时间:2022-04-01 12:18:57
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇数据保密解决方案范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
x®安全无线办公室解决方案通过一个全面、可靠的有线和无线基础设施,来满足所有网络需求。这一独特的解决方案可确保网络整体安全性、降低总拥有成本(tco),并提高员工生产率、增强协作和客户响应能力。
x安全无线办公室解决方案可解决企业面临的业务挑战
x安全无线办公室解决方案概述
x安全无线办公室解决方案将无线、安全和ip通信功能整合到一个全面的产品包中,其中包括:
x集成多业务路由器
使客户能在运行安全、并发的数据、语音和视频服务的同时,获得全网速。可选无线功能在单一设备中提供了宽带接入和安全。服务质量功能支持ip电话,可确保网络永远可用,提高员工效率、协作能力和生产率。
先进的安全服务能保证您的信息安全,使您的网络持续运行,这其中包括一个用于实现网络周边安全的集成状态化检测防火墙、高速ip安全(ipsec),和在互联网上提供数据保密性的vpn。这种集成安全功能有助于构建一个x自防御网络-利用威胁防御来抵御蠕虫和病毒,通过安全连接来保护有线和无线网络上传输的所有流量的保密性,并凭借信任和身份管理来确保只有符合公司策略的授权用户才能接入网络。
cisco aironet®接入点
cisco aironet接入点在安全、可管理性和信号范围方面均处于业界领先地位,是能高效满足smb需求的、基于标准的无线解决方案。接入点易于部署和管理,降低了整体tco,增强了总盈利能力。它们符合ieee 802.11a、b和g规范,极为灵活,能满足当前的企业网络需求,而且具有可扩展性,能支持未来要求。
cisco catalyst®交换机
cisco catalyst交换机具有所有必要特性,能为所有用户提供智能、简单、安全的网络,是x安全无线办公室解决方案不可缺少的一部分。它们无需大规模升级或重新配置主要网络,即能在未来部署先进功能,而且通过以太网供电等特性,它们可智能地连接到cisco aironet接入点。cisco catalyst交换机集成了系统安全功能,使网络在管理用户的同时能防止自身受到常见攻击的影响。
您将获得的收益
x安全无线办公室解决方案具有以下特性:
全面-一个全面的端到端解决方案能集中进行网络管理,不必再繁琐地整合来自不同厂商的各个组件。
可靠且能迅速响应客户要求-通过保持持续可用性和安全性,x网络在加速客户响应的同时使用户在安全性方面高枕无忧。
安全-内嵌于x安全无线办公室解决方案的安全技术为smb网络和数据提供了全面保护,还有助于符合政府法规。
2007年,针对企业客户在安全方面的需求,微软面向企业客户推出了全新的Forefront安全解决方案。
可信赖计算是一个长期的、依靠集体协作完成的计划,它可以为每个人带来更安全、保密和可靠的计算体验。它是微软公司的核心安全技术。可信赖计算主要包括以下四个组成部分:软件、服务和产品中的安全性、保密性以及可靠性,还有业务惯例中的诚信。
安全性
微软已经并将继续投入大量的资金和资源来提高微软产品和技术的安全性,诸如Windows XP SP2、Windows Server 2003在安全性上的增强有目共睹。
另外,微软还提供了基于业界广泛认知的最佳实践,以及相关实施指导、培训,从而帮助客户利用安全的微软产品实现安全的网络应用。
2007年微软Forefront安全解决方案推出,使安全性得到了进一步增强,通过网络边缘、服务器、客户端三个纬度的共同防御,实现纵深安全性。
尽管安全性的问题并非微软一家软件厂商就能够从根本上解决,但是通过微软Forefront安全解决方案,可以协助广泛的企业客户将安全性问题对计算机使用的影响降至最低。
保密性
今天,计算机与用户之间的联系越来越广泛。这就使得有人有机可乘,利用广告软件或垃圾邮件等手段侵犯用户,或者使用间谍软件或账号盗用软件等方法窥视其他用户行为,并且从中捕捉敏感信息。
为最大程度上保证保密数据不被侵犯,最有效的做法就是使恶意软件、广告软件等无法侵入企业内部。Forefront Server Security解决方案通过在Exchange和SharePoint进行消息过滤,可有效降低可能侵犯用户隐私代码到达用户计算机的可能。
微软公司将不断进行新技术的开发,增强安全性,从而帮助企业保证核心业务数据不被非法窃取和损坏。
可靠性
数字时代并不仅仅是指计算、吸引企业、知识工作者和家庭的注意力,以及构建一些将所有这些因素联系起来的标准这三者之中的任意一个特定的方面。它们的核心是可信赖的系统,也就是可以按照用户希望的方式非常可靠地运行的系统。
因此,微软面临的最大挑战是软件和计算生态系统越来越复杂,同时缺乏评定可靠性的真实标准。微软公司希望开发出一种无缝计算机制,使其中各类型设备同时运作,就像它们都在一台设备上一样。微软认为,可靠性是这一远景的关键推动力。
为了实现可信赖计算的最终目标,微软公司从以下三个方面进行了不断努力。
1. 技术的投资
微软公司的目标是将客户的需要作为头等大事来抓,以便为他们提供一个最可信赖的计算环境,致力于为客户提供更有价值的安全解决方案。
2.高度负责的领军人物
近日,Oracle针对数据库的安全推出了一系列的解决方案组合,可保护数据隐私,防范内部威胁,并确保遵守法规,用户无需改变应用程序,即可部署可靠且经济有效的解决方案。据刘松介绍,组合中的Oracle身份管理系统使客户能够高效地满足合规要求,保护其关键的管理软件和敏感数据,并降低运营成本。
据了解,随着全球经济的高度发展和技术的快速进步,以往公认的安全状态已经发生了清晰而显著的转变,企业不仅面临着海量增长的数据、频繁的数据侵犯、内外部威胁、各种法规监管要求等诸多数据安全性领域的挑战, 还需要应对外联网安全性、分散的应用安全性和身份孤岛等带来的应用安全性领域的问题。因此,众多企业纷纷把数据安全和应用列为IT建设的关键。
据介绍,甲骨文拥有30多年数据库安全方面的经验,能为企业提供全面和透明的解决方案,“所谓透明就是让客户在没有负担、不知道的情况下对数据进行自动保密。”刘松表示, Oracle Advanced Security提供了透明的数据加密技术和密钥生命周期管理,可高效加密所有应用数据,无需更改基础架构且易于实施。
中图分类号:U666 文献标识码:A 文章编号:1006-7973(2016)07-0039-02
