信息網絡安全評估的方法精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息網絡安全評估的方法主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息網絡安全評估的方法范文
【關鍵詞】電力系統 信息網絡安全問題 防護措施
1 引言
有效地保障電力企業的安全和保障電力信息網絡安全,對于推動我國國民經濟穩定發展具有非常重要的作用。隨著社會信息化技術的迅速發展,信息化系統已經在電力企業中受到廣泛應用,實現了信息化網絡管理。但由于信息網絡中存在的問題,導致電力信息網絡安全時有發生,有必要對此進行分析,并且采取安全保護措施,確保電力信息網絡安全和電力企業的穩定發展。
2 電力系統信息網絡存在的安全問題
2.1 網絡病毒
電力系統信息網絡安全中,最常見的安全隱患就是網絡病毒。隱蔽性、可復制性、傳播速度快等都是網絡病毒的特點。網絡病毒對電力系統信息網絡破壞非常嚴重。假如感染上了網絡病毒,輕則是對電力信息系統的正常運行受到阻礙,使數據丟失、信息不能及時共享;嚴重則會導致電力信息系統癱瘓,整個電力系統的功能將會因此受到影響而不能正常發揮作用。除此之外,電力設備還可能因此遭到網絡病毒的破壞,造成不可估量的損失。
2.2 黑客攻擊
在電力系統信息網絡運行的過程之中,網絡安全問題也會因為受到黑客的攻擊而出現,導致電力系統信息網絡安全出現故障,甚至會造成大范圍的電力故障發生,具有非常大的危害力,這也是電力系統信息網絡存在的主要隱患。電力企業涉及到很多電力信息量,假如被黑客攻擊獲取機密信息,則會對電力系統的正常運行和經濟效益造成極大的損失。黑客對電力系統信息網絡的攻擊方式比較多,比如利用數字控制系統(DCS)對電力企業的基層系統進行控制,造成基層系統癱瘓。此外,黑客也可以利用某個系統對其他系統進行控制和破壞,對電力系統造成非常惡劣的影響。
2.3 脆弱的身份認證
電力行業中計算機應用系統大部分是基于商用軟硬件系統設計和開發,而基本上都是使用口令為用戶身份認證的鑒別模式,而這種模式最容易被黑客攻破。部分應用系統還使用自己的用戶鑒別方式,用數據庫或者文件將口令、用戶名和一些安全控制信息用明文的方式記錄。當今,這種脆弱的安全控制措施已經不再適用。
2.4 內部惡意操作
電力信息系統安全漏洞還存在內部人員惡意操作導致。惡意操作就是指蓄意破壞。信息系統在運行過程之中需要人進行監督和控制,加入人的因素存在主管惡意,則會使網絡信息系統出現問題。電力系統安全管理的制度上規范可能比較健全,但是只能防范人的控制,一旦出現人為因素,大災難將會降臨到電力信息系統上。
2.5 信息網絡安全意識淡薄
在電力信心網絡的建設以及運營過程之中,安全防護和安全監督工作都需要信息網絡安全意識高的專業人員從事。隨著信息化程度的不斷提高和信息防護技術的不斷更新,電力信息網絡的安全等級也逐漸提高。但是,不能否認的是,實際的安全防護技術和電力企業信息網絡安全防護需求仍然存在很大差異。一方面是由于電力企業本身信息化技術比較低導致出現安全問題;另一方面則是超高的安全防護技術帶來高昂的成本,電力企業的效益降低,導致電力企業的實施與應用受到影響。更加重要的是目前的電力信息網絡安全整體維護工作水平不高,同時網路安全人員的安全防護意識缺乏,出現違規操作、不按照規范進行操作等現象發生而出現問題。
2.6 信息網絡安全制度缺失
隨著電力信息化程度的不斷深入,要加強信息網絡安全制度的規范,不斷創設完整的信息網絡安全防護制度顯得非常重要,這樣才能夠確實提高電力企業信息網絡安全,保障企業經濟效益。當時目前而言,在電力信息網絡運行的過程之中仍然缺乏統一的規范安全防護制度和監督制度,很大程度上對電力系統信息網絡安全造成危害,影響電力信息化水平提高。同時,在電力系統信息網絡運行,由于缺乏科學的安全管理制度,很容易在運行過程之中出現大漏洞和缺陷。
3 電力系統信息網絡安全防護的具體措施
3.1 提高對安全性的認識
第一,電力企業要加強對電力系統信息網絡安全的認識,要將網絡信息安全防護體系完善建立,采用分層、分區的管理方法,其中將區城管理分為生產管理區、非控制生產區、實時控制區和管理信息區,并且隔離區城之間的網絡物理隔離設備。第二,加強人員素質管理,通過網絡安全培訓和技能訓練,將網絡管理工作人員的素質和能力提高。最后,對信息網絡體系的密碼、技術、數據管理要加強,切實將電力系統信息網絡安全系數提高。
3.2 做好信息網絡系統的維護與支持工作
在現實電力系統信息網絡安全防護中可以采取以下幾種安全技術:第一,防火墻技術。網絡與網絡安全領域的連接入口是防火墻,因此防火墻可以對危害信息進行有效的抵御和及時查詢出危險信息,保證電力系統信息網絡的安全。因此,在日常工作中要對防火墻的訪問設置相應的權限,對非授權連接進行強力防護。第二,漏洞缺陷檢查技術。漏洞缺陷檢查技術就是對電力系統的信息網絡設備進行檢測,根據檢查情況對設備檢測風險進行評估。假如存在安全問題,則要及時采取防護措施進行修復,這樣才能夠有效避免安全問題發生。第三,數據加密技術。所謂的加密技術,就是對網絡傳輸數據的訪問權進行限制,也可以對原始數據進行加密變成密文的技術。數據加密技術主要是防止惡意客戶對機密數據文件進行查看、破壞和泄露,有效保證電力系統鑫鑫網絡安全,確保能夠正常穩定地運行。
3.3 構建科學完善的安全防護體系
在信息化網絡的運營過程之中,科學地完善防護體系是提升和優化網絡安全的重要措施和根本保障。完善的防護體系能夠在具體的管理中對信息化網絡出現的問題及時檢查,有條不紊地針對加強安全防護,將電力系統信息化網絡安全級別提升。技術人應該充分結合電力企業的實際特點和計算機網絡安全有關問題規建信息網絡的安全防護體系,切忌技術盲目建設,要科學準確地建設信息化安全防護體系。與此同時,在建設防護體系過程之中,考慮到電力信息網絡的功能和板塊非常多,因此需要技術人員從整體把握安全防護體系,要遵循全面科學原則建設信息網絡安全防護體系,使電力系統信息網絡的各個功能的安全等級不斷提升,能夠有效地提升電力系統信息網絡的安全效益和質量。
3.4 建立完善的電力系統信息網絡監控中心
為了能夠提高電力系統信息安全,一定要建立一個綜合。統一的信息安全監控中心。為了能夠將各項信息有機整合,監控中心可以在各信息網管中心建立,這樣即使出現任何影響信息安全問題的情況都能夠及時解決。通過監控系統所提供的信息可以對可能出現的異常或故障及時進行預防,防患于未然,保障系統不會發生異常或故障。
3.5 加強網絡設備的管理和維護
在電力企業信息網絡安全管理中,網絡設備起著至關重要的作用。由于網絡設備一直處于消耗狀態和存在一定的周期和壽命,因此電力企業的安全管理人員要對這些設備進行定期檢查和維護,對電力設備及時進行更新更換,從源頭上強化信息安全。對于電力企業而言,要及時更新網絡技術、更新系統和技術,要做數據備份;對于終端密碼及時更換,設置難以破解的密碼,以免被竊取。
4 結語
為了電力系統安全運行和對社會可靠供電就必須保證電力信息安全,一旦電力系統信息網絡安全遭到破壞將會給電力系統的生產敬意和管理造成巨大損失;因此要通過加強網絡安全管理和充分利用先進的網絡技術,構建電力系統信息安全防范體系,確保電力系統信息網絡能夠高效穩定運行。
