时间:2023-03-13 11:28:00
导言:作为写作爱好者,不可错过为您精心挑选的10篇控制系统网络安全,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
改革开放以来,我国石油化工企业的自动化和信息化水平,无论在装备上、技术水平上、功能与规模上都有了较大的发展。测量和控制装置不断更新升级,DCS、PLC和IPC已成为大中型石油和化工企业的主要控制手段[3]。而由DCS、PLC和FCS等控制系统构成的控制网络在石化行业中也得到了广泛的应用。
1.1过程控制系统网络的特点过程控制系统的网络与传统的IT网络不同,具有以下特点。1)较高的实时性和可靠性。过程控制系统网络主要需要保证所有传输数据的实时性以及网络的可靠性,在传输过程中不允许有中断出现,需要整个传输过程始终在系统的可控范围内,不能出现失控的状态。2)专有通信协议。早先每一个过程控制系统供应商都有自己独自研发的专有通信协议,但随着过程控制系统的网络面逐渐扩大,而在彼此的通信传输中需要进行转换,不同通讯协议导致的不便捷性逐渐显露出来。近几年随着系统开放性呼声越来越高,在行业内部出现了一些开放的公用的专有通信协议,例如OPC,ModbusTCP,现场总线(Foundation/Hart/Profibus)等。3)相对的独立性。过程控制系统通常都是根据工艺设备的要求而进行独立设计,所以无论从前期网络设计到实际物理安装,整个控制系统网络都是相当独立的,不会与其他任何应用存在交联部分。在与外界交互的通道上仅仅开放OPCServer一个接口,通过OPC工业通信协议与外部进行数据交换。4)较长的产品更新周期。过程控制系统产品不以追求设备的先进性为目标,更多地是强调安全性与稳定性。所以结合实际工艺生产以及设备投资来进行综合考虑,过程控制系统通常具有较长的更新周期,这样就导致系统操作平台的安全漏洞得不到及时的维护。5)与杀毒软件兼容性差。目前市场上的杀毒软件厂商基本都是针对常用的应用软件进行兼容性测试,针对市场上使用频率较高的软件进行病毒防治策略的研究。而在网络中基于Windows平台上安装的所有过程控制软件,几乎没有杀毒软件厂商对其进行过完整的兼容性测试。这种情况同样也适应于过程控制系统制造商,各家控制系统制造商一般只认可少数几种防病毒软件,所以在工控领域的操作层级进行统一部署防护策略是一件很困难的事。
1.2过程控制系统网络的风险点根据对过程控制系统结构的分析,通常易受病毒侵袭的主要风险点主要有“数据采集网络的连接”,“先进过程控制站的连接”,“操作站”之间的三处连接。1)与数据采集网络的通信安全隐患例如采用双网卡配置的OPC数据采集机,但无其他任何防护措施。虽然OPC数据采集机采用双网卡配置,并已经将控制网与信息网进行隔离,信息网已经无法对控制网进行操纵攻击,但是双网卡结构的配置,对病毒的传播没有任何阻挡作用,所以来自上层信息网对控制网的病毒感染是目前的最大隐患。2)先进控制过程站的病毒感染隐患例如先进控制过程站通常可以由软件供应商进行自由操作,先进控制过程站本身并无任何防护措施,具有较高的病毒感染风险。首先先进控制过程站的安装、调试、运行一般需要较长的时间,而且需要项目工程师进行不断的调试、修改。期间先进控制过程站需要频繁与外界进行数据交换,这给先进控制过程站本身带来很大感染病毒的风险。一旦先进控制过程站受到病毒感染,其对实时运行的控制系统安全会造成极大隐患。另外先进过程控制站是应用OPC通信协议进行数据通信的,所以采用常规IT策略(例如常规的通用防火墙)无法提供适宜的防护。3)操作站互相感染的隐患目前大多数操作站都运行一个工作网络中,但在网络内部没有采取任何有效防护措施。而工业平台基本采用PC+Windows架构,同时也广泛应用以太网进行连接,TCP,STMP,POP3,ICMP,Netbios等大量开放的通信协议被广泛应用。但活跃在这些通讯协议上的木马、蠕虫等计算机病毒也具有一定的规模。目前普通的防火墙无法实现工业通信协议的过滤,所以当网络中某个操作站或工程师站感染病毒时,可能会马上通过数据交换传播到该工作网络中的其他PC机上,这就容易造成网络上所有操作站同时发生故障,严重时可导致所有操作站同时失控,甚至造成不可估计的损失。
2防护措施与建议
通过考虑石油化工过程控制系统中的网络架构和安全设计,同时参考保护层理论,列出了硬件、网络通信预防手段、杀毒软件预防手段、网络管理规章制度、良好的个人工作习惯等多个“保护层”,下图为石油化工过程控制系统网络的安全防护洋葱模型。图1石油化工过程控制系统网络的安全防护洋葱模型根据上图列出的各个风险点,可以参考以下措施进行有针对性的安全防护。
