第一篇:应用与技巧:消除无线网络安全风险
应用与技巧:消除无线网络安全风险
人们从来没有停止过对便利生活的追求,而为满足这种需要各种技术也不断被推动向前发展着。就在人们刚刚学会享受网络技术所带来的巨大便利之时,信息技术厂商已经在为我们描绘另一个更加宏大、美丽的场景,那就是无线网络。
第二篇:xxxx无线网络安全风险评估报告
xxxx有限公司
无线网络安全风险评估报告
xxxx有限公司
二零一八年八月
1.目标
xxxx有限公司无线网络安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。
一.评估依据、范围和方法 1.1 评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。1.2 评估范围
本次无线网络安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础无线网络信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、无线路由器、无线AP系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
1.3 评估方法
采用自评估方法。
2.重要资产识别
对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。
3.安全事件
对本司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。
4.无线网络安全检查项目评估
1.评估标准
无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升 3 级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。2.现状描述
本司已成立了信息安全领导机构,但尚未成立信息安全工作机构。配置专职网络管理人员,专责的工作职责与工作范围有明确制度进行界定。本司使用360防病毒软件进行病毒防护,病毒预警是通过第三方和网上提供信息来源,每月统计、汇总病毒感染情况并提交局生技部和省公司生技部;每周进行二次自动病毒扫描;没有制定计算机病毒防治管理制度。3.评估结论
完善信息安全组织机构,成立信息安全工作机构。完善病毒预警和报告机制,制定计算机病毒防治管理制度。
5.无线网络账号与口令管理
1.评估标准
制订了账号与口令管理制度;普通用户账户密码、口令长度要求符合大于6字符,管理员账户密码、口令长度大于8字符;半年内账户密码、口令应变更并保存变更相关记录、通知、文件,半年内系统用 户身份发生变化后应及时对其账户进行变更或注销。2.现状描述
本司以制订账号与口令管理制度,普通用户账户密码、口令长度要求大部分都符合大于6字符;管理员账户密码、口令长度大于8字符,半年内账户密码、口令有过变更,但没有变更相关记录、通知、文件;半年内系统用户身份发生变化后能及时对其账户进行变更或注销。3.评估结论
制订账号与口令管理制度,完善普通用户账户与管理员账户密码、口令长度要求;对账户密码、口令变更作相关记录;及时对系统用户身份发生变化后对其账户进行变更或注销。
6.无线网络与系统安全评估
1.评估标准
无线局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。无线网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
2.现状描述
无线局域网核心交换设备准备了备用设备,城域网核心路由设备采取了设备冗余;没有不经过防火墙的外联链路,有当前网络拓扑结构图。网络设备配置没有进行备份,网络关键点设备是双电源,网络设备关闭了HTTP、FTP、TFTP等服务,SNMP社区串、本地用户口令没达到要求。3.评估结论
无线局域网核心交换设备、城域网核心路由设备按要求采取设备冗余或准备备用设备,外联链路没有绕过防火墙,完善网络拓扑结构图。对网络设备配置进行备份,完善SNMP社区串、本地用户口令强健(>8字符,数字、字母混杂)。
7.ip管理与补丁管理
1.评估标准
有无线IP地址管理系统,无线IP地址管理有规划方案和分配策略,无线IP地址分配有记录。有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补丁安装的测试记录。
2.现状描述
有IP地址管理系统,正在进行对IP地址的规划和分配,IP地址分配有记录。通过手工补丁管理手段,没有制订相应管理制度;Windows系统主机补丁安装基本齐全,没有补丁安装的测试记录 3.评估结论
加快进行对IP地址的规划和分配,IP地址分配有记录。完善补丁管理的手段,制订相应管理制度;补缺Windows系统主机补丁安装,补丁安装前进行测试记录。
8.防火墙
1.评估标准
无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。2.现状描述