參考文獻:
第2篇:信息網絡安全評估的方法范文
關鍵詞:HTP模型;移動平臺;安全加固
中圖分類號:TM769 文獻標識碼:A 文章編號:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中國IT治理研究中心提出的“以人為本”的信息安全體系模型,其主要結構抽象描述包括[2]:人員與管理(Human and management)、技術與產品(Technology and products)、流程與體系(Process and Framework)。
2 網絡架構與技術
通過對電力公司移動交互平臺網絡架構的分析,總結出網絡中存在的安全薄弱點。針對這些薄弱點,在網絡架構和技術方面提出如下幾點建議。
(1)對信息外網進出口提供更多樣的防護措施,并增加備用線路,防止單點故障。建議在信息外網進出口設立統一威脅管理系統(UTM),具體拓撲如圖1所示。作為電力公司移動交互平臺網絡的邊界,面臨的混合式攻擊越來越多,傳統的安全解決方案如單一的防火墻功能、入侵檢測功能已經無法有效解決這種混合式的攻擊威脅,而全面地設立多種獨立功能的安全設備往往需要巨大的投資成本,并且設備過多會帶來更高的管理成本。統一威脅管理系統將各種安全防護功能集中到一個設備上,在增加安全性的同時,很好的控制了資費成本與管理成本。
(2)在信息外網的支撐服務處增加入侵檢測系統(IDS),具體改進拓撲如圖2所示。支撐服務作為移動應用的內容提供者,在信息外網中是黑客主要的攻擊目標,并且移動應用提供的業務是已知的,所以用戶的請求行為是可以預測的,這種情況下使用IDS是非常好的選擇。根據對用戶業務請求行為的預測,將正常行為與不正常行為歸納建立模型。使用入侵檢測系統,采用異常檢測和誤用檢測兩種模式相結合的方式對流量進行檢測。
(3)在信息外網與信息內網中同時增加安全審計系統。在信息外網使用安全審計,可以對用戶訪問移動應用服務資源的行為進行安全審計,并且可以對移動應用操作內網數據的行為做詳細記錄,通過審計系統的日志,不僅可以對潛在威脅進行分析,并且可以提供事故發生的線索做出評估,快速進行故障恢復,提供責任追究的依據。信息內網使用安全審計,可以對內部員工的操作進行管理。審計系統可以成為追蹤入侵、恢復系統的直接證據,所以,其自身的安全性更為重要。審計系統的安全主要包括審計事件查閱安全和存儲安全。審計事件的查閱應該受到嚴格的限制,避免日志被篡改。
(4)在信息內網的數據庫服務器處增加數據庫防火墻,具體改進拓撲如圖10所示。數據庫防火墻所采用的主動防御技術能夠主動實時監控、識別、告警、阻擋繞過企業網絡邊界(FireWall、IDS\IPS等)防護的外部數據攻擊、來自于內部的高權限用戶(DBA、開發人員、第三方外包服務提供商)的數據竊取、破壞、損壞的等,從數據庫SQL語句精細化控制的技術層面,提供一種主動安全防御措施,并且,結合獨立于數據庫的安全訪問控制規則,幫助用戶應對來自內部和外部的數據安全威脅。
3 人員管理機制分析
3.1 健全以責任分離和安全考核為原則的用人系統
信息網絡安全人員的使用具有一些特殊的要求,必須以安全可靠為最高原則。相應地,應該健全以責任分離和安全考核為原則的用人系統。
一方面,在用人過程中必須堅持責任分離的原則。其具體要求是:(1)明確信息網絡安全系統中每個人的職責,要求“誰管理,誰負責”;(2)關鍵崗位的人員不得再兼任其他職位,嚴格控制使用兼職人員;(3)重要的任務有兩人以上共同完成,避免一個人保管組織所有安全信息;(4)堅持崗位輪換原則,確保一個員工的工作有另一個員工進行審核。
另一方面,信息網絡安全人員一旦錄用,就要確定其職責范圍,對其實施安全考核,重點考核其安全事故發生情況。信息網絡安全人員考核不能像一般工作人員那樣以年終考核為主,而應加強平時考核以實現日常監控,對其考核時間越短,就越有利于確保安全;而且,不僅考核工作時間內的表現,也考察工作時間外的表現,比如生活作風與非工作行為是否正常等。
3.2 推行以增強意識和戰略開發為指導的育人系統
信息網絡安全工作是一種長期而艱巨的工作,保密意識貫穿始終,但隨著時間的推移,信息網絡安全人員難免產生工作倦怠,其“保密之弦”也會出現松弛。因此,國網公司應該不斷強化保密意識培訓,以形成堅固的信息安全“思想意識防線”。而且,還應該立足信息安全戰略規劃與開發信息網絡安全人員,以長遠眼光加強信息網絡安全人才培養。
3.3 實施以目標激勵和待遇傾斜為特色的留人系統
信息網絡安全工作任務重、壓力大、內容單調,加上工作環境封閉,容易使信息網絡安全人員人心不穩。因此應該通過目標激勵,增強他們對自己所從事工作的榮譽感、神圣感和責任感,促使他們安心工作。而且,由于信息網絡安全人員作用特殊、責任大、風險高,因此在待遇上應該給予傾斜。
4 結語
本文通過對典型內外網網絡安全防護方案的研究與對電力公司移動交互平臺網絡結構分析,結合典型的HTP網絡安全體系模型,針對電力公司移動交互平臺網絡安全薄弱點,提出關于電力公司移動交互平臺網絡加固的建議,對電力公司移動交互平臺安全提升做了有益的探索。
參考文獻
第3篇:信息網絡安全評估的方法范文
關鍵詞:水電廠;信息網絡;安全防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)08-1759-02
進入21世紀以來,以電子計算機信息技術的迅速發展為標志,各地水電廠的運作效率也不斷的得到提高,自動化運作的比例有了較大幅度的發展,實現了人力資源的優化利用。水電廠對自動化控制和信息化廠區的建設都十分重視,無論是從電廠監視控制系統的布設方面,還是對水情監測調整系統、工業電視系統、火災預防系統的建立等方面都進行了精確的評估與立項設立。[1]正是由于信息網絡系統在水電廠日常運作中的應用,使得水電廠的各個獨立子系統聯系成了一個有機的整體,也正是由于子系統間進行信息交流的需要,目前水電廠內部各子系統間的網絡連接及信息交換過程中存在著潛在的信息交換及網絡防護安全問題,一旦這些問題被觸發,牽一發而動全身,后果不堪設想。
1水電廠信息網絡安全防護的幾點措施
一般來講,水電廠作為關系到國計民生的國家重點基礎設施建設項目,其投入資金都比較多,廠區內技術設備復雜,工作環境靠近河流,其信息網絡安全防護也應該因地制宜,具體來講,可以在以下幾個方面進行重點防護。
1)基于各個子系統的特點進行綜合防護設計。
由于水電廠內部各個子系統之間要經常進行頻繁的數據交換以及信息共享,應該對信息通道以及數據資源的利用進行優化整合。水電廠信息自動化系統一般可以分為電力生產系統和信息資源控制管理系統,這兩種系統在電廠中的作用角度不同,前者側重于控制電力資源的生產,后者則較多的參與網絡信息資源管理。[2]
