区域医疗领域大数据安全平台的研究与设计

针对区域医疗领域的安全需求,在区域医疗业务框架下,对大数据安全标准、安全管理、安全审计、隐私保护等进行研究,设计了区域医疗大数据安全平台,其主要功能包括:安全策略管理、数据访问控制、应用安全审计、虚拟化电子取证追溯、数据隐私保护、安全监控、安全管理与规范。该平台为实现区域医疗的大数据需求提供了技术参考,并为相关业务的开展提供了安全保障。     

电信ASP平台中统一安全认证系统的设计和实现

本文论述了上海电信ASP(application service provider)商用平台中统一安全认证系统的设计原则和方法.安全认证系统,是在互联网的应用或服务环境中,对虚拟网络身份可信度进行管理的安全服务体系.安全认证系统为管理分布式互联网的用户标识、角色和安全提供了基础结构,实现统一用户管理、集中访问控制、身份认证和应用授权、单点登录(single sing on,SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务.上海电信ASP商用平台集成了跨行业的多种应用系统,兼容各种已有的和未来新的技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求.安全认证系统能够使ASP商用平台实现"统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降低风险".     

交大捷普服务器防护系统——服务器安全守护者

捷普服务器群组防护系统结合应用服务器特性,依据实际客户的网络需求,从接入安全、传输安全、访问控制、信息内容安全与服务器运行安全等多个角度进行系统架构设计,将网络层防火墙、客户端准入检查、SSL VPN（https）、认证授权、单点登录、Web应用防火墙、邮件（分级）管控以及服务器监控等多种技术有机地融合在一起,实现对服务器应用系统的全方位多层次的立体性防护。整个系统从以下方面保证了服务器的全面安全：     

基于数字证书认证的访问控制研究

分析了当前网络应用系统中访问控制方面的不足,深入研究和分析了RBAC访问控制机制,提出了结合数字证书用户认证技术和RBAC的访问控制技术,实现网络用户认证、访问控制和授权管理相统一的安全网关系统,解决了信息系统访问控制管理能力不足、认证能力差的缺点。     

物联网场景下算力网络终端安全接入研究

物联网算力网络中终端节点泛在分布，大规模泛在异构终端面临多种安全威胁。为解决泛在异构终端的安全接入问题并构建物联网算力网络终端安全保障体系，本文基于IPK轻量级标识公钥体系和零信任动态访问控制，提出了一种物联网算力网络终端安全接入方案，实现终端轻量级标识身份认证，通过最小化业务权限动态访问控制，确保只有通过严格认证和授权的终端接入物联网算力网络，保证终端业务安全访问。该方案满足了物联网算力网络终端的安全可信接入需求，可应对海量终端节点泛在分布和业务场景复杂等挑战。     

网格安全模型中关键策略的研究

给出了一个独立于平台的网络安全模型，并对网络安全模型中的认证和授权等关键策略作了分析。这些关键策略包括：基于桥接CA(认证中心)的PKI(公钥基础设施)管理方式、基于虚拟组织的认证策略、网络环境中委托授权的访问控制策略等。采用这些策略有利于不同PKI管理策略的虚拟组织之间认证，简化了网格的安全认证，能够对网络资源进行动态有效地管理。     

浪潮安全服务器

浪潮安全服务器从设备安全、运行安全和数据安全3个方面,集成化构建符合标准三级要求的软硬件一体化的安全服务器产品,有机整合了服务器运行状态监控、网络状态监控、强制访问控制、安全管理与安全审计等多项信息安全技术,     

地区NGN网络中IAD设备安全认证研究

针对地区NGN网络的IAD安全认证问题,结合通信网络安全技术理论知识,详细分析了IAD认证码生成和IAD相互认证涉及的安全问题,提出了新的IAD设备安全认证策略.在NGN实验网中进行了攻击测试,实验数据表明文中的IAD设备安全认证措施是可行的,能有效提升IAD设备接入的安全性,是很具应用前景的一种安全认证技术.     

CNGI环境中跨域AAA系统的构建

国际上的认证与授权方面的标准主要有安全性断言标记语言(SAML)、可扩展访问控制标记语言(XACML)等,中国下一代互联网示范工程(CNGI)跨机构的统一认证和授权中间件技术项目基于国际规范,提出了结合现有成熟产品DT(DigitalTrust)、身份提供者(IdP)和服务提供者(SP)而建立跨域跨机构统一身份认证、授权和审计(AAA)系统的完整方案。该系统提供一种独立于协议和平台的身份验证和资源访问授权交换机制,对于CNGI环境下跨域跨机构统一认证和授权技术的发展和应用具有很好的示范意义。     

场景审计：数字化时代企业运维安全审计模式

数字化时代,企业不仅要时刻抵御外部网络攻击,而且还要控制内部运维管理中的安全风险。根据权威机构对全球安全事件统计,85%的安全风险来自企业内部,其中大部分内部风险主要是由于企业缺乏访问控制机制、数据安全防护手段、统一认证授权机制和日志审计能力。文章对企业的运维安全风险现状进行了探讨,并且分析了操作行为中的风险点以及场景审计模型的构建。     

