前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息网络安全评估的方法主题范文,仅供参考,欢迎阅读并收藏。
【关键词】电力系统 信息网络安全问题 防护措施
1 引言
有效地保障电力企业的安全和保障电力信息网络安全,对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展,信息化系统已经在电力企业中受到广泛应用,实现了信息化网络管理。但由于信息网络中存在的问题,导致电力信息网络安全时有发生,有必要对此进行分析,并且采取安全保护措施,确保电力信息网络安全和电力企业的稳定发展。
2 电力系统信息网络存在的安全问题
2.1 网络病毒
电力系统信息网络安全中,最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒,轻则是对电力信息系统的正常运行受到阻碍,使数据丢失、信息不能及时共享;严重则会导致电力信息系统瘫痪,整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外,电力设备还可能因此遭到网络病毒的破坏,造成不可估量的损失。
2.2 黑客攻击
在电力系统信息网络运行的过程之中,网络安全问题也会因为受到黑客的攻击而出现,导致电力系统信息网络安全出现故障,甚至会造成大范围的电力故障发生,具有非常大的危害力,这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量,假如被黑客攻击获取机密信息,则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多,比如利用数字控制系统(DCS)对电力企业的基层系统进行控制,造成基层系统瘫痪。此外,黑客也可以利用某个系统对其他系统进行控制和破坏,对电力系统造成非常恶劣的影响。
2.3 脆弱的身份认证
电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发,而基本上都是使用口令为用户身份认证的鉴别模式,而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式,用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今,这种脆弱的安全控制措施已经不再适用。
2.4 内部恶意操作
电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制,加入人的因素存在主管恶意,则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全,但是只能防范人的控制,一旦出现人为因素,大灾难将会降临到电力信息系统上。
2.5 信息网络安全意识淡薄
在电力信心网络的建设以及运营过程之中,安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新,电力信息网络的安全等级也逐渐提高。但是,不能否认的是,实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题;另一方面则是超高的安全防护技术带来高昂的成本,电力企业的效益降低,导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高,同时网路安全人员的安全防护意识缺乏,出现违规操作、不按照规范进行操作等现象发生而出现问题。
2.6 信息网络安全制度缺失
随着电力信息化程度的不断深入,要加强信息网络安全制度的规范,不断创设完整的信息网络安全防护制度显得非常重要,这样才能够确实提高电力企业信息网络安全,保障企业经济效益。当时目前而言,在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度,很大程度上对电力系统信息网络安全造成危害,影响电力信息化水平提高。同时,在电力系统信息网络运行,由于缺乏科学的安全管理制度,很容易在运行过程之中出现大漏洞和缺陷。
3 电力系统信息网络安全防护的具体措施
3.1 提高对安全性的认识
第一,电力企业要加强对电力系统信息网络安全的认识,要将网络信息安全防护体系完善建立,采用分层、分区的管理方法,其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区,并且隔离区城之间的网络物理隔离设备。第二,加强人员素质管理,通过网络安全培训和技能训练,将网络管理工作人员的素质和能力提高。最后,对信息网络体系的密码、技术、数据管理要加强,切实将电力系统信息网络安全系数提高。
3.2 做好信息网络系统的维护与支持工作
在现实电力系统信息网络安全防护中可以采取以下几种安全技术:第一,防火墙技术。网络与网络安全领域的连接入口是防火墙,因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息,保证电力系统信息网络的安全。因此,在日常工作中要对防火墙的访问设置相应的权限,对非授权连接进行强力防护。第二,漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测,根据检查情况对设备检测风险进行评估。假如存在安全问题,则要及时采取防护措施进行修复,这样才能够有效避免安全问题发生。第三,数据加密技术。所谓的加密技术,就是对网络传输数据的访问权进行限制,也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露,有效保证电力系统鑫鑫网络安全,确保能够正常稳定地运行。
3.3 构建科学完善的安全防护体系
在信息化网络的运营过程之中,科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查,有条不紊地针对加强安全防护,将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系,切忌技术盲目建设,要科学准确地建设信息化安全防护体系。与此同时,在建设防护体系过程之中,考虑到电力信息网络的功能和板块非常多,因此需要技术人员从整体把握安全防护体系,要遵循全面科学原则建设信息网络安全防护体系,使电力系统信息网络的各个功能的安全等级不断提升,能够有效地提升电力系统信息网络的安全效益和质量。
3.4 建立完善的电力系统信息网络监控中心
为了能够提高电力系统信息安全,一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合,监控中心可以在各信息网管中心建立,这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防,防患于未然,保障系统不会发生异常或故障。
3.5 加强网络设备的管理和维护
在电力企业信息网络安全管理中,网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命,因此电力企业的安全管理人员要对这些设备进行定期检查和维护,对电力设备及时进行更新更换,从源头上强化信息安全。对于电力企业而言,要及时更新网络技术、更新系统和技术,要做数据备份;对于终端密码及时更换,设置难以破解的密码,以免被窃取。
