时间:2023-03-01 16:21:09
导语:在安全技术论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(国家级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
网络是进行信息交流的平台,由于其开放性的存在,进而导致了很多潜在的安全隐患的存在成为可能。因此就要对网络安全进行重视。这就需要我们从事网络安全的工作人员,从观念上对网络安全进行重视。很多工作人员由于观念落后,在技术上面不懂得提高,对于网络的工作原理并不清楚,这样就给不法分子提供了作案的机会。同时,要意识到安全软件都是滞后于病毒产生的,所以不要觉得通过杀毒就可以将所有的病毒全部查找出来并且杀掉。
2提高计算机网络安全的对策
2.1安装杀毒软件和防火墙
杀毒软件是由于网络安全问题的出现而产生的一款专门针对网络病毒和非法入侵的软件,主要对木马、病毒以及一些入侵行为进行监控和阻止。防火墙技术是加强对网络防卫进行监管,保证上网环境和浏览环境安全的技术,是对网络中传输的数据进行检查,进而确定数据安全性的网络安全技术。同时,防火墙还具有对网络运行进行监控的功能,对外部的入侵行为进行阻止。目前的防火墙技术非常多,通常可分为包过滤型、监测型、地址转换型等,针对不同类型的网络安全,防火墙技术也不一样。这样通过使用防火墙,就会对网络的安全进行一定的保障。
2.2采用信息加密手段
网络信息加密主要有端点加密、节点加密、链路加密等,端点加密是保证源端用户到目的端用户的信息安全、数据传输安全,对数据提供保护;节点加密是通过数据传输链路的保护,从而保护源节点和目的节点的数据传输安全;链路加密是节点间链路安全的保证。用户可以根据自己的使用需求不同而对信息加密的方式进行不同的选择,对所需要保护的信息安全进行保护。用户的账户种类很多,主要包含邮件账号、网页账号以及银行账号等,账号和密码往往是黑客进行网路攻击的主要目标,所以对于网络账户和密码一定要加强保护意识。对于密码的保护,要做到以下几点:第一是对密码的设置进行下划线、数字以及字母的组合运用,这样就可以增加解码器的难度;第二是通过对密码进行手机绑定和认证,增加更大的安全性能。
2.3及时修复系统漏洞
操作系统存在漏洞是非常普遍的,所以漏洞的存在,对于网络安全也是一种隐患。漏洞经常出现在程序、应用软件以及硬件等各个方面。所以,用户在使用的过程中,一定要有自己的安全意识,及时对漏洞进行检查和修复,对于不必要的网站和安全软件显示为具有威胁的网站尽量不要打开。
2.4加大安全技术管理
首先是转变认知观念,要对网络安全进行深刻认识,了解到自身利益与网络安全的关系,对于网络安全存在的问题要提高警惕;其次,在对网络安全进行管理的过程中,加强网络安全的立法,以法律为基础对网络安全破坏者进行打击;最后,提高网络安全保护意识和机能,增加网络安全技术研发和应用投入。
3结束语
基于皮带运输的三种方式都存在弊端的状况,不妨将这几种启动方式联合起来综合利用,取其精华,去其糟粕。因此,采用声光报警延时启动的办法来启动皮带不失为一种创新。在皮带传输过程中,存在着两种状态,分别是单机启动方式和连锁启动的方式。因此,在利用声光报警延时技术的过程中就要分别从单机启动和连锁启动两个方面进行设计。连锁启动的工作机理如下:在连锁启动的方式下,每个继电器都被赋予了各不相同的时间状态,这样在启动过程中就可以实现既定的先后启动顺序,进行报警的工作。单机启动的工作原理比连锁启动的机理要显得复杂,其具体工作原理如下:当开关开启后,位于中间的继电器就会闭合,造成其他继电器也发生闭合拉动报警器,并且发出红色的灯光,使得时间继电器获得能量开始工作,拉动皮带的运输。
从单机启动的原理和连锁启动原理可以看出两种启动方式都有着各自的特点,但是却非完美无缺,仍然可以进行优化改革工作。下面就来进行探索如何改进两种启动方式。首先准备好实验所需要的各种材料,比如各种设备,元部件等等,还要选择好实验的地点(假定实验的地点在一个普通的生产车间)。接下来开始实验:在这个车间之内,存在着三大系统,有着十三条皮带,有着六个振筛,我们要在其休息的时间将实验需要的部件装到这些设备上,包括单机配电箱,连锁配电箱,延时声光报警器。从3个系统和13条皮带可知我们要准备39个实验部件。安装好后,开始实验。在单机启动设备里,声光报警在延后三十秒之后开始运行,一旦声光开始运行,报警器就停止工作。在连锁启动系统里,声光报警器运行存在着先后顺序关系,并且是有序进行的,只有当最后一个环节延时启动之后,声光报警器才会停止工作。显然,单机启动和连锁启动是截然不同的。
