时间:2023-06-16 16:26:11
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇维护网络安全措施范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:计算机;网络信息安全;防护措施
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)25-0067-02
随着IT业的飞速发展及信息技术的日渐普及,有利地推动了全球经济的快速发展,同时为信息的保存和实时交换创造了高效的方法。它已经扩展到了很宽的领域,它的运用已经扩展到平民百姓家中。一方面,网络给人们的生活带来了很多方便,另一方面,信息的安全问题也变得越来越普遍。网络的发展既有优点也有缺点,因此,网络信息安全技术在解决计算机网络常见的信息安全问题中起到了重要作用,同时要高度重视网络信息安全技术的研究。
1 计算机网络安全的概念
1.1 计算机网络安全的定义
计算机网络安全在狭义上是指根据网络特性,利用相应的安全措施来保护网络上的系统、信息资源以及相关软件的数据,从而可以摆脱自然因素和人为因素带来的干扰和危害。
计算机网络安全在广义上是指所有和计算机网络相关的技术和理论问题。计算机网络安全在广义上主要包括三方面的内容,第一方面是指信息的保密性和信息的完整性;第二方面是指信息的真实与可控性;第三方面是指信息的可用性与实用性。
1.2 计算机网络安全的特点
1.2.1 计算机网络安全的可靠性。计算机网络安全的可靠性是指对网络系统的实时可靠情况进行及时分析,计算机网络安全的可靠性要求不论在什么情况下,要确保网络系统的正常工作不会受到内在和外在因素而带来的负面影响。
1.2.2 计算机网络安全的完整性。计算机网络安全的完整性是指数据信息的完整性,计算机网络安全的完整性要以数据是否授权为基础,数据的改动要建立在数据被授权的基础上,反之,则不能改动。因此,信息完整性不但可以保障数据信息使用的过程中不会被修改和破坏,而且还可以避免在此过程中相关信息的丢失。
1.2.3 计算机网络安全的可用性。计算机网络安全的可用性是指数据信息可以满足使用者的需求和具体要求。即当我们需要使用某些数据时,可以对所需信息进行数据存取操作。
1.2.4 计算机网络安全的保密性。计算机网络安全的保密性中常用的技术是密码算法技术,密码算法技术可以通过对数据信息进行算法加密来实现数据相关信息不经允许不泄露给未授权方的目的。
2 制约计算机网络安全的因素
2.1 客观因素
2.1.1 计算机网络的资源共享。资源共享是计算机网络的一大优点,同时资源共享也是人们所偏爱的功能。网络不受国界和语言的限制。不论你身在何方,只要在你的身边有计算机网络的存在,就可以随时进行信息传输和交流。因此,资源共享也会给系统的安全性带来巨大的挑战,网络入侵者可以利用数据在网上传播的过程中通过计算机监听网络,同时获取相应的数据,破坏网络上的资源共享。
2.1.2 计算机网络的安全漏洞。计算机网络由于受到各种因素的制约,在这个过程中存在着多种系统安全漏洞,各种安全问题和严重事故是由计算机本身存在的各种技术缺陷导致的。这些漏洞和缺陷经常在时间推移的过程中被用户忽视,从而构成了系统安全的潜在威胁。
2.1.3 计算机网络的设计缺陷。拓扑结构和硬件设备的选用等是计算机网络设计的重要内容。由于设计人员在设计过程中没有实现最优配置,这个原因就使系统存在设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题。设计不规范、可扩充不强、安全性缺乏和稳定性差等方面的问题是影响网络系统的设备、协议和OS等的主要因素,这些因素也会给网络信息带来一定的安全隐患。
2.1.4 计算机网络的开放性。任何用户在网络上能够方便地访问Internet资源,同时可以查找和下载对自己有用的信息。同时,网络信息在通信过程中遇到的各种威胁会使其线变得非常脆弱。如:TCP/IP为全球信息的共享提供了途径和方法,TCP/IP的安全漏洞严重影响了计算机网络的安全性;FTP和E-mail是信息通信的常用工具,FTP和E-mail也存在很多潜在的安全漏洞。
2.1.5 计算机网络的威胁。(1)计算机网络的无意威胁通常是指无预谋地破坏网络系统安全和破坏网络资源的信息完整性。计算机网络的无意威胁主要是指网络威胁的偶然因素。如:垃圾数据是由突发性的软件和硬件设备的功能出错而产生的,这些垃圾数据会造成网络受阻,更有甚者会导致无法正常通信的情况;主机重复发出具有攻击性的Server请求是由人为错误操作导致的软件和硬件设备损坏会导致的。(2)计算机网络的有意威胁。计算机网络的有意威胁实际上包括人为威胁和人为攻击。通常情况下,计算机网络的有意威胁主要是由网络的脆弱性造成的。计算机网络的有意威胁主要包括以下几方面:电子窃听;非法入网;工商业间谍;军事情报员;由于盗窃等原因使得网络硬件破坏也会给网络造成威胁。
2.2 主观因素
2.2.1 计算机网络缺乏安全措施。网络终端的管理人员在配置防火墙的过程中由于不按规定操作,在这个过程中有意或无意地扩大了网络资源被访问的便利性,网络终端的管理人员为了使网络资源在方便自己使用的过程中却忽视了网络的入侵性,导致了安全措施的缺乏,安全措施缺乏就导致了网络信息安全问题的存在和发生。
