安全防御装置范文

安全防御装置范文（精选7篇）

安全防御装置 第1篇

1 检测装置的系统设计

考虑到同塔双回输电线路两回线间存在较大的电磁耦合和静电耦合, 该安全防御装置采用如下设计方案:作业人员按原来的方式挂接和拆除地线, 在检修完成后、合闸送电之前, 使用安全防御装置检测是否存在漏拆的临时接地线。安全防御装置的结构如图1所示。装置包括一组经过改造的检测用临时地线、感性参考信号单元、控制芯片、电源模块以及无线模块。在合闸送电前, 管理主机发送查询信号给无线模块, 查询线路上是否还有未拆除的临时地线, 并根据查询结果将“闭锁操作”以及“允许合闸送电”操作信号发送给五防机。

安全防御装置的检测判据:检测地线上的电流与感性参考信号单元的电流其幅值若小于两者之间较大的电流幅值, 则可判定临时接地线已全部拆除;反之其幅值若大于两者之间较大的电流幅值, 则判定线路上存在漏拆的临时接地线, 同时通过GPRS网络传输给调度中心, 实现强制闭锁保护。

2 检测原理及装置硬件设计

2.1 检测原理

同塔双回输电线路一回正常运行, 另一回停电检修时, 两回线间同时存在静电耦合和电磁耦合, 停运线路上存在较大的感应电压和电流。为了确保检修人员的人身安全和设备的正常工作, 需要在停运线路上挂接临时地线。检修工作完成后、合闸送电之前, 为了确保挂接的地线全部拆除, 将装置的检测地线挂接在停运线路上。若线路上挂接的临时地线已全部拆除, 则相当于停运线路单端接地, 此时由于停运线路上的感性感应电流没有通路, 所以感性感应电流为0, 检测地线上的电流主要为静电感应电流呈容性;若线路上存在漏拆的临时接地线, 则相当于同塔双回输电线路双端或多端接地, 停运线路上的容性感应电流通过停运线路双端接地线流入大地, 停运线路因为电磁感应将形成感性感应电流, 检测地线上的电流以感性电流为主[9]。

同塔双回输电线路接地安全防御装置结构如图2所示。

图2中Ⅰ回线正常运行, Ⅱ回线停电检修。S为远端接地刀闸, 用来模拟未拆除的地线, 在实际中并不存在。检测地线上装设电流互感器, 感性参考信号单元用于提供标准的感性电流, 由感性元件与运行回线上的电压互感器二次侧电压产生, 单片机的输出端与蜂鸣器、“存在漏拆地线”指示灯LED1、“无漏拆地线”指示灯LED2相连。参考电流产生电路与检测地线互感器采用联动开关, 以确保两者能够同时闭合。R1、R2、R3为指示灯和蜂鸣器的限流电阻, 其阻值为1 kΩ。

根据IEC标准, 500 k V的B类接地开关开、合感应电流的额定参数为额定感性电流200 A、额定容性电流25 A (均为有效值) 。安全防御装置中采用电流互感器将地线上的大电流变换为数量级为10 A的小电流, 防止地线上的大电流对人身安全和设备的正常工作造成伤害。安全防御装置工作时, 单片机的A/D转换器将电流互感器的二次侧模拟电流转换为数字信号送入单片机的一个输入端;标准感性参考电流经过单片机的A/D转换器也送入单片机一个输入端, 其数量级也为10 A。同塔双回输电线路上存在未拆除的临时地线时, 安全防御装置地线上流过的电流与参考电流同为感性电流, 其幅值大于检测电流和参考电流的幅值, 单片机根据这一判定结果, 点亮“存在漏拆地线”指示灯LED1和蜂鸣器, 信号指示灯和蜂鸣器互为备用, 确保能够可靠发出警报信号, 检修人员即可及时巡视, 同时单片机驱动无线模块将操作信息发送给调度中心的管理主机, 管理主机与五防机通信以实现强制闭锁保护, 从技术层面避免带地线合闸事故的发生。

2.2 装置硬件设计

该安全防御装置检测部分主要由单片机、电源模块、指示灯、蜂鸣器以及PWM输出驱动电路组成。

单片机选用国产的STC12C5A60S2系列单片机, 其运算速度快、可靠性高、功耗低、抗静电能力与抗干扰能力强, 工作电压为5 V, 工作频率为0~35 MHz。STC12C5A60S2能够通过串口直接下载用户程序, 具有10位精度的ADC, 可实现高速A/D转换, 能在-40℃~+80℃正常工作。

为了满足便携式测量的要求, 所设计的安全防御装置采用5 V可充电锂电池作为单片机的直流供电电源。考虑到安全防御装置经常用于户外作业的特点, 指示灯需要选择亮度高、功率小的元件。某LED公司生产的有磷砷化镓红色发光二级管与磷化钾材料做成的绿色发光二级管, 最高可承受70 V的反向电压, 正常工作电流为2~20 m A, 发光亮度较高, 能够满足户外使用的需求, 安全防御装置采用该公司提供的此类产品作为装置的检测结果指示灯。蜂鸣器选用某公司生产的5 V 12085蜂鸣器。指示灯供电的供电电源电压为5 V, 发光二极管的工作电流为2~20 m A, 由此可知, 限流电阻的最小值为250Ω, 最大值为2.5 kΩ。为降低功耗, 最终选择阻值1 kΩ功率1 W的电阻元件。

2.3 软件设计

该安全防御装置主要以电流幅值作为判据, 检测流程如图3所示。地线电流和参考电流应严格实现同步采样, 否则会有较大误差。联动开关闭合后, 采样点应均匀分布在一个信号周期内。闭合开关后, 单片机对采集数据进行A/D转换, 并将检测电流与感性参考电流进行求和计算。若幅值小于两者中幅值的较大值, 可判定参考电流信号与检测信号反极性, 则此时流过检测地线的电流为容性的感应电流, 说明临时地线已全部拆除, 单片机驱动“无漏拆地线”指示灯LED2发光同时驱动无线模块发送信号给管理主机, 管理主机发信给五防机允许合闸送电;若幅值大于两者幅值的最大值, 则认为两者同极性, 流过检测地线的电流为感性, 说明线路上存在漏拆的临时地线, 单片机驱动蜂鸣器发声、“存在漏拆地线”指示灯LED1发光, 同时驱动无线模块发送操作信息至管理主机, 管理主机发信给五防机实现强制闭锁, 避免因人为误操作造成的带地线合闸事故。