2.1设置防火墙相关单位或部门应该针对过程控制系统设置防火墙。防火墙是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络通信中采用防火墙,它能允许系统预设的人员和数据(白名单)进入你的网络,同时将系统未允许的人员和数据拒之门外,可以最大限度地阻止网络中的黑客访问公司内部网络,在内部网和外部网之间、专用网与公共网之间的界面上构造一道保护屏障,从而保护内部网免受非法用户的侵入。一般的防火墙软件例如ComodoFirewall、ZoneAlarm、瑞星个人防火墙、卡巴斯基等均有完善的白名单以及黑名单设置,管理员可以根据相应的软件说明书和自身状况进行详细设置。
2.2安装专业杀毒软件在已联网的过程控制系统工业计算机上安装相应的杀毒软件,以降低电脑病毒、特洛伊木马和恶意软件等感染计算机的概率。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的专业杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。但是需要注意的是,有的时候杀毒软件会对工业计算机上的一些正常行为误报为病毒或木马。这时候就需要网络安全管理人员在安装杀毒软件的同时,将已确认的工业正常行为录入杀毒软件的信任列表,以避免误删重要程序或导致系统停机的情况发生。
中图分类号:F407 文献标识码: A
一、前言
作为电厂生产运作的一项重要工具,生产控制系统在近期得到了较为广泛的应用和深入的研究。研究其网络信息安全,能够更好地提升电厂生产控制系统的可靠性,从而更好地保证电厂生产的顺利进行。本文从概述相关内容开始探究。
二、概述
为了提高工作效率,绝大多数电厂都建立了自己的内部网络,内部网络存在的安全隐患同样会对信息安全造成很多的威胁,甚至会对电厂造成重大经济损失。电厂网络面临的威胁来自于电厂内部和电厂外部两个方面,安全隐患主要体现在管理不严,导致非法入侵;电厂内部操作不规范,故意修改自己的IP地址等,导致电厂内部信息的泄漏;网络黑客通过系统的漏洞进行攻击,导致网络的瘫痪,数据的盗取;病毒通过局域网资料的共享造成病毒的蔓延等。
电厂网络面临的外部威胁主要是指黑客攻击,它们凭借计算机技术和通信技术侵入到电厂内部网络信息系统中,非法获得电厂内部的机密文件和信息。无论是操作系统还是网络服务都存在一定的安全漏洞,这些漏洞的存在,就给攻击者提供了入侵的机会。网络黑客通过各种手段对网络中的计算机进行攻击,非法闯入信息系统,窃取信息,泄露信息系统内的重要文件。
由于电厂内部管理不善,电厂员工的恶意行为也影响着信息的安全,内部人员的威胁行为分为违规操作和恶意报复。其中,内部员工的违规操作是造成外部威胁得逞的主要原因,有的工作人员利用自己的工作便利进入电厂的信息系统,窃取电厂信息系统内的重要文件,并将信息泄漏给他人,获取一定的利益;有的员工直接打开从网上下载的文件和视频,不经过专业杀毒软件的扫描,给电厂的内部网络带来安全隐患,甚至带来的病毒在全网络蔓延,造成电厂内网的瘫痪,严重损坏公司的利益,影响公司的正常运转。
三、电厂生产控制系统面临的安全隐患
1.被动攻击形式
被动攻击这种情况下在计算机领域中称作是流量分析现象。在计算机网络安全中,最为典型的信息攻击方式是信息的截获,信息的捕获主要指的是在信息技术中,网络攻击者通过网络技术对他人的私人信息进行不断的窃取和攻击这一信息安全性的现状。在这个过程中,网络信息得到攻击者通过对数据信息的观察与分子,进行相应的网络信息的攻击,尤其是对其中的一个数据单元进行相应的攻击,其中攻击的是网络中的信息数据,并不是信息流。上述的这些网络信息的安全隐患中,网络信息的攻击者和黑客是无处不在的,总是对网络系统中的数据信息进行攻击,盗取用户的个人信息,这些攻击者主要是通过网络中的数据协议PUD对用户的信息资源进行了一定的控制与盗取,最终导致而来网络信息资源安全隐患的产生。
2.主动攻击
计算机网络安全注的主动攻击是指,在计算机网络通讯系统中,攻击者或者是黑客,通过网络技术,连接到具体的数据通讯协议进行有目的有计划的信息资源的获取。这个过程是一种目的性明确的信息盗取方式,对于系统中的信息进行有目的的安全性攻击。并且在整个计算机网络通讯技术的安全性攻击过程中,攻击者通过对系统中的数据协议进行攻击,延迟了PDU的运行,严重情况下,最终将一种伪造的PDU输送到相应的网络中进行信息数据的传输。其中,此处所述的信息中断、信息篡改以及数据信息内容的伪造是上述所说的一种计算机网络完全的被动攻击方式。
