信息網(wǎng)絡(luò)安全評估的方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息網(wǎng)絡(luò)安全評估的方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息網(wǎng)絡(luò)安全評估的方法范文

【關(guān)鍵詞】電力系統(tǒng) 信息網(wǎng)絡(luò)安全問題 防護(hù)措施

1 引言

有效地保障電力企業(yè)的安全和保障電力信息網(wǎng)絡(luò)安全，對于推動我國國民經(jīng)濟(jì)穩(wěn)定發(fā)展具有非常重要的作用。隨著社會信息化技術(shù)的迅速發(fā)展，信息化系統(tǒng)已經(jīng)在電力企業(yè)中受到廣泛應(yīng)用，實現(xiàn)了信息化網(wǎng)絡(luò)管理。但由于信息網(wǎng)絡(luò)中存在的問題，導(dǎo)致電力信息網(wǎng)絡(luò)安全時有發(fā)生，有必要對此進(jìn)行分析，并且采取安全保護(hù)措施，確保電力信息網(wǎng)絡(luò)安全和電力企業(yè)的穩(wěn)定發(fā)展。

2 電力系統(tǒng)信息網(wǎng)絡(luò)存在的安全問題

2.1 網(wǎng)絡(luò)病毒

電力系統(tǒng)信息網(wǎng)絡(luò)安全中，最常見的安全隱患就是網(wǎng)絡(luò)病毒。隱蔽性、可復(fù)制性、傳播速度快等都是網(wǎng)絡(luò)病毒的特點。網(wǎng)絡(luò)病毒對電力系統(tǒng)信息網(wǎng)絡(luò)破壞非常嚴(yán)重。假如感染上了網(wǎng)絡(luò)病毒，輕則是對電力信息系統(tǒng)的正常運行受到阻礙，使數(shù)據(jù)丟失、信息不能及時共享；嚴(yán)重則會導(dǎo)致電力信息系統(tǒng)癱瘓，整個電力系統(tǒng)的功能將會因此受到影響而不能正常發(fā)揮作用。除此之外，電力設(shè)備還可能因此遭到網(wǎng)絡(luò)病毒的破壞，造成不可估量的損失。

2.2 黑客攻擊

在電力系統(tǒng)信息網(wǎng)絡(luò)運行的過程之中，網(wǎng)絡(luò)安全問題也會因為受到黑客的攻擊而出現(xiàn)，導(dǎo)致電力系統(tǒng)信息網(wǎng)絡(luò)安全出現(xiàn)故障，甚至?xí)斐纱蠓秶碾娏收习l(fā)生，具有非常大的危害力，這也是電力系統(tǒng)信息網(wǎng)絡(luò)存在的主要隱患。電力企業(yè)涉及到很多電力信息量，假如被黑客攻擊獲取機(jī)密信息，則會對電力系統(tǒng)的正常運行和經(jīng)濟(jì)效益造成極大的損失。黑客對電力系統(tǒng)信息網(wǎng)絡(luò)的攻擊方式比較多，比如利用數(shù)字控制系統(tǒng)（DCS）對電力企業(yè)的基層系統(tǒng)進(jìn)行控制，造成基層系統(tǒng)癱瘓。此外，黑客也可以利用某個系統(tǒng)對其他系統(tǒng)進(jìn)行控制和破壞，對電力系統(tǒng)造成非常惡劣的影響。

2.3 脆弱的身份認(rèn)證

電力行業(yè)中計算機(jī)應(yīng)用系統(tǒng)大部分是基于商用軟硬件系統(tǒng)設(shè)計和開發(fā)，而基本上都是使用口令為用戶身份認(rèn)證的鑒別模式，而這種模式最容易被黑客攻破。部分應(yīng)用系統(tǒng)還使用自己的用戶鑒別方式，用數(shù)據(jù)庫或者文件將口令、用戶名和一些安全控制信息用明文的方式記錄。當(dāng)今，這種脆弱的安全控制措施已經(jīng)不再適用。

2.4 內(nèi)部惡意操作

電力信息系統(tǒng)安全漏洞還存在內(nèi)部人員惡意操作導(dǎo)致。惡意操作就是指蓄意破壞。信息系統(tǒng)在運行過程之中需要人進(jìn)行監(jiān)督和控制，加入人的因素存在主管惡意，則會使網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)問題。電力系統(tǒng)安全管理的制度上規(guī)范可能比較健全，但是只能防范人的控制，一旦出現(xiàn)人為因素，大災(zāi)難將會降臨到電力信息系統(tǒng)上。

2.5 信息網(wǎng)絡(luò)安全意識淡薄

在電力信心網(wǎng)絡(luò)的建設(shè)以及運營過程之中，安全防護(hù)和安全監(jiān)督工作都需要信息網(wǎng)絡(luò)安全意識高的專業(yè)人員從事。隨著信息化程度的不斷提高和信息防護(hù)技術(shù)的不斷更新，電力信息網(wǎng)絡(luò)的安全等級也逐漸提高。但是，不能否認(rèn)的是，實際的安全防護(hù)技術(shù)和電力企業(yè)信息網(wǎng)絡(luò)安全防護(hù)需求仍然存在很大差異。一方面是由于電力企業(yè)本身信息化技術(shù)比較低導(dǎo)致出現(xiàn)安全問題；另一方面則是超高的安全防護(hù)技術(shù)帶來高昂的成本，電力企業(yè)的效益降低，導(dǎo)致電力企業(yè)的實施與應(yīng)用受到影響。更加重要的是目前的電力信息網(wǎng)絡(luò)安全整體維護(hù)工作水平不高，同時網(wǎng)路安全人員的安全防護(hù)意識缺乏，出現(xiàn)違規(guī)操作、不按照規(guī)范進(jìn)行操作等現(xiàn)象發(fā)生而出現(xiàn)問題。

2.6 信息網(wǎng)絡(luò)安全制度缺失

隨著電力信息化程度的不斷深入，要加強(qiáng)信息網(wǎng)絡(luò)安全制度的規(guī)范，不斷創(chuàng)設(shè)完整的信息網(wǎng)絡(luò)安全防護(hù)制度顯得非常重要，這樣才能夠確實提高電力企業(yè)信息網(wǎng)絡(luò)安全，保障企業(yè)經(jīng)濟(jì)效益。當(dāng)時目前而言，在電力信息網(wǎng)絡(luò)運行的過程之中仍然缺乏統(tǒng)一的規(guī)范安全防護(hù)制度和監(jiān)督制度，很大程度上對電力系統(tǒng)信息網(wǎng)絡(luò)安全造成危害，影響電力信息化水平提高。同時，在電力系統(tǒng)信息網(wǎng)絡(luò)運行，由于缺乏科學(xué)的安全管理制度，很容易在運行過程之中出現(xiàn)大漏洞和缺陷。

3 電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)的具體措施

3.1 提高對安全性的認(rèn)識

第一，電力企業(yè)要加強(qiáng)對電力系統(tǒng)信息網(wǎng)絡(luò)安全的認(rèn)識，要將網(wǎng)絡(luò)信息安全防護(hù)體系完善建立，采用分層、分區(qū)的管理方法，其中將區(qū)城管理分為生產(chǎn)管理區(qū)、非控制生產(chǎn)區(qū)、實時控制區(qū)和管理信息區(qū)，并且隔離區(qū)城之間的網(wǎng)絡(luò)物理隔離設(shè)備。第二，加強(qiáng)人員素質(zhì)管理，通過網(wǎng)絡(luò)安全培訓(xùn)和技能訓(xùn)練，將網(wǎng)絡(luò)管理工作人員的素質(zhì)和能力提高。最后，對信息網(wǎng)絡(luò)體系的密碼、技術(shù)、數(shù)據(jù)管理要加強(qiáng)，切實將電力系統(tǒng)信息網(wǎng)絡(luò)安全系數(shù)提高。

3.2 做好信息網(wǎng)絡(luò)系統(tǒng)的維護(hù)與支持工作

在現(xiàn)實電力系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)中可以采取以下幾種安全技術(shù)：第一，防火墻技術(shù)。網(wǎng)絡(luò)與網(wǎng)絡(luò)安全領(lǐng)域的連接入口是防火墻，因此防火墻可以對危害信息進(jìn)行有效的抵御和及時查詢出危險信息，保證電力系統(tǒng)信息網(wǎng)絡(luò)的安全。因此，在日常工作中要對防火墻的訪問設(shè)置相應(yīng)的權(quán)限，對非授權(quán)連接進(jìn)行強(qiáng)力防護(hù)。第二，漏洞缺陷檢查技術(shù)。漏洞缺陷檢查技術(shù)就是對電力系統(tǒng)的信息網(wǎng)絡(luò)設(shè)備進(jìn)行檢測，根據(jù)檢查情況對設(shè)備檢測風(fēng)險進(jìn)行評估。假如存在安全問題，則要及時采取防護(hù)措施進(jìn)行修復(fù)，這樣才能夠有效避免安全問題發(fā)生。第三，數(shù)據(jù)加密技術(shù)。所謂的加密技術(shù)，就是對網(wǎng)絡(luò)傳輸數(shù)據(jù)的訪問權(quán)進(jìn)行限制，也可以對原始數(shù)據(jù)進(jìn)行加密變成密文的技術(shù)。數(shù)據(jù)加密技術(shù)主要是防止惡意客戶對機(jī)密數(shù)據(jù)文件進(jìn)行查看、破壞和泄露，有效保證電力系統(tǒng)鑫鑫網(wǎng)絡(luò)安全，確保能夠正常穩(wěn)定地運行。

3.3 構(gòu)建科學(xué)完善的安全防護(hù)體系

在信息化網(wǎng)絡(luò)的運營過程之中，科學(xué)地完善防護(hù)體系是提升和優(yōu)化網(wǎng)絡(luò)安全的重要措施和根本保障。完善的防護(hù)體系能夠在具體的管理中對信息化網(wǎng)絡(luò)出現(xiàn)的問題及時檢查，有條不紊地針對加強(qiáng)安全防護(hù)，將電力系統(tǒng)信息化網(wǎng)絡(luò)安全級別提升。技術(shù)人應(yīng)該充分結(jié)合電力企業(yè)的實際特點和計算機(jī)網(wǎng)絡(luò)安全有關(guān)問題規(guī)建信息網(wǎng)絡(luò)的安全防護(hù)體系，切忌技術(shù)盲目建設(shè)，要科學(xué)準(zhǔn)確地建設(shè)信息化安全防護(hù)體系。與此同時，在建設(shè)防護(hù)體系過程之中，考慮到電力信息網(wǎng)絡(luò)的功能和板塊非常多，因此需要技術(shù)人員從整體把握安全防護(hù)體系，要遵循全面科學(xué)原則建設(shè)信息網(wǎng)絡(luò)安全防護(hù)體系，使電力系統(tǒng)信息網(wǎng)絡(luò)的各個功能的安全等級不斷提升，能夠有效地提升電力系統(tǒng)信息網(wǎng)絡(luò)的安全效益和質(zhì)量。

3.4 建立完善的電力系統(tǒng)信息網(wǎng)絡(luò)監(jiān)控中心

為了能夠提高電力系統(tǒng)信息安全，一定要建立一個綜合。統(tǒng)一的信息安全監(jiān)控中心。為了能夠?qū)⒏黜椥畔⒂袡C(jī)整合，監(jiān)控中心可以在各信息網(wǎng)管中心建立，這樣即使出現(xiàn)任何影響信息安全問題的情況都能夠及時解決。通過監(jiān)控系統(tǒng)所提供的信息可以對可能出現(xiàn)的異?；蚬收霞皶r進(jìn)行預(yù)防，防患于未然，保障系統(tǒng)不會發(fā)生異?；蚬收稀?/p>

3.5 加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理和維護(hù)

