时间:2023-06-01 08:50:58
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防护方法,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5312-02
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
[3]吴世忠,江常青.信息安全保障基础[M].北京:航空工业出版社,2010.
随着全球信息化程度的加深,CDN已经成为互联网上向用户提供服务的重要系统之一,一方面由于CDN位于内容源站和终端用户之间的特殊物理位置,能够抵御一部分对源站的安全攻击,从而提高源站的安全性;另外一方面,随着CDN越来越多地服务于重要国家部门、金融机构、网络媒体、商业大型网站,并经常承担奥运会、国庆等重大活动,保障CDN自身的安全性、确保源站信息内容安全准确地分发给用户也非常重要。一旦CDN出现业务中断、数据被篡改等安全问题,可能对用户使用互联网服务造成大范围严重影响,甚至可能影响社会稳定。
标准工作开展背景
一直以来,国际国内缺乏专门的标准明确CDN应满足的安全要求,今年《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》在中国通信标准化协会(CCSA:ChinaCommunications StandardsAssociation)立项,“电信网安全防护标准起草组”讨论了征求意见稿,相信CDN安全的标准化工作,能对促进CDN服务商规范安全地提供服务,从整体上提高CDN行业的安全防护水平提供指导。
美英等国家从20世纪70年代就开始研究等级保护、风险评估的相关内容,制订了彩虹系列、BS7799、ISO27001等具有世界影响力的安全标准。随着通信网络在国家政治、经济和社会发展过程中的基础性和全局性作用与日俱增,这些发达国家越来越重视通信网络安全,并上升到国家安全高度。我国也越来越重视网络与信息安全保障,相继了中办【2003】27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发【2006】11号《2006―2020年国家信息化发展战略》等文件指导基础信息网络和重要信息系统的安全保障体系建设。
近五年通信网络安全防护工作取得很大成效,指导通信网络从业务安全、网络安全、系统安全、数据安全、设备安全、物理环境安全、管理安全等各方面加固,提高了通信网络运行的稳定性和安全性、基础电信运营企业安全管理的规范性,也促进了通信行业安全服务产业的快速发展。
随着通信网络安全防护工作逐步深入规范开展,2011年工业和信息化部组织开展了增值运营企业的安全防护试点,率先对新浪、腾讯、百度、阿里巴巴、万网、空中信使运营管理的网络单元进行定级备案、安全符合性评测和风险评估。
2011年,“电信网安全防护标准起草组”组织研究起草《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》等8项安全防护标准,工业和信息化部电信研究院、蓝汛、网宿、清华大学、中国移动、中国电信、华为、中国互联网协会等单位研究人员参与了标准的起草,目前这两项标准的征求意见稿已经在CCSA讨论通过。
根据《通信网络安全防护管理办法》,按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高可划分为一级、二级、三级、四级、五级。因此《互联网内容分发网络安全防护要求》明确了一级至五级CDN系统应该满足的安全等级保护要求,级别越高,CDN需满足的安全要求越多或越严格。《互联网内容分发网络安全防护检测要求》明确了对CDN进行安全符合性评测的方法、内容、评价原则等,有助于深入检查企业是否落实了安全防护要求。
CDN安全防护内容
CDN位于内容源站与终端用户之间,主要通过内容的分布式存储和就近服务提高内容分发的效率,改善互联网络的拥塞状况,进而提升服务质量。通常CDN内部由请求路由系统、边缘服务器、运营管理系统、监控系统组成,CDN外部与内容源站以及终端用户相连。CDN是基于开放互联网的重叠网,与承载网松耦合。
CDN主要是为互联网上的各种业务应用提供内容分发服务,以显著提高互联网用户的访问速度,所以保障CDN分发的数据内容安全和CDN业务系统安全至关重要,保障CDN的基础设施安全、管理安全,有效实施灾难备份及恢复等也是CDN安全防护应该考虑的重要内容。因此CDN的安全防护可从数据内容安全、业务系统安全、基础设施安全、管理安全、灾难备份及恢复几方面考虑。
(1)CDN数据内容安全
为保障CDN分发的数据内容安全,需要确保CDN与源站数据内容一致,并进行版权保护,记录管理员的操作维护并定期审计,一旦发现不良信息能够及时清除,同时提供防御来自互联网的网络攻击并对源站进行保护的能力。
数据一致性:CDN企业提供对内容污染的防御能力,识别和丢弃污染的内容,保障重要数据内容的一致性和完整性;保证CDN平台内部传输数据的一致性;防止分发的内容被非法引用(即防盗链)。
版权保护:按照源站要求提供内容鉴权、用户鉴权、IP地址鉴权、终端鉴别以及组合鉴权等方式对源站内容进行版权保护。
安全审计:记录管理员(含源站管理员和CDN系统内部管理员)对CDN系统的管理操作,留存日志记录并定期审计。
不良信息清除:一旦发现CDN系统内部含不良信息,应在内容源站或主管部门要求时间内,完成全网服务器屏蔽或清除不良信息。
防攻击和源站保护:引入CDN后不应降低内容源站的安全水平,同时CDN在一定程度上提供对内容源站的抗攻击保护。
(2)CDN业务系统安全
为保障CDN的业务系统安全,需要从结构安全、访问控制、入侵防范等方面进行安全保护,另外鉴于请求路由系统(即DNS系统)在CDN系统中的重要性以及目前DNS系统存在脆弱性,需要保障请求路由系统的安全。
结构安全:CDN企业在节点部署时应考虑防范安全攻击,如为服务器单节点服务能力留出足够的冗余度、配置实时备份节点等。
访问控制:对管理员操作维护进行身份认证并进行最小权限分配,从IP地址等方面限制访问。
入侵防范:关闭不必要的端口和服务,CDN能够抵御一定的安全攻击并快速恢复。
请求路由系统安全:部署多个内部DNS节点进行冗余备份,并对DNS进行安全配置。
(3)CDN基础设施安全
保障CDN的基础设施安全,可从主机安全、物理环境安全、网络及安全设备防护等方面进行保护。
主机安全:企业对CDN的操作系统和数据库的访问进行访问控制,记录操作并定期进行安全审计;操作系统遵循最小授权原则,及时更新补丁,防止入侵;对服务器的CPU、硬盘、内存等使用情况进行监控,及时处置告警信息。
物理环境安全:机房应选择合适的地理位置,对机房访问应进行控制,防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、防尘、电磁防护等方面均应采取一定的防护措施,并确保电力持续供应。
网络及安全设备防护:IP承载网需要从网络拓扑结构、网络保护与恢复、网络攻击防范等方面进行保护。
(4)CDN管理安全
规范有效的管理对于保障信息系统的安全具有重要作用,可从机构、人员、制度等方面进行保障,同时应将安全管理措施贯穿系统建设、系统运维全过程。
机构:通过加强岗位设置、人员配备、授权审批、沟通合作等形成强有力的安全管理机构。
人员:在人员录用、离岗、考核、安全意识教育和培训、外部人员访问等环节加强对人员的管理。
制度:对重要的安全工作制订管理制度,确保制度贯彻执行,根据安全形势的变化和管理需要及时修订完善安全制度。
安全建设:在系统定级备案、方案设计、产品采购、系统研发、工程实施、测试验收、系统交付、选择安全服务商等环节进行安全管理,分析安全需求、落实安全措施。CDN企业在新建、改建、扩建CDN时,应当同步建设安全保障设施,并与主体工程同时验收和投入运行。安全保障设施的新建、改建、扩建费用,需纳入建设项目概算。
安全运维:在系统运行维护过程中对物理环境、介质、网络、业务系统、安全监测、密码、备份与恢复等加强安全管理,提高对恶意代码防范、安全事件处置、应急预案制订与演练的管理。
