平台安全

平台安全（共12篇）

平台安全 篇1

摘要：随着智能移动终端以及移动互联网的飞速发展, 电网企业营销、办公、生产等传统业务范围也在不断向移动终端进行扩展, 如何保证电力企业移动终端远程接入电力信息内网时的信息安全成为电力企业移动信息化过程中亟待解决的问题。本文首先分析企业移动应用的现状, 针对电力企业移动安全接入的业务需求, 以及电力信息安全的特殊要求, 讨论并分析了南方电网移动安全接入平台的安全实现机制。系统从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题;对各种移动终端采取了有针对性的安全策略以提升移动终端安全性, 采用网络隔离和高强度的数据加密/解密接口保证内网的应用的安全。

关键词：移动终端,安全接入,APN,SSL,VPN

引言

目前, 随着移动互联网的发展, 在南方电网公司已经存在一批移动应用, 如移动办公、ITSM、基建作业、营销作业和电力抢修等。但由于各项业务终端和通信网络的不安全性, 为企业内网安全带来了巨大的风险, 主要体现在以下三个方面:

(1) 移动终端自身的安全性问题。由于移动终端接入电力信息内网后可能处于“一机两网”的状态, 即同时连接Internet和电力信息内网, 同时由于移动终端缺乏保护终端数据文件的有效手段, 因此存在电力信息内网敏感信息泄露等安全隐患。

(2) 通信过程中的安全性问题。在移动终端接入电力信息内网的过程中, 以及在接入后数据的传输过程中, 数据传输链路都面临着被攻击干扰、破坏、截获数据、篡改数据等威胁。

(3) 营销终端的访问控制问题。移动终端一经成功接入电力信息内网后就被看作是电力信息内部可信的用户来使用电力信息内网的资源, 一旦终端被挟持, 将会给整个电力信息内网带来不可控制的风险威胁。

因此必须加强企业移动应用的安全保证措施, 才能使个人和企业的数据安全得到保证。

概述

从实践的角度来看, 终端接入企业内网的问题通常涉及三个部分:传输通道的安全、内网应用的安全和终端设备的安全。这三个方面任何一方面出现问题, 都将导致远程接入过程的不安全。而传统的基于APN专网的接入方案都只关注于传输通道的安全, 虽然在某个方面上保证了远程接入的数据传输安全, 但缺乏对整个接入过程的完整保护, 无法保证移动终端在接入内网应用时的安全。

移动安全接入平台从技术的角度出发, 通过对企业应用环境的资产、威胁和脆弱性进行分析, 将整个安全架构在网络传输安全、终端安全、应用安全之上, 以多种技术手段和多重保障机制, 有效地保障企业的网络安全和数据安全。

一、企业移动应用发展现状

4G加速进入生活, 智能手机和平板已经成为我们生活中不可或缺的产品。甚至在工作中, 移动设备也是我们重要的工具和伙伴, 越来越多的人们在工作中使用移动设备。

针对企业员工进行的一项调查数据显示, 62%的员工日常工作中使用智能手机, 56%的员工使用平板电脑。

使用移动设备进行办公已经成为一种全新的工作方式。这种工作方式形式灵活, 不受时间地点限制, 办公效率得到提升, 同时节省了企业的办公成本。

与此同时, 移动设备易携带、易丢失、个人消费应用和企业应用混用等特点, 导致IT支持部门非常担心由此带来的安全风险。这些风险包括:

(1) 数据安全。智能终端易于携带、容易丢失, 会导致敏感商业信息的泄漏, 对数据安全构成极大威胁, 给企业带来法规遵从的风险。此外, 移动终端易被他人非授权使用, 产生拷贝、下载或打印企业内部敏感资料的风险。

(2) 网络安全。由于自携带设备的特殊性, 智能终端经常在不安全网络和企业网络之间来回切换, 因此更容易遭受木马或病毒的侵害, 从而将病毒或木马自动传播至企业网络, 对内部网络安全构成极大威胁。

(3) 应用安全。相当一部分移动设备来自于员工, 而非企业。员工可以任意下载和安装消费类应用, 这极大地降低系统的可靠性, 引入了安全风险, 造成企业数据丢失或设备功能失效。

南方电网为解决移动设备在企业办公中存在的安全问题, 早在2010年就实施了自己的移动安全接入平台, 并建立了《南方电网远程移动安全接入平台技术规范》, 对企业如何进行移动信息化以及移动安全方面做出了积极探索。

二、移动安全接入平台中的安全机制

本文将从网络传输安全、终端安全、应用安全三个方面介绍移动安全接入平台的安全机制。

2.1网络传输安全

网络传输安全通过以下技术手段来保证。

2.1.1 APN技术

APN (Anywhere Private Network) 是解决以动态IP接入Internet的局域网之间的互联, 并以较低成本接入, 以较低通信成本提供较高性能以及可靠的网络专网的计算机网络技术。

在移动安全接入平台中, 移动终端被强制要求通过企业APN来访问系统。终端用户需要经过准入申请和准入审核才可接入网络, 移动终端对企业内网的访问是完全可控的。

2.1.2设备绑定

UDID, 是用于区分设备的GUID唯一编码。由于操作系统厂商的限制, 获取设备物理编码 (IMEI) 变得不可能。因此移动安全接入平台根据一定的编码规则及设备的物理特性为每一台设备生成一个唯一的UDID码, 用于识别移动终端。同时将该编码和特定用户进行绑定。

