CN108234525A - 一种计算机网络安全中的信息防泄漏防盗窃管理系统 - Google Patents

Abstract

本发明属于信息安全技术领域，公开了一种计算机网络安全中的信息防泄漏防盗窃管理系统，所述计算机网络安全中的信息防泄漏防盗窃管理系统设置有：启动模块、程序监视模块、主控模块、数据加密模块、自动切断网络模块、主站系统渗透测试模块、通信通道渗透测试模块。本发明克服现有渗透测试方法对于配电自动化系统测试针对性不强的缺点，充分利用信息系统脆弱性渗透测试技术；同时，本发明通过数据加密模块对数据传输进行多重加密，实现了数字签名和验证运算，提高了数据的安全性和保密性；通过自动切断网络模块可以根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接，保障信息的安全。

Description

一种计算机网络安全中的信息防泄漏防盗窃管理系统

技术领域

本发明属于信息安全技术领域，尤其涉及一种计算机网络安全中的信息防泄漏防盗窃管理系统。

背景技术

在信息化的推动下，工业控制系统和传统信息安全看似两个不相干的行业产生了交集，尤其是“震网”事件以来，工业控制系统信息安全引起各国的高度重视。工业控制系统关系到各种重要基础设施，关系到国计民生，其重要性不言而喻。长期以来，工业控制系统被认为是一个相对专业、封闭式的信息孤岛，保持着相对安全的状态。但随着近年来工业控制系统的快速网络化、互联化，各种工业基础设施，包括电力行业，纷纷遭到病毒乃至黑客的入侵，人们开始重新审视工业控制系统的安全。然而，由于工业控制系统设计之初只关注可靠性和实时性，信息安全被长期忽略，且传统信息系统上流行的入侵检测、防火墙和漏洞修复等信息安全技术手段由于兼容性问题，很难不做更改地在工控网络内部署，导致系统存在的漏洞和隐患难以得到有效防护。工控系统长期存在的风险隐患已经成为影响国家基础设施稳定运行的重要因素；同时，现有信息安全无法解决对网络数据签名的问题，在签名过程中无法保证数据传输的安全性；现有信息访问如果遇到非法入侵时，不能进行自动切断网络，用户察觉时信息已经泄漏了。

综上所述，现有技术存在的问题是：工业控制系统设计之初只关注可靠性和实时性，信息安全被长期忽略，且传统信息系统上流行的入侵检测、防火墙和漏洞修复等信息安全技术手段由于兼容性问题，很难不做更改地在工控网络内部署，导致系统存在的漏洞和隐患难以得到有效防护。同时，现有信息安全无法解决对网络数据签名的问题，在签名过程中无法保证数据传输的安全性；现有信息访问如果遇到非法入侵时，不能进行自动切断网络，用户察觉时信息已经泄漏了。

发明内容

针对现有技术存在的问题，本发明提供了一种计算机网络安全中的信息防泄漏防盗窃管理系统。

本发明是这样实现的，一种计算机网络安全中的信息防泄漏防盗窃管理系统设置有：

启动模块、程序监视模块、主控模块、数据加密模块、自动切断网络模块、主站系统渗透测试模块、通信通道渗透测试模块；

启动模块，与主控模块连接，用于启动安全防护系统操作；

程序监视模块，与主控模块连接，用于实时监测程序的行为；

主控模块，与启动模块、程序监视模块、数据加密模块、自动切断网络模块、主站系统渗透测试模块、通信通道渗透测试模块连接，用于调度各个模块正常工作；

所述主控模块时频重叠信号的归一化高阶累积量方程组构建方法包括：

接收信号的信号模型表示为：

r(t)＝x₁(t)+x₂(t)+…+x_n(t)+v(t)

其中，x_i(t)为时频重叠信号的各个信号分量，各分量信号独立不相关，n为时频重叠信号分量的个数，θ_ki表示对各个信号分量载波相位的调制，f_ci为载波频率，A_ki为第i个信号在k时刻的幅度，T_si为码元长度，p_i(t)为滚降系数为α的升余弦成形滤波函数，且n(t)是均值为0，方差为σ²的平稳高斯白噪声；

