时间:2023-09-21 18:00:03
导语:在网络安全攻防的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词 工业网络;应用;分析
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)22-0086-01
随着信息网络技术的发展,网络传输速率、稳定性、可靠性等有了很大的进步,技术的进步促进了以太网络向工业网络的延伸。工业网的应用是对传统以太网络技术的延伸,是工业网络协议和以太网络协议的结合。而现实的技术发展满足了工业网络应用的几个关键需求,首先,以太网满足了工业网实时性的要求,快速交换机和光纤通讯的普遍应用,建设1000M、10G的内部工业网成为普遍,满足了工业控制对实时性的要求,其次满足了工业网稳定性的要求,技术的不断进步对于网络设备的性能大为提升,专用的工业网络交换机能够在很宽的温度范围内正常工作,能够适应严酷的工业生产环境,保证了工业网络的稳定性,这是工业网络得以应用推广的关键因素,使得工业网能够实现实时控制、实时监控、实时响应、远程系统监视等。工业自动化网络的应用广度和深度都达到了前所未有的高度,也为企业带来了可观的经济效益和社会效益。
1 工业以太网技术的特点
1)网络传输的时效性。工业网络不同于一般的应用网络,少许的延迟、丢包等问题不会太影响用户的感受,也不会造成什么大的损失,而工业控制网络则不同,有些应用系统的控制需要很频繁的定时刷新现场的设备控制参数,如果网络延迟、丢包等会给工业网络的控制系统造成巨大的隐患,可能引起很大的事故,传统的以太网络性能不能满足工业控制网络的需求,所以传统的工业控制还是以总线现场控制为多。但是快速以太网络的发展,为工业网的发展带来了新的契机,也奠定的目前工业网络快速发展的基础,快速以太网的发展主要有以下几个方面:①交换机性能的大幅提升和光纤通信的普遍应用,以太网的传输速度逐步发展到目前的100M、1000M、10G甚至更高,加之路由多功能应用,数据包分别转发,避免数据的碰撞,使得网络信号传输效率更高,完全满足工业网对实时性的要求;②工业网中使用的交换机都有数据存储、转发的功能,通过划分VLAN,使得工业网络中传输的数据根据不同的网段传输,避免数据的相互干扰,也提高了系统中数据传输的稳定性,这一特点也为工业网的广泛应用提供基础。一个网络可以接入不同的控制系统和应用系统,系统之间互不干扰,以目前我矿工业网的运行为例则接入了视频系统,人员定位系统、电力监控系统等;③网络中的设备端口大都支持全双工通讯,数据在发送的时候能够接收数据,使得网络系统通讯的时效性大大提高,而且目前使用的交换机、光纤接口等部件为模块化设计,出现问题能够及时的进行恢复和处理,也提高了系统运行的时效性和可维护性。
2)系统具有很高的稳定性与可靠性。尽管工业现场的环境极为恶劣,但本身又要求系统具有极高的稳定性和可靠性,满足实时性以及设备的不间断运行。一般表现在两个方面的设计特点,首先是专用工业级的网络应用设备的高性能,比如工业交换机相对于一般使用的交换机,具有更高的适应环境能力,很高的温度适应范围,具备冗余电源保证供电系统的稳定,以适应极端的工作环境,其次是网络结构的设计要有充分的冗余,一般通过是环网设计、链路聚合,一个节点或是一段网络通信线缆出现问题后不影响整体的网络的运行。尤其是在煤矿井下的恶劣环境中更要考虑线缆传输的安全稳定,再者是设备的可维护性强,现在的设备一般采用模块化安装,转换接口模块化,模块要有充分的备用,有问题能够及时得到处理,保证系统的稳定性和可靠性。
2 工业网络的安全防护问题
工业网络的应用广度和深度都达到了前所未有的高度,提高了工厂企业的运作效率,提高了企业的经济效益,但是依赖网络的系统运行也存在一定的风险,如果不能够很好的避免和防护,同样也会给企业造成很大的损失,工业网络面临的安全风险问题主要有以下几个方面。
1)硬件网络设备风险,首先是交换机,端口模块等,工业网络需要的是24小时不间断的运行,而且部分环境及其恶劣,高温高湿度,尽管设备有很好的性能,但还是不可避免的会遇到设备损坏问题,这个问题要在建网之初,充分考虑做好预案。如做好设备冗余、热备、电源冗余,故障检测手段等,保证工业网络所运行的设备能够不间断的运行。再者是数据传输线路的问题,网络信号的传输现在大都是通过光纤传输,线路的维护在运行中同样重要,尤其是在煤矿井下,这一点就显得极为重要,井下铺设的光缆通信线路一般是依附巷帮而铺设,如果遇到巷道帮来压没有及时发现就有可能造成通讯中断问题。
2)操作系统和杀毒软件的更新问题。工业网络一般是内部网络,为安全起见一般和外部网络隔离,这样就造成内部网络的计算机操作系统和杀毒软件无法升级,为系统安全留下隐患。针对这样的问题要有专门的维护人员定期进行系统和杀毒关键的升级,升级有两种方式一是经过防火墙、网闸防毒墙等安全设备直接连接到外部网络进行升级,二是通过专用的存储工具下载升级包在内网计算机上升级,升级前做好系统的备份,出现不兼容等问题时能够及时恢复。
3)使用U盘、光盘、笔记本接入导致的病毒传播问题。内网设备在运行中,会不可避免的使用到U盘、光盘等进行资料的转移和处理,这就给整个内部工业网络的运行造成了一个很大的隐患,因为一旦出现病毒感染,可能对整个内网的设备是致命的,会给企业造成无法挽回的损失,这个问题通过两个方面做好这工作,一是可以通过系统的安全设置禁止系统的USB接口和光盘的使用,相应的内网电脑都要设置足够复杂的开机密码和屏保密码,二是加强人员的管理,机房建立访问登记制度,处理故障使用专用的笔记本等,避免出现通过存储介质引入病毒的情况。
