时间:2023-04-01 10:31:37
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇通信网络安全论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1.1网络用户的行为管理需要规范。
网络行为的根本出发点,不仅仅是对设备进行保护,也不是对数据进行监控防范,而是规范企业员工在网络中的各种行为,也就是对人的管理。规范企业员工的网络行为需要通过技术设备和规章制度的结合来进行。网络中用户的各种不规范行为主要包括:正常使用互联网时访问到被人为恶意控制的网站或者网页。这些被控制的网站被黑客植入后门,方便攻击者窃取企业的各类内部数据或者控制其连接互联网的服务器。
1.2网络用户的安全意识需要加强。
各种安全设备的建立和安全技术的应用只是企业信息通信网络安全防护的一部分,关键是加强企业网络用户的安全意识,贯彻落实企业的安全制度。企业只依靠技术不可能完全解决自身的安全防护,因为技术在不断发展,设备在不断更新,黑客技术也在发展和更新。所以企业管理人员必须有安全意识,重视自己企业的安全措施。加强对员工的安全培训,使得全体人员提高安全意识,从根本杜绝安全隐患。
2企业信息通信网络的安全防护
信息通信网络安全防护工作,主要包括几个方面:安全组织、安全技术、安全运行体系。
2.1安全组织体系的构架
信息通信网络安全组织建设方面,需要建立决策、管理、协作三级组织架构,明确各层组织的职责分工和职能,对应合理的岗位,配备相应的人员,同时根据企业信息通信网络实际情况,建立起垂直和水平的沟通、协调机制。企业中有具体的人和组织来承担安全工作,即成立专业的信息通信网络安全部门,设置不同的岗位,明确对应的职责,并且赋予部门相应的权力和信任;安全部门组织专业人员制订出安全策略来指导和规范安全工作的开展,明确哪些可以做,哪些不能做,哪些如何做,做到何种程度等等。另外需要创造合理的外部环境来推动安全部门的工作,建立起一套快速有效的沟通协调机制,确保安全工作的高效推动。
2.2安全技术的应用
有了安全组织制订的安全目标和安全策略后,需要选择合适的安全技术来满足安全目标;这里主要分为信息通信网络系统的整体防护和个人终端的防护。
2.2.1信息通信网络系统的安全防护。
系统自身漏洞而导致的安全风险,经常是因为信息通信网络应用本身的漏洞使得网站被病毒入侵或者被植入控制程序,导致企业丢失数据。因此需要建立以下防范措施:(1)部署网络应用防火墙和网络应用安全扫描器,重要的网络应用通过各种安全认证或者许可才能进行使用,同时保证验证程序本身的安全性。(2)时刻对系统进行更新,对应用程序和系统软件进行补丁安装和升级。对于客户端漏洞有以下几种防范措施:(1)系统管理员要通过相应的认证软件拦截限制用户访问一些具有安全威胁的网页;(2)系统管理员要通过相关方案防止用户访问含有攻击和恶意软件的网站;(3)系统管理员要禁止用户从网上下载任何媒体播放文件;(4)系统管理员要通过部署相关软件禁止外网访问企业的邮件服务器;(5)禁止系统管理员在企业内部服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件。从技术层面上而言,安全问题无处不在,单一的防火墙、防病毒软件、区域防御系统已经不能满足企业网的需要,为了应对网络中存在的多元、多层次的安全威胁,必须首先构建一个完备的安全体系,在体系架构下层层设防、步步为营,才能够将安全问题各个击破,实现全网安全。安全体系架构:由以太网交换机、路由器、防火墙、流量控制与行为审计系统、接入认证与强制管理平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面,构成完善的防护体系,从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、防火墙、流量控制与行为审计系统作为部署在网络各个层面的组件,接入认证与强制管理平台作为全网调度和策略分发的决策核心,通过安全联动,从内外两个安全域,三个维度构建自适应的安全体系。
2.2.2信息通信网络中个人应用的安全防护。
