时间:2023-06-06 09:01:19
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全研究现状范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
由于信息技术高速发展,越来越多的人开始重视互联网的安全问题,互联网中包含了大量的用户信息,会导致出现网络安全问题,这也对人们使用互联网造成了一定的影响。只有认真分析当前网络安全的现状,找到问题的关键,并根据出现的问题找到本质,才能更加有针对性地解决网络安全问题,让广大用户更加安心的使用互联网。
一、网络安全的发展现状分析
1.安全工具的应用缺少相应规定。互联网由于使用范围广的原因会涉及到生活和工作的方方面面,这就会产生很多种类的安全工具,但是没有统一专业的管理,这就让网络安全系统中会存在用户滥用的情况。由于种类繁多,系统的安全软件缺乏必要的安全技术作为支撑,会让黑客对这种情况加以利用,破坏网络的安全管理工作[1]。网络安全工具一旦被黑客利用,就会对网络进行攻击,产生巨大的安全隐患。
2.固有的安全漏洞变得日益明显。互联网的安全系统往往都会存在不同程度的漏洞,这些漏洞中难免会存在设计人员故意操作,为的是以后一旦发生意外,可以更加顺利地进入系统。但是就因为这个漏洞,一些非法的人员,就会充分利用这个黑洞,对系统进行破坏和攻击。更有甚者,破坏者会根据这些漏洞,发现一些链接,不但能够增加网络系统的负荷,在用户再次使用的时候出现“请求超时”的字样,还会通过一些渠道传播这些链接,严重损坏网络的正常使用。
3.网络设备本身存在的安全问题。网络设备自身也会存在一定的安全问题,这些安全问题一旦被有某些意图的人发现并加以利用,就会严重影响到网络的安全。例如,众所周知,互联网分为有线和无线网络,有线网络相对比无线网络更加容易出现问题,这是因为,黑客可以利用监听线路,以此对信息进行收集,这样就可以得到大量的信息[2]。与此同时,通过有线的连接,一旦其中的某一个计算机受到的病毒的袭击,那么会导致整个网络系统变得瘫痪,整个网络都无法再次使用,引发严重的网络安全问题。
二、未来网络安全技术发展的趋势
1.网络安全技术产业链要转变成生态环境。网络技术在最近几年不断发展,并开始进行了跨界合作,这让网络安全技术的概念发生了转变。网络安全技术已经不仅仅是技术产业链,而是在产业链中不断有新的进入者,打破传统的思维模式,寻找更加优秀的开发商和战略合作伙伴。产业价值链在计算机产业和行业融合的大军中,不断成长,也发生了很大的转变和分化、重新组合,导致价值链有着越来越复杂的结构[3]。由于参与者之间也存在竞争关系,现如今已经使用“生态网络”来描绘网络安全技术的产业链。生态环境的生存法则就是:任何环节都是有可能被替换,这将取决于他的整个影响力;此外,生态环境具有很快的发展速度,参与者需要具备较强的适应能力和观察力。
2.网络安全技术优化向智能化、自动化方向发展。网络安全技术的优化过程是长期的,并能够贯穿整个互联网发展的过程。网络优化的步骤是:对采集的数据进行分析,并进行跟踪,对信息进行测试,分析等,通过对整个网络安全技术进行分析,才能够找到问题的本质,通过改善网络的软件和硬件的配置,能够促使网络的最佳运行模式,高效利用有限的资源。网络优化不断发展,并逐渐朝着智能化和自动化的方向发展和进步,出现了人工智能专家,这就打破了原有的思想,通过智能决策支持系统,可以更加有效地对机制进行运用,针对网络中存在的问题,网络优化人员能够给出合理的解决方案。
3.向大容量网络发展。互联网技术的不断发展,使得原有的数据业务无法满足当今的使用需求,这就对路由器以及交换机的处理能力提出了更多的需求。未来每过10个月,互联网就能够增长一部的宽带,以此来支持业务的发展需求。网络技术就是朝向大容量网络发展,也可以通过交换硬件,以此来转发引擎,提供了使用的性能。通过使用大容量交换矩阵和网络处理器,都让网络安全得到保证,解决了可能出现的安全问题,这已经得到了普遍的共识。总而言之,由于互联网技术的出现,人们的生活和工作都有了极大的便利,但是互联网能够传递大量用户的使用信息,网络安全受到了广泛的关注。只要不断进行分析和研究,找到问题的本质,并加强技术的发展,提供更加安全和优质的网络服务。
参考文献
中图分类号:TP393 文献标识码:A
作为网络安全态势感知(Network Security Situation Awareness,NSSA)研究的核心内容,网络安全态势评估已经得到了国内外的广泛关注。
Time Bass于1999年在文献中首次提出网络安全态势感知的概念,其目的是关联相互独立的IDS以融合攻击信息用于评估网络安全。同年,Andrew Blyth在文献中提出了通过观察黑客的攻击足迹从而进一步定性地评估网络受到的安全威胁。但是他们仅限于理论上的研究,并未对理论模型进行实现。2001年,Information Extraction & Transport在研究攻击的检测方法和攻击对网络安全的影响时,为了检测广域计算机的攻击和评估态势响应,开发了一种SSARE工具,将理论方法付诸应用,但是由于该工具所用方法过于依赖专家主观经验,因此为了解决这个问题。
2005年,Jajdia等人以检测网络系统弱点为目的,设计了一种拓扑弱点分析工具TVA,该工具可以通过分析拓扑弱点来评估网络的安全状况。2011年,Gabreil Jakobson等人在文献中提出了影响依赖图的概念,设计了基于影响依赖图的网络安全态势评估方法,加强了对复合攻击的评估。2012年,Stephen E.Smith在文献中提出综合利用现有网络安全工具,包括流量分析工具、脆弱性扫描工具和入侵检测系统等,以便于全面评估和保护网络安全,并以现有工具的集成为目的对系统进行了设计。
国内学者对网络安全态势评估方法的研究相对较晚,理论及应用研究均亟需进一步提高与完善。
为了综合考虑攻击和脆弱性对网络安全的影响,考虑到攻击和脆弱性之间存在对应关系,韦勇于在2009年提出了通过匹配攻击所依赖的脆弱性信息与目标节点的脆弱性信息来获取攻击成功支持概率。基于对攻击和脆弱性之间、脆弱性和脆弱性之间的关联关系的考虑,刘刚于2012年针对网络中节点的漏洞和攻击层面的风险分析需求,提出了漏洞信度和攻击信度的概念,做到了将网络中的漏洞信息和攻击信息进行关联。王坤等于2016年通过对已有网络安全态势评估方法的分析与比较,提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意图与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移图(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。
对以上研究现状进行分析可知,国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此,根据研究侧重点的不同可以将网络安全态势评估方法分为三个基础类:面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。对三类网络安全态势评估方法的介绍见下表。
参考文献
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
doi:10.3969/j.issn.1673 - 0194.2015.24.068
[中图分类号]TM73 [文献标识码]A [文章编号]1673-0194(2015)24-00-01
随着计算机技术的不断发展,其被广泛应用于电力行业网络信息管理中,但随着网络平台开放性的不断增加,信息网络安全问题也逐渐引起了人们关注,在此基础上,为了给予用户一个良好的网络服务平台,要求当代电力行业在发展的过程中也应注重对信息网络安全措施的应用,以此达到良好的信息管理目标。以下就是对电力行业信息网络安全现状的详细阐述,希望能为当代电力行业的健康稳定发展提供借鉴。
1 当前电力行业信息网络安全现状分析
1.1 安全防范意识薄弱
经过大量的调查数据表明,我国互联网用户正在以每年34%的速度持续增长中,因而在此背景下,安全防范意识的薄弱会在一定程度上影响信息管理工作的有序开展。同时,当前电力行业在信息网络安全管理中也逐渐凸显出防范意识较为薄弱的问题,即部分电力部门在内部数据整合过程中未实现网络安全维护平台的构建,导致信息管理人员在实际工作开展过程中无法全面掌控到信息管理现状,导致信息安全风险问题凸显。此外,未实现对本单位网络安全现状的清晰认知也是当代电力行业信息管理中体现出的主要问题,为此,电力行业在发展的过程中应提高对此问题的重视程度,且应注重培养信息管理人员形成主动预防意识。
