前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全调研范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
(平顶山华辰供电公司调度通讯中心,河南 平顶山 467000)
【摘要】电力调度自动化在电网调度中发挥着巨大的作用,其依赖的网络安全问题同样也是重中之重,通过对电力调度自动化网络安全问题的研究,结合作者自身的工作经验,在电力调度自动化网络安全管理方面给出了自己的一些宝贵意见。
关键词 电力调度自动化;作用;网络安全;网络安全管理
1电力调度自动化及其作用
电力调度自动化就是运用现在自动化技术对电网进行调动。由远动装置和调度主站系统组成,用来监控整个电网的运行状态。为调度人员提供调度依据的重要指标、数据、方案等,又可以使调度人员统筹全局,有效的指挥电网安全、经济、稳定的运行。其作用表现在:
1.1监控电网安全运行状态
电网正常运行时,通过调度人员监视和控制电网的各项重要参数指标,例如:周波、电压、潮流、负荷与出力;以及主设备的位置状况和水、热能等方面的工况指标,使之符合规定、满足要求,保证电能质量和用户的计划用电、用水和用汽。
1.2实现电网经济调度
在对电网实现安全监控的基础上,通过调度自动化的手段实现电网的经济调度,以达到少能耗,多发电、多供电的目的。
1.3实现电网运行安全分析和事故处理
导致电网发生故障或异常运行的因素多而复杂,且过程迅速,如不能及时预测、判断或处理,不但可能危及人身和设备安全,甚至会使电网瓦解崩溃,造成大面积停电,给国民经济带来严重损失。因此,必须增强调度自动化手段,实现电网运行的安全分析,提供事故处理对策和相应的监控手段,既要防范事故的发生又要在事故发生时及时的处理,避免或使事故造成的损失降至最低。
2网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。其主要特性如下:1)保密性;2)完整性;3)可用性;4)可控性;5)可审查性。
随着科技的进步,系统处理能力提高的同时,系统的连接能力也在不断的提高,但基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络的结构安全、网络的系统安全、网络的应用系统安全和网络的管理安全等。
(1)物理安全:网络的物理安全是整个网络系统安全的前提。在网络工程的设计和施工中,要优先考虑保护人和网络设备不受电、火灾和雷击的损害;还要考虑布线系统及接地与焊接的安全;必须建造防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷等。
(2)结构安全:网络结构设计也直接影响到网络系统的安全性。在设计时有必要将公开的服务器和外网与内部网络进行必要的隔离,避免内部网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许进行筛选后的安全访问,禁止有危险因素存在的任何访问。
(3)系统安全:所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。其实没有真正意义上完全安全的操作系统,不同的用户应从不同的方面对其需求的网络进行详尽的分析,选择安全性尽可能高的操作系统,而且与操作系统匹配的配置也应进行安全筛选,加强登录过程的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
(4)应用系统安全:应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的;应用的安全性也涉及到信息、数据的安全性。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息的机密性与完整性
(5)网络管理安全:管理是网络中安全至关重要的部分。责权不明,安全管理制度不健全及操作员操作不当等都可能引起管理安全事故,比如,当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警;当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性,这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。如此,安全的网络管理可以确保电力调度自动化系统高效、稳定、安全的运行。
3电力调度自动化网络安全管理
调度自动化的电网监控、数据采集和传送、调度方案执行等等都依靠网络来实现,无论采用外网还是内网都涉及到网络安全的问题,若电力调度自动化的网络受到攻击或者损坏,不能及时调度、传输居民及工业用电,将会严重影响到社会经济与居民生活保障,所以很有必要对电力调度自动化的网络安全进行分析研究。
根据第2章节所提到的网络安全表现及电网调度自动化的系统构成,为确保电网调度自动化网络的安全需注意以下几点:
3.1物理安全管理
首先确保调度自动化系统的网络设计及施工布置科学合理,确保人和设备的安全;其次对一些自然灾害也要有一定的防范,比如防雷击、等;最后还要确保设备不受火灾及人为因素的影响,比如:防火、防盗、防静电等。
3.2应用软件安全管理
首先要权限分级,不同的工作人员有不同的使用权限,要有密码保护和身份认证等;其次是遥控的安全,发生误控事故的原因有三:①参数设置错误,②遥控保护措施不当,③操作员及监督员操作步骤出入,所以针对上述三个问题,要解决的方案是操作员、监督员在对开关、刀闸做遥控时一定要遵守遥控安全规范,还要进行操作预演;最后是指纹录入系统,采用指纹识别技术对值班人员进行管理及登录认证,可以达到安全、准确、高效的目的,既可以提高集控站系统的自动化水平,又提高劳动生产率、增加安全经济效益。
3.3使用杀毒软件
当下网络上病毒日益猖撅,日常需要写入服务器的单机的安全也十分重要。建议购买企业版的杀毒软件,控制写入服务器的客户端,网管可以随时杀毒,保证写入数据及服务器的安全性。
3.4数据库的安全防护
调度自动化中数据库一般采用商用数据库,如ORACLE、MSSQL等。当数据库出现问题时,首先要查看数据库日志,找出错误号,然后查找数据库出错文档,对数据库进行维护。有时还需要查看操作系统日志。
3.5制定管理制度
管理制度是一定要制定的,而且要符合调度中心的网络要求。秉承网络安全的宗旨,根据安全规范及标准,不同的调度系统网络采用与之相符合的管理制度,在这里就不做赘述。
4结语
文章通过对电力调度自动化及网络安全的分析,表明自动化的网络安全是十分重要的;根据网络安全的主要表现形式,作者结合自己的工作经验在电力调度自动化网络安全管理方面给出了自己的一些宝贵意见,供他人借鉴。当然也有一些不足或者遗漏,望指正。
参考文献
[1]任志翔.智能电网调度自动化技术思考[J].经济研究导刊,2010,7.