为了更好地加强企业信息通信网络安全,必须规范用户自己的安全行为,加强个人安全意识,建立自己的计算机安全系统,这就需要企业每个员工做到以下几方面的安全措施:(1)修改计算机管理员账户,为系统管理员和备份操作员创建特殊账户。用户要禁止所有具有管理员和备份特权的账户浏览Web,严禁设置缺省的Guest账户;(2)限制远程管理员访问NT平台;(3)在域控制器上,修改注册表设置;(4)严格限制域中Windows工作站上的管理员特权,严禁使用缺省值;(5)对于注册表严格限制,只能进行本地注册,不能远程访问;(6)限制打印操作员权限的人数;(7)合理配置FTP,确保服务器必须验证所有FTP申请。在确定了安全组织和安全技术后,必须通过规范的运作过程来实施安全工作,将安全组织和安全技术有机地结合起来,形成一个相互推动、相互联系地整体安全运行体系,最终实现企业信息通信网络的安全防护。
目前,信息技术得到快速发展,各类网络安全协议不断应用于计算机通信中,对于信息传递和数据的传输具有重要意义。然而,在网络安全协议过程中,设计者未能全面了解和分析网络安全的需求,导致设计的网络安全协议在安全性分析中存在大量问题,直接导致一些网络安全协议刚推出便由于存在漏洞而无效。对于网络安全协议的安全性检测,通常情况下证明网络安全协议存在安全性漏洞比网络安全协议安全更加简单和方便。目前,对于网络安全协议安全性的检测主要是通过攻击手段测试来实现网络安全协议安全性风险。攻击性测试一般分为攻击网络安全协议加密算法、攻击算法和协议的加密技术以及攻击网络安全协议本身,以便发现网络安全协议存在的安全漏洞,及时对网络安全协议进行改进和优化,提升网络安全协议安全性。
1.2常见网络安全协议设计方式
在网络安全协议设计过程中,较为注重网络安全协议的复杂性设计和交织攻击抵御能力设计,在确保网络安全协议具备较高安全性的同时,保证网络安全协议具备一定的经济性。网络安全协议的复杂性主要目的是保障网络安全协议的安全,而网络安全协议的交织攻击抵抗力则是为了实现网络安全协议应用范围的扩展。在网络安全协议设计过程中,应当注重边界条件的设定,确保网络安全协议集复杂性、安全性、简单性以及经济性于一身。一方面,利用一次性随机数来替换时间戳。同步认证的形式是目前网络安全协议的设计运用较为广泛的方式,该认证形式要求各认证用户之间必须保持严格的同步时钟,在计算机网络环境良好的情况相对容易实现,然而当网络存在一定延迟时,难以实现个用户之间的同步认证。对此,在网络安全协议设计过程中可以合理运用异步认证方式,采用随机生成的验证数字或字母来取代时间戳,在实现有效由于网络条件引发的认证失败问题的同时,确保网络安全协议的安全性。另一方面,采用能够抵御常规攻击的设计方式。网络安全协议必须具备抵御常见明文攻击、混合攻击以及过期信息攻击等网络攻击的能力,防止网络击者从应答信息中获取密钥信息。同时,在设计网络安全协议过程中,也应当注重过期消息的处理机制的合理运用,避免网络攻击者利用过期信息或是对过期信息进行是该来实现攻击,提升网络安全协议的安全性。此外,在设计网络安全协议过程中,还应当确保网络安全协议实用性,保障网络安全协议能够在任何网络结构的任意协议层中使用。在网络通信中,不同网络结构的不同协议层在接受信息长度方面存在一定差异,对此,在设置网络安全协议秘钥消息时,必须确保密钥消息满足最短协议层的要求,将密码消息长度设置为一组报文的长度,在确保网络安全协议适用性的同时,提升网络安全协议的安全性。
2计算机网络安全协议在CTC中的应用
近年来,随着计算机通信技术、网络技术以及我国高速铁路的不断发展,推动了我国调度集中控系统(CentralizedTrafficControl,检测CTC系统)的不断发展,使得CTC系统广泛应用于高铁的指挥调度中。CTC系统是铁路运输指挥信息化自动化的基础和重要组成部分,采用了自动控制技术、计算机技术、网络通信技术等先进技术,同时采用智能化分散自律设计原则,是一种以列车运行调整计划控制为中心,兼顾列车与调车作业的高度自动化的调度指挥系统。同CTC系统的路由器与交换机之间装设了防火墙隔离设备,能够有效确保CTC系统中心局域网的安全。CTC系统的车站系统的局域网主干主要由两台高性能交换机或集线器构成,并在车站调度集中自律机LiRC、值班员工作站以及信号员工作站等设备上配备两个以太网口,以实现与高速网络通信。为实现车站系统与车站基层广域网之间的网络通信和高速数据传输,车站系统配备了两台路由器。车站基层广域网连接调度中心局域网通过双环、迂回的高速专用数字通道实现与各车站局域网的网络通信,其中,该数字通道的带宽超过2Mbps/s,且每个通道环的站数在8个以内,并采用每个环应交叉连接到局域网两台路由器的方式来确保其数据传输的可靠性。CTC系统在网络通信协议方面,采用TCP/IP协议,并在数据传输过程中运用CHAP身份验证技术和IPSEC安全保密技术,在有效实现数据高速传递的同时,确保的网络通信的安全。
由于公安网络系统的安全防护软件的开发周期与早期的系统分析不适合当前安全防护形势的原因。其公安网络操作系统与应用软件中存在很多的安全楼同,这些漏洞的存在将对网络的正常运行构成很大的隐患。
