信息防御范文

信息防御范文（精选11篇）

信息防御 第1篇

一、涉密计算机信息安全所面临的威胁

(一) 人为泄密

信息安全最大的安全隐患时人为因素导致的泄密。人为因素导致的泄密可以分为两类:一类是人为无意识的, 因工作失误或一时大意在自己没有意识到的情况下把信息泄露出去, 被敌特分子捕获、窃取、截取。例如, 政府或军队人员将私人计算机连接涉密网, 并且利用网络上的杀毒软件对计算机进行杀毒, 或者是利用信息存储介质经过上操作系统连接涉密计算机, 存储介质中隐藏的木马病毒或间谍程序会将涉密网在线计算机的涉密文件打包窃取。

(二) 网络泄密

1. 涉密计算机联接互联网引发泄密

我国现在使用的涉密计算机中的零部件大部分都是境外公司生产的。Windows操作系统中常见的“缓冲区益处”漏洞如果被人利用, 一台联网计算机可在2分钟内被人攻陷, 并能将计算机中存在的机密文件进行打包窃取, 因此, 涉密计算机一旦连接互联网络, 很有可能会将机密信息泄密给境外敌特分子。

2. 私人计算机联接涉密网引发涉密

如果私人计算机连接涉密网将会存在难以防范的安全风险。第一, 网络中存在的间谍软件、木马病毒、攻击代码等会经过私人计算机进入到私密网络中窃取机密信息。第二, 若果私人计算机接入到涉密网络中, 保密管控将不能在提供有效防护功能, 在私人计算机进行网络下载、信息传递等活动中, 随时都有可能被恶意攻击, 泄露机密。计算机连接涉密网络中的配置ID地址、连接网络账号, 网络传输协议等都是机密事项, 如果这些信息被敌特分子获得计算机内的机密文件必将受到威胁。

3. 信息设备泄密

计算机配套使用的打印机、复印机、传真机等办公设备, 处于工作状态时都会产生一定的电磁辐射, 这也会造成机密信息电磁泄露。敌特分子可在数百米外利用设备可以对这些电磁辐射进行接收放大还原, 获取机密信息。敌特分子还可以在电子设备内部装置存储芯片, 可以存储2-3年的信息资料, 他们利用设备维修或变卖的时候进行回收取出存储数据。

二、涉密计算机管理和防范对策“保守机密, 慎之又慎。

”加强对涉密计算机的安全保密, 必须严格管理, 严密防范

(一) 要在严格管理上下功夫

加强学习保密法规, 提高个人安全防范意识。加强对涉密计算机、涉密存储介质、客户端等的安全管理, 不仅要对机器等硬件方面采取必要的安全防范措施, 更主要的是提高人的安全防范意识, 提高人的安全技能操作。所以, 安全防范重点是对设备和人作为重点来抓, 强化机关人员、涉密部门人员、计算机终端操作人员的涉密法规教育, 不断加强培训其的保密技术能力, 以提高涉密人员的保密意识和保密工作的技能。

(二) 要在加强防范上花力气

第一, 涉及机密文件的计算机必须是单位统一配发的办公专用计算机, 并给涉密计算机建立严格的保密管理档案, 从设备的购置、使用到维修、弃用等都必须记录在涉密管理档案, 对其进行全方面、全寿命的精确管理。不得随意卸载设备装载的“保密管理系统“或者对其权限进行更改及安装双操作系统。第二, 必须拆除涉密计算机的调制解调器, 封闭计算机的无线上网功能, 对计算机实施MAC地址和IP地址绑定, 设定联网端口权限绑定、主机登录控制等措施。所有涉密网的入网端口, 必须设置在安全可空的办公场所, 入网端口不得设置在个人宿舍或非工作场所。第三, 使用的存储介质必须通过”保密管理系统“的认证注册, 对其进行统一的编号, 管理, 也建立严格的涉密管理档案, 实施全方位、全寿命的精细化管理, 切断和外部设备进行交互的途径。做好离岗人员涉密载体的清退工作, 严格预防涉密文件滞留个人手中, 脱离安全控制。第四, 加强对联网计算机的技术检测和安全服务, 及时修补系统漏洞, 定期查杀“木马”, “蠕虫”等病毒程序。

(三) 要在防范技术上下功夫

第一, 运用内容过滤器和防火墙。过滤器技术可以屏蔽不良的网站, 有强大的堵截功能。防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能, 可以有效地将内部网与外部网隔离开来, 保护网络不受未经授权的第三方侵入。第二, 运用VLAN技术。采用交换式局域网技术, 可以用VLAN技术来加强内部网络管理。第三, 进行访问控制。这是网络安全防范和保护的最主要措施之一, 其主要任务是保证网络资源不被非法使用和非法访问。

三、结束语

防范计算机泄密是一项复杂的工程, 需要大家从自身做起, 加强保密意识, 自觉遵守保密规定, 做到涉密器材与互联网的物理隔绝, 并确保维修维护环节的涉密信息的安全。

摘要：计算机应用给我们的工作和生活带来了便捷的同时也存在着一定的安全隐患。文章首先指出了计算机信息安全所面临的主要威胁, 人为泄密、网络泄密、信息设备泄密、存储介质泄密等因素计算机泄密的主要原因, 然后阐述了加强计算机信息管理的措施, 加强管理, 提高保密意识是杜绝泄密的根本, 实现保密器材与互联网的物理隔绝是杜绝泄密的重要保证。

关键词：信息安全,计算机,互联网络,泄密,安全对策

参考文献

[1]王小峰, 连永梅.网络安全的防御策略研究[J].忻州师范学院学报, 2010, (02)

[2]赵禹.信息设备的电磁信息泄漏与防护技术[J].魅力中国, 2009, (04)

信息防御 第2篇

关键词：高校;信息系统;主动安全防御;安全预警

0引言

信息防御远程教育平台设计研究 第3篇

关键词 信息防御；远程教育；平台设计

中图分类号：TP315 文献标识码：B

文章编号：1671-489X（2015）20-0038-02

1 信息防御远程教育平台总体要求

信息防御远程教育平台主要为各类安全管理和装备操作人员提供网络化的信息防御理论教（自）学和考核平台，为受训人员的装备操作、安全管理等技能训练以及综合演练等奠定良好的理论知识基础，对系统应用起着基础性的支撑作用，具有非常重要地位。信息防御远程教育平台在满足实用性、先进性、通用化、标准化、扩展性等基本前提下，还应符合以下要求，以满足系统模拟训练在理论教学方面的需要。

1）在理论学习的教学内容体系上，要在信息防御理论体系的基础上，构建分类科学、结构完整、内容详实的教学内容体系。为此，要分析部队使用人员不同层次、不同目标的学习需求，需提供不同层次、不同类别的教学内容。要对教学内容进行合理的抽象和归纳，科学区分类型，形成完整的、规范的教学内容体系，使信息防御教学内容标准化、体系化。

2）在理论学习的运行模式上，要有针对性地分析部队军事人员使用方式，确定系统的运行模式。通常来说，部队理论学习一般分为集体授课、个人学习、考核验收等常规环节，因此，系统的理论学习也要满足这一要求，要既能脱离模拟训练系统，可以在广域网中独立配置使用以便于用户个人自学，也能够在局域网上同步展开以便于用户集中组织教学和考核。

3）在理论学习的软件实现上，要在符合模块化、开放性、友好性等基本要求的前提下，满足部队人员的操作习惯和使用要求。系统研制的最终目的是面向部队使用，因此在软件实现上除了要采用结构化和面向对象的设计理念外，界面设计要符合通常的操作习惯，业务流程必须要条理清晰、使用方便。

4）在理论学习的实际应用上，要在便于部队实施理论教学与考核的基础上，具有一定的功能扩展。系统首先要满足当前的新型信息防御的理论学习需求，能够为新型信息系统与装备列装部队后迅速展开信息防御模拟训练提供良好的支撑；其次，要针对信息系统与武器装备不断扩充、完善的特点，满足将新装备纳入系统理论学习中来的要求。

2 信息防御远程教育平台功能定位

信息防御远程教育平台主要用于协助部队完成信息防御理论知识、装备操作和安全管理等训练，使受训人员通过低成本的计算机网络在较短时间内提高岗位信息防御能力。为了使远程教育的手段更为直观，信息防御远程教育平台还运用了训练模拟框架，多个子系统相互配合运行。可通过单人单机入网学习和开设远程训练模拟教室两种方式展开针对不同类型培训对象、不同培训级别的远程教育。该平台具有训练成本低廉、组训方式灵活、装备不易损毁、场地不受限制、训练安全性高、便于管理考核等特点，可成为各级部队与院校有关信息防御培训、训练不可或缺的强有力帮手，为设备众多、技术复杂、组网新颖的信息系统尽快形成信息防御能力提供支撑。

