网络服务安全分析范文

时间:2023-09-19 16:50:19

导语:如何才能写好一篇网络服务安全分析,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络服务安全分析

篇1

关键词:高校机房;服务器;网络安全

中图分类号:TP393 文献标识码:B 文章编号:1009-3044(2015)06-0049-02

随着网络技术的飞速发展,各高校纷纷建设校园网络教学平台,设立教学机房。但目前计算机系统漏洞频繁出现,病毒、木马传播迅速,加之机房管理层面问题,高校机房服务器网络安全正受到多方面的威胁,解决服务器网络安全问题已迫在眉睫。

1 保障高校机房服务器网络安全的重要性

信息化建设是当今世界和社会的一大重要发展趋势,是衡量高校现代化发展程度的整体实力的重要方面,反映了高校教学硬件设施建设和教学水平,是评估学校的常规指标。高校信息化建设是实现高校整体快速发展并更好地服务于高等教育事业的重要途径,也是创新型、学习型社会的必然要求,而校园网络设施的维护与完善则是校园信息化进程的重要组成部分,是实践信息化的基础。高校机房服务器网络处在校园网络的核心枢纽位置,其运行情况和性能直接决定着整个校园网络的顺畅稳定,关系到高校的教学、科研和管理等各方面工作的顺利实施,是对校园网络和高校机房正常运行的保障。因此,研究高校机房服务器网络安全问题,分析实践过程中的具体存在问题,提出有效的改进方案,对于保障高校机房网络安全,维护高校各系统的正常运转意义重大。

2 高校机房服务器网络安全存在问题

2.1 服务器系统安全问题

服务器网络系统安全问题包括机房服务器网络硬件设施的缺陷和系统软件设施的缺陷,其服务器网络安全受到多方面系统安全问题的威胁。

机房服务器网络硬件设施的影响:在计算机服务器机房仪器设备存在环境复杂,某些精密电子元件、机械零件等容易受到周边环境的干扰而无法正常运转,从而降低了服务器的安全性和可靠性,影响了精密元器件的使用寿命,使服务器无法正常工作,极可能导致重要数据的丢失。目前高校机房服务器建设中着眼点在于服务器系统的传输、数据储存、处理等服务功能的最优化,却忽视了机房基础设施的建设,机房环境控制,防雷暴、防静电设施不够完善,极容易造成机房服务器的故障甚至导致系统崩溃。

机房服务器系统软件的缺陷:在高校网络机房服务器中使用的操作系统软件大多为Windows操作系统,其操作便捷且功能强大,足以满足高校日常教学和维护的需求。但是某些Windows操作系统中存在着自身系统漏洞,虽然目前微软针对漏洞设计了补丁程序,但仍存在薄弱环节,极容易受到人为性的网络攻击。尤其在高校服务器驳接网络时,由于漏洞的存在,高校机房服务器信息库犹如敞开的大门,任由入侵者来往,导致校园信息泄露、丢失等,会给高校教学等工作带来巨大的损失。

2.2 服务器网络系统安全问题

服务器网络系统安全问题包括了网络系统自身漏洞问题和计算机病毒传播和黑客攻击问题,网络系统安全直接影响高校机房服务器数据库的安全和正常运行,其重要性不言而喻。

网络系统自身漏洞问题:服务器网络设备和设施没有十全十美的,在设计研发中难免存在一些漏洞问题。而网络系统漏洞主要有TCP/IP协议漏洞以及网络软件服务漏洞,IPV4网络安全关注度不足等,均导致网络安全问题的出现。网络软件方面,存在Telnet漏洞、E-mail漏洞等,且由于编程研发人员习惯性在软件设计中为自己留出便捷通道,这些都是造成网络系统安全问题的要素。

计算机病毒传播和黑客攻击问题:该问题是对高校机房服务器网络安全的威胁极大,一旦发生,就会破坏服务器的正常运行,扰乱高校信息化的教学,导致信息的丢失和经济损失。由于高校机房中上课学生人数众多,通过电脑与磁盘的链接,一些潜在病毒便会感染电脑,一旦发生,病毒会快速自我复制传播,通过局域网使得机房内所有电脑感染,最终作用于服务器,轻则破坏文件,重则损毁系统,使信息化设施崩溃。而黑客攻击发生于电脑与网络连接时,黑客通过学校公开的IP地址进行攻击,针对高校机房服务器进行系统破坏,给校园网络的安全管理带来巨大的麻烦和损失。

3 高校机房服务器网络安全防护措施

3.1 服务器系统安全防护措施

实现高校机房服务器网络安全防护首先要从系统安全入手,解决服务器软件设施中隐患。对于各种系统漏洞问题,通过检索,针对性下载漏洞补丁就行安装,同时使用系统漏洞扫描软件,及时发现和处理服务器中存在的漏洞,不给电脑病毒和黑客以可乘之机,且安装病毒警告软件,使用其高级设置对病毒进行监控,一旦在服务器运行磁盘读写过程中发现病毒利用软件漏洞入侵,报警装置立即启动。同时优化机房环境设施,对于影响服务器正常工作和使用寿命的环境因素进行综合治理,完善防雷暴静电等基础设施建设,为机房服务器创造良好运行环境。

3.2 服务器网络安全防护措施

高校机房服务器网络安全的防护主要通过杀毒软件、防火墙以及对机房使用的技术性管理实现的。在使用杀毒软件进行服务器网络维护时首先要选择实用性强、效果好的杀毒软件,在选择杀毒软件时,要了解各个杀毒软件的性能和工作原理,了解目前市场份额,经过综合对比后联系厂家购买正版杀毒软件,同时不断进行更新,强化杀毒软件功能,切实保护机房服务器网络安全。选择安装正版高效杀毒软件后,服务器管理人员应注意病毒的定时查杀,病毒感染服务器主机时往往不会立刻发作,会有一定的潜伏阶段,发作后系统短时间内崩溃,杀毒系统很难作出迅速反应,因此应该定期对系统进行病毒查杀。但当服务器受到病毒感染时,要及时进行杀毒,因为病毒传播能力强,破坏性大,短时间内就能通过服务器感染高校机房内所有电脑,造成数据的大量丢失和无法估量的经济损失。尽可能选择服务器安全模式进行杀毒操作,防止造成服务器硬件和数据的损坏。服务器管理人员应注意,没有任何一个杀毒软件能够保证应付所有的病毒,因此其应多多关注网络最新病毒问题,选择近期流行病毒的专业查杀工具,以期达到最佳效果。

服务器网络安全防护的另一大举措便是安装防火墙抵抗病毒和黑客的入侵,防火墙的一大优点在于能够有效过滤数据,筛选出不安全信息予以屏蔽,能够阻止黑客的入侵行为,防止其攻击高校服务器,盗取或破坏重要信息源。同时防火墙可以控制服务器内部网络的不当使用,减少由于内部不良操作导致的电脑病毒入侵问题。

而机房的技术性管理在于尽可能降低机房内部因素对网络安全的影响,具体措施如控制学生上机活动,利用控制软件监控学生课上活动,一旦发现学习玩游戏或浏览不良网站,立即采取措施控制,防止由于此原因对服务器造成安全隐患。在机房教学中还可以使用硬盘还原卡,通过此项措施使各计算机在使用后进行磁盘的还原,有效规避病毒传播,防止其对服务器造成损害。在必要时刻,机房中可以采用断网教学,最大程度降低病毒感染和黑客攻击的可能性,保护机房服务器网络安全。

4 结束语

综上所述,要有效解决和提升高校机房服务器网络安全,就必须深刻认识到服务器系统的重要性,从隐患问题的源头入手,分析服务器在系统、网络系统以及管理等方面的问题,对症下药,利用新兴安全防护技术,如VLAN、防火墙、入侵检测等技术,全方位保障高校机房服务器网络安全,更好地为高校的信息化教学服务。

参考文献:

篇2

关键词:企业局域网;网络组建;服务器;防火墙;客户端;路由器

中图分类号:TP393.1文献标识码:A文章编号:1007-9599 (2010) 07-0000-01

Analyze the Construction of Enterprise LAN

Wang Yong

(Chinese Oil,Liaohe Oilfield Industrial Company of China Petroleum,Panjin124010,China)

Abstract:Enterprise LAN construction is the necessary choice to achieve informatization business office,internal local area network connected to all major business sectors,all linked to the business work links,covering all functions of a large enterprise system application engineering.

