电网网络安全方案范文
时间:2023-12-18 17:50:00
导语:如何才能写好一篇电网网络安全方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
【 关键词 】 电网;信息网络;安全;防范措施
1 引言
通常人们谈到电网时,大多指的是这些输电配电的网络。但其实电网还有另外一张“网”,就是用于传递信息的互联网。在当前我国电力信息化迅猛发展的过程中,调度中心、电力局、电厂与用户之间的信息通信更为频繁。各种与电力相关的生产、管理、运营网络与“电”一样,成为电网必不可少的重要组成部分。这些网络除了带来更为便捷、高效的工作方式外,也附带了病毒入侵,安全漏洞等网络负面因素。
如何能够确保电网的信息传递完整准确,使得输变电网络有效地运转,为国家各项建设提供基础保障,是当前乃至今后的电力工作中的一项重中之重。
2 电力信息网络安全分析
与普通互联网一样,电力信息网络也同样需要面对各种各样的网络安全威胁,包括对各种网络设备,对网络中传递的信息的威胁,甚至是对不完善的管理制度的威胁。下面本文就电力信息网络可能存在的安全问题进行了分析。
1)网络设备可能存在的安全隐患。目前,不少计算机机房并没有防火、防水、防雷击、防电磁泄漏和干扰等措施。在遭遇自然灾害和意外情况时,抵御能力较差;由于噪音或者电磁干扰,可能导致信号的信噪比下降,误码率增加,破坏信息的完整性;人为造成的设备损坏甚至窃听,更是严重影响了信息的安全性。
2)网络本身的安全。信息网络本身在下面几个主要方面存在安全漏洞:网络系统的结构、软件漏洞、病毒入侵。互联网是一个由无数局域网组成的巨大网络。当人们在局域网间进行通信时,这些信息数据流通常要经过许多网络设备的重重转发,任意两节点间的数据包,不仅会被这两个节点的网卡所接收,也会被处在同一个以太网中的任何一个节点的网卡所捕获。黑客只需要侵入这一以太网上的任一节点,就可以截取在这个以太网上传输的所有数据包。因为互联网上大多数的数据包都没有经过加密,所以黑客通过各种手段很容易对这些数据包进行破解,窃取有用信息。因此,选择合理的网络拓扑结构是信息网络组建时的首要工作。
3)位于网络中的主机或其它设备上的软件可能存在安全漏洞,但没有及时升级更新或打上补丁,又或者软件配置存在安全隐患,使其容易受到攻击也存在感染病毒的可能。
4)蠕虫病毒、ARP欺骗病毒等可能导致网络全部瘫痪。一旦有计算机中的文件感染蠕虫病毒,那么这台计算机和这些文件本身也是蠕虫病毒,可能随着网络的传播,干扰整个网络,使业务无法正常进行。
5)管理制度和人员的安全意识也是网络安全的一大威胁。企业在管理上缺乏必要的规定和监管,对重要甚至的设备或信息的管理不到位,未设置专门的部门或者人员进行专业管理。对员工上网的行为未做必要的规范,导致员工可能通过电子邮件或者其它即时通信方式向外传递敏感信息,泄漏企业机密。
一些员工在信息安全方面的意识较差,例如共享主机或关键设备的账户或密码,密码设置随意,在对外联系时也没有注意到信息的敏感性。这些有意或无意的行为都对电力信息网络带来了安全威胁。
3 电力信息网络安全防范措施
3.1 加强网络安全观念,提升安全防范意识
信息网络安全工作的前提,是提高人员的思想意识。首先要加强宣传教育,使全体人员充分认识到信息网络安全的重要性,树立网络安全观。其次,可以通过丰富多样的培训内容和方式,对全体员工进行网络安全知识的培训,并通过理论考试或者上机实践等方式,让大家充分理解和掌握网络安全的基础知识和技能。再者,员工都应该自觉地遵守信息安全管理的各项规定,培养对网络安全工作的主动性和自觉性,保证信息网络的安全。最后,各级领导也应该转变观念,充分认识到信息网络的安全风险,加大在网络安全方面的投入和工作力度。
3.2 结合多种技术手段,构建安全的信息网络
3.2.1物理的安全防护
物理的安全防护包括物理的分区和各种设备的安全两个方面。
根据国家《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等文件的要求,电力行业的物理分区必须明晰。根据业务的不同,划分为生产控制区和信息管理区两大部分。其中,生产控制区又分为主控制区和非控制区,信息管理区又分为信息内网和信息外网。这些不同的区域分别采用不同的保护等级,并且使用物理隔离装置也就是专用的防火墙,进行隔离。
各区域内部和区域之间的通信设备必须严格按照国家规定,采购品质好,安全性能高的设备。不仅如此,在运输、安装、使用的过程中也要加强安全措施,除了注意防火、防盗、防水、防潮、防静电等外,还需要对重要的设备进行防电磁辐射保护。当设备出现故障或超过使用期限时,要及时处理或销毁。不同安全级别的设备要区别处理,要注意对送出单位进行修理的设备上存储的信息的安全。设备的销毁则一定要送入国家专业机构进行处理。
3.2.2逻辑保护
逻辑的保护主要是进一步将网络进行分区,增加网络防护的深度。当出现入侵时,入侵者需要破解多层的防护。这样即提高了入侵的难度,也为主动防御增加了时间。通过设置交换机或者路由策略,将核心部门的主机集中在一个没有其它用户节点的VLAN中,更好地保护主机中的资源;也可以按照部门或者业务分工划分VLAN,各部门内部的用户节点或服务器独立存在于各自的VLAN中,互不干扰,从而防止病毒的传播和黑客攻击。
3.2.3防火墙
防火墙是一套由应用层网关、包过滤路由器和电路层网关等组成的系统。逻辑上,它处于企业内网和外部互联网之间,提供网络通信,保证企业内网能正常安全地运行。根据防火墙的作用不同,分为两类,主机防火墙和网络防火墙。前者主要在主机受到攻击时进行保护;后者为网络协议的2至7层提供防护。