(5)灾难备份及恢复
可通过配置足够的冗余系统、设备及链路,备份数据,提高人员和技术支持能力、运行维护管理能力,制订完善的灾难恢复预案,提高CDN企业的抗灾难和有效恢复CDN的能力。
冗余系统、设备及链路:运营管理系统、请求路由系统等核心系统应具备冗余能力,在多个省份备份,发生故障后能及时切换;CDN设备的处理能力应有足够的冗余度;核心系统间的链路应有冗余备份。
备份数据:系统配置数据、源站托管数据等关键数据应定期同步备份。
人员和技术支持能力:应为用户提供7×24小时技术支持,员工应经过培训并通过考核才能上岗。
运行维护管理能力:运维人员应能及时发现系统异常事件,在规定事件内上报企业管理人员、客服人员,做好对客户的解释工作。
灾难恢复预案:应根据可能发生的系统故障情况制订详细的灾难恢复预案,组织对预案的教育、培训和演练。
CDN标准展望
2011年制订的CDN标准还只是一个尝试,目前《互联网内容分发网络安全防护要求》和《互联网内容分发网络安全防护检测要求》仅对作为第三方对外提供互联网内容分发服务的CDN提出安全防护要求和检测要求,随着后续CDN安全防护工作的深入开展、CDN面临的安全风险不断变化,CDN安全防护标准还会不断修订完善。
【关键词】电力;二次系统;安全防护;策略
作者简介:赵延涛(1975-),男,山东东阿人,技师,主要研究方向:电力系统调度自动化
伴随我国社会经济发展进程的发展,电力系统自动化技术水平也逐渐提高。在电力系统正常运行工作中,电力二次系统安全防护工作,仍然存在发生故障的因素。随着电力系统技术应用的发展,电力二次系统安全防护策略探究,为解决电力二次系统安全工作提供了有效办法。在实际工作中,重视电力二次系统安全防护策略探究的工作,有利于进一步提高电力二次系统运行的安全性。因此,结合电力二次系统安全防护工作的现状,探究其安全防护策略非常关键。
1进行电力二次系统安全防护工作的重要性
近几年,随着我国计算机技术、网络技术以及通信技术的快速发展,电力系统的自动化、智能化水平也逐渐提高。根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。电网的安全运行,对电力二次系统安全防护也提出了更高的要求和标准。电力二次系统安全运行,对发展和完善涉及到的各系统资源的优化与整合,也具有重要的意义。如何确保电力二次系统安全运行,与电网的安全密切相关,也是电力企业发展中必须重视的问题。同时,电力二次系统安全防护水平,也是保证二次系统信息安全的重要保障。电力二次系统安全防护策略探究,成为电力企业发展规划中的关键问题。因此,在实际工作中,电力企业的有关部门,应综合电力系统运行的实际情况,积极的探究电力二次系统安全防护策略,更好的促进电力二次系统安全防护工作顺利的开展,为保障社会经济的发展及提高人们生活质量,作出积极的贡献。
2电力系统安全防护存在的问题
在实际工作中,为了有效的提高电力二次系统安全防护水平,结合电力二次系统安全运行工作的现状,针对其存在的安全防护问题进行深入的分析,并积极的引进先进的技术,才能从根本上确保电力二次系统安全防护工作不存在严重的安全隐患问题。当前,电力二次系统安全防护工作中,主要表现在操作系统和网络防护方法单一、系统的装配、调试、维修过度以来厂家、电力系统内防水平低于外防水平等几个方面。
2.1操作系统和网络防护方法单一
我们都知道,当前我国的电力系统安全措施,主要是从防火墙与网闸两个方面入手,通过对系统进行预先设定的方式,进行电力系统参数匹配,进而达到有效控制网络信息流向和信息包。但是这种防护方式,不能完全确保电力系统的网络安全性。加之,现今的网络信息防护技术的更新落后于黑客攻击的形式,在系统操作系统和网络防护方法相对单一的前提下,直接导致电力二次系统安全运行工作存在极大的风险。
2.2系统的装配、调试、维修过度依赖厂家
在电力二次系统安全运行工作中,由于系统的装配、调试、维修过度依赖厂家的帮助,致使电力企业部分的相关技术人员缺乏一定的操作技术。在此前提下,当电力系统的装配、调试、维修发生问题的时候,相关技术人员无法在第一时间采取有效的措施解决问题,而是会错过最佳的解决问题时间,等待厂家派来技术人员进行维修或解决问题。系统的装配、调试、维修过度依赖厂家,对于完善电力二次系统安全运行工作产生了极大的不利影响,也无法确保电力二次系统安全运行状态。2.3电力系统内防水平低于外防水平电力系统内防水平低于外防水平,也是电力系统安全防护中存在的问题之一。在电力系统的运行中,各种类型的网络安全装置大多都是限制外部网络信息安全的。相对而言,企业的电力系统内部遭受攻击,而无法得到有效的解决。电力系统内防水平低于外防水平,已经逐渐影响了电力二次系统安全运行工作,并对提高电力二次系统安全运行水平造成了一定的负面影响。因此,为了确保电力二次系统安全运行工作,重视电力系统内防水平低于外防水平这一问题非常重要。
3电力二次系统安全防护策略
目前,为了有效的确保电力二次系统安全防护工作的顺利进行,有关部门已经根据《中华人民共和国计算机信息系统安全保护条例》及有关规定,针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生问题,进一步建立电力二次系统安全防护体系,用以保障电力系统的安全稳定运行,促进社会经济的发展。在实际工作中,结合电力系统的运行工作问题,深入探究电力二次系统安全防护策略,不断完善电力二次系统安全防护措施,对于保障社会经济的发展,具有重要的现实意义。针对电力二次系统安全防护方面存在的问题,我们从加装入侵检测或防护系统,完善二次系统网络安全、加强系统的网络防病毒体以及重视系统的备份工作这三个方面进行。
3.1加装入侵检测或防护系统,完善二次系统网络安全
在电力二次系统安全防护策略探究工作中发现,加装入侵检测或防护系统,完善二次系统网络安全,是其中相对有效的策略之一。在电力二次系统运行中,通过加装入侵检测或防护系统,可以在解决网络信息安全问题的同时,确保电力二次系统安全运行,不断加强电力系统安全防护的水平。加装入侵检测或防护系统,完善二次系统网络安全,将成为电力二次系统安全防护工作中重要的工作方式。因此,在电力系统的运行过程中,技术人员应充分重视加装入侵检测或防护系统,完善二次系统网络安全这一发展策略。
3.2加强系统的网络防病毒体系
为了尽快的完善电力二次系统安全防护工作,加强系统的网络防病毒体系,是目前刻不容缓的工作内容之一。电力企业通过加强系统的网络防病毒体系,控制电力二次系统运行中存在的各种问题,并通过技术分析的方式,得出了有关的控制数据指标,使之可以作为研究电力二次系统安全防护措施的依据。加强系统的网络防病毒体系,是电力二次系统安全防护工作的必然要求。因此,在电力二次系统安全防护工作中,应重点加强系统的网络防病毒体系,确保电力二次系统安全防护工作,可以有效的开展下去。
3.3重视系统的备份工作
在电力二次系统安全防护工作中,重视系统的备份工作,更多的是为了确保电力系统中关键应用及其数据的准确性及完整性,避免由于发生网络黑客攻击,给企业的正常工作造成严重的不利影响。通常情况下,备份数据的方式,关系着数据和系统内的数据及零部件的安全,也是系统数据及系统遭到攻击后,快速恢复数据的重要方式之一。由于备份数据的方式不同,电力系统可以选择用不同的介质进行数据备份,增加备份数据还原的几率。因此,在电力二次系统安全防护工作中,重视系统的备份工作,防患于未然非常重要。
4结语
综上所述,电力二次系统安全防护工作,为我国实现电力系统全面智能发展的奠定了基础。电力二次系统安全防护工作,有效的促进了电力系统的稳步运行。结合我国电力企业的发展状况以及电力二次系统安全防护工作,积极的探究电力二次系统安全防护策略,确保电力系统工作的便捷性、稳定性以及安全性,是电力企业未来发展的目标。因此,在实际工作中,相关工作人员应积极的探究电力技术,不断的提高电力二次系统安全防护水平,促进社会经济的快速发展。
参考文献
[1]王朝琴.电力调度自动化二次系统安全防护研究[J].通讯世界,2014,(23):112-113.
