導語:在網絡安全攻防的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優秀范文�����,愿這些內容能夠啟發您的創作靈感�,引領您探索更多的創作可能。
第1篇
關鍵詞 工業網絡����;應用���;分析
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)22-0086-01
隨著信息網絡技術的發展��,網絡傳輸速率、穩定性����、可靠性等有了很大的進步�����,技術的進步促進了以太網絡向工業網絡的延伸�。工業網的應用是對傳統以太網絡技術的延伸���,是工業網絡協議和以太網絡協議的結合�。而現實的技術發展滿足了工業網絡應用的幾個關鍵需求���,首先���,以太網滿足了工業網實時性的要求,快速交換機和光纖通訊的普遍應用���,建設1000M�����、10G的內部工業網成為普遍����,滿足了工業控制對實時性的要求����,其次滿足了工業網穩定性的要求,技術的不斷進步對于網絡設備的性能大為提升,專用的工業網絡交換機能夠在很寬的溫度范圍內正常工作,能夠適應嚴酷的工業生產環境����,保證了工業網絡的穩定性,這是工業網絡得以應用推廣的關鍵因素,使得工業網能夠實現實時控制��、實時監控�����、實時響應、遠程系統監視等。工業自動化網絡的應用廣度和深度都達到了前所未有的高度,也為企業帶來了可觀的經濟效益和社會效益�。
1 工業以太網技術的特點
1)網絡傳輸的時效性�����。工業網絡不同于一般的應用網絡,少許的延遲��、丟包等問題不會太影響用戶的感受,也不會造成什么大的損失��,而工業控制網絡則不同,有些應用系統的控制需要很頻繁的定時刷新現場的設備控制參數�����,如果網絡延遲����、丟包等會給工業網絡的控制系統造成巨大的隱患,可能引起很大的事故�����,傳統的以太網絡性能不能滿足工業控制網絡的需求,所以傳統的工業控制還是以總線現場控制為多����。但是快速以太網絡的發展,為工業網的發展帶來了新的契機�����,也奠定的目前工業網絡快速發展的基礎����,快速以太網的發展主要有以下幾個方面:①交換機性能的大幅提升和光纖通信的普遍應用�����,以太網的傳輸速度逐步發展到目前的100M��、1000M��、10G甚至更高���,加之路由多功能應用,數據包分別轉發����,避免數據的碰撞���,使得網絡信號傳輸效率更高�,完全滿足工業網對實時性的要求;②工業網中使用的交換機都有數據存儲�、轉發的功能��,通過劃分VLAN�,使得工業網絡中傳輸的數據根據不同的網段傳輸�����,避免數據的相互干擾,也提高了系統中數據傳輸的穩定性,這一特點也為工業網的廣泛應用提供基礎。一個網絡可以接入不同的控制系統和應用系統���,系統之間互不干擾,以目前我礦工業網的運行為例則接入了視頻系統,人員定位系統、電力監控系統等;③網絡中的設備端口大都支持全雙工通訊���,數據在發送的時候能夠接收數據,使得網絡系統通訊的時效性大大提高,而且目前使用的交換機、光纖接口等部件為模塊化設計���,出現問題能夠及時的進行恢復和處理����,也提高了系統運行的時效性和可維護性��。
2)系統具有很高的穩定性與可靠性�����。盡管工業現場的環境極為惡劣��,但本身又要求系統具有極高的穩定性和可靠性,滿足實時性以及設備的不間斷運行���。一般表現在兩個方面的設計特點,首先是專用工業級的網絡應用設備的高性能���,比如工業交換機相對于一般使用的交換機���,具有更高的適應環境能力����,很高的溫度適應范圍�,具備冗余電源保證供電系統的穩定,以適應極端的工作環境,其次是網絡結構的設計要有充分的冗余,一般通過是環網設計��、鏈路聚合,一個節點或是一段網絡通信線纜出現問題后不影響整體的網絡的運行。尤其是在煤礦井下的惡劣環境中更要考慮線纜傳輸的安全穩定,再者是設備的可維護性強��,現在的設備一般采用模塊化安裝���,轉換接口模塊化,模塊要有充分的備用,有問題能夠及時得到處理��,保證系統的穩定性和可靠性���。
2 工業網絡的安全防護問題
工業網絡的應用廣度和深度都達到了前所未有的高度���,提高了工廠企業的運作效率�����,提高了企業的經濟效益��,但是依賴網絡的系統運行也存在一定的風險��,如果不能夠很好的避免和防護��,同樣也會給企業造成很大的損失�����,工業網絡面臨的安全風險問題主要有以下幾個方面���。
1)硬件網絡設備風險,首先是交換機�����,端口模塊等��,工業網絡需要的是24小時不間斷的運行,而且部分環境及其惡劣,高溫高濕度�,盡管設備有很好的性能,但還是不可避免的會遇到設備損壞問題,這個問題要在建網之初�,充分考慮做好預案。如做好設備冗余、熱備���、電源冗余����,故障檢測手段等�,保證工業網絡所運行的設備能夠不間斷的運行�。再者是數據傳輸線路的問題,網絡信號的傳輸現在大都是通過光纖傳輸���,線路的維護在運行中同樣重要����,尤其是在煤礦井下����,這一點就顯得極為重要,井下鋪設的光纜通信線路一般是依附巷幫而鋪設�����,如果遇到巷道幫來壓沒有及時發現就有可能造成通訊中斷問題。
2)操作系統和殺毒軟件的更新問題。工業網絡一般是內部網絡�,為安全起見一般和外部網絡隔離,這樣就造成內部網絡的計算機操作系統和殺毒軟件無法升級����,為系統安全留下隱患。針對這樣的問題要有專門的維護人員定期進行系統和殺毒關鍵的升級��,升級有兩種方式一是經過防火墻����、網閘防毒墻等安全設備直接連接到外部網絡進行升級,二是通過專用的存儲工具下載升級包在內網計算機上升級,升級前做好系統的備份,出現不兼容等問題時能夠及時恢復。
3)使用U盤、光盤�����、筆記本接入導致的病毒傳播問題。內網設備在運行中,會不可避免的使用到U盤���、光盤等進行資料的轉移和處理��,這就給整個內部工業網絡的運行造成了一個很大的隱患�,因為一旦出現病毒感染,可能對整個內網的設備是致命的��,會給企業造成無法挽回的損失�,這個問題通過兩個方面做好這工作,一是可以通過系統的安全設置禁止系統的USB接口和光盤的使用���,相應的內網電腦都要設置足夠復雜的開機密碼和屏保密碼����,二是加強人員的管理��,機房建立訪問登記制度����,處理故障使用專用的筆記本等,避免出現通過存儲介質引入病毒的情況�����。
4)存在工業控制系統被有意或無意控制的風險問題���。如果對工業控制系統的操作行為沒有監控和響應措施,工業控制系統中的異常行為或人為行為會給工業控制系統帶來很大的風險�����。因此要完善工業控制系統的監控和管理措施,做到各部分操作有記錄可查���,責任到人�。
5)工業控制系統控制終端、服務器����、網絡設備故障沒有及時發現而響應延遲的問題,這個問題主要是完善監控系統建設���,把系統設備運行的主要參數����,集成到一個系統中來,實現對服務器和網絡設備的實時監控���,有故障及時發現,其次是建立合理的人員巡查制度�����,及時發現和解決問題。
3 總結
國內外發生了多起由于工控系統安全問題而造成的生產安全事故�����。給企業造成很大的經濟損失���,同時也影響到國家的安全的問題,為此�,工信部2011年10月下發了”關于加強工業控制系統信息安全管理的通知”����,要求各級政府和國有大型企業切實加強工業控制系統安全管理���。可見工業網絡的安全不同于一般網絡的安全,更關乎一個企業的安全和效益�����,甚至國家的利益�����,盡管工業網絡在應用實施和運行中不可避免會出現各種問題����,但信息化的發展是一個趨勢,網絡的應用必然會越來越廣泛����,不斷有新的系統接入到網絡��,只要防控得當,就能充分發揮工業網絡的高效便捷,避免風險帶來的損失�����。
第2篇
一�����、高度重視�,迅速貫徹落實
