執法終端
❶ 關於交警發放警務通 操作說明
你說的這抄個警務通,像襲平板電腦一樣的,產品全稱是:軍警用平板電腦C9800(智能執法終端系列三)
它是可以無線上網的,內建802.11a/g/n無線網路、藍牙2.0。
打電話,有3G通信模塊(WCDMA、TD-SCDMA、CDMA2000三選一)
你說的不支持視頻格式的問題,是因為警務通系統里沒有安裝相關的視頻播放器,你可以安裝支持上述格式的播放器用來播放。
詳細的介紹和使用,我有個網址,可惜網路知道不給發網址了
❷ 有了解安全監察大隊使用的「政安通」移動執法終端系統的大神嗎
我估計就是和智能手機一樣具備開發軟體功能的智能終端吧,類似於公安的智能安卓系統的執法記錄儀了
❸ 警用移動執法終端價格
4G的一般不到三千元
❹ 影響本機構業務系統及現場執法手持終端應用開展的主要因素有哪些
摘要介紹了3G技術在國內外的發展情況,闡述了發展趨勢,並對移動增值業務的分類和所採用的主流技術、標准化情況進行了論述。 關鍵詞3G發展現狀增值業務發展趨勢1、全球3G技術發展現狀 1.1國外發展概況 到2004年9月底,全球在3G核心頻段發放120張許可證。核心頻段有FDD(頻分雙工)和TDD(時分雙工)兩種方式。在120張許可證中,FDD+TDD組合方式有100張,大多數歐洲的運營商都採用這種形式。從技術角度看,採用WCDMA技術的共116張許可證,其中有19個國家的38個網路已商用的,用戶數為1060萬;採用TDD技術的有101張,目前尚未有商用網路;採用cdma2000技術的有3張,目前尚未有商用網路,但在原有頻段升級到cdma2000 1x和1x EV-DO/1x EV-DV的約有80個商用網路,cdma2000用戶為1.13億,EV-DO用戶930萬。 由統計數字看出,cdma2000 1x發展迅速,已經在全球大規模商用。其原因得益於技術的成熟性以及能後向兼容,但目前運營商仍在2G網路的頻段上運營,全球尚未有3G核心頻段的網路運營。隨著競爭的加劇和移動增值業務的開展,支持更高數據吞吐量(2.4Mbps)的cdma2000 1x EV-DO的商用運營商由2003年底的5個增加到目前的10個,用戶達到930萬,90%以上的用戶集中在韓國。 1.2我國3G進展概況 到2004年9月底,我國移動用戶數為3.2億,佔全球移動用戶總數的20%以上。 1.2.1試驗簡況 2001年6月至2003年8月,進行了MTNet測試;2003年10月正式啟動了第三代移動通信網路技術試驗;2004年9月完成了第三代移動通信技術的現網測試。在現網測試階段,涵蓋了TD-SCDMA、WCDMA和cdma2000三種主流技術的15個國內外主要設備廠商的25套系統,分別在北京、上海、廣州組成模擬商用環境,同時搭建了WAP、MMS、定位、JAVA、流媒體、多媒體郵件、BREW、可視電話等移動增值業務平台。在信息產業部領導下,部電信研究院、中國電信、中國移動、中國網通、中國聯通、中國鐵通和中國衛通參加,由技術標准研發和網路運營的專業技術人員對3G技術、設備、終端和增值業務進行了全面的驗證。試驗的主要內容有以下六大部分: (1)無線網路性能測試。測試三種3G網路在不同業務(話音、可視電話、中高低數據速率)的覆蓋特性,不同地理環境的覆蓋特性,以及不同業務的容量特性,切換、功率控制、接續質量等性能。 (2)終端測試。測試三種3G技術各種終端的功能和性能,基本業務和增值業務的支持情況,以及耗電特性等。 (3)互操作測試。測試每一種3G技術不同廠商的終端和系統之間(無線介面),終端和業務平台之間,不同廠商的系統之間(如Iur介面)的互操作測試,以及不同3G和2G系統之間的切換、漫遊和互通等。 (4)業務測試。測試三種3G網路對基本話音、可視電話、分組數據業務的承載能力,以及對WAP,流媒體,MMS,Java,定位等增值業務的支持情況。 (5)干擾測試。測試三種3G技術在共站址、鄰站址、相鄰頻段情況下的相互干擾情況,3G與2G技術(GSM和CDMA)之間的干擾測試,以及與PHS之間的干擾等。 (6)網管和計費測試。包括每個廠商設備的網管功能和網管介面及信息模型的測試,計費功能的測試等。 這次試驗為我國客觀地了解和認識3G的發展進程,進一步推進3G技術、設備和業務的發展作出了積極的貢獻。