1.2病毒的防护漏洞
公安网络目前对网络病毒的防护手段十分有限,没有建立专用的计算及病毒防护中心、监控中心,这同样对公安网络的安全造成巨大隐患,“尼姆达”与“2003蠕虫王”等网络病毒曾对公安网络造成想打的危害,造成网络拥堵、降低性能,严重扰乱了公安系统的正常工作秩序。
1.3信息安全的管理体制不完善
公安网络系统是与公共网络物理隔离的系统,但是还未在整体上建立完善的安全结构体系,在管理上缺乏安全标准以及使用条例,甚至有些地方公安网络中的计算机出现公安网络与公共网络同时使用的现象,这都对公安网络的信息安全带来不可忽视的安全威胁,使非法入侵者有着可乘之机。
2公安网络的信息安全体系结构设计
公安网络的信息安全体系结构设计,是一项非常复杂的系统工程,该体系对安全的需求是多层次,多方面的。因此本文设计了比较完整的安全体系结构模型,以保障整个系统的完备性以及安全性,为公安网络的信息安全提供切实有效的安全服务保障。本文在借鉴了多种成熟的信息网络安全体系结构,并且根据国家公安部提出的具体保障体系的指导思想,设计了适应我国公安网络的信息安全体系。该体系从安全服务、协议层次以及系统单元三个维度,综合立体的对公安信息网络的安全体系进行了设计。这个三个层次均包含了安全管理模块。
2.1协议层次维度
本文从网络的七层协议模型来设计公安网络的安全体系结构中的协议层次。每一个协议层次都有专属的安全机制。对于某一项安全服务,安全实现机制随着协议层次的不同而不同。例如,审计跟踪的安全服务项目在网络层,主要对审计记录与登录主机之间的流量进行分析,对非法入侵进行实时监测。病毒防护层一般在应用层实现,一般用来对访问事件进行监控,监控内容为用户身份,访问IP,访问的应用等等进行日志统计。
2.2安全服务维度
公安网络的信息安全体系中包括的安全服务有,身份识别认证、访问控制权限、数据完整性和保密性以及抗抵赖组成了安全服务模型。在安全服务模型中,每一个安全服务对应着不同类别的应用。这几种安全服务模型不是独立的是互相联系着的。进入公安网络安全体系的主体登录系统时,要进行身份识别认证,并且查找授权数据库,以获得主体访问的权限,如果通过验证与授权,则对访问信息进行加密返回至主体,主体通过解析进行信息获取。并且,主体访问的过程被审计跟踪监测模块记录,生成访问日志,以便日后进行查验。
2.3系统单元维度
公安网络的信息安全体系的实施阶段,上述安全服务与协议等要集成在物理单元上,从系统单元的维度看,可分为以下几个层次。首先,物理环境安全,该层次保护计算机信息系统的基本设施安全,能够有能力应对自然灾害以及人为物理误操作对安全体系的基础设施的干扰以及破坏。其次,网络平台的安全,主要保证网络的安全可靠运行,保障通过交换机等网络设备的信息的安全。最后是应用系统的安全,该层次提供了访问用户的身份认证、数据的保密性以及完整性,权限访问等。
二、4G无线通信系统所存在的安全问题
4G无线通信系统当中所存在的安全问题集中体现在移动终端、无线网络、无线业务三个方面,具体如下:
2.1移动终端方面
①移动终端的硬件平台不具备完整而全面的验证保护机制,各个模块遭受攻击者随意篡改的风险非常高,再加上移动终端内部的各个通行接口没有机密性的保护措施,用户所传递的信息容易被窃听,访问控制机制有待完善。②移动终端的操作系统多种多样,各种操作系统多存在不同程度的安全隐患,在使用的过程当中,其所存在的安全漏洞会被无限放大。③伴随病毒种类的不断增加与更新,传统的防病毒软件的体积也在随之增大。但是,移动终端的计算能力、电池容量、数据储存能力均是有限的,难以长时间地支撑起大体积的防病毒软件的运行需求,两者的矛盾性非常明显。④移动终端所支持的无线应用非常多,包括电子邮件、电子商务等,其均是通过无线网络而实现的。大部分的无线应用其自身均存在固有的安全隐患,再加上相应的程序的安全漏洞,严重威胁着无线终端的网络安全。此外,木马、蠕虫等移动终端比较常见的感染性病毒也可通过这些无线应用而进入到移动终端当中,损坏或是窃取数据资源。
2.2无线网络方面
①无线网络的具体结构不同,非常容易导致相应的差错,所以要求无线网络必须要具备良好的容错性。②不同的无线网络,其安全机制、安全体系、安全协议也必定不同,导致4G无线通信系统容易受到来自各个方面的安全威胁。③一般而言,4G无线通信系统必须要与异构形式的非IP网络进行连接,同时依靠QoS实现高速网络速率传递。但是,在实际的操作过程当中,4G无线通信系统与异构形式的非IP网络连接,同样存在安全威胁。④无线网络用户习惯在各个不同的系统当中随意切换与漫游,这就对4G无线通信系统的移动性管理性能提出可更高的要求。但是,目前我国的4G无线通信系统尚不具备良好的移动性管理性能,容易出现各种安全问题。
