信息安全技术论文汇总十篇
时间:2023-02-15 03:35:35
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇信息安全技术论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
2.1构建和完善电力系统
构建和完善电力系统主要有三方面的工作需做好。首先,创建和完善电力调度数据网络,需要在专门通道上通过多种手段达到物理层面和公共信息网络的安全分隔。方法有:使用专线,数字序列同步处理和准同步处理,通过专一的网络设施组装网络等。电力调度数据网只能够被允许传送和电力调度生产密切有关的数据业务信息。然后,电力监控系统和电力调度数据网络都不准与外面的因特网进行直接关联,同时做好对电子邮件的严格限制收发工作。最后,电力监控系统可以利用专一的局域网(内网)做到和当地另外的电力监控系统的关系与连接。还可以利用电力调度数据网络完成不同层级之间在不同的地方对电力监督系统的相互联系。所用的电力监督系统和办公智能化系统还有其他信息系统互相之间在进行网络关联时,一定要得到国家相关部门的审核与批准才可以,并且要使用相关的专一,有效的安全隔离设备。
2.2改革和创新网络安全技术
改革和创新网络安全技术主要包括了以下几个方面的措施,第一,提升相关人员的安全防范意识和管理水平。安全意识的缺乏导致的系统安全隐患远远大于系统自身存在的错误与缺陷。把未经过扫描查杀病毒的优盘,软盘插入电脑中、不妥当,不合理的设置相关密码、把密码写在另外的地方或者存放在电脑文件中、没有定期的修改密码,在网络上下载一些不安全的文件、还有企业自身合法获得许可的用户进行非法的行为等等都会导致企业的信息网络存在较大的风险。第二,实时的监督网络端口和节点信息的走向,定期对企业的信息网络进行安全检查,信息日志的审核与统计,还有病毒的扫描排查工作,对很重要的数据要及时的备份保存,在整个网络领域创建一套正确有效的安全管理体制,都有利于企业信息网络的安全运转。第三,正确安全的设定和存储密码。密码的安全是网络安全中至关重要的。如果密码被破解或泄密将给非法用户有机可乘,进入相关系统。随着穷举软件的兴起,根密码的位数要在十位以上,普通用户的密码也要求在八位以上,并且有大小写字母和数字及其他符合穿插随机组成的设定规则。也要避免把自己的生日或者名字等比较容易破解的信息作为密码使用。
2.3更加先进的网络安全框架
电力企业信息网络在安全问题上有它自己的特点,遇到的安全威胁也是比较严重的,如果不处理好就会影响国家经济和人们的正常生活。未来一定会使用更加优越有效的网络安全框架,密码算法,入侵检测系统(IDS)与病毒查杀软件和更加智能化的防火墙技术等,来保证电力信息系统的信息安全。然而防护往往是先从自身被瓦解的,所以在这些技术方面的防护基础上,还要制定一套有效的安全体系和培养员工的安全防范意识,它们是保证系统信息安全的核心。
篇(2)
一、电子商务发展存在的风险
第三方的电子交易平台在网络上对于信息进行储存、记录、处理、和传递,以此来协助一次网络消费行为的完成。一般情况下,这些信息都具有真实性和保密性,属于大众的隐私。但是,现在的网络环境比较恶劣,有很多网络陷阱以及刻意挖掘用户信息的“黑客”,从而导致基本信息出现失真、泄露和删除的危机,不利于正常电子商务交易的完成。对于电子商务信息大致上可以分为以下几类:第一,信息的真实性;第二,信息的实时性;第三,信息的安全性。首先,是信息的真实性。电子商务上的基本信息是卖家和买家进行认识对方和分辨商品真实性可靠性的唯一途径,应该绝对真实。一旦出现虚假信息,则属于欺骗消费者,是危害消费者权益的不法行为。其次,是信息的实时性。信息的实时性主要是指信息的保质期。因为很多信息只在一段时间内有效,具有时效性,一旦错过这段关键时期,那么该信息则失去自身的价值,变得一文不值。最后,就是信息的安全性,这也是消费者最为关心的问题。电子商务出现的安全性问题主要表现为客户的信息被删除、篡改从而失真,同时也表现为用户的信息被窃取从而达成其他目的,使得用户的隐私被侵犯,正常的生活受到打扰。
二、电子商务的信息安全技术的内容
篇(3)
21世纪是知识经济时代,网络化、信息化是现代社会的一个重要特征。随着网络的不断普及,电子商务这种商务活动新模式已经逐渐改变了人们的经济、工作和生活方式,可是,电子商务的安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。
信息安全技术在电子商务应用中,最主要的是防止信息的完整性、保密性与可用性遭到破坏;主要使用到的有密码技术、信息认证和访问控制技术、防火墙技术等。
