网络安全与防护范文

时间:2023-06-08 17:38:31

导语:如何才能写好一篇网络安全与防护,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全与防护

篇1

关键词:网络;安全;防护;

1.网络安全的含义

随着计算机网络的发展,其开放性、共享性、互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

网络有其脆弱性,并会受到一些威胁。网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2.网络安全问题的由来及产生原因

网络本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息安全方面的规划则非常有限,这样,伴随计算机与通信技术的迅猛发展,网络攻击与防御技术循环递升,原来网络固有优越性的开放性和互联性变成信息的安全患之便利桥梁。网络安全已变成越来越棘手的问题,只要是接入到因特网中的主机都有可能被攻击或入侵了,而遭受安全问题的困扰。

目前所运用的TCP/IP协议在设计时,对安全问题的忽视造成网络自身的一些特点,而所有的应用安全协议都架设在TCP/IP之上,TCP/IP协议本身的安全问题,极大地影响了上层应用的安全;而操作系统、软件系统的不完善性也造成安全漏洞;在安全体系结构的设计和实现方面,即使再完美的体系结构,也可能因一个小小的编程缺陷,带来巨大的安全隐患;安全体系中的各种构件间缺乏紧密的通信和合作,容易导致整个系统被各个击破。

3.计算机网络中的安全缺陷及产生的原因

网络安全缺陷产生的原因主要有:

第一,TCP/IP的脆弱性: 因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。

第二,网络结构的不安全性:因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。

4.网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。

IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。

5.网络安全防护的主要技术

安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。

5.1认证

对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。

5.2数据加密

加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。

5.3防火墙技术

防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。

5.4入侵检测系统

入侵检测系统(Instusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。

5.5虚拟专用网(VPN)技术

所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的"加密管道"在公共网络中传播。

6.网络安全问题的分析

网络安全建设是一个系统工程、是一个社会工程,对于网络安全领域的投资是长期的行为,更重要的是看对该网络所采取的综合措施,要尽快建立完善的网络安全组织体系和认证结构,增强每个网络用户的安全意识,只有这样才能从根本上解决网络安全问题。

参考文献

[1]张千里.陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.

[2]高永强.郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社,2003.

[3]周国民.入侵检测系统评价与技术发展研究[J].现代电子技术,2004(12).

[4]耿麦香.网络入侵检测技术研究综述[J].网络安全,2004(6).

篇2

关键词:网络安全,防护技术

引言

近年来,随着网络技术的飞速发展,计算机网络已经成为人们日常办公学习最重要的平台和载体。作为处于信息化技术应用前沿的高校,越来越多的行政、教学、科研资源都被放置在校园网络中,而依托于校园网络的智慧校园概念的出现和推广,使得高校的校园网络所承载的信息资源越发的庞杂。如今,校园网络已不再是单纯的科研人员、教师、学生用以获取知识、传递信息、学习交流的渠道,还成为了大量信息数据采集、整理、挖掘的传播通道。随着校园网络传递数据量的急剧增多,对校园网络安全的保护已经成为高校管理的重中之重,越发引起各高校的重视。

1、高校网络安全现状

网络安全通常是指计算机网络中的硬件设备、软件系统及系统中的数据信息受到的安全防护,防止因为偶发事件或恶意行为而遭受到破坏、篡改、泄漏,并能保证网络所承载的系统稳定可靠的运行。网络安全主要特性包括授权使用资源的保密性、存储传输数据的完整性、按需实时访问服务的可用性、对信息传递过程的可控性和安全问题发生后的可追溯性。

目前,各高校网络建设对硬件的投入更迭比较的及时,且由于构建网络的传输设备往往具有较长的稳定使用周期。因此网络安全的问题往往很少出现在硬件设备上,更多的频发风险发生在软件系统和数据信息传输过程中。综合来看,高校的网络安全威胁主要有以下几个方面:

(1)病毒攻击与木马传播

现今的计算机病毒种类繁多,木马的数量也日渐增加,由于校园网络的带宽通常较高,病毒和木马的传播速度也非常的快,受染的计算机设备往往会对网络中的其它设备发起攻击,占用带宽,消耗资源,严重的情况可能会瘫痪局部网络,出现大量数据丢失、泄漏的问题。

(2)系统及协议漏洞

高校校园网络中常见的操作系统因为系统本身结构、管理配置不正确等因素充满着漏洞,这让很多别有用心的人有机可乘。另外,由于高校校园网络建设所依据的TCP/IP协议本身在设计之初只考虑到了网络的开放和简便性,未考虑到安全问题,因此网络信息在传递的中很容易被窃听、伪造和修改。

(3)网络带宽滥用及不良信息传播

有调查表明,高校校园网内,很大部分的带宽被用来观看在线视频、下载数据量较大的软件,同时,一些不良信息也很容易在校园网络中扩散。这些行为不加以管理控制,很容易挤占其他资源及服务,同时也不利于净化网络环境,对校园网络的正常使用、校园文化建设产生影响。

(4)非授嘈形和恶意攻击

高校网络资源内容比较丰富,而高校的师生的网络安全意识又比较的薄弱,因此容易成为被攻击目标,不论是非授权的网络访问还是很黑客的恶意攻击,都对网络安全运行造成一定的影响,严重的甚至将有损学校的整体形象。

2、高校网络安全防护技术

针对高校网络安全的现状,目前比较好的防护技术有以下几种

(1)病毒防控技术

相较于传统的病毒库比对的防控病毒的手段,当前的病毒防控技术更加的智能化,市场上主流的病毒防控系统都具有根据代码执行的行为进行判断,从而有效的识别未知病毒和变种,起到阻止病毒传播的作用。

(2)防火墙技术

防火墙通常分为包过滤型和型,根据放置在网络的不同位置,形成对数据进行控制的一个通道。目前新一代的硬件防火墙在传统的对数据包内容进行审核过滤及授权服务的基础上加强了对从数据链路层直至应用层的一体化安全防御体系,并结合时下流行的云技术,具备网站黑链检测、webshell脚本检测等功能。可以根据部署的场景不同,有效的防止和可入侵、病毒扩散、信息泄露等问题。