混合信号的高阶累积量公式如下：

C_k,r＝C_k,x1+C_k,x2+…C_k,xn+C_k,v；

两边同时除以混合信号的二阶矩k/2次方：

进一步变形为：

其中和表示各分量信号功率与总功率的比值和噪声功率与总功率的比值，分别表示为和λ_v；高斯白噪声的高阶累积量为0，上式表示为：

由此，构建归一化高阶累积量方程组：

所述主控模块的时频重叠MASK的信号模型表示为：

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

数据加密模块，与主控模块连接，用于通过多重加密方式对数据进行加密；

自动切断网络模块，与主控模块连接，用于根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接；

主站系统渗透测试模块，与主控模块连接，用于通过渗透测试主站系统的安全性；

通信通道渗透测试模块，与主控模块连接，用于通过渗透测试通信通道的安全性。

进一步，所述数据加密模块加密方法如下：

首先，从云端服务器下载数据存储到本地，对存储到本地的待加密数据进行数据清洗操作；对清洗后的数据进行第一加密算法运算，得到加密后的密文数据；

其次，将所述的密文数据传输至证书授权中心服务器，在证书授权中心服务器对所述的密文数据进行签名，得到签名数据；

然后，将所述的签名数据回传至本地，在本地端对所述的签名数据进行第二加密算法运算；

最后，经过第二加密运算的数据传输至数据库，在数据库中保存经过第二加密后数据，网站服务器从所述的数据库中调用所述的第二加密运算后的数据。

进一步，所述主站系统渗透测试模块测试方法如下：

(1)信息收集。在划定了测试范围之后，就需要进入信息侦查阶段。在这个阶段，渗透测试人员需要使用各种公共资源，来获取更多有关于测试目标的信息。这些信息可以从互联网上搜集到，可以从各种搜索引擎中获取相关数据，也可以使用专业的工具运用数据挖掘技术收集有用信息，收集到的信息越多，渗透测试成功的几率就越高。

(2)目标发现。这个阶段的主要任务是定位目标的网络状态、操作系统和相对网络架构。该阶段将会完整地展现目标网络当前使用的技术和连接的设备，这些信息可以帮助测试者进一步枚举目标网络中运行的各种服务。

(3)弱口令扫描。掌握了足够多信息就可以发散思维了。在当今internet信任机制主要以用户及密码的形式来保障的时候,密码就成为了人的软肋。结合社会工程学整理出与测试目标相关的信息，如管理员经常使用的个人邮箱，电话号码，常用用户账户，可靠度高的背景资料等。将这些信息制作成更有意义的弱口令字典。结合了社会工程学的而制作的字典会把穷举的工作变得更有意义。

(4)权限提升。一旦控制了目标系统，渗透工作就成功完成了。接下来，测试人员就可以在系统中自由行动，这个自由程度取决于他所拥有的访问权限。测试人员也可以使用一些适合当前系统环境的本地漏洞来提升自己的权限，这些提权漏洞利用程序一旦成功执行，就可以获得超级用户权限或者系统级权限。以此为切入点，测试人员还可以进一步攻击本地网络系统。根据之前定义的目标范围，这类攻击可以是受限制的，也可以是不受限的。通过嗅探网络数据包、破解各种服务的密码、在本地网络中使用数据伪造攻击，将有可能获得更多关于被控制系统的信息。因此，提权的最终目的是获得目标系统的最高访问权限。

进一步，所述通信通道渗透测试模块测试方法如下：

(1)连接网络测试：渗透测试工程师使用有线接入方式，通过工业交换机将测试工具接入工业控制系统网络或者使用无线接入方式，通过搜寻无线网络信号，接入工业控制系统网络。

(2)无线网络强度测试：渗透测试工程师通过BT等无线破解工具，对WEP、WPA、WPA2、AES、DES进行破解，获取加密密钥，进而以合法身份接入工业控制系统网络。

(3)搜集网络设备漏洞测试：渗透测试工程师通过查看网络设备，如工业交换机的固件，查看是否为最新版本，并通过www.scadahacker.com工控安全相关的专业论坛查找最新的漏洞信息。

(4)控制网络设备测试：渗透测试工程师通过使用弱口令和暴力破解的方式尝试登陆管理员账户，通过获取管理员权限，可对网络设备的配置信息进行更改。如修改端口信息、网段隔离信息、设备地址等，达到中断会话、冒充主站等测试。

(5)监听报文测试：渗透测试工程使用SNIFFER等数据包嗅探软件捕获数据链路层、网络层、传输层、应用层网获取终端传输数据，利用专用协议分析器查看数据包内容和发送地址与目的地址。

(6)修改报文测试：渗透测试工程可以分析获取的数据包，修改其数据包的发送地址、目的地址、数据内容，然后重新将数据包发出，

(7)拒绝服务测试：渗透测试工程师通过发送大量的广播报文，填充被控站的数据缓冲区，使被控站无法正常接收主站发送的数据，或者重启网络设备，中断网络会话，引起网络拒绝服务。