CORS(Continuous Operational Reference System,连续运行卫星定位服务综合系统)是目前卫星定位技术应用的发展热点之一,随着国家信息化程度的飞速提高,近几年国内不同行业都陆续建立了一些专业性的CORS网络。为满足国民经济建设信息化的需要,一大批城市、省区和行业正在筹划建立类似的连续运行网络系统,国内发展CORS系统的紧迫性和必要性越来越突出,一个CORS系统的建设正在到来。而广西相对于全国其他省份,CORS系统的建设和利用水平更是有待提高。
1 CORS系统坐标转换方案的保密设计
通常CORS系统用户测量所得到的是全球坐标参考框架下的三维地心坐标(WGS-84坐标或2000国家大地坐标),而实际测量生产中所使用的是平面和高程基准相分离的坐标体系:平面采用国家坐标系统(1954北京坐标系或1980西安坐标系)或地方独立坐标系统,高程则采用的是正常高系统。根据《测绘管理工作国家秘密目录》的规定,转换参数与水准面数据属于机密级的保密范围,因此就会出现了CORS系统的坐标转换方案的保密设计问题。目前国内主流的几种解决方案有:
(1)完全不提供转换参数;
(2)基于参数文件加密的坐标转换方法;
(3)基于WEB的在线坐标转换方法;
(4)基于差分电文的坐标转换方法;
(5)基于网络的在线坐标转换方法;
以上五种技术实现的解决方案各有优缺点。其中,第一种方案为早期的CORS系统所采用,因为不提供转换参数,用户必须自己通过联测一些已知点而求解转换参数,从而不能实现坐标转换的精度均匀性和成果一致性。这种方案安全性基本不存在安全性的问题,但也严重限制了系统的应用。第二种方案保密性好,但只用于小型的单基站CORS系统,不适用在大区域,硬件通用性低;第三种方案保密性好,只能用于事后坐标转换,实效性差;第四种方案保密性好,但只能提供指定坐标系的成果;第五种方案通过网络提供在线多种坐标系的坐标转换服务,具有扩展性和通用性强,成果精度均匀的特点,保密性取决于系统的安全设计,是目前采用最多的方案。
2 基于网络的在线坐标转换方法
为了避免用户接触到数据,因此将转换计算过程交给控制中心的服务器软件进行。用户端通过网络通讯按照数据协议将待转换坐标数据发给服务器软件即可获得转换后的结果。在线坐标转换系统实际上是独立于CORS定位系统的独立系统。其系统运行原理如下:
2.1 用户作业模式
由于同一个CORS系统可能存在多套地方坐标系统,为了在一个坐标转换系统中服务不同的用户,用户的作业模式可按以下步骤进行:
第一步,用户通过GPRS网络以用户名和密码登录坐标转换系统。系统向用户发送支持的坐标转换名称索引表,例如“WGS84至BJ54”、“WGS84至Xian80”、“WGS84至CGCS2000”、“CGCS2000至地方坐标系”等用户能直观理解的坐标系统。
第二步,用户在列表中选定所需要的目标坐标系统。这样以后的转换中,网络数据包中将包含有该坐标系统的唯一ID索引信息。
实际上通过引入一个参数信息列表的电文就可以实现一个CORS系统服务于不同地方用户的目的。
2.2 通讯协议与数据结构
通讯协议的设计首先考虑是数据包的结构简单,易于编码和解码,采用二进制编码以控制数据结构体大小,减少数据传输的网络流量负担。数据包结构设计如下图所示:
考虑到终端用户的数量,网络通讯模式使用UDP网络通讯。完整的通讯协议集合包括用户验证登录电文,获取坐标转换参数信息列表电文,坐标转换功能电文,用户在线心跳电文等。
2.3 不同厂家的手簿软件的兼容性问题解决
一套在线坐标转换系统能真正推广运用的关键在于不同仪器厂家的手薄软件是否能成功的接入系统。系统可通过使用网络通讯作为各厂家手簿软件与服务软件交换数据的方式。通过制定并向各厂家公开一套通讯协议及数据格式即可实现标准的统一。同时为了进一步简化各厂家手簿软件的修改难度,系统在手薄端可以设计一个客户端服务软件作为中转接口。厂家的手薄软件通过客户端服务软件与控制中心的服务器软件通讯。这样的设计保证了升级坐标转换软件系统部件并不会强制各厂家手薄软件升级。保障了软件功能的可扩展性而且维护方便。这种三级软件分层设计见下图:
从上图可以看出,接口软件作为服务软件与手薄软件的接口,承担了用户验证,在线检测,掉线自动重新登录,坐标转换,短信消息等多个功能。而各手薄软件仅需要启动接口软件并登录后,即使用接口软件发送坐标并等待获得转换结果,由于接口软件与手薄软件同时位于用户端,网络通讯非常稳定,保证了手薄软件的稳定性。
2.4 服务软件的数据安全性设计
在解决了手薄端的软件问题后,还必须要有一个稳定的后台即控制中心的服务软件以满足转换及管理的需求,实际软件包括了用户管理,坐标转换计算,日志数据入库,恶意攻击防护,数据保密设计等功能模块。
其中对参数文件与格网数据文件的保密措施是整个系统的关键。我们可设计成多重防护:
(1)所有参数加密,经过核心管理人员加密后方交给系统管理人员使用。
(2)服务软件将密文形式的参数文件加载到内存后即将参数文件全部删除,这样即便服务器遭到入侵,也能保证关键数据文件不被获取。
(3)对在线用户的转换频率及权限进行限制,避免恶意用户高频率转换并获取大区域的海量转换成果。
(4)具备用户组概念,对于不同用户组可以定制其授权的转换区域,以避免用户跨区域转换。
(5)系统日志及用户行为全部人数据库记录,以便于查询和非法行为检测。
2.5 服务软件的稳定性设计
由于GPRS网络在某些区域或时段并不稳定,恶劣条件下会导致数据通讯不流畅或延迟甚至是错误数据。为了保障系统服务的稳定性及可用性,本系统采取的措施包括:
(1)数据结构中设计了校验码,用于校验数据包是否正确,避免误码情况。
解决语音通信加密难题
语音通信是现代通信的重要内容,也是敌对势力和不法分子攻击、窃密的主要对象之一。因此,面对无处不在的信息安全威胁,语音加密通信已经在党政军警和特殊行业普遍使用。长期以来,受限于现有保密技术水平而无法像语音明文一样实现跨网络、跨制式与跨终端互通,语音保密通信只能在相同网络、相同制式,甚至相同型号终端之间进行互通,极大地限制了语音加密通信的应用价值,给党政军警和特殊行业的信息敏感部门在执行各种任务的过程中带来诸多不便。
目前,广泛应用的无线通信系统,包括各种制式的移动通信网络、卫星通信网络,为了提高无线频谱的利用率,在终端和基站之间的无线信道通常采用声码话的方式进行通信,而到达基站后,则需要将声码话转换成标准的64K PCM,再进入交换网络,实现信号交换,并与其他网络互通。通信网络的基本模型如图1所示。