在電力企業(yè)信息網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)設(shè)備起著至關(guān)重要的作用。由于網(wǎng)絡(luò)設(shè)備一直處于消耗狀態(tài)和存在一定的周期和壽命，因此電力企業(yè)的安全管理人員要對這些設(shè)備進(jìn)行定期檢查和維護(hù)，對電力設(shè)備及時進(jìn)行更新更換，從源頭上強(qiáng)化信息安全。對于電力企業(yè)而言，要及時更新網(wǎng)絡(luò)技術(shù)、更新系統(tǒng)和技術(shù)，要做數(shù)據(jù)備份；對于終端密碼及時更換，設(shè)置難以破解的密碼，以免被竊取。

4 結(jié)語

為了電力系統(tǒng)安全運行和對社會可靠供電就必須保證電力信息安全，一旦電力系統(tǒng)信息網(wǎng)絡(luò)安全遭到破壞將會給電力系統(tǒng)的生產(chǎn)敬意和管理造成巨大損失；因此要通過加強(qiáng)網(wǎng)絡(luò)安全管理和充分利用先進(jìn)的網(wǎng)絡(luò)技術(shù)，構(gòu)建電力系統(tǒng)信息安全防范體系，確保電力系統(tǒng)信息網(wǎng)絡(luò)能夠高效穩(wěn)定運行。

參考文獻(xiàn)：

第2篇：信息網(wǎng)絡(luò)安全評估的方法范文

關(guān)鍵詞：HTP模型；移動平臺；安全加固

中圖分類號：TM769 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）05-0168-02

1 概述

HTP模型[1]是中國IT治理研究中心提出的“以人為本”的信息安全體系模型，其主要結(jié)構(gòu)抽象描述包括[2]：人員與管理（Human and management）、技術(shù)與產(chǎn)品（Technology and products）、流程與體系（Process and Framework）。

2 網(wǎng)絡(luò)架構(gòu)與技術(shù)

通過對電力公司移動交互平臺網(wǎng)絡(luò)架構(gòu)的分析，總結(jié)出網(wǎng)絡(luò)中存在的安全薄弱點。針對這些薄弱點，在網(wǎng)絡(luò)架構(gòu)和技術(shù)方面提出如下幾點建議。

（1）對信息外網(wǎng)進(jìn)出口提供更多樣的防護(hù)措施，并增加備用線路，防止單點故障。建議在信息外網(wǎng)進(jìn)出口設(shè)立統(tǒng)一威脅管理系統(tǒng)（UTM），具體拓?fù)淙鐖D1所示。作為電力公司移動交互平臺網(wǎng)絡(luò)的邊界，面臨的混合式攻擊越來越多，傳統(tǒng)的安全解決方案如單一的防火墻功能、入侵檢測功能已經(jīng)無法有效解決這種混合式的攻擊威脅，而全面地設(shè)立多種獨立功能的安全設(shè)備往往需要巨大的投資成本，并且設(shè)備過多會帶來更高的管理成本。統(tǒng)一威脅管理系統(tǒng)將各種安全防護(hù)功能集中到一個設(shè)備上，在增加安全性的同時，很好的控制了資費成本與管理成本。

（2）在信息外網(wǎng)的支撐服務(wù)處增加入侵檢測系統(tǒng)（IDS），具體改進(jìn)拓?fù)淙鐖D2所示。支撐服務(wù)作為移動應(yīng)用的內(nèi)容提供者，在信息外網(wǎng)中是黑客主要的攻擊目標(biāo)，并且移動應(yīng)用提供的業(yè)務(wù)是已知的，所以用戶的請求行為是可以預(yù)測的，這種情況下使用IDS是非常好的選擇。根據(jù)對用戶業(yè)務(wù)請求行為的預(yù)測，將正常行為與不正常行為歸納建立模型。使用入侵檢測系統(tǒng)，采用異常檢測和誤用檢測兩種模式相結(jié)合的方式對流量進(jìn)行檢測。

（3）在信息外網(wǎng)與信息內(nèi)網(wǎng)中同時增加安全審計系統(tǒng)。在信息外網(wǎng)使用安全審計，可以對用戶訪問移動應(yīng)用服務(wù)資源的行為進(jìn)行安全審計，并且可以對移動應(yīng)用操作內(nèi)網(wǎng)數(shù)據(jù)的行為做詳細(xì)記錄，通過審計系統(tǒng)的日志，不僅可以對潛在威脅進(jìn)行分析，并且可以提供事故發(fā)生的線索做出評估，快速進(jìn)行故障恢復(fù)，提供責(zé)任追究的依據(jù)。信息內(nèi)網(wǎng)使用安全審計，可以對內(nèi)部員工的操作進(jìn)行管理。審計系統(tǒng)可以成為追蹤入侵、恢復(fù)系統(tǒng)的直接證據(jù)，所以，其自身的安全性更為重要。審計系統(tǒng)的安全主要包括審計事件查閱安全和存儲安全。審計事件的查閱應(yīng)該受到嚴(yán)格的限制，避免日志被篡改。

（4）在信息內(nèi)網(wǎng)的數(shù)據(jù)庫服務(wù)器處增加數(shù)據(jù)庫防火墻，具體改進(jìn)拓?fù)淙鐖D10所示。數(shù)據(jù)庫防火墻所采用的主動防御技術(shù)能夠主動實時監(jiān)控、識別、告警、阻擋繞過企業(yè)網(wǎng)絡(luò)邊界（FireWall、IDS＼IPS等）防護(hù)的外部數(shù)據(jù)攻擊、來自于內(nèi)部的高權(quán)限用戶（DBA、開發(fā)人員、第三方外包服務(wù)提供商）的數(shù)據(jù)竊取、破壞、損壞的等，從數(shù)據(jù)庫SQL語句精細(xì)化控制的技術(shù)層面，提供一種主動安全防御措施，并且，結(jié)合獨立于數(shù)據(jù)庫的安全訪問控制規(guī)則，幫助用戶應(yīng)對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。

3 人員管理機(jī)制分析

3.1 健全以責(zé)任分離和安全考核為原則的用人系統(tǒng)

信息網(wǎng)絡(luò)安全人員的使用具有一些特殊的要求，必須以安全可靠為最高原則。相應(yīng)地，應(yīng)該健全以責(zé)任分離和安全考核為原則的用人系統(tǒng)。

一方面，在用人過程中必須堅持責(zé)任分離的原則。其具體要求是：（1）明確信息網(wǎng)絡(luò)安全系統(tǒng)中每個人的職責(zé)，要求“誰管理，誰負(fù)責(zé)”；（2）關(guān)鍵崗位的人員不得再兼任其他職位，嚴(yán)格控制使用兼職人員；（3）重要的任務(wù)有兩人以上共同完成，避免一個人保管組織所有安全信息；（4）堅持崗位輪換原則，確保一個員工的工作有另一個員工進(jìn)行審核。

另一方面，信息網(wǎng)絡(luò)安全人員一旦錄用，就要確定其職責(zé)范圍，對其實施安全考核，重點考核其安全事故發(fā)生情況。信息網(wǎng)絡(luò)安全人員考核不能像一般工作人員那樣以年終考核為主，而應(yīng)加強(qiáng)平時考核以實現(xiàn)日常監(jiān)控，對其考核時間越短，就越有利于確保安全；而且，不僅考核工作時間內(nèi)的表現(xiàn)，也考察工作時間外的表現(xiàn)，比如生活作風(fēng)與非工作行為是否正常等。

3.2 推行以增強(qiáng)意識和戰(zhàn)略開發(fā)為指導(dǎo)的育人系統(tǒng)

信息網(wǎng)絡(luò)安全工作是一種長期而艱巨的工作，保密意識貫穿始終，但隨著時間的推移，信息網(wǎng)絡(luò)安全人員難免產(chǎn)生工作倦怠，其“保密之弦”也會出現(xiàn)松弛。因此，國網(wǎng)公司應(yīng)該不斷強(qiáng)化保密意識培訓(xùn)，以形成堅固的信息安全“思想意識防線”。而且，還應(yīng)該立足信息安全戰(zhàn)略規(guī)劃與開發(fā)信息網(wǎng)絡(luò)安全人員，以長遠(yuǎn)眼光加強(qiáng)信息網(wǎng)絡(luò)安全人才培養(yǎng)。

3.3 實施以目標(biāo)激勵和待遇傾斜為特色的留人系統(tǒng)

信息網(wǎng)絡(luò)安全工作任務(wù)重、壓力大、內(nèi)容單調(diào)，加上工作環(huán)境封閉，容易使信息網(wǎng)絡(luò)安全人員人心不穩(wěn)。因此應(yīng)該通過目標(biāo)激勵，增強(qiáng)他們對自己所從事工作的榮譽感、神圣感和責(zé)任感，促使他們安心工作。而且，由于信息網(wǎng)絡(luò)安全人員作用特殊、責(zé)任大、風(fēng)險高，因此在待遇上應(yīng)該給予傾斜。

4 結(jié)語

本文通過對典型內(nèi)外網(wǎng)網(wǎng)絡(luò)安全防護(hù)方案的研究與對電力公司移動交互平臺網(wǎng)絡(luò)結(jié)構(gòu)分析，結(jié)合典型的HTP網(wǎng)絡(luò)安全體系模型，針對電力公司移動交互平臺網(wǎng)絡(luò)安全薄弱點，提出關(guān)于電力公司移動交互平臺網(wǎng)絡(luò)加固的建議，對電力公司移動交互平臺安全提升做了有益的探索。

參考文獻(xiàn)

第3篇：信息網(wǎng)絡(luò)安全評估的方法范文

關(guān)鍵詞：水電廠；信息網(wǎng)絡(luò)；安全防護(hù)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)08-1759-02

進(jìn)入21世紀(jì)以來，以電子計算機(jī)信息技術(shù)的迅速發(fā)展為標(biāo)志，各地水電廠的運作效率也不斷的得到提高，自動化運作的比例有了較大幅度的發(fā)展，實現(xiàn)了人力資源的優(yōu)化利用。水電廠對自動化控制和信息化廠區(qū)的建設(shè)都十分重視，無論是從電廠監(jiān)視控制系統(tǒng)的布設(shè)方面，還是對水情監(jiān)測調(diào)整系統(tǒng)、工業(yè)電視系統(tǒng)、火災(zāi)預(yù)防系統(tǒng)的建立等方面都進(jìn)行了精確的評估與立項設(shè)立。[1]正是由于信息網(wǎng)絡(luò)系統(tǒng)在水電廠日常運作中的應(yīng)用，使得水電廠的各個獨立子系統(tǒng)聯(lián)系成了一個有機(jī)的整體，也正是由于子系統(tǒng)間進(jìn)行信息交流的需要，目前水電廠內(nèi)部各子系統(tǒng)間的網(wǎng)絡(luò)連接及信息交換過程中存在著潛在的信息交換及網(wǎng)絡(luò)防護(hù)安全問題，一旦這些問題被觸發(fā)，牽一發(fā)而動全身，后果不堪設(shè)想。

1水電廠信息網(wǎng)絡(luò)安全防護(hù)的幾點措施

一般來講，水電廠作為關(guān)系到國計民生的國家重點基礎(chǔ)設(shè)施建設(shè)項目，其投入資金都比較多，廠區(qū)內(nèi)技術(shù)設(shè)備復(fù)雜，工作環(huán)境靠近河流，其信息網(wǎng)絡(luò)安全防護(hù)也應(yīng)該因地制宜，具體來講，可以在以下幾個方面進(jìn)行重點防護(hù)。

1）基于各個子系統(tǒng)的特點進(jìn)行綜合防護(hù)設(shè)計。

由于水電廠內(nèi)部各個子系統(tǒng)之間要經(jīng)常進(jìn)行頻繁的數(shù)據(jù)交換以及信息共享，應(yīng)該對信息通道以及數(shù)據(jù)資源的利用進(jìn)行優(yōu)化整合。水電廠信息自動化系統(tǒng)一般可以分為電力生產(chǎn)系統(tǒng)和信息資源控制管理系統(tǒng)，這兩種系統(tǒng)在電廠中的作用角度不同，前者側(cè)重于控制電力資源的生產(chǎn)，后者則較多的參與網(wǎng)絡(luò)信息資源管理。[2]

