時間:2023-09-18 17:32:32
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇公司網絡安全防護措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]煙草企業;網絡安全防護;體系建設
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1 威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3 結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2 煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2 信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3 加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1 遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2 合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3 大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4 構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4 結 語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
信息網絡安全主要指信息網絡的數據在采集、整理、存儲和傳輸過程中被惡意或者偶然的更改、破壞、控制或者泄露,從而使數據信息的機密性、完整性、可靠性和可用性等受到不利的影響。隨著科學技術的發展和網絡的普及,信息網絡已經與人們的生活和工作密切相關,許多政府部門與企事業單位的經濟政治往來和商務辦公也通過信息系統管理來完成,由于其中涉及到諸多的商業機密,因此信息網絡安全防護的重要性不言而喻。
【關鍵詞】信息 國企 網絡安全
1 國企信息網絡的安全現狀
由于國企信息網絡傳輸的數據涉及到諸多的商業機密,因此很容易成為不法分子和別有用心之人攻擊的目標,其網絡安全現狀令人堪憂,所面臨的安全威脅復雜多樣,主要包括軟硬件的故障與工作人員的操作失誤等人為因素;電磁泄漏和雷擊等自然環境因素;網絡攻擊與病毒構成的犯罪活動威脅等。在國企信息網絡中,防護較為薄弱易受攻擊的地方為:信息輸入、傳輸和存儲過程中數據被破壞、竊取和篡改;操作系統、通信協議和數據庫等存在漏洞與隱蔽通道等安全隱患;磁盤在高密度存儲時被破壞致使信息數據丟失和泄密;計算機工作時所產生電磁波造成的信息泄密等。以上諸多因素,都使得國企信息網絡的安全性能令人堪憂,如果不加強對其的防護措施,所造成的后果與影響可能難以估量。
2 國企信息安全網絡的安全防護措施
如果想保障國企信息網絡系統不受到來自外界的干擾和攻擊,確保其安全性和完整性,工作人員需要從信息系統的軟硬件環境、數據環境和網絡環境等方面入手,結合具體的運行條件,采取相應的防護策略。
2.1 硬件環境的安全防護措施
信息網絡的安全正常運轉,其基礎是建立在網絡硬件與運行環境的可靠有效之上,此二者對信息系統安全有著不可忽視的影響。因此,工作人員可以從兩方面入手,對國企信息系統硬件環境進行安全防護:一方面工作人員要保障網絡機房運行環境的安全,要嚴格遵循《計算站場地安全技術》、《建筑物電子信息系統防雷技術規范》和《電子信息系統機房設計規范》等方面的技術要求,為國企信息網絡系統的硬件運行環境奠定良好的基礎;另一方面工作人員需要采取多重防護技術,如還原技術、防復制技術、防電磁泄露的技術和硬件訪問的控制技術等,加強對國企計算機硬件的有效防護,避免國企信息系統中的硬件環境遭到破壞。
2.2 軟件環境的安全防護措施
軟件環境的安全防護是國企信息系統安全防護中的重點所在,所涉及的安全防護內容也較多,主要包含以下幾個方面:首先,工作人員要確保國企信息網絡操作系統的安全。操作系統控制著整個系統運行,管理者計算機中的諸多資源,為其它軟件的運行提供支撐環境。操作系統的應用越多,其所存在的軟件漏洞也越多,而不法分子就會利用這些漏洞對操作系統進行惡意攻擊。工作人員可以安裝相應的軟件補丁以提高操作系統的防御能力,或者制定相應的安全機制如部署病毒防御系統和漏洞掃描等,以確保操作系統的安全。其次,工作人員要確保應用軟件的安全。應用軟件的安全問題是軟件研發中的關鍵所在,包含了為避免程序缺陷而采取的一切步驟,其在設計、配置、升級和維護等諸多環節中所存在的瑕疵都有可能成為攻擊漏洞。因此,工作人員不僅要定期檢測應用軟件的功能,而且還要依據其運行環境檢測與審查其安全性,并在使用中進行安全跟蹤和定期維護,以保障其安全性能不受損害。最后,工作人員還要做好信息系統的防病毒系統構建和漏洞掃描工作。病毒是網絡系統運行時最易受到的侵襲方式,工作人員可以構建多層次和多渠道的防病毒系統,如安裝殺毒軟件和防毒系統等,以做到對系統的有效保護。同時,工作人員還要加強對系統漏洞的掃描和檢測,依據掃描和檢測的結果,及時發現系統所提供服務中所存在的漏洞,從而采取針對性的措施加以修復和填補,提升系統的安全防護性能。
2.3 網絡系統的安全防護措施
信息網絡的不斷延伸,如WIFI的普及和4G的應用等,使得信息共享與相互通信更易實現。但是由于其所采用的TCP/IP結構在最初設計時沒有考慮到其安全問題,因此無法滿足用戶對數據信息的安全性與保密性要求。因此,為了國企信息網絡的安全性,工作人員可以采用虛擬網絡技術、防火墻技術、入侵防御系統和身份認證技術等保障國企信息網絡的安全性能。虛擬網絡技術是在國企各單位和各部門的網絡之間,假設專用的通訊線路,從而實現信息數據的安全保密傳輸;防火墻技術可以有效防止外部用戶對國企內部的網絡資源進行訪問,以保護國企內部的信息資源和設備,并可以對國企網絡內部之間傳輸的數據信息進行檢查,在確定其安全后方予以放行,通過對國企內部網絡的運行狀態進行實時監控,以達到保護信息網絡安全的目的;入侵防御系統為智能的防范系統,可以主動對入侵網絡的活動與攻擊性流量進行有效攔截,避免網絡系統受到損害;身份認證技術可以在用戶對信息資源進行訪問時,確認其真實身份,避免出現非法假冒的行為,以保障系統不受到攻擊和非法侵入。
2.4 傳輸數據的安全防護措施
數據安全主要包含數據自身安全和數據防護安全兩個方面,工作人員一方面可以通過雙向身份認證、數據完整性和數據保密等措施,保障傳輸數據的安全,另一方面工作人員也可以借助現代的信息存儲技術與手段保護數據信息,如將數據進行備份、磁盤陣列和異地容災等,這些方法都可以有效地對數據進行防護。
2.5 健全和完善信息網絡的安全制度
國企信息網絡的安全,既需要從技術層面加強防范,又需要從制度方面加強管理和約束,只有兩者的相互密切結合,才能使國企信息網絡的安全防護工作做到最好。因此,國企需要依據信息網絡的相關環節,制定切實可行的安全制度并加以貫徹實施,如設備安全管理、操作安全管理和米亞的安全管理等制度的健全和完善等,這樣信息網絡的安全才可能得到更有效地保障。
3 結束語
總之,國企信息網絡安全關系到信息數據傳輸的安全性和私密性,對于國企的生存和發展具有不可忽視的影響。隨著科學技術的發展和知識的更新,不法分子攻擊的技術和方式也會日趨復雜化,工作人員只有不斷強化自身的專業技能,綜合運用多種安全防護技術,構建多層次和多渠道的防御系統,才能真正的確保傳輸信息的安全性與可靠性,切實提高國企信息網絡系統的抗攻擊能力,發揮其在國企發展和建設中應有的作用。
常用的網絡安全防護有密碼技術、入侵檢測技術、陷阱網絡以及防火墻。密碼技術是對信息進行加密,如果密碼發生泄漏的話,信息還是會被偷取;入侵檢測技術主要是指通過一些信息的收集以及對信息進行分析,進而提供一種實時的檢測,發現入侵者會及時警報;陷阱網絡主要是指對網絡系統進行常規模擬,誘騙用戶進入受控的網絡環境,對正常系統進行攻擊;防火墻技術是一種較為普及的防護技術,防火墻會對網絡信息進行檢測和過濾,發現不安全網路信息會進行隔斷或者過濾,提高用戶的信息安全。
