网络安全阶段性总结范文1
总体管理要求
首先看一下数字出版的特点。
数字业务形态多样:目前数字出版产品形态主要包括电子图书、数字报纸、数字期刊、网络原创文学、网络教育出版物、网络地图、数字音乐、网络动漫、网络游戏、数据库出版物、手机出版、App应用程序等,丰富的业务形态要求网络提供多种接入方式、多种内容共享方式,同时要保证安全。
强调对数字化资源的管理:国外知名出版公司特别强调对数字化资源的管理,很多公司通过建设自己的内容管理平台来更有效地建设、管理和重用数字化资源。汤姆森公司委托其下属的Course Technology、Delmar、Promotric和NETg开发内容管理平台LLG,计划五年内完成;培生内部已经运行了WPS,与前台的Coursecompass结合以更加有效的建设模式为学校提供服务;麦格劳-希尔出版公司已经成功地将内容管理平台运用在百科全书的出版上。
整体安全性要求高:数据化资源对整体安全性要求较高,现在网上支付手段丰富,如快钱、Paypal、支付宝等都需要在纯净的网络环境进行操作,以保护机构和个人财产安全;要求建立完善的数字版权机制,保障作者、编辑单位的合法权益;网上交易和传播的数字内容越来越多。网络安全形势十分严峻,域名劫持、网页篡改等事件时有发生,给网民和机构造成了严重影响和重大损失。工业和信息化部2010年的数据表明,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。
笔者认为,网络的应用在出版机构一般经过三个发展阶段:第一为沟通交流阶段,在这个阶段,出版机构的工作人员上互联网、了解外界知识、通过即时通信工具沟通信息等。第二阶段为管理应用阶段,在这个阶段,工作人员通过网络协同办公,出版机构采用ERP、财务管控系统等内部业务管理系统。第三阶段为创造、创新阶段,出版机构使用综合业务系统进行数字内容收集、组织或加工,形成数字资产,通过网络进行推广。
根据这三个阶段的应用特点,可以将管理要求归结为:第一个阶段应用比较简单,用户都可以使用网络,要求网速快、安全性要求不高;第二个阶段,并非所有用户都能进入内部网络,设定上网权限,同时能对带宽进行有效管理,防止员工滥用网络而挤占主要业务的网络带宽,防止堡垒在内部被攻破;第三个阶段有了较多的数字资产,要防止网窥和盗窃行为发生,主动防御来自互联网端的威胁,防止业务流数据和内容数据出现问题,保证数据安全,即能处理来自外部、内部的威胁,保存好数据,防范非法入侵。
管理及技术分析
根据数字出版的业务特点,笔者总结了消除网络安全隐患的策略。
在第一应用阶段,网络中有防火墙、核心路由等元素,要保障物理线路畅通,具备一定的安全性。篇幅所限,这里不详细描述了。
第二应用阶段要求建立终端准入机制和应用控制机制。
此阶段遇到的挑战:用户多导致内部安全问题,带宽滥用情况严重。内网的安全事件约有70%来源于内网的接入终端,虽然网络中使用了一些安全措施如应用防火墙、网络设备访问控制规则等改进了网络的安全性,但由于网内终端数量较大、Windows系统的不稳定和多处漏洞,终端用户的应用水平参差不齐等造成内网安全事件频发。对内网终端的安全隐患管理和处理方法概括如下:建立用户接入准入制度,防止截取地址信息随意接入,对合法用户接入访问权限进行细化,加强整网应用安全机制。
同时,应用也存在监管的问题,如员工在日常工作时间进行P2P下载、看影视等从而挤占正常业务的网络带宽。因此,系统中要设应用控制网关,对带宽进行有效管理,提供足够带宽给ERP、财务处理等主要业务,满足吞吐量要求。网内用户上网行为复杂,网络中的异常流量、即时通信流量逐步增大,侵占了原本就不富余的出口带宽;爆发内网安全事件时也会出现相应的流量异常,因此网内要设有行之有效的流量控制和分析手段,以便对网络进行流量监管以及安全事件的快速定位。
在第三应用阶段,可通过入侵检测系统进行主动防御,对入网设备进行终端准入,建立独立存储甚至远程异地灾备系统。网络入侵防御系统是一种在线部署产品,旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,提供一个全新的入侵保护。
第三阶段是较高级应用阶段,因数字出版应用内容丰富、强调应用安全、响应速度,网络技术参数设定要对应用需求有足够响应。
安全网络应用实例
下面是一个出版公司在保障网络安全方面的具体方案,其他数字出版企业也可以从中借鉴。
一、使用一台IP存储解决专业存储问题。
信息或数据在IT系统中,必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT架构的三个基础架构单元――计算、存储和网络。该方案选用一套高端SAN存储作为整个信息系统的核心在线存储。
该方案中,核心存储设备通过IP SAN交换机与局域网多台服务器建立连接。服务器通过普通千兆网卡或iSCSI HBA卡接入IP SAN。核心存储设备提供海量存储空间,实现高稳定性、高可靠性的数据集中和存储资源统一管理。核心存储设备可以混插高性能的SAS磁盘和大容量的SATA II磁盘,单台设备即可满足两种不同的应用需求,大大提高设备性价比。核心存储也可以满足包括数据库、Web、OA、文件等多个应用的集中访问需求。ERP应用作为关键应用之一,IX3000存储上为其提供独立的存储空间,并采用15000转的SAS硬盘。