[2]王喜贺.电力调度自动化网络安全与实现[D].山东大学,2009.
关键词:大数据;大学生网络;安全意识;安全教育
中图分类号:G64 文献标识码:A 文章编号:1001-0475(2016)06-0093-02
一、 引言
近年来,“大数据”(big data)一词越来越多地被提及,人们用它来描述和定义信息爆炸时代产生的海量数据。大数据与网络相辅相成,一方面,网络的发展为大数据带来了更多数据、信息与资源;另一方面,大数据的发展为网络提供了更多支撑、服务与应用。大数据是网络的基础,这意味着大数据更多来源于网络,因此,在大数据时代保障网络安全,使得大数据的利用合法、安全,必将成为高难度的世界课题。
目前,大学生依赖网络程度越来越高,无论是学习、娱乐或是购物等方面,根据中国互联网信息中心CNNIC的第37次《中国互联网络发展状况统计报告》,2015年人均周上网时长达26.2个小时,相当于每天上网3.75小时,[1]其中学生群体、特别是大学生成为贡献上网时长的主力军。如果不能很好地对网络环境进行改善,增强大学生网络安全意识,可能会造成大学生经济财产损失,个人信息泄露等损害;同时,也对高校管理造成风险。
二、大数据背景下大学生网络安全意识现状调查
(一)调查对象、内容与方法
本次调查的对象为中国民航大学、南开大学、天津外国语大学、天津理工大学四所高校共480名在校大学生,内容为大学生网络安全意识和高校间开展的网络安全意识程度,方法为网上问卷和实地考察。调查问卷采取选择题的形式,共计十二题,分别调查了大学生上网情况、自身网络安全意识及学校网络安全教育情况。
(二)调查结果与分析
1.大学生上网情况
调查显示有24%的大学生每天上网时长在2小时以下,36%的大学生每天上网时长为2-5小时,40%的大学生每天上网时长为5小时以上,若以2015年《中国互联网络发展状况统计报告》的数据为基准,那么在校大学生有一半以上超过了每日上网的平均时间,说明在当代大数据背景下,随着智能手机以及其他网络通讯设备的普及,可以很便捷地使用网络,大量的上网时长可能加大网络安全方面的隐患,还造成网络成瘾等一系列问题。调查学生上网的主要内容,购物、游戏、学习、通讯这四类占据学生上网内容的主流,其中网络购物与大学生的财产信息安全直接挂钩,通讯则与用户自身的个人隐私息息相关。
2.大学生网络安全意识情况
调查“大学生是否有意识地去了解网络安全方面的知识”问题时,结果为大学生有20%“经常”、28%“偶尔”、42%“很少”、10%“没有”去有意识地了解网络安全方面的知识。这表明大学生每日花费大量时间上网,却忽视网络安全,这是大学生易遭受网络陷阱、受到网络侵害的重要原因之一。“当看到一些未证实的有关社会敏感问题时会怎么做”调查的是当学生遇到社会舆论的导向时做出的反应,调查数据为38%的学生“不理睬,直接跳过”,58%的学生“了解后,不管”,4%的学生“转载并评论”,未经证实的社会敏感问题和不良信息有潜在的网络安全问题,大部分大学生辨别是非能力不强,不能给出自己的判断,更不能依据自己的专业知识做出回应,总体缺乏判断能力。调查学生在遇到诸如网络病毒、垃圾邮件之后的反应以及平时使用网络的习惯,数据显示大学生整体拥有基本的网络安全常识,例如有害邮件需删除,病毒用杀毒软件查杀等等。统计大学生遭受过的网络安全问题,数据显示多数学生曾遭受过有害邮件和病毒攻击,占总人数比例的90%和71%,没有一定的网络安全意识和防范措施很难彻底杜绝垃圾邮件和病毒攻击。遭受过财物被盗(4%)和信息被盗(15%)的学生较少,能够看出大部分学生对于网络个人信息和财产的保护拥有最基本的认识,但经验不足。调查“大学生受到的具体侵权行为”,每种侵权行为都有不同程度的受害者,其中受到垃圾信息(94%)、骚扰(61%)和盗号(54%)的学生最多,这几类侵害行为的成因多为学生因网络安全意识不强,自我保护能力差造成的,产生的后果轻者频繁收到垃圾信息,扰乱个人网络环境,重者被窃取个人隐私,造成人身和财产的双重侵害。
3.高校网络安全教育情况
统计了四所高校的网络安全教育情况,依据调查的数据显示,理工大学的网络安全教育情况较好,有47%的学生接受过较为全面的网络安全教育,网络安全教育范围较广,主要原因与理工大学自身教学环境相关;外院有72%的学生在校期间从未受过网络安全教育,网络安全教育的进行并不理想;中国民航大学和南开大学网络安全教育情况在与另外两所高校的比较中成中游态势,总体而言网络安全教育在整体学生中覆盖面不广且不精。