對于電力資源生產(chǎn)系統(tǒng)，其設(shè)計與建造必須要滿足對實時控制及可靠性的要求，對于監(jiān)控計算機(jī)的選擇則要求其及時跟進(jìn)性達(dá)到毫秒級別，并且還要要求其他連接的子系統(tǒng)對于監(jiān)控計算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)只能進(jìn)行單向操作，即子系統(tǒng)只能具備對監(jiān)控計算機(jī)的數(shù)據(jù)讀取功能，而不能進(jìn)行數(shù)據(jù)及命令寫入操作，這樣就在內(nèi)部避免了黑客通過子系統(tǒng)對主監(jiān)控計算機(jī)的入侵行為。對于水情監(jiān)測調(diào)整系統(tǒng)、工業(yè)電視系統(tǒng)、火災(zāi)預(yù)防系統(tǒng)等設(shè)備則都應(yīng)該留有備份系統(tǒng)以供不時之需，這樣就滿足了較高的可靠性。此外，電廠河流梯度調(diào)整系統(tǒng)以及電網(wǎng)調(diào)度自動化系統(tǒng)應(yīng)單獨納入電廠信息網(wǎng)絡(luò)系統(tǒng)，一旦出現(xiàn)問題可以使得電廠間不會相互影響。對于信息資源控制管理系統(tǒng)，這是水電廠外部網(wǎng)絡(luò)信息防護(hù)的重點，因為正是這一部分系統(tǒng)直接連入了萬維網(wǎng)，對內(nèi)其可以讀取電力生產(chǎn)系統(tǒng)的數(shù)據(jù)，例如電機(jī)發(fā)電量、水電廠壩區(qū)水位以及水流量等信息，對外其直接與外界互聯(lián)網(wǎng)進(jìn)行信息交換，黑客通過攻破這個系統(tǒng)就可以對水電廠進(jìn)行信息竊取，甚至是直接進(jìn)行非法操作，造成嚴(yán)重后果，因此綜合考慮子系統(tǒng)功能以及數(shù)據(jù)交換的安全性是十分必要的。

2）實現(xiàn)水電廠子系統(tǒng)間物理上的相互隔離，功能類型相同的自動化系統(tǒng)間采用專用網(wǎng)絡(luò)連接。

電力生產(chǎn)系統(tǒng)和信息資源管理系統(tǒng)為防止信息互相影響可以采取雙網(wǎng)同設(shè)的方法進(jìn)行獨立隔離，這樣做無疑會增加水電廠基礎(chǔ)設(shè)施的投資額度，但是若兩個系統(tǒng)為節(jié)省資金而共享信息網(wǎng)絡(luò)和電力供給資源，一旦其中的一個系統(tǒng)出現(xiàn)問題，則由于高度自動化及互聯(lián)化會造成兩個系統(tǒng)的同時故障。

此外，即便是同一個系統(tǒng)下的各個單元也應(yīng)該遵守網(wǎng)絡(luò)連入的獨立與隔離原則，不建議直接進(jìn)行連接，例如提到的水情監(jiān)測控制系統(tǒng)、火災(zāi)預(yù)防控制系統(tǒng)以及電力機(jī)組修檢系統(tǒng)就不能直接進(jìn)行網(wǎng)絡(luò)連接，應(yīng)保持各自的運作獨立性要求。而信息自動化系統(tǒng)單元類別下的不同部門也應(yīng)該與計算機(jī)監(jiān)控系統(tǒng)保持獨立，否則就會出現(xiàn)信息資源管理系統(tǒng)的使用者直接對計算機(jī)監(jiān)控系統(tǒng)進(jìn)行訪問的現(xiàn)象，這會形成用戶修改計算機(jī)監(jiān)控系統(tǒng)的潛在隱患。在電廠內(nèi)部的各個自動化系統(tǒng)中，類型相同的系統(tǒng)如屬于同一河流區(qū)域的梯度電站調(diào)度監(jiān)控單元、計算機(jī)監(jiān)控系統(tǒng)、地區(qū)電網(wǎng)調(diào)度單元監(jiān)控中心以及網(wǎng)絡(luò)水情自動化生成分析系統(tǒng)、水庫流量及水位檢測系統(tǒng)之間等都要及時迅速的交換實時信息數(shù)據(jù)，運行方式要高度可靠及快速才能完成如此復(fù)雜的任務(wù)，面對這樣的情況，專用局域網(wǎng)的優(yōu)勢就能得以發(fā)揮，實現(xiàn)利用電力資源調(diào)度網(wǎng)絡(luò)達(dá)到上下級網(wǎng)絡(luò)節(jié)點系統(tǒng)同歸的效果。[3]

3）水電廠信息資源管理系統(tǒng)接入外網(wǎng)的安全防護(hù)措施。

這個節(jié)點可以采用在水電廠信息資源管理系統(tǒng)或自動化網(wǎng)絡(luò)邊界與萬維網(wǎng)的接入口之間架設(shè)安全防火墻的措施達(dá)到信息隔 離效果，輔之以相關(guān)的安全接入時限策略，最大程度的減少信息系統(tǒng)暴露的概率。在安全接入萬維網(wǎng)的時限內(nèi)，外網(wǎng)單元對內(nèi)網(wǎng)的信息讀取以及網(wǎng)絡(luò)命令施加等操作要伴隨訪問服務(wù)器的人為及電子監(jiān)控。為防止接入萬維網(wǎng)期間的信息泄露或外部植入程序的暗度陳倉，可以采用將信息資源管理系統(tǒng)的外網(wǎng)服務(wù)器劃分子網(wǎng)的方法來控制對外訪問，子防火墻的設(shè)立此時就顯得很有必要。當(dāng)然，僅有這些技術(shù)還不足以完全剔除水電廠網(wǎng)絡(luò)系統(tǒng)中的內(nèi)部及外部安全漏洞，這些漏洞可能體現(xiàn)在以下幾方面：

①外部黑客依然會尋找防火墻的潛在后門，對防護(hù)系統(tǒng)進(jìn)行攻擊；②防火墻的作用在于防御外部入侵者對電廠計算機(jī)網(wǎng)絡(luò)的攻擊及惡意闖入，但是對于防火墻內(nèi)部的“鼴鼠”實際上是不設(shè)防的，相對有效的內(nèi)部人員闖入防御機(jī)制不健全；③由于計算機(jī)配置及硬件性能的束縛，目前的監(jiān)控系統(tǒng)實時監(jiān)測入侵行為的能力尚不發(fā)達(dá)，往往都是在事后才回發(fā)現(xiàn)入侵痕跡，及時阻止性較低。

針對以上的三個安全漏洞，水電廠網(wǎng)絡(luò)安全技術(shù)人員要充分重視，最好能夠引入實時入侵監(jiān)測系統(tǒng)，對來自水電廠網(wǎng)絡(luò)內(nèi)、外部的非法訪問及越權(quán)操作進(jìn)行及時阻斷與責(zé)任追究，不斷改進(jìn)技術(shù)，“道高一尺，魔高一丈”。

4）利用串口通訊的方式實現(xiàn)水電廠各子系統(tǒng)與上級計算機(jī)監(jiān)控系統(tǒng)的連接，建立全方位的計算機(jī)病毒防御系統(tǒng)。

采用串口連接可以有效的對網(wǎng)絡(luò)間數(shù)據(jù)交換進(jìn)行控制，各個子系統(tǒng)間的訪問都被限制在“讀入”，而不允許“寫入”，這樣做的好處是一方面防止了子系統(tǒng)間的互相破壞作用，另一方面也由于這種“單向操作”而使得電廠的網(wǎng)絡(luò)數(shù)據(jù)傳輸速率大大增強(qiáng)，因為其傳輸?shù)臄?shù)據(jù)量由于減少了寫入數(shù)據(jù)的份額而大為減少。[4]對于部分硬件設(shè)施較為老化的水電廠，若串口連接方式改造成本較高而不能實施，則必須安裝防火墻來過濾直接連接的雙向操作，以此來保證水電廠網(wǎng)絡(luò)系統(tǒng)的安全運行，水電廠內(nèi)部網(wǎng)絡(luò)間以局域網(wǎng)運行可以達(dá)到較高的安全及速度標(biāo)準(zhǔn)。

此外，對于水電廠網(wǎng)絡(luò)病毒防范系統(tǒng)功能的選擇與鋪設(shè)也應(yīng)該謹(jǐn)慎選擇，病毒與后門程序是水電廠信息網(wǎng)絡(luò)系統(tǒng)中威脅最大的隱患，水電廠信息網(wǎng)絡(luò)系統(tǒng)病毒防御功能應(yīng)該集中地包含至少四個部分，分別為：

①電廠計算機(jī)系統(tǒng)病毒清掃軟件能夠分別對各個子系統(tǒng)進(jìn)行多層次清掃，對于信息網(wǎng)絡(luò)的工作站、網(wǎng)關(guān)、伺服器都能設(shè)置病毒防御，以便多角度的進(jìn)行病毒查殺；②專機(jī)專用的病毒查殺軟件的客戶端既要安裝在計算機(jī)主監(jiān)控系統(tǒng)中，其余子系統(tǒng)也必須擁有獨立的查殺能力；③電廠電力生產(chǎn)控制軟件及信息資源管理系統(tǒng)軟件應(yīng)能夠配合殺毒軟件配置成為分布式運行，設(shè)置病毒伺服器窗口；④水電廠信息網(wǎng)絡(luò)系統(tǒng)專用殺毒軟件具備兼容特性，多種殺毒軟件的聯(lián)合清掃很有必要，盡力顧及到每個查殺死角。[5]

2結(jié)束語

水電廠是關(guān)乎國計民生的國家重點建設(shè)基礎(chǔ)設(shè)施，其信息網(wǎng)絡(luò)系統(tǒng)的安全運行與否直接決定國家電網(wǎng)安全與居民生活質(zhì)量，因此需要引起相關(guān)部門的充分重視，而在網(wǎng)絡(luò)電子信息犯罪層出不窮的今天，對于水電廠起到“雙刃劍”作用的網(wǎng)絡(luò)自動化建設(shè)更要尤其重視安全防護(hù)的研究，以此來拱衛(wèi)國防及民生安全。電力部門應(yīng)遵循電子自動化系統(tǒng)網(wǎng)絡(luò)獨立的原則，實現(xiàn)系統(tǒng)間專用局域網(wǎng)的鋪設(shè)，大力發(fā)展多層高效率的網(wǎng)絡(luò)防火墻建設(shè)，借鑒國外相關(guān)經(jīng)驗，保持水電廠信息網(wǎng)絡(luò)對于電力運營的效率提升作用，同時也防止不法分子對于電網(wǎng)網(wǎng)絡(luò)的破壞及利用，這樣才能保證水電廠及時、高效的輸出入電能，造福國人。

參考文獻(xiàn)：

[1]楊非.水電廠二次自動化系統(tǒng)安全防護(hù)的設(shè)計與研究[J].水電廠自動化,2011(3):18-20.

[2]余勇,林為民.電力信息系統(tǒng)安全防護(hù)總體框架的研究[J].信息網(wǎng)絡(luò)安全,2005(9):58-60.

[3]徐俊.電力二次系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)體系整改的探討[J].湖北電力,2010(7):47-49.

