網絡安全控制范例

摘要：

網絡安全關系到人們的生產、生活的有序進行，提高識別和消除網絡的不安全因素尤為重要。文中闡述了實現網絡安全、病毒預防、系統安全和數據安全的控制方法及具體措施。

關鍵詞：

信息安全；數據安全；網絡安全；病毒預防

隨著計算機網絡的迅速發展，無論是有線網或無線網在各行各業的應用都是在不斷深入。信息網絡已經成為社會發展、人民日常生產的重要保證。網絡安全問題，已經引起網絡用戶高度重視。確保網絡安全、數據安全、信息安全、工作暢通無阻、高效地工作，是各級網絡從業人員的重要職責。

1網絡安全的影響因素

（1）信息安全通常是指保證數據在傳輸的過程中不受偶然的或者惡意的原因遭到破壞、更改、泄露，保證信息系統能夠連續可靠正常地運行，信息服務不中斷。信息安全涉及到信息的保密性（保證信息不泄漏給未經授權的人）、完整性（防止信息被未經授權的篡改）、可用性（保證信息及信息系統確實為授權使用者所用）、可控性（對信息及信息系統實施安全監控）。

1信息安全控制原理

1．1網絡的安全

網絡的安全主要涉及軟、硬件以及物理環境措施等信息安全技術方面的保護措施，同時還涉及到人員安全意識、規章制度以及管理維護措施等信息安全的人員管理規范。保護網絡系統中的數據、硬件、軟件不受到惡意或偶然的泄露、破壞、更改，使網絡系統可以安全穩定運行是網絡安全的基本內涵。傳統網絡對系統的要求是沒有漏洞，這就要通過技術手段不斷對漏洞進行修補，但是此模式有一個非常大的弱點，即把系統的漏洞看成是固定的靜態存在，可是在實際系統運行的過程中漏洞與系統運行狀態是緊密聯系的，總在不停變化?；谶@種情況，現代網絡安全概念應運而生，即指以深刻認識到網絡安全脆弱性和蛻變性為基礎，正視網絡中的安全問題，同時在修補漏洞時輔以強大的防控舉措，從而有效提高系統處理、監控以及檢測漏洞和攻擊的能力，使得搭建出的安全防護系統能夠反應迅速。

1．2自動控制原理

自動控制指在無人參與的情況下，利用外加裝置（即指控制器）對設備、機器以及生產過程的單個參數或是工作狀態進行控制，使之能夠根據預定的目標自動運行。一般將此種由被控對象和控制器相結合而成的整體，稱做是自動控制系統。在自動控制系統中最具核心價值的是建立在反饋控制原理上的反饋控制系統，其實質是為了提高控制效果，利用被控量和預期量間形成的差值不斷對被控制量進行修改，使被控制量無限接近預期值，這種反饋控制的系統在某種條件下形成了閉環控制的系統。

1．3信息安全控制的基本原理

信息系統是信息安全的基礎，無論其具有怎樣的特征，都應包括在系統的范疇內，并且基礎信息在信息系統中都是由0和1組合而成的比特流，所以在信息安全中可以運用到某些自動控制的原理，滿足信息系統動態的變化要求，提升系統的安全性，對整個信息系統進行安全控制，這就是信息安全的基本控制原理。

摘要：重點針對智能電網當中網絡安全的重要性進行了全面分析和研究，從物理安全、通信安全以及數據處理安全等幾個重要方向，深度研究了智能電網當中網絡安全問題，并且對安全技術的具體應用策略進行了闡述，全面推動中國智能電網朝著更加安全和高效化的方向發展。

關鍵詞：智能電網；網絡安全；關鍵技術；應用策略

當前隨著中國各項科技技術不斷向前發展，智能電網已經融入到了人們日常生活和工作的方方面面，有效提高老年人的日常生活質量，并且推動著中國社會經濟的快速向前發展。所謂智能電網，主要指的是供應商和消費者相互之間，形成一種雙向通信結構的升級電網，智能化電網的功能相對較多，不但具備了智能測量功能，同時還具有監視系統的功能效果，在實際的供電工作中，可以根據用戶的電力消耗狀況，實現對電力資源的自動化分配。

