網絡安全技術體系
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全技術體系范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全技術體系范文第1篇
關鍵詞:計算機技術;網絡技術;網絡安全;病毒
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 07-0000-02
網絡安全是我國信息產業發展過程中一直面臨的一個重要難題,對于這個問題,我國已經從系統上進行了整體規劃,從政策上給予引導,從技術上給予研發。安全問題已經成為信息產業的一個重要組成部分,甚至可以說它對國內各行業的電子化和信息化發展的速度會有非常重要的影響。近年來,信息安全的內涵與過去相比已經發生了很大變化,因為,全世界的計算機都通過網絡協議連接到了一起,現在的網絡安全防衛技術不在具有針對性而是具有普遍性。網絡安全軟件表現出了于與以往不同的幾大特點:1.完全符合國家關于網絡安全體系要求,能夠真正解決網絡安全相關問題。2.網絡安全策略和安全技術普遍呈現多樣化,單一的安全技術和策略逐漸被淘汰。3.計算機網絡的安全機制與相關技術在不斷地發展和進步,安全與反安全就像矛盾的兩個方面,總是不斷交替的向上攀升,這在一定程度上也決定了計算機網絡安全問題必將成為一個隨著新技術發展而不斷發展的技術。
一、網絡安全的涵義
顧名思義,網絡安全就是計算機網絡系統能夠正常的運行,數據傳輸過程能夠做到可靠和保密,不受病毒或黑客的干擾或破壞,通過安全的暢游網絡世界。網絡安全技術涉及面比較廣泛,包括很多方面,如:物理方面的安全技術,網絡結構方面的安全技術,計算機系統方面的安全技術,網絡管理方面的安全技術及其它相關的安全服務和安全機制等。此外,網絡安全的含義是隨著用戶的不同而有所變化的,如:對于個人用戶來說,他們希望網絡上所有涉及自己隱私的信息都能夠具有保密性,希望在網上進行交易時,能夠安全可靠;對于企業來說,他們希望,網絡里傳輸的所有商業信息都能夠做到機密性、完整性和安全性。
二、網絡安全的防范手段
“魔高一尺,道高一丈”,計算機病毒無論有多么猖獗,最終都會給殺毒軟件消滅,事實上,我們不能總是消極的等待消滅已出現的病毒,而是應該采取積極的防范措施,將病毒、木馬等破壞程序消滅在萌芽狀態,避免對計算機用戶帶來威脅。近年來。在網絡安全方面的技術更新速度比較快,防范效果比較好,常用的安全防范技術有:數據加密技術和防火墻技術等。數據加密是目前防止非法用戶截獲和盜用信息的一個有效手段,因為數據在傳輸以前進行了加密處理,在解密之前看不到任何信息,防火墻技術是通過阻擋黑客的訪問權限來保護網絡安全的一個重要技術手段。此外,還有一些防范手段,具體如下:1.物理手段:通過物理的手段對一些網絡關鍵產品進行保護,如,保護交換機、大型計算機,安裝防輻射工具、防火措施以及安裝不間斷電源等。2.設置訪問權限:嚴格控制用戶訪問網絡的權限,要求只有認證的才能訪問。如,沒有進行身份認證的用戶不能訪問,不同的人群開放不同的訪問權限,已經認證的密碼口令要進行加密,并且不斷更換。3.數據加密:目前,有效保護數據安全的重要手段之一就是對數據進行加密處理。因為,被加密處理的數據,不容易被木馬程序截獲,即使被截獲,也不容易被讀懂。4.網絡隔離:網絡隔離的常見方式有:隔離卡、網絡安全隔離網閘,這兩種方式都有很好的防范作用,這兩種方式的應用對象有所不同,對單臺機器的隔離主要采用隔離卡,而整個網絡的隔離通常采用網閘。5.其他措施:其他措施有很多,下面主要介紹一些最實用的防范手段:過濾信息、備份重要數據、更新殺毒軟件、數據鏡像等。
三、網絡安全主要存在的問題
任何一種單一的技術或產品都無法滿足網絡對安全的要求,只有將技術和管理有機結合起來,從控制整個網絡安全建設、運行和維護的全過程角度入手,才能提高網絡的整體安全水平。無論是內部安全問題還是外部安全問題,歸結起來一般有以下幾個方面:
(一)整個網絡安全建設方面存在的問題
