为此,上海众人网络安全技术有限公司(简称众人科技)力图以不断升级的身份认证技术,变被动应对为主动防御,抵御来自网络的恶意攻击,为企业的健康发展提供强大的技术支持与保障。
虎视眈眈的安全威胁
日前,某电信公司接到其分公司的报障信息,反映其iKEY认证系统出现故障,所有用户无法正常登录系统。此后,众人科技的技术人员连入分公司的iKEY认证服务器进行排障,通过动态提取日志发现,服务器非常频繁地接收到大量来自境外以及省外IP的陌生用户名和密码进行比对,导致iKEY进程异常。经检查,分公司的核心网络设备确实被大规模暴力破解,为此公司及时采取应对措施,防止恶意入侵者进入系统,避免了大量敏感数据的泄露。
类似的网络安全事件每年都会大量爆发。在电信公司此次被攻击的事件中,所幸分公司的大部分核心设备都已采用众人科技支持RADIUS协议的iKEY进行强身份认证,才避免了被不法分子猜测到核心设备的密码。如果是纯静态密码的话,一旦被不法分子猜测到密码,后果将十分严重。
身份认证技术的动态升级
快速的反应以及过硬的技术,使得众人科技有效保障了企业,尤其是这类规模较大的电信运营企业的安全,避免他们因此造成大量的数据泄密或者网络瘫痪。
关键词:网络技术专业典型岗位教学计划
中图分类号:G64文献标识码:A文章编号:1672-3791(2012)09(a)-0234-02
现代社会处于全球信息化时代,企业网络工程的建设、网络设备的配置、网络安全维护等方面都增加了对网络方面的相关人才的需求。随着网络建设的日益成熟,越来越多的核心业务应用都依托于网络运行管理。企业根据自身的需要建立自己的网络信息系统,不同的企业对自身的网络信息系统的建设需求也会多种多样,很多企业已经意识到自己必须拥有高级网络人才。企业对网络技术专业毕业学生的技能有了更加高的需求,并且对于毕业生的实际工作能力非常重视。这就迫切需要职业院校培养适合企业工作岗位的网络技术人才。
1网络专业教学计划改革
高技能的网络技术人才存在较大的人才需求市场。对大量的中小企业来讲,网络规模相对较小,一般只需要1~2名网络管理人员,这就需要网络管理人员既要掌握网络的管理与维护技能,又要负责对企业网站的管理与维护。可见掌握网络管理与网站建设的复合型高技能人才将是企业急需的。
1.1执行的教学计划中的问题
分析教学计划中核心课程的设置,不难发现课程设置程覆盖范围广泛,目标不明确,没有针对企业典型工作岗位的需求,学生学习缺乏动力,课程主线过多,导致学生学得多但不精,教学效果不理想。综合分析现在执行的教学计划中存在以下问题:(1)教学内容滞后,课程没有创新,没有结合企业实际需求。(2)实训课程效果不理想;实训内容的组合与实际工程项目应用有一定的出入。实训课(3)程间衔接不够精密,没有形成体系。(4)第一学年开设高等数学、英语、体育、新疆地方史等必修基础课程,造成了专业课(5)程可设推迟开课,形成了第3、4学期专业课密集开设,学生学习负担过重,教学效果欠佳等问题。(6)教学的条件限制,包括实训的软件和硬件条件。(7)教学师资队伍的限制。
1.2教学计划改革实践
针对企业的典型工作岗位进行分析,联合新疆行业和企业专家共同研究制定符合实际的人才培养方案,确定网络技术专业的新教学计划。这项工作不但包括在培养方案中适时增加符合技术发展方向的课程,删除过时课程,还包括根据专业领域技术的发展对课程教学大纲的优化和更新。
根据现在执行的教学计划产生的问题,经过认真的行业企业调研,结合专家的建议,收集分析毕业学生就业后的反馈信息,依据现有的师资和实训条件,科学合理的对网络技术专业教学计划进行课程体系改革。目前在以下几个方面进行探索尝试。
1.2.1坚持企业典型工作岗位需求确定课程设置
目前,新疆行业企业对网络技术专业人才的需求如下。网络工程设计与管理类企业,典型岗位群有网络工程实施工程师和网络设计工程师,专业能力要求掌握网络基础知识,精通路由交换、网络安全相关技术,熟练掌握windows和Linux系统;熟悉网络架构、网络设备的安装、配置、管理;网络环境的管理,配置,排错,维护。网站与管理信息系统类公司,岗位群有网站维护、网页设计师、网站运营师等,专业能力要求熟悉windows、office功能;熟练手写HTML/CSS/JavaScript代码;熟练掌握Web标准、易用性、浏览器兼容性等方面的知识;熟练运用网页设计、网页制作、网站美工等相关软件;精通HTML/XML、JavaScript、CSS、JSP、Java语言及SQL;熟悉WebService、AJAX等技术;熟练应用SQL或ORACLE等数据库;掌握、C#等开发工具。信息安全类公司,岗位群包括网络安全工程师等,专业能力要求熟练管理维护Unix、Windows系统;能熟练使用Unix、Windows系统平台下各种应用系统,如:MSSQL、Oracle、Exchange等;熟悉相关网络安全产品如防火墙、IDS、防病毒,漏洞评估工具等;熟练网络设备的安装、配置、管理、排错、维护;掌握网络安全,网络质量及网络设备的监控,生成网络质量报表等。
通过上述分析可以得出结论为,新疆企业需求的主要是网络组建维护和网站建设高技能人才。因此可以确定教学重点就是围绕这两个典型工作岗位的职业需求,新的教学计划中的专业核心课程设置目的就是提高学生职业素养。
综上所述,以体现企业典型工作岗位确定教学能力目标的原则,为每个典型的工作岗位设置一系列课程(2~4门课程),形成系列课程链路。网络技术专业课程体系主要包括两条主线,一条主线是网络工程,另一条主线为网站设计开发、网络编程。两条主线的设置使本专业的学生能做到两手准备,两种选择,可硬可软,可以解决女生就业问题,同时满足大量中小企业对网络技术人才的迫切需求。构建形成的计算机网络技术专业教学计划如表2所示。
1.2.2鼓励教学创新
诸多原因造成的教学主线过多问题,没有科学合理设置专业核心课程。执行教学计划的制定受到传统的本科教育影响,造成了教学计划如同本科教学的缩减版,这不符合现在职业教育教学现状。职业院校学生在校内上课时间只有2学年共4个学期,所以一定要根据实际优化整合专业核心课程,大量课程应该设置为选修课程,这样就能最大程度的发挥教师和实训环境的作用。
建设开发新的课程,建设优质教学资源库,建设新的实训项目。增强教师的教学水平,提高教学质量,使项目化教学更成熟,取得显著的教学效果。在不断的实践中,更好的完善教学计划,使网络技术专业的教学质量不断提高。
根据企业典型工作岗位的需求,优化更新了专业课内容的设置。采用项目化教学模式改造基础专业课程。如C语言课程,改造后的课程紧跟人才需求市场。教学场景仿真企业工作环节,教学过程中的各个环节,模拟企业工作岗位职责,教学内容设置结合企业工程项目,这样有效的调动了学生学习的积极性,同时结合计算机国家等级考试,鼓励学生取得证书,大力提高学生综合素质。设置的课程基本都按照这种模式改造,实施项目化教学,充分调动学生学习的积极性。
2结语
高素质的网络技术人才是企业需求的热点,但是企业对人才的选择已经非常理性,企业需要的一线人员不再是高学历,而是能直接上岗的技术人员。现在施行的网络技术人才培养体系已经日益成熟,专业建设计划还需要正对企业进一步的优化和改进,符合新技术的发展趋势,才能满足新形势下企业对网络技术职业人才的需求。另外,必须强化职业道德教育。坚持育人为本,德育为先,把立德树人作为根本任务,把社会主义核心价值体系融入到人才培养全过程,重视培养学生的诚信品质、敬业精神、创新精神、责任意识、遵纪守法的意识。只有这样才能有效提高教学质量。
参考文献
2016年上半年,国家深入推进互联网治理行动,重点研究网络可信身份管理,深化与美国、俄罗斯等国的网络安全战略合作。在网络安全需求持续推动下,我国网络安全产业活力不断增强,安全可控技术产品取得突破,攻防技能得到加强,网络安全形势整体向好。展望下半年,国家间的网络安全合作将逐步加强,全球爆发大规模网络冲突的风险将不断攀升,国家关键基础设施及其控制系统面临的网络安全风险进一步增加,以信息泄露和资金盗取为目的的网络攻击将更加泛滥。我国必须处理好工控安全顶层设计不足、网络安全产业根基不牢、网络空间信任体系建设滞后、网络安全关键技术不强等问题,加强网络安全建设。
上半年情况综述
基本特点
1.互联网治理深入推进
上半年,网络安全政策纷纷出台,互联网治理专项行动持续推进,网络空间不断净化。5月起,国家工商总局开展2016网络市场监管专项行动,治理互联网虚假违法广告、打击网络商标侵权等违法行为。针对网址导航网站在网站推荐和内容管理等方面存在的问题,国家网信办在全国开展网址导航网站专项治理。6月,国家网信办集中清理跟帖评论中违反“九不准”、触犯“七条底线”的违法违规有害信息。
2.网络安全产业活力不断增强
随着政策环境的优化,网络安全行业发展充满活力。一方面,各厂商不断提升产品性能,逐步获得了国内外权威机构认可。在安全研究和评测机构NSSlabs公布的2015年度下一代防火墙的测试评测结果中,中国厂商山石网科以99%的综合威胁检查率和排名第一的总体拥有成本,获得“推荐级”。绿盟科技了全新绿盟工控入侵检测系统IDS-ICS,获得了全国首个工控入侵检测产品资质。另一方面,各厂商通过融资并购和战略合作等方式,扩大产业规模,提升行业影响力。1月,浪潮集团与美国迪堡公司成立全新合资公司,联手拓展国内ATM信息安全市场。3月,绿盟科技850万元参股阿波罗云,在抗DDoS攻击、恶意流量清洗等技术领域展开深度合作,实现可运营的安全云。绿盟科技与重邮战略合作,将联合建设攻防实训平台,研发网络安全关键技术。5月,武汉深之度与金山软件签署战略合作协议,就推进国产操作系统、打造国产应用软件生态展开全方位合作与交流。