2.3无线业务方面
①无线业务与衍生的增值业务均以电子商务为主,整体呈现持续增长的趋势。但是,目前的4G无线通信系统的安全机制很难适应高级别的安全需求。②目前的无线通信市场,利益争端因为多计费系统的参与而愈演愈烈,运营商欺诈以及用户抵赖等现象不乏存在。但是,目前的4G无线通信系统的安全方案无法出示绝对肯定性质的相关凭证。③4G无线通信业务支持用户的全球移动性,这是其优点,也是其安全隐患之一。因为一次无线业务无可避免会涉及到多个业务提供商以及网络运营商,容易出现安全问题。
三、提升4G无线通信系统网络安全性能的策略
提升4G无线通信系统网络安全性能,主要在于安全策略、效率策略、以及其他的一些策略,具体如下:
3.1安全策略
①加固操作系统。建议所采用的操作系统必须要满足TMP的实际需求。确保混合式访问控制、域隔离、远程验证等具备良好的兼容性能,以提高4G无线通信系统网络的安全性能。②加固硬件平台。应用“可信移动”的方案,添加可信启动的程序,对移动终端的数据储存实现有效的保护,提高检验机制的完整性。③加固应用程序。在进行应用程序下载的过程当中,必须要进行合法性与安全性检验才能进行安装,避免其受到攻击者的恶意篡改,同时降低可供用户选择的不安全配置选项的比例。④防护硬件物理。有针对性地提高移动平台硬件的集成程度,对遭受攻击的硬件接口的电压与电流,避免再次遭受物理性质的攻击。在必要的时候,允许将USIN以及TPM当中所储存的数据自动进行销毁,销毁的程度视安全级别而定。
3.2效率策略
①尽可能减少安全协议当中所要求的交互性消息的数量,同时尽量缩短单条消息的长度,要求简洁明了。②在进行预计算以及预认证的过程当中,要求在移动终端处于空闲状态之下进行,以期充分利用移动终端的空闲时间。③针对在较短的时间之内无法进行实质获取的无线业务,一般而言,可延缓提供服务的时间,采取滞后认证的措施,如果其可以顺利地通过认证,便向其按时提供服务,否则中止服务。④对称性是移动终端计算的必备特征,针对比较庞大的计算负担而言,建议促使其在服务网络端完成,以起到缓解移动终端负担的作用,同时注意密码算法的选用,在选用密码算法之时,需要遵循资源少、效率高两大基本原则,摒弃临时身份机制以及缓存机制的使用。
3.3其他策略
①多策略机制。为不同的场景提供具有针对性的安全策略,以先验知识节约开销,保证效率,确保切换认证的效率高于接入认证。②多安全级别策略。使用场合以及使用需求的不同,其安全级别也是不同的,因此需要实施多安全级别策略,在电子商务以及普通通话之间划分鲜明的安全级别界限。此外,无线网络切换也需要赋予其不同的安全级别,例如4G用户切换至3G网络,那么安全级别也应当随之下调,并不是固定不变的。
企业信息网络比较复杂和繁琐,不仅包括受理人的资料,而且还有相关产品的详细资料以及企业内部员工的资料等,信息网络系统能否正常运行,直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展,经常存在各种各样的要素威胁着系统的安全,从而损坏甚至丢失内部的重要信息,从而影响通信企业内部正常的运作,最终导致一系列损失[2]。因此,对于通信企业信息网络安全的控制刻不容缓,应该加大力度提高系统的安全性能。
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
参考文献
[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版.
一、水下无线通信网络的特性和安全弱点
水声信道和水下环境相当复杂,造成水下无线通信网络极大的不同于陆地无线通信网络。目前水下无线通信系统都是以大传播延迟的声学链路为基础,无线电波在自由空间的传播速度比声学信号在水中的传播速度快五个数量级,水声传输延迟为0.67/km。水下通信系统比陆地通信系统消耗的功率更多,由于水下硬件的价格不菲,因此水下传感器布置零星疏远,导致水下无线通信网络的传输距离也较远。为了通信覆盖范围得到保证,水下无线通信网络对发射功率有较高的要求[1]。
水下通信链路的质量受到声学信号的带宽限制,很容易被衰落、声学信道折射特性和多径影响,造成声学链路比特误码率(Bit Error Ratio)较高,容易失去连通性。水流会使传感器移动,再加上自主巡航器的机动性,会使得自主巡航器与传感器之间以及自主巡航器之间难以完成可靠通信。水声信道与水下通信网络的自身特性形成了水下通信网络具有消耗大、误码率高、传输速率不高的缺陷。
