第一篇:论计算机的网络信息安全及防护措施
论计算机的网络信息安全及防护措施
摘要:随着科学技术的高速发展,计算机网络已经成为新时期知识经济社会运行的必要条件和社会的基础设施。本文针对现代网络威胁,对网络的各种安全隐患进行归纳分析,并针对各种不安全因素提出相应的防范措施。
关键词:计算机网络;信息安全;防火墙;防护措施;
1网络不安全因素
网络的不安全因素从总体上看主要来自于三个方面:第一是自然因素。自然因素指的是一些意外事故,如发生地震、海啸,毁坏陆上和海底电缆等,这种因素是不可预见的也很难防范。第二是人为因素,即人为的入侵和破坏,如恶意切割电缆、光缆,黑客攻击等。第三是网络本身存在的安全缺陷,如系统的安全漏洞不断增加等。
由于网络自身存在安全隐患而导致的网络不安全因素主要有:网络操作系统的脆弱性、TCP/IP协议的安全缺陷、数据库管理系统安全的脆弱性、计算机病毒等。目前人为攻击和网络本身的缺陷是导致网络不安全的主要因素。
2计算机网络防范的主要措施
2.1计算机网络安全的防火墙技术
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性和可用性受到保护。网络安全防护的根本目的,就是防止计算机网络存储和传输的信息被非法使用、破坏和篡改。
目前主要的网络安全技术有:网络安全技术研究加密、防火墙、入侵检测与防御、VPN和系统隔离等技术。其中防火墙技术是一种行之有效的,对网络攻击进行主动防御和防范,保障计算机网络安全的常用技术和重要手段。
2.2访问与控制策略
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制可以防止合法用户访问他们无权查看的信息。访问控制策略其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,它也是维护网络系统安全、保护网络资源的重要手段,访问控制是保证网络安全最重要的核心策略之一。
(1)入网访问控制。入网访问控制是网络访问的第一层安全机制。控制哪些用户能够登录到服务器并获准使用网络资源,控制用户登录入网的位置、限制用户登录入网的时间、限制用户入网的主机数量。当交费网络的用户登录时,如果系统发现“资费”用尽,还应能对用户的操作进行限制。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查。
(2)权限控制。权限控制是针对在网络中出现的非法操作而实施的一种安全保护措施。用户和用户组被给予一定的权限。网络控制着能够通过设置,指定访问用户和用户组可以访问哪些服务器和计算机,可以在服务器或计算机上操控哪些程序,访问哪些目录、子目录、文件和其他资源,设定用户对可以访问的文件、目录、设备能够执行何种操作。
(3)属性安全控制。访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。本策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。属性安全策略在操作权限安全策略的基础上,提供更进一步的网络安全保障。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
(4)网络服务器安全控制。网络系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块,可以安装和删除软件。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改系统、删除重要信息或破坏数据。系统应该提供服务器登录限制、非法访问者检测等功能。
(5)网络监测和锁定控制。网络管理员应能够对网络实施监控。网络服务器应对用户访问网络资源的情况进行记录。对于非法的网络访问,服务器应以图形、文字或声音等形式报警,引起网络管理员的注意。对于不法分子试图进入网络的活动,网络服务器应能够自动记录这种活动的次数,当次数达到设定数值,该用户账户将被自动锁定。
2.3安全基石---防火墙
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.作为一种隔离控制技术,它是内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问,同时阻止了外部未授权访问对专用网络的非法访问。
3计算机网络攻击的常见手法及防范措施
3.1利用网络系统漏洞进行攻击
漏洞是指硬件、软件或策略上存在的安全缺陷,从而使攻击者能够在未授权的情况下访问、控制系统。许多网络系统都存在着或多或少的漏洞,这些漏洞有可能是系统本身所具有的,如windows、Linux和Solaris等都存数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客就是利用这些漏洞来完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,要及时安装软件补丁。网络管理员需要根据本单位的需求对局域网加强防护措施。监控并及时处理流量异常现象,尽量避免因疏忽而使网络系统受到危害。