Keywords:Intranet LAN;Network formed;Server;Firewall;Client;Router

随着计算机网络技术的发展与普及和企业经济的发展,越来越多的企业大量使用计算机处理各种业务,好多企业都在组建自己的局域网,以优化办公环境,提高工作效率。下面笔者为大家谈谈企业局域网构建的相关问题。

一、企业局域网概述

企业局域网是指在企业的某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。企业局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千计算机组成,如图1所示。

二、企业局域网的构建过程

(一)结构分析

进入21世纪,网络营销、电子商务等伴随着计算机技术和Internet应用的普及而有了迅猛的发展,好多企业都通过互联网向客户介绍自己的产品,产品的营销和各种服务也都通过互联网来完成。

图2树型网络拓扑结构

如某石油销售企业,其主要业务是石油产品的销售及服务。该企业目前总共有100多台计算机,分散在4个楼层,若干个办公室。估计在组建局域网后,公司的计算机总数量会达到200多台。网络应用主要以WEB浏览、EMAIL收发、文件共享等业务为主。根据这种情况分析,可以采用10/100Mb/s的传输速率,对于用户数量在三百以下,网络规模较小的局域网来说完全可以满足,所以决定选择百兆位以太网。

(二)系统设计

企业局域网在功能上可以分为两个模块:(1)互联网接入模块。互联网接入模块为局域网内部用户提供了与互联网的连接,同时也为远程地点和远程工作人员提供了VPN访问能力,使用户能够通过互联网访问网络服务器。互联网接入模块中主要涉及到防火墙或防火墙路由器、路由器、交换机(支持专用VLAN)等网络互联设备,企业一般可以通过ADSL、DDN或ISDN等接入方式将企业局域网连入互联网。(2)企业局域网模块。企业局域网中主要包括客户机和各种网络服务器,例如FTP服务器、WWW服务器、DNS/DHCP服务器、SMTP服务器、打印机服务器等等。他们通过交换机或集线器等网络互联设备组建成企业局域网。

(三)安全分析

目前的企业局域网大多数采用以广播技术为基础的以太网,传输协议通常为TCP/IP,节点间以CSMA/CD介质访问控制方式进行数据传输。在以太网中,任何两个节点之间传输的数据包,不仅可以被这两个节点的网卡所接收,同时也可以被他们所在的以太网上的任何一个节点的网卡所截取。因此,如果不采取适当的网络安全方案解决这一隐患,黑客只要接入以太网上的任一节点进行侦听,就可以捕获到这个以太网上的所有数据包,对这些数据包进行解包分析,就能够窃取网络中的关键信息。另外,TCP/IP协议本身也存在很多安全漏洞,它的应用层、传输层、网络层和链路层协议都存在各自的安全漏洞,ARP欺骗、路由欺骗、DNS欺骗等也难以避免。除此之外,操作系统甚至应用程序都可能存在安全漏洞或后门。由此可见,企业局域网与互联网连接越多,外界入侵就越便利,企业局域网的安全性就越低。因此,在企业局域网的构建中,安全分析模块极为重要,在构建局域网过程中,应通过网络安全评估、网络安全防护和网络安全应急服务等多个层次综合运用,行之有效的解决企业局域网安全问题。

三、小结

企业局域网建设是信息时代的必然产物,企业局域网的构建是社会发展的趋势,网络给企业带来财富的同时也给企业带来了挑战。只有充分利用现代网络技术,组建好企业的局域网,才能为企业插上腾飞的翅膀,带来企业的蓬勃发展。

参考文献:

篇3

关键词:计算机网络;安全性;建模

中图分类号:G237.6 文献标识码:A 文章编号:1009-3044(2013)21-4787-03

1 计算机网络安全发展现状

1.1 关于计算机网络安全的定义

计算机网络安全,从根本上来说,指的是网络信息的安全,网络中运行系统及系统的数据安全性,确保在网络中保存的数据及动态信息不会受到恶意的攻击,避免出现破坏数据完整性、篡改数据、非法传播及利用数据等行为,确保网络正常的秩序。从广泛意义上来看,研究网络信息安全的理论及技术方法都是属于计算机网络安全的范畴。

1.2 计算机安全发展现状

随着社会经济的不断发发展,计算机网络速度普及,成为了当前人们生活中不可或缺的部分。通过网络通信技术,改变了人们的生活方式及娱乐方式,提高着人们的生活质量,然而,网络信息的安全性问题,一直备受社会关注。计算机网络安全问题属于全球性的问题,在国内外,众多学者在计算机安全领域进行了深入的研究,并对计算机安全策略、安全防护、安全检测、数据恢复、安全响应等进行了较为细致的研究与分析,并在大量研究成果的基础上,建立了PPDRR网络安全模型。通过PPDRR网络安全模型可以实现对计算机网络安全及信息技术分析与评估,检测计算机软件系统及信息系统的状态是否安全。PPDRR网络安全模型属于一种主动防御性的模型,定期对计算机系统进行检测,主动寻找影响系统安全的漏洞,从而及时采取措施进行处理。

计算机网络安全的设计工作,涉及到的范围及专业较多,甚至与所有的计算机工程都存在着关系,如计算机工程中的软件开发设计、软件测试、及软件应用阶段等,都需要进行安全设计,使用安全措施。为确保计算机网络安全,众多研究者通过研究,想要寻找出一种能够有效查找到系统中的攻击路径,或是导致系统状态发生变化的序列方法,通过大量研究,提出一种计算机网络安全树安全分析方法。Moore通过攻击树安全分析方法,较为全面分析了网络受到攻击的变化,并通过数学方式表达,但在叶节点环节解释中,缺乏全局性。随后出现了特权图分析方法、建立于图论基础上的分析方法、图的网络弱点分析方法等。随着计算机网络安全分析方法及建模逐渐成熟,出现了各种网络安全模型,然而在实际应用中,网络安全模型仍存在着较多的缺陷,还有待于进一步研究与完善。

2 影响计算机网络安全的主要因素

当前,影响计算机网络安全的主要因素存在很多,其中主要的包括网络信息泄露、篡改及非法传输,计算机网络及软件漏洞,黑客恶意攻击等。

2.1 网络信息被泄露、篡改与非法传输

计算机网络安全的实质属于网络信息的安全。随着计算机网络快速的发展并普及,将人们带到了信息时代,计算机网络对个人、对企业、对社会甚至对于一个国家,都存在着极为重要的意义,如何确保重要信息的安全,是社会广泛关注的问题。然而,在计算机应用过程中,不断出现网络信息被泄露、篡改与非法传输等现象,带来了不可估量的损失。网络信息泄露,主要是网络信息被远程控制或被窃听;信息篡改则是进行信息拦截,并主动对信息数据包中的数据进行更改,最终信息内容发生变更;信息非法传输,指的是一些信息,用户只允许自己来操作,不允许其他用户进行操作却被传输。

2.2 计算机网络及软件漏洞

计算机网络及软件漏洞属于影响计算机网络安全的重要因素。这些漏洞的存在,可能会导致用户的资源及信息无法顺利交流与传输,甚至因为漏洞的存在,会让用户受到网络恶意攻击及控制,影响网络安全。计算机网络及软件漏洞,主要指的是计算机网络协议的实现与安全设计、计算机硬件与软件系统设计中存在缺陷,从而导致非法用户在没有授权的基础上登陆计算机系统,并进行恶意破坏。

2.3 黑客恶意攻击

黑客恶意攻击,逐渐成为了当前影响计算机网络安全的主要因素。黑客在对互联网进行扫描与搜索的基础上,找出计算机网络中存在的漏洞及缺陷,对计算机或网络技术进行恶意攻击。黑客常用的手段包括植入木马、病毒及恶意程序等,并查看Internet数据文件包,对计算机账号等数据进行捕获,并对用户数据进行窃取与篡改等。

