前言:中文期刊网精心挑选了网络系统安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络系统安全论文范文1
2通信网络安全的定义及其重要性
可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。
当今社会,通信网络的普及和演进让人们改变了信息沟通的方式,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。这种关联一方面带来了巨大的社会价值和经济价值,另一方面也意味着巨大的潜在危险--一旦通信网络出现安全事故,就有可能使成千上万人之间的沟通出现障碍,带来社会价值和经济价值的无法预料的损失。
3通信网络安全现状
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题。
计算机系统及网络固有的开放性、易损性等特点使其受攻击不可避免。
计算机病毒的层出不穷及其大范围的恶意传播,对当今日愈发展的社会网络通信安全产生威胁。
现在企业单位各部门信息传输的的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。
通信系统大量使用的是商用软件,由于商用软件的源代码,源程序完全或部分公开化,使得这些软件存在安全问题。
4通信网络安全分析
针对计算机系统及网络固有的开放性等特点,加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。安全意识不强,操作技术不熟练,违反安全保密规定和操作规程,如果明密界限不清,密件明发,长期重复使用一种密钥,将导致密码被破译,如果下发口令及密码后没有及时收回,致使在口令和密码到期后仍能通过其进入网络系统,将造成系统管理的混乱和漏洞。为防止以上所列情况的发生,在网络管理和使用中,要大力加强管理人员的安全保密意识。
软硬件设施存在安全隐患。为了方便管理,部分软硬件系统在设计时留有远程终端的登录控制通道,同时在软件设计时不可避免的也存在着许多不完善的或是未发现的漏洞(bug),加上商用软件源程序完全或部分公开化,使得在使用通信网络的过程中,如果没有必要的安全等级鉴别和防护措施,攻击者可以利用上述软硬件的漏洞直接侵入网络系统,破坏或窃取通信信息。
传输信道上的安全隐患。如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,从而使得某些不法分子可以利用专门设备接收窃取机密信息。
另外,在通信网建设和管理上,目前还普遍存在着计划性差。审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。因此,网络安全性应引起我们的高度重视。
5通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现对非法入侵的监测、防伪、审查和追踪,从通信线路的建立到进行信息传输我们可以运用到以下防卫措施:“身份鉴别”可以通过用户口令和密码等鉴别方式达到网络系统权限分级,权限受限用户在连接过程中就会被终止或是部分访问地址被屏蔽,从而达到网络分级机制的效果;“网络授权”通过向终端发放访问许可证书防止非授权用户访问网络和网络资源;“数据保护”利用数据加密后的数据包发送与访问的指向性,即便被截获也会由于在不同协议层中加入了不同的加密机制,将密码变得几乎不可破解;“收发确认”用发送确认信息的方式表示对发送数据和收方接收数据的承认,以避免不承认发送过的数据和不承认接受过数据等而引起的争执;“保证数据的完整性”,一般是通过数据检查核对的方式达成的,数据检查核对方式通常有两种,一种是边发送接收边核对检查,一种是接收完后进行核对检查;“业务流分析保护”阻止垃圾信息大量出现造成的拥塞,同时也使得恶意的网络终端无法从网络业务流的分析中获得有关用户的信息。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解决网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
网络系统安全论文范文2
(1)网络共享性带来的安全威胁。促成网络诞生的一个重要原因就是因为网络可以实现资源共享,在进行资源共享的时候我们得到了极大的便利,但是这种共享同样提供了机会给破坏分子,他们可以利用共享资源来对使用者的计算机或者信息系统进行攻击甚至直接破坏,这正是当前网络存在安全威胁的一个重要的表现。