对这个实验进行分析,我们可以得出以下结论:将延时启动和声光报警联系起来可以解决以往存在的安全问题。因为在这个系统之内,给了工作人员一定的时间做出反应,如果发生了事故,延时启动带来的时间给工作人员做好防护措施创造了一定的时间,从而降低安全事故发生的概率。
这个系统的创新点并非横空出世,而是在长期实践过程中总结出来的经验,解决了由单一方式留存的安全隐患,实现了声光报警和延时启动的完美结合,做到了对资源的合理利用。目前已经有了实时监控技术,甚至微机自动化控制也已经发展起来,但是在皮带运输领域中还不见这些先进技术的身影。因此,在今后改造皮带运输的安全技术中,要致力于实现实时监控的目标,要致力于实现PLC技术的应用,要不断提高自动化的程度,不断提高安全性能。
2小结
(1)增强安全Linux系统SELinuxAndroid系统权限主要由应用层权限和Linux内核的文件系统权限组成,APP应用通过在AndroidManifest.xml文件中声明申请应用层权限,Linux文件权限则明确了系统内每个文件的读、写、执行、拥有者和分组的权限。Android系统宽松的开放性为其带来高速的发展,但同时也暴露出各种安全问题,从Android4.3版本开始,在内核集成了SELinux,增强操作系统的安全性。SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于LinuxKernel中。SELinux定义了系统中每个用户、进程、应用和文件的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。只有同时满足了“标准Linux访问控制”和“SELinux访问控制”时,主体才能访问客体。在SELinux中,通过事先定义每个进程的允许操作,来禁止其进行越轨的操作。集成了SELinux的Android系统沿袭了这一机制,通过限制各进程的操作权限,可以防止恶意软件篡改系统。一般来说,攻击漏洞的恶意软件为了长久利用篡夺到的Root权限(系统超级权限),会在Android的系统区中埋设特点命令(如su切换用户命令),而在SELinux中,通过事先设定不允许以Root权限执行的各种进程改写系统区和重复挂载,就可以有效回避此类攻击。Android5.0之前的SELinux默认设置为Permissive模式,即对违规行为只作日志记录,供事后审计,而5.0版本则默认设置为Enforcing模式,真正启用SELinux,对违规行为进行拒绝并日志记录。由于Android系统的开源特性,开发者可对操作系统的内核源码进行修改,放宽SELinux策略检查,向没有锁定Bootloader的终端设备刷入定制的内核,以获得不受限制的Root权限。(2)用户参与的权限管理针对一些敏感的权限,iOS都会弹窗请求用户的许可,如开启GPS定位、网络连接、拨打电话等,而对一些涉及隐私的权限,则不对第三方APP开放,如收发短信、联系人管理等。由于iOS的封闭性对于权限管理机制有一定程度的保护,而且随着iOS系统的不断改进,越狱困难越来越大。
2安全域隔离
(1)TEE隔离iOS在推出TOUCHID功能的同时也推出了SecureEnclave安全域,SecureEnclave是苹果A7及以上主处理器的协处理器,其自身具有微操作系统,与主处理器共享加密RAM,通过中断与主处理器通信,操作系统借助它实现指纹特征数据、UID和GID密钥等需高安全级别关键数据的存储,其在架构上与TEE相似。TEE系统架构标准由智能卡及终端安全的标准组织GlobalPlatform,它提出了在原有硬件和软件的基础上,隔离出可信执行环境TEE(TrustedExecutionEnvironment)和富执行环境REE(RichExecutionEnvironment),其中TEE用于安装、存储和保护可信应用(TA),而REE用于安装、存储其它的应用。TEE具有自身的操作系统,与REE环境中的操作系统(如iOS、Android)相隔离。