网络安全控制范文1
网络安全关系到人们的生产、生活的有序进行,提高识别和消除网络的不安全因素尤为重要。文中阐述了实现网络安全、病毒预防、系统安全和数据安全的控制方法及具体措施。
关键词:
信息安全;数据安全;网络安全;病毒预防
随着计算机网络的迅速发展,无论是有线网或无线网在各行各业的应用都是在不断深入。信息网络已经成为社会发展、人民日常生产的重要保证。网络安全问题,已经引起网络用户高度重视。确保网络安全、数据安全、信息安全、工作畅通无阻、高效地工作,是各级网络从业人员的重要职责。
1网络安全的影响因素
(1)信息安全通常是指保证数据在传输的过程中不受偶然的或者恶意的原因遭到破坏、更改、泄露,保证信息系统能够连续可靠正常地运行,信息服务不中断。信息安全涉及到信息的保密性(保证信息不泄漏给未经授权的人)、完整性(防止信息被未经授权的篡改)、可用性(保证信息及信息系统确实为授权使用者所用)、可控性(对信息及信息系统实施安全监控)。
(2)环境因素和人为因素、社会的因素等是信息安全所面临的威胁。主要是环境因素和人为因素,威胁最大的是易受攻击性和开放性,从国内情况来看,目前我国互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,如银行、金融和证券机构是黑客攻击的重点。做为网络管理人员责任心也好、专业技能也好,一定要有足够的经验和技能应对,这样才能保证我们的信息不出现故障、不被攻击,信息安全[1]。
(3)数据安全是数据中心承载着国家或企业核心业务和机密数据,同时为内部、外部等提供业务交互和数据交换。所以,数据中心安全围绕数据为核心,从数据的访问、使用、破坏、修改、丢失、泄漏等多方面维度展开。
(4)物理安全涉及到物理环境、网络、主机、应用等不同的信息领域,每个领域都有其相关的风险、威胁及解决方法。其次,信息安全是一个动态发展的过程,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。网络安全中存在着安全威胁,例如黑客的攻击、病毒侵蚀给的工作、生活带来了一定的威胁,与此同时,有很多是敏感信息,如:国家机密。难免会吸引来自世界各地的各种不法人的攻击,无论实体网络、虚拟网络都经受威胁。
2网络设备管理
网络设备及部件是连接到网络中的物理实体。基本的网络设备有:计算机、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)、打印机和调制解调器。由于路由器、交换机、集线器等网络设备是由许多紧密的电子元件组成的,因此务必要将它们放置在干燥的地方,以防止潮湿引起电路短路[2]。
3因特网的防病毒管理
(1)随着因特网的出现和信息技术日新月异的发展,在学习、工作和生活被改变。现在学习不再局限于课堂,只要有电脑、网络,就可以学习自已喜欢的的课程。找一些高水平教授面或知名专业进行交流;有了互联网得力的助手,有问题只要“百度一下”或者寄给万里之外的领导发个Email,都是一件很容易的事情;在当下,有更方便的事情,坐在家中就可以购机票、购自己喜欢、满意商品甚至结认识万里以外的朋友。但是,不法分子可以瞬间可以使电脑中的信息扫空,窃取股票或银行卡密码,使经济和工作损失巨大。因此,享受互联网带给的方便与快捷,保护计算机的安全是目前最大的问题,必须采取措施来阻止病毒入侵和黑客破坏[3]。
(2)病毒无处不在,无论是在客户端面、服务器、网络上,病毒已从原来的利用光盘或U盘传播,到文件网络下载应用程序传播,又到现在应用网页传播或电影播放文件传播。同时病毒的危害也从以前的仅对计算机操作系统或文件的破坏,发展到现在能对整个网络的影响。染上病毒会有以下几种现象:计算机无缘无故死机、操作系统无法正常使用或根本就启不了机、系统运行的速度慢了很多、以前能正常使用的软件总提示内存不足、打印文或通讯总提示异常操作、本来能正常使用的应用程序总提示有非法的错误、系统的时间和文件的大小总是被改写、磁盘空间突然普通小、基本内存发生变化等等。这些现象提示你计算机已经中毒,所以对上网使用电脑的操作人员切断传播途径,保证信息的安全,考虑如何减速少计算机信息系统的脆弱性。实施并使用安全技术是计算机信息系统安全的基础保障,必须大力发展。
(3)系统安全是反病毒、反黑客有多种平台支持,如Window、unixforimtel、sunspark等。反病毒、反黑客的发展是技术不断更新和发展的技术。因此,计算机工作环境可经受较少的外部攻击[4]。
4防火墙的应用
防火墙是应用最广的一种防范技术。用防火墙来过滤能分辨应该通过分组和禁行的分组,让应该通过的分组正常通过,禁行的分组禁止出入。作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限如Windows墙,它是在防操作系统启动时就加载的。所以不要担心电脑在启动时被感染病毒。必须提高网络反病毒技术能力。在网络中,限制只能由服务器才允许执行的文件。账号和密码最好把默认的超级管理员账号(Administrator)改名,密码最好有8位以上字母和数字混合使用[5]。
5数据资料管理
数据资料、文本资料的往往存在存储器或是服务器内,这些地方是最吸引黑客攻击的,经常遭受攻击造成的损失往往也是最大的。所以重要的资料需要异地备份,存放在不同的介质上。例如:数据库备份与恢复,采用磁盘震烈的形式,数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。定期对重要的数据进行备份,对于硬盘中数据备份的方法很多,例如:在Windows2003Server版本上,提倡通过镜像或映射来进行实时数据备份,这样即使服务器中的一个硬盘损坏,不至于数据丢失造成损失[6]。
(1)计算机的软件系统升级及时更新补本,由于微软的操作系统漏洞太多啦,所以及时更新补丁是必要的,减少不必要的麻烦和损失。
(2)安装防毒软件、注意软盘、光盘媒介、使用基于客户端的防火墙或过滤措施,以增强计算对黑客和恶意代码的攻击的免疫力。或者在一些安全网站中,可对自己的计算机做病毒扫描,观察它是否存在不安全因素,如果经常在线,这一点非常必要。
(3)使用其它形式的文档,如办公处理换用。WPS或pdf文档以防止害病毒。当然,这不是彻底避开病毒的办法,但不失为一个避免病毒侵蚀的好方法。
6结束语
堵住病毒传播的源头是至关重要,只有正确的管理才能有效地把风险降到最低;发现病毒应及时把病毒的样本提交给专业的公司以得到专业公司人员的技术支持;使用先进的反病毒技术。在享有网络工具时,要不断提高防范意识,增强信息防范知识,真正确保个人和社会利益的安全。
作者:姚树霞 单位:大庆石化公司炼油厂
参考文献:
[1]李战生.信息安全技术浅谈[M].北京:科学出版社出版,2012:21-23.
[2]魏大新,李玉龙.网络技术教程[M].北京:电子工业出版社,2014:19-24.
[3]韩筱卿.计算机病毒分析防范大全[M].北京:电子工业出版社,2013:42-43.
[4]韦瑟罗尔.计算机网络(第5版)[M].北京:清华大学出版社,2012:39-41.
