时间:2023-11-22 16:05:16
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络系统网络安全,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(smis)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(vlcc)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用hp compaq dx7400(pentium dual e2160/1.8ghz/ddr2 512m/80g);网关采用industrial computer 610(p4 2.8ghz/ddr333 512m/80g);交换机采用d-link des-1024d快速以太网交换机(10/100m 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用amos mail或rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义isms的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循pdca的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
论文摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
为了解决上述问题,有的企业在船舶办公计算机上安装了硬盘保护卡;也有一些企业在船舶办公计算机上安装了“一键恢复”软件;另外还有企业开始在船舶计算机网络系统中安装部署专业的安全管理系统软件和网络版防病毒软件。
若要从根本上增强船舶计算机网络系统的安全性和可用性,则需要考虑以下条件的限制:(1)船上的计算机网络架构在出厂时已经固定,除非船舶正在建造或者进厂修理,否则,凡是处于运营状态的船舶,不可能立即为船舶管理信息系统专门建设一个物理上独立的计算机局域网。(2)限于资金投入和船上安装场所等原因,船上的计算机网络设备或设施在短期内也不可能无限制按需增加。(3)从技术管理的角度看,在现阶段,船舶仍不可能配备具有专业水平的网络人员对计算机网络系统进行管理。(4)因卫星通信通道和通信费用等原因,远洋船舶的办公计算机操作系统(微软Windows 系列)不可能从因特网下载补丁和打补丁;船舶局域网中的防病毒软件和病毒库不可能及时升级和更新。总体上看,解决船舶计算机网络安全方面的问题,与陆地上确实有许多不同之处。
4船舶计算机网络系统的安全需求分析
为提高船舶计算机网络系统的可用性,即船舶计算机网络系统任何一个组件发生故障,不管它是不是硬件,都不会导致网络、系统、应用乃至整个网络系统瘫痪,为此需要增强船舶计算机网络系统的可靠性、可恢复性和可维护性。其中:(1)可靠性是指针对船舶上的温度、湿度、有害气体等环境,提高网络设备和线路的技术要求,有关的设计方案在船舶建造和船舶修理时进行实施和实现。(2)可恢复性,是指船舶计算机网络中任一设备或网段发生故障而不能正常工作时,依靠事先的设计,网络系统自动将故障进行隔离。(3)可维护性,是指通过对船舶计算机网络系统和网络的在线管理,及时发现异常情况,使问题或故障能够得到及时处理。 转贴于
研究解决船舶计算机网络系统安全管理问题,必须考虑现实的条件和实现的成本。总的原则是:方案简洁、技术成熟;经济性好、实用性强;易于实施、便于维护。因此,在尽量利用现有设备和设施、扩充或提高计算机及网络配置、增加必要的安全管理系统软件、严格控制增加设备的前提下,通过采用逻辑域划分、病毒防杀、补丁管理、网络准入、外设接口管理、终端应用软件管理和移动存储介质管理等手段,以解决船舶计算机网络系统最主要的安全问题。
在对船舶计算机网络采取安全防护技术措施的同时,还需要制定船舶计算机网络系统安全管理制度;定制船舶计算机网络系统安全策略和安全管理框架;对船员进行计算机及网络系统安全知识教育,增强船员遵守公司制定的计算机网络安全管理规定的意识和自觉性。
(1)加强船舶计算机病毒的防护,建立全面的多层次的防病毒体系,防止病毒的攻击;
(2)采用专用的设备和设施实现船舶安全策略的强制执行,配合防毒软件的部署与应用;
(3)加强船舶计算机网络管理,通过桌面管理工具实现船舶计算机网络运行的有效控制;
(4)制定相关的网络安全防护策略,以及网络安全事件应急响应与恢复策略,在正常预防网络安全事件的同时,做好应对网络安全事件的准备。
5船舶计算机网络系统安全管理要求
5.1确定船舶网络系统安全管理目标
基于以上对船舶计算机网络系统安全问题和可用性需求的分析,我们认为解决网络系统安全问题的最终目标是:
通过船舶计算机网络系统安全管理制度的制定,安全策略和安全管理框架的开发,定制开发和部署适合船舶计算机网络系统特点的安全管理系统,确保船舶计算机网络系统安全可靠的运行和受控合法的使用,满足船舶管理信息系统正常运行、业务运营和日常管理的需要。
