论文部分内容阅读
摘要:从实际办公单位电脑的使用和通信出发,浅谈IEC 62351电力信息传输安全标准在其中能发挥的作用,以及在今后信息安全保障来看,IEC 62351可以给我们带来的优势,防止各种网络安全攻击,制定一套信息安全传输的方案,用来实现信息传输中的完整性,机密性和不可抵赖性,达到保障数字矿山网络的信息安全。
关键词:IEC 62351;数字矿山;信息安全;通信
中图分类号:TM63;TM76文献标识码:A文章编号:1007-9599 (2013) 05-0000-02
1引言
随着微电子技术、计算机技术和通信技术的发展,在计算机通信上的安全问题也随之出现,是在通信传输中,信息的安全传输却没有得到解决,信息的安全传输对数字化矿山起着十分关键的作用,网络信息安全尤为重要,利用不同的方案来实现信息传输中的安全是这篇论文来研究的课题。
2内容
在数字化矿上发展的今天,无纸化办公以及网络办公已经实现,很多矿山设计方案,图纸等信息都在电脑上储存,利用网络传输,如何来保障它们在期间的安全呢?用什么标准来实现电脑用户的规范操作以及信息传输中的安全呢?
我们从IEC 62351的安全标准中得到提示,然后借鉴过来在数字化矿山的使用,其中明确定义了通信中的信息安全问题,涉及到了许多方面,归纳起来分别为机器端,软件服务,通信传输协议和通信介质。在IEC 62351中提到的安全攻击有:(1)机器端:伪装、绕过控制、偷窃、失职、否认、人为物理入侵;(2)软件服务:伪装、绕过控制、木马、病毒、陷门、故障;(3)通信传输协议:偷听、伪装、中途截取、重放、资源耗尽;(4)通信介质:资源耗尽、不见出错、流量分析、中途截取。
当然,IEC 62351也相应的对安全攻击做出了防范对策:(1)机器端:人物的身份认证、授权、权限管理;(2)软件服务:软件识别、授权、测试、管理;(3)通信传输协议:加密、传输认证、访问控制、数字签名;(4)通信介质:受权限访问控制、加密、控制多余信息和通道。
安全在一开始就该在系统里被设计和计划好。安全功能是系统设计必须的组成部分。安全的计划将提供更加复杂和有效的办法。另外,深入的计划能保证安全服务是可支持的,可能是成本高昂,以改造成非计划的环境,这意味着安全应当落实到结构的所有层次上。因此,为了保持安全,持续警戒和监视是必要的,同时也改变以转换所有的环境。该过程描述了5个被视为是见状安全策略的高层次过程。尽管在未来会循环,这也有很明确的顺序过程:
安全评估—安全评估是一项为他们安全要求评估资产的过程。
安全策略—安全策略就是产生管理,执行策略的过程,同时在安全域里分配安全的过程。
安全分配—安全分配是一个消费和安装安全产品以及诸如执行安全策略和在安全策略过程里产生的过程的综合。
安全培训—持续的对安全威胁,安全技术,公司和影响安全和安全方法分析的合法策略的培训是定期的,同时还需要最好的实际演练。
安全审计(监控)—安全审计就是一个对安全攻击检测,安全漏洞检测和对安装的安全结构的表现评估的一个过程。
用户,不管他们是否是人还是应用软件,都有零或多于4个的基本安全要求,用于保护他们不受四个基本威胁:(1)机密性—防止非法介入信息;(2)完整性—防止非法修改或窃取信息;(3)有效性—防止拒绝服务和保证合法接入信息;(4)可行性—防止拒绝执行动作或要求执行未执行的动作。
IEC 62351中定义了OSI网络七层协议中每一层需要的安全传输协议,给予了每一层一个安全的标准指示,只要是符合IEC 62351安全标准的设计方案都是合理的。IEC 62351还在别的几层分别定义了不同协议和接口,以保证信息传输的安全。
网络安全分层图
如图所示,我们把网络七层协议分别开来,每一层必须有自己的安全措施来保障信息的安全传输,以上就是每一层根据IEC 62351标准设计出来的安全方案,分别针对每一层的安全攻击来制定。
