网络安全技术的核心技术篇1
1计算机网络安全性的研究
保护网络安全是现代信息技术急需解决的问题,现在的网络安全性是由4个相互影响和配合的部分组成,分别是保密性能、鉴别性能、抗抵赖性能和完整性的控制。保护安全方面最常用的方法是保密方法,受保护的信息不会得到未授权者的访问。先对对方身份的确认在敏感信息传输或事务处理之前进行被称为鉴别。计算机网络安全中和数字签名有关的是抗抵赖性,保护信息可以不被他人访问修改是其完整性的体现。保密可采用加密技术实现,一般是密钥加密、单项函数和公开密钥加密这三类技术进行加密实施。在加密过程中使用单一的密钥加密和解密信息属于密钥加密;两个密钥,一个加密,另一解密的属于公开加密;信息加密后产生原始信息的一个签名,可证明它的权威性的属于单项函数加密技术。网络安全中,信息在传输之前进行加密是保障信息安全的重要手段。
通过对于通信对象的真伪进行验证的技术被称为鉴别技术。验证通信对象的入侵者是不是恶意难度系数比较大,这需要密码学的复杂协议进行分析协助。与特定的进程进行通信是鉴别关心需要研究的,而不是允许进程做什么。鉴别的形式比较多,主要是共享秘密密钥、使用密钥分发中心、Kerberos使用、公开密钥加密算法的鉴别等。数字签名系统的开发是保证信息和文件真实性和可靠性的体现,它的性质是接收方对于发送方所宣传的身份能够验证到位;发送方所发送的文件无法被否认;报文不可能被接收方所伪造。该技术可采用秘密密钥和公开密钥的方式进行数字签名。在计算机网络安全技术中使用最为广泛的程序是pGp程序,这是一个软件加密程序。它是公钥加密技术和消息安全性的事实标准,用户使用时如果存在不安全的通信链路,他可以自主建立安全的消息和通信,使用各种形式的加密方法可给用户提供安全高效的传输过程。此程序的特点是他可以保护自己的消息和私有文件不被破坏和盗取,也可保护自己的私下交谈,这是使用一种简单消息认证方法可以达到的。
2影响网络安全的常见攻击工具
破坏性攻击工具是造成网络安全的重要隐患,它主要通过骚扰和破坏数据的方式进行。一般情况下,大部分的破坏性攻击工具只是影响用户的使用心情和效率,对于网络基本安全没有大的威胁。当然,也存在少量的程序造成网络的性能。这需要每个新系统管理员对于一些有关服务拒绝的知识和常见的破坏性设备指导给用户,一般包括这些内容:电子邮件炸弹、邮件链接对电子邮件轰炸、邮件中断、服务拒绝攻击和病毒等。扫描程序是安全审计工作简化的关键,它可以进行收集和整理有用信息,使得网络目标进行响应的过程。但由于网络安全较为脆弱,一些不负责任的技术人员可能使用扫描程序影响网络安全。在计算机系统操作过程中识别用户的技术手段的唯一程序是用户口令,但由于技术问题使用该程序容易发现网络中的弱点问题。能够捕获网络报文的设备就是嗅探器,采设备可分析网络流量,找出网络中的潜在问题。嗅探器的危害在于,网络黑客可利用此获取用户口令、机密信息和更高级别的访问权限。
3防火墙技术的概念和使用情况
在计算机网络技术中可以保护计算机网络安全的技术性措施是防火墙技术。防火墙是计算机网络的保护屏障,它是由软硬件设备组合,在内部网、外部网、公共网和专用网之间的界面上构建和结合而成的,它通过在网络界面上形成的网络通信监控系统来隔离和阻挡来自外部网络的入侵。同时所有的网络数据流,不论是内部网络还是外部网络的都必须经过防火墙。这是防火墙所处网络位置的特性和前提,防火墙有效全面保护网络不收侵害的主要原因是其内、外部网络之间的通信通道的唯一性决定的。防火墙的保护作用主要是根据它的特性决定的,入侵者要想接触目标计算机,需要必须先穿越防火墙的安全防线。同时,防火墙可以设置不同的保护级别,高级的保护级别会禁止一些服务来增强网络保护的力度。但防火墙技术自身存在一些问题,首先它不能防病毒,其次对于数据在防火墙之间的更新也非常不便,实施服务请求在延迟太大的情况下无法进行支持,还有就是防火墙的滤波技术会使网络性能减低50%以上。这些问题需要网络技术人员增强技术研究和改进来提高防火墙技术的功能。简单实用、透明度高是防火墙的特点和优势,防火墙是企业网安全问题的流行方案,把公共数据和服务置于防火墙外,对于网络信息的使用、安全保证和稳定运行都有一定的影响。
4结束语
网络安全技术的核心技术篇2
关键词imS;移动核心网;现状及问题;方向;方案;保障机制
中图分类号:tn915文献标识码:a文章编号:1671—7597(2013)042-039-01
ip多媒体子系统(imS),旨在建立一个与接入无关、基于开放的Sip/ip协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全ip网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。imS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于imS将来如何提供统一的业务平台实现全业务运营,imS的标准化及安全等问题仍需要进一步的研究和探讨。
1现状及问题分析
