网络安全管控体系篇1
【关键词】网络安全;信息安全;安全模型
1引言
随着互联网在社会各个领域的广泛普及应用,恶意攻击、非法访问、蠕虫木马入侵、网络病毒传播等问题导致了网络安全管理的难度持续提升。为了实现对网络系统的安全保护,入侵检测技术、防火墙技术、数据加密技术、用户身份认证机制等已经得到了有效应用。但是,这些网络安全防护策略之间比较独立,难以实现协同工作,给网络安全管理工作带来了很多问题。本文在分析了网络安全管理面临的诸多挑战基础上,结合数据融合技术,提出了一种有效的网络安全管理模型构建方案,可以对网络系统中的全部设备进行统一监控、集中调度和智能管理,从根本上降低了网络安全管理的复杂程度,提高了网络安全管理的稳定性和可靠性。
2数据融合技术与网络安全管理
网络安全管理主要是对网络中传输的报文数据、软件系统和硬件设备的运行情况进行实时监测和分析,一旦发现网络中存在异常情况及时发出报警,根据风险评估结果作出合理决策。数据融合技术主要是对来自于不同源头的数据信息进行自动监测、关联分析、组合评估等处理操作,因此,将数据融合技术应用于网络安全管理中可以提高整个网络系统运行的安全性和稳定性。
首先,数据融合模型可以作为构建网络安全管理模型的基础保障。网络安全管理是对整个网络系统中的传输数据、应用软件、硬件设备等信息资源进行集中监控和统一管理,及时对相关信息进行分析和研究,根据网络态势做出风险评估和科学决策。由此,数据融合模型的功能可以实现网络安全管理的相关功能。
其次,数据融合模型主要包括三个层次,一是像素级融合层;二是特征级融合层;三是决策级融合层。在网络安全管理模型中同样包括以上三个层次。例如,网络态势的评估主要是对网络系统中运行的设备进行信息采集,经过分析和研究之后得出结论,直接采集到信息的融合属于像素级融合层。网络威胁的评估需要对直接采集到的信息进行特征提取和关联分析,才能获得最终结果,该过程属于特征级融合层。对采集信息的高层次处理过程则属于决策级融合层。
最后,网络安全管理要对海量数据进行采集、分析、研究和处理,数据融合技术本身的算法特征可以帮助网络安全管理获得更精准的结果。
3基于数据融合的网络安全管理模型构建
随着整个网络系统复杂程度的提高,配置网络硬件设备的数量也会升高,对网络安全管理带来了更多的困难问题。目前,虽然很多网络安全防护策略都可以部署于网络系统中,但是,由于不同产品、不同策略之间存在严重的独立性,难以实现协同运作和工作。因此,部署更多的网络安全防护策略不但难以改善管理效果,还会增加网络管理人员的工作负担。因此,本文结合数据融合技术,提出了基于数据融合的网络安全管理模型构建方案,如图1所示,解决了海量数据冗余融合的问题,利用数据融合本身的算法特征,对网络态势做出正确评估,进而及时采取有效的应对策略。
基于数据融合的网络安全管理模型构建思想是:将部署于网络系统中的安全产品作为传感器,实时监测和采集网络安全日志、网络状态信息、系统内存利用率和CpU利用率等,经过功能模块的分析和处理之后,正确掌握网络安全状况,采取科学的应对策略。
图1基于数据融合技术的网络安全管理模型示意图
3.1传感器
传感器的功能是从网络中采集信息。采集信息的方法包括主机日志记录、应用程序日志记录、数据包抓取等,并将以上信息转换成为格式统一的标准数据,进而形成规范的XmL格式信息,最后将全部数据信息传送到数据处理中心。
3.2数据处理中心
数据处理中心由两个功能模块共同构成,一是数据融合功能模块;二是数据关联功能模块。数据融合功能模块主要对采集到的数据信息进行过滤和融合,进而精简大量数据信息。数据关联功能模块主要对采集的信息进行分类关联和处理,方便后续对数据的处理。
3.3网络安全评估中心
网络安全评估中心由两个功能模块共同构成,一是网络态势评估功能模块;二是网络威胁评估功能模块。网络评估中心负责对网络运行状态作出实时评估,根据网络系统中设备运行情况进行网络态势评估,抓取网络数据包完成分析和处理后,识别网络中存在的异常问题,对网络面临的威胁情况作出评估。
3.4网络安全决策中心
网络安全决策中心由网络应急响应功能模块和网络安全策略生成功能模块共同构成。网络应急响应功能模块负责在网络出现异常问题时及时进行响应处理;网络安全策略生成功能模块负责检测网络运行情况,根据实际情况产生网络安全防护策略。
3.5网络管理中心
网络管理中心主要是对日常网络管理工作进行实时监控。
3.6数据仓库
数据仓库是一个面向对象、集中管理、性能稳定、能够反映历史数据变化的数据集合,负责对网络安全管理的科学决策提供数据支持。
参考文献:
[1]谢盛嘉,黄志成.基于蜜罐技术的校园网络安全模型研究[J].电脑开发与应用,2013(05).
[2]吕雪峰,刘松森,王自亮.面向维护人员的网络安全管控平台建设与应用[J].山东通信技术,2013(01).
[3]张飞,徐雷.基于RaDiUS技术的无线网络安全管控系统设计与应用[J].中国报业,2013(22).
网络安全管控体系篇2
关键词:网络安全简单网络管理协议设备管理拓扑发现网络监控
随着互联网的迅猛发展,高校作为培养人才的基地,对网络的要求越来越高,对在互联网上查找信息、在BBS上发表言论、发送邮件、建立博客、浏览网页、看网上视频等宽带要求越来越高,这就在设备的管理、网络安全与网络监控上向校园网络管理人员提出了更高的要求。在这里,校园网络管理人员至少需要考虑四大问题:一是确保网络设备管理正常工作,过滤非法用户使用网络资源情况的出现;二是检测系统漏洞预防病毒和网络黑客攻击;三是实时做好在线远程控制设备控制;四是监控当前网络使用状况,实现网络流量的合理配置。而这一系列问题的根本性措施是要设计出合理的校园网络安全管理系统。
一、校园网网络安全环境概述
网络软、硬件存在的安全漏洞会导致网络系统遇到各种威胁,导致络安全事件发生,因此为维护这个网络系统,要利用其他手段来创造一个良好的网络环境。本文认为应该建立一个网络安全防护体系,该系统既包括先进的技术,还包括安全教育、法律约束和严格的管理。也就是说,当前制定的网络技术安全包括网络安全、物理安全和信息安全。
1、网络安全
网络安全是指主机、网络运行安全、服务器安全、子网安全及局域网安全。网络安全的实现需要内部网与网络安全域之间的隔离、内外网之间的隔离、还要对计算机网络进行审计和监控、及时检测网络安全,同时做好了网络系统备份和网络反病毒。
要实现网络安全,在内、外部网间设置防火墙是最有效、最主要、最经济的措施之一。内部网的不同网段之间的敏感性和受信任度不同,存在很大的差异,所以非常有必要在它们之间设置防火墙,从而限制局部网络的不安全因素影响到全局,以实现内外网的隔离与访问控制。对网络系统可以运用网络安全检测工具进行定期安全性检测和分析,及时发现并修正其存在的弱点和问题。从而运用反病毒环节对网络目录和文件设置访问权等,对网络服务器中的文件进行频繁扫描和监控。在网络系统人为失误或硬件故障的情况下,或者在对网络进行攻击破坏数据完整性或入侵者非授权访问时,备份系统文件可以起到很好的保护作用。
2、物理安全
通过设置装置和应用程序等方式方法来保护计算机和存储介质的安全称为物理安全。一般有两层含义:一是环境安全,通过设立电子监控,设立灾难的预警、应急处理和恢复机制,将灾难发生时的损失尽可能减小,保障区域环境安全。二是设备安全,主要是防线路截获、抗电磁干扰及电源、防电磁信息辐射泄漏、防盗、防毁等设备的安全保护。三是媒体安全,主要是指媒体数据的安全,即防复制、防消磁、防丢失等,另外是媒体本身的安全,包括防盗、防毁、防霉等。
3、信息安全
管理和技术两方面的安全统称为网络安全。信息安全重要体现主要表现在数据的机密性、可用性、完整性和抗否认性等,包括用户口令鉴别,计算机病毒防治,数据存取权限,用户存取权限控制,方式控制、安全问题跟踪、安全审计和数据加密等。
二、网络安全系统设计开发的出发点
针对不同的网络管理人员,网络安全管理系统凭借着能够提供不同的服务的应用功能,可以让使用者在方便使用网络资源库的时候达到良好的管理效果。其关系如图1所示。
图1:人机交互关系图
现在很多校园网络管理者都能够做到严格管理高校校园网网络线路、设备和用户。在整个高校,网络安全管理是网络安全管理系统的核心环节。但从上图可以看出,网络的管理应不限于此,还应该对于其他厂商设备以及网络业务的扩展与应用等方面也相应地采取有效措施。
三、网络安全管理系统功能及分类
路由管理、网络安全审计、用户认证管理、网络故障管理、网络监控等是整个网络安全管理的重要组成成分。
图2:网络安全管理系统基本功能
检测潜在的网络安全隐患、及时监控和发现系统中的病毒,并及时查杀可疑的外来入侵者,并及时发现管理以及网络的访问热点上的薄弱环节。为帮助网络管理人员及时采取现场措施,收集来自路由器的重要信息(如用UDp或tCp协议受到的攻击)数据,确保相关网络安全信息,保障校园网的信息完整性。
(1)路由安全管理
网络管理员可以用图形化界面显示各路由器所在物理位置,察看路由器的端口运行情况,核实路由器的CpU占用率和网络路由拓扑结构,还可以核对路由器的maC地址及路由协议的性能优化等功能,做到实时地对路由器信息进行添加、删除、修改等操作。对全校所有路由器进行远程管理的功能。
(2)用户认证管理
校园网要实行有效的用户管理。上网用户提交的用户信息可以在安全系统系统上进行修改、删除等操作;对用户提交的信息,可以提交至上层进行审批;查看网络管理中心对申请上网的审批结果;可在校范围内上查看全网登记用户信息申请,一一查看和打印审批过程中的审批记录,有效得出审批结果。
(3)网络监控
安全系统对校园网目前所有环节,包括路由器、服务器、交换机客户端等进行监控,可以使网络管理人员对整个网络在图形化的界面下一目了然,直观地表示当前各环节如路由器、服务器等是否处于正常工作状态,便于管理人员进行查阅、统计等工作,详细地记录下监控数据后存放至后台数据库中,便于对其进行信息方面的统计。
(4)网络故障管理