(3)入侵检测技术

入侵检测技术属于主动安全防护措施,主要是对网络传输进行即时监控,在发现可疑传输时发出报警或采取主动反应措施。目前主流入侵检测系统在原有对网络系统进行漏洞扫描的基础上,多采用机器学习的技术对于异常流量进行检测,并通过虚拟环境构造对恶意代码进行沙箱测试,全方面的保证网络传递信息的安全性。

(4)上网行为管理技术

上网行为管理技术通常包含对网络使用者的行为管理、流量控制、信息管控、行为分析等功能,可以有效的防止网络使用者进行非授权行为,提高网络带宽的利用率,避免内网数据泄露,保证网络关键业务正常稳定运行。近些年来随着无线接入技术的完善,高校校园网络的无线接入方式越发的普遍,因此上网行为管理系统通常也具备对无线接入设备的管控功能,可以有效的避免非法无线设备接入网络造成的安全风险。

(5)VPN技术

VPN技术通过为外网的访问者提供了一条安全的虚拟专用通道,可以在通过授权的情况下访问校园网络资源。基于IPSec和SSL的VPN技术可以通过账号密码、usb key等多种手段进行身份安全认证,传输数据过程中进行AES、DES、MD5等多种算法的加密,并针对不同用户设置不同的使用权限和访问时间,必要的情况下还可以在访问结束后对客户端cookies、临时文件进行清理,保证上网信息安全。

3、结语

随着高校信息化水平的提升,校园网络所承载和发挥的作用越来越重要,因此保证网络安全尤为重要。网络安全工作从来不能一蹴而就,需要管理者采用多种安全防控技术和手段,结合必要的网络管理措施,逐步提高校园网络安全的水平,为高校师生提供更好的网络服务。

参考文献:

[1]郭可, 高校校园网络安全技术及应用 [J],电脑知识与技术,2016.06

[2]刘慧,浅谈校园网络安全体系 [J],价值工程,2015.1

[3]唐旭; 陈蓓,蜜罐技术在校园网络安全中的作用分析 [J],电脑与电信,2015.12

篇3

关键词:急救计算机网络;防护策略;网络安全;防火墙

1计算机网络安全基本概念

网络安全就是为防范计算机网络硬件、软件、数据偶然或蓄意破坏、篡改、窃听、假冒、泄露、非法访问和保护网络系统持续有效工作的措施总和。

2急救中心计算机网络安全的重要性

急救中心承担着一个地区的院前急救、突发事件的医疗救治、自救技能的普及教育及大型活动的保障任务。其中,调度指挥中心是一个地区呼救信息的聚集地,是为提供院前急救服务的医疗应急调度机构,集中受理本地区120呼救电话,根据报警人提供的呼救信息,以GIS电子地图、GPS卫星定位、车载终端等信息为参考依据,利用计算机网络技术,第一时间向急救车发送指令,同时车载终端信息会传输给相应医疗机构,做好接治病员的各项预备工作。院前急救体系是社会应急安全保障体系的重要组成部分,它关系到人民群众的健康和生命安全。院前急救网络一旦出现安全隐患或数据丢失,将会带来巨大的灾难和难以弥补的损失。因为网络系统的安全管理至关重要,既要防止计算机犯罪,又要防止网络数据的丢失及非法用户的入侵,确保院前急救信息系统持久稳定正常运行。

3影响急救网络安全的主要因素

影响网络安全性因素有较多技术,主要有通信技术、信息安全技术、密码技术等,这些技术各司其职地保护计算机的物理安全和逻辑安全,文章重点从以下5个方面分析影响计算机网络安全的因素。

3.1硬件方面

硬件设备的安全是整个计算机安全系统的基础,其中软件系统的安全都要通过硬件提供,计算机的网卡、输入输出设备及芯片等是计算机的主要部件,硬件设备好坏对急救网络的安全有着很大的影响。计算机网络硬件中网卡、调制解调器、集线器、中继器、网桥、交换机、路由器和网关等是整个系统中不可或缺的硬件设备,若没有及时仔细地检查,一旦出现故障,整个计算机网络就会发生故障,甚至导致整个网络瘫痪,从而无法继续运行。

3.2软件方面

硬件是基础;软件是灵魂,是信息化的灵魂。软件的丢失、篡改、窃取、非法复制、滥用等对系统造成的后果是灾难性的,软件中任何一个小的纰漏、一项不完善的功能、一次微细的修改都可能对系统造成极大的影响。软件一般分为操作系统和数据库两大类。其中微软的Windows操作系统相对很普及,该系统配置方便易操作,但是目前发现的漏洞很多,虽然微软会定期更新安全补丁,但仍然会被攻击。修改通过网络入侵电脑使操作系统无法正常运行,或增加流量让电脑运行大量数据,并关闭CPU风扇,使CPU过热烧坏。

3.3病毒侵害

进入全面的网络时代后,计算机病毒的种类也逐渐增多,扩散速度更加迅猛,这些新出现的具有新的传播方式和破坏力的病毒,对用户的破坏性和感染性也更加巨大。这些病毒不但本身具有破坏性,而且具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防,类似于鬼影病毒、AV终结者末日版、网购木马、456游戏木马、连环木马(后门)、新淘宝客病毒、浏览器劫持病毒、QQ群蠕虫病毒等网络病毒。这些病毒一旦进入急救网络,不仅会严重影响到急救网络的安全运行,还直接威胁到患者的安全和隐私等。

3.4黑客攻击

网络黑客的几种常用攻击手段有[1]:(1)获取口令,通过网络监听非法得到用户口令,知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解,获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解。(2)放置特洛伊木马程序,此程序可以直接侵入用户的电脑并进行破坏。(3)电子邮件攻击。(4)通过一个节点来攻击其他节点。(5)网络监听、寻找系统漏洞、偷取特权等。