(2)网络复杂性带来的安全威胁。众所周知网络是具有开放性的,所以网络用户可以浏览到很多内容,比如个人信息资料或者一些企事业单位、团体组织的信息内容,这些内容可能会包括很多敏感信息,可能是个人的或者企业内部的,很多调查网站甚至利用这些个人信息来进行贩卖从中牟利,这使得很多人的个人信息等敏感资料在不知不觉中就被泄露了。
(3)网络开放性带来的安全威胁。计算机网络技术之所以能像今天这么发达,是汇聚了很多人的心血的,可以说是人类智慧的结晶。同时计算机网络系统的构成是十分复杂的,是由多个网络硬件设备以及软件等组合而构成的,这种复杂性其实也是有它的缺点的,它在很大程度上威胁了网络信息的安全。
(4)网络边界以及传输过程中的不确定性带来的安全威胁。如今在进行网络构建的时候习惯对其边界进行可扩展处理,这可以说是网络建设的一个需求了,虽然为以后的空间扩展提供了便利,但是这种特定却让网络的边界变得更加不确定,在进行共享访问时网络安全边界被破坏的可能性大大增加,同时增加了网络信息传递的途径,这种具有很大不确定性的传输路径增加了中间环节被影响的可能性。
(5)信息密集带来的安全威胁。很多网站建立的初衷就是收集相关的信息,同时对这些信息进行整理,形成最终的结果并且展示给用户看,但是在信息收集的过程中缺乏挑选性,没有精准的对信息进行筛选,这就可能会造成网络安全威胁。
2计算机网络和信息安全系统
2.1系统的物理环境
我们首先需要按照国家的相关标准来进行计算机网络和信息系统的机房安装,保证机房内的物理环境、机房内摆放使用的设施以及机房的装修都需要按照国家规定来进行,使用的装饰材料等要保证其防水、防潮、防火的性能达标。只有保证了机房建设以及其物理环境符合相应的标准,才能更好的进行信息和数据安全的保护工作。首先计算机网络中心机房要进行正确的选址,在楼层适中的位置进行建设,同时尽量远离那些具有危险性的建筑设施,这样也更便于企事业单位进行后续的网络建设。其次是安设门禁系统或者环境监控措施,一般来讲现在企事业单位的信息中心都具有这样现代化的机房。环境监控措施例如自动报警装置或者UPS等,可以对中心机房内的信息情况进行实时监测,一旦出现设备异常或者物理异常的情况就会立刻进行警报;同时机房内一般会安装专用空调并且保持开机自启动,来对机房内的环境温度和湿度进行调控保持。最后是防火措施,一般来说现代化的机房内设施也会比较完善。
2.2系统的运行环境
想要保证信息系统安全,就要对其核心因素——人给予足够的重视,企事业单位首先应该建立完善的管理体系,然后提供相应的技术支持例如引入先进的技术等,为计算机网络和信息安全系统的安全保驾护航,从各个角度比如组织角度、技术角度以及管理角度来为网络系统提供足够的安全保障,注意和本单位的具体情况相结合,层层递进有序的完成企事业单位信息化建设。其一是对于那些计算机网络和信息系统安放的场所高度重视起来,安装有核心网络设备的场所都应该有显眼的标志来进行说明,比如安装门派或者其他醒目标志以及其他醒目的文字标志例如“机房重地,闲人勿进”、“严禁烟火”等,避免出现误闯的情况,例如路由器、中心服务器和交换机等都属于核心网络设备。其二是备份中心机房的网络设备、网络通信线路以及控制装置等。其三是为了保证数据完整,可以在计算机和网络信息系统通信中采取一定的措施,例如加入一些冗余信息在网络数据传输中,这样更便于发现网络传输中是否有修改或者删除数据信息的操作。
3计算机网络和信息安全关键技术
3.1防病毒软件以及防火墙
我们生活中最常见的病毒防护技术就是防病毒软件,现在的计算机网络防病毒软件分为两类,单机防病毒软件和网络防病毒软件,二者的区别就是防护是在哪里进行的,在计算机本身或者在网络上。单机防病毒软件的工作原理是对本机以及与本机远程连接的资源来进行扫描分析,从而发现病毒并且尽快进行清除;网络防病毒软件则是在病毒入侵网络时发现并且清除病毒。防病毒软件具有一定的防病毒入侵作用,但并不是无懈可击的,对于很多新生病毒来说是没有作用的,所以还需要进行定期备份数据系统或者加密关键业务信息等措施来建立防护系统。
3.2密码技术
网络系统安全论文范文3