借助网络安全系统,网络中心管理人员可对用户提交的信息进行及时处理,比如提供给用户便捷查看学校网络中心对各种申请的审批结和报修的新增网络点的功能,修改、删除网络配置等各种申请,调整并反馈给用户。
运用网络安全系统,一旦发生网络故障,网络管理人员可启动快速自动响应功能,实时鉴别和判断故障发生的原因,从而将网络故障时间或影响校园网的网络问题降低到最小程度。
四、校园网络安全体系的设计原则与任务
按照“统一规划,分步实施”的原则,在建设网络系统初期应着重考虑到安全性问题,同时要建立一个基础的安全防护体系,再根据应用的变化,补充上防护体系并进一步增强。
(一)校园网络安全体系的设计原则
设计网络安全体系时应根据网络安全性设计的要求,遵循可行性原则、多重保护原则、安全性原则、动态化原则、可承担性原则等原则。
一是可行性原则:校园网用户设计网络安全体系不能纯粹地从理论角度考虑,更应该考虑到设计网络安全体系的目的是指导实施,设计方案在实施中需要切实可行。如果仅仅是为了追求理论上的完美以至于无法实施,那么网络安全体系本身就毫无实际价值。
二是多重保护原则:在硬件上采取冗余、备份等技术多角度保护系统。因为任何安全措施都不能保证绝对安全,所以要建立一个多重保护系统,当一层保护被攻破时,其他层仍可保护信息安全。
三是安全性原则:安全性成为首要目标。原因在于设计网络安全体系的最终目的是保障信息与网络系统的安全。构建网络安全体系的目的是保证系统的正常运行,需要进行权衡网络安全是否影响系统的正常运行,必须选择在安全和性能之间合适的平衡点。网络安全体系包含一些硬件和软件,它们会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
四是动态化原则:安全防护随着用户的增加、网络技术的快速发展也需要不断地发展,所以制定安全措施要尽可能引入更多的可变因素,使之具有良好的扩展性。
五是可承担性原则:考虑校园本身运行特点和实际承受能力,要切实可行,没有必要按电信级、银行级标准设计。
(二)校园网络安全体系设计的任务
校园网络安全体系设计的根本任务是为了让高校网络管理人员掌握各种网络安全技术。具体在管理校园网中提供如下服务:
(1)为校园网用户和网络管理者之间提供一个动态网络交流系统,同时,提供对用户的管理功能,对用户的网络运行状况进行动态判断,并为将来创造用户自主服务知识库提供基本条件。
(2)建立能够存放与网络信息相关的各种数据,较为规范的网络安全信息库。
(3)全面管理网络路由设置、网络流量控制、用户防火墙设置、系统漏洞、网络版杀毒软件安装及工作情况等信息,并对网络网络故障响应、用户报修登记等业务提供实时在线服务。
五、结束语
为了控制好一个复杂的计算机网络并运行好其全过程,保证其效率,需要把高校校园网的安全作为一个庞大的系统工程来对待,需要全方位防范。因此,一定要在技术上和管理上强化基础工作。从而达到一个好的网络安全管理系统,即达到网络可靠、安全和高效运行的目的,从而对对各种网络设备及其软件资源进行有效的监视、解释和控制。
参考文献:
[1]谢志强.ipv6过渡技术在高校网络建设中的应用研究[J].福建电脑.2009(02)
[2]吴建平,崔勇,李星,宋林健.??基于软线的互联网ipv6过渡技术构架[J].电信科学.2008(10)
网络安全管控体系篇3
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、iDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。iDC业务区主要是各业务应用服务器设备所在区域,如企业门户、oa系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/pDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的ip地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得ip地址才能上局域网,并通过pKi系统对用户访问企业门户、oa系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLan),并使其在局域网内隔离,限制其他VLan成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecantiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(Vpn)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台Vpn设备,并设置访问条件和身份认证授权策略,如通过pKi系统进行身份认证和访问授权后才能访问电厂企业门户系统、oa系统等。使用虚拟专网(Vpn)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语
网络安全管控体系篇4
关键词:工控;网络安全;安全建设
1前言
随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践,制造业工业控制系统的应用越来越多,随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉,工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBtC系统业务的安全建设为例介绍工业信息安全防护思路,系统阐述了工业信息安全的发展背景及重要性,以网络安全法和工业基础设施的相关法规和要求等为依据,并结合传统工业控制系统的现状,从技术设计和管理系统建设两个方面来构建工控系统网络安全。
2工业信息安全概述
2.1工控网络的特点
工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,也可以说工业控制系统是控制技术(Control)、计算机技术(Computer)、通信技术(Communication)、图形显示技术(CRt)和网络技术(network)相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全,涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域,其中超过60%的涉及国计民生的关键基础设施(如公路、轨道交通等)都依靠工控系统来实现自动化作业。
2.2国内外工业安全典型事件
众所周知,工业控制系统是国家工业基础设施的重要组成部分,近年来由于网络技术的快速发展,使得工控系统正逐渐成为网络战的重点攻击目标,不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。(1)美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染,导致美国东部海岸的列车信号灯系统瞬间宕机,部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的,而这种病毒常被用来定向攻击基础(能源)设施,比如国家电网、水坝、核电站等。(2)乌克兰电网攻击事件2015年,乌克兰的首都和西部地区电网突发停电,调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站,在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。(3)旧金山轻轨系统遭勒索病毒攻击事件2016年,黑客攻击美国旧金山轻轨系统,造成上千台服务器和工作站感染勒索病毒,数据全部被加密,售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件,主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站,例如在轨道交通行业里的典型系统:综合监控系统、通信系统和信号系统等,其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出,攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的,随着网络攻击事件的频发和各种复杂病毒的出现,让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。
2.3工控安全参考标准、规范
作为国家基础设施的工业控制系统,正面临着来自网络攻击等的威胁,为此针对工控网络安全,我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器(pLC)第1部分:系统要求》等多项国家标准[2]。同年,工信部印发《工业控制系统信息安全防护指南》,该标准以当前我国工业控制系统面临的安全问题为出发点,分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月,《网络安全法》开始实施,网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求,促进了我国工业控制系统网络安全的发展。
3工业控制系统网络安全分析