通過召開專題會議、發送微信通知,及時將上級的文件精神傳達給每位干部職工���,讓全體黨員干部充分認識到做好當前網絡信息安全保障工作的重要性和必要性�,并作為當前的一件頭等大事來抓��,確保網絡安全��。
二����、強化管理���,明確責任
為進一步完善網絡信息安全管理機制��,嚴格按照“誰主管誰負責�、屬地管理”的原則,明確了第一責任人和直接責任人����,加強對本單位的內部辦公網及其它信息網站的監督管理,防范黑客的入侵����。嚴禁傳播、下載��、發表一切不利于黨和國家的信息資料�,堅決制止違紀違規行為發生,確保網絡信息安全�。按照上級要求,迅速成立了網絡安全工作小組�,負責網絡安全應急工作,組織單位有關方面做好應急處置工作,組織開展局域網絡安全信息的匯集����、研判,及時向縣網信辦報告��。當發生重大網絡安全事件時,能及時做好應急響應相關工作�����。由辦公室負責本區域網絡安全事件的監測預警和應急處置工作�,分管副局長為網絡安全工作小組的副組長,負責辦公室。建立了本單位計算機信息網絡系統應用管理崗位責任制����,明確主管領導��,落實責任部門���,各盡其職,常抓不懈��,并按照“誰主管誰負責���,誰運行誰負責��,誰使用誰負責”的原則,切實履行好網絡信息安全保障職責�。
三��、信息報告與應急支持
1.積極響應上級領導的有關要求�,實時觀測本區域網絡安全信息�����,努力做到有效應對網絡安全事件���,一旦發生重大安全網絡事件及時向縣網信辦報送網絡安全事件和風險信息,并及時上報相關部門,積極配合協同做好應急準備工作或處置����。
2.積極建立健全本系統��、本部門�����、本行業重大網絡安全事件應急響應機制�����。應急處置時,需要其他部門�����、行業或技術支撐隊伍支持的,一定及時報請縣網信辦協調����,同時配合其他部門盡快解決����。
四、細化措施,排除隱患。
辦公室將對對全局的網絡設備、計算機進行一次細致的排查。檢查安裝桌面終端安全管理系統和殺毒軟件,確保桌面終端安全管理系統注冊率和360殺毒軟件覆蓋率達百分之百。對于在檢查中發現的問題或可能存在的安全隱患���、安全漏洞和薄弱環節�����,立即進行整改�。進一步完善相關應急預案���,落實應急保障條件����。杜絕出現違規“自選動作”,遇重大突發敏感事件,一律按統一部署進行報道。各科室要嚴把網上宣傳報道導向關,嚴格規范稿源,不得違規自采,不得違規轉裁稿件,不得擅自篡改標題���。嚴格網上新聞報道審校制度,防止出現低級錯誤,同時加大了對新聞跟帖的管理,組織本單位網評員積極跟帖���。
五�����、應急值守
1.單位網絡安全應急負責人�����、聯系人要保持網絡暢通�����,及時接收風險提示��、預警信息和任務要求�,并按要求報告相關情況�。負責人、聯系人名單或聯系方式有調整的��,及時函告縣網信辦。
2.值班期間,實行每日“零報告”制度,每日下午17:00前��,報送當天本部門網絡安全運行情況、受攻擊情況和事件情況�����,一旦發生網絡安全事件�,立即啟動應急預案,迅速應對��,有效處置����,并按規定程序及時報告有關情況��。
六��、工作要求
第3篇
關鍵詞 網絡設備��;加固����;電力
中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2010)33-0226-02
0引言
隨著電力行業信息化的不斷發展,網絡在日常工作中變得不可缺少,但同時網絡中存在的各種安全問題也給影響日常工作帶來了很大影響��。為了更好的將網絡為工作所用�,就必須很好解決網絡帶來的安全問題�����。本文作者結合“奧運保電”及“上海世博會保電”電力信息安全保障工作���,就國家電網公司對電力網絡設備進行安全加固的規范要求為例��,重著闡述了網絡設備加固的目的及重要性同時介紹了網絡加固的具體做法����。
1網絡設備安全防護
網絡設備安全包括在基礎網絡及各安全域中提供網絡運營支撐及安全防衛的路由器����、交換機�、無線設備以及防火墻、安全網關等安全設備自身的安全防護,對于為各域均提供網絡支撐服務的設備���,按滿足等級保護三級基本要求進行安全防護��,各域的網絡設備按該域所確定的安全域的等級進行安全防護���。
2加固形式與加固對象
2.1加固形式
加固形式主要分為自加固與專業安全加固:自加固是指電力系統業務主管部門或電力系統運行維護單位依靠自身的技術力量�����,對電力系統在日常維護過程中發現的脆弱性進行修補的安全加固工作����;專業安全加固是指在信息安全風險評估或安全檢查后�,由信息管理部門或系統業務主管部門組織發起,開展的電力系統安全加固工作[1]�����。
2.2加固對象
加固對象主要包括:網絡系統�、主機操作系統��、通用應用系統��、現有安全防護措施���、電力業務應用系統。
3 網絡設備加固內容
3.1 帳號權限加固
加強用戶認證�����,對網絡設備的管理權限進行劃分和限制�����;修改帳號存在的弱口令(包括SNMP社區串)�����,設置網絡系統的口令長度>8位�����;禁用不需要的用戶�;對口令進行加密存儲��。
3.2網絡服務加固
禁用http server,或者對http server進行訪問控制�;關閉不必要的SNMP服務,若必須使用��,應采用SNMPv3以上版本并啟用身份驗證���,更改默認社區串�;禁用與承載業務無關的服務(例如DHCP-relay、IGMP����、CDP RUN��、bootp服務等)。
3.3網絡訪問控制加固
對可管理配置網絡設備的網段通過訪問控制列表進行限制;使用SSH等安全方式登陸�����,禁用TELNET方式�;對SNMP進行ACL控制。
3.4審計策略加固
為網絡設備指定日志服務器;合理配置日志緩沖區大小����。
3.5惡意代碼防范
屏蔽病毒常用的網絡端口��;使用TCP keepalives服務;禁止IP源路由功能。
4 網絡設備加固實施
以思科網絡設備為例���,對方案進行詳細的說明[2]。
4.1帳號和口令
4.1.1登錄超時設置
實施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0設置超時5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
實施目的:防止獲得權限用戶會通過con口登錄控制交換機,如果沒有進行登錄時間限制��,如果管理者在登錄后沒有斷開��,就被黑客利用登錄����。
4.1.2交換機vty口配置加固
實施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止獲得權限用戶會通過vty進行登錄控制交換機��,如果沒有進行登錄時間限制�����,如果管理者在登錄后沒有斷開,就被黑客利用登錄。如果沒有訪問控制列表就會擴大telenet登錄權限范圍
4.1.3密碼加密
實施方案:
service password-encryption
實施目的:防止在配置文件里以明文方式顯示密碼����,暴漏主機信息��。
4.2網絡與服務
4.2.1交換機服務和協議的加固
實施方案:
no ip http server
no cdp enable
實施目的:http 服務沒有被關掉,任何獲得權限的人都可以對交換機進行WEB方式的管理。cdp 協議沒有關掉,任何人都可以在與之相連的設備上進行察看本交換機的版本�����,設備端口等相關信息���。
4.2.2修改交換機SNMP口令串
實施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (刪除原來具有RO權限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通過snmp進行管理�����,則創建一個具有讀權限的COMMUNITY-NAME���,若COMMUNITY-NAME權限為RW,則將命令行中RO更改為RW)
