前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電網(wǎng)網(wǎng)絡安全應急預案主題范文,僅供參考,歡迎閱讀并收藏。
[關鍵詞] 計算機網(wǎng)絡 電子商務 安全技術
一、引言
近幾年來,電子商務的發(fā)展十分迅速,電子商務可以降低成本,增加貿(mào)易機會,簡化貿(mào)易流通過程,提高生產(chǎn)力,改善物流和金流、商品流、信息流的環(huán)境與系統(tǒng)。雖然電子商務發(fā)展勢頭很強,但其貿(mào)易額所占整個貿(mào)易額的比例仍然很低。影響其發(fā)展的首要因素是安全問題,網(wǎng)上的交易是一種非面對面交易,因此“交易安全”在電子商務的發(fā)展中十分重要。可以說,沒有安全就沒有電子商務。電子商務的安全從整體上可分為兩大部分:計算機網(wǎng)絡安全和商務交易安全。計算機網(wǎng)絡安全包括計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題,實施網(wǎng)絡安全增強方案,以保證計算機網(wǎng)絡自身的安全性為目標。商務安全則緊緊圍繞傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡安全的基礎上,如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
二、電子商務網(wǎng)絡的安全隱患
1.竊取信息:由于未采用加密措施, 數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送, 入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。通過多次竊取和分析, 可以找到信息的規(guī)律和格式, 進而得到傳輸信息的內(nèi)容, 造成網(wǎng)上傳輸信息泄密。
2.篡改信息:當入侵者掌握了信息的格式和規(guī)律后, 通過各種技術手段和方法, 將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改, 然后再發(fā)向目的地。這種方法并不新鮮, 在路由器或者網(wǎng)關上都可以做此類工作。
3.假冒:由于掌握了數(shù)據(jù)的格式, 并可以篡改通過的信息, 攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息, 而遠端用戶通常很難分辨。
4.惡意破壞:由于攻擊者可以接入網(wǎng)絡, 則可能對網(wǎng)絡中的信息進行修改, 掌握網(wǎng)上的機要信息, 甚至可以潛入網(wǎng)絡內(nèi)部, 其后果是非常嚴重的。
三、電子商務交易中應用的網(wǎng)絡安全技術
為了提高電子商務的安全性,可以采用多種網(wǎng)絡安全技術和協(xié)議,這些技術和協(xié)議各自有一定的使用范圍,可以給電子商務交易活動提供不同程度的安全保障。
1.防火墻技術。防火墻是目前主要的網(wǎng)絡安全設備。防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測、服務。由于它假設了網(wǎng)絡的邊界和服務,對內(nèi)部的非法訪問難以有效地控制。因此,最適合于相對獨立的與外部網(wǎng)絡互連途徑有限、網(wǎng)絡服務種類相對集中的單一網(wǎng)絡(如常見的企業(yè)專用網(wǎng))。防火墻的隔離技術決定了它在電子商務安全交易中的重要作用。目前,防火墻產(chǎn)品主要分為兩大類:基于服務方式的和基于狀態(tài)檢測方式的。例如Check Point Firewall-1 4.0是基于Unix、WinNT平臺上的軟件防火墻,屬狀態(tài)檢測型;Cisco PIX 是硬件防火墻,也屬狀態(tài)檢測型。由于它采用了專用的操作系統(tǒng),因此減少了黑客利用操作系統(tǒng)G)H 攻擊的可能性;Raptor完全是基于技術的軟件防火墻。由于互聯(lián)網(wǎng)的開放性和復雜性,防火墻也有其固有的缺點:(1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護網(wǎng)內(nèi)部不受限制地向外撥號,一些用戶可以形成與Internet的直接連接,從而繞過防火墻;造成一個潛在的后門攻擊渠道,所以應該保證內(nèi)部網(wǎng)與外部網(wǎng)之間通道的唯一性。(2)防火墻不能防止感染了病毒的軟件或文件的傳輸,這只能在每臺主機上裝反病毒的實時監(jiān)控軟件。(3)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復制到Internet主機上并被執(zhí)行而發(fā)起攻擊時,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊,所以對于來歷不明的數(shù)據(jù)要先進行殺毒或者程序編碼辨證,以防止帶有后門程序。