在上述情况下,需要在终端和基站分别配置一个相同制式的声码器,对语音信号进行转换。声码器只能对语音信号进行处理,并且只有相同体制、相同参数、相同速率的声码器才能实现互通。语音信号经过加密后就变成白噪声,如果不进行特殊的处理,是无法穿越声码器并进行还原的。因此,目前,通信系统广泛使用信道加密的方式,即在终端声码器之后的信道部分对信息进行加密,而在基站,则需要进行解密,以便明文通过声码器,进入交换系统。这样一来,只能实现无线信道的半程加密,安全性无法保证。为了实现全程加密,需要对系统进行改造,旁路基站侧的声码器,并对加密数据进行适配,使之能在交换系统中透明传输。
信道加密具有以下特点:仅限于相同体制、相同参数、相同速率设备之间加密互通,无法实现异网保密互通;在不考虑声码器属性的情况下,等同于普通数据加密,技术实现简单;需要终端开放底层应用开发接口,容易被劫持或篡改,较适合功能机或驻留安全OS的专用智能机;需要改造基站,以实现加密信号的透明传输;需要改造交换机,以支持相关信令。一个典型的信道加密过程如图2所示。
除了信道加密方式,还有信源加密方式。这种加密方式是在声码器之前对语音信号进行加密处理,要求加密后的信号依然呈现出语音的特征,才可能透过声码器实现保密通信。自上个世纪90年代以来,基于信源加密的语音密文互通技术一直是信息安全领域的热点研究对象,先后出现了信源扰频加密、信源时频域乱序加密、类语音调制加密等解决方案。这些技术和解决方案都不同程度地推动了语音密文互通技术的发展。但是,原有这些信源技术存在保密强度低、语音质量差等严重缺陷,用户接受度低,无法大规模推广使用。
要解决上述信源加密存在的问题,必须解决四大技术难题:声码器穿越情况下的良好音质,声码器穿越情况下的精准同步,声码器穿越情况下的数据调制解调;声码器穿越情况下的密钥交换。
针对这些难题,芯盾公司多年来潜心研发,在业界独创性地提出了DR4H信源加密支撑技术体系(以下简称DR4H技术体系)。DR4H技术体系包括五大技术:动态重构正交频分复用相位调制技术、时频域多重多维变换与特征提取参数重构技术、全谱探测与特征参数跟踪的精准同步技术、信道参数实时跟踪与断点隐蔽记忆技术。
DR4H技术体系实现的信源加密具有如下特点:独立于声码器,可实现全程加密、异网互通;不改变既有终端与网络,甚至不改变用户使用习惯;真正的数字加密体制,保密性能好;良好的语音质量,保密话与明话相比质量无明显下降;产品形态多样化,性价比更好。
此外,DR4H还在密钥交互方面支持双因子远程安全认证,可以极大地拓展DR4H技术体系的应用范围,在包括金融、物联网、车联网、智能控制与工业4.0等领域可大显身手。
为合作伙伴创造价值
芯盾公司的愿景是:做信息安全领域的高通,掌握自主核心技术,引领新一代信息安全技术的发展。公司的主营业务包括信息安全核心技术、软硬件产品和整体解决方案的研发,以及销售和信息安全服务。公司依托DR4H信源加密融合支撑技术体系,专注信息安全技术,提供整体解决方案,稳居产业链前端,引领技术与产品的创新,致力于为合作伙伴创造价值,实现双赢,共谋持续、健康发展。
芯盾公司的商业模式是:专利技术授权+芯片销售+PCBA销售、整机ODM/OEM和方案订制。
掌握核心技术
信息安全事关国家和社会的稳定,以及国家的发展战略。为保障互联网安全、国家安全,我们必须在某些方面、某些领域突破核心关键技术,实现弯道超车。
截至目前,芯盾公司就DR4H技术体系提交了5项国家发明专利,已被受理,还获得了6项实用新型专利,另有数十项发明专利、实用新型和外观设计专利、软件著作权在申请过程中。DR4H技术体系在严格遵循国家相关安全标准与密码规范的前提下,安全便捷地实现了语音跨网络、跨制式和跨终端的保密互通,支持多个安全等级、多种密钥交互方式。芯盾公司还推出了手机安全伴侣、安全一体手机、座机安全伴侣、安全平板座机、安全对讲耳机、安全三防手机、安全三防PAD等系列化信息安全终端产品,解决了困扰信息安全业界多年的语音密文互通的重大技术难题,实现了公众移动网7模之间,以及公众移动网与固定电话网之间的语音、数据保密互通。另外,芯盾公司还解决了海事、全球星和铱星,以及我国刚刚发射的天通一号与其他网络保密互通的问题。
芯盾公司密扈蓝牙耳机是一款基于DR4H信源加密融合支撑技术体系的终端保密设备。客户不需要支付高额费用购买、更换加密手机,无论现在用什么网络、制式、品牌的手机,只需将密扈蓝牙耳机通过蓝牙与在用手机链接,即可与持有基于DR4H技术的保密设备的通信方进行加密通信。密扈蓝牙耳机也可以作为普通蓝牙耳机进行明文通信。
密扈蓝牙耳机的优势如下:
全程加密,异网互通。密扈蓝牙耳机基于业界独创的DR4H技术体系,可以实现7模移动网络之间的全数字信源加密互通,亦可与DR4H技术体系的固定电话座机、卫星移动终端等实现加密互通,开创了电路域全数字信源加密不受网络、制式、终端限制,全程加密互通的先河。
信源加密,安全可靠。密扈蓝牙耳机作为手机伴侣,独立于移动终端,通过全数字信源加密、密钥实时交换和二元安全模式,实现了真正意义上的端到端全程数字加密。
时尚简约,使用方便。密扈蓝牙耳机通过蓝牙协议连接各种制式的移动终端,无需改变运营商和电话号码,即可实现密话通信,还可以根据需要随意选择终端和号码,具有很大的灵活性。
Websense资深技术顾问陈纲指出:“数据泄漏防护技术已被列入2009年IT行业九大热门网络技术之一,足可见当前企业对数据泄漏防护的重视程度。而真正确保企业核心机密数据的安全可靠,需要集合企业、安全厂商、员工等多方努力配合来最终实现。”
数据泄漏几大渠道
根据Websense的研究报告,如今数据泄漏的渠道包括以下几点:
运用网络攻击手段:此类数据泄漏现象主要存在于以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等可使不法分子直接攫取非法暴力的企业。这类窃取主要通过服务器攻击、木马程序置入等。
利用Web2.0:博客、SNS、BBS、社区等Web2.0应用的兴起为企业的业务开展创造了更便捷的平台,但与此同时,这些应用所带来的新型攻击、员工工作效率下降和数据泄漏风险也让企业头痛不已。网络犯罪分子通过将一些恶意URL链接、仿冒视频播放程序的木马、病毒下载器等恶意软件或链接放在各种Web2.0应用中,通过参与热点话题的讨论来吸引用户点击。
内部员工非法窃取:员工的忠诚度不够及职业素养的缺失会导致企业核心机密的流失和泄露,这种泄露主要通过即时通讯、FTP上传、移动存储、打印、电子邮件等实现。
