网络信息安全问题就是

第一篇：网络信息安全问题就是

国税系统网络信息安全存在的问题

随着国税系统信息化建设的发展，特别是“金税工程”的实施，在全国建立了总局---省局---地市局---区县局四级广域网络，全国各级国税机关以计算机网络为依托的征管格局已基本定型，在税务信息化建设不断蓬勃发展的同时，网络与信息安全的风险也逐年显露。

一、 国税系统网络信息安全存在的问题

1、物理安全上存在的问题。物理安全主要指信息化系统、设备、工作环境等在物理上采取的保护措施。国税系统在物理安全上存在的问题主要表现在机房建设、局域网建设规划上，随着各地基本建设的不断投入和完善，省市县的机房和网络建设趋于完善，但根据县一级的实际情况，机房虽然配备有专门的防雷、防火设备，但没有防水、防潮设施。县一级的机房网络设备和部分服务器和上级机房同样是24小时开机，机房属于夜间和双修日无人值守，一旦出现突发事故，不能在第一时间处理，这样存在许多安全上的隐患。

2、网络安全上存在的问题 。网络安全主要是指网络访问、使用、操作的安全，它是信息化安全中最普遍的内容，主要包括：病毒危害和访问安全。 在开放网络环境下，计算机病毒的危害比以往要大得多，特别是近几年，通过网络进行传播的病毒数量急剧增长，危害范围也不断扩大。对付计算机病毒的最好的方法是安装防病毒软件，综合征管软件自2005年6月上线后，我省国税系统先后部署过两个网络版的防病毒软件，现在部署的是国税系统专用版的瑞星网络版的杀毒软件，可以实时查杀病毒、智能安装，快速方便地升级。然而，杀软不是万能的，就我局实际情况网络安全人员虽然对全局所有在用计算机安装了网络版的瑞星杀毒软件，但依然存在我局网络被ARP攻击后网络带宽被大幅占用，影响了税收正常业务的开展，还有就是近期在我市出现的针对"MS08-67内存漏洞"的蠕虫病毒出现影响到FTP、网语等工具及其他网络资源的正常使用和访问。访问安全是指对设备、资源、信息和服务访问权限的安全控制。访问安全也是最常见的安全问题，国税网络缺少必要的权限管理，人人都可以通过网络访问到各服务器和路由器。造成许多安全上的隐患。

3、信息安全上存在的问题。信息安全主要是指信息交换安全。网上申报、网上认证的发展推动了信息安全需求。这两种情况都需要对连接者身份进行严格验证，防止非法用户的进入，为了防止传输过程中的信息被窃听，要求登录用户名和密码以及数据在传输过程中进行有效的加密。为了增强信息安全，需要对登录信息和纳税申报信息进行安全审计记录，从而可以对非法入侵进行跟踪，并分析系统的安全状况。

4、管理安全上存在的问题。管理安全是指通过加强安全管理来保证物理安全、网络安全和信息安全措施的实现。信息化安全是一项系统工程，如果没有有效的安全管理，其他的任何努力都形同虚设。信息化安全需要一个完善的安全管理体系，从安全管理组织、制度、措施上都要制定一整套相应的规范。如应急预案、机房安全制度、密码制度等均应全方面的完善，从而杜绝网络安全上的漏洞。

5、网络及信息系统安全意识存在的问题。网络及信息系统安全问题很多时候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而我们国税系统的一般工作人员，网络及信息系统安全意识差，个别人就根本没有安全意识，计算机随便装载各种游戏软件，不经杀毒随便使用外来U盘、软盘、光盘等现象普遍存在。

二、解决网络信息安全的对策

信息化安全问题不存在一劳永逸的解决方案，提出的任何安全对策也只能是更好地预防问题的出现，尽量减少安全问题对正常业务的影响。针对我局国税系统信息化建设的特点和存在问题的分析，可以归纳出“三大对策”，即完善已建设高可用性网络、已部署的安全防护系统和已建立的安全保障体系。

