前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电网网络安全应急预案主题范文,仅供参考,欢迎阅读并收藏。
[关键词] 计算机网络 电子商务 安全技术
一、引言
近几年来,电子商务的发展十分迅速,电子商务可以降低成本,增加贸易机会,简化贸易流通过程,提高生产力,改善物流和金流、商品流、信息流的环境与系统。虽然电子商务发展势头很强,但其贸易额所占整个贸易额的比例仍然很低。影响其发展的首要因素是安全问题,网上的交易是一种非面对面交易,因此“交易安全”在电子商务的发展中十分重要。可以说,没有安全就没有电子商务。电子商务的安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全包括计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
二、电子商务网络的安全隐患
1.窃取信息:由于未采用加密措施, 数据信息在网络上以明文形式传送, 入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析, 可以找到信息的规律和格式, 进而得到传输信息的内容, 造成网上传输信息泄密。
2.篡改信息:当入侵者掌握了信息的格式和规律后, 通过各种技术手段和方法, 将网络上传送的信息数据在中途修改, 然后再发向目的地。这种方法并不新鲜, 在路由器或者网关上都可以做此类工作。
3.假冒:由于掌握了数据的格式, 并可以篡改通过的信息, 攻击者可以冒充合法用户发送假冒的信息或者主动获取信息, 而远端用户通常很难分辨。
4.恶意破坏:由于攻击者可以接入网络, 则可能对网络中的信息进行修改, 掌握网上的机要信息, 甚至可以潜入网络内部, 其后果是非常严重的。
三、电子商务交易中应用的网络安全技术
为了提高电子商务的安全性,可以采用多种网络安全技术和协议,这些技术和协议各自有一定的使用范围,可以给电子商务交易活动提供不同程度的安全保障。
1.防火墙技术。防火墙是目前主要的网络安全设备。防火墙通常使用的安全控制手段主要有包过滤、状态检测、服务。由于它假设了网络的边界和服务,对内部的非法访问难以有效地控制。因此,最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络(如常见的企业专用网)。防火墙的隔离技术决定了它在电子商务安全交易中的重要作用。目前,防火墙产品主要分为两大类:基于服务方式的和基于状态检测方式的。例如Check Point Firewall-1 4.0是基于Unix、WinNT平台上的软件防火墙,属状态检测型;Cisco PIX 是硬件防火墙,也属状态检测型。由于它采用了专用的操作系统,因此减少了黑客利用操作系统G)H 攻击的可能性;Raptor完全是基于技术的软件防火墙。由于互联网的开放性和复杂性,防火墙也有其固有的缺点:(1)防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制地向外拨号,一些用户可以形成与Internet的直接连接,从而绕过防火墙;造成一个潜在的后门攻击渠道,所以应该保证内部网与外部网之间通道的唯一性。(2)防火墙不能防止感染了病毒的软件或文件的传输,这只能在每台主机上装反病毒的实时监控软件。(3)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击,所以对于来历不明的数据要先进行杀毒或者程序编码辨证,以防止带有后门程序。
2.数据加密技术。防火墙技术是一种被动的防卫技术,它难以对电子商务活动中不安全的因素进行有效的防卫。因此,要保障电子商务的交易安全,就应当用当代密码技术来助阵。加密技术是电子商务中采取的主要安全措施, 贸易方可根据需要在信息交换的阶段使用。目前, 加密技术分为两类, 即对称加密/对称密钥加密/专用密钥加密和非对称加密/公开密钥加密。现在许多机构运用PKI(publickeyInfrastructur 的缩写, 即“公开密钥体系”)技术实施构建完整的加密/签名体系, 更有效地解决上述难题, 在充分利用互联网实现资源共享的前提下从真正意义上确保了网上交易与信息传递的安全。在PKI 中, 密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保密方式向他人公开, 而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密的加密, 专用密钥则用于对加信息的解密。专用密钥只能由生成密钥对的贸易方掌握, 公开密钥可广泛, 但它只对应用于生成该密钥的贸易方。贸易方利用该方案实现机密信息交换的基本过程是: 贸易方甲生成一对密钥并将其中的一把作为公开密钥向其他贸易方公开; 得到该公开密钥的贸易方乙使用该密钥对机密信息进行加密后再发送给贸易方甲; 贸易方甲再用自己保存的另一把专用密钥对加密后的信息进行解密。贸易方甲只能用其专用密钥解密由其公开密钥加密后的任何信息。