通过实施船舶计算机网络系统安全技术措施,达到保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范人为的有意或无意的攻击与破坏,保护船上的各类信息通过局域网传输过程中的安全性、完整性、及时性,防范计算机病毒的侵害,实现系统快速恢复,确保船舶计算机网络的安全运行和有效管理。总体上从五方面考虑:
(1)针对管理级安全,建立一套完整可行的船舶计算机网络系统安全管理制度,通过有效的贯彻实施和检查考核,实现网络系统的安全运行管理与维护;
(2)针对应用级安全,加强船舶计算机网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,采用适合的安全软硬件,建设安全防护体系;
(3)针对系统级安全,加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时提供备用系统和恢复;
(4)针对网络级安全,保证船舶计算机网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;
(5)针对物理级安全,保证船舶计算机网络系统数据的安全和系统及时恢复,加强信息和数据的备份和各类软件介质的管理。
5.2网络系统安全配置原则
船舶计算机网络系统是一套移动的计算机网络系统,没有专业的安全管理人员,缺乏专业的安全管理能力;船舶数量多,船舶计算机网络系统规模小和相对比较简洁,因此,不能按照企业网络的安全管理体系来构建船舶计算机网络系统的安全管理体系,必须制定经济实用的网络安全设计原则。
需求、风险、代价平衡的原则
对船舶计算机网络系统进行切合实际的分析与设计,对系统可能面临的威胁或可能承担的风险提出定性、定量的分析意见,并制定相应的规范和措施,确定系统的安全策略。
综合性、整体性、系统性原则
船舶计算机网络系统安全是一个比较复杂的系统工程,从网络系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,制定具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施。
易于操作、管理和维护性原则
在现阶段,船舶上不可能配备专业的计算机系统安全管理员,采用的安全措施和系统应保证易于安装、实施、操作、管理和维护,并尽可能不降低对船舶计算机网络系统功能和性能的影响。
可扩展性、适应性及灵活性原则
船舶计算机网络安全管理系统必须组件化或模块化,便于部署;安全策略配置灵活,具有较强的适应性,能够适应各种船舶的计算机网络系统复杂多样的现状;安全管理系统必须具有较好的可扩展性,便于未来进行安全功能的扩展。
标准化、分步实施、保护投资原则
依照计算机系统安全方面的有关法规与行业标准和企业内部的标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。限于计算机系统安全理论与技术发展的历史原因和企业自身的资金能力,对不同情况的船舶要分期、分批建设一些整体的或区域的安全技术系统,配置相应的设施。因此,依据保护系统安全投资效益的基本原则,在合理规划、建设新的网络安全系统或投入新的网络安全设施的同时,对现有网络安全系统应采取完善、整合的办法,使其纳入总体的网络安全技术体系,发挥更好的效能,而不是排斥或抛弃。
5.3网络安全管理的演进过程
建立、健全船舶计算机网络系统安全管理体系,首先要建立一个合理的管理框架,要从整体和全局的视角,从信息系统的管理层面进行整体安全建设,并从信息系统本身出发,通过对船上信息资产的分析、风险分析评估、网络安全需求分析、安全策略开发、安全体系设计、标准规范制定、选择安全控制措施等步骤,从整个网络安全管理体系上来提出安全解决方案。
船舶计算机网络系统安全管理体系的建设须按适当的程序进行,首先应根据自身的业务性质、组织特征、资产状况和技术条件定义ISMS的总体方针和范围,然后在风险分析的基础上进行安全评估,同时确定信息安全风险管理制度,选择控制目标,准备适用性声明。船舶计算机网络系统安全管理体系的建立应遵循PDCA的过程方法,必须循序渐进,不断完善,持续改进。
6建立健全船舶计算机网络安全管理制度
针对船舶计算机及网络系统的安全,需要制定相关法规,结合技术手段实现网络系统安全管理。制度和流程制定主要包括以下几个方面:
制定船舶计算机及网络系统安全工作的总体方针、政策性文件和安全策略等,说明机构安全工作的总体目标、范围、方针、原则、责任等;
对安全管理活动中的各类管理内容建立安全管理制度,以规范安全管理活动,约束人员的行为方式;
对要求管理人员或操作人员执行的日常管理操作,建立操作规程,以规范操作行为,防止操作失误;
形成由安全政策、安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系;
由安全管理团队定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。
7 总结
对于船舶计算机网络安全按作者的经验可以针对不同类型、不同情况的具体船舶,可以结合实际需要和具体条件采取以下解决方案:
1.对于正在建造的船舶和准备进厂修理的船舶,建议按照较高级别的计算机网络安全方案进行实施,全面加固船舶计算机及网络的可靠性、可恢复性和可维护性,包括配置冗余的网络设备和建设备用的网络线路。