3 信息防御远程教育平台模块划分

平台设计中一个非常重要的步骤就是设计软件的功能模块。一个合理的软件结构应该是分块的结构，经过分块得到的部件就称为模块，这些模块可以单独命名且可访问，所有的这些模块组合在一起可以满足问题的需求。这种将软件分成具有一定结构模块的过程称为模块化。根据上文对本系统进行功能需求分析得到的结果，采用模块化设计的原则、方法，经过仔细研究，本系统模块划分如图1所示。实际上，图1所示模块划分只是一个逻辑上的划分，这主要是因为信息防御远程教育平台是一个基于B/S体系结构的，包含有受训人员端、施训人员端、系统管理员端和服务器端的应用程序，同一模块在上述各端的应用程序中均要进行编程实现。

4 信息防御远程教育平台软件结构

由于信息防御远程教育平台要实现的功能较多，规模较大，各层之间相互独立，有利于实现要求的粗粒度、松耦合，为系统今后的升级提供统一接口。经综合分析，本平台采用软件多层架构中的三层架构来实现。

其中数据访问层实现对数据的访问功能，业务逻辑层实现业务的具体逻辑功能，而页面显示层将业务功能在浏览器上显示出来。除这基本的三层之外，可根据开发的实际需求增加其他的层次，特别是在业务逻辑层，常常需要根据业务需求增加层次，以完成相对独立的系统功能。

5 信息防御远程教育平台角色划分

根据对信息防御远程教育平台服务对象的分析，本文把使用平台的角色分为三种类型，即受训人员、施训人员和系统管理员。其中，受训人员又可根据其要学习任务和考核评估等要求的不同，划分为指挥人员、装备操作人员、安全管理人员和系统维护人员。

其中，指挥人员主要利用信息防御远程教育平台进行有关信息防御计划组织、指挥控制等方面的学习和训练，装备操作人员主要利用该平台进行与岗位相关的信息防御知识的学习与运用，安全管理人员则主要进行安全管理制度、规定及运用的学习，系统维护人员则主要学习如何应对信息攻击对系统的破坏，提高信息系统的运行效能。

6 信息防御远程教育平台学习模式

目前常用的网络教学模式的种类较多，本文对近年来我军网络教学模式进行研究和实践，设计本系统的教学模式分别为自主学习模式、施训人员主导模式和在线考试模式，其表现形式是由施训人员完成模式设定，受训人员登录系统后，将会出现进入不同模式的提示，由受训人员根据训练需要选择进入所需的学习模式。

1）自主学习模式。自主学习是指受训人员利用网络环境提供的学习支持服务系统，根据自身需要主动地、有选择地、探索性地学习。自主学习模式是基于教学资源的浏览模式，是本系统的默认模式。在该学习模式下，受训人员可以使用除在线学习和在线考试以外的所有功能。

2）施训人员主导模式。施训人员主导模式是一种以施训人员讲授为主的教学模式。本系统的在线教学模式即是教学主导模式。施训人员启用在线授课功能后，受训人员登录系统直接进入“在线听课”界面，同时也可浏览各种资源，以便在听课过程中查找相关的课程资源。

3）在线考试模式。在线考试模式是受训人员利用系统进行集中考核的模式。施训人员在“考试管理”里利用“组织考试”功能选择考试试卷、确定考试时间和划分参加考试的人员之后，即设定了在线考试模式。在这种学习模式下，需要参加考试的受训人员登录系统后直接进入考试等待界面，尔后进入考试。

7 信息防御远程教育平台配置方式

在运行方式上，信息防御远程教育平台既可以作为信息防御模拟训练系统的一个分系统，在局域网内使用其所有的功能，支持其他分系统在线信息查询；也可以作为单独的系统，配置在独立的服务器上，推广到广域网中使用。两种运行方式具体如下。

1）作为分系统的运行方式：通常采取一人一席的配置方式，为受训人员提供网络化的理论学习和考核平台，并可为信息防御装备操作、安全管理和综合演练等模拟训练席位提供在线的信息查询与帮助等。理论学习信息查询主要提供包括信息防御相关的专业基础、装备操作、安全管理和综合演练等方面的知识查询。

2）作为独立系统的运行方式：通常是配置在单独的服务器上，受训人员和施训人员没有固定的席位，完全根据登录用户名、密码的不同由系统自行确定其角色和权限，类似于独立运行在广域网上的网络教学系统。

参考文献

信息网络安全防御体系建设 第4篇

1 策略及实现方案

1.1 信息外网与信息内网

按照信息安全防护等级高于其它公共服务类企业的原则, 将公司管理信息网分为信息内网和信息外网。信息内网部署涉及企业商业秘密的工程业务应用, 信息外网部署不涉及企业商业秘密的对外业务服务, 并为公司用户提供互联网服务。信息内网PC终端不能访问internet。对外发布信息的服务器只提供对外网的服务, 内部网络不能访问。信息内网服务器不能访问Internet, 信息内网服务器与信息外网服务器之间允许在设置严格安全策略情况下进行互通。

信息外网选用大型交换机作为外网访问区的核心交换机。选用中型交换机作为楼层终端的接入交换机, 选择中型交换机作为外网汇聚交换机。选择网络千兆防火墙作为外网出口防火墙, 直接连接至因特网汇聚交换机, 进入因特网。交换机之间通过链路捆绑实现互连。在大型交换机上起用VRRP热备网关协议, 实现了用户上网的网关热备;在办公区选择一间房间作为集中上网区域, 通过交换机连接至核心交换机处, 接入互联网。信息内网防火墙连接至外网防火墙, 形成双堡垒架构, 在内网和外网之间通过防火墙系统实现了相当强度的逻辑隔离, 对于内外服务器之间的数据交互, 可以通过制定严格的访问策略进行解决, 如通过IP地址, 端口等限制条件严格控制, 这样既保证了外网和内网的隔离, 同时又很好的解决了内外服务器数据交互的问题。

1.2 外网和内网之间

外网和内网之间主要实现了如下策略:外网用户终端和内网用户终端之间完全断开, 不能互访。外网用户只能访问互联网应用, 内网用户只能访问内部应用。外网应用系统和内网应用系统之间的数据交换, 实现基于SQL层面的互通, 阻断其余协议互通。上述策略主要通过双防火墙架构以及国网标准强隔离设备实现, 同时, 对于外网和内网各子区域, 采用了入侵防护设备, 对重点网络区域进行应用层面的保护, 有效降低了黑客攻击和蠕虫病毒泛滥所造成的影响。

1.3 子公司内网和母公司内网之间

子公司内网和母公司内网之间的业务互通主要通过广域网实现, 广域网主要承载涉及大型应用系统等业务。主要实现了如下安全策略: (1) 默认策略为互访全部禁止。 (2) 母公司内网用户可以根据需要访问子公司内网相应应用系统。 (3) 子公司内网用户可以根据需要访问母公司内网相应应用系统。 (4) 母公司用户和子公司用户不能互访。

在具体的安全实现手段上, 主要采取了以下措施:首先, 通过采用基于MPLS VPN技术进行广域网组网, 完成了各种业务横向隔离, 纵向贯通。其次, 在子公司内网架设出口防火墙, 同时在母公司内网架设入口防火墙, 通过两套防火墙的访问控制元素 (如源地址、源端口、目地址、目端口, 时间段) 等手段, 实现了可控能控目的子公司和母本部业务互访。最后, 在远期在子公司局网络和母公司网络之间部署入侵防御系统, 进一步提高这两个区域网络之间的安全互访水平。

1.4 数据中心网络和子公司内网及母公司内网之间

数据中心网络是大型应用系统建设而专设的安全区域网络, 主要实现了如下安全策略:子公司内网用户根据需要可以访问数据中心应用服务器区域, 但不能访问数据库区域, 母公司用户根据需要可以访问数据中心应用服务器区域以及个别数据库服务器区域, 应用服务器区域和数据库区域严格按照IP源地址、IP目地址、源端口、目端口等实现有限互通。数据中心网络主要设计特点如下: (1) 设计了独立的大型系统网络安全分区, 实现了统一集中的安全防御策略。