移动安全平台支持对入网设备的MDN (手机号) 和UDID进行绑定。针对首次入网的设备, 系统将要求用户对该设备进行绑定。绑定是基于向该用户发送认证码短信来进行的, 而用户接收短信的手机号信息来自于平台登录数据库, 而短信的发送完全是由企业管理人员手动操作的。只有经过设备绑定的用户, 才会被系统准入。

一旦设备绑定完成, 该用户的注册账户和该设备的UUID将绑定到一起, 任一信息不符用户都将无法登入平台。从而最大限度地保证设备不被挟持和滥用, 降低资产脆弱性。

此外, 平台可对终端设备进行管理, 如用户的移动终端不慎遗失, 管理人员可通过管理后台的禁止该设备的登录。

2.1.3身份认证

此外, 用户在登录内网应用之前, 需要进行身份认证。平台认证的措施包括用户密码和动态口令。动态口令每次都会随机生成, 客户端不会进行缓存, 并以短信的方式发送到设备所绑定的手机上。

动态口令只在指定时间内有效, 一旦失效只能再次请求新的动态口令。平台管理人员可以指定动态口令的有效时间, 并随时查询动态口令的生成情况及有效状态。

2.1.4信息传输加密

对于在网络中传输的数据, 移动安全接入平台也提供了相应的安全加密措施, 包括客户端与平台之间的各种消息报文、交易信息和表单数据。对于这些高敏感数据, 移动接入平台提供了一种“非对称加密+对称加密”的复合网络传输加密机制。

顾名思义, 对称加密算法, 即加密与解密用的是同一把秘钥;而非对称加密算法, 加密与解密用的是不同的秘钥。

显然, 非对称加密比对称加密有着更高的安全性。因为对于对称加密, 由于加密与解密的秘钥是同一把, 通信的一方必须将秘钥和密文都传递过去, 对方才能解密。而非对称加密则不然, 只需传递密文与用于解密的公钥, 对方即可解密, 用于加密的私钥由己方保留不必传递给对方。目前公认的观点认为:只要钥匙的长度足够长, 使用非对称加密的信息永远不可能被解破。

当然, 由于非对称加密对CPU计算性能的依赖很大, 在使用相同秘钥的情况下, 非对称加密的运算速度比对称密码也要慢许多。此外, 非对称加密长度能够加密的信息的长度往往受限于密钥长度。

因此, 鉴于二者各自的特点, 移动安全接入平台将二者取长补短, 结合起来使用, 极大地保障了移动安全接入平台在网络中的传输的数据安全性和完整性。

2.2终端安全

终端安全技术包括:终端安全检查、代码签名技术、MDM (移动设备管理) 。

2.2.1终端安全检查

终端安全检查是检查终端状态是否合乎安全要求、用户的行为是否合法。移动终端在访问内网资源前, 需要进行安全性检查, 不符合安全检查策略的终端将被禁止访问内网资源。安全检查模块对终端的操作系统版本、系统是否越狱、锁屏密码是否合规、特殊位置的磁盘文件等进行严格检查。

根据检查策略, 系统在处理移动终端接入时会先检查终端是否具备上述一项或者几项特征参数, 依据检查结果判断是否允许该终端与安全接入网关建立连接, 彻底杜绝不健康的移动终端接入内网, 确保移动终端的安全, 从源头杜绝威胁的发生。

2.2.2代码签名技术

代码签名证书为软件开发商提供了一个理想的解决方案, 使得软件开发商能对其软件代码进行数字签名。通过对代码的数字签名来标识软件来源以及软件开发者的真实身份, 保证代码在签名之后不被恶意篡改。使用户在下载已经签名的代码时, 能够有效的验证该代码的可信度。

移动安全接入平台根据不同移动终端所用的平台 (i OS、Android、Windows) 及平台所对应的app商店, 采用不同的技术对app进行代码签名, 从而可让用户确信它来自已知来源, 且自最后一次签名之后未被修改。

2.2.3 MDM移动设备管理

移动安全平台通过MDM进行移动终端的管理。包括:

1) 移动设备访问控制

移动设备本身的访问控制不高, 通常没有安全保护 (如使用简单的滑动锁) 或仅有弱保护 (如使用9点屏幕锁) 。同时, 移动设备很容遗失或被盗。MDM通过锁屏、清除密码、下发策略强制加强密码强度等远程指令来操作设备的访问控制。

2) 数据自毁

通过MDM的“远程擦除”操作, 可以强制销毁移动设备上的所有用户数据。防止用户隐私或企业数据泄露。

3) 应用程序管理

对于“托管”设备, MDM可以检查设备上的应用安装情况, 存储空间大小, 操作系统版本以及是否越狱等状态, 一旦发现设备上安装可疑程序, 即可通过安装在设备上的MDM代理服务终止企业应用程序运行。

2.3应用安全

应用安全包括:应用数据加密、权限控制、企业应用商店。

2.3.1应用数据加密

数据的保密性要求我们对于企业中敏感数据进行必要的加密和访问控制。

移动安全接入对用户敏感数据, 例如用户密码、证书及密钥进行加密处理。此外, 对于缓存在客户端的企业机密数据, 包括移动办公系统中的各种内部文档、组织结构和企业通讯录, 也进行了加密处理。

2.3.2权限控制

对于移动安全接入平台系统来讲, 访问控制主要是基于角色进行访问的控制。基于角色访问控制也是在信息系统中使用比较广泛的访问控制机制。用户在通过了平台的身份认证后, 只能看到相应权限下才能查看数据, 以及使用相应权限才可操作的功能。