(1)用户安全层(机器端):校验用户,对用户提供访问控制安全服务,识别确认合法用户。说简单的就是我们每个电脑用户给自己电脑或重要信息进行用户使用加密,来保障非本机用户使用电脑来窃取,破坏信息的安全;(2)应用安全层(应用层、表示层、会话层):应用安全层包括平台安全和应用系统安全,应用平台安全指建立在网络之上的应用软件服务,通常采用多种技术(如SSL)来增强平台安全性。还主要采用身份验证数字签名,防止否认以及加密等安全措施保护数据信息的完整性防止非法用户访问;(3)网络层:从在IEC 62351安全标准中我们可以选用IPsec安全协议来保护网络层的安全通信。IPsec可以提供所在網络层上的数据保护和透明的安全通信,可以设置成两种模式:隧道模式和传输模式。它把IPV4数据包封装在安全的IP帧中。IPsec协议上加上了密钥分配协议IKE和Oakley,提供了认证,加密,防篡改,对数据进行编码来保护数据机密性,私有性,完整性,真实性和反复性(防止数据包被捕捉并重新投放在网络上)。IPsec由三个基本要素来提供三种保护形式:认证协议头(AH),安全加载封装 (ESP)和互联网密钥管理协议 (IKMP)。当前的 IPSec支持数据加密标准 (DES)。也可以使用其他多种加密算法。认证协议头 (AH)是在所有数据包头加人一个密码,AH通过数字签名来对用户进行认证。在网络层中,我们已经通过华为的各种设备实现了数据的加密,传输。(4)数据链路层:利用VLAN技术将网络分成若干个安全级别不同的子网,实现一个网段与另一个网段的隔离。还可以采用加密通信(远程网)的方式保护数据安全,期间在我矿已经合理分配好多个VLAN,满足需求。(5)物理层:主要是要防止物理通道被破坏,窃听以及受攻击和干扰等。因为这两层加密运用的不是很广泛,主要是运用在网络层。
IEC 62351的安全总结图
综合以上的方案,可以做到对数据传输的机密性,完整性,实用性以及无抵赖性。也证明了IEC 62351里提到的安全标准,符合IEC 62351如图的安全措施。证明了安全方案在矿山应用的正确性。
3结论
在数字化矿山发展的今天,信息安全尤为重要,很多情况下都没有考虑的信息保护以及信息传输安全,这样会导致信息的外泄造成重大影响。综合以上所述,在数字化矿山电脑网络通信的时候,基于IEC 62351安全标准去建立通信法则,能有效的保护矿上电脑网络通信的安全性,其中有很好的规范电脑用户使用电脑的方式(用户安全层的定义),也有在其余各层中规范安全标准(使用不同设备,仪器来对数据进行加密,保护等)。因此,该标准对数字化矿上还是有一定的帮助的。
参考文献:
[1]朱景,晋晚贵,王艳.变电站的计算机网络安全分析[J].2006,12(12):71-73.
[2]闫宏生.计算机网络安全与防护[M].北京: 电子工业出版社,2007(08).
[3]毛燕琴,沈苏彬.网络层身份验证机制的设计与实现[J],2006,08(4):80-87.
关键词:IEC 62351;数字矿山;信息安全;通信
中图分类号:TM63;TM76文献标识码:A文章编号:1007-9599 (2013) 05-0000-02
1引言
随着微电子技术、计算机技术和通信技术的发展,在计算机通信上的安全问题也随之出现,是在通信传输中,信息的安全传输却没有得到解决,信息的安全传输对数字化矿山起着十分关键的作用,网络信息安全尤为重要,利用不同的方案来实现信息传输中的安全是这篇论文来研究的课题。
2内容
在数字化矿上发展的今天,无纸化办公以及网络办公已经实现,很多矿山设计方案,图纸等信息都在电脑上储存,利用网络传输,如何来保障它们在期间的安全呢?用什么标准来实现电脑用户的规范操作以及信息传输中的安全呢?
