時間:2023-06-06 09:01:19
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇網絡安全研究現狀范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
由于信息技術高速發展,越來越多的人開始重視互聯網的安全問題,互聯網中包含了大量的用戶信息,會導致出現網絡安全問題,這也對人們使用互聯網造成了一定的影響。只有認真分析當前網絡安全的現狀,找到問題的關鍵,并根據出現的問題找到本質,才能更加有針對性地解決網絡安全問題,讓廣大用戶更加安心的使用互聯網。
一、網絡安全的發展現狀分析
1.安全工具的應用缺少相應規定?;ヂ摼W由于使用范圍廣的原因會涉及到生活和工作的方方面面,這就會產生很多種類的安全工具,但是沒有統一專業的管理,這就讓網絡安全系統中會存在用戶濫用的情況。由于種類繁多,系統的安全軟件缺乏必要的安全技術作為支撐,會讓黑客對這種情況加以利用,破壞網絡的安全管理工作[1]。網絡安全工具一旦被黑客利用,就會對網絡進行攻擊,產生巨大的安全隱患。
2.固有的安全漏洞變得日益明顯?;ヂ摼W的安全系統往往都會存在不同程度的漏洞,這些漏洞中難免會存在設計人員故意操作,為的是以后一旦發生意外,可以更加順利地進入系統。但是就因為這個漏洞,一些非法的人員,就會充分利用這個黑洞,對系統進行破壞和攻擊。更有甚者,破壞者會根據這些漏洞,發現一些鏈接,不但能夠增加網絡系統的負荷,在用戶再次使用的時候出現“請求超時”的字樣,還會通過一些渠道傳播這些鏈接,嚴重損壞網絡的正常使用。
3.網絡設備本身存在的安全問題。網絡設備自身也會存在一定的安全問題,這些安全問題一旦被有某些意圖的人發現并加以利用,就會嚴重影響到網絡的安全。例如,眾所周知,互聯網分為有線和無線網絡,有線網絡相對比無線網絡更加容易出現問題,這是因為,黑客可以利用監聽線路,以此對信息進行收集,這樣就可以得到大量的信息[2]。與此同時,通過有線的連接,一旦其中的某一個計算機受到的病毒的襲擊,那么會導致整個網絡系統變得癱瘓,整個網絡都無法再次使用,引發嚴重的網絡安全問題。
二、未來網絡安全技術發展的趨勢
1.網絡安全技術產業鏈要轉變成生態環境。網絡技術在最近幾年不斷發展,并開始進行了跨界合作,這讓網絡安全技術的概念發生了轉變。網絡安全技術已經不僅僅是技術產業鏈,而是在產業鏈中不斷有新的進入者,打破傳統的思維模式,尋找更加優秀的開發商和戰略合作伙伴。產業價值鏈在計算機產業和行業融合的大軍中,不斷成長,也發生了很大的轉變和分化、重新組合,導致價值鏈有著越來越復雜的結構[3]。由于參與者之間也存在競爭關系,現如今已經使用“生態網絡”來描繪網絡安全技術的產業鏈。生態環境的生存法則就是:任何環節都是有可能被替換,這將取決于他的整個影響力;此外,生態環境具有很快的發展速度,參與者需要具備較強的適應能力和觀察力。
2.網絡安全技術優化向智能化、自動化方向發展。網絡安全技術的優化過程是長期的,并能夠貫穿整個互聯網發展的過程。網絡優化的步驟是:對采集的數據進行分析,并進行跟蹤,對信息進行測試,分析等,通過對整個網絡安全技術進行分析,才能夠找到問題的本質,通過改善網絡的軟件和硬件的配置,能夠促使網絡的最佳運行模式,高效利用有限的資源。網絡優化不斷發展,并逐漸朝著智能化和自動化的方向發展和進步,出現了人工智能專家,這就打破了原有的思想,通過智能決策支持系統,可以更加有效地對機制進行運用,針對網絡中存在的問題,網絡優化人員能夠給出合理的解決方案。
3.向大容量網絡發展?;ヂ摼W技術的不斷發展,使得原有的數據業務無法滿足當今的使用需求,這就對路由器以及交換機的處理能力提出了更多的需求。未來每過10個月,互聯網就能夠增長一部的寬帶,以此來支持業務的發展需求。網絡技術就是朝向大容量網絡發展,也可以通過交換硬件,以此來轉發引擎,提供了使用的性能。通過使用大容量交換矩陣和網絡處理器,都讓網絡安全得到保證,解決了可能出現的安全問題,這已經得到了普遍的共識??偠灾?,由于互聯網技術的出現,人們的生活和工作都有了極大的便利,但是互聯網能夠傳遞大量用戶的使用信息,網絡安全受到了廣泛的關注。只要不斷進行分析和研究,找到問題的本質,并加強技術的發展,提供更加安全和優質的網絡服務。
參考文獻
中圖分類號:TP393 文獻標識碼:A
作為網絡安全態勢感知(Network Security Situation Awareness,NSSA)研究的核心內容,網絡安全態勢評估已經得到了國內外的廣泛關注。
Time Bass于1999年在文獻中首次提出網絡安全態勢感知的概念,其目的是關聯相互獨立的IDS以融合攻擊信息用于評估網絡安全。同年,Andrew Blyth在文獻中提出了通過觀察黑客的攻擊足跡從而進一步定性地評估網絡受到的安全威脅。但是他們僅限于理論上的研究,并未對理論模型進行實現。2001年,Information Extraction & Transport在研究攻擊的檢測方法和攻擊對網絡安全的影響時,為了檢測廣域計算機的攻擊和評估態勢響應,開發了一種SSARE工具,將理論方法付諸應用,但是由于該工具所用方法過于依賴專家主觀經驗,因此為了解決這個問題。
2005年,Jajdia等人以檢測網絡系統弱點為目的,設計了一種拓撲弱點分析工具TVA,該工具可以通過分析拓撲弱點來評估網絡的安全狀況。2011年,Gabreil Jakobson等人在文獻中提出了影響依賴圖的概念,設計了基于影響依賴圖的網絡安全態勢評估方法,加強了對復合攻擊的評估。2012年,Stephen E.Smith在文獻中提出綜合利用現有網絡安全工具,包括流量分析工具、脆弱性掃描工具和入侵檢測系統等,以便于全面評估和保護網絡安全,并以現有工具的集成為目的對系統進行了設計。
國內學者對網絡安全態勢評估方法的研究相對較晚,理論及應用研究均亟需進一步提高與完善。
為了綜合考慮攻擊和脆弱性對網絡安全的影響,考慮到攻擊和脆弱性之間存在對應關系,韋勇于在2009年提出了通過匹配攻擊所依賴的脆弱性信息與目標節點的脆弱性信息來獲取攻擊成功支持概率。基于對攻擊和脆弱性之間、脆弱性和脆弱性之間的關聯關系的考慮,劉剛于2012年針對網絡中節點的漏洞和攻擊層面的風險分析需求,提出了漏洞信度和攻擊信度的概念,做到了將網絡中的漏洞信息和攻擊信息進行關聯。王坤等于2016年通過對已有網絡安全態勢評估方法的分析與比較,提出了一種基于攻擊模式識別的網絡安全態勢評估方法。首先,對網絡中的報警數據進行因果分析,識別出攻擊意圖與當前的攻擊階段;然后,以攻擊階段為要素進行態勢評估;最后,構建攻擊階段狀態轉移圖(STG),結合主機的漏洞與配置信息,實現對網絡安全態勢的預測。
對以上研究現狀進行分析可知,國內外研究者一般以網絡攻擊、網絡脆弱性、網絡性能指標變化以及它們的綜合影響為側重點來研究網絡安全態勢評估方法。因此,根據研究側重點的不同可以將網絡安全態勢評估方法分為三個基礎類:面向攻擊的網絡安全態勢評估方法、面向脆弱性的網絡安全態勢評估方法和面向服務的網絡安全態勢評估方法。對三類網絡安全態勢評估方法的介紹見下表。
參考文獻
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
doi:10.3969/j.issn.1673 - 0194.2015.24.068
[中圖分類號]TM73 [文獻標識碼]A [文章編號]1673-0194(2015)24-00-01
隨著計算機技術的不斷發展,其被廣泛應用于電力行業網絡信息管理中,但隨著網絡平臺開放性的不斷增加,信息網絡安全問題也逐漸引起了人們關注,在此基礎上,為了給予用戶一個良好的網絡服務平臺,要求當代電力行業在發展的過程中也應注重對信息網絡安全措施的應用,以此達到良好的信息管理目標。以下就是對電力行業信息網絡安全現狀的詳細闡述,希望能為當代電力行業的健康穩定發展提供借鑒。
1 當前電力行業信息網絡安全現狀分析
1.1 安全防范意識薄弱
經過大量的調查數據表明,我國互聯網用戶正在以每年34%的速度持續增長中,因而在此背景下,安全防范意識的薄弱會在一定程度上影響信息管理工作的有序開展。同時,當前電力行業在信息網絡安全管理中也逐漸凸顯出防范意識較為薄弱的問題,即部分電力部門在內部數據整合過程中未實現網絡安全維護平臺的構建,導致信息管理人員在實際工作開展過程中無法全面掌控到信息管理現狀,導致信息安全風險問題凸顯。此外,未實現對本單位網絡安全現狀的清晰認知也是當代電力行業信息管理中體現出的主要問題,為此,電力行業在發展的過程中應提高對此問題的重視程度,且應注重培養信息管理人員形成主動預防意識。
