前言:一篇好的文章需要精心雕琢,小编精选了8篇网络安全防护评估范例,供您参考,期待您的阅读。
网络安全防护评估范文1
关键词:计算机工程;防火墙;网络安全;信息防护
0引言
根据相关机构公布的数据来看,2018年我国网络用户超过8亿,巨大的用户体量,对于网络安全提出了更高的要求。基于这种实际,各大科技公司以及技术团队,投入大量资源,进行网络安全防护体系的创新与研发,旨在不断增强网络防护能力,有效应对网络攻击行为。防护墙作为现阶段最为有效的技术手段,其适用范围广,操作难度低,文章以防火墙技术为前提,通过对防火墙技术类型的梳理,探讨网络安全防护机制的技术构成,明确构建要点,旨在满足网络用户的安全需求。
1防火墙技术
为更好地发挥防火墙技术在网络安全防护中的作用,技术人员在相关技术研发与创新之前,需要对防火墙技术的发展现状有一个系统、全面的了解,形成完整的思维认知,增强技术研发与应用活动的针对性。(1)防火墙技术的原理。防火墙技术由硬件与软件组成,通过在网络边界上构建起通信监控机制,将内部网络与外部网络、专用网络与公共网络之间形成保护屏障,从而达到防范网络攻击的目的。这种技术原理,使得在信息交互的过程中,需要经过授权才可进行交互,将原本无序信息流有序化,无形中提升了数据交互的安全性,增强了数据交互的目的[1]。并且防火墙技术能够对网络攻击行为进行监控、预警以及记录,大大降低了网络攻击行为带来的损失。其基本结构如图1所示。从技术组成的角度来看,防火墙技术主要包括服务访问、验证工具、包过滤以及应用网关等几个部分组成,其技术构成较为简单,成本较低,并且具有较好的防护能力,因此得到了广泛的应用,成为目前应用频率最高的网络安全防护手段。(2)防火墙技术主要类型。随着技术的不断成熟,防火墙技术在发展的过程中,衍生出包过滤型防火墙、网址转换型防火墙、型防火墙等几个类别,不同的防火墙通过不同的作用机理,为用户提供网络安全防护服务。包过滤型防火墙技术其主要针对计算机的分包传输,来进行相应的防护工作,实现对目标地址、源地址、特定端口的有效防护。包过滤型防火墙技术难度低,研发成本不高。并且具有较强的网络危险因素的筛选能力。但是也必须认识到包过滤防火墙技术对于计算机的应用层缺乏管控能力,无法快速识别、预警应用层的网络入侵行为。网址转换型防火墙技术允许不同IP地址的内部网络,对互联网进行持续访问。同时还授权内部网络中多台计算机进行动态IP的设置[2]。对于进行外网访问行为,网址转换型防火墙技术会自动进行映射记录,将计算机的源地址、源端口映射为假地址、假端口,通过这种技术操作,大大增强了计算机源地址与源端口的隐秘性,减少了网络攻击行为发生的概率,并且网址转换型防火墙技术在发现用户访问网址存在安全隐患时,会自动对访问网址进行屏蔽处理,再次提升用户上网安全。型防火墙技术安全系数较高,对于计算机应用层有着极强的防护能力与保护作用,其将服务器与计算机进行分割处理,使得服务器与计算机之间不能直接开展数据交换,用户在操作计算机,获取服务器内相关数据时,服务器反馈的数据要经过型防火墙的分析与检测。在检测过程中如果发现问题则发出预警,采取相应措施,消除网络威胁,检测过程中如果没有发现问题,则可继续进行数据交互。从实际应用情况来看,型防护墙技术的防护范围较为广泛,满足了不同场景下的使用需求,保证了防火墙技术的实际防护效果。
2基于防火墙技术的网络安全防护机制
防火墙技术框架下,网络安全防护机制的设置涉及多个方面的内容,为保证实际的安全防护效果,技术人员应当在科学性原则、实用性原则的引导下,依托现有的技术手段,采取必要的技术应用方法,促进网络安全防护机制的完善优化。数据包过滤技术作为现阶段较为成熟的技术手段,其能够在计算机网络的网络层、传输层设置一定梳理的安全屏障,对网络层、传输层中交互的数据包头进行分析评估。通过这种方式,来保证实际的防护效果,最大程度减少网络攻击行为的发生。为确保实际的应用效果,技术人员在对数据包过滤技术的使用过程中,需要根据实际情况,将整个计算机运行以及对外交互环节的源地址、目的地址以及TCP、ICMP等网络协议进行评估,以评估结果为参考。对数据包过滤技术的过滤授权规则进行变更优化,在保证数据包交互实效性的基础上,确保安全隐患的快速识别,满足用户的使用需求。应用网关技术在实际使用过程中,技术人员可以从双宿主网关结构框架入手,在计算机内部设置两个网络接口卡,通过连接设备。同时进行内部网络与外部网络的对应连接,这种应用网关技术方案,在实现内部网络与外部网络有效区分,提升数据交互监督能力的同时,提升了数据交互的时效性。在较短时间内,快速完成内部网络、外部网络数据的交互。加入必要的过滤协议,完善防护墙的数据筛选能力。地址翻译技术在应用过程中,要根据防火墙技术的使用需求以及网络安全的实际情况,借助NAT将专用网络地址转化为公用网络的网络地址。这种技术操作,在很大程度上,实现了网络用户网络地址的有效隐藏,降低了网络攻击行为的针对性,无法借助于外部主机对网络用户进行探测,无形之中,增强了网络安全。
3网络安全防护技术机制构建要点
为保证网络安全防护体系的防护能力,实现防火墙技术与网络安全防护体系的有效结合,技术人员在进行网络安全防护技术体系构建的过程中,需要明确技术要点,明确防火墙技术应用的重点,确保各项技术的优势得以全面充分的发挥。
3.1防火墙的科学配置与准确选择
在应用环节,技术人员需要做好防火墙的设置工作。为保证设置的有效性,技术人员需要率先开展风险评估,明确网络用户面临的各类网络风险。同时获取用户的上网习惯,并制定相应的安全防护规则,选择恰当的防护方案。通过这种方式,使得防火墙技术与网络安全防护结合起来,切实发挥出防火墙技术的防护能力,最大程度减少网络安全事件的发生。
3.2评估防火墙的运行状态
在使用其进行网络安全防护的过程中,可以将防火墙的运行状态划分为不同的等级。有三种情况:(1)当没有网络攻击行为时,防火墙能够正常运行。(2)当受到网络攻击后,防火墙能够发挥防御作用,再次运行需要对其进行重启操作。(3)使用防火墙后,计算机内部网络与外部网络之间的数据交互被关停或者禁止。从实用性与安全性的角度来看,第一、第二种情况防火墙实用性较高,基本能够满足网络安全防护以及计算机使用需求;第三种防火墙无疑中断了用户与用户之间的信息交互,导致网络的局部瘫痪。基于这种实际,在应用防火墙之前,技术人员需要在科学性原则、实用性原则的基础上,进行系列测试工作,检查防火墙的失效状态,并采取相应的方式进行处理应对。
3.3进行防火墙的动态维护
防火墙的动态维护需要根据推送的各类安全补丁,及时进行下载安装,通过这种方式,不断提升防火墙自身的防护能力,有效应对新的安全风险。除了采取定期更新、安装补丁的方式之外,技术人员还应当制定必要的安全策略,例如做好数据访问与交互的授权,通过身份识别,保证了数据交互的安全性,避免了非法访问的发生,避免了数据的泄漏或者丢失。同时,在此基础上,增加DNS,通过这种技术手段,进一步提升防火墙的安全性。
4结语
防火墙技术是网络安全防护体系的重要组成。为保证正常网络交互活动的顺利进行,避免网络攻击行为的发生,减少各类损失,需要对对防火墙的运行状态进行评估,根据评估结果,采取不同的处理手段进行应对,定期下载安装防火墙补丁,不断提升防火墙自身的防护能力,有效应对新的安全风险。
参考文献
[1]齐辉.计算机网络安全中防火墙技术应用的探讨[J].通讯世界,2017(24):9-10.
