安全交换(共12篇)
安全交换 篇1
摘要:基于目前不宜公开信息泄漏事件屡有发生[15], 文章提出了实现电子信息安全交换的基本原理及多种实现方式, 这对于不宜公开信息的安全具有重大的社会意义。
关键词:信息安全交换,单向导入,介质绑定
1 前言
近年来, 涉及到互联网、内部和涉密信息系统的每个人几乎都不可避免的遇到一个很棘手的问题:怎样把所需要的低密级信息拷入到高密级信息系统中 (包括互联网信息输入到内部计算机信息系统) 和把高密级信息系统中的低密级信息拷入到低密级信息系统中。以下就根据实际软、硬件设施及操作过程的不同, 提出几种解决此问题的一些方法, 并分别对各种方法的优缺点做一简单比较。
2 信息交换基本概念与理论
这里首先介绍几个概念:
单向导入, 指的是信息数据流只能单向传输, 不可逆转, 目的是用来解决被保护信息网络的信息泄漏问题。
介质绑定, 指的是通过一定的技术手段, 使存储介质与终端 (计算机) 建立 (双向) 认证机制, 从而可以实现对信息存储交换途径进行有效控制。
审计, 指的是对所有信息的输入、输出等操作进行记录, 以便于事后监督, 及时发现存在的问题并进行整改。
所谓信息安全交换, 指的就是低密级信息需单向导入到高密级信息系统中, 这是为了防止在低密级与高密级信息系统信息交换时产生数据信息“摆渡”事件的发生, 而高密级信息系统中的低密级信息需采用绑定的 (编解码格式已知的、特种和专用编解码等) 存储介质存储, 确保低密级与高密级信息系统之间的信息交换通过各自的专用介质完成, 要求符合“单进单出”的基本原则, 最后, 对信息交换过程启用审计功能, 以便于对输入输出的信息进行事后监督、证实, 并根据存在的风险, 及时提出解决方式。
3 电子信息安全交换实现
实现电子文件安全交换的措施有以下几种方式。
3.1 刻光盘法
根据所使用光盘分类的不同, 此法又可分为以下两种解决方式。
第1种解决方式, 适用于用的是一次性 (指的是一次写入不可擦写) 光盘。
一般实施过程:先把低密级信息文件进行“杀毒”处理 (病毒库须是最新的, 下同) , 然后再把此信息刻录成光盘, 最后再把此信息文件拷入到高密级信息系统中。
具体实施如图1所示。
首先, 在低密级信息计算机上将所需要的信息文件进行杀毒处理, 并把信息文件刻录到光盘里, 此时, 低密级信息计算机安装有刻录光驱。
其次, 采用光盘将杀毒后的信息文件拷贝到高密级信息计算机上, 此时, 高密级信息计算机安装有只读或可刻录光驱。
第2种解决方式, 适用于使用的是可擦写光盘的情况。
其具体的实施过程与图1类似, 只是此时, 一次性写入光盘替换为可擦写光盘, 高密级信息计算机只可安装有只读光驱。这样, 就完成了低密级信息拷入到高密级信息系统中的正确途径。
高密级信息系统中的低密级信息拷入到低密级信息系统中的途径如下:高密级信息计算机应安装有可刻录光驱, 应用刻录光驱来完成信息的拷出, 并对完成刻录的光盘信息进行保密技术检查, 再把低密级信息拷入到低密级信息系统中。
注意事项: (1) 本文所说的低密级和高密级信息是相对而言的, 即信息等级分为不涉密 (公开) 、内部、秘密级、机密级和绝密级。举个例子, 若机密级信息设为高密级信息, 则不涉密、内部及秘密级信息是低密级的, 下同。 (2) 若一次性写入光盘存储的所有信息是公开信息, 则光盘不做涉密载体管理;否则, 则光盘做涉密载体管理。 (3) 涉密网 (机) 应设置低密级信息 (包括可公开和内部信息) 区输出低密级信息并进行保密技术检查。
3.2 存储介质硬件设置法
常用的存储介质是U盘、3.5英寸软盘等。以U盘为例做。
工作原理:通过使用U盘写保护开关, 使U盘内部电路板主控芯片或其它相关芯片的写入管脚有高电平变成低电平, 这一转换过程是物理实现的, 从而使写入操作不能完成。
其具体的实施过程与图1类似, 只是此时, 一次性写入光盘替换为带写保护开关的U盘。
具体实施方法:
低密级信息拷入到高密级信息系统中的正确途径:
首先, 把U盘的写保护开关推至“开”的位置, 把低密级信息文件拷入到与其同一级别的U盘里, 并进行查杀病毒 (如蠕虫) 、木马等恶意代码处理。
其次, 把U盘写保护开关推至“关”的位置, 并把U盘插入高密级信息系统的USB口, 从而完成信息文件的传输过程。
高密级信息系统中的低密级信息拷入到低密级信息系统中的途径如下:
高密级信息终端 (计算机) 应有可用的USB端口, 把专用U盘插入高密级信息系统USB口完成所需要信息的拷贝工作, 对完成拷贝的U盘信息进行保密技术检查, 再把U盘插入低密级信息系统的USB口并把信息拷入到低密级信息系统中。
注意事项: (1) 使用前, 须验证U盘的写保护是否能起到其应该有的作用。 (2) 须使用带有写保护装置的U盘。 (3) 一定要制定相应的U盘规章管理制度:如所使用U盘的密级不高于低密级信息系统的密级。 (4) 应分别配备高密级和低密级信息主机专用的U盘。 (5) 根据需要, 可在低密级、高密级信息主机安装功能符合要求的介质绑定防护软件。 (6) 涉密网 (机) 应设置低密级信息 (包括可公开和内部信息) 区输出低密级信息并进行保密技术检查。
3.3 使用信息消除工具法
其具体的实施过程如图2所示, 以U盘为例。
首先, 把所需的信息文件拷入到存储介质A (如不带写保护装置的U盘、移动硬盘及其它存储设备等) 里并进行杀毒处理。此时, 若拷入的信息是涉密的, 则存储介质A此时和拷入信息的密级一致, 否则, 存储介质A是没有密级的。
其次, 再把存储介质A里的信息拷入到高密级信息系统中, 完成后, 对存储介质A运行信息消除工具, 使其变成存储介质A’。若存储介质A存储过涉密信息, 则A’做涉密移动存储介质管理, 否则, 其是无密级的存储介质。
最后, 把所需的低密级信息拷入到存储介质A’并进行保密技术检查, 然后, 把A’中的信息拷入低密级信息主机。
注意事项:
从管理角度出发, 根据工作需要, 应配备国际互联网专用介质、内部介质和涉密介质3种。若低密级信息主机是互联网计算机, 则存储介质应选用互联网专用介质。
所使用的信息消除工具必须是经过保密认证的。
信息消除工具可以安装在高密级信息主机上, 也可以另外设置一台信息消除机, 如图2的虚线所示。
根据需要, 可在低密级、高密级信息主机安装可以使用的介质绑定防护软件。
3.4 设置中间机或隔离机法。
其具体的实施过程如图3所示, 以U盘和一次性写入光盘组合为例。
首先, 在低密级信息计算机上将信息文件保存到存储介质 (如U盘及移动硬盘等) 上。
其次, 将存储介质上的信息文件拷贝到“中间机”, 进行杀毒处理, 并把信息文件刻录成光盘, 此时, 中间机安装有刻录光驱。
最后, 采用光盘将杀毒后的信息文件拷贝到高密级信息计算机上, 此时, 高密级信息计算机安装有只读或刻录光驱。这样, 就实现了低密级信息拷入到高密级信息系统中的正确途径。有其工作过程可知, 此法又可称为“刻录转换”法。
高密级信息系统中的低密级信息拷入到低密级信息系统中的途径如下:高密级信息计算机应安装有可刻录光驱, 一次性写入光盘应更换为可刻录光盘, 应用刻录光驱来完成信息的拷出, 并对完成刻录的光盘信息进行保密技术检查, 再把低密级信息拷入到低密级信息系统中。
注意事项: (1) 显然, 也可以把存储介质更换为光盘。 (2) 中间机分为涉密中间机和非涉密中间机两类, 其中, 前者的密级由处理信息的最高密级确定。 (3) U盘和光盘的密级应该和其所存储信息的最高密级一致。 (4) 应配备专用的互联网存储介质、内部存储介质和涉密存储介质。 (5) 根据所使用光盘是否具有重复使用性来配置 (移动) 光驱是只读光驱还是可刻录光驱。 (6) U盘和一次性写入光盘的位置可以互换, 但是, 此时, 低密级信息计算机应该安装有刻录光驱, 并且低密级信息系统与光盘的密级一致, 中间机的密级与其所存储信息的最高密级一致。若使用的是可擦写光盘, 则要求中间机只可安装有只读光驱。这种方式需在中间机、高密级信息主机上安装介质绑定防护软件。 (7) 若把一次性写入光盘替换为带写保护装置的U盘、3.5英寸软盘, 则此法相应地可称为“U盘转换”法、“3.5英寸软盘转换”法。若在高密级信息主机上安装有信息消除工具, 则此法又可称为“信息消除转换”法等等。另外, 这种方式需在低密级信息主机、中间机、高密级信息主机上安装介质绑定防护软件。 (8) 若把一次性写入光盘替换为其它存储介质, 如不带写保护装置的U盘、移动硬盘等, 即高密级信息主机可对其进行写入操作, 则也有可能存在泄密隐患。原因是, 杀病毒软件仅仅对已出现并成功分析其特征的病毒代码有查杀作用, 即病毒库的更新总是落后于病毒、木马代码的出现时间。尽管用病毒库更新后的杀毒软件没有查出主机里的病毒、木马等恶意代码, 但是并不能保证被查杀的主机里没有病毒、木马等恶意代码, 即被查杀的主机里仍可能存在病毒、木马等恶意代码。因此, 若高密级信息系统被植入恶意木马代码等, 则会通过“摆渡”方式把高密级信息泄露到低密级信息系统中, 从而造成泄密事件的发生。因此, 此法相对适用于 (参照) 涉密的信息系统之间的信息交换。另外, 这种方式也需在低密级信息主机、中间机、高密级信息主机上安装介质绑定防护软件。
