网络安全论文精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全论文主题范文,仅供参考,欢迎阅读并收藏。
第1篇:网络安全论文范文
1.1系统功能
在网络安全态势感知系统中,网络服务评估系统的数据源是最重要的数据源之一。一方面,它能向上层管理者提供目标网络的安全态势评估。另一方面,服务数据源为其它传感器(Log传感器、SNMP传感器、Netflow传感器)的数据分析提供参考和依据[1]。
1.2主要功能
(1)风险评估,根据国家安全标准并利用测试系统的数据和主要的风险评估模型,获取系统数据,定义系统风险,并提出应对措施[2]。
(2)安全态势评估与预测,利用得到的安全测试数据,按照预测、随机和综合量化模型,对信息系统作出安全态势评估与预测,指出存在的安全隐患并提出安全解决方案。
(3)建立数据库支撑,包括评估模型库、专家知识库、标准规范库等。
(4)输出基于图表样式和数据文件格式的评估结果。
2系统组成和总体架构
2.1系统组成
网络安全评估系统态势评估系统是在Windows7平台下,采用C++builder2007开发的。它的数据交互是通过核心数据库来运行的,为了使评估的计算速度和读写数据库数据更快,应将子系统与核心数据库安装在同一机器上。子系统之间的数据交互方式分别为项目数据交互和结果数据交互。前者分发采用移动存储的形式进行,而后者的提交获取是通过核心数据库运行。
2.2总体架构
系统包括人机交互界面、控制管理、数据整合、漏洞扫描、安全态势评估和预测、本地数据库等六个模块组成。网络安全评估系统中的漏洞扫描部分采用插件技术设计总体架构。扫描目标和主控台是漏洞扫描子系统的主要部分,后者是漏洞扫描子系统运行的中心,主控台主要是在用户打开系统之后,通过操作界面与用户进行交流,按照用户下达的命令及调用测试引擎对网络上的主机进行漏洞测试,测试完成后调取所占用的资源,并取得扫描结果,最后形成网络安全测试评估报告,通过这个测试,有利于管理人员发现主机有可能会被黑客利用的漏洞,在这些薄弱区被黑客攻击之前对其进行加强整固,从而提高主机网络系统的安全性。
3系统工作流程
本系统首先从管理控制子系统获取评估任务文件[3],然后根据任务信息从中心数据库获取测试子系统的测试数据,再对这些数据进行融合(加权、去重),接着根据评估标准、评估模型和支撑数据库进行评估[4],评估得到网络信息系统的安全风险、安全态势,并对网络信息系统的安全态势进行预测,最后将评估结果进行可视化展示,并生成相关评估报告,以帮助用户进行最终的决策[5]。
4系统部分模块设计
4.1网络主机存活性识别的设计
“存活”是用于表述网络主机状态[6],在网络安全评估系统中存活性识别流程对存活主机识别采用的方法是基于ARP协议。它的原理是当主机或路由器正在寻找另外主机或路由器在此网络上的物理地址的时候,就发出ARP查询分组。由于发送站不知道接收站的物理地址,查询便开始进行网络广播。所有在网络上的主机和路由器都会接收和处理分组,但仅有意图中的接收者才会发现它的IP地址,并响应分组。
4.2网络主机开放端口/服务扫描设计
端口是计算机与外界通讯交流的出口[7],软件领域的端口一般指网络中面向连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和FO(基本输入输出)缓冲区[8]。
4.3网络安全评估系统的实现
该实现主要有三个功能,分别是打开、执行和退出系统[9]。打开是指打开系统分发的评估任务,显示任务的具体信息;执行任务指的是把检测数据融合,存入数据库;退出系统是指关闭系统。然后用户在进行扫描前可以进行选择扫描哪些项,对自己的扫描范围进行设置。进入扫描后,界面左边可以显示扫描选项,即用户选中的需要扫描的项[10]。界面右边显示扫描进程。扫描结束后,用户可以点击“生成报告”,系统生成用户的网络安全评估系统检测报告,最终评定目标主机的安全等级[11]。
5结束语
(1)系统研究还不够全面和深入。网络安全态势评估是一门新技术[12],很多问题如规划和结构还没有解决。很多工作仅限于理论,设计方面存在争论,没有统一的安全态势评估系统模型[13]。