二、以应用控制网关解决带宽利用和用户上网行为监管问题。
公司员工越来越依赖于互联网的同时,上网行为却不能得到有效控制和管理,不正当地使用互联网从事各种活动(如网上炒股、玩游戏等)会造成公司外网运行效率下降、带宽资源浪费、商业信息泄密等问题。该公司的财务部曾反映,在制作半年报期间网络时常不通,导致工作无法进行。经查是防火墙严重超负荷造成,负载时常超过90%,这些都是过度使用网络资源产生的后果。
该公司的解决方案如下:在公司出口防火墙与核心交换机之间部署一台应用控制网关。该网关可以很好地完成公司信息中心对员工行为监管的需求,针对P2P/IM、网络游戏、炒股、非法网站访问等行为,可以进行精细化识别和控制,解决带宽滥用影响正常业务、员工工作效率低下、访问非法网站感染病毒蠕虫的问题,帮助公司规范网络的应用层流量,为公司创造一个良好的网络使用环境。
三、通过端点安全准入系统EAD解决终端安全问题。
为了弥补公司现有安全防御体系中存在的不足,公司部署了一套端点安全准入防御系统,旨在加强对员工电脑的集中管理,统一实施安全策略,提高网络终端的主动抵抗能力。终端安全准入防御将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御,变单点防御为全面防御,变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
终端安全准入防御通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”客户端对网络安全的损害,避免“易感”客户端受病毒、蠕虫的攻击。
四、使用入侵检测系统阻止来自互联网的攻击行为。
在公司互联网出口部署1套千兆硬件入侵防御系统,专门针对公司服务器应用层进行防护,填补防火墙安全级别不够的问题,并与防火墙一起实现公司网络L2-L7层立体的、全面的安全防护。
千兆高性能IPS入侵检测系统可以针对公司Web服务器三层架构中的底层操作系统、中间层数据库服务、上层网页程序的每一层提供安全防护。为公司Web服务器提供包括漏洞利用、SQL注入、蠕虫、病毒、木马、协议异常等在内的应用层安全威胁的防范,防止网页被篡改的发生,并在每检测和阻断一个针对Web服务器的安全威胁之后,记录一条安全日志,为公司服务器的安全审计和安全优化提供全面的依据。
综合管理措施
笔者认为,要维护数字出版公司网络安全,在网络综合管理上要同时做好以下几点:
制定合理有效的计算机网络系统工作管理规定,明确责任,分工到人。
设置全集团(公司)网络管理员制度,各分(子)公司专人对网络和终端进行管理。
中心机房设置专人管理机房网络设备,定期检查并分析设备日志,定期升级软件和补丁,防止“破窗”出现,发现异常及时处理。
定期召开网络应用会议,通报网络安全情况,部署下一阶段工作重点。要打造一支能协同的团队,这比单纯有几台好设备要复杂,培训、协同和组织要付出更多心血。
网络安全阶段性总结范文2
关键词:安全模型;身份验证;IP;IPSec
0 引言
传统网络安全体系结构的注重点是数据安全,而不是网络基础设施本身的安全。在网络攻击不断泛滥的形势下,有必要将安全保护的对象由通信的数据转向通信的物理设备,没有安全的网络基础设施支撑,安全的网络通信如同空中楼阁。
1 面向报文信息的网络安全模型
目前,讨论的大多数通信模型是一方通过互联网传送报文给另一方,双方协调共同完成信息交换。如需要保护信息传输防止攻击者窃取和破坏信息时,就该在原有的通信模型基础上提供安全服务。目前有两类安全服务模型,即网络传输安全模型和网络访问安全模型。
网络传输安全模型是在数据发送或接收前对其进行安全转换,保证通信双方数据的保密性,避免攻击者窃取报文后直接读取,有时需要可信任第三方负责分发保密信息。网络访问安全模型是利用验证或访问控制等方式控制非授权网络实体非法访问资源。除上述两种安全模型之外,还有一种网络安全模型,旨在提供集成的网络安全,但仅仅是个一般概念上的描述模型,并非成熟实用。
网络传输安全模型,IPSec在TCP/IP网络层协议基础上提供了具体的安全服务框架,主要为数据通信增加安全保护,是网络传输较安全的一个实施方案。
2 安全框架lPSec
国际标准组织(Iso)制订的Is07498―2提出一个典型的传统网络安全体系结构(NSA),该结构描述了一系列的安全服务以及实现这些安全服务的机制。大多数安全服务可存在于ISO协议模型的任何一层,但其中IP层具有简单透明的优势,而其他协议层实现起来既增大系统开销,又会降低系统效率。于是,1ETF工作组于1998年11月制定了全新的IPSec安全体系结构,一系列相关规范文档,推出多种IP层安全服务框架。
IPSec安全体系结构规范州详细描述提供的多种安全服务以及实现安全服务的多种安全机制。安全服务主要包括数据保密、数据完整性验证、数据源验证、访问控制、抗重发攻击等。这些服务通过安全协议ESP(Encapsulating Security Payload)和AH(Authentication Header)实现,它们建立在密码技术之上,可提供多种加密算法和验证算法供用户选择。