2.3.3企业应用商店

南方电网移动安全平台内置企业应用商店, 所有移动应用终端app均在企业应用商店内进行发布, 由企业代替操作系统厂商对应用进行管理。

同时, 对于企业应用商店中的应用, 可通过MDM进行企业应用的无线部署 (OTA) 或直接推送至终端桌面。通过企业应用商店这一有力工具, 无疑将极大地简化应用的安装和升级步骤, 改善用户体验, 并保证了移动应用来源的可靠性和安全性。

三、结论

企业办公移动化必将成为下一轮企业发展的新趋势。于此同时, 企业必将在IT安全和管理方面遭遇新的挑战。南方电网移动安全接入系统是南网信息化建设中的重要组成部分。

南网移动安全平台在分析总结企业移动应用接入现状的基础上, 以保证移动终端接入的安全性为目标, 深入研究了安全接入的关键技术, 从网络传输安全、终端安全、应用安全三个方面入手, 研究并解决移动终端接入过程的信息安全问题, 有效地保障了企业的网络安全和数据安全, 极大地推动南网移动信息化和“六加一”工程的建设, 符合南网“十二五”信息化规划的远景目标, 加快南方电网网内信息资源的整合及信息的规范化、一体化建设。

参考文献

[1钱煜明.BYOD企业移动设备管理技术[J].中兴通讯技术, 2013, 9 (6) .

[2]许丽萍.BYO来袭把握移动安全四大趋势[J].上海信息化, 2013, (6) .

[3]孙强强.BYOD在电力企业中的研究与应用[J].现代计算机, 2013, (4) .

[4]杨宏焱.企业级i OS应用开发实战[M].北京:机械工业出版社, 2013.

[5]杨宏焱.i Phone/i Pad企业移动应用开发秘籍[M].北京:海洋版社, 2013.

平台安全 篇2

一、下一代防火墙准备好了吗?

1. 中高端用户需求的变化

出于业务系统本身的重要性考虑，中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。一方面，用户不希望安全产品成为其中的性能瓶颈，而企业本身的大流量数据客观上对于性能提出了更高的要求，出现万兆甚至数十万兆的服务需求。另一方面，业务系统或者数据中心成为防护的重点，典型如企业的办公自动化系统，生产订单管理系统，供应链和财务体系等部门的业务服务器等，其系统遭受到攻击导致的系统瘫痪将对企业生产运营有非常严重的危害。

对于以上的安全防护，除了基础的安全域隔离之外，针对业务系统的安全漏洞产生的攻击防护变得尤其重要，此时FW和IPS入侵防御往往成为企业安全防护的主要技术手段。这也是下一代防火墙(NGFW)的概念中FW和IPS的功能往往被重点提及的原因。应该说这种FW和IPS特性的集成，在一定程度上可以简化企业的安全部署和实现一体化的管理，这自然是符合用户的期望。

2. “FW+IPS”的现实难题

业界厂商及第三方的咨询机构去研究或是试图去定义新的安全产品形态，并形成了一些对于下一代防火墙产品的初步定义，其中就包括在防火墙产品中集成IPS特性的这个技术点。这一定义积极的一方面是它在理论规划上满足了用户的期望，但是在实现方式和效果上，仍然存在明显的技术缺陷需要解决。

专业性不足，漏报率高

高性能、高可靠以及专业的功能是用户对安全最关键的技术要求，尤其是针对诸如IPS这种需要进行深度报文过滤的系统，其本身的技术实现方式并没有成型的技术标准，不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比，大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式，在专业性上存在不足。

众所周知，IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备，在层次化引擎处理方面，包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施，在有效保证检测准确率的同时，对处理器资源也有非常严重的消耗，导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性，出于对性能的考虑，无论是在威胁检测的方式或是有效的特征库数目方面，和专业的IPS设备相比差距很大。部分厂商在实现过程中，为了获得相对较高的吞吐性能，对于大部分的流量，只是采取简单的基于固定字符串的模式匹配，甚至只是开启少部分的攻击特征库，以便大流量快速的通过，由此可能产生威胁检测漏报。

综合性能不理想，实际部署不乐观

现阶段在防火墙中集成的IPS特性，由于本身的业务处理流程的差异，其防火墙和IPS等特性的性能之间相互存在很大的影响，导致设备的综合性能不理想。一般情况下，设备标称的往往是理想情况下单特性开启情况下的最佳性能，而在实际的部署环境中，当FW/IPS等功能全部开启后，因为处理流程的整合，其综合的性能指标会有明显的下降;尤其是对于IPS特性，其性能测试涉及到多个方面的因素影响，如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目，测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。

美国《网络世界》于和针对宣称支持NGFW的两个厂商的产品组织进行的两次测试显示：A厂商的防火墙集成IPS特性，在没有开启IPS特性时，其防火墙可以达到其宣称指标，但是在IPS特性后，即使按照该厂商的推荐开启和攻击流量相关的部分特征库，在没有发送任何攻击流量的情况下，设备的FW性能直线下降超过60%;发送超过10G以上的混杂攻击流量后，设备显示仅仅有不到1G的流量经过了IPS的检测处理并产生了一些攻击日志，其他的大部分流量直接被BYPASS，造成了测试攻击报文的漏报。对B厂商NGFW产品进行测试，将标称超过千兆IPS性能的产品部署在40M的实际Internet环境中，和另外一台同样环境下的独立IPS设备进行对比测试，结果显示该厂商的NGFW产品没有表现出可以匹敌专业IPS设备的攻击检测的适应性和准确率

