发布时间:2023-10-13 09:37:58
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的物联网安全技术趋势样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【 关键词 】 物联网;信息安全;安全模型
An Overview of Information Security Model for IOT
Shao Hua Fan Hong
(The First Research Institute of Ministry of Public Security Beijing 100048)
【 Abstract 】 The internet of things is the extension of the internet, should not only to face the traditional security issues, but also deal with new and specific security problem, which made higher requirements for security model. This article from the security protection object and way to classify the information security model for IOT, summarizes the current popular information security model for IOT, analysis the advantages and disadvantages of the existing security model, and predicts the trend of the development of the IOT information security model.
【 Keywords 】 internet of things; information security; security model
1 引言
据不完全统计,2013年,全球有120亿感知设备连接物联网,预计到2020年,有近500亿设备连接物联网,而在2008年连接在互联网上的设备将超过地球上人口的总和。如此众多设备连接上网络,其造成的危害和影响也是无法估量,特别是当物联网应用在国家关键基础设施,如电力、交通、工业、制造业等,极有可能在现实世界造成电力中断、金融瘫痪、社会混乱等严重危害公共安全的事件,甚至将危及国家安全,因此伴随着物联网快速发展,物联网安全也越来越受到重视。
信息安全模型最早可以追溯到1973年由Bell和Lapadula提出的机密性模型,但物联网涉及技术纷繁复杂、防护对象层次不齐,传统的安全模型已不再适用新的安全需求。近年来,人们在原有的模型基础上,对物联网信息安全模型做了初步探讨和研究。从安全防护对象以及方式来看,物联网信息安全模型可分为两大类:一是单层安全模型,这类模型主要侧重于物联网三层结构中某一层的安全问题,具有一定的安全防护能力,整体防护能力偏弱;二是整体防护安全模型,这类模型以整体角度分析安全防护措施,或以攻击形式考虑安全问题,或以安全技术考虑问题,不仅相同。本文综述目前已有的物联网安全模型,同时在此基础上展望了未来的研究方向。
2 单层安全模型
2.1 面向感知层安全模型
为了构建通用安全框架模型,最大程度改变当前存在安全系统、信息管理、自治管理的关系,Pierre等人提出一种自管理安全单元模型(SMSC)。该模型适用于大型分布式系统,以资源作为其安全防护对象,其中资源可以理解为连接在网络上的资产,典型的资源有应用、传感器等设备。SMSC模型具备互操作性、自动操作、权利下放和上下文前后对照下特性。互操作性是指资源可以相互通信与理解的特性,其被分为三个主要领域:通信语义、通信语法、操作的连接;自动控制是指资源根据侦听的安全威胁,自动执行安全策略进行响应。在物联网中,随着资源数量和它们之间联系的增加,人工管理效率也越来越低,因此需要系统进行自动控制;权利下放是指在实际应用中,资源不可避免地要管理下放信息的存储以及制定安全策略;上下文前后对照性是指资源必须根据不同功能、不同类型的数据进行自适应管理,安全实施必须依赖其上下文环境。
SMSC模型是基于自我管理单元模式(SMC)的模型,SMSC模型在SMC中加入了基于安全和管理的组件,通过借助于大量资源结盟潜在的影响来提高网络安全性,从而能够保证安全通信,图1为SMSC模型的逻辑视图。
SMSC模型要求资源节点具有一定的处理能力来完成自动控制功能,而在物联网应用中,特别是传感网应用中,感知节点处理能力、存储能力、能量消耗均有限,安全功能实现成本代价较高,其实际应用效果并不明显。
2.2 面向传输层安全模型
在EPC物联网体系结构中,信息传输过程中易出现隐私泄漏,其主要原因有:1)阅读器与标签之间的任意读取;2)ONS查询系统为L-ONS提供无条件查询功能;3)物品信息有R-TIS以明文形式传送给L-TIS。为此,吴政强等人提出基于EPC物联网架构的安全传输模型,该模型是面向协议,主要增强了传输过程中信息隐私的安全性。其通过引入可信第三方――可信认证服务器对原有模型进行改进:在ONS查询机制中增加了可信匿名认证过程,对L-ONS的身份合法性以及平台可信性进行认证;物品信息可信匿名传输机制确保物品信息的安全传输,物联网安全传输模型如图2所示。在传输过程中,远程物品信息服务器按响应路径各节点的顺序从后至前用公钥对物品信息嵌套加密,加密后的数据每经过一个路由节点被解密一层,直到本地信息服务器时,物品信息才被还原成明文。传输过程每个路由节点可以验证收到数据的完整性及转发路径的真实性。
物联网安全传输模型匿名认证协议具有抗被动攻击、抗主动攻击、信息泄漏量极小,路由可鉴别性、响应数据的可验证性。但由于其基于EPC网络结构,适用范围具有一定局限性。
3 整体防护安全模型
3.1 基于P2DR2的物联网安全模型
传统的安全防护方法是对系统或设备进行风险分析,制定相应的安全防护策略或部署安全设备进行防护,这种方式忽略了物联网安全的动态性,为此PDR模型应运而生,PDR是防护(Protection)、检测(Detection)、反应(Reaction)的缩写PDR模型通过Pt(攻击所需时间)、Dt(检测安全威胁时间)、Rt(对安全事件的反应时间)来描述系统是否安全,即Pt>Dt+Rt,随着技术发展,PDR模型演变为P2DR模型,后期又融合了恢复(Recovery),形成了更为完善的P2DR2的动态自适应安全模型。刘波等人提出了基于P2DR2的物联网安全模型,该模型采用动态防御的思想,结合物联网的三层体系结构,如图3所示。
