android退出应用
2019-07-24
1背景及市场分析
⽬前绝⼤多数企事业单位都把信息安全的重点放在防范外部的攻击,并依赖于防⽕墙、防病毒、⼊侵检测等软件。由于IP地址⾮法占⽤、盗⽤、⾮法外联、补丁更新滞后、新型病毒、垃圾邮件、内部⼈员的信息外泄和⿊客⼊侵⽽导致的安全事故时有发⽣, 威胁业务的正常运⾏和信息资产的安全。传统的以组织边界和核⼼资产为保护对象,以外部防御为基础的安全体系逐渐显⽰出严重的缺陷,⽆法有效应对当前终端安全威胁,各企事业单位都迫切需要整合、统⼀部署⼀个独⽴的、可靠的、有效的、易管理的内⽹终端数据安全防护系统,以全⾯消除安全隐患,保障⽹络正常运⾏和信息资产的安全。因此,内⽹终端安全防护产品的市场需求量在逐年增⼤。
2主要技术分析
⽬前,“终端数据安全”已经成为⼈们普遍关注的信息安全热点问题之⼀,尤其是关于它的整体解决⽅案。在这⾥,我们重点介绍 “内⽹终端数据安全防护系统”。
⾸先,讲述⼏个常⽤的概念,包括数据、终端、⽤户、操作。
所谓数据,就是能被计算机加⼯处理、保存、传输的数字串、数字块。如果它还承载着某种内涵,就成为了信息。终端是⼀个统称概念,它有可能是主机,或PC,也有可能是打印等设备。在本解决⽅案中,主要指的是主机设备。⽽拥有终端设备的使⽤者就是⽤户。围绕某种需要,⽤户和终端进⾏⼈机对话的过程,就称为操作过程。
如果某种信息对拥有者来说很重要,并因此不便让⽆关⼈员知道,或者扩散会造成经济损失,那么这样的信息就成了“敏感信息”。
“内⽹终端数据安全防护系统”在逻辑上对“敏感信息”进⾏了分级管理,并设置了扩散边界,⽽且对组织内部(就是设定的⽹络系统内)的每台终端的操作过程进⾏监控和记录⽇志,必要时还可以适时阻⽌可能的⾮法操作⾏为,因此有效保护了组织内部的信息安全。这个系统所涉及的安全管理内容包括:安全域边界管理、移动存储介质管理、终端接⼊和外联管理、资产变更管理、终端外设管理、补丁及⽂件分发和终端操作审计等⽅⾯,以此保证对数据存储、传输和使⽤的整个过程进⾏控制、保护和审计,达到事前防范、事中巡查和事后审计,全⽅位确保组织内部的信息安全。 2.1 安全审计系统
安全审计是系统的重要组成部分,对于安全策略的实施和终端监控系统的有效运⾏起着重要作⽤。提供实时、集中、可视化的对终端主机的运⾏状况、⽤户操作情况等进⾏监控审计,便于对系统在运⾏
过程中的安全性进⾏综合分析与评估,检测和阻⽌⾮法⽤户对系统的⼊侵。
2.2 数据信息的安全存储
终端数据信息的安全存储主要是通过⽹络⽂件保险柜来实现的。⽹络⽂件保险采⽤软硬结合,由安全存储服务器、管理配置引擎、存储客户端、⽂件或数据库备份恢复引擎、本地加密盘、USBKEY认证部件、PC终端⽂件透明加解密防泄漏驱动模块等组成,通过定制安全内核、加密传输、安全访问控制、⽂件系统加密等技术实现了重要数据信息的安全存储,有效的保护终端数据信息的安全。 2.3 安全监控策略描述与⼀致性检查
安全监控策略是系统的重要组成部分,它是将各⽅⾯的安全规章制度融合在⼀起的关键。安全监控策略要实现⽤户、主机、数据信息、操作四者有机的关联,由此从抽象的⾓度来看, 安全监控策略可以⽤如下四者的关系来描述:⽤户权限等级、主机集合、数据信息等级、数据操作动作集。