1智能電網中網絡安全問題分析

當前智能電網作為中國互聯網發展背景下重要的產物之一，給人們的日常生活和工作帶來了諸多方便，同時也推動整個城市經濟快速向前發展。但是由于智能電網的整體結構過程具有較強的復雜性，在使用過程中不可避免會出現各種安全風險問題，相關工作人員對多年的智能電網工作經驗進行了總結和分析，認為智能電網在運行工作當中產生的安全問題，主要表現為以下幾個方面。

1.1物理安全問題。物理安全問題主要指智能電網在運營和工作過程中，各種硬件設施產生安全問題，這一問題的形成原因主要表現在設備的硬件設施產生安全故障。比如，電腦終端設備損壞、網絡設備故障以及各種存儲設備等產生故障問題，都會對整個智能電網的正常運行產生不同程度的影響。物理安全問題是智能電網安全控制工作中非常重要的工作環節，必須要充分做好相關的安全防護工作，有效避免人為性因素破壞業務系統的外部硬件設施，進而對整個智能電網供電系統產生嚴重的影響。在具體的防范工作中，需要重點針對接觸智能電網硬件設施的人員進行嚴格的審查和追蹤[1]。

1.2通信安全問題。通信安全問題主要指智能化通信網絡架構的運行安全問題，通信安全問題主要發生在通訊網絡，原因多為沒有具備多次系統的安全防護工作方案，應在網絡運行工作當中合理運用各種安全技術來保障整個網絡運行的安全性和穩定性。

摘　要：基于軟件定義網絡（SDN）和網絡功能虛擬化（NFV）的新型網絡取代傳統網絡勢在必行，因此研究基于新網絡環境的網絡安全體系結構迫在眉睫。介紹了一種開放且通用的軟件定義的SDS安全架構，它可以為安全服務、安全設備和安全管理提供一個開放的接口，并且支持不同的網絡安全供應商部署其安全產品和安全解決方案。此外，可以實現虛擬安全功能VSF的部署、安排和定制，并且實現了細粒度的數據流控制和安全策略管理。最后，還分析了系統不同部分易受攻擊的不同類型的攻擊。防御者可以通過更改服務器端安全性配置方案來防備網絡攻擊。

關鍵詞：網絡功能虛擬化；軟件定義的網絡；虛擬安全功能；軟件定義的安全；安全服務功能路徑

0　引言

新一代的網絡主要基于軟件定義網絡（SDN）和網絡功能虛擬化（NFV）實現［1－2］。SDN將網絡設備的控制層和數據層分開。網絡不僅可以完成數據傳輸的任務，而且可以成為一種靈活的資源，經過虛擬化后可以作為計算和存儲資源進行部署。而NFV使軟件和硬件脫鉤，因此網絡設備功能不再依賴于特殊的硬件。基于此的虛擬化技術和功能抽象實現了基于實際業務需求的網絡功能軟件、新業務的快速發展和部署、自動部署、彈性擴展、故障隔離自我修復等功能。2015年，綠盟科技有限公司的軟件定義安全系統支持apt、云Web安全、自適應訪問控制、信息混合環境中的態勢感知和其他安全應用［3］。華為的SNC控制器可以提供端到端的完整解決方案，以幫助運營商快速部署SDN網絡，減少OPEX，快速部署新服務并加速業務創新［4］。但是，目前所提出的封閉系統仍然是單一的安全產品和解決方案，缺乏情報威脅分析和處理，無法提供真正的定制產品，并且檢測和深度數據挖掘機制無法找到真正的威脅。本文提出了一種標準且開源的、用戶定義的新型網絡架構，該架構可以為許多安全產品和服務提供商提供一個可協調、可互操作、可控制的安全平臺，并為軟件定義安全提供了參考體系結構和藍圖。