imS是一种新兴的多媒体技术,它可以满足终端客户对多媒体业务所提出的更加多样、更加新颖的需求。imS被公认为网络的一种核心技术,它是解决固网与移动互相融合,引入数据、视频、语音三重融合以及其他一些差异化业务的一种重要方式。但是,由于世界各国的imS大都处于较为初级的阶段,其应用的方式方法也还处于探索当中,所以在imS技术中仍存在着一些这样那样的问题和不足。这些问题主要表现在以下几个方面:①imS技术的发展还不够稳定,不够成熟;②各种网络与imS的互相融合,必然会使其功能变得更加复杂;③imS的安全机制还不够健全,有待进一步的完善;④到目前为止,imS技术大多是属于实验阶段,其综合用途尚待开发;⑤imS技术的开发速度还可以加快,以满足网建规模日渐扩大的需求。只有有效解决了以上的种种现实存在的问题,才能明确imS的发展方向,找准imS的建设方案,使imS得到更加科学有效的发展。由于该项技术的这一系列特点,直接影响着当代移动网,要想实现tmS与移动核心网两者的融合共赢,就必须把该方面的建设纳入战略地位,实现有机突破。
2移动核心网建设方向及建议
2.1安全建设
安全建设是移动通信网络建设的核心任务之一,主要是两个方面:①客户个人信息的安全问题。②网络稳定性问题。即对客户在网络上保存或者提交的相关个人信息予以加密或者其他保护,包括客户的人身信息、账户信息、个人隐私、财务状况等,以及其他一些客户不愿意透露的信息。同时,确保网络在既定时间能够稳定地为客户提供服务,并努力确保这种服务状态的持续性。可以通过优化软硬件设施引入,或者是通过自主研发程序等,扩大防火墙功能(万兆防火墙、超万兆防火墙),加强隔离设施和保密服务的实用性和智能性,能够有选择地进行保护或者自主保护。此外,要落实客户的实名制认证机制,确保各种信息的真实性。在网络方面,应当加强日常维护及运行监管力度,及时参考防火墙、移动核心网等的承载能力、性能等,对异常状况采取及时隔离维护措施。此外,加强研发力度,争取在网络接入和数据传输过程中提高安全性能。
2.2客户服务平台建设
客户服务平台,是指移动核心网下专门为客户提供服务或者指导的虚拟平台。该平台的建设必须考虑如下方面:①努力使移动核心网与imS融合,参照imS的综合功能,科学地对平台功能和效果进行完善,实现网络多媒体服务。②为客户预留自主管理平台。随着网络技术的发展,客户期望在成为受众的时候,有同时能够成为信息的者或传播者,为满足客户的此等愿望,同实现个性化的移动核心网络建设,因此必须为客户预留一定的自主管理空间,构建类似于QQ空间、博客等一类的终端平台。③创建大范围的资源共享平台。当代网络的特点之一便是资源的共享,因此需要加大技术和资金投入力度,拓展核心网的存储、转换等功能,构建一个核心资源库存中心,并建立相关的检索功能,确保资源的有效放送,此外还可以建立以客户端为资源站点的辐射式资源库,确保资源共享的灵活性和可变性。
2.3动态监管体系建设
一方面,应当树立起对移动通信相关的责任心,努力思考如何加强网络安全建设,除了上述提及的实名制问题之外,还可以与国家相关部门取得联系,例如公安机关,实现公安部分与企业联防监管,深入、及时地打击网络不良行为。另一方面,需要加强网络运行监督管理体系建设,通过管理数据反馈、客户、信息量的自动量化统计分析等,科学计算出网络当前的负载数,并能够根据数据进行预测,自动采取相应的风险或故障规避措施。
3保障机制的构建
3.1人才及技术保障
人才和技术的保障是各种生产发展的一项重要保障,imS技术的发展,同样也离不开人才和技术的保障,因此,培养和锻炼imS技术人才是发展imS技术的当务之急,有关的各界人士必须加以关注与重视。国家应该加大对移动网络技术的投资力度,重视高校的信息技术专业以及职业技术学校对imS技术人才的培养;有关院校可以采用校企合作的教学培养模式,为学生提供更多的技术实践机会,让他们在实践中锻炼和成长。只有培养出一代又一代的新型技术人才,imS才能得到快速有效的发展和进步。
3.2资源保障
资源保障也是imS技术发展和进步的过程中不可或缺的一项重要保障,如果没有资源的投入,imS技术的研究和开发就无法进行,把imS作为移动的核心网也就无从谈起。所以,要对imS的研究和实验投入更多的相关资源。在前面所提到的校企合作就是扩大资源的一种可行方式,在学校资金和资源相对欠缺的情况下,与各大企业进行通力合作,就能给imS技术的开发和研究提供更多更先进的信息和资源,然后在学校的教育和培养之下,就会有更多的技术型人才诞生,在无形当中对imS的发展和进步起到了推动作用。
4总结
以imS为基准的移动核心网仍旧有较大的发展空间,当代通信行业人员应当站在科学、求实的立场,以服务社会为宗旨,努力以技术为依托,寻求内部突破。imS的融入,使传统的移动通信网络运营获得了较大的改观,但是随之而来的问题也同样亟需人们考量,重点主要在于安全保障相关以及核心服务体系的构建。整体看来,我国移动通信行业的发展仍旧相当乐观。
参考文献
[1]彭明亮.关于移动核心网的发展与演进的探讨研究[J].信息与电脑(理论版),2011(10).
