期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
网络安全防护方法模板(10篇)
网络安全防护方法例1
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2011)1210007-01
网络信息安全问题自网络技术及其应用系统诞生以来,就一直是存在于网络建设过程当中,给网络系统使用者与建设者带来严峻挑战的一个问题。相关工作人员需要认识到在网络技术与应用系统不断完善发展的过程中,网络信息安全问题是始终存在的,并且它会伴随着网络功能的系统化、规模化、详尽化而始终处在变化发展的过程当中。据此,在网络应用系统技术蓬勃发展的当今社会,正确认识并处理好网络信息安全防护的相关技术工作,已成为当下相关工作人员最亟待解决的问题之一。
1 网络信息安全防护的现状及发展趋势分析
就我国而言,在全球经济一体化进程不断加剧与计算机网络技术蓬勃发展的推动作用下,传统模式下的网络信息安全防护思想再也无法适应新时期网络先进技术与经济社会安全需求的发展要求。我们需要认识到尽快建立起一个合理、先进、符合现代网络科学技术发展要求的网络信息安全防护原则,并在此基础上循序渐进的展开网络信息安全的研究工作,势必或已经会成为当前网络信息安全相关工作人员的工作重心与中心。
1)网络信息安全的新形势研究。笔者查阅了大量相关资源,对近些年来我国在网络信息安全工作中所遇到的新变化、新形势、新发展规律进行了初步认识与总结,认为当前网络信息安全新形势当中的“新”可以体现在以下几个方面。
① 网络信息攻击问题已成为网络信息安全环节所面临的首要问题。在当前的计算机网络信息系统中各种盗号、钓鱼、欺诈网页或是病毒十分盛行。可以说,网络信息攻击问题正在走向与经济利益相关的发展方向。
② 传统网络时代中以恶作剧、技术炫耀为目的发起的病毒攻击数量和规模都呈现出逐年下降的趋势,这些传统意义上的网络信息安全问题已非新形势下计算机网络信息系统的主流问题。
③ 工业化生产病毒正成为当前计算机网络系统信息安全的发展趋势,各种以高端无线技术为依托的病毒软件、间谍程序攻占了当前的网络信息安全结构,但相应的反病毒、反间谍技术发展却始终不够成熟,整个网络信息安全防护工作陷入了较为尴尬的发展局面。
2)网络信息安全防护工作的发展趋势分析。针对当前经济形势下计算机网络乃至整个网络信息系统呈现出的新形势分析,网络信息的安全防护工作也是必要作出相应的变革,其研究工作不仅需要涉及到对各种病毒、间谍程序的有效控制,还需要实现整个计算机网络系统高效的响应与恢复功能。具体而言,网络信息安全防护正面临着以下几个方面的新发展趋势。
① 网络信息安全防护的地位正发生着转变。网络信息安全在由单机时代向互联网时代逐步过渡的过程中开始受到人们日益广泛的关注。计算机网络系统与其相关技术的蓬勃发展也使得网络信息安全防护由传统意义上的“有益补充”辅助地位向着“不可或缺”的主体地位发生转变。
② 网络信息安全防护的技术正发生着转变。纵观计算机网络技术及其应用系统的发展历程,我们不难发现网络信息安全防护对于整个网络系统中出现的额安全问题解决思路由传统的单点防护向着综合防护转变。在这一过程中,统一威胁管理成为了当前大部分相关部分解决信息安全问题所采用的关键技术之一。但这一技术当中存在的硬件系统性能发展不够完善、逻辑协同问题等也使得这种安全防护技术面临着前所未有的挑战。
2 基于网络信息安全防护新思想及理论的相关技术方法研究
笔者以多层次弹性闭合结构及无差异表示未知因素的基本思想,在预应式及周密性原则的作用下,提出了一种对解决网络信息安全问题而言极为有效的新技术方法。大量的实践研究结果表明,将这种网络信息安全防护理论及相关方法应用在计算机网络技术及相关应用系统的安全实践工作中,能够取得极为深远且重要的意义。
这种基于多核MIPs64硬件网关的设计方法一般来说是由采用MIPs64型号安全处理犀利的多核处理器加上资源调度系统、控制系统以及通信接口三个模块共同构成的。在这一系统中,核心处理器不仅具备了高集成化基础下的系统64位解决方案,同时还能够在硬件网关加速器与多核技术的加速作用下,达到系统CPU处理频率与网络信息安全防护效率的提升。
3 网络信息安全防护理论与方法的发展展望
网络信息安全防护理论与方法从本质上来说是网络安全实践工作及经验总结的构成部分,它从网络安全实践中分离出来并最终作用于网络安全防护工作的践行。其理论与方法势必会随着网络信息安全威胁对象与威胁范围的变化而发生相应的变化。具体而言,可以概括为以下几个方面。
1)网络信息安全防护的安全评估范围发展展望。在计算机网络技术及其应用系统所处安全形势的变化过程中,传统意义上仅仅依靠硬件系统改造和技术升级来对网络信息安全问题进行控制与处理的思想也无法适应当前网络结构的高安全需求。这也就意味着安全评估工作需要从单纯的安全环境问题处理向着安全环境与系统安全应用能力兼顾的复杂性系统结构方面发展,逐步上升到硬件系统处理与软件系统处理并重的地位。
2)网络信息安全防护的应用方法发展展望。统一威胁管理系统作为当前应用最为广泛的网络信息安全防护技术需要向着提供综合性安全功能的方向发展,将病毒入侵功能与检测功能共同融入到网络系统防火墙的建设工作当中,使其能够发挥在防御网络信息安全混合型攻击问题中的重要功能。
4 结束语
伴随着现代科学技术的发展与经济社会不断进步,人民日益增长的物质与精神文化需求对新时期的网络信息安全防护工作提出了更为严格的要求。本文对新时期网络信息安全防护的理论与方法做出了简要分析与说明,希望为今后相关研究工作的开展提供一定的意见与建议。
参考文献:
[1]陈仕杰,加速成长的X86嵌入式系统(上)抢攻嵌入式市场的X86处理器双雄AMD vs.VIA.[J].电子与电脑,2007(03).
