能够保障系统安全之外,下面几点也是使用入侵防御的原因:
(1)计算机安全管理的基本目标是规范单个用户的行为以保护信息系统免受安全问题的困扰。入侵检测系统可以发现已有的威胁,并对攻击者进行惩罚,有助于上述目标的实现,并对那些试图违反安全策略的人造成威慑。
(2)入侵防御可以检测其它安全手段无法防止的问题。攻击者使用越来越容易得到的攻击技术,能够对大量系统进行非授权的访问,尤其是连接到电子政务局域网的系统,而当这些系统具有已知漏洞的时候这种攻击更容易发生。尽管开发商和管理员试图将漏洞带来的威胁降到最低程度,但是很多情况下这是不能避免的:
很多系统的操作系统不能得到及时的更新
有的系统虽然可以及时得到补丁程序,但是管理员没有时间或者资源进行系统更新,这个问题很普遍,特别是在那些具有大量主机或多种类型的软硬件的环境中。
正常工作可能需要开启网络服务,而这些协议是具有漏洞,容易被攻击的。
用户和管理员在配置和使用系统时可能犯错误。
在进行系统访问控制机制设置时可能产生矛盾,而这将造成合法用户逾越他们权限的错误操作。
(3)当黑客攻击一个系统时,他们总是按照一定的步骤进行。首先是对系统或网络的探测和分析,如果一个系统没有配置入侵防御,攻击者可以自
由的进行探测而不被发现,这样很容易找到最佳攻入点。如果同样的系统配置了入侵防御,则会对攻击者的行动带来一定难度,它可以识别可疑探测行为,阻止攻击者对目标系统的访问,或者对安全人员报警以便采取响应措施阻止攻击者的下一步行动。
(4)入侵防御证实并且详细记录内部和外部的威胁,在制定网络安全管理方案时,通常需要证实网络很可能或者正在受到攻击。此外,攻击的频率和特征有助于选择保护网络免受相应攻击的安全手段。
(5)在入侵防御运行了一段时间后,系统使用模式和检测问题变得明显,这会使系统的安全设计与管理的问题暴露出来,在还没有造成损失的时候进行纠正。
(6)即使当入侵防御不能阻止攻击时,它仍可以收集该攻击的可信的详细信息进行事件处理和恢复,此外,这些信息在某些情况下可以作为犯罪的佐证。
4入侵防御产品部署
我们建议在XX单位办公网与财务网接入处部署一台天融信百兆入侵防御系统,主要监控不同区域和财务网服务器的安全状况。在互联网与XX单位办公网接入处部署一台天融信千兆入侵防御系统.IDP的探测引擎应串连部署在XX单位办公网与财务网, 互联网与XX单位办公网连接线路上。5入侵防御策略配置
1)配置事件库升级
配置入侵防御系统进行定期的事件库升级。2)配置服务器区网络的全局预警策略
入侵防御系统将发现的针对XX单位财务网络的入侵事件进行整理,并建立战略级全局预警事件库,进而可以据此对XX单位网络做出有针对性的全局预警。
3)配置XX单位网络特有的异常事件集策略
修改或定义XX单位网络特有的事件,动态生成XX单位网络自己的事件库,提高入侵防御系统对XX单位网络应用的适应性和事件检测的准确性。4)配置XX单位网络异常流量分析策略
根据实时监控XX单位网络流量,进行网络流量的分类分析和统计情况,定义XX单位网络流量异常的阀值,对异常流量进行实时报警。5)配置XX单位网络内容异常分析策略
配置内容异常分析策略对XX单位网络所设定的异常报警内容进行多方位的定点跟踪和显示,对异常内容进行实时报警。6)配置XX单位网络安全报表策略
根据XX单位网络中所需要的事件记录内容,建立报表模板。按照XX单位网络中的需求选择报表类型,定制相应的报表。7)配置XX单位网络蠕虫分析策略
XX单位网络中心针对当前流行的网络蠕虫和病毒进行配置网络蠕虫策略,包括Nimda蠕虫、Sql slammer蠕虫等。9)配置XX单位网络入侵防御管理策略
针对XX单位网络不同安全等级的入侵事件进行不同的响应方式。包括记录,报警,阻断。
10)配置日志输出策略
配置将日志输出到综合审计系统上的策略
六.防病毒网关系统
1XX单位网络防毒需求分析和产品选型
通过对XX单位网络的网络环境和主要网络业务状况进行分析,我们认为计算机病毒是威胁系统正常运行的一个重要因素。
当前的病毒发展呈现出复合型威胁态势,传播方式多样化、速度极快,在网络中极易形成交叉感染的状况,同时计算机病毒的危害也不再只限于破坏文件和本机,它甚至可以发动网络攻击,导致网络设备和服务器崩溃。一旦病毒爆发,肯定会给网络系统带来很大损失。
针对混合型安全威胁攻击,还需要加强边界防毒的防范过滤,这样才能更有效的保证系统的安全性、网络的可用性。我们建议在XX单位财务网络与XX单位办公网,XX单位办公网与互联网接入处部署天融信防病毒网关,工作在互
联网与XX单位办公网,XX单位办公网与财务网络的接入口处。防病网关可以进行病毒特征码升级。
通过配置防病毒网关,我们可以实现: 保证所有通过邮件/HTTP/FTP等方式进入外网办公网网络及用户系统前都会通过防病毒模块查杀毒。
2防病毒网关产品组成