一、密码技术
密码是信息安全的基础,现代密码学不仅用于解决信息的保密性,而且也用于解决信息的保密性、完整性和不可抵赖性等,密码技术是保护信息传输的最有效的手段。密码技术分类有多种标准,若以密钥为分类标准,可将密码系统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制),他们的区别在于密钥的类型不同。
在对称密码体制下,加密密钥与解密密钥是相同的密钥在传输过程中需经过安全的密钥通道,由发送方传输到接收方。比较著名的对称密钥系统有美国的DES,欧洲的IDEA,Et本的RC4,RC5等。在非对称密码体制下加密密钥与解密密钥不同,加密密钥公开而解密密钥保密,并且几乎不可能由加密密钥导出解密密钥,也无须安全信道传输密钥,只需利用本地密钥的发生器产生解密密钥。比较著名的公钥密钥系统有RSA密码系统、椭圆曲线密码系统ECC等。
数字签名是一项专门的技术,也是实现电子交易安全的核心技术之一,在实现身份认证、数据完整性、不可抵赖性等方面有重要的作用。尤其在电子银行、电子证券、电子商务等领域有重要的应用价值。数字签名的实现基础是加密技术,它使用的是公钥加密算法与散列函数一个数字签名的方案一般有两部分组成:数字签名算法和验证算法。数字签名主要的功能是保证信息传输的完整性、发送者身份的验证、防止交易中抵赖的发生。
二、信息认证和访问控制技术
信息认证技术是网络信息安全技术的一个重要方面,用于保证通信双方的不可抵赖性和信息的完整性。在网络银行、电子商务应用中,交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即在通信过程中没有被修改或替换。
①基于私钥密码体制的认证。假设通信双方为A和B。A,B共享的密钥为KAB,M为A发送给B的信息。为防止信息M在传输信道被窃听,A将M加密后再传送。
由于KAB为用户A和B的共享密钥,所以用户B可以确定信息M是由用户A所发出的,这种方法可以对信息来源进行认证,它在认证的同时对信息M也进行了加密,但是缺点是不能提供信息完整性的鉴别。通过引入单向HASH函数,可以解决信息完整性的鉴别问题,如图2所示
用户A首先对信息M求HASH值H(M),之后将H(M)加密成为m,然后将m。和M一起发送给B,用户B通过解密ml并对附于信息M之后的HASH值进行比较,比较两者是否一致。图2给出的信息认证方案可以实现信息来源和完整性的认证。基于私钥的信息认证的机制的优点是速度较快,缺点是通信双方A和B需要事先约定共享密钥KAB。
②基于公钥体制的信息认证。基于公钥体制的信息认证技术主要利用数字签名和哈希函数来实现。假设用户A对信息M的HASH值H(M)的签名为SA(dA,H(m),其中dA为用户A的私钥),用户A将M//SA发送给用户B,用户B通过A的公钥在确认信息是否由A发出,并通过计算HSAH值来对信息M进行完整性鉴别。如果传输的信息需要报名,则用户A和B可通过密钥分配中心获得一个共享密钥KAB,A将信息签名和加密后再传送给B,如图3所示。由图3可知,只有用户A和B拥有共享密钥KAB,B才能确信信息来源的可靠性和完整性。
访问控制是通过一个参考监视器来进行的,当用户对系统内目标进行访问时,参考监视器边查看授权数据库,以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是一个安全管理器负责管理和维护的,管理器以阻止的安全策略为基准来设置这些授权。
③防火墙技术。防火墙是目前用得最广泛的一种安全技术,是一种由计算机硬件和软件的组合。它使互联网与内部网之间建立起一个安全网关,可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。防火墙的应用可以有效的减少黑客的入侵及攻击,它限制外部对系统资源的非授权访问,也限制内部对外部的非授权访问,同时还限制内部系统之间,特别是安全级别低的系统对安全级别高的系统的非授权访问,为电子商务的施展提供一个相对更安全的平台,具体表现如下:
①防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
②对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
③防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样台主机的域名和IP地址就不会被外界所了解。
④网络安全协议。网络协议是网络上所有设备之间通信规则的集合。在网络的各层中存在着许多协议,网络安全协议就是在协议中采用了加密技术、认证技术等保证信息安全交换的安全网络协议。