网络安全防护方法例2
引言
近年来我国互联网技术发展速度比较快,在各行各业中网络也被广泛应用到各环节中,为人们的工作和生活提供了更多的方便,为了获得及时有效的信息,互联网享有信息的便利性和文化内涵。但是在应用中还应该清楚地知道,如果重要的个人信息在互联网上泄漏,将严重影响人们的正常生活,同时还给人们带来严重的损失。基于此,本文针对网络安全的常见问题,并提出了有效措施保护网络信息安全,实现计算机网络系统安全稳定的运行。
1.计算机网络信息安全的重要性
计算机网络的保护是指在使用中保护网络系统中的设备和数据,在确保计算机网络信息安全的真实性、完整性、机密性和可用性的前提下,正确的使用软件,计算机网络信息安全的重要性主要表现在以下几个方面:计算机资源具有共享特点,因此被广泛应用于各个行业,也可以大大提高网络平台使用效率,当用户把个人的信息在平台上时,就很可能被一些不法分子盗取,同时还会对使用的系统造成破坏,从目前使用情况来看,越来越多的行业都已经引入了计算机技术,但网络安全问题还有待解决。
2.计算机网络信息安全的常见防护措施
2.1提高网络信息安全防护意识
在网络系统的正常使用中,经常会遇到多种不同的支付方式,比如E-mailQQ,支付宝,微信等等,黑客的主要攻击对象就就是通过网络系统中漏洞,盗取合法用户的账号和密码,入座黑客的成功侵入到网络系统中,将会使用户遭到重大的经济损失;所以在使用网络系统进行支付交易时,要设置更为复杂的登录密码;另外,在密码设置过程中,系统用户尽量排除相同或相似的密码,最好采用字母和数字相结合的犯法设置密码,同时还要不断的对秘密进行定期的更换,以保证合法用户信息的安全,避免受到黑客的攻击。
2.2加强服务器存储安全性
服务器主要负责管理帐户,管理整个网络的数据和其他网络资源的访问,计算机的关键设备是中央服务器,其主要的功能就是对用户的信息和相关的资料进行保护,随着RAID技术的出现,不仅有效提高计算机信息的安全性,还加快网络的船舶速度,主要通过将小容量的硬盘驱动进行结合,在使用数据冗余的组合提高数据安全性和稳定性,从而完善整个存储系统,实现保护用户个人信息和的目的。
2.3数字签名及文件加密技术
网络安全防护方法例3
计算机网络终端数量多、位置分散、使用者成份复杂且水平参差不齐,使得终端安全防护形势更为复杂、严峻。随着计算机网络应用的日益深入,计算机终端己成为网络中大部分事件的起点和源头一一是用户登录并访问网络的起点,是用户透过内网访问互联网(Internet)的起点,是应用系统访问和数据产生的起点;更是病毒攻击的源头,从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此,只有通过完善的终端安全防护才能够真正从源头上控制各种安全事件的发生,遏制网络内部发起的攻击和破坏。
1、终端安全防护存在的主要问题
目前,计算机网络终端安全防护存在的主要问题有:
(1)终端存在安全隐患
一方面,受国家电子信息产业丛础的制约,计算机网络终端的微处理器、操作系统和基础软件都使用国外产品,由于不掌握核心技术,这些终端本身不可避免地存在着安全漏洞,同时也无法排除存在陷阱、后门等隐患的可能性。由于没有及时升级操作系统或应用软件,使些终端长期存在着安全漏洞,从而给蠕虫病毒、木马程序和黑客软件带来了可乘之机。
(2)终端入网无安全审查
一些网络对终端接入不进行安全审查,即不检查用户是否为合法用户,不检查终端是否为合法的授权终端、是否带有病毒等恶意代码、是否存在着安全漏洞。一些合法的授权终端被用户随意更换整机或部分硬件(如硬盘、网卡等),或使用盗用的IP地址和网卡地址后就成为“非授权终端”。个别不怀好意的用户利用这些“非授权终端”入网后(“违规接入”),就可越权访问网络或发起网络攻击。
(3)终端操作无安全管控
一些网络终端对用户上网操作行为无安全监控和日志审计。这样就使用户在终端上能随意安装、运行可能带有病毒等恶意代码的非授权软件;或者故意在终端上运行恶意软件,传播恶意代码、实施破坏或窃密;或者在网上或传播不法言论;或者使用BT等P2P软件恶意占用带宽。由于无日志审计,对用户的这些非法行为,事后都无法追究。
2、终端安全防护模型
借鉴人们己提出的PPDR网络安全模型的思想,针对终端安全防护存在的问题,我们提出如图1所示的终端安全防护模型,该模型将用户通过终端上网的安全防护过程分为安全认证、安全检查、安全修复、安全监控和安全处置等五个环节。根据该模型,终端入网时需进行身份认证和安全检查,通过后才能正常入网,否则要对终端进行安全修复;在终端的上网过程中还要进行行为监控,发现终端安全事件要及时进行处置。这五个环节在安全策略的指导下,形成一个完整的、自我完善、循环往复的动态闭环自适应过程,对终端上网过程进行全程安全管控。
(1)安全认证
对终端身份和用户身份进行安全认证,即只有合法的用户、使用指定的终端、在规定的时间和地点才能入网,以防止非法用户或非法终端入网。终端身份认证就是要验证终端的IP地址、网卡地址和接入地点(交换机及端日号),用户身份认证就是要验证用户的用户名和密码,或验证用户的指纹、USBKEY等标识。
(2)安全检查
检查入网终端是否满足规定的安全要求,包括终端是否存在着安全漏洞?是否存在病毒等恶意软件?是否安装了防病毒软件和进行了升级?是否打上了最新的操作系统和应用软件的补丁是否具有合法的软、硬件配置(允许或者禁止某些程序的安装)?是否正确执行了指定的安全策略?