3.5人为因素

人为因素是网络安全造成威胁的最大因素,出现人为因素的原因当然也有很多。网络运行一般都是由网络管理人员进行维护,所以网络管理人员技术水平的高低决定了网络安全的高度,一些网络管理人员缺乏系统的安全教育,对信息安全知识了解不彻底,对网络安全维护不重视,出现网络故障时没有有效的解决方案,这些都会导致风险加大。人为因素有可能带来网络故障、病人信息篡改泄密等重大损害,对开展正常的急救工作造成严重影响,给急救带来不可估量的损失。

4提高急救网络安全的一些策略

以上分析了院前急救网络安全的重要性和产生网络安全问题的诸多因素,当这些因素出现时将如何面对,下面讨论给出一些解决问题的策略。

4.1提高木马病毒防护能力

一是预防,通过相关部门的病毒报告,获取最新的病毒资料。二是安装防病毒的安全软件。三是定期扫描系统,网络管理人员按时对各业务平台进行定期检查,阻止病毒出现。四是更新防病毒软件。五是不要轻易执行附件中的EXE和COM等可执行程序。六是不要轻易打开附件中的文档文件等。

4.2配置防火墙

“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,实际上是一种隔离技术。利用防火墙设置相应访问规则,将不同的用户分离开,确保网络黑客无法访问,同时阻止他们篡改删除网络中重要信息等。通过应用防火墙能够使整个计算机网络的安全性得到增强,使局域网内部的信息安全得到保障,避免受到外界不良信息的干扰[1]。

4.3制定有效网络安全管理制度

严格的管理是急救网络安全的重要措施,往往很多急救单位都是疏于管理,对网络安全不重视,所以研究制定急救网络安全的各项规章制度变得尤为重要。规范网络操作行为的各项流程,建立网络安全的监管制度,提高检查的力度;对计算机网络安全措施的操作和控制建立一套行之有效的规章并切实落实到位,做到责任明确到人;建立健全网络安全故障响应的应急制度,如应急相应规范和网络故障恢复程序等,以及及时处理应对突发的网络问题故障,及时解决问题保障整个网络系统的正常使用。

4.4身份认证和网络信息加密

身份认证是一种很常用的技术,可区分用户是否具有对某种资源的访问和使用权限,使计算机和网络系统的访问策略能够安全有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全以及授权访问者的合法利益。信息加密技术是保障信息安全的最基本、最核心的技术措施。网络技术的发展让密码技术在保证信息安全方面得到了充分的应用。一些著名的常规密码算法有:美国的DES,TripleDES,GDES,NewDES和DES的前身Lucifer;欧洲的IDEA代换密码和转轮密码等。密码技术是网络安全最有效的技术之一。加密网络不仅可以防止非授权用户的搭线窃听和入网,而且是对付恶意软件行之有效的方法。加密之所以安全,是因为秘钥起关键作用,RSA和AES加密算法现在都是公开的,已加密的数据就算知道加密算法若没有加密的密钥,也无法打开被保护的信息。

4.5提高网管人员防护意识

部分地区院前急救网络的建设比较薄弱,网络管理人员没有专业技术人员技术全面,安全意识还比较淡薄,无形中造成了安全隐患。若要彻底完全地解决安全问题就必须要提高网络安全的监测水平以及网络安全的防护能力。只有这样才能保证当网络安全出现问题时能及时有效地做出反应,彻底解决出现的网络信息安全问题。

4.6制定应急处理方案

为了及时响应计算机网络系统可能遭受的攻击和破坏,应该制定详细的紧急响应和应急恢复方案。对于网络中的单个系统或设备发生的故障,作为应急恢复计划的一部分,应该仔细检查整个系统的环境以明确任何子系统或设备故障对整个网络造成的影响并在规定的修复时间内及时恢复设备运行。

参考文献

篇4

关键词: 计算机;网络;安全;防范

        1  网络安全的含义及特征

        1.1 含义  网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。

        它具有三方面内容:①保密性:指网络能够阻止未经授权的用户读取保密信息。②完整性:包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。③可用性:指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。

        1.2 特征  网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。

        2  网络安全现状分析

        网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。

        3  网络安全解决方案

        要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。

        4  网络安全是一项动态、整体的系统工程。

        网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术:

篇5

关键词:MIS;RPMS;网络安全防护

中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2013)24-0111-02

甘井子热电厂新建2×300MW等级供热机组,综合自动化水平达到国内同类机组先进水平,计算机网络信息系统层次复杂。众多不同安全等级的系统相连,外网接入,内网开放,出现了系统安全问题。如果系统安全没有保障,特别是生产网络和生产数据没有保障,重要的信息会面临丢失、被篡改的危险,影响企业的正常生产经营。这一问题伴随着企业信息化的发展显得越来越突出。因此必须制定一套更加严密可靠的防御体系,来确保网络系统的安全。本文主要探讨电厂MIS与RPMS之间网络安全防护的问题。

1 MIS的网络结构和配置

MIS为生产和管理、维护人员提供大量可靠的信息,提供大量业务处理流程,提高电厂的管理效率,使电厂能够在优化控制和优化管理软件的支持下,实现全厂管理体制一体化。

1.1 MIS的体系结构

采用“客户机/服务器”与“浏览器/服务器”相结合的体系结构。电厂内部的生产信息、工程信息、管理信息的资源共享,与电网调度及其相关部门的信息交换,与Internet的连接,并实现远程用户通过VPN上网。