在“大学生在校期间受过哪些形式的网络安全教育”的调查中,数据显示,开设讲座的形式占据主流,主要原因是开设讲座覆盖面广,一次可以容纳大量学生,专业性强,且对于学生具有一定强制性,但学生愿意接受讲座的意向不强,更多人希望通过主题班会、网络宣传、自主学习等方式进行网络安全教育。整体来看现阶段高校网络安全教育方法较为单调,学生主动性不强,网络安全教育模式有待提高。
三、大数据背景下提高大学生网络安全意识的探究
(一)多方面入手,扩大网络教育范围
大数据背景下,海量的数据带来便利的同时也带来众多问题。这就需要网络安全教育从多角度入手,全面扩大网络安全教育范围,提高大学生的网络安全意识。网络安全意识教育主要从四个角度进行,包括网络法治意识教育、网络道德意识教育、网络安全防范技能教育以及网络心理健康意识教育四部分。[2](P.94-96)
网络法治意识教育目的在于提高学生网络法律意识,大学生应掌握网络安全法律法规,能够运用法律手段维护自身利益,不做违反网络安全法律的行为。
网络道德意识教育从道德角度入手,要求大学生应具备网络安全责任心与道德心,在网络上自己的行为不只同自己有关,还会影响到其他人,一个安全和谐的网络环境需要大家共同努力。
网络安全防范技能教育旨在提高学生的网络安全防范能力,使大学生掌握网络安全基础知识和防御手段,能运用常用网络安全工具进行分析和防御。
网络心理健康意识教育帮助大学生合理、健康地上网,长时间地沉迷网络有可能会引发网络成瘾和网络心理障碍等问题,这里需要学校对其正确引导,培养学生积极健康的上网心态。
(二)因材施教,实行多层次网络安全意识教育
对于大学生而言,课堂是获取知识最多的地方,因此必须重视网络安全意识教育在课堂中所起到的作用。数据显示不同学校、专业、年级的网络安全意识都有所不同,因此在各高校进行网络安全教育时要做到“因材施教”。例如,对于网络安全意识较弱的人文社科类学校或专业,可以进行普及式的网络安全教育,如将网络安全教育纳入必修或选修课、定期举行全校范围的网络安全讲解活动等;对于一些刚入学的大一新生要格外重视,对其进行网络使用的正确引导,以免走向歧途;除此之外还要考虑到近年来越来越多的大学生网络自由创业、投资群体,一些大学生在大学期间使用网络开创自己的事业,对于这些已踏入社会但经验不足的大学生来说,网络安全意识教育更加重要,学校对于这些学生应当进行更为系统专业的网络安全意识教育。
(三)根源做起,增强网络监管体制
安全的网络环境需要学生和学校共同构建,大学生遇到网络安全问题并不仅仅靠受到的网络安全教育就能够解决,高校须从自身根本开始改变,营造安全的校园网络环境。目前,不仅是学校,某些国家相关部门也在不断加强对网络使用的监管力度,呼吁全社会重视网络安全问题。各大高校也应该和政府、教育主管部门、公安及工商管理部门、市场管理机构、网络运营部门等进行积极有效的合作,构建一个完善的网络安全监管系统,为大学生上网提供良好的网络环境,从而在客观环境上有助于提高大学生的网络安全意识。[3](P.87-88)例如,保障先进的技术设备、采取身份认证技术、封堵、禁止对不良网站进行访问以净化网络环境、词汇过滤功能、预警功能等等。[4](P.82-84)另外高校还要负责关注校园周边网络环境,积极配合其他部门,对学校周边诸如“黑网吧”等违规网络营业行为依法进行取缔。
(四)高校联合,提高网络安全教育互动性
现阶段,大多数大学生并不满足于单一的照本宣科讲课模式,高校应着眼于采取更多元丰富的网络安全教育形式来促进学生接受网络安全教育的互动程度,让学生真正参与到提高网络安全意识的活动中来,譬如课外举办网络安全知识竞赛、有关网络安全主体的辩论赛和班会等等。调查显示各高校之间的学生网络安全意识拥有较大差异,因此可以就此方面将高校联合起来,成立诸如“网络安全意识联合会”的学生组织进行互帮互助,互相学习,比如建立网上论坛、举办线上线下活动、开宣讲会等,同时还要注重法律意识的培养,这方面可以以诸如开展法律讲座、交流法律知识、观看经典案例的方式进行。这样做一方面可行性较高,一方面这种由学生自发进行活动比学校施加的教育更深入浅出,学生间所交流的经验也是提高网络安全意识重要的一部分,增添了趣味性和互动性。
四、总结
大数据背景意味着每个人身边都充斥着海量的数据信息,人们通过网络的方式与这些庞大的数据进行接触,如果没有一定的网络安全意识,自身的人身财产安全将会在大数据背景下岌岌可危。多年来提高大学生网络安全意识一直是高校亟需解决的重要课题。现阶段相比于其他网络环境较发达国家,我国的大学生网络安全教育还处于实践阶段,大学生网络安全教育不可一蹴而就,在进行的过程中必须同时具备完整性、针对性、深入性,使之能够真正对学生产生重要影响,而并非一朝一夕的泛泛之谈。
参考文献:
[1]中国互联网络信息中心(CNNIC).第37次中国互联 网络发展状况统计报告[R].2015.
