系统安全分析(精选十篇)
系统安全分析 篇1
1 安全仪表系统的概念
作为安全相关系统的重要组成部分, 安全仪表系统能够全面有效地发挥安全仪表功能, 对于提高控制系统的安全性有着重要的意义, 因此, 近年来, 其应用更加广泛, 安全仪表系统以及控制系统的设置分工的示意图如图1所示。安全仪表系统能够通过一系列的动作, 合理、快捷地应对设备故障问题, 可以有效地规避安全事故, 将事故给人们生命财产安全以及周边环境带来的威胁进行全面的控制与管理。所以, 通过分析以及归纳总结, 安全仪表系统具体具有以下特征:首先, 其无法对产品的效能以及品质进行改善;其次, 其无法影响流程产量;另外, 其能够促进风险成本利用率的提升;最后, 其可以通过相关损失的降低实现整体费用的节约。在生产过程中, 安全仪表系统具有以下作用:第一, 能够对生产状态进行严密的监视, 通过对生产过程的准确判断对威胁存在的可能性进行排除;第二, 能够检验危险条件, 从而全面有效的发挥安全仪表功能, 以全面杜绝危险事件;第三, 能够对危险事故产生的后果进行控制, 有效缩小危险影响的范围。
煤矿中常用的安全仪表系统有干涉甲烷测定器、煤矿用风速表、便携式催化甲烷测定器、一氧化碳测定器传感器、氧气测定器等。其中干涉甲烷测定器主要是应用光干涉原理, 测定甲烷含量, 可以准确测定空气中的甲烷、二氧化碳等气体浓度, 将灾害降到最低。但是在应用的过程中也存在一些问题, 如没有干涉条纹、干涉条纹不清楚、干涉条纹漂移、干涉条纹倾斜以及干涉条纹产生弯曲等。煤矿用风速表主要是用于测量风流速度的仪器, 测量准确、操作简便, 非常适合用于场的测量。对于上述安全仪表系统中存在的问题要制定有效的解决措施, 以确保煤矿生产的顺利进行, 将风险将到最低[1]。
2 进行功能安全评估的必要性
2.1 有利于提高生产安全性
由于缺乏行之有效的解决措施, 近年来, 安全生产事故的发生更加频繁, 不仅给我国工业领域造成了严重的经济损失, 还极大地威胁了社会稳定。在这种形势下, 世界范围内对我国的安全生产现状的关注更加密切, 在一定程度上, 我国良好的国家形象遭到了质疑, 同时, 对外贸易的发展也受到了较大的限制, 引起了一系列的社会问题, 不利于国家经济的长足稳定发展。而功能安全评估一方面能够全面推动安全生产管理体系的建立健全, 另一方面也能实现有关问题的有效解决, 有利于在安全领域内为自动化、电子技术及其相关系统以及产品的广泛应用奠定坚实的基础, 除此以外, 对于安全生产技术保障体系的完善也有着重要的意义。
2.2 有利于促进安全系统的深入发展
一般情况下, 应用于我国早期工业并在工业领域发挥安全功能的安全系统大部分是一种安全连锁系统。随着时代的发展, 控制系统相关技术以及微电子技术不断完善, 应用于安全系统的技术、方案以及系统在我国相关领域有了更加广泛的应用, 然而在这一发展阶段, 安全系统在很多方面也存在着不少的问题。例如, 在安全控制设备以及系统的运行过程中, 安全功能的切实全面发挥严重缺乏可靠性, 给用户带来了印象不佳的亲身体验, 用户的积极性大受打击。另外, 由于行业的安全要求存在很大的差异, 而安全设备的应用普适性较差, 一旦场合发生变化, 安全设备就无法正常使用, 所以, 安全设备的开发需要投入大量的资金, 其生产规模的扩大受到了很大的限制。
2.3 技术贸易壁垒方面
在工业领域, 功能安全技术标准的地位以及作用比较突出。例如, 部分国家通过功能安全标准对某些特定的行业进行了明确的规定, 用户通过安全完整性等级提出了更加多元化的需求等。通过设立技术标准, 西方国家的技术性贸易壁垒具有了更强的针对性, 给我国进出口贸易企业造成了严重的经济损失。这些贸易壁垒是以功能安全标准为依据确立的, 一方面对系统以及产品的出口造成了限制, 另一方面也不利于系统以及产品的引入, 不利于我国重点工程项目的深入发展。另外, 技术性贸易壁垒还对我国工业领域造成了巨大的冲击, 降低了我国产品更新速率, 对国际经济的可持续发展极其不利。
2.4 导致有关问题的发生
安全仪表系统的应用有利有弊, 在保障生产安全、减少安全事故的同时, 也会给其他有关问题的发生埋下较大的隐患。首先, 安全仪表系统的运行相对隐蔽, 要全面有效地监控其工作状态, 存在着很大的难度, 发生异常情况时, 故障将难以被高效排除。其次, 安全仪表系统只有在系统以及装置工作异常时才会开始运行, 执行机构的状态具有固定性特征, 发生异常情况时, 机械的安全性也难得到全面的保障[2]。
所以, 要促进工业领域生产安全性的全面提升, 就要切实全面的保障安全仪表系统的功能安全, 尤其是相比于大部分的容器设备, 安全仪表系统的可靠性的维护更加困难, 要有效的维护生产安全, 其功能安全评估不可或缺。
3 功能安全评估的内容
首先, 分析阶段, 这一阶段的功能安全评估有定义整体范围, 达到对控制系统进行确定的目的, 对风险分析以及危险范围进行明确规定。在定义整体范围的过程中, 应该全面综合地考虑存在的各种风险, 同时对各种物理设备以及相关的事件进行细致的考虑。然后, 再以整体范围为依据获得全面细致的安全信息, 其中应该包含涉及到的化学物质的数量以及类型、设计中所需要的各种参数值、设计指标以及有关信息。另外, 分析阶段的内容还包括分析系统风险, 换言之, 应该对风险以及危险进行预测, 同时对造成的影响和事故发生的可能性进行具体的分析。除此以外, 分析阶段还要不断明确整体安全要求, 并进行细致的分析, 以风险值为依据来决定安全仪表系统的使用与否。最后, 应科学合理的分配安全要求, 以有效地降低风险。
其次, 实现阶段, 这一阶段的功能安全评估是确定相应技术, 以提高信息转换的效率、可靠性、准确性以及经济性, 另外, 还包含评估硬件以及系统的安全完整性、评估安全仪表系统的确认、运行以及安装阶段, 以切实达到安全要求以及安全水平[3]。
最后, 在运行阶段, 应该科学合理地评估整体的维护以及操作阶段, 确保维护工作的贯彻落实和系统运行的稳定性以及安全性, 通过周期性功能测试实现对潜在危险的有效控制。另外, 在安全仪表系统的运行过程中, 故障问题的发生难以避免, 这时往往会进行整体的改型以及修改。为此, 应该全面综合地考虑修改造成的影响, 同时, 应该努力确保安全仪表系统安全完整性水平的前后一致性。
4 总结
总而言之, 在工业生产领域, 安全仪表系统的地位及作用相当的突出, 一旦其功能受事故的影响而无法切实发挥, 将会导致执行动作难以落实, 由此极易引发一系列的恶劣后果。所以, 对安全仪表系统的功能安全评估进行深入的分析和探讨十分的重要。相比于其他的发达国家, 我国的功能安全评估工作还存在很多的不足, 然而也意味着其在我国众多领域中的提升、发展空间也相当广阔, 为此, 国家应该投入更大的力度, 不断完善法律法规, 为功能安全评估的深入发展提供强有力的支撑。
参考文献
[1]文华, 钮英建.功能安全评估在安全评价中的应用体系研究[J].中国安全生产科学技术, 2011 (7) :116-119.
[2]沈学强, 白焰.安全仪表系统的功能安全评估方法性能分析[J].化工自动化及仪表, 2012, 39 (6) :703-706.
地铁信号系统安全分析 篇2
地铁信号系统安全分析
本文简要介绍了地铁信号系统的.组成,着重对地铁信号各子系统的安全性方面进行了分析,并对基于通信的列车控制技术在信号系统中的应用进行了探讨.