3.身份认证技术。身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。防止攻击者假冒、篡改等。一般来说。用人的生理特征参数(如指纹识别、虹膜识别)进行认证的安全性很高。但目前这种技术存在实现困难、成本很高的缺点。目前,计算机通信中采用的参数有口令、标识符、密钥、随机数等。而且一般使用基于证书的公钥密码体制(PK I) 身份认证技术。要实现基于公钥密码算法的身份认证需求。就必须建立一种信任及信任验证机制。即每个网络上的实体必须有一个可以被验证的数字标识,这就是“数字证书(Certifi2cate)”。数字证书是各实体在网上信息交流及商务交易活动中的身份证明。具有唯一性。证书基于公钥密码体制,它将用户的公开密钥同用户本身的属性(例如姓名,单位等)联系在一起。这就意味着应有一个网上各方都信任的机构,专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(certificate authorities,简称CA)。CA用自己的私钥对所有的用户属性、证书属性和用户的公钥进行数字签名,产生用户的数字证书。在基于证书的安全通信中,证书是证明用户合法身份和提供用户合法公钥的凭证,是建立保密通信的基础。因此,作为网络可信机构的证书管理设施,CA主要职能就是管理和维护它所签发的证书,提供各种证书服务, 包括: 证书的签发、更新、回收、归档等。
4.数字签名技术。数字签名也称电子签名,在信息安全:包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名是非对称加密和数字摘要技术的联合应用。其主要方式为:报文发送方从报文文本中生成一个128b it的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
四、结束语
电子商务安全对计算机网络安全与商务安全提出了双重要求,其复杂程度比大多数计算机网络都高。在电子商务的建设过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的电子商务体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
参考文献:
[1]肖满梅罗兰娥:电子商务及其安全技术问题.湖南科技学院学报,2006,27
关键词:茂名地区;电力调度数据网;网络概况;网络优化;;调整研究
1茂名地区电力调度数据网网络概况
茂名地区调度数据网一期网络覆盖了茂名地区内主调、备调及220kV变电站。由于茂名地区电力光缆网、传输网建设相对滞后,网络通信链路、电力传输架构、网络安全可靠性、业务维护等多方面存在不足,所以电力调度数据网历经2期建设。本文结合茂名电力调度数据网改造项目,对该网进行了优化调整与改造措施。茂名调度数据网工程,分为2期建设,第一期建设茂名地区调度数据网的骨干、汇聚层节点和220kV变电站接入节点,第二期建设茂名地区110kV变电站接入节点。自2007年立项建设至今,一期工程建设实现覆盖茂名地区内主调、备调及220kV变电站。地区调度数据网二期工程建设实现覆盖110kV(含35kV)变电站及地调电厂的调度数据网与现有覆盖220kV变电站及直调电厂的调度数据网互相独立建设,同时运行。
1.1一期项目网络概况
一期调度数据网覆盖了茂名主调、备调及220kV变电站。网络结构为3层:核心层、汇聚层与接入层,根据调度数据的业务流向,采用星型连接的拓扑结构。共配置有4台核心7750 SR-7路由器,7台7710 SR-c12及1台7750 SR-c12汇聚路由器,5台7710 SR-c4及1台7710 SR-c12接入路由器,16台OS6224/6248及1台MES2548业务接入交换机。
1.2二期项目网络概况
地区调度数据网二期工程应采用IP over SDH的技术体制,符合《广东电网公司调度数据网建设实施规范》的规范要求,网络采用POS、GE或光纤直连技术组网,110kV厂站采用双链路上连至网络汇聚层节点,每链路带宽不低于2Mbits。
茂名调度数据网二期网络架构为3层网络架构,分别称为核心层、汇聚层、接入层,各地区根据其网络规模和调度管理关系对以上分层进行合并或调整。现共有69台设备,分别为:核心SR8812,共计3台;汇聚SR8805,共计9台;接入SR5040,共计54台;接入交换机SR3660,共计1台;调度接入交换机S5500EI,共计2台。茂名供电局调度数据网二期OSPF区域拓扑示意如图1所示。
1.3两级网络互连
茂名地区调度数据网二期工程核心层配置2台核心路由器,2台路由器分别通过1条链路上连至各地区现有覆盖220kV站的调度数据网(将划归省骨干调度数据网)。为充分利用现有网络链路资源,提高可靠性,此2台设备及2条链路均采用与现有覆盖220kV站调度数据网核心路由器本地背靠背互连的方式。在本地背靠背互连采用GE接口,2条互联链路为互为备份的方式(一般设备或链路编号小的链路为主用链路)。主备用互连链路应满足电路无关性要求。互连链路可用率应达到99.9%,且误码率低于10。
2电力调度数据网网络年度定检
2.1定检目的