3.2.4入侵系统
入侵检测系统(IDS)是主动防御攻击的网络安全系统。这一系统通过收集,分析网络的行为、安全日志、数据以及计算机系统中关键点的信息,查看系统或网络中是否有违反安全策略的行为或者被攻击的可能。它与防火墙一起,完善了整个网络安全的防御体系,是网络安全的第二道闸门,在电力信息网络安全工作中发挥着重要作用。其在整个网络布局中的位置示意图如图1所示。
3.3 完善网络安全制度,强化安全管理
要做好电力信息网络安全工作,技术是保障,而管理是关键。因此,需要有一套严密有效的网络安全管理制度,无论是技术人员还是普通用户都需要严格遵守和执行管理规定。这些制度包含几个方面。
1)信息监管。各区域的网络,尤其是信息外网的使用者在上网时,需要加强审查,规范上网信息,以及上传和下载信息的行为。严禁携带,传播信息和不健康的信息,必要时可以使用带保密功能的终端,杜绝有意和无意的泄密事件。
2)设备管理和使用。对各种软、硬件设备,在采购、运输、安装、使用和报废等关键环节,都需要登记造册,由专门的部门以及专人负责保管和维护,确保设备的安全。针对密级较高的设备,可以由专人负责分类存放,甚至可以配置专人专机。一般情况下,不允许使用个人设备、未登记备案的办公设备、未经加密处理的设备接入网络。
3)存储和备份管理。各种存储信息的介质,都需要统一编号登记,按照级别分门别类存放,由专门的部门专门的人员负责。数据是保证信息网络安全的核心,而数据备份是保证数据不受损失的最佳方法。为了防止设备意外损坏、人为操作失误或者其它未知因素导致的数据丢失,需要制定完备的备份恢复策略,保证及时有效地恢复数据,避免系统瘫痪。可以结合实际情况,采取增量备份,完整备份,或者利用第三方工具进行磁带备份等等技术手段,提高数据的安全性,保证数据的完整性。
4)风险评估和检测。在专业的网络安全服务公司的帮助下,结合电力信息网络安全的实际,加强各部门间安全信息的交流与共享,建立风险评估机制和管理机制。 持续研究和发现网络安全漏洞或者缺陷,评估面临的风险和威胁,并且寻求相应的补救方法,做到防患于未然。
3.4 加强人才培养,提高人员素质
成立专门负责信息网络安全的部门或者小组,选择具有专业水平或者学历的人员担当管理人员、技术人员。通过开展学术交流,进修,内部培训等多种方式,对这些人员进行系统全面的培训,在加强责任心,业务能力培养的同时,也加大对计算机网络安全技能的培训,不断更新人员的知识结构。掌握最新的安全防护技能。此外,还可以引进人才,充实到信息网络安全的各个工作岗位。
4 结束语
电力行业是国家的基础行业中尤为重要的一项,关系到国计民生。如何保障电力的稳定运行,如何让电力保障人民生产生活的正常进行,是电力行业一直面临的问题。这其中,电力信息网络的安全工作随着互联网的进一步发展,将会是电力行业的一项新的挑战。
本文通过对电力信息网络中存在的风险进行分析,并从管理和技术上提出几种安全防范措施。目标在于更好地满足电力信息网络安全稳定运行和数据资料的保密性,从而为电力在国家各项建设中发挥作用提供更有利的保障。
参考文献
[1] 李涛.网络安全概论[M].北京:电子工业出版社,2004.
[2] 王宏伟.网络安全威胁与对策[J].应用技术.2006,5.
[3] 余勇. 电力系统中的信息安全策略[J].信息网络安全,2003,9.
[4] 王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,2010,7.
[5] 钟婧文,崔敬.信息系统网络安全问题研究[J].科技致富向导,2010,5.
[6] 魏晓著,柳英楠,来风刚.国家电力信息网信息安全防护体系框架与策略.计算机安全,2004,2.
篇2
【关键词】网络安全;中毒;家庭网络用户
随着互联网在家庭的普及,家庭网络安全越来越受到用户的注意和重视。家庭网络安全主要表现在两个方面,一个是个人电脑中毒,另一个是被非法用户入侵。个人以为可以从“内”和“外”两个方面来加以解决。
首先从“内”的方面来说。“内”是指用户本身,也就是说用户在使用计算机时应该注意的问题,防止由于自己的疏忽大意而造成损失。主要包括:(1)安装一些必要的软件,主要是防火墙、杀毒、防木马等安全软件。(2)要有一个安全的工作习惯。可以先假定几项活动是安全的,其余的活动都是不安全的,并采取防病毒措施。(3)积极备份。可采取完全备份和追加备份的方法来实现。(4)积极防范。设置好开机密码,不要让别人随便使用你的计算机,重要的文档或盘符加上密码保护。家里有小孩的要经常提醒小孩该如何安全使用计算机,告诉他如何使用杀毒软件,哪些网站不能打开,不能随便下载东西,需要下载可以让大人来完成等等,最好是小孩上机的开始几年大人始终在边上指导,一旦发现错误的操作步骤及时纠正。(5)打好补丁。因为在软件设计中,经常会出现一些意想不到的错误和漏洞,给程序带来安全和稳定性方面的隐患。因此,经常保持对软件的更新,是保证系统安全的一种最简单也是最直接的办法。
以上几种方法只是网络安全方面常用的方法,实际上保证安全从“内”的方面来说还包括很多方面,如操作不当造成软硬件损坏等,当然,这些就不仅仅是网络安全方面的了。实际上,只要用户在以上所说的五个方面如果做得不错的话,基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意或根本不在意,结果造成数据的损失。这是十分愚蠢的。那“外”又是指哪些呢?