基于上述的分析，在解决诸如IPS特性的性能和效率的矛盾等问题上，目前谈论的NGFW下一代防火墙仍然任重而道远。面对业务系统的安全防护需求，通过机架式防火墙辅助高端的IPS盒式产品，或者是模块化的FW和IPS的组合，在功能的专业性和性能的可扩展性上，相比较NGFW产品具备明显的优势，仍然会是高端用户首选方案。

二、网络与安全的融合

在早期的企业IT信息化的过程中，网络与安全缺乏统一的规划设计，在建设基础网络的同时并没有充分考虑到安全的建设，以至于在发现安全风险的同时只能进行补丁式的安全防护升级，而随着新一代互联网(NGIP)的发展，成熟的安全服务如FW或IPS等开始融合到云联网、基础承载网以及物联网，这种融合也是客户需求的直接体现：

高性能的网络安全基础架构的融合，为用户部署安全增值业务应用提供了条件

早期的安全产品，因为其本身百兆或者多千兆的性能，在大型数据中心的部署过程中，只能是将少部分的流量重定向到旁路部署的安全设备进行处理，安全并没有成为整个流量的基本属性。而现阶段，随着10G，20G甚至100G的安全硬件平台的出现，高性能的基础网络已经可以融合叠加同样高性能的安全业务，以至于在同一个基础架构的物理节点上，就可以对外提供数十G甚至上百G的网络转发和安全增强查服务，这种基础架构的融合让安全的云网络部署成为可能，

网络安全的融合，有助于建设绿色数据中心

在云计算环境下，大量、独立的安全设备对于数据中心的空间占用、系统布线工程以及电源系统有着更多的要求，而高性能的安全硬件模块和基础网络的融合，既可以有效规避上述几方面的要求，减少噪音降低能耗，又能在系统故障时通过简单的热插拔备份等方式保证系统的可持续性运行，符合当前建设绿色数据中心的需求。

企业对于简易化维护管理的需求，要求网络和安全进行管理层面的融合

管理员除了对数据中心的网络设备和安全设备进行例行的日常维护外，还要根据业务的变更及时调整与之相关联的网络设备和安全设备的配置，如变更网络设备的接入端口、VLAN或ACL配置、监控设备状态、调整安全策略、设定安全事件告警条件等。为了避免在不同管理系统之间来回切换造成的配置错误风险等，用户需要面向业务的、统一的网络安全管理平台来提升管理员的工作效率。

三、未来的安全管理产品如何适应云计算的要求?

在安全的发展过程中，安全管理一直有着非常重要的作用。一方面，它通过对多个设备的统一的策略配置和设备管理，在安全产品规模部署的情况下，实现简易化的部署方式，节省维护成本。另一方面，安全管理平台又是整个安全解决方案的窗口，通过对安全设备产生的各种安全日志的收集分析，生成清晰全面的多种TOP N的攻击报表，便于管理员及时了解整网的安全状况，增强了整网安全的可视性;

尽管现阶段的安全管理平台已经可以较好的满足上述的职责要求，但是应对未来的云计算环境，安全管理平台将会面临一些新的需求：

如何更好的整合安全事件和日志的差异性，适应多厂商、多类型设备混合组网的需求?

如何适应虚拟化环境下的安全策略管理和部署?

如何及时感知虚拟化环境下的业务迁移，实现安全策略的及时调整和动态迁移等等。

为了有效解决这些潜在的问题，未来的云安全管理平台将着重在以下几个方面实现升级：

1. 集成与开放

在企业的网络安全建设过程中，为了建设相对全面的防御体系，势必涉及到多种不同类型的安全设备的部署，典型如防火墙产品、IPS入侵防御产品或者是流量分析系统等。如果管理员利用其产品配套的管理软件如FW manager，IPS manager或者是Traffic manager进行日常的维护监控，势必造成管理效率的低下;同时，大型的网络安全环境下，因为安全建设的补丁式叠加和产品选择标准上的差异，在同一个网络安全环境下，很可能存在多个安全厂商的多类型产品同时存在：如为了可靠性考虑选择2个防火墙厂商的产品做异构安全防护、或者选择不同的厂商分别提供诸如IPS和流量防护等产品;此时，如何解决不同厂商配置方法上的差异，如何实现多类型安全设备的统一日志管理和事件关联分析，是需要考虑的关键需求。

为了满足用户的上述需求安全管理平台的增强要从以下两个方面进行增强：一方面需要增强自身的组网及服务提供能力，集成对本厂商多类型安全设备的统一配置管理和事件分析功能，并且可以通过定制化的手段，实现对其他主流厂商的安全日志的支持;另一方面，针对多厂商设备混合组网的实际情况，各设备厂商的安全管理软件，需要从配置管理和事件分析两个角度提供标准的API接口。通过这种API接口，厂商自身的安全管理平台以Agent代理方式，完成上层第三方安全管理平台对本地设备的配置下发及安全事件的格式转换，为企业的统一安全管理平台的建设创造条件。

如图1所示，交换机路由器等网络设备的安全日志、FW/IPS等安全设备的安全日志、以及类似关键服务器的安全日志，本身在各自的管理平台上可以得到展现。同时，厂商管理平台实时事件分析Agent模块，对这些安全日志进行预定的格式转换，重新发送到上层的统一安全事件管理平台，以实现整网安全事件的统一分析。