2安全防護技術探析
2.1基礎網絡安全系統的建立
所謂的基礎網絡主要是指網絡工程的安全防護系統,主要有防火墻、加密技術、殺毒軟件等。在實踐中有很多的安全網絡威脅都是發現了網絡工程漏洞或者是計算機的系統漏洞,安全系統沒有及時有效防護,因此遭到攻擊或者破壞。這主要是在網絡工程在建設過程中,尤其是基礎網絡建設中對于網絡安全的投入力度不夠,對于細節問題考慮到不周到或者是對基礎網絡建設的不重視所導致的。基礎網絡建設的不重視會對網絡安全工程埋下一個巨大的隱患,因此需要不斷加強基礎網絡的建設與完善,尤其是在觀念上要注視基礎網絡的建設與投入。
2.2采用密碼技術以及對數據進行備份
密碼技術是安全防護中較為常用的一種防護技術,對數據庫進行備份也是一種較為實用的安全防護方法。例如,在中國石油在大港油田的一個測試公司中有專門的信息管理部門,測試公司主要是對企業的信息進行管理以及安全方面的維護,為了保證大港油田的信息安全,就需要進行有效的安全防護,這時需要選用多種安全防護技術對大港油田的信息進行管理與分類,然后對信息進行加密處理,尤其是對大港油田的重要信息以及測試公司的重要商業信息可以采取雙重或者多重的加密技術進行有效的防護,因為重要信息關乎企業的切身利益。由于測試公司的數據較多,數據的種類也很頻繁,因此信息管理人員在進行加密處理后還可以對數據進行備份,這樣可以防患于未然,提高信息的安全度,防止意外發生后沒有補救的辦法,數據備份可以起到雙重防護的目的,也可以有效要管理與維護大港油田的數據信息安全。
2.3常用殺毒軟件
網絡用戶在使用計算機進行上網過程中應該常用殺毒軟件進行殺毒,或者是使用有效的防護墻軟件進行安全防護,間隔一段時間或者常用安全監控對計算機進行掃描與檢測,這樣可以及時發現計算機中的病毒或者是有害信息,進行及時的刪除或者技術處理,提高自身信息的安全性。例如,很多的用戶會下載360殺毒軟件或者是安全管家等軟件對用戶的計算機進行有效的防護,發現不安全的網站或者病毒軟件會及時提醒并且自動防護,所以用戶為了提高網絡的安全性,需要經常使用殺毒軟件或者是安全監控進行掃描。
2.4重視網絡管理
網絡工程的安全防護技術的提高,很重要的是需要對網絡進行有效的管理與規范。因為我國的網絡建設時間較短發展很快,但是在網絡工程發展過程中往往重視網絡工程的建設,提高網絡工程的覆蓋范圍,提高網絡用戶的數量。但是在網絡安全管理上卻不夠重視,在管理制度上也不夠規范與完善,甚至對很多的網絡安全問題沒有實用可行的管理措施。例如,我國的網絡安全管理上,首先需要國家重視網絡工程建設與安全防護技術的研究,加大國家資金的投入力度。如在我國的計算機用戶不一定要用微軟的視窗系統,尤其是國家的重要部門以及各個機關與企事業組織也不一定要要微軟的視窗系統,最好用本國的視窗系統。近年來我國進行了多項自主研究,如超級計算的研究,也研究開發了具有自主知識產權的視窗系統。我們國家重要的信息部門以及國家機關需要慎重選擇視窗系統,因為使用微軟公司的視窗系統會給美國政府提供一個潛在的控制世界的后門,微軟公司通過核心技術可以用一個簡單的指令來摧毀全世界使用微軟視窗系統的計算機,這是一個災難性的嚴重后果。接著是我國的各級政府部門對于當地的網絡工程建設以及地區安全防護要嚴格管理,制定完善的管理制度。例如,對于我國的政府部門在安全管理制度上可以明文規定政府部門只可以使用我國的國產視窗系統,如開放源碼的視窗系統。在這個系統使用過程中由我們國家的專業人員進行代碼的檢查與管理,尤其是安全方面的檢查與防護,然后由專業人員進行有關的編譯工作。
3結束語
[關鍵詞]電力信息網絡;安全防護;安全隔離技術;應用分析
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1009-914X(2016)19-0399-01
前言
電力資源是我國目前應用最為頻繁的資源,其作用意義重大已然得到了舉國重視,作為我國的重點行業,電力企業要想不斷做好自己的本職工作,并在此基礎上繼續提高發展,就要順應時代的變化作出適當的改革轉變,科學技術水平的提高將網絡信息化的普遍程度推廣到了各行各業,電力系統也不例外,網絡信息化極大地改善了電力系統工作的狀態,提高了供電服務的質量,加快了供電服務的效率。為此具有十分重要深遠的意義。但是,電力信息網絡也存在著一些安全上的問題,所謂安全大過天,安全一直是電力企業放在首位的工作重點,電力資源的特殊性決定了其具有一定的危險系數,因此,要保障居民用電安全不受影響,就必須加強電力信息網絡的安全管理,合理利用安全隔離技術,積極做好安全防護工作。
1.電力信息網絡的安全隱患
1.1 結構復雜
電力信息網絡的工作十分繁雜,為此涉及到大量的數據信息,而每一個數據信息的運算背后后關系到電力信息系統的業務工作,如果這些數據受到外界的攻擊,發生了絲毫差錯的話,就會危及影響到整個電力系統的發展。
1.2 缺少防護
電力信息網絡安全問題直接關系到我國電力企業的發展前景,可以說在電力系統中占有著舉足輕重的地位,然而,與其重要性十分不相匹配的是,我國電力信息網絡缺少足夠的防護措施,始終處于一種暴露狀態,一旦有不法分子侵入信息網,將會控制到電力系統的數據,給電力系統工作帶來損害。
1.3 認知不足
我國電力系統的很多業務人員工作年限都非常長,不缺乏實際工作的經驗,但是由于年齡增加,對于新事物的接受能力越來越弱,對于先進科學技術與科學設備的應用能力較差,且缺乏對其重要性的認知,因此其技術水平仍然止步不前。在工作上難以得心應手,而且沒有良好的、積極的工作態度。
2. 網絡安全隔離技術的概述
網絡隔離技術所利用的原理是,將兩個,或者兩個以上的計算機或網絡,處于一種斷開連接的狀態,即使如此,仍然能夠實現信息交換與資源共享。那就意味著,一旦將安全隔離技術應用在電力信息網絡時,就對電力信息網絡實行了物理隔離,讓其既能在安全的環境下繼續工作,又能保障不受網絡穩定性的影響,提高信息交換與資源共享的效率。保證了數據的準確性,也就保障了電力系統服務工作的質量。目前我國網絡安全防護工作主要還是采用病毒軟件、防火墻等工具方式進行,防病毒軟件的應用是安全防護的最常用措施,針對性很強,但是需要不斷更新。相比而言,安全隔離技術是具有很大優勢的,如何將安全隔離技術優勢發揮到最大,就要在實際應用中保證技術的合理與達標。
3. 安全隔離技術在電力信息網絡安全防護工作中的應用分析
3.1 通用網閘類技術
通用網閘類技術指的是利用兩個完全獨立的計算機來處理系統兩端連接的不同安全等級的網絡,這樣的話,在兩套完全不一樣的系統中,進行數據的交換往來,就能夠確保內網、外網都做到同步隔離。通過對http協議進行數據分析,來實現數據訪問安全的控制。
3.2 雙網隔離技術
“網閘類技術的安全強度能夠滿足信息網隔離要求,但這種技術適合于各個業務系統分別布置在不同的分級區域中,而且這種裝置還無法對數據庫專用通信協議進行解析和強過濾,不能滿足現有電力信息內外雙網隔離的架構與需求。”[1]與網閘類技術相比,雙網隔離技術在應用強度上要更勝一籌,將電力信息系統中不同業務信息進行分類處理,采取內外雙網方式進行隔離,信息外網與因特網采用防火墻相連,安全防御的等級較低,容易受到病毒等因素的危害,但是外網與內網之間不存在網絡關系,所以內網的安全防護等級非常高,適宜存儲電力系統中各業務的重要數據。
3.3 其它常見安全隔離技術
除了上述兩種隔離技術,數據庫審計類技術和隔離類技術也較為常見,審計類技術主要是指對一般數據庫服務器上的作出監測,采用基于協議解析的技術路線對數據庫日志進行旁路分析與記錄。
結論
“目前我國電力企業信息系統安全事故頻發”[2],這充分說明我國在電力信息網絡化的工作中做的仍不到位,電力事業直接影響著我國經濟水平的提升發展,關系到人民日常生活的用電安全,因此“電力企業需要高度重視信息網絡安全”[3]工作,針對目前出現的問題,做好切實有效的防護,利用安全隔離技術讓信息化系統變得更加高校安全,為用戶提供放心滿意的供電服務。
參考文獻
[1] 陳悅.探討電力信息網絡安全防護中的安全隔離技術應用[J].大科技,2012(04):68-69.
[2] 張敏.電力企業信息系統安全防護措施探討[J].計算機光盤軟件與應用,2013(04):175-176.
[3] 任春雷.電力信息網絡安全防護及措施研究[J].商品與質量,2016(05).