3.5 使用“三合一”产品
“三合一”产品全称是涉密计算机及移动存储介质保密管理系统, 主要具有单向导入、介质管理、违规外联3项保密功能, 另外还具有一定的辅助审计等功能。
低密级信息拷入到高密级信息系统中的方法:此种方法只要按“三合一”产品的技术要求配置好, 就可正常使用。
高密级信息系统中的低密级信息拷入到低密级信息系统中的方法如下:可使用光盘刻录或U盘等方式进行。根据所使用的存储载体不同, 使用方法可参考“三合一”产品技术说明或本文其它相关部分说明。
3.6 使用安全隔离与信息交换产品
此种方法只需要把安全隔离与信息交换产品设备配置在低密级、高密级信息系统边界防护之间, 再根据需要把该产品及所联接的各个信息系统的各种策略与技术参数配置完成后, 就可以完成信息的安全交换。根据国家相关保密要求, 目前, 若低密级信息主机是公共信息网主机, 则与之通过安全隔离与信息交换产品直接连接的高密级信息主机的最高密级是秘密级。详细情况可参考相关保密要求。
由以上各种实现方法可知, 第一种及第二种方法实施简单、方便, 但是, 若使用第一种方法中的一次性光盘的方式, 则长期来看, 浪费太大, 也不太适合大容量的信息传输, 并且, 使用光盘刻录, 工作效率低;第二种、第三种、第五种及第六种方法须购置相应的软硬件设备, 需要一定的投资;第四种方法须设置中间机, 需购买相应的防护软件, 也需要一定的投资。另外, 若使用光盘刻录, 也存在工作效率低、增大管理工作量等现象。实际上, 第四种方法可以看作是第一种、第二种及第三种方法的综合, 第六种方法更适用于不同信息系统 (安全域) 之间的信息交换。
中间机与“三合一”产品比较:前者不能够做到单向, 但若中间机实时更新病毒库, 则对防病毒有一定的积极作用;后者能够做到严格单向输入, 但对所使用的终端可能会造成灾难性的后果。
4 结语
文章主要对信息安全交换的正确途径做了阐述, 并分别对各种实现途径的优缺点做了简单比较, 主要涉及的概念有低密级信息主机、光盘 (从是否具有可擦写特性上分为一次性和重复使用两种;从容量大小上可分为小容量 (1G以下如CD类型) 、大容量 (如DVD类型) 等光盘类型) , U盘 (带写保护功能和不带保护功能, 但其容量选择性大) 、高密级信息主机、 (介质绑定、单向导入、审计等) 防护产品和光驱 (分只读和可刻录) , 对这些概念一定要深刻理解, 只有这样, 才能根据实际工作需要, 选用合适的防护产品, 保证信息安全交换的顺利进行。由上可知, 通常所说的“移动存储介质存在交叉使用”这句话及“绝密级、机密级和秘密级信息只能存储在对应密级的移动存储介质内”和“用于下载国际互联网、公共信息网信息的移动存储介质不得与涉密计算机和涉密计算机信息系统相连接”等等存储介质管理规定本身就不规范。另外, 有涉密信息系统等级保护的技术要求可知, 涉密存储介质不得在非涉密信息系统中使用, 但是, 这句话并不是说涉密存储介质可以不分密级地在任何涉密信息系统中均可以使用或仅仅在与其标称密级相同的涉密信息系统中使用, 即涉密存储介质严禁在非涉密信息系统中使用是满足涉密信息系统等级保护技术要求的充分条件, 而非必要条件。希望本文的研究结果能对保密工作中的文件交换方式起到积极的良好的推动作用。
参考文献
[1]中国军工科研所发生泄密事件潜艇资料被窃[EB/OL]. (2009-12-14) .http://www.youxia.org/2009/12/军工泄密-潜艇资料被窃.html.
[2]美韩对朝作战计划因韩军官忘拔U盘被窃[EB/OL]. (2009-12-28) .http://www.youxia.org/2009/12/美韩对朝作战计划因韩军官忘拔U盘被窃.html.
[3]摆渡攻击的原理与防护措施[EB/OL]. (2011-02-26) .http://www.yueqikan.com/tongxinxinxianquanlw/4829.html.
[4]泄密?木马?如何保障政府网络安全[EB/OL]. (2011-03-16) .http://www.1258z.net/a/servers/security/201103/23525.html.
[5]基于数据二极管技术的摆渡木马防御研究[EB/OL]. (2011-4-29) .http://articles.e-works.net.cn/Security/Article86642.htm.
安全交换 篇2
安全交换机三层含义
交换机最重要的作用就是转发数据,在 攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。
安全交换机的新功能
802.1x加强安全认证
在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,由于涉及到网络的计费,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。
802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。
在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1. 客户端。一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2. 认证系统。在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
流量控制
安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
防DDoS
企业网一旦遭到大规模分布式拒绝服务攻击,会影响大量用户的正常网络使用,严重的甚至造成网络瘫痪,成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击,它可以在不影响正常业务的情况下,智能地检测和阻止恶意流量,从而防止网络受到DDoS攻击的威胁。
虚拟局域网VLAN
虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样,
VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
基于访问控制列表的防火墙功能
安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的安全屏蔽,让 找不到网络中的特定主机进行探测,从而无法发动攻击。
入侵检测IDS
安全交换机的IDS功能可以根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的操作,并将这些对安全事件反应的动作发送到交换机上,由交换机来实现精确的端口断开操作。实现这种联动,需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
设备冗余也重要
物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下,立刻赋予后备的模块、安全保障网络的运行。
安全交换机的布署