本发明的优点及积极效果为：本发明克服现有渗透测试方法对于配电自动化系统测试针对性不强的缺点，充分利用信息系统脆弱性渗透测试技术，通过模拟黑客的攻击方法，来评估配电自动化系统安全性，包括对主站系统、通信线路、配电终端的任何弱点、技术缺陷或漏洞的主动分析，最终提供一种设计合理、准确快速的配电自动化系统信息安全隐患渗透测试方法。同时，本发明通过数据加密模块对数据传输进行多重加密，实现了数字签名和验证运算，提高了数据的安全性和保密性；通过自动切断网络模块可以根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接，保障信息的安全。

附图说明

图1是本发明实施例提供的计算机网络安全中的信息防泄漏防盗窃管理系统结构示意图。

图中：1、启动模块；2、程序监视模块；3、主控模块；4、数据加密模块；5、自动切断网络模块；6、主站系统渗透测试模块；7、通信通道渗透测试模块。

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

下面结合附图对本发明的结构作详细的描述。

如图1所示，本发明提供的计算机网络安全中的信息防泄漏防盗窃管理系统包括：启动模块1、程序监视模块2、主控模块3、数据加密模块4、自动切断网络模块5、主站系统渗透测试模块6、通信通道渗透测试模块7。

启动模块1，与主控模块3连接，用于启动安全防护系统操作；

程序监视模块2，与主控模块3连接，用于实时监测程序的行为；

主控模块3，与启动模块1、程序监视模块2、数据加密模块4、自动切断网络模块5、主站系统渗透测试模块6、通信通道渗透测试模块7连接，用于调度各个模块正常工作；

所述主控模块时频重叠信号的归一化高阶累积量方程组构建方法包括：

接收信号的信号模型表示为：

r(t)＝x₁(t)+x₂(t)+…+x_n(t)+v(t)

其中，x_i(t)为时频重叠信号的各个信号分量，各分量信号独立不相关，n为时频重叠信号分量的个数，θ_ki表示对各个信号分量载波相位的调制，f_ci为载波频率，A_ki为第i个信号在k时刻的幅度，T_si为码元长度，p_i(t)为滚降系数为α的升余弦成形滤波函数，且n(t)是均值为0，方差为σ²的平稳高斯白噪声；

混合信号的高阶累积量公式如下：

两边同时除以混合信号的二阶矩k/2次方：

进一步变形为：

其中和表示各分量信号功率与总功率的比值和噪声功率与总功率的比值，分别表示为和λ_v；高斯白噪声的高阶累积量为0，上式表示为：

由此，构建归一化高阶累积量方程组：

所述主控模块的时频重叠MASK的信号模型表示为：

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

数据加密模块4，与主控模块3连接，用于通过多重加密方式对数据进行加密；

自动切断网络模块5，与主控模块3连接，用于根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接；

主站系统渗透测试模块6，与主控模块3连接，用于通过渗透测试主站系统的安全性；

通信通道渗透测试模块7，与主控模块3连接，用于通过渗透测试通信通道的安全性。

本发明提供的数据加密模块4加密方法如下：

首先，从云端服务器下载数据存储到本地，对存储到本地的待加密数据进行数据清洗操作；对清洗后的数据进行第一加密算法运算，得到加密后的密文数据；

其次，将所述的密文数据传输至证书授权中心服务器，在证书授权中心服务器对所述的密文数据进行签名，得到签名数据；

然后，将所述的签名数据回传至本地，在本地端对所述的签名数据进行第二加密算法运算；

最后，经过第二加密运算的数据传输至数据库，在数据库中保存经过第二加密后数据，网站服务器从所述的数据库中调用所述的第二加密运算后的数据。

本发明提供的主站系统渗透测试模块6测试方法如下：

(1)信息收集。在划定了测试范围之后，就需要进入信息侦查阶段。在这个阶段，渗透测试人员需要使用各种公共资源，来获取更多有关于测试目标的信息。这些信息可以从互联网上搜集到，可以从各种搜索引擎中获取相关数据，也可以使用专业的工具运用数据挖掘技术收集有用信息，收集到的信息越多，渗透测试成功的几率就越高。

(2)目标发现。这个阶段的主要任务是定位目标的网络状态、操作系统和相对网络架构。该阶段将会完整地展现目标网络当前使用的技术和连接的设备，这些信息可以帮助测试者进一步枚举目标网络中运行的各种服务。