由此在⼀个内部⽹络中可能会存在多种⽤户权限和多个数据信息等级,这对安全监控策略的描述造成了⼀定的困难,主要在于安全监控策略有可能会在具体的数据使⽤过程中发⽣变化,如某个特定⽤户权限等级 R,需要对某个数据 D的操作权限进⾏改写,但同时保持 R 级⽤户对与 D 同等级的数据信息的操作权限不变,这时就需要系统管理员重新设定对应的安全策略,但新的安全策略与前 D 等级数据
信息的安全策略发⽣了冲突。解决冲突的办法有多种,可以采⽤针对数据 D 重新建⽴⼀个数据信息等级的⽅法来解决与原 D 同等级数据安全策略的冲突,但这种解决⽅式会造成数据信息等级越来越多,安全策略设置混乱, 从⽽不利于系统管理员统⼀管理。
营养块闪光灯柔光罩在系统中采⽤抽象策略与具体策略的⽅法来加以解决。抽象策略只是描述某个抽象等级信息,⽽具体策略由抽象策略的⼦类实例⽣成。例如上述的 D 数据所属的信息数据等级可以利⽤抽象策略表⽰成:。⽽具体的 D 数据则是其⼦类,由此可以表⽰成:。
当系统管理员由抽象安全策略⽣成新的具体安全策略后,可以由监控服务器进⾏安全策略⼀致性检查,检查的依据是⼦类可以继承⽗类的安全策略,或者其操作权限、数据集合、主机集合和操作集合必须是其⽗类的⼦集。如上述对应 D 数据的新安全策略,操作动作集合必须是抽象安全策略的⼦集。
本系统主要采⽤的探针技术,分布在内⽹各终端中实现对内⽹各终端活动的安全监控,终端探针嵌⼊到内⽹终端中的独⽴监控软件,它与监控服务器配合,监视主机活动,并将终端活动报告发送⾄监控服务器中。终端探针实现的关键在于终端探针与监控服务器交互、探针监控原理的实现,终端与探针的绑定。
终端探针监控原理的实现主要是利⽤监控终端的⽂件系统,以及操作系统API 调⽤监控来实现的。针对终端的⽂件系统操作,检查操作⽬标⽂件是否属于安全监控的范围,如果属于,则进⼀步检查⽂件操作的属性。从⽽确定⽤户的操作是否符合安全策略的规定,如果⽤户操作超过了安全策略的规定,则探针将直接中⽌⽤户的相应操作。
终端与探针的绑定可以通过终端的硬件参数⽣成唯⼀标识码,由标识码来⽣成终端探针的标识号。终端探针在获得标识号之后,即可以利⽤标识号来⽣成相应的加密/ 解密密钥对,并将加密密钥发送⾄监控服务器,并使⽤密钥对与监控服务器交互的数据进⾏签名。由此,监控服务器即可针对终端探针发送的数据进⾏签名认证,确认数据的来源,并将监控信息确认到对应的终端。
3系统安全性分析
作为⼀个安全监控系统,系统必须要有⾃⾝的安全性保障措施以应对可能存在的安全威胁,由于监控服务器主要是在内部⽹络中运⾏,所以它⾯对的安全威胁主要有3 种:
(1)终端探针被破坏,⽆法起到安全监控的作⽤;
(2)被伪造的终端探针监控数据所欺骗;
(3)针对监控服务器发动的 DDOS 攻击,致使监控服务器发⽣瘫痪。
针对第⼀种安全威胁,本系统采⽤⼼跳线技术来解决,⼼跳线按规定周期向终端探针服务器发送状态数据,该数据由终端探针加上时间戳后再加密⽣成,由此服务器可以根据⼼跳线数据判断终端探针的⼯作状态,⼀旦终端探针在⼯作状态下停⽌发送⼼跳线数据,则其必然有故障发⽣,服务器将向管理员发出警报。
针对第⼆种安全威胁,主要是监控数据或者⼼跳线数据可能被伪造。但在本系统中,⼼跳线数据采⽤时间戳加密的⽅式,攻击者是⽆法伪造的,⾄于监控数据也采⽤时间戳加上监控数据以及数据签名的⽅式,使得攻击者⽆法伪造监控数据。