移动互联网安全问题分析

随着我国移动互联网进入快速增长时期,移动互联网的安全问题已经成为影响其发展的重要因素之一。目前在接入安全保障上主要采用双向认证鉴权、在无线空口采用加强型加密机制以及针对WiFi接入用AES算法替代RC4,在承载网上主要部署异常流量监控和清洗技术,以及采用网络溯源技术等来解决安全问题。     

内网安全数据保密技术分析与比较

内网安全经过多年发展已日渐丰富,包括了身份认证、授权管理、数据保密和监控审计4大领域,论文通过对目前主要的内网安全数据保密关键技术讨论和分析,给出了不同内网安全数据保密技术的优缺点,并对其应用领域进行了讨论。     

NGN业务平台安全性研究

由于下一代网络（NGN）业务平台面向以分组为基础的网络开展业务，同时又是开放的，所以有很多安全问题需要解决。文章从开放业务接口及业务开展两方面对NGN业务平台的安全性进行了探讨，认为：对开放接口的安全性问题。可以通过增加业务接入网关和业务管理平台两个设备解决，其中业务接入网关给开放业务接口增加的安全特性包括身份认证、授权、审计、加密、完整性保护等；对业务开展的安全性问题，可以通过发给用户数字证书、部署防火墙和入侵检测系统、进行负荷量控制、对用户属地进行管理、实时显示用户接入IP地址等手段解决。     

基于Acegi安全框架实现Web系统的安全控制

Acegi是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架。它充分利用Spring的IOC和AOP功能,提供声明式安全访问控制的功能。介绍了Acegi安全框架在认证和授权的基本流程,及其在Web系统中如何灵活利用其XML配置文件的声明式方法提供系统在认证和授权上的安全性。     

移动网络数据安全策略的分析与应用

通过对国内外大量现有网络信息安全技术优缺点的对比分析,梳理了现有网络数据常用的安全策略及技术,包括防火墙技术、数据加密及用户授权访问控制技术、防病毒技术等。再,结合移动网络数据的存储环境,构建包括系统管控、防火墙策略及用户权限管理等安全保障评估体系;,并采用4A系统和金库等最新安全管控技术,完善其组织的安全环境,实现对移动网络全方位的安全把控,弥补现有技术的不足,完善现有的安全保障机制提高信息防护的效果及其保证数据应用的效益。     

冬端安全接入技术及发展趋势研究

终端安全接入管理变得越来越重要。过去仅依赖IP地址、MAC地址等终端身份的接入控制,很难满足当前各种办公、涉密网络对接入终端安全性检查的要求。在这种情况下,新的终端接入管理技术得到了快速发展,这种新技术是终端健康性检查、终端身份认证相结合的入网许可控制技术。主要介绍了当前终端安全接入认证的各种技术,以及它们的优缺点,最后说明这种新兴技术的应用情况。     

移动互联网安全接入机制研究

文中关注移动互联网网络接入安全性,介绍移动互联网面临的安全威胁,研究移动互联网的网络结构和接口协议,提出跨网系的统一认证与授权管理技术,阐述网络接入安全需求,针对EAPSIM和EAP-AKA两种安全机制,分析网络接入鉴权与密钥协商流程,以及演进分组核心网络各网元设备功能,实现用户和网络之间的认证性、机密性和完整性的安全防护,为移动互联网网络安全体制建设提供理论依据与技术支撑。     

基于可信计算技术的抗恶意代码攻击安全结构框架设计

基于可信计算技术构建的抗恶意代码攻击安全结构框架以可信计算技术为基础,融合身份认证、授权访问控制、备份恢复以及审计等多种安全控制技术构成。可信安全模块是抗恶意代码攻击的根基,可信计算技术是抗恶意代码攻击的必要条件,各种安全控制技术使抗攻击效能最大化。该框架通过各种技术的配合,建立了抵抗恶意攻击的层层防线,并且在系统遭到破坏时能及时发现并进行恢复,不仅能防范已知恶意代码,而且能防范未知恶意代码。     

IPTV终端网管鉴权系统的设计与实现

根据目前IPTV业务的安全性目标和需求,针对IPTV终端网管系统中未授权用户非法接入和业务权限控制问题,采用HTTP摘要认证机制和SSL/TLS协议结合RSA非对称加密算法,设计并实现了一套终端网管鉴权系统.经过测试分析,鉴权系统满足终端设备身份和业务权限鉴权的需求,提高了系统的安全性.     

基于可信计算的密级标识信息控制模型

借助可信计算的完整性检验、认证及访问控制和密封存储等关键技术,在现有PC体系结构下提出了支持可信计算的密级标识信息控制模型,并提出密级权限域的概念。该模型利用PC机USB接口外接TCM,结合身份认证、基于角色的访问控制和信道加密技术,从不同层次和角度进行涉密文档保护,实现用户细粒度控制和信息流控制。同现有的技术相比较,该模型能够满足国家相关标准的技术要求,实现更灵活、更安全的信息控制,并能够适应新的Cyber Security环境下的安全挑战。