1　基于SDN／NFV技術的軟件定義安全體系架構設計

SDS基礎架構圖，如圖1所示。整體上分為3個層次：安全應用層、安全控制層和基礎設施。其中，安全應用層即為安全App所在層次，App通過接口實現對安全控制和有關操作?；A設施層包括了云平臺以及其相關的資源集合（主要是虛擬機）、安全資源池（CPU、內存、帶寬等軟硬件資源）。安全控制層是SDS架構的核心部分，下面將對該部分展開詳細介紹?；贜FV技術的虛擬安全資源池：基于NFV的思想，我們將安全產品的硬件與軟件分開，并在虛擬化池環境中運行它。利用虛擬交換機實現導流平臺導流：利用部署在云環境中的分流虛擬機，將流量導出到云外網絡安全控制層的虛擬交換機中。利用虛擬路由器實現流量分類：網絡安全控制層的虛擬路由管理器可以根據應用層發布的流量牽引策略設計流量分類策略，然后將流量分類策略發送給流量分類虛擬路由器。虛擬安全功能（VSF）：VSF用來描述網絡中處理流量的安全功能，如防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）、負載平衡等。安全服務功能鏈（SSFC）：安全服務功能鏈是將虛擬安全功能（如防火墻、入侵檢測系統、代理、入侵防御系統等）以鏈的形式連接起來，用于流量分類［5］。安全服務功能路徑（SSFP）：SSFP是SSFC中包／幀從源到目標的邏輯路徑經過細粒度策略和操作約束后的結果。SSFP的優點是SSFC中的VSF模塊可以按照粒度策略和操作約束執行，而不需要改變SSFC的拓撲結構［6］。網絡安全策略管理和流量牽引策略管理：在本系統中，PGA［7－8］負責安全策略管理模塊和流量牽引策略管理。在大型企業網的數據測試中，PGA表現出良好的數據處理能力和良好的時延，驗證了PGA的可行性［9］。虛擬安全功能管理器（VSFM）：主要是負責虛擬安全功能的相關資源和生命周期管理。虛擬安全基礎設施管理器（VSIM）：虛擬安全基礎設施（VSI）包括虛擬化層（如docker和虛擬交換機）［10］和物理資源（如服務器、交換機和計算、存儲和網絡資源）。而VSIM的主要功能是管理和監控整個基礎設施資源（包括硬件資源和虛擬資源）。虛擬安全功能適配器（VSFO）：主要功能是創建虛擬網絡和網絡安全服務、監控虛擬網絡安全服務、編排虛擬網絡安全功能拓撲、VSFs和整體資源管理，它是整個SDS的控制核心結構。應用層：安全控制層為應用層用戶提供編程接口，用戶可以控制網絡。

2　系統安全分析

摘要：基于軟件定義網絡（SDN）和網絡功能虛擬化（NFV）的新型網絡取代傳統網絡勢在必行，因此研究基于新網絡環境的網絡安全體系結構迫在眉睫。介紹了一種開放且通用的軟件定義的SDS安全架構，它可以為安全服務、安全設備和安全管理提供一個開放的接口，并且支持不同的網絡安全供應商部署其安全產品和安全解決方案。此外，可以實現虛擬安全功能VSF的部署、安排和定制，并且實現了細粒度的數據流控制和安全策略管理。最后，還分析了系統不同部分易受攻擊的不同類型的攻擊。防御者可以通過更改服務器端安全性配置方案來防備網絡攻擊。

關鍵詞：網絡功能虛擬化；軟件定義的網絡；虛擬安全功能；軟件定義的安全；安全服務功能路徑

0引言

新一代的網絡主要基于軟件定義網絡（SDN）和網絡功能虛擬化（NFV）實現［1－2］。SDN將網絡設備的控制層和數據層分開。網絡不僅可以完成數據傳輸的任務，而且可以成為一種靈活的資源，經過虛擬化后可以作為計算和存儲資源進行部署。而NFV使軟件和硬件脫鉤，因此網絡設備功能不再依賴于特殊的硬件。基于此的虛擬化技術和功能抽象實現了基于實際業務需求的網絡功能軟件、新業務的快速發展和部署、自動部署、彈性擴展、故障隔離自我修復等功能。2015年，綠盟科技有限公司的軟件定義安全系統支持apt、云Web安全、自適應訪問控制、信息混合環境中的態勢感知和其他安全應用［3］。華為的SNC控制器可以提供端到端的完整解決方案，以幫助運營商快速部署SDN網絡，減少OPEX，快速部署新服務并加速業務創新［4］。但是，目前所提出的封閉系統仍然是單一的安全產品和解決方案，缺乏情報威脅分析和處理，無法提供真正的定制產品，并且檢測和深度數據挖掘機制無法找到真正的威脅。本文提出了一種標準且開源的、用戶定義的新型網絡架構，該架構可以為許多安全產品和服務提供商提供一個可協調、可互操作、可控制的安全平臺，并為軟件定義安全提供了參考體系結構和藍圖。