防病毒网关主要是处理网络中数据,对数据进行分析过滤,防止病毒代码从设备中穿过渗透到内部网络。同时防止蠕虫的攻击,和垃圾邮件对正常办公的干扰。
WEB方式管理主要是通过远程登陆防火墙,对防病毒网关进行配置和管理。用户可以远程地管理硬件设备,对要处理的主要网络协议进行设置,设置相应协议中的方便管理员的操作和管理。同时用户可以通过WEB方式查询相应的日志和生成所要的报表。
3防病毒网关产品部署
在本方案中将在XX单位办公网络与财务处网络接入处部署天融信百兆防病毒网关,XX单位办公网络与互联网接入处部署天融信千兆防病毒网关,对来自互联网的数据及财务网络区以外的数据,进行病毒检测,针对SMTP、POP3、FTP、HTTP等协议的数据流进行病毒扫描,从而提供网关层次的防毒能力。
天融信防病毒网关的部署,实现了真正的即插即用,不需要改动现有网络的任何设置。部署的位置被确定,只需要为防病毒网关连接上网线,开启电源开关就可以进行扫描。管理IP地址就是防病毒网关管理IP地址。安装向导会指导管理员进行基本的设置,非常简单易懂。
4防病毒网关产品功能
天融信防病毒网关处理所有主要的网络协议,它能处理以下协议:SMTP、POP3、HTTP、FTP和IMAP。管理员还可以针对每个协议设置高级选项,例如:可以选择清除病毒、删除文件、隔离病毒或是记录日志的方式来处理病毒。而且还可以在相应的协议中设置一些附加功能的设置,如对关键字的过滤设置,对文件类型的扫描设置等。
七 系统层安全设计
1系统层安全目标
操作系统:保障操作系统平台的安全和正常运行,为应用系统提供及时多样的服务;
数据库:保证数据库不受到恶意侵害或未经授权的存取与修改。 应用系统:能提供有效的访问控制和身份验证手段,保证应用平台的持续、可靠的提供服务。
2操作系统安全要求
操作系统是所有计算机终端、工作站和服务器等正常运行的基础,操作系统的安全十分重要。目前的商用操作系统主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000/2003、OS/
2、NOVELL Netware等。这些操作系统大部分获得了美国政府的C-2级安全性认证。但是针对操作系统应用环境对安全要求的不同,公司网络对操作系统的不同适用范围作如下要求:
在XX单位网络中关键的服务器群和工作站(如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站)应该采用服务器版本的操作系统。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows 2000 /2003Server。网管终端、办公终端可以采用通用图形窗口操作系统,如Windows NT Workstation/Server、Windows 2000等。
3操作系统安全管理
操作系统因为设计和版本的问题,存在许多的安全漏洞;同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下,安全关键在于操作系统的安全管理。
为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。
加强物理安全管理,系统要有能力限制对I/O设备(软驱、打印设备)的访问。例如:
如果没有必要,建议去掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区;
在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统; 不创建任何DOS分区; 保证机房的物理安全。
下载安装最新的操作系统及其它应用软件的安全和升级补丁。如用最新的Service Pack(SP6)升级Windows NT Server 4。0,包括所有补丁程序和后来发表的很多安全补丁程序。
掌握并使用操作系统提供的安全功能,关闭不必要的服务和端口,专用主机只开专用功能。例如:运行网管、数据库重要进程的主机上不应该运行如sendmail这种bug比较多的程序。网管网段路由器中的访问控制应该限制在最小限度,与系统集成商研究清楚各进程必需的进程端口号,关闭不必要的端口。
Windows NT缺省安装未禁用Guest账号,并且给Everyone(每个人)工作组授予“完全控制”权限,没有实施口令策略等,都给网络的安全留下了漏洞。要加强服务器的安全,必须根据需要设置这些功能。 控制授权用户的访问,实行“用户权限最小化” 配置原则,将用户以“组”的方式进行管理。例如:“用户权限最小化” 配置。域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的:“完全控制”权限,要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外,不要共享任何一个FAT卷。 避免给用户定义特定的访问控制。将用户以“组”的方式进行管理是一个用户管理的有效方法。如果一个用户在公司里的角色变了,很难跟踪并更改他的访问权。最明智的作法就是为每个用户指定一个工作组,为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权,只要把该用户从工作组中删除或指定另一个工作组。