[2]李冶文,李威.移动核心网引入imS后的维护管理探讨[J].电信技术,2009(08).
[3]魏武,imS业务平台规划策略研究[D].北京邮电大学,2012.
网络安全技术的核心技术篇3
关键词适应性边缘;网络边缘;三层交换;计算机
中图分类号:tp393文献标识码:a文章编号:1671-7597(2013)18-0061-01
为了降低广播风暴的危害,考虑到网络管理及安全,企业按照地域或功能因素将大型局域网划分成为多个小型局域网,于是,网络中就开始大量应用VLan技术。当局域网中网段划分问题以三层转发技术结合二层交换技术成功获得解决之后,也同时克服了传统路由器因复杂、低速导致的网络瓶颈等课题,必须在路由器的基础上,进行管理网段中子网。
1网络现状
由核心交换机硬件完成转发数据包和位于三层交换中路由功能等规律性过程,而核心交换机的软件则用来实现确定路由、计算路由、维护路由表、更新路由信息等功能。网络核心完成有关流量和安全性的决策,因此,其担负着很大的负荷。一旦企业业务量剧增,或者企业的规模获得扩展,则就需要新的二层交换机、新的三层交换机以及新的核心交换机,原先的核心交换机就不能承担负荷。但是购买新的交换机,继续走扩张企业的路线,这只会造成进一步的投资浪费,加重企业负担,从而导致企业被时代洪流淘汰。为了高质量地解决这一问题,文章提出了适应性网络边缘的建立,就是所谓的核心边缘化。将大量工作移交给边缘设备去运行,将原先的智能转移倒网络边缘,削弱核心交通枢纽功能,减轻核心极大的负荷与作业量。网络边缘的重要性已经很好体现在为客户提供便于管理的、有效经济的边缘控制、中心命令方案上。网络边缘的优势包括:1)提升系统的安全性和易用性;2)灵活配置和迁移网络设备;3)将已有核心设备投资的使用寿命延长。
2网络边缘的建立
如光线设备等新的技术为高性能网络的部署、迁移和设计提供了更多附加选择,并将智能边缘交换机的互连成功简化。新技术把网络带到边缘的智能交换机的高效性和可靠性增强了,关键是它将传统的核心得以保留。因特网高速发展推动广域网技术和局域网技术的更新换代,从单纯的电路交换技术,经过二层交换技术,才赢得了今天技术成熟的三层交换技术。从历史发展上就能够反映出企业数据交换技术的来之不易与日新月异。今天,我们需要的是技术、性能更加完善和高校的高层交换技术。分布式计算将pC作为技术平台,将所有的功能、智能和计算能力转移至个人桌面就近位置,这好比将智能在网络设计中转移至网络边缘一样。在网络边缘将应用和用户连接,从网络边缘开始,网络流量进出网络,在边缘处网络也应当确定怎样对该流量进行处理。企业可以利用边缘控制方法即可实现自动执行。无论从任何地方进行连接,访问网络的已知用户都能够对相同的VLan进行访问,且都能够被识别,享受到网络服务。基本原则就是引进的命令中心,为了保护重要的应用程序以及关键数据的安全性,该命令提供了可控的关键网络组件访问。网络核心交换机拥有一个命令中心,为了使企业能够获得数字资产的保护,可通过相当于轻型操作系统所具备的功能来实现。该功能根据用户所使用的网络外设、系统、时间、应用、设备等因素,可以提供动态、可靠、安全的访问控制。网络组织在保持了网络的完整性的同时,也提高了效率和生产率。为了能够有效保护用户的资产,在网络边缘限定访问也是非常关键的。伴随网络不断接受流量,以及网络边缘处理访问请求工作,有效的网络管理在网络中心显得越来越重要。每一个用户独特的需求都可以通过中心命令来实现。可以在网络中心设置用户参数和安全性,并在数据库中保存,最后传输至连接用户的网络边缘。参数提供了不增加复杂行的强大的控制能力,可通过位于网络边缘的用户验证触发。
3探讨网络边缘的设计
通过网络可以将企业中大量的设计文件进行转发,在没有边缘控制的条件下,与流量和安全性相关的决策应交付与网络核心进行处理,因为确实边缘控制,所以所有网络部分都需要占用更多宽度,也造成复杂性和成本的增加,从而对核心的可扩展性和性能产生直接影响。虽然产品特性及设计规则能够达到协同设计的要求,但是该架构的方案具有局限性,对企业选择高端产品的能力进行了限制,并将附加网络的复杂性增加了。对此,可将核心产品或高端产品在用于网络边缘相对较为集中的位置进行重新安排。网络需要灵活性、可靠性、安全性、因此,应用网络边缘,其能够迅速、投入更多精力去对下一代应用进行部署,使网络边缘拥有更高的透明度。为使企业能够有效避免极为有害、成本高的停机等现象,提高外部服务水平,改善内部业绩,就应配备安全可靠性高的基础设施架构。边缘控制、便予管理的中心命令、有效经济的解决方案的应用能够达到下一代网络的更新需求。