[2]刘新华,巢传宣.对大学生网络安全意识及教育现 状的调查[J].职教论坛,2011,(14).
随着数据库、软件工程和多媒体通信技术的快速发展,矿山企业实施了安全生产集控系统、环境监测系统、调度管控系统、移动办公系统及智能决策支持等系统,实现了矿山企业安全生产、办公和管理信息化、智能化。网络能够实现各类信息化系统的数据共享、协同办公等,也是信息化系统正常运行的关键,因此网络安全防御具有重要的作用。本文详细地分析了矿山企业网络安全面临的问题和现状,提出采用先进的防御措施,构建安全管理系统,以便提高网络安全性能,进一步改善矿山企业信息化运营环境的安全性。
1矿山企业网络安全现状分析
随着互联网技术的快速发展,互联网将分布于矿山企业生产、管理等部门的设备连接在一起,形成了一个强大的矿山企业服务系统,为矿山企业提供了强大的信息共享、数据传输能力。但是,由于许多矿山企业工作人员在操作管理系统、使用计算机时不规范,如果一台终端或服务器感染了计算机病毒、木马,将会在很短的时间内扩散到其他终端和服务器中,感染矿山企业信息化系统,导致矿山企业服务系统无法正常使用。经过分析与研究,目前网络安全管理面临威胁攻击渠道多样化、威胁智能化等现状。
1.1网络攻击渠道多样化
目前网络黑客技术正快速普及,网络攻击和威胁不仅仅来源于黑客、病毒和木马,传播渠道不仅仅局限于计算机,随着移动互联网、光纤网络的兴起和应用,网络安全威胁通过智能终端进行传播,传播渠道更加多样化。
1.2网络安全威胁智能化
随着移动计算、云计算和分布式计算技术的快速发展,网络黑客制作的木马和病毒隐藏周期更长,破坏的范围更加广泛,安全威胁日趋智能化,给矿山企业信息化系统带来的安全威胁更加严重,非常容易导致网络安全数据资料丢失。
1.3网络安全威胁严重化
网络安全攻击渠道多样、智能逐渐增加了安全威胁的程度,网络安全受到的威胁日益严重,矿山企业网络设备、数据资源一旦受到安全攻击,将会在短时间内迅速感染等网络中接入的软硬件资源,破坏网络安全威胁。
2矿山企业网络安全防御措施研究
矿山企业网络运行过程中,安全管理系统可以采用主动、纵深防御模式,安全管理系统主要包括预警、响应、保护、防御、监测、恢复和反击等六种关键技术,从根本上转变矿山企业信息系统使用人员的安全意识,改善系统操作规范性,进一步增强网络安全防御性能。
2.1网络安全预警
网络安全预警措施主要包括漏洞预警、行为预警和攻击趋势预警,能够及时发现网络数据流中存在的威胁。漏洞预警可以积极发现网络操作系统中存在的漏洞,以便积极升级系统,修复系统漏洞。行为预警、攻击预警可以分析网络数据流,发现数据中隐藏的攻击行为或趋势,以便能够有效预警。网络安全预警是网络预警的第一步,其作用非常明显,可以为网络安全保护提供依据。
2.2网络安全保护
网络安全保护可以采用简单的杀毒软件、防火墙、访问控制列表、虚拟专用网等技术防御攻击威胁,以便保证网络数据的机密性、完整性、可控性、不可否认性和可用性。网络安全保护与传统的网络安全防御技术相近,因此在构建主动防御模型时,融入了传统的防御技术。
2.3网络安全监测
网络安全监测可以采用扫描技术、实时监控技术、入侵检测技术等发现网络中是否存在严重的漏洞或攻击数据流,能够进一步完善主动防御模型内容,以便从根本上保证网络安全防御的完整性。
2.4网络安全响应
网络安全响应能够对网络中存在的病毒、木马等安全威胁做出及时的反应,以便进一步阻止网络攻击,将网络安全威胁阻断或者引诱到其他的备用主机上。
2.5网络恢复
矿山企业信息系统遭受到攻击之后,为了尽可能降低网络安全攻击损失,提高用户的承受能力,可以采用网络安全恢复技术,将系统恢复到遭受攻击前的阶段。主动恢复技术主要采用离线备份、在线备份、阶段备份或增量备份等技术。
2.6网络安全反击