3 计算机网络安全属性

计算机网络安全属性包含安全需求、系统设备、网络权限、主体连接关系建模及计算机弱点五个属性。

3.1 计算机网络安全需求

影响系统安全需求的主要因素是系统威胁、应用威胁及通信威胁等。系统威胁指的是来自计算机操作系统软件问题,如系统漏洞等;应用威胁指的是在系统中运行的应用服务软件系统出现问题而导致的威胁;通信威胁则指的是网络设备在数据交流过程中存在的问题,如被监听等。

3.2 系统设备

可以将计算机网络看成是由不同功能主机相连接组合的集合体,按照主机功能来划分,主机主要包括个人计算机、服务器、路由器、防火墙等。在计算机网络应用过程中,会赋予这些主机一种标识,用来表明各自身份,这种标识是唯一的,可以是计算机主机的IP地址、主机名或MAC地址等。主体自身存在着较多的属性,与计算机网络安全性问题存在较为紧密关系的主机属性包括:主机弱点信息、主机开放服务于对应窗口信息及主机操作系统版本及类型等。可以用(hostid,os,svcs,vuls)四元组来表示网络中主机,其中hostid代表的是主机在网络中存在的唯一标识符;os代表的是主机操作系统版本与类型;svcs代表的是主机中存在的开放服务列表;vuls代表的是主机弱点信息。

3.3 访问权限

在计算机实际应用中,存在着访问权限的问题,根据访问者不同权限,对访问者及可以进行的操作进行分类。一般来说,访问权限身份及操作权限如下:Access,计算机网络服务远程访问者,可以与网络服务进行数据交换,并对系统中信息进行扫描等;Guest,匿名登录并访问计算机系统的人群,具备普通用户部分权限;User,为系统普通用户,由管理人员进行创建或系统初始化产生,能够有独立资源;Supuser,具备普通用户所不具备特殊权限,但却不具备完整的系统管理所有权限;Root,为系统管理员,能够对网络系统文件及系统进程等一切网络资源进行管理,属于最高权限。

3.4 主体连接关系建模

当前,整个的互联网系统都是建立于TCP/IP协议族基础上来完成构建的。在TCP/IP协议族中,包含较多的协议内容,并进行了层次划分。在这种协议约束基础下,网络设备需要选择不同层次进行连接,网络连接十分容易出现错误,但其重要性很高。为此,需要采取保护措施,建立模型并测试。

3.5 计算机弱点

计算机弱点指的是计算机在组件或软件系统设计、编码、配置及应用过程中出现错误,从而导致计算机具备脆弱性,产生系统缺陷,恶意攻击者通过计算机弱点,在未授权的基础上,访问甚至滥用系统资源,引起网络安全问题。

4 计算机网络安全性分析模型

将影响计算机网络安全的因素及计算机安全属性相结合,建立计算机网络安全性分析模型。当前,计算机网络安全分型建模主要是从网络本身存在的缺陷、计算机网络弱点与网络攻击者的角度进行研究,总而找出提高计算机网络安全性的方法。

4.1 计算机网络拓扑结构模型

计算机网络拓扑结构模型,属于一种物理构造的模型,通过计算机或在计算机设备与信息传输媒介之间形成点与线结构的模型。实现这种模型,需要对计算机网络设备与网络连接关系进行分析与改造。计算机网络设备,主要包括计算机主机、检测设备、防火墙、路由器及交换机等。在计算机网络中,会使用IP地址、设备名称等对设备标识。为提高计算机网络安全性,选择将计算机硬件设备的安全等级进行升级;在计算机网络拓扑结构模型中,计算机设备与传输媒介连接方式也十分重要,通过设备与传输媒介连接方式的改进来提高网络安全性,其实现方式主要是通过网络协议来实现,网络拓扑结构在连接过程中,可以提高网络协议的隐蔽性,提高网络安全性。

4.2 计算机网络攻击模型

影响计算机网络安全的因素有很多,近年来,网络黑客恶意攻击成为了影响网络安全的重要因素,为提高计算机网络安全性,需要从计算机访问权限、攻击属性及攻击方法上进行综合考虑。加强计算机访问权限管理,首先是系统管理员的信息及资源进行严格管理与控制,确保系统管理员网络信息的安全;加强访问权限中各个层次的管理控制,尤其是底层访问权限的用户,大多不受到系统与防火墙的信任,降低这类用户访问权限,防止主机受到攻击;加强防范黑客攻击的防护措施,如病毒及木马的防护、加密验证、建立防火墙等;强化计算机弱点,优化计算机网络,及时找出系统中存在漏洞,定期对计算机设备及网络系统进行维护。

5 结束语

在信息时代,计算机在人们的生活中扮演着极为重要的角色。然而在计算机网络中存在着一些影响网络安全性的因素,如网络信息泄露、篡改及非法传输,计算机网络及软件漏洞,黑客恶意攻击等,为提高网络安全性,就需要明确计算机网络安全的安全属性,并建立计算机网络安全性分析模型,积极采取防护措施,将少网络漏洞,确保网络安全性。

参考文献:

[1] 肖泽.计算机网络安全性分析建模研究[J].成功(教育),2012(4):269.

篇4

关键词:网络安全;系统;攻击

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)18-4324-02

网络安全是网络正常运行的前提。网络安全不仅是单点的安全,还是整个信息网络的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。

目前,造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞,成为被攻击的目标。

1 网络模拟攻击的过程

1.1 信息的收集

信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。攻击者会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:

1) TraceRoute程序能够用获得到达目标主机所要经过的网络数和路由器数。

2) SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。

3) DNS服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

4) Whois协议的服务信息能提供所有有关的DNS域和相关的管理参数。

5) Ping实用程序可以用来确定一个指定的主机的位置或网线是否连通。

1.2 系统安全弱点的探测

在收集到一些准备要攻击目标的信息后,攻击者会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式有如下两种:

1) 慢速扫描

由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描。针对这一漏洞,完全可以通过使用扫描速度慢一些的扫描软件逃避侦测。

2) 体系结构探测

攻击者利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,\客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

1.3 拒绝服务攻击

拒绝服务攻击是攻击者加载过多的服务将对方资源全部占用,使得其没有多余资源供其他用户无法使用。SYN Flood就是典型的拒绝服务攻击。

SYN Flood常常是源IP地址欺骗攻击的前奏,每当我们进行一次标准的TCP连接,就会经历一个“三次握手”的过程。而SYN Flood只实现“三次握手”的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应。这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。

1.4 协议欺骗攻击

1) 源IP地址欺骗攻击

许多应用程序都认为若数据包沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这却可以被源IP地址欺骗攻击所利用。

假设同一网段有A和B两台主机,A给B赋予了某些特权。另一网段的C主机为了获得和B一样的特权,而对A采取了欺骗攻击。首先,C会代替B给A发送一个请求,然后A给B发送一个应答。但是,这时的B正遭到C实施的拒绝服务攻击,导致服务失效。为了完成通信的“三次握手”,C还需要回复A的应答。由于不在一个网段,C只能利用TCP顺序号估算法来预测应答包。如果猜对了,它就成功获得了特权。

2) 源路由欺骗攻击

通常,信息包从起点到终点所走的路,是由位于此两点间的路由器决定的。源路由可使发送者将此信息包要经过的路径写进数据里,使信息包循着一个对方不可预料的路径到达目的主机。

假设主机A享有主机B的某些特权,主机C想冒充主机A从主机B获得某些服务。首先,攻击者修改距离C最近的路由器,使得到达此路由器且包含目的地址的数据包,以主机C所在的网络为目的地。然后,攻击者利用IP欺骗向主机B发送源路由数据包。当B回送数据包时,就传送到被更改过的路由器。这就可以假冒一个主机的名义,通过一个特殊的路径来获得某些被保护数据。

2 网络安全风险概要分析

2.1 对网络结构的分析

网络拓扑结构设计直接影响到网络系统的安全性。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。假如在外部和内部网络进行通信时,网络系统中办公系统及员工主机上都有信息,假如内部网络的一台电脑被攻击或者被病毒感染,内部网络的安全就会受到威胁,同时也影响在同一网络上的许多其他系统。影响所及,还可能涉及法律、金融等安全敏感领域。