1、建设设高可用性网络。建设高可用性网络就是要建设具有高性能和高可靠性的信息化基础网络设施，实现信息化物理安全和网络安全。建设高可用性网络的主要措施涵盖信息化硬件和软件以及需要重点考虑的灾难恢复。(1)信息化硬件。信息化硬件包括网络设备、服务器、布线、机房设备等。要保证信息化网络的高可用性，在设备选择上必须坚持高性能和高可靠性，在系统设计上也要充分考虑网络和设备的冗余备份。在网络设备上，应尽可能选用可靠性高，有相对冗余的中心交换机：服务器应选用带冗余电源的，硬盘应选用能做RAIDl，RAID5等高可靠性的磁盘阵列：机房设备必须用UPS供电，保证设备的持续、稳定运行。(2)信息化软件。信系化软件主要包括操作系统、数据库、应用程序等。应尽量选用性能好安全性高的操作系统，个人计算机操作系统基本选用WindowsXP，服务器操作系统优先选用Windows 2000 Server系统。(3)灾难恢复 。随着信息化进程的深入，国税系统对计算机设备的依赖度也越来越大、对税务系统而言，最珍贵的不是信息化设备或系统：而是存储的各种文档和数据库信息。所以灾难恢复是信息化安全中很重要的一个组成部分，必须想法保证数据存储的可靠性，保证网络服务和应用在故障时能尽快恢复。对国税系统而言，灾难恢复保护的地方主要是关键数据库和文件服务器。关键数据库一般是指存储纳税申报信息CTAIS数据库、金税数据库，文件服务器主要是指办公自动化所依赖的服务器，它存储国税系统管理过程中所需的重要文档和资料。 先进的典型灾难恢复系统是由集群服务器、存储设备和相关软件组成，当系统部分设备发生灾难时可以保持服务的连续性并自动恢复或尽可能恢复最近的数据。典型灾难恢复系统的一个重要特点就是灾难恢复系统里的设备要做到地理分散，才能真正应对灾难的发生。

2、完善部署安全防护系统。部署安全防护系统主要指通过操作系统安全使用和部署安全防护软件,实现信息化网络安全和信息安全。(1)防病毒系统。常见的计算机病毒主要是针对微软的操作系统，对国税系统而言，对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成，它可以通过管理平台监测、分发部署防病毒客户端，这种功能意味着可以统一并实施全系统内的反病毒策略，并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的，到目前为止尚未发现“万能”防病毒系统，所以我们能做到只能是及时地更新病毒库。要有效地对付计算机病毒，除了部署防病毒系统外，还要配合其他手段维护系统安全，做好数据备份是关键，并且要及时升级杀毒软件的病毒库，还要做好灾难恢复。(2)防火墙。防火墙是目前最重要的信息安全产品，它可以提供实质上的网络安全，它承担着对外防御来自互联网的各种攻击，对内辅助用户安全策略的实施的重任，是用户保护信息安全的第一道屏障，在信息化安全中应给予高度重视。通过配置安全策略，防火墙主要承担以下作用：禁止外部网络对国税系统内部网络的访问，保护国税网络安全。现在的防火墙在功能上不断加强，如可以实现流量控制、病毒检测、VPN功能等，但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击，而且由于数据包都要通过防火墙的过滤，增加了网络延迟，降低了网络性能，要想充分发挥防火墙的作用，还要与其他安全产品配合使用。(3)入侵检测。大部分入侵检测系统主要采用基于包特征的检测技术来实现，它们的基本原理是：对网络上的数据包进行复制，与内部的攻击特征数据库进行匹配比较，如果相符即产生报警或响应。检测到入侵事件后，产生报警，并把报警事件计入日志，日后可以通过日志分析确定网络的安全状态，发现系统漏洞等。如果它与防火墙等其他安全产品配合使用，可以在入侵发生时，使防火墙联动，暂时阻断非法连接，保护网络不受侵害。在部署此类产品时要注意进行性能优化，尽量避免屏蔽没有价值的检测规则。 (4)操作系统安全使用。在信息化网络中，操作系统的安全使用是保证网络安全的重要环节，试想如果你打算与同事共享一个文件夹，可是你又没有加密码，共享的文件就会变成公开的文件。操作系统安全使用主要包括以下几方面内容：用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是整个系统都是很重要的。用户密码管理有许多的原则要遵守，最重要的就是不要使用空密码，如当你使用Windows系列产品时，如果不幸你使用空密码，局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员，制定严谨的用户密码策略是首要任务之一。 漏洞检测对关键服务器的操作系统是极为重要的。任何操作系统都不可避免地存在安全漏洞，操作系统的漏洞总是不断地被发现并公布在互联网上，争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一种类型的漏洞并不是系统固有的，而是由于系统安装配置缺陷造成的，同样应引起足够重视。对服务器而言，关闭不需要的服务或端口也是必要的。即使网络很安全了，需要保密的信息在存储介质上的加密仍然是必要的，因为任何网络不能保证百分之百的安全。使用Windows系列操作系统时，尽量使用NTFS分区，对重要信息起用加密保护功能，这样就算是信息意外泄露，也无法破解。