[2]黄睦奇.电力二次系统安全防护策略研究[J].黑龙江科技信息,2014,(36):27-27.
[3]孙克建.电力二次系统安全防护策略研究[J].电子制作,2015,(6):239-239.
[4]卢山.浅谈电力二次系统的安全防护[J].企业技术开发(下半月),2013,32(12):101-102.
[5]崔恒志.电力二次系统安全防护策略研究[D].南京大学,2004.
关键词:网络工程;安全防护;防护技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21- 4790-02
随着我国社会经济的发展,信息化建设也发展较快,现代通信技术日新月异。通信网络的推广和普及使人们改变了信息交流的方式,逐渐成为人们日常生活信息获取和交流的主要途径。近年来,我国互联网行业的飞速发展带来了两个方面的影响,一方面方便了人们的工作和生活,另一方面由于计算机网络的开放性、互联性以及分散性等特点,使得网络工程中还不同程度地存在着一些安全隐患,威胁着网络工程的通信网络环境。网络安全防护是一种网络安全技术,加强网络工程中安全防护技术,有利于保障通信网络安全畅通。因此,研究网络工程中的安全防护技术具有十分重要的现实意义。鉴于此,笔者对网络工程中的安全防护技术进行了初步探讨。
1 网络工程安全存在的问题分析
当前,网络工程安全现状不容乐观,还存在着诸多亟待解决的问题,这些问题主要表现在黑客的威胁攻击、计算机病毒入侵、IP地址被盗用、垃圾邮件的泛滥和计算机系统风险五个方面,其具体内容如下:
1.1 黑客的威胁攻击
黑客的威胁攻击是网络工程安全中存在的问题之一。黑客最早源自英文hacker,从黑客的定义上来看,黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。一般来说,黑客在对网络工程进行攻击时,按黑客攻击的方式分类主要有两种攻击方式,即非破坏性攻击和破坏性攻击。非破坏性攻击通常为了扰乱系统的运行,将阻碍系统正常运行作为目的, 并不盗窃系统资料,用拒绝服务和信息炸弹对系统进行攻击;破坏性攻击以侵入电脑系统、盗窃系统保密信息为目的,黑客会破坏电脑系统。
1.2 计算机病毒入侵
计算机病毒入侵在一定程度上制约着网络工程安全的发展。计算机病毒具有破坏性,复制性和传染性等特点,计算机病毒不是天然存在的,是编制者将指令、程序代码植入到计算机系统中。所谓的病毒是人为造成的,通过影响计算机系统的正常运行,造成对其他用户的危害。计算机病毒破坏力强、传播迅速且不易被察觉,尤其是像木马、震网、火焰这些通过网络作为途径传播的病毒,一旦感染其他程序,将会对计算机资源进行破坏。不难看出,提高系统的安全性是确保网络工程安全的过程中迫切需要解决的问题。
1.3 IP地址被盗用
IP地址被盗用也是网络工程安全的瓶颈。对计算机网络而言,被盗用IP地址的计算机不能正常使用网络,致使用户无法进行正常的网络连接。区域网络中常有lP被盗的情况,这种情况下用户被告知lP地址已被占用,致使用户无法进行正常的网络连接。这些lP地址权限通常较高,窃取lP者一般会以不知名的身份来扰乱用户的正常网络使用,这会给用户带来很大的影响,使用户的自身权益受到侵犯,也严重威胁网络的安全性。
1.4 垃圾邮件的泛滥
垃圾邮件的泛滥,使得网络工程安全陷入困境。垃圾邮件是指那些并非用户自愿却无法阻止收取的邮件。长期以来,垃圾邮件损害了邮件使用者的利益, 垃圾邮件的的日益严重让网络重负逐渐加大,对效率和安全性造成严重的威胁,一方面大量消耗网络资源,减缓了系统运行效率;另一方面,数量繁多的垃圾邮件还侵害整个网络工程的安全。
1.5 计算机系统风险
计算机系统风险也影响着网络工程安全。在计算机网络工程中,管理机构的体制不健全,各岗位分工不明确,对密码及权限的管理不够,这些因素使网络安全日益受到外来的破坏且用户自身安全防卫意识薄弱,无法有效地规避信息系统带来的风险, 导致计算机系统的风险逐步严重,计算机系统不能正常工作,最终威胁到计算机网络的安全。因此,加强网络工程中安全防护技术势在必行。
2 加强网络工程中安全防护技术的策略
2.1 设置防火墙过滤信息
最直接的黑客防治办法是运用防火墙技术,设置防火墙过滤信息是加强网络工程中安全防护技术的关键。网络工程中最有效的防护手段就是在外部网络和局域网之间架设防火墙,网络防火墙作为一个位于计算机和它所连接的网络之间的软件,可以将局域网与外部网的地址分割开,计算机流入流出的所有网络通信均要经过此防火墙,经过防火墙的过滤,能够过滤掉一些攻击,以免其在目标计算机上被执行,增加内部网络的安全性。另外,防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
2.2 加强病毒的防护措施
加强病毒的防护措施也是加强网络工程中安全防护技术的重要组成部分。病毒防护是计算机系统日常维护与安全管理的重要内容,当前计算机病毒在形式上越来越难以辨别,计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。常见的杀毒软件有:360安全卫士,卡巴斯基,金山毒霸等。网络工程在加强病毒的防护措施方面,对计算机网络工程人员而言,相关人员都应该掌握使用杀毒软件、防病毒卡等措施,一般情况下,要定期对计算进行病毒检测与查杀,一旦发现病毒时应询问后再处理,不仅如此,对计算机系统的重要文件还要进行备份,防止由于病毒对系统造成的破坏导致数据的丢失。
2.3 入侵检测技术的植入
入侵检测系统作为一种主动的安全防护技术,对于加强网络工程中安全防护至关重要。对网络工程而言,入侵检测技术对计算机网络资源及信息中隐藏或包含的恶意攻击行为有效的识别,在网络系统受到危害之前拦截和响应入侵。提供了对内部攻击、外部攻击和误操作的实时保护,可以利用网络安全入侵检测采取相应的网络安全防护措施。入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,从而有效的降低了来自网络的威胁和破坏,必将进一步受到人们的高度重视。
2.4 拒绝垃圾邮件的收取
凡是未经用户许可就强行发送到用户的邮箱中的电子邮件,都被成为垃圾邮件。垃圾邮件一般具有批量发送的特征。垃圾邮件现在慢慢发展成为计算机网络安全的又一公害。拒绝垃圾邮件的收取也是加强网络工程中安全防护技术的重要环节,拒绝垃圾邮件的收取,要从保护自己的邮件地址做起,不要随意的使用邮箱地址作为登记信息,避免垃圾邮件的扰乱。还可以使用outlookExPress和Faxmail中的邮件管理,将垃圾文件过滤处理,拒绝垃圾文件的收取。
2.5 加强网络风险的防范
加强网络风险的防范对于加强网络工程安全也不容忽视。在网络工程风险防范的过程中,利用数据加密技术是行之有效的途径。数据加密技术是加密技术是最常用的安全保密手段,也是有效防范网络与信息安全风险最直接,最为有效的方式。数据加密是一种限制对网络上传输数据的访问权的技术,具体说来,它是通过引导用户对网络传输中出现的、比较重要的数据进行设置密码的过程。从网络工程中数据加密的方式上来看,数据加密技术主要包括线路加密、端与端加密等等,各种方法都有各自的有点,线路加密主要是针对需要保密的信息进行的,在加密时使用加密密钥来对信息进行保护。端与端加密主要是针对网络信息的发出方,当网络信息数据到达tcp/ip之后就利用数据包进行回封操作,以此对重要数据进行安全保护。
3 结束语
总之,网络工程中的安全防护是一项综合的系统工程,具有长期性和复杂性。网络工程中安全防护技术,应设置防火墙过滤信息、加强病毒的防护措施、入侵检测技术的植入、拒绝垃圾邮件的收取、加强网络风险的防范,不断探索加强网络工程中安全防护技术的策略,只有这样,才能不断提高网络工程的安全管理水平,进而确保计算机网络的安全。
参考文献:
[1] 李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息,2010(33).