2.对于正在营运的、比较新的船舶,建议按照中等级别的计算机网络安全方案进行实施,若条件允许,则可以增加专用的安全管理服务器设备,更新或扩充升级原有的路由器或交换机。
3.对于其它具备计算机局域网、船龄比较长的船舶,建议按照较低级别的计算机网络安全方案进行实施,不增加专用的安全管理服务器设备,主要目标解决计算机网络防病毒问题。
4.对于不具备计算机局域网的老旧船舶,可以进一步简化安全问题解决方案,着重解决船舶管理信息系统服务器或单机的防病毒问题,以确保服务器或单机上的系统能够正常运行使用。
参考文献:
摘要:本文对船舶计算机网络系统的安全现状和问题原因进行了概括性的叙述,对网络安全的需求进行了研究分析。从实施船舶计算机网络系统安全管理的现实条件和实际要求出发,提出了船舶计算机网络系统安全管理的策略和解决方案,针对不同情况的船舶提出了相应的实施建议。
关键词:船舶计算机 网络系统 网络安全管理
1引言
进入二十一世纪以来,随着船舶自动化和信息化程度不断提高,船舶计算机网络系统及其应用得到了迅速发展。越来越多的新造船舶采用计算机网络技术将船舶轮机监控系统、航海驾驶智能化系统、船舶管理信息系统(SMIS)等应用纳入一个统一的网络系统,实现船岸管控一体化。
在我司近几年建造的4万吨级以上的油轮上,普遍安装了计算机局域网。一方面,计算机网络用于传输船上动力装置监测系统与船舶航行等实时数据;另一方面,计算机网络用于船舶管理信息系统(功能包括船舶机务、采购、海务、安全、体系管理与油轮石油公司检查管理)并通过网络中船舶通讯计算机实现船岸间的数据交换,实现船岸资源共享,有利于岸基他船舶管理人员对船舶的监控与业务指导。前者属于实时系统应用,后者属于船舶日常管理系统应用,在两种不同类型的网络应用(子网)之间采用网关进行隔离。目前,船舶计算机网络系统采用的硬件设备和软件系统相对简单,因此,船舶计算机网络的安全基础比较薄弱。随着船龄的不断增长,船上计算机及网络设备逐渐老化;并且,船上没有配备专业的人员负责计算机网络和设备的运行维护和管理工作,所以船舶计算机及网络的技术状况比较差,影响各类系统的正常使用与船岸数据的交换。究其原因,除了网络设备和网络线路故障问题之外,大多数问题是因各类病毒与管理不善等原因所引起的。
2船舶计算机网络架构
目前在船舶上普遍采用工业以太网,船舶局域网大多采用星型结构。
有些船舶已经在所有船员房间布设了局域网网线,而有些船舶只是在高级船员房间布设了计算机局域网网线。图表1是一艘30万吨超级油轮(VLCC)的计算机局域网结构图。
图表2 是 船舶计算机网络拓扑结构图。其中,局域网服务器采用HP COMPAQ DX7400(PENTIUM DUAL E2160/1.8GHZ/DDR2 512M/80G);网关采用INDUSTRIAL COMPUTER 610(P4 2.8GHZ/DDR333 512M/80G);交换机采用D-LINK DES-1024D快速以太网交换机(10/100M 自适应,工作在二层应用层级)。
3船舶计算机网络系统的安全问题
2005年以来,有很多的船舶管理公司推进实施船舶管理信息系统。对于远洋船舶来说,船上需要安装使用船舶管理信息系统的船舶版软件。大多数的船舶版软件都是采用客户端/服务器两层架构,高级船员的办公计算机作为客户端,通过联网使用船舶管理信息系统。船上的船舶管理信息系统通过电子邮件(一般采用AMOS MAIL或Rydex电子邮件)与岸基的船舶管理信息系统交换数据,实现船、岸船舶数据库的数据同步。
根据了解,目前船舶计算机网络最主要的问题(也是最突出的现状)是安全性和可用性达不到船舶管理信息系统运行使用的基本要求。船舶管理信息系统数据库服务器与邮件服务器之间,以及船员的办公计算机与船舶管理信息系统数据库服务器之间经常无法联通。经过上船检查发现,影响船舶计算机网络系统正常运行的主要原因是计算机病毒。大多数船舶的办公计算机采用微软操作系统,一方面没有打补丁,另一方面尚未采取有效的防病毒措施,比如没有安装单机版或网络版防病毒软件。有些船舶虽然安装了防病毒软件,但是因为不能及时进行防毒软件升级和病毒库更新,所以无法查杀新病毒或新的变种病毒等,从而失去防病毒作用。经过调查分析,船上计算机病毒的主要来源是:(1)在局域网中的计算机上使用了带有病毒的光盘、优盘、移动硬盘等存储介质;(2)将带有病毒的笔记本电脑接入了船上的局域网;(3)在局域网中的计算机上安装有无线上网卡,通过无线上网(沿海航行或停靠港口时)引入了病毒/蠕虫/木马/恶意代码等。
1.1系统安全维护探测
进行系统安全维护的过程中,相关人员要对系统内部安全漏洞进行探测,从根本上解决存在的安全隐患,探测的主要方式为:自编程序探测:自编程序探测主要指在进行探测的过程中,相关人员可以对互联网上的安全漏洞进行监测,观察用户在使用过程中是否存在漏洞问题。要对系统漏洞补丁中的自编程度进行监测,对黑客编写的程序进行检查,防止计算机网络系统安全受到破坏。慢速扫描:慢速扫描主要是通过对某个时间的监测实现对系统数据的控制和检查。该操作一般由扫描侦测仪完成,由特定主机发起的连接数目决定扫描的范围。扫描过程中要适当降低扫描的速度,提高扫描质量。体系结构探测:黑客与病毒会通过一定的特殊数据包对计算机网络系统安全造成破坏,导致计算机主机运行异常,造成系统出现损坏。在该过程中,每种操作系统都具有不同的响应时间和相应方式。对体系结构主体的异常相应时间和相应方式进行探测,可以轻而易举判断出可能存在的安全隐患,及时进行安全控制。