根据水下无线通信网络的特性可以得出水下无线通信网络的安全弱点:无线水下信道存在被窃听的可能;传感器不固定,它们之间的距离会因时间而变化;水下无线通信比陆地无线通信要有更多的功率被消耗,并且水下传感器稀疏的布局会让网络寿命因为耗尽节点电池的耗能攻击而受到严重威胁;比特误码率偏高会使得信息包存在误差,关键安全信息包存在丢失的可能性;存在攻击者截获传输信息的可能,并可能丢掉或者修改信息包;水面上的有线链路和快速无线电会让恶意节点有机可乘,形成带外连接,我们称之为“蛀洞”;水下传感器网络的动态拓扑结构会使“蛀洞”更加容易的产生,同时还会增加“蛀洞”的探测难度。
二、水下无线通信网路的安全需求
尽管水下无线通信网络极大的不同于陆地无线通信网络,但是它们在安全需求上却有相似之处,具体表现为以下几个方面,数据机密性:对网络中的传输数据进行保护,防止未授权用户窃取和修改传输数据,军事应用应该是保护的重点,要对机密性问题进行着重考虑。数据有效性:授权用户获得有效数据的行为可以得到保证,防止有时效性要求的水下探测如海啸预测等在受到拒绝服务攻击后影响其正常运作。身份认证:由于水声信道具有开放性,所以攻击者可以利用这一特点轻易进入并且传输恶意信息,因此数据来源的合法性在接受节点处必须进行认证[2]。数据完整性:确保数据的原始和完整性,大多数被运用于环境保护的水下传感器应用都要依靠数据的完整性。
三、尚待解决的水下无线通信网络安全问题
针对安全时钟同步来说,以下问题需要解决:根据延迟和“蛀洞”的攻击,需要设计出一种有效的和可靠的时间同步方案,占用少量的计算和通信成本资源。根据水下无线通信网络传播延迟高和多变的特点,需要探究一种新的方法用于估算同步节点所要时长。
针对安全定位来说,以下问题需要解决:必须要设计出一种弹性算法可以在“蛀洞”攻击和“女巫”攻击时明确传感器的位置。需要设计出一种安全定位机制可以解决水下无线通信网络中的节点移动性问题。根据在水下无线通信网络中引入错误定位信息的攻击,需要对加密算法进行有效开发。需要对危害或者恶意锚节点的技术进行识别开发,防止错误检测这些节点。
针对安全路由来说,以下问题需要解决:需要设计出一种强大而快速的认证和加密机制用于对抗外部入侵者。需要对用于应对“污水池”和“蛀洞”攻击的新技术加大开发力度。同时提高现有的应对技术,原因是“蛀洞”攻击能够利用分布式蛀洞可视化系统对距离估计信息包的缓冲时间进行控制,得以实现自身的隐藏,而传感器之间方向的误差会影响到“蛀洞”弹性邻居节点发现方法。
需要开发一种包含声誉的系统分析邻居的行为,同时拒绝包括非协作自私节点在内的路由路径。需要开发先进的机制应对“女巫”攻击、确认电子欺骗、选择性转发和呼叫泛红攻击等等的内部攻击。
四、结束语
综上所述,水下无线通信网络受到水下通信环境的限制和自身特性的制约,面临各种攻击和威胁,对外部攻击抵抗能力较弱,而现有的研究只是针对延长网络寿命和节省能耗,对安全问题不重视。因此,笔者对水下无线通信网络存在的安全问题进行研究,旨在引起人们对水下无线通信网络安全问题的重视,以尽快解决完善水下无线通信网络系统。
一个供电企业想要正常的运营下去就需要使用大量的信息,通过收集信息、处理信息、传送信息、执行信息来实现对整个供电企业的有效控制。但是,随着信息化程度的不断提高,信通部门人员配置跟不上快速增长的业务需求。这些供电企业只是将信息作为一种口头形式,在实际执行上,无法贯彻落实。所以,供电企业需要设置相应的管理机构,并且通过这些管理机构来完善信息化系统建设。
1.2网络病毒威胁着网络信息的安全管理
计算机网络系统网络病毒直接影响到所有的网络用户信息的安全,也影响着供电企业的网络信息安全。
1.3供电企业安全意识较为薄弱
供电企业一般将自己的关注点聚集在网络的利用效率上,同时,在使用计算机网络进行日常工作学习的过程中,也只关注其运行效率的高低,而对其信息的安全性的保护管理却缺乏足够的重视。在网络运行的过程中,如果出现问题,也没有足够的实力以及专业的人员去处理,造成网络信息系统的安全性受到很大的威胁。
1.4供电企业的网络信息安全面临着非常多的风险
(1)供电企业内部的影响。在供电企业的发展中,计算机网络技术已经受到了广泛的使用,使供电企业内部重要数据大部分需要在网络上进行传输。这样一来就为非法用户窃取供电企业信息提供了温床,导致供电企业内部信息出现混乱现象,使其难以维持一个正常的经营秩序。(2)网络安全结构设置不科学。网络安全结构设置不科学,主要表现如下:核心交换系统安排不科学,没有分级处理网络用户,导致全部用户具有相同的信息处理地位,这样一来,不管是何人都可以对供电企业形成相应的威胁和影响。