作为通过远程连接的方式实现网络资源的共享是大部分用户均会使用到的,不管这样的连接方式是利用何种方式进行连接,都难以避开负载路由器以及交换机的系统网络,这是这样,这些设备存在着某些漏洞极容易成为黑客的攻击的突破口。从路由器与交换机存在漏洞致因看,路由与交换的过程就是于网络中对数据包进行移动。在这个转移的过程中,它们常常被认为是作为某种单一化的传递设备而存在,那么这就需要注意,假如某个黑客窃取到主导路由器或者是交换机的相关权限之后,则会引发损失惨重的破坏。纵观路由与交换市场,拥有最多市场占有率的是思科公司,并且被网络领域人员视为重要的行业标准,也正因为该公司的产品普及应用程度较高,所以更加容易受到黑客攻击的目标。比如,在某些操作系统中,设置有相应的用于思科设备完整工具,主要是方便管理员对漏洞进行定期的检查,然而这些工具也被攻击者注意到并利用工具相关功能查找出设备的漏洞所在,就像密码漏洞主要利用JohntheRipper进行攻击。所以针对这类型的漏洞防护最基本的防护方法是开展定期的审计活动,为避免这种攻击,充分使用平台带有相应的多样化的检查工具,并在需要时进行定期更新,并保障设备出厂的默认密码已经得到彻底清除;而针对BGP漏洞的防护,最理想的办法是于ISP级别层面处理和解决相关的问题,假如是网络层面,最理想的办法是对携带数据包入站的路由给予严密的监视,并时刻搜索内在发生的所有异常现象。
2交换机常见的攻击类型
2.1MAC表洪水攻击
交换机基本运行形势为:当帧经过交换机的过程会记下MAC源地址,该地址同帧经过的端口存在某种联系,此后向该地址发送的信息流只会经过该端口,这样有助于节约带宽资源。通常情况下,MAC地址主要储存于能够追踪和查询的CAM中,以方便快捷查找。假如黑客通过往CAM传输大量的数据包,则会促使交换机往不同的连接方向输送大量的数据流,最终导致该交换机处在防止服务攻击环节时因过度负载而崩溃.
2.2ARP攻击
这是在会话劫持攻击环节频发的手段之一,它是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。黑客可通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,ARP欺骗过程如图1所示。
2.3VTP攻击
以VTP角度看,探究的是交换机被视为VTP客户端或者是VTP服务器时的情况。当用户对某个在VTP服务器模式下工作的交换机的配置实施操作时,VTP上所配置的版本号均会增多1,当用户观察到所配置的版本号明显高于当前的版本号时,则可判断和VTP服务器实现同步。当黑客想要入侵用户的电脑时,那他就可以利用VTP为自己服务。黑客只要成功与交换机进行连接,然后再本台计算机与其构建一条有效的中继通道,然后就能够利用VTP。当黑客将VTP信息发送至配置的版本号较高且高于目前的VTP服务器,那么就会致使全部的交换机同黑客那台计算机实现同步,最终将全部除非默认的VLAN移出VLAN数据库的范围。
3安全防范VLAN攻击的对策
3.1保障TRUNK接口的稳定与安全
通常情况下,交换机所有的端口大致呈现出Access状态以及Turnk状态这两种,前者是指用户接入设备时必备的端口状态,后置是指在跨交换时一致性的VLAN-ID两者间的通讯。对Turnk进行配置时,能够避免开展任何的命令式操作行为,也同样能够实现于跨交换状态下一致性的VLAN-ID两者间的通讯。正是设备接口的配置处于自适应的自然状态,为各项攻击的发生埋下隐患,可通过如下的方式防止安全隐患的发生。首先,把交换机设备上全部的接口状态认为设置成Access状态,这样设置的目的是为了防止黑客将自己设备的接口设置成Desibarle状态后,不管以怎样的方式进行协商其最终结果均是Accese状态,致使黑客难以将交换机设备上的空闲接口作为攻击突破口,并欺骗为Turnk端口以实现在局域网的攻击。其次是把交换机设备上全部的接口状态认为设置成Turnk状态。不管黑客企图通过设置什么样的端口状态进行攻击,这边的接口状态始终为Turnk状态,这样有助于显著提高设备的可控性。最后对Turnk端口中关于能够允许进出的VLAN命令进行有效配置,对出入Turnk端口的VLAN报文给予有效控制。只有经过允许的系类VLAN报文才能出入Turnk端口,这样就能够有效抑制黑客企图通过发送错误报文而进行攻击,保障数据传送的安全性。
3.2保障VTP协议的有效性与安全性