四、电厂生产控制系统对网络安全的改进方案
1.物资需求计划的应用
MRP即物资需求计划,所谓物资需求计划指根据产品结构中不同层次的物品的从属关系和数量关系,以单件产品为对象,以完工时间为标准的倒排计划,根据提前期的长短制定物品下达时间的先后顺序,是一种电厂内的物资计划管理模式。通过运用物资需求计划,精确地对每月的生产任务进行合理安排,可以有效解决电厂生产过程中出现的“月初任务松,月末任务紧”的现象,通过合理调整生产计划,使发电厂对市场的应变能力加强。
2.完善身生产生产计划和控制系统
发电厂需要将安全生产列为其主要的研究内容,通过确保其生产质量提高其在同行业中的竞争力,从而获得较大的经济效益。通过完善发电厂自身的管理体系,使其在进行安全生产的同时,保障其生产计划的顺利执行。建立并完善合理的监督管理体系,有助于提高发电厂内部员工的自觉性和职业素质,可以在满足客户需求的同时,有效地提高发电厂的经济效益。
3.主生产计划方案编制
所谓主生产计划,是物资需求计划的主要输入因素,其以合同为依据,并按一定的时间段对相关电力产品的数量以及交货日期进行合理分析,并在现有的生产计划与设备资源中做出相应的平衡的新型生产计划。另一方面,从客户和电厂的双方面角度出发,主生产计划方案的编制一方面为电厂制定了完备的生产和控制计划,另一方面使得电厂的各项生产得以有序进行,从而提高了电厂与用户的合作效率。
五、强化生产控制系统安全的措施
1.对安全规划产生足够的重视
电厂网络安全规划就是全面的思考网络的安全问题,对于安全问题,需要以系统观点进行考虑。要想提升安全管理的有效性,就需要对信息安全管理体系进行全面系统的构建。
2.对安全域进行合理划分
电厂将电厂网络的内外网实行了物理隔离,但是在内网上,安全域的合理划分依然非常重要。在划分的时候,需要结合整体的安全规划和信息安全等级来进行,对核心重点防范区域和一般防范区域以及开放区域进行划分。网络安全的核心就是重点防范区域,用户不能够对这个区域直接访问,安全级别较高;应该在这个区域内放置各种重要数据、服务器和数据库服务器,在本区域内运行各种应用系统、OA系统等。
3.对安全管理进行强化,对制度建设产生足够的重视
为了促使电厂网络信息安全得到保证,就需要系统性的考虑电厂网络信息安全,对于电厂网络的安全问题,非常重要的一个方面就是安全管理和制度建设。首先要对日志管理和安全审计产生足够的重视,通常情况下,审计功能是防火墙和入侵检测系统都具备的,要将它们的审计功能给充分利用起来,提升网络日志管理和安全审计的质量。要严格管理审计数据,任何人不得对审计记录进行随意的修改和删除。
4.构建内网的统一认证系统
网络信息安全最为关键的一项技术就是认证,通过认证,身份鉴别服务、访问控制服务以及机密都可以得到实现。对病毒防护体系进行构建,将防病毒体系安装于电厂网络上,远程安装、远程报警以及集中管理等都是防病毒软件的功能;要对防病毒的管理制度进行构建,不能够在内网主机上随意拷贝互联网上下载的数据,不能够在联网计算机上使用来历不明的移动存储设备,发现病毒之后,相关工作人员需要及时采取处理措施。
六、结束语
通过对电厂生产控制系统网络信息安全的相关研究,我们可以发现,威胁其安全的因素来自多方面,有关人员应该从电厂生产控制系统运作的客观实际出发,充分分析威胁因素,从而研究制定最为切合实际的网络信息安全应对策略。
参考文献:
[1] 覃冠标.关于发电厂生产计划与控制系统的改进研究[J].科技资讯.2013(34):141-143.
[2] 吴兴波.S公司生产计划与控制改进研究[J].华南理工大学学报.2010(01):88-89.
0 引言
对于电力部门来说,保奥运,确保电网和系统安全,是目前各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。
电力系统一直以来网络结构和业务系统相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击也越来越多,已经成为电力系统不可忽视的威胁来源。但是,据我所知,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。
1 电力网络信息系统安全的威胁
(1)人为的无意失误
如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
(2)人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!