1.2防火墙技术
防火墙技术主要指在进行网络访问的过程中对网络访问地点、人员等进行控制,降低出现的非法人员访问风险。这种方法可以在很大程度上改善网络资源的整体管理效果,降低可能够出现的网络安全问题,对我国当前的计算机网络发展具有非常好的促进效果。实施计算机防火墙技术主要包括对计算机中的源地址、目标地址、原始端口、目标端口等及逆行那个监测,对可能出现的问题及时进行控制。在防火墙技术操作过程中,通常首先设定控制规则,然后对数据进行对比,当数据符合控制规则要求后数据才可以通过,完成操作。当不符合数据控制规则时,数据即会被丢弃。防火墙无法实现对计算机内部的控制,只能对外部网络进行保护。
1.3计算机网络安全加密技术
在进行计算机网络安全处理的过程中,相关人员要对计算机网络系统中的数据进行加密,保证信息数据的安全性、可靠性、稳定性。数据加密主要指在进行设计的过程中依据一定的指令实现对原有数据的转换,将数据转换为一定格式或一定规律的加密文件,进行贮存、传输工作。接收系统要通过相关的秘钥才能够对文件进行解密,达到对文件原文的翻译,实现数据加密的保障。在加密操作过程中,如何提高加密算法质量和秘钥管理质量是加密技术的关键。常见的加密算法主要包括对称加密算法和非对称加密算法。对称加密算法指在进行操作的过程中加密算法与秘钥一致,而后者恰恰相反。在当前的计算机网络系统安全维护过程中常选取非对称加密算法,这种算法的保密效果较高,安全性较强。
1.4设置安全策略
1.4.1物理安全策略。物理安全策略主要指对计算机以及计算机网络的使用环境进行检测,加强计算机硬件、网络设施的防护力度,将人为、自然对其的损害降到最低的物理保护策略。在该策略使用的过程中,相关人员要对使用用户进行身份验证以及用户权限设置,避免一些不法用户越权操作。要对IP地址进行隐藏。在进行IP地址的隐藏时可以选择使用服务器,就能够很好的保障计算机用户IP地址的安全性,提高计算机网络的安全。建立健全网络设备管理监察力度,避免非法进入网络管理区域从而对其造成偷窃、破坏等行为。
1.4.2访问控制策略。黑客对局域网进行攻击入侵,首先要控制内部的一台服务器,以此为基地来进行攻击,因此,计算机内部是网络安全威胁的主要因素。在内部网络应该加强防护措施,建立访问控制策略,对可能出现的入侵进行控制。通过对访问进行安全控制,对入网访问、操作权限、目录安全、属性安全、网络服务器安全、网络监测以及防火墙这七个领域实现安全监测,提高控制效果。
2总结
关键词:计算机网络;安全维护
一、计算机网络安全概述
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境中,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的安全性、保密性、完整性。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
二、计算机网络系统安全维护策略
(一)计算机病毒的防御
防御计算机病毒应该从两个方面着手,首先应该加强内部管理人员及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防病毒工具等。具体做法如下。
1.权限分级设置,口令控制
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。
2.简易安装,集中管理
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
3实时杀毒,报警隔离
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,LAN服务器,服务器上的网关,Internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。
(二)对黑客攻击的防御
对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略,方法如下:
1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,使用包过滤技术的防火墙通常工作在OSI模型的网络层上,后来发展更新的动态包过滤增加了传输层,包过滤技术工作的地方为各种基于TCP/IP协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为阻止的时候,这个包就会被丢弃。动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输。
2.应用技术
应用协议分析技术工作在OSI模型的最高层—应用层上,在这一层里能接触到的所有数据都是最终形式,可以实现更高级的数据检测过程。整个防火墙把自身映射为一条透明线路,当外界数据进行防火墙的客户端时,应用协议分析模块便根据应用层协议处理这个数据,通过预置的处理规则查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样分辨危害。由于型防火墙基于技术,以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在数据交换频繁的时刻,防火墙就成了整个网络的瓶颈,所以防火墙的应用范围还远远不及包过滤防火墙。