3、建立安全保障体系。安全保障体系主要是指：对信息化安全管理的整套体制，包括管理组织、制度、措施等，通过安全管理，保证物理安全、网络安全和信息安全措施的实现。(1)建立安全管理机构和管理制度。建立安全管理机构，确定安全管理人员，建立安全管理制度、维护和维修管理制度及安全考核制度，建立责任和监督机制，实行分权制约，优先授权，进行系统设备、网络设备和存储设备的安全管理，建立工作记录，详细记载运行情况。(2)制定安全应急预案。在国税系统网络中，小的安全问题可能比较容易解决，但是严重的安全问题对税收工作的影响是很大的，如系统设备故障或大范围病毒感染等，这时的问题处理起来会特别复杂，有必要针对特定的安全问题制定安全应急预案。安全应急预案主要确定安全应急处理时的领导组织结构，解决问题的思路、方法和步骤，做好事前准备，不至于遇到问题时慌了神而手忙脚乱。 (3)加强网络管理。加强网络管理是信息化安全的重要环节，网络管理的内容主要包括：操作系统安全策略的维护和检查、系统和数据的备份、防火墙路由器等的安全检查、审计分析网络安全事件日志、设备和系统的日常维护等。只有加强网络管理，才能保证网络的安全可靠运行。(4)加强网络及信息系统安全宣传教育。安全问题很多时候都出在内部，许多典型的网络入侵事件都是借助于内部人员才得以实观的，而且严格的安全策略大多是针对外部的，所以应高度重视内部安全。除了从技术上尽量保证安全以外，通过加强宣传，增加工作人员的安全和遵纪守法意识，让广大工作人员自觉地参与到安全保护中来，认真执行安全策略，减少安全漏洞，信息化安全才有保证。

总之，信息化安全问题是一个严峻的问题，特别是随着广域网和互联网应用的发展，安全问题变得更加突出。安全问题是融入到信息化建设的整个过程中的，它是一项系统工程，只有通过“建设高可用性网络，部署安全防护系统，建立安全保障体系”，信息化安全才能得到最好的保证。 李俊宇.《信息安全技术基础》冶金工业出版社.2004.12 《计算机网络安全》袁德明，乔月圆电子工业出版社2007年6月

《计算机网络信息安全理论与实践教程》蒋建春，西安电子科技大学出版社 2005年9月

《网络信息安全技术》周明全 吕林涛 李军怀2003年出版社：西安电子科技大学出版社

第二篇：国税信息化中网络安全问题研究

摘 要：随着电子政务建设的快速发展,电子政务系统的安全问题变得越来越重要。国税系统是我国“十二金”工程的重要部分,虽已经过了多年的发展,但也存在着一些安全问题。文中在对国税系统网络结构进行详述和分析的基础上,对国税网络面临的各种安全威胁进行了研究,提出了加强国税网络系统安全性的各种措施。

关键词:国税;网络安全;数据加密

引 言

随着信息化的深入开展,电子政务已成为我国信息化的重点任务, “金税”工程是重中之重。自1994 年起,金税工程已经历了“金税一期”和“金税二期”两个阶段的发展。2006 年“金税三期”开始全面建设,它包括征管系统、行政管理系统、决策支持系统和外部信息交换系统等。“金税三期”的特点在于推行真正意义上的税务职能部门的网上办公。在一期、二期建设中,已经将税务部门的局部办公网络和Internet 连在一起,和交税单位连在一起,以达到降低收税成本、接受人民监督、提高办事效率的目的。几年来,国税系统的网络建设取得了突飞猛进的发展,广域网络覆盖面越来越大,越来越多的应用系统运行在计算机网络之上,网络对税收管理工作的支撑作用已不可或缺,但与此同时,网络安全也成为税务信息化课题中越来越重视的问题。文中以国税系统现有网络为着眼点,对国税系统的网络安

1 全及其应对措施进行了探讨。

1 国税网络现状分析

国税系统计算机网络由内部网络和外联网络两部分组成。内部网络包括总局、省局、市局、税务所四层网络体系,主要实现“金税工程”以及其它税务内部业务,是国税计算机信息网的基本部分。外联网络包括国税计算机信息网络中与国税以外的计算机网络进行信息交流的部分。外联网络主要分为两种:一是国税部门提供纳税人进行计算机网络缴税的“纳税人—银行—国税局”网络,该网络与银行之间通过专线连接,与纳税人之间则分别通过电话拨号直接连接或虚拟专用网VPN 连接; 二是国税部门建立的国税网站( 如12366 纳税服务网) ,作为提供纳税服务、税收宣传的窗口。

2 国税网络中安全威胁

网络安全一般是指网络系统的硬件、软件及其系统中的数据受到保护,不会因为偶然的或者恶意的攻击而遭到破坏、更改、泄漏,系统能够连续、可靠、正常地运行,网络服务不中断。因此,网络安全包括数据安全和系统安全两方面。对网络进行恶意攻击的行为,又分两种类型:第一类为系统型攻击,它所威胁的是系统安全,在网络层进行,破坏系统的可用性,使系统不能正常工作,并留有明显的攻击痕迹;第二类为数据型攻击,它所威胁的是数据安全,在网络的应用层进行,面向信息,主要目的是获取、修改、删除数据,不留明显的痕迹。