1.2 MIS的系统结构

主要包括五个子系统:资产管理子系统、运行管理子系统、物资管理子系统、系统维护子系统、人力资源子系统等。

1.3 MIS的系统配置

网络系统布置:以MIS数据中心为核心,采用星型结构向外展开连接。主干网为1000Mbps光缆连接,主干网到桌面采用1000Mbps双绞线连接。网络使用核心层、接入层的架构设计。根据业务特点划分,主要分为核心区、服务器区、办公接入区、广域网区。每个区域都直接与核心区相连,以保证各区域业务流量高速的数据转发。核心区内配置两台核心交换机组成集换机系统。

网络服务器:采用双小型机和存储共同组成SAN网络。其他业务处理采用2U和1U服务器。

网络操作系统:小型机使用UNIX操作系统,其他服务器使用Windows 2008 Server。

数据库管理系统:采用关系型数据库,数据库管理软件具有较大的容量。

数据备份系统:系统硬件采用大容量的磁盘阵列,配备NBU备份软件,关键数据采用实时备份,一般数据采用定时备份的方式。

2 RPMS的网路结构和配置

RPMS采集机组DCS、DEH、ECMS等控制系统的数据,实现实时数据采集和监视、负荷调度分配优化,厂级性能计算分析等,对实时过程进行优化管理。

2.1 RPMS拓扑结构

2.2 RPMS的系统配置

网络系统:堆叠交换机,主干网采用网络介质采用光缆,各信息集中区域内采用六类1000Mbps双绞线连接。

服务器:配置数据库服务器和应用服务器。

系能维护:设置性能维护分析站。

数据备份系统:配置磁盘阵列。

3 MIS与RPMS的联接

按照安全和保密的要求,MIS与RPMS建立各自独立的网络环境,用网络隔离网闸实现MIS与RPMS两个网络间的隔离和链接。设置不同层次的授权传输权限,确保DCS内部数据与外部传输的安全性,避免实时控制系统受到来自MIS系统不确定因数的攻击。把MIS和DCS隔离开来,故障时互不影响,提高两者的可靠性。

在DCS控制系统中经过采集处理的生产过程实时信息,向RPMS系统单向传送实时数据。MIS系统只接收来自RPMS系统数据,而不参与系统的控制。

4 MIS与RPMS联网安全隐患分析

国家电监会在2006年34号文《电力二次系统安全防护总体方案》,关于发电厂二次系统安全防护的总体要求中,要求发电厂的生产大区与管理信息大区间相连必须采取接近于物理隔离强度的隔离措施;如以网络方式相连,必须部署电力专用横向单向安全隔离装置。生产实时数据与管理信息系统之间只能进行单向数据传输,任何计算机终端,任何系统不能向生产实时控制系统的服务器、控制装置、数据采集等设备写数据。一方面,这是由于RPMS与生产系统息息相关,管理信息区需要的生产数据全部来源于RPMS,DCS、NCS、ECMS等重要生产控制系统,唯一的外联系统即为RPMS,一旦遭到入侵,势必影响企业的正常生产甚至造成恶性事故,所以其安全性要求更高;另一方面,管理信息系统包含许多不定因素:用户不固定,通信量不固定,使用的软件不固定,甚至可以VPN远程访问,安全管理也不容易落实,极易受病毒感染,并传播病毒。为保证实时系统的安全性,RPMS与MIS之间必须采用单方向的数据通讯。

目前常见的组网方案为MIS与RPMS分别独立组网,并配置各自的服务器,两网络之间用单向横向隔离装置连接。这样,RPMS和MIS只需与各自的服务器交换数据,通信简单,提高了两个网络的独立性,为RPMS子网提供了高度的网络安全。

5 MIS与RPMS联网安全防护措施

为处理MIS与RPMS之间数据传递的安全问题,按照电监会34号文件要求,应该采用专用硬件设备和软件相结合的解决方案。

5.1 采用物理隔离装置

针对防火墙在防病毒方面以及双向传输的局限性。采用电力专用横向单向安全隔离装置,将该装置布置在生产控制区与RPMS网络之间,以及RPMS与MIS网络之间,能够从物理上保证数据只能够由RPMS单向传递到MIS,而不会有数据从MIS传递到RPMS。

5.2 病毒防范

MIS网络应用面广泛,不可控因素众多,布置在MIS管理信息区的RPMS镜像服务器及应用服务器非常容易受到病毒攻击。虽然在MIS与RPMS网之间用单向安全隔离装置从物理上切断了病毒的传播,但是常常由于操作系统的漏洞和管理人员的疏忽,在RPMS网出现病毒,比如实施工程师或者维护人员调试系统时接入的笔记本,即为不可控因素。因此,在提高RPMS维护人员的防病毒意识的同时,应该在RPMS侧布置独立的防病毒服务器。

5.3 网络安全测试

随着网络安全防护技术不断提高,网络的攻击手段和技术也是层出不穷,所以在系统投入使用前,应邀请专业部门对网络结构进行严格的安全测试。模拟各种攻击手段,从RPMS内外网测试网络系统的抗攻击能力,检查是否存在网络安全漏洞,及时完善和修补各种漏洞,最终有效阻止病毒及非法入侵对RPMS整个系统以及生产控制系统的破坏。

5.4 网络安全维护

系统建好后,日常的维护极为重要,及时发现隐患,及时排查,防患于未然,让RPMS系统真正成为企业生产经营的助手。

6 结语

篇6

关键词 计算机;通信网络;安全防护;防护对策

中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)21-0204-01

计算机有两个部分,即通信网络和计算机。通信网络是指把数据进行变换与传输,发送到计算机的终端和信源,以达到计算机的网络资源共享效果。改革开放以来,我国的计算机信息技术的发展、普及是有目共睹的,计算机网络信息的发展形式不但进一步加快通信网络产业的发展,而且在我国的大部分地区都已经在使用计算机网络通信,并随着计算机网络信息的广泛应用,进一步方便了人们的生活和工作[1]。同时,计算机网络信息在实现通信的一体化、资源共享时,也会出现一些威胁计算机通信网络安全的因素,比如说黑客、病毒等,极大的威胁到通信网络信息的安全。面对这些安全问题该怎样防范,预防计算机网络的安全事故,维护计算机网络通信的正常运作,避免信息资源在使用计算机网络的过程中不受到任何的威胁与干扰,是通信网络在现阶段必须解决的重要问题。