3.2通过电子邮件进行攻击
电子邮件是互联网上运用最广泛、最受欢迎的一种通讯方式。当前,电子邮件系统的发展也面临着机密泄露、信息欺骗、病毒侵扰、垃圾邮件等诸多安全问题的困扰,如黑客可以使用一些邮件炸弹软件向目标邮箱发送大量内容重复、无用的垃圾邮件。对于遭受此类攻击,可以通过邮件加密、使用垃圾邮件过滤技术来解决。
3.3解密攻击
在互联网上,使用密码是最常见的安全保护方法,用户需要输入密码进行身份校验。只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一个重要手法。
为了防止受到这种攻击的危害,可以采取以下措施:1)采用更“强壮”的加密算法。一个好的加密算法往往只能通过穷举法得到密码,所以只要密钥足够长就会很安全。2)动态会话密钥,即尽量做到每次会话的密钥都不相同。3)定期变换加密会话的密钥。
3.4后门软件攻击
后门通常是一个服务端程序,可能由黑客编写,恶意攻击者通过一定手段放在目标主机上以达到非法目的,也可能是目标主机正在运行的授权应用软件,其本身具有可被攻击者利
用的特性。
为了防止后门软件的攻击,在网上下载数据时,一定要在运行之前首先进行病毒扫描.如果可能的话使用一定的反编译软件,查看源数据是否有其他可疑的应用程序.从而杜绝这类后门软件。
3.5拒绝服务攻击
拒绝服务是攻击者通过一定的方法,使目标服务器资源过载,以致没有能力向外提供服务的过程,互联网上许多大型网站都遭受过此类攻击。拒绝服务攻击的具体方法就是向目标服务器发送大量合理的服务请求。几乎占取该服务器所有的网络带宽,从而使其无法对其进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,有些通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,使邮件服务器无法承担如此庞大的数据处理量而导致瘫痪。
对于个人上网用户而言,也有可能遭到大最数据包的攻击而使其无法进行正常的网络操作,所以在上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏IP地址的程序,或使用代理服务器,这样能大大降低受到此类攻击的可能性。
3.6缓冲区溢出攻击
缓冲区是一个程序的记忆区域.在此区域中存储着—些数据信息,如程序信息、中间计算结果、输入的参数等等。把数据调人缓冲区之前,程序应该验证缓冲区有足够的空间容纳这些调入的数据。否则,数据将溢出缓冲区。并覆写在邻近的数据上。当它运行时。就如同改写了程序,造成混乱。假如溢出的数据是随意的,那它就不是有效的程序代码,程序执行到此就会失败、死机。另一方面,假如数据是有效的程序代码。程序执行到此,就会产生新的功能。windows的虚拟内存技术不是很完善,还存在大量问题,于是就有专门的程序利用缓冲区溢出原理来攻击远程服务器。对于以上各种类型的网络攻击。我们可以使用网络安全技术来加以防范。以保障网络的安全。
4结束语
综上所述:为了保障网络信息的安全,我们要根据网络隐患的特征,分析信息系统的各个不安全环节,做到有针对性的防范和采取切实有效的措施,在最大限度上使安全系统能够跟上实际情况的变化发挥效用,使整个安全系统处于不断更新、不断完善、不断进步的过程中。
参考文献
蔡立军计算机网络安全技术[M]北京:中国水利水电出版社2005-7
肖军模.刘军.周海刚网络信息安全[M]北京:机械工业出版社2006-1
张千里,陈光英网络安全新技术[M]北京:人民邮电出版社2003-1
(美)MandyAndress著.杨涛等译.计算机安全原理[M]北京:机械工业出版社2002-1
朱雁辉Windows防火墙与网络封包截获技术[M]北京:电子工业出版社2002-7
张曜加密解密与网络安全技术[M]北京:冶金工业出版社2002-7
周国民入侵检测系统评价与技术发展研究[J]现代电子技术2004-12
周碧英浅析计算机网络安全技术[J]甘肃科技2008-3
第二篇:计算机网络信息安全及其防护对策
计算机网络信息安全及其防护对策
摘要:随着信息化建设的快速发展,信息网络已经成为社会发展的重要保证。但是,由于在早期网络协议设计上对安全问题的忽视,与它有关的安全事故屡有发生。使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。而有针对性地加强网络信息安全防护,是网络安全必须做的工作。针对这些问题,该文归纳并提出了一些网络信息安全防护的方法和策略。
关键词:计算机网络;信息安全;防护策略
1.计算机网络面临的安全问题
1.1自然灾害