IDC此前的数据也显示,企业所存储的数据量正在大幅增长,由此所产生的对于各种形式如台式机桌面、笔记本、文件/存储服务器、USB驱动器和其他类型信息的防护和控制需求,其增幅将有望在2011年超过那些传输中(如E-mail)和使用中(如合同或议案等)的文件增幅。
数据防护安全体系
陈纲指出:“数据泄漏防护体系的打造需要整合企业、安全厂商,员工等多方努力协作。一方面,企业制定可控性强、人性化的网络访问策略和数据访问、使用策略;同时,安全厂商更好的研发基于内容识别分析、传播途径及传播状态分析等技术,帮助企业实现策略规定,确保数据的不流失;另外,员工自身也要加强网络访问的警惕性,不随便登陆陌生网站,减少与工作无关的视频、Web2.0网站的访问等。”
目前市场上存在的数据泄漏防护解决方案提供商非常多,以Websense为代表的国际主流安全厂商和本土等厂商均推出了各种形式的数据泄露防护解决方案。这些解决方案的最终目的只有一个:确保用户的数据安全,防止数据落入不法分子手中――无论有意还是无意。
企业在进行日常工作的过程中,数据的使用无时无刻不在发生。因此,专家认为完善的解决方案应该能够满足以下几点要求:
数据有效识别――能够迅速判别根据企业的不同特点。明确何种数据是机密数据,何种数据是可对外公开、传播的数据。这是企业数据泄露防护的第一步,也是最关键的一步。只有明确判定数据的属性,才能更好的实施安全防护。
数据传输进程判断――无论是通过邮件、即时通讯还是电脑终端,数据的传输需要途径。准确判断数据当前所处的状态和传输进程,可有效进行安全防护措施的实施。
灵活的策略制定――企业管理者拥有对数据使用策略的制定权,但策略制定后
通过在自身的方案中采用开放的、基于标准的技术,不仅可以马上收到成效,同时也为政府实现长久的经济效益打下了坚实的基础。Novell政府解决方案依托基于身份的先进技术,同时又有世界级的咨询和支持服务提供坚实的后盾。
Novell电子政务解决方案
针对HSPD-12研发的基于身份和证书的验证:Novell 基于身份和证书的验证解决方案可以确保政府机构遵守HSPD-12的逻辑访问要求。
刑事审判解决方案:Novell刑事审判解决方案能使政府采用开放标准,迅速而安全地提供跨多个部门的刑事审判信息共享。
基于策略的市民门户解决方案:Novell 基于策略的市民门户解决方案能使政府向正确的当事人交付正确的信息,同时也为广大市民提供了当地政府业务办理的单一地点。
Novell的电子政务解决方案在安全身份管理、开放源代码、和经认证适合政府使用的Novell技术方面具有无与伦比的优势。
安全身份管理领域的优势
Novell 在安全身份管理领域具有丰富的经验,几乎每一个主要的行业分析公司都认为Novell Nsure是安全身份管理市场中的领先产品。Novell Novell提供了能够支持大规模部署的可扩展目录基础结构、业内领先的身份同步、准备和访问控制功能以及对一系列身份验证机制的广泛支持。
此外,Novell Nsure安全身份管理平台强化了四种类型的Novell政府解决方案功能,它们是个性化的入口、数据和应用程序集成、安全基础设施以及核心基础,它还加强了身份的使用,以控制上述的每个方面的人和资源之间的连接。
在政府入口方面,Novell身份管理功能可识别用户,并授权他们访问特定的资源和信息。这使得入口能够合并和个性化正确的资源组合,以满足每个用户特定的需求,这些操作全部在保密和安全的情况下进行。
在全面的应用程序和数据集成方面,Novell身份管理功能能够保证数据、应用程序和进程之间的安全、自动连接,其方法与身份管理常用的控制人和资源之间的连接方法相同。其结果是“用户”(如应用程序)能够从其它系统安全、自动地访问“资源”(如进程或数据集),所有这些都基于身份管理为其建立的简报。
安全基础设施也依赖于在全面的身份管理系统中身份简报的创建。任何人在从政府机构访问文件时、在访问政府万维网站点的敏感区域时、或在请求政府工作人员或数据库提供保密信息时,都必须建立和确认身份。
最后,为了让核心基础能够提供简化用户和系统管理的服务,全面的身份信息必不可少。核心基础的以下功能将使用用户身份信息:根据用户职能委托系统管理任务,向适当的工作站自动分发软件更新,等等。
身份管理是提供服务的基础。它为个人和小组的工作效率提供框架,提供网络访问,它使得系统和设备兼容,个人和机构之间协同工作。所以对于任何政府解决方案来说,它都是一个重要的功能。
开放源代码技术方面的优势
政府组织对开放源代码计算解决方案越来越感兴趣。
专有技术供应商为了让用户专注于其系统,并且为日后频繁的更新费用打好伏笔,它们使用了新的并且更为繁琐的许可策略,这对用户施加了相当大的压力。此外,人们对目前常用的专有计算平台的安全性、可靠性和性能越来越感到担心。
开放源代码解决方案有效解决了左右政府IT策略的主要预算和基础设施等方面的问题。
开放源代码解决方案降低了许可和维护费用,并且可以在更为便宜的硬件平台上部署,因此有助于削减成本。所以对于 IT 专业人士来说,开放源代码替代方案越来越具有吸引力。
Forrester Research最近进行的一项调查表明,在接受调查的大型公司中,有60% 的公司已经采用或计划采用开发源代码技术,并且有半数的公司将其用于关键业务应用程序。它们采用开放源代码的主要原因是:购买成本低、总拥有成本低以及硬、软件选择余地大。
开放源代码允许和提倡全球的成千上万名开发人员进行协作性开发,从而能迅速解决问题。例如,与专有技术解决方案相比,开放源代码解决方案通常更加安全,因为大型的开放源代码开发人员团体能够以更快的速度发现并消除系统漏洞。此外,因为开发人员能够访问开放源代码解决方案中所有安全模块的源代码,所以组织能够自定义安全策略和实施方式,以满足特定的需要。
开放源代码能够确保使用的灵活性,因为它为多个硬件平台所支持;能够轻易对它进行修改,以满足特定的要求;它还为动态的开发人员团体所支持。
此外,开放源代码在策略上的诱人之处在于它能够降低在执行公共业务时对某个专有技术提供商的依赖程度。最为重要的是,开放源代码可以增强政府长期的机动性和灵活性,并且允许政府更快地对变化作出反应和部署新功能。因为开放源代码多方面的好处,因此在政府解决方案中都应更加支持开放源代码技术,并且向采用开放源代码的组织提供迁移服务。
选择Novell作为合作伙伴,政府能够在核心基础中充分利用开放源代码技术。Novell提供了一系列开放源代码选择,包括Linux操作系统、增值的Linux 服务(比如:文件和打印)、拥有办公套件的综合桌面以及遍布全球的Linux业务和技术支持。Novell还提供了Linux迁移服务和全球咨询和培训服务,以帮助政府将适当的核心基础技术迁移到开放源代码替代方案。
