時間:2023-09-22 09:40:43
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇工業企業網絡安全范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
關鍵詞:數據加密;網絡安全;化工企業
隨著計算機和互聯網技術的不斷普及,數據加密技術成為網絡安全中最重要的技術。數據加密技術也廣泛應用于以計算機為主導的化工企業的數據傳輸交換中。
1數據加密技術的種類及其表現方式
化工企業中經過數據加密技術處理過的信息,需要經過密鑰和解密函數的轉化才能夠使用,而沒有這個密鑰或者解密函數就會得到亂碼或者無法打開。
1.1數據加密技術的種類
1.1.1對稱式加密技術
對稱式加密也稱為單密鑰加密,是一種最簡潔,最快速的加密技術,信息的加密和解密使用同一個密鑰,由于它的效率高,因此被廣泛應用于很多加密協議的核心當中。但是因為發送和接受雙方擁有同一個密鑰,所以只有雙方在沒有泄露密鑰的前提下,才能夠保證傳輸數據的安全性、完整性。對稱加密的難就是密鑰的管理問題,通常是把對稱加密的密鑰通過非對稱式加密傳輸給接收方,保證在傳輸中不會被黑客截獲,即便被截獲也不會被破譯。化工企業中的郵件加密、圖紙和條件加密基本都是使用對稱式加密傳輸的方式[1]。
1.1.2非對稱式加密技術
非對稱加密技術是需要兩個密鑰來進行加密和解密,即公開密鑰(公鑰)和私有密鑰(私鑰)。如果用公鑰對數據進行加密就必須用對應的私鑰進行解密;如果用私鑰對數據進行加密就必須用對應的公鑰進行解密。這種加密技術雖然安全性高,但是加密解密的速度比較慢,因此在實際的工作中大多數采用的方法是將對稱式加密中的密鑰使用非對稱是加密的公鑰進行加密,發送給接收方再使用私鑰進行解密,得到對稱式加密中的密鑰。雙方可以用對稱式加密進行溝通,這樣即安全又快捷。非對稱加密技術可應用于數據加密,在身份認證、數字證書、數字簽名等領域也有廣泛的應用。
1.2數據加密的表現方式
隨著化工企業設計過程數字化、信息化的不斷發展,各類數據在設計人員內部之間流轉,設計成果的可復制性雖然提高了效率,但是也出現了數據安全問題。海量的圖紙、郵件、條件、信息在傳輸中面臨被盜取、丟失的風險,令企業和業主蒙受巨大損失。假如被競爭對手掌握后果不堪設想。
1.2.1鏈路加密
鏈路加密又稱為在線加密。它是同一網絡內兩點傳輸數據時在數字鏈路層加密信息的一種數字保密方法。在主服務器端的數據是明文的,當它離開主機的時候就會加密,等到了下個鏈接(可能是一個主機也可能是一個中集節點)再解密,然后在傳輸到下一個鏈接前再加密。每個鏈接可能用到不同的密鑰或不同的加密算法。這個過程將持續到數據的接收端。鏈路加密掩蓋了被傳送消息的源點與終點,非法入侵一般很難截獲明文信息,所以保證了數據的安全性[2]。
1.2.2節點加密
節點加密在數據網絡傳輸形式不會以明文出現,而是以再加密的方式將數據再次傳輸到通道中,避免了黑客入侵者對信息的盜取和修改。但是節點加密要求源點和終點要以明文形式出現,因此也存在一定的缺陷。
1.2.3端端加密
端端加密又稱為脫線加密。端端加密從源點到終點一直以密文的形式傳輸數據,數據在到達終點之前也不會進行解密,因此即使在節點處有非法入侵也不會泄露數據[3]。例如某化工企業中,員工500多名,業務遍布全國各省自治區,數據的傳輸不僅限于局域網,更遍及全國各地,每天員工和客戶的往來郵件和圖紙等數據無數,而這些數據都是以明文的形式存儲在個人或者單位計算機系統中,在傳輸過程中必須要對這些文檔、圖紙加密、設置權限等,防止設計成果的泄漏。采用端端加密的方式能更安全更高效的保證數據和系統的安全。
2影響化工企業網絡數據安全的因素
核心數據是化工企業的命脈。通過建立完善的信息安全系統,保護化工企業核心數據尤其是企業商業機密,防止從內部泄密,已經成為眾多企業的共識。企業從信息系統的安全性、穩定性和可靠性等方面為基點,以數據安全為目標,紛紛構建企業數據防泄密體系[4]。
2.1軟件漏洞
現在的軟件為了方便企業和個人的交流都會有很好開放性和共享性,但是正因為此,軟件的安全問題也凸現出來。通常使用的TCP/IP協議,在網絡協議驗證上并沒有過多安全要求,這也避免不了網絡安全問題的出現。再有瀏覽器的使用過程中也會對用戶信息造成泄漏。這就要求我們在平時要采用正版軟件并注意及時更新軟件,減少軟件漏洞的出現。
2.2操作系統漏洞
操作系統是整個計算機的核心,如果病毒侵入后就能隨意操作計算機系統,盜取用戶信息。病毒還能利用木馬程序監控用戶信息傳送,更嚴重的能使服務器崩潰。在化工企業的網絡中心應該及時升級操作系統并安裝補丁,縮小風險。
2.3計算機病毒
病毒能夠破壞計算機軟件、資料甚至計算機硬件,使得計算機不能正常使用。隨著計算機網絡共享的不斷發展,病毒的蔓延更加快速,輕者使得電腦運行緩慢,嚴重的導致死機、崩潰、數據丟失等。化工企業網絡中心應該在服務器上及個人電腦上安裝正版網絡版殺毒軟件,并及時更新病毒庫,防止計算機被病毒感染。
2.4黑客入侵
黑客主要是利用計算機系統的安全漏洞,采用非法監測等手段侵入電腦,盜取計算機中的私密數據。黑客入侵主要是人為的對計算機進行攻擊,所以其危害性比病毒更嚴重。平時要避免不明來歷的下載,減少共享設置等[5]。數據加密技術突飛猛進,要求對數據進行高強度加密和對使用者透明的解密,防止各種泄密情況的出現,并且還要求操作簡便、應用方便、無痕處理。數據加密采用內核驅動級文件加密技術,256位高強度加密算法。在單位內部文件可以正常流轉,一旦離開單位網絡,文件顯示亂碼或者打開失敗。這樣就實現了設計圖紙加密、研發數據加密、客戶資料加密等。真正意義上保障了企業數據的安全性。
作者:王欣 單位:天津渤海化工集團規劃設計院
參考文獻:
[1]朱巖.淺談數據加密技術在計算機網絡安全中的應用[J].工程與技術.2012:10-12.