网络安全防护评估范文2
关键词:工业控制系统;网络安全管理;网络安全防护体系
1工业控制系统网络安全现状分析
当前工业控制系统已成为国内外敌对势力重点攻击的目标,“震网”、“火焰”、“乌克兰电站”等安全事件表明网络攻击已经具备国家级网络战形态,其破坏性已延伸至关系国计民生的关键信息基础设施,工业控制系统的安全防护无论对于企业还是对于国家,都已经上升到无比重要的地步。目前,国内企业工业控制系统在工控安全管理过程中存在的突出问题有:对网络安全工作认知不足、重视不够、工作领导机构不健全、责任部门不明确、责任制未有效落实,存在职能交叉、多头管理、重要管理制度缺乏、执行不严等问题,同时工业控制系统普遍缺乏专业的安全人员,工控网络安全专项教育和培训开展不足。在工控安全技术方面存在的突出问题有:企业工控网络内部缺乏有效的安全隔离措施,普遍使用交换机划分VLAN或采用传统防火墙,无法有效隔离工业病毒和攻击;工控主机未采取防病毒措施或安装的杀毒软件没有及时更新病毒库;上位机操作系统版本普遍较低,存在大量的漏洞,普遍缺乏漏洞检测、安全生产加固工作开展不及时或未定期开展;普遍缺乏必要的技术手段对网络行为和操作行为进行监控和审计;普遍采用国外品牌的工业控制系统,自主可控程度较低。
2工业控制系统网络安全防护体系设计
工业控制系统网络安全防护体系要在企业整体的网络安全决策下,建立工控安全组织体系、工控安全管理体系、工控安全技术体系以及工控安全运营体系,其中,工控安全组织体系和管理体系的建立是有效推进工控安全工作的前提和基础,而工控安全技术体系以及运营体系则是不断支撑工控安全防护有效落地以及持续改进的重要因素和措施。
2.1工业控制系统网络安全组织体系设计
2.1.1工控安全组织体系建设
工业控制系统的安全组织体系在不同层级的职责也各不相同,参照国内企业典型组织架构,建议建立企业总部、二级公司到生产企业的三级工作机制,优化工控安全管理统筹协调机制,做到责任体系责任明确,层次清晰、横向到边、纵向到底。1)企业总部层面:建立多部门联合的工控安全联合工作小组,包括生产、网络安全、信息化等主管部门,负责把握企业工控安全总体工作方针和方向,做出工控安全重大决策,明确企业工控安全防护原则和标准,开展监督和检查工作。2)二级公司层面:设立专业的工控安全管理部门,切实加强组织领导,落实工控安全责任,实现二级公司自身的工控安全管理的统筹协调、监督检查、责任考核等职能;组建专业的工控安全管理和技术运营队伍,辅以工控安全综合运营平台来监控和运营全企业的工控安全任务。3)生产企业层面:根据企业规模以及监管部门要求设置工控安全专职人员,并与生产、信息化、自动化等专业人员联合行动,落实生产企业工控安全具体事宜。
2.1.2工控安全人员管理
企业需要设计良好的工控安全岗位职责,加强工控安全团队建设,保障工控安全防护体系的落地,包括以下几方面。1)安全管理岗位职责:各级单位领导应设立相应的安全管理岗位职责,明确工控安全的第一负责人,对重大工控安全事项负有决策、指导和监督义务。2)安全技术岗位职责:工控安全技术人员主要负责日常的设备巡检和维护、安全监控和趋势分析、渗透测试和技术评估、突发安全事件的应急处置、安全技术方案的规划和修订、安全配置和安全补丁、安全产品的选型等相关工作。3)普通员工安全职责:各级单位的普通员工也应明确自身岗位的网络安全职责,增强安全意识。
2.2工业控制系统网络安全管理体系设计
2.2.1工控安全风险管理
工业控制系统的网络安全建设和运行是以安全风险管理为基础,通过识别工业控制系统的相关资产,明确需要保护的对象,并对其进行风险评估以识别相应的风险并对风险优先级进行排序;制定风险处置计划为工控安全项目的规划以及安全运行提供指导和输入,并在实施风险处置计划时进行监控,建立循环可控的工控安全风险控制体系,主要包括信息资产识别、风险评估、风险处置和风险监控等等。
2.2.2工控安全制度管理
明确工控安全管理制度范围,制定工业控制系统的安全方针与安全策略,并依据风险处置计划制定和完善各安全领域相关程序、制度、管理办法、规范、细则、指南、记录和表单等体系文件。结合企业网络安全以及生产安全要求,以生产业务为出发点,制定具有企业特色的工控安全管理制度。
2.2.3工控安全合规管理
根据上级监管要求、企业安全管理制度和策略以及业务特点建立工控安全控制要求,设定安全合规指标,作为合规检查依据;定期检查信息系统符合安全规范的情况,可采用扫描、渗透测试、配置检查和专业审计工具等手段;管理层应定期检查有关安全方针、策略和程序是否被正确有效实施,是否符合当前企业的整体安全战略。
2.3工业控制系统网络安全技术体系设计
2.3.1网络结构安全设计
通过区域划分来理顺企业管理系统和工业控制系统之间的访问关系,以及工业控制系统内部综合自动化系统之间的访问关系,建立清晰的安全防护边界,实现有效隔离,使网络层次更加清晰。根据生产企业不同业务需求其网络分层方式也不同,一般可按照如下方式划分。1)控制区:根据业务系统的重要性和上位机操作对执行设备的影响程度将控制区划分为监控区和监测区,重点保护生产控制以及直接影响生产(组态软件、PLC)的系统。2)生产执行区:生产执行系统位于经营管理层与自动化层之间,起着承上启下的作用,一般部署在二级公司,根据实际需要进行隔离。3)办公区:主要有决策支持系统、ERP、OA、CRM、知识管理和综合统计系统等。4)合理设计边界防护措施:通过网络与边界的防护控制,增强各区域网络的访问管理与控制力度,合理分离管理系统和控制系统,以及增强控制系统内部的安全防护,边界防护措施包括边界防护设备部署、边界防护设备的集中管理、企业监督考核平台建设和生产单位自查自检工具化。
2.3.2监控评估安全设计
工控系统的监控评估是针对由外部攻击和内部误操作甚至恶意操作行为引起的安全问题进行监控评估,通过对通信流量的检测、操作行为的控制与审计等一系列保护措施保障工控网络内的行为的安全可信。1)监测审计:在生产企业的监测区和监控区内部署监测审计设备,达到通过合理设置检测规则,检测网络数据包的恶意代码或漏洞攻击的迹象,分析潜在威胁并进行安全审计。监测审计设备需具备入侵检测、应用程序白名单和日志审计等功能。2)威胁评估:在生产执行区和控制区内部署威胁评估设备,准确地识别工控网络中的各类工控系统、设备、软件以及其他运行中的服务器、数据库和网络设备,智能生成网络拓扑,结合专业的工控漏洞库、设备库、威胁特征库和全网威胁评分系统,周期性地开展威胁评估,进行详细的漏洞分析,清晰定义各类设备和整体网络的安全风险,输出评估可量化的报告。3)漏洞挖掘:生产运维人员需要基于已知漏洞检测和未知漏洞挖掘相结合的方式,能够对工业控制设备(例如PLC)、工业控制系统(例如DCS,SCA-DA)、工业控制网络中的安全保护设备(例如工控防火墙,网关),以及工控软件(例如WinCC)的漏洞情况(包括已知漏洞和未知漏洞)全面了解,实现为主动安全防御决策提供依据的目标。
2.3.3设施安全防护设计