試驗過程和結果對發展3G的科學決策、標准制定、產業發展和網路運營起到積極的作用,為3G在中國的健康發展奠定了堅實的基礎。 1.2.2TD-SCDMA產業發展狀況 從2003年底TD-SCDMA產業聯盟成立以來,其成員不斷擴大,在信息產業部組織的3G技術試驗的推動下,包括無線接入網、終端晶元、手機、核心網路、儀表等TD-SCDMA產業鏈的多廠家參與的研發體系已經初步形成,TD-SCDMA的實用化進程也明顯加快,TD-SCDMA系統的設備取得階段性成績,大唐/普天和中興公司已提供系統設備參與第三代移動通信技術試驗。終端晶元產品的開發也取得了突破性進展並已駛入快車道。 在3G技術試驗中,從2004年5月份開始,大唐/普天對TD-SCDMA系統進行了設備和介面功能測試,包括無線接入子系統設備,Iub介面、Iu介面等。9月份進行外場的覆蓋和容量等性能測試。另外,中興公司開發的TD-SCDMA系統也參與了測試;大唐開發的手持測試終端也在8月底開始在測試中應用。 1.2.3通信行業標准出台 中國通信標准化協會組織了科研院所、大學、運營商和製造商等相關單位,從1999年開始,研究了包括WCDMA、TD-SCDMA和cdma2000三大主流技術的標准。從2004年初開始,全面啟動了3G系列標準的起草及審定工作。這一工作是以近年來跟蹤了解和編寫的大量預研報告為基礎,基於3G模擬實驗和現場實驗,最終完成了包含WCDMA、TD-SCDMA、cdma2000及業務應用共四個子體系的3G系列標准共98項的起草工作,為3G在我國的商用奠定了技術基礎。 2、發展趨勢 3G在不斷發展:無線介面技術向著更高的帶寬、更大的容量、更好的服務質量(QoS)的目標發展;核心網向全IP的網路架構方向發展。 2.1增強型無線介面的發展 WCDMA在3GPP R6引入了HSDPA(高速下行分組接入)和HSUPA(高速上行分組接入)技術,在上、下行採用5MHz帶寬時,能夠達到14Mbit/s?4Mbit/s(DL/UL)的數據速率。 cdma2000的空中介面Release D版本前/反向數據速率在上、下行採用1.25MHz帶寬時達到3.1Mbit/s?1.5Mbit/s。 OFDM和MIMO技術的結合,還可以進一步提高數據吞吐量。各種無線調制技術的使用,將使無線頻率的利用效率向理論值靠近。 2.2NGN核心網路的發展 3GPP與3GPP2在核心網的發展方面開始走向融合,走向基於IMS的NGN網路架構。IP多媒體網路(IMS)的提出,為移動網路的多媒體業務提供了一種解決方案,同時滿足了多媒體業務在安全、計費、漫遊以及QoS上的需求。IMS可看作為移動多媒體業務提供的一個平台。IMS的基本協議是基於IETF的,增加了支持移動性的擴展,包括SIP、Diameter、COPS等。 3、3G業務的發展 新出現的移動增值業務不像3G與2G(或2.5G)技術那樣有著明確的界限。3G業務的概念只是一個泛泛的說法,泛指對數據承載能力要求較高、能夠為用戶提供表現力更加豐富的音頻、視頻等多媒體內容的業務。其實用移動增值業務的概念更恰當。 從國際上看,目前日本、韓國的移動增值業務發展比較快,市場反應較好,進入了一個良性循環的階段,在移動通信領域處於領先地位。日本的KDDI能夠迅速發展壯大,除了憑借成熟的cdma2000 1x技術、性能穩定的終端之外,他們推出移動定位等極具吸引力的增值業務,是推動其網路快速發展的一個重要因素。 在國內,中國移動的「移動夢網」、「M-zone」、「百寶箱」、「彩信」和中國聯通公司的「互動視界」、「彩E」、「神奇寶典」、「定位之星」、「聯通在信」等業務,以時尚的品牌形象受到年輕人的喜愛。 3.1移動增值業務的標准化組織 從協議結構上說,移動增值業務屬於應用層的業務。因此,只要滿足增值業務所需數據承載能力的要求,就可以基於不同無線技術的網路。 正是基於這樣的考慮,2002年6月成立的開放移動聯盟(簡稱OMA,Open Mobile Alliance),整合了多個業界的業務標准化組織(如WAP論壇、Wireless Village、SyncML、LiF等等),旨在制定獨立於承載網路之上的開放的全球統一的移動增值業務標准。到2004年6月,OMA已經發展成為一個具有363個成員的全球性標准化組織。