對于電力資源生產系統,其設計與建造必須要滿足對實時控制及可靠性的要求,對于監控計算機的選擇則要求其及時跟進性達到毫秒級別,并且還要要求其他連接的子系統對于監控計算機系統內的數據只能進行單向操作,即子系統只能具備對監控計算機的數據讀取功能,而不能進行數據及命令寫入操作,這樣就在內部避免了黑客通過子系統對主監控計算機的入侵行為。對于水情監測調整系統、工業電視系統、火災預防系統等設備則都應該留有備份系統以供不時之需,這樣就滿足了較高的可靠性。此外,電廠河流梯度調整系統以及電網調度自動化系統應單獨納入電廠信息網絡系統,一旦出現問題可以使得電廠間不會相互影響。對于信息資源控制管理系統,這是水電廠外部網絡信息防護的重點,因為正是這一部分系統直接連入了萬維網,對內其可以讀取電力生產系統的數據,例如電機發電量、水電廠壩區水位以及水流量等信息,對外其直接與外界互聯網進行信息交換,黑客通過攻破這個系統就可以對水電廠進行信息竊取,甚至是直接進行非法操作,造成嚴重后果,因此綜合考慮子系統功能以及數據交換的安全性是十分必要的。
2)實現水電廠子系統間物理上的相互隔離,功能類型相同的自動化系統間采用專用網絡連接。
電力生產系統和信息資源管理系統為防止信息互相影響可以采取雙網同設的方法進行獨立隔離,這樣做無疑會增加水電廠基礎設施的投資額度,但是若兩個系統為節省資金而共享信息網絡和電力供給資源,一旦其中的一個系統出現問題,則由于高度自動化及互聯化會造成兩個系統的同時故障。
此外,即便是同一個系統下的各個單元也應該遵守網絡連入的獨立與隔離原則,不建議直接進行連接,例如提到的水情監測控制系統、火災預防控制系統以及電力機組修檢系統就不能直接進行網絡連接,應保持各自的運作獨立性要求。而信息自動化系統單元類別下的不同部門也應該與計算機監控系統保持獨立,否則就會出現信息資源管理系統的使用者直接對計算機監控系統進行訪問的現象,這會形成用戶修改計算機監控系統的潛在隱患。在電廠內部的各個自動化系統中,類型相同的系統如屬于同一河流區域的梯度電站調度監控單元、計算機監控系統、地區電網調度單元監控中心以及網絡水情自動化生成分析系統、水庫流量及水位檢測系統之間等都要及時迅速的交換實時信息數據,運行方式要高度可靠及快速才能完成如此復雜的任務,面對這樣的情況,專用局域網的優勢就能得以發揮,實現利用電力資源調度網絡達到上下級網絡節點系統同歸的效果。[3]
3)水電廠信息資源管理系統接入外網的安全防護措施。
這個節點可以采用在水電廠信息資源管理系統或自動化網絡邊界與萬維網的接入口之間架設安全防火墻的措施達到信息隔 離效果,輔之以相關的安全接入時限策略,最大程度的減少信息系統暴露的概率。在安全接入萬維網的時限內,外網單元對內網的信息讀取以及網絡命令施加等操作要伴隨訪問服務器的人為及電子監控。為防止接入萬維網期間的信息泄露或外部植入程序的暗度陳倉,可以采用將信息資源管理系統的外網服務器劃分子網的方法來控制對外訪問,子防火墻的設立此時就顯得很有必要。當然,僅有這些技術還不足以完全剔除水電廠網絡系統中的內部及外部安全漏洞,這些漏洞可能體現在以下幾方面:
①外部黑客依然會尋找防火墻的潛在后門,對防護系統進行攻擊;②防火墻的作用在于防御外部入侵者對電廠計算機網絡的攻擊及惡意闖入,但是對于防火墻內部的“鼴鼠”實際上是不設防的,相對有效的內部人員闖入防御機制不健全;③由于計算機配置及硬件性能的束縛,目前的監控系統實時監測入侵行為的能力尚不發達,往往都是在事后才回發現入侵痕跡,及時阻止性較低。
針對以上的三個安全漏洞,水電廠網絡安全技術人員要充分重視,最好能夠引入實時入侵監測系統,對來自水電廠網絡內、外部的非法訪問及越權操作進行及時阻斷與責任追究,不斷改進技術,“道高一尺,魔高一丈”。
4)利用串口通訊的方式實現水電廠各子系統與上級計算機監控系統的連接,建立全方位的計算機病毒防御系統。
采用串口連接可以有效的對網絡間數據交換進行控制,各個子系統間的訪問都被限制在“讀入”,而不允許“寫入”,這樣做的好處是一方面防止了子系統間的互相破壞作用,另一方面也由于這種“單向操作”而使得電廠的網絡數據傳輸速率大大增強,因為其傳輸的數據量由于減少了寫入數據的份額而大為減少。[4]對于部分硬件設施較為老化的水電廠,若串口連接方式改造成本較高而不能實施,則必須安裝防火墻來過濾直接連接的雙向操作,以此來保證水電廠網絡系統的安全運行,水電廠內部網絡間以局域網運行可以達到較高的安全及速度標準。
此外,對于水電廠網絡病毒防范系統功能的選擇與鋪設也應該謹慎選擇,病毒與后門程序是水電廠信息網絡系統中威脅最大的隱患,水電廠信息網絡系統病毒防御功能應該集中地包含至少四個部分,分別為:
①電廠計算機系統病毒清掃軟件能夠分別對各個子系統進行多層次清掃,對于信息網絡的工作站、網關、伺服器都能設置病毒防御,以便多角度的進行病毒查殺;②專機專用的病毒查殺軟件的客戶端既要安裝在計算機主監控系統中,其余子系統也必須擁有獨立的查殺能力;③電廠電力生產控制軟件及信息資源管理系統軟件應能夠配合殺毒軟件配置成為分布式運行,設置病毒伺服器窗口;④水電廠信息網絡系統專用殺毒軟件具備兼容特性,多種殺毒軟件的聯合清掃很有必要,盡力顧及到每個查殺死角。[5]
2結束語
水電廠是關乎國計民生的國家重點建設基礎設施,其信息網絡系統的安全運行與否直接決定國家電網安全與居民生活質量,因此需要引起相關部門的充分重視,而在網絡電子信息犯罪層出不窮的今天,對于水電廠起到“雙刃劍”作用的網絡自動化建設更要尤其重視安全防護的研究,以此來拱衛國防及民生安全。電力部門應遵循電子自動化系統網絡獨立的原則,實現系統間專用局域網的鋪設,大力發展多層高效率的網絡防火墻建設,借鑒國外相關經驗,保持水電廠信息網絡對于電力運營的效率提升作用,同時也防止不法分子對于電網網絡的破壞及利用,這樣才能保證水電廠及時、高效的輸出入電能,造福國人。
參考文獻:
[1]楊非.水電廠二次自動化系統安全防護的設計與研究[J].水電廠自動化,2011(3):18-20.
[2]余勇,林為民.電力信息系統安全防護總體框架的研究[J].信息網絡安全,2005(9):58-60.
[3]徐俊.電力二次系統信息網絡安全防護體系整改的探討[J].湖北電力,2010(7):47-49.
第4篇:信息網絡安全評估的方法范文
關鍵詞:電力企業信息系統安全防護
前言
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
一、電力企業信息安全風險分析
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
二、電力信息網安全防護方案
1、加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
2、電力信息安全防護技術措施
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
三、電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
第5篇:信息網絡安全評估的方法范文
論文摘要:在軍事活動中,軍事信息的交流行為越來越效繁,局城網,廣城網等技術也逐步成為了軍事活動中不可或缺的內容,信。息的劫持與反劫持等安全技術占據了一個舉足輕重的地位。本文擾為了保證我軍軍事秘密這個大前提,對網絡壞境下軍事信息安全加以闡述.