实施账号及口令策略。配置口令策略,设置账号锁定。主要原则有:登录名称中字符不要重复或循环;至少包含两个字母字符和一个非字母字符;至少有6个字符长度;不是用户的姓名,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;要
求用户定期更改口令;给系统的默认用户特别是Administrator、Root改名,禁用Guest账号;不要使用无口令的账号,否则会给安全留下隐患;设置账号锁定,建议设置尝试注册三次后锁定账号,在合适的锁定时间后被锁定的账号自动打开,或者只有管理员才能打开,用户恢复正常。
控制远程访问服务。远程访问是黑客攻击系统的常用手段,应在系统中集成强认证系统,如交换加密用户ID和口令数据,使用专用的挑战响应协议(Challenge / Response Protocol),确保不会多次出现相同的认证数据,阻止内部黑客捕捉网络信息包。同时,如条件允许,应该使用回叫安全机制,并尽量采用数据加密技术,保证数据安全。
启用登录工作站和登录时间限制。如果每个用户只有一个PC,并且只允许工作时间登录,可以把每个用户的账号限制在自己的PC上,且在工作时间内使用,从而保护网络数据的安全。
启动审查功能。为防止未经授权的访问,应该启用安全审查功能,以便在事件查看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞。但要结合工作实际,设置合理的审计规则,切忌审查事件太多,以免无时间全部审查安全问题。
定期检查系统日志文件,在备份设备上及时备份。如对用户开放的各个主机的日志文件全部定向到一个syslogd server上,集中管理。服务器可以由一台拥有大容量存贮设备的Unix或NT主机承担。
确保注册表、系统文件、关键配置文件安全。首先,取消或限制对regedit。exe、regedit32。exe的访问;其次,利用regedit。exe或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表;定期检查关键配置文件(最长不超过一个月)。 制定完整的系统备份计划,并严格实施。
制定详尽的系统漏洞扫描以及汇报制度,及时更新系统安全补丁,完善系统安全设置,关闭不必要和危险的服务。
4应用层系统安全
在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
5数据库系统安全
数据库管理系统自身安全策略
目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。在XX单位网络中的数据库管理系统应具有如下安全能力:
自主访问控制(DAC):DAC用来决定用户是否有权访问数据库对象; 验证:保证只有授权的合法用户才能注册和访问; 授权:对不同的用户访问数据库授予不同的权限; 审计:监视各用户对数据库施加的动作。
数据库管理系统应能够提供与安全相关事件的审计能力: 试图改变访问控制许可权
试图创建、拷贝、清除或执行数据库。
系统应能在下面列出的级别对数据库的访问控制授权:
表;视图;纪录;或元素。
系统应提供在数据库级和纪录级标识数据库信息的能力。
数据库系统的增强加固技术
数据库管理系统的安全保护策略实现了对数据库中数据的有效保护。而现实中某些应用环境需要保持当前主流数据库管理系统的某些特性,同时又需要其满足一定程度的安全性要求,提供必需的安全功能。针对这种客观需要,比较直接经济的方法是对数据库及数据库管理系统进行安全增强与加固。
对数据库管理系统的安全功能增强主要是指对已存在的主流数据库管理系统进行安全封装与数据过滤,增加数据库管理系统的安全功能,实现数据保密性、完整性、可访问性,最终达到保护数据的目的。这些数据库管理系统自身缺乏或部分缺乏必要的安全功能,可在其外部增加安全控制模块,一个或多个安全功能子系统,封装后对外展现安全特性。一种典型安全增强配置参见下图。可以附加 的子系统包括:
认证子系统 访问控制子系统
数据的加密存储与解密子系统 传输加密子系统 审计子系统
方案总结
实施以上方案后,可以解决XX单位网络的如下安全问题:
针对网络层:在网络边界和内部引入了访问控制措施、对限制措施和强化边界访问的授权、受控。
6.特种设备特大安全事故指导方案 篇六
一、指导思想
以邓小平理论和“三个代表”重要思想为指导,坚持“以人为本”、“执政为民”,时刻把人民群众的生命和财产安全放在首位,及时处置特种设备重特大安全事故,减少人员伤亡和重大经济损失,维护社会安定稳定。二、特种设备重特大安全事故的分类