组成计算机的多是一些电子器件,本身对外界环境极其敏感,很容易受到温度、湿度、振动冲击的影响。纵观现今的计算机房,并没有防火、避震、防雷、抗干扰等措施,接地系统的设计也比较单一化,抵御突发状况的能力较差。日常工作中因断电而导致硬盘损伤、数据丢失的现象屡见不鲜。噪声和电磁辐射会导致网络信噪比下降,增加误码率,威胁到信息传递的完整性、可用性与安全性。
1.2黑客袭击
计算机信息网络成为黑客的温床,利用这个平台,他们编写出大量具有强大破坏力的病毒程序。黑客们熟知各类计算机系统的安全漏洞,对计算机软件较熟悉。黑客破坏网络的问题很严重,他们越权群儒重要信息库,窃听、截取、篡改敏感性信息,修改信息网络参数,导致数据丢失或系统崩溃,给企业带来巨大经济损失,甚至会影响到国家的政治安全。信息网络本身的弊端和缺陷成为黑客的突破口,并构成了人为破坏的威胁。
1.3计算机病毒
计算机病毒这一名词院子上世纪九十年代,它传播速度快、蔓延范围广,可以造成难以估量的损失。病毒可以潜伏在计算机程序中,一旦程序运行或达到某个特定状态,病毒便会激活,并迅速进行扩散,轻则占用系统内存,导致运行速度下降,重则造成数据丢失、系统瘫痪甚至硬件损失。一旦某些重要文件或数据遭到破坏,其造成的损失是无法估量的。
1.4垃圾邮件和间谍软件
电子邮件具有高度开放性和广泛传播性,某些人利用这个特点进行商业、宗教或商业活动,将自己编写好的邮件强行植入他人邮箱,强迫他人阅读邮件。间谍软件与计算机病毒不同,主要目的不在于破坏系统,而是窃取用户信息。目前,对间谍软件的界定还存在争议,被普遍接受的观点是间谍软件在未得到用户授权的情况下进行非法安装,形成第三方插件,并把一些机密信息提供给第三方。间谍软件功能繁杂,可以时刻监视用户行为,并修改系统设置、发布弹窗广告,严重干扰用户隐私,并在一定程度上占用了系统内存。
2.计算机网络安全防护措施
2.1隐藏IP地址
黑客可以通过第三方软件查看主机信息,主要目的是获取目标计算机的IP地址。当黑客得知你的IP地址,可以对这个地址发动各种攻击,例如拒绝服务、Floop溢出攻击等。用户可以使用代理服务器隐藏主机IP地址,其他人只能获悉代理服务器IP地址,无法得知主机IP地址,间接保护了用户上网安全。2.2封死黑客退路(1)删除冗余协议
对于服务器和主机只需要安装TCP/IP协议,应该卸载不必要协议。其中,NetBIOS是很多安全缺陷的源头,对于无需提供文件共享和打印服务的主机,应关闭NetBIOS,避免针对它的攻击。
(2)关闭文件和打印共享
文件和打印共享为局域网上的微机提供了便利,但是它也是引发黑客入侵的重大漏洞,黑客利用共享机制可以入侵局域网进行破坏。在不使用打印、共享服务时,应将其关闭,或者为共享资源设置访问口令。
(3)禁止建立空连接
默认设置下,任何用户都可通过空连接与服务器进行互联,穷举账号,并用暴力法破解密码。不必要的空连接应禁止。另外,在上限范围内,服务器密码应设置的尽可能复杂,使得穷举法失效,或者抬升穷举成本,令黑客望而却步。
(4)关闭不必要的服务
多样服务能够给管理者提供便利,提升工作效率,但也会给黑客留下机会,对于很少用到的服务应在平时选择关闭。例如计算机远程管理,一般情况下无需打开。不必要服务的减少不仅保证了系统安全,也可以保证系统运行速度。
2.3数据加密技术与用户权限分级
该技术灵活性较好,适用于开放性网络。用户权限分级保护了静态信息,需要系统管理员权限,一般实现于操作系统。数据加密主要保护动态信息。针对动态数据的攻击分为主动攻击和被动攻击。主动攻击一般很难避免,但可以有效预防和检测;被动攻击难以检测,但可以避免,数据加密技术为这一系列工作奠定了良好基础。数据加密利用数据移位和置换算法,利用密钥进行控制。传统加密算法中,加密密钥和解密密钥无区别,或者藉由其中一个就可以推导出另一个,我们称之为对称密钥算法。这个密钥具有高度敏感性,必须由授权用户所保管,他们可以用密钥加密信息,也可以解密私有信息。DES是对成加密算法中的典型。另一种算法是非对称加密算法或公钥加密算法,加密和解密过程的密钥无任何相关性,加密密钥称为公钥,解密密钥称为私钥。公钥算法面向全体用户,任何人皆可用其加密信息,再发送密文给私钥拥有者。私钥具有保密性,用于解读公钥加密信息。REA是目前广为运用的加密算法。
参考文献
[1]邢露,张棋.计算机网络信息安全与病毒防治[J].河南科技.2011(01)
[2]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程.2011(1)[3]曾艳.计算机网络信息安全与防护措施[J].理论导报.2011(01)
第三篇:浅谈计算机网络信息安全防护探析
浅谈计算机网络信息安全防护探析
论文关键词:网络信息 安全防护
论文摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。Internet的广泛普及,商业数字货币、网络银行等一部分网络新业务的迅速兴起,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