1 计算机的通信网络中存在的影响因素

1)客观因素。对通信网络的安全有影响的客观因素通常表现在:①硬件设施存在漏洞。对于一些比较重要的,并且具有高保密性的数据信息等,假如采取防护措施与防护技术较一般的、普通的通信线路进行传输与共享,就极有可能发生被窃取与泄露等威胁,而当前计算机的软件系统与互联网影响设施存在的漏洞比较多,没有较高的安全性,即使网络与软件系统不断的更新与升级,也无法解决其固有的特定的易损本质,从而导致通信信息遭到外部入侵威胁而实施非法操作;②计算机存在病毒影响。当前计算机的病毒种类与数量都非常的多,并且这些病毒不断的进化与变异,对于计算机的通信网络安全造成非常大的威胁,而计算机中一旦遭到病毒入侵,就很难彻底清除,而在清除的过程中会损伤大量的数据信息资源,从而造成极大的危害;③应用软件来源复杂。由于计算机软件通常是由各个软件的开发商所提供,在软件源代码中就有可能存在各种未知或已知的威胁通信网络的安全问题,从而无法保障计算机系统的安全性。

2)主观因素。对通信网络的安全有影响的主观因素通常表现在计算机通信网络相关管理工作人员缺乏一定的安全意识与维护技术。①相关的安全意识与保密意识缺乏。对于需要加密的数据信息,采取明文密码进行加密,或者是长期用同样的密码进行加密,甚至是一个密码多用等,都会使计算机的通讯网络遭受到安全破坏,让不法分子得以入侵,窃取机密文件;②管理工作人员对通信网络的维护技术不强。一些负责网络维护的工作人员在网络通信的安全维护上没有较高的维护水平与技术,或者对维护技能的操作不娴熟规范等,都会造成通信信息存在安全隐患[2]。除此之外,在设计通信网络硬件与软件系统过程中疏忽大意,也会造成隐患的发生,比如,为了使管理人员更加方便进行后台或者远程登录,往往会设置进入端口通道的设备系统,而这些端口一旦被黑客与不法分子发现并入侵,就会对系统产生一定的破坏。即使计算机的通信网络技术在当今已经迅速发展,但与之相配套的设施在建设过程中却面临着许多隐患,例如设施设计的标准不统一、维护管理的效率不高及质量差等,都会在一定程度上威胁通信安全。

2 计算机中通信网络的安全防护策略

1)加强网络安全的管理意识。在当前网络管理的体制当中,一些通信网络管理工作人员在管理的过程当中要将网络的安全管理放在第一位,并加强其网络安全的管理意识培养,保证网络信息的系统性与数据的完整保密性,可以通过加强对网络安全相关技术的研究与交流,及时学习最新网络安全的相关技术,丰富网络安全管理工作者的技术水平与安全知识及实践经验,严格审批网络终端通信设备的密码,确立加密技术,从而保证网络通信的安全。

2)采取多种安全防护对策。由于通信网络的系统比较复杂,并且需要耗费的成本比较高,在维护的过程中具有一定难度,简单单一的防护措施无法对所有入侵进行防护作用,因此,对于非法入侵进行监测、审查与追踪的过程中,通信网络要合理利用各种有效的防护措施,可以在终端用户访问时,发放访问的许可证书与发放口令,从而防止没有经过授权的非法用户入侵,同时利用密码和用户口令等设置权限访问,保证通信网络的安全[3]。

3)强化网络安全防护技术。确保通信网络安全的重要手段之一是提高网络的安全技术,在强化通信网络抵抗受干扰时与行政手段有效结合,对于保护通信网络的安全要采取一些安全的防护技术,有利于保障通信网络的可靠性与保密性。经常用到的防护技术有防火墙、鉴别技术、密码技术和控制访问技术。防火墙技术是保护网络和外界的屏障,可限制、鉴别更新改变防火墙的数据流。鉴别技术可在交换的过程中有效地证实信息,提高通信网络的真实性和合法性。密码技术是由密文、明文、算法与秘钥等组合而成,是一种综合的技术。控制访问技术是为了确定访问权限,是安全机制的核心部分,适用于防范一些非法的用户侵入网络系统。

3 结束语

综上所述,在管理网络安全的工作中,相关的管理工作人员要熟悉与掌握相应通信网络的安全管理技术,加强安全意识的培养,并采取相应的对策提高通信网络安全的技术与水平,建立有效的安全防护系统,不断提高技术人员的操作水平与安全技术能力,建立起完善的安全过滤与防御系统,从而有效的保证计算机中通信网络的安全。

参考文献

[1]焦新胜.对计算机网络信息和网络安全及其防护策略的探讨[J].科技传播,2011,12(05):235-236.

篇7

近年来,随着计算机网络技术的成熟,计算机网络应用迅速普及。伴随我国国民经济信息化进程的推进和信息技术的普及,各行各业对计算机网络的依赖程度越来越高,对信息系统的安全性更加关注,如何保证网络通信的安全性成为人们必须面对的问题。

一、计算机通信网络安全概述

通信网络可以为计算机信息的获取,传输,处理、利用与共享提供一个高效、快捷,安全的通信环境与传输通道。计算机通信网络安全技术从根本上来说,就是通过解决通信网络安全存在的问题,来达到保护在网络环境中存储、处理与传输的信息安全的目的。计算机通信网的信息安全是指挥,控制信息安全的重要保证。随着通信网的一体化和互联互通,共享资源步伐的加快,在人类正在享受信息革命带来的巨大便利的同时也不得不面对因此而生的通信网络安全问题。通信网络安全的实质就是要保护计算机通讯系统或通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏,即保证通信信息的安全性。根据国际标准本文由收集整理化组织的定义,信息安全性的含义主要是指信息的完整性,可用性,保密性和可靠性。因此,如何保证通信网络的安全和保密问题对今后计算机通信网络的发展就显得尤为重要。