原有临时的服务器群和母公司局域网服务器群混合在一起, 而局域网服务器群和大型服务器群在制定访问策略的需求上有诸多不同, 造成了相关安全策略的不一致性, 为此, 专门设计建设了独立为大型服务器群服务的系统网络安全分区, 通过细化相关的安全策略需求, 形成了统一集中的安全防御策略, 大大提高了系统的安全访问级别。 (2) 基于网络7层概念, 利用多种层面、多种安全特性的使用, 实现了深度安全防御策略。防火墙实现网络层的安全保护、实现基于应用层的安全防护、交换机实现基于设备本身的集成安全特性。该三重安全防护手段能够实现网络1～7层的全面防护。在数据中心, 采用硬件防火墙实现基于网络层的安全保护、入侵防护系统实现基于应用层的安全保护、高端交换机实现基于设备本身的集成安全特性。该三重安全防护手段实现了完整的网络1～7层的全面防护, 实现了深度安全防御策略。 (3) 基于三层软件设计架构, 实现了应用层和数据库层分区设计的安全防御策略。现有大型软件系统多为B/S架构, 基于这种设计架构, 以及数据是企业生命的理念, 对相关系统进行了应用服务器群和数据库服务器群的划分, 在应用服务器群和数据库服务器群前段分别配置防火墙和交换机, 数据库服务器群只能从应用服务器群发起访问而应用服务器群可从网络其他地方访问通过这种手段, 大大强化了数据库服务器群的安全性。

2 结论

信息防御 第5篇

关键词:企业;安全;信息;技术;防御

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Information Security Technology Design in Enterprise Security Defense System

Yang Dapeng

(Rural Credit Cooperative of Shandong,Huangdao Technology Center,Qingdao250001.China)

Abstract:The Internet has brought convenience and benefits to the enterprise,while Brought risk and security risk for enterprise.By analyzing the existing enterprise network security issues,security defense system for enterprise information security technology in the design of reference.

Keywords:Enterprise;Safety;Information;Technology;Defense

一、前言

在當今的电子商务活动中,互联网已经渐渐成为了获取信息的一条主要途径。国内外各大企业用内部网络技术手段有机地共享企业内部不同部门、不同区域的信息和资源,以实现内部资源的最大利用,以提高工作效率和管理水平。但是,共享资源很有可能通过互联网进入其他的局域网,这样就很容易遭到黑客入侵,导致企业系统瘫痪,重要信息外泄及丢失。互联网在提供方便的同时还带来了一定的危险,因此,企业万万不可忽视网络的安全问题。

二、企业网络中存在的安全问题

企业的内网一旦过渡到电子商务阶段,就会接入互联网,这样可以实时掌握企业的信息,带来一定程度的商业利益,但是也会带来一定的风险。

(一)来自企业外部的风险

互联网的共享性与开放性导致企业在接入互联网时会暴露许多企业内部的资源和信息,带来各种威胁。

1.计算机病毒

计算机病毒是网络上最常见的威胁,它是一种特殊编制的程序,能侵入计算机并摧毁内部存贮的各种信息。

2.黑客

在接入网络时,一些人可以有目的地避开或摧毁企业网络防火墙,侵入企业网络,冒充合法用户登录企业网络,非法使用企业内部资源,私自删改企业内部信息,窃取商业秘密,实施破坏。

3.网络设备瘫痪

网络瘫痪是计算机软件或硬件故障造成的,比如说防火墙出现故障导致安全系统瘫痪,或者服务器负载过大导致数据丢失。

4.使用的软件配置不当或者有错误

这样会影响其他合法使用资源的用户,带来严重后果。

(二)来自企业内部的风险

内部工作人员很有可能操作失误而给企业带来一定的安全隐患,甚至造成损失。员工有时会偷偷利用企业网络处理私事,进入与工作不相干的网站,或者接收私人电子邮件,下载私人文件。这些做法会大大降低企业网络的安全性,招来病毒或黑客。倘若企业内部人员蓄意攻击企业网络,会更加难以防范,也会带来更大的危害。为了牟取暴力,有的公司员工会与企业的竞争对手私通,出卖商业秘密,甚至攻击企业网路系统。

三、企业安全访问体系的设计

企业网络需要全方位的防御,及时发现计算机设备和网络服务器的新漏洞,仅有静态防御是远远不够的,企业网络还要有一定的动态防御能力。建立具有不同功能的防御层,使各个防御层相互支持,可以提高企业网络的动态防御能力。

(一)基于网络防护技术的安全层

防火墙技术、漏洞扫描技术、薄弱环节检测技术、病毒防治技术等都属于安全防护技术,这一层以防护为目的,控制用户访问。

1.在被保护网络和公共网络之间设置网络防火墙,限制、监测、更改数据流,以保护企业网络信息资源不被干扰和破坏。

2.漏洞扫描技术和防泄露技术可以检验系统漏洞,防止信息在传播过程中泄露,将有用的信息限制在安全区内。

3.薄弱环节检测技术可以及时准确地检测出系统异常,防止黑客及病毒入侵。

4.病毒防护技术通过完善软硬件设备、修补缺陷来防止网络薄弱环节被攻击。

基于网络防护技术的这一层可以强制检验所有经过此层的连接,阻止非法访问。但是这一层只能抵御外部入侵,不能抵御内部攻击,这一点犹需谨慎。因此可以考虑使用企业虚拟专用网技术控制重要数据的传输。VPN(企业虚拟专用网)主要公共通信网络为通信数据保密,采用隧技术、加解密技术、密钥管理技术、身份认证技术,保证机密数据的安全传输。

(二)基于入侵检测的安全层

入侵检测技术通过检测计算机网络中违反安全策略行为,可以及时发现并报告系统中的异常现象,保证计算机的安全,它是网络安全防护的重要组成部分。违反安全策略的行为有入侵和滥用两种,入侵是非法用户的违规行为,滥用是合法用户的违规行为。入侵检测系统的应用,能提前检测出入侵攻击嫌疑,利用报警与防护系统进行驱逐,减少损失。即使预警失败,该技术也能在被攻击后收集入侵攻击的有关信息,引以为戒。我们还应该在该层防御中加入内容检查工具,即过滤内容又防护病毒,以防止病毒感染及恶意攻击。

(三)基于控制技术的安全层

控制技术即口令控制和访问控制。口令控制技术可以设置口令技术来判断用户的身份和用户享有的使用资源的权限,防止黑客入侵。访问控制可以确定特定用户的合法性和访问权限,并通过特定的访问路径,保护信息资源的合法利用。判断访问权限的方法有三种:强制法、随意法和基于角色的判断法,最后一种方法比较安全,值得提倡。

四、结论

在知识经济化和信息化程度日益加深的今天,网络已经渗透到了人们的生活中,企业网络应用也越来越普及。在企业与企业的竞争中,网络能给企业带来一定的商业利益,因此企业网络比家庭网络更容易受到侵入和损害。设计出更安全的网路防御体系,对于企业的安全规划具有重要的现实意义。与此同时,还要注重培养内部员工的安全意识,组建一支分析企业信息风险的专业队伍,加大信息安全防范和管理的力度,增强企业网络的应急能力。

参考文献:

[1]孟杰,李飒.艾克斯特:打造企业的“安全通道”——访艾克斯特网络安全事业部总经理秦仕存[J].《中国制造业信息化:学术版》,2005年第5期

[2]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].《华东电力》,2010年第5期

信息防御 第6篇

智能电网已成为电网发展的必然趋势, 它是实现能源向清洁化、低碳化、高效化发展的重要途径。智能电网的建成将集中解决日益紧迫的能源安全、能源配置等问题, 有助于发展清洁能源, 提高能源利用效率。信息化发展是智能电网建设的重要内容, 电力企业依据各自的电网特点和发展要求, 加大了信息化在发电、输电、变电、配电、用电、调度和信息通信等环节的建设和推广力度, 通过信息化促进了安全接入、海量存储、监测分析和智能控制等领域智能电网的建设和发展。

2 智能电网建设面临的安全问题

智能电网贯穿了发电、输电、变电、配电、用电、调度6个环节, 涵盖了工业控制系统、信息系统及网络控制、通信控制系统以及智能电表等领域。随着智能化、互动化程度的提高, 智能电网的信息安全防护将面临新的挑战。

2.1 网络更广

无线局域网、移动通信网络、卫星通信等多种通信方式和多种网络协议并存, 使得电力通信网络更加复杂。在数据传输过程中存在被非法窃听、篡改和破坏的风险, 会威胁到输配电线路实时监测数据、用电信息采集系统对其终端进行控制的指令、智能小区内控制指令、充电站控制指令等传输数据的安全。