1.2 病毒泛滥
近年来,随着网络病毒侵袭案件的不断增多,公安部门出台了《第九次全国信息网络安全状况与计算机病毒疫情调查报告》,并在报告中明确指出网络病毒侵袭事件已经占据了全部类型的70%,为此,应注重强化对其的有效处理。此外,从电力行业信息安全网络现状分析中也可看出,随着计算机病毒木马品种的不断更新,其对杀毒软件的整体能力也提出了更高要求,但由于部分电力部门未引进新型的杀毒软件,导致其在实施信息管理工作的过程中逐渐凸显出病毒泛滥的现象,最终由此影响到整体信息管理水平。另外,由于网络病毒主要存储于网页及移动介质中,在此基础上为了提升信息管理的安全性,要求电力部门在发展的过程中应注重结合病毒传播特点采用有针对性的病毒防御手段。
1.3 存在系统安全风险
系统安全风险也是影响电力行业信息网络安全管理的因素之一,而导致系统安全风险产生的原因主要归咎于以下几个方面:第一,在电力系统网络运行过程中需要通过服务器及交换机系统来开展服务环节,但由于部分电力部门此类系统中存在着一定安全漏洞,致使其在网络信息管理过程中易受到系统安全风险的影响而凸显出服务器配置错误现象,最终由此影响到信息的有效管理;第二,网络通讯缺乏相应的安全机制也是系统安全风险的主要问题之一,为此,电力部门在开展网络信息管理工作的过程中应着重对其提高重视。
2 提升电力行业信息网络安全的对策
2.1 加强系统漏洞扫描
在电力行业信息网络安全管理中加强系统漏洞扫描是非常必要的,对此,首先要求信息管理人员在实际工作开展过程中应注重强调对系统安全脆弱性的检测,继而在掌握系统实际运行状况的基础上,及时发现计算机系统应用过程中存在的安全风险问题,并对此问题展开有效解决,最终达到良好的安全漏洞处理状态。其次,在系统漏洞扫描过程中注重对漏洞扫描技术的应用也至关重要,即有助于促使电力行业在复杂的网络环境中能对网络层及操作系统层展开有针对性的扫描行为,并将扫描结果以安全评估报告的形式展现出来,提升电力行业信息网络安全管理的整体效率。
2.2 加强网络安全教育
加强网络安全教育有助于提高电力行业信息管理人员信息安全防护意识,因而在此基础上,当代电力行业在发展的过程中应强化对其有效落实,且应注重安排相关工作人员参与到培训项目中,使其在培训过程中形成良好的网络安全意识,并在实际工作开展过程中加强信息安全防护措施的实施,最终由此避免安全风险的产生影响到信息网络安全的有效管理。此外,在网络安全教育工作开展过程中注重宣传网络病毒防护也非常必要,即其有助于相关工作人员在信息管理的过程中规范自身操作行为,避免不规范操作现象感染网络病毒。
3 结 语
就电力行业信息网络安全管理现状来看,其在实施信息管理工作的过程中仍然存在着系统安全风险、病毒泛滥、安全防范意识薄弱等相应的问题影响到了信息管理工作的有序开展,因而在此背景下,电力部门在发展的过程中应从加强安全教育工作入手来引导信息管理人员在实际工作开展过程中提高自身网络安全意识,避免系统安全风险的产生影响到信息的安全性。另外,系统漏洞扫描行为的开展也有助于信息网络安全的管理,为此,对其应提高重视。
主要参考文献
计算机网络的出现,改变人类生活,缩短了人与人之间在时间、空间上的距离,虽然计算机网络发展时间并不长,但人们对其依赖程度却不小,人们会将很多信息都存储到计算机上,但计算机网络安全问题也逐渐增多,很容易给企业、个人带来损失,因此,做好计算机网络安全防御就成为现阶段最重要的工作。
1 计算机网络安全现状
虽然我国应用计算机网络的时间并不比国外短多少,但存在于计算机网络安全中的问题依然没有得到彻底解决,严重降低了人们安全使用计算机网络的信心,尤其近年来,利用网络进行破坏活动的不良分子逐渐增多,因此怎样减少网络犯罪,提高计算机网络安全性就成为人们最关心的问题。对于计算机网络安全情况具体可以从以下几点看:
1.1 硬件缺陷
对于计算机网络来说,在运行中最不可缺少的就是硬件,它是计算机运行的根本,然而,现有计算机网络却存在严重的硬件缺陷问题,很容易出现网络信息失窃等情况[1]。在众多的硬件缺陷中,最严重的莫过于电子辐射泄露,一旦发生这种情况,存储在计算机中的重要信息都会丢失,这也是计算机网络中最难解决的问题。此外,信息资源通信部分还存在安全隐患,特别是各种用于传输信息的线路很容易被非法分子截取,进而引起信息泄露与丢失。
1.2 操作系统不健全
计算机是否安全与网络有直接关系,用户在使用计算机的过程中,需要利用操作系统连接网络,并进行相应操作,如果操作系统不健全就会给计算机安全带来威胁,如果操作系统内核技术过于落后,面对复杂的网络环境,很容易出现操作失误的情况,进而引发网络安全危机。所以,一定要重视计算机操作系统的维护,及时修补系统漏洞。
1.3 软件把控存在问题
通过研究计算机网络安全问题得知,由于软件把控存在问题的事件数不胜数,其主要原因是相关工作人员并没有重视软件把控,使得软件市场十分混乱,部分设计本身存在缺陷的软件也被不明所以的用户安装使用,这样一来,就给计算机网络安全带来巨大威胁,所以,相关工作人员与部门应重视对软件的把控,认真检查所有软件,只有这样才能减少安全事件的发生,确保财产不受损失。
2 计算机网络安全防御技术
2.1 防火墙技术
为加强计算机网络安全防御,首先要从防火墙设置入手,设置好防火墙可以确保信息安全,并根据系统设置自动确定是否进行数据传输。对于防火墙而言,它既可以是计算机上的一个硬件,也可以是安装在硬件上的软件,在设置完防火墙以后,可以确保信息顺利传递,保证工作顺利完成[2]。同时,将防火墙应用到计算机网络中,用户还可以清楚的了解到其访问情况,并从中获得自己想要的数据。防火墙技术的应用可以保护内外网络,它是最可靠最常用的网络安全防御技术之一。
2.2 加密技术
为做好信息安全保护工作,还要做好信息编码工作,将重要且真实信息隐藏起来,以便实现对用户数据的保护,这就是常说的加密技术。对于数据加密来说,可以采用三种方式,一种是对链接进行加密,也就是对网络节点加密,由于节点不同,所设置的密码就不同,这样一来,只有信息融入到节点以后才能完成解密。第二种是节点加密,这种加密方式与衔接加密十分相似,其差别在于数据在节点传输的过程中,并不是用明码格式加密,而是需要应用到类似保险箱之类的设计,然后再解密或加密[3]。第三种,首尾加密,这种加密方式应用较多,就是在数据进入网络后再加密,并在数据传输前完成解密。这些加密技术都可以保护计算机网络安全,
2.3 病毒防御技术
随着科技与网络技术发展,计算机网络也随之不断发展,信息传输速度也越来越快,尽管方便了人们使用,但同时也给计算机网络安全使用带来较大威胁,如病毒传输速度也随信息传输速度的增长而增长,一旦病毒入侵到计算机,就会在很短的时间内遍布整个网络,给人们生产生活带来无法估计的损失。为减少病毒对计算机网络的侵袭,强化病毒防御就成为最重要的工作。对于病毒防御技术来说,应全面监测与扫描网络传输中的各个文件,并自动识别非法信息,如果用户在利用计算机对某些文件或网站进行访问的过程中,病毒防御系统检测出存在病毒,就要给予用户提示,并强制用户关闭该网页,这也是减少病毒入侵的有效方式。
2.4 身份验证技术
要做好计算机网络安全,防止存储在计算机中的信息不受非法利用,就要做好密码身份验证,只有这样才能确保信息完整。所谓的身份验证技术来说,最重要的就是对使用计算机的人员进行身份核实,在用户开启计算机以后,系统会将经验证信息自动发送到界面上,以便了解用户是否合法,如果通过验证,用户就可以访问与使用计算机,如果验证失败,用户将被限制使用权利,计算机也会自动关闭。此外,为保证计算机网络安全,还需要将审计与跟踪技术应用到计算机网络中,该技术的作用就是检查与记录业务往来情况,该技术的典型代表有入侵检测系统,其主要作用是防止不良分子进行网络攻击,及时弥补防火墙漏洞,并通过这样的方式逐步扩大管理员管理范围,保证计算机始终处于安全运行状态,进而完善信息安全结构[4]。
3 结束语
通过研究发现,计算机网络已经成为现代人生产生活中不可缺少的一部分,很多人都将重要信息存储在计算机上,保护计算机网络就等于保护财产,但由于受多种因素影响,计算机网络安全问题层出不穷,这就需要相关工作人员做好网络安全防御设计,应用最新防御技术,只有这样才能逐步提高计算机网络安全性,防止企业与个人遭受损失。因此,本文联系实际情况,提出了几种加强计算机网络安全的防御技术,希望能为相关人士带来参考。
参考文献
[1]朱玉林. 计算机网络安全现状与防御技术研究[J]. 信息安全与技术,2013,01:27-28+56.
