導語：如何才能寫好一篇網絡安全防護管理辦法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞：煤炭企業(yè)；網絡信息安全；問題；對策

引言：當前煤炭企業(yè)對網絡安全威脅很難開展有效的監(jiān)測，無法實現主動防御，只能處于一種被動防護狀態(tài)，這無疑將會給煤炭企業(yè)引入極大的網絡安全風險。煤炭企業(yè)上到領導下到普通職員，均對網絡信息安全問題抱有僥幸的心理，覺得一般不會出大的問題，從而缺少積極的防范措施，使得煤炭企業(yè)當前在應對實際的網絡安全威脅時不能有效的進行監(jiān)測和防護。

一、關于煤炭企業(yè)當前面臨的網絡信息安全問題的分析

（1）煤炭企業(yè)員工的網絡信息安全意識比較淡薄

當前很多煤炭企業(yè)對自身所處的網絡信息安全現狀依然缺少正確、完整的認識，他們企業(yè)管理者覺得煤炭企業(yè)信息化的水平不高，接入互聯網的終端和用戶比較少，因此企業(yè)的網絡信息安全問題并不會給煤炭企業(yè)造成一定的威脅。另外，煤炭企業(yè)的管理層缺少對企業(yè)網絡信息安全的有效支持，使得實際投入到企業(yè)網絡和信息安全建設中的資金遠遠達不到應有的要求。

（2）煤炭企業(yè)內部網絡信息系統(tǒng)的防護能力比較薄弱

從目前看來，依然存在一些煤炭企業(yè)缺少復雜的網絡信息系統(tǒng)部署結構，已有的設備性能和配置也比較落后。在實際的網絡系統(tǒng)部署中缺少有效的安全防護技術和手段，不能有效監(jiān)測到網絡安全的威脅，只能一直處于被動防護的狀態(tài)。由于煤炭企業(yè)內部大多使用的還是比較老舊的操作系統(tǒng)，這些舊的終端設備本身就存在著大量的系統(tǒng)漏洞，很容易遭到黑客的攻擊。當各個系統(tǒng)或軟件廠商在網上修補漏洞的補丁時，很多煤炭企業(yè)員工和用戶由于對這些網絡安全問題缺少正確的認識，無法意識到這些系統(tǒng)和軟件漏洞會給煤炭企業(yè)本身帶來的安全威脅，使得企業(yè)內部網絡終端設備很難全部完成漏洞的修補。

（3）煤炭企業(yè)缺乏有效的網絡安全防范體系

調查發(fā)現，當前很多煤炭企業(yè)的網絡信息安全管理較為混亂，沒有形成一套科學完整的網絡安全防范體系和機制。煤炭企業(yè)雖然制定了一些有關于網絡信息安全的管理制度和工作方法，但是依然缺乏有效的網絡安全威脅監(jiān)測和應對方法，對于已有的網絡安全管理辦法也很難嚴格的去執(zhí)行，不能達到預期的網絡安全防護效果。另外，對于煤炭企業(yè)員工本身缺少有效的約束管理辦法，大多數時候只能依靠員工本身的自律能力，沒能從企業(yè)網絡安全管理制度和辦法上建立起一種行之有效的防范措施。

二、煤炭企業(yè)防范網絡信息安全的對策

（1）加強企業(yè)內部網絡信息安全管理

煤炭企業(yè)要想提高企業(yè)本身的網絡安全防護能力，首先必須改變企業(yè)當前固有的網絡安全管理方法，各個部門都需要制定出適合自己部門業(yè)務系統(tǒng)的網絡安全防護管理機制和體系。煤炭企業(yè)必須加強企業(yè)內部自身的管理，為企業(yè)制定一套完整的網絡安全審計體系，能夠及時的發(fā)現潛在的安全威脅，并有效的追蹤到問題責任人。煤炭企業(yè)的網絡安全防護能力的強弱還需要根據企業(yè)員工網絡安全意識的強弱來判斷，因此在煤炭企業(yè)實際的運營當中，必須加大對企業(yè)網絡安全技術培訓和教育的投入。在煤炭企業(yè)中，網絡信息安全相關知識的培訓、教育以及宣傳非常重要，尤其要加強企業(yè)員工對網絡安全意識的培養(yǎng)，認識到網絡安全對企業(yè)發(fā)展的重要性。要想讓煤炭企業(yè)能夠具備足夠的網絡安全知識和應急響應能力，就必須對企業(yè)員工開展定期的網絡安全知識培訓，從而不斷維持煤炭企業(yè)較高的網絡信息安全水平。

