網絡安全保障機制方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全保障機制方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全保障機制方案范文
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2電信網絡安全面臨的形勢及問題
2.1互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。2.3運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
第2篇:網絡安全保障機制方案范文
[關鍵詞] 電子商務 信息安全 網絡安全 交易安全 技術保障
電子商務是利用互聯網絡進行的商務活動。電子商務有多種定義,但內涵大致相同,即電子商務是利用電子數據交換、電子郵件、電子資金轉賬等方式及互聯網的主要技術在個人、企業和國家之間進行的網上廣告及交易活動,內容包括商品及其訂購信息、資金及其支付信息、安全及其認證信息等方面。信息安全是指利用網絡管理控制和技術措施,防止網絡本身及網上傳輸的信息財產被故意的或偶然的非授權泄漏、更改、破壞,或使網上傳輸的信息被非法系統辨認、控制。電子商務信息安全的具體表現有:竊取商業機密;泄漏商業機密;篡改交易信息,破壞信息的真實性和完整性;接收或發送虛假信息,破壞交易、盜取交易成果;偽造交易信息;非法刪除交易信息;交易信息丟失;病毒破壞;黑客入侵等。隨著互聯網的快速擴張和電子商務的迅猛發展,電子商務系統的安全性已受到計算機病毒、網絡黑客、計算機系統自身防御性脆弱等方面的嚴峻挑戰。
一、我國電子商務發展及其信息安全現狀
我國電子商務始于20上世紀90年代,政府主導相繼實施的“金橋”、“金卡”、“金關”、“金稅”工程大大加快了我國電子商務的發展步伐。目前,我國電子商務的廣度和深度空前擴展,已經深入國民經濟和日常生活的各個方面。艾瑞市場咨詢公司最新的調查數據顯示:截至2006年底,中國網絡購物市場總用戶數達到 4310萬人,B2C和C2C總交易額分別為82億元和230億元。然而,據中國互聯網絡信息中心(CNNIC)的一份最新調研顯示,只有約15%的網民平時有網上購物的習慣,而不選擇網絡購物的原因主要由于對網站不信任、怕受騙,擔心商品質量問題和售后服務,質疑其安全性等。
電子商務自從誕生之日起,安全問題就像幽靈一樣如影隨形而至,成為制約其進一步發展的重要瓶頸。電子商務系統的安全是與計算機安全尤其是計算機網絡安全密切相關的,綜合當前電子商務所面臨的網絡安全現狀不容樂觀。公安部公布了2006 年全國信息網絡安全調查結果,結果顯示,半數以上的被調查單位發生過信息網絡安全事件,病毒或木馬程序感染率達84%,目前,全國已有8成左右的單位安裝了防火墻和病毒查殺系統。對數據統計分析,2005年5月至2006年5月間,有54%的被調查單位發生過信息網絡安全事件,其中,感染計算機病毒、蠕蟲和木馬程序為84%,遭到端口掃描或網絡攻擊的占36%,垃圾郵件占35%。未修補和防范軟件漏洞仍然是導致安全事件發生的最突出原因,占發生安全事件總數的73%。
二、電子商務安全威脅的主要方面
電子商務的一個重要技術特征是利用IT技術來傳輸和處理商業信息。因此,從整體而言,電子商務安全有計算機網絡安全和商務交易安全兩個方面。計算機網絡安全是商務交易安全的基礎;商務交易安全是電子商務安全的主要內容。
計算機網絡安全的內容主要包括:計算機網絡設備安全、計算機網絡系統安全。網絡設備安全是指保護計算機主機硬件和物理線路的安全, 保證其自身的可靠性和為系統提供基本安全前提;設備安全風險來自硬件器件與部件失效、老化、損害,自然雷擊、靜電、電磁場干擾等多方面,有人為因素還有自然災害所引起的故障。例如,2006年12月26日,我國臺灣附近海域發生強烈地震,造成中美海纜等6條國際海底通信光纜發生中斷,使附近國家和地區的國際和地區性通信受到嚴重影響,給有關企業和個人造成巨大影響和嚴重經濟損失。網絡系統安全是指保護用戶計算機、網絡服務器等網絡資源上的軟件系統能正常工作,網絡通信及其網絡操作能安全、正常完成。網絡系統安全風險來自系統的結構設計缺陷、網絡安全配置缺陷、系統存在的安全漏洞、惡意的網絡攻擊和病毒侵入等多方面。網絡系統安全是計算機網絡安全的主要方面。計算機網絡安全的特征是針對計算機網絡本身可能存在的安全問題,實施網絡安全增強方案,以保證計算機網絡自身的安全性為目標。
商務交易安全是指商務活動在公開網絡上進行時的安全,其實質是在計算機網絡安全的基礎上,保障商務過程順利進行,即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性,核心內容是電子商務信息的安全。一般情況下,我們可以把電子商務安全歸結為電子商務信息的安全。目前,電子商務主要存在的安全威脅有:
1.身份仿冒
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現有:冒充他人身份、冒充他人消費、栽贓、冒充主機欺騙合法主機及合法用戶、使用欺詐郵件和虛假網頁設計設騙。近年來隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒已經成為電子商務應用的主要威脅之一。
2.未經授權的訪問
未經授權而不能接入系統的人通過一定手段對認證性進行攻擊, 假冒合法人接入系統,實現對文件進行篡改、竊取機密信息、非法使用資源等。一般采取偽 裝或利用系統的薄弱環節(如繞過檢測控制)、收集情報(如口令)等方式實現。
3.服務拒絕
攻擊者使合法接入的信息、業務或其他資源受阻。主要表現為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網站和商店、偽造用戶,對特定計算機大規模訪問等,使合法用戶不能正常訪問網絡資源,使有嚴格時間要求的服務不能及時得到響應。
4.惡意程序侵入
任何系統都可能是有漏洞的,漏洞的存在給惡意程序侵入提供了可乘之機。惡意程序是所有含有特殊目的、非法進入計算機系統、并待機運行,能給系統或者網絡帶來嚴重干擾和破壞的程序的總稱。一般可以分為獨立運行類(細菌和蠕蟲)和需要宿主類(病毒和特洛依木馬)。惡意程序是網絡安全的重要天敵,具有防不勝防的重大破壞性。例如:網絡蠕蟲是一種可以不斷復制自己并在網絡中傳播的程序,蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡阻塞,致使網絡癱瘓,使各種基于網絡的電子商務等應用系統失效。
5.交易抵賴和修改
有些用戶企圖對自己在網絡上發出的有效交易信息刻意抵賴,安全的電子商務系統應該有措施避免交易抵賴。為保證交易雙方的商業利益、維護交易的嚴肅和公正,電子商務的交易文件也應該是不可修改的。
6.其他安全威脅
電子商務安全威脅種類繁多、來自各種可能的潛在方面,有蓄意而為的,也有無意造成的,例如電子交易衍生了一系列法律問題:網絡交易糾紛的仲裁、網絡交易契約等問題,急需為電子商務提供法律保障。還有諸如非法使用、操作人員不慎泄露信息、媒體廢棄物導致泄露信息等均可構成不同程度后果的威脅。
三、電子商務安全的技術保障機制
電子商務安全包括網絡安全和交易安全。因此,電子商務安全技術主要有計算機網絡安全技術和商務交易安全技術兩方面的保障機制。
1.計算機網絡安全技術
網絡安全技術伴隨著網絡的誕生就出現,如今已出現了日新月異的變化。VPN安全隧道、防火墻和網絡入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網絡的整體安全性。目前,主要的網絡安全保障技術有:
(1)VPN安全隧道,VPN即虛擬專用網(Virtual Private Network),是一條穿過混亂的公用網絡的安全、穩定的隧道。 VPN架構中采用了多種安全機制,可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。
(2)防火墻技術,防火墻是企業內部網絡和外網之間的一套安全屏障。防火墻能根據企業的安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
(3)病毒防護和入侵檢測技術, 病毒防護技術可降低病毒和惡意代碼攻擊風險,并防止有害軟件通過服務器或網絡執行和傳播。入侵檢測系統則能夠幫助網絡系統快速發現攻擊的發生,擴展系統管理員的安全管理能力,從而提高信息安全基礎結構的完整性。
2.商務交易安全技術
商務交易安全是為了實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。它是電子商務交易過程中最核心和最關鍵的安全問題。目前,主要的商務交易安全保障技術有:
(1)數據加密技術, 加密一般是利用密碼算法把可懂的信息變成不可懂的信息。利用各種復雜的加密算法,通過對網絡中傳輸的信息進行數據加密,用很小的代價即可為信息提供相當大的安全保護。
(2)數字簽名技術,數字簽名是通過密碼算法對數據進行加、解密變換實現的。應用廣泛的數字簽名方法主要有三種,即:RSA簽名、DSS簽名和Hash簽名。這三種算法可單獨使用,也可綜合在一起使用。在電子商務安全服務中的源鑒別、完整、不可否認服務中,都要用到數字簽名技術。
(3)安全協議技術,使用SET和SSI等安全協議能有效地保障交易安全。SET即安全電子交易(Secure Electronic Transaction)的簡稱,SET 提供了消費者、商家和銀行之間的認證,確保了交易數據的安全性、完整可靠性和交易的不可否認性,已成為目前公認的信用卡/借記卡的網上交易的國際安全標準。SSL即安全套接層(Secure Sockets Layer)協議的簡稱,主要用于提高應用程序之間數據的安全系數。
四、結束語
電子商務的安全威脅既有來自惡意攻擊、防范疏漏,還可能來自管理松散、操作疏忽等方面。因此,保障電子商務安全是一項綜合工程。除了主要從技術上提高防范和保障機制外,還需要單位完善網絡系統管理體制,人員加強信息安全意識。另外,電子商務實踐要求有透明、和諧的交易秩序和環境保障,為此還需要政府建立和完善相應的法律體系。
參考文獻:
[1]王云峰:信息安全技術及策略 [J].廣東廣播電視大學學報,2006,(1):101-104
[2]殷鳳琴趙喜清王新鋼:我國電子商務安全問題的表現來源和對策[J].商場現代化,2007年6月(上旬刊)總第505期:90-91
[3]劉明珍:電子商務中的信息安全技術[J].湖南人文科技學院學報,2006,(6):89-93
[4]肖質紅:電子商務的安全問題和系統建設[J].集團經濟研究,2006年9下旬刊(總第207期):250
第3篇:網絡安全保障機制方案范文
關鍵詞:跨區IP專用網絡;網絡安全防范;網絡安全防范方案
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
Cross-IP Specific Network Security System
Zheng Haoyu
(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)
Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.
Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.
And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.
Keywords:Cross-IP private network;Network security;Network security program
跨區IP專用網絡是內部管理及對外交流的重要平臺。但在進行信息資源共享的同時,跨區IP專用網絡系統卻也處于被病毒攻擊侵害的威脅,隨時都可能出現信息丟失、數據損壞、系統癱瘓的局面。所以,我們要對跨區IP專用網絡的安全的框架體系、安全防范的層次結構進行細致的分析研究,合理的設計設置,提高跨區網絡安全防范水平,減少系統與數據的安全風險。
一、跨區IP專用網絡安全存在的問題
(一)網絡缺陷
IP專用網絡不可或缺的TCP/IP協議,沒有相應的安全保障機制,而且最初設計因特網時考慮的是局部故障不會影響信息的傳輸,幾乎沒有意識到安全問題。因此,在安全可靠性及服務質量等方面它存在不適應性。
(二)系統漏洞
網絡系統安全性取決于網絡各主機系統的安全性,而各主機系統的安全性又是由操作系統的安全性所決定的。這也是網絡容易被人為破壞的不安全因素。
(三)病毒傳播
大多數病毒具有傳播快,擴散廣,難以防范,難于清除徹底等特點。令人防不勝防。
(四)黑客入侵
黑客借助挖掘邏輯漏洞,采用欺騙手段進行信息搜集,尋找薄弱環節和介入機會,迅速竊取到網絡用戶的身份信息,進而實施對整個網絡的入侵和攻擊,致使內部信息被盜,甚至機密泄露。
二、跨區IP專用網絡安全防范體系設計思路
安全服務、系統單元、結構層次的分項交叉的三維立體的框架結構設計,能使網絡安全防范體系更具備科學性和可行性。
(一)體系框架設計思路
框架結構中每個系統單元都要與某個協議層次相對應,并采取多種安全服務以保證其系統單元的安全性;網絡平臺要有網絡節點之間的認證和訪問控制;應用平臺要有針對用戶的認證和訪問控制;數據傳輸要保證完整性和保密性;應用系統要保證可用性和可靠性;要有抗抵賴及審計功能。這樣一個在各個系統單元都有對應的安全措施滿足其安全需求的信息網絡系統,應該是安全的。
(二)體系層次設計思路
作為整體的、全方位的網絡安全防范體系,不僅要對橫向系統單元進行防范設計,還需對其縱向進行分層次考量。針對不同層次所反映的不同安全問題,根據網絡應用現狀情況及網絡結構,可將安全防范體系的層次劃分為物理環境的安全性、操作系統的安全性、網絡的安全性、應用的安全性、管理的安全性等。
三、構建跨區IP專用網絡安全防范體系方案
(一)安全組件
1.路由器:通過在路由器上安裝必要的過濾,濾掉被屏蔽的IP地址與服務協議,并屏蔽存在安全隱患的協議。
2.入侵監測系統:監測網絡上的所有包,捕捉有惡意或危險的目標,及時發出警告。
3.防火墻:可以防止“黑客”入侵網絡防御體系,限制外部用戶進入內部網,并過濾掉可能危及網絡的不安全服務,拒絕非法用戶進入。
4.物理隔離與信息交換系統:具有比防火墻和入侵檢測技術更強的安全性能。對內部網絡和不可信網絡實行物理隔斷,阻止各種已知與未知網絡層及操作系統層的攻擊。
5.交換機:利用訪問控制列表,實現用戶以不同要求進行的對數據包源和目的地址和協議以及源和目的端口各項的篩選與過濾。
6.應用系統的認證和授權支持:實行在輸入級、對話路徑級與事務處理三級無漏洞。使集成的系統具有良好恢復能力,避免系統因受攻擊而癱瘓、數據被破壞或丟失。
(二)安全設計
可有效利用和發揮系統平臺自身的安全環節,保證系統及數據庫的使用安全。
1.身份標識和鑒別:計算機初始時,系統首先會對用戶標識的身份及提供的證明依據進行鑒別。
2.訪問控制:分“自主訪問控制”與“強制訪問控制”兩種。“自主訪問控制”Unix及Windows NT操作系統都使用DAC。“強制訪問控制”能防范特洛伊木馬,阻止用戶濫用權限,具備更高的安全性。
3.審計:安全系統使用審計把包括主題與對象標識、日期和時間、訪問權限請求、參考請求結果等活動信息記錄下來。
(三)安全機制
采用有針對性的技術,提高系統的安全可控性,以建立高度安全的信息系統。
1.安全審核:通過完善系統基本安全設計,包括安全機制的實現和使用,增強了系統安全性,如設置網絡掃描器,對系統運行周期性安全問題進行統計分析,研判針對性方案節省防護投入提高使用功效。
2.信息加密:增設可信系統內部加密存儲、跨越不可信系統在可信系統間傳輸受控信息等機制。考慮建設環境和經費預算控制,結合使用自建CA與第三方CA對專用網絡通道進行加密認證,常應用信息加密技術和基于加密與通道技術上的VPN系統。
3.災難恢復:對重要數據定期進行備份,保證重要數據在系統出現故障時仍能準確無誤。
四、結束語
保證跨區IP專用網絡安全,需要在采用相應的技術措施的基礎上,加強網絡安全管理;制定相關的規章制度、使用規程以及應急措施,在提高工作人員的業務能力的同時,增強網絡安全防范意識、保密觀念與責任心,使網絡安全防范體系有效發揮作用;引入安全風險評估體系,定期進行風險評估和檢查,對內外部環境變化產生的新安全問題進行快速評估以改進完善安全設計方案,建立專用網絡安全的長效機制。
參考文獻:
[1]賈金嶺.構建跨區IP專用網絡安全防范體系的探討[J].網絡與信息.2010,5
[2]徐濤.網絡安全防范體系及設計原則分析[J].電腦知識與技術,2009,9
第4篇:網絡安全保障機制方案范文
>> 關于移動自組織網絡淺析 移動自組織網絡服務質量控制機制綜述 移動自組織網絡中內部丟包的檢測模型 移動自組織網絡跨層QoS保證機制研究 移動自組織網絡通信模塊的設計與實現 移動自組織網絡下的基本蟻群路由算法 移動自組織網絡中的MAC協議分析比較 車載自組織網絡路由協議研究 智能交通系統的車輛自組織網絡中的探討 基于復雜網絡的車載自組織網絡抗毀性分析 自組織網絡中的自優化技術與方法 TD—LTE自組織網絡SON技術分析和建議 LTE自組織網絡的覆蓋和容量自優化 無線自組織網絡RGG模型聚類系數研究 車載自組織網絡路由協議及研究進展 基于自組織網絡的基站自優化節能技術研究 異構自組織網絡中的干擾管理機制研究 用于無線自組織網絡的屬性加密算法 E―UTRAN自組織網絡關鍵技術研究 IMT―Advanced系統自組織網絡方案研究 常見問題解答 當前所在位置:中國 > 藝術 > 移動自組織網絡訪問控制初步探討 移動自組織網絡訪問控制初步探討 雜志之家、寫作服務和雜志訂閱支持對公帳戶付款!安全又可靠! document.write("作者: 代東序 程體武 林曉莉")
申明:本網站內容僅用于學術交流,如有侵犯您的權益,請及時告知我們,本站將立即刪除有關內容。 摘要: 訪問控制是移動自組織網絡信息安全保障機制的核心內容,本文從移動自組織網絡自身特點出發,著重對其訪問控制的特點進行了分析,并提出了建立訪問控制時需注意的幾個問題,為實現自組織網絡訪問控制提供了可行條件。
Abstract: Access control is the core of the mobile ad hoc network information security mechanism, from the characteristics of mobile ad hoc network itself, the paper analyzed the characteristics of their access control, and proposed several question must be noted when establishing access control, to provides a viable condition for the realization of self-organizing network access control.