4结束语
核心交换机在完成了它的历史使命后将被更加先进的技术应用所取代,企业发展需要前瞻的眼光,传统核心交换机已经不能满足现代功能所需,不能够与现代企业网络服务发展需求相适应。但是,为了更好解决更换大部分网络设备、升级网络等复杂的难题,在对下一代网络架构进行创建的同时,将适应性边缘结构设计其中,购买新的交换机,继续走扩张企业的路线,这只会造成进一步的投资浪费,加重企业负担,从而导致企业被时代洪流淘汰。为了高质量地解决这一问题,文章提出了适应性网络边缘的建立,就是所谓的核心边缘化。一个网络就能够将数据类型、个人应用、移动需要、安全需要等融合为一体,一个架构可集成移动性战略与安全性战略。
参考文献
[1]汪强.基于ieC61850的光纤工业以太网交换机的设计及应用[J].电力系统保护与控制,2010(13).
[2]李锋,谢俊,赵银凤,张小波,冯勇,李勇.基于ieC61850的智能变电站交换机ieD信息模型[J].电力系统自动化,2012(7).
网络安全技术的核心技术篇4
【关键词】tD-Lte电力无线专网安全防护
Lte(Longtermevolution,长期演进)是第四代全球通用蜂窝移动通信技术标准,包括tDD(时分双工)和FDD(频分双工)两种制式。2013年12月,我国政府向中国移动、中国电信、中国联通三大电信运营商发放了4G牌照,tD-Lte系统在我国全面开始商用,现已覆盖超过340个城市和广大农村地区,已在公众移动通信领域实现了规模化应用。
1网络架构与与公网差异性研究
tD-Lte系统由通信终端、基站、核心网等三部分组成,核心网内根据其承担的通信功能不同又划分为移动管理实体、服务网关、分组数据网网关、归属签约服务器等多个设备。
通信终端通过以太网口等形式与配用电业务终端连接,负责将来自业务终端的数据经空中接口协议逐层处理后发送往基站、将来自基站发往业务终端的数据经接收处理后提交给业务终端。通信终端内需插入全球用户识别卡(USim),USim卡中存储用户的根密钥、签约数据、用户的号码等信息。
基站负责控制通信终端在空口的数据传输,给终端分配通信信道资源。核心网负责用户鉴权、终端与核心网间会话的管理、终端移动性管理等功能。终端与基站间通过Uu接口通信,基站与基站间通过X2接口建立传输链路。基站通过传输网S1接口与核心网连接。核心网由多个设备组成,设备间通过S11、S6a、S5等标准接口规传送相关控制信令或数据。
tD-Lte无线专网在工作频段、网络组织、设备功能和设备形态等方面,与公网存在一定差异性。
2tD-Lte无线专网安全风险防范关键技术研究
tD-Lte无线专网面临的安全风险主要来自通信终端、空中接口、基站、核心网四个方面。通信终端风险主要表现为非法USim卡接入和非法终端接入;空中接口风险是指空中无线电信号被截获、篡改;基站风险主要是通过伪基站诱骗用户接入,从而控制用户行为;核心网风险主要表现为通过访问网管窃取用户信息。
tD-Lte采用了用户身份安全、双向认证、加密和完整性保护等安全防护机制来提高网络的安全能力。
2.1用户身份安全
tD-Lte系统采用临时身份标识和加密永久身份标识两种机制来保护用户身份。临时身份标识指在空中接口尽可能使用一个频繁更新、临时分配的身份标识来代替永久身份标识,从而显著降低永久身份标识被空口截获的概率。加密永久身份标识指在空中接口尽可能对传送的身份标识进行加密。
2.2双向认证
为了应对“非法USim卡接入”、伪基站等安全风险,tD-Lte无线网络采取双向认证方式,实现原理是在终端侧与核心网侧都保存一份与用户标识相关的密钥,在通信终端接入网络时都校验对方密钥来判断是否合法。通过网络对终端用户的认证,可以防止非法终端用户接入网络。
2.3加密和完整性保护
为应对“空中接口数据被截获、篡改”等安全风险,tD-Lte系统引入了两层安全机制,即无线接入(aS)层安全、非无线接入(naS)层安全这两层安全机制,分别对终端与基站间、终端与核心网间传送的信令或数据进行加密和完整性保护。
3电力无线网络安全技术政策研究
为加强电力监控系统的信息安全管理,国家电力行业监管机构已2014年了《电力监控系统安全防护规定》(国家发展和改革委员会令第14号)替代2006年的《电力二次系统安全防护规定》(国家电力监管委员会令第5号)。根据发改委令14号规定,生产控制大区在与业务终端的接入通信网络连接过程中,必须通过安全接入区的专用横向安全隔离装置才能交互数据。在设立安全接入区的条件下,允许接入网使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(Vpn)等通信方式。