无论是加密算法还是验证算法都要使用密钥,因此IPSec提供了密钥交换协议IKE(Internet Key Exchange)。IKE是基于ISAKMP密钥交换框架定义的密钥交换协议,它定义了两个协商阶段。阶段一是建立一个IKESA,可通过两种交换模式实现:一种是主模式交换,一种是自信模式交换。阶段二是建立一个IPSecSA,只能通过快速模式交换实现。其中安全关联SA(security Association)数据库是一个三元组集合,每个三元组称为SAID即。服务类型可以是验证服务(AH)或者封装安全净荷服务(ESP),SPI是端系统用来标识通信流的一个整数值。IKE协议是一个复杂的协}义,它用于动态地管理密钥,其安全性对IPSec提供的安全性影响至关重要。
2.1 IPSec工作原理
无论IPSec以什么方式实现,其工作原理都类似。IPSec工作原理(见图2):当IP数据包进入或离开IPSec结构时,它会根据安全策略数据库(SPD)对该IP包进行相应的处理。当接口接收到一个IP分组(里面包含了IPSec头)后,从该IP包中提取安全参数索引SPI、目的地址、协议号――它们组成一个三元组SAID,并根据该SAID检索安全关联数据库SADB,以找到处理该分组的安全关联SA;对接收分组进行序列号检查、完整性验证和解密处理,最终恢复明文分组;从明文分组中提取源、目的地址,上层协议,端口号,构造出选择符,将SA指向的SPD条目所对应的选择符与接收报文构造出的选择符进行比较,如果一致,再比较该SPD条目的安全要求与接收分组的实际安全策略是否相符,若出现不一致的情况,则将分组丢弃,否则继续处理分组。
当一个IP分组被发送时,其源/目的地址、协议号、端口号等元素构成选择符,并作为关键字检索安全策略数据库SPD,由SPD检索输出相应的安全策略有三种:一是丢弃发送报文;二是不进行安全服务处理;三是应用网络层安全服务,返回策略条目相对应的SA条目指针。如果指针非空,则根据指向的SA对该IP包进行相应的安全处理;如果指针为空,即SPD中没有建立对应的安全关联SA,IPSec会通过策略引擎调用密钥协商模块IKE,按照策略要求协商SA,并将产生的SA填入SADB中,并应用于待处理的分组。
2.2 IPSec性能分析
我们利用工具CASTSJ(communication Analysis and Sim-ulation T001)对装有集成IPSec功能的NETBSD操作系统的两台工作站进行了测试,从端到端TCP包通信的数据吞吐量和单向数据传输时间延迟两个方面来考察IPSec性能。测试分三类:运行未使用IPSec的服务(classl),运行具有IPSec验证功能的服务(class2),运行具有IPSec加密功能的服务(class3)。从试验结果可以明显得出以下两个结论。第一,相同时间内两端的平均数据吞吐量:classl>class2>class3,三类比值大约为15:11:5;第二,单向数据传输平均时间延迟:class3>class2>classl,三类比值大约为7:2:1。
虽然IPSec提供端到端的安全通信,但是,整个网络层安全解决方案是在操作系统内核中集成IPSec,这样必然会影响网络性能。并且,如果使用了IPSec服务,实时通信也会比较难实现。为了减少计算量提高网络性能,一个可行的解决方法是针对不同的数据实施不同的安全保护措施,对于不重要的数据可以不进行安全保护。
从空间复杂度角度分别对AH协议和ESP协议的两种模式(传输模式和隧道模式)进行了比较分析。在传输模式下,IPSec AH协议报头固定字段长度为12Byms,验证数据域(可选)长度12Byms,总共24Bytes。而IPSec ESP协议报头固定字段长度为10Byms,验证数据域(可选)长度12Byms,总共22Byms。在隧道模式下,IPSec AH协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可 选)长度12Byms,总共44Byms。而IPSec ESP协议报头固定字段长度为12Byms,还有新IP报头20Bytes,验证数据域(可选)长度12Bytes,总共42Bytes。
另外,从时间复杂度和吞吐量两个角度分别对IPSec中使用的加密算法3DES和验证算法MD5,SHA-1、HMAC-MD5、HMAC-SHAl进行了试验比较。试验结果为,对于同―种指令处理能力,数据吞吐量由大到小的算法依次为:MD5,HMAC-MD5,SHAl,HMAC-SHAl,3DES,而HMAC-MD5的执行时间比MD5要长,HMAC-SHAl的执行时间比SHAl要长。
2.3 IPSec数据源验证服务及存在问题
IPSec在网络层提供了多种安全服务,为现有网络以及下一代网络提供了一定的安全保障。其中,源验证服务使得IP报文接收者能确信整个报文未被修改,报文确实是从其所声称的源IP地址主机发送出来的。基于共享密钥实现的验证服务,是由AH协议提供的服务,其作用范围为整个报文,它利用密码技术和验证技术来实现,通过有密钥控制的Hash算法产生的报文摘要提供了基于密钥的报文验证机制,实现了报文完整性验证和数据源验证两方面服务。