轨道交通信号系统(CBtC)是基于通信技术的列车控制系统,该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBtC安全建设存在以下问题:(1)网络边界无隔离随着CBtC的集成度越来越高,各个子系统之间的联系和数据通信也越来越密切,根据地域一般划分为控制中心、车站、车辆段和停车场,根据业务又划分为ato、atS、Ci、DCS等多个子系统,各区域之间没有做好访问控制措施,缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的,不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的,还有一些安全系统和非安全系统之间也都没有做隔离。(2)网络异常查不到针对CBtC系统的网络入侵行为一般隐蔽性很强,没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段,等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录,不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。(3)工作站、服务器无防护CBtC系统工作站、服务器的大部分采用windows系列的操作系统,还有一部分Linux系列的操作系统,系统建设之初基本不会对工作站和服务器的操作系统进行升级,操作系统在使用过程中不断暴露漏洞,而系统漏洞又无法得到及时的修复,这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务,没有加强系统的密码策略。除此之外,运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件,也可能会开启操作系统的远程功能,上线后也不会关闭此功能,这些操作都会使得系统配置简单,更容易受到攻击。目前在CBtC系统各个区域部分尚未部署桌管软件和杀毒软件,无法对USB等外接设备的接入行为进行管控,随意使用移动存储介质的现象非常普遍,这种行为极易将病毒、木马等威胁带入到生产系统中。(4)运维管理不完善单位内安全组织机构人员职责不完善,缺乏专业的人员。没有针对信号系统成立专门的安全管理部门,未明确相关业务部门的安全职责和职员的技能要求,也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施,当第三方运维人员进行设备维护时,业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为,一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。目前CBtC系统的网络采用物理隔离,基本可以保证正常生产经营。但是管理网接入工控系统网络后,工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁,而且由于与管理网的数据安全交互必须在工控网络边界实现,因此做好边界保护尤为重要。
4工业控制系统网络安全防护体系
工控系统信息化建设必须符合国家有关规定,从安全层面来看要符合部级防护的相关要求,全面规划设计网络安全保障体系,使得工控体系符合相关安全标准,确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系,通过管理和技术实现主被动安全相结合,有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案,从技术角度来识别系统的安全风险,依据系统架构来设计安全加固措施,同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系,来确保整体业务系统的安全有效运行。
4.1边界访问控制
考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素,我们将轨道交通信号系统业务网络划分为多个子安全域,根据CBtC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等,将工控网络划分成不同的安全防护区域,所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理,使得只有获得授权的用户才能对现场设备进行数据更新、参数设定,在控制设备及监控设备上运行程序、标识相应的数据集合等操作,防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为,常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用,及时发现网络中各种设备和应用的安全漏洞,提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒,如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理,通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计,主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计,审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。
4.3建立统一监测管理平台
根据等级保护制度要求规定,重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心,通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理,平台可以呈现CBtC系统中各类设备间的访问关系,形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单,从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值,触发告警并记录,对各类报警和日志信息进行关联分析和预警通报。
4.4编制网络安全管理制度
设立安全专属职能的管理部门和领导者及管理成员的岗位,制定总体安全方针,指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实,必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度,而且制度要经过上层组织机构评审和正式,保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作,对人员的专业能力、背景及任职资格进行审核和考察,人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范,编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度,在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设,制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求,对于机房等办公区域的人员进出、设备进出进行记录和控制,建立资产管理制度规范系统资质的管理与使用行为,保存相关的资产清单,对各种软硬件资产做好定期维护,对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理,针对发现的安全问题采取相关的应对措施,形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议,协议中应明确外包工作范围和具体职责。
5结束语
由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势,近年来我国将网络安全建设提升到了国家安全战略的高度,并且制定了相关的标准、政策、技术、程序等来积极应对安全风险,业务主管部门还应进一步强化网络安全意识,开展网络安全评估,制定网络安全策略,提高工控网络安全水平,确保业务的安全稳定运行。
参考文献:
[1]石勇,刘巍伟,刘博.工业控制系统(iCS)的安全研究[J].网络安全技术与应用,2008(4).
[2]李俊.工业控制系统信息安全管理措施研究[J].自动化与仪器仪表,2014(9).
网络安全管控体系篇5
关键词:计算机网络煤矿企业应用
0引言
煤矿井下生产环境复杂、多变、条件恶劣,煤矿计算机网络是煤矿安全、高效生产的基础。加快推进计算机网络在煤矿企业生产中的应用,必将促进煤炭工业生产现代化、销售网络化、管理网络化、采购电子化与管理科学化的发展进程。
1煤炭企业信息化集成及应用模式
煤炭企业信息化应用方向和重点是综合运用网络技术、web技术、数据库技术、软件工程技术、系统集成技术,重点解决安全监测信息的集成处理与、生产信息的集成与可视化、各种管理信息系统的规范与集成,构建企业集团综合办公自动化体系等方面。通过信息化集成,实现煤炭企业物流、安全、生产、销售、财务等环节的全面信息化管理,使煤炭企业集团在实时数据流、资金流、物资流、信息流和商务流等多方面取得有效的集成和共享。www.133229.Com
2计算机网络在煤矿企业中的应用
2.1智能综合调度指挥系统煤矿智能综合调度系统就是基于先进的计算机网络技术、工控自动化及多媒体技术,将安全监测、生产调度的实时数据信息,工业电视的视频图像信息,采、掘、机、运、通生产系统的数据图像信息等有机地结合起来,进行数字化处理、存储和传输,构成一个以多媒体网络为基础的调度指挥信息系统。该系统主要由煤矿光纤工业电视子系统、数字视频监控子系统、数字式大屏幕投影电视墙子系统、led电子显示屏子系统及综合调度信息查询子系统等组成;将安全生产、煤炭生产过程自动化、煤炭计量等不同类型的监控系统进行系统集成,实现几个子系统的信息交流和资源共享;与微机网络系统相联接,实现网络系统与大屏幕投影墙显示系统资源共享,提高调度指挥的速度和准确性,实现煤矿安全、高效生产。分布式综合生产调度指挥系统实现了基于web的生产数据集中管理和可视化调度指挥,提高了行业的调度信息化管理水平,能实时监测监控各个矿井的安全状况,随时调度指挥生产,避免和减少安全事故的发生,对煤炭企业实现安全、文明、科学生产具有重要的意义。