1.網絡建設單位、管理人員和技術人員缺乏安全防范意識,從而就不可能采取主動的安全措施加以防范,完全處于被動挨打的位置。2.組織和部門的有關人員對網絡的安全現狀不明確,不知道或不清楚網絡存在的安全隱患,從而失去了防御攻擊的先機。3.組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構,其缺陷給攻擊者以可乘之機。
(二)網絡運行和維護過程中的問題
1.組織和部門的計算機網絡沒有建立完善的管理體系,從而導致安全體系和安全控制措施不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。2.網絡安全管理人員和技術人員缺乏必要的專業安全知識,不能安全地配置和管理網絡,不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能做出積極、有序和有效的反應。
(三)網絡自身特點及技術缺陷
1.網絡的開放性。我們可以通過一臺電腦和一根網線,通過網絡遨游全世界,網絡自由的今天,很多網絡用戶沒有受到任何制約,可以任意訪問一些網站,和下載需要的信息和數據。網絡的完全開放性在一定程度上也決定了其可能受到各方面的威脅,如:物理傳輸線路的威脅、網絡通信協議的威脅等。2.防火墻具有局限性。防火墻技術是由軟件和硬件設備共同責成的,在局域網與因特網之間形成的一道安全網關,這個網關作為保護屏障,能夠避免企業等內部網絡受到非法用戶的侵入。但是防火墻技術有一的缺陷,它不能防范來自防火墻以外的所有針對計算機的攻擊,不能避免計算機內部的威脅和病毒,也不能防范數據驅動型攻擊。3.操作系統安全缺陷。一是系統體系內部結果缺陷,由于,操作系統管理的模塊和程序比較多,如,內存、外部設備,程序一旦出現問題,可能導致整個計算機系統癱瘓。有些黑客在攻擊計算機系統,尤其是服務器系統時,往往會尋找操作系統的漏洞實施攻擊,有缺陷的模塊遭到攻擊后,會給整個計算機系統帶來很大危害,出現運行緩慢等癥狀,嚴重時會導致整個系統崩潰。二是安裝可執行文件或傳輸文件時帶來威脅網絡安全的因素。因為,網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。
四、網絡安全主要技術分析
準確的說網絡是沒有最安全的,如果有最安全的網絡,那世界上所有的殺毒軟件商都要關門了。所以,計算機用戶只有力求最大限度地保障電腦的安全,正所謂,在安全方面,不求最好,但求更好。
(一)網絡防火墻技術
網絡防火墻技術是應用最廣泛的一個網絡安全設備,它能夠在一定程度上防止外部網絡用戶以非法的手段通過外部網絡進入內部網絡,防止內部網絡資源被竊取,它能夠為安全管理提供詳細的系統活動記錄,它在不同的位置有不同的作用,比較常見的是,建立在一個服務器/主機機器上,也就是平常所說由內部網和外部網聯接形成的多邊協議路由器,也叫做“堡壘”。
(二)加密技術
通常來說,計算機系統涉及到的加密技術大概有兩種:一是對稱加密、二是非對稱加密。對信息的加密和解密采用相同密鑰的方式稱為對稱加密,即用同一把鑰匙可以進行開門和關門的加密方式。非對稱加密技術的密鑰分為兩部分:公開密鑰和私有密鑰。日常應用過程中,非對稱加密技術的保密效果更好,應用的更加普遍。
(三)安全掃描和隔離技術
即利用安全掃描軟件對計算機整個網絡中的漏洞和潛在的威脅進行多角度、全方面的掃描檢查,為了保證安全系數較高的網絡環境,對新發現的病毒、潛在威脅加入到漏洞庫中,對發現的系統漏洞進行安裝更新。
此外,網絡安全技術還有很多,如虛擬專用網技術、入侵檢測技術、防病毒技術、系統備份和災難恢復、反垃圾郵件技術等。其中,很多技術在不斷完善,由簡單到復雜,在不久的將來,這些網絡安全技術必將給網絡安全提供一個更加完全的環境提供強有力的技術支持。
五、結束語
網絡安全技術涉及面廣,涉及網絡技術、硬件設備、計算機管理、相關法律規章制度等,安全軟件的問世需要從各個方面進行綜合考慮,需要各種技術與相關管理與法律的配套。即使網絡中每天都充滿很多攻擊和挑戰,即使每天都有新的病毒出現,但是,只要計算機技術人員不斷學習和了解各種linux,UNIX平臺,隨時關注網絡安全最新安全動態,熟悉有關網絡安全的硬軟件配置方法,多從網絡安全論壇上獲取新的知識,就一定能最大限度的保證網絡的安全運行。
參考文獻:
[1]喬慧.網絡安全的研究[J].內蒙古石油化工,2008,03
[2]辛衛紅.淺析計算機網絡安全與防護[J].科技廣場,2008,05
[3]張田.計算機網絡安全相關問題分析[J].中小企業管理與科技(上旬刊),2011,08
網絡安全技術體系范文第2篇
關鍵詞:計算機;網絡;安全;結構;技術;完善
0 引言
網絡安全技術指致力于解決諸如如何有效進行介入控制以及如何保證數據傳輸的安全性的技術手段,在網絡技術高速發展的今天,它關系到小至個人的利益,大至國家的安全。對網絡安全技術的研究意義重大,對網絡安全技術的研究就是為了盡最大的努力為個人、國家創造一個良好的網絡環境,讓網絡安全技術更好地為廣大用戶服務。
1 計算機網絡安全體系結構
計算機網絡安全體系結構是由硬件網絡、通信軟件、防毒殺毒、防火墻以及操作系統構成的,對于一個系統而言,首先要以硬件電路等物理設備為載體,然后才能運行載體上的功能程序。對于小范圍的無線局域網而言,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,目前廣泛采用WPA2加密協議實現協議加密,通常可以將驅動程序看作為操作系統的一部分,經過注冊表注冊后,相應的網絡通信驅動接口才能被通信應用程序調用。
2 計算機網絡安全技術研究
2.1 安裝防病毒軟件和防火墻 在計算機主機上安裝可靠性高的防病毒軟件和防火墻,及時對主機的各個存儲空間進行安全保護,定時掃描、修補可能出現的技術漏洞,做到及時發現異常,及時處理;防火墻是通過軟、硬件組合,對企業內部網和外部網起到過濾網關的作用,從而嚴格控制外網用戶的非法訪問,并只打開允許的服務,防止外部網絡拓展服務的攻擊。
2.2 安裝入侵檢測系統和網絡誘騙系統 計算機安全防御體系是否完整有效的主要衡量因素為入侵檢測能力的高低,入侵檢測系統由軟件和硬件組成;網絡誘騙系統是通過構建虛假的計算機網絡系統,誘騙入侵者對其進行攻擊,從而起到保護實際網絡系統的目的。
2.3 使用數據加密技術提高系統安全性 傳統的信息加密技術和新興的信息隱藏技術可為計算機信息的存儲及傳輸提供安全保障,用戶在進行絕密或重要信息的傳輸過程中,不僅要做好信息本身的加密,還可以利用隱藏技術對信息發送者、接收者及信息本身進行隱藏。常用的隱藏技術有隱藏術、數字嵌入、數據隱藏、數字水印和指紋技術。
2.4 做好重要信息的備份工作 計算機信息存儲工作要遵循多備份和及時更新的工作原則,數據信息可根據其重要性或數據量進行不同方式的存儲:對于不需修改的重要數據可直接刻錄光盤存儲;需要修改的數據可存儲在U盤或移動硬盤中;不重要的數據可存儲在本地計算機或局域服務器中;較小數據可存儲在郵箱中。
2.5 使用安全路由器 安全路由器的使用可將內部網絡及外部網絡進行安全隔離,互聯,通過阻塞信息及不法地址的傳輸,保護企業內部信息及網絡的安全性。安全路由器是對其芯片進行密碼算法和加/解密技術,通過在路由器主板增加安全加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。
2.6 重視網絡信息安全人才的培養 加強計算機網絡人員的安全培訓,使網絡人員熟練通過計算機網絡實施正確有效的安全管理,保證計算機網絡信息安全。一方面要注意管理人員及操作人員的安全培訓,在培訓過程中提高專業能力、安全保密觀念、責任心;對內部人員更要加強人事管理,定期組織思想教育和安全業務培訓,不斷提高網絡人員的思想素質、技術素質和職業道德。
3 云計算安全技術的應用
云計算通過集中所需要計算的個體資源,通過需求而獲得企業所需要的資源,并且通過自動化管理與運行,從而將計算的需求傳達給網絡,使網絡能夠處理企業所需要的計算服務。云計算開創了一種資源共享的新模式,能夠改變當前用戶使用計算機的習慣,通過網絡計算,能夠大大節省企業所需要的空間以及實踐,從而節約企業運行成本,提升企業的工作效率。因此在云計算的過程中,必須考慮到信息安全的問題,避免商業機密泄露,給企業帶來重大的損失。