上述服务存在一个前提,即主机IP地址已经存在。因为无论报文发送还是接收,需要根据报文选择符检索安全策略数据库SPD,数据库的每个条目是根据真实的源地址和目的地址建立的。但是IPSec数据源验证服务不能保证报文源IP地址的真实可靠性,无法检测子网内IP地址假冒报文,不能抵制IP地址假冒攻击。另外密钥协商过程比较复杂,而且需要用户参与,其透明度不高。
综上所述,IPSec数据源验证存在如下不足。
(1)IPSec需要通过用户密钥协商之后再提供数据源验证服务,而不能提供基于网络实体特征信息的密钥协商过程,对用户而言透明性不好。
(2)利用IKE进行密钥协商前,通信实体之间需要经过身份验证。主要有三种验证方式:预置共享密钥认证、数字签名和公钥系统。第一种方式并不实用,而后两种方式需要可信任第三方参与。整个密钥协商过程比较繁琐,性能不高。
任何一个网络安全解决方案不可能解决所有的安全问题,从上述两个问题可以看出:首先,IPSec着重从用户和信息安全角度保障通信数据的安全,而忽视网络通信实体的安全,不能提供安全的IP地址供接入网络的实体使用。而且目前针对网络设备的攻击屡见不鲜,存在多种基于网络实体的攻击方法,包括基于DNS攻击、基于路由器攻击、基于普通主机攻击和基于各种服务器攻击。其次,由于数据源验证服务基于密钥和IP地址实现,尽管在IKE密钥协商之前通信实体进行互相验证,但所提供的几种身份验证机制并不简单实用。再次,IPSec主要应用于建设VPN网络,通过公网搭建企业内部网可大大降低成本,但是,由于其复杂性以及用户透明度低,目前IPsec应用于端系统尚不普及。
因此,在上述安全模型基础上应该考虑网络基础设施的安全性,在保证网络通信实体可信的前提下,再进一步提供可靠的安全服务。
3 面向基础设施的网络安全模型
为了从根本上解决安全隐患,在源头遏制多种攻击的发生,应该从主机接入开始进行安全的管理和监控,因此一种新型的网络安全模型面向网络基础设施的安全模型被提了出来。所示为在转发设备可信、网络终端设备不可信的假设前提下,面向基础设施(主机)的安全模型。
主机A接入子网1时受到主机接入控制,主要是监测和控制主机A的身份标识和IP地址配置情况。其次,主机A收发报文时受到报文收发控制,主要是监测和控制主机A发送或接收报文过程中出现的异常情况,比如地址假冒或频率超高等。主机A的报文在网络传输过程中受到报文传递控制,主要是监测和控制报文在路由结点之间转发传递的报文完整性和真实性。最后,主机A的报文发送和接收全程受到信息安全控制,主要是端到端通信过程中数据加密,解密以及密钥管理等处理。
该模型假定转发设备是可信的,也就是说转发设备是不在主机接入控制范围内。如果把转发设备看作终端设备,只是比普通主机功能更强大,那么可以把假设前提定为转发设备和网络终端设备均不可信。在这种情况下,这个模型也是适用的,只是任何接入网络的物理设备进入网络时都要受到接入控制。
对于IP假冒,虽然IPSec在其相应前提条件下可以为通信的数据提供良好的源验证服务,但在网络设备的接入和IP地址安全可靠使用等方面没有提供较完善的验证服务,其前提条件较多不太合理,因此并不能提供可靠的数据源验证以监测IP地址假冒行为。在面向基础设施网络模型指导下,实体接入网络时增加安全控制机制,在此基础上通过网络层身份验证机制提供可靠的数据源验证,可以有效检测控制假冒报文。
4 新的网络层身份验证机制
IPSec安全框架选择在网络层提供安全服务,其优点是不需要对其他协议层次作任何改动,可以为IP层以上协议提供透明的安全服务。网络发展趋势是Everything Over IP,在网络层提供安全服务是最好的选择,可以屏蔽各类通信子网,而且不会影响上层的服务。但网络层所提供的功能必须高效快速,不应严重影响网络性能,否则将得不偿失,安全也就失去了意义。借鉴IPSec在网络层设计安全服务的优点,选择网络层作为设计的基础是合理的。
IP地址作为一个终端实体的身份标识,每个报文中所携带的源IP地址是否合法真实,报文是否为真正的实体所发送,通常可利用数据源身份验证机制解决。
身份验证系统至少应该有两个实体,一个是验证实体,一个是被验证实体。此外,还应该明确验证对象是什么?针对IP假冒问题,这里验证的对象是传输中的报文,如果验证通过说明报文中所声称的实体就是真实的报文发送实体,如果未通过则说明报文是由假冒实体发送的。因此,最初状态安全实体网络开始形成时,应该建立对象之间的验证关系和验证信息,实体和IP地址形成关联,然后利用它们监控网络内实体的报文发送情况,及时发现IP假冒行为。
结合面向网络基础设施安全模型和上述分析,身份验证机制分为三个阶段:
(1)第一个阶段,建立身份验证子网络,即建立实体间的验证关系。
(2)第二个阶段,建立实体身份标识和安全的验证信息,即为所有加入验证子网络的实体建立身份标识并且分配安全的验证信息,以便检测和控制网内实体的通信报文。
(3)第三个阶段,通信过程中检测和控制网内传输的报文,即利用上一个阶段所建立的验证信息检查报文的真伪,确定其是否为真实的实体发出的。
上述三个阶段的身份验证机制可有效解决IPSec存在的一些不足之处。首先,不需要事先存在IP地址,因为在第二个阶段时可以为接入的网络实体配置安全的IP地址。其次,第二个阶段后,验证实体可利用报文发送实体特有的安全验证信息检测接收报文的真实性,提供可靠的数据源验证,有效检测控制IP假冒行为,无需用户过多参与,增加透明度。最后,验证实体和被验证实体间密钥协商过程比较简单,可提高性能。
