执法终端
❶ 关于交警发放警务通 操作说明
你说的这抄个警务通,像袭平板电脑一样的,产品全称是:军警用平板电脑C9800(智能执法终端系列三)
它是可以无线上网的,内建802.11a/g/n无线网络、蓝牙2.0。
打电话,有3G通信模块(WCDMA、TD-SCDMA、CDMA2000三选一)
你说的不支持视频格式的问题,是因为警务通系统里没有安装相关的视频播放器,你可以安装支持上述格式的播放器用来播放。
详细的介绍和使用,我有个网址,可惜网络知道不给发网址了
❷ 有了解安全监察大队使用的“政安通”移动执法终端系统的大神吗
我估计就是和智能手机一样具备开发软件功能的智能终端吧,类似于公安的智能安卓系统的执法记录仪了
❸ 警用移动执法终端价格
4G的一般不到三千元
❹ 影响本机构业务系统及现场执法手持终端应用开展的主要因素有哪些
摘要介绍了3G技术在国内外的发展情况,阐述了发展趋势,并对移动增值业务的分类和所采用的主流技术、标准化情况进行了论述。 关键词3G发展现状增值业务发展趋势1、全球3G技术发展现状 1.1国外发展概况 到2004年9月底,全球在3G核心频段发放120张许可证。核心频段有FDD(频分双工)和TDD(时分双工)两种方式。在120张许可证中,FDD+TDD组合方式有100张,大多数欧洲的运营商都采用这种形式。从技术角度看,采用WCDMA技术的共116张许可证,其中有19个国家的38个网络已商用的,用户数为1060万;采用TDD技术的有101张,目前尚未有商用网络;采用cdma2000技术的有3张,目前尚未有商用网络,但在原有频段升级到cdma2000 1x和1x EV-DO/1x EV-DV的约有80个商用网络,cdma2000用户为1.13亿,EV-DO用户930万。 由统计数字看出,cdma2000 1x发展迅速,已经在全球大规模商用。其原因得益于技术的成熟性以及能后向兼容,但目前运营商仍在2G网络的频段上运营,全球尚未有3G核心频段的网络运营。随着竞争的加剧和移动增值业务的开展,支持更高数据吞吐量(2.4Mbps)的cdma2000 1x EV-DO的商用运营商由2003年底的5个增加到目前的10个,用户达到930万,90%以上的用户集中在韩国。 1.2我国3G进展概况 到2004年9月底,我国移动用户数为3.2亿,占全球移动用户总数的20%以上。 1.2.1试验简况 2001年6月至2003年8月,进行了MTNet测试;2003年10月正式启动了第三代移动通信网络技术试验;2004年9月完成了第三代移动通信技术的现网测试。在现网测试阶段,涵盖了TD-SCDMA、WCDMA和cdma2000三种主流技术的15个国内外主要设备厂商的25套系统,分别在北京、上海、广州组成模拟商用环境,同时搭建了WAP、MMS、定位、JAVA、流媒体、多媒体邮件、BREW、可视电话等移动增值业务平台。在信息产业部领导下,部电信研究院、中国电信、中国移动、中国网通、中国联通、中国铁通和中国卫通参加,由技术标准研发和网络运营的专业技术人员对3G技术、设备、终端和增值业务进行了全面的验证。试验的主要内容有以下六大部分: (1)无线网络性能测试。测试三种3G网络在不同业务(话音、可视电话、中高低数据速率)的覆盖特性,不同地理环境的覆盖特性,以及不同业务的容量特性,切换、功率控制、接续质量等性能。 (2)终端测试。测试三种3G技术各种终端的功能和性能,基本业务和增值业务的支持情况,以及耗电特性等。 (3)互操作测试。测试每一种3G技术不同厂商的终端和系统之间(无线接口),终端和业务平台之间,不同厂商的系统之间(如Iur接口)的互操作测试,以及不同3G和2G系统之间的切换、漫游和互通等。 (4)业务测试。测试三种3G网络对基本话音、可视电话、分组数据业务的承载能力,以及对WAP,流媒体,MMS,Java,定位等增值业务的支持情况。 (5)干扰测试。测试三种3G技术在共站址、邻站址、相邻频段情况下的相互干扰情况,3G与2G技术(GSM和CDMA)之间的干扰测试,以及与PHS之间的干扰等。 (6)网管和计费测试。包括每个厂商设备的网管功能和网管接口及信息模型的测试,计费功能的测试等。 这次试验为我国客观地了解和认识3G的发展进程,进一步推进3G技术、设备和业务的发展作出了积极的贡献。