图1 统一的安全管理平台组网示意图

2. 虚拟化的资源管理

和传统的网络环境不同，虚拟化环境下的安全管理平台，其面向对象不再是单一的厂商物理设备。因为虚拟化实例的广泛使用，整个云中的安全设备已经虚化成了一个包含多个虚拟单元的资源池。此时的安全管理软件平台，无论是在设备配置管理还是安全日志分析等方面，都需要基于单个虚拟化设备资源来进行。同时，对于这些虚拟化单元，还需要更进一步，将传统的单一用户管理升级到多用户可以同时管理的模式中来，在完成初始化的用户虚拟化资源分配和绑定后，后续的任何操作，都应该可以基于不同租户的不同管理员进行;每个管理员都可以随时对本企业的安全资源进行策略配置调整，管理维护企业本身的安全事件分析报告。

3. 安全策略的自动迁移调整

虚拟化环境下的虚拟机自动迁移，是云计算环境的重要特征之一。为跟随这种虚拟机的迁移，业务系统本身的资源配置以及该虚拟机的接入端口属性都在积极响应并提供适配的手段。而要想实现安全策略的跟随迁移，要求安全管理平台提供重要的技术支撑，主要的技术要求将包括：

及时建立起网络中的每个虚拟机和安全策略组的对应关系，实现全局的虚拟机安全策略统一规划和管理;

及时感知虚拟机的迁移动作，并获取虚拟机迁移后的网络位置信息，以此来触发安全策略的迁移;

根据迁移后的虚拟机信息，探测计算出迁移后的虚拟机所对应的安全设备，为下一步的安全策略调整做准备;

基于上述信息自动调整安全策略，将该虚拟机对应的安全策略组重新下发到新的安全设备上，完成整个安全策略的迁移。在这个过程中，安全管理平台可以有效整合各方面资源，实现安全策略的动态迁移。

四、结束语

在新一代互联网的变革中，“云安全”的概念日益被用户所接受。安全产品自身的发展、安全与网络的融合以及虚拟化等对安全防护带来了新的促进和挑战。云安全不仅要解决常规的安全防护，更要对云带来的虚拟化能高效的适应，要能实现安全的智能管理

信息安全实验平台技术 篇3

关键词：信息安全； 平台技术； 网络平台； 实验平台

中图分类号：TP309;G642.4

文献标志码：A

Experiment platform technology for information security

JIANG Zhihua

(Info. Eng. College, Shanghai Maritime Univ., Shanghai 200135, China)

Abstract： The construction content and technology in the information security experiment platform are discussed. The corresponding relationship is described by comparison OSI reference model with security service and security mechanism. The service function and technical support about the experiment platform are analyzed, and the reference framework of information security experiment platform is presented, which can provide a safe experimental environment with rich content and stable functions.

Key words： information security; platform technology; network platform; experiment platform

0 引 言

信息安全越来越受到人们的关注：一方面，在科技迅速发展、经济高速增长的今天，国家需要一大批能综合应用现代科学理论和技术手段的信息安全工程技术人才；另一方面，当前我国各高校的信息安全教育水平远不能适应形势的需要.因此建设信息安全实验室，为社会经济发展培养高素质信息安全工程技术人员成为高等教育的迫切任务.

我国的高等院校在信息安全领域的教学实验开展较晚，信息安全实验条件处于较低水平.为了提高信息安全实验水平，对现有的信息安全实验机制、方式进行探索和研究.信息安全所培养的是面向工程的应用型人才，所以信息安全教学需要实验环境.建立信息安全实验平台，使工程类学生能在该平台进行教学内容的实验和实践，对提高学生动手能力、深化其对理论技术的认识具有重要意义.^[1]

1 实验平台

实验平台设计见图1，其横向可分为基础理论、子系统级和平台级层面；纵向又可分为功能演示和教学实验层面.功能演示和教学实验贯穿3个横向层面，即可以针对基础理论知识、子系统级和平台级层面设计不同复杂度的系统功能演示和教学实验.在实施过程中每个子系统可依照自身的特点，有针对性地选择一个或者多个层面进行教学实验的设计.^[2]

图 1 实验平台

第1层面：基础理论层面，主要是指与实验内容相关的基础理论、原型、实验原理以及测试原理等方面的内容.

基础型演示与实验：主要是针对基础理论及其相关内容设计的原理性演示与实验.

第2层面：子系统级层面，主要是指在第1层面基础理论指导之下，针对不同安全目的采用集成或研发方式设计的单机版或网络版的实验系统.

子系统级功能演示：子系统级层面上实验系统的完整功能演示.

子系统级实验：基于子系统功能设计的教学实验，目的是让学生掌握系统功能，并通过教学实验对这些功能进行验证.

第3层面：平台级层面，主要是指多个实验系统集成后形成的完整平台.平台级功能演示或者教学实验规模更大，涉及到两个或者多个系统之间的协作和联动.

平台级功能演示：在第2个层面基础上，利用各子系统自身特点，实现多个子系统功能的有机结合和联动.

平台级实验：基于平台上多个子系统设计的面向联动的综合性实验.通过这类实验，可以让实验参与者理解多个实验系统之间协作的机理以及它们之间的联动关系.

2 平台技术

(1) 考虑到信息安全是一个综合实验大平台，无论从硬件还是软件考虑，系统的体系结构最为关键，它将决定系统性能的高低以及是否具有可扩展性.因此，首先对信息系统安全体系结构及技术框架进行研究，为进一步确定平台系统的安全体系结构及其层次化结构打下基础.具体研究方法可以通过对OSI与TCP/IP模型的安全体系结构以及信息安全保障体系进行，给出信息系统安全体系结构及技术框架.