我以为主要是指由外界而来的攻击,一般是指黑客的攻击。要防止黑客的攻击,方法是挺多的,有些方法比较复杂,一般用户由于不是专业人员,要掌握这些手段不太容易。我在这里介绍几种一般简单、容易上手,同时效果也不错的方法供大家参考。
一、隐藏IP地址
有两种隐藏IP地址的方法,一是使用服务器。服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端www服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,服务器首先截取用户的请求,然后服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。
很显然,使用服务器后,其它用户只能探测到服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费服务器的网站有很多,你也可以自己用猎手等工具来查找。二是使用一些隐藏IP的软件,如赛门铁克公司的Norton Internet Security就有这种功能,不论黑客使用哪一个IP扫描工具或PING工具,都会告诉你根本没有这个IP地址,这样黑客就无法攻击你的计算机了。
二、检测是否有不速之客连接到我的电脑
可以利用Windows自带的文件Nbtstat来检测。操作方法如下:
在Windows系统的运行中输入Cmd,在出现的命令窗口中输入:nbtstat –s,从命令执行结果中可以看出本机的IP地址,与你的电脑相连的其他计算机的IP地址以及本机与其他计算机、其他计算机与本机的连接情况。如果在命令窗口中输入:nbtstat –n,则显示出一个会话列表,包含你上网用的IP地址与连接使用的端口以及连接的对方IP地址与连接使用的端口。如果想了解更多的Nbtstat的使用方法,直接输Nbtstat回车即可。
三、关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
四、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
五、取消文件夹隐藏共享
如果你使用了Windows XP系统,打开从“控制面板/性能维护/管理工具/计算机管理“窗口下选择”系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”,在后面说明部分也可以看到默认共享。只要键入“\\计算机名或者IP\C$”,系统就会询问用户名和密码,遗憾的是大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。因此需要取消文件夹隐藏共享。怎么来消除默认共享呢?(下转第192页)
方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_M
ACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
六、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。可以采用如下方法:(1)使用工具软件,如YAHOO助手里面有“安全防护”功能,可以屏蔽恶意代码,还可使用“反间谍专家”提供的超强系统免疫功能,确保操作系统不再受到任何以知的侵扰,并且能够快速恢复被恶意代码篡改的IE浏览器。(2)运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,也可有效避免恶意网页中恶意代码的攻击。
七、把Guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。Windows XP系统中打开控制面板,单击“用户帐户/更改帐户”,弹出“用户帐户”窗口。在点“禁用来宾帐户”即可。
篇3
电子商务目前应用很多,也是互联网最突出的应用,以独特全新的营销模式,给很多企业带来了很多的机遇也同时面临很多挑战。电子商务的出现给我们带来了很大的方便,但伴随着安全漏洞问题。电子商务发展中网络安全问题一直是个棘手的问题,如何促进电子商务中的网络安全的应用,如何提高使用中的安全性,保障电子商务的健康发展,是我们值得思考的问题。
关键词:
电子商务;网络安全;技术关键
在这个信息化社会,计算机网络及信息安全技术的不断完善下,电子商务业得到了飞速发展。以互联网为基础的电子商务拥有众多的消费人群,而且也拥有较低的经营成本、方便快捷的使用体验,为广大人民群众在生活中提供了很多方便,有效的改善了人们的生活品质。
1使用中的电子商务中存在的一些安全问题
互联网是一个对任何人都开放的网络,网络中存在一些网络已知和未知的安全漏洞,还有不可预防的病毒破坏和黑客的攻击,因此给电子商务产生了很严重的安全问题,给经营者造成了信息泄露和财产上的损失。如今,在电子商务中主要有以下几方面的安全问题:
1.1数据的窃取
在交易的过程中,如传递的数据没有被加密过,那么交易的数据就会以明文形式在网络传输,如果数据被攻击者中途获取。攻击者在对数据进行仔细的研究和分析,就很容易能找到数据的一些特点,并由此知道数据的规律,得到数据的真实内容,数据泄密就产生了。
1.2数据信息的篡改
当破坏者分析数据后,掌握了数据的规律性后,他们通过自己特有的技术方法,将数据中的某些关键信息进行修改,然后再发送出去,但是接收方并不知道数据已经被修改过,还以为是真实的信息,并把这种篡改过的信息添加到真实的交易中,严重影响了正常的交易。
1.3数据信息的假冒
当破坏者掌握了数据的规律性之后,他们可以任意发送虚假的数据信息,伪造一个虚拟交易的过程,制造一个非法交易,而用户难以分辨数据的真伪。
1.4计算机病毒的入侵
计算机病毒其实是一种特殊的程序,在用户不知情的情况下,能进行一系列的破坏活动。电脑病毒一般会对计算机存储的重要数据进行盗取或者修改,也会对计算机的某些功能进行破坏,使其不能正常运行或运行缓慢,影响正常使用。
1.5信息破坏
由于入侵者可以入侵网络,可对网络中的信息进行修改,进行信息恶意破坏。
1.6信息系统自身的安全隐患
电子商务都有自己的一套运行系统,但是每套系统都有自己的一些安全隐患,世界上没有绝对安全的系统,包括windows,因为在设计系统之初没有考虑真实的所有情况,因此造成了系统本身的安全隐患,除此之外,运行电子商务系统的操作系统也存在安全隐患。
2造成电子商务网络安全隐患的原因
目前,网络技术飞速发展,网络环境十分复杂,网络的安全漏洞不能轻易修复,这里有网络自身发展的原因,也有人为上的问题,主要有以下三方面:
2.1“黑客”的攻击
黑客是一词源自英文hacker,指利用公共通讯网络,在未经许可的情况下,进入对方系统的人。
2.2平台管理上不足