1.5缺乏上网行为管理监控
网络用户通过Internet访问娱乐网站、浏览购物网站、过度使用聊天工具、滥用p2p下载工具,引发不明的网络攻击、带来网络病毒、频频收到垃圾邮件、造成网络堵塞等。没有设置防火墙的电网会和容易收到病毒以及其他恶性软件的破坏,造成数据的损失。目前大部分电网还没有很好的设置防火墙,没有做好网络应用控制故纵以及带宽流量管理工作,存在很大的隐患,时刻威胁着网络的正常运行。
2电力系统网络安全的相关维护技术
2.1防病毒侵入技术
供电企业设置防病毒侵入系统可以有效的阻止病毒的进入,防止病毒破坏电力系统的信息资料。防病毒侵入技术具体是从计算机上下载相应的杀毒软件,同时需要按照相应的服务器,定期的维护防病毒系统,为其有效正常地运行提供切实的保障。除此之外,在供电企业的网关处还要安装网关防病毒系统,指的是在电力系统的所有信息系统中去安装一种全面防护的防病毒软件,通过这个软件去管理和处理各个环节,与此同时,建立科学合理的安全管理制度。借此有效的防御、检测、治理计算机病毒的侵入。并且还要做好防病毒系统的升级工作,有利于及时的检测和处理即将侵入信息管理系统的病毒。
2.2防火墙系统技术
防火墙系统指的是准许那些被信任的网络信息顺利通过,阻止那些非信任网络信息通过。防火墙系统技术通过固定的信息集合的检查点,在这个固定的检查点来统一的、强制的检查和拦截网络信息。限制非法指令,保护自身存储的信息。电力系统是在不同的环节实现管理、生产、计算以及销售的,所以,整合全部的信息需要使用两段不一致的信息渠道。之后通过筛选以及过滤,对信息的出入进行有效的控制,组织具有破坏作用的信息,使被信任的网络信息顺利通过,同时还要设置相应的访问权限,为信息资源的安全提供切实的保障。
2.3信息备份技术
在传输电力系统的所有信息之前,需要进行相应的等级备份工作。等级划分需要按照数据的重要程度来排列。并且统一管理备份信息,定期的检查备份信息,为备份信息的准确性以及可用性提供切实的保障。借此避免当电力系统信息出现故障时,因为数据丢失给供电企业造成巨大的损失。
2.4虚拟局域网网络安全技术
虚拟局域网技术就是指将局域网技术分成几个不同的方面,使各个虚拟局域网技术都可以有效的满足计算机实际工作的需要。因为在每个工作站上都存在局域网技术网段,每一个虚拟局域网网络安全技术中的的信息不能很好的实现跟其他虚拟局域网网络安全技术的顺利交换。虚拟局域网网络安全技术可以有效地控制信息的流动,有利于网络控制更加的简单化,为网络信息的安全性提供切实的保障。
3维护电力系统网络安全的管理工作
3.1强调安全制度建设的重要性
如果一个供电企业不具备完善的制度,就没有办法准确的确定信息安全,也就无法正确的衡量信息的合法性以及安全性,同时也无法形成针对性强的安全防护系统。所以,供电企业需要全面分析实际情况,在充分分析相关的网络信息安全制度的前提下,按照供电企业的实际情况,为供电企业制定健全的、完善的、具有很强指导意义的安全制度。与此同时,要不断的具体化、形象化安全制度,使其得到最大程度的贯彻落实。供电企业需要颁布相应的条文,连接供电企业的网络信息安全管理和法律两个主体,有效的惩治危害供电企业网络信息安全的因素,保证供电企业网络信息的安全性。
3.2设置专门的安全管理
部门设置专门的安全管理部门,通过这个部门来管理供电企业的信息安全,并且研究分析供电企业的相关资料,结合实际情况,设置适合供电企业实际情况的网络安全管理系统,同时还要不断升级和完善网络安全管理系统。除此之外,还要设置特定的岗位,分级任务。按照不同等级来划分系统的任务,并将任务下达到相关人员的手中。对这些人员进行垂直管理,不断协调和配合部门内所有人员,为网络安全管理系统安全有序地开展下去。
3.3网络信息安全的意识和相应的措施
人类的意识决定着人类的行动,如果供电企业想要提升网络信息的安全性,具体的做法如下,供电企业需要经过有效的学习以及培训工作,使供电企业的信息管理部门形成正确的、科学的网络信息安全意识。让供电企业的员工熟练的掌握安全防护意识,提升挖掘问题的能力,提升工作的积极性以及创新性。第二步,通过对供电企业的人员进行网络信息安全技能培训。让他们熟练掌握操作统计网络信息的设备的正确使用,在这个前提下有效的管理供电企业内部网系统的网络信息的安全性。
病毒的入侵是因为计算机系统本身存在着一些漏洞,因此需要定时地对计算机的漏洞进行检测并修复,从而有效及时地防范病毒的攻击。我们只需要一款好的杀毒软件便可以解决此问题。杀毒软件不仅具有杀毒的功能,还能对计算机进行实时的监控,因此用户必须要安装一款杀毒软件,并及时地对病毒库进行更新,增强计算机病毒防范的能力。
