建立和完善企业IP网络安全体系（之二）

通过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。这包括链路层和网络层的安全访问控制,以及远程用户访问的安全访问控制。可实施的安全措施有：VLAN划分、访问控制列表(ACL)、用户授权管理、TCP同步攻击拦截和路由欺骗防范等。     

基于SNMP的网络管理系统安全方案研究

针对省级企业内部网络系统,在路由器、交换机等网络设备开启了SNMPv2协议的set权限下,为保证整个网络系统的安全运行,提出了"基于SNMP的安全管理模型"的设计方案.将防火墙、NIPS作为该模型的"边缘"系统,主要阻止外部网络的应用层攻击和内部网络的病毒、木马攻击,在网络管理系统内部加入非法接入模块,以发现和阻断来自内网的非法接入攻击.实验测试结果表明,该安全管理模型在安全性和扩展性上均能够满足要求.     

三招阻止网络非法攻击

在网络病毒和非法攻击疯狂肆虐的年代。稍有不慎自己的计算机就会受到来自网络的攻击。为了阻止网络非法攻击，不少人动足了脑筋，找来了不少安全防范工具来帮忙保护系统。殊不知许多安全防范工具即使抵挡得了病毒的袭击，也无法抵挡非法攻击的破坏；其实要阻止网络非法攻击，只要通过以下几则简单的设置就可以了。不信的话就请各位一起来看看吧!     

三招阻止网络非法攻击

在网络病毒和非法攻击疯狂肆虐的年代,稍有不慎自己的计算机就会受到来自网络的攻击,为了阻止网络非法攻击,不少人动足了脑筋,找来了不少安全防范工具来帮忙保护系统。殊不知许多安全防范工具即使抵挡得了病毒的袭击,也无法抵挡非法攻击的破坏;其实要阻止网络非法攻击,只要通过以下几则简单的设置就可以了,不信的话就请各位一起来看看吧!     

问与答

问:网络应用系统的安全应具备那些功能? 答:与其他安全体系(如保安系统)类似,网络应用系统的安全体系应包含: 访问控制通过特定网段及服务建立的访问控制体系,系统将绝大多数攻击阻止在到达攻击目标之前; 检查安全漏洞对安全漏洞进行周期性的检查,使得攻击即使到达攻击目标,也要努力使绝大多数攻击无效; 攻击监控通过特定网段及服务建立的攻击监控体系,系统可实时检测出绝大多数攻击,并采取相应的行为(如断开网络连     

妙问妙答

问:如果通过路由器接入互联网,不安装防病毒软件是否安全?是不是应该安装杀毒软件? 答:即便使用路由器接入互联网,也一定要安装防病毒软件。路由器具有地址转换及开闭TCP/IP通信端口的功能。这些功能虽然可防止病毒传播等一些来自互联网的攻击,但其中仍有无法阻止的攻击。     

新理念新团队新产品

防病毒软件能够防范病毒的泛滥和侵扰;防毒墙集成了多种安全技术,可以有效地阻止病毒、蠕虫等病毒型恶意攻击;IPS(入侵防护)则不仅可以检测攻击,而且还可以有效地阻止攻击;SSL VPN是独立的远程接入安全平台,不仅可以满足移动办公随时随地接入网络的需求,而且还可以保障数据的安垒传输;UTM可以满足中小企业对整体安全的需求。但是,无论部署什么样的产品或解决方案,如果没有     

WaterBox：企业内部信息安全守护神

人们想尽可能的办法来保障网络安全,但往往是“道高一尺,魔高一丈”,安全软件每天都有新版本,但似乎一直都仅是针对安全的外部泄密,而实际上,安全堡垒最容易从内部突破!如果说阻止外部攻击的安全系统FireWall是一扇门,那么阻止外部智能攻击的 IDS就是一台安全摄像机 ,而防毒软件则是计算机病毒疫苗 ,三者构成了一座顽固的堡垒。熟悉历史的人都知道,再好的堡垒后面如果没有士兵守卫的话,肯定仍难逃被推倒的命运,安全堡垒同样如此。为此,业界一直在寻找站在安全堡垒后的那个士兵,那它有可能是WaterBox吗?安全堡垒最易从内部突破据国际权威…     