电子商务平台都是由人来管理的,但是很多的管理者有可能只是营销专业出身,对网络不是很了解,对网络安全也没有足够的重视,没有一点警惕性,因此在实际的管理上,就没有相应的网络安全制度,也没有安全防范措施,这给破坏者提高了很多入侵的机会。
2.3系统软件自身的安全漏洞
很多电子商务平台由于资金问题,不能自己独立开发,都是通过购买其他公司的产品获得,因此其源代码被广泛传播,被一些别有用心的个人或组织进行分析,并找到系统的漏洞,从而实施入侵和破坏。
3用硬件和软件技术解决问题
由于上述几方面的原因,电子商务正处在复杂的网络环境中,并面临很多的安全问题,我们可以使用硬件技术和软件技术解决,具体有以下几种方案。
3.1智能化防火墙
智能防火墙是一种准确判定病毒的程序,利用统计、记忆、概率、决策等方法对相关数据进行识别,当有不可确定的进程有网络访问行为时,才请求用户协助。
3.2数据加密
计算机语言都是二进制数据,数据加密技术是利用特定的算法,对数据进行重新计算加密,得到一种特殊的新数据,再利用特殊算法对加密数据进行还原,加密的算法就是关键的技术。
3.3数字签名
数字签名(digitalsignature)其实是一种类似我们现实生活中的签名,使用特殊的一种加密技术用于鉴别数字信息的方法。一般数字签名包含公钥和私钥,信息公钥的拥有者可以将信息加密后发送给私钥的拥有者,利用私钥可以对信息进行解密。只要私钥不丢失,信息就是安全的。私钥要回复信息的时候,先用Hash函数,生成信件的摘要(digest),再使用私钥,对这个摘要加密,生成“数字签名”(signature)。并将这个签名,附在信息后面,公钥拥有者收到信息后,使用公钥解密,得到信件的摘要。由此证明,这封信确实是私钥拥有者发出的。
3.4身份认证技术
身份认证是确认操作者身份的一种方法,计算机只能识别数字信息,但是无法识别使用者的真伪,通过对用户的一个或多个的特殊信息进行验证,就可以解决该问题。比如有静态密码,智能卡,短信密码,折叠密钥,生物识别技术,双因素身份等,在验证通过后,就可以对该用户进行授权,使其交易可以顺利进行。
3.5虚拟专用网(VPN)
虚拟专用网VPN(VirtualPrivateNetwork)技术是一门比较新的技术,是保障数据安全传输的一种技术,众所周知,互联网是一个开发的公共网络,如果敏感的信息在互联网上毫无保护的传输,那么就很有可能有被盗取和监听的风险,为了解决安全的传输,VPN技术应运而生,它是在公用网络中,通过隧道加密技术建立一个仿真的局域网,使其达到点到点的专线效果,因此叫做虚拟的专用网络。保证了公共网络的数据安全传输。
3.6非法入侵检测
入侵检测系统是一种网络安全预防技术,通过对网络的实时监视,分析网络节点上的一些信息,发现可疑的一些数据传输,并发出警报或者采取主动反应措施。
4结语
篇4
关键词:电力信息 网络安全 防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)12-0214-01
1 电力信息网络安全的现状
1.1 缺乏安全意识
电力企业实现网络信息化建O,使电力企业得到了很大的发展,但是电力企业却缺乏信息网络的安全意识,对信息网络中发生的信息安全问题缺少足够的认识。
1.2 缺乏规范化的管理
我国电力企业并没有建立统一的、 规范的关于信息网络系统的安全管理规范,使信息网络安全缺乏统一的防范措施,所以总是出现违规操作。
1.3电力信息网络安全的基础设施不完善
信息网络的基础安全设施建设是信息网络安全的基础,而电力信息网络的安全设施却存在很多缺陷,使电力信息网络安全无法得到保障。
2 电力信息网络安全存在的问题
2.1 恶意的入侵
电力信息的高机密网络信息如果受到网络黑客的恶意入侵,就会使信息被盗。黑客带有技术恶意的入侵,使电力企业的电脑受到攻击,而恶意入侵不仅会盗取电力重要的信息,还可能做出解除密码、清除资料等行为,而这些行为都会严重影响电力企业的正常经营与管理。电力企业的信息网络安全时刻处于隐患中,一旦发生恶意入侵,电力信息网络的安全保护措施显得十分脆弱,无法抵挡。密码十分容易的被破解掉,这往往由电力企业自身造成的,不重视文档的密码管理,有些重要文件甚至不设置密码,使恶意入侵者十分容易获取资料,不留痕迹的带走资料退出系统。
2.2 病毒的传播
电脑中毒,估计每个计算机用户都发生过这个情况,开机变慢、反应速度变慢、电脑时常发生死机,电脑联网就很有可能中毒,有些病毒甚至无法分析出种类。目前电脑病毒一般为两种,其中一种是病毒、蠕虫性质。以程序对目标进行破坏,进行破坏后的目的实现。这种病毒会大量复制,就像生物学中的病毒扩散一样,将病毒逐个盘传染,依附载体进行病毒的传染,并且会不断的进行繁衍。蠕虫性质既有病毒的性质,又具有广泛的传播和隐蔽性,使杀毒软件不能发现处理,并且对杀毒软件抵制,具有极强的破坏性,为黑客所使用。
3 电力信息网络安全防范的措施
3.1 加强安全管理
电力信息网络安全管理包括网络设备的安全管理、 信息的安全管理与人员的安全管理。
3.1.1 网络设备的安全管理
网络设备的安全管理要实现双网双机和分区防御,建立等级防护和多层防御的体系。对网络因数据流做好检测与控制工作,对网络的访问进行严格的控制,对网络的入侵开启防护措施,对网络访问权限要严格控制,甚至对于远程用户也要做好标识和认证工作。
及时检测网络的性能,净化网络的安全运行,业务信息传输时要进行加密措施,实现对信息的保密,使敏感类信息可以经加密措施得到保护,防止非法的侦听与盗取。
采用内网与外网隔离的措施,安装硬件的防火墙、安装入侵检测系统和服务器核心防护系统等先进的网络监控系统,使网络安全事故有效降低。
3.1.2 加强人员管理
电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。培养员工建立良好网络使用习惯,与工作无关存储的设备禁止在企业电脑使用,不允许在企业电脑安装盗版的软件和与工作无关的软件,也不允许到网络上随意下载软件,对电力信息网络开机口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识,才能真正开展电力信息网络安全防范措施。
3.2 防止恶意的入侵
3.2.1 及时发现漏洞
将电力信息网络中不必要端口与服务进行关闭,要及时发现系统的漏洞,一旦出现漏洞,要及时升级各种补丁,防止系统受到恶意的入侵。将电脑与系统闲置的端口和可能存在威胁的端口和服务要进行关闭,这可以有效预防黑客从这些闲置的、存有威胁的端口或服务进入,甚至破坏。如果一旦发现流行病毒后门的端口或者远程的服务访问,也要进行关闭。
3.2.2 设置防火墙与入侵检测系统