2.2.2 计算机网络的配置错误。计算机网络的配置有很多特点,复杂性是计算机网络的配置的主要特点,由于计算机网络配置的复杂性的特点就使得计算机网络在访问控制的过程中会出现配置失误和漏洞等问题,计算机网络的配置错误会给非法操作者提供进入的有利时机。
2.2.3 管理人员渎职。由于网络化时代的出现和快速发展,网络化在发展的过程中由于缺乏健全和完善的网络管理制度,很多管理人员由于缺乏网络管理的正确的思想意识,因此,管理人员在进行管理和维护过程中,管理人员渎职的情况经常发生。
2.2.4 电磁泄漏。内部信息在管理的过程中出现的数据库泄密是由于信息数据的传输中的屏蔽不佳而造成的电磁辐射而引起的,电磁泄漏是造成计算机网络安全的一个重要因素。
3 计算机网络信息安全的防护措施
3.1 物理安全防护措施
物理安全防护措施的众多的目的中,有效保护和维护计算机的网络链路是物理安全防护措施的主要目的,从而使计算机网络能避免自然因素和人为因素的破坏。物理安全防护措施主要是为了验证用户身份和进入权限,通过物理安全防护措施强化网络的安全管理,从而可以有效地确保网络安全。
3.2 加强安全意识
物质决定意识,意识是客观事物在人脑中的反映,正确的意识促进客观事物的发展,错误的思想意识阻碍客观事物的发展。因此,在计算机网络的维护中,要树立正确的思想意识,克服错误的思想意识,从而,促进计算机网络又好又快地发展。
3.3 加密保护措施
加密技术的出现有利于确保计算机网络的安全运行,加密技术有利于保障全球EC的高速发展,并且加密技术也有利于保护网络数据的安全性。加密算法可以使信息在整个加密过程中实现其安全性和正确性。加密保护措施中常用的方法有两种,一种是对称加密算法,另一种是非对称加密算法。通过安全加密措施,能够以极小的代价获得强大的安全保障措施。
3.4 防火墙措施
防火墙在计算机网络中是一种安全屏障,这种安全屏障通常在保护网和外界间之间使用,防火墙措施有利于实现网络间的控制与访问的目的,通过鉴别以及各种限制措施可以防止外网用户非法进入和访问内部资源,通过鉴别以及各种限制,保护内网设备。防火墙措施是保障计算机网络安全的一项重要措施。
3.5 网络安全措施
我们通常所说的网络安全措施是指对有关安全问题采取的方针和对安全使用以及网络安全保护的一系列要求。网络安全措施主要包括保障网络安全的整个过程中所运用的安全技术、运用的安全防范技术和措施以及采取的管理措施以及管理方针。
4 结语
本文的研究说明了计算机网络常见的信息安全问题及防护措施,通过本文的研究得出了关于计算机网络常见的信息安全问题及防护措施等一些规律性的东西,解决了计算机网络常见的信息安全问题及防护措施中遇到的理论和实际问题。同时也希望以本文的研究为契机,推动我国计算机网络安全高速的发展,保障国家计算机网络的安全运行。
参考文献
[1] 宇.计算机网络安全防范技术浅析[J].民营科技,2010,(5).
[2] 禹安胜,管刚.计算机网络安全防护措施研究[J].电脑学习,2010,(10).
1.1防火墙技术
计算机网络是一个开放性的平台,用户在使用时一定要注意保障自身信息的安全。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙技术可以大大降低计算机遭受黑客攻击的几率,提高系统安全性,过滤掉一些可疑的、带有病毒的网页,要想提高计算机网络系统的安全,用户就需要拥有以防火墙为中心的安全配置,将所有安全软件都配置在防火墙上,保护内部网络的安全。此外,还要注意对网络存取和访问进行监控审计,利用防火墙对内部网络进行划分,可实现内部网重点网段的隔离,从而降低局部重点或敏感网络安全问题对全局网络造成的影响。用户在使用计算机时,还要对其他计算机的访问设置权限,设定自己的密码,要具备一定的安全防范意识。
1.2数据加密与用户授权访问控制技术
用户信息泄露很大一部分是因为用户缺乏对个人信息的保密意识,由于互联网的开放性与虚拟性,黑客攻击事件不断发生,所以,事业单位或个人要注意对私人信息和商业信息进行必要的加密工作,还可以对该信息的访问设置权限,通过相关的软件识别访问者的身份,这样可以在一定程度上保护用户的信息安全。
1.3入侵检测技术与防病毒技术
入侵检测技术是一种网络安全系统,有助于保护用户的信息安全。计算机配备有一定的程序,就可以对网络系统进行检测,及时发现并报告系统中未授权或者异常的现象,在此基础上,用户可以对此类情况采取必要的处理措施,保护计算机的安全。随着计算机技术的发展,计算机病毒也在不断变化,多种多样、数量众多的计算机病毒极大的危害了计算机网络安全,为了降低病毒的危害,技术人员研制了网络防病毒软件和单机防病毒软件,不同的防病毒软件有不同的安装要求,其功能也不尽相同,总的来说,防病毒软件都可以及时检测到病毒的入侵,并立即删除病毒。
2.计算机网络安全的有效维护措施
2.1定期进行数据备份