试验过程和结果对发展3G的科学决策、标准制定、产业发展和网络运营起到积极的作用,为3G在中国的健康发展奠定了坚实的基础。 1.2.2TD-SCDMA产业发展状况 从2003年底TD-SCDMA产业联盟成立以来,其成员不断扩大,在信息产业部组织的3G技术试验的推动下,包括无线接入网、终端芯片、手机、核心网络、仪表等TD-SCDMA产业链的多厂家参与的研发体系已经初步形成,TD-SCDMA的实用化进程也明显加快,TD-SCDMA系统的设备取得阶段性成绩,大唐/普天和中兴公司已提供系统设备参与第三代移动通信技术试验。终端芯片产品的开发也取得了突破性进展并已驶入快车道。 在3G技术试验中,从2004年5月份开始,大唐/普天对TD-SCDMA系统进行了设备和接口功能测试,包括无线接入子系统设备,Iub接口、Iu接口等。9月份进行外场的覆盖和容量等性能测试。另外,中兴公司开发的TD-SCDMA系统也参与了测试;大唐开发的手持测试终端也在8月底开始在测试中应用。 1.2.3通信行业标准出台 中国通信标准化协会组织了科研院所、大学、运营商和制造商等相关单位,从1999年开始,研究了包括WCDMA、TD-SCDMA和cdma2000三大主流技术的标准。从2004年初开始,全面启动了3G系列标准的起草及审定工作。这一工作是以近年来跟踪了解和编写的大量预研报告为基础,基于3G模拟实验和现场实验,最终完成了包含WCDMA、TD-SCDMA、cdma2000及业务应用共四个子体系的3G系列标准共98项的起草工作,为3G在我国的商用奠定了技术基础。 2、发展趋势 3G在不断发展:无线接口技术向着更高的带宽、更大的容量、更好的服务质量(QoS)的目标发展;核心网向全IP的网络架构方向发展。 2.1增强型无线接口的发展 WCDMA在3GPP R6引入了HSDPA(高速下行分组接入)和HSUPA(高速上行分组接入)技术,在上、下行采用5MHz带宽时,能够达到14Mbit/s?4Mbit/s(DL/UL)的数据速率。 cdma2000的空中接口Release D版本前/反向数据速率在上、下行采用1.25MHz带宽时达到3.1Mbit/s?1.5Mbit/s。 OFDM和MIMO技术的结合,还可以进一步提高数据吞吐量。各种无线调制技术的使用,将使无线频率的利用效率向理论值靠近。 2.2NGN核心网络的发展 3GPP与3GPP2在核心网的发展方面开始走向融合,走向基于IMS的NGN网络架构。IP多媒体网络(IMS)的提出,为移动网络的多媒体业务提供了一种解决方案,同时满足了多媒体业务在安全、计费、漫游以及QoS上的需求。IMS可看作为移动多媒体业务提供的一个平台。IMS的基本协议是基于IETF的,增加了支持移动性的扩展,包括SIP、Diameter、COPS等。 3、3G业务的发展 新出现的移动增值业务不像3G与2G(或2.5G)技术那样有着明确的界限。3G业务的概念只是一个泛泛的说法,泛指对数据承载能力要求较高、能够为用户提供表现力更加丰富的音频、视频等多媒体内容的业务。其实用移动增值业务的概念更恰当。 从国际上看,目前日本、韩国的移动增值业务发展比较快,市场反应较好,进入了一个良性循环的阶段,在移动通信领域处于领先地位。日本的KDDI能够迅速发展壮大,除了凭借成熟的cdma2000 1x技术、性能稳定的终端之外,他们推出移动定位等极具吸引力的增值业务,是推动其网络快速发展的一个重要因素。 在国内,中国移动的“移动梦网”、“M-zone”、“百宝箱”、“彩信”和中国联通公司的“互动视界”、“彩E”、“神奇宝典”、“定位之星”、“联通在信”等业务,以时尚的品牌形象受到年轻人的喜爱。 3.1移动增值业务的标准化组织 从协议结构上说,移动增值业务属于应用层的业务。因此,只要满足增值业务所需数据承载能力的要求,就可以基于不同无线技术的网络。 正是基于这样的考虑,2002年6月成立的开放移动联盟(简称OMA,Open Mobile Alliance),整合了多个业界的业务标准化组织(如WAP论坛、Wireless Village、SyncML、LiF等等),旨在制定独立于承载网络之上的开放的全球统一的移动增值业务标准。到2004年6月,OMA已经发展成为一个具有363个成员的全球性标准化组织。