作 者:王歆珏 崔建乐 作者单位:王歆珏(南京地下铁道有限公司运营分公司,江苏,南京,210012)崔建乐(河北远东通信系统工程有限公司,河北,石家庄,050200)
刊 名:自动化博览 英文刊名:AUTOMATION PANORAMA 年,卷(期): 26(2) 分类号:U2 关键词:信号系统 列车自动控制 基于通信的列车控制网络系统安全分析及对策 篇3
一、网络系统安全的定义
网络系统安全是指硬件、软件及其系统中的数据受到保护,不受偶然或恶意原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断, 其包括网络的系统安全和网络的信息安全。在实际应用中,由于网络协议本身的缺陷、计算机软件的安全漏洞,以及人们对网络安全的忽视等因素,使网络面临严重的安全问题,给网络系统带来极大的风险。
二、网络系统安全面临的风险
(1)物理环境。计算机网络作为一个综合系统,所处的物理条件、工作环境及设施的安全标准、计算机硬件、附属设备及网络传输线路易受自然灾害、意外事故及环境(温度、湿度、振动、冲击、污染)的影响。由于电磁辐射干扰,导致网络信噪比下降,误码率增加的现象也时有发生,信息的安全性、完整性和可用性受到威胁。
(2)网络入侵。采用非法手段入侵网络系统,窃听、获取、攻击重要的信息和数据,对网络服务系统进行干扰,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,影响用户正常使用,包括假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(3)恶意代码。包括计算机病毒、木马程序等,通过移动存储介质、网络、电子邮件等进行传播或被隐藏在软件包内,发作后会修改、破坏、删除数据资料,导致系统工作效率下降或死机或崩溃,甚至造成计算机主板、硬盘等部件的损坏,据调查,84%的网络安全事件是由计算机病毒和木马程序所引起。
(4)数据丢失。网络系统在存储、传递数据信息的过程中,很容易遭受到篡改、伪造、窃取、销毁等不法行为的威胁。由于存储介质具有信息存储量大、复制容易且不留痕迹的特点,泄密的隐患相当大。另外,不少计算机网络系统在建设完成后,数据信息缺乏有效的保护手段,一旦系统存储介质发生故障,极易造成数据损坏或丢失。
三、网络信息安全对策
针对网络系统安全存在的问题,应在网络设计阶段制定各种规划,从技术和管理两个方面制定相应的对策,建立一套包含多个安全组件的综合性保护系统,保证网络系统的安全稳定运行。
(1)物理安全策略。机房是网络系统的核心部分,为保证信息系统的安全,需采取一定的物理防护措施,包括在机房内安装火灾自动报警和气体灭火系统、监控报警系统、空调系统、UPS系统、防雷接地系统等设施。并构建一个良好的电磁兼容工作环境,所有重要涉密的设备都需安装防电磁辐射装置。建立完备的安全管理制度,防止各种偷窃、破坏活动的发生。
(2)防火墙。防火墙是一个负责访问控制、内外隔离的安全设备,在底层包过滤,应对超大ICMP包、IP伪装、碎片攻击,端口控制等方面有着不可替代的作用,可以有效阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问。要充分发挥防火墙的作用需要网络管理人员合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议。
(3)数据加密。主要用于保证数据存储和传输过程中的保密性,它通过变换和置换方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。
(4)入侵检测。入侵检测系统是从计算机网络系统中收集信息,通过这此信息分析入侵特征的网络安全系统,通过监视分析用户及系统活动,帮助网络系统快速发现网络攻击事件,查找非法用户和合法用户的越权操作,检测系统配置的正确性和安全漏洞,实时地对检测到的入侵行为进行反应,收集入侵攻击的相关信息,增强系统的防范能力,避免系统再次受到同类型的入侵。
(5)安全防护软件。网络系统是一个实时、动态运行的系统,随时会受到病毒、木马等恶意程序的威胁,由于在网络中存储、传播、感染的方式各异而且途径多种多样,应采用企业级防护产品,定期对其升级并修补系统漏洞。同时对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。
(6)安全漏洞扫描。安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,只有及时更新才能完全的扫描出系统的漏洞。
(7)网络管理。在采取技术手段防范网络风险的同时,管理工作同样不容忽视,通过制定网络管理规章制度和应急措施、落实网络管理人员的职责、规划网络的安全策略、控制用户访问权限等手段,对于确保网络的安全、可靠运行将起到十分有效的作用。
在计算机网络系统中,绝对的安全是不存在的,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理全面的技术方案和管理制度。尽可能去控制、减小非法的行为,把不安全的因素降到最低,确保网络信息系统的安全和稳定。
参考文献:
[1]刘远生.计算机网络安全[M]北京:清華大学出版社,2006
[2]黄中伟.计算机网络管理与安全技术[M]北京:人民邮电出版社,2005
作者简介:
系统安全分析 篇4
Web通信系统就是客户机与服务器之间的信息通信机制。它包括服务器端程序和客户端程序2 部分。目前用于构建Web服务器的软件主要有2 种IIS和Apache,由于Apache的资源获取比较容易,开源等特点,使得它成为世界上常用的服务器软件。Ubuntu Linux环境下使用的Web服务器用Apache搭建起来,就形成了Apache Web服务器。
Apache其实是A pached server的缩写,意为打满补丁的服务器。Apache是根据NCSA的服务器发展而来的,NCSA是最早出现的Web服务器程序之一。Apache是以进程为基础的结构,支持多个虚拟主机。它的特点是简单、速度快、性能稳定。Apache可以运行在几乎所有广泛使用的计算机平台上,由于它的跨平台性和安全性,使其成了最流行的Web服务器软件之一。如今,Apache是世界上用得最多的Web服务器,市场占有率70%左右。
Apache Web服务器是基于软件Apache构建起来的Web服务器,是目前在Internet上运用最为广泛的Web服务器平台。这要得益于该服务器的以下几项优点:(1)它已经被移植成操作系统的一部分。(2)源代码完全开放,服务器管理员可以根据自身的需求修改配置,满足自身需求。并且这种开放性的设计风格使得许多功能强大的模块被开发出来,极大地扩展了Apache的功能。(3)最重要的一点是它本身出色的设计保证了它可以高效稳定地运行。
这些优点主要取决于Apache的以下特性:(1)实现了动态共享对象,允许在运行时装载功能模块。(2)采用与预生成模式的技术提高响应速度。(3)可以支持运行在几乎所有的计算机平台。(4) 支持最新的HTTP1.1 协议。(5)简单而强有力的基于文件的配置。(6)支持虚拟主机。(7)支持HTTP认证。(8)集成了代理服务器。(9)具有可制定的服务器日志。(10)支持安全Socket层。(11)用户会话过程的跟踪能力。(12)支持通用网关接口CGI。(13)集成Perl脚本编程语言。(14)支持服务器端包含命令(SSL)。(15)支持Fast CGI。(16)支持PHP。(17)支持JAVA SERVLETS。(18)支持第三方软件开发商提供的大量功能模块。
2 Ubuntu Linux环境下基于Apache的Web服务器的安全问题分析
Ubuntu Linux环境下的服务器是基于Apache构建起来的。作为一种开源的Web服务器软件得到了广泛的应用,但是每一种软件都不可能做到完美,都有一些安全方面的漏洞。控制Apache安全的是它本身的安全模块,它提供了服务器的访问控制、认证、授权等安全服务。下面就选取Apache安全模块中的3个问题,分别加以分析,并对如何进行安全配置加以部署。
首先针对Apache服务器提出了3 个安全问题,然后分析问题产生的原因,在此基础上初步提出部署思路。
2.1 攻击者非法获取root权限
root就是Ubuntu Linux系统中超级管理员用户账户。在系统中超级用户root只有一个,它拥有系统中所有的权限。作为超级用户,root在Ubuntu Linux系统中具有非常重要的作用,例如:删除和修改系统配置信息,删除和增加系统的用户,启动和终止应用程序,删除和增加硬件等等。这些功能,每一项都与整个Ubuntu Linux系统的正常安全运行息息相关,可以说root控制着整个操作系统的命脉。
然而,事物都具有两面性,如果root在Ubuntu Linux操作系统中至高无上的权利被攻击者利用了,就有可能给系统造成毁灭性地打击。这也正是众多攻击者追求和向往达到的目标,所以现实中攻击者采取多种方式获取root权限的实例非常多。攻击者非法获取root权限成了一种常见的针对Web服务器的攻击。所谓非法获取root权限,就是当系统中出现一些特定异常现象时,本来不应该被执行的恶意指令被系统执行,使得攻击者获取root权限,使用管理员权限,可以随意对系统的目录文件、安全配置信息、敏感机密信息等进行修改,给Web服务器造成极大安全威胁的一种攻击方式。