根据国务院颁布的《特种设备安全监察条例》(国务院令第373号)和国家质量监督检验检疫总局第2号令《锅炉压力容器压力管道特种设备事故处理规定》,特种设备重特大安全事故指,涉及生命安全、危险性较大的锅炉、压力容器(含气瓶,下同)、压力管道、电梯、起重机械、场(厂)内机动车辆、客运索道、大型游乐设施等设备,在运行过程中,由于设备本身主要因素或操作失误而发生的具有突发性,造成或可能造成较多人员伤亡、较大经济损失,破坏社会安定稳定等严重危害和影响的事故。特种设备安全事故按影响大小和危害程度划分为一般、严重、重大、特大、特别重大五个级别。范文网
1、一般性特种设备事故:无人员伤亡,设备损坏不能正常运行,且直接经济损失50万元以下的设备事故。
3、重大特种设备事故:造成伤亡3-9人,或者受伤20-49人,或者直接经济损失100万元(含100万元)以上500万元以下的设备事故。
5、特别重大特种设备事故:造成死亡30人(含30人)以上,或者受伤(包括急性中毒)100人(含100人)以上,或者直接经济损失1000万元(含1000万元)以上的设备事故。
三、组织与工作机构
1、设立安溪县特种设备重特大事故应急处置工作领导小组,作为县政府处置特种设备突发事件专项指挥机构,县政府分管副县长任组长,县质监局局长任常务副组长,县公安局、卫生局、民政局、劳动保障局、环保局、安监局、宣传部、工会等相关单位为成员单位。
2、县特种设备重特大事故应急处置领导小组下设办公室,持靠县质监局,负责日常具体工作。办公室主任由县质监局分管副局长担任。办公室设在县质监局特安股。
3、各乡镇人民政府设立相应工作机构。
四、主要工作职责
1、县特种设备重大特大事故应急处置领导小组:负责领导、指挥、协调特种设备安全事故和其他特殊突发灾害事故的处置工作;制定《安溪县处置特种设备重特大安全事故应急预案》,决定和启动应急预案处置特种设备重特大安全事故;建立健全应急处置工作制度和部门联动机制,及时有效地开展应对和处置工作;督促检查各乡镇特种设备安全事故应急预案和应急保障措施落实情况。
2、领导小组办公室:在县和市特种设备重特大事故应急工作领导小组的领导下,协助上级处置特种设备重大、特大、特别重大安全事故措施,负责处置一般性、严重特种设备事故。
①事故发生后,具体指挥、协调特种设备一般性、严重特种设备事故的调查处理工作,会同事发地乡镇人民政府及相关部门、单位开展紧急救授工作。②根据事故处置工作需要,协调上级组织特种设备检验技术队伍,及时派出专业技术人员,协助现场应急救授指挥部开展事故检测技术鉴定分析及有关事项工作,配合上级提出技术保障措施和提供技术决策性意见,最大限度地防止事故扩大,减少人员伤亡和经济损失。3、各成员单位:事故涉及锅炉、压力管道、电梯、起重机械、场(厂)内机动车辆、客运索道、大型游乐设施等设备,相关部门和单位应提供有关设计、制造、安装、使用以及管理等资料,积极配合现场应急救授指挥部做好事故现场应急处置工作。
4、各乡镇人民政府工作机构应积极配合开展事故处置工作。
五、事故报告制度
(一)事故报告程序
发生特种设备事故后,事故单位应立即向县特种设备重大特大事故应急处置领导小组办公室(质监局)值班室和当地乡镇人民政府报告,任何单位和个人都不得缓报和漏报。乡镇人民政府、县质监局应在规定时限内向县政府总值班室报告,同时向县安监局、市质监局报告。视紧急情况,可先电话报告县政府总值班室和市质监局值班室。各单位应急值班室电话:县政府总值班室:**传真:**县质监局值班室:**传真:**县安监局值班室:**市质监局值班室:**(二)事故报告内容
事故单位应在24小时内写出书面《事故报告》,并逐级上报。《事故报告》应包括以下内容:1、发生事故的单位及事故发生的时间、地点;
2、发生事故设备的有关参数;
3、事故的简要经过、遇险人数、直接经济损失的初步估计;
4、事故原因、性质的初步判断;
5、事故抢救处理的情况和采取的措施,并附示意图;
6、需要有关部门或单位协助事故抢救和处理的有关事宜;
7、事故报告单位、签发人和报告时间。
六、事故现场保护
1、事故发生后,事故单位应注意保护好事故的现场,因抢救伤员和财产等原因,需要移动现场物品时,必须做出标志,并拍照、录像和详细纪录,尽好地保护现场和痕迹物证。
2、县质监局接到事故报告后,立即会同县安监局组织人员赶赴现场核实情况,并指导做好事故现场保护。
3、当地公安部门接到事故报告后,立即派出警力赶赴事故现场,负责治安警戒保卫工作。
七、现场应急救援指挥部
严重特种设备事故发生后,县特种设备重特大应急处置领导小组立即成立现场应急救援指挥部开展应急救援工作。1、由县质监局会同事发地政府成立现场应急救援指挥部,总指挥由县质监局主要领导担任,副总指挥由事发地政府主要领导担任,相关部门领导为现场应急救援指挥部成员。