關鍵詞: 移動自組織網絡;訪問控制
Key words: mobile ad hoc networks;access control
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2011)17-0152-01
0引言
移動自組織(Ad Hoc)網絡是一種多跳的臨時性自治系統,它的原型是美國早在1968年建立的ALOHA網絡和之后于1973提出的PR(Packet Radio)網絡。它是一種新型分布式無線網絡,是由一組帶有無線收發裝置的移動終端組成的多跳臨時性自治系統,具有良好的移動性和組網的靈活性,因而成為目前網絡研究的熱點。由于在搭建時不需要任何基礎設施的支持,移動自組織網絡能應用于戰時通信指揮和災害救援聯絡等緊急情況,同時它具有無中心、自組織等許多不同于傳統無線網絡的優點,使其在軍事及民用領域具有廣闊的應用前景。
1移動自組織網絡特點
①網絡拓撲結構動態變化。在移動自組織網絡中,由于用戶終端的隨機移動、節點的隨時開機和關機、無線發信裝置發送功率的變化、無線信道間的相互干擾以及地形等綜合因素的影響,移動終端間通過無線信道形成的網絡拓撲結構隨時可能發生變化,而且變化的方式和速度都是不可預測的。②自組織無中心網絡。移動自組織網絡沒有嚴格的控制中心,所有節點的地位是平等的,是一種對等式網絡。節點能夠隨時加入和離開網絡,任何節點的故障都不會影響整個網絡的運行,具有很強的抗毀性。③多跳網絡。由于移動終端的發射功率和覆蓋范圍有限,當終端要與覆蓋范圍之外的終端進行通信時,需要利用中間節點進行轉發。值得注意的是,與一般網絡中的多跳不同,無線自組網中的多跳路由是由普通節點共同協作完成的,而不是由專門的路由設備完成的。④無線傳輸帶寬有限。無線信道本身的物理特性決定了移動自組織網絡的帶寬比有線信道要低很多,而競爭共享無線信道產生的碰撞、信號衰減、噪音干擾及信道干擾等因素使得移動終端的實際帶寬遠遠小于理論值。⑤移動終端的局限性。自組織網絡中的移動終端(如筆記本電腦、手機等)具有靈巧、輕便、移動性好等優點,但同時其電源有限、內存小、CPU性能低等限制。
2移動自組網訪問控制的特點
訪問控制是信息安全保障機制的核心內容,它保護安全系統維護的數據和資源,以避免未授權訪問與不恰當修改,同時確保對合法用戶的可用性。在移動自組網中,結點之間是相互平等的,每個網絡結點都可以隨意去訪問其他結點,或者讓其他結點轉發數據報。如果存在某個惡意結點,就有可能出現其非法訪問其他網絡結點,或者濫發數據報,導致其他網絡結點轉發負擔過重而導致癱瘓,這些都對移動自組網的安全造成了威脅。如果移動自組網中網絡結點能夠對其他結點的實施訪問控制,則整個網絡的安全將得到有力的保障。而移動自組網相對于傳統網絡來說,其訪問控制有以下特點:
2.1 傳統的加密和驗證機制在移動自組網中難以實現。無論使用對稱密鑰還是非對稱密鑰,加密和驗證都要依賴一個可以信任的產生和分配密鑰的密鑰管理中心。而移動自組網缺乏足夠的物理保護、各結點相互獨立、沒有固定結點,加之結點的計算能力低,無法建立長期有效的密鑰管理。
2.2 基于靜態配置的傳統網絡安全方案不能應用于移動自組織網絡。在移動自組網中,拓撲結構、成員關系以用網絡中產生和傳輸的數據都是動態的。例如結點的環境信息、關于網絡變化的信息、群組會議交換的信息都有很高的實時性要求。所以傳統網絡服務中的數據庫、文件系統和文檔服務器等靜態數據都不再適用。
2.3 網絡界限無法定義。由于移動自組網網絡拓撲結構動態變化,無中心結點,進出網絡的數據可以由其中任意結點轉發,造成網絡內部和外部的界限非常模糊。
2.4 資源控制難度大。由于移動自組網中的各個結點都有可能含有大量的資源,一旦出現惡意結點,將無法避免出現其濫用其他結點的資源的情況,造成資源泄漏。
2.5 訪問控制要求各結點在網絡層提供著轉發IP數據報的服務,而自組織網絡中的結點(如筆記本電腦、手機等)存在電源有限、內存小、CPU性能低等限制,這就使得有些結點在現實應用中可能由于需要處理其他事務而無法轉發IP數據報,導致訪問控制失效。
3移動自組網中建立訪問控制的要求
基于以上分析所得,傳統網絡下的訪問控制已經不能勝任移動自組網的安全需求,要建立移動自組網訪問控制系統就應該有針對性的進行設計,移動自組網要把握好以下幾個方面:①建立分布式的訪問控制。由于移動自組網沒有固定的網絡基礎設施和網絡控制中心,也沒有統一的驗證中心或者可信的第三方來收集、保持與存儲相關的角色數據,這要求其訪問控制系統必須是分布式的、無需第三方參與的;②每個網絡結點必須配置一個訪問控制策略配置接口,以方便用戶配置訪問控制策略;③用一種通用的策略描述規范語言來描述策略,以減少策略描述上的困難;④建立通用的決策模塊,減少訪問控制執行決策上的困難;⑤選擇通用的、與平臺無關的資源訪問請求描述格式,減少訪問過程中應用程序的耦合性;⑥每個網絡結點能夠根據訪問控制策略給通過其身份驗證的網絡結點分配權限;⑦訪問控制系統能夠按照訪問控制策略動態轉換結點的權限,以滿足移動自組網中結點的動態變化;⑧各結點中的訪問控制系統要能夠根據訪問控制策略在應用層服務和網絡層數據報轉發分別實施訪問控制;⑨訪問控制系統要簡單,易于實現和應用,盡量減少對網絡帶寬的占用和對結點資源的占用;⑩訪問控制系統中的訪問決策要簡單、有效、準確,充分考慮結點的運算能力。
4小結
本文對移動自組織網絡的特點進行了分析,并進一步分析了在移動自組織網絡中訪問控制的特點,并給出了建立訪問控制時需注意的幾個方面。在下一步的工作中重點對其如何實現進行研究,使其更有可操作性,滿足各方面的用途。
參考文獻:
[1]趙亮程,彭喜科.自組網的安全分析[J].世界電信.2003.5,47-49.
[2]鄭麗娜,昊同強.Ad Hoc網絡技術淺析[J].郵電設計技術.2004.4.