1.2 病毒泛濫
近年來,隨著網絡病毒侵襲案件的不斷增多,公安部門出臺了《第九次全國信息網絡安全狀況與計算機病毒疫情調查報告》,并在報告中明確指出網絡病毒侵襲事件已經占據了全部類型的70%,為此,應注重強化對其的有效處理。此外,從電力行業信息安全網絡現狀分析中也可看出,隨著計算機病毒木馬品種的不斷更新,其對殺毒軟件的整體能力也提出了更高要求,但由于部分電力部門未引進新型的殺毒軟件,導致其在實施信息管理工作的過程中逐漸凸顯出病毒泛濫的現象,最終由此影響到整體信息管理水平。另外,由于網絡病毒主要存儲于網頁及移動介質中,在此基礎上為了提升信息管理的安全性,要求電力部門在發展的過程中應注重結合病毒傳播特點采用有針對性的病毒防御手段。
1.3 存在系統安全風險
系統安全風險也是影響電力行業信息網絡安全管理的因素之一,而導致系統安全風險產生的原因主要歸咎于以下幾個方面:第一,在電力系統網絡運行過程中需要通過服務器及交換機系統來開展服務環節,但由于部分電力部門此類系統中存在著一定安全漏洞,致使其在網絡信息管理過程中易受到系統安全風險的影響而凸顯出服務器配置錯誤現象,最終由此影響到信息的有效管理;第二,網絡通訊缺乏相應的安全機制也是系統安全風險的主要問題之一,為此,電力部門在開展網絡信息管理工作的過程中應著重對其提高重視。
2 提升電力行業信息網絡安全的對策
2.1 加強系統漏洞掃描
在電力行業信息網絡安全管理中加強系統漏洞掃描是非常必要的,對此,首先要求信息管理人員在實際工作開展過程中應注重強調對系統安全脆弱性的檢測,繼而在掌握系統實際運行狀況的基礎上,及時發現計算機系統應用過程中存在的安全風險問題,并對此問題展開有效解決,最終達到良好的安全漏洞處理狀態。其次,在系統漏洞掃描過程中注重對漏洞掃描技術的應用也至關重要,即有助于促使電力行業在復雜的網絡環境中能對網絡層及操作系統層展開有針對性的掃描行為,并將掃描結果以安全評估報告的形式展現出來,提升電力行業信息網絡安全管理的整體效率。
2.2 加強網絡安全教育
加強網絡安全教育有助于提高電力行業信息管理人員信息安全防護意識,因而在此基礎上,當代電力行業在發展的過程中應強化對其有效落實,且應注重安排相關工作人員參與到培訓項目中,使其在培訓過程中形成良好的網絡安全意識,并在實際工作開展過程中加強信息安全防護措施的實施,最終由此避免安全風險的產生影響到信息網絡安全的有效管理。此外,在網絡安全教育工作開展過程中注重宣傳網絡病毒防護也非常必要,即其有助于相關工作人員在信息管理的過程中規范自身操作行為,避免不規范操作現象感染網絡病毒。
3 結 語
就電力行業信息網絡安全管理現狀來看,其在實施信息管理工作的過程中仍然存在著系統安全風險、病毒泛濫、安全防范意識薄弱等相應的問題影響到了信息管理工作的有序開展,因而在此背景下,電力部門在發展的過程中應從加強安全教育工作入手來引導信息管理人員在實際工作開展過程中提高自身網絡安全意識,避免系統安全風險的產生影響到信息的安全性。另外,系統漏洞掃描行為的開展也有助于信息網絡安全的管理,為此,對其應提高重視。
主要參考文獻
計算機網絡的出現,改變人類生活,縮短了人與人之間在時間、空間上的距離,雖然計算機網絡發展時間并不長,但人們對其依賴程度卻不小,人們會將很多信息都存儲到計算機上,但計算機網絡安全問題也逐漸增多,很容易給企業、個人帶來損失,因此,做好計算機網絡安全防御就成為現階段最重要的工作。
1 計算機網絡安全現狀
雖然我國應用計算機網絡的時間并不比國外短多少,但存在于計算機網絡安全中的問題依然沒有得到徹底解決,嚴重降低了人們安全使用計算機網絡的信心,尤其近年來,利用網絡進行破壞活動的不良分子逐漸增多,因此怎樣減少網絡犯罪,提高計算機網絡安全性就成為人們最關心的問題。對于計算機網絡安全情況具體可以從以下幾點看:
1.1 硬件缺陷
對于計算機網絡來說,在運行中最不可缺少的就是硬件,它是計算機運行的根本,然而,現有計算機網絡卻存在嚴重的硬件缺陷問題,很容易出現網絡信息失竊等情況[1]。在眾多的硬件缺陷中,最嚴重的莫過于電子輻射泄露,一旦發生這種情況,存儲在計算機中的重要信息都會丟失,這也是計算機網絡中最難解決的問題。此外,信息資源通信部分還存在安全隱患,特別是各種用于傳輸信息的線路很容易被非法分子截取,進而引起信息泄露與丟失。
1.2 操作系統不健全
計算機是否安全與網絡有直接關系,用戶在使用計算機的過程中,需要利用操作系統連接網絡,并進行相應操作,如果操作系統不健全就會給計算機安全帶來威脅,如果操作系統內核技術過于落后,面對復雜的網絡環境,很容易出現操作失誤的情況,進而引發網絡安全危機。所以,一定要重視計算機操作系統的維護,及時修補系統漏洞。
1.3 軟件把控存在問題
通過研究計算機網絡安全問題得知,由于軟件把控存在問題的事件數不勝數,其主要原因是相關工作人員并沒有重視軟件把控,使得軟件市場十分混亂,部分設計本身存在缺陷的軟件也被不明所以的用戶安裝使用,這樣一來,就給計算機網絡安全帶來巨大威脅,所以,相關工作人員與部門應重視對軟件的把控,認真檢查所有軟件,只有這樣才能減少安全事件的發生,確保財產不受損失。
2 計算機網絡安全防御技術
2.1 防火墻技術
為加強計算機網絡安全防御,首先要從防火墻設置入手,設置好防火墻可以確保信息安全,并根據系統設置自動確定是否進行數據傳輸。對于防火墻而言,它既可以是計算機上的一個硬件,也可以是安裝在硬件上的軟件,在設置完防火墻以后,可以確保信息順利傳遞,保證工作順利完成[2]。同時,將防火墻應用到計算機網絡中,用戶還可以清楚的了解到其訪問情況,并從中獲得自己想要的數據。防火墻技術的應用可以保護內外網絡,它是最可靠最常用的網絡安全防御技術之一。
2.2 加密技術
為做好信息安全保護工作,還要做好信息編碼工作,將重要且真實信息隱藏起來,以便實現對用戶數據的保護,這就是常說的加密技術。對于數據加密來說,可以采用三種方式,一種是對鏈接進行加密,也就是對網絡節點加密,由于節點不同,所設置的密碼就不同,這樣一來,只有信息融入到節點以后才能完成解密。第二種是節點加密,這種加密方式與銜接加密十分相似,其差別在于數據在節點傳輸的過程中,并不是用明碼格式加密,而是需要應用到類似保險箱之類的設計,然后再解密或加密[3]。第三種,首尾加密,這種加密方式應用較多,就是在數據進入網絡后再加密,并在數據傳輸前完成解密。這些加密技術都可以保護計算機網絡安全,
2.3 病毒防御技術
隨著科技與網絡技術發展,計算機網絡也隨之不斷發展,信息傳輸速度也越來越快,盡管方便了人們使用,但同時也給計算機網絡安全使用帶來較大威脅,如病毒傳輸速度也隨信息傳輸速度的增長而增長,一旦病毒入侵到計算機,就會在很短的時間內遍布整個網絡,給人們生產生活帶來無法估計的損失。為減少病毒對計算機網絡的侵襲,強化病毒防御就成為最重要的工作。對于病毒防御技術來說,應全面監測與掃描網絡傳輸中的各個文件,并自動識別非法信息,如果用戶在利用計算機對某些文件或網站進行訪問的過程中,病毒防御系統檢測出存在病毒,就要給予用戶提示,并強制用戶關閉該網頁,這也是減少病毒入侵的有效方式。
2.4 身份驗證技術
要做好計算機網絡安全,防止存儲在計算機中的信息不受非法利用,就要做好密碼身份驗證,只有這樣才能確保信息完整。所謂的身份驗證技術來說,最重要的就是對使用計算機的人員進行身份核實,在用戶開啟計算機以后,系統會將經驗證信息自動發送到界面上,以便了解用戶是否合法,如果通過驗證,用戶就可以訪問與使用計算機,如果驗證失敗,用戶將被限制使用權利,計算機也會自動關閉。此外,為保證計算機網絡安全,還需要將審計與跟蹤技術應用到計算機網絡中,該技術的作用就是檢查與記錄業務往來情況,該技術的典型代表有入侵檢測系統,其主要作用是防止不良分子進行網絡攻擊,及時彌補防火墻漏洞,并通過這樣的方式逐步擴大管理員管理范圍,保證計算機始終處于安全運行狀態,進而完善信息安全結構[4]。
3 結束語
通過研究發現,計算機網絡已經成為現代人生產生活中不可缺少的一部分,很多人都將重要信息存儲在計算機上,保護計算機網絡就等于保護財產,但由于受多種因素影響,計算機網絡安全問題層出不窮,這就需要相關工作人員做好網絡安全防御設計,應用最新防御技術,只有這樣才能逐步提高計算機網絡安全性,防止企業與個人遭受損失。因此,本文聯系實際情況,提出了幾種加強計算機網絡安全的防御技術,希望能為相關人士帶來參考。
參考文獻
[1]朱玉林. 計算機網絡安全現狀與防御技術研究[J]. 信息安全與技術,2013,01:27-28+56.