1.引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过代理服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中
留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻J网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单
一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。VPN,可以将分部在世界各地的LAN或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报
告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(DOS中的FORMAT格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.EXE、.COM等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(Authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(IdentificaIion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
4.结束语
总之,在网络技术十分发达的今大,任何一台计算机都不可能孤立于网络之外。网络安全是一个系统的工程,不能仅仅依靠防火墙、病毒软件或各种各样的安全产品就可以解决安全问题,而需要仔细考虑系统的安全需求,并将各种安全技术,结合在一起,才能生成一个高效、通用、安全的网络系统。
第四篇:电力系统计算机网络信息安全分析及防护.
电力系统计算机网络信息安全分析及防护 吴博
(河南电力调度通信中心 河南 郑州,450052 摘要:分析了河南省电力公司计算机信息网络所面临的不安全因素,并对该计算机信息网络的特殊架构层次化,继而进行了深入的网络安全透析,并给出了针对性的网络安全防护部署。
关键词:计算机信息网络;安全防护技术;安全管理;防火墙;入侵监测;防病毒;身份认证;VPN;网络隔离装置
一、前言
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算机信息网络的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多;同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,使网络的重要性和影响也越来越大,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。
一、电力计算机信息网络的架构特点:(一 河南省电力计算机信息网络的现状:(1企业内部网络(Intranet连接。Intranet主要包括以下几个方面:各地区电业 局、电厂、修造设计机构与省电力公司的连接;各县电业局与地区电业局的连接;省电力公司与网局、国电公司的连接。
(2企业外部连接。省电力公司与省电力公司二级机构与国际互联网的连接;各级电
力公司提供的远程访问服务;各级电力公司与外系统(如银行、政府部门的连接。
以上连接一方面丰富了电力公司的业务,同时也导致了新的安全问题。
二、对河南电力计算机信息网络的安全“层次化”:
上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重要的网络安全问题之一。保护计算机网络的稳定运行,防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织和分支机构,确定信息认证等等问题需要重点解决。而且电力部门有其独特的网络模式,所以从自身实际安全需求出发,全局、综合、均衡地考虑各种必要的安全措施,建立全面完整的安全体系,从而促进电力生产的安全、稳定、经济运行。
根据河南省电力系统计算机信息网络的特点,各相关业务系统的重要程度和数据
流程、目前状况和安全要求,将整个系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
(1安全区Ⅰ:实时控制区
安全区I中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。
安全区I的典型系统包括调度自动化系统(SCADA/EMS、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信经由电力调度数据网SPInet--VPN1。该区中还
包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级。安全区I是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心。