3.状态监视技术
关键词:通信网络;安全;维护
随着信息技术的不断发展,通信网络的迅速发展使人们的信息沟通方式也得以改变,通信网络作为信息传递的一种主要载体,在推进信息化的过程中与多种社会经济生活有着十分紧密的关联。自改革开这几十年来,通信网络取得了前所未有的发展,在基础性和全局性地位日益突出的同时,也不断面临着日益多样化的安全威胁和越来越复杂的网络安全环境。通信网络安全通常包括承载网与业务网安全,网络服务安全以及信息传递安全。通信网络安全不涉及意识形态安全。
1. 通信网络安全现状
由于互联网具有开放性、全球性、虚拟性、身份的不确定性、非中心化与平等性等特征,使得人们的某些需求得以满足。也正是由于互联网的这些特征,同时又产生了许多安全问题。
“去年,通信网络安全与非传统安全问题突出,网络而已行为的趋利化特征日益明显,黑客个体、地下产业链等对通信网络安全提出了严峻挑战,网络安全整体形势日趋严峻。”中国通信企业协会会长刘立清在致辞中指出。
在中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)近日联合的调查报告显示,在2009年,我国52%的网民曾遭遇过网络安全事件,网民处理安全事件所支付的相关服务费用共计153亿元人民币。据报告中显示,在遭遇网络安全事件的网民中,77.5%是因为在网络下载或浏览时遭遇病毒或木马的攻击。其中,网络安全事件给21.2%的网民带来直接经济损失,包括网络游戏、即时通信等账号被盗造成的虚拟财产损失,网银密码、账号被盗造成的财产损失等。
正是因为计算机系统和网络的开放性、虚拟性等特点,使计算机系统和网络受攻击是不可避免的。计算机病毒的“不断推新”及其大范围的恶意传播,对当今日发展的社会通信网络安全产生威胁。现在企业单位各部门信息传输的物理媒介,大部分是依靠普通通信线路来完成的,虽然也有一定的防护措施和技术,但还是容易被窃取。由于商用软件的源代码以及源程序完全或部分公开,显然这些软件存在着安全隐患,而通信系统大部分都是使用这种商业软件,通信网络安全性必然也存在问题。
2. 通信网络安全分析
工信部通信保障局网络安全管理处处长闫宏强在论坛上分析了当前我国通信网络安全防护领域所面临的问题,他指出当前信息安全问题已经不仅是针对个人及企业用户,通过今年发生的5.19和6.25两起攻击事件可以看出,我国通信基础设施现在也正在遭受严重的威胁和影响。
针对计算机系统和网络的那些特点,必须加强网络管理员的技术水平和安全意识,尽全力使其安全隐患降到最低。如果技术水平不强和安全意识弱,违反安全保密制度,明密界限不清楚,密件明发,并且总是使用同一种密钥,密码被破译的可能性极大,这将会造成系统混乱。可见加强网络管理员的安全保密意识是非常有必要的。
软硬件设施存在安全隐患。由于有些软硬件系统在设计过程中设计了远程终端的登录控制通道,所以在软件设计时也存在着不多bug,又加上商用软件源程序的公开性,使得在使用通信网络的过程中,不法分子可以直觉入侵到网络系统中,达到窃取通信信息的目的。还有就是传输信道上的安全隐患,不发分子可以利用专门的设备在传输信道上窃取机密信息。
另外,目前,在通信网建设和管理上,审批不严格,标准不统一,建设质量低,维护管理差,网络效率不高,人为因素干扰等问题。
3.通信网络安全维护措施
CCSA TC8副主席舒敏在论坛上汇报了CCSA TC8网络与信息安全标准化工作进展情况。她指出,协会已经完成103项网络信息安全标准的制定,涵盖了网络设备、终端设备、电信业务、短信业务、垃圾邮件等方面,有效的保护了用户利益,为政府在信息安全技术标准领域提供了有力的支撑。
为了实现通信网络安全性,必须实施安全技术来防御系统。其安全技术主要有:防火墙技术。防火墙技术,最初是针对网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。因此,防火墙是网络安全的重要技术之一;入侵检测技术。入侵检测技术是防火墙的一个补充,它对网络系统内外部的攻击进行实时保护,在网络受到威胁之前进行拦截,二样提高了安全性;网络加密技术。由于采用网络加密技术,公网数据传输的安全性和远程用户访问内网的安全性都得以解决;身份认证技术。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性;虚拟专用网(VPN)技术。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接;漏洞扫描技术。因为光依靠网络管理员寻找安全漏洞是不够的,所以要借助网络安全扫面工具来优化系统配置,找出漏洞。
4.总结
通信网络安全问题不是一朝一夕就能够完全解决的。解决通信网络安全问题的难度很大,需要继续进行理论上的研究和在试验环境下进行实际测试来验证,才能在一定程度上解决网络的安全问题。进一步加强通信网络安全政策研究制定,完善网络安全防护体系,切实作好网络安全关键技术研发及相关标准化工作。
参考文献:
[1]范忠礼,《系统构建网络安全体系》,通信世界网,2004年12月13日.