Router(config)# snmp-server enable traps (允許發出Trap)
Router(config)#exit
Router#write
實施目的:提高SNMP的安全性
4.2.3設置Telnet訪問控制策略�����,或啟用SSH
實施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允許10.144.99.120機器telnet登錄,如需配置某一網段可telnet遠程管理,可配置為:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(開啟telnet協議��,如支持ssh�����,可用ssh替換telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建議vty開放5個即可�����,多余的可以關閉)
Router(Config-line)#exit
Router(Config)#exit
Router#write
實施目的:提高遠程管理的安全性
5結論
網絡設備在電力系統的廣泛使用��,給電力信息從業人員帶來了前所未用的挑戰, 網絡設備安全加固無疑是保障電力信息安全的重要措施之一�。如何確保電力企業網絡安全穩定運行�,將安全漏洞、威脅和風險降到最小化���,將成為電力信息人永遠追求的目標。
參考文獻
第4篇
在社會經濟的推動下�,我國供電企業得到了較快發展�,在更好滿足人們供電需求的同時��,順應了城市化發展的潮流����。目前�����,很多供電企業都對信息技術進行了較好應用�,并通過其提高員工的工作效率以及質量����,從而給供電企業的發展帶來了一定機遇。雖然我國的網絡信息技術有了較好發展�,但在供電企業網絡信息管理中���,依然存在許多信息安全問題��,給企業發展以及社會穩定帶來不利,因此���,加強供電企業網絡信息安全防護具有重要意義。
一���、供電企業網絡信息安全概要
隨著科學技術的不斷進步����,我國許多供電企業都進入了智能化、自動化工作時代,并建立了自身的網絡信息數據庫�����,不僅給企業各項工作的順利進行帶來了較大便利,而且能夠為用戶提供更高質量的電能�。在信息技術的推動下�,供電企業營銷、財務等工作都實現了網絡化和規范化��,而且有些地區對正向隔離器進行了較好應用,從而給網絡信息訪問提供了一定的安全保障����。目前����,許多供電企業將自身營銷網絡與MIS網絡進行了有效結合����,并合理納入了呼叫接入系統,從而與銀行��、用戶等能夠較好進行信息共享��,并具有較高的安全性�。雖然供電企業網絡信息具有一定的安全性�����,但是基于網絡載體的自身特性�,依然存在著許多安全隱患���,包括計算機病毒�����、惡意網頁等內容,這些不良因素嚴重影響著網絡信息的安全,不僅對企業各項工作的正常進行造成了較大影響�����,而且給用戶正常用電帶來了極大不利��,最終產生多種社會問題�����。因此,加強供電企業網絡信息安全防護勢在必行�����。
二����、供電企業網絡信息存在的安全問題
(一)供電企業網絡服務器質量不高
供電企業的電力系統中一般具有多種服務器,包括銀電聯網服務器、數據庫服務器�����、WEB服務器等�,每種服務器都有著自身的特性和功能,對電力系統的正常運作具有重要作用。在信息技術的發展下�,各種網絡侵入技術也有了較快發展��,服務器非法入侵問題越來越嚴重,不僅給網絡信息的安全性帶來了較大隱患,而且破壞了社會穩定����。在供電企業中,不同的服務器據具有不同的認證系統�����,主要是為了提高網絡安全性��,但是沒有建立一個統一管理的網絡系統�,致使工作人員難以對服務器進行有效管理;電力系統中的WEB服務器經常會受到各種惡意病毒的侵襲���,致使信息訪問的安全性遭到較大沖擊;在供電企業的郵件服務器中���,存在較多的垃圾郵件,但是管理人員疏于監管,而許多工作人員不具備較好的安全意識�����,將這些郵件隨意傳播�����,致使企業網絡信息安全受到嚴重威脅;由于供電企業網絡服務器質量不高����、加密效果較差�����、管理人員安全意識不足��,極易遭受黑客攻擊,致使企業機密文件或重要信息被竊取,最終給企業的正常運作帶來極大不利�。
(二)供電企業網絡信息安全防護能力不足
在網絡信息技術發展的同時�����,各類信息安全事件也不斷涌現���,不僅破壞了網絡秩序���,而且產生了較多負面影響���,因此����,加強網絡信息安全防護具有重要作用。雖然我國信息技術有了較大進步���,但是在供電企業中,其網絡信息安全防護能力還存在較大問題����,難以適應網絡環境的復雜性與多變性�,所以提高供電企業網絡信息安全防護能力勢在必行�。目前,網絡的保護系統還沒有得到更為有效的保護���,我國目前對于網絡信息的保護還僅僅是停留在購買殺毒軟件這個層次上,但是殺毒軟件其實效果是有限的��,如果想要更加健全更加全方位的保護就必須要有自己的防護系統��,例如在網關處加入自己的防護措施����,并且具有針對性的增強安全手段���。畢竟�����,對于供電企業來說,很多信息是非常重要的�����,也算是企業的機密文件�����,所以對于網絡的安全尤為重要����。就部分供電企業而言��,并不具有完善的信息安全防護系統�����,在殺毒軟件方面存在一定落后性���,當網絡遭到外部攻擊時�,現有的安全防護措施難以進行抵御����。此外,有些供電企業不具備較好的數據恢復系統���,一旦信息出現損害或消失,供電企業難以補救數據漏洞�,從而給各項工作的順利進行帶來不利�。目前的供電企業大都缺乏網絡信息安全評價體系���,致使供電企業不能有效了解自身的網絡情況�,也難以加強信息安全����,所以如何提高網絡信息安全防護能力是供電企業面臨的重大問題。
(三)計算機病毒威脅
供電企業大都通過自身網站與外網進行鏈接實現信息訪問,由于網絡信息不具備較好的規范性�����,許多惡意網頁也隱藏在網站中����,當員工點開惡意網頁的鏈接時,計算機病毒就會侵入供電企業網站服務器,并迅速擴散,最終造成服務器癱瘓��。計算機病毒并不能夠直接用肉眼識別����,許多計算機病毒都隱藏在一些正規的網頁中,所以電腦使用者不能夠及時發現網頁危害,當其無意中點開惡意網頁鏈接時,計算機病毒就會通過一定運作方式擴散至整個計算機終端�����,并改變服務器的運行程序��,從而產生多種問題�����。
三、供電企業網絡信息安全防護措施
(一)完善計算機防火墻
防火墻是計算機中重要組成部分,主要分為兩種形式�,一種是軟件防火墻�����,另一種是硬件防火墻��。防火墻具有較高的安全性��,能夠阻止網頁非法訪問以及惡意信息侵入,并能對信息的流通環節進行較好控制�����,從而保障網絡信息安全�����。因此����,供電企業可以對硬件防護墻進行完善�����,利用其對企業內網與外網之間的信息訪問進行控制���,并對外網進行有效隔離���,從而提高信息訪問的安全性����。為了更好保障網絡信息安全性,供電企業可以在完善防火墻的基礎上對殺毒軟件進行升級,并建立數據備份系統�����,從而取得較好的防護效果�。在對防火墻進行完善時����,供電企業需對訪問權限進行合理設置,并對相應的數據資源進行加密��,合理控制數據進出環境���,排除一切不利因素���,從而提高防火墻的效果��。防火墻不僅會對外網信息傳輸進行控制����,而且還會對供電企業內網信息傳輸進行限制���,所以供電企業在完善防火墻時必須對多種情況進行合理考慮�,在滿足企業工作需求的前提下提高信息安全度,從而更好保障供電企業正常運作�。