2.2煤矿安全监测系统基于web的全矿区分布式安全信息监测预警系统,能够对全矿区“一通三防”专项治理建立实时数据模型,通过预警信息网上报警和智能手机在线监测系统实现全程、全时段监管。网络的普及,在加强煤矿安全监管力度,提高煤矿安全信息化水平等方面发挥了良好的作用。通过采用视频服务器和网络摄像机等网络视频设备,可以构建一套数字化、网络化的视频监控系统,同时还可以与现有的安全监测系统有效的集成,形成联动,真正做到“分散监控,集中管理”。现在比较成熟的安全监测系统联网解决方案,是在早期的煤矿安全监测系统的基础上,改造发展成为集环境安全、生产监控、信息管理、网络运用、火灾监测、电网监测、顶板动态监测、主扇风机在线监测等多种子系统为一体的煤矿工业以太网综合监控系统。
2.3基于网络的数据库应用
2.3.1矿业集团级矿图信息管理系统。以统一的数据格式存储在数据库中,通过数据共享方式,实现局载网内矿图的“集中存储,统一管理,分级调用”,完成集团的矿图信息资源整合,为实现矿山安全生产的集中控制与动态决策提供依据。
2.3.2基于web的业务管理系统。如物资供应系统、销售管理系统、计划管理系统、机电设备管理系统、住房公积金及工资管理系统、社保医保管理系统等,可以进一步规范管理,节省人力,提高效率。
2.4矿井生产集控
通过智能接口与井下监测监控系统、矿井自动化系统、工业电视系统等连接,形成井上/下交互式的多媒体网络,实现矿井生产集控。矿井生产集控系统包括以下几个子系统。
2.4.1通过井下无线通讯系统、人员定位系统以及机车监测和跟踪定位管理系统集成,实现实时数据监视、采集图像监视和采集数据统计信息检索等功能,畅通井上下信息交换,有效加强安全生产,保证抢险救灾、安全救护的高效运作。
2.4.2井下车场信集闭系统,采用plc构成的现场网络控制,充分发挥plc远程智能化控制优点,利用人工/自动调度指挥功能、机车闯红灯报警功能、道岔复位及故障自检测功能、模拟盘显示自检功能等,实现井下车场网络化控制和管理,保证机车的安全运行。
2.4.3通过煤位、水位监测系统、井下移动通信系统、人员定位系统、工业电视系统、井下电机车运行监视系统、主副井提升机运行监视系统、皮带运输监控子系统、矿灯智能使用监视系统、供电网络运行监视系统、风机在线监视系统、提升机运行监测系统等计算机网络集成,实现web界面的实时查询/监视/处理,实现自动化控制和远程监控,从而提高安全生产和管理水平。
4计算机网络在煤矿企业中的应用效果
4.1为有效调度配置生产要素提供了科学依据信息化网络的应用,使各种生产要素都置于有效的准确掌握之下,为企业能在更大平台上合理优化地配置要素提供了可能。过去只能在一个矿进行配置的要素现在可以扩大到整个集团,提高了要素的使用效率,提升了管理水平。
4.2促进了矿井集约化生产信息系统的应用促进了集约化生产,使煤炭企业能够抓住良好的煤炭市场机遇,加快企业发展,实现煤炭产量大幅度提升。
4.3及时地发现事故隐患由于对事故隐患的发现和处理过程进行了全息的动态监控,使事故隐患的发现更加及时、迅速,事故隐患的处理更加全面、彻底,并使过去不易发现的一些隐患,也得到及时的发现和处理。
4.4推动了矿井安全生产长周期的形成以网络技术和信息技术为依托进行安全监控,提高了安全管理的现代化水平。监测系统的应用使企业实现了对“人和物”等安全关键因素的有效监测,对矿井有害气体实现了实时准确全天候监测,对安全事故实现了前馈控制,煤矿安全生产水平得到显著的提高,为杜绝重大瓦斯事故创造了条件,促进了矿井综合管理水平的提高,由此推动了集团安全生产长周期的形成。
5结束语
随着通讯技术、计算机技术和自动控制技术的迅速发展,煤矿企业向网络化方向发展的趋势已日趋明显,煤矿企业向网络化、智能化和管理控制一体化的方向演变是企业发展的必然,也同时满足煤矿生产环境、生产过程特点的需要,因此,在煤矿企业建设信息化网络是一种企业发展的需要,以保证煤矿安全生产,为企业带来更大的经济效益。
参考文献:
[1]徐志先.实用煤矿安全系统工程[m].北京:煤炭管理干部学院出版社.1988.
网络安全管控体系篇6
关键词:计算机网络煤矿企业应用
0引言
煤矿井下生产环境复杂、多变、条件恶劣,煤矿计算机网络是煤矿安全、高效生产的基础。加快推进计算机网络在煤矿企业生产中的应用,必将促进煤炭工业生产现代化、销售网络化、管理网络化、采购电子化与管理科学化的发展进程。
1煤炭企业信息化集成及应用模式
煤炭企业信息化应用方向和重点是综合运用网络技术、web技术、数据库技术、软件工程技术、系统集成技术,重点解决安全监测信息的集成处理与、生产信息的集成与可视化、各种管理信息系统的规范与集成,构建企业集团综合办公自动化体系等方面。通过信息化集成,实现煤炭企业物流、安全、生产、销售、财务等环节的全面信息化管理,使煤炭企业集团在实时数据流、资金流、物资流、信息流和商务流等多方面取得有效的集成和共享。
2计算机网络在煤矿企业中的应用
2.1智能综合调度指挥系统煤矿智能综合调度系统就是基于先进的计算机网络技术、工控自动化及多媒体技术,将安全监测、生产调度的实时数据信息,工业电视的视频图像信息,采、掘、机、运、通生产系统的数据图像信息等有机地结合起来,进行数字化处理、存储和传输,构成一个以多媒体网络为基础的调度指挥信息系统。该系统主要由煤矿光纤工业电视子系统、数字视频监控子系统、数字式大屏幕投影电视墙子系统、LeD电子显示屏子系统及综合调度信息查询子系统等组成;将安全生产、煤炭生产过程自动化、煤炭计量等不同类型的监控系统进行系统集成,实现几个子系统的信息交流和资源共享;与微机网络系统相联接,实现网络系统与大屏幕投影墙显示系统资源共享,提高调度指挥的速度和准确性,实现煤矿安全、高效生产。分布式综合生产调度指挥系统实现了基于web的生产数据集中管理和可视化调度指挥,提高了行业的调度信息化管理水平,能实时监测监控各个矿井的安全状况,随时调度指挥生产,避免和减少安全事故的发生,对煤炭企业实现安全、文明、科学生产具有重要的意义。
2.2煤矿安全监测系统基于web的全矿区分布式安全信息监测预警系统,能够对全矿区“一通三防”专项治理建立实时数据模型,通过预警信息网上报警和智能手机在线监测系统实现全程、全时段监管。网络的普及,在加强煤矿安全监管力度,提高煤矿安全信息化水平等方面发挥了良好的作用。通过采用视频服务器和网络摄像机等网络视频设备,可以构建一套数字化、网络化的视频监控系统,同时还可以与现有的安全监测系统有效的集成,形成联动,真正做到“分散监控,集中管理”。现在比较成熟的安全监测系统联网解决方案,是在早期的煤矿安全监测系统的基础上,改造发展成为集环境安全、生产监控、信息管理、网络运用、火灾监测、电网监测、顶板动态监测、主扇风机在线监测等多种子系统为一体的煤矿工业以太网综合监控系统。
2.3基于网络的数据库应用
2.3.1矿业集团级矿图信息管理系统。以统一的数据格式存储在数据库中,通过数据共享方式,实现局载网内矿图的“集中存储,统一管理,分级调用”,完成集团的矿图信息资源整合,为实现矿山安全生产的集中控制与动态决策提供依据。
2.3.2基于web的业务管理系统。如物资供应系统、销售管理系统、计划管理系统、机电设备管理系统、住房公积金及工资管理系统、社保医保管理系统等,可以进一步规范管理,节省人力,提高效率。
2.4矿井生产集控
通过智能接口与井下监测监控系统、矿井自动化系统、工业电视系统等连接,形成井上/下交互式的多媒体网络,实现矿井生产集控。矿井生产集控系统包括以下几个子系统。
2.4.1通过井下无线通讯系统、人员定位系统以及机车监测和跟踪定位管理系统集成,实现实时数据监视、采集图像监视和采集数据统计信息检索等功能,畅通井上下信息交换,有效加强安全生产,保证抢险救灾、安全救护的高效运作。
2.4.2井下车场信集闭系统,采用pLC构成的现场网络控制,充分发挥pLC远程智能化控制优点,利用人工/自动调度指挥功能、机车闯红灯报警功能、道岔复位及故障自检测功能、模拟盘显示自检功能等,实现井下车场网络化控制和管理,保证机车的安全运行。
2.4.3通过煤位、水位监测系统、井下移动通信系统、人员定位系统、工业电视系统、井下电机车运行监视系统、主副井提升机运行监视系统、皮带运输监控子系统、矿灯智能使用监视系统、供电网络运行监视系统、风机在线监视系统、提升机运行监测系统等计算机网络集成,实现weB界面的实时查询/监视/处理,实现自动化控制和远程监控,从而提高安全生产和管理水平。
4计算机网络在煤矿企业中的应用效果
4.1为有效调度配置生产要素提供了科学依据信息化网络的应用,使各种生产要素都置于有效的准确掌握之下,为企业能在更大平台上合理优化地配置要素提供了可能。过去只能在一个矿进行配置的要素现在可以扩大到整个集团,提高了要素的使用效率,提升了管理水平。
4.2促进了矿井集约化生产信息系统的应用促进了集约化生产,使煤炭企业能够抓住良好的煤炭市场机遇,加快企业发展,实现煤炭产量大幅度提升。
4.3及时地发现事故隐患由于对事故隐患的发现和处理过程进行了全息的动态监控,使事故隐患的发现更加及时、迅速,事故隐患的处理更加全面、彻底,并使过去不易发现的一些隐患,也得到及时的发现和处理。
4.4推动了矿井安全生产长周期的形成以网络技术和信息技术为依托进行安全监控,提高了安全管理的现代化水平。监测系统的应用使企业实现了对“人和物”等安全关键因素的有效监测,对矿井有害气体实现了实时准确全天候监测,对安全事故实现了前馈控制,煤矿安全生产水平得到显著的提高,为杜绝重大瓦斯事故创造了条件,促进了矿井综合管理水平的提高,由此推动了集团安全生产长周期的形成。
5结束语
随着通讯技术、计算机技术和自动控制技术的迅速发展,煤矿企业向网络化方向发展的趋势已日趋明显,煤矿企业向网络化、智能化和管理控制一体化的方向演变是企业发展的必然,也同时满足煤矿生产环境、生产过程特点的需要,因此,在煤矿企业建设信息化网络是一种企业发展的需要,以保证煤矿安全生产,为企业带来更大的经济效益。
参考文献:
[1]徐志先.实用煤矿安全系统工程[m].北京:煤炭管理干部学院出版社.1988.