1)主机安全防护:通过部署主机安全防护软件和,加强主机恶意代码防范能力,优化安全配置,更新安全补丁,实现不同操作系统(WindowsXP、Win-dowsServer2008等)主机的安全防护,避免不同监控软件(如iFix、Rsview)漏洞被利用的情况发生,使系统管理人员全面掌握主机的防护状态。2)控制设备防护:PLC、电力监控分站、综合保护装置等具备现场控制的装置统称为控制器,控制器属于工控系统的最后一道防线,也是最重要的防线。在监控区内上位机和控制器之间部署安全防护装置,并结合黑白名单的技术。在控制设备接入网络的接口处部署逻辑隔离装置,实现就报文的快速处理。在控制区内部署防护平台,根据具体控制器的业务情况实现流量的智能学习和防护策略的智能优化。3)移动介质安全防护:对于生产监控区和监测区主机上因管理和维护需要,不得不保留的USB端口(例如加密狗USB端口),应该通过专用USB线和USB适配设备实现对移动介质的纯硬件防护,避免在主机上安装软件而影响主机专业应用系统程序运行。
2.3.4工控安全运营平台设计
工控系统网络安全防护体系为各生产业务的稳定运行提供了技术保障,为了能够让技术防护措施发挥最大效用,更好地支撑企业工业控制系统的统一安全监管,需要对安全防护设备实现统一管理与集成展示、安全管理的监督检查与考核、工业控制系统的总体威胁感知与预警,建设集中运营管控的支撑平台。安全运营支撑平台包括安全设备统一管控、安全运维考核管理和工控系统威胁感知三大部分,做到技术与管理的有机结合,达到工控系统持续安全运行的目标。
2.4工控安全运营体系设计
2.4.1工控项目安全管理
工业控制系统项目安全管理覆盖项目的可研、立项、实施以及上线运行等过程,遵循“同步规划、同步建设、同步运行”原则,以保障项目实施过程以及自动化系统自身的安全性,以实现在工业控制系统网络安全运行体系的源头来有效控制工业控制系统安全风险目标。
2.4.2工控安全运行管理
安全运行管理主要涉及到日常进行的安全运维工作,主要通过规范日常的安全工作提高日常安全运行水平,保证网络安全风险处于可控水平。安全运行工作主要是通过人员管理、用户管理、工业控制系统管理、安全监控、供应链管理、物理与环境安全管理等环节实行安全控制。
2.4.3工控安全事件和应急响应管理
应急响应与业务连续管理通过合理的应急管理流程和业务连续性管理计划快速发现事件和处理事件,对事件快速的响应并按照事件的轻重缓急安排响应工作,并尽可能快速处置,保障工业控制系统的安全运行,并能够应对重大的工业控制系统安全事故,保障生产业务的连续性。
2.4.4工控安全供应链管理
制定严格的供应链管理流程,保证工业控制系统供应商以及安全产品、安全服务满足国家以及企业的安全要求,包含应对由于系统制造商、采购商、运输服务商等多个主体,信息传递过程较长,渠道较多,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。
3总结分析
工控安全是一个系统工程,是一个整体的概念,单独的安全组件只能提供部分的安全功能,无论缺少哪一个安全组件都不能构成完整的工控安全系统,因此必须保证网络设备、控制器、上位机和其他组件的整体安全性。同时工控安全又具有动态性。工控安全体系设计的最终目标是帮助企业具备不断提升工控安全管控的能力,以应对不断变化的内外部安全威胁。为了保障企业工控系统网络安全体系建设能够顺利实施,必须要考虑并通过各方努力满足以下关键成功因素的要求,具体包括以下几点。
3.1统一规划统一部署
工控安全的实施需要建立在对工控安全有高度认识的基础上,且需要有专业的技术团队,宜由企业总部来做统一规划、建设和运营,以保证项目的顺利实施。
3.2生产业务驱动
工控系统网络安全的最终目标是为业务的开展提供支持和保障,因此任务的实施一定要从业务的角度出发,不可仅仅看作是技术的任务。在实施时必须时刻考虑到业务的需求,在安全性和业务开展的便利性之间找到平衡点,同时提高业务部门对网络安全工作的理解和认识,在工控安全建设过程中获得业务部门的支持与配合,共同推动工控安全建设的开展,真正地实现工控系统安全为生产业务服务。
3.3有效的实施管理和监控
工控安全体系建设实施涉及到企业众多部门,涉及面广,影响大,这对于工控安全体系建设是一个巨大的挑战。为了获取建设的最大收益,并最大程度降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控,对于重点任务应投入专门的安全人员全程参与,及时掌握任务的实施情况,并根据企业信息化以及数字化建设的情况及时进行调整。
3.4长期可靠的合作伙伴
工控系统网络安全任务的实施涵盖范围很广,涉及到许多专业的技术和产品,需要广泛借鉴工控安全相关国际标准和最佳实践理念,又要充分结合企业工控系统对网络安全的特定需求,选择专业的合作伙伴对于保证工控系统网络安全建设能够成功实施是十分重要的。
3.5企业高层的支持
网络安全防护评估范文3
【关键词】电力系统;监控;网络安全;加固
电力监控系统主要是通过计算机来进行操作,电力监控系统现阶段存在的问题主要在于计算机软件安装、监控软件运行受阻、监控系统升级问题等,这些问题影响了电力监控系统安全防护技术的应用,并且阻碍了电力企业的发展,从计算机系统安全分区方面来看,计算机其他应用系统与电力监控系统的衔接少,如果计算机在使用的过程中被移动硬盘上面才有的恶意程序攻击,则会连带着电力监控系统出现安全问题,这样会导致系统信息出现泄露或者被篡改等隐患问题,大概率下这些隐患问题是未知的,较难预防,因此在这种情况下电力监控系统维护人员的专业技能高低显得尤为重要。
一、电力监控系统安全防护与网络安全加固的要求
在电力行业,电力监控系统主要监控的是三个部分,第一个部分是电力企业的生产管理信息;第二个部分是其生产控制类信息;第三个部分是其通信网络系统运行情况。国家有明确的规定,需要电力企业的电力监控系统安全防护与网络安全加固工作满足三份法规的基本要求,这三份文件分别是:2014年的《电力行业信息安全等级保护管理办法》以及《电力监控系统安全防护规定》、2015年的《电力监控系统安全防护总体方案等安全防护方案和评估规范》。电力企业要按照这三份文件来制定电力监控系统安全防护与网络安全加固工作的行为规范。我国政府已经正式将电力监控系统的安全防护纳入法律保障的范围内,电力企业在日常生产工作时应当将电力监控系统网络与其他网络分离,有电力监控系统专用网络,同时要配备先进的电力监控系统安全防护与网络安全加固设备,并且建设电力系统网络安全预防报警系统,电力监控系统要具备一定的敏感性,建设栅格状纵深电力监控系统可以有效的提高电力监控系统对于恶意程序攻击的敏感性,从而起到预防作用。从电力监控系统安全防护与网络安全加固的安全角度来看,主要有四个部分,第一个安全部分是电力监控系统计算机的主机安全;第二个是系统物理安全;第三个部分是系统数据信息安全;第四个部分是系统使用网络的安全,不同的安全层次需要不同的方案来预防,这样才能有效加强电力系统内部对系统攻击的感知能力,根据实际要求,需要电力监控系统分别从:系统边界防护、系统主机防护以及系统网络传输边界防护入手,加强这三道系统防线,这样才有助于实现电力监控系统安全防护与网络安全加固目标。
二、电力监控系统安全防护与网络安全加固现存问题
首先电力监控系统安全防护与网络安全加固较为突出的问题是其运营管理方面的问题,电力系统有专属密码口令,如果管理不善会导致密码的泄露,这一问题主要由监控机房的准入制度不够严格,计算机系统密码防范措施实施不到位,电力系统信息备份工作不完备。其次是电力系统技术管理的问题,当系统出现分区错误或者跨区并联情况时,不利于系统部分区域的信息双向传输,在传输的过程中容易出现信息被窃取的现象。电力系统的不同区域要进行划分,由此来确定安全等级,分区错误正是安全等级的划分出现问题,安全等级直接决定了系统安全防护的成本,安全防护工作有一定的针对性,需要根据系统部分差异性来合理制定。