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)21-0140-02
随着信息时代的日益深入,人们对网络越来越依赖,互联网逐渐成为了人们生活的一部分。互联网本质上是对所有人群开放的网络系统,然而由于网络用户在系统安全和信息保密方面的缺陷,加上网络技术快速发展带来的破坏和攻击威胁日益加剧。本文系统介绍了网络安全的含义、特性,同时对网络安全进行了现状分析,并且提出了几种主要的安全威胁,最后提出了相应的防范对策来增加网络的安全性。
1 简介
1.1 概念
网络安全就是指利用各种管理措施和网络技术,对系统软件、硬件以及数据等进行保护,避免其受到恶意或偶然的泄漏、更改或破坏,保证网络系统的完整性、可用性和保密性。对于网络安全的定义,不同的应用环境和不同的角度会有不同的概念。
1.2 特性
1)保密性,保密性就是指对于没有授权的用户无法访问数据。保密性包括数据存储保密性和网络传输保密性两个方面。通过控制访问来实现保密性指数据存取的保密性。通过同股沟加密传输数据来实现保密性称为网络传输的保密性。
2)完整性,完整性就是指数据未经授权不可以更改,也就是说保证在传输或存储数据的过程中保证数据不被破坏、修改以及丢失等。
3)可用性,可用性指的是实体在授权的情况下,当需要时可以访问和存储所需信息。
4)不可抵赖性,不可抵赖性指的是信息交互时要对参与者进行同一性确认,参与者不可以对曾经的承诺和操作抵赖或否认。
5)可控性。可控性指的是人们控制信息传播内容、范围以及途径的能力。
2 现状
在国内,网络安全产业是一个新兴产业,发展不成熟,即便网络用户知道网络存在的安全威胁,也不清楚这些威胁的来源、起因和后果等。网络安全威胁主要包括有意和无意两种类型。无意威胁指的是自然灾害、设备故障以及人为误操作等方面,有意威胁主要是指计算机犯罪、窃听等人为破坏。
1)人为失误。人为失误主要是指人无意的行为,比如说操作不、口令丢失、资源访问失当、配置失调以及不小心让无权限人进入网络等,这些都会极大地威胁网络系统的安全性。
2)病毒。网络病毒对于计算机网络安全的危害最大,它具有隐蔽性、潜伏性、传染性、可触发性以及繁殖性等特点。病毒入侵网络会造成网络资源的破坏或损失,不但会浪费财富和资源,还会导致社会性灾害。病毒在以前主要是对计算机内部的信息进行破坏,导致系统瘫痪,而目前的病毒一般结合黑客程序,使得用户的敏感信息被窃取,造成巨大的危害。
3)非法入侵。非法入侵指的是未授权实体非法进入、访问或破坏网络资源,也就是常说的黑客。他们通过一定的网络技术非法得到访问权限,进而进入网络系统达到窃取或破坏用户信息的不良企图。黑客具有攻击性强和隐蔽性好等特点,目前缺少对其反击的有效措施,使得黑客成为了主要的网络威胁。
4)管理不当。通过严格管理网络通信系统可以保证企业、机构及用户免受攻击。然而,很多企业或系统都很少重视这方面的管理。目前,美国大部分网站都会遭受到黑客的攻击,约有75%的企业信息都有可能被盗用。此外,管理的缺陷还可能造成系统内部人员窃取内部机密或者泄露机密或外部人员通过不正当手段截获而导致公司内部机密信息泄露,从而使一些不法分子有可乘之机。因此,加强内部工作人员的监管督导也显得格外重要。
5)网络的缺陷及漏洞。由于Internet共享性和开放性的特点,使得网上信息安全本身就存在不安全性。因为TCP/IP协议本身就缺乏牢靠的安全机制,而且因特网在设计的过程中也没有太多考虑安全问题,因此它在安全可靠和方便性等方面存在着很多的不足。
6)隐私及机密资料的存储和传输。假如系统遭受到黑客的非法攻击,网络系统内的机密资料,如不采取防卫措施,很容易被黑客跟踪最终导致信息泄密。同样,机密资料在网络中传输,由于要经过多个子系统的节点,而每个节点安全性都难以保证,因而信息在任何情况下都有可能被盗取。
3 防护措施
网络安全的保证要依靠多种网络技术的综合运用,主要的网络安全技术有以下几种。
1)虚拟网络。虚拟网络的基础是局域网、以太网及ATM的交换技术,保障信息准确到达目的地,避免了网络监听的非法入侵,利用控制访问的方法,保护虚拟网络内部节点不被网络外部节点访问。
2)防火墙。防火墙主要是使得网络间的控制访问得到加强,避免网络外部用户的非法访问入侵,确保网络内部安全的操作环境。
3)病毒防护。病毒防护是指对病毒的传播进行阻止,检测和消除病毒,升级病毒数据库、安装ActiveX和Java软件,对未授权的控件安装或下载进行控制等方面。
4)检测入侵。检测入侵能够对入侵检测进行实时供应,从而采取防护措施,可以应对网络内部的安全威胁,可以使得黑客入侵时间缩短。
5)安全扫描。联合安全扫面、系统监控以及防火墙技术可以使得网络的安全性得到很很大的提高,安全扫描器虽然不可以实时监控,但是可以对系统安全性进行检测和评估,可及时发现系统漏洞。
6)数字签名和认证。数字签名和认证的目的是解决通信双方在通信过程中的身份确认,通信传输过程中的不可否认的实现也是通过数字签名完成的。
7)VPN。VPN主要是负责为因特网提供双向安全通信和透明加密方案,从而使得数据信息的保密性和完整性得到保障。
8)系统应用安全。系统的应用安全相对复杂,它主要涉及操作系统安全、电子邮件安全、网络服务器安全以及域名服务安全等方面。
4 小结
目前,通信技术和计算机网络技术进入了迅猛发展阶段,互联网逐渐深入到人们的生产和生活中,信息流动量巨大,同时也带来了个人私密信息可能被入侵或破坏的威胁,由此带来的网络安全问题日益加剧。网络安全全面意义上来讲既包含系统本身的安全,又包括逻辑结构和物理结构的安全。必须综合各种先进的网络技术才能够保障整个计算机网络的安全。
doi:10.3969/j.issn.1673 - 0194.2015.12.035
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)12-00-01
当前的信息网络越发庞大,涵盖的用户和节点也日趋扩大,在这个流通量极大的节点上,只要一个小小的位置出现安全威胁,就会产生非常危险的结果。因而随着网络的包容性和开放性的不断扩大,网络安全技术的进步也变得越来越重要。网络本身的连通性和传递性使网络安全防护必须面对比自身多得多的威胁,因而要全面思索应对各种各样层出不穷的问题。
1 网络技术安全情况现状分析
网络安全技术的发展是随着网络技术的进步而进步的,网络发展对安全防护水平提出更高的要求,从而促进网络安全技术的发展。近年来,我国的网络覆盖发展极为迅猛,而网络技术也随之普及到了各个用户身上。在网络安全方面,我国的基础网络防护措施达标率呈上升趋势,面临的风险程度也稍有下降,总体而言并没有随着网络的拓展而陷入更大的安全威胁之中,但也必须承认在安全技术的发展方面,还有很多不足。
我国面临的网络安全风险并没有很大程度地降低,依旧面临传统和非传统的安全威胁,受到的网络攻击也呈上升趋势。网络安全威胁可谓无处不在,而其种类更是复杂多样。因此,在网络安全技术的发展方面,也呈现出全方位和多点开花的状况,从防护、应对及数据恢复等多方面全方位推进,并创立了网络安全模型。只有在多重安全措施并行的情况下,才能将网络安全威胁的生存空间压制到最小。
网络安全技术如同网络的大门和墙壁,是以对访问进行排查、对系统进行清理和搜检及对网络权限的部分限制为主体的多层次全方位综合体。
2 威胁网络安全的几大因素
2.1 系统不稳定和容易被利用漏洞破坏
网络的安全漏洞一般而言不容易完全避免,在设计之初并不能做到尽善尽美。就现在的情况而言,漏洞的蔓延往往防不胜防,很难及时发现漏洞侵袭,导致真正需要应对时早已损失惨重。一旦重要部分如操作系统遭到漏洞攻击,其造成的损害也非常巨大。安全技术防护面临的节点数不胜数,但攻击者只需要突破其中一点,就可以造成大片的损失,这是由网络本身的结构所决定的。
2.2 网络管理制度缺位