OMA下设Requirements、Architecture、Security、Interoperability、Browser &Content、Location、Push to talk over cellular等15个工作组,针对不同的移动增值业务制定相应的标准。当然有些业务依赖于基础网络结构,如基于信令方式的定位业务等等。这样的业务标准仍然在3GPP、3GPP2的相关工作组中制定。 中国的通信标准化协会也成立了一个业务工作组,负责制定中国通信行业的移动增值业务标准。 3.2业务分类 移动增值业务的分类方法多种多样,以业务的承载方式可以分为基于信令的业务(如短消息)、电路型数据业务(如GSM、CDMA等2G网络上的数据业务)、分组数据业务(如GPRS、cdma2000、W-CDMA等2.5G/3G网络上的中、高速数据业务);以业务提供的功能可以分为消息类业务(如短消息、多媒体短消息等)、交易类业务、游戏类业务、基于位置的业务、浏览类业务、邮件业务等等。 3.3主要商用业务 3.3.1基于智能卡的应用工具箱的业务 基于智能卡(注:这里将GSM使用的SIM卡和CDMA使用的UIM卡统称为智能卡)的应用工具箱技术(STK/UTK),是一种通过短消息方式传输的增值业务平台,主要由移动终端和智能卡来实现。 应用工具箱技术,由于其实现相对简单,提供的业务比较实用,因此目前的应用非常普及。象信息订阅、移动QQ、移动终端银行、移动终端炒股等都是非常典型的应用。中国移动公司的“移动梦网”以及中国联通公司的“联通在信”,都是基于智能卡应用工具箱技术实现的移动增值业务。 3.3.2基于多媒体消息(MMS)的业务 随着文本短消息的商业运营模式在全球取得巨大成功,多媒体消息(MMS)业务应运而生。MMS业务能够提供点到点、点到应用、应用到点的内容更加丰富的多媒体消息存储和转发服务。消息可以是纯文本、图片、视频、音频及其他媒体格式组成的非实时内容。 3.3.3基于IMAP4的多媒体邮件业务 多媒体邮件业务是将互联网上最为常用的电子邮件业务引入移动通信领域。与互联网上的电子邮件不同的是:在互联网上使用最为普及的邮件接收协议是POP3协议,而在移动邮件业务中使用经过优化的IMAP4(IETF:RFC2060)作为邮件接收协议。 用户可以将各种格式的文本信息、图片、音频、视频文件作为附件进行接收和发送。附件的大小可以根据网络的数据承载能力和移动终端的处理能力,从几十kbit到几百kbit。 3.3.4基于WAP的浏览业务 WAP协议是WAP论坛(WAP FORUM)专门为无线环境制订的一套协议。WAP协议基本上可以分为WAP1.x和WAP2.0两类,用户通过手机访问WAP网站上的各种信息。 3.3.5基于GPS的定位业务 根据定位精度可以分为三类: --基于CELLID的定位方式; --基于AFLT(高级前向链路三边测量)的定位方式; --基于GPS卫星的定位方式。 不同精度定位技术的使用可以提供车辆跟踪、定位等满足各种要求的位置服务业务需求。 3.3.6基于JAVA/BREW的业务 J2ME(JAVA 2 Micro Edition)是JAVA 2标准中专门针对小型移动设备的版本。标准包括CLDC和MIDP两部分,规定了KJAVA环境KVM(KJAVA虚拟机)、configration和Profile。 BREW(The Binary Runtime Environment for Wireless,无线二进制运行环境)是高通公司开发的介于底层芯片操作系统和应用之间的一个软件平台,为上层应用提供对底层设备的调用和管理。BREW的优势在于可以高效地利用闪存和随机存取存储器,运行速度比较快。 JAVA和BREW均提供可以将下载的应用在不同厂家设备上运行的应用环境。 除此之外,流媒体、可视电话、基于移动网络技术的无线对讲(PoC)等业务也在逐渐步入商用化的轨道。
执法终端好不好用归根结底还是系统平台好不好用 网络信号好不好用 外扩设备接口是否丰富
最理想的执法终端 应该是有一个成熟的系统平台 方便我们随时查询录入经营户信息、强大的地图AP功能、可以外接便携式打印机跟扫描仪直接当场生成文书并在系统做相应电子记录,还要有个短信平台是不是发送些安全管理指引给经营户 那就是太好不过了