2. 1 内网中的威胁

国税内部网络每一个局域网面临的第一威胁是来自同一局域网

2 络的攻击,攻击者是局域网的某些用户,他们的攻击主要是数据型攻击。由于他们处在局域网络内部,又是合法使用者,有着一定的网络使用权限,所以对网络的攻击非常容易实现,但他们的这种攻击因担心被发现而不能肆无忌惮地进行。另一威胁是来自内部网络其它局域网络的攻击,攻击者是其它局域网的某些用户,他们的攻击主要也是数据型攻击。这种攻击虽然比不上局域网络内部人员容易,但也是不难实现的。同样,由于他们是系统内部人员,不敢肆无忌惮地为所欲为。第三种威胁的攻击者来自内部网络之外,由于不同局域网络之间的通信电路基本都是租用电信部门的公众通信网络,因此内部网络还面临着外部攻击者从电信公众通信网络入手进行攻击的威胁。来自外部的攻击既可能是数据型攻击、也可能是系统型攻击。虽然通信电路一般是DDN 或帧中继,相对来说是安全的,但并不能排除从这些电路上非法连接国税网络进行攻击的可能。

2. 2 外网中的威胁

由于国税部门提供纳税人缴税的“纳税人—银行—国税局”网络,是通过电话拨号直接或间接实现与国税外联网络连接的,因此网络面临的威胁人群有两部分,一部分来自具有使用网络缴税权限的合法用户,他们的攻击主要是数据型攻击;另一部分是通过电话拨号直接或间接地非法接入国税外联网络的攻击者,他们的攻击既有数据型攻击又有系统型攻击。至于国税网站所面临的威胁与互联网上的其它网站一样,它面临着因特网上所有不友好、不安分用户群的威胁。经调查发现,大多数的税务信息系统都存在以下安全威胁:(1) 计算机病毒。

3 它是某些人利用计算机软、硬件所固有的脆弱性编制的具有特殊功能的程序。这种特殊功能主要体现在三个方面:复制性、隐蔽性和破坏性。病毒利用网络进行传输可以造成巨大的破坏。(2) 人为的恶意攻击。此类攻击由主动攻击和被动攻击组成。主动攻击的目的在于篡改系统中所含信息,或改变系统的状态和操作,有选择地破坏信息的有效性、完整性和真实性。被动攻击的主要目的是在不影响网络工作的情况下,进行信息的截获和窃取,通过信息的破译获得重要机密信息,它不会导致系统中信息的任何改动,而且系统的操作和状态也不被改变,因此被动攻击主要威胁信息的保密性。这两种攻击均可对税务系统计算机网络安全造成极大的危害,并导致机密数据的泄露。(3) 网络软件的漏洞和“后门”。税务系统使用网络操作系统软件、应用系统软件不可能是百分之百无缺陷和无漏洞的,这些漏洞和缺陷是黑客进行攻击的首选目标。另外,软件的“后门”都是软件设计编程人员为了自便而设置的,一般不为外人所知,可是一旦“后门”洞开,将使黑客对系统资源的非法使用成为可能。(4) 未授权访问。指未经授权的实体获得了访问网络资源,并有可能篡改资源的情况。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。通过欺骗通信统达到非法伪装成为合法,或者小特权冒充成为特权,从而对系统和网络进行非法访问。(5) 信息泄露或丢失。指敏感数据在有意或无意中被泄露出去或丢失,它通常包括信息在传输中和存储介质中丢失或泄露两种情况。黑客们常使用窃听方式,比如对通信线路中传输的信号进行搭线监听,或者利用通信设

4 备在工作过程中产生的电磁泄漏截获有用的机密信息等。(6) 破坏数据完整性。通过改变信息的标签、内容和属性,或者将其他信息插人其中,甚至删除部分内容等手段,达到用假信息代替原始信息,使对方误认修改后的信息为合法的目的。还有一种来自合法用户的攻击,即抵赖,比如否认自己曾经发布过某条消息、伪造一份对方来信、个性来信等。(7) 拒绝服务DoS(Denial of Service) 。指服务的中断,中断原因可能是系统被毁坏或暂时性不可用。例如摧毁计算机硬盘、切断物理结构设备和耗尽所有可用内存。许多常见的DoS 攻击都是由网络协议(如IP 协议) 引发的。(8) 其他情况。比如破坏通信规程和协议、设置陷阱和重传攻击等等。