(二)增強員工安全意識
供電企業中具有多種類型的工作�,而員工又是工作主體�����,所以增強員工安全意識對提高網絡信息安全性具有重要作用�����。供電企業須根據實際情況建立網絡安全制度,并加強對員工安全意識的教育��,要求其在實際工作中樹立信息安全風險意識�,嚴格控制信息輸出及輸入環節,按照相關規范進行工作�。由于供電企業中多項環節都會涉及到網絡信息的應用,所以供電企業必須注重對員工進行安全培訓�,并提高其專業能力����,從而降低因人為因素造成的網絡信息安全隱患��。
(三)預控計算機病毒
計算機病毒的種類較多�,存在于計算機信息傳輸的各個環節�����,不僅會對供電企業的正常運作帶來不利�����,而且可能對電力系統的穩定性造成嚴重影響,所以供電企業必須采取有效措施預控計算機病毒?�;谟嬎銠C病毒的威脅�����,供電企業可以建立網絡病毒墻����,根據防火墻的特性來完善病毒墻的各種功能����,以預控計算機病毒為目標,加強對網絡信息傳輸環節的控制,從而更好提高網絡信息安全性�。
結束語
基于電力企業的重要性����,維護網絡信息安全有著極大意義,也是保障社會穩定的重要措施�。網絡具有復雜性和多樣性,其存在著多種漏洞,因此,信息安全問題在所難免�����,只有加強信息安全防護才能更好保障供電企業各項工作正常進行���,所以供電企業必須加強對員工專業素質的培訓��,并采取有效措施控制計算機病毒���,這樣才能更好保障網絡信息安全���,滿足人們正常供電需求����。
第5篇
關鍵詞:計算機網絡安全 ARP攻擊 局域網
隨著網絡化����、數字化以及信息化社會的推進,計算機網絡成為了人們生活重要的助手,計算機網絡安全就越來越重要���。而影響到計算機網絡安全管理的ARP攻擊,比如網協地址被別人盜用,不但會影響到計算機網絡正常運行,還可能為被盜單位帶來較大經濟損失與潛在安全隱患�。在這種形式下�����,研究計算機網絡安全防ARP攻擊具有現實意義。
1.計算機網絡安全ARP攻擊概述
ARP攻擊,是針對以太網地址解析協議的一種攻擊技術���。此種攻擊可讓攻擊者取得局域網上的數據封包甚至可篡改封包,且可讓網絡上特定計算機或所有計算機無法正常連接。
要探究計算機網絡安全防ARP攻擊��,首先要明確該攻擊自身的特征以及為計算機網絡安全造成的危害�。
1.1計算機網絡安全ARP攻擊特征
①隱蔽性 有時候網絡中出現了網協地址沖突問題�����,大都能夠采用多種方法與手段進行避免�。但是一旦出現了ARP攻擊�����,計算機中心系統沒有辦法判斷出ARP緩存是否正確���,也就不會給用戶提出任何提示���,讓計算機無形被攻擊�。
②阻塞網絡性 一旦出現了ARP攻擊就會偽造出網協地址與物理地址���,這些偽造地址加大了ARP的通信量��,進而阻塞網絡影響到網絡通訊能力�。
③不易消除性 事實上��,出現了ARP攻擊極難對付����,為計算機網絡管理人員帶來維護網絡安全難度����。
1.2計算機網絡安全ARP攻擊的危害
ARP攻擊危害性較大,攻擊性較輕讓計算機網絡出現掉線�,如果較重就可能導致重要數據及密碼被盜�,帶來慘重損失���,具體危害體現在如下幾個方面:
①到時網速速度不穩定����,嚴重影響到網絡通訊質量;
②卡死計算機 這種攻擊能夠造成網協地址沖突����,為計算機帶來通訊困難��,嚴重者出現死機;
③盜取核心信息 盜取網絡局域網里各個上網用戶的信息進行非法活動���,帶來嚴重損失;
④破除計算機屏保 一旦被攻擊就可能造成IP地址級別高于屏保����,帶來不安全問題�。
2.計算機網絡安全防ARP攻擊的策略
從實際現狀中可以看出來���,一旦出現了ARP攻擊勢必會為計算機中心及用戶帶來影響�����,因此就必須要針對計算機網絡安全ARP攻擊實施相應防范策略�。
2.1判斷ARP攻擊方法 一旦管理人員發現計算機網絡出現了不正常情況時�,就進入到MS-DOS窗口中輸入“ARP-a”,就能夠顯現出許多不同網協地址以及所對應著物理地址的列表���,比如:
從上面所顯示就能夠斷定出MAC地址00-50-BF-11-FF-96計算機遭受到攻擊。再進入到MS-DOS窗口之中輸入“ipconfig/all”查詢相應物理地址�����,之后進行相關操作就能夠鎖定到受ARP攻擊的那臺計算機�����。
2.2防ARP攻擊安全簡單措施 事實上有一些ARP攻擊只需要簡單防范,就能夠消除,這種消除措施要求不是很高���,能夠暫時消除故障,但是不能夠持續多久還有可能會為工作帶來不便,這種方式只是適合技術水平一般的人員��,具體操作:
①重新啟動計算機����,一旦重新啟動了計算機就會讓ARP攻擊失去環境;
②對網絡設備進行復位�,普遍做法就是恢復到出廠設置����;
③禁用網卡�,切斷目標地址。
這樣就能夠切斷ARP攻擊,讓攻擊失去了目標自然就失敗了�����,之后再激活網卡�����,就能夠解決掉ARP攻擊���。
2.3 采用雙向地址綁定 這種方法是比較常用的防ARP攻擊����,就是將物理地址與網協地質綁定在一起形成雙向綁定�����。事實上��, ARP攻擊就是偽造網協地址與物理地質來達到目的�����。因此我們絕對不能夠輕易相信網協地址或者物理地址���,我們的安全策略應該建立在網協+物理地址之上����。即是物理地址和網協地址雙向綁定,讓邏輯地址與物理地址即網卡地址一一對應及一一映射關系。這樣就能夠防范ARP表被更改,提防出現ARP攻擊��。當時在實施雙向綁定上不能夠一概而論�,而要根據不同操作系統實施不同的雙向綁定。
2.4使用ARP防火墻 為了提防ARP攻擊,目前研發出了ARP防火墻技術�����,這種技術能夠完成兩個確保:計算機從網關獲取的物理地址是合法的���,而網關獲取計算機的物理地址也是合法的�����,這樣就能夠有效防止ARP攻擊不受到假ARP數據包的影響���,有效過濾假ARP數據包�,確保計算機從網關中獲取正確的物理地址�����。
2.5 做好局域網安全措施 事實上每一個單位都有自己的局域網����,加之一些員工對網絡安全的意識比較淡薄��,如果還是使用專殺工具勢必不能解決ARP病毒。因此��,局域網應該從如下幾個方面防ARP攻擊��。
①做好用戶自身網絡安全防護 要加強用戶自身網絡意識����,不要輕易下載及使用來路不明的軟件�����,不要隨意點開QQ����、MSN等發來不安全的鏈接信息���、郵件等�����;
②在整個局域網內使用雙向綁定����;
③在局域網中使用ARP服務器 就是在整個局域網內部使用一臺機器做ARP服務器�����,專門用來維護局域網中的所有主機的物理地址和網協地址之間映射記錄,一旦有ARP請求之時�,就通過ARP服務器查閱本機靜態記錄�����,進而提防出現ARP攻擊�。
④綁定交換機端口和物理地址(網卡地址) 就是在交換機的端口上把物理地址與端口進行綁定���、IP地址與端口綁定�,就能夠在端口上實現網協與物理地址綁定,將交換機上的ARP表固定起來�����。這樣無論什么ARP攻擊都無法改變交換機中的ARP表。
⑤使用虛擬局域網(VLAN)技術對端口進行隔離 這樣就能夠將局域網中的邏輯地址劃分為許多網段����,進而實現了虛擬工作組技術���。VLAN技術能夠將ARP攻擊產生出來的報文限制于同一個局域網��,能夠有效的抑制ARP攻擊。
3.結束語
計算機網絡在我們工作方便的同時也帶來了一些安全問題�����,如何構建計算機網絡安全環境至關重要��,也是眾多網絡管理員研究的重要課題��。因此本文從目前計算機網絡安全的ARP攻擊現狀進行分析,有針對性提出網絡安全防ARP攻擊的措施�����,進而為計算機網絡管理員維護安全提供參考�。
參考文獻:
[1]李軍鋒.基于計算機網絡安全防ARP攻擊的研究[J].武漢工業學院學報�����,2009(3):28-31.