(2)网络安全状况评估没有一致的衡量标准。网络安全是一个全面统一的概念[14],而网络安全态势的衡量到现在还没有一个全面的衡量机制[15]。这就导致现在还没有遵守的标准,无法判断方法的优劣。
第2篇:网络安全论文范文
数据加密技术
古典加密方法主要有两类,即替换密码和易位密码。替换密码的原理是将每个字母或每组字母用另一个或一组伪装字母所替换,例如字母a~z的自然顺序保持不变,但使之与D,E,F,G,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z,A,B,C对应。若明文为Caesarcipher,则对应的密文为FDHVDUFLSKHU。这种加密方法比较简单,容易破解。古典加密技术使用的算法相对简单,它主要是靠较长的密钥来实现信息的保密。今天的加密方法与传统加密技术相反,它使用很短的密钥,但算法设计非常复杂,主要是防止信息截取实现密码破译。这其中的关键是密钥,它是密码体制安全的重中之重。密码体制分为对称密码体制、非对称密码体制和混合密码体制。对称密码体制又名单钥密码体制,非对称密码又名双钥密码体制,而混合密码体制是单钥密码体制和双钥密码体制的混合实现。例如:分组密码和公开密钥密码体制。
1分组密码分组密码属于对称密码体制(单钥密码体制)中的一种,它的原理是将整个明文进行分组,以组为单位来进行加密和解密。其中最常用的数据加密标准是DES(美国的数据加密标准)和IDEA(国际数据加密算法)。分组密码在加密时,首先将拟加密的数据信息按照64比特进行分组,然后用长度是56比特的密钥对数据分组进行变换。解密时,用相同的密钥将加密后的数据信息分组做加密变换的反变换,即可得到原始数据信息分组。
2公开密钥算法公开密钥算法属于非对称密码体制,它是一种全新的加密算法。该系统在加密时所使用的密钥与在解密过程中所使用的密钥是完全不同的,而且在解密时所使用的密钥是不能够从加密时所使用的密钥中计算出来的。这种加密密钥是可以公开的,每个使用者都能使用加密密钥来加密自己所发送的信息数据,所以也被人们称之为公开密钥算法。但是,要想读懂发送者发出的信息数据内容,就必须要知道解密密钥,这种解密密钥被称之为私有密钥。在已经使用的公开密钥密码体制中,RSA算法使用得最为广泛。数学上,两个大素数相乘容易,但要对其乘积进行因式分解却极其困难,所以RSA算法将乘积公开作为加密密钥。
数字签名技术
数字签名是以电子形式将信息存于数据信息中,它是信息发送者为防止数据泄密而输出的一段别人无法伪造的数字串,是对信息发送者发送信息真实性的一个有效证明。它通过采用公钥加密技术,作为其附件的或逻辑上与之有联系的数据,用于辨别数据签署人的身份,并表明签署人对数据信息中包含内容的认可,它是不对称加密算法的典型应用。经过数字签名后的文件,其完整性是很容易验证的。它不同于纸质文件,为证明文件的真实性,要求文件盖章要骑缝,签名要骑缝,电子签名文件具有不可抵赖性,也不需要笔迹专家。数字签名技术就是对数据信息做出特意的密码变换,将摘要信息用私有密钥进行加密,然后与原文件信息一起同时传送给接收人,它允许接收人用于确定所接收数据单元的完整性和发送者的真实身份,并对数据单元进行保密,防止被他人盗取。使用数字签名可以实现接收人能够确认发送人对报文的签名,而发送人在事后对所发送的信息和签名不能抵赖,同时接收方不能伪造对报文的签名等三个功能。
数字签名可以通过公钥密码体制和私钥密码体制获得,目前常用的是基于公钥密码体制的数字签名。它又包括普通数字签名(RSA)和特殊数字签名。普通数字签名,采用公开密钥加密法,其算法有多种,例如RSA、盲签名、签名、多重签名等等。
(1)盲签名:即签名者不公开自己的身份,首先将自己的信息进行盲化,然后再让签名对盲化的信息进行签名。当接收者收到该信息后,只要去掉其中的盲因子,就可以得到签名人关于原消息的签名。盲签名多用于电子选举、电子商务等活动中。比如电子选票,我们希望该选票是有效的,但并不希望知道该选票是谁填写的。
第3篇:网络安全论文范文