(2安全区Ⅱ:非控制生产区
安全区Ⅱ中的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区I中的系统或功能模块联系紧密。安全区Ⅱ的典型系统包括调度员培训模拟系统(DTS、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级。
(3安全区Ⅲ:生产管理区
安全区III中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统(DMIS、统计报表系统(日报、旬报、月报、年报、雷电监测系统、气象信息接入等。
(4安全区IV:管理信息区
安全区IV中的业务系统或功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端。该区包括管理信息系统(MIS、办公自动化系统(OA、客户服务等。该区的外部通信边界为公共因特网。
三、网络安全防护分析: 针对电力计算机信息网络的以上特殊性质,进行网络安全分析如下:(一 网络逻辑结构示意图
(二在网络接口处可能受到的攻击分析: 关联接口攻击场景描述风险类 型 风险 级别 对业务的影 响
I1 通过该接口,入侵安全等级高的系统,向通信网关发送雪崩 数据,造成网络堵塞。机密性
完整性 H 导致和 SCADA/EMS 系统及其它 生产系统业 务中断
I2、I3 通过该接口,入侵DMIS系统 重要业务部分,造成重要业务 中断。完整性 可用性 可靠性 审计性 H 可以向DMIS 系统加入恶 意代码,窃取 信息或对系 统造成破坏。
I4 其它DMIS系统中的恶意进程或攻击人或病毒,通过SPI
net,利用该接口非法接入 DMIS局域网可用性 审计性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I5 来自MIS系统的病毒和恶意进程或攻击人,非法进入DMIS 系统。窃听或篡改发电计划、负荷需求或其它不对外公开 信息等数据审计性 可用性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I6 , I6.1 黑客假冒开发商或本系统维
护人员的身份获得对DMIS系 统的远程维护权限 认证性 可用性 抗否认 H 黑客可以向 DMIS系统加 入恶意代码, 窃取信息,或 对系统造成 破坏。
I7 来自系统外单位系统的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 DMIS系统, 导致服务中
断或网络堵 塞
I8 来自INTERNET的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 MIS系统,导 致服务中断 或网络堵塞
四、网络安全防护措施
(一基于接口的安全技术和管理建议 接口 保护(P 检测(D 响应(R 管理
I1 C 通信网关、防火墙 无 无 C 口令 无 无
无 I2 R 身份认证,审计追踪,抗否认,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 无 无 无 无 I3 R 物理隔离 无
暂停服务,审计日志分析
制定服务中断恢复计划,安全相容性检查 C 口令 无 无 无 I4 R 抗否认,审计追踪,身份认证,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 防火墙 无 无
I5 R 防火墙,身份认证,防恶意代码,安全网关,防病毒 恶意代码检测 入侵检测 修改防火墙规则,病毒库更新
制定服务中断恢复计划,安全相容性检查 I6, I6 C 口令 无 无.1 R VPN,抗否认, 审计追踪,身 份认证,安全 网关恶意代码检测 入侵检测 暂停拨号服 务,审计日志 分析 定义接 口安全 条件, 定义用 户安全
连接条 件,安 全相容 性检查
C 通信网关无无I7 R 身份认证,安 全网关,防火 墙,抗否认, 审计追踪,防 病毒恶意代码检测 入侵检测 暂停服务,修 改防火墙规 则,审计日 志,病毒库更 新 定义接 口安全 条件
C防火墙无无无I8 R防火墙,身份 认证,防恶意 代码,安全网
关,防病毒恶意代码检测 入侵检测 修改防火墙 规则,病毒库 更新 制定服 务中断 恢复计 划,安 全相容 性检查
注:C表示当前所采用的安全措施,R表示推荐采用安全措施(二安全产品选用 安全产品及其简要功能 安全产品名
称
类型 功能说明 对系统可能的影响 防火墙 硬件防火墙 软件防火墙
访问控制 影响数据传输速度
网关 服务器 访问控制 影响数据传输速度 基于网络 实时监控 实施阻断时,占用一定的 网络带宽 入侵检测软
件 基于主机 准实时监控 占用主机的一部分CPU和 内存 安全评估软
件 基于网络和主机 漏洞扫描 在扫描时,占用一定主机 和网络资源 专用隔离装 置 物理隔离 逻辑隔离 更严格的访问 控制