由于计算机网络的共享性,用户的计算机很容易遭受到不法分子的攻击,造成个人资料或者商业信息的丢失。为了保护信息安全,用户就要将硬盘上有用的文件、数据都拷贝到另外的地方,比如拷贝到移动硬盘上,采取这样的措施后,即使连接在网络上的计算机被攻击破坏,也就不用担心数据的丢失。企业更应该重视信息备份,防止网络黑客对公司网络进行攻击,篡改人事资料或者窃取公司机密。
2.2软件简易安装,集中管理
计算机的正常使用需要硬件系统和软件系统的协调配合,通常,一台计算机会安装数量众多的软件来实现不同的功能,在计算机网络上,软件的安装和管理方式是十分关键的,合理的软件安装可以大大提高网络维护管理的效率和质量,也可以大大提高网络的安全性。随着网络的普及,计算机安全面临严峻的挑战,好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
2.3实时杀毒,报警隔离,提高安全意识
为了保护计算机网络安全,及时发现网络病毒或者恶意程序,用户需要定期对计算机进行杀毒,实时杀毒可以大大降低计算机中病毒的风险。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒,基于网络的病毒特点,网络管理员应该着眼于网络整体来设计防范手段。面对严峻的网络安全形势,用户一定要增强信息防护意识,对个人信息进行加密,设置访问口令等访问权限。
3结语
【关键词】网络安全边界
一、基础设施安全
全网系统基础设施安全就是网络平台全部子系统的安全。为确保全网系统网络平台的长期稳定运行,建议部署网络管理系统,对整全网系统网络平台进行统一的管理。同时需要对网络设备进行安全配置。
1.1网络管理中心
为了全网系统网络在日常维护和处理事件时能做到全面、直观、及时。能够对网络进行统一的管理,需要有一个统一的网络安全管理平台,能够内嵌和调用相关产品的监管系统,通过远程对不同设备进行实时监控和分析,监控这些设备的硬件状态、网络流量、异常、故障等状态信息,并提取这些信息,按既定的策略进行分析,最终以直观的方式展示出来,使管理者实时直观的了解全网运行情况。同时还可以设定相关的报警功能,设定一定的策略,当出发策略被激活后自动以各种方式进行报警,并及时自动通知和提示管理者的问题所在及相应的决策支持信息。
一套完全集成的、能够支持多平台基础结构、能够容纳第三方产品并且提供开放标准的管理工具是网络监管所必须的。目前流行的网管平台有两种类型,即基于SNMP的网管平台和基于CMIP的网管平台,其中前者主要用于计算机网络和系统的管理,后者用于电信网络的管理。
1.2核心入侵检测
由于全网上传输的信息数据量大,带宽要求高,同时对各级核心IDS的性能和稳定要求也非常的高,所以对于IDS检测引擎要求必须选型为千兆的高速引擎,并且部署方式为分布式,支持IDS管理中心的统一管理。通过采用千兆的核心IDS系统,可以在漏报率极低的情况下进行实时检测,保证全网系统各级中心主干网的安全。各级核心IDS的部署是保证全网系统的基础网络安全的基本监控措施。
二、全网边界安全
边界安全措施是任何一个信息系统的基本安全措施,也是保障全网系统安全的第一步。全网系统的边界安全措施主要包括三个方面:边界的定义、边界的隔离和访问控制、边界的入侵检测。
2.1边界定义
安全访问控制的前提是必须合理的建立安全域,根据不同的安全需求建立不同的安全域。安全域的建立可以从物理上和逻辑上分别划分安全域。在物理上将信息系统从地域上独立出来,划分不同物理区域。在逻辑上将信息系统或用户分组,指定不同的访问权限。
安全域边界定义对目前及日后全网系统的安全运行都是非常重要的因素,同时也是建立全网系统等级保护安全保障体系的基础措施。只有合理的划分了安全域,才能有效的采取系统分域技术手段保证全网系统的安全。
2.2边界隔离和访问控制
安全域定义完成后,就是如何设计各安全域间的边界控制问题。一般对于边界的控制主要有两种,物理隔离和逻辑隔离。针对全网的信息交换需求,安全域间通过防火墙实现边界隔离。这是用在信任网络和不信任网络之间的一种访问控制技术,主要有应用、包过滤两种形式的防火墙设备。
利用防火墙的目的主要有两个:一是控制全网系统各级网络用户之间的相互访问,规划网络的信息流向,另一个目的是起到一定的隔离作用,一旦某一子网发生安全事故,避免波及其他子网。
2.3边界入侵行为检测
由于我国信息化起步较晚,在网络安全概念里,许多人都认为网络安全就是为网络增配配防火墙,至今许多单位依然是这样实施的。这种想法是不全面的,防火墙的部署,仅能在网络边界起到安全作用,防火墙是主要是为了防止网络外部的入侵,等同于网络的第一道关卡。只能阻止来自外部的部分通用型攻击;不能对内部进行防范,而堡垒往往是从内部攻破的,而这去正好是防火墙的盲区。这就需要有专用设备弥补不足,在全网的关键位置部署入侵防御系统(IPS),对所有通过的数据进行监控和分析,为网络安全提供既时有效的入侵防范,并采取有针对性的有效防护手段。
关键词:电力营销 安全措施 首要问题
前言:安全措施的重要性安全管理是电力企业营销管理系统的关键组成部分。从目前电力企业的信息管理角度看,安全管理不仅设计到电力企业营销管理的规划与策略,更是对电力营销系统资源、信息的重要保护。尤其是近些年来,随着我国科学技术的快速发展,电力企业先后引进先进的现代化营销管理系统,电力企业的营运模式和统计模式达到了前所未有的快速、高校。然而电力营销系统的安全隐患问题日益突出。以下笔者从多个角度阐述了电力营销中安全措施的首要问题。