(2) 将系统的安全要求(包括机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖等几方面)在OSI或者TCP/IP模型的各个层次予以考虑，并且结合安全管理策略在网络安全方案中予以保障，以此为基础，确定信息安全实验平台的安全体系 结构及层次化方案.

(3) 以实验平台的安全体系结构为基础，结合实验项目目标，研究系统完整的解决方案.对于各支撑系统，研究方法把握以下原则：① 以平台带动相关的技术研究；② 借鉴国内外相关技术的最新研究成果，抓住核心技术，利用相关的知识进行研究；③ 以相关的技术研究成果为基础，将技术的研究成果以应用程序的形式加到相应的实验平台中，对应用的效果进行实验和验证.

(4) 综合利用计算机网络以及系统结构等知识，结合实验平台的各支撑系统的分布及层次特性，研究并给出平台的组网拓扑结构及其完整解决方案，为其网络运行环境建设奠定基础.

(5) 根据上一步确定的平台组网拓扑结构及其完整解决方案，着手搭建平台的网络运行环境.对于宽带IP局域网方案，拟将采用的组网方式是“以千兆以太网为骨干网，百兆到桌面”；对于远程实验系统方案，拟采用VPN技术构造远程实验平台.

(6) 拟将实验平台搭建成为既有利于培养学生实际动手能力的信息安全专业的学生学习、实验及实践平台，又是具有较高集成度和较好可扩展性的多层次、全方位的信息安全研究平台.此外，平台系统本身还具有信息安全保障能力.因此，建议软件设计应体现两种理念：一是学习、实验、实践及科研平台；二是一个完整的安全软件系统.此外，各支撑系统的软件实现时，首先要考虑与主平台软件系统的接口简单易行，同时还得考虑可扩展性.

在研究实验平台的体系结构时，首先将系统安全的各项要求考虑进去，构建一个能体现信息安全保障技术体系架构和理念的多功能信息安全综合实验平台，各子系统的集成并非简单堆砌，而是一种有机的集成，整体上能够支持面向工程实践的多种信息安全实验项目，使实验平台成为可观演示度的教学实验系统.^[3]

3 参考框架

信息安全实验平台框架是全面提供信息系统安全保护的技术保障结构.可以将各种安全技术机制和安全服务分别或者同时对应到OSI参考模型的一层或者多层上.多层安全作为一个整体，为通信实体、通信连接、通信进程提供身份验证、访问控制、审计和抗抵赖保护等，从而达到数据、信息内容、通信连接的机密性、完整性和可用性的安全目标.表1给出OSI参考模型与安全服务及安全机制对照表.

平台的保障和运行安全体系不能与OSI参考模 型完全进行映射，因为两者的出发点不同，前者重在安全，后者解决开放系统互连问题.平台技术体系框架可参考美国DISSP计划提出的三维安全体系设计^[4](见图2)，将协议层次、信息系统构成单元和安全服务(安全机制)作为三维坐标表示.按照表1可以找到各信息系统构成单元在相应协议层上可用的安全服务.图2给出安全技术的体系，其中X维代表安全服务(安全机制).考虑到该三维图不涉及定量上的数值表达式，在X维中，由于安全机制并不直接配置在协议层(Z维)上，也不直接作用在系统单元(Y维)上，而是必须通过提供安全服务发挥作用.因此，为了全面地概览信息系统安全体系中的相互关系，应将安全机制作为安全服务的底层支撑考虑.在安全机制中，将OSI安全体系中的8种机制与物理安全中的电磁辐射安全机制放在一起，可使安全服务中的数据保密性和可靠性、可用性功能赋予更为广泛的意义.同时，也为物理环境的安全提供重要的安全机制和服务；协议层以OSI 7层模型为参考，选取可适宜配置安全服务的5个层次；每个维中的安全管理是指基于标准(或协议)的各种技术管理.

图 2 安全技术体系

4 结 论

综上所述，信息安全实验平台应该从安全基础支撑、安全网络隔离、安全检测防护、安全访问控制、安全内容监控以及安全综合管理等6个方面的典型信息安全技术构建信息安全实验系统，为师生创造内容丰富、功能稳定、安全真实的研究和实验环境.

参考文献：

[1] 张其荣,钱建平，陈晓，等.搭建技能培训专业实践与科技创新的平台[J].实验室研究与探索，2006，25(3)： 366-369.

[2] 罗森林.信息系统安全与对抗技术[M].北京：北京理工大学出版社，2005.

[3] 蒋建春,杨凡，文伟平，等.计算机网络信息安全理论与实践教程[M].西安：西安电子科技大学出版社,2005.

[4] (美)KENNETH D R.协议分析[M].孙坦，张学峰，杨琳，等，译.北京:电子工业出版社,2004.

