網(wǎng)絡(luò)安全防護(hù)技術(shù)體系范文

時(shí)間:2024-01-12 17:49:49

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全防護(hù)技術(shù)體系,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全防護(hù)技術(shù)體系

篇1

【關(guān)鍵詞】電子政務(wù);安全;防護(hù);設(shè)計(jì)

隨著信息化的飛速發(fā)展,電子政務(wù)在政府實(shí)際工作中已經(jīng)發(fā)揮了越來越重要的作用。電子政務(wù)安全主要包括兩個(gè)方面,政務(wù)網(wǎng)絡(luò)安全和信息安全,

一、網(wǎng)絡(luò)系統(tǒng)威脅分析

電子政務(wù)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)所面臨的威脅大體可分為兩種:一是對(duì)信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。這些安全威脅的主要表現(xiàn)形式可以概括為:

1.地址欺騙:攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標(biāo)的信任。

2.網(wǎng)絡(luò)竊聽:網(wǎng)絡(luò)的開放性使攻擊者可通過直接或間接竊聽獲取所需信息。

3.口令破解:攻擊者可通過獲取口令文件,然后運(yùn)用口令破解工具獲得口令,也可通過猜測或竊聽等方式獲取口令。

4.惡意掃描:攻擊者可編制或使用現(xiàn)有掃描工具發(fā)現(xiàn)目標(biāo)的漏洞,進(jìn)而發(fā)起攻擊。

5.連接盜用:在合法的通信連接建立后,攻擊者可通過阻塞或摧毀通信的一方來接管已經(jīng)過認(rèn)證建立起來的連接,從而假冒被接管方與對(duì)方通信。

6.數(shù)據(jù)篡改:攻擊者可通過截獲并修改數(shù)據(jù)或重放數(shù)據(jù)等方式破壞數(shù)據(jù)的完整性。

7.數(shù)據(jù)驅(qū)動(dòng)攻擊:攻擊者可通過施放病毒、特洛伊木馬、數(shù)據(jù)炸彈等方式破壞或遙控目標(biāo)。

8.基礎(chǔ)設(shè)施破壞:攻擊者可通過破壞域名服務(wù)器或路由信息等基礎(chǔ)設(shè)施使目標(biāo)陷于孤立。

9.服務(wù)拒絕:攻擊者可直接發(fā)動(dòng)攻擊,也可通過控制其它主機(jī)發(fā)起攻擊使目標(biāo)癱瘓,如發(fā)送大量的數(shù)據(jù)洪流阻塞目標(biāo)。

10.社會(huì)工程:攻擊者可通過各種社交渠道獲得有關(guān)目標(biāo)的結(jié)構(gòu)、使用情況、安全防范措施等有用信息,從而提高攻擊成功率。

11.用戶的管理操作:網(wǎng)絡(luò)中的設(shè)備和用戶的管理難題,如何防止信息被泄露。

二、安全體系建設(shè)目標(biāo)

根據(jù)電子政務(wù)數(shù)據(jù)中心網(wǎng)絡(luò)面臨的安全威脅,從實(shí)際情況出發(fā),電子政務(wù)數(shù)據(jù)中心網(wǎng)絡(luò)安全建設(shè)的目標(biāo)主要在以下幾個(gè)方面:

(一)建立邊界防護(hù)機(jī)制

實(shí)現(xiàn)安全域的劃分,把網(wǎng)絡(luò)中的用戶和設(shè)備劃分不同的安全級(jí)別。對(duì)內(nèi)網(wǎng)和服務(wù)器實(shí)現(xiàn)重點(diǎn)地安全防護(hù)。針對(duì)數(shù)據(jù)中心的服務(wù)器,根據(jù)業(yè)務(wù)系統(tǒng)類型進(jìn)行細(xì)分,將具有相同屬性的服務(wù)器劃分到一個(gè)安全區(qū)域。

(二)建立入侵檢測監(jiān)控機(jī)制

在局域網(wǎng)部署網(wǎng)絡(luò)入侵檢測與智能分析系統(tǒng),對(duì)出入網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控,同時(shí)對(duì)局域網(wǎng)內(nèi)部的重要網(wǎng)段之間的交換流量進(jìn)行實(shí)時(shí)監(jiān)控。通過入侵檢測系統(tǒng)與防火墻進(jìn)行聯(lián)動(dòng),構(gòu)建局域網(wǎng)以入侵檢測系統(tǒng)為核心的動(dòng)態(tài)防御體系。

(三)建立安全審計(jì)系統(tǒng)

在網(wǎng)絡(luò)中部署安全審計(jì)系統(tǒng),實(shí)針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì),并通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào),以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源,加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)營。

(四)建立內(nèi)部網(wǎng)絡(luò)管理監(jiān)控機(jī)制

在內(nèi)網(wǎng)部署內(nèi)部網(wǎng)絡(luò)管理系統(tǒng),進(jìn)行網(wǎng)絡(luò)資源、設(shè)備資源、客戶端資源和應(yīng)用資源方面的管理控制,如網(wǎng)絡(luò)隔離度檢測、入網(wǎng)設(shè)備監(jiān)控、系統(tǒng)軟件檢測和違規(guī)事件發(fā)現(xiàn)、安全事件源定位分析等、通過其它方式訪問網(wǎng)絡(luò)。加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)的管理和控制。

(五)建立全網(wǎng)安全監(jiān)控管理平臺(tái)

融合多種信息安全產(chǎn)品和技術(shù)管理,充分實(shí)現(xiàn)組織、管理、技術(shù)三個(gè)體系的合理調(diào)配,能夠最大化的保障網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的安全性。

三、設(shè)計(jì)方案

(一)安全系統(tǒng)整體設(shè)計(jì)思路

方案將從技術(shù)與管理兩部分對(duì)電子政務(wù)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)提供安全保護(hù),其中在技術(shù)部分主要采用防火墻、入侵檢測、入侵防御、漏洞掃描、網(wǎng)絡(luò)安全審計(jì)及終端管控技術(shù),這六種技術(shù)共同配合,為電子政務(wù)數(shù)據(jù)中心信息網(wǎng)絡(luò)系統(tǒng)提供一個(gè)動(dòng)態(tài)網(wǎng)絡(luò)防御管理體系。

網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu)圖:

(二)邊界安全防護(hù)

1.安全域劃分

安全域劃分是實(shí)現(xiàn)網(wǎng)絡(luò)層安全的必須步驟,安全區(qū)域的劃分可以將不同的安全等級(jí)的保護(hù)對(duì)象加以分離,同時(shí)可以防止安全問題的擴(kuò)散,“安全區(qū)隔”理論也是基于此。建議將電子政務(wù)數(shù)據(jù)中心整體網(wǎng)絡(luò)劃分為以下區(qū)域:

(1)下聯(lián)單位接入域:連接各二級(jí)單位;

(2)核心域:核心網(wǎng)絡(luò)設(shè)備區(qū)域;

(3)外聯(lián)接入域:上聯(lián)電子政務(wù)網(wǎng)的外聯(lián)區(qū)域。

(4)本地接入域:數(shù)據(jù)中心本地用戶接入?yún)^(qū)域;

(5)核心數(shù)據(jù)域:核心業(yè)務(wù)數(shù)據(jù)庫服務(wù)器;

(6)應(yīng)用系統(tǒng)域:應(yīng)用系統(tǒng)服務(wù)器;

(7)安全管理域:網(wǎng)管、安管、殺毒等服務(wù)器;

(8)日常應(yīng)用域:網(wǎng)站、郵件等服務(wù)器。

2.安全邊界防護(hù)

在劃分了安全區(qū)并明確了安全區(qū)的邊界之后,接下來就需要對(duì)安全區(qū)的邊界進(jìn)行安全防護(hù),在這里推薦使用安全網(wǎng)關(guān)作為區(qū)域邊界的訪問控制產(chǎn)品進(jìn)行安全防護(hù)。

防火墻的目的是在內(nèi)部、外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。在網(wǎng)絡(luò)中,應(yīng)用系統(tǒng)總部網(wǎng)絡(luò)與成員單位用戶網(wǎng)絡(luò)之間是不同的安全等級(jí),所以通過防火墻實(shí)現(xiàn)兩個(gè)安全等級(jí)網(wǎng)絡(luò)之間的訪問控制是必須的選擇,而安全網(wǎng)關(guān)帶有防火墻功能,在滿足訪問控制的基本需求外,對(duì)數(shù)據(jù)流進(jìn)行應(yīng)用層過濾,確保各區(qū)域之間不受病毒、木馬的感染,降低區(qū)域間的影響。

(三)網(wǎng)絡(luò)入侵檢測系統(tǒng)

把網(wǎng)絡(luò)入侵檢測引擎部署在網(wǎng)絡(luò)的關(guān)鍵網(wǎng)段上,就能夠監(jiān)測關(guān)鍵系統(tǒng)和應(yīng)用的異常行為。在方案中,將在核心域旁路部署千兆入侵檢測系統(tǒng)一套,對(duì)網(wǎng)絡(luò)中服務(wù)器和內(nèi)部用戶進(jìn)行入侵檢測,及時(shí)報(bào)警,并做事后追查。建議將與骨干相連的交換機(jī)端口、重要服務(wù)器所連的交換機(jī)端口、重要網(wǎng)段的交換機(jī)所連的端口設(shè)為被鏡像端口,這樣可以實(shí)時(shí)監(jiān)聽流經(jīng)防火墻、重要服務(wù)器、重要網(wǎng)段的數(shù)據(jù)流量。管理控制臺(tái)接到交換機(jī)的普通端口即可,必須要保證管理控制臺(tái)與探測引擎的管理端口正常的通信。

策略設(shè)置可以說是在使用網(wǎng)絡(luò)入侵檢測系統(tǒng)過程中最關(guān)鍵的一步,我們應(yīng)該根據(jù)自己網(wǎng)絡(luò)的情況來詳細(xì)制定對(duì)網(wǎng)絡(luò)事件的響應(yīng)策略。為了方便使用,入侵檢測系統(tǒng)本身提供細(xì)致的檢測策略,分別為熱點(diǎn)策略集、Web事件集、Mail事件集、攻擊分析集、協(xié)議分析集、Windows事件集、Unix事件集、陳舊事件集、新增事件集等不同分類方式的系統(tǒng)策略集,用戶可以針對(duì)不同環(huán)境、不同應(yīng)用以及不同關(guān)注目標(biāo)直接選取合適的檢測策略。

(四)安全審計(jì)系統(tǒng)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào),以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源,加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)行。

(五)漏洞掃描系統(tǒng)

在漏洞被利用以及信息系統(tǒng)遭受危害之前,正確的識(shí)別并修復(fù)漏洞和錯(cuò)誤的配置,預(yù)防安全事件的發(fā)生??梢酝ㄟ^部署單個(gè)掃描單元實(shí)現(xiàn)對(duì)全網(wǎng)各個(gè)區(qū)域的自主掃描。這種獨(dú)立掃描的情況同時(shí)適合監(jiān)察評(píng)測機(jī)構(gòu),他們可以將漏洞掃描軟件安裝在筆記本電腦上,即可實(shí)現(xiàn)對(duì)獨(dú)立網(wǎng)絡(luò)單元的移動(dòng)式檢查測評(píng)。

(六)內(nèi)網(wǎng)管理系統(tǒng)

采用CSC體系架構(gòu)(CSC=Clients+Server+ Checkpoint,其中Checkpoint的中文名稱是準(zhǔn)入控制檢查點(diǎn),是準(zhǔn)入控制的生效點(diǎn)和執(zhí)行點(diǎn),在實(shí)際部署中包括使應(yīng)用準(zhǔn)入和網(wǎng)絡(luò)準(zhǔn)入生效的服務(wù)器或網(wǎng)絡(luò)設(shè)備),CSC體系架構(gòu)具備完整的控制檢查點(diǎn),使具備有效的執(zhí)行力和卓越的安全性、可靠性、可擴(kuò)展性與健壯性,確保內(nèi)網(wǎng)合規(guī)、管理無盲點(diǎn)。

(七)安全運(yùn)維管理平臺(tái)

由數(shù)據(jù)庫服務(wù)器,管理服務(wù)器,事件采集服務(wù)器組成;應(yīng)用軟件部署在相應(yīng)的上述硬件平臺(tái)上,事件采集根據(jù)被管理的數(shù)據(jù)源的類型及拓?fù)鋵?shí)際情況,在工程實(shí)施中具體部署。

各類事件采集可采用分布式部署:中心網(wǎng)絡(luò)部署事件集中采集服務(wù)器,各個(gè)被管網(wǎng)絡(luò)分布部署事件采集服務(wù)器,負(fù)責(zé)各自網(wǎng)絡(luò)內(nèi)的事件集中采集。維護(hù)人員通過通用運(yùn)維終端采用基于Http/Https協(xié)議進(jìn)行遠(yuǎn)程管理和日常維護(hù);其他授權(quán)用戶亦可采用基于Http/Https協(xié)議從安全管理角度針對(duì)所管理的網(wǎng)絡(luò)范圍進(jìn)行綜合風(fēng)險(xiǎn)分析監(jiān)控。

在計(jì)算機(jī)信息化的不斷發(fā)展,針對(duì)網(wǎng)絡(luò)的新的攻擊行為也不斷涌出,針對(duì)電子政務(wù)網(wǎng)絡(luò)的威脅也在日趨緊張,不論是網(wǎng)絡(luò)中的設(shè)備還是網(wǎng)絡(luò)中的信息,一旦出現(xiàn)安全威脅,能夠快速反應(yīng),迅速隔離,并給以阻止,才能大提高網(wǎng)絡(luò)的安全性能。本文也只是在電子政務(wù)數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)的設(shè)計(jì)上做了些研究,還存在一些不足,需在今后的研究中進(jìn)一步完善。

參考文獻(xiàn)

[1]劉劍.網(wǎng)絡(luò)安全技術(shù)[M].西安電子科技大學(xué)出版社, 2011.