1.电力企业电力营销系统的安全措施管理
电力企业电力营销系统的安全建设主要包括现代化营销操作系统安全、营销系统中数据库的系统安全以及营销系统服务器的网络安全三个方面构成了电力营销的系统安全管理。以下笔者结合实际工作经济对电力营销系统的安全管理进行粗浅的分析。
电力营销系统中服务器的安全管理
目前常见的电力企业营销系统的服务器主要由应用服务器、网络服务器和数据库服务器三大模块组成。在电力营销系统中服务器普遍使用Unix系列和W indows系列操作系统。其中操作系统为Unix系列的服务器,主要是采用营销系统本身的安全管理机制。而服务器中W indows系列的操作系统作为目前我国电力营销系统中主流操作系统,其安全系统管理主要包括对服务器的安全审核、对组策略实施以及对服务器的备份策略。首先,服务器的安全审核作为电力营销管理人员的日程工作之一,其审核的范围主要包括对系统安全漏洞的查询、系统自动生成日记的分析、系统补丁的安装情况检查等等,审核的主要对象主要是C、Ex-change Server、SQL Server、IIS等;其次,在组策略实施中,如果想使用某个软件的限制策略,需要升级到W indows 2003 Server操作系统;最后,服务器的备份策略主要包括营销系统中的数据库备份和系统软件备份两个部分。系统软件备份主要是使用现有的ARC Server专用程序进行备份处理。
1.2 电力营销系统中数据安全措施
在电力营销系统中对数据安全措施的服务器选择主要选取拥有先进的双机同错技术的IBMP650小型机。其主要结构采用新型的存储架构即SAN,完全的冗余架构做到数据的管理性和使用性,而磁盘阵列的快照、复制和镜像软件,在确保了数据能够快速恢复、快速备份的同时极大了满足了数据的安全性。通过完全冗余的AS-DS8M-DELL|EMC光纤交换机、光纤卡、光纤跳线,确保在存储系统中整体不出现单点问题。同时采用136T的DELL PowerVault大容量磁带库及Veritas备份软件对系统进行实时的数据备份,使数据处于安全范围之中。
电力营销系统中网络安全措施
网络电力营销系统运行的稳定程度直接影响着我国电力营销系统的良好运行。因此,为了保障电力营销系统的良好运行,提供稳定、安全、高校的合理网络运行环境,建立完善的网络安全管理系统,实现网络系统的多方面监控,有着十分重要的地位是实现电力营销网络全方位安全管理、监控的重要途径。首先,在网络安全中安装有效的防火墙系统。从物理手段上将电力企业内部的网络与外部网站、服务器相隔离。通过网络地址转换技术将实际的地址映射到网络的合法地址上,确保内网在外网的成功解析的同时又避免了被外部网站直接攻击的问题。实现了在内网的状态下对网站,网站系统的安全保护,也加强了电脑病毒侵入网络系统时的第一层安全保护,极大的提高了网络系统的防病毒能力;其次,安装防病毒系统软件维护网络的安全建设。在电力营销系统中安装防病毒软件,对服务器、邮件、网站实施全方位的防病毒保护,使系统软件能够用于一定的病毒防御能力,查杀能力,同时通过电力营销系统单一控制点的病毒软件进行的主动更新,扩展为全部电力营销网络的系统防毒功能,以此协助网络系统管理者实施网络的全方位防毒控制。
2. 电力企业客户端安全措施管理
客户端作为电力营销系统的登录平台,是电力营销系统安全措施的首要问题。以下笔者就客户端进行粗浅的概述。
2.1 电力营销系统安装终端机的安全措施
电力营销系统的终端机主要由键盘、鼠标、显示器组成。终端机即不进行本地系统数据的计算,也不进行本地系统数据的存储。在使用中用户只需要给终端机进行必要的网络配置,确定网络终端机的IP地址,与终端服务器建立相应的连接就可以直接使用了。终端机是直接运行显示的程序并进行服务器数据库的访问,即完成终端机的整体工作。同时,在终端机模式使用中一般都选用W in-dows 2000的安全模式,以保证不会因为人为操作不当而造成的数据丢失、软件丢失、系统瘫痪等现象。
2.2 电力营销系统应用软件的安全措施
针对电力营销系统中应用软件的安全措施管理,对应用软件可以采用两步式身份验证,也就是说在开启客户端系统钱,必须对使用客户端系统的用户进行身份认证,获取客户端系统使用权限信息时,用户可以访问到与其权限信息相关的业务数据、业务模块。同时在营销系统设计中,数据库不可与客户端直接面对面,而是由服务器上的中间件服务数据库进行访问,客户端没有直接进行数据库操作的能力。同时,在应用程序上使用两步式身份验证。在访问数据库时其设定的连接密码均是以128位密码方式存储在数据库中的,操作员可以方便的修改登录数据库的用户和密码,不要进行从新编译相关的连接配置参数文件。
结束语:
综上所述,我们可以了解到电力营销系统的安全管理是一项系统而又长期的技术管理工作。因此,随着我国现代化电力营销系统的不断发展,加强营销系统管理人员的安全保护机能与意识、加强电力营销安全系统建设、加强电力营销系统安全措施,势必成为我国电力企业现代化营销系统良好发展的基本保障。
参考文献:
[1] 门萍,门宁. 浅议电力营销局域网的安全管理[J]. 宁夏电力, 2005, (S1) .