3 通信方式的选择和实现

现场检测终端与管理主机之间的通信依靠GPRS (General Packet Radio Service) 。GPRS是通用无线分组业务的英文简称, 基于GSM系统的无线分组交换技术, 提供端到端、广域的无线IP连接。在原有GSM网络上, GPRS网络增加SGSN (GPRS服务支持节点) 以及GGSN (网关GPRS支持节点) 两种数据交换结点设备, 用户可以在端到端分组方式下发送和接收数据, 同时兼容电路型数据和分组交换数据, 从而GPRS网络能够和因特网互相连接。

3.1 GSM网络的可行性分析

将数据以分组的形式发送给目标用户, 可以最大程度地保证数据的传送, 各个数据包由不同的路径到达目的地。与传统的GSM网络相比较, GPRS网络具有以下优点[10]。

1) 可充分利用全国范围的电信网络, 具有覆盖面广、接入范围大、系统构建便捷、运行成本较低等特点。

2) 传输速率高, 理论数据传输速率可高达171 kbps, 应用下一代的改进型GPRS技术 (EDGE) , 甚至可以提供384 kbps带宽的广域数据通信服务。

3) GPRS登录接入等待时间短, 可快速建立连接。

4) 提供实时在线功能, 用户将处于“永远在线”状态, 不必频繁建立连接, 传输延迟相对稳定。

5) 收费合理, 即使用户一直“在线”, 但只按流量收费, 性价比较高。

对同塔双回线进行检修时, 经常需要多组接地线同时进行, 接地线的悬挂地点分散, 而且工作时间不固定。地域上的分散性决定了通信系统的覆盖面要很大, 工作时间的不固定则要求系统的通信方式能够灵活地组网, 快速进入工作状态。GPRS的上述特点非常适用于间歇、突发、频繁、小流量的数据传输, 同时对偶有大流量数据传输也能承受, GPRS能够很好的满足装置的通信任务。

3.2 通信模块的硬件实现

无线模块采用华为公司的GTM900C模块, 该模块具有标准的AT命令接口, 内部集成了TCP/IP协议栈, 使用时不必编写相关的IP协议程序, 直接可以通过其内嵌协议进行GPRS上网传递数据[11]。GTM900C模块接口简单, 使用方便且功能强大, 只需要单一的电源即可工作, 电流最大峰值可达2 A。该模块通信的最大速率可以达到15 200 bps, 支持800 MHz/900 MHz/1800 MHz频段自动选择, 具有语音通信、短消息服务、无线数据传输等功能。GTM900C模块工作温度范围大, 抗干扰能力强, 与单片机间通过标准RS232串行接口进行通信, 能够满足防御装置户外工作的需要。

4 与微机五防系统结合

微机五防系统从结构上分为站控层、间隔层、过程层3个层次。每个层次负责不同的功能。站控层能够完成操作票的模拟、防误逻辑的判断、实时状态的采集等工作;间隔层用于有线、无线网络的通信、解闭锁控制等功能, 主要元件包括分布式控制器、网络控制器、无线路由器、无线电脑钥匙等;过程层完成的是闭锁各种设备的功能, 由智能锁具、普通编码锁等构成。

同塔双回线接地安全防御装置与微机五防系统的配合, 相当于将防御装置作为微机五防系统中站控层的一部分, 负责接地情况的实时采集工作, 通过五防系统间隔层, 利用有线通信的方式将信息发送给微机五防系统, 由五防系统根据接受信息的内容完成解闭锁操作。只要将信息按照微机五防系统的通信规约加以编译, 将编译后的信息发送给微机五防系统站控层的五防主机, 五防系统即可根据接收的信息完成相应设备的解闭锁操作。

5 结论

1) 同塔双回线接地安全防御装置通过检测地线上电流的性质来判断是否存在漏拆的临时接地线, 可以有效地解决传统检测装置受电磁干扰和静电干扰而无法正常工作的问题, 技术路线可行, 灵敏度高。

2) 使用该安全防御装置进行地线检测, 仍可以按照原有的方法挂接和拆除接地线, 只在合闸送电前使用本装置进行“验地”, 几乎不增加工作量, 操作简单, 具有很强的实用性。

3) 该安全防御装置无需外加交流电源, 只是利用运行线路的电压互感器二次侧电压构成了参考电流产生回路, 便于携带, 耗材少, 便于管理。

4) 该安全防御装置能够与五防系统配合, 实现强制闭锁保护, 从根本上避免带地线合闸事故的发生。

摘要：为了避免同塔双回线带地线合闸事故造成人员伤亡和设备损坏, 笔者分析了同塔双回输电线路间距较小、感应电较大的原因, 设计了基于GPRS (General Packet Radio Service) 的同塔双回输电线路接地安全防御装置。该装置利用感性电流和检测地线电流的和信号幅值来判断地线的挂接情况, 通过GPRS无线模块将操作信息发送给调度中心, 并与五防系统配合实现强制闭锁保护, 能够有效地避免人为误操作造成的带地线合闸事故。

关键词：同塔双回线,临时地线,幅值比较,GPRS,安全防御装置

参考文献

[1]杨金东, 孙鹏, 何蕊华.高压直流融冰的地线节能改造研究[J].科学技术与工程, 2012 (25) :6470 6475.YANG Jindong, SUN Peng, HE Ruihua.The ground wires energy-saving alternation research of hvdc melting[J].Science Technology and Engineering, 2012 (25) :6470 6475.

[2]胡毅, 王力农, 刘凯, 等.750 k V同塔双回输电线路带电作业技术研究[J].高电压技术, 2009, 35 (2) :373 378.HU Yi, WANG Linong, LIU Kai, et al.Research on live working on 750k V double circuit ac transmission line[J].High Voltage Engineering, 2009, 35 (2) :373 378.

[3]徐俊杰, 许先锋, 杜红卫, 等.电网智能操作票管理系统[J].电力自动化设备, 2009, 29 (11) :98 101.XU Junjie, XU Xianfeng, DU Weihong, et al.Intelligent operation order management system of power network[J].Electric Power Automation Equipment, 2009, 35 (2) :373 378.