安全交换机的出现,使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心,如同思科Catalyst 6500这个模块化的核心交换机那样,把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略,做到集中控制,而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力,安全性能是一项颇费处理能力的工作,核心交换机做起这个事情来能做到物尽其能。
把安全交换机放在网络的接入层或者汇聚层,是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘,在各个边缘就开始实施安全交换机的性能,把入侵和攻击以及可疑流量堵在边缘之外,确保全网的安全。这样就需要在边缘配备安全交换机,很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样,在核心周围建立起一道坚固的安全防线。
安全交换机有时候还不能孤军奋战,如PPPoE认证功能就需要Radius服务器的支持,另外其他的一些交换机能够和入侵检测设备做联动的,就需要其他网络设备或者服务器的支持。
安全交换机的升级
目前市场上出了很多新的安全交换机,它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说,对于模块化的交换机,这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块,如思科Catalyst 6500就带有防火墙模块、入侵检测IDS模块等等安全模块;神州数码的6610交换机配备了PPPoE的认证模块,直接插入老交换机就能让这些“老革命”解决新问题。
如果以前购置的交换机是固定式的交换机,一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。
安全交换机的前景
安全交换 篇3
【关键词】通信交换工程;安全组网;改造
1.引言
随着经济社会的發展,人们对通信质量的要求越来越高,已经不再满足于基本通信,而且对于通信质量、通信可靠性和通信保密性等也提出了更高的要求。在这种情况下,需要及时引进新设备、采用新技术对通信交换工程组网进行相应改造,以更好的提高通信质量。
2.通信交换工程的安全组网及改造的必要性
电信企业的核心宗旨就在于为客户服务、满足客户的需求。但是要想为客户提供更多更好地服务,就必须要通过通信交换网络来保证生产营销的工作的正常有序进行。目前,大多数企业还在使用原有的通信交换网络。然而随着用户所需信息量的不断增加,这种通信交换网络已经不能满足人们在信息可靠性、通信质量等方面的需求。在这种情况下,为了更好的满足人们的需求,通信交换工程的安全组网技术不断更新,对通信交换工程的安全组网改造就成为必然趋势。
3.通信交换工程的安全组网改造的主要内容
就目前而言,一些地方的通信交换网络在实际使用过程中存在着设备严重老化的问题,已经不能很好地为客户服务。目前的通信交换网络也不能更好的覆盖偏远地区。甚至一些地区的通信交换设备持续运行多年,其使用时间已经严重超过其使用期限。这些老化的设备在实际使用过程当中,存在着严重的软硬件故障问题,甚至会导致整个网络的瘫痪作,更无从保证通信信息的质量和保密性。
随着对通信交换工程的安全组网的需求的增加,很多地方已经对通信交换工程的安全组网进行改造和升级,这样可以在很大程度上保证通信信息质量和保密性。因此,有必要对通信交换工程网络技术、设备、网络结构等内容进行相应改造。在通信交换工程的安全组网的实际改造中,一般情况下主要采用最新的技术和最新的设备来进行改造。
4.通信交换工程的安全组网及改造的具体策略
通信交换工程的安全组网的实际改造主要在通信交换工程组网技术改造、设备改造、结构改造等几方面进行进行。
(1)通信交换工程安全组网技术改造策略
通信交换工程安全组网中的技术改造是通信交换工程安全组网改造的基础和根本。作为通信网络的主流,基于IP技术的通信交换数据业务呈现出逐渐增长的趋势,这样在很大程度上促进了通信交换网络的发展。基于IP技术的通信在增加上网流量的同时也实现了数据传输、传真和视频一体化的现代化通信交换网络。这样可以更好地满足人们高数据传输速率、大信息容量、大流量的要求。但是如果要对通信交换工程安全组网的技术进行改造就必须对IP多媒体子系统进行相应的改造。
IP多媒体子系统在具体的操作应用过程中,需要利用会话启动协议对其进行控制,来完成媒体会话、信息传输等工作。而基于IP的软通信交换网络来进行相应的安全组网的控制与承载分层的,这与基于IP通信交换网络相比较而言是先进的。并且软通信交换网络与IP通信交换网络相比较而言,软通信交换网络成本相对较低,容量也相对较大,能更好保证通信交换工程组网质量。
(2)通信交换工程安全组网设备改造策略
作为通信交换工程安全组网改造的重要内容,设备改造势在必行。通信交换工程安全组网的设备在很大程度上直接决定着通信交换网络的好坏。因此,确保使用先进的设备至关重要。传统的通信交换网络设备存在着陈旧老化、容量小、传输距离短等各种问题,这些直接影响了通信信息的质量与安全性。随着计算机网络和通信网络的发展,传统的通信交换设备已经被淘汰,先进的设备大批量的被采用。新型的设备根据实际标准来进行不同的布线和施工,这样在很大程度上可以确保通信设备的质量。
具体来说,在设备实际具体安装过程中,通信交换网络通常要根据链路来进行相应的设置和安装。在安装设置和设备时通常要按照一定的顺序来进行。目前,通过电力通信公司计算机服务器及电信等公司通信交换网络设备的使用情况来看,电信等公司已经严格按照规定对通信交换网络设备进行了相应改造。结果现实先进的通信网络交换设备在更好满足不同公司连接需求的基础上在很大的程度上提高了话务业务水平、为企业提供更多丰富的业务功能。这样让通信交换工程组网的功能性和灵活性得以提高并保证了通信质量,可以更好地为人们服务。
(3)通信交换工程安全组网结构改造策略
作为通信交换工程安全组网改造的核心内容,结构改造至关重要。因为传统的通信交换工程网络结构相对复杂,在实际工作中容易出错,常常会给整个通信交换工程网络带来一些不稳定因素,无法保证整个通信网络有序运行,影响通信网络的整体质量。并且会增加通信交换网络维护负担,增加维护成本。在这种情况下,对通信交换工程组网进行改造就不得不进行。在保持原有网络结构基础上尽量减少大容量和多网络层次。对原有网络结构重新进行优化升级,使网络结构简单且功能齐全,以保证现代化通信交换工程组网质量和安全运行。
总之,在通信交换工程组网技术改造、设备改造、结构改造等三方面进行改造后通信交换网络的得到了很大的改善。但是就目前情况来看,很多通信交换工程安全组网仍旧不能很好的为人们服务,主要原因是通信交换工程安全组网的管理不能很好满足时代发展需求。随着自动化技术的不断发展和应用,一些变电站和配电网络已经实现了自动化和智能化,但是很多的配电站和配电网络依然采用传统的运作方式,不能实现自动化。在这种情况下,针对这些问题,要以变电站自动化配电网络自动化调度自动化和负荷集中等相关设备为依据,综合考虑变电站及其点网络自动化等因素,有效的将这些因素结合起来构建统一通信交换工程组网平台,对整个通信交换网络进行统一管理。这样在使通信交换网络信息得以优化的同时也能最大限度的节省资源减少成本投入,提高通信交换工程的安全性与质量。这样才能实现通信交换工程安全组网改造顺利进行。
5.结束语
目前,通信交换工程组网改造已成为势在必行的工程。随着通信网络的不断发展,其竞争越来越激烈,国内通信交换工程的各项基础设施得到了不断地发展和完善,同时对通信交换工程的安全组网的改造也在不断地深入。通信交换工程安全组网及改造在当今社会中占据着很重要的地位。要想在日益激烈的市场竞争中占据有力地位,保证公益设施和建设有序进行,就需要对交换工程组网进行相应改造。与此同时,在交换工程组网在实际改造中必然会存在诸多问题,因此需要采用相应的措施加以解决,只有这样才能保证组网工作有序进行。随着信息化程度的不断提升以及通信信息量的不断增加,在不久的将来对通信网络提出的要求会更多更严格。如果想更好地满足实际需求还需要对通信交换工程组网进行进一步研究改进。
参考文献
[1]衣晓琦.通信交换工程的安全组网及改造措施[J].OFweek宽带通信与物联网前沿技术研讨会,2013,09.
[2]傅硕.通信交换工程的组网与改造研究[J].新技术,2012,11.
[3]刘玉梅.浅谈通信交换工程的安全组网[J].科技创业家,2012,11.