3 税务信息化网络安全解决方案

针对以上论述的税务系统计算机网络和信息传输安全的主要威胁,可以采取如下措施。

3. 1 计算机病毒防范方案

(1) 防患于未然。杀病毒只是一种被动的方式,防病毒是对付计算机病毒的积极而又有效的方法,远比等计算机病毒出现之后再进行扫描和清除更有效。网络感染病毒之后才去杀毒,即使病毒不破坏数据和文件,也会减慢网络的运行,浪费时间与精力。网络病毒应该以防为主,以治为辅。(2) 选择优秀的防病毒软件和注意升级。目前税务系统内部已经采用了瑞星网络版杀毒软件，实现了自动升级，用户使用起来非常方便。(3) 及时安装操作系统和数据库系统的补丁程序。很多病毒都是针对操作系统和数据库系统的漏洞进行攻击的,譬如,

5 著名的“I LOVE YOU”病毒就是针对Windows Outlook Express 邮件系统的漏洞进行攻击的,还有导致全球网络瘫痪的蠕虫病毒就是针对SQLServer 2000 的安全漏洞进行散播,使得这些机器不断往外发送数据包,而使得网络通信堵塞,无法正常工作。 所以我们要密切关注操作系统和数据库系统的补丁程序的发布,及时进行程序升级,防范一切可能的安全隐患。例如采用360等网络安全管理软件能做到自动升级补丁，在补丁发布的同一时间进行安装修复漏洞。

3. 2 税务网络攻击的防范方案

对于互联网的网络攻击,许多防病毒的方案依然有效,譬如及时安装系统补丁,利用防火墙策略来抵御黑客攻击等,文中的方案将主要从网络结构这方面对防范网络攻击进行论述。在金税三期的建设目标中,要求“采用三层体系结构进行应用软件设计”,这里的三层体系结构,即用户层、应用层和数据库服务器。用户层主要指用户界面,它要求尽可能的简单,使最终用户不需要进行任何培训就能方便地访问信息;第二层就是应用服务器,也就是常说的中间件,所有的应用系统、应用逻辑、控制都在这一层,系统的复杂性也主要体现在应用层;最后的数据库服务器存储大量的数据信息和数据逻辑,所有与数据有关的安全、完整性控制、数据的一致性、并发操作等都是在第三层完成。采用三层体系结构能够有效地抵御攻击,原因在于将数据与程序、数据控制与应用逻辑分层独立管理,能更严格地控制信息访问;信息传递中采用数据加密技术,可进一步减低信息失密的风险。应用服务器内建安全控制数据库,实现应用服务器与数据服务器的双重权限控

6 制,对权限的划分更准确、灵活、严格。新系统在信息访问、传递和存储三个环节上均有严格的安全措施。对于Internet 的隔离问题,税务系统内部上网人数的增多和上网的方便快捷,使得Intranet 与Internet隔离变得越来越困难。因此,必须要明确制度,在局域网内严禁对外访问。对WWW服务器进行重点防护,因为税务系统的WWW 服务器是税务系统的对外接口,担负着网上办公、政策宣传、法制公告、服务纳税人、实施政府职能等功能。WWW服务器很容易成为病毒与黑客的攻击对象, 为此要对WWW信息进行角色身份的分级管理,保证信息的真实、完整和加密传输,另外还要利用防火墙、客户端安全管理、密钥管理等手段防止非法用户访问,开放的信息可以放在防火墙之外的服务器上,外部用户访问内部网络,通过地址转换实现访问,其它访问一律禁止。

3. 3 利用网络加密进行身份确认

(1) 网络加密技术。加密是通过对信息的重新组合,使得自由收发双方才能解码还原信息的传统方法,它是以密钥为基础的。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据. 网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全。端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间传输链路提供加密保护。各税务机关可根据各自的网络情况选择上述三种加密方法。(2) 身份认证的安全检查。身份认证是用户向系统出示自己证明的过程,以阻止非法用

7 户的不良访问 。有多种方法可以鉴别一个用户的合法性,密码是最常用的,但由于有许多用户采用了很容易被猜到的单词或短语作为密码,使得该方法经常失败。还可以采用其他方法进行识别,例如利用人体生理特征(如指纹、眼睛视网膜底纹等) 的识别、智能卡等。(3) 数字签名。这种技术主要用于防止非法伪造、假冒和篡改信息。接收者能够核实发送者,以防假冒;发信者无法抵赖自己所发的信息;除合法发信者外,其他人无法伪造信息。发生争执可由第三方做出仲裁。数字签名是基于公共密钥的身份验证。利用数字签名技术,在税务信息系统网上申报纳税的时候,纳税单位可以利用自己的单位证书在申报材料上签名,这样就可以确保材料的不可篡改性和单位的不可抵赖性。同样,数字签名也可以应用于公文流转当中,领导在审批材料当中利用自己的个人数字证书对其进行签名操作,以代替一般的手写签名,使得办公速度提高,而且更为安全、严密。