4)存在工业控制系统被有意或无意控制的风险问题。如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。因此要完善工业控制系统的监控和管理措施,做到各部分操作有记录可查,责任到人。
5)工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题,这个问题主要是完善监控系统建设,把系统设备运行的主要参数,集成到一个系统中来,实现对服务器和网络设备的实时监控,有故障及时发现,其次是建立合理的人员巡查制度,及时发现和解决问题。
3 总结
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。给企业造成很大的经济损失,同时也影响到国家的安全的问题,为此,工信部2011年10月下发了”关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。可见工业网络的安全不同于一般网络的安全,更关乎一个企业的安全和效益,甚至国家的利益,尽管工业网络在应用实施和运行中不可避免会出现各种问题,但信息化的发展是一个趋势,网络的应用必然会越来越广泛,不断有新的系统接入到网络,只要防控得当,就能充分发挥工业网络的高效便捷,避免风险带来的损失。
一、高度重视,迅速贯彻落实
通过召开专题会议、发送微信通知,及时将上级的文件精神传达给每位干部职工,让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性,并作为当前的一件头等大事来抓,确保网络安全。
二、强化管理,明确责任
为进一步完善网络信息安全管理机制,严格按照“谁主管谁负责、属地管理”的原则,明确了第一责任人和直接责任人,加强对本单位的内部办公网及其它信息网站的监督管理,防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料,坚决制止违纪违规行为发生,确保网络信息安全。按照上级要求,迅速成立了网络安全工作小组,负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作,分管副局长为网络安全工作小组的副组长,负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好网络信息安全保障职责。
三、信息报告与应急支持
1.积极响应上级领导的有关要求,实时观测本区域网络安全信息,努力做到有效应对网络安全事件,一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。
2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调,同时配合其他部门尽快解决。
四、细化措施,排除隐患。
办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件,确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节,立即进行整改。进一步完善相关应急预案,落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。
五、应急值守
1.单位网络安全应急负责人、联系人要保持网络畅通,及时接收风险提示、预警信息和任务要求,并按要求报告相关情况。负责人、联系人名单或联系方式有调整的,及时函告县网信办。
2.值班期间,实行每日“零报告”制度,每日下午17:00前,报送当天本部门网络安全运行情况、受攻击情况和事件情况,一旦发生网络安全事件,立即启动应急预案,迅速应对,有效处置,并按规定程序及时报告有关情况。
六、工作要求
关键词 网络设备;加固;电力
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
参考文献
关键词:网络工程;安全防护技术;互联网;网络环境
目前,我们生活的方方面面都已离不开网络,网络工程在社会发展过程中具有重要的意义,因此,网络产业领域的竞争也十分激烈。在网络技术产品不断更新换代的过程中,因互联网科技产品自身所具有的开放性、数字化、信息化等特点,大大降低了人际交往过程中个人信息的隐秘性和安全性,使网络客户在使用网络的过程中极容易受到黑客、病毒、垃圾邮件等的攻击,造成信息的外泄,对网络安全的正常运行造成不良影响。在这种网络环境背景下,各网络的安全防护技术开发人员应不断增强网络安全意识,加强网络安全技术应用的开发,将优质的技术成果应用于实际的网络中。以下将对网络中各种安全隐患问题进行不同角度的阐述。
1常见网络工程安全问题分析
目前,网络工程安全还存在许多问题,这些问题为我们的生活埋下了很大的安全隐患,下面将具体介绍几种常见的网络安全问题,以便相关人员解决这些潜伏在我们身边的网络威胁,提高互联网的可信度。
1.1由黑客攻击所产生的安全问题
黑客的有意攻击对网络安全的威胁性极大,它主要通过网络系统的漏洞而主动发起攻击,并通过破解密码等手段对正常网络进行破获或窃取他人资料。黑客的这种行为一方面会造成网络信息的不稳定,也会发生很多私人信息资料和商业信息资料的外泄问题。纵观以往黑客的网络行为,其主要活动大致可以分为2种:①非破坏性攻击,即为了破坏网络工程和系统的正常运行,将干扰系统的正常运行作为主要目标,使其处于瘫痪状态。②破坏性攻击,即为了窃取机密性的信息资料,入侵电脑的系统并进行破坏,然后通过非正规的渠道进行售卖而获取盈利。黑客的这种破坏性攻击比非破坏性攻击所采取的手段更加具有威胁性,且破坏性极强,被入侵的程序一般表现出不可逆性,会导致整个网络工程系统的报废。