基于P2DR2的物联网安全模型强调了安全防护的各个方面,各层均未给安全技术实施方法,缺乏可操作性。将P2DR2模型直接应用物联网,虽然考虑了分层结构,但各层策略(Policy)、防护(Protection)、检测(Detection)、反应(Reaction)、恢复(Recovery)实现能力层次不齐,特别是在感知层,容易出现“短板”问题。
3.2 基于等级划分的物联网安全模型
目前,国内外较为流行的无线通信协议均采用为不同安全等级应用配置不同加密等级策略的思路。我国自1994年开始实施信息安全等级保护制度来重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。随着物联网的发展,等级保护也作为物联网安全防护的重要分支。孙知信等人提出了一种基于等级划分的物联网安全模型(BHSM-IOT),该模型以物联网攻击模型和以物联网实际应用为前提构建的物联网拓扑模型为基础,利用模糊评价方法对物联网应用进行等级划分(无安全模式,ACL模式,认证、完整性和机密性模式,认证、完整性和机密、密钥管理模式),从而部署实施不同安全配置。BHSM-IOT模式架构如图4所示,包括应用需求分析、网络拓扑分析、攻击类型预测以及应用安全等级判定四个部分,其中BHSM-IOT模型从信息系统提取关键对象进行描述:应用系统管理员(ASA)、用户(User)、维护数据单元(MDU)、系统硬件设备(SH)、应用涉及范围(AR)、应用类型(AT)和敏感数据单元(SDU)。
范红等人提出一种从横向和纵向两个方面提升物联网防护水平的物联网安全技术体系(STA-EPC),横向防御体系以国标GB25070-2010为依据,涵盖等级保护物理安全、安全计算环境、安全区域边界、安全通信网络、安全管理中心、应急响应恢复与处置六个方面,其中 “一个中心”管理下的“三重保护”是核心,物理安全是基础,应急响应处置与恢复是保障。纵深防御体系是依据保护对象的重要程度以及防范范围,将整个保护对象从网络空间划分为若干层次,不同层次采取不同的安全技术。目前,物联网体系以互联网为基础,因此可以将保护范围划分为边界防护、区域防护、节点防护、核心防护(应用防护或内核防护),从而实现如图5所示的纵深防御。STA-EPC模型满足机密性、完整性、Accountability、可用性安全属性。
上述两个安全模型均包含等级防护的思想,BHSM-IOT模型通过赋值进行定量评估信息系统等级,具有一定可操作性,但其安全技术粒度粗糙;STA-EPC模型针对40多个安全技术部署位置以及防御的层次给出了详细的描述,为了物联网安全防护提供了细粒度的操作指南。
3.3 基于三层架构的安全模型
目前较为通用的物联网架构分为三层,即感知层、网络层和应用层。Omar Said结合物联网三层架构提出了一种物联网安全模型,该模型在物联网三层架构的基础上,增加了应用安全层、网络安全层、感知安全层,如图6所示。其中应用安全层被划分局部应用安全防御和全局应用安全防御。全局应用安全防御安全级别更高,但其不能与局部应用安全防御相冲突;网络安全层分为有线网络与无线网络,无线网络安全包括无线局域网、移动通信网、传感网等,其防护技术包括密钥分发、入侵探测、身份认证等。有线网络包括传统的防火墙、路由访问控制、IPS等技术;感知安全层依据采集数据分为多媒体、图像、文本信息。多媒体数据可以通过压缩加密、时间戳、时间同步、会话认证防护安全威胁。图像数据使用图像压缩算法、循环冗余等技术保障安全。文本信息数据则通过加密、抗干扰等技术进行防护。
该模型通过能量消耗、成本、时间、安全强度参数进行了评估,随着传输量和时间的增长,其能量消耗呈现波形,趋于稳定,并且其安全强度处于80-100之间。虽然上述测试结果比较理想,但其选择的试验的安全技术相对简单,如身份认证、授权管理、时间同步均涉及。
4 结束语
综上所述,物联网安全模型的发展必须满足关键要求:1)适用于分布式拓扑架构且安全管理单元可进行自治;2)横向防御与纵深防御结合;3)需进行能量消耗、成本、时间、安全强度的评估;4)物联网安全模型涉及的安全技术应细粒度,可操作性要强;5)具有一定通用性,与物联网体系架构无关,不局限于EPC物联网、传感网等形态。
参考文献
[1] Bell D E, Lapadula L J. Secure Computer Systems: Mathematical Foundations and Model [J]. MITRE CORPBEDFORD MA, 1973.
[2] De Leusse, Periorellis, etc. Self Managed Security Cell, a security model for the Internet of Things and Services[C] First International Conference on Advances in Future Internet, 2009:45-52.
[3] Sventek J. Self-managed cells and their federation [J]. Networks and Communication Technologies, 2006, 10(2):45-50.
[4] 吴振强,周彦伟,马建峰.物联网安全传输模型[J].计算机学报,2011, 34(8):1351-1364.
[5] 刘波,陈晖等.物联网安全问题分析及安全模型研究[J].计算机与数字工程, 2012,11:21-24.
[6] 孙知信,骆冰清等. 一种基于等级划分的物联网安全模型[J].计算机工程.2011,37(10):1-7.
[7] 范红,邵华等.物联网安全技术体系研究.第26次全国计算机安全学术交流会,2011:5-8.
[8] GB/T 25070-2010,信息系统等级保护安全设计技术要求[S].
[9] Omar Said. Development of an Innovative Internet of Things Security System[J]. International Journal of Computer Science Issues.2013,10(6):155-161.