REE中的授权应用,通过驱动程序才能与TEE中的驱动程序通信,不可直接访问TEE的资源。TEE还可具备可信用户界面(TUI),为一些关键的屏幕显示和交互提供了安全保障。图3为TEE系统架构示意图。TEE在实际应用中也存在一些问题与缺点:TEE的硬件隔离主要体现在对CPU资源的分时或分核隔离、RAM资源和存储资源的寻址隔离等,物理器件上仍然与REE环境共享,实质上只是芯片内的软件调度隔离,因此不具备较高的防篡改能力。同时,TEE仍存在认证的问题,CC(信息技术安全评价通用准则)组织的EAL(评估保证级别)等级认证仍在进行中。针对TEE架构的移动平台攻击包括:1)芯片攻击利用JTAG调试接口对MMU(内存管理单元)处理器单元重新编程,修改RAM及存储的寻址范围,以获得相应数据的访问权限。利用物理探针在SoC芯片的数据总线上进行信号窃听。2)共享资源攻击如果REE环境中的非法代码能共享访问与TEE相同的CPU或RAM资源,那么TEE就存在受到共享资源攻击的风险。3)系统漏洞攻击在智能手机设备上发现了TEE内存访问控制的漏洞。Bootloader存在设计漏洞,可用于系统非法提权。整数溢出会给TEE的运行带来风险。在安全启动代码中存在证书处理或签名有效期的漏洞,允许黑客插入恶意代码。4)入侵式攻击篡改代码签名机制可允许黑客插入恶意代码。(2)SE隔离SIMallicance组织提出了基于Java语言的OpenMobileAPI机卡通信接口,使得运行于智能手机操作系统上的应用可通过操作系统提供OpenMobileAPI接口,使用ISO7816协议与SE安全单元中的Applet应用通信,现主要应用于Android系统。SE是具有防物理攻击的高安全性的芯片,内含独立的CPU、RAM、FLASH和操作系统,SE可存储密钥等关键数据信息,SE中的Applet应用可进行各种加解密算法的运算。主流SE芯片厂家通过了CC组织的EAL5+安全认证,这是目前较为安全的系统隔离方案。由于SE自身不具备UI界面,需借助上层操作系统(即REE),用户输入的PIN码等仍有被截获的风险。由于Android系统的开源特性,黑客可对操作系统中安全规则检查模块代码进行修改、编译并向终端重新刷入更改的模块,使得非授权应用可直接与SE中的Applet通信,为终端安全带来极大的风险。
3安全解决方案建议
REE+TEE方案或REE+SE方案在一定程度上提升了终端系统的安全性,但仍然存在一定的缺陷,难以抵挡高级别的攻击。以下针对运营商的具体情况给出一些建议:(1)架构方面:建议SE不直接与REE对接,而是与TEE的TrustedKernal对接,REE对SE的访问,可通过TEE进行,即REE+TEE+SE方案。(2)关键信息存储方面:原存储于TEE中的密钥、密码等关键信息,可转移放至SE中,借助SE的抗攻击能力,对关键信息实施保护。(3)关键运算载体:大数据量的加解密预算,如对称加解密运算等,建议由TEE中TA应用负责,借助TEE丰富的运算和内存资源保障响应性能;小数据量的加解密运算,如数字签名等,建议由SE中的Applet应用负责。(4)实施建议:电信运营商的SIM卡是现成的SE资源,且具有成熟的TSM后台对其管理,终端TEE可通过ISO7816接口与SIM卡SE进行对接,把SIM卡SE作为可信设备,从而构建出软件+硬件的整套安全解决方案。
4结束语
此类攻击的目的在访问网络过程并躲避付款,其具体的表现为:冒充合法用户—窃取访问网络服务的授权;冒充服务网络—访问网络服务;冒充归属网络—窃取能冒充合法用户身份的认证参数;对用户职权加以滥用—享受网络服务而不付款;对网络服务职权加以滥用—窃取非法进行盈利。
2无线接口中的不安全因素
在安防移动通信网络当中,固定网络端和移动站之间的整个通信传输均经由无线接口来实现,而无线接口为开放失去封闭性,作案犯罪嫌疑人为取得有用的传输信息,能经无线接口窃听信道而获得,甚至能够对无线接口中的消息进行删除、修改、插入或者重传,从而实现冒充用户身份对网络终端进行欺骗的效果。按其攻击类型也可以分为威胁数据完整性、非授权访问网络服务、非授权访问数据三种。
3服务后狡赖类攻击
此类攻击指的是在通信后否定以前出现过该次通信,从而逃避相关责任,详细表现:为责任狡赖—拒绝负责任或付费;发送方坚持否认—不肯为此次服务承担起责任或付费;接收方发生狡赖—不肯为该次服务承担起责任或付费。