网络安全管控体系篇7
【关键词】电力系统;调度;自动化;网络安全
随着科学技术和网络技术的发展,电力企业中应用电力调度自动化系统,在提高效率的同时,经济效益也得到了很大程度的提升,这是电力调度的发展方向。我国调度自动化系统已经经历了经验型调度和分析型调度2个阶段,这预示着智能调度阶段的到来。当前,电力调度自动化系统仍存在着一系列的问题,对于安全隐患中日益突出的种类我们应给予特别的关注,积极的应对,使其不断完善,以促进电力调度自动化系统的长足发展。
1、电力调度自动化系统网络安全问题的具体表现
(1)物理安全方面。物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用偷窃等。常见的对电力调度自动化系统网络造成影响的自然灾害有地震、火山、滑坡,泥石流、台风、雷击等。由于此类隐患而导致电力调度自动化系统的重要数据、口令及帐号的丢失,称为物理安全问题。
(2)网络安全人员管理方面。人是生产力活跃的因素,如何防止内部人员对网络和系统的攻击及误用等是电力企业应高度关注的问题之一。此类问题的表现有,内部网络系统工作人员利用公务之便对网络系统信息的泄露和对网络系统资源的偷窃,最终导致整个电力调度自动化网络系统崩溃。
(3)系统安全方面。系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
(4)应用安全方面。应用安全是指主机系统上应用软件层面的安全。如web服务器、proxy服务器、数据库等的安全问题。
(5)网络安全方面。这里的网络安全指的是单纯的网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位就会导致安全问题,譬如非工作人员利用非法手段对调度自动化网络系统进行攻击,最终导致整个电力调度自动化网络系统运转瘫痪。
2、电力调度自动化系统网络安全问题的解决办法
(1)首先要规划数据网络技术体制和电力系统安全防护体系。根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。采用光纤+SDH+ip模式,实现对不同ip应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因为用光纤+SDH+ip模式建立调度数据专网是一个适当的选择,可以很好满足电力调度自动化系统的以下要求:
①数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。②传输的连续性,通信负荷基本恒定,需要恒定带宽。③远方控制的可靠性(遥控、遥调、aGC等),要求有效隔离。④因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。⑤网络拓扑结构必须覆盖远离城市的电厂、变电站。⑥充分利用SpDnet的现有设备,节约大量资金,便于平滑过渡。
(2)面对自然灾害等物理安全问题我们要以预测为主,尽量的减小破坏程度,这就对电力监控系统作出很大的要求。电力监控系统要通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。电力监控系统要做到早发现,早报告,早预防,早治理。
(3)电力企业要加强网络安全人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性,加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作,并要聘请网络安全顾问,跟踪网络安全技术。譬如各电网、发电厂、变电站等负责所属范围内计算机及信息网络的安全管理,各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理,各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员,相关人员应参加安全技术培训和素质教育。单位主要负责人为安全防护第一责任人,总体上负责整个网络系统的安全。
(4)在系统安全和应用安全方面,采用的专业技术主要包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
(5)在网络安全方面,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(oa/miS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、Vpn设备、VLan划分、访问控制列表、用户授权管理、tCp同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
2)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
3)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
结束语
电力调度自动化系统是保证电网安全性且经济可靠运行的重要手段之一。随着计算机、通信和人工智能等领域的新技术和新思想不断应用于电力调度自动化系统网络中,未来调度自动化技术及系统将会有更快更大的发展,也将面临新的挑战。以确保电力调度系统和电力系统的安全。
参考文献
[1]曹斯.现代电力调度自动化系统的应用与发展[J].华章,2008(17)
[2]姚东海.电力调度自动化应用与优化[J].中国高新技术企业,201o(6)
[3]郑文蜂.论电力调度自动化系统及其发展趋势[J].经济管理者,2o11(3)
网络安全管控体系篇8
关键词信息化发展;网络建设;网络安全管理体系
中图分类号:tp393文献标识码:a文章编号:1671-7597(2013)23-0119-02
信息化技术不断发展,很多企业逐步认识到依靠信息技术,建立企业自身业务以及运营平台,能够大大的增加企业竞争力,企业在激烈的竞争环境中能够获得发展,企业的经营管理对计算机依赖的范围更广,网络的应用也就更加广泛。网络产生后,网络安全随之出现,网络在运行的过程中,也会出现网络不安全的问题。企业在进行网络管理时,必须在安全管理方面多下功夫,促进企业网络建设的安全性。
1对企业网络安全造成威胁的因素
企业在网络安全方面涉及的因素较多。现阶段企业的网络通用标准技术是www、电子邮件数据库、数据库以及tCp/ip,广域连接应用多样通信方式。在企业网络运行过程中,行业的内部信息贯彻到多个环节。对信息资源进行保护、管理,确保信息的完整性以及真实性,防止出现非法获取,是企业网络安全管理的重要内容。对企业网络安全造成影响的因素包括软件、硬件因素,还包括人为因素,既包括网络外部因素,也包括网络内部因素,主要的因素是以下几个方面。
1.1由人的主观行为造成的影响
在安全管理方面,用户缺乏意识,企业内部在局域网的建设方面还需要进一步完善。企业内部网络在运行的过程中,没有做出相关的限制,在p2p下载时,破坏性信息会进入到企业内网中,影响到系统安全应用;接入的网络未提出限制,随意的上网,内部网络系统遭到病毒感染的可能性比较大,信息容易丢失。企业在安全管理方面没有进行严格的限制。此外,网络用户比较复杂,管理的难度系数比较大。黑客很容易利用网络手段,对无线信号的传输进行干扰,无线信号很容易被黑客获得。在进行网络安全管理时,一些企业没有制定相关的文件,进行纪律约束,很容易出现问题。