（2）引入先進的安全防護技術

除了剛剛提到的煤炭企業(yè)要加強企業(yè)內部網絡信息安全管理之外，最為重要的就是煤炭企業(yè)必須要引入先進的網絡安全防護技術。如果企業(yè)沒有這些先進的安全防護技術，那么煤炭企業(yè)的網絡信息安全管理做的再好也沒有用，因為攻擊者將能夠直接不費吹之力拿下企業(yè)的整個網絡系統(tǒng)，令企業(yè)面臨巨大的經濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高，網絡安全防護技術也在不斷地取得發(fā)展，因此煤炭企業(yè)必須要選擇先進的安全防護技術來保護企業(yè)系統(tǒng)免受侵害。

首先，煤炭企業(yè)必須要給企業(yè)內部所有的辦公終端安裝網絡版的防病毒軟件，如此一來煤炭企業(yè)便可以實現對企業(yè)辦公終端的集中式管理，使得企業(yè)的系統(tǒng)管理員能夠及時的了解到當前網絡環(huán)境中每個節(jié)點的網絡安全狀態(tài)，從而可以實現對企業(yè)辦公終端的有效監(jiān)管。此外，煤炭企業(yè)必須要在系統(tǒng)網絡之間部署防火墻，避免攻擊者通過非法的技術手段訪問企業(yè)內部網絡，從而有效保護企業(yè)內部網絡的安全。防火墻技術能夠實現煤炭企業(yè)內部網絡和外部網絡的有效隔離，所有來自煤炭企業(yè)外部網絡的訪問都需要經過防火墻的檢查，從而提高企業(yè)內部網絡的安全性。除此之外，煤炭企業(yè)還必須引入數據加密技術，來有效提高企業(yè)內部系統(tǒng)和數據的保密性，避免企業(yè)內部的機密數據被攻擊者竊取或遭內部員工的泄露。機密數據在發(fā)送之前會被發(fā)送者使用密鑰進行加密處理得到密文，然后密文會通過傳輸介質傳送給接收者，接收者在拿到密文之后，需要利用密鑰對密文進行解密處理得到原始的機密數據。這樣一來便保證了數據信息的機密性，從而避免機密數據被黑客竊取給煤炭企業(yè)帶來經濟損失。

篇2

一、高校校園網絡存在的問題

1.信息安全危機四伏

目前校園網絡處于內憂外患的境地。從外部環(huán)境來看，信息網絡安全總體情況不太樂觀，互聯網地下經濟促使病毒泛濫，病毒變種迅速得難以控制，多種技術配合進行攻擊欺騙，移動介質蠕蟲傳染后下載木馬程序頻繁；從內部環(huán)境來看，安全意識薄弱使得網絡攻擊更加猖獗，學校學生或扮演黑客角色或感染病毒發(fā)展僵尸網絡。網絡在學校里被用得很充分，特別是一些新的應用，更是在校園網中層出不窮。

2.網絡信息安全意識淡薄

在網絡技術普及以后,網絡安全受到的威脅系數增大。由于師生安全意識薄弱，對安全、技術一無所知的人比比皆是。這種狀況直接構成了高校網絡安全的隱患。有些校園網絡用戶從未安裝殺毒軟件，或者裝后就沒有再升級，往往在機器中毒后才急忙找對策。還有不少校園網用戶，對于賬號或是郵件密碼的設定不重視，黑客要入侵計算機、破譯不費吹灰之力。正是由于校園用戶群體對網絡安全不夠重視, 因而不能充分認識到網絡安全遭到威脅后所帶來的嚴重后果。

3.網絡安全防護系統(tǒng)不完善, 保護措施不力

很多高校對計算機網絡建設普遍存在重技術、輕安全、輕管理的問題，對網絡安全所需的軟件、硬件設施上投入嚴重不足。并且很多高校沒有專門的管理機構, 沒有定期對師生進行安全防護教育的管理部門, 安全防護職責不明確,一遇到問題就互相埋怨, 推脫責任。另外，由于辦學經費緊張不能持續(xù)投入大量資金改善網絡安全的軟、硬件設施，也使得加強高校網絡安全的措施無法到位。

二、高校校園網網絡安全體系的構建

1.配置安全的系統(tǒng)服務器平臺

安全的系統(tǒng)服務器是網絡安全的基點，利用系統(tǒng)本地安全策略構建一個相對安全的防護林，對于校園網來說至關重要。具體措施包括：設置禁用，構建第一道防線；設置IIS，構建第二道防線；運用掃描程序，堵住安全漏洞；封鎖端口，全面構建防線。