就管理制度而言,现阶段网络管理缺少一套整体适用的系统方案,在标准方面往往各自为政,大多数情况下都是根据各自需要选择相应的安全手段,从而形成一个配合并不密切的整体。这样如同临时七拼八凑起来的结构,自然无法面对无处不在无从预防的网络侵袭。虽然部分企业从全局出发进行安全技术设计,但是软件和硬件本身的隔离,以及国家在系统软件方面的力不从心,导致其自身的努力并不能完全实现。要完全改变现状,就要从整体上重新设计架构,尽量明确管理,确定责任,并完善自身的防御功能,以缓解危机。
2.3 网络对应安全策略缺乏
现阶段已正式建立了计算机网络安全体系,但其应变不及时,在安全体系遭到破坏之后,恢复和修复工作不甚理想。而事先预防的难度又太大,难以完全做到防患未然。因此,企图依靠预防来进行完全控制并不现实,而完全依靠恢复和补救的方式又比较被动。应急性的方案并不多,可以操作的临时安全系统也缺乏实用性。“第二道防线”的建立,还需要付出更多的努力。
对应的安全策略缺乏,还体现在面对各类不同的网络侵袭行为时,由于相关的安全防护手段有其特定的安全防护范围,不得不依靠多种安全技术互相堆叠,而这些技术可能会互相冲突,或者导致其中一部分失效,从而影响安全技术的整体应用和各个部分的有效发挥。
2.4 局域网的开放性漏洞
局域网是建立在资源共享的基础上的,因此其安全防护并没有互联网那样严密,但是由于准入机制过于疏松,导致内部数据很容易被混进来的操作混乱和遗失。如局域网很容易被网络钓鱼者接入,然后窃取和篡改其资料,造成巨大的损失。总体来说,要在建设局域网的时候加强其端口的准入设计,对于连接外网的情况,要有足够的审核方式来进行筛选和控制。
3 网络安全技术的发展前景
当前网络技术存在的缺陷是“道高一尺魔高一丈”的状况的体现,被动的安全技术对主动的破解技术而言是处于劣势状态的。但这并不会影响到网络安全技术的发展前景,正因为面临着更多安全威胁,才会刺激网络安全技术的进一步发展,从而实现更高的飞跃。
3.1 安全防护模式进入智能控制阶段
网络安全技术的发展是在收集数据、分析防御方式、寻找问题的过程中逐步发展起来的,现阶段由于仅限于归纳已有的问题,而陷入被动的窘境之中。随着网络的进一步优化,相信计算机的智能化会带动安全技术的智能化,从而自动的进行最优选择。而随着未来完善的NGN网络的建立,相信这样的控制并非虚妄之言。
3.2 网络容量的扩展和安全技术覆盖的扩大
近年来,IP技术不断发展并扩大业务,网络安全技术也随之而动,进一步提高自身的覆盖深度和广度。随着云计算技术的普及和完善,对云数据的保护也成为了需要关注的问题,广阔的安全防护需求决定了网络安全技术覆盖面必将进一步扩大。
主要参考文献
一、气象网络的概念及其结构形式
气象网络,简而言之,指的是将计算机网络技术应用于气象领域,使气象信息网络化,信息化,方便人们的使用。目前,气象网络按照不同的安全等级划分成三种网络结构形式:(1)内部局域网(含机要内网),此网要求安全等级极高,各个部门的计算机均在此网上;(2)通过数字专线与相关政府职能机构构成的政务专网,通过不同授权等级共享各级数据资源;(3)公众互联网,通过电信宽带接入气象网站,供广大用户浏览。现代社会气象信息的大量应用,越来越彰显其重要性,然而与此同时,网络的应用也给气象信息安全带来了大量的潜在隐患,因此,加强气象网络的安全性就非常有必要。
(一)气象技术的保障需求。当前,随着气象业务的不断发展,气象应用系统越来越多,对网络的依赖程度越来越强,网络安全早已摆在极其重要的位置。尤其是近几年来,随着全球气候的普遍升温,世界各个地方都面临着干旱、洪涝、雨雪、台风等自然灾害,气象技术的观测、预报功能是人们预防自然灾害最有利的工具,而病毒、非法侵入系统等不法行为肯定会影响到气象技术的发挥,因此,保障气象网络安全是必需的。要解决这一问题不可能依靠某种单一的安全技术,必须针对气象网络的应用情况,采用综合的策略,从物理环境、网络和网络基础设施、网络边界、计算机系统和应用、安全管理等多方面构筑一个完整的安全体系。
(二)气象网站的安全需要。全国各级气象网站是公众了解气象政务、天气预报等信息的重要媒体,通过这一媒介,人们可以根据未来的气象资料,预先安排自己的生产生活。当前世界联系日益紧密,任何因素的波动都可能造成无法估量的损失,因此,人们从气象网站中及时获取有价值的信息,对于他们来说,是非常重要的。但由于互联网的安全性较低,随时都有可能遭到有意或无意的黑客攻击或者病毒传播。
二、气象网络安全存在的问题
其实影响气象网络安全的因素有很多,本文从以下几个方面进行论述:
(一)气象网络管理缺陷。由于全国各级气象网络系统在管理制度上普遍存在缺陷,有些基层站没有专职计算机网络管理人员,再加上某些基层气象职工计算机水平较低,机房设备较差,对气象网络的安全极为不利。其不安全因素主要表现在:
(1)人为的非法操作。在某些基层气象站闲杂人员擅自进入机房的现象时有发生,甚至有人随意使用外来光磁盘。由于制度不到位,防范意识差,随意的光盘、磁盘放入,有意无意将黑客装入,给计算机网络埋下不安全隐患。
(2)管理制度不完善。本应由管理员操作的部分管理工作,擅自交由其他非工作人员进行操作,甚至告诉密码,致使其他人可以任意进行各种操作,随意打开数据库,造成有意无意的数据丢失,有的甚至在与Internet连接的情况下,将数据库暴露,为黑客入侵创造条件;有的人将密码随意泄露给别人。
(3)相关工作人员的失职。气象部门工作人员的职责不到位,,在Internet上乱发信息,为修改文件破坏了硬件,对“垃圾文件”不及时清除,造成数据库不完整,资料不准确。
(二)病毒侵入。目前,气象网络安全面临的最大危险就是病毒的侵入。当前网络中,各种各样的病毒已经不计其数,并且日有更新,每一个网络随时都有被攻击的可能。计算机网络病毒充分利用操作系统本身的各种安全漏洞和隐患,并对搭建的气象网关防护体系见缝插针,借助多种安全产品在安装、配置、更新、管理过程中的时间差,发起攻击;有时黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,也会让气象网络染上病毒。
三、解决对策
(一)严格的安全管理制度。面对气象信息网络安全的脆弱性,一方面要采用技术方面的策略外,另一方面还应重视管理方面的安全,注重安全管理制度的加强。针对安全管理的复杂度,重要的是建立一套完整可行的安全政策,切实管理和实施这些政策。我们需要从以下几个方面入手:
(1)首先加强人员的安全意识,定期进行网络安全培训;其次,制定安全操作流程,有明确、严格的安全管理制度。再次,责权明确,加强安全审计,详细记录网络各种访问行为,进而从中发现非法的活动。
(2)构建安全管理平台。从技术上组成气象安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统,网络设备管理系统,以及网络安全设备统管理软件。定期对安全策略的合理性和有效性进行核实,对于气象网络结构的变化,应先进行安全风险评估,适时修改安全策略。
(二)防范各种非法软件攻击和入侵。网络的存在必然会带来病毒攻击和入侵发生。病毒的攻击,一方面来自外部,由于应用系统本身的缺陷,防火墙或路由器的错误配置,导致非法攻击轻而易举的进入网络,造成气象业务中断,数据的窃取和篡改等;另一方面的攻击来自于内部,内部员工的无意或者恶意的攻击,也会给网络的正常运行构成威胁。超级秘书网
目前利用防火墙虽然可以阻止各种不安全访问,降低安全风险,但防火墙不是万无一失的,因此,作为防火墙的必要补充的入侵检测系统(IDS),是第二道安全闸门,在全国各级气象网络的关键节点配置IDS,可监视信息网络系统的运行,从中发现网络中违反安全策略的行为和被攻击的迹象,监控用户的行为,对所有的访问跟踪,形成日志,为系统的恢复和追查攻击提供基本数据。在各级建立IDS可以实时对关键服务器和数据进行监控,对入侵行为,违规操作进行预警与响应,并通过与防火墙联动有效阻止来自内部和透过防火墙的攻击行为。
(三)病毒防护策略。对于网络病毒的防范是气象网络的重要组成部分。目前,气象网络的覆盖面广,病毒的危害也越来越大,加之传统的单机杀毒已无法满足需求,因此急需一个完善的病毒防护体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。