因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时,改变基于地址的信任策略,不允许r类远程调用命令的使用。使用加密方法,对网内相互传递的信息包进行加密处理,以屏蔽来自外网的各种欺骗性的攻击。

2.2 对操作系统的分析

所谓系统的安全,是指整个网络操作系统和网络硬件平台是否可靠且值得信任。操作系统要做到绝对安全,就目前来讲是很难达到的。无论是微软的Windows NT还是任何商用的UNIX操作系统,其开发厂商必然有其后门。因此,我们应该从不同的方面需求对网络作详尽的分析,以选择安全性尽可能高的操作系统。

不单要选用尽可能可靠的操作系统和硬件平台,而且还要对操作系统进行安全配置,必须加强登录过程的认证(特别是在登录服务器主机之前的认证),确保用户的合法性。另外,还应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。

2.3 对应用的分析

应用系统的安全跟具体的应用有关,它涉及面广。由于应用系统的安全是动态的、不断变化的,这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等应用的安全。以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有Sendmail、Netscape Messaging Server、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。

根据模拟攻击下,通过系统检测工具日志,对模拟攻击做出分析,发现系统中存在的漏洞。修补隐藏的漏洞,提高系统的安全性。

2.4 管理的安全分析

管理是网络安全重要的部分,责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时,例如:内部人员的违规操作等,就会无法进行实时的检测、监控、报告与预警。同时,当事故发生后,更无法提供黑客攻击行为的追踪线索及破案依据。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。

建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合,保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络。

3 网络安全的实际风险分析

通过模拟攻击,进行网络安全分析存在很多的局限性。在实际中,随着网络发展和编程技术的进步,黑客的各种攻击手法也是层出不穷,很难做到一定时期内的不变。基于现今网络攻击最常用的手段和特点,本文总结出网络安全中存在的威胁,主要表现在以下几个方面:

3.1 非授权访问

指黑客,对网络设备及信息资源进行非正常使用或越权使用。给用户造成的损失表现为:商业机密泄露、用户个人资料被复制,以及账户资金被盗等,同时,也会给该用户带来进一步的安全风险。

3.2 冒充合法用户

主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到非法占用或访问合法用户资源的目的。通常,它是非法访问的前沿工作。

3.3 破坏数据的完整性

指使用非法手段,删除、修改、重发某些重要信息,直接干扰了用户的正常使用,严重的话,还会破坏整个网络系统的正常工作,造成的损失无法估量。

3.4 干扰系统正常运行

指改变系统的正常运行方法,减慢系统的响应时间等手段。通常情况下,黑客都是在非法访问后,在目标主机上种植木马程序来完成的,用以干扰目标主机安全防护软件的正常工作,或是纯粹的恶作剧。

3.5 病毒与恶意攻击

指通过网络传播病毒或恶意Java、XActive等。这种方法是现今互联网上最常用攻击手段,攻击者通过在网页上设置木马程序,或是发病毒邮件等,把恶意代码程序植入其他主机系统内,以达到非法访问、窃取数据等目的。

3.6 线路窃听

指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。该安全隐患,主要是网络结构设置上的漏洞和安全管理不到位造成的。窃听利用的主要媒介是路由器或网关。由于网络化的普及,一些企业和机构网络设计只侧重于简洁性,网络节点使用无线路由,同时常不做任何加密设置,从而给不法分子造就了可乘之机。

4 结论

针对攻击的网络安全分析,除了对网络设计、操作系统、应用软件,以及相关管理重点关注外,还应该注意计算机的使用规范、防火墙软件和硬件设置等问题。良好的操作习惯,应该尽可能地减少计算机的无用负载,远离那些可能存在危险的资源(例如:免费资源网站,以及来历不明的邮件等),保持系统正常的运行状态,从而减少和黑客接触面,降低系统资源受侵害的几率。

参考文献:

[1] 吕慧颖,曹元大,时萃霞.基于网络攻击模拟的网络安全风险分析方法[J].北京理工大学报,2008(4).

[2] 谢丽果.计算机网络安全风险分析与解决方案[J].现代经济信息,2010(3).

[3] 张永正.网络安全风险分析与需求分析[J].电脑知识与技术,2009(6).

篇5

关键词:电力系统;配电网;传统继电保护;广域保护

一、广域保护与传统继电保护的区别和联系

配电网中,传统继电保护均采用主后备保护阶梯型时序配合,主后备保护都需要根据整定计算结果设定整定值和整定时限。出现故障后,一般应由主保护动作;一旦主保护拒动,后备保护必须按整定时限和定值给出动作信号。由于传统的继电保护缺乏获取全局信息的技术手段,只能依靠局部信息进行事故判别,所以需要根据保护设备和针对故障类型的不同分别配置各设备的差动保护、过流保护、零流保护、阻抗保护等,且各保护设备间一般仅通过整定值和整定时限进行配合。传统的继电保护主要集中于元件保护,以线路、母线、变压器、电机和电动机等为保护对象。工作方式是采集装置安装处的系统电流、电压量,经过计算后得到一些反映系统状况的参数值,然后与预先整定的门槛值进行比较,若超过门槛值则执行某种动作。传统的保护以切除被保护元件内部故障为己任,主要通过开关动作来实现隔离故障元件,且各电力设备的主保护相互独立动作,未考虑故障元件被切除后,剩余电力系统中的潮流转移引起的后果。广域保护更注重保护整个系统的安全稳定运行,可识别系统的各种运行状态(正常状态、警戒状态)等,通过调节系统的P-δ、Q-V和各种保护措施,同时实现继电保护和自动控制的功能,其中可能会有本地、远程开关的动作,以避免局部或整个系统大面积停电或崩溃等严重事故的发生,保证电网在故障后仍能保持所需的安全稳定工况。

传统的线路及装置保护的任务是将故障与系统隔离,快速性是其最基本的要求之一,虽然可以快速动作,但由于只能获得本地信息,因此只能用来保护电气设备,而对广域扰动无能为力。另一方面,随着互联电网越来越复杂,继电保护的整定越来越困难,不恰当的整定可能导致错误动作,加速扰动的扩散。而广域保护因为需要通信并进行相对复杂的计算,在时间上很难达到传统保护的要求,因此,广域保护并不能替代传统保护。但广域保护将系统作为一个整体考虑的优势也是传统保护所不具备的。若能将两者结合起来,充分利用双方的优点,将是一个不错的选择。

二、广域保护的结构和功能

2.1 基本结构

以广域信息的采集、传送、分析和使用为线索广域保护系统由相量测量、安全稳定控制装置、厂站安全稳定监控子站、通信线路、电网安全稳定监测与控制主站、网络服务器及数据库等组成。

(1)相量测量装置(Phasor Measurement Unit,简称PMU)。基本功能为:

①GPS同步采样,所有测得的数据都有精确的同步性;

②实时测量采样点电压/电流的幅值及正序功角;更新速率至少为1/25s;

③故障记录功能,录波点的时间精度为微秒,并按IEEE1344规定的格式记录。而常规测量设备所能提供的其他数据(如开关位置、发电机组投切状态及继电保护动作信号等)也可作为广域保护系统的输入数据。

(2)安全稳定控制装置。在系统的非正常运行状态(如功角不稳定、频率不稳定、电压不稳定等)及事故条件下,安全稳定控制装置根据安全稳定监控子站的控制命令,直接进行切机和切负荷操作;或者本身实时判别,自动进行灵活切机和切负荷控制;也可以由调度人员远方操作,维护电网安全稳定运行;

(3)厂站安全稳定监控子站。安装在变电站,向上通过光纤与主站通信,向下通过以太网与 PMU及安全稳定控制装置通讯,是发电厂变电站安全稳定监测与控制系统的决策中心和通讯桥梁。可就地实现一些广域保护算法,各子站之间可以相互通讯;