4结束语
本文从电力行业对无线专网的应用需求出发,分析基于4GLte技术电力无线专网系统架构及其与无线公网的差异性,研究Lte无线专网面临的安全风险和应对措施,结合电力无线技术政策,分析tD-Lte无线专网的技术适用性,为电力无线通信网络建设提供参考。目前,电力行业在无线专网技术方面还存在标准规范不完善、频谱资源不统一、运维力量不足等问题,很大程度上制约了tD-Lte无线专网技术的规模化应用。因此,tD-Lte技术在电力行业的应用,宜采取“租用为主、小规模试点”的策略稳步推进。
参考文献
[1]王映民等.tD-Lte技术原理与系统设计[m].北京:人民邮电出版社,2010.
网络安全技术的核心技术篇5
检测机构网络应用更注重于数据来源的可靠性,结论的科学性和准确性,信息的公正性和权威性。通常检测机构的信息应用需求可分为两类:1.应用系统需求检测机构为满足日益增长和全方位的应用需求,一般都需拥有实验室管理系统(LimS)、办公自动化系统(oa)、客户管理系统(CRm)、企业资源管理计划(eRp)、园区公共管理系统等实现内部实验室、行政办公和客户资源等信息的管理;需拥有邮件系统进行信息收发与交互;需拥有门户网站提供机构技术能力与自身文化的展示平台。2.应用服务需求检测机构自身对应用相关的服务也提出了需求,如需满足庞大的网络打印管理、内网互联需求和客户联网需求等,但这些服务需求的满足必须建立在确保数据安全的基础上。
检测机构网络安全架构方法及原则
据调研,检测机构往往热衷于引进各类成熟的应用系统来满足日益增长的应用需求,网络安全系统建设也依赖于成熟的商业模型。这样将导致3种局面:一是,系统实际功能与机构的应用需求不匹配,需改进和完善;二是,机构的应用需求不断变化,导致系统功能无法匹配而不断淘汰更新;三是,采用成熟的商业模型,容易遭黑客攻击,系统生命期短,需不断升级换代,造成人财物资源的浪费。因此,我们认为比较可行的方案:一是,从机构的实际应用出发,根据对应用的需求分析和远景展望,统一规划架构;二是,根据实际应用的阶段性需求,以统一规划的架构模型为基础,结合现阶段稳定实用的技术,制订阶段性构建目标和方案,分阶段实施;三是,紧随技术发展潮流,适度调整,合理选择产品,以节约建设投资,达到良好建设效果。可概括为“统一规划,分步实施”。这样既有长远而整体的规划来保证网络安全构架的清晰有序,又可因为分阶段实施,在具体建设过程中采用新的技术手段和产品,使网络系统建设真正实现“适时而建,建则不费”。根据网络安全技术标准的要求,我们应从操作系统层面、用户层面、应用层面、网络层面、数据链路的安全层面考虑,结合局域网环境,边界、用户环境和网络等方面安全要求,规划构架。经调研发现,检测机构经多年发展,其网络建设工作基本是对原有系统的改造。在此,我们取长补短,以构建高性能、高安全、高稳定性和高数据传输质量符合相关法规标准的网络架构为目标,提出以下建网原则:誗统一规划,分段实施;誗高速的网络链接;誗信息结构多样化;誗良好的可扩充性;誗安全质量可靠;誗操作方面,易于管理;誗性价比高;誗符合全国信息安全委员会提出的技术标准。
构建符合检测机构需求的网络安全架构
基于以上可知,检测机构网络应用具有性能、稳定性、安全性3方面的要求,在兼得性能和稳定性的同时,在安全性方面应满足保密性、完整性、可用性、可控性和可审查性等要求。我们提出检测机构构建基于“四类网络、三个中心”的网络安全架构。1.检测机构应构建“四类网络”①办公局域网:根据我国公安部第82号令《互联网安全保护技术措施规定》,安全级别达到1~3级的网络,主要应用于检测机构内部办公需要,内含机构相关核心业务;②机构门户网(网站):主要作为检测机构互联网门户,是对外形象展示窗口;③政务网:根据公安部第82号令,是安全级别达3级及以上网络,需要高安全级别,要求达到网络物理分隔,内含机密内容;④客户服务网:提供客户在机构场地范围内上网服务的网络,在为客户提供上网服务便利的同时,亦满足公安部、信息产业部等信息安全相关法律法规要求。2.检测机构应构建“三个中心”①核心计算中心(见图1):主要承担业务核心计算工作,与核心数据中心共同承担业务计算数据存放,互为实时镜像、达到负载均衡,互为远程业务灾备。