时间:2023-09-21 18:00:03
导语:在网络安全攻防的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词 工业网络;应用;分析
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)22-0086-01
随着信息网络技术的发展,网络传输速率、稳定性、可靠性等有了很大的进步,技术的进步促进了以太网络向工业网络的延伸。工业网的应用是对传统以太网络技术的延伸,是工业网络协议和以太网络协议的结合。而现实的技术发展满足了工业网络应用的几个关键需求,首先,以太网满足了工业网实时性的要求,快速交换机和光纤通讯的普遍应用,建设1000M、10G的内部工业网成为普遍,满足了工业控制对实时性的要求,其次满足了工业网稳定性的要求,技术的不断进步对于网络设备的性能大为提升,专用的工业网络交换机能够在很宽的温度范围内正常工作,能够适应严酷的工业生产环境,保证了工业网络的稳定性,这是工业网络得以应用推广的关键因素,使得工业网能够实现实时控制、实时监控、实时响应、远程系统监视等。工业自动化网络的应用广度和深度都达到了前所未有的高度,也为企业带来了可观的经济效益和社会效益。
1 工业以太网技术的特点
1)网络传输的时效性。工业网络不同于一般的应用网络,少许的延迟、丢包等问题不会太影响用户的感受,也不会造成什么大的损失,而工业控制网络则不同,有些应用系统的控制需要很频繁的定时刷新现场的设备控制参数,如果网络延迟、丢包等会给工业网络的控制系统造成巨大的隐患,可能引起很大的事故,传统的以太网络性能不能满足工业控制网络的需求,所以传统的工业控制还是以总线现场控制为多。但是快速以太网络的发展,为工业网的发展带来了新的契机,也奠定的目前工业网络快速发展的基础,快速以太网的发展主要有以下几个方面:①交换机性能的大幅提升和光纤通信的普遍应用,以太网的传输速度逐步发展到目前的100M、1000M、10G甚至更高,加之路由多功能应用,数据包分别转发,避免数据的碰撞,使得网络信号传输效率更高,完全满足工业网对实时性的要求;②工业网中使用的交换机都有数据存储、转发的功能,通过划分VLAN,使得工业网络中传输的数据根据不同的网段传输,避免数据的相互干扰,也提高了系统中数据传输的稳定性,这一特点也为工业网的广泛应用提供基础。一个网络可以接入不同的控制系统和应用系统,系统之间互不干扰,以目前我矿工业网的运行为例则接入了视频系统,人员定位系统、电力监控系统等;③网络中的设备端口大都支持全双工通讯,数据在发送的时候能够接收数据,使得网络系统通讯的时效性大大提高,而且目前使用的交换机、光纤接口等部件为模块化设计,出现问题能够及时的进行恢复和处理,也提高了系统运行的时效性和可维护性。
2)系统具有很高的稳定性与可靠性。尽管工业现场的环境极为恶劣,但本身又要求系统具有极高的稳定性和可靠性,满足实时性以及设备的不间断运行。一般表现在两个方面的设计特点,首先是专用工业级的网络应用设备的高性能,比如工业交换机相对于一般使用的交换机,具有更高的适应环境能力,很高的温度适应范围,具备冗余电源保证供电系统的稳定,以适应极端的工作环境,其次是网络结构的设计要有充分的冗余,一般通过是环网设计、链路聚合,一个节点或是一段网络通信线缆出现问题后不影响整体的网络的运行。尤其是在煤矿井下的恶劣环境中更要考虑线缆传输的安全稳定,再者是设备的可维护性强,现在的设备一般采用模块化安装,转换接口模块化,模块要有充分的备用,有问题能够及时得到处理,保证系统的稳定性和可靠性。
2 工业网络的安全防护问题
工业网络的应用广度和深度都达到了前所未有的高度,提高了工厂企业的运作效率,提高了企业的经济效益,但是依赖网络的系统运行也存在一定的风险,如果不能够很好的避免和防护,同样也会给企业造成很大的损失,工业网络面临的安全风险问题主要有以下几个方面。
1)硬件网络设备风险,首先是交换机,端口模块等,工业网络需要的是24小时不间断的运行,而且部分环境及其恶劣,高温高湿度,尽管设备有很好的性能,但还是不可避免的会遇到设备损坏问题,这个问题要在建网之初,充分考虑做好预案。如做好设备冗余、热备、电源冗余,故障检测手段等,保证工业网络所运行的设备能够不间断的运行。再者是数据传输线路的问题,网络信号的传输现在大都是通过光纤传输,线路的维护在运行中同样重要,尤其是在煤矿井下,这一点就显得极为重要,井下铺设的光缆通信线路一般是依附巷帮而铺设,如果遇到巷道帮来压没有及时发现就有可能造成通讯中断问题。
2)操作系统和杀毒软件的更新问题。工业网络一般是内部网络,为安全起见一般和外部网络隔离,这样就造成内部网络的计算机操作系统和杀毒软件无法升级,为系统安全留下隐患。针对这样的问题要有专门的维护人员定期进行系统和杀毒关键的升级,升级有两种方式一是经过防火墙、网闸防毒墙等安全设备直接连接到外部网络进行升级,二是通过专用的存储工具下载升级包在内网计算机上升级,升级前做好系统的备份,出现不兼容等问题时能够及时恢复。
3)使用U盘、光盘、笔记本接入导致的病毒传播问题。内网设备在运行中,会不可避免的使用到U盘、光盘等进行资料的转移和处理,这就给整个内部工业网络的运行造成了一个很大的隐患,因为一旦出现病毒感染,可能对整个内网的设备是致命的,会给企业造成无法挽回的损失,这个问题通过两个方面做好这工作,一是可以通过系统的安全设置禁止系统的USB接口和光盘的使用,相应的内网电脑都要设置足够复杂的开机密码和屏保密码,二是加强人员的管理,机房建立访问登记制度,处理故障使用专用的笔记本等,避免出现通过存储介质引入病毒的情况。