[2] 王薪凯,姚衡,王亨,常晶晶,喻星晨.计算机网络信息安全与防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大热点预测[J].信息安全与通信保密,2011(3).
[4] 赵章界,李晨旸,刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全,2011(3).
[5] 陆文红,蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技(下旬刊),2010(10).
[6] 余斌.论计算机互联网与通信网络建设的安全性[J].科技经济市场,2010(5).
关键词:计算机;网络安全防护;策略
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 10-0090-01
随着科学技术的进步和发展,互联网技术已经渗透到人们生活的方方面面,当它正在以一种强大的力量为人们带来方便的时候,我们的生活也正因为它而受到来自各方面的威胁,这主要表现在黑客的侵袭、病毒的感染、数据的窃取、系统内部秘密泄露等等。虽然针对这样的情况已经出现了诸如服务器、防火墙、通道控制机制以及侵袭探测器等等的方式,但是,无论是在发展中国家还是发达国家,网络安全受到威胁已经成为人们生活里讨论的重点,已经越来越受到人们的关注。
当计算机受到全面的侵害就会在但时间内导致整个工作生活的无序,引发大面积的问题乃至系统瘫痪。由于人们对于计算机网络安全意识的缺乏,对如何保护自己计算机网络安全认识水平的问题,导致了层出不穷的网络安全问题,互联网脆弱而不安全。因此,对计算机网络安全防护这一问题探讨非常具有意义。
一、计算机网络安全概述
(一)计算机网络安全内涵
计算机网络安全技术主要指的是怎样保证在网络环境中数据的完整可靠和保密性。总体而言,计算机网络安全包括物理安全和逻辑安全两个方面的内容。物理安全指的是通过对计算机设备等进行有效的防护而避免的数据丢失和破坏。逻辑安全指的是信息的可用性、保密性和完整性。
造成计算机潜在威胁的因素很多,大致可以归纳为以下几种:人为的因素、偶然的因素和自然的因素。在这些因素中人为因素是对计算机网络安全威胁最大的因素,主要指的是一些心怀其他目的的不法之徒利用自己掌握的计算机技术和计算机本身存在的漏洞盗用计算机资源,采用非法手段篡改数据、获取数据或者编制病毒和破坏硬件设备的情况。
(二)计算机网络安全的特征
计算机网络安全具有五个方面的特征,主要指的是保密性、完整性、可用性、可控性和可审查性。保密性就是不能将信息泄露给没有授权的实体或者用户。完整性就是要保证信息在储存和传输过程中不被其他人修改、篡改、破坏和丢失。可用性就是去存数据资料的时候能够按照需要选择。可控性是对传输的信息资料具有掌控能力。可审查性是对即将出现或者已经出现的安全问题能够提供保障手段。
(三)计算机网络安全存在威胁的原因
首先,因为网络的开放性,网络技术的全开放状态使网络面临着多重可能的供给。第二是网络的国际性,这就是说网络面临的供给不仅来自于本地,还可以来自于其他国家。第三,网络的自由行,大多数的王阔对用户的使用没有技术上的约束和规定,用户能够自由的在网上获取和各种信息。
二、计算机网络安全存在的问题
(一)计算机网络物理安全
计算机网络物理安全是由于硬件设备传输和贮存信息所引发的安全问题,比如说,通信光缆、电缆以及电话响和局域网这些物理设备因为人为的或者自然的因素存在损坏现象所导致的计算机瘫痪。
(二)病毒威胁
病毒威胁是目前对计算机安全威胁最大的隐患,这是人为的对基选集系统和信息造成顺海的一种程序。它是寄存于计算机内,并不是独立的个体。而且其传播速度是非常迅速的。在短时间内的这种快速传播所带来的损害是你无法想象的,这种隐蔽性的传播途径一旦进入到系统内,对计算机将会产生巨大的危害。随着计算机病毒感染率的发生,网络病毒无处不在,根本使其得不到保证。
(三)网络黑客的攻击
那些对计算机有狂热爱好的黑客能够用自己已有的计算机知识通过各种方法查询和修改系统数据。互联网本身具有开放性,这样就能够通过计算机各种漏洞而窃取被人的信息,并最终造成重大的损失。
三、计算机网络安全防护策略
(一)加强网络安全体系建设
系统安全的重要组成部分是网络安全管理,它是确保网络安全的最主要组成部分,这主要表现在要进一步的完善网络框架体系,确立其所使用范围内的网络体系构成。第二,对系统进行功能升级,实现系统运行、维护和应用管理的规范化、制度化和程序化,最终对资源进行系统应用和开发,维护社会公共安全。第三建立健全的系统应用管理机制,完善责任制度,提高维护社会公共安全的水平和能力。
(二)处理好安全防护技术
安全防护技术主要从以下几个方面入手,首先是物理措施防护。这种防护是一种日常对计算机网络的防护,主要是要严格的制定相关的网络安全规章制度,保护网络的关键设备,采取防辐射装置,采用不间断电源措施。第二规范和控制访问。对需要访问网络资源的权利限制进行认证制,比如要通过身份证号码或者口令木马进行进入,并且设置文件权限和访问目录,控制网络配置权限等等。第三,对网络实施隔离防护。网络隔离防护一般都是通过网络安全隔离网扎或者隔离网卡实现的。在日常中对网站的访问,确保网络安全的其他措施还包括对信息的数据镜像、信息过滤、数据备份和数据审计等等方面的内容。
(三)利用各种网络技术,确保局域网络安全
确保局域网络安全最有效的手段是防火墙技术,主要是通过防火墙来保证与互联网相互连接的各个节点之间的安全。防火墙通过各种连接在公网和专网、外网和内网之间的屏障保护有效的避免的非法网络用户入侵,对于访问控制简单有效且实用。
(四)及时对系统扫描,安全系统补丁
计算机网络是一种技术手段,因而必然存在漏洞,作为保证网络安全的网络日常维护就一定要有效的使用安全扫描工具,定期对网络安装补丁,以避免系统安全隐患的发生,特别是黑客入侵的可能。
四、结束语
现在市场上的网络安全防护产品很多,诸如防护墙、入侵检测系统以及杀毒软件,尽管有这么多技术上的防患,但仍然经常受到黑客的入侵,其根本原因就是网络本身又无法根除的安全漏洞,这就无形中我诶各种安全问题留下隐患。因此,一定要提高网络安全的防患意识,从日常着手,做好日常维护工作。
参考文献:
[1]贺贝.计算机网络安全及其防范措施探讨[J].价值工程,2010,2
网络设计与规划之初,要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内,并与非可控区域间隔300米外,在现实条件无法满足的情况下,对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高,避免在楼顶。在单位,重要的政府机关、机要及军政、部队网络要与互联网物理隔离,不同等级的网络之间采用最小耦合。在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调,将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命,减少故障的发生机率。机房的消防一定要采用气体联动消防,切勿使用水或传统的干粉,这些方法虽然可以灭火,但对设备的影响,却是不可逆的,它的影响远大于灭火本身。