2 网络安全风险和威胁的具体表现形式
电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。 随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:
(1)UNIX和Windows主机操作系统存在安全漏洞。
(2)Oracle,Sybase、MS SQL等主要关系型数据库的自身安全漏洞。
(3)重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
(4)利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(女IIRPC、FTP、TELNET、SMTP、FINGER等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击、同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。
(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
(7)应用软件的潜在设计缺陷。
(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。
(9)虽然将来由省局(公司)统一的WEB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDN专线、ISDN等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。
(10)各局使用的OA办公自动化系统大量使用诸如WINDOWS操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。
系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过 Sniffer 网络侦听极易获得超级用户的密码。
3 系统的网络风险基本控制策略
针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:
(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控 制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。
(2)区域隔离。采用防火墙装置使核心系统得到有效保护。
(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用MPLS-VPN形成多个相互逻辑隔离的IPSEC VPN,实现多层次的保护。
(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。
(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。
4 电力系统的网络安全解决方案
针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与Internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。
(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用DUT-BAND带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。
(2)存网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。
(3)VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商(ISP)传输后不会对数据的完整与安全构成潜在危险,在数据进入MPLSVPN网络之前首先经过IPsec加密,在离开VPN网络后又再进行IPsec解密。
(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。
(5)通过专用网络防火墙控制网络边界的安全。
(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为IDS进行监控使用,也可以部署在服务器的前端作为防攻击的IPS产品使用,前题是保障网络的安全性。
5 电力系统局域网内部网络安全解决方案
外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用IPS设备对关键应用进行监控和保护。同时,使用IPS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性,可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:
(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。
(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。
6 广域网整体安全解决方案
对于整个广域网,为了端对端,局对局的安全性,本着不受他系统影响/不影响他系统的安全原则,可对防火墙以及IPS设备进行分布式部署。
通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入。