二、计算机通信网络安全存在的原因

(一)系统自身的问题。由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理,总是留有“窗口”或是“后门”,这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括以下几个方面:1.网络的开放性;2.软件的漏洞;3.脆弱的tcp/ip服务。

(二)网络传输信道上的安全隐患。网络在传输信道上设计不完善,没有必要的防范措施。这也会给计算机通信网络留下安全隐患。因为如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,专门设备是可以接收到。

(三)人为因素。缺乏安全意识和安全技术的计算机内部管理人员、利用合法身份进入网络。进行有目的破坏的人员、恶意窃取、篡改和损坏数据的网络黑客以及网上犯罪人员对网络的非法使用及破坏等对网络构成了极大威胁。

三、计算机通信网络的防护策略

(一)提高系统自身性能。在计算机通信网络设计的管理时,不能盲目的只考虑实效,而应该把安全因素考虑进去。通信软件系统,数据的保密难度和完善通信协议等在网络系统的初步设计时就应该考虑。必要的安全等级鉴别和防护措施在使用网络通信的过程中逐步制定,减少软件系统漏洞,防止攻击者利用系统漏洞直接侵人网络系统,破坏或窃取数据。

(二)制定时络安全策略。实行用户权限访问控制,如用户口令和密码,身份鉴别等鉴别式。同时也可结合网络授权,利用网络管理方式向终端用户发放访问许可证书及有效口令,以防止非授权用户使用网络和网络资源。在以上的访问过程中.加密机制是不可缺少的,他能使未授权用户“看不懂”在此网络上的信息,保证数据不会在设备上或传输过程中被非法窃取,从而实现信息的保密性。当然,为了防止没有得到允许的用户修改、插人、删除传输的数据,通信网络应该建立一个数据完整性鉴别机制。另外一些审计、监控、防抵赖等安全措施也应该完普。

(三)加强网络安全教育和内部管理。要认识到计算机通信网安全的重要性,广泛开展网络安全的研究和讨论,在技术层次上面应该加强研究和交流,培养和选拔高级网络技术人员。各部门应该加强协作,达到有效的防护网设。当然管理人员是网络安全的关键之一,所以在计算机通信网络的安全管理中,网络管理人才所具备的实践经验应该重视。

(四)提高网络安全技术。密码技术:密码技术的基本思想是伪装信息,它包括对称加密和不对称加密。其密码类型一般有三种,即代替密码、乘积密码和移位密码,代替密码是一种用其它字符或代码代替明码字符后获得的密码;乘积密码则是一种以某种方式连续执行两个或多个密码,以使得所得到的最后结果或乘积从密码编码的角度比其任意一个组成密码都更强;防火墙:防火墙是网络安全的第一道门槛,一般包括数据包过滤技术,应用网关和技术。它的主要作用是控制入、出一个网络的权限,并迫使操作所有连接都要接受它的检查,因此它具有对外来数据流的鉴别和限制从而达到对通信内网的一种安全保护;鉴别技术:为了避免出现非法传送、复制或篡改数据等不安全现象,保证信息在交换过程的合法性,有效性和真实性,此时就需要通过鉴别技术来证实。常有的技术有报文鉴别、身份鉴别和数字签名。

篇8

【关键词】网络安全;动态防护体系;设计;实现

在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。

1 动态安全防护机理分析

要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。

2 设计与实现

2.1 安全主动防御模型设计

网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:

1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。

2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。

3)技术层主要包括监测、预警、保护、检测、响应。

监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。

这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。

网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。

安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。

2.2 动态策略联动响应设计

(1)数据流分类

网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。

(2)深度特征匹配

数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。

为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。

(3)策略联动响应

检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。

3 应用验证

通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。

该应用验证环境在设计上的主要特点在于:

1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。

2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。

3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。

4 结论

为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。

参考文献:

篇9

计算机网络安全是指信息安全和控制安全两部分。信息安全指信息网络的硬件、软件和系统中的数据受到保护,不受偶然或者恶意的原因遭到破坏,系统连续可靠正常运行,信息服务部中断。信息安全定义为“信息的完整性、可用性、保密性和真实性”;控制安全则指身份认证、不可否认性、授权和访问控制。

2.计算机网络安全威胁的类型

网络威胁是潜在利用网络安全缺陷,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全面临来自很多方面的威胁,并且随着时间的变化而变化。网络安全威胁的种类有以下几种:

2.1 物理威胁

包括偷窃、间谍行为、身份识别错误。目前计算机偷窃也时有发生,特别是含有企业的重要文件的机器,容易被不法分子实行偷窃行为,从而造成不必要的损失。

2.2 系统漏洞

包括不安全服务、配置、初始化。系统的各种漏洞容易造成网络安全威胁,要定期检查系统,更新系统补丁,从而可以很好的预防漏洞和安全威胁。

2.3 身份鉴别威胁

包括算法考虑不周、随意口令、口令破解、口令圈套。人们使用互联网时有时需要用户名和密码,这时口令密码设置尤为重要,不能随意设置,应该有一定难度,从而可以起到一定的保护作用。

2.4 线缆连接威胁

1)卖者有信誉记录,消费者有能力查看所有记录。

2)卖者有信誉记录,消费者有能力查看所有记录,但只查看部分信誉记录(对市场的影响),增加这一有限理性后市场变化状况,是否会出现拐点?