网络安全控制范文2
关键词:物联网技术;计算机网络;安全控制
在社会经济和科技的发展支持下,互联网技术开始被人们广泛应用到生活、生产的方方面面,对人们的日常生活和生产产生了深刻的影响。在科学技术的支持下物联网技术在人们实际生活中的应用更加广泛,同时,在应用的过程中也遇到了更多的影响因素,基于物联网的互联网网络安全得不到根本保障,使得网络系统在应用的过程中出现了较多的个人信息泄露、账号被盗等问题。针对这个问题文章结合物联网计算机网络使用存在的安全问题,为如何防范物联网计算机网络安全进行策略分析。
1物联网技术概述
物联网是在网络快速发展基础上所打造的一种物和物连接的系统,是在借助先进科技的基础上对原有的网络进行更深入的拓展和延伸。物联网技术的快速发展会牵涉到多种技术形式,比如以某矿山远程产量监测站点的布置为基本研究对象,打造的基于物联网技术的矿山远程产量控制系统具体如图1所示。在该技术的应用下能够实现对物品的有效连接,并在物体、信息传递的过程中充分发挥出信息交换和数据通信的功能,最终实现对所需要应用信息的全过程认证、跟踪、定位、使用和管理。物联网系统主要包括感知层、传输层、处理层及控制层,以此为基础组成一个大规模的信息系统,具体如图2所示。
2物联网计算机网络安全隐患
2.1通信安全问题
物联网系统在运行的时候如果通信端口比较少,在其需要承载能力超过其个人承载力的时候,如果网络系统持续运行就会引发一系列安全风险,具体表现在以下几个方面:第一,网络系统拥堵。整个网络系统的运作包含大量网络设备,当前的认证分析方式无法实现对各个设备使用情况的有效管理。在这种情况下怎样确保大多数倍设备和网络系统的关联成为相关人员需要思考和解决的问题。第二,密钥管理。计算机通信网络终端采取统一的认证方式来对各个信息进行加密管理。在这个过程中如果有其他物联网设备接入,在认证生成秘钥的时候则是会出现大量资源浪费的现象。第三,系统传输安全。计算机通信网络在加密算法的作用下能够获取更加完整的信息,但是受网络设备干扰的影响,如果加密算法比较复杂则是会出现信息使用延时的问题。
2.2安全隐私问题
物联网技术在本质上是通过无线射频识别技术、红外感应技术、全球定位系统等来对数据信息进行综合处理和叠加使用,促使使用的物品被动的接受人们进行扫描和跟踪,将隐私的数据信息转变为一种公开信息。但是由于信息缺乏有效的保护,整个系统在使用的时候会出现信息丢失问题。
2.3物联网终端节点安全问题
物联网设备一般会被安排在各个无人监控场景中,在地理空间分布上体现出分散的特点,由此为攻击者攻击系统设备带来了不利的影响,严重干扰了整个系统设备软硬件的安全使用。比如移动通信终端、无线通信终端等。这些设备在使用的时候往往处于无人坚守和随意运行的状态,在无形中增加了设备被破坏的风险。
2.4物联网终端信号干扰安全问题
物联网感知层网络以无线连接形式为主,信号的使用具有较强的公开性特点,因而信号在使用的时候很容易受到外界环境的干扰。
2.5数据传输安全问题
广播是感知层数据发送的一种主要途径,但是从实际应用情况来看,感知节点能力存在局限性,在无形中加大了数据信息被破坏的可能。另外,感知层的感知节点不具备完整的数据处理功能,在数据使用的过程中不可避免数据差错,制约了整个系统数据信息的安全性和稳定性。
2.6数据假冒攻击问题
和传统网络设备相比,智能传感终端设备一般具有公开性、全面性的特点,信息在使用的过程中很容易会暴露在攻击者的视线范围内,为攻击者攻击系统提供了契机,对传感器各节点之间的协同工作造成威胁。
3物联网计算机网络安全隐患的解决对策
3.1打造完善的物联网加密机制
物联网计算机网络运作的时候主要信息是通过移动互联网来传输到信息中心的,在具体操作的过程中为了能够确保信息的使用安全,可以通过使用逐跳式加密技术或者端到端的加密技术来对信息进行加密处理。从实际应用情况来看,逐跳式加密技术在使用的时候具有延时性低、效率高、拓展性强的特点,基本上能够对大多数的业务进行加密处理。端到端的加密技术则是能够根据不同业务类型来选择相应的加密策略,从而确保整个业务操作的安全性和有效性,但是从实际应用情况来看,这类技术在使用的时候无法对消息的目的进行全面的加密处理,无法确保信息使用的连贯性。
3.2建立健全隐私保护机制
通过技术和管理两种方式来对个人隐私进行保护,其中,技术层面的保护则是通过认证技术、授权技术等来对用户使用设备时的隐私安全进行保护。管理层面的保护主要是指对网络设备数据信息的使用进行明确的规定,并将保护用户的基本信息书写到相应的程序中,从而有效保护用户的隐私信息。
3.3实现对终端设备的实时性监测
在具体使用的时候为了能够避免物联网终端被破坏,可以在物联网技术的支撑设备上打造完善的网络监测系统,从而强化对整个物联网终端设备的有效监管保护。在系统设备受到损坏的时候,整个网络系统会向系统服务器发出预警信息,并将服务器被破坏的情况进行全过程的记录,从而为相关人员的检测分析提供重要支持。
3.4制定完善的安全路由协议
物联网包含感知层、通信网络,系统结构构成有迹可循,以指定的IP地址为基础。在使用物联网的时候需要相关人员结合网络结构的应用特点,借助无线传感器来对各个节点信息进行保护。在随机路由策略的作用下能够确保数据包在传输使用的时候数据信息朝着汇聚节点的方向传输,转化节点会将数据包传输到更远的汇聚节点上,避免攻击者获取精准的信息,从而实现对物联网的安全保护。
3.5强化对防火墙与入侵检测技术的应用
在物联网系统运作的时候为了能够更好地强化数据信息的传输安全,需要结合当前互联网系统的应用特点和基本性能来打造独属于系统使用要求的网络防火墙,结合系统应用情况打造完善的系统访问控制机制,根据需要对不同的网络系统开展隔离处理,并在整个系统运行的时候打造安全级别较高的系统访问控制,实现对不同网络系统的有效隔离,从而确保整个系统数据信息的安全和有效。在物联网的应用层使用入侵检测技术能够帮助相关人员及时发现和检测入侵的现象,根据入侵的基本表现来选择有效的措施来修复系统漏洞。在防火墙与入侵检测技术的作用下一方面可检测异常入侵,结合异常行为与计算机资源情况对入侵行为进行检测,在定量分析和定性分析结合下对常规和非常规的入侵行为进行全面的分析。另外一个方面通过检测系统入侵来了解整个系统的软硬件系统漏洞,并结合网络特点打造一套和网络系统相适应的入侵检测技术,增强整个物联网系统的安全性和稳定性。
4结束语
综上所述,基于物联网的计算机网络安全是整个物联网系统运行的重要环节,也是确保数据信息安全的重要保障。在新的历史时期,结合物联网技术的发展实际情况需要相关人员从整个网络的使用需求出发采取有效的措施来保护物联网系统的数据安全,从而更好地促进物联网领域发展,造福人类、造福社会。
参考文献:
[1]范文君.油田物联网计算机网络安全与远程控制分析[J].化学工程与装备,2019(03):186-187.
网络安全控制范文3
访问控制技术是网络安全体系中的重要技术,它是维护网络安全的一个十分重要的保护屏障。本文首先从访问控制技术的概念和原理进行了阐述,然后访问控制涉及的技术手段进行讨论,最后网络安全中的应用层面的具体应用进行了详细的分析和探讨,希望能对保护网络安全体系结构的研究和设计提出有效的建议。
关键词:
网络安全;访问控制技术;应用;探讨
0前言
随着现代计算机网络的不断普及,网络技术的应用已经深入社会生活的每个角落,尤其是行业的业务办理系统中。当前很多企业的业务办理,普遍使用的网络业务系统进行办公,在网络系统不断发展的过程中,网络安全问题逐渐暴露在人们的眼中,也成为当前急切需要解决的重要问题。针对网络安全问题,IT公司进行了大量的技术开发,访问控制技术由此出现,并成为当前应用较广的网络安全保护措施。
1访问控制概念及其应用的原理
(1)访问控制的概念
访问控制通常会以显式手段对访问能力及访问内容范围,进行限制性的设置。访问控制是一种防范非法用户进行资源访问等入侵行为的有效的技术手段,它可以对用户访问重要资源的权限进行限定,即使是合法用户由于错误操作而造成破坏,也可以通过访问限制来进行阻止,这样就保证了网络资源在可控、合法的条件下进行使用。用户进行系统访问时,只能按照系统授予的权限,禁止越权进行系统访问。虽然,访问控制是以身份认证为技术实现的前提,但是访问控制技术和身份认证技术有着根本性的差别。
(2)访问控制技术应用的原理
当前访问控制技术应用的原理是运用路由器上的访问列表进行数据包有效过滤。由访问列表对网络数据包的传递进行严格的控制,不仅仅是对虚拟终端的线路通信量实施控制,并且对路由选择更新也有很好的控制功能。路由器其自身产生的数据包,并非是由于包过滤功能造成的,如果数据包传输到达某一个端口的时候,路由器就具备对数据是否可以通过路由或者桥接的形式输出的查验功能。假设数据包无法输出,则会被丢弃,如果查验结果是该数据包可以有效输出,那么路由器验证数据包是否能够符合端口定义的包过滤规则,若不符合该规则,路由器仍然会将数据包的传输阻断,数据包会被路由系统丢弃。通常访问列表是由多条规则组成的,因此可以通过制定输入规则来进行数据包的允许或禁止的权限限定,可以将号码作为访问列表的特定标志,同样的访问列表中的所有语句应当对应的同样的号码,这样就导致号码范围会取决于访问列表的类型。
