一种终端主机文件涉密检查及流转跟踪实时监控系统

目前,网络安全防护重点集中在诸如部署防火墙等边界防护手段。边界防护对外部攻击起到了很好的防护作用,但造成更大安全威胁的终端存储安全问题并没有得到解决,涉密或标涉文件因越级存储导致泄漏和被窃取的现象仍然十分严重。笔者设计并实现了一种终端主机文件涉密检查及流转跟踪实时监控系统,能够实时检查终端主机新增文件或修改文件的文件内容和密级标识,及时发现可能导致文档泄漏和被窃取的不安全因素。     

一种单向安全隔离与信息交换机制

随着互联网的高速发展,敏感信息泄漏事件频繁发生,不同安全级网络之间安全隔离与信息交换问题已经成为国内外信息安全方面的研究热点。通过分析现有隔离技术的优势与不足,文章提出一种单向安全隔离与交换机制,克服了单向物理隔离条件下信息交换不可靠问题,并且对潜在的隐蔽通道进行严格控制,协调了不同安全级网络之间隔离与信息交换之间的矛盾。该机制具备物理级安全隔离,信息可靠传输,易于扩展等优点,可应用于多级安全网络隔离与信息交换场合。     

一种信息泄漏的新方式及其应对策略

文章基于验证和解决信息设备内存储器存在的信息安全泄漏隐患,提出了内存储器信息泄漏概念并对内存储器存在信息泄漏的原因做了介绍。实测发现现有内存储器存在信息泄漏状况,基于此,该文提出了基于公共信息网和文件型恶意代码窃取的内存储器信息泄漏方式并完成了实测过程,文章结论对于信息安全保密领域的内存储器信息泄漏隐患防护具有重要意义,尤其适用于安全隔离和信息交换等信息系统领域,具有较广泛的应用前景和重大的社会意义。     

基于密码隔离的信息泄漏防御方案

针对传统访问控制模型受限于访问控制策略的高效性和完整性问题,提出一种基于密码隔离的信息泄漏防御方案,方案包含一个信息泄漏防御模型和一个密钥分配方案.信息泄漏防御模型基于密码学原理,克服了逻辑隔离易被旁路的脆弱性,通过引入安全通道部件,为出入单级域的信息进行加解密,以实现不同安全级别信息之间的密码隔离.为达到密码隔离的目的,通过构建安全标签树,基于安全等级和安全范畴分别设计了一套密钥分配方案,实现了对敏感信息的双重加密,分析表明,两种密钥分配方案安全性较高.     

涉密计算机违规外联原因分析及防范措施

现阶段,对于内网的安全防护是实现内网和外网的物理隔离,从而在涉密网络和外部网络之间形成一条安全边界,以减少来自外部的安全威胁。但是,这种防护手段存在许多的安全风险,其中涉密计算机的违规外联就直接威胁着内网的安全,而这一安全问题日益严峻。鉴于此,文章对涉密计算机违规外联的原因进行分析,并在此基础上就管理和技术层面提出针对性的防范措施,希望能为成功解决网络安全问题提供参考。     