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)21-0140-02
隨著信息時代的日益深入,人們對網絡越來越依賴,互聯網逐漸成為了人們生活的一部分?;ヂ摼W本質上是對所有人群開放的網絡系統,然而由于網絡用戶在系統安全和信息保密方面的缺陷,加上網絡技術快速發展帶來的破壞和攻擊威脅日益加劇。本文系統介紹了網絡安全的含義、特性,同時對網絡安全進行了現狀分析,并且提出了幾種主要的安全威脅,最后提出了相應的防范對策來增加網絡的安全性。
1 簡介
1.1 概念
網絡安全就是指利用各種管理措施和網絡技術,對系統軟件、硬件以及數據等進行保護,避免其受到惡意或偶然的泄漏、更改或破壞,保證網絡系統的完整性、可用性和保密性。對于網絡安全的定義,不同的應用環境和不同的角度會有不同的概念。
1.2 特性
1)保密性,保密性就是指對于沒有授權的用戶無法訪問數據。保密性包括數據存儲保密性和網絡傳輸保密性兩個方面。通過控制訪問來實現保密性指數據存取的保密性。通過同股溝加密傳輸數據來實現保密性稱為網絡傳輸的保密性。
2)完整性,完整性就是指數據未經授權不可以更改,也就是說保證在傳輸或存儲數據的過程中保證數據不被破壞、修改以及丟失等。
3)可用性,可用性指的是實體在授權的情況下,當需要時可以訪問和存儲所需信息。
4)不可抵賴性,不可抵賴性指的是信息交互時要對參與者進行同一性確認,參與者不可以對曾經的承諾和操作抵賴或否認。
5)可控性??煽匦灾傅氖侨藗兛刂菩畔鞑热荨⒎秶约巴緩降哪芰?。
2 現狀
在國內,網絡安全產業是一個新興產業,發展不成熟,即便網絡用戶知道網絡存在的安全威脅,也不清楚這些威脅的來源、起因和后果等。網絡安全威脅主要包括有意和無意兩種類型。無意威脅指的是自然災害、設備故障以及人為誤操作等方面,有意威脅主要是指計算機犯罪、竊聽等人為破壞。
1)人為失誤。人為失誤主要是指人無意的行為,比如說操作不、口令丟失、資源訪問失當、配置失調以及不小心讓無權限人進入網絡等,這些都會極大地威脅網絡系統的安全性。
2)病毒。網絡病毒對于計算機網絡安全的危害最大,它具有隱蔽性、潛伏性、傳染性、可觸發性以及繁殖性等特點。病毒入侵網絡會造成網絡資源的破壞或損失,不但會浪費財富和資源,還會導致社會性災害。病毒在以前主要是對計算機內部的信息進行破壞,導致系統癱瘓,而目前的病毒一般結合黑客程序,使得用戶的敏感信息被竊取,造成巨大的危害。
3)非法入侵。非法入侵指的是未授權實體非法進入、訪問或破壞網絡資源,也就是常說的黑客。他們通過一定的網絡技術非法得到訪問權限,進而進入網絡系統達到竊取或破壞用戶信息的不良企圖。黑客具有攻擊性強和隱蔽性好等特點,目前缺少對其反擊的有效措施,使得黑客成為了主要的網絡威脅。
4)管理不當。通過嚴格管理網絡通信系統可以保證企業、機構及用戶免受攻擊。然而,很多企業或系統都很少重視這方面的管理。目前,美國大部分網站都會遭受到黑客的攻擊,約有75%的企業信息都有可能被盜用。此外,管理的缺陷還可能造成系統內部人員竊取內部機密或者泄露機密或外部人員通過不正當手段截獲而導致公司內部機密信息泄露,從而使一些不法分子有可乘之機。因此,加強內部工作人員的監管督導也顯得格外重要。
5)網絡的缺陷及漏洞。由于Internet共享性和開放性的特點,使得網上信息安全本身就存在不安全性。因為TCP/IP協議本身就缺乏牢靠的安全機制,而且因特網在設計的過程中也沒有太多考慮安全問題,因此它在安全可靠和方便性等方面存在著很多的不足。
6)隱私及機密資料的存儲和傳輸。假如系統遭受到黑客的非法攻擊,網絡系統內的機密資料,如不采取防衛措施,很容易被黑客跟蹤最終導致信息泄密。同樣,機密資料在網絡中傳輸,由于要經過多個子系統的節點,而每個節點安全性都難以保證,因而信息在任何情況下都有可能被盜取。
3 防護措施
網絡安全的保證要依靠多種網絡技術的綜合運用,主要的網絡安全技術有以下幾種。
1)虛擬網絡。虛擬網絡的基礎是局域網、以太網及ATM的交換技術,保障信息準確到達目的地,避免了網絡監聽的非法入侵,利用控制訪問的方法,保護虛擬網絡內部節點不被網絡外部節點訪問。
2)防火墻。防火墻主要是使得網絡間的控制訪問得到加強,避免網絡外部用戶的非法訪問入侵,確保網絡內部安全的操作環境。
3)病毒防護。病毒防護是指對病毒的傳播進行阻止,檢測和消除病毒,升級病毒數據庫、安裝ActiveX和Java軟件,對未授權的控件安裝或下載進行控制等方面。
4)檢測入侵。檢測入侵能夠對入侵檢測進行實時供應,從而采取防護措施,可以應對網絡內部的安全威脅,可以使得黑客入侵時間縮短。
5)安全掃描。聯合安全掃面、系統監控以及防火墻技術可以使得網絡的安全性得到很很大的提高,安全掃描器雖然不可以實時監控,但是可以對系統安全性進行檢測和評估,可及時發現系統漏洞。
6)數字簽名和認證。數字簽名和認證的目的是解決通信雙方在通信過程中的身份確認,通信傳輸過程中的不可否認的實現也是通過數字簽名完成的。
7)VPN。VPN主要是負責為因特網提供雙向安全通信和透明加密方案,從而使得數據信息的保密性和完整性得到保障。
8)系統應用安全。系統的應用安全相對復雜,它主要涉及操作系統安全、電子郵件安全、網絡服務器安全以及域名服務安全等方面。
4 小結
目前,通信技術和計算機網絡技術進入了迅猛發展階段,互聯網逐漸深入到人們的生產和生活中,信息流動量巨大,同時也帶來了個人私密信息可能被入侵或破壞的威脅,由此帶來的網絡安全問題日益加劇。網絡安全全面意義上來講既包含系統本身的安全,又包括邏輯結構和物理結構的安全。必須綜合各種先進的網絡技術才能夠保障整個計算機網絡的安全。
doi:10.3969/j.issn.1673 - 0194.2015.12.035
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)12-00-01
當前的信息網絡越發龐大,涵蓋的用戶和節點也日趨擴大,在這個流通量極大的節點上,只要一個小小的位置出現安全威脅,就會產生非常危險的結果。因而隨著網絡的包容性和開放性的不斷擴大,網絡安全技術的進步也變得越來越重要。網絡本身的連通性和傳遞性使網絡安全防護必須面對比自身多得多的威脅,因而要全面思索應對各種各樣層出不窮的問題。
1 網絡技術安全情況現狀分析
網絡安全技術的發展是隨著網絡技術的進步而進步的,網絡發展對安全防護水平提出更高的要求,從而促進網絡安全技術的發展。近年來,我國的網絡覆蓋發展極為迅猛,而網絡技術也隨之普及到了各個用戶身上。在網絡安全方面,我國的基礎網絡防護措施達標率呈上升趨勢,面臨的風險程度也稍有下降,總體而言并沒有隨著網絡的拓展而陷入更大的安全威脅之中,但也必須承認在安全技術的發展方面,還有很多不足。
我國面臨的網絡安全風險并沒有很大程度地降低,依舊面臨傳統和非傳統的安全威脅,受到的網絡攻擊也呈上升趨勢。網絡安全威脅可謂無處不在,而其種類更是復雜多樣。因此,在網絡安全技術的發展方面,也呈現出全方位和多點開花的狀況,從防護、應對及數據恢復等多方面全方位推進,并創立了網絡安全模型。只有在多重安全措施并行的情況下,才能將網絡安全威脅的生存空間壓制到最小。
網絡安全技術如同網絡的大門和墻壁,是以對訪問進行排查、對系統進行清理和搜檢及對網絡權限的部分限制為主體的多層次全方位綜合體。
2 威脅網絡安全的幾大因素
2.1 系統不穩定和容易被利用漏洞破壞
網絡的安全漏洞一般而言不容易完全避免,在設計之初并不能做到盡善盡美。就現在的情況而言,漏洞的蔓延往往防不勝防,很難及時發現漏洞侵襲,導致真正需要應對時早已損失慘重。一旦重要部分如操作系統遭到漏洞攻擊,其造成的損害也非常巨大。安全技術防護面臨的節點數不勝數,但攻擊者只需要突破其中一點,就可以造成大片的損失,這是由網絡本身的結構所決定的。
2.2 網絡管理制度缺位