作者簡介:
1孫川,男,河南鶴壁浚縣,1984年8月生,大學本科,國網河南浚縣供電公司職工,工程師,主要從事電力信息,網絡與安全等方面的工作。
隨著光纖寬帶、移動電話、移動互聯網的普及,通信服務在我們的日常生活中發揮了越來越重要的作用。伴隨社會的信息化推進,通信技術也得到了快速發展。通信得到了社會的廣泛認可。近年來,伴隨著互聯網 技術在全球迅猛發展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網絡的安全威脅,比如黑客攻擊、重要信息被盜等,網絡安全事件頻發,給人們的財產和精神帶來很大損失。但是,在世界范圍內,黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯網上黑客網站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯網的威脅。如何才能保障信息系統的信息安全,怎樣才能確保網絡信息的安全性,尤其是網絡上重要的數據的安全性。
在通信領域,信息安全尤為重要,它是通信安全的重要環節。在通信組織運作時,信息安全是維護通信安全的重要內容。通信涉及到我們生活的許多方面,小到人與人之間聯系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網絡被毀、指揮系統癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰爭勝利的重要保障,而且將作為交戰雙方信息攻防的重要手段,貫穿戰爭的全過程。一旦信息安全出現問題,可能導致整個國家的經濟癱瘓,戰爭和軍事領域是這樣,政治、經濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協會的曾經發出一份報告,稱如果該銀行的數據庫系統遭到網絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經濟,5天就能波及全美經濟,7天會使全世界經濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰備報告》里就強調:執行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發展奠定了基礎。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現在軍事信息安全上,同時也涉及到政治、經濟、文化等各方面。當今社會,由于國家活動對信息和信息網絡的依賴性越來越大,所以一旦信息系統遭到破壞,就可能導致整個國家能源供應的中斷、經濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統大多數還處在“不設防’,的狀態下,國防信息安全的形勢十分嚴峻。具體體現在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發信息系統過程中對信息安全問題不夠重視,許多應用系統處在不設防狀態,具有極大的風險性和危險性。其次,我國的信息化系統還嚴重依賴大量的信息技術及設備極有可能對我國信息系統埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統的國產率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網絡泄密的事故屢有發生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協調不夠,對信息系統的監督管理還不夠有力。各信息系統條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規劃,妨礙了信息安全管理的方針、原則和國家有關法規的貫徹執行。
二、通信中存在的信息安全問題
2.1信息網絡安全意識有待加強
我國的信息在傳輸的過程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。
2.2信息網絡安全核心技術貧乏
目前,我國在信息安全技術領域自主知識產權產品少采用的基礎硬件操作系統和數據庫等系統軟件大部分依賴國外產品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網絡安全關鍵技術的研發,避免出現信息泄露的“后門”。
2.3信息網絡安全防護體系不完善
防護體系是系統頂層設計的一個重要組成部分,是保證各系統之間可集成、可互操作的關鍵。以前信息網絡安全防護主要是進行一對一的攻防,技術單一。現代化的信息網絡安全防護體系已經成為一個規模龐大、技術復雜、獨具特色的重要信息子系統,并擔負著網絡攻防對抗的重任。因此,現代化信息網絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內容。
2.4信息網絡安全管理人才缺乏
高級系統管理人才缺乏,已成為影響我軍信息網絡安全防護的因素之一。信息網絡安全管理人才不僅要精通計算機網絡技術,還要熟悉安全技術。既要具有豐富的網絡工程建設經驗,又要具備管理知識。顯然,加大信息安全人才的培養任重而道遠。
三、通信組織運用中的網絡安全防護
網絡安全是通信系統安全的重要環節。保障通信組織的安全主要是保障網絡安全。網絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發生的概率,進而降低通信組織中信息安全事故發生的概率。
3.1數據備份
對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統中有兩個系統進行同樣的工作,當其中一個系統故障時,另一個系統仍然能正常工作。加密對網絡通信加密,以防止網絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發現正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網絡和信息系統安全的基本保障,機房的安全尤為重要,要嚴格監管機房人員的出入,堅決執行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統的安全運行,可以及時關注一些大公司的網站上的系統安全漏洞說明,根據其附有的解決方法,及時安裝補丁軟件。用戶可以經常訪問這些站點以獲取有用的信息。
3.5構筑防火墻
構筑系統防火墻是一種很有效的防御措施。防火墻是有經驗豐富的專業技術人員設置的,能阻止一般性病毒入侵系統。防火墻的不足之處是很難防止來自內部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應付信息安全所面臨的嚴峻挑戰,我們有必要從以下幾個方面著手,加強國防信息安全建設。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環節,采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規為內容的自我學習和教育。
4.2要建立完備的信息安全法律法規
信息安全需要建立完備的法律法規保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯網安全的決定》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機信息系統安全保護條例》、《計算機信息系統國際聯網保密管理規定》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機信息系統安全專用產品分類原則》、《金融機構計算機信息系統安全保護工作暫行規定》等一系列信息安全方面的法律法規,但從整體上看,我國信息安全法規建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規的研究,及早建立我國信息安全法律法規體系。
4.3要加強信息管理
要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區和部門內的信息安全實行統一管理。
4.4要加強信息安全技術開發,提高信息安全防護技術水平
沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發和運用。大力發展防火墻技術,開發出高度安全性、高度透明性和高度網絡化的國產自主知識產權的防火墻。積極發展計算機網絡病毒防治技術,加強計算機網絡安全管理,為保護國家信息安全打卜一個良好的基礎。
4.5加強計算機系統網絡風險的防范加強網絡安全防范是風險防范的重要環節
首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網絡安全教育的投入。其次,重要數據和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數字、字母和其他字符。加密處理可以防止內部信息在網絡上被非授權用戶攔截。第六,嚴格執行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統風險防范的管理制度