(3)安全修复
如果安全检查不通过,则需对终端进行安全修复,即将终端隔离到相应的修复区进行修复,如安装或升级防病毒软件,打上最新的操作系统补丁,执行指定的安全策略。只有修复成功后,终端才能正常地访问网络。
(4)安全监控
对终端的操作行为进行动态监测、记录(日志)、审计,发现安全事件及时报警。安全监控包括:终端软、硬件资产管理,终端运行状态监控,用户和终端操作行为监管,操作日志、管理日志、报警日志的审计分析。
(5)安全处置
当终端发生安全事件后,应根据安全策略进行相应的处置,只要有警告、通报、隔离和阻断等。警告指向问题终端发出警示性消息,通报指向全网所有终端发出警示性消息,隔离指将问题终端隔离在修复区内,阻断指断开终端与网络的连接,不允许其访问任何网络。
3、终端安全防护方法
根据终端安全防护模型,我们认为,一可通过正确的终端安全设置和相应的终端安全防护工具或系统来保障终端安全。
(1)安全设置
设置强壮口令。所有终端必须设置强壮安全的开机、屏幕保护和系统登录三级口令。
设置木地安全策略。关闭默认“文件和打印共享”,关闭移动存储设备(U盘、硬盘和光盘)的自动运行功能,禁用不必要的外设端口(如无线网口)。
(2)安全工具
终端需安装防病毒、防火墙软件和补丁程序,开启实时监控功能,并及时更新(每周至少升级两次)。
可通过在防病毒服务器中安装网络防病毒服务器软件,在所有终端中安装网络防病毒客户端软件的方法来实现终端防病毒的统一管理,阻止病毒在网络内的大肆传播。终端需配置单机防火墙软件,用于控制从网络对终端系统的访问,监控网络访问,记录、统计网络访问数据,抵御对终端的探测和攻击。
要经常为终端操作系统和应用软件打安全补丁。联接互联网的终端要开启自动更新功能,不联接互联网的终端也要通过人工手段打安全补丁。一些终端漏洞扫描与修复工具能主动扫描终端安全漏洞,并通过互联网下载补丁。还可根据需要安装终端数据加密工具、数据粉碎工具等。
(3)准入控制
准入控制只让安全的终端和用户入网,而将不安全的终端隔离进行修复,与传统的终端安全防护技术如防病毒、防火墙技术相结合,能将被动防御变为主动防御,阻止网常用的网络准入控制技术主要有EAPOL技术、EAPOU技术等,EAPOL技术在网络接入层进行准入控制,而EAPOU技术则是在网络汇聚层或核心层进行准入控制。
准入控制能实现前述安全模型中的安全认证、安全检查和安全修复功能:(l)安全认证。对终端的IP地址、MAC地址、所连接交换机的IP地址和端口号、用户名和口令进行绑定验证,通过后才允许接入网络,防止非法终端和非法用户接入网络。(2)安全检查。对终端操作系统补丁、指定软件(及版木)、防病毒软件的状态进行安全评估,使只有符合安全标准(如安装了最新的操作系统补丁、及时升级了最新的病毒特征库等)的终端才准许访问网络。(3)安全修复。如果终端没有安装最新的操作系统补丁和升级了最新的病毒特征库,那么系统将自动把这个终端隔离到修复区进行补丁和病毒特征库的更新,当终端修复完成后才准许访问网络。
(4)安全监控
安全监控对终端软硬件资产,用户操作行为、终端设备接口、网络行为、进程和软件使用行为等进行多角度、全方位的集中管控,实现对异常、可疑和违规行为的发现、报警、记录、阻断和审计,并与入侵检测系统(IDS)联动,以达到防止恶意攻击和保护敏感信息的目的。
结束语
我们认为,应将终端安全防护作为整个网络安全防护的重点。只有对终端上网的全过程进行全程管控,并做好终端安全设置、防病毒、防黑客、打补丁、准入控制和安全监控工作,才能从源头上、根木上保障网络信息安全。
网络安全防护方法例4
二、校园无线网络的安全防护
1.安全规划与配置
(1)规划好天线安装位置
布设校园无线网络时,选择好天线位置,也可使用定向天线,背向学校的方向就不易收到无线信号,学校一侧也可以收到更强的信号。
(2)在没有使用的时候关闭网络
安装时可将无线收发设备的电源与教学楼的电源装于同一线路上,在晚上夜自习结束离开教室后,关闭电源时也同时关闭无线信号。
(3)AP隔离规划
类似于有线网络的VLAN,将所有的无线客户端设备完全与有线网隔离,使之只能访问AP连接的固定网络,相当于无线中的局域网。
(4)配置无线入侵检测系统
用于无线局域网的入侵检测系统,可用来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。
(5)应用VPN技术
无线接入网络VLANfAP和VPN服务器之间的线路)从局域网把VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密,并应用于局域网网络内部,具有较好的扩充、升级性能,可应用于较大规模的校园无线网络。
(6)配置无线控制器+HTAP集中式WLAN管理设备
较新的WLAN网络架构,用户对FITAP的管理是通过无线控制器来完成,更改服务策略设定和安全策略设定只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FITAP。
2.使用中的安全措施
(1)修改管理员密码和用户名
修改无线AP设置中的默认用户名和密码,尽量设置复杂的、较长的密码,最好是字母与数字并存。
(2)启用无线AP的连接密码
升级到WPA2(WiFi Protected Accessl加密协议。将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密钥”中输入密码,保存修改。
(3)采用身份验证和授权
Windows Server 2003内的IAS,可用来架设Radius服务器。客户端在使用网络之前必须先输入用户名、密码等认证信息,并只有在认证通过时才开放该客户端的网络使用权限。
(4)修改默认系统SSID
改变默认的SSID,可以使你区别于其它未受保护的网络,还可以使你的用户不会因此错连接到其它的网络中,从而就不会将你的数据暴露于黑客的嗅探器下。
(5)禁止SSID网络广播