2.技術保證

目前，網絡安全的技術主要包括殺毒軟件、防火墻技術、身份驗證、存取控制、數據的完整性控制和安全協(xié)議等內容。技術保證包括以下一些技術措施。

（1）防火墻是校園網信息安全保障的核心點，它負責校園網中最根本的信息服務系統(tǒng)的安全。通過部署防火墻，實施嚴格的數據流監(jiān)控，同時在防火墻和服務系統(tǒng)上做較為詳細的日志記錄，為安全事件的事后取證工作提供依據。

（2）訪問控制是網絡安全防范和保護的最主要措施之一，其主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制采用用戶口令的識別與驗證，以保證其唯一性。當用戶進入網絡后，網絡系統(tǒng)就賦予其一定的訪問權限，用戶只能在其權限內進行操作。

3.網絡安全管理規(guī)范

（1）建立并嚴格執(zhí)行規(guī)章制度。高校網絡安全防護方面發(fā)生問題都與管理者水平、管理制度是否完善有著極大的關系, 因此必須提高管理者的管理水平, 建立和完善管理體制, 不斷創(chuàng)造新的管理辦法, 做到嚴格按照安全管理制度進行規(guī)范操作, 以防信息被破壞甚至丟失。

（2）應急響應。在發(fā)現新病毒或因系統(tǒng)安全漏洞威脅網絡安全時，安全網絡要及時向用戶發(fā)出安全通告，并提供各種補丁程序以便下載。另外，還要做好計算機系統(tǒng)、網絡、應用軟件及各種資料數據的備份，并建立備份數據庫系統(tǒng)。

4.用戶教育

學校要加強網絡安全管理意識，強化網絡道德、網絡心理、網絡安全和法制教育，在師生的思想上、心理上安裝防火墻，抵御來自校園網外部的攻擊；要使廣大師生員工都能意識到維護校園網絡安全的重要性和緊迫感，并且自覺遵守有關網絡安全的法律法規(guī)，從而自覺地維護校園網絡安全；要安排師生參加安全技術培訓，提高遵守相關安全制度的自覺性，增強整體安全防范能力。

三、結語

校園網絡是學校的重要基礎設施之一，其安全防范體系是一個動態(tài)的、不斷發(fā)展的綜合運行機制。我們必須全方位考慮各種不安全因素，制訂合理的技術方案和管理制度，以保證校園網絡高效可靠的運行。

參考文獻：

[1]吳國新，吉逸.計算機網絡[M].北京：高等教育出版社,2008.

[2]喬正洪，葛武滇.計算機網絡技術與應用[M].北京：清華大學出版社，2008.

篇3

【關鍵詞】電力二次自動化系統(tǒng)；安全防護；設計

1 引言

電力企業(yè)作為提供生產和生活能源的單位，其對對國民經濟的可持續(xù)發(fā)展和人民生活水平的提高具有十分重要的意義。隨著我國社會主義現代化經濟的快速發(fā)展，全國各地對電力的需求量變得越來越大，社會對電力的依賴程度越來越高。因此，如何保障電力供應的安全問題就成為我國社會廣泛關注的問題，對電力二次系統(tǒng)安全問題也提出了更高的要求。

2 電力二次自動化系統(tǒng)安全防護的概述

近年來，由于我國電網規(guī)模的迅速擴張，二次系統(tǒng)安全防護工作也加快了進度，電力企業(yè)的二次系統(tǒng)更加依賴于計算機技術和網絡。隨著電網二次自動化系統(tǒng)的實施，逐步實現了地和縣的調動，500KV和220KV變電站的生產控制區(qū)業(yè)務系統(tǒng)都接入了調動數據網和相應調度數據網邊界的安全防護。2011年某水電站無故全廠停機造成電網瞬間缺電80萬仟瓦引起電網大面積停電。其根源估計是廠內MIS系統(tǒng)與電站的控制系統(tǒng)無任何防護措施的互連，引起有意或無意的控制操作導致停機。此次事件說明隨著系統(tǒng)運用的普遍，電網規(guī)模的擴張使得二次自動化系統(tǒng)的規(guī)模越來越大，這就意味著二次系統(tǒng)安全風險的提高，需要進一步完善相關的管理辦法。細化電力二次自動化，可將其劃分為管理信息大區(qū)和生產控制大區(qū)。而管理信息大區(qū)和生產控制大區(qū)又可分為許多小區(qū)，各區(qū)之間相互聯系、相互促進。