建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執行。
其次,應當設立信息安全管理的專門機構,并配備專業技術人才,選拔防范風險的技術骨干,開展對信息安全技術的研究,對系統弱點進行風險評估,及時采取補救措施。完善信息安全措施 ,并落實到信息安全管理中去。
原有的單一通信技術,無線通信的產生方式和傳輸技術在逐步的完善,相應的,信息的傳播安全和傳播途徑的可信度受到了大家的關注。國家電力企業將通信公司的2G/3G/4G無線移動網絡和電力信息通信相結合,取長補短,組建了具有廣泛性,高效能,嚴格保密特點的電力無線虛擬專網,為智能化通信網絡在語音、數據、圖像、視頻等多媒體方面提供技術支持。
1電力無線虛擬專網組成結構
國家電力企業信息內網工作信息的傳送途徑主要以電力無線虛擬專網為主要途徑,電網組成是各級電網單位與通信公司相結合的集中接入的方式,如有想要加入到國家電網內部信息網絡的客戶,客戶信息網絡會通過最終客戶端連入通信公司的無線網絡,再通過信息公司的相應傳送途徑進行包裝,到達客戶端后進行解析工作,然后,安裝信息安全裝置才能加入企業的信息內網。
2電力無線虛擬專網的安全防范措施
國家電網無線網絡連接的共同途徑為電力無線虛擬專網,它存在很多的安全隱患,包括信息傳送的安全隱患和信息范圍的安全隱患,從在網絡信息安全和傳送范圍兩個方面入手大力保護,可減少信息傳送過程中出現的安全隱患。電力無線虛擬專網網絡起于通信公司無線基站止于電力安全防護設備,供電廠的主要工作是減少電力側網絡設備、電力側安全防護設備及客戶端的運行問題,確保客戶終端可以流暢應用,通信公司主要工作是減少無線基站、運營商IP承載網、專線的運行問題,使其規律的工作。此篇文章主演探究電力無線虛擬專網電力網絡側、電力網絡邊界側信息安全防范措施。
3電力無線虛擬專網數據保護要點
國家電網公司電力無線虛擬專網主要覆蓋信息內網業務,根據信息內網的安全防護要求,針對業務應用數據的重要程度,結合國家電網公司終端實際使用情況及成本效益綜合考慮,電力無線虛擬專網可采用安全防護架構。信息安全防護方案將電力無線虛擬專網分為三個區域:電力無線虛擬專網域、網絡邊界域和內網域。專網域采用租用運營商的專用傳輸通道承載無線終端數據;網絡邊界域采用防火墻和IDS等安全設備進行訪問控制和網絡攻擊檢測,采用公司專用的安全接入設備實現終端到邊界的加密傳輸、終端合法性認證和數據隔離交換等安全功能。
4電力無線虛擬專網信息安全防護措施
根據電力無線虛擬專網安全防護架構、安全區域劃分以及安全責任分界面的劃分等方面考慮,分別從電力企業側與運營商側闡述信息安全防護措施。
4.1電力企業側信息安全防范方法
電力企業在網絡信息安全范圍和信息內網域采用信息安全防范方法,以完成網絡信息安全范圍、信息內網域的安全防范。4.1.1安全范圍規劃:電力無線虛擬專網邊界對安全范圍進行嚴格規劃,使網絡使用范圍明了,對每個安全范圍都應用合適的安全防范方法,并且,對已經到達的網絡信息加以系統的安全保障措施,更好的提升瀏覽監控、危險檢測、輸送監管和客戶端認證等應用的使用性能。4.1.2訪問控制:在邊界接入設備上針對源地址制定訪問控制,禁止不同APN業務互訪;使用防火墻制定嚴格的訪問策略實現專網域至網絡邊界域的訪問控制。4.1.3安全隔離:采用電力企業專用安全接入設備實現網絡邊界域與內網域之間的數據安全交換,阻止非法網絡連接穿透網絡邊界訪問信息內網。4.1.4安全防御及入侵檢測:在邊界部署防火墻及入侵檢測系統,實現抗DOS攻擊、防惡意代碼等功能,即時監視網絡行為和網絡攻擊檢測。4.1.5安全審計:對邊界安全設備進行日志記錄及審計,為評估網絡安全性及網絡安全加固提供依據。4.1.6隧道加密傳輸:在無線終端與電力企業專用安全接入設備之間建立安全加密傳輸通道傳輸業務數據,保障業務數據的安全傳輸。4.1.7接入控制:建立身份認證系統對接入網絡用戶進行強認證,禁止非法用戶接入;信息內網業務系統采取有效措施對接入電力無線虛擬專網的終端硬件特征進行認證。
4.2通信公司隱患預防方法
通信公司使用隱患預防方法,以完成無線信息專網系統的網絡安全連接保護、專用途徑分類等專網域安全防護。4.2.1網絡信息安全連接保護:客戶端應用特定的APN接入,同時通信公司進行電力無線虛擬專業網絡合法SIM卡授權,通過授權后的合法SIM卡可以獲得訪問權,但不可以瀏覽互聯網和其他網絡。4.2.2APN訪問監管:相同的APN內客戶端不可以相互訪問,相反的,不同的APN內客戶端允許互訪。4.2.3特定通道及分離:在GGSN上電力無線虛擬專網用戶應用VRF技術與其他用戶路由分離;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司網絡中輸送電力無線虛擬專網信息以完成專網專用的目的,使其更好的與其他網絡傳播途徑區別。
5結束語
關鍵詞:電力 信息安全防護 等級保護 安全域
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-098X(2016)12(b)-0055-03
為深化電力信息化工程安全防護體系建設,落實工程安全防護總體方案,制定此操作指引,為電力信息化依據總體方案開展信息安全建設提供參考。
1 安全域劃分設計
依據國家電網公司安全分區、分級、分域及分層防護的原則,首先,各單位網絡分為管理信息大區與生產控制大區;其次,管理信息大區按照雙網隔離方案又分為信息內網與信息外網。電力工程安全防護總體方案的設計作用范圍為信息內網和信息外網的一體化平臺以及業務應用相關系統,在進行安全防護建設之前,應首先實現對信息系統的安全域劃分。
對于一體化平臺與業務應用安全域劃分依據總體方案中定義的“二級系統統一成域,三級系統獨立分域”的方法進行,信息內網的系統基本上可分為:(1)ERP系統域;(2)電力市場交易系統域;(3)財務(資金)管理系統域;(4)辦公自動化系統域(總部);(5)營銷管理系統域;(6)二級系統域;(7)桌面終端域。信息外網的系統可分為:(1)外網應用系統域;(2)桌面終端域。
安全域的具體實現可采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式。基本實現目標為劃分各域網絡邊界并進行訪問控制。
進行安全域劃分后,國家電網公司總部、網省、地市所劃分出的安全域與數量如表1所示。
2 安全域的實現設計
安全域實現方式以劃分邏輯區域為目標,旨在實現各安全區域的邏輯隔離,明確邊界以對各安全域分別防護,并且進行域間邊界控制,安全域的實體展現為一個或多個物理網絡或邏輯網段的集合。對安全域的劃分手段可以參考采用如下方式(以下方式可能出現技術重疊,以最終實現網絡分域并可進行訪問控制為目標)。
2.1 防火墻安全隔離
可采用雙接口或多接口防火墻進行邊界隔離,在每兩個安全域的邊界部署雙接口防火墻,或是采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。
2.2 虛擬防火墻隔離
采用虛擬防火墻實現各安全域邊界隔離,虛擬防火墻可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻,每個虛擬防火墻系統都可以被看成是一全獨立的防火墻設備,可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。在該方案中,可以實現為每個安全域建立獨立的虛擬防火墻進行邊界安全防護。
2.3 三層交換機Vlan隔離
采用三層交換機為各安全域劃分Vlan,采用交換機訪問控制列表或防火墻模塊進行安全域間訪問控制。
2.4 二層交換機Vlan隔離
在二層交換機上為各安全域劃分Vlan,采用Trunk與路由器或防火墻連接,在上聯的路由器或防火墻上進行訪問控制。
對于一個應用的子系統跨越多個物理環境如設備機房所帶來的分域問題,由于安全域為邏輯區域,可以將一個公司層面上的多個物理網絡或子網歸屬于同一安全域進行安全體系建設。
3 明確所要防護的對象
在進行安全防護體系建設之前,首先需明確所要防護的對象,將所要防護的對象對應至整體信息網絡環境與相應的安全域中,設計所保護域的邊界、網絡、主機及應用。
(1)邊界安全防護。針對信息內外網第三方邊界、縱向上下級單位邊界以及橫向域間邊界進行安全防護。
①信息外網第三方邊界為國家電網公司信息外網與互聯網的網絡邊界。
②信息內網第三方邊界為國家電網公司信息內網與其他利益相關方(如銀行、代收機構)間的網絡邊界。
③信息內外網邊界為信息內網與信息外網間的邊界,采用邏輯強隔離裝置進行隔離。
④縱向上下級單位安全邊界包括國家電網總部與各網省分司間、各網省公司與地市公司間、地市與縣級單位間的網絡邊界。
⑤橫向域間邊界指劃分出的各安全域之間的邊界,如營銷管理系統域與ERP系統域之間的邊界屬于橫向邊界。
在進行邊界安全防護之前,首先應當制定出邊界清單,對各網絡邊界進行登記。
(2)網絡環境安全防護。包括所要防護的基礎網絡及安全域范圍內的網絡設備和安全設備。