[2] 房景亮,吕林霞. 电力营销自动化系统安全措施分析[J]. 供用电, 2006, (02) .
[3] 周菲林. 电力营销工作及其安全生产[J]. 广西质量监督导报, 2008, (11) .
【关键词】SCADA系统;信息安全
成品油管道输送过程中高度的自动化工业控制手段是确保管道安全、稳定输送成品油的前提,近年来为了实现实时数据采集与生产控制,满足“两化融合”的需求和管理的方便,工业控制系统和企业管理系统往往需要直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统也面临着来自Internet的威胁。因此建立成品油管道企业SCADA系统的安全防护体系和安全模型,对确保SCADA系统安全稳定运行,加速实现“数字化管道”的进程具有重要的现实意义,是当前管道企业自动化控制系统建设中亟待解决的大问题。
一、华南管网生产网现状及特点
销售华南分公司作为石化企业最长的成品油长输管道,典型的资金和技术密集型企业,负责西南及珠三角3千多公里的成品油输送业务,管道全线由国际上先进的SCADA系统完成对输油管道生产过程的数据采集、监视、水击保护与控制,批量计划、批次编排与输送,管道泄漏检测与定位等任务。华南管网的生产运行以调控中心操作控制为主,管道生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,生产管理上更注重安全和平稳运行。SCADA控制网络由DCS、PLC和SCADA等控制系统构成,生产网在数据采集方面,采用开放性设计。开放性设计是当今系统设计的基本要求,它要求计算机软硬件厂家共同遵守通用的国际标准,以实现不同厂家设备之间的通讯。整个华南管网SCADA系统采用OPC协议、IEC 104协议、Modbus协议等通用标准接口与几十家甚至上百家的第三方设备通讯,采集足够的管线运行参数,如液位、温度、电气、阴保、密度等信号,确保对管线的有效监控。具体架构见图1所示。
在通信方式上,为确保监控数据及时、准确、安全的传输,采用沿管线敷设通信光缆线路方式,建立基于光同步数字传输系统下多业务传输平台(MSTP)的综合性通信网络,通过MSTP通信信道(主用信道)和公网SDH 2M信道(备用信道)方式进行数据传输和保护,以实现对沿线站场及线路SCADA实施远距离的数据采集、监视控制、安全保护和统一调度管理。在数据交换上,采用思科路由交换设备构建,使用EIGRP路由协议作为主干路由协议,负责整个网络的路由计算,具体网络拓扑见图2。
二、生产网络安全隐患分析
1.操作系统安全漏洞
目前公司主要采用通用计算机(PC)+Windows的技术架构,操作系统使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。当今的DCS厂商更强调开放系统集成性,各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流,任何一个版本的Windows自以来都在不停的漏洞补丁,为保证过程控制系统相对的独立性,现场工程师通常在系统正式运行后不会对Windows平台打任何补丁,更为重要的是打过补丁的操作系统没有经过制造商测试,存在安全运行风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
2.网络通信协议存在安全漏洞
OPC协议、Modbus协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
3.杀毒软件漏洞
为了保证工控应用软件的可用性及稳定性,目前部分工控系统操作站不安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,这容易导致大规模的病毒攻击,特别是新病毒。
4.应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞获取设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
5.缺乏有效的网络监控手段
缺乏统一的网络和业务系统监控平台,主要体现在以下四个方面。
第一是随着生产网络不断拓宽,对网络的依赖越来越大,要求对网络管理的内容日趋增多,包括网络管理、性能管理、应用管理、使用管理、安全系统等内容。第二是业务服务的规模增大,规划、维护、安全、管理等分工更加细致,管理迫切要求对业务服务管理和维护建立统一的、规范的、体系化的、层次化的服务管理。第三是多设备、多系统的运行信息、告警信息的多样化,需要对这些信息进行集中化的管理,进行智能化的分析、统计,得出有利于网络管理和维护的数据,便于更有效、更快捷的解决问题。第四是管理人员不断增多,管理流程日益复杂,管理成本不断上升,技术管理体系需要完善。
6.网络未有效隔离