4)存在工业控制系统被有意或无意控制的风险问题。如果对工业控制系统的操作行为没有监控和响应措施,工业控制系统中的异常行为或人为行为会给工业控制系统带来很大的风险。因此要完善工业控制系统的监控和管理措施,做到各部分操作有记录可查,责任到人。
5)工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题,这个问题主要是完善监控系统建设,把系统设备运行的主要参数,集成到一个系统中来,实现对服务器和网络设备的实时监控,有故障及时发现,其次是建立合理的人员巡查制度,及时发现和解决问题。
3 总结
国内外发生了多起由于工控系统安全问题而造成的生产安全事故。给企业造成很大的经济损失,同时也影响到国家的安全的问题,为此,工信部2011年10月下发了”关于加强工业控制系统信息安全管理的通知”,要求各级政府和国有大型企业切实加强工业控制系统安全管理。可见工业网络的安全不同于一般网络的安全,更关乎一个企业的安全和效益,甚至国家的利益,尽管工业网络在应用实施和运行中不可避免会出现各种问题,但信息化的发展是一个趋势,网络的应用必然会越来越广泛,不断有新的系统接入到网络,只要防控得当,就能充分发挥工业网络的高效便捷,避免风险带来的损失。
一、高度重视,迅速贯彻落实
通过召开专题会议、发送微信通知,及时将上级的文件精神传达给每位干部职工,让全体党员干部充分认识到做好当前网络信息安全保障工作的重要性和必要性,并作为当前的一件头等大事来抓,确保网络安全。
二、强化管理,明确责任
为进一步完善网络信息安全管理机制,严格按照“谁主管谁负责、属地管理”的原则,明确了第一责任人和直接责任人,加强对本单位的内部办公网及其它信息网站的监督管理,防范黑客的入侵。严禁传播、下载、发表一切不利于党和国家的信息资料,坚决制止违纪违规行为发生,确保网络信息安全。按照上级要求,迅速成立了网络安全工作小组,负责网络安全应急工作,组织单位有关方面做好应急处置工作,组织开展局域网络安全信息的汇集、研判,及时向县网信办报告。当发生重大网络安全事件时,能及时做好应急响应相关工作。由办公室负责本区域网络安全事件的监测预警和应急处置工作,分管副局长为网络安全工作小组的副组长,负责办公室。建立了本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好网络信息安全保障职责。
三、信息报告与应急支持
1.积极响应上级领导的有关要求,实时观测本区域网络安全信息,努力做到有效应对网络安全事件,一旦发生重大安全网络事件及时向县网信办报送网络安全事件和风险信息,并及时上报相关部门,积极配合协同做好应急准备工作或处置。
2.积极建立健全本系统、本部门、本行业重大网络安全事件应急响应机制。应急处置时,需要其他部门、行业或技术支撑队伍支持的,一定及时报请县网信办协调,同时配合其他部门尽快解决。
四、细化措施,排除隐患。
办公室将对对全局的网络设备、计算机进行一次细致的排查。检查安装桌面终端安全管理系统和杀毒软件,确保桌面终端安全管理系统注册率和360杀毒软件覆盖率达百分之百。对于在检查中发现的问题或可能存在的安全隐患、安全漏洞和薄弱环节,立即进行整改。进一步完善相关应急预案,落实应急保障条件。杜绝出现违规“自选动作”,遇重大突发敏感事件,一律按统一部署进行报道。各科室要严把网上宣传报道导向关,严格规范稿源,不得违规自采,不得违规转裁稿件,不得擅自篡改标题。严格网上新闻报道审校制度,防止出现低级错误,同时加大了对新闻跟帖的管理,组织本单位网评员积极跟帖。
五、应急值守
1.单位网络安全应急负责人、联系人要保持网络畅通,及时接收风险提示、预警信息和任务要求,并按要求报告相关情况。负责人、联系人名单或联系方式有调整的,及时函告县网信办。
2.值班期间,实行每日“零报告”制度,每日下午17:00前,报送当天本部门网络安全运行情况、受攻击情况和事件情况,一旦发生网络安全事件,立即启动应急预案,迅速应对,有效处置,并按规定程序及时报告有关情况。
六、工作要求
关键词 网络设备;加固;电力
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
参考文献
在社会经济的推动下,我国供电企业得到了较快发展,在更好满足人们供电需求的同时,顺应了城市化发展的潮流。目前,很多供电企业都对信息技术进行了较好应用,并通过其提高员工的工作效率以及质量,从而给供电企业的发展带来了一定机遇。虽然我国的网络信息技术有了较好发展,但在供电企业网络信息管理中,依然存在许多信息安全问题,给企业发展以及社会稳定带来不利,因此,加强供电企业网络信息安全防护具有重要意义。
一、供电企业网络信息安全概要