信息安全成国家安全基座 专家呼吁建信息安全部队

面对境内外日益严重的恶意攻击和侵入,又该如何去保卫国家的“ 信息疆域”?一些信息安全专家建议说,应建立一支有军队、安全部、 公安部和行业安全技术人员共同参加的信息安全部队,具体执行防止和 阻止网络犯罪、电子欺诈和进行信息战的工作。     

认证测试对分析重放攻击的缺陷

分析了重放攻击的内因和阻止重放攻击的对策,使用认证测试方法分析了一个更改了的安全协议,分析得出该协议是正确的,但是通过认证测试的前提假设的分析得出该协议存在重放攻击;另外可以通过认证测试方法的缺陷来定位协议的重放攻击。     

Secure broadcasting using the secure lock

The authors discuss secure broadcasting, effected by means of a secure lock, on broadcast channels, such as satellite, radio, etc. This lock is implemented by using the Chinese Remainder theorem (CRT). The secure lock offers the following advantages: only one copy of the ciphertext is sent; the deciphering operation is efficient; and the number of secret keys held by each user is minimized. Protocols for secure broadcasting using the secure lock, based on the public-key cryptosystem as well as the private-key cryptosystem, are presented     

面向企业应用的密钥管理

该文将企业安全管理分为纵向的等级管理和横向的工作组协作管理,并给出了相应的基于差值多项式的管理方法,为企业计算机系统文件的安全管理提供了一个较为完备的密钥管理体系。     

RBAC模型的非法信息流控制

由于缺乏信息流控制机制,RBAC模型的授权访问可能导致不安全的信息流.为了保护RBAC模型系统中信息的机密性,定义了RBAC模型的非法信息流概念,给出了非法信息流的检测、更新以及控制算法.将这些算法用于RBAC模型的授权管理可有效防止信息的非授权泄漏,实现安全的访问.     

An optimized authentication protocol for mobile networks

Practical secure communication of mobile systems with low communication cost has become one of the major research directions. An established public key infrastructure (PKI) provides key management and key distribution mechanisms, which can lead to authentication and secure communication. Adding public key cryptography to Kerberos provides a nice congruence to public key protocols, which can obviate the human users’ burden to manage strong passwords. This paper emphasizes on authentication as a considerable issue related to security. Additionally, an efficient and secure hybrid authentication protocol for large mobile network is proposed. Its infrastructure accommodates explosive growth of the large mobile network. It reduces the communication cost for providing secure network access in inter-domain communication. This method is based on symmetric cryptosystem, PKI, challenge–response and hash chaining.     

Key值更新随机Hash锁对RFID安全隐私的加强

RFID无线通信的方式和无可视性读写要求带来了很多安全隐患,针对RFID技术在安全隐私方面存在的威胁,在分析几种典型的RFID安全隐私保护方法的特点和局限的基础上,提出了一种新的方法——Key值更新随机Hash锁。该方法使用单向Hash函数添加随机Hash锁,并在每次通信过程中更新标签Key值,且标签与阅读器之间的数据传输都经过了Hash加密,有效地防止了非法读取、位置跟踪、窃听、伪装哄骗、重放等攻击。分析表明,该方法具有成本低、前向安全、负载小、效率高、安全性好等特点,适用于标签数目较多的 情况。     

基于IBE Service 的新型文件加密系统

基于身份的公钥加密(Identity-based Encryption,简称IBE)体制采用用户ID作为公钥,无需公钥证书操作,较传统的PKI体系具有开发部署简单、应用成本低等优势,尤其适用于密钥集中式管理的企业级应用。设计了一个基于Web Service的IBE密钥管理服务系统IBE Service,实现各个网络安全域内的用户密钥管理,提供以用户安全策略为中心的密钥服务;基于IBE Service开发了一个面向通用文件加密的客户端应用,主要通过SOAP服务接口实现基于XML的IBE密钥数据交互。新型的文件加密系统可将接收方ID直接映射为公钥,接收方自动向IBE Service获取私钥完成文件解密,具有安全、便捷等优点,且支持灵活的ID安全策略管理。     