作者简介:
[关键词]下一代防火墙;安全特征;发展趋势
中图分类号:TM215 文献标识码:A 文章编号:1009-914X(2017)12-0311-01
前言:在信息化潮流的引导下,互联网的飞速发展给人们的生活带来便捷,人们对互联网的依赖程度加大。但是,近年来计算机网络面临的威胁越来越多的人为攻击事件,数量剧烈上升趋势。人们的利益受到威胁,对互联网的放火墙安全性能产生不信任。所以,下一代防火墙的安全性值得我们探究和思考,争取解决下一代互联网的安全威胁。
1.研究防火墙安全特征
1.1 互联网面对的安全威胁
自莫里斯蠕虫病毒出现以来,病毒的数量呈爆炸式增长,安全漏洞数量增长较快,系统或软件的严重级别漏洞增多。同时,黑客等网络不法分子通过网络技术,攻破用户防火墙,带来安全威胁。对于银行系统、商业系统、政府和军事领域而言,这些比较敏感的系统和部门对公共通信网络中存储与传输的数据安全问题尤为关注。目前,最常见的安全问题是网络协议和软件的安全缺陷、计算机病毒、身份信息窃取、网络钓鱼诈骗及分布式拒绝服务。其中计算机病毒并不独立存在,而是寄生在其他程序之中,所以,它具有隐蔽性、潜伏性、传染性和极大的破坏性。身份信息的窃取也是值得我们注意的。随着互联网金融的发展,人们的身份信息与银行资产很容易被黑客侵入,个人和企业的信息轻而易举被窃取,造成巨大损失。以上种种安全问题都需要下一代防火墙提高安全特性。
1.2 目前防火墙的安全技术标准
在2005、2006年,防火墙标准进行了重新编制,只针对包过滤和应用级防火墙技术,其中服务器要求和并列到应用级防火墙技术中进行描述。先后形成了《GB/T20010―2005信息安全技术包过滤防火墙评估准则》。GB/T20281―2006标准则吸收了原来国家标准的所有重要内容。该标准将防火墙通用技术要求分为功能、性能、安全和保证四大。其中,功能要求是对防火墙产品应具备的安全功能提出具体的要求,包括包过滤、应用、内容过滤、安全审计和安全管理等;安全要求是对防火墙自身安全和防护能力提出具体的要求;保证要求则针对防火墙开发者和防火墙自身提出具体的要求。性能要求是对防火墙产品应达到的性能指标做出规定。同时,将防火墙产品进行安全等级划分。安全等级分为三个级别,逐级提高,功能强弱、安全强度和保证要求的高低是等级划分的具体依据,功能、安全为该标准的安全功能要求内容。这是我国信息安全标准中第一次将性能值进行量化的标准。
1.3 采用防火墙系统的必要性
随着越来越多重要的信息应用以互联网作为运行基础,信息安全问题已经成为威胁民生、社会、甚至国家安全的重要问题。从计算机网络安全技术的角度来看,防火墙是指强加于两个网络之间边界处,以保护内部网络免遭外部网络威胁的系统或者系统组合。防火墙技术作为保护计算机网络安全的最常用技术之一,当前全球约有三分之一的计算机是处于防火墙的保护之下。防火墙在不危机内部网络数据和其他资源的前提下,允许本地用户使用外部网络资源,并将外部未授权的用户屏蔽在内部网络之外,从而解决了因连接外部网络所带来的安全问题。
2.分析下一代防火墙的发展趋势
2.1 防火墙发展的新技术趋势
就目前国内形势而言,下一代防火墙发展的新技术趋势有四方面。随着运行商、金融、大型企业的数据中心等用户对安全的关注,对防火墙高吞吐量、高性能连接处理能力的要求越来越迫切。传统的硬件构架已经无法满足用户的需求,因此多核处理,ASIC加速芯片处理等技术纷纷登场,高性能成为新的技术趋势。虽然IPv6在目前推广和普及的力度较大,但新的安全问题也逐渐产生。在纯IPv6网络中,IPv6端与端的IPSec以及最终拜托NAT的发展构架对防火墙产品的冲击影响较大,但在IPv4/6共存阶段,针对不同过渡协议混杂的背景,防火墙产品还是有着技术发展和实现的需求,所以使防火墙适用于IPv4/6也是重要技术趋势之一。基于防火墙用户的配置策略,应用深层控制技术开始越来越多的被提及。同时,随着云时代的到来,各类云服务逐渐进入普通大众的生活。防火墙的安全性能也伴随着云技术的发展开发出云服务虚拟化技术。
2.2 下一代互联网高性能防火墙标准
据国家标准化管理委员会2013年下达的国家标准制修订计划,对原有《GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法》进行修订,由于下一代互联网的特性是防火墙功能属性,所以维持原有标准名称。该标准与GB/T20281-2006的主要差异是增加了高性能防火墙的描述,增加了防火墙的功能分类,加强了防火墙的应用层控制能力,增加了下一代互联网协议支持能力的要求,级别统一划分为基本级和增强级。该标准安全功能主要对产品实现的功能进行了要求。主要包括网络层控制、应用层控制和安全运维管理三部分,其中网络层控制主要包括包过滤、NAT、状态检测、策略路由等方面。这些安全功能新标准要求将大大提高下一代防火墙的安全特性。在环境适应性要求方面,该标准对下一代防火墙产品的部署模式及下一代互联网环境的适应性支持进行了要求。同时,该标准的性能要求对下一代防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务等性能指标进行了要求。
2.3 网络安全的实现