为政府提供保障的Novell技术优势
Novell国际密码基础结构 (NICI) 是 Novell产品的安全服务中常见的基础结构。该基础结构符合“联邦信息处理标准” FIPS 140-2证书状态,表明它满足美国联邦政府在保护敏感数据方面的采购要求。
此外,Novell Linux解决方案提供了全球政府机构所要求的安全保证级别。Novell SUSE Linux已经获得了业界领先的“公共标准评估保证级别3+”(EAL 3+) 证书及“受控的访问保护概要文件”(CAPP),目前正在为获得EAL 4+/CAPP证书而努力。该证书能够保证Novell的安全级别已由合格的第三方评估、验证和认可。
Novell SUSE Linux产品的性能和支持流程满足甚至超过商用操作系统产品的安全性要求,这一点已为世界所公认。此外,Novell还在世界范围提供Linux技术支持,并通过“Novell Linux保障计划”保证部署Linux是一个安全的选择。
Novell公司推出下一代开放企业平台―SUSE Linux Enterprise 10。SUSE Linux Enterprise是安全可靠的从桌面到数据中心的各类企业计算的基础。SUSE Linux Enterprise 10是首个提供充分Linux创新特性支持的平台,这些创新特性包括Xen虚拟、非凡的性能、可扩展性、应用级安全和改进的桌面可用性。由此,企业将能够在依托Novell公司业界领先的支持、服务和培训的同时体验到最佳设计的Linux所带来的灵活性、功能性和可靠性。
SUSE Linux Enterprise是开放企业平台,提供建筑在当今企业内所有最重要的技术领域开放标准之上的强大解决方案、数据中心、工作组、桌面、安全和身份、以及资源管理等。
SUSE Linux Enterprise 10是所有Novell公司下一代企业Linux产品的基础,包括SUSE Linux企业服务器系统和最近的SUSE Linux企业桌面系统。另外,Novell公司针对广泛的IT需求所提供的解决方案都是基于在SUSE Linux Enterprise之上实施而设计。
虚拟化
SUSE Linux Enterprise 10是首个完全集成和支持Xen 3.0的企业平台,Xen 3.0是新兴的虚拟化服务开放源代码标准。Xen 3.0可使企业在一台服务器上运行多个工作任务。有了Xen 3.0,客户可以最高效率地配置系统和应用程序。根据Gartner提供的数据,数据中心服务器平均仅发挥20%的能力。使用SUSE Linux Enterprise之上的Xen虚拟技术,客户可以提升将近70%的服务器运行效率。
安全
只有SUSE Linux Enterprise包括保护客户系统和进程应用级安全的服务,即Novell AppArmor。利用开放源代码的AppArmor,客户可快速容易地部署在服务器和桌面两端的强大的应用级安全,同时降低IT人员的工作负荷和减少总拥有成本。AppArmor帮助客户快速开发和执行安全策略,保护基础设施免受寻求利用应用程序缺陷者的攻击。
AppArmor提供保护关键基础设施的工具,并无需在时间、资源或培训方面进行大的投资。SUSE Linux Enterprise还充分支持文件加密系统、防火墙、认证管理、入侵探测和入侵防护方面领先的开放标准。
软件管理和客户关怀
订购了SUSE Linux Enterprise的客户可以利用Novell客户服务中心常规的更新服务访问最新增强功能、bug修补工具和安全补丁,确保得到最新功能和最佳硬件的支持。
Novell客户服务中心是一个集中化的在线门户,也提供技术支持,是和Novell ZENworks Linux Management完全集成在一起的。得到领先的硬件和软件厂商支持和认可的SUSE Linux Enterprise 10 由Novell获盛誉的技术支持和全球合作伙伴和服务系统助力。
货主企业业务量大,门店分布全国,因此物流供应商多且散,传统的纸质交接,存在事后找不到凭据,异常情况传递延迟等弱点。信息不通透,货主无法捕捉到真实的数据,从而对承运商进行有效及时的评定。
而对企业内部,管理方式过于传统,人工使用频率高,重复劳动多,难以保证100%正确率,通常等待运输完成后几个月,才录入早已完成的信息,处理账单结算等事宜,造成了运输过程中信息的严重不透明、不对称,从而导致了大量人力物力的低效和浪费。
国内专线资源丰富但信息不透明,传统公开招投标投入大、存在风险,货主难以有效获得服务可控、成本适中的物流整体服务方案。
在此背景之下,运输协同解决方案服务商上海先烁信息科技有限公司(后文称oTMS)应运而生,他们开始仔细审视运输这个曾经的黑匣子,思考如何去改善流程,去获得更大的节省、更快的客户反应、更好的终端客户体验。
oTMS通过社区型运输协同平台,打破传统物流层层外包信息不透明,难管理的现状,将货主、第三方物流公司、运输企业、司机和收货人无缝连接起来,形成更加透明且高效的运作链条,帮助各方轻松管理运输业务。oTMS通过丰富的行业经验和资源,向客户提供运输业务整体解决方案,帮助客户构建运输商业网络;同时也可以帮助企业优化运输解决方案,创造最佳的客户体验。
产品主要内容
oTMS用云平台的概念连接运输流程中所有环节的参与者,包括货主、第三方物流公司、承运商、司机,甚至最终收货人,形成一个基于核心流程的、平衡的、多赢的在线商业生态系统,相当于是线下运输的一个线上镜像。并且以系统数据平台及专业咨询顾问团队为依托,提供交易咨询服务,带给客户全新的一站式物流管理服务。
1.交易咨询服务
依托oTMS平台内客户沉淀的众多服务可追溯、成本可控的承运商资源,配备专业的解决方案团队,根据客户实际需求,制定提供运输协同解决方案。
1)运输交易优化
A.客户物流业务现状梳理与问题诊断
B.匹配客户需求的招投标服务+管理软件的总体解决方案提供
C.基于新建物流业务架构或渠道整合提供定制化的运力配置方案
D.基于oTMS优质、可追溯运力池的供应商筛选、接洽
E.咨询顾问和客服团队对接及专业的项目推进体系支撑
2)物流运作咨询
oTMS咨询团队将基于丰富的物流实操+理论基础,把脉行业发展动态,为客户提供专业的物流业务分析及咨询服务。
2.社区型TMS
1)oTMS云平台
无缝对接企业现有的ERP/WMS系统,也可新建运输订单,分配并承接多级承运商及运输司机,完美解决中国运输市场层层转包的现状。