应该是要定制手机比较好,起码可以丰富接口 屏幕也不小 最主要手机打字跟主板打字一样慢,考虑下成本,有多的请给执法人员发福利吧 哈哈哈
好想能配个蓝牙可卷键盘 理想好遥远 吐槽无止境
❻ 什么是便携式执法终端
用途:满足一线执法人员现场执法取证,任务接收,隐患索引,隐患传输,复查提醒,信息查询,图纸查看,即时通信,群组交流,通知下达,位置跟踪等执法需求。
组成:由现场执法终端硬件,执法软件APP(可根据需要预装煤矿安全监察执法系统以及其他行业领域监管执法系统等),执法管理平台三部分构成。
网络支持:全网,支持2G,3G,4G,蓝牙信功能,可实现3G,4G,WI-FI上网功能,通过网络同步数据,并能通过蓝牙等方式与便携式打印机连接。
支持在线与离线两种状态下的现场执法。
❼ DR803A是监察执法终端水质采样器吗有什么特点
DR803A采样器采水系统与在线监测仪采水系统并行,接受执法部门远程控制指令,在排污企业毫无察觉的情况下,按预设时间点执行采样、留样任务,也可执行立即采样、留样指令。
该采样器作为了监察执法终端,所留样品拿到权威部门测试作为处罚依据,对偷排企业、运营造假行为具有非常大的威慑力,是“零点行动,利剑斩污”的执行工具。
❽ 移动交警执法终端价格是多少
移动交警执法终端,抄又称为手持终端、手持PDA、移动终端等等。
选择时,首先要看你的项目需求,主要用在什么行业或领域。其次,看需要定制哪些功能。比如:东大集成的手持终端,可定制条码扫描、RFID功能、GPS、测温测振、指纹采集等功能,最终的价格也根据选择的功能配置来定。
❾ 安全生产移动执法终端指的是什么意思
终端是指生产经营单位。
❿ 安全监管执法终端设备多少钱一台
我的《信息保卫战》读书笔记:终端安全终端安全是企业信息技术安全体系建设的服务对象和密集风险发生部分。我们面临着多方面的挑战,需要釆用不同类型,不同层次,不同级别的安全措施,实现终端安全。一、挑战和威胁1.员工安全意识薄弱,企业安全策略难以实施,网络病毒泛滥病毒、蠕虫和间谍软件等网络安全威胁损害客户利益并造成大量金钱和生产率的损失。与此同时,移动设备的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或公室网络,常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。据2010CSI/FBI安全报告称,虽然安全技术多年来一直在发展,且安全技术的实施更是耗资数百万美元,但病毒、蠕虫和其他形式的恶意软件仍然是各机构现在面临的主要问题。机构每年遭遇的大量安全事故造成系统中断、收入损失、数据损坏或毁坏以及生产率降低等问题,给机构带来了巨大的经济影响。为了解决这些问题,很多企业都制定了企业的终端安全策略,规定终端必须安装杀毒软件,以及及时更新病毒库;终端必须及时安装系统安全补丁;终端必须设置强口令等。但是由于员工安全意识薄弱,企业的安全策略难以实施,形同虚设,网络安全问题依然严重。2.非授权用户接入网络,重要信息泄露非授权接入包括以下两个部分:(1)来自外部的非法用户,利用企业管理的漏洞,使用PC接入交换机,获得网络访问的权限;然后冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。(2)来自内部的合法用户,随意访问网络中的关键资源,获取关键信息用于非法的目的。目前,企业使用的局域网是以以太网为基础的网络架构,只要插入网络,就能够自由地访问整个网络。因非法接入和非授权访问导致企业业务系统的破坏以及关键信息资产的泄露,已经成为了企业需要解决的重要风险。3.网络资源的不合理使用,工作效率下降,存在违反法律法规的风险根据IDC最新数据报导,企事业员工平均每天有超过50%的上班时间用来在线聊天,浏览娱乐、色情、赌博网站,或处理个人事务;员工从互联网下载各种信息,而在那些用于下载信息的时间中,62%用于软件下载,11%用于下载音乐,只有25%用于下载与写报告和文件相关的资料。在国内,法律规定了很多网站是非法的,如有色情内容的、与反政府相关的、与迷信和犯罪相关的等。使用宽带接入互联网后,企事业内部网络某种程度上成了一种“公共”上网场所,很多与法律相违背的行为都有可能发生在内部网络中。这些事情难以追查,给企业带来了法律法规方面的风险。