[4]李燕青, 赵亮, 王飞龙, 等.信号源激励法在判断线路是否挂接地线中的应用[J].电测与仪表, 2013 (1) :27 31, 111.LI Yanqing, ZHAO Liang, WANG Feilong, et al.Application of signal source excitation in determining whether any ground-wire is linked to the power line[J].Electrical Measurement and Instrumentation, 2013 (1) :27 31, 111.

[5]胡毅.输电线路运行故障的分析与防治[J].高电压技术, 2007 (3) :1 8.HU Yi.Analysis on operation faults of transmission line and countermeasures[J].High Voltage Engineering, 2007 (3) :1 8.

[6]刘仁琪, 吕晓俊, 黄进.临时接地线综合管理系统的开发和应用[J].电力系统自动化, 2010, 34 (22) :109 112.LIU Renqi, LV Xiaojun, HUANG Jun.An integrated temporary grounding line management system[J].Automation of Electric Power Systems, 2010, 34 (22) :109 112.

[7]F.M.GATTA, A.GERI, S.LAURIA.Backflashover Simulation of HV Transmission Lines with Concentrated Tower Grounding[J].Electric Power Systems Research, 2005, 73 (3) :373381.

[8]赵华, 阮江军, 黄道春.同杆并架双回输电线路感应电压的计算[J].继电器, 2005 (22) :42 45, 57.ZHAO Hua, RUAN Jiangjun, HUANG Daochun.Calculation of inductive voltage of double circuit transmission line[J].Relay, 2005 (22) :42 45, 57.

[9]施围, 郭洁.电力系统过电压计算[M].北京:高等教育出版社, 2006.SHI Wei, GUO Jie.Calculation of power system overvoltage[M].Beijing:High Education Press, 2006.

[10]陈琦, 丁天怀, 李成, 等.基于GPRS/GSM的低功耗无线远程测控终端设计[J].清华大学学报 (自然科学版) , 2009 (2) :223 225, 231.CHEN Qi, DING Tianhuai, LI Cheng, et al.Low power wireless remote terminal design based on GPRS/GSM[J].Journal of Tsinghua University (Science&Technology) , 2009 (2) :223 225, 231.

浅析网络安全防御 第2篇

现代计算机系统功能日渐复杂, 网络体系日渐强大, 正在对社会产生巨大的影响, 但同时网络易受黑客、恶意软件和其他不轨的攻击, 所以使得安全问题越来越突出。因此, 要提高计算机网络的防御能力, 加强网络的安全措施。网络的防御措施应能全方位地针对各种不同的威胁和脆弱性, 这样才能确保网络信息的保密性、完整性和可用性。

2 计算机网络安全面临的威胁

影响计算机网络安全的因素很多, 归结起来, 针对网络安全的威胁主要有4个方面:1) 实体摧毁:实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。2) 无意失误:如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。3) 黑客攻击:这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击, 以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察, 他是在不影响网络正常工作情况下, 进行截获、窃取、破译以获得对方重要的机密信息。4) 网络软件的漏洞和“后门”:网络软件不可能是百分之百无缺陷和无漏洞的, 然而, 这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。

3 计算机防御对策

根据网络作战的目标范围, 网络作战模型包含4个层次:第1层次, 实体层次的计算机网络对抗;第2层次, 能量层次的计算机网络对抗;第3层次, 信息层次 (逻辑层次) 的计算机网络对抗;第4层次, 感知层次 (超技术层次) 的计算机网络对抗。针对不同层次对抗, 计算机网络防御应采取相应的对策。

3.1 实体层次防御对策

实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体, 完成目标打击和摧毁任务。在平时, 主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动;在战时, 通过运用高技术明显提高传统武器的威力, 直接摧毁敌方的指挥控制中心、网络节点以及通信信道。这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

在组建网络的时候, 要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择, 加固重要的网络设施, 增强其抗摧毁能力。与外部网络相连时, 采用防火墙屏蔽内部网络结构, 对外界访问进行身份验证、数据过滤, 在内部网中进行安全域划分、分级权限分配。对外部网络的访问, 将一些不安全的站点过滤掉, 对一些经常访问的站点做成镜像, 可大大提高效率, 减轻线路负担。网络中的各个节点要相对固定, 严禁随意连接, 一些重要的部件安排专门的场地人员维护、看管, 防止自然或人为的破坏, 加强场地安全管理, 做好供电、接地、灭火的管理, 与传统意义上的安全保卫工作的目标相吻合。

3.2 能量层次防御对策

能量层次的计算机网络对抗是敌对双方围绕着制电磁权而展开的物理能量的对抗。敌对方通过运用强大的物理能量干扰、压制或嵌入对方的信息网络、乃至像热武器一样直接摧毁敌方的信息系统;另一方面又通过探测物理能量的技术手段对计算机辐射信号进行采集与分析, 获取秘密信息。这一层次计算机防御的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰, 在重要部位安装干扰器、建设屏蔽机房等。

3.3 信息层次防御对策

信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统, 保护己方的网络系统的对抗。主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗, 芯片陷阱等多种形式, 防御对策主要是防御黑客攻击和计算机病毒。

3.3.1 防御黑客攻击

黑客最常用的手段是获得超级用户口令, 他们总是先分析目标系统正在运行哪些应用程序, 目前可获得哪些权限, 有哪些漏洞可加以利用, 并最终利用这些漏洞获取超级用户权限, 再达到目的。因此, 对黑客攻击防御, 主要从访问控制技术、防火墙技术和信息加密技术入手。

1) 访问控制:访问控制是网络安全防范和保护的主要策略, 他的主要任务是保证网络资源不被非法使用和非常访问。2) 防火墙技术:防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 他是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进/出2个方向通信的门槛。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型。3) 信息加密技术:信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。

信息加密过程是由形形色色的加密算法来具体实施, 他以很小的代价提供很大的安全保护。如果按照收发双方密钥是否相同来分类, 可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中, 收信方和发信方使用相同的密钥, 即加密密钥和解密密钥是相同或等价的。在公钥密码中, 收信方和发信方使用的密钥互不相同, 而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用, 比如:利用DES或者IDEA来加密信息, 而采用RSA来传递会话密钥。

3.3.2 防御计算机病毒

如果说, 黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。防御计算机病毒, 首先要进行计算机病毒的种类、性能、干扰机理的研究, 加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御技术的研究。