1.2由病毒入侵引发的安全问题
网络病毒的入侵会对网络工程的安全产生一定程度的影响,表现出破坏性、复制性和传染性等特点,导致系统程序无法正常运行。计算机病毒是人工产生的,由具有熟练计算机技术的编制人员通过将指令、程序代码等植入到计算机系统之中,阻碍网络用户的正常使用。同时,网络病毒具有传播速度快的特点,一旦用户终端遭到了网络病毒的破坏,需要立即通过网络安全病毒查杀软件对受到感染的系统进行病毒查杀和修复。
1.3由垃圾邮件引发的安全问题
垃圾邮件的大量出现对网络工程安全带来了极大的困扰。一般而言,垃圾邮件通常是指一些没有经过用户同意而擅自发送给网络用户的邮件,且垃圾邮件的发送通常是大量发送的,用户在这种情况下却无法阻止收取邮件。自垃圾邮件出现至今,其大大侵害了邮件用户群的利益,如果商户通过多种渠道发送大量的垃圾邮件,则会导致其在网络空间的严重泛滥,不仅威胁网络信息的安全,还会引起邮件使用者的反感,减少邮件用户群的数量,且会消耗掉大量的信息占有空间。这不仅会降低网络工程的正常运行效率,还会降低网络安全的信任度,对网络安全造成了不利影响。
1.4由IP地址被盗引发的安全问题
IP地址被盗用也是比较常见的网络安全隐患问题中的一种,是指被盗用的IP地址不能正常使用,当用户在使用IP时无法正常进行网络连接。相比而言,IP地址被盗经常出现在区域网络之中。此时,IP拥有者会收到通知,即被告知其IP地址已被占用,致使该用户无法顺利登录自己的IP地址。当IP地址被盗用之后,盗用者会使用被盗的IP地址进行诈骗、非法售卖或其他等行为谋取利益,这不仅扰乱了网络,且滋生了大量的违法犯罪活动,埋下了社会安全隐患。
2增强网络工程中的安全防护技术
面对花样百出的网络安全问题,加强网络工程安全防护措施在网络时代具有重要的战略性意义。以下将列举几种重要的安全防护措施。2.1防火墙过滤信息技术防火墙过滤信息技术在网络运行过程中是最直接、最有效的阻止黑客攻击的方法,其对网络工程的健康发展有重要的作用。受众在通过对防火墙进行信息过滤设置之后,能大大提高互联网的安全运行效率。特别是在网络工程中,外部网络与局域网之间更应应用防火墙技术,使二者的地址分离开,从而使计算机流入、流出的所有信息资料都需要经过防火墙。通过防火墙的过滤和筛选,可以有效地阻止一些黑客的恶意攻击,增强了网络工程安全运行的可行性。防火墙信息过滤技术的应用不仅能过滤信息,还可以改善网络工程安全技术的发展。当关闭掉少许的有可能会受到黑客威胁的端口、禁止特殊来源的网点访问时,可以阻止未注明信息来源的入侵者的通信,增强网络工程运行的安全性。
2.2加强病毒防护措施
在网络工程中对病毒的侵扰加强防护是提高安全防护技术水平的有效措施之一。在计算机网络系统中,相关的病毒防护是维护日常安全和管理的主要手段。由于计算机技术水平在不断提高,产生的病毒也越来越复杂,系统在防护的过程中越来越难以辨别真伪。因此,计算机系统在防御病毒时不能再仅仅运用技术手段,要想有效、彻底地阻止其扩散和传染,则需要将相关的技术手段与计算机管理机制相结合,提升人们对网络病毒的认识。只有这样,才能进一步提高网络工程安全运营的水平。对于计算机工程人员而言,需要对杀毒软件的运行进行深入掌握。此外,相关人员需要每隔一段时间检测计算机系统是否存在病毒,当检测出危险时,应及时汇报,并将重要的文件重新保存一份后再处理,避免因病毒破坏或查杀病毒时使信息数据丢失。
2.3植入入侵检测技术
在网络工程的运行过程中,入侵检测技术的植入对网络安全的防护具有极其重要的意义。潜藏在计算机网络信息或数据资源中的带有安全风险的恶意行为,可被入侵检测技术准确识别出来,这在一定程度上可将网络危险在发挥作用之前将其消灭。利用该技术可实时、有效地使计算机网络系统避免受到工程内、外部的恶意攻击或意外操作的破坏。此外,植入的入侵检测技术能够从多角度、多层面出发,为网络工程的安全提供服务,达到大幅度削弱网络各方面破坏的目的。
2.4拒绝收取垃圾邮件
面对垃圾邮件泛滥的现象,其治理大致可以从2个方面着手:①个人在使用网络的过程中,要特别注重保护个人信息资料和网络信息资料,保护自己的邮件地址,以防被他人盗取利用,从而在本源上拒绝垃圾邮件的接受和保护自己的信息安全。②相关网络公司应加大研发阻拦垃圾邮件的安全软件的力度。目前,一些相关软件已被试验和使用,取得了良好的效果。在处理垃圾邮件的过程中,安全软件的应用原理是根据其特点或人们的举报识别垃圾邮件,由此被默认为垃圾邮件,进而被安全软件阻拦,达到拒绝接收垃圾邮件的目的。
2.5加强对网络风险的防范
对网络风险的防范是网络安全工程的重要组成部分。加密技术是网络工程对风险进行防范的主要有效方式之一。其中,最常见的为数字加密技术。该技术在对网络信息进行风险防范时,可产生不可代替的作用,是安全保密最有效的手段之一。在本质上而言,数字加密是对网络上数据传输访问权进行限制的技术。总体来看,该技术可通过引导等方式使用户对数据传输中较重要的信息数据进行密码设置。在网络工程中,主要分为2种对数据进行加密的形式,其中一个为线路加密,在加密时可通过加密密钥对需要保护的信息进行保护储存;另一个为端与端加密,主要面向于网络信息的来源处,通过数据包对数据进行回封操作,提升被保护数据的安全性。
3结束语
总而言之,网络工程中涉及的安全防护工作需要长时间的综合性进行,具有一定的复杂度。在网络工程中,应正确面对当前状况下所存在的问题,并科学、合理地运用安全防护技术,不断加强运用网络工程安全防护技术的管理策略,进一步达到确保计算机网络工程安全的目的。
参考文献
[1]张全.有关网络工程中的安全防护技术的探讨[J].电子技术与软件工程,2016(05).