3 電力二次自動化系統(tǒng)存在的主要安全問題

由于電力信息系統(tǒng)會劃分成多個子系統(tǒng)，并且要將其與計算機網絡系統(tǒng)相掛鉤。由于數據庫的資源共享，病毒的傳播渠道就增加，傳播更迅速、范圍更廣。病毒甚至可以從內部局域網傳播到網內的任何一臺計算機上，并大力破壞子系統(tǒng)，致使其癱瘓，嚴重影響了自動化系統(tǒng)的正常運營和工作效率。除此之外，電力二次自動化系統(tǒng)還存在以下幾個問題：首先，管理區(qū)和生產區(qū)之間數據會相互交叉；其次，沒有完善和統(tǒng)一的認證機制，對病毒的入侵也沒有檢測預警機制；然后，缺乏漏洞掃描和審計手段，其接入存在安全隱患；最后，病毒代碼更新速度慢，對病毒代碼的防治不到位。電力二次系統(tǒng)主要安全風險如表1所示；

4 電力二次自動化系統(tǒng)安全防護的主要目標

電力二次自動化系統(tǒng)主要指的是各級電力監(jiān)控系統(tǒng)、電廠管理信息系統(tǒng)、調度數據網絡（SPDnet）和各級電網管理信息系統(tǒng)（MIS）、電力通信系統(tǒng)以及電力數據通信網絡（SPTnet）等共同構成的十分復雜而龐大系統(tǒng)。目前，我國的電力企業(yè)二次系統(tǒng)對于網絡的依賴程度已經變得越來越高度非常高，同外部邊界網絡的聯系十分緊密，通過實際情況的研究發(fā)現，我國電力網絡安全面臨的最大安全隱患不是來自控制系統(tǒng)本身，而是來自和控制系統(tǒng)相連的外部網絡。現在我國網絡的主要威脅包括網絡黑客攻擊和計算機蠕蟲病毒等，電力二次自動化系統(tǒng)安全防護工作的重點應該是通過各種方式抵御黑客和病毒對系統(tǒng)發(fā)錢的惡意攻擊和破壞，從而保護電網抵御集團式攻擊，對電廠監(jiān)控系統(tǒng)與調度數據的網絡安全進行保護，防止電力系統(tǒng)因其攻擊而發(fā)生故障問題。

安全防護要做到的目標包括，第一，要防止由于外部邊界遭受攻擊和侵入引起的一次系統(tǒng)故障和二次系統(tǒng)崩潰；第二，要防止那些未經授權用戶訪問系統(tǒng)，同時防止侵入非法獲取信息和重大的非法操作；第三，電力二次自動系統(tǒng)安全防護要保證網絡專用，增加各分區(qū)邊界橫向安全物理隔離設備，縱向邏輯隔離設備和數據的加密；第四，電力公司要加強對內部人員的工作行為和工作職責的規(guī)范，對電力公司調度中心的整體安全管理水平進行提高。

5 電力二次自動化系統(tǒng)安全防護設計

二次自動化系統(tǒng)的安全防護主要包括兩個方面：一方面是對硬件配置的防護，要實現外網的入侵檢測、內外網的有效隔離；另一方面是對系統(tǒng)軟件的設計中的防護，對二次自動化系統(tǒng)軟件在設計時就要滿足安全防護的需要，要求在面對外網入侵事件時，主系統(tǒng)不會遭到入侵者的破壞，保證入侵者無法截獲實時系統(tǒng)的信息。鑒于對軟件的安全性高要求，必須要設置嚴格的多級權限管理，才能保證軟件設計和操作的安全。

5.1 電力二次自動化系統(tǒng)防護的網絡平臺安全性設計

一個系統(tǒng)的實時運行離不開網絡平臺，網絡平臺的應用支撐著系統(tǒng)各節(jié)點的程序安全運行和實時數據分流等功能，網絡平臺的性能優(yōu)劣直接影響到系統(tǒng)運行是否可靠。很多實時監(jiān)控系統(tǒng)的網絡平臺都是由各個廠家自主研發(fā)的，一般都是基于多種通用的網絡協(xié)議，如TCP/IP等研發(fā)而成，這種設計對安全性的考慮還遠遠不夠。因此，為加強電力網絡平臺的安全性要保證軟件具有以下幾種功能：首先，軟件雖然應用通用網絡協(xié)議，但是要將節(jié)點的IP地址、MAC地址與CPU標示號進行充分利用綁定，對網管軟件做預先定置，對只經過配置的節(jié)點才允許運行網絡平臺程序；其次，要預先定制遠程撥號節(jié)點，只有預先設定的才允許進人實時監(jiān)控系統(tǒng)；第三，在網絡平臺數據流要采用多種方式，提高安全可靠性，避免數據丟失。