4 总 结

随着“金税三期”建设的全面进行,国税网络安全问题需要更加重视。最后需要说明的是,只有将防火墙、VPN、IDS、物理隔离系统和防病毒等安全技术相互结合,才能构建出安全强度更高、安全隐患和漏洞更少、安全风险更低的安全网络,才有可能使用户将关键数据业务安全地拓展到不信任网络上,或在互不信任的网络之间安全地行数据交换,使税务网络真正达到建以致用的目的。

参考文献: [ 1 ] 徐伟清. 构建安全网络架构保障网上申报安全[J ] .

8 上海财税,2002 (7) :3928 [3 ] 史文军. 税收信息化的技术准备[J ] . 山东税务纵横,2002(5) :13 - 16. [4 ] 陈彦学. 信息安全理论与事务[ M] . 北京: 中国铁道出版社,2000. [ 5 ] Adams C , Lloyd S. 公开密钥基础设施———概念、标准和设施[M] . 北京:人民邮电出版社,1999. 9

第三篇：电力系统信息网络安全问题与防护措施分析

【摘 要】电网的瘫痪除了会受到自然灾害的影响导致瘫痪之外，如果电力信息系统不能正常工作，电网的安全运行也会受到影响。在电力系统的实际运行过程中，需要大量的信息传播，因此也建立了对应的信息网络系统。但是在实际运行的过程之中，仍然有多重因素会导致电力系统信息网络存在诸多安全问题，对电力企业信息网络的安全有着严重的影响，严重会给电力企业造成极大的经济损失，导致电力企业的经济效益下降。因此，本文笔者将会对电力系统信息网络安全问题进行详细的分析，并且提出有效的解决措施，确保电力系统信息网络的安全，保证电力企业能够稳定发展。

【关键词】电力系统 信息网络安全问题 防护措施

1 引言

有效地保障电力企业的安全和保障电力信息网络安全，对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展，信息化系统已经在电力企业中受到广泛应用，实现了信息化网络管理。但由于信息网络中存在的问题，导致电力信息网络安全时有发生，有必要对此进行分析，并且采取安全保护措施，确保电力信息网络安全和电力企业的稳定发展。

2 电力系统信息网络存在的安全问题

2.1 网络病毒

电力系统信息网络安全中，最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒，轻则是对电力信息系统的正常运行受到阻碍，使数据丢失、信息不能及时共享;严重则会导致电力信息系统瘫痪，整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外，电力设备还可能因此遭到网络病毒的破坏，造成不可估量的损失。

2.2 黑客攻击

在电力系统信息网络运行的过程之中，网络安全问题也会因为受到黑客的攻击而出现，导致电力系统信息网络安全出现故障，甚至会造成大范围的电力故障发生，具有非常大的危害力，这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量，假如被黑客攻击获取机密信息，则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多，比如利用数字控制系统(DCS)对电力企业的基层系统进行控制，造成基层系统瘫痪。此外，黑客也可以利用某个系统对其他系统进行控制和破坏，对电力系统造成非常恶劣的影响。

2.3 脆弱的身份认证

电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发，而基本上都是使用口令为用户身份认证的鉴别模式，而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式，用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今，这种脆弱的安全控制措施已经不再适用。

2.4 内部恶意操作

电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制，加入人的因素存在主管恶意，则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全，但是只能防范人的控制，一旦出现人为因素，大灾难将会降临到电力信息系统上。

2.5 信息网络安全意识淡薄

在电力信心网络的建设以及运营过程之中，安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新，电力信息网络的安全等级也逐渐提高。但是，不能否认的是，实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题;另一方面则是超高的安全防护技术带来高昂的成本，电力企业的效益降低，导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高，同时网路安全人员的安全防护意识缺乏，出现违规操作、不按照规范进行操作等现象发生而出现问题。

2.6 信息网络安全制度缺失

随着电力信息化程度的不断深入，要加强信息网络安全制度的规范，不断创设完整的信息网络安全防护制度显得非常重要，这样才能够确实提高电力企业信息网络安全，保障企业经济效益。当时目前而言，在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度，很大程度上对电力系统信息网络安全造成危害，影响电力信息化水平提高。同时，在电力系统信息网络运行，由于缺乏科学的安全管理制度，很容易在运行过程之中出现大漏洞和缺陷。