防火墙可以有效防止恶意的入侵和攻击,是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制。内部的资源哪些可以被外界访问,外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强,可以对企业内部的网络进行划分,对各个网段进行隔离,限制重点或者敏感部分的网络安全。
4 结语
综上所述,本文对电力信息网络安全的现状、 存在的问题、防范的措施进行了分析,有了充分的了解后,电力企业一定要加强信息网络安全的建设,使信息网络的安全得到保障,才能使电力企业应用稳定的信息网络,为满足人民服务更好的开展工作,保证电力企业实现可持续发展。
参考文献
篇5
关键词 电力企业;网络信息安全;防范措施
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)73-0192-02
随着信息系统与网络的快速发展,电力企业作为关乎国计民生的基础行业,企业内部各业务数据已基本在网络流转,企业对信息系统产生了巨大的依赖性。但是,企业在享受着信息系统所带来巨大经济效益的同时,也面临着高风险。一旦出现信息泄密或篡改数据的情况,将为国家造成难以估量的损失。尤其是近几年,全球范围内的病毒泛滥、黑客入侵、计算机犯罪等问题,信息安全防范已成重中之重。因此,企业必须重新面对当前的安全问题,从中找到行之有效的防范措施。
1 电力企业网络安全现状分析
1.1 网络安全措施不到位
电力数据网络信息化在电力系统中的应用已经成为不可或缺的基础设施。电力数据网需要同时承载着实时、准实时控制业务及管理信息业务,电力生产、经营很多环节完全依赖电力信息网的正常运行与否,随着网络技术和信息技术的发展,网络犯罪不断增加,电力企业虽然已初步建立了网络安全措施,但企业网络信息安全仍存在很多的安全隐患,职工安全意识、数据传输加密、身份认证、访问控制、防病毒系统、人员的管理等方面需要进一步加强,在整个电力信息网络中,很多单位之间的网络安全是不平衡的,主要是虽然网络利用率较高,但信息的安全问题较多,主要是安全级别较低的业务与安全,没有对网络安全做长远、统一的规划,网络中还存在很多问题。
1.2 职工安全意识有待加强
目前国内电力企业职工的安全意识参差不齐,相较之下,年轻的职工和管理人员其安全意识较高,中年以上的职工和一线职工仍然缺乏必要的安全意识,主要是工作年龄、所受教育、工作后的信息安全培训程度,从事的工作性质的原因造成的,这就为网络安全留下了隐患,加强电力企业信息安全的培训,全方位提高职工网络信息安全意识,避免信息安全防护工作出现高低不均的情况。
1.3 内部的网络威胁仍然存在
在这个科技技术日益发展的时代,网络信息的安全工作越来越重要,由此电力企业根据目前的状况出台了相关的网络安全规章制度,以保证其信息安全,但内部的网络威胁仍然存在,而且对管理人员的有效管理依然缺乏。如:办公计算机仍存在内外网混用情况、内外网逻辑隔离强度不够、企业内网安全隔离相对薄弱等情况,如果其中的一些漏洞被非法分子所利用,那么,电力企业的信息安全会受到严重的威胁,并会对电力企业的生产以及经营带来很大的困难。
2 电力企业网络安全的风险
随着网络技术的发展,电力企业信息系统越来越复杂,信息资源越来越庞大,不管是操作系统还是应用软件,都存在系统漏洞等安全风险,保证电力企业信息安全最重要的是保证信息数据的安全,目前电力企业的网络信息系统的主要隐患主要存在于以下几个方面。
2.1 恶意入侵
计算机系统本身并不具有一定的防御性,其通信设备也较为脆弱,因此,计算机网络中的潜在威胁对计算机来说是十分危险的。尤其是现在的信息网络公开化、信息利用自由化,这也造成了一些秘密的信息资源被共享,而这些信息也容易被不法分子所利用。而有极少数人利用网络进行恶意入侵进行非法操作,危机网络系统的安全,恶意入侵其实是由四个步骤构成的:首先扫描IP地址,寻找存活主机;然后确定IP地址,扫描主机端口和漏洞;接着通过漏洞和开放端口放置后门程序;最后通过客户端程序实施远程控制。由于系统被入侵,电力企业信息泄露会造成不良后果,更严重的是系统被恶意控制,不但会给电力企业本身造成严重的后果,还会给社会和用户带来重大的损失。
2.2 网络病毒的传播
计算机病毒对计算机来说是最普遍的一种威胁,伴随着因特网的发展,各个企业开始创建或发展企业网络应用,这无形也增加了病毒感染的可能性,病毒的危害十分巨大,它是通过数据的传输来传播的,其能够对计算机的软硬件造成破坏,同时它还能够进行自我复制,因此,一旦感染了病毒,其危害性是十分巨大的。
2.3 恶意网页的破坏
网络共享性与开放性使得人人都可以在互联网上所取和存放信息,由于信息的传递和反馈快速灵敏,网络资源的社会性和共享性,电力企业职工都在不断地点击各种网页,并在网络中寻找他们所需要的资源,网页中的病毒是挂靠在网页上的一种木马病毒,它的实质是一些不法分子通过编程来编写的恶意代码并植入IE漏洞而形成了网页病毒。当用户浏览过含有病毒的网站时,病毒会在无形中被激活,并通过因特网进如用户的计算机系统,当病毒进入计算机后会迅速的自我复制并到处传播病毒,使得用户的计算机系统崩溃,严重的会将用户的系统彻底格式化。
2.4 信息传递的安全不容忽视
在电力企业的计算机网络系统中,信息传输基本上是明文方式或采用低安全级别的加密进行传输,当这些企业信息在网络上传输时,其安全性就不能得到足够的保障,不具备网络信息安全所要求的机密性、数据完整性和身份认证。
2.5 软件源代码不能独立控制的隐患
目前电力企业办公计算机、企业级服务器的操作系统以及使用的信息系统软件因为是绝大部分都是商业性质的,所以其源代码是不公开的,这就代表着软件的核心技术是被对方掌握的,其漏洞却大量存在,虽然有系统补丁或者软件升级,但其未公开、未被发现的漏洞对信息安全来说确实巨大的隐患。
篇6
关键词:网络 安全 防范 措施
当你浏览网页结束以后,你的个人信息可能会留在电脑里,比如IE缓存里的账号密码、收藏夹和IE地址栏里的访问后的网址等等。尤其是使用公用电脑上网以后,下一个上网的人能够轻松地了解你到过哪些网站,注册或登录过什么服务。我自己就亲眼见到有人到网吧上网后急着走而忘记关闭QQ的。传统清理个人上网记录方法十分繁琐,需要进入“组策略”或者浏览器设置,不适合新手和追求效率者使用。
1、个人账户安全门
网络个人信息安全从某种意义上讲,其实就是账户密码安全,因为无论是聊天还是网上购物,无论是电子邮件还是虚拟社区,都需要账户密码才能登录,而如果你用的是交易性质的聊天工具,账号密码被盗有可能同时泄露你的网银账号资料,从而直接造成你RMB的损失。
(1)开启账号保险柜在进行上述网络应用之前,事先启动账号保险柜,然后启动相关软件,让账户密码处于保护之中则是不错的安全习惯。
(2)设置高强度安全密码设置各种密码不要贪图好记,用生日、手机号码等个人资料作为密码,很容易被黑客破解,高强度密码规则如下:
尽量设置长密码。因为密码越长,则被破解的可能性就越小;尽量在单词中插入符号;不要在密码中出现你的账号、生日、身份证号、亲人或者伴侣的姓名、宿舍号等;每隔一段时间更新一次账号的密码。新密码不应包括旧密码的内容,并且不应与旧密码相似。
(3)输入密码有诀窍输入密码可以使用如下两种方法提高安全性:用软键盘输入密码,在登录输入密码时,颠倒输入密码,假如你的密码是“1234”,在输入时不要按顺序一次输入,因为如果中了木马,键盘操作是会被记录下来的,你可以先输入“124”,然后把光标移到“2”后面再输入“3”,这样你输入的密码依然是“1234”,但在“木马”看来你输入的就是“1243”,从而保护了你的密码。
(4)删除聊天记录除了账户密码之外,聊天记录也可能泄露你的个人信息,这就需要我们自行保护聊天记录的安全了。
(5)申请密码保护申请各种账号密码时还可以申请密码保护,有的网站比如网易邮箱还能够免费和手机关联,当你忘记或者丢失邮箱密码的时候就能够通过密码保护和手机号来找回密码。
(6)防范网络诈骗在聊天过程中注意不要随意透露自己的网银账号、密码,不要轻易打开和接收不明文件和不明网址,即使是朋友发来的文件也要选择事先已经更新过最新病毒库的正版杀毒软件杀毒后再打开,因为你的朋友同样可能是受害者。不要轻易打开垃圾邮件。对于不明邮件,尤其是可能带有病毒的附件,一定不要轻易打开,直接删除,并把邮件举报给邮件服务提供商,让他们帮你屏蔽此类邮件即可。对于聊天软件中常见的虚假中奖信息,要做到视而不见,以免被骗,同时向官方举报。对于冒充管理人员的骗子尤其要注意,所有的技术人员或者管理人员在任何时候都不会索要你的账户密码,更不会索要你的银行账号
2、如何防治黑客攻击
现在网上黑客猖獗,黑客工具随处可见,它们可以对上的电脑进行恶意攻击。所以上网时一定要注意安全防范,这才能最有效地保护自己的隐私。
2.1 不要乱下软件
不要在网上随便下载软件,特别是一些来历不明的软件,也不要浏览一些不安全的个人或者不健康网站。别人发送的网络链接,在没有确认之前,不要随便点击,很可能是用于网络钓鱼的网站。
相对而言,你可以去一些大站下载需要的软件,如天极,新浪等下载站。
2.2 恶意网页的攻击
恶意网页成了当今的最大威胁之一。要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
在IE浏览器中点击“工具——Internet选项——安全——自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免多数恶意网页中恶意代码的攻击。
2.3 防止木马程序
不要乱下载和乱运行别人给你的程序,因为有些程序可能是木马程序,你如果安装了这些程序,它们就会在你不知情的情况下更改你的系统或者连接到远程的服务器。这样,黑客就可以很容易进入你的电脑。
2.4 设置强大的密码
前面已经讲过,设置一个好的密码对你的安全有很大的帮助,所以密码最好不要自己的生日、电话号码或一些简单的字符组合,因为别人可能通过穷举法进行破解并入侵。设置电脑一定要采用大小写字母、特殊符号、数字相结合的方式,确保密码长度在八位以上,而且每隔一段时间更改一下密码。
2.5 不要轻易使用摄像头
通过摄像头泄露个人隐私的事件非常的多,黑客入侵电脑后,可以轻易打开你的摄像头,所以拔掉与电脑的连接线,或者对准墙壁、在摄像头上盖块布是不错的防范方法。
2.6 防范间谍软件
间谍软件附着共享文件、可执行图像以及各种免费软件当中,在用户不知情的情况下,悄悄潜入用户的系统。间谍软件可以跟踪上网习惯,记录键盘操作,捕捉并传送屏幕图像。如果间谍程序进入Windows系统,往往会成为不法分子手中的危险工具。
篇7
[关键词]电力信息网络;安全防护;安全隔离技术;应用分析
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2016)19-0399-01
前言
电力资源是我国目前应用最为频繁的资源,其作用意义重大已然得到了举国重视,作为我国的重点行业,电力企业要想不断做好自己的本职工作,并在此基础上继续提高发展,就要顺应时代的变化作出适当的改革转变,科学技术水平的提高将网络信息化的普遍程度推广到了各行各业,电力系统也不例外,网络信息化极大地改善了电力系统工作的状态,提高了供电服务的质量,加快了供电服务的效率。为此具有十分重要深远的意义。但是,电力信息网络也存在着一些安全上的问题,所谓安全大过天,安全一直是电力企业放在首位的工作重点,电力资源的特殊性决定了其具有一定的危险系数,因此,要保障居民用电安全不受影响,就必须加强电力信息网络的安全管理,合理利用安全隔离技术,积极做好安全防护工作。
1.电力信息网络的安全隐患
1.1 结构复杂
电力信息网络的工作十分繁杂,为此涉及到大量的数据信息,而每一个数据信息的运算背后后关系到电力信息系统的业务工作,如果这些数据受到外界的攻击,发生了丝毫差错的话,就会危及影响到整个电力系统的发展。
1.2 缺少防护
电力信息网络安全问题直接关系到我国电力企业的发展前景,可以说在电力系统中占有着举足轻重的地位,然而,与其重要性十分不相匹配的是,我国电力信息网络缺少足够的防护措施,始终处于一种暴露状态,一旦有不法分子侵入信息网,将会控制到电力系统的数据,给电力系统工作带来损害。
1.3 认知不足
我国电力系统的很多业务人员工作年限都非常长,不缺乏实际工作的经验,但是由于年龄增加,对于新事物的接受能力越来越弱,对于先进科学技术与科学设备的应用能力较差,且缺乏对其重要性的认知,因此其技术水平仍然止步不前。在工作上难以得心应手,而且没有良好的、积极的工作态度。
2. 网络安全隔离技术的概述
网络隔离技术所利用的原理是,将两个,或者两个以上的计算机或网络,处于一种断开连接的状态,即使如此,仍然能够实现信息交换与资源共享。那就意味着,一旦将安全隔离技术应用在电力信息网络时,就对电力信息网络实行了物理隔离,让其既能在安全的环境下继续工作,又能保障不受网络稳定性的影响,提高信息交换与资源共享的效率。保证了数据的准确性,也就保障了电力系统服务工作的质量。目前我国网络安全防护工作主要还是采用病毒软件、防火墙等工具方式进行,防病毒软件的应用是安全防护的最常用措施,针对性很强,但是需要不断更新。相比而言,安全隔离技术是具有很大优势的,如何将安全隔离技术优势发挥到最大,就要在实际应用中保证技术的合理与达标。
3. 安全隔离技术在电力信息网络安全防护工作中的应用分析
3.1 通用网闸类技术
通用网闸类技术指的是利用两个完全独立的计算机来处理系统两端连接的不同安全等级的网络,这样的话,在两套完全不一样的系统中,进行数据的交换往来,就能够确保内网、外网都做到同步隔离。通过对http协议进行数据分析,来实现数据访问安全的控制。
3.2 双网隔离技术