3.安全可控技术产品取得突破
上半年,国内网络安全企业、研究机构纷纷加大技术研发力度,多种自主基础技术产品取得突破。1月,国家超级计算天津中心宣布,计划研制新一代百亿亿次超级计算机,在自主芯片、自主操作系统、自主运行计算环境方面实现全自主,样机预计于2017年问世。5月,武汉深之度推出深度桌面操作系统V15金山办公版和深度服务器操作系统V15版软件产品,有力推动了操作系统的国产化进程。6月,德国法兰克福国际超算大会(ISC)公布了新一期全球超级计算机TOP500榜单,由国家并行计算机工程技术研究中心研制的“神威・太湖之光”实现了所有核心部件全国产化,并成为运算速度最快的超级计算机。据研究显示,量子通信能从原理上确保身份认证、传输加密和数字签名无条件安全,可从根本上、永久性解决信息安全问题。
4.网络安全攻防技能持续加强
上半年,国内外举办的网络安全竞赛数量和质量不断提高,国内网络安全团队的整体能力得到进一步提升。3月,在加拿大温哥华举行的Pwn2Own2016世界黑客大赛上,腾讯安全Sniper战队攻破苹果safari浏览器并获得ROOT权限,攻破微软Edge浏览器并获得SYSTEM权限,首度获得世界总冠军;360Vulcan战队攻破谷歌Chrome浏览器,名列第三。5月,国家互联网应急中心在四川省成都市举办了2016中国网络安全技术对抗赛,全面考验了参赛队伍的渗透测试、漏洞分析、挖掘利用、漏洞修复、安全防护等网络攻防实战能力。6月,360旗下的伏尔甘团队和韩国PoCSECURITY共同主办了首届世界黑客大师赛(WCTF),中国台湾代表队HITCON名列第三。此次比赛引入了“赛题分享会”机制,每个参赛战队会对赛题进行解题分享,裁判、其他战队和参会观众可对解题过程提出问题或质疑、交流不同的解题方式,有助于整体提升我国网络安全技术实力。
5.网络可信身份管理成为研究热点
上半年,国内加大对网络空间主体身份识别的研究工作,以项目申报、学术研讨等形式为我国网络空间可信身份管理提供支撑。2月,科技部官网了“网络空间安全”等国家重点研发计划2016年度项目申报指南,明确了对网络可信身份管理技术研究的支持。
4月,由中国密码学会、全国信息安全标准化技术委员会以及联想创投集团共同举办的网络空间可信身份管理技术研讨会召开,国家网信办、国家密码管理局等政府主管部门,中科院、中国银联的专家学者以及企业代表,围绕进一步推动网络空间可信身份体系建设、统一互联网用户身份认证管理、安全标准化需求,以及国际国内身份认证管理实践等主题展开研讨。
6.网络安全国际合作趋势明显
上半年,我国加强网络安全领域的国际交流和合作,达成多项网络安全共识,成果颇丰。4月,首届“中俄网络空间发展与安全论坛”在莫斯科召开,双方探讨了网络空间技术合作的前景,并计划在网络空间发展与安全领域,开展技术交流、人才培养、政策研究等合作。6月13日,首次中英高级别安全对话在京举行,双方就打击恐怖主义、网络犯罪、有组织犯罪等合作达成重要共识。在第四轮中德政府磋商中,双方在网络安全领域达成多项共识,包括加强打击网络犯罪的合作;不从事或在知情情况下支持利用网络侵犯知识产权、窃取贸易机密或商业机密;致力于在联合国框架下,推动制定各方普遍接受的网络空间负责任国家行为规范。14日,第二次中美打击网络犯罪及相关事项高级别联合对话达成多项成果,包括继续开展桌面推演、测试热线机制、加强在网络保护方面的合作、开展信息共享和案件合作等。25日,中俄签署《中华人民共和国主席和俄罗斯联邦总统关于协作推进信息网络空间发展的联合声明》,呼吁预防和打击利用网络进行恐怖及犯罪活动,倡议在联合国框架下研究建立应对合作机制,开展网络安全应急合作与网络安全威胁信息共享,加强跨境网络安全威胁治理。
主要问题
1.工控安全顶层设计不足,相关安全保障体系亟需完善
当前,我国工业控制系统网络安全保障体系尚不完善,一是我国尚未建立跨部门、跨行业、跨区域的工控安全指导和协调机制,难以统筹安排工业控制系统网络安全保障工作。二是我国工业控制系统的安全防护标准严重不足,工业控制系统建设和安全防护、安全审查、测评等工作无据可依、无规可循。三是我国工业控制系统网络安全检查评估机制和网络安全风险信息共享机制尚不健全,缺少对工业控制系统的定期检查,漏洞、预警等安全风险信息难以及时报送,风险消减信息难以及时共享。
2.网络安全产业根基不牢,自主创新能力尚待提高
长期以来,我国网络安全产业发展过度重视经济效益,对网络安全问题认识不足,忽视了在基础核心技术方面的自主创新,形成了对国外信息技术产品的体系性依赖。一是我国核心技术产品严重依赖国外。目前,我国的CPU、内存、硬盘等核心技术严重依赖进口。处理器芯片主要依赖Intel和AMD等CPU制造商,内存主要依赖三星、镁光等厂商,硬盘主要依赖希捷、日立等厂商,板卡则被Broadcom、Marvell、Avago、PMC等厂商垄断。二是自主技术研发和推广面临诸多障碍。一方面,自主可控技术的研发需要大量人力、物力、财力作为保障,我国安全投入不足,严重制约产业发展;另一方面,我国在安全可控产品的划分方面仍有争议,微软、IBM等跨国IT企业采取多种措施来保证其在中国的市场份额,使得真正自主研发的企业处境更加困难。
3.网络空间信任体系建设滞后,网络可信身份管理亟待加强
我国网络空间信任体系建设滞后,网络可信身份管理机制有待完善。一是网络可信身份发展路线尚不清晰。网络空间信任体系建设缺少顶层设计,对网络可信身份管理具体解决方案还不清晰,专家意见尚未达成一致。二是相关保障措施亦不健全。我国在网络可信身份的法律制定、标准研究等方面存在不足,法律层面缺乏具体实施细则,标准层面还无法实现统一的认证技术规范。三是网络可信身份涉及对象较为单一。目前,我国网络可信身份涉及对象仍以自然人为主,较少考虑企业法人、软件及设备等网络主体。
4.网络安全关键技术不强,防护水平有待提升
目前我国网络信息安全技术发展水平相比美国等发达国家,还有一定差距,例如:加密芯片的国产加密算法使用率低,虽然国内的SM2、SM4等加密算法已经开始推广,但仍以RSA、3DES、AES等国外加密算法使用居多。在软件漏洞分析评估方面还是以单兵作战、合规性评测为主,很少涉及其技术核心,没有形成规模化、协同化漏洞分析评估能力,在漏洞分析评估的广度和深度上明显存在不足。此外,我国在基于大数据的安全分析、可信云计算、安全智能联动等重要方向技术实力不足,难以应对云计算、移动互联网、大数据等新兴信息技术带来的网络信息安全挑战。下半年走势分析与判断
国家间的网络安全合作将逐步加强
近年来,世界各国纷纷加强网络安全领域的战略合作,以应对复杂多变的网络安全形势。
2016年下半年,随着黑客团体和网络恐怖组织等非国家行为体的网络空间破坏力的日益显现,各类网络攻击技术的不断升级和应用,世界各国面临的网络安全挑战将不断加剧,以共享全球网络威胁信息、打击网络恐怖主义等为核心的国际网络安全合作将不断深化。
全球爆发大规模网络冲突的风险将不断攀升
随着网络空间地位的日益提升,网络空间已成为各国安全博弈的新战场。世界各国为确立在网络空间中的优势地位,不断加强网络空间攻防能力,部级网络冲突一触即发。美国联邦调查局表示,受国家支持的APT6黑客组织已连续多年入侵美国政府网络并窃取机密文件;韩国国家情报院则表示朝鲜黑客攻击了韩方政府官员智能机,并窃取了大量敏感数据。网络攻击成为重要的军事打击力量之一。2016年下半年,为不断加强网络空间攻防能力,抵御网络恐怖主义和潜在威胁国家的网络攻击,各国会进一步加强网络空间部署,网络空间军备竞赛和网络冲突将持续存在并日益走向复杂化、高级化,全球网络空间局势将更加复杂,我国网络安全面临的外部形势也将愈发严峻。
国家关键基础设施及其控制系统面临的网络安全风险进一步增加
随着信息技术的逐渐发展与普及,国家关键基础设施互联互通的发展趋势愈发明显,在实现数据高效交互、信息资源共享的同时,也给针对关键基础设施的网络攻击提供了可能。一方面,针对关键基础设施及其控制系统的网络攻击技术迅速提升。1月,研究人员发现,低水平黑客能通过单次远程连接工业电机造成设备物理破坏,其中很多设备易通过互联网进行访问;5月,来自OpenSourceSecurity的德国研究人员们创造出一种概念验证型蠕虫病毒PLC-Blaster,无需借助PC或其他系统,即可实现在PLC之间进行传播,能对关键基础设施及其控制系统产生灾难性后果。另一方面,以政治利益为导向、关键基础设施为目标的网络攻击日益猖獗。1月19日,乌克兰空中交通管制系统受到有针对性的网络攻击;26日,以色列能源与水力基础设施部部长宣称,该国电力局遭到重大网络攻击。28日,加拿大公安部表示,电厂、电网、航空系统、水利系统等加拿大的关键政府部门的基础设施近两个月遭受了25次网络攻击。3月,Verizon公司称黑客通过互联网入侵了一家水务公司的供水控制系统并更改了化学物添加比例,直接影响了水质和供水能力。
下半年,随着网络安全技术的迅速发展,技术成熟的工控蠕虫病毒被黑客掌握的时间并不久远,加之各类针对工业控制系统的网络攻击仍可能发生,国家关键基础设施面临的网络安全风险将进一步增加,值得我国引起高度重视。
以信息泄露和资金盗取为目的的网络攻击将更加泛滥