设立KPI考核,杜绝运输过程中的人为因素,让真实数据说话,据此评价承运商的真实运输能力、服务能力及管理能力。
分配订单后货主企业仍可在协同平台上追踪货物在途运输实况,了解运输中出现的异常情况,使信息传递顺通无阻。待货物交接之后可立即对运输账单进行审核及确认,加快运输流程运营效率。
在合作承运商无法满足运力的情况,或临时猛增的大规模运输需求时,企业还可以在云平台选择拥有真实评价的其他承运商进行合作,得到更有保障的运输体验,解决运输各种无法预测的多变情况,加重oTMS无车承运人的角色演绎。
云平台在不改变成现有运输情况下,达到端对端的运输流程管控的目标。同时,伴随运输流程产生的大量真实有效数据,形成企业内部的数据中心,为企业大数据管理与分析提供宝贵的基础。
2)卡卡APP
对接云平台,可随时接收承运商发送的订单,及时了解运输需求,并按需进行提送货确认。手机APP可直接调用摄像头及LBS应用,报告运输位置。
提供交接货物的电子回单,随时可进行异常情况汇报,让运输流程真正达到透明化、实时化。
3)到哪了APP
对接云平台,可随时查看订单,反馈异常,批量收货,完成收货后,可对司机服务进行真实评价,改变中国运输市场中长久以来的人情问题,让B2C行业中的评价体系进入B2B运输市场。
4)BI智能分析工具
线上定制企业专属KPI,并首创地图展示,帮助企业建立运输全局观。设立分类查询,报表导出,以真实有效数据对各承运商进行KPI对比,支持企业管理。在互联网+时代利用大数据进行承运商考核,简化手工制作图表工作,同时基于运输线路长久处于动态的情况,让更多优秀的承运商成长壮大,获得更多利益,最大程度优化货主企业的供应链。
oTMS的独特价值
1.拥有专业的解决方案团队
oTMS先进的信息技术与管理理念,还有对物流行业的创新探索精神,得到各方关注的同时,吸引了众多优秀人才,组成专业的解决方案团队。
1)团队成员主要来自甲方和大型3PL 2)具有丰富的物流行业经验
3)拥有深刻的行业认知和信息渠道
2.拥有完善的项目运营体系
oTMS组建之初至今,已服务超过900多家客户,并且满足客户的不同需求,已形成相当成熟的项目运营体系。
1)oTMS拥有从产品到运营,完善的客户服务团队
2)oTMS的产品与服务已帮助数百家货主、物流企业实现运输交易与管理的优化
3.拥有丰富的承运商资源
oTMS通过社区型运输协同平台,打破传统物流层层外包信息不透明,难管理的现状,使物流运作形成透明且高效的运作链条,更经济、便捷地帮助各方轻松管理运输业务,吸引了众多物流资源集聚平台。
1)oTMS和传统方案的差异:
两类系统的根本区别在于应用视角完全不同,传统TMS着力为大型企业构建单一管理工具,合作方更多是提供数据支持;而oTMS的社区型将业务链上的各种角色纳入平台中,各方都在系统中拥有自己的账户、自己的应用功能,同时各方之间可以在平台上共享数据。
2)oTMS引入APP实现移动操作互动
移动终端的使用,让运输管理由链条式转向网络结构成为可能。oTMS提供的是做互联的一套协同产品,为贯穿这个链条提供协同平台。
3)oTMS独创握手交接模式
在现有运输环节上,回单是核对账务及辨识货物是否完整交付的依据,司机送货完毕后,需将回单带回,所以单证是非常重要的一环。
oTMS独创性的“握手交接”功能可通过卡卡和到哪儿App扫描订单二维码的方式轻松进行收货确认的操作,解决了传统纸质回单传递周期长,丢失损坏甚至信息错误的问题。
4.【客户案例】
客户:某快消品货主企业
目标:构建匹配业务发展的运输解决方案
客户基本情况:
1)经销网络覆盖全国,现有运输体系难以支撑快速发展的业务需求
2)承运商多但缺乏管理,合作不深,服务能力不稳定
3)缺乏应急处理能力,节假日发货困难
5.oTMS服务及价值:为客户提供咨询+招投标+软件一体化解决方案
1)针对客户需求及现状,提出满足短期节假日运输应急方案及配合其中长期业务发展需求的物流总体方案
2)基于oTMS平台内运力资源,使用oTMS招投标模块,帮助客户寻找匹配其需求的承运商资源,优化客户承运商资源
3)提供支持其全国范围物流协同管理的SaaS版TMS + APP
oTMS应用效果
1.企业管理效益
1)全局视图
通过一个开放的运输管理平台连接运输链条中的合作伙伴,各方在系统中拥有自己的账户及对应的功能,同时可以在平台上共享数据,而平台方可以为每一个用户提供其平台上业务的全局视角:
A.免费连接&容易操作:像微信添加好友一样容易
B.唯一可以实现多层连接的TMS
C.独特设计的信息传递机制,跨级信息保密制度,该分享的分享,该保密的保密
D.下游承运商&司机:不限链接数量和层级
2)全程管理+异常管理
通过运输管理系统紧密结合业务流程,管理订单全过程,实现企业协同,提升整个运输链条的管理水平及效率:
A.通过APP回传的第一手信息,平台用户可零时差在PC端查看,改变对突发异常情况只能事后处理的被动处境。
B.系统会根据APP内设置的定位频率,主动抓取位置信息,并显示在百度地图内,各定位的连线可组成路径回放。
3)数据分析
系统沉淀真实业务数据,账单/KPI报表实时可查,为运营管理提供基础:
A.系统会根据计费周期,定时生成KPI和账单。快捷精确,并且透明,灵活。
B.定期主动推送至管理层邮箱的KPI报表和多维度分析报告可以帮助管理者更好地了解业务状况。
2.经济效益
1)KPI提升,销量上升
通过与ERP系统等的有效对接,实现了真实的市场信息的采集、分析和处理,为准确、及时、有效地提供物流服务提供了保障。各项KPI指标均大幅度提升、终端客户的满意度提高25%以上。
2)成本降低
通过项目的成功实施,减少了和各方沟通的时间,减少了人工错误,减少50%负责沟通的员工。提升了整体物流运行效率,提高了整体仓储各环节之间的衔接速度和有效性。
3.社会效益
1)节约社会资源
互联网+改变传统行业的热潮当中,oTMS获得资本方,融资方及客户方的认可;整合物流信息,节约社会资源。
第一步:评估企业需求
企业推行身份管理解决方案的原因,大致可以归结为以下八个方面。
1. 管理及维护的费用太高;
2. 单点登陆访问和集成用户体验;
3. 确保关键型业务应用安全的代价太高;
4. 敏感、私密的信息需要保护;
5. 安全策略与审计跟踪的一致性需要得到保证;
6. 难以审计、跟踪所有进入系统的用户;
7. 不完全的,重复的,甚至不准确的身份信息太多;
8. Web服务需要安全规范的标准;
现在,你就可以结合企业实际列出:哪些是企业首要解决的问题,哪些可以稍后解决,以及各自什么时候解决。