有很多的方法能让攻击者获取Apache Web服务器root权限。这些方法包括:(1)通过缓冲区溢出攻击,迫使系统中的恶意指令被执行,从而使攻击者获取系统管理员root权限。(2)在远程的情况下,攻击者可能利用一些以root身份执行的有缺陷的系统守护进程来取得root权限;或者攻击者先利用服务进程在运行过程中出现的一些漏洞,取得普通用户权限,再实施远程登录,进而获取root权限。(3)Apache Web服务器密码较弱,攻击者利用密码破译工具,例如Brutus或者登录猜测器进行密码破译,取得未授权访问站点的访问权限,实施攻击行为。(4)服务器脚本接收到一些未经过滤的PHP输入,往往恶意代码会掺杂其中,被服务器执行,进而造成攻击者获取系统级别的访问权限。(5)在系统的用户名和密码存在一定缺陷的情况下,攻击者可以通过使用HTTP GET请求,使Web应用和操作系统实现的一定的特权扩展。攻击者一旦获取系统的root权限,可以利用系统的root权限,实现对服务器所有信息的最大访问。可以随意访问服务器的目录文件;修改服务器的访问权限;配置信息;删除文件;窃取敏感信息;修改密码;甚至可以在服务器网页信息中挂载恶意程序,造成正常的访问用户主机遭受计算机病毒侵害。这样,不但给Apache Web服务器本身造成很大的危害,还给正常访问用户造成一定的损失。
为了预防该类攻击,加强Apache Web服务器的安全性和运行的稳定性,必须加强root的安全性。正确合理地对服务器相应的安全模块进行配置。
具体的部署策略可以分为以下几个方面:
(1)在Ubuntu Linux环境下进行Web服务器的构建,使用的是Apache软件。安装和配置时由于实际需要使用的是root权限。但是如果运行阶段,Apache的服务器进程也有root权限,可能会导致root权限被恶意利用,给系统安全造成很大的威胁。所以根据最小化原则的安全原则,服务器的进程权限设定应该降低。控制用户权限的安全配置文件是httpd.conf文件,所以在该文件中,修改用户权限设置。
User nobody
Group#-1
该代码的意义是:将服务器进程权限设定为nobody用户。
(2)在实际的运行过程中,攻击者可能利用超出系统预先定义安全特性的一些方式,获取root权限,对系统实施攻击活动。在安全配置上,可以这样配置相应的服务器。
Allow Overide None
Options None
Allow from all
(3)Apache的默认安全设定只能保障一定程度的安全。客户机对服务器端的主机进行访问,如果是正常的映射规则就能使客户机获取服务器的相应文件。例如输入:http://local host/~root/,客户机将会获得服务器的所有文件信息。要做到安全配置,就应该禁止类似的对文件系统的缺省访问,可以在服务器文件中加入如下配置:
Order deny,allow
Deny from all //禁止任何客户机对服务器进行缺省访问
为了防止攻击者非法获取root权限,对Ubuntu Linux系统的安全模块进行的配置仅仅这3 项措施还远远不够。这就像给一张渔网打补丁一样,很难做到天衣无缝。所以,保障Web系统的安全还需要做很多的工作。
2.2 Apache版本信息泄露
在Ubuntu Linux环境下安装Apache时,或者在系统在应用程序执行出错时,会返回错误信息提示,在其中就会显示Apache版本相应的信息,造成信息泄露。
信息泄露后,恶意攻击者可以利用该信息推测出操作系统可能的版本,系统使用的应用软件的信息等。进而得知许多相关的系统漏洞信息。例如,应用软件的漏洞;操作系统的漏洞;Apache的安全配置可能存在的问题等等。这样攻击者就可以采取对系统有针对性的,危害比较大的攻击手段,给服务器安全造成极大的损害。所以,隐藏Apache版本信息是加强Web服务器安全的切实需求。
具体的部署策略如下:首先,要用到两条重要的指令:Server Signature和Server Tokens 。这其中Server Signature的作用是控制系统生成错误提示的页面。Ubuntu Linux配置文件中的Server Signature默认情况是打开的。还有一种情况是,本来Server Signature的配置是安全的,但它配置中的信息可能在实际运行过程中,被目录信息所覆盖。以上2 种情况都会使得错误提示页面生成。要实现隐藏Apache版本信息首先应该重新配置Server Signature,使错误页面生成处于一种关闭状态。在实际操作中,找到相应的配置文件,将其配置改为:Server Signature Off //关闭错误提示生成页面Server Tokens的作用是控制服务器是否响应来自客户端的请求,向客户端输出服务器系统类型或内置模块等重要的系统信息。一般情况下,在主配置文件中提供全局控制默认阀值为“Full”(Server Tokens Full),这种情况下,如果用户的Linux发行版本没有更改过,系统需要出现错误提示的时候,所有与系统有关的敏感信息就会随着错误信息提示页面公布于众。
为了隐藏服务器本身的版本信息,应该把Server Tokens设置成关闭状态,这样在返回错误信息的时候就不会显示任何系统信息,保障Web服务器安全。
找到相应的配置信息,修改后为:Server Tokens prod //关闭错误提示信息
2.3 Apache Web服务器对用户设定访问权限不合理,给Web服务器造成威胁
Ubuntu Linux系统中每一个文件或目录都包含有访问权限,这些访问权限限定了谁可以访问以及访问的规则。Ubuntu Linux系统对访问权限的限定可以分为3 种:(1)限定有些文件或目录只允许自己访问;(2)预先设定一个用户组中的用户可以访问;(3)允许任何用户访问。如果系统给定一个用户对一个文件或目录的访问权限,那么系统也会同时赋予用户控制对该文件或目录访问程度的权利。这种情况下,用户新建一个文件,可以同时拥有对该文件读、写、执行的权限。
Ubuntu Linux系统作为服务器的操作系统,可能会存储有各种类型和秘密等级的信息。只有合理设定系统用户的访问权限,才能在确保Web服务器在安全的前提下,正常运行。
如果不能对Apache Web服务器的访问权限进行合理设定。那么服务器就有可能将一些文件或目录的访问权限给予其他一些不确定的用户。这些用户访问了文件或者目录后,可能执行一些删除、修改、添加等操作,改变原有的数据。给服务器和信息安全造成一定的危害。
所以要做到Apache Web服务器访问权限的合理限定,能在很大程度上保障Web服务器的安全。而控制Apache Web服务器的访问控制的文件是httpd文件,下面就通过对其中代码的修改实现对用户的访问控制。
在Apache的配置文件httpd.conf中提供了4 种控制存取的方式:(1)<Driectory> </Drirectory> //针对目录;(2)<Files> </Files> //针对文件;(3)<Limit></Limit > //针对http/1.1;(4)<Location > </Location >//针对位置。
现在针对目录,要实现对目录的访问控制。假如只想让主机IP为210.31.48.26 的用户可以浏览服务器的WEB页面,就可以用以下设置:(1)<Directory:/www/Apache/htdocs/>;(2)Option Indexes Follow Sym Links;(3)Allow Override all;(4)Order deny,allow;(5)Deny from all //将服务器的访问权限初始化;(6)Allow from210.31.48.26 //只允许该IP地址的主机访问目录;(7)</Directory>。
系统安全分析 篇5
有一点可以肯定计算机病毒不会在自己的硬盘里“生”出来。它一定是从其它储存介质复制到我们的硬盘,通常有许多途径都可以让病毒有被复制在我们硬盘的可能性。下载就是其中被病毒传播者用得比较多的一种途径。我们在下载时,不管是电影、压缩包、游戏、文档、或是邮件都有可能被置放病毒。因而下载回来一定要记住:先扫描后使用。
由于闪盘价格的大幅度下降,拥有U盘等闪盘的用户越来越多。闪盘被病毒盯上,这种传播方式需要在U盘根目录下新建一个名为autorun.inf的文件和复制病毒本身。事前在根目录下新建名为autorun.inf的文件夹能防止这种方式的传播此外
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer]主键下,在右窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行各类盘的AutoRun功能。其中DRIVE_REMOVABLE 2 1 04H 表示可移动驱动器。也就是说可以利用这个键来防止各类盘的自动播放,预防中毒。[1]
光盘有时也有可能会被病毒感染,成为病毒传播的途径之一。另外系统本身存在的漏洞也是病毒利用的途径之一。
因而预防病毒要做到,外来的文件要先经过扫描后才使用,系统的漏洞要及时补上。
病毒是如何激活运行的?