2.數(shù)據(jù)加密技術。防火墻技術是一種被動的防衛(wèi)技術,它難以對電子商務活動中不安全的因素進行有效的防衛(wèi)。因此,要保障電子商務的交易安全,就應當用當代密碼技術來助陣。加密技術是電子商務中采取的主要安全措施, 貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前, 加密技術分為兩類, 即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現(xiàn)在許多機構運用PKI(publickeyInfrastructur 的縮寫, 即“公開密鑰體系”)技術實施構建完整的加密/簽名體系, 更有效地解決上述難題, 在充分利用互聯(lián)網(wǎng)實現(xiàn)資源共享的前提下從真正意義上確保了網(wǎng)上交易與信息傳遞的安全。在PKI 中, 密鑰被分解為一對(即一把公開密鑰或加密密鑰和一把專用密鑰或解密密鑰)。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)通過非保密方式向他人公開, 而另一把則作為專用密鑰(解密密鑰)加以保存。公開密鑰用于對機密的加密, 專用密鑰則用于對加信息的解密。專用密鑰只能由生成密鑰對的貿(mào)易方掌握, 公開密鑰可廣泛, 但它只對應用于生成該密鑰的貿(mào)易方。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是: 貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開; 得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進行加密后再發(fā)送給貿(mào)易方甲; 貿(mào)易方甲再用自己保存的另一把專用密鑰對加密后的信息進行解密。貿(mào)易方甲只能用其專用密鑰解密由其公開密鑰加密后的任何信息。
3.身份認證技術。身份認證又稱為鑒別或確認,它通過驗證被認證對象的一個或多個參數(shù)的真實性與有效性,來證實被認證對象是否符合或是否有效的一種過程,用來確保數(shù)據(jù)的真實性。防止攻擊者假冒、篡改等。一般來說。用人的生理特征參數(shù)(如指紋識別、虹膜識別)進行認證的安全性很高。但目前這種技術存在實現(xiàn)困難、成本很高的缺點。目前,計算機通信中采用的參數(shù)有口令、標識符、密鑰、隨機數(shù)等。而且一般使用基于證書的公鑰密碼體制(PK I) 身份認證技術。要實現(xiàn)基于公鑰密碼算法的身份認證需求。就必須建立一種信任及信任驗證機制。即每個網(wǎng)絡上的實體必須有一個可以被驗證的數(shù)字標識,這就是“數(shù)字證書(Certifi2cate)”。數(shù)字證書是各實體在網(wǎng)上信息交流及商務交易活動中的身份證明。具有唯一性。證書基于公鑰密碼體制,它將用戶的公開密鑰同用戶本身的屬性(例如姓名,單位等)聯(lián)系在一起。這就意味著應有一個網(wǎng)上各方都信任的機構,專門負責對各個實體的身份進行審核,并簽發(fā)和管理數(shù)字證書,這個機構就是證書中心(certificate authorities,簡稱CA)。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進行數(shù)字簽名,產(chǎn)生用戶的數(shù)字證書。在基于證書的安全通信中,證書是證明用戶合法身份和提供用戶合法公鑰的憑證,是建立保密通信的基礎。因此,作為網(wǎng)絡可信機構的證書管理設施,CA主要職能就是管理和維護它所簽發(fā)的證書,提供各種證書服務, 包括: 證書的簽發(fā)、更新、回收、歸檔等。