一方面,针对互联网金融发动的网络攻击呈现“野蛮式”的增长,给个人、国家甚至全球都造成难以计数的经济损失。1月,飞机零件制造商FACC称其财会部门遭黑客攻击,损失大约5000万欧元;3月,Buhtrap组织成功地对俄罗斯银行进行十三次网络攻击,并窃取了超过18.6亿卢布资金;5月,匿名者针对世界银行业发起了#OpIcarus运动,有超过十家金融机构遭遇DDoS攻击,包括:希腊、塞浦路斯、荷兰和墨西哥等国家。此外,多家国际银行SWIFT系统遭受攻击,厄瓜多尔银行约1200万美元被转移至境外,而孟加拉国央行则被盗8100万美元,成为有史以来最大规模的网络窃案。另一方面,大体量的数据泄露事件频繁曝光,严重威胁企业和个人的信息安全。3月,美国21世纪肿瘤医院承认其系统发生数据泄露事件,220万病人及员工的隐私信息曝光;5月4日,加拿大金矿公司发生数据泄漏事件,约有14.8G的数据被黑客窃取;19日,领英用户账户信息被盗,1.17亿条用户登录凭证被曝在暗网销售。
2016年下半年,随着网络黑产链条逐渐孵化成熟并向组织化、集团化发展,各类以信息泄露和资金窃取为目的的网络攻击将更加泛滥,网络空间固有的隐蔽特性以及网络可信身份管理的缺失更会在客观上助长国际窃密、造谣诽谤、金融诈骗等网络违法犯罪行为,企业和个人的信息安全及金融安全将面临更加严峻的挑战。
政策措施建议
整合工控安全保障能力,完善工控安全保障体系
一是着力加强工控安全保障工作的统筹协调。建议构建由国家主管部门协调管理的组织架构,明确工业和信息化部等政府部门在工控安全保障工作中的核心地位,加强与电力、水利、金融等行业主管部门的沟通协调,形成合力。二是研究制定工控安全标准规范。研究制定工控安全标准化路线图,按照轻重缓急,研制工业控制系统的基础性标准,尽快形成关键工控系统清单。推动工控系统分类分级、工控安全评估等安全标准的研制和。三是建立健全工控安全监管机制。一方面,健全工控安全检查评估机制,面向有色、钢铁、装备制造等重点行业开展网络安全检查和风险评估,指导并监督地方开展安全自查,组织专业队伍对重点系统开展安全抽查,形成自查与重点抽查相结合的长效机制;另一方面,完善工控安全风险信息共享机制,通过理顺信息报送渠道,完善监测技术手段和监测网络,构建工业信息安全风险漏洞库和预警信息库,加快形成工控安全风险信息共享的长效机制。四是建设部级工控安全技术保障机构。依托高校、科研院所、企业等机构,建设部级工控安全实验室,集中优势力量打造骨干技术研究基地,为开展工控漏洞验证与通报、事件响应、网络安全评估等工作提供技术支撑。
突破核心技术瓶颈,构建自主可控的网络安全产业生态体系
一方面,要大力改善网络安全技术自主创新环境。充分发挥举国体制优势,集中国家优势力量和资源,介入集成电路、核心电子元器件、基础软件等开发周期长、资金回收慢的信息安全基础产品,突破核心关键技术并推动研究成果转化;另一方面,要加速建设自主可控的网络安全产业生态体系。加强对信息安全技术产品的评估,促进信息安全技术产品自主可控程度的提升,同时加快网络安全审查制度的落地实施,为自主可控产品提供市场应用空间,支持政府部门和重要领域率先采用具有自主知识产权的网络安全产品和系统,逐步推进国产化替代。
建设网络空间信任体系,强化网络可信身份管理
一是细化网络身份体系顶层设计。在充分研究现有技术方案的基础上,明确国家网络身份体系框架、各参与方在其中的角色和职责,并制定详细的网络身份体系构建路线图。二是推进网络身份体系建设。根据网络身份体系建设要求,修订现有法律法规或制定新法,明确网络身份凭证的法律效力,完善相关配套规定;研究确定网络身份体系标准框架,推动相关标准的研制和;开展网络可信身份相关试点示范,评估示范成效,并逐步推广。
摘要:本文通过对智能电网信息安全的分析,及对其技术的概述,探讨了信息安全技术的发展方向。智能电网综合了物联网、信息计算、信息传输及处理技术,其运行安全对国民经济建设有着至关重要的作用。因此,信息安全应为智能电网的安全运行保驾护航。
关键词:智能电网信息安全网络安全
中图分类号:TP2文献标识码:A文章编号:1672-3791(2012)04(c)-0027-01
电力是关系到国家经济发展、社会持续进步的命脉,是国民经济建设的基础行业。但随着社会对电力需求的快速增长,电网运行安全成为人们日益关注的问题。在全球几次大停电事故后,智能电网浮出水面,全世界开始致力于智能电网建设。现阶段世界各国对智能电网的理解不甚相同,但其共同点都是将先进的传感测量、信息通信、分析决策、自动控制和能源电力技术相结合,并与电网基础设施高度集成而形成的现代化电网,其核心是集成、高速的双向通信网络和先进的信息通信。
与传统电网相比,智能电网在信息交互上更具备互动性、开放性和复杂性,随着系统间网络交互增多、智能传感器的广泛应用,信息安全问题日益凸显。
1智能电网中信息安全现状及基本要求
1.1智能电网的发展
目前,世界各国都在积极规划和推动智能电网建设,意大利建设了智能化的计量网络,美国也建设了以智能计量为基础的智能电网示范城市,日本在电网的智能化方面处于世界领先地位,欧洲多个国家以及电力企业也展开智能化信息技术的研发。
中国将智能电网定义为:以特高压电网为骨干、以坚强电网为基础,利用先进的通信、信息和控制技术,构建以信息化、自动化、互动化为特征的坚强智能电网。目前国网公司已制定了发展目标,并出台了相关标准,供配电设备均向数字化、信息化、智能化发展,各大电力设备供应商也正在开展信息交互的研发以及接口标准的制定。
可以说,智能电网是电力行业发展的必然趋势,目前我们仅仅处于起步阶段,未来的发展空间巨大,前景不可限量。
1.2智能电网对信息安全的基本要求
智能电网中通常使用物联网技术采集各电力设备的运行参数、状态及环境信息,通过网络传输到后台控制系统,再通过复杂的分析、决策、控制系统来进行监控。在信息采集、处理和传输方面,信息安全经受着来自各方面的威胁,例如外部网络的肆意破坏、信息参数的肆意篡改、病毒肆虐,以及后台管理系统的自身漏洞等。因此,对于智能电网来说,应建设面向电网核心业务的安全防御体系,研发基础信息网络和重要系统的安全保障技术,开发复杂大系统下的实时防护、安全存储、网络病毒防范、恶意攻击防范与新的密码技术;同时,制定完整规范的智能电网信息安全体系,全面提升智能电网信息安全水平,保障核心业务系统及信息网络安全,让信息具备保密、完整、可用、真实、抗抵赖的基本属性。
1.3电力工业信息安全的现状及形势
目前,国家已把“面向核心应用的信息安全”列入发展纲要,而基于智能电网下的信息安全成为电力工业关注和研究的对象。
早在2003年美国就曾由于网络和系统漏洞,主服务器突然收到大量警报导致系统崩溃,造成预警系统失灵,无法正确决策,最终导致大规模的停电事故。
过去的几年中,我国多次发生因系统异常、木马病毒传播、软件逻辑漏洞、恶意攻击篡改等造成的系统故障和电网瓦解事件。我国由于长期以来信息化建设缺乏核心技术,对发达国家的设备和技术存在相当大的依赖性,因此我国的信息安全状况更为严峻。
2信息安全防护的主要技术及发展方向
2.1智能电网下的信息采集安全
信息采集是信息工程的基础,智能电网中的信息采集设备运用有线、无线传感器采集信息,通过各种短距离总线传输,或者通过射频识别技术进行信息识别。在智能电网发展的现阶段,信息采集及传输仍以有线方式为主。
有线方式下的信息采集首先要保证数据的准确性,这有赖于物联网中传感器技术的发展,目前对于常规环境下的温湿度、电流电压、烟感红外信息等技术已经相对比较成熟,传感器的准确度也比较高,但对于特殊环境下,例如高温、高电磁环境、高海拔环境下的传感器准确度仍是应不断研究解决的问题。
为保障信息安全,信息采集终端设备的所有数据的加解密均采用硬件方式实现。密钥算法分为对称和非对称密钥,非对称密钥的安全性更高。主站侧应采用国家密码管理局认可的密码机实现数据加解密,采集终端和集中器采用硬件安全模块实现,无论哪种方式均应同时集成对称密钥和非对称密钥算法。
2.2智能电网下的信息处理安全
信息处理安全需解决智能电网中数据存储、备份、访问、授权等问题,保障信息的分析和使用安全。信息存储分为本地和网络存储两种方式,本地存储可采用加密机制,需通过身份认证方可访问数据。网络存储可通过认证、防火墙等处理方式。数据备份可按照机密安全等级设置不同的备份机制,支持同步、异步数据容灾备份,在备份过程中保证数据的可用性、完整性。信息防御安全应能够在系统核心实现防御拒绝服务攻击,将算法实现在协议栈的最底层,降低整个运算代价。其技术包括攻击识别、协议分析、主机识别、概率统计、反向探测、指纹识别等方式,其中常用的算法有流量梯度算法、参照物判断法、TCP协议反向探测算法、UDP指纹识别算法等。
2.3智能电网下的信息传输安全
信息传输安全主要保障传输中的数据信息安全。这一层需要解决智能电网使用的无线网络、有线网络和移动通信网络的安全性。
目前已运行的设备大多数采用的是有线网络,无线网络作为示范和备用。有线网络通常采用虚拟网技术,电力设备之间建立对等通信模式,通过GOOSE协议实现信息交互,以太网支持以虚拟网络的方式实现网络有效分隔,在不同的虚拟网上实现不同业务的信息交互,只需在交换机上设置基于端口虚拟网络VLAN,在IED(IntelligentElectronicDevice智能电子设备)上进行正确配置即可以有效防止黑客攻击。IED内部应具有足够的信息处理能力,能支持虚拟网标签技术。
另外对于网络通信中的攻击问题,数据通信口应安装入侵检测系统IDS(IntrusionDetectionSystems),以及时发现可能的攻击。
3结语
智能电网的发展刚刚起步,其信息安全技术也在探索阶段,面临着诸多的技术挑战。其在未来发展中应与智能电网通信系统相互融合,针对智能电网的通信特点解决其安全防护问题。未来的智能电网终将依赖于信息安全防护技术,以实现基于物联网技术的全网融合及信息决策。
参考文献
[1]裴庆祺,沈玉龙,马建峰.无线传感器网络安全技术综述[J].通信学报,2007(8).
[2]杨义先,李洋.智能电网的信息安全技术[J].中兴通讯技术,2010(8).
[3]陶士全,刘永生,冯文龙.智能电网信息安全及其防护技术[J].
关键词:计算机网络;主动式防御;网络安全
中图分类号:TP391.1文献标识码:A文章编号:1006-4311(2012)16-0160-01
1网络安全的现状
高校校园网是一个特殊的网络。目前多数校园网内部包括学生网络、办公网络、一卡通金融网络。校园网内部之间要求信息共享度高,又要满足不同需求。学生们好奇心强且好动,对待新事物、新技术常常乐此不疲的进行尝试。校园网内部用户密集、局域网多、对网络畅通要求极高,而内部用户的计算机普遍存在安全漏洞,木马病毒。校园网又常面临来自内外最新、最潮流的木马软件和病毒的侵扰,对网络正常有效的运行,提出更高的要求。
2传统的被动式网络防御
在计算机网络中,传统的安全防御策略主要有:数据加解密、配置防火墙、基本的数据访问控制策略、漏洞扫描打补丁策略、路由隔离和映射策略、数据备份恢复策略等。它们基于静态网络体系建立的,多数依靠特征库进行攻击检测和人工对设备的管理配置来实现,难以对新的动态网络威胁做出快速有效的反应,网络防护处于被动地位。
3传统的网络安全策略
3.1数据加密策略网络数据加密技术是为了加强数据的保密性,防止非法篡改和数据盗取所采取的一种防护手段。网络上数据流的加密方式主要有:节点之间的加密、端到端的加密以及数据链路的加密。
3.2配置防火墙防火墙是一种数据隔离技术,利用服务和数据包过滤技术进行信息扫描和过滤,把不常使用的端口进行屏蔽,执行的一种数据访问控制尺度,它即能允许你“同意”的数据和用户进入你的网络,又能将你“不同意”的用户和数据拒之门外,防止非法网络入侵。防火墙主要由服务访问规则、验证工具、包过滤路由器和应用层网关4个部分组成。
3.3安全路由技术路由技术应用于网络层。它可实现各网络间的互联和隔离,保持网络的独立性,防止重要信息误传,而造成数据被盗取和窃听。安全的路由技术可有效的隔离和限制广播消息,防止病毒的肆意破坏。常用安全路由技术包括路由器技术、VLAN划分、VPN数据信息共享技术。
3.4地址映射技术地址映射技术可将网络IP地址进行替换,主要有两个作用:一是隐藏真实IP地址;二是把外网地址映射成内部网虚地址,对外网来说是无效的,不能直接访问,从而进行了网络的隔离,提高了安全性。
3.5访问控制策略访问控制是指合法的经过授权的用户,使用权限内特定的资源,防止非正常使用网络资源。访问控制策略所指范围较广,包括网络登录控制、使用权限控制、目录级控制、端口节点控制,以及数据属性控制等多种机制。
4网络主动式防御技术策略
4.1入侵检测系统入侵检测系统是主动式网络防御最基本的环节。它是指实时监测网络中用户和数据信息的异常状况,及时做出警告,必要时启动反制机制。入侵检测系统包括实时监控异常的网络连接、检查系统日志、记录跟踪数据、协议数据分析等。实时的入侵检测可有效的抵御网络的安全威胁,缩短网络侵入时间,在及时发现网络入侵时记录必要的信息,对用户恢复数据和系统,追踪入侵提供帮助,这样可有效的增强网络系统的稳定性和安全性。
4.2安全漏洞评估策略安全漏洞评估策略就是对网络系统进行检查,发现和报告漏洞,评估风险的工具。安全漏洞评估技术使得网络安全因素分析的更准确,提醒网络管理人员按风险度高低,依次加强网络管理。安全漏洞评估系统中的路径分析技术,可以帮助管理员找出网络漏洞的根本原因,排除安全隐患。
4.3网络诱骗策略网络诱骗类似于军事上诱敌深入策略。它提前在网络中设置一些诱饵或陷阱,当入侵者进入网络后寻找目标时,被诱骗到管理者设置好的埋伏圈内,从而被监控和进行入侵分析,为网络管理者研究网络安全提供资料。网络诱骗技术把网络安全的被动防御变为主动防御,对提高网络安全性起到了积极的作用。
4.4网络伪装策略网络伪装策略是指在网络信息中掺入虚假数据,使得入侵者对数据进行扫描后,无法做出正确的判断,不能采取有效的攻击。网络环境的不一样,攻击方式要做响应的调整。虚假信息使得入侵者无法对网络实施有效的攻击。
4.5攻击追踪技术攻击追踪技术是指捕获攻击包后,对攻击行为予以分析,还原攻击路径,必要时加以反击。目前攻击追踪技术中包括回溯技术、数据包标记技术、过滤技术等。
4.6安全策略中人员的管理网络安全管理中核心的是人员问题,一切网络安全都需要相关人员的参与。技术再先进、网络设备再好,若没有合格的人员,那么最终也是不行的。加强网络安全教育,提高网络知识水平,培养日常安全意识,是各级网络人员和用户改善网络安全环境中非常重要的环节。
4.7多层网络防御策略多层立体网络防护策略使得网络处于多种安全机制之下,多种安全机制协同工作,交叉应用,多个冗余的安全防御响应备份系统,使得网络安全系数成倍提高,网络入侵成本成倍的增加,让入侵者打消入侵念头。
5结束语
随着社会的发展,网络攻击技术越发变得灵活和多变,传统的网络安全技术有一定的局限性。网络安全主动防御策略中,传统的网络安全技术是基础,综合地有效的使用各种主动防御策略和技术,保证网络体系的安全性,是当前网络安全技术发展的趋势。
参考文献:
[1]刘宝旭,李雪莹.网络安全主动防御技术综述[C].中国山东长岛:中国电子学会核电子学与核探测技术分会、中国核学会核电子学与核探测技术分会,2003.
论文摘要:作为未来最适应时代要求的政府工作形态,电子政务建设是我国当前信息化工作的重,点,未来政府办会发展的趋势。本文探论了综合电子政务平台的棍念、结构和相关技术,分析了电子政务所面临的安全威胁,并提出了相应的解决方案。
1综合电子政务平台概述
电子政务是指政府机构应用信息技术提高政府事务处理的信息流效率,对政府机构和职能进行优化,改善政府组织和公共管理能力。通常由核心网络、接人网络及访问网络三部分组成。建设内容一般包括:电子政务网络平台、政府门户网站、电子政务主站点、“一站式”行政审批系统、视频会议系统、公文交换和信息报送系统、电子邮件系统、办公自动化系统等。
电子政务网络平台网络结构中,核心网络拥有重要的信息资源,并处理政府部门间的核心业务。政府部门间的数据交换流程是闭环的,即任何一个节点既是用户又是数据源。因此,核心网络节点之间的业务流程应该是高速、严密、安全的,并且有严格的审核机制。核心网络与接人网络形成上下级关系的协同工作平台,进行信息、数据的交换。它们之间的信息往来必须具备信任安全体系。政府核心网络面向社会公众提供信息服务,对外宣传政府信息,与访问网络建立连接。
2综合电子政务平台的安全风险
2.1网络安全域的划分和控制问题
电子政务中的信息涉及国家秘密、国家安全,因此它需要绝对的安全。但是同时电子政务现在很重要的发展方向是要为社会提供行政监管的渠道,为社会提供公共服务,如社保医保、大量的公众咨询、投诉等等,它同时又需要一定程度的开放。因此如何合理地划分安全域显得非常重要。
2.2内部监控、审核问题
目前绝大部分单位都没有系统可以实时地对内部人员除个人隐私以外的各项具体操作进行监控和记录,更不用谈对一些非法操作进行屏蔽和阻断了。
2.3电子政务的信任体系问题
电子政务要做到比较完善的安全保障体系,第三方认证是必不可少的。只有通过一定级别的第三方认证,才能说建立了一套完善的信任体系。
2.4数字签名(签发)问题
在电子政务中,要真正实行无纸化办公,很重要的一点是实现电子公文的流转,而在这之中,数字签名(签发)问题又是重中之重。
2.5电子政务的灾难响应和应急处理问题
很多单位在进行网络规划的时候,没有考虑到作为系统核心部分一一数据库本身的安全问题,完全依赖干整个网络的防护能力,一旦网络的安全体系被穿破或者直接由内部人员利用内网用户的优势进行破坏,“数据”可以说无任何招架之力
3综合电子政务平台安全体系建设方案
3.1技术保障体系
技术保障体系是安全管理体系的重要组成部分。它涉及两个层面的问题,一是信息安全的核心技术和基本理论的研究与开发,二是信息安全产品和系统构建综合防护系统。
信息安全技术。信息安全的核心技术主要包括数据加密技术、信息隐藏技术和信息认证技术。数据加密是把有意义的信息编码为伪随机性的乱码,以实现信息保护的目的。数字签名是指只有发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对发送者信息真实性的证明。
信息安全防护体系。目前,主要的信息安全的产品和系统包括防病毒软件、防火墙、入侵检测系统、漏洞扫描、安全审计系统、物理隔离系统等。我们可采用屏蔽子网体系结构保证核心网络的安全。屏蔽子网体系结构通过添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步地把内部网络与internet隔离开。在这种结构下,即使攻破了堡垒主机,也不能直接侵人内部网络,它将仍然必须通过内部路由器。
3.2运行管理体系
安全行政管理。电子政务的安全行政管理应包括建立安全组织机构、安全人事管理、制定和落实安全制度。
安全技术管理。电子政务的安全技术管理可以从三个方面着手:硬件实体、软件系统、密钥。
风险管理。风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。
3.3社会服务体系
安全管理服务。目前,一些信息安全管理服务提供商(managedsecurityserviceproviders,mssp)正在逐步形成,它们有的是专门从事安全管理服务达到增值目的的,有的是一些软件厂商为弥补其软件系统的不足而附加一些服务的,有的是一些从it集成或咨询商发展而来提供信息安全咨询的。
安全测评服务。测评认证的实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
应急响应服务。应急响应是计算机或网络系统遇到安全事件如黑客人侵、网络恶意攻击、病毒感染和破坏等时,所能够提供的紧急的响应和快速的救援与恢复服务。
3.4基础设施平台
法规基础建设。主要有以下几方面:在国家宪法和各部门法中对各类法律主体的有关信息活动涉及国家安全的权利和义务进行规范,形成国家关于信息及信息安全的总则性、普适性的法规体系;针对各类计算机和网络犯罪,制订直接约束各社会成员的信息活动的行为规范,形成计算机、网络犯罪监察屿防范体系;对信息安全技术、信息安全产品(系统)的授权审批应制订相应的规定,形成信息安全审批与监控体系;针对信息内容的安全与保密问题,制订相应规定,形成信息内容的审批、监控、保密体系;从国家安全的角度,制订网络信息预警与反击体系等。
关键词:软交换;网络安全;安全域
引言
目前,IP网络已经普遍被认为是下一代网络的核心,是下一代网络的主要承载技术。但是,这种承载着多种业务的IP网络,有别于传统的Internet或企业局域网路,由于IP技术与生俱来的自由基因与电信产业的严谨作风存在着深刻的矛盾,如何解决安全和QoS是两个最根本的问题,提供不低于传统电话网络的安全等级,才能确立IP技术在承载网的主导地位。
1.网络安全问题解决策略
对IP网络安全问题的讨论是以传统电信网络为参照的,对于能够提供不低于或者接近传统电信网络的安全等级,即认为是安全的。
解决软交换系统安全问题一方面加强软交换系统核心设备软/硬件的安全性设计,采用备份冗余机制,另一方面采用隔离的方式,将软交换系统核心网络与外部隔离开来,提高核心设备防御外部攻击的能力。这其中隔离是软交换系统部署中解决系统安全性的重要手段。
2.网络安全域划分
软交换网络由大量网络设备、软交换终端以及运维、网管设备等组成,网络侧及运营、网管设备一般由专人管理和控制,安全性有一定的保障,而终端设备则位于用户侧,安全性毫无保障,软交换网络的安全需要将网络划分为不同的安全域,针对不同的安全域给出合适的安全方案。可以分为如下3种:
(1)安全级:该网络区域是安全的,该区域被攻击的可能性很小;
(2)信任级:该网络区域是不安全的,但可通过组网方式构建一个相对安全地信任区域;
(3)非安全级:该网络区域是不安全的,需要通过软交换网络特定的安全措施来保证安全性。
按照软交换网络设备和用户终端在软交换网络中所处的位置以及所具有的不同安全等级将软交换网络分解成多个安全域,通过将软交换网络划分为不同的安全域,以及明确不同的安全域的特点和要求,提供有针对性的安全解决方案。专网软交换安全域划分如图1所示。
如图1所示,专网软交换系统可划分为下列5个网络域:
(1)核心网络域:网络域包括软交换网络的核心部件设备及网管等运维设备,是软交换网络安全保护的重点,安全性取决于实际网络中的组网情况,对应的安全级别为信任级;
(2)窄带PSTN网络域:窄带PSTN网络域即现有的SCN/IN/STP网络,安全性是最高的,对应的安全级别为安全级;
(3)PSTN用户接入域:由于接入方式为窄带接入,所以,该域和窄带PSTN网络域相同为安全级;
(4)局域网IP用户接入域:该区域的安全性通常无法得到保证,安全级别为非安全级;
(5)广域网IP用户接入域:该域显而易见的是无安全保证的区域,该区域对应的安全级别为非安全级。
3.各网络域安全策略
3.1核心网络域
网络域的安全需要网络安全技术作为基础,并以设备的安全和可靠性为补充,共同来保证。
核心网络域处于信任级,该域要求避免受到来自网络层和应用层报文的攻击,需要在网络域和其相邻域之间部署防火墙设备。
由于核心网络域的设备为系统提供了核心的业务,为了避免某个设备的故障影响整个网络的正常运作,该域的设备需要从设备组网和设备本身2个方面考虑业务的安全性。
3.1.1核心网络域承载网安全策略
(1)承载网的安全核心-----隔离
在技术能力不足以满足要求的情况下,采用物理专网模式或逻辑专网模式组网隔离往往是最有效的策略。物理隔离,指的是新建专网的核心网承载软交换业务;逻辑隔离是指采用VLAN、VPN等技术,从逻辑上将软交换业务同其他业务隔离。在应用中,根据业务要求,选择合适的组合组网模式。核心网络域物理和逻辑隔离方法如图2所示。
(2)承载网安全的保证-----冗余
核心的IP网建设建议采用全网状、半网状的互联组网,要求路由具有备份功能,边缘路由器和网关设备通过双归属的方式跟核心骨干网互联。
核心层双平面组网,平面内采用全网状连接,A、B平面间设置高速通道,A、B平面的设备及链路采用全对称设计,单一平面按照承载全业务量设计。
骨干层全网、半网、环网组网,任何两个路由器之间都有冗余的若干条通道,防止某一个路由器或者链路故障对网络业务造成影响。
为了保证网络的安全和可靠性,可以考虑如下4个方面技术实现:
(1)通过网络设计,采用节点设备间对称连接、备份路径预先设定,为快速切换提供网络拓扑基础;
(2)采用节点间部署快速检测机制APDP/BFD,迅速检测链路和节点故障;
(3)通过IP/LDP/TEFRR技术切换到预先设定的备用链路,无需路由协议收敛重新选路;
(4)切换结束后,通过IGP快速路由收敛到已经切换的链路。
3.1.2核心网络域设备级安全策略
软交换采用双归属组网,该方案能实现倒换不断话,话单不丢失。
电信级硬件平台、双电源供电,双组风扇散热、双机箱管理,所有单板负荷分担或主备用,所有单板热插拔、设备支持双网口主备用。
完善的机箱管理功能,保证整个机箱正常工作,及时发现机箱故障,完备的机箱告警内容及快速的故障恢复机制。
主备用数据库,主用库在配置过程中出现错误的情况下快速切换到备用数据库,对备用数据库的修改不会影响到正在使用的主用数据库。
多级别负载控制,在业务承载能力达到极限时保证重要业务的安全提供。
完备的协议安全机制:SCTP协议保护机制保证SCTP偶连的安全性,H248、MGCPIPSEC加密、SIPDIGEST鉴权及信令加密、完整的H.235鉴权加密,媒体流SRTP加密传输。
一对信令网关(SignalingGateway,SG)实现负荷分担、链路互动,保证可靠的信令转接;将每个信令网关分别配置在软交换机的两个中继组中,采用信令组的冗余机制合理使用2个信令网关。
为了防止用户终端设备直接访问核心设备,需要增加SBC对语音业务做,同时SBC设备冗余部署、采用防火墙对SBC加以保护。
3.2IP用户接入域
用户接入域位于安全级别最低业的用户终端网。由于需要为用户提供接入功能,所有的用户都可以访问到该域的网络,该域的网络处于安全程度最低的非安全级。
SBC接入用户,通过SBC将众多的电话用户和软交换机隔离开,并实现多种功能,包括私网话音用户接入、提高业务QOS等等。SBC设备可冗余部署。
IPSECVPN接入,对通过Internet接入的单位或者个人,可以采用VPN的方式接入总部的VPN服务器,建立于总部之间的VPN加密隧道来保证信令和媒体的安全。
3.3窄带PSTN网络域
窄带网络域在软交换网络安全域模型中属于安全区域,不存在突出的安全性问题。
4.结束语
目前,软交换技术日臻成熟,专网软交换逐步推广,因此,研究和解决其安全问题将有助于其在特殊领域的推广和应用。
参考文献:
关键词:智慧矿山;LTE无线专网;数据传输
中图分类号:TN929.5文献标识码:A文章编号:1007-9416(2017)01-0020-01
智慧矿山是利用信息技术、通信技术、物联网技术、云计算技术等,对矿山开采运行过程中各项关键信息进行采集、分析并对监测、监控、管理、调度等需求做出智能响应,从而实现矿山生产管理的自动化、智能化和无人化,为矿山中的工作人员创造更美好的具有安全保障的工作环境,促进矿山开采与利用和谐、可持续成长。
智慧矿山的实现基础之一是实现信息的网络化传输。传统的矿区信息化程度不高,企业员工办公及沟通效率低下,特别是对于露天矿,传统的有线网络无法适应矿区环境多变的作业环境,而一般无线技术存在覆盖半径小、稳定性可靠性差、带宽小、支持业务单一等问题,导致通信网络不畅、通信手段单一,无法有效支撑矿山开采生产过程的各类信息化应用。利用LTE技术搭建的无线局域专网能够解决上述问题。
1技术特点
LTE无线局域专网主要采用TD-LTE的关键技术来保证网络语音集群功能的高效性和网络的安全可靠性,如正交频分多址技术、链路自m应技术、MIMO技术、小区间干扰抑制技术。其技术特点如下:
1.1良好的移动性能
LTE无线局域专网工作频段为1785MHz~1805MHz,带宽达到20MHz,提供50Mbps上行和100Mbps下行的峰值速率,为应用终端在120km/h速率下提供高性能服务,在120~350km/h速率下保持蜂窝网络业务性能。
1.2支持多业务需求
LTE无线局域专网具备较强的数据吞吐能力,能够提供物联网数据采集、多媒体集群调度、高清视频服务、移动互联网等多种业务,满足客户需求。
1.3灵活的系统应用
LTE无线局域专网采用时分双工技术(TDD),可根据需要灵活配置上下行时隙资源和系统带宽,实现频带资源、频谱利用率的最佳使用;当发生突发事件时,通过QOS、GOS控制策略可以保证重要客户正常通信;具备系统扩展性好、不同规模组网灵活的特点。
1.4良好的安全保密性
采用硬件加密、数据加密、端到端语音加密、无线空口加密等措施,保证了系统的安全可靠。
2建设需求
(1)建设统一的LTE无线局域专网解决矿区数据传输问题,提供宽带无线传输业务,支持智慧矿山各类信息化应用的接入,具备高效可靠的数据传输、专业集群和多媒体调度能力。
(2)矿区无线局域专网的语音、数据、视频业务通过无线方式传回矿区核心机房实现数据交互,解决有线方式无法覆盖区域的数据传输问题。
(3)可通过互联网专线实现Internet接入。
(4)预留与PSTN/PLMN网关的接口,后期可通过PSTN/PLMN网关实现与公网用户语音通话。
3建设方案
无线局域专网由应用终端、无线基站、核心网平台三部分组成:
(1)应用终端。包括CPE无线路由、车载/手持终端、移动视频摄像机等接入终端,提供语音、数据接入等功能,终端设备通过空口协议与基站进行数据通信。
(2)无线基站。包括eBBU、eRRU、天线等无线基站设备,实现接入控制、移动性控制、用户资源分配、空中接口管理等无线接入和无线资源管理功能。eRRU和天线安装在室外高点进行室外无线覆盖。eBBU通过光纤传输统一接入到核心网。
(3)核心网平台。包括一体化核心网设备、网管平台、网络设备、智慧矿山的各类应用系统。一体化核心网设备主要对网络呼叫信令进行控制并完成对数据、业务的承载,实现用户连接和管理功能。网管平台主要负责对各应用终端、无线基站、核心网平台设备实现配置管理、性能管理、拓扑管理、故障管理以及安全管理等功能。
由于LTE无线局域专网采用特定的工作频段,各应用终端需通过特定的无线频段接入基站系统。各基站通过光纤接入到核心网平台的网络交换机,由网络交换机进行汇聚后再接入一体化核心网设备。考虑到无线局域专网可靠性要求,网络设备配置2套实现设备级冗余,一体化核心网设备主要单板采用1+1主备工作方式。同时部署1套网管实现对核心网、基站的管理。系统通过互联网外部接口访问Internet网络,预留与PSTN/PLMN网关的接口。
4结语
LTE无线局域专网具有高带宽、高保密性、覆盖范围广、支持高速移动、支持专业集群业务等技术优势,为矿区数据传输问题提供了一种解决方案。本文对LTE无线局域专网技术特点、建设需求进行了分析,提出了建设方案,为该领域类似工程提供一些借鉴和参考。
参考文献
[1]雷高.智慧矿山建设的探讨[J].铜业工程,2013(4):43-46.
一、“网络财务”的概念及意义
所谓“网络财务”是指基于Internet/Intranet技术,以财务管理为核心,业务管理与财务管理一体化,支持电子商务,能够实现各种远程操作(如:远程记账、远程报表、远程查账、远程审计及远程监控等)和事中动态会计核算与在线财务管理,能够处理电子单据和进行电子货币结算的一种全新的财务管理模式,是电子商务的重要组成部分。这里,需要注意的是:(1)“网络财务”所指的“网络”既非企业传统的自成体系的局域网或广域网,也非单纯的因特网,而是Internet/Intranet相互协同形成的开放式网络;(2)“网络财务”并非单纯的财务系统,而是以财务管理为核心,业务管理与财务管理协同的综合系统;(3)“网络财务”是企业级的财务应用;(4)“网络财务”应完全支持电子商务;(5)“网络财务”的各项功能基于管理而非核算。
“网络财务”的提出和推行其重要意义体现在:
1.“网络财务”改变了财会工作的空间和模式,使各项业务能在广阔的网域范围内进行实时处理,标志着一个新的财务管理时代,即网络财务管理时代的到来;2.由于采用了Internet/lntranet技术,为财务信息系统由核算型向管理型、决策型转变并最终形成以财务管理为核心的企业全面管理信息系统提供了技术上无限的空间;3.“网络财务”改变了财务信息的获取方式,财务数据将从传统的纸质页面数据、磁盘数据发展到网页数据,有利于信息的多元化利用;4.“网络财务”全面支持电子商务,使得企业能够紧跟时代潮流,从电子商务的角度进行业务重整,有利于保持和加强企业的竞争地位;5“网络财务”将对传统的会计观念、会计理论、会计实务等产生重大的影响。
二、“网络财务”的技术基础
(一)Internet/Intranet技术是“网络财务”的应用基础
80年代后期至90年代初,企业信息系统结构实现了由主机系统(FS)向客户机服务器(CS)方式的转变,而目前正向Internet/Intranet方式转变。Internet是一个广域网(WAN)的集合,它包括一系列的网络。Internet的用户使用Internet上的应用程序(如:电子邮件E-mail、浏览器www等)彼此联系以获取大量信息。用户可以访问的信息存放在运行多种Internet协议的服务器上,这些协议包括超文本协议(HTTP),文件传输协议(FTP)等。
而Internet是应用Internet技术的企业内部网络,它基于Internet通信标准、Web技术和设备来构造或改建可提供Web信息服务以及连接数据库等其他服务应用的自成体系的企业内部网。Intranet可以连接到Internet成为其一部分,当有安全需要时,采用“防火墙”等网络安全技术与Internet隔离;Intranet也可进一步向企业外延伸,使其使用范围扩大到企业与企业之间,从而使企业与关联企业、上游的供应商和下游的经销商之间形成范围更为广阔的信息系统,即Extranet.由于Internet/Intranet投资回报率高,风险小,对提高通信质量,降低经营成本,实现资源共享,提高机构运作效率大有益处,因此,各国企业纷纷采用。Internet/Intranet技术为建立管理决策型的企业全面信息系统提供了优越的信息资源管理平台,它不仅能处理结构化的数据(如各类关系数据库),也能处理各种非结构化数据(如文本、图形、图像、声音等),使企业信息资源更加全曲、丰富;另一方面,由于Internet/Intranet具有开放性、标准化、分布式、使用简单、易于维护等特点,因此它为企业信息系统的集成化发展提供了有效的技术保障,比如它采用了公开的TCPM协议,允许工作站通过同构或异构的计算机网络系统共享资源,实现各类信息系统的无缝连接;又如它利用超文本、超媒体传输技术,将分布于企业内外的数据有机地联结起来。无疑Internet/Intranet技术为企业涉足电子商务,扩大其竞争优势,提供了技术基础。
(二)大型数据库技术
“网络财务”环境下,抛弃了传统财务系统所采用的小型数据库ACCESS、XBASE、FOXPRO等(由于其数据处理的局限,不能达到海量数据处理。高速运行和数据安全性的要求)而采用了诸如SYBASE、INFORMIX、ORACLE、SQLSERVER等大型数据库,这些大型的数据库有高达TB(ITB=1000GB)级的数据处理能力,使业务量完全不受限制,不仅可以实现跨年度查询,还可以通过数据仓库技术,整合采购、库存、销售、计划、工资等数据供决策分析。另外,这些大型数据库大大改进了海量数据下读取的性能和安全性能,加强了网络控制,减少了由于网络并发用户操作对数据库造成的关键字丢失的问题,使得数据库系统能够高速运行并增强了安全性。
(三)三层结构技术和组件开发技术