SSID参数在设备缺省设定中是被AP无线接入点广播出去的,禁止这个广播后,我们必须把SSID名称告诉各位用户,在无线接收设备上设置好才能连接上无线AP。
(6)使用MAC地址过滤与固定IP
这个方法要求登记学校里所有使用无线上网设备的MAC地址,来更新无线AP中的MAC地址列表。这样就只有经过登记的合法设备可以访问你的网络了。如果能关闭DHCP服务,为学校里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与无线终端的MAC地址进行绑定,这样就可以得到双重保险。
参考文献:
[1]李园,王燕鸿,无线网络安全性威胁及应对措施[J].现代电子技术,2007,(5):91-94
网络安全防护方法例5
随着社会科技的不断发展,互联网技术也在不断发展,计算机技术被广泛应用于各个领域,为事业发展带来便捷的同时,也产生了很多困扰我们的问题。计算机技术为各事业单位更便捷、高效、准确开展工作提供了保证,利于信息的查询、保存与利用,但数据一旦遭到攻击,造成业务服务中断,甚至会带来难以弥补的损失和不可挽救的社会影响。所以说,“没有信息安全,就没有国家安全”,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作、生活的重大战略问题。如何保障信息安全,发挥计算机对社会的有利作用,把损失降到最低,把灾害拒之门外,本文将探讨事业单位中信息安全及病毒防护的一些方法。
1 目前我国局域网安全现状
根据CNERT最新的的互联网网络安全态势综述中指出,近年来涉及重要行业和政府部门的高危漏洞事件持续增多,事业单位做为政府创办的服务机构,重要信息系统的网络系统上承载了大量有价值的数据信息,广泛被漏洞挖掘者关注。2015年,CNCERT通报了涉及政府机构和重要信息系统部门的事件型漏洞近 2.4万起,约是2014年的2.6倍,信息安全形势如此严峻,但目前还有部分政府、企事业单位对内部局域网安全管理的重要性认识不够,单位局域网的信息安全还是存在较大的安全隐患。
2 事业单位局域网信息安全工作存在的问题分析
2.1 欺骗性软件导致数据安全性能降低
互联网上广泛存在欺骗性的软件,会导致局域网信息数据的安全性能降低,从而影响了相关工作的开展。出现此种现象的主要原因是由于在事业单位局域网中,基本上都实现了资源共享,使得相关的资源数据存在一定的开放性,容易出现数据泄露、篡改、删除等现象,导致数据的安全性能降低。例如:在网络上经常出现一些网络钓鱼攻击等,相应的钓鱼工具主要是发送一些带有知名信息的垃圾邮件,诱导收件人给出一些敏感性信息,使得用户上当受骗,从而造成一定的经济损失。另外,由于用户在对数据管理过程中,相应的安全意识和知识较为欠缺,导致用户经常出现一些数据信息丢失,严重影响了相关工作的开展。
2.2 数据信息安全意识薄弱
事业单位工作人员缺少足够的信息安全意识,或是不遵守移动硬盘、U盘等外设的使用管理规范,贪图使用便利而违反信息安全规章,或是随意将未授权的计算机接入信息内外网和内部人员内外网混用,很容易导致局域网病毒传播甚至内网机密信息的泄漏。
2.3 IP地址冲突
在事业单位局域网中,常出现IP地址重复的现象,导致一些计算机不能顺利登录互联网。如果单位规模较大,冲突的IP地址就越难以查找;此种现象为病毒的传播扩散创造了机会,使得局域网内部的计算机被感染,从而降低了事业单位数据的安全性,出现数据丢失的局面。
3 事业单位局域网络的信息安全与病毒防护方法
3.1 加强对事业单位人员信息安全培训
应积极做好局域网安全维护工作,制定信息管理相关工作制度,分别针对网络管理人员及全体工作人员开展不同类型的讲座和培训,提高全体人员信息安全意识,各个部门以及工作人员之间相互配合,才能保证数据信息的安全。信息安全管理主要包括了管理、技术、应用三个方面,根据实际情况制定合理的网络安全策略和相关措施的同时要加强对网络管理人员的培训,创新网络管理方式,使网络管理人员明确工作重点,提高运维效率;对全体工作员开展网信息安全讲座,树立工作人员的法律观念,增强信息安全知识,才能保证相关工作开展。
3.2 通过桌面管理对系统用户进入局域网进行控制
在事业单位网络维护过程中,通过实现桌面终端的标准化管理,积极的对入网进行控制,解决桌面安全管理问题,提高信息运维效率,规范员工操作行为。在实际的管理过程中,事业单位可以通过对用户入网进行限制,设置相应的目录文件以及相关的资源等。同时,还要使用登录密码,保证用户在对相关文件进行使用的过程中只有通过密码口令才能实现对其的访问。另外,还要设置相应的口令控制器,能够有效防止密码被修改,对相应的登录时间、非法访问进行检测,从而能够提高数据的安全性,避免数据丢失、泄露现象的出现。
3.3 加强防火墙配置
防火墙的作用是允许或是限制传输的数据通过,能够自主选择进入的数据,一定程度上保证了数据信息的安全。通常来说,常用的防火墙技术主要包括了:数据包处理技术、IP/URL过滤技术、TCP/IP协议处理等能够对一些不合理的信息进行拦截,保护脆弱的服务,控制对系统的访问,记录和统计网络利用数据以及非法使用数据情况从而保证数据信息的安全稳定。
3.4 加强局域网IP地址管理及网段划分
首先做好IP地址方案的设计规划,制定IP地址管理策略,合理分配IP地址,并根据业务需要划分子网或是设置VLAN,制定颁布相关的局域网IP地址管理办法,对IP地址的申请、使用、备案、禁用、回收进行严格管理,有效的局域网IP地址管理是局域网的安全和稳定的基础。网络分段是一种控制网络广播风暴的基本手段,也是一项保证网络安全的重要措施。将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
3.5 安装杀毒软件