在网络安全教学中,作为企业网络管理者,最开始我们需要了解的是:(1)公司网络拓扑结构,虽然企业不一定给你最完整的资讯,但是一定会告诉我们有哪些基本的网络设备,我们至少应该知道这些设备可以干什么,然后清楚地意识到在不久的将来我们都需要或多或少的对它进行配置[3]。例如:交换机、路由器、防火墙、VPN、无线AP、VOIP及内容过滤网关等[4]。(2)企业还会告诉我们一些功能服务器,这些也是我们日后需要进行管理的对象。例如:企业AD、DHCP、DNS、FTP、WEB、网络ghost服务器、Share服务器、WSUS服务器和Exchange服务器等等。我们需要记下这些网络设备和功能服务器的IP地址。
2企业网络安全管理的方式
2.1企业网络安全管理可能遇到的问题
作为企业网络安全实验教学,我们需要尽可能的模拟更多的企业网络问题给学生来思考和解决:(1)给你一个IP地址,你能准确地找到这台机器么?你需要什么辅助你?(2)有人说他能上内网,但外网不行,你会想到什么?(3)有人说他QQ还可以聊天,但网页打不开,你怎么想?以上模拟的问题都是企业中最容易出现的,在让学生思考以上问题的同时,以下问题才是需要让学生们在模拟企业网络管理者的时候需要规划的:(1)研发部门的服务器突然增加了,可是给他们的IP地址不够分了,怎么办?(2)财务数据库服务器数据很敏感,可是外地分公司的业务又必须访问,你将制定怎样的策略?(3)规划的网络是固定IP还是自动分配呢?
2.2解决问题的注意事项
2.2.1节点安全
更多的时候我们需要让学生们了解到通过各种软件保障设备的稳定运行是预防节点安全的主要手段。我们可以通过监控系统日志实现对系统信息日志、权限管理日志和资源使用率日志的管理;通过监控硬件状态实现对温度、电压、稳定性和硬件故障的管理;通过异常警报实现对冲突异常、侵入异常、失去功能异常、突发性性能异常等状况的管理;通过容灾实现对硬件损坏、停电、失火、散热失效等的管理。
2.2.2软件安全
最复杂最难管理的就是软件安全,因为我们所有的服务器硬件都是为运行在上面的软件服务的,而软件又都是由人根据需求编写代码开发出来的应用程序。往往一款软件需要很多人的协作开发,由于各种局限性,在开发过程中无法考虑各种情况,因此软件都会有各种各样的缺陷,需要不断的修正。有的缺陷是无伤大雅的,而有的缺陷却是致命的。你不是开发者,这些缺陷对你来说又是不可控的。你只能被动的防范这些缺陷,而往往修补这些缺陷都发生在缺陷产生危害之后。然而装的软件越多,这些缺陷也就越多。更要命的是,病毒、木马它们也是软件,操作系统自身无法识别。杀毒软件可以处理病毒、木马,但是安全软件一不小心也会成为不安全的因素。例如:金山网盾事件、暴风影音事件等。尽管如此,我们依然可以防范,那就是把握以下原则:(1)最少安装原则:提供什么服务就只装什么服务或软件,其他一律屏蔽;(2)最少开放原则:需要什么端口就开放什么端口,其他一律屏蔽;(3)最小特权原则:给予主体“必不可少”的权限,多余的都不开放。
2.2.3数据安全
不论是节点安全还是软件安全,我们最终的目的都是为了保障数据安全。这也是网络安全的终极意义。这是我们在课堂上务必让学习网络安全的学生了解的内容。数据安全其实是数据保管安全,涉及以下4个方面:(1)数据在存储介质上的物理安全。即防范存储介质损坏造成的数据丢失隐患。(2)数据在存储介质上的逻辑安全。即防范因各种操作造成的数据逻辑破坏、删除或丢失的隐患。(3)数据在空间上的安全。即防范因各种灾难造成当地的整个数据完全损毁的隐患。(4)数据在管理上的安全。即防范敏感或机密数据通过公司内部员工人为泄露的隐患。数据传输安全是互联网安全的重点,主要防范重点如下:(1)数据在传输过程中被阻碍(例如,DDOS攻击);(2)数据在传输过程中被窃取(因为无线上网设置不当造成公司资源外泄);(3)数据在传输过程中被修改(网页注入式攻击)。
3结束语
第4篇:网络安全论文范文
【关键词】网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
第5篇:网络安全论文范文