1軍事信息安全概述
軍事信息安全一般指軍事信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性,可控性和不可否認性。為防止自身的意外原因,實現軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用可靠、安全的信息傳輸網絡來保障信息采集、傳遞、應用過程中信息的機密性,完整性、可利用性以及可控制性,信息安全狀態的確定性;信息的可恢復性等。
2網絡環境下軍事信息面臨的安全威脅
網絡軍事安全從其本質上來說是網絡 計算 機上的軍事信息安全,是指計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改和顯露,在確保系統能連續正常運行的同時,保證計算機上的信息安全。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。軍事信息網絡安全威脅主要有以下幾點。
2.1計算機病毒
現代 計算機病毒可以借助文件、郵件、網頁、局域網中的任何一種方式進行傳播,具有自動啟動功能,并且常潛人系統核心與內存,利用控制的計算機為平臺,對整個網絡里面的軍事信息進行大肆攻擊。病毒一旦發作,能沖擊內存、影響性能、修改數據或刪除文件,將使軍事信息受到損壞或者泄露。
2.2網絡攻擊
對于網絡的安全侵害主要來自于敵對勢力的竊取、纂改網絡上的特定信息和對網絡環境的蓄意破壞等幾種情況。目前來看各類攻擊給網絡使用或維護者造成的損失已越來越大了,有的損失甚至是致命的。一般來講,常見的網絡攻擊有如下幾種:
(1)竊取軍事秘密:這類攻擊主要是利用系統漏洞,使人侵者可以用偽裝的合法身份進入系統,獲取軍事秘密信息。
(2)軍事信息網絡控制:這類攻擊主要是依靠在目標網絡中植人黑客程序段,使系統中的軍事信息在不知不覺中落人指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網絡協議與生俱來的某些缺陷,入侵者進行某些偽裝后對網絡進行攻擊。主要欺騙性攻擊方式有:ip欺騙,arp欺騙,web欺騙、 電子 郵件欺騙、源路由欺騙,地址欺騙等。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當加密和強身份標識、身份鑒別功能結合在一起時,截獲攻擊便難以實現。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設計和實現上存在著缺陷。這就導致攻擊的產生,進而出現軍事信息的泄露。
(6)網絡偵聽:它是主機工作模式,是一種被動地接收某網段在物理通道上傳輸的所有信息,并借此來截獲該網絡上的各種軍事秘密信息的手段。
2.3人為因素造成的威脅
因為計算機網絡是一個巨大的人機系統,除了技術因素之外,還必須考慮到工作人員的安全保密因素。如國外的情報機構的滲透和攻擊,利用系統值班人員和掌握核心技術秘密的人員,對軍事信息進行竊取等攻擊;內部人員的失誤以及攻擊。網絡運用的全社會廣泛參與趨勢將導致控制權分散。由于人們利益、目標、價值的分歧,使軍事信息資源的保護和管理出現脫節和真空,從而使軍事信息安全問題變得廣泛而復雜。
3 網絡 環境下軍事信息安全的應對策略
3.1信息管理安全技術
軍事信息存儲安全最起碼的保障是軍事信息源的管理安全。隨著 電子 技術的快速 發展 ,身份證、條形碼等數字密鑰的可靠性能越來越高,為了驗證身份,集光學、傳感技術、超聲波掃描技術等一體的身份識別技術逐漸應用到軍事信息安全中來。
3.1.1指紋識別技術
自動指紋識別系統通過獲取指紋的數字圖像,并將其特征存儲于 計算 機數據庫中,當用戶登錄系統時,計算機便自動調用數據庫中的信息,與用戶信息進行比對,以此來保證用戶對軍事信息使用權的不可替代性。
3.1.2虹膜、角膜識別技術
虹膜識別系統是利用攝像機來采集虹膜的特征,角膜掃描則是利用低密度紅外線來采集角膜的特征,然后將采集來的信息與數據庫中的注冊者信息進行比對,借此來保證登錄的權限,進而起到保護軍事信息安全的作用。
3.2防火墻技術
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的唯一出入口,能根據使用者的安全政策控制出入網絡的信息流。根據防火墻所采用的技術和對數據的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監測型。
3.3數據加密技術
數據加密是對軍信息內容進行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀,這一處理過程稱為“加密”。在計算機網絡中,加密可分為“通信加密”和“文件加密”,這些加密技術可用于維護數據庫的隱蔽性、完整性、反竊聽等安全防護工作,它的核心思想就是:既然網絡本身并不安全、可靠,那么,就要對全部重要的信息都進行加密處理,密碼體制能將信息進行偽裝,使得任何未經授權者無法了解其真實內容。加密的過程,關鍵在于密鑰。
3.4數字簽名技術
數字簽名是通信雙方在網上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發信方也可以抵賴他發過該密文,若產生糾紛,將無法裁決誰是誰非。
由于公鑰密碼的每個用戶都有兩個密鑰,所以實際上有兩個算法,如用戶a,一個是加密算法ea,一個是解密算法da。
若a要向b送去信息m,a可用a的保密的解密算法da對m進行加密得da(m),再用b的公開算法eb對da(m)進行加密得:c=eb(da(m)); b收到密文c后先用他自己掌握的解密算ddb對c進行解密得:db(c)=db(eb(da(m)))=da(m);再用a的公開算法ea對da(m)進行解密得:ea(da(m))二m,從而得到了明文m。由于c只有a才能產生,b無法偽造或修改c,所以a也不能抵賴,這樣就能達到簽名的目的。
第6篇:信息網絡安全評估的方法范文
一、引言
近年來,隨著計算機網絡技術的成熟,計算機網絡應用迅速普及。伴隨我國國民經濟信息化進程的推進和信息技術的普及,各行各業對計算機網絡的依賴程度越來越高,對信息系統的安全性更加關注,如何保證網絡通信的安全性成為人們必須面對的問題。因此,有必要制定并實施計算機信息系統安全防護策略以維護計算機信息系統正
常工作秩序,防范計算機犯罪,預防計算機安全事故,有效保證計算機通信網絡的安全。
二、計算機通信網絡安全的現狀
(一)計算機通信網絡安全概述
計算機網絡由計算機和通信網絡兩部分組成,其中計算機是通信網絡的終端或信源,通信網絡提供數據傳輸和交換的必要手段,最終實現保存在計算機中的資源共享。計算機通信網絡安全,是指根據網絡特性通過相應的安全技術和措施防止計算機通信網絡中的硬件、操作系統、應用軟件和數據等遭到破壞更改、泄露,防止非特權用戶竊取服務,確保網絡正常運行。從網絡的運行環節來分,網絡安全有設備安全、數據傳輸安全、用戶識別安全等幾個方面。
(二)目前計算機信息網絡安全的研究現狀及動向
1.國外研究現狀及動向。國外對信息網絡安全研究起步較早,研究的力度大,積累多,應用廣。在上個世紀70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”的基礎上,制定了“可信計算機系統安全評估準則”(tcsec),其后又制定了關于網絡系統數據庫方面和系列安全解釋,形成了安全信息系統體系結構的準則。安全協議作為信息安全的重要內容,其形式化方法分析始于80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術的密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。1976年美國學者提出的公開密鑰密碼體制,克服了網絡信息系統密鑰管理的困難,同時解決了數字簽名問題,它是當前研究的熱點。而電子商務的安全性已是當前人們普遍關注的焦點,目前正處于研究和發展階段,它帶動了論證理論、密鑰管理等研究,由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、dna密碼、混沌理論等密碼新技術正處于探索之中。