物理隔离网络对抗技术综述

物理隔离网络对抗是一种利用预先植入的软硬件在物理隔离网络内部与外部之间建立隐蔽信道的方式。它打破了该网络提供的隔离手段,严重威胁了用户的信息安全,受到了学术界的广泛关注。与传统网络对抗不同,物理隔离网络对抗通过自行建立的隐蔽信道与外界进行通信,而不是利用公共通信网与外界进行通信。本文从物理隔离网络对抗技术的起源入手,简要地介绍了物理隔离网络对抗技术的相关背景。通过与传统网络对抗技术的对比分析,介绍了物理隔离网络对抗技术的工作原理,突出了隐蔽植入和隐蔽通信是物理隔离网络对抗技术的两大特点。根据物理隔离网络对抗技术的实施步骤,提出了一种物理隔离网络对抗技术的分析模型,该分析模型分为侦察跟踪、武器构建、隐蔽植入、行为执行、隐蔽通信、命令与控制、目标达成等七个阶段,这为发现和分析新出现的物理隔离网络对抗技术提供了借鉴作用。结合当今物理隔离网络对抗技术的研究热点和对现有研究成果的调研分析,分别介绍了电磁、声、光、热等隐蔽信道在物理隔离网络对抗技术中发挥的作用,同时指出隐蔽性和传输性能是隐蔽信道急需解决的问题。参考物理隔离网络对抗技术的特点,介绍了物理隔离网络安全标准、物理隔离网络检测防护技术、供应链安全管理等当前针对物理隔离网络对抗技术的防范措施。基于物理隔离网络对抗极其检测防护面临的诸多问题,介绍了两者未来可能的研究方向。     

内外网数据安全交换技术在电网企业的应用研究

为保护企业机密,需要采用安全有效且成熟的技术来保障企业信息安全。以网闸等安全设备为基础的内外网数据安全交换平台,通过网络隔离、安全访问控制、协议剥离重组等技术,实现可控安全的数据交换,建立一套完善的内外网数据安全交换系统。本文参考电网企业安全防护标准、公安信息通信网边界接入平台安全规范及其他行业内外网安全防护设计思路,结合电网企业的应用需求,提出了多层次安全隔离防护,强管控数据交换的安全策略,并设计了符合电网企业应用需求的内外网数据安全交换平台、数据交换体系和安全管控方法,实现了电网企业内外网安全数据交换。同时结合试点、推广建设与实践,阐述了该体系在电网企业内外网实际环境中的应用效果。     

基于过滤驱动的局域网透明文件安全加密方法

针对企业局域网文件安全问题,文中提出了一个基于过滤驱动的局域网透明文件安全加密方法,阐述了透明加密过程中加密进程获取、加密标志设置以及加密处理关键技术,同时还介绍了加密系统的几个主要功能模块.最后通过使用透明加密技术以及对称加密算法 AES 实现了对文本文档的加密实验,证明了文中提出的过滤驱动技术在实际应用中的可靠性,实现了对局域网内的文件有效的安全管理,加强了局域网文件的安全防护,快捷有效地防止了机密数据内容的泄漏和扩散     

电子政务内外网安全隔离系统的研究

电子政务作为一种新型的政务管理技术,正在各国蓬勃发展,由于电子政务内部网络涉及大量的国家机密信息,因而安全问题成了电子政务的关键问题.本文就电子政务内外网的安全隔离问题从逻辑隔离,物理隔离和协议隔离三方面加以分析,指出了它们缺点与不足.最后,本文还提出了一种先进的物理隔离系统,即数据信息安全交换软硬件专用隔离系统.     

基于物理隔离系统的安全文件传输

随着电子政务的发展和建设,其中的网络安全问题越来越得到人们的重视。文件传输作为网络中最重要的应用之一,它的安全性问题更为突出。该文介绍了一种基于物理隔离的网络安全信息交换技术,在采用该技术的安全隔离交换系统SGAP中,设计并实现了一个安全的文件传输系统。该系统基于先进的物理隔离技术,大大提高了文件传输的安全性。基于SGAP系统的文件传输系统将在电子政务的建设和发展中发挥重要作用。     

The implementation guidance for practicing network isolation by referring to ISO-17799 standard

In these years, the company budgets are raised dramatically for eliminating the security problems or mitigating the security risks in companies, but the numbers of incidents happening on computer systems in intranet or internet are still increasing. Many researchers proposed the way–to isolate the computers storing sensitive information for preventing information on these computers revealed or vulnerability on these computers exploited. However, there are few materials available for implementing network isolation. In this paper, we define ways of network isolation, “physical isolation” and “logical isolation”. In ISO-17799, there is no implementation guidance for practicing network logical isolation but auditing network physical isolation. This paper also provides the implementation guidance of network isolation in two aspects. One is for the technique viewpoints. The other aspect is for management viewpoints. These proposed implementation outlines and security measures will be considered in revising the security plan, “The Implementation Plan for Information Security Level in Government Departments” [“The implementation plan for information security level in government departments,” National Information and Communication Security Taskforce, Taiwan R.O.C., Programs, Jul. 20 2005].     