众所周知,只要是基于互联网之下的系统,都要按时对其进行系统的升级。否则,该系统就会出现漏洞,从而导致黑客和恶意软件的入侵,给系统造成严重的破坏。电力调度自动化的网络系统也是如此,如果电力调度人员不能定期的给电力调度自动化的网络系统进行升级,那么就会导致该系统出现漏洞。这个时候,黑客就可以借助一些高科技的技术,肆意的去修改或者是窃取电力调度传输过程中的信息。电力调度的信息一旦被修改或者是窃取,将会给电力企业造成无法挽回的经济损失。
2电力调度人员没有对电力调度自动化的网络系统进行严格的管理
一方面,电力调度自动化具有复杂性,也正是因为它的这种复杂性,让电力调度人员在对电力调度自动化的网络系统进行管理的时候,出现了难以对其进行管理的现象。另一方面,随着互联网的不断发展,更是增强了一些恶意软件和黑客的技术手段,这就从很大程度上增加了电力调度自动化的网络安全问题。随着电力调度自动化网络安全问题的加深,电力调度自动化在运行的过程当中,就会出现越来越多的问题,从而导致整个电力调度自动化不能正常的进行运转。
3电力调度人员没有尽到该尽的责任
电力调度人员自身的素质,在电力调度自动化管理的过程当中起着决定性的作用。因此,电力调度人员要是不具备很高的个人素质,那么他在工作的整个过程当中,就不会用严谨的态度去履行工作的义务,那就更别说是承担起相应的责任了。于是,一旦网络安全出现问题,他们也就无法及时找到造成这些问题出现的因素,从而导致问题越来越严重,以致于最后危及到了整个电力调度自动化的运行。
4探究解决电力调度自动化网络安全问题的方法
通过对电力调度自动化的网络安全问题进行仔细的分析和探究,现将能够有效解决这一问题的方法列举出来:
4.1为电力调度自动化建造一个基于科学之上的网络结构
建设人员在为电力调度自动化建立网络结构的时候,要严格的按照网络安全中所规定的去进行,以确保网络结构的一致性和完整性。
4.2安排专业的技术人员对电力调度自动化的网络系统进行管理
当电力调度自动化在运行的时候,电力企业要安排专业的技术人员,对电力调度自动化网络系统进行实时的监控和管理。一旦网络系统出现了问题,那么技术人员就可以及时的发现,并找出造成这一问题出现的原因,然后对其进行全面的分析和探究,最后总结出一个能够有效解决这一问题的办法。其次,电力企业还要对这些技术人员进行定期的网络安全管理知识的培训,以提高他们的网络管理水平。
4.3对电力调度自动化的网络系统进行定期的维护
对网络系统进行定期的维护,可以有效的减少网络系统出现问题的概率。当然,在对网络系统进行维护的时候,要对网络系统进行全方位的检查和维护,比如:可以用杀毒软件清理网络系统中的垃圾、对需要升级的软件进行升级和检查网络系统中的信息等等。只有加强了对网络系统的维护,才能够从很大程度上避免网络系统在运行的过程当中出现安全性问题。
5结束语
第6篇:网络安全论文范文
1.1电力系统结构混乱
随着我国信息技术的发展,电力调度自动化系统也必须要不断地更新升级,但是在很多电力企业,无法很及时地对其进行升级加固,最终导致了电力调度系统的结构混乱。另外在电力企业,对整个电力调度自动化系统没有一个完整的规划,并且很多调度自动化网络安全防护措施都没有起到相应的作用,在电力调控过程中无法起到防护的作用。
1.2企业的网络安全管理力度不强
在电力企业中,由于电力调度自动化网络安全管理的组成结构十分复杂,因此在安全管理方面会有很大的困难。现今在因特网技术发展的时代,一些黑客以及新型网络病毒也随之产生,对网络产生很大的危害。在一些调控中心以及发电厂,在建设一些信息控制系统以及交互数据时,对网络安全问题不够重视,对于一些网络问题的处理规划不够完善,存在很大的问题,导致了安全防护能力很差,存在很大的安全隐患。并且网上的一些黑客可以利用各种手段对调度数据进行窃取修改,以此来对电力设备进行非法性操作,严重影响电力调度自动化的运行。
1.3系统管理人员的综合素质较差
电力企业在进行电力调度自动化网络安全维护中,相关技术人员的综合素质十分重要。但是在现今我国的很多电力企业,相关技术人员的技术水准不能满足信息技术飞速发展的要求,综合素质普遍过低,并且对于网络安全缺乏相应的认识。因此在发生安全问题时,无法在第一时间进行处理;且过分依赖厂家,没有独立解决问题的能力,最终导致了电力调度自动化网络的维护出现很大问题。