第4篇：信息網(wǎng)絡(luò)安全評估的方法范文

關(guān)鍵詞：電力企業(yè)信息系統(tǒng)安全防護(hù)

前言

隨著企業(yè)的生產(chǎn)指揮,經(jīng)營管理等經(jīng)營活動越來越依賴于計算機(jī)信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務(wù)等問題,則將對電網(wǎng)的安全運行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟(jì)效益等造成不可估量的損失,高技術(shù)在帶來便利與效率的同時,也帶來了新的安全風(fēng)險和問題。

一、電力企業(yè)信息安全風(fēng)險分析

1、電力公司信息安全的主要風(fēng)險分析

信息安全風(fēng)險和信息化應(yīng)用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風(fēng)險存在于如下幾個方面:

（1）計算機(jī)病毒的威脅最為廣泛：計算機(jī)病毒自產(chǎn)生以來,一直就是計算機(jī)系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機(jī)病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡(luò)通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務(wù)甚至破壞后無法恢復(fù),特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災(zāi)難性的。

在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計算機(jī)病毒的傳播更加迅速,一臺計算機(jī)感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計算機(jī)系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡(luò)尚未聯(lián)通之時相比,高出幾個數(shù)量級。

（2）網(wǎng)絡(luò)安全問題日益突出：企業(yè)網(wǎng)絡(luò)的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應(yīng)用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠(yuǎn)程教育培訓(xùn)系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。

網(wǎng)絡(luò)聯(lián)通也帶來了網(wǎng)絡(luò)安全問題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進(jìn)行管理,互聯(lián)網(wǎng)更是連接到國際上的各個地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動機(jī),對電力公司網(wǎng)絡(luò)上的連接的計算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵,攻擊等,影響網(wǎng)絡(luò)上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),非法使用網(wǎng)絡(luò)資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡(luò)進(jìn)行非法的,影響國家安定團(tuán)結(jié)的活動,造成很壞的影響。

如何加強(qiáng)網(wǎng)絡(luò)的安全防護(hù),保護(hù)企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對信息網(wǎng)絡(luò)的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。

二、電力信息網(wǎng)安全防護(hù)方案

1、加強(qiáng)電力信息網(wǎng)安全教育

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應(yīng)該有一定的層次性和普遍性。

主管信息安全工作的高級負(fù)責(zé)人或各級管理人員，重點是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負(fù)責(zé)信息安全運行管理及維護(hù)的技術(shù)人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護(hù)技術(shù)的合理運用等。

信息用戶，重點是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。當(dāng)然，對于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。

2、電力信息安全防護(hù)技術(shù)措施

（1）網(wǎng)絡(luò)防火墻：防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口，所有的訪問都將通過防火墻進(jìn)行，不允許任何饒過防火墻的連接。D M Z區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器，既能夠保證提供正常的服務(wù)，又能夠有效地保護(hù)服務(wù)器不受攻擊。設(shè)置防火墻的訪問策略，遵循“缺省全部關(guān)閉，按需求開通的原則”，拒絕除明確許可證外的任何服務(wù)。

（2）物理隔離裝置：主要用于電力信息網(wǎng)的不同區(qū)之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

（3）入侵檢測系統(tǒng)：部署先進(jìn)的分布式入侵檢測構(gòu)架，最大限度地、全天候地實施監(jiān)控，提供企業(yè)級的安全檢測手段。在事后分析的時候，可以清楚地界定責(zé)任人和責(zé)任時間，為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù)，具有高可靠性、高識別率、規(guī)則更新迅速等特點。

（4）網(wǎng)絡(luò)隱患掃描系統(tǒng)：網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP／IP協(xié)議的設(shè)備，掃描的對象包括掃描多種操作系統(tǒng)，掃描網(wǎng)絡(luò)設(shè)備包括：服務(wù)器、工作站、防火墻、路由器、路由交換機(jī)等。在進(jìn)行掃描時，可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。掃描結(jié)束后生成詳細(xì)的安全評估報告，采用報表和圖形的形式對掃描結(jié)果進(jìn)行分析，可以方便直觀地對用戶進(jìn)行安全性能評估和檢查。

（5）網(wǎng)絡(luò)防病毒：為保護(hù)電力信息網(wǎng)絡(luò)受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心，對整個網(wǎng)絡(luò)部署查、殺毒，服務(wù)器通過Internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應(yīng)用軟件。

（6）數(shù)據(jù)加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸螅瑢崿F(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù)，實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠(yuǎn)程接入安全，通過VPN技術(shù)，提高實時的信息傳播中的保密性和安全性。

（7）數(shù)據(jù)備份：對于企業(yè)來說，最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的，必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實際的數(shù)據(jù)備份策略。

（8）數(shù)據(jù)庫安全：通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性，并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。

三、電力信息網(wǎng)絡(luò)安全工作應(yīng)注意的問題

（1）理順技術(shù)與管理的關(guān)系。

解決信息安全問題不能僅僅只從技術(shù)上考慮，要防止重技術(shù)輕管理的傾向，加強(qiáng)對人員的管理和培訓(xùn)。

（2）解決安全和經(jīng)濟(jì)合理的關(guān)系。安全方案要能適應(yīng)長遠(yuǎn)的發(fā)展和今后的局部調(diào)整，防止不斷改造，不斷投入。

（3）要進(jìn)行有效的安全管理，必須建立起一套系統(tǒng)全面的信息安全管理體系，可以參照國際上通行的一些標(biāo)準(zhǔn)來實現(xiàn)。

第5篇：信息網(wǎng)絡(luò)安全評估的方法范文

論文摘要:在軍事活動中，軍事信息的交流行為越來越效繁，局城網(wǎng)，廣城網(wǎng)等技術(shù)也逐步成為了軍事活動中不可或缺的內(nèi)容，信。息的劫持與反劫持等安全技術(shù)占據(jù)了一個舉足輕重的地位。本文擾為了保證我軍軍事秘密這個大前提，對網(wǎng)絡(luò)壞境下軍事信息安全加以闡述.

1軍事信息安全概述

    軍事信息安全一般指軍事信息在采集、傳遞、存儲和應(yīng)用等過程中的完整性、機(jī)密性、可用性，可控性和不可否認(rèn)性。為防止自身的意外原因，實現(xiàn)軍事信息安全，起碼要做到的是:提出有效策略，建立健全信息管理體制，使用可靠、安全的信息傳輸網(wǎng)絡(luò)來保障信息采集、傳遞、應(yīng)用過程中信息的機(jī)密性，完整性、可利用性以及可控制性，信息安全狀態(tài)的確定性;信息的可恢復(fù)性等。

2網(wǎng)絡(luò)環(huán)境下軍事信息面臨的安全威脅

    網(wǎng)絡(luò)軍事安全從其本質(zhì)上來說是網(wǎng)絡(luò) 計算 機(jī)上的軍事信息安全，是指計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改和顯露，在確保系統(tǒng)能連續(xù)正常運行的同時，保證計算機(jī)上的信息安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。軍事信息網(wǎng)絡(luò)安全威脅主要有以下幾點。

2.1計算機(jī)病毒

     現(xiàn)代 計算機(jī)病毒可以借助文件、郵件、網(wǎng)頁、局域網(wǎng)中的任何一種方式進(jìn)行傳播，具有自動啟動功能，并且常潛人系統(tǒng)核心與內(nèi)存，利用控制的計算機(jī)為平臺，對整個網(wǎng)絡(luò)里面的軍事信息進(jìn)行大肆攻擊。病毒一旦發(fā)作，能沖擊內(nèi)存、影響性能、修改數(shù)據(jù)或刪除文件，將使軍事信息受到損壞或者泄露。

2.2網(wǎng)絡(luò)攻擊

    對于網(wǎng)絡(luò)的安全侵害主要來自于敵對勢力的竊取、纂改網(wǎng)絡(luò)上的特定信息和對網(wǎng)絡(luò)環(huán)境的蓄意破壞等幾種情況。目前來看各類攻擊給網(wǎng)絡(luò)使用或維護(hù)者造成的損失已越來越大了，有的損失甚至是致命的。一般來講，常見的網(wǎng)絡(luò)攻擊有如下幾種:

    (1)竊取軍事秘密:這類攻擊主要是利用系統(tǒng)漏洞，使人侵者可以用偽裝的合法身份進(jìn)入系統(tǒng)，獲取軍事秘密信息。

    (2)軍事信息網(wǎng)絡(luò)控制:這類攻擊主要是依靠在目標(biāo)網(wǎng)絡(luò)中植人黑客程序段，使系統(tǒng)中的軍事信息在不知不覺中落人指定入侵者的手中。

    (3)欺騙性攻擊:它主要是利用網(wǎng)絡(luò)協(xié)議與生俱來的某些缺陷，入侵者進(jìn)行某些偽裝后對網(wǎng)絡(luò)進(jìn)行攻擊。主要欺騙性攻擊方式有:ip欺騙，arp欺騙，web欺騙、 電子 郵件欺騙、源路由欺騙，地址欺騙等。

    (4)破壞信息傳輸完整性:信息在傳輸中可能被修改，通常用加密方法可阻止大部分的篡改攻擊。當(dāng)加密和強(qiáng)身份標(biāo)識、身份鑒別功能結(jié)合在一起時，截獲攻擊便難以實現(xiàn)。

    (5)破壞防火墻:防火墻由軟件和硬件組成，目的是防止非法登錄訪問或病毒破壞，但是由于它本身在設(shè)計和實現(xiàn)上存在著缺陷。這就導(dǎo)致攻擊的產(chǎn)生，進(jìn)而出現(xiàn)軍事信息的泄露。

    (6)網(wǎng)絡(luò)偵聽:它是主機(jī)工作模式，是一種被動地接收某網(wǎng)段在物理通道上傳輸?shù)乃行畔?，并借此來截獲該網(wǎng)絡(luò)上的各種軍事秘密信息的手段。

2.3人為因素造成的威脅

    因為計算機(jī)網(wǎng)絡(luò)是一個巨大的人機(jī)系統(tǒng)，除了技術(shù)因素之外，還必須考慮到工作人員的安全保密因素。如國外的情報機(jī)構(gòu)的滲透和攻擊，利用系統(tǒng)值班人員和掌握核心技術(shù)秘密的人員，對軍事信息進(jìn)行竊取等攻擊;內(nèi)部人員的失誤以及攻擊。網(wǎng)絡(luò)運用的全社會廣泛參與趨勢將導(dǎo)致控制權(quán)分散。由于人們利益、目標(biāo)、價值的分歧，使軍事信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使軍事信息安全問題變得廣泛而復(fù)雜。

3 網(wǎng)絡(luò) 環(huán)境下軍事信息安全的應(yīng)對策略

3.1信息管理安全技術(shù)

    軍事信息存儲安全最起碼的保障是軍事信息源的管理安全。隨著 電子 技術(shù)的快速 發(fā)展 ，身份證、條形碼等數(shù)字密鑰的可靠性能越來越高，為了驗證身份，集光學(xué)、傳感技術(shù)、超聲波掃描技術(shù)等一體的身份識別技術(shù)逐漸應(yīng)用到軍事信息安全中來。

    3.1.1指紋識別技術(shù)

    自動指紋識別系統(tǒng)通過獲取指紋的數(shù)字圖像，并將其特征存儲于 計算 機(jī)數(shù)據(jù)庫中，當(dāng)用戶登錄系統(tǒng)時，計算機(jī)便自動調(diào)用數(shù)據(jù)庫中的信息，與用戶信息進(jìn)行比對，以此來保證用戶對軍事信息使用權(quán)的不可替代性。

    3.1.2虹膜、角膜識別技術(shù)

    虹膜識別系統(tǒng)是利用攝像機(jī)來采集虹膜的特征，角膜掃描則是利用低密度紅外線來采集角膜的特征，然后將采集來的信息與數(shù)據(jù)庫中的注冊者信息進(jìn)行比對，借此來保證登錄的權(quán)限，進(jìn)而起到保護(hù)軍事信息安全的作用。

3.2防火墻技術(shù)

    防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)使用者的安全政策控制出入網(wǎng)絡(luò)的信息流。根據(jù)防火墻所采用的技術(shù)和對數(shù)據(jù)的處理方式不同，我們可以將它分為三種基本類型:包過濾型，型和監(jiān)測型。

3.3數(shù)據(jù)加密技術(shù)

    數(shù)據(jù)加密是對軍信息內(nèi)容進(jìn)行某種方式的改變，從而使其他人在沒有密鑰的前提下不能對其進(jìn)行正常閱讀，這一處理過程稱為“加密”。在計算機(jī)網(wǎng)絡(luò)中，加密可分為“通信加密”和“文件加密”，這些加密技術(shù)可用于維護(hù)數(shù)據(jù)庫的隱蔽性、完整性、反竊聽等安全防護(hù)工作，它的核心思想就是:既然網(wǎng)絡(luò)本身并不安全、可靠，那么，就要對全部重要的信息都進(jìn)行加密處理，密碼體制能將信息進(jìn)行偽裝，使得任何未經(jīng)授權(quán)者無法了解其真實內(nèi)容。加密的過程，關(guān)鍵在于密鑰。