第5篇:網絡安全保障機制方案范文
【關鍵詞】基層氣象;信息網絡;保障工作;措施
現代化臺站規劃的實施對氣象信息網絡工作提出了更高的要求,目前,全面建設現代化監測設備已經得到了有效落實,信息網絡通信特別是計算機信息網絡通信在氣象工作中占有重要地位,氣象業務信息以及資料的上傳是各級基層氣象單位的主要任務,也是保障基層氣象信息網絡通信工作順利進行的前提。
1.建立健全基層氣象信息網絡保障管理制度
網絡通信系統運行質量的好壞直接反映出基層氣象信息網絡通信能力的高低,主要表現為氣象業務的各種信息能否得到快速、準確、安全的傳輸。為了保證基層信息網絡通訊系統能夠順利地運行,一方面在具備滿足現代信息通信發展需求的先進設備的同時采取定崗定編的形式對所有工作人員進行管理,另一方面還需要制定一套較為科學的、系統的、滿足實際需求的管理制度。基層信息網絡通信設備能否實現可持續穩步發展和運行,基層網絡通信系統質量能否得到高效的提升,在一定程度上取決于基層網絡維護人員是否能夠將管理和維護工作落實到位。要想使基層信息網絡信息通信系統運行的整體質量實現穩步增長,則需要做好以下兩點:第一、完善機房的管理制度、按制度辦事、對系統和相關設備進行定期檢測或維護、安排值班表、確保重要信息數據的安全并進行備份、針對平常、汛期以及應急時期制定不同的工作預案和要求。第二、對問題設置系統性的保障機制,包括發現-提出-研究-解決問題。為了有效提高基層業務人員的技術水平和業務能力,保障基層信息網絡工作的順利進行,需要對他們定期組織開展一些專題研討、技術座談、業務培訓。
2.嚴格按照信息網絡技術規范開展基層氣象通信保障工作
建設信息網絡通信系統需要足夠的資金支持,為了避免出現信息網絡通訊設備的人為損壞、增加其使用壽命并保證業務工作的正常運行,需要正確、科學地培養相關人員對網絡維護的管理意識。因此,正確的保障意識可以讓網絡工作人員對設備的運行環境、周期、使用期限以及技術要求等信息進行有效掌握,從而制定出切合實際的、科學的維護管理方案,保證信息技術科學、規范地執行到位。第一、明確信息網絡通信系統的日常管理和維護工作,在出現緊急或異常情況時確保工作人員能夠規范操作、冷靜處理問題。減少故障隱患的產生、杜絕各種事故的發生。在進行系統檢查和維護時遵守“一查、二看、三處理”的工作原則。“查”主要是查看設備的各項指示是否有異常情況和故障警告,并提前做好應急處理。工作人員進入機房時首先要進行嗅覺觀察,看是否能夠聞到糊焦味,確保設備運轉過程中沒有線路老化和過熱的問題。“看”是通過肉眼觀察設備指示燈和線路是否正常運行,確保空調溫度以及濕度無異常。“處理”對異常情況進行綜合分析,找出發生警報的主要原因,并采取相應的挽救措施,最后對問題的發生和解決進行總結,做好相關記錄,保存檔案以備日后維修工作的參考。第二、對工作人員制定嚴格的檢修維護制度,根據要求執行并完成“日檢測、周維護、月分析”任務,另外,對于機組出現的問題組織定期討論會,信息網絡保障人員可以結合自身的經歷和情況對業務情況進行匯報、分析和交流,包括系統出現的各種現象、隱患、原因以及所應該采取的有效措施,總結出設備維護的注意事項和解決方法,從而提高信息網絡保障人員的故障處理能力。
3.建立健全基層氣象行業的信息網絡應急預案體系
隨著基層氣象通信保障應急預案的頒布和實施,信息網絡管理部門和相關運營部門及組織之間協調配合、快速響應,使得基層氣息行業的信息網絡安全得到了一定的保障。但是,為了順應現階段基層氣象業務的快速發展,還需要對以下三點工作做出進一步完善:工作機制、信息上報/通報制度、監測預警手段,以及定期制定日常的工作的討論會議等。應急指揮調度平臺在一定程度上可以提高工作人員的應急指揮調度效率,加強對各種信息、數據以及資料的集中管理,有助于信息網絡安全應急管理工作的穩步運行。另外,在安全方面對網管系統完善的基礎上還需要建立一定的監測系統,以便提高網絡的監測和控制能力,將運營和責任落實到位。為了完善預案并加強預案的落實,組織一定的應急演練是十分有必要的,只有這樣才能將理論和實踐聯系起來,實現共同進步。
4.提高信息網絡保障人員的素質和業務能力
網絡保障人員出色的工作能力和業務水平是實現信息通訊保障工作和信息通訊系統高質量運行的基本前提。對工作人員進行各種類型的專業技能培訓,能夠打破自學的局限性,有效提高了網絡保障人員的素質和業務能力。一方面加強網絡保障人員對基本氣象科技技能的培訓。對于新成員一定要事先進行基本氣象技能培訓并使其掌握各類氣象保障應用系統的使用方法,為了普及信息化應用知識可以將這些知識納入到培訓的必修課程中。另一方面多形式多樣化地進行各類活動、培訓和比賽的開展,或者借助網絡或視屏會議舉辦專題講座、技術培訓、討論交流、業務測試等對崗位人員進行針對性地培養,網絡保障人員不僅可以對技術自我鉆研,而且能夠實現互動的最終目的。業務能力的提高有利于基層氣象信息網絡通信保障工作的發展,是基層單位氣象工作實現可持續發展的源泉。對問題進行全方位探討,從而達到提高網絡業務技能
5.結束語
總而言之,為了順應現階段基層氣象信息網絡工作的廣泛開展,應注重建立健全科學的氣象網絡安全保障管理制度,嚴格按照標準的技術規范開展信息網絡業務工作,進一步建立健全基層氣象行業的信息網絡應急預案體系,并著力提高基層氣象信息網絡保障人員的素質及業務能力,確保各類氣象業務信息資料的及時上傳和更新。
【參考文獻】
[1]唐雅茜,陳平,朱海波.巧談氣象信息網絡故障維護[J].企業科技與發展,2008,(22).
第6篇:網絡安全保障機制方案范文
當前,無線網絡技術正在被廣泛的應用到校園信息化建設之中,具有高靈活性、可移動性、開放性等特點。但是,由于無線網絡本身所具有的這些特點,造成用戶量大、密度不均、應用多樣和環境復雜等問題,無線網絡的安全性也備受關注。本文著重分析無線網絡的安全隱患以及隱患的來源,對校園無線網絡安全建設實踐進行了分析與探究。
關鍵詞:
無線網絡;安全;防范
高效無線網絡校園是現在很多高校建設的目標,因此,高校在為用戶提供基本的互聯網上網服務外,還需要為用戶提供安全可靠的網絡服務,用戶可以在校內或者校外訪問相應的資源。網絡安全設計實現對內外接入時避免面臨網絡安全的問題,保證網絡資源及網絡設備的安全是校園無線網絡建設所面臨的一個嚴峻問題。
1無線網絡安全面臨的主要問題
1.1訪問權限的控制
學校一般擁有大量的外網地址,但是對外提供服務的只是其中的一部分或者少數幾個地址,因此需要在出口設備上嚴格限制外網對內的訪問權限,只有允許的地址或者允許地址的特定端口才是可以被訪問的,其它地址一律禁止外網發起的主動訪問。
1.2攻擊主機的主動識別和防護
動態監測外網主機對資源平臺的訪問,當外部主機發起非法攻擊或者大量合法請求時,網關設備會主動將非法主機進行隔離,從而保證資源平臺的安全性;
2無線網絡安全主要的設計內容
基于“接入安全”的理念,將學院園區無線網絡認證過程設置到離學生客戶端最近的網絡邊界處,通過啟用Web認證模式,無線控制器和學校目前采用的AAA認證系統的協同工作,當學生在接入無線網絡的時候,網絡無線控制器和ZZ-OS認證網關進行對接,通過portal的方式將認證頁面推送到客戶端,然后將學生認證所需要的用戶名和密碼上傳到無線控制器,無線控制器通過與ZZ-OS認證系統的對接,獲取學生相關的認證信息,如果認證通過,則無線控制器將通知無線AP接入點,允許該學生訪問相關的資源,學生使用瀏覽器即可完成認證過程,不僅保證了接入學生的學生合法性,而且學生能快捷便利的使用無線網絡,極大的提高了學生的體驗感。
2.1學生數據加密安全
無線AP通過WEP、TKIP和AES加密技術,為接入學生提供完整的數據安全保障機制,確保無線網絡的數據傳輸安全。
2.2虛擬無線分組技術
通過虛擬無線接入點(VirtualAP)技術,整機可最大提供16個ESSID,支持16個802.1QVLAN,網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離,并可針對每個SSID配置單獨的認證方式、加密機制等。
2.3標準CAPWAP加密隧道確保傳輸安全無線
AP接入點與網絡無線控制器以國際標準的CAPWAP加密隧道模式通信,確保了數據傳輸過程中的內容安全。
3安全準入設計
無線網絡為開放式的網絡環境,基于端口的有線網絡管理方式已經無法滿足無線用戶接入管理的需求。為了解決接入用戶管理的問題一般高校都會部署AAA服務器,通過AAA服務器實現無線用戶身份認證。通過引入AAA服務器雖然解決了“誰”可以連接無線網絡的問題,但是如何進行用戶身份的認證呢?無線網絡部署的初期一般采用SU的方式。SU方式需要無線用戶在無線終端設備上安裝特定的客戶端,通過該客戶端完成用戶身份的校驗。但是隨著智能終端的出現,接入無線網絡的終端不僅僅是筆記本電腦,平板電腦、手機等智能終端也需要接入無線網絡,而SU模式并不適合安裝在智能終端上。為了解決智能終端接入無線網絡的問題很多設備廠商推出了Web認證,智能終端不再需要安裝客戶端,只需要通過瀏覽器就可完成身份認證。針對智能終端Web似乎是一種比較完美的身份認證方式。隨著互聯網應用的迅速崛起,用戶希望在物理位置移動的同時可以使用微信、微博等互聯網應用。如果依然采用Web方式進行身份認證,用戶將會感覺很麻煩,影響用戶對無線網絡的體驗,為了解決認證方式繁瑣的問題,無感知認證應用而生,無感知身份認證只需要用戶首次進行終端相關用戶信息配設置后續終端接入無需用戶干預自動完成。
4安全審計設計
無線網絡為了給用戶提供良好的上網體驗,一般終端接入網絡時采用動態地址分配方式,同時公有地址不足是所有國內高校面臨的一個問題,為了解決地址不足的問題一般校內采用私有地址,出口網絡設備進行NAT轉化。在私有地址環境中采用動態地址分配方式,管理員將會面臨一個問題:當發生安全事件時,網監部門只能為管理提供一個具體的外網地址和訪問的時間點,僅有的信息中要準確定位問題的具體負責人。傳統的日志審計平臺只記錄了出口設備的NAT日志,可以通過公網地址和具體的時間找到對應的私網地址,但是由于地址采用動態分配的方式,能難確定該時間段對應的地址是哪個用戶在使用或者說需要查詢多個系統才能確認最終的用戶,如果多個系統中有一個系統時鐘不一致,可能造成最終信息的錯誤。為了加強出口行為管理和日志記錄,解決安全審計方面的問題,安全方案采用elog應用日志及流量管理系統。elog配合出口網關可有效記錄NAT日志、流日志、URL日志、會話日志等,并可存儲3個月以上,滿足公安部82號令相關要求,學校也可對相關安全事件有效溯源。日志對于網絡安全的分析和安全設備的管理非常重要,網關設備采用統一格式記錄各種網絡攻擊和安全威脅,支持本地查看的同時,還能夠通過統一的輸出接口將日志發送到日志服務器,為用戶事后分析、審計提供重要信息。NAT日志查詢(如圖1所示)。在充分考慮校園無線網絡安全設計的前提下,對網絡自身的數據加密、信息泄露以及網絡攻擊進行嚴密防控的同時,提升用戶信息安全意識,從用戶自身入手防止出現簡單密碼、默認密碼和用戶主機殺毒等問題。做到“防范為主、有據可查、追本溯源”,才能更好的應對網絡安全問題,提高校園信息的安全性,為師生提供安全可靠的無線網絡服務。
參考文獻
[1]吳林剛.無線網絡的安全隱患及防護對策[J].科技信息,2011(25).