二、防护措施目前,终端数据管理存在的问题主要表现在:数据管理工作难以形成制度化,数据丢失现象时常发生;数据分散在不同的机器、不同的应用上,管理分散,安全得不到保障;难以实现数据库数据的高效在线备份;存储媒体管理困难,历史数据保留困难。为此,我们从以下几个方面采取措施实现终端安全。1.数据备份随着计算机数据系统建设的深入,数据变得越来越举足轻重,如何有效地管理数据系统日益成为保障系统正常运行的关键环节。然而,数据系统上的数据格式不一,物理位置分布广泛,应用分散,数据量大,造成了数据难以有效的管理,这给日后的工作带来诸多隐患。因此,建立一套制度化的数据备份系统有着非常重要的意义。数据备份是指通过在数据系统中选定一台机器作为数据备份的管理服务器,在其他机器上安装客户端软件,从而将整个数据系统的数据自动备份到与备份服务器相连的储存设备上,并在备份服务器上为各个备份客户端建立相应的备份数据的索引表,利用索引表自动驱动存储介质来实现数据的自动恢复。若有意外事件发生,若系统崩溃、非法操作等,可利用数据备份系统进行恢复。从可靠性角度考虑,备份数量最好大于等于2。1)数据备份的主要内容(1)跨平台数据备份管理:要支持各种操作系统和数据库系统;(2)备份的安全性与可靠性:双重备份保护系统,确保备份数据万无一失;(3)自动化排程/智能化报警:通过Mail/Broadcasting/Log产生报警;(4)数据灾难防治与恢复:提供指定目录/单个文件数据恢复。2)数据备份方案每个计算环境的规模、体系结构、客户机平台和它支持的应用软件都各不相同,其存储管理需求也会有所区别,所以要选择最适合自身环境的解决方案。目前虽然没有统一的标准,但至少要具有以下功能:集成的客户机代理支持、广泛的存储设备支持、高级介质管理、高级日程安排、数据完整性保证机制、数据库保护。比如,华为公司的VIS数据容灾解决方案、HDP数据连续性保护方案,HDS的TrueCopy方案,IBM的SVC方案等。2.全面可靠的防病毒体系计算机病毒的防治要从防毒、查毒、解毒三方面来进行,系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。由于企业数据系统环境非常复杂,它拥有不同的系统和应用。因此,对于整个企业数据系统病毒的防治,要兼顾到各个环节,否则有某些环节存在问题,则很可能造成整体防治的失败。因而,对于反病毒软件来说,需要在技术上做得面面俱到,才能实现全面防毒。由于数据系统病毒与单机病毒在本质上是相同的,都是人为编制的计算机程序,因此反病毒的原理是一样的,但是由于数据系统具有的特殊复杂性,使得对数据系统反病毒的要求不仅是防毒、查毒、杀毒,而且还要求做到与系统的无缝链接。因为,这项技术是影响软件运行效率、全面查杀病毒的关键所在。但是要做到无缝链接,必须充分掌握系统的底层协议和接口规范。随着当代病毒技术的发展,病毒已经能够紧密地嵌入操作系统的深层,甚至是内核之中。这种深层次的嵌入,为彻底杀除病毒造成了极大的困难,如果不能确保在病毒被杀除的同时不破坏操作系统本身,那么,使用这种反病毒软件也许会出现事与愿违的严重后果。无缝链接技术可以保证反病毒模块从底层内核与各种操作系统、数据系统、硬件、应用环境密切协调,确保在病毒入侵时,反病毒操作不会伤及操作系统内核,同时又能确保对来犯病毒的防杀。VxD是微软专门为Windows制定的设备驱动程序接口规范。简而言之,VxD程序有点类似于DOS中的设备驱动程序,它是专门用于管理系统所加载的各种设备。VxD不仅适用于硬件设备,而且由于它具有比其他类型应用程序更高的优先级,更靠近系统底层资源,因此,在Windows操作系统下,反病毒技术就需要利用VxD机制才有可能全面、彻底地控制系统资源,并在病毒入侵时及时报警。而且,VxD技术与TSR技术有很大的不同,占用极少的内存,对系统性能影响极小。由于病毒具备隐蔽性,因此它会在不知不觉中潜入你的机器。如果不能抵御这种隐蔽性,那么反病毒软件就谈不上防毒功能了。实时反病毒软件作为一个任务,对进出计算机系统的数据进行监控,能够保证系统不受病毒侵害。同时,用户的其他应用程序可作为其他任务在系统中并行运行,与实时反病毒任务毫不冲突。因此,在Windows环境下,如果不能实现实时反病毒,那么也将会为病毒入侵埋下隐患。