(3)主機系統安全防護。包括承載所防護的安全域中的應用系統的操作系統、數據庫的安全防護。
(4)業務應用安全防護。包括應用系統及通過用戶接口、數據接口所傳輸數據的安全防護。
4 可共用的安全防護措施設計
劃分安全域防護帶來的成本增加主要為網絡邊界隔離設備的投入和網絡安全防護設備的投入。
(1)邏輯隔離設備的成本。如,防火墻、路由器等成本。針對邏輯隔離設備的成本控制,可采取將多接口防火Α⑿檳夥闌鵯健⑼絡交換機Vlan間訪問控制等措施在多個安全域間共用的方式實現。
(2)網絡安全防護設備成本。包括實現防護所需的入侵檢測、弱點掃描系統等。可采用在多個安全域共用一套入侵檢測系統,在各安全域僅部署入侵檢測探頭,所有安全域可采用統一的一套弱點掃描器等復用防護措施以降低防護投入。分域所帶來的只有邊界和網絡層面上的投入增加,對于主機、應用相關的安全措施不會增加投入。
4.1 明確可共用的安全防護措施
分析所有設計的安全防護措施,考慮可共用的安全防護措施,整理目前已完成建設的安全措施,對于不能通過安全產品實現的,需通過功能開發或配置更改等方式來實現。
在網絡邊界部署邊界防護安全措施時,在滿足功能及性能要求的前提下,應盡可能地采用較少的設備實現,例如:采用UTM或IPS設備可以實現網絡訪問控制功能且性能可以接受,則可不再專門部署防火墻。
對于通過部署安全產品實現的防護措施,可采用包括但不限于如下實現共用的方式。
(1)防火墻。
添加防火墻硬件接口模塊實現邊界訪問控制。
添加防火墻管理系統中的策略和對象資源實現邊界訪問控制。
多安全域共用多接口防火墻、虛擬防火墻、交換機Vlan隔離等方式實現域間訪問控制。
(2)UTM統一威脅管理。
添加UTM硬件接口模塊來實現統一威脅管理。
添加UTM管理系統中的策略和對象來實現對資源的統一威脅管理。
(3)入侵檢測系統。
添加軟件網絡入侵檢測系統的網卡以增加可監測的網段。
在交換機上添加硬件網絡入侵檢測模塊以實現對多網段的監聽。
在交換機上增加鏡像端口以實現對多網段的入侵檢測偵聽。
在網段分別部署硬件入侵檢測探頭以實現對多個安全域的分別監測。
在各重要業務主機部署主機入侵檢測以實現對主機的入侵檢測。
(4)弱點掃描系統。
采用一套共用的弱點掃描系統,在掃描系統上添加授權主機的掃描地址范圍,將掃描系統安裝在筆記本電腦上以實現對各安全域系統的掃描。
(5)桌面終端安全管理系統。
采用統一的桌面安全管理系統,分別部署于信息內外網集中進行管理。
(6)防病毒系統。
在信息內外網分別采用統一的網絡版防病毒系統,將所有Windows服務器安裝防病毒客戶端,統一進行管理,或在服務器上安裝單機服務器版本的防病毒軟件。
(7)安全事件/日志分析系統。
在信息內外網分別采用統一的安全事件及日志分析系統。
(8)入侵防護系統。
在信息外網應用系統域的網絡邊界上通過添加入侵防護硬件實現對各系統互聯網應用的入侵防護。
通過添加入侵防護管理系統中的策略和對象以實現對特定資源的入侵防護。
(9)備份恢復軟件。
可在信息內外網分別采用一套統一的備份恢復軟件對各業務數據進行統一備份,在各應用服務器上添加備份。
4.2 設計不可共用的安全防護措施
對于不能通過安全產品實現的安全防護措施,可通過專項研發來實現。
對于通過安全產品實現的安全防護措施,依據安全防護總體方案中的安全防護措施設計來選擇安全產品。
產品選型時,對產品的選型原則、選型范圍、功能技術要求等方面進行說明,然后依據產品選型要求對安全產品進行測評和篩選。
5 安全防護措施實施設計
5.1 安全控制措施實施設計
實施安全控制措施應該遵循總體方案設計,分階段落實安全控制措施建設。這包括安全控制開發和配置、安全控制集成、測試與驗收等主要環節。
(1)安全功能開發和配置。對于一些不能通過部署安全產品來實現的安全措施和安全功能,通過軟件功能設計、開發和配置來實現。
(2)安全控制集成。將不同的軟硬件產品集成起來,依據安全設計方案,將安全產品、系統軟件平臺和開發配置的安全控制與各種應用系統綜合、整合成為一個系統。
(3)安全產品測試與驗收。在安全產品上線前應當對設計的功能進行測試,并經過試運行后完成驗收。
(4)安全運行維護。完成安全體系建設后,將進入安全運行維護階段,各單位應當嚴格遵照國家電網公司相關運行維護要求及各安全產品的運行維護手冊及要求進行系統運行維護。
5.2 安全控制措施變更設計
經過一段時間運行后,隨業務系統及信息環境的變化,安全控制措施可能需要進行變更,需注意以下幾點。
(1)確定是安全體系局部調整還是重大變更,如果涉及到安全域變化需要重新依據防護方案進行設計;如果僅局部調整可修改安全控制措施的配置實現。
(2)由變更發起人向主管領導進行書面申請并要記錄相應變更行為,確保變更實施過程受到控制,保證變更對業務的影響最小。
(3)對變更目的、內容、影響、時間和地點以及人員權限進行審核,以確保變更合理、科學的實施。
(4)變更應當制定詳細的計劃并在非關鍵業務時段進行,并制定相應的回退計劃。
6 結語
該課題對電力公司信息系統等級保護安全策略進行研究,采用了安全域劃分設計,通過該課題設計實現信息安全等級保護建設的層次及過程,有效地將信息安全總體方案進行貫徹執行。
參考文獻
[1] 槍威.數字化變電站中信息處理及網絡信息安全分析[J].電力系統保護與控制,2007,35(12):18-22.
[2] 胡炎,謝小榮,韓英鐸,等.電力信息系統安全體系設計方法綜述[J].電網技術,2005,29(1):35-39.
[3] 胡炎,謝小榮,辛耀中.電力信息系統現有安全設計方法分析比較[J].電網技術,2006,30(4):36-42.
關鍵詞:企業網絡安全 數據安全 網絡病毒防護
一、網絡安全
現代經濟的發展,網絡的運用已經遍布世界各地。保證網絡安全,也就是保證網絡硬件軟件和數據在除自然、人為因素破壞之外受到應有的保護,,保證其不被破壞、惡意泄露等,保密、完整和可用時網絡安全的三大指標。現如今,垃圾信息,的大量產生嚴重減緩網絡速度,影響這個系統的運行。連續的操作能力對于一個網絡系統來說是至關重要的。保證一個完整的程序完整的運行,不僅是服務器還是數據終端都要產生必須的可持續服務的。再者,網絡的安全也受場地環境、電源等條件的影響和制約。技術上的不足,其實是影響網絡安全最主要的因素,其次還有配置不高、人為錯誤和政策錯誤等都有可能對網絡安全造成威脅。網絡的安全就是要達到網絡不被惡意修改、惡意泄露個人用戶信息。不管是內部的還是外部的網絡的安全都要能夠有效的防治攻擊,這其中就包括保護網絡數據庫的安全,有效制止網絡病毒對于網絡的侵犯。
二、企業網絡安全防護措施
雖然現在有相當一部分企業通過使用內網企圖阻斷互聯網對于企業網絡安全的威脅,但是這樣在一些方面也制約著企業的發展,網絡的運用對于一個企業來說是無法避免的,使企業陷入尷尬境地。企業對于網絡的監管以及采取必要的網絡安全措施是必不可少的。
1.企業網絡數據庫安全防護
作為儲存信息的重要場所-數據庫,擔負著管理整理和保護這一系列責任重大的任務。新生事物與問題一直以來都是并存的,數據庫的產生與數據庫安全問題也是并存的,并且隨著數據庫技術不斷發展問題不斷加深。 當前,郵箱用戶密碼泄露等各種泄密門的頻繁發生,已經為企業網絡數據庫安全敲響警鐘。對于數據庫的安全防護我們可以從以下幾方面入手。
對于特殊的訪問模式對象,數據庫應該允許用戶在莎草操作的對象上特殊動作模式。簡單而言,就是數據庫應該允許一些特殊對象層上的訪問和使用數據庫機制。比如說在對一個數據庫進行訪問的時候,部分用戶僅僅只能操作INSERT、SELECT的語句程序,像DELETE這樣的語句在這里將不被允許使用。對于用戶也可以分門別類的進行安全管理策略。對于普通用戶,管理員應該在涉及所有用戶的權限管理方面加強考慮改善,要么就是用角色來管理控制用戶可用權限,要么就只允許少部分用戶使用數據庫,明確用戶權限,不適用角色。一般來說,對于用戶身份的確認,最簡單也是最直接的辦法就是用戶自行設置密碼,同這樣的方式與數據庫進行連接。一個數據庫有大量的用戶使用的時候,管理員應該將用戶分成若干用戶組來管理,并且創建各個用戶組的角色。管理員給予一個角色所應有的權限,這樣也就把這些權限賦予了這些用戶。這使得管理更加條理明晰化。當然也有特殊例外情況,對于一些特殊權限,管理員必須明確權限到每一個用戶層面上。對于一個大的數據庫,應該根據實際情況把管理員也分成幾個類型的,根據管理權限把管理員分割成幾個管理角色。對于操作系統的安全,管理員應該具備管理操作系統的權限,這樣做是便于創建和刪除一些文件,保護數據庫環境良好。而一般的數據庫用戶不能擁有操作系統的權限,這便于保證數據庫必要的安全和其他用戶信息的保密性能。
還可以對數據庫進行加密。目前大型數據庫平臺一般都是Windows NT/2000等,其對應的安全等級基本都在C1\C2級別。雖然這些數據庫在網絡安全方面增加不少措施,但是在操作系統和數據庫管理系統對數據庫文件本身的防護措施仍然不足。網上黑客往往繞開這些防護措施直接通過對操作系統的工具的運行篡改數據庫文件內部的內容。針對這一漏洞,一般采取的是B2級別的安全技術防護措施,增加對數據庫中的敏感數據的加密處理,達到阻塞這一黑客攻擊行為。算法在適應數據庫系統特點的前提下,對于加密和解密的速度要達到一定程度,通過加密算法對數據庫加密核心。把計算機硬盤的數據進行備份和回復,就會有效的防止因為數據庫的損壞或泄漏而帶來的經濟損失。一般來說,可以通過磁帶備份、硬盤備份和網絡備份三種方式來進行數據的備份。保存這些備份資料的物質要存儲在異地,并且保存介質要防火、防潮、防水和防磁。并且還要定期清潔備份設備,安裝報警設備,隔期檢查。除此之外,企業還應該制定完備的數據備份策略,一般情況下,完全備份、增量備份和差分備份這三種備份策略結合使用。