5 结束语
网络安全阶段性总结范文3
上文对网络工程建设中需要注意的问题进行了阐述,下面介绍局域网网络工程的相关情况。和很多网络工程项目一样,局域网网络工程由于网络覆盖有限,投资规模一般较小;工程建设周期较短。局域网网络工程建设还涉及到网络技术、电工技术、建筑设计、工程项且管理等多个方面的技术与知识。当前,局域网网络工程建设中有如下几方面问题需要重视:
1.1网络技术综合型人才储备不足。目前网络建设的人才主要来自两个方面:一是高校和相关职业学校,这些人才往往欠缺实践;二是各种培训机构,主要是操作训练为主的快速培训,这些人才往往缺乏理论知识。而实践与理论兼备的人才储备不足。
1.2网络工程建设工艺简陋,设计与管理不能规范化,而且,由于局域网建设往往投资较少,投资方很少请第三方监理组织进行工程监督。
1.3工程缺乏可管理与维护性。造成这方面的原因是:一方面网络工程资金规模有限,无法满足设备、网络需求的增长;另一方面在规划过程中,往往对工程设备选择与设备安装的冗余设计不足,这些都造成了升级空间小、管理性较差的后果。
1.4网络的兼容性与安全性较低。在兼容性上,不同品牌通讯设备间、传输介质与设备以及协议的兼容性,都会存在偏差;在安全性上,介质和设备的安全性不高,而且网络信息安全的保障不够。由此可见,局域网网络工程建设存在着不少问题,下面将介绍如何进行有效的局域网网络工程建设与管理。
2局域网网络工程建设
局域网网络工程建设一般来说分为五个阶段,每个阶段都有不同的任务,这点与软件工程开发类似,但又有着不同的重点。
2.1需求分析:是网络规划的关键阶段。需求分析应充分考虑今后的工程升级等内容,主要分析包括:用户的数量、特征;用户的通信要求;建筑物的通信环境;网络的服务范围;网络设备的选型;服务器的类型及功能要求;设备兼容性;网络采用的系统体系结构;网络操作系统及通信协议;网络流量特征与服务软件;资源共享要求;网络传输介质要求。总之,需求分析阶段应做到前面分析,认真具体。
2.2网络逻辑结构设计。局域网逻辑结构通常采用访问层、分布层与核心层三层树型结构。首先根据用户需求与访问层规模来完成网络拓扑结构与设备选型筛选;而且需要完拓扑图的绘制;然后,将拓扑图结合网络工程环境,完成工程施工图的设计,并且逐步完善工程施工建设方案,这就需要综合网络中心方案与管理应用、布线方案和电气方案等。然后,进一步结合市场实际,制定初步预算方案,将其交给用户审验并实施。
2.3施工阶段。这一阶段覆盖从签订施工合同到竣工验收前的整个过程。施工阶段的主要任务是根据施工规范,依据施工设计与相关规定,进行工程的安装、调试、集成、测试等,需要满足设计指标。虽然需要依据方案进行,但是在实际工作中应保留一定灵活性,可能会对原设计进行局部调整,但设计调整必须由监理认可。
2.4验收阶段。工程验收主要由验收会负责,由主管部门组织通过资料审查、现场考察与相关质询,从而对工程建设结果是否完成预期目标、是否达到验收标准规范等进行判断。在一些情况,还需要由第三方测试单位或者验收小组的测试组提供相关的测试报告。
2.5维护阶段。局域网网络工程维护阶段的任务是解决一些遗留问题,包括系统和设备的维护与维修等,并根据维护结果完善责任机制,其中设计不合理造成的损失应由设计单位承担,由于工程承包方的设备或系统质量造成的问题,应由工程承包方限期解决,并且对用户进行有关工程建设的系统提供咨询。维护阶段的意义还在于可以为下一阶段的建设提供参考依据。
3局域网网络工程管理控制
良好的管理控制工作对整个系统的建设有着不可替代的作用,局域网网络工程管理控制本文主要从成本控制与质量控制两方面考虑。
3.1成本控制。在局域网网络工程建设过程中,需要持续分析实际成本与计划成本之间的偏差,以及偏差产生的原因,还应该对发展趋势进行预测,以便制定方案来减少与削除不利偏差。产生偏差的常见原因有:人工成本、工程耗材成本、硬件成本、施工管理成本等方面的偏差。对于网络工程的成本控制工作来说,这是一个动态的过程,需要充分考虑施工环境,成本控制需要对用户需求分析有充分把握,在把握市场的基础上优化设计,促进对设备的有效控制,并且还可以充分利用现场的有利成本控制的条件,在保障工作顺利完成的基础上减少成本。
3.2质量控制。局域网网络工程质量控制主要包括设备材料、网络布线、器械安置等方面的质量控制。首先,进场的材料设备要合格,一些重要的电源与网络通讯设备必须开箱检查,在设备安装时应保证足够安装与维护空间;其次,网络布线应符合规范,各种管材、管道的安置与孔洞的位置都应该与设计文件一直,加工应符合规范,还应充分考虑防火防水等;此外,各种机柜、设备的安装位置应该正确,并留有足够的施工空间,结构应该清晰明了,便于维护。
4总结与展望
网络安全阶段性总结范文4
童瀛遇到的最新的网络犯罪方法是利用微信红包,最新的应用是阿里的花呗,通过大量盗取支付宝用户账户,帮助该账户提升信用,再利用信用恶意套取现金。
网络犯罪呈现隐密性强、复杂性强、国际化趋势等特点。然而,网络犯罪的危害性远比一般的犯罪危害程度更大、更广泛。以盗窃为例,一般盗窃案涉案的金额主要是现金,最多达到几十万、几百万元的水平。而童瀛近期遇到的2个江苏网络诈骗案的涉案金额则达到1200万和1300万元。