[2]馮博琴,陳主編,呂軍,程向前,李波編.計算機網絡簡明教程[M].北京:高等教育出版2009.
第7篇:網絡安全保障機制方案范文
[關鍵詞] 醫院局域網;安全設計;權限管理;流量控制;防火墻
[中圖分類號]R197.324 [文獻標識碼] B[文章編號] 1673-7210(2009)07(a)-195-03
Discussion on the security management design of local area network in hospital
WANGKaimin
(College of Information Engineering, Nanchang University, Nanchang 330031, China)
[Abstract] In the recent years, hospital local area network has been a problem highly concerned by related experts. The design of hospital local area network is of great difficulty and complexity. In order to ensure security and normal operation of it, this article explores the security design scheme of hospital local area network. That is, regarding stability and reliability as core standards, then adopting technologies like equipment physics protection, access control, firewall technology, flow control, VLAN technology, virus prevention and cure, encryption and authentication, emergency plan to design the hospital local area network systematically and synthetically.
[Key words] Hospital local area network; Security design; Privilege management; Flow control; Firewall
隨著信息時代的發展,在醫院用局域網來實現信息管理正在逐步成熟。局域網辦公相對傳統的手工工作方式來說要快捷、方便得多,然而隨著醫院局域網規模的逐漸擴大,其信息涉及醫院各個方面,一旦出錯將造成比傳統方式更大的損害。因此醫院局域網安全一直是有關專家們研究的重要問題。本文首先列舉一些威脅醫院局域網安全的因素,然后介紹保障網絡正常、安全工作的網絡技術標準,再探討醫院網絡安全的設計方案,最后對局域網的安全設計作一總結。
1 威脅醫院局域網安全的因素
威脅局域網安全的因素很多,令人防不勝防,常見的威脅如下:
1.1自然威脅
自然威脅是指惡劣的天氣現象(如雷電)、計算機房濕度過大、塵土過多、火災隱患等。
1.2 供電系統不穩定
供電系統不穩定對局域網整個系統的危害是致命的,尤其是對服務器,一旦斷電,服務器上儲存的重要信息就有可能丟失,使整個系統陷入混亂。
1.3 非法接入
未授權的用戶私自接入局域網,會給局域網帶來很大危險,這是醫院局域網系統中重大安全威脅之一。無意或惡意用戶非法接入均有可能給醫院信息系統造成很大危害,嚴重的可以使網絡癱瘓。惡意用戶(多數是黑客)通過高端技術破譯網絡運算方式,修改、盜取相關信息,給醫院信息系統造成很大危害[1]。
1.4 ARP攻擊
ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞,攻擊者只要持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
1.5 軟件漏洞
軟件漏洞是指軟件在具體實現時存在的安全缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。它包括系統軟件和應用軟件的漏洞。
1.6 病毒
病毒的危害眾所周知。病毒能通過網絡或者通過移動存儲介質傳播,由于其傳染性,一臺客戶機感染了病毒就可能使整個醫院局域網癱瘓。
1.7 惡意插件
插件是指會隨著IE瀏覽器的啟動自動執行的程序,它很可能與其他運行中的程序發生沖突,從而導致諸如各種頁面錯誤、運行時間錯誤等現象,阻塞了正常瀏覽。
總結上述威脅,筆者認為由于局域網安全威脅來自各方面,探討醫院局域網安全問題時,既要從計算機、網絡專業方面去考慮,又不能忽視人員、自然的潛在威脅;在考慮局域網層面時,既要考慮局域網內部,又要兼顧局域網外部。
2 網絡技術標準
網絡安全標準用于保證網絡正常工作。許多國內外組織都制訂了一些技術標準以實現標準化工作,它們是保障網絡正常工作和安全的準則,也是制訂局域網安全方案的根據。
2.1 OSI參考模型和TCP/IP模型
2.1.1 OSIOSI模型是傳統的開放式系統互連參考模型,它定義了開放系統中一個節點的應用進程發送的數據從應用層開始層層附加控制信息,最終成為比特流,通過物理媒體傳輸到另一個系統,然后以此處理、剝離各層的控制信息,還原成要發送的數據交給另一個開放系統中的一個節點的應用程序[2]。OSI是一種僅供參考的理想化模型。
2.1.2 TCP/IPTCP/IP模型有實用性,互聯網用的就是它。TCP/IP模型采用了4層結構,其中主機、網絡層、互連層、傳輸層、應用層分別對應OSI模型中的物理層,數據鏈路層,網絡層,傳輸層,會話層、表示層和應用層。
2.2 IEEE 802協議
IEEE 802 LAN/MAN 標準委員會制訂的局域網參考模型與OSI參考模型。
2.2.1 802.1P有關流量優先級的 LAN 第2層 QoS/CoS 協議。它使第2層交換具有以優先級區分信息流的能力,完成動態多波過濾,這對于提高局域網的性能非常有幫助。
2.2.2 802.1Q一種數據交換的協議。它還進一步完善了虛擬局域網的體系結構,并制訂了虛擬局域網標準在未來一段時間內的發展方向。
2.2.3 802.1X它可以限制未經授權的用戶或設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1X對連接到交換機端口上的用戶及設備進行認證。
2.2.4 802.2定義了邏輯鏈路控制協議。
2.2.5 802.3帶有沖突檢測的載波偵聽多路訪問控制(CSMA/CD),即以太網。網中節點必須平等爭用發送時間。
2.2.6 802.4令牌總線訪問控制,任何節點只有在取得令牌后才能使用共享總線發送數據。
2.2.7 802.5令牌環訪問控制,其控制方式類似令牌總線[3]。
2.3 用于加密、認證的標準
2.3.1 IPsecIPsec協議給出了應用于IP層上網絡數據安全的一整套體系結構:密鑰管理協議(IKE)、網絡認證協議(AH)、封裝安全載荷協議(ESP)和用于網絡認證及加密的一些算法等。
2.3.2 PKI公開密鑰體系,分為權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統和應用接口(API)。
3 醫院網絡安全設計方案
醫院局域網安全是一個系統,它不是防火墻,不是入侵檢測,不是虛擬專用網,也不是認證、授權以及記賬。廣義上說,它是以補充的方式為信息資產提供安全的聯網設備、技術以及最佳實踐的結合[4]。醫院局域網的具體安全策略如下:
3.1 物理安全
物理安全策略的目的是保護客戶端、服務器和通信鏈路免受自然災害。例如,請專業隊伍進行避雷設計和安裝,盡量減少室外布線,機房內必須連接好防雷地、交流地、交流工作地及直流地,且各種地線系統不能互相干擾。計算機使用場地還應努力做好防潮、防塵、防火等措施[5]。
3.2 權限管理