我们从IEC 62351的安全标准中得到提示,然后借鉴过来在数字化矿山的使用,其中明确定义了通信中的信息安全问题,涉及到了许多方面,归纳起来分别为机器端,软件服务,通信传输协议和通信介质。在IEC 62351中提到的安全攻击有:(1)机器端:伪装、绕过控制、偷窃、失职、否认、人为物理入侵;(2)软件服务:伪装、绕过控制、木马、病毒、陷门、故障;(3)通信传输协议:偷听、伪装、中途截取、重放、资源耗尽;(4)通信介质:资源耗尽、不见出错、流量分析、中途截取。
当然,IEC 62351也相应的对安全攻击做出了防范对策:(1)机器端:人物的身份认证、授权、权限管理;(2)软件服务:软件识别、授权、测试、管理;(3)通信传输协议:加密、传输认证、访问控制、数字签名;(4)通信介质:受权限访问控制、加密、控制多余信息和通道。
安全在一开始就该在系统里被设计和计划好。安全功能是系统设计必须的组成部分。安全的计划将提供更加复杂和有效的办法。另外,深入的计划能保证安全服务是可支持的,可能是成本高昂,以改造成非计划的环境,这意味着安全应当落实到结构的所有层次上。因此,为了保持安全,持续警戒和监视是必要的,同时也改变以转换所有的环境。该过程描述了5个被视为是见状安全策略的高层次过程。尽管在未来会循环,这也有很明确的顺序过程:
安全评估—安全评估是一项为他们安全要求评估资产的过程。
安全策略—安全策略就是产生管理,执行策略的过程,同时在安全域里分配安全的过程。
安全分配—安全分配是一个消费和安装安全产品以及诸如执行安全策略和在安全策略过程里产生的过程的综合。
安全培训—持续的对安全威胁,安全技术,公司和影响安全和安全方法分析的合法策略的培训是定期的,同时还需要最好的实际演练。
安全审计(监控)—安全审计就是一个对安全攻击检测,安全漏洞检测和对安装的安全结构的表现评估的一个过程。
用户,不管他们是否是人还是应用软件,都有零或多于4个的基本安全要求,用于保护他们不受四个基本威胁:(1)机密性—防止非法介入信息;(2)完整性—防止非法修改或窃取信息;(3)有效性—防止拒绝服务和保证合法接入信息;(4)可行性—防止拒绝执行动作或要求执行未执行的动作。
IEC 62351中定义了OSI网络七层协议中每一层需要的安全传输协议,给予了每一层一个安全的标准指示,只要是符合IEC 62351安全标准的设计方案都是合理的。IEC 62351还在别的几层分别定义了不同协议和接口,以保证信息传输的安全。
网络安全分层图
如图所示,我们把网络七层协议分别开来,每一层必须有自己的安全措施来保障信息的安全传输,以上就是每一层根据IEC 62351标准设计出来的安全方案,分别针对每一层的安全攻击来制定。
(1)用户安全层(机器端):校验用户,对用户提供访问控制安全服务,识别确认合法用户。说简单的就是我们每个电脑用户给自己电脑或重要信息进行用户使用加密,来保障非本机用户使用电脑来窃取,破坏信息的安全;(2)应用安全层(应用层、表示层、会话层):应用安全层包括平台安全和应用系统安全,应用平台安全指建立在网络之上的应用软件服务,通常采用多种技术(如SSL)来增强平台安全性。还主要采用身份验证数字签名,防止否认以及加密等安全措施保护数据信息的完整性防止非法用户访问;(3)网络层:从在IEC 62351安全标准中我们可以选用IPsec安全协议来保护网络层的安全通信。IPsec可以提供所在網络层上的数据保护和透明的安全通信,可以设置成两种模式:隧道模式和传输模式。它把IPV4数据包封装在安全的IP帧中。IPsec协议上加上了密钥分配协议IKE和Oakley,提供了认证,加密,防篡改,对数据进行编码来保护数据机密性,私有性,完整性,真实性和反复性(防止数据包被捕捉并重新投放在网络上)。IPsec由三个基本要素来提供三种保护形式:认证协议头(AH),安全加载封装 (ESP)和互联网密钥管理协议 (IKMP)。当前的 IPSec支持数据加密标准 (DES)。也可以使用其他多种加密算法。认证协议头 (AH)是在所有数据包头加人一个密码,AH通过数字签名来对用户进行认证。在网络层中,我们已经通过华为的各种设备实现了数据的加密,传输。(4)数据链路层:利用VLAN技术将网络分成若干个安全级别不同的子网,实现一个网段与另一个网段的隔离。还可以采用加密通信(远程网)的方式保护数据安全,期间在我矿已经合理分配好多个VLAN,满足需求。(5)物理层:主要是要防止物理通道被破坏,窃听以及受攻击和干扰等。因为这两层加密运用的不是很广泛,主要是运用在网络层。
IEC 62351的安全总结图
综合以上的方案,可以做到对数据传输的机密性,完整性,实用性以及无抵赖性。也证明了IEC 62351里提到的安全标准,符合IEC 62351如图的安全措施。证明了安全方案在矿山应用的正确性。
3结论
在数字化矿山发展的今天,信息安全尤为重要,很多情况下都没有考虑的信息保护以及信息传输安全,这样会导致信息的外泄造成重大影响。综合以上所述,在数字化矿山电脑网络通信的时候,基于IEC 62351安全标准去建立通信法则,能有效的保护矿上电脑网络通信的安全性,其中有很好的规范电脑用户使用电脑的方式(用户安全层的定义),也有在其余各层中规范安全标准(使用不同设备,仪器来对数据进行加密,保护等)。因此,该标准对数字化矿上还是有一定的帮助的。
参考文献:
[1]朱景,晋晚贵,王艳.变电站的计算机网络安全分析[J].2006,12(12):71-73.
[2]闫宏生.计算机网络安全与防护[M].北京: 电子工业出版社,2007(08).
[3]毛燕琴,沈苏彬.网络层身份验证机制的设计与实现[J],2006,08(4):80-87.