3.1 云計算的應用安全技術性分析 云計算應用安全性需要終端用戶及云服務商雙方共同采取保護措施。一方面,云計算的終端用戶應保證本人或本企業計算機的安全,利用安全軟件降低計算機被不法分子進行技術攻擊的可能。如反惡意軟件、防病毒、個人防火墻以及IPS類型的軟件等,可保護用戶瀏覽器免受攻擊,并能定期完成瀏覽器打補丁和更新工作,以保護云用戶數據信息的安全性。另一方面,用戶可使用客戶端設備訪問各種應用,但不能對云平臺基礎設備進行管理或者控制,因此,選擇云平臺供應商就顯得十分重要。評價供應商主要原則為依據保密協議,要求供應商提供有關安全實踐的信息,如設計、架構、開發、黑盒與白盒應用程序安全測試和管理。
3.2 數據安全技術性分析 云計算服務模式包括軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(laaS)三種,這三種服務模式面臨的主要問題是避免數據的丟失或被竊,因此,應在數據傳輸、隔離及殘留方面進行安全保護。
首先,在使用公共云時,傳輸數據應采取加密算法和傳輸協議,以保證數據的安全性和完整性。其次,云計算供應商為實現服務的可擴展性、提高數據計算效率及管理等優勢。在安全技術未發展至可給任意數據進行安全加密的階段下,可采取的措施就是將重要或者敏感的數據與其他數據進行隔離,保障數據信息的安全性。最后,數據殘留是數據安全遭受威脅的另一因素,云計算環境下,數據殘留會無意泄露敏感信息,因此需要服務供應商能提供將用戶信息進行徹底清除的保障。
4 結語
綜上所述,加強計算機網絡安全就需要從多方面建立立體的計算機網絡安全結構體系提高對網絡風險的控制和預防,全面保障計算機網絡安全。
參考文獻:
網絡安全技術體系范文第3篇
【關鍵詞】計算機;實際應用;問題
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。從技術上來說,計算機網絡安全主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等。
一、計算機網絡安全技術
(一)防火墻技術
防火墻是指一個由軟件或硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
(二)數據加密技術
與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
(三)PKI技術
PKI技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術作為一種相對安全的技術,恰恰成為了電子商務、電子政務、電子事務的密碼技術的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全。
二、計算機網絡安全存在的問題
(一)互聯網絡的不安全性
1.網絡的開放性
由于現代網絡技術是全開放的,所以在一定程度上導致了網絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網絡通信協議的攻擊,也包括來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客等等。
2.網絡的自由性
大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。這也為了影響網絡安全的一個主要因素。
(二)操作系統存在的安全問題
操作系統作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1.操作系統結構體系的缺陷
操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2.操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。
3.操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
(三)防火墻的局限性
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使內部網與外部網之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
網絡安全技術體系范文第4篇
關鍵詞 二次系統;網絡;安全防護;預案