[2]邵波,王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京電子工業(yè)出版社,2005,11:17-18.

[3]景煒.電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全的研究與應(yīng)用[D].電子科技大學(xué),2006.

篇2

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分,對(duì)保證工業(yè)安全、穩(wěn)定、可持續(xù)競爭發(fā)展具有重要意義?;诖?,文章從工業(yè)控制系統(tǒng)相關(guān)概述出發(fā),對(duì)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題,以及當(dāng)今工業(yè)控制系網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化進(jìn)行了分析與闡述,以供參考。

關(guān)鍵詞:

工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;防護(hù)體系

0引言

工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分,在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動(dòng)化、智能化的創(chuàng)新與發(fā)展,工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢,并在我國工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中,如能源開發(fā)、水文建設(shè)、機(jī)械制作生產(chǎn)、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用。因此,在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下,對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義,已成為當(dāng)今社會(huì)關(guān)注的重點(diǎn)內(nèi)容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)(IndustrialControlSystem,ICS)是由一定的計(jì)算機(jī)設(shè)備與各種自動(dòng)化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下,大致可分為五個(gè)部分,分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分(PLC/RTU)”、“分布式控制系統(tǒng)部分(DCS)”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分(SCADA)”以及“企業(yè)整體信息控制系統(tǒng)(EIS)”[2]。近年來,在互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、電子通信技術(shù)以及控制技術(shù),不斷創(chuàng)新與廣泛應(yīng)用的推動(dòng)下,工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展,工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計(jì)算機(jī)集約控制系統(tǒng)(CCS)”轉(zhuǎn)換為“分散式控制系統(tǒng)(DCS)”,并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)(FCS)”的創(chuàng)新與改革發(fā)展。目前,隨著我國工業(yè)領(lǐng)域的高速發(fā)展,工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中,其安全性、穩(wěn)定性、優(yōu)化性運(yùn)行對(duì)我國經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問題

由于工業(yè)控制系統(tǒng)是一項(xiàng)綜合性、技術(shù)復(fù)雜性的控制體系,且應(yīng)用領(lǐng)域相對(duì)較廣。因此,在設(shè)計(jì)與應(yīng)用過程中對(duì)工作人員具有較高的要求,從而導(dǎo)致系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡(luò)風(fēng)險(xiǎn)滲透問題

目前,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用,已成為時(shí)展的必然趨勢,在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時(shí),對(duì)于數(shù)據(jù)信息的采集、分析與管理,需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過程中,工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中,而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題,這在一定程度上將會(huì)導(dǎo)致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響,從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。例如,“百度百科”網(wǎng)站,通過利用SHODAN引擎進(jìn)行OpenDirectory搜索時(shí),將會(huì)獲得八千多個(gè)處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息,一旦出現(xiàn)黑客或人為惡意攻擊,將為網(wǎng)站管理系統(tǒng)帶來嚴(yán)重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問題

由于工業(yè)控制系統(tǒng)中,其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的,因此,在既定環(huán)境下,工業(yè)過程控制標(biāo)準(zhǔn)OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強(qiáng)的開放性[4]。當(dāng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行操作時(shí),基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失,加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風(fēng)險(xiǎn)因素的攻擊與干擾,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.4工業(yè)控制系統(tǒng)脆弱性問題

目前,我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題,致使工業(yè)控制系統(tǒng)具有“脆弱性”特征,例如,網(wǎng)絡(luò)配置問題、網(wǎng)絡(luò)設(shè)備硬件問題、網(wǎng)絡(luò)通信問題、無線連接問題、網(wǎng)絡(luò)邊界問題、網(wǎng)絡(luò)監(jiān)管問題等等[5]。這些問題,在一定程度上為網(wǎng)絡(luò)信息風(fēng)險(xiǎn)因素的發(fā)生提供了可行性,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。

3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用,同時(shí)也需要相關(guān)部門(如,設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等)基于自身實(shí)際情況與優(yōu)勢加以輔助,從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化、全方位的構(gòu)建。

3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力

首先,構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略:安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)與執(zhí)行的重要前提條件,對(duì)保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對(duì)此,相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問題,在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢的基礎(chǔ)上,有針對(duì)性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略,用以保證工業(yè)控制系統(tǒng)安全設(shè)計(jì)、操作、管理、養(yǎng)護(hù)維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如,基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理,結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求,對(duì)工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級(jí)”,用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項(xiàng)漏洞危機(jī)[6]。在此過程中,設(shè)計(jì)人員以及相關(guān)工作者應(yīng)通過“試驗(yàn)測驗(yàn)”的方式,為工業(yè)控制系統(tǒng)營造仿真應(yīng)用環(huán)境,并在此試驗(yàn)環(huán)境中對(duì)系統(tǒng)進(jìn)行反復(fù)測驗(yàn)、審核、評(píng)價(jià),并對(duì)系統(tǒng)核心配置、代碼進(jìn)行備份處理,在保證補(bǔ)丁的全面化升級(jí)的同時(shí),降低升級(jí)過程中存在的潛在風(fēng)險(xiǎn)。其次,注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建:網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行,對(duì)降低工業(yè)控制系統(tǒng)外界風(fēng)險(xiǎn)具有重要意義。對(duì)此,相關(guān)設(shè)計(jì)與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上,制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案,并給予有效應(yīng)用。通常情況下,工業(yè)控制系統(tǒng)設(shè)計(jì)人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求,對(duì)系統(tǒng)所需設(shè)備進(jìn)行整理,并依據(jù)整理內(nèi)容進(jìn)行具體測評(píng)與調(diào)試,用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮,避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生;根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對(duì)隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃(包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等),并針對(duì)不同區(qū)域情況與待保護(hù)程度要求,采用相應(yīng)的舉措進(jìn)行改善,實(shí)現(xiàn)不同風(fēng)險(xiǎn)的不同控制[7]。與此同時(shí),構(gòu)建合理、有效的物理層防護(hù)體系:實(shí)踐證明,物理層防護(hù)體系的構(gòu)建(物理保護(hù)),對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用,是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項(xiàng)目,也是核心項(xiàng)目,對(duì)工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化,具有決定性作用。因此,在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計(jì)時(shí),設(shè)計(jì)人員以及相關(guān)企業(yè)應(yīng)注重對(duì)工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如,通過配置企業(yè)門禁體系,用以避免外來人員對(duì)工業(yè)現(xiàn)場的侵害;依據(jù)企業(yè)特色,配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備,如備用發(fā)電機(jī)、備用操作工具、備用電線、備用油庫等,用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計(jì)或生產(chǎn)出現(xiàn)問題;通過配置一定的監(jiān)測管理方案或設(shè)施,對(duì)系統(tǒng)進(jìn)行一體化監(jiān)管,用以及時(shí)發(fā)現(xiàn)問題(包括自然風(fēng)險(xiǎn)因素、設(shè)備生產(chǎn)安全風(fēng)險(xiǎn)因素等)并解決問題,保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性。此外,加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治:設(shè)計(jì)工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題,可通過換位思考的形式,對(duì)已經(jīng)設(shè)計(jì)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測評(píng),并從對(duì)方的角度進(jìn)行思考,制定防護(hù)對(duì)策,用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。

3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè),作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者,應(yīng)提升自身對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的重視程度,從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時(shí),系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計(jì)技術(shù)與經(jīng)驗(yàn)的基礎(chǔ)上,強(qiáng)化自身綜合能力與開發(fā)水平,保證工業(yè)控制系統(tǒng)緊跟時(shí)展需求,推動(dòng)工業(yè)控制系統(tǒng)不斷創(chuàng)新,從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險(xiǎn)。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知,工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用,并占據(jù)著重要的地位,其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對(duì)我國市場經(jīng)濟(jì)發(fā)展與社會(huì)的穩(wěn)定具有直接影響作用。由此可見,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題,政府以及社會(huì)等外部體系的構(gòu)建同樣具有重要意義。對(duì)此,政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會(huì)責(zé)任的執(zhí)行,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督,促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建。例如,通過制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施,用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生;通過制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則,嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性,加大自身維權(quán)效益。

4結(jié)論

綜上所述,本文針對(duì)“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上,分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題,并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的基礎(chǔ)上,提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化對(duì)策,以期對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解,從而促進(jìn)我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。

參考文獻(xiàn):

[1]王棟,陳傳鵬,顏佳,郭靚,來風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016(2):6-11.

[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.

[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場,2013(6):314.

[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對(duì)策研究[J].保密科學(xué)技術(shù),2013(4):16-21.

篇3

【關(guān)鍵詞】電力系統(tǒng) 信息網(wǎng)絡(luò)安全問題 防護(hù)措施

1 引言

有效地保障電力企業(yè)的安全和保障電力信息網(wǎng)絡(luò)安全,對(duì)于推動(dòng)我國國民經(jīng)濟(jì)穩(wěn)定發(fā)展具有非常重要的作用。隨著社會(huì)信息化技術(shù)的迅速發(fā)展,信息化系統(tǒng)已經(jīng)在電力企業(yè)中受到廣泛應(yīng)用,實(shí)現(xiàn)了信息化網(wǎng)絡(luò)管理。但由于信息網(wǎng)絡(luò)中存在的問題,導(dǎo)致電力信息網(wǎng)絡(luò)安全時(shí)有發(fā)生,有必要對(duì)此進(jìn)行分析,并且采取安全保護(hù)措施,確保電力信息網(wǎng)絡(luò)安全和電力企業(yè)的穩(wěn)定發(fā)展。

2 電力系統(tǒng)信息網(wǎng)絡(luò)存在的安全問題

2.1 網(wǎng)絡(luò)病毒

電力系統(tǒng)信息網(wǎng)絡(luò)安全中,最常見的安全隱患就是網(wǎng)絡(luò)病毒。隱蔽性、可復(fù)制性、傳播速度快等都是網(wǎng)絡(luò)病毒的特點(diǎn)。網(wǎng)絡(luò)病毒對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)破壞非常嚴(yán)重。假如感染上了網(wǎng)絡(luò)病毒,輕則是對(duì)電力信息系統(tǒng)的正常運(yùn)行受到阻礙,使數(shù)據(jù)丟失、信息不能及時(shí)共享;嚴(yán)重則會(huì)導(dǎo)致電力信息系統(tǒng)癱瘓,整個(gè)電力系統(tǒng)的功能將會(huì)因此受到影響而不能正常發(fā)揮作用。除此之外,電力設(shè)備還可能因此遭到網(wǎng)絡(luò)病毒的破壞,造成不可估量的損失。