就管理制度而言,現階段網絡管理缺少一套整體適用的系統方案,在標準方面往往各自為政,大多數情況下都是根據各自需要選擇相應的安全手段,從而形成一個配合并不密切的整體。這樣如同臨時七拼八湊起來的結構,自然無法面對無處不在無從預防的網絡侵襲。雖然部分企業從全局出發進行安全技術設計,但是軟件和硬件本身的隔離,以及國家在系統軟件方面的力不從心,導致其自身的努力并不能完全實現。要完全改變現狀,就要從整體上重新設計架構,盡量明確管理,確定責任,并完善自身的防御功能,以緩解危機。
2.3 網絡對應安全策略缺乏
現階段已正式建立了計算機網絡安全體系,但其應變不及時,在安全體系遭到破壞之后,恢復和修復工作不甚理想。而事先預防的難度又太大,難以完全做到防患未然。因此,企圖依靠預防來進行完全控制并不現實,而完全依靠恢復和補救的方式又比較被動。應急性的方案并不多,可以操作的臨時安全系統也缺乏實用性。“第二道防線”的建立,還需要付出更多的努力。
對應的安全策略缺乏,還體現在面對各類不同的網絡侵襲行為時,由于相關的安全防護手段有其特定的安全防護范圍,不得不依靠多種安全技術互相堆疊,而這些技術可能會互相沖突,或者導致其中一部分失效,從而影響安全技術的整體應用和各個部分的有效發揮。
2.4 局域網的開放性漏洞
局域網是建立在資源共享的基礎上的,因此其安全防護并沒有互聯網那樣嚴密,但是由于準入機制過于疏松,導致內部數據很容易被混進來的操作混亂和遺失。如局域網很容易被網絡釣魚者接入,然后竊取和篡改其資料,造成巨大的損失??傮w來說,要在建設局域網的時候加強其端口的準入設計,對于連接外網的情況,要有足夠的審核方式來進行篩選和控制。
3 網絡安全技術的發展前景
當前網絡技術存在的缺陷是“道高一尺魔高一丈”的狀況的體現,被動的安全技術對主動的破解技術而言是處于劣勢狀態的。但這并不會影響到網絡安全技術的發展前景,正因為面臨著更多安全威脅,才會刺激網絡安全技術的進一步發展,從而實現更高的飛躍。
3.1 安全防護模式進入智能控制階段
網絡安全技術的發展是在收集數據、分析防御方式、尋找問題的過程中逐步發展起來的,現階段由于僅限于歸納已有的問題,而陷入被動的窘境之中。隨著網絡的進一步優化,相信計算機的智能化會帶動安全技術的智能化,從而自動的進行最優選擇。而隨著未來完善的NGN網絡的建立,相信這樣的控制并非虛妄之言。
3.2 網絡容量的擴展和安全技術覆蓋的擴大
近年來,IP技術不斷發展并擴大業務,網絡安全技術也隨之而動,進一步提高自身的覆蓋深度和廣度。隨著云計算技術的普及和完善,對云數據的保護也成為了需要關注的問題,廣闊的安全防護需求決定了網絡安全技術覆蓋面必將進一步擴大。
主要參考文獻
一、氣象網絡的概念及其結構形式
氣象網絡,簡而言之,指的是將計算機網絡技術應用于氣象領域,使氣象信息網絡化,信息化,方便人們的使用。目前,氣象網絡按照不同的安全等級劃分成三種網絡結構形式:(1)內部局域網(含機要內網),此網要求安全等級極高,各個部門的計算機均在此網上;(2)通過數字專線與相關政府職能機構構成的政務專網,通過不同授權等級共享各級數據資源;(3)公眾互聯網,通過電信寬帶接入氣象網站,供廣大用戶瀏覽?,F代社會氣象信息的大量應用,越來越彰顯其重要性,然而與此同時,網絡的應用也給氣象信息安全帶來了大量的潛在隱患,因此,加強氣象網絡的安全性就非常有必要。
(一)氣象技術的保障需求。當前,隨著氣象業務的不斷發展,氣象應用系統越來越多,對網絡的依賴程度越來越強,網絡安全早已擺在極其重要的位置。尤其是近幾年來,隨著全球氣候的普遍升溫,世界各個地方都面臨著干旱、洪澇、雨雪、臺風等自然災害,氣象技術的觀測、預報功能是人們預防自然災害最有利的工具,而病毒、非法侵入系統等不法行為肯定會影響到氣象技術的發揮,因此,保障氣象網絡安全是必需的。要解決這一問題不可能依靠某種單一的安全技術,必須針對氣象網絡的應用情況,采用綜合的策略,從物理環境、網絡和網絡基礎設施、網絡邊界、計算機系統和應用、安全管理等多方面構筑一個完整的安全體系。
(二)氣象網站的安全需要。全國各級氣象網站是公眾了解氣象政務、天氣預報等信息的重要媒體,通過這一媒介,人們可以根據未來的氣象資料,預先安排自己的生產生活。當前世界聯系日益緊密,任何因素的波動都可能造成無法估量的損失,因此,人們從氣象網站中及時獲取有價值的信息,對于他們來說,是非常重要的。但由于互聯網的安全性較低,隨時都有可能遭到有意或無意的黑客攻擊或者病毒傳播。
二、氣象網絡安全存在的問題
其實影響氣象網絡安全的因素有很多,本文從以下幾個方面進行論述:
(一)氣象網絡管理缺陷。由于全國各級氣象網絡系統在管理制度上普遍存在缺陷,有些基層站沒有專職計算機網絡管理人員,再加上某些基層氣象職工計算機水平較低,機房設備較差,對氣象網絡的安全極為不利。其不安全因素主要表現在:
(1)人為的非法操作。在某些基層氣象站閑雜人員擅自進入機房的現象時有發生,甚至有人隨意使用外來光磁盤。由于制度不到位,防范意識差,隨意的光盤、磁盤放入,有意無意將黑客裝入,給計算機網絡埋下不安全隱患。
(2)管理制度不完善。本應由管理員操作的部分管理工作,擅自交由其他非工作人員進行操作,甚至告訴密碼,致使其他人可以任意進行各種操作,隨意打開數據庫,造成有意無意的數據丟失,有的甚至在與Internet連接的情況下,將數據庫暴露,為黑客入侵創造條件;有的人將密碼隨意泄露給別人。
(3)相關工作人員的失職。氣象部門工作人員的職責不到位,,在Internet上亂發信息,為修改文件破壞了硬件,對“垃圾文件”不及時清除,造成數據庫不完整,資料不準確。
(二)病毒侵入。目前,氣象網絡安全面臨的最大危險就是病毒的侵入。當前網絡中,各種各樣的病毒已經不計其數,并且日有更新,每一個網絡隨時都有被攻擊的可能。計算機網絡病毒充分利用操作系統本身的各種安全漏洞和隱患,并對搭建的氣象網關防護體系見縫插針,借助多種安全產品在安裝、配置、更新、管理過程中的時間差,發起攻擊;有時黑客會有意釋放病毒來破壞數據,而大部分病毒是在不經意之間被擴散出去的。在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件,也會讓氣象網絡染上病毒。
三、解決對策
(一)嚴格的安全管理制度。面對氣象信息網絡安全的脆弱性,一方面要采用技術方面的策略外,另一方面還應重視管理方面的安全,注重安全管理制度的加強。針對安全管理的復雜度,重要的是建立一套完整可行的安全政策,切實管理和實施這些政策。我們需要從以下幾個方面入手:
(1)首先加強人員的安全意識,定期進行網絡安全培訓;其次,制定安全操作流程,有明確、嚴格的安全管理制度。再次,責權明確,加強安全審計,詳細記錄網絡各種訪問行為,進而從中發現非法的活動。
(2)構建安全管理平臺。從技術上組成氣象安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統,網絡設備管理系統,以及網絡安全設備統管理軟件。定期對安全策略的合理性和有效性進行核實,對于氣象網絡結構的變化,應先進行安全風險評估,適時修改安全策略。
(二)防范各種非法軟件攻擊和入侵。網絡的存在必然會帶來病毒攻擊和入侵發生。病毒的攻擊,一方面來自外部,由于應用系統本身的缺陷,防火墻或路由器的錯誤配置,導致非法攻擊輕而易舉的進入網絡,造成氣象業務中斷,數據的竊取和篡改等;另一方面的攻擊來自于內部,內部員工的無意或者惡意的攻擊,也會給網絡的正常運行構成威脅。超級秘書網
目前利用防火墻雖然可以阻止各種不安全訪問,降低安全風險,但防火墻不是萬無一失的,因此,作為防火墻的必要補充的入侵檢測系統(IDS),是第二道安全閘門,在全國各級氣象網絡的關鍵節點配置IDS,可監視信息網絡系統的運行,從中發現網絡中違反安全策略的行為和被攻擊的跡象,監控用戶的行為,對所有的訪問跟蹤,形成日志,為系統的恢復和追查攻擊提供基本數據。在各級建立IDS可以實時對關鍵服務器和數據進行監控,對入侵行為,違規操作進行預警與響應,并通過與防火墻聯動有效阻止來自內部和透過防火墻的攻擊行為。
(三)病毒防護策略。對于網絡病毒的防范是氣象網絡的重要組成部分。目前,氣象網絡的覆蓋面廣,病毒的危害也越來越大,加之傳統的單機殺毒已無法滿足需求,因此急需一個完善的病毒防護體系,負責病毒軟件的自動分發、自動升級、集中配置和管理、統一事件和告警處理、保證整個網絡內病毒防護體系的一致性和完整性。