2.企業網絡病毒的防范
網絡的運行使得各種網絡病毒滋生,企業在加強用戶遵守和加強安全操作控制措施的前提下還應該加強安全操作,靈活運用硬件和軟件病毒工具,利用網絡優勢,把病毒納入到網絡安全體系之中,形成一套完整的安全機制,使病毒得到有效的控制,不會在企業網絡中傳播。在思想和制度方面,應該加強員工制度管理,打擊盜版,建立健全網絡安全管理制度。在技術方面,采取采取縱深防御方法,運用多種阻塞渠道和安全機制對病毒進行防范。對于病毒的防范最根本的是操作系統的安全,開發并完善高性能安全的操作系統,全面升級操作系統,提高操作系統的安全性能,能有效提高對網絡病毒入侵的防范。還可以通過軟件過濾對病毒予以識別,隔離病毒,對于已經存在在系統內部的病毒,一般而言會采用系統參數分析之后,識別系統的不正常和惡意改變。在數據庫后臺建立一個嚴密的病毒監視系統,可以大大提高病毒入侵的防止工作力度和效率。對于一些需要下載的、有附件的的文件,系統可以對其進行實時掃描,存在異常則隔離處理,及時更新病毒庫,集中處理病毒,便于管理。在網絡出口處進行訪問控制,可以在出口處安裝防火器或者路由器,這樣也可以有效的防止內部網絡中感染網絡病毒。只有建立一個有層次的、立體的、系統的防反病毒體系,才能有效地制止病毒在網絡內的蔓延和傳播。
參考文獻
[1]陳雪,企業網絡安全防護技術措施[D],四川信息職業技術學院,2011.1
[2]何毅,企業網絡安全的防護,如何能經濟有效,2011.4
[3]李燕子,構建企業網絡安全方案[J],企業網絡安全,2009.9
1.1安全防御意識缺失
企業內部人員并沒有充分認知到網絡安全防護的重要性,安全防護意識存在很大程度的缺失。隨著數字化技術的普及,網絡辦公方式將逐步實現數字化,辦公模式網絡化將會致使企業內部人員對自動化技術產生高度依賴性。但是企業內部人員并沒有對網絡安全防護工作給予高度重視,很多企業內部的防御系統都存在陳舊老化的現象,沒有對網絡防御系統進行及時更新,網絡建設沒有足夠的資金支持,沒有針對網絡安全構建完善的防護機制;面對網絡惡意破壞,企業內部的網絡系統并不具備良好的抵抗能力,一旦遭受破壞,將會很難進行維修;企業領導者并沒針對網絡安全開設相應的管理部門,也沒有配備專業人員對網絡系統進行信息安全監管。
1.2網絡非法入侵
企業網絡系統存在較多漏洞,網絡黑客將會利用這些漏洞非法入侵企業內部網絡系統,繼而篡改企業信息資源、下載企業重要資料,致使企業內部商業機密出現損壞、丟失或是泄漏等問題,會對企業的生存與發展造成巨大的不良影響。除此之外,網絡黑客還可以利用網絡系統漏洞,冒充他人,在網絡上進行非法訪問、竊取商業機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為,對企業的信息化網絡工程建設造成非常大的威脅,是企業實現信息化建設的主要障礙性因素。
1.3網絡病毒
網絡病毒可以通過多種途徑對企業網絡系統進行感染與侵害,例如,文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網絡進行傳播,因此網絡病毒的感染范圍非常大,感染效率較快,對企業網絡系統具有較大的危害性。隨著計算機技術的普及,網絡技術在各個領域受到了大力推廣,為網絡病毒的傳播提供了主要途徑,并在很大程度上提高了網絡病毒的感染效率。企業內部人員在使用介質軟件或是數據時,都有可能促使企業網絡系統感染網絡病毒,致使企業網絡系統出現崩潰現象,整個網絡工程處于癱瘓狀態,導致企業網絡系統無法發揮自身的服務功能,會給企業造成嚴重的經濟損失。除此之外,網絡病毒還可以采取其他手段對企業網絡系統進行病毒感染,例如竊取用戶名、登錄密碼等。
1.4忽視內部防護
企業在構建網絡化工程時,將對外工程作為系統防護重點,高度重視安全防火墻技術,并沒有對內部防護工程的重要性形成正確的認知。安全防火墻只能提高企業網絡工程的對外防護質量,對內部防護毫無作用,如果使用企業內的計算機攻擊網絡工程的局部區域,網絡工程的局部區域將會受到嚴重破壞。現階段,內部攻擊行為也被列為企業網絡安全建設的主要障礙性因素之一,因此,企業領導者要高度重視內部防護工程建設,只有這樣,才能確保企業網絡化工程實現安全建設。根據相關調查資料顯示,現階段,我國企業網絡所遭受的安全攻擊中,內部網絡攻擊在中發生事件中占據著非常大的比例,企業內部人員對于網絡安全沒有形成良好的防范意識、網絡結構被無意泄漏、IP地址隨意更改、亂用敏感數據等都會對企業網絡系統內部防護工程造成巨大威脅。
2企業實現網絡安全建設的具體措施
2.1完善網絡安全體系
企業內部人員在構建網絡化工程前,要深入了解網絡信息的安全情況,對網絡信息的需求進行準確把握,具體分析企業內部人員的使用情況以及非法攻擊情況,繼而采取科學合理的措施,開展具有針對性的信息安全管理工作,這樣可以為網絡安全建設提供基礎保障。企業網絡化工程安全性受到影響主要體現在兩方面,分別是外部入侵、內部使用。內部使用是指企業內部工作人員沒有遵照相關規范標準進行網絡操作、信息安全防護意識存在缺失等,致使企業內部信息出現泄漏等現象;外部入侵是指網絡木馬、黑客攻擊以及網絡病毒等。這兩種方式都會對企業網絡安全建設造成巨大的不良影響,會致使企業信息丟失,危害企業的生存與發展,因此,企業內部人員應根據企業網絡化工程的實際使用情況,構建相應的安全體系,企業領導者還要針對工作人員的行為進行標準規范,避免工作人員在實際網絡應用中,出現違規操作行為,提高企業內部人員的安全防護意識,并構建軟硬件防護體系,可以有效抵抗外部入侵,從而保障企業網絡信息的安全。
2.2構建網絡安全系統
現階段,企業在網絡化工程建設過程中,主要采取兩種防護方式構建安全系統,分別是軟件防護、硬件防護。面對現階段科學技術發展對網絡安全建設提出的要求,企業內部人員在構建網絡安全系統時,應該將軟件防護與硬件防護進行有效結合,只有這樣,才能確保企業網絡工程系統實現安全化建設,提高網絡信息的安全性,促使網絡化工程的服務功能得以全面發揮。隨著企業規模的不斷擴大,企業內部人員要想全面提升企業的網絡化工程的防護能力,還要對網絡硬件的使用情況進行深入分析,繼而才能對防火墻服務器標準進行選擇,這樣可以有效提升服務器的可行性。企業內部人員要想構建良好的網絡安全系統,首先要對系統硬件設備進行深入調查,確定系統設備類型,準確把握企業內部人員的實際使用需求,繼而再對防火墻類型進行選擇。
2.3對網絡安全設置進行有效強化
首先,企業內部人員要對企業網絡系統進行充分了解,準確把握其與互聯網之間的接入方式,然后選擇適宜的軟件設備以及防火墻設備,這樣可以促使互聯網與企業網絡化工程之間實現安全接入,有效提升企業網絡工程的防護能力。對于企業原有的防火墻,不應進行拆除,應該在其基礎上構建入侵檢測系統,這樣可以對企業內部網絡工程的運行狀況進行實時檢測,如果有突況,可以進行及時反映,這樣不僅可以為企業內部人員的工作提供很大的便捷性,還能為企業網絡信息安全建設提供技術保障。為了實現移動辦公,企業內部人員可以構建一種加密系統,例如,VPN加密系統,利用該系統,企業內部人員可以通過互聯網對企業內網進行訪問,而不必擔心出現信息泄露等情況,可以有效提升企業網絡安全的防護功效。
3結語
關鍵字:計算機;風險防范
中圖分類號:G623文獻標識碼: A
計算機安全技術雖然不斷的在進步,但是計算機安全性問題一直都得不到解決,因為計算機黑客技術也在隨著計算機安全技術的增長而增長,安全技術是一把雙刃劍,達到什么樣的效果取決于怎樣去使用它。任何的計算機安全技術都不能保證計算機百分百的安全,但是可以很大程度上提升計算機的安全系數,所以掌握計算機安全技術還是非常有必要的。
一、從人的角度出發,防范社會工程學
計算機的應用者是人類,人類難免有各種各樣的想法與弱點。在計算機安全問題中,有許多本來可以避免的問題,但是由于計算機使用者被欺騙或者誤導,導致出現安全事故。社會工程學的概念是由美國著名的黑客Mitnick在他的《欺騙的藝術》一書中提出的,其中講解了如何通過各種手段對他人進行欺騙。在我國存在的大量的網絡詐騙行為,其手段都可以認為來源于社會工程學,欺騙者往往會利用受害人的種種心理弱點或者是好奇心、信任等等進行欺騙,在這種欺騙手法下,即使有著較為完善的安全防御系統也并不能保證計算機的安全。因此,計算機安全問題中最為重要的防護手段就是增加計算機使用者的警惕性以及計算機安全技術水平。
計算機使用人員的計算機安全技術常識是計算機安全的基礎。首先使用者應該懂得哪些操作是危險操作哪些操作是安全操作,避免因缺乏計算機安全知識而造成各種安全問題。其次使用者應該有維護計算機防御系統的能力,至少不能干擾防御系統的運轉,不隨意的阻礙防御系統的工作。最后,使用者最好具備一定的安全突況處理能力,出現安全問題時能夠快速采取措施防止問題擴大化。