目前,Intemet上对七层网络模型的每一层都已提出了相应的加密协议,在所有的这些协议中,会话层的SSL和应用层的SET与电子商务的应用关系最为密切:
篇(4)
1.1IP技术及其应用
目前,IP技术的应用主要是通过接入唯一的IP地址,确保计算机信息系统的独立性,以在单独的信道中完成各种数据的传输、整理等。因此,在计算机信息系统的正常运行中,IP技术可以给整个运行提供自动化系统支持功能,是提高计算机信息系统运行安全性的重要保障。目前,IP技术中可以容纳的两层通信协议,在自动化状态下还可以使用实时协议和QoS,具有较高的灵活性和扩展性,并且成本不高,通过数据包的方式进行信息传输,使计算机信息系统的实际需求得到很好满足。
1.2密钥技术及其应用
根据计算机信息系统的运行情况来看,密钥技术的合理应用,可以有效解决信息传输过程存在的安全问题,使整个网络安全性得到有效提高。通过合理的使用密钥来对系统的信息数据进行加密,可以让信息保持混乱状态,使得没有被授权的用户无法正常使用相关信息,对于保障计算机信息系统的数据安全具有重要影响。由于计算机信息系统的信息传输具有不可窃听性、唯一性和不可篡改性等多种特点,使得密钥技术的应用不仅可以在计算机信息系统的运作过程发挥重要保护作用,还可以有效减少病毒攻击,从而真正提高计算机信息系统的运行安全性。
1.3防火墙技术及其应用
目前,使用较多的防火墙技术是ASA技术,在计算机信息系统的运行过程中,可以是各种应用层的数据得到深层过滤,并对要穿过防火墙的用户进行实时认证,从而在通过防火墙认证后,用户才可以正常使用计算机信息系统的各种网络资源。例如:在实际应用中,利用防火墙ASA技术来完成VPN链接,采用设置高级访问的方式,可以是各种网络病毒得到有效隔绝,并有效防止黑客攻击、信息被盗情况,从而为计算机信息系统提供一个健康的运行环境。
1.4VPN技术及其应用
目前,VPN技术主要是对计算机信息系统的通信安全进行有效保护,从而避免各种不安全网络信息带来的影响。在实际应用中,VPN技术可以使被盗信息保持不完整状态,从而降低被盗信息的准确性,在与密钥技术相结合的情况,可以有效避免密钥密码被盗窃,从而有效计算机信息系统的运行安全性。
篇(5)
2云南电信的创新实践
云南电信公司新技术新业务信息安全评估的创新性实践,主要从机制、管理和技术手段方面进行执行细化,具体创新点如下。
2.1基于二加一多层次的信息安全评估模式创新
项目依据新技术信息安全评估的总体原则,从解决业务运营中可能出现的安全技术风险和安全管理风险出发,采用机制设计、管理控制和技术监测建立一套新型多维度的信息安全评估模式。该模式包含两个内部评估机制,即输出新业务项目组自评估报告和信息安全专家评估报告;一个外部技术测评,即输出第三方安全测评系列报告,故称为二加一评估模式。新业务项目组自评估报告重点要求开发方承诺在产品中没有无关后门程序存在,同时要求电信业务管理部门、维护支撑部门及开发方组成的项目组对产品按模板条款进行全面梳理,保证产品上线和运营营销后,其信息安全从技术、管理措施方面按模板要求合法合规,且项目组所有成员应达成共识,签字确认。由业务管理和建设维护、IT支撑部门组成的专家组对新技术新业务的自评估报告、新业务的安全管理措施和第三方安全测评报告共同进行审查,各方面达标则出具信息安全评估报告,不达标则对项目组提出整改要求。此外,本评估模式还包括年度业务评估计划统计、已评估档案管理和评估数据积累机制,以确保评估工作的严谨和权威性。
2.2基于新业务平台测评手段的评估技术集成创新
通过具有安全服务能力评定资质的第三方机构对新技术新业务进行平台安全脆弱性扫描,出具第三方安全测评系列报告,报告新业务的平台漏洞状态、账户弱口令状态、主机安全危险状态等信息。如果新产品有移动APP客户端,则通过国家信息产业通信软件测评中心的移动互联网应用测试服务平台和手机应用安全测试仪,对业务加测移动恶意代码程序和手机病毒进行扫描,出具相应的测评报告。有安全隐患的发回整改,复查达标才算报告完结。同时,业务上线运营后还将定期对业务进行跟踪复测,出现安全漏洞或病毒的出具复测通知书,限期整改。项目在技术手段方面的集成创新,充分保障了新技术新业务运营的可靠性和安全性,为电信运营商业务的长期应用和持续发展提供了重要的技术支撑。
3推广效果