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
電力監控系統及調度數據網作為電力系統的重要基礎設施,不僅與電力系統生產、經營和服務相關,而且與電網調度、與控制系統的安全運行緊密關聯,是電力系統安全的重要組成部分。電力生產直接關系到國計民生,其安全問題一直是國家有關部門關注的重點之一。
隨著通信技術和網絡技術的發展,接入電力調度數據網的電力控制系統越來越多。電力系統一次設備的改善,其可控性已滿足閉環的要求。隨著變電集控所模式的建立、變電站減人增效,大量采用遠方控制,這對電力控制系統和數據網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術和因特網已得到廣泛使用,使得病毒和黑客也日益猖獗。目前有一些調度中心、發電廠、變電站在規劃、設計、建設控制系統和數據網絡時,對網絡安全問題重視不夠,構成了對電網安全運行的嚴重隱患。除此之外,還存在黑客在調度數據網中采用“搭接”的手段對傳輸的電力控制信息進行“竊聽”和“篡改”,進而對電力一次設備進行非法破壞性操作的威脅。因此電力監控系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
1福州地區電網二次系統網絡安全評估概述
1.1 概況
福州地調二次系統安全評估包括:二次系統資產評估、網絡與業務構架評估、節點間通信關系分析、二次系統威脅評估、現有防護措施評估、主機安全性評估、網絡系統評估、安全管理評估、業務系統安全評估、二次系統風險計算和分析、安全建議等評估內容,評估之后針對系統的薄弱點進行安全加固,并制定《福州局電力調度自動化系統應急預案體系》,提高調度自動化系統運行的可靠性,安全性,有效預防和正確、快速處置電力調度自動化系統癱瘓事件,不斷提高福州電網預防和控制調度自動化事件的能力,最大限度地減少其影響和損失,保障電網的安全運行。安全評估的實施基本流程如圖1所示。
1.2 網絡安全評估的過程
1.2.1資產調查
資產調查作為信息收集的一個關鍵步驟,是開始安全評估工作的第一步,也是安全加固工作的基礎,其主要目的是準確全面的獲得被評估系統的信息資產清單。
因此,在進行評估項目實施時,我們很重視資產調查的過程和方法,以期收集到準確、全面的信息資產清單。對于每一個資產來說,都需要比較準確的收集各項屬性,因此我們計劃整個資產調查過程如下,以確保我們的資產調查目標的實現。
1.2.2采用了正向測試與逆向滲透相結合的漏洞深度檢測方法
在本項目中,安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內的系統和網絡進行安全掃描,從內網和外網兩個角度來查找網絡結構、網絡設備、服務器主機、數據和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。應用正向測試與逆向滲透相結合的漏洞深度檢測方法,對電力二次系統主機信息安全進行分析。
1.2.3采用了遠程漏洞掃描與本地主機自動化腳本檢測相結合的脆弱性獲取方法
滲透測試主要依據安全專家已經掌握的安全漏洞,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。所有的測試將在授權和監督下進行。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度,但是存在一定的誤報率,不能發現高層次、復雜的安全問題;滲透測試需要投入的人力資源較大、對測試者的專業技能要求很高(滲透測試報告的價值直接依賴于測試者的專業機能),但是非常準確,可以發現邏輯性更強、更深層次的弱點。
1.2.險計算和分析
信息安全風險評估的風險計算部分主要以業務系統作為風險計算和分析的對象,以福州電業局本部為例,本次對福州電業局SCADA系統、電能量采集系統、OMS系統和DMIS網站共4個業務系統進行了評估和測試,各個業務系統的信息資產價值、威脅發生可能性和脆弱性嚴重程度的進行賦值,并通過風險計算,得出風險計算結果,確定各個系統的危險程度,找到業務系統的安全薄弱點。
1.2.5安全建議