通过过滤、IP地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDAP的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。
双机热备(负载均衡):为了提高系统的可靠性,通过监控设备的CPU Loading来确认谁转发流量,极大的提高了防火墙的吞吐量。
友好的用户界面:只需作简单的培训,用户即可进行规则配置、系统管理、统计。
7 参考文献
[1] 《StoneSoft电力系统网络安全解决方案》StoneSoft
公司,2005。
[2] 王桂娟,张汉君。《网络安全的风险分析》[J].中南民族
大学学报,2007,(11)。
[3] 陈 伟、鲍 慧.《电力系统网络安全体系研究》[丁].电
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
1)要制订严格的规章管理制度:可制定的相应:《用户授权实施细则》、《口令字及账户管理规范》、《权限管埋制度》。例如在内网办公系统中使用的用户登录及管理模块就是基于这些制度创建。
2)要配备相应的软硬件安全设备:在内部网与外部网之间,在不同网络或网络安全域之间信息的唯一出入口设置防火墙。设置防火墙就是实现内外网的隔离与访问控制,保护内部网安全的最主要、同时也是最快捷、最节省的措施之一。防火墙一般具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和报警。防火墙主要类型有包过滤型,包过滤防火墙就是利用ip和tcp包的头信息对进出被保护网络的ip包信息进行过滤,能依据我们制定安全防范策略来控制(允许、拒绝、监测)出入网络的信息流,也可实现网络ip地址转换(nat)、审记与实时告警等功能。因为防火墙安装在被保护网络与路由器之间的通道上,所有也对被保护网络和外部网络起到隔离作用。
4.2 通过使用内部网不同网络安全域的隔离及访问控制
主要是利用vlan技术来实现对内部子网的物理隔离。可以通过在交换机上划分vlan可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。因此就能防止影响一个网段的问题穿过整个网络传播。对于某些网络,一部分局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更加敏感,在不同的讥an段内划分信任网段和不信任网段,就可以限制局部网络安全问题对全部网络造成的影响。
4.3 通过使用网络安全检测
根据短板原理,可以说网络系统的安全性完全取决于网络系统中最薄弱的环节。最有效的方法就是定时对网络系统进行安全性分析,及时准确发现并修正存在的弱点和漏洞,能及时准确发现网络系统中最薄弱的环节,也能最大限度地保证网络系统安全。
网络安全检测工具是一款网络安全性评估分析软件,其具备网络监控、分析功能和自动响应功能,能及时找出经常发生问题的根源所在;建立必要的循环过程确保隐患时刻被纠正;及时控制各种网络安全危险;进行漏洞分析和响应;进行配置分析和响应;进行认证和趋势分析。
它的主要功能就是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议采用补救措施和安全策略,从而达到增强网络安全性的目的。
参考文献:
关键词: 网络安全 安全需求 措施
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
关键词: 网络安全 安全需求 措施
1 校园网的概念
简单地说,校园网络是“校校通”项目的基础,是为学院教师和学生提供教学,科研等综合信息服务的宽带多媒体。根据上述要求,校园网必须是一个宽带,互动功能和高度专业化的局域网络。
2 校园网的特点
校园网的设计应具备以下特点:
1)提供高速网络连接;2)满足复杂的信息结构;3)强大的可靠性和安全性保证;4)操作方便,易于管理;5)提供可运营的特性;6)经济实用。
3 校园网络系统信息安全需求
3.1 用户安全
用户安全分成两个层次即管理员用户安全和业务用户安全。
1)管理员用户拥有校园网的最高执行权限,因此对信息系统的安全负有最大的执行责任。应该制定相应的管理制度,例如对管理员的政治素质和网络信息安全技术管理的业务素质,对于涉及到某大学的网络安全策略配置、调整、审计信息调阅等重要操作,应实行多人参与措施等等。
2)业务用户必须在管理员分配的权限内使用校园网资源和进行操作,严禁超越权限使用资源和泄露、转让合法权限,需要对业务人员进行岗前安全培训。
3.2 网络硬环境安全
通过调研分析,初步定为有以下需求:
1)校园网与教育网的网络连接安全二需要在连接处,对进/出的数据包进行访问控制与隔离,重点对源地址为教育网,而目的地址为某大学的数据包进行严格的控制。2)校园网中,教师/学生宿舍网络与其他网络连接的网络安全。3)校园网中,教学单位网络与其他网络的网络连接安全。4)校园网中,行政办公网络与其他网络的网络连接安全。5)校园网中,网络管理中心网络与其他网络的网络连接安全。6)校园网中,公众服务器所在的网络与其他网络的网络连接安全。7)各个专用的业务子网的安全,即按信息的敏感程度,将各教学单位的网络和行政办公网络划分为多个子网,例如:专用业务子网(财务处、教务处、人事部等)和普通子网,对这些专用业务子网提供网络连接控制。
3.3 网络软环境安全