通过检查调度数据网网络系统的软、硬件设备,分析设备性能、告警、端口资源、链路状态等是否运行正常,梳理缺陷并跟进整改,确保网络稳定高效运行。
2.2定检方法
定检方法可采用网管检查与现场检查相结合的方式。网管检查是利用网管系统对网元的实时数据采集功能,实现对网络设备的远程状态定检,对比现场检查,具有内容全面、操作简便、效率高、维护成本低等特点。现场检查主要针对机房环境、光缆空余纤芯以及通信电源。维护人员须前往所辖区域内通信机房,对现场环境进行检查,包括温湿度、清洁度、电源供电、设备接地、配套设施等方面,以保障设备良好的运行环境。
3系统检查与运行维护
3.1网管系统检查
茂名调度数据网采用统一网络管理,在茂名地调建设统一调度数据网网管中心,各县调运维班组设置网络维护终端。各县调运维班组本地负责运行维护,可通过远程维护终端发现、定位网络故障。良好的网管运行状态对网络数据配置、维护有着重要意义与作用,决定着网络的正常工作、运行与安全。网管是网络监控的核心。茂名调度数据网网管中心配置网络设备网管和MPLS VPN网管。网管系统定检内容主要包括3点内容:网管系统硬件运行状态检查;网管软件运行状态检查;网管服务器环境。以上定检内容可全面检测网管系统目前的运行状态。
3.2设备状态检查
设备状态检查是通过网管检查网络设备的运行状况,包括设备性能、告警分析、端口资源、链路状态等。网管检查是调度数据网年度定检的主要内容,按照作业指导书实施定检,可以有效地发现设备运行过程中存在的隐患和不足,为网络维护和网络优化提供依据。设备定检内容包括10点:硬件状态、软件版本、告警日志、系统配置、安全配置、接口配置、路由协议配置、路由协议状态、配置合理性和链路性能。
3.3运维及整改案例
通过日常设备巡检和设备运行状态定检可以及时发现潜在问题或实时故障,进而采取应急方案,提出整改建议并按整改措施进行处理,消除网络隐患,保证茂名地区调度数据网运行稳定。以下简单举例:
(1)99%的接入节点路由器设备的E1端口使用率为100%,且2条上联链路均集中在同一块子板卡上,存在链路安全隐患。
(2)汇聚层节点金山站于2013年8月10日曾出现光口子板吊死现象(经重新拔插后,该子板恢复正常运行,故障己确认,并消除)。
(3)接入路由器是采用可插拔子板卡组成的,与二次安防链接的业务,均放置在同一块百兆以太网子板上,存在一定的硬件故障隐患。
可采用以下整改建议:
(1)目前茂名供电局仅备有2块E1子板卡,调度二期网络接入站点比较多,在出现较大范围的2M板卡故障时,互联接入链路将无法得到及时的修复,存在单业务板卡硬件故障安全隐患,建议申购一定数量的该类E1接口子板,或者在每个接入节点上增加子板及改变现有2M上联方式。
(2)有一些硬件上可能导致设备元器件安全隐患,考虑到调度数据网调度业务的重要性,建议多备些备品,以作应急用。
(3)六运站一合水站2M接入链路存在不稳定现象,经现场重新处理2M头,及线缆重新插拔接触,该故障己消缺,却影响了汇聚节点六运站loopbacko的不可达,经过检查及比对配置,检查系统log记录,均没有发现异常或配置错误,通过人为远程关闭该接入端口及重新开启,该故障消失,loopbacko恢复可管理状态,己将相关情况反馈给原厂商,作进一步的分析。
4调度数据网故障处理案例分析
4.1分析故障基本情况
220kV榭平岭阿尔卡特S6224与阿尔卡特S7710-C4 2条互联光路均中断,导致220kV榭平岭站自动化业务出现中断。
4.2故障原因
省调度数据网中调至220kV榭平岭站非实时业务通道中断。登录网关后发现,阿尔卡特SR7710-C4与阿尔卡特S6224 2条互联光路均中断,6224设备脱管,导致220kV榭平岭站非实时业务均中断。检查现场尾纤没有问题,通过逐段故障排查,发现光路的(继保室与通信室24芯DUCT联络光缆2)部分纤芯衰耗过大,使得路由器收光过低,是光路中断引起的。
4.3故障处理
将阿尔卡特SR-C4至S6224 2条联络光路转至第1芯、2芯、3芯、4芯,11时10分,光路恢复正常,相应的非实时业务也恢复正常。通过申请2016年技改,更换220kV榭平岭站(继保室与通信室24芯DUCT联络光缆2),彻底消除患。
5优化调整
茂名市电力调度数据网的优化调整改造工程,对于省网部分,主要通过链路调整、汇聚点降级为接入点的方式进行;对于地网部分,则通过新建汇聚层,并将110kV站点割接至该汇聚层的方式进行:(1)现有的核心设备可作为省网的核心使用,改造相应的核心设备均部署在茂名局通信中心机房,实现核心层拓扑结构设计。(2)采用将其从汇聚点降级为接入点的方式进行,并将其上联链路由155M的POS链路调整为E12M链路进行汇聚层网络结构方式的调整。各汇聚点的2条链路采用分别通过不同的传输网承接的方式开通,增强网络通道的生存性。(3)对于省级调度数据网220kV和地区网的110kV接入节点,根据其业务流向,接入层节点将采用星型连接的拓扑结构,进行接入层网络结构方式的调整,就近接入到汇聚节点。(4)电力调度数据网承载业务中对实时业务包括调度自动化、继电保护管理信息等执行控制命令,提高实时性要求;非实时业务中电能量计量等对实时性要求低执行监测,进行业务接入方式的调整。