3.1移动端的不安全因素
在安防移动通信网络当中,移动站构成了移动端。移动站作为移动通信网的通讯工具,既是移动用户的访问端,还储存着用户的有关信息,在日常工作生活中因移动电话易于丢失或者被盗,致使给移动电话带来诸多不安全因素:使用捡来或盗窃的移动电话免付费进行访问网络服务,造成丢失移动电话者出现经济损失;犯罪分子如果读出移动用户身份认证密钥或国际身份号,这能将很多移动电话进行复制,并且利用移动电话进行非法买卖,给网络服务商与移动电话用户蒙受一定的经济损失。
3.2攻击风险类
攻击风险类的不全安因素也会使安防移动通信网络受到一定的威胁。详细描述:无线窃听––对无线信道中传输的用户相关的信息进行窃听;冒充攻击—冒充网络端欺骗移动用户或冒充移动用户欺骗网络端;完整犯—对无线通信控制信道中传输的信令信息加以更改;否认业务—网络端服务提供商伪造账单、移动用户滥用授权;移动电话攻击––盗窃移动电话、复制移动电话与对移动电话身份号进行更改。
4安防移动通信网络中的安全技术策略
不安全因素在安防移动通信网络中的出现,既对移动用户的隐私与经济利益造成威胁,又会使安防移动通信网络的安全运行受到一定的影响。为了让各个方面的利益受到保护,一定要采取切实有效的安全策略,让不全安因素消除在萌芽之中。
4.1认证性安全技术业务
该项安全策略业务可以分三类,详细操作为:用户身份认证性的宗旨—对移动用户身份的鉴定,以便预防冒充用户的出现;网络身份认证性的宗旨—对网络身份的鉴定,以便预防非法攻击者冒充网络进行相关诈骗;完整性检测信令数据的宗旨—使无线信道中传输的信令信息完整性得以保护,预防被人进行篡改。
4.2应用层安全技术业务
随着电子商贸的迅速发展与安防移动通信网络服务的不断增加,增设安全技术业务于应用层当中已成必然,其详细描述为:实体身份认证—两个应用实体使对方的身份进行相互认证;数据源认证—接收方应用实体认证数据对源自于发送方加以确定;数据完整性认证––接收方应用实体确定收到的数据未被篡改;数据保密性—让两个应用实体间的数据通信得以保护,使端到端的保密性得到实现,有效预防流分析;数据接收证明—发送方应用实体认证能够证实接收方已收到相关的应用数据。
4.3移动电话保护
移动电话厂商能够为每台移动电话分配一个全世界唯一的IME(I移动设备国际身份),移动电话每当对移动通信网络进行访问时,它一定要传IMEI给EIR(移动设备识别寄存器);EIR对该IMEI进行检查有无在丢失与失窃移动电话于黑名单中,如果在EIR即传一个有效信令锁起该移动电话,该时使用人不能进行开锁,也等于未能继续使用此移动电话,该方法能有效防止非法用户用偷来的移动电话对网络服务加以滥用。但不排除有部分犯罪分子采取新技术对偷来的电话的IMEI进行改变,由此有效避过黑名单的检查。而移动电话厂商一般把IMEI设置在保护单元中,即是具备防撬功能的只读存储器,目的就是为了预防对移动电话的IMEI进行修改。
5结束语
架空线路由杆塔、导线、绝缘子和金具组成,架空线路在设计、安装、运行和维护方面的安全要求是:(1)线路设计应满足用电需求和安全要求,最重要的是正确选择导线截面和保证安全间距。(2)施工前应对器材进行外观检查。水泥电杆横向裂纹的宽度≤0.1mm,长度≤电杆周长的1/3。(3)电杆的埋设必须牢固稳定。一般土质电杆埋设深度为杆长的1/10加700mm。(4)线路横担应平直整齐。直线杆单横担应装在受电侧,90º转角杆和终端杆采用单横担时,应装于拉线侧。导线为水平排列时,上层横担离杆顶距离不宜小于200mm;(5)承力杆必须打拉线。与电杆的夹角不宜小于45º,受限制时不小于30º。转角杆的拉线与线路分角线方向垂直,大于30º的转角杆应分别在导线的反方向各打一根拉线。终端杆拉线在导线张力的反方向,耐张杆应顺着导线方向向两侧打。(6)导线架设应遵守下列规定:1)放线防止导线在展放过程中发生磨伤、断股、扭弯等现象。钢芯断股或导线损坏的截面超过导线导电部分的17﹪时,应割断重接;断股或损伤较轻时,可敷线修补,敷线长度应超过缺陷部分两端100mm以上;2)导线的连接不同金属、规格、绕向的导线严禁在同一档距内连接;同一档距内每根导线只允许有一个接头,接头距导线固定点不应小于0.5m。架空线路在跨越铁路、公路、电车道、河流、通信线路和其他电力线路时,在跨越档距内不允许有接头;3)采用单线收紧,应先紧中线后紧边线;4)城镇地区的高压线路,应至少每月巡线一次;郊区和农村的高压线路,应至少每两个月巡线一次;低压线路应至少每三个月巡线一次。树叶与3~10Kv线路的垂直距离<1.5m,水平距离<2m,与3Kv以下的线路距离<1m,必须及时修剪。