3.4數(shù)字簽名技術(shù)

    數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。在傳統(tǒng)密碼中，通信雙方用的密鑰是一樣的，既然如此，收信方可以偽造、修改密文，發(fā)信方也可以抵賴他發(fā)過該密文，若產(chǎn)生糾紛，將無法裁決誰是誰非。

    由于公鑰密碼的每個用戶都有兩個密鑰，所以實際上有兩個算法，如用戶a，一個是加密算法ea，一個是解密算法da。

    若a要向b送去信息m,a可用a的保密的解密算法da對m進(jìn)行加密得da(m)，再用b的公開算法eb對da(m)進(jìn)行加密得:c=eb(da(m)); b收到密文c后先用他自己掌握的解密算ddb對c進(jìn)行解密得:db(c)=db(eb(da(m)))=da(m);再用a的公開算法ea對da(m)進(jìn)行解密得:ea(da(m))二m，從而得到了明文m。由于c只有a才能產(chǎn)生，b無法偽造或修改c，所以a也不能抵賴，這樣就能達(dá)到簽名的目的。

第6篇：信息網(wǎng)絡(luò)安全評估的方法范文

一、引言

近年來，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的成熟，計算機(jī)網(wǎng)絡(luò)應(yīng)用迅速普及。伴隨我國國民經(jīng)濟(jì)信息化進(jìn)程的推進(jìn)和信息技術(shù)的普及，各行各業(yè)對計算機(jī)網(wǎng)絡(luò)的依賴程度越來越高，對信息系統(tǒng)的安全性更加關(guān)注，如何保證網(wǎng)絡(luò)通信的安全性成為人們必須面對的問題。因此，有必要制定并實施計算機(jī)信息系統(tǒng)安全防護(hù)策略以維護(hù)計算機(jī)信息系統(tǒng)正

常工作秩序，防范計算機(jī)犯罪，預(yù)防計算機(jī)安全事故，有效保證計算機(jī)通信網(wǎng)絡(luò)的安全。

二、計算機(jī)通信網(wǎng)絡(luò)安全的現(xiàn)狀

（一）計算機(jī)通信網(wǎng)絡(luò)安全概述

計算機(jī)網(wǎng)絡(luò)由計算機(jī)和通信網(wǎng)絡(luò)兩部分組成，其中計算機(jī)是通信網(wǎng)絡(luò)的終端或信源，通信網(wǎng)絡(luò)提供數(shù)據(jù)傳輸和交換的必要手段，最終實現(xiàn)保存在計算機(jī)中的資源共享。計算機(jī)通信網(wǎng)絡(luò)安全，是指根據(jù)網(wǎng)絡(luò)特性通過相應(yīng)的安全技術(shù)和措施防止計算機(jī)通信網(wǎng)絡(luò)中的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等遭到破壞更改、泄露，防止非特權(quán)用戶竊取服務(wù)，確保網(wǎng)絡(luò)正常運行。從網(wǎng)絡(luò)的運行環(huán)節(jié)來分，網(wǎng)絡(luò)安全有設(shè)備安全、數(shù)據(jù)傳輸安全、用戶識別安全等幾個方面。

（二）目前計算機(jī)信息網(wǎng)絡(luò)安全的研究現(xiàn)狀及動向

1．國外研究現(xiàn)狀及動向。國外對信息網(wǎng)絡(luò)安全研究起步較早，研究的力度大，積累多，應(yīng)用廣。在上個世紀(jì)70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機(jī)保密模型”的基礎(chǔ)上，制定了“可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則”(tcsec)，其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)的密碼學(xué)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。1976年美國學(xué)者提出的公開密鑰密碼體制，克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時解決了數(shù)字簽名問題，它是當(dāng)前研究的熱點。而電子商務(wù)的安全性已是當(dāng)前人們普遍關(guān)注的焦點，目前正處于研究和發(fā)展階段，它帶動了論證理論、密鑰管理等研究，由于計算機(jī)運算速度的不斷提高，各種密碼算法面臨著新的密碼體制，如量子密碼、dna密碼、混沌理論等密碼新技術(shù)正處于探索之中。

2．國內(nèi)研究現(xiàn)狀及動向。我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。目前其研究動向主要從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案。

三、計算機(jī)通信網(wǎng)絡(luò)安全存在的原因

（一）系統(tǒng)自身的問題

由于計算機(jī)網(wǎng)絡(luò)軟硬件系統(tǒng)在設(shè)計時為了方便用戶的使用、開發(fā)、和資源共享以及遠(yuǎn)程管理，總是留有“窗口”或是“后門”，這就使得計算機(jī)在實際運用的過程中由于其系統(tǒng)自身的不完善導(dǎo)致了安全隱患。系統(tǒng)問題主要包括以下幾個方面：

1．網(wǎng)絡(luò)的開放性：網(wǎng)絡(luò)系統(tǒng)的開放性和廣域性設(shè)計使得數(shù)據(jù)的保密難度加大，其中還包括網(wǎng)絡(luò)自身的布線以及通信質(zhì)量而引起的安全問題。

2．軟件的漏洞：通信協(xié)議和通信軟件系統(tǒng)不完善，給各種不安全因素的入侵留下了隱患。如果在使用通信網(wǎng)絡(luò)的過程中，沒有必要的安全等級鑒別和防護(hù)措施，便使得攻擊者可以利用上述軟件的漏洞直接侵入網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

3．脆弱的tcp/ip服務(wù)：因特網(wǎng)的基石是tcp/ip協(xié)議，該協(xié)議在設(shè)計上力求實效而沒有考慮安全因素，因為那樣將增大代碼量，從而降低了tcp/ip的運行效率，所以說tcp/i本身在設(shè)計上就有許多安全隱患。很多基于tcp/ip的應(yīng)用服務(wù)如www服務(wù)、電子郵件服務(wù)、ftp服務(wù)都在不同程度上存在著安全問題這很容易被一些對tcp/ip十分了解的人所利用。

（二）網(wǎng)絡(luò)傳輸信道上的安全隱患

網(wǎng)絡(luò)在傳輸信道上設(shè)計不完善，沒有必要的疲敝措施，這也會給計算機(jī)通信網(wǎng)絡(luò)留下安全隱患。因為如果傳輸信道沒有相應(yīng)的電磁屏蔽措施，那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射，專門設(shè)備是可以接收到。

（三）人為因素

缺乏安全意識和安全技術(shù)的計算機(jī)內(nèi)部管理人員、利用合法身份進(jìn)入網(wǎng)絡(luò)，進(jìn)行有目的破壞的人員、惡意竊取、篡改和損壞數(shù)據(jù)的網(wǎng)絡(luò)黑客以及網(wǎng)上犯罪人員對網(wǎng)絡(luò)的非法使用及破壞等對網(wǎng)絡(luò)構(gòu)成了極大威脅。

（四）其他因素

此外，諸如安全防范技術(shù)、可靠性問題和管理制度的不健全，安全立法的疏忽，以及不可抗拒的自然災(zāi)害以及意外事故的損害等也是威脅網(wǎng)絡(luò)通信安全的重要因素。

四、提高計算機(jī)通信網(wǎng)絡(luò)安全的防護(hù)策略

針對以上提出的影響網(wǎng)絡(luò)安全的因素，我們從計算機(jī)系統(tǒng)、人員方面、網(wǎng)絡(luò)安全策略和安全技術(shù)等方面提出了提高計算機(jī)通信網(wǎng)絡(luò)安全的防護(hù)策略。

（一）提高系統(tǒng)自身性能

計算機(jī)系統(tǒng)在研發(fā)設(shè)計時不能只考慮實效，而應(yīng)該把通信安全因素考慮進(jìn)去。網(wǎng)絡(luò)系統(tǒng)在設(shè)計時應(yīng)該考慮到數(shù)據(jù)的保密難度，完善通信協(xié)議和通信軟件系統(tǒng)，減少軟件系統(tǒng)漏洞。使用通信網(wǎng)絡(luò)的過程中，制定必要的安全等級鑒別和防護(hù)措施，防止攻擊者利用軟件的漏洞直接侵人網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

（二）強(qiáng)化網(wǎng)絡(luò)安全教育，發(fā)揮人在網(wǎng)絡(luò)安全上的作用

要認(rèn)識到計算機(jī)通信網(wǎng)安全的重要性，廣泛開展網(wǎng)絡(luò)安全研究，加強(qiáng)技術(shù)交流和研究，掌握新技術(shù)，確保在較高層次上處干主動。人員是網(wǎng)絡(luò)安全管理的關(guān)鍵之一，人員不可靠，再好的安全技術(shù)和管理手段也是枉然，故計算機(jī)通信網(wǎng)絡(luò)的安全管理必須充分考慮人的因素。加大網(wǎng)絡(luò)管理人才的保留，加強(qiáng)各部門協(xié)作，加大高級網(wǎng)絡(luò)技術(shù)人員的培養(yǎng)和選拔，使他們具有豐富的網(wǎng)絡(luò)技術(shù)知識，同時也具有一定的實踐經(jīng)驗，從而達(dá)到有效的防護(hù)網(wǎng)設(shè)。

（三）制定并認(rèn)真貫徹實施網(wǎng)絡(luò)安全策略

安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護(hù)所必須遵守的規(guī)則。應(yīng)該從法規(guī)政策、管理、技術(shù)三個層次制定相應(yīng)的策略，實現(xiàn)以下“五不”的目的:

1．使用訪問控制機(jī)制如身份鑒別，利用用戶口令和密碼等鑒別式達(dá)到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級，鑒別真?zhèn)危L問地址限制，如果對方是無權(quán)用戶或是權(quán)限被限用戶，則連接過程就會被終止或是部分訪問地址被屏蔽，達(dá)到網(wǎng)絡(luò)分級機(jī)制的效果。阻止非授權(quán)用戶進(jìn)人網(wǎng)絡(luò)，即“進(jìn)不來”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。

2．使用授權(quán)機(jī)制，利用網(wǎng)絡(luò)管理方式向終端或是終端用戶發(fā)放訪問許可證書，防止非授權(quán)用戶使用網(wǎng)絡(luò)和網(wǎng)絡(luò)資源。實現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走”，同時結(jié)合內(nèi)容審計機(jī)制，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。

3．使用加密機(jī)制，使未授權(quán)用戶 “看不懂”，保證數(shù)據(jù)不會在設(shè)備上或傳輸過程中被非法竊取，確保信息不暴露給未授權(quán)的實體或進(jìn)程，從而實現(xiàn)信息的保密性。

4．使用數(shù)據(jù)完整性鑒別機(jī)制，優(yōu)化數(shù)據(jù)檢查核對方式，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，防止數(shù)據(jù)字段的篡改、刪除、插入、重復(fù)、遺漏等結(jié)果出現(xiàn)，從而確保信息的完整性。

轉(zhuǎn)貼于

5．使用審計、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。

（四）提高網(wǎng)絡(luò)安全技術(shù)

1．防火墻。計算機(jī)網(wǎng)絡(luò)的最大特點是開放性、無邊界性、自由性，因而要想實現(xiàn)網(wǎng)絡(luò)的安全，最基本的方法就是把被保護(hù)的網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，使之成為可管理的、可控制的、安全的網(wǎng)絡(luò)，實現(xiàn)這一目標(biāo)最基本的分隔手段就是防火墻。防火墻是網(wǎng)絡(luò)安全的第一道門檻，它的主要目標(biāo)是控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有連接都經(jīng)過這樣檢查，因此它具有通過鑒別、限制、更改跨越防火墻的數(shù)據(jù)流來實現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)。防火墻技術(shù)一般包括數(shù)據(jù)包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)和技術(shù)三大類。

2．密碼技術(shù)。密碼技術(shù)的基本思想是偽裝信息，密碼技術(shù)由明文、密文、算法和密鑰構(gòu)成。其中密鑰管理是一個非常重要的問題，是一個綜合性的技術(shù)，涉及到密鑰的產(chǎn)生、檢驗、分配、傳遞、保存、使用、消鑰的全過程。