VTP(VLANTrunkProtocol,VLAN干道协议)是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议,它主要用于管理在同一个域的网络范围内VLANs的建立、删除以及重命名。在一台VTPServer上配置一个新的VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机,这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTPServer保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。处于VTP模式下,黑客容易通过VTP实现初步入侵和攻击,并通过获取相应的权限,以随意更改入侵的局域网络内部架构,导致网络阻塞和混乱。所以对VTP协议进行操作时,仅保存一台设置为VTP的服务器模式,其余为VTP的客户端模式。最后基于保障VTP域的稳定与安全的目的,应将VTP域全部的交换机设置为相同的密码,以保证只有符合密码相同的情况才能正常运作VTP,保障网络的安全。
4结语
网络系统安全论文范文4
局域网的连接是指局域网内的计算机通过网上邻居进行连接,而管理者的登录指令泄漏给其他使用用户,外部人员会通过登录方式进入到数据库中对数据进行篡改和盗取,这些都会给局域网内造成十分严重的危害,也会有计算机病毒和漏洞代码入侵造成网络安全危机,因为局域网中通常对网络没有进行防护措施,容易在使用程序过程中,更新或者修复补丁的同时,没有对病毒入侵做到实质的阻挡,这容易产生很多寄生软件,这些寄生软件部分也属于木马病毒,从而对计算机内的数据进行修改,再将自身的寄生文件输入到计算机内,严重危害到了计算机的安全和网络安全[3]。
2网络工程的安全保护措施
2.1局域网的安全防护
网络工程中的局域网用途较为广泛,需要在建立局域网的同时使用防火前对其进行安全保护,防火墙的主要功能是利用网络隔离的方式将局域网与外部互联网相隔离。防火墙的设置也可以说是内部网络和外部网络的桥梁,能够对外部网络中的信息进行分析、处理和筛选、过滤,防止了没有授权的访问直接进入到局域网,有效保证了局域网的信息资源[4]。防火墙的设置也可以是局域网和未知信任公共网络的一个安全过渡过程。防火墙能够根据对内部局域网络和外部公共网络之间进行信息监控,保证了内部网络工作的安全性。防火墙具有双重系统结构,这种结构具有借助两个或者多个的信息结构为信息传输设备,能够从一个数据地址发送到另一个数据地址,实现数据包的IP传输。防火墙的控制能够在进行IP传输的过程中防止数据外泄,外部的公共互联网通过防火墙和内部网络进行过滤和筛选控制,当主机存在危险时,防火墙通过路由器将内部局域网和外部公共网络相隔离。防火墙负责数据包的过滤,在过滤过程中能够将登录用户进行直接连接,而不必通过服务器和局域网。在连接过程中,任何一个外部网络程序访问内部局域网的同时,都需要通过登录来连接主机,而主机的防火墙设置级别最高。数据包的过滤过程中要保持主机连接的状态,对于允许可以连接的状态需要进行站点的安全保护,而主机在这种连接中如果认为不会产生危险时,才能够通过防火墙将内部局域网络连接到外部互联网。随着网络和计算机的不断发展,在网络工程的安全建设方面还需要进一步提升建设水平,采取先进的安全网络保护系统,从静态和动态两方面对网络工程进行保护,建立起全面的网络防御系统,提高网络运行的安全系数,这便对网络工程的管理和建设人员提出了更高要求,因此,网络工程的相关人员需要对网络进行不断的学习,借鉴国外的安全保护措施,建立起能够提升效率的网络安全运行机制,并对此机制进行不断的完善,使网络传输能够更加的安全可靠[5]。
3结论
网络系统安全论文范文5
论文摘要 做好计算机网络系统安全防护体系的建设,并通过关键技术的攻关,以确保电网企业的计算机网络系统安全工作的安全性、系统性、创新性和实用性。本文对智能电网中计算 机网络系统的基本安全防护和安全监控及保密进行了介绍。
0 引言
我国随着近年来的智能电网建设,其计算机网络系统的安全问题也越来越突出,并且在多个方面均面临着可能的信息安全威胁,计算机网络系统的信息安全已经成为智能电网稳定运行和可靠供电的关键保障,也是电力企业管理、经营和生产的重要组成。而随着计算机网络系统信息安全形势的日益严峻,其信息安全的防护也还需要进一步的深入探讨和研究,做好计算机网络系统安全防护体系的建设,并通过关键技术的攻关,以确保电网企业的计算机网络系统安全工作的安全性、系统性、创新性和实用性。
1 智能电网中计算机网络系统的基本安全防护
1.1 防病毒系统
在计算机网络系统安全中,病毒问题一直是很严峻的问题。随着各种业务系统的推广和网络的建设和发展,计算机的病毒扩散也呈现出了新特征,所以在电网企业的内外网建设中,均不能忽视计算机病毒的防治问题,并且要联合其他的安全防护措施,一起构建出多维的防护体系。