5.2 電力二次自動化系統(tǒng)防護的權限控制設計

電力二次自動化安全防護系統(tǒng)設計時必須要對權限進行控制，要對能夠訪問的權限內容進行設置，可如圖1所示電力二次系統(tǒng)安全防護總體框架可通過這樣的循環(huán)管理模式來加強其內部的安全性和可靠性。例如，數據庫訪問、參數設計和web瀏覽等。

不同的系統(tǒng)節(jié)點和工作組、進程權限等要根據實際情況進行設置，從而增加多重保護措施，反正非法用戶入侵等。

6 結束語

綜上所述，電力二次自動化系統(tǒng)安全防護工作是一個系統(tǒng)的工程，只有保證電力二次系統(tǒng)不受非法用戶的入侵，高效的維護電力系統(tǒng)安全，才能保證的電力企業(yè)安全健康的運行與發(fā)展，從而滿足我國社會生產和生活對電力的需求。

參考文獻：

[1]李苗.關于電力二次自動化系統(tǒng)安全防護設計的相關探討[J].中國電業(yè)（技術版），2012（3）.

篇4

本文重點在結合信息安全等級的要求與IDS本身結構的優(yōu)缺點，對信息安全策略進行分析，構建滿足五級信息安全保護能力的入侵檢測系統(tǒng)。

關鍵詞：入侵檢測，信息安全

1.信息安全等級

信息安全等級保護是我國信息安全保障工作的綱領性文件（《國家信息化領導小組關于加強信息安全保障工作的意見》）（中辦發(fā)[2003]27號）提出的重要工作任務[1]，其基本原理是，不同的信息系統(tǒng)有不同的重要性，在決定信息安全保護措施時，必須綜合平衡安全成本和風險。

2007年6月，公安部的《信息安全等級保護管理辦法》規(guī)定，根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，其遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，其安全等級由低到高劃分為五級，其等級劃分原則如表1.1所示：

表1.1 安全等級劃分原則

不同安全等級的信息系統(tǒng)應該具備相應的基本安全保護能力，其中第四級安全保護能力是應能夠在統(tǒng)一安全策略下防護系統(tǒng)免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，嚴重的自然災害，以及其他相當維護程度的威脅所造成的資源損害，能夠發(fā)現安全漏洞和安全相關事件，在系統(tǒng)遭到損害后，能夠迅速恢復所有功能；第五級安全保護能力是在第四級安全的安全保護能力的基礎上，由訪問控制監(jiān)視器實行訪問驗證，采用形式化技術驗證相應的安全保護能力確實得到實現。

2.IDS主要功能

入侵檢測：通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或者闖入的企圖[2]。（國標GB/T 18336）

入侵檢測系統(tǒng)的主要功能：

檢測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補漏洞。（由安全掃描系統(tǒng)完成）、評估系統(tǒng)關鍵資源和數據文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等；

成功的入侵檢測系統(tǒng)，應該達到的效果：可以使系統(tǒng)管理員時刻了解網絡系統(tǒng)（軟件和硬件）的任何變更，能給網絡安全策略的制定提供依據；管理配置簡單，使非專業(yè)人員非常容易地獲得網絡安全。入侵檢測的規(guī)模還應根據網絡規(guī)模、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現入侵后，能及時作出響應，包括切斷網絡連接、記錄事件和報警等。

圖2.1入侵檢測系統(tǒng)結構圖

3.IDS類別

由于IDS的模型多樣化，IDS的類別也表現出較為復雜的情況，但是當前通常將入侵檢測按照分析方法和數據來源來進行分類[3]。

3.1按照分析方法（檢測方法）

異常檢測模型（Anomaly Detection）：首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵。

誤用檢測模型（MisuseDetection）：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。

3.2按照數據來源

基于主機的IDS：系統(tǒng)獲取數據的依據是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機；檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據主機的審計數據和系統(tǒng)的日志發(fā)現可疑事件，檢測系統(tǒng)可以運行在被檢測的主機或單獨的主機上。