无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要 7 求,防火墙规则配置没有建立、更改有规范申请、审核、审批流程,对防火墙日志没有进行存储、备份。3.评估结论
网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改要有规范申请、审核、审批流程,对防火墙日志应进行存储、备份。
9.自评总结
通过对上述的现状分析进行了自评估,总的来看,有了初步的安全基础设施,在管理方面具备了部分制度和策略,安全防护单一,技术上通过多种手段实现了基本的访问控制,但相应的安全策略、安全管理与技术方面的安全防护需要更新以适应要求。
需要对安全措施和管理制度方面进行改善,通过技术和管理两个方面来确保策略的遵守和实现,最终能够将安全风险控制在适当范围之内,保证和促进业务开展。
第三篇:房地产与物业管理无线应用
房地产与物业管理无线应用
一、概述
房地产领域可以利用企信通软件平台适用于企业内部信息管理、客户管理、客户服务、客户沟通、用户信息发布、财务管理的移动辅助办公系统。由于在业主中手机比电脑更普及便捷,更方便实用,从而提供一个在开发商、物业公司和业主之间的双向沟通交流移动平台,可以大大丰富服务内容和范围,提高反应速度、服务效率,降低服务成本,增加创收渠道、提高业主满意度。有助于建立业主口碑并促进开发商的楼盘销售,同时提供实用简便的房地产物业公司内部员工办公自动化辅助手段。
二、应用实例
1.楼盘推广
房地产企业在楼盘销售时可以通过本平台向大量的潜在用户和旧业主即时发送楼盘销售信息,以促使潜在用户前来看楼、购楼和旧业主积极介绍亲威朋友前来看楼、购楼,本系统不仅可以有针对性地通知到大量接收者,而且可以通过接收回复的短信确认前来看楼的人数,以提前做地接待工作,费用非常低廉。2.物业管理 2.1 收费通知
每月要到收取水、电、气、物业管理等其它费用时,房地产企业的物业管理公司只需将收费的时间、地点等输入本平台,然后便可即时发送到所有业主的手机,信息送达率100%,实时率100%,阅读率100%,以提醒每位业主都能及时交纳各种费用,对那些首次通知后未能及时交纳费用的业主,可以通过再次群发催交短信的方式促其交纳。2.2 紧急通知
在物业管理的过程中,经常有一些需要临时通知业主的紧急事宜,如临时停水、电、气、检修等,如果这些紧急事宜不能及时通知到业主,往往会造成业主的抱怨和投诉,采用本平台即可在数分钟内及时通知到全部业主,避免不必要的麻烦。2.3 活动信息
房地产企业各小区举办的各种文体活动等都希望业主能够多多参与,但以前缺少有效的沟通手段可以将活动信息传达到每个业主,采用本平台可以迅速将活动信息通知到全部业主,并可通过接收业主回复的短信确认参加的人数,活动参与人数将成倍增长。2.4 业主关怀
房地产企业逢年过节时向全体小区业主发送问候语,全部业主即时送达,而且可定时在新旧年交替时发 送,业主倍感温馨。2.5 投诉与建议
房地产企业可以通过本平台的短信接收功能来接收业主的短信投诉与建议,不仅可以非常方便业主的投诉与建议,而且投诉与建议的短信内容可以全部保存在本平台作为房地产企业跟进的依据,避免过去人工记录造成笔误以及未能及时跟进的过失,从而有效地提高房地产企业的营销与物业管理水平。3.内部管理
房地产企业内部管理所需要的工作通知、信息发布等都可以通过本系统低成本、快速的通知到每位员工,不仅节省打电话所需的大量人力、时间,而且全部即时送到。
4、信息反馈
a. 水电、煤气、电梯、电话、宽带故障信息收集;
b. 业主对卫生、停车等物业服务各方面投诉意见反馈;
c. 业主对某故障维修后是否满意的及时调查;
d. 物业新管理举措业主是否同意或满意、以及业主对物业管理各种建议的意见征求活动;
5、信息查询
a.业主水电费、煤气费、停车费、电信宽带使用费及欠费金额查询;
b.业主通过短信向物业查询各种故障原因(可自动回答,物业公司不必安排专人);
c.历史纪录的查询;
d.客户对拟租售楼盘的查询;
e.物业公司每月正常开支、公共分摊费用的查询;
6、实时通知
a.时间、任务、流程可预先设定好并可无人自动操作,使管理人员从繁琐的挨家挨户催款等事务中解脱出来
b.月物业费或欠费信息以最快的时间随时随地自动通知业主(即使在外出差的业主也能收到交费通知;不会造成人工电话通知那样的骚扰);
c.业务自动通知系统,通过网站、电话等收集客户业务需求后,自动通知业务人员(例检修队员)处理;
d.OA信息(例业主委员会开会及各种决议、台风、拟停电停水停气重要通告等)自动通知业主和物业公司工作人员;
7、小区的各种活动通知
第四篇:无线网络安全的相关技术与改进探讨
无线网络安全的相关技术与改进探讨
摘 要:无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性,用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在,在研究相关技术的同时,相关专家应该加强交流,进行探讨。本文通过介绍无线网络的威胁,以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。