主要的防范措施是建设覆盖全国各级气象信息网络病毒防护体系,实现全网的统一升级、查杀、管理,防止病毒的交叉感染。包括网关级病毒防护,针对通过Internet出口的流量,进行病毒扫描,对邮件、Web浏览、FTP下载进行病毒过滤,服务器病毒防护,桌面病毒防护,对所有客户端防病毒软件进行统一管理等。
参考文献:
一、课题研究情况
1.课题研究背景
随着教育信息化的不断发展,以及我国三通两平台的不断建设,绝大部分中小学都建立了自己的校园网,教育部2012年印发的《教育信息化十年发展规划(2011-2020年)》更是将我国教育信息化的发展进一步细致深化。而校园网络建设作为教育信息化的基础工程,直接影响着教育信息化进展及效果。随着互联网的随着互联网的迅速普及和校园网络建设的不断发展,以及我国在教育信息化中一系列重大工程的实施,各大中专院校及中小学相继建成或正在建设校园网络。教育部在《2016年教育信息化工作要点》中也指出“实现全国中小学互联网接入率达到95%,中10M以上宽带接入比例达到60%以上为学校”。可见在基础教育校园网络已经成为教育信息化建设的重要组成部分。
但是,不容忽视的是,基础教育阶段对于网络安全的重视程度也还较低,甚至根本无基本的网络安全意识。因此,本课题通过研究J市基础教育网络安全现状,希望发现基础教育网络安全常见的安全问题,并提出相应的策略。
2.课题研究目标。
本课题旨在研究区域范围内的基础教育校园网络安全基本情况,进而了解当前基础教育在信息化过程中面临的网络安全问题。通过调查研究,结合数据分析,分析当前基础教育校园网络的基本情况及存在的安全隐患,对本地基础教育校园网络的基本情况进行总结分析,掌握基础教育校园网络所面临的主要安全问题,并针对基础教育校园网络的实际情况,提出可行的网络安全防范措施,为基础教育校园网络安全提供参考,并期能为本地基础教育校园网络建设提供参考数据。
3.课题研究主要内容
(1)掌握当前J市基础教育校园网络的基本状况和网络应用现状;
(2)分析当前基础教育校园网络安全的基本情况及面临的安全风险;
(3)影响区域内基础教育校园网络安全状况的成因分析;
(4)针对基础教育校园网络安全的状态提出相关建议及意见;
(5)总结当前基础教育校园网络安全现状,提出在基础教育校园网络环境下可行的网络安全防范措施。
二、课题研究已取得成果
1.完成网络安全相关理论学习
通过集体学习和分散学习相结合的方法,通过中国知网、相关书籍学习,学习网络基础知识。通过理论学习,从理论层面上引导课题成员对课题产生背景、科学依据、教育思想、实践价值全面把握,加深课题成员对于网络知识的理解与应用,并了解基础教育网络安全的重要性。
2.编制调查问卷,进行调查研究
结合前期理论学习,参考大量文献资料,课题组完成了《基础教育校园网络安全现状与对策研究》调查问卷的编制。整个调查问卷分为三大部分,第一部分是对校园网络整体情况的了解,主要研究校园网络拓扑结构及硬件构成;第二部分主要针对校园网络安全状况进行调查,主要包括实体安全、软件安全、管理安全等方面;第三部分主要调查校园网络应用情况,对于校园网络在教育中的应用情况进行调查。其中,第二部分是问卷的核心,通过实体与环境安全、组织管理与安全制度、安全技术措施、网络与通信安全、软件与信息安全、无线网络安全几个维度展开调查,对基础教育校园网络安全现状进行详细的调查研究。
三、课题创造性成果说明
结合实际情况,本研究创新之处是预期能够发现当前基础教育信息化中校园网络建设中存在的一些主要问题,发现当前基础教育校园网络安全面临的主要困难,能够针对当前基础教育信息化中校园网络安全现状提出合理的建议,引起大家对于基础教育信息化中校园网络安全问题的关注。
1.基础教育校园网络常见安全隐患
(1)无专业网络管理人员
调查研究中发现部分学校无专门的校园网络管理人员。网络管理人员由非专业人员担任。
(2)无专用的网络机房
调查过程中发现,部分学校甚至没有专门的网络中心。校园网络核心设备摆放环境随意,无任何安全措施。同时设备之间的链接也比较混乱。
(3)网络安全意识淡薄
基础校园网络由于起步迟、发展慢等原因,目前在基础教育校园网络环境中,校园网络安全意识还较淡薄,整体上对于校园网络安全并无相关概念。
2.基础教育校园网络安全常见措施
(1)强化网络安全教育,完善网络管理制度
先进的技术和设备都需要合理的应用。因此首先要从意识上重视校园网络安全,只有具备了校园网络安全意识和完善的制度,才能合理应用相关的设备、技术。
网络环境下保障企业信息的安全性对企业地发展具有重大的、直接的现实意义。深入研究与开发计算机信息安全技术,减少或避免网络信息系统的破坏与故障,对企业发展具有积极的作用。但就现实发展来看,目前企业网络信息安全建设仍处于探索阶段,优化企业网络安全,吸取前沿的安全技术,实现企业网络信息又快又好地发展成为众企业关注的焦点问题。
一、企业网络信息安全的基本目标
企业网络信息安全技术的研究与开发最终目的是实现企业信息的保密性、完整性、可用性以及可控性。具体来讲市场化的发展背景,企业之间存在激烈的竞争,为增强市场竞争力,出现盗取商业机密与核心信息的不良网络现象。企业加强网络信息安全技术开发,一个重要的目的是防止企业关键信息的泄露或者被非授权用户盗取。其次,保障信息的完整性,是指防止企业信息在未经授权的情况下被偶然或恶意篡改的现象发生。再次,实现数据的可用性,具体是指当企业信息受到破坏或者攻击时,攻击者不能破坏全部资源,授权者在这种情况下仍然可以按照需求使用的特性。最后,确保企业网络信息的可控性,例如对企业信息的访问、传播以及内容具有控制的能力。
二、企业网络信息安全面临的主要威胁
根据相关调查显示,病毒入侵、蠕虫以及木马程序破坏是对企业网络信息安全造成威胁的主要原因。黑客攻击或者网络诈骗也是影响企业网络信息安全的重要因素。当然部分企业网络信息安全受到破坏是由于企业内部工作人员的操作失误造成。总之威胁企业网络信息安全的因素来自方方面面,无论是什么原因造成的企业网络信息安全的破坏,结果都会对企业的生产发展造成恶劣的影响,导致企业重大的损失。在信息化发展背景下,企业只有不断提高网络信息的安全性,才是实现企业持续发展的有力保证。
三、企业网络信息安全保护措施现状
当前企业在进行网络信息安全保护方面的意识逐渐增强,他们为确保企业网络信息安全时大都应用了杀毒软件来防止病毒的入侵。在对企业网络信息安全进行保护时,方式比较单 一,技术比较落后。对于入侵检测系统以及硬件防护墙的认识不足,尚未在企业中普及。因此推进企业网络信息安全技术的开发,前提是提高企业对网络信息安全保护的意识,增强企业应用网络信息安全技术的能力,才能有效推动企业网络信息安全技术的开发。
四、促进企业网络信息安全技术开发的对策与建议
(一)定期实施重要信息的备份与恢复
加大对企业网络信息安全技术的研发投入,一个重要的体现是对企业网络信息的管理。企业对于重要的、机密的信息和数据应该定期进行备份或者是恢复工作。这是保障企业网络信息安全简单、基础的工作内容。当企业网络受到破坏甚至企业网络系统出现瘫痪,企业能够通过备份的信息保障生产工作的运行,把企业的损失降到最低。实现企业网络信息安全技术开发的实效性的基础工作是做好企业重要网络信息的定期备份与恢复工作。
(二)构建和实施虚拟专用网络(VPN)技术
以隧道技术为核心的虚拟专用网络技术,是一项复杂的、专业的工程技术。该项技术对于保护企业网络信息安全具有重要意义,并且效果显著。它把企业专用的、重要的信息进行封装,然后采取一定的方法利用公共网络隧道传输企业专用网络中的信息,如此一来可以实现对企业网络信息的保护,避免出现对企业信息的窃取与恶意修改。当然提升虚拟专用网络的兼容性、简化应用程序是企业网络信息安全技术研发重要课题。
(三)完善高效的防火墙技术