2在网络安全中访问控制的技术手段
访问控制是进行网络安全保护应用的主要技术手段,它通过充分保证网络资源不会被攻击和非法访问。访问控制的技术手段中涉及的内容也很多,比如:入网访问控制、网络权限控制、目录级控制以及属性控制等等,下面进行详细的讨论。
(1)用户入网访问控制
对用户入网访问的操作进行控制是指为网络访问提供了第一层访问控制。其主要的控制功能体现在设置用户登录到服务器的权限,以及用户入网的时间范围。用户的入网访问控制可以分成用户名的识别、用户口令的验证以及用户账号的缺省限制查验这三个主要步骤,必须完成三个步骤才能获得访问权限。
(2)网络权限控制
进行网络权限控制是为了解决有效防范网络非法操作的措施,给予用户及用户组相应的权限。对于用户及用户组进行目录、子目录等网络资源的访问的权限进行控制,可用于具体指定此类用户电影对应操作权限的文件、目录、设备等内容。即以受托者授权用户和用户组使用目录、文件等网络资源,而继承权限屏蔽(irm)方式类似于过滤器,对于子目录从父目录中继承的权限进行控制。
(3)目录级安全控制
网络控制用户对目录进行访问的方式是在一级目录对应获得的权限可以对该一级目录下的所有子目录有效,甚至用户对子目录中的文件访问权限进行授权。提出对于目录中文件的访问权限有:系统管理员权限、读写权限、删除权限、修改权限、查找权限等。判断用户对目录文件的权限的有效性要看两个方面,包括有用户及用户所在组的受托者指派和继承权限屏蔽取消的用户权限。为用户设置合适的访问权限是保证网络资源访问效率的主要因素。
(4)属性安全控制
网络系统管理员可以在权限安全的基础上设置文件、目录等内容对应的访问安全属性。属性的具体设置应当将指定的受托者指派和有效权限进行覆盖,生成对应一张访问属性控制表,以表示用户对网络资源的访问能力。属性能够控制的权限包括:文件数据写入和拷贝、目录查看和删除、文件的执行、隐藏和共享操作等。
(5)服务器安全控制
用户可以使用网络服务器控制台进行系统模块的装载和卸载操作,以及进行软件的安装和删除等。实施网络服务器的安全控制,可以设定口令锁定服务器控制台和服务器登录时间限制,有效防范非法用户对于网络资源进行恶意的修改、删除等破坏性操作。
(6)网络端口和节点的安全控制
信息通过网络端口进入计算机系统中,端口对于网络资源系统进行安全保护的形式,通常是借助自动回呼设备以及静默调制解调器进行加密以识别节点身份。自动回呼设备的作用主要在于用户身份真实性识别,而静默调制解调器的作用主要在于防御黑客利用自动拨号程序攻击网络系统。此外在服务器端和用户端进行系统安全控制的方式。还有用户携带身份验证硬件进行验证,如智能卡、安全密码验证器等,只有用户身份得到访问控制系统确认之后,才能被授权进入用户端。
(7)网络检测和自动锁定控制
服务器可以自身具备一定的监控功能,对用户对网络资源的访问进行记录,一旦出现异常,系统可以自发向网络资源管理人员发送警告提示,通知网络资源管理人员及时采取相应的措施。假如非法攻击和入侵网络的次数达到系统设置的合理数值,网络资源系统也可以自行进行锁定。(8)防火墙控制通过防火墙技术是进行加强网络间访问控制的常见手段,可以有效防范外部网络的用户强行侵入内部网络,对内部网络资源进行窃取、复制等恶意操作。防火墙技术对多个网络间的数据都会在既有的安全规则框架下进行检查,以充分保证网络通信的合法性和安全性,并且可以有效对网络运行是否正常进行监督。
3访问控制技术在网络安全中的应用
访问控制技术在整个的网络信息系统中的各个层面,都可以进行访问控制技术的运用,例如本文从应用系统层、网络层、数据库管理系统层、操作系统层控制技术的运用进行了探讨.
(1)访问控制技术在应用系统层的运用
应用系统是由数据库管理系统、操作系统等软件进行基础架构的,能够为客户提供其需要的软件程序。进行应用系统的开发,就必须考虑访问控制措施的合理规划。而访问控制措施的规划要结合网络信息系统中主要的综合业务系统进行对应的配套开发。业务系统的操作模式,系统中操作主体的权限都是需要进行访问控制规划考虑的重要内容。尤其是该业务系统中的安全管理这一部分,要有针对性的制定访问控制措施的具体规则,进行业务操作必须按照规则来进行。
(2)访问控制技术在网络层的运用
访问控制列表在路由器和三层交换机中有广泛的应用。其中主客体即源地址、端口号与目的地址,在进行访问控制列表的网络资源时,必须遵循相应的保护规则,假如数据包可以充分满足网络安全保护规则标准,才能被则允许输出。MAC地址过滤的步骤中,往往就将待访问目标视为客体,而将MAC地址视为主体,因此通常就是按照定义MAC地址过滤列表来制定相应的保护规则,满足这个保护规则的MAC地址数据包才能被允许输出。此外,网络内部网络和外部网络之分,以源端口号、源IP地址作为主体,而将目的端口号与IP地址作为客体,然后遵循安全保护规则的数据包才能被允许输出,这种技术就是防火墙技术。
(3)访问控制技术在数据库管理系统层的运用
在网络系统中,不仅仅是操作系统具有重要性,数据库管理系统也是非常重要的,它是组成应用系统构架的重要内容。在数据库管理系统中,访问控制技术也被视为一个关键性的安全保护措施。数据库管理系统将身份认证通过的登录信息作为主体,而系统中的文件、字段、表以及操作作为对应的客体。控制用户访问的规则也会对用户在数据库中的存取操作的执行产生影响。数据库中的存取矩阵也是对用户访问控制规则的反应。数据库中,列在该存取矩阵中代表着系统客体,比如字段、表等等,阵列的各个单元表示的是主体对于客体或相异主体之间的存取方法,比如进行数据库中的增删、查询、修改等操作。数据库管理系统由于其数据的重要性,进行应用系统设计时要考虑将数据库中内容作为依据,因而访问控制措施对于数据库管理系统中数据的保护而言就具有重要意义。由于一旦数据库管理系统的访问权限被非法用户获取后,就可能出现不需要经过应用系统直接获取数据库中数据的情况,因此,网络系统开发管理部门就需要重视制定严格有效数据库系统的访问控制方案,对于数据库管理系统中主体的最小权限进行深入分析,然后再进行存取矩阵的设定工作。一般而言,应用系统用户没有直接获取数据库管理系统权限的途径,这样进行规划的目的在于不会对数据库管理系统进行直接操作,通过制定有效的管控措施来避免直接授权操作。如果存在直接登录进行数据库系统操作的必要,那么也要进行操作的限制,不能对开发用户进全面的授权。可以降低查询权限的授予要求,但一定要对数据库系统中数据增删和修改操作权限的严格限制。
(4)访问控制技术在操作系统层的运用
在网络操作系统中的系统操作层面,用户的身份认证有着极其重要作用,也是进行访问控制依据的内容,并以此来进行网络安全管理。随着技术的不断进步,进行用户身份认证的方法有很多,如口令、指纹以及身份卡以等等。系统会对身份认证没有通过的用户实施禁入措施,假如用户的身份认证正确,那么系统会将登录系统的身份信息作为主体,而将系统的设备、数据文件、系统操作、系统进程作为客体,通常会出现比如数据读写、删除以及修改等操作行为。通常利用用户对信息存取控制进行用户的身识别和存取访问规则的制定,系统会根据需要授予不同的用户不一样的系统存取的权限,比如在写入或者读取方面。通常以存取矩阵模型来进行访问控制规则的表示,因此从大型矩阵阵列则可以看出系统安全运行的状态。系统主体由行进行表示,而对应的系统客体则用列来进行表示。主体对于客体或各个不同主体之间的存取是通过阵列单元进行填入的数值表示的。数据库管理系统以及操作系统都是通过科学的设置访问控制措施来对内部与外包开发人员进行有效限,以有效避免出现内部与外包开发人员故意越权进行操作系统的情况。因为假如出现对系统的内部和外包开发人授予权限过多的情况,那么网络系统的安全就难以得到保障。进行网络系统开发的科技部门必须对于操作系统访问控制措施的设计给予充分的重视,对于文件系统中的用户要按照最小权限进行授予,再在此基础上通过存取矩阵进行科学的设定。
4结束语
随着现代社会中网络科技的迅速发展和普及,计算机网络在各行各业的业的业务系统建设建设中占据了相当重要的位置。在网络安全体系结构的设计中,访问控制已经成为保障网络安全的核心技术手段之一。访问控制措施的设计必须符合相关的标准和要求,即严格遵循最小权限授予原则、分散系统业务职责给多人负责,对非法用户的操作进行及时阻止等,以此充分保障网络安全体系结构设计的科学性。
作者:梁树军 李玉华 尚展垒 单位:郑州轻工业学院
引用:
[1]房文治.网络安全访问控制技术[J].电子技术与软件工程,2014.
[2]许鑫.基于访问控制模型实现银行网络安全目标[J].计算机技术与发展,2012.
[3]王铁钢.浅谈“访问控制”技术在银行网络安全中的运用[J].计算机光盘软件与应用,2012.
[4]黄义强.探究网络安全中的访问控制技术[J].无线互联科技,2011.