三、电力监控系统安全防护与网络安全加固策略
电力监控系统要注意在进行业务交流时加强系统纵向加密,系统的加密装置主要作用是管理区域网与广域网的交界信息安全,因此需要将其认证写在其交界处,并且使用防火墙和纵向加密相结合的方法,这样不仅仅可以对系统数据进行加密,还可以进行系统身份的认证,由此来保证与系统连接的通讯设备合法。电力监控系统安全防护与网络安全加固主要保护的对象是系统的数据信息,因此要加大对网络用户身份以及外部拨号的注意,增加身份验证功能,实时关注一台计算机不同段的网络地址的概况。电气监控网络的安全性与工作人员的综合素质息息相关,因此电力企业要注重培养工作人员的责任意识以及技术能力,确保电力企业制定的安全防护措施实施到位,这样才有利于电力监控系统安全防护与网络安全加固策略的实施。
四、结语
电力监控系统安全防护与网络安全加固工作的情况对电力企业的日常生产有着很大的影响,这一工作需要分别从强化加密认证、安全分区、控制生产拨号访问、完善管理制度、提高工作人员专业技能入手,这样才能有效的保证电力监控系统正常运行,为电气生产提供安全保障。
参考文献
[1]邓?夫.新能源电厂电力监控系统网络安全防护浅析[J].科学与信息化,2019,(7):48.
网络安全防护评估范文4
关键词:电力监控系统;网络安全;三同步;纵深防御
1电力监控系统网络安全防护的要求
电力监控系统主要包括生产管理类信息、生产控制类信息和通信网络系统三个方面[1]。根据国家相关法律法规及南方电网公司要求,电力监控系统网络安全防护需要满足国家发改委颁布的《电力监控系统安全防护规定》(国家发改委2014年第14号令)、国家能源局颁布的《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全[2015]36号)以及《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)所提出的要求。同时南方电网公司结合自身实际情况,根据上述规定和总体方案,分别制定了《中国南方电网电力监控系统安全防护管理办法》、《中国南方电网电力监控系统安全防护技术规范》。
2电力监控系统网络安全防护基本方针
电力监控系统网络安全防护整体方案设计上要遵循“安全分区,网络专用,横向隔离,纵向认证”的十六字方针。
2.1安全分区
根据运行业务安全等级要求不同,将电力监控系统划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全I区)和非控制区(安全II区),管理信息大区又分为安全Ⅲ区和安全Ⅳ区。安全等级低的业务系统可以放在高安全区内,安全等级高的业务系统不允许放在低安全区内。除此之外,还设置安全接入区,使用公网通信、无线通信的业务通过安全接入区接入电力监控系统。
2.2网络专用
生产控制大区业务使用调度数据网承载,管理信息大区业务使用综合数据网承载,调度数据网和综合数据网使用独立的设备组网,在物理上实现网络安全隔离。使用MPLS-VPN技术,划分实时VPN和非实时VPN,实现安全I区和安全II区的逻辑隔离。
2.3横向隔离
生产控制大区与管理信息大区使用电力专用的横向隔离装置实现物理隔离,生产控制大区和管理信息大区内部使用防火墙等具有访问控制功能的网络设备进行逻辑隔离,安全接入区使用电力专用横向隔离装置与生产控制大区和管理信息大区实现物理隔离。
2.4纵向认证
各级生产控制大区使用纵向加密认证装置与调度数据网连接,为上下级调度机构或主站与子站的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
3信息系统安全保障模型
以风险和策略为基础,在信息系统的生命周期中在技术、管理、工程和人员等方面实施保障措施,确保信息的保密性、完整性和可用性特征(图1),达到保护组织机构信息和信息系统资产,从而保障组织机构实现其使命的最终目的。信息系统的生命周期层面和保障要素层面不是相互孤立的,在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。在电力监控系统的建设过程中,将安全贯彻到信息系统的全生命周期中,严格落实三同步要求,即“同步规划,同步建设,同步使用”,将网络安全工作融入规划、建设与发展三个阶段。构建电力监控系统网络安全管理体系,在组织架构上,落实人员配置,建立网络安全应急队伍;责任体系上,建立网络安全考核及问责体系,将责任落实到个人;管理制度上,建立网络安全标准制度体系,完善相关的业务流程和表单,细化业务指导书或典型作业指导书;技术标准上,编制各业务系统和支撑平台的网络安全防护技术规范。人员支撑上,加强人才队伍建设,做好网络安全技术及管理培训,深化网络安全资质考核认证,提升网络安全从业人员的技能水平。
4构建纵深防御的技术体系
信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)的思想,是实行多层防御、多点防御的纵深防御策略。电力监控系统网络安全防护体系的建设,也采用纵深防御的策略,根据等级保护的要求,主要从物理安全、计算环境安全、区域边界安全、主动防御四个方面着手,提高电力监控系统的网络安全防护能力。
4.1物理安全
电力监控系统机房应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施,应配置电子门锁加强物理访问控制,有条件还可增设专人值守,防止社工攻击。
4.2计算环境安全
电力监控系统的主机应进行安全加固,采用自主可控操作系统,实行双因子身份认证,配置访问控制策略,启动安全审计功能,安装杀毒软件,定期进行漏洞扫描,及时安装安全补丁,关闭高危端口以及高危服务,加强U盘等移动介质使用管控。
4.3区域边界安全
严格遵循“安全分区,网络专用,横向隔离,纵向认证”的基本原则,严禁跨区互联。应在区域边界部署横向隔离装置、防火墙等防护设备,配置访问控制策略,在网络关键位置,部署IDS、IPS等网络设备,对数据流量进行监控,防范入侵。
4.4主动防御
建立电力监控系统网络安全态势感知系统,对公司各电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。
5总结
网络安全防护评估范文5
【关键词】:网络安全;体系建设;风险防控;态势感知
随着国家对信息化产业的重视,信息化技术不断升级创新,高校教育信息化从中也得到了大力发展.无论是学校的多媒体教学、科技信息查询服务,还是无纸化办公等,都能看到信息化技术发展的成果.高校网络作为信息传播的通道,不仅是学校信息化平台建设的基础,更是学校可持续发展的重要保障.2017年6月1日,«中华人民共和国网络安全法»正式颁布实施,要求“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”[1].高校作为校园网络建设、运营、提供服务的主体,必须承担起应有的社会和法律责任,参考相关政策和标准,加强和保障网络安全,促进校园网络的稳定运行.