关键词:无线网络;非法访问;网络安全无线网络的现状和威胁
1.1 无线网络的现状
我们平时使用的无线局域网其实还存在着大量的安全隐患,这种隐患可能是我们遭受比较大的损失,特别对企业来说,黑客的侵入,可能会是一个企业的系统发生混乱和瘫痪,更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来,因为它对我们造成的影响已经无法继续无视下去,因此,我国对无线网络的安全问题已经开始重视,下发各种限令和规范措施来维护网络的安全性。
1.2 无线网络的威胁
我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络,网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题,其中安全问题是最重要的问题,因为网络是由很多交错的网络线路和众多的用户组成的巨型网络,设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内,任何都可以自由的获取信息或数据,当然这些都是在你根本没有察觉的情况下,你的隐私可以说是无处藏身的,一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外,一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析
2.1 无线网络安全的相关技术
现在为了保护无线网络的安全问题,出现了几种方法,第一种主要是控制他人的访问权,这样一来如果没有你的认证,其它人就不能访问,这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证,如果的不到用户的认证,那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施,一旦加密,就可以有效保护自己的信息或数据不被他人获取或拦截。当然,给自己的重要信息加密是保护我们网络信息安全的基础,我们每一个人都应该有这种意识。第三种是对访问者进行安全认证,我们可以通过安全认证来确定者是不是非法的,从而也能把它挡在门外。安全认证有实体认证和数据源认证,如果单单用其中的一种认证方式,那么安全认证效果就会大打折扣,两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证,这样可以防止不法访问者截取和谐该用户的重要信息和数据了。
2.2 无线网络安全的相关技术分析
为了维护无线网络的安全,出现了3A技术,这种技术是现在无线网络最基本的保证网络安全的用方法,同时也是应用最广泛,最基本的一种技术。另外新出现的WSAP技术,它其实是一种网络认证的协议,但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较,所以我们有信心有理由信任这种新的认证方法,它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展
要进一步实现保护无线网络安全的目的,除了用户自身要做好加密的措施外,还要好好利用一些功能和性能强大的认证体系,同时我们应加快一些更加好的协议出现的速度,因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着,所以无限网络安全的相关技术的开发工作时没有止境的,只有深刻的认识到无线网络存在的安全隐患,同时对不同的安全技术进行不断地研究和探讨,并不断开发新的保护技术才能使无线网络环境保持健康,继续成长。总结
近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中,特别是无线网络的兴起更加的方便了人们的生活,无线网络的开放性和移动性以及机动性都被我们所接受,但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境,我们应该加紧相关,安全技术开发的脚步,不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞,提前做好预防措施。相关研究开发人员应该加强交流和探讨,在对各种无线网络安全技术进行分析比较的情况下,开发出新的更有效的保护措施。
[参考文献]
[1]郭萍.无线网络认证体系结构及相关技术研究[D].南京理工大学,2012.[2]肖跃雷.可信网络连接关键技术研究及其应用[D].西安电子科技大学,2013.[3]何道敬.无线网络安全的关键技术研究[D].浙江大学,2012.[4]王文彬.无线网络安全的相关技术研究与改进[D].山东大学,2007.[5]王双剑,丁辉.无线网络安全的机制及相关技术措施[J].科技传播,2012,06:154+147.