网络安全的实现是多方面的。访问控制是网络安全防御和保护的主要策略。进行访问控制的目的是保护网络资源不被非法使用和非法访问。控制用户可以访问网络资源的范围,为网络访问提供限制,只允许访问权限的用户访问网络资源。且随着当前通信技术的快速发展,用户对信息的安全处理、安全存储、安全传输的需要也越来越迫切,并受到了广泛关注。信息在网络传输的安全威胁是由于TPC/IP协议所固有的,因此数据加密技术成为实现计算机网络安全技术的必然选择。病毒防护主要包括计算机病毒的预防、检测与清除。最理想的防止病毒攻击的方法就是预防,在第一时间内阻止病毒进入系统。攻击防御对网络及网络设备的传输行为进行实时监视,在恶意行为被发动时及时进行阻止,攻击防御可以针对特征分析及分析做出判断。同时,网络安全建设“三分技术,七分管理”。因此,除了运用各种安全技术之外,还要建立一系列安全管理制度。使下一代防火墙真正的起到安全作用。
结语
总而言之,事物的发展过程是曲折的,前途是光明的。随着人类在经济、工业、军事领域方面越来越多地依赖信息化管理和处理,由于信息网络在设计上对安全问题的忽视,以及爆发性应用背后存在的使用和管理上的脱节,使互联网中信息的安全性逐渐受到严重威胁,实用和安全矛盾逐渐显现。而下一代防火墙的安全特性随着互联网的发展是不断改进,进行高性能技术的研究,已有所成果。所以,关于下一代防火墙的安全特性我们要抱有积极的态度。
参考文献
日前,国内网络信息安全行业领军企业启明星辰及终端安全领域领军企业北信源宣布成立合资公司。双方通过这次合作整合资源旨在打造企业级防病毒第一品牌,同时也将实现防病毒技术与其他终端防护技术的充分融合。
启明星辰认为,从技术发展趋势来看,随着“云物移社大智随”(云计算、物联网、移动互联网、社交网络、大数据、智慧城市、随身智能等)的发展,终端安全防护技术也在不断变化,启明星辰通过此次合作将新公司的防病毒技术与自身的终端技术融合,在强化传统终端安全防护能力的同时,同步提升对移动终端、物联网终端、社交网络前端、可穿戴设备等智能终端领域的安全能力覆盖。再与集团公司其他产品线形成整体,成为启明星辰布局云管端以形成全天候、全方位的企业网络安全态势感知体系的重要组成部份。这次合作也意味着启明星辰继续加强企业级网络信息安全市场布局,特别是中小企业市场的布局。
北信源作为国内终端安全领域的领军企业,通过此次合作将进一步提升公司在信息安全领域的整体优势,强化公司在终端安全领域的领先地位,有效提升终端入口的技术能力及市场占有率。北信源掌门人及合资公司董事长林皓表示,合资公司的成立将结合终端发展的多元化、智能化等特点,采用云计算、物联网、大数据、机器学习等新技术,对传统产品进行升级改造,为用户提供更精准、更高效、更智能的病毒/木马查杀和综合安全防护能力,打造全新的网络安全服务平台。通过本次合作,北信源将加快企业级网络安全市场布局,同时快速向互联网领域转化,为公司信息安全、大数据、移动互联网发展战略提供更坚实的平台。
新合资公司辰信领创CEO吴俣向记者表示:合资公司在安全技术和产品层面,将完善并提升在传统终端和智能终端防护技术及产品的核心竞争力,并将整合合作各方的资源,打造国内一流的病毒及恶意代码防范技术研发团队,将各方优秀的专业安全能力融入产品和服务,实现从终端到云端的完整的、全方位的、立体化的安全防护体系。
作为合资公司在防病毒领域的重要合作伙伴,腾讯公司副总裁马斌表示,本次启明星辰与北信源的合作是启明星辰与腾讯合作“云子可信网络防病毒系统”的延续,为的是能够让更多的企业和客户,用到更好的产品。在产品技术方面,腾讯将与辰信领创更加深入的合作。同时,在互联网信息安全领域的市场,腾讯坚持搭建一个开放、合作、共享的平台,与更多企业进行合作。
第四届中国国际物联网大会暨展览会
第四届中国国际物联网大会暨展览会将于6月4-5日在上海国际展览中心举行。展览规模将达到12000平方米,展品范围涵盖智能交通、车联网、智能建筑与家居、移动支付、食品检疫、供应链管理系统、储藏技术与设备、物品溯源技术、RFID技术、芯片、智能卡、计算机互联网解决方案、数据管理、投融资机构等。本届展览会以“民生物联网、智慧新生活”为主题,同期还将举办主题大会、专题研讨、交流洽谈、产品展示等相关活动。
6.4-6.6
2013年中国国际智能卡、RFID与物联网展览会
作为中国乃至亚太地区最具影响力、规模最大、参展企业最多的国际智能卡、RFID与物联网的行业盛会,2013年的博览会内容将涵盖物联网产业链的众多方面。博览会期间将举办由国家金卡工程协调领导小组办公室、中国信息产业商会、中国贸促会电子信息行业分会主办的“2013年中国国际智能卡、RFID与物联网展览会”、“第十一届中国(北京)RFID与物联网国际峰会”以及十多个专业论坛。预计博览会将吸引来自中国()、英国、德国、日本、韩国、新加坡等国家数百家相关企业参展,对推动以物联网为核心的新兴科技产业与应用的发展起到积极的促进作用。
6.9-6.12
2013广州国际建筑电气技术展览会
配合中国智能建筑市场高速增长及承接上届的成功,第十届广州国际建筑电气技术展览会将于2013年6月9-12日在广州中国进出口商品交易会展馆隆重举行。
该展会已被公认为亚洲建筑电工电气和楼宇自动化及智能家居市场的主要平台,今年展会将继续与广州国际照明展览会和广州国际光电建筑展览会同期举行。
本届展会将继续举办多项研讨会及论坛活动,探讨中国智能建筑及家居自动化市场发展趋势、智能建筑应用及最新技术发展、智能建筑控制系统标准、物联网技术及智能家居发展、建筑电气设计及其设计应用等多个热门领域。
6.17-6.19
2013中国国际食品安全与创新技术展览会
本届展会将在2013年全国食品安全宣传周期间举办,将全面展示我国乃至全球食品安全技术创新和发展成果,进一步提高企业的食品安全控制意识和自检自控能力。
展会将对食品安全控制技术、食品安全可追溯检测技术、食品安全可追溯设备、食品安全应用可追溯技术的最新成果以及国内知名食品企业在食品安全方面成就等进行展示。
6.18-6.20