网络软环境安全即校园网的应用环境安全。对于一些涉及到有敏感信息的业务专用网,如:财务处、教务处、人事处等等,必须确保这些子网的信息安全,包括:防病毒、数据备份与灾难恢复、规范网络通信秩序、对保存有敏感信息的重要服务器软/硬件资源进行层次化监控,防止敏感信息被窃取。
3.4 传输安全
数据的传输安全,主要是指校园网内部的传输安全、校园网与教育网之间的数据传输安全以及校园网与老校区之间的数据传输安全。
4 校园网络系统控制安全措施
4.1 通过使用访问控制及内外网的隔离
访问控制体现在如下几个方面:
中图分类号:TP393.1文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
The Quality Control of Residential District Network and Information Security Systems
Li Junling
(Harbin University of Commercial,Harbin150028,China)
Abstract:The residential area network and information security systems are linked together through a variety of control devices,sensors and actuators to achieve real-time information exchange,management and control via the fieldbus,Ethernet or broadband access network.This paper describes the quality control of the living cell network and information security systems to protect the quality of the project,the purpose of improving service quality.
Keywords:Computer network system configuration requirements;
Security system;Construction process;Quality control
一、引言
居住小区网络及信息服务安全系统的网络是以广域网、局域网和现场总线为物理集成平台的多功能管理与控制相结合的综合智能网。它的功能强大、结构复杂,应充分考虑现有技术的成熟程度和可升级性来确定居住小区的网络结构。
(一)居住小区计算机网络系统配置要求的质量控制
1.按国家城镇建设行业标准CJ/T×××―2001中的要求进行检查。居住区宽带接入网可采用FTTX,HFC和XDSL中任一种与其组合,或按设计要求采用其他类型的数据网络。
2.居住区宽带接入网应提供如下功能:①支持用户开户/销户,用户流量时间统计,用户流量控制等管理功能;②应提供安全的网络保障;③居住区宽带接入网应提供本地计费或远端拨号用户认证(RADIUS)的计费功能。
3.控制网中有关信息或基于IP协议传输的智能终端,应通过居住区宽带接入网集成到居住区物业管理中心计算机系统中,便于统一管理,资源共享。
(二)居住小区计算机网络提供信息服务的内容
居住小区计算机网络提供信息服务包括Internet网接入服务、娱乐、商业服务、教育、医疗保健、电子银行、家政服务、建立住户个人电子信箱和个人网页和资讯等内容
二、居住小区网络及信息服务安全系统质量控制要求
网络安全问题涉及网络和信息技术各个层面的持续过程,从HUB交换机、服务器到PC机,磁盘的存取,局域网上的信息互通以及Internet的驳接等各个环节,均会引起网络的安全,所以网络内的产品(包括硬件和软件)均应严格把关。
1.定购硬件和软件产品时,应遵循一定的指导方针,(如非盗版软件)确保安全。
2.任何网络内产品的采购必须经过审批。
3.对于所有的新系统和软件必须经过投资效益分析和风险分析。
4.网络安全系统的产品均应符合设计(或合同)要求的产品说明书、合格证或验证书。
三、居住小区网络及信息服务安全系施工过程质量控制要点
按照有关对网络安全系统的设计要求,在网络安装的各个环节进行监督指导。
1.防火墙的设置。应阻挡外部网络的非授权访问和窥探,控制内部用户的不合理流量,同时,它也能进一步屏蔽了内部网络的拓补细节,便于保护内部网络的安全。
2.服务器的装置。应保证局域网用户可以安全的访问Internet提供的各种服务而局域网无须承担任何风险。
3.网络中要有备份和容错。
4.操作系统必须符合美国国家计算机安全委员会的C2级安全性的要求。
5.对网络安全防御的其他手段,如IDS入侵检测系统,密罐和防盗铃,E-mail安全性,弱点扫描器,加密与网络防护等均应一一检查。
6.应检查“系统安全策略”内容是否符合实际要求。对于信息系统管理员还包括安全协定,E-mail系统维护协定和网络管理协定等,确保所有的系统管理人员能够及时报告问题和防止权力滥用。最好建议印成安全手册或于内部网上,使每个员工都能得到准确的信息。
7.网络宜建立应及事件反映处理小组,并制定灾难计划,尤其是提出保证系统恢复所需的硬件环境和有关人员。
8.应用系统安全性应满足以下要求:
(1)身份认证:严格管理用户帐号,要求用户必须使用满足安全要求的口令。
(2)访问控制:必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源,同时不能访问未获得授权的资源时,判为合格。