第五篇:浅析CDMA2000 1X无线数据网络安全
浅析CDMA2000 1X无线数据网络安全
泰尔网 2006-12-10 14:24:53
来源[中国无线通信] 【关键词】
浅析CDMA2000 1X无线数据网络安全
王骏彪 彭明安 杨瑜
目前,国内各大电信运营商都相继推出了移动数据通信业务,基于联通CDMA公用移动通信网络的无线数据业务也已经在各行各业得到应用,由于网络部署的灵活性、快速性,对移动应用的良好的支持性,独具特色的安全措施,良好、稳定的速率支持等,使其在电力监控自动化、交通监控与信息发布、银行卡服务、工业数据采集、环境检测、企业移动办公等领域得到越来越广泛的应用。但是,随着应用的推广,移动数据传输的安全性越来越为广大用户所关注,能否向用户特别是企业用户提供更安全的数据应用服务,也成为衡量运营商网络的标准之一。
一、CDMA2000 1X无线数据网络
1.CDMA2000 1X无线网络部分的架构及功能
按照3GPP2的定义,CDMA网络无线移动通信网网络参考模型由功能实体和与之对应的接口参考点构成。图1的系统参考模型包括以下几个部分:无线部分,心网电路域,核心网分组域,智能网部分,短消息中心,AP网关,定位部分。突出了设备网元的概念,描述了cdma2000系统主要组成部分几个部分之间的关系。
图1 简化的CDMA和cdma2000系统参考模型
2.CDMA2000 1X分组网部分的架构及功能简介
分组域部分为移动用户提供基于TCP/IP技术的分组数据服务,包括基于外部互联网(Internet)和基于企业内部网(Internet)的并获得服务。同时提供这些服务所必需的路由选择、用户数据管理、移动性管理等功能。在Simple IP(简单IP)的模式下,分组网的主要的功能实体包括:
(1)PDSN分组数据业务节点,负责本地用户及漫游用户的无线接入。
(2)AAA:Authentication(认证),Authorization(授权),Accounting(计费)鉴权、授权与计费服务器,提供cdma2000 lx终端的鉴权、授权和计费。DNS:Domain Name Server域名服务器,用于翻译或解析一个Web站点的域名并且找到该域名对应的IP地址。NTP:Network Time Protocol时钟同步系统,用于CDMA 1x分组域核心设备进行时钟同步。
二、CDMA2000 1X数据网络目前的安全性介绍
1.码分多址方式(CDMA)下无线通信的特点及其安全性
在CDMA2000 1X系统的无线侧(包括空中接口和无线网络部分),对业务的安全性影响较大的为码分多址技术和鉴权功能,两项技术简述如下:
(1)码分多址技术一方面提高了系统容量及系统的抗干扰能力,另一方面也大大提高了系统的安全生,使用户的通信安全得到极大保障。在CDMA方式下,用户间信息的区分是通过不同的地址码进行区分,不同的地址码之间具有准正交性,其组合方式可达264-2128之多,因此通过空中接口对CDMA方式下进行通讯的用户信号进行截获是非常困难的,安全、保密功能成为CDMA系统的特长,因此CDMA技术长期作为美国军力的通讯方式也就不足为怪了。
(2)鉴权功能:CDMA网络的鉴权功能用来防止非法用户接入通信网络。系统的鉴权功能使用户身份的合法性和唯一性得到很好的保障。
2.分组网安全特点、缺陷及防范措施
当前CDMA 1x分组网存在以下的结构特点:系统网络与用户网络并存;系统网络中存在运营商内部的私有网络和对INTERNET网络的接口;专网用户与公网用户并存,无线与有线网络并存;私有地址空间与公用地址空间并存,同一网络上承载多种业务,同网络连接到多个接入网。
从以上可看出,分组网的组网较普通数据网络更复杂,随着网络的发展,网络安全的保障在整个网络的建设维护中将具有更重要的意义。同时,CDMA 1X分组网还存在很多来自各方面的安全威胁,用户可能发起权限以外的访问甚至攻击行为,因此,CDMA 1x分组网的安全隐患可以概括为以下几个方面:基于物理层的线路盗用、侦听,线路噪音引入等,虚假MAC地址的攻击;非法访问;探测和扫描,拒绝服务(D0S)攻击。