權限管理分為系統權限管理和數據庫權限控制。前者只開放與訪問用戶相對應的應用權限,并且需要通過密碼檢測才能使用系統。后者需要采用兩級的安全保障機制,采用嚴格的數據保存程序,將數據庫分為權限管理庫和用戶數據庫。并且需要通過密碼檢測才能使用系統,設置一個強壯的密碼,管理員密碼應當經常更換[6]。
3.3 防火墻
防火墻是局域網的第一道防線,它檢查和過濾進出網絡的每一個數據包,保護醫院局域網免受外來攻擊[7]。它在局域網的安全建設中起到了重要的作用,給局域網裝上防火墻是非常必要的。
3.4 流量控制
流量控制可以有效防止由于網絡中瞬間的大量數據對網絡帶來的沖擊,保證用戶網絡高效而穩定地運行。流量控制在OSI的2、3、4層都有應用。使用“連續ARQ協議”或者“選擇重傳ARQ協議”可以提高信道利用率,從而緩解網絡阻塞問題[3]。
3.5 虛擬局域網
利用虛擬局域網(VLAN)的技術控制醫院局域網不同部門之間的互相訪問。引進虛擬局域網主要是為了解決交換機在進行局域網互連時無法限制廣播的問題。由于在相同VLAN內的主機間傳送的數據不會影響到其他VLAN上的主機, 廣播流量被限制在軟定義的邊界內, 因此減少了數據竊聽的可能性, 極大地增強了網絡的安全性[8]。
3.6 病毒防治
醫院在構建防病毒系統時,要針對網絡中所有可能的病毒攻擊點設置對應的防毒軟件,如卡巴、諾頓。通過全方位、多層次防毒系統配置實現病毒防治[9]。
3.7 加密認證
數據加密、認證也是局域網安全中應該考慮到的。為了整個局域網的安全,既要為口令加密又要對在網上傳輸的文件加密。認證是一個實體向另一個實體證明自身屬性的過程,它用于防止主動攻擊,基于IPsec、PKI等進行信源識別和完整性驗證[10]。
3.8 應急預案
制訂科學的網絡事故應急預案。當發生網絡事故時,應判別事件類別,確定事件來源,保護證據,以便縮短應急響應時間,徹底還原正常的工作狀態,同時還應分析事件,吸取教訓,避免再遭損害。
4 結語
在醫院局域網的建設中,筆者認為安全穩定的權重遠大于技術先進。在安全防御上要用主動防御的理念代替傳統的被動防御。此外,還應當清醒地認識到實現醫院局域網安全管理是不易的,因此應當知難而進,綜合各方面的因素綜合考慮,配合各種技術,在不斷實踐中逐漸完善。
[參考文獻]
[1]尚邦治,靳萍.醫院局域網安全設計[J].醫療設備信息,2006,21(11):17.
[2]王曉軍,毛京麗.計算機通信網基礎[M].北京:人民郵電出版社,1999:57-59.
[3]沈金龍.計算機通信與網絡[M].北京:北京郵電大學出版社,2002:79-169.
[4]Sean Convery.網絡安全體系結構[M].王迎春,謝琳,江魁,譯.北京:人民郵電出版社,2005:4-10.
[5]閔相群.淺談醫院局域網的安全管理[J].中國醫院建筑與裝備,2008,9(2):35.
[6]趙桂林.醫院局域網的安全管理[J].內蒙古科技與經濟,2006,(12):96.
[7]金剛善.局域網組建和管理入門與提高[M].北京:人民郵電出版社,2004:195-200.
[8]吳志力.局域網安全解決策略淺析[J].一重技術,2006,(6):100-110.
[9]王群.最新局域網管理與維護全接觸[M].北京:清華大學出版社,2004:160-161.
第8篇:網絡安全保障機制方案范文
關鍵詞:Zigbee;web;校園無線網絡;智慧校園
中圖分類號:TP212.9;TN929.5
隨著“數字化校園”建設進展的推進,各個高校都已經基本建設成了基于光纖為主干線路的校園有線網。基于物聯網的無線智慧校園網的建設就是在校園已有的有線網絡的基礎框架上,進一步部署校園無線傳感器網絡和移動通信網,從而實現校園教學樓、辦公樓、學生宿舍、教職工宿舍和其他公共場所的無線全覆蓋。無線智慧校園=校園+物聯網+云計算+智慧化設備,它通過物聯網來實現更加合理和人性化的服務和管理。智慧校園通過物聯網實現人與人之間、人與物之間、物與物之間、人與信息資源之間以及信息資源與信息資源之間的通信。它的最高階段就是校園服務和管理各部分都是由物與物之間智慧化地完成,無需人工干預,從而達到“智慧”狀態,向廣大師生提供更加人性化的服務。
近幾年來,互聯網技術與移動通信技術的不斷深入發展促使了新一代信息通信技術――物聯網的形成與發展。隨著物聯網技術的研究與應用,利用物聯網可以解決傳統意義上互聯網沒有考慮的與物件互接的問題。就此,這將有力地推動校園信息化向下一個階段――“無線智慧校園”的發展,為高校數字化資源與信息化系統的高效整合提供更有利的條件,更好地為廣大師生的工作、學習和日常生活服務。Zigbee技術是其中很重要的一種。
Zigbee技術作為一種新興的遠距離、低復雜度、低功耗、低數據傳輸率、可愈的雙向無線通信技術完全適用于無線校園系統,成為連接各個傳感器單元的絡技術,其層次化的結構和多樣化的功能能夠很好地解決物聯網中無線傳感器節點間網絡連接的問題,因此,zigbee技術能夠很好地應用于智慧校園網的建設當中,成為連接各個傳感器節點的網絡技術。
1 關鍵技術――Zigbee
1.1 概念及特點
Zigbee技術是由Zigbee聯盟提出的一種基于IEEE802.15.4標準的短距離、低速率、低功耗的無線通信技術[1]。
由于其層次化的結構和多樣化的功能能夠很好地解決物聯網中無線傳感器節點間網絡連接的問題,因此,Zigbee技術能夠很好地應用于智慧校園網的建設當中,成為連接各個傳感器節點的網絡技術。其主要具有以下特點[2]:(1)低功耗,可用電池供電;(2)低但可靠的數據傳輸率;(3)可同時支持多節點的連接;(4)支持動態節點的網絡;(5)支持自組織性網絡;(6)網絡覆蓋范圍大。
1.2 體系結構
Zigbee網絡自上而下分為應用層、網絡層、媒體訪問控制層和物理層,其體系結構圖如圖1所示[3]。(1)應用層:該層由應用框架、Zigbee設備對象和應用支持子層組成,其主要負責各個應用對象的運行。(2)網絡層:該層主要提供網絡管理、路由管理、網絡信息轉發和網絡安全管理等功能,從而形成自組網機制。(3)媒體訪問控制層:該層主要為高層提供數據編址、CSMA/CA訪問機制、信標等功能支持。(4)物理層:該層主要負責WPAN設備通訊頻段的分配,從而避免干擾的產生。
圖1 Zigbee網絡體系結構圖
1.3 網狀Zigbee網絡
該Zigbee網的組建方式與樹型Zigbee網類似,不同的是其各層路由器之間也進行了連接[4],其結構圖如圖2所示。
圖2 網狀Zigbee網拓撲結構圖
該網狀Zigbee網是基于樹型Zigbee網改進的,其具有網絡自組織功能,即源節點與終節點之間的通信路徑并不唯一,當其中某臺路由器發生故障時,該網狀Zigbee網絡能夠啟用網絡自組織功能尋找另一條替代通信路徑[5]。本文采用的技術就是網狀Zigbee網。
2 具體設計
基于物聯網的智慧校園網主要有以下三種網絡組建而成:
(1)校園有線網。該網絡是指目前各個高校已經建成的校園主干網,在整個智慧校園網內,該網絡主要作為校園主干線路網絡,承擔校園主干線路的大數據量通信。目前主流的高速網絡技術主要有ATM技術、光纖分布式接口(FDDI)、千兆以太網(Gigabit Ethernet)和快速以太網[6]。鑒于快速以太網技術能夠有效地支持3、4、5類雙絞線和光纖的連接,以及有效地利用各個高校現有的設備,本基于物聯網的智慧校園設計方案網仍選用快速以太網作為校園主干網絡技術。
(2)校園無線傳感器網(WSN)。在整個智慧校園網內,該網絡主要作為校園各個局部區域(例如:宿舍樓、辦公樓、圖書館、教學樓、實驗樓等)的網絡,承擔著該局部區域無線傳感器之間的通信。鑒于zigbee技術是一種新興的短距離、低復雜度、低功耗、低數據傳輸率、高可靠性、可愈的雙向無線通信技術和其層次化的結構和多樣化的功能能夠很好地解決物聯網中無線傳感器節點間網絡連接的問題,因此,本基于物聯網的智慧校園網設計選用其作為校園無線傳感器網絡的核心支撐技術[7~9]。
(3)移動通信網。在整個智慧校園網內,該網絡主要承擔校園手機短信息的收發。該網絡的建設工作主要由智慧校園合作方――移動通信服務提供商負責。