三层结构技术就是将客户机服务器(CS)系统中各系统部件分成三层服务(客户服务端、中间层服务器和数据库服务器)的一种技术。其特点是联机用户多、每次业务处理时间短、处理的业务量大等。第一层客户服务端负责基本的可在客户机上执行的规则验证、数据描述和显示以及查询生成。第二层中间层服务器存储着应用程序的所有事务规则;客户机向中间层服务器发出处理请求,然后中间层服务器负责与数据库服务器打交道。第三层数据库服务器是所有特定应用程序数据和以存储过程形式表现事务规则的某些特定厂商的实用工具,它起到了中心数据仓库的作用。三层结构技术是一个基于组件的开发模式,即根据业务涉及的数据和处理流程、不同的行业特性设计成属性、方法并独立封装,使业务工作对象化,用户可在安装时选择适合本企业的构件。比如,在软件设计上,将凭证管理作为一个组件,形成凭证模块,将账簿管理也作为一个组件形成账簿模块,用户可在三层结构的中间层封装某类适合自己企业特点的财务规则组件,如果凭证管理有问题就换凭证模块,如果账簿有问题就换账簿模块。三层结构组件技术具有如下优点:1.安全性能好;2减少硬件投资;3.安装、维护、使用或二次开发比较方便;4.能使企业实现远程应用。正是由于采用以上先进的技术为基础,网络财务才获得了技术上无限的发展空间,为企业建立其全面信息系统,涉足电子商务提供了技术保障。
三、“网络财务”的实施方案
首先,企业应根据自身的实际情况进行需求分析确定企业到底要利用“网络财务”系统完成什么工作、“网络财务”系统应用要达到什么目标和要求。例如:某企业根据自身业务迅速发展,财务需要集中监控、企业管理核心在于抓财务的实际情况出发进行网络财务的需求分析,确定了其开展“网络财务”应做的工作和要求:l.要使财务管理和业务管理紧密配合,全面实现财务业务管理一体化;2要实行集团财务集中监控;3支持电子商务,能提供方便的网上应用,可以同时使用测览器界面和GUI界面;4.具有良好的可扩展性和融合性;5.软件功能适用。其次,选择或开发网络财务软件。再次,根据企业需求进行网络方案设计。目前常用的高速网络技术包括以下几种:l.快速以太网;2.FDDI(分布式光纤数据接口);3.ATM(异步传输模式);4千兆位以太网。前两种技术价格较低,性能也不错,适用于一般企业;后两种技术性能远远超过前两种,但价格较高,投资很大,适用于有实力的大型集团企业,如中国石油天然气集团公司就是用ATM技术和千兆以太网技术。对于一般企业,可以采用快速以太网或FDDI技术建立自己的局域网,远程子网可用DDN专线连接,移动用户群可以用电话连接;另外,可用MSⅡS建立自己的网站,通过EXCHANGESERVER建立自己的电子邮件系统。对于许多中小企业来说,可能既想推行网络财务,又不想太多的投资,这时财务软件公司可从以下几个方面去帮助企业推行网络财务:1.提供网络财务软件。2提供基于互联网的服务业务;提供网络财务软件的在线支持和内容服务;建立专业网站,提供网上理财服务,用户无需购买软件,可通过专业网站获取理财服务并按服务项目和数量付费。3.为企业用户提供全套服务;帮助企业设计和构建网络体系,提供软件并帮助安装和维护等。
[关键词]下一代互联网;IPv4;IPv6;发展前景
中图分类号:TG333.2文献标识码:A文章编号:1009-914X(2016)19-0235-01
一、以IPv4技术为核心的互联网发展现状
1.1、当前互联网高速发展同时也存在固有缺陷
人们对基于互联网的各个类型的新应用充满了渴望与期待,这从根本上源于当前计算机、通信和多媒体等前沿技术的高速发展。目前,以IPv4技术为核心的互联网在安全保障、服务质量、运营管理方面存在的固有缺陷已成为互联网技术进一步发展的瓶颈。因此,人们共同的期望便是下一代互联网能够在可扩展、更安全、更强大、更可信、更便于管理以及更高质量方面改善。
1.2、互联网面临IP地址资源匮乏的问题
第一代互联网技术的出现使得信息网络已经渗透到我们社会生活的各个方面,互联网已经成为现代信息社会不可缺少的重要基础设施之一。然而伴随着互联网规模的持续膨胀以及新兴网络需求层次的不断增长,网络层协议IPv4所提供的32位地址在互联网上使用的空间明显显现不足,出现了IP地址资源匮乏的严重问题。众所周知,互联网起源于美国,IP地址在区域上存在分配不均的问题。中国目前的IP地址约5400万个,算起来大约24人才拥有1个IP地址,为了缓解IPv4地址资源匮乏的问题,虽然后来采取了无类域间路由选择(CIDR)和网络地址转换(NAT)等措施,但是这还是于事无补,仍然不能从根本上阻止IPv4地址枯竭的步伐。同时原有互联网在可扩展性、端到端的IP连接、网络安全性缺陷以及QoS(服务质量)等方面还面临着相当严重的挑战。
二、下一代互联网技术的产生及发展
1.1、下一代互联网解决了地址瓶颈并实现了多种业务的融合应用
在原有网络局限性日益凸显以及科技高速发展和人们应用需求增长的迫切要求的情况下,以IPv6及其相关技术为核心的下一代互联网技术应运而生。以IPv6为核心的下一代互联网技术不但能够能解决当前互联网发展所面临的地址瓶颈问题,同时也在安全与信任、服务质量保证、如何容纳无线网格、嵌入式系统、传感器网络等方面有了进一步的改进和补充,并且能逐步实现多种接入方式和多种接入终端、大范围移动性网络的覆盖、大规模分布式应用开展、多网络业务的融合、语音以及实时的多媒体广泛业务开展等各种业务的融合应用。
1.2、我国自主研发的下一代互联网研究取得重大突破
2008年12月3日,国家发改委和中国工程院等6部门在北京共同宣布,历经五年发展,我国自主研发的下一代互联网研究取得了重大突破,已建成全球最大的下一代互联网示范网络,推动并形成了我国下一代互联网产业群。中国教育与科研计算机网、中国电信、中国网通/中科院、中国移动、中国联通、中国铁通等六大核心网在中国下一代互联网示范工程(CNGI)现已建成,并且北京和上海成为两个国际交换中心网络。CNGI是目前普通家庭用户上网速度的100多倍以上,全网建成22个城市59个节点,覆盖30多个城市、200多万用户,传输速度达到了每秒2.5G到10G。为了消除目前广泛使用的IPv4互联网存在黑客攻击、垃圾邮件等大量安全隐患以及解决现有互联网向下一代互联网过渡的兼容性、可管理、可扩展、可靠性和自动配置等技术难题,CERNET2开创性地提出“基于真实源地址的网络寻址体系结构”,同时,科研人员也在国际上首次提出了一种新的过渡技术方案,预计2012年前可进入大规模商用阶段。尤其值得一提的是,CERNET2首次在全国主干网大规模使用国产IPv6路由器,这对摆脱互联网领域依赖国外核心设备的被动局面、推进我国下一代互联网核心设备自主创新和产业化,具有重要战略意义。
1.3、IPv6协议主要具有以下技术优势:
近十年来,我国为了进行下一代互联网研究持续投入大量的人力和财力,并且开展了广泛的国际交流与研究活动。事实证明:以IPv6技术为核心的下一代互联网比现有网络更能加快信息技术的发展,与IPv4协议相比,IPv6协议主要具有以下技术优势:
(1)采用128位的IP地址空间,解决了IP地址资源匮乏的问题,并且用128位地址中的高64位表识网络前缀,低64位表识主机,使得地址层次丰富且分配合理。
(2)IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
(3)IPv6与IPv4相比具有更高的安全性。使用IPv6网络的用户可以实现网络层的数据加密和IP报文校验,实现IP层网络安全。
(4)采用固定的40字节报头以及类似CIDR的地址划分方式,同时取消了报头校验和字段,实现地址空间的合理分配,不仅有利于路由器进行硬件的转发处理,而且是路由表的长度减少了不少。
(5)增强了组播功能,不仅使用了更多的组播地址,而且组播域进行了划分,实现了网络带宽的有效利用,避免了广播风暴。
(6)为服务质量控制QoS提供了良好的网络平台。
三、下一代互联网美好与广阔的发展前景、应用热点
以IPv6技术为核心的下一代互联网有着美好与广阔的发展前景,完全建设成型的下一代互联网相比现有网络将具有以下特征:
(1)更大:指目前互联网主要连接计算机系统,扩展到连接所有可以连接的电子设备。接入终端设备的种类和数量更多,网络的规模更大,应用更广泛,路由性能改善。
(2)更快:指提供更高的传输速度,特别是端到端的传输速度应该达到10Mbps(字节/秒)到100Mbps,用以支持更高性能的新一代互联网应用。
(3)更安全可信:指在以开放、简单和共享为宗旨的技术优势基础上,可进行网络对象识别、身份认证和访问授权,具有数据加密和完整性,从网络体系结构上保证网络信息的真实和可追溯,进而提供安全可信的网络服务。
(4)更及时:指改变目前互联网“尽力而为”的网络服务质量控制策略,提供可控制和有保障的网络服务质量控制,支持组播、大规模视频和实时交互等新一代互联网应用。
(5)更方便:指采用先进的无线移动通信技术,实现一个“无处不在,无时不在”的移动互联网和无线通信应用。
(6)更可管理:指克服目前互联网难以精细管理的特点,从网络体系结构上提供精细的网络管理元素和手段,实现有序的管理、有效的运营、及时的维护。
(7)更有效益:指克服目前互联网基础网络运营商“搭台”但是亏损,网络信息内容提供商“唱戏”而且盈利的不合理经济模式,创立合理、公平、和谐的多方盈利模式。
四、总结
下一代互联网的广泛性和大众化特点,必定改变人类现有的生活方式、行为方式和思维方式,网络信息量也会以人们想像不到的速度增长。目前我国的下一代互联网技术已经全面展开,正在逐渐地取代现有互联网。下一代互联网将以其高速的传输速度和充足的IP地址给人们的生活带来巨大的改变。
关键词:军事;信息;网络;安全
中图分类号:E2文献标志码:A文章编号:1673-291X(2011)19-0243-02
信息安全一般指信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。据英国《简氏战略报告》和其他网络组织对各国信息防护能力的评估,中国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。而军事信息安全一般指军事信息在采集、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性。相对于其他信息而言,军事信息安全更为重要,一旦被侵入或被攻击,造成的损失也更大。
一、军事信息网络安全面临的主要威胁
当前,中国军事信息网络安全面临的主要威胁是计算机病毒入侵、黑客攻击、电磁辐射泄密、CPU等核心技术受制于人等。
1.计算机病毒入侵。计算机病毒是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。现代计算机病毒常常潜入操作系统与内存,冲击内存、修改数据或删除文件,影响计算机性能。一些病毒甚至能擦除硬盘或使硬盘不可访问。从中国国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2009年调查,中国约73%的计算机用户曾感染病毒,2010年上半年升至83%。其中,感染三次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。而在军事方面,计算机病毒已经被作为对敌方实施“软杀伤”的无形利器。在战时,可以通过将病毒程序植入敌方计算机网络,获取、篡改、删除对方信息,对敌实施“瘫痪”、“欺骗”、“拒止”、“降级”、“摧毁”等打击。目前,美军已经研制出“蠕虫”、“逻辑炸弹”等2000多件计算机病毒武器。
2.网络黑客攻击。信息化时代,黑客作为新兴人才,已成为各国竞相争夺的目标。美国则早在2002年就组建了美军历史上也是世界上第一支网络黑客部队,即网络战联合构成司令部(简称JFCCNW)。据美防务专家评估,美军目前约有3000~5000名信息战专家,约有5万~7万名士兵涉足网络战,加之原来的电子战人员,美军的网络战部队人数规模应在88700人左右。此外,录属于国防部的美国国家安全局、国防信息系统避、战略司令部和空军等方面都拥有从事网络战攻防的部队。据美国国防承包商预估,美军投入在网络战上的费用将迅速上升到数百亿美元。为了争夺这笔大订单,美国各大国防承包商也开始投身于黑客人才的争夺之中,诺思罗普―格鲁曼、通用动力、洛克希德―马丁和雷神公司等已开出了优厚的待遇和条件,来招聘更多优秀的网络人才。黑客攻击是军事信息网络所面临的最大威胁。此类攻击又可以分为两种:一种是网络攻击,黑客以各种方式有选择地破坏对方信息的有效性和完整性;另一种是网络侦察,是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。国际社会普遍认为,军事网络犯罪具有技术性强、作案时间短、地点不易确定、手段隐蔽、动机目的复杂以及跨国犯罪日益横行等特点,给安全保密和网络管理带来极大的困难。如1995―1996年,一个来自阿根廷的黑客,就通过互联网进入美国一所大学的计算机系统,并由此进入美国海军研究室、国家宇航局及洛斯阿拉莫斯国家实验室的计算机网络。这些系统中保存有飞机设计、雷达技术、卫星工程等敏感研究信息。而美国海军却无法确认究竟哪些信息被偷窃或泄漏出去,甚至无法估计损失程度。难怪原美国中央情报局局长约翰・多伊奇惊呼,电脑入侵可能成为仅次于核武器、生化武器的第三大威胁,相信不是危言耸听。从国内情况来看,目前中国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
3.核心技术受制于人。美国所生产的所有CPU(中央处理器)和操作系统都留有后门,这已经成为公开的秘密。美国可利用敌接收路径和各种软硬件存在的“后门”漏洞,通过欺骗手段将网络病毒和DDOS工具等网络武器远程植入和无线注入敌方网络空间,对其计算机信息进行渗透、篡改、窃密和潜伏遥控,使其陷入间歇性或全面瘫痪;或者通过大型IT产品厂商,特工等,把藏有网络战程序的硬件伪装成正常产品出售或安装到敌方要害部门,战时遥控启动,伺机篡改敌方网络管理权、破解密码并盗出机密信息,或长期潜伏,等待指令伺机发作。而我军所使用的CPU芯片、操作系统和数据库、网关软件等基础硬件和系统软件,大部分来自于美国和其他发达国家,由于缺乏自主技术,中国军事信息网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处境比较脆弱。
4.电磁辐射泄密。截取信息主要是指使用高技术、高性能的电磁辐射接受等装置获取信息。近几年来,许多国家的科技人员在防计算机信息泄漏监测方面进行了大量的研究工作,推出了一代又一代的接受还原设备。试验证明,在一定距离上使用监测设备可以接受到任意一台未采取安全保护措施的计算机屏幕信息。如美国1996年推出的DateSun接受机,其平均接受距离为270米(如果有电话线或电源传导,其接受距离可达数公里)。
二、确保军事信息网络安全的主要对策
我们在利用网络的快捷性实现军事信息化的同时必须谨慎对待网络中的军事信息安全问题,要采取人防与技防齐举,硬件改造与软件升级并重的方式,不断完善军事信息网络安全措施。
1.加快军事网络核心技术的研发使用。要加大对信息网络安全关键技术的研发,积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态,抓紧开展对信息技术产品漏洞、后门的发现研究。研发具有自主知识产权的计算机软硬件设备,尤其是在CPU、操作系统、密码专用芯片等关键领域、核心技术上求得突破。要大力推广国产软硬件的使用,逐渐用国产软硬件代替舶来品。对中国自主研制开发的,已经列装的计算机软硬件,要组织部队学习操作使用,尽快形成战斗力,并在实践中不断升级完善。
,使得网络社会的脆弱性大大增加,一旦计算机网络受到攻击不能正常运行时,整个社会就会陷入危机。那么
,对于“瓶颈”问题应如何应对?
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上取决于技术的完善,这些技术包括访问控制、防火墙技术、身份认
证与权限管理、入侵检测、防病毒等等。
1.防火墙技术。防火墙是最重要的安全技术,它的主要功能是加强网络之间的访问控制,是一个安全
策略的检查站,对网络攻击进行检测和警告。
2.加密技术。它的主要任务是研究计算机系统和通信网络内信息的保护方法,以实现系统内信息的安
全、保密、真实和完整。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。在电子商
务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可
否认服务中都要用到数字签名技术。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内
容。
二、电子商务网络信息安全的应对措施
网络信息安全关系到我们每个人的切身利益,研发出真正安全可靠的网络信息安全产品对保障国家的
信息安全、金融安全甚至国家安全都具有十分重要的意义。有人说“三分技术,七分管理”反映了网络信息安
全技术的两个方面:一是技术问题,二是管理问题。那么,未来网络信息安全就应从政府、网络软件企业、核
心用户、资本、技术、人才等各个方面入手。
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来
的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,绝非不可能。我们在思想上要把信息资
源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全
领导机构。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算
机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责
任,制定管理岗位责任制及有关措施,严格内部安全管理机制。3.加快网络安全专业人才的培养。我国需要大
批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中才能迅速成长,
只有在高素质的队伍保障中才能不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,
多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术
措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系;二是要执法必严,违法必纠。要
建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有的重视,这为网络安全问
题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时
,在立项时更应注重对网络可靠性、安全性的评估,力争将安全隐患杜绝于立项、决策阶段。
6.抓紧网络安全基础设施建设。一个网络信息系统,只要其芯片、中央处理器等计算机的核心部件以
及所使用的软件是别人设计生产的,就没有安全可言,这正是我国网络信息安全致命的弱点。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原
因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为
了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键
技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与
内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术
规范也难以形成网络安全产业规模。
10.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切
入点,也是维护网络安全的必要对策。
11.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他
们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。
12.政府部门、网络软件企业、核心用户与技术相结合。长期以来,网络信息安全技术发达的欧美国家
在网络信息安全技术及产品的出口上一直设置种种障碍,因此,在中国销售的产品及其安全级别相当低,根本