2)防火墙技术
防火墙技术可以有效地避免外界网络对计算机的非法入侵,保障网络的安全性。它是一道隔离本地网络和外界网络的防御系统,能够有效地隔离风险区合安全区的连接,是一种高效的网络安全模型,因此用户要提高防火墙的等级。
3)加强访问控制技术
访问控制技术是指制定相应的网络访问规则,部分网络允许被访问,而部分网络禁止被访问。通过访问控制技术能够降低网络被攻击的概率,从而在一定程度上提高了网络的安全性。访问控制策略的制定包括入网访问控制环节、网络权限划分环节、客户端防护策略制定三部分组成。其中入网访问控制是网络的第一道关口,一般都是通过验证用户账号和口令来控制。因此,为了提高计算机使用的安全性,用户应尽量使账号和口令复杂化,并定时对其进行更改,防止他人盗窃。
4)建立安全实施防御和恢复系统
众所周知,计算机本身具有一定的漏洞控制能力,但是不能长时间地确保网络信息的安全性,因而当发现网络信息被破坏的时候,应该及时地做出一些补救方案,使丢失的信息或者资料能够尽快恢复,减小损失。为了保障网络系统的安全性,就需要建立安全实施防御和恢复系统,包括安全检测预警机制、安全反应机制、入侵检测机制以及安全恢复机制。
5)采用信息加密和认证技术
当前受大众欢迎的电子商务就是依靠加密技术作为保障的。信息加密是阻止他人恶意地盗取或者破坏信息,能有效地保障信息的机密性。而认证技术可以确保信息的完整性,使信息不被他人恶意更改,在开放式计算机网络环境的安全防御方面扮演了重要的角色。因此,为了保障计算机内数据、文件、口令等重要信息不被他人盗取,就需要对信息流通过程中要传输的数据进行加密和认证处理。常见的信息加密方法有三种,即链路加密、端点加密以及节点加密。
2计算机网络与信息安全系统的关键技术
1)设置密码技术
为了保障计算机网络信息的安全性,最常用的方法就是设置密码,这是保证信息安全的最基本的方法。首先,对需要保护的信息进行加密处理,可以防止信息被非授权用户所访问。其次,密码技术的采用使得网络信息多了一层保护壳,即使信息被不法分子盗取,但是却很难破解其中的内容,有效地防止了信息的外泄。
2)访问控制技术
访问控制技术能够有效地对网络进行安全防范和保护,主要是防止用户对资源越权使用现象的出现。使用访问控制技术时,用户在使用某些特定的网络资源的时候需要进行身份验证,从而确定用户是否具有使用权。该技术在某种程度上限制了访问网络的行为,减小了网络信息被侵犯的可能性。
互联网的IP地址通常来说是一个广义的开放性的,由于多个用户通用一个路由器,或者是多个用户共用一个信号,则可能造成一些钓鱼软件或者是含有病毒的网页弹开,将病毒带入到互联网中。要想彻底的解决这一问题,关键是要建立起一个互联网的防护系统,加强对于病毒入侵的防护。可以建立起完善的流量监控系统,密切关注平时的流量动态,如果流量出现异常,则需要立即进行安全检查,也可以定期对系统进行安全隐患的排查等,实际可用的方法还是比较广泛的,不同的用户和互联网应用中心可以结合实际情况选择适当的方法,以维护互联网信息的安全。
2)加强网络传输信息的安全
随着人们对于互联网的依赖性的增强,大量的信息每天充斥在互联网中,一些不安全的病毒隐患就会潜藏在其中,威胁用户的信息安全,因此,需要建立起一个完善的监控系统,能够及时的检测传输信息的安全性,扩大检测的范围,一旦发现了病毒的踪迹,立即启动杀毒软件进行杀毒。同时,对于一些特别重要的信息数据需要进行加密处理,加密的信息更加安全,收取信息的用户必须有安全秘钥才能打开,因此给了传输信息一个更加安全的保障。
3)完善网络安全制度
目前我们国家的计算机管理还比较松散,责任划分不明确,管理方法落实不到位,因此,需要建立起一个比较完善的网络安全制度,提高对于网络通信安全的监管力度,并要求有专门的监督和管理人员,一旦出现相关的安全问题,能够及时应对,并对一些责任现象进行追责,把责任落实到每一个人,这样就能够营造一个相对安全的网络空间。
目前,信息技术得到快速发展,各类网络安全协议不断应用于计算机通信中,对于信息传递和数据的传输具有重要意义。然而,在网络安全协议过程中,设计者未能全面了解和分析网络安全的需求,导致设计的网络安全协议在安全性分析中存在大量问题,直接导致一些网络安全协议刚推出便由于存在漏洞而无效。对于网络安全协议的安全性检测,通常情况下证明网络安全协议存在安全性漏洞比网络安全协议安全更加简单和方便。目前,对于网络安全协议安全性的检测主要是通过攻击手段测试来实现网络安全协议安全性风险。攻击性测试一般分为攻击网络安全协议加密算法、攻击算法和协议的加密技术以及攻击网络安全协议本身,以便发现网络安全协议存在的安全漏洞,及时对网络安全协议进行改进和优化,提升网络安全协议安全性。