②核心数据中心:存放实时镜像数据,核心业务集群服务器等,可作为核心计算中心的无中断业务系统,实现自动切换功能,使得核心计算中心在遇到it基础设施损坏无法正常服务时,以最快速度恢复关键业务系统的正常运行。③备份中心:存放核心业务及应用系统数据,实现定时自动存储,通过专用存储数据网络San实现高速数据备份恢复,作为远程灾备中心用于防范各类自然灾难及人为灾难对信息系统造成的影响,确保信息业务系统快速恢复,将数据损失和经济损失降到最低。3.基于“四类网络、三个中心”的检测机构网络架构检测机构网络安全总体架构如上图2所示,按照网络基础安全技术标准,网站平台、客户网、政务网单独搭建,与局域网物理隔离;局域网按照功能划分为不同的区域,如业务系统服务器区、数据备份区域、用户接入区域等,各区域之间按照制定的安全策略进行网络边界的控制;局域网DmZ区域作为需要为互联网用户提供服务及数据访问的区域,需要在互联网与网络边界处进行网络安全控制,以确保数据传输质量符合GB/t20270-2006《网络基础安全技术要求》的要求。实际应用时,应根据各类网络的特点对其进行分类安全管理:①局域网需要授权管理、Vpn、入侵检测、防火墙、防毒墙、网络监控、上网管理、日志审核和设备加固;②网站平台需执行以上除上网管理以外的全部措施;③客户网按国家信息安全相关法律规定的标准,至少需要授权管理及日志审核、防火墙等安全技术;④政务网需遵循政务网管理部门相关安全规定,必须物理隔离。基于以上设想及网络安全架构,上海机动车检测中心已进行了规划,并实施了第一阶段的改造工作。已建立本文所述的“四类网络”,目前运行情况良好,通过第一阶段的改造有效地提高原有网络的安全性,为内部员工和外部客户提供了高效、安全的信息服务。建成的多个网站与平台(中心网站、机动车出口认证检测网、全国四轮全地形车标准化技术委员会网、出口认证平台、标准资源平台),扩大了其行业知名度和影响力,取得了良好的社会经济效益。
网络安全技术的核心技术篇6
为什么当前安全威胁会变得如此严峻?Fortinet技术总监李宏凯在研讨会上指出,网络技术的发展和社会工程学的传播特性自然是两大驱动因素,比如,类似e-mail的随意化的信息平台就为网络安全问题提供了滋生的温床。但目前看来,更重要原因是商业利益的驱动。黑客可以通过恶意代码获得用户的个人信息,包括存储在机中的和电脑中的,并利用这些具有经济价值的信息来非法牟利;或者在用户的终端上植入木马,以流量牵引的方式,使得某些网站点击率提高。在这样的背景下,用户被动地频繁升级自己的防火墙、病毒库等等,然而安全威胁手段的进化似乎总是快于安全防护技术的更新。
李宏凯认为,电信运营商有必要重新审视整个网络安全边界的概念。在网络安全技术架构搭建的过程中,安全边界的划分具有重要意义。谈到安全边界的问题,在过去,电信运营商或许会认为,只有核心骨干网的安全才属于自身的网络安全范畴;而今,骨干网的概念开始延伸。事实上,在互联网中,不仅只有电信核心网才算骨干网,每一个互联网用户都是骨干网的一个分支。电信运营商如果只是“自扫门前雪”,忽视整个用户层网络的健康性,等安全威胁到了核心网才采取防御和管控,那么其安全策略将显得十分被动,永远会处在疲于应付的状态,无法真正从源头上解决安全问题。
僵尸网络正在给运营商带来这样的困扰。由于网络接入终端数量的不断增加,如果电信运营商将用户划入安全管控的边界之外,只是被动地防御,任凭僵尸网络规模的不断扩大,那么,当受感染用户达到一定数量级的时候,电信运营商就会发现自己正在面对数量可怕的傀儡攻击源,情况将会失控。反之,如果从边界开始就对网络进行了有效地管理,那么核心网面对的压力就能大大减轻。
网络安全技术的核心技术篇7
关键词电力二次系统;安全防护;电网安全;信息安全
中图分类号tm77文献标识码a文章编号1674-6708(2016)172-0283-02
目前,电力二次系统的信息安全与电网调度和控制系统等安全运行分不开,如何搭建安全可靠的电力二次安全防护系统,确保电网安全稳定运行,已成为迫在眉睫的问题。随着网络建设的快速发展,电力二次系统网络运行环境的安全性严重不足。在2003年的美加大停电中,蠕虫病毒阻碍了加拿大安大略省从停电事故中恢
复正常供电的进度[1]。
电力二次系统是电网安全稳定运行的前提,如果没有二次系统的保障,一次系统无保护运行将很容易造成系统性崩溃。因此,必须要防止病毒和黑客威胁电力二次系统数据网络,减少电力系统安全事故[2]。
1交换机技术