[2]邵雪.數據加密技術在計算機網絡安全領域的應用探討[J].電子商務.2014:34-35.
[3]盧開澄.計算機密碼學:計算機網絡中的數據保密與安全(第3版)[M].北京:清華大學出版社,2003.89.
企業辦公網絡存在的問題
(一)算機網絡的安全性和開放性存在的問題
現代社會,由于計算機網絡的全球性、開放性發展,使得上網普及到人們的生活和學習中去,其作用與影響力遠遠超出了人們的想象,他深入到社會和生活的方方面面,一旦癱瘓而不能正常工作,嚴重影響人們的生活質量,也使得無紙化辦公成為空想。從網絡辦公的安全現狀出發,把安全建設環境的重要性提到日程上面來。
(二)網絡犯罪和惡意無意病毒入侵與構建綠色網絡存在的問題
現代,由于時代的發展,在計算機方面愈多優秀人才。他們利用自身的優勢,深入企業內部竊取資料信息,非法獲取利潤。更有之,利用全網開放性特征,以歪門邪道入侵公司或銀行網站,非法謀取暴利[1]。
企業辦公網絡的安全管理
(一)建立網絡預警制度,做好安全防范
新形勢下,構建企業辦公網絡,做好日常防護,擴大社會主義精神文明建設,利用網絡辦公,提高員工工作效率。“凡事預則立,不預則廢”,無論是一個企業還是個人還是整個國民經濟。建立良好的預警和防御機制,防范與未然。統觀網絡全局,首先建立網絡預警制度,制止黑客入侵,,從系統層面最大程度降低危害。對于網絡維護方面的專業技師來說,謊報的網絡預警機制,會將他們對網絡的安全失掉警惕心。這就很大程度上的致使黑客入侵,給辦公網絡造成毀滅性的打擊。(二)合理配置網絡信息資源
對于一立的計算機,必須首先安裝防毒軟件,對于整個網絡系統,必須要有全方位的防病毒方案。辦公網絡的技術維護人員,首先要設置好防火墻,及時地修復網絡漏洞。安裝殺毒軟件并在使用中定期升級軟件版本。對服務器系統管理員的賬號和密碼進行管理,防止網絡黑客對辦公網絡的破壞。一旦防火墻檢測到異常數據包,則直接丟棄,有效的防止病毒木馬的傳播,有效的保護整網的安全和穩定,發動聯動機制,確保安全是第一位的。一般企業網絡維護師只注重外域網的文件及防范數據包,排除不安全隱患的重心都投在那上面――內域網上。因管理員有意或者無意泄露甚至故意用黑客控制內域網全員,這是最大程度上對網絡資源的威脅。網絡信息資源固然是共享的,但一般用戶安全意識都比較淡薄,在日常的收發郵件中,甚至被黑客惡意跟蹤。需要利用服務器和防火墻將二者相對應的防毒軟件制成一系列完整全面的網絡結構平臺,對企業的辦公網絡體系和資源進行有效的配置和科學的管理,同時也可將遠程管理落實到實處。
(三)有效地防治病毒
系統管理員應充分考慮計算機正在運行的實時性防毒軟件的防毒效果和功能是否能保證系統的安全。再次分析,企業若不能按時治理好病毒防治,會否造成網絡的癱瘓及對企業造成的財產損失估價。大量統計數據顯示,引起網絡不安全的因素主要是網站維護者自身。首先他們缺乏必要的安全意識,在網上隨意瀏覽網頁,及網絡下載資源的不合理。在對外界進行數據交換時,管理和控制不到位,辨識不清盜版軟件。
(四)做好計算機數據修復技術
企業辦公網之間除了自己正常的辦公以外,還與其他主機相連,一旦遭遇黑客木馬襲擊,直接影響聯機的全網安全。需做好計算機日常維護工作,定期清理磁盤,掃除垃圾文件。如果系統癱瘓或重要數據丟失,恢復的難度有多大,費用有多高。首先需要對硬件進行全面體驗,針對自身企業的IT設備維修標準及制度,保證網絡系統的安全。現在很多企業由于缺少專業的網絡維護人員,各人員使用的操作系統均限于單機殺毒軟件,使得企業辦公網絡的維護變得千差萬別,使得企業的安全管理變得極為復雜,企業的重要數據一旦泄露,遭到惡意攻擊之后,將會帶來極大的損失。
總結
關鍵詞:電力信息;網絡安全;存在問題;防范措施
中圖分類號: F407 文獻標識碼: A
前言:近幾年,我國信息網絡技術不斷發展與完善,信息網絡應用于社會各個領域,為提高企業工作效率與管理水平,信息網絡已經成為電力企業信息交互、傳輸、共享不可缺少的部分。而研究電力系統信息安全問題、制定和實施電力企業信息安全策略、建立全方位、動態的電力信息系統安全保障體系,己成為當前電力企業信息化工作的重要內容。由于信息網絡具有多樣性、開放性等特點,往往會因為忽略某一環節而造成重大損失。
一、電力信息網絡概述
電力信息系統是一個復雜的系統,它由分布于各級變電站、營配終端、調度機構、辦公場所等通過或緊或松的聯系構成。它所處環境包括各個調度機構的局域網、本地計算機系統以及電力系統所連接的行業外網。因而,簡單來說,電力信息網絡是電力企業內依賴于計算機及網絡的業務系統和通信數據網絡的統稱。電力信息網絡系統從功能上可以分為以下幾個系統:
1.監控系統
電力信息網絡的監控系統包括用于電網生產運行過程中的各個監控和控制設備以及用計算機與網絡執行的業務處理設備智能終端。詳細包括變電站、電網調度系統、輸配電線路等的自動監控系統以及配電網、計算機保護和安全裝置、及調度自動化網絡系統、電能計量計費及電量實時檢測控制系統。
2.管理系統
管理系統是有計算機、操作者以及其他設備組成的復雜系統,其主要功能是進行信息的收集存儲、加工傳遞以及使用和維護,主要進行日常事務的管理操作。內容包括ERP、門戶、財務管理、市場交易及營銷管理、人力資源管理、變電站管理、配電網管理、輸電網信息管理系統等。
3.數據網絡系統
電力數據網絡系統主要由電力信息數據網和電力調度數據網組成,隸屬于電力專用網。電力調度數據網絡指的是電力生產所用撥號網以及專門用于調度的廣域網絡。電力信息數據網指的是用于電力系統內部的公用網絡,包含的范圍非常廣闊,除去生產及調度外,該網絡均有覆蓋。電力企業的信息網絡包涵了各個電力單位,并通過電力專用網絡來實現信息的上傳和下載以及各個單位間的互相連接。
二、電力信息網絡安全問題分析