根據計算出來的安全結果,通過管理和技術等兩方面來加強網絡設備和安全設備的安全性,對訪問重要設備的用戶應遵循一定規章制度,對網絡配置的更改、權限的分配要及時進行記錄備份歸檔。
對重要業務系統和服務器進行定期的漏洞病毒掃描,對掃描結果進行分析記錄并歸檔。對新系統上線前應進行掃描和加固,對掃描的日志及時進行安全審計并歸檔。
對網絡運行日志、操作系統運行日志、數據庫運行日志、業務系統運行日志進行定期的安全審計并提交安全審計記錄和報告,對報告中的非法行為應及時報告并處理。
對于網絡設備和安全設備的配置日志應另存儲在日志服務器中,而非存儲在本地路由器或是交換機上,并定期的進行備份歸檔。對于日志的種類應當包括所有用戶對網絡設備和安全設備的查看、更改等。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
2地區電網自動化系統整體應急預案體系建設
2.1應急預案體系的出現
現階段地區調度自動化各系統聯系緊密,單個系統的故障將連鎖影響多個其他系統運行,電力調度數據網建設向縣調及110kV變電站延伸,接入系統種類日趨復雜,二次安全防護木桶效應日趨明顯。由于系統風險主要來自于病毒及相關聯系統的故障,故障類型復雜并存在觸發或并況,應急預案的思路逐步擺脫了自動化單個系統預案的思路,慢慢向以自動化二次整體應急預案體系進行轉變。該思路面對系統出現嚴重故障時,整體地考慮恢復手段及措施,隔離故障區域,屏蔽受影響系統的部分功能,將日常人工或自動備份的硬件及軟件快速導入故障設備,恢復系統。在日常備份及演練過程中,綜合考慮各系統間的互補能力和約束條件,并切合地調實際,高效率低成本地實現該預案體系。該體系重視系統整體恢復的效率和日常投入成本的二維標準,兼收并蓄各種技術手段和管理手段的優勢。
2.2 應急預案體系的特點
該預案體系適應自動化系統日益聯系緊密的特點,擺脫之前針對某一系統制定預案的思路,采用“整體考慮,互為備用,分散管理,集中恢復”總體思路,避免出現系統孤島,綜合考慮,兼顧各個系統及全面事故預想,具有兼容性強,各子系統預案操作性強,入門要求低,恢復手段有效快速,投資成本低,日常維護工作量少,實用化推廣價值高的特點。
預案體系總體框架圖各子預案關聯關系圖
2.3 預案體系各個子預案之間的關系
2.3.1共存關系
各預案體系間存在互相引用,互為補充關系。簡化了對預案編寫的復雜程度,將復雜的系統問題轉化成為多個專項問題來解決。
集控系統資源成為EMS預案中的備用設備,將整體自動化系統一體化考慮,互為備用,充分利用資源,降低預案成本。
2.3.2互斥關系
預案體系中的電源子預案和其他預案間存在互斥關系,當涉及到整體電源異常時,就要考慮犧牲小系統,保全大系統的整體
3 結論
本項目對地區電網二次系統網絡安全防御體系開展了專題研究與實踐,研究結果有效提高了地區電網二次系統網絡的安全防御能力,對網省調度中心乃地市電業局的二次系統安全建設都起到了重要的指導意義。項目根據研究結果構建了調度自動化應急預案體系以及與之相配套開發的快速備份恢復系統,投資少,效益高,為電網的安全可靠運行提供堅強的技術支撐。該項目的開展促進了調度中心對現有二次系統安全現狀和存在的各種安全風險有了深入的了解 ,確保調度中心對二次系統中存在的各種安全風險采取相應的網絡安全手段和部署選用必要的安全產品 ,對今后全省乃至全國地區電網二次系統網絡安全建設具有重要的指導意義。
參考文獻
[1]張王俊,唐躍中,顧立新.上海電網調度二次系統安全防護策略分析.電網技術,2004(18).
[2]王治華.安全運營中心及其在調度中心二次系統中的應用.電力系統自動化,2007(22).
[3]陳文斌.電力二次系統網絡與信息安全技術研究.電工技術,2008(11).
[4]民,辛耀中,向力,盧長燕,鄒國輝,彭清卿.調度自動化系統及數據網絡的安全防護.電力系統自動化,2001(21).
[5]葛海慧,盧瀟,周振宇.網絡安全管理平臺中的數據融合技術 .電力系統自動化,2004(24).
[6]胡炎,辛耀中.韓英鐸 二次系統安全體系結構化設計方法.電工技術,2003(21).
[7]程碧祥,電力調度自動化系統中物理隔離技術的研究與應用.電工技術,2008(1).