OMA下設Requirements、Architecture、Security、Interoperability、Browser &Content、Location、Push to talk over cellular等15個工作組,針對不同的移動增值業務制定相應的標准。當然有些業務依賴於基礎網路結構,如基於信令方式的定位業務等等。這樣的業務標准仍然在3GPP、3GPP2的相關工作組中制定。 中國的通信標准化協會也成立了一個業務工作組,負責制定中國通信行業的移動增值業務標准。 3.2業務分類 移動增值業務的分類方法多種多樣,以業務的承載方式可以分為基於信令的業務(如短消息)、電路型數據業務(如GSM、CDMA等2G網路上的數據業務)、分組數據業務(如GPRS、cdma2000、W-CDMA等2.5G/3G網路上的中、高速數據業務);以業務提供的功能可以分為消息類業務(如短消息、多媒體短消息等)、交易類業務、游戲類業務、基於位置的業務、瀏覽類業務、郵件業務等等。 3.3主要商用業務 3.3.1基於智能卡的應用工具箱的業務 基於智能卡(註:這里將GSM使用的SIM卡和CDMA使用的UIM卡統稱為智能卡)的應用工具箱技術(STK/UTK),是一種通過短消息方式傳輸的增值業務平台,主要由移動終端和智能卡來實現。 應用工具箱技術,由於其實現相對簡單,提供的業務比較實用,因此目前的應用非常普及。象信息訂閱、移動QQ、移動終端銀行、移動終端炒股等都是非常典型的應用。中國移動公司的「移動夢網」以及中國聯通公司的「聯通在信」,都是基於智能卡應用工具箱技術實現的移動增值業務。 3.3.2基於多媒體消息(MMS)的業務 隨著文本短消息的商業運營模式在全球取得巨大成功,多媒體消息(MMS)業務應運而生。MMS業務能夠提供點到點、點到應用、應用到點的內容更加豐富的多媒體消息存儲和轉發服務。消息可以是純文本、圖片、視頻、音頻及其他媒體格式組成的非實時內容。 3.3.3基於IMAP4的多媒體郵件業務 多媒體郵件業務是將互聯網上最為常用的電子郵件業務引入移動通信領域。與互聯網上的電子郵件不同的是:在互聯網上使用最為普及的郵件接收協議是POP3協議,而在移動郵件業務中使用經過優化的IMAP4(IETF:RFC2060)作為郵件接收協議。 用戶可以將各種格式的文本信息、圖片、音頻、視頻文件作為附件進行接收和發送。附件的大小可以根據網路的數據承載能力和移動終端的處理能力,從幾十kbit到幾百kbit。 3.3.4基於WAP的瀏覽業務 WAP協議是WAP論壇(WAP FORUM)專門為無線環境制訂的一套協議。WAP協議基本上可以分為WAP1.x和WAP2.0兩類,用戶通過手機訪問WAP網站上的各種信息。 3.3.5基於GPS的定位業務 根據定位精度可以分為三類: --基於CELLID的定位方式; --基於AFLT(高級前向鏈路三邊測量)的定位方式; --基於GPS衛星的定位方式。 不同精度定位技術的使用可以提供車輛跟蹤、定位等滿足各種要求的位置服務業務需求。 3.3.6基於JAVA/BREW的業務 J2ME(JAVA 2 Micro Edition)是JAVA 2標准中專門針對小型移動設備的版本。標准包括CLDC和MIDP兩部分,規定了KJAVA環境KVM(KJAVA虛擬機)、configration和Profile。 BREW(The Binary Runtime Environment for Wireless,無線二進制運行環境)是高通公司開發的介於底層晶元操作系統和應用之間的一個軟體平台,為上層應用提供對底層設備的調用和管理。BREW的優勢在於可以高效地利用快閃記憶體和隨機存取存儲器,運行速度比較快。 JAVA和BREW均提供可以將下載的應用在不同廠家設備上運行的應用環境。 除此之外,流媒體、可視電話、基於移動網路技術的無線對講(PoC)等業務也在逐漸步入商用化的軌道。
執法終端好不好用歸根結底還是系統平台好不好用 網路信號好不好用 外擴設備介面是否豐富
最理想的執法終端 應該是有一個成熟的系統平台 方便我們隨時查詢錄入經營戶信息、強大的地圖AP功能、可以外接攜帶型列印機跟掃描儀直接當場生成文書並在系統做相應電子記錄,還要有個簡訊平台是不是發送些安全管理指引給經營戶 那就是太好不過了
應該是要定製手機比較好,起碼可以豐富介面 屏幕也不小 最主要手機打字跟主板打字一樣慢,考慮下成本,有多的請給執法人員發福利吧 哈哈哈