2进户装置
高压接户杆应装设跌落保险一是作为进线段的保护,二是便于停电检修;档距不应大于30m。接户线在引入口处的对地面距离不应小于4.5m(有遮拦和非通道处不小于3.5m);接户线的线间距离不应小于0.6m(进户穿墙套管间中心距离不得小于350mm);导线截面应不小于25mm²(铝绞线)。低压接户线的档距不宜大于25m(最大不超过35m),超过此档距时宜设进户杆。进户点距地面的高度不应小于2.7m,当进户点高度不足2.7m时,或则在墙上固定线穿管进户,或则加装进户杆。接户线在最大驰度时,对通车困难的街道、胡同、人行道的垂直距离不应小于3.5m。接户线从上方与弱电线路交叉时垂直距离应大于0.6m,从下方交叉为0.3m,如不能满足,可用瓷管隔离。进户线的最小截面允许为:铜线1.5mm²,铝线2.5mm²。不宜用软线,中间不可有接头。
3临时低压架空线路
临时低压架空线路的架设必须牢固。档距不宜超过30m,干线线间距离不得小于300mm,对地高度不得低于4m,跨越通道时不得低于6m;分支线必须采用绝缘导线,线间距离不得小于200mm,距地高度不得低于2.5m。临时线路的使用期以6个月为限,超过6个月应按正式线路的标准架设。临时线路使用完后,应立即拆除。
4电缆线路
施工过程中,严防电缆扭伤。电缆弯曲半径与电缆外径的参考比值:油浸纸绝缘铅包铠装多芯电力电缆为15倍(无铠装为20倍),同型单芯电缆为25倍;铠装塑料绝缘电力电缆为10倍(无铠装为8倍)。
5室内低压布线
5.1室内布线方式的选择
室内布线可分为明配线和暗配线两大类,每类又有若干敷设方式,应根据内线工程的周围环境和现场条件选择安全合理的布线方式。在有腐蚀性介质,特别潮湿以及在火灾、爆炸危险的场所应采用暗配线敷设。禁止在以纸、桔杆等易燃物做成的顶棚内方式导线。
5.2对布线的一般要求
线路的走向应尽量远离锅炉、烟道、蒸汽管道等热源、易燃物品及其他危害线路安全运行的设施。当间距不足时,应采取在管外包绝热层的隔热措施或绝缘隔离措施。水管与电线管在同一平面敷设时,宜将电线管敷设在水管的上方。布线完工后,通电前应进行绝缘电阻测量。相对地和相对相的绝缘电阻分别不应小于0.22MΩ和0.38MΩ,对于36v及以下的低压线路也不小于0.22MΩ。在潮湿有腐蚀性蒸汽或气体的场所,绝缘电阻值的标准可降低一半。
5.3对各种配线方式的安全技术要求
关键字:防火墙;网络安全;内部网络;外部网络。
一、概述
随着计算机网络的广泛应用,全球信息化已成为人类发展的大趋势。互联网已经成了现代人生活中不可缺少的一部分,随着互联网规模的迅速扩大,网络丰富的信息资源给用户带来了极大方便的同时,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。为了保护我们的网络安全、可靠性,所以我们要用防火墙,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。
其实防火墙就好像在古老的中世纪安全防务的一个现代变种:在你的城堡周围挖一道深深的壕沟。这样一来,使所有进出城堡的人都要经过一个吊桥,吊桥上的看门警卫可以检查每一个来往的行人。对于网络,也可以采用同样的方法:一个拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过一个电子吊桥(防火墙)。也就是说防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
防火墙不是一个单独的计算机程序或设备。在理论上,防火墙是由软件和硬件两部分组成,用来阻止所有网络间不受欢迎的信息交换,而允许那些可接受的通信。
二、防火墙技术
网络防火墙是一种用来加强网络之间访问控制的特殊网络设备,它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则被称为外部网络或公用网络。防火墙能有效得控制内部网络与外部网络之间的访问及数据传输,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:
1、所有的内部网络和外部网络之间传输的数据必须通过防火墙;
2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙;
3、防火墙本身不受各种攻击的影响;
4、使用目前新的信息安全技术,比如现代密码技术等;
5、人机界面良好,用户配置使用方便,易管理。
实现防火墙的主要技术有:分组筛选器,应用网关和服务等。
(1)分组筛选器技术
分组筛选器是一个装备有额外功能的标准路由器。这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
通常,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,拥塞的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个UNIX设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成,端口表明希望得到什么样的服务。例如,端口23是用于Telnet的,端口79是用于Finger分组,端口119是用于USENET新闻的。一个公司可以拥塞到所有IP地址及一个端口号的分组。这样,公司外部的人就不能通过Telnet登陆,或用Finger找人。进而该公司可以奖励其雇员看一整天的USENET新闻。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多筛选分组器只是拦截UDP分组流。
(2)应用网关技术
应用网关(ApplicationGateway)技术是建立在网络应用层上的协议过滤,它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。它的另一个功能是对通过的信息进行记录,如什么样的用户在什么时间连接了什么站点。在实际工作中,应用网关一般由专用工作站系统来完成。
有些应用网关还存储Internet上的那些被频繁使用的页面。当用户请求的页面在应用网关服务器缓存中存在时,服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新),如果是最新版本,则直接提交给用户,否则,到真正的服务器上请求最新的页面,然后再转发给用户(3)服务
服务器(ProxyServer)作用在应用层,它用来提供应用层服务的控制,起到内部网络向外部网络申请服务时中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它接点的直接请求。
具体地说,服务器是运行在防火墙主机上的专门的应用程序或者服务器程序;防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机,也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(诸如FTP、Telnet),并按照一定的安全策略转发它们到实际的服务。提供代替连接并且充当服务的网关。
在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合。你需要解决的问题依赖于你想要向你的客户提供什么样的服务以及你愿意接受什么等级的风险,采用何种技术来解决那些问题依赖于你的时间、金钱、专长等因素。超级秘书网
三、防火墙技术展望
伴随着Internet的飞速发展,防火墙技术与产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,IP的加密需求越来越强,安全协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、成本等几个方面。
参考文献:
[1]KaranjitS,ChirsH.InternetFirewallandNetworkSecurity,NewRiderspublishing,1996.
[2]AndrewS.TanenbaumComputerNetworks(ThirdEdition),PrenticeHallInternational,Inc.1998.