随着科学技术的不断进步,我国许多供电企业都进入了智能化、自动化工作时代,并建立了自身的网络信息数据库,不仅给企业各项工作的顺利进行带来了较大便利,而且能够为用户提供更高质量的电能。在信息技术的推动下,供电企业营销、财务等工作都实现了网络化和规范化,而且有些地区对正向隔离器进行了较好应用,从而给网络信息访问提供了一定的安全保障。目前,许多供电企业将自身营销网络与MIS网络进行了有效结合,并合理纳入了呼叫接入系统,从而与银行、用户等能够较好进行信息共享,并具有较高的安全性。虽然供电企业网络信息具有一定的安全性,但是基于网络载体的自身特性,依然存在着许多安全隐患,包括计算机病毒、恶意网页等内容,这些不良因素严重影响着网络信息的安全,不仅对企业各项工作的正常进行造成了较大影响,而且给用户正常用电带来了极大不利,最终产生多种社会问题。因此,加强供电企业网络信息安全防护势在必行。
二、供电企业网络信息存在的安全问题
(一)供电企业网络服务器质量不高
供电企业的电力系统中一般具有多种服务器,包括银电联网服务器、数据库服务器、WEB服务器等,每种服务器都有着自身的特性和功能,对电力系统的正常运作具有重要作用。在信息技术的发展下,各种网络侵入技术也有了较快发展,服务器非法入侵问题越来越严重,不仅给网络信息的安全性带来了较大隐患,而且破坏了社会稳定。在供电企业中,不同的服务器据具有不同的认证系统,主要是为了提高网络安全性,但是没有建立一个统一管理的网络系统,致使工作人员难以对服务器进行有效管理;电力系统中的WEB服务器经常会受到各种恶意病毒的侵袭,致使信息访问的安全性遭到较大冲击;在供电企业的邮件服务器中,存在较多的垃圾邮件,但是管理人员疏于监管,而许多工作人员不具备较好的安全意识,将这些邮件随意传播,致使企业网络信息安全受到严重威胁;由于供电企业网络服务器质量不高、加密效果较差、管理人员安全意识不足,极易遭受黑客攻击,致使企业机密文件或重要信息被窃取,最终给企业的正常运作带来极大不利。
(二)供电企业网络信息安全防护能力不足
在网络信息技术发展的同时,各类信息安全事件也不断涌现,不仅破坏了网络秩序,而且产生了较多负面影响,因此,加强网络信息安全防护具有重要作用。虽然我国信息技术有了较大进步,但是在供电企业中,其网络信息安全防护能力还存在较大问题,难以适应网络环境的复杂性与多变性,所以提高供电企业网络信息安全防护能力势在必行。目前,网络的保护系统还没有得到更为有效的保护,我国目前对于网络信息的保护还仅仅是停留在购买杀毒软件这个层次上,但是杀毒软件其实效果是有限的,如果想要更加健全更加全方位的保护就必须要有自己的防护系统,例如在网关处加入自己的防护措施,并且具有针对性的增强安全手段。毕竟,对于供电企业来说,很多信息是非常重要的,也算是企业的机密文件,所以对于网络的安全尤为重要。就部分供电企业而言,并不具有完善的信息安全防护系统,在杀毒软件方面存在一定落后性,当网络遭到外部攻击时,现有的安全防护措施难以进行抵御。此外,有些供电企业不具备较好的数据恢复系统,一旦信息出现损害或消失,供电企业难以补救数据漏洞,从而给各项工作的顺利进行带来不利。目前的供电企业大都缺乏网络信息安全评价体系,致使供电企业不能有效了解自身的网络情况,也难以加强信息安全,所以如何提高网络信息安全防护能力是供电企业面临的重大问题。
(三)计算机病毒威胁
供电企业大都通过自身网站与外网进行链接实现信息访问,由于网络信息不具备较好的规范性,许多恶意网页也隐藏在网站中,当员工点开恶意网页的链接时,计算机病毒就会侵入供电企业网站服务器,并迅速扩散,最终造成服务器瘫痪。计算机病毒并不能够直接用肉眼识别,许多计算机病毒都隐藏在一些正规的网页中,所以电脑使用者不能够及时发现网页危害,当其无意中点开恶意网页链接时,计算机病毒就会通过一定运作方式扩散至整个计算机终端,并改变服务器的运行程序,从而产生多种问题。
三、供电企业网络信息安全防护措施
(一)完善计算机防火墙
防火墙是计算机中重要组成部分,主要分为两种形式,一种是软件防火墙,另一种是硬件防火墙。防火墙具有较高的安全性,能够阻止网页非法访问以及恶意信息侵入,并能对信息的流通环节进行较好控制,从而保障网络信息安全。因此,供电企业可以对硬件防护墙进行完善,利用其对企业内网与外网之间的信息访问进行控制,并对外网进行有效隔离,从而提高信息访问的安全性。为了更好保障网络信息安全性,供电企业可以在完善防火墙的基础上对杀毒软件进行升级,并建立数据备份系统,从而取得较好的防护效果。在对防火墙进行完善时,供电企业需对访问权限进行合理设置,并对相应的数据资源进行加密,合理控制数据进出环境,排除一切不利因素,从而提高防火墙的效果。防火墙不仅会对外网信息传输进行控制,而且还会对供电企业内网信息传输进行限制,所以供电企业在完善防火墙时必须对多种情况进行合理考虑,在满足企业工作需求的前提下提高信息安全度,从而更好保障供电企业正常运作。
(二)增强员工安全意识
供电企业中具有多种类型的工作,而员工又是工作主体,所以增强员工安全意识对提高网络信息安全性具有重要作用。供电企业须根据实际情况建立网络安全制度,并加强对员工安全意识的教育,要求其在实际工作中树立信息安全风险意识,严格控制信息输出及输入环节,按照相关规范进行工作。由于供电企业中多项环节都会涉及到网络信息的应用,所以供电企业必须注重对员工进行安全培训,并提高其专业能力,从而降低因人为因素造成的网络信息安全隐患。
(三)预控计算机病毒
计算机病毒的种类较多,存在于计算机信息传输的各个环节,不仅会对供电企业的正常运作带来不利,而且可能对电力系统的稳定性造成严重影响,所以供电企业必须采取有效措施预控计算机病毒。基于计算机病毒的威胁,供电企业可以建立网络病毒墙,根据防火墙的特性来完善病毒墙的各种功能,以预控计算机病毒为目标,加强对网络信息传输环节的控制,从而更好提高网络信息安全性。