2013第八届中国国际RFID、物联网技术与云计算展览会
由广东省现代信息服务行业协会、国际自动识别制造商协会、中国RFID产业联盟、香港EPC/RFID供应链创科中心、香港物流及供应链管理应用技术研发中心、广东防伪行业协会、中国传感器协会、中国物流与采购联合会、广东省自动化学会、广东连锁经营协会联合主办的第八届中国(广州)国际RFID、物联网暨云计算展览会将于6月在广州举办。
展会面积预计超过约1万平方米,将吸引来自国内及港、澳、台地区、及英国、法国、日本、加拿大、芬兰、德国、意大利、韩国、瑞典、阿联酋、美国等行业多个国家和地区的知名机构和企业参展。
6.18-6.20
2013第十三届中国(广州)国际自动识别展览会
2013第十三届中国(广州)国际自动识别展览会充分考虑到物联网行业当前需求和行业发展特征,以RFID(无线射频识别)、传感网、自动识别技术和应用为主体展示内容,包含产业链上下游产品、技术、设备及各领域的成功案例展示,充分体现了自动识别、RFID、无线传感等技术、应用、商务以及整个行业的特色和当前需求。
同期还将举办2013中国(广州)国际RFID与物联网技术应用展会、2013中国(广州)国际零售业展览会、2013世界物联网产业技术发展暨投资峰会论坛等精彩活动。
6.18-6.21
2013海峡智慧城市与物联网产业博览会
第十一届中国?海峡项目成果交易会“2013第二届海峡物联网产业博览会暨海峡电子信息产业博览会”将于2013年6月在福州海峡国际会展中心举办。
展会以现场展示新技术新产品和高峰论坛及项目对接为主,将邀请相关部门领导、行业专家、企业精英围绕以上主题现场探讨,让物联网企业对自身企业的发展有清晰的定位与认识,让行业主管部门对于如何引导和促进物联网企业发展有了更多的思路和方法。
6.28-6.30
【关键词】档案管理 档案数字化
随着信息技术的发展,将带动档案数字化管理技术的发展,数字化在档案事业中发挥着重要的作用,已成为档案工作发展的必然趋势。档案数字化的概念和作用
一、概念
档案数字化是指利用数据库技术、数据压缩技术、高速扫描技术等技术手段,将纸质文件、声像文件等传统介质的文件和已归档保存的电子档案,系统组织成具有有序结构的档案信息库。档案数字化管理,是指在国家档案建设管理部门的统一规划和组织下,在档案管理的活动中全面应用现代信息技术,对档案信息资源进行数字化管理和提供利用。
二、作用
档案的数字化可以节省档案存贮空间,缓解库房压力,也可以减少因对档案原件频繁使用而造成的磨损,妥善解决珍贵档案文献的利用问题,有利于保护档案原件,尤其是珍贵档案的保存。它使档案管理模式发生转变,从以档案实体保管和利用为重点,转向以档案信息的数字化存储和提供服务为重心,从而使档案工作进一步走向规范化、数字化、网络化、社会化。
三、档案数字化管理主要内容
简单来讲,数字化管理主要内容包括基础设施建设、信息资源建设、应用系统建设、标准规范建设和人才队伍建设五个方面的内容。
(一)标准规范建设。是对电子文件的形成、归档和电子档案信息资源标识、描述、存储、查询、交换、网上传输和管理等方面,制定标准、规范,并指导实施的过程,相当于信息高速公路上的“交通规则”,对于确保计算机管理的档案信息和网络运行的安全、畅通,具有十分重大的意义。
(二)基础设施建设。指档案信息网络系统和档案数字化设备。它是档案信息传输、交换和资源共享的基础条件,只有建设先进的档案信息网络,才能充分发挥档案信息化的整体效益。
(三)应用系统建设。主要内容包括档案信息的收集、档案信息的管理、档案信息的利用、档案信息的安全等方面,它关系到档案信息化建设的速度与质量,集中体现了档案信息建设的效益和档案信息服务的效果。
(四)档案信息化资源建设。包括馆藏档案的数字化和电子文件的采集和接收。档案信息资源建设主要形式包括馆藏档案目录中心数据库建设、各种数字化档案全文及专门数据库建设。
(五)人才建设。包括档案专业人才、计算机专业人才,特别是既懂档案业务,又熟悉信息技术的复合型人才。
四、档案数字化管理的安全保障体系建设
安全保障体系建设是一项复杂而庞大的系统工程,主要应该由以下五个要素组成:法制标准保障建设、基础设施保障建设、组织管理保障建设、安全技术保障建设和灾难恢复机制保障建设。该体系以法制标准为重要手段,以安全基础设施为基础,在整体安全策略和安全组织管理之下,采用国内外先进成熟的安全技术,制订统一的备份恢复策略,建立完备的综合防范机制,以保障档案信息安全、可靠、有序、高效地运行。
五、档案数字化管理技术发展趋势
结合先进的技术,实现档案数字化管理的多元化、网络化、多媒体化、智能化和虚拟化。
(一)物联网。在档案领域,物联网作为新技术在档案领域被应用于不同层面:
1.互动式档案馆。传统的档案馆展厅都是简单的展览模式,参观者只是被动地看看展品和简要介绍。利用物联网技术,可以建设互动式档案展厅,使传统的档案馆变为互动式的档案馆,参观者可以利用手势与实物档案进行互动,甚至能让档案开口说话。2.烟雾报警系统。档案库房安装烟雾报警系统,采用分布式物联网可以实现对大楼不同区域的气流、温度等的全分散监测与控制。3.档案库房管理。在未来的档案库房管理方式中,库房中的每件实物档案都携带一个RFID标签,该标签存储实物档案的存放地点、来源、背景信息、内容概要等信息。通过物联网就可以掌握每个物品的准确位置及每一类型物品的数量、内容等相关信息。4.3D虚拟现实。档案馆利用物联网技术,提供全三维、逼真的数字档案馆场景。用户可以自己控制在场景中游走的路线,可以与虚拟档案进行互动。5.移动办公。适于物联网应用的GPRS/TD/WSN(无线传感器网络)融合网络构建,随时随地都能利用移动终端上传、查找档案信息。