2、现场指挥部下设办公室,主任由县质监局分管领导担任、副主任由事发地政府分管领导担任,具体负责指挥、协调应急救援工作和对外信息发布工作。
3、指挥部下设5个工作小组:
①警戒保卫组:由县公安局、县交警大队牵头,负责现场治安与交通警戒,保卫事故现场。②事故调查与抢险救灾组:由县质监局牵头,县消防大队、县环保局和事发地政府有关领导参加,负责制定并组织实施抢险救灾方案,对事故造成的危害进行检测处置,开展事故调查处理工作。③医疗救护组:由县卫生局牵头,负责组织应急医疗救护队伍,抢救受伤人员,协调就近医院进行救治。④后勤保障组:由事发地政府牵头,负责提供现场指挥部场地和通信设施,调集应急物资和装备,保障后勤工作。⑤善后工作组:由事发地政府牵头,县民政局、工会、劳动保障局、保险机构和事故发生单位组成,负责伤亡人员及家属的安抚、抚恤、理赔等善后处理工作。八、应急处置
1、特种设备事故发生后,事故单位应在15分钟内立即向质监局报告紧急情况;在事故单位尚有能力和条件自救的情况下,应积极开展自救。
2、县质监局接报后,主要领导要在第一时间内迅速赶赴现场,立即启动本级特种设备事故应急预案,采取果断有效的应急处置措施,优先保护人民群众生命安全,全力控制态势发展,防止和阻止次生、衍生和耦合事件的发生。
3、县质监局应急人员到达现场后,要迅速掌握现场情况,摸清人员伤亡和经济损失程度,并在15分钟内向县政府总值班室报告,同时报告市质监局。市质监局确定重特大事故等级的,启动市特种设备重特大安全事故应急预案,快速组织、协调重特大事故救授工作。
4、在现场指挥部还未成立之前,先期到达现场的质监部门应急救援队伍,应在事发地政府的协调指挥下,按工作职责投入紧急救援。市质监局确定重特大事故等级的,直到市现场应急救援指挥部至现场开始承担并履行职责为止。
5、在事故态势或次生事故灾害未能有效控制,已经或可能导致人员重大伤亡或造成重大危害后果,超出县(市、区)政府联合应急能力和市质监部门应急资源能力时,事发地政府及市质监部门应立即向市政府(总值班室)和省质监局请求扩大应急。
九、事故调查处理
特种设备重特大安全事故的调查处理工作根据国家质监总局特种设备事故调查处理有关规定执行。十、应急救援专业队伍及演练
1、县质监局负责组建县特种设备事故紧急救援专业技术队伍,协调市质监局由市质监局特种设备安全监察科、市锅炉压力容器检验所、市特种设备监督检验站等专业技术人员组成,为特种设备事故应急救援提供技术支持。应急救援队伍应定期进行演练。应急救援队伍装备可参照《**市特种设备重特大安全事故应急救援器材装备表》(**质监[**]108号文)配备相应应急救援器材。
3、县质监局负责制定方案并定期组织有关部门进行演练。
十一、专项预案管理
1、县质监局负责制定同级特种设备安全事故专项应急预案,并报同级政府和市质监局备案。
2、本预案每两年或在发生特种设备重特大安全事故后,县质监局应对应急预案及时进行评估、修改和完善。
3、县特种设备重大特大事故应急处置领导小组办公室负责本预案的日常管理工作,负责制定特种设备重特大安全事故应急保障措施、领导小组成员单位应急通讯录。
4、领导小组成员单位领导若有变动,应及时报县特种设备重特大事故应急处置领导小调整变更,并报县政府备案。
十二、新闻报道
在特种设备重特大安全事故发生期间,按《**市突发公共事件新闻发布预案》(**委办[**]37号)文件要求,加强新闻报道与发布管理工作。1、凡可以报道的,要主动向现场记者介绍突发现场和事件处置情况,为记者现场采访提供必要的工作条件和环境。
2、需召开新闻发布会回答新闻媒体的提问,新闻发言人由县质监局主要领导担任。
3、对难以把握的新闻报道,应及时向县委宣传部、县政府作出书面或电话请示同意后,方能向新闻媒体披露。
4、一般不作公开报道的,任何单位和个人不得以任何形式擅自向新闻媒体提供与事件相关的情况和信息,否则,造成社会不良影响,将对有关责任人予以严肃追究和处理。
7.移动通信中的无线接入安全机制 篇七
在GSM/GPRS/EDGE系统中, 用户的SIM卡和归宿网络的HLR/Au C共享一个安全密钥Ki (128bit) , 基于该密钥, 网络可以对用户进行认证, 但用户无法认证网络, 另外基站和手机间可以对无线链路进行加密。
GSM/GPRS系统的认证和加密是基于 (RAND, SRES, Kc) 三元组实现的, 基本过程如下。
(1) 当需要对用户进行认证时, 服务网络的MSC/VLR (对电路域业务) 或者SGSN (对分组域业务) 会向用户归属的HLR/Au C请求认证向量。
(2) HLR/Au C首先产生一个随机数RAND, 然后基于这个RAND和用户的根密钥Ki根据A3算法计算出移动台应返回的认证响应SRES, 并基于RAND和用户的根密钥Ki用A8算法计算出后续用于加密的密钥Kc, HLR/Au C也可能产生多组这样的认证向量。