1基于SDN／NFV技術的軟件定義安全體系架構設計

SDS基礎架構圖，如圖1所示。整體上分為3個層次：安全應用層、安全控制層和基礎設施。其中，安全應用層即為安全App所在層次，App通過接口實現對安全控制和有關操作。基礎設施層包括了云平臺以及其相關的資源集合（主要是虛擬機）、安全資源池（CPU、內存、帶寬等軟硬件資源）。安全控制層是SDS架構的核心部分，下面將對該部分展開詳細介紹。基于NFV技術的虛擬安全資源池：基于NFV的思想，我們將安全產品的硬件與軟件分開，并在虛擬化池環境中運行它。利用虛擬交換機實現導流平臺導流：利用部署在云環境中的分流虛擬機，將流量導出到云外網絡安全控制層的虛擬交換機中。利用虛擬路由器實現流量分類：網絡安全控制層的虛擬路由管理器可以根據應用層發布的流量牽引策略設計流量分類策略，然后將流量分類策略發送給流量分類虛擬路由器。虛擬安全功能（VSF）：VSF用來描述網絡中處理流量的安全功能，如防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）、負載平衡等。安全服務功能鏈（SSFC）：安全服務功能鏈是將虛擬安全功能（如防火墻、入侵檢測系統、代理、入侵防御系統等）以鏈的形式連接起來，用于流量分類［5］。安全服務功能路徑（SSFP）：SSFP是SSFC中包／幀從源到目標的邏輯路徑經過細粒度策略和操作約束后的結果。SSFP的優點是SSFC中的VSF模塊可以按照粒度策略和操作約束執行，而不需要改變SSFC的拓撲結構［6］。網絡安全策略管理和流量牽引策略管理：在本系統中，PGA［7－8］負責安全策略管理模塊和流量牽引策略管理。在大型企業網的數據測試中，PGA表現出良好的數據處理能力和良好的時延，驗證了PGA的可行性［9］。虛擬安全功能管理器（VSFM）：主要是負責虛擬安全功能的相關資源和生命周期管理。虛擬安全基礎設施管理器（VSIM）：虛擬安全基礎設施（VSI）包括虛擬化層（如docker和虛擬交換機）［10］和物理資源（如服務器、交換機和計算、存儲和網絡資源）。而VSIM的主要功能是管理和監控整個基礎設施資源（包括硬件資源和虛擬資源）。虛擬安全功能適配器（VSFO）：主要功能是創建虛擬網絡和網絡安全服務、監控虛擬網絡安全服務、編排虛擬網絡安全功能拓撲、VSFs和整體資源管理，它是整個SDS的控制核心結構。應用層：安全控制層為應用層用戶提供編程接口，用戶可以控制網絡。

2系統安全分析

摘要：近年來，在信息技術、通信技術、傳感器技術等高新技術高速發展的推動下，我國的智能電網建設正日益完善，但是由于網絡的開放性和互聯性特點，導致了其在運行過程中往往存在著一些安全問題。在此背景下，若想切實保證智能電網運行的安全性、可靠性、高效性及經濟性，就必須要先有效預防和解決這些問題。本文主要針對智能電網網絡安全問題進行了探討，希望對我國智能電網的發展有所助益。

關鍵詞：智能電網；網絡安全問題；電網運行

0引言

智能電網是以信息技術、通信技術、傳感器技術等先進技術為基礎，通過電網設備間信息交流的手段，來提高電網運行的安全性、可靠性、高效性及經濟性的現代化電力系統。如今在我國的電網建設中，已經廣泛應用了智能電網，但是智能電網除了實現了電網的智能化運行以外，也給電網運行帶來了一些安全隱患。眾所周知，自人們發明了網絡以來，網絡安全問題就一直如影隨形般的存在著，同樣，在智能電網中也存在著很多網絡安全問題，對此，必須要采取科學有效的預防和解決措施，才能夠充分發揮出智能電網的作用。以下就聯系實際來談談智能電網網絡安全問題，僅作拋磚引玉之用。