[2]周晴.淺析高校計算機網絡安全問題及對策[J].電腦知識與技術����,2010(15):87-90.
第6篇
【關鍵詞】網絡工程����;安全防護技術;防火墻
隨著信息化時代的到來,網絡在人們生活及工作中的應用越來越廣泛�。網絡不僅能夠快速的傳遞信息��,還能完成以前人們不能完成的任務,,但是同時網絡也存在著一定的安全問題,如計算機病毒感染��、黑客入侵���、系統風險等�。因此必須要加強對網絡工程的安全防護技術,唯有如此,才能真正保證人們使用網絡的安全性。
1網絡工程中存在的幾項安全問題
當下��,人們對網絡工程的使用和依賴性逐漸增強����,但是網絡工程中卻存在著一些風險,這將嚴重影響著人們使用網絡工程的安全。目前存在的安全問題有以下幾項:
1.1黑客對網絡工程的入侵
在網絡工程的安全中���,黑客入侵一直以來就是一個比較難于解決的問題。所謂黑客入侵,指的就是一些人利用計算機中存在的漏洞來盜取別人的資料或者是對網絡展開攻擊��。黑客入侵可以分成兩類:①非破壞性攻擊���;②破壞性攻擊�。非破壞性攻擊的主要目的是為了阻礙計算機網絡的正常運行���,它并沒有對系統造成破壞���,只是通過阻礙來盜取信息或者是讓別人的網絡系統在一段時間內不能正常運行��;破壞性攻擊會對網絡系統直接進行破壞來竊取信息���,嚴重的甚至能直接造成別人網絡系統的癱瘓��。
1.2計算機病毒對網絡工程的入侵
計算機病毒的存在對網絡工程的安全有一定的風險,因而對當前網絡工程的發展造成了一定的阻礙��。計算機病毒并不是一開始就存在的�,它是由人工編寫而成的,是編寫者將編寫好的編碼�、指令等植入到計算機網絡系統中���,從而造成其對網絡工程入侵���。計算機病毒入侵將會泄漏一些重要的信息�,導致網絡工程出現安全問題。計算機病毒具有它自身獨有的特點:①它具有破壞性��,能夠導致入侵的系統進入癱瘓狀態�����;②具有傳染性�����,一旦計算機的某個程序被病毒入侵后將會傳染給其他的程序,使病毒入侵的危害性大大增加;③還具有復制性的特點�����,被入侵的程序能夠復制編碼��。這樣計算機病毒的入侵將給網絡工程的安全性帶來極大的風險。
1.3IP地址盜用對網絡工程的影響
每一個計算機網絡都有著屬于自己的IP地址�����,這個地址一旦被盜用�,將會造成該計算機網絡無法進行連接。另外IP地址還關系到計算機的一些個人信息����,這樣被盜用后將會導致一些個人信息的泄漏����。
2如何加強計算機網絡工程的安全防護技術
想要加強計算機網絡工程的安全防護技術��,就必須得了解威脅計算機網絡安全的構成�����,只有了解才能采取合適的方法加強安全防護。
2.1利用防火墻加強安全防護
為了加強網絡工程的安全防護�����,可以設置防火墻���,這樣將會阻止黑客及一些計算機病毒對系統的攻擊��。由于設置防火墻具有過濾的功能�����,可以在局域網和外部網絡之間進行設置��,這樣防火墻將會發揮它最大的作用�����,不僅過濾各種存在安全隱患的信息,還能阻止各種病毒對計算機的破壞,從而最大程度上的來保護計算機網絡工程的安全�����。
2.2加強計算機病毒的防護措施
由于當前計算機網絡受到計算機病毒入侵的風險����,為了保證計算機網絡工程的安全,要加強計算機病毒思維防護措施。隨著計算機的逐漸使用���,病毒的種類也不斷地增加,為了更好的保護計算機網絡系統,就必須加強防護措施�����。為了保證計算機安全而采用的防護措施有多種��,如可以通過一些殺毒軟件來進行防護����,也可以通過定期做病毒查殺來進行防護,還可以將一些重要的數據備份��,這樣可以防止計算機出現病毒后內容丟失�。
2.3植入入侵檢測技術
通過植入入侵檢測技術,計算機網絡將可以主動檢測是否有病毒或者黑客等侵入網絡工程��,這樣將可以大大提高計算機網絡工程的安全性����。植入入侵檢測技術���,將可以在病毒入侵之前就做出防護措施�����,這一點與其它的防護措施有著明顯的不同���。
2.4拒絕垃圾郵件的收取
垃圾郵件指的是那些不是用戶主動獲取而是無法阻止的郵件���,垃圾郵件的存在將占據系統的存儲空間����,進而影響計算機網絡系統的運行速度�����。通過拒絕接收垃圾郵件����,不僅可以降低網絡工程的風險性���,而且還可以加快系統運行效率���。
2.5加強網絡風險的防范
在網絡工程的防護中可以對系統中一些比較重要的內容進行數據加密����,這樣將會增強網絡的安全性。在進行數據加密后只要不知道怎樣解密,即使數據被竊取,竊取者也無法得到所要的信息��。
3結束語
總之���,網絡在給人們生活帶來便利的同時�����,網絡工程也存在著各項風險問題,為了保證網絡工程的安全性�,就必須加強網絡工程的安全防護技術����。只有通過各種防護措施��,才能真正保證網絡工程的安全����,從而最大程度的發揮出網絡工程的作用����。
參考文獻
[1]畢妍.關于網絡工程中的安全防護技術的思考[J].電腦知識與技術,2013(21):4790~4791���,4814.
[2]陳紅敏.關于網絡工程中的安全防護技術的思考[J].城市建設理論研究(電子版),2015(18):6688.