DDoS攻击(分布式拒绝服务攻击)是比较常见的网络犯罪攻击方式。据统计,大约有50%的在线游戏公司和700A的商业公司遭受过DDoS攻击;政府部门的情况更为严重,80%都曾遭受过DDoS攻击。
童瀛指出,DDoS攻击一般分为3个阶段。第一阶段是僵尸网络,第二阶段是反射攻击,第三阶段是智能、物联网设备。1998年,DDoS攻击主要来源于技术炫耀者;2003年,进入黑吃黑阶段;2008年,DDoS攻击组织开始统一市场,向上发展,公安部还曾组织专项打击行动;2010年以来,DDoS攻击呈现全面蔓延的态势。
童瀛总结DDoS攻击的目的主要是行业竞争、敲诈性勒索和恶意报复。2014年11月,南通市多家网吧遭受DDoS攻击,就是敲诈性勒索。今年3月,苏州蜗牛公司遭遇的DDoS攻击,则是恶意报复。
童瀛表示,作为黑客有高额金钱回报、网络犯罪成本低的特性,很容易导致网络犯罪。然而,网络犯罪所需要受到的法律制裁后果也很严重。据了解,目前,我国法律所界定的网络犯罪主要有3种,包括非法侵入计算机系统罪、破坏计算机信息系统罪、利用计算机网络实施的犯罪(例如网络传销等)。
一般情况下,只要利用网络违法所得的金额在5000元、瘫痪1万名网络用户1个小时以上的时间、非法控制了20台以上的电脑,公安部门就可以立案。 而按照我国刑法286条第1款的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
因此,童瀛建议,网安人员在网络安全的道路上不要走偏,不要陷入犯罪的漩涡;中小企业要健全应急响应机制,尽可能多留存日志,如果遭受攻击,最好的应对方法是报警;涉网单位要尽量提高自身的安全;普通网民尽量不要上非法网站,并从官方网站下载相应软件。如何保证P2P金融安全
自从余额宝推出之后,各个“宝宝”都开始涌现,金融行业在互联网上得到了迅速的发展,开启了互联网金融时代。其中,P2P金融作为把投资者、借贷者拉在一起的平台和渠道,由于其15%左右的平均投资回报率受众多投资者追捧。 然而,作为创新的互联网+模式,P2P金融也面临着双重的常见风险,既有来自互联网的风险,也有来自金融业的风险。“白帽子大会”上,万达电商安全主任工程师林鹏深度解析了如何保证P2P金融安全。
NSTRT团队收集了在2014年互联网金融行业中的134份安全漏洞报告,其中来自业务设计缺陷的漏洞占主要比例,达到27%。而P2P的业务流程,一般包括注册、绑卡、充值、购买理财、回收资金等步骤。 在注册环节,羊毛党撸羊毛(活跃在各P2P平台上,专门参加注册送积分、返现等优惠活动,以此赚取小额奖励)是一个普遍存在的现象。有时候,羊毛党还会和银行、平台内外勾结,圈起大量注册用户绑卡后卷钱跑路。这种现象并不少见。
“目前已经形成了羊毛党团体,内部分工明确。其中,家庭妇女和学生居多,基本都是兼职。很多人不知道P2P是什么,只是为赚钱照着做。”林鹏说。 林鹏指出,应对羊毛党的方法是要遏制他们的收入途径。在投资方面,从业务角度防套利,不能让人空手套白狼;利用羊毛党防止被平台反撸的心态,减少羊毛党收益,提高收益门槛;还有人工识别(客服挂电话)、机器识别、大数据应用等。
在绑卡的环节,容易出现用户套现行为。虽然一般都有实名验证身份证号、姓名和银行预留姓名的环节,但小的P2P平台通常是借用公安部接口校验身份证信息,想要骗过这些小平台并不难,因此并没有起到真正实名验证的作用。 林鹏表示,虚对绑卡环节的用户套现,P2P平台要有4要素验证,包括身份证、银行预留手机、姓名和银行卡号,另外还要有小额打款验证。这些内容应该是所有涉及到互联网金融的公司需要去做的。
根据调查,参与P2P业务的以男性为主,年龄在20~40岁之间,晚上18点是用户投资高峰时段,以微信和新浪微博传播方式为主,尤其是微信的比例达到99.4%,股票和基金是这些人最关注的投资品种。林鹏指出,对于P2P平台来说,符合这些条件的基本上可以认定为合法用户,不符合的怀疑为非法用户。
是否是非法用户也可以通过用户行为判断。一般正常的用户行为包括一整套业务流程,从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停滞在编辑资料的环节。
当然,目前P2P平台还无法进行人机识别,判断是不是,这些都是困扰P2P金融安全的问题,有待在将来解决。从0到1打造企业信息安全 在大会上,去哪儿安全总监郭添森分享了如何从0到1地打造企业信息安全的经验。据悉,做为同类型网站的去哪儿,其安全在国内能够排到前几名,安全部门在去哪儿内部也很有话语权。 郭添森将去哪儿的安全工作分成了三个阶段。第一阶段是安全融入基础IT,第二阶段是融入企业业务,第三阶段是融入企业文化。 在第一阶段,公司刚刚起步,因此安全主要的工作方向是组建团队,熟悉环境、灭火、设立技术制度流程和技术标准,最终解决网络层面的问题。 在第二阶段,随着业务数量逐步升级,安全的工作则放在了完善制度流程和SOX404 PCI DSS标准等方面。其中,最重要的事情是建立自动化系统,确保安全规划落地执行。主要解决操作系统、数据库、系统应用、web应用层面的问题。 在第三阶段,到了公司成立的第四年,安全工作的重点变化,更多地投入在数据安全、业务安全上。“尤其是数据安全,是行业内的公司都会面临的问题,也是普通消费者会遇到的问题。”郭添森说。 郭添森还指出,面对业务和安全如何平衡的问题,安全的使命是消除风险还是控制风险,较好的方式可能是用恰当的手段和投入控制风险。基础架构运维和安全的关系最紧密,必须与基础架构部门合作共赢,与业务部门找到切入的合适时机和方式,过早优化和过度优化都不合适。有的时候冲突的解决要依靠妥协和升级。