2.2 交互更多

信息系统集成度和融合度更高, 业务系统之间以及业务系统与外界用户实时交互更加丰富、频繁。在发生海量数据交互时, 往往会出现数据吞吐量过大的问题, 造成网络波动、业务过载。此外, 终端用户信息交互存在着被泄露、篡改和破坏的风险。例如: (1) SG-ERP系统以外事故可能导致多个业务无法展开; (2) 网上营业厅存在交易敏感信息泄露的风险; (3) 用户购电卡余额可能被篡改。

2.3 技术更新

新型无线通讯技术、智能设备、虚拟化、物联网、云计算等前沿技术逐步成熟, 多网融合等应用也更加广泛。由于新型技术、智能设备本身存在安全缺陷, 广泛应用后各类信息安全问题将会突显出来。例如: (1) 由于应用了多网融合技术, 来自互联网、广电网、电信网及其他网络的攻击都会导致智能电网停止服务; (2) 智能变电站采集、测量、保护、控制终端与调度中心之间控制指令被篡改或伪造, 导致大面积停电事故。

2.4 用户更泛

智能家电、智能表计、分布式电源设备等多种智能终端大量接入, 且类型多样, 存在信息泄露、非法接入和被控制的风险。例如: (1) 伪造分布式电源设备非法接入电力网, 造成信息泄露或系统被控制; (2) 智能电视、冰箱等存在个人信息泄漏和反向被控制的风险; (3) 电力监控、采集终端非法接入小区或家庭。

3 面向智能电网的信息安全防护

3.1 智能电网信息安全技术需求

智能电网作为物联网时代最重要的应用之一, 将给社会发展带来巨大的变革, 但是智能电网的开放性和包容性也使其不可避免地存在信息安全隐患。相比于传统电力系统, 智能电网的失控不仅会造成经济上的损失, 更会危及到社会和人身安全。因此, 在建设智能电网的过程中, 必须充分考虑智能电网的信息安全问题。需要针对电网核心应用及业务系统安全防御建设, 研究开发电网基础信息网络和重要信息系统的安全保障技术, 以及复杂大系统下的主动实时防护、网络信任体系、恶意攻击防范、网络病毒防范、安全存储与新密码技术, 同时设计一个完整规范的智能电网信息安全技术体系。

3.2 信息安全建设发展方向

智能电网信息安全建设工作的开展, 需要坚持以信息化为基础, 有效整合技术资源, 推进资源配置优化。同时, 以智能电网新型安全业务需求为导向, 面向建设信息化、智能化、互动化的智能电网发展方向, 构建企业级智能电网信息安全综合防御体系, 并加强对电网业务应用系统的安全管控。未来信息安全建设工作将会向技术自动化、多元化、核心化的方向发展, 主要体现在以下几个方面: (1) 突破制约信息安全建设发展的核心技术, 掌握高性能安全计算、高速无线安全通信、关键硬件防护元器件开发等新一代安全核心技术, 提高自主研发能力和整体信息安全技术水平。 (2) 加强重点安全技术横向联动和纵向集成, 以业务应用安全需求为导向, 研发面向智能电网业务安全的新型安全防护技术, 加快对传统应用系统防护技术的升级和更新。 (3) 研发网络信息安全关键技术, 建立网络信息安全技术保障体系, 重点建设高可信网络, 有效防范各类未知安全突发事件, 提升智能电网信息网络防护水平。 (4) 解决安全体系建设过程中存在的安全性、扩展性、经济性等问题, 加大对信息安全技术的研发力度, 提高新型安全技术自主知识产权水平和核心技术竞争力。 (5) 充分利用智能化、数字化的现代信息安全技术, 不断深化电网生产控制和管理信息等业务系统的安全建设, 实现信息系统管控过程自动化、业务处理互动化、安全决策科学化、业务平台数字化。同时, 要充分调动各项安全防护资源, 实现管理控制智能处理、业务防护智能作业, 有效促进信息安全防御体系标准化建设, 支撑信息安全体系管控一体化运作, 全面提升智能电网的工作效率和经济效益。

3.3 信息安全防御体系建设

由于安全技术种类繁多, 需要构建对象层次化、结构合理化、管控智能化的安全技术体系防御架构, 以便在智能电网发展的不同阶段, 都能满足信息安全建设的安全需求。安全技术上要强调安全信息高度共享、业务安全高度互动、管控流程高度贯通和系统平台深度集成, 并且要涵盖电网核心应用安全的各个环节。依据“分区、分级、分域”的防护方针, 针对管理信息大区的信息内外网防护需求, 信息安全防护体系的“三级、四线、五域”总体防护方案得以形成。遵循“业务导向、继承发展、合理规划、科学设计”的思路, 以“防攻击、防泄漏、强内控、防外联”为目标, 从安全治理、安全管理、安全技术、平台支撑、基础建设5个方面, 建成了具有动态检测、精确感知、积极管理、主动反应等特征的信息安全主动防御体系, 实现了信息安全预警、保护、检测、响应、恢复和反击等防御能力的全面提升。

3.3.1 深化信息安全技术手段

(1) 在网络安全方面, 全面推广信息网络安全接入平台, 实现对各种业务的统一安全接入与信息交换。建设下一代信息网络安全隔离体系, 满足智能电网环境下内外网信息的安全交互需求。推广非法外联监控系统, 实现对各种非法外联行为的全面监控。 (2) 在主机安全方面, 建立统一漏洞扫描系统和公司统一补丁管理平台, 实现全网漏洞和补丁的统一检测和下发。建设主机防御系统, 全面加强主机安全防护。 (3) 在终端安全方面, 结合信息网络安全接入平台, 推广部署安全终端。开展集中桌面运维工作, 进一步加强终端运维和集中化管理程度。 (4) 在数据和应用安全方面, 建立统一文档安全管理系统, 实现文档授权管理和标准化安全管理。建立数据库审计系统, 保障公司核心数据资源的安全性和完整性。推广敏感内容搜索工具, 实现内外网敏感信息的快速准确检索。开展关键应用系统代码安全检测和应用系统全生命周期安全管理, 建设软件开发质量系统, 进行常态化应用软件、代码、系统平台、安全产品的安全性测试。

3.3.2 完善信息安全基础支撑平台

完善信息安全综合工作平台, 将安全基线、安全监理、外部合作单位管理、信息安全事件管理、容灾中心安全管理等的措施和机制逐步纳入平台, 开展与信息安全综合治理相关的平台固化, 为信息安全主动化管理和综合治理提供支撑。同时, 完善信息运维综合监管系统, 将敏感信息监测、病毒木马监测、非法外联监控、邮件监测、应用安全监测、统一补丁管理、统一漏洞扫描、数据库审计等系统的监测信息逐步纳入平台, 分析网络与信息系统安全态势。此外, 需要完善外网安全监测平台, 实现外网边界监测、网络分析、病毒木马监测、应用层攻击检测、桌面终端管理、敏感信息检测、上网审计以及深度安全分析, 并开展安全认证授权平台建设, 建立全网统一的数字证书系统。

4 结语

未来智能电网将成为物联网在电力行业的应用, 其融合了多种先进的信息安全技术, 如可信计算、云安全等。智能电网将会发展成基于可信计算的可信网络平台, 其可信设备可通过智能认证、智能评估、智能管控等方式融入到系统中, 并借助云安全技术进一步提升其安全性。

摘要：介绍了智能电网发展的意义, 同时从智能电网建设面临的安全问题着手, 分3个方面阐释了面向智能电网的信息安全防护。

关键词：智能电网,安全问题,信息安全防护

参考文献

[1]关志涛, 颜立, 何杰涛, 等.面向智能电网的信息安全技术展望[J].陕西电力, 2010 (6)

构建农发行纵深防御的信息安全体系 第7篇

目前, 农发行已上线运行综合业务系统、信贷管理系统等多类大集中系统, 它们以覆盖全系统的计算机网络为支撑和载体, 系统前台和后台依靠网络进行数据传递和信息交流, 信息安全一旦出现问题, 将会导致系统受到攻击, 业务处理缓慢甚至中断, 由此可见, 信息安全风险是潜在最大的信息科技风险。随着业务的不断发展, 信息系统规模不断扩大, 信息安全威胁不断增多, 对信息安全管理的要求越来越高, 因此, 农发行建立全方面的纵深防御安全体系刻不容缓。

一、信息安全面临的风险与挑战

当前无论从满足业务需求考虑还是从安全方面考虑, 农发行现有的信息安全系统都面临多方面的挑战, 从目前农发行的应用情况和信息安全结构来看, 存在的安全威胁主要有:未经授权而非法访问资源和未经授权而非法使用信息安全资源, 病毒特别是针对信息安全进行攻击的蠕虫病毒的威胁, 黑客对于网络二层和三层的攻击威胁, 针对计算机设备和线路的DDoS攻击与更改配置等。总结起来, 农发行信息安全面临的风险与挑战主要可分为以下几方面。

(一) 缺少安全区域的划分和隔离保护

目前, 农发行还没有对信息安全进行安全区域的划分, 信息安全结构扁平化, 无法进行相应的内部威胁防御措施的部署。因此, 需要进行信息安全域的划分, 这是进行信息安全设计的重要前提和基本准则。

(二) 缺少访问控制和信息安全准入措施

目前, 农发行缺乏相应的信息安全访问控制和准入机制, 对于内部威胁来说, 完全是一个开放的信息安全, 迫切需要实施访问控制和信息安全准入。

(三) 无整体的端点安全防护措施

农发行已在大部分桌面系统上, 部署了Symantec或其他厂家的防病毒系统, 但缺乏专门的病毒管理、监控、报警和病毒库更新分发的控制台以及终端平台加固手段。从整体上来说, 还缺乏完整的终端和相应的管理策略。

(四) 缺乏配置管理工具及管理制度

农发行信息系统设备的配置文件、系统文件的备份和备份介质的管理没有明确的制度保障, 配置和系统软件的备份、版本维护缺少必要的保障措施。设备配置的备份主要依靠管理员手工方式来完成, 但是对于备份及时更新以及安全保管存放, 缺少强制性措施。当信息安系统设备因为信息安全因素导致配置丢失或被篡改、硬件损坏、系统软件被破坏的情况下, 信息系统管理人员不能够迅速地恢复信息系统。

(五) 缺少安全监控机制和预警工具及机制

当前农发行还没有对信息运行设备和信息安全事件建立完善的安全监控系统, 对于信息安全隐患, 攻击行为和由攻击引起的故障缺乏第一手的资料和第一时间的响应。因此, 需要部署一套完整的信息安全监控工具和建立及时响应的管理机制。

二、信息安全纵深防御体系构建思路

信息安全建设是一个系统工程, 农发行信息安全体系建设应按照“统一规划、统筹安排, 统一标准、相互配套”的原则进行, 采用先进的“纵深防御”建设思想充分考虑整体和局部的利益, 坚持近期目标与远期目标相结合, 避免重复投入、重复建设。农发行在设计纵深防御信息安全体系时, 应遵循以下设计方法。

(一) 整体性设计

农发行纵深防御信息安全方案将运用系统工程的观点、方法, 从农发行信息安全整体角度出发, 分析农发行信息安全的安全问题, 提出一个具有相当高度、可扩展性的安全解决方案。从农发行信息安全的实际情况看, 单纯依靠一种安全措施, 并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。纵深防御信息安全方案, 将从系统综合和纵深防御的整体角度去看待和分析各种安全措施的使用, 并注重一致性设计。由于信息安全问题应与整个信息安全的工作周期 (或生命周期) 同时存在, 制定的安全体系结构必须与信息安全的安全需求相一致。在设计信息安全方案时, 充分考虑在实施中的风险及实施周期和成本, 对潜在的实施风险做了充分的分析, 并提出相应的解决对策。

(二) 平衡性设计

安全需要付出代价, 比如资金和性能损失等, 但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。对于信息安全来说, 绝对安全难以达到, 也不一定必要。农发行的信息安全要根据实际情况进行分析, 对信息安全面临的威胁及可能承担的风险进行定性与定量相结合的分析, 然后制定规范和措施, 确定农发行系统的安全策略, 做到保护成本与被保护信息的价值必须平衡。因此, 在设计农发行安全方案时, 将均衡考虑各种安全措施的效果, 提供具有最优的性能价格比的安全解决方案。安全措施必须能随着信息安全性能及安全需求的变化而变化, 要容易适应、修改, 要充分考虑今后业务和信息安全发展的需求, 避免方案单纯因为对系统安全要求的满足而成为今后业务发展的障碍。同时, 信息安全系统的安全技术和安全管理密不可分, 安全方案的设计必须有与之相适应的管理制度同步制定, 并从管理的角度评估安全设计方案的可操作性。

(三) 多重保护设计

信息安全设计方案应该尽量采用最新的安全技术, 实现安全管理的自动化, 以减轻安全管理的负担, 减小因为管理上的疏漏而造成系统的安全威胁。同时, 我们应该清醒地认识到, 任何安全保护措施都不是绝对安全的, 都可能被攻破。因此, 在做安全方案设计时, 不能把整个系统的安全寄托在单一的安全措施或安全产品上, 应该采取多重防护原则, 确保信息系统安全。根据多重保护设计原则, 建立一个多重保护系统, 形成一个纵深防御体系, 体系中各层保护相互补充, 当一层保护被攻破时, 其他层仍可保护信息的安全。

三、信息安全纵深防御体系实施措施

银行信息安全是IT治理的一个有机组成部分, 银行信息安全体系构建方案, 应该参照国际上先进安全体系理论, 结合银行系统业务信息的实际情况, 把各种信息安全策略有机地结合, 从而实现能防范各种威胁、诸多风险和隐患的安全防护系统。根据信息安全的相对性和动态性特征, 构建一套信息安全纵深防御体系, 包含网络级安全 (即物理层、链路层、网络层和传输层的安全) 、系统级安全、应用级安全、管理级安全等内容。信息安全是一个需要不断提高和调整的循环过程, 包括安全策略的制定和实施、安全监控与响应、安全测试、安全的管理和提高等过程。信息安全体系可从技术和管理的角度进行架构, 也可从安全技术体系、安全组织体系和安全管理体系3个方面进行架构 (如图1所示) 。

(一) 信息安全技术体系

信息安全技术体系是利用安全机制、安全服务在技术管理的协调制约下, 按照“全局性、综合性、均衡性”的原则进行适当配置, 以确保网络信息系统中各种网络设备、通信平台、应用系统、用户及其环境的安全、有序和可靠运行。通信平台的安全主要包括广域网传输时数据的加/解密、数据的完整性和保密性保证、拨号访问安全等。网络平台安全包括网络设备热备份和路由迂回、出入网络的访问控制、网络资源服务的访问控制、数据通过网络层的保密性、完整性和可用性以及网络服务的可用性和可靠性、防范网络入侵等。系统平台安全包括操作系统的安全性、安全检测、系统的备份与恢复、防病毒等。应用平台安全包括身份认证、全局资源管理、授权管理、数据加密传输等。环境安全及可靠性是指具有可靠的安全功能和符合一定的安全标准及具有一定的安全机制。安全技术管理应基于分离与制约原则、有限授权、预防为主原则、可审计功能以及安全管理制度等。

(二) 信息安全组织体系

信息的安全组织体系是安全管理体系的组织保障。这个组织体系在国家有关信息安全主管部门的指导下, 遵循国家相关法律法规, 制定相应的安全管理制度和内部的法规政策, 并对内部人员进行安全教育和管理, 指导、监督、考核安全制度的执行。对于农发行这样一个三级管理、四级营业、规模较大的组织, 信息安全控制活动需要多个部门和多个层级的共同参与才能得以实现。为能迅速解决控制过程中出现的问题, 防止内部互相推诿的现象发生, 提高工作效率, 成立全行性的信息安全委员会, 作为信息安全的决策机构, 负责信息安全风险管理政策的制定与执行、监督, 就信息安全管理的效果与有关重大问题及时协调和沟通, 同时成立分层级信息安全日常管理机构和信息安全执行机构, 制定相关职责, 进行职责逐级分解和落实。

(三) 信息安全管理体系

信息安全管理三分靠技术, 七分靠管理, 信息安全管理策略付诸实施的关键是建立起符合银行实际的保障信息系统信息安全管理的管理体系, 从而在管理和技术上保证信息安全管理策略得以完整、准确地实现, 信息安全管理需求全面、准确地得以满足。管理体系是信息系统信息安全管理的关键和灵魂, 主要由法律管理、制度管理、安全培训、人员管理和技术管理五部分组成, 信息安全管理的关键内容是信息安全需求分析和信息安全管理策略制定。根据信息安全管理策略, 建立信息安全管理机制, 合理调配信息安全管理资源, 提供必需的信息安全管理服务。