4 结语
为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全,一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失;因此要通过加强网络安全管理和充分利用先进的网络技术,构建电力系统信息安全防范体系,确保电力系统信息网络能够高效稳定运行。
参考文献:
关键词:HTP模型;移动平台;安全加固
中图分类号:TM769 文献标识码:A 文章编号:1671-2064(2017)05-0168-02
1 概述
HTP模型[1]是中国IT治理研究中心提出的“以人为本”的信息安全体系模型,其主要结构抽象描述包括[2]:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
2 网络架构与技术
通过对电力公司移动交互平台网络架构的分析,总结出网络中存在的安全薄弱点。针对这些薄弱点,在网络架构和技术方面提出如下几点建议。
(1)对信息外网进出口提供更多样的防护措施,并增加备用线路,防止单点故障。建议在信息外网进出口设立统一威胁管理系统(UTM),具体拓扑如图1所示。作为电力公司移动交互平台网络的边界,面临的混合式攻击越来越多,传统的安全解决方案如单一的防火墙功能、入侵检测功能已经无法有效解决这种混合式的攻击威胁,而全面地设立多种独立功能的安全设备往往需要巨大的投资成本,并且设备过多会带来更高的管理成本。统一威胁管理系统将各种安全防护功能集中到一个设备上,在增加安全性的同时,很好的控制了资费成本与管理成本。
(2)在信息外网的支撑服务处增加入侵检测系统(IDS),具体改进拓扑如图2所示。支撑服务作为移动应用的内容提供者,在信息外网中是黑客主要的攻击目标,并且移动应用提供的业务是已知的,所以用户的请求行为是可以预测的,这种情况下使用IDS是非常好的选择。根据对用户业务请求行为的预测,将正常行为与不正常行为归纳建立模型。使用入侵检测系统,采用异常检测和误用检测两种模式相结合的方式对流量进行检测。
(3)在信息外网与信息内网中同时增加安全审计系统。在信息外网使用安全审计,可以对用户访问移动应用服务资源的行为进行安全审计,并且可以对移动应用操作内网数据的行为做详细记录,通过审计系统的日志,不仅可以对潜在威胁进行分析,并且可以提供事故发生的线索做出评估,快速进行故障恢复,提供责任追究的依据。信息内网使用安全审计,可以对内部员工的操作进行管理。审计系统可以成为追踪入侵、恢复系统的直接证据,所以,其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制,避免日志被篡改。
(4)在信息内网的数据库服务器处增加数据库防火墙,具体改进拓扑如图10所示。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、破坏、损坏的等,从数据库SQL语句精细化控制的技术层面,提供一种主动安全防御措施,并且,结合独立于数据库的安全访问控制规则,帮助用户应对来自内部和外部的数据安全威胁。
3 人员管理机制分析
3.1 健全以责任分离和安全考核为原则的用人系统
信息网络安全人员的使用具有一些特殊的要求,必须以安全可靠为最高原则。相应地,应该健全以责任分离和安全考核为原则的用人系统。
一方面,在用人过程中必须坚持责任分离的原则。其具体要求是:(1)明确信息网络安全系统中每个人的职责,要求“谁管理,谁负责”;(2)关键岗位的人员不得再兼任其他职位,严格控制使用兼职人员;(3)重要的任务有两人以上共同完成,避免一个人保管组织所有安全信息;(4)坚持岗位轮换原则,确保一个员工的工作有另一个员工进行审核。
另一方面,信息网络安全人员一旦录用,就要确定其职责范围,对其实施安全考核,重点考核其安全事故发生情况。信息网络安全人员考核不能像一般工作人员那样以年终考核为主,而应加强平时考核以实现日常监控,对其考核时间越短,就越有利于确保安全;而且,不仅考核工作时间内的表现,也考察工作时间外的表现,比如生活作风与非工作行为是否正常等。
3.2 推行以增强意识和战略开发为指导的育人系统
信息网络安全工作是一种长期而艰巨的工作,保密意识贯穿始终,但随着时间的推移,信息网络安全人员难免产生工作倦怠,其“保密之弦”也会出现松弛。因此,国网公司应该不断强化保密意识培训,以形成坚固的信息安全“思想意识防线”。而且,还应该立足信息安全战略规划与开发信息网络安全人员,以长远眼光加强信息网络安全人才培养。
3.3 实施以目标激励和待遇倾斜为特色的留人系统
信息网络安全工作任务重、压力大、内容单调,加上工作环境封闭,容易使信息网络安全人员人心不稳。因此应该通过目标激励,增强他们对自己所从事工作的荣誉感、神圣感和责任感,促使他们安心工作。而且,由于信息网络安全人员作用特殊、责任大、风险高,因此在待遇上应该给予倾斜。
4 结语
本文通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析,结合典型的HTP网络安全体系模型,针对电力公司移动交互平台网络安全薄弱点,提出关于电力公司移动交互平台网络加固的建议,对电力公司移动交互平台安全提升做了有益的探索。
参考文献
关键词:水电厂;信息网络;安全防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)08-1759-02
进入21世纪以来,以电子计算机信息技术的迅速发展为标志,各地水电厂的运作效率也不断的得到提高,自动化运作的比例有了较大幅度的发展,实现了人力资源的优化利用。水电厂对自动化控制和信息化厂区的建设都十分重视,无论是从电厂监视控制系统的布设方面,还是对水情监测调整系统、工业电视系统、火灾预防系统的建立等方面都进行了精确的评估与立项设立。[1]正是由于信息网络系统在水电厂日常运作中的应用,使得水电厂的各个独立子系统联系成了一个有机的整体,也正是由于子系统间进行信息交流的需要,目前水电厂内部各子系统间的网络连接及信息交换过程中存在着潜在的信息交换及网络防护安全问题,一旦这些问题被触发,牵一发而动全身,后果不堪设想。
1水电厂信息网络安全防护的几点措施
一般来讲,水电厂作为关系到国计民生的国家重点基础设施建设项目,其投入资金都比较多,厂区内技术设备复杂,工作环境靠近河流,其信息网络安全防护也应该因地制宜,具体来讲,可以在以下几个方面进行重点防护。
1)基于各个子系统的特点进行综合防护设计。
由于水电厂内部各个子系统之间要经常进行频繁的数据交换以及信息共享,应该对信息通道以及数据资源的利用进行优化整合。水电厂信息自动化系统一般可以分为电力生产系统和信息资源控制管理系统,这两种系统在电厂中的作用角度不同,前者侧重于控制电力资源的生产,后者则较多的参与网络信息资源管理。[2]