(二)云计算。网格技术很早就受到了档案界人士的关注,云计算是由网格技术发展而来的,这是云计算受到档案界人士青睐的原因之一。还有更重要的一个原因,那就是云计算技术具有一些新的特征,其优点突出表现为:一是经济实惠。可以降低用户电脑的成本,减少维护费用。二是超强的计算能力。云计算中的所有计算机会运用各种不同方法,搜索众多数据库,为用户提供尽可能完整的搜索结果。三是数据安全性强。在云计算中,一台电脑的崩溃不会影响到数据的存储,因为云会自动备份存储数据。四是以服务为中心。云计算的用户不需随身携带文档,只需一台计算机,连接到网络即可获取到相关的信息和服务。
(三)商业性电子文件中心。商业性电子文件中心,是国外档案保管的一种模式,提供五种服务:简单文件管理服务、数字文件管理服务、数据保护和备份服务、文件信息销毁服务、其他服务,通过这五种服务实现服务的全面、广泛、精细、灵活、个性化、设施精良、技术先进和安全。
商业性电子文件中心虽然在国外已经发展成为比较成熟的文件管理机构,如Iron Mountain和Recall是全球规模最大的商业文件中心。但在国内,纵然已经有此性质的商业文件中心,但绝大多数人对它的认识仍然处于模糊阶段,对其管理、服务水平和安全性持怀疑态度。
因此,商业性文件中心在建立之初,要想获得客户的信赖,就必须以服务为根本宗旨,建立一套客户所认可的、比较系统、安全、可行的文件、档案管理服务制度,不断地加强体制建设,研究新时期下的法律法规配套制度,逐步形成我国的商业电子文件中心管理体系。
参考文献:
[1]何灿;分布式数字化档案馆的研究与实现[D];北京交通大学;2007
[2]张勇;数字档案信息安全保障体系研究[D];苏州大学;2007
[3]钱志祥;;档案数字化管理实践[J];浙江档案;2006,01
1.1“大数据”定义
所谓大数据(bigdata),或称巨量资料,通常情况下,是指涉及的资料规模庞大,在现有的技术条件的基础上,难以通过主流软件,在合理时间内对其进行撷取、管理、处理。对于“大数据”来说,其特征主要表现为:一是数据量(volumes)大,在实际应用中,把多个数据集放在一起,形成PB级的数据量。根据IDC(国际数据公司)的监测统计,2011年全球数据总量已经达到1.8ZB;二是数据类别(variety)大,数据来自多个数据源,无论是种类,还是格式,数据日趋丰富,以前所限定的结构化数据范畴等,已经被冲破,半结构化和非结构化数据早已囊括其中;三是数据处理速度(Velocity)快,在数据量非常庞大的情况下,能够对数据进行实时的处理;四是数据具有较高的真实性(Veracity),随着社交数据、物联计算、交易与应用数据等新数据源的兴起,冲破了传统数据源的局限,在这种情况下需要有效的技术,进一步确保数据的真实性、安全性。
1.2“大数据”技术
“大数据”的价值不只在于其数据量之大,更大的意义在于通过数据采集、处理、分析、挖掘等技术对“大数据”的属性,包括数量、速度、多样性等等进行分析,能获取很多智能的、深入的、有价值的信息。而这些信息提取过程可大致分为以下三个阶段。
1.2.1数据输入
将分布的、异构数据源中的关系数据、平面数据等数据进行采集抽取,然后对其进行清洗、转换、集成等,最后将数据加载到数据仓中,进而为数据联机分析、挖掘等处理奠定基础。其特点主要表现为并发数高,因为成千上万的用户有可能同时访问、操作数据,比较典型的就是火车票售票网站、淘宝等,在峰值时,它们并发的访问量能达到上百万,在这种情况下,在采集端需要部署大量数据库。
1.2.2数据处理
“大数据”技术核心就是数据挖掘算法,基于不同的数据类型和格式的各种数据挖掘的算法深入数据内部,快速地挖掘出公认的价值,科学地呈现出数据本身具备的特点。并根据用户的统计需求,对存储于其内的海量数据利用分布式数据库或分布式计算集群进行普通的分析和分类汇总等。其特点主要表现为用于挖掘的算法比较复杂,并且计算涉及的数据量和计算量都很大,常用数据挖掘算法都以单线程为主。
1.2.3数据输出
从“大数据”中挖掘出特点,科学的建立模型,通过导入数据,以得到用户需要的结果。这已在能源、医疗、通信、零售等行业有了广泛应用。
2“大数据”安全隐患
“大数据”时代,数据量是非线性增长的,随着数据价值的不断提高,黑客对于数据的觊觎已经由原来的破坏转变成窃取和利用,病毒或黑客绕过传统的防火墙、杀毒软件、预警系统等防护设备直接进入数据层,一些高级持续性攻击已经难以用传统安全防御措施检测防护。“大数据”的安全风险主要可以分为以下两个方面。
2.1从基础技术角度看
NoSQL(非关系型数据库)是“大数据”依托的基础技术。当前,应用较为广泛的SQL(关系型数据库)技术,经过长期的改进和完善,通过设置严格的访问控制和隐私管理工具,进一步维护数据安全。在NoSQL技术中,没有这样的要求。而且,对于“大数据”来说,无论是来源,还是承载方式都比较丰富,例如物联网、移动互联网、车联网,以及遍布各个角落的传感器等,通常情况下,数据都是处于分散存在的状态,难以对这些数据进行定位,同时难以对所有的机密信息进行保护。
2.2从核心价值角度来看
“大数据”技术关键在于数据分析和利用,但数据分析技术的发展,对用户隐私产生极大的威胁。在“大数据”时代,已经无法保证个人信息不被其他组织挖掘利用。目前,各网站均不同程度地开放其用户所产生的实时数据,一些监测数据的市场分析机构可通过人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合,高精度锁定个人,挖掘出个人信息体系,用户隐私安全问题堪忧。