2增强电力调度自动化网络安全防护的建议
2.1建设科学的网络架构
对于科学的网络架构,主要是根据我国的电力调度自动化网络系统中的混乱问题所提出。因此在网络规划、建设时,一定要遵循网络安全体系的统一性以及整体性原则,并且一定要遵循电力调度自动化网络安全的相关要求,以此来实现对电力调度自动化系统网络的一次性安装。主要从以下三个方面进行分析:
(1)在物理角度进行分析。
在对电力调度自动化网络系统的架构中,其中物理层面是确保网络安全性的基础。并且在网络系统的安装过程中,要对各个方面进行全面的考虑,其中包括地震等自然灾害。另外对于建设的电力调度自动化机房也必须要按照相关的规定进行建设,对机房的温湿度进行全面的策划控制,以此来做好机房的降温保护,从而防止设备事故的发生。同时也要做好防静电保护,对于机房的地板选择,一定要选择符合规定的防静电地板,这样可以充分地确保电力调度自动化网络系统物理层面的安全。此外,自动化机房的辅助设施,包括UPS电源系统及环境监控系统,必须同步完成建设、投运。
(2)系统角度的安全分析。
在电力调度自动化网络建设安装中,要加强对网络系统的保护,其中主要是针对电力生产控制系统。要重点对边界防护进行控制,提高其安全防护能力,并且要保证电力生产控制系统数据的安全。另外,调度端及厂站端电力二次系统安全防护应满足“安全分区、网络专用、横向隔离、纵向认证”基本原则要求。安全防护策略从边界防护逐步过渡到全过程安全防护,安全四级主要设备应满足电磁屏蔽的要求,全面形成具有纵深防御的安全防护体系。
(3)网络角度安全分析。
电力调度自动化水平直接受到网络结构有效性的影响。所以,电力企业在进行网络系统的安装中,一定要确保网络结构的科学性以及有效性。另外在网络的结构设计中,必须要利用树状分支与环状联接相结合的方式对网络进行构建,在不同的节点上设置不同的电力调度系统,以此来有效地提高电力调度自动化的效率和稳定性。
2.2坚持电力二次安全防护策略的执行
在对电力企业的电力调度自动化网络系统进行架构时,一定要根据系统业务的重要性对系统的影响程度进行分区,并且要对实时控制系统进行重点保护,将所有的系统都要置于相应的安全分区中。对安全分区进行相应的隔离,尤其是核心系统,隔离的强度一定要高,以此来增强安全性能。另外,要在专用通道上建立电力调度数据网络,从而来实现与其他网络的物理隔离。同时,要利用MPLS-VPN在专用网上形成多个相互逻辑隔离的VPN,从而来实现多层保护。并且利用加密手段对数据进行加密处理,以保障数据传输中的安全。
2.3加强对网络日常维护的安全管理
在电力企业中,对电力调度自动化调配过程中,一定要加强日常维护工作,以此来提高对网络安全的管理水平,确保安全可靠。其中主要的维护内容有:网络系统物理安全方面的研究、数据信息安全性的研究、对网络软件的安全性维护。在网络维护过程中,可以利用一些杀毒软件,来对网络病毒进行相应的查杀,并定期升级,从而有效地保证网络的安全运行。应制定和落实调度自动化系统应急预案和故障恢复措施,系统和运行数据应定期备份。
3结语
第7篇:网络安全论文范文
首先是对称加密技术。对称加密技术是用相同的钥匙对信息进行加密和解锁,换言之就是一把钥匙开一把锁。这种加密方法使加密过程得到了简化,交换信息的双方不需要互相交换和研究专用的加密方法。在交换阶段一定要确保私有钥匙没有被泄漏,才可以保证报文的机密性和完整性。但是这种技术还是存在一些不足,如假设交换的一方对应的是多个交换对象,那么他就一定要维护多把钥匙。其次是非对称加密技术。密钥在非对称加密中被分解成私有密钥和公开密钥。这种技术当前被广泛的应用在了身份确认和数据签名等领域。
2网络安全技术发展呈现出的现状
2.1我国不具备自主研发的软件核心技术