针对第三种安全威胁,本系统采⽤监控数据异常报警的⽅式来加以解决,即当监控服务器的可利⽤资源降低到⼀定阈值后,即向管理员发出警报,请求管理员对内⽹运⾏状态进⾏检查或对监控服务器资源进⾏升级处理。
智能点菜系统该安全防护系统实现核⼼是位于内⽹主机的终端探针采⽤分布的⽅式,采集内⽹各终端的活动数据。由于采⽤了终端探针标识号,加解密和数据签名的数据认证技术,保证了监控数据可信。同时采⽤探针与监控服务器分离的⽅式使得本系统具有良好的可扩展性,⽽⼼跳线技术保证监控服务器随时掌握各终端探针的状态。虽然从体系结构上看,监控服务器也可能会存在性能瓶颈,造成整个系统的效率降低,但这可以通过资源升级和优化加以解决。
4系统实现⽬标
如何更好地实现主动防御和事前防范,⾸要⼯作是制定⼀套切实可⾏的安全策略。终端安全的所有动作都遵循此安全策略进⾏,系统提供默认安全策略,同时提供客户⾃定义安全策略,在客户设置完成后可以通过策略查询功能查询安全域的安全策略设置情况,从⽽使使⽤者了解⾃⼰⽹络安全设置情况,通过分析安全策略的设置发现可能出现的安全问题,使⽤者对⾃⾝⽹络安全⼼中有数。重点解决了如下问题:
4.1 确保内部信息与⽹络资源受控合法使⽤;
4.2 确保内部重要信息的安全与保密;
4.3 实现了接⼊终端⽤户的⾝份认证;
4.4 实现对重要信息的加密处理;
4.5 实现存储介质(包括硬盘、软盘、移动存储介质等)的保护;
4.6 实现对终端计算机端⼝和设备(如并⼝、串⼝、USB⼝、红外端⼝和蓝⽛设备等)的控制;
4.7 实现终端⽤户的安全连接,防⽌⾮法接⼊和⾮法外联,保证⽹内数据的安全使⽤;
高纯度的氧化铜4.8 实现对终端计算机⽹络⾏为和⽤户⾏为的控制;
4.9 实现登录⾝份认证,保证⽤户的合法性;
4.10 实现对打印的控制和审计;
4.11 实现事前控制、事中报警和事后审计的完整体系。
5结论
本解决⽅案的设计⽬标是在最⼩安全投资的前提下,在对⽹络结构不改变的情况下,不添加更多的硬件设备,不对⽤户的使⽤造成不便,最⼤限度地管理内部⽹络系统和终端信息的安全,通过以事前防范为主并结合事中巡查和事后审计等相关技术,能够有效地对企事业单位的终端数据进⾏综合安全防护管理。
浓缩饲料的配方计算表参考⽂献:
[1] 王良.终端安全防护产品的设计及其安全性分析[EB/OL].http//www.rier. com.
cn/showjiush.asp?id=163
[2] 沈昌祥.基于积极防御的安全保障框架[J].计算机研究与发展,2003,(10).
[3] 赵勇,刘吉强,韩臻,沈昌祥.信息泄露防御模型在企业内⽹安全中的应⽤[J].计算机研究与发展,2007,(5).
注:本⽂为⽹友上传,不代表本站观点,与本站⽴场⽆关。
好⽂章需要你的⿎励
你需要服务吗?
提供⼀对⼀服务,获得独家原创范⽂
了解详情
期刊发表服务,轻松见刊
提供论⽂发表指导服务,1~3⽉即可见刊
了解详情
被举报⽂档标题:内⽹终端数据安全防护解决⽅案
被举报⽂档地址:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议