可在局域网中架设防病毒服务器,安装络版的杀毒软件,将其和终端进行连接,然后在局域网内所有的电脑上安装该杀毒软件的客户端,就能够实现对局域网内所有的计算机的安全运行进行检测和统一监控,对没有安装杀毒软件的计算机进行警告,采用强制的手段安装升级杀毒软件,从而提高数据信息的安全性。例如:瑞星杀毒软件网络版采用“分布处理、集中控制”技术,以系统中心、服务器、客户端、控制台为核心结构,成功地实现了远程自动安装、远程集中控管、远程病毒报警、远程卸载、远程配置、智能升级、全网查杀、日志管理、病毒溯源等功能。另外,有条件的单位在实施网络规划时就将业务专网与行政专网进行彻底物理隔离,从而保证数据信息的安全。
4 总结
综上所述,事业单位局域网络的信息安全与病毒防护方式的研究具重要意义,随着网络技术的发展,事业单位信息安全管理首先从改变员工思维与安全意识着手,增强员工知识与技能,从实际出发,找出问题所在,制定有针对性的措施,从管理、技术、应用三个方面应用安全策略,才能保证事业单位局域网的安全运行,保证了良好的工作质量,避免因数据信息泄露造成难以弥补的损失和不可挽救的社会影响。
网络安全防护方法例6
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
网络安全防护方法例7
网络信息技术已渗透到了社会生活的方方面面,在为人们带来便利的同时,网络信息安全问题也随之而来。网络信息面临的安全问题随着网络技术的发展以及人们对网络技术的依赖性增强不断增多,计算机网络信息安全面临着多方面的威胁,对于网络信息安全的防护成为了网络发展过程中的重点内容,如何有效地保障网络信息安全成为新时代背景下的一大挑战。
1计算机网络信息安全面临的威胁
1.1来自网络的威胁。随着计算机网络技术的快速发展和广泛普及,人们的学习、工作和生活中处处都能看到网络技术的身影,可以说,人们生活在一个被计算机网络技术包围的时代。计算机网络的公开性和无屏蔽性虽然方便了人们利用网络,但同时也使得人们的网络信息处于不安全之中。一方面,计算机网络安全的防护措施本身就不到位,很多网络系统只需简单的认证,用户便可以登录;另一方面,用户的网络安全意识并不高,潜意识地认为网络就是安全的,这样就给了网络攻击者可乘之机。就目前网络发展状况来看,其面临着较严峻的安全威胁,计算机网络信息的安全性很难得到可靠的保障。1.2来自计算机系统的威胁。系统是网络技术的一个具体体现,其具体运用了网络技术。自计算机以及计算机网络问世以来,计算机系统就一直处于不断发展和完善的过程中。但是,一个不争的事实是:无论是计算机还是计算机网络,其本身的系统都不是绝对可靠的,安全性也无法得到绝对的保障。虽然计算机系统的漏洞无法被普通人员察觉而利用,但是无法忽视一些不法分子的存在,他们对于计算机系统的漏洞非常敏感,且常常会利用这些漏洞为自己谋取不正当的私利。所以说,计算机系统存在着漏洞,而这些漏洞对网络信息安全构成了极大的威胁和挑战,很容易使得用户遭受物质和精神上的损失。1.3来自信息数据的威胁。目前,信息数据安全在网络信息安全中占据着越来越重要的地位。网络信息数据安全面临着两大威胁:一是硬件设备问题,即用于存储数据的硬盘、U盘以及文件等被损坏,进而使得一些重要信息数据丢失,给人们造成了不必要的损失;二是网络中的软件问题,由于网络系统本身存在着某些漏洞,一旦被网络攻击者等加以利用,就会使得数据被窃取、泄露、损坏或者丢失,这样同样会给用户带来巨大的损失。另外,电子邮件和间谍软件也成为了网络信息安全的一大威胁。网络攻击者会通过恶意电子邮件或间谍软件的形式攻击网络用户,传播非法信息,拦截或盗取相关数据,以达到自身的非法目的,这种情况无疑也会给用户带来巨大的损失,严重影响了网络的安全性和可靠性。
2计算机网络信息安全防护中存在的问题
2.1硬件问题。硬件作为计算机网络的机械载体,在信息网络安全的防护过程中扮演着非常重要的角色,良好的硬件设备能够开展高效而全面的网络安全防护工作,为计算机网络信息安全提供最直接、最基础的保护。具体的硬件设备主要有系统服务器、存储设备、路由器等,这些设备搭建了计算机网络的基础框架,是数据存储、信息传播的外在载体,可以说是网络信息安全的“守门人”。但是,绝大部分的网络用户都没有对计算机硬件设备给予足够的重视,未能定期开展硬件设备的维护和更新,一旦硬件设备的问题没有得到及时的解决,那么这些问题将会越聚越大、越积越严重,最终产生的“质变”将会给用户带来巨大的损失。相比于软件问题,计算机的硬件问题属于网络信息安全的外在问题,虽然其出错以及被攻击成功的概率小于软件出现问题的概率,但是,硬件问题带来的影响往往比软件问题带来的影响更大、更深刻、更长远。随着技术的不断进步,计算机硬件设备越来越先进,设备的相关安全性能也得到进一步加强,但是这并不能说明,在计算机网络安全防护中已不存在硬件问题了,技术的进步也为不法分子的不法行为提供了便利和可能,硬件问题仍旧困扰着计算机网络安全。可以说,技术的进步与发展加剧了网络安全维护者和网络安全攻击者之间的紧张局面。2.2软件问题。计算机网络信息安全的软件问题主要包括两个方面:其一是软件本身的问题;其二是用户使用方面的问题。软件系统是计算机内部的一种产品,其承担着具体网络操作的职能,为了维护网络信息的安全,网络安全防护软件层出不穷,但是品种繁多的网络安全防护软件让人们选择困难,这就给一些假冒软件提供了可乘之机,而这些假冒软件常常以盗取信息为主要目的,对网络信息安全造成了极大威胁。另外,网络用户常常忽视了对网络安全防护软件的更新,使得部分网络安全防护软件较为落后,很难继续维持计算机网络信息的安全。用户使用网络技术的方式也给他们的网络信息安全性带来了一定的威胁。当下像支付宝、微信以及淘宝等软件系统已和人们的日常生活融合在了一起,这一方面确实给人们的生活带来了极大的便利,另一方面也增加了人们网络信息的不安全性。人们对于网络技术的依赖性越来越强,信任度也与日俱增,常常出现不假思索就将自己的重要信息上传于网络的现象,给信息泄露提供了可能。另外,很多用户在使用安全防护软件的过程中并不重视安全问题,如随意开放安全软件的限制功能,大大降低了该软件的安全防护功效,为病毒以及间谍的入侵提供了机会,严重影响了计算机网络信息的安全性。