2.2 黑客攻擊

在電力系統(tǒng)信息網(wǎng)絡(luò)運(yùn)行的過程之中,網(wǎng)絡(luò)安全問題也會(huì)因?yàn)槭艿胶诳偷墓舳霈F(xiàn),導(dǎo)致電力系統(tǒng)信息網(wǎng)絡(luò)安全出現(xiàn)故障,甚至?xí)斐纱蠓秶碾娏收习l(fā)生,具有非常大的危害力,這也是電力系統(tǒng)信息網(wǎng)絡(luò)存在的主要隱患。電力企業(yè)涉及到很多電力信息量,假如被黑客攻擊獲取機(jī)密信息,則會(huì)對(duì)電力系統(tǒng)的正常運(yùn)行和經(jīng)濟(jì)效益造成極大的損失。黑客對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)的攻擊方式比較多,比如利用數(shù)字控制系統(tǒng)(DCS)對(duì)電力企業(yè)的基層系統(tǒng)進(jìn)行控制,造成基層系統(tǒng)癱瘓。此外,黑客也可以利用某個(gè)系統(tǒng)對(duì)其他系統(tǒng)進(jìn)行控制和破壞,對(duì)電力系統(tǒng)造成非常惡劣的影響。

2.3 脆弱的身份認(rèn)證

電力行業(yè)中計(jì)算機(jī)應(yīng)用系統(tǒng)大部分是基于商用軟硬件系統(tǒng)設(shè)計(jì)和開發(fā),而基本上都是使用口令為用戶身份認(rèn)證的鑒別模式,而這種模式最容易被黑客攻破。部分應(yīng)用系統(tǒng)還使用自己的用戶鑒別方式,用數(shù)據(jù)庫或者文件將口令、用戶名和一些安全控制信息用明文的方式記錄。當(dāng)今,這種脆弱的安全控制措施已經(jīng)不再適用。

2.4 內(nèi)部惡意操作

電力信息系統(tǒng)安全漏洞還存在內(nèi)部人員惡意操作導(dǎo)致。惡意操作就是指蓄意破壞。信息系統(tǒng)在運(yùn)行過程之中需要人進(jìn)行監(jiān)督和控制,加入人的因素存在主管惡意,則會(huì)使網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)問題。電力系統(tǒng)安全管理的制度上規(guī)范可能比較健全,但是只能防范人的控制,一旦出現(xiàn)人為因素,大災(zāi)難將會(huì)降臨到電力信息系統(tǒng)上。

2.5 信息網(wǎng)絡(luò)安全意識(shí)淡薄

在電力信心網(wǎng)絡(luò)的建設(shè)以及運(yùn)營過程之中,安全防護(hù)和安全監(jiān)督工作都需要信息網(wǎng)絡(luò)安全意識(shí)高的專業(yè)人員從事。隨著信息化程度的不斷提高和信息防護(hù)技術(shù)的不斷更新,電力信息網(wǎng)絡(luò)的安全等級(jí)也逐漸提高。但是,不能否認(rèn)的是,實(shí)際的安全防護(hù)技術(shù)和電力企業(yè)信息網(wǎng)絡(luò)安全防護(hù)需求仍然存在很大差異。一方面是由于電力企業(yè)本身信息化技術(shù)比較低導(dǎo)致出現(xiàn)安全問題;另一方面則是超高的安全防護(hù)技術(shù)帶來高昂的成本,電力企業(yè)的效益降低,導(dǎo)致電力企業(yè)的實(shí)施與應(yīng)用受到影響。更加重要的是目前的電力信息網(wǎng)絡(luò)安全整體維護(hù)工作水平不高,同時(shí)網(wǎng)路安全人員的安全防護(hù)意識(shí)缺乏,出現(xiàn)違規(guī)操作、不按照規(guī)范進(jìn)行操作等現(xiàn)象發(fā)生而出現(xiàn)問題。

2.6 信息網(wǎng)絡(luò)安全制度缺失

隨著電力信息化程度的不斷深入,要加強(qiáng)信息網(wǎng)絡(luò)安全制度的規(guī)范,不斷創(chuàng)設(shè)完整的信息網(wǎng)絡(luò)安全防護(hù)制度顯得非常重要,這樣才能夠確實(shí)提高電力企業(yè)信息網(wǎng)絡(luò)安全,保障企業(yè)經(jīng)濟(jì)效益。當(dāng)時(shí)目前而言,在電力信息網(wǎng)絡(luò)運(yùn)行的過程之中仍然缺乏統(tǒng)一的規(guī)范安全防護(hù)制度和監(jiān)督制度,很大程度上對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)安全造成危害,影響電力信息化水平提高。同時(shí),在電力系統(tǒng)信息網(wǎng)絡(luò)運(yùn)行,由于缺乏科學(xué)的安全管理制度,很容易在運(yùn)行過程之中出現(xiàn)大漏洞和缺陷。

3 電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)的具體措施

3.1 提高對(duì)安全性的認(rèn)識(shí)

第一,電力企業(yè)要加強(qiáng)對(duì)電力系統(tǒng)信息網(wǎng)絡(luò)安全的認(rèn)識(shí),要將網(wǎng)絡(luò)信息安全防護(hù)體系完善建立,采用分層、分區(qū)的管理方法,其中將區(qū)城管理分為生產(chǎn)管理區(qū)、非控制生產(chǎn)區(qū)、實(shí)時(shí)控制區(qū)和管理信息區(qū),并且隔離區(qū)城之間的網(wǎng)絡(luò)物理隔離設(shè)備。第二,加強(qiáng)人員素質(zhì)管理,通過網(wǎng)絡(luò)安全培訓(xùn)和技能訓(xùn)練,將網(wǎng)絡(luò)管理工作人員的素質(zhì)和能力提高。最后,對(duì)信息網(wǎng)絡(luò)體系的密碼、技術(shù)、數(shù)據(jù)管理要加強(qiáng),切實(shí)將電力系統(tǒng)信息網(wǎng)絡(luò)安全系數(shù)提高。

3.2 做好信息網(wǎng)絡(luò)系統(tǒng)的維護(hù)與支持工作

在現(xiàn)實(shí)電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)中可以采取以下幾種安全技術(shù):第一,防火墻技術(shù)。網(wǎng)絡(luò)與網(wǎng)絡(luò)安全領(lǐng)域的連接入口是防火墻,因此防火墻可以對(duì)危害信息進(jìn)行有效的抵御和及時(shí)查詢出危險(xiǎn)信息,保證電力系統(tǒng)信息網(wǎng)絡(luò)的安全。因此,在日常工作中要對(duì)防火墻的訪問設(shè)置相應(yīng)的權(quán)限,對(duì)非授權(quán)連接進(jìn)行強(qiáng)力防護(hù)。第二,漏洞缺陷檢查技術(shù)。漏洞缺陷檢查技術(shù)就是對(duì)電力系統(tǒng)的信息網(wǎng)絡(luò)設(shè)備進(jìn)行檢測,根據(jù)檢查情況對(duì)設(shè)備檢測風(fēng)險(xiǎn)進(jìn)行評(píng)估。假如存在安全問題,則要及時(shí)采取防護(hù)措施進(jìn)行修復(fù),這樣才能夠有效避免安全問題發(fā)生。第三,數(shù)據(jù)加密技術(shù)。所謂的加密技術(shù),就是對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)的訪問權(quán)進(jìn)行限制,也可以對(duì)原始數(shù)據(jù)進(jìn)行加密變成密文的技術(shù)。數(shù)據(jù)加密技術(shù)主要是防止惡意客戶對(duì)機(jī)密數(shù)據(jù)文件進(jìn)行查看、破壞和泄露,有效保證電力系統(tǒng)鑫鑫網(wǎng)絡(luò)安全,確保能夠正常穩(wěn)定地運(yùn)行。

3.3 構(gòu)建科學(xué)完善的安全防護(hù)體系

在信息化網(wǎng)絡(luò)的運(yùn)營過程之中,科學(xué)地完善防護(hù)體系是提升和優(yōu)化網(wǎng)絡(luò)安全的重要措施和根本保障。完善的防護(hù)體系能夠在具體的管理中對(duì)信息化網(wǎng)絡(luò)出現(xiàn)的問題及時(shí)檢查,有條不紊地針對(duì)加強(qiáng)安全防護(hù),將電力系統(tǒng)信息化網(wǎng)絡(luò)安全級(jí)別提升。技術(shù)人應(yīng)該充分結(jié)合電力企業(yè)的實(shí)際特點(diǎn)和計(jì)算機(jī)網(wǎng)絡(luò)安全有關(guān)問題規(guī)建信息網(wǎng)絡(luò)的安全防護(hù)體系,切忌技術(shù)盲目建設(shè),要科學(xué)準(zhǔn)確地建設(shè)信息化安全防護(hù)體系。與此同時(shí),在建設(shè)防護(hù)體系過程之中,考慮到電力信息網(wǎng)絡(luò)的功能和板塊非常多,因此需要技術(shù)人員從整體把握安全防護(hù)體系,要遵循全面科學(xué)原則建設(shè)信息網(wǎng)絡(luò)安全防護(hù)體系,使電力系統(tǒng)信息網(wǎng)絡(luò)的各個(gè)功能的安全等級(jí)不斷提升,能夠有效地提升電力系統(tǒng)信息網(wǎng)絡(luò)的安全效益和質(zhì)量。

3.4 建立完善的電力系統(tǒng)信息網(wǎng)絡(luò)監(jiān)控中心

為了能夠提高電力系統(tǒng)信息安全,一定要建立一個(gè)綜合。統(tǒng)一的信息安全監(jiān)控中心。為了能夠?qū)⒏黜?xiàng)信息有機(jī)整合,監(jiān)控中心可以在各信息網(wǎng)管中心建立,這樣即使出現(xiàn)任何影響信息安全問題的情況都能夠及時(shí)解決。通過監(jiān)控系統(tǒng)所提供的信息可以對(duì)可能出現(xiàn)的異?;蚬收霞皶r(shí)進(jìn)行預(yù)防,防患于未然,保障系統(tǒng)不會(huì)發(fā)生異?;蚬收稀?/p>

3.5 加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理和維護(hù)

在電力企業(yè)信息網(wǎng)絡(luò)安全管理中,網(wǎng)絡(luò)設(shè)備起著至關(guān)重要的作用。由于網(wǎng)絡(luò)設(shè)備一直處于消耗狀態(tài)和存在一定的周期和壽命,因此電力企業(yè)的安全管理人員要對(duì)這些設(shè)備進(jìn)行定期檢查和維護(hù),對(duì)電力設(shè)備及時(shí)進(jìn)行更新更換,從源頭上強(qiáng)化信息安全。對(duì)于電力企業(yè)而言,要及時(shí)更新網(wǎng)絡(luò)技術(shù)、更新系統(tǒng)和技術(shù),要做數(shù)據(jù)備份;對(duì)于終端密碼及時(shí)更換,設(shè)置難以破解的密碼,以免被竊取。

4 結(jié)語

為了電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電就必須保證電力信息安全,一旦電力系統(tǒng)信息網(wǎng)絡(luò)安全遭到破壞將會(huì)給電力系統(tǒng)的生產(chǎn)敬意和管理造成巨大損失;因此要通過加強(qiáng)網(wǎng)絡(luò)安全管理和充分利用先進(jìn)的網(wǎng)絡(luò)技術(shù),構(gòu)建電力系統(tǒng)信息安全防范體系,確保電力系統(tǒng)信息網(wǎng)絡(luò)能夠高效穩(wěn)定運(yùn)行。

參考文獻(xiàn):

篇4

    一、操作系統(tǒng)的安全防護(hù)

    作為用戶使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的中間界面,操作系統(tǒng)發(fā)揮著重要作用,因此,操作系統(tǒng)本身的安全,就成了安全防護(hù)當(dāng)中的一個(gè)重要課題。操作系統(tǒng)的安全,通常包含兩層意思,一個(gè)方面是操作系統(tǒng)在設(shè)計(jì)時(shí)通過權(quán)限訪問控制、信息加密性保護(hù)、完整性鑒定等一些機(jī)制實(shí)現(xiàn)的安全;另一個(gè)方面,則是操作系統(tǒng)在使用中,通過一系列的配置,保證操作系統(tǒng)盡量避免由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全因素。只有通過這兩方面的同時(shí)努力,才能夠最大可能地建立安全的操作環(huán)境。