网络反击技术是主动防御最为关键的技术,也是与传统的网络防御技术最大的区别。网络反击技术可以采用欺骗类攻击、病毒类攻击、漏洞类攻击、探测类攻击和阻塞类攻击等技术,网络反击技术可以针对攻击威胁的源主机进行攻击,不但能够阻断网络攻击,还可以反击攻击源,以便破坏攻击源主机的运行性能。
3矿山企业网络安全管理系统设计
为了能够更好地导出系统的逻辑业务功能,对网络安全管理的管理员、用户和防御人员进行调研和分析,使用原型化方法和结构化需求分析技术导出了系统的逻辑业务功能,分别是系统配置管理功能、用户管理功能、安全策略管理功能、网络状态监控管理功能、网络运行日志管理功能、网络运行报表管理功能等六个部分。
3.1网络安全管理系统配置管理功能分析
通过对网络安全管理系统操作人员进行调研和分析,导出了系统配置管理功能的业务功能,系统配置管理功能主要包括七个关键功能,分别是系统用户信息配置管理功能、网络模式配置、网络管理参数配置、网络管理对象配置、辅助工具配置、备份与恢复配置和系统注册与升级等。
3.2用户管理功能分析
矿山企业网络运行中,其主要设备包括多种,操作的用户也有很多种类别,比如网络设备管理人员、应用系统管理人员、网络维护部门、服务器等,因此用户管理功能主要包括人员、组织、机器等分析,主要功能包括三个方面,分别是组织管理、自动分组和认证配置。组织管理功能可以对网络中的设备进行组织和管理,按照账号管理、机器管理等进行操作;自动分组可以根据用户搜索的设备的具体情况改善机器的搜索范围,添加到机器列表中,并且可以对及其进行重新的分组管理;认证配置可以根据终端机器的登录模式进行认证管理。
3.3安全策略管理功能分析
网络安全防御过程中,网络安全需要配置相关的策略,以便能够更好的维护网络运行安全,同时可以为用户提供强大的保护和防御性能,网络安全策略配置是非常重要的一个工作内容。网络安全防御规则包括多种,比如入侵监测规则、网络响应规则、网络阻断规则等,配置过程复杂,工作量大,通过归纳,需要根据网络安全防御的关键内容设置网络访问的黑白名单、应用封堵、流量封堵、行为审计、内容审计、策略分配等功能。
3.4网络状态监控管理功能分析
网络运行过程中,由于涉及的服务器、终端设备较多,网络运行容易产生错误,需要对网络状态进行实时监管,以便能够及时的发现网络中存在的攻击威胁、故障灯。网络运行管理过程中,需要时刻的监控网络的运行管理状态,具体的网络运行管理的状态主要包括三个方面,分别是系统运行状态、网络活动状态、流量监控状态。
3.5网络运行日志管理功能分析
矿山企业网络运行过程中,根据计算机的特性需要保留网络操作日志,如果发生网络安全事故,可以对网络操作日志进行分析,便于发现某些操作是不符合规则的。因此,网络运行管理过程中,网络运行日志管理可以分析网络运行操作的主要信息,日志管理主要包括以下几个方面,分别是内容日志管理、报警日志管理、封堵日志管理、系统操作日志管理。
3.6网络运行报表管理功能分析
网络运行过程中,为了能够实现网络安全管理的统计分析,可以采用网络安全报表管理模式,以便能够统计分析接入到网络中的各种软硬件设备和系统的运行情况,网络运行报表管理主要包括两个方面的功能,分别是统计报表和报表订阅。
4结束语
随着物联网、大数据、云计算和移动互联网技术的快速应用和普及,矿山企业逐渐进入智慧化时代,网络安全威胁更加智能化、快速化和多样化,感染速度更快,影响范围更广,给矿山企业信息系统带来的损失更加严重,本文提出构建一种多层次的主动网络安全防御系统,能够提高矿山企业信息系统网络运行的安全性,具有重要的作用和意义。
作者:张军 单位:陕西南梁矿业有限公司
引用:
[1]汪军阳,司巍.计算机网络应用安全问题分析与防护措施探讨[J].电子技术与软件工程,2013.