安全密钥交换算法研究 篇4
两个网络通信用户在采用对称加密法实现保密通信时, 首先必须共享一个秘密密钥;为了防止攻击者破获, 这个密钥必须经常更新。这个在一次定长通话或交换定量数据时使用的密钥, 通常称为会话密钥。
会话密钥产生的两种形式是集中式生产和分散式生产。集中式生产, 是由指定的密钥产生中心 (如密钥分发中心KDC和证书分发中心CDC等) 集中生产密钥, 然后分发给系统内的用户, 其用户数量受到算法所能提供的密钥总数的限制, 所以也称有边界生产;分散式生产, 由使用者个人分散生产或由通信双方协商产生, 用户数量不受限制, 也称无边界生产。会话密钥一般采用分散式生产, 由用户在公开的信道上协商建立, 这个建立过程称为密钥交换。
2 D-H算法与中间人攻击
分散式密钥生产方式中最著名的是Diffie-Hellman密钥交换算法, 简称D-H算法。D-H算法是W.Diffie和M.Hellman于1976年提出的一个用于交换密钥的公钥密码算法, 已经在很多商业产品中得以应用。算法的目的是使得两个或两个以上用户能够在公开的信道上安全地交换数据, 得到一个共享的会话密钥, 用于实现对称加密通信, 并能有效阻止攻击者窃取该密钥。D-H算法实现过程如下:
1) A和B预先协商一个大素数p及p的本原根a;
2) A产生随机数x, 计算M=axmod p, 然后把M发送给B;
3) B产生随机数y, 计算N=aymod p, 然后把N发送给A;
4) A计算k=Nxmod p;
5) B计算k'=Mymod p。
因为k=Nxmod p= (aymod p) xmod p= (ay) xmod p= (ax) ymod p=Mymod p=k', 所以A和B得到了相同的密钥。而攻击者要从p, a, M, N计算k, 将需要解决求离散对数的问题, 这是个著名的陷门单向函数, 目前普遍认为无法通过穷举之外的方法求解。
D-H算法的主要缺陷是容易受到中间人攻击:
1) A发送公开值 (a, p, M) 给B, 攻击者C处于A和B的通信路径之间, 截获这些值并把自己产生的公开值发送给B;
2) B发送公开值 (N) 给A, C截获它然后把自己的公开值发送给A;
3) A和C计算出共享密钥k1, B和C计算出共享密钥k2;
4) A用密钥k1给B发送消息, 但实际上k1是A与C协商计算所得, C截获消息后可用k1解密, 同理C可用k2解密B发送给A的消息。C还可以篡改A、B之间的通信, 甚至假冒其中一方同另一方通信。
可引入认证、时间戳、随机标号等机制改进D-H算法, 有效抵抗中间人攻击。[1]
3 PGP体系实现密钥交换
PGP (Pretty Good Privacy) 是Phil Zimmermann于1991年发布的一个基于RSA公钥加密算法与IDEA对称加密算法的开源的邮件加密体系[2]。PGP创造性地把RSA公钥体系的方便和传统加密体系的高速结合起来, 成为最流行的公钥加密软件包。PGP对信息内容使用IDEA对称加密, 所以需要在收发双方之间预先实现密钥交换;而PGP的密钥交换是利用RSA算法的公钥加密实现的。传统PGP体系的一般使用过程如下:
发送方A:
1) 随机生成新的会话密钥k;基于k, 用IDEA算法加密邮件信息m, 得到m’;
2) 获取接收方的RSA公钥e;基于e, 用RSA算法加密k, 得到k’=Ee (k) ;
3) 将m’|k’一起发送给接收方。
接收方B:
1) 用本方RSA私钥d解密k’, 得到k=Dd (k’) ;
2) 用k解密邮件信息m’, 得到m。
在以上过程中, 会话密钥并非通过协商, 而只是由发送方随机生成;密钥共享则是通过公钥证书加密发送完成的, 其安全性非常高, 是基于RSA算法的破解难度的。但另一方面, 接收方只能保证其邮件内容无法被窃取, 但无法验证发送者的真实身份, 导致了接收方可能收到伪造的信息。
4 改进的密钥交换算法
发送方A:
1) 随机生成新的会话密钥k;基于k, 用IDEA算法加密邮件信息m, 得到m’;
2) 使用RSA算法, 用本方私钥da加密k, 再用接收方的公钥eb加密这个结果, 得到k’=Eeb (Eda (k) ) ;
3) 将m’|k’一起发送给接收方。
接收方B:
1) 用本方RSA私钥db解密k’, 再用发送方公钥ea解密这个结果, 得到k=Dea (Ddb (k’) ) ;
2) 用k解密邮件信息m’, 得到m。
以上方案与本文第3节所描述的方案的区别是:在发送方的第2步中, 要求其先用自己的私钥da加密k, 这就达到了数字签名的效果;因为接收方可以根据权威的公钥来源获取证书的身份标识, 从而通过验证签名确认发送者的真实身份。同时, k’是经过接收方的公钥加密所得, 只有正确的接收方才能基于其私钥实现解密, 因此可防止中间人的窃听与篡改。
以上方案在使用时, 发送方A的第2步的加密顺序不可倒换, 即不可先加密再签名, 如k’=Eda (Eeb (k) ) 。否则, k’被中间人C截取后, 他可以使用发送方公钥ea去除原签名得到Eeb (k) , 即使他无法获取真正的k, 但可以生成自己的签名k’’=Edc (Eeb (k) ) , 继续发送m’|k’’给B;此时B将受到欺骗, 认为m是C发出的。
改进的算法并不能解决所有的密钥交换的安全问题, 如接收者抵赖、信息重放及针对RSA算法的攻击等。必须综合使用各种安全策略, 并对信息交互流程进行合理优化, 才能尽可能地降低网络通信中所遇到的各种风险。
摘要:密钥交换是网络通信用户实现加密通信的基础。D-H算法是迄今在网络安全领域应用最为广泛的密钥交换算法, 但其安全性面临中间人攻击的危害。传统PGP体系利用RSA算法可实现基于公钥证书加密的密钥交换, 但无法验证发送者的真实身份。改进的密钥交换算法采用数字签名技术, 可实现通信双方的身份认证, 提高了密钥交换的安全性。
关键词:密钥交换,D-H算法,PGP,身份认证
参考文献
[1]张珂.一种改进的抗攻击密钥协商协议研究[J].郑州轻工业学院学报:自然科学版, 2011 (3) :53-57.
Cisco交换机端口安全介绍 篇5
配置网络安全时应该注意如下问题:
1.下面四种端口不能设置:
a.不能是Trunk口.
b.不能是SPAN口
c.不能是EtherChannel口
d.不能是private-VLAN口
2.实现安全端口的大致步骤
a.#conf t
#int interface_id
config-if#switchport mode access
config-if#switchport port-security (启用安全模式)
config-if#switchport port-security maximum value (value=1-3072,指该端口所接计算机台数)
config-if#switchport port-security limit rate invalid-source-mac
config-if#switchport port-security [aging time aging_time |type{absolute|inactivity}] (设置安全端口的老化时间,范围是0-1440min,是可选的)
config-if#switchport port-security mac-address sticky (启用sticky learning)
最后别忘记保存设置:
#copy running-config startup-config
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址,
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),
具体做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
方案1——基于端口的MAC地址绑定:
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用,
(以上功能适用于思科2950、3550、4500、6500系列交换机)
方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)interface fa0/20
#进入配置具体端口模式
Switch(config)mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)
方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)mac access-list extended MAC10
#定义一个MAC地址访问控制列表并命名为MAC10
Switch(config)permit host 0009.6b4c.d4bf any
#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机
Switch(config)permit any host 0009.6b4c.d4bf
#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机
Switch(config)ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名为IP10
Switch(config)permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任何主机