    由于各種入侵和攻擊技術(shù)的不斷發(fā)展,導(dǎo)致對(duì)操作系統(tǒng)的攻擊頻頻發(fā)生,例如各類病毒、木馬的肆意傳播、利用系統(tǒng)緩沖區(qū)溢出的缺陷攻擊系統(tǒng)、利用TCP/IP缺陷來進(jìn)行拒絕服務(wù)的攻擊等等,都會(huì)給系統(tǒng)造成極大的危害。針對(duì)這些安全的缺陷,我們可以采取如進(jìn)行系統(tǒng)服務(wù)的安全配置,安裝病毒防護(hù)軟件,更新系統(tǒng)的補(bǔ)丁程序,定期備份操作系統(tǒng)等措施來進(jìn)行預(yù)發(fā)防范,以彌補(bǔ)系統(tǒng)缺陷的所帶來的安全隱患。另外,在日常運(yùn)行中,我們還需采取規(guī)范系統(tǒng)使用流程、定期更新用戶密碼、刪除用戶日志文件、關(guān)閉多余的服務(wù)端口等措施,來消除由于用戶使用而引起的不安全因素,減少系統(tǒng)受到有效攻擊的概率。

    二、網(wǎng)絡(luò)的安全防護(hù)

    網(wǎng)絡(luò)安全,最重要的在于對(duì)網(wǎng)絡(luò)進(jìn)行防護(hù),避免造成大的損失,“防范于未然”始終是網(wǎng)絡(luò)安全防護(hù)的一個(gè)重要指導(dǎo)原則,網(wǎng)絡(luò)安全被破壞后,雖然能夠亡羊補(bǔ)牢,但是畢竟已經(jīng)造成了損失。網(wǎng)絡(luò)安全防范和保護(hù)的主要策略是訪問控制,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。一般包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制及屬性控制等多種等級(jí)。在企業(yè)信息網(wǎng)中,我們主要通過設(shè)置路由器的基本及擴(kuò)展訪問控制列表來提供網(wǎng)絡(luò)訪問的權(quán)限、控制協(xié)議和端口的使用、過濾網(wǎng)絡(luò)的通信流量等安全手段,另外,防火墻、NET、服務(wù)器等安全技術(shù)的靈活運(yùn)用順利實(shí)現(xiàn)了企業(yè)信息網(wǎng)與銀行、客服等外部網(wǎng)絡(luò)的連接,給企業(yè)信息網(wǎng)的安全提供了有效的保障。

    三、系統(tǒng)信息的安全防護(hù)

    數(shù)據(jù)在網(wǎng)絡(luò)或計(jì)算機(jī)中有兩個(gè)狀態(tài):存儲(chǔ)狀態(tài)和傳輸狀態(tài)。在現(xiàn)代網(wǎng)絡(luò)系統(tǒng)中,無論在存儲(chǔ)還是傳輸狀態(tài),數(shù)據(jù)都會(huì)受到威脅,安全威脅主要體現(xiàn)在數(shù)據(jù)的機(jī)密性、完整性和有效性。在企業(yè)信息網(wǎng)中,數(shù)據(jù)信息顯得尤為重要,為了防止數(shù)據(jù)的安全威脅,我們采用了多種安全技術(shù):數(shù)據(jù)鏡像和數(shù)據(jù)校驗(yàn)技術(shù)、數(shù)據(jù)備份和歸檔技術(shù)、數(shù)據(jù)認(rèn)證技術(shù)。

    數(shù)據(jù)的存儲(chǔ)安全主要體現(xiàn)在兩個(gè)方面:完整性和有效性。企業(yè)信息網(wǎng)為了達(dá)到這兩個(gè)安全性,在數(shù)據(jù)的存儲(chǔ)過程中采用了多個(gè)安全技術(shù)的結(jié)合。首先,為了保證數(shù)據(jù)的有效性,系統(tǒng)采用了雙機(jī)熱備、數(shù)據(jù)鏡像、數(shù)據(jù)校驗(yàn)等技術(shù),來提高硬件設(shè)備的可用性,減少故障時(shí)間;其次,通過制定完整的數(shù)據(jù)備份及恢復(fù)計(jì)劃,定期備份數(shù)據(jù),使企業(yè)信息網(wǎng)數(shù)據(jù)的冗余度大大提高。另外,數(shù)據(jù)的歸檔管理使得當(dāng)災(zāi)難發(fā)生和系統(tǒng)崩潰時(shí),能夠有效而快速地恢復(fù)系統(tǒng),有效地保證了企業(yè)數(shù)據(jù)的完整性。

    四、網(wǎng)絡(luò)安全的未來

篇5

【關(guān)鍵詞】網(wǎng)絡(luò)安全;動(dòng)態(tài)防護(hù)體系;設(shè)計(jì);實(shí)現(xiàn)

在信息高速發(fā)展的今天,全球化的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)打破了傳統(tǒng)的地域限制,世界各地應(yīng)用網(wǎng)絡(luò)越來越廣泛。但是隨著通過對(duì)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的不斷增加,其不穩(wěn)定因素也隨之增加,為了保障網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)安全,應(yīng)采用基于動(dòng)態(tài)監(jiān)測的策略聯(lián)動(dòng)響應(yīng)技術(shù),實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動(dòng)防御。

1 動(dòng)態(tài)安全防護(hù)機(jī)理分析

要實(shí)現(xiàn)網(wǎng)絡(luò)交換設(shè)備的動(dòng)態(tài)安全防護(hù),必須能夠在保證設(shè)備本身安全的前提下對(duì)進(jìn)入設(shè)備的數(shù)據(jù)流進(jìn)行即時(shí)檢測和行為分析,根據(jù)分析結(jié)果匹配相應(yīng)的響應(yīng)策略,并實(shí)時(shí)將策略應(yīng)用于網(wǎng)絡(luò)交換設(shè)備訪問控制硬件,達(dá)到阻斷后續(xù)攻擊、保護(hù)網(wǎng)絡(luò)交換設(shè)備正常業(yè)務(wù)運(yùn)行的目的。

2 設(shè)計(jì)與實(shí)現(xiàn)

2.1 安全主動(dòng)防御模型設(shè)計(jì)

網(wǎng)絡(luò)安全主動(dòng)防御通過采用積極主動(dòng)的網(wǎng)絡(luò)安全防御手段,和傳統(tǒng)的靜態(tài)安全防御手段結(jié)合,構(gòu)筑安全的防御體系模型。網(wǎng)絡(luò)安全主動(dòng)防御模型是一個(gè)可擴(kuò)展的模型,由管理、策略和技術(shù)三個(gè)層次組成:

1)管理層是整個(gè)安全模型的核心,通過合理的組織體系、規(guī)章制度和措施,把具有信息安全防御功能的軟硬件設(shè)施和使用信息的人整合在一起,確保整個(gè)系統(tǒng)達(dá)到預(yù)定程度的信息安全。

2)策略層是整個(gè)網(wǎng)絡(luò)安全防御的基礎(chǔ),通過安全策略來融合各種安全技術(shù)達(dá)到網(wǎng)絡(luò)安全最大化。

3)技術(shù)層主要包括監(jiān)測、預(yù)警、保護(hù)、檢測、響應(yīng)。

監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)潛在的隱患,防患于未然。預(yù)警是對(duì)可能發(fā)生的網(wǎng)絡(luò)攻擊給出預(yù)先的警告,主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅。保護(hù)是指根據(jù)數(shù)據(jù)流的行為分析結(jié)果所提前采取的技術(shù)防護(hù)手段。檢測是指對(duì)系統(tǒng)當(dāng)前運(yùn)行狀態(tài)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測,及時(shí)發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者。響應(yīng)是對(duì)危及網(wǎng)絡(luò)交換設(shè)備安全的事件和行為做出反應(yīng),根據(jù)檢測結(jié)果分別采用不同的響應(yīng)策略。

這幾個(gè)部分相輔相成,相互依托,共同構(gòu)建集主動(dòng)、被動(dòng)防御于一體的網(wǎng)絡(luò)交換設(shè)備安全立體防護(hù)模型。

網(wǎng)絡(luò)安全預(yù)警模塊通過網(wǎng)絡(luò)主動(dòng)掃描與探測技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)信息的主動(dòng)獲取,建立起相對(duì)于攻擊者的信息優(yōu)勢。網(wǎng)絡(luò)安全預(yù)警模塊根據(jù)數(shù)據(jù)流行為分析的具體結(jié)果,針對(duì)有安全風(fēng)險(xiǎn)的設(shè)備采用通用的網(wǎng)絡(luò)交換設(shè)備掃描與探測技術(shù)進(jìn)行實(shí)時(shí)監(jiān)控,隨時(shí)掌握這些設(shè)備的當(dāng)前狀態(tài)信息,并根據(jù)其狀態(tài)的變化實(shí)時(shí)更新網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的相關(guān)表項(xiàng),使網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行模式匹配時(shí)所使用的規(guī)則符合當(dāng)前網(wǎng)絡(luò)中的實(shí)際情況,有效地提升系統(tǒng)的安全防護(hù)能力和效率。

安全管理平臺(tái)主要由安全策略表、日志報(bào)警管理和用戶操作管理組成。其中,安全策略表是網(wǎng)絡(luò)數(shù)據(jù)流處理的依據(jù),數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對(duì)匹配的數(shù)據(jù)流進(jìn)行相應(yīng)的控制和處理。日志報(bào)警管理通過查詢數(shù)據(jù)流行為安全分析、網(wǎng)絡(luò)安全預(yù)警等模塊產(chǎn)生的工作日志,對(duì)其內(nèi)容進(jìn)行動(dòng)態(tài)監(jiān)視,根據(jù)預(yù)設(shè)報(bào)警級(jí)別和報(bào)警方式產(chǎn)生相應(yīng)的報(bào)警信息并通知系統(tǒng)維護(hù)人員進(jìn)行相應(yīng)處理。用戶操作管理實(shí)時(shí)接收用戶輸入命令,完成命令解釋,實(shí)現(xiàn)對(duì)安全防護(hù)系統(tǒng)的相關(guān)查詢和配置管理。

2.2 動(dòng)態(tài)策略聯(lián)動(dòng)響應(yīng)設(shè)計(jì)

(1)數(shù)據(jù)流分類

網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)入時(shí),首先根據(jù)訪問控制規(guī)則對(duì)數(shù)據(jù)流進(jìn)行過濾,過濾通過的報(bào)文在向上遞交的同時(shí)被鏡像到數(shù)據(jù)流識(shí)別及分類處理模塊,該模塊首先通過源IP、目的IP、源端口、目的端口、協(xié)議類型五元組對(duì)數(shù)據(jù)流進(jìn)行分類,然后根據(jù)流識(shí)別數(shù)據(jù)庫的預(yù)設(shè)規(guī)則確定數(shù)據(jù)流的分類結(jié)果。在分類處理過程中,為提高處理效率,首先將五維分類查找問題分解降維為二維問題,利用成熟的二維IP分類算法進(jìn)行初步分類。由于協(xié)議類型僅限于幾個(gè)值,所以可以壓縮所有分類規(guī)則中協(xié)議類型字段,將其由8位壓縮為3位,節(jié)省數(shù)據(jù)庫空間。由于規(guī)則實(shí)際所用到的端口號(hào)為0-65535中極少一部分,協(xié)議值和端口值不同情況的組合數(shù)目遠(yuǎn)遠(yuǎn)小于最大理論值。

(2)深度特征匹配

數(shù)據(jù)流在進(jìn)行分類識(shí)別后,送入并行檢測器進(jìn)行深度特征匹配,匹配結(jié)果送入行為安全分析模塊進(jìn)行綜合分析和判斷,并根據(jù)具體分析結(jié)果進(jìn)行相應(yīng)的策略響應(yīng)。檢測器通過預(yù)設(shè)在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對(duì)應(yīng)用報(bào)文中的多個(gè)相關(guān)字段進(jìn)行特征檢查和匹配,最終確定該數(shù)據(jù)流的屬性。

為了保證檢測器處理入侵信息的完整性,每個(gè)檢測器只負(fù)責(zé)某一類(或幾類)具體應(yīng)用網(wǎng)絡(luò)流量的檢測,檢測器之間采用基于應(yīng)用的負(fù)載均衡算法,該算法根據(jù)各檢測器的當(dāng)前負(fù)載情況和可用性狀況來動(dòng)態(tài)調(diào)節(jié)各檢測器負(fù)載,具體原則為:同一類型應(yīng)用報(bào)文分配到同一類檢測器,同類型應(yīng)用報(bào)文基于負(fù)載最小優(yōu)先原則進(jìn)行檢測器分配。