本项目实施从2013年第四季度正式启动,选定了涵盖前后端的专家组成员,初步确定了评估流程和方式,开始进行评估实践。2014年3月,根据实践,在评估工作中细分出项目组自评估报告和专家评估报告,重点要求产品开发方签字承诺在产品中没有无关后门和恶意程序存在,并要求所有省级新技术新业务必须进行信息安全评估,通过评估后方能上线运营。2014年7月,随着手机恶意吸费、用户隐私泄露等移动互联网安全事件的增多,为了更加严谨评估移动类新业务的安全状况,引入了技术量化测评,云南电信开始针对新业务移动APP客户端,委托具有安全评定资质的第三方单位进行移动恶意程序和手机病毒的扫描测评,不达标的要求整改复测。从2015年1月开始,云南电信开始委托具有安全资质的第三方单位进行新业务平台安全扫描测评,同样,不达标的要求整改加固,完成后再次复测,达标后专家组才签字通过。至此,完善而成体系化的云南电信评估流程基本建成,新技术新业务信息安全评估的创新实践对云南电信新技术新业务运营管理起到了质的提升作用。自2014年以来,信息安全评估工作已覆盖云南电信所有部门和单位的新技术新业务,业务类型包括信息服务类、视频监控类、娱乐类、移动即时通信类,产品形式包括Web、WAP、APP、iTV等类型。在评估过程中通过安全测评确实发现多起安全漏洞,甚至是高危漏洞,有些业务管理账号存在弱口令设置,有些信息功能审查缺失等。通过严格评估后,上线运营的新技术新业务目前均工作稳定正常,未出现过任何信息安全事故,这无形中为企业和用户挽回了潜在的经济损失。因此,云南电信的评估工作也得到了集团总部和政府管理部门的肯定。今后本项目提供的评估流程将继续严格实施,并有望在中国电信全国体系中推广。
4信息安全评估创造性工作的思考
在信息安全评估创造性工作过程中,有以下几点思考。第一,今后的评估工作应分级分类,根据不同的等级和风险程度,执行不同的评估措施。如对于涉及视频监控、位置服务和用户自媒体发送功能的技术业务,应提升测评审查等级。第二,应加大对评估测评技术的研究和应用,黑客的技术手段在不断翻新发展,因此,安全评估测评的技术和方式也应与时俱进。同时,信息安全评估过程并不代表一劳永逸,定期业务抽查复测也非常必要。第三,应加大对安全评估和安全技术人员的培养。人才是信息时代的第一要素,不仅要培养通信和互联网人才,还要重视信息安全专业人才的培养;同时,信息安全人员的稳定性也不容忽视。第四,对信息安全评估的建立档案管理和评估数据积累机制也至关重要,这既是为新技术新业务安全建档,也是信息安全工作管理和经验的积累过程。第五,信息安全评估是对业务运营的事前进行安全防范,与此同时,事中安全监控和技术拦截、事后的应急处置能力也是电信运营商必须同等重视的环节。
篇(6)
电力行业在国民经济中占主导地位,近几年,凭借科技不断发展,电力行业正日益向自动化方向迈进。通信技术在电力自动化中起到了举足轻重的作用,但其涉及到的信息安全问题却关系到供电稳定性与安全性。因此,强化对信息安全方面的探究,找出现阶段存在的问题,采取有效防护措施予以处理和加强,是具有重要作用与现实意义的。
1信息安全防护范围与重点
某城区通信网的主要任务为对市区内22座变电所提供纵向通信,所有通信网均采用光纤通信电路,根据方向的不同,可分成东部与西部两部分。其中,东部采用ATM网络,设备选择为Passport6400;西部采用IP+SDH交换机网络,设备选择为Accelar1100与150ASDH。该市区通信网负责县级调度与少数枢纽变电所通信,主要采用自带两类适配端口的设备。在通信网中,信息安全防护范围为整个信息通信网,主要防御对象为黑客或病毒等经过调度数据网络与实时监控系统等主动发起的攻击与破坏,确保传输层上的调度数据网络与实时监控系统可靠、稳定、安全运行。
2安全防护原则分析
电力调度数据网络与实时监控系统在实际运行过程中各个变电所和调度通信中心之间存在若干条纵向通信,根据相关规定,在系统总体技术层面上主要提出以两个隔离为核心的安全防护基本原则。其中,涉及通信隔离的基本原则可总结为以下几点:(1)为确保调度数据网运行安全,网络需要在通道上借助专用网络的设备组网,并采取同步数字序列或准同步数字序列,完成公用信息网络及物理层面上的有效安全隔离;(2)根据电力系统信息安全防护技术路线明确的有关安全防护区涉及的几项基本原则,为所有安全防护区当中的局域网均提供一个经过ATM配置的虚拟通信电路或者是经过同步数字序列配置的通信电路,采取这样的方式为各个安全等级提供有效的隔离保护[1]。
3通信网络的安全分析