关键词:3G;网络安全;安全体系
中图分类号:TN929.5
随着现代通讯技术的快速发展,通讯行业已经跨入3G(第三代移动通讯技术)时代。2009年1月,工信部为我国三大通信公司发放了3G牌照,随后中国联通公司迅速开通了WCDMA网络3G服务。中国联通通过宣传“沃”品牌,主攻家庭用户,特别是美国苹果公司和中国联通达成三年的合作协议,为中国联通吸引了许多手机高端用户,使中国联通的3G用户呈爆炸式增长。新技术带来新机遇的同时,也提出了新的安全性挑战。3G系统除了提供传统的语音通信业务外,还能够处理图像、音乐、视频流等多种媒体形式,还提供包括网页浏览、电话会议、电子商务、电子贸易等多种信息服务,同时,移动网络的IP化、终端趋智能化、带宽变大,使得手机功能越来越接近电脑的功能,这就将传统的计算机网络诸如病毒攻击、垃圾邮件、隐私泄露等安全隐患引入到移动通信网络中来,这就使得3G系统的安全问题更加复杂化。目前对于移动通信安全方面的讨论逐渐成为热点,国内外研究人员从各个方面进行了研究与探讨,例如安全目标、安全评价、威胁防范、认证技术、加密算法、密钥管理等,并取得了一系列重要成果。
1 3G系统的安全分析
1.1 信息泄露,个人私密信息存在泄露风险。3G终端的智能化,使得用户通过手机可以进行原来在电脑上进行的应用操作,因此智能手机上可存储用户个人的大量秘密信息,如银行账户信息、交易记录、个人资料等私密信息,当用户通过智能手机接入3G网络时,这些信息存在着被黑客进行窃取的危险。
1.2 病毒泛滥。随着3G智能手机的普及,针对手机的病毒与恶意软件也日益增多,而用户对于手机病毒的防范意识却还很薄弱,同时因功能限制,智能手机的病毒防护措施也未能像电脑那样完善,这就给了不法分子提供了可乘之机。
1.3 服务攻击。通过物理手段或协议干扰用户的数据,令用户数据无法在链路上正确传输,或通过使网络服务过载耗尽网络资源,达到使合法用户无法访问的目的。
1.4 不良信息传播。通过3G智能手机进行黄色信息等非法信息的传播,造成了恶劣的社会影响。
2 3G系统安全体系结构
针对上述安全威胁,建立3G通信网络的安全体系结构,从传输层、服务层、应用层进行安全防范。
在3G系统的安全体系中,定义了5个安全特征组,网络接入安全、网络域安全、用户域安全、应用域安全、安全的可知性和可配置性等,涉及传输层、服务层和应用层,同时也涉及移动用户、服务网和归属环境。每一安全特征组用以对抗某些威胁和攻击,实现3G系统的某些安全目标,具体如下:传输层主要是网络的接入安全,保护用户安全的接入3G通信网络,防止来自无线链路的攻击。对移动用户的身份进行保密,包括无法窃听用户身份、无法获取用户位置、无法侦测用户数据等,网络接入安全是安全应用3G通信网络的关键。服务层主要对用户安全与网络安全提供保护。用户安全保证用户在接入3G网络时,USIM与用户间进行认证,经授权后才可以接入网络,这就保证了合法用户进入通信网络。网络安全进行网络实体间的消息认证,并通过密钥分配,实现对数据的加密及数据源的认证,确保核心网络实体间能够安全的交换数据。应用层主要对USIM程序和用户的安全信息进行保护,通过检测确认、身份认证、数据完整性保护等,确保3G通信网络信息传输的安全性。另外,3G网络的安全配置能力定义了用户可知的网络安全特性,并可判断服务是否已安全服务作为基础,接受或拒绝服务。
3 3G系统的安全策略
3.1 技术层面。对设备层的安全加固。当今移动互联网的设备层有:数据库、操作系统、网元设备等,其中网元设备指移动互联网中交换机、路由器、防火墙等其他的内容层设备,对这些设备自身进行安全加固的加固准则是ACL保护、4 A设置等;对操作系统宜进行补丁管理、最小化安装和安装防病毒软件等安全加固对策;数据库的安全加固,现在大多是利用众多的安全备份原则,进而确保数据库的安全可靠。
加强移动互联网安全技术标准制定。在目前国内移动互联网当中,还有如下不足:安全机制缺失、网络域对病毒等异常流量的监控不足或者缺乏终端安全机制和网络设备安全机制等。因此,有必要结合我国密码管理办法规定和已有密码算法,制定相关安全标准,并相应地引入移动互联网安全机制,包括AKA认证和空口加密等机制。同时,引入网络域安全机制。安全域边缘特别是接外网的节点应综合部署具有入侵检测、用户认证、数据加密的安全网关,以起到安全隔离作用。另外,我国目前缺乏移动互联网内容安全方面的技术标准,需要加大对移动互联网内容安全方面的标准制定。
增强和改进3G系统继承于2G系统的安全元素。3G的安全将建立在第二代系统的安全之上,在GSM和其他第二代系统内已经证明是必要的和加强的安全元素应当被3G的安全所采纳;3G的安全要确定和校正第二代系统中的实时的和已认识到的缺点;3G的安全要提供新的安全特征,并保护3G提供的新的业务。这些改进包括对身份验证系统改进、认证方法的改进、数据保密性的改进、数据完整性的改进等。
3.2 管理层面。首先是建立健全通讯网络管理机制,将责任问责制度推广到其中来,对网站的运营商和服务供应商做好登记和备案。完善相关法律法规,增强网络安全问题的管理。其次是建立3G高速通讯系统的安全模型:OSI模型和TCP/IP模型是主要适用于计算机网络的模型,而通讯系统有其自身的特点和发展方向。因此,大力推广IP技术和Adhoc技术才是实现3G网络高效、安全的主要方式。还有就是完善3G安全运行的保障体系,包括地面服务器,网络服务器,服务协议硬件配置,网络覆盖,结构规划等都能够有序的运作。
4 结束语
3G通信业务已成为目前通信行业发展的主流,它给通讯行业带来新的商机,为人们提供了更好的通讯体验,但同时,也带来了巨大的安全隐患,进行3G通信系统的安全性研究,保证其快速、安全的发展,具有十分重要的现实意义。
参考文献:
[1]张帆.某省联通公司3G竞争战略研究[D].华北电力大学,2010(04).
[2]王慧敏.浅谈3G通信网络的安全问题[J].科技信息,2010(25).
[3]张海清.浅述移动互联网的安全问题及其对策[J].信息通信,2012(02).
[4]孔祥浩.关于3G通信网络安全问题的探讨[J].电脑与电信,2010(01).
[5]张海清.浅述移动互联网的安全问题及其对策[J].信息通信,2012(02).