3.4 感知层次 (超技术层次) 防御对策

感知层次 (超技术层次) 的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式, 如国内外敌对势力利用计算机网络进行反动宣传, 传播谣言, 蛊惑人心, 进行情报窃取和情报欺骗, 针对对方军民进行心理战等, 就已经超出网络技术设计的范畴, 属于对网络的管理、监察和控制的问题。

4 结束语

浅析无线网络安全防御 第3篇

1 无线网络攻击类型

无线网络攻击类型有很多种, 这里只是针对以下常用的几种攻击类型进行介绍:

1.1 无线AP的伪造

攻击者窃取目标无线网络密钥, 然后在目标无线网络附近架设一台AP, 采用相同或近似SSID, 这样就完成了AP的伪造。伪造AP的目的有多种:实现中间人攻击;建立大量虚假AP信号, 破坏正常通信;还有私自在企业内部搭建AP、破坏现有的内外网隔离架构。

1.2 无线网络钓鱼

它是有线网络钓鱼的延伸, 目的是获取用户名、口令、信用卡等个人敏感信息。首先, 攻击者要获取无线网络密钥、伪造AP, 当移动端与伪造AP建立连接时, 攻击者截取流量进一步攻击。通过获取WEB邮箱登录密码, 分析用户信息, 架设金融机构的钓鱼网站, 发送欺骗性的垃圾邮件, 获得个人敏感信息后, 进行资金转账等行为。

1.3 无线DOS攻击

DOS (Denial of Service) 是指故意攻击目标系统, 使其不能提供正常服务或资源访问的一种网络攻击。无线DOS是有线DOS的延伸。下面介绍几个常见的无线DOS的方式:

(1) 验证洪水攻击, 也称为Authentication Flood Attack。攻击者向AP发送大量的伪造的身份验证报文, 当报文数量超过AP处理能力时, AP将断开已有服务连接。原来已经过验证, 并且与AP建立关联的客户端将不能进行资源访问。

(2) 取消验证洪水攻击, 也称为De-authentication Flood Attack。是指攻击者对已验证、已关联的客户端发出取消身份验证报文, 客户端以为该信息来自AP, 自行切断连接。即使客户端还要重新连接AP, 但是攻击者会持续攻击, 连接后很快又会断开。

(3) 关联洪水攻击, 也称为Association Flood Attack。是指攻击者发送大量的、伪造的无线客户端关联到AP的客户端关联表, 以致AP的客户端关联表满, AP将拒绝服务。

(4) 射频干扰攻击, 也称为RF Disruption Attack。是指攻击者发出干扰射频信号, 破坏正常通信。分为全频道阻塞干扰和瞄准式干扰。

2 无线网络的安全防护

2.1 搭建基本安全防护体系

检测无线网络使用环境, 变更危险设置, 例如: (1) 无线AP的监控和管理。要对那些必须放在开放位置的内部无线AP增加视频监控, 防止人为偷换、破坏;要对内部员工私设的无线AP定期进行线路和信号检测, 检测有无异常信号;无线AP登录密码要设置成复杂结构的密码, 防止密码轻易窃取。 (2) SSID的设置管理。SSID的设置要复杂, 并且要定期更换;要禁止SSID广播, 防止伪造AP的现象发生。 (3) 加密设置管理。不能单独使用WEP加密, 要同时启用WPA/WPA2加密才可以, 防止窃取密钥;要启用MAC、IP地址过滤防止网络攻击。

2.2 无线攻击解决方案

(1) 使用无线抓包工具 (如:Omni Peek、airodump-ng for linux等) 进行流量分析、确定攻击类型;也可以使用无线信号探测工具 (Net Stumbler、Kismet、Wi Fi Fo Fum等) 确定攻击者的具体位置。针对攻击类型进行网络防护, 例如, 如果是DOS攻击, 可采取一些方法:对于网络, 路由器和防火墙配置得当, 使用入侵检测系统, 检测异常行为。对于系统, 升级系统内核, 打上必要的补丁, 特别是一些简单的DOS攻击;关掉不必要的服务和网络组件;如果有配额功能的话, 正确地设置这些配额;监视系统的运行, 避免降低到基线以下;检测系统配置信息的变化情况。保证物理安全, 建立备份和恢复机制。

(2) 无线IDS/IPS的部署。防火墙类似于建筑物的门, 防止未授权的用户进入;IDS类似于建筑物中的报警设备, 当非法用户进入, 响起警报;IPS类似于关键部门的警卫, 防止非法人员进入。IDS是指被动监控网络流量, 通常部署在网络内部;IPS主动的在线部署, 可以实时阻断恶意代码攻击, 通常部署在网络边界。为了让系统安全、稳定地运行, 可以把IDS与IPS有效结合起来, 合理部署。利用IPS实现对外部攻击的防御, 利用IDS可以提供针对企业信息资源全面的审计资料。

3 结语

无线网络在未来扮演着越来越重要的角色, 同时, 无线网络安全问题一直是无线网络关注的重点问题。无线网络安全防护除了上述的方法, 还可以在无线网络安全整体建设、规划、部署上进行进一步探讨。

参考文献

[1]宫传盛.浅谈无线网络的安全[J].科技信息, 2013 (3) :110

[2]张博, 高松.无线网络安全技术分析[J], 信息安全, 2013]

[3]黎连业, 王安, 李龙.无线网络与应用技术[M].清华大学出版社, 2013

关于人身安全的雷电防御 第4篇

1 雷击地面物的规律

雷电伤人一般有一定的规律可循。其一, 突出地面越高的物体越易遭雷击。当闪电先导通道下窜距地面约二三十米左右时, 在雷雨云下方的物体尖顶 (或尖端) 处发生主放电, 以几百安培的电流把雷雨云与大地间的气隙击穿。在地面突出物上方发生回闪放电的概率最大, 因为在地面导体尖端处附近聚集的导电粒子最多, 那里的电场最强。其二, 闪电放电通道通常不是直线, 而是曲曲折折的, 它沿着导电率较强的带电微粒聚集的路径伸展。其三, 水的电导率较高, 物体若被雨水淋湿等于穿上一层导电外衣。因此, 在雷雨时, 淋湿的树木、墙壁等千万靠不得。池塘、河岸、水稻田、低洼潮湿地方都极易落雷, 在近水处雷击死伤人数远多于其他情况的原因。总之, 突出地面越高的物体, 导电性越好的物体就越容易遭到雷击。