好想能配個藍牙可卷鍵盤 理想好遙遠 吐槽無止境
❻ 什麼是攜帶型執法終端
用途:滿足一線執法人員現場執法取證,任務接收,隱患索引,隱患傳輸,復查提醒,信息查詢,圖紙查看,即時通信,群組交流,通知下達,位置跟蹤等執法需求。
組成:由現場執法終端硬體,執法軟體APP(可根據需要預裝煤礦安全監察執法系統以及其他行業領域監管執法系統等),執法管理平台三部分構成。
網路支持:全網,支持2G,3G,4G,藍牙信功能,可實現3G,4G,WI-FI上網功能,通過網路同步數據,並能通過藍牙等方式與攜帶型列印機連接。
支持在線與離線兩種狀態下的現場執法。
❼ DR803A是監察執法終端水質采樣器嗎有什麼特點
DR803A采樣器采水系統與在線監測儀采水系統並行,接受執法部門遠程式控制制指令,在排污企業毫無察覺的情況下,按預設時間點執行采樣、留樣任務,也可執行立即采樣、留樣指令。
該采樣器作為了監察執法終端,所留樣品拿到權威部門測試作為處罰依據,對偷排企業、運營造假行為具有非常大的威懾力,是「零點行動,利劍斬污」的執行工具。
❽ 移動交警執法終端價格是多少
移動交警執法終端,抄又稱為手持終端、手持PDA、移動終端等等。
選擇時,首先要看你的項目需求,主要用在什麼行業或領域。其次,看需要定製哪些功能。比如:東大集成的手持終端,可定製條碼掃描、RFID功能、GPS、測溫測振、指紋採集等功能,最終的價格也根據選擇的功能配置來定。
❾ 安全生產移動執法終端指的是什麼意思
終端是指生產經營單位。
❿ 安全監管執法終端設備多少錢一台
我的《信息保衛戰》讀書筆記:終端安全終端安全是企業信息技術安全體系建設的服務對象和密集風險發生部分。我們面臨著多方面的挑戰,需要釆用不同類型,不同層次,不同級別的安全措施,實現終端安全。一、挑戰和威脅1.員工安全意識薄弱,企業安全策略難以實施,網路病毒泛濫病毒、蠕蟲和間諜軟體等網路安全威脅損害客戶利益並造成大量金錢和生產率的損失。與此同時,移動設備的普及進一步加劇了威脅。移動用戶能夠從家裡或公共熱點連接互聯網或公室網路,常在無意中輕易地感染病毒並將其帶進企業環境,進而感染網路。據2010CSI/FBI安全報告稱,雖然安全技術多年來一直在發展,且安全技術的實施更是耗資數百萬美元,但病毒、蠕蟲和其他形式的惡意軟體仍然是各機構現在面臨的主要問題。機構每年遭遇的大量安全事故造成系統中斷、收入損失、數據損壞或毀壞以及生產率降低等問題,給機構帶來了巨大的經濟影響。為了解決這些問題,很多企業都制定了企業的終端安全策略,規定終端必須安裝殺毒軟體,以及及時更新病毒庫;終端必須及時安裝系統安全補丁;終端必須設置強口令等。但是由於員工安全意識薄弱,企業的安全策略難以實施,形同虛設,網路安全問題依然嚴重。2.非授權用戶接入網路,重要信息泄露非授權接入包括以下兩個部分:(1)來自外部的非法用戶,利用企業管理的漏洞,使用PC接入交換機,獲得網路訪問的許可權;然後冒用合法用戶的口令以合法身份登錄網站後,查看機密信息,修改信息內容及破壞應用系統的運行。(2)來自內部的合法用戶,隨意訪問網路中的關鍵資源,獲取關鍵信息用於非法的目的。目前,企業使用的區域網是以乙太網為基礎的網路架構,只要插入網路,就能夠自由地訪問整個網路。因非法接入和非授權訪問導致企業業務系統的破壞以及關鍵信息資產的泄露,已經成為了企業需要解決的重要風險。3.網路資源的不合理使用,工作效率下降,存在違反法律法規的風險根據IDC最新數據報導,企事業員工平均每天有超過50%的上班時間用來在線聊天,瀏覽娛樂、色情、賭博網站,或處理個人事務;員工從互聯網下載各種信息,而在那些用於下載信息的時間中,62%用於軟體下載,11%用於下載音樂,只有25%用於下載與寫報告和文件相關的資料。在國內,法律規定了很多網站是非法的,如有色情內容的、與反政府相關的、與迷信和犯罪相關的等。使用寬頻接入互聯網後,企事業內部網路某種程度上成了一種「公共」上網場所,很多與法律相違背的行為都有可能發生在內部網路中。這些事情難以追查,給企業帶來了法律法規方面的風險。二、防護措施目前,終端數據管理存在的問題主要表現在:數據管理工作難以形成制度化,數據丟失現象時常發生;數據分散在不同的機器、不同的應用上,管理分散,安全得不到保障;難以實現資料庫數據的高效在線備份;存儲媒體管理困難,歷史數據保留困難。