针对这一特性,需要采取实时反病毒技术,保证在计算机系统的整个工作过程中,能够随时防止病毒从外界入侵系统,从而全面提高计算机系统的整体防护水平。当前,大多数光盘上存放的文件和数据系统上传输的文件都是以压缩形式存放的,而且情况很复杂。现行通用的压缩格式较多,有的压缩工具还将压缩文件打包成一个扩展名为“.exe”的“自解压”可执行文件,这种自解压文件可脱离压缩工具直接运行。对于这些压缩文件存在的复杂情况,如果反病毒软件不能准确判断,或判断片面,那就不可避免地会留有查杀病毒的“死角”,为病毒防治造成隐患。可通过全面掌握通用压缩算法和软件生产厂商自定义的压缩算法,深入分析压缩文件的数据内容,而非采用简单地检查扩展文件名的方法,实现对所有压缩文件的查毒杀毒功能。对于数据系统病毒的防治来说,反病毒软件要能够做到全方位的防护,才能对病毒做到密而不漏的查杀。对于数据系统病毒,除了对软盘、光盘等病毒感染最普遍的媒介具备保护功能外,对于更为隐性的企业数据系统传播途径,更应该把好关口。当前,公司之间以及人与人之间电子通信方式的应用更为广泛。但是,随着这种数据交换的增多,越来越多的病毒隐藏在邮件附件和数据库文件中进行传播扩散。因此,反病毒软件应该对这一病毒传播通道具备有效控制的功能。伴随数据系统的发展,在下载文件时,被感染病毒的机率正在呈指数级增长。对这一传播更为广泛的病毒源,需要在下载文件中的病毒感染机器之前,自动将之检测出来并给予清除,对压缩文件同样有效。简言之,要综合采用数字免疫系统、监控病毒源技术、主动内核技术、“分布式处理”技术、安全网管技术等措施,提高系统的抗病毒能力。3.安全措施之防火墙及数据加密所谓防火墙就是一个把互联网与内部网隔开的屏障。防火墙有两类,即标准防火墙和双家M关。随着防火墙技术的进步,在双家N关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联N和内部N之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。U前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将H关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问者对专用数据系统的非法访问。一般来说,这种防火墙是最不容易被破坏的。与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,数据系统安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不N,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。4.智能卡实施与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部数据系统服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。数据系统安全和数据保护的这些防范措施都有-定的限度,并不是越安全就越可靠。因而,在看一个内部网是杏安全时不仅要考察其手段,而更重要的是对该数据系统所采取的各种措施,其中不光是物理防范,还有人员的素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。另外,其他具体安全措施还包括数字认证、严谨有效的管理制度和高度警惕的安全意识以及多级网管等措施。另外考虑到数据系统的业务连续,也需要我们设计和部署必要的BCP计划。三、解决方案解决终端安全问题的有效方法是结合端点安全状况信息和新型的网络准入控制技术。(1)部署和实施网络准入控制,通过准入控制设备,能够有效地防范来自非法终端对网络业务资源的访问,有效防范信息泄密。(2)通过准入控制设备,实现最小授权的访问控制,使得不同身份和角色的员工,只能访问特定授权的业务系统,保护如财务系统企业的关键业务资源。(3)端点安全状态与网络准入控制技术相结合,阻止不安全的终端以及不满足企业安全策略的终端接入网络,通过技术的手段强制实施企业的安全策略,来减少网络安全事件,增强对企业安全制度的遵从。