2 关于人体的雷电防御

2.1 不做地面的突出物

一般来说, 地面突出物体易遭雷击。由此, 人体防御雷电要遵守两大原则:一是要尽量降低自身的高度, 不要使自己的身体成为地面的突出物。由此, 在雷雨时, 一定不要在平坦的马路上骑马、骑自行车、驾驶摩托车或敝蓬拖拉机等等, 因为此时你可能成为周围环境的突出物而招引雷击。当然也不能携带铁制品与身上, 因为这样会增加自己被雷击的几率。同时, 如果自己身处没有较自己突出物体的地方, 手举雨伞也是非常危险的。二是要尽量减少自身与地面的接触面积, 最好的办法是就地寻找低凹之处。如果寻觅不到这样的地方, 可以就地双脚并拢蹲下, 一方面可以减低自身的身高, 同时也避免跨步电压的危害。

除了降低自身身高之外, 借助地面突出物进行避雷也是不可取的。因为一旦说雷电击中这些突出物, 那么瞬间就会产生接触电压、旁侧闪击相跨步电压, 进而也会危及到自身, 严重者甚至会毙命。在此, 必须要纠正一个错误的观点, 并不是很高的物体才有受雷击的危险, 那些低矮的突出物也是非常有危险的。像孤立的小亭子、小草棚、干草垛、土丘、坟头等, 虽然他们相对来说高度不是很高, 但是一旦被雷电击中会产生较平地更大的危险性。因为很有可能他们会因为雷击而引起火灾或者是坍塌, 进而导致自身的身体伤害。

2.2 不要接触地面导电较好的物体

地面导电较好的物体可以引发雷击是一个不争的事实, 这些导电较好的物体包括了金属、水源等等。由此, 做好雷电防御, 必须要远离这些物体。最好不要到湖泊、河海处钓鱼和划船, 也不要去游泳, 因为这些导电体是雷电流的良好通路。在大雷雨的时候, 也不要接触金属制品, 或者是站在金属制品的旁边, 只有这样才能有效的预防接触电压、旁侧闪击和跨步电压。在农村, 人应尽量避免在有烟囱的灶前操作。因为烟囱里的烟是良好的导体, 高的烟柱吸引着闪电, 炽热的气柱也有同样的作用。而对于雷雨中出现电力线、通信线断落的情况时候, 一定不要擅动, 应该派遣专门的人员看护, 严禁人畜靠近, 并及时通知相关维修人员及时进行抢修。

在雷雨来临的时候, 严格意义上待在屋内是比较安全的。但是, 近些年也不乏许多在屋内被雷击伤亡的例子。主要原因在于当下随着经济水平的提高, 屋内安装电子产品的居民是大大增加, 不少舍内雷击事件的产生多是由于这些电子产品的引雷入室。鉴于此, 在雷电多发地区, 或有条件的住宅及办公楼、车间、机房、厂房、实验室等处, 可在户内安装雷电保护器, 它可使沿电线入室的雷电流对地短路。一般情况下, 雷雨时.最好将电视机、收音机音响无线电台的室外天线及时直接接地, 并且最好让室内的电子设备与室外天线断开。除非十分紧急的情况下, 最好不要在雷雨时使用电话, 在农村旷野中的住户尤应注意这一点。

2.3 做好雷击伤人后的救护工作

雷电致人死亡通常有两种情况, 一种是雷电流导致人心脏纤维性颤抖, 导致血液停止。第二种雷电流击中人体的呼吸中枢, 导致呼吸停止。有的时候也会产生假死的现象, 呈现为没有心跳和呼吸, 但是在进一步的抢救中却可以苏醒过来。一般来说, 如果一个人不幸被雷电击中, 但是尚且存在呼吸, 十之八九还是可以再生还的。但是, 很多情况下, 人们并不了解这种情况, 尤其是在农村, 不少人把遭雷击后昏迷的人当做死人进行了处理, 不知“死击”还可能有回生的可能。所以, 做好做好雷击伤人后的救护工作, 也是非常有必要的。

当发现伤者开始有心跳时, 要及时给予抢救, 每五分钟要对其进行一次嘴对嘴的人工呼吸。如果发现伤者已经没有心跳了, 那么就要对其心脏和呼吸一齐进行急救。可以选择将伤者背部朝下平躺在地面, 然后有手掌的下部用力的按压其胸膛, 压在腕骨下半部和肋骨之上, 大约一分钟一次的时间或者是更快。要保证每按压胸部十五次, 就要进行两次嘴对嘴的人工呼吸, 如此交替进行抢救, 可取的良好的效果。如果身边还有可以帮助的人员, 两个人可以同时进行救护, 一个人按照一秒钟一次的频率按压伤者的胸部。另一个人则要每按压胸部五次, 就要进行一次人工呼吸。这样的救护工作应该持续到伤者心脏恢复跳动和呼吸开始为止, 或者是等到专业人士的到来。当然在有条件的地方, 当发现有被雷击伤者的, 最好立马送到医院进行紧急抢救。

参考文献

[1]周炳辉, 林坚, 张其敏.从一宗雷击事故看如何加强遂溪县农村雷电防御工作[J].气象研究与应用, 2010 (, S2) :172-173.

[2]徐立农, 卢海芝.雷电防御中对暂态电位升高引起雷电反击的处理[J].青海气象, 2007 (, S1) :39-40.