密碼類型基本有3種，即移位密碼、代替密碼和乘積密碼。移位密碼是一種通過改變明碼中每個字符或代碼的相對位置獲得的密碼；代替密碼是一種用其它字符或代碼代替明碼字符后獲得的密碼；乘積密碼則是一種通過混合代替方法使明碼變成難以破譯的密碼。在實際加密過程中，一般不單獨使用一種密碼，而是將上述3種密碼經(jīng)過多次變換迭代生成。

3．用戶識別技術(shù)。為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡(luò)需要采用識別技術(shù)。常用的識別方法有口令、唯一標(biāo)識符、標(biāo)記識別等。

4．入侵檢測技術(shù)。入侵檢測技術(shù)又稱為ids，作用在于：識別針對網(wǎng)絡(luò)的入侵行為，并及時給出報警或采取安全措施以御敵于國門之外，它在計算機(jī)網(wǎng)絡(luò)中是非常有效的安全技術(shù)。目前計算機(jī)網(wǎng)絡(luò)大都是基于單一的tcp/ip協(xié)議，其入侵行為的模式有一定規(guī)律可循，而通信網(wǎng)絡(luò)本身就具有不同的種類，有完全不同的內(nèi)部管理和信令協(xié)議，因此通信網(wǎng)絡(luò)入侵檢測技術(shù)對于一般的通信網(wǎng)協(xié)議具有針對性，我們可以利用這一特點，設(shè)計基于節(jié)點的入侵檢測系統(tǒng)或設(shè)計基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，基于節(jié)點的工作日志或網(wǎng)管系統(tǒng)的狀態(tài)搜集、安全審計數(shù)據(jù)以及對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾、解釋、分析、判斷來發(fā)現(xiàn)入侵行為。

第7篇：信息網(wǎng)絡(luò)安全評估的方法范文

【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全；計算機(jī)；網(wǎng)絡(luò)通信

Computer Network Security System Research

Wang Shu-meng Zhang Shuo Jiang Zhao-yin

（Yangzhou Polytechnic College JiangsuYangzhou 225009）

【 Abstract 】 the computer network is widely applied to people's attention, computer network security is very important, we must take effective measures to ensure the security of computer network. This paper analyzes the implications of computer network security system and its security mechanism, and for the current network security should be involved in some of the elements is introduced.

【 Keywords 】 network security; computer; network communication

1 引言

計算機(jī)技術(shù)正在日新月異地迅猛發(fā)展，功能強(qiáng)大的計算機(jī)和Intranet/Internet在世界范圍內(nèi)普及。信息化和網(wǎng)絡(luò)化是當(dāng)今世界經(jīng)濟(jì)與社會發(fā)展的大趨勢，信息資源的深入開發(fā)利用以及各行各業(yè)的信息化、網(wǎng)絡(luò)化己經(jīng)迅速展開;全社會廣泛應(yīng)用信息技術(shù)，計算機(jī)網(wǎng)絡(luò)廣泛應(yīng)用為人們所關(guān)注。

面對當(dāng)前嚴(yán)重危害計算機(jī)網(wǎng)絡(luò)的種種威脅，必須采取有力的措施來保證計算機(jī)網(wǎng)絡(luò)的安全。但是現(xiàn)有的計算機(jī)網(wǎng)絡(luò)大多數(shù)在建立之初都忽略了安全問題，既是考慮了安全，也僅把安全機(jī)制建立在物理安全機(jī)制上。本文分析了計算機(jī)網(wǎng)絡(luò)安全體系的含義以及其安全機(jī)制，并對于當(dāng)前網(wǎng)絡(luò)安全應(yīng)涉及的一些內(nèi)容做了介紹。

2 計算機(jī)網(wǎng)絡(luò)安全機(jī)制分析

安全性機(jī)制是操作系統(tǒng)、軟硬件功能部件、管理程序以及它們的任意組合，為一個信息系統(tǒng)的任意部件檢測和防止被動與主動威脅的方法。安全機(jī)制與安全有關(guān)，機(jī)制是用于實現(xiàn)服務(wù)的程序，OSI定義的安全性機(jī)制有加密、數(shù)字簽名、鑒別、訪問控制、通信量填充、路由控制、公證等。安全和安全性機(jī)制有一定的對應(yīng)關(guān)系，例如:機(jī)密可以通過加密、通信量填充和路由控制來實現(xiàn)。另外，加密不僅可以是機(jī)密的成分，而且還可以是完整性和鑒別服務(wù)的成分。

各種安全機(jī)制中，加密有著最廣泛的應(yīng)用，并且可以提供最大程度的安全性。加密機(jī)制的主要應(yīng)用是防止對機(jī)密性、完整性和鑒別的破壞。

數(shù)字簽名是一種用于鑒別的重要技術(shù)。數(shù)字簽名可以用于鑒別服務(wù)，也可以用于完整和無拒絕服務(wù)。當(dāng)數(shù)字簽名用于無拒絕服務(wù)時，它是和公證一起使用的。公證是通過可信任的第三方來驗證(鑒別)消息的。

對于網(wǎng)絡(luò)終端用戶來說，最通常的安全性經(jīng)歷是通過使用口令來實現(xiàn)訪問控制?？诹钍且粋€字符串，用來對身份進(jìn)行鑒別。在獲得對數(shù)據(jù)的訪問權(quán)之前，通常要求用戶提交一個口令，以滿足安全性要求。問卷與口令有很近的親緣關(guān)系，它也是鑒定身份的方法。問卷使用合法用戶知道而其他人不大可能知道的信息，例如詢問用戶親屬的姓名等，這是一個常見而且應(yīng)用很廣的方法。還有各種用于身份鑒別的產(chǎn)品，它們采用了比上述方法更好的技術(shù)。例如:一些比較聲音、手寫簽名、指紋的系統(tǒng)等。

3 網(wǎng)絡(luò)安全所涉及的內(nèi)容

計算機(jī)網(wǎng)絡(luò)安全涉及的內(nèi)容主要包括保密性、安全協(xié)議設(shè)計和接入控制等。

3.1 保密性

為用戶提供安全可靠的通信是計算機(jī)網(wǎng)絡(luò)最重要的服務(wù)內(nèi)容。盡管計算機(jī)網(wǎng)絡(luò)安全不僅局限于保密性，但不能提供保密性的網(wǎng)絡(luò)肯定是不安全的。網(wǎng)絡(luò)的保密性機(jī)制除了為用戶提供通信保密之外，同時也是許多其他安全機(jī)制的基礎(chǔ)。

3.2 安全協(xié)議設(shè)計

計算機(jī)網(wǎng)絡(luò)的安全性協(xié)議是網(wǎng)絡(luò)安全的一個重要內(nèi)容。如果網(wǎng)絡(luò)通信協(xié)議存在安全缺陷，那么攻擊者就可能不必攻破密碼體制就可獲得所需要的信息或服務(wù)。目前的安全性協(xié)議主要是針對具體的攻擊設(shè)計的，那么如何保證一個協(xié)議的安全性？這通常有兩種方法:一種使用形式化證明一個協(xié)議是安全的；另一種使用設(shè)計者的經(jīng)驗來判定。

3.3 接入控制

計算機(jī)網(wǎng)絡(luò)的一大優(yōu)點就是能夠共享資源，但如果這種供銷沒有什么限制，將帶來許多安全問題，所以有必要對接入網(wǎng)絡(luò)的權(quán)限加以控制。但由于網(wǎng)絡(luò)是一些地理上分散的計算機(jī)系統(tǒng)通過通信線路互相連接起來的一個復(fù)雜系統(tǒng)，所以它的接入控制機(jī)制比操作系統(tǒng)的訪問控制機(jī)制更復(fù)雜，尤其在高安全性級別的多級安全性情況下更是如此。

4 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系結(jié)構(gòu)

事實上，網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的不同層次有不同的安全功能，要采取的安全機(jī)制也是各不相同的。

4.1 用戶安全層

用戶安全層不屬于OSI環(huán)境，由于OSI標(biāo)準(zhǔn)是不針對非法用戶進(jìn)行直接防范的，但是在一些非法用戶進(jìn)入系統(tǒng)之后，對網(wǎng)絡(luò)安全就會有很大的威脅，因此，這時的用戶安全層就可以對非法用戶起到遏制作用?？梢?，網(wǎng)絡(luò)安全層是安全服務(wù)的最基本環(huán)節(jié)，也是一項重要的安全措施。用戶安全層對用戶提供訪問控制安全服務(wù)，可以識別非法以及合法用戶。并采用加密措施、數(shù)據(jù)完整性和認(rèn)證互換機(jī)制等技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全服務(wù)。

4.2 應(yīng)用安全層

該層主要包括OSI環(huán)境的應(yīng)用層、表示層和會話層，應(yīng)用安全層可以對信息傳輸、域名服務(wù)、遠(yuǎn)程終端等網(wǎng)絡(luò)運行指定一條有效的運行標(biāo)準(zhǔn)，為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換。負(fù)責(zé)系統(tǒng)內(nèi)部的數(shù)據(jù)表示與抽象數(shù)據(jù)表示之間的轉(zhuǎn)換工作，還能實現(xiàn)數(shù)據(jù)加密和解壓縮等轉(zhuǎn)換功能。在這一層，用戶可以實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證、數(shù)字簽名、防止否認(rèn)，及加密等安全措施，不僅保護(hù)了用戶信息的安全，也加強(qiáng)了網(wǎng)絡(luò)信息的完整性，避免一些非法用戶利用信息漏洞干擾計算機(jī)的運行。

4.3 端-端安全層

包括OSI環(huán)境的傳輸層端-端安全層為上層用戶提供不依賴于具體網(wǎng)絡(luò)的高效、經(jīng)濟(jì)、透明的端-端數(shù)據(jù)傳輸服務(wù)。同時可以通過上一層用戶提供安全服務(wù)，以及建立一條獨立的鏈接，或者建立多條鏈接，以此來分散傳輸?shù)臄?shù)量，間斷傳輸?shù)臅r間，這些多條的傳輸?shù)男畔蛻魜碚f都是透明的。端-端安全層不得采用業(yè)務(wù)量來填充技術(shù)，但其余的技術(shù)與其他安全層是相同的。但是，由于端-端安全層的協(xié)議較少，所以人們對他的關(guān)注不如子網(wǎng)安全層。

4.4 子網(wǎng)安全層

包括OSI環(huán)境的網(wǎng)絡(luò)層，它的主要作用就是講數(shù)據(jù)線做一定長度的分組，再將分組信息進(jìn)行傳遞。子網(wǎng)安全層可以使用的安全技術(shù)種類很多，如加密、訪問控制、數(shù)字簽名、路由選擇控制、業(yè)務(wù)量填充和數(shù)據(jù)完整性，這些也都是子網(wǎng)安全層本身的特點。

4.5 鏈路安全層

鏈路安全層就是利用有效手段，將已經(jīng)出現(xiàn)錯誤的鏈接信息轉(zhuǎn)化成還沒有出現(xiàn)錯誤的信息進(jìn)行傳遞。它將數(shù)據(jù)分為一個一個的數(shù)據(jù)幀，以數(shù)據(jù)幀為單位開始傳遞。包括OSI環(huán)境的數(shù)據(jù)鏈路層和物理層，物理層的規(guī)定就是網(wǎng)絡(luò)接口，但是，要在這個環(huán)節(jié)內(nèi)做安全管理是十分有限的，主要是業(yè)務(wù)量填充和加密技術(shù)。

在沒有出現(xiàn)密碼學(xué)之前，加密主要在物理層進(jìn)行，但如今，已經(jīng)很少在物理層上做加密處理了，因為成本高，還不利于管理。數(shù)據(jù)鏈路層可以采用加密技術(shù)，由于不同的鏈路層協(xié)議的幀格式都有區(qū)別，因此，在加密時，必須采取不同的數(shù)據(jù)幀鏈接，可見，在鏈路安全層可以采用數(shù)據(jù)加密和業(yè)務(wù)量填充技術(shù)。