1.2网络中的硬件设备
在网络结构中,应用到企业网络安全的硬件设备主要是包括:①硬件设备;②拓补结构。当网络中的硬件安全性出现问题时,尤其是硬件自身的性能受到影响时,就会对企业的网络安全造成的影响。
1.3网络中的软件存在缺陷
企业网络系统中软件的种类比较多,如应用软件以及操作系统软件,企业网络系统中可能会出现软件问题,一些黑客就会根据软件存在的缺陷,做出谋取利益的行为,从而损害企业的正常利益。一些负责软件开发的人员基于个人原因设置“后门”,黑客破解后,会随意操作,对用户的计算机进行控制,随意的改变数据,后果较为严重。在网络系统中,tCp/ip协议可供应用的范围特别广,但是,在应用安全性方面,没有进行综合考虑,保密的措施做得不到位,一些信息应用专业人员熟悉tCp/ip协议,会轻松地利用协议缺陷,对网络进行攻击。
1.4网络入侵
网络入侵主要指的是在未得到授权的情况下,网络攻击者取得非法权限,借助非法权限,对用户进行非常规的操作,获得相应的资源,企业内部网络受到影响,损害企业的利益。
1.5计算机病毒和恶意程序
网络普遍应用,病毒在网络中传播的范围比较广。在现阶段,在企业内保护网络中,病毒侵入的特点是:①入侵的范围比较广;②变化速度快;③病毒种类丰富;④传播速度比较快;⑤存在很大的破坏性。
要想解决病毒的问题,比较困难,原因在于以下两个方面:①技术方面的原因。杀毒软件的更新总是落后于病毒出现的时间,具有滞后性以及被动性;②用户没有认识到病毒防范的必要性,没有深刻的认识到病毒的危害性,在电脑上没有安装相应的杀毒软件,或者是对杀毒软件没有进行及时的更新,造成病毒传播。
2企业网络安全管理安全机制
2.1身份标识以及鉴别机制
在网络通信信息安全系统中进行可信操作,在执行前,用户应当进行身份标识,并提供凭证,网络通信系统借助一定的机制,鉴别凭证。在网络通信系统中,进行身份鉴别技术主要有三个方面:①以秘密口令为基础;②以令牌或者是密匙为基础;③以生理特征为基础。根据当前的应用情况,企业网络系统应用较为普遍的是以口令身份为基础的身份鉴别技术。
2.2访问控制机制
访问控制主要是包括两种:①自主访问控制机制;②强制访问控制机制,前者应用较为广泛。在自主访问控制机制中,主体拥有者主要是负责设置访问权限。在自主访问控制机制中,出现的问题是主体拥有较大的,主体在无意识状态下会泄露信息,此外,对于木马病毒攻击不能起到防备作用。强制访问控制机制指的是系统为主体和客体进行安全属性分配,安全属性不容易被修改。系统分析主体以及客体的安全属性,然后决定主体对客体进行的相关操作。两种访问控制相比,强制访问控制机制可以避免滥用防范权限,防备木马和病毒攻击,安全性较高。
2.3审计机制
审计机制属于被信任机制。系统中参考监视器主要是借助审计,记录活动。企业网络系统中具有多个对象和主体,审计机制主要是负责记录主体以及对象相关事件,结合审计机制所提供的信息,网络操作系统对主体、对象以及相应访问请求进行精确识别。通过审计系统,能够知道企业的网络安全管理系统所应用的安全方式是否具有完全威胁。审计机制中入侵检测可以做出相应的检查,并反馈检测结果。企业网络安全管理者结合检测结果,对网络进行安全管理。
3构建企业网络安全管理体系
3.1网络安全
1)外部的连接。企业内部网络在运行的过程中,不可避免的会和外部发生关系,外部的人员有可能会想和企业的内部网络实现连接,但是,需要注意的是,外部的网络连接缺乏标准性,容易出现安全问题,对此的解决方法是用户账户应用硬件KeY验证手段,对外部网络接入进行全面控制。
2)远程接入的控制。Vpn技术发展的速度比较快,在远程接入方面,风险性有所减小。企业可以采用特定的认证方式,如动态口令牌,增加安全性。
3)网络进入检测。现阶段,在企业内部网络中,可以安装相应的入口检测系统,主要的作用是对网络传输的过程进行监控。网络入侵检测系统是企业网络安全架构的必须组成部分,随着研发的深入进行,入侵检测系统将会更加精确。
4)无线网络安全。在办公区域,无线网络得到广泛的应用,有助于企业的运行,与此同时,无线网络也会出现安全的问题。要想使企业在无线网络运行方面保持安全性,需要采用新的安全性更高的协议;增加无线网络访问技术控制的水平。
3.2访问限制
1)密码方式。如果密码的强度较高,破解需要的时间较长,脆弱密码破解需要的时间较短。在进行访问时,需要增强密码的强度。在确保企业网络运行安全性方面,企业可以采用密码的方式,应用新技术,实行密码管理,增加网络安全性。
2)管理用户的权限。员工在进入到企业以后,要想访问企业的内部网络,需要具备用户权限。企业相关的信息管理层需要给予员工一定的访问权限,并进行权限管理,提高权限管理的效率。
3)应用公钥系统。在进行访问权限管理中,公钥系统是较为关键的部分。在应用公钥系统时,无线网络给予一定的访问权利,将文件进行加密,都可以增加系统的安全性。
3.3防火墙技术
防火墙技术核心是在网络环境不安全的情况下,建立比较安全的子网,现阶段,在国际上比较流行,应用范围较广。防火墙可以控制相关的数据,计算机以及相关的数据在获得访问的权利后,就可以直接访问内部网络,如果没有访问的权利,就无法实行访问。对一般人员的访问进行限制,避免对重要的信息进行更改、拷贝和损坏。要想使企业的内部网络具有更高的安全性,需要强化防火墙管理,进行安全过滤,对外网没有必要的访问进行严格的控制;此外,对于局域网,需要设定ip地址,防火墙可以对此进行识别。
3.4网络蠕虫以及病毒防护
蠕虫以及病毒对企业内部的网络会产生威胁,这种问题不可避免,但是,企业应当尽可能的制定防护方案,采取防护技术,阻碍病毒传播,缩小病毒危害的范围。在企业内部网络中,网络节点存在的形式有两种:①在局域网中出现;②和外部的网络相联系。一般的防护措施能够降低的蠕虫和病毒威胁有限,为加强网络安全管理,需要严格的进行系统控制。在一般情况下,企业所安装的杀毒软件不能进行自动的扫描,对网络进行相关的操作,需要启动杀毒软件的相关功能,保证网络的安全性。当用户安装比较高级的杀毒软件后,企业网络安全管理人员能够掌握整个网络节点病毒的检测情况。
4结束语
企业的网络安全不是终极目的,最终的目的是促进企业的长远发展。企业在发展的过程中,网络的应用程度会更广,企业的网络安全管理难度变大。企业需要根据网络安全的影响因素,制定管理方案,采取防护措施,构建网络安全管理体系,增加企业的网络安全性。
参考文献
[1]王松.试论企业计算机网络安全的管理[J].科技致富向导,2013(20).
[2]曹永峰,庞菲.企业网络安全管理问题及策略探究[J].消费电子,2013(8).
[3]胡子鸣.浅析企业网络安全管理和防护策略[J].信息安全与技术,2013(7).
[4]雷亿清.基于终端的内网企业网络安全管理办法[J].中国科技博览,2013(15).
[5]杨君.面向企业网络的网络行为管理研究[J].科技信息,2013(15).
[6]李兰花,孙毅.中小企业内部网络安全管理的研究[J].海峡科技与产业,2013(6).