根据上述目标要求与基本原则,通信网必须向不同的应用层提供具有良好安全性的传输电路,即VirtualPrivateNet-work,虚拟专用网络,其原理如图1所示。该市区已经完成了各项初步设计工作,具备充足的条件严格按照目标要求与基本原则开展后续工作。在现有通信网的ATM系统中,根据实时要求或非实时要求,已完成对四个安全区的有效划分,每一个安全区都可以配置虚电路,因虚电路的端口主要适配于ATM系统的适配层,借助ATM系统的信元完成信息传输,各个虚电路的内部连接属于典型的端与端物理式连接,不同虚电路之间不涉及横向上的通信,并且与外界也不存在通信联系。因此,对于通信网络的ATM系统而言,其在虚拟专用网络方面的虚电路之间主要为物理隔离,不同区的虚拟专用网络传输具备良好的安全性。对1100IP交换机系统而言,它需要承担不少于四个区的实时业务通信,因为这些业务通信区在所有站上都采用交换机完成传输与汇接,不同区之间仅仅是根据IP地址方面的差异而进行划分,形成各自的VLAN(VirtualLocalAreaNetwork,虚拟局域网),区之间并未完成原则上要求的物理隔离,作为虚拟专用网络主要传输链路,无法满足其在专用局域网方面的基本要求[2]。根据上述分析结果可以看出,该城区通信网络将ATM视作虚拟专用网络的信息传输链路基本满足安全性要求,但交换机实际传输与汇接却存在不同程度的安全隐患,违背了安全防护方面提出的各项基本要求,为了从本质上确保通信网络安全,必须对此予以有效改造,可采取如下改造方案:充分利用西部系统现有电路,增设2M/10M适配设备,借助同步数字体系为所有安全区构建透传电路,在中心站集中交换机,每个安全区都配置一个交换机,以此达到“一区一网”的根本目标,即一个安全区配置一个虚拟专用网络。
4安全防护技术手段
该城区设置的电力信息通信网本质上属于专门为电力系统提供服务的通信网络,其自身作用较为单一,仅为信息中心和调度通信中心与各个变电所间的通信,根据安全防护提出的各项基本原则,充分考虑现阶段网络基本状况,可实施采取以下技术手段:(1)切断与外界之间的直接通信,确保系统和外界不存在直接通信关系;(2)采用同步数字体系向所有安全防护区提供专用电路,同时采用速率适配装置等实现和业务端之间的连接;而不同业务端之间则可以使用点与点的方式进行通信,以此满足安全防护区以内通信业务方面的纵向通信要求。由同步数字体系设置的专用电路通常不会产生横向通信[3];(3)由ATM系统向所有安全防护区提供虚电路,以此构成一个完整的虚拟专用网络,并确保不同虚拟专用网络间没有产生横向通信的可能;(4)城区整体电力信息通信网与市县级通信网在完全相同的安全防护网中构成相同的虚拟专用网络。
5总结
(1)根据电力系统信息安全防护明确的防护范围与各项图1虚拟专用网络基本原理低碳技术基本原则,对某城区所用通信网潜在的各类安全问题进行深入分析,并结合现阶段实际发展要求,提出一系列技术手段,为制定合理、有效的处理方案提供依据。(2)该城区电力信息通信网本质上属于一个具有封闭性特点的单一用途通信网络,可实现与外部间的完全隔离以及系统内部电路之间的相互隔离,其具备的安全防护能力可以很好的满足系统安全运行要求。然而,考虑到系统安全防护水平的提高必然会引起相关要求的改变,因此以上结论仅限当前水平。
作者:周建新 单位:国网湖南省电力公司沅江供电分公司
参考文献
篇(7)
由于国家电网经营发展属于民生大计问题,产业发展涉及到输变电生产、电力项目建设、工程项目维修、用电销售等诸多经营业务内容。因此,电力系统自动化通信技术视角下的技术定位相对较广,在信息系统设计、生产、组装环节中也就必然存在一定安全隐患问题。比如,第一点则属于系统硬件故障隐患问题,和信息系统设计初期阶段存在隐患有主要关系。第二点软件系统自有的安全隐患问题,这类安全隐患一般多来源于电力通信自动化技术领域下的平台软件,在平台设计开发阶段存在一定技术遗留问题。第三,基于TCP/IP协议栈的定义内容在网络应用设计之初时就留下了兼容性技术漏洞,使得网络安全隐患加剧。
1.2自然威胁
这类隐患性问题多以电力通信网络安全下的不可抗力事件发生为主,比如网络信息系统如果遭受自然雷击,或者是工作站突发性发生火灾,抑或通信系统遭受自然外力破坏,如地震、覆冰、风偏等。此外,这些自然不可抗事件发生一般不以人为意志为转移,会使得国家电网造成不可避免的经济资产损失。
1.3人为意外因素
通常指人为因素下的设计失误、技术系统操作异常、不规范使用信息系统等造成的安全隐患问题。此外,这类隐患问题出现一般并非人为主观意识上故意造成安全问题,而属于人为以外因素所致的安全隐患问题。
1.4人为恶意因素
同样,人为因素也包含恶意、蓄意、故意行为造就的网络信息安全事故问题。伴随这种恶意行为发生,可能会存在蓄意篡改重要数据,或者偷盗重要信息资源,或者更改代码种植木马信息等,以通过恶劣、低俗的网络黑客行为谋取私利。
2电力自动化通信技术下的网络结构分析
国家电网系统下信息网络结构一般由核心局域网,地方部门的局域网,以及区域通信渠道网络互联所组成;从应用功能角度又可划分为供生产、制造所用的SCADA/EMS系统,以及供电经营相关的MIS系统。