对于电力资源生产系统,其设计与建造必须要满足对实时控制及可靠性的要求,对于监控计算机的选择则要求其及时跟进性达到毫秒级别,并且还要要求其他连接的子系统对于监控计算机系统内的数据只能进行单向操作,即子系统只能具备对监控计算机的数据读取功能,而不能进行数据及命令写入操作,这样就在内部避免了黑客通过子系统对主监控计算机的入侵行为。对于水情监测调整系统、工业电视系统、火灾预防系统等设备则都应该留有备份系统以供不时之需,这样就满足了较高的可靠性。此外,电厂河流梯度调整系统以及电网调度自动化系统应单独纳入电厂信息网络系统,一旦出现问题可以使得电厂间不会相互影响。对于信息资源控制管理系统,这是水电厂外部网络信息防护的重点,因为正是这一部分系统直接连入了万维网,对内其可以读取电力生产系统的数据,例如电机发电量、水电厂坝区水位以及水流量等信息,对外其直接与外界互联网进行信息交换,黑客通过攻破这个系统就可以对水电厂进行信息窃取,甚至是直接进行非法操作,造成严重后果,因此综合考虑子系统功能以及数据交换的安全性是十分必要的。
2)实现水电厂子系统间物理上的相互隔离,功能类型相同的自动化系统间采用专用网络连接。
电力生产系统和信息资源管理系统为防止信息互相影响可以采取双网同设的方法进行独立隔离,这样做无疑会增加水电厂基础设施的投资额度,但是若两个系统为节省资金而共享信息网络和电力供给资源,一旦其中的一个系统出现问题,则由于高度自动化及互联化会造成两个系统的同时故障。
此外,即便是同一个系统下的各个单元也应该遵守网络连入的独立与隔离原则,不建议直接进行连接,例如提到的水情监测控制系统、火灾预防控制系统以及电力机组修检系统就不能直接进行网络连接,应保持各自的运作独立性要求。而信息自动化系统单元类别下的不同部门也应该与计算机监控系统保持独立,否则就会出现信息资源管理系统的使用者直接对计算机监控系统进行访问的现象,这会形成用户修改计算机监控系统的潜在隐患。在电厂内部的各个自动化系统中,类型相同的系统如属于同一河流区域的梯度电站调度监控单元、计算机监控系统、地区电网调度单元监控中心以及网络水情自动化生成分析系统、水库流量及水位检测系统之间等都要及时迅速的交换实时信息数据,运行方式要高度可靠及快速才能完成如此复杂的任务,面对这样的情况,专用局域网的优势就能得以发挥,实现利用电力资源调度网络达到上下级网络节点系统同归的效果。[3]
3)水电厂信息资源管理系统接入外网的安全防护措施。
这个节点可以采用在水电厂信息资源管理系统或自动化网络边界与万维网的接入口之间架设安全防火墙的措施达到信息隔 离效果,辅之以相关的安全接入时限策略,最大程度的减少信息系统暴露的概率。在安全接入万维网的时限内,外网单元对内网的信息读取以及网络命令施加等操作要伴随访问服务器的人为及电子监控。为防止接入万维网期间的信息泄露或外部植入程序的暗度陈仓,可以采用将信息资源管理系统的外网服务器划分子网的方法来控制对外访问,子防火墙的设立此时就显得很有必要。当然,仅有这些技术还不足以完全剔除水电厂网络系统中的内部及外部安全漏洞,这些漏洞可能体现在以下几方面:
①外部黑客依然会寻找防火墙的潜在后门,对防护系统进行攻击;②防火墙的作用在于防御外部入侵者对电厂计算机网络的攻击及恶意闯入,但是对于防火墙内部的“鼹鼠”实际上是不设防的,相对有效的内部人员闯入防御机制不健全;③由于计算机配置及硬件性能的束缚,目前的监控系统实时监测入侵行为的能力尚不发达,往往都是在事后才回发现入侵痕迹,及时阻止性较低。
针对以上的三个安全漏洞,水电厂网络安全技术人员要充分重视,最好能够引入实时入侵监测系统,对来自水电厂网络内、外部的非法访问及越权操作进行及时阻断与责任追究,不断改进技术,“道高一尺,魔高一丈”。
4)利用串口通讯的方式实现水电厂各子系统与上级计算机监控系统的连接,建立全方位的计算机病毒防御系统。
采用串口连接可以有效的对网络间数据交换进行控制,各个子系统间的访问都被限制在“读入”,而不允许“写入”,这样做的好处是一方面防止了子系统间的互相破坏作用,另一方面也由于这种“单向操作”而使得电厂的网络数据传输速率大大增强,因为其传输的数据量由于减少了写入数据的份额而大为减少。[4]对于部分硬件设施较为老化的水电厂,若串口连接方式改造成本较高而不能实施,则必须安装防火墙来过滤直接连接的双向操作,以此来保证水电厂网络系统的安全运行,水电厂内部网络间以局域网运行可以达到较高的安全及速度标准。
此外,对于水电厂网络病毒防范系统功能的选择与铺设也应该谨慎选择,病毒与后门程序是水电厂信息网络系统中威胁最大的隐患,水电厂信息网络系统病毒防御功能应该集中地包含至少四个部分,分别为:
①电厂计算机系统病毒清扫软件能够分别对各个子系统进行多层次清扫,对于信息网络的工作站、网关、伺服器都能设置病毒防御,以便多角度的进行病毒查杀;②专机专用的病毒查杀软件的客户端既要安装在计算机主监控系统中,其余子系统也必须拥有独立的查杀能力;③电厂电力生产控制软件及信息资源管理系统软件应能够配合杀毒软件配置成为分布式运行,设置病毒伺服器窗口;④水电厂信息网络系统专用杀毒软件具备兼容特性,多种杀毒软件的联合清扫很有必要,尽力顾及到每个查杀死角。[5]
2结束语
水电厂是关乎国计民生的国家重点建设基础设施,其信息网络系统的安全运行与否直接决定国家电网安全与居民生活质量,因此需要引起相关部门的充分重视,而在网络电子信息犯罪层出不穷的今天,对于水电厂起到“双刃剑”作用的网络自动化建设更要尤其重视安全防护的研究,以此来拱卫国防及民生安全。电力部门应遵循电子自动化系统网络独立的原则,实现系统间专用局域网的铺设,大力发展多层高效率的网络防火墙建设,借鉴国外相关经验,保持水电厂信息网络对于电力运营的效率提升作用,同时也防止不法分子对于电网网络的破坏及利用,这样才能保证水电厂及时、高效的输出入电能,造福国人。
参考文献:
[1]杨非.水电厂二次自动化系统安全防护的设计与研究[J].水电厂自动化,2011(3):18-20.
[2]余勇,林为民.电力信息系统安全防护总体框架的研究[J].信息网络安全,2005(9):58-60.
[3]徐俊.电力二次系统信息网络安全防护体系整改的探讨[J].湖北电力,2010(7):47-49.
关键词:电力企业信息系统安全防护
前言
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
一、电力企业信息安全风险分析
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
二、电力信息网安全防护方案
1、加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
2、电力信息安全防护技术措施
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。D M Z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
三、电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
论文摘要:在军事活动中,军事信息的交流行为越来越效繁,局城网,广城网等技术也逐步成为了军事活动中不可或缺的内容,信。息的劫持与反劫持等安全技术占据了一个举足轻重的地位。本文扰为了保证我军军事秘密这个大前提,对网络坏境下军事信息安全加以阐述.