(3) HLR/Au C将一个或多个 (RAND, SRES, Kc) 三元组返回给服务网络的MSC/VLR或者SGSN。
(4) 服务网络的MSC/VLR或者SGSN通过NAS (非接入子层) 信令向用户的手机发起认证请求, 参数中包含步骤3中所收到的某个RAND。
(5) 手机将认证请求通过Run GSMAlgorithm指令转给SIM卡, SIM卡基于RAND和自己安全保存的根密钥Ki用A3算法计算认证响应SRES’, 同时基于RAND和Ki用A8算法计算加密密钥Kc。
(6) SIM卡将SRES’和Kc返回给手机, 同时也将Kc保存在卡上的一个可读文件EF (Kc) 中。
(7) 终端将SRES’返回给服务网络, 服务网络的MSC/VLR或者SGSN将它与在步骤3收到的SRES进行比较, 相同则用户认证成功, 否则失败。服务网络的MSC/VLR或者SGSN将Kc转发给基站。
(8) 当需要对空口通信进行加密时, 终端和服务地的接入网协商加密算法, 这通常称为A5算法协商。标准要求2G终端必须支持A5/1算法和推荐实现A5/3算法。
(9) 接入网从服务地的核心网获得加密密钥Kc, 终端从卡上读取Kc, 各自用它作为密钥, 用所协商的A5算法计算随机数, 然后用于空口消息/数据的加、解密。
2 3GUMTS系统的无线接入安全2G接入安全具有如下不足
(1) 只能实现网络对用户的认证, 无法实现用户对网络的认证, 可能存在恶意网络诱骗用户登陆/使用、然后盗取用户信息和传播垃圾/病毒信息的威胁。
(2) 通过PIN码校验 (而这是非常容易实现的) 后, 对所有的Run GSMAlgorithm指令, SIM卡都会根据指令中输入的随机数计算相应的SRES认证响应, 攻击者很容易利用它进行穷举攻击 (特别是结构性列举攻击) , 以反推用户密钥Ki。
(3) 没有完整性保护, 存在消息/数据在中途被拦截和篡改的威胁。
(4) 一些老算法可以被安全级别更高的新算法替换。
3G系统对以上不足进行了有针对性的改进, 在3GUMTS (包括WCDMA和TD-SCMDMA) 系统中, 用户的USIM卡和归宿网络的HLR/Au C共享一个安全密钥K (128bit) , 基于该密钥, 网络可以对用户进行认证, 用户也可以认证网络, 另外基站和手机间可以对无线链路进行加密和完整性保护。
3GUMTS系统的双向认证、加密和完整性保护是基于 (RAND, XRES, CK, IK, AUTN) 五元组实现的, 基本过程如下。
(1) 当需要对用户进行认证时, 服务网络的MSC/VLR (对电路域业务) 或者SGSN (对分组域业务) 会向用户归属的HLR/Au C请求认证向量。
(2) HLR/Au C首先产生一个随机数RAND和一个SQN, 然后基于这个RAND、SQN和用户的根密钥K按图1所示进行如下计算:用f2算法生成移动台应返回的认证响应XRES, 用f3算法生成加密密钥CK, 用f4算法生成完整性保护密钥IK, 用f1和f5算法生成网络对应的认证响应AUTN, HLR/Au C也可能产生多组这样的认证向量。
(3) HLR/Au C将一个或多个 (RAND, XRES, CK, IK, AUTN) 五元组返回给服务网络的MSC/VLR或者SGSN。
(4) 服务网络的MSC/VLR或者SGSN通过NAS (非接入子层) 信令和用户的手机/UISM卡执行AKA (认证和密钥协定) 过程。
(5) 当需要对空口通信进行加密或者完整性保护时, 终端和服务地的接入网 (RNC) 协商并激活安全模式。
(6) 接入网从服务地的核心网获得CK和IK, 终端从步骤4获得或者从卡上读取CK和IK, 各自用它们作为密钥, 然后用f8、f9算法进行加/解密和完整性保护。终端和接入网间也可以借完整性保护 (IK和f9算法) 实现简单的本地认证功能。
以上过程也可以用图2表示。
3 2G/3G互通时的无线接入安全
当2GSIM卡接入3G网络时, 为了避免要求2G用户必须换卡才能接入3G网络和使用3G业务, 运营商通常选择允许用户用2GSIM卡接入3G网络, 为此需要终端和网络支持如下附加功能。
(1) 3G终端能支持2GSIM卡接口。
(2) 3G服务网络的MSC/VLR与SGSN能和2GHLR/Au C互通, 能接受三元组认证向量。
(3) 3G终端和3G接入网支持Kc到CK和IK的密钥转换。
此时的认证过程和2G系统基本相同, 有区别的地方是:3G服务网络的MSC/VLR或者SGSN需要通过标准的转换函数将Kc转换为CK和IK, 然后将CK和IK传给3G服务基站;终端从SIM卡得到Kc后, 也需要通过同样的转换函数将Kc转换为CK和IK;后续终端和3G服务基站间可以用3G的f8、f9算法, 以及CK、IK进行加密和完整性保护。
当3GUSIM卡接入2G网络时, 为了利用2G对3G的覆盖补充和支持更广泛的漫游, 运营商也会选择允许用户用3GUSIM卡接入2G网络, 为此需要USIM卡和网络支持如下附加功能。