安全交易平台 篇4

青岛平度现代工艺制品厂

青岛爱迪医学研究所

长春市厚德福食品有限公司

宁波恒仁博众电子科技有限公司

倾心之恋丝巾专卖

商丘高科创新科技———金属照片

商丘市科技交流培训中心——仿真花

潍坊和兴生物工程有限公司

河北安平擦擦亮日用品厂

千锤堂全国加盟连锁总部

郑州天艺围栏模具有限公司

网上安全教育平台 篇5

冬季预防煤气中毒安全知识

冬季很容易发生煤气中毒。煤气是一种无形“杀手”，具有无色、无味的特点，其主要成分是一氧化碳气体。如果人体吸入大量的一氧化碳就会引起严重缺氧，从而造成煤气中毒。中毒轻者常常表现为头晕、眼花、头痛、胸闷憋气，心慌，四肢无力，恶心呕吐，甚至晕倒。中毒重者面色潮红，口唇呈现樱桃红色，呼吸急促，脉搏跳动加快，心跳不规则，甚至大小便失禁，昏迷不醒，继而呼吸、心跳停止，造成死亡。

正确的预防措施应是：

1、在冬季用煤炉取暖时，煤炉首先要装上烟筒，并检查煤炉和烟筒是否漏气，烟道有无堵塞，是否通畅，并根据当地风向确定排烟方向，以防灌倒风。

2、俗话说“宁可冷清清，不能烟熏熏”晚上睡觉，不要堵上炉火的风门，屋内要设通风口，注意室内空气的流通。

3、刚刚生着的煤炉，最容易产生一氧化碳，应及时打开窗户通风，并等炉火着旺后，再封火，切不可用湿煤封火。封火后对燃烧未尽的炉灰，应及时清理。

4、家庭用火炕取暖，要注意火炕的密封情况，做到不漏气，排烟顺畅。

5、提高认识，增强安全意识。从预防做起，树立安全第一的思想，要做到定期检查烟筒和烟囱是否漏气，是否堵塞。长时间停火后，再生火时一定要检查烟筒和烟囱。确保自身的安全。

常见的煤气中毒原因：

1、在密闭居室中使用煤炉取暖、做饭，由于通风不良，供氧不充分，可产生大量一氧化碳积蓄在室内。包括门窗紧闭，又无通风措施，未安装或不正确安装风斗，疏忽大意，思想麻痹，致使煤气大量溢出;气压低，煤气难以流通排出。

2、城市居民使用管道煤气，如果管道漏气，开关不紧，均可使煤气大量溢出，造成中毒。

平台安全 篇6

约见马老师并不容易,因为他总是往返在农大的饲料中心与河北滦平的动物评价基地之间。他的目标是为中国的饲料安全评价体系搭建一个平台,为相关的安全评价提供技术支持。

记者:这几年的苏丹红、瘦肉精和三聚氰胺事件,让大家特别关注饲料安全问题。

马永喜:饲料安全问题确实越来越受关注。但这里存在一个误区,实际上,让公众闻之色变的苏丹红、瘦肉精、三聚氰胺、红心鸭蛋,都是人为的外源添加物,与饲料安全没有直接关系。

我们所说的真正和饲料安全相关的问题包括三方面:其一是饲料原料中的天然有毒有害物质;其二是霉菌污染问题。饲料在生长或贮藏中可能被霉菌污染,而霉菌毒素会导致动物中毒;其三是药物残留问题。也就是向饲料中添加抗生素和各类兽药。

记者:能否介绍一下您参与的饲料安全项目?

马永喜:2003年,我参与了“饲料工业应用HACCP体系的关键技术研究”,其后,主持了有关转基因饲料安全评价的“十一五”子专题。另外,还有饲料安全和效价平台基础建设项目,包括位于校园内的饲料安全与效价代谢试验室建设项目,位于河北滦平的饲料安全标准化动物评价基地建设项目,以及刚刚申请到的国家动物能量研究实验室建设项目。

实际上,我们正在为中国的饲料安全和效价评价体系搭建一个平台,为今后的饲料安全评价提供技术支持。具体来说,饲料安全评价需要实验室评价和动物评价。以我们,也就是农业部饲料中心为例,我们的实验室要具备双认证的资质,也就是通过部门认证和国家计量认证。而在建的养殖场则是动物评价基地,一次实验需要大约200头日龄相近的小猪,也就是说,养殖场至少要有1200头母猪的规模。

记者:搭建平台的进展如何?搭好平台后又将发挥什么作用?

马永喜:整个平台的搭建从2000年就开始了,涉及全国20多家单位,包括实验室检测和动物实验评价基地。其中在北京的动物实验评价基地主要由三家单位共同承担,猪饲料的检测由我们负责,水产饲料由饲料所负责,反刍动物方面的工作由畜牧所负责。预计,我们的工作可以在未来1～2年间完成。平台搭好后主要可以解决三个层面的问题,一是针对现有的被投诉的问题饲料进行评价,二是对新的饲料品种进行评价,比如含转基因原料的饲料,三是对进口饲料的安全评价。

记者:我国现有的饲料安全管理体系是怎样的?

马永喜:目前国内对饲料行业的监管是前置审核和生产流通过程监管。其中前置审核也就是要求饲料生产企业具备一定的软硬件条件和人员队伍,由农业部或者省级饲料主管部门发放相应的生产许可证以后,企业才能进入饲料行业,开始生产。饲料产品出厂后,进入流通环节的成品饲料,由技术监督局监管,相关的检测多是针对饲料中的常规营养成分含量。此外还有针对应对饲料安全突发事件的监督检查预案。

记者:国内饲料安全领域中的主要隐患又是什么?