(3)策略聯(lián)動(dòng)響應(yīng)

檢測到網(wǎng)絡(luò)攻擊時(shí),數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險(xiǎn)等級(jí)采取相應(yīng)的攻擊響應(yīng)機(jī)制,對(duì)普通危險(xiǎn)等級(jí)的攻擊只報(bào)告和記錄攻擊事件,對(duì)高危險(xiǎn)的攻擊使用主動(dòng)實(shí)時(shí)響應(yīng)機(jī)制。主動(dòng)響應(yīng)機(jī)制能有效提高系統(tǒng)的防御能力,為了避免產(chǎn)生誤聯(lián)動(dòng),主要是為一些關(guān)鍵的敏感業(yè)務(wù)流提供更高等級(jí)的保護(hù)。主動(dòng)響應(yīng)機(jī)制將與安全策略直接聯(lián)動(dòng),阻止信息流穿越網(wǎng)絡(luò)邊界,切斷惡意的網(wǎng)絡(luò)連接操作。

3 應(yīng)用驗(yàn)證

通過設(shè)計(jì)一臺(tái)基于動(dòng)態(tài)策略聯(lián)動(dòng)響應(yīng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)的安全網(wǎng)絡(luò)交換設(shè)備來驗(yàn)證該技術(shù)在實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境中的安全防護(hù)能力。安全網(wǎng)絡(luò)交換設(shè)備的硬件邏輯由數(shù)據(jù)處理模塊,安全監(jiān)測模塊和管理控制模塊組成。

該應(yīng)用驗(yàn)證環(huán)境在設(shè)計(jì)上的主要特點(diǎn)在于:

1)該系統(tǒng)以可自主控制的高性能網(wǎng)絡(luò)交換芯片為硬件核心,并針對(duì)網(wǎng)絡(luò)攻擊特點(diǎn)對(duì)網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件進(jìn)行修改和完善,從根本上保證了網(wǎng)絡(luò)交換設(shè)備本身的安全性。

2)安全監(jiān)測模塊與網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件相對(duì)獨(dú)立,保證了網(wǎng)絡(luò)交換設(shè)備在遭受攻擊時(shí)安全監(jiān)測和處理任務(wù)不受影響。

3)安全監(jiān)測模塊可根據(jù)實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)行為分析結(jié)果對(duì)網(wǎng)絡(luò)交換設(shè)備硬件進(jìn)行實(shí)時(shí)安全防護(hù)設(shè)置,實(shí)現(xiàn)動(dòng)態(tài)策略聯(lián)動(dòng)應(yīng)對(duì)。

4 結(jié)論

為了解決網(wǎng)絡(luò)交換設(shè)備的動(dòng)態(tài)安全問題,采用基于動(dòng)態(tài)監(jiān)測的策略聯(lián)動(dòng)響應(yīng)技術(shù),可實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實(shí)時(shí)主動(dòng)防御。通過Snort等常用攻擊軟件對(duì)安全網(wǎng)絡(luò)交換設(shè)備進(jìn)行測試,結(jié)果表明,該安全網(wǎng)絡(luò)交換設(shè)備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務(wù)攻擊等多種網(wǎng)絡(luò)攻擊形式,保證網(wǎng)絡(luò)交換設(shè)備的正常業(yè)務(wù)不受影響,同時(shí)能夠正確產(chǎn)生安全日志和相應(yīng)的報(bào)警信息。并且基于該技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)交換設(shè)備已應(yīng)形成產(chǎn)品,實(shí)際使用情況良好。

參考文獻(xiàn):

篇6

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);鐵路信號(hào)系統(tǒng);安全威脅

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 06-0000-02

隨著現(xiàn)代信息技術(shù)在各領(lǐng)域的滲透與廣泛應(yīng)用,我國鐵路系統(tǒng)的信號(hào)系統(tǒng)朝著信息化、網(wǎng)絡(luò)化方向的跨越式發(fā)展。新技術(shù)、新設(shè)備的應(yīng)用,給鐵路新號(hào)系統(tǒng)帶來了新的新的挑戰(zhàn)。列車調(diào)度指揮系統(tǒng)TDCS系統(tǒng)盡管具有相對(duì)獨(dú)立的內(nèi)部網(wǎng),在實(shí)施安全管理策略方面較之于其他系統(tǒng)會(huì)難度要低,但我們必須看到TDCS是構(gòu)建在一個(gè)通用開放的操作平臺(tái)上。因此其系統(tǒng)安全防護(hù)仍然是一項(xiàng)十分重要的工作。筆者結(jié)合工作實(shí)踐,就鐵路新號(hào)TDCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)問題做以下探討與分析,以期為同行提供有益借鑒與參考。

一、TDCS系統(tǒng)遭受病毒侵襲的主要途徑

(一)日常管理維護(hù)的不到位

在實(shí)際操作中,由于部分TDCS維護(hù)人員日常使用硬盤盒維護(hù),給系統(tǒng)帶來了安全隱患。比如本該屬于TDCS系統(tǒng)專用的硬盤盒而用來存儲(chǔ)其他數(shù)據(jù)文件,由此為感染病毒創(chuàng)造了可乘之機(jī)。

(二)網(wǎng)絡(luò)系統(tǒng)設(shè)置的不科學(xué)

在TDC系統(tǒng)網(wǎng)絡(luò)中,由于與其他系統(tǒng)合用一網(wǎng),這樣一來就有可能使得病毒從網(wǎng)絡(luò)傳入而感染系統(tǒng),在當(dāng)前互聯(lián)網(wǎng)病毒盛行時(shí)期,這種風(fēng)險(xiǎn)時(shí)刻存在。

(三)計(jì)算機(jī)資源存在欠缺

典型的情況是,一機(jī)多網(wǎng)使用。這樣一來給TDCS和其他工作都帶來了病毒入侵的可能,造成系統(tǒng)安全隱患。

(四)遭受惡意攻擊等其他非正常途徑

這主要是各種形形的惡意攻擊,來給TDCS系統(tǒng)網(wǎng)路安全帶來威脅。

二、TDCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的需求與可操作性

(一)系統(tǒng)需求

隨著各種安全防護(hù)技術(shù)措施的成熟以及防護(hù)方案的不斷完善,現(xiàn)有TDCS網(wǎng)絡(luò)系統(tǒng)安全體系初步形成,但還不夠成熟、穩(wěn)定。因此,面對(duì)當(dāng)前無處不在的網(wǎng)絡(luò)病毒和安全威脅,TDCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)必然要求結(jié)合鐵路信號(hào)系統(tǒng)的實(shí)際,進(jìn)行合理的規(guī)劃與實(shí)施。從而要確保系統(tǒng)骨干網(wǎng)絡(luò)系統(tǒng)的安全問題,并建立其完整有效的備份方案和應(yīng)急預(yù)案。以面對(duì)各種網(wǎng)絡(luò)安全威脅與挑戰(zhàn),確保數(shù)據(jù)不會(huì)遭到破壞與丟失。

(二)TDCS系統(tǒng)安全狀況的可操作分析

(1)針對(duì)早期建成的TDCS系統(tǒng),組織專門的滲透測試,檢查安全漏洞是否存在。這類工作可以通過組織專家小組或聘請(qǐng)專業(yè)公司的形式來協(xié)助完成,從而避免系統(tǒng)漏洞的安全風(fēng)險(xiǎn)。

(2)可以通過增設(shè)網(wǎng)絡(luò)安全服務(wù)器,安裝防火墻來加強(qiáng)TDCS系統(tǒng)網(wǎng)絡(luò)中心的安全。建立安全防范機(jī)制,對(duì)TDCS系統(tǒng)網(wǎng)絡(luò)中的相關(guān)機(jī)器,實(shí)行統(tǒng)一的、規(guī)范化的管理模式。

(3)成立專門的維護(hù)中心或工作站。對(duì)于TDCS系統(tǒng),需要建立技術(shù)故障處理體系,并組織技術(shù)骨干力量,從而使得各電務(wù)段的信息設(shè)備安全養(yǎng)護(hù)和故障處理得到有力的技術(shù)支持。

(4)優(yōu)化系統(tǒng)的內(nèi)部結(jié)構(gòu)。在TDCS系統(tǒng)中,由于應(yīng)用的軟件程序較多,加之當(dāng)前一些程序軟件缺乏統(tǒng)一標(biāo)準(zhǔn)和規(guī)范,因此,在應(yīng)用中可能存在補(bǔ)丁與正在運(yùn)行的操作的沖突現(xiàn)象。針對(duì)這種可能存在的現(xiàn)象,我們管理員在進(jìn)行安裝補(bǔ)丁時(shí)需要經(jīng)過檢測與驗(yàn)證后,在確保不會(huì)影響到TDCS系統(tǒng)運(yùn)行的穩(wěn)定性情況下,才能進(jìn)行更新與處理。

三、相關(guān)網(wǎng)絡(luò)安全機(jī)制及改進(jìn)方向

完善鐵路TDCS網(wǎng)絡(luò)安全配套設(shè)施建設(shè),是在現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的基礎(chǔ)上,充分考慮防火墻、入侵檢測/防護(hù)、漏洞掃描、防病毒系統(tǒng)等安全技術(shù)及產(chǎn)品在整個(gè)安全體系中所起到的不同防護(hù)功能,增加相應(yīng)的硬件設(shè)施,建立多層次的安全防護(hù)體系,更有效的保障骨干網(wǎng)絡(luò)系統(tǒng)的運(yùn)行。因此,在鐵路信號(hào)系統(tǒng)中運(yùn)用網(wǎng)絡(luò)技術(shù)時(shí)應(yīng)要做好充分的考慮。

(一)相關(guān)安全因素的防護(hù)作用

(1)防火墻防護(hù):對(duì)TDCS系統(tǒng)而言,其網(wǎng)絡(luò)安全防護(hù)的策略就是防火墻。防火墻技術(shù)隨互聯(lián)網(wǎng)技術(shù)的發(fā)展而發(fā)展,從目前防火墻發(fā)展技術(shù)水平來看,部分防火墻技術(shù)已經(jīng)比較成熟與完善??梢杂行У氐钟鶃碜杂诨ヂ?lián)網(wǎng)的外部攻擊或者局域網(wǎng)內(nèi)部病毒感染引起的內(nèi)部攻擊。對(duì)于TDCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)而言,防火墻是加強(qiáng)其安全管理的第一道防線,也是必不可少的重要組成部分。

(2)入侵檢測系統(tǒng):在TDCS系統(tǒng)中,由于網(wǎng)絡(luò)安全威脅的重要來源之一就是病毒的入侵和外來攻擊,因此加強(qiáng)入侵檢測系統(tǒng)(IDS)的研究無疑是提高系統(tǒng)安全性的重要途徑。作為防火墻的有益補(bǔ)充,入侵檢測系統(tǒng)的應(yīng)用,可以有效地脅制來自外部網(wǎng)絡(luò)的入侵,有效地使系統(tǒng)管理員的安全管理能力得到了擴(kuò)展(比如安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),從而從系統(tǒng)整體上提高了信息安全性與應(yīng)對(duì)安全威脅的處理能力。

由于信息技術(shù)不斷更新與發(fā)展,我們看到幾乎所有的操作系統(tǒng)和軟件都存在安全漏洞,但是我們卻無法時(shí)刻進(jìn)行更新與打補(bǔ)丁,這無疑給病毒入侵造就了機(jī)會(huì),實(shí)踐經(jīng)驗(yàn)也充分證明了這一點(diǎn)。所以,必須加強(qiáng)漏洞掃描技術(shù),堵住病毒入侵通道,維護(hù)TDCS系統(tǒng)網(wǎng)絡(luò)安全。

(3)防病毒系統(tǒng):針對(duì)病毒傳播的特點(diǎn),以及病毒的常見類型,我們需要針對(duì)鐵路TDCS網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況,建立起防病毒系統(tǒng)。在安全防護(hù)的改進(jìn)過程中,我們要結(jié)合不同的安全保護(hù)因素,創(chuàng)建一個(gè)比單一防護(hù)更有效的綜合保護(hù)屏障。這種分層的安全防護(hù)體系成倍地增加了黑客或病毒攻擊的成本和難度,從而大大減少了他們對(duì)骨干網(wǎng)絡(luò)的攻擊。