影响传输数据的类型、速 度
防病毒软件 针对NT/2000系列 防、杀病毒 对主机性能有一定影响 PKI系统 CA, RA, AS RA, AS 身份认证、数据 保密、数据完整 证书和私钥的管理增加 了管理工作量 AS 性检验等 备份系统 针对服务器中的数据和软件
可以对重要数据和软件进行灾难恢复
实施备份操作时,影响网络和相关主机的速度和性能(三、部署安全产品
(四安全产品部署说明: [1] 防火墙&隔离装置
在调度生产管理系统的安全区Ⅱ和安全区Ⅲ间(即物理接口PI3处,部署专用物理隔离设备,以实施对安全区Ⅰ、Ⅱ的安全隔离。
在管理信息系统(MIS的接入点和公共网络接入点,即物理接口PI5和PI8,采用隔离装置实施访问控制策略。
[2] 入侵监测系统
在调度生产管理系统中部署基于网络和基于主机的入侵检测系统,以实施对网络和服务器攻击及违规行为的监测与响应策略。入侵检测系统的探头布置在三处,分别标识为IDS 探头
1、IDS 探头2和IDS 探头3,它们的作用分别为: IDS 探头1:用于监控DMIS 系统与SPI net 之间的访问活动 IDS 探头2:用于监控DMIS 系统内部服务器访问活动
IDS 探头3:用于监控系统外部单位和DMIS 系统之间的访问活动
安全监测中心实现对入侵检测系统中探头(或称为探测器的统一管理与控制,它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。
[3] 安全评估系统
在DMIS系统中布置安全评估系统,可以辅助管理员自主地定期对调度生产管理系统进行必要的安全评估,检测与分析系统存在的安全漏洞,并根据安全评估报告的结果进行整改,及时安装升级包,或者修改防火墙和隔离设备的访问控制规则,以避免黑客利用系统安全漏洞进行攻击。
[4] 防病毒软件
在调度生产管理系统内部的所有主机和服务器上安装防病毒软件,并配置一台病毒管理中心,进行必要的防病毒管理。
由于现在病毒感染的途径很多,因此必须实施全面的防病毒方案,并且能及时更新。
[5] 身份认证(PKI系统
在调度生产管理系统中布置PKI系统主要用于系统与人(如使用人员员、远程维护人员等之间以及各系统进程之间的身份认证。完整的PKI系统包括CA、RA、目录服务等,在调度生产管理系统中可以选择下面两种配置之一: 只需要布置一个证书服务器,向应用程序提供证书和证书作废列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络RTU证书、无闭环专用系统的证书、远程维护人员的证书等。
不增加任何设备,应用程序直接调用PKI系统提供的API,从而支持强身份认证功能。
与配置一相比,需要手工向应用程序导入证书和证书作废列表 参考文献: [1]湖南电力计算机广域网安全分析张灿湖南电力文献 2003.5 [2] 电力信息网络安全的“层次化”思科网络安全技术文献库 2004.5 [3] 国家电力信息化目标国家电力信息化技术文献 2002.3 [4] 孙友仓,对信息系统安全管理的探讨.现代电子技术[J],2004,27(5 [5] 熊松韫,张志平.构建网络信息的安全防护体系.情报学报[J], 2003,22(1 吴博: 男,工程师,2003年毕业于四川大学电气信息学院通信工程系,同年7月在河南省电力公司调度通信中心通信处就职, 从事电力通信调度以及电力通信网络的管理、维护和故障处理等方面的工作。
The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone
Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.电力系统计算机网络信息安全分析及防护 作者:吴博
作者单位:河南电力调度通信中心,河南郑州,450052 相似文献(10条
1.会议论文谭晓天系统集成思想指导下的电网调度专业网络构建1999 系统集成是高水闰的计算机应用,能为用户提供一体化的解决方案。该文结合湖南电网调度专业网络系统的开发阐述了系统集成四个层次的具体实践。最后指出专业人员参与系统集成值得注意的问题。
2.会议论文胡炎.谢小荣.辛耀中现有安全设计方法综述2005 本文对电网现有安全设计方法进行了综述。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、发现修改方法、预防性安全设计方法等现有安全设计方法的特点和不足,同时总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面研究的可借鉴之处.3.期刊论文任志翔.仇群辉智能电网调度自动化技术思考-经济研究导刊2010,“"(7