[2]黄哲,文晓浩.浅论计算机网络安全及防御措施[J].计算机光盘软件与应用,2013.
[3]潘泽欢.数字化校园网络的安全现状及防御对策[J].网络安全技术与应用,2015.
[4]赵锐.探讨计算机网络信息安全问题与防护措施[J].计算机光盘软件与应用,2014.
[5]白雪.计算机网络安全应用及防御措施的探讨[J].计算机光盘软件与应用,2012.
[6]王喜昌.计算机网络管理系统及其安全技术分析[J].计算机光盘软件与应用,2014.
信息安全是信息化建设的基础工作,也是公司生产经营的重要前提。目前,中远国际货运有限公司(以下简称中远国际)的内部管理、业务操作等经营管理活动对网络、信息系统的依赖度日益提升。OA办公自动化系统、邮件处理系统、IP电话通信系统、视频会议系统、CRM客户关系管理系统、日常核心业务操作系统、SAP系统、电子商务系统以及智能分析系统,都需要基础网络提供稳定、持续、高效的支持。网络技术发展日新月异,黑客的攻击手段和技术越来越先进,信息安全风险防控不得不成为安全生产的重要组成部分。
网络安全风险具有隐蔽性、破坏性、针对性、衍生性、寄生性以及不可预见性。2008年6月,中远国际成立信息安全QC(Quality Control,质量控制)小组,并开始调研企业网络安全中的各种问题和隐患,通过PDAC循环方法,对各项政策循环渐进,逐步落实。
网络安全体系情况分析
信息安全QC小组调研得知,中远国际网络安全事故主要来自四方面的原因:网络布局本身存在缺陷,外部网络带来的威胁,客户端用户操作造成的威胁,缺乏有效的评估、控制和管理手段。
中远国际的网络部署情况是:通过路由器连接4兆光纤连接外网;网络督察设备负责对员工上网行为进行事后统计;外网防火墙负责抵御来自外网的侵袭,但相关功能未全部开启;核心交换机与三台接入层交换机串连;三台接入层交换机分别与相应的客户端计算机连接。
这种网络部署结构存在一定安全隐患,网络督察设备、核心交换机与多个接入层交换机的串连,可能导致病毒传播时无法及时定位。在网络不稳定时,中远国际同样需要若干环节联合诊断,才能对安全隐患进行溯源,排错效率较低。例如,当外网不能正常访问时,由于部分网络设备串连,导致不能立即确定阻塞的具体网络位置。而中远国际的IT人员缺乏技术手段,仅靠经验和直觉进行诊断发起病毒传播的源头,判断带有一定的盲目性。
在防病毒软件方面,以往中远国际一直使用瑞星企业版杀毒软件产品,其服务器端与核心交换机连接,从外网获取病毒库更新内容,同时向内网客户端计算机发送病毒库升级包。AD(Active Directory)域服务器负责对登入局域网的用户进行授权管理。但是瑞星企业版杀毒软件产品偶尔有无法正常升级的情况,客户端在遭遇病毒时不能及时查杀,导致病毒传播,影响网络稳定。
中远国际在遭遇网络病毒时,其传播途径主要有三种:客户端上网感染病毒,客户端软件没有正常升级导致中毒后无力查杀致使病毒传播,直接受到外部的攻击而遭遇病毒。从病毒的爆发次数上看,部署了防火墙之后则略有下降。但从病毒影响客户端数量上看,其破坏性呈逐渐上升之势,这意味着病毒对网络的影响越来越大,急需采取行之有效的措施加以遏制。
在上网行为管理方面,网络督察设备负责对员工上网行为进行事后统计。由于个别员工缺乏信息安全意识,不能自觉安装操作系统补丁,存在病毒和木马通过系统漏洞进行攻击和传播的隐患。因此,仅靠员工的信息安全意识和相关管理规定来防御上网带来的病毒,很难奏效。此外,网络督察设备在事前预防、围堵网页安全风险、流量控制方面的功能非常欠缺,需要改进。
多种举措提升风险防控能力
针对原有网络架构的弊端,中远国际进行了改善,将原有串连网络连接结构改为总分式结构,即将上网行为管理设备、以及接入层交换机的串连结构转变为总分式结构。同时在核心交换机上划分了虚拟网VLAN,将数据信息、语音信息及服务器数据信息有效分割,减少病毒影响范围。
改善网络基础架构之后,网络架构的物理层和逻辑层的设置更加合理,提高了发现问题、诊断问题的速度,同时降低了病毒扩散的风险。目前,中远国际的局域网由数据虚拟网、语音虚拟网和服务器虚拟网构成,按照用户群和应用特征将其区分,避免了病毒的交叉感染。