网络安全阶段性总结范文5
关键词:计算机网络安全;虚拟网络技术;应用形式
近些年来计算机网络存在很大的安全隐患,虚拟网络技术属于虚拟网络的核心,也是一种建立在公共网络上的技术,通过合理应用虚拟技术,能有效保证网络环境的安全性。同时虚拟网络技术必须将用户和有关信息联系在一起,对数据种类进行分析,结合互联网数据的具体化要求,及时对技术种类和安全形势进行分析。
1虚拟网络技术的内涵及种类
1.1虚拟网络技术的内涵
虚拟网络技术是一种保护计算机安全的专用网络技术,同时也是公用数据建立的一种私有化数据。在应用过程中可以根据局域网的设定对其进行分析,转优化的虚拟形式能保证数据的安全性,实现数据的空间传播。
1.2虚拟网络技术的种类
1.2.1解密技术
虚拟网络技术的种类比较多,在现阶段解密技术的应用范围较广。解密技术能对特殊数据进行特殊处理,像是给计算机系统安装上钥匙。首先要对特殊文件进行处理,将其转化为不可读取的形式,此类信息只有经过特殊处理后才能显示出来,有效地保证了计算系统的稳定和秘密性[1]。
1.2.2隧道技术
隧道技术属于新型传播渠道,能在不同的虚拟网络环境下进行信息的传输。为了保证安装后的数据包的时效性,在传播阶段要充分应用压缩包的形式,实现数据编辑后的有效传播,避免信息被不法分子获得。
1.2.3身份认证技术
身份认证技术属于限制性技术,使用者在应用过程中可以及时获得密码和名称。同时身份认证技术的技术操作性比较强,在应用过程中,需要特定负责人才能获取文件,即使是第三方也无法获得。
1.2.4密匙管理技术
密匙管理技术的任务比较多,其中供应数据的种类也比较多。密匙管理技术的主要任务是保证供应数据的有效性,在布控过程中需要考虑到信息的传播和传递,从不同的领域对其进行分析。只有满足布控设置形式的要求,才能保证信息的安全性和有效性[2]。
2虚拟技术在保证计算机网络安全中的应用
针对网络技术的特殊性,在应用过程中必须考虑到网络技术的特点,及时对应用格局进行分析,满足现有技术的要求。以下将对虚拟技术在保证计算机网络安全中的应用进行分析。
2.1虚拟技术在在企业和客户之间的应用
客户和企业在合作过程中,通常需要进行大量数据的共享,为了保证信息的安全性,必须对信息进行加密处理。同时很多企业不愿意将所有的信息透露给客户,因此要借助虚拟技术的格局,对各种问题进行分析。此外用信息共享的形式将信息放入到文件夹中,必要时要以建立防火墙的方式对信息进行保护,客户可以通过登录虚拟网络的形式,获取信息,避免出现内部信息泄露的情况。
2.2虚拟技术在各个部门间的应用
多数企业的所属部门比较多,在应用过程中必须最大程度地实现资源共享。企业在计算机网络安全管理中必须起到明显的作用,对各个分支结构进行分析,对局域网建设标准有一定的了解,满足不同部门间的联系,使其适应虚拟技术的后续发展要求。此外局域网采用的跨区域性的合作形式,对技术形式的类别有严格的要求。在虚拟技术应用阶段比较常见的是硬件设计系统,不但具有一定的加密性,同时钥匙不容易出现损坏的情况,应用效率比较高。技术形式和种类有很多,为了适应格局的要求,必须落实技术体系,根据移动业务点和防火墙的具体设计标准,体现出技术形式的应用趋势[3]。
2.3虚拟技术在企业和员工间的应用
虚拟网络技术将企业总部作为连接的中心,防火墙和企业布控形式比较特殊,在出口网关阶段,只有保证移动业务点和办公用户的有序性,才能使其避免受到防火墙的影响。在虚拟网络客户端应用阶段,通过有效的设计形式,能保证计算机网络的安全性。采购人员和企业销售人员要对企业控制系统进行分析,根据信息的组织形式,将传入的信息纳入到整体管理阶段。远程访问形式比较特殊,其安全性比较明显,在后续设计中要根据成本设计格局的要求,及时对技术种类和控制结构进行总结和分析,最终保证技术形式有序性。
2.4虚拟网络在计算机网络信息中的应用
随着我国经济和企业的快速发展,当前传统的网络信息管理形式无法适应企业的发展需求,在后续布控阶段为了提升信息的安全性,要采用信息化管理格局,将各类信息纳入到统一的管理范畴内。企业信息化空间形式容易受到空间和时间格局的影响,通过对虚拟网络技术进行分析,能保证信息通路更宽广。相关管理人员必须对其引起重视,合理对技术形式进行分析,突破原有局域性的限制,合理应用各种技术。只有做好信息的管理工作,才能保证企业的信息化管理更有效,更安全。
3结束语
虚拟技术在保证网络安全中有重要的影响,在应用过程中需要及时对新型产业进行分析,结合传统信息形式,对技术形式进行整合。为了提升计算机网络技术的安全性和可靠性,需要建立一个安全、可靠的网络环境,保证信息的隐蔽性,避免出现信息或者资料泄露的现象,进而促进企业的后续信息化建设。
参考文献
[1]徐因因,张美英,王红丹.关于计算机网络安全防范技术的研究和应用[J].信息与计算机,2011,10(1):89-90.
[2]杨永刚,蒋志国,方爱华.计算机网络安全技术的影响因素与防范措施[J].中国管理信息化,2010,10(1):96-98.