【关键词】 网络工程 安全问题 防护
信息技术的蓬勃发展,成为主导现代社会的支柱性产业,网络已经成为人们生活中必不可少的工具,经济、文化、政治、军事等的发展已经离不开网络技术,其中网络安全问题备受关注。自信息时代来临之后,网络信息数据被窥探,系统被攻击导致瘫痪、垃圾信息的传播以及病毒的不断侵入,此类问题愈演愈烈,严重威胁着网络安全建设,首先了解当前网络安全问题的现状是基本工作。
一、网络工程中常见的安全性问题分析
1、黑客攻击。在网络工程运行的过程中,黑客攻击是其最为突出性的安全隐患,其对网络信息的安全性构成严重的威胁。黑客攻击主要是通过计算机专业过硬的人才,利用网络系统现存的漏洞和缺陷进行网络目标的破坏行动[1],以盗取目标人员的信息,导致网络系统陷入瘫痪,计算机用户信息被盗用与窥探,信息的安全性受到严重威胁。作为网络安全问题中的重大隐患,黑客攻击是有目的性的攻击,从中盗取所需的机密性文件,是对网络安全技术提出的一项重大挑战。
2、病毒侵入。除了黑客之外,病毒侵入是另一项网络重大安全隐患。病毒编制人员会通过编写相关的程序,将该程序植入到计算机系统中,使得计算机内部的程序发生变更,且计算机会受到操纵者的操控,以达到破坏或盗取计算机内部信息的目的,对计算机系统的破坏性很大,且病毒的传染性很强,以木马、火焰为主。这些病毒的入侵,会破坏我们的生产网、办公网,这会严重影响到我们的生产。
3、垃圾信息传播。网络是一个巨大的资源库,具有丰富的网络资源,在满足信息需求的同时,还会产生各类垃圾信息、不良信息,会对人们的心理、思想产生负面影响,垃圾信息对网络环境造成了严重的污染,对社会造成恶劣的影响,尤其是对于正在成长的青少年。由于网络垃圾信息的传播,导致青少年的犯罪率在不断提升,影响青少年的成长与社会的稳定[2]。
二、加强网络工程的安全防护策略
1、完善网络工程运行系统。网络工程安全问题的不断涌现,对社会造成消极的影响,解决安全隐患是当前面临的主要问题。为此,应从网络工程自身着手,强化网络工程运行系统的完整性与稳定性,对网络系统进行及时的升级,强化对网络安全问题的重视,加大在安全宣传上的投入力度,建立基本的网络安全系统,防火墙、病毒入侵检测、杀毒软件、数据加密等,运用以上方式来强化对网络工程的保护。最基本的网络安全保护系统是加强工程保护的重要保障和盾牌,能够达到与黑客袭击、病毒侵入的目的,能保护信息的安全性和完整性,是网络系统的优化与创新[3]。
2、加大网络安全宣传力度。现如今,人们在使用计算机网络技术的同时,只意识到其积极性的一面,往往会忽视了对网络安全性问题的关注,对系统的安全性重视程度不高,信息保护意识不强,缺乏对信息保护的重视。为了让人们增强对网络安全的重视,应加大网络安全宣传力度,借助网络平台开展宣传工作,通过文本宣传页、视频或图片等方式进行宣传,将其放置在各个网站的首页,能够让用户在使用网络的同时提高警惕,随时具备保护意识,在运用网络的同时,也实现了对网络安全性的宣传,选择以往网络安全问题所产生的危害进行举例说明,借助网络的强大力量,实现对安全问题的全面宣传。
3、优化计算机网络安全技术。软件开发人员应发挥自身的专业素养,研发新型的网络安全保护技术,发明预防、识别与阻碍一体化的安全技术,发挥安全技术的强大功能,实现对网络工程的全面防护。云计算机技术是新产生的技术,对信息的发展与传播具有积极影响,能够让用户对信息的安全性进行有效的识别,也能保证个人数据的安全性与完整性,将相关数据上传至云端,借助云技术来控制数据访问权限,提高网络信息存储与数据传输保密性,将云计算机技术应用到网络系统中,定会取得满意的效果。
结束语:综上所述,当前网络工程面临主要安全问题以黑客攻击、病毒侵入以及垃圾信息的迅速传播,成为网络安全的重大隐患,网络工程质量受到严重影响。无论是对于商业、文化还是军事、经济而言,网络工程都将其优势发挥到极致,但是由于网络系统问题存在漏洞,技术不够完善,导致信息丢失。为解决此项问题,应完善网络运行系统,加大网络安全宣传力度,以增强对安全的重视,同时优化计算机网络安全技术,以强化对网络安全系统的保护。
参 考 文 献
[1]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术,2013,21:4790-4791+4814.