Utilizing a Bluetooth remote lock system for a smartphone

With the advent of mobile devices and the convergence of wireless technologies and the Internet, both the content and the quality of research in this field are subject to regular change. A variety of state-of-the-art computing devices that are compatible with each other have been produced. These devices have the ability to interact with people. This is also known as pervasive computing. Particularly, as smartphones have recently become one of the most popular devices worldwide, various convenient applications are being released. Smartphones available today not only provide the ordinary internal processes such as dialing or receiving phone calls, sending text messages, and doing mobile banking, but also increasingly control various other devices that are part of our daily lives. In effect, this means that through smartphone applications, we can remotely control a variety of external devices such as televisions, projectors for presentations, computers, and even cars. The research in this paper is based on the evolving technological possibilities of using smartphone applications to control external devices. This paper presents the design and implementation of a remote lock system using wireless communication on a smartphone. In this context, remote lock system refers to a lock system that can be controlled remotely by a dedicated Android application. Every smartphone is equipped with Bluetooth which makes this technology possible. The application proposed in this paper uses the existing Bluetooth function on Android smartphones to open and manage locks. The users’ lock information can be stored and managed in real time in the database via a server that is built and managed by a server manager. Even if users forget the password of the lock, our proposed lock system can guide them to retrieve it easily, and a user manual is included to help users navigate the system. This system also provides a variety of management functions such as adding, deleting, modifying, and purchasing the user’s own locks.     

面向对象Petri网的成品油配送模型构建研究

在对面向对象Petri网（Object-Oriented Petri Nets,OOPN）技术中系统与系统对象的形式化理论研究以及现有成品油配送系统业务流程分析基础之上,建立了面向对象Petri网的成品油配送模型;通过对模型进行死锁、有界性与安全性分析对系统的性能与可靠性进行了验证,验证结果表明所建立的模型不存在死锁,有界但不安全。针对模型验证结果,将成品油配送中的并发事件统一抽象为订单到达与处理事件,并应用排队论对事件的处理进行了优化,以提高系统的安全性。以配送中心订单服务台配备个数为例对方案的应用进行了说明,并用MatLab对案例进行仿真验证了方案的正确性。最后,对模型的优点进行了总结。     

基于角色的安全互操作模型

针对当前域间安全互操作中存在的不足,如不同粒度控制域之间的用户进行安全互操作时,带来的身份识别和规则冲突等一系列的问题,提出一种基于角色的安全互操作模型:RBSIM.在该模型中,引入角色,实现用户权限的分离,方便管理,角色--权限进行二次指派,方便系统对用户行为的细粒度控制.同时,该模型可解决安全域之间规则约束、粒度冲突等问题.用户通过发送请求申请访问资源,通过证书认证分配角色授予权限.角色的引入在带来管理方便的同时,充分解决了粗细粒度控制的冲突问题.     

基于全局目录的集中型数据库分布式加锁仿真

现有使用较为广泛的三种集中型数据库分布式加锁方法均存在着通信量大、分布事务并发复杂度高的缺陷。为了解决上述问题,引入全局目录对集中型数据库分布式加锁方法进行设计研究。根据集中型数据库分布式加锁的需求对锁进行相应的管理,并对数据库全局目录进行创建,主要对其功能与数据项内容进行设置,将全局目录存储于集中型数据库的主站点,通过确定数据加锁粒度、加锁类型与事务锁表对数据库进行分布式加锁,利用分布式加锁算法对加锁过程进行管理与控制,实现了基于全局目录的集中型数据库的分布式加锁。通过仿真得到,与现有的集中型数据库分布式加锁方法相比较,提出的集中型数据库分布式加锁方法极大的降低了通信量与分布事务并发复杂度,充分说明提出的集中型数据库分布式加锁方法具备更好的加锁性能。