1.2 防火墙
为了保障网络系统资源的安全,则电网企业应当采用防火墙来做为安全防护体系中的第一道防御,通过控制访问来防御攻击。配备防火墙对于提高内外网络和边界的安全能够起到重要的作用。而防火墙的选型也应根据业务安全性的要求和业务数据流量的不同来进行有针对性的处理。
1.3 入侵检测系统
作为系统安全检测最后的一道防线,入侵检测系统提供了监视、安全审计、反攻击和攻击识别等多项功能,能够对误操作、外部攻击和内部攻击进行实时的监控。而且入侵检测系统有着事后取证、事中防护和事前警告等特点,因此建议对其采用高级的分析技术,比如多个相关协议、相关事件的综合分析。而在入侵检测系统发现攻击时,能够自动记录该攻击,并通知网络系统管理人员,通过与防火墙的联动,来及时阻断攻击。
1.4 安全审计系统
通过对网络数据进行采集、识别和分析,动态、实时地监测网络流量、网络行为和通信内容,安全审计系统能够发现并捕获各种违规行为和敏感信息,开启实时报警,全面记录计算机网络系统当中的各种事件和会话,实现对系统安全的智能关联评估、分析及安全事件的全程准确跟踪定位,从而为整体的计算机网络系统安全的策略制定提供权威而可靠的支持。
2 智能电网中计算机网络系统的安全监控及保密
2.1 安全监控系统
作为一种防护性系统,安全监控系统就是为了在日常的工作当中对系统平台来进行安全方面有效地监控而建立。针对通用的操作系统环境下存在的各种安全隐患,通过主动的对操作系统行为进行监管的方法,利用智能软件技术、操作系统的底层技术和系统的引导固件技术等,设计且实现一个面对主流通用的操作系统安全管制与监测平台。并通过在操作系统的引导层、应用层、核心层等多个层面,来对操作系统的启动前、启动过程中和运行中的一系列操作行为来实行安全管制和监测,从而达到保障计算机网络系统安全的目标。其功能主要包括了远程主机的监测功能、对应用系统的完整性进行监管的功能、安全配置各信息监管的功能以及系统输入及输出的监管功能等。 转贴于
2.2 安全保密管理系统
安保管理系统能够提供自动化的安全规章和技术规范的管理、安全状态的管理、安全策略的管理和安全资产的管理等功能,并能有效增强内外电力网的可管理性和可控性。而其中,安全规章和技术规范的管理是通过安全规章管理体系的建立,对与电网企业相关的制度、法律、法规和技术规范来进行统一的管理,明确各项安全规章和有关环境、系统和设备的关系,并确保安全规章发生变化时能在安全策略当中及时得到体现;安全状态的管理是建立安全状态的管理系统,并对电网企业涉及到的网络和系统设施的安全状态及变化进行相应的管理;安全策略的管理是建立安全策略的管理系统,管理和维护内外电力网的各种安全策略;安全资产的管理是对内外电力网涉及到的安全设备进行数据库的建立,并自动化地管理各安全设备的操作规范、配置状况、与设备有关的人员信息和技术支持信息。
2.3 信息安全管控平台
信息安全的管控平台是电网企业的计算机网络安全防护系统当中的核心部分。而通过信息安全的管控平台,还可以对于电网企业的资产进行有效的管理;同时,也可以对于用户访问资产来进行有效的控制,对所有的访问行为来进行统一的日志管理,并对电网企业的网络系统安全服务来进行统一的管理和监控,又能对各类事件的反应机制进行统一的管理。最终将各种系统安全服务、资产、事件、响应都融合到平台中,从而为用户来提供统一的管理平台与手段。
2.4 信息加密系统
要保障网络系统的数据安全性,则在电网企业的计算机网络系统安全防护体系当中,其信息加密的技术是必不可少的安全保障措施,特别是在数据传输和存储等关键的阶段。对于智能电网来说,有大量的数据要进行传输,因而传输过程当中的数据安全性是极为重要的,这就必须采用可靠的传输手段来保障信息的传送安全。同时数据在关键节点、终端的保存,也需要安全可靠的措施,来保障数据得到安全的存储。因此在电网企业中,应用加密协议、数据加密传输与存储,就成为重要的环节。另外,将数据加密技术与个人身份识别相结合,可以避免同一机构的不同人员之间的数据不安全访问,从而实现分层的数据安全机制。
参考文献
[1]王继业.支撑智能电网的信息技术[J]电力信息化,2010(4).
[2]刘金长,赖征田,杨成月,李浩松.面向智能电网的信息安全防护体系建设[J]电力信息化,2010(9).
网络系统安全论文范文6
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献: