网络空间安全措施范文
时间:2024-02-18 17:32:42
网络空间安全措施篇1
颁布网络电磁空间安全战略与信息安全政策
随着网络电磁空间安全问题日益突出,2011年世界主要国家纷纷网络电磁空间安全战略与信息安全政策,确立国家的网络电磁空间及信息安全的目标和行动计划,并进一步规范信息安全建设。
美国颁布多份网络电磁空间战略文件
为全面掌控网络电磁领域的战略主导权,美国防部7月14日《国防部网络电磁空间行动战略》,从顶层规划美军如何发展网络电磁能力。作为统筹美军网络电磁领域发展的纲领性文件,该《战略》对网络电磁空间带来的机遇和威胁进行了全面分析,提出了加强网络电磁空间防御能力的5项战略倡议:①把网络电磁空间作为一个军事行动领域,对部队进行全方位组织、训练和装备;②运用主动防御理念,保护国防部网络和系统;③加强与其他政府部门和私营机构的协作,实现一体化政府网络电磁空间安全战略;④扩大与盟国和国际伙伴的合作,增强共同防御和集体威慑能力;⑤培养并保持一支杰出的专业技术人才队伍,加快技术创新。
美国防部还于11月公布《网络电磁空间政策报告》,系统阐述国防部网电政策和法律、网电行动的国家军事战略等一系列问题。①提出“反击、防御、基础设施”相结合的综合网电威慑概念,一旦美国受到他国的网电攻击,经总统批准,国防部可以使用包括网电进攻和军事打击在内的多种手段进行反击;②强调提升网电空间态势感知能力;③积极推进制定网电能力透明机制和国际规范,使美国掌握他国网电能力的发展态势,并限制他国使用网电武器;④以“全政府”协同的方式保护美国关键网电基础设施和系统。
欧洲国家制定网络电磁空间安全战略
以英国、德国为代表的欧洲国家,纷纷制定本国的网络电磁空间安全战略,全面强化网络电磁空间安全建设工作。英国11月出台《网络电磁空间安全战略》,确定了2015年成为世界上网络电磁空间最安全的国家之一的目标,要求开发保护网电安全所需要的各种技术和能力,进一步提高国家关键信息基础设施遭受网电攻击的恢复能力。
德国2月公布(《国家网络电磁空间安全战略》,明确了德国政府应重点关注的10个网电重要领域。法国2月“信息系统安全防御战略”,提出了成为世界网络空间安全大国的7项行动计划。捷克7月制定《2011-2015年网络电磁空间安全战略》,拟定了实施网络电磁空间安全的6项基本原则和5项措施。
荷兰6月颁布《国家网络电磁空间安全战略》,提出了实现网络电磁空间安全目标的6项行动计划,主要包括成立网络电磁空间安全机构、加强网电威胁与风险分析、增强关键基础设施的适应能力、提高抗击网电威胁的响应能力等内容。
北约6月批准新的网络电磁空间防御政策,提出了北约盟国协调进行网络电磁空间防御的方针和军事行动机制,明确了与伙伴国、国际组织、私营部门和学术界协同进行网络电磁空间防御的原则,并制定了贯彻落实这项政策的行动计划。
此外,为了提高电子数字签名的安全性和实用性,俄罗斯还于4月颁布新的电子签名法。新法律对签名密钥证书的发送、使用、校验以及认证中心的鉴定和服务等规定进行了调整,以推动电子签名的普及应用。
亚洲国家出台网络电磁空间安全计划与政策
韩国、印度等亚洲国家十分重视网络电磁空间领域的发展,通过出台安全计划与安全政策,规划本国的网电建设。韩国8月发表“国家网络电磁空间安全综合计划”,提出了重点推进的5项战略举措:①对重要信息进行加密保护,建立灾难恢复系统,加强国际合作;②引入“三线”防御体系,扩大安全监控范围;③加强国际合作,提高应对黑客攻击的能力;④改进信息安全评价体系,强化安全管理,提高全民网络安全意识;⑤扩充政府信息安全人员,增设信息安全学科,加大信息安全技术研发力度。
印度3月出台“国家网络电磁空间安全政策(草案)”,从网电安全前景、网电威胁性质、网电安全保障程序、技术运用与研发、人员培养和用户责任等6个方面,阐述了印度对网络电磁空间安全建设的指导方针,提出了保障网络安全的战略举措。
组建网络电磁空间防御机构
为了统一指挥信息安全防御力量,德国、以色列、巴西和伊朗2011年相继成立网络电磁空间司令部与防御机构。
德国2011年4月在波恩成立国家网络电磁空间防御中心,其使命是担当信息安全防御指挥中枢,全面评估和分析信息安全事件,迅速制定协调响应计划。该中心将与德国军队、警察和情报机构密切合作,使政府部门能共享信息安全威胁信息,以便及时采取防范措施。
以色列5月成立由80人组成的国家网络电磁空间司令部,其主要职责是保护国防系统和国家重要信息基础设施的安全,抵御其他国家和的网络恐怖袭击。网络电磁空间司令部将直接向总理报告工作。
巴西武装部队8月成立网络电磁空间防御中心,目的是提供一支能随时执行网络电磁空间防御任务的部队,保护军队和政府信息系统的安全。该中心有大约100名具有专业技能的陆军、海军和空军官员,配备一个恶意软件分析实验室和一个特别事件处理中心。
伊朗10月宣布成立一支专门负责网络电磁空间防御的部队,以对抗西方国家针对伊朗的“软战争”。网络电磁空间司令部的人员来自国防和电信部门,并与国家情报机构密切合作。
另外,英国、法国、日本、奥地利和北约也在酝酿成立网络电磁空间防御机构。
不断开发新的信息安全技术
技术创新是装备发展的推动力。2011年,世界各国积极开展信息安全技术研究,取得了许多新成果。
美国防高级研究计划局4月宣布投资2000万美元,实施以全同态加密技术为重点的PROCEED计划,目标是把目前的加密运算效率提高1000万倍,从而达到实用化。一旦全同态加密技术进入实际应用,将为美军发展云计算提供巨大的发展契机。因为利用这项新技术,云端服务器对密文进行运算后得到的结果,与直接对明文进行运算后加密得到的结果一样,可从根本上消除用户对使用云计算服务的安全疑虑。
英国BAE Detica公司4月展示DeticaTreidan网络电磁空间防御新技术。该技术运用基于大规模云计算的独特行为分析方法,检测很难被传统方法发现的潜在威胁迹象,确定哪些地方正在发生秘密网电攻击,并对可能造成的风险级别进行排序,提供给管理人员进行分析和采取防护措施。
瑞士IDQ公司9月研制出一种新型密码监控技术――CypherMonitor。该技术能使用户能监控密码机的安全状态,通过移动电话实时主动报警,还能自动定期报告各种密码机的全面情况,以便管理人员按预定计划或适时对网络进行干
预。
法国泰利斯公司12月开发出具有高可靠性和安全性的高保障密钥管理器keyAuthority 3.0。该技术是一种便于配置的密钥管理技术,可对多种密码设备的密钥进行统一自动化管理,能可控并连续地访问密钥,支持与主要密码设备的传统互通能力。
继续装备新型密码设备
密码装备是信息安全建设的重头戏。2011年,以美国为首的世界各国装备了一大批新型密码设备,密码保密能力显著提高。
美国采办和研发多款新型密码机
推出KG-202密码机
通用动力公司2月推出KG-202密码机,保护存储网络上的静态数据,支持固定和移动存储介质,能使多个安全级的信息存储在一个存储阵列中。它采用B组密码算法,最多可存储31个密钥,最大能支持16个密钥独立控制的安全联结,可对高达绝密级的数据进行加密,坚固耐用,适应战术和战略环境条件。
为KG-250X密码机颁发1类保密证书ViaSat公司5月收到国家安全局为其新型KG-250X密码机颁发的l类保密证书。KG-250x是惟一完全符合“高保障IP密码机互通规范”(HAIPE Is)的超小型高速IP密码机,满足严格的移动任务环境要求,坚固耐用,具有现场抗篡改恢复能力,可对高达绝密级的信息进行加密,支持“全球信息栅格”的端到端安全要求,内置A组和B组密码算法,具有与外国进行HAIPE互通的能力,适合移动、机载、徙步和基础设施联网保密通信。用户可以把它放在作战服口袋内随身携带,随时随地进行保密通信。
装备新型密钥注入设备海军5月签订一份5970万美元的合同,采购新型KIK-1l战术密钥注入设备,供现在和未来部署的战术电台和其他终端密码设备使用。KIK-11是一种坚固、易用的小型化单键可编程设备,采用SierraⅡASIC密码模块,支持所有传统和现代密钥注入接口及协议,与当前和未来密钥管理基础设施的密钥分发体系兼容,能够把密钥快速加载到战场密码设备中。
开发单片密码机
Altera公司11月推出一种新型“现场可编程门阵列”(FPGA)“单片密码机”(SFC),国家安全局已批准其在1类密码系统中使用。它采用的CycloneⅢLS EP3CLS200FPGA,是功耗最低、功能最高的FPGA;具有JTAG端口保护、篡改监视和循环冗余校验等防篡改功能,按照把逻辑、走线和I/O块分开的方法设计,有20万个逻辑部件和396个乘法器,内存8.2兆,静态功耗小于0.25瓦。
澳大利亚推出新型cN6100密码机
澳大利亚8月推出首款基于新一代CN6高速加密平台的CN6100密码机。CN6100是一种可升级的以太网密码机,具有物理抗篡改、网络中断时自动连接建立和恢复、双冗余等功能,与公司当前的CS和CN系列密码机完全互通,能以1~10吉比特/秒的速率保护移动中的通信,为点对点、星形或任意网状环境的以太网提供全线速透明加密。
法国采购保密手机
法国武器装备总署(DGA)9月采购首批1000部Teorem保密手机,供处理机密级防务信息的政府高级官员和军队使用。Teorem手机内置DGA开发的加密算法和密码装置,用户可通过调制解调器收发军事保密信息。据悉,DGAN计将订购14000部这种手机,其中7000部在军队使用。
德国开发新型多点密码机
德国12月开发出速率为10兆比特/秒的DE和DIN多点密码机,供特殊应用领域使用。DE密码机用于小型办公室或远程安全连接的系统,加固型DIN密码机将用于极端环境。这两种密码机能提供独特的完整性保护和重放保护功能,与现用的100兆、1吉和10吉以太网多点密码机完全兼容,从而可以把小网站整合到大型多点以太网网络中。
以色列国防军装备新型无线密码设备
以色列国防军12月表示将为所有部队配备一种称作EladYarok的新型无线保密设备。Elad Yarok不仅能与所有现役无线保密通信设备进行互通,还能通过更先进的RPT信道传输加密的数据,为战场指挥官实时提供包括视频和图像在内的各种保密通信。
阿联酋采购Ectocryp密码设备
阿拉伯联合酋长国9月为军队指挥控制系统采购EctocrypBlueNBlack密码机。Ectocryp Blue按照高保障IP密码机标准设计,加密速率为1吉比特/秒,可以在现场重新编程,能同时实现16000个安全联结,可在一个公共基础设施上保护绝密级的数据。Ectocryp Black采用“保密通信互通协议”(SCIP),能同时处理92个信道的SCIP通信,支持现役和新开发的语音协议及密码算法。
北约批准使用sectra Panthon话密机
网络空间安全措施篇2
关键词:校园;机房;安全
中图分类号:TP393 文献标识码:A文章编号:1673-0992(2010)07A-0073-01
21世纪随着计算机的发展和网络的广泛应用,越来越多的高校都建立了自己的校园网,而这其中很重要的一个环节就是网络中心机房的建设。它不仅集建筑、电气、安装、网络等多个专业技术于一体,更需要丰富的工程实施和管理经验。针对贵方机房建设的要求,并以机房设计规范为依据,对贵方的机房进行设计。主要对机房的装饰、电气、空调、消防、感应门禁、闭路监控等几方面进行着重设计。机房设计的主导思想:首先需要保证机房设备安全可靠地运行,主要考虑机房的供配电系统、UPS不间断电源、防雷和接地等方面。其次要充分满足机房设备对环境的要求,主要考虑机房环境的温湿度、空气的洁净度、防静电和防电磁干扰、机房智能化等方面。因此不但要通过相应的设备(如空调、新风机等)对机房环境进行控制,而且要考虑装饰材料对机房环境的影响。另一方面针对机房的特点,还要考虑机房环境足够的照度和防眩光处理以及机房对噪声的要求。
一、配电系统概况
根据甲方提供的一路市电电源进线,本设计选择一路进线电缆为VV(3x240+2x95)全塑电缆,由甲方引至机房配电箱AP,可提供100A的供电负荷,机房区的全部满负荷时的最大负荷约为50KVA,尚有50%备用容量。机房区供电分成二部分,其中一部分供市电负荷:空调机、新风机、市电插座,照明系统供电,第二部分由UPS供给本网络中心计算机系统和服务器系统负荷用电; 保证本网络中心计算机系统正常运行,还为应急照明灯具供电。应急照明灯具与正常照明灯具共用,正常情况下由市电电源供电,市电出现故障时自动切换到应急照明电源。UPS不间断电源:计算机机房负载分为主设备负载和辅助设备负载。主设备负载指计算机及网络系统、计算机外部设备及机房监控系统,这部分供配电系统称为“设备供配电系统”,其供电质量要求非常高,应采用UPS不间断电源供电来保证供电的稳定性和可靠性。在要求较高的机房项目中,UPS不间断电源可采用直接并机技术或辅助设备负载指空调设备、动力设备、照明设备、测试设 备等,其供配电系统称为N+1冗余并机技术。“辅助供配电系统”,其供电由市电直接供电。电气施工应选择优质电缆、线槽和插座。插座应分为市电、UPS及主要设备专用的防水插座,并注明易区别的标志。照明应选择机房专用的无眩光高级灯具。机房供配电系统是机房安全运行动力保证,机房往往采用机房专用配电柜来规范机房供配电系统,保证机房供配电系统的安全、合理。目前较好的机房配电柜可选用法国梅兰日兰配电柜机房一般采用市电、柴油发电机组双回路供电,柴油发电机组作为主要的后备动力电源,运行成本较低。
二、电气安全措施
1.人员设备用电的安全措施
人的生命是第一位的,本设计采用了多项保证人身安全和设备安全的技术措施。第一项,采用了事故断电措施。进户端装设了具有过载、短路保护的、高灵敏度的断路器,并装设跳闸机构。一旦出现消防事故报警,能够通过报警装置提供的信号,将市电配电系统的交流进线断路器断开、切断市电电源,确保事故不再漫延,确保人身和设备安全。第二项措施,本设计采用UPS电源设备及相应的蓄电池设备,提高计算机设备用电的安全与可靠性。为了提高安全系数的通行设计原则,即“大马拉小车原则”,在选用线路和器件时,控制器件和线路的工作温升,低于器件和线路额定温升的75%。器件和线路的工作负荷,控制在器件和线路的额定负荷75%-50%以下,这种设计原则大大提高了系统的可靠系数,也大大提高了系统的使用寿命,虽然初始投资略有增加,但从整体来看大大提高了经济效益。
2.供电安全措施
计算机房网络交换机或计算机,其心脏器件的时钟都是nS级,要求供电切换时间为零秒,本设计采用两台不同容量的UPS及配备相应数量的蓄电池作为计算机系统用电,这样设计可以保证供电不间断。保证计算机房中的设备安全可靠的运行。
3.数据安全措施
网络系统是计算机房的灵魂,数据安全已经被人们越来越重视,数据安全除了软件措施外,如防火墙、容错技术等。而对网络硬件也提出了更高的要求,硬件安全措施也是保证数据安全不可缺少的技术之一。因为数据信息均为弱电信号,本身非常脆弱,可以说弱不禁风。本设计采取了以下措施保证数据安全。第一项数据安全措施,防静电干扰。堵疏相结合的防静电技术措施。机房内有很多电子发射设备,如显示器,另外目前人们的穿戴大部分是化纤、毛料制品,这些衣物在活动中也会产生大量游离电子,这些游离电子在漂浮游离过程中会聚集成电子云,有时会形成的时间为nS级电压为KV级,一旦与信息设备接触会造成极大的破坏。本设计中主要采取了以下防静电措施:一是采用恒温恒湿空调,降低游离电子的产生,实验证明机房的相对湿度低于30%时,静电电压可达5000V,当机房相对湿度低于20%时,静电电压可达10000V,所以机房的相对湿度必须保持在45%-65%之间。保持机房的相对湿度是堵住游离电子产生,但还会有游离电子存在。二是,采用恒温空调,数据设备的核心部分基本上是电子集成块,电阻、电容、信息在其内部的传输电压仅几伏,电流为mA级,器件参数有微小的变化就会引起数据的不真实,实验证明机房温度每变10摄氏度,其可靠性会降低25%,而电阻阻值会变化10%,电容会降低寿命。
参考文献:
[1]李德荣.计算机机房安全浅析.《宿州学院学报》.2006.3
[2]谢江涛.中心机房整体建设探析.《华南金融电脑》.2008.6
网络空间安全措施篇3
关键词:校园网;网络;安全;措施
校园网发展到今天,已成为了Internet不可缺少的一部分。校园网作为一种丰富学习资源、拓展教学空间、提高教育效率的有效途径,为教育的创新与普及提供了新的突破口。与此同时,网络与生俱来的不安全因素,如病毒、黑客、非法入侵、不健康信息等,也无时无刻不在威胁教育网络的健康发展,而成为教育信息化建设中不容忽视的问题。
1 校园网面临的安全问题
与其他网络一样,校园网也面临着病毒泛滥、黑客攻击等多种威胁。危害校园网安全的主要因素有:
(1)普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。
几乎每一个操作系统或应用软件都有安全漏洞和后门,这些正是黑客攻击的首选目标。另外,程序员为了方便自己而设置的软件“后门”更是危害极大,虽然一般不为人所知,但是,一旦“后门”被打开,网络所面临的危险可想而知。
(2)计算机蠕虫、病毒泛滥、外来的攻击、入侵等不良行为等影响用户的使用、信息安全、网络运行。
如果没有人恶意地利用这些漏洞和失误,那么,网络和数据同样是安全的,所以,网络所面临的最大威胁就是那些无聊者的恶意攻击。如:Dos攻击、网络扫描、ARP病毒,这些都可以影响网络正常运行。
(3)校园网内部用户对网络资源的滥用,垃圾信息、不良信息的传播。
Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示,有30%-40%的Internet访问是去访问色情、暴力、反动等站点。在这样的情况下,Internet资源被严重浪费。而对教育网来说,面对形形、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容,将极大地危害青少年的身心健康,导致无法想象的后果。
(4)内部用户的行为。
网络用户或者低级用户甚至是临时用户的失误,往往是安全意识不强、口令选择不慎、将自己的账号随意转借给他人、与别人共享资源等行为所致。这些都给网络安全带来了致命的威胁。
2 对于校园网安全问题应采取的措施
首先,在管理方面要采取相应的措施。
要制定校园网安全管理规定、条例、办法。如对用户进行分组管理,对IP地址、密码、口令的管理,对机密数据的管理,对应用程序使用权限的管理都要做到有章可循,有据可查。在安全管理的具体实施方面,要确定安全管理的原则,确定该系统的安全等级,确定安全管理的范围,制定出相应的系统出入管理制度、操作规程,制定完备的系统维护制度和应急措施。
其次,在技术方面应具备防范措施。
(1)网络病毒的防范。根据校园网现状,在充分考虑可行性的基础上,采用杀毒软件网络版的分级管理,多重防护体系可作为校园网的防病毒管理架构。在整个网络内,只要有可能感染和传播病毒的地方都采取相应的防病毒手段。同时,为了有效、快捷地实施和管理整个网络的防病毒体系,充分使用杀毒软件网络版所拥有的“远程安装”、“智能升级”、“集中管理”等多种功能,为教育网络建立起一个完善的防病毒体系。
(2)将校园网同Internet和教育网采取安全隔离的措施。网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以,网络之间使用防火墙进行有效的安全隔离是必须的,将Internet、教育网、校园网和服务器区隔离开。
(3)采取网络安全监控措施。在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护,如安装网管软件或监控软件对校园网内的用户进行监控。
(4)解决网络安全漏洞的问题。对于非专业人员来说,无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞,因此需要借助第三方软件来解决此安全隐患,并提出相应的安全解决方案,如360安全卫士就是很好的免费软件。
(5)数据备份和恢复。设备可以替换,数据一旦被破坏或丢失,其损失几乎可以用灾难来衡量。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的,如增加磁盘阵列、磁带机等设备将每份数据都备份下来。
(6)将有害信息过滤。对于大中型校园网络,必须采用一套完整的网络管理和信息过滤相结合的系统,实现对整个校园网内电脑访问互联网进行有害信息过滤管理。
(7)对校园网的安全情况进行综合分析。为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。
网络空间安全措施篇4
1.1强化技术监督措施
通过一定的技术监控,能够保障云计算环境下的用户安全,通过安全孔家的构架,实现稳定、畅通、安全的云环境,主要技术手段有以下几种:第一,及时更新软件,消除软件BUG造成的安全风险。第二,建立针对云计算体系的安全防御构架,实现风险事前防御。第三,以虚拟运行环境为基础,进一步完善数据隔离制定,消除统一虚拟空间的多个服务器之间的恶意攻击。第四,强化安全技术的研发和运营,例如“云加密”和“谓词加密”技术的应用。根据存储中存在的数据风险,建立起相应的数据存储安全空间,从而保障数据存储介质具有高度安全性。
1.2完善身份认证以及访问监控机制
对于由身份认证造成的威胁,可以将第三方认证体系的完善作为基础,从而构建起更为多样化的认证方式。利于引入指纹以及语音技术进行认证,利用电子口令建立安全防线,在CA服务基础上进行安全认证,利用智能卡认证等,并建立有效的审计失败监控,对于非法认证,要及时监督发现并进行追踪。在访问安全控制中,要赢得那个进一步完善访问控制机制,建立更为安全、稳定的云环境。由于在云空间内同时存在若干类型用户,不同用户的权限与空间功能需求具有明显差异,尤其是在不同云环境下,同一用户的权限也会发生不同变化。因此,在访问控制方面需要建立更为完善的控制机制,便于用户针对自身权限进行角色配置,从而消除访问监控不利造成的网络风险。
1.3审计与网络环境监测
建立完善的信息审计机制以及入侵检测机制,对用户的操作行为进行全面、客观记录,并能够针对信息记录进行日志分析,如果用户出现非法操作,能够及时发现并非报警追踪。在审计制度的建立上,应当注重内部和外部的整合性,并且在用户数据保密、完整的基础上,建立起更为安全的、不可抵赖性的风险防御机制。在网络安全控制中,数据传输应当遵循网络安全的相关协议,保证用户数据安全不受破坏。在数据传输过程中,要采用更为严格的加密措施,对数据进行相应加密,避免在传输过程中数据泄漏。在网络环境下建立起信任过滤模式,使网络安全防御更为系统化和规范化,利用新型网络安全工具实现低风险操作。
2结语
云计算是网络技术发展升级的必然需求,对互联网的利用和发展有着划时代的推动价值。虽然在现阶段网络应用中还存在一些漏洞和问题,但是,随着网络科技与云技术的不断完善,这一性能优越、成本低廉的高科技形式必然会有更为广阔的应用空间,云环境下的网络安全技术也将得到长足发展,为公众提供更为便利的信息使用环境。
网络空间安全措施篇5
【关键词】网络;安全;方案
【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587(2012)11-0091-02
一、前言
近来,随着信息化的发展和普及,危害网络安全的事情时常发生。例如,越权访问、病毒泛滥、网上随意信息,甚至发表不良言论。这些问题需要我们引起足够的重视,规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。
信息系统安全建设项目,应该严格按照网络和信息安全工程学的理论来实施;严格按照信息安全工程的规律办事,做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”,因此,将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设,从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手,按照科学规律与方法论,从理论到实践、从文档到工程实施等方面,着手进行研究、开发与实施。
信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全:
1、对整个信息系统进行全面的风险分析与评估,充分了解安全现状;
2、根据评估分析报告,结合国家及行业标准,进行安全需求分析;
3、根据需求分析结果,制定统一的安全系统建设策略及解决方案;
4、根据解决方案选择相应的产品、技术及服务商,实施安全建设工程;
5、在安全建设工程实施后期,还要进行严格的稽核与检查。
二、安全系统设计要点
有些用户对网络安全的认识存在一些误区:认为网络运行正常,业务可以正常使用,就认为网络是安全的,是可以一直使用的;网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件,认为只要安装了这些设备,网络就安全了;他们没有认识到网络安全是动态的、变化的,不可能仅靠单一安全产品就能实现。所以,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案。
1、建设目标。
通过辽宁地区网络及应用安全项目的建设目标来看,构建一个安全、高效的网络及应用安全防护体系,充分保障业务系统稳定可靠地运行势在必行。
2、设计思想。
一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准,集多年的研发成果及无数项目实施经验提炼出来的,同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识,最终部署安全产品和实施安全服务以保证客户系统的安全。
为什么要实施安全体系?
内因,也就是根本原因,是因为其信息有价值,网络健康高效的运行需求迫切。客户的信息资产值越来越大,信息越来越电子化、网络化,越来越容易泄漏、篡改和丢失,为了保护信息资产不减值,网络行为正常、稳定,必须要适当的保护,因此要有安全投入。
其次才是我们耳熟能详的外因,如遭受攻击。当前在网络信息领域中,入侵的门槛已经越来越低(攻击条件:简单化;攻击方式:工具化;攻击形式:多样化;攻击后果:严重化;攻击范围:内部化;攻击动机:目的化;攻击人群:低龄化和低层次化),因此当入侵者采用技术方式攻击,客户必须采用安全技术防范。随着我国安全技术的逐步深入研究,已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。
时间和空间是事物的两个根本特性,即一经一纬构成了一个立体的整体概念,安全系统的设计也可以这么理解。
从时间角度部署安全系统,如图一,基于时间的防御模型。
该模型的核心思想是从时间方面考虑,以入侵者成功入侵一个系统的完整步骤为主线,安全方案的设计处处与入侵者争夺时间,赶在入侵者前面对所保护的系统进行安全处理。在入侵前,对入侵的每一个时间阶段,即下一个入侵环节进行预防处理。也就是说,与入侵者赛跑,始终领先一步。
从空间角度部署安全系统,如图二,基于空间的防御模型。
一个具体的网络系统可以根据保护对象的重要程度(信息资产值的大小)及防护范围,把整个保护对象从网络空间角度划分成若干层次,不同层次采用具有不同特点的安全技术,其突出的特点是对保护对象“层层设防、重点保护”。
一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。
边界防护是指在一个系统的边界设立一定的安全防护措施,具体到系统中边界一般是两个不同逻辑或物理的网络之间,常见的边界防护产品有防火墙等。
区域防护相较于边界是一个更小的范围,指在一个重要区域设立的安全防护措施,常见的区域防护产品有网络入侵检测系统等。
节点防护范围更小,一般具体到一台服务器或主机的防护措施,它主要是保护系统的健壮性,消除系统的漏洞,常见的节点防护产品主机监控与审计系统。
核心防护的作用范围最小但最重要,它架构在其它网络安全体系之上,能够保障最核心的信息系统安全,常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。
3、设计原则。
1) 实用性。
以实际业务系统需求为基础,充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系,各安全功能模块以组件方式扩展。
2) 标准化。
安全体系设计、部署符合国家 相关标准,各安全产品之间实现无缝连接,确实不能实现的必需采用其他技术手段予以解决,并与内部的网络平台兼容,使安全体系的设备能够方便的接入到现有网络系统中。
3) 可靠性。
网络空间安全措施篇6
关键词:特高压输电网络;高空架设;安全保障
中图分类号: TM621.5 文献标识码: A
我国能源资源和能源消费很不均衡,一次能源在地域分布上呈现“北多南少、西多东少”的格局,西南水电基地、西北煤电基地距离中东部地区800-3000多公里。我国的“西电东送”战略要求输电工程具有更大的输电能力和更高的输电效率,实现安全可靠、经济合理的大容量、远距离送电。建设特高压电网,可以实现大范围的资源优化配置,有效地节约土地资源,节省建设投资和运行费用,减少煤电对环境污染的影响。但是在特高压输电网络中,多需要进行高空架设线路与进行基塔的安装,对于安全的要求很高。本文为此具体探讨了特高压输电网络的高空架设安全保障措施,现报告如下。
1 特高压输电网络的发展目标与优势
1.1 特高压输电网络的发展目标
特高压输电网络应符合“规划科学,结构合理,技术先进,安全可靠,运行灵活,标准统一,经济高效"的目标要求,具备将我国电力跨区域、大容量、远距离、低损耗互送的基本功能,可调控我国发电能源资源和用电力市场的极不均衡的格局,通过对大煤电基地、大水电基地的开发和外送,优化煤电布局,减轻铁路运输压力,改善负荷中心地区环境质量,对中长期能源流变化有较强的引导性和适应性,满足国民经济发展需要,并为建立国家级电力市场打下坚实的物质基础。
1.2 特高压输电网络的优势
(1)送电距离长:世界上已有输送距离达1700km的高压直流输电工程。我国的葛南直流输电工程输送距离为1052km,天广、三常、三广、贵广等直流输电工程输送距离都接近1000km。(2)电压高达±800kV,从而可以最大可能避免输电损失。(3)送电容量大:规划的500kV特高压输电网络工程的送电容量高达5GW和6.4GW,相应的直流额定电流将达到1000A和1280A,不过大容量的功率输送必然会对电网的规划建设和安全稳定运行带来更大的影响。
2 特高压输电网络的高空架设思路
在特高压直流输电工程设计中,合理选择换流站站址和接地极极址是优化工程设计、降低工程投资、确保工程安全稳定运行的基础。特高压换流站大件设备数量很多,运输设备尺寸大、重量大,运输方案与设备选型、换流站布置及设备制造难度等各种因素密切相关,运输方案需综合优化。特高压换流站的大件设备主要是换流变压器和平波电抗器。而极址场地要求特高压直流接地极人地电流大,接地极布置尺寸很大,要求极址场地的可用面积大、土壤导电性能好、导热性能好、热容率高、表层土壤厚和深层大地电阻率低。鉴于直流特高压线路的重要性,在路径选择时,应尽量避开重冰区、重污秽区、交通困难地区、采空区及不良地质现象发育地区。当无法避开时,应尽量缩短自然条件恶劣地段的长度。直流特高压线路与铁路、公路、弱电线路、电力线路、建筑物及河流等交叉时,交叉跨越间距均有较大增加。
3 特高压输电网络的高空架设安全保障措施
3.1动力伞
我国很多电力架线需要穿越文成山区和温州水源保护区,这些区域植被繁茂,且环境保护要求高。如果以传统的方式架线,需要砍伐大量树木开辟通道,而动力伞架线最大的优势在于避免植被破坏。动力伞在于它能够在不影响发电机组电力输出情况下架设高空输电线路,而不必使发电机组停机,这为公司节约不少生产成本。同时使用动力伞还可节约人力及成本开支。比如动力伞为潭电二期工程湘潭至云田500千伏线路(湘云线)的输电线路的架设作准备工作-辅设线路引绳。这套施工方案的实施的有利点不单是有效避免了田间施工引起的青苗补偿或村民阻工等问题,为预防湘云线触碰潭荷线引发电源电网安全事故,潭电公司采用运用动力伞用引线在塔柱间高空织网,隔离两条输电线路的方案。此次设放的引线为直径4毫米的绝缘绳,对其他线路没有影响。工程施工人员还将通过这四根引线以及其它施工措施将400平方毫米粗的钢芯铝绞线跨过80多米高的输电铁塔上部架线施工。
3.2 电子眼
在500千伏聊城—闻韶输变电线路架线工中,首次成功应用移动“电子眼”。公司对无线监控系统前端、中继塔位置、摄像头方向、电源供给等方面进行了调整和优化。将无线监控系统成功运用于超高压线路架线工序,节约施工成本、人力、物力。通过它的前后两个摄像头,地面人员在电脑上可以清楚地看到牵引绳前端的进展和走板尾部与导线的连接情况。就好像在高空安装了移动的“电子眼”一样,施工人员可以足不出“棚”就能看到放线细节。使用无线监控系统,能有效克服线路走廊树林密集、走板反转等带来的安全隐患和技术难题,特别是对跨越高速公路、铁路、江河湖泊的线路进行施工时,作用尤为突出。
3.3 安全钢丝绳
在高空线路作业中,很多作业人员由于一直没有高于管廊可系挂安全带的锚点,安全带不得不系挂在管廊的管线或钢结构上,安全带系挂点达不到高于作业人员腰部的安全要求。既不符合安全带“高挂低用”的安全管理规定,又给员工作业带来不便。为彻底根除这一安全隐患,某某公司想方设法在管廊上方增设安全设施确保员工作业安全。他们在学习相关施工单位高处作业成功经验的基础上,将19个高1米的黄色三角架牢牢焊接在管廊上的钢结构上,三脚架顶端焊接内衬胶管的穿线孔,长约300米的钢丝绳分段从穿线孔中穿越,钢丝绳两端使用钢丝绳卡扣加以固定。在施工过程中,这个厂还优化设计方案,给钢丝绳外“穿”上塑料保护套,并加设拉紧器,避免钢丝绳在长期使用过程造成磨损和松动。经检查验收合格后,被员工称为“生命线“的安全钢丝绳正式投入使用。
总之,特高压输电网络的高空架设安全保障才能满足未来我国电力需求持续增长的需要,促进电网与电源协调发展,真正实现电力工业的跨越式发展。
参考文献:
[1] 张敏,肖彬. 配电系统电压衰减的概率评估方法[J].电工技术学报,2008,10 .
[2] 张一鸣,朱斌,王新,等.避雷器能量吸收与均流技术的研究[J].电瓷避雷器,2008,5.
[3] 孙西昌,党镇平,丁京玲,等.特高压交流棒形悬式复合绝缘子的研究[J].电瓷避雷器,2006,6.
[4] 蒋国文,吴亮 安莉,等.特高压输电线路雷击事故分析及保护措施[J].电瓷避雷器,2008,3.
[5] 张云都,易辉,喻剑辉.我国大截面与耐热导线输电技术的现状及展望[J].高电压技术,2005,31(8):24-26.
[6] 杨帮宇,彭建春,代红才.750kV长线路中间动态无功补偿的研究[J].电网技术,2007,31(15):16-20.
[7] 刘振亚.加快建设坚强国家电网,促进中国能源可持续发展[J].中国电力,2006,39(9):1-3.
[8] 杜至刚,牛林,赵建国.发展特高压交流输电,建设坚强的国家电网[J].电力自动化设备,2007,27(5):1-5.
网络空间安全措施篇7
这是常委会会议第二次审议这部社会广泛关注的法律草案。
6月27日,十二届全国人大常委会第二十一次会议在北京人民大会堂举行第一次全体会议。张德江委员长主持会议。新华社记者谢环驰摄
拟加强对关键信息基础设施及其数据的保护
全国人大法律委员会27日就网络安全法草案作汇报时表示,一些常委会委员和地方、部门建议对关键信息基础设施的范围不作列举,可由国务院制定配套规定予以明确。
对此,二审稿规定,国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
二审稿还规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的除外。
同时,为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系,促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享,并加强对这些信息的保护,二审稿增加规定,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系;国家网信部门和有关部门在关键信息基础设施保护中取得的信息,只能用于维护网络安全的需要,不得用于其他用途。
拟进一步强化国家维护网络安全的措施
张海阳指出,一些常委会组成人员和地方、部门提出,为了更好地维护网络空间主权,积极主动应对境内外的网络攻击和破坏,应当进一步强化国家维护网络安全的措施。
对此,二审稿增加规定:国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
张海阳强调,拟增加多项促进网络安全的支持措施,在维护网络安全的同时,促进发展。一是,国家推进网络安全社会化服务体系建设,鼓励企业、机构开展网络安全认证、检测和风险评估等服务。二是,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。三是,增加大数据应用必须对公民个人信息进行匿名化处理的规定,进一步明确公民个人信息使用规则。
拟加大对危害网络安全行为的惩戒力度
张海阳表示,一些地方、部门、社会公众提出,为营造良好的网络环境和秩序,应当进一步强化网络运营者的社会责任。
对此,二审稿增加规定,网络运营者必须遵守法律、行政法规,遵守社会公德、商业道德,诚实信用,履行网络安全保护义务,接受政府和社会公众的监督,承担社会责任。同时,二审稿还增加规定,网络运营者留存网络日志不得少于6个月;网络运营者对有关部门依法实施的监督检查应当予以配合。
张海阳表示,一些地方、部门建议,加大对危害网络安全行为的惩戒力度,增加约谈、记入信用档案、从业禁止等惩戒措施。
网络空间安全措施篇8
[关键词]无线网络安全防范措施
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
[1]谭润芳.无线网络安全性探讨[J].信息科技,2008,37(6):24-26.
[2]沈芳阳.基于IEEE802.11系列标准的无线局域网安全性研究[D].广东工业大学,2004.