2网络层安全防护策略
网络层安全防护应从网络拓扑结构进行分析,防护的方法是:在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据,发现违规操作后告警并阻断,形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统,利用安全审计系统对全网行为、数据库进行实时审计,通过网络分析系统抓取数据包,准确、及时定位故障,还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域,保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。
3系统层安全防护策略
对操作系统和数据库系统配置高强度用户名及密码,启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令,禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置,管理员分级分权限控制,对重要信息(文件、数据库等)进行标记,设定访问控制策略进行访问控制,开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口,利用系统组策略关闭不必要的服务。
4应用层安全防护策略
对重要的应用层系统及软件如WWW、DNS系统进行备份,可制作双机备份系统,一主一备,一旦一个系统出现故障,另一个系统自动启动,实现应用层的无缝实时切换。数据是网络的核心,因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心,可简称为两地三中心。本地有数据中心及备份中心,异地有容灾中心。数据备份采用光纤SAN网络架构,ISCSI协议与TCP/IP协议不同,两网之间不进行网络通信,保证网络的安全。
5管理层安全
安全的最高境界不是产品,也不是服务,而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序,就没有真正的信息安全。对人员的管理和安全制度的制订是否有效,直接影响这一层的安全问题。管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度,普及安全教育,包括:用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。
6结束语
【关键词】网络工程;安全防护;主要技术
网络传播需要具有完整性和严密性,但是也避免不了大量的漏洞。网络设计问题和操作问题都会给网络安全带来影响。我国计算机发展迅速,计算机涉及的领域也不断的增多。面对安全隐患,应采取必要的措施,防火墙技术、括密码技术以及各类杀毒技术都是网络安全方式的重要手段,我们对其进行必要的分析。
一、计算机网络安全问题
1、计算机自身设计问题。计算机信息具有共享性,在计算机发展过程中,人们通过计算机完成了一系列的活动。但是计算机的设计存在一定的漏洞,如当下流行的网络支付功能过程中,一些非正规的网络就会存在安全风险。人们在使用各种购物软件购物的过程中,也需要留个人信息,很难避免丢失和通过连接破坏个人电脑,盗取个人钱财。计算机的自由性、开放性决定了其强大的功能,但是技术的更新始终落后于多样化的需求,在这一过程中,病毒的变化速度极快,导致计算机数据库的更新速度手段影响,安全威胁巨大。2、网络黑客攻击。计算机通常运行在复杂的环境中,黑客攻击是复杂网络环境中的一种。黑客技术对网络的影响巨大,黑客可以通过一些技术手段获得用户信息,了解客户状态,并且盗取用户的钱财。黑客在进行网络攻击时,一般分为两类,一类是具有强大破坏性的,一种是非破坏性的。前者主要是为了获取用户信息,后者主要是为了破坏电脑的正常运行。日常生活中,非破坏性的黑客攻击大量存在,事实上,这类网络攻击带来的很可能是计算机系统瘫痪,甚至是无法修复,因此防止网络黑客攻击十分必要。3、垃圾软件泛滥。我国计算机技术已经十分发达,可以为用户提供娱乐、购物游戏等功能,十分方便。但是计算机在设计过程中,漏洞依然存在。为了避免计算机漏洞,应从使用者入手,加强使用者的安全防范意识,使其正确进行网络操作。认识到网络存在的问题,如计结构不完善,系统运行过程中硬件设施性能不足,程序设计漏洞明显等。多样化的计算机病毒就是这一时期的主要特征,计算机安全隐患依然存在。
二、网络工程安全防护的主要技术
网络安全已经成为现代社会主要问题。我国已经从法律手段进行干预,严厉打击计算机网络攻击。并且从技术上进行优化,提高计算机安全防护技术。具体的优化过程包括以下几个方面.
2.1提高网络安全管理能力
阻止病毒入侵是保证计算机网络安全运行的主要手段,而消除网络影响因素则要通过强化计算机自身管理水平来实现,要求严格按照国家的规定进行操作。并且对于企业用户而言,要建立完善的内部管理制度,将计算机管理的原则细化,规范员工的使用,确保计算机的安全。另外,对网络运行安全而言,包括不同的等级,并且特点不同,人们对于网络安全意识差是造成这一问题的重要原因,因此要注重个人安全防护能力和防护意识的提高。还要对计算机攻击进行定位,采用行政、刑事手段强势干预计算机攻击,严惩不贷。
2.2加强网络防范,关注并去除安全隐患
计算机发展迅速,技术更新快,应用领域广泛。但是计算机病毒也在这一过程中能够快速发展。当下,计算机植入病毒已经给人们的生活带来了极大的麻烦。包括财产和名誉上的措施,此种现象屡禁不止。只能从自我防护能力上入手,进一步优化防火墙技术、计算机杀毒技术,保证其运行环境安全、稳定。及时修复计算机漏洞,不给不法分子入侵机会。设计人员和开发人员还应掌握具体的网络安全防护知识,系统操作规则和数据库运行特征等,加深对计算机数据库的分析,及时发现计算机的潜在风险并进行修补。采用合理的补救措施来降低网络风险,提高网络的安全性能。目前,网络安全隐患的修复方法主要用防火墙、360、瑞星和等。另外,秘钥设置也是当下主要安全防护方式之一。
2.3杜绝垃圾邮件
计算机病毒通常是一些垃圾邮件作为连接,因此对计算机网络的信息鉴别十分重要,要求使用者拒绝接收网络邮件。但是现代社会,垃圾邮件的形式越来越多,使用者必须要积极应对,才能正确区分垃圾软件与信息。同时要保护邮箱地址,不要轻易泄露邮箱密码。总之,只有采取必要的手段,加强防护意识才能确保网络运行的安全。总结:网络的发展是现代技术的产物,网络的强大功能为人们提供了丰富的资源和服务。加强计算机安全防范不仅是保护个人信息和财产的需求,也是我国综合国力的一种象征。因此,要严厉打击网络攻击。加强安全防护能力,并且要求网络操作者具有防范意识,正确使用网络,杜绝垃圾网页和垃圾邮件,确保网络运行安全。总之,网络通信的安全从从管理上和技术上入手,全面的确保网络通信的安全,发挥其在各个领域的强大功能。
参考文献
[1]耿筠.计算机应用中的网络安全防范对策探索[J].电脑迷,2014(1).