(4)电网安全稳定监测与控制主站。安装在调度室内,与子站通讯,获取各种数据,进行广域保护计算,且对多站间的实时功角及各站模拟和开关信号进行在线监测,记录有关数据,存入数据库。并将实时监测到的电压电流相量和功角传送到EMS系统,供EMS系统进行静态和动态安全稳定分析,并把EMS系统的安全稳定控制命令传达到发电厂变电站的安全稳定控制装置,进行投切机组和负荷控制。其中包含相量数据集中器(Phasor Data Concentrator 简称PDC)和系统分析软件,主站通过 PDC管理和控制PMU 的工作状态,接收来自子站或其他主站的测量数据、事件标识、录波文件及实时记录文件等。系统分析软件是广域保护系统的心脏,包括拓扑状态估计、广域保护、有效输电容量计算、动态安全分析和其他;

(5)网络服务器。中央监控站将各站间的电压电流相量和功角数据存入SQLSERVER数据库的实时表和历史表中。WEB SERVER负责响应用户的请求,从数据库中获取相应数据并传给用户,使用户可利用浏览器登录网站,实时观测各站间的电压电流相量和功角。同时在数据库中存储动态记录文件并生成索引表;

(6)数据库。存储实时的电压电流相量和功角,管理各种分析所需的数据(如稳控策略)。所有的历史数据可以方便地存放到硬盘或CD上长期保存,可以对归档的历史数据进行反演和计算,并对各时段及用户自定义时段的历史数据进行统计处理。

2.2 广域保护的功能

广域保护是针对广域扰动的保护,广域扰动从现象来看可以分为几类:失稳、电压失稳、过负荷、电力系统连锁故障等。从本质原因来看,这几种现象分别对应有功功率平衡被破坏,无功功率平衡被破坏,整体或局部有功功率需求大于供给,保护或控制设备故障或其它原因导致的不恰当动作。针对这些扰动,目前可以采取的保护和控制措施有:失步保护,切负荷可控系统解列,故障清除,快速关断,动态制动,发电机电压控制,电容器/电抗器投切和静态无功补偿,负载控制,关键保护系统的管理和控制,节点电压控制移相位,联络线重调度,增加储备HVDC功率调制。这些措施被称为特殊保护措施。

WAP基于以相量测量单元 PMU Phasor Measurement Unit 的应用为代表的现代测量技术、现代通信技术以及在线动态安全分析,可以根据丰富、及时的广域信息,对系统的状态做出实时判断,因此可以根据需要针对多种系统扰动实施多功能的系统保护。由于WAP可以检测到较小的系统扰动,而且可以根据具体情况形成实时控制策略,较早地开始控制,而且多种控制措施可以协调动作,因此对维持电力系统的稳定性和完整性有更好的效果。

根据针对的系统扰动种类,WAP实现的功能可以分为如下几类:功角稳定保护、电压稳定保护、过负荷保护、连锁故障保护,其中功角失稳属于暂态失稳,通常认为是对广域保护系统的响应时间最严格的考验,因此功角稳定保护是实现广域保护系统的难点。

三、广域保护的关键技术

3.1 PMU 的出现

广域同步数据的共享主要是基于相量测量单元(Phasor Measurement Unit,简称PMU)。而得的 PMU可以对电压、电流等数据进行同步采集。首先,能够为系统中各个节点采集的电压、电流等电气量打上精确时标(误差不大于1),这使得对全网同一时刻的电气量进行精确计算成为可能;其次PMU能够测量电流电压相量的角度,因此在理论上,若全网所有节点均装上PMU,则所有的角度变量都将成为己知量。这一方面可以应用于功角不稳定分析,利用直接测量到的各发电机功角,发展快速可靠的新型功角稳定分析方法;第三,可以大大提高现有状态估计的精度,为动态安全分析等其它应用打下更好的基础。

3.2 通信系统的发展

通信系统是广域保护系统的一个十分重要的组成部分。快速可靠的通信网络是实现广域保护必不可少的基础设施。为了获得快速和可靠的通信网络,需要着重考虑网络类型、拓扑、通信协议和媒体介质等几个主要方面。目前电力公司对一些新型通信方式的应用,也为广域保护所必需的实时数据传输提供了可能,是实现广域保护的前提。

四、结束语

广域保护系统在获取系统多点信息的基础上,能够从整体或区域电网的角度同时实现继电保护和自动控制功能,使继电保护和自动控制装置的动作相配合,加强对故障后系统不稳定状态的控制,保障配电网在局部发生故障后非故障区域能按照安全稳定的工况运行,大大减少事故的发生。

参考文献:

篇6

【关键词】办公局域网;安全因素;管理措施

随着网络技术的不断发展,在现代机关单位中都建立有属于自己的办公局域网。机关办公局域网的建立,能有效提升机关的办公效率。机关局域网虽然仅是小型的办公网络,但却也存在着较大的安全隐患,而这些安全隐患的存在,对机关单位各方面的利益造成极大的威胁。因此,必须要全面分析机关单位办公局域网中潜在的安全影响因素,并制定有效、可行的安全管理措施,以保证机关单位办公局域网的安全,从而保障机关单位的自身利益。

1.办公局域网改善概述

局域网的组成部分包括硬件与软件,前者是计算机之间相互连通的重要渠道,主要进行局域网中的物理连接;而后者主要进行局域网中的各项操作活动,能实现计算机之间的资源共享及信息分配。在现代办公模式下,对办公局域网具有以下几点安全要求:(1)机密性要高,要保证单位内部信息的不外漏;(2)完整性要高,即要保证单位信息、资料的完整性;(3)可用性要强,即要确保办公主体可拥有足够的信息访问权限;(4)可控性要高,即能有效控制单位局域网中的数据、信息流向与动态;(5)审查性要好,即要实现对办公局域网的监管与控制;(6)加密性强,即能在办公局域网中进行信息、数据加密。

2.机关办公局域网安全影响因素

2.1病毒入侵

计算机病毒能以多种途径入侵计算机网络,并通过快速复制、繁殖及扩散,破坏计算机系统。病毒一旦侵入计算机系统后,就会导致办公信息、数据丢失或破坏,给机关单位经济利益带来巨大的影响。

2.2操作系统的安全性

机关办公局域网中使用的计算机操作系统往往存在一定程度的安全漏洞,主要包括系统软件与应用软件两个方面。系统软件本身的漏洞,导致计算机病毒更加容易入侵。由于机关单位的内部文件较为机密,导致黑客容易利用软件漏洞攻击计算机系统,窃取重要数据。

2.3人为因素

大部分机关工作人员对局域网安全知识的了解不深,且缺乏安全专业知识,对局域网的管理、监督不到位,导致部分不法人员进行机关局域网的破坏,从而窃取机密。

2.4硬件设施损坏

机关局域网系统的硬件配置不合理同样是影响局域网安全的主要因素,如用于提供服务及数据存储的服务器质量不过关、路由设备的线路故障等,都会影响整个办公局域网的可靠性及稳定性。

3.机关办公局域网安全管理措施

3.1病毒感染的安全管理

要有效预防病毒对单位办公局域网的感染,绝不能仅靠单一的防范渠道,而应全方位、多角度及多方面进病毒的全面防范。主要的病毒安全管理措施如下:(1)网络隔离。一方面,应从路由器着手进行隔离防护,屏蔽全部的IP 地址,并再放行单位办公所需的IP地址;另一方面,应采用防火墙进行病毒的隔离防护,通过防火墙进行数据的过滤,并合理控制网络访问,避免出现高风险的网络活动,能有效防范病毒的入侵;(2)建立防毒系统。鉴于网络病毒的多样性、特殊性,因此应用各种杀毒产品及时发现与消除病毒,通过建立全面的防毒系统,用户终端要及时升级系统及补丁,并严禁访问外部网络及具有安全隐患的网页,能很好地保证机关办公局域网的安全,从而保证机关单位的自身利益。

3.2 建立网络安全预警系统

对于机关单位而言,对办公局域网安全风险的防范,应先及时发现安全风险因素。因此,机关单位必须要建立全面的网络预警系统,以从多方面、多角度入手,根据安全漏洞分析及攻击条件等因素进行全面安全系数评估,以便及时发出安全预警信号,及时发现及消除安全因素,从而防范网络风险事故的发生。