校园无线网络安全综合防御 第5篇

随着带有无线功能笔记本的普及,校园内无线需求激增。无论是教师或者是学生都希望在校园内随时随地接入网络,因此无线校园网迅速得到了普及。但是由于无线网络采用的是公共电磁波,类似早期的HUB,任何人都有条件窃听或干扰信息。使用Omni Peek等抓包工具分析后,能够比较容易的免费上网甚至入侵学校的服务器[1]。2008 WPA加密首先已经被国外人员率先破解[2]。最近,Elcomsoft推出Elcom Soft Distributed Password Recovery分布式密码暴力破解工具,能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍。由于软件还允许数千台计算机联网进行分布式并行计算[3],无线网络受到的极大的威胁。

1 传统的无线安全措施及其缺点

1.1 软件安全设置及其优缺点

传统的软件安全设置主要包括修改默认的SSID并禁止广播和设置黑白MAC地址名单并绑定相应的VLAN[4,5]。

每个无线网络都有一个服务区标识符(SSID),类似windows中的域,只有SSID相同的无线客户端(STA)才能通过AP(无线接入点)接入网络。为适应商业网络STA经常流动的需要,无线交换机通常默认启用SSID的广播。因为校园网的上网成员相对固定,因此,有必要禁用SSID广播来提高网络的安全性。通常设备制造商都在他们的产品中设了一个默认的SSID。例如思科linksys设备的SSID通常是“linksys”,TP-LINK的为“TP-LINK”。修改以阻止非授权的无线客户端通过猜测来进入该网络是最基础的防护手段。

理论上说,任何一个网络设备都一个独一无二的物理地址,称之为MAC地址。因此,在无线交换机上可以设置黑白名单:在黑名单上可以禁止一些MAC用户接入,白名单为合法用户,允许接入。

不过,上面的两条安全措施仅仅只能在一定程度上防止网络入侵。例如在XP系统下,用户很容易修改自己网卡的MAC地址。另外,通过对无线抓包软件的仔细分析后,也可以得到白名单的MAC地址。即使接入点禁止广播SSID,在客户端和接入点之间来回传送的流量最终也会暴露出SSID。即使攻击者并非刻意监控RF频段,也可在上述传输过程中通过无线抓包软件嗅探到SSID,因为它是以纯文本格式发送的。

1.2 无线加密传输及其优缺点

由于WEP天然的缺陷[6],所以很快推出了WPA。802.11i规定了两种企业级加密机制,分别是:TKIP(临时密钥完整性协议)和AES(高级加密标准),这两种加密机制已分别被Wi-Fi联盟纳入WPA和WPA 2认证中。

由于WPA TKIP协议的缺陷,破解者可以得到通信的密钥,从而看到通信的数据。但是,由于WPA协议采用的是每一节点均使用一个不同的密钥对其数据进行加密,因此不存在全部破解的问题,看到的仅仅某个用户的数据。因此,校园网用户不必草木皆兵。在关键区域,用户可以采用其它的通信加密措施,让整个通信过程更安全。比如可以使用VPN系统配合WPA进行工作,这样即使数据被截获,也无法看到真正的信息。

由于加密会耗费无线交换机的CPU资源,尤其在低档的校园无线交换机上,无线网络的安全特性极大影响传输性能。多次测试表明,当采用WEP128位加密传输模式时,网络传输性能会损失28%-75%,传输性能的损失与交换机CPU处理速度直接相关。

2 综合无线安全防护措施

软件和加密协议简单易行,但是仅仅靠上述方法无法实现校园网络的安全。而应该和其他手段共同配合来提高安全性。

2.1 天线的合理选用和布局

WLAN是工作在2.4G或者5.8G频段。由于频点很高,因此穿墙的能力非常弱,只能穿过一般的门窗。由于考虑的成本和覆盖范围考虑,不少学校AP配置的天线为杆状全向天线。这种天线向周围均匀发射,造成覆盖范围过大,使得入侵者很容易收到信号,从而入侵网络。在校园的不同区域,应该选用不同的天线类型和安装方式。比如在普通教学区域,可以把AP布放在走廊边,采用吸顶式定向天线伸出天花板进行安装。如下图所示。吸顶天线与平常使用的全向天线不同,它在内部设计上增加了一个反射板,把辐射更多地向下反射,能够提高辐射范围的信号强度。使得覆盖范围内信号很强,也覆盖范围之外信号变得非常弱(因为天线方向向下)。一方面可以实现有效覆盖。另外,其他楼层来说由于是定向天线,加上穿过楼板后信号衰减,网络不能覆盖。因此入侵网络基本变得极其困难。吸顶式天线价格很便宜,仅仅几十元,很容易推广。

在操场开阔地区,应该采用全向天线以加强覆盖。但是在天线选址的时候一定要注意尽可能的在操场中间,避免无线信号覆盖校园其他部位。为了防止非法用户入侵,还应该加上其他身份认证措施。

2.2 合理配置AP发射功率

如果能够满足覆盖要求的话,一定要设法降低AP的发射功率。功率降低会减少对其他AP的干扰,因为覆盖范围有限,又降低了网络入侵的可能性。对于H3C无线AP来说,多数默认最大发射功率为100m W(20d Bm),可以通过max-power15命令,将最大功率降低为15d Bm。在降低发射功率的时候,千万不要采用摘掉天线的做法,否则可能对AP的发射管造成损坏。

2.3 接入进行身份认证

在有线网络中,通常接入局域网中不进行身份认证。也有的学校在无线网络建设中,采用了类似的模式,特别是部分高校和运营商合作,即校园网内部不进行认证和收费,如果要上互联网必须通过运营商的认证收费系统。这种认证模式客观上会造成非法终端不经过任何认证入侵校园网内部,必须加以避免。

在图1中,任何接入到AP的无线网络设备,必须通过认证服务器的认证才能够接入网络。设置身份认证身份验证拨号用户服务后,没有合法授权的用户将不能通过身份验证,因此无线校园网解决了接入的安全问题。在实践中可以通过应用WPA、802.1x/EAP等无线安全技术,与校园内部的统一账号管理平台或者一卡通数据库进行联动联动认证,无线接入认证系统对接入校园的无线办公网络的终端进行身份认证[7]。

2.4 对入侵者诉诸法律

无线定位可以分为软件和硬件。硬件的有专门的无线电测向仪,可以对无线用户进行定位。软件如Ekahau公司的Ekahau Vision软件,无需增加额外的硬件设施(如读卡器、exciter、激励器、天线等),利用现有无线网络Wi Fi的网络设备即可进行定位。其基于专利技术高精度算法的软件,通过定位引擎计算定位,定位精度在3米左右,最高能至1米。如果发现有入侵的无线客户端,可以使用定位系统或者无线电测向仪等共同配合进行查找[8],将入侵者诉诸法律。

3 结论

由于无线网络的开发性,在无线校园网时代,必须采用综合的安全措施才能最大程度的保证网络安全。这些措施不仅包括技术上的问题,必要的时候,对入侵者诉诸法律,将大大威慑网络入侵行为。

摘要：由于无线网络的开放性,使得校园无线网络频繁受到攻击。文章针对无线网络的特点,在传统进行软件安全设置、加密的基础上,提出了综合的无线安全防护对策。包括软件安全设置、无线加密、控制无线信号覆盖、接入认证、诉诸法律等综合方法。

关键词：校园,无线网络,安全,综合,防御

参考文献

[1]罗燕羽.WPA被破解后的对策[J].网络安全技术与应用,2009,4.

