基于加密SD卡的内网移动终端可信接入方案

为了解决因不可信移动终端非法接入内网导致的信息安全问题,设计了一种基于加密SD卡的内网移动终端可信接入方案。通过可信计算技术,以加密SD卡作为可信硬件设备实现了移动终端设备的可信启动、完整性验证与内网可信接入,并对接入后移动终端与内网的数据交互过程提供了一种加密通信安全存储机制。实验结果表明,该方案在不改变移动终端基本架构的前提下,较为高效地对移动终端进行安全性认证,并在一定程度上保护内网环境的安全。     

基于TNC的安全接入系统的设计与实现

为了保证网络安全,将威胁隔离在受保护的网络之外,需要在主机接入网络以前对其进行健康状况评估,只允许符合既定安全策略的主机接入网络。针对上述问题,本文基于可信网络连接TNC技术设计并实现了一个安全接入系统,该系统可以根据指定的安全策略,对所有申请接入内网的主机进行身份验证和完整性校验,拒绝不安全的主机接入,最大限度的保证内网安全。     

中小企业内网安全管理的研究与实现

随着信息技术的发展以及企业管理的需要,大多数企业建立了自己的内网。但由于计算机终端的数量众多、企业内部网络安全管理的落后,导致企业内网也常常面临危险的困境。文中通过对“基于端口的网络接入控制冶这一技术的研究,对接入网络的端口加以控制,实现用户级的接入控制,并对每种不同类型的用户给予不同的权限,从而实现对整个网络安全的管理。以给某设计院设计内网安全管理为例,对其设计的方法进行分析和描述。通过系统的实际运行表明：该方法在保障企业内网安全问题上有明显的效果。     

远程终端安全管理技术研究

内网安全管理系统的若干安全防护和管理手段依赖于内网环境,因此其在远程终端安全管理的应用中有一定的局限性.针对此问题,对远程终端接入内网的安全问题进行了讨论.研究了远程终端安全管理系统的终端身份认证,通信加密、终端系统安全加固以及系统软件实现等关键技术,提出了一个基于可扩展软件架构的安全管理系统模型.该系统可较好地解决远程终端安全管理所面临的相关问题,且具有灵活,可扩展的特性.     

远程终端安全管理技术分析

内网安全管理系统的内网环境,是影响管理系统的安全防护和管理手段的主要因素,所以其在远程终端安全管理的应用中有一定的局限性,针对这些问题,对远程终端接入内网的安全问题进行了研究,分析研究了远程终端安全管理系统的终端身份认证,通信加密、终端系统安全加固以及系统软件实现等关键技术,得到了一个可扩展的软件架构的安全管理系统模型。该系统可以很好的解决远程终端安全管理系统的一些不足,使系统更灵活、更方便于人们的操作。     

基于工业可信接入的可信网关研究和开发

文章从可信接入的系统架构出发,分析了边缘设备层的安全接入对系统安全性的影响,从而提出了针对工业可信接入的边缘侧可信网关的研究和开发,从可信网关的硬件、软件和上位机等方面进行设计,并针对可信系统中的安全识别技术进行研究分析,以实现对待保护网络的安全防护,达到工厂内网的信息安全隔离,实现可信的工业通信系统。     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

一种改进的内网安全防护策略

针对目前内网安全防护策略疏于监控的问题,提出了一种改进的内网安全防护策略.改进后的安全防护策略采用指纹对用户身份的合法性进行认证,对内网用户终端的安全防护策略进行验证,对终端非法外联进行管控,划分了内网可信主机边界、内网可信用户边界、服务器可信使用者边界,有效地增强了内网安全,抵御了网络攻击.     

一种可信终端运行环境远程证明方案

可信终端的远程证明无论是基于二进制的证明方案还是基于属性的证明方案,针对的均是终端的静态环境,反映的是终端的软件配置结构,并不能证明终端运行环境的真正可信.针对这一问题,提出了一种终端可信环境远程证明方案.针对静态环境,该方案考虑了满足可信平台规范的信任链以及相关软件配置的可信属性证明;针对动态环境,该方案考虑了终端行为的可信属性证明.并分别给出了信任链、平台软件配置和终端行为等属性证明的可信性判定策略和算法,以及终端运行环境远程证明的综合性判定策略和算法.另外,在Windows 平台上,设计和实现了该方案中的两个核心实体：证明代理和验证代理,并设计了证明代理和验证代理之间的通信协议.最后,介绍了该方案在Windows 平台上的一个典型应用案例以及证明代理在该应用实例中的性能开销.应用实例验证了该方案的可行性.     