(3)弱口令扫描。掌握了足够多信息就可以发散思维了。在当今internet信任机制主要以用户及密码的形式来保障的时候,密码就成为了人的软肋。结合社会工程学整理出与测试目标相关的信息，如管理员经常使用的个人邮箱，电话号码，常用用户账户，可靠度高的背景资料等。将这些信息制作成更有意义的弱口令字典。结合了社会工程学的而制作的字典会把穷举的工作变得更有意义。

(4)权限提升。一旦控制了目标系统，渗透工作就成功完成了。接下来，测试人员就可以在系统中自由行动，这个自由程度取决于他所拥有的访问权限。测试人员也可以使用一些适合当前系统环境的本地漏洞来提升自己的权限，这些提权漏洞利用程序一旦成功执行，就可以获得超级用户权限或者系统级权限。以此为切入点，测试人员还可以进一步攻击本地网络系统。根据之前定义的目标范围，这类攻击可以是受限制的，也可以是不受限的。通过嗅探网络数据包、破解各种服务的密码、在本地网络中使用数据伪造攻击，将有可能获得更多关于被控制系统的信息。因此，提权的最终目的是获得目标系统的最高访问权限。

本发明提供的通信通道渗透测试模块7测试方法如下：

(1)连接网络测试：渗透测试工程师使用有线接入方式，通过工业交换机将测试工具接入工业控制系统网络或者使用无线接入方式，通过搜寻无线网络信号，接入工业控制系统网络。

(2)无线网络强度测试：渗透测试工程师通过BT等无线破解工具，对WEP、WPA、WPA2、AES、DES进行破解，获取加密密钥，进而以合法身份接入工业控制系统网络。

(3)搜集网络设备漏洞测试：渗透测试工程师通过查看网络设备，如工业交换机的固件，查看是否为最新版本，并通过www.scadahacker.com工控安全相关的专业论坛查找最新的漏洞信息。

(4)控制网络设备测试：渗透测试工程师通过使用弱口令和暴力破解的方式尝试登陆管理员账户，通过获取管理员权限，可对网络设备的配置信息进行更改。如修改端口信息、网段隔离信息、设备地址等，达到中断会话、冒充主站等测试。

(5)监听报文测试：渗透测试工程使用SNIFFER等数据包嗅探软件捕获数据链路层、网络层、传输层、应用层网获取终端传输数据，利用专用协议分析器查看数据包内容和发送地址与目的地址。

(6)修改报文测试：渗透测试工程可以分析获取的数据包，修改其数据包的发送地址、目的地址、数据内容，然后重新将数据包发出，

(7)拒绝服务测试：渗透测试工程师通过发送大量的广播报文，填充被控站的数据缓冲区，使被控站无法正常接收主站发送的数据，或者重启网络设备，中断网络会话，引起网络拒绝服务。

本发明工作时，通过启动模块1启动安全防护系统操作；通过程序监视模块2实时监测程序的行为；主控模块3调度数据加密模块4对数据进行加密；通过自动切断网络模块5根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接；通过主站系统渗透测试模块6渗透测试主站系统的安全性；通过通信通道渗透测试模块7渗透测试通信通道的安全性。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。

Claims (4)

1.一种计算机网络安全中的信息防泄漏防盗窃管理系统，其特征在于，所述计算机网络安全中的信息防泄漏防盗窃管理系统设置有：

启动模块，与主控模块连接，用于启动安全防护系统操作；

程序监视模块，与主控模块连接，用于实时监测程序的行为；

主控模块，与启动模块、程序监视模块、数据加密模块、自动切断网络模块、主站系统渗透测试模块、通信通道渗透测试模块连接，用于调度各个模块正常工作；

所述主控模块时频重叠信号的归一化高阶累积量方程组构建方法包括：

接收信号的信号模型表示为：

r(t)＝x₁(t)+x₂(t)+…+x_n(t)+v(t)

其中，x_i(t)为时频重叠信号的各个信号分量，各分量信号独立不相关，n为时频重叠信号分量的个数，θ_ki表示对各个信号分量载波相位的调制，f_ci为载波频率，A_ki为第i个信号在k时刻的幅度，T_si为码元长度，p_i(t)为滚降系数为α的升余弦成形滤波函数，且n(t)是均值为0，方差为σ²的平稳高斯白噪声；