在企业内部网与外联网之间设置一道保护企业网络信息安全的屏障,即设置防火墙。这一技术是目前最有效、最经济的保障企业网络信息安全的技术。但由于当前大多数的远程监控程序应用的是反向链接的方式,这就限制了防火墙作用的发挥。在进行企业网络信息安全技术开发过程中,应进一步优化防火墙的工作原理或者研发与之相匹配的远程监控程序,来实现防火墙对企业网络信息安全的保护。
(四)对关键信息和数据进行加密
增强企业对关键信息和数据的加密技术水平也是企业网络信息安全技术研发的主要方面。更新加密技术,是保障企业网络信息安全的重要环节。企业在对重要信息和数据进行加密时可以同时采取一些例如CD检测或者Key File等保护措施,来增强企业重要信息的保密效果。
五、结束语
企业网络信息安全体系的构建是一项系统的、长期的、动态的工程。网络环境下,信息安全技术发展的同时,新的破坏、攻击、入侵网络信息安全的手段也会不断出现。企业只有与时俱进,加大对网络信息安全技术的投入力度,才能加强对企业核心信息与数据的保护。在未来的发展过程中,企业在坚持技术策略与管理策略相结合的原则下,不断升级完善企业网络信息安全系统的开发与建设,不断提高企业的信息化水平。
从近年电力系统科技发展的脉络上看,广义而言,可以认为智能电网有两大起源:文提出的数字电力系统理念,其重点在于输电网的智能调度与控制文提出的“友好电网”,其重点在于建设互动型配电网。尤其是文工作的提出,揭开了数字电网乃至智能电网研究工作序幕;2006年国家电网公司实施SG186工程,开始进行数字化电网和数字化变电站的框架研究和示范工程建设,南方电网公司委托清华大学开展数字南方电网研究;2009年,国家电网公司提出了建设我国“坚强智能电网”的宏伟蓝图。国际上,欧美等国纷纷出台了各自的智能电网发展计划。与此同时,国内外学者从各个方面对智能电网基础理论和关键技术进行了深人研究,取得了一大批重要成果,其中多指标自趋优运营能力被认为是智能电网与传统电网的最大区别。
毋庸置疑,智能电网的建设进程伴随着电力系统中数字化和信息化程度的不断提高,系统中的能量流和信息流的交换与互动亦日益频繁,最终使得未来智能电网在很大程度上将发展成一类由信息网和物理(电力)网构成的相互依存的二元复合网络(cyber-physicalpowergrid,CPPG)。在此背景下,研究信息网和物理网相互依存的新一代电力网络的拓扑结构特征、连锁故障传播机理、安全水平和生存能力以及相应的预防控制措施在理论和工程两方面均具有重要意义,这主要缘于以下3方面的因素。
(1)智能电网在规模和动态上的复杂特性对复杂网络理论本身的发展提出了更高的要求。随着智能电网建设的深人,CPPG的网络规模不断扩大、网络动态的新特性日益增多,从而导致CPPG的网络复杂性持续增强,主要体现在如下两个方面:
(2) CPPG是由信息网/物理网耦合而成的超大规模二元复杂网络,它对复杂网络理论研究提出了新的重大挑战。
1998年发表于Nature上的题为《“小世界”网络的集体动力学》(collectivedynamicsof‘small-world,networks)和1999年在Science上发表的题为《随机网络中标度的涌现Kemergenceofscal¬inginrandomnetworks)的文章分别揭示了复杂网络理论的小世界和无标度特性,开创了复杂网络理论研究的新纪元。基于统计特性与结构模型,研究者对网络性能进行了详细的分析,并在网络的社团结构、脆弱度评估和传播动力学等方面取得了较大的进展。2009年7月Scence杂志出专栏介绍复杂网络理论的新发展,例如将其用于预测种族冲突1和识别恐怖组织中的关键人物等问题。特别需要指出的是,复杂网络理论在电力系统巳得到成功应用,文基于该理论建立了电力系统自组织临界一般理论,包括电网演化机制模型、连锁故障模拟方法、电网脆弱度及风险评估方法和电力系统应急管理平台4项创新。
(3) 未来电网若干关键功能,如对分布式发电的接纳、需求侧管理等,无疑加大了CPPG在动态特性上的复杂度。
在资源和环保的压力下,以新能源发电为主体的分布式发电(distributedgeneration,DG)成为电力系统发电的一个重要方向。通常位于近负荷侧的分布式发电改变了传统电力系统中功率单向流动的特点,也使得电力系统的负荷预测、规划和运行与过去相比具有更大的不确定性;同时分布式发电的加人,必然需要增加大量通信装置以实现分布式发电的自身控制以及与传统电网的协调。
此外,借助于先进的测量和通讯系统,基于政策和电价激励的需求侧响应技术被认为是提高系统可靠性和实现节能环保的有效方法,如通过推广电动汽车平抑负荷峰谷差和减少系统备用,即是一种用户参与需求侧响应的有效方式。
综上所述,现有工作的研究对象无论其规模和结构多么复杂,大多针对单一复杂网络,或者信息网,或者物理(电力)网,而对于CPPG这类二元网络的复杂网络特性研究则鲜有先例可循,因此,迫切需要发展现有的复杂网络理论,以满足未来智能电网发展的需要。
(4)智能电网主要目标的实现需要信息技术的发展来提供保障。
信息化在实现智能电网主要目标(灵活、高效、可持续、节能环保、高可靠性和高安全性等)的过程中起着举足轻重的作用。然而,目前大多数的研究和实践更加侧重于信息化引人新功能的实现和挖掘,而对信息化背景下智能电网的安全性问题则缺乏足够的重视。信息化程度的提高给电网带来诸多安全隐患,如信息采集环节、传输环节、智能控制和电网与用户互动环境下均存在不同程度的安全风险。
信息化带来的种种安全隐患或危害,均可视为对信息网的有意或无意攻击,其影响一般表现为信息网的相继故障从而可能引发信息网瘫痪,严重时故障可能穿越信息网边界波及物理网,进而导致物理网连锁故障。极端情况下,相继或连锁故障在信息网和物理网之间交替传播,严重威胁电力系统安全运行。
(5)对信息安全问题的关注应贯穿智能电网重大工程实践的全过程。
在智能电网重大工程建设过程中,评估系统运行风险、辨识系统薄弱环节并制定相应的预防控制措施贯穿全程,需要充分考虑CPPG中信息网与物理(电力)网紧密融合后带来的新变化。
(1) 信息网比物理(电力)网的运行风险更高。
文中指出,广义电力系统是由电力系统(EPS)、信息通信系统(ICS)和监测控制系统(MCS)融合而成的3S系统:这里的ICS/MCS即为本文所指的信息网,它是安全供电不可或缺的工具;由于ICS/MCS存在的潜在漏洞、缺陷和故障,使其成为3S系统安全风险的主要来源。如果信息网遭到攻击,则可能给物理(电力)网造成严重的故障,使得电力系统出现大面积停电事故或重要电力设备损坏。例如,2010年9月,伊朗布什尔核电站的计算机系统遭Stuxnet蠕虫病毒攻击,大大延迟了伊朗的核进程[27]。由此可见,智能电网的安全性不容忽视,而信息网的安全性则是重中之重,主要原因有:从网络本身受攻击的容易程度来看,信息网更容易受到攻击从网络的相互依赖程度来看,物理网对信息网的依赖程度更大从网络故障影响的范围来看,信息网故障的可影响范围更广。
(2) 保障CPPG中的信息网安全是全面建设智能电网的前提和必要环节。
建立信息/物理网一体化的新一代电力系统是未来电网发展的一个重要趋势,而保障其中的信息网安全则是全面建设智能电网的前提和必要环节,主要体现在两个方面:一方面,在建设CPPG之前考虑系统的安全问题,有利于清晰认识系统建成后可能面临的各种风险;一方面,在认知系统安全水平以及可能面临的各种攻击的基础上,从制定系统安全标准和政策法规等方面做好事先的安全预防,以保证系统的安全运行。
综上,可以得出以下结论:
信息化在提升电力自动化水平、提高社会生产效率和改善用户体验的同时也给智能电网的安全性带来了诸多隐患。一方面,信息网本身存在许多尚未解决的安全性问题,当电力系统高度信息化后,将在电力系统中埋下许多安全隐患[28—31]’另一方面,信息网和物理网作为未来智能电网的两大主要组成网络,其相互影响和相互作用机理尚不明确,该复合网络的脆弱性有可能被攻击者加以利用从而造成更大的危害。因此,有必要对智能电网中存在的信息安全隐患及其对全系统存活性的影响加以讨论并思考相应的解决方案。