圖3.1基于主機的IDS結構圖

基于網絡的IDS：系統(tǒng)獲取的數據是網絡傳輸的數據包，保護的是網絡的運行；根據網絡流量、協(xié)議分析、單臺或多臺主機的審計數據檢測入侵。

圖3.2 基于網絡的IDS結構圖

探測器由過濾器、網絡接口引擎器以及過濾規(guī)則決策器構成，探測器的功能是按一定的規(guī)則從網絡上獲取與安全事件相關的數據包，傳遞給分析引擎器進行安全分析判斷[4]。

分析引擎器將從探測器上接收到的包并結合網絡安全數據庫進行分析，把分析的結果傳遞給配置構造器。

配置構造器按分析引擎器的結果構造出探測器所需要的配置規(guī)則。

分布式IDS：

傳統(tǒng)的集中式IDS的基本模型是在網絡的不同網段放置多個探測器收集當前網絡狀態(tài)的信息，然后將這些信息傳送到中央控制臺進行處理分析。

分布式結構采用了本地主體處理本地事件，中央主體負責整體分析的模式。

3.3 IDS的局限性

對于大規(guī)模的分布式攻擊，中央控制臺的負荷將會超過其處理極限，這種情況會造成大量信息處理的遺漏，導致漏警率的增高[5]。

多個探測器收集到的數據在網絡上的傳輸會在一定程度上增加網絡負擔，導致網絡系統(tǒng)性能的降低[6]。

由于網絡傳輸的時延問題，中央控制臺處理的網絡數據包中所包含的信息只反映了探測器接收到它時網絡的狀態(tài)，不能實時反映當前網絡狀態(tài)[7]。

4.五級安全防護能力IDS構建

根據公安部《信息安全等級保護管理辦法》，五級安全防護能力需要具備四級安全防護的漏洞發(fā)現和入侵檢測能力，同時需要由訪問控制監(jiān)視器實現對訪問的及時驗證，保證杜絕未授權用戶的非法訪問。

與此同時，如何解決因為網絡時延而導致的數據分析的延后，以及解決探測器在網絡傳輸中造成的網絡負擔，提高網絡系統(tǒng)性能的同時保證中央控制臺的高效運轉，是當前IDS需要重點研究的問題。

當前IDS的結構中入侵檢測和數據安全審計是兩個不同的模塊，入侵檢測系統(tǒng)將檢測數據提交給安全審計模塊，對入侵行為的確認是由安全審計模塊進行的[8]。因此在成本可接受的范圍內，如果將審計模塊和檢測模塊結合，并且將分布式IDS的每一個檢測終端都由一個獨立處理單元來進行基本的檢測，只將較為復雜的數據提交給中央控制臺，這樣即減輕了網絡傳輸的壓力，也有利于中央控制臺更加高效運轉。將每一個獨立處理單元命名為一個agent，每個agent的結構如下圖所示：

5.結束語

本文介紹了信息安全等級的分類依據，在對IDS系統(tǒng)的類別和局限性進行分析的基礎上，對滿足五級信息安全防護能力的入侵檢測系統(tǒng)進行了基本構建，探討通過對分布式IDS終端處理單元的結構和防范策略進行調整，研究對IDS存在主要問題的處理策略。

參考文獻

[1] 高永強，羅世澤.網絡安全技術與應用大典[M].北京：人民郵電出版社，2003：15-16.

[2] 盛思源，戰(zhàn)守義，石耀斌.基于數據挖掘的入侵檢測系統(tǒng)[J].計算機工程，2003，28（3）.

[3] 胡振昌.網絡入侵檢測原理與技術[M].北京：北京理工大學出版社，2006

[4] 唐正軍，李建華.入侵檢測技術[M].北京：清華大學出版，2004.

[5] 程伯良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].計算機工程與設計.2007，28（14）

[6] 胥小波，蔣琴琴.基于混沌粒子群的IDS告警聚類算法[J].通信學報.2013，34（3）

篇5

關鍵詞：工業(yè)控制系統(tǒng)；信息安全防護技術；問題；策略

1研究工業(yè)控制系統(tǒng)信息安全防護技術的重要性

工業(yè)控制系統(tǒng)是信息化與工業(yè)化的有效融合形成的。目前自動化、計算機及互聯網技術的影響下，逐步形成了管理與控制的一體化，增加了工業(yè)控制系統(tǒng)的開放性，擴大了運行的范圍，因此，需要信息安全防護體系來做好保障。當前，很多工業(yè)性的基礎設施的控制系統(tǒng)缺乏防護性的措施和保障，工業(yè)控制系統(tǒng)的信息安全問題日益突出，互聯網在遭受病毒攻擊的時候影響大、范圍廣，造成的損失不可估量。要防止此類問題的頻發(fā)，就要建立安全防護體系，滿足現代工業(yè)控制系統(tǒng)的發(fā)展要求。做好工業(yè)控制系統(tǒng)的信息安全的防護技術工作，樹立安全屏障。