Switch(config)permit any 192.168.0.1 0.0.0.0
#定义任何主机都可以访问IP地址为192.168.0.1的主机
完成了这一步就可以进入端口配置模式去配置端口啦!
Switch(config)int fa0/20
#进入端口配置模式
Switch(config-if)
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)ip access-group IP10 in
#在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
下面是清除端口上的访问控制列表
交换宿舍,交换下半身的自由 篇6
一天晚上,我在梦中看到了自己朝思暮想的男子,他温柔地褪掉我带有蕾丝花边的底裤。我一惊,蓦地睁开眼,看到一个黑影正在抚摸着我已经赤裸的身体。他喃喃地说,琪琪,我知道错了。我发现他正是我在视频中朝思暮想的男子,他显然把我错认成了琪琪。我犹豫片刻,伸出双臂抱住他,沉醉在他宽厚的温柔乡里……激情澎湃中,他终于看清我的脸,啊?你不是琪琪!我是小倩,但我喜欢你……这是我说过的最为大胆的情话。他的身体只僵硬了片刻,便重新火热起来,是的,没有几个男人能禁得住我的诱惑……
第二天晚上,琪琪的男友方羽又来了。但我可以感觉得到他始终忘不了琪琪,因为在意乱情迷的时候,方羽当着我的面喊出琪琪的名字。我恨琪琪,就像她抢走了我的男友一样。几天后,妒火中烧我不由自主地抄起电话拨给同学小闯,他很色,曾让两个女孩堕胎。我告诉小闯,我宿舍里有个绝色女子,很开放,只要你把她弄上床,她就会服服贴贴的。小闯在电话里对我千恩万谢。但那个晚上,我的手机急促地响起,小闯气喘吁吁地说,坏了,你说的那个女孩被我扯烂衣服后,从三楼跳下去摔死了。我的头嗡的一声响,然后把自己银行卡的账号和密码全给了小闯,让他赶快逃走。
方羽得知琪琪死后几乎痛不欲生……为了安慰他,我每天放学后都去方羽的出租房给他做饭洗衣,他依然会狠狠地和我做爱,疼痛中我们只字不提琪琪。日子一天天过去,我希望时间可以洗刷一切罪恶和伤痕。有一天,方羽在和我激烈缠绵时突然说,紫湄,我爱你。我转过头,眼泪决堤,这一天,我等得太久太辛苦了。可那天深夜我突然接到小闯的电话,他威胁我要我筹集三万块,否则就要告发我。我没有办法,只能出入于夜店用身体来赚钱。不管那些男人高大矮小、帅气或丑陋,只要他们肯出钱,我就会献出自己的身体。
两个月后,我终于凑齐了三万块,而且这时我发现自己怀孕了。我在一家便宜的私人诊所堕了胎,那尖锐的疼痛让我几欲昏厥。转天,小闯打电话让我去一家宾馆把钱交给他。我刚做了手术,下身还在淋淋滴着血,当我敲开门的时候,一下子惊呆了,房间里坐着的男人竟是方羽。他冷冷地笑着,想不到吧?原来我几次在深夜的梦里都喊着小闯的名字,所以方羽便找来朋友冒充小闯来试探我……他的目的就是想让我体验地狱般的痛苦。他离开时说:但愿我们永远不要见面。望着方羽的背影,我的下身又开始针刺般疼痛,我颓丧地瘫在地上,痛不欲生。
模特后台的裸体表演
我毕业后的第一份工作,是在模特进行时装表演时,快速设计出相应的发式造型。第一天工作时,我早早地在后台做好了相应的准备工作。很快,第一轮的模特走进了后台,开始紧张地换衣服。所以,我很轻易就看到了她们裸露的身体。那个叫晓月的女孩,丰乳肥臀,细腰长腿。短短的两分钟,我的目光一刻都没有离开她性感白皙的身体。晓月似乎对于袒露身体已习以为常,但我却不能泰然自若。她坚挺的双乳在换内衣时颤微微地抖动着,我的心也跟着抖动。
好不容易完成了她的简易发型,下一个模特又走了进来,白花花充满肉感的身体展露在我面前。我的血液在血管中奔腾咆哮,险些冲毁我的理智。有那么一刻,我真恨不得覆盖在某个模特身上,不顾一切地发泄着蓬勃的欲望。夜晚,我独自躺在发廊里间的床上,满脑子都是那些白花花的身体。我就像走进女子集体浴室,一团雾气中,她们在我身边飘来飘去,撩拨着我的欲望,让我无法入睡……
晓月来到我的发廊让我设计一款新的发型,看着镜子中的她,我竟然一下子就幻想到她赤裸的样子。我的身体呼啦一下子潮湿无比,心跳也加快了几倍……晓月走了之后,我呆呆地想着,如果可以和晓月这样的美女一夜销魂,就算死也值了。可高贵优雅的晓月,又怎么能看上我?握着手中的电卷棒,我突然想到一个可以得到晓月的办法……
第二天,晓月果真又来了,寒喧一会儿后我说,晓月,开始卷发了。我拿出电卷棒,对准她的脊椎部位狠狠捅了下去。晓月怪异地呻吟一声,就再也没有声响了。面对昏厥的晓月,我再也忍不住了,我把她抱到里屋的小床上,疯狂地亲吻她。日思夜想的乳房,终于滑进我的手中,任由我揉搓、亲吻。这具熟悉的身体今天终于臣服于我身下……激情退去,我拍了晓月的裸照威胁她:如果你不想自毁前程,就当什么都没发生过!她屈从了……
不久,又有一个模特来做头发。我用同样的办法击昏了她,我不再像上次那样紧张,而是慢慢享受她曲线玲珑的身体。等她醒来时,已经被我绑到了床上,不能动弹。就这样,只要我看中模特队哪个女孩,她就无法逃脱我的掌控。我也知道这样不好,我害怕自己终有一天会受到惩罚。可是一看到她们赤裸的身体,我就变得理智全无。三个月后,团队里的许多模特都被我奸淫过了。每当模特们看到我,都像见到了魔鬼,我再也没有机会接近她们了。
这时候,另一个更有名气的模特团队邀请我去设计发型,在那里我认识了落尘。只第一眼我就被她清纯的气质吸引住了,两个月后,我们相爱了。自从有了落尘,我再也没有用过那只改良过的电卷棒。一次在和落尘做完爱后,我渐渐睡了过去,当我浑身燥热地睁开眼时,发现自己已被绑了起来。而落尘妩媚地笑着,手里拿着那根电卷棒。不要碰,有危险的,我几乎语无伦次。一根电卷棒而已,会有什么危险呢?说着,落尘把电卷棒对准我坚硬如铁的部位,狠狠地击下来……我痛苦地抽搐着,下体迅速地软了下去。
落尘发出很可怕的冷笑,还记得晓月吗?她是我的姐姐,自从被你奸淫后,她就离开了模特队。你毁了她的理想,也让她失去了男友。我这次并不是单单替姐姐报仇,还有那些被你伤害过的女孩……在落尘仿佛来自地狱般的声音中,我再一次昏死过去。等醒来时,落尘已经离开,我身上的绳子也松开了。医生经过几个小时的抢救,依然没能挽救我的身体,我失去了性功能,这是老天对我的惩罚……
数据安全交换平台的研究 篇7
一、新型数据安全交换系统的设计思路
该新型数据安全交换系统按以下思路进行设计:网闸负责在网络层进行内外网之间的安全隔离和访问控制;内外网数据交换平台负责在应用层代理内外网之间的数据交换以及数据交换的访问控制与安全审计。网闸、内外网数据交换平台可综合采用并行处理、多机热备和负载均衡等技术, 以加强数据交换的吞吐能力, 保证数据交换的可靠性、可用性和扩展性, 满足当前和未来业务发展对数据交换性能的需求。
二、新型数据安全交换平台的架构设计
1. 内外网数据交换平台通过专门的应用软件实现数据交换, 可运行在各种开放的操作系统 (如IBM RISC/6000或其他使用Unix操作系统) 的服务器上。它集成了大型数据库系统, 采用消息队列中间件作为主要通信方式 (BEA Message Q, IBM MQ) 。
2. 交换平台采用J2EE架构, 提供统一的报文、二进制文件、XML报文、邮件等多种通模块之间具有非常弱的偶合性, 在功能、性能和安全等方面均具有良好的灵活性和扩展性, 能够不断适应信息化发展过程中新的业务及其安全需求。交换平台由业务接入模块、交换引擎模块、通信适配模块、监控管理模块和安全认证模块组成。
3. 内网和外网数据交换平台。它为网闸提供单一私有通信协议, 并为内外网交互的系统提供统一模式的规范接口, 而且分别在应用层负责本端数据外流的合法性检查, 即在数据流出内网和外网安全域之前, 进行数据外流的合法性检查, 在体系结构上保证了数据交换的安全。
4. 内外网数据交换平台基于可靠的消息传递机制, 实现报文在各个应用系统之间可配置的格式转换, 交换路由和事务完整性保证功能。在提供用户可配置方式使用交换平台的同时, 也允许用户扩展交换平台, 实现客户化的工作。整个交换平台架构从下到上分为四层:
(1) 网络通信协议层, 提供系统最底层的通信保证。
(2) 消息中间件层, 提供系统可靠的消息传递机制。
(3) 交换中间件层, 提供格式转换、交换路由、事务完整性保证等功能。
(4) 客户化层, 提供用户扩展接口, 实现用户客户化要求。
5. 交换平台应用系统可以分为三层体系, 即平台核心层、前置与通信层和外部应用层。
平台核心层是指交换平台所提供的核心服务和核心API;前置通信层是指与外部应用进行通信, 并调用核心服务或者核心API完成交换转发的中间层;外部应用层是指独立于交换平台的客户应用系统, 客户通过定义交换平台对这些外部应用调用的次序, 实现报文在这些应用之间的流转, 从而实现指定的交换流程。本层的应用完全由客户提供, 并通过前置通信层接入交换平台。
交换平台三层之间的关系是平台核心层提供核心服务和核心API以支持前置通信层的开发, 前置通信层调用核心服务和核心API实现交换在各外部应用之间的转发, 并负责和外部应用层之间的通信;外部应用层提供真正实现交换的客户应用系统, 并通过前置通信层实现交换报文的转发。外部应用层通过前置通信层接入核心, 并不与平台核心层直接发生连接。
三、新型数据安全交换平台的数据交换机制
本系统的数据交换机制是基于消息总线的交换, 能够实现报文、数据文件、图像、数据库等各种类型实时、批量交换。内外网数据交换平台由消息队列和核心交换处理两大部分构成。核心交换处理可将各个系统有机结合在一起。同时交换平台之间能够相互连接, 实现交换平台的互联。
参考文献
[1]杨剑, 唐慧佳, 孙林夫, 王胜银.基于XML的异构数据交换系统的研究与实现[J].计算机工程.2009 (19) .