當前國家的電力信息網絡體系已經相對健全,而且具有較強的電力信息安全體系,可以將電力信息網絡以及電力執行時進行實時控制,各級單位信息安全設備已安裝調試到位,信息安全檢查工作已規范。可是依舊會有許多電力單位對信息安全性不夠關注,信息安全事件和信息泄密事件頻頻發生,還具有很多安全風險和問題。
1、部分員工缺乏安全意識
電力企業實現信息化建設使電力企業得到了很大的發展,但是由于電力企業信息化時間較短,部分員工缺乏信息網絡的安全意識,對信息安全問題的重視程度不夠,存在人為的安全隱患。
2、需進一步規范管理制度
雖然我國電力企業已經初步建立起統一的、規范的信息網絡信息系統的安全管理相關規定,制定了相關安全防范措施和安全保護機制,但同樣由于起步較晚,在一定程度上仍然對基層電力企業的信息網絡安全工作缺乏詳細的維護指導。
3、信息安全管理仍然存在不統一的現象
現在信息網絡已應用到電力生產、管理和營銷的各個方面,但是信息網絡安全仍然按主管部門分屬于兩個單位,分為生產辦公區和調度區,兩部分安全區域各自執行各自的信息安全標準,沒有實現信息安全的統一管理。
4、基層電力信息網絡安全的基礎設施不完善
信息網絡的基礎安全設施建設是信息網絡安全的基礎,而基層電力信息網絡的安全設施仍然比較薄弱,使電力信息網絡安全無法得到保障。
三、電力信息網絡安全防范措施
信息網絡安全要加強防范措施,只有制定出嚴格的防范措施,才能保障電力信息網絡的安全運行。
1、要加強人員管理和培訓,提高員工安全意識電力企業要定期開展內部信息網絡安全培訓,使員工增強信息網絡安全防范的意識。電力企業要組織電力管理相關人員進行信息網絡安全教育與培訓,如部門負責人、用戶、相關技術人員等,要求電力企業所有人員必須認識并嚴格遵守電力信息網絡安全規定。
培養員工建立良好網絡使用習慣,與工作無關的設備要禁止在企業電腦中使用。不允許在企業電腦安裝盜版的軟件和與工作無關的軟件,嚴格執行“雙機雙網”,不允許內、外網混合使用,對電力信息網絡開機口令和應用系統口令要定期進行修改,對屏幕要設置密碼,對每臺操作的電腦都要進行定期的殺毒和文件的備份工作等。只有提高企業所有人員的信息網絡安全化意識.才能真正開展電力信息網絡安全防范措施。
2、強化電力信息網安全管理
筆者認為一方面是要進行層次化管理模式。將電力信息安全網絡進行層次化劃分,每一層次進行隔離。另一方面是實行區域化管理模式。根據電力信息網絡安全特點對電力企業信息進行劃分為控制區、非控制、生產區、信息區等四大區域進行模式化管理。
3、通過不同的安全防護措施進行保護
為信息進行加密,密碼作為信息領域的安全之瑣,是一項非常實用的技術;為信息進行確認,為網絡提供控制技術,目前一個較為成熟的信息確認技術以及網絡安全控制技術需要以計算機網絡開展為基礎,對業務信息安全技術進行系統的策劃;為計算機提供網絡防病毒技術,計算機的病毒已經逐漸朝多元化、網絡化等方向發展;微計算機提供防“黑客”技術,黑客大多針對的是信息系統網絡以及主機內部具有的漏洞進行攻擊;對數據進行備份,避免由于外界因素造成技術上的損失,讓信息系統可以更加安全、數據可以更加可靠。
4、有效設置防火墻與入侵檢測系統
防火墻可以有效防止惡意的入侵和攻擊.是計算機系統自我保護的重要屏障。防火墻可以對各種軟件進行識別,也可以對抵抗非授權的訪問進行技術控制。內部的資源哪些可以被外界訪問.外部的服務哪些可以被內部人員訪問,都可以進行識別。防火墻的抗惡意攻擊和免疫能力較強。可以對企業內部的網絡進行劃分VPN.對各個網段進行隔離。限制重點或者敏感部分的網絡安全。入侵檢測系統作為防火墻的補充,為網絡提供了主動的保護功能。可以探測網絡的流量中有可能存在的入侵、攻擊或者濫用模式的發生。通過上述這些措施,進一步提升電力信息網絡的安全。
在社會經濟的推動下,我國供電企業得到了較快發展,在更好滿足人們供電需求的同時,順應了城市化發展的潮流。目前,很多供電企業都對信息技術進行了較好應用,并通過其提高員工的工作效率以及質量,從而給供電企業的發展帶來了一定機遇。雖然我國的網絡信息技術有了較好發展,但在供電企業網絡信息管理中,依然存在許多信息安全問題,給企業發展以及社會穩定帶來不利,因此,加強供電企業網絡信息安全防護具有重要意義。
一、供電企業網絡信息安全概要
隨著科學技術的不斷進步,我國許多供電企業都進入了智能化、自動化工作時代,并建立了自身的網絡信息數據庫,不僅給企業各項工作的順利進行帶來了較大便利,而且能夠為用戶提供更高質量的電能。在信息技術的推動下,供電企業營銷、財務等工作都實現了網絡化和規范化,而且有些地區對正向隔離器進行了較好應用,從而給網絡信息訪問提供了一定的安全保障。目前,許多供電企業將自身營銷網絡與MIS網絡進行了有效結合,并合理納入了呼叫接入系統,從而與銀行、用戶等能夠較好進行信息共享,并具有較高的安全性。雖然供電企業網絡信息具有一定的安全性,但是基于網絡載體的自身特性,依然存在著許多安全隱患,包括計算機病毒、惡意網頁等內容,這些不良因素嚴重影響著網絡信息的安全,不僅對企業各項工作的正常進行造成了較大影響,而且給用戶正常用電帶來了極大不利,最終產生多種社會問題。因此,加強供電企業網絡信息安全防護勢在必行。
二、供電企業網絡信息存在的安全問題
(一)供電企業網絡服務器質量不高
供電企業的電力系統中一般具有多種服務器,包括銀電聯網服務器、數據庫服務器、WEB服務器等,每種服務器都有著自身的特性和功能,對電力系統的正常運作具有重要作用。在信息技術的發展下,各種網絡侵入技術也有了較快發展,服務器非法入侵問題越來越嚴重,不僅給網絡信息的安全性帶來了較大隱患,而且破壞了社會穩定。在供電企業中,不同的服務器據具有不同的認證系統,主要是為了提高網絡安全性,但是沒有建立一個統一管理的網絡系統,致使工作人員難以對服務器進行有效管理;電力系統中的WEB服務器經常會受到各種惡意病毒的侵襲,致使信息訪問的安全性遭到較大沖擊;在供電企業的郵件服務器中,存在較多的垃圾郵件,但是管理人員疏于監管,而許多工作人員不具備較好的安全意識,將這些郵件隨意傳播,致使企業網絡信息安全受到嚴重威脅;由于供電企業網絡服務器質量不高、加密效果較差、管理人員安全意識不足,極易遭受黑客攻擊,致使企業機密文件或重要信息被竊取,最終給企業的正常運作帶來極大不利。