交换机工作在数据链路层,管理和共享多个计算机以及网络设备,其特点是对网络进行以微分段的方式进行数据通信[3]。交换机解决了两个相邻节点之间的通信问题,实现了邻节点链路上无差错、准确无误、高效快速的传输协议数据帧[4]。
如今已有能够支持各种局域网多层的路由技术,实现了数据快速和准确转发。多层交换技术具有性价比高、易于扩展等优点,成为主要的发展趋势。交换机在数据帧交换中的核心集成电路设计、硬件体系结构设计、虚拟局域网技术等方面都会有所改进。从整体来看,交换机是向更快、更可靠、带宽更大的方向发展。
2路由器技术
不同的网段或网络可以通过路由器连接internet中各局域网的广域网的设备,从而构成一个更大的网络。它能够根据网络情况自动选择和设定路由,以最佳路径将数据包转发出去。
如图1所示,在tCp/ip网络中路由器是最主要的联网设备。ip路由协议中使用的度量有:跳数、带宽、负载、延迟和开销。未来路由器的设计和发展方向将趋向于高安全性、高可靠性、高性能和智能化4个方面。
3硬件防火墙技术
硬件防火墙作为一种重要的网络安全设备,主要用于实现网络地址转换、过滤规则配置等,其技术还在不断地发展进步[5]。为了提高防火墙的性和稳定性,一些防火墙厂商通过专用的集成电路或者网络处理芯片来实现防火墙的核心功能。由于采用了专门的硬件处理平台,防火墙的处理能力得到了很大的提高,降低了因为防火墙检测而导致的网络延时。在功能上,防火墙在保留其核心功能的基础上,增加了地址转换、虚拟专用网络、Qos、入侵检测和病毒防御等完善网络安全管理的功能,从而构建了一套以防火墙为核心的完全防御系统[6]。以防火墙为核心的安全防御系统是一个智能化的操作平台,能够准备地发现并及时阻挡入侵的发生和中止病毒的扩散等。
随着电子商务的蓬勃发展,作为其支撑的宽带和应用数据中心均对防火墙性能提出了更高要求,导致对高速防火墙的大量需求。高速防火墙是指那些吞吐量和处理速度非常优异的千兆防火墙。为了实现比普通防火墙更高的要求,高速防火墙采用了专用集成电路(aSiC)技术、集群技术的分布式技术。
4横向隔离技术
电力二次系统实现电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。由于关系到电力生产安全、社会生活稳定等重大问题,电力二次系统再长期的建设过程中,都要求与企业综合业务网和物流网进行隔离。但是信息管理系统与互联网连接,并与电力二次系统信息共享必然会引入外部安全威胁。而防火墙等在线防护技术采用逻辑隔离的方法,不能提供较高强度的安全。所以这种软隔离方法难以满足电力部门的高安全需求,必须采用一种能够提供高强度安全的技术,在保护电力二次统内部安全的同时,提供较好的数据交换功能。
网络隔离技术就是将网络与网络之间的连接分离,然而网络隔离后便不能实现数据信息共享的功能。网络隔离与数据交换本来就是一对矛盾,而网络隔离技术就是为了解决这一对矛盾,为网络提供一种安全交换方式而发展起来的[7]。由于网络近乎苛刻的安全性要求,网络隔离技术的设计思想与传统的网络防御技术有了较大的区别。
根据电力网络应用的特殊要求,厂商研发出了电力专用横向隔离装置。横向隔离装置使用网络安全技术和隔离交换技术,在内外网间断开oSi七层网络协议,实现了非网络数据的交换。为了解决计算机信息共享的问题,设计了基于tCp/ip模型的网络体系结构,它很好地解决了不同网络之间的兼容性问题,实现了网络间的互联互通。
5纵向加密认证技术
纵向加密认证装置负责保障网络内数据的安全传输,其设计及使用的原理涉及密码学和网络安全。纵向加密认证装置采用“统一协调,分级管理”,通过各级装置管理系统对不同厂商的设备进行统一管理。
除纵向加密认证装置外,“纵向认证”的实现还涉及调度证书服务系统和装置管理系统。装置管理系统位于电力调度中心,是对所辖多厂商的装置进行统一管理的计算机系统[8]。
6结论
综上所述,本文主要介绍了交换机、路由器、硬件防火墙、横向隔离装置和纵向加密认证装置等电力二次系统安全防护中五种主要安全防护和网络设备的技术原理,并阐述各设备在电力专用领域的安全技术。事实证明,电力二次安全防护在电力系统的正常运行中发挥着不可替代的作用,其不仅保障了电力系统二次信息传递的安全,为电力系统的正常运行营造了可靠安全的运行环境,还提高了电力系统二次信息传递的准确性和快速性,保证电力系统运行的安全性和可靠性,从而保证国民经济持续快速的增长。
参考文献
[1]天石.停电后蠕虫病毒使加拿大电力系统恢复受阻[eB/oL].[2011-10-18].http://.cn/o/2003-08-20/1004600489s.shtml.