【关键字】油田网络 安全防护 防火墙 网络应用
为更快地适应网络发展速度,稳定油田网络发展的现状,在面对新的挑战的同时也会存在壮大自己的机遇,因此做好油田网络的全面发展,需要研发开拓新业务,实现业务转型,在保证油田网络的正常运行的同时,健全安全防护体系,确保实现正常生产管理,防治因管理疏忽或操作失误引发病毒入侵通信网络而造成经济损失。
一、油田网络应用的现状
早在油田网路的初步兴起时,油田网络只注重生产的便捷性,效率高,可实现油田生产各方面的监控,降低了生产成本,但疏忽了整体的开放性,防护意识差,造成整体通信安全可靠性低,如通信协议TCP/IP就存在很大的漏洞,一些服务系统很可能被攻击获得权限,造成网络服务、网络应用程序均存在安全隐患,在黑客看来,一些简单的认证过程或静态密码口令,假冒别的身份可轻而易举的入侵通信通道。其次,许多操作系统缺乏管理及更新,与安全防护管理者缺乏专业管理意识或知识能力有限有关。
二、加强油田网络应用建设
1、操作系统使用正版。盗版系统的特点是系统不稳定性,可能系统本身携带病毒,容易出现瘫痪,其次,盗版系统不可以免费升级,不可预知并处理系统存在的高危漏洞,整个网络不能及时得到保护,此外,造成的运行缓慢,迟钝等现象,对油田视频监控管理非常不利,为企业的安全造成不可预估的损失。因此,杜绝使用盗版体统。
2、加强内网的安全管理,依次为依托制定多种安全管理措施。防火墙技术发展的已经相当先进成熟,但对内部网络的防护几乎没有作用,而信息产业统计信息显示,大约70%的网络攻击来自内网人员,因此,管理好内部网络安全系统是处理好大型复杂网络的最佳途径,善于利用局域网的内网管理系统制定多种油田网络安全管理策略。
3、定期管理重要软件,比如杀毒软件,做好升级更新,性能好的软件才能够起到实时防护作用;一些恶评软件,定期清理流氓软件,能够加快油田网络的运行速度,同时清除了一些占用内存。
三、建立网络安全防护技术
1、应用防火墙技术。防火墙技术是重要的网络安全防护技术。用于加强网络之间的访问权限,如外部网路用户若想采用不合理手段进入内部网络,必须经过防火墙的审核,也因此内部网络资源被安全访问的前提是防火墙技术成熟。防火墙将外部网和内部网隔绝开,处理掉来自外部网的一切有害攻击,守护内部网不被病毒入侵,形成油田网络安全防护的主要环节。此外,防火墙还可以将访问内部网的所有活动进行过滤,审核,剔除不必要的服务或不相干的服务活动,筛选出安全可靠的服务进入内网访问,因此,防火墙也可以详细记录多有访问内网的活动,增加了可疑攻击的分析结果。
2、加强防病毒体系。建立防病毒体系,目的在于控制病毒的传播,病毒的重要发展史是2003年,诸如“冲击波”、“蠕虫王”等病毒飞速发展,瞬时对通信网络的安全产生巨大的威胁。因此我们应当加强系统的病毒侵入管理,做到全方位的防止病毒。首先建立病毒防护体系,制定多层防护措施,每个管理者提高网络安全意识,使用正版的防毒杀毒软件,将网络中脆弱的环节发生病毒攻击的可能杀死在萌芽中。
3、善与应用加密技术。高端的加密技术是保证网络难以被攻破的关键。信息加密技术可以确保网络内部的信息、数据等不被泄露。常用的加密方式有三种,端点加密、链路加密和节点加密,三种加密方式分别实现源端到目的端、网络节点链路和源节点到目的节点的保护。加密技术广为使用的原因在于它可以利用很小的代价实现很大的安全保护作用,其加密方法可达数百种,密钥的算法又分为两种,常规和公钥密码算法,因此做好密钥的管理也是网络系统安全管理的关键。
1概述
计算机通信网络涵盖两方面内容,一是计算机,二是通讯网络。计算机概念容易理解,人们常把计算机称作终端设备;而通信网络执行的功能是数据的传输和交换,执行的结果是实现计算机网络的资源共享;近年我国通信网络产业急剧扩张,在国民经济发展中占有一定地位,其发展动力主要在于人们的需求。
2通信网络安全问题简述
通信网络安全防护重要性不言而喻,它的主要内容一是网络安全的等级保护;二是网络安全的风险评估;三是网络安全的灾难备份;从这个内容上可看出都是采用被动的预防为主的策略。这些策略借助技术、管理、动态手段。 技术,是安全防范的技术,其主要职能就是防止通信网络中无意泄露、蓄意破坏或谋划更改操作系统、软件、硬件和数据等资源的活动,有了切实可靠的技术,对维护计算机通信网络安全性是最大的保障;管理,包含设备管理和人员日常管理两种方式;设备管理就是指设备维护工作,高端技术要依赖于良好设备才能进行,不重视管理会存在安全隐患,使得非法用户窃取服务得以实现;人员日常管理是指日常对计算机通信网络安全性的监视和“站岗”,网络攻击不是缓慢进行,恰恰相反它们具有强烈的“秒杀”攻击性,如果没有预警技术和人员技术反抗,往往造成“重伤”。动态手段指技术升级换代;随着科技进步,黑客攻击的技术手段在升级,如果还停留固定的状态,那么安全防护就等同于虚设。
3通信网络安全问题的研究形式
自从计算机通信网络走向世界开始,人们就开始针对网络安全问题进行思考和研究;在这方面,西方领先于我们,上世纪美国在“计算机保密模型”基础上,制定了“可信计算机系统安全评估准则”。目前信息资源安全协议的功能和地位不可取代,就目前发展来看,在安全协议方面形成了基于状态机、代数工具和模态逻辑三种分析方法,随着对安全防护的认识以及常规网络侵害手段的研究,人们的目光集中于安全密码的等级上;趋势上看安全密码已成为未来发展的导向,有很多国家都基于安全密码展开了学术研讨会和技术论文成果开发,热点在于密钥密码;电子商务的出现,依仗的是计算机通信网络的发展,如今随着它的普及和发展,安全问题的矛盾比其他领域更急迫。我国安全防护的研究起步晚,发展趋势由原来的通信保密逐渐变成高技术数据保护;国家信息产业部也不断从安全体系结构、现代密码结论、安全协议、信息分析和监控等方面提出系统完整和协同的通信网络安全与防护的方案。
4通信网络安全主要问题现状
4.1网络安全机构不健全,安全维护队伍不充实
目前网络安全问题突出;斯诺登曝光美国“棱镜门”事件引起人们对安全意识的重视,几乎每天都有网络安全新问题出现;但我国整体和个体企业、组织、个人的防范能力不足;整体网络安全机构不够健全,没有统一安全策略;个体而言,人员素质低,不能适应现代化科学技术发展的需求;统筹网络安全管理不足,虽然很多运营企业都知道网络安全的重要性,也采取了一些有效的管理技术手段,也投入了资金去运作,但没有形成一个系统化流程,只是查漏补缺似的对安全进行整改,而不能“浑圆一体”,自然安全防护保障性不够。
4.2网络的安全意识不到位,防护措施落实不到位
运营企业的网络和系统存在技术不足,甚至有漏洞;心里、技术警戒线很松,潜意识认为边界很安全,对自身排查措施防护不到位;网络通信防护的主要内容就是防病毒、防攻击、防入侵三个主要方面,由于运营企业防护措施力度不大,DDOS攻击堵塞城域网和IDC的事件间或发生;不同安全域之间和内外网隔离及其访问控制工作维护的不好,致使非授权访问系统时有发生;对安全软件没有及时升级,对漏洞的重要性认识不清,安全日志的忽略和对安全日志审计流于形式,使得还原工作难上加难。
4.3第三方服务管理责任心不强,远程维护管控措施不得力
运营企业的安全保障基本依赖于第三方服务,但缺乏规程规范性和行之有效的制度,运营企业对第三方服务并不能完全掌控和了解,导致隐患的潜伏;有的远程管理平台本身就有漏洞和缺陷,对审批、平台管理、日志审计监控不足,造成运营企业系统的“内忧外患”。
5关于网络安全的防护对策
5.1研究新技术开发,加大安全防范措施
对安全问题研究动向予以支持和鼓励,且重视知识产权的申报和转化成实际技术投入;建立高效团队,提高一线技术人员实际操作的水平;制订详细的安全检查制度,查找薄弱环节,并加以安全测评,通过实际案例宣讲安全问题。
5.2贯彻落实各项制度标准,对比找差距
《互联网网络安全应急预案》、《通信网络安全防护管理办法》是我们国家基于计算机通信网络安全,所制定的、具有借鉴作用,在实际工作中应该对比找差距。
5.3关于主机、操作系统、数据库配置方案
基于Intranet体系结构的网络系统,兼备广域网和局域网的特性,其充分利用了Intranet技术的分布式的计算机网络;我们建议在核心服务器上安装核心防护产品,并部署中央管理控制台在中央安全管理平台上,以对全部的核心防护产品进行统一管理。
5.4监管部门要做主导作用
监管部门在网络安全中起着主导作用,提高工作动能和效率;始终要在技术上站在最高点、在责任问题上敢于承担、高瞻远瞩做新的尝试和做新技术的引进。
1计算机网络安全技术的发展概述