交换机安全由配置把关 篇8
单位网管员在管理维护网络的时候, 总需要接触到交换机设备, 它的可靠性和安全性直接决定着整个网络的运行稳定性。所以有效地管理配置好交换机, 是确保单位局域网运行安全和可靠的关键。
现在本文就从配置着手, 来增强交换机的安全运行性能, 从而让其发挥保护网络的作用。
配置密码保护
为了保护交换机后台系统用户界面的登录安全, 我们应为Console连接配置登录验证密码。例如, 要为思科交换机的Console端口配置密码保护时, 可以在后台系统依次执行“line con 0”、“password xxx”、“login”等命令即可。这种方法只能设置明文密码, 别人在后台系统执行“show run”命令, 可以查看到“password”的具体内容。为让密码保护更加安全, 大家可使用“servicepassword-encryption”命令, 对明文密码内容执行加密操作, 甚至可以使用“enable secret yyy”命令, 启用强加密的特权密码。
为改善配置效率, 不少网管员也会通过telnet命令对交换机进行远程配置。但是启用telnet登录功能会让一些恶意用户有机可乘, 引起网络不能稳定工作或发生安全事故。为此, 我们应加强用户界面的登录验证配置, 强制用户在telnet登录交换机时进行身份验证, 具体操作命令包括“line vty0 4”、“password xxx”、“login”等。
对于H3C系列交换机来说, 它们支持password、scheme等加密认证方式。先在交换机后台系统全局模式下, 通过“user-interface vty0”命令切换到vty0用户界面视图状态, 继续输入“authentication password”命令, 开启远程登录认证功能。
当成功启用了该功能后, 还需要使用“set authentication password simple xxx”命令来指定登录密码, 这里的“xxx”为具体的明文口令内容, 比方说输入“set authentication password simple 123456”命令, 就意味着将远程登录认证口令设置成“123456”。
倘若强制telnet用户同时进行用户名和口令验证时, 必须在用户界面视图模式状态下, 执行“authentication-mode scheme”命令, 来将远程用户名和口令认证功能启用起来, 这样日后从vty0用户界面登录配置交换机时, 系统就会强制用户输入具有合法权限的用户名和密码。
例如, 要强制远程telnet用户从vty0用户界面登录交换机, 一定要使用“123”账号、“456”口令时, 不妨在交换机后台系统全局模式状态下依次执行如下命令:
配置环路保护
不少单位网络都采用了冗余连接, 对物理线路进行备份。然而, 这种连接方式从物理连接角度来看, 已经在单位网络中构成了物理环路, 该环路虽然在stp协议的支撑下, 不会影响网络信号的正确传输, 但在长时间工作过程中, 单位网络会受到工作环境、人为操作、设备质量等因素影响, 或许会发生网络环路故障。
从实践工作来看, 这种环路故障很容易出现在交换机调整的位置。要是物理环路真的构成网络回路, 那么交换机端口很快会被大流量信号堵塞, 单位网络的运行自然就会受到严重影响。
为了保护交换机安全, 改善网络传输稳定性, 我们不妨配置启用交换机的环路保护功能, 让其智能识别特定端口下出现的网络回路现象, 同时自动停用出现网络回路的交换端口, 并且及时上报相关日志内容, 日后我们根据设备日志内容就能快速找到故障原因, 让单位网络迅速恢复到正常状态。
以H3C系列交换机为例, 在配置环路保护功能时, 只要在交换机后台系统的全局视图模式下, 输入“interface e0/26”之类的命令, 进入目标交换端口视图模式, 使用“display loopback-detection”命令, 就可查看指定交换端口在当前是否配置端口回路监测功能 (如图1所示) , 而且该命令还能查出该端口下有没有回路现象存在。
倘若看到网络回路监测功能还没有被开启时, 不妨输入“loopback-detection enable”命令, 来达到开启目的。日后要想临时关闭这项功能时, 可以再使用一次“undo loopback-detection enable”命令。在缺省状态下, 配置好的交换端口环路保护功能只会对当前端口下面的默认VLAN有效。
要想对当前端口下的所有VLAN都有效时, 必须要执行“loopback-detection per-vlan enable”命令, 让网络环路保护功能自动检查当前端口下的所有VLAN。
此外, 指定交换端口要是处于Access工作模式, 那么网络环路保护功能即使扫描到了当前端口下的网络回路, 也不会向交换机后台系统自动报告日志信息, 只是简单地关闭当前交换端口的工作状态, 避免网络回路影响到整个单位网络的正常运行。
架设安全的交换机系统 篇9
1 安全交换机三层含义
交换机最重要的作用就是转发数据, 在黑客攻击和病毒侵扰下, 交换机要能够继续保持其高效的数据转发速率, 不受到攻击的干扰, 这就是交换机所需要的最基本的安全功能。同时, 交换机作为整个网络的核心, 应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是, 交换机还应该配合其他网络安全设备, 对非授权访问和网络攻击进行监控和阻止。
2 安全交换机的新功能
2.1 802.1x加强安全认证
在传统的局域网环境中, 只要有物理的连接端口, 未经授权的网络设备就可以接入局域网, 或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外, 在学校以及智能小区的网络中, 由于涉及到网络的计费, 所以验证用户接入的合法性也显得非常重要。IEEE802.1x正是解决这个问题的良药, 目前已经被集成到二层智能交换机中, 完成对用户的接入安全审核。
802.1x协议是刚刚完成标准化的一个符合IEEE802协议集的局域网接入控制协议, 其全称为基于端口的访问控制协议。它能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段, 达到了接受合法用户接入, 保护网络安全的目的。
802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性, 实现了LAN端口上的设备认证。在认证过程中, LAN端口要么充当认证者, 要么扮演请求者。在作为认证者时, LAN端口在需要用户通过该端口接入相应的服务之前, 首先进行认证, 如若认证失败则不允许接入;在作为请求者时, LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃, 从而确保最大限度的安全性。
在802.1x协议中, 只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
2.1.1 客户端。
一般安装在用户的工作站上, 当用户有上网需求时, 激活客户端程序, 输入必要的用户名和口令, 客户端程序将会送出连接请求。
2.1.2 认证系统。
在以太网系统中指认证交换机, 其主要作用是完成用户认证信息的上传、下达工作, 并根据认证的结果打开或关闭端口。
2.1.3 认证服务器。
通过检验客户端发送来的身份标识 (用户名和口令) 来判别用户是否有权使用网络系统提供的网络服务, 并根据认证结果向交换机发出打开或保持端口关闭的状态。
2.2 流量控制
安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内, 避免交换机的带宽被无限制滥用。安全交换机的流量控制功能能够实现对异常流量的控制, 避免网络堵塞。
2.3 防DDo S
企业网一旦遭到大规模分布式拒绝服务攻击, 会影响大量用户的正常网络使用, 严重的甚至造成网络瘫痪, 成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDo S攻击, 它可以在不影响正常业务的情况下, 智能地检测和阻止恶意流量, 从而防止网络受到DDo S攻击的威胁。
2.4 虚拟局域网VLAN
虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域, 它可以把网络分成一个一个独立的区域, 可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机, 与它们的物理位置无关, 设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成, 如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问, 而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
2.5 基于访问控制列表的防火墙功能
安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能, 增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中, 访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略, 针对个别用户或特定的数据流进行允许或者拒绝的控制, 也可以用来加强网络的安全屏蔽, 让黑客找不到网络中的特定主机进行探测, 从而无法发动攻击。
2.6 入侵检测IDS
安全交换机的IDS功能可以根据上报信息和数据流内容进行检测, 在发现网络安全事件的时候, 进行有针对性的操作, 并将这些对安全事件反应的动作发送到交换机上, 由交换机来实现精确的端口断开操作。实现这种联动, 需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能
2.7 设备冗余也重要
物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障, 而发生故障时能否迅速切换到一个好设备上, 是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下, 立刻赋予后备的模块、安全保障网络的运行。
3 安全交换机的布署
安全交换机的出现, 使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心, 如同思科Catalyst6500这个模块化的核心交换机那样, 把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略, 做到集中控制, 而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力, 安全性能是一项颇费处理能力的工作, 核心交换机做起这个事情来能做到物尽其能。
把安全交换机放在网络的接入层或者汇聚层, 是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘, 在各个边缘就开始实施安全交换机的性能, 把入侵和攻击以及可疑流量堵在边缘之外, 确保全网的安全。这样就需要在边缘配备安全交换机, 很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样, 在核心周围建立起一道坚固的安全防线。
安全交换机有时候还不能孤军奋战, 如PP-Po E认证功能就需要Radius服务器的支持, 另外其他的一些交换机能够和入侵检测设备做联动的, 就需要其他网络设备或者服务器的支持。