2.1SCADA/EMS系统
主要适用于变电网工作站、发电厂等电力供给、送电单位生产所用。并且该系统作用主要是进行监控、处理、评估及分析等;同时,其基本功能板块划分为数据采集、能源分析、信息存储、实时监控等。
2.2MIS系统(信息业务网)
该系统平台主要对网络信息化相关商务活动进行服务,同时其系统平台主要包括办公自动化、用户供电信息查询、信息统计管控、人资建设、以及安全生产等子系统板块。此外,MIS系统可对电力企业的直属上下级单位予以联网交互,包括地区间供电企业售电业务下的重要客户数据交互等。与之同时,MIS系统平台下已经由过去单一的EMS模式逐步转化为了当前的自动化DMS、TMR、调度管理、及雷电监测等多种方式应用拓展,可以会说在信息资源优化及调整上更为专业。而MIS系统主要应用于电力产业经营业务相关的组织活动方面,比如财务管理、物资置办、用电检查、安全监控、信息查询等多个方面。包括在MIS平台使用时也能够配套www、mail等板块予以实践应用,并且其属于IP网络传输,组网方式现如今也能够实现千兆以太网,同时网络结构取用于同级网络分层,每层又分为子网与链路层予以连接。
3电力自动化通信技术中的信息安全构建思路
3.1健全安全防范机制
国家电网下电力企业通信技术平台下的各个管理单元众多,在网络信息安全中制定必要的安全防范机制非常重要。因此,在安全机制构建过程中,需要保障安全机制具有严谨的逻辑性,要能结合电力企业自身需求情况,确认出重点网络防范区域与划分出普通网络访问区域。比如,对于一般性网络访问区域,需要设置具备一定开放性的访问权限;而重点网络防范区则需要严格限制普通权限客户登录,设立较高安全级别权限,以此才能对安全数据、资源信息、QA系统运营进行重点安全监督。
3.2完善信息网络设备管理机制
信息设备管理主要以电网系统下信息安全设备管理作为研究载体,强调设备管理综合效率最大化提升。基于此,设备管理机制中要配套使用促进人员职能发挥的激烈奖惩机制,以此来提升其责任意识和凝聚归属感,激发人员信息安全运维作业的人员主观能动性。此外,设备管理工作开展从基本规划、设计研发、平台选型、配件采购、安装组建、故障维修、定期养护、技术更新、设施技改等方面进行组织管理,以此才能确保信息网络设备及使用软件平台的可靠性与实用性。
3.3强化电力系统信息安全技术
为了充分保障信息网络安全,对于信息网络的安全技术研究而言则非常重要。一般当前通信网络安全技术主要有:防火墙、身份鉴别与验证、信息资源加密手段应用等。因此,第一,强化防火墙网络管理是必然的安全防控手段,特别是防火墙这种具备保护屏障作用的内、外网安全服务通道。所以,防火墙优化设计时要重点考虑其接口连接问题的同时,配套做好网络漏洞修复。第二,身份鉴别与验证,则要重点控公司内、外网的数据监控,人员操作日志,控制权限访问等,以便于公司内部网络安全软件开发时可提供必要信息资源依据。第三,对于信息加密手段应用,则要重点考虑口令卡、智能卡、以及密钥安全形手段的配套使用。同时,信息加密还可以结合企业自身条件,配套使用DES/RAS等密码技术应用,以避免未经授权时可有效控制非访访问获得数据等,防范重要数据泄漏。
篇(8)
因为信息数据是通过计算机进行存储与传输的,所以数据安全隐患产生的第一步就是计算机中存在的安全风险,包括硬件与软件的安全问题:第一、操作系统出现漏洞,内部含有窃取信息的程序或者木马,其数据信息被盗取与修改都是在使用者毫无察觉的情况下发生的;第二、计算机病毒,如果计算机没有安装杀毒软件,则会让电脑处于危险状态,很多病毒会随着数据的传输或者程序的安装而进入计算机,从而实现窃取与篡改计算机内信息数据的目的;第三、硬件不稳定,计算机硬件的不稳定如磁盘受损、缺少恢复程序等,会造成传输或存储的数据丢失或错误,从而对信息数据造成危害。还有就是网络安全隐患,主要是网络的传播不稳定和网络存在安全漏洞,这也是存在安全隐患最多的一环,不过这一般和人为安全因素有很大的联系,人们会利用网络安全的漏洞进行数据的窃取与篡改。
1.2人为安全隐患
因为利益驱使,为了盗取或者篡改重要信息,出现了很多非法入侵他人电脑或者网络系统的行为,如黑客、传播病毒、电子诈骗、搭线窃听、挂木马等,这些人为的破坏行为其目的性就比较强,往往攻击力强、危害度比较大,一般是涉及窃取重要的经济情报、军事情报、企业重要信息或者是进行国家网络系统的恶意攻击等,给个人、单位,甚至是国家都带来难以弥补的损失,也是必须加以防范的安全隐患。
2计算机信息数据的加密技术
2.1存储加密法