除以上防范措施外,還應從社會工程學角度加強防范,否則再強大的防御系統也攔不住從計算機使用者處泄漏出信息。首先,計算機使用者不應該在未確認對方可信任身份的時候運行對方的任何程序,或訪問對方提供的任何鏈接以及其他一切可能獲取計算機信息的行為。其次,計算機中各種密碼最好隨機設定并有使用期限,密碼不要由任何人主觀設定,因為每一個人的主觀設定密碼都會與其在現實中的某些信息相關聯,會為入侵者提供可能。
二、從網絡角度出發,警惕網絡安全
計算機網絡安全一直是計算機安全領域的重點,網絡是計算機溝通的橋梁,是信息傳播的媒介,因此把好網絡安全關是增強計算機安全性的有效途徑。具體的計算機網絡安全防范措施取決于常見的網絡入侵方式有哪些類型,下面從網絡入侵以及網絡攻擊流程分析,網絡安全防范要點有以下幾項:
a)能夠訪問網絡的設備可以設置密碼的都要設置密碼,并且密碼要足夠健壯,能夠抵擋住暴力攻擊,同時現實中也要注意密碼權限的問題,知道密碼的人越少越安全。
b)路由器是網絡中重要的節點,路由器需要設置嚴格的限制條件,哪些地址可以訪問哪些地址不可訪問都需要進行設置。現在的路由器已經具備了許多防止網絡攻擊的功能,都需要開啟。如果條件允許的話,還可以使用IP技術,隱藏自身的IP地址,保證安全。
c)除對外網絡進行防范外,同時也要注意局域網絡的安全防范,任何系統從內部攻破的難度都小于從外攻破的難度,不能因為整個網絡中某一臺計算機被攻破而導致整個局域網都受到威脅。可以采取的措施是加強局域網訪問控制,記錄、綁定局域網中的MAC與IP地址,特別情況下可以計算硬件碼作為身份標示。
d)開啟主動式網絡監控系統。現在市場上已經出現了不少主動式網絡監控系統,嚴格地說它們屬于防火墻的一種,但是從技術角度上看,卻與以往的被動式防火墻有著較大差別,主動式網絡監控系統對于未知危險判定能力更高,對網絡的防護性更強。
三、從操作系統角度出發,完善安全防御系統
操作系統是一切操作行為的承擔平臺,也是出問題最多的環節,做好操作系統安全防護是計算機安全防護的重中之重,它的防護措施可以從兩個方面考慮,就簡單的一個方面是操作系統發行方的支持。以用戶量最大的微軟公司為例,每當windows操作系統發現漏洞的時候,微軟公司都會用最快的速度制作好漏洞補丁,作為用戶,只需要時刻關注微軟的信息,及時安裝補丁就可以了。當然,現在的各類安全軟件已經能夠做到漏洞檢測并提醒了,只需要用戶授權即可。另一個復雜的方面是附加的操作系統防護,依據主動防御理論,在使用量最多的windows系統中,除卻網絡防護外還有其他的三個防御重點:
a)文件系統防護。計算機中的數據探其本質都是以文件形式存在于硬盤中的,保障數據安全就需要做好文件系統的防護。不同的程序應該設定不同的文件訪問權限,嚴格限制程序訪問文件范圍,特別是對未知應用程序,一定要嚴密監視與控制其對文件系統的訪問。
b)應用系統防護。這是計算機系統防護的重點,程序作為代碼的執行體必須得到控制,不能讓程序隨意的獲取敏感的權限,例如底層操作磁盤權限、鍵盤鉤子權限、內核HOOK權限、訪問其他進程內存空間權限、操作物理內存權限等等,就相當于為應用程序畫出一條運行軌道,嚴禁應用程序非法越軌。
c)注冊表防護。注冊表是Windows系統有的機制,微軟公司雖然并沒有公開注冊表的所有信息,但是許多敏感的注冊表信息還是廣泛的被了解。對注冊表的修改可以影響系統的大部分工作,例如驅動的加載、開機啟動項的加載、系統服務的增刪、系統的各項設置等等,同時注冊表中還會存有許多重要的信息。所以大量的病毒木馬都會利用注冊表達到自己的目的,因此注冊表防護也是一項重要的安全防護內容。
參考文獻
[1]周山.計算機網絡風險防范模式研究[J].科技致富向導.2013(12)
[2]孫文文.淺談計算機安全性分析與防范措施[J].信息與電腦(理論版).2013
【關鍵詞】電力自動化;通信技術;信息安全
電力行業在國民經濟中占主導地位,近幾年,憑借科技不斷發展,電力行業正日益向自動化方向邁進。通信技術在電力自動化中起到了舉足輕重的作用,但其涉及到的信息安全問題卻關系到供電穩定性與安全性。因此,強化對信息安全方面的探究,找出現階段存在的問題,采取有效防護措施予以處理和加強,是具有重要作用與現實意義的。
1信息安全防護范圍與重點
某城區通信網的主要任務為對市區內22座變電所提供縱向通信,所有通信網均采用光纖通信電路,根據方向的不同,可分成東部與西部兩部分。其中,東部采用ATM網絡,設備選擇為Passport6400;西部采用IP+SDH交換機網絡,設備選擇為Accelar1100與150ASDH。該市區通信網負責縣級調度與少數樞紐變電所通信,主要采用自帶兩類適配端口的設備。在通信網中,信息安全防護范圍為整個信息通信網,主要防御對象為黑客或病毒等經過調度數據網絡與實時監控系統等主動發起的攻擊與破壞,確保傳輸層上的調度數據網絡與實時監控系統可靠、穩定、安全運行。
2安全防護原則分析
電力調度數據網絡與實時監控系統在實際運行過程中各個變電所和調度通信中心之間存在若干條縱向通信,根據相關規定,在系統總體技術層面上主要提出以兩個隔離為核心的安全防護基本原則。其中,涉及通信隔離的基本原則可總結為以下幾點:(1)為確保調度數據網運行安全,網絡需要在通道上借助專用網絡的設備組網,并采取同步數字序列或準同步數字序列,完成公用信息網絡及物理層面上的有效安全隔離;(2)根據電力系統信息安全防護技術路線明確的有關安全防護區涉及的幾項基本原則,為所有安全防護區當中的局域網均提供一個經過ATM配置的虛擬通信電路或者是經過同步數字序列配置的通信電路,采取這樣的方式為各個安全等級提供有效的隔離保護[1]。
3通信網絡的安全分析
根據上述目標要求與基本原則,通信網必須向不同的應用層提供具有良好安全性的傳輸電路,即VirtualPrivateNet-work,虛擬專用網絡,其原理如圖1所示。該市區已經完成了各項初步設計工作,具備充足的條件嚴格按照目標要求與基本原則開展后續工作。在現有通信網的ATM系統中,根據實時要求或非實時要求,已完成對四個安全區的有效劃分,每一個安全區都可以配置虛電路,因虛電路的端口主要適配于ATM系統的適配層,借助ATM系統的信元完成信息傳輸,各個虛電路的內部連接屬于典型的端與端物理式連接,不同虛電路之間不涉及橫向上的通信,并且與外界也不存在通信聯系。因此,對于通信網絡的ATM系統而言,其在虛擬專用網絡方面的虛電路之間主要為物理隔離,不同區的虛擬專用網絡傳輸具備良好的安全性。對1100IP交換機系統而言,它需要承擔不少于四個區的實時業務通信,因為這些業務通信區在所有站上都采用交換機完成傳輸與匯接,不同區之間僅僅是根據IP地址方面的差異而進行劃分,形成各自的VLAN(VirtualLocalAreaNetwork,虛擬局域網),區之間并未完成原則上要求的物理隔離,作為虛擬專用網絡主要傳輸鏈路,無法滿足其在專用局域網方面的基本要求[2]。根據上述分析結果可以看出,該城區通信網絡將ATM視作虛擬專用網絡的信息傳輸鏈路基本滿足安全性要求,但交換機實際傳輸與匯接卻存在不同程度的安全隱患,違背了安全防護方面提出的各項基本要求,為了從本質上確保通信網絡安全,必須對此予以有效改造,可采取如下改造方案:充分利用西部系統現有電路,增設2M/10M適配設備,借助同步數字體系為所有安全區構建透傳電路,在中心站集中交換機,每個安全區都配置一個交換機,以此達到“一區一網”的根本目標,即一個安全區配置一個虛擬專用網絡。
4安全防護技術手段
該城區設置的電力信息通信網本質上屬于專門為電力系統提供服務的通信網絡,其自身作用較為單一,僅為信息中心和調度通信中心與各個變電所間的通信,根據安全防護提出的各項基本原則,充分考慮現階段網絡基本狀況,可實施采取以下技術手段:(1)切斷與外界之間的直接通信,確保系統和外界不存在直接通信關系;(2)采用同步數字體系向所有安全防護區提供專用電路,同時采用速率適配裝置等實現和業務端之間的連接;而不同業務端之間則可以使用點與點的方式進行通信,以此滿足安全防護區以內通信業務方面的縱向通信要求。由同步數字體系設置的專用電路通常不會產生橫向通信[3];(3)由ATM系統向所有安全防護區提供虛電路,以此構成一個完整的虛擬專用網絡,并確保不同虛擬專用網絡間沒有產生橫向通信的可能;(4)城區整體電力信息通信網與市縣級通信網在完全相同的安全防護網中構成相同的虛擬專用網絡。
5總結
(1)根據電力系統信息安全防護明確的防護范圍與各項圖1虛擬專用網絡基本原理低碳技術基本原則,對某城區所用通信網潛在的各類安全問題進行深入分析,并結合現階段實際發展要求,提出一系列技術手段,為制定合理、有效的處理方案提供依據。(2)該城區電力信息通信網本質上屬于一個具有封閉性特點的單一用途通信網絡,可實現與外部間的完全隔離以及系統內部電路之間的相互隔離,其具備的安全防護能力可以很好的滿足系統安全運行要求。然而,考慮到系統安全防護水平的提高必然會引起相關要求的改變,因此以上結論僅限當前水平。
作者:周建新 單位:國網湖南省電力公司沅江供電分公司
參考文獻
[1]程雪.電力自動化通信技術中的信息安全及應用[J].網絡安全技術與應用,2014(12):46+48.