针对员工随意上网,上网行为管理设备不能进行事前控制和网页过滤的情况,中远国际部署了深信服上网行为管理设备,彻底屏蔽存在安全威胁的网站以及娱乐、体育、股票等非工作网站,同时对员工上网时间和流量进行限制,提高公司4M带宽的利用率,降低病毒入侵的风险。通过网址过滤及相关管理功能,中远国际由原有的单一事后统计向“事前防御、事中监控、事后追踪”多重防护转变,使上网行为管理更加科学、安全、富有弹性,同时更好地满足公司对员工上网管理的要求,更科学合理地统计员工上网行为。在安装了上网行为管理设备之后,中远国际的网络接收数据的峰值在1M以内,接收数据的平均流量在0.5M以内;发送数据的峰值在4M以内,发送数据的平均值在3M以内。总体有效控制在4M带宽内。
深层挖掘防火墙功能,对于提高企业的风险防控能力非常必要。为此,中远国际开启了防火墙的部分关键性安全功能。首先,将服务器部署在DMZ隔离安全区,实现了服务器与内网的安全隔离。这样做一方面能够阻止内网病毒的扩散,保证服务器的安全。另一方面,外网用户在严格的安全限制下(只开放http协议和80端口),通过映射访问这些服务器,以保证服务器安全,并进一步提高内网的安全保障。
另外,中远国际开启了防火墙VPN功能,为应用系统管理员远程进行服务器运行维护提供安全通道,公司局域网的安全性和灵活性大大增强,有效降低了遭遇黑客嗅探的风险,服务器安全性增强。
自从部署了防火墙以后,病毒侵入次数有所下降。而更换杀毒软件以来,公司内部从未出现过服务器控制中心不能升级的情况、未出现客户端防病毒软件无法及时升级的情况,效果符合预期。
在企业的信息安全防护策略中,除了技术手段外,加强对员工进行信息安全意识宣传和教育也至关重要。这是因为,半数以上的数据泄露事件是由于员工缺乏安全防护意识或者故意造成的。
为此,中远国际向公司员工定期发送互联网病毒警告,制定并持续完善信息安全管理方针策略,要求员工树立良好的信息安全意识,并养成操作电脑、访问互联网、处理邮件的正确方式和习惯。同时,为了保证在发生信息安全或者网络安全故障时,能立即响应,采取有效措施,信息安全QC小组制定了信息安全应急预案,并组织员工进行反复演练。
国土与自然资源信息主要服务于土地、矿产、森林植被、湿地生态、水纹气象、海洋资源等基础信息和资源利用情况、变化趋势动态数据的收集、技术处理及预测分析,为政府部门制定规划和发展民生提供决策依据和管理支持,向社会提供公益服务。合理开发利用有限的国土与自然资源是世界各国研究和探索的重要课题,因而国土与自然资源研究成果是国家战略情资的一个重要组成部分。目前,我国的国土与自然资源相关研究单位基本都已经建立起了信息化共享平台,几乎所有的科研成果都利用计算机进行信息处理及信息共享。信息化共享平台为综合研究、数据采集、数据处理、传送、信息共享提供了充分的便利条件。但在享受网络环境所带来的便利的同时,国土与自然资源信息安全成为了一个迫切需要解决的问题。我国的资源信息安全平台发展较信息化共享平台滞后,导致我们的国土与自然资源研究成果信息受到来自网络的安全威胁,国土与自然资源信息服务器受到恶意攻击和篡改,核心研究成果信息失密,重要的数据丢失甚至被恶意破坏。所以保护国土与自然资源信息数据的完整性、可靠性和可利用性就显得越来越重要了。本文试图通过分析目前资源共享平台的不足,利用现有的信息安全技术为资源网站的探讨建立一种安全的信息平台模式。我国国土与资源研究的建设现状表明,资源信息化平台安全性水平与发达国家相比还存在较大差距。目前常用的安全技术包括:数据加密、用户权限、访问控制、防病毒软件、防火墙技术等,但都只是单一的应用,缺乏系统性以及完善的应急响应机制。而由于操作系统漏洞的不可避免性和攻击技术的不断发展成熟,网络攻击者的手段也越来越高明,仅依靠单一的防御手段已经很难应对这些不断更新的非法攻击与入侵。在网络安全体系中,仅利用一种或几种安全技术是不够的,除了利用成熟的安全防护技术以外,还需要配合主动检测以阻止非法入侵者入侵,以保证计算机信息系统的安全可靠和正常运行。因此要求我们必须建立一个确保资源信息保密性、完整性、可用性的信息安全模型。
1计算机网络安全模型的基本设计依据