3计算机网络信息安全防护对策
3.1加强软硬件的综合管理。可以说,硬件和软件是网络信息安全的两扇门,硬件是一扇大门,它维护着一定空间内的信息安全,而软件是一扇小门,它维护着具体的信息安全,唯有加强对硬件和软件的综合管理,才能更有效地落实对网络信息安全的防护。在硬件方面,首先应加强对计算机硬件设备的管理,及时维护和更新存在问题的硬件设备,为计算机网络系统的健康运行提供保障,从宏观上实现对网络信息安全的防护。其次,应加强对硬盘的管理,避免重要数据的丢失、遗漏和被窃取。而在软件方面,有关部门应对相关防护软件开展严格的审查,从而为用户能够选择恰当的网络信息防护软件提供保障,同时也能够有效抑制网络攻击者以假冒软件攻击网络。其次,用户要及时地维护和更新网络信息安全防护软件,使得安全防护软件能够满足计算机网络信息安全防护的需要。再者,用户应提高自身的网络信息安全防护意识,降低对网络的依赖,做到理智使用网络。另外,用户还需要加强对信息安全防护软件的了解,正确地使用安全防护软件,对防护软件的限制和保护功能给予足够的重视,每次对外开放都需经过深思。同时,用户还要定期对计算机网络进行漏洞检查和杀毒处理,避免安全隐患的存在。3.2提高对相关防护墙以及杀毒软件的重视度。在网络信息安全保障方面,网络系统的相关防护墙以及杀毒软件,相比上文提到的一些软件更具专业性和针对性,保障计算机网络信息的安全是网络防护墙以及杀毒软件的主要任务。防护墙和杀毒软件能够有效防止一些外部网络用户轻易地进入某个内部计算机网络,从而遏制他们破坏网络信息。另外,相关防护墙以及杀毒软件能够实现对大范围内的计算机网络内部操作的安全保障,从而进一步提高网络之间相互访问过程中的安全性。对相关防护墙以及杀毒软件的重视就是对网络信息安全的重视,所以,为了提高网络信息的安全性,实现对网络信息的安全防护,无论是政府部门、企业单位还是用户个人都应提高对相关防护墙以及杀毒软件的重视度,并且积极做出行动。一旦提高了安全意识,那么行动起来才会更加规范和高效,可以说,应用相关防护墙以及杀毒软件为网络信息的安全提供了最基本和最牢固的保障。3.3建立严格的局域网络管理制度。健全的局域网络安全管理制度能够很好地规范计算机网络的秩序,能够有效地保障计算机网络信息的安全,因此,为了保证网络信息的安全以及我国计算机网络的健康发展,相关部门需要制定、颁布和执行严格的计算机网络安全管理制度。首先,应严格限制内外网的进入权限,确保用户是普通用户,其使用目的不存在任何不合理之处,更要防止用户在进行内外网切换的过程中带入有病毒的信息数据,对局域网的正常运行造成干扰。其次,对于局域网的日常运行需要开展定期的检查,查看是否存在漏洞等问题,若有此问题,一定要及时修复,不能让这些隐患成为今后网络信息安全的破坏者。最后,随着网络技术的发展,局域网管理制度也要不断更新和完善,局域网管理制度用于对网络结构的宏观管理,在当下其与其他社会管理制度类似,同样需要将国家政治、社会制度、经济状况以及历史文化等因素考虑在内,所以,当这些因素发生变化时,局域网络管理制度也要进行相应的变化。
4结语
网络信息安全面临着来自网络安全、计算机系统以及信息数据三大方面的挑战,随着网络信息技术的深入发展,采取措施防护网络信息安全成为了当下社会发展过程中的重要任务,而计算机网络信息安全的防护在硬件和软件方面都存在着一些亟待解决的问题,只有加强对软硬件的综合管理、提高对相关防护墙以及杀毒软件的重视度以及建立严格的局域网络管理制度,才能更有效地保障计算机网络信息的安全。
作者:罗映冰 单位:广东省汕尾市边防支队机要科
参考文献
[1]刘钦.计算机网络信息安全及其防护对策探讨[J].网络安全综述与趋势,2015(5):16-17.
[2]马列.计算机网络信息安全及其防护对策探讨[J].信息技术与信息化,2017(3):131-133.
[3]张康荣.计算机网络信息安全及其防护对策分析[J].网络安全技术与应用,2015(4):21-23.
网络安全防护方法例8
2网络安全防护意识不足
在我国,由于技术条件的限制和人们对于网络安全认识的不足,导致了我国的计算机网络安全存在着较多的问题。首先是运营商自身的网络安全意识较差,在进行网络建设时并未作出合理化的网络安全规划,太过于依赖网络设备的边界条件。而且目前在进行网络通信时存在着较多的远程维护管理操作,而在进行远程管理时就极易发生网络安全问题。用户的网络安全意识薄弱是导致网络安全隐患的另一个重要因素,这主要是由于用户对于网络安全缺乏足够的认识,对于重要的数据信息没有及时的进行有效备份处理,以致于在发生网络安全问题时就会造成较为严重的损失。
3提升网络通信安全防护措施
根据对目前的计算机网络通信中存在的网络安全隐患的分析,结合具体的网络安全防护实践经验,提出以下几个方面进一步提高网络通信安全防护的措施:
(1)加强网络信息的传输安全
随着计算机网络技术的发展和人们对于网络通信需求的不断提升,网络通信的数据量不断增加,因此做好传输信息的安全防护是整个网络安全防护的关键环节。其具体的实现措施主要有以下三个方面:首先是加强信息传输过程中的网络入侵检测,对恶意使用计算机资源的行为实现及时的检测,并且进一步扩大入侵检测的范围,逐步实现在整个计算机网络的入侵检测,将网络入侵的概率降到最低;其次是对传输的数据进行加密处理,数据在进行有效的加密处理后就会以完全不同的形式呈现你,因此即便不法分子获取到数据信息也无法进一步利用信息,降低了网络安全问题代带来的损失;同时要大量推广数字签名制度,即在进行网络通信时收发双方都需要对自己的身份作出说明,在一方使用数字签名发送时,另一方则必须通过正确的密钥才能够实现数据信息的解密,以实现数据信息安全传输的目的。
(2)加快网络通信安全制度建设