為此,我們從以下幾個方面採取措施實現終端安全。1.數據備份隨著計算機數據系統建設的深入,數據變得越來越舉足輕重,如何有效地管理數據系統日益成為保障系統正常運行的關鍵環節。然而,數據系統上的數據格式不一,物理位置分布廣泛,應用分散,數據量大,造成了數據難以有效的管理,這給日後的工作帶來諸多隱患。因此,建立一套制度化的數據備份系統有著非常重要的意義。數據備份是指通過在數據系統中選定一台機器作為數據備份的管理伺服器,在其他機器上安裝客戶端軟體,從而將整個數據系統的數據自動備份到與備份伺服器相連的儲存設備上,並在備份伺服器上為各個備份客戶端建立相應的備份數據的索引表,利用索引表自動驅動存儲介質來實現數據的自動恢復。若有意外事件發生,若系統崩潰、非法操作等,可利用數據備份系統進行恢復。從可靠性角度考慮,備份數量最好大於等於2。1)數據備份的主要內容(1)跨平台數據備份管理:要支持各種操作系統和資料庫系統;(2)備份的安全性與可靠性:雙重備份保護系統,確保備份數據萬無一失;(3)自動化排程/智能化報警:通過Mail/Broadcasting/Log產生報警;(4)數據災難防治與恢復:提供指定目錄/單個文件數據恢復。2)數據備份方案每個計算環境的規模、體系結構、客戶機平台和它支持的應用軟體都各不相同,其存儲管理需求也會有所區別,所以要選擇最適合自身環境的解決方案。目前雖然沒有統一的標准,但至少要具有以下功能:集成的客戶機代理支持、廣泛的存儲設備支持、高級介質管理、高級日程安排、數據完整性保證機制、資料庫保護。比如,華為公司的VIS數據容災解決方案、HDP數據連續性保護方案,HDS的TrueCopy方案,IBM的SVC方案等。2.全面可靠的防病毒體系計算機病毒的防治要從防毒、查毒、解毒三方面來進行,系統對於計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。由於企業數據系統環境非常復雜,它擁有不同的系統和應用。因此,對於整個企業數據系統病毒的防治,要兼顧到各個環節,否則有某些環節存在問題,則很可能造成整體防治的失敗。因而,對於反病毒軟體來說,需要在技術上做得面面俱到,才能實現全面防毒。由於數據系統病毒與單機病毒在本質上是相同的,都是人為編制的計算機程序,因此反病毒的原理是一樣的,但是由於數據系統具有的特殊復雜性,使得對數據系統反病毒的要求不僅是防毒、查毒、殺毒,而且還要求做到與系統的無縫鏈接。因為,這項技術是影響軟體運行效率、全面查殺病毒的關鍵所在。但是要做到無縫鏈接,必須充分掌握系統的底層協議和介面規范。隨著當代病毒技術的發展,病毒已經能夠緊密地嵌入操作系統的深層,甚至是內核之中。這種深層次的嵌入,為徹底殺除病毒造成了極大的困難,如果不能確保在病毒被殺除的同時不破壞操作系統本身,那麼,使用這種反病毒軟體也許會出現事與願違的嚴重後果。無縫鏈接技術可以保證反病毒模塊從底層內核與各種操作系統、數據系統、硬體、應用環境密切協調,確保在病毒入侵時,反病毒操作不會傷及操作系統內核,同時又能確保對來犯病毒的防殺。VxD是微軟專門為Windows制定的設備驅動程序介面規范。簡而言之,VxD程序有點類似於DOS中的設備驅動程序,它是專門用於管理系統所載入的各種設備。VxD不僅適用於硬體設備,而且由於它具有比其他類型應用程序更高的優先順序,更靠近系統底層資源,因此,在Windows操作系統下,反病毒技術就需要利用VxD機制才有可能全面、徹底地控制系統資源,並在病毒入侵時及時報警。而且,VxD技術與TSR技術有很大的不同,佔用極少的內存,對系統性能影響極小。由於病毒具備隱蔽性,因此它會在不知不覺中潛入你的機器。如果不能抵禦這種隱蔽性,那麼反病毒軟體就談不上防毒功能了。實時反病毒軟體作為一個任務,對進出計算機系統的數據進行監控,能夠保證系統不受病毒侵害。同時,用戶的其他應用程序可作為其他任務在系統中並行運行,與實時反病毒任務毫不沖突。因此,在Windows環境下,如果不能實現實時反病毒,那麼也將會為病毒入侵埋下隱患。針對這一特性,需要採取實時反病毒技術,保證在計算機系統的整個工作過程中,能夠隨時防止病毒從外界入侵系統,從而全面提高計算機系統的整體防護水平。當前,大多數光碟上存放的文件和數據系統上傳輸的文件都是以壓縮形式存放的,而且情況很復雜。