网络安全阶段性总结范文6
关键词 智能变电站;关键技术;发展
中图分类号 TM72 文献标识码 A 文章编号 2095-6363(2017)06-0033-01
智能电网被认为是21世纪电力系统的重大技术创新之一,而智能变电站是智能电网的重要基础和支撑。智能变电站是指,采用可靠、集成、先进、环保、低碳的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、f同互动等高级功能的变电站[ 1 ]。
智能变电站的安全运行是电网安全运行的保障,而其技术的先进性对推进智能电网的发展至关重要。本文将对目前国内智能变电站现状及近期智能变电站的技术发展方向进行简单概述。
1 变电站自动化的发展历程
变电站的自动化发展历程经历了3个阶段。各个阶段的技术特点如下:
变电站自动化发展的第一阶段:1)面向功能的集中式远动终端装置+常规保护;2)常规继电器+二次接线+远动终端装置;3)遥控信息实现二遥或者四遥;4)保护装置采用硬接点连接;5)功能简单且系统连接复杂,系统整体性能指标较低。
变电站自动化发展的第二阶段:1)面向功能的分布式单元微机保护加微机测控装置模式;2)保护装置与测控装置分开独立配置;3)采用现场总线技术;4)采用通信管理单元;5)系统扩展性能较差。
变电站自动化发展的第三阶段:1)面向对象、面向间隔设计的分层分布式系统结构;2)采用以间隔为对象的保护测控装置;3)保护和监控网络独立组网,装置直接接入以太网;4)系统配置灵活、扩展性强。
2 智能化变电站关键技术
2.1 互感器技术
目前智能变电站为完成电压、电流就地采样数字化,主要采用“电子式互感器”或“常规互感器+合并单元”。
根据电子式互感器高压部分是否需要工作电源,电子式互感器可划分为有源式和无源式两大类。
相对于传统互感器,电子式互感器最为显著的优点是其高压侧与低压侧无电气连接,其大大简化了互感器的绝缘结构,提高了绝缘性能。
电子式互感器相对于常规互感器还具备暂态范围大、输出信号可直接输入保护设备和微机化计量、体积小、质量轻等优点。
但就近年来的实际运行经验而言,电子式互感器的故障率仍远高于传统电流互感器;温漂问题仍是无源型电流互感器的技术瓶颈,目前厂家为解决温漂问题,多采用实测温度对线性双折射和维尔德常数进行补偿,但此方法没有从根本上解决该问题。电子式互感器中采用了光学器件、电子器件等相对易耗元件,采集器故障率仍较高[ 2 ]。总而言之,由于电子式电流互感器仍处于应用初期的磨合阶段,有很多技术问题尚待解决与完善,常规电流互感器与其相比,在运行可靠性方面及价格仍具有很大优势。因此目前智能变电站仍广泛采用“常规互感器+合并单元”的方式。
电子式互感器完全取代“常规互感器+合并单元”是智能变电站的发展趋势,但目前急需解决如下技术瓶颈:1)无源型电子式互感器温漂问题;2)有源型电流互感器功能问题;3)长期可靠性问题。
2.2 网络结构
现阶段在逻辑上智能变电站网络可划分为三层网络结构,分别为站控层网络、间隔层网络和过程层网络。
2.2.1 站控层网络
站控层网络可传输MMS报文和GOOSE报文,实现站控层设备之间、站控层设备与间隔层设备之间的通信。
站控层网络采用双星型拓扑结构,采用双网双工冗余网络的运行方式,可满足网络无缝切换功能。站控层网络采用MMS、GOOSE、SNTP时间同步三网合一、共网运行。
2.2.2 间隔层网络
间隔层网络可传输MMS报文和GOOSE报文,实现间隔层设备与本间隔其他设备、与其他间隔设备之间的通信。
目前智能变电站间隔层网络广泛采用双重化星形以太网络,间隔层设备通过两个相互独立的以太网控制器接入双重化的站控层网络。
2.2.3 过程层网络
过程层网络传输GOOSE报文及SV报文,完成过程层设备之间、间隔层设备之间、过程层与间隔层设备之间的通信。
目前智能变电站各电压等级过程层网络通常采用如下配置方案:500kV过程层SV、GOOSE网络采用星形双网结构独立配置,220kV过程层SV与GOOSE共网传输、双网配置,110kV过程层SV与GOOSE网共网传输、单网配置,35kV、10kV不配置独立过程层网络[ 3 ]。
未来随着二次设备就地下放及一次、二次设备完全整合,智能变电站的可将现阶段的三层设备两层网络结构优化为两侧设备一层网络结构。
2.3 一次设备在线监测
智能变电站在线监测系统是变电站综合监测、故障诊断的在线动态系统,可为智能变电站提供在线监测与故障诊断的整体解决方案。
智能变电站在线监测系统可对变压器绕组温度及负荷、变压器油中气体及水含量、变压器绝缘、变压器辅助设备(油泵、有载调压开关、冷却设备、继电器)、变压器局放、GIS及断路器中SF6气体含量、断路器动作特性、设备绝缘(电流互感器、容性电压互感器、避雷器)、电缆温度和电缆局放等运行特性进行综合监测。
智能变电站在线监测系统可靠性高、互换性好、准确性高,智能变电站在线监测系统是采用标准的结构方式、数据格式、通讯规约等全面集成的,而不是现有在线监测系统在后台监测软件层面上的简单集成。智能变电站在线监测系统采用基于多信息融合技术的综合故障诊断模型,结合运行参数和结构特性、历史运行状态及环境因素,依据获得的电力设备状态信息,对电力设备运行状态及剩余运行寿命进行评估。对已经发生的故障进行分析、对正在发生的故障进行判断、对可能发生的故障进行预测,明确故障的原因、属性、类型、性质,指出故障发展的后果和趋势,有效地提出故障发展和根除故障的对策,达到预防和避免电力设备事故发生、保证运行设备安全、可靠运行的目的。
但目前智能变电站在线监测技术,还无法实现囊括所有设备全面在线监测的可能性,在线监测系统一体化,并由自动化系统集成是未来一次设备在线监测系统的发展方向。
3 结论
2009年5月,国家电网在全国共选取了47个新建变电站作为智能变电站试点工程,试点工程在原理研究、设备研制、设计优化、标准制定等方面取得了许多创新成果[4]。但现阶段我国智能变电站建设仍处于技术的储备期和快速发展期,电网发展方式的转变、管理模式的创新对智能变电站提出了新的要求,未来智能变电站应以“结构布局合理、系统高度集成、技术装备先进、经济节能环保”为建设目标。总结现有智能变电站的技术特点,加强技术研发是推荐智能电网建设的关键。
参考文献
[1]李瑞生,李燕斌.智能变电站功能架构及设计原则[J].电力系统保护与控制,2010,38(21):24.
[2]王莉,韩海生.智能变电站自动化系统关键技术分析[J].电力科技,2017(21):214.