[2]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[3]黎连业,王安,向东明.交换机及其应用技术[m].北京:清华大学出版社,2004.
[4]陈玉平.电力调度自动化二次系统安全防护初探[J].自动化技术与应用,2009,28(8):132-134.
[5]李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005,28(4):18-21.
[6]黎连业,张维,向东明.防火墙及其应用技术[m].北京:清华大学出版社,2004.
网络安全技术的核心技术篇8
关键词:电子政务 信息安全pKi
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2.4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3.1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(managed SecurityServiceproviders,mSSp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
网络安全技术的核心技术篇9
“这是顺应行业变化趋势的选择。”迪普科技Ceo王冰说:“现如今,用户对it承载网络的期望早已不仅仅局限于互联互通,而是需要一张可以感知业务和应用,可管、可控的智能网络。如何让网络能够“理解”应用,更加高效、安全、可靠的把应用交付给用户,成为新时代智能网络的变革主题。“此时,迪普就是秉持“让网络变得简单、智能、可靠”的企业愿景,并根据多年践行提出“应用即网络”的技术理念,将安全、应用交付等应用层功能与网络深度融合,让网络天然地满足应用对于安全与效率的需求。
正是依附于这样的理念,迪普科技开发了业内第一个真正意义上的L2~7融合操作系统Conplat,以及高性能硬件架构app-X、应用识别与威胁特征库app-iD等核心技术。而DpxFabric解决方案架构也是迪普科技“应用即网络”技术理念的进一步落实。
可以说,DpxFabric解决方案架构的核心实力是VSm虚拟交换矩阵、Vem虚拟扩展矩阵、oVC操作系统级虚拟化、紧耦合和流定义等多种创新技术的结合,不仅解决了传统it网络、安全及应用交付系统建设模式中业务与网络割裂等种种弊端,也带来了全新的“智能网络”体验,并将应用支持能力从单设备扩展到整网。迪普科技市场部副总裁康亮表示:“当前网络建设模式开始从分系统建设的传统模式向多系统共享的云网模式转变,DpxFabric解决方案架构充分考虑了这些需求,以安全为核心重筑网络,致力为更多客户创造更高的价值。”
说到安全,外界很多人还在质疑迪普现在到底是一家安全企业还是网络企业。对此,迪普科技Ceo王冰在接受本报记者采访时说道:“迪普是一家从安全公司起步,在网络和应用融合的趋势下,进行了自我定位和技术创新,现在已经成为的提供网络、安全和应用交付深度融合的产品和解决方案的公司。”
网络安全技术的核心技术篇10
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上取决于技术的完善,这些技术包括访问控制、防火墙技术、身份认证与权限管理、入侵检测、防病毒等等。
1.防火墙技术。防火墙是最重要的安全技术,它的主要功能是加强网络之间的访问控制,是一个安全策略的检查站,对网络攻击进行检测和警告。
2.加密技术。它的主要任务是研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安全、保密、真实和完整。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。www.lw881.com在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。
二、电子商务网络信息安全的应对措施
网络信息安全关系到我们每个人的切身利益,研发出真正安全可靠的网络信息安全产品对保障国家的信息安全、金融安全甚至国家安全都具有十分重要的意义。有人说“三分技术,七分管理”反映了网络信息安全技术的两个方面:一是技术问题,二是管理问题。那么,未来网络信息安全就应从政府、网络软件企业、核心用户、资本、技术、人才等各个方面入手。
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,绝非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中才能迅速成长,只有在高素质的队伍保障中才能不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有的重视,这为网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络可靠性、安全性的评估,力争将安全隐患杜绝于立项、决策阶段。
6.抓紧网络安全基础设施建设。一个网络信息系统,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全致命的弱点。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。
10.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。