2工業(yè)控制系統(tǒng)中信息安全防護技術中存在的問題

工業(yè)控制系統(tǒng)中信息安全的防護技術刻不容緩，涉及眾多領域和重點工程，目前的工業(yè)控制系統(tǒng)仍然存在一些信息安全的風險性問題，主要有以下3個方面。（1）針對工業(yè)控制系統(tǒng)及其關鍵基礎設施的攻擊增多。工業(yè)控制系統(tǒng)雖然都會有一定的安全防護體系，但是互聯網中病毒的種類較多，且危害性大，病毒在攻擊的時候，能夠以驚人的方式增加并且導致系統(tǒng)迅速地癱瘓，增加了工業(yè)控制系統(tǒng)的風險性，傳統(tǒng)的病毒攻擊是漫無目的的，但是針對工業(yè)控制系統(tǒng)及其關鍵基礎設施的攻擊，是具有特定目標的，旨在獲取系統(tǒng)中的敏感信息，或者讓設施癱瘓導致無法運行。（2）工業(yè)控制系統(tǒng)產業(yè)生態(tài)的良性發(fā)展的產業(yè)鏈有待完善。工業(yè)控制系統(tǒng)還是采用傳統(tǒng)的管理辦法，在新技術和新設備的應用之后，隨著技術的不斷發(fā)展，大數據的應用，需要建立更加完善的產業(yè)生態(tài)系統(tǒng)，才能保證工業(yè)控制系統(tǒng)的良性運行，也是后期需解決的問題。（3）工業(yè)控制系統(tǒng)和設備存在一些高危安全漏洞。工業(yè)控制系統(tǒng)和設備大量暴露在互聯網上，也已成為各國工業(yè)信息安全的重要威脅和軟肋。在互聯網上工業(yè)控制系統(tǒng)數量增幅尤其明顯，增速超過了全球平均水平，工業(yè)互聯網的發(fā)展具有新安全挑戰(zhàn)，包括工業(yè)互聯網平臺的安全、工業(yè)互聯網設備和控制層面的安全、工業(yè)大數據安全、工業(yè)互聯網網絡層面的安全等。安全服務能力亟待提升，安全服務市場占有率較低。