结束语
基于电力企业的重要性,维护网络信息安全有着极大意义,也是保障社会稳定的重要措施。网络具有复杂性和多样性,其存在着多种漏洞,因此,信息安全问题在所难免,只有加强信息安全防护才能更好保障供电企业各项工作正常进行,所以供电企业必须加强对员工专业素质的培训,并采取有效措施控制计算机病毒,这样才能更好保障网络信息安全,满足人们正常供电需求。
关键词:计算机网络安全 ARP攻击 局域网
随着网络化、数字化以及信息化社会的推进,计算机网络成为了人们生活重要的助手,计算机网络安全就越来越重要。而影响到计算机网络安全管理的ARP攻击,比如网协地址被别人盗用,不但会影响到计算机网络正常运行,还可能为被盗单位带来较大经济损失与潜在安全隐患。在这种形式下,研究计算机网络安全防ARP攻击具有现实意义。
1.计算机网络安全ARP攻击概述
ARP攻击,是针对以太网地址解析协议的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
要探究计算机网络安全防ARP攻击,首先要明确该攻击自身的特征以及为计算机网络安全造成的危害。
1.1计算机网络安全ARP攻击特征
①隐蔽性 有时候网络中出现了网协地址冲突问题,大都能够采用多种方法与手段进行避免。但是一旦出现了ARP攻击,计算机中心系统没有办法判断出ARP缓存是否正确,也就不会给用户提出任何提示,让计算机无形被攻击。
②阻塞网络性 一旦出现了ARP攻击就会伪造出网协地址与物理地址,这些伪造地址加大了ARP的通信量,进而阻塞网络影响到网络通讯能力。
③不易消除性 事实上,出现了ARP攻击极难对付,为计算机网络管理人员带来维护网络安全难度。
1.2计算机网络安全ARP攻击的危害
ARP攻击危害性较大,攻击性较轻让计算机网络出现掉线,如果较重就可能导致重要数据及密码被盗,带来惨重损失,具体危害体现在如下几个方面:
①到时网速速度不稳定,严重影响到网络通讯质量;
②卡死计算机 这种攻击能够造成网协地址冲突,为计算机带来通讯困难,严重者出现死机;
③盗取核心信息 盗取网络局域网里各个上网用户的信息进行非法活动,带来严重损失;
④破除计算机屏保 一旦被攻击就可能造成IP地址级别高于屏保,带来不安全问题。
2.计算机网络安全防ARP攻击的策略
从实际现状中可以看出来,一旦出现了ARP攻击势必会为计算机中心及用户带来影响,因此就必须要针对计算机网络安全ARP攻击实施相应防范策略。
2.1判断ARP攻击方法 一旦管理人员发现计算机网络出现了不正常情况时,就进入到MS-DOS窗口中输入“ARP-a”,就能够显现出许多不同网协地址以及所对应着物理地址的列表,比如:
从上面所显示就能够断定出MAC地址00-50-BF-11-FF-96计算机遭受到攻击。再进入到MS-DOS窗口之中输入“ipconfig/all”查询相应物理地址,之后进行相关操作就能够锁定到受ARP攻击的那台计算机。
2.2防ARP攻击安全简单措施 事实上有一些ARP攻击只需要简单防范,就能够消除,这种消除措施要求不是很高,能够暂时消除故障,但是不能够持续多久还有可能会为工作带来不便,这种方式只是适合技术水平一般的人员,具体操作:
①重新启动计算机,一旦重新启动了计算机就会让ARP攻击失去环境;
②对网络设备进行复位,普遍做法就是恢复到出厂设置;
③禁用网卡,切断目标地址。
这样就能够切断ARP攻击,让攻击失去了目标自然就失败了,之后再激活网卡,就能够解决掉ARP攻击。
2.3 采用双向地址绑定 这种方法是比较常用的防ARP攻击,就是将物理地址与网协地质绑定在一起形成双向绑定。事实上, ARP攻击就是伪造网协地址与物理地质来达到目的。因此我们绝对不能够轻易相信网协地址或者物理地址,我们的安全策略应该建立在网协+物理地址之上。即是物理地址和网协地址双向绑定,让逻辑地址与物理地址即网卡地址一一对应及一一映射关系。这样就能够防范ARP表被更改,提防出现ARP攻击。当时在实施双向绑定上不能够一概而论,而要根据不同操作系统实施不同的双向绑定。
2.4使用ARP防火墙 为了提防ARP攻击,目前研发出了ARP防火墙技术,这种技术能够完成两个确保:计算机从网关获取的物理地址是合法的,而网关获取计算机的物理地址也是合法的,这样就能够有效防止ARP攻击不受到假ARP数据包的影响,有效过滤假ARP数据包,确保计算机从网关中获取正确的物理地址。
2.5 做好局域网安全措施 事实上每一个单位都有自己的局域网,加之一些员工对网络安全的意识比较淡薄,如果还是使用专杀工具势必不能解决ARP病毒。因此,局域网应该从如下几个方面防ARP攻击。
①做好用户自身网络安全防护 要加强用户自身网络意识,不要轻易下载及使用来路不明的软件,不要随意点开QQ、MSN等发来不安全的链接信息、邮件等;
②在整个局域网内使用双向绑定;
③在局域网中使用ARP服务器 就是在整个局域网内部使用一台机器做ARP服务器,专门用来维护局域网中的所有主机的物理地址和网协地址之间映射记录,一旦有ARP请求之时,就通过ARP服务器查阅本机静态记录,进而提防出现ARP攻击。
④绑定交换机端口和物理地址(网卡地址) 就是在交换机的端口上把物理地址与端口进行绑定、IP地址与端口绑定,就能够在端口上实现网协与物理地址绑定,将交换机上的ARP表固定起来。这样无论什么ARP攻击都无法改变交换机中的ARP表。