1军事信息安全概述
军事信息安全一般指军事信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性,可控性和不可否认性。为防止自身的意外原因,实现军事信息安全,起码要做到的是:提出有效策略,建立健全信息管理体制,使用可靠、安全的信息传输网络来保障信息采集、传递、应用过程中信息的机密性,完整性、可利用性以及可控制性,信息安全状态的确定性;信息的可恢复性等。
2网络环境下军事信息面临的安全威胁
网络军事安全从其本质上来说是网络 计算 机上的军事信息安全,是指计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改和显露,在确保系统能连续正常运行的同时,保证计算机上的信息安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。军事信息网络安全威胁主要有以下几点。
2.1计算机病毒
现代 计算机病毒可以借助文件、邮件、网页、局域网中的任何一种方式进行传播,具有自动启动功能,并且常潜人系统核心与内存,利用控制的计算机为平台,对整个网络里面的军事信息进行大肆攻击。病毒一旦发作,能冲击内存、影响性能、修改数据或删除文件,将使军事信息受到损坏或者泄露。
2.2网络攻击
对于网络的安全侵害主要来自于敌对势力的窃取、纂改网络上的特定信息和对网络环境的蓄意破坏等几种情况。目前来看各类攻击给网络使用或维护者造成的损失已越来越大了,有的损失甚至是致命的。一般来讲,常见的网络攻击有如下几种:
(1)窃取军事秘密:这类攻击主要是利用系统漏洞,使人侵者可以用伪装的合法身份进入系统,获取军事秘密信息。
(2)军事信息网络控制:这类攻击主要是依靠在目标网络中植人黑客程序段,使系统中的军事信息在不知不觉中落人指定入侵者的手中。
(3)欺骗性攻击:它主要是利用网络协议与生俱来的某些缺陷,入侵者进行某些伪装后对网络进行攻击。主要欺骗性攻击方式有:ip欺骗,arp欺骗,web欺骗、 电子 邮件欺骗、源路由欺骗,地址欺骗等。
(4)破坏信息传输完整性:信息在传输中可能被修改,通常用加密方法可阻止大部分的篡改攻击。当加密和强身份标识、身份鉴别功能结合在一起时,截获攻击便难以实现。
(5)破坏防火墙:防火墙由软件和硬件组成,目的是防止非法登录访问或病毒破坏,但是由于它本身在设计和实现上存在着缺陷。这就导致攻击的产生,进而出现军事信息的泄露。
(6)网络侦听:它是主机工作模式,是一种被动地接收某网段在物理通道上传输的所有信息,并借此来截获该网络上的各种军事秘密信息的手段。
2.3人为因素造成的威胁
因为计算机网络是一个巨大的人机系统,除了技术因素之外,还必须考虑到工作人员的安全保密因素。如国外的情报机构的渗透和攻击,利用系统值班人员和掌握核心技术秘密的人员,对军事信息进行窃取等攻击;内部人员的失误以及攻击。网络运用的全社会广泛参与趋势将导致控制权分散。由于人们利益、目标、价值的分歧,使军事信息资源的保护和管理出现脱节和真空,从而使军事信息安全问题变得广泛而复杂。
3 网络 环境下军事信息安全的应对策略
3.1信息管理安全技术
军事信息存储安全最起码的保障是军事信息源的管理安全。随着 电子 技术的快速 发展 ,身份证、条形码等数字密钥的可靠性能越来越高,为了验证身份,集光学、传感技术、超声波扫描技术等一体的身份识别技术逐渐应用到军事信息安全中来。
3.1.1指纹识别技术
自动指纹识别系统通过获取指纹的数字图像,并将其特征存储于 计算 机数据库中,当用户登录系统时,计算机便自动调用数据库中的信息,与用户信息进行比对,以此来保证用户对军事信息使用权的不可替代性。
3.1.2虹膜、角膜识别技术
虹膜识别系统是利用摄像机来采集虹膜的特征,角膜扫描则是利用低密度红外线来采集角膜的特征,然后将采集来的信息与数据库中的注册者信息进行比对,借此来保证登录的权限,进而起到保护军事信息安全的作用。
3.2防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据使用者的安全政策控制出入网络的信息流。根据防火墙所采用的技术和对数据的处理方式不同,我们可以将它分为三种基本类型:包过滤型,型和监测型。
3.3数据加密技术
数据加密是对军信息内容进行某种方式的改变,从而使其他人在没有密钥的前提下不能对其进行正常阅读,这一处理过程称为“加密”。在计算机网络中,加密可分为“通信加密”和“文件加密”,这些加密技术可用于维护数据库的隐蔽性、完整性、反窃听等安全防护工作,它的核心思想就是:既然网络本身并不安全、可靠,那么,就要对全部重要的信息都进行加密处理,密码体制能将信息进行伪装,使得任何未经授权者无法了解其真实内容。加密的过程,关键在于密钥。
3.4数字签名技术
数字签名是通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证。在传统密码中,通信双方用的密钥是一样的,既然如此,收信方可以伪造、修改密文,发信方也可以抵赖他发过该密文,若产生纠纷,将无法裁决谁是谁非。
由于公钥密码的每个用户都有两个密钥,所以实际上有两个算法,如用户a,一个是加密算法ea,一个是解密算法da。
若a要向b送去信息m,a可用a的保密的解密算法da对m进行加密得da(m),再用b的公开算法eb对da(m)进行加密得:c=eb(da(m)); b收到密文c后先用他自己掌握的解密算ddb对c进行解密得:db(c)=db(eb(da(m)))=da(m);再用a的公开算法ea对da(m)进行解密得:ea(da(m))二m,从而得到了明文m。由于c只有a才能产生,b无法伪造或修改c,所以a也不能抵赖,这样就能达到签名的目的。
一、引言
近年来,随着计算机网络技术的成熟,计算机网络应用迅速普及。伴随我国国民经济信息化进程的推进和信息技术的普及,各行各业对计算机网络的依赖程度越来越高,对信息系统的安全性更加关注,如何保证网络通信的安全性成为人们必须面对的问题。因此,有必要制定并实施计算机信息系统安全防护策略以维护计算机信息系统正
常工作秩序,防范计算机犯罪,预防计算机安全事故,有效保证计算机通信网络的安全。
二、计算机通信网络安全的现状
(一)计算机通信网络安全概述
计算机网络由计算机和通信网络两部分组成,其中计算机是通信网络的终端或信源,通信网络提供数据传输和交换的必要手段,最终实现保存在计算机中的资源共享。计算机通信网络安全,是指根据网络特性通过相应的安全技术和措施防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到破坏更改、泄露,防止非特权用户窃取服务,确保网络正常运行。从网络的运行环节来分,网络安全有设备安全、数据传输安全、用户识别安全等几个方面。
(二)目前计算机信息网络安全的研究现状及动向
1.国外研究现状及动向。国外对信息网络安全研究起步较早,研究的力度大,积累多,应用广。在上个世纪70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上,制定了“可信计算机系统安全评估准则”(tcsec),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术的密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、dna密码、混沌理论等密码新技术正处于探索之中。
2.国内研究现状及动向。我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。目前其研究动向主要从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面提出系统的、完整的和协同的解决信息网络安全的方案。
三、计算机通信网络安全存在的原因
(一)系统自身的问题