1国内外研究现状
目前国内外对CPPG的研究尚处于起步阶段,主要集中在电力系统信息安全标准的制定、CPPG基本框架的建立以及可靠性等几个方面,详述如下:
(1) 电力系统信息安全标准制定
国外在电力系统信息安全标准的制定方面起步较早:2006年,北美电力可靠性委员会(NERC)为保证电力系统中所有实体均对北美大电网的可靠性承担部分职责,同时保护可能影响到大电网可靠性的重要信息资产,制订了信息安全标准CIP-002-1〜CIP-009-1;国际电工委员会针对数字和通讯安全提出了IEC62351标准。
国内目前尚未明确制定信息安全的相关标准,只是为保障信息安全提供了一系列原则。文[5]提出智能电网信息安全工作一定要坚持安全分区、网络专用、横向隔离和纵向认证的原则;同时对大量分散用户的信息介人,也要采取类似方法,将其影响范围局限在变电站甚至更低的等级,以防止对整个电网产生灾难性的后果。文[36-38]强调在智能电网的研究中,应特别关注建立电网信息支撑平台的必要性,这是因为开放的信息系统和共享的信息模式是智能电网的基础,开发与建造一个能够覆盖电网全域的、统一的信息系统是智能电网发展的关键所在,而要消除信息共享障碍就必须对信息进行标准化和规范化。
(2) 信息/物理网安全性研究框架
文中将智能电网的信息安全相关问题分解为如何保障智能电表(AMI)和无线网络的安全,以及如何制定政策奖励维护网络安全的电力生产运营商等。
文中提出采用由安全管理、安全策略和安全技术组成的电力信息系统安全防护总体框架,其中安全管理包括组织保证体系、安全管理制度及安全培训机制;安全策略分为分区防护和强化隔离;安全技术则涵盖身份认证、访问控制、内容安全、审计和跟踪及响应和恢复等。
文[1]提出统一信息系统必须包括以下4个独立存在又相互依赖的信息处理子系统:用于存储和管理电网中的所有信息数据的分布和分层的数据库群子系统;分布和分层的用于电网控制与管理的任务处理应用子系统;分布和分层的电网状态检查和监视应用子系统;分布和分层的电网全域可达的人机信息交互子系统。
基于信息物理系统(cyberphysicalsystem,CPS)的概念和电力系统的特点,文[42]构建了电力CPS的思路和框架并提出建设电力CPS面临的挑战,认为电力CPS主要由大量的计算设备(服务器、计算机、嵌人式计算设备等)、数据采集设备(传感器、PMU、嵌人式数据采集设备等)和物理设备(大型发电机组、分布式电源、负荷等)组成,其中前者通过信息网络互联,后者则构成物理的电力网络。具体地,电力CPS包括控制中心、分布式计算设备、通信网络、输配电网络、电源和负荷。同时,电力CPS可以与其他的CPS子系统通过网络连接协同工作。该文进一步提出发展电力CPS的关键技术涉及全局优化与局部控制的协同技术、大规模分布式计算技术、CPS通信协议、动态网络和延迟/终端容忍网络、集群智能和虚实空间的自动映射一致性等。
(3)信息/物理网安全性建模分析
在一般信息-物理二元网络的建模方面,采用如下的两个步骤进行建模:首先通过物理和信息的输人输出信号、内部动态和局部传感信息等要素对各个(或组)元件建立状态空间模块;进一步在网络拓扑的基础上将各模块整合在一'起以建立系统的信息,理二元复合网络模型。
在网络攻击对电力系统系统的可靠性影响方面,目前巳有初步进展。文章构建了系统性评估信息物理依存网络脆弱度的基本框架,进一步该文研究了网络攻击对电力系统的数据采集和监控(SCADA)系统的影响。文章通过信息-物理的连接桥建立信息攻击与物理元件之间的通道,以此表征由于某处信息攻击所导致的电力设备的意外故障,进而在巳知信息攻击概率的基础上,评估系统遭受信息攻击时的可靠性。
更有意义的是,文章提出研究相互依存网络灾变的重要性,并基于意大利的电力网和信息网的网络关系图(如图1所示)模拟了该网络上由于一个变电站故障退出运行后,故障在物理(电力)网络与信息网络之间的交替传播及整个网络的崩溃过程。其基本思路是某个网络中一个节点的故障可能会造成与其耦合的网络中相关联节点的故障,通过建立连锁故障传播模型,分析指出某个网络中小部分节点的故障可能导致整个耦合系统的崩溃。
(4)其他方面
文章指出新一代电力系统的SCADA采用越来越多的无线通信可能面临的信息安全方面的6个障碍和挑战,涵盖量测的机密性、测量环境的模糊化、数据的安全聚集、拓扑模糊化、可扩展的信任管理以及数据聚集的隐私性等。文[1]指出目前电力系统的信息系统存在信息难以综合和深化利用、信息处理及控制管理设备和系统上的重叠以及开发基于信息综合的高级控制管理功能(如自适应性、自组织和智能决策等)受限等问题。
2 CPPG信息安全性研究关键课题
CPPG作为一类信息/物理网高度依存的二元复合网络,分析其连锁故障机理及脆弱度评估方法是保障CPPG信息安全乃至全系统安全的重要前提。为此,本节从复杂网络视角提出以下4个前瞻性课题。
2.1 CPPG中信息网和物理网异构特性及相互依存关系分析、一体化网络模型建立及拓扑结构特征提取
一般而言,CPPG中信息、物理两个网络往往呈现截然不同的结构特性,如有研究表明,信息网呈现无标度特性,而很多实际电网具有小世界特性。在此背景下,CPPG将是由信息/物理网相互依存演化成的二元异构网络(如无标度信息网与小世界物理网),如图2所示。
对该网络的拓扑结构特征提取有助于从本质上揭示其功能特性,具体可以开展如下研究:
(1) 分析并揭示CPPG中信息网与物理网的异构特性,建立连接信息/物理网的联络线网络化数学表述模型,研究不同类型信息网与物理网(如无标度网与小世界网)中信息流和能量流的输送特性。基于电力系统动态特性(如潮流)建立物理网功能有效性模型,基于信息系统静态特性(如网络拓扑结构和元件级联失效等)建立信息网功能有效性模型。这里的功能有效性是指网络节点和边的动态均受到一定的容量限制,在限制值之内称为有效。
(2) 深人分析CPPG中信息网和物理网的耦合
机理,研究信息过程和物理过程的相互影响。
(3) 研究信息网和物理网内部以及二者之间的拓扑连接或者信号传送关系,进一步将上述信息/物理功能有效性模型集成,以建立能够反映CPPG中信息网和物理网交互过程的一体化网络模型。
(4) 基于复杂网络理论中网络结构影响网络功能的基本思路,选用适当的指标,提取并分析CPPG拓扑结构特征,即从统计的角度考察CPPG中大规模节点及其连接之间的性质,这些性质的不同意味着网络内部结构的不同,进而将导致系统功能有所差异。因此,对CPPG拓扑结构特征的描述和分析是进行CPPG研究的必要步骤。
2.2CPPG的连锁故障研究
到目前为止,巳有较多针对信息网或物理网连锁故障建模分析的研究成果[16—17],尽管人们对单一网络(信息网或物理网)的连锁故障过程有了一定程度的认识,但连锁故障在CPPG上的发生和传播过程可能与单一信息网或物理网情形大不相同。研究
CPPG的连锁故障发生过程需要根据信息网和物理网的依存关系,将两个网络中的故障传播过程进行合理的对接。
在上述CPPG—体化网络模型的基础上,同时考虑物理设备和数据采集计算设备等对系统连锁故障发生、发展过程的影响,分析CPPG的连锁故障特性,具体包括以下几个方面:
(1) 构建CPPG连锁故障模型。具体地,根据信息流的传输特性,建立CPPG中信息网连锁故障模型,同时提出适当的指标分析其连锁故障影响后果;考虑未来智能电网中高渗透率的分布式发电以及广泛的用户侧响应,分析CPPG中物理网的连锁故障发生、发展过程,并采用适当的指标(如负荷损失量)表征其连锁故障规模;在信息网与物理网耦合机理分析的基础上,将信息网与物理网连锁故障模型进行合理对接,构建CPPG连锁故障模型并模拟其连锁故障传播过程。
(2) 辨识影响连锁故障发生的关键因素,既要包含物理网上的关键发电和输电设备,又需计及信息网上的关键计算机和信号传输单元。
(3) 定量分析CPPG上发生的连锁故障,借鉴风险价值和条件风险价值指标[16—17],分析其灾变风险;对比CPPG和传统物理电力系统连锁故障的异同,重点分析信息网对CPPG连锁故障的影响。