2.國內研究現狀及動向。我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。目前其研究動向主要從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統等方面提出系統的、完整的和協同的解決信息網絡安全的方案。
三、計算機通信網絡安全存在的原因
(一)系統自身的問題
由于計算機網絡軟硬件系統在設計時為了方便用戶的使用、開發、和資源共享以及遠程管理,總是留有“窗口”或是“后門”,這就使得計算機在實際運用的過程中由于其系統自身的不完善導致了安全隱患。系統問題主要包括以下幾個方面:
1.網絡的開放性:網絡系統的開放性和廣域性設計使得數據的保密難度加大,其中還包括網絡自身的布線以及通信質量而引起的安全問題。
2.軟件的漏洞:通信協議和通信軟件系統不完善,給各種不安全因素的入侵留下了隱患。如果在使用通信網絡的過程中,沒有必要的安全等級鑒別和防護措施,便使得攻擊者可以利用上述軟件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
3.脆弱的tcp/ip服務:因特網的基石是tcp/ip協議,該協議在設計上力求實效而沒有考慮安全因素,因為那樣將增大代碼量,從而降低了tcp/ip的運行效率,所以說tcp/i本身在設計上就有許多安全隱患。很多基于tcp/ip的應用服務如www服務、電子郵件服務、ftp服務都在不同程度上存在著安全問題這很容易被一些對tcp/ip十分了解的人所利用。
(二)網絡傳輸信道上的安全隱患
網絡在傳輸信道上設計不完善,沒有必要的疲敝措施,這也會給計算機通信網絡留下安全隱患。因為如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,專門設備是可以接收到。
(三)人為因素
缺乏安全意識和安全技術的計算機內部管理人員、利用合法身份進入網絡,進行有目的破壞的人員、惡意竊取、篡改和損壞數據的網絡黑客以及網上犯罪人員對網絡的非法使用及破壞等對網絡構成了極大威脅。
(四)其他因素
此外,諸如安全防范技術、可靠性問題和管理制度的不健全,安全立法的疏忽,以及不可抗拒的自然災害以及意外事故的損害等也是威脅網絡通信安全的重要因素。
四、提高計算機通信網絡安全的防護策略
針對以上提出的影響網絡安全的因素,我們從計算機系統、人員方面、網絡安全策略和安全技術等方面提出了提高計算機通信網絡安全的防護策略。
(一)提高系統自身性能
計算機系統在研發設計時不能只考慮實效,而應該把通信安全因素考慮進去。網絡系統在設計時應該考慮到數據的保密難度,完善通信協議和通信軟件系統,減少軟件系統漏洞。使用通信網絡的過程中,制定必要的安全等級鑒別和防護措施,防止攻擊者利用軟件的漏洞直接侵人網絡系統,破壞或竊取通信信息。
(二)強化網絡安全教育,發揮人在網絡安全上的作用
要認識到計算機通信網安全的重要性,廣泛開展網絡安全研究,加強技術交流和研究,掌握新技術,確保在較高層次上處干主動。人員是網絡安全管理的關鍵之一,人員不可靠,再好的安全技術和管理手段也是枉然,故計算機通信網絡的安全管理必須充分考慮人的因素。加大網絡管理人才的保留,加強各部門協作,加大高級網絡技術人員的培養和選拔,使他們具有豐富的網絡技術知識,同時也具有一定的實踐經驗,從而達到有效的防護網設。
(三)制定并認真貫徹實施網絡安全策略
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。應該從法規政策、管理、技術三個層次制定相應的策略,實現以下“五不”的目的:
1.使用訪問控制機制如身份鑒別,利用用戶口令和密碼等鑒別式達到網絡系統權限分級,鑒別真偽,訪問地址限制,如果對方是無權用戶或是權限被限用戶,則連接過程就會被終止或是部分訪問地址被屏蔽,達到網絡分級機制的效果。阻止非授權用戶進人網絡,即“進不來”,從而保證網絡系統的可用性。
2.使用授權機制,利用網絡管理方式向終端或是終端用戶發放訪問許可證書,防止非授權用戶使用網絡和網絡資源。實現對用戶的權限控制,即不該拿走的“拿不走”,同時結合內容審計機制,實現對網絡資源及信息的可控性。
3.使用加密機制,使未授權用戶 “看不懂”,保證數據不會在設備上或傳輸過程中被非法竊取,確保信息不暴露給未授權的實體或進程,從而實現信息的保密性。
4.使用數據完整性鑒別機制,優化數據檢查核對方式,保證只有得到允許的人才能修改數據,而其它人“改不了”,防止數據字段的篡改、刪除、插入、重復、遺漏等結果出現,從而確保信息的完整性。
轉貼于
5.使用審計、監控、防抵賴等安全機制,使得攻擊者、破壞者、抵賴者“走不脫”,并進一步對網絡出現的安全問題提供調查依據和手段,實現信息安全的可審查性。
(四)提高網絡安全技術
1.防火墻。計算機網絡的最大特點是開放性、無邊界性、自由性,因而要想實現網絡的安全,最基本的方法就是把被保護的網絡從開放的、無邊界的網絡環境中獨立出來,使之成為可管理的、可控制的、安全的網絡,實現這一目標最基本的分隔手段就是防火墻。防火墻是網絡安全的第一道門檻,它的主要目標是控制入、出一個網絡的權限,并迫使所有連接都經過這樣檢查,因此它具有通過鑒別、限制、更改跨越防火墻的數據流來實現對網絡的安全保護。防火墻技術一般包括數據包過濾技術,應用網關和技術三大類。
2.密碼技術。密碼技術的基本思想是偽裝信息,密碼技術由明文、密文、算法和密鑰構成。其中密鑰管理是一個非常重要的問題,是一個綜合性的技術,涉及到密鑰的產生、檢驗、分配、傳遞、保存、使用、消鑰的全過程。
密碼類型基本有3種,即移位密碼、代替密碼和乘積密碼。移位密碼是一種通過改變明碼中每個字符或代碼的相對位置獲得的密碼;代替密碼是一種用其它字符或代碼代替明碼字符后獲得的密碼;乘積密碼則是一種通過混合代替方法使明碼變成難以破譯的密碼。在實際加密過程中,一般不單獨使用一種密碼,而是將上述3種密碼經過多次變換迭代生成。
3.用戶識別技術。為了使網絡具有是否允許用戶存取數據的判別能力,避免出現非法傳送、復制或篡改數據等不安全現象,網絡需要采用識別技術。常用的識別方法有口令、唯一標識符、標記識別等。
4.入侵檢測技術。入侵檢測技術又稱為ids,作用在于:識別針對網絡的入侵行為,并及時給出報警或采取安全措施以御敵于國門之外,它在計算機網絡中是非常有效的安全技術。目前計算機網絡大都是基于單一的tcp/ip協議,其入侵行為的模式有一定規律可循,而通信網絡本身就具有不同的種類,有完全不同的內部管理和信令協議,因此通信網絡入侵檢測技術對于一般的通信網協議具有針對性,我們可以利用這一特點,設計基于節點的入侵檢測系統或設計基于網絡的入侵檢測系統,基于節點的工作日志或網管系統的狀態搜集、安全審計數據以及對網絡數據包進行過濾、解釋、分析、判斷來發現入侵行為。
第7篇:信息網絡安全評估的方法范文
【 關鍵詞 】 網絡安全;計算機;網絡通信
Computer Network Security System Research
Wang Shu-meng Zhang Shuo Jiang Zhao-yin
(Yangzhou Polytechnic College JiangsuYangzhou 225009)
【 Abstract 】 the computer network is widely applied to people's attention, computer network security is very important, we must take effective measures to ensure the security of computer network. This paper analyzes the implications of computer network security system and its security mechanism, and for the current network security should be involved in some of the elements is introduced.