5 安全體系的實現(xiàn)

5.1 安全服務(wù)的選擇

實際實現(xiàn)時，我們通常是對一個具體的網(wǎng)絡(luò)做要求，選擇一個子集加以實現(xiàn)。然而，怎樣選擇合適的子集就成為了關(guān)鍵的問題，因為子集的選擇會直接影響到網(wǎng)絡(luò)的安全。例如，我們在物理層提供安全加密時，當(dāng)密文到達(dá)通信子網(wǎng)，為了開展路由選擇，就必須解碼。此時，計算機(jī)侵襲者就可以通過非法方式獲得信息。又如，僅在網(wǎng)絡(luò)層提供數(shù)據(jù)保密服務(wù)時，外部攻擊可以采取鏈接上獲得沒有加密的三層的報文信息，其余的詳細(xì)信息也很容易獲得。有時，子集的選擇也能滿足特殊的情況。例如，當(dāng)只需要保護(hù)高層的安全時，使安全服務(wù)與通信子網(wǎng)無關(guān)，那所有的安全服務(wù)設(shè)置就可以由高層提供。

5.2 軟件實現(xiàn)和硬件實現(xiàn)

通過軟件實行安全管理也是可行的，其方法是，將所有的安全實現(xiàn)軟件結(jié)合在一起，作為DTE系統(tǒng)軟件的一部分，同時通過計算機(jī)服務(wù)語言對這些軟件進(jìn)行操作。但是，一味地利用軟件，會增加成本和管理難度。為了提高工作效率和安全性，實現(xiàn)軟件和硬件的結(jié)合是進(jìn)行安全服務(wù)的重要手段。

5.3 安全控制器(SCU)

硬件和軟件結(jié)合的方法就是設(shè)計一種安全控制器。這種控制器可有兩種類型。首先是將安全服務(wù)嵌入通信控制器，這種通信控制系統(tǒng)可以有協(xié)議，可以實現(xiàn)有效的安全服務(wù)。其次是將安全服務(wù)獨立到通信控制器之外，重新設(shè)計一種新的控制器。這樣做可以避免修改現(xiàn)有的通信控制器，區(qū)分安全控制器和通信控制器。這兩種安全控制器的功能都是由硬件和軟件相結(jié)合實現(xiàn)的。

6 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。 國際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在上世紀(jì)70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機(jī)保密模型”（Beu& La padula模型）的基礎(chǔ)上，指定了“可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。

安全協(xié)議作為信息安全的重要內(nèi)容，其形式化方法分析始于上世紀(jì)80年代初，目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和漏洞，處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過發(fā)達(dá)國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟(jì)的高速發(fā)展。

7 結(jié)束語

網(wǎng)絡(luò)安全的重要性已經(jīng)有目共睹，特別是隨著全球信啟、基礎(chǔ)設(shè)施和各個國家的信息基礎(chǔ)逐漸形成，信息電子化己經(jīng)成為現(xiàn)代社會的一個重要特征。信息本身就是時間、就是財富、就是生命、就是生產(chǎn)力。因此，各國開始利用電子空間的無國界性和信息戰(zhàn)來實現(xiàn)其以前軍事、文化、經(jīng)濟(jì)侵略所達(dá)不到的戰(zhàn)略目的。隨著計算機(jī)技術(shù)的高速發(fā)展，攻擊網(wǎng)絡(luò)的技術(shù)的不斷更新，單一的安全防護(hù)策略則是不安全的，網(wǎng)絡(luò)安全將是一個系統(tǒng)的概念。未來的計算機(jī)網(wǎng)絡(luò)安全防護(hù)策略方向應(yīng)該是安全措施高度綜合集成的。

參考文獻(xiàn)

[1] 趙立志,林偉.淺析網(wǎng)絡(luò)安全技術(shù)[J]. 民營科技, 2008,(3):193.

[2] 李鐵.網(wǎng)絡(luò)安全層次分析[J]. 甘肅科技, 2008,24(3):16-17.

[3] 楊戰(zhàn)武.網(wǎng)絡(luò)安全技術(shù)探討[J].中國科技信息,2008,(6):109-110.

[4] 姜健.計算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略[J].科技咨詢,2008,(4):113-114.

作者簡介：

汪澍萌（1978-），男，漢族，江蘇揚州人，揚州市職業(yè)大學(xué)，講師；研究方向：計算機(jī)網(wǎng)絡(luò)、現(xiàn)代教育技術(shù)。

第8篇：信息網(wǎng)絡(luò)安全評估的方法范文

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻 PKI技術(shù)

1.概述

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵;其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個VLAN之間設(shè)置防火墻;第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

2.防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下幾條:

2.1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論。

2.2.防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理，這類問題一般用戶根本無從入手，只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對用戶來說，保守的方法是選擇一個通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻不十分熟悉，就有可能在配置過程中遺留大量的安全漏洞。

2.3.管理與培訓(xùn)

管理和培訓(xùn)是評價一個防火墻好壞的重要方面。我們已經(jīng)談到，在計算防火墻的成本時，不能只簡單地計算購置成本，還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

2.4.可擴(kuò)充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提高，用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大了產(chǎn)品覆蓋面。

2.5.防火墻的安全性

防火墻產(chǎn)品最難評估的方面是防火墻的安全性能，即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣，普通用戶通常無法判斷。即使安裝好了防火墻，如果沒有實際的外部入侵，也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險的，所以用戶在選擇防火墻產(chǎn)品時，應(yīng)該盡量選擇占市場份額較大同時又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

3.加密技術(shù)

信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。

3.1.對稱加密技術(shù)

在對稱加密技術(shù)中，對信息的加密和解密都使用相同的鑰，也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護(hù)N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方的。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56為密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。

3.2.非對稱加密/公開密鑰加密

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

3.3.RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分解兩大素數(shù)之積。RSA算法的描述如下：

公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密)

e與（p-1）(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)}

加密：c=me(mod n)，其中m為明文，c為密文。

解密：m=cd(mod n)

利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。

4.PKI技術(shù)

PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸，因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu)（CA）、注冊機(jī)構(gòu)（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合。

4.1.認(rèn)證機(jī)構(gòu)

CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。

4.2.注冊機(jī)構(gòu)

RA（Registration Authorty）是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

4.3.策略管理

在PKI系統(tǒng)中，制定并實現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求，并且能通過CA和RA技術(shù)融入到CA 和RA的系統(tǒng)實現(xiàn)中。同時，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展性和互用性。

4.4.密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4.5.證書管理與撤消系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機(jī)制撤消證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。

5.安全技術(shù)的研究現(xiàn)狀和動向

第9篇：信息網(wǎng)絡(luò)安全評估的方法范文

關(guān)鍵詞：軍事網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)防護(hù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）23-5229-03

隨著軍隊信息化建設(shè)的深入發(fā)展和信息網(wǎng)技術(shù)的創(chuàng)新，軍隊計算機(jī)網(wǎng)絡(luò)在經(jīng)歷二十多年的發(fā)展后，目前在作戰(zhàn)、訓(xùn)練、政工、后勤、裝備等部門都已初具規(guī)模，擔(dān)負(fù)的使命任務(wù)也越來越重要，網(wǎng)絡(luò)中存儲海量的信息數(shù)據(jù)量越來越大。如何在實現(xiàn)軍用網(wǎng)絡(luò)既有功能的基礎(chǔ)上，確保網(wǎng)絡(luò)的高度機(jī)密和安全，始終是一項迫切需要解決的問題。

1 軍事網(wǎng)絡(luò)現(xiàn)狀分析

目前我軍在網(wǎng)絡(luò)應(yīng)用方面還處于初級階段，全軍指揮自動化網(wǎng)和綜合信息網(wǎng)的建設(shè)正面臨轉(zhuǎn)型發(fā)展期，大跨度的網(wǎng)絡(luò)發(fā)展面臨網(wǎng)絡(luò)安全危機(jī)。主要存在以下幾個方面的問題：

1）網(wǎng)絡(luò)信息安全面臨嚴(yán)重威脅

由于軍隊網(wǎng)絡(luò)都采用了國際互聯(lián)網(wǎng)的體系結(jié)構(gòu)，網(wǎng)絡(luò)協(xié)議的開放性和主流操作系統(tǒng)的通用性，使得軍隊網(wǎng)絡(luò)無法避免存在安全隱患。另外，軍用計算機(jī)設(shè)備及芯片大多從市場上購置，可能被潛在對手預(yù)留“后門”或埋有病毒。

2）網(wǎng)絡(luò)建設(shè)無統(tǒng)一標(biāo)準(zhǔn)及不可信接入

由于缺乏頂層設(shè)計與管理，目前全軍各單位之間數(shù)據(jù)格式標(biāo)準(zhǔn)不同，接口不統(tǒng)一，之間資源共享率低，而且大多基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和軟件的研發(fā)都是獨自組織，由此出現(xiàn)軍事網(wǎng)絡(luò)建設(shè)中“大網(wǎng)套小網(wǎng)，小網(wǎng)聯(lián)大網(wǎng)，煙囪林立，漏洞頻出”的現(xiàn)象。

3）網(wǎng)絡(luò)安全風(fēng)險評估技術(shù)發(fā)展和應(yīng)用滯后

常見的軍事信息網(wǎng)絡(luò)風(fēng)險評估主要依靠人工評估和自動評估兩種方法。目前人工評估在我國還占有相當(dāng)?shù)谋壤?，盡管人工評估依靠專家經(jīng)驗，對評估要素收集比較全面，但容易引入主觀因素；而自動評估技術(shù)很多方法介于實時監(jiān)測和靜態(tài)評估之間，在真實網(wǎng)絡(luò)環(huán)境中可操作性不強(qiáng)，在研究方面還欠缺系統(tǒng)性。

4）網(wǎng)絡(luò)用戶水平和安全維護(hù)管理機(jī)制有待完善

與世界先進(jìn)國家相比，我軍用網(wǎng)絡(luò)還處于初步階段，主要以建設(shè)和使用為目的，信息保護(hù)和安全的總體方案還沒得到充分重視，對網(wǎng)絡(luò)的維護(hù)、管理不夠，職責(zé)不清。用戶水平和安全意識與網(wǎng)絡(luò)安全維護(hù)需求還有一定的差距。

2 攻擊軍事網(wǎng)絡(luò)的主要途徑

1）計算機(jī)病毒

計算機(jī)病毒被明確定義為：“編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或程序代碼”。計算機(jī)病毒可存駐在計算機(jī)硬盤或其他設(shè)備中，可通過計算機(jī)網(wǎng)絡(luò)進(jìn)行傳輸。其自身具備：繁殖性、破壞性、傳染性、潛伏性、隱蔽性及可觸發(fā)性。在軍事斗爭中，病毒可以通過電磁輻射注入計算機(jī)，將病毒調(diào)制到電子設(shè)備發(fā)射的電磁波中，利用對方無線電接收機(jī)從電子系統(tǒng)薄弱環(huán)節(jié)進(jìn)入信息網(wǎng)絡(luò)。此外還有固化病毒、節(jié)點注入和網(wǎng)絡(luò)傳播等手段。目前，許多國家都在研制和試驗用于軍事目的的計算機(jī)病毒。如美國中情局和國防保密局曾招標(biāo)研制“軍用病毒”，將病毒和密碼固化在出口的集成電路芯片中，平時長期潛伏，戰(zhàn)時隨時遙控觸發(fā)。由于計算機(jī)病毒的種類和破壞威力在高速增長，病毒機(jī)理和變種不斷進(jìn)化，給病毒的防范工作帶來巨大困難，計算機(jī)病毒已經(jīng)成為軍事網(wǎng)絡(luò)安全的第一威脅。