現行通用的壓縮格式較多,有的壓縮工具還將壓縮文件打包成一個擴展名為「.exe」的「自解壓」可執行文件,這種自解壓文件可脫離壓縮工具直接運行。對於這些壓縮文件存在的復雜情況,如果反病毒軟體不能准確判斷,或判斷片面,那就不可避免地會留有查殺病毒的「死角」,為病毒防治造成隱患。可通過全面掌握通用壓縮演算法和軟體生產廠商自定義的壓縮演算法,深入分析壓縮文件的數據內容,而非採用簡單地檢查擴展文件名的方法,實現對所有壓縮文件的查毒殺毒功能。對於數據系統病毒的防治來說,反病毒軟體要能夠做到全方位的防護,才能對病毒做到密而不漏的查殺。對於數據系統病毒,除了對軟盤、光碟等病毒感染最普遍的媒介具備保護功能外,對於更為隱性的企業數據系統傳播途徑,更應該把好關口。當前,公司之間以及人與人之間電子通信方式的應用更為廣泛。但是,隨著這種數據交換的增多,越來越多的病毒隱藏在郵件附件和資料庫文件中進行傳播擴散。因此,反病毒軟體應該對這一病毒傳播通道具備有效控制的功能。伴隨數據系統的發展,在下載文件時,被感染病毒的機率正在呈指數級增長。對這一傳播更為廣泛的病毒源,需要在下載文件中的病毒感染機器之前,自動將之檢測出來並給予清除,對壓縮文件同樣有效。簡言之,要綜合採用數字免疫系統、監控病毒源技術、主動內核技術、「分布式處理」技術、安全網管技術等措施,提高系統的抗病毒能力。3.安全措施之防火牆及數據加密所謂防火牆就是一個把互聯網與內部網隔開的屏障。防火牆有兩類,即標准防火牆和雙家M關。隨著防火牆技術的進步,在雙家N關的基礎上又演化出兩種防火牆配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關是當前一種常見的防火牆配置。顧名思義,這種配置一方面將路由器進行隱蔽,另一方面在互聯N和內部N之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一系統。U前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關,它將H關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問者對專用數據系統的非法訪問。一般來說,這種防火牆是最不容易被破壞的。與防火牆配合使用的安全技術還有數據加密技術,是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所採用的主要技術手段之一。隨著信息技術的發展,數據系統安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著數據加密技術和物理防範技術的不斷發展。按作用不N,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。4.智能卡實施與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼與內部數據系統伺服器上注冊的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當有效的。數據系統安全和數據保護的這些防範措施都有-定的限度,並不是越安全就越可靠。因而,在看一個內部網是杏安全時不僅要考察其手段,而更重要的是對該數據系統所採取的各種措施,其中不光是物理防範,還有人員的素質等其他「軟」因素,進行綜合評估,從而得出是否安全的結論。另外,其他具體安全措施還包括數字認證、嚴謹有效的管理制度和高度警惕的安全意識以及多級網管等措施。另外考慮到數據系統的業務連續,也需要我們設計和部署必要的BCP計劃。三、解決方案解決終端安全問題的有效方法是結合端點安全狀況信息和新型的網路准入控制技術。(1)部署和實施網路准入控制,通過准入控制設備,能夠有效地防範來自非法終端對網路業務資源的訪問,有效防範信息泄密。(2)通過准入控制設備,實現最小授權的訪問控制,使得不同身份和角色的員工,只能訪問特定授權的業務系統,保護如財務系統企業的關鍵業務資源。(3)端點安全狀態與網路准入控制技術相結合,阻止不安全的終端以及不滿足企業安全策略的終端接入網路,通過技術的手段強制實施企業的安全策略,來減少網路安全事件,增強對企業安全制度的遵從。