主要的防范措施是建設覆蓋全國各級氣象信息網絡病毒防護體系,實現全網的統一升級、查殺、管理,防止病毒的交叉感染。包括網關級病毒防護,針對通過Internet出口的流量,進行病毒掃描,對郵件、Web瀏覽、FTP下載進行病毒過濾,服務器病毒防護,桌面病毒防護,對所有客戶端防病毒軟件進行統一管理等。
參考文獻:
一、課題研究情況
1.課題研究背景
隨著教育信息化的不斷發展,以及我國三通兩平臺的不斷建設,絕大部分中小學都建立了自己的校園網,教育部2012年印發的《教育信息化十年發展規劃(2011-2020年)》更是將我國教育信息化的發展進一步細致深化。而校園網絡建設作為教育信息化的基礎工程,直接影響著教育信息化進展及效果。隨著互聯網的隨著互聯網的迅速普及和校園網絡建設的不斷發展,以及我國在教育信息化中一系列重大工程的實施,各大中專院校及中小學相繼建成或正在建設校園網絡。教育部在《2016年教育信息化工作要點》中也指出“實現全國中小學互聯網接入率達到95%,中10M以上寬帶接入比例達到60%以上為學?!???梢娫诨A教育校園網絡已經成為教育信息化建設的重要組成部分。
但是,不容忽視的是,基礎教育階段對于網絡安全的重視程度也還較低,甚至根本無基本的網絡安全意識。因此,本課題通過研究J市基礎教育網絡安全現狀,希望發現基礎教育網絡安全常見的安全問題,并提出相應的策略。
2.課題研究目標。
本課題旨在研究區域范圍內的基礎教育校園網絡安全基本情況,進而了解當前基礎教育在信息化過程中面臨的網絡安全問題。通過調查研究,結合數據分析,分析當前基礎教育校園網絡的基本情況及存在的安全隱患,對本地基礎教育校園網絡的基本情況進行總結分析,掌握基礎教育校園網絡所面臨的主要安全問題,并針對基礎教育校園網絡的實際情況,提出可行的網絡安全防范措施,為基礎教育校園網絡安全提供參考,并期能為本地基礎教育校園網絡建設提供參考數據。
3.課題研究主要內容
(1)掌握當前J市基礎教育校園網絡的基本狀況和網絡應用現狀;
(2)分析當前基礎教育校園網絡安全的基本情況及面臨的安全風險;
(3)影響區域內基礎教育校園網絡安全狀況的成因分析;
(4)針對基礎教育校園網絡安全的狀態提出相關建議及意見;
(5)總結當前基礎教育校園網絡安全現狀,提出在基礎教育校園網絡環境下可行的網絡安全防范措施。
二、課題研究已取得成果
1.完成網絡安全相關理論學習
通過集體學習和分散學習相結合的方法,通過中國知網、相關書籍學習,學習網絡基礎知識。通過理論學習,從理論層面上引導課題成員對課題產生背景、科學依據、教育思想、實踐價值全面把握,加深課題成員對于網絡知識的理解與應用,并了解基礎教育網絡安全的重要性。
2.編制調查問卷,進行調查研究
結合前期理論學習,參考大量文獻資料,課題組完成了《基礎教育校園網絡安全現狀與對策研究》調查問卷的編制。整個調查問卷分為三大部分,第一部分是對校園網絡整體情況的了解,主要研究校園網絡拓撲結構及硬件構成;第二部分主要針對校園網絡安全狀況進行調查,主要包括實體安全、軟件安全、管理安全等方面;第三部分主要調查校園網絡應用情況,對于校園網絡在教育中的應用情況進行調查。其中,第二部分是問卷的核心,通過實體與環境安全、組織管理與安全制度、安全技術措施、網絡與通信安全、軟件與信息安全、無線網絡安全幾個維度展開調查,對基礎教育校園網絡安全現狀進行詳細的調查研究。
三、課題創造性成果說明
結合實際情況,本研究創新之處是預期能夠發現當前基礎教育信息化中校園網絡建設中存在的一些主要問題,發現當前基礎教育校園網絡安全面臨的主要困難,能夠針對當前基礎教育信息化中校園網絡安全現狀提出合理的建議,引起大家對于基礎教育信息化中校園網絡安全問題的關注。
1.基礎教育校園網絡常見安全隱患
(1)無專業網絡管理人員
調查研究中發現部分學校無專門的校園網絡管理人員。網絡管理人員由非專業人員擔任。
(2)無專用的網絡機房
調查過程中發現,部分學校甚至沒有專門的網絡中心。校園網絡核心設備擺放環境隨意,無任何安全措施。同時設備之間的鏈接也比較混亂。
(3)網絡安全意識淡薄
基礎校園網絡由于起步遲、發展慢等原因,目前在基礎教育校園網絡環境中,校園網絡安全意識還較淡薄,整體上對于校園網絡安全并無相關概念。
2.基礎教育校園網絡安全常見措施
(1)強化網絡安全教育,完善網絡管理制度
先進的技術和設備都需要合理的應用。因此首先要從意識上重視校園網絡安全,只有具備了校園網絡安全意識和完善的制度,才能合理應用相關的設備、技術。
網絡環境下保障企業信息的安全性對企業地發展具有重大的、直接的現實意義。深入研究與開發計算機信息安全技術,減少或避免網絡信息系統的破壞與故障,對企業發展具有積極的作用。但就現實發展來看,目前企業網絡信息安全建設仍處于探索階段,優化企業網絡安全,吸取前沿的安全技術,實現企業網絡信息又快又好地發展成為眾企業關注的焦點問題。
一、企業網絡信息安全的基本目標
企業網絡信息安全技術的研究與開發最終目的是實現企業信息的保密性、完整性、可用性以及可控性。具體來講市場化的發展背景,企業之間存在激烈的競爭,為增強市場競爭力,出現盜取商業機密與核心信息的不良網絡現象。企業加強網絡信息安全技術開發,一個重要的目的是防止企業關鍵信息的泄露或者被非授權用戶盜取。其次,保障信息的完整性,是指防止企業信息在未經授權的情況下被偶然或惡意篡改的現象發生。再次,實現數據的可用性,具體是指當企業信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權者在這種情況下仍然可以按照需求使用的特性。最后,確保企業網絡信息的可控性,例如對企業信息的訪問、傳播以及內容具有控制的能力。
二、企業網絡信息安全面臨的主要威脅
根據相關調查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業網絡信息安全造成威脅的主要原因。黑客攻擊或者網絡詐騙也是影響企業網絡信息安全的重要因素。當然部分企業網絡信息安全受到破壞是由于企業內部工作人員的操作失誤造成。總之威脅企業網絡信息安全的因素來自方方面面,無論是什么原因造成的企業網絡信息安全的破壞,結果都會對企業的生產發展造成惡劣的影響,導致企業重大的損失。在信息化發展背景下,企業只有不斷提高網絡信息的安全性,才是實現企業持續發展的有力保證。
三、企業網絡信息安全保護措施現狀
當前企業在進行網絡信息安全保護方面的意識逐漸增強,他們為確保企業網絡信息安全時大都應用了殺毒軟件來防止病毒的入侵。在對企業網絡信息安全進行保護時,方式比較單 一,技術比較落后。對于入侵檢測系統以及硬件防護墻的認識不足,尚未在企業中普及。因此推進企業網絡信息安全技術的開發,前提是提高企業對網絡信息安全保護的意識,增強企業應用網絡信息安全技術的能力,才能有效推動企業網絡信息安全技術的開發。
四、促進企業網絡信息安全技術開發的對策與建議
(一)定期實施重要信息的備份與恢復
加大對企業網絡信息安全技術的研發投入,一個重要的體現是對企業網絡信息的管理。企業對于重要的、機密的信息和數據應該定期進行備份或者是恢復工作。這是保障企業網絡信息安全簡單、基礎的工作內容。當企業網絡受到破壞甚至企業網絡系統出現癱瘓,企業能夠通過備份的信息保障生產工作的運行,把企業的損失降到最低。實現企業網絡信息安全技術開發的實效性的基礎工作是做好企業重要網絡信息的定期備份與恢復工作。
(二)構建和實施虛擬專用網絡(VPN)技術
以隧道技術為核心的虛擬專用網絡技術,是一項復雜的、專業的工程技術。該項技術對于保護企業網絡信息安全具有重要意義,并且效果顯著。它把企業專用的、重要的信息進行封裝,然后采取一定的方法利用公共網絡隧道傳輸企業專用網絡中的信息,如此一來可以實現對企業網絡信息的保護,避免出現對企業信息的竊取與惡意修改。當然提升虛擬專用網絡的兼容性、簡化應用程序是企業網絡信息安全技術研發重要課題。
(三)完善高效的防火墻技術