【 Keywords 】 network security; computer; network communication
1 引言
計算機技術正在日新月異地迅猛發展,功能強大的計算機和Intranet/Internet在世界范圍內普及。信息化和網絡化是當今世界經濟與社會發展的大趨勢,信息資源的深入開發利用以及各行各業的信息化、網絡化己經迅速展開;全社會廣泛應用信息技術,計算機網絡廣泛應用為人們所關注。
面對當前嚴重危害計算機網絡的種種威脅,必須采取有力的措施來保證計算機網絡的安全。但是現有的計算機網絡大多數在建立之初都忽略了安全問題,既是考慮了安全,也僅把安全機制建立在物理安全機制上。本文分析了計算機網絡安全體系的含義以及其安全機制,并對于當前網絡安全應涉及的一些內容做了介紹。
2 計算機網絡安全機制分析
安全性機制是操作系統、軟硬件功能部件、管理程序以及它們的任意組合,為一個信息系統的任意部件檢測和防止被動與主動威脅的方法。安全機制與安全有關,機制是用于實現服務的程序,OSI定義的安全性機制有加密、數字簽名、鑒別、訪問控制、通信量填充、路由控制、公證等。安全和安全性機制有一定的對應關系,例如:機密可以通過加密、通信量填充和路由控制來實現。另外,加密不僅可以是機密的成分,而且還可以是完整性和鑒別服務的成分。
各種安全機制中,加密有著最廣泛的應用,并且可以提供最大程度的安全性。加密機制的主要應用是防止對機密性、完整性和鑒別的破壞。
數字簽名是一種用于鑒別的重要技術。數字簽名可以用于鑒別服務,也可以用于完整和無拒絕服務。當數字簽名用于無拒絕服務時,它是和公證一起使用的。公證是通過可信任的第三方來驗證(鑒別)消息的。
對于網絡終端用戶來說,最通常的安全性經歷是通過使用口令來實現訪問控制。口令是一個字符串,用來對身份進行鑒別。在獲得對數據的訪問權之前,通常要求用戶提交一個口令,以滿足安全性要求。問卷與口令有很近的親緣關系,它也是鑒定身份的方法。問卷使用合法用戶知道而其他人不大可能知道的信息,例如詢問用戶親屬的姓名等,這是一個常見而且應用很廣的方法。還有各種用于身份鑒別的產品,它們采用了比上述方法更好的技術。例如:一些比較聲音、手寫簽名、指紋的系統等。
3 網絡安全所涉及的內容
計算機網絡安全涉及的內容主要包括保密性、安全協議設計和接入控制等。
3.1 保密性
為用戶提供安全可靠的通信是計算機網絡最重要的服務內容。盡管計算機網絡安全不僅局限于保密性,但不能提供保密性的網絡肯定是不安全的。網絡的保密性機制除了為用戶提供通信保密之外,同時也是許多其他安全機制的基礎。
3.2 安全協議設計
計算機網絡的安全性協議是網絡安全的一個重要內容。如果網絡通信協議存在安全缺陷,那么攻擊者就可能不必攻破密碼體制就可獲得所需要的信息或服務。目前的安全性協議主要是針對具體的攻擊設計的,那么如何保證一個協議的安全性?這通常有兩種方法:一種使用形式化證明一個協議是安全的;另一種使用設計者的經驗來判定。
3.3 接入控制
計算機網絡的一大優點就是能夠共享資源,但如果這種供銷沒有什么限制,將帶來許多安全問題,所以有必要對接入網絡的權限加以控制。但由于網絡是一些地理上分散的計算機系統通過通信線路互相連接起來的一個復雜系統,所以它的接入控制機制比操作系統的訪問控制機制更復雜,尤其在高安全性級別的多級安全性情況下更是如此。
4 網絡安全標準體系結構
事實上,網絡安全體系結構中的不同層次有不同的安全功能,要采取的安全機制也是各不相同的。
4.1 用戶安全層
用戶安全層不屬于OSI環境,由于OSI標準是不針對非法用戶進行直接防范的,但是在一些非法用戶進入系統之后,對網絡安全就會有很大的威脅,因此,這時的用戶安全層就可以對非法用戶起到遏制作用。可見,網絡安全層是安全服務的最基本環節,也是一項重要的安全措施。用戶安全層對用戶提供訪問控制安全服務,可以識別非法以及合法用戶。并采用加密措施、數據完整性和認證互換機制等技術,加強網絡安全服務。
4.2 應用安全層
該層主要包括OSI環境的應用層、表示層和會話層,應用安全層可以對信息傳輸、域名服務、遠程終端等網絡運行指定一條有效的運行標準,為上層用戶提供數據或信息語法的表示轉換。負責系統內部的數據表示與抽象數據表示之間的轉換工作,還能實現數據加密和解壓縮等轉換功能。在這一層,用戶可以實現網絡身份認證、數字簽名、防止否認,及加密等安全措施,不僅保護了用戶信息的安全,也加強了網絡信息的完整性,避免一些非法用戶利用信息漏洞干擾計算機的運行。
4.3 端-端安全層
包括OSI環境的傳輸層端-端安全層為上層用戶提供不依賴于具體網絡的高效、經濟、透明的端-端數據傳輸服務。同時可以通過上一層用戶提供安全服務,以及建立一條獨立的鏈接,或者建立多條鏈接,以此來分散傳輸的數量,間斷傳輸的時間,這些多條的傳輸的信息對客戶來說都是透明的。端-端安全層不得采用業務量來填充技術,但其余的技術與其他安全層是相同的。但是,由于端-端安全層的協議較少,所以人們對他的關注不如子網安全層。
4.4 子網安全層
包括OSI環境的網絡層,它的主要作用就是講數據線做一定長度的分組,再將分組信息進行傳遞。子網安全層可以使用的安全技術種類很多,如加密、訪問控制、數字簽名、路由選擇控制、業務量填充和數據完整性,這些也都是子網安全層本身的特點。
4.5 鏈路安全層
鏈路安全層就是利用有效手段,將已經出現錯誤的鏈接信息轉化成還沒有出現錯誤的信息進行傳遞。它將數據分為一個一個的數據幀,以數據幀為單位開始傳遞。包括OSI環境的數據鏈路層和物理層,物理層的規定就是網絡接口,但是,要在這個環節內做安全管理是十分有限的,主要是業務量填充和加密技術。
在沒有出現密碼學之前,加密主要在物理層進行,但如今,已經很少在物理層上做加密處理了,因為成本高,還不利于管理。數據鏈路層可以采用加密技術,由于不同的鏈路層協議的幀格式都有區別,因此,在加密時,必須采取不同的數據幀鏈接,可見,在鏈路安全層可以采用數據加密和業務量填充技術。
5 安全體系的實現
5.1 安全服務的選擇
實際實現時,我們通常是對一個具體的網絡做要求,選擇一個子集加以實現。然而,怎樣選擇合適的子集就成為了關鍵的問題,因為子集的選擇會直接影響到網絡的安全。例如,我們在物理層提供安全加密時,當密文到達通信子網,為了開展路由選擇,就必須解碼。此時,計算機侵襲者就可以通過非法方式獲得信息。又如,僅在網絡層提供數據保密服務時,外部攻擊可以采取鏈接上獲得沒有加密的三層的報文信息,其余的詳細信息也很容易獲得。有時,子集的選擇也能滿足特殊的情況。例如,當只需要保護高層的安全時,使安全服務與通信子網無關,那所有的安全服務設置就可以由高層提供。
5.2 軟件實現和硬件實現
通過軟件實行安全管理也是可行的,其方法是,將所有的安全實現軟件結合在一起,作為DTE系統軟件的一部分,同時通過計算機服務語言對這些軟件進行操作。但是,一味地利用軟件,會增加成本和管理難度。為了提高工作效率和安全性,實現軟件和硬件的結合是進行安全服務的重要手段。
5.3 安全控制器(SCU)
硬件和軟件結合的方法就是設計一種安全控制器。這種控制器可有兩種類型。首先是將安全服務嵌入通信控制器,這種通信控制系統可以有協議,可以實現有效的安全服務。其次是將安全服務獨立到通信控制器之外,重新設計一種新的控制器。這樣做可以避免修改現有的通信控制器,區分安全控制器和通信控制器。這兩種安全控制器的功能都是由硬件和軟件相結合實現的。
6 安全技術的研究現狀和動向
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。 國際上信息安全研究起步較早,力度大,積累多,應用廣,在上世紀70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”(Beu& La padula模型)的基礎上,指定了“可信計算機系統安全評估準則”(TCSEC),其后又制定了關于網絡系統數據庫方面和系列安全解釋,形成了安全信息系統體系結構的準則。
安全協議作為信息安全的重要內容,其形式化方法分析始于上世紀80年代初,目前有基于狀態機、模態邏輯和代數工具的三種分析方法,但仍有局限性和漏洞,處于發展的提高階段。作為信息安全關鍵技術密碼學,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。在我國信息網絡安全技術的研究和產品開發仍處于起步階段,仍有大量的工作需要我們去研究、開發和探索,以走出有中國特色的產學研聯合發展之路,趕上或超過發達國家的水平,以此保證我國信息網絡的安全,推動我國國民經濟的高速發展。
7 結束語
網絡安全的重要性已經有目共睹,特別是隨著全球信啟、基礎設施和各個國家的信息基礎逐漸形成,信息電子化己經成為現代社會的一個重要特征。信息本身就是時間、就是財富、就是生命、就是生產力。因此,各國開始利用電子空間的無國界性和信息戰來實現其以前軍事、文化、經濟侵略所達不到的戰略目的。隨著計算機技術的高速發展,攻擊網絡的技術的不斷更新,單一的安全防護策略則是不安全的,網絡安全將是一個系統的概念。未來的計算機網絡安全防護策略方向應該是安全措施高度綜合集成的。
參考文獻
[1] 趙立志,林偉.淺析網絡安全技術[J]. 民營科技, 2008,(3):193.