1智能電網簡介

智能電網簡單來說就是“電網的智能化”，它是一種區別于傳統電網的新型電網。在智能電網中應用了信息技術、通信技術、傳感器技術等高新技術，通過它們可以實現對電網信息更加高效、快速、安全的整理、搜集和分析，并將所有電網信息都統一融入到大數據庫當中。智能電網可自愈，可抵御攻擊，可提供滿足現代人用電需求的電能質量，可容許多種發電形式接入，還可激勵和保護用戶。智能電網對電力系統具有極高的掌握權，當電網運行過程中出現了各種故障和問題時，智能電網都能夠及時發現、自動報警及有效解決，從而大大提高了電網運行的安全性、可靠性、高效性及經濟性。

2智能電網中存在的網絡安全問題

一、“云”計算環境下網絡安全面臨的問題

自計算機網絡誕生以來，網絡的安全防范問題就一直存在，計算機網絡技術這個“盾”與各種網絡攻擊技術的“矛”一直并存，并從未消失。就整體而言，計算機網絡安全可以分為信息安全和控制安全這兩大部分，也即信息本身的安全和信息傳遞過程中的安全。常見的威脅因素也有很多，主要有毒程序的侵入、物理威脅、系統漏洞等。與傳統的網絡環境一樣，威脅”云”計算下的網絡安全的問題也很多，可以總結如下。

1.使用環境安全性

自然環境的安全問題是影響網絡安全的最基本因素，它包括網絡管理者的誤操作、硬件設備的癱瘓、自然災害的發生等。計算機網絡是一個由網絡硬件、網絡軟件共同組成的智能系統，容易受到諸如潮濕、電磁波、振動、撞擊等外部使用環境的影響。雖然“云”計算網絡環境有效改善了數據信息的存儲安全問題，但對于傳統網絡下使用環境的安全性問題，在“云”計算網絡環境下同樣存在；并且由于“云”計算環境下的數據存儲管理方式的改變，其對于其使用環境的安全性提出了更高的要求。

2.數據存儲安全性

數據存儲的安全與否，長久以來一直困擾著計算機網絡的發展。傳統網絡環境下，雖已能實現數據共享，但數據多是單機存儲，其安全性主要由單機防護能力、數據通信安全等方面決定。而在“云”計算網絡環境下，數據主要存儲在服務商提供的“云”里，數據存儲的安全與否，很大程度上取決于“云”服務提供商的技術能力和誠信水平。這就對服務商的誠信及其“云”存儲技術保障能力提出了更高的要求，也對用戶安全使用數據的能力提出了更高的要求。

3.數據通信安全性

摘要：

本文根據信息網絡安全內涵發生的根本變化，闡述了關于信息網絡安全體系的重要性。文中還重點論述了網絡安全技術的分類及其主要的技術特征。

關鍵詞：

信息化；網絡安全

隨著信息化技術的不斷發展，全世界信息資源的互聯整合已經成為信息化發展的一個重要趨勢。信息資源的互聯整合必然需要一個穩定、安全的計算機網絡環境作為載體，只有計算機網絡自身不斷的發展、完善，才能讓其載體功能得到更好體現，才能更好的促進信息資源的互聯整合。但由于計算機網絡互聯形式的多樣性，就使得網絡系統的硬件、軟件及網絡上傳輸的信息容易遭受到外來的攻擊、破壞。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。因此，無論是局域網還是廣域網，都存在著諸多因素的脆弱性和潛在威脅，這也使我們不得不將網絡的安全措施提高到一個新的層次，以確保網絡信息的保密性、完整性和可用性。

一、網絡系統總體架構設計合理性分析

一個網絡，能夠安全正常運行的關鍵是整個網絡系統的總體架構設計是否合理，而全面分析網絡系統設計的每個環節，則是建立安全可靠的計算機網絡工程的首要任務。應該在認真研究網絡總體規劃的基礎上下大氣力抓好網絡運行質量的設計方案。為解除這個網絡系統固有的安全隱患，可采取以下措施：