存储加密是用来保护在存储过程当中信息数据的完整性与保密性,包括密文存储与存取控制。而密文存储是通过加密算法的转换、附加密码进行加密、加密模块的设置等技术实现其保密作用;存取控制是通过审查用户资料来辨别用户的合法性,从而通过限制用户权限来保护信息数据不被其他用户盗取或修改,包括阻止合法用户的越权行为和非法用户的入侵行为。
2.2传输加密法
传输加密是通过加密来保护传输中信息数据流的安全性,实现的是过程的动态性加密,分为端—端加密与线路加密两种。端—端是一种从信息数据发出者的端口处制定加密信息,只要是从此端口发出的数据都会自动加密,加密后变成了不可阅读与不可识别的某些信息数据,并通过TCP/IP数据包后,最终到达传输目的地,当到达最终端口时,这些信息数据会自动进行重组与解密,转化为可以阅读与识别的信息数据,以供数据接收者安全的使用;线路加密则有所不同,它是完全不需对信源和信宿进行加密保护,而是运用对信息数据传输的不同路线采用不同加密密钥的手段,达到对线路的保护目的。
2.3密钥管理法
很多的数据信息进行加密都是通过设置密钥进行安全防护,所以密钥是能否保护好信息数据的关键,如果密钥被破解,则信息数据就无保密性可言,故对密钥的保护非常关键,这也就是我们所说的密钥管理法,它在密钥形成的各个环节(产生、保存、分配、更换、销毁等阶段)进行管理控制,确保密钥的安全性。
2.4确认加密法
确认加密法是通过对信息数据的共享范围进行严格控制,来防止这些数据被非法篡改与伪造。按照不同的目的,确认加密法可分为:信息确认、数字签名与身份确认三种。数字签名是根据公开密钥与私人密钥两者存在一定的数学关系而建立的,使用其中任一密钥进行加密的信息数据,只能用另一密钥进行解密,从而确保数据的真实性,如发送者用个人的私人密钥对传输信息数据进行加密之后,传送到接收者那里,接收者必须用其公开密钥对数据进行解密,这样可以准确的知道该信息的发送源是那里,避免信息的错误。
2.5信息摘要法
信息摘要法是通过一个单向的Hash加密函数来对信息数据进行处理,而产生出与数据对应的唯一文本值或消息值,即信息的摘要,来保证数据的完整性,它是在信息数据发送者那里进行加密后产生出一个摘要,接收者通过密钥进行解密后会产生另一个摘要,接收者对两个摘要进行对比,如果两个有差别,就表面数据在传输途中被修改。
2.6完整性鉴别法
完整性鉴别法是将事先设定的某些参数(如口令、各相关人员的身份、密钥、信息数据等)录入系统,在数据信息传输中,通过让验证对象输入相应的特征值,判断输入的特征值是否符合要求,来对信息数据进行保护的技术。
篇(9)
1.2计算机信息的泄密情况计算机的信息保密问题从计算机互联网兴起的时候就一直环绕在人们的身边。尽管计算机的技术一直不断发展,计算机的各项功能也呈现指数形式的上升,但是计算机信息保密的问题却一直都是一个重大的问题。计算机的技术进步是和计算机的信息加密破解技术齐头并进的。道高一尺魔高一丈,双方在计算机领域的攻防战从未停止。同时,随着计算机设备的不断提高,人们目前对相应计算机安全技术的知识储备却呈现出越来越不够用的状态。计算机的硬件和功能不断提升,但是人们对于泄密方面的知识却还停留在原地,这就直接导致了计算机用户的自我保护意识越来越淡薄。同时计算机的硬件和软件不断更新也使得计算机所对应的安全信息保密系统越来越复杂,漏洞越多,因此其媒体信息保护功能也出现了十分不完善的情况。
2信息管理环节上我们提高安全策略的思路探讨
2.1非网络构架下的解决问题思路构建首先就是我们应该从系统的基础看起,对整个系统的安全性和保密性进行评估,并针对性的进行防护。其次,我们尽量不要针对原有的内部网络进行大规模的修补,要对原有网络自身固有特点进行保持。只有这样才可以尽量减少由于再修复所产生的二次漏洞。第三,系统应该便于操作和维护,同时自动化管理的思路也要保持住。这样可以大量降低人工操作消耗的精力成本。另外多余的附加动作也要尽可能的减少,避免“做多错多”的情况发生,降低误操作几率。第四,在使用系统的时候要选用安全性能比较高的系统实施操作,避免由于基础选择失误导致的漏洞入侵。