第二步:确定起点
企业一般会根据具体需求,选择下列三项之一作为起点:重新整理身份数据库、管理用户和账户、监控访问及泄密。
1. 重新整理身份数据库
收集、储存以及保护可靠的用户信息――数据库,是身份管理系统的基础架构。数据库应包含所有员工、企业合作伙伴、客户和承包商的信息。考虑到不同部门掌握的用户信息各有侧重,因此各部门必须提交所有的身份信息,以免遗漏。如果某个用户的信息不只一份,而有多份,那么解决方案通常是:将存储于不同目录和数据库中的内容进行同步。
信息所有权通常是受保护的,因此轻易改变所有权会造成不必要的障碍。
2. 管理用户和账号
这些管理应用能够自动监控任何关于身份信息和访问权限的变更,它们能及时获取用户的需求,如:内容变更、自动核对、批准程序,然后再自动实现账号和身份的更新。
通过“授权控制”服务和“自适应”服务功能,这些应用可以独立完成任务。同时,它们会创建一个核心审计跟踪和通报系统,以确保安全策略在实施过程中的一致性。
用户管理和限制性条款:
(1)通过“自适应”功能降低密码重置和同步的成本;
(2)更快、更准的账号权限变更服务;
(3)用户信息的自动更新,包括保密优先权(如:决定参加);
(4)通过自动工作流快速实现批准和更新;
(5)集中的审计和管理记录。
不同的IT系统对解决方案的要求也不同。例如,含有敏感信息的系统就需要解决方案具备强大的安全保障;而处理大量变更的系统,则需要反应迅速、可承受使用频繁的解决方案。
3. 监控访问及泄密
根据用户身份和授权原则,安全系统应适当加强和审计对数据库和各种应用的访问情况。
当访问Unix,Linux 和基于Web应用的操作系统时,身份认证扮演了积极有效的角色。此外,单点登陆可以简化用户访问多种系统应用的程序。由于新的立法要求企业有效地保护客户信息,同时客户也希望个人隐私不被侵犯,这就要求身份管理解决方案能够堵住安全漏洞,拦住那些无意中被泄露的敏感信息,以免被没有权限的人看到。
“监控访问和泄露系统”一般位于用户和系统之间,这需要解决方案具有很大的灵活性和可管理性。无论是嵌入式系统,还是分散型系统,关键是要寻找一个能够满足企业实际需要的解决方案。此外,还需要确保解决方案在未来的发展中,能够经得住时间考验,不断地支持新技术和新产品。
第三步:制定项目计划书并申请预算
可以向执行部门申请费用,来完成身份管理这一有益的尝试;也可以在互联网上找到很多收回投资的手段,来进行参考。
越来越多的员工在路上或在工作中远程访问他们的家用电脑或外部硬盘驱动器,这实际上是一个个人云的私有云变种,服务包括远程桌面、文件共享、在家里远程访问网络接入存储(NAS),甚至通过Slingbox轻松访问新闻频道。
将这些加起来,不精通技术的用户也能轻松拥有10个重叠的云服务作为其个人云的一部分。乘以用户的数量和他们的多样化设备,不难想象,与企业数据/服务相邻着几十个甚至更多潜在的云服务。企业需要了解这些服务的影响和意义,最急迫的情况是IT的响应和机制已经被BYOD所打破,一直以来企业IT人员为员工的设备提供配置和交付的任务,而现在员工可以在属于自己的设备上对数据和应用程序进行处理。企业不得不对现有的IT管理和监控机制重新作出调整,同时要制定出新的IT策略,让企业IT重新回到平衡的轨道上。个人云正在走近我们,企业如果不能在“新标准”建立以前就作出响应,则IT部门对局势的控制就会变得困难。
消费化赢家
这些服务的使用在那些善用解决方案以提高其生产力的精通技术的员工中普遍存在。虽然用户可能宣称显著提高生产力,对于企业来说,仍然存在一些需要管理的真正风险。
阻止使用这些服务的规定和技术措施有可能导致明显的员工挫折感。然而,从企业安全的角度来说,完全、无限制的访问没有意义。
个人云是在工作场所消费化的一个典型案例,最终用户一直要求允许使用自己的移动设备和自己的电脑(包括Macs)。而个人云要求使用自己的应用程序,需求针对软件和服务。如果员工的需求导致了企业接受员工使用自有设备,那么同样的需求也适用于个人云。显然,对企业IT部门来说,这将导致管理复杂性的激增。
Gartner认为消费化将永远是赢家。产业正在转型,个人云是一个重要的里程碑,同样也是对正在兴起的新企业态势的再考验。值得注意的是,尚未出现企业和个人数据可以安全共处的消费化企业。正如企业已经与移动设备共处,个人云也应该被允许,但绝不会以牺牲企业安全等问题作为代价。
管理个人云,企业需要首先确保管理设备的多样性。企业将永远无法在碎片化移动平台的移动目标上管理众多个人云服务。
一旦设备的多样性得到控制,客户应识别一些顶级的个人云服务(例如电子邮件、书签、媒体、文件同步和屏幕共享等)并了解员工正在使用的市场上最流行的服务。企业可以仅在平台类设备而非应用类设备上支持这些服务,或者只在有业务需求时同时在两类设备上支持这些服务。
此外,还有众多潜在的云服务需要评估。由于Windows Phone和BBX的持续演进,附加设备也呈现出更多的多样性。对IT部门来说,跟踪每个新服务的任务都不容易。云计算的兴起和公共云提供商,如亚马逊Web服务(AWS)的普及,意味着现在任何人都可以在互联网上很容易地拥有一个后端。你需要的只是一张信用卡和短短几分钟的时间。包括新兴市场在内的全球移动数据的繁荣增加了个人云需求的增长。不像几年前在设备的本地数据库里存储数据并与个人电脑同步,数据现在可以很容易地实现在云中存储,因此可以立即在所有其他设备上访问数据。由于前端进入的障碍已经被扫除,因此Gartner预测,个人云服务将呈爆炸性增长。企业将需要跟上新的个人云服务发展的步伐并在管理列表中增加新的类别。这些新的技术也应像以前的技术,如P2P文件共享、IM和Skype那样得到重视并快速处理,Gartner预计企业这次的处理速度会非常快速。
确保企业数据孤立
对于每一个个人云服务类别和可管理的多样性设备层,企业应进行风险评估以找出薄弱环节。这些漏洞应优先考虑直接管理个人云最严重的漏洞(以可能性乘以严重性)。
在许多企业环境中,FSS有可能是被带进直接的企业管理里的一个更高优先级的个人云服务,员工可以从多种设备上访问这些服务。而这将引发数据泄漏的问题,因为黑客可以很容易从非企业控制的计算机系统里访问到敏感的企业数据。云服务提供商的后端服务器也在企业IT控制之外,因为这些系统安全保障水平是未知的,敏感的企业数据可能会面临更多的风险。
所以第三方个人云软件的使用意味着安全漏洞,员工设备上未经授权的远程访问也会对企业带来危险。