目前,运营商和用户都要积极的采取措施降低网络安全隐患,而这首先需要一个较为完善的制度保障。国家的有关计算机网络安全部门要采取积极的措施,尽快完善我国的网络安全制度建设,制定统一的网络安全防护标准,并且对网络安全防护中存在的不负责人行为予以追究,以更好的营造良好的网络通信安全环境。
(3)提高人们的网络安全意识
网络安全防护方法例9
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)22-0024-02
当前,计算机技术和网络技术正逐渐深入到社会生活的方方面面,世界各国之间通过网络交流来加强相互联系,人们对于信息网络的依赖也正逐步加深。它在给人类社会发展带来机遇的同时,也带来了“黑客”、“病毒”等严峻的考验。由于人们的网络安全意识淡薄,一些不法分子利用网络漏洞,对国家财产、信息以及居民个人信息进行非法窃取,严重影响到社会的健康发展和长治久安。网络中存在的风险应当引起人们足够的重视,使我们了解风险并规避风险,以恰当的方式将风险转化为有利因素。做好防护措施,不断加强网络自身安全才是计算机网络安全的关键[1]。
1 网络防火墙及其分类
1.1 网络防火墙
计算机网络防火墙是一种能有效拦截不安全信息的防护网。它减少了不安全因素的入侵攻击,加强了两个网络之间的访问控制连接以及对网络内部与外部的防范。它是安装在网络内部和外部的连接点上的,外部网络在进行信息传递时,需要通过防火墙的检测,在确定所传递信息没有问题时,防火墙才会将安全的信息传递给内部网络共享。网络防火墙主要的组成部分有:限制器、分离器以及分析器等[2]。
1.2 网络防火墙特性及分类
防火墙在网络信息传输过程中起着屏障保护作用,它将安全防范集中于外部网络和内部网卡的连接阻塞点上。网络防火墙具有阻塞信息传递的功能,网络上进出的信息必须通过防火墙这一关键传输节点,对不合乎规范的信息将进行阻拦。大量信息的交流与传递给人们的生产、生活带来诸多便利的同时,一些人在利益的驱使下,为达到某种目的,对计算机网络发起恶意侵犯,为网络安全带来破坏。从其侧重点和防范方式上来讲,通常可将网络防火墙分为两种类型:包过滤防火墙和服务器。
包过滤防火墙是指对网络层中的数据进行筛选,使之有选择性地通过[3]。服务器通常被称为应用级防火墙,与包过滤防火墙不同,服务器型防火墙是利用服务器的主机将内部网络与外部网络分开,内部发出的数据包在通过服务器防火墙的处理后,可以有效地隐藏内部网络结构[4]。
2 网络安全与防火墙技术应用分析
2.1 防火墙技术应用的必要性分析
网络系统的控制会受到各方面的攻击,其系统在一些情况下是比较脆弱的。在windows系统中默认开放了较多不必要的服务和端口,在资源共享方面没有进行合理的配置及审核。管理员在通过安全部署并严格执行ntfs权限分配后,加强控制系统的映射和共享资源的访问。在完成这些操作后依然不能说Windows是足够安全的,它在一定程度上也会受到网络攻击,其服务系统在安全性、可用性以及功能性等方面无法进行权衡。防火墙技术的应用对整个网络安全起到了保障作用,有利于网络的发展和壮大。在对网络中所有主机进行维护时,维护问题将不断复杂升级化,因此启用安全防火墙显得尤为必要。
2.2 防火墙技术在网络安全中的应用分析
计算机网络中出现的安全问题,促进了防火墙在计算机网络安全中的应用。为了有效保护网络安全,体现出防火墙技术的实用性及安全性,可以充分利用从以下几种方式。
2.2.1 访问策略中的防火墙技术应用
访问策略是防护墙技术的应用核心,在计算机网络安全中占据着主体地位。访问策略的应用实施主要是以配置为主,在详细规划安排的基础上对整个计算机网络信息运行过程,形成科学的防护系统。防火墙技术针对计算机网络的运行实际,制定有效的规划访问策略,以此来营造安全的网络环境。
2.2.2 日志监控中的防火墙技术应用
部分用户在使用计算机网络的过程中,善于分析防火墙技术的保护日志,并从中获取相应有价值的信息。日志监控是计算机网络的一个重要保护方式,是防火墙技术中的重要保护对象。用户在对防火墙日志进行分析时,重点把握关键信息。用户在使用防火墙技术对网络安全进行保护所生成的日志时,仅需要对其中某一类别的信息进行全面采集,防止因数据量过大以及类别划分等原因造成采集难度增加。有效的信息采集方式能在一定程度上降低恶意屏蔽风险,发挥日志监控的有效作用。用户在防火墙信息中实时记录报警信息,在日志监控作用下,防火墙技术保护网络安全的能力得到了进一步的提升,在优化网络资源配置的同时,也提高了防火墙技术的筛选能力。
2.2.3 安全配置中的防火墙技术应用
安全配置是防火墙技术应用的重点内容。在安全配置中,可以将网络安全按照不同的性质划分为多个不同的模块,对于需要进行安全防护的模块进行重点保护。防火墙技术的隔离区属于单独的局域网,它是计算机内部网络的组成部分,对保护网络服务器内部的信息安全具有重要作用。计算机网络防火墙对安全配置的要求是相对较高的,主要原因是其应用效率较高。安全配置在隔离区域的设置中具有明显的特征,与其他的计算机网络安全防护技术的不同之处在于,其主要工作方式为:网络防火墙技术监控区域内的信息流通主要是利用地址的转换,将内网流入到外网的IP地址转化为公共IP地址,以此来避免外网攻击者获取分析IP地址,地址技术的转化对保护内网、防治外网入侵、保护隐藏IP地址均有重要作用。
防火墙技术与网络安全建设息息相关,防火墙要适应网络的发展,并以新的技术和方法来解决网络发展带来的问题。在未来的防火墙建设中,我们需要考虑的是建设更加适应网络信息化发展的防火墙模型,加强网络评估方法和网络安全防范技术的升级[5]。
3 结束语
防火墙技术对解决网络安全起着重要的作用,它是信息化不断发展的产物。为应对层出不穷的网络漏洞,网络防护墙技术也随之不断更新和完善。要使防火墙技术更能符合网络安全发展的需要,研发人员要在提高安全性,加强网络化性能等方面做好防火墙技术的研究。
参考文献:
[1] 戴锐. 探析防火墙技术在计算机网络安全中的应用[J]. 信息与电脑(理论版), 2011(11):45-46.