因此,为解决计算机网络安全防护的问题,国内外诸多相关的研究机构展开了大量的探索与分析,在网络身份认证、数据资源加密、网络防火墙及安全管理等方面展开了深入的研究,推动了入侵检测技术的诞生。入侵技术推广早期,检测方法相对来说比较简单,功能并不完善,同时并不具备较强的适用性。并随着开发研究的不断深入与普及,入侵检测方法也处于不断完善的过程中,许多新型的攻击特征已被总结与归纳,入侵反应措施也趋向完善。在计算机网络安全技术中占据核心地位的安全防护技术便为密码技术,研发至今发展已有20余年,部分高强度的网络密钥管理技术与密码算法也在迅速涌现。开发重点同样也由传统的保密性转移至兼顾保密、可控与真实等方面。并配合用户的身份认证形成了数字化的网络签名技术。当前在保障计算机网络信息传递的安全性方面,密码技术有其重要的影响作用,而加密算法则是密码技术中的关键与核心。不同性质的网络密钥同样有其不同的密钥体制。其主要决定因素在于网络协议的安全性。此外,网络漏洞扫描同样也是计算机网络安全技术发展的产物,由于任何计算机均有其不同的安全漏洞,而选取人工测试的方法耗时较长,且效率较低、准确度不高,而网络漏洞扫描技术则能够实现漏洞扫描的全自动操作,同时预控安全危险,保护整个计算机系统网络,是安全防护系统中不可或缺的重要部分。
2防火墙技术与其系统构建措施分析
2.1防火墙技术的功能及其分类防火墙主要是计算机防范措施的总括,它能够隔离内外部网络,采取限制网络互访的方式达到保护内部网路的目的,是十分高效的网络安全防护措施。它能够隔绝计算机安全与风险区域的网络连接,同时能够对适时网络通信量进行监测,有效制止恶意网络资源的入侵与进攻,能够自动过滤非法用户与不安全的网络信息,隔离入侵者与防御设施,限制访问点权限,防止资源滥用。防火墙同样有其不同的类别,按照软件形式可将其划分为硬件防火墙与软件防火墙,而按照技术类型则可将其分为包过滤型防火墙与应用型防火墙。此外,按照结构类型、部署部位、使用性能同样也将其分为不同类型的防火墙。2.2防火墙的构建及其防护措施的制定网络防火墙的构建仅需遵守简单的六个步骤,即规划与制定安全计划与协议、建立网络安全体系、制作网络规则程序、落实网络规则集、调整控制准备、完善审计处理。当前较为成熟的防火墙体系架构为X86架构,将PCI与CPU总线作为通用接口,具备较优的可拓展性与灵活性,是大型企业防火墙开发的主要体系架构之一。而对于中小型企业来说,NP型架构的防火墙则为防护网络侵袭的最优选择。采取与之相匹配的软件开发系统,有其强大的网络编程能力。而对于对网络防护要求十分高的企业、单位或个人,则可采用ASIC架构的防火墙手段,它不仅具备强大的数据处理能力,同时有其独具优势的防火墙性能。网络防火墙安全措施则主要是由检测、防护及响应三个部分构成。在整个防火墙系统中,防御属于一级防护措施,而检测则是确立入侵的主要手段,响应则是做出系统反馈的控制要素。当前实现网络入侵检测与防火墙系统之间的互动一般有两种方案。第一,将网络入侵检测系统嵌入防火墙中。第二,则是通过开发网络接口的方式实现两者之间的互动。同样按照原始固定网络协议来进行信息互通,并实现网络安全事件的传输处理。一般第二种方式应用较为广泛,它具备较强的灵活性,同时不会影响两者的防护性能。在网络安全防护体系中,通过将入侵检测与防火墙技术相结合,能够有效提高检测速度,提高系统的适应能力与灵活性,为网络的有效防护奠定了良好的基础,大大提升了计算机系统的防御能力,保障了系统的安全性。
3结束语
综上所述,在网络技术迅猛发展的背景下,要保障信息数据的安全性,保障网络传输的稳定性,充分发挥其正面作用,必须以构建网络防火墙为重点,并配合数据加密、身份认证等安全措施,提高网络系统的抵御能力,防止恶意入侵,并提升网络系统的安全性,全面保障信息数据存储的稳定性。
作者:刘彪 单位:69230 部队
【关键词】网络安全;信息安全;安全模型
1 引言
随着互联网在社会各个领域的广泛普及应用,恶意攻击、非法访问、蠕虫木马入侵、网络病毒传播等问题导致了网络安全管理的难度持续提升。为了实现对网络系统的安全保护,入侵检测技术、防火墙技术、数据加密技术、用户身份认证机制等已经得到了有效应用。但是,这些网络安全防护策略之间比较独立,难以实现协同工作,给网络安全管理工作带来了很多问题。本文在分析了网络安全管理面临的诸多挑战基础上,结合数据融合技术,提出了一种有效的网络安全管理模型构建方案,可以对网络系统中的全部设备进行统一监控、集中调度和智能管理,从根本上降低了网络安全管理的复杂程度,提高了网络安全管理的稳定性和可靠性。
2 数据融合技术与网络安全管理
网络安全管理主要是对网络中传输的报文数据、软件系统和硬件设备的运行情况进行实时监测和分析,一旦发现网络中存在异常情况及时发出报警,根据风险评估结果作出合理决策。数据融合技术主要是对来自于不同源头的数据信息进行自动监测、关联分析、组合评估等处理操作,因此,将数据融合技术应用于网络安全管理中可以提高整个网络系统运行的安全性和稳定性。
首先,数据融合模型可以作为构建网络安全管理模型的基础保障。网络安全管理是对整个网络系统中的传输数据、应用软件、硬件设备等信息资源进行集中监控和统一管理,及时对相关信息进行分析和研究,根据网络态势做出风险评估和科学决策。由此,数据融合模型的功能可以实现网络安全管理的相关功能。
其次,数据融合模型主要包括三个层次,一是像素级融合层;二是特征级融合层;三是决策级融合层。在网络安全管理模型中同样包括以上三个层次。例如,网络态势的评估主要是对网络系统中运行的设备进行信息采集,经过分析和研究之后得出结论,直接采集到信息的融合属于像素级融合层。网络威胁的评估需要对直接采集到的信息进行特征提取和关联分析,才能获得最终结果,该过程属于特征级融合层。对采集信息的高层次处理过程则属于决策级融合层。
最后,网络安全管理要对海量数据进行采集、分析、研究和处理,数据融合技术本身的算法特征可以帮助网络安全管理获得更精准的结果。
3 基于数据融合的网络安全管理模型构建
随着整个网络系统复杂程度的提高,配置网络硬件设备的数量也会升高,对网络安全管理带来了更多的困难问题。目前,虽然很多网络安全防护策略都可以部署于网络系统中,但是,由于不同产品、不同策略之间存在严重的独立性,难以实现协同运作和工作。因此,部署更多的网络安全防护策略不但难以改善管理效果,还会增加网络管理人员的工作负担。因此,本文结合数据融合技术,提出了基于数据融合的网络安全管理模型构建方案,如图1所示,解决了海量数据冗余融合的问题,利用数据融合本身的算法特征,对网络态势做出正确评估,进而及时采取有效的应对策略。
基于数据融合的网络安全管理模型构建思想是:将部署于网络系统中的安全产品作为传感器,实时监测和采集网络安全日志、网络状态信息、系统内存利用率和CPU利用率等,经过功能模块的分析和处理之后,正确掌握网络安全状况,采取科学的应对策略。
图1 基于数据融合技术的网络安全管理模型示意图
3.1 传感器
传感器的功能是从网络中采集信息。采集信息的方法包括主机日志记录、应用程序日志记录、数据包抓取等,并将以上信息转换成为格式统一的标准数据,进而形成规范的XML格式信息,最后将全部数据信息传送到数据处理中心。
3.2 数据处理中心
数据处理中心由两个功能模块共同构成,一是数据融合功能模块;二是数据关联功能模块。数据融合功能模块主要对采集到的数据信息进行过滤和融合,进而精简大量数据信息。数据关联功能模块主要对采集的信息进行分类关联和处理,方便后续对数据的处理。
3.3 网络安全评估中心
网络安全评估中心由两个功能模块共同构成,一是网络态势评估功能模块;二是网络威胁评估功能模块。网络评估中心负责对网络运行状态作出实时评估,根据网络系统中设备运行情况进行网络态势评估,抓取网络数据包完成分析和处理后,识别网络中存在的异常问题,对网络面临的威胁情况作出评估。
3.4 网络安全决策中心
网络安全决策中心由网络应急响应功能模块和网络安全策略生成功能模块共同构成。网络应急响应功能模块负责在网络出现异常问题时及时进行响应处理;网络安全策略生成功能模块负责检测网络运行情况,根据实际情况产生网络安全防护策略。
3.5 网络管理中心
网络管理中心主要是对日常网络管理工作进行实时监控。
3.6 数据仓库
数据仓库是一个面向对象、集中管理、性能稳定、能够反映历史数据变化的数据集合,负责对网络安全管理的科学决策提供数据支持。
参考文献:
[1]谢盛嘉,黄志成.基于蜜罐技术的校园网络安全模型研究[J].电脑开发与应用,2013(05).