4.數(shù)字簽名技術。數(shù)字簽名也稱電子簽名,在信息安全:包括身份認證、數(shù)據(jù)完整性、不可否認性以及匿名性等方面有重要應用。數(shù)字簽名是非對稱加密和數(shù)字摘要技術的聯(lián)合應用。其主要方式為:報文發(fā)送方從報文文本中生成一個128b it的散列值(或報文摘要),并用自己的專用密鑰對這個散列值進行加密,形成發(fā)送方的數(shù)字簽名;然后,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方;報文接收方首先從接收到的原始報文中計算出128bit位的散列值(或報文摘要),接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同,那么接收方就能確認該數(shù)字簽名是發(fā)送方的,通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。
四、結束語
電子商務安全對計算機網(wǎng)絡安全與商務安全提出了雙重要求,其復雜程度比大多數(shù)計算機網(wǎng)絡都高。在電子商務的建設過程中涉及到許多安全技術問題,制定安全技術規(guī)則和實施安全技術手段不僅可以推動安全技術的發(fā)展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網(wǎng)絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
參考文獻:
[1]肖滿梅羅蘭娥:電子商務及其安全技術問題.湖南科技學院學報,2006,27
關鍵詞:茂名地區(qū);電力調(diào)度數(shù)據(jù)網(wǎng);網(wǎng)絡概況;網(wǎng)絡優(yōu)化;;調(diào)整研究
1茂名地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡概況
茂名地區(qū)調(diào)度數(shù)據(jù)網(wǎng)一期網(wǎng)絡覆蓋了茂名地區(qū)內(nèi)主調(diào)、備調(diào)及220kV變電站。由于茂名地區(qū)電力光纜網(wǎng)、傳輸網(wǎng)建設相對滯后,網(wǎng)絡通信鏈路、電力傳輸架構、網(wǎng)絡安全可靠性、業(yè)務維護等多方面存在不足,所以電力調(diào)度數(shù)據(jù)網(wǎng)歷經(jīng)2期建設。本文結合茂名電力調(diào)度數(shù)據(jù)網(wǎng)改造項目,對該網(wǎng)進行了優(yōu)化調(diào)整與改造措施。茂名調(diào)度數(shù)據(jù)網(wǎng)工程,分為2期建設,第一期建設茂名地區(qū)調(diào)度數(shù)據(jù)網(wǎng)的骨干、匯聚層節(jié)點和220kV變電站接入節(jié)點,第二期建設茂名地區(qū)110kV變電站接入節(jié)點。自2007年立項建設至今,一期工程建設實現(xiàn)覆蓋茂名地區(qū)內(nèi)主調(diào)、備調(diào)及220kV變電站。地區(qū)調(diào)度數(shù)據(jù)網(wǎng)二期工程建設實現(xiàn)覆蓋110kV(含35kV)變電站及地調(diào)電廠的調(diào)度數(shù)據(jù)網(wǎng)與現(xiàn)有覆蓋220kV變電站及直調(diào)電廠的調(diào)度數(shù)據(jù)網(wǎng)互相獨立建設,同時運行。
1.1一期項目網(wǎng)絡概況
一期調(diào)度數(shù)據(jù)網(wǎng)覆蓋了茂名主調(diào)、備調(diào)及220kV變電站。網(wǎng)絡結構為3層:核心層、匯聚層與接入層,根據(jù)調(diào)度數(shù)據(jù)的業(yè)務流向,采用星型連接的拓撲結構。共配置有4臺核心7750 SR-7路由器,7臺7710 SR-c12及1臺7750 SR-c12匯聚路由器,5臺7710 SR-c4及1臺7710 SR-c12接入路由器,16臺OS6224/6248及1臺MES2548業(yè)務接入交換機。
1.2二期項目網(wǎng)絡概況
地區(qū)調(diào)度數(shù)據(jù)網(wǎng)二期工程應采用IP over SDH的技術體制,符合《廣東電網(wǎng)公司調(diào)度數(shù)據(jù)網(wǎng)建設實施規(guī)范》的規(guī)范要求,網(wǎng)絡采用POS、GE或光纖直連技術組網(wǎng),110kV廠站采用雙鏈路上連至網(wǎng)絡匯聚層節(jié)點,每鏈路帶寬不低于2Mbits。
茂名調(diào)度數(shù)據(jù)網(wǎng)二期網(wǎng)絡架構為3層網(wǎng)絡架構,分別稱為核心層、匯聚層、接入層,各地區(qū)根據(jù)其網(wǎng)絡規(guī)模和調(diào)度管理關系對以上分層進行合并或調(diào)整?,F(xiàn)共有69臺設備,分別為:核心SR8812,共計3臺;匯聚SR8805,共計9臺;接入SR5040,共計54臺;接入交換機SR3660,共計1臺;調(diào)度接入交換機S5500EI,共計2臺。茂名供電局調(diào)度數(shù)據(jù)網(wǎng)二期OSPF區(qū)域拓撲示意如圖1所示。