加強事後審計,記錄和控制終端對網路的訪問,控制M絡應用程序的使用,敦促員工專注工作,減少企業在互聯網訪問的法律法規方面的風險,並且提供責任回溯的手段。1.集中式組網方案終端安全管理(TerminalSecurityManagement,TSM)系統支持集中式組網,把所有的控制伺服器集中在一起,為網路中的終端提供接入控制和安全管理功能。集中式組網方案如圖9-3所示。2.分布式組網方案如果遇到下面的情況,可能需要採用分布式組網方案,如圖9-4所示。(1)終端相對集中在幾個區域,而且區域之間的帶寬比較小,由於代理與伺服器之間存在一定的流量,如果採用集中式部署,將會佔用區域之間的帶寬,影響業務的提供。(2)終端的規模相當大,可以考慮使用分布式組網,避免大量終端訪問TSM伺服器,佔用大量的網路帶寬。分布式部署的時候,TSM安全代理選擇就近的控制伺服器,獲得身份認證和准入控制等各項業務。3.分級式組網方案如果網路規模超大,可以選擇採用分級式組網方案,如圖9-5所示。在這種部署方案中,每個TSM結點都是一個獨立的管理單元,承擔獨立的用戶管理、准入控制以及安全策略管理業務。管理中心負責制定總體的安全策略,下發給各個TSM管理結點,並且對TSM管理結點實施情況進行監控。TSM系統對於關鍵的用戶認證資料庫提供鏡像備份機制,當主資料庫發生故障時,鏡像資料庫提供了備份的認證源,能夠保證基本業務的提供,防止因為單一數據源失效導致接入控制的網路故障。當TSM系統發生嚴重故障,或者TSM系統所在的網路發生嚴重故障時,用戶可以根據業務的情況進行選擇:業務優先/安全優先。如果選擇業務優先,准入控制設備(802.1X交換機除外)上設計的逃生通道能夠檢測到TSM系統的嚴重故障,啟用逃生通道,防止重要業務中斷。TSM終端安全管理系統提供伺服器狀態監控工具,通過該工具可以監控伺服器的運行狀態,如資料庫鏈接不上、SACG鏈接故障以及CPU/內存異常等。當檢查到伺服器的狀態異常時,可以通過郵件、簡訊等方式通知管理員及時處理。四、終端虛擬化技術1.傳統的終端數據安全保護技術1)DLP(1)工作方式:DLP(DataLossPrevention,數據丟失防護)技術側重於信息泄密途徑的防護,是能夠通過深度內容分析對動態數據、靜態數據和使用中的數據進行鑒定、檢測和保護的產品。可以在PC終端、網路、郵件伺服器等系統上針對信息內容層面的檢測和防護,能夠發現你的敏感數據存儲的位置,之後進行一定的處理方式,但也是有些漏洞的。(2)使用場景與限制:雖然DLP方案從靈活性、安全性、管理性上都滿足了數據安全的需求,但同樣成功部署DLP方案需要有一個前提,就是其數據內容匹配演算法的誤報率要足夠低。然而,由於數據內容的表達方式千差萬別,在定義數據內容匹配規則的時候漏審率和誤判率非常難平衡,無論是哪個廠商的DLP產品,在實際測試過程中的誤報率普遍都偏高,DLP方案的防護效果體驗並不好。2)DRM(1)工作方式:DRM(DigitalRightManagement,數字許可權管理)是加密及元數據的結合,用於說明獲准訪問數據的用戶,以及他們可以或不可以對數據運行進行某些操作。DRM可決定數據的訪問及使用方式,相當於隨數據一起移動的貼身保鏢。許可權包括讀取、更改、剪切/粘貼、提交電子郵件、復制、移動、保存到攜帶型保存設備及列印等操作。雖然DRM的功能非常強大,但難以大規模實施。(2)使用場景與限制:DRM極其依賴手動運行,因此難以大規模實施。用戶必須了解哪些許可權適用於哪種內容的用戶,這樣的復雜程度常使得員工忽略DRM,並導致未能改善安全性的失敗項冃。如同加密一樣,企業在應用許可權時必須依賴人為的判斷,因為DRM丄具不具備了解內容的功能。成功的DRM部署通常只限於用戶訓練有素的小型工作組。由於存在此種復雜性,大型企業通常並不適合部署DRM。但如同加密一樣,可以使用DLP來專注於DRM,並減少某些阻礙廣泛部署的手動進程。3)全盤加密(1)工作方式:所謂全盤加密技術,一般是採用磁碟級動態加解密技術,通過攔截操作系統或應用軟體對磁碟數據的讀/寫請求,實現對全盤數據的實時加解密,從而保護磁碟中所有文件的存儲和使用安全,避免因便攜終端或移動設備丟失、存儲設備報廢和維修所帶來的數據泄密風險。(2)使用場景與限制:與防水牆技術類似,全盤加密技術還是無法對不同的涉密系統數據進行區別對待,不管是涉密文件還是普通文件,都進行加密存儲,無法支持正常的內外部文件交流。