(二)供電企業網絡信息安全防護能力不足
在網絡信息技術發展的同時,各類信息安全事件也不斷涌現,不僅破壞了網絡秩序,而且產生了較多負面影響,因此,加強網絡信息安全防護具有重要作用。雖然我國信息技術有了較大進步,但是在供電企業中,其網絡信息安全防護能力還存在較大問題,難以適應網絡環境的復雜性與多變性,所以提高供電企業網絡信息安全防護能力勢在必行。目前,網絡的保護系統還沒有得到更為有效的保護,我國目前對于網絡信息的保護還僅僅是停留在購買殺毒軟件這個層次上,但是殺毒軟件其實效果是有限的,如果想要更加健全更加全方位的保護就必須要有自己的防護系統,例如在網關處加入自己的防護措施,并且具有針對性的增強安全手段。畢竟,對于供電企業來說,很多信息是非常重要的,也算是企業的機密文件,所以對于網絡的安全尤為重要。就部分供電企業而言,并不具有完善的信息安全防護系統,在殺毒軟件方面存在一定落后性,當網絡遭到外部攻擊時,現有的安全防護措施難以進行抵御。此外,有些供電企業不具備較好的數據恢復系統,一旦信息出現損害或消失,供電企業難以補救數據漏洞,從而給各項工作的順利進行帶來不利。目前的供電企業大都缺乏網絡信息安全評價體系,致使供電企業不能有效了解自身的網絡情況,也難以加強信息安全,所以如何提高網絡信息安全防護能力是供電企業面臨的重大問題。
(三)計算機病毒威脅
供電企業大都通過自身網站與外網進行鏈接實現信息訪問,由于網絡信息不具備較好的規范性,許多惡意網頁也隱藏在網站中,當員工點開惡意網頁的鏈接時,計算機病毒就會侵入供電企業網站服務器,并迅速擴散,最終造成服務器癱瘓。計算機病毒并不能夠直接用肉眼識別,許多計算機病毒都隱藏在一些正規的網頁中,所以電腦使用者不能夠及時發現網頁危害,當其無意中點開惡意網頁鏈接時,計算機病毒就會通過一定運作方式擴散至整個計算機終端,并改變服務器的運行程序,從而產生多種問題。
三、供電企業網絡信息安全防護措施
(一)完善計算機防火墻
防火墻是計算機中重要組成部分,主要分為兩種形式,一種是軟件防火墻,另一種是硬件防火墻。防火墻具有較高的安全性,能夠阻止網頁非法訪問以及惡意信息侵入,并能對信息的流通環節進行較好控制,從而保障網絡信息安全。因此,供電企業可以對硬件防護墻進行完善,利用其對企業內網與外網之間的信息訪問進行控制,并對外網進行有效隔離,從而提高信息訪問的安全性。為了更好保障網絡信息安全性,供電企業可以在完善防火墻的基礎上對殺毒軟件進行升級,并建立數據備份系統,從而取得較好的防護效果。在對防火墻進行完善時,供電企業需對訪問權限進行合理設置,并對相應的數據資源進行加密,合理控制數據進出環境,排除一切不利因素,從而提高防火墻的效果。防火墻不僅會對外網信息傳輸進行控制,而且還會對供電企業內網信息傳輸進行限制,所以供電企業在完善防火墻時必須對多種情況進行合理考慮,在滿足企業工作需求的前提下提高信息安全度,從而更好保障供電企業正常運作。
(二)增強員工安全意識
供電企業中具有多種類型的工作,而員工又是工作主體,所以增強員工安全意識對提高網絡信息安全性具有重要作用。供電企業須根據實際情況建立網絡安全制度,并加強對員工安全意識的教育,要求其在實際工作中樹立信息安全風險意識,嚴格控制信息輸出及輸入環節,按照相關規范進行工作。由于供電企業中多項環節都會涉及到網絡信息的應用,所以供電企業必須注重對員工進行安全培訓,并提高其專業能力,從而降低因人為因素造成的網絡信息安全隱患。
(三)預控計算機病毒
計算機病毒的種類較多,存在于計算機信息傳輸的各個環節,不僅會對供電企業的正常運作帶來不利,而且可能對電力系統的穩定性造成嚴重影響,所以供電企業必須采取有效措施預控計算機病毒。基于計算機病毒的威脅,供電企業可以建立網絡病毒墻,根據防火墻的特性來完善病毒墻的各種功能,以預控計算機病毒為目標,加強對網絡信息傳輸環節的控制,從而更好提高網絡信息安全性。
結束語
基于電力企業的重要性,維護網絡信息安全有著極大意義,也是保障社會穩定的重要措施。網絡具有復雜性和多樣性,其存在著多種漏洞,因此,信息安全問題在所難免,只有加強信息安全防護才能更好保障供電企業各項工作正常進行,所以供電企業必須加強對員工專業素質的培訓,并采取有效措施控制計算機病毒,這樣才能更好保障網絡信息安全,滿足人們正常供電需求。
隨著我國計算機網絡技術的不斷進步,基于網絡業務系統的開放網絡環境,給人們的生活工作帶來了極大的方便,同時也促進企業的發展,人們在享受網絡方便的同時,網絡安全問題也越來越引起人們的重視。電力行業作為我國社會發展的動力來源,從2002年電力行業市場改革以來,電力行業在迅猛的發展。國家電網公司也提出:電力行業的發展應以科學技術為基礎,逐漸實現電力行業的信息化和現代化,因此,網絡信息系統的建設就迫在眉睫。目前我國供電企業內部還存在許多安全問題,如供電公司網站被破壞、信息被竊取等,這些問題都嚴重影響供電企業的正常發展,為了保證信息的安全性,目前大多采用加密技術、認證技術等,但是這些技術只能作為一般的預防,不能保證信息的完整性。而隨著數字簽名技術的發展,由于其自身的獨特優勢,可以很好的解決供電企業內部網絡安全問題,最終促進供電企業快速健康的發展。
2數字簽名技術
數字簽名技術的基礎是公開密鑰加密技術,其核心是借助加密技術的加密和解密算法體制來完成信息的數字簽名。通俗說,數字簽名就是數據單元上附加的一些數據,或者是對數據單元進行密碼變換,該數據變換可以使數據接收人員對數據單元的來源及數據完整性進行確認,并對數據進行保護,避免被人偽造。簽名機制本質性的特征是此簽名只能借助簽名人員的私有信息才能產生,即簽名人員的簽名只有他自己能夠唯一產生。當信息的收發雙方出現爭議時,第三方的仲裁機構只能依據消息的簽名來裁定該消息的真正發送方,來完成抵賴性的安全服務。