2.2网络安全自身的安全策略构建首先是对计算机的网络管理要进行进一步的加深。如果想要保护计算机的信息不受外部力量进行盗窃和损毁,就要从网络管理的最开头进行行动,对计算机上的访问者身份进行核实,对计算机的管理者身份进行确定,同时对计算机相关的网络制度进行明确的完善。在上网之前进行身份的确认,在上网结束之后,对使用信息进行检查和核实,对可能存在网络危害的信息也要进行删除。对于那些已经确定对网络安全造成损害的信息就要进行及时的上报,管理人员则要进行及时的处理。其次是对计算机操作人员的操作进行规范和完善,对计算机信息自身的防卫意识进行增强。首先要对相应的文件保密等级进行确定,计算机的使用人员不能把机密文件传送到互联网上进行传递或者转存,在自身保护好信息安全的前提之下要养成良好的信息保护思路。在进行机密信息使用的情况下要首先检查当前网络的安全情况,确保当前没有木马和漏洞的情况下进行机密文件的使用。在对这些信息的操作过程当中,要对操作的环境进行保护和净化,对和操作无关的网络窗口或者软件进行关闭处理,并启用安全可靠的杀毒软件进行处理。在信息传送处理完毕之后,要针对病毒进行一次彻底的查杀。在确定环境没有任何问题的情况下就可以对信息进行加密储存处理了。第三点,要对信息安全管理制度进行不断的修正和完善。
各类杀毒辅助措施什么的都是属于治标不治本的措施,真正的源头还是要在于制度的严密。要想对计算机信息的安全进行更加有效的保护,就要保证管理制度的建立严密化和体制化,对计算机的安全防范系统进行完善和规范处理,防止非许可用户对系统的非法操作和进入,同时要保证计算机系统的正常安全运行。在这其中尤其要注意的问题是,计算机的外部输入设备以及计算机网线输出输入的部分要进行保护,对计算机的整体运行环境状态和计算机运行的条件进行定期的整理和检查,对于发现的问题要进行及时的处理和进行有效的解决,确保计算机的数据库安全问题及时处理。计算机的电磁泄露的问题是一定要解决的,在此基础上还要进行内部信息的安全防护问题,对网络信息进行高等级的加密技术实践,对资料也要进行高端的保密处理思路构建。只有这样才能在保证计算机信息高效运行的同时对网络安全管理进行提升。第四点,要对计算机运行系统进行合理和安全的设计。计算机的高效安全性的具象化表现就是一个安全的系统。如果对计算机的运行系统进行合理的优化和改善,确保计算机自身的科学性和保密性,通过非单一分段的处理方式进行信息的高效处理,同时通过物理分段和逻辑分段的方式进行局域网的控制和安全防范。对计算机的防火墙建设进行增强,权限控制的方面也要进行优化,只有这样才能保证计算机整体的安全。
篇(10)
鉴于计算机系统有着比较完备的安全保护层,计算机安全系统的设定也是比较谨慎严密的。故而,实施计算机安全危害行为的作案者大多具备一定的技术能力。大部分的计算机安全危害行为的作案者都了解一定的计算机专业知识和熟练掌握着计算机操作技能。一般情况下,作案者都是采用高科技的计算机操作技巧,结合其他犯案手段,实施计算机安全危害行为。
2危害计算机安全的手法极其隐秘,不易被发现
作案者通过对数据处理设备中数据信息或者应用程序来实施计算机安全危害行为,他们的目标大多都是计算机中的数据信息。作案者在充分掌握了计算机系统的漏洞之后,利用这些安全漏洞,把自己编制好的病毒程序或者破坏程序放入目标设备中。由于作案者可以通过网络远程操控这些计算机病毒和破坏程序,所以这些程序是很难被人察觉并能及时处理的。或者设置这些计算机病毒和破坏程序在特定的时间、特定的环境条件下被激活运行,这样作案进行和获得作案结果可以分隔开来,给计算机安全危害行为起到了一些掩护,使得计算机安全危害行为更加隐蔽。
二防范计算机安全危害行为的对策
1保障计算机物理及网络环境的安全
首先要保证计算机物理实体的安全,确保计算机基础设备、数据存储介质存放场所得安全性。其次,确保计算机信息系统的安全运行,预防不法人士运用非法手段入侵计算机信息系统之中,获取非法操作权利。运用专门的技术检测计算机安全系统,发现和弥补安全系统中的不足即漏洞之处。同时,可以针对一些计算机安全危害行为的常见手段,经过合理的严密的设计,加固计算机安全系统,预防计算机安全危害行为。
2运用和完善加密与认证技术以及加固
防火墙加密技术是最基本的预防信息窃取的安全保护手段,分为对称加密和非对称加密两种。认证技术是一种使用电子手段证明计算机使用者身份的验证技术,有数字签名和数字证书两种形式。运用加密和认证技术可以有效的的防止计算机安全危害行为的犯案者非法获取计算机的操作权限或者访问重要的数据信息。防火墙是计算机安全系统中重要的一环,其中配置访问策略、安全服务配置和安全日志监控等等技术都为计算机安全技术的完善做出了贡献,但是面对变化多端的计算机安全危害手段,还需要深入发展这些安全防护技术,加固防火墙。
3努力发展计算机安全管理技术
首先要运用计算机安全技术保障计算机设备的基础安全,以及网络安全。完善计算机系统的不足,最大程度的预防作案人员利用计算机系统的漏洞进行作案。再者要加大计算机安全技术的研究力度和应用水平,尽力弥补我国目前计算计安全管理技术的不足,缩小其与计算机应用技术水平的差距。再者我们要完善计算机技术人员培养体系,培养相关的技术人员,提高技术人员的技术能力。只有有了高水平、高能力的技术人员才能从根本上去预防计算机安全危害行为。