(1) 3GUSIM卡支持转换函数, 能将XRES’转为SRES’, 将CK和IK转为Kc。
(2) 3GUSIM卡支持2GSIM接口, 从而能被只支持SIM卡的2G终端使用, 这样的卡通常被称为USIM/SIM混合卡。混合卡上的SIM接口安全算法是基于USIM安全算法+转换函数实现的。
(3) 3GHLR/Au C能支持五元组到三元组的转换, 从而可以向服务地的2GMSC/VLR或者SGSN返回三元组认证向量。
(4) 服务网络如果采用2G接入网+3G核心网 (即BS是2G的, 但MSC/VLR与SGSN为3G的) 的组网方式, MSC/VLR与SGSN应支持CK+IK到Kc的转换。
当用户用的是3G/2G混合终端或者是支持USIM的高版本2G终端时, 此时使用的是混合卡上的USIM功能, 认证实现分以下两种情况。
(1) 当服务地的核心网是3G时, 认证过程和3GUMTS系统的描述基本相同, 有区别的地方是:服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将CK和IK转换为Kc, 然后将Kc传给2G服务基站;除了CK和IK, 混合卡还会将用转换函数依据CK和IK生成的Kc也返回给终端。终端会忽略CK和IK, 而只用Kc;后续如果需要, 终端和服务地2G基站间能用所协商的A5算法和Kc进行加密传输, 但不能进行完整性保护。
(2) 当服务地的核心网是2G时, 认证过程和2G系统的描述基本相似, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C首先生成五元组, 然后将它们通过标准转换函数转为三元组, 再将三元组返回给服务网络;终端向卡发送的是带GSM安全上下文的Authenticate指令;混合UISM卡首先生成XRES、CK和IK, 然后将XRES转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
当用户用的是不支持USIM的低版本2G终端时, 此时使用的是混合卡上的SIM功能, 认证实现也分为两种情况。
(1) 当服务地的核心网是3G时, 认证过程和2G系统相似, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C生成的是五元组, 返回的也是五元组;服务网络的3GMSC/VLR或者SGSN需要通过标准的转换函数将XRES转换为SRES、将CK和IK转换为Kc, 然后将Kc传给2G服务基站;服务网络用户认证请求消息中的AUTN参数会被2G终端忽略, 2G终端仅将RAND参数通过Run GSM Algorithm指令发给混合卡;混合卡用RAND和K首先生成XRES’、CK和IK, 然后将XRES’转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
(2) 当服务地的核心网是2G时, 认证过程和2G系统基本相同, 有区别的地方是:收到服务地网络的认证向量请求后, 用户归属的3GHLR/Au C首先生成五元组, 然后将它们通过标准转换函数转为三元组, 再将三元组返回给服务网络;混合卡首先生成XRES’、CK和IK, 然后将XRES’转换为SRES’, 将CK+IK转换为Kc, 最后只将SRES’和Kc返回给终端。
4 3GPP2系统的接入安全cdma20001x系统的接入安全
在cdma20001x系统中, 用户的RUIM卡和归宿网络的HLR/AC会共享一个安全密钥A-key (64bit) , 基于该密钥, 网络可以对用户进行认证, 基站和手机间也可以对信令消息、语音和数据应用不同的加密方式。
cdma20001x系统支持两种认证触发方式。
(1) 通过层2功能实现的全局挑战 (Global Challenge) :服务网络可以将在寻呼信道上广播的接入参数消息中的AUTH字段置为‘01’, 从而要求所有终端在使用反向接入信道发送消息时 (Order消息、Authentication Challenge Response消息、Status Response消息和Extended Status Response消息除外) , 必须在消息的层2参数域携带基于SSD (共享安全数据) 的前64bit、随机数和消息中特定信息域计算的认证签名AUTHR。
(2) 通过层3功能实现的独特挑战 (U n i q u e Challenge) :当需要时, 服务网络可以向特定终端发送Authentication Challenge消息, 终端中的卡基于消息中的随机数RANDU, 用SSD的前64bit计算AUTHU, 再用Authentication Challenge Response消息返回, 网络然后检查终端返回的AUTHR或AUTHU是否正确。如果HLR/AC向服务网络共享了SSD, 这个检查由服务网络完成, 否则需请求HLR/AC进行。