信息防御 第8篇

电力行业多年来在信息安全防护方面不断探索和实践,建成了以网络隔离、分区分域、纵深防御为主要特点的信息安全防护体系。随着信息安全防护体系的建设,不断有新的安全产品和技术部署到系统内,同时限于电力企业专职安全管理员的数量,难以全面深入地掌握各种信息安全产品的运行维护方法,导致信息安全防护体系的维护压力越来越大。

因此,迫切需要研究如何整合各种安全防护产品和技术,以统一的人机界面为用户展现安全态势,屏蔽底层各类安全产品的差异,并能主动监测系统中的安全风险、自动进行安全漏洞修补,把信息安全运维人员从繁杂的技术细节和“救火队”的角色中解脱出来,从而可以更多地关注信息安全防护体系整体的安全性。

1 关键技术与难点

为增强电力企业信息安全主动防御能力,开展了多年的信息安全服务实践,如风险评估、安全测评、等级保护测评等,在一定程度上提升了电力企业信息安全意识和自主安全防护能力。但目前信息安全服务中仍大量采用人工分析和审计,信息安全服务的效果很大程度上依赖于从业人员的个人业务水平和技术技能,导致信息安全服务项目实施耗时耗力。同时,在很多电力企业中已经部署了安全漏洞扫描系统、入侵检测/防御系统等安全防护产品,但大部分安全服务产品都是专注于特定方面的安全问题,且操作使用复杂,检测报告中各类问题描述和解决方案过于专业,对使用者要求较高。因此,信息安全主动防御系统研究和设计的关键点是如何整合各类现有的安全防护产品,以及如何将信息安全服务固化到系统中等。

1.1 开放式架构技术

现有的安全防护技术和产品种类繁多,有漏洞扫描、等级保护合规性评估、主机系统安全评估、数据库系统安全评估、通用服务安全评估和主机安全加固等,有商用产品,也有免费工具。随着各单位安全防护产品的不断部署,安全防护能力有了一定的提高,但还是停留在“缺什么,补什么”的被动防御阶段,因此,需要研究一种开放式架构技术,在保留各安全防护产品原有功能和作用的开放式架构体系下,将各种单一的安全技术有机地整合起来。

这需要设计统一的标准来做支撑,在此标准下整合各种安全技术和产品。标准设计需要重点考虑开放性和兼容性,尽可能地适应现有安全防护产品和技术。标准应至少包括:统一漏洞库,统一定义漏洞描述、漏洞级别和解决方案;统一交互规范,所有接入系统的安全产品或组件均能相互通信;统一评价指标,定义安全指标项、指标权重和评价算法,确保不同安全产品对同一风险的评价结果的一致性,并最终形成对整个系统的安全态势评价。

在标准的指导下,进行统一接口的设计,相关安全产品接入时需要根据该标准进行适应性升级。可设计一些标准的软件代理模块,降低接入的复杂度。接口的设计除了需要考虑安全保密性,在跨不同等级的安全域时还应满足等级保护国家标准的要求。

1.2 安全防护智能化、综合化和服务一体化技术

信息安全技术发展迅速,信息安全测评方法、技术和工具的发展也具有鲜明的时效性。目前,信息安全测评的发展趋势是智能化、综合化和服务一体化[2]。现行的风险评估理论与实践更注重于资产重要性、资产所面临的威胁和资产存在的脆弱性3方面因素的分析,用三者间的关系来评价资产的风险,相对于资产的全寿命周期而言,是静态而被动的分析。

信息安全发展的趋势是逐渐融合静态脆弱性分析和动态安全态势评估,基于主动防御思想挖掘各个层面的安全漏洞,利用数学模型和智能化分析算法对信息系统的安全脆弱性进行量化评估,在此基础上通过安全态势指标的动态采集、归并、关联、融合及评估,提供信息系统动态运行状况和安全态势的可视化表述及发展趋势预测。

另一方面,信息安全测评与信息安全服务(例如安全治理、安全咨询、体系规划、安全管理、应急响应等)将逐渐融为一体,构成信息系统生命周期的闭环保障体系,利用信息系统前期安全服务的分析数据,实现信息系统风险状况及发展态势的动态评估,为后期安全服务的合理开展提供基础性指导[2]。

2 平台设计

2.1 总体框架设计

电力信息安全主动防御一体化平台主要由数据采集层、数据分析层、风险控制层和管理控制层构成(见图1)。

管理控制层进行整体安全态势的分析、评价、预测与展现,总体安全策略的规划与调整,安全解决方案的设计与执行,风险评价与监控,平台管理,以及多级部署时的上下级联;风险控制层基于漏洞知识库和风险数据库对系统的风险进行控制、降低或规避;数据采集层集成各类安全产品或组件,负责采集基础网络、主机系统、数据库系统、业务应用和通用服务等不同层面的安全属性,并将采集到的原始数据输出到数据分析层;数据分析层基于漏洞知识库对原始数据进行安全性分析,分析结果输出到风险数据库。

为了更好地集成和关联各个组件提供的功能和数据,在电力信息安全主动防御一体化平台中设计了3个数据库,即管理数据库、风险数据库和漏洞知识库。管理数据库存储电力信息安全主动防御一体化平台的管理信息,包括任务信息、报表信息、用户信息;风险数据库存储所有组件检测到的各类安全风险信息;漏洞知识库存储专家的经验知识,包括漏洞分类、漏洞检测插件、漏洞风险描述、解决方案等。

根据电力信息系统集约化建设和垂直化管理的要求,平台按照总部、网省和地市三级一体化部署模式进行设计,通过上下级联实现分布式部署。上一级可对下一级进行监督管理,包括查看信息、下发任务,网省级系统实现对所辖区域信息安全态势的管控、总部级系统实现对全系统安全态势的管控。

2.2 组件设计

2.2.1 基础组件

电力信息安全主动防御一体化平台中的基础组件包括安全测评类组件和安全加固类组件。为了提高组件与平台、组件与组件之间的交互性和兼容性,组件采用统一的架构设计,每个组件由数据库交互模块、网络访问模块和平台交互模块组成。

测评组件基于漏洞知识库对管理控制台下发的测评任务信息进行分析,在漏洞知识库的支持下采集测评对象的安全风险数据,并输出到数据分析模块,分析后进入风险数据库。

加固组件基于漏洞知识库对管理控制台下发的加固任务信息进行分析,根据存储于风险数据库中的测评结果,在漏洞知识库的支持下对测评对象进行加固,加固完成后进行验证,并进入风险监控阶段。其中,加固分本地加固和系统加固2种,前者直接在测评对象上进行,后者考虑到部分加固措施无法在测评对象上实施或实施风险过高,则通过加强边界、网络等其他方面的安全防护措施来达到降低测评对象安全风险的目的。

基础组件设计中难点之一是要开发设计可适应大部分主流安全防护产品的标准软件代理模块,不同来源的产品通过这些代理模块与平台进行交互。另外,如何解决产品自带漏洞库与平台统一漏洞库之间的转换也需要重点考虑。

2.2.2 高级应用组件

电力信息安全主动防御一体化平台中的高级应用组件包括安全态势、安全策略、解决方案和风险监控组件等。

安全态势组件对网络特性、入侵信息、系统性能、安全状况等信息进行关联分析、数据融合和数据挖掘,以可视化方式表述,综合呈现安全态势,并进行安全态势预测和态势对比分析。

安全策略和解决方案组件则根据系统安全态势分析结果动态调整安全防护策略、自动化生成安全加固解决方案,经适度人工干预后下发基础组件自主执行。

风险监控组件实时监控系统的风险数据,在评价指标体系支撑下,对风险进行排序,重点监控高危风险点。

为实现平台在电力行业总部、网省和地市三级一体化部署,平台支持上下级联,下一级接受上一级的管理。

高级应用组件是整个平台的关键部分,解决了通用安全防护软件只针对特定类型安全问题和被动触发式工作模式等局限性,其中安全态势综合分析与预测、可视化展现、自主策略调整与加固、风险评价与监控等是平台研究和设计的重点和难点。

3 结语

在电力信息安全主动防御一体化平台的研究中,设计开发了针对网络、主机操作系统、数据库系统、通用服务、业务应用等一些基础类测评和加固组件,在北京奥运、上海世博、广州亚运等重大信息安全保障活动和常态化风险评估中得到了一定的应用,有效地提高了信息安全防护工作的效率。

今后将根据信息安全防护智能化、综合化和服务一体化的发展趋势,深入研究并设计开发高级应用组件,构建一个涵盖测评与加固、风险监控与评价、安全态势分析与预测、安全策略动态调整与自主加固等功能的平台化安全防护系统,改变目前被动防护、单纯技术防护、疲于应付各种安全防护产品的信息安全防护工作现状,进一步发挥信息安全在电力信息化建设中的保障作用,为信息安全防护工作提供智能决策支持。

参考文献

[1]国家电力监管委员会.《电力二次系统安全防护规定》(电监会5号令)[Z].北京:国家电力监管委员会.2004.