3.3数据加密及备份管理

在办公局域网中存储的相关信息、数据都是机关单位重要的生产资料。在机关单位实际办公时,为了避免单位重要数据、资料的丢失或破坏给企业带来经济损失,机关单位必须要加强对数据的加密保护及备份管理工作,才能切实保证单位数据、资料的安全,从而保证单位的利益。

3.4加强设备运行环境的管理

由于网络服务器对运行环境、负荷的要求比较严格,因此机关单位必须要合理布置局域网的中心机房及设备,以保证中心机房及设备所处于的环境能符合相关的规范要求,以防网络服务器出现超负荷工作,从而保证局域网网络的安全。另外,机关单位在计算机的使用上,必须要定期维护与保养设备,以保证设备的良好运行状态,才能更好地确保办公局域网的安全。

3.5提高操作人员的安全防范技能水平及防范意识

由于部分操作人员对网络风险的认识及防范意识不足,导致机关办公局域网的安全受到极大的威胁。因此,机关单位为了保证办公局域网的安全,除了落实全面的安全防范措施以外,还要加强对单位员工关于网络安全方面的培训,以培养员工的安全风险意识及提高人员的安全防范技能,并建立完全安全管理制度及监督制度,以加强对局域网的安全管理,有利于保证机关办公局域网的安全。

3.6虚拟局域网与网络分段技术的应用

局域网虚拟技术是当前保证办公局域网安全的一种重要技术,该技术能实现对网络的护理划分,不仅有利于更好地利用与分配网络资源,且能有效管理局域网中的上网用户,能有效防止因非法用户端接入网络、网络病毒攻击及IP信息盗用等导致的网络系统故障,从而提高办公局域网的安全性。通过网络分段,使机关单位的重要信息、数据能与局域网内高风险的上网用户隔离,有利于防范机关重要信息、数据被窃取、破坏。而且,网络分段不仅能有效保证局域网的安全,且能有效防止来自Internet 的威胁,当机关办公局域网的某一环节受到攻击时,网络分段就能将安全风险有效的控制在该环节中,避免安全风险向整个网络蔓延,能全方位地保护机关单位的网络安全。

4.结束语

综上所述,办公局域网作为现代机关办公体系的重要部分,其安全性直接影响着机关单位的利益。因此必须要注重对机关办公局域网的安全防护,全面合理分析局域网中潜在的安全因素,积极采取有效的安全管理措施,才能有效保证机关办公局域网的安全性,从而保障机关单位的利益。

【参考文献】

[1]马哲.浅析办公局域网的安全风险及防护措施[J].计算机光盘软件与应用,2012,18(3):63-64.

[2]申庆宏,孟杰,张春芳.企事业单位机关办公局域网管理方式探讨[J].内蒙古科技与经济,2011,24(5):89-90.

[3]詹青霞,吴彩彬.浅谈机关办公局域网的安全影响因素[J].信息与电脑(理论版),2011,16(4):22.

篇7

关键词:调度自动化系统;规划设计

中图分类号:TM421 文献标识码:A

引言

伴随着我国经济的发展对电力能源的需求不断增加,电网的作为一个闭环系统的建设方向也朝着以特高压电网为骨干网架、各级电网协调发展的坚强电网,并实现电网的信息化、数字化、自动化、互动化,在供电安全、可靠和优质的基础上,进一步实现清洁、高效、互动的发展目标。为适应电网的不断发展,电网自动化应该更多地朝着数字化、集成化、网格化等方面发展。数字化是指电网设备、采集、控制及管理的信息化,通过信息的反馈达到一种数字化的控制。集成化是指通过电网方面的了解,将电网内部的系统完善。网格化主要是在调度管理体制下的各级调度中心之间信息进行分解协调控制。

1、电网运行的需求

电网调度自动化系统就是用来监控整个电网运行状态,使电网调控人员能够更好地了解情况,从而运筹全网。从而更加有效地保证电网安全,让电网能够稳定、经济地运行。其作用主要有以下三个方面。

1.1 实现对电网安全运行状态的监控

电网运行,安全必须放在第一位。电网调度自动化系统对电网安全状态的监控是必须的,在电网正常运行时,电网调控人员需要对电网的周波、电压、潮流、负荷与出力进行实时监控和测试。时刻关注电网主设备的状况及水、热能等方面的工况指标,让其符合规定。充分保证电能质量和用户计划用电、用水和用汽的要求,使电网的安全运行得以保证。

1.2 电网运行需要实现经济调度

在对电网实现安全监控的基础上,必须要保证电网运行的经济性。不能耗能太多,那样就不能使电网运行够经济。所以我们必须要通过电网调度自动化的手段,实现电网的经济调度。从降低损耗、节省能源为目标出发,争取能够多发电、多供电,这样才能使电网运行得以经济化,带来更多的效益。

1.3安全分析和事故处理的需要

电网是一个实时变化运行的系统,造成电网发生故障的原因很多,电网异常运行的因素也相对复杂。电网调控人员必须对电网的运行进行实时、短期、中长期的安全分析,从根源上减少电网故障的发生,同时在电网故障发生时需控制事故范围,防止发生电网系统性崩溃和瓦解。电网调度自动化系统必须提供一个综合平台使安全分析和事故处理得以快速、准确的进行。

2、某地区电网现状与需求

某地区电网现状如下:220kV变电站16座、110kV变电站15座、35kV变电站39座、主要并网电厂6个。目前电网中在建项目有220kV变电站5座、110kV变电站9座, 35kV变电站4座。目前还没有一个无人值班变电站,远动通道建设刚刚展开,大部分变电站的远动通道为载波通道,调度工作目前依靠电话及远动终端工作站进行。随着用电量的迅速增长,电网不断扩大,结构日益复杂, 数据信息大量增加,原有的调度管理方法将不适应电网发展的形势,迫切需要做好某地区电网调度自动化系统的规划工作,改善现有系统,适应发展需要。

现有各类应用系统包括:生产信息管理系统、营业管理系统、调度自动化系统和查询处理系统等。由于各系统平台和网构不同,很难实现资源共享和统一管理,因此必须进行科学的分析,制定出全盘网络的规划,设计中采用以下原则:实用性、开放性、先进性、可扩充性、可靠性和安全性。

3、规划目标及内容

根据调度自动化系统的要求,结合某地区电网的实际情况,将变电站按无人值班变电站的要求设计、改造;调度自动化系统采用双通道,预留通信接口;主站系统具有高可靠性、安全性和可扩充性。电网调度自动化系统进行设计、规划,列举相关网络、线路状况和通信手段, 提出供选择的通道网络建设方案和将现有资源并入新系统的方法。

4、系统通信网络的规划设计

电力通信设备应具有多种接口, 稳定性、可靠性高, 维护简单,有一定的先进性和适应性。电网调度自动化系统由主站系统及厂站系统组成,数据交换方式为主备用方式。财务、管理等系统基于以太网方式传输。图像监控系统和 Internet/Intranet系统基于TCP/IP协议传输。在目前使用的多种通道技术中光纤技术有明显的优越性:通信容量大,通信质量高,防雷击性能好。在某地区电网的调度自动化通道规划中,我们主要采用了光纤通信技术。根据各个变电站的地理位置分布情况进行综合考虑后布点。

5、主站系统的规划设计

主站系统由前置采集服务器、SCADA应用服务器、PAS/AVC应用服务器、各类应用工作站、网络服务器等构成,采用开放式结构,有 SCADA、PAS、AVC等功能,预留标准接口,实现数据信息共享, 并能转发信息,系统总体达到国内先进水平。根据部颁《电网电力调度自动化规范》和某地区电网的现状与规划、变电站实现无人值班的目标, 要求主站软件系统具备遥控功能、事故报警功能、电压监测功能、在线设备管理、电量管理、事件并发处理功能、事件顺序记录等功能,有可扩充性。