由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理,总是留有“窗口”或是“后门”,这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括以下几个方面:
1.网络的开放性:网络系统的开放性和广域性设计使得数据的保密难度加大,其中还包括网络自身的布线以及通信质量而引起的安全问题。
2.软件的漏洞:通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患。如果在使用通信网络的过程中,没有必要的安全等级鉴别和防护措施,便使得攻击者可以利用上述软件的漏洞直接侵入网络系统,破坏或窃取通信信息。
3.脆弱的tcp/ip服务:因特网的基石是tcp/ip协议,该协议在设计上力求实效而没有考虑安全因素,因为那样将增大代码量,从而降低了tcp/ip的运行效率,所以说tcp/i本身在设计上就有许多安全隐患。很多基于tcp/ip的应用服务如www服务、电子邮件服务、ftp服务都在不同程度上存在着安全问题这很容易被一些对tcp/ip十分了解的人所利用。
(二)网络传输信道上的安全隐患
网络在传输信道上设计不完善,没有必要的疲敝措施,这也会给计算机通信网络留下安全隐患。因为如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,专门设备是可以接收到。
(三)人为因素
缺乏安全意识和安全技术的计算机内部管理人员、利用合法身份进入网络,进行有目的破坏的人员、恶意窃取、篡改和损坏数据的网络黑客以及网上犯罪人员对网络的非法使用及破坏等对网络构成了极大威胁。
(四)其他因素
此外,诸如安全防范技术、可靠性问题和管理制度的不健全,安全立法的疏忽,以及不可抗拒的自然灾害以及意外事故的损害等也是威胁网络通信安全的重要因素。
四、提高计算机通信网络安全的防护策略
针对以上提出的影响网络安全的因素,我们从计算机系统、人员方面、网络安全策略和安全技术等方面提出了提高计算机通信网络安全的防护策略。
(一)提高系统自身性能
计算机系统在研发设计时不能只考虑实效,而应该把通信安全因素考虑进去。网络系统在设计时应该考虑到数据的保密难度,完善通信协议和通信软件系统,减少软件系统漏洞。使用通信网络的过程中,制定必要的安全等级鉴别和防护措施,防止攻击者利用软件的漏洞直接侵人网络系统,破坏或窃取通信信息。
(二)强化网络安全教育,发挥人在网络安全上的作用
要认识到计算机通信网安全的重要性,广泛开展网络安全研究,加强技术交流和研究,掌握新技术,确保在较高层次上处干主动。人员是网络安全管理的关键之一,人员不可靠,再好的安全技术和管理手段也是枉然,故计算机通信网络的安全管理必须充分考虑人的因素。加大网络管理人才的保留,加强各部门协作,加大高级网络技术人员的培养和选拔,使他们具有丰富的网络技术知识,同时也具有一定的实践经验,从而达到有效的防护网设。
(三)制定并认真贯彻实施网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。应该从法规政策、管理、技术三个层次制定相应的策略,实现以下“五不”的目的:
1.使用访问控制机制如身份鉴别,利用用户口令和密码等鉴别式达到网络系统权限分级,鉴别真伪,访问地址限制,如果对方是无权用户或是权限被限用户,则连接过程就会被终止或是部分访问地址被屏蔽,达到网络分级机制的效果。阻止非授权用户进人网络,即“进不来”,从而保证网络系统的可用性。
2.使用授权机制,利用网络管理方式向终端或是终端用户发放访问许可证书,防止非授权用户使用网络和网络资源。实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。
3.使用加密机制,使未授权用户 “看不懂”,保证数据不会在设备上或传输过程中被非法窃取,确保信息不暴露给未授权的实体或进程,从而实现信息的保密性。
4.使用数据完整性鉴别机制,优化数据检查核对方式,保证只有得到允许的人才能修改数据,而其它人“改不了”,防止数据字段的篡改、删除、插入、重复、遗漏等结果出现,从而确保信息的完整性。
转贴于
5.使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
(四)提高网络安全技术
1.防火墙。计算机网络的最大特点是开放性、无边界性、自由性,因而要想实现网络的安全,最基本的方法就是把被保护的网络从开放的、无边界的网络环境中独立出来,使之成为可管理的、可控制的、安全的网络,实现这一目标最基本的分隔手段就是防火墙。防火墙是网络安全的第一道门槛,它的主要目标是控制入、出一个网络的权限,并迫使所有连接都经过这样检查,因此它具有通过鉴别、限制、更改跨越防火墙的数据流来实现对网络的安全保护。防火墙技术一般包括数据包过滤技术,应用网关和技术三大类。
2.密码技术。密码技术的基本思想是伪装信息,密码技术由明文、密文、算法和密钥构成。其中密钥管理是一个非常重要的问题,是一个综合性的技术,涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。
密码类型基本有3种,即移位密码、代替密码和乘积密码。移位密码是一种通过改变明码中每个字符或代码的相对位置获得的密码;代替密码是一种用其它字符或代码代替明码字符后获得的密码;乘积密码则是一种通过混合代替方法使明码变成难以破译的密码。在实际加密过程中,一般不单独使用一种密码,而是将上述3种密码经过多次变换迭代生成。
3.用户识别技术。为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用识别技术。常用的识别方法有口令、唯一标识符、标记识别等。
4.入侵检测技术。入侵检测技术又称为ids,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外,它在计算机网络中是非常有效的安全技术。目前计算机网络大都是基于单一的tcp/ip协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完全不同的内部管理和信令协议,因此通信网络入侵检测技术对于一般的通信网协议具有针对性,我们可以利用这一特点,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统,基于节点的工作日志或网管系统的状态搜集、安全审计数据以及对网络数据包进行过滤、解释、分析、判断来发现入侵行为。
【 关键词 】 网络安全;计算机;网络通信
Computer Network Security System Research
Wang Shu-meng Zhang Shuo Jiang Zhao-yin
(Yangzhou Polytechnic College JiangsuYangzhou 225009)
【 Abstract 】 the computer network is widely applied to people's attention, computer network security is very important, we must take effective measures to ensure the security of computer network. This paper analyzes the implications of computer network security system and its security mechanism, and for the current network security should be involved in some of the elements is introduced.