“网闸类技术的安全强度能够满足信息网隔离要求,但这种技术适合于各个业务系统分别布置在不同的分级区域中,而且这种装置还无法对数据库专用通信协议进行解析和强过滤,不能满足现有电力信息内外双网隔离的架构与需求。”[1]与网闸类技术相比,双网隔离技术在应用强度上要更胜一筹,将电力信息系统中不同业务信息进行分类处理,采取内外双网方式进行隔离,信息外网与因特网采用防火墙相连,安全防御的等级较低,容易受到病毒等因素的危害,但是外网与内网之间不存在网络关系,所以内网的安全防护等级非常高,适宜存储电力系统中各业务的重要数据。
3.3 其它常见安全隔离技术
除了上述两种隔离技术,数据库审计类技术和隔离类技术也较为常见,审计类技术主要是指对一般数据库服务器上的作出监测,采用基于协议解析的技术路线对数据库日志进行旁路分析与记录。
结论
“目前我国电力企业信息系统安全事故频发”[2],这充分说明我国在电力信息网络化的工作中做的仍不到位,电力事业直接影响着我国经济水平的提升发展,关系到人民日常生活的用电安全,因此“电力企业需要高度重视信息网络安全”[3]工作,针对目前出现的问题,做好切实有效的防护,利用安全隔离技术让信息化系统变得更加高校安全,为用户提供放心满意的供电服务。
参考文献
[1] 陈悦.探讨电力信息网络安全防护中的安全隔离技术应用[J].大科技,2012(04):68-69.
[2] 张敏.电力企业信息系统安全防护措施探讨[J].计算机光盘软件与应用,2013(04):175-176.
[3] 任春雷.电力信息网络安全防护及措施研究[J].商品与质量,2016(05).
作者简介:
1孙川,男,河南鹤壁浚县,1984年8月生,大学本科,国网河南浚县供电公司职工,工程师,主要从事电力信息,网络与安全等方面的工作。
篇8
关键词:网络安全;有线电视网络;安全管理
中图分类号:C93文献标识码: A
一、有线电视中心的网络安全
在有线电视网络中心可能会产生各式各样的网络安全问题,网络安全问题比较复杂,因为网络通常为分内网与外网,外网安全问题大多集中于网络侵略,如未授权访问,数据完整性损坏,拒绝攻击与邮件夹藏病毒等。网络安全不能只局限于外网的防备,更应该对内网安全导致满足的重视,因此在内网采纳适当安全措施对于有线电视网络中心的网络安全具有更重要的含义。据有关统计数据显现,当前已发作的网络安全事件约有70%都是发生于内网。内网易发生的安全问题主要有资源共享访问操控策略、非授权访问、数据灾难性损坏、网内病毒等。
二、有线电视系统的主要框架
有线电视体系分为三大多数:前端体系、传输体系和用户接入体系。原来的有线电视前端体系主要是对转播信号进行接收、解调、调制、混合等,信号源都是模拟的,处理进程都是以硬件为基础,计算机基本是作为用户登记及管理用的。本来的设备基本没有网管体系,即便有也是根据各家公司专有的协议,两家公司设备之间的网管基本无法兼容。而如今的有线电视前端体系除了坚持了对原有模拟信号的处理外,还增加了数字电视信号处理设备及播出设备,如编码器、视频服务器、体系复用器以及具有各种功能的服务器等,还有数据信号处理部分,如与因特网有关的路由器、防火墙,还有与收费有关的有条件接纳体系。通常情况下,这些具有不一样功用的设备除了硬件体系外,还需要有软件的支持才能履行各项功能。通常说来,这些计算机构成局域网,大大方便了部分内各种信号或部分间各种信号的无失真传递、处理,这些设备除了具有各家公司的网管体系之外,通常都配有第二层的IP地址,经过IP地址以WEB方法对设备运转状态监测。
随着这些新设备的参加,有线电视的安全性就显得愈加重要。当前有线电视体系的安全性包含以下几个方面:一是保证多媒体信息来历的可靠性,避免信息的不合法复制和修改。在数字年代,因特网迅速开展,信息在网上广为传达却无法区分信息的真实性与可靠性,而信息的复制是轻而易举的事,因而怎么避免信息的被复制、篡改是首要的使命之一。二是保证传输中内容的私密性。信息内容在传输之前均需通过加工才能进行,怎么挑选适宜的加密算法也是重要的使命之一。三是保证多媒体信息不被不合法分配及盗取。因为传统有线电视体系的业务对比单一,收费也是以低价的包月制方法为主,有线电视运营商只能被动地收取有限的收视费,而对欠费者的制裁手法不多。因而怎么保证有条件接纳体系的安全性是有线电视良性发展的关键。
三、有线电视系统有关的安全技术
1、水印技术
在模拟信号年代,由于各种信息存储在胶片、磁带和录像带中,模拟信号经屡次复制后信号质量将严重降低,使得经过大规模不合法复制来取得商业利润的时机不多。而在数字年代,数字信息可以完全无失真地被复制和存储,并且没有任何机制可以跟踪到任何能够对数字信息进行不合法复制和篡改的进程。数字水印即是把一串离散的数据流即水印隐藏在多媒体源信号中,而这水印的插入对源信号的改动基本是不易觉察的,这个进程需求运用密钥来成功地嵌入和获取水印。数字水印可防止多媒体信息的不合法复制和篡改,由于数字水印表明的即是版权维护的标识。各种侵入力气总是想方设法来移走水印标记。而对于我们,则有必要极力做到没有密钥水印是无法去掉和修改的。
数字水印的加入有以下特色:不易发觉性:参加水印的信号与本来的信号根本看不出有什么变化;离散性:没有授权的信号水印的获取是十分艰难的;易获取性:对授权的信号水印的获取是十分简单的;强健性:可以充沛防止偶然或有意的破坏等。
当前数字水印技能已用于DVD碟片的防盗上,而很少在有线电视数字信号中运用,这是由于当前的数字电视还刚刚起步,用于数字电视的机顶盒芯片的运算速度较低,根本不带硬盘,其撑持的功用也比较小。而随着新的使用业务的增多,机顶盒芯片的运算速度越来越快可以撑持多码流及自己视频录像,可以支持外挂可选处理器,使得通过网络传输后到达用户终端的信息流存在不合法传播的可能。有条件接纳系统仅仅针对不合法接入疑问,而对合法接入后的不合法操作是无法控制的,而水印技能就很好地处理了这个问题。
2、有条件接收系统
在有线电视系统中,有条件接纳系统是有线电视收费的技能保障,它通过对有线电视体系的数字信号进行加扰、加密后传输,在用户端只要付费或取得授权的用户才可观看。在这种体系中,对节目接收的操控首要涉及到两种技能:一是对数字信号进行加扰、解扰的办法;二是对解扰的操控的办法。体系输入一个操控字给加扰器,以保证只要通过授权的解扰器才干能操控字对传送过来的流进行解扰。目前,常用的有条件接收体系中对操控字的传递及管理首要有两种机制:根据密钥的机制和根据算法的机制。根据密钥机制的有条件接收体系要保证密钥在传输过程中不被非法截取和破译,根据算法的有条件承受体系要保证智能卡中各种算法不被攻破。有条件接收体系一起处理了信息内容在传送过程中的私密性和收费操控问题。
3、计算机网的相关安全技术