[2] 李鐵.網絡安全層次分析[J]. 甘肅科技, 2008,24(3):16-17.
[3] 楊戰武.網絡安全技術探討[J].中國科技信息,2008,(6):109-110.
[4] 姜健.計算機通信網絡安全與防護策略[J].科技咨詢,2008,(4):113-114.
作者簡介:
汪澍萌(1978-),男,漢族,江蘇揚州人,揚州市職業大學,講師;研究方向:計算機網絡、現代教育技術。
第8篇:信息網絡安全評估的方法范文
關鍵詞:網絡安全 防火墻 PKI技術
1.概述
網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障,是最先受到人們重視的網絡安全技術,就其產品的主流趨勢而言,大多數服務器(也稱應用網關)也集成了包濾技術,這兩種技術的混合應用顯然比單獨使用更具有大的優勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。
2.防火墻的選擇
選擇防火墻的標準有很多,但最重要的是以下幾條:
2.1.總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內。如果僅做粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論。
2.2.防火墻本身是安全的
作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權威認證機構的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權威認證機構測試的產品。其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。
2.3.管理與培訓
管理和培訓是評價一個防火墻好壞的重要方面。我們已經談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。
2.4.可擴充性
在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大了產品覆蓋面。
2.5.防火墻的安全性
防火墻產品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產品性能的優劣。但在實際應用中檢測安全產品的性能是極為危險的,所以用戶在選擇防火墻產品時,應該盡量選擇占市場份額較大同時又通過了權威認證機構認證測試的產品。
3.加密技術
信息交換加密技術分為兩類:即對稱加密和非對稱加密。
3.1.對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56為密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
3.2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制,其安全性是基于分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下:
公開密鑰:n=pq(p、q分別為兩個互異的大素數,p、q必須保密)
e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m為明文,c為密文。
解密:m=cd(mod n)
利用目前已經掌握的知識和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
4.PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構(CA)、注冊機構(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。
4.1.認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產品兼容。
4.2.注冊機構
RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。
4.3.策略管理
在PKI系統中,制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,并且能通過CA和RA技術融入到CA 和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網絡安全的理論,并且具有良好的擴展性和互用性。
4.4.密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。
4.5.證書管理與撤消系統
證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
5.安全技術的研究現狀和動向
第9篇:信息網絡安全評估的方法范文
關鍵詞:軍事網絡;網絡安全;網絡防護
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)23-5229-03
隨著軍隊信息化建設的深入發展和信息網技術的創新,軍隊計算機網絡在經歷二十多年的發展后,目前在作戰、訓練、政工、后勤、裝備等部門都已初具規模,擔負的使命任務也越來越重要,網絡中存儲海量的信息數據量越來越大。如何在實現軍用網絡既有功能的基礎上,確保網絡的高度機密和安全,始終是一項迫切需要解決的問題。
1 軍事網絡現狀分析
目前我軍在網絡應用方面還處于初級階段,全軍指揮自動化網和綜合信息網的建設正面臨轉型發展期,大跨度的網絡發展面臨網絡安全危機。主要存在以下幾個方面的問題:
1)網絡信息安全面臨嚴重威脅
由于軍隊網絡都采用了國際互聯網的體系結構,網絡協議的開放性和主流操作系統的通用性,使得軍隊網絡無法避免存在安全隱患。另外,軍用計算機設備及芯片大多從市場上購置,可能被潛在對手預留“后門”或埋有病毒。
2)網絡建設無統一標準及不可信接入
由于缺乏頂層設計與管理,目前全軍各單位之間數據格式標準不同,接口不統一,之間資源共享率低,而且大多基于網絡的應用系統和軟件的研發都是獨自組織,由此出現軍事網絡建設中“大網套小網,小網聯大網,煙囪林立,漏洞頻出”的現象。
3)網絡安全風險評估技術發展和應用滯后
常見的軍事信息網絡風險評估主要依靠人工評估和自動評估兩種方法。目前人工評估在我國還占有相當的比例,盡管人工評估依靠專家經驗,對評估要素收集比較全面,但容易引入主觀因素;而自動評估技術很多方法介于實時監測和靜態評估之間,在真實網絡環境中可操作性不強,在研究方面還欠缺系統性。
4)網絡用戶水平和安全維護管理機制有待完善
與世界先進國家相比,我軍用網絡還處于初步階段,主要以建設和使用為目的,信息保護和安全的總體方案還沒得到充分重視,對網絡的維護、管理不夠,職責不清。用戶水平和安全意識與網絡安全維護需求還有一定的差距。
2 攻擊軍事網絡的主要途徑
1)計算機病毒
計算機病毒被明確定義為:“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼”。計算機病毒可存駐在計算機硬盤或其他設備中,可通過計算機網絡進行傳輸。其自身具備:繁殖性、破壞性、傳染性、潛伏性、隱蔽性及可觸發性。在軍事斗爭中,病毒可以通過電磁輻射注入計算機,將病毒調制到電子設備發射的電磁波中,利用對方無線電接收機從電子系統薄弱環節進入信息網絡。此外還有固化病毒、節點注入和網絡傳播等手段。目前,許多國家都在研制和試驗用于軍事目的的計算機病毒。如美國中情局和國防保密局曾招標研制“軍用病毒”,將病毒和密碼固化在出口的集成電路芯片中,平時長期潛伏,戰時隨時遙控觸發。由于計算機病毒的種類和破壞威力在高速增長,病毒機理和變種不斷進化,給病毒的防范工作帶來巨大困難,計算機病毒已經成為軍事網絡安全的第一威脅。