(二)建立多層次的網(wǎng)絡(luò)安全防護(hù)體系

在骨干網(wǎng)絡(luò)系統(tǒng)中,建立一個(gè)集入侵檢測系統(tǒng)、安全漏洞掃描、防火墻系統(tǒng)和防病毒系統(tǒng)于一體的多層次、全方位的網(wǎng)絡(luò)安全防護(hù)體系。這種分層的網(wǎng)絡(luò)安全防護(hù)技術(shù)具體來說包括攻擊檢測,攻擊防范,攻擊后的恢復(fù)這三大方向,每一個(gè)方向上都有代表性的技術(shù)手段和安全產(chǎn)品。

(三)證網(wǎng)絡(luò)安全的其他注意事項(xiàng)

(1)硬件安全:具體包括:①瓶頸安全:每種網(wǎng)絡(luò)都有其弱點(diǎn),如采用的星型以太網(wǎng),其瓶頸在于交換機(jī),交換機(jī)的安全可靠性直接關(guān)系到整個(gè)系統(tǒng)的安全,因此,選擇硬件時(shí)在備品備件上應(yīng)做好充分的考慮,如采用雙機(jī)熱備,條件許可再冷備等等。②硬件期限:電子設(shè)備特別是計(jì)算機(jī)設(shè)備的使用周期在鐵路信號(hào)的維修規(guī)程中無很明確的輪修周期,因此,選擇優(yōu)良的國際品牌、便捷優(yōu)良的售后服務(wù)是關(guān)鍵。③隔離措施:強(qiáng)電、雷電等沖擊很容易造成硬件的損壞,除做好系統(tǒng)防雷外,硬件本身的每個(gè)I/O應(yīng)具備光隔措施,以確保整個(gè)系統(tǒng)的安全。

(2)軟件安全:具體包括:①系統(tǒng)安全:作為網(wǎng)絡(luò)技術(shù)支撐的UNIX和Windows NT(2000、XP)等,本身系統(tǒng)具有廣泛的開放性,部分代碼是公開的,系統(tǒng)在發(fā)展中必然存在一些不可避免的安全漏洞,黑客利用漏洞制造的病毒全球泛濫。從安全上的考慮,在選擇操作系統(tǒng)時(shí)可采用一些專用的操作系統(tǒng),這將對(duì)網(wǎng)絡(luò)系統(tǒng)的安全起到獨(dú)特的效果。②網(wǎng)絡(luò)安全:杜絕與互聯(lián)網(wǎng)相連的可能,整個(gè)系統(tǒng)網(wǎng)內(nèi)任何一個(gè)子網(wǎng)內(nèi)任何一臺(tái)計(jì)算機(jī)不得存在與互聯(lián)網(wǎng)相通情況,遠(yuǎn)程診斷服務(wù)端計(jì)算機(jī)的安全性也不例外,這可能是一個(gè)容易忽略的問題。另外,設(shè)置防火墻是網(wǎng)絡(luò)系統(tǒng)中必不可少的條件,且需定期升級(jí)。③協(xié)議安全:協(xié)議間的相互認(rèn)證是網(wǎng)絡(luò)安全的一個(gè)組成部分,采用增加協(xié)議的認(rèn)證層次或區(qū)別于目前流行的通信協(xié)議等方式也是確保網(wǎng)絡(luò)安全的一個(gè)層面,軟件設(shè)計(jì)時(shí)是應(yīng)該可以考慮的。④程序安全:核心程序通常由某個(gè)人或小部分人開發(fā),軟件的維護(hù)有時(shí)就會(huì)出現(xiàn)人走茶涼的局面。⑤存儲(chǔ)安全:系統(tǒng)維護(hù)用的光盤、軟盤、磁帶只能是專用,需要外用的存儲(chǔ)設(shè)備只能出不能進(jìn)。

四、結(jié)束語

綜上所述,隨著以計(jì)算機(jī)為基礎(chǔ)的現(xiàn)代信息技術(shù)對(duì)鐵路領(lǐng)域的滲透,我國鐵路信息系統(tǒng)建設(shè)取得了長足的進(jìn)步與發(fā)展,為促進(jìn)鐵路信系統(tǒng)信息化建設(shè)的發(fā)展發(fā)揮了巨大的推動(dòng)作用;但同時(shí)也給TDCS系統(tǒng)網(wǎng)絡(luò)帶來了安全隱患與威脅,如何積極應(yīng)對(duì)網(wǎng)絡(luò)安全威脅是TDCS系統(tǒng)網(wǎng)絡(luò)安全防護(hù)必須面對(duì)的挑戰(zhàn)。我們應(yīng)當(dāng)樹立正確的思想意識(shí),權(quán)衡利弊,遇到問題解決問題。鑒于目前網(wǎng)絡(luò)技術(shù)在鐵路信號(hào)系統(tǒng)中運(yùn)用較為廣泛的現(xiàn)實(shí),我們必須具備與時(shí)俱進(jìn)的精神,提高警惕,積極應(yīng)對(duì)各種安全威脅,從而促進(jìn)鐵路系統(tǒng)的信息化建設(shè),是科技更好地為改善我們的生活而服務(wù)。

參考文獻(xiàn):

[1]薄宜勇.傳感技術(shù)在鐵路信號(hào)設(shè)備中的應(yīng)用[J].中國鐵路,2004,10

[2]李增海,譚侃讓.我國鐵路信號(hào)技術(shù)的發(fā)展與展望[J].科技咨詢導(dǎo)報(bào),2007,24

篇7

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)信息;網(wǎng)絡(luò)安全;策略

隨著社會(huì)的發(fā)展進(jìn)步,移動(dòng)互聯(lián)網(wǎng)絡(luò)已經(jīng)是被廣泛應(yīng)用,涉及人們生產(chǎn)生活的多個(gè)領(lǐng)域。雖然近年來我國加大了對(duì)網(wǎng)絡(luò)安全的管理力度,但是計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題是我國信息化社會(huì)進(jìn)程中存在的較為嚴(yán)重的問題,就計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題提出安全防護(hù)策略,對(duì)我國當(dāng)前網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全問題的解決具有重要意義。

一、計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全概述

計(jì)算機(jī)網(wǎng)絡(luò)信息是借助移動(dòng)互聯(lián)網(wǎng)進(jìn)行信息傳遞的傳播模式,網(wǎng)絡(luò)是以虛擬形式存在的,是信息交流、存放的重要樞紐。計(jì)算機(jī)網(wǎng)絡(luò)安全是指通過各種手段保護(hù)網(wǎng)絡(luò)信息不受到威脅和破壞,保障網(wǎng)絡(luò)信息的正常使用,將安全系數(shù)降到最低,實(shí)現(xiàn)收益的最大化。

二、計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)的重要意義

從國家安全的角度講來看,做好計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)是保障國家安全和實(shí)現(xiàn)社會(huì)穩(wěn)定的重要環(huán)節(jié),國務(wù)院辦公廳在2001年頒布了《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》,要求各行各業(yè)在發(fā)展過程中都應(yīng)該遵守網(wǎng)絡(luò)信息安全條例,以保障國家的網(wǎng)絡(luò)信息安全。

從企業(yè)發(fā)展的角度來看,網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全是企業(yè)發(fā)展的前提條件,企業(yè)若想實(shí)現(xiàn)發(fā)展壯大,就必須實(shí)現(xiàn)向信息化企業(yè)的轉(zhuǎn)變,在這個(gè)過程中網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全就成為影響公司發(fā)展重要因素。所以企業(yè)只有做好網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全才能在市場競爭中生存發(fā)展,避免不必要的經(jīng)濟(jì)損失。

對(duì)于計(jì)算機(jī)用戶而言,加強(qiáng)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的防護(hù),是對(duì)用戶自身的有效保護(hù),這樣可以保護(hù)用戶的個(gè)人隱私和信息安全。

三、威脅計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的因素

(一)網(wǎng)絡(luò)系統(tǒng)最容易被攻擊的位置是緩沖區(qū)溢出造成的網(wǎng)絡(luò)漏洞。目前,許多網(wǎng)絡(luò)系統(tǒng)沒有根據(jù)緩沖區(qū)緩沖區(qū)間的容量,就任意進(jìn)行數(shù)據(jù)的接收,導(dǎo)致數(shù)據(jù)信息出現(xiàn)溢出的情況,系統(tǒng)由于沒有設(shè)置提示裝置會(huì)繼續(xù)運(yùn)行指令。破壞著這是根據(jù)這一安全問題,向網(wǎng)絡(luò)系統(tǒng)發(fā)送專門設(shè)置的攻擊數(shù)據(jù),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定,從而借機(jī)查看訪問系統(tǒng)的統(tǒng)根目錄。

(二)對(duì)網(wǎng)絡(luò)系統(tǒng)固有的漏洞不正確的維護(hù)也會(huì)導(dǎo)致破壞者的攻擊,確切的說不恰當(dāng)?shù)木W(wǎng)絡(luò)信息安全管理也是造成安全隱患的因素。當(dāng)用戶發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞是,應(yīng)該找專業(yè)人員檢查危險(xiǎn)系數(shù),通過專業(yè)的技術(shù)手段實(shí)施補(bǔ)救。雖然網(wǎng)絡(luò)系統(tǒng)在不斷地更新和維護(hù),但是受到其他網(wǎng)絡(luò)硬件設(shè)備的影響,系統(tǒng)會(huì)不斷的出現(xiàn)新問題、新漏洞,我們必須有效的進(jìn)行網(wǎng)絡(luò)信息安全管理,降低系統(tǒng)所承擔(dān)的風(fēng)險(xiǎn)。

(三)在網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全的防護(hù)中,存在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)效率低和檢測能力差的情況,也就是說網(wǎng)絡(luò)信息防護(hù)系統(tǒng)本身就很不安全,無法實(shí)現(xiàn)對(duì)問題的解決。建立網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)系統(tǒng),必須從整個(gè)構(gòu)架的最底層入手。這個(gè)構(gòu)架可以為網(wǎng)絡(luò)信息提供有效的安全服務(wù),并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的妥善管理。對(duì)服務(wù)器的代碼在設(shè)計(jì)過程中也要實(shí)行有效的管理。目前,有很多網(wǎng)絡(luò)漏洞問題指出,在輸人檢查不完全時(shí),系統(tǒng)的防護(hù)功能十分的脆弱,破壞者會(huì)利用這個(gè)弱點(diǎn)進(jìn)行拒絕服務(wù)攻擊,這樣會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)處在非常危險(xiǎn)的境地,破壞了網(wǎng)絡(luò)信息的有效傳輸,也影響了信息的真實(shí)性和準(zhǔn)確性。

四、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)的具體措施

(一)首先要加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)的重視。在計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)的過程中,要把網(wǎng)絡(luò)信息安全問題做為工作的重點(diǎn),高度重視網(wǎng)絡(luò)安全與應(yīng)急管理策略。不斷完善網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防治體系,滿足網(wǎng)絡(luò)信息安全管理的技術(shù)要求;加大對(duì)網(wǎng)絡(luò)信息安全的預(yù)警和執(zhí)行力度,建立完善的網(wǎng)絡(luò)信息安全管理體系。

(二)在生產(chǎn)生活中,重視計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全保護(hù)技術(shù)的使用。當(dāng)前,計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)技術(shù)很多,這些技術(shù)的應(yīng)用對(duì)網(wǎng)路信息和網(wǎng)絡(luò)安全具有重要作用。主要包括以下幾種防護(hù)技術(shù):

1.防火墻技術(shù)的使用,網(wǎng)絡(luò)防火墻是一種網(wǎng)絡(luò)信息訪問控制設(shè)備,是維護(hù)網(wǎng)絡(luò)安全的重要部件,防火墻技術(shù)與網(wǎng)絡(luò)安全域不在同一個(gè)通道內(nèi),能夠?qū)νǖ纼?nèi)的信息進(jìn)行監(jiān)控和記錄,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全的保護(hù)作用。

2.病毒入侵檢測系統(tǒng),英文名為Intrusion detection system,簡稱IDS。這種檢測系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)信息系統(tǒng)受到威脅的征兆,一旦病毒入侵檢測系統(tǒng)發(fā)現(xiàn)可疑問題會(huì)立刻顯示,通知有關(guān)人員進(jìn)行處理。病毒入侵檢測系統(tǒng)是對(duì)病毒進(jìn)行監(jiān)控和識(shí)別的解決方案,病毒入侵檢測系統(tǒng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的監(jiān)控系統(tǒng),是網(wǎng)絡(luò)信息安全防護(hù)的重要組成部分。

3.病毒及惡意代碼防護(hù)技術(shù),這種技術(shù)主要分為主機(jī)型和網(wǎng)關(guān)型兩種形態(tài),主要是通過自身的病毒模式設(shè)定,對(duì)匹配模式的信息進(jìn)行攔截,由于信息技術(shù)的發(fā)展速度較快,病毒和惡意代碼的更新速度也非常迅速,這就需要不斷調(diào)整網(wǎng)關(guān)和主機(jī)的模式,以滿足防護(hù)病毒和惡意代碼的需求。

(三)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)工作必須由全部用戶一同參與,因?yàn)橹挥袑?shí)現(xiàn)全民參與,才能實(shí)現(xiàn)層層落實(shí)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全維護(hù)責(zé)任,提高每位用戶的網(wǎng)絡(luò)安全防護(hù)意識(shí)和能力。

隨著科學(xué)技術(shù)的迅速發(fā)展,計(jì)算機(jī)信息安全問題會(huì)逐漸的受到人們的重視,網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全存在的根本原因是,網(wǎng)絡(luò)自身的存在安全問題,用戶能做的是不斷提高計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)意識(shí),加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)技術(shù)的研究,這樣才能有效的的保障網(wǎng)絡(luò)信息安全,更好的維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全。

參考文獻(xiàn):

[1]吳斌.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全防護(hù)策略[J].信息安全與技術(shù),2012,06(03):1020-1022.

篇8

關(guān)鍵詞:電力企業(yè);信息網(wǎng)網(wǎng)絡(luò)安全;層次式防護(hù)體系

中圖分類號(hào):TN915.08

網(wǎng)絡(luò)信息安全的問題主要包括了網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護(hù),受突發(fā)或者惡意的因素而遭到破壞、更改、泄露,系統(tǒng)能夠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡(luò)安全就需要構(gòu)建一個(gè)層次式防護(hù)體系,這個(gè)防護(hù)體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全所面臨的各種問題,給企業(yè)一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

1 信息網(wǎng)絡(luò)安全層次式防護(hù)體系的防護(hù)模式

結(jié)合電力企業(yè)的實(shí)際情況,按照層次式防護(hù)體系的防護(hù)模式,可將電力企業(yè)的網(wǎng)絡(luò)信息安全分為七大模塊,分別是入侵檢測、環(huán)境與硬件、防火墻、VPN(虛擬專用網(wǎng))、隱患掃描、病毒防范、PKI(公開密鑰基礎(chǔ)設(shè)施)。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護(hù)模式的第一、二層,是對(duì)系統(tǒng)安全要求比較高的電網(wǎng)運(yùn)行與安全穩(wěn)定的控制,還包含了電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)等實(shí)時(shí)網(wǎng)絡(luò),使用防火墻隔離網(wǎng)關(guān)設(shè)備來連接信息網(wǎng)絡(luò),這樣就可以獲取實(shí)時(shí)的系統(tǒng)數(shù)據(jù),不過這樣仍有一個(gè)小的缺陷,就是不可能直接或間接的修改實(shí)時(shí)系統(tǒng)的數(shù)據(jù),所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡(luò)與實(shí)時(shí)網(wǎng)絡(luò)之間在物理網(wǎng)絡(luò)層的隔離,這樣就能從根本上防護(hù)非法用戶的入侵。

另外,也可在信息網(wǎng)的Internet接入口處安裝防火墻,這種防火墻主要防止來自外部的攻擊,而且企業(yè)內(nèi)各機(jī)構(gòu)之間的仍有全面的安全防火墻,目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護(hù)措施。不過防火墻對(duì)于一些利用合法通道而展開的網(wǎng)絡(luò)內(nèi)部攻擊顯得無能為力。因此,盡管開發(fā)防火墻能夠初步具備入侵的檢查功能,但是防火墻作為網(wǎng)關(guān),很容易就成為網(wǎng)絡(luò)防護(hù)發(fā)展的頸瓶,不適合做過多的擴(kuò)展研究。因此,還需要和層次式防護(hù)的第三層入侵檢測等相關(guān)工具聯(lián)合起來運(yùn)用,這樣就能提高整個(gè)網(wǎng)絡(luò)的安全。

1.2 入侵檢測(IDS)

整個(gè)防護(hù)體系的第三層防護(hù)便是入侵檢測,入侵檢測不屬于網(wǎng)絡(luò)訪問控制設(shè)備,對(duì)通訊流量沒有任何限制,采用的是一種通過實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)資源(系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為),主動(dòng)分析和尋找入侵行為的跡象,屬于一種動(dòng)態(tài)的安全防護(hù)技術(shù)。一旦被檢測到入侵情況就會(huì)立即進(jìn)行日志、安全控制操作以及警告等操作,給網(wǎng)絡(luò)系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進(jìn)行安全防護(hù)。像CA公司的eTrustIntrusionDetection程序就是通過自動(dòng)檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等,為網(wǎng)絡(luò)系統(tǒng)提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。同時(shí)還能在服務(wù)器及相關(guān)業(yè)務(wù)受到影響時(shí),按照預(yù)先定義好的策略采取相應(yīng)的措施。

1.3 隱患掃描

防護(hù)體系的第四層防護(hù)便是隱患掃描,隱患掃描是一個(gè)全自動(dòng)化的網(wǎng)絡(luò)安全評(píng)估軟件,它以黑客的視角對(duì)被檢測的系統(tǒng)進(jìn)行是否承受攻擊性的安全漏洞以及隱患掃描,同時(shí)還能夠查到可能危及網(wǎng)絡(luò)或系統(tǒng)安全的弱點(diǎn),從而提出相應(yīng)的維修措施,提交詳細(xì)的風(fēng)險(xiǎn)評(píng)估報(bào)告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞,從而防患于未然,能夠預(yù)防在安全檢查中暴露出存在網(wǎng)絡(luò)系統(tǒng)中的安全隱患,然后配合有效的修改措施,將網(wǎng)絡(luò)系統(tǒng)中運(yùn)行的風(fēng)險(xiǎn)降至最低。

隱患掃描系統(tǒng)的主要應(yīng)用在不同的場合和時(shí)宜,第一,對(duì)信息網(wǎng)作出定期的網(wǎng)絡(luò)安全自我檢測和評(píng)估。網(wǎng)絡(luò)管理員能夠定期的進(jìn)行網(wǎng)絡(luò)安全檢查服務(wù),以最大可能限度的消除安全隱患,盡可能的發(fā)現(xiàn)漏洞然后進(jìn)行修補(bǔ),從而優(yōu)化資源、提高網(wǎng)絡(luò)的運(yùn)行效率;第二,網(wǎng)絡(luò)建設(shè)以及網(wǎng)絡(luò)改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢測;第三,網(wǎng)絡(luò)安全隱患突發(fā)后的分析。網(wǎng)絡(luò)安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡(luò)被攻擊的漏洞所在,然后幫助修補(bǔ)漏洞,能夠提供盡可能多的資料來方便調(diào)查攻擊的來源。第四,重大網(wǎng)絡(luò)安全事件發(fā)生前的準(zhǔn)備,重大網(wǎng)絡(luò)安全事件發(fā)生以前,掃描系統(tǒng)能夠及時(shí)的幫用戶找出網(wǎng)絡(luò)中存在的漏洞,并及時(shí)將其修補(bǔ)。

1.4 虛擬專用網(wǎng)(VPN)

防護(hù)體系的第五層就是虛擬專用網(wǎng),其主要為電力企業(yè)上下級(jí)網(wǎng)絡(luò)和外出人員訪問企業(yè)網(wǎng)絡(luò)時(shí)提供一條安全、廉價(jià)的互聯(lián)方式,再加上防火墻和IDS的聯(lián)動(dòng)關(guān)系,這就使得VPN的網(wǎng)絡(luò)安全性大大的得到保障,VPN的網(wǎng)絡(luò)安全性也就得到了保證。不過,目前雖然實(shí)現(xiàn)VPN的網(wǎng)絡(luò)技術(shù)和方式比較多,但不是所有的VPN均可以保證公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)具有邏輯的、點(diǎn)對(duì)點(diǎn)的連接方式,這種方式稱之為建立隧道。隨后就可以利用加密技術(shù)對(duì)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者,這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI(公開密鑰基礎(chǔ)設(shè)施)

PKI作為防護(hù)體系的第六層具有一個(gè)廣泛的接收標(biāo)準(zhǔn),用來保護(hù)用戶的應(yīng)用和數(shù)據(jù)安全,許多安全應(yīng)用的安全標(biāo)準(zhǔn)通過PKI都有了適應(yīng)的安全標(biāo)準(zhǔn)。CA公司的eTrustPKI是個(gè)比較普遍的基礎(chǔ)設(shè)施,具有許多獨(dú)特的特點(diǎn),如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡化管理、其擴(kuò)展性比較好、有可選擇的相關(guān)硬件支持。

1.6 對(duì)病毒的防范

對(duì)病毒的防范是防護(hù)體系最后一層,其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件,防范病毒系統(tǒng)對(duì)網(wǎng)關(guān)、郵件系統(tǒng)、文件服務(wù)器等進(jìn)行病毒防范,這就要求病毒防范系統(tǒng)做到對(duì)病毒代碼的及時(shí)更新,并保持對(duì)病毒的查殺能力。同時(shí),當(dāng)防病毒與防火墻一起聯(lián)動(dòng)時(shí),病毒防護(hù)系統(tǒng)會(huì)自動(dòng)通知防火墻進(jìn)行相關(guān)修改。

2 對(duì)層次式安全防護(hù)體系的規(guī)范管理

層次式安全防護(hù)體系的構(gòu)建是一個(gè)復(fù)雜的系統(tǒng)工程,包含了人力、技術(shù)、以及操作等幾大要素,在整個(gè)防護(hù)體系的運(yùn)行中,最重要是需要規(guī)范操作人員的各種專業(yè)技術(shù)操作,需要建立一道信息安全管理制度來防止安全防護(hù)系統(tǒng)在運(yùn)行過程中因?yàn)閮?nèi)部人員出現(xiàn)差錯(cuò)而導(dǎo)致的各種網(wǎng)絡(luò)漏洞和安全隱患,其中建立規(guī)范的管理制度應(yīng)考慮以下幾點(diǎn):第一,建立對(duì)應(yīng)的事故預(yù)防和應(yīng)急處理方案,每天都要例行檢查備案;第二,制定嚴(yán)格的防護(hù)系統(tǒng)運(yùn)行操作制度,對(duì)網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備以及服務(wù)器等重要部件的運(yùn)行操作制定標(biāo)準(zhǔn)的操作制度,相關(guān)工作人員都必須參與進(jìn)去;第三,強(qiáng)化對(duì)工作人員的安全教育和培訓(xùn),做好及時(shí)的安全工作;第四,建立日志式的管理制度,對(duì)每位用戶的操作和行為都以日志的形式記載在案,并進(jìn)行及時(shí)的跟蹤調(diào)查和審計(jì)工作。

3 結(jié)束語

網(wǎng)絡(luò)安全防護(hù)是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系能夠有效保護(hù)電力企業(yè)信息網(wǎng)的安全,其中采取層次式安全防護(hù)體系,更是有效的將各個(gè)層次安全構(gòu)建有機(jī)的結(jié)合在一起,從而提高了整個(gè)網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護(hù)措施分析[J].電子技術(shù)與軟件工程,2013(17).

[2]李志茹,張華峰,黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化,2012(04).

篇9

對(duì)于企業(yè)信息通信網(wǎng)絡(luò)環(huán)境來說,容易出現(xiàn)問題是用戶。很多企業(yè)用戶,包括高級(jí)管理人員以及其他具有訪問特權(quán)的人,每天都在網(wǎng)絡(luò)中進(jìn)行各種行為,沒有安全意識(shí)中進(jìn)行一些違規(guī)操作,從而企業(yè)網(wǎng)絡(luò)安全出行問題。對(duì)此,最佳的防范措施應(yīng)該是開展安全知識(shí)培訓(xùn),規(guī)范用戶行為,提高安全意識(shí)。

1.1網(wǎng)絡(luò)用戶的行為管理需要規(guī)范。

網(wǎng)絡(luò)行為的根本出發(fā)點(diǎn),不僅僅是對(duì)設(shè)備進(jìn)行保護(hù),也不是對(duì)數(shù)據(jù)進(jìn)行監(jiān)控防范,而是規(guī)范企業(yè)員工在網(wǎng)絡(luò)中的各種行為,也就是對(duì)人的管理。規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為需要通過技術(shù)設(shè)備和規(guī)章制度的結(jié)合來進(jìn)行。網(wǎng)絡(luò)中用戶的各種不規(guī)范行為主要包括:正常使用互聯(lián)網(wǎng)時(shí)訪問到被人為惡意控制的網(wǎng)站或者網(wǎng)頁。這些被控制的網(wǎng)站被黑客植入后門,方便攻擊者竊取企業(yè)的各類內(nèi)部數(shù)據(jù)或者控制其連接互聯(lián)網(wǎng)的服務(wù)器。

1.2網(wǎng)絡(luò)用戶的安全意識(shí)需要加強(qiáng)。

各種安全設(shè)備的建立和安全技術(shù)的應(yīng)用只是企業(yè)信息通信網(wǎng)絡(luò)安全防護(hù)的一部分,關(guān)鍵是加強(qiáng)企業(yè)網(wǎng)絡(luò)用戶的安全意識(shí),貫徹落實(shí)企業(yè)的安全制度。企業(yè)只依靠技術(shù)不可能完全解決自身的安全防護(hù),因?yàn)榧夹g(shù)在不斷發(fā)展,設(shè)備在不斷更新,黑客技術(shù)也在發(fā)展和更新。所以企業(yè)管理人員必須有安全意識(shí),重視自己企業(yè)的安全措施。加強(qiáng)對(duì)員工的安全培訓(xùn),使得全體人員提高安全意識(shí),從根本杜絕安全隱患。

2企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)

信息通信網(wǎng)絡(luò)安全防護(hù)工作,主要包括幾個(gè)方面:安全組織、安全技術(shù)、安全運(yùn)行體系。

2.1安全組織體系的構(gòu)架

信息通信網(wǎng)絡(luò)安全組織建設(shè)方面,需要建立決策、管理、協(xié)作三級(jí)組織架構(gòu),明確各層組織的職責(zé)分工和職能,對(duì)應(yīng)合理的崗位,配備相應(yīng)的人員,同時(shí)根據(jù)企業(yè)信息通信網(wǎng)絡(luò)實(shí)際情況,建立起垂直和水平的溝通、協(xié)調(diào)機(jī)制。企業(yè)中有具體的人和組織來承擔(dān)安全工作,即成立專業(yè)的信息通信網(wǎng)絡(luò)安全部門,設(shè)置不同的崗位,明確對(duì)應(yīng)的職責(zé),并且賦予部門相應(yīng)的權(quán)力和信任;安全部門組織專業(yè)人員制訂出安全策略來指導(dǎo)和規(guī)范安全工作的開展,明確哪些可以做,哪些不能做,哪些如何做,做到何種程度等等。另外需要?jiǎng)?chuàng)造合理的外部環(huán)境來推動(dòng)安全部門的工作,建立起一套快速有效的溝通協(xié)調(diào)機(jī)制,確保安全工作的高效推動(dòng)。

2.2安全技術(shù)的應(yīng)用

有了安全組織制訂的安全目標(biāo)和安全策略后,需要選擇合適的安全技術(shù)來滿足安全目標(biāo);這里主要分為信息通信網(wǎng)絡(luò)系統(tǒng)的整體防護(hù)和個(gè)人終端的防護(hù)。

2.2.1信息通信網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)。

系統(tǒng)自身漏洞而導(dǎo)致的安全風(fēng)險(xiǎn),經(jīng)常是因?yàn)樾畔⑼ㄐ啪W(wǎng)絡(luò)應(yīng)用本身的漏洞使得網(wǎng)站被病毒入侵或者被植入控制程序,導(dǎo)致企業(yè)丟失數(shù)據(jù)。因此需要建立以下防范措施:(1)部署網(wǎng)絡(luò)應(yīng)用防火墻和網(wǎng)絡(luò)應(yīng)用安全掃描器,重要的網(wǎng)絡(luò)應(yīng)用通過各種安全認(rèn)證或者許可才能進(jìn)行使用,同時(shí)保證驗(yàn)證程序本身的安全性。(2)時(shí)刻對(duì)系統(tǒng)進(jìn)行更新,對(duì)應(yīng)用程序和系統(tǒng)軟件進(jìn)行補(bǔ)丁安裝和升級(jí)。對(duì)于客戶端漏洞有以下幾種防范措施:(1)系統(tǒng)管理員要通過相應(yīng)的認(rèn)證軟件攔截限制用戶訪問一些具有安全威脅的網(wǎng)頁;(2)系統(tǒng)管理員要通過相關(guān)方案防止用戶訪問含有攻擊和惡意軟件的網(wǎng)站;(3)系統(tǒng)管理員要禁止用戶從網(wǎng)上下載任何媒體播放文件;(4)系統(tǒng)管理員要通過部署相關(guān)軟件禁止外網(wǎng)訪問企業(yè)的郵件服務(wù)器;(5)禁止系統(tǒng)管理員在企業(yè)內(nèi)部服務(wù)器上使用網(wǎng)頁瀏覽器、電子郵件客戶端、媒體播放器以及辦公軟件。從技術(shù)層面上而言,安全問題無處不在,單一的防火墻、防病毒軟件、區(qū)域防御系統(tǒng)已經(jīng)不能滿足企業(yè)網(wǎng)的需要,為了應(yīng)對(duì)網(wǎng)絡(luò)中存在的多元、多層次的安全威脅,必須首先構(gòu)建一個(gè)完備的安全體系,在體系架構(gòu)下層層設(shè)防、步步為營,才能夠?qū)踩珕栴}各個(gè)擊破,實(shí)現(xiàn)全網(wǎng)安全。安全體系架構(gòu):由以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計(jì)系統(tǒng)、接入認(rèn)證與強(qiáng)制管理平臺(tái)等多種網(wǎng)絡(luò)設(shè)備做技術(shù)支撐。從可信終端準(zhǔn)入、資產(chǎn)管理、訪問控制、入侵防御、遠(yuǎn)程訪問、行為審計(jì)、全局安全管理等多方面,構(gòu)成完善的防護(hù)體系,從而實(shí)現(xiàn)“可信、可控、可取證”的全網(wǎng)安全。其中以太網(wǎng)交換機(jī)、路由器、防火墻、流量控制與行為審計(jì)系統(tǒng)作為部署在網(wǎng)絡(luò)各個(gè)層面的組件,接入認(rèn)證與強(qiáng)制管理平臺(tái)作為全網(wǎng)調(diào)度和策略分發(fā)的決策核心,通過安全聯(lián)動(dòng),從內(nèi)外兩個(gè)安全域,三個(gè)維度構(gòu)建自適應(yīng)的安全體系。

2.2.2信息通信網(wǎng)絡(luò)中個(gè)人應(yīng)用的安全防護(hù)。

為了更好地加強(qiáng)企業(yè)信息通信網(wǎng)絡(luò)安全,必須規(guī)范用戶自己的安全行為,加強(qiáng)個(gè)人安全意識(shí),建立自己的計(jì)算機(jī)安全系統(tǒng),這就需要企業(yè)每個(gè)員工做到以下幾方面的安全措施:(1)修改計(jì)算機(jī)管理員賬戶,為系統(tǒng)管理員和備份操作員創(chuàng)建特殊賬戶。用戶要禁止所有具有管理員和備份特權(quán)的賬戶瀏覽Web,嚴(yán)禁設(shè)置缺省的Guest賬戶;(2)限制遠(yuǎn)程管理員訪問NT平臺(tái);(3)在域控制器上,修改注冊表設(shè)置;(4)嚴(yán)格限制域中Windows工作站上的管理員特權(quán),嚴(yán)禁使用缺省值;(5)對(duì)于注冊表嚴(yán)格限制,只能進(jìn)行本地注冊,不能遠(yuǎn)程訪問;(6)限制打印操作員權(quán)限的人數(shù);(7)合理配置FTP,確保服務(wù)器必須驗(yàn)證所有FTP申請(qǐng)。在確定了安全組織和安全技術(shù)后,必須通過規(guī)范的運(yùn)作過程來實(shí)施安全工作,將安全組織和安全技術(shù)有機(jī)地結(jié)合起來,形成一個(gè)相互推動(dòng)、相互聯(lián)系地整體安全運(yùn)行體系,最終實(shí)現(xiàn)企業(yè)信息通信網(wǎng)絡(luò)的安全防護(hù)。

3結(jié)束語

篇10

終端成為重要攻擊目標(biāo),安全防護(hù)不容忽視。在由云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)重構(gòu)的IT環(huán)境中,大量信息數(shù)據(jù)被放置到云端,傳統(tǒng)的防火墻邊界已經(jīng)不復(fù)存在,因此有人認(rèn)為終端安全已經(jīng)無關(guān)緊要。然而對(duì)于多數(shù)企業(yè)來說,PC、手機(jī)、平板電腦等終端設(shè)備仍然是企業(yè)數(shù)據(jù)存放和周轉(zhuǎn)的重要節(jié)點(diǎn),如果終端安全無法得到保障,這些數(shù)據(jù)也將面臨嚴(yán)重的威脅。

亞信安全產(chǎn)品經(jīng)理何莉表示:“從網(wǎng)絡(luò)安全防護(hù)實(shí)踐來看,針對(duì)終端的安全攻擊對(duì)企業(yè)的整體業(yè)務(wù)和數(shù)據(jù)安全造成了很大威脅。網(wǎng)絡(luò)攻擊者不僅可以通過入侵終端設(shè)備來竊取機(jī)密的企業(yè)信息,還有可能以終端設(shè)備作為‘跳板’發(fā)動(dòng)APT攻擊,將定制化的惡意軟件散播到企業(yè)網(wǎng)絡(luò)之中,伺機(jī)執(zhí)行破壞網(wǎng)絡(luò)、竊取數(shù)據(jù)等高威脅的行動(dòng)。”

提升終端安全防護(hù)能力和聯(lián)動(dòng)防御成為重心之一。要提升終端安全防護(hù)能力,就必須不斷改進(jìn)安全防御技術(shù),以組成更高效、更堅(jiān)不可摧的防御體系。此外,隨著終端安全威脅的復(fù)雜化,企業(yè)最好能夠綜合使用多種技術(shù),而不是單個(gè)技術(shù)來化解威脅,這就要求企業(yè)將不同安全產(chǎn)品功能與信息進(jìn)行整合,這樣有利于對(duì)安全威脅情勢進(jìn)行全面準(zhǔn)確地洞察,實(shí)現(xiàn)安全威脅的聯(lián)動(dòng)防御。

除了強(qiáng)化對(duì)安全威脅的治理,將不同終端安全產(chǎn)品進(jìn)行融合,還能顯著降低企業(yè)的安全運(yùn)維難度。很多企業(yè)部署了多種終端安全產(chǎn)品來應(yīng)對(duì)不同威脅,這樣雖然可以提高安全防護(hù)能力的覆蓋范圍,但是不同產(chǎn)品有著不同的技術(shù)架構(gòu)和管理方式,會(huì)大大增加安全運(yùn)維的難度,還有可能產(chǎn)生產(chǎn)品兼容性題。如果能夠?qū)崿F(xiàn)融合管理,將顯著提升安全運(yùn)維的效率,減少安全防御的漏洞。

對(duì)于終端安全的防護(hù),亞信安全有終端安全管控系統(tǒng)和防毒墻網(wǎng)絡(luò)版OfficeScan兩款產(chǎn)品。其中,亞信安全終端安全管控系統(tǒng)以安全管控為核心、以運(yùn)維管控為重點(diǎn),可幫助企業(yè)打造全方位終端安全管理體系;亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan則以防范具體網(wǎng)絡(luò)安全威脅為重心,具備針對(duì)未來而設(shè)計(jì)的彈性架構(gòu),可以提供惡意軟件防護(hù)、數(shù)據(jù)保護(hù)、郵件安全等安全防護(hù)功能。