1.1Google极光攻击
Google公司在2010年又一次声名远播,但是这次是由于Google网络受到了Aurora(极光)的APT攻击。该事件主要是由于Google的一名工作人员点击了即时消息中的一条恶意链接,导致Google的网络被他人渗入数月,并且造成各种系统的数据被窃取。
1.2震网攻击
2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击,导致核电站产生及其恶劣的影响,这件事件就是著名的震网攻击,即超级工厂病毒攻击。核电站的网络我们可想而知,内部的网络肯定是与外网物理隔离的,内外网络可以看成就是两个网络,这与我们接触到安全性要求较高的网络非常相似,按理说,这样的网络是不会受到外界攻击的,只会受到内部的攻击。但是震网攻击却打破了这一铁律。这次的APT攻击是一次极为巧妙地控制了攻击范围,攻击十分精准的攻击,攻击的方式堪称经典。在2011年,一种基于Stuxnet代码的新型蠕虫Duqu又出现在欧洲,号称“震网二代”,这次的“二代”病毒主要用于收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者利用合法的jpg图片格式对文件进行加密处理,然后通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,将加密文件传输出网络。
1.3RSASecurID窃取攻击
EMC公司下属的RSA公司在2011年3月遭受入侵,其公司使用的部分SecurID技术及客户资料被攻击者窃取。然后攻击者利用SecurID作为认证凭据和RSA有业务往来的公司建立VPN连接,其中包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商均受到不同程度的攻击,很多重要资料被攻击者窃取。在RSASecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。通过上面的几个APT攻击案例的简介,可以发现实施典型的APT攻击,会使用到图1的方式入侵到网络中。由图1显示,我们可以看到通常APT攻击者都会选择对外提供服务的Web服务器做为攻击起点。这是因为对外提供服务的Web服务器常常伴随有单位的邮箱服务,而利用电子邮件发送恶意信息恰巧是APT攻击的最重要的手段之一,且通过入侵到邮件服务器中,还能获取到很多有用的交互信息。攻击者通过各种手段入侵到外网的Web服务器中之后,在通过扫描、探测等手段,入侵到邮件服务器中。在利用邮件系统实施的APT攻击成功之后,攻击者会利用Word、PDF、PPT、Excel、Zip等多种常用的办公系统中的0day漏洞使攻击成果进一步扩大,所以,网络使用者在使用日常的办公系统时,要提高安全使用的意识。
2、防御APT攻击
APT攻击的特性导致了网络中我们所使用的网络可能一直处于不安全的状态,网络威胁随时可能发生。那对于这种攻击时间长、隐蔽性高的攻击行为,我们如果能够保证网络可以安全的运行,想要有效地防御APT攻击,需要做到两点。
2.1动态检测APT
动态行为分析技术。原理:将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态处理过程,判断样本中是否包含恶意代码;目的:解决APT攻击中的0Day漏洞利用检测等问题;挑战:恶意代码的反制;全面的用户环境模拟。异常流量检测技术。原理:对网络中的正常行为模式建模,通过分析流量对于正常行为模式的偏离而识别网络攻击码;目的:解决APT攻击中的隐蔽传输与内网探测检测等问题;挑战:简单准确的定义正常行为模式。全流量回溯分析技术。原理:通过对底层数据包的抓取获取全流量,并将流量记录到专用设备中回溯分析网络流量;目的:海量数据的快速索引获取全网络交互数据,透视网络运行;挑战:海量数据短时间检索。
2.2多维度多角度分析
要有效地防护APT可以从发现、追踪、取证、防御这四个步骤来进行多维度多角度的分析。发现:发现各种网络异常流量和恶意样本。通过专用的设备从网络中数据流里提取出各种文件或样本,首先,对于已知的常见的攻击,进行快速的判断,并对网络中的数据进行深入检测,通过预检测技术和深度检测技术。对数据中是否有shellcode进行检查,判断是否存在shellcode指令或代码,然后通过动态检测,通过虚拟机技术,模拟用户真实环境等进行未知恶意样本检测,要能及时的发现网络中异常的流量和携带恶意程序的样本。追踪:关联攻击行为和攻击来源。当发现网络中存在异常流量或是恶意样本时,只检测出有异常,其实对网络的安全帮助比较微小,为了能够进一步提高网络安全性,还需要能够对APT攻击整个流程进行追踪,找出历史数据和攻击来源,以及攻击范围。取证:获取恶意样本和恶意行为。追踪到异常的源头,我们还需要对网络攻击特征进行取证,并通过动态检测技术、静态分析技术等,将样本的各种网络行为提供提取,包括释放的PE文件位置,反弹的域名和IP地址,管理权限的变化,注册表的改动行为等,记录这些攻击行为,可以有效的避免下次出现同样的攻击行为,进一步提高网络安全性。防御:形成整体恶意行为拦截防御体系。只做分析和取样是不能有效防止APT攻击的,还需要形成了整体的一个防御体系,一个地方受攻击,可以让整个网络都具备免疫能力,达到整体防御保护的结果。
3、模拟APT攻击环境搭建
3.1模拟前期准备
在做攻击模拟之前,做了攻击之前的准备工作:选取一立的邮件服务器和带邮件收发功能的OA办公系统;利用shellcode编辑一个调用计算器的文档:本次测试环境选取的是某集团公司信息中心,分两部分进行模拟测试,一部分是互联网互联模拟方案,另一部分是隔离网模拟方案。在互联网测试方案中,选取办公区域一台主机作为被攻击对象,攻击者从外网发起攻击;在隔离网方案中,攻击者和被攻击者分别选取办公区域中的一台机器进行测试。
3.2模拟方案
针对邮件系统部署情况,分为两种情况模拟:互联网互联模拟方案和隔离网模拟方案。邮件检查范围包括:独立邮件服务器或者具备发送邮件能力的OA办公系统。从互联网任意节点发送携带有恶意代码文档附件邮件给被测试人员A邮箱,A用户收到邮件后打开附件并成功弹出计算器,全程无安全防御系统告警提示,即可证明邮件系统存在被APT攻击隐患。测试人员模拟已经渗透进入内部网络并成功控制某成员机器,伪造信任邮件包含恶意shellcode代码的文档附件邮件并发送给被测试人员A,当A用户收到伪造邮件,打开附件并成功弹出计算器,即可证明邮件系统存在被APT攻击隐患。4.3模拟结果在模拟测试的过程,并没有触发上述攻击的告警提示,如图4、图5、图6所示,所以在模拟测试的环境中存在APT攻击隐患。