公司生产网与Internet网间缺乏安全有效的隔离。随着互联网日新月异的发展和企业集团信息化整合的加强,中石化总部提出了生产数据集中采集,通过广域网实现集团内部资源共享、统一集团管理的需求,企业信息化网络不再是单纯意义上的Intranet,而Internet接入也成为必然。Internet接入减弱了控制系统、SCADA等系统与外界的隔离,容易造成蠕虫、木马等病毒的威胁向工业控制系统扩散。
7.缺乏有效的访问控制手段
操作站(PC)和服务器提供了过多的硬件接口,光盘、移动硬盘等存储介质未经安全检测就使用给网络安全带来了隐患;笔记本电脑等非生产终端设备未经过准入许可,通过网络节点接入后,在未授权的情况下便可以访问和操控控制网络系统,也存在安全隐患。
三、生产网络安全方案设计原则
针对以上存在的安全隐患,通过目前大型企业网络设计及建设经验,结合生产网络的特点,生产网络系统在安全方案设计、规划过程中,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等,这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设初期就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
分步实施原则:由于网络系统及其应用扩展范围广,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
四、生产网络安全保障的主要方法和措施
华南管网生产网的安全建设前提必须是确保生产应用系统的正常稳定,由于目前控制系统应用软件对网络稳定性及计算机性能要求较高,安全系统建设应基于不增加系统负担,不过大占用网络带宽,不因安全设备的安装增加故障点的前提考虑,尽可能进行网络加固监控,实现对网络安全事件的“事前、事中、事后”全程监控防范。现就生产网的建设提出自己的想法和建议,基本架构及方法如图3。
1.采用网络隔离技术,实现内外网数据安全交互
隔离防护系统建设必须遵循“安全隔断、适度交换”的设计原则,当用户的网络需要保证高强度的安全,同时又与其它不信任网络进行信息交换的情况下,采用数据通道控制技术,在保证内网系统和信息安全的前提下,实现内外网之间数据的安全、快速交换。采用多重安全机制、综合防范策略,彻底避免来自操作系统、命令、协议等已知和未知的攻击。目前此类安全产品以隔离网闸为代表,通过专用硬件使两个网络在物理不连通的情况下实现数据的安全传输。
2.建立综合网管系统,全面完整掌握网络运行状况
目前生产网所要管理的资源包括网络、主机、安全、数据库、中间件、业务系统等,通过采集以上资源全部告警状态信息、配置信息及性能信息,并与通信资源库进行关联,实现对全网的拓扑管理、配置信息管理、业务管理、故障管理、性能管理等功能。为了便于运行人员快速熟悉和掌握新的统一平台的使用,广泛采用了功能菜单和图形化界面相结合的操作界面。
3.建立网络入侵检测系统
入侵检测系统IDS(Intrusion Detec-tion System)提供一种实时的检测,对网络流量中的恶意数据包进行检测,发现异常后报警并动态防御。由于考虑到生产网的可用性及稳定性,故在服务器及操作站中不加装软件防火墙及网络流量检测软件,而是根据接口流量及带宽,在各管理处及输油站网络的交换机上链路出口、核心交换汇聚接口及与外网连接接口均部署IDS。为避免因设备故障影响网络通断,将IDS以旁路并联方式连接到网络中,对路由器或交换机做端口镜像,将需要监控的端口流量镜像后传输IDS后进行分析,最终通过IDS服务器完成集中监控、策略统一配置和报表综合管理等功能,实现从事前警告、事中防护到事后取证的一体化监控。
4.建立严格的准入控制
针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,我们必须在接入层设置强大的安全屏障,从网络接入端点的安全控制入手,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力,并严格控制终端用户的网络使用行为,保护网络安全。整个系统应包括准入控制手段、控制支撑、控制决策和应用接口4个层面。
5.通过桌面安全实现补丁及防病毒软件升级
操作站及服务器等PC设备考虑到生产网的安全,不直接Internet直接下载操作系统补丁及防病毒软件补丁,而在生产网内部建立桌面安全系统与外网连接,通过桌面安全系统实现对公司生产网内PC机的控制管理,从应用程序管理、外设管理、软件分发、补丁管理、文件操作审计、远程管理等多方面对PC机各种资源要素进行全程控制、保护和审计。确保桌面计算机运行的可靠性、完整性和安全性,提高PC机维护效率,从而达到自动化管理和信息安全监控的整体目的。
五、结论
随着计算机技术的发展,计算机病毒制造技术和黑客攻击技术也在不断的发展变化,越来越多的安全事件的发生,我国的工业基础设施面临着前所未有的安全挑战。虽然我们在生产网安全建设和防范过程中积累了一定经验,但我们仍需研究和探索,不断学习和掌握日新月异的网络安全新知识,综合运用多种安全技术来加强安全策略和安全管理,从而建立起一套真正适合企业生产网的安全网络体系。
参考文献
[1]戴宗坤.信息安全实用技术[M].重庆大学出版社,2005.