网络安全控制范文4
关键词:大数据;网络信息;安全机制
从大数据的信息获取形式来看,可以发现大数据的主要问题在于,数据的获得方式与用户的隐私权形成了明显的矛盾。大数据需要用户的特定因素才能够达成功能,不过无法在用户“想提供”的程度上形成平衡。虽然近年来,各大互联网公司不断在各类场合承诺保障用户隐私,但Google、Facebook、Yahoo等信息被盗事件的爆发,无疑在一定程度上说明,当前网络仍旧处于不安全的状态之中。虽然保障安全的最有效方式是在于杜绝大数据的使用,但仍就应当考虑到大数据能够为当前商业社会提供助力。大数据的使用已然较大程度上改善了人类的生活效率,而大数据所涉及的云平台、物联网等功能的实现,以及未来智能城市的实现,无疑也是人类目前重要的发展方向之一。故此,对于大数据背景下网络信息安全的控制,应当避免“一刀切”的方式,尽可能寻求在保护用户隐私信息安全等需求的基础上,仍旧能够不断促进相关产业的发展。
1浅谈大数据
事实上,大数据的技术形式并不复杂,但其需要丰富的数据基础。所以,目前能够开展大数据研究的企业多是具有较高用户量的产品,如Baidu、淘宝、腾讯的微信等,而用户在使用相关软件时,其使用路径和涉及时间、地点等状态,将会被平台以数据形式记录,在达到一定数据积累程度后,形成了大数据。例如,网约车软件通过时间特征的管理,发现在17:30—19:00为下班的晚高峰期,同时基于定位服务可以获得在特定位置上班的人群,以及下班后的主要路径,如出现一定百分比的人群进入到商场,一定百分比的人群回家等数据状态。网约车软件便能够提供特定人群相应的服务支持,例如对进入商场的人群提供购物优惠券。由此来看,大数据在实现对服务支持的情况下,首先可以保障消费者处于得益的状态。而大数据本身则能够依据平台流量优势获得一定收益,例如广告费、商品销售等。另外,大数据也与人类的未来方向发展息息相关,例如阿里巴巴产业目前正在研发的智能城市,便是通过大数据的积累,寻求城市交通的解决方案。如目前的十字路口红绿灯采取了规范化的管理方式,无论是行车,还是行人,再通过路口时必须“靠运气”,否则必须停留。而智能城市经过大数据的调整则能够保障该路口的通行效率,可以让行人或行车在通过某路口时减少等待时间。以其为基础,例如Baidu公司目前正在开发的无人驾驶技术,其技术核心便是结合大数据作为数据样本,进行道路上的物体识别,从而让汽车可以实现无人驾驶。而该技术也可用在智能城市中上述提到的交通路口自动调节技术基础上,采用自动识别基础,如在特定方向没有行人或行车时,自动调节路口,让另一边的行人或行车得以通行。由此可见,大数据对于人类的生活和发展而言,具有客观的促进意义。但不可否认,大数据同样也威胁着当前人类的数据安全,例如,在大数据需求下,意味着平台可能会侵犯使用者的隐私。而根据我国网络管理的现行要求,凡使用网络平台的用户,均为实名注册。由此可能导致违法分子能够通过大数据获取一个人的生活习惯,包括工作时间、出行、饮食习惯、消费习惯等。在掌握诸如此类的私密信息基础上,无疑会对其生命财产安全造成严重的威胁,由此可见大数据无疑是一把“双刃剑”。
2网络信息安全
1)网络信息安全的特征
信息安全风险主要在于三个方面:第一,信息被盗取造成用户隐私遭到泄露;第二,信息被破坏导致信息不再具有应用价值;第三,信息出现错误,造成部分信息的功能失效。从三点来看,网络信息安全主要在于:首先,保障服务平台的稳定性,避免用户信息出现错乱、丢失等问题;其次,确保平台防御机制符合安全服务需求,避免非法入侵等状况发生;最后,确保平台机构服务人员具有一定的道德水准,以免高权限账号导致信息被盗用、修改或出现信息错乱。由此,也可以发现网络信息安全管理的核心在于系统稳定性、结构安全性、内部道德三个方面构成。所以,网络信息安全的基本特征,则是从不断优化技术,提升算法的实践能力,同时加强管理,提升员工的自我约束,最终在保证硬件安全稳定的基础上实现。
2)影响网络信息安全的相关因素
根据网络信息安全特征的描述,可以发现目前网络信息安全问题是多方面的,具体在于:第一,在开发技术层面上存在明显不足。目前,大数据服务领域因为仍未开发出适合的算法,导致大数据系统结构存在大量的问题,但由于国家层面并未设置具体的管理要求,所以,该问题也遭到了忽视。从市场环境来看,除了一些大平台所采取的大数据模型中所存在的问题较少外,很多平台都有着明显的漏洞,例如用户信息丢失、被盗等情况屡见不鲜;第二,企业内部管理存在问题,在高度商业化的社会环境中,企业主要重视员工为经济发展所能够创造的价值,而忽略了对员工道德操守的关注。一些员工在利益驱使下,采取逆向选择,导致近年来大量银行用户信息扩散、酒店用户信息扩散等与员工泄露相关的事例来看,由此可以发现道德水准对于企业经营的重要性;第三,大数据平台的硬件水平存在明显不足,我国互联网企业中能够保证较高硬件水平的企业相对较少。而企业因为存在控制运营成本等方面的需求,大多不会为用户信息进行安全备份,由此一旦出现安全问题,便意味着可能会对用户信息造成无法弥补的损害;第四,使用者安全意识不足。虽然当前计算机技术无法创造出绝对安全的平台,但是,却能够有效防御一定的非法侵入,而无论平台采取何种安全机制,都必须为用户提供合法的路径,使用户能够正常使用。所以,一旦用户因自身问题导致账号、密码的泄露,便意味着有可能让不法分子有机可乘。综合上述四点来看,除了整体技术环境无法满足绝对安全的客观问题以外,其他问题均能够进行有效的解决。但是,可能因为限于成本,或者存在内部管理的问题,最终导致了用户信息安全、网络信息安全等领域的问题难以有效得到处理。
3建立网络信息安全控制的评价体系
1)加强人员队伍建设
企业必须认识到网络安全管理已然成为企业经营过程中必要的组成部分。其不仅需要以客观的态度对待管理工作,也需要为安全管理预留相应的成本,从而确保网络信息安全管理的效率。而实现相应管理工作,意味着必须设置技术能力符合标准的人才团队,具体工作在于:第一,企业应根据网络信息管理的需求,科学合理的设置人力资源结构,例如包括数据安全指数的分析、安全技术的研发等方面。另外政府也应当提供相应的支持,如网络安全管理制度、审查机制、奖惩措施等内容的建立;第二,在硬件和网络等领域发展状况下,应不断加强从业人员的培训,一方面实现对工作者安全意识的提升,有效增强工作人员的安全问题敏感性,另一方面则是在于加强工作人员的技术水平,确保其能够快速解决相关问题,从而降低信息安全风险,最终避免对企业和用户构成的伤害;第三,对网络信息安全管理构建行之有效的安全审查机制,确保相关从业者能够按照相应要求,有效履行自身工作义务,从而积极实现网络安全管理成果。
2)营造良好的网络环境
不可否认,在大数据应用环境中用户信息安全性所存在的问题更为引人注目。为了保证用户信息的安全性,企业应当进行如下工作:首先,有效调整自身硬件设备,积极推动技术迭代,确保信息安全。例如,可以通过AI技术实现数据安全监控,从而通过自动识别更有效的减少安全问题的发生。再如,应避免硬件投入与成本意识之间的矛盾,对相应设备更新换代提供充足的资金,从而提升平台工作效率;其次,更有效地实现大数据成果,而并非仅将大数据成果作为发展报告。从网络中的一些数据状况来看,可以发现一些企业对于大数据的管理,仅是将其用于作为自身宣传的组成部分,并未认识到数据是提升自身发展的重要环节;最后,通过大数据优势,为用户推荐更加准确的内容,例如,今日头条所采取的推荐机制,便能够让用户得到需要的信息。不过,在提升信息推荐效率的过程中,也要确保推荐内容的健康性。所以,相关平台应当建立信息审核机制,从而保障使用者的使用体验。而除了企业所需要承担一部分工作之外,政府相关部门也应该出台相应标准。例如,网络安全监察标准等。相关部门应对各大信息服务平台,采取安全检查手段,避免用户信息泄露,同时也应提供惩罚准则,对于违反相关标准的企业,以及出现用户信息的泄露情况,应当对企业进行有效的惩罚,并为用户追讨赔偿。
4结语
上文中提及大数据是把“双刃剑”,其一方面能够为人类当前生活提供更高效率的选择,同时也决定着人类未来的发展成果,另一方面,大数据的实现,意味着需要更多网络用户的隐私作为数据支撑,由此也可能导致用户隐私遭到泄露。所以,本文从用户信息安全角度出发,提出了信息安全风险主要是在于当前计算机技术仍旧不够完善,企业内部管理存在道德风险,以及企业硬件设施稳定性较弱三个方面的问题,同时结合问题而提出了行之有效的解决建议。最后,也希望本文的研究能够为大数据研究或大数据应用企业提供一些理论支持。
参考文献:
[1]任菲菲.浅谈大数据背景下网络信息安全控制机制与评价[J].计算机产品与流通,2017(07).
[2]汤应.大数据背景下网络信息安全控制机制与评价[J].科技传播,2018(01).