1高校网络安全现状
随着人工智能技术的不断突破,神经网络和深度学习等前沿技术的不断进步,教育管理模式在不断地变革,高校信息化建设呈现出数字化特性向智慧化特性迈进的趋势[2].然而,随之而来的网络安全问题也日渐突出,诸如安全设备增多[3],管理难度增大,用户数量及行为越发难控[4],再如拒绝服务攻击(DDoS)、系统漏洞攻击、网页篡改等安全威胁不断,对高校正常教学办公、科研工作造成难以估量的影响和破坏.同时,高校网络安全管理工作受限于人员编制、运维成本等因素,缺乏顺畅的管理机制、精细的管控服务、规范的运维流程,亟需形成统一的安全防护系统,建立相应的应急预警机制[5].
2高校校园网络安全风险因素
2.1高校各信息系统网络安全防护能力水平不一
网络应用和管理系统的安全防护能力有异,高校的网络应用和管理系统大多数是由不同的服务商建设,服务商的水平直接决定了该系统的网络安全防护水平,导致安全防护能力参差不齐,最低安全防护能力决定了全校信息平台的安全水平,且部分高校缺乏统一的网络安全体系建设,存在较大的安全隐患.
2.2网络安全问题重视程度不够
因为国家对学校投入的资源有限,所以学校方面更加重视教育教学资源的投入,认为网络安全对于学校而言不像企业研发或政府机密部门那么重要,网络安全防护等级较低;另外,学校在安全问题的处置上,几乎都是事后补漏,不能及时对网络安全态势做出判断和响应,预防措施不足;还有,高校对网络安全防护相关的软硬件设备认识不足,即使拥有了设备也无法充分发挥设备的作用,大多数高校目前都缺乏成熟的网络安全体系和网络安全专业管理人员,对于网络安全防护的认识滞后于互联网络行业的发展.
2.3高校站群是网络入侵安全事件并发的重灾区
高校网站建设和管理相分离,数量体积庞大,建设需求杂乱,给安全管理带来难度;②网站重复建设,维护不到位,存在“僵尸”网站;鉴于高校的公益性,即使网站被入侵或网页被篡改,造成的损失也不大,网站系统存在弱口令和信息泄漏的风险;网站服务器普遍存在漏洞,安全维护技术力量不足,漏洞修复不及时,经常成为黑客攻击的突破口.
2.4师生缺乏对网络安全知识的认知
在互联网时代,网络已成为人们工作生活中不可或缺的工具.在高校,网络的使用普及率更高,但大部分人对网络安全知识认识不足.2017年5月,暴发了全球性的网络安全事件—永恒之蓝事件(如图1所示),我国部分高校成为重灾区,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失.此次事件说明,如果平时我们养成良好的上网习惯,学习网络安全知识,事前必定能够起到一定的防范作用,事后也能降低甚至避免造成的损失.高校师生对于网络安全认识的匮乏已成为高校网络安全的隐患。
3高校网络安全风险防控策略
3.1遵循科学原则,合理规划网络安全防护体系
做好网络安全防护体系[6]顶层设计,将有助于提高学校网络整体安全防护能力,降低运行成本,具体可遵循以下几个原则使规划更为科学合理:①等级保护原则,安全体系建设必须严格遵循教育部及公安部门信息系统的安全等级定级办法,按照各应用系统相对应的防护能力进行建设;②体系化设计原则,通过安全集成的形式完善技术体系建设和管理体系建设;③技管并重原则,采取技术和管理相结合的安全防护措施,将各种安全技术与运行管理机制、正确安全观引导、技术培训、安全规章制度建设相结合;④安全域划分原则,可根据现有的网络结构和管理模式,在充分保障安全的基础上,进行可操作、方便易用的区域划分,以较小的代价完成安全域划分和网络梳理。
3.2重视网络安全技术体系设计,加强网络安全管理体系建设
网络安全技术体系设计[7]主要包括以下几个方面①安全技术环境设计,首先应进行安全区域边界设计,例如在外网出口位置部署应用安全防护系统,用于阻止和降低Web安全带来的威胁和风险,其次还应注重内网主机防病毒能力的提高,部署防病毒服务器,负责制定终端主机防病毒策略,例如在内网建立全网统一的升级服务器.②安全通信网络设计,首先应做好流量管控,实现对网络流量的全面透析与管控,优化网络带宽,为网络管理者提供网络的可见性,帮助组织构建可视、可控、可优化的高效网络,其次应保护通信完整性,通过对重要敏感字段进行强加密来保障通信传输的保密性和安全性.③部署综合运维审计平台,通过收集所有服务器(如syslog、NetGBIOS等)、网络设备、应用系统的日志,对日志进行智能关联分析。网络安全管理体系建设,主要从以下几方面加强:①设立安全管理机构,承担学校网络信息化建设与运行维护工作;②贯彻和落实国家相关政策规定,制定适合学校实际情况的网络安全管理制度;③设置网络安全专业技术人员岗位,专职从事学校网络安全管理工作;④加强网络安全体系系统运维管理工作,如网络运行环境管理、资产管理、介质管理、设备管理、监控与安全管理、系统安全管理等;⑤建立应急管理机制及安全事件处置策略[8],制定应急预案,针对可能发生的信息安全事件,预先制定科学有效的行动规范和工作流程,在发生信息安全事件时,能够及时、有序、有效地开展应急响应工作.
3.3安全服务体系与网络安全态势感知监测预警平台建设
安全服务体系包括但不限于以下内容(如表1所示):①渗透测试,是一种以模拟攻击、反应分析的方式确定软件安全漏洞存在性的方法[9],能够直观地让管理人员知道自己网络所面临的问题;②风险评估,通过第三方对现有系统进行全方位的评估服务,一般通过现场访谈、工具扫描、手工检查等手段进行,根据评估结果制定风险分析和风险管理规划;③安全扫描,采用扫描工具对信息系统进行安全扫描,发现漏洞,出具扫描报告,并根据扫描报告给出整改建议;④安全加固,根据系统情况制定相应测试方案、加固方案与回退方案,通过安装补丁、修改安全配置、增加安全机制等方法,增强信息系统抵抗风险的能力,从而提高整个系统的安全性.与此同时,通过教育管理部门统筹协调全省乃至全国高校搭建教育行业网络安全态势感知监测预警平台[10],实现高校网络信息安全问题提前知晓,及时拦截,进一步强化安全体系建设.网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势[11].安全监测预警技术是指通过对某一类事件的异常跟踪,发现特定的问题并加以合并分析,对发现的潜在威胁和脆弱环节相应的特征及特点及时通报预警.
3.4推进站群云服务平台试点建设
站群云服务是指通过云服务技术提供站群建设空间的服务[12].高校站群建设可在教育管理部门主导下,通过社会企业共同参与,开展高校站群云服务试点建设[13].通过站群云服务平台统一管理,有利于提高各高校站点的安全性,降低分散建设成本,同时,能够及时向主管部门提供有利于支撑决策的信息数据,精准定位高校教育信息化2.0建设发展方向[14],从根本上解决各高校站点管理不到位,安全投入不足,漏洞修补不及时等问题.