数据库、操作系统以及CPU是网络安全核心其中最为主要的三个部分。现阶段,虽然大多数企业都已经在建设和维护网络安全方面消耗了大量的资金,但是,由于大部分的网络设备及软件都不是我国自主研发的,而是从国外进口的,这就导致我国的网络安全技术难以跟上时展的脚步,在处于这种竞争劣势下,就极易成为别国窃听和打击的对象。除此之外,国外一些杀毒系统和操作系统的开发商几乎已经在将中国的软件市场垄断。基于上述这些情况,我国一定要进一步加快研发软件核心技术的速度,根据我国发展的实际情况,将能够确保我国网络安全运营的软件技术有效地开发出来。
2.2安全技术不具备较高的防护能力
我国的各个企事业单位在现阶段都几乎已经建立起了专属网站,并且,电子商务也正处在快速发展的状态之中。但是,所应用的系统大部分都处在没有设防的状态中,所以很有可能会埋下各种各样的安全隐患。并且在进行网络假设的过程中,大多数企业没有及时采取各种技术防范措施来确保网络的安全。
2.3高素质的技术人才比较欠缺
由于互联网通信成本相对较低,因此,服务器和配置器的种类变得越来越多,功能也变得更加完善,性能也变得更好。但是,不管是人才数量方面或者是专业水平方面,其专业技术人员都难以对当今的网络安全需要形成更好的适应性。此外,网络管理人员不具备较强的安全管理导向能力,如,当计算机系统出现崩溃的情况时,网络管理人员难以及时有效地提出有效的解决对策。
3网络安全技术的发展趋势
3.1深度分析计算机网络安全内容
各种类型不同的网络安全威胁因素随着互联网络技术的不断发展而出现。相应地网络安全技术也一定要不断获得提升和发展。加强识别网络安全技术的方法主要包括以下几点:第一,要以安全防护的相关内容为出发点,加强分析网络安全技术深度防护的力度,主要是对网络安全行为的内容和网络安全防护的匹配这两个方面进行分析。基于特征库签名的深度报文的特征匹配是当前比较常用的一种安全防护分析方法,即根据报文的深度内容展开有针对性的分析,利用这种途径来获取网络安全攻击的特征,并利用特征库对匹配的网络攻击内容进行搜索,同时还要及时采取相应的防御措施。还有,基于安全防护的职能分析以及基于网络行为的模型学习也同样是一种较好的网络安全技术手段,即通过模拟具有特征性的网络行为以及分析网络行为的特征获取网络攻击行为的提前预警,这样就可以为保护计算机网络系统有力的条件。
3.2把网络安全产业链转变成生态环境
产业价值链在近几年时间里随着不断发展的计算机技术及行业也相应的发生了巨大的变化,它的价值链变得越来越复杂。此外,生态环境的变化速度已经在很大程度上超过了预期环境的变化速度,按照这种趋势发展下去,在未来网络技术发展的过程中,各个参与方一定要加强自身对市场要求的适应能力。
3.3网络安全技术将会朝着自动化和智能化的方向发展
我国现阶段的网络安全技术要得到优化需要经历一个长期的过程,它贯穿于网络发展的始终。此外,智能化的网络优化手段已经开始逐步取代人工化的网络优化手段。同时,还可以将网络优化知识库建立起来,进而针对一些存在于网络运行中的质量问题,将更多切实可行的解决措施提供给网络管理者。所以,国内网络安全技术在未来几年时间里会在IMS的基础上将固定的NGN技术研制出来。这项技术的成功研制能够给企事业的发展提供更丰富的业务支持。
3.4朝着网络大容量的方向发展
国内互联网的业务量在近几年时间里呈现出迅猛增长的态势,尤其是针对那些IP为主的数据业务而言,对交换机以及路由器的处理能力均提出了较高的要求。因为想要对语音、图像等业务需求形成更好的满足,因此,要求IP网络一定要具备较强的包转发和处理能力,那么,未来的网络在不出意外的情况下一定会朝着大容量的方向发展。国内网络在今后发展的过程中,一定要广泛应用硬件交换、分组转发引擎,促使网络系统的整体性能得到切实提升。
4结语
第8篇:网络安全论文范文
以高斯核函数作为支持向量机的核函数,进而对预测模型(fx)进行优化,优化参数为ε,c和σ。基于传统形式下的支持向量机参数优化大都采用穷举法以及经验确定发和网络搜索法进行,由于经验确定发所选取的参数并不是最优参数,因此,对整个网络安全态势预测的精度较低,而以穷举法以及网络搜索为主的参数优化方法则耗时较长,增加了最优参数的查找难,故以上三种支持向量机的参数优化方法均不能满足网络安全态势预测工作具体要求[5]。为此,该文选取遗传算法对上述相关参数进行优化。遗传算法是一种以生物界的自然选择为基础的数据启发式算法,其通将生物进化的机理引入到数据计算上,进而在有效提高搜索速度的同时,也以其兼顾全局搜索能力和并行搜索能力的特点扩大了搜索范围,故本文采取遗传算法对当前支持向量机参数ε,c和σ进行优化。