计算机病毒是一个程序,一段可执行码,一个可执行文件。如何它不运行它就不会对系统造成威胁。最多只是占着硬盘空间。但是一旦激运行了病毒程序,它会对系统造成怎么样的损害依病毒的破坏性强弱和计算机系统本身的自我保护能力而定。因而不给病毒运行的机会,就是病毒存在于硬盘中也不会对系统造成严重破坏。那如何防止病毒的激活呢?一般情况下,病毒会有好几种启动方式。病毒用的比较多的是注册表和系统服务。注册表环境复杂,大多数计算机用户对其望而生畏。病毒很喜欢将其启动的资料放在这里面。而系统服务会在系统启动的过程中被自动启动,因而病毒也很喜欢躲在这里面混水摸鱼。[2]
除了这两种启动方式外,还有捆绑文件,各类盘的自动播放,文件关联,程序映射等方法也能让病毒有被激活运行的可能性。
保证计算机病毒不被激活是计算机病毒预防工作的重点之一。所以对注册表用启动程序的关键键值要加以注意。定时查看系统服务是不是正常。利用一些小工具查看文件关联是否正常,有没有程序已经被映射了。对外来文件要先经过扫描后先可以使用。
除了以上方法外,给系统装上一个合适的杀病软件和防火墙也是非常必要的。它们对已经出名的病毒的查杀能力是很强的。这样可以帮计算机管理员省去不少工作。
如果病毒已经激活了。及时发现病毒的存在能保证系统受到的破坏最小。那病毒有哪些症状呢?
从目前发现的病毒来看,主要症状有:
(1)由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。
(2)由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增。
(3)由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。
(4)由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。
(5)由于病毒程序的异常活动,造成异常的磁盘访问。
(6)由于病毒程序附加或占用引导部分,使系统导引变慢。
(7)丢失数据和程序。
(8)中断向量发生变化。
(9)打印出现问题。
(10)死机现象增多。
(11)生成不可见的表格文件或特定文件。
(12)系统出现异常动作,例如:突然死机,又在无任何外界介入下,自行起动。
(13)出现一些无意义的画面问候语等显示。
(14)程序运行出现异常现象或不合理的结果。
(15)磁盘的卷标名发生变化。
(16)系统不认识磁盘或硬盘不能引导系统等。
(17)在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。
(18)在使用写保护的软盘时屏幕上出现软盘写保护的提示。
(19)异常要求用户输入口令
当出现这些情况时请及时检查系统。或许病毒正运行在系统上,破坏着系统!
校园网络系统安全的风险分析 篇6
关键词: 校园网络系统 安全风险分析 安全需求分析
校园网络系统是一个庞大的、复杂的网络系统。在这个系统内,用户多为学生,他们年轻好奇心强、喜欢探索,尝试各种软件,且安全防范意识低。校园网复杂的网络环境和各类应用软件都有可能对校园网产生安全威胁,攻击者往往是利用系统最薄弱的环节进行攻击,所以充分、全面的风险分析是设计网络安全系统的必要前提。
笔者从网络系统的物理层、链路层、网络层、操作系统层、应用层及管理层等方面对校园网络系统进行了安全风险分析与需求分析。
1.物理层安全风险分析
物理层的安全风险主要是指组成网络系统的各种设备的安全,防止因恶劣的自然环境、人为误操作、黑客攻击给网络系统带来安全威胁。
2.链路层脆弱性分析
链路层功能是接收来自网路层的IP数据报,把数据发送到制定的网络上;接收物理帧,抽出网络层数据报。Mac地址泛洪攻击、ARP欺骗等基于协议漏洞的攻击在数据链路层中还有许多。校园网校网络链路层的脆弱性主要体现在: ①ARP安全隐患;②PPP安全隐患;③ CSMA/CD安全隐患。
3.网络层脆弱性分析
网络层的功能是处理数据包在网络中的活动(packet)。网络层是异构网络的关键。接收传输层的请求,封装数据包,加包头。TCP/IP 协议最初的设计就是构建网络,缺乏对安全的考虑,所以网络层存在以下安全隐患。
(1)IP协议的安全隐患:缺少身份认证机制,不检查IP地址,产生IP欺骗攻击,尤其是地址假冒。IP数据包包含源路由选项,本来是可以指定路由,测试流量,但是可以利用源路由选项进行攻击,源路由指定了IP数据包必须经过的路由,使得入侵者可以绕开网络的安全措施,选择攻击目标。
(2)ICMP协议的安全隐患:ICMP作用:差错控制、拥塞控制(没有用户数据)。原理:利用重定向报文破坏路由和利用不可达报文发起拒绝服务攻击。方法:ICMP包为64KB,根据包标题头信息为有效载荷生成缓冲区,载荷大小超过上限,导致堆栈溢出,系统崩溃。在局域网内还可以伪造ICMP重定向包,使其经过自己主机,就会产生不可达。
4.操作系统的脆弱性分析
操作系统的安全包括网络操作系统自身的安全和提供的服务接口的安全。网络操作系统由于自身代码多,不可避免地存在安全缺陷和安全漏洞。网络操作系统虽然提供了一些,如用户验证、审计跟踪、防火墙等安全功能,但仍然存在很多安全威胁。①系统安全配置不当,操作系统本身提供了一些安全防護功能,但是这些功能没有开启,防护功能起不到保护的作用,或是系统登录秘密设置简单,容易被黑客破解进而获得管理员权限。②系统服务,操作系统开启了一些网络服务,这些服务在提供给用户使用的同时也出现了一些漏洞,这些漏洞一旦被黑客发现,就会被黑客利用,获取服务器的访问权限攻击服务器或网内的用户。③病毒和黑客,病毒的威胁和黑客的攻击是网络系统安全威胁的主要来源。针对病毒的防治要及时更新病毒库和采取最新的国际化杀毒技术,将先进的杀毒模式引进,以提高杀毒软件的杀毒能力与杀毒效率。
黑客主要是通过扫描软件,发现系统安全漏洞,利用漏洞获取管理员账号密码,进而成功入侵校园网络系统。修补这些漏洞可以使用风险评估软件找出漏洞,下载补丁,修复系统。
5.应用层安全风险分析
校园网提供给 校园网服务、FTP 服务、数据库等服务。提供服务的系统也存在安全漏洞。①校园网服务,校园网对师生提供服务、对外宣传的窗口。如果存在漏洞,则黑客可能利用DDOS技术攻击网站服务器,修改数据、篡改网站网页、使网站不能正常使用。②FTP 服务,FTP 服务给师生提供文件上传和下载文件服务,但是端口长期开放会造成不法分子将敏感信息从公共信息剥离。同时FTP 服务是明文传输,信息易被黑客截获并破解。③数据库服务,攻击者可以利用数据库存在的漏洞,获取数据的信息进行破解,引起数据泄露。④TELNET,TELNET登录时会话中账号和口令明文传输,通过会话劫持获得账号和密码。⑤DNS,DNS服务器返回的相应信息被网络主机信任。伪造IP地址请求影响服务器映射表,控制服务器。
6.管理的安全风险分析
网络安全系统的日常管理是尤为重要的。特别是对网络管理的负有管理责任的工作人员。主要的管理风险体现在以下几点:①树立保密观念,切实保护好账号密码,不使用过于简单的密码。②操作人员对系统不熟悉,安全配置没做好。③管理制度不健全,机密文件处理不当。④没有责任心,对工作不负责,有意损坏网络设备。⑤网络安全系统内部人员 利用工作便利非法获取他人信息。
笔者在校园网安全方面从物理层、链路层、网络层、操作系统的脆弱性、应用层和管理层六个方面进行了风险分析,提出了校园网安全建设目标,提供了解决校园网日益增加的网络使用和应用软件的使用造成的对校园网安全带来的不安全因素问题的解决办法,为建设高效、稳定、安全的校园网奠定了坚实基础。
参考文献:
对民航信息系统安全分析 篇7
目前, 世界各国航空公司纷纷从维护信息时代根本利益的高度认识信息安全的重要性, 美国、日本、英国、法国等许多国家航空公司也都先后成立了高级别的信息安全机构。与此对比, 国内民航企业在信息系统安全保障方面还处在一个比较初级的阶段, 基本遵循着“出现事故一解决事故”的传统模式。因此建设适合民航系统的信息安全管理体系, 建立“安全评估一发现漏洞一解决漏洞—制定科学管理措施一预防事故”的新安全模式, 已经成为开展民航信息化的当务之急, 是民航信息化工作中不可避免的问题。
2. 研究方案
本研究方案分作三个阶段进行实施:第一阶段, 在国家评估标准GB/T20984-2007《信息安全技术信息安全风险评估规范》的基础上, 对典型的民航信息系统安全风险进行评估。这一阶段的工作内容有:分析并描述民航信息系统内涵, 对其内在拓扑结构、应用系统和业务流程进行分析;划分评估对象的范围并对其分类赋值;识别可能由人为因素或环境因素所引发的安全威胁, 并将其分类赋值;从技术和管理两个方面对信息系统中可能存在的脆弱点进行识别、分类, 并依照其各自严重程度的不同定级赋值;在对信息系统的资产、威胁和脆弱性安全赋值基础上, 计算信息系统的安全风险值;最后对风险结果进行分析, 讨论现有安全管理规定的隐患和不足之处, 制定风险处理计划, 制定出新的更合理的安全管理规定。
第二阶段, 在现有传统评估方法和评估模型研究的基础上, 针对民用航空行业的特殊性需求, 提出新的评估模型算法, 并加以应用实践。这一阶段的工作内容有:分析传统评估算法和评估模型, 指出其存在的不足;分析民航业信息系统评估的特别的安全需求和评估指标;在传统评估模型的基础上, 提出新的评估模型, 从而更好地符合民航业信息系统安全评估;利用得出的新的评估模型, 对信息系统进行评估应用实践, 并对最终实践数据进行分析、验证。
第三个阶段, 深入开展信息安全知识普及和实施信息安全人才培训计划。这一阶段的工作内容有:深入到民航公司和相关部门, 通过灵活多样的方式, 开展普及信息安全的活动。制定安全人才培训计划, 培训信息安全相关规范和有关国
家法律知识, 提高民航单位工作人员的信息安全意识, 加强规范信息系统工作制度, 提高防范意识。
3. 实施方案
3.1 民航信息系统安全评估
内容:如图l所示, 确定评估范围、目标;指定评估方案:资产评估;威胁识别;脆弱性识别;风险计算;已有安全措施的确认;评估结论。
风险值=R (A, 1., V) = (L (T, V) , F (Ia, Va) ) 。
其中, R表示安全风险计算函数;A表示资产;T表示威胁:V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
指标:评估出民航信息系统中的安全风险, 清楚地了解系统中目前的安全现状, 找到潜在的威胁和安全隐患。
3.2 民航信息系统安全管理分析
内容:风险等级划分:评估已有的安全控制措施是否可接受;对不可接受的部分提出相应的整改建议;对残余风险的评估。
指标:根据风险评估结果, 指出现有安全管理规范中不合理的因素, 制定出更加有效的安全管理规范。
3.3 传统评估算法模型的研究
内容:定性的评估方法研究;定量的评估方法研究;综合的评估方法研究;传统评估方法和模型的不足之处;改进的思路。
(1) 概率风险评估
概率风险评估 (PRA) 以定性评估和定量计算相结合, 将系统逐步分解转化为初始事件进行分析。确定系统失效的事件组合及失效概率。能识别风险及原因, 给出导致风险的事故序列和事故发生的概率。
(2) 费用、效益分析
费用、效益分析是系统评价的经典方法之一。在学术界、福利经济学理论的基础上, 该方法要求从经济总体上考虑费用和效益的关系, 以达到资源的最优化分配。
(3) 关联矩阵法
关联矩阵法应用于多目标系统。它是用矩阵形式来表示各替代方案有关评价项目的平均值。
然后计算各方案评估值的加权和, 再通过分析比较, 综合评估价值、评估值加权和最大的方案即为最优方案。
(4) 关联树法
关联树法是作为一种有助于对复杂问题进行评价的方法而产生的。最初它是用来对国家战略性的技术预测和设计的评价, 后来在开拓市场、投资分析等不确定状态下进行评价时也广泛应用起来。
指标:现有传统评估方法应用与民航信息系统安全评估中所存在的问题, 并指出其不足之处。
3.4 新的评估模型算法的研究
内容:民航信息系统的评估需求分析:改进传统评估模型的方法研究;新的评估模型框架;新的评估算法;新的评估模型应用实践;实践数据的验证。
(1) 层次分析法
层次分析法对系统进行分层次、定量、规范化处理。为决策者提供定量形式的决策依据。
(2) 动态风险评估法
动态风险评估法, 能够与时间紧密结合, 确定系统失效的事件组合及失效概率。
指标:新算法模型更符合民航业信息系统的实际需求, 具有良好的科学性、合理性和可操作性。
3.5 安全人才培训计划
内容:培训对象为民航公司相关单位工作人员。开展信息安全普及活动;开展信息安全技术培训班:编写信息安全培训教材:设立信息安全培训实验室。
指标:通过该计划, 能切实提高民航单位工作人员的信息安全意识, 规范信息安全操作, 提高保障信息安全的能力。
本文涵盖了民航信息系统保障机制的各个方面, 与民航日常工作和安全保障密切相关, 有着非常重要的学术意义和应用意义。在提高民航安全管理质量, 评估民航安全信息系统, 制定民航安全管理规范, 培训民航安全管理素质等各方面, 都有着重要的意义。
参考文献
[1]范红.信息安全风险评估规范国家标准理解与实施[M].北京:中国标准出版社, 2008:l—49
[2]科飞管理咨询公司编著.BS7799和ISO/IEC1779信息安全管理体系及其认证认可相关知识问答.北京:中国标准出版社, 2003:l5-29
道路交通系统安全分析 篇8
道路交通系统是由人、财、物、车辆、道路、运输基础设施、信息以及组织和管理组成的复杂系统。世界发达国家的公路运输(或称汽车运输)都很发达,当然其高速公路水平也都很高,道路交通的管理也非常先进,不但手段现代化,而且也非常严格,从而大大地降低了其事故率,这些对我国解决目前道路交通系统出现的各种问题都有很强的借鉴意义。近些年来,由于高速公路的修建,经济水平的提高和汽车工业的发展,我国汽有量越来越多,但是由于道路系统水平不够高,超载问题严重、交通拥堵、交通事故频发、环境污染严重、能源消耗等问题越来越突出。各部门在这方面了很多工作,但这些研究还处于局部的和零散的状态,没有从根本上解决问题。本文就从提高我国道路交通安全性的角度分析影响道路交通安全的因素,并提出相应的对策。
1、我国道路交通系统安全现状
在国家经济快速稳定发展的情况下在国家经济快速稳定发展的情况下,我国已在基础设施建设上投入了大量资金,尤其是道路交通基础设施领域。到2014年末全国公路总里程446.39万公里,比上年末增加10.77万公里。公路密度46.50公里/百平方公里,提高1.12公里/百平方公里。公路养护里程435.38万公里,占公路总里程97.5%。初步统计,全年公路水路道路交通行业环境保护投入165.84亿元,其中公路环境保护投入129.67亿元[1]。
但是,随着我国公路交通及运输的迅速发展,我国交通事故问题也越来越严重,受到了广泛关注。虽然,2014年道路交通事故万车死亡人数为2.22人,与上年的2.3人相比相比下降5.1%[2]。但是,根据我国各年的汽车保有量,可得2011年、2012年、2013年和2014年的事故死亡人数分别为29618人、30222.5人、31604.3人和34292.34人。因此,2014年的事故死亡人数与以上各年相比,分别增多了4676.34人,15.78%的增长率;增多4069.84人,增长率为13.46%;增多2688.04人,8.5%的增长率。由此可见,我国交通事故死亡人数实际上是逐年增多的。在多年以前,据瑞士的专家分析研究后就认为,每起道路交通行车事故平均可能找到1.5-1.6个影响因素[3]。一起交通事故往往包含着多种事故因素,因此,研究交通事故的成因,必须从多方面分析,从而提高道路交通质量,降低事故率。具体分析可知,道路质量及道路交通管理水平,与交通事故率以及交通堵塞问题密切相关,因此,要加强这两方面的建设。同时,为了解决以上问题,ITS也迅速发展,并在提高现代化道路道路交通安全性上发挥着举足轻重的作用,它也是当前交通领域的重要趋势。
2、加强道路交通管理
从现象角度来看,大部分事故都有各自的发生的原因,是具有孤立性和偶然性的,但是从统计的角度来看,其中一定有着某种相互联系的共有点。可以将其分为直接与间接因素来分析,也可将其作为人、车、路和外界环境的原因来具体分析。而人是其中最主要的原因,绝大部分的事故原因几乎都与人有关,因此应将人最为主要分析对象,加强交通管理。
在高速公路和普通公路的管理方面,美国做的非常好,其道路交通管理手段和技术都很先进,拥有能够全天监视和疏导交通的完善、先进的监控系统。同时在重要的高速公路路段还有在地面或空中执行监视任务的巡警,这对紧急事故处理有很大作用。而且,美国在建设公路时也很严格,各种标志都很清晰,驾驶者完全可以根据地图和路标准确行驶,这些对于我国交通管理发现以及解决问题有一定的促进作用。
2.1路政管理问题
道路交通路政管理的任务不仅是要保证公路基础设施和路权的完整,更重要的是保证高速公路车辆的通畅性与安全性。但是我国高速公路路政管理部门却由于管理人员素质不高、管理制度与执法主体不明确等原因而具有较低的管理水平与手段,致使一些轮式车、农用车等违禁车辆上高速的事件时有发生,从而使事故率也大大提高。因此,在路政管理方面,管理部门应该首先要制订、修改或完善高速公路货物运输、安全行车相应的法律、法规,提高管理人员政治素质与业务素质,并严格遵循“归属清晰,权责明确,执法严格,公开透明”的原则,履行好监察和服务职责。
2.2交通参与者
现代社会经济不断发展,机动车保有量也持续增加,现代物流业快速发展,道路交通客货运输业也得到了迅猛发展,成为我国客货运输的主要组成部分,由此带来了道路道路交通组织形式的不断变化,道路道路交通量不断提高,同时交通事故量也不断上升。而导致交通事故发生的原因主要是驾驶员缺少公路行驶经验,缺乏交通常识以及交通安全法规意识薄弱,如:驾驶技术不达标、无证驾驶、疲劳驾驶、酒后驾驶、超速、违章超车、超载、车间距过小等,尤其是在雨雪雾等恶劣天气、路面结冰或雨后积水时,更容易发生交通事故。同时,乘车人在公路上随地上下车及随意横穿公路也易引起交通事故的发生。因此,国家从宏观上应加强道路交通安全生产管理政策的研究以及对驾驶员的教育和管理,提高驾驶员的素质,使驾驶员熟知道路交通行驶特点,懂得其注意事项,同时对违章者进行严肃处理,使之明白事件的严重性。
2.3监控体系以及信息化问题
高速公路的监控体系主要由交通监控系统和收费监控系统两部分组成。而目前我国的高速公路主要以收费监控系统为主,有“重收费轻交通”的问题,且缺乏统一的高速公路交通事故信息系统。因此,我国应加强智能运输系统的研究与应用,将先进的检测、计算机、通信技术综合应用于建立和完善道路道路交通监控体系,加强信息化建设、提高道路安全性。
2.4救援体系
据国外统计,对交通事故现场的及时和正确抢救措施能使10%以上的受伤者得以生还和康复,因此一些高速公路比较发达的国家在加强用于紧急救援设备的开发的同时,大力开展有关交通事故紧急救援理论方法的研究。我国起步晚,基础差,技术人员少等原因,高速公路紧急救援体系不论是在应用技术的开发还是在理论研究方面都还有一段较长的路要走。
3、提高道路建设
道路交通的基本要素,道路的技术等级、设施条件和交通环境对道路交通安全具有非常大的影响,有时它们会成为交通事故发生的主要原因。据统计,不安全的道路条件或道路环境直接导致了10%的道路交通事故的发生,而且它们也间接导致了大部分事故的发生。如前苏联的研究表明,70%的交通事故与道路状况有直接或间接关系,可见作为系统中的基础设施—道路对交通安全确实起着重要作用,甚至在某些特殊条件下起着决定性的作用[4]。
3.1道路线形对道路交通安全的影响
道路本身展示出了路线和道路外部轮廓及其交通状态,是最直观、最具感觉特性的信息。研究表明,驾驶员在驾车的过程中,主要依靠感官感受信息,各种感官接受外界信息的比例为:视觉占80%,听觉占14%,触觉占2%[5]。因此,在道路设计时应充分考虑道路几何结构的视觉效果对安全性的影响,构建符合驾驶人视觉需要的行车条件。
道路线形与交通安全的关系包括曲线半径、曲线频率、转角、坡度与坡长、线形组合与安全的关系。交通事故约有1/3都是发生在平、纵曲线上,随着平曲线曲率的增大,事故发生的频率增加。在道路上合理地设置曲线会相应地减少道路交通事故。对于曲率较小的弯道,曲线频率的影响相对较小。前苏联塞留可夫通过研究表明,道路转角与道路安全的关系是随着转角的增加,交通事故率增加。道路的坡度对于交通安全的影响主要表现在,处于下坡阶段,随着坡度的增加,交通安全性降低;处于上坡坡度时,事故率基本无大的变化,甚至有减小的趋势。道路中与交通安全关系密切的线形组合一般有:平曲线上有多个变坡点;竖曲线内有多个平曲线;小曲线与短直线组合成的断背曲线;凸曲线、凹曲线设置小半径平曲线起点;凸曲线顶部、凹曲线底部设置反向平曲线拐点等。以上各道路基本参数均有《公路路线设计规范》和《公路工程技术标准》中都有具体的要求。
3.2视距对道路交通安全的影响
平、纵线形的组合对视觉诱导起重要作用,在视觉上违背自然诱导的线形组合是导致事故多发的主要原因。行车安全性的大小,与不同线形之间的组合是否协调有密切关系。《公路路线设计规范》中对道路平、纵线形的配合有如下要求:“计算行车速度=60km/h的公路,必须注重平、纵的合理组合。不仅应满足汽车运动学和力学要求,而且应充分考虑驾驶者的视觉和心理要求。”[6]
为使行车安全,驾驶人员应能随时看到前方一定距离的路程,一旦发现前方道路有障碍物、对向来车或出现紧急情况,能够及时采取措施,避免碰撞,这一最小的距离称为行车视距,它是道路使用质量的重要标准之一。在德国的道路交通事故中,由于视距不足引起的交通事故的比例占到44%,由此可见一斑。国内外道路交通事故统计资料表明,道路平面线形上视距不足反映出来的道路交通事故数量,没有纵断面线形上的视距不良反映的明显。而竖曲线的视距越短,交通事故越频繁。
在竖曲线上不同视距下的事故率见表1[7]:
《公路工程技术标准》中对于各级公路在平面线和纵断面上的停车和超车视距,也有相应的严格规定。
3.3路面状态对道路交通安全的影响
对于高等级公路,路面集料的性能直接影响路面的抗滑性能和耐久性。这种性能的好坏也会影响交通的安全水平。此外,车辆行驶的方向稳定性与平顺性等性能都受到路面的平整度的影响,因此路面平整性也对交通安全有一定的影响。
行车道宽度越小,驾驶员在会车或者曲线路段超车时越紧张,交通事故率也越高,因此,应适当增大车道宽度,提高其安全性。实践证明,完善合理的交通标志、标牌、标线的设置可为驾驶员提供充足的交通信息,从而提高交通的安全水平和行车的舒适性。交通标线不仅对交通的分道行驶、渠化作用明显,同时其余道路路线的一致性、流畅性、几何规范性和夜间可视性都对交通安全起到很重要的作用。
4、促进智能运输系统发展应用
二十世纪八十年代下半叶以来,伴随城市化进程的加快和汽车的普及,交通拥挤现象日益严重、交通事故发生率急剧上升、交通环境日趋恶化、交通能源问题日渐突出,交通问题成为普遍困扰世界各国的难题。
人们对交通系统的规模复杂性和开放性特征有了更深一层的认识,并开始意识到,单独从车或路单方面考虑很难从根本上解决问题。因此,从系统观点出发,综合考虑车与路,运用先进的现代技术解决道路交通问题的ITS就应运而生了。
毫无疑问高速公路智能交通控制和管理系统是高速公路系统极其重要的组成部分。通过充分借鉴发达国家的发展经验,在ITS领域针对改善交通安全开展相关研究、开发和示范应用,已成为目前中国改善道路交通安全的重要手段之一。其中的高速公路联合监控系统、ETC车道收费系统、自动执法系统、具有行驶功能的卫星定位装置、高风险路段警示系统以及不利天气条件警示系统等ITS技术及设备现已在中国得到了规模应用并已取得一定的效果。因此,在今后的工作中,应确发展目标和战略、加大资金投入、加强标准化工作、注重科学评价加快产业化发展,使ITS充分发挥其在提高道路交通安全方面的优势。
5、结语
我国现阶段虽已进行了大规模的道路建设,但是水平不高且不够完善的交通管理系统制约了高速公安全性。根据应提高路建设水平、加强道路道路交通管理、提高并完善智能运输系统的应用,将先进的检测、通信、计算机技术综合应用于道路交通系统中,使车辆和道路的功能智能化,提高道路交通的安全性。
摘要:随着科学技术与经济技术的迅速发展,我国机动车保有量持续增加,道路交通系统建设逐步走向成熟。但是随着我国社会汽车化程度的提高,交通拥堵、交通事故频发、环境污染严重、能源消耗以及它们引起的各种问题严重阻碍着道路运输系统效益的发挥。实践和研究表明,道路系统建设、交通管理机制以及道路实际通行能力的提高是解决上述问题的有效途径,同时,智能运输系统(ITS)也进入大众视野并迅速发展起来,成为道路交通系统的建设以及解决此系统各项问题的关键要素。文章从提高道路运输安全性的角度出发,对我国在加强道路道路交通管理和提高智能运输系统发展方面进行系统的分析,并在此基础上提出相应的措施和方法。
关键词:道路交通系统,道路道路交通管理,道路系统建设,智能运输系统
参考文献
[1]道路交通部综合规划司.2014年道路交通行业发展统计公报[N].中国交通报,2015-04-30002.
[2]中华人民共和国2014年国民经济和社会发展统计公报[J].中国统计,2015,03:6-14.
[3]郑安文,郭健忠.重视道路因素对道路交通安全的影响作用[J].武汉科技大学学报(自然科学版),2002,01:31-34.
[4]华平.高速公路交通安全管理[M].北京:人民交通出版社,2005.
[5]韦勇球.论道路条件对交通安全的影响[D].北京工业大学,2003.
[6]JTG D20-2006,公路路线设计规范[S].
企业信息系统安全体系建设分析 篇9
企业信息系统在满足其自身业务特点的同时, 还要保障系统安全、稳定、高效的运行, 这就要信息系统建立一套安全防护体系, 是集安全技术、管理和审计等多重因素于一体的综合系统工程。因此, 企业管理者不仅要对信息系统的软硬件“保投入、常维护”, 而且不能忽略相关审计流程, 积极排查风险, 将信息安全技术、信息安全管理和审计工作融入企业发展策略中, 这样才能保障信息系统为企业业务提供最大限度的帮助。
一、信息系统安全技术
最直观的来讲, 安全技术的强弱决定信息系统是否安全, 是信息系统安全体系的重要基础。在企业实际工作中, 将面临硬件审核、网络入侵、病毒和数据安全等方面的问题, 制定符合自身业务特点的策略。下面详细介绍企业面对上述风险时面临的问题及对策分析:
1. 硬件设备问题
多数企业信息系统是外包定制开发的, 且在运维过程中, 没有重视对于系统的硬件设备进行维护和管理, 更谈不上有相关的、完善的保障机制和运维制度。一旦系统因为硬件设备故障、断电或网络问题造成信息丢失、服务中断等问题无法正常使用, 往往一次意外, 就会给企业造成巨大的损失。由此可见, 对硬件设备的安全运维和妥善管理是企业信息系统安全体系的基础保障, 是企业管理者不能忽视的一个环节。
常规的硬件设备运维需要完成以下几个方面:
◆信息系统要求不断电运行的, 要配置UPS电源, 提供可应急的不间断供电能力;定时检查UPS运行情况。
◆建立定期巡检制度, 安排专人负责对硬件设备、网络等运行状态进行检查, 发现问题及时上报、处理。
◆为保证系统数据安全, 对接入硬件设备的介质进行严格管理, 并对进入机房人员进行登记。
◆为保证系统硬件设备安全、尽量采用远程方式对硬件设备进行操作。
2. 网络入侵问题
网络入侵主要以盗取信息和攻击系统为目的, 它需要利用系统本身存在漏洞对系统进行操作。企业需要根据自身网络特点对系统安全设备进行配置, 避免外界非法访问企业内部资源。
常规的防范方法如下:
◆制定相应的访问控制策略, 根据业务需要严格控制员工对设备、资源访问方式和时限。
◆管控硬件设备端口, 只按需开放制定端口, 减少漏洞, 增加入侵难度。
◆定期扫描系统漏洞、更新相应补丁。
◆有条件的话, 可以部署IPS (入侵防御系统) 和IDS (入侵检测系统) 设备。
3. 病毒问题
病毒主要针对信息系统所部属的操作系统进行攻击。操作系统感染病毒, 也会造成信息系统的崩溃、信息丢失等严重问题。
常规防范方法如下:
◆在操作系统中安装杀毒软件, 并定期对其更新。
◆根据企业自身网络特性, 对杀毒软件进行正确的安全配置, 降低病毒感染风险。
4. 数据安全问题
数据是信息系统最核心的财富, 因此, 数据安全是系统安全的重中之重。数据安全包括数据存储安全和数据传输安全两方面, 具体如下:
◆数据存储方面, 采用定期备份机制, 做到多位置保存数据及数据完整性和恢复能力。
◆数据传输方面, 采用数据密钥、VPN网络传输等方法, 保证数据的安全传输。
二、信息系统安全管理
信息系统安全管理是安全技术能够完善实施的有力保障。俗话说, 三分技术、七分管理, 技术再好, 没有好的管理, 技术也无法顺利实施, 因此, 完善的管理制度是信息系统安全体系建设的重要部分。
1. 建立和完善企业信息系统安全管理制度
系统安全管理制度是根据我国安全生产方针及有关政策和法规制定, 是企业信息系统安全体系建设的基础, 它的建立和完善对信息系统的正常运行起着非常重要的作用。
2. 普及信息安全知识、提升员工相关安全意识
多数企业管理者更关注生产安全, 而降低了对信息安全的重视程度。实际上, 应该普及员工对信息安全的认知, 提升信息安全防范意识。企业员工若具有较高的信息安全意识, 将给企业信息系统安全体系建设带来很大助力, 并且对于安全体系的实施也有一定成效。
3. 严格执行安全制度、狠抓制度落实
在安全体系建设过程中, 必须严格执行信息系统的操作流程和管理办法, 极力清除系统安全隐患。管理过程中, 发现问题及时上报, 并按照相关规定进行处理。
4. 积极认真分析信息系统安全问题
随着信息技术发展速度越来越快, 信息系统安全管理的难度也在不断增高, 企业管理者需要不断的学习相关知识, 并且认真分析信息系统存在的新问题、新漏洞。同时, 将发现问题和解决方案整合为一套新的、更加严密的信息系统安全管理制度。制度内容要求具有可操作性、合理性、无语言歧义, 并包含清晰、明确的操作步骤。做好信息安全问题的分析工作, 才能提升信息系统安全管理的应急处理能力。
5. 建立系统安全管理平台
为面对企业信息系统日益严峻的安全问题, 在加强系统安全基础设施建设的同时, 必须将安全管理制度融入到所有的业务流程中, 贯彻对安全意识、制度的安全管理思路, 量化管理标准, 形成一个功能性强的安全管理平台, 促进员工对企业安全管理的执行, 提升企业信息系统安全管理的可执行性。
三、信息系统安全审计
做好企业信息系统安全体系建设, 需要对系统安全进行审计, 及时发现并解决安全漏洞, 不断提升安全管理水平, 这是一个长期的, 需要持续不断更新的系统工程。企业管理者普遍要面临的问题是, 如何建立健全企业信息系统安全审计制度, 并在满足相关法律法规及行业标准的基础上, 有效地对企业信息系统实施安全管理和风险控制。
信息系统安全审计是指审计人员对企业信息系统的安全风险、风险应对措施等进行评估的过程, 审计人员要求对相关安全知识、专业技能以及行业特点具有高度的认知程度。他们需要收集、分析、评估所有系统安全相关的信息, 完全掌握的系统安全状态, 为使信息系统安全程度最大化、风险最小化而制定有效的、可实施性强的安全策略, 确保信息系统安全体系建设的合理性和实用性。
目前, 各类企业的信息系统已经逐步融入了它们的日常办公和业务流程中, 企业管理者也已经认识到了信息系统安全是企业运营过程中不可缺少的一个组成部分。因此, 安全审计必须覆盖所有业务部门、技术部门和管理部门, 所有员工都应该参与其中, 并配合它的实施。
在普通意义上, 根据信息系统的特性, 安全审计工作包括如下内容:
1. 数据审计
前文提到过数据时信息系统最重要的部分, 也是企业最宝贵的资产。对系统数据安全的审计工作是非常关键的, 其目的在于保障数据安全性和完整性, 避免人为原因造成的恶意破坏和窃取。
数据安全防护的主要手段有:
◆严格控制用户访问行为, 明确划分用户权限。
◆规范数据操作流程和保存方法。
数据安全审计过程中应重点关注:
◆数据操作人员应选择, 具有计算机、行业相关专业知识, 具有岗位资格或接受过相关培训的人员。
◆信息系统要求能够记录所有用户行为, 并将其形成日志保存, 充分备份, 以用于审计工作。
2. 数据传输审计
信息系统中, 数据在子系统之间传输的过程中也是极为容易出现问题的, 尤其是一些企业信息系统需要访问互联网资源的, 就更容易在数据传输过程中出现数据安全问题。
数据需要传输的情况很多, 如果只靠员工个人的努力, 是没有办法避免问题的。比如:某业务需要手工录入数据, 并同时同步到几个子系统的情况。如果数据在同步传输的过程中, 发生的变化, 致使各子系统得到的参考数据不一致, 会出现非常严重的后果。
由上例可知, 在数据传输审计过程中, 要重点关注如下问题和常规解决办法:
(1) 数据的可靠性、完整性
问题:数据可能在传输过程中发生变化我们要如何校验?