3)卖者可以创造假的信誉记录,市场状况如何?当造假者达到某一拐点后,信誉包括拨号进入、冒名顶替、窃听。窃听在线缆威胁中时有发生,在广播式网络系统中,每个节点读取网上的数据,如搭线窃听,安装监视器等。

2.5 有害程序

包括病毒、木马、更新或下载。病毒,随着人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁。由于网络系统中的各种设备都是相互连接的,如果某一个设备受到病毒的攻击,它就可能影响到整个网络。病毒具有破坏性、隐藏性、传染性和传播性、潜伏性和不可预见性特点。

3.计算机网络安全的现状

计算机网络安全性对于人们日常的生活越来越重要,不论是支付宝上网购物、银行转账还是信用卡业务,都可以通过网络来实现,人们可以足不出户就轻松处理日常生活的各项事务,对于信息时代的年轻人来说,简直是便利之极。然而网络安全问题也不容忽视,诸如有意或无意地修改或破坏系统,或者在非授权和不能监测的方式下对数据进行修改的数据完整性破坏行为;利用计算机信息系统的广泛互联性和匿名性,散步错误的信息以诋毁某个对象的形象和知名度的诽镑行为;以及在网络系统中,读取网上传输的数据,安装通信监视器和读取网上的信息等,不得不让人们引起足够重视。

3.1 互联网犯罪行为严重

互联网进入人们生活的各个角落,人们很多事情都需要通过网络来完成。正因为这样,网络犯罪也越来越普遍。人们利用网络盗取别人的信息,对用户的保密信息、财的作用是否会崩溃?

本研究单纯用真人实验耗时耗力;可先用计算机仿真模拟,分析其可能出现的结果然后再进行真人实验,将两者结果进行比较,进一步完善计算机中虚拟人的学习模式。最后,还可以将完善的学习模式用于研究复杂的经济社会现象;这些复杂的经济社会现象有时很难用真人实验来模拟。

3.2 用户安全意识不强

对于互联网用户应该加强安全意识,所有用户要有自身网络保护意识,还要注意自身的网络行为是否给他人造成危害意识,有时用户的不经意行为就会造成其他用户的安全威胁。

3.3 黑客技术发展迅速

互联网不断发展,商业活动越来越多,现在出现的很多病毒都是带有商业利益的,病毒的方式有木马、蠕虫、间谍程序等,导致网络中的信息和数据被盗取。黑客之所以能给用户数据带来威胁,因为它能使病毒进行伪装和隐藏,以致于一般的杀毒软件无法检查并查杀病毒。

4.计算机网络安全的防护对策

任何网络服务都会导致安全方面的风险,问题是如何将风险降到最低程度,目前网络安全防护对策有以下几点:

4.1 创建安全的网络环境

营造一个安全的网络环境很重要,对计算机网络安全防护来说主要是监控用户、设置用户权限,采用访问控制、身份识别、监控路由器等。

4.2 计算机病毒防范

计算机病毒都是人为利用计算机软件的漏洞编写出来的,由于Internet的快速发展,新病毒的出现,传播速度越来越快,危害程度也越来越大。最常用的计算机病毒的防范措施是安装杀毒软件,对感染病毒的文件进行查杀。预防病毒的措施还有以下几点:不使用来历不明的程序和数据,不随意下载未知网站的文件,文件下载后先杀毒再使用,不轻易打开来历不明的店址邮件(附件),经常做好重要数据的备份等等。此外,还要经常安装更新系统补丁,减少一些病毒利用系统漏洞进行攻击和破坏。

4.3 使用防火墙技术

网络上所指的防火墙是一种专门用于保护网络内部安全的系统。它的作用是在网络内部和网络外部之间构建网络通信的监控系统,用于监控所有进、出网络的数据流和访问者。防火墙技术可以防止通信威胁,与有关的安全漏洞可能会让侵入者进入系统进行破坏。

4.4 数据加密

由于网络黑客可能入侵系统,偷窃数据或窃听网络中的数据,而通过数据的加密可以使被窃的数据不会被简单地打开,从而减少一点的损失。目前加密技术已经发展得比较成熟,常用的加密技术有两类:一类是对称密钥加密技术,另一类是公共密钥加密技术。

4.5 数字签名

数字签名可以用来证明消息是由发送者签发的,而且,当数字签名用于存储数据或程序时,可以用来验证数据或程序的完整性。与普通手写签名一样,数字签名可以用来验证信息的真实性。

4.6 数字证书

数字证书相对于网上身份证,以数字签名通过第三方权威认证有限进行网上身份认证,具有真实性功能。数字证书安全、保密、防篡改,对企业信息有效保护。

5.结束语

篇10

(灵川供电公司,广西 灵川 541299)

【摘 要】在21世纪的今天,我国电力实业发展到了一个新的阶段。我国电力调动随着社会的不断进步和发展也在不断地像自动化发展。自动化,顾名思义,对于劳动力的需求大大降低,这无疑会给人们带来更大的经济效益。然而在调度的过程中,对数据的可靠性要求比较高,网络安全防护系统的好坏,至关重要。这也就逐渐的暴露出许多的隐患。

关键词 电力调动;自动化;网络安全

0 引言

电力调动的自动化就是调度员借助调度自动化设备了解电网的运行状况确保电网正常运行的过程。在这个过程中对网络的依赖性极大,因此在电力调动自动化的过程中对网络的安全防护至关重要。电力调动的网络系统主要由SCADA系统、PAS功能系统接口等组成,本文着重从电力调动自动化的网络层面入手,提出有关于电力调动自动化网络系统的安全防护方面的建议。

1 电力调动自动化

1.1 电力调动自动化带来的突出贡献

我国是一个“大国”,无论在人口还是面积上。我国对电力的需求巨大并且拥有世界上最大的电网,电网的运行操作非常的复杂,一旦电网发生故障,那么周围人们的正常生活都会受到影响。在电力调动的自动化未实行之前,电网靠人力调度,经常出现故障。但是在电网调度自动化系统被应用并且更加的完善之后,电力的供应很少出现故障,这得益于计算机超快的计算速度、电网调动自动化对工作人员的解放、自动化系统超高的处理问题的能力,除此之外,电力调动自动化系统还可以对每个用户的用电量和主要的用电时间进行监控,从而自行的调节电价,这样就可以在一定的程度上对用户的电量进行影响,避免用户都在用电高峰时期用电。电力调动的自动化系统是人类电力调动史上的一项重大突破,这项技术促进了电网系统的发展,使人们的生活更加的稳定,使企业不用担心由于电量供应的故障造成损失,满足了人们生产生活的需求。