2.1數字簽名的特點
①數字簽名可以保障數據的完整性。若數據在傳輸過程中被修改或數據本來就是偽造的,就不能夠通過接受方數據簽名的認證。②數字簽名有不可抵賴性。數據的發送方對于他曾經發送的信息是不能抵賴的,因為其他人是不能對其數字簽名進行偽造的。
2.2數字簽名原理
數字簽名技術使用的基本程序是:發送方通過自己的私鑰對要發送的信息進行身份加密,接收方通過發送方的公鑰來解密發送方的身份,這樣就完成了信息的抗否定性;發送方通過接受方的公鑰對要發送的信息進行加密,接受方通過自己的私鑰對接收的信息進行解密,這樣就可以實現信息傳輸的安全。
3數字簽名技術在供電企業內部網絡中的應用
隨著供電企業規模的不斷擴大以及供電企業信息化的逐漸應用,供電企業內部網絡和互聯網的聯系越來越緊密,對于省、市級供電企業,一般會在開放的網絡環境中信息,其安全體系直接影響著企業的正常運轉。而基層供電企業,在負責人簽字、文檔傳送等環節上容易存在安全隱患。基于以上問題,數字簽名技術在保證供電企業信息的完整性、可靠性、機密性等方面具有獨特的優勢。
3.1多人簽字
在供電企業實際運轉過程中,在報文傳輸中,通常會出現多人在同一報文上進行簽字。多人數字簽名一般通過以下方法實現:首先在供電企業內部設立一個簽名的順序,在進行下一個人員簽字時,只需要驗證上一個是否簽名,如果已經獲得批準。每個簽名的人員都可以知道前后人員的公開密鑰,最后簽名的只需把完成后邊的信息發送出去就可以了,而發送的信息已經被私有密鑰進行加密。而接收方可以利用自己的秘密鑰匙對信息記性解密,可以產生一個數字簽名。如果驗證成功,就會從簽名次序中分離下一個簽名,從而進行驗證工作。驗證簽名以及數字簽名的整個循環過程,不管是發送者還是接受者,都應該知道對方的公開密鑰,對整個簽名進行驗證工作,保證信息的安全性。對基層供電企業內部局域網信息系統來說,存在著人員少的特點,可由用戶被授權生成獨有密鑰時,進行統一管理分配工作,保證供電企業內部網絡的安全性。
3.2應用數字加密及簽名
數字簽名技術的應用雖能夠保障信息的真實性和完整性,但是該技術并不能對信息傳輸的保密性進行保障,信息內容能夠被知道發送方公鑰的任何人閱讀。為了保障網絡通信的安全,確保傳送信息的保密性、不可抵賴性以及完整性,就要對傳送的信息實行數字簽名及數字加密。該方式的特點是:①通信的保密性好。接收方之外的第三方是不能獲取傳輸的信息的,因為信息的接收方公開密鑰是進行加密的,只有通過接收方私有密鑰才可以進行解密。②可以保障信息的完整性。一旦傳輸的信息在傳送中被偽造或者修改,就不能夠通過接收方數字簽名的驗證。③不可抵賴性。發送方是不能對其曾發過的信息進行抵賴的,因為別人是不能對其數字簽名進行偽造的。
3.3加強密鑰管理與分配
供電企業中,由于應用系統使用廣泛,如財務系統等,信息的保密程度不同,因此,訪問權限也不同。為了防止某些用戶出現越權訪問的現象,應該建立用戶身份和權限的識別機制,因此,對于密鑰的管理和分配應進行嚴格監督,隨著公開密鑰技術在網絡應用中的規模不斷擴大,用戶也在不斷增長,需要建立一個完善的PIK體系來解決這些問題。從公共密鑰管理角度出發,數字證書作為一個媒介,通過PIK系統對證書等進行管理,建立一個安全的網絡環境。從而使數字簽名技術在供電企業內部網絡安全中發揮最大的作用。
4結語
關鍵詞:供電企業 信息網絡安全 病毒 防火墻
中圖分類號:U223文獻標識碼: A
1、引言
網絡安全是一個系統的概念,可靠的網絡安全解決方案必須建立在集成網絡安全技術的基礎上,比如系統認證、建立IP地址登記、數據庫登錄權限和各類服務的授權、加密及備份,訪問及操作的控制等。
信息網絡自身的脆弱性主要包括:在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素;信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;在其他方面如磁盤高密度存儲受到損壞造成大量信息的丟失,存儲介質中的殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密,等等這些不安全因素導致了眾多威脅供電企業網絡安全的行為。
1.1非法登錄式的入侵
在電力企業信息數據庫,能夠找到很多我們需要的資料和數據,其中包括機密度很高的資料。所以,沒有權限而又想得到這些資料的人,會采用網絡攻擊侵入的方式來達到系統登錄。網絡攻擊式的入侵是一項系統性、程序非正常性的行為,主要內容包括:目標分析;文檔、資料;破解密碼;登陸系統、日志清除、數據篡改、消除痕跡等技術。供電企業網絡安全形勢存在惡意入侵的可能,系統破壞、信息泄密和數據篡改等方面需要進行技術性的防范。
1.2非正常的軟件應用
隨著網絡技術的發展,計算機安全技術也得到了廣泛、深入性的研究與應用,各種應用類型的安全軟件隨處可見。包括功能強大且完全免費的網絡性的安全軟件。在供電企業內部計算機使用的人員中,很多的人沒有接受過系統的安全知識的學習;不經過信息管理人員的授權或同意,在局域網上應用此類非正式的軟件,給系統的正常性、安全性帶來了危害。
1.3網絡病毒的傳播伴隨型病毒,
這一類病毒并不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址將自身的病毒通過網絡發送。有時它們在系統存在,一般除了內存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播。
詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
變型病毒(又稱幽靈病毒)這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是將一段混有無關指令的解碼算法和被變化過的病毒體組合而成。
1.4惡意網頁
網頁病毒是利用網頁來進行破壞的病毒,它使用一些SCRIPT語言編寫的一些惡意代碼利用瀏覽器的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時,網頁病毒便被悄悄激活,這些病毒一旦激活,可以利用系統的一些資源進行破壞。輕則修改用戶的注冊表,使用戶的首頁、瀏覽器標題改變,重則可以關閉系統的很多功能,裝上木馬,染上病毒,使用戶無法正常使用計算機系統,嚴重者則可以將用戶的系統進行格式化。而這種網頁病毒容易編寫和修改,使用戶防不勝防。
1.5各種軟件本身的漏洞涌現
軟件本身的特點和軟件開發者開發軟件時的疏忽,或者是編程語言的局限性,比如c家族比java效率高但漏洞也多,電腦系統幾乎就是用c編的,所以常常要打補丁。 軟件漏洞有時是作者日后檢查的時候發現的,然后出補丁修改;還有一些人專門找別人的漏洞以從中做些非法的事,當作者知道自己的漏洞被他人利用的時候就會想辦法補救。
2供電企業網絡安全基本防范措施
針對電力網絡脆弱性,需要加強的網絡安全配置和策略應該有以下幾個方面。
2.1防火墻攔截
防火墻是最近幾年發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制逾出兩個方向通信的門檻。在網絡邊界上通過建立起相應的網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵人;針對電力企業的實際,我個人認為“防火墻十殺毒軟件”的配置手段是比較合適的,但定期的升級工作是必須的,否則也只能是一種擺設。
即便企業有了各種各樣防火墻和殺毒軟件的保護,企業系統管理員也不能夠高枕無憂。為了預防意外的破壞造成信息丟失和網絡癱瘓,必須要事先做好網絡信息和系統的備份。當然,定期檢驗備份的有效性也非常重要。同時也是對信息管理人員數據恢復技術操作的演練,做到遇到問題不慌亂,從容應付,提供有保障的網絡訪問服務。
合理的配置防火墻,是確保我們電力企業網絡安全的首要選項。保證我們的網絡之間的連接安全,不會在連接端口出現安全漏洞。
2.2用戶管理機制
計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。在網絡的服務器中安裝的網絡操作系統,更是存在嚴格的用戶管理模式。微軟的WINDOWS系列操作系統,從WINNT開始,到WIN2000 SERVER的用戶管理日趨完善,從單純的域管理,發展到活動目錄的集成管理。在應用服務器上我門可以詳細規定用戶的權限,有效地防止非法用戶的登陸和惡意人侵。
2.3系統升級
隨著硬件的升級和對軟件功能要求的不斷提高,軟件漏洞的不斷出現,我們必須要不斷的對自己使用的軟件升級。我們所使用的操作系統和應用軟件,隨著使用頻率的提高和使用條件的多樣化,需要采用系統軟硬件升級的方式來提高信息網絡的安全性。
3、結束語
關鍵詞:信息化 網絡安全防范措施
中圖分類號:TN711 文獻標識碼:A 文章編號:
隨著縣級供電企業的信息化建設全面推進,信息化已經成長為增強供電企業競爭力的重要驅動力。目前,“SGl86”信息化工程不斷完善,國家電網資源計劃系統(ERP)上線運行,相繼接入企業信息網絡平臺的應用系統越來越多,電網安全、生產管理、營銷管理等關鍵應用全部實現了信息化,各應用系統間的數據交換日益頻繁。因此確保供電企業內部網絡信息系統的安全穩定運行,適應當前建設智能電網和“三集五大”體系建設新的工作要求,成為擺在我們面前的一個艱巨任務。
一、目前網絡信息安全的特點
1.1 網絡威脅發展趨勢
目前的網絡攻擊呈現組織嚴密化、行為趨利化、目標直接化的趨勢。網絡欺騙手段進一步升級,黑客不光利用電子郵件和網站進行詐騙勒索,軟件、網絡游戲、網絡銀行盜號木馬等具有“網絡釣魚”性質的病毒也已成為不法分子的手段。
1.2 安全漏洞是最大的安全隱患
安全漏洞是指在網絡系統中硬件、軟件、協議和系統安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網絡系統進行非授權的訪問或破壞。不法分子利用漏洞對網絡發起攻擊仍是互聯網最大的安全隱患。
1.3 病毒傳播形式多元化
網站、移動存儲設備成為病毒傳播的新渠道。電子郵件不再是病毒傳播的主要途徑,黑客們越來越多地通過網站對用戶進行攻擊。此外,通過移動存儲設備傳播病毒使很多電腦用戶飽受其害。
1.4 惡意軟件擾亂辦公秩序
“惡意軟件”是介于病毒和正規軟件之間的軟件,同時具備正常功能(下載、媒體播放、利用中文名稱訪問Internet等)。它們往往采用特殊手段頻繁彈出廣告窗口,危及用戶隱私,嚴重干擾用戶的日常工作和數據安全,嚴重的可以導致機器的癱瘓。惡意軟件其危害還不僅止于計算機操作系統,對應用系統如目前企業普及的OA(辦公自動化)系統,在一機雙網的情況下的使用造成很多問題。
1.5 網絡電子犯罪影響變大
隨著計算機、互聯網絡的發展和普及,網絡電子犯罪的手段、形式呈現多樣化,且影響越來越大。這些犯罪事件對政治、經濟和企業運營造成的影響呈上升趨勢,對企事業單位的聲譽造成了損害。
二、縣級供電企業網絡安全問題存在的主要原因
近幾年,供電企業不斷加大信息化建設投入,城鄉一體化營銷MIS系統、調度自動化系統、辦公自動化系統、財務管理系統、人力資源管理系統等已成功接入縣級供電企業,這些應用系統在縣級供電企業生產經營中越來越發揮重要作用,且成為縣級供電企業日益重要的技術支持系統,一旦其受到威脅,網頁被篡改,信息被破壞,后果將不堪設想。然而目前,信息安全仍然存在多方面影響因素。
2.1 技術水平有限
在縣級供電企業中,精通專業技術的網絡管理員寥寥無幾,在網絡日常管理維護中,一些管理員缺乏必備的安全防護技術,比如,不會屏蔽不需要的系統服務、不知道對敏感信息進行訪問控制或者不能安全地配置和管理網絡,發現和處理已經存在或者隨時可能出現的問題并不及時等,這些因素都會對網絡信息安全帶來嚴重隱患。
2.2 管理因素
(1)管理規章制度不完善。
目前,企業網絡信息安全管理存在的缺陷主要是管理機制不夠完善,同時缺乏有效的監督防范措施,這些因素都使得管理無章可循,分工不明確,權責不明晰,以至于出現問題時無人負責的現象時有發生。
(2)經費投入有限。
由于資金技術有限,縣級供電企業在網絡信息安全管理和維護方面力度小且人員經費投入不足,是網絡信息安全的一個瓶頸。很多縣級供電企業信息中心服務管理隊伍明顯不足,他們通常只能維護企業網絡的正常運行,無暇管理和維護企業數百臺計算機的安全。這都嚴重影響縣級供電企業網絡信息安全的質量與進程。
三、縣級供電企業網絡安全防范措施
3.1 統一部署、雙網雙機
按照國家電網公司要求和省、市公司統一部署安排,實行信息外網統一出口。信息內外網實現物理分開,雙網雙機,網絡專用。嚴禁辦公終端計算機私自使用撥號、移動無線連接等任何方式接人因特網。在信息外網出口安裝IPs入侵防御設備,保護信息網絡架構免受侵害,降低不安全因素。
信息內網統一安裝桌面管理系統,能有效控制內網計算機;計算機實名注冊并進行IP地址和MAC地址綁定;啟用移動存儲審計策略和違規外聯策略,嚴格控制內網設備違規外聯,對企業的移動存儲分質進行實名注冊,嚴格控制信息的流入流出。
3.2 注重口令設置和數據備份
口令設置是信息安全管理中重要的一環。要求所有的服務器和每一臺辦公計算機都要設置開機密碼,密碼長度不小于8位,并且是字母和數字或特殊字符混合而成。另外要求每臺計算機都要設屏幕保護,并開啟恢復時使用密碼功能;關閉遠程桌面,這樣可以有效防止外來人員訪問他人電腦。計算機管理員必須定期對重要的數據進行備份。個人辦公計算機中重要的文件資料可以加密存放,并形成備份。
3.3 加強防病毒軟件部署及管理
根據企業的計算機數量.統一購買安裝企業版殺毒軟件。為避免防病毒軟件之間的沖突導致的計算機使用異常,要求一臺機器只能安裝一款防病毒軟件.禁止使用任何規定之外的防病毒軟件。企業設專人負責定期進行病毒庫的更新,并通過桌面管理系統統一發放病毒庫升級通知,對機器病毒庫自動進行升級,能有效防范網絡病毒、木馬。
3.4 漏洞掃描和隱患排查
漏洞掃描系統是一個自動化的安全風險評估工具,對企業的信息系統進行定期、全面、系統的信息安全風險評估,發現和分析信息系統中存在的漏洞,并及時進行整改。定期開展自測評與整改。
3.5 物理安全和主機安全
企業每位職工都有保護自己辦公電腦的義務,要求下班后關閉主機和顯示器,特別是雷雨天氣,最好拔掉電源開關。
對于網絡機房,要嚴格網絡機房的建設要求,建成后的機房環境滿足計算機等各種電子設備和工作人員對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保衛、防漏、電源質量、振動、防雷和接地等的要求。
3.6 應急響應和災難恢復
建立切實可行的應急預案和災難恢復預案,可有效預防和正確、快速應對網絡及信息安全突發事件,最大限度地減少影響和損失。確保網絡系統安全、穩定運行。
3.7 完善和落實規章制度
制定和完善網絡信息安全相應管理制度及措施。與部室及員工簽訂信息安全責任書,確保責任落到實處。通過組織職工收看信息安全方面的教育片和邀請專家做安全報告,提高員工對信息安全的認知和增強員工遵守信息安全各項規章制度的自覺性。
【關鍵詞】:信息;網絡;安全管理;策略
1 引言
隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢,我供電公司也在由企業信息化向信息化企業不斷的邁進。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。計算機病毒的泛濫;木馬程序帶來安全保密方面的隱患;易受黑客攻擊特別是洪流攻擊;垃圾郵件阻塞網絡等各類網絡安全的威脅開始蔓延到應用的環節,其中Windows占70%,UNIX占30%。因此網絡的信息安全防護是一個至關重要的問題,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡的安全防護措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。本次調研也正是基于此目的。
2 信息網絡安防的加密策略和安全策略技術
2.1 目前計算機信息網絡面臨的威脅
計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;還有可能是外來黑客對網絡系統資源的非法使有,歸結起來,針對網絡安全的威脅主要有以下三種:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,惡意的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。(3)網絡軟件的漏洞和“后門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善導致的。另外,軟件的“后門”都是軟件公司的設計編程人員為了方便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。
2.2 信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