网络安全控制范文5
关键词:医院;网络安全;影响因素;控制途径
网络安全主要是保护系统中的数据,使得网络系统的硬件、软件和数据不受任何恶意更改,免遭偶然因素的重大破坏[1]。所以,网络安全也是以信息为核心的一系列使用维护问题。但是在医院网络运行中,存在一些安全隐患,在一定程度上影响医院网络安全,很容易造成信息泄露或者被破坏。对此,医院要加大管理网络安全的力度,深度剖析医院网络安全的影响因素,并制定合理有效的控制方式,规避安全隐患,进而提高医院网络安全水平。在这样的环境背景下,探究医院网络安全的影响因素与控制途径具有非常重要的现实意义。
1网络信息技术在医院运行中的作用
1.1提高工作效率
在医院应用网络信息技术,构建通畅而完整的信息传递渠道,实现医院行政部、门诊部、住院部之间的实时沟通,在网络信息技术支持下,医护人员可以查询、传输与储存患者信息,协助医护人员开展日常工作,减少无效工作和重复性工作,进而提高医护人员的工作效率。
1.2提高管理效率
针对大型综合医院而言,医院管理系统的运作效率直接关系到医院综合服务水平,引入网络信息技术后,管理人员可以利用网络系统和行政部进行实时沟通,转达各部门接诊情况,以便于行政部了解医院运行情况,为各种管理决策的制定提供真实可靠的信息依据。
1.3提高服务质量
为了促进医院的发展,除了要提高医护人员的专业能力之外,还要重视医院整体服务水平的提升,引入网络信息技术后,不仅提高了医院整体工作效率,还有效改善了门诊接待和网络预约等服务,简化了就医步骤,为患者带来更好的医疗服务。
2医院网络安全的影响因素
2.1硬件因素
硬件安全是医院网络安全的重要内容,代表医院网络信息系统硬件设备的综合性能,针对通信设备而言,要保证交换机安全[2]。造成网络硬件安全隐患的因素较多,特别是外部环境,温度过高或是过低都会影响硬件设备零部件的运作,湿度过大也会促进零部件金属的氧化,出现零部件生锈的情况,不仅影响硬件设备的使用,还可能会造成整个设备的损坏,不利于保证信息的完整性。
2.2软件因素
软件因素特指计算机遭受病毒或黑客的侵害[3],医院原有网络系统为局域网,只局限于医院内部使用,但在医疗系统的使用需求增加的情况下,医院网络连接互联网,提高医院医疗系统运作的高效性和便利性。但是由于网络信息具备流动性特点,一旦网络系统更新不及时,很容易造成系统漏洞,被病毒和黑客入侵后,造成信息丢失和被盗。除此之外,医院信息系统被攻击后,大大降低了系统处理速度,不利于医院系统数据处理。
2.3管理因素
管理因素是医院网络安全的重要影响因素[4],一方面是医院现有管理方法的缺失,另一方面则是安全意识的缺失。造成这一问题的根源在于医院缺少网络信息技术使用管理制度,针对管理而言,医院对网络信息系统管理不到位,缺少一定的规范性,再加上系统维护与系统监督不足,使得系统对病毒的抵抗能力和防御能力较低,很容易受到攻击。针对使用而言,信息系统使用者自身安全意识不够,在使用中没有有意识地规避安全问题,无法及时对信息系统进行维护和管理,形成系统漏洞,给不法分子提供可乘之机。
3医院网络安全的控制途径
3.1完善管理制度,规范日常使用
为了规范管理人员的网络信息系统使用行为,医院要制定完善的网络信息安全管理制度,明确管理目标和管理原则,让管理人员在信息系统使用中,严格按照相关规范和管理制度进行操作,降低网络信息系统使用的随意性,有意识规避各种安全隐患和网络风险,进而实现医院网络安全控制。同时,要进一步提升工作人员的安全意识,定期对各个部门医护人员开展培训活动,提高医护人员的安全意识,每月考核医护人员安全意识,并加强日常检查,明确各项安全措施的落实情况,让医护人员正确认识到网络安全的重要性,形成自觉意识,促进医护人员的自我约束,自觉规范网络信息系统的使用行为,进而提高医院网络安全管理的综合水平。
3.2加强日常维护,保证系统安全
在医院网络安全管理中,要加强日常管理维护工作,管理人员要掌握网络信息系统日常出现的硬件安全隐患和软件安全隐患,定期检查硬件设备,一旦发现有损坏的零部件,要及时更换,防止影响网络信息系统的正常使用[5]。同时,加强计算机的病毒查杀与系统日常维护工作,完善外部环境和内部环境,提高计算机抵御外来病毒的能力,引入防火墙技术,使得系统自觉隔离病毒,过滤不安全因素。引入NGAF防火墙,强调“融合安全,简单有效”的理念,实现全生命周期保护、全程可视以及全程保护。在事前,帮助管理者在事前自动发现评估漏洞、是否有保护策略;在事中,构建L2-7层纵深防御体系,屏蔽防护短板且具备联动和关联分析能力;在事后,持续检测绕过防御的威胁,并通过云端安全服务提供24小时快速响应的技术服务,提供风险认知、保护过程认知和结果认知,保证系统安全。
3.3掌握安全隐患,制订应急预案
针对医院网络安全影响因素,除了做好预防管理工作之外,管理人员要制订合理有效的应急预案,根据医院运行系统和发展情况,预测可能发生的情况和问题,并制订应急预案和危机预案,一旦发生紧急情况,医院管理人员可以及时应对,提高医院管理系统的反应能力和解决问题的能力。在医院网络信息系统发生安全问题时,管理人员可以及时化解危机,保证医院网络信息的安全性和真实性,控制网络安全问题的影响范围,降低医院的效益损失,将医院网络安全危害降到最低,进而保证医院各项系统的安全有效运行,提高医院的综合管理水平。除此之外,实行用户实名登录制度,医护人员在登录网络信息系统后,要输入工号,系统对登录者身份进行自动识别,检测安全后方可进入网络信息系统,一旦出现网络安全问题,会追踪使用者身份,并配以追责制,利用制度的刚性形成对使用者行为的约束,规避各类网络安全隐患,进而提高医院网络安全的综合水平。
4结语
通过研究医院网络安全的影响因素与控制途径,得出:(1)网络信息技术对医院的医疗服务和管理工作十分重要,不仅可以提高医护人员的工作效率和医院管理效率,还为患者就医提供便利,提高医院整体的医疗服务水平;(2)网络信息技术的引入也带来医院网络安全隐患,包括硬件因素、软件因素以及管理因素,在一定程度上影响医院网络信息系统的正常运作,急需控制;(3)在医院网络安全管理中,要深度剖析网络安全影响因素,并针对这些因素制定控制对策,完善管理制度,规范日常使用,加强日常维护,保证系统安全,掌握安全隐患,制订应急预案,构建完善的医院网络安全管理体系,进而保证医院网络信息系统的高效运行。
参考文献
[1]陈津.医院信息网络安全分析与解决措施[J].信息与电脑(理论版),2017(11):199-200.
[2]林纯迈.医院网络信息的不安全因素分析及防护措施研究[J].无线互联科技,2017(4):32-33.
[3]刘焰.医院计算机维护和网络安全管理探讨[J].中国管理信息化,2016,19(14):147-148.
[4]张建忠,毛亮.医院网络安全风险研究[J].网络安全技术与应用,2016(5):103,105.