[2]WILDPACKETS,INC.OmniPeek Network Analyzer.[DB/OL].http://www.wildpackets.com/products/network_analysis_and_monitoring/omnipeek_network_analyzer.[2009-9-1].

[3]Elcomsoft.Password recovery software.[DB/OL].http://www.elcomsoft.com/edpr.html#formats.[2010-9-1].

[4]吕海燕,吕红,任颖,赵媛,周立军.无线网络的安全机制及其实施[J].中国现代教育装备,2010,(03).

[5]杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2010,(02).

[6]袁爱杰,胡中栋,万梅芬.基于无线网络安全WEP协议的探究[J].计算机时代2009,(04).

[7]陈亮,张鹏,陈旭翔,蔡世贵,毛仕文.基于统一账号认证的无线接入综合管理平台[J].电信工程技术与标准化,2010,(06):48-51.

军事网络安全防御的研究 第6篇

1 我军计算机网络防护的现状

随着时代的发展和中国的计算机行业的扩张, 军队已经建立了有效的内外互相网络, 大大增加了计算机用户的数量。但是, 我们的军用计算机用户能够抵抗病毒还比较薄弱。这主要是因为:

1) 用户对计算机安全意识较低。美国军用计算机系统中, 大多数用户必须有一些安全控制, 必须具有反病毒的能力。与美国相比, 我军的信息系统以建立一个可以使用的应用系统为目的, 信息保护和信息安全的总体方案没有得到足够的重视。

2) 计算机用户的安全管理水平太低。与美军相比, 我们的军队已经落后于目前的计算机应用水平, 网络应用还处于初级阶段。如果始终维持这种现状, 就会造成重大的网络安全隐患, 一旦电脑受到攻击, 这些安全隐患将会变成病毒攻击的主要途径。

3) 用户的反病毒水平较低。现在世界上成熟的防病毒技术已经完全能够阻止所有已知的木马和病毒, 主要采取了:实时监控技术, 自我解压技术和反病毒的技术平台支持。目前, 美军已经广泛使用了上面三种技术。但是军队装备的反病毒技术的软件能力各不相同, 覆盖面也不完全。

2 军事信息网络存在的隐患和面临的威胁

近年来, 攻击中国互联网, 使用互联网的攻击来窃取资料和有价值信息的案件屡见不鲜。这些计算机网络发生的泄密, 大都与安全管理问题有关。随着网络应用的普及, 利用计算机进行信息犯罪的概率将呈上升的趋势, 我们必须引起高度重视。

随着军事信息技术和网络的发展, 军事网络安全面临的威胁日益突出, 而且是大范围的, 多层次和致命的。美国具有因特网上的信息和技术优势, 凭借着网络霸权, 把计算机网络作为正式的战争样式, 发展对其他国家的网络攻击武器, 对其它国家的信息网络构成了直接或潜在的威胁。

2.1 安全需求

军事网络安全的需求主要包括用户端安全需求、数据服务器安全需求和数据网络传输安全需求。具体的安全需求内容如下:

2.1.1 用户端安全需求

1) 对用户身份进行确认:防止假冒, 非授权访问。

2) 对用户数据信息进行加密:防止非授权读取。

3) 保证用户数据的完整性:防止非授权篡改数据。

4) 保存用户数据的操作行为记录:防止数据发送方或接收方抵赖。

2.1.2 数据服务器安全需求

1) 数据的保密性:防止非法用户窃取敏感数据。

2) 数据的完整性:防止非授权篡改数据。

3) 数据的可用性:防止拒绝服务攻击。

2.1.3 数据网络传输安全需求

1) 对涉密数据传输进行加密:防止非法用户中途窃听。

2) 对传输的数据要求完整:防止非授权修改数据。

2.2 方案的系统结构

通过对军事网络安全的需求分析, 在确定设计原则后, 就能够有针对性的构建一个网络安全防御系统。网络安全防御系统不仅需要考虑使用先进的技术, 而且需要有严格的安全管理制度和法律约束进行配合。采用各种技术手段保证目标的实现。具体设计的方案如图1所示。

实施物理保护目的是防止自然灾害, 人为破坏和线路盗连攻击对计算机系统, 网络服务器, 其他硬件实体和通信链路造成的破坏。通过验证用户的身份和权限, 以防止未经授权的操作用户;确保有电脑系统具有良好的电磁兼容工作环境;建立全面的安全管理制度, 以防止未经授权进入电脑控制室进行各种偷窃和破坏。

数据保护主要是对移动数据进行管理, 保证操作系统的安全和对传输过程进行加密。

移动数据管理方面需要建立一个有效的管理制度。目前, 移动硬盘驱动器和优盘等存储设备, 由于它的易用性好, 得到了广泛的应用。许多部队在使用移动硬盘来保存较为重要的一些信息。但是, 移动硬盘的易用性好, 也带来了巨大的信息安全风险。由于机密信息的存储能够进行随身携带, 并可以在任何一台电脑上进行使用, 移动硬盘的数据安全性并不能完全得到保证。

操作系统是计算机中最重要的系统软件, 对系统的安全和稳定的起着非常重要的作用。由于在计算机系统的硬件和软件接口的特殊性, 使他们成为操作系统中攻击的首选目标。操作系统的安全漏洞将不可避免的成为整个军队的信息系统的安全威胁。

传输是加密的数据在传输过程中进行加密, 加密的数据不可被解读。数据加密能够在网络OSI多层协议上进行操作, 加密技术的应用方式来看, 主要采用了链路加密和端对端加密两种方式来进行实现。