第7篇
關鍵詞:1辦公自動化網絡網絡安全病毒黑客
1.引言
企業內部辦公自動化網絡一般是基于TcrilP協議并采用了Internet的通信標準和Web信息流通模式的Intra-net�,它具有開放性�����,因而使用極其方便。但開放性卻帶來了系統人侵����、病毒人侵等安全性問題。一旦安全問題得不到很好地解決��,就可能出現商業秘密泄漏����、設備損壞��、數據丟失�����、系統癱瘓等嚴重后果,給正常的企業經營活動造成極大的負面影響����。因此企業需要一個更安全的辦公自動化網絡系統���。
辦公自動化系統的安全包括網絡設備�、配套設備的安全����、數據的安全、通訊的安全�����、運行環境的安全�����,還包括網絡內部每臺計算機的安全��、計算機功能的正常發
揮等部分。
辦公自動化網絡安全問題的解決主要應從預警�、防護�、災難恢復等三方面人手�,下面就安全預警、數據安全防護�����、人侵防范����、病毒防治以及數據恢復等方面分別探討�����。
2.辦公自動化網絡常見的安全問題
2.1黑客入侵
目前的辦公自動化網絡基本上都采用以廣播為技術基礎的以太網�����。在同一以太網中,任何兩個節點之間的通信數據包,不僅可以為這兩個節點的網卡所接收��,也同時能夠為處在同一以太網上的任何一個節點的網卡所截取�。另外,為了工作方便,辦公自動化網絡都備有與
外網和國際互聯網相互連接的出人口,因此,外網及國際互聯網中的黑客只要侵人辦公自動化網絡中的任意節點進行偵聽��,就可以捕獲發生在這個以太網上的所有數據包�,對其進行解包分析,從而竊取關鍵信息;而本網絡中的黑客則有可能非常方便的截取任何數據包,從而
造成信息的失竊����。
2.2病毒感染
隨著計算機和網絡的進步和普及���,計算機病毒也不斷出現��,總數已經超過20000種,并以每月300種的速度增加,其破環性也不斷增加��,而網絡病毒破壞性就更強����。一旦文件服務器的硬盤被病毒感染,就可能造成系統損壞、數據丟失,使網絡服務器無法起動����,應用程序和數據無法正確使用,甚至導致整個網絡癱瘓�����,造成不可估量的損失。
網絡病毒普遍具有較強的再生機制,可以通過網絡擴散與傳染��。一旦某個公用程序染了毒����,那么病毒將很快在整個網絡上傳播,感染其它的程序。由網絡病毒造成網絡癱瘓的損失是難以估計的。一旦網絡服務器被感染,其解毒所需的時間將是單機的幾十倍以上��。
2.3數據破壞
在辦公自動化網絡系統中����,有多種因素可能導致數據的破壞。
首先是黑客侵人,黑客基于各種原因侵人網絡����,其中惡意侵人對網絡的危害可能是多方面的�����。其中一種危害就是破壞數據,可能破壞服務器硬盤引導區數據、刪除或覆蓋原始數據庫�����、破壞應用程序數據等����。
其次是病毒破壞,病毒可能攻擊系統數據區,包括硬盤主引導扇區、Boot扇區����、FAT表、文件目錄等;病毒還可能攻擊文件數據區���,使文件數據被刪除、改名�、替換�、丟失部分程序代碼�����、丟失數據文件;病毒還可能攻擊CMOS�����,破壞系統CMOS中的數據。
第三是災難破壞���,由于自然災害、突然停電�、強烈震動�����、誤操作等造成數據破壞。重要數據遭到破壞和丟失�����,會造成企業經營困難���、人力�、物力、財力的巨大浪費���。
3.網絡安全策略
3.1網絡安全預警
辦公自動化網絡安全預誓系統分為人侵預警和病毒預警兩部分��。
人侵預警系統中���,人侵檢測可以分析確定網絡中傳輸的數據包是否經過授權����。一旦檢測到人侵信息�����,將發出警告�����,從而減少對網絡的威脅�。它把包括網絡掃描�、互聯網掃描、系統掃描��、實時監控和第三方的防火墻產生的重要安全數據綜合起來���,提供內部和外部的分析并在實際網絡中發現風險源和直接響應�。它提供企業安全風險管理報告,報告集中于重要的風險管理范圍���,如實時風險、攻擊條件���、安全漏洞和攻擊分析;提供詳細的人侵告警報告,顯示人侵告警信息(如人侵IP地址及目的IP地址�����、目的端口���、攻擊特征)����,并跟蹤分析人侵趨
勢�����,以確定網絡的安全狀態;信息可以發往相關數據庫����,作為有關網絡安全的決策依據�����。
病毒預警系統通過對所有進出網絡的數據包實施不間斷的持續掃描�,保持全天24小時監控所有進出網絡的文件��,發現病毒時可立即產生報警信息�,通知管理員���,并可以通過IP地址定位���、端口定位追蹤病毒來源���,并產生功能強大的掃描日志與報告����,記錄規定時間內追蹤網絡所有病毒的活動。
3.2數據安全保護
3.2.1針對入侵的安全保護
對于數據庫來說,其物理完整性����、邏輯完整性、數據元素完整性都是十分重要的��。數據庫中的數據有純粹信息數據和功能文件數據兩大類����,人侵保護應主要考慮以下幾條原則:
物理設備和安全防護,包括服務器��、有線����、無線通信線路的安全防護;
服務器安全保護,不同類型�����、不同重要程度的數據應盡可能在不同的服務器上實現,重要數據采用分布式管理�����,服務器應有合理的訪問控制和身份認證措施保護����,并記錄訪問日志。系統中的重要數據在數據庫中應有加密和驗證措施。
用戶對數據的存取應有明確的授權策略�,保證用戶只能打開自己權限范圍之內的文件;
通過審計和留痕技術避免非法者從系統外取得系統數據或是合法用戶為逃避系統預警報告的監督而從系統中取得數據;
客戶端安全保護����,客戶端的安全主要是要求能配合服務器的安全措施�,提供身份認證、加密、解密、數字簽名和信息完整性驗證功能,并通過軟件強制實現各客戶機口令的定期更換,以防止口令泄漏可能帶來的損失��。
3.2.2針對病毒破壞及災難破壞的安全保護
對于病毒和災難破壞的數據保護來說�,最為有效的保護方式有兩大類:物理保護和數據備份。
要防止病毒和災難破壞數據,首先要在網絡核心設備上設置物理保護措施�����,包括設置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤鏡像或磁盤陣列存儲數據�,避免由于磁盤物理故障造成數據丟失;另外�����,還要使用其他物理媒體對重要的數據進行備份�����,包括實時數據備份和定期數據備份,以便數據丟失后及時有效地恢復�����。
3.3人侵防范
要有效地防范非法入侵��,應做到內外網隔離�����、訪問控制、內部網絡隔離和分段管理��。
3.3.1內外網隔離
在內部辦公自動化網絡和外網之間����,設置物理隔離,以實現內外網的隔離是保護辦公自動化網絡安全的最主要���、同時也是最有效、最經濟的措施之一�。
第一層隔離防護措施是路由器����。路由器濾掉被屏蔽的IP地址和服務�����。可以首先屏蔽所有的IP地址,然后有選擇的放行一些地址進人辦公自動化網絡。
第二層隔離防護措施是防火墻。大多數防火墻都有認證機制,無論何種類型防火墻���,從總體上看,都應具有以下五大基本功能:過濾進、出網絡的數據;管理進���、
出網絡的訪問行為;封堵某些禁止的業務;記錄通過防火墻的信息內容和活動;對網絡攻擊的檢測和告警。
3.3.2訪問控制
力、公自動化網絡應采用訪問控制的安全措施��,將整個網絡結構分為三部分����,內部網絡、隔離區以及外網���。每個部分設置不同的訪問控制方式。其中:內部網絡是不對外開放的區域���,它不對外提供任何服務,所以外部用戶檢測不到它的IP地址,也難以對它進行攻擊。隔離區對外提供服務����,系統開放的信息都放在該區��,由于它的開放性����,就使它成為黑客們攻擊的對象���,但由于它與內部網是隔離開的����,所以即使受到了攻擊也不會危及內部網�,這樣雙重保護了內部網絡的資源不受侵害,也方便管理員監視和診斷網絡故障。
3.3.3內部網絡的隔離及分段管理
內部網絡分段是保證安全的一項重要措施��,同時也是一項基本措施�����,其指導思想在于將非法用戶與網絡資源相互隔離���,從而達到限制用戶非法訪問的目的�����。
辦公自動化網絡可以根據部門或業務需要分段.網絡分段可采用物理分段或邏輯分段兩種方式:物理分段通常是指將網絡從物理層和數據鏈路層上分為若干網段,各網段相互之間無法進行直接通訊;邏輯分段則是指將整個系統在網絡層上進行分段。并能實現子網隔離。在實際應用過程中�,通常采取物理分段與邏輯分段相結合的方法來實現隔離���。
采取相應的安全措施后���,子網間可相互訪問��。對于TCP/IP網絡,可把網絡分成若干IP子網,各子網間必須通過路由器����、路由交換機�����、網關或防火墻等設備進行連接,利用這些中間設備(含軟件、硬件)的安全機制來控制各子網間的訪問��。在這里�����,防火墻被用來隔離內部
網絡的一個網段與另一個網段,可以限制局部網絡安全問題對全局網絡造成的影響�����。
3.4病毒防治