简述了智能电网的概念和特点,介绍电网调度自动化的发展历史,分析了智能电网调度自动化和传统电网调度自动化在智能处理和信息共享等方面的区别,着重分析了目前电网调度自动化系统的研究现状,并以目前在变电站建设中推广的IEC 61850和在主站构建中推广的IEC 61970标准以及计算机网络和先进的通信技术作为基础,重点分析了未来中国智能电网调度自动化的研究方向.4.会议论文李承东.潘明惠微机网络在东北电网调度运行中的应用1994 5.会议论文舒彬.潘敬东转变观念、优化管理—关于电网调度自动化系统网络安全管理的几点思考2001 本文在分析调度自动化系统网络安全管理中,由于信息不对称所造成的信息失真情况的基础上,探讨了如何通过建立一套有效的技术手段提高自动化系统安全管理系数,并进一步提出以”目标和任务"机制作为网络安全研究与建设方向的思想,以期为建立可适应性安全防护体系做好准备工作.6.会议论文牛万福DEC计算机电网调度监控系统1997 详细介绍了一自行开发的DEC ALPHA计算机电网监控(SCADA系统,描述了监控系统计算机网络的客户站/服务器(client/server体系结构及电网监控软件,阐述了双机运行和软件切换机制。文章也介绍了该计算机电网监控系统在地区电网调度中的应用及与企业管理信息系统(MIS和省局能量管理系统(EMS的网络连接。
7.学位论文高云电网调度运行信息管理系统设计2001 该文研究的对象是供电企业的电网调度运行信息管理系统,它是生产技术管理系统的一个重要组成部分.文中首先指出了目前地区供电企业在调度运行信息的记录、处理和传阅方式上存在的问题.在对系统功能需求和数据需求进行分析的基础上,对调度运行信息进行了分类,确定了系统的总体功能及实现方案,并采用原型法的软件开发方法、面向对象程序设计技术(OOP和计算机网络技术进行开发.利用Visual FoxPro6.0开发工具设计的调度运行信息管理系统具有基础资料数据库和运行记录数据库.现已完成主控程序,系统注册模块、运行记录模块和操作命令票管理
模块等应用程序,可以对设备参数和电网运行信息进行增加、修改、删除和查询工作,统计断路器跳闸次数并给出达到预定值时的信息提示.程序中设计了利用已输入的基础资料数据进行快速、灵活地输入和编辑运行记录的操作方法,极大地减少了汉字输入的工作量,并且使记录的信息更为规范.设计的程序具有操作简便、易于使用和功能扩充方便等特点.8.会议论文王桂茹电网调度管理信息系统设计1997 这是一篇涉及计算机网络及应用推广;涉及电网调度相关专业知识及信息共享原则的论文。
9.会议论文曹连军.王晓华东北电网调度通信中心生产管理企业网1999 当今计算机已经由单机操作向网络操作发展。计算机网络在企业现代化管理中起到越来越重要的作用。该文给出了东北电网调度通信中心生产管理企业网的功能描述。
10.期刊论文周士跃.王劲松.金小达地区供电网调度实时数据网络安全分析及对策-电网技术2003,27(10 随着信息技术和网络技术在电力生产中的应用,在变电站与调度自动化系统间传输数据已经实现,同时调度自动化系统与电力生产中其它系统间也进行了互联,因此调度实时系统和变电站计算机网络的安全问题也越来越引起人们的关注.文中结合盐城电网的实际情况,提出了相应的系统安全策略和信息安全策略,重点介绍了调度主站系统和变电站的网络安全技术:防火墙技术、多层次防护策略、入侵检测系统.本文链接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下载时间:2010年6月6日
第五篇:浅论计算机网络信息安全
浅论计算机网络信息安全
摘要:在经济全球化的推动下,随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证,当今世界已经进入一个信息化的时代,但随之而来的是一系列信息安全的相关问题。本文主要论述了有关网络信息安全的基本知识:网络信息安全存在的隐患、网络信息安全的常见问题、网络信息安全的防护与建设。并且对信息安全的相关问题阐明自己的想法和观点。
关键词:网络安全 ; 安认证体系 ; 网络机制 ;数据加密
网络信息安全是一门涉及计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性的学科。他主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露、系统连续可靠的正常运行,网络服务不中断。
本文主要由信息安全的重要性、网络信息安全存在的隐患、网络信息安全的防护与建设等方面进行论述,并且对相关的问题表明自己的想法。网络信息安全的重要性
随着计算机网络技术的广泛应用,人们无论是从日常的生活起居还是共工作娱乐到处都离不开计算机的影子,更重要的是计算机网络已经成为人们进行管理和交易不可或缺的桥梁,成为人们日常工作生活不可或缺的一部分。同时网络信息也涉及到国家政府、军事、文化、科学技术、等诸多领域,则存储、传输、处理的许多信息是国家军事机密、宏观决策、商业经济信息、银行资金转账等重要的数据。
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化的重要问题,其重要性正随着全球信息化步伐的加快越来越重要。网络信息安全的常见问题