3.5强化教育形成网络安全意识,共同维护高校网络空间安全
网络安全防护评估范文6
信息化是社会发展的必然趋势,是经济全球化的内在需求,信息技术的普及应用改变了人们的思维方式和生活习惯,给整个社会带来一场深刻的革命。随着信息化社会建设步伐的不断加快,消防部队的信息化建设也要保持与时俱进,紧跟时代步伐。如今,消防部队计算机网络建设和应用虽然已经取得一定实践成果,但网络建设中的数据管理以及安全防范技术还不够成熟,计算机网络系统仍存在诸多安全隐患。而消防部队是一个涉密程度较高的部门,保证信息系统的安全性至关重要,所以分析消防部队计算机网络安全隐患,并采用针对性安全防护措施,保证系统数据安全,保证系统免受恶意攻击是目前面临的重大问题。
1消防部队计算机网络的安全隐患
(1)人为因素方面存在的安全隐患
计算机网络技术的普及应用给官兵日常工作带来了极大的方便,只要用一台电脑就可以进行日常办公。然而,消防部队官兵网络安全意识淡薄,缺乏安全知识,或打开网页浏览网络信息后不能及时关闭网页,导致重要信息泄露;或数字证书使用后不能及时从电脑上取下,埋下安全隐患;或使用U盘、移动硬盘等移动数码存储介质时没有进行杀毒处理,极易导致系统感染病毒或造成系统信息泄露;或不注意对杀毒软件进行更新、升级,无法保证杀毒软件的监控功能和查杀功能。另外,消防部队官兵大部分不属于计算机专业,接触计算机网络项目少,缺乏网络安全维护知识,对网络安全防护操作不了解,在系统应用过程中容易出现一机两用、信息泄密、感染病毒等现象。消防部队官兵网络系统安全意识淡薄、安全防护知识缺乏为消防部队的网络系统埋下了极大的安全隐患。
(2)网络基础设施建设以及技术方面存在的安全隐患
由于受投入资金的限制,消防部分的网络信息化建设明显不完善,尤其是调度指挥网的建设以及各种专用网的建设均无法满足现实需求,即没有做到专网专机专用,在网络安全隔离方面也没有设置网闸、硬件防火墙等安全防护设施,而且仅仅采用双网卡接入方式实现部分网络的接入,使网络系统的安全性得不到保障。另外,部分网络为了调试方便,几乎在电脑硬件上不设置任何防护措施,使电脑端口呈开发状态,这样极易给一些不法人员以可乘之机吗,对系统实施恶意攻击,最终导致网络系统瘫痪。在网络安全防护技术应用方面,在安全防护技术方面的投入不足,杀毒软件等安全防护软件不能及时更新、升级,系统漏洞较多,容易受到攻击及病毒感染,甚至造成不同网络的病毒交叉感染,最终系统瘫痪。
(3)数据存储存方面存在的安全隐患
随着系统数量的不断增加,数据的存储问题越来越突出,如何保证数据的完整性、安全性使目前要解决的重要问题。导致系统数据丢失的因素有很多,网络硬件故障、系统管理不善或者自然灾害等情况均可以导致数据丢失。消防部队网络系统数据存储存在的安全风险主要体现在以下几个方面:①操作系统和数据库系统的安全防护能力不高,当系统造成恶意攻击时可导致系统崩溃,进而造成数据丢失;②系统的硬件由于兼容性的限制而无法实现数据的有效备份,一旦计算机硬盘发生故障即可导致存储数据丢失;③系统数据缺乏完善的保密机制,导致数据泄露现象频发。
2消防部队计算机网络安全隐患的应对策略
2.1加强硬件防护
硬件是实现信息化建设的基础设施,是解决网络安全问题的关键所在。首先要加强机房建设,健全机房设备,建立高效的、适用的供电系统、UPS系统、防雷系统等,机房交换机设备、路由器设备要保证具有较好的稳定性性和较高的运行速度,以确保网络通信畅通。机房服务器的运行指标要满足一定要求,保证服务器稳定、高效运行。网闸、硬件防火墙的等设备要符合公安要求,以便实现不同网络之间的对接,这对保证网络的安全运行非常重要。另外,在数据存储方面,一定要加强移动存储介质应用的管理,移动存储介质在对接公安网时要进行杀毒,存储介质在确定不含机密文件的情况下才能插入如联网。网络建设中各种硬件设备一旦发生故障要及时维修或者更换。
2.2加强软件防护
消防部队的网络建设需要安装正版的系统软件,一方面保证系统的性能,另一方面保证系统的安全。在数据库的管理和应用中,需要由专业的计算机网络管理人员进行数据库操作,在设计数据库的过程中要考虑到各数据之间的关系,并正确配置,对数据库的用户数量进行一定限制,明确不同用户的职责范围和使用权限,对于一些机密数据要进行加密处理。为了保证数据的完整性和有效性,要做好数据库数据备份工作,制定完善的数据备份策略。严格遵守软件的开发要求,有必要时需要关闭影响网络安全的服务,以确保系统的安全运行。加强网络安全技术应用,安装杀毒软件,设置防火墙,定期检查和修复系统漏洞,同时注意对杀毒软件的更新。目前应用较广泛的计算机网络安全防范技术有加密技术、防火墙、病毒防护技术、入侵检测技术等。①加密技术是进行网络安全防护的核心技术,经过多样的研究和开发,现代加密技术基本已经实现了数据保密性、数据完整性、数据真实性以及数据可控性的完美结合,在当前的网络信息安全管理中发挥着重要作用。②防火墙是阻挡网络外部风险的重要措施,是一种用于加强网络之间安全访问控制,阻止外部网络用户以非法手段进入内部网络,是一种非常有效的安全策略。根据所采用技术的不同,防火墙可分为多个类型,包括过滤性防火墙、型防火墙、监测型防火墙等等。③病毒是网络安全的最大隐患之一,采用有效的防病毒技术可以防止病毒对计算机系统造成破坏。当前的防病毒技术主要有病毒预防技术、病毒检测技术以及病毒消除技术等。
2.3加强管理
(1)建立健全的网络安全防范机制
其一,制定物理隔离相关规定,并加强执行力度,以消除一机两用的现象;其二,规范网络安全管理和维护,局域网内需安装网络版防病毒软件以及其他安全防护软件,并进行及时更新、升级,以便最大程度消除安全隐患。其三,针对网络病毒制定有效的应急预案,以应对大规模的病毒发作,提高系统运行性能和应急能力。
(2)对主机本身进行安全加固
服务器是网络系统中的关键部分,一定因为服务器问题引发安全问题或者导致系统瘫痪将会造成不可估量的损伤,所以网络系统的安全防护必须要重视对服务器的管理,对重点服务器进行安全加固。服务器加固的方法有多种,常见的有增打补丁、或利用安全扫描技术对系统服务器进行扫描分析,以便找出系统中潜在的安全隐患,并及时消除。另外,对重要的、安全级别较高的系统建立应急预案,同时建立数据安全策略。
(3)制定详细的管理措施
为了进一步加强安全管理,消防部队应根据实际需求制定比较详细的管理细节,同时对计算机系统进行安全风险评估,通过对系统的定期分析了解系统各个层次的安全状况以及潜在的风险,信息安全评估内容包括物理安全、网络安全、系统安全、软件安全、数据安全、应用安全、管理安全等等多个方面,其中尤其要重视软件的安全,详细分析各种安全要素,以保证系统软件的安全应用。
(4)制定完善的访问控制策略
有效的控制访问策略是提高系统安全抵抗能力,缺乏系统数据安全性的重要手段。网络系统的安全控制管理一方面要建立认证系统,为确保系统数据信息的安全性必须要加强访问权限管理。另一方面可以充分应用IP限制技术、或者与MAC绑定技术加强系统访问控制管理。
(5)提高全员的安全意识,加强安全知识学习
随着网络系统的普及应用,提高安全意识是保证网络系统安全性的关键所在。其一,必须要从思想上认识到网络安全防护的重要性,杜绝使用未经杀毒处理、或者其他来历不明的软件,不随便查看、阅读、下载网络上来历不明的邮件或者文件;其二,用户应增强安全防护意识,对计算机系统要设置密码,不使用影响系统完全的服务,取消完全共享,并定期对系统和相关软件进行杀毒,增打补丁。其三,对全体官兵进行网络安全知识教育和普及,并落实网络安全责任,培养高素质的计算机网络安全维护人才。
3结论
网络安全防护是一个比较复杂的、需要长期坚持的任务,随着计算机技术的快速发展,计算机病毒、网络攻击等威胁系统安全的技术也不断升级、更新,让人防不慎防范。在网络安全问题逐渐多样化、复杂化的趋势性,网络安全防护也需要从多方面加强防护措施,建立多层次的、立体的防护体系,全方位维护网络系统的安全。
作者:李哲强 单位:内蒙古自治区呼伦贝尔市公安消防支队司令部
引用:
[1]唐镇.基层消防部队网络和信息安全问题及管理对策[J].网络安全技术与应用,2015.