⑤使用虚拟局域网(VLAN)技术对端口进行隔离 这样就能够将局域网中的逻辑地址划分为许多网段,进而实现了虚拟工作组技术。VLAN技术能够将ARP攻击产生出来的报文限制于同一个局域网,能够有效的抑制ARP攻击。
3.结束语
计算机网络在我们工作方便的同时也带来了一些安全问题,如何构建计算机网络安全环境至关重要,也是众多网络管理员研究的重要课题。因此本文从目前计算机网络安全的ARP攻击现状进行分析,有针对性提出网络安全防ARP攻击的措施,进而为计算机网络管理员维护安全提供参考。
参考文献:
[1]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009(3):28-31.
[2]周晴.浅析高校计算机网络安全问题及对策[J].电脑知识与技术,2010(15):87-90.
【关键词】网络工程;安全防护技术;防火墙
随着信息化时代的到来,网络在人们生活及工作中的应用越来越广泛。网络不仅能够快速的传递信息,还能完成以前人们不能完成的任务,,但是同时网络也存在着一定的安全问题,如计算机病毒感染、黑客入侵、系统风险等。因此必须要加强对网络工程的安全防护技术,唯有如此,才能真正保证人们使用网络的安全性。
1网络工程中存在的几项安全问题
当下,人们对网络工程的使用和依赖性逐渐增强,但是网络工程中却存在着一些风险,这将严重影响着人们使用网络工程的安全。目前存在的安全问题有以下几项:
1.1黑客对网络工程的入侵
在网络工程的安全中,黑客入侵一直以来就是一个比较难于解决的问题。所谓黑客入侵,指的就是一些人利用计算机中存在的漏洞来盗取别人的资料或者是对网络展开攻击。黑客入侵可以分成两类:①非破坏性攻击;②破坏性攻击。非破坏性攻击的主要目的是为了阻碍计算机网络的正常运行,它并没有对系统造成破坏,只是通过阻碍来盗取信息或者是让别人的网络系统在一段时间内不能正常运行;破坏性攻击会对网络系统直接进行破坏来窃取信息,严重的甚至能直接造成别人网络系统的瘫痪。
1.2计算机病毒对网络工程的入侵
计算机病毒的存在对网络工程的安全有一定的风险,因而对当前网络工程的发展造成了一定的阻碍。计算机病毒并不是一开始就存在的,它是由人工编写而成的,是编写者将编写好的编码、指令等植入到计算机网络系统中,从而造成其对网络工程入侵。计算机病毒入侵将会泄漏一些重要的信息,导致网络工程出现安全问题。计算机病毒具有它自身独有的特点:①它具有破坏性,能够导致入侵的系统进入瘫痪状态;②具有传染性,一旦计算机的某个程序被病毒入侵后将会传染给其他的程序,使病毒入侵的危害性大大增加;③还具有复制性的特点,被入侵的程序能够复制编码。这样计算机病毒的入侵将给网络工程的安全性带来极大的风险。
1.3IP地址盗用对网络工程的影响
每一个计算机网络都有着属于自己的IP地址,这个地址一旦被盗用,将会造成该计算机网络无法进行连接。另外IP地址还关系到计算机的一些个人信息,这样被盗用后将会导致一些个人信息的泄漏。
2如何加强计算机网络工程的安全防护技术
想要加强计算机网络工程的安全防护技术,就必须得了解威胁计算机网络安全的构成,只有了解才能采取合适的方法加强安全防护。
2.1利用防火墙加强安全防护
为了加强网络工程的安全防护,可以设置防火墙,这样将会阻止黑客及一些计算机病毒对系统的攻击。由于设置防火墙具有过滤的功能,可以在局域网和外部网络之间进行设置,这样防火墙将会发挥它最大的作用,不仅过滤各种存在安全隐患的信息,还能阻止各种病毒对计算机的破坏,从而最大程度上的来保护计算机网络工程的安全。
2.2加强计算机病毒的防护措施
由于当前计算机网络受到计算机病毒入侵的风险,为了保证计算机网络工程的安全,要加强计算机病毒思维防护措施。随着计算机的逐渐使用,病毒的种类也不断地增加,为了更好的保护计算机网络系统,就必须加强防护措施。为了保证计算机安全而采用的防护措施有多种,如可以通过一些杀毒软件来进行防护,也可以通过定期做病毒查杀来进行防护,还可以将一些重要的数据备份,这样可以防止计算机出现病毒后内容丢失。
2.3植入入侵检测技术
通过植入入侵检测技术,计算机网络将可以主动检测是否有病毒或者黑客等侵入网络工程,这样将可以大大提高计算机网络工程的安全性。植入入侵检测技术,将可以在病毒入侵之前就做出防护措施,这一点与其它的防护措施有着明显的不同。
2.4拒绝垃圾邮件的收取
垃圾邮件指的是那些不是用户主动获取而是无法阻止的邮件,垃圾邮件的存在将占据系统的存储空间,进而影响计算机网络系统的运行速度。通过拒绝接收垃圾邮件,不仅可以降低网络工程的风险性,而且还可以加快系统运行效率。
2.5加强网络风险的防范
在网络工程的防护中可以对系统中一些比较重要的内容进行数据加密,这样将会增强网络的安全性。在进行数据加密后只要不知道怎样解密,即使数据被窃取,窃取者也无法得到所要的信息。
3结束语
总之,网络在给人们生活带来便利的同时,网络工程也存在着各项风险问题,为了保证网络工程的安全性,就必须加强网络工程的安全防护技术。只有通过各种防护措施,才能真正保证网络工程的安全,从而最大程度的发挥出网络工程的作用。
参考文献
[1]毕妍.关于网络工程中的安全防护技术的思考[J].电脑知识与技术,2013(21):4790~4791,4814.