计算机网络安全体系结构不仅仅是一个纯技术问题,也是涉及法律、管理、技术等方面综合因素的复杂的人机系统问题。国土与自然资源网络安全体系结构应该是一个能全面解决信息系统安全的体系结构。从总体出发,应该考虑制定网络的安全策略,建立安全机制,明晰访问权限,具备安全防护、攻击检测、数据加密、数据恢复等技术防范和安全管理防范并重的安全体系。通常网络入侵具有瞬时性、专业性、广泛性、隐蔽性等特征,因此资源信息网络安全体系结构必须具备静态、动态和纵深防御的能力。网络安全的发展始于国外发达国家,相较我国的信息安全技术有较大的优势。我国的科研人员在借鉴国外先进技术的基础之上,信息安全技术的研究开发也取得了长足的发展,特别是近年来的成就尤为明显,从信息、网络、系统层次、时空等多方面考虑设计,已经建立具备动态监测、立体配置、快速应急响应、容灾、技术防范和制度管理防范并重的信息安全体系。从技术角度看,引起网络安全的主要原因有以下几个方面:(1)微机的安全结构设计过于简单。为了节约成本,个人计算机中去掉了很多成熟的安全防范机制,程序不经认证就可以执行,系统区域的数据可以随意修改,这样木马、蠕虫、病毒等恶意程序就可乘机泛滥。(2)系统软件、应用软件设计时漏洞无可避免。无论考虑多么成熟,在软件设计的过程当中总存在这样那样的缺陷,一些黑客就利用这些漏洞入侵,给信息系统造成损失。(3)网络缺陷。由于网络协议的复杂性,使得网络协议的安全证明和验证十分困难,无法避免在网络协议设计中存在安全缺陷。针对网络安全问题产生的原因,人们设计了各类安全模块或是单元。通常一种安全模块无法解决所有安全问题,为了全面解决面临的安全威胁,一般把计算机网络安全看成一个由多个安全单元组成的集合。其中,每一个安全单元都是一个整体,包含了多个特性。可以从安全特性的安全问题、系统单元的安全问题以及开放系统互连(ISO/OSI)参考模型结构层次的安全问题等三个主要特性去理解一个安全单元。多个安全单元构成安全体系,利用各单元各自的安全特性,解决系统面临的安全问题。在此,我们通过分析国内外现有主要的网络安全体系结构,将适合的安全单元引入到资源信息系统的设计中来,以期待解决资源信息系统面临的各种安全威胁。国内外主要的网络安全系统体系结构模型框架就其发展过程主要有如下两个阶段:(1)三维计算机信息安全体系结构的建立。ISO7498-2从体系结构的观点描述了ISO基本参考模型之间的安全通信必须提供的安全服务及安全机制,并说明了安全服务及其相应机制在安全体系结构中的关系,从而建立了开放系统体系结构框架,(图略)。(2)自适应网络安全体系模型的建立。传统的安全模型是“静态安全体系模型”,随着网络互联技术的深入,静态的模型已经不能完全适应日益突出的网络安全问题和安全需求,自适应网络安全体系就应运而生了。自适应网络安全体系或称动太网络安全体系的理论安全模型是P2DR模型。此模型引入了时间的概念,对如何实现系统的安全及评估系统的安全状态给出了可操作性的描述。动态网络安全体系模型如(图略)网络安全框架模型中均包括各种网络安全组件,如防火墙、加密和认证系统、入侵检测系统、防病毒系统、漏洞扫描和补丁系统、灾难恢复、攻击陷阱、攻击反击等。网络安全框架模型主要定义所使用的安全组件以及模型内各安全组件的关系。静态网络安全组件的防御能力是固定的,不能随着环境的变化而不断变化,而攻击者的攻击能力是不断提升的。动态的模型相对静态模型能及时的跟踪入侵行为,合理地调整安全策略,但缺乏管理层面的介入,也是不完整的。
2计算机网络安全体系模型在国土与自然资源信息安全系统中的研究及应用
网络安全模型只是一种抽象的数学模型,最终我们要将抽象模型加以实现,应用到一个特定的信息安全平台中。我们现在就是要实现网络安全模型在国土与自然资源信息平台中的应用。根据安全模型的构想,首先要对信息网络进行充分的需求性分析,对信息系统的功能及安全性能要求有一个预估。然后根据需求分析给出合理的设计方案。
2.1资源信息系统的需求性分析国土与自然资源信息系统是国土与自然资源研究的重要组成部分,有着其独特的作用或地位。信息系统承载着研究的科研选题、调研、数据采集、数据建模、数据分析、技术处理、预测分析、信息检索、信息等任务。加之现代办公均采用办公自动化方式进行,人事管理、财务管理、项目管理、文件处理等均面临网络安全方面的威胁,均需纳入信息安全系统设计的范畴。
2.2资源信息系统的功能性分析然而,对于系统中各节点的功能有所不同,防御重点及访问权限亦有所不同。我们对国土与自然资源信息系统的节点功能进行分析,以网络安全模型防御重点设计思路为出发点,结合各节点的主要功能和特有的安全需求,将系统划分成不同等级的安全防御区域。主要划分以下几个功能区域,一是关键网络区(也称核心网络区):主要包括核心项目管理、关键研究成果、核心实验区、财务管理等;二是重点网络区:办公区、技术处理、预测分析、数据采集、信息检索、调研、信息等;三是一般用户区:普通接续用户。