9.操作系统安全性应满足以下要求:
(1)操作系统版本应使用经过实践检验的具有一定安全强度的操作系统。
(2)使用安全性较高的文件系统。
(3)严格管理操作系统的用户帐号,要求用户必须使用满足安全要求的口令。
10.信息安全系统质量验收要求:
(1)物理系统安全检察(规章制度、电磁泄漏等)。
(2)信息安全测试(模拟攻击测试、访问控制测试、安全隔离测试)。
(3)病毒系统测试(病毒样本传播测试)。
(4)入侵检测系统测试(模拟攻击测试)。
(5)操作系统检查(文件系统、帐号、服务、审计)。
(6)互联网行为管理系统(访问控制测试)。
(7)应用系统安全性检查(身份认证、访问控制、安全审计等)。
四、常见质量问题
1.无法保存拨号网络连接的密码。
2.发送的邮件有时会被退回来。
3.浏览中有时出现某些特定的错误提示。
4.主机故障。
[现象]PC1机在进行了一系列的网络配置之后,仍无法正常连入总部局域网。如图1网络结构所示。
图1网络结构
说明:某用户新购一台PC1,通过已有HUB连入总部局域网。
[原因分析]
检测线路,没有发现问题。然后,查主机的网络配置,有配错,该机的IP地址已被其他主机占用(如PC2),导致两机的地址冲突。
[解决方法]
重新配置一个空闲合法地址后,故障排除。
总之,此类故障可归纳为主机故障,可分为以下几类:
①主机的网络配置不当;②服务设置为当;③未使用合法的网络用户名及密码登录到局域网上;④共享主机硬盘不当。
解决的方法,目前只能是预防为主,并提高网络安全防范意识,尽量不让非法用户有可乘之机。
五、结束语
建立一个高效、安全、舒适的住宅小区,必须有一套完整的高品质住宅小区网络及信息服务安全布线系统,按照用户的需求报告,本着一切从用户出发的原则,根据多年来的丰富施工经验,作出可靠性高及实用的技术配置方案,保障居住小区网络及信息服务安全系统工程质量,提高网络及信息服务安全系统的服务质量。
参考文献:
[1]Chris Brenton,Cameron Hunt.网络安全积极防御从入门到精通冯树奇[M].金燕.北京:电子工业出版社,2001
[2]刘国林.综合布线[M].上海:同济大学出版社,1999
[3]杨志.建筑智能化系统及工程应用[M].北京:化学工业出版社,2002
[4]沈士良.智能建筑工程质量控制手册[M].上海:同济大学出版社,2002
[5]中国建设监理协会.建筑工程质量控制[M].北京:中国建筑工业出版社,2003
[6]中国建设执业网.建筑物理与建筑设备[M].北京:中国建筑工业出版社,2006
[7]彭祖林.网络系统集成工程项目投标与施工[M].北京:国防工业出版社,2004
2安全和网络安全协调要求
2.1基本原则
数字式仪控系统整体结构层面应考虑以下原则:(1)网络安全措施不能影响核电厂安全目标。网络安全措施不应损害仪控系统架构实施的多样性和纵深防御的有效性。(2)首先按照IEC61513的要求,进行仪控系统功能初次分配,并进行仪控系统架构总体设计,然后考虑可能影响整体系统架构的网络安全要求。通过迭代设计过程,将可能影响系统架构的网络安全要求整合到一起。(3)网络安全功能不得对安全重要功能所要求的性能、有效性、可靠性和可操作性产生不利影响。(4)安全重要系统增加的网络安全特征应进行失效模式和后果分析,并考虑预防、控制或缓解措施.(5)当两种架构设计有相同等级的安全性时,优先考虑具备网络安全防范特性的设计。但应避免不必要的复杂设计,因为复杂设计既不利于功能安全也不利于网络安全。
2.2网络安全区域划分原则
为了更切实地实施分级方法,需要将仪控系统中的基于计算机的和基于数字逻辑的系统划分为若干安全区域,分级保护原则适用于各个安全区域。区域允许将在安全和设备功能方面有着相似重要性的系统分为一组,以管理并应用保护措施。定义安全区域的标准可能包括组织问题、本地化、架构或技术方面。划分网络安全区域应考虑如下原则:(1)网络安全区域的划定应考虑和利用为加强安全目的而引入的独立性和物理隔离要求;(2)划定网络安全区域应同时考虑数据通信、地理/物理隔离以及独立性等方面;(3)除非能够从网络安全防范角度有效的过滤和监测分隔之间的通信,否则由多个子列组成的仪控系统应划分到同一个网络安全区域中。
2.3共因故障处理原则
在某些情况下,共因故障的措施,有利于网络安全防范。具体情况需由负责网络安全人员基于特定场景可能的恶意攻击和潜在威胁进行评估。多样性手段在网络安全防范中使用,利弊需要具体分析。以串联方式可以增加网络安全效果,但是会引入复杂性;以并联方式则可能增加系统接入路径和漏洞。对于集成到系统中的网络安全防范措施,应分析其可能在多样性系统间引入共因故障的潜在风险。存在风险时,应考虑替代措施,在保证充分的网络安全的同时,降低共因故障风险。
2.4隔离原则
隔离设计在某些情况下也可用于网络安全防范。应由负责网络安全的人员按照场景进行分析,利用隔离措施促进安全防范。功能安全相关标准所提出的用于支持A类功能的控制系统的独立性要求,对网络安全是有益的,应针对具体场景进行评估和验证,以便在网络安全防范中纳入这些措施。这些控制系统的独立性要求包括:(1)对于那些仅用于检测或保护目的的A类信号,对同时用于控制系统(无论其类别)的A类系统信号需要予以特别关注。这是由于传感器故障可导致控制系统的测量值超出需求容许值,并产生不安全的控制动作,同时还会方案保护系统对不安全工况的探测。(2)保护系统和控制系统应设计成如下的形似和:对两个系统之间所传递的信号,假设单一故障包括了后继故障,不能引发事故或要求安全动作的瞬态,同时,也不能引发A类系统不可接受的降级。(3)当A类系统内的一个单一随机故障及其后任何后续故障可引发一个控制系统动作,从而成为导致一个要求安全动作的工况时,即使此时有第二个随机故障使得A类系统降级,A类系统仍应有提供安全动作的能力。应采取措施,无论任何原因,包括测试或维修目的,使得部件或组建旁通或退出运行,系统都应满足这一要求。(4)即使有效的旁通、传感器和设备有测试证据证明的高可靠性,对提供控制信号的二取一表决的保护系统将要求比较论证和证明。如果在维护期间使用了合适的旁通措施,则采用故障安全的设备和自动探测故障传感器的三取二系统能够满足要求。