网络安全管控体系篇9
三网融合对于我国提升信息通信业水平和经济社会发展具有重大意义。电信网、互联网和广播电视网的融合在为相关行业和设备厂商带来发展机会的同时,也带来了新的网络和信息安全问题。
本文将对三网融合网络信息安全技术监管平台建设进行研究,详细阐述三网融合网络信息安全技术监管平台的建设思路和总体框架。
一、建设目标
国务院三网融合工作协调小组办公室在《关于三网融合试点工作有关问题的通知》中明确要求:“试点地区电信主管部门负责制定网络信息安全技术管控平台的属地化建设方案。”
加强网络信息安全平台建设的顶层设计成为当前全国和各省三网融合工作顺利开展的前提保障。在三网融合的技术管控手段方面,要考虑三网既有的风险与隐患,同时对融合后可能出现的新隐患进行防范和解决,可以从终端层面、网络层面、应用层面等多角度入手,构建三网融合下网络信息安全监控平台,充分发挥政府主管部门、行业和企业各自的资源和优势,对网络信息安全问题进行全方位的监控。
平台的建设目标是通过加强顶层设计、统筹计划、整合资源,实现事先预警、事中可控、事后可溯源,建成全网的监测、预警、跟踪和处置等综合技术能力,能够在三网融合新时期的社会维稳、经济发展、反失窃密、网络反恐、打击犯罪和国家安全等方面起到核心而有力的技术支撑作用。
因此必须建设强有力的监控手段,实现涵盖电信网、互联网和广播电视网三大网络的网络和信息内容的可管可控。重点需要实现以下几方面能力:
(1)基础资源的掌控能力。实现对ip、域名、网站、各种网络应用、用户信息的管理能力。
(2)网络信息安全事件的发现能力。实现对网络攻击事件、信息内容事件等的监测发现和提前预警能力。
(3)舆情信息的分析能力。通过平台及时掌握一定规模的省内相关的网络舆论的动态、导向、特点和趋势,可以对维稳相关的特定事件和对象进行跟踪其发生、发展、扩散、演变的轨迹等。
(4)特定信息和目标的管控能力。通过平台能够对省内的网站、域名、ip甚至软件应用进行实时管控。
(5)信息源的溯源定位能力。通过平台能对指定的信息源目标(一般为ip、时间信息)的发送者或接受者,在限定的时间内及时溯源关联到其用户属性以及地理位置信息,为公安、反恐等部门的处置提供支持。
同时,面对三网融合下对音视频、图像等更高的监控要求,还应具备以下几方面的手段和能力:
(1)应当具备文本、语音、视频、图片、文档等多媒体文件格式进行分析的能力,分析技术应包含语义分析、模式识别等内容,手段包含关键字比对,图像特征分析、视频流拆帧、语音识别等。
(2)应当可以从各种途径获取分析数据来源,包含和通讯设备建立信令接口、传输分光、端口镜像等,包含模数转换的能力,可以处理模拟信号。
(3)应当采用集中的方式,以减少投资规模,并支持线性扩容,处理能力随着规模的扩大线性增长,支持集中原则下的分布式处理,可以在多中心的模式下利用云计算实现分布式规模化服务能力。
(4)应当具备将信安监控的处理能力转化为社会价值的途径,对外提供定向的搜索服务,为各大企业提供舆情服务,充分利用闲置的平台服务能力。
二、建设思路
系统建设思路是“建设基础数据环境与提高控管手段并行,加强监管能力与提高对涉网管理部门技术支持服务能力并重”。三网融合下的网络信息安全管控平台应当集中部署,分散部署的投资太大。监控中心应采用云计算和hadoop的设计模式,将监控任务分布式处理,分给多台云计算设备来执行。(见下图1)
监控中心的相关必备要求如下:
(1)支持和各大运营商之间的数据采集接口(包含分光、信令监控等多种模式),其中分光应在省网核心层面进行;支持数据输入接口,方便阻断指令;
(2)支持与三网融合的软交换汇接中心数据采集接口;支持数据输入接口,方便阻断指令;
(3)监控中心应具备至少2G以上的直连带宽,并随着监控内容的增加逐渐扩容,中心应托管在专业的数据机房,有专人维护,并保证7*24小时的不间断服务;
(4)具备各类内容监控能力,随时更新监控的列表;
(5)具备各种协议、内容格式转换的能力,支持对各种内容进行生成并记录mD5摘要。
三、总体架构
基于三网融合下的网络信息安全技术监管平台应当包括云计算资源池、信息采集模块等各个子系统,具体组织架构如下图2:
同时,需要满足以下系统要求:
(1)基于云计算的服务模式,支持线性扩容,资源随时动态调度。
(2)模块设计基于开源的Hadoop开发模式,支持全局动态调度资源和并行处理。
(3)具备采集运营商网络、通讯设备上分光数据或信令监控的能力。
(4)具备DnS流量采集能力,可直接采集到DnSCache服务器的通信报文,获取报文中包含的域名信息和域名对应的ip地址信息。
(5)分权分域,支持分级按角色权限管理,具备灵活的工作流设计功能。
(6)爬虫模块作为信息采集的来源,要求能做到分布式服务、可查询工作状态、监控资源更新状态避免重复下载、具备断点续传能力、具备链接分析能力、可按照参数自动遍历网站;
(7)文字内容分析模块具备语义分析能力,可以灵活定义不同关联关系的关键字组。
(8)图像分析模块具备色情内容的识别能力,并可以灵活定义图像特征,以便发现相似的图像内容,具备为图像生成mD5的能力,避免充分识别相同的文件。
(9)声音分析模块具备关键字(组)声音识别发现能力,并记录命中的时间。
(10)视频分析模块具备关键帧拆帧能力,并利用静态图像识别和声音分析模块进行分析和检索;
(11)具备公共舆情监控的接口,可以为政府、企业等提供舆情监控服务。
(12)提供公共搜索接口,可以建立搜索参数,及时找到相关的信息。
(13)对外提供数据下达、上报的服务接口,以便和外接进行数据同步。
(14)提供备案流程、身份查询流程等服务。
(15)通过接口可以对信息安全违规内容进行阻断。
在具体功能模块方面,应当至少包括三网融合后的网络基础资源数据库、点网络单元监控子系统、网络安全监管子系统与信息安全监控子系统。
4.2.3.1基础资源管理子系统。三网融合后,广电网、通信网、互联网三网间的边界变模糊了,但针对网络基础资源的管理,应该紧紧围绕网络的基本要素ip和域名进行精确化的管理,对ip和域名相关的使用者信息、注册信息、备案信息、服务情况和存活状态等进行详细的采集和记录。
网络基础资源管理需要相应it系统的支撑,该系统的主要功能应包括:
(1)建立统一完整的ip信息库,包括省内ip地址的用户信息和地理位置信息;
(2)建立ip地址数据信息的及时更新机制和监测比对手段;
(3)建立固定宽带、移动上网的ip溯源系统,并将广电宽带用户和动态ip的用户信息纳入到统一管理中。
(4)建立统一完整的省内接入网站数据库,网站信息包括网站备案状态、备案信息、域名信息、存活状态、网络服务状况和访问流量情况等。
(5)建立网站主动发现机制,包括对互联网音视频网站的及时发现。对我省接入的互联网站实现全量发现、采集和验证分析,自动与工信部的域名查询系统进行接口,通过接口进行域名备案与否的查询,一旦发现是未备案域名要及时进行告警。
(6)建立对网站备案信息真实性的核验机制,即通过与公安身份证信息比对、工商营业执照信息比对、质监组织机构代码证比对,电话拨测和ip反查,对网站主办者身份信息、联系方式、接入商信息实现自动、半自动的核实,以确定网站备案信息的真实性,确保网站备案信息的准确性。
4.2.3.2重点网络单元监控子系统。基于三网融合的重点网络单元监控子系统采用分布式的数据采集方案,通过多层面采集任务的协同处理,通过数据与业务的分散化,实现全面、及时的报文信息获取。重点网络单元监控子系统结构如下图3所示:
重点网络单元监控子系统将利用已有数据源如互联网国际出口、短信息、搜索引擎等和新建数据源如互联网省级出口、重要iDC机房、重要信息系统、互联网网站、论坛、博客、社交网站、微博客等。各个通道的数据获取功能如下:
1.互联网国际出口数据获取
系统具备基于互联网国际出口监测数据的聚类、多业务应用数据监测、用户ip地址访问统计、热点与敏感事件监测等能力,提供灵活可操作可定制的开放接口功能。
2.互联网省级出口数据获取
系统具备基于互联网省级、城域网出口监测数据的聚类、多业务应用数据监测、用户ip地址访问统计、热点与敏感事件监测等能力。
3.移动网应用协议分析
通过对移动网的Gn口(电信为pDSn口)的流量进行镜像分光,对移动网上的各类应用进行协议分析,以及用户访问情况审计。
4.iDC、重要信息系统关口监控
通过在iDC机房、重要信息系统出入口部署流控和审计设备,实现对iDC机房、重要信息系统内运行数据的全方位监测和管控能力。提供包括基础信息统计、用户访问情况审计、网络信息安全信息监测等目标。
5.DnS解析数据获取
通过对省内DnS解析服务器进行镜像分光,以获取用户访问解析记录,实现全量域名发现、被动域名监测等功能。
4.2.3.3网络安全监控子系统。能够对融合后的网络开展网络安全事件监测,发现重要的信息安全事件,及时预警,通报相关责任单位和部门;对遭受攻击的单位网络能够进行追踪溯源。调整优化相关企业和单位网络结构,将网络安全监测平台向地市延伸,进一步加强监测发现及预警等系统能力。
网络安全监控子系统由安全事件监测与安全信息获取模块、网络安全数据融合与关联分析模块、网络安全综合资源库、应急控制与主动防御模块、域名安全监管模块等构成,其中:
1.安全事件监测与安全信息获取模块的主要功能是全面发现和获取网络安全事件和网络安全威胁信息,主要由8个子系统组成,包括:基于报文特征的安全监测、基于流特征的安全监测、面向域名体系的安全监测、面向路由体系的安全监测、恶意代码综合捕获分析、面向weB应用的安全监测、高危网络安全漏洞检测、外部安全事件数据接收子系统等。
2.网络安全数据融合与关联分析模块的主要功能是各个监控系统的数据进行整合分析,结合获取ip地址分配使用情况和域名解析使用情况信息,实现对多源、异构的网络安全监测数据的融合统一,并在数据融合的基础上实现对网络安全数据的全面高效的分析。除高性能多元数据融合、海量数据关联分析功能外,该系统还包括用来获取ip分配使用信息和域名解析使用信息的两个子系统——ip溯源定位系统、域名解析跟踪记录系统,而与域名相关的域名解析跟踪记录功能则列入域名安全监管子系统中实现。
3.应急控制与主动防御模块的主要功能是根据国家整体网络安全应急防护要求和在特定时期、针对为特定部门和系统提供专项防护和主动防御支撑的要求,提供对攻击源的切断、受控系统的接管、域名基础设施的备份系统启用等应急功能。主要包括域名控管与应急控制子系统、域名体系的备份系统、基于路由体系的应急控制系统、网络安全主动防御子系统等部分。
4.网络安全综合资源库的主要功能是保存漏洞信息、恶意的代码样本及分析报告、各种监测策略、应急控制策略、恶意服务器信息、受攻击主机和服务器等信息,并为整个平台的监测、应急控制和业务协同提供安全知识信息。