加强事后审计,记录和控制终端对网络的访问,控制M络应用程序的使用,敦促员工专注工作,减少企业在互联网访问的法律法规方面的风险,并且提供责任回溯的手段。1.集中式组网方案终端安全管理(TerminalSecurityManagement,TSM)系统支持集中式组网,把所有的控制服务器集中在一起,为网络中的终端提供接入控制和安全管理功能。集中式组网方案如图9-3所示。2.分布式组网方案如果遇到下面的情况,可能需要采用分布式组网方案,如图9-4所示。(1)终端相对集中在几个区域,而且区域之间的带宽比较小,由于代理与服务器之间存在一定的流量,如果采用集中式部署,将会占用区域之间的带宽,影响业务的提供。(2)终端的规模相当大,可以考虑使用分布式组网,避免大量终端访问TSM服务器,占用大量的网络带宽。分布式部署的时候,TSM安全代理选择就近的控制服务器,获得身份认证和准入控制等各项业务。3.分级式组网方案如果网络规模超大,可以选择采用分级式组网方案,如图9-5所示。在这种部署方案中,每个TSM结点都是一个独立的管理单元,承担独立的用户管理、准入控制以及安全策略管理业务。管理中心负责制定总体的安全策略,下发给各个TSM管理结点,并且对TSM管理结点实施情况进行监控。TSM系统对于关键的用户认证数据库提供镜像备份机制,当主数据库发生故障时,镜像数据库提供了备份的认证源,能够保证基本业务的提供,防止因为单一数据源失效导致接入控制的网络故障。当TSM系统发生严重故障,或者TSM系统所在的网络发生严重故障时,用户可以根据业务的情况进行选择:业务优先/安全优先。如果选择业务优先,准入控制设备(802.1X交换机除外)上设计的逃生通道能够检测到TSM系统的严重故障,启用逃生通道,防止重要业务中断。TSM终端安全管理系统提供服务器状态监控工具,通过该工具可以监控服务器的运行状态,如数据库链接不上、SACG链接故障以及CPU/内存异常等。当检查到服务器的状态异常时,可以通过邮件、短信等方式通知管理员及时处理。四、终端虚拟化技术1.传统的终端数据安全保护技术1)DLP(1)工作方式:DLP(DataLossPrevention,数据丢失防护)技术侧重于信息泄密途径的防护,是能够通过深度内容分析对动态数据、静态数据和使用中的数据进行鉴定、检测和保护的产品。可以在PC终端、网络、邮件服务器等系统上针对信息内容层面的检测和防护,能够发现你的敏感数据存储的位置,之后进行一定的处理方式,但也是有些漏洞的。(2)使用场景与限制:虽然DLP方案从灵活性、安全性、管理性上都满足了数据安全的需求,但同样成功部署DLP方案需要有一个前提,就是其数据内容匹配算法的误报率要足够低。然而,由于数据内容的表达方式千差万别,在定义数据内容匹配规则的时候漏审率和误判率非常难平衡,无论是哪个厂商的DLP产品,在实际测试过程中的误报率普遍都偏高,DLP方案的防护效果体验并不好。2)DRM(1)工作方式:DRM(DigitalRightManagement,数字权限管理)是加密及元数据的结合,用于说明获准访问数据的用户,以及他们可以或不可以对数据运行进行某些操作。DRM可决定数据的访问及使用方式,相当于随数据一起移动的贴身保镖。权限包括读取、更改、剪切/粘贴、提交电子邮件、复制、移动、保存到便携式保存设备及打印等操作。虽然DRM的功能非常强大,但难以大规模实施。(2)使用场景与限制:DRM极其依赖手动运行,因此难以大规模实施。用户必须了解哪些权限适用于哪种内容的用户,这样的复杂程度常使得员工忽略DRM,并导致未能改善安全性的失败项冃。如同加密一样,企业在应用权限时必须依赖人为的判断,因为DRM丄具不具备了解内容的功能。成功的DRM部署通常只限于用户训练有素的小型工作组。由于存在此种复杂性,大型企业通常并不适合部署DRM。但如同加密一样,可以使用DLP来专注于DRM,并减少某些阻碍广泛部署的手动进程。3)全盘加密(1)工作方式:所谓全盘加密技术,一般是采用磁盘级动态加解密技术,通过拦截操作系统或应用软件对磁盘数据的读/写请求,实现对全盘数据的实时加解密,从而保护磁盘中所有文件的存储和使用安全,避免因便携终端或移动设备丢失、存储设备报废和维修所带来的数据泄密风险。(2)使用场景与限制:与防水墙技术类似,全盘加密技术还是无法对不同的涉密系统数据进行区别对待,不管是涉密文件还是普通文件,都进行加密存储,无法支持正常的内外部文件交流。