[2]陈红敏.关于网络工程中的安全防护技术的思考[J].城市建设理论研究(电子版),2015(18):6688.
[关键词]电子商务网络攻击防范技术
一、电子商务
电子商务(EC)是英文“ElectronicCommerce”的中译文。电子商务指的是通过简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商务活动。由于电子商务拥有巨大的商机,从传统产业到专业网站都对开展电子商务有着十分浓厚的兴趣,电子商务热潮已经在全世界范围内兴起。电子商务内容包括两个方面:一是电子方式。不仅指互联网,还包括其他各种电子工具。二是商务活动。主要指的是产品及服务的销售、贸易和交易活动;电子化的对象是针对整个商务的交易过程,涉及信息流、商流、资金流和物流四个方面。
二、电子商务网络攻击的主要形式
1.截获或窃取信息
攻击者通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过网关和路由器时截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推出诸如消费者的银行账号、密码,以及企业的商业机密等有用信息。
2.违反授权原则
一个被授权进入系统做某件事的用户,在系统中做未经授权的其他事情。
3.拒绝服务
可以导致合法接入信息、业务或其他资源受阻。
4.中断
破坏系统中的硬件、线路、文件系统等,使系统不能正常工作,破译信息和网络资源。
5.计算机病毒
计算机病毒增长速度已远远超过计算机本身的发展速度,计算机病毒的破坏性越来越大,传播速度也越来越快,计算机病毒已成为电子商务发展的重大障碍之一。
三、电子商务的重要安全防范技术
1.防火墙(Firewall)技术
(1)防火墙的概念:是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。防火墙从本质上说是一种保护装置,用来保护网络数据和资源。防火墙是Internet上广泛应用的一种安全措施,它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术是目前最为广泛使用的网络安全技术之一,防火墙技术也日趋成熟。
(2)防火墙的基本准则。①一切未被允许的就是禁止的;②一切未被禁止的就是允许的。
(3)防火墙的作用。所有来自Internet的信息或从内部网络发出的信息都必须穿过防火墙,因此,防火墙能够确保诸如电子邮件、文件传输、远程登录以及特定系统间信息交换的安全。防火墙可用于多个目的:限定人们从一个特别的节点进入;防止入侵者接近你的防御设施;限定人们从一个特别的节点离开;有效地阻止破坏者对计算机系统进行破坏。
2.数字签名(DigitalSignature)技术
(1)数字签名技术的概念。数字签名技术是在传输的数据信息里附加一些特定的数据或对数据信息作密码变换,这种附加数据或密码变换使接收方能确认信息的真正来源和完整性,并且发送方事后不能否认发送的信息,而接收方或非法者不能伪造或篡改发送方的信息。数字签名类似于手工签名,是手工签名的数字实现。
(2)数字签名的基本准则。①接收者能够核实发送者对报文的签名;②接收者不能伪造对报文的签名;③发送者事后不能抵赖对报文的签名。
(3)数字签名的方法。①对整体消息的签名:消息经过密码变换的被签字的消息整体;②对消息摘要的签名:附加在被签字消息之后或某一特定位置上的一段签字图样;③确定性数字签名:其明文与密文一一对应,对于一特定消息的签名不变化;④随机化的或概率式数字签名:对同一消息的签字是随机变化的,如基于离散对数的ElGamal数字签名算法。
3.数据加密技术
(1)数据加密技术的几个概念。通讯的保密性、真实性和完整性可以通过对穿过公共网络的数据进行加密来实现。数据加密是转换数据,给数据加密的过程。数据加密技术是研究对数据进行加密的技术。①密码:是一组含有参数k的变换E。设已知数据信息(明文)m,通过变换EK得数,据信息(密文)c,即:c=EK(m)。以上变换过程称之为加密,参数k称为密钥。被变换的数据信息(m)叫做明文;变换得到的数据信息叫做密文。②数据加密:把明文变换成密文的过程。③解密:把密文还原成明文的过程。
【关键词】高速公路收费网络 网络安全
近年来,我国在电子计算机技术方面取得了较大的进展,计算机网络技术被各个行业广泛应用。在我国高速公路的建设过程中,计算机网络技术也被应用到其中,高速公路已经实现了联网收费。采用联网收费的方式能够降低高速公路收费工作人员的工作强度,并且在管理用户的时候能够更加的快速便捷,使得用户信息能够被各个收费站共享。但是,高速公路联网收费系统的网络安全问题也成为了目前高速公路管理部门比较关注的问题,存在非法入侵者用计算机网络对收费系统进行网络攻击、窃取高速公路用户的信息资料或者通过一些手段偷逃通行费用等风险,对高速公路管理部门造成了严重的损害,危及了一些用户的信息隐私安全,因此,必须加强对高速公路联网收费系统网络安全防护工作,建立切实可行的网络安全防范管理制度,采取有效的措施保证高速公路联网收费系y能够安全稳定的运行。
1 高速公路收费网络安全现状
随着我国高速公路建设规模的不断扩大,计算机网络技术的不断发展,为了能够满足社会发展的需求,我国大多数省份的高速公路都已经基本完成了公路联网工作,这使得高速公路的收费系统规模也日渐庞大,高速公路的联网收费系统使得高速公路某个收费站的网络一旦出现安全问题,就会使得整个网络系统都存在安全隐患,牵一发而动全身,对整个高速公路系统的安全运行有一定的影响,同时还会影响到社会秩序。