4、网络安全防范方法和建议
4.1物理安全策略
物理安全策略的目的主要是为了保护网络中的硬件设备(服务器、安全设备、连通设备等)和通信线缆免受自然的和非自然的灾害;通过使用准入和控制手段进行权限划分和身份验证,以防止不同权限的用户进行越权操作,危害设备安全。为了保证网络设备有一个好的工作环境,我们还需要建立相对完备的安全管理制度,通过制度进行约束,对非法进入计算机控制室和各种偷窃、破坏活动网络设备和线缆的行为进行处罚。电磁泄露是物理安全中十分重要的一块,而目前主要两种防护措施对电磁泄露进行防护:一类是电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合的防护手段;一类是采用各种电磁屏蔽和防干扰措施对电磁辐射进行防护。
4.2访问控制策略
对网络的访问进行控制,这种手段是目前网络安全防范和保护的主要方式,通过该方法可以有效的防止网络资源不被非法使用和访问。通过访问控制的设置可以对网络系统进行安全性的防护、保护网络资源,是保证网络安全的核心策略之一。入网访问控制。通过对用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查这三个步骤的设置,对入网用户进行有效的访问控制,三个策略中只要有任何一个策略没有匹配,该用户便不能进入到网络中。它可以控制网络中哪些用户能够访问哪些资源,能够获取到信息,是网络安全防护的第一道重要的关卡。网络的权限控制。网络权限的控制是为了防止网络中出现非法操作而设置的一种防护措施,每个用户都给予一定的权限,在这个权限下只能做些什么,可访问些什么都会有明确的规定,这样就可以有效的避免普通用户对重要的服务器做非专业的操作,可以大大提高网络使用的安全性。目录级安全控制。目录级的安全是更进一步的安全控制手段,在网络维护中设置使用者允许对哪些目录、文件、设备进行访问。网络运维管理人员需要为网络中的用户指派适当的访问权限,因为这些访问权限可以控制用户对重要服务器的访问,提高网络系统运维的安全性。属性安全控制。属性安全是涉及到文件或设备本身信息的安全级别,对于一个安全性很高的网络,需要对文件、目录和网络设备指定相应的访问属性。这样就和以上几点相结合更加有效地防护网络安全。网络服务器安全控制。服务器在网络中运行,需要不定期或定期的进行升级,优化、装载和卸载模块、安装和删除软件等各种操作。而服务器恰恰又是重要业务系统的承载体,所以需要对网络服务器的定期更换设置口令、设置口令复杂度、设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等一系列安全限制,以防止非法用户修改、删除重要信息或破坏数据。网络监测和锁定控制。网络监控是维护网络安全运行的有效手段,尤其是对重要的服务器,所有的访问、查询、登录等操作都应有相应的记录,并且当网络出现异常时,如服务器利用率过高,应以图形或文字或声音等形式报警,以引起网络管理员的注意。
4.3信息加密策略
保护内网信息我们通常会使用信息加密技术,尤其是针对重要的信息,比如新项目的策划文档、产品的成本价格、核心系统的账号信息等,这些信息在网络交互时都需要用到加密技术。常用的加密方法有三种。(1)链路加密算法:主要用于在传输的链路中进行信息加密,不涉及到终端;(2)端点加密算法:在源端点设置一个加密信息,在目的端点设置一个解密信息,数据只有在有加密算法的终端才可以被解密;(3)节点加密算法:在传输的两个节点之间建立传输隧道,对传输的隧道进行加密。虽然加密的方法归纳只有三点,但是整个信息加密的算法是多种多样的,在很多情况下,都会使用信息加密来保证信息的安全传输。
4.4网络安全管理策略
想要管理好一个网络,仅仅只靠技术层面是只能维护一方面,与此相协调的就是网络安全管理策略,因为很多的安全事件其实都是人为引起的。人其实是网络管理中最难管理的一个环节。所以想要管理好网络,保证网络能够安全有效的运行需要结合先进的技术、严格的管理制度和威严的法律,三者互相协调才是网络安全管理的最佳策略。
4.5安全管理队伍的建设
[关键词]电子商务网络攻击防范技术
一、电子商务
电子商务(EC)是英文“ElectronicCommerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式。不仅指互联网,还包括其他各种电子工具。二是商务活动。主要指的是产品及服务的销售、贸易和交易活动;电子化的对象是针对整个商务的交易过程,涉及信息流、商流、资金流和物流四个方面。
二、电子商务网络攻击的主要形式
1.截获或窃取信息
攻击者通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出诸如消费者的银行账号、密码,以及企业的商业机密等有用信息。
2.违反授权原则
一个被授权进入系统做某件事的用户,在系统中做未经授权的其他事情。
3.拒绝服务
可以导致合法接入信息、业务或其他资源受阻。
4.中断
破坏系统中的硬件、线路、文件系统等,使系统不能正常工作,破译信息和网络资源。
5.计算机病毒
计算机病毒增长速度已远远超过计算机本身的发展速度,计算机病毒的破坏性越来越大,传播速度也越来越快,计算机病毒已成为电子商务发展的重大障碍之一。
三、电子商务的重要安全防范技术
1.防火墙(Firewall)技术
(1)防火墙的概念:是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。防火墙从本质上说是一种保护装置,用来保护网络数据和资源。防火墙是Internet上广泛应用的一种安全措施,它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术是目前最为广泛使用的网络安全技术之一,防火墙技术也日趋成熟。
(2)防火墙的基本准则。①一切未被允许的就是禁止的;②一切未被禁止的就是允许的。
(3)防火墙的作用。所有来自Internet的信息或从内部网络发出的信息都必须穿过防火墙,因此,防火墙能够确保诸如电子邮件、文件传输、远程登录以及特定系统间信息交换的安全。防火墙可用于多个目的:限定人们从一个特别的节点进入;防止入侵者接近你的防御设施;限定人们从一个特别的节点离开;有效地阻止破坏者对计算机系统进行破坏。