[2]郭浩.当前消防部队网络信息安全问题及措施分析[J].信息安全与技术,2013.
[3]刘霄.消防部队网络安全问题及对策[J].信息与电脑(理论版),2014.
网络安全防护评估范文7
关键词:等级保护2.0;网络安全;体系建设
新时期下,信息技术的应用领域在不断拓展。网络协议、软硬件设备是信息系统构建的必要基础,受开发环境、代码缺陷等因素的综合作用,难免会有诸多安全风险和漏洞的存在,进而对信息系统的整体安全造成威胁。为提升网络安全水平,国家出台了网络安全等级保护制度,要求结合信息系统的等级保护差异对系统采取强制性的保护措施。
1网络安全等级保护2.0的重要作用
目前,我国网络技术日趋成熟,信息从业人员也具备了更高的专业技能水平。但随着云计算、大数据、工业物联网等技术的发展,网络安全问题越来越突出。相较于过去的等级保护1.0,等级保护2.0较大程度上完善了保护标准、对象范围等诸多内容,将网络基础设施、重要信息系统、大数据中心、云应用、物联网系统、工业控制等系统全部纳入等级保护范围,并将安全检测、通报预警、数据防护、灾难备份、应急处置、事件追溯等措施全部纳入等级保护体系,通过制度建立促使我国网络安全保护现状得到进一步优化。依据网络安全等级2.0制度要求,企业可以有效检查与防范各种网络攻击行为,避免泄露、丢失网络中的数据信息,信息系统的完整性、保密性得到增强,网络的整体安全得到提升。同时,等级保护2.0也对保护范围进行了扩大,能够对更多类型的网络安全风险有效检查。从技术层面来讲,等级保护2.0要求运用先进的保护技术,对安全监测、数据备份、应急处置等工作进行了强化,这样网络安全得到了提升,网络攻击、病毒勒索概率显著降低[1]。总之,等级保护2.0综合了技术、管理两个层面,对于网络安全、网络管理提升有着重大意义。
2网络安全等级保护2.0的创新内容
2.1创新网络安全风险评估机制
相较于过去的等级保护1.0,等级保护2.0要求建立网络安全风险评估机制,以便有效监测网络安全的影响因素。通过对系统进行风险评估,对网络中的各类安全风险及诱发因素的检测,给予用户相应的提醒,及时实施应对措施。在进行充分的风险评估与防范后,网络系统遭受攻击的概率将会显著降低,用户正常使用需求得到充分满足,同时,网络整体安全程度也可以得到提升。
2.2网络安全防护体系更加完善
等级保护1.0在网络安全防护体系方面不够完善,而等级保护2.0则深入优化了网络安全防护体系。基于各种现行经验与先进技术的支持,等级保护2.0在安全防护体系中引入了安全管理中心。安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护,促使网络安全防护的全面性显著增强[2]。
2.3网络安全监测机制更加健全
通过网络安全监测机制,能够有效应对网络系统受到的侵害与攻击。网络安全监测能够对网络防护薄弱部位全面监测,且重点监测那些病毒攻击频率较高的关键部位。即便遭受到了非法攻击,也能够及时应对,且网络安全监测功能能够对网络传输、数据保存的合法性实时监测,及时处置可能会对网络环境造成影响的信息,分析网络安全形势和网络安全发展态势,协调应对系统性重大信息安全风险。
3等级保护2.0下的电力企业网络安全体系建设
电力企业已广泛应用了云计算、大数据、工业互联网等各项新兴技术,等级保护2.0下的电力企业网络安全体系建设运用风险评估、搭建网络安全防护体系、实施安全监测等诸多措施,科学构建防治结合的网络安全防控体系。
3.1电力企业网络信任体系建设
网络信任体系作为网络安全等级保护非常关键的一项内容。基于等级保护2.0的要求,需要严格控制电力企业系统可信认证、身份认证等环节。而通过建设认证体系,则可以满足这一需求。其中,CA认证体系得到了较为广泛的应用,其既可以对用户信息统一管理,又能够优化控制登录操作、网络接入操作等环节,促使信息管理安全、业务经营安全等得到实现。此外,CA认证体系还将身份认证服务内置于业务系统访问过程中,这样网络信息系统遭受恶意攻击的可能性将会大大降低[3]。
3.2电力企业网络安全技术体系建设
在电力企业网络安全技术体系构建过程中,需积极应用先进的安全技术,包括安全审计、边界防护、访问控制等等。为保证电力监控系统中控制大区的网络安全,需依照“安全分区、网络专用、横向隔离、纵向认证”的方针构建控制系统的安全防护体系。而针对电力监控系统管理系统大区则利用超融合、虚拟化技术,将身份认定、数据加密等诸多技术综合运用于数据访问路径之中,促使安全防御目标得到实现。网络边界部署主动防御、防病毒网关与态势感知联动的一体化防护系统。这样能够做到网络间的安全隔离、又能做到主动监测各种威胁行为、抵御APT攻击,合理预判系统整体安全态势,规避各种安全问题的出现。
3.3电力企业网络安全管理体系建设
电力企业网络安全管理体系建设,需建立网络安全管理组织机构,制定科学有效全面的网络安全管理制度,涵盖管理制度、流程规范、安全策略等诸多方面的内容,且严格贯彻与执行。合理配备网络安全管理人员,以便促使网络安全日常管理工作得到有序开展。积极培训业务人员、安全管理人员,促使其安全意识、技能水平等得到提升。开展网络安全事件应急演练,以便有效应对与处置各种突发事件。在系统安全建设规划实践中,需将等级保护制度要求、系统实际需求等充分纳入规划与建设范围,做到“同步规划、同步建设、同步投入运行”。组建安全运维团队,或聘请有资质的安全服务机构。在运维中,加强巡检工作,严格检查系统运行状态、安全策略配置状况,扫描信息系统,及时查找漏洞及修复存在的安全风险。要借助日志审计、堡垒机、入侵检测设备对用户异常行为、网络攻击行为及时发现,进而对安全策略针对性的调整。同时,基于各种突发事件的处置情况,构建相应的应急管理体系。要基于渗透测试全面模拟黑客的攻击方式,通过技术和管理手段,有针对性地修补薄弱环节。通过上述措施的落实,促使信息系统安全性得到整体提升。
4结语
综上所述,网络安全等级保护2.0对等级保护1.0进行了发展与完善,能够为网络安全防护工作的实施提供有效的指导。电力企业要结合网络安全等级保护2.0的要求,依照“一个中心、三重防护”的安全架构优化、完善网络安全技术防护与管理防护,结合先进技术的运用以及管理体系的不断完善,有效应对各种安全风险问题,促使信息系统的整体安全得到进一步增强。
参考文献:
[1]常景超.云平台背景下的网络安全等级保护测评策略[J].金融电子化,2019,3(10):123-125.