【 Keywords 】 network security; computer; network communication
1 引言
计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注。
面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题,既是考虑了安全,也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。
2 计算机网络安全机制分析
安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。安全机制与安全有关,机制是用于实现服务的程序,OSI定义的安全性机制有加密、数字签名、鉴别、访问控制、通信量填充、路由控制、公证等。安全和安全性机制有一定的对应关系,例如:机密可以通过加密、通信量填充和路由控制来实现。另外,加密不仅可以是机密的成分,而且还可以是完整性和鉴别服务的成分。
各种安全机制中,加密有着最广泛的应用,并且可以提供最大程度的安全性。加密机制的主要应用是防止对机密性、完整性和鉴别的破坏。
数字签名是一种用于鉴别的重要技术。数字签名可以用于鉴别服务,也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时,它是和公证一起使用的。公证是通过可信任的第三方来验证(鉴别)消息的。
对于网络终端用户来说,最通常的安全性经历是通过使用口令来实现访问控制。口令是一个字符串,用来对身份进行鉴别。在获得对数据的访问权之前,通常要求用户提交一个口令,以满足安全性要求。问卷与口令有很近的亲缘关系,它也是鉴定身份的方法。问卷使用合法用户知道而其他人不大可能知道的信息,例如询问用户亲属的姓名等,这是一个常见而且应用很广的方法。还有各种用于身份鉴别的产品,它们采用了比上述方法更好的技术。例如:一些比较声音、手写签名、指纹的系统等。
3 网络安全所涉及的内容
计算机网络安全涉及的内容主要包括保密性、安全协议设计和接入控制等。
3.1 保密性
为用户提供安全可靠的通信是计算机网络最重要的服务内容。尽管计算机网络安全不仅局限于保密性,但不能提供保密性的网络肯定是不安全的。网络的保密性机制除了为用户提供通信保密之外,同时也是许多其他安全机制的基础。
3.2 安全协议设计
计算机网络的安全性协议是网络安全的一个重要内容。如果网络通信协议存在安全缺陷,那么攻击者就可能不必攻破密码体制就可获得所需要的信息或服务。目前的安全性协议主要是针对具体的攻击设计的,那么如何保证一个协议的安全性?这通常有两种方法:一种使用形式化证明一个协议是安全的;另一种使用设计者的经验来判定。
3.3 接入控制
计算机网络的一大优点就是能够共享资源,但如果这种供销没有什么限制,将带来许多安全问题,所以有必要对接入网络的权限加以控制。但由于网络是一些地理上分散的计算机系统通过通信线路互相连接起来的一个复杂系统,所以它的接入控制机制比操作系统的访问控制机制更复杂,尤其在高安全性级别的多级安全性情况下更是如此。
4 网络安全标准体系结构
事实上,网络安全体系结构中的不同层次有不同的安全功能,要采取的安全机制也是各不相同的。
4.1 用户安全层
用户安全层不属于OSI环境,由于OSI标准是不针对非法用户进行直接防范的,但是在一些非法用户进入系统之后,对网络安全就会有很大的威胁,因此,这时的用户安全层就可以对非法用户起到遏制作用。可见,网络安全层是安全服务的最基本环节,也是一项重要的安全措施。用户安全层对用户提供访问控制安全服务,可以识别非法以及合法用户。并采用加密措施、数据完整性和认证互换机制等技术,加强网络安全服务。
4.2 应用安全层
该层主要包括OSI环境的应用层、表示层和会话层,应用安全层可以对信息传输、域名服务、远程终端等网络运行指定一条有效的运行标准,为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作,还能实现数据加密和解压缩等转换功能。在这一层,用户可以实现网络身份认证、数字签名、防止否认,及加密等安全措施,不仅保护了用户信息的安全,也加强了网络信息的完整性,避免一些非法用户利用信息漏洞干扰计算机的运行。
4.3 端-端安全层
包括OSI环境的传输层端-端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。同时可以通过上一层用户提供安全服务,以及建立一条独立的链接,或者建立多条链接,以此来分散传输的数量,间断传输的时间,这些多条的传输的信息对客户来说都是透明的。端-端安全层不得采用业务量来填充技术,但其余的技术与其他安全层是相同的。但是,由于端-端安全层的协议较少,所以人们对他的关注不如子网安全层。
4.4 子网安全层
包括OSI环境的网络层,它的主要作用就是讲数据线做一定长度的分组,再将分组信息进行传递。子网安全层可以使用的安全技术种类很多,如加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性,这些也都是子网安全层本身的特点。
4.5 链路安全层
链路安全层就是利用有效手段,将已经出现错误的链接信息转化成还没有出现错误的信息进行传递。它将数据分为一个一个的数据帧,以数据帧为单位开始传递。包括OSI环境的数据链路层和物理层,物理层的规定就是网络接口,但是,要在这个环节内做安全管理是十分有限的,主要是业务量填充和加密技术。
在没有出现密码学之前,加密主要在物理层进行,但如今,已经很少在物理层上做加密处理了,因为成本高,还不利于管理。数据链路层可以采用加密技术,由于不同的链路层协议的帧格式都有区别,因此,在加密时,必须采取不同的数据帧链接,可见,在链路安全层可以采用数据加密和业务量填充技术。
5 安全体系的实现
5.1 安全服务的选择
实际实现时,我们通常是对一个具体的网络做要求,选择一个子集加以实现。然而,怎样选择合适的子集就成为了关键的问题,因为子集的选择会直接影响到网络的安全。例如,我们在物理层提供安全加密时,当密文到达通信子网,为了开展路由选择,就必须解码。此时,计算机侵袭者就可以通过非法方式获得信息。又如,仅在网络层提供数据保密服务时,外部攻击可以采取链接上获得没有加密的三层的报文信息,其余的详细信息也很容易获得。有时,子集的选择也能满足特殊的情况。例如,当只需要保护高层的安全时,使安全服务与通信子网无关,那所有的安全服务设置就可以由高层提供。
5.2 软件实现和硬件实现
通过软件实行安全管理也是可行的,其方法是,将所有的安全实现软件结合在一起,作为DTE系统软件的一部分,同时通过计算机服务语言对这些软件进行操作。但是,一味地利用软件,会增加成本和管理难度。为了提高工作效率和安全性,实现软件和硬件的结合是进行安全服务的重要手段。
5.3 安全控制器(SCU)
硬件和软件结合的方法就是设计一种安全控制器。这种控制器可有两种类型。首先是将安全服务嵌入通信控制器,这种通信控制系统可以有协议,可以实现有效的安全服务。其次是将安全服务独立到通信控制器之外,重新设计一种新的控制器。这样做可以避免修改现有的通信控制器,区分安全控制器和通信控制器。这两种安全控制器的功能都是由硬件和软件相结合实现的。
6 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。 国际上信息安全研究起步较早,力度大,积累多,应用广,在上世纪70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
安全协议作为信息安全的重要内容,其形式化方法分析始于上世纪80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
7 结束语
网络安全的重要性已经有目共睹,特别是随着全球信启、基础设施和各个国家的信息基础逐渐形成,信息电子化己经成为现代社会的一个重要特征。信息本身就是时间、就是财富、就是生命、就是生产力。因此,各国开始利用电子空间的无国界性和信息战来实现其以前军事、文化、经济侵略所达不到的战略目的。随着计算机技术的高速发展,攻击网络的技术的不断更新,单一的安全防护策略则是不安全的,网络安全将是一个系统的概念。未来的计算机网络安全防护策略方向应该是安全措施高度综合集成的。
参考文献
[1] 赵立志,林伟.浅析网络安全技术[J]. 民营科技, 2008,(3):193.