密碼技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
2.3 計算機信息網絡的安全策略
(1)物理安全策略。物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
3 安防管理措施
針對我供電公司目前的網絡現狀,提出以下幾點安防管理措施。
3.1 入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。用戶帳號只有系統管理員才能建立,管理員對普通用戶的帳號使用進行控制和限制,控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。同時對所有入網用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,給出報警信息。
3.2 網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施,網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以通過訪問控制表來描述。
3.3 目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權 限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。網絡系統管理員為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
3.4 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
3.5 網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該帳戶將被自動鎖定。
3.6 防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。
安全評價的關鍵與基礎是選取與確立評價的指標體系,它對評價的結果是否符合實際情況至關重要。化工企業安全評價指標體系應盡可能反映化工企業的主要特征和基本狀況。評價過程中指標體系的要素組成非常關鍵,如果選取的要素太多,有可能使評價指標體系更加龐大和冗雜,從而增加評價的困難程度,甚至會使一些重要因素被忽略;如果指標因素太少,則難以較完整地反映被評價系統的客觀實際情況。•33•通過查閱研究某大型煉油化工企業的相關文獻和資料[4],由人、機和環境3個方面構成的系統模型出發,把生產系統所有重要環節包含其中,從而建立出化工企業的安全評價指標體系如圖1和表1至表4所示。
2化工企業的遺傳神經網絡安全評價模型
2.1遺傳神經網絡遺傳算法優化神經網絡的方法主要有2種:對神經網絡的初始權值和閾值進行優化;對神經網絡的結構進行優化[5]。本文在保持神經網絡的結構不變的情況下,用遺傳算法對BP神經網絡初始權值和閾值進行優化。
2.2遺傳神經網絡評價模型遺傳神經網絡優化的數學模型[6]如下:本文構建的遺傳神經網絡模型的運行過程如下:(1)初始化BP神經網絡。(2)把BP神經網絡的全部權值與閾值實數編碼,確定其長度l,確定其為遺傳算法的初始種群個體。(3)設置遺傳算法的相關參數以及終止條件,執行遺傳算法;遺傳算法包括對群體中個體適應度進行評價,執行選擇、交叉、變異遺傳操作,進化生成新的群體;反復操作至設定的進化代數,最終取得最佳染色體個體。(4)把最佳染色體個體解碼,分解為BP網絡對應的權值、閾值,輸入訓練樣本,利用BP網絡進行訓練。(5)得到訓練好的BP神經網絡,則可輸入實例樣本進行評價。
3遺傳神經網絡評價模型在化工企業的應用
3.1學習樣本的準備根據前文所確定的評價指標體系和對某大型煉油化工有限公司成氨分廠提供的空氣分離、渣油氣化、碳黑回收、一氧化碳變換、甲醇洗滌、液氮洗滌等工序的安全原始數據,參考文獻中化工企業安全評價指標取值標準,進行分析和整理,得出11個實例樣本,如表5所示。選擇10個樣本作為遺傳神經網絡的訓練樣本,1個樣本作為測試樣本。
3.2BP網絡結構的確定BP網絡拓撲結構一般是由網絡層數、輸入層節點數、隱含層節點數、隱含層數以及輸出層節點數等來確定。本文建立的遺傳神經網絡模型是根據經驗來確定神經網絡的層數,一般選取BP神經網絡的層數為3層[7]。通過化工企業安全評價指標的分析,得出BP神經網絡輸入層神經元數目為評價指標的總數12+6+8+5=31。模型最后輸出的結果為綜合安全評價結果,因此,神經網絡的輸出層節點數確定為1。隱含層中節點數的范圍通過經驗公式來確定,本文在其確定范圍內選12。依據訓練樣本的規模,設定學習率為0.1,最大訓練誤差值設為10-5,循環學習次數為1000次。網絡輸出層為1個節點,即化工企業的安全評價結果。化工企業安全等級一般分為5級[7],如表6所示。
3.3遺傳算法優化遺傳算法中,參數設定如下:種群規模設為300,交叉概率設為0.7,進化代數設為100,變異率設為0.05。本文運用MATLAB軟件中的遺傳算法工具箱gads,在GUI操作界面中輸入以上參數,并輸入適應度函數,對神經網絡的權閾值進行優化。經過遺傳操作后,運行遺傳算法工具箱,則可得出最佳適應度曲線圖和最佳個體圖(圖2),得到最佳適應度個體,將其進行解碼,作為該網絡的初始權值和閾值賦給BP神經網絡。
3.4GA-BP神經網絡訓練在MATLAB界面中編程語言,得到輸出向量和網絡均方差變化圖。訓練結果與期望輸出見表7,BP網絡訓練過程如圖3所示。從訓練結果可以看出,該網絡的誤差值不超過10-5,滿足設定要求。用該網絡對實例樣本進行安全評價,得到結果為3.9956,對照安全評價輸出結果等級表為較安全,與目標值吻合。從而訓練后的網絡穩定性得到驗證,可以用于化工企業安全評價。
4結論