4 安全交换机的升级
目前市场上出了很多新的安全交换机, 它们是一出厂就天生具备了一些安全的功能。那么一些老交换机如何能够得到安全上的保障呢。一般来说, 对于模块化的交换机, 这个问题很好解决。普遍的解决方式是在老的模块化交换机上插入新的安全模块, 如思科Catalyst6500就带有防火墙模块、入侵检测IDS模块等等安全模块;神州数码的6610交换机配备了PPPo E的认证模块, 直接插入老交换机就能让这些“老革命”解决新问题。
如果以前购置的交换机是固定式的交换机, 一些有能力的型号就需要通过升级固件firmware的形式来植入新的安全功能。
5 安全交换机的前景
随着用户对网络环境的需求越来越高, 对具备安全功能的交换机的需求也越来越大。很多用户认为, 花一定的投资在交换机的安全上, 对整个网络健壮性和安全性的提高是值得的。特别是一些行业用户, 他们对网络的需求绝非连通即可。如银行、证券以及大型企业, 网络病毒爆发一次或者入侵带来的损失, 足以超过在安全交换机上的额外投资。安全交换机已经成为交换机市场上的一个新亮点。
摘要:交换机在企业网中占有重要的地位, 通常是整个网络的核心所在, 简要介绍了如何架设安全的交换机系统。
宿舍网络交换机安全配置研究 篇10
随着互联网上大量的傻瓜化的黑客攻击工具的泛滥,网络面临着各攻击行为的挑战。学生的好奇心导致对宿舍网络提出了新的要求。而网络各层次都会受到各种各样的威胁,网络中的各个设备必工作于协议栈的某个层次。应用层的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生,包括WEB服务、电子邮件系统、FTP等,此外还包括病毒对系统的威胁;传输层安全关注的是面向连接和非面向连接的攻击;网络层安全关注的是IP地址扫描/欺骗/盗用;数据链路层安全关注的是MAC地址扫描/欺骗/攻击、ARP欺骗/攻击、STP攻击、DHCP攻击;物理层安全关注的是线路的安全、物理设备的安全、机房的安全等。
2 宿舍网络设计
宿舍网络系统采用了三层架构:宿舍网核心层,宿舍网汇聚层和接入层。其中宿舍网汇聚层又包含宿舍区域汇聚和宿舍楼栋汇聚。网络拓扑如图1。
为了能够更好地实现网络安全方面的控制,防范内网的病毒泛滥、病毒攻击和黑客攻击,造成网络的堵塞和瘫痪,及重要部门数据被破坏和窃听,宿舍设备采用了内嵌丰富安全机制的交换机,以防护各种攻击和病毒的泛滥,同时具有身份确认、防止IP冲突、帐号盗用、控制上网的时间、限制一些应用程序使用、灵活计费等功能。
宿舍网核心层到宿舍区域汇聚采用的是静态路由的设计;宿舍区域汇聚到宿舍楼栋汇聚同样采用静态路由的设计;宿舍楼栋汇聚到接入层采用了Trunk方式连接。各级分工明确,逻辑性强,安全设计灵活简便。
3 宿舍网络安全接入技术
传统基于CA的认证方式可以解决电子身份的问题,而人员的身份证等可以解决现实身份的问题。但是,由于缺乏有效的现实身份到电子身份映射问题,也就是无法唯一确认网络使用者的身份,内部安全问题一直是网络安全的最大隐患。
宿舍网络采用的是基于802.1X协议的认证计费系统SAM,可以根据用户名、用户密码、IP、MAC、接入交换机IP、接入交换机端口等信息的灵活绑定来确认接入用户身份的唯一性。真正做到接入的安全。
虚拟局域网(VLAN)技术是为了解决桥接的局域网中存在的广播风暴,以及网络系统的可扩展性、灵活性和易管理性方面的问题,第二层交换机基本上都支持VLAN划分。在局域网设计中,我们可以根据不同楼层划分VLAN。VLAN技术的采用为宿舍网络系统带来了以下的优点:
1)控制广播
VLAN之间是相互隔离的,所有的广播和多点广播都被限制在一个VLAN的范围内,即一个VLAN产生的广播信息不会被传播到其它的VLAN中,有效地防止了局域网上广播风暴的产生,提供了带宽的利用率。
2)提高安全性
由于VLAN之间是相互隔离的,因此可将高安全性要求的主机服务器可划分到一个VLAN中,而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成,而三层交换机上具有访问控制(Access-List)以及防火墙等安全控制功能,因此VLAN之间的访问可以通过三层交换机进行控制。
3)提高性能
通过VLAN的划分,可将需访问同一服务器/服务器组的用户放到同一个VLAN中,这样该VLAN内部的服务器只由本VLAN内的成员访问,其它VLAN的用户不会影响服务器的性能。
4)便于管理
由于VLAN的划分是逻辑上的,因此用户不再受到物理位置的限制,任意位置的用户可以属于任意一个VLAN,VLAN内的成员可以任意地增加,修改和删除,使得网络管理更加简便易行。
4 交换机安全配置设计
交换机是宿舍网络中的主要设备,特别是核心、汇聚交换机承主要负责数据的交换,在突发异常数据或遭受攻击时,很容易使设备负载过重或出现宕机现象。为了保障网良好的运行,减轻设备的负载,各个厂商在设备上都开发了一些安全防范技术,这些配置和安全技术在我校宿舍网络中均有效实施。
4.1 防止MAC攻击的实现和配置
交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了,利用MAC地址洪泛攻击来截获客户信息。MAC攻击原理如图2。
利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC,或802.1x端口下端口自动动态绑定MAC/IP,来限定交换机某个端口上可以学习的源MAC数量或源MAC地址,当该端口学习的MAC数量超过限定数量或者和绑定的MAC地址不一样时,交换机将产生违例动作。
配置案例:将MAC地址与端口进行绑定:
4.2 防止IP扫描攻击的实现和配置
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用网络带宽,导致正常的网络通讯无法进行。锐捷三层交换机提供了防扫描的功能,用以防止黑客扫描和类似“冲击波病毒”的攻击,并能减少三层交换机的CPU负担。
配置案例:在三层交换机接口下,启用防扫描功能,隔离时间1200秒,对某个不存在的IP不断的发IP报文进行攻击的阀值设置为30,对一批IP网段进行扫描攻击的阀值为10。
4.3 防止STP攻击的实现和配置
STP攻击是发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。
配置案例:在接入层交换机直连终端的端口上,在ACCESS PORT上起用PORTFAST功能,同时起用BPDU GUARD、BPDU FILTER功能,可以禁止网络中直接接用户的端口收到BPDU报文。从而防范用户发送非法BPDU报文。
Switch(config-if-range)#spanning-tree portfast//端口直接forwarding,这样可免去端口等待forwarding的过程(如果不配置Por Fast的端口,就要等待30秒forwarding)
4.4 唯一合法性探测的实现和配置
根据一个IP地址,检测是否有多个用户(以MAC地址来区别,多个用户即指多个MAC址)在使用它,如果有多个用户在使用同一个IP,那么将通过TRAP方式警告用户,并以log日志形式在带外及终端上显示。
配置案例:通过命令no detect user-conflict,来关闭唯一合法性探测。
以下设置步骤探测ip范围段为10.1.1.1-10.1.1.255,并设置探测的间隔时间为2分钟:
4.5 防止广播风暴的实现和配置
端口接收到过量的广播、未知名多播或未知名单播包时,一个数据包的风暴就产生,这会导致网络变慢和报文传输超时几率大大增加。
配置案例:设置步骤打开端口广播风暴控制功能:
5 总结
交换机是宿舍网络中的主要网络设备,做好交换机的安全配置是构建安全稳定的宿舍网络的必要条件。结合本人在苏州市职业大学宿舍网管中心的实际工作情况,从网络的规划设计,自上而下的对宿舍网络交换机设备实施安全技术的配置,能及时记录、告警告知网络管理员,从而保障宿舍网络以及整个校园网络的稳定、安全、可靠的运行。本文主要是针对目前比较流行的病毒、黑客攻击等做相应的安全配置,未涉及网络具体应用的QoS服务保障,在今后的研究中将有所体现。
参考文献
[1]吕伟春.校园网络安全的攻防技术研究[J].苏州市职业大学学报,2007,18(4):62-64.
[2]吕伟春,胡洪新.构建安全稳定的高校宿舍网络[J].苏州市职业大学学报,2009,20(3):50-53.
[3]陈京海.浅谈华为核心交换机的安全配置[J].池州学院学报,2008,22(3):57-60.
安全交换 篇11
关键词:氟化铵交换液;差量法;凯氏滴定;土壤阳离子交换量(CEC);大批量样品检测;高效新方法
中图分类号: S151.9文献标志码: A文章编号:1002-1302(2014)10-0318-02
收稿日期:2013-12-22
基金项目:公益性行业(国土资源)科研专项(编号:201311096-02);陕西省地质矿产实验研究所总工基金(编号:2013-01)。
作者简介:王龙山 (1963—),男,陕西大荔人,高级工程师,主要从事化学分析检测方面的研究。Tel:(029)87851540。
通信作者:韩张雄,博士,工程师,主要从事土壤化学与植物逆境培育风险评价方面的研究。E-mail:han10260@163.com。土壤中阳离子交换量(CEC)是评价土壤肥力、土壤缓冲性能的一项重要指标[1],是改良土壤和合理施肥的重要依据[2]。在地球化学评价过程中,多目标评价也是必做项目。土壤中阳离子交换量的测定有多种方法,一般采用乙酸铵多次交换-蒸馏滴定[3]、EDTA-乙酸铵交换-蒸馏中和滴定[4-5]等方法,以上方法在测试过程中准确度好,所以在分析少量样品的时,一般会被广泛使用,但由于其在离子交换的过程中引入了较多的铵离子,铵离子被土壤胶体吸附后不易被无水乙醇洗去,所以需要多次清洗,这样增加了试验流程,不宜用于大量生态地球化学样品的分析。随着先进仪器的使用,有人利用氯化钡交换-ICP-OES法测定土壤中阳离子交换量[6],虽然可以提高检测速率,但其较高的检出限使得检测结果会出现偏差。本研究利用氟化铵(NH4F)作为交换剂,可使Ca2+、Mg2+等离子生成沉淀,而较易置换的K+、Na+等也可被NH3+离子置换,进入土壤溶液。因此,通过一定的置换时间,只需1次交换作用就能将土壤中绝大部分阳离子完全交换,而不需多次交换洗涤,置换剩余的NH3+用稀盐酸滴定,根据铵离子的减少量求出阳离子交换量的值,有效地提高了检测速率,也增加了准确度。
1材料与方法
1.1试验仪器及设备
感量为0.000 1 g的分析天平,150 mL塑料瓶,定量滤纸,凯式蒸馏装置,往复振荡器。
1.2试验试剂及标准配制
2.2方法的准确度
对5个有效态国家一级标准物质按样品分析的方法进行方法准确度结果试验。从表2可以看出,本研究各值的相对误差RE均小于7%,本方法准确度满足DD2005—03《生态地球化学评价样品分析技术要求(试行) 》[7]对土壤中阳离子交换总量的测定要求。
从表2结果可以看出,本试验方法测定结果与用乙酸铵多次交换-蒸馏滴定法(标准物质定值时所用方法)测定结果基本一致,并且只要操作仔细认真,浸提液浓度选择合适,分析结果可以满足大部分酸性、中性及碱性土壤样品中阳离子交换总量的质量要求。
3讨论
本法试验尝试采用一次交换法测定土壤中的阳离子交换量,方法可操作性强,对5个有效态国家一级标准物质进行试验,其结果检测速度快,精密度、准确度高,重现性好,适用于大批量地球化学样品分析中的土壤阳离子交换量的测定。
参考文献:
[1]张琪,方海兰,黄懿珍,等. 土壤阳离子交换量在上海城市土壤质量评价中的应用[J]. 土壤,2005,37(6):679-682.