相對于單機病毒的防護來說�,網絡病毒的防治具有更大的難度,網絡病毒防治應與網絡管理緊密結合����。網絡防病毒最大的特點在于網絡的管理功能����,如果沒有管理功能�,很難完成網絡防毒的任務。只有管理與防范相結合���,才能保證系統正常運行。
計算機病毒的預防在于完善操作系統和應用軟件的安全機制�。在網絡環境下����,病毒傳播擴散快��,僅用單機防殺病毒產品已經難以清除網絡病毒���,必須有適用于局域網����、廣域網的全方位防殺病毒產品。為實現計算機病毒的防治��,可在辦公自動化網絡系統上安裝網絡病毒防
治服務器��,并在內部網絡服務器上安裝網絡病毒防治軟件,在單機上安裝單機環境的反病毒軟件��。安裝網絡病毒防治服務器的目標是以實時作業方式掃描所有進出網絡的文件���。本地網絡與其它網絡(包括I1}1ITR1V}1''''和各種局域網)間的數據交換��、本地網絡工作站與服務器間
的數據交換���、本地網絡各工作站之間的數據交換都要經過網絡病毒防治服務器的檢測與過濾�����,這樣就保證了網絡病毒的實時查殺與防治。
3.5數據恢復
辦公自動化系統數據遭到破壞之后����,其數據恢復程度依賴于數據備份方案�����。
數據備份的目的在于盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有:實時高速度�����、大容量自動的數據存儲��、備份與恢復;定期的數據存儲����、備份與恢復;對系統設備的備份�����。備份不僅在網絡系統硬件故障或人為失誤時
起到保護作用,也在人侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用,同時亦是系統災難恢復的前提之一�。
第8篇
【關鍵詞】高速公路收費網絡 網絡安全
近年來,我國在電子計算機技術方面取得了較大的進展,計算機網絡技術被各個行業廣泛應用。在我國高速公路的建設過程中�����,計算機網絡技術也被應用到其中,高速公路已經實現了聯網收費�����。采用聯網收費的方式能夠降低高速公路收費工作人員的工作強度���,并且在管理用戶的時候能夠更加的快速便捷�����,使得用戶信息能夠被各個收費站共享�。但是����,高速公路聯網收費系統的網絡安全問題也成為了目前高速公路管理部門比較關注的問題,存在非法入侵者用計算機網絡對收費系統進行網絡攻擊、竊取高速公路用戶的信息資料或者通過一些手段偷逃通行費用等風險��,對高速公路管理部門造成了嚴重的損害�,危及了一些用戶的信息隱私安全,因此,必須加強對高速公路聯網收費系統網絡安全防護工作�,建立切實可行的網絡安全防范管理制度����,采取有效的措施保證高速公路聯網收費系y能夠安全穩定的運行�����。
1 高速公路收費網絡安全現狀
隨著我國高速公路建設規模的不斷擴大���,計算機網絡技術的不斷發展��,為了能夠滿足社會發展的需求,我國大多數省份的高速公路都已經基本完成了公路聯網工作,這使得高速公路的收費系統規模也日漸龐大�����,高速公路的聯網收費系統使得高速公路某個收費站的網絡一旦出現安全問題��,就會使得整個網絡系統都存在安全隱患���,牽一發而動全身���,對整個高速公路系統的安全運行有一定的影響��,同時還會影響到社會秩序。
就目前的情況來看,我國高速公路的聯網收費系統已經比較完善��,但是在收費網絡的安全方面還是存在一定的隱患���,有關管理部門缺乏網絡安全意識�,沒有健全的網絡安全管理機制,對聯網收費系統采取的一些網絡安全防范措施有限。但是�,隨著收費路段的不斷增加�,收費網絡也越來越復雜����,這就使得收費系統中存在的漏洞也變得越來越復雜,風險越來越多�����,很多管理人員和技術人員在專業技術水平方面有所欠缺�����,在日常的操作和維護工作中存在不規范的現象,也給收費系統帶來了一定的安全問題��。
此外���,高速公路聯網收費系統使用的網絡雖然屬于高度封閉內部網絡�����,但是由于各個收費站點都比較分散�,而收費站點的數量較多����,這就使得收費網絡容易受到網絡黑客的攻擊,造成用戶信息或者一些重要數據的丟失或損壞����,給整個收費系統造成了嚴重的危害�,甚至還會使得收費系統出現癱瘓的現象�����,給高速公路管理部門帶來經濟損失��,影響社會秩序。
2 高速公路收費網絡存在的安全隱患
2.1 物理傳輸鏈路存在安全問題
在高速公路收費系統中��,物理傳輸鏈是其運行的基本平臺���。但是�����,在實際工作中�����,往往會由于工作人員對收費系統管理不當而出現安全問題��,一般情況下常見的問題有線路損壞使得信息傳遞受阻����,或者一些不法分子通過攔截傳輸線路中的信號來竊取用戶的數據或信息,有時還可能對數據和信息進行惡意修改等�。
2.2 網絡結構存在的安全隱患
在高速公路的聯網收費系統使用的過程中��,要將系統網絡和互聯網相連接,這就使得互聯網中的一些危險因素容易滲透到內部系統網絡中���,對系統網絡中的操作系統或者主機設備帶來安全隱患。有些不法分子利用較高的計算機技術����,通過互聯網對高速公路的收費系統進行非法訪問��,對收費系統中的一些重要數據或者用戶的信息進行盜竊或者破壞,或者直接破壞聯網收費系統��,這會導致高速公路各路段的收費系統出現故障甚至出現網絡癱瘓的現象��,嚴重影響了收費系統的正常使用�����。
2.3 操作系統中存在安全隱患
高速公路聯網收費系統在進行控制室服務器安裝時,沒有考慮到主機操作系統的安全保護問題�����,在安裝操作系統上�����,技術人員對于一些系統設置沒有進行嚴密的設置操作,使得系統默認的安全設置不符合標準。此外��,對于服務器的一些端口技術人員沒有對其進行端口封閉處理�,使得這些端口保持敞開,這樣就給一些不法分子可乘之機,他們會利用這些敞開的端口�����,連接入收費系統的內網��,進而對一些數據或信息進行盜竊或破壞����,通常情況下���,一些操作系統在開發的時候都會設置產品后門�����,當系統安全設置不完善是�����,就容易被人非法入侵。一旦高速公路收費系統的服務器被入侵,將會造成嚴重的后果��。因此�,在聯網收費系統使用的過程中,相關的管理人員一定要重視系統的安全設置,提高操作系統的安全配置水平��,杜絕不法分子的非法入侵���,保證聯網收費系統的安全性�����。
2.4 軟件故障
在高速公路聯網收費系統中,還會應用各種應用軟件����,例如車道收費軟件�����、路段分中心收費軟件以及收費處收費系統軟件等等,在收費系統使用的過程中��,可能會產生由于收費系統中應用軟件、數據庫等發生故障而引起的安全事故�����,收費系統的主機如果出現軟件故障�,就會導致部分地區的收費數據丟失或者收費紊亂等現象,嚴重的時候還會使得高速公路部分路段或者整個公路段的收費系統無法正常工作,一些收費數據等也無法恢復。
3 高速公路收費網絡的安全防護措施
3.1 加強網絡安全管理
在高速公路聯網收費系統使用的過程中���,要加強對收費網絡的安全管理,制定切實有效的網絡安全管理制度,保證相關技術人員在工作的操作和維護過程中嚴格按照管理制度來進行��,使得收費系統的網絡安全能夠得到保障確保收費系統能夠安全穩定的運行��。收費系統網絡安全管理制度包括:對各級收費單位的安全管理等級和安全管理范圍進行明確�,制定收費系統網絡操作的相關操作規程�,制定相關技術人員進出機房的管理制度,制定收費系統網絡維護制度和網絡應急措施等等。
3.2 確保網絡結構安全
高速公路聯網收費系統在進行網絡構架的時候應該采用比較高端的設備裝置�����,對一些不必要的端口做封閉處理�����,降低入侵風險����。在網絡系統的出入口都要設置強度較高的防火墻�����,不定期對一些收費數據和用戶信息的儲存系統進程病毒查殺和安全防護。對收費系統的網絡進行地域的劃分�,形成多個局域網絡����,這樣能夠使收費系統的網絡結構變得簡單一點�,并且在局域網絡出現安全問題的時候不會影響到其他網絡的安全。
3.3 確保操作系統的安全運行
想要確保聯網收費系統控制室的主機的操作系統能夠完全穩定的運行����,就必須要在操作系統的安裝過程中采用新型的補丁程序��,設置磁盤的訪問權限,關閉操作系統默認設置中的共享連接�����。關閉不再使用服務器或者端口��,對操作系統設置高強度的訪問密碼�,不定期的更改密碼�����,避免密碼被破譯的可能性���。完善操作系統的監控體系���,及時改善操作系統中出現的安全漏洞或安全隱患,對一些入侵行為能夠及時的提出預警,便于技術人員采取相應的措施�。
4 結束語
總而言之����,高速公路收費系統的網絡安全問題能夠影響我國高速公路的發展����,在信息時代,高速公路收費系統經常出現網絡安全問題,這就要求有關部門加強對收費系統的網絡安全防護工作����,建立完善的網絡安全管理制度�,優化網絡結構��,培養相關的專業技術人員����,從而降低網絡安全事故發生的概率����,使高速公路聯網收費系統能夠正常的運作����。
參考文獻
[1]王寶魁.高速公路聯網收費系統安全保障工作淺談[J].中國交通信息化��,2015(09):85-87.