关键词:网络安全;网络攻击;安全管理
1. 引言
近年来随着网络技术的快速发展,计算机网络已经广泛应用于生产、生活的各个领域。在网络技术发展的同时网络安全也越来越重要了。越来越多的攻击实例告诉我们必须重视网络安全。由于网络具有开放性的特点,并且许多网络协议在设计之初就没有考虑到安全问题导致目前网络安全形势严峻。论文试图从我们日常工作、生活的细节入手,简要的介绍一些加强网络安全的有效措施,目的是提高网络的安全性,确保网络为我们高效、安全的服务。
2. 网络安全简介
网络安全是随着计算机网络发展产生的,它在整个计算机安全中占据重要的地位。近年来网络攻击的实例越来越多,究其主要原因可以归纳为:网络自身的安全缺陷、网络攻击技术的不断发展、安全管理方面的失误等方面。有些原因是我们无法克服或回避的,在此我们重点研究与我们生活密切相关的影响网络安全的因素。通过对众多案例的研究可以发现:操作系统平台的安全缺陷是导致网络安全失效的一个重要原因;用户在密码管理和设置上的失误是网络安全的常见因素;安全管理上的失误是网络安全的一个重要隐患;以及其他一些因素都对网络安全产生极大的影响。网络安全面临的主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。面对严峻的网络安全形势我们在生活和工作中要如何克服或尽最大努力减小损失?这是一个十分重要的问题。我们必须认真研究,采取有效措施。
3. 在应用中需要采取的安全措施
面对严峻的网络安全形势,我们在应用中如何有效的加以克服,笔者试图从以下几个方面来论述。
1.选用安全的操作系统平台,并加强保护。操作系统是整个网络运行的基础,是确保安全的基础平台。一旦操作系统存在安全问题必然造成严重的损失。所以,在操作系统的选择上尽可能的选择高安全的操作系统,当然对于普通用户来讲也必须兼顾友好的交互性。目前主流的操作系统包括微软公司的Windos系列和UNIX、Linux等。就安全性来讲,UNIX、Linux具有很好的性能。这主要归功于它们的设计思想。以Linux为例,Linux主要特点可归纳为安全、高效。可见Linux在设计之初就将安全性考虑到了甚至被作为最重要的指标之一。所以选用这样的操作系统就能有效的提高安全性。同时由于目前的病毒主要是针对软公司的Windos系列设计的,在Linux平台下根本就不能运行,从这个角度来看Linux在病毒防护上具有很好的优势。笔者曾经应用Linux的这个特点清除过许多病毒,有效的挽救了许多重要资料。
如果用户由于操作的友好性方面选择了Windos系列,只要能采取积极有效的措施也能确保系统的高安全运行。Windos系列的一个主要缺点就是存在很多安全漏洞,并且大家对其比较熟悉,所以众多的病毒以及网络攻击都是针对它开发的。但是,只要我们采用积极地安全措施如安装好防护墙、杀毒软件以及实时打好补丁还是能安全运行的。在实际应用中,我们要求杀毒软件必须实时更新,并且如果出现病毒不能被查杀可以更换杀毒软件,确保系统的清洁、安全。并且在工作中要关注微软的补丁通告,及时安装补丁,确保安全。
2.提高安全意识,保护网络安全。在前文已经论述网络安全主要有:病毒攻击;网络入侵;密码窃取以及远程控制等多个方面。明白了这些,我们再来思考一下出现安全的原因或者是为什么别人会攻击你,目的是什么,无非有这些:让你的系统不能工作、窃取你的资料等等。那么我们在具体的工作应用中就必须采取相应的措施。一方面要安全上网。安全上网主要是指尽可能不上一些可能存在病毒的一些网站,同时关闭系统中的一些端口预防系统受到攻击。另一方面是提高警惕,确保关键信息的安全。不要在非安全的网络环境中输入一些重要的密码或存取关键文件。现在有许多“钓鱼”网站,以窃取用户的关键密码为目的。如有些网站模仿银行的网站,骗取用户的卡号和密码,从而盗窃用户的钱财。这样的实例实在是举不胜举。当然,在生活中也不要随意安装一些免费软件,某些不法分子在软件中隐藏一些“木马”,这样能随时窃取用户的关键信息,甚至控制用户的机器,进而做进一步的非法操作。总之,在日常网络操作中要提高警惕,确保关键信息的安全。
3.加强管理,确保信息安全。一个企业的网络安全十分重要,特别是像银行这样的金融企业尤为突出。通过对多个网络安全事件的剖析,我们可以看到安全管理对企业的网络安全具有十分重要的作用。一个攻击者想要有效的对像金融企业这样十分重视网络安全的对象,并非易事。那么他们通常会怎么做?他们一般是一方面扫描对象,目的是找出网络漏洞,另一方面是积极地收集对象员工的信息,通过跟踪他们就能获取一些十分有价值的信息,从而有效攻击对象。他们可以跟踪对象内部员工,从而让系统感染病毒,或套取员工密码直接进入系统。以及其它一些类似的手段。通过近年的案例可以看出,这是一种十分有限的方法。那么我们在实际的网络应用中,如何加强安全管理?一方面,加强安全意识教育,确保员工能时时注意安全。另一方面,必须制定一套严格的操作规范,确保安全。在安全教育上,要求在涉及到企业信息安全的事情上一定要规范操作,不能随意处理,防止信息泄露。在密码设置上,要求规范设置,防止被入侵者猜测到。甚至对某些关键的信息,采取生物特征识别方式,提高密码的高安全性。并要求定期更换密码,防止密码失窃。在安全规程的制定上,要根据企业的具体特点设置便于操作执行的有效规程,并要严格执行。对在执行中不规范的行为要严肃处理,维护规程的严肃性。
4.定期对系统进行安全“体检”。为了进一步的提高网络的安全性,确保关键信息的被有效保护,必须定期对系统进行安全“体检”。通过定期的“体检”和对安全日志的深入分析,找出系统潜在的风险并及时采取有效措施。通过安全日志的分析,研究者能够清晰的掌握整个系统的网络访问过程,并对异常访问做出有效的判断,甚至对 一些违规的操作做出及时的处理,目的就是预防潜在的威胁。例如通过对系统的安全体检可以找出一些入侵者前期的调查活动,从而及是的采取防范措施。近年来,通过对系统进行安全“体检”以及对安全日志的深入分析,已经极大的提高了系统的安全性,保证了网络的高效运行。