基于以上的安全问题,目前CDMA 1x分组网的安全机制主要可通过以下手段实现:内外网隔离;限制用户对设备的访问,对非法访问的侦测,对异常网络流量做到及时反应,制定有效的安全管理方案。
3.联通CDMA2000 1X数据网络的安全特点
系统的安全性可分为系统的可靠性和抗攻击能力两方面。首先是可靠性,为保证PDSN的可靠性,PDSN设备的主要板件一般均设置为双板热备方式,同时还可进一步考虑PDSN设备级的主备方式。在系统的R-P侧路由组网中,为保证网络的健壮性,骨干网络均采用双网双平面冗余备份,并在主备网络之间实现了动态路由方式下的负荷分担机制,大大提高了网络的稳定性。
为了保证网络安全,采用了MPLS VPN技术在IP骨干网上构造一个逻辑独立的Pi网络,达到与现有IP骨干网物理上共享、逻辑上独立的目的。另一方面,为增强网络的抗攻击能力,现网主要采取了以下的安全措施:(1)通过在系统私有网络中构建MPLS VPN来加强内部网络的安全;(2)在网络内部使用私有地址空间,做到内外网隔离;(3)使用硬件防火墙、NAT方式及ACL控制策略,保证了私有网络和公用网络的进一步隔离,(4)通过三层交换的VLAN隔离和VLAN间路由技术,对不同子网间的路由访问进行有效的控制等。
三、当前应用WVPDN方式进行企业组网的安全性浅议
1.WVPDN企业组网方式介绍
WVPDN(无线虚拟拨号专用网络)技术与普通的VPDN不同之处在于,CDMA lx分组域的WVPDN业务,体现的是无线上网的概念,它利用CDMA 1X高速分组数据网络为无线移动用户构建虚拟专用网络,从而使企业用户在任何地点都能够通过CDMA 1X网络,为职员和商业伙伴提供无缝和安全的连接,真正做到“无限联通”到企业网。CDMA 1x分组域根据网络自身的特点和企业的不同需求,为企业VPDN用户提供有差异化的、安全可靠的网络解决方案。
为实现企业的WVPDN组网,对网内设备的构成及性能要求如下:(1)用户端设备(CPE):用户端需具备作为VPDN的网关功能的设备,可以由企业网内部的路由器实现;(2)接入服务器(NAS):VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,(3)支持隧道及相关技术用户终端:使用CDMA1X上网的终端设备;(4)CDMA1X手机连接台式电脑:具有浏览器功能的PDA或手机终端,(5)用户端认证服务器:用户端认证服务器是可选的设备,用于对登陆用户做鉴权认证。
2.企业数据安全防范浅议
(1)企业网络接口的安全
企业在实施信息化的过程中,由于要实现信息共享,同时还有可能对外网开放企业局域网内的服务器区,因此一方面要考虑网络内部公开信息的安全保障,还需要考虑对内部网络与外部网络采取隔离措施,避免内部网络拓扑结构、网络路由状况和网络结构信息外泄,影响网络安全,同时需要对外网访问内网的请求加以甄别过滤,防止非法访问请求进入内网。
(2)企业内部网络、系统的安全
企业内部系统的安全主要指企业内部局域网网络中的操作系统、网络硬件平台的安全可靠性。由于任何操作系统都不可能是绝对安全的,因此在系统核心设备的管理上需要制定严格的安全管理的措施,包括对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,将不同类别的访问操作者的权限限制在最小的范围内,同时加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性。
(3)企业信息网络管理的安全
管理是网络安全中最重要的部分。任何安全管理的措施和策略的实施都需要完善的管理流程作为保障,如果在管理中存在责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。因此制定规范、完善的管理措施,建立全新网络安全机制,并在实施中予以有力地贯彻,才能确实保障网络安全。
3.WVPDN企业组网的安全保障机制