在企業內部網與外聯網之間設置一道保護企業網絡信息安全的屏障,即設置防火墻。這一技術是目前最有效、最經濟的保障企業網絡信息安全的技術。但由于當前大多數的遠程監控程序應用的是反向鏈接的方式,這就限制了防火墻作用的發揮。在進行企業網絡信息安全技術開發過程中,應進一步優化防火墻的工作原理或者研發與之相匹配的遠程監控程序,來實現防火墻對企業網絡信息安全的保護。
(四)對關鍵信息和數據進行加密
增強企業對關鍵信息和數據的加密技術水平也是企業網絡信息安全技術研發的主要方面。更新加密技術,是保障企業網絡信息安全的重要環節。企業在對重要信息和數據進行加密時可以同時采取一些例如CD檢測或者Key File等保護措施,來增強企業重要信息的保密效果。
五、結束語
企業網絡信息安全體系的構建是一項系統的、長期的、動態的工程。網絡環境下,信息安全技術發展的同時,新的破壞、攻擊、入侵網絡信息安全的手段也會不斷出現。企業只有與時俱進,加大對網絡信息安全技術的投入力度,才能加強對企業核心信息與數據的保護。在未來的發展過程中,企業在堅持技術策略與管理策略相結合的原則下,不斷升級完善企業網絡信息安全系統的開發與建設,不斷提高企業的信息化水平。
從近年電力系統科技發展的脈絡上看,廣義而言,可以認為智能電網有兩大起源:文提出的數字電力系統理念,其重點在于輸電網的智能調度與控制文提出的“友好電網”,其重點在于建設互動型配電網。尤其是文工作的提出,揭開了數字電網乃至智能電網研究工作序幕;2006年國家電網公司實施SG186工程,開始進行數字化電網和數字化變電站的框架研究和示范工程建設,南方電網公司委托清華大學開展數字南方電網研究;2009年,國家電網公司提出了建設我國“堅強智能電網”的宏偉藍圖。國際上,歐美等國紛紛出臺了各自的智能電網發展計劃。與此同時,國內外學者從各個方面對智能電網基礎理論和關鍵技術進行了深人研究,取得了一大批重要成果,其中多指標自趨優運營能力被認為是智能電網與傳統電網的最大區別。
毋庸置疑,智能電網的建設進程伴隨著電力系統中數字化和信息化程度的不斷提高,系統中的能量流和信息流的交換與互動亦日益頻繁,最終使得未來智能電網在很大程度上將發展成一類由信息網和物理(電力)網構成的相互依存的二元復合網絡(cyber-physicalpowergrid,CPPG)。在此背景下,研究信息網和物理網相互依存的新一代電力網絡的拓撲結構特征、連鎖故障傳播機理、安全水平和生存能力以及相應的預防控制措施在理論和工程兩方面均具有重要意義,這主要緣于以下3方面的因素。
(1)智能電網在規模和動態上的復雜特性對復雜網絡理論本身的發展提出了更高的要求。隨著智能電網建設的深人,CPPG的網絡規模不斷擴大、網絡動態的新特性日益增多,從而導致CPPG的網絡復雜性持續增強,主要體現在如下兩個方面:
(2) CPPG是由信息網/物理網耦合而成的超大規模二元復雜網絡,它對復雜網絡理論研究提出了新的重大挑戰。
1998年發表于Nature上的題為《“小世界”網絡的集體動力學》(collectivedynamicsof‘small-world,networks)和1999年在Science上發表的題為《隨機網絡中標度的涌現Kemergenceofscal?inginrandomnetworks)的文章分別揭示了復雜網絡理論的小世界和無標度特性,開創了復雜網絡理論研究的新紀元?;诮y計特性與結構模型,研究者對網絡性能進行了詳細的分析,并在網絡的社團結構、脆弱度評估和傳播動力學等方面取得了較大的進展。2009年7月Scence雜志出專欄介紹復雜網絡理論的新發展,例如將其用于預測種族沖突1和識別恐怖組織中的關鍵人物等問題。特別需要指出的是,復雜網絡理論在電力系統巳得到成功應用,文基于該理論建立了電力系統自組織臨界一般理論,包括電網演化機制模型、連鎖故障模擬方法、電網脆弱度及風險評估方法和電力系統應急管理平臺4項創新。
(3) 未來電網若干關鍵功能,如對分布式發電的接納、需求側管理等,無疑加大了CPPG在動態特性上的復雜度。
在資源和環保的壓力下,以新能源發電為主體的分布式發電(distributedgeneration,DG)成為電力系統發電的一個重要方向。通常位于近負荷側的分布式發電改變了傳統電力系統中功率單向流動的特點,也使得電力系統的負荷預測、規劃和運行與過去相比具有更大的不確定性;同時分布式發電的加人,必然需要增加大量通信裝置以實現分布式發電的自身控制以及與傳統電網的協調。
此外,借助于先進的測量和通訊系統,基于政策和電價激勵的需求側響應技術被認為是提高系統可靠性和實現節能環保的有效方法,如通過推廣電動汽車平抑負荷峰谷差和減少系統備用,即是一種用戶參與需求側響應的有效方式。
綜上所述,現有工作的研究對象無論其規模和結構多么復雜,大多針對單一復雜網絡,或者信息網,或者物理(電力)網,而對于CPPG這類二元網絡的復雜網絡特性研究則鮮有先例可循,因此,迫切需要發展現有的復雜網絡理論,以滿足未來智能電網發展的需要。
(4)智能電網主要目標的實現需要信息技術的發展來提供保障。
信息化在實現智能電網主要目標(靈活、高效、可持續、節能環保、高可靠性和高安全性等)的過程中起著舉足輕重的作用。然而,目前大多數的研究和實踐更加側重于信息化引人新功能的實現和挖掘,而對信息化背景下智能電網的安全性問題則缺乏足夠的重視。信息化程度的提高給電網帶來諸多安全隱患,如信息采集環節、傳輸環節、智能控制和電網與用戶互動環境下均存在不同程度的安全風險。
信息化帶來的種種安全隱患或危害,均可視為對信息網的有意或無意攻擊,其影響一般表現為信息網的相繼故障從而可能引發信息網癱瘓,嚴重時故障可能穿越信息網邊界波及物理網,進而導致物理網連鎖故障。極端情況下,相繼或連鎖故障在信息網和物理網之間交替傳播,嚴重威脅電力系統安全運行。
(5)對信息安全問題的關注應貫穿智能電網重大工程實踐的全過程。
在智能電網重大工程建設過程中,評估系統運行風險、辨識系統薄弱環節并制定相應的預防控制措施貫穿全程,需要充分考慮CPPG中信息網與物理(電力)網緊密融合后帶來的新變化。
(1) 信息網比物理(電力)網的運行風險更高。
文中指出,廣義電力系統是由電力系統(EPS)、信息通信系統(ICS)和監測控制系統(MCS)融合而成的3S系統:這里的ICS/MCS即為本文所指的信息網,它是安全供電不可或缺的工具;由于ICS/MCS存在的潛在漏洞、缺陷和故障,使其成為3S系統安全風險的主要來源。如果信息網遭到攻擊,則可能給物理(電力)網造成嚴重的故障,使得電力系統出現大面積停電事故或重要電力設備損壞。例如,2010年9月,伊朗布什爾核電站的計算機系統遭Stuxnet蠕蟲病毒攻擊,大大延遲了伊朗的核進程[27]。由此可見,智能電網的安全性不容忽視,而信息網的安全性則是重中之重,主要原因有:從網絡本身受攻擊的容易程度來看,信息網更容易受到攻擊從網絡的相互依賴程度來看,物理網對信息網的依賴程度更大從網絡故障影響的范圍來看,信息網故障的可影響范圍更廣。
(2) 保障CPPG中的信息網安全是全面建設智能電網的前提和必要環節。
建立信息/物理網一體化的新一代電力系統是未來電網發展的一個重要趨勢,而保障其中的信息網安全則是全面建設智能電網的前提和必要環節,主要體現在兩個方面:一方面,在建設CPPG之前考慮系統的安全問題,有利于清晰認識系統建成后可能面臨的各種風險;一方面,在認知系統安全水平以及可能面臨的各種攻擊的基礎上,從制定系統安全標準和政策法規等方面做好事先的安全預防,以保證系統的安全運行。
綜上,可以得出以下結論:
信息化在提升電力自動化水平、提高社會生產效率和改善用戶體驗的同時也給智能電網的安全性帶來了諸多隱患。一方面,信息網本身存在許多尚未解決的安全性問題,當電力系統高度信息化后,將在電力系統中埋下許多安全隱患[28—31]’另一方面,信息網和物理網作為未來智能電網的兩大主要組成網絡,其相互影響和相互作用機理尚不明確,該復合網絡的脆弱性有可能被攻擊者加以利用從而造成更大的危害。因此,有必要對智能電網中存在的信息安全隱患及其對全系統存活性的影響加以討論并思考相應的解決方案。