2）黑客攻擊

由于軍事網(wǎng)絡(luò)存在多種漏洞和缺陷，主要包括：軟硬件缺陷、人為失誤、網(wǎng)絡(luò)協(xié)議的缺陷以及管理缺陷，這些為黑客攻擊提供了攻擊基礎(chǔ)。目前黑客的主要攻擊方式分為：

a）木馬程序

區(qū)別于一般病毒，木馬主要通過自身偽裝，吸引用過下載，以此打開被種者電腦，進(jìn)行任意破壞、竊取文件，甚至遠(yuǎn)程操控。

b）欺騙協(xié)議

針對網(wǎng)絡(luò)協(xié)議缺陷，假冒身份，以欺騙方式獲取相關(guān)特權(quán)進(jìn)行攻擊或截取信息，主要包括源路由欺騙攻擊、Ip欺騙攻擊、ARP欺騙攻擊和DNS欺騙攻擊

c）攻擊口令

黑客把破譯用戶的口令作為攻擊的開始，以此獲得網(wǎng)絡(luò)或機(jī)器的訪問權(quán)和管理權(quán)，就可以隨意竊取、破壞和篡改直至控制被侵入方信息。

d）Dos攻擊

即拒絕服務(wù)攻擊，主要包括攻擊計算機(jī)網(wǎng)絡(luò)帶寬和連通性，其目的使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。目前在此基礎(chǔ)上發(fā)展成DDos攻擊，即分布式拒絕服務(wù)。

e）緩沖區(qū)溢出

攻擊者輸入一超長字符串，植入緩沖區(qū)，再向一有限空間植入超長字符串，導(dǎo)致兩種后果：一是引起程序失敗，可能導(dǎo)致系統(tǒng)崩潰；二是可執(zhí)行任意指令。

而黑客攻擊事件層出不窮。如在2011年6月23日，黑客組織侵入亞利桑那州公共安全部門盜取700份文件。被公布的文件包括數(shù)百份私人信息、培訓(xùn)手冊、個人郵箱、分類文檔等諸多資料。隨后，該組織成功入侵了美國議會網(wǎng)站，貼出了文件系統(tǒng)的基本信息，包括用戶姓名和網(wǎng)頁服務(wù)器的配置文件。6月底，黑客組織公布了美國FBI附屬機(jī)構(gòu)infraGard將近180名員工的郵箱、登陸證書和其他個人化認(rèn)證信息，并迫使中情局對外公眾網(wǎng)站關(guān)停數(shù)小時。

3）設(shè)備攻擊

主要指電磁輻射泄密。電磁輻射主要來源于計算機(jī)及其設(shè)備和通信設(shè)備在信息處理時產(chǎn)生的電磁泄漏。利用高性能的電磁輻射接受等裝置截取信息。大量的成熟產(chǎn)品說明，在一定距離上使用檢測設(shè)備可以接受到任意一臺為采取安全保護(hù)措施的計算機(jī)屏幕信息。如美國96年就推出了DateSun接收機(jī)，其平均接受距離為270米。另外網(wǎng)絡(luò)傳輸?shù)慕橘|(zhì)主要是電纜和電話線路，這為敵方利用網(wǎng)絡(luò)窺探器來截獲傳輸?shù)臄?shù)據(jù)提供可乘之機(jī)。如94年美國一名黑客在許多主機(jī)和主干網(wǎng)上建立窺探器，收集了近10萬個口令和用戶名。

4）軍隊內(nèi)部泄密

網(wǎng)絡(luò)管理員的文化素質(zhì)和人品素質(zhì)影響網(wǎng)絡(luò)安全。網(wǎng)絡(luò)管理員是最直接接觸網(wǎng)絡(luò)機(jī)密的人，他們有機(jī)會竊取用戶密碼以及其它的秘密資料，并且他們的行為可能會破壞網(wǎng)絡(luò)的完整性，是對網(wǎng)絡(luò)安全最直接的威脅。此外網(wǎng)絡(luò)操作人員的非法操作方式，如私自連入互聯(lián)網(wǎng)、使用非保密移動介質(zhì)接入軍網(wǎng)，都會導(dǎo)致巨大的損失和災(zāi)難。

3 相應(yīng)防護(hù)措施

1）病毒防護(hù)措施

對于病毒的防護(hù)，主要可從加強(qiáng)以下幾方面操作：

a）安裝最新版殺毒軟件，運行即時監(jiān)控功能。

b）及時給系統(tǒng)打補(bǔ)丁。

c）不隨意打開來歷不明的軟件和郵件。

d）使用安全性能高的路由器，針對不同協(xié)議攻擊方式配置好相應(yīng)的系統(tǒng)安全策略。

e）采用安全系數(shù)高的密碼

f）對密碼輸入長度進(jìn)行校驗。

2）網(wǎng)絡(luò)防火墻措施

網(wǎng)絡(luò)防火墻是由硬件和軟件組成的一個或一組系統(tǒng)，用于增強(qiáng)內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問控制。防火墻在被保護(hù)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間形成一道屏障，建立一個安全網(wǎng)關(guān)，防止發(fā)生不可預(yù)測、潛在破壞入。它可通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流在實現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。而且采用的防火墻必須具備以下四方面的特征：所以在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過防火墻；只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻；防火墻本身不受各種攻擊的影響；使用當(dāng)前新的信息安全技術(shù)。其中所用到技術(shù)包括：信息過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)以及、檢測技術(shù)。

3）入侵檢測措施

自1987年入侵檢測系統(tǒng)模型被提出后，網(wǎng)絡(luò)入侵檢測技術(shù)得到迅速發(fā)展，目前已逐步取代基于主機(jī)的檢測而成為入侵檢測研究的主流。網(wǎng)絡(luò)入侵檢測是通過分析網(wǎng)絡(luò)傳送的網(wǎng)絡(luò)包來實現(xiàn)對攻擊的檢測。入侵檢測技術(shù)主要分為兩類，即誤用檢測和異常檢測。誤用檢測的基礎(chǔ)是建立黑客攻擊行為特征庫，采用特征匹配的方法確定攻擊事件。異常檢測是通過建立用戶正常行為模型，以是否顯著偏離正常模型為依據(jù)進(jìn)行入侵檢測。以往有多種機(jī)器學(xué)習(xí)方法被引入入侵檢測系統(tǒng)，如神經(jīng)網(wǎng)絡(luò)、遺傳算法、聚類算法等。目前也有多種檢測技術(shù)被國內(nèi)外研究。軍網(wǎng)中需要挑選合適的入侵檢測系統(tǒng)，從而能運行穩(wěn)定而且能有效快速檢測到絕大部分攻擊行為。像現(xiàn)在使用的JUMP網(wǎng)絡(luò)入侵檢測系統(tǒng)，它集成了國內(nèi)外最新的網(wǎng)絡(luò)攻擊行為特征數(shù)據(jù)庫，檢測功能強(qiáng)大。

4）數(shù)據(jù)加密措施

由于軍隊內(nèi)部的數(shù)據(jù)的保密性不言而喻，為保證網(wǎng)絡(luò)信息數(shù)據(jù)的安全，數(shù)據(jù)加密措施應(yīng)運而生。一般數(shù)據(jù)加密算法包括斯四種置換表算法、改進(jìn)的置換表算法、循環(huán)移位算法和循環(huán)冗余校驗算法。部隊常用的數(shù)據(jù)加密技術(shù)一般包括以下三類：

a）鏈路加密

在網(wǎng)絡(luò)通信鏈路上對信息進(jìn)行加密，通常用硬件在物理層實現(xiàn)。實現(xiàn)簡單，即把密碼設(shè)備安裝在兩個節(jié)點的線路上，使用相同的密鑰即可。它主要保護(hù)在信道或鏈路中可能被截獲的部分。但有兩個缺點：一是獨立密鑰多，成本高，二是報文以明文方式通過中央處理機(jī)，容易受到非法竊取。

b）節(jié)點加密

是鏈路加密的改進(jìn)，在協(xié)議運輸層進(jìn)行加密。首先解密接受到的數(shù)據(jù)，然后在節(jié)點的安全模塊中使用不同的密鑰對數(shù)據(jù)進(jìn)行加密。節(jié)點加密也是每條鏈路使用一個專用密鑰，但密鑰之間變換在保密模塊中進(jìn)行。

c）端端加密

在網(wǎng)絡(luò)層以上加密。在整個數(shù)據(jù)傳輸過程中，數(shù)據(jù)一直以密文的形式傳輸，直到數(shù)據(jù)傳輸?shù)浇邮杖酥岸疾贿M(jìn)行解密，達(dá)到一種高度的保密。目前端端加密一般由軟件完成，采用脫機(jī)調(diào)試方式。也可用硬件實現(xiàn)，但難度較大。

5）人員監(jiān)督措施

在軍事信息安全防護(hù)方面，要始終做好人的工作。一是加強(qiáng)對軍事網(wǎng)絡(luò)安全的認(rèn)知；二是提高素質(zhì)；三是嚴(yán)厲打擊各種泄密、賣密行為。

6）防輻射措施

目前針對軍隊輻射泄漏，主要采用：

a）加載干擾器方法

干擾器其功能是對計算機(jī)設(shè)備產(chǎn)生的電磁輻射進(jìn)行干擾，以消除潛在的信息泄漏。一般干擾器與計算機(jī)同步啟動，利用干擾器發(fā)射的干擾信號進(jìn)行干擾，以電子信息對抗的方法防止周圍竊密者截獲信號。

b）建立專用機(jī)房

根據(jù)物理學(xué)屏蔽原理，在機(jī)房外部使用金屬網(wǎng)罩并接上地線可以屏蔽任何電磁輻射。

7）安全風(fēng)險評估措施

選擇恰當(dāng)?shù)脑u估屬性參數(shù)，定義在可操作角度評估軍事信息網(wǎng)絡(luò)面臨的風(fēng)險參數(shù)，建立以時間采樣統(tǒng)計值為主的權(quán)值相關(guān)的網(wǎng)絡(luò)風(fēng)險評估模型。該文采用文獻(xiàn)的模型，選取的評估指標(biāo)包括：軍事信息網(wǎng)全網(wǎng)傳信總延時Td、網(wǎng)絡(luò)和節(jié)點吞吐量Tp、網(wǎng)絡(luò)延遲抖動Tw、每節(jié)點路由表更換的周期Pe、系統(tǒng)服務(wù)響應(yīng)時間Tr和系統(tǒng)恢復(fù)時間Tc。考慮各因素的權(quán)重，得出評估值公式為：

SC=C*P=C1*P1+C2*P2+…+Cn*Pn

其中：0≤P1 ，P2，…，Pn≤1； P1+P2+…+Pn=1

根據(jù)評分給出網(wǎng)絡(luò)風(fēng)險評估結(jié)果，進(jìn)一步加強(qiáng)軍事網(wǎng)絡(luò)薄弱環(huán)節(jié)。在平時對軍事網(wǎng)絡(luò)風(fēng)險評估，可以在戰(zhàn)時提前對軍事信息安全查缺補(bǔ)漏，了解未來的打擊方向。

4 結(jié)論

未來的戰(zhàn)爭中，軍事信息網(wǎng)絡(luò)必將成為敵我雙方爭奪的主要戰(zhàn)場。網(wǎng)絡(luò)安全關(guān)系到戰(zhàn)爭的走勢，甚至直接決定戰(zhàn)爭的結(jié)局。因此，完善網(wǎng)絡(luò)建設(shè)，加強(qiáng)我軍網(wǎng)絡(luò)安全防護(hù)，盡快形成具有我軍特色的、適應(yīng)信息化建設(shè)和未來高科技戰(zhàn)爭需要的安全體系是當(dāng)前的重要任務(wù)。

參考文獻(xiàn)：

[1] 魚靜.網(wǎng)絡(luò)中心戰(zhàn)下軍事信息網(wǎng)絡(luò)風(fēng)險評估技術(shù)的研究[J].計算機(jī)安全，2011（2）.

[2] 周矛欣.黑客攻擊的常見方式及預(yù)防[J].中國教育信息化高教職教，2010（9）.

[3] 王秀和.計算機(jī)網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)裝備，2007（5）.

[4] 高燕.論軍事信息網(wǎng)絡(luò)安全面臨的主要威脅[J].經(jīng)濟(jì)研究導(dǎo)刊，2011（19）.

[5] 朱寧寧.軍事網(wǎng)絡(luò)安全防御的研究[J].電腦知識與技術(shù)，2011，07（1）.