2.数字签名(DigitalSignature)技术
(1)数字签名技术的概念。数字签名技术是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换,这种附加数据或密码变换使接收方能确认信息的真正来源和完整性,并且发送方事后不能否认发送的信息,而接收方或非法者不能伪造或篡改发送方的信息。数字签名类似于手工签名,是手工签名的数字实现。
(2)数字签名的基本准则。①接收者能够核实发送者对报文的签名;②接收者不能伪造对报文的签名;③发送者事后不能抵赖对报文的签名。
(3)数字签名的方法。①对整体消息的签名:消息经过密码变换的被签字的消息整体;②对消息摘要的签名:附加在被签字消息之后或某一特定位置上的一段签字图样;③确定性数字签名:其明文与密文一一对应,对于一特定消息的签名不变化;④随机化的或概率式数字签名:对同一消息的签字是随机变化的,如基于离散对数的ElGamal数字签名算法。
3.数据加密技术
(1)数据加密技术的几个概念。通讯的保密性、真实性和完整性可以通过对穿过公共网络的数据进行加密来实现。数据加密是转换数据,给数据加密的过程。数据加密技术是研究对数据进行加密的技术。①密码:是一组含有参数k的变换E。设已知数据信息(明文)m,通过变换EK得数,据信息(密文)c,即:c=EK(m)。以上变换过程称之为加密,参数k称为密钥。被变换的数据信息(m)叫做明文;变换得到的数据信息叫做密文。②数据加密:把明文变换成密文的过程。③解密:把密文还原成明文的过程。
【关键词】高速公路收费网络 网络安全
近年来,我国在电子计算机技术方面取得了较大的进展,计算机网络技术被各个行业广泛应用。在我国高速公路的建设过程中,计算机网络技术也被应用到其中,高速公路已经实现了联网收费。采用联网收费的方式能够降低高速公路收费工作人员的工作强度,并且在管理用户的时候能够更加的快速便捷,使得用户信息能够被各个收费站共享。但是,高速公路联网收费系统的网络安全问题也成为了目前高速公路管理部门比较关注的问题,存在非法入侵者用计算机网络对收费系统进行网络攻击、窃取高速公路用户的信息资料或者通过一些手段偷逃通行费用等风险,对高速公路管理部门造成了严重的损害,危及了一些用户的信息隐私安全,因此,必须加强对高速公路联网收费系统网络安全防护工作,建立切实可行的网络安全防范管理制度,采取有效的措施保证高速公路联网收费系y能够安全稳定的运行。
1 高速公路收费网络安全现状
随着我国高速公路建设规模的不断扩大,计算机网络技术的不断发展,为了能够满足社会发展的需求,我国大多数省份的高速公路都已经基本完成了公路联网工作,这使得高速公路的收费系统规模也日渐庞大,高速公路的联网收费系统使得高速公路某个收费站的网络一旦出现安全问题,就会使得整个网络系统都存在安全隐患,牵一发而动全身,对整个高速公路系统的安全运行有一定的影响,同时还会影响到社会秩序。
就目前的情况来看,我国高速公路的联网收费系统已经比较完善,但是在收费网络的安全方面还是存在一定的隐患,有关管理部门缺乏网络安全意识,没有健全的网络安全管理机制,对联网收费系统采取的一些网络安全防范措施有限。但是,随着收费路段的不断增加,收费网络也越来越复杂,这就使得收费系统中存在的漏洞也变得越来越复杂,风险越来越多,很多管理人员和技术人员在专业技术水平方面有所欠缺,在日常的操作和维护工作中存在不规范的现象,也给收费系统带来了一定的安全问题。
此外,高速公路联网收费系统使用的网络虽然属于高度封闭内部网络,但是由于各个收费站点都比较分散,而收费站点的数量较多,这就使得收费网络容易受到网络黑客的攻击,造成用户信息或者一些重要数据的丢失或损坏,给整个收费系统造成了严重的危害,甚至还会使得收费系统出现瘫痪的现象,给高速公路管理部门带来经济损失,影响社会秩序。
2 高速公路收费网络存在的安全隐患
2.1 物理传输链路存在安全问题
在高速公路收费系统中,物理传输链是其运行的基本平台。但是,在实际工作中,往往会由于工作人员对收费系统管理不当而出现安全问题,一般情况下常见的问题有线路损坏使得信息传递受阻,或者一些不法分子通过拦截传输线路中的信号来窃取用户的数据或信息,有时还可能对数据和信息进行恶意修改等。
2.2 网络结构存在的安全隐患
在高速公路的联网收费系统使用的过程中,要将系统网络和互联网相连接,这就使得互联网中的一些危险因素容易渗透到内部系统网络中,对系统网络中的操作系统或者主机设备带来安全隐患。有些不法分子利用较高的计算机技术,通过互联网对高速公路的收费系统进行非法访问,对收费系统中的一些重要数据或者用户的信息进行盗窃或者破坏,或者直接破坏联网收费系统,这会导致高速公路各路段的收费系统出现故障甚至出现网络瘫痪的现象,严重影响了收费系统的正常使用。
2.3 操作系统中存在安全隐患
高速公路联网收费系统在进行控制室服务器安装时,没有考虑到主机操作系统的安全保护问题,在安装操作系统上,技术人员对于一些系统设置没有进行严密的设置操作,使得系统默认的安全设置不符合标准。此外,对于服务器的一些端口技术人员没有对其进行端口封闭处理,使得这些端口保持敞开,这样就给一些不法分子可乘之机,他们会利用这些敞开的端口,连接入收费系统的内网,进而对一些数据或信息进行盗窃或破坏,通常情况下,一些操作系统在开发的时候都会设置产品后门,当系统安全设置不完善是,就容易被人非法入侵。一旦高速公路收费系统的服务器被入侵,将会造成严重的后果。因此,在联网收费系统使用的过程中,相关的管理人员一定要重视系统的安全设置,提高操作系统的安全配置水平,杜绝不法分子的非法入侵,保证联网收费系统的安全性。
2.4 软件故障
在高速公路联网收费系统中,还会应用各种应用软件,例如车道收费软件、路段分中心收费软件以及收费处收费系统软件等等,在收费系统使用的过程中,可能会产生由于收费系统中应用软件、数据库等发生故障而引起的安全事故,收费系统的主机如果出现软件故障,就会导致部分地区的收费数据丢失或者收费紊乱等现象,严重的时候还会使得高速公路部分路段或者整个公路段的收费系统无法正常工作,一些收费数据等也无法恢复。
3 高速公路收费网络的安全防护措施
3.1 加强网络安全管理