就目前的情况来看,我国高速公路的联网收费系统已经比较完善,但是在收费网络的安全方面还是存在一定的隐患,有关管理部门缺乏网络安全意识,没有健全的网络安全管理机制,对联网收费系统采取的一些网络安全防范措施有限。但是,随着收费路段的不断增加,收费网络也越来越复杂,这就使得收费系统中存在的漏洞也变得越来越复杂,风险越来越多,很多管理人员和技术人员在专业技术水平方面有所欠缺,在日常的操作和维护工作中存在不规范的现象,也给收费系统带来了一定的安全问题。
此外,高速公路联网收费系统使用的网络虽然属于高度封闭内部网络,但是由于各个收费站点都比较分散,而收费站点的数量较多,这就使得收费网络容易受到网络黑客的攻击,造成用户信息或者一些重要数据的丢失或损坏,给整个收费系统造成了严重的危害,甚至还会使得收费系统出现瘫痪的现象,给高速公路管理部门带来经济损失,影响社会秩序。
2 高速公路收费网络存在的安全隐患
2.1 物理传输链路存在安全问题
在高速公路收费系统中,物理传输链是其运行的基本平台。但是,在实际工作中,往往会由于工作人员对收费系统管理不当而出现安全问题,一般情况下常见的问题有线路损坏使得信息传递受阻,或者一些不法分子通过拦截传输线路中的信号来窃取用户的数据或信息,有时还可能对数据和信息进行恶意修改等。
2.2 网络结构存在的安全隐患
在高速公路的联网收费系统使用的过程中,要将系统网络和互联网相连接,这就使得互联网中的一些危险因素容易渗透到内部系统网络中,对系统网络中的操作系统或者主机设备带来安全隐患。有些不法分子利用较高的计算机技术,通过互联网对高速公路的收费系统进行非法访问,对收费系统中的一些重要数据或者用户的信息进行盗窃或者破坏,或者直接破坏联网收费系统,这会导致高速公路各路段的收费系统出现故障甚至出现网络瘫痪的现象,严重影响了收费系统的正常使用。
2.3 操作系统中存在安全隐患
高速公路联网收费系统在进行控制室服务器安装时,没有考虑到主机操作系统的安全保护问题,在安装操作系统上,技术人员对于一些系统设置没有进行严密的设置操作,使得系统默认的安全设置不符合标准。此外,对于服务器的一些端口技术人员没有对其进行端口封闭处理,使得这些端口保持敞开,这样就给一些不法分子可乘之机,他们会利用这些敞开的端口,连接入收费系统的内网,进而对一些数据或信息进行盗窃或破坏,通常情况下,一些操作系统在开发的时候都会设置产品后门,当系统安全设置不完善是,就容易被人非法入侵。一旦高速公路收费系统的服务器被入侵,将会造成严重的后果。因此,在联网收费系统使用的过程中,相关的管理人员一定要重视系统的安全设置,提高操作系统的安全配置水平,杜绝不法分子的非法入侵,保证联网收费系统的安全性。
2.4 软件故障
在高速公路联网收费系统中,还会应用各种应用软件,例如车道收费软件、路段分中心收费软件以及收费处收费系统软件等等,在收费系统使用的过程中,可能会产生由于收费系统中应用软件、数据库等发生故障而引起的安全事故,收费系统的主机如果出现软件故障,就会导致部分地区的收费数据丢失或者收费紊乱等现象,严重的时候还会使得高速公路部分路段或者整个公路段的收费系统无法正常工作,一些收费数据等也无法恢复。
3 高速公路收费网络的安全防护措施
3.1 加强网络安全管理
在高速公路联网收费系统使用的过程中,要加强对收费网络的安全管理,制定切实有效的网络安全管理制度,保证相关技术人员在工作的操作和维护过程中严格按照管理制度来进行,使得收费系统的网络安全能够得到保障确保收费系统能够安全稳定的运行。收费系统网络安全管理制度包括:对各级收费单位的安全管理等级和安全管理范围进行明确,制定收费系统网络操作的相关操作规程,制定相关技术人员进出机房的管理制度,制定收费系统网络维护制度和网络应急措施等等。
3.2 确保网络结构安全
高速公路联网收费系统在进行网络构架的时候应该采用比较高端的设备装置,对一些不必要的端口做封闭处理,降低入侵风险。在网络系统的出入口都要设置强度较高的防火墙,不定期对一些收费数据和用户信息的储存系统进程病毒查杀和安全防护。对收费系统的网络进行地域的划分,形成多个局域网络,这样能够使收费系统的网络结构变得简单一点,并且在局域网络出现安全问题的时候不会影响到其他网络的安全。
3.3 确保操作系统的安全运行
想要确保联网收费系统控制室的主机的操作系统能够完全稳定的运行,就必须要在操作系统的安装过程中采用新型的补丁程序,设置磁盘的访问权限,关闭操作系统默认设置中的共享连接。关闭不再使用服务器或者端口,对操作系统设置高强度的访问密码,不定期的更改密码,避免密码被破译的可能性。完善操作系统的监控体系,及时改善操作系统中出现的安全漏洞或安全隐患,对一些入侵行为能够及时的提出预警,便于技术人员采取相应的措施。
4 结束语
总而言之,高速公路收费系统的网络安全问题能够影响我国高速公路的发展,在信息时代,高速公路收费系统经常出现网络安全问题,这就要求有关部门加强对收费系统的网络安全防护工作,建立完善的网络安全管理制度,优化网络结构,培养相关的专业技术人员,从而降低网络安全事故发生的概率,使高速公路联网收费系统能够正常的运作。
参考文献
[1]王宝魁.高速公路联网收费系统安全保障工作浅谈[J].中国交通信息化,2015(09):85-87.