【關鍵詞】 現代 通信網絡 網絡安全 維護
現代社會科學技術的進一步發展,計算機通信網絡得到了普及性應用,給社會大眾的生產生活帶來了極大的便利,對人們精神生活質量的提升產生著相應的積極影響。但是伴隨著通信網絡影響力的逐步提升,對通信網絡安全要求也隨之增強,因此相關網絡管理和維護部門必須加強對計算機通信網絡安全維護和技術創新工作的重視,及時解決網絡安全隱患,最大限度的避免通信網絡安全問題對社會大眾的生活造成不良影響,為人民營造健康的網絡環境。
一、維護現代通信網絡安全的重要性
通信網絡安全維護工作就是采用一定的計算機技術和策略保證網絡環境中信息安全、完整、可以繼續應用。隨著當代社會計算機科學技術的不斷發展和創新,通信網絡建設已經日漸成為網絡技術革命的重要構成元素,是社會大眾之間傳遞相關信息的重要橋梁,對社會上各種相關經濟文化的傳播和社會主義精神文明的構建產生了一定的積極影響[1]。但是從另一個方面進行分析,通信網絡存在一定的安全隱患,一旦出現網絡安全問題,不僅會造成網絡使用人員在信息交流方面存在障礙,甚至會導致信息泄露,造成巨大的社會經濟損失,對社會公共利益和價值也產生嚴重的不良影響。一般情況下,通信網絡遭受到的攻擊以攻擊者非法偷盜和使用他人賬號信息以及利用所盜用的賬號進行其他各方面的詐騙為主。
因此在當前通信網絡安全問題日漸增多的社會背景下,關注網絡安全,進行安全技術創新,促使安全隱患得到有效解決是十分必要的,只有從技術層面上進行有效防范,才能真正減少網絡安全問題的出現,維護通信網絡使用者的隱私安全。
二、當前我國通信網絡安全防護現狀
近幾年,國家逐漸加強了對計算機安全防護工作的重視,不僅在管理過程中對電信部門的實際運營情況進行實時備案,還建立了相對科學完善的管理系統和管理體系。同時,對于現代通信網絡安全的維護工作,還組織相關部門對網絡安全保護、安全評估以及準備工作進行管理,并定期對工作成果加以總結。
特別是隨著網絡通信技術在社會上的應用程度不斷深化,在國家相關部門的高度重視下,我國通信網絡安全防護技術能力也得到了一定程度上的提升,使通信網絡的安全維護能力隨之增強,有利于在實際應用通信網絡的過程中有效避免各項安全隱患,維護通信網絡的安全[2]。
但是,雖然現階段我國相關通信網絡部門在通信網絡的安全維護工作中已經取得了相應的成果,并且防護技術在先進技術的支持下得以逐步提升,但是網絡安全防護工作中仍然存在著相應的問題,需要保持高度的重視。例如,一些網絡運營公司在實際建設和管理過程中沒有緊跟時代的發展步伐,安全管理體系的建設存在落后性,無法對新時期通信網絡的安全管理工作做出正確的指導;一些公司對安全技術創新工作有所忽視,對通信網絡的安全維護意識不強,全程監控技術嚴重缺失,也不利于通信網絡安全維護工作質量的提升;第三方技術管理水平低也是當前我國通信網絡安全維護質量差的主要影響因素之一,需要進行進一步的優化調整。針對這些管理問題,相關部門必須在新時期對通信網絡安全管理工作進行更為深入的分析和研究,及時進行技術創新、制度優化,并加強體系建設,促使我國通信網絡獲得更好的發展。
三、現代社會通信網絡安全防護技術措施
3.1網絡加密技術的合理應用
網絡加密技術是當前我國通信網絡安全管理工作中最為重要的技術手段一,將其合理應用到網絡安全管理過程中能夠有效預防公用和隱私信息在網絡上被不法分子竊取,在網絡安全維護方面發揮著巨大的作用。在實際應用過程中,網絡加密技術,可以對在公網上進行傳輸的IP包進行適當的加密處理,從而進一步提升網絡信息傳輸的安全水平,確保信息能夠完整的傳遞到用戶手中,維護廣大群眾的合法權益[3]。
同時,網絡加密技術的應用也能夠有效解決遠程用戶在進行信息訪問過程中容易遇到的網絡安全問題,即使在數據傳輸的過程中一些數據信息被截獲,也會因為加密機制的存在增加信息盜取的難度,進一步提升數據信息的安全水平。
3.2防火墻技術的有效應用
防火墻技術也可以簡稱為防護墻,實質上是一種信息隔離技術。防火墻主要是位于通信網絡中內外部網絡之間的安全防護系統,在信息安全維護方面發揮著重要的作用。在實際工作過程中,防火墻按照特定的運行規則,允許和限制一部分信息的傳輸,能夠實現對網絡龐雜信息的規范化管理[4]。
在網絡安全防護工作中,防火墻可以是一個硬件或者軟件,如專門設置的防火墻設備就是硬件形式的防火墻,而包過濾路由器中的防火墻則屬于固件設備,服務器等軟件形式中帶有的防火墻屬于防火墻的軟件形式。防火墻技術是我國維護通信網絡安全的重要手段,通過科學的鑒別和對跨越防火墻的數據流進行合理的限制和更改能夠完成對通信網絡安全的防護,最大限度的避免黑客對用戶信息進行隨意的盜取、修改和刪除,進一步增強網絡安全。
3.3身份鑒別與認證技術的科學應用
身份鑒別和認證技術在通信網絡安全防護工作中的應用可以在通信網絡訪問時借助口令、密碼等多種方式來完成對相關用戶信息的鑒別和管理。在網絡信息的各項相關生命周期中,由于網絡的開放性導致其會受到各方面因素的威脅,并且這些威脅因素可通過充分利用網絡環境的脆性來影響應用環境的安全,如對相關通信信息進行竊聽、損毀等。因此,十分有必要借助身份鑒別和認證技術設置相應的網絡權限,實現對用戶的科學管理,切實維護相關通信信息的安全性、完整性和可控性,保證只有符合身份認證權限的用戶才能夠對相關信息加以使用。
3.4 VPN技術的規范應用
VPN技術是虛擬專用網絡技術的縮寫,這一技術在通信安全防護工作中的應用主要是在公用網絡上建立相應的專用網絡系統,并采用一定的基礎對通訊進行加密。VPN技術的實際應用可以借助多種形式來完成,如服務器、硬件和軟件等,不僅成本較低,并且在實際使用方面也比較容易[5]。同時,為了保證網絡通信信息能夠進行安全的傳遞,VPN技術可以對服務器和客戶終端之間的相關數據進行加密管理,保證這部分數據信息具有相應的隱蔽性,增強信息的安全,維護通信網絡使用者的利益。
四、結語
綜上所述,現代社會通用網絡信息技術的發展和在社會上的普及性應用促使通信網絡安全問題逐漸受到社會的廣泛關注,通信網絡安全管理部門要想維護社會大眾的網絡安全,避免通信網絡安全問題對社會大眾基本利益產生損害,就應該加強對通信網絡安全維護工作的重視,通過合理的安全維護,保證通信網絡安全,為社會大眾提供更為優質的通信服務。
參 考 文 獻
[1] 呂慧玲.現代移動通信網絡安全關鍵技術探討[J].消費電子,2013(22):88-88.
[2] 閆娟.通信網絡安全維護的有效方法分析[J].才智,2015(16):353-353.
[3] 李博.淺析通信網絡傳輸中確保網絡安全可以采取的幾項措施[J].山東工業技術,2015(10):143.