[2] 曹建文, 柴世红. 防火墙技术在计算机网络安全中的应用[J]. 甘肃科技纵横, 2005(6):41-42.
网络安全防护方法例10
前言
进入新时代后,随着电力需求不断增长,智能电网逐渐应用到了人们的生活中,这也就使得其相关的信息安全防护得到了人们的广泛重视。因此,必须了解等级保护制度,并分析智能电网的信息安全防护模型,提高电网运行的效率与质量,从而为我国电力事业健康发展奠定良好基础。
1基于等级保护的智能电网总体防护模型
在设备功能方面,智能电网体系可以分为四个层次,即基础硬件层、信息通信层、感知测量层以及调度运维层,并且其信息安全主要涉及到物理安全、数据安全、网络安全以及备份恢复等方面[1]。物理安全指的就是通过物理措施避免智能电网中的存储设备、网络设备以及传感器等硬件设备出现入侵、破坏等问题;网络安全指的是合理划分智能电网的网络安全区域,并实现网络防病毒、纵向互联以及边界安全;而数据安全和备份恢复则是要做好访问控制与数据加密等工作。在安全技术层面,智能电网需要的是业务系统安全防御、实时防护、网络信任体系、基础设施安全保障以及新型密码等技术。智能电网在分析、落实以及扩展等级保护制度的基础上,形成了具备物理环境安全、边界安全、主机安全、网络环境安全、应用与数据安全等内容的全面信息安全防护模型。根据智能电网具备的特点,下面将对模型中的各部分内容进行详细阐述。
2物理环境安全
在等级保护制度中,物理安全的主要对象是机房,其指的就是在物理安全措施的实施下,保证机房中的相关设备可以安全、平稳运行。物理安全防护措施主要有合理选择机房建设地点,安装防盗、防火防潮、防雷击以及防静电等设施,冗余供电线路提供等。智能电网中的信息采集系统、配电自动化系统以及实时监测系统中使用的配电终端、智能表计以及采集、监测终端等设备,通常是安装在室外环境中,如输电杆塔、居民区等。因此,智能电网还应该做好室外环境安全防护工作。具体方法有提高室外机柜的安全性、安装监控警告设备、实施电磁防护措施以及增加室外机柜的灾害防御能力。结合等级保护制度的要求,可以通过合理划分区域及物理措施实施等方法,对机房进行有效安全防护。
3网络环境安全
在等级保护制度中,网络安全的对象主要有系统网络结构、网络信息流、网络设备、数据流以及网络边界等,而防护措施则是过滤数据流内容、检测恶意代码、网络分段以及设备安全审计等。目前,智能电网逐渐向着用户侧发展,网络结构变得更加复杂,网络协议与通信方式也变得多样化,尤其是在应用方面,由于无线网络具有接入便利和灵活等特点,这使得其在用户侧、线路监测以及配网等方面都得到了广泛应用。因此,必须提高智能电网网络结构的安全性与可靠性。目前,我国电力通信网络已经分成了两大区域,即生产控制区域管理信息区,而这两个区域之间主要是通过单项隔离装置来实现数据信息的交互。为了保证网络环境安全,应该从无线网络、网络协议以及网络设备三方面入手。①应该做好无线公共网络的传输安全防护。在使用3G、CDMA以及GPRS等无线网络进行数据传输时,应该通过身份认证、无线虚拟专网以及传输加密等方法保证传输的安全性,以此来提高数据信息的完整性与保密性。②对生产控制区的网络协议做好安全防护。通过对“震网”病毒的研究可知,在系统内部网络中,即使实施了物理隔离措施,其在一定程度上仍会遭到病毒攻击。当前,智能变电站中应用的通信协议在身份认证方面还存在不足。因此,为了有效应对其带来的安全风险,应该扩展原报文,并将消息认证码与安全认证码融入其中,以此来提高通信报文的完整性、保密性。③在网络设备方面,应该严格遵守等级保护制度的基本要求,并在这一基础上,增加安全审计和身份鉴别等功能。安全审计功能指的就是审计相关管理员的实际操作,并及时关闭不必要的网络服务与端口。身份鉴别则可以采取对同一设备用户标识进行限定、禁止多人使用一个账号、增加认证口令复杂度以及对默认用户名进行强制修改等措施[2]。
4边界安全
在等级保护制度中,主要是通过访问控制、恶意代码防范、攻击行为检测以及非法链接阻断等方式,来对边界安全进行有效防护。智能电网只有在遵循等级保护要求的基础上,及时检测并阻断信息管理区内部的非法网络行为,并有效审核、监控计算机的状态,才能提高边界的安全性。结合通信网络分区的特点,边界可以分为第三方网络、纵向网络以及横向区域三种。在使用采集、智能、移动作业以及监测终端进入内部网络时,边界可以通过安全接入系统来发挥集中监管、安全审计、身份认证以及数据安全检测等功能。同时,还可以通过防火墙与访问控制的设置,提高数据信息传输的安全性。另外,还能够通过入侵检测或者是防御系统来检测、警告并防御相应的攻击行为,并和防火墙联动起来,对攻击进程和相应的网络服务进行及时阻断,从而为边界安全提供有力保障。
5应用、数据安全
在智能电网安全防护中,密码技术发挥着重要作用,其不但可以对重要信息进行加密,还具有系统安全、身份验证以及数据签名等功能。因此,在构建安全防护系统时,必须合理利用密码技术,提高数据信息的安全性、确证性以及完整性,避免假冒伪造或者是篡改等问题的出现。在对访问控制、信息存储与传输安全进行综合考虑的基础上,智能电网可以采取信息摘要和文件加密等方法,为数据传输、存储等提供有力安全保障。同时,还可以建立PKI平台,并通过统一、安全认证授权体系与一体化的服务,保证数据信息传递的安全性。另外,还可以将全部用户信息统计到相应的管理系统中,提高身份认证的效率与质量,从而促进智能电网平稳运行。
6主机安全