1.3兩級網(wǎng)絡互連
茂名地區(qū)調(diào)度數(shù)據(jù)網(wǎng)二期工程核心層配置2臺核心路由器,2臺路由器分別通過1條鏈路上連至各地區(qū)現(xiàn)有覆蓋220kV站的調(diào)度數(shù)據(jù)網(wǎng)(將劃歸省骨干調(diào)度數(shù)據(jù)網(wǎng))。為充分利用現(xiàn)有網(wǎng)絡鏈路資源,提高可靠性,此2臺設備及2條鏈路均采用與現(xiàn)有覆蓋220kV站調(diào)度數(shù)據(jù)網(wǎng)核心路由器本地背靠背互連的方式。在本地背靠背互連采用GE接口,2條互聯(lián)鏈路為互為備份的方式(一般設備或鏈路編號小的鏈路為主用鏈路)。主備用互連鏈路應滿足電路無關性要求?;ミB鏈路可用率應達到99.9%,且誤碼率低于10。
2電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡年度定檢
2.1定檢目的
通過檢查調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡系統(tǒng)的軟、硬件設備,分析設備性能、告警、端口資源、鏈路狀態(tài)等是否運行正常,梳理缺陷并跟進整改,確保網(wǎng)絡穩(wěn)定高效運行。
2.2定檢方法
定檢方法可采用網(wǎng)管檢查與現(xiàn)場檢查相結合的方式。網(wǎng)管檢查是利用網(wǎng)管系統(tǒng)對網(wǎng)元的實時數(shù)據(jù)采集功能,實現(xiàn)對網(wǎng)絡設備的遠程狀態(tài)定檢,對比現(xiàn)場檢查,具有內(nèi)容全面、操作簡便、效率高、維護成本低等特點?,F(xiàn)場檢查主要針對機房環(huán)境、光纜空余纖芯以及通信電源。維護人員須前往所轄區(qū)域內(nèi)通信機房,對現(xiàn)場環(huán)境進行檢查,包括溫濕度、清潔度、電源供電、設備接地、配套設施等方面,以保障設備良好的運行環(huán)境。
3系統(tǒng)檢查與運行維護
3.1網(wǎng)管系統(tǒng)檢查
茂名調(diào)度數(shù)據(jù)網(wǎng)采用統(tǒng)一網(wǎng)絡管理,在茂名地調(diào)建設統(tǒng)一調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)管中心,各縣調(diào)運維班組設置網(wǎng)絡維護終端。各縣調(diào)運維班組本地負責運行維護,可通過遠程維護終端發(fā)現(xiàn)、定位網(wǎng)絡故障。良好的網(wǎng)管運行狀態(tài)對網(wǎng)絡數(shù)據(jù)配置、維護有著重要意義與作用,決定著網(wǎng)絡的正常工作、運行與安全。網(wǎng)管是網(wǎng)絡監(jiān)控的核心。茂名調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)管中心配置網(wǎng)絡設備網(wǎng)管和MPLS VPN網(wǎng)管。網(wǎng)管系統(tǒng)定檢內(nèi)容主要包括3點內(nèi)容:網(wǎng)管系統(tǒng)硬件運行狀態(tài)檢查;網(wǎng)管軟件運行狀態(tài)檢查;網(wǎng)管服務器環(huán)境。以上定檢內(nèi)容可全面檢測網(wǎng)管系統(tǒng)目前的運行狀態(tài)。
3.2設備狀態(tài)檢查
設備狀態(tài)檢查是通過網(wǎng)管檢查網(wǎng)絡設備的運行狀況,包括設備性能、告警分析、端口資源、鏈路狀態(tài)等。網(wǎng)管檢查是調(diào)度數(shù)據(jù)網(wǎng)年度定檢的主要內(nèi)容,按照作業(yè)指導書實施定檢,可以有效地發(fā)現(xiàn)設備運行過程中存在的隱患和不足,為網(wǎng)絡維護和網(wǎng)絡優(yōu)化提供依據(jù)。設備定檢內(nèi)容包括10點:硬件狀態(tài)、軟件版本、告警日志、系統(tǒng)配置、安全配置、接口配置、路由協(xié)議配置、路由協(xié)議狀態(tài)、配置合理性和鏈路性能。
3.3運維及整改案例