在经济高速发展的今天,网络广泛使用在国民经济各个领域里,特别是在电子商务、政府机关系统、金融系统、军事领域等方面。因此,网络在信息系统中的位置不可或缺。而随着广大用户及网民对网络应用需求的日益提高,网络结构也变得越来越复杂,普通用户和企业管理者对网络的安全越来越重视。所以,一个运行有效的网络离不开良好的网络管理。在网络普及的现代社会,网络管理已成为了现代网络技术最重要的课题之一。通常所说的网络管理是指对网络应用系统的管理,从更小的方面说网络管理则仅是指网络通信量等网络参考性能的管理。本文探讨的网络管理是网络应用系统的管理,大体包括以下三个方面:(1)网络服务的提供(NetworkServiceProvisioning):是指向用户提供新的服务类型、提高当前网络性能、增加网络设备等方面内容。(2)网络维护(networkmaintenance):包括了网络性能的监控、故障诊断、故障报警、故障隔离和恢复等方面内容。(3)网络处理(networkadministration):主要包括了数据的收集和分析,网络线路故障处理,设备利用率处理,控制网络利用率等方面的内容。
2计算机网路安全技术分析
2.1当前的计算机网络安全技术威胁分析
计算机存在的网络安全威胁是多样的。从被威胁的对象来分类,可分为对计算机网络信息的威胁以及对计算机网络设备和系统的威胁;从释放威胁的主导者来分类,又可以分为主动攻击和无意攻击。具体来说,主要概括为以下几个方面:(1)对计算机网络信息的威胁:计算机网络信息的威胁主要来自计算机本身与互联网之间的连接,计算机使用互联网访问网站,在网站上登录、注册,这涉及到个人隐私、个人机密、重要工作资料、个人重要文件、个人银行账户等。如果这些信息被第三方恶意拦截,一旦信息落到不法分子手中,将会造成意外的损失。(2)对计算机网络设备和系统的威胁:对于这一方面的威胁主要来自于计算机本身网络的安全设置及内部系统漏洞修复。目前计算机使用的多数软件是存在技术漏洞的,由于这些漏洞的存在,使得计算机信息直接暴漏在那些黑客视野中,变成黑客攻击的目标。还有网络设备的各种不标准同样给对计算机带来安全隐患。(3)第三方网络的攻击行为:这里的第三方网络攻击行为,主要是指黑客攻击、计算机病毒、木马植入等方面。黑客可以利用木马侵入计算机,当攻击到达了一定阶段,便会生成木马病毒,从而对计算机系统内部和程序进行破坏,而用户本身却难以察觉。并且随着计算机技术的不断发展,病毒也随之不断发展,变得更加隐蔽,难以被发现和清除。
2.2计算机网络安全的解决对策
(1)建立相对安全的计算机网络体系。想要解决计算机网络安全,必须建立相对安全的计算机网络体系。只有搭建良好的计算机网络运行环境,才能改善计算机硬件的性能。严格管理计算机系统的重要设备,制定出一套合理的定期检查的体系,定期检查、维修、重做系统,以便及时发现问题并及时解决。建立这样一套相对安全的网络管理体系就是为了能够更好的保证网络安全隐患能够被及时解决,所以管理者必须认真负责,这样才能够得到更好的落实。
(2)配置性能良好功能强大的防火墙系统。保证计算机的网络安全,配置性能良好功能强大的防火墙系统必不可少。防火墙的功能是在不同的两个网络之间执行控制,保证计算机硬件和软件不被第三方攻击侵袭,防止计算机内部信息被盗,隔离不同的网络信息,并且是过滤专业和公共网络信息的一种途径,它更加有效的确保计算机网络安全的运行,减少被病毒攻击的几率,使防火墙技术在计算机网络中得到有效的利用。
(3)加强数据加密的技术。做好数据加密工作是计算机网络安全中很重要的一环,将文件和数据使用加密技术处理成不被看懂的文件,只有公司内部人员看得懂,这样能更好的保护了公司的机密。数据加密技术使得计算机网络安全运行增加了一层堡垒,大大减少了重要机密文件信息的泄露,以及重要数据的流失,为客户企业提供了更好更安全的服务。
(4)提高网络的安全意识。只要使用计算机网络就会有风险。因此,用户自身的网络安全意识是极其重要的。一些不正规的网站通常会带有病毒或者其中的文件携带有病毒,只要下载或点击这些文件就会中毒,只有提高网络安全意识,避免浏览,才能有效避免计算机被侵袭。为此,用户在计算机上安装杀毒软件是很有必要的,虽然杀毒软件也有缺陷,但是他能及时提醒用户电脑有可能遭受病毒或某些文件携带有病毒,能够及时处理,大大减少了风险。
(5)完善计算机网络系统设计。计算机网络系统并不是能够一直保持在最佳状态,随着计算机技术的进步,第三方攻击的手段也在不断变异,变得更难以发现和解决。只有不断的改进和完善计算机网络系统设计,才能使计算机网络系统更加强大。同时,建立对网站的访问模块是很有必要的,这样能切实的监管用户的访问,并对登录的用户进行合理的时间段限制。设置登录权限,能够有效的制止不合法的登陆,同时检测软件的实时扫描,可以检测出系统的漏洞,减少信息不必要的泄露,有效的保证了计算机网络的完全。
3总结
购物车(0)