[2] 李铁.网络安全层次分析[J]. 甘肃科技, 2008,24(3):16-17.
[3] 杨战武.网络安全技术探讨[J].中国科技信息,2008,(6):109-110.
[4] 姜健.计算机通信网络安全与防护策略[J].科技咨询,2008,(4):113-114.
作者简介:
汪澍萌(1978-),男,汉族,江苏扬州人,扬州市职业大学,讲师;研究方向:计算机网络、现代教育技术。
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
关键词:军事网络;网络安全;网络防护
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)23-5229-03
随着军队信息化建设的深入发展和信息网技术的创新,军队计算机网络在经历二十多年的发展后,目前在作战、训练、政工、后勤、装备等部门都已初具规模,担负的使命任务也越来越重要,网络中存储海量的信息数据量越来越大。如何在实现军用网络既有功能的基础上,确保网络的高度机密和安全,始终是一项迫切需要解决的问题。
1 军事网络现状分析
目前我军在网络应用方面还处于初级阶段,全军指挥自动化网和综合信息网的建设正面临转型发展期,大跨度的网络发展面临网络安全危机。主要存在以下几个方面的问题:
1)网络信息安全面临严重威胁
由于军队网络都采用了国际互联网的体系结构,网络协议的开放性和主流操作系统的通用性,使得军队网络无法避免存在安全隐患。另外,军用计算机设备及芯片大多从市场上购置,可能被潜在对手预留“后门”或埋有病毒。
2)网络建设无统一标准及不可信接入
由于缺乏顶层设计与管理,目前全军各单位之间数据格式标准不同,接口不统一,之间资源共享率低,而且大多基于网络的应用系统和软件的研发都是独自组织,由此出现军事网络建设中“大网套小网,小网联大网,烟囱林立,漏洞频出”的现象。
3)网络安全风险评估技术发展和应用滞后
常见的军事信息网络风险评估主要依靠人工评估和自动评估两种方法。目前人工评估在我国还占有相当的比例,尽管人工评估依靠专家经验,对评估要素收集比较全面,但容易引入主观因素;而自动评估技术很多方法介于实时监测和静态评估之间,在真实网络环境中可操作性不强,在研究方面还欠缺系统性。
4)网络用户水平和安全维护管理机制有待完善
与世界先进国家相比,我军用网络还处于初步阶段,主要以建设和使用为目的,信息保护和安全的总体方案还没得到充分重视,对网络的维护、管理不够,职责不清。用户水平和安全意识与网络安全维护需求还有一定的差距。
2 攻击军事网络的主要途径
1)计算机病毒
计算机病毒被明确定义为:“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码”。计算机病毒可存驻在计算机硬盘或其他设备中,可通过计算机网络进行传输。其自身具备:繁殖性、破坏性、传染性、潜伏性、隐蔽性及可触发性。在军事斗争中,病毒可以通过电磁辐射注入计算机,将病毒调制到电子设备发射的电磁波中,利用对方无线电接收机从电子系统薄弱环节进入信息网络。此外还有固化病毒、节点注入和网络传播等手段。目前,许多国家都在研制和试验用于军事目的的计算机病毒。如美国中情局和国防保密局曾招标研制“军用病毒”,将病毒和密码固化在出口的集成电路芯片中,平时长期潜伏,战时随时遥控触发。由于计算机病毒的种类和破坏威力在高速增长,病毒机理和变种不断进化,给病毒的防范工作带来巨大困难,计算机病毒已经成为军事网络安全的第一威胁。
2)黑客攻击
由于军事网络存在多种漏洞和缺陷,主要包括:软硬件缺陷、人为失误、网络协议的缺陷以及管理缺陷,这些为黑客攻击提供了攻击基础。目前黑客的主要攻击方式分为:
a)木马程序
区别于一般病毒,木马主要通过自身伪装,吸引用过下载,以此打开被种者电脑,进行任意破坏、窃取文件,甚至远程操控。
b)欺骗协议
针对网络协议缺陷,假冒身份,以欺骗方式获取相关特权进行攻击或截取信息,主要包括源路由欺骗攻击、Ip欺骗攻击、ARP欺骗攻击和DNS欺骗攻击
c)攻击口令
黑客把破译用户的口令作为攻击的开始,以此获得网络或机器的访问权和管理权,就可以随意窃取、破坏和篡改直至控制被侵入方信息。
d)Dos攻击
即拒绝服务攻击,主要包括攻击计算机网络带宽和连通性,其目的使计算机或网络无法提供正常的服务。目前在此基础上发展成DDos攻击,即分布式拒绝服务。
e)缓冲区溢出
攻击者输入一超长字符串,植入缓冲区,再向一有限空间植入超长字符串,导致两种后果:一是引起程序失败,可能导致系统崩溃;二是可执行任意指令。
而黑客攻击事件层出不穷。如在2011年6月23日,黑客组织侵入亚利桑那州公共安全部门盗取700份文件。被公布的文件包括数百份私人信息、培训手册、个人邮箱、分类文档等诸多资料。随后,该组织成功入侵了美国议会网站,贴出了文件系统的基本信息,包括用户姓名和网页服务器的配置文件。6月底,黑客组织公布了美国FBI附属机构infraGard将近180名员工的邮箱、登陆证书和其他个人化认证信息,并迫使中情局对外公众网站关停数小时。
3)设备攻击
主要指电磁辐射泄密。电磁辐射主要来源于计算机及其设备和通信设备在信息处理时产生的电磁泄漏。利用高性能的电磁辐射接受等装置截取信息。大量的成熟产品说明,在一定距离上使用检测设备可以接受到任意一台为采取安全保护措施的计算机屏幕信息。如美国96年就推出了DateSun接收机,其平均接受距离为270米。另外网络传输的介质主要是电缆和电话线路,这为敌方利用网络窥探器来截获传输的数据提供可乘之机。如94年美国一名黑客在许多主机和主干网上建立窥探器,收集了近10万个口令和用户名。