混合信号的高阶累积量公式如下：

两边同时除以混合信号的二阶矩k/2次方：

进一步变形为：

其中和表示各分量信号功率与总功率的比值和噪声功率与总功率的比值，分别表示为和λ_v；高斯白噪声的高阶累积量为0，上式表示为：

由此，构建归一化高阶累积量方程组：

所述主控模块的时频重叠MASK的信号模型表示为：

其中，N为时频重叠信号的信号分量个数，n(t)是加性高斯白噪声，s_i(t)为时频重叠信号的信号分量，其表示为式中A_i表示信号分量的幅度，a_i(m)表示信号分量的码元符号，p(t)表示成型滤波函数，T_i表示信号分量的码元周期，f_ci表示信号分量的载波频率，表示信号分量的相位；MASK信号的循环双谱的对角切片谱表示为：

其中，y(t)表示MASK信号，α是y(t)的循环频率，f_c表示信号的载波频率，T是信号的码元周期，k为整数，C_a,3表示随机序列a的三阶累积量，δ()是冲激函数，P(f)是成型脉冲函数，表达式为：

对循环双谱的对角切片谱取f＝0截面得到：

对于MASK信号，其循环双谱的对角切片谱的f＝0截面，在处存在峰值，并携有信号的载频信息；由于循环双谱的对角切片谱满足线性叠加性，则时频重叠MASK信号循环双谱的对角切片谱的表达式为：

其中，是常数，与第i个信号分量的调制方式有关，T_i是第i个信号分量的码元周期；

数据加密模块，与主控模块连接，用于通过多重加密方式对数据进行加密；

自动切断网络模块，与主控模块连接，用于根据程序监视模块监视结果，一旦发现有非法入侵，则立即切断网络连接；

主站系统渗透测试模块，与主控模块连接，用于通过渗透测试主站系统的安全性；

通信通道渗透测试模块，与主控模块连接，用于通过渗透测试通信通道的安全性。

2.如权利要求1所述计算机网络安全中的信息防泄漏防盗窃管理系统，其特征在于，所述数据加密模块加密方法如下：

首先，从云端服务器下载数据存储到本地，对存储到本地的待加密数据进行数据清洗操作；对清洗后的数据进行第一加密算法运算，得到加密后的密文数据；

其次，将所述的密文数据传输至证书授权中心服务器，在证书授权中心服务器对所述的密文数据进行签名，得到签名数据；

然后，将所述的签名数据回传至本地，在本地端对所述的签名数据进行第二加密算法运算；

最后，经过第二加密运算的数据传输至数据库，在数据库中保存经过第二加密后数据，网站服务器从所述的数据库中调用所述的第二加密运算后的数据。

3.如权利要求1所述计算机网络安全中的信息防泄漏防盗窃管理系统，其特征在于，所述主站系统渗透测试模块测试方法如下：

(1)信息收集；渗透测试人员需要使用各种公共资源，来获取更多有关于测试目标的信息；

(2)目标发现，定位目标的网络状态、操作系统和相对网络架构；

(3)弱口令扫描，结合社会工程学整理出与测试目标相关的信息；

(4)权限提升，测试人员就可以在系统中自由行动，这个自由程度取决于他所拥有的访问权限。

4.如权利要求1所述计算机网络安全中的信息防泄漏防盗窃管理系统，其特征在于，所述通信通道渗透测试模块测试方法如下：

(1)连接网络测试：渗透测试工程师使用有线接入方式，通过工业交换机将测试工具接入工业控制系统网络或者使用无线接入方式，通过搜寻无线网络信号，接入工业控制系统网络；

(2)无线网络强度测试：渗透测试工程师通过BT无线破解工具，对WEP、WPA、WPA2、AES、DES进行破解，获取加密密钥，进而以合法身份接入工业控制系统网络；

(3)搜集网络设备漏洞测试：渗透测试工程师通过查看网络设备，如工业交换机的固件，查看是否为最新版本，并通过www.scadahacker.com工控安全相关的专业论坛查找最新的漏洞信息；

(4)控制网络设备测试：渗透测试工程师通过使用弱口令和暴力破解的方式尝试登陆管理员账户，通过获取管理员权限，对网络设备的配置信息进行更改；如修改端口信息、网段隔离信息、设备地址，达到中断会话、冒充主站；

(5)监听报文测试：渗透测试工程使用SNIFFER数据包嗅探软件捕获数据链路层、网络层、传输层、应用层网获取终端传输数据，利用专用协议分析器查看数据包内容和发送地址与目的地址；

(6)修改报文测试：渗透测试工程可以分析获取的数据包，修改其数据包的发送地址、目的地址、数据内容，然后重新将数据包发出，；

(7)拒绝服务测试：渗透测试工程师通过发送大量的广播报文，填充被控站的数据缓冲区，使被控站无法正常接收主站发送的数据，或者重启网络设备，中断网络会话，引起网络拒绝服务。