2.1 網絡拓撲結構選擇
(1)整個無線智慧校園網拓撲結構選擇
由于各個校園的規模和建筑物地理分布的不同,其校園網具體搭建方式也各不相同,但其整個校園網的拓撲結構設計可大致相同。
本基于物聯網的智慧校園網采用“物理上總線型,邏輯上星型”拓撲結構,如圖3所示。
圖3 基于物聯網的智慧校園網拓撲結構圖
(2)基于Zigbee的校園無線傳感器網拓撲結構選擇
由上一小節的論述可知,Zigbee支持星型、樹型和網狀三種拓撲結構。其中,星型Zigbee網可看作為簡化版的樹型Zigbee網,兩者都具有邏輯層次鮮明的優點,但同時也存在“整個網絡的性能受協調中心的制約、通信路徑唯一、通信不可靠”的缺點;網狀Zigbee網具有網絡自組織能力,具有靈活、通信可靠的優點。
因此,我們在進行智慧校園無線傳感器網建設時,可依據各局部區域的實際情況(所需布置傳感器節點數、覆蓋范圍、數據通信量、數據傳輸速率等)部署不同拓撲結構的無線傳感器網絡。
下面舉一個利用基于Zigbee校園無線傳感器網實現學生上課考勤統計的應用事例。圖4為該教室設備分布示意圖。
圖4 教室設備分布示意圖
其中,Zigbee協調中心布置于教室中心,每一個攜帶配置RFID-SIM卡手機的學生作為Zigbee終端設備。考慮到教室組網這個特殊的環境,包括每一個課堂的學生和教師人數較多,使得Zigbee終端分布密集。因此,在此種情況如果部設樹型Zigbee網的話,網絡數據的傳輸性能會受到一定的影響,所以這里最好部設網狀zigbee網。
通過上面的學生上課考勤統計應用例子,我們可以發現,在終端節點較多的情況下,網狀Zigbee網不僅比樹型Zigbee網和星型Zigbee網更為靈活和可靠,而且在網絡傳輸更為高效。因此,基于校園終端設備數量較多這一實際情況出發,我們在進行校園無線傳感器網組網時,如果不是網絡結構較簡單,或對終端的數據傳輸有嚴格的中繼和管理要求時,我們應優先考慮網狀拓撲。
2.2 三網融合設計
本智慧校園網采用如圖5所示的方案進行校園有線網、基于Zigbee的校園無線傳感器網和移動通信網的融合,即通過Zigbee網關設備的使用實現三者的融合。
圖5 三網融合示意圖
其中,通過Zigbee網關系統總線內置GSM模塊來實現與移動通信網的連接;通過提供以太網接口以有線的方式或內置無線上網卡(支持IEEE802.11 a/b/g①)以建立WLAN②的方式來實現與校園有線網的連接。另外,校園有線網通過總的學校網絡網關實現與Internet的連接。
3 結束語
本文在研究Zigbee技術和無線智慧校園國內外建設情況的基礎上,結合我國無線智慧校園實際應用需求,提出了一套基于Zigbee的無線智慧校園解決方案,旨在解決目前數字校園所存在的校內信息資源整合與共享、自動身份識別、信息化保障機制和安全保障體系的搭建、信息資源及時采集與更新和校內各信息系統集成等難題,為即將實施或正在實施無線智慧校園建設的各大院校提供參考和借鑒。
參考文獻:
[1]王素紅.基于ZigBee的無線傳感器網絡設計與實現[J].電腦知識與技術,2008(33).
[2]陳東云.為加快我省基礎教育信息化標準建設提供優質服務[J].新教育,2011(02).
[3]馬榮飛.統一身份認證系統的研究與實現[J].計算機工程與科學,2009(02).
[4]郭楚杰.數字化校園中統一身份認證平臺的設計[J].湖南工業大學學報,2010(03).
[5]趙戰生.信息安全管理標準發展研究[J].信息網絡安全,2011(01).
[6]邵開麗,周小佳,閆斌.無線傳感器網絡數據融合技術研究[J].計算機與現代化,2011(02).
[7]智慧的地球――IBM 動態基礎架構白書.http:///cn/express/mig ratetoibm/dynamicinfrastructure/download/dynamicinfrastructure_whitepaper_0903.pdf.
[8]International Telecommunication Union.ITU Internet Report 2005:The Internet of Things.http://itu.int/pub/S-POL-IR.IT-2005/e.Geneva:ITU,2005.
[9]European Research Projects on the Internet of Things (CERP-IoT) Strategic Research Agenda(SRA). Internet of things strategic research roadmap[EB/OL][2010-05-12]http://ec.europa.eu/information_society/policy/rfid/documents/ in_cerp. pdf.
注:
①802.11是IEEE最初制定的一個無線局域網標準,主要用于解決辦公室局域網和校園網中,用戶與用戶終端的無線接入,業務主要限于數據存取,速率最高只能達到2Mbps。
②無線局域網絡(Wireless Local Area Networks;WLAN)是一種便利的數據傳輸系統,它是利用射頻(Radio Frequency;RF)的技術取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡。
第9篇:網絡安全保障機制方案范文
[關鍵詞]電子商務;手機銀行;通信技術;金融系統。
1、手機銀行概述。
手機銀行是利用手機辦理銀行相關業務的簡稱,只要是通過移動通信網絡將客戶手機連接至銀行,利用手機界面直接完成各種銀行金融業務的服務系統都可稱之為手機銀行。它是繼網上銀行之后出現的一種新的銀行服務方式,在具備網絡銀行全網互聯和高速數據交換等優勢的同時,又突出了手機隨時隨地的移動性與便攜性,因此迅速成為銀行業一種更加便利、更具競爭性的服務方式。手機銀行利用移動電話與計算機集成技術,為銀行客戶提供個性化、綜合性的服務,以減輕銀行柜面壓力、方便客戶,達到提高客戶滿意度的目的。伴隨著中國3G時代的來臨以及手機終端技術的不斷提高,未來商業銀行必將圍繞手機銀行產生豐富的增值業務。
2、手機銀行的發展現狀。 1國內外發展現狀。由于蘊含的巨大的商機,手機銀行吸引了全球眾多知名移動運營商和著名商業銀行的積極參與,從全球范圍看,逐步形成了日韓領先、歐美跟進、中國追趕的局面。在日本,高度注重手機銀行的安全管理,終端可以直接使用Java和SSL,交易的信號經過多重加密,安全保障技術近于完美,再加上與各銀行間使用專線網,因此,銀行業和消費者對這一業務的信賴程度非常高。同時,NTT DoCoMo等移動運營商把移動支付作為重點業務予以積極推進,目前手機銀行在日本已經成為主流支付方式。在韓國消費者也已經把手機作為信用卡使用,目前幾乎所有韓國的零售銀行都能提供手機銀行業務,每月有超過30萬人在購買新手機時,會選擇具備特殊記憶卡的插槽,用以儲存銀行交易資料,并進行交易時的信息加密。
在歐洲,研究移動銀行業務的團體主要有GSM協會、WAP論壇、UMTS論壇、Mobey論壇、Radicchio、PKI論壇等。早在WAP技術出現的時候,歐洲的運營商就已經考慮如何把移動通信和金融服務聯系在一起。歐洲早期的移動銀行業務主要采用的是WAP方式,因此也被稱為“WAP Banking Service”,但是早期的WAP并沒有達到技術要求的水平,雖然有了GPRS網絡,但由于終端、業務互操作、運營模式和價格等問題,移動銀行業務不僅沒有很好地發展起來,其他與WAP相關的業務也沒有得到很好的發展。