2基于支持向量机算法的网络安全态势预测过程
基于支持向量机算法的网络安全态势预测主要分为四步,分别为:(1)数据收集与预处理,对能够反映当前网络安全态势预测的数据信息进行收集,并对数据收集过程中出现的数量异常以及不良数据进行处理。由前文可知,网络安全态势容易受到多种因素的影响,而不同影响因素对网络态势的影响数据也具有较大差异。但支持向量机只对处于(0,1)区间的数据最为敏感,因此,需要将相关数据转化到(0,1)区间内再对其进行具体分析。将数据转化到(0,1)之间的处理方法为:x'i=xi-xminxmax-xmin,式中网络安全态势的原始值为xi,而其态势的最大值和最小值分别用xmax和xmin表示。(2)以嵌入维和时间延迟的方法将以为网络的安全态势数据转化为多维网络下的安全态势数据。为了方便计算,该文将网络安全态势数据变化的时间延迟设为1,嵌入维则2,3...n的的顺序逐步试奏,进而确定出模型的嵌入维度。设定一维网络安全态势的预测数据组为{x1,x2,x3...xn},则将其分别转化为多维度的网络安全态势数据,具体表示方法如下所示:当样本输入为x1,x2,x3...xm-1时,期望的输出值为xm;当样本输出值为x2,x3...xm时,期望输出值为xm+1;当样本输出值为x3,x4...xm+1时,期望输出值为xm+2,以此类推[6]。(3)分组。所谓分组是指将网络安全态势的上述数据分为训练集和测试集两部分,将处于训练集中的两组输入与输出数据分别输入到支持向量机中进行学习,并利用遗传算法对ε,c和σ等参数进行寻优,进而将所得到的最优参数带入网络安全态势预测的数学模型(fx)中,至此,最优网络安全态势模型建成。(4)利用上述得到的网络安全态势最优预测模型对(3)中测试集内的数据进行预测,并将相关的预测结果以x'i=xi-xminxmax-xmin进行转化,使预测态势值分布在(0,1)区间当中,最后,根据所计算出的网络安全态势值预测网络的运行状态。
3实例分析
3.1网络安全态势数据的选取
选取某公司互联网在2013年10月1日-10月30日的边界安全监测数据,每天对其进行4次抽取采样,则30天内共获得120个网络安全态势监测的态势值。人为规定前90个态势值为支持向量机的训练样本,后30个态势值为支持向量机的测试样本,且相关实验均在matlab7.0平台上进行。
3.2最优模型的实现
仍然设定该公司的网络安全态势数据传输的延迟时间为单位1,利用试奏法向态势数据中嵌入维数,并将嵌入维数确定为8。此时,支持向量机拥有7个输入变量和1个输入变量。以延迟时间与嵌入维度为依据对当前反应网络安全态势的数据进行重构,进而生成支持向量机的训练样本及测试样本。中的第三步,将代表训练样本的数据输入到支持向量机中进行学习,并利用遗传算法对其进行优化,并将算法的参数值设定为如下形式:进化次(代)数150,优化前的初始种群(数据)个数50,实际完成目标与训练目标的误差率为0.01,训练样本的交叉率为0.95,突变概率为0.05。
3.3利用模型进行网络安全态势的预测
由3.2可知,网络安全态势预测模型的最优参数为,ε=0.01,c=100和σ=5,将其带入预测模型当中,则预测模型便成为了最优网络安全态势预测模型。利用该模型对前50代的安全态势值进行预测分析,并描绘出态势值的预测数据特征曲线。通过分析曲线可知,所建立的网络安全态势预测模型可以有效对该公司边界安全监测数据进行预测,且相关预测数据具有较高精度。
4结论
第9篇:网络安全论文范文
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2电信网络安全面临的形势及问题
2.1互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。2.3运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