3“大数据”安全防范
由于“大数据”的安全机制是一个非常庞大而复杂的课题,几乎没有机构能一手包揽所有细节,因此业界也缺乏一个统一的思路来指导安全建设。在传统安全防御技术的基础上,通过对“大数据”攻击事件模式、时间空间特征等进行提炼和总结,从网络安全、数据安全、应用安全、终端安全等各个管理角度加强防范,建设适应“大数据”时代的安全防御方案,可以从一定程度上提高“大数据”环境的可靠度。
3.1网络安全
网络是输送“大数据”资源的主要途径,强化网络基础设施安全保障,一是通过访问控制,以用户身份认证为前提,实施各种策略来控制和规范用户在系统中的行为,从而达到维护系统安全和保护网络资源的目的;二是通过链路加密,建立虚拟专用网络,隔离公用网络上的其他数据,防止数据被截取;三是通过隔离技术,对数据中心内、外网络区域之间的数据流量进行分析、检测、管理和控制,从而保护目标数据源免受外部非法用户的侵入访问;四是通过网络审计,监听捕获并分析网络数据包,准确记录网络访问的关键信息;通过统一的策略设置的规则,智能地判断出网络异常行为,并对异常行为进行记录、报警和阻断,保护业务的正常运行。
3.2虚拟化安全
虚拟机技术是大数据概念的一个基础组成部分,它加强了基础设施、软件平台、业务系统的扩展能力,同时也使得传统物理安全边界逐渐缺失。加强虚拟环境中的安全机制与传统物理环境中的安全措施,才能更好地保障在其之上提供的各类应用和服务。一是在虚拟化软件层面建立必要的安全控制措施,限制对虚拟化软件的物理和逻辑访问控制;二是在虚拟化硬件方面建立基于虚拟主机的专业的防火墙系统、杀毒软件、日志系统和恢复系统,同时对于每台虚拟化服务器设置独立的硬盘分区,用以系统和日常数据的备份。
3.3数据安全
基于数据层的保护最直接的安全技术,数据安全防护技术包括:一是数据加密,深入数据层保护数据安全,针对不同的数据采用不同的加密算法,实施不同等级的加密控制策略,有效地杜绝机密信息泄漏和窃取事件;二是数据备份,将系统中的数据进行复制,当数据存储系统由于系统崩溃、黑客人侵以及管理员的误操作等导致数据丢失和损坏时,能够方便且及时地恢复系统中的有效数据,以保证系统正常运行。
3.4应用安全
由于大数据环境的灵活性、开放性以及公众可用性等特性,部署应用程序时应提高安全意识,充分考虑可能引发的安全风险。加强各类程序接口在功能设计、开发、测试、上线等覆盖生命周期过程的安全实践,广泛采用更加全面的安全测试用例。在处理敏感数据的应用程序与服务器之间通信时采用加密技术,以确保其机密性。
3.5终端安全
随着云计算、移动互联网等技术的发展,用户终端种类不断增加,很多应用程序被攻击者利用收集隐私和重要数据。用户终端上应部署安全软件,包括反恶意软件、防病毒、个人防火墙以及IPS类型的软件,并及时完成应用安全更新。同时注重自身账号密码的安全保护,尽量不在陌生的计算机终端上使用公共服务。同时还应采用屏蔽、抗干扰等技术为防止电磁泄漏,可从一定程度上降低数据失窃的风险。
4“大数据”安全展望
“大数据”时代的信息安全已经成为不可阻挡的趋势,如何采用更加主动的安全防御手段,更好地保护“大数据”资源将是一个广泛而持久的研究课题。
4.1重视“大数据”及建设信息安全体系
在对“大数据”发展进行规划的同时,在“大数据”发展过程中,需要明确信息安全的重要性,对“大数据”安全形式加大宣传的力度,对“大数据”的重点保障对象进行明确,对敏感、重要数据加大监管力度,研究开发面向“大数据”的信息安全技术,引进“大数据”安全的人才,建立“大数据”信息安全体系。
4.2对重点领域重要数据加强监管
海量数据的汇集在一定程度上可能会暴露隐私信息,广泛使用“大数据”增加了信息泄露的风险。政府层面,需要对重点领域数据范围进行明确,制定完善的管理制度和操作制度,对重点领域数据库加大日常监管力度。用户层面,加强内部管理,建立和完善使用规程,对“大数据”的使用流程和使用权限等进行规范化处理。
4.3加快研发“大数据”安全技术
眼下,他的努力已有所收获。谈剑峰率领上海众人网络安全技术有限公司(下称“众人科技”)最新研发的移动互联网创新密码技术SOTP(Super One-time Password),能有效解决快速发展的移动支付中安全与便捷的平衡问题,不仅填补了国内空白,也填补了国际上该领域的空白,这使谈剑峰成为我国在网络安全身份认证领域的第一人。
今年年初,上海市委书记韩正邀请8位上海市民营企业家代表到市委座谈,听取他们对上海科创中心建设和经济社会发展的建议,谈剑峰正是其中之一。在现场,他提出,“互联网+”不能成为沙漠上的海市蜃楼,需要从具有核心技术的产业中寻求融合发展之路,而基石正是安全。 动态密码国产化首家企业
1994年,互联网进入中国伊始,谈剑峰就开始接触网络。
1997年,他和另外两位成员一起创建了“绿色兵团”,这个组织后来被称为“中国黑客界的黄埔军校”,可见其影响力。
随后,他创办过网站,不久便被一家美国公司收购。再后来,他去香港做投行。2006年回到上海,他给自己放了一年假,做起了网游《魔兽世界》的玩家。谈剑峰表示,“最风光时成了世界60-70升级第一人(玩家名:银龙),那一周全球所有的游戏网站头条都是我们团队。”
玩《魔兽世界》需要组织团队,在这个过程中,谈剑峰的不少团队伙伴被盗号,价值上万元的装备瞬间蒸发。做技术出身的他,开始思考网游账号的安全问题:“账号+静态密码”的安全级别太低,随便一个木马就能轻松盗取。放眼当时的中国,绝大多数网民都和网游玩家一样,存在被盗号的风险。
经过一番摸索,谈剑峰最终认定,用动态密码技术相对来说最安全、最方便。而那时这个领域还没有中国产品,谈剑峰开始又一次创业。