1國內外研究現狀
目前國內外對CPPG的研究尚處于起步階段,主要集中在電力系統信息安全標準的制定、CPPG基本框架的建立以及可靠性等幾個方面,詳述如下:
(1) 電力系統信息安全標準制定
國外在電力系統信息安全標準的制定方面起步較早:2006年,北美電力可靠性委員會(NERC)為保證電力系統中所有實體均對北美大電網的可靠性承擔部分職責,同時保護可能影響到大電網可靠性的重要信息資產,制訂了信息安全標準CIP-002-1?CIP-009-1;國際電工委員會針對數字和通訊安全提出了IEC62351標準。
國內目前尚未明確制定信息安全的相關標準,只是為保障信息安全提供了一系列原則。文[5]提出智能電網信息安全工作一定要堅持安全分區、網絡專用、橫向隔離和縱向認證的原則;同時對大量分散用戶的信息介人,也要采取類似方法,將其影響范圍局限在變電站甚至更低的等級,以防止對整個電網產生災難性的后果。文[36-38]強調在智能電網的研究中,應特別關注建立電網信息支撐平臺的必要性,這是因為開放的信息系統和共享的信息模式是智能電網的基礎,開發與建造一個能夠覆蓋電網全域的、統一的信息系統是智能電網發展的關鍵所在,而要消除信息共享障礙就必須對信息進行標準化和規范化。
(2) 信息/物理網安全性研究框架
文中將智能電網的信息安全相關問題分解為如何保障智能電表(AMI)和無線網絡的安全,以及如何制定政策獎勵維護網絡安全的電力生產運營商等。
文中提出采用由安全管理、安全策略和安全技術組成的電力信息系統安全防護總體框架,其中安全管理包括組織保證體系、安全管理制度及安全培訓機制;安全策略分為分區防護和強化隔離;安全技術則涵蓋身份認證、訪問控制、內容安全、審計和跟蹤及響應和恢復等。
文[1]提出統一信息系統必須包括以下4個獨立存在又相互依賴的信息處理子系統:用于存儲和管理電網中的所有信息數據的分布和分層的數據庫群子系統;分布和分層的用于電網控制與管理的任務處理應用子系統;分布和分層的電網狀態檢查和監視應用子系統;分布和分層的電網全域可達的人機信息交互子系統。
基于信息物理系統(cyberphysicalsystem,CPS)的概念和電力系統的特點,文[42]構建了電力CPS的思路和框架并提出建設電力CPS面臨的挑戰,認為電力CPS主要由大量的計算設備(服務器、計算機、嵌人式計算設備等)、數據采集設備(傳感器、PMU、嵌人式數據采集設備等)和物理設備(大型發電機組、分布式電源、負荷等)組成,其中前者通過信息網絡互聯,后者則構成物理的電力網絡。具體地,電力CPS包括控制中心、分布式計算設備、通信網絡、輸配電網絡、電源和負荷。同時,電力CPS可以與其他的CPS子系統通過網絡連接協同工作。該文進一步提出發展電力CPS的關鍵技術涉及全局優化與局部控制的協同技術、大規模分布式計算技術、CPS通信協議、動態網絡和延遲/終端容忍網絡、集群智能和虛實空間的自動映射一致性等。
(3)信息/物理網安全性建模分析
在一般信息-物理二元網絡的建模方面,采用如下的兩個步驟進行建模:首先通過物理和信息的輸人輸出信號、內部動態和局部傳感信息等要素對各個(或組)元件建立狀態空間模塊;進一步在網絡拓撲的基礎上將各模塊整合在一'起以建立系統的信息,理二元復合網絡模型。
在網絡攻擊對電力系統系統的可靠性影響方面,目前巳有初步進展。文章構建了系統性評估信息物理依存網絡脆弱度的基本框架,進一步該文研究了網絡攻擊對電力系統的數據采集和監控(SCADA)系統的影響。文章通過信息-物理的連接橋建立信息攻擊與物理元件之間的通道,以此表征由于某處信息攻擊所導致的電力設備的意外故障,進而在巳知信息攻擊概率的基礎上,評估系統遭受信息攻擊時的可靠性。
更有意義的是,文章提出研究相互依存網絡災變的重要性,并基于意大利的電力網和信息網的網絡關系圖(如圖1所示)模擬了該網絡上由于一個變電站故障退出運行后,故障在物理(電力)網絡與信息網絡之間的交替傳播及整個網絡的崩潰過程。其基本思路是某個網絡中一個節點的故障可能會造成與其耦合的網絡中相關聯節點的故障,通過建立連鎖故障傳播模型,分析指出某個網絡中小部分節點的故障可能導致整個耦合系統的崩潰。
(4)其他方面
文章指出新一代電力系統的SCADA采用越來越多的無線通信可能面臨的信息安全方面的6個障礙和挑戰,涵蓋量測的機密性、測量環境的模糊化、數據的安全聚集、拓撲模糊化、可擴展的信任管理以及數據聚集的隱私性等。文[1]指出目前電力系統的信息系統存在信息難以綜合和深化利用、信息處理及控制管理設備和系統上的重疊以及開發基于信息綜合的高級控制管理功能(如自適應性、自組織和智能決策等)受限等問題。
2 CPPG信息安全性研究關鍵課題
CPPG作為一類信息/物理網高度依存的二元復合網絡,分析其連鎖故障機理及脆弱度評估方法是保障CPPG信息安全乃至全系統安全的重要前提。為此,本節從復雜網絡視角提出以下4個前瞻性課題。
2.1 CPPG中信息網和物理網異構特性及相互依存關系分析、一體化網絡模型建立及拓撲結構特征提取
一般而言,CPPG中信息、物理兩個網絡往往呈現截然不同的結構特性,如有研究表明,信息網呈現無標度特性,而很多實際電網具有小世界特性。在此背景下,CPPG將是由信息/物理網相互依存演化成的二元異構網絡(如無標度信息網與小世界物理網),如圖2所示。
對該網絡的拓撲結構特征提取有助于從本質上揭示其功能特性,具體可以開展如下研究:
(1) 分析并揭示CPPG中信息網與物理網的異構特性,建立連接信息/物理網的聯絡線網絡化數學表述模型,研究不同類型信息網與物理網(如無標度網與小世界網)中信息流和能量流的輸送特性。基于電力系統動態特性(如潮流)建立物理網功能有效性模型,基于信息系統靜態特性(如網絡拓撲結構和元件級聯失效等)建立信息網功能有效性模型。這里的功能有效性是指網絡節點和邊的動態均受到一定的容量限制,在限制值之內稱為有效。
(2) 深人分析CPPG中信息網和物理網的耦合
機理,研究信息過程和物理過程的相互影響。
(3) 研究信息網和物理網內部以及二者之間的拓撲連接或者信號傳送關系,進一步將上述信息/物理功能有效性模型集成,以建立能夠反映CPPG中信息網和物理網交互過程的一體化網絡模型。
(4) 基于復雜網絡理論中網絡結構影響網絡功能的基本思路,選用適當的指標,提取并分析CPPG拓撲結構特征,即從統計的角度考察CPPG中大規模節點及其連接之間的性質,這些性質的不同意味著網絡內部結構的不同,進而將導致系統功能有所差異。因此,對CPPG拓撲結構特征的描述和分析是進行CPPG研究的必要步驟。
2.2CPPG的連鎖故障研究
到目前為止,巳有較多針對信息網或物理網連鎖故障建模分析的研究成果[16—17],盡管人們對單一網絡(信息網或物理網)的連鎖故障過程有了一定程度的認識,但連鎖故障在CPPG上的發生和傳播過程可能與單一信息網或物理網情形大不相同。研究
CPPG的連鎖故障發生過程需要根據信息網和物理網的依存關系,將兩個網絡中的故障傳播過程進行合理的對接。
在上述CPPG—體化網絡模型的基礎上,同時考慮物理設備和數據采集計算設備等對系統連鎖故障發生、發展過程的影響,分析CPPG的連鎖故障特性,具體包括以下幾個方面:
(1) 構建CPPG連鎖故障模型。具體地,根據信息流的傳輸特性,建立CPPG中信息網連鎖故障模型,同時提出適當的指標分析其連鎖故障影響后果;考慮未來智能電網中高滲透率的分布式發電以及廣泛的用戶側響應,分析CPPG中物理網的連鎖故障發生、發展過程,并采用適當的指標(如負荷損失量)表征其連鎖故障規模;在信息網與物理網耦合機理分析的基礎上,將信息網與物理網連鎖故障模型進行合理對接,構建CPPG連鎖故障模型并模擬其連鎖故障傳播過程。
(2) 辨識影響連鎖故障發生的關鍵因素,既要包含物理網上的關鍵發電和輸電設備,又需計及信息網上的關鍵計算機和信號傳輸單元。
(3) 定量分析CPPG上發生的連鎖故障,借鑒風險價值和條件風險價值指標[16—17],分析其災變風險;對比CPPG和傳統物理電力系統連鎖故障的異同,重點分析信息網對CPPG連鎖故障的影響。
2.3 CPPG的脆弱度評估研究