1.2常见网络安全协议设计方式
在网络安全协议设计过程中,较为注重网络安全协议的复杂性设计和交织攻击抵御能力设计,在确保网络安全协议具备较高安全性的同时,保证网络安全协议具备一定的经济性。网络安全协议的复杂性主要目的是保障网络安全协议的安全,而网络安全协议的交织攻击抵抗力则是为了实现网络安全协议应用范围的扩展。在网络安全协议设计过程中,应当注重边界条件的设定,确保网络安全协议集复杂性、安全性、简单性以及经济性于一身。一方面,利用一次性随机数来替换时间戳。同步认证的形式是目前网络安全协议的设计运用较为广泛的方式,该认证形式要求各认证用户之间必须保持严格的同步时钟,在计算机网络环境良好的情况相对容易实现,然而当网络存在一定延迟时,难以实现个用户之间的同步认证。对此,在网络安全协议设计过程中可以合理运用异步认证方式,采用随机生成的验证数字或字母来取代时间戳,在实现有效由于网络条件引发的认证失败问题的同时,确保网络安全协议的安全性。另一方面,采用能够抵御常规攻击的设计方式。网络安全协议必须具备抵御常见明文攻击、混合攻击以及过期信息攻击等网络攻击的能力,防止网络击者从应答信息中获取密钥信息。同时,在设计网络安全协议过程中,也应当注重过期消息的处理机制的合理运用,避免网络攻击者利用过期信息或是对过期信息进行是该来实现攻击,提升网络安全协议的安全性。此外,在设计网络安全协议过程中,还应当确保网络安全协议实用性,保障网络安全协议能够在任何网络结构的任意协议层中使用。在网络通信中,不同网络结构的不同协议层在接受信息长度方面存在一定差异,对此,在设置网络安全协议秘钥消息时,必须确保密钥消息满足最短协议层的要求,将密码消息长度设置为一组报文的长度,在确保网络安全协议适用性的同时,提升网络安全协议的安全性。
2计算机网络安全协议
在CTC中的应用近年来,随着计算机通信技术、网络技术以及我国高速铁路的不断发展,推动了我国调度集中控系统(CentralizedTrafficControl,检测CTC系统)的不断发展,使得CTC系统广泛应用于高铁的指挥调度中。CTC系统是铁路运输指挥信息化自动化的基础和重要组成部分,采用了自动控制技术、计算机技术、网络通信技术等先进技术,同时采用智能化分散自律设计原则,是一种以列车运行调整计划控制为中心,兼顾列车与调车作业的高度自动化的调度指挥系统。调度中心冗余局域网主干由两台高性能100M交换机构成,并为服务器、工作站等计算机设备均配备两块100M冗余网卡,以便实现与交换机之间的高速连接。同时,调度中心通过两台中高端CISCO路由器实现与车站基层广域网的连接,为了满足CTC系统的通信需要,该CISCO路由器应具备足够带宽以及高速端口。同时,同CTC系统的路由器与交换机之间装设了防火墙隔离设备,能够有效确保CTC系统中心局域网的安全。CTC系统的车站系统的局域网主干主要由两台高性能交换机或集线器构成,并在车站调度集中自律机LiRC、值班员工作站以及信号员工作站等设备上配备两个以太网口,以实现与高速网络通信。为实现车站系统与车站基层广域网之间的网络通信和高速数据传输,车站系统配备了两台路由器。车站基层广域网连接调度中心局域网通过双环、迂回的高速专用数字通道实现与各车站局域网的网络通信,其中,该数字通道的带宽超过2Mbps/s,且每个通道环的站数在8个以内,并采用每个环应交叉连接到局域网两台路由器的方式来确保其数据传输的可靠性。CTC系统在网络通信协议方面,采用TCP/IP协议,并在数据传输过程中运用CHAP身份验证技术和IPSEC安全保密技术,在有效实现数据高速传递的同时,确保的网络通信的安全。
二、SSL安全协议在网络通信中的具体应用
SSL安全协议在数据传递的过程中被经常性的使用,能够运用监控系统分析网络中的隐患,从而确保数据能够安全的传递,从而能够对信号进行及时地收集,通过转码的方式,将数据压缩,在选用通信设备的时候,也能够对设备进行识别,从而能够运用SSL安全协议,提高数据传输的有效性。服务器:它属于整个系统中最关键的部分,对所有的视频服务,在视频采集、播放以及转发等部分建立信息,并且将其通过通道写入数据库。客户端实现了将密码输送到用户处,在密码输入无误的情况下,能够访问页面。通过SSL安全协议,有效的连接客户端和服务器之间,提高信息传输的安全性,另外该协议基于实时性的要求,将收集到的信息通过网络实现连接,从而能够完善数据传输的通道,通过无线视频的方式,将传输的信号以不同的方式进行分类,然后形成不同的模块,然后与函数组合起来,通过特定的方式实现数据的加密处理。