3 军事信息安全网络防御系统的实现

3.1 物理防护实现

物理防护可以采取加载干扰器的方法, 干扰器也称为计算机信息保护装置, 计算机视频干扰器等, 其功能是对计算机设备产生的电磁辐射进行干扰, 以消除潜在的信息泄漏的风险, 是确保计算机信息安全而专门研制的设备。在计算机启动的同时干扰器也一并启动, 利用干扰器发射的干扰信号进行干扰, 使用了电子信号对抗的方法来对防止计算机电磁辐射泄漏机密资料, 以防止周围的窃密者截获信息。

部队KAJ-II军用微机视频相关干扰器 (计算机干扰器) 是空军保密委员会技术安全检查办公室研制的新一代微机视频泄漏防护产品。该产品执行国家BMB4-2000标准, 以视频相关原理威慑记忆据, 用独特的技术方法实现对计算机视频信息的安全保护。其干扰方式:视频相关;干扰频带:10KHz-1.3GHz;干扰方向:全向;干扰强度:小于90dBμV (230MHz以下) , 小于97dBμV (1000MHz以下) ;传导发射抑制:大于35dB (10KHz-30MHz) 。

3.2 网络防护的实现

在隔离的方法的实现上采用瑞星企业级防火墙RFW-100。RFW-100防火墙是一种功能强大, 安全的混合防火墙, 该防火墙集成了应用层专用代理, 网络层状态包过滤, 管理员的双因子用户认证, 重要信息的加密传输, 以及详细的审核日志等各种网络安全技术, 能够根据用户的不同需求, 提供各类安全服务如信息过滤, 访问控制, 代理服务, 流量统计和热备份等功能。

检测方法的实现上采用了JUMP入侵检测系统。JUMP入侵检测系统可以实时的监视网络上的数据传输, 检测可疑的行为, 能够对外部和内部网络中损害系统的所有攻击做出反应, 并且在攻击之前发出警告, 中断攻击者的连接。JUMP网络入侵检测系统网络集成了国内外最新的网络攻击行为特征数据库, 能够对多种类型的攻击进行检测, 具备了强大的防御功能。

验证方法的实现上使用了SRZ06身份认证系统。SRZ06认证系统把智能卡技术和现代密码学进行了结合, 使用一次操纵一次密码的策略, 实现网络用户与服务器之间的动态验证, 并且能够根据用户需要, 选择服务器对客户端的单向认证, 以及采用挑战应答的双向认证方式。SRZ06身份认证系统不仅加密能力强大, 能够有效对抗集团破译, 而且使用智能卡技术能够有效解决对称加密技术中的密钥分配问题。

3.3 数据防护的实现

在实施保护移动数据的方法上, 采用了涉密载体的保密管理系统, 系统是由南京军区和解放军安全委员会共同进行研制的, 系统结合了军队的实际发展需求, 利用技术手段很好地对计算机中涉密载体的进行了有效管理, 解决了载体使用的保密问题, 对计算机用户的所有操作行为进行了记录, 并且不能被删除, 能够对计算机的存储介质和输入输出行为进行有效的监控, 对各类违规的操作行为进行有效的实时阻断和报警, 使计算机中的涉密各类文档资料实现规范化的管理以达到保密的要求。

在实现操作系统的防护措施上及时对最新的补丁进行更新。一般网络病毒都是利用了操作系统的漏洞而进行攻击。计算机用户能够有效防范病毒的最佳方法就是及时更新补丁, 以防止病毒利用漏洞进行攻击, 操作系统管理员有责任对系统的最新补丁进行及时更新。

4 结论

本文根据军事信息网络的特点, 对我军计算机网络防护的现状进行了研究分析, 指出了军事信息网络存在的隐患和面临的威胁, 提出了军事信息网络安全防御系统的设计和实现方法。本文所提出的网络安全防御系统的设计方案是军事信息网络下实现安全防御的一种比较高效的技术, 具有一定的理论和现实意义。

参考文献

[1]杨智君.入侵检测技术研究综述[J].计算机工程与设计, 2006, 27 (12) :2120-2124.

[2]张彩莱.身份认证与网络安全[J].安防科技, 2003, (06) :60-62.

赵阳:网络安全防御需主动出击 第7篇

三点需求推动安全服务发展

赵阳表示,从市场需求分析来看推动目前安全服务快速发展主要由业务驱动需求、价值驱动需求以及政策合规需求组成。随着目前企业信息化的不断深入,电子数据存储的不断增加,企业外部合作伙伴的不断扩大,企业对于业务驱动的需求呈现出发展快速、需求多样化、依赖度高三个特点。

据了解,安全服务目前主要由MSS监控服务、基础安全服务、高级安全服务和紧急响应服务四方面组成。赵阳指出,价值驱动目前已成为推动产业链上下游发展的主要驱动力,它将企业发展、管理构建与开支成本紧密地联系在一起。

另外,政策的合规需求也是推动安全服务发展的主要力量。目前我国无论是国家级政策还是行业标准制定均为安全服务市场的快速发展提供了政策导向,例如我国颁布的《中华人民共和国计算机信息系统安全保护条例》为国内整体IT安全风险控制领域提出了需要遵循的法律要求。

网络防御变被动为主动

目前我国的政策等级保护主要规范了风险评估常态化、应急灾备常态化以及等级评测体系。在我国等级保护制度中规定,所有网络信息系统必须实行定级备案,三级系统每年至少进行一次安全评估,而四级系统每半年至少进行一次评估,同时所有网络评估等级必须大于三级。

赵阳指出,随着网络攻击技术的不断变化与演进,其目前已呈现多样化、综合化、隐蔽化以及盈利化等趋势发展,网络防御体系也需要在运营商的设备升级中不断地建设完成,以应对来自网络各方面的攻击,因此大规模网络安全体系的提出与建设就为运营商迎解了目前所遇到的问题。

赵阳表示,在目前SOC体系已全部部署完成后首先需要保障大网业务客户的安全,同时需要在安全体系中做到客户细分,推出大规模网络对政企客户、家庭客户、个人客户提供安全的服务,完成一体化思路。据了解,大规模网络安全体系由应用安全、业务网安全与承载网安全三层结构组成,而这一建设思路也符合未来NGN的发展思路,与运营商未来网络发展相统一。

大规模网络安全防护的架构在二级以上加入了动态感知系统,同时与SOC进行紧密结合。动态感知系统能够将网络攻击与网络防御两端的动态变化进行分析处理,而SOC则能根据网络攻击具体情况进行感知并有效地提出应对攻击的主动防范思路。