[2]张彦雄,李丹,张佐玉,等. 两种土壤阳离子交换量测定方法的比较[J]. 贵州林业科技,2010,38(2):45-49.
[3]LY/T 1243—1999森林土壤阳离子交换量的测定[S]. 北京:国家林业局,1999.
[4]杜森,高祥照. 土壤分析技术规范[M]. 北京:中国农业出版社,2006.
[5]李寻意. 土壤阳离子交换量测定方法的比较研究[J]. 分析测试通报,1988,4(4):51-52.
[6]陈芝桂,唐兴敏,陈萍. ICP-OES法测定土壤中的阳离子交换总量(CEC)[J]. 资源环境与工程,2012,26(1):84-86.
安全交换 篇12
1保护网络信息交换安全关键技术
1.1信息传输方向控制技术
网络信息传输方向控制技术是采用双通道通信机制,将可信网络信息与非可信网络信息进行数据分流,通过不同数据通道进行信息传输,以保证可信网络信息的可控性。网络信息通道分离控制,可在信息安全需要时进行数据单项传输,以此可避免网络信息交换过程中出现信息泄露问题。
1.2访问控制技术
在计算机操作系统中,已经设定了较为完善的网络访问控制策略,但是任何一套操作系统也无法实现无懈可击。因此,在进行网络访问控制时,需要通过网络源地址、目的地址、网络端口及网络协议等进行网络信息数据传输过滤,将不符合组织安全策略的信息进行过滤,禁止其访问计算机内部网络。
1.3协议分析技术
网络信息可通过HTTP、FTP、NFS、SMTP、DNS、POP3、SAM⁃BA等多种应用层协议进行交换,协议分析技术是对常见协议命令及参数进行分析和过滤,采用数据包预处理——安全决策——RFC校验——协议分析——数据提取——格式化等处理模块进行信息分析,保证网络信息交换内容的安全性。
1.4身份认证技术
网络身份认证技术包括本地用户认证、口令认证、数字证书、RADIUS远程访问认证和LDAP认证等。不同的认证方式虽然认证的方式不同,但认证目的一致,即保证网络中用户的合法性。本地认证是对本地网络用户的用户名、口令等进行认证,其支持HTTP/HTTPS方式实现认证信息获取。数字证书认证是通过网闸导入根证书,再检测用户证书格式、日期、签发信息等方式确认网络访问者的合法性。RADIUS远程访问认证和LDAP认证则是通过第三方安全认证服务器发送认证指令确定访问者的真实性,譬如手机短信验证等。
1.5地址绑定技术
地址绑定技术是采用IP与MAC地址绑定,可对指定接口所连接在网络中主机IP和MAC地址进行绑定,这种方式能够防止IP和内部网络信息资源分配混乱问题,对网络IP资源进行管理可有效对IP使用者进行管理,并对非法用户进行有效监管。
1.6内容检测技术
内容检测技术是对网络信息交换的内容进行安全过滤和访问控制,通过内容检测技术尅防止外部恶意代码和病毒入侵。网络信息交换内容检测可针对HTTP、FTP、电子邮件等信息进行检测,能够对内容中的关键字、URL、Cookie文件类型等进行有效管理,并对内容中存在的病毒进行查杀。
2网络信息交换安全技术综合运用方案
各网络信息交换保护措施在某一方向上具有较好的信息交互安全保护能力,但是具有一定的局限性。因此将各种网络信息交换安全技术综合运用建立较为完善的保护网络信息交换安全方案对于实现高速、安全的数据交互具有非常好的实用性。
网络信息交换安全技术综合运用可划分为外网防护、内网防护和隔离交换。内外网防护可利用信息传输方向控制技术、访问控制技术、协议分析技术等对可信网络信息和不可信网络信息进行数据剥离。隔离交换通过不同的通信通道进行信息交换,采用身份认证技术、地址绑定技术、内容检测技术等完成网络信息安全交换。其中内外网络信息交换技术主要是对网络访问进行管理,不存在基于网络协议的数据转发,而隔离交换技术则是为内外网络信息交换建立信息交换通道,并完成交换信息内容的检测。网络信息交换安全技术综合运用方案如图1所示:
网络交换信息在进行通信时,通过网闸传递经过多重安全检查模块进行检测,首先在外网防护过程中通过验证TCP/IP交换信息的合法性,进行用户过滤;内网通过交换信息的内容检查、数据提取、协议检查、访问控制、会话终结等检查交换信息的安全性,当数据包通过检查后,进行格式化数据块,最后将合法的数据包的传输信息存放在缓冲区等待被隔离交换。将保护网络信息交换技术综合应用可在任意时刻对可信网与非可信网交换信息进行安全隔离,最终完成网络信息的安全交换。
3保护网络信息交换安全技术方案应用
3.1数据库信息交换安全应用
将保护网络信息交换安全技术综合应用在数据库与外部网络之间的信息交换中,可根据安全策略进行数据库内容同步,在此过程中,外网与内网防护能够防止TCP/IP数据包直接穿越网络达到数据库服务器,在信息存入数据库前,进行信息的隔离交换,利用内容检测技术对即将存入的数据进行检测,通过检测的数据包方可存入数据库。
3.2电子邮件收发信息交换安全应用
通过网络信息交换安全技术综合应用可将邮件内容、附件类型等进行安全检测,过滤垃圾邮件和带病毒的邮件。其中,内外网防护可检测出邮件的来源和内容中是否存在潜在危险,如果没有发现危险则进行隔离交换,从而使用户能够安全的收发邮件,保证邮件使用的安全。
3.3文件信息交换安全应用
在进行文件信息交换时,首先通过防火墙技术对文件类型进行过滤,其次对文件来源的IP地址进行检查,检查网络协议中是否存在漏洞。对于机密文件指定文件交换方向,文件类型,并对文件的内容及是否存在病毒进行检查,在文件传输时,可附带数字签名,以保证对文件来源的身份进行认证。
4结束语
网络信息安全交换是当下网络应用中非常重要的内容,目前保护网络信息交换的技术种类非常的多,但是每一项技术都具有一定的针对性,单独使用某一项技术都无法达到对网络信息安全交换的有效保护,因此,将各种技术结合起来,利用各项技术的优点分阶段,分层次进行安全防护,由此才能提高网络信息安全交换效果。
摘要:随着网络应用越来越频繁,网络数据量越来越大,网络信息交换的安全性颇受社会关注。目前,在网络应用过程中,来自网络攻击、病毒入侵、非授权访问和信息泄密等问题层出不穷,尽管在互联网应用的基础上开发了多种不同方式的数据保护方式和网络使用安全措施,但是仍然无法完全解决网络间信息的安全交换问题,其主要原因是各网络信息交换保护措施都具有一定的局限性。因此,该文针对网络信息交换安全的关键技术进行分析,希望能够将各技术相互结合,打造出一套基于不同安全等级的网络及系统之间的网络信息交互安全方案,提高保护网络信息交互安全能力。
关键词:信息交换,网络安全,协议分析,访问控制
参考文献
[1]邓亮,陈抱雪,隋国荣等.信息传输对网络采样控制系统输入/输出的影响[J].控制理论与应用,2011(6).
[2]房文治.网络安全访问控制技术[J].电子技术与软件工程,2014(15).
[3]曲长城.试析网络协议分析软件在网络维护中的运用[J].信息安全与技术,2012(8).
[4]唐建强,刘颖,万明等.一体化标识网络中的用户身份认证协议[J].北京交通大学学报,2012(2).
[5]程军锋.MAC地址和IP地址在网络中的应用[J].办公自动化,2012(6).