6、变电站端的规划设计

按无人值班方式规划、设计变电站。变电站按综合自动化要求建设能传送有功功率、电流和电压,事故总信号和线路重合闸动作信号等多种遥信、遥测量;调控中心能够向变电站传送遥控、遥调命令;远动终端性能良好、运行可靠、有抗电磁干扰的能力等。规划时应考虑功能配置满足电网安全和经济运行的需要;分散式系统的功能配置下放;远方与就地控制操作并存;硬件接口满足国际标准;保护、测量、控制一体化设计;采用交流采样技术,以太网(LAN)、光纤通信方式。

结语

电网调度自动化系统是电网运行、监控的基础, 起着核心重要的作用。进行规划设计时应充分考虑电网调控人员的需求及电网调度自动化系统对通道的要求和影响,并综合考虑安全可靠性、开放性和扩展性。随着社会生产力的进步,传统电网模式早已经不能够满足社会发展日益增长的需求。现今电网的建设也随着先进技术的不断应用在进行跨越式的发展,电网调度自动化系统本身就是一种先进、方便使用的设备也成为了整个电网重要的组成部分。为使电网运行信息得获取变得准确可靠,调度自动化系统也在不断的发展完善中,以达到对电网安全、经济运行的要求。因此对于发展中的中国,电网调度自动化系统规划设计的要求不断提高,也对全面提高人们的生活质量有着重要意义。

参考文献

[1] 辛耀中.新一代电网调度自动化系统[J]. 电力系统自动化, 1999, 23(2).

[2] 周孝信.面向21世纪的电力系统技术[J].电气时代,2000(2).

[3] 姚建国,高宗和,杨志宏等.EMS应用软件支撑环境设计与功能整合[J].电力系统自动化,2006(4).

篇8

关键词:IP城域网 流量过滤

中图分类号:TN 文献标识码:A 文章编号:1007-9416(2012)12-0253-02

1、IP城域网的网络安全分析

1.1 IP城域网安全概况

IP城域网的安全风险主要在于网络设备或宽带用户遭受攻击、网络病毒恶意传播引发的网络流量突增对网络及设备性能的冲击,以及相关业务的数据库服务器受到病毒感染、恶意攻击导致的业务无法正常运行。由于互联网与生俱有的开放性、交互性和分散性特征,使IP城域网不可避免的面临此类风险。因此运营商网络安全设计考虑的重点和企业网络不同,网络的管理难度大,安全管理制度实施困难,安全建设要更多地采用技术来确保网络和设备安全,并以用户管理作为辅助手段。

1.2 IP城域网网络架构

从物理架构来看,IP城域网的传统网络架构一般分为三个层次:核心层、汇聚层、接入层,随着网络的不断发展此种结构也逐步向着扁平化的趋势演进,形成了只有二个层次的网络架构:核心层、接入层。网络的各个层次根据其所在层次的不同承担了不同的功能,每个层次都有不同的特点,面临不同的安全问题。核心层主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全,以及用户访问的控制;接入层主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。

从业务方面来看,IP城域网所承载的业务已由传统的宽带业务发展为多种综合业务。目前IP城域网承载的业务主要有:LAN专线接入业务;PPPoE方式接入的上网业务;基于DHCP Option82方式的新兴业务,例如IPTV;基于IP的增值业务,例如全球眼;新兴的WLAN业务;固网及移动网的语音业务;移动网3G业务等。这些业务对安全方面的要求各不相同,LAN专线主要的安全问题是用户接入控制;PPPoE宽带主要是用户账号盗用;IPTV的主要问题是DHCP用户认证方式的安全性;全球眼主要的问题是安全隔离;WLAN主要是无线接入用户隔离和用户账号盗用;固网及移动网语音业务主要问题是网络质量及安全隔离;移动网3G业务主要是用户接入控制。

1.3 IP城域网网络安全分析

1.3.1 IP城域网核心层安全

核心层主要担负着网络核心承载功能,其由核心路由节点构成,将多个汇聚层节点连接在一起,进行高速的数据转发,实现和全国骨干网络节点互联。由于核心层节点的重要性其必须充分保证网络的连通性,提供充足的网络链路冗余,高效的转发处理能力,稳定的运行能力。威胁城域网核心层安全的风险主要表现为核心设备遭受攻击或病毒攻击引发网络流量激增,进而对设备性能产生冲击。

核心层设备需要采用一些安全策略,保障网络的安全、可靠,其对安全性能的需求包括:

采用无阻塞交换的路由器或交换机设备; 采用逐包转发、分布处理、Wred等QoS技术,避免流Cache模型造成系统崩溃;节点关键设备冗余备份,系统出现软硬件故障时,可迅速转换到备用模块;在重要的核心节点,采用一些双IOS系统的网络设备,在设备主用软件系统产生故障时,可以自动倒换到备用的软件系统上,保证设备转发不中断;实现路由认证,保证路由协议安全;网络设备采用多极安全密码体系,通过访问控制限制非法设备和用户登录;支持SNMPV3,通过ACL限制SNMP访问的源地址;采用ACL策略,过滤流向引擎板卡的垃圾流量,保证设备核心的安全;采用如Netflow等流量监控手段,监测异常流量。

1.3.2 IP城域网汇聚层安全

汇聚层功能是负责汇聚各个接入层节点进行数据转发,提供对接入层的流量控制和用户管理功能。汇聚层设备是用户管理的基本设备,也是确保城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。从长远看,BRAS设备也必须考虑用户的安全防护措施。怎么提供病毒防治、集中安全管理和升级等手段,将成为提高通信网络安全的关键。

汇聚层设备对安全性能的需求包括:

用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;确保接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址和MAC地址、卡号绑定,能够准确定位用户,并可提供追查恶意用户的手段;支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击;支持访问控制列表(ACL),包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护,及禁止部分用户访问或有选择地屏蔽网络服务;可实现对用户带宽的控制CAR;

1.3.3 IP城域网接入层安全

接入层功能主要是通过一些二三层交换机、DSLAM设备、EPON设备、无线设备等,通过各种接入技术和线路资源实现用户覆盖接入,提供用户接入,并对用户进行流量控制。

接入层设备对安全性能的需求包括:

控制用户流量带宽;接入侧用户相互隔离,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址与MAC地址、卡号绑定,能够准确定位用户,并可提供追查恶意用户的手段;在LAN接入方面,还要采用一些端口检测的措施,防止用户二层环路的发生;采用PortSecurity措施,防止用户的CAM攻击和ARP攻击等。

2、IP城域网流量过滤技术

威胁IP城域网网络安全的主要因素就是病毒或网络攻击引起的流量激增,如何对IP城域网的异常流量进行过滤,成为了保障IP城域网网络安全的重要手段之一。城域网流量的安全过滤需要依赖专业的安全过滤设备以及相关的监控设备,根据安全过滤设备部署的位置,城域网流量的安全过滤主要可以分为两种方式:旁路方式和串接方式。

2.1 旁路方式

旁路方式是将流量清洗设备旁挂在城域网核心层,同时将流量监控设备旁挂在城域网汇聚层对汇聚层流量进行监控。当流量无异常时,从核心层至汇聚层的流量不经过流量清洗设备。当流量监控设备发现汇聚层流量出现异常时,由其通知流量清洗设备,并由流量清洗设备向网络流量重定向的路由公告,将异常流量牵引至流量清洗设备,由其对异常流量进行安全过滤后,再把正常流量转发至汇聚层,实现流量过滤。而其他正常流量则不受影响,仍使用原路由。当异常流量消失后,再公告恢复原路由,使流量恢复原正常路由。其网络结构如(图1)所示:

路方式的主要优点是不会因为安全过滤设备故障而导致的网络不通,对业务无任何影响,避免网络故障点的增加。其只对异常流量进行过滤清洗,无需对全部流量进行处理,避免了由于安全过滤设备的性能原因影响网络转发能力,从而有效避免了网络延时增加、丢包、传输性能下降的问题。但由于需要通过流量监控设备检测,因此需要对核心层至汇聚层流量进行分光,监控设备需要与汇聚层每台设备进行互联,占用资源。同时由于需要先检测,发现流量异常后才对流量进行牵引过滤,使其对攻击的控制力度较弱,对攻击的反映较慢,对于某些实时发生的网络攻击效果不明显。