[2]吕雪峰,刘松森,王自亮.面向维护人员的网络安全管控平台建设与应用[J].山东通信技术,2013(01).
[3]张飞,徐雷.基于RADIUS技术的无线网络安全管控系统设计与应用[J].中国报业,2013(22).
关键词:防火墙;网络安全技术;发展研究
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-01
计算机技术的发展带动了信息技术的不断改革,在短短的数十年内,已经渗透到社会经济发展的各个方面,与人类的生产与发展密切相关。但由此产生的各种问题,如木马攻击、黑客攻击等问题使得网络安全收到严重破坏,影响到社会的稳定发展。面对当前的网络安全问题,防火墙随之产生,作为一种有效的隔离技术,对于加强网络安全防护具有重要意义。
一、网络安全及防火墙概述
网络安全主要是指对网络系统的软硬件系统及相关数据进行有效保护,以免信息受到各种因素的影响,以确保网络系统的正常、稳定运行,为用户提供持续的网络服务。通俗的讲,网络安全也就是保证网络信息的安全。网络安全技术,则是指保证网络数据完整、可靠的技术方法,以保证个人隐私及商业信息安全。随着对网络安全的进一步研究,各种技术措施层出不穷,以期提升网络安全可靠性。
防火墙主要是指软硬结合的系统,处于共用网和专用网之间,以此为内部网创造一个屏障,这样能够对内部网用户加强保护,以免非法用户入侵。对于任何一网的计算机来说,所有数据无论进出都会经过一个特定设备,而这个设备就是防火墙。防火墙对于保证网络安全具有重要意义,能够有效减少网络入侵,提升信息保障。
网络安全已经成为人们日常生活和工作的一大困扰,需要采取有效措施加强网络安全防护,以提升信息可靠性,减少诈骗行为的发生。而防火墙技术是应对网络安全的一种重要技术方法,对此,在网络安全防护过程中要合理应用防火墙技术进行有效处理,以不断提升信息安全防护效果,满足安全信息传输需求。
二、防火墙环境下的网络安全技术
(一)数据包传统技术
在计算机网络通信过程中,信息的传送主要是依靠数据包,数据包中包含各种信息,如IP地质、内部协议、消息端口、数据包收发接口等,在网络传输的过程中,这些数据包虽然经过的路径不一样,但最终会达到目的地,在到达目的地后,数据包仍旧是原来的信息模型,在这个传输过程中,信息数据包通过了防火墙,将数据包中的恶意信息过滤掉,从而保证原信息的完整性。
当前,数据包传送技术在网络信息传输中的应用已经趋向成熟,大多数的防火墙软件也是在此基础上设计的,对于满足网络信息安全起到了巨大的推动作用。通过将数据包安全送达信息用户的另一端,能够也就充分发挥了数据包传送技术的作用。
(二)包过滤技术
在进行数据包传送之后,需要对数据包进行过滤处理,以筛掉恶意信息,避免黑客攻击及木马攻击,包过滤技术的发挥主要是通过路由器对数据包进行监视,对于筛选出的可疑数据包可疑拒绝发送。当前,大多数的网络之间联系都需要应用路由器,而防火墙就是一个具有包过滤功能的路由器,不仅配置合理,而且足够安全,对于可疑的数据包,防火墙也会拒绝传送,确保所有的数据包都与包过滤规则相符合,从而提升网络信息安全。
对于防火墙中包过滤技术的应用,首先必须保证传输的数据包必须是外部地址而不是内部地址,对于离开内部网络向外传输的数据包,其地址必须是目的地地址而不能是内部地址。对于通过防火墙的所有数据,都必须保证采用公开地址,而不能采用私有地址。而对于多播地址则能够通过产生阻塞作用而避免恶意攻击。
(三)地址翻译技术
地址翻译技术主要是指将数据通过的一个IP地址转换成另外一个IP地址的过程,在实际运行过程中,通过地址翻译技术,能够实现私有网络向公共网络的访问,通过将多量私有的IP地址转换成少量的公共IP地址,能够充分发挥IP地址的应用作用,避免地址空间的枯竭。
对于网络地址的转换,首先要确定内部和外部接口,并明确应当在哪个外部接口上进行地址翻译处理,一般来说,与用户内部网络连接的端口也就是地址翻译的内部连接端口,而如果是连接到外部网络的端口,也就必须是地址翻译的外部连接端口。当前,地址翻译技术主要包括动态和静态两种地址转换模式,这对于加强网络信息安全管理具有重要意义。
(四)技术
技术主要是依据服务设备来实现的,当前服务设备的改进已经能够像应用程序一样回应相应的输送数据包,同时对于其他的封包起到封锁作用,由此也就能够像防火墙一样发挥过滤作用,从而保证数据包信息的安全性和可靠性。技术的应用,在很大程度上提高了内部系统的稳定性和安全性,一般的攻击技术很难从外在网络村篡改内部的信息系统,同时,如果一个内部系统出现误用的情况,也不会将安全漏洞暴露在防火墙的外面,由此提升了系统安全性。
技术所发挥的作用与防火墙有一定的相似性,在保证内部系统安全、稳定的前提下还能够减少安全漏洞的出现,即使出现安全漏洞也能够将其隔离在防火墙外面,从而保证数据包的安全传送。
三、结束语
当前,网络安全已经成为困扰人们生活和工作的一大难题,随着越来越多人应用网络技术,对于网络安全防护提出了更高的要求。因此,在未来的发展过程中,应当加强防火墙研究,渗透更为科学、有效的网络安全技术,从而加强网络信息过滤处理,保证网络信息的安全性和可靠性,促进我国社会主义经济的进一步发展,并为我国的社会主义现代化建设作出更大的贡献。
参考文献:
[1]李传金.浅谈计算机网络安全的管理及其技术措施[J].黑龙江科技信息,2011(26).
[2]梁泠霞,张先军,鹿凯宁.基于Iptables的网络地址转换研究[J].电子测量技术,2011(03).
[3]陆云起.基于linux系统的网络防火墙设计与实现[J].常州工学院学报,2010(06).