CPPG的脆弱度水平指其遭受攻擊時造成的性能下降程度,下降程度越大則系統越脆弱。此處CPPG遭受的攻擊既可能來自物理網,又可能來自信息網(如圖3),而對物理網的攻擊可以等效為設備故障(包括退出運行),而對信息網的攻擊形式多種多樣(常見信息攻擊和防守形式見圖4),包括信息的竊取、篡改等。
在綜合評估CPPG脆弱度水平的同時,可尋找對其脆弱度水平影響較大的攻擊模式和最壞干擾信息激勵。具體研究內容如下:
(1) 建立CPPG的脆弱度評估指標體系,同時從結構和狀態角度評價CPPG的性能水平。這里,所提脆弱度指標應兼顧物理網的安全、可靠和經濟性以及信息網對數據機密性、完整性、可用性、可控性和可審查性的要求。
(2) 基于連鎖故障模型,模擬CPPG遭受隨機攻擊和蓄意攻擊后可能引發的連鎖故障發生、發展過程,評估不同攻擊模式下系統性能的變化,同時辨識出嚴重惡化CPPG性能的攻擊模式以及系統脆弱環節。
此外,信息攻擊形式需要考慮如下因素:
圖4信息網安全的攻擊與防守
①信息攻擊的影響范圍;
②信息攻擊源與受影響位置的距離;
③信息攻擊帶來的后果多樣性,例如有些攻擊損害信息的機密性,而有些攻擊損害信息的完整性和可用性,可以等效為相關服務的中斷。
(3)通過對比CPPG和傳統物理電力系統面臨節點或者線路攻擊時的脆弱度水平異同,明晰信息網對CPPG脆弱度的影響。
2.4靈活協調的優化控制方法
在脆弱度評估的基礎上,針對系統的薄弱環節,可以從物理和信息網兩方面設計有針對性的靈活協調優化控制方法,具體可以研究:
(1) 根據脆弱度評估辨識出的物理網薄弱環節,如關鍵發電機、線路和負載節點信息,采取適當的措施,例如建設新的電廠或者輸電線路,以保證CPPG在面臨攻擊時依然能夠運行在滿意的狀態。
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Security Situation and Strategy Study
On the Current Computer Network Application
Wang Zhijun
(Linhai Radio and TV,Linhai317000,China)
Abstract:This paper discusses the current status of computer networks,security,vulnerabilities and security holes,and today's computer networks for security vulnerabilities propose appropriate coping strategies.
Keywords:Computer network security;Weaknesses;Security vulnerabilities; Response Strategy
一、引言
伴隨著計算機時代的來臨,人們對計算機網絡安全的重視程度是無庸置疑的。我們必須綜合考慮各方面的安全因素,制定合理的技術方案和管理措施,才能確保計算機網絡的安全可靠,使其在社會經濟活動中的應用更加放心。
二、計算機網絡安全的定義
國際標準化組織(ISO)給“計算機網絡安全”下的定義是:“為數據處理系統建立和采取的技術和管理的安全保護,保護網絡系統的硬件、軟件及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠、正常地運行,網絡服務不中斷?!贝硕x包括物理安全以及邏輯安全。物理安全保護主要是硬件設備的保護,邏輯安全則是保護數據的保密性、完整性和可用性。
三、計算機網絡安全存在的薄弱環節
(一)TCP/IP網絡協議比較容易受到來自各方面的攻擊,其在安全上或多或少還存在一些問題。
(二)網絡上存在許多解密工具和易用黑客等信息,讓用戶很輕易地獲得了攻擊的手段和方法。
(三)目前,還有很多應用軟件存在或多或少的問題,如升級周期過快等,這個問題導致軟件和操作系統出現漏洞而受到不安全因素的攻擊。
(四)我國在計算機網絡的法律規范還不夠完善,在管理上還有許多不足之處,而且網絡上的一些保密協議缺乏較強的可操作性,執行力度不夠。
(五)很多公司都沒有完善在人員、管理和技術上的安全管理制度,缺少保護措施,甚至一些管理員在利益的誘惑下利用職務便利在網絡上進行違法活動。
四、計算機網絡安全存在的漏洞
(一)系統本身的漏洞。沒有任何一個系統是絕對完美的,往往一個新的操作系統或軟件在一出現的時候,它存在的漏洞同時也被人們發現了,想要排除全部的漏洞是一件不可能辦到的事。
緩沖區溢出是最容易在攻擊中被利用的系統漏洞。用戶往往最容易忘記檢測緩沖區間的變化的情況,超過緩沖區所能處理長度的指令一旦被接受,系統的狀態就會出現不穩定,這一點往往被許多破壞者利用來訪問系統根目錄盜取或破壞信息的。
拒絕服務(DoS)同樣也是常常被破壞者惡意利用的漏洞,典型的DoS可導致TCP/IP連接的次序出現混亂,使內存、CPU等系統資源受到損害,使系統沒辦法正常工作。其中數Synnood攻擊最為典型,它可以導致系統超荷運轉。此外,還有一種分布、大規模的、協作的、基于DoS的分布式拒絕服務(DDoS)攻擊方式。
(二)濫用合法工具。利用改進系統的工具軟進行攻擊并收集非法信息也是破壞者常用的另外一種攻擊方式。這些軟件如NBTSTAT命令、網包嗅探器(Packetsniffer)等。前者主要功能是為管理員提供遠程節點信息,假如破壞者同樣利用其非法收集用戶名等信息,就可以破譯用戶的口令。而后者則是系統管理員用以尋找網絡潛在問題的工具,破壞者可利用截獲的信息對網絡實行攻擊。
(三)低效的系統設計和檢測能力。如今,由于安全系統的設計中不重視對信息的保護,導致系統面對復雜的攻擊變得難以抵擋。破壞者利用低效的設計所產生漏洞進行攻擊,并入侵檢測系統,最后進行訪問敏感信息,篡改Web服務器內容等操作。許多真正安全的系統設計務必從底層入手,以保證高效的安全服務和管理。
五、計算機網絡安全的應對策略
(一)采用防火墻。防火墻是一個用來阻擋黑客訪問某個機構網絡的屏障。位置在內網的邊緣,這使得內部網絡與Internet之間或者其他外部網絡之間互相隔離,最大限度地阻擋黑客來訪問自己的網絡。設置防火墻的目的在于在內部網與外部網之間設置唯一的通道,簡化網絡的安全管理。
目前的防火墻主要分為三類:(1)濾防火墻。由于包過濾防火墻設置在網絡層,從而在路由器上實現包過濾。這種防火墻不但可以禁止外部用戶對內部的非法訪問,而且可以禁止訪問某些服務類型。不過包過濾技術無法識別存在危險的信息包,沒辦法對應用級協議實施處理,也無辦法處理UDP、RPC或動態的協議。(2)防火墻(應用層網關級防火墻)。由服務器同過濾路由器構成。過濾路由器負責與外部網絡通信,并把數據進行篩選后傳送到服務器。服務器負責控制外部網絡用戶服務類型的。(3)雙穴主機防火墻。利用主機配備多個網卡,分別連接不同的網絡來實現執行安全控制的功能。
(二)數據加密技術。信息加密是保護網內的數據、文件、口令和控制信息以及網上傳輸的數據。數據加密實質上是對以符號為基礎的數據實行移位和置換的變換算法,這種變換是受“密鑰”控制的。按收發雙方密鑰是否相同可以將這些加密算法分為對稱密鑰算法與公鑰加密算法。(1)在對稱密鑰中加密密鑰等同與解密密鑰或者可以從其中一個推知另一個。比較著名的常規密碼算法有:DES。(2)在公鑰加密算法中,公鑰是公開的,任何人都可以利用公鑰加密信息,再將信息發送給私鑰擁有者。私鑰是保密的,用于對其接收的公鑰加密過的信息實施解,而且幾乎不可能從加密密鑰推算出解密密鑰。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
(三)采用入侵檢測系統。通過對行為和安全日志等數據的分析檢測到異?,F象的技術便稱為入侵檢測技術。在入侵檢測系統中利用審計記錄,可以識別出任何不希望存在的活動,進而達到限制這些活動以及對活動的過程的記錄,為以后更全面的防護打下基礎,從而達到保護系統安全的目的。