3 电力系统信息网络安全防护的具体措施

3.1 提高对安全性的认识

第一，电力企业要加强对电力系统信息网络安全的认识，要将网络信息安全防护体系完善建立，采用分层、分区的管理方法，其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区，并且隔离区城之间的网络物理隔离设备。第二，加强人员素质管理，通过网络安全培训和技能训练，将网络管理工作人员的素质和能力提高。最后，对信息网络体系的密码、技术、数据管理要加强，切实将电力系统信息网络安全系数提高。

3.2 做好信息网络系统的维护与支持工作

在现实电力系统信息网络安全防护中可以采取以下几种安全技术：第一，防火墙技术。网络与网络安全领域的连接入口是防火墙，因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息，保证电力系统信息网络的安全。因此，在日常工作中要对防火墙的访问设置相应的权限，对非授权连接进行强力防护。第二，漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测，根据检查情况对设备检测风险进行评估。假如存在安全问题，则要及时采取防护措施进行修复，这样才能够有效避免安全问题发生。第三，数据加密技术。所谓的加密技术，就是对网络传输数据的访问权进行限制，也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露，有效保证电力系统鑫鑫网络安全，确保能够正常稳定地运行。

3.3 构建科学完善的安全防护体系

在信息化网络的运营过程之中，科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查，有条不紊地针对加强安全防护，将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系，切忌技术盲目建设，要科学准确地建设信息化安全防护体系。与此同时，在建设防护体系过程之中，考虑到电力信息网络的功能和板块非常多，因此需要技术人员从整体把握安全防护体系，要遵循全面科学原则建设信息网络安全防护体系，使电力系统信息网络的各个功能的安全等级不断提升，能够有效地提升电力系统信息网络的安全效益和质量。

3.4 建立完善的电力系统信息网络监控中心

为了能够提高电力系统信息安全，一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合，监控中心可以在各?信息网管中心建立，这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防，防患于未然，保障系统不会发生异常或故障。

3.5 加强网络设备的管理和维护

在电力企业信息网络安全管理中，网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命，因此电力企业的安全管理人员要对这些设备进行定期检查和维护，对电力设备及时进行更新更换，从源头上强化信息安全。对于电力企业而言，要及时更新网络技术、更新系统和技术，要做数据备份;对于终端密码及时更换，设置难以破解的密码，以免被窃取。

4 结语

为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全，一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失;因此要通过加强网络安全管理和充分利用先进的网络技术，构建电力系统信息安全防范体系，确保电力系统信息网络能够高效稳定运行。

参考文献：

[1]郏雅敏，戚益中.电力系统信息网络安全漏洞及防护措施[J].科技与企业，2014.

[2]兰艳贞.电力系统信息网络安全防护措施分析[J].无线互联科技，2012.

第四篇：网络信息安全承诺书-网络信息安全承诺书(个人)

网络信息安全承诺书-网络信息安全

承诺书(个人)

本人郑重承诺遵守本承诺书的有关条款，如有违反本承诺书有关条款的行为，由本人承担由此带来的一切民事、行政和刑事责任。

一、本人承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》及其他国家有关法律、法规和行政规章制度。

二、本人已知悉并承诺遵守《电信业务经营许可管理办法》、《互联网IP 地址备案管理办法》、《非经营性互联网信息服务备案管理办法》等国家相关部门

有关文件的规定。

三、本人保证不利用网络危害国家安全、泄露国家秘密，不侵犯国家的、社会的、集体的利益和第三方的合法权益，不从事违法犯罪活动。

四、本人承诺严格按照国家相关的法律法规做好个人网站的信息安全管理工作，按政府有关部门要求设立信息安全责任人和信息安全审查员。网络信息安全承诺书

五、本人承诺健全各项网络安全管理制度和落实各项安全保护技术措施。网络信息安全承诺书

六、本人承诺不制作、复制、查阅和传播下列信息：

1、反对宪法所确定的基本原则的;

2、危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;

3、损害国家荣誉和利益的;

4、煽动民族仇恨、民族歧视，破坏民族团结的;

5、破坏国家宗教政策，宣扬邪教

和封建迷信的;

6、散布谣言，扰乱社会秩序，破坏社会稳定的;

7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

8、侮辱或者诽谤他人，侵害他人合法权益的;

9、含有法律、行政法规禁止的其他内容的。

七、本人承诺不从事下列危害计算机信息网络安全的活动：

1、未经允许，进入计算机信息网络或者使用计算机信息网络资源的;

2、未经允许，对计算机信息网络功能进行删除、修改或者增加的;

3、未经允许，对计算机信息网络中存储或者传输的数据和应用程序进行删除、修改或者增加的;

4、故意制作、传播计算机病毒等破坏性程序的;