4)军队内部泄密
网络管理员的文化素质和人品素质影响网络安全。网络管理员是最直接接触网络机密的人,他们有机会窃取用户密码以及其它的秘密资料,并且他们的行为可能会破坏网络的完整性,是对网络安全最直接的威胁。此外网络操作人员的非法操作方式,如私自连入互联网、使用非保密移动介质接入军网,都会导致巨大的损失和灾难。
3 相应防护措施
1)病毒防护措施
对于病毒的防护,主要可从加强以下几方面操作:
a)安装最新版杀毒软件,运行即时监控功能。
b)及时给系统打补丁。
c)不随意打开来历不明的软件和邮件。
d)使用安全性能高的路由器,针对不同协议攻击方式配置好相应的系统安全策略。
e)采用安全系数高的密码
f)对密码输入长度进行校验。
2)网络防火墙措施
网络防火墙是由硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。防火墙在被保护内部网和外部网络之间形成一道屏障,建立一个安全网关,防止发生不可预测、潜在破坏入。它可通过检测、限制、更改跨越防火墙的数据流在实现网络的安全防护。而且采用的防火墙必须具备以下四方面的特征:所以在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响;使用当前新的信息安全技术。其中所用到技术包括:信息过滤技术、网络地址转换技术以及、检测技术。
3)入侵检测措施
自1987年入侵检测系统模型被提出后,网络入侵检测技术得到迅速发展,目前已逐步取代基于主机的检测而成为入侵检测研究的主流。网络入侵检测是通过分析网络传送的网络包来实现对攻击的检测。入侵检测技术主要分为两类,即误用检测和异常检测。误用检测的基础是建立黑客攻击行为特征库,采用特征匹配的方法确定攻击事件。异常检测是通过建立用户正常行为模型,以是否显著偏离正常模型为依据进行入侵检测。以往有多种机器学习方法被引入入侵检测系统,如神经网络、遗传算法、聚类算法等。目前也有多种检测技术被国内外研究。军网中需要挑选合适的入侵检测系统,从而能运行稳定而且能有效快速检测到绝大部分攻击行为。像现在使用的JUMP网络入侵检测系统,它集成了国内外最新的网络攻击行为特征数据库,检测功能强大。
4)数据加密措施
由于军队内部的数据的保密性不言而喻,为保证网络信息数据的安全,数据加密措施应运而生。一般数据加密算法包括斯四种置换表算法、改进的置换表算法、循环移位算法和循环冗余校验算法。部队常用的数据加密技术一般包括以下三类:
a)链路加密
在网络通信链路上对信息进行加密,通常用硬件在物理层实现。实现简单,即把密码设备安装在两个节点的线路上,使用相同的密钥即可。它主要保护在信道或链路中可能被截获的部分。但有两个缺点:一是独立密钥多,成本高,二是报文以明文方式通过中央处理机,容易受到非法窃取。
b)节点加密
是链路加密的改进,在协议运输层进行加密。首先解密接受到的数据,然后在节点的安全模块中使用不同的密钥对数据进行加密。节点加密也是每条链路使用一个专用密钥,但密钥之间变换在保密模块中进行。
c)端端加密
在网络层以上加密。在整个数据传输过程中,数据一直以密文的形式传输,直到数据传输到接收人之前都不进行解密,达到一种高度的保密。目前端端加密一般由软件完成,采用脱机调试方式。也可用硬件实现,但难度较大。
5)人员监督措施
在军事信息安全防护方面,要始终做好人的工作。一是加强对军事网络安全的认知;二是提高素质;三是严厉打击各种泄密、卖密行为。
6)防辐射措施
目前针对军队辐射泄漏,主要采用:
a)加载干扰器方法
干扰器其功能是对计算机设备产生的电磁辐射进行干扰,以消除潜在的信息泄漏。一般干扰器与计算机同步启动,利用干扰器发射的干扰信号进行干扰,以电子信息对抗的方法防止周围窃密者截获信号。
b)建立专用机房
根据物理学屏蔽原理,在机房外部使用金属网罩并接上地线可以屏蔽任何电磁辐射。
7)安全风险评估措施
选择恰当的评估属性参数,定义在可操作角度评估军事信息网络面临的风险参数,建立以时间采样统计值为主的权值相关的网络风险评估模型。该文采用文献的模型,选取的评估指标包括:军事信息网全网传信总延时Td、网络和节点吞吐量Tp、网络延迟抖动Tw、每节点路由表更换的周期Pe、系统服务响应时间Tr和系统恢复时间Tc。考虑各因素的权重,得出评估值公式为:
SC=C*P=C1*P1+C2*P2+…+Cn*Pn
其中:0≤P1 ,P2,…,Pn≤1; P1+P2+…+Pn=1
根据评分给出网络风险评估结果,进一步加强军事网络薄弱环节。在平时对军事网络风险评估,可以在战时提前对军事信息安全查缺补漏,了解未来的打击方向。
4 结论
未来的战争中,军事信息网络必将成为敌我双方争夺的主要战场。网络安全关系到战争的走势,甚至直接决定战争的结局。因此,完善网络建设,加强我军网络安全防护,尽快形成具有我军特色的、适应信息化建设和未来高科技战争需要的安全体系是当前的重要任务。
参考文献:
[1] 鱼静.网络中心战下军事信息网络风险评估技术的研究[J].计算机安全,2011(2).
[2] 周矛欣.黑客攻击的常见方式及预防[J].中国教育信息化高教职教,2010(9).
[3] 王秀和.计算机网络安全技术浅析[J].中国教育技术装备,2007(5).
[4] 高燕.论军事信息网络安全面临的主要威胁[J].经济研究导刊,2011(19).
[5] 朱宁宁.军事网络安全防御的研究[J].电脑知识与技术,2011,07(1).