另外,全盤加密方案雖然能夠從數據源頭上保障數據內容的安全性,但無法保障其自身的安全性和可靠性,一旦軟體系統損壞,所有的數據都將無法正常訪問,對業務數據的可用性而言反而是一種潛在的威脅。上述傳統安全技術是目前銀行業都會部署的基礎安全系統,這些安全系統能夠在某一個點上起到防護作用,然而盡管如此,數據泄密事件依然是屢禁不止,可見銀行業網路整體安全目前最人的威脅來源於終端安全上。而且部署這么多的系統方案以後,用戶體驗不佳,不容易推廣,因此並未達到預期的效果。要徹底改變企業內網安全現狀,必須部署更為有效的涉密系統數據防泄密方案。2.數據保護的創新——終端虛擬化技術為了能夠在確保數據安全的前提下,提升用戶的易用性和部署快速性,冃前已經有部分企業開始使用終端虛擬化的技術來實現數據安全的保護。其中,桌面/應用虛擬化技術以及基於安全沙盒技術的虛擬安全桌面就是兩種比較常見的方式。1)桌面/應用虛擬化桌面/應用虛擬化技術是基於伺服器的計算模型,它將所有桌面虛擬機在數據中心進行託管並統一管理。通過采購大量伺服器,將CPU、存儲器等硬體資源進行集中建設,構建一個終端服務層,從而將桌面、應用以圖像的方式發布給終端用戶。作為雲計算的一種方式,由於所有的計算都放在伺服器上,對終端設備的要求將大大降低,不需要傳統的台式計算機、筆記本式計算機,用戶可以通過客戶端或者遠程訪問等方式獲得與傳統PC—致的用戶體驗,如圖9-6所示。不過,雖然基於計算集中化模式的桌面虛擬化技術能夠大大簡化終端的管理維護工作,能夠很好地解決終端數據安全問題,但是也帶來了服務端的部署成本過大和管理成本提高等新問題。(1)所有的客戶端程序進程都運行在終端伺服器上,需要配置高性能的終端伺服器集群來均衡伺服器的負載壓力。(2)由於網路延遲、伺服器性能、並發擁塞等客觀因素影響,在桌面虛擬化方案中,終端用戶的使用體驗大大低於物理計算機本地應用程序的使用體驗。(3)計算集中化容易帶來終端伺服器的單點故障問題,需要通過終端伺服器的冗餘備份來強化系統的穩定性。(4)桌面虛擬化方案中部署的大量終端伺服器以及集中化的數據存儲之間的備份、恢復、遷移、維護、隔離等問題。(5)由於數據集中化,管理員的許可權管理也需要列入考慮,畢竟讓網路管理員能夠接觸到銀行業務部門的業務數據也是違背數據安全需求的。(6)桌面集中化方案提高了對網路的穩定性要求,無法滿足離線公的需求。因此,此種方案在大規模部署使用時會遇到成本高、體驗差的問題,如圖9-7所示。2)防泄密安全桌面為了解決桌面/應用虛擬化存在的問題,一種新的終端虛擬化技術——基r沙盒的安全桌面被應用到了防泄密領域,如圖9-8所示。在不改變當前IT架構的情況下,充分利用本地PC的軟、硬體資源,在本地直接通過安全沙盒技術虛擬化了一個安全桌面,這個桌面可以理解為原有默認桌面的一個備份和鏡像,在安全桌面環境下運行的應用、數據、網路許可權等完全與默認桌面隔離,並且安全沙盒可以針對不同桌面之間進行細粒度的安全控制,比如安全桌面下只能訪問敏感業務系統,安全桌面內數據無法外發、復制、列印、截屏,安全桌面內保存的文件加密存儲等等。這樣一來,通過安全桌面+安全控制網關的聯通配合,就可以確保用戶只有在防泄密安全桌面內進行了認證後才能訪問核心敏感系統,實現了在終端的多業務風險隔離,確保了終端的安全性。安全桌面虛擬化方案為用戶提供了多個虛擬的安全桌面,通過不同虛擬安全桌面相互隔離文件資源、網路資源、系統資源等,可以讓用戶通過不同的桌面訪問不同的業務資源。比如為用戶訪問涉密業務系統提供了一個具有數據防泄露防護的防泄密安全桌面,盡可能減少對用戶使用習慣的影響,解決了物理隔離方案的易用性問題,如圖9-9所示。基於沙盒的安全桌面方案的價值在於,在實現終端敏感業務數據防泄密的前提下,不改變用戶使用習慣,增強了易用性,還保護了用戶的現有投資。目前,防泄密安全桌面已經在金融、政府、企業等單位開始了廣泛的應用,主要部署在CRM、ERP、設計圖樣等系統前端,以防止內部銷售、供應鏈、財務等人員的主動泄密行為。但是安全桌面技術也有一定的局限性,比如它不適用於Java、C語言的代碼開發環境,存在一定兼容性的問題。總而言之,兩種終端虛擬化技術各有優劣,分別適用於不同的業務場景,具體可以參照圖9-10。