2.2 串接方式

串接方式是将流量清洗设备串接在城域网核心层与汇聚层之间,网络全部流量都经过流量清洗设备分析过滤,之后再转发至汇聚层。然后再转发至汇聚层。其网络结构如(图2)所示:

串接方式的主要优点是流量实时进行分析过滤,能及时对网络攻击等异常流量进行过滤,对攻击的控制力度强。但由于其串接在网络中,增加了网络的故障点,对流量清洗设备的性能要求较高。如果网络扩容,则需要对流量清洗设备进行相应的扩容,投资成本较高。

3、结语

IP城域网的网络安全是一项长久和艰巨的任务。对于网络安全的问题必须结合各方面情况进行全局考虑,需要进行体系化的整体安全设计和实施。既要充分考虑网络的安全性,又要考虑网络的稳定性;既要利用设备的相关安全特性,又要结合使用专用的安全设备;既要考虑设备安全和技术因素,又要重视网络安全管理人员所起的决定性作用。IP城域网的建设和运营必须全方面建立全方面的安全防护体系,才能向社会提供一个安全、高速、易用、智能化的网络,确保运营商宽带数据业务正常经营。

参考文献

篇9

关键词:Web;网络安全;安全防护

中图分类号:F49文献标识码:A

随着Internet的发展,Web应用渗透到了人们生活中的各个角落。如今,Web业务平台已经在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上,Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。针对Web网站的攻击呈现规模化、隐蔽化趋势。Web威胁所具备的渗透性和利益驱动性,已经成为当前网络中增长最快的风险因素。网络罪犯已经逐渐将Web作为从事恶意活动的新途径,Web安全威胁已经成为对企业来说最为猛烈的攻击之一。

Web攻击的最终目标是企业数据和获取商业利益。对付Web威胁,传统的防护模式已不能够有效化解越来越多的Web攻击者将合法网站做目标。尽管大多Web2.0网站自身都会采取防挂马、防注入等保护措施,但研究结果显示:社区驱动型安全工具在保护Web用户避开不良内容以及安全风险方面是无效的。面对来势汹汹的新型Web威胁,传统安全措施无法跟上Web内容不断变化的步伐。一方面恶意软件也可能出现在声誉良好、受到大家信任的网站上,就像出现在其他网站恶意上一样容易;另一方面网络应用程序越来越多,传统的防护模式已经力不从心,即便是如今已经运用的非常成熟的“病毒特征码查杀”技术,随着病毒爆发的生命周期越来越短,其传统的安全系统防御模型更是滞后于病毒的传播,用户只能处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。即使利用市场上现有最快速的反病毒系统和服务机制,企业仍然不能防范最新的威胁,因为服务方往往无法及早和完整地介入整个新病毒事件。

Web安全问题基本解决方案:

1、确定Web安全目标。根据网站所处的环境、网站本身的目标和风险程度等因素来确定Web安全目标。如,Web服务器是在Intranet中使用还是面向Internet, Web网站是否代表整个企业或组织?它是否用作电子商务或电子政务?

2、实施整体安全方案。由于Web安全涉及的因素较多,必须从整体安全的角度来解决Web安全问题,实现物理级、系统级、网络级和应用级的安全。一般从以下几方面实施:第一,提高操作系统的安全性,确保服务器本身的安全;第二,部署防火墙阻止外部非法访问和入侵;第三,控制内部非法访问和入侵;第四,Web服务器本身的安全配置;第五,Web应用程序和脚本编程安全;第六,后端数据库的安全;第七,Web通信安全;第八,保护数据和应用的其他安全措施;第九,Web安全测试和评估。

为综合检测Web安全,需要使用漏洞扫描和风险评估工具定期对Web服务器进行扫描和测试,及时发现和解决安全问题。就目前情形来看,安全漏洞集合是导致Web服务器遭受攻击的主要因素,因此应在攻击者发动攻击之前,及早发现网络上可能存在的安全漏洞并加以弥补。

安全扫描和评估简介:

1、安全扫描是对计算机系统或者其他网络设备进行与安全相关的检测,以找出安全隐患和可能被黑客利用的漏洞。安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效地防范黑客入侵。安全扫描只是简单将检测结果罗列出来,直接提供给测试者,而不对信息进行任何分析处理。安全评估除了具备最基本的安全扫描功能外,还能够对扫描结果进行说明,给出建议,对系统总体安全状况作总体评价,同时以多种方式生成包括文字图表等内容的评估报表。

2、扫描工具。从安全扫描范围来看,此类工具可分为两大类:专项扫描工具和综合扫描评估工具。专项扫描工具有专门端口扫描工具、针对特定应用和服务的扫描工具(如扫描Web服务器及CGI安全漏洞的Stealth等、针对SQL Server的SqlExec)。综合扫描评估工具的扫描内容非常广泛,扫描结果报告翔实,并给出相应的解决办法,非常适合管理员的系统评估测试。综合扫描评估工具一般都是商用软件。从安全评估技术来看,此类工具可分为两大类:一类是基于网络的扫描工具,如ISS公司的Internet Scanner、AXENT公司的NetRecon等,通过网络远程探测其他主机的安全风险漏洞,还可通过模拟攻击测试系统的防护能力;另一类是基于主机的扫描工具,如ISS公司的System Scannet,AXENT公司的ESM,用于测试服务器本身的安全漏洞,一般需要在所测试的主机上安装相应的软件且实施起来不方便。对于Web服务器的安全测试评估来说,可以纳入整个企业网络的整体安全评估,也可以独立地进行安全评估。由于Web安全所涉及的范围较广,除了Web服务器本身安全外,还有所在系统的安全,在选择测试评估软件时,应考虑测试内容的全面性。

对于中小企业的Web服务器,出于成本方面的考虑,可选择一些免费的、具有综合测试能力的工具软件,如X-Scan。对于基于微软产品的Web服务器来说,可选择微软公司提供的MBSA(Microsoft Baseline Security Analyzer,可译为微软基准安全分析器),该工具可以评估特定微软产品中的任何漏洞和弱点,而且是免费的。

3、安全评估评价标准。在实现了对Web服务器的安全扫描后,便可根据扫描结果,对服务器的安全性能进行评估,给出服务器的安全状况。下面给出一个大致的评价标准。需要特别注意的是:评价标准应该根据应用系统、应用背景的不同而有相应的改变,并不存在绝对的评估标准。

A级:扫描结果显示没有漏洞。虽然这并不表明没有漏洞,因为有许多漏洞是尚未发现的,但我们只能针对已知的漏洞进行测试。

B级:具有一些泄漏服务器版本信息之类的不是很重要的漏洞,或者提供容易造成被攻击的服务,如允许匿名登录,这种服务可能会造成许多其他漏洞。

C级:具有危害级别较小的一些漏洞,如可以验证某账号的存在,可以造成列出一些页面目录、文件目录等,不会造成严重后果的漏洞。

D级:具有一般危害程度的漏洞,如拒绝服务漏洞,造成服务器不能正常工作,可以让黑客获得重要文件的访问权的漏洞等。

E级:具有严重危害程度的漏洞,如存在缓冲区溢出漏洞、存在木马后门、存在可以让黑客获得根用户权限或根用户的shell漏洞以及根目录被设置为一般用户可写等一些后果非常严重的漏洞。通过安全评估后,用户则可以根据情况采取措施,包括给系统打补丁(从技术网站上下载)、关闭不需要的应用服务等来对系统进行加固。可以看出,漏洞扫描、安全评估、采取措施是一个循环迭代、前后相继的流程,用户可以在使用中多加揣摩,从而保证网络系统的安全。

(作者单位:1.重庆大学软件工程学院;2.东莞市公安局清溪分局)

主要参考文献:

篇10

在全国网络安全和信息化领导小组第一次会议上强调:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”,“没有网络安全就没有国家安全,没有信息化就没有现代化”。我国网络用户已经超过6亿,手机用户超过14亿,而我国的网络安全形式不容乐观,网络安全事件呈上升趋势,既懂网络管理又懂网络安全的综合人才紧缺,这给网络工程专业的网络安全课程的设置与人才培养提供了发展的契机。

1网络工程专业网络安全人才培养的优势

随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。

4结语