安全交易平台 篇7

详询:0 4 3 1- 8 5 0 7 113 0

以下为支持本平台的部分优质企业:

青岛平度现代工艺制品厂

商丘高科创新科技——金属照片

商丘市科技交流培训中心——仿真花

长春市净肤堂皮肤病专卖店加盟总部

北京迷你 (Mini) 影像馆

长春市厚德福食品有限公司

傻婆婆品牌业务中心

山东潍坊秘验奇珍堂

安全交易平台 篇8

详询:0431-85071130

以下为支持本平台的部分优质企业:

青岛平度现代工艺制品厂

商丘高科创新科技———金属照片

商丘市科技交流培训中心———仿真花

长春市净肤堂皮肤病专卖店加盟总部

北京迷你 (Mini) 影像馆

长春市厚德福食品有限公司

精诚亿嘉 (北京) 商务营销顾问有限公司———靓群芳阿胶糕

傻婆婆品牌业务中心

山东潍坊秘验奇珍堂

安全交易平台 篇9

详询:0431-85071130

以下为支持本平台的部分优质企业:

安全交易平台 篇10

青岛平度现代工艺制品厂

商丘高科创新科技———金属照片

商丘市科技交流培训中心———仿真花

宁波恒仁博众电子科技有限公司

北京影享众惠科技有限公司

河北安平擦擦亮日用品厂

长春市厚德福食品有限公司

傻婆婆品牌业务中心

英才教育

商丘市小六过桥米线

多业务融合安全校园网络平台 篇11

我校今年3月完成了校园网的全面升级改造，我们对此次校园网改造的定位是：稳定、高效、安全、统一。在产品调研期间，我们对多个知名网络产品进行考察，从硬件的质量和性能来说，各家产品差异不大，均能满足学校校园网稳定、高效的需求。学校拥有6000多名学生、300多位教师。而且又是幼儿园、小学、中学一条龙的办学模式，各学段的师生思想存在差异，如何构建安全、统一的校园网就成了此次建设的重点。我们对各类网络产品进行了试用，发现这些产品功能单一。应用操作繁琐，为了满足学校信息化建设，并且应用操作简单，因此，需要针对中小学的校园网设计实名制安全认证平台以及整体解决方案。

此外，为了加强校园信息化建设和信息化管理，我校陆续建设了大量的应用系统，其涉及的业务面基本覆盖了我校的大部分管理和业务，其中包括人事管理系统、固定资产系统、办公自动化系统、邮件系统、校务管理系统，论坛等信息管理系统。随着系统的增多，出现用户账号密码太多、用户管理分散，并且登录频繁等现象，师生使用起来极其麻烦。

为了建设一个稳定、高效、安全、统一的校园网，解决学校上网用户接入的安全问题。并实现多业务的融合。我校本次网络建设着重设计基础网络平台、实名制安全认证平台以及校园网统一登录平台。

二、实践内容

1.基础设施平台

整网设计采用万兆核心、千兆到汇聚、百兆到桌面的三层架构设计。全网设计按照结构化、模块化理念设计。总共设计包括以下模块：网络出口、核心层、汇聚层、接入层、数据服务器平台、应用服务平台。

2.应用支撑平台

通过部署一套网络智能指挥官来实现。通过网络智能指挥官可实现全网网络设备的可视化管理。包括有线设备以及无线设备。

3.实名制安全认证平台

中心机房部署一套实名制安全认证平台，并通过千兆链路与核心交换机连接，实现全网上网用户的身份认证。整个认证通过实名制安全认证平台与接入交换机联动实现，认证技术采用技术成熟且大规模在校园网应用的802.1x技术。

用户通过在电脑端安装802.1x客户端，输入用户名和密码，通过实名制安全认证平台的审核后，接入交换机对该用户放行。即允许访问校园网。通过实名制安全认证平台的日志记录功能，用户接入校园网的时间、地点、下线时间全部可查。

4.校园网统一登录平台

校园网统一登录平台是和实名制安全认证平台配合实现的，其具体实现过程有以下几点：

在用户端安装安全认证系统的客户端，使用安全认证系统的用户账号登录安全认证系统服务器，进行网络层面的认证。一旦网络认证通过，所有网络层面的授权、审计功能生效。

网络认证通过的同时，安全认证系统服务器会给校园网统一登录平台服务器发送消息，通知该用户已经通过网络认证。校园网统一登录平台服务器判断该用户所在的用户组，根据这个用户组可以访问的应用资源情况。给用户推送应用系统访问列表，用户通过校园网统一登录平台服务器提供的访问资源列表来访问应用系统。

用户点击需要访问的应用链接的时候，访问请求发送到校园网统一登录平台服务器，由校园网统一登录平台服务器将原系统中的用户登录信息和访问请求转发给所请求的应用系统服务器。

应用系统服务器接收到转发的认证信息后，与用户建立连接。

三、实践效果

通过部署基础设施平台，实现了稳定、高效、安全的基础网络，为学校各种业务的开展奠定了基础。

通过部署应用支撑平台，实现了对全网网络设备的高效管理，可以快速定位和排除故障，大大减轻了网络维护人员的工作量。

通过部署实名认证平台后，学校可以对上网用户进行更加合理的监管，在发生网络安全事件后，可以快速定位到人，减少了网络安全事件的风险。

通过部署统一登录平台，用户只需要使用1套用户名和密码，就可以登录到不同的应用系统，大大简化了师生登录学校业务系统的复杂度，节省了不少时间，提高了工作效率，得到了学校教师和学生的一致好评。

安全交易平台 篇12

郑州天艺围栏模具有限公司

青岛爱迪医学研究所

长春市厚德福食品有限公司

合肥市人杰日用品厂

宁波恒仁博众电子科技有限公司

青岛平度现代工艺制品厂

庆兵科技产品有限公司

德州德王美食技术推广中心

江西进贤县绿色芽苗菜有限公司

倾心之恋丝巾专卖

合肥玖肆玖

和兴生物

角北氢气