网络安全控制范文6
关键词:工控制系统;工业互联网;风险防护
0引言
随着工业互联网的发展、钢铁行业信息化的推进,EMS(能源管理系统)和MES(生产过程执行系统)建设日益增多,这些子系统负责原料供应、焦化、烧结、除尘、炼铁、炼钢、连铸、热轧以及冷轧等多工序的控制任务,一旦受到恶性攻击或者病毒的袭击,将导致工业控制系统的控制组件和整个生产线停运,甚至造成伤亡等严重后果。工业控制网络安全十分重要,第一,它的保护攻击主题是特殊的,不同于传统的网络攻击,如网络欺诈和网络入侵,目的是赚钱和利润。从一般意义上说,工业入侵者不会是“黑客”,但可能是恐怖组织甚至敌对势力支持的组织;其次,攻击和破坏的后果严重。在自动化发展的初期,工厂控制系统网络相对封闭,工业控制系统一度被认为是绝对独立的,不可能受到外部网络攻击的。但近年来,为了实现实时数据采集和生产控制,通过逻辑隔离,满足“两化融合”的需求和管理的便利性。工业互联网的兴起,远程运维需求迫切,通过互联网对工业控制系统的网络攻击也逐年增加,国内外生产企业已经加快了工业控制系统的安全控制措施的建设。
1工业控制网络的安全需求
1.1网络边界防护需求
生产网络内边界缺乏有效的防护措施,无法有效保护各业务系统的安全。
1.2远程访问防护需求
生产控制网络存在远程维护通道,很多工业控制设备维护依赖提供商,由此也带来了入侵的途径,存在一定的安全隐患。
1.3网络监测与审计需求
生产网络内缺少安全审计设备,无法对网络中的攻击行为、数据流量、重要操作等进行监测审计,一旦出现安全事故无法进行事后审计。
1.4操作系统漏洞管理需求
生产网络中的工控机多数使用微软、Linux操作系统,由于生产控制网络的封闭及控制系统对业务实时性要求较高,无法进行正常的系统漏洞升级操作,导致使用的微软操作系统存在大量安全漏洞。
1.5恶意代码风险防范需求
生产系统中工业控制主机操作系统没有安装杀毒软件,或者安装杀毒软件,但限于工业网络状态,缺少恶意代码防护功能,长期没有代码更新,一旦受到恶意代码攻或感染,容易导致工业控制系统受到攻击,引发运行事件,甚至造成人员财产损失。
1.6外设接口风险防护需求
生产系统内等工业控制主机可以通过移动介质传播,如U盘等,移动介质在管理网络和生产网络之间交叉使用,难免会感染病毒或恶意代码,进而导致上位机被攻击,引发安全风险。
1.7应用软件风险需求
根据ICS-CERT(美国工业控制系统网络应急响应中心)和CNVD(国家信息安全漏洞共享平台)权威统计,目前常用的工业控制软件(如SCADA等),均或多或少存在安全漏洞,限于工厂实际情况又难以及时更新补丁,漏洞一旦被利用将导致安全事故。其次,工业软件通常采用工业协议进行数据传输,网络上需要开放对应的端口,有的工业协议采用动态端口(如OPC),常规的IT防火墙很难识别工业协议,难以保障其安全性。第三,工业软件的维护多依靠供应商,为了维护方便,基本采用默认配置和默认口令,存在一定的安全风险。
1.8工控安全管理需求
安全管理措施也是必不可少的手段,安全技术措施和安全管理措施互为补充,建立有效的技术措施,建立健全安全管理制度,完善安全管理措施,共同构建全面、有效的信息安全保障体系。
2工业控制安全防护措施
面对整个工业网内的各种工业控制网络设备、服务器、操作站以及安全设备,如何有效管理,掌握各个点的风险状况,掌握整个工业控制系统的安全状况,及时处理各种设备故障和威胁是工业安全建设的重要组成部分。钢铁企业信息化系统一般分为4层,L4是面向整个企业内部管理与计划的ERP(企业资源计划)系统,L3是面向生产与执行过程的MES系统,L2是面向生产过程与控制的PCS(过程控制)系统,L1是生产设备控制系统。本次工业控制改进措施以评估为先导,实现3层安全隔离,构建一套安全监测与审计,全覆盖终端安全加固。现有生产网络运行环境比较稳定,系统更新频率低,结合工业和信息化部的《工业安全系统信息安全保护指南》对工业控制主机安全软件选择和管理的要求,提出一种基于“白名单”机制的工业控制系统信息安全“白环境”解决措施。收集和分析工业控制网络数据与软件运行状态,并在工业控制系统的正常工作环境下建立安全状态基线和模型,然后建立一个工业安全的“白色环境”并确保:只有可信任的设备,才能接入工业控制网络系统;只有可信任的消息,才能在工业控制网络系统中传输;只有可信任的软件,才允许被执行。
2.1改进原则
2.1.1建立高等级的安全体系结构
建立高等级的安全体系机构,保障信息系统的安稳运行。任何信息系统都包括3个层次:计算环境,区域边界和通信网络。计算环境的安全性是信息系统安全的核心,也是授权和访问控制的源泉,必须定期检查计算环境的安全性,并根据每次的检查结果进行改进;区域边界是计算环境的边界,控制和保护进出计算环境的信息,阻断非法的、伪装、未授权的连接通过;通信网络是计算环境之间的信息传递功能的一部分,保证网络环境,阻断网络攻击等。
2.1.2加强源头控制,实现纵深防御
终端是所有不安全问题的根源。努力消除不安全的根本原因,重要信息不会泄漏出终端,病毒,木马无法入侵终端,内部恶意用户无法从网络中攻击信息系统安全,解决内部用户攻击问题。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支持,则无法保证终端安全,必须加强源头控制,实现纵深防御。
2.1.3分区分域,适度防护
在信息安全防御体系建设过程中,需要考虑对内部的防护,突出适度防护的原则。一方面,要严格遵守各级保护要求,加强网络、终端、应用、数据库等方面的积极预防措施,确保信息系统的机密性,完整性和可用性;另外也要从综合成本的角度,提出针对区域业务特点的保护强度,在不影响信息系统整体安全性的前提下,安全防护系统根据区域保护强度设计和建造,有效控制成本。
2.2改进措施
根据网络安全保护要求,安全域划分如图1所示。工业防火墙部署在汇聚机房,工业防火墙双击热备,一旦一个防火墙有问题,不影响业务中断。按照自动化生产工序,在不同安全级别网络(烧结、高炉、炼钢、热轧、冷轧以及炉卷)的边界处部署工业防火墙设备,工业防火墙支持双机热备,通过隔离不同网络、访问控制规则、对进出的数据包进行过滤等措施,保护子网不被非法攻击和访问。同时,通过防火墙的策略,实现不同网络之间数据的共享与互访设置访问控制策略,对内外数据进行有效防护。工业防火墙设备支持工业通信协议深度解析,支持“白名单”机制,仅允许合规数据在网络上传输,用于工业控制网络系统纵向层级之间的安全控制。在工业控制保护区部署网络审计设备,审计网络中的行为。确保触发审计系统的事件存储在审计系统中,并根据存储的记录和操作员的权限执行查询,统计,管理和维护等操作。必要时,可以从记录中提取必要的数据。做好生产控制区和办公区的边界防护,避免2个网络间恶意攻击行为的串扰。实现对生产区内工控主机的安全防护,通过白名单机制构建安全基线,防止病毒木马、恶意软件对系统的破坏;可实现对生产区网络流量进行监测与审计,及时发现网络中是否存在违反安全策略的行为和被攻击的迹象,提高工控网络对安全威胁的反应能力和应对能力;可实现对生产区内工控主机、数据库服务器、历史数据库服务器、接口机等设备进行安全加固;可对生产区网络内入侵行为进行探测,第一时间内发现网络内入侵行为并及时可实现对生产控制系统内主机、服务器、网络设备、应用程序进行统一的安全管控,对运维和管理人员账号使用情况进行画面监视和记录,降低运维管理成本。入侵检测系统可以检测生产控制区域网络中的入侵行为,并在第一时间检测到网络中的入侵行为并及时报警。通过手机和网络密钥集信息的分析,可以发现网络中是否存在违反安全策略和被攻击迹象的行为。通过在生产控制区部署堡垒主机,实时监视整个计算机监控系统内主机、服务器、网络设备、应用程序进行安全管控,监控并记录操作和维护人员帐户的操作和维护。
3结语
通过建立工控保护区并部署工控安全设备,建立合理的网络边界,通过隔离不同网络、访问控制规则和对进出的数据包进行过滤等措施,实现不同网络之间数据的共享与互通,保护子网不被非法攻击,对工控网络进行可用性、性能和服务水平的统一监控管理,保证工业控制系统安全稳定运行。
参考文献
[1]伍锦荣.工业控制系统网络安全现状及解决方案[J].石油化工自动化,2017(4):45-47.
[2]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(8):78-80.