基于EAP-TLS的可信网络连接认证方案设计与实现

TNC架构在终端接入网络前对终端的平台身份和平台环境进行可信认证,保证了接入终端的可信,但这种可信认证存在单向性的局限,无法保证网络服务器的可信。EAP-TLS是802.1x中一种基于证书的扩展认证协议,支持双向认证机制。本文在分析TNC架构和EAP-TLS双向认证机制基础上,设计了一种基于EAP-TLS的可信网络连接双向认证方案,该方案能够对终端和服务器的平台身份、平台完整性和平台可信环境进行双向认证。在FHH@TNC开源架构搭建的可信网络环境上实现了客户端与服务器之间双向可信认证方案,并进行了方案测试,证明了方案的正确性。     

基于动态策略的移动警务终端安全管控系统的设计与实现

对移动警务安全接入平台中的终端设备的安全防护问题进行了研究,提出并研制了一种基于动态策略的移动警务终端安全管控系统,整个系统由客户端、前置服务端和内网服务端组成,前置服务端和内网服务端分别部署在前置区和公安内网,客户端部署在移动终端设备上,确保在移动接入区和公安内网区有效进行物理隔离的前提下,将系统制定的各种安全策略规则下发到客户端执行,规范用户对移动终端的本地软硬件资源和网络资源的使用,实现安全威胁检测、防护及预警,对移动终端用户的违规访问、操作行为进行全面监测和上报,实现终端设备安全和行为的统一管理.     

中国科学院院所网络终端安全防护系统的设计与实现

随着互联网的快速发展,网络安全事件愈演愈烈,中国科学院院所网络也面临着各种各样的安全威胁。为了保障中国科学院网络终端的安全,本文给出了一个网络终端安全防护系统的设计方案,对中国科学院院所网络中的计算机终端实施包括安全配置、漏洞修复、病毒查杀等在内的全方位安全保护。系统分为客户端和服务器端两个部分,不仅普通用户可以通过系统的客户端对自己的计算机进行安全检测与修复,而且管理员也可以通过服务器端对客户端计算机进行安全管理。通过对系统的实际部署测试,验证了其保护网络终端安全的有效性。     

基于数字签名和SM2算法的终端接入认证协商协议

为保证智能终端和企业内网数据中心的双向通信安全,以数字签名和国密算法SM2为基础,提出一种终端接入认证协商协议。给出安全风险和效率分析,并利用BAN逻辑进行形式化分析。结果表明,该协议在终端和企业内网数据中心实现双方身份认证,协商出一个用于后续加密通信的共享密钥,具有较高的安全性。     

企业网络数据安全探讨

随着网络技术的快速发展,网络环境变得日益复杂,影响企业网络数据安全的因素也变得复杂化和多样化。论文在对企业网络数据风险评估的基础上,提出了影响企业网络数据安全的几大危险因素,并给出了一些应对的安全措施,以确保企业网络数据在运行过程中的安全,最后分析了企业网络数据安全的未来,总结归纳出企业网络数据的安全只是相对的,企业网络数据的安全工作是一项长期的任务,数据的安全需要时刻牢记心里。     

涉密计算机违规外联原因分析及防范措施

现阶段,对于内网的安全防护是实现内网和外网的物理隔离,从而在涉密网络和外部网络之间形成一条安全边界,以减少来自外部的安全威胁。但是,这种防护手段存在许多的安全风险,其中涉密计算机的违规外联就直接威胁着内网的安全,而这一安全问题日益严峻。鉴于此,文章对涉密计算机违规外联的原因进行分析,并在此基础上就管理和技术层面提出针对性的防范措施,希望能为成功解决网络安全问题提供参考。     

基于驱动注入的分布式USB设备监控系统

USB设备的普及对内部网的信息安全形成了很大的威胁,用户有意或无意地违规操作,如数据拷贝、拨号上网和打印操作行为等,都有可能造成敏感信息的泄露。该文提出了一个通用的般控模型,对用户的USB设备操作行为进行监控,通过驱动注入的方法实现了USB设备实时监控系统（UDMC）,UDMC采用集中式管理,分布式控制架构,具有动态的USB设备变更检测、类型检测、敏感USB设备控制,安全警报,日志审计等功能。应用表明。UDMC能够有效地控制和降低USB设备对内部网造成的信息安全风险。     

内部网系统的网络信息安全管理

该文以株洲市劳动社会保障系统内部网系统的网络信息安全管理为例,分析了Internet快速发展条件下内部网系统的网络信息面临的安全威胁,并探讨了内部网网络信息安全管理策略与技术,并就株洲市内部网系统提出了网络信息管理的安全构架与设计方案,为同类网络的信息安全管理提供了一个可行的参考。     

企业网安全技术的分析与研究

随着企业信息化的不断发展,企业网的安全越来越受到各个企业的关注。本文分析了企业网当前存在的主要安全隐患,对企业网安全技术进行研究,并结合企业网络安全需求,从技术方面出发提出了解决企业网络安全的策略,对提高企业网络安全具有一定的技术指导作用。     

基于移动终端的通信设备和线路巡检系统设计

为便于电力通信设备和线路运行的维护管理与规范化作业,开发了基于移动终端的巡检系统。构建了包括外网移动端、客户端、内网数据库的三层架构体系,在Web服务器的顶端采用MyBatis持久层框架,提出了HTML5技术的移动Web App开发模式,利用Eclipse集成开发环境和ORACLE关系型数据库构建内外网移动交互平台,并在移动终端、网络层、应用层、数据库等四个层次进行安全防护。巡检系统的应用情况表明,该移动终端巡检系统实现了巡检任务的自动分派以及检修任务的跟踪处理,并能对通信设备的台账及线路运行资料进行现场核对和更新,能够根据巡检与检修的次数以及隐患点自动完成对通信设备运行状况的等级评价,提高了现场操作的规范性和时效性以及运维人员的工作效率,确保了通信设备和线路安全稳定运行。