網絡安全技術體系范文第5篇
關鍵詞:電視媒體網絡;存儲安全技術;數據存儲
現代網絡技術的普及應用給電視媒體節目的制作、播出以及存儲帶來很大的影響,目前已經出現了非線性后期網絡制作、硬盤自動播放、媒體資料管理等新的網絡電視功能。大量的電視節目的制作資料依賴于網絡存儲功能,那么網絡存儲安全性的問題,也在被電視媒體工作者們所關注。
1 網絡認證存儲安全技術
存儲安全是指確保數據存儲的完整性、可靠性和調用的便利性,包含了設備安全與應用安全。前者是指存儲設備自身的技術可靠性和實用性,后者指的是保存在存儲設備中的數據邏輯完整性。目前比較常用的存儲技術包括DAS(Direct Attached Storage即直接附加存儲)、DAS(Network Attached Storage 即網絡附加存儲)、SAN(Storage Aera Network即存儲區域網)[1]。現在比較常用的是SAN形式存儲網絡。下面我們就網絡存儲的安全技術進行介紹:
1.1 認證與授權
認證與授權是存儲系統所具備的最基本的服務功能,其中認證是指確定某個實體或信息源的身份,分別是實體認證和信息認證,存儲服務器在許可數據的生產者、管理者和使用者訪問的時候,首先要對其合法身份進行驗證,如果驗證身份合法,則賦予訪問者相應的權利,叫做授權。
1.2 保密性與完整性
當數據在多個遠程存儲器上進行生產、存儲和使用時,如果出現未被授權者的惡意攻擊,一個惡意的舊版本文件就可以取代當前的文件。對此可以通過加密的方式來保證信息的秘密性,為每個會話設置好時間或隨機驗證信息可以阻擋他人的重發攻擊。通過使用接層協議SSL與反協議工PSEC可以保證數據傳輸的安全性。
1.3 認證密鑰的管理
密鑰是打開數據庫大門的鑰匙,當多個用戶同時使用數據庫中的信息時就需要通過密鑰進行認證。對于密鑰的有效性和拓展管理就顯得非常有必要。當變更組群中的用戶時需要對共享文件進行重新加密,此外恢復密鑰技術也很關鍵,在密鑰恢復系統中會有一個備份解密的容器,它在某些條件下允許被授權的用戶在獲得實體信息的協助下解密密文。
2 網絡存儲安全的高可用技術
網絡技術已經成為電視媒體的關鍵技術,這些技術必須提供全年365天的全天24小時穩定服務。如果這些功能的主機系統出現故障,就會嚴重影響電視工作的進展。所以,提高系統的可用性就顯的非常重要。近些年來,網絡服務器的實用性有了很大提升。如內存ECC(錯誤代碼矯正)、硬盤RAID技術、網絡負載均衡技術以及其他關于硬盤的冗余設計等都使系統的可靠性的到很大的提升。但是由于系統內部的核心部件(如CPU、主板)長期處于工作狀態,每年都難免出現故障,為了提高系統的高可用性,我們可以從以下幾方面加以改進:
2.1 雙熱機備份方法
我們說的雙熱機備份方法就是指以一臺主機作為主服務器,另一臺作為備份服務器,在兩臺主機之間通過純軟件的方式達到雙機容錯。一般在正常的情況下,主服務器應該為系統提供運行支持,備份服務器則用來監視主服務器的工作狀況。當出現故障主服務器不能繼續工作時,備份服務器會接替主服務器的位置,為系統提供服務,保證系統工作繼續開展。這時備份服務器就成了主服務器。主服務器經過修復后,系統管理員可以指令或以手動的辦法恢復主服務器的功能。反之,在系統工作中,主服務器也會對備份服務器的工作狀態進行監視,一旦備份服務器出現故障,主服務器會向管理員發出提示,從而保證兩臺服務器至少有一臺在正常工作,為整個系統的持續運行提供保障。雙熱機備份方法適合在硬件充裕的情況下使用,它能夠保障存儲系統全天24小時的不間斷運行,即使在發生故障時,應用系統也可以保持正常工作狀態,保證網絡服務、共享磁盤、共享文件夾以及數據庫的高效運行。
2.2 群集并發存儲方式
這里所說的群集并發存儲方式就是指在某一區域內,多臺擁有共享空間的服務器通過內部局域網建立連接,群及內部的任何一個服務器的內容都可以被其他服務器所共享。當某一臺服務器出現運行故障時,其他的服務器可以代為工作,多臺服務器之間互相備份。采用群集并發存儲方式可以有效提高系統的效用性,也提高了系統的整體性。具有實時性強、數據流量大、對于系統有嚴格的可靠性要求的特點。
3 數據存儲中的安全隱患
在電視媒體制作中,移動存儲設備經常接觸不同的計算機,仍然不能避免病毒的入侵。
4 總結
現代網絡存儲安全技術為電視媒體更好的利用網絡平臺進行節目制作提供了保障,同網絡認證與授權保證了制作者與消費者的信息安全,運用雙熱機備份和群集并發存儲等方式,保證了電視節目制作工作的不間斷開展,這些服務為電視媒體工作者們提供了很大便利,在以后的工作中現代網絡存儲安全技術將會取得更大的進步,為維護網絡安全提供保障。