[2]趙朝部��,蘭良.高速公路聯網收費系統網絡安全優化分析[J].網絡安全技術與應用,2015(03):128+131.
[3]吳麗娟.高速公路計算機收費網絡安全對策探索[J].產業與科技論壇���,2016(14):228-229.
[4]郭世軍.淺談高速公路ETC收費系統應用及網絡安全[J].江西建材,2014(20):158.
[5]王順.高速公路計算機收費網絡安全及對策分析[J].科技風��,2015(17):113.
作者介
石晉平(1972-)��,男,山西省原平市人。大學本科學歷��。山西省忻州高速公路有限責任公司���。
第9篇
【關鍵詞】辦公自動化���;網絡��;網絡安全����;信息安全
目前����,很多企業為了提高內部工作效率,開始創建了自動化辦公模式,計算機網絡的使用價值得到了更大的體現。但與正常的計算機使用一樣�,網絡自動化辦公在為用戶提供方便的同時也面臨著各種安全隱患��,“信息安全”則是其中最為重要的一個方面。
一、網絡辦公自動化���,使辦事效率提高
計算機沒有普及之前,各個行業人員在辦公時主要依賴于人工方式操作,對于內部大大小小的事物都要逐一處理。這種傳統的辦公模式不僅增加了職員的工作量��,且辦事效率不盡人意�����。網絡自動化辦公模式推廣后���,發揮出了多個方面的優點����。
(一)活動范圍�����,縮小
早期企業人員在辦公過程中常常要四處走動,工作范圍分布在各個地區�����,這就增加了辦事人員的工作強度[1]����。而網絡自動化辦公模式推廣后,企業人員只需借助電腦平臺則能完成各項事務的處理��。
(二)經營成本����,降低
“虛擬化”的網絡辦公不僅提高了企業辦事效率,也能避免實際辦公中帶來的成本開支���,如:交通費、住宿費等���。所有業務往來、合作商談�����、合同制定都可以在網絡上進行,這樣就能顯著降低企業的經營成本����,讓企業獲得更大的經濟利潤�。
(三)行業模式�����,創新
盡管受到經濟、技術等方面的影響�����,網絡自動化辦公在我國還沒有全面推廣��。但長遠的角度看����,未來各個行業的辦公操作一定會朝著自動化方向發展��,這不僅符合了企業經營的需要�����,也是信息化時代進步的要求,促進了各個行業人員辦事效率的提升���。
二、辦公自動化網絡常見的安全問題
(一)黑客的入侵
目前的辦公自動化網絡基本上都采用以廣播為技術基礎的以太網����。在同一以太網中��,任何兩個節點之間的通信數據包,不僅可以為這兩個節點的網卡所接收�����,也同時能夠為處在同一以太網上的任何一個節點的網卡所截取�。另外,為了工作方便����,辦公自動化網絡都備有與外網和國際互聯網相互連接的出入口�����,因此���,外網及國際互聯網中的黑客只要侵入辦公自動化網絡中的任意節點進行偵聽��,就可以捕獲發生在這個以太網上的所有數據包����,對其進行解包分析��,從而竊取關鍵信息���;而本網絡中的黑客則有可能非常方便的截取任何數據包�����,從而造成信息的失竊。
(二)病毒的感染
隨著計算機和網絡的進步和普及,計算機病毒也不斷出現,總數已經超過20000種��,并以每月300種的速度增加����,其破環性也不斷增加,而網絡病毒破壞性就更強。一旦文件服務器的硬盤被病毒感染,就可能造成系統損壞、數據丟失�����,使網絡服務器無法起動�����,應用程序和數據無法正確使用����,甚至導致整個網絡癱瘓��,造成不可估量的損失���。
(三)數據的破壞
在辦公自動化網絡系統中�,有多種因素可能導致數據的破壞�����。首先是黑客侵入��,黑客基于各種原因侵入網絡,其中惡意侵入對網絡的危害可能是多方面的。其中一種危害就是破壞數據,可能破壞服務器硬盤引導區數據、刪除或覆蓋原始數據庫�、破壞應用程序數據等�。其次是病毒破壞�,病毒可能攻擊系統數據區,包括硬盤主引導扇區、Boot扇區�、FAT表����、文件目錄等�;病毒還可能攻擊文件數據區,使文件數據被刪除���、改名、替換�、丟失部分程序代碼�����、丟失數據文件;病毒還可能攻擊CMOS,破壞系統CMOS中的數據���。第三是災難破壞,由于自然災害、突然停電�、強烈震動�����、誤操作等造成數據破壞���。重要數據遭到破壞和丟失���,會造成企業經營困難�、人力、物力�、財力的巨大浪費��。
三、辦公自動化網絡系統的安全設計
(一)數據完整性和系統安全的影響因素分析
1.數據完整性威脅因素
人類自身方面:主要是意外操作����、缺乏經驗����、蓄意破壞等�����;自然災難方面:包括地震�����、水災、火災�����、電磁等�;邏輯問題方面:包括應用軟件錯誤、文件損壞��、數據交換錯誤�、操作系統錯誤�����、容量錯誤�、不恰當的用戶需求等;硬件故障方面:主要指構成硬件系統的各個組成部分�����,如硬盤���、芯片�����、主板�、存儲介質�����、電源�、I/O控制器等發生故障��;網絡工作方面:網絡故障包括連接問題�����,網絡接口卡和驅動程序問題以及輻射問題等。
2.系統安全影響因素
物理設備影響:是指偷竊設備���、直接讀取設備、間諜行為等以直接方式對系統信息造成的影響����;線纜連接影響:包括撥號進入、連接或非連接竊聽方式竊取重要信息;身份鑒別影響:包括口令被破解��、加密算法不周���、隨意設置口令等漏洞性因素�;病毒或編程影響:病毒襲擊目前已成為計算機系統的最大威脅。此外,有的編程技術人員為了某種目的,故意編寫一段程序代碼隱藏在系統中����,對系統安全構成了威脅�����。
(二)安全設計的基本原則
安全性第一的原則:由于安全性和網絡的性能(使用的靈活性、方便性���、傳輸效率等)是一對矛盾,兩者不能兼得。建議選擇前者,以犧牲網絡的性能,來換取安全性的增強��,但采取的措施應讓用戶感覺不到網絡性能受到的影響�。
多重保護的原則:任何安全保護措施都可能被攻破。建立一個多重保護系統,各重保護相互補充����,當一重保護被攻破時�����,其它重保護仍可保護信息系統的安全。
多層次((OSI參考模型中的邏輯層次)的原則:如在鏈路層和網絡層實施包過濾,在表示層實施加密傳送,在應用層設置專用程序代碼��、運行應用審計軟件�����,在應用層之上啟動服務等。
網絡分段的原則:網絡分段是保證安全的重要措施�����。網絡分段可分為物理分段和邏輯分段�����。網絡可通過交換器連接各段��,也可把網絡分成若干IP子網�����,各子網通過路由器連接,并在路由器上建立可訪問表,來控制各子網的訪問����。