1.2 网络安全现状

目前电力调动的自动化主要依靠网络,从电力使用的监控、电力的调度到信息的采集、传输都离不开网络。但是在现在的社会中,计算机系统较易受到人为的有意破坏、黑客的攻击、病毒的入侵,如果计算机系统被破坏,那么整个的电力调动系统都将会瘫痪,这对于国家而言会产生不可估量的损失。据相关部门透露,调度自动化系统安全的威胁主要来自于与调度自动化系统相连的网络,其中横向是与其他系统相连如办公室系统,纵向则是与上下级的自动化系统相连。如果有一个系统出现漏洞,那么将会引起一系列的连锁反应,对电力调动自动化系统造成不可挽回的损害。

2 电力调动自动化网络安全存在的主要问题

2.1 网络维护不及时

网络对于电力调动的自动化的重要性不言而喻,但是某些部门,对于网络维护不重视,网络经常由于“年久失修”而出现故障。电力调动的自动化系统中的网络系统的建设并不是一劳永逸的,随着电网复杂程度的增加,网络系统往往要经过复杂的运算才能实行电力调动的自动化,这对于计算机的负荷是非常大的,因此网络系统需要及时维护。

2.2 系统不够完善

除了网络维护不够及时外,系统不完善也是电力调动自动化系统要面临的问题,首先数据的采集不够准确,在整个的系统中,厂站端的信息采集关乎着整个的系统的调控度。但是经常由于采集设备的更改维护而发生数据采集的错误;其次信息的传输经常出现问题,主要是由于信息传输的设备不可靠、传送通道不稳定,这种问题是由于技术层面的问题;第三由于主站的运行系统不够稳定,新开发的软件程序未经过工程的考验,整个主站的中枢系统容易出现问题,一旦主站中枢系统出现问题,那么上行的数据采集与下行的控制命令全部受阻;上述的问题经常会出现在整个的电力自动化调度系统内,这都是整个系统不够完善的体现。

3 电力调动自动化网络安全的实现要点

3.1 网络架构要从三层分析

如果要保障电力调动自动化的网络安全,我们首先应该从网络架构入手,即采用“核心层、汇聚层和接入层”三层网络拓扑结构。首先在应对人为破坏和黑客攻击方面,我们采取了网络分段的方法,主要是将我们的电力调动自动化网络与其他不相关的网络资源进行隔离从而达到防止非法破坏的目的。对于目前电力调动自动化局域网采用以交换机为中心、路由器为边界的网络格局来讲,我们应该重点控制中心交换机的控制功能来实现对整个电力调动自动化局域网的控制。交换机、路由器作为整个局域网的中心一定是黑客们首要攻击的对象,要先从系统自身漏洞、管理的终端、传入终端等方面来保护交换机以及路由器的安全。从管理终端来讲,我们首先要保护的就是网络防火墙内部——网络主机的操作系统的的安全。首先应该对整个主机的文件进行备份,如果突然的遭受袭击导致主机文件的缺失,我们可以利用备份补齐。其次我们要经常性的进行主机的安全检查以及漏洞的修补,这样可以极大的避免人为的利用漏洞进行攻击。最后,我们要建立包括入侵检测、防毒软件、应急处理机构为一体的反应措施,一旦入侵检测系统发现异常情况,我们要进入应急状态,并且启用防毒软件,如果防毒软件无法解决该问题那么我们就要启动应急处理模式(使用备用主机、备用线路等)。从传入终端来讲,我们要保护整个中枢系统的安全,那么就要从防火墙入手,防火墙技术主要分为三大类:“包过滤”、“应用”和“状态检测”,这三大类是整个防火墙系统的基础。包过滤技术是最早使用的一种工作在OSI模型中的网络层上的技术,它的工作原理就是对TCP/IP协议的数据报文进出的通道作为监视对象,它要对通道内进出数据的具体信息进行监视并与事先设定好的过滤规则进行对比,如果某种数据的信息符合“过滤”的规则,那么这个信息就会被扔掉。但是这种防火墙技术存在缺陷,如果出现设计人员意料之外的有害信息,那么防火墙将不会对其进行过滤。这时,应用技术出现了,应用技术的防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合的安全策略要求。应用网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。但是较难配置。状态检测技术相当于进化版的包过滤技术,状态检测技术对每个传输数据的信息都进行了完美的检测,对数据的信息进行深层次的检测并保存,如果下一次的传输数据的信息不符合记录的信息,那么该数据将会被放弃。

3.2 维护管理要及时与妥当

对于网络的维护要引起相关单位的重视,要聘请专业的维护人员24小时监视整个网络的状况,如果出现问题,要立即进行维修。在平常的时候,也要定期的对整个网络系统进行维护,否则极易出现故障引起不必要的损失。

3.3 对不可抗力要做好应对措施

当出现有不可抗力状况(台风、海啸、地震等)引起的电力调动自动化的瘫痪时,我们要做好应急措施,例如启用被动电网、紧急抢修等等,不要自乱阵脚。

4 结语

电力调动自动化网络安全防护系统的研究不仅关系到民生问题,甚至在国家的层面上也非常的重要,在很多的军事领域、国防领域都要用到电,当我国与其他国家发生冲突时很可能会遭受其他国家在网络上的攻击,其中不抛去攻击我国电力调动自动化网络系统的可能,因此我们要确实做好电力调动自动化网络安全防护系统的相关工作,为我们的经济建设、国家安全贡献力量。

参考文献

[1]高卓,罗毅,涂光瑜.变电站的计算机网络安全分析[J].电力系统自动化,2002,26(1).