2)黑客攻擊
由于軍事網絡存在多種漏洞和缺陷,主要包括:軟硬件缺陷、人為失誤、網絡協議的缺陷以及管理缺陷,這些為黑客攻擊提供了攻擊基礎。目前黑客的主要攻擊方式分為:
a)木馬程序
區別于一般病毒,木馬主要通過自身偽裝,吸引用過下載,以此打開被種者電腦,進行任意破壞、竊取文件,甚至遠程操控。
b)欺騙協議
針對網絡協議缺陷,假冒身份,以欺騙方式獲取相關特權進行攻擊或截取信息,主要包括源路由欺騙攻擊、Ip欺騙攻擊、ARP欺騙攻擊和DNS欺騙攻擊
c)攻擊口令
黑客把破譯用戶的口令作為攻擊的開始,以此獲得網絡或機器的訪問權和管理權,就可以隨意竊取、破壞和篡改直至控制被侵入方信息。
d)Dos攻擊
即拒絕服務攻擊,主要包括攻擊計算機網絡帶寬和連通性,其目的使計算機或網絡無法提供正常的服務。目前在此基礎上發展成DDos攻擊,即分布式拒絕服務。
e)緩沖區溢出
攻擊者輸入一超長字符串,植入緩沖區,再向一有限空間植入超長字符串,導致兩種后果:一是引起程序失敗,可能導致系統崩潰;二是可執行任意指令。
而黑客攻擊事件層出不窮。如在2011年6月23日,黑客組織侵入亞利桑那州公共安全部門盜取700份文件。被公布的文件包括數百份私人信息、培訓手冊、個人郵箱、分類文檔等諸多資料。隨后,該組織成功入侵了美國議會網站,貼出了文件系統的基本信息,包括用戶姓名和網頁服務器的配置文件。6月底,黑客組織公布了美國FBI附屬機構infraGard將近180名員工的郵箱、登陸證書和其他個人化認證信息,并迫使中情局對外公眾網站關停數小時。
3)設備攻擊
主要指電磁輻射泄密。電磁輻射主要來源于計算機及其設備和通信設備在信息處理時產生的電磁泄漏。利用高性能的電磁輻射接受等裝置截取信息。大量的成熟產品說明,在一定距離上使用檢測設備可以接受到任意一臺為采取安全保護措施的計算機屏幕信息。如美國96年就推出了DateSun接收機,其平均接受距離為270米。另外網絡傳輸的介質主要是電纜和電話線路,這為敵方利用網絡窺探器來截獲傳輸的數據提供可乘之機。如94年美國一名黑客在許多主機和主干網上建立窺探器,收集了近10萬個口令和用戶名。
4)軍隊內部泄密
網絡管理員的文化素質和人品素質影響網絡安全。網絡管理員是最直接接觸網絡機密的人,他們有機會竊取用戶密碼以及其它的秘密資料,并且他們的行為可能會破壞網絡的完整性,是對網絡安全最直接的威脅。此外網絡操作人員的非法操作方式,如私自連入互聯網、使用非保密移動介質接入軍網,都會導致巨大的損失和災難。
3 相應防護措施
1)病毒防護措施
對于病毒的防護,主要可從加強以下幾方面操作:
a)安裝最新版殺毒軟件,運行即時監控功能。
b)及時給系統打補丁。
c)不隨意打開來歷不明的軟件和郵件。
d)使用安全性能高的路由器,針對不同協議攻擊方式配置好相應的系統安全策略。
e)采用安全系數高的密碼
f)對密碼輸入長度進行校驗。
2)網絡防火墻措施
網絡防火墻是由硬件和軟件組成的一個或一組系統,用于增強內部網絡和Internet之間的訪問控制。防火墻在被保護內部網和外部網絡之間形成一道屏障,建立一個安全網關,防止發生不可預測、潛在破壞入。它可通過檢測、限制、更改跨越防火墻的數據流在實現網絡的安全防護。而且采用的防火墻必須具備以下四方面的特征:所以在內部網絡和外部網絡之間傳輸的數據必須通過防火墻;只有被授權的合法數據即防火墻系統中安全策略允許的數據可以通過防火墻;防火墻本身不受各種攻擊的影響;使用當前新的信息安全技術。其中所用到技術包括:信息過濾技術、網絡地址轉換技術以及、檢測技術。
3)入侵檢測措施
自1987年入侵檢測系統模型被提出后,網絡入侵檢測技術得到迅速發展,目前已逐步取代基于主機的檢測而成為入侵檢測研究的主流。網絡入侵檢測是通過分析網絡傳送的網絡包來實現對攻擊的檢測。入侵檢測技術主要分為兩類,即誤用檢測和異常檢測。誤用檢測的基礎是建立黑客攻擊行為特征庫,采用特征匹配的方法確定攻擊事件。異常檢測是通過建立用戶正常行為模型,以是否顯著偏離正常模型為依據進行入侵檢測。以往有多種機器學習方法被引入入侵檢測系統,如神經網絡、遺傳算法、聚類算法等。目前也有多種檢測技術被國內外研究。軍網中需要挑選合適的入侵檢測系統,從而能運行穩定而且能有效快速檢測到絕大部分攻擊行為。像現在使用的JUMP網絡入侵檢測系統,它集成了國內外最新的網絡攻擊行為特征數據庫,檢測功能強大。
4)數據加密措施
由于軍隊內部的數據的保密性不言而喻,為保證網絡信息數據的安全,數據加密措施應運而生。一般數據加密算法包括斯四種置換表算法、改進的置換表算法、循環移位算法和循環冗余校驗算法。部隊常用的數據加密技術一般包括以下三類:
a)鏈路加密
在網絡通信鏈路上對信息進行加密,通常用硬件在物理層實現。實現簡單,即把密碼設備安裝在兩個節點的線路上,使用相同的密鑰即可。它主要保護在信道或鏈路中可能被截獲的部分。但有兩個缺點:一是獨立密鑰多,成本高,二是報文以明文方式通過中央處理機,容易受到非法竊取。
b)節點加密
是鏈路加密的改進,在協議運輸層進行加密。首先解密接受到的數據,然后在節點的安全模塊中使用不同的密鑰對數據進行加密。節點加密也是每條鏈路使用一個專用密鑰,但密鑰之間變換在保密模塊中進行。
c)端端加密
在網絡層以上加密。在整個數據傳輸過程中,數據一直以密文的形式傳輸,直到數據傳輸到接收人之前都不進行解密,達到一種高度的保密。目前端端加密一般由軟件完成,采用脫機調試方式。也可用硬件實現,但難度較大。
5)人員監督措施
在軍事信息安全防護方面,要始終做好人的工作。一是加強對軍事網絡安全的認知;二是提高素質;三是嚴厲打擊各種泄密、賣密行為。
6)防輻射措施
目前針對軍隊輻射泄漏,主要采用:
a)加載干擾器方法
干擾器其功能是對計算機設備產生的電磁輻射進行干擾,以消除潛在的信息泄漏。一般干擾器與計算機同步啟動,利用干擾器發射的干擾信號進行干擾,以電子信息對抗的方法防止周圍竊密者截獲信號。
b)建立專用機房
根據物理學屏蔽原理,在機房外部使用金屬網罩并接上地線可以屏蔽任何電磁輻射。
7)安全風險評估措施
選擇恰當的評估屬性參數,定義在可操作角度評估軍事信息網絡面臨的風險參數,建立以時間采樣統計值為主的權值相關的網絡風險評估模型。該文采用文獻的模型,選取的評估指標包括:軍事信息網全網傳信總延時Td、網絡和節點吞吐量Tp、網絡延遲抖動Tw、每節點路由表更換的周期Pe、系統服務響應時間Tr和系統恢復時間Tc。考慮各因素的權重,得出評估值公式為:
SC=C*P=C1*P1+C2*P2+…+Cn*Pn
其中:0≤P1 ,P2,…,Pn≤1; P1+P2+…+Pn=1
根據評分給出網絡風險評估結果,進一步加強軍事網絡薄弱環節。在平時對軍事網絡風險評估,可以在戰時提前對軍事信息安全查缺補漏,了解未來的打擊方向。
4 結論
未來的戰爭中,軍事信息網絡必將成為敵我雙方爭奪的主要戰場。網絡安全關系到戰爭的走勢,甚至直接決定戰爭的結局。因此,完善網絡建設,加強我軍網絡安全防護,盡快形成具有我軍特色的、適應信息化建設和未來高科技戰爭需要的安全體系是當前的重要任務。
參考文獻:
[1] 魚靜.網絡中心戰下軍事信息網絡風險評估技術的研究[J].計算機安全,2011(2).
[2] 周矛欣.黑客攻擊的常見方式及預防[J].中國教育信息化高教職教,2010(9).
[3] 王秀和.計算機網絡安全技術淺析[J].中國教育技術裝備,2007(5).
[4] 高燕.論軍事信息網絡安全面臨的主要威脅[J].經濟研究導刊,2011(19).
[5] 朱寧寧.軍事網絡安全防御的研究[J].電腦知識與技術,2011,07(1).
- 上一篇:勞務分包管理經驗范文
- 下一篇:公園生態景觀設計范文