通過日常設備巡檢和設備運行狀態(tài)定檢可以及時發(fā)現(xiàn)潛在問題或?qū)崟r故障,進而采取應急方案,提出整改建議并按整改措施進行處理,消除網(wǎng)絡隱患,保證茂名地區(qū)調(diào)度數(shù)據(jù)網(wǎng)運行穩(wěn)定。以下簡單舉例:
(1)99%的接入節(jié)點路由器設備的E1端口使用率為100%,且2條上聯(lián)鏈路均集中在同一塊子板卡上,存在鏈路安全隱患。
(2)匯聚層節(jié)點金山站于2013年8月10日曾出現(xiàn)光口子板吊死現(xiàn)象(經(jīng)重新拔插后,該子板恢復正常運行,故障己確認,并消除)。
(3)接入路由器是采用可插拔子板卡組成的,與二次安防鏈接的業(yè)務,均放置在同一塊百兆以太網(wǎng)子板上,存在一定的硬件故障隱患。
可采用以下整改建議:
(1)目前茂名供電局僅備有2塊E1子板卡,調(diào)度二期網(wǎng)絡接入站點比較多,在出現(xiàn)較大范圍的2M板卡故障時,互聯(lián)接入鏈路將無法得到及時的修復,存在單業(yè)務板卡硬件故障安全隱患,建議申購一定數(shù)量的該類E1接口子板,或者在每個接入節(jié)點上增加子板及改變現(xiàn)有2M上聯(lián)方式。
(2)有一些硬件上可能導致設備元器件安全隱患,考慮到調(diào)度數(shù)據(jù)網(wǎng)調(diào)度業(yè)務的重要性,建議多備些備品,以作應急用。
(3)六運站一合水站2M接入鏈路存在不穩(wěn)定現(xiàn)象,經(jīng)現(xiàn)場重新處理2M頭,及線纜重新插拔接觸,該故障己消缺,卻影響了匯聚節(jié)點六運站loopbacko的不可達,經(jīng)過檢查及比對配置,檢查系統(tǒng)log記錄,均沒有發(fā)現(xiàn)異?;蚺渲缅e誤,通過人為遠程關閉該接入端口及重新開啟,該故障消失,loopbacko恢復可管理狀態(tài),己將相關情況反饋給原廠商,作進一步的分析。
4調(diào)度數(shù)據(jù)網(wǎng)故障處理案例分析
4.1分析故障基本情況
220kV榭平嶺阿爾卡特S6224與阿爾卡特S7710-C4 2條互聯(lián)光路均中斷,導致220kV榭平嶺站自動化業(yè)務出現(xiàn)中斷。
4.2故障原因
省調(diào)度數(shù)據(jù)網(wǎng)中調(diào)至220kV榭平嶺站非實時業(yè)務通道中斷。登錄網(wǎng)關后發(fā)現(xiàn),阿爾卡特SR7710-C4與阿爾卡特S6224 2條互聯(lián)光路均中斷,6224設備脫管,導致220kV榭平嶺站非實時業(yè)務均中斷。檢查現(xiàn)場尾纖沒有問題,通過逐段故障排查,發(fā)現(xiàn)光路的(繼保室與通信室24芯DUCT聯(lián)絡光纜2)部分纖芯衰耗過大,使得路由器收光過低,是光路中斷引起的。
4.3故障處理
將阿爾卡特SR-C4至S6224 2條聯(lián)絡光路轉(zhuǎn)至第1芯、2芯、3芯、4芯,11時10分,光路恢復正常,相應的非實時業(yè)務也恢復正常。通過申請2016年技改,更換220kV榭平嶺站(繼保室與通信室24芯DUCT聯(lián)絡光纜2),徹底消除患。
5優(yōu)化調(diào)整
茂名市電力調(diào)度數(shù)據(jù)網(wǎng)的優(yōu)化調(diào)整改造工程,對于省網(wǎng)部分,主要通過鏈路調(diào)整、匯聚點降級為接入點的方式進行;對于地網(wǎng)部分,則通過新建匯聚層,并將110kV站點割接至該匯聚層的方式進行:(1)現(xiàn)有的核心設備可作為省網(wǎng)的核心使用,改造相應的核心設備均部署在茂名局通信中心機房,實現(xiàn)核心層拓撲結構設計。(2)采用將其從匯聚點降級為接入點的方式進行,并將其上聯(lián)鏈路由155M的POS鏈路調(diào)整為E12M鏈路進行匯聚層網(wǎng)絡結構方式的調(diào)整。各匯聚點的2條鏈路采用分別通過不同的傳輸網(wǎng)承接的方式開通,增強網(wǎng)絡通道的生存性。(3)對于省級調(diào)度數(shù)據(jù)網(wǎng)220kV和地區(qū)網(wǎng)的110kV接入節(jié)點,根據(jù)其業(yè)務流向,接入層節(jié)點將采用星型連接的拓撲結構,進行接入層網(wǎng)絡結構方式的調(diào)整,就近接入到匯聚節(jié)點。(4)電力調(diào)度數(shù)據(jù)網(wǎng)承載業(yè)務中對實時業(yè)務包括調(diào)度自動化、繼電保護管理信息等執(zhí)行控制命令,提高實時性要求;非實時業(yè)務中電能量計量等對實時性要求低執(zhí)行監(jiān)測,進行業(yè)務接入方式的調(diào)整。