【关键词】邮政网络 网络安全 加密
1 邮政系统的基本原理
邮政综合计算机网络系统是一个三级四层的全国性的网络系统,其中三级为省际网、省内网和邮区网,四层为国家邮政信息中心、省邮政信息中心、邮区邮政信息中心和基础接入节点。
邮政综合计算机网广域网的网络结构如下图所示,网络互连方式包括邮政综合计算机网络系统内部三级四层之间的互连、邮政综合计算机网二级机构接入、邮政综合计算机网络系统与外部网络的互连。网络上使用的通信协议为TCP/IP。
2 现有系统的基本原理
通过建立邮政行业内通用的综合安全保密管理技术架构和管理中心平台,从而为邮政系统建立健全的安全组织、完善的安全管理机制和集成统一的安全策略提供必要的技术基础。该管理中心平台在结构上和邮政系统现有管理体制和网络结构相适应,并在密码设备管理、密码服务调用接口、密钥管理、安全日志管理等方面建立统一的标准和要求,此外,该平台应具有较强的开放性,能容纳未来的安全保密设备。
以目前比较成熟的PKI体系为基础,针对不同应用模式构建统一的安全服务平台,为邮政业务系统提供一个公共的安全服务平台,为邮政生产、业务、服务和管理应用提供一系列标准的、切合邮政安全需求的安全服务接口,使得各个应用系统的开发在一个高安全性的服务环境下顺利实施。
综合运用数据包封装技术、密码技术和网络访问控制技术,构建建立能涵盖邮政终端节点->城市中心->省中心->国家中心各部门(人员)的中国邮政虚拟专用网络系统(VPN)。
3 现有系统的组成结构
现有系统共包含五个组成部分:综合安全管理中心、应用安全服务平台、低端网络IP密码服务包、网络IP加密机和终端线路加密器。以下分别介绍各个部件的功能:
3.1 综合安全管理中心
综合安全管理中心实现对全网络密码设备的分级集中管理,包括对密码设备所需数字证书的管理、密码设备远程配置、密码设备运行状态监控及密码设备安全审计日志的集中存放、动态分析和报告生成等功能。此外,该中心还可包含对其它安全设备,如防火墙、入侵检测等的集中管理。
3.2 应用安全中间件
应用安全中间件是一个由五个安全组件构成的安全服务套件,可以为基于不同平台的各类业务系统提供统一、标准的安全服务,它为用户提供了实现数据机密性、完整性、不可抵赖性以及身份认证功能等的统一的途径和方法。安全中间件的每一组件所完成的安全层次各异、互为补充,构成了一个面向用户信息应用系统的较为完整的安全服务体系。该套件的所有组件均集成了国密办审批的本项目专用密码算法和密码模块,其功能基本覆盖了邮政系统各类业务系统的安全服务需求。
3.3 基于网络的IP加密机
基于网络的IP加密机通过在网络层实施密码技术和网络访问控制技术,实现邮政系统各级机构间通过公网的安全互联。IP加密机为一独立的网络安全设备,可透明地接入(嵌入)邮政系统现有网络架构,并采用统一的方式,由综合安全管理中心集中管理。
3.4 基于主机的低端网络IP密码服务包
基于主机的网络IP密码服务包的应用对象为邮政系统中大量存在的柜员微机工作站和储蓄网点PC,是一个能嵌入到现有客户端系统中的IP安全保密垫片程序模块,该模块处于网络驱动程序和IP协议栈之间,对出入主机的数据包实施加解密处理和访问控制,实现和基于网络的IP加密机的互通,并采用统一的方式,由综合安全管理中心集中管理。
3.5终端线路加密器
终端线路加密器是一个能完成终端柜员身份认证功能及线路加密功能的设备,其应用对象为邮政系统中大量存在的邮政储蓄和电子汇兑柜员终端。该设备能透明地接入邮政储蓄柜员终端业务系统和其它“终端-主机”结构的网络系统中,解决(哑)终端用户的强身份认证和线路加密功能,并采用统一的方式,由综合安全管理中心集中管理。
4网络安全的重要性
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。例如:在竞争激烈的市场经济驱动下,每个企业对于原料配额、生产技术、经营决策等信息,在特定的地点和业务范围内都具有保密的要求,一旦这些机密被泄漏,不仅会给企业,甚至也会给国家造成严重的经济损失。 经济社会的发展要求各用户之间的通信和资源共享,需要将一批计算机连成网络,这样就隐含着很大的风险,包含了极大的脆弱性和复杂性,特别是对当今最大的网络――国际互联网,很容易遭到别有用心者的恶意攻击和破坏。随着国民经济的信息化程度的提高,有关的大量情报和商务信息都高度集中地存放在计算机中,随着网络应用范围的扩大,信息的泄露问题也变得日益严重,因此,计算机网络的安全性问题就越来越重要。
5 结论
随着互联网的迅速发展,网络攻击也在迅速增多,病毒邮件攻击的影响日益激烈,病毒、蠕虫和毫无必要的大量垃圾电子邮件利用互联网资源来传播,使企业网络的传输速度缓慢甚至瘫痪。本文提出的企业网络安全解决方案能够为企业提供安全的网络保护,并缩减了企业在网络安全方面的投资。解决了企业的安全隐患,使能够合理利用网络并从网络中获取丰厚的效益,提高了企业的竞争力。
参考文献
[1]张千里,陈光英 .网络安全新技术[M].北京:人民邮电出版社,2003(01).
[2]董玉格等.网络攻击与防护-网络安全与实用防护技术[M].北京:人民邮电出版社,2002(08).
[3]顾巧论等编著.计算机网络安全[M].北京:科学出版社,2003(01).
购物车(0)