当直接管理F S S时,企业I T部门可以部署其解决方案并使用政策和M D M拉黑所有第三方解决方案。首选的解决方案可能是内置企业安全的优秀云供应商,如的Egnyte,FilesAnywhere、Mozy、OxygenCloud、SafeSync或SugarSync。它也可能是包括互补性安全解决方案的一个内部可管理、集成的解决方案。例如,利用Dropbox使用加密解决方案(如BoxCryptor/ encfs)以确保文件存储的安全。
另一种解决方案趋势是将消费者主导的个人云服务与企业产品相整合。例如,由于客户的需求,包括Airwatch等几个MDM厂商已经宣布,将可选择的FSS添加到其产品之上。许多Airwatch的客户可能会使用内置解决方案代替像Dropbox的解决方案。
中图分类号:TU984.2 文献标识码:A 文章编号:1007-9416(2015)09-0000-00
1 需求背景分析
数字城管系统涉及部门众多,按照“资源整合、部门共建”的原则,协同工作系统要与电子政务网(共享内网资源)、社会管理创新网(共享监督员资源)、公安网(共享视频资源)、各处置部门(共享系统资源)的网络互联互通。局域网如果不采用有效的边界防护措施,可能会遭受网络攻击与入侵,造成系统服务中断,其后果是极其严重的。以计算机病毒为例,一旦中毒造成服务中断,导致城市管理案件无法及时上报、处置、核查,特别是造成评价系统数据失去公正性,其严重程度不言而喻。
2 多层面接入设计
数字化城市管理信息系统应用跨越政务专网、外部有线网、无线网,用户类型众多,整个平台将不可避免面临各种安全威胁与隐患。各级指挥中心、监督中心、城管基层部门、专业处置部门以及社会用户都通过不同网络路径进行访问,针对不同层面接入需要设计不同解决方案满足不同需求。针对城管队员巡查、监督员、专业部门处置人员等移动人员的远程VPDN安全接入方案,解决网络安全接入和传输;针对专业处置部门、公众服务区等不同安全区域的边界防护解决方案,解决安全接入问题,通常涉及到漏洞扫描和入侵检测,数据包过滤和病毒防范;针对数据中心的数据保护解决方案,以保证可靠性、安全、可管理;针对城管系统内部上网用户的行为监管解决方案,通常涉及到包括用户身份统一认证,用户访问授权控制和行为审计。
3 VPDN技术
VPDN(Virtual Private Dial-Newtork)技术向终端提供以拨号方式接入运营商宽带互联网,利用运营商宽带互联网公共网络资源建立虚拟链路,适应了数字城管网格化管理的需求(人员分散、地点分散),同时满足了无线数据安全接入、保密传输要求,确保“城管通”用户以安全方式访问数字城管内部数据资源。
VPDN组网使用两类关键网元:LAC和LNS LAC:L2TP Access Concentrator,L2TP访问集中器,主要用于通过PSTN/Internet网络为用户提供接入服务。LNS:L2TP Network Server,L2TP网络服务器,用于处理L2TP协议的服务器端设备。基于宽带城域网、虚拟通道由运营商核心网络设备提供、对使用者透明、两次认证、动态分配私网地址与互联网隔离,LAC和LNS通信通道存在于专网内,并采用专用隧道加密技术通信,安全性很高。
4 安全传输技术
移动接入终端通常有Android、IOS、Symbian等不同操作系统,Web Service技术的出现,使得不同机器、不同操作系统之间的分布式数据传输互联变成现实,其大量应用于网络客户端与服务器的联系。但是WebService本身是不安全的,为保证服务器与客户端传输的安全性,必须要满足三个方面的需求,即:保密性、不可篡改、不可抵赖。WS-Security (Web服务安全) 是一种提供在Web服务上应用安全的方法的网络传输协议,其最初是由IBM, 微软, VeriSign和Forum Systems开发的,协议包含了关于如何在Web服务消息上保证完整性和机密性的规约。WS-Security 描述通过消息完整性、消息机密性和单独消息认证提供 保护质量对 SOAP消息传递的增强,这些机制可以用于提供多种安全性模型和加密技术。加密数据时,可以选择使用对称加密(DES)或不对称加密(RSA)。通常的做法是,首先对要发送的数据做单向加密,获取数据的特征码(如MD5摘要);对特征码用发送方的私钥(非对称)进行加密生成S1;然后对S1和数据进行对称加密生成S2;最后将S2和对称加密的密码使用接收方的公钥进行加密。信息传输完整性通过消息摘要实现,信息的保密性通过对称加密算法实现,再将对称密码加密后发送到接收方,信息的不可抵赖利用电子签名来实现。
5 安全边界防护体系
在网络边界上,最容易受到的攻击方式通常有下面几种:信息泄露、黑客攻击、病毒侵扰、木马入侵、网络攻击,,那么如何防护边界安全呢?首先在最容易入侵的关键入口处设立安全关卡,例如古代城墙下面的城门,将城内与城外进行物理隔离,对所有进出的人员进行安全监控;其次,为了安全起见,在城墙外面再开出一条护城河,在河上架起吊桥,让入侵者的行为暴露在光天化日之下,无处遁形。最后,对于闯过前两道关卡混进到城内的危险份子,采取在城内建立一套行之有效的监控体系。比如古代的联防制度,部署视频监控等。一旦发现入侵者异样行为,立即处置。常用的安全边界防护技术有以下几种:(1)防火墙技术。防火墙的作用就相当于网络的“城门”,它是网络的必经通道,所有的数据包都从此处经过,是第一道关口,所以其在网络的边界安全设计中充当排头兵。它的设计原理来自包过滤与应用技术,它有一个访问控制列表(用户自定义)ACL,控制网络的第三层和第四层,只有符合ACL规则的数据包才能够通过。防火墙的缺点也是显而易见的,即只在网络层工作,不能对应用层进行有效识别,对隐藏在应用程序中的病毒、木马完全没有办法。(2)多重安全网关技术。当一道防火墙不能够满足需要时,通常的做法就是多加上几道安全网关,按照不同功能进行细化,如用于应用层入侵的IPS、用于对付病毒的AV、用于对付DDOS攻击的iptables。多重安全网关的安全性比普通一道防火墙要好许多,可以对付常见的入侵与病毒。(3)网闸技术。当用户需要更高强度的安全性时,如果采用物理隔离卡,需要在内网和外网之间来回频繁切换,使用起来很不方便,而防火墙自身的安全又很难保证,此时网闸技术应运而生,它的设计思路类似于“不同时连接”。即同一时间不连接两个网络,由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,通过中间的缓冲区来转接业务数据,从而实现内外网络的数据互通。普通防火墙是作用在于保证网络层安全的边界安全,而网闸重点是保护内部网络的安全,各有侧重不同。
6 结语