通过上面的研究,我们可以发现网络安全是一个十分重要又繁琐的事情,在日常的工作、生活中,我们要严格按照相关安全规程操作才能有效的保护网络,确保信息的高安全、高稳定运行。
4. 结论
随着计算机网络在我们日常生活的广泛应用,它已成为确保社会高效运行的重要部分。然而,由于网络自身的问题以及许多人为的因素导致目前计算机网络面临巨大的安全威胁。为了确保计算机网络的安全运行,我们必须采取有效的安全措施。论文从普通用户应用计算机网络的角度出发,系统的论述了提高计算机网络安全采取的有效措施。其中,选用高安全的操作系统是提高网络安全的基础;提高用户的安全意识是确保网络安全的重要措施;加强安全管理能从根本上杜绝内部信息的泄露,保证关键信息的安全;定期对系统进行安全“体检”,能消除潜在威胁,提高系统的安全。总之,只要我们在具体的网络应用中严格遵循安全规范就能有效保护信息,提高系统的安全。
参考文献:
1.邓崧,彭艳.用OCTAVE方法分析屯子政务系统的信息安全【J】.情报杂志,2006,25(1):75—77.
1网络安全风险分析
1.1网络结构的安全风险分析
电力企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有信息,假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
1.2操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
1.3应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。
1.4管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
2网络信息与网络安全的防护对策
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护计算机网络信息的安全。网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。以下分别就这两个方面进行论述。
2.1管理维护措施
1)应建立健全计算机网络安全管理制度体系,定期对管理制度进行检查和审定,对存在不足或需要改进的管理制度及时进行修订。2)使用人员应该了解国家有关法规、方针、政策、标准和规范,并主动贯彻与执行;掌握终端的基本使用常识,了解国家电网公司、省公司及分公司有关管理制度,并严格遵守。3)坚持“分区、分级、分域”的总体防护策略,执行网络安全等级保护制度。将网络分为内网和外网,内、外网之间实施强逻辑隔离的措施。4)内外网分离,外网由信息职能管理部门统一出口接入互联网,其他部门和个人不得以其它方式私自接入互联网,业务管理部门如有任何涉及网络互联的需求,应向信息职能管理部门提出网络互联的书面申请,并提交相关资料,按规定流程进行审批,严禁擅自对外联网,如果互联网使用人员发生人动,原来申请的互联网账户必须注销。5)必须实行实名制,实行“谁使用,谁负责”,通过建立电力企业网络中确定用户的身份标识,将网络用户与自然人建立起一一对应的关系。6)加强网络监管人员的信息安全意识,特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强。7)有关部门监管的力度落实相关责任制,对计算机网络和信息安全应用与管理工作实行“谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合”的原则,逐级建立安全保护责任制,加强制度建设,逐步实现管理的科学化、规范化。8)办公人员每天直接面对计算机的时间是最长的,如果办公人员本身的计算机操作水平很高,就会有效地减少一些不必要的维护工作。因此,建议计算机管理员在每次维护的过程中,可以适当地把故障产生的原因和维护办法以及注意事项向办公人员做以讲解。随着维护工作不断地进行,时间长了,再遇到类似的故障办公人员便可轻松独立处理,而不只是束手无策。这样,既能提高工作效率,又能降低故障,还能避免重复维护。
2.2技术维护措施
1)操作系统因为自身的复杂性和对网络需求的适应性,需要及时进行升级和更新,因此要及时升级并打上最新的系统补丁,严防网络恶意工具和黑客利用漏洞进行入侵。2)按要求安装防病毒软件、补丁分发系统、移动存储介质管理系统等安全管理软件,进行安全加固,未经许可,不得擅自卸载。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。在信息系统的各个环节采用全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,有效地防止和抑制病毒的侵害。3)防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实施相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制,对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。4)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令,口令要足够强健,长度不得少于8位,并定期更换,计算机帐号和口令要严格保密,用户短时离开要启动带口令的计算机屏幕保护程序或锁定计算机,长时间不使用计算机,必须将计算机关机,以防他人非法使用。5)要执行备份管理制度,对重要数据进行备份。加强对数据和介质的管理,规范数据的备份、恢复以及废弃介质、数据的处理措施。6)对于办公计算机而言,每天都要在办公区高频地收发处理文件,特别是使用U盘作为传输载体,传播病毒的几率更是居高不下,破坏力极强。可通过批处理程序在开机时把驱动加进去,然后关机时恢复原来设置;或通过组策略设置不自动打开U盘,然后启用杀毒软件扫描。