SSD (128bit) 是cdma20001x认证中的一个特有设计, 引入SSD是为了避免过度使用用户的根密钥A-key和避免需要将A-key共享给服务网络。SSD的生成和后续更新只能在HLR/AC和RUIM卡之间进行, HLR/AC可以选择将某个SSD共享给服务网络并可以设定该SSD的生命周期, 但RUIM卡不会把SSD透露给终端。SSD更新过程通过网络向终端/卡发送SSDUpdate消息触发, 消息中包含一个随机数RNADSSD。为了防止虚假服务网络恶意更新SSD, 卡会产生一个随机数RANDBS然后由终端通过BSChallenge Order消息发送给网络, 仅当网络返回的AUTHBS响应是正确的, 卡才会用CAVE算法根据A-Key、RANDSSD、UIMID等计算出的值更新SSD。SSD的前64bit用于各种认证运算, 包括AUTHR/AUTHU/AUTHBS的计算和检验, 它们都使用CAVE算法根据相应的随机数输入计算得到。
基于SSD的后64bit可以用CAVE生成私有长码掩码 (Private LCM) 、消息加密密钥SMEKey和数据加密密钥。cdma20001x用私有长码掩码加扰的方式实现语音加密;用SMEKey密钥和CMEA (或者ECMEA) 算法实现信令消息加密;用数据密钥和ORYX算法实现用户数据加密。终端和服务网络间可以通过层3消息协商是否使用加密。
5 cdma20001x EV-DO系统的接入安全
为了支持标准的cdma20001x EV-DO接入认证, 用户需要用更高版本的RUIM卡 (至少是C.S0023Rev.B以后版本的卡) , 用户的RUIM卡和归属AN-AAA间会共享一个HRPD SS (HRPD共享密钥, 为可变长度, 常取128bit) , 卡还要能支持MD5算法和存储用户在EV-DO中的ID (称之为HRPD NAI) 。基于该HRPD SS, 网络可以对用户进行认证, 基站和手机间也可以对消息和数据进行加密。
当用户需要建立E V-D O会话时, 在终端和A N (即EV-DO基站) 进行PPP和LCP协商期间, AN会向终端发送CHAPChallenge, 消息中包含CHAPID和一个随机数, 终端把这个挑战转给RUIM卡, 卡用MD5算法根据HRPDSS和随机数计算响应, 响应被卡/终端通过CHAP Response返回给AN, AN再通过A12接口把它传给AN-AAA, AN-AAA基于自己存储的该用户HRPD SS验证这个响应是否正确。
终端通过了A12认证并建立了EV-DO会话后, 后续当终端需要请求EV-DO无线连接时, 可以仅执行较简单、快捷的EV-DO空口认证签名过程:终端和网络先通过DiffieHellman算法建立一个共享的会话密钥;终端利用SHA-1算法, 用该会话密钥和时间戳对接入信道上的分组进行签名。
EV-DO系统采用AES算法标准对用户数据和信令信息进行加密保护;用SHA-1算法实行完整性保护。EV-DO用基于时间、计数器的安全协议产生密码系统, 以产生变化的加密掩码。
6 1x/EV-DO互通时的接入安全用
当EV-DORUIM卡接入1x网络时, 支持DO接入认证的RUIM卡也会同时支持1x CAVE认证, 并且隐秘保存有A-key。EV-DORUIM卡在1x网络中将使用CAVE认证, 这如同1x RUIM卡在1x网络中一样。
当用1x RUIM卡接入EV-DO网络时, 为了让1x用户不需要换卡就能接入EV-DO网络和使用EV-DO服务, 需要EV-DO终端和网络支持如下附加功能。
为了计算CHAPResponse, 终端需要能向1x RUIM卡发送Run Cave指令, 即CHAP中实际使用的是CAVE认证算法。终端还要能根据卡中的1x ID信息生成HRPD NAI。
网络侧的AN-AAA能识别卡使用的是CAVE算法;提供附加的、连向卡所对应的HLR/AC的接口, 并能将自己模拟为VLR向HLR请求认证结果和/或SSD。
摘要:随着移动通信的普及以及移动互联网业务的迅猛发展, 移动网络成为黑客关注的目标, 窃听、伪装、破坏完整性、拒绝服务、非授权访问服务、否认使用/提供、资源耗尽等形形色色的潜在安全犯罪威胁着正常的通信服务。为了使人们随时随地享受便捷无线服务的同时能得到信息安全的保障, 无线接入网提出了认证、鉴权、加密等一系列安全措施加以应对。
【移动设备安全接入方案】推荐阅读:
移动电视设备安装维护协议书06-11
移动公司物业方案06-22
企业移动信息安全市场08-25
移动网络安全与防护08-15
企业移动应用解决方案08-05
移动执法的综合方案a07-28
中国移动3.15活动方案07-09
汽车安全设备09-03
服装设备安全操作规程06-21