上述系统通过各种数据接口规范,从互联网国际出入口、省网络出入口、部分重要地市网络和部分重要iDC,以及党政军和重要信息系统网络获取原始监测数据,并将形成的网络安全知识信息和安全控制策略反馈给各个网络系统,从而构成一个闭合的监测和控制系统。
4.2.3.4信息安全监控子系统
三网融合下的信息安全监控子系统主要包括基于三网融合的网络音视频监管、网站内容监管、网络舆情监测等组成部分。(见下图4)
系统主要功能包括:
(1)网站内容监管系统,根据内容对网站进行精细化分类,并对网站进出流量、内容提供监测甚至管控能力。
(2)网络音视频监管系统,在互联网国际出入口和省际出入口上对音视频流的封堵、监测、侦控功能。
(3)网络舆情监测系统,对互联网上敏感信息、热点话题进行监测发现。
网络安全管控体系篇10
关键词:校园网;网络安全技术
中图分类号:tp393文献标识码:a文章编号:1009-3044(2008)10-1pppp-0c
ShallowlyDiscussestheCampusnetworkSecurityandtheSolution
GUSheng
(taizhounormalCollege,taizhou225300,China)
abstract:Becausethecampusfishinggearhasthejointformmultiplicity,theterminaldistributionnon-uniformity,openness,interlockscharacteristicandsoonnature,boundlessnature,freedom,causesthenetworkeasilythehackerandvirus'sattack,forthesociety,theschoolhasbroughtmassiveloss.therefore,inviewofthecampusneteachkindofsecurityhiddendanger,thisarticleanalyzedhashadthehiddendangerrootandthenetworksecuritydemand,adoptedthecorrespondingnetworksecuritystrategy,unifiedthesecuritytechnologyandtheeducationadministration,realizesthecampusnetworksystemsecurity,practical,thehighlyeffectivegoal.
Keywords:Campusnetwork;networksecuritytechnology
1校园网络安全概述
1.1网络病毒
(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。
(2)病毒入侵渠道:来自internet或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是internet,主要的传染方式是群件系统。
(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。
(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从internet、邮件、文件服务器和用户终端四个方面来切断病毒源。
1.2网络攻击
(1)校园网与internet相连,面临着遭遇攻击的风险。
(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
(4)存在“重技术、轻安全、轻管理”的倾向。
(5)服务器与系统一般都没有经过细密的安全配置。
2校园网络安全分析
2.1物理安全分析
网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。
2.2网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。
2.3系统的安全分析
系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。
2.4应用系统的安全分析
应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。
2.5管理的安全风险分析
安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。
3校园网络安全解决方案
3.1校园内部网络安全方案
3.1.1内网病毒防范
在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。
3.1.2单机病毒防范
教师机安装nt内核的操作系统,使用ntFS格式的分区;服务器可以使用windowsServer甚至UniX或类UniX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用ntFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。
3.1.3内部网络安全监控
采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。
3.1.4防毒邮件网关系统
校园网网关病毒防火墙安装在internet服务器或网关上,在电脑病毒通过internet入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。
3.1.5文件服务器的病毒防护
服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。
3.1.6中央控制管理中心防病毒系统
建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。
3.2校园外部网络安全方案
3.2.1校园网分层次的拓扑防护措施
层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。
3.2.2校园网安全防护要点
(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的ip包和以非法ip地址离开内部网络的ip包;三是在防火墙上建立内网计算机的ip地址和maC地址的对应表,防止ip地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。
(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界internet之间隔离出一个受屏蔽的子网,其中www、e-mail、Ftp、DnS服务器连接在防火墙的DmZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与internet连接。
(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
3.2.3校园网防护体系
构造校园网“包过滤防火墙+nat+计费++Vpn+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLan;根据ip地址、协议类型、端口进行过滤;内外网络采用两套ip地址,需要网络地址转换nat功能;通过ip地址与maC地址对应防止ip欺骗;基于用户和ip地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和Vpn及其管理;网络监控与入侵检测。
4校园网络运营安全
4.1认证的方式
网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。
(2)基于流的认证方式。指交换机可以用基于用户设备的maC地址、VLan、ip等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒ip和maC、假冒DHCpSeRVeR。
4.2管理
利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。
4.3账户管理
学生是好奇心强的群体,假冒DHCpSeRVeR和ip、maC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCpSeRVeR,立即封掉该账户。
5校园网络的访问控制策略
5.1建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
5.2身份验证
对用户访问网络资源的权限进行严格的认证和控制。
5.3病毒防护
主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
6校园网络安全监测
校园网络安全监测可采用以下系统或措施:入侵检测系统;web、e-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑ip和maC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
7校园网络系统配置安全
7.1设置禁用
禁用Guest账号;为administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。
7.2设置iiS
通过设置,弥补校园网服务器的iiS漏洞。
7.3运用VLan技术来加强内部网络管理VLan技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
7.4遵循“最小授权”原则
指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
7.5采用“信息加密”技术
包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。
8校园网络安全管理措施
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
9结束语
校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
参考文献:
[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).
[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).
[3]王子荣,李军义,胡峰松.ipv6发展与部署之冷静思考[J].教育信息化,2005(12).