信息防御 第9篇

为了提高网络资源的共享性能, 很多大学已结合校园的实际情况组建了完善可靠的有线局域网络, 便于无线网络用校园原有有线网络间进行数据信息资源的实时共享, 提供WLAN无线局域网络组成的经济可靠性, 大学校园无线局域网通常采用接点网络。WLAN主要针对流动性较强的教学楼、老师办公楼、以及一些大型的会议室等布线不太方便的地方进行网络设计。对于大学校园内的一栋流动性较强的综合大楼其无线局域网的组网结构如图1所示。

从图1可知, 对于一个布线不太便捷的流动性较强的综合大楼而言, 通常采用多个无线AP来实现综合大楼无线局域网络的组建。通过在每楼层中布置一个无线AP, 将网络信号覆盖到该层所需组建无线局域网络的每一个角落, 从而实现网络信息资源的实时共享。但是对于一个大型会议室而言, 其在召开大型会议时所需使用的笔记本和PDA数量必定很多, 这样就很可能造成连接到无线接入终端的无线网络设备过多, 造成网络发生拥塞等影响网络数据通信性能问题;同时多个无线AP同时在同一地方使用, 必定会造成网络信号发生覆盖重复, 从而大大降低网络通信性能。无线局域网络虽然有效克服了有线局域网络使用不灵活等不足, 但由于其组网结构的灵活性必然会引进新型数据传输不安全因素。

2 校园无线网络信息安全综合防御方案

为了确保大学校园无线局域网数据传输的安全可靠性, 在无线局域网组网过程中, 应该结合校园网络的实际情况, 采取多种安全防御策略方案有效提高大学校园无线局域网络的网络数据信息资源的传输和接收安全可靠性能。

2.1 严格监控校园无线网络信号覆盖区域

针对大学校园群体的权限特点, 应该对不同用户使用不同的权限认证安全防护方法, 以此来确保校园无线局域网网络使用的安全可靠性。为了保证大学校园无线局域网网络进行数据信息传得安全可靠性, 在无线局域网络组建过程中, 必须结合校园的实际情况合理布设无线网络用户访问点的天线, 使无线访问点始终控制在校园网络封闭监控范围内, 避免无线网络信号超过校园监控范围。对于大学校园无线网络系统而言, 通常将无线网络天线布设在校园计算机网络监控中心, 尽量减少网络信号泄露到校园外部。在校园无线网络安装调试过程中, 应该使用可移动的无线监测设备对无线网络信号范围进行彻底勘测, 并动态反映在校园无线网络拓扑结构图中, 有效提高无线局域网络信号监测安全可靠性。

2.2 采取不同权限认证体系

对于校园网络而言, 为了充分发挥大学校园内的网络数据信息资源, 通常可以按照校内用户和校外访问用户两类进行权限划分。校内用户主要是学校的教师和学生, 由于其工作学习等需求, 必须能够满足其在校园内随时随地访问校园无线网络资源以及访问Internet数据资源。由于校内用户所访问的数据信息中, 大多是科研成果、研究数据资料、论文、以及教师和学生基本资料信息等, 因此此类用户访问校园无线网络进行无线数据传送和接收的安全性要求非常高。对于安全权限较高的校内用户, 可以采用802.1x认证模式对此类用户权限进行认证, 提供无线网络的安全可靠性。对于校外访问的无线网络用户而言, 其多办是来进行学校概况了解、培训、以及短期学术性交流网络用户, 对于此类用户其安全性较校内用户要低, 对其进行校园无线网络访问最为重要的是访问的方便快速性, 以其浏览校园网相关开放资源和收发邮件等功能。对于校外访问用户可以采用HCP+强制Portal认证模式接入到校园无线网络中, 提高校园无线网络的运行便捷可靠性。

2.3 加强校园无线网络用户密码控制

由于校园无线局域网信息传输的特殊性, 在校园无线局域网不同服务站点上, 应该根据用户权限认证体系对用户密码进行动态控制。严格的用户密码控制策略会使校园无线网络的安全级别得到进一步提高, 不同权限用户密码及认证措施应结合网络的实际情况给予严密的监视, 并采取经常更换WEP密钥等技术手段。采取严密的无线网络用户密码控制可以确认在校园无线局域网服务站点中使用的用户是否具有合法的使用权限, 有效保障校园无线局域网信息数据资源传输的安全可靠性。

3 结语

校园无线网络已经在大学校园网络中得到广泛推广使用, 有效提高了校园资源数据信息的综合利用效率水平。进行校园无线网络组网过程中, 必须严格重视无线校园网络信息安全防护系统的构建, 加强对校园无线网络的安全管理, 尽可能通过严格监控校园无线网络信号覆盖区域、统一身份验证、用户密码控制等技术手段, 以实现校园无线网络和有线网络间的无缝连接, 有效提高校园无线网络信息安全性能水平。

参考文献

层层防御意欲何为 第10篇

陆基型战区导弹防御系统

陆基型是供陆军使用，目前有低、高空层两层防御系统。其中属于低空层的有爱国者反导弹系统以及中型增强型防空(MEAD)系统两大成员。属于高空层的有战区高空区域防御(THAAD)系统。

爱国者反导弹系统

海湾战争以来，美陆军已迅速改进其雷锡恩公司制造的爱国者导弹系统，一种“改进型制导导弹”GEM比海湾战争使用的PAC－2杀伤力更强，射程和射高增加一倍。

经过重大改进，体积更小的新型PAC－3爱国者导弹将于2001年进行部署，它长5.1米，直径0.25米，采用高机动性的直接命中摧毁拦截弹，杀伤力比目前爱国者导弹使用的爆破碎片杀伤弹头更大，射程和射高比GEM提高近一倍。它更能有效地对付战术弹道导弹、巡航导弹和敌机。

中型增强型防空(MEAD)系统

MEAD系统是由美国、德国和意大利合作开发的短、中程高机动性的防空系统。这种低至中空、地对空导弹系统采用增强型PAC－3导弹，为地面机动部队、机场和其它要害部位防止战术弹道导弹、巡航导弹、无人机等的攻击提供全方位保护。该系统机动轻便，能随地面部队一起行动，能用C－130、C－17或德国C－160飞机迅速完成向海外战区的部署。该系统将在8年内开始部署，届时将弥补美陆军爱国者导弹之不足，取代德、意的改进型霍克导弹系统。

战区高空区域防空(THAAD)系统

THAAD系统包括车载发射器、带红外末端导引头的6米长直接命中摧毁拦截弹、10平方米X波段火控雷达、战场管理、指挥控制、通信与情报系统。五角大楼重点发展该系统为的是提高现有爱国者导弹系统保护美海外地面部队免遭类似飞毛腿战术弹道导弹攻击的能力。该系统被视作建立保护美军、盟军及重要城市的有效层状防御系统的关键。它采用直接命中摧毁技术，能远距离、超高空，甚至在大气层外发现来袭导弹，并能对其进行两次攻击，大大减轻了爱国者和其它低空层防御系统承担的压力。该系统还能在足够高的高度上拦截携带化学武器的导弹，以确保化学制剂安全扩散。它所保护的区域要远远大于爱国者导弹。

该系统将于2007年进行初始部署。部署计划分两步实施：第一步能够对付近期威胁，预计2007年能达标；第二步能对付复杂的假目标和更先进的导弹，预计2011年能实现。

海基型战区导弹防御系统

海基型是供美海军部署使用，亦有低空层和高空层两种反导弹系统。它们均是利用海军现有的伯克级DDG－51驱逐舰和提康德罗加级CG－47巡洋舰上的宙斯盾武器系统和标准导弹空防系统改良而成，但尚未完成部署。值得一提的是，该系统研制成功后，因其高度的机动灵活性，可部署在靠近战区附近的公海上，也可靠近前沿冲突区，而不会引发和驻扎在外国领土上陆、空军部队有关的潜在政治问题，对阻吓敌军将有非常大的功效。