[2]张增新.网络信息系统安全体系架构分析与实施策略探究[J].信息系统工程,2019,3(11):66-67.
网络安全防护评估范文8
在电力事业快速发展的过程中,信息化与网络化技术在电力生产中发挥了重要的作用,但同时也给电力企业带来了通信网络安全问题。本文首先对电力通信网络安全问题进行简单的介绍,然后分析加强电力禧通通信网络安全防护的必要性,最后提出具体的安全防护措施,希望能够给相关人员提供帮助。
关键词
电力系统;通信网络;完全;防护
信息技术发展过程中,互联网技术在各个行业中都具有较为广泛的应用,并对行业的发展起到了良好的促进作用。电力系统通信网络为电力系统运行与管理做出了巨大贡献,但是网络安全问题也是电力系统通信业务不可忽视的问题,任何潜在的安全风险都会给电力系统运行以及电力企业造成巨大的损失。基于此,加强对电力系统通信网络安全问题的研究具有十分现实的意义。
1电力系统通信网络安全问题
现阶段,我国电力系统通信网络安全防护中存在一定的问题,主要表现在以下几个方面。第一,电力企业管理过程中,缺少数据备份等安全意识,导致一旦数据丢失,则会给电力企业造成巨大的损失。同时,电力企业中缺少专业的信息备份设备,也没有与之配套的管理制度;第二,电力企业相关领导对网络安全防护的重视程度不足,在资金、设备、政策等方面都没有给予太大的支持;第三,现阶段电力企业尚未形成统一的信息网络管理体系,安全防护措施与管理制度也相对缺失;第四,目前外界威胁电力通信网络系统的因素较多,包括网络病毒、人为入侵、黑客攻击等等,都给电力通信网络造成严重的安全隐患。供电商与消费者之间具有双向通信的升级电网,具有智能测量和监视系统,这是对智能电网的简单定义。在一次设备智能化、无线通信等设备、技术不断涌现的背景下,使得我国智能电网接入环境更加复杂,对智能电网的安全也造成一定的影响,带来了诸多安全隐患。诸如正在部署的、用以支持智能电网项目的技术智能电表、传感器等,都会加大电网受攻击的风险。
2加强电力系统通信网络安全防护的必要性
电力系统通信网络安全防护工作责任重大,在时展的过程中,网络已经成为人们日常生活、工作中比不可少的一部分。电力系统通信网络的安全与否,关系到电力企业能否实时的掌握电力系统运行的状态,关系到对电力系统运行管理的质量,关系到电力用户用电质量与安全。同时,一旦电力系统通信网络安全受到攻击,大量的通信信息就会泄漏,可能给电力企业造成不可挽回的重大经济损失。加强网络安全防护的目的在于,保证电力系统通信信息得到保护,保证相关数据信息不被损坏或丢失,也不会给恶意的攻击或泄漏,保证电力系统运行的安全与稳定。一方面,通过网络安全防护工作,能够保证电力系统通信信息处于与交互过程中,信息处理的高效性与信息本身的完整性;另一方面,通过网络安全防护,能够为电力企业提供信息机密性,保证电力企业重要的信息不被窃取、篡改等,维护电力企业的合法权益以及商业利益。另外,在某种程度上来说,网络安全防护工作还能够减少电力企业信息盗窃等不法行为的发生率。
3电力系统通信网络安全防护措施
3.1加强对各种安全防护技术的使用
抵制安全风险最佳的方式就是采用先进的网络技术,电力企业需要引进先进的安全防护技术,同时保证网络技术更新的及时,营造一个良好的通信网络环境。在电力系统通信网络安全技术中,具体包括安全审核技术、防火墙技术、病毒防护技术、数据库技术、虚拟网络技术等等。效的过滤异常信息,避免电力企业通信信息遭受非法的攻击;利用病毒防护技术,选择良好的杀毒软件等,能够妥善处理好病毒问题,为通信系统运行提供健康的环境。利用数据库技术,为了提前防范电力网信息出现异常.如被盗、丢失等。通过数据备份的方式将原资料保存下来.以保证信息处于安全状态。电力企业可以积极创建数据备份中心.选择优越的数据恢复技术.遇到信息数据受损时可提前进行修复补充,维持信息系统的正常运行。对于虚拟网技术的运用,主要是针对网络管理者,其必须熟练的掌握VLAN技术,避免电力系统通信网络遭受外界因素的干扰。加密技术是通过对通信数据信息的加密,通过明文、密文相互转换,利用密钥以及相关算法实现对通信数据的保护;鉴别技术能够通过用户信息验证,保证数据交换过程中真实可靠性。
3.2增强安全防护意识
电力系统通信网络的操作者以及电力企业管理层人员,必须具备一定的安全防护意识,从安全的角度出发,根据现有的网络信息系统,制定有效的安全管理策略,有效的避免系统受到外界因素的损坏;作为电力企业的员工,也需要加强安全意识培养,在操作通信网络过程中,需要始终坚持安全的原则,做好每一个操作步骤,保证系统的安全与稳定。
3.3健全相关的管理制度
制度是管理的基础,电力企业需要建立严格的网络安全管理制度,为电力系统通信网络正常有序运行提供保障,让每一个环节都处于安全的状态。同时,电力企业需要贯彻科学的发展观,加强对计算机操作人员的管理、对设备的管理等,采取更加有效的系统安全管理策略,对电力系统通信网络信息提供实时的维护。
3.4加快故障的处理
当电力系统通信网络发生故障后,电力企业需要及时的安排技术人员进行处理,提高故障处理的效率,避免故障扩大对电力系统正常运行造成不利影响。例如,在网络信息系统中断后,需要及时的安排维护专家对故障进行判断,分析故障原因与位置,及时的进行处理与维护。
3.5构建安全认证体系
网络通信系统比较复杂且耗费成本较高,维护起来也有一定的难度,单一的安全防护措施根本无法防御所有的入侵。在对计算机网络非法入侵的监测、防伪、审查和追踪过程中,通信网络应该充分利用各种对应的安全防卫措施。终端用户在访问时,可以通过网络管理的形式,发放访问许可证书和有效口令,以避免未经授权的用户进入通信网络,并且利用密码、用户口令等控制用户的权限访问。在通信网络中健全数据鉴别机制,以预防未被授权的用户对网络数据的删除、插入和修改等。
4结论
通过上述分析可知,电力系统通信网络安全问题一直是电力企业运营中关注的焦点问题,由于外界影响因素以及系统运行自身存在的局限性,给电力系统通信网络带来一定的安全隐患,必须采取有效的安全防护技术,建立健全的安全管理制度,增强安全防护意识等,构建一个安全的网络运行环境,为电力系统通信业务发展提供助力。
作者:陶恺然 单位:葫芦岛供电公司
参考文献
[1]彭鹏,何玉军,何宇.电力通信网安全评估系统设计与实现[J].电力信息与通信技术,2014,12(8):125-126.