基于GAP的校园网安全系统的研究与实现

实时交换型GAP技术是一种新型的网络隔离技术，正获得越来越多的重视与应用。针对校园网安全问题的多层次与分布性特点，该文提出了一个基于GAP的“安全区域”解决方案。阐述了方案的关键技术，给出了其实现方法。     

物联网安防在核设施领域中的应用

介绍了几种先进的物联网技术在核设施安防中的典型应用,包括控制区域防护、周界防护、用RFID技术对核燃料存储和运输的管理、无线传感器网络数据采集、基于ZigBee技术的无线传输等。提出了基于物联网技术的核设施安防实现架构,包括前端实现、通信模式和后端实现等。最后通过分析,论证了物联网技术在核设施安防中的应用有效性和可靠性。     

信息安全存储的初步研究与应用

在信息化社会中 ,信息安全防卫扮演着重要角色。信息安全可以从三方面加以考虑 ,即网络安全、系统安全和安全存储。文章对安全存储进行了探讨 ,并分析了威胁安全存储的主要因素 ,及安全存储的基本要求和基本对策。作为安全存储的应用 ,文中分析了“文件保险箱”和“文件安全删除工具”的设计思路 ,并介绍了其实现方法     

内网数据存储安全关键技术分析

内网数据存储的安全一直是各大企业所进行防护的重点,也是一项关键网络技术的探讨。论文简单分析了内网安全的定义及其设计的原则,结合网络技术的进步发展,提出了从文件分布式存储、文件透明解密过滤器以及多协议并行安全系统上进行内网数据存储安全的防护,力求进一步提高内网数据存储的安全性。     

抗板级物理攻击的持久存储方法研究

为保护文件系统的安全性,提出一种抗板级物理攻击的持久存储方法。利用ARM TrustZone技术构建持久存储架构,实现内存保护机制和持久存储保护服务,提高文件系统的物理安全性。基于片上内存（OCM）在可信执行环境（TEE）中的内核层建立内存保护机制,保证TEE的可信应用能够抵抗板级物理攻击。基于TEE的内存保护机制实现保护文件系统中敏感数据的持久存储保护服务,确保文件系统的机密性和完整性。在物理开发板上实现持久存储架构的原型系统,使用基准测试工具对原型系统进行性能评估,并分析性能损耗的原因。测试结果表明,内存保护机制在保护TEE系统物理安全性时引入的时间开销会随着OCM的增大而减小,持久存储保护服务在保护数据量较小的敏感数据时产生的时间开销在用户可接受范围内。     

涉密信息网络安全防护问题的研究

随着计算机网络的飞速发展,网络安全已成为国家信息安全战略的重要组成部分,其中涉密信息网络安全防护问题显得格外重要。在物理隔离的条件下建立涉密专网,并借鉴相关网络建设的成功经验,提出制度管理、数据备份和保护、安全审计等多种技术手段,对涉密信息进行更加严密的安全防护,避免涉密信息的泄露。     

一体化电网运行智能系统的安全网络架构设计

介绍一种一体化电网智能调度系统的分区网络架构的实现方案。该架构遵循电监会二次安全防护标准,运用网络防火墙和隔离传输技术。通过前后端网络物理隔离、业务子网分层、建立数据中心子网,构建一种新型安全高效的组网架构,解决了在一体化智能系统技术体系中多业务数据融合和协同带来的对网络通信传输能力和传输安全的更高要求,为二次一体化的实施提供了安全高效的基础网络架构支持。