國內手機銀行業務雖然多家銀行都已開展,但由于公眾的認知度和市場的發展度不高、用戶對移動網絡操作不熟練,還被視作新生事物,樂于接受這種金融服務的公眾尚未形成規模,實際的用戶比例更是無法與手機用戶數量匹配。而銀行也一方面面對著如此龐大的市場蠢蠢欲動,另一方面承受著手機銀行的種種障礙靜觀其變。但總的前景依然樂觀,隨著手機越來越普遍的使用、技術的不斷完善,仍有充分理由相信,手機銀行一定會普及開來。 2手機銀行的技術實現形式。手機銀行是由手機、GSM短信中心和銀行系統構成。在手機銀行的操作過程中,用戶通過SIM卡上的菜單對銀行發出指令后,SIM卡根據用戶指令生成規定格式的短信并加密,然后指示手機向GSM網絡發出短信,GSM短信系統收到短信后,按相應的應用或地址傳給相應的銀行系統,銀行對短信進行預處理,再把指令轉換成主機系統格式,銀行主機處理用戶的請求,并把結果返回給銀行接口系統,接口系統將處理的結果轉換成短信格式,短信中心將短信發給用戶。隨著移動通信技術的發展,手機銀行經歷了STK、SMS、USSD、BREW/KJava、WAP等不同的技術實現形式: 2.1 STK手機銀行。靠智能SIM卡提供的加密短信來實現銀行業務,安全性較高,可以實現一些轉賬和繳費業務,其前提需要用戶將SIM卡更換成STK卡,銀行服務菜單寫在卡中。但各銀行發行的STK卡彼此互不兼容,通用性大打折扣,而且STK卡的換卡成本較高,始終沒有成為主流。 2.2 SMS手機銀行。普通短消息SMS方式,通過手機短信來實現銀行業務,客戶和銀行通過手機短信交互信息。SMS是利用短消息方式辦理銀行業務,是擴展的短信服務業務,是目前實現手機銀行的方式中手機終端適應性最強的一種,客戶進人門檻低。 2.3 USSD手機銀行。超級短消息USSD即非結構化補充數據業務,是一種基于GSM網絡的新型交互式數據業務,它是在GSM的短消息系統技術基礎上推出的新業務。USSD可以將現有的GSM網絡作為一個透明的承載實體,運營商通過USSD自行制定符合本地用戶需求的相應業務,提供接近GPRS的互動數據服務功能。這樣,USSD業務便可方便地為移動用戶提供數據服務,而增加新的業務對原有的系統幾乎沒有什么影響,保持了原有系統的穩定性。USSD方式的優勢在于:(1)客戶群體不需要換卡,適用大多數型號的GSM手機;(2)實時在線,交互式對話,一筆交易僅需一次接入;(3)費用較低,每次訪問僅需約0.1元。
其局限則是:(1)對不同類型的手機,其界面顯示有較大的差異;(2)從銀行端到手機端的下行信息,無法實現端到端的加密;(3)目前該業務僅在部分地區試點,尚未普及。 2.4 WAP手機銀行。WAP方式是一種無線應用協議,是一個全球性的開放協議。WAP定義可通用的平臺,把目前Internet網上HTML語言的信息轉換成用WML描述的信息,顯示在移動電話或者其他手持設備的顯示屏上。客戶通過手機內嵌的WAP瀏覽器訪問銀行網站。相對于其他手機銀行技術,WAP具有無需下載客戶端、門檻較低、通用性好、實時交互強、安全性高等優勢,目前已逐漸成為我國手機銀行的業界技術主流。 2.5客戶端手機銀行。客戶端手機銀行是指在GSM和CDMA手機上下載客戶端軟件,通過Client方式訪問實現手機銀行功能。
客戶端手機銀行有KJAVA,BREW,IPHONE等不同平臺的版本。
客戶端軟件需要針對指定的手機終端進行開發,對客戶使用手機終端的要求較高,此外手機操作系統種類繁多,限于手機主頻、內存、屏幕等硬件資源因素,不同手機操作系統的能力和特點存在差異,增加了手機技術開發的難度,開發維護成本也較高。
3、手機銀行發展中存在的問題。
雖然手機銀行具有傳統商業銀行無法比擬的優勢,但作為一個新生事物,手其發展同樣存在各種制約因素,突出表現在: 1推廣成本高,用戶資費較高。目前中國銀行、工商銀行、招商銀行雖然都推出了手機銀行業務,但業務范圍不同,具體的辦理手續也不相同,且彼此互不兼容。一張SIM卡只能使用同一個銀行的賬號,用戶辦理其它銀行業務時須購買相應銀行的SIM卡,無法實現銀行間的轉賬操作和資源共享,造成了資源的浪費。并且手機銀行的收費標準是“信息服務費+流量費”,即用戶每月必須支付信息服務費,這部分費用在手機賬單中扣除,下載及操作過程中的流量費則由銀行收取服務費。與電話銀行和網上銀行相比資費仍然較高。
3.2使用不夠便捷,缺乏個性化。目前使用手機銀行辦理業務時操作相對復雜,相當一部分用戶,特別是對手機和網絡操作不熟練的客戶感到困難。各家銀行推出的手機銀行業務所提供的服務內容大多雷同,沒有特色。而手機這一普遍的通訊工具,具有強烈的個性色彩,那么針對手機銀行的目標客戶所提供的服務內容也應根據手機使用人群的個性特點設計才能更有效果。 3手機支付功能不足。目前,在歐洲電信運營商與餐廳、電影院、航空公司等第三方建立合作關系,實現了手機網上訂餐、訂票、訂座等多種服務。在日本使用DoCoMo3G手機的用戶用手機就可以輕松購買可口可樂,銀行在其中提供無線互聯網的在線支付。但在中國,手機銀行業務由于受技術、流程、合作伙伴等方面的制約還缺乏類似的個性化業務。 4安全問題。與網上銀行一樣,安全問題是人們最關心的問題。資金和貨幣的電子化,很容易使銀行在轉帳、交易、支付等服務過程中生成風險。無論是銀行,還是客戶如沒有足夠的安全保障是不會使用這一服務的。因此這就要求在實施手機銀行解決方案時必須考慮交易過程中所涉及的各個環節的安全性,采用比一般的信息增值服務高得多的安全保障機制,包括信息收發的保密性、完整性、不可抵賴性、公平性等。手機銀行安全性的顧慮是制約其發展的首要因素。要想快速、健康的發展手機銀行服務,就必須解決好安全問題,建立并維持一種令人信任的環境和機制。
4、關于手機銀行發展的建議。
隨著《電子銀行管理辦法》和《電子支付指引》等一系列法律法規的出臺,手機銀行市場將得到進一步規范,政策環境將更加有利于手機銀行業務的開展。同時,隨著人們生活水平的提高及IT技術的發展和普及,手機銀行業務發展空間越來越寬廣。在當前的有利形勢下,手機銀行要突破制約,提高自身質量,贏得客戶口碑,可從以下幾個方面進行有益的嘗試: 1降低進入門檻、減少服務費用。銀行方面進一步規范手機銀行的技術標準和服務標準,實現銀行間的跨行操作和資源共享。
同時應與運營商聯系洽談,降低信息服務費,同時簡化操作流程,達到減少下載及操作過程中的流量費用。 2探索差異化發展道路,持續提升客戶體驗。做好市場調研,挖掘不同用戶群的特色需求,開發符合需求的手機銀行業務。手機銀行的功能要通過良好的用戶體驗體現出來,人機界面外觀必須一目了然、賞心悅目,使用方式則要直觀、簡便、靈活,符合絕大部分客戶的使用習慣。對客戶操作的響應速度要足夠迅速,對操作錯誤或返回錯誤信息應提供合適的后續操作,防止程序崩潰。 3大力推動手機支付研發。手機支付已成為當今手機應用的熱點,銀行、運營商以及第三方支付平臺均想在這一極具發展潛力的領域搶占市場份額,各種技術解決方案紛紛出爐,雖然業界尚未有統一標準,一場支付領域的革命卻已蓄勢待發。在手機支付應用方興未艾的大環境下,銀行應該主動出擊,探索多種移動支付方式,如現場非接觸式支付、遠程支付等,努力尋求可行高效的解決方案,并加強與運營商、設備提供商、軟件服務提供商、第三方支付平臺等移動支付產業鏈上下游企業的合作,將手機支付整合到手機銀行的功能中,使客戶真正做到隨處支付,無卡消費。 4進一步提高手機銀行的安全性。手機銀行的安全性并不亞于網絡銀行。為了推廣手機銀行業務,促進手機市場的繁榮,服務商和各銀行也在積極地謀求相應的安全措施。手機銀行的技術基礎是計算機軟件、數據庫、數據存儲及網絡等多項技術,任何環節的缺失都會給這項業務帶來災難性的后果。而這些技術都不是停步不前,是在不斷發展中的,舊有的方法不斷被更新,過時的技術不斷被淘汰。這就要求手機銀行系統平臺及網絡架構也要不斷的更新,以適應業務發展及平臺安全運行的需要。在網絡安全方面,可對網絡進行仿黑客的模擬攻擊以檢驗網絡平臺的健壯性,也可請專門性網絡安全公司對網絡平臺進行安全評估。在日常維護操作方面,加強各種安全策略的制定,理順維護工作的各個環節,建立監督制衡體系,堵塞可能的安全漏洞。銀行方面,也通過在內部網設定SSL(Secure Socket Layer)及安全插座層,將通信內容密碼化以此保護網頁安全。此外,銀行還要求客戶設定ID號碼、密碼和確認密碼,在一定程度上強化本人確認的安全性,加大安全系數。銀行通過對客戶遭遇密碼被盜事件還提供補償保險服務,從而有效地減低了客戶利用手機銀行的操作風險。
【參考文獻】
[1]吳金。手機銀行技術發展淺析[J].聚焦專家視點,2010.3.
張應豐。手機銀行技術應用與發展趨勢[J].中國金融電腦,2010.5.