网络安全控制范文7
关键词:工业控制系统;网络安全管理;网络安全防护体系
1工业控制系统网络安全现状分析
当前工业控制系统已成为国内外敌对势力重点攻击的目标,“震网”、“火焰”、“乌克兰电站”等安全事件表明网络攻击已经具备部级网络战形态,其破坏性已延伸至关系国计民生的关键信息基础设施,工业控制系统的安全防护无论对于企业还是对于国家,都已经上升到无比重要的地步。目前,国内企业工业控制系统在工控安全管理过程中存在的突出问题有:对网络安全工作认知不足、重视不够、工作领导机构不健全、责任部门不明确、责任制未有效落实,存在职能交叉、多头管理、重要管理制度缺乏、执行不严等问题,同时工业控制系统普遍缺乏专业的安全人员,工控网络安全专项教育和培训开展不足。在工控安全技术方面存在的突出问题有:企业工控网络内部缺乏有效的安全隔离措施,普遍使用交换机划分VLAN或采用传统防火墙,无法有效隔离工业病毒和攻击;工控主机未采取防病毒措施或安装的杀毒软件没有及时更新病毒库;上位机操作系统版本普遍较低,存在大量的漏洞,普遍缺乏漏洞检测、安全生产加固工作开展不及时或未定期开展;普遍缺乏必要的技术手段对网络行为和操作行为进行监控和审计;普遍采用国外品牌的工业控制系统,自主可控程度较低。
2工业控制系统网络安全防护体系设计
工业控制系统网络安全防护体系要在企业整体的网络安全决策下,建立工控安全组织体系、工控安全管理体系、工控安全技术体系以及工控安全运营体系,其中,工控安全组织体系和管理体系的建立是有效推进工控安全工作的前提和基础,而工控安全技术体系以及运营体系则是不断支撑工控安全防护有效落地以及持续改进的重要因素和措施。
2.1工业控制系统网络安全组织体系设计
2.1.1工控安全组织体系建设
工业控制系统的安全组织体系在不同层级的职责也各不相同,参照国内企业典型组织架构,建议建立企业总部、二级公司到生产企业的三级工作机制,优化工控安全管理统筹协调机制,做到责任体系责任明确,层次清晰、横向到边、纵向到底。1)企业总部层面:建立多部门联合的工控安全联合工作小组,包括生产、网络安全、信息化等主管部门,负责把握企业工控安全总体工作方针和方向,做出工控安全重大决策,明确企业工控安全防护原则和标准,开展监督和检查工作。2)二级公司层面:设立专业的工控安全管理部门,切实加强组织领导,落实工控安全责任,实现二级公司自身的工控安全管理的统筹协调、监督检查、责任考核等职能;组建专业的工控安全管理和技术运营队伍,辅以工控安全综合运营平台来监控和运营全企业的工控安全任务。3)生产企业层面:根据企业规模以及监管部门要求设置工控安全专职人员,并与生产、信息化、自动化等专业人员联合行动,落实生产企业工控安全具体事宜。
2.1.2工控安全人员管理
企业需要设计良好的工控安全岗位职责,加强工控安全团队建设,保障工控安全防护体系的落地,包括以下几方面。1)安全管理岗位职责:各级单位领导应设立相应的安全管理岗位职责,明确工控安全的第一负责人,对重大工控安全事项负有决策、指导和监督义务。2)安全技术岗位职责:工控安全技术人员主要负责日常的设备巡检和维护、安全监控和趋势分析、渗透测试和技术评估、突发安全事件的应急处置、安全技术方案的规划和修订、安全配置和安全补丁、安全产品的选型等相关工作。3)普通员工安全职责:各级单位的普通员工也应明确自身岗位的网络安全职责,增强安全意识。
2.2工业控制系统网络安全管理体系设计
2.2.1工控安全风险管理
工业控制系统的网络安全建设和运行是以安全风险管理为基础,通过识别工业控制系统的相关资产,明确需要保护的对象,并对其进行风险评估以识别相应的风险并对风险优先级进行排序;制定风险处置计划为工控安全项目的规划以及安全运行提供指导和输入,并在实施风险处置计划时进行监控,建立循环可控的工控安全风险控制体系,主要包括信息资产识别、风险评估、风险处置和风险监控等等。
2.2.2工控安全制度管理
明确工控安全管理制度范围,制定工业控制系统的安全方针与安全策略,并依据风险处置计划制定和完善各安全领域相关程序、制度、管理办法、规范、细则、指南、记录和表单等体系文件。结合企业网络安全以及生产安全要求,以生产业务为出发点,制定具有企业特色的工控安全管理制度。
2.2.3工控安全合规管理
根据上级监管要求、企业安全管理制度和策略以及业务特点建立工控安全控制要求,设定安全合规指标,作为合规检查依据;定期检查信息系统符合安全规范的情况,可采用扫描、渗透测试、配置检查和专业审计工具等手段;管理层应定期检查有关安全方针、策略和程序是否被正确有效实施,是否符合当前企业的整体安全战略。
2.3工业控制系统网络安全技术体系设计
2.3.1网络结构安全设计
通过区域划分来理顺企业管理系统和工业控制系统之间的访问关系,以及工业控制系统内部综合自动化系统之间的访问关系,建立清晰的安全防护边界,实现有效隔离,使网络层次更加清晰。根据生产企业不同业务需求其网络分层方式也不同,一般可按照如下方式划分。1)控制区:根据业务系统的重要性和上位机操作对执行设备的影响程度将控制区划分为监控区和监测区,重点保护生产控制以及直接影响生产(组态软件、PLC)的系统。2)生产执行区:生产执行系统位于经营管理层与自动化层之间,起着承上启下的作用,一般部署在二级公司,根据实际需要进行隔离。3)办公区:主要有决策支持系统、ERP、OA、CRM、知识管理和综合统计系统等。4)合理设计边界防护措施:通过网络与边界的防护控制,增强各区域网络的访问管理与控制力度,合理分离管理系统和控制系统,以及增强控制系统内部的安全防护,边界防护措施包括边界防护设备部署、边界防护设备的集中管理、企业监督考核平台建设和生产单位自查自检工具化。
2.3.2监控评估安全设计
工控系统的监控评估是针对由外部攻击和内部误操作甚至恶意操作行为引起的安全问题进行监控评估,通过对通信流量的检测、操作行为的控制与审计等一系列保护措施保障工控网络内的行为的安全可信。1)监测审计:在生产企业的监测区和监控区内部署监测审计设备,达到通过合理设置检测规则,检测网络数据包的恶意代码或漏洞攻击的迹象,分析潜在威胁并进行安全审计。监测审计设备需具备入侵检测、应用程序白名单和日志审计等功能。2)威胁评估:在生产执行区和控制区内部署威胁评估设备,准确地识别工控网络中的各类工控系统、设备、软件以及其他运行中的服务器、数据库和网络设备,智能生成网络拓扑,结合专业的工控漏洞库、设备库、威胁特征库和全网威胁评分系统,周期性地开展威胁评估,进行详细的漏洞分析,清晰定义各类设备和整体网络的安全风险,输出评估可量化的报告。3)漏洞挖掘:生产运维人员需要基于已知漏洞检测和未知漏洞挖掘相结合的方式,能够对工业控制设备(例如PLC)、工业控制系统(例如DCS,SCA-DA)、工业控制网络中的安全保护设备(例如工控防火墙,网关),以及工控软件(例如WinCC)的漏洞情况(包括已知漏洞和未知漏洞)全面了解,实现为主动安全防御决策提供依据的目标。
2.3.3设施安全防护设计
1)主机安全防护:通过部署主机安全防护软件和,加强主机恶意代码防范能力,优化安全配置,更新安全补丁,实现不同操作系统(WindowsXP、Win-dowsServer2008等)主机的安全防护,避免不同监控软件(如iFix、Rsview)漏洞被利用的情况发生,使系统管理人员全面掌握主机的防护状态。2)控制设备防护:PLC、电力监控分站、综合保护装置等具备现场控制的装置统称为控制器,控制器属于工控系统的最后一道防线,也是最重要的防线。在监控区内上位机和控制器之间部署安全防护装置,并结合黑白名单的技术。在控制设备接入网络的接口处部署逻辑隔离装置,实现就报文的快速处理。在控制区内部署防护平台,根据具体控制器的业务情况实现流量的智能学习和防护策略的智能优化。3)移动介质安全防护:对于生产监控区和监测区主机上因管理和维护需要,不得不保留的USB端口(例如加密狗USB端口),应该通过专用USB线和USB适配设备实现对移动介质的纯硬件防护,避免在主机上安装软件而影响主机专业应用系统程序运行。
2.3.4工控安全运营平台设计
工控系统网络安全防护体系为各生产业务的稳定运行提供了技术保障,为了能够让技术防护措施发挥最大效用,更好地支撑企业工业控制系统的统一安全监管,需要对安全防护设备实现统一管理与集成展示、安全管理的监督检查与考核、工业控制系统的总体威胁感知与预警,建设集中运营管控的支撑平台。安全运营支撑平台包括安全设备统一管控、安全运维考核管理和工控系统威胁感知三大部分,做到技术与管理的有机结合,达到工控系统持续安全运行的目标。
2.4工控安全运营体系设计
2.4.1工控项目安全管理
工业控制系统项目安全管理覆盖项目的可研、立项、实施以及上线运行等过程,遵循“同步规划、同步建设、同步运行”原则,以保障项目实施过程以及自动化系统自身的安全性,以实现在工业控制系统网络安全运行体系的源头来有效控制工业控制系统安全风险目标。
2.4.2工控安全运行管理
安全运行管理主要涉及到日常进行的安全运维工作,主要通过规范日常的安全工作提高日常安全运行水平,保证网络安全风险处于可控水平。安全运行工作主要是通过人员管理、用户管理、工业控制系统管理、安全监控、供应链管理、物理与环境安全管理等环节实行安全控制。
2.4.3工控安全事件和应急响应管理
应急响应与业务连续管理通过合理的应急管理流程和业务连续性管理计划快速发现事件和处理事件,对事件快速的响应并按照事件的轻重缓急安排响应工作,并尽可能快速处置,保障工业控制系统的安全运行,并能够应对重大的工业控制系统安全事故,保障生产业务的连续性。