针对企业用户在网络信息安全方面的需求,在考虑通过CDMA 1x分组网为企业用户提供组网方案时,可以结合现有的一些技术手段对企业信息安全予以保障,当前具备条件在网络上实施的技术有以下几种:基于L2TP的VPN方式;基于IPSEC技术的三层隧道加密技术;虚拟路由方式(virtual Route r)基于用户无线网络参数的安全验证;使用NAT技术屏敝企业内部网络;综合以上方式的综合安全策略方案。下面对以上主要方式分别进行介绍。
(1)基于L2TP的VPN方式
L2TP是一种网络层协议,支持在IP,x.25,桢中继或ATM等的网络上传送经过包封的PPP帧。企业可以通过采用支持L2TP的路由器作为LNS,与PDSN(LAC)之间建立L2TP隧道,从而在公众网络上实现基于L2TP的虚拟专用网(VPN),对接入用户的鉴权可通过在LNS路由器或企业内部的专用RADIUS服务器上设置用户名和用户密码进行管理,此方式适合于对数据传输的安全性具有一般要求,同时不具备专线接入条件的企业;
(2)基于IPSEC技术的三层隧道加密技术
TPSec是基于三层隧道的网络安全体系,它基于IP层上网络数据安全提供了一整套体系结构,包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。
IPSec通过密码保护服务、安全协议组和动态密钥管理等措施来实现数据包安全和网络抗攻击能力,同时还能用来筛选特定数据流,而网络中其他设备只负责转发数据而无须支持IPSec。
同时,IPSec还具有用户负责密匙管理、支持私有地址空间、访问控制、抗抵赖性等特点。
基于上述特性,企业可通过在组网方式中引入IPSec隧道加密,提高数据在网络中传输的安全性,防止数据在传输过程中遭到破坏或泄密;
(3)虚拟路由器方式(Virtual Router)
虚拟路由器方式应用PDSN提供的功能,在PDSN平台为企业用户模拟一个路由器,将用户的数据包发送到正确的目的节点并隔离不同用户群间的业务流量。
VR为每个企业用户的网络提供了独立的用户数据资源处理,特定VR将用来处理归属其的VPN的事务。通过采用VR技术,可根据不同的企业用户群进行独立的网段规划,大大提高了网络IP地址规划的灵活性,加强了不同企业用户群间的隔离度。
(4)基于用户无线网络参数的安全验证
由于CDMA无线网络中具有完善的用户鉴权机制,因此可以通过应用部分无线网络中的用户参数来加强对分组网用户的鉴权。
用户的IMSI号码(国际移动识别码),作为用户在系统中的标识,存储于HLR/AC和R-UIM中,并参与鉴权。由于IMSI号码在网络中的唯一性,用其作为用户在分组网中的鉴权标识将能大大提高用户合法身份认证的准确性和安全性。因此是很具可行性的安全措施。
(5)使用NAT技术屏蔽企业内部网络
可以通过在运营商网络和企业局域网之间设置一台防火墙或路由器,通过NAT方式对企业局域网的内、外地址段作隔离,从而达到企业局域网与外部网络隔离的目的。
(6)综合以上方式的综合安全策略方案
可以通过对上述几种安全方案进行组合来实现企业外部组网的安全保障,由于上述的方案均支持基于IP的方式,各种不同的安全策略可同时实施于同网络,在考虑组网投资的基础上,结合使用不同的安全策略可有效提高企业数据的安全,实现用户端到企业端的全程数据加密。(见图2)
图2 综合安全策略方案
4.构筑CDMA2000 1X网络安全的展望
现阶段由于CDMA 2000 1x移动分组网的应用还处于发展阶段,许多用户需求还无法一一满足,但是随着企业应用的增加、技术的进步,一方面安全需求将在企业组网中成为更受关注的焦点,另一方面,随着更多新技术的采用,CDMA 2000 lx移动分组网将向用户提供更多、更廉价、更有效的安全方式。
例如采用移动IP方式后,由于移动IP方式能够更好的支持移动IP隧道技术(IP-in-IPsec),因此在进行企业VPN组网时,能够较容易的实现安全性管理。而在IPv6技术引入后,由于IETF在设计IPv6时,就要求IPv6实现必须支持IPSes协议,因此在网络由IPv4升级到IPv6后,可以实现从核心网至接入网段的任意点之间部署IPsec,大大提高了网络安全部署的灵活性。
可以预期,随着CDMA2000 1x移动分组网的发展,将会根据不同层次的用户需求提供各个层次的网络服务,真正做到网络服务的“度身定制”。