因为有线电视的前端体系已不是单个的广播电视设备,而是在同一个局域网中的各个设备,这些设备不只互相之间要进行通讯,同时也与因特网之间频频进行通讯。因特网安全问题首要包括:怎么避免灵敏信息被随意地访问,如用户数据库内容、片源数据库等;怎么维护网络及其资源,以防黑客的故意损坏。局域网外的用户经过与因特网衔接的服务器,运用各种方法不合法访问各种灵敏信息,并随意进行不合法修正、复制与删节等;局域网内的用户也因为某种原因十分“关心”与工作无关的数据信息,然后形成信息的泄露等事情。一般来说,添加防火墙,建立访问操控权限,口令设置,运用数字签名,以及对敏感数据进行加密后存储、传送等方法都能有效地保证网络的安全性,但没有哪种技能可以保证网络是绝对安全的。有线电视体系的前端是整个体系的心脏,因此保证网络的安满是至关重要的。
四、有线电视中心的网络安全管理措施
1、病毒防控
内网常常遭到潜伏于电子邮件、盗版光盘等介质中的病毒的威胁,关于有线电视中心的网络更要加强安全意识,因为只要有一台计算机遭到计算机病毒感染,就能在很短时间里经过局域网迅速扩散至网络中每台计算机,形成影响节目制造、文件丢掉、信息泄漏等不安全后果。因此要进步病毒防范意识,拟定严密的防控计算机病毒计划,加大对防止计算机程序中恶意代码、广告软件等的潜在危险有关技术的加强。中心要运用正版杀毒软件并及时升级,对服务器客户端的写入权限进行严格控制,网管定时对服务器进行杀毒,加强对写入数据、服务器安全性的有效监控,并在客户端安装防控广告与间谍等非正常软件的管理软件。
2、应用系统的安全置
2.1操作系统安全配置
通常选用正版Windows2003操作系统,对系统定期进行升级打补丁。默认共享设为禁止,本地策略管理工具的安全选项中将不显现上次登录用户名设为开启。不必要端口、TCP/IP上的NetBIOS及Guest帐号都要禁用,并且将guest密码设为相对复杂的密码。操作系统自带的防火墙要开启并改变端口设置,同时开启审核策略。
2.2数据库安全配置
数据库通常采用正版网络版SQLServer2000,并采用安全密码策略,将sa密码设为相对复杂的密码,提高安全性。IPSec中对1434端口的UDP通讯要禁止使用,尽最大程度对SQLServer的隐藏。为提高IP数据包安全性,应采用操作系统本身的IPSec。
3、管理员工具
在采用上述几点安全措施基础上,网络管理员还应选定Ping、TCP/IP协议探测、Netstat等监控工具以提高网络的安全性。网络管理员采用这些工具可对网络有关统计信息以及网络连接情况得到详细统计分析结果。
结束语
对于有线电视中心来说,网络安全涉及很多方面,安全隐患的防备虽然不能完全避免,但可以经过采纳各种有力的安全措施将其降低到最低程度,在实践工作中对于不同状况进行分类处置并不断探索完善,使有线电视中心的网络建造与应用相互推进,为推进有线电视技术的不断发展做出应有的贡献。
参考文献
[1]姜延辉.有线电视网络中心的安全管理[J].黑龙江科技信息,2013,15:164.
[2]左美懿.广播电视网络安全监控技术[J].信息通信,2014,01:156.
篇9
关键词 网络设备;加固;电力
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
参考文献
篇10
【关键词】:信息;网络;安全管理;策略
1 引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,我供电公司也在由企业信息化向信息化企业不断的迈进。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。计算机病毒的泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络等各类网络安全的威胁开始蔓延到应用的环节,其中Windows占70%,UNIX占30%。因此网络的信息安全防护是一个至关重要的问题,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。网络的安全防护措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。本次调研也正是基于此目的。
2 信息网络安防的加密策略和安全策略技术
2.1 目前计算机信息网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还有可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下三种:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,恶意的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善导致的。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
2.3 计算机信息网络的安全策略
(1)物理安全策略。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
(2)访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
3 安防管理措施
针对我供电公司目前的网络现状,提出以下几点安防管理措施。
3.1 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。用户帐号只有系统管理员才能建立,管理员对普通用户的帐号使用进行控制和限制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。同时对所有入网用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,给出报警信息。
3.2 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以通过访问控制表来描述。
3.3 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权 限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。网络系统管理员为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
3.4 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
3.5 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
3.6 防火墙控制
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