2.4.4工控安全供应链管理
制定严格的供应链管理流程,保证工业控制系统供应商以及安全产品、安全服务满足国家以及企业的安全要求,包含应对由于系统制造商、采购商、运输服务商等多个主体,信息传递过程较长,渠道较多,使其面临着信息泄露、恶意篡改、供应中断与产品质量参差不齐等安全威胁。
3总结分析
工控安全是一个系统工程,是一个整体的概念,单独的安全组件只能提供部分的安全功能,无论缺少哪一个安全组件都不能构成完整的工控安全系统,因此必须保证网络设备、控制器、上位机和其他组件的整体安全性。同时工控安全又具有动态性。工控安全体系设计的最终目标是帮助企业具备不断提升工控安全管控的能力,以应对不断变化的内外部安全威胁。为了保障企业工控系统网络安全体系建设能够顺利实施,必须要考虑并通过各方努力满足以下关键成功因素的要求,具体包括以下几点。
3.1统一规划统一部署
工控安全的实施需要建立在对工控安全有高度认识的基础上,且需要有专业的技术团队,宜由企业总部来做统一规划、建设和运营,以保证项目的顺利实施。
3.2生产业务驱动
工控系统网络安全的最终目标是为业务的开展提供支持和保障,因此任务的实施一定要从业务的角度出发,不可仅仅看作是技术的任务。在实施时必须时刻考虑到业务的需求,在安全性和业务开展的便利性之间找到平衡点,同时提高业务部门对网络安全工作的理解和认识,在工控安全建设过程中获得业务部门的支持与配合,共同推动工控安全建设的开展,真正地实现工控系统安全为生产业务服务。
3.3有效的实施管理和监控
工控安全体系建设实施涉及到企业众多部门,涉及面广,影响大,这对于工控安全体系建设是一个巨大的挑战。为了获取建设的最大收益,并最大程度降低风险,需要落实强有力的实施管理和监控措施,在跟踪总体计划的同时,合理安排各任务的进度和资源,强化对各任务/子任务的管理和监控,对于重点任务应投入专门的安全人员全程参与,及时掌握任务的实施情况,并根据企业信息化以及数字化建设的情况及时进行调整。
3.4长期可靠的合作伙伴
工控系统网络安全任务的实施涵盖范围很广,涉及到许多专业的技术和产品,需要广泛借鉴工控安全相关国际标准和最佳实践理念,又要充分结合企业工控系统对网络安全的特定需求,选择专业的合作伙伴对于保证工控系统网络安全建设能够成功实施是十分重要的。
3.5企业高层的支持
网络安全控制范文8
关键词:物联网;计算机;网络安全;远程控制技术
0引言
我国经济近年来一直保持平稳高速的增长态势,这与计算机网络技术的广泛应用、持续研究和更新有着很大的联系,在互联网技术高度发达的现代社会,国家的各个重要领域:政治、经济、生活等都离不开信息网络的支持。虽然当前的计算机技术水平已经日臻成熟和完善,但是网络信息的不安全因素仍然存在,并且方式增多,危险系数上升,网络中个人信息的无端暴露,网络黑客的入侵、各种新的木马病毒的攻击,都让信息网络系统处在危险的边缘,严重威胁到各类用户对正常的计算机信息使用。全球各个国家给与该问题高度关注。物联网是一项新晋信息技术组成部分,在高速发展的信息化时代是必不可少的基础。物联网是与实现对接的,反映在网络信息上就呈现出与该物具体的信息关系,是计算机信息的延伸。用户延伸涉及任何物物之间的信息交换与通信。
1物联网技术概念
物联网是以互联网为载体实现物体与物体之间沟通交流的技术总称,在现代科学技术手段为基础的前提下,让互联网技术在各个领域进行信息的延伸和技术创新,使该项产业可以达到全新的技术水平。物联网技术出现后,不断在各个领域进行相适应的创新,一定程度上使各个领域在发展速度和水平上有了质的飞跃。现代社会的汽车需求和使用量大大增长,导致汽车保有量和城市的停车泊位问题显示出不够用的矛盾,一定程度上制约着城市的发展,有了物联网技术的应用后可以通过物联网技术对只会泊车、立体车库和其他停车的场地或者设备进行远程监控,随时了解设备和车库的情况,让有车一族可以及时收到关于某一区域的车位信息,提前规划,为城市的发展提供了便捷和舒适。物联网技术不断研究和挖掘之后可以相应解决和改善目前诸多行业问题。基于物联网技术的计算机网络安全问题,本文对此进行了分析和探讨,从根源上进行追溯,把网络安全进行提升,优化远程遥控技术。物体与物体之间建立信息联系,物体的信息与网络信息建立信息交互,从采集、认证、分析和定位的综合体系上智能化。一般情况下完整的物联网体系必须要有感知层、传输层、处理层以及控制层,其它功能的实现都需要建立在这些模块之上,并以此为基础不断拓展成庞大的信息系统。
2物联网网络安全问题
2.1网络控制
现代物联网安全控制系统最主要的任务就是为计算机网络技术信息进行安全的控制和管理,其次就是对运行环境进行安全维护和清理,在具体实施安全管理的任务时要充分考虑整体网络系统和物联网的对接和操作,有局域网控制系统设置,确保物联网信息在运行和使用过程中有充分的保密性和安全性,运行环境清洁良好。
2.2通信安全
物联网系统是需要建立在与计算机信息对接的基础之上的,因此在工作中除去要保证对接计算机信息在传输过程中的信息安全和保密性,还要注意网络的服务质量是否符合管理标准。此外,物联网系统会涉及到大量的数据,要保证该数据的处理和控制功能不会受到其他互联网非法程序代码的破坏和干扰,就必须对此进行相关控制措施的采取和处理。要保证代码的系统安全环境运行。物联网络计算机安全问题尤为重要,因此不断地提高网络安全防范的意识问题,并根据问题制定出相应的措施,才能确保工作的顺利进行,同时,通过计算机远程控制系统,实现了远程的数据信息的获取。
2.3数据信息备份与限制隔离
物联网系统在数据的分析和处理过程中必须要拥有充足的存储空间,除此之外还要再遭遇破坏的情况下可以启动自我修复功能,便于在之后的操作和信息交互使用过程中可以正常进行。关于物联网的系统功能隔离问题,要保证每个技术控制区域的独立性,是为了体现实际工作中既可以安全管理,在遭遇非法入侵系统的时候又可以独立进行防御,保证其他单元不受损失。操作规范必须严格,也可以使用人员责任制的方法,设置设备的操作权等方式。
3计算机网络远程控制技术
计算机网络远程控制技术是指利用某一台网络计算机对远程的另一台网络终端设备进行监察或者控制,也可以是一对多的形式。其实现共需要三大组成部分,远程控制软件、互联网、网络工程师。以TCP/IP协议网络数据通信为基础,确保网络通讯等各项功能的顺利实现。
3.1技术环节
计算机网络的远程控制技术可以有四种网络接入模式:使用WAN、LAN、互联网接入和电话拨号。Web技术最早由日内瓦的一个粒子实验室开发,其关键是超文本技术;Activex技术由文档、Activex控件、服务器架构、脚本描述、虚拟机这五大成分构成,其依托的组件模型是核心组成要素;另一种是远程屏幕监视技术,该技术可以利用TCP/IP协议来完成,通过Winsock控件来建立客户端和服务器的连接,得到反馈;VC++语言是套接字技术的主要依靠和基础,实现远程控制信息的流通、传输,与此同时还可以支持TCP/IP协议。
3.2技术原理
关于技术原理主要是如何实现多台计算机之间的数据沟通,主要采用远程控制技术来搭建起一个可以让数据可以畅通交互的渠道,专业的网络工程师会利用互联网对这些计算机进行远程控制。大多数情况下可以将此流程呈现为:控制端的计算机通过远程控制软件对客户端的多台计算机或接收设备发出指令,然后客户端设备根据指令进行相应的程序操作。管理、查看客户端设备和应用程序就是日常指示之一。在此指出一点就是,远程不是代表物理空间的距离,因为有的控制端和客户端设备是可以在同一个数据中心之内的;互联网的信息远程控制是需要相应的远程控制软件来实现的;控制端主要任务是滴客户端发出指令、回收反馈结果,客户端主要负责指令的执行,一定要区分清楚。在日常工作中,为了方便操作,远程控制技术主要以互联网和浏览器为依托来实现。
3.3数据协议
当前大多以TCP/IP协议的网络数据通信作为远程控制技术基础,IP协议以TCP协议划、UDP协议分为两大类。TCP协议是把数据先行分割,之后再打包,作为数据流进行传输,将计算机的数据信息进行连接互通。这一协议可以使数据在传输过程中连续、准确的实现信息的双向到达。UDP协议是先将数据进行拆分,之后把数据打包传输,但是结果并不要求到达。这种网络协议显然要不稳定,所以如果根据这一协议进行计算机信息数据传输,要求在控制端和客户端的设备要使用同一种程序来完成。这两种协议如果加以细分可以看做成网络核心协议和简单管理协议。核心协议是指ARP协议、UDP协议、ICMP协议。简单网络管理协议是指HPOpenView等管理工作。因此,在数据处理的过程中,如果TCP协议和IP协议一起使用时,可以认为TCP/IP协议是一种网络协议的集合。
4结束语
物联网计算机网络技术不断更新,在未来也一定会有更多更好的服务提供给各行各业,助其发展。企业们在充分利用物联网资源共享、传输速度便捷高效之时,还应对网络安全问题给与充分的关注,高远程控制技术的稳定性、安全性要时刻保持更新和发展,同时也要制定系统的、科学合理的应对方案,对突发情况和各类问题可以起到预防和控制的作用,希望计算机网络远程控制技术可以在未来得到更好的发展,为物联网技术提供更多更好的服务。
参考文献
[1]马世登,罗先录,包文夏.物联网计算机网络安全与控制研究[J].无线互联科技,2017(09):24-25.
[2]李伟,项小升,武亦农等.物联网安全保护初探[J].智能建筑,2017(09):33-35.