随着互联网的快速发展,人们的日常生活与网络的联系日益密切,而问题却日益突出,危害人们的合法权益,网络信息安全的常见问题如下:
2.1计算机病毒
计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒具有隐蔽性、潜伏性、破坏性和传染性的特点。当前计算机网络安全受到计算机病毒危害最为普遍,面对种类繁多的计算机病毒,其危害性大,传播速度快,传播形式多,特别是通过网络传播的病毒,如:网络蠕虫、木马、震网、火焰等病毒对计算机网络的破坏性更强,清除难度更大,是用户面临最头痛的计算机网络安全问题之一。
2.2 IP地址被盗用
在局域网中经常会发生盗用IP地址的现象,这时用户计算机上会出现IP地址被占用的提示对话框,导致用户不能正常使用网络。被盗用的IP地址权限一般都很高,盗用者常会通过网络以隐藏的身份对用户进行骚扰和破坏,给用户造成较大损失,严重侵害了使用网络用户的合法权益,导致网络安全受到极大的威胁。
2.3 网络黑客攻击
网络黑客是指攻击者通过Internet网络对用户网络进行非法访问、破坏。有些黑客因为愤怒、报复、抗议,非法侵入用于纂改用户目标网页和内容,想法设法羞辱和攻击用户,造成严重的负面影响,迫使网络瘫痪。有些黑客主要从事恶意攻击和破坏,入侵毁坏用户的计算
机系统中重要的数据被纂改、毁坏、删除。如窃取国防、军事、政治等机密,损害集体和个人利益,危及国家安全;非法盗用账号提取他人银行存款,或进行网络勒索和诈骗。由此可见,黑客入侵对计算机网络的攻击和破坏后果是不堪设想。
2.4垃圾邮件泛滥破坏网络环境
垃圾邮件一般是指未经过用户许可强行发送到用户邮箱中的电子邮件。垃圾邮件的泛滥已经使Internet网络不堪重负。在网络中大量垃圾邮件的传播,侵犯了收件人隐私权和个人信箱的空间,占用了网络带宽,造成服务器拥塞,严重影响网络中信息的传输能力,降低了网络的运行效率。
2.5 计算机网络安全管理不到位
计算机网络安全管理机构不健全,岗位职责不明,管理密码和权限混乱等,导致网络安全机制缺乏,安全防护意识不强,使计算机网络风险日益加重,这都会为计算机病毒、黑客攻击和计算机犯罪提供破坏活动的平台,从而导致计算机网络安全受到威胁。网络信息安全的防护与建设
3.1建立规范的网络秩序
建立规范的网络秩序,需要不断完善法制,探索网络空间所体现的需求和原则,为规范网络空间秩序确定法律框架;建立规范的网络秩序,还要在道德和文化层面确定每个使用网络者的义务。
3.2加强入网的访问控制
入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。对用户账号、口令应作严格的规定,如:口令和账号要尽可能地长,数字和字母混合,避免用生日、身份证号等常见数字作口令,尽量复杂化,而且要定期更新,以防他人窃取。因此,大大增强了用户使用信息的安全性。
3.3防火墙技术
防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准的信息进入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙三种类型,并在计算机网络得到了广泛的应用。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层
3.4安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。
3.5入侵检测技术
随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)
能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
计算机网络信息安全工作贯穿于计算机网络建设、发展的始终,需要我们时刻重视,不断学习,才能确保计算机网络的安全、可靠地运行
参考文献周学广等.信息安全学.北京:机械工业出版社,2003.3(美)Mandy Andress著.杨涛等译.计算机安全原理.北京:机械工业出版社,2002.1赖溪松等著.计算机密码学及其应用.北京:国防工业出版社.2001.7冯元等.计算机网络安全基础.北京;科学出版社.2003.10董玉格等.网络攻击与防护-网络安全与实用防护技术.北京:人民邮电出版社,2002.8 6 顾巧论等编著.计算机网络安全.北京:科学出版社.2003.1张友生,米安然编著.计算机病毒与木马程序剖析.北京:北京科海电子出版社,2003.3 8(美)Heith E.原莉.如何确保计算机网络安全[J].职大学报,2008谢浩浩.计算机网络安全综述[J].科技广场,2009李建霞.计算机网络安全与防范[J].中国西部科技
作者:小帅
![下载论计算机的网络信息安全及防护措施[精选5篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 