由众人科技自主研发的多因素动态密码,是一把运用“时间+挑战因子”的网络钥匙,即通过认证事件的不同,加上实时产生的即时密码结果,来提高网络认证的安全性。
终于,在2009年初,众人科技拿到了国家密码管理局动态口令类产品资质企业的第一张许可证。如今,他们的“iKEY”产品已被国家相关机构认定为“填补国内空白,国际先进水平”。
与国外基于单一时间因子的动态密码口令相比,众人科技的密码技术像一把双重保险,根据国内消费现状和市场环境而做出了优化和改良,能防止用户密码被“钓鱼”,达到了金融系统风控的高要求,也成为首个被国际采用的认证技术和标准。
作为动态密码国产化的第一家企业,谈剑峰率领众人科技还牵头制定了该领域的国家标准和相关行业标准,在完善网络安全标准方面扮演了重要的角色。
谈剑峰告诉记者,公司启动了全员股权激励计划。对于公司而言,每一位员工的创新力、执行力、主动性、使命感是公司取得成功的关键因素。希望大家与公司共同成长、共赴未来、共享收益。他要将公司打造成大家的“众人”科技。而现如今,众人科技已俨然成为行业的标杆企业,其研发的身份认证技术也已被金融、电信、航空、医疗、教育和公安等各行业和系统广泛应用。 SOTP技术有望下半年上线
采访谈剑峰之时,恰巧他正在为赴德国参加全球最大规模的ICT(Information Communications Technology,信息与通信技术)科技展做准备。“这次是我们的技术和产品第一次走出国门,我想借此机会,让国外企业了解中国在信息安全领域的技术水平。同时,我也抱着学习的心态,去了解国际上的最新科技,提高公司未来的价值和竞争力,为公司今后的发展开拓视野。” 谈剑峰告诉记者。
据估计,在通过国家相关单位的最后审批后,众人科技研发的SOTP技术将有望于今年下半年全面上线。
当前移动互联网的安全需求对以往基于PKI(Public Key Infrastructure,公钥基础设施)的密码技术提出了挑战,无卡去介质化必将成为发展趋势。SOTP技术创新地实现了密钥与算法的融合,在无需增加硬件SE的前提下,采用软件方式解决了移动设备中存储密钥的关键性问题。同时基于“一人一密”+“一次一密”的安全特性,保护了移动互联网用户的身份认证安全、个人信息安全以及应用数据安全,并实现了云端统一化认证。 上海众人网络安全技术有限公司创始人谈剑峰
“我相信未来是去介质的时代,不只是移动支付,还会是无卡支付。”谈剑峰表示,“如果哪一天我们不需要银行卡了,网络支付变成了虚拟动态卡号,这样的场景是否比传统的绑定银行卡号更为安全?”
长期以来,我国IT业基本没有核心技术的留存,仍处在“商业模式+人口红利”的互联网经济发展的初级阶段。随着消费互联网向产业互联网的不断演变,必须要从具有核心技术的产业中寻求融合发展。
APT攻击仍是“心腹大患”
报告显示,本季度亚信安全客户终端检测并拦截恶意程序约 12128 万次,与前几个季度相比,恶意程序数量相对稳定。但是,这并不意味着企业在威胁防御方面可以掉以轻心。事实上,恶意程序正在变得更具隐蔽性、针对性,这也是APT攻击的常用手法。在Rotten Tomato APT 组织的攻击中,攻击者主要利用微软Office漏洞来将恶意程序附带到Office文件中。之后,不法分子会以清单、通知、快递等信息为幌子,精心编造邮件以诱使企业员工点击。一旦点击,恶意程序就可能通过内网感染企业系统,继而导致企业机密信息外泄。
亚信安全发现,虽然该 APT 利用的是Office 的已知漏洞,但由于大量企业用户并没有及时升级版本或修复漏洞,所以他们处于APT攻击的威胁之中。加上企业内部人员安全意识参差不齐,防病毒和入侵检测系统部署不到位,鱼叉式钓鱼邮件往往可轻松直达内网,严重威胁企业信息安全。
亚信安全技术总经理蔡N钦指出:“要更好地防范APT攻击,企业信息安全要着眼于构建多层防护体制,定期更新系统和应用软件补丁、升级安全软件特征库。同时也要加强员工信息安全培训,教育员工养成良好的安全意识,不随意打开陌生来源的邮件附件。”
金融安全再敲警钟
在第三季度,金融行业再次爆出严重的网络安全事件。7月份,台湾发生 ATM 机自动吐钱事件,总计 41 台 ATM 机被盗,被盗金额达 8327 余万元;无独有偶,一个月后,泰国 ATM 机被盗,总计 21 台 ATM 机受影响,损失达 1200万泰铢。在这两起事件中,入侵者都是通过仿冒更新软件程序在ATM 机中植入恶意程序,并通过ATM远程控制服务(Telnet Service)来控制ATM 机吐钞。
蔡N钦表示:“ATM自动吐钱事件再度证明了金融安全的脆弱性,近年来不仅与银行有关的网络钓鱼网站数量出现激增,针对金融行业的移动安全威胁、高级持续性攻击也迅速增长。要防范此类攻击,不仅要及时更新系统和安全软件,在防御构建上也要做到整体的关联与对应,这对隔离网络犯罪者的定点攻击有着关键作用。”
移动及物联网设备风险剧增
在近几年,移动及物联网设备数量出现爆发式增长,这正吸引着大量不法分子的入侵。第三季度报告显示,安卓平台的恶意程序仍然呈现快速增长的趋势,亚信安全对 APK 文件的处理数量已经累计达到 3595 万个,比去年同期增长将近一倍。
紧盯热门APP以及热门设备是移动恶意程序的突出特征。在本季度,亚信安全就截获一款仿冒《Pokemon GO》APP 的勒索软件,该款勒索软件能加密用户手机文件,以勒索高额赎金。另外,黑客还利用苹果 iOS 系统的“三叉戟”0day 漏洞来远程控制用户手机,会造成短信、邮件、通话记录、电话录音、存储密码等大量隐私数据的失窃。这提醒用户即使在使用以安全性著称的苹果手机时,也要注意防范安全风险。