低空层反导弹系统

该系统从海上提供类似爱国者导弹那样的保护，在陆军战区导弹防御系统通过空运和海运到来之前，保护部队登陆港、海岸降落场、机场和城市。

洛马公司除改进宙斯盾武器系统的软、硬件以外，现在主要工作是在雷锡恩公司生产的雷达制导SM－2BlockIVA标准导弹上加装末端寻的红外成像导引头、前视引信和改进型自动驾使仪。

1998年9月，CG－47巡洋舰“莱克·埃里”和“波特罗亚尔”号成为首批宙斯盾雷达加装TMD软件的战舰。1998年10月，两舰成功完成海试。他们能在海上提供现称为“中后卫”的用户作战评估系统。该系统将在应急情况下使用，以保护活动于岸上的美军免遭弹道导弹的威胁。目前，美海军正集中力量争取在2003财年使DDG－51宙斯盾驱逐舰具备TMD能力，2004财年达到初始作战能力。

高空层反导弹系统

该系统由低空层TMD项目转化而来，可使宙斯盾战舰保护更广阔的区域免遭来自大气层外弹道导弹的袭击。它除保护面广外，而且一旦宙斯盾战舰部署的地方靠近发射点或介于发射点与目标区之间，还可在导弹上升段和中段进行拦截。

该系统使用雷锡恩公司制造的SM－3直接命中摧毁导弹。该导弹就是在SM－2BlockIV上加装第三级火箭发动机和寻的截杀器。后者是一枚带红外成像导引头的机动弹头，称之为“轻型外大气层射弹”。海军高空层反导弹系统预计到2010年因80枚SM－3导弹部署4艘宙斯盾巡洋舰而具备作战能力。美海军还计划发展更先进、能力更强的第二代高空层反导弹系统。

THAAD系统和海军高空层反导弹系统两者部署后将互为补充，前者将是对付大气层内导弹威胁的唯一系统；而后者主要对付大气层外的导弹威胁。

机载反导弹系统

机载反导弹系统称为“空中机载激光武器”。美空军正在研制一种革命性的机载激光武器，以便在国防部未来TMD系统中发挥重要作用。该武器是一架装载百万吨级(氧化碘)化学激光器系统的宽体波音747－400F飞机，主要目的是利用高能激光击落类似“飞毛腿”的战术弹道导弹。

激光武器飞机机头装有7吨重的转塔，发射直径有篮球大小的激光束，在12000米高空能摧毁300～400千米以外的目标。该项目已取得重大进展，目前正为2003年9月进行“飞毛腿”拦截示范进行工作。

波音公司是该项目工业小组的领头羊，它提供第一架747飞机，目前正对其进行改装。它正在研制战场管理系统，并将组装和试验激光器系统。洛马公司的太空系统公司正在研制目标探测、光束控制和火控系统，TRW公司正在建造激光器。

大气扰动和大气湍流对远距离激光束的影响一直是项目批评者提出的主要技术难点。然而，1999年夏在白沙导弹试验场进行的激光试验表明，激光武器采用的“自适应光学”设计补偿了湍流的变差，使光束能紧紧盯住目标。

信息防御 第11篇

当前网络与信息安全产业已成为对各国的国家安全、政治稳定、经济发展、社会生活、健康文化等方方面面具有生存性和保障性支撑作用的关键产业。网络与信息安全可能会影响个人的工作、生活，甚至会影响国家经济发展、社会稳定、国防安全。因此，网络与信息安全产业在整个产业布局乃至国家战略格局中具有举足轻重的地位和作用。本文对PHP网站设计中信息安全防御的研究具有重要的意义。

1 PHP编码过程中的安全问题及其防范

服务器和PHP的运行环境配置好后，并不意味着网络应用就安全了，程序员的安全意识也起着决定性的作用。如果程序员的安全意识不高，对用户的所有输入都没有进行安全验证，那么，所有有害的指令都将作为合法指令被执行。

1.1 SQL注入的防范

程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使得用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

1）经典的'or 1=1'注入

‘or 1=1’注入是非常经典的注入语句，一般用在登录系统时绕过密码验证，以任意用户名登入。其原理是利用程序员在编写验证程序的时候没有验证用户的输入是否含有非预期的字符串，直接传递给mysql_query()函数执行，or 1=1使得无论密码是否匹配保证验证语句为真，达到绕过密码验证的目的

2）利用union语句的注入

Union语句是利用其特性，使程序默认的语句出错，让程序执行union之后自己构造的SQL语句，达到注入的目的。

3）防SQL注入的通用解决方案

注入的手段是多种多样，十分灵活的，但有一个共同点，都是利用没有对输入进行过滤。防止注入的方法也就是对传递给查询语句的参数进行过滤。

该函数是通过正则表达式匹配常用的注入语句，并对其进行过滤。采用该过滤函数后，使用上述方法再次进行注入时，全部失效。

1.2 XSS跨站攻击

XSS全称为Cross Site Scripting，由于CSS已经用作样式表的简称，故称为XSS。XSS是一种常见的网站攻击的手段。其原理与SQL注入比较类似，只不过利用的HTML标签中注入Java Script脚本，通过在网页的输入框输入一些恶意的内容，通常是Java Script脚本片段达到注入的目的，这些恶意输入在提交之后并重新读回到客户端时，浏览器会解释执行这些恶意的脚本内容，从而影响网页的正常显示。

1)XSS探测

在判断一个网站是否存在XSS漏洞是，经常用到下面这条语句进行探测：

在输入框中输入该语句找到该语句执行的地方看是否有弹窗，如果有，则表示这个网站存在XSS漏洞，这里以留言本为例。

登入留言页面，在输入框内输入检测代码，刷新页面，发现浏览器弹出窗口，表明该留言板存在着XSS漏洞。

2）利用XSS重定向

一旦确定网站存在XSS漏洞，那么攻击手段就有很多种，将当前网页重定向到其他网页是一种比较直接的方法，黑客可以利用这种手法达到刷网站流量，或者在转向的网站上挂上木马，使访问者电脑感染木马病毒的目的，攻击代码如下：

将http://evil.org替换成想要转向的网址就达到注入的目的了。

3）利用XSS弹出其他网页

平时在浏览有些网站的时候经常会出现弹出广告的情况，黑客也会可以利用XSS攻击使正在浏览被攻击页面的用户浏览器弹出窗口，这样又可以利用弹窗来达到挂马的目的了。攻击代码如下：

该段代码是让浏览器弹出一个窗口并打开百度首页，把百度的网址换成挂马的网页，黑客的攻击目的就达到了。

4）利用

攻击代码如下：

2 安全防御常用方法

2.1 平衡风险与可用性

尽量使安全措施对用户透明，使他们感受不到它的存在。如果实在不可能，就尽量采用用户比较常见和熟悉的方式来进行。例如，在用户访问受控信息或服务前让他们输入用户名和密码就是一种比较好的方式。

2.2 跟踪数据

作为一个有安全意识的开发者，最重要的一件事就是随时跟踪数据。不只是要知道它是什么和它在哪里，还要知道它从哪里来，要到哪里去。有时候要做到这些是困难的，特别是当你对WEB的运做原理没有深入理解时。这也就是为什么尽管有些开发者在其它开发环境中很有经验，但他对WEB不是很有经验时，经常会犯错并制造安全漏洞。

2.3 过滤输入

过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤，你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。

3 小结

本文主要研究了在PHP网站代码编写过程中应该注意的一些与安全相关的要点以及一些应该遵守的方法，掌握了这些方法，对PHP网站安全有很大的好处，希望对同行能有一定的参考作用。

摘要：网络具有开放性和共享性的特点,在给人们的生活带来便利的同时,也对网络用户的信息安全带来了威胁。本文研究了在PHP网站开发过程中信息安全防御技术,列举在PHP网站开发时容易出现的安全漏洞以及这些漏洞带来的危害,同时还介绍了黑客常用的攻击手段并给出相应的解决方案。

关键词：安全防御,PHP,网站

参考文献

[1]Stuttard.D,Pinto.M,石华耀译.黑客攻防技术宝典[M].北京:人民邮电出版社,2009.

[2]周绯菲,何文.计算机网络安全技术实验教程.北京:邮电大学出版社,2009.

[3]Stuart McClure,Joel Scambray,George Kurtz,钟向群译.黑客大曝光:网络安全机密与解决方案[M].北京:清华大学出版社,2010.

[4]温施耐德.PHP和MySQL Web应用开发核心技术.北京:机械工业出版社,2006.