3结语
在核电厂仪控系统设计时,考虑功能安全和信息安全的协调要求,使仪控系统在保证安全性的同时也具备适当的信息安全特性,为确保电站安全稳定运行、免受网络攻击提供了有力保障。
参考文献
2010年,伊朗核电站遭受“Stuxnet(震网)”蠕虫病毒攻击,打开了网络攻击瘫痪实体空间的大门,关键性基础设施的安全成为全世界关注的焦点。2015年,乌克兰电网系统遭“Black Energy(黑暗力量)”的攻击。业内人士指出,支撑能源、通信、电力、金融、交通等重要行业运行的关键信息基础设施成为网络战的首选目标。工厂使用的控制电脑的软件一般都是特别定制版,而且不与外部互联网联通。但在黑客面前,物理隔绝并非不可逾越的天堑,通过局域网和USB接口进行传播,定点干扰工业控制软件的病毒早已产生,甚至通过发热量、辐射、风扇噪声等入侵物理隔离网络的案例也已出现。工业控制领域网络安全成为焦点,各国均加大了在该领域的投资。
工业控制领域网络安全隐患尤为突出
我国信息网络关键基础设施网络安全防护能力薄弱。“震网”病毒事件后,据权威部门统计,我国工业系统100%使用西门子工业控制系统,这意味着我国的工业控制系统存在网络安全隐患。尤其是随着工业化与信息化进程的不断交叉融合,以及物联网的快速发展,越来越多的信息技术应用到工业领域。我国已经将数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于电力、工业、能源、交通、水利、市政等领域,甚至直接用于控制生产设备的运行。“中国制造2025”战略的提出,使得国内工业控制领域正在发生重大的变革。同时,由于我国大规模使用国外的网络信息关键产品,在短期内很难完全替代它们,工业控制领域网络安全成为事关国家安全、社会稳定、经济发展的大问题。
先进工控安全领域创业公司涌现,发展模式引人注目
近两年,一些有识之士充分认识到,工业控制领域网络安全的需求日益凸显,因此必须整合信息安全与自动化方面的人才,专注工控安全领域网络安全产品的研发。这类典型厂商包括北京网藤科技有限公司、北京威努特技术有限公司、北京匡恩网络科技有限公司等。这类公司的特点是100%的业务都是工控安全,全力投入到工控安全行业。
其中,网藤科技是工控安全领域的一匹黑马,成立于2016年3月,团队均来自工控安全领域顶尖的企业。公司的组织结构具有包容、开放、共享的特色,业务以工业控制网络安全为核心,深耕石化、电力、冶金、轨道交通、烟草、测评中心等国家重点行业,提供覆盖设备检测、安全服务、威胁管理、安全数据库、智能保护、检测审计的自主、可控、安全的生命全周期解决方案。公司旗下的主打产品工控安全防护系统为针对工业网络安全的入侵检测系统,通过公安部权威检测,达到NIPS国标一级;工控安全审计系统为针对工业网络安全的信息审计系统,通过公安部权威检测,达到网络通信安全审计行标增强级。
工控领域网络安全厂商任重道远
2铁路计算机网络安全的建设途径
2.1三网隔离为了保证生产网、内部服务网、外部服务网的安全,实现三网互相物理隔离,不得进行三网直接连接。尤其生产网、内部服务网的运行计算机严禁上INTERNET。
2.2建立良好的铁路行业数字证书系统良好的铁路行业数字证书系统能够有效的保证铁路计算机网络的安全,铁路的数字证书主要包括签名证书与加密证书。证书的管理系统有利于保证网络和信息安全。铁路行业的数字证书系统能够有效的提高铁路信息系统的安全,让铁路信息系统在一个安全的环境下运行。证书系统加强了客户身份的认证机制,加强了访问者的信息安全,并且发生了不安全的问题还有可以追查的可能。行业数字证书在铁路信息系统中有效的防止了非法人员篡改铁路信息的不良行为,并且对访问者提供了强大的保护手段。
2.3建立安全的访问控制系统安全的访问控制系统,是整个铁路计算机网络中的核心。建立合理的访问控制系统,可以防止用户对铁路资源的实际操作,隐藏铁路应用系统在网络中的位置,在铁路计算机网络的运行中,保证用户访问的安全性。根据用户的选择进行网络的授权,可以有效的控制用户对于铁路资源的访问,保证铁路用户合理的访问铁路资源。控制系统可以针对不同的资源建立不同的访问控制系统,建立多层次的访问控制系统。控制访问系统构成了铁路计算机网络的必经之路,并且可以将不良的信息进行有效的隔离与阻断,确保铁路网络信息的安全性。建立有效的访问控制系统,可以保证网络访问的安全性和数据传输的安全性,最大限度的保障铁路计算机的信息安全。
2.4建立有效的病毒防护系统有效的病毒防护系统就相当于杀毒软件存在于电脑中的作用一样,可以有效的防止病毒的入侵,控制进出铁路信息网的信息,保证信息的安全性。病毒的防护系统可以将进出铁路信息系统的信息进行检查,保证了铁路客户端的安全。病毒防护系统防止了不法人员企图通过病毒来入侵铁路信息网络系统,让铁路信息网络系统能够在安全的环境下运行,保证了信息的最大化安全性。定期的病毒查杀,可以保证铁路网络信息系统的安全,让铁路信息网络系统得到有效的控制,保证客户端的资料不被侵犯,保证铁路计算机网络的正常运行。