另外,全盘加密方案虽然能够从数据源头上保障数据内容的安全性,但无法保障其自身的安全性和可靠性,一旦软件系统损坏,所有的数据都将无法正常访问,对业务数据的可用性而言反而是一种潜在的威胁。上述传统安全技术是目前银行业都会部署的基础安全系统,这些安全系统能够在某一个点上起到防护作用,然而尽管如此,数据泄密事件依然是屡禁不止,可见银行业网络整体安全目前最人的威胁来源于终端安全上。而且部署这么多的系统方案以后,用户体验不佳,不容易推广,因此并未达到预期的效果。要彻底改变企业内网安全现状,必须部署更为有效的涉密系统数据防泄密方案。2.数据保护的创新——终端虚拟化技术为了能够在确保数据安全的前提下,提升用户的易用性和部署快速性,冃前已经有部分企业开始使用终端虚拟化的技术来实现数据安全的保护。其中,桌面/应用虚拟化技术以及基于安全沙盒技术的虚拟安全桌面就是两种比较常见的方式。1)桌面/应用虚拟化桌面/应用虚拟化技术是基于服务器的计算模型,它将所有桌面虚拟机在数据中心进行托管并统一管理。通过采购大量服务器,将CPU、存储器等硬件资源进行集中建设,构建一个终端服务层,从而将桌面、应用以图像的方式发布给终端用户。作为云计算的一种方式,由于所有的计算都放在服务器上,对终端设备的要求将大大降低,不需要传统的台式计算机、笔记本式计算机,用户可以通过客户端或者远程访问等方式获得与传统PC—致的用户体验,如图9-6所示。不过,虽然基于计算集中化模式的桌面虚拟化技术能够大大简化终端的管理维护工作,能够很好地解决终端数据安全问题,但是也带来了服务端的部署成本过大和管理成本提高等新问题。(1)所有的客户端程序进程都运行在终端服务器上,需要配置高性能的终端服务器集群来均衡服务器的负载压力。(2)由于网络延迟、服务器性能、并发拥塞等客观因素影响,在桌面虚拟化方案中,终端用户的使用体验大大低于物理计算机本地应用程序的使用体验。(3)计算集中化容易带来终端服务器的单点故障问题,需要通过终端服务器的冗余备份来强化系统的稳定性。(4)桌面虚拟化方案中部署的大量终端服务器以及集中化的数据存储之间的备份、恢复、迁移、维护、隔离等问题。(5)由于数据集中化,管理员的权限管理也需要列入考虑,毕竟让网络管理员能够接触到银行业务部门的业务数据也是违背数据安全需求的。(6)桌面集中化方案提高了对网络的稳定性要求,无法满足离线公的需求。因此,此种方案在大规模部署使用时会遇到成本高、体验差的问题,如图9-7所示。2)防泄密安全桌面为了解决桌面/应用虚拟化存在的问题,一种新的终端虚拟化技术——基r沙盒的安全桌面被应用到了防泄密领域,如图9-8所示。在不改变当前IT架构的情况下,充分利用本地PC的软、硬件资源,在本地直接通过安全沙盒技术虚拟化了一个安全桌面,这个桌面可以理解为原有默认桌面的一个备份和镜像,在安全桌面环境下运行的应用、数据、网络权限等完全与默认桌面隔离,并且安全沙盒可以针对不同桌面之间进行细粒度的安全控制,比如安全桌面下只能访问敏感业务系统,安全桌面内数据无法外发、复制、打印、截屏,安全桌面内保存的文件加密存储等等。这样一来,通过安全桌面+安全控制网关的联通配合,就可以确保用户只有在防泄密安全桌面内进行了认证后才能访问核心敏感系统,实现了在终端的多业务风险隔离,确保了终端的安全性。安全桌面虚拟化方案为用户提供了多个虚拟的安全桌面,通过不同虚拟安全桌面相互隔离文件资源、网络资源、系统资源等,可以让用户通过不同的桌面访问不同的业务资源。比如为用户访问涉密业务系统提供了一个具有数据防泄露防护的防泄密安全桌面,尽可能减少对用户使用习惯的影响,解决了物理隔离方案的易用性问题,如图9-9所示。基于沙盒的安全桌面方案的价值在于,在实现终端敏感业务数据防泄密的前提下,不改变用户使用习惯,增强了易用性,还保护了用户的现有投资。目前,防泄密安全桌面已经在金融、政府、企业等单位开始了广泛的应用,主要部署在CRM、ERP、设计图样等系统前端,以防止内部销售、供应链、财务等人员的主动泄密行为。但是安全桌面技术也有一定的局限性,比如它不适用于Java、C语言的代码开发环境,存在一定兼容性的问题。总而言之,两种终端虚拟化技术各有优劣,分别适用于不同的业务场景,具体可以参照图9-10。