5、其他危害计算机信息网络安全的。

八、本人承诺当计算机信息系统发生重大安全事故时，立即采取应急措施，保留有关原始记录，并在24小时内向政府监管部门报告并书面知会贵单位。

十、本承诺书自签署之日起生效。

个人签名：

日

期：

第五篇：网络信息安全

信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护，以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。

1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作。

2.软件安全。即计算机及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。

3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。

4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。

1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术，它的主要功能是加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许，并监视网络运行状态。简单防火墙技术可以在路由器上实现，而专用防火墙提供更加可靠的网络安全控制方法。

防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流，然后审查要求通过的信息，符合条件的就让通过;二是“凡是未被禁止的就是允许的”，防火墙先是转发所有的信息，然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。网络是动态发展的，安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类：

●包过滤技术(Packct Filtering)。它一般用在网络层，主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定，根据系统设定的安全策略来决定是否让数据包通过，其核心就是安全策略，即过滤算法的设计。

●代理(Proxy)服务技术。它用来提供应用层服务的控制，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求，拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。

●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。

防火墙技术的优点很多，一是通过过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段，它可以对企业内部网实现集中的安全管理。

防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制，因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。

2.加密技术。数据加密被认为是最可靠的安全保障形式，它可以从根本上满足信息完整性的要求，是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥，可用同一加密算法，将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据，称为解密。

密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制，它的保密度主要取决于对密钥的保密。它的特点是数字运算量小，加密速度快，弱点是密钥管理困难，一旦密钥泄露，将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制，加密密钥是公开的，解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可能。

除了密钥加密技术外，还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。

3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。

在书面文件上签名是确认文件的一种手段，其作用有两点，一是因为自己的签名难以否认，从而确认文件已签署这一事实;二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处，也能确认两点，一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样，数字签名就可用来防止：电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。

广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥，其中一个是公开的，另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里，网上的任何用户都可获得公开密钥。保密密钥是用户专用的，由用户本身持有，它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的，主要用于跟美国做生意的公司。它只是一个签名系统，而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法，跟单独签名的RSA数字签名不同，它是将数字签名和要发送的信息捆在一起，所以更适合电子商务。

4.数字时间戳技术。在电子商务交易的文件中，时间是十分重要的信息，是证明文件有效性的主要内容。在签名时加上一个时间标记，即有数字时间戳(Digita Timestamp)的数字签名方案：验证签名的人或以确认签名是来自该小组，却不知道是小组中的哪一个人签署的。指定批准人签名的真实性，其他任何人除了得到该指定人或签名者本人的帮助，否则不能验证签名

(二)网络信忽安全的目标

1.保密性。保密性是指信息不泄露给非授权人、实休和过程，或供其使用的特性。

2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。

3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息

4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性，可以控制授权范围内的信息流向以及方式。

5.可审查性。在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。

网络信息安全面临的问题

1.网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议簇，该协议簇在实现上力求效率，而没有考虑安全因素，因为那样无疑增大代码量，从而降低了TCP/IP的运行效率，所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗：大多数因特网上的流量是没有加密的，电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题，这很容易被一些对TCP/IP十分了解的人所利用，一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略：许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用，黑客从一些服务中可以获得有用的信息，而网络维护人员却不知道应该禁止这种服务。配置的复杂性：访问控制的配置一般十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。TCP/IP是被公布于世的，了解它的人越多被人破坏的可能性越大。现在，银行之间在专用网上传输数据所用的协议都是保密的，这样就可以有效地防止入侵。当然，人们不能把TCP/IP和其实现代码保密，这样不利于TCP/IP网络的发展。 2.黑客攻击手段多样

进人2006年以来，网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法，用形同互联网黄页的域名系统服务器来发动攻击，扰乱在线商务。宽带网络条件下，常见的拒绝服务攻击方式主要有两种，一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式，造成网络流量急速提高，导致网络设备崩溃，或者造成网络链路的不堪负重。

调查资料显示，2006年初发现企业的系统承受的攻击规模甚于以往，而且来源不是被绑架的“僵尸”电脑，而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标，目标系统不论是网页服务器、域名服务器，还是电子邮件服务器，都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理，借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络，把大量的查询要求传至开放的DNS服务器，这些查询信息会假装成被巨量信息攻击的目标所传出的，因此DNS服务器会把回应信息传到那个网址。

美国司法部的一项调查资料显示，1998年3月到2005年2月期间，82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下，外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络，即使最严密的用户认证保护系统也很难保护网络安全。另外，由于企业员工可以通过任何一台未经确认和处理的设备，以有效合法的个人身份凭证进入网络，使间谍软件、广告软件、木马程序及其它恶意程序有机可乘，严重威胁网络系统的安全。

有资料显示，最近拉美国家的网络诈骗活动增多，作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”，网上诈骗活动日益增多。 3.计算机病毒