2.3 CPPG的脆弱度评估研究
CPPG的脆弱度水平指其遭受攻击时造成的性能下降程度,下降程度越大则系统越脆弱。此处CPPG遭受的攻击既可能来自物理网,又可能来自信息网(如图3),而对物理网的攻击可以等效为设备故障(包括退出运行),而对信息网的攻击形式多种多样(常见信息攻击和防守形式见图4),包括信息的窃取、篡改等。
在综合评估CPPG脆弱度水平的同时,可寻找对其脆弱度水平影响较大的攻击模式和最坏干扰信息激励。具体研究内容如下:
(1) 建立CPPG的脆弱度评估指标体系,同时从结构和状态角度评价CPPG的性能水平。这里,所提脆弱度指标应兼顾物理网的安全、可靠和经济性以及信息网对数据机密性、完整性、可用性、可控性和可审查性的要求。
(2) 基于连锁故障模型,模拟CPPG遭受随机攻击和蓄意攻击后可能引发的连锁故障发生、发展过程,评估不同攻击模式下系统性能的变化,同时辨识出严重恶化CPPG性能的攻击模式以及系统脆弱环节。
此外,信息攻击形式需要考虑如下因素:
图4信息网安全的攻击与防守
①信息攻击的影响范围;
②信息攻击源与受影响位置的距离;
③信息攻击带来的后果多样性,例如有些攻击损害信息的机密性,而有些攻击损害信息的完整性和可用性,可以等效为相关服务的中断。
(3)通过对比CPPG和传统物理电力系统面临节点或者线路攻击时的脆弱度水平异同,明晰信息网对CPPG脆弱度的影响。
2.4灵活协调的优化控制方法
在脆弱度评估的基础上,针对系统的薄弱环节,可以从物理和信息网两方面设计有针对性的灵活协调优化控制方法,具体可以研究:
(1) 根据脆弱度评估辨识出的物理网薄弱环节,如关键发电机、线路和负载节点信息,采取适当的措施,例如建设新的电厂或者输电线路,以保证CPPG在面临攻击时依然能够运行在满意的状态。
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Security Situation and Strategy Study
On the Current Computer Network Application
Wang Zhijun
(Linhai Radio and TV,Linhai317000,China)
Abstract:This paper discusses the current status of computer networks,security,vulnerabilities and security holes,and today's computer networks for security vulnerabilities propose appropriate coping strategies.
Keywords:Computer network security;Weaknesses;Security vulnerabilities; Response Strategy
一、引言
伴随着计算机时代的来临,人们对计算机网络安全的重视程度是无庸置疑的。我们必须综合考虑各方面的安全因素,制定合理的技术方案和管理措施,才能确保计算机网络的安全可靠,使其在社会经济活动中的应用更加放心。
二、计算机网络安全的定义
国际标准化组织(ISO)给“计算机网络安全”下的定义是:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”此定义包括物理安全以及逻辑安全。物理安全保护主要是硬件设备的保护,逻辑安全则是保护数据的保密性、完整性和可用性。
三、计算机网络安全存在的薄弱环节
(一)TCP/IP网络协议比较容易受到来自各方面的攻击,其在安全上或多或少还存在一些问题。
(二)网络上存在许多解密工具和易用黑客等信息,让用户很轻易地获得了攻击的手段和方法。
(三)目前,还有很多应用软件存在或多或少的问题,如升级周期过快等,这个问题导致软件和操作系统出现漏洞而受到不安全因素的攻击。
(四)我国在计算机网络的法律规范还不够完善,在管理上还有许多不足之处,而且网络上的一些保密协议缺乏较强的可操作性,执行力度不够。
(五)很多公司都没有完善在人员、管理和技术上的安全管理制度,缺少保护措施,甚至一些管理员在利益的诱惑下利用职务便利在网络上进行违法活动。
四、计算机网络安全存在的漏洞
(一)系统本身的漏洞。没有任何一个系统是绝对完美的,往往一个新的操作系统或软件在一出现的时候,它存在的漏洞同时也被人们发现了,想要排除全部的漏洞是一件不可能办到的事。
缓冲区溢出是最容易在攻击中被利用的系统漏洞。用户往往最容易忘记检测缓冲区间的变化的情况,超过缓冲区所能处理长度的指令一旦被接受,系统的状态就会出现不稳定,这一点往往被许多破坏者利用来访问系统根目录盗取或破坏信息的。
拒绝服务(DoS)同样也是常常被破坏者恶意利用的漏洞,典型的DoS可导致TCP/IP连接的次序出现混乱,使内存、CPU等系统资源受到损害,使系统没办法正常工作。其中数Synnood攻击最为典型,它可以导致系统超荷运转。此外,还有一种分布、大规模的、协作的、基于DoS的分布式拒绝服务(DDoS)攻击方式。
(二)滥用合法工具。利用改进系统的工具软进行攻击并收集非法信息也是破坏者常用的另外一种攻击方式。这些软件如NBTSTAT命令、网包嗅探器(Packetsniffer)等。前者主要功能是为管理员提供远程节点信息,假如破坏者同样利用其非法收集用户名等信息,就可以破译用户的口令。而后者则是系统管理员用以寻找网络潜在问题的工具,破坏者可利用截获的信息对网络实行攻击。
(三)低效的系统设计和检测能力。如今,由于安全系统的设计中不重视对信息的保护,导致系统面对复杂的攻击变得难以抵挡。破坏者利用低效的设计所产生漏洞进行攻击,并入侵检测系统,最后进行访问敏感信息,篡改Web服务器内容等操作。许多真正安全的系统设计务必从底层入手,以保证高效的安全服务和管理。
五、计算机网络安全的应对策略
(一)采用防火墙。防火墙是一个用来阻挡黑客访问某个机构网络的屏障。位置在内网的边缘,这使得内部网络与Internet之间或者其他外部网络之间互相隔离,最大限度地阻挡黑客来访问自己的网络。设置防火墙的目的在于在内部网与外部网之间设置唯一的通道,简化网络的安全管理。
目前的防火墙主要分为三类:(1)滤防火墙。由于包过滤防火墙设置在网络层,从而在路由器上实现包过滤。这种防火墙不但可以禁止外部用户对内部的非法访问,而且可以禁止访问某些服务类型。不过包过滤技术无法识别存在危险的信息包,没办法对应用级协议实施处理,也无办法处理UDP、RPC或动态的协议。(2)防火墙(应用层网关级防火墙)。由服务器同过滤路由器构成。过滤路由器负责与外部网络通信,并把数据进行筛选后传送到服务器。服务器负责控制外部网络用户服务类型的。(3)双穴主机防火墙。利用主机配备多个网卡,分别连接不同的网络来实现执行安全控制的功能。
(二)数据加密技术。信息加密是保护网内的数据、文件、口令和控制信息以及网上传输的数据。数据加密实质上是对以符号为基础的数据实行移位和置换的变换算法,这种变换是受“密钥”控制的。按收发双方密钥是否相同可以将这些加密算法分为对称密钥算法与公钥加密算法。(1)在对称密钥中加密密钥等同与解密密钥或者可以从其中一个推知另一个。比较著名的常规密码算法有:DES。(2)在公钥加密算法中,公钥是公开的,任何人都可以利用公钥加密信息,再将信息发送给私钥拥有者。私钥是保密的,用于对其接收的公钥加密过的信息实施解,而且几乎不可能从加密密钥推算出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
(三)采用入侵检测系统。通过对行为和安全日志等数据的分析检测到异常现象的技术便称为入侵检测技术。在入侵检测系统中利用审计记录,可以识别出任何不希望存在的活动,进而达到限制这些活动以及对活动的过程的记录,为以后更全面的防护打下基础,从而达到保护系统安全的目的。