在高速公路联网收费系统使用的过程中,要加强对收费网络的安全管理,制定切实有效的网络安全管理制度,保证相关技术人员在工作的操作和维护过程中严格按照管理制度来进行,使得收费系统的网络安全能够得到保障确保收费系统能够安全稳定的运行。收费系统网络安全管理制度包括:对各级收费单位的安全管理等级和安全管理范围进行明确,制定收费系统网络操作的相关操作规程,制定相关技术人员进出机房的管理制度,制定收费系统网络维护制度和网络应急措施等等。
3.2 确保网络结构安全
高速公路联网收费系统在进行网络构架的时候应该采用比较高端的设备装置,对一些不必要的端口做封闭处理,降低入侵风险。在网络系统的出入口都要设置强度较高的防火墙,不定期对一些收费数据和用户信息的储存系统进程病毒查杀和安全防护。对收费系统的网络进行地域的划分,形成多个局域网络,这样能够使收费系统的网络结构变得简单一点,并且在局域网络出现安全问题的时候不会影响到其他网络的安全。
3.3 确保操作系统的安全运行
想要确保联网收费系统控制室的主机的操作系统能够完全稳定的运行,就必须要在操作系统的安装过程中采用新型的补丁程序,设置磁盘的访问权限,关闭操作系统默认设置中的共享连接。关闭不再使用服务器或者端口,对操作系统设置高强度的访问密码,不定期的更改密码,避免密码被破译的可能性。完善操作系统的监控体系,及时改善操作系统中出现的安全漏洞或安全隐患,对一些入侵行为能够及时的提出预警,便于技术人员采取相应的措施。
4 结束语
总而言之,高速公路收费系统的网络安全问题能够影响我国高速公路的发展,在信息时代,高速公路收费系统经常出现网络安全问题,这就要求有关部门加强对收费系统的网络安全防护工作,建立完善的网络安全管理制度,优化网络结构,培养相关的专业技术人员,从而降低网络安全事故发生的概率,使高速公路联网收费系统能够正常的运作。
参考文献
[1]王宝魁.高速公路联网收费系统安全保障工作浅谈[J].中国交通信息化,2015(09):85-87.
[2]赵朝部,兰良.高速公路联网收费系统网络安全优化分析[J].网络安全技术与应用,2015(03):128+131.
[3]吴丽娟.高速公路计算机收费网络安全对策探索[J].产业与科技论坛,2016(14):228-229.
[4]郭世军.浅谈高速公路ETC收费系统应用及网络安全[J].江西建材,2014(20):158.
[5]王顺.高速公路计算机收费网络安全及对策分析[J].科技风,2015(17):113.
作者介
石晋平(1972-),男,山西省原平市人。大学本科学历。山西省忻州高速公路有限责任公司。
【关键词】办公自动化;网络;网络安全;信息安全
目前,很多企业为了提高内部工作效率,开始创建了自动化办公模式,计算机网络的使用价值得到了更大的体现。但与正常的计算机使用一样,网络自动化办公在为用户提供方便的同时也面临着各种安全隐患,“信息安全”则是其中最为重要的一个方面。
一、网络办公自动化,使办事效率提高
计算机没有普及之前,各个行业人员在办公时主要依赖于人工方式操作,对于内部大大小小的事物都要逐一处理。这种传统的办公模式不仅增加了职员的工作量,且办事效率不尽人意。网络自动化办公模式推广后,发挥出了多个方面的优点。
(一)活动范围,缩小
早期企业人员在办公过程中常常要四处走动,工作范围分布在各个地区,这就增加了办事人员的工作强度[1]。而网络自动化办公模式推广后,企业人员只需借助电脑平台则能完成各项事务的处理。
(二)经营成本,降低
“虚拟化”的网络办公不仅提高了企业办事效率,也能避免实际办公中带来的成本开支,如:交通费、住宿费等。所有业务往来、合作商谈、合同制定都可以在网络上进行,这样就能显著降低企业的经营成本,让企业获得更大的经济利润。
(三)行业模式,创新
尽管受到经济、技术等方面的影响,网络自动化办公在我国还没有全面推广。但长远的角度看,未来各个行业的办公操作一定会朝着自动化方向发展,这不仅符合了企业经营的需要,也是信息化时代进步的要求,促进了各个行业人员办事效率的提升。
二、办公自动化网络常见的安全问题
(一)黑客的入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
(二)病毒的感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
(三)数据的破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
三、办公自动化网络系统的安全设计
(一)数据完整性和系统安全的影响因素分析
1.数据完整性威胁因素
人类自身方面:主要是意外操作、缺乏经验、蓄意破坏等;自然灾难方面:包括地震、水灾、火灾、电磁等;逻辑问题方面:包括应用软件错误、文件损坏、数据交换错误、操作系统错误、容量错误、不恰当的用户需求等;硬件故障方面:主要指构成硬件系统的各个组成部分,如硬盘、芯片、主板、存储介质、电源、I/O控制器等发生故障;网络工作方面:网络故障包括连接问题,网络接口卡和驱动程序问题以及辐射问题等。
2.系统安全影响因素
物理设备影响:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的影响;线缆连接影响:包括拨号进入、连接或非连接窃听方式窃取重要信息;身份鉴别影响:包括口令被破解、加密算法不周、随意设置口令等漏洞性因素;病毒或编程影响:病毒袭击目前已成为计算机系统的最大威胁。此外,有的编程技术人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成了威胁。
(二)安全设计的基本原则
安全性第一的原则:由于安全性和网络的性能(使用的灵活性、方便性、传输效率等)是一对矛盾,两者不能兼得。建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。
多重保护的原则:任何安全保护措施都可能被攻破。建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。
多层次((OSI参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计软件,在应用层之上启动服务等。
网络分段的原则:网络分段是保证安全的重要措施。网络分段可分为物理分段和逻辑分段。网络可通过交换器连接各段,也可把网络分成若干IP子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网的访问。
购物车(0)