[2]赵朝部,兰良.高速公路联网收费系统网络安全优化分析[J].网络安全技术与应用,2015(03):128+131.
[3]吴丽娟.高速公路计算机收费网络安全对策探索[J].产业与科技论坛,2016(14):228-229.
[4]郭世军.浅谈高速公路ETC收费系统应用及网络安全[J].江西建材,2014(20):158.
[5]王顺.高速公路计算机收费网络安全及对策分析[J].科技风,2015(17):113.
作者介
石晋平(1972-),男,山西省原平市人。大学本科学历。山西省忻州高速公路有限责任公司。
【关键词】办公自动化;网络;网络安全;信息安全
目前,很多企业为了提高内部工作效率,开始创建了自动化办公模式,计算机网络的使用价值得到了更大的体现。但与正常的计算机使用一样,网络自动化办公在为用户提供方便的同时也面临着各种安全隐患,“信息安全”则是其中最为重要的一个方面。
一、网络办公自动化,使办事效率提高
计算机没有普及之前,各个行业人员在办公时主要依赖于人工方式操作,对于内部大大小小的事物都要逐一处理。这种传统的办公模式不仅增加了职员的工作量,且办事效率不尽人意。网络自动化办公模式推广后,发挥出了多个方面的优点。
(一)活动范围,缩小
早期企业人员在办公过程中常常要四处走动,工作范围分布在各个地区,这就增加了办事人员的工作强度[1]。而网络自动化办公模式推广后,企业人员只需借助电脑平台则能完成各项事务的处理。
(二)经营成本,降低
“虚拟化”的网络办公不仅提高了企业办事效率,也能避免实际办公中带来的成本开支,如:交通费、住宿费等。所有业务往来、合作商谈、合同制定都可以在网络上进行,这样就能显著降低企业的经营成本,让企业获得更大的经济利润。
(三)行业模式,创新
尽管受到经济、技术等方面的影响,网络自动化办公在我国还没有全面推广。但长远的角度看,未来各个行业的办公操作一定会朝着自动化方向发展,这不仅符合了企业经营的需要,也是信息化时代进步的要求,促进了各个行业人员办事效率的提升。
二、办公自动化网络常见的安全问题
(一)黑客的入侵
目前的办公自动化网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
(二)病毒的感染
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
(三)数据的破坏
在办公自动化网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、FAT表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
三、办公自动化网络系统的安全设计
(一)数据完整性和系统安全的影响因素分析
1.数据完整性威胁因素
人类自身方面:主要是意外操作、缺乏经验、蓄意破坏等;自然灾难方面:包括地震、水灾、火灾、电磁等;逻辑问题方面:包括应用软件错误、文件损坏、数据交换错误、操作系统错误、容量错误、不恰当的用户需求等;硬件故障方面:主要指构成硬件系统的各个组成部分,如硬盘、芯片、主板、存储介质、电源、I/O控制器等发生故障;网络工作方面:网络故障包括连接问题,网络接口卡和驱动程序问题以及辐射问题等。
2.系统安全影响因素
物理设备影响:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的影响;线缆连接影响:包括拨号进入、连接或非连接窃听方式窃取重要信息;身份鉴别影响:包括口令被破解、加密算法不周、随意设置口令等漏洞性因素;病毒或编程影响:病毒袭击目前已成为计算机系统的最大威胁。此外,有的编程技术人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成了威胁。
(二)安全设计的基本原则
安全性第一的原则:由于安全性和网络的性能(使用的灵活性、方便性、传输效率等)是一对矛盾,两者不能兼得。建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性能受到的影响。
多重保护的原则:任何安全保护措施都可能被攻破。建立一个多重保护系统,各重保护相互补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全。
多层次((OSI参考模型中的逻辑层次)的原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计软件,在应用层之上启动服务等。
网络分段的原则:网络分段是保证安全的重要措施。网络分段可分为物理分段和逻辑分段。网络可通过交换器连接各段,也可把网络分成若干IP子网,各子网通过路由器连接,并在路由器上建立可访问表,来控制各子网的访问。
购物车(0)