解决办法:常规办法是使用数据校验码, 将校验码和数据同时进行传输, 接收方使用校验码和数据进行匹配, 成功后证明数据是正确和完整的。匹配不成功, 要求系统重新发送数据, 避免数据错误造成的损失。
(2) 数据路径的可靠性
问题:比如不同的子系统同时进行一个数据传输行为, 如何判断数据是否为我们所需?
解决方法:常规办法是业务流程需要捕获并验证, 数据来源地址, 查询系统相关配置, 与配置要求一致时, 可认为数据路径可靠。
(3) 数据的时效性
问题:业务流程要求异步传输一个组数据来完成当前功能, 如果服务器迟迟没有回应, 业务程序将死锁在当前状态。
解决办法:常规办法是对数据回应时间进行管理, 如果数据返回超时, 业务流程应作出适当的处理。
3. 内部审计
内部审计是指审计企业信息系统内部是否符合安全体系建设要求的过程, 其审计对象包括系统环境是否达标、规章制度是否健全且完善、执行情况是否到位等。
常规的内部审计包含如下几方面内容:
◆控制信息系统终端:服务器、PC、输入设备等。
◆控制存储资源:系统软件、数据库等。
◆严格控制用户授权, 对用户访问范围进行严格设定。
◆按标准划分系统资源, 分级访问。
◆对信息数据操作进行审计, 记录信息的增删改行为的详细过程。
◆确保所有信息数据操作是经过授权的。
◆定期排查系统漏洞、更新病毒库。
四、结束语
企业网络系统安全需求分析 篇10
1.1 安全威胁
计算机安全事业始于上世纪60年代末期。当时,计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。但是,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而加予控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,同时还有可能受到计算机病毒的感染等等,随之而来并日益严峻的问题便是计算机信息的安全问题,并已成为未来信息技术中的主要问题之一。
1.2 网络安全的体系结构
企业网络的安全涉及到平台的各个方面。按照网络OSI的7层模型,网络安全贯穿于整个7层模型。针对企业网络实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
图1表示了对应企业网络的安全体系层次模型。
(1) 物理层的安全
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
(2) 链路层的安全
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
(3) 网络层的安全
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
(4) 操作系统的安全
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
(5) 应用平台的安全
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
(6) 应用系统的安全
应用系统完成网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。
2 企业网络安全分析
自信息系统开始运行以来就存在信息系统安全问题,目前,通过网络远程访问和内部非法用户而构成的安全威胁,特别是在Internet网络上产生的安全威胁已经成为严重问题。根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元,在全球平均每20秒钟就发生一次网上入侵事件,一旦黑客找到系统的薄弱环节,所有用户均会遭殃。
2.1 企业信息网特征
(1) 开放式网络环境,可与其它网络互连并实现信息的交换与共享;
(2) 遵循国际标准,包括网际互联协议标准, 网管标准等;
(3) 网络系统具有实用性,针对性,留有网络扩展的余地;
(4) 所有设备都支持网络管理、扩充及升级。
以上特征充分反映了网络系统的高度开放性,但与此同时也产生了许多可能出现的网络安全问题隐患,其中主要包括:
(1) 操作系统的安全性。目前流行的许多操作系统均存在安全隐患,如UNIX服务器,NT服务器及Windows桌面PC。广泛使用的Linux为开放系统,安全漏洞更成为潜在威胁。
(2) 数据库系统的综合安全性。
(3) 采用的TCP/IP协议族软件,本身缺乏安全性。
(4) 与Internet连接间没有防火墙的安全隔离,外部黑客若想攻击,如入无人之境。
(5) 来自内部网用户的安全威胁。据IT统计,所有安全威胁及造成的危害中,80%来自企业内部。而目前对内对外的入侵均无风险漏洞评估审计和黑客入侵防护系统。
(6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。
(7) 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,很容易造成安全漏洞。
(8) 网络不可视,出现故障难以分析、排除,影响整体运行和应用系统,缺乏有效的手段监视、评估网络系统的安全性。
2.2 企业的网络安全需求
鉴于以上计算机网络所面临的安全性威胁以及企业目前的购置能力和需求,我们本着以局域网信息安全保护为重点的总体设想,提出构造安全网络结构和加强计算机病毒防范,从而建立起一套适用于企业信息网的最基本的安全体系结构。
(1) 网络正常运行。即使有非法访问企图,能够被阻挡在内部网外,保证网络系统继续正常运行。满足基本的安全要求,是该网络成功运行的必要条件,在此基础上提供强有力的安全保障,是建设企业网络系统安全的重要原则。
(2) 网络管理, 网络部署, 数据库及其他服务器的资料不被窃取。企业网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。
(3) 服务器、PC和Internet/Intranet网关的防病毒保障。对于各种各样的网络非法访问和攻击,以及日益猖獗的病毒袭击,阻挡非法访问并抵御网络攻击和清除病毒危害,以保证正常的灵活高效的网络通讯及信息服务,是需要解决的首要问题。
(4) 提供灵活高效且安全的内外通讯服务。
2.3 企业关键子网络安全需求
与普通网络应用不同的是,关键业务系统是企业应用的核心。对于关键业务系统应该具有最高的网络安全措施,例如:总经理子网,财务子网。
(1) 访问控制,确保业务系统不被非法访问。
(2) 数据安全,保证数据库软硬件系统的整体安全性和可靠性。
(3) 来自网络内部其他子系统(子网段)的破坏,或误操作造成的安全隐患。
(4) 入侵防护,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。
(5) 系统服务器、客户机,以及电子邮件系统的综合防病毒措施。
3 企业网络安全管理与保障
总体上企业的网络安全及管理方案包括以下两个主要方面:
(1) 平台系统中各级平台的防病毒安全及监控的需求。
(2) 应用系统中的内部业务系统网络安全需求与Internet服务的安全的需求。
3.1 平台安全的管理因素
平台安全可以采用多种技术来增强和执行。但是,安全系统最终是需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。首先,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:
(1) 确定该系统的安全等级;
(2) 根据确定的安全等级,确定安全管理的范围;
(3) 制订相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;
(4) 制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;
(5) 制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录;
(6) 制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;
(7) 建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。
3.2 应用系统的安全及管理体系
与保安安全体系类似,企业应用系统的安全休系应包含:
(1) 访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2) 检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可通过封查漏洞使绝大多数攻击无效。
(3) 攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时防护出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4) 多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(5) 隐藏内部信息,使攻击者不能了解系统内的基本情况。
(6) 多级防病毒体系, 中央管理监控服务。
(7) 网络各层可透明管理分析,及时排除故障。
(8) 设立安全监控中心,为信息系统提供安全体系管理、监控,保护及紧急情况服务。
企业网络安全需求分析为安全策略的制定提供了依据并指明了加强网络安全的方向;网络安全评估可以检验安全策略是否满足网络的安全需求并可以指出安全策略的不足。因网络环境是动态变化的,安全技术也在不断地发展变化,所以只有不断地分析网络新的安全需求,制定新的安全策略,不断地循环上面提到的安全圈,才能不断地提高网络的安全性,保持网络的足够安全。
参考文献
[1]杭州数字电视网络安全评估报告.2006年9月.
[2]潘爱民.计算机网络 (第4版) [M].北京:清华大学出版社, 2004.