3工業(yè)控制系統(tǒng)中信息安全防護技術的有效策略

工業(yè)控制系統(tǒng)中信息安全存在諸多風險，必須要快速地建立和完善安全防護技術，同時要基于安全需求原則，先進成熟技術原則、分級保護原則、縱深防御原則、動態(tài)調整原則來進行構建，提高工業(yè)控制系統(tǒng)的安全技術防護能力、管理能力、安全運維的能力，保障工業(yè)信息安全，針對上文中提出的各項風險性問題，必須予以針對性的解決，主要有以下幾個方面的策略。（1）加強工業(yè)控制系統(tǒng)及其關鍵基礎設施的安全風險評估。加強工業(yè)控制系統(tǒng)及其關鍵基礎設施的安全風險評估是確保工業(yè)控制系統(tǒng)信息安全的前提。識別危害是安全風險評估的重要組成部分，安全風險評估能夠為企業(yè)提供詳細的數據基礎，評估在不同環(huán)境、不同條件、不同時期的安全的危險性，并確定危害的程度，從而做出與之相匹配的防護措施。督促相關企業(yè)建立信息安全防護體系，落實信息安全防護技術和管理措施。安全評估設施包括防火墻，防病毒系統(tǒng)等各種新型的技術，對工業(yè)控制系統(tǒng)的安全策略配置和管理進行有效的前提預測和評估，檢測目前的信息安全的防護措施是否到位，從而降低系統(tǒng)被侵襲的風險，在遇到病毒攻擊的時候，能夠迅速地做出反應，保證數據信息的安全，實現防護舉措。（2）注重網絡安全防護的技術性操作。在網絡安全防護中，注重技術性的操作和方法，網絡設備要有足夠的空間和余地進行大規(guī)模的數據操作和分析處理，尤其是在業(yè)務高峰期階段，實現順利銜接和調整，注重終端與服務器之間的銜接，實現路由控制的安全的訪問路徑，注重邊界訪問，訪問要在合理的控制之下，實現網絡接入，對于那些不明的用戶訪問要快速地攔截，并迅速定位和查找，建立報警系統(tǒng)，發(fā)生嚴重的入侵事件能夠快速地回應。（3）注重應用安全和數據安全。應用安全防護中，提供訪問控制的功能，配置訪問的控制策略，依據訪問控制的程序運行進行登記，設置訪問權限，嚴格控制操作，保護應用的安全運行。數據安全的防護中，要注重數據的完整性、保密性、備份和恢復等，在數據傳輸的過程中，有貫穿全過程的監(jiān)管系統(tǒng)，檢測數據是否成功傳輸，是否受到損壞等，發(fā)生錯誤時能夠及時地保存數據，在日常的工作中，注重每天備份數據的習慣，保證工業(yè)控制系統(tǒng)的數據的完整保護。（4）健全安全風險管理體系。健全安全風險的管理體系，是確保工業(yè)控制系統(tǒng)順利運行的有效保障。建立和完善安全管理制度，制定工業(yè)控制系統(tǒng)的安全保障制度和安全策略，明確系統(tǒng)內的安全工作的權責，完善體系就是要針對日常工作中出現的安全問題進行記錄，并將普遍性的問題納入到安全保障管理制度中，督促人員遵守，使操作行為規(guī)范化，建立章程和操作流程，構建全面的管理制度和體系。設置安全管理的專門機構，明確各流程的負責人，以及工業(yè)控制系統(tǒng)總體運營的負責人，成立職能部門，并且制定相關的規(guī)范，通過量化各流程的安全系數，事故發(fā)生率，納入到負責人的考核中，以此在增加負責人的重要安全意識，注重安全防范。（5）增強信息技術人員的安全防護素質。嚴格規(guī)范人員安全的管理，從其招聘、錄用到入職都進行嚴格仔細的審查，對應的技術崗位要有專業(yè)的資格證書，關鍵崗位要注意系統(tǒng)運行的保密性，增加工作人員的保密意識，定期地對人員開展專業(yè)技能的培訓和職業(yè)道德培訓，尤其是要對工作人員的安全認知進行考核，按照規(guī)定執(zhí)行，建立獎懲措施，以此來激勵工作人員投入更多的熱情在安全防護工作上。（6）完善系統(tǒng)建設和運維管理。完善系統(tǒng)建設的管理，在系統(tǒng)的設計和建設階段，就要充分地考慮后期的安全防護措施，進行總體的規(guī)劃，并且協(xié)調相關的專家人員，專業(yè)技術人員，一線的工作人員進行商討。根據各方提供的資料意見進行整合，完善在設計和建設階段的安全防護措施，并同相關部門進行協(xié)調，實現互聯互通。做好系統(tǒng)的運維管理措施，在工業(yè)控制系統(tǒng)中，存在多個技術設備，系統(tǒng)運行，網絡安全等方面的運營，需要專業(yè)的技術人員定期地對此開展維護工作，進行優(yōu)化和升級，發(fā)現系統(tǒng)在運營過程中存在的問題，及時地修復，避免因為小問題的發(fā)生而導致了系統(tǒng)的事故發(fā)生，后期的維護也是保證系統(tǒng)穩(wěn)定運行的有效保障。（7）搭建工業(yè)控制系統(tǒng)漏洞檢測公共技術平臺。要搭建公共技術平臺記性檢測，建立國家級工業(yè)控制系統(tǒng)的數字仿真測試環(huán)境，通過實驗室測評、現場評估、滲透測試等方式，對工業(yè)控制系統(tǒng)進行脆弱性評估，建立系統(tǒng)的漏洞檢測和管理的平臺，建立漏洞檢測的數據庫，實現資源共享。（8）提高我國的自主創(chuàng)新能力，研發(fā)核心技術，替代國外產品。關鍵基礎設施及其控制系統(tǒng)的信息技術還是依靠國外進口，因此必須加強高端的通用芯片，操作系統(tǒng)等技術的創(chuàng)新，給予國內企業(yè)大量的優(yōu)惠政策和財政支持，研發(fā)信息技術裝備，大型的SCADA等控制設備和系統(tǒng)，逐步替代國外產品，實現國內的首用。（9）提升安全服務能力，增加安全服務市場占有率。對于進一步做好工業(yè)信息安全工作，要繼續(xù)對行業(yè)企業(yè)深入開展安全檢查評估，要構建全國的工業(yè)信息安全態(tài)勢感知網絡，要推進國家應急資源庫的建設，要健全風險共享和信息通報的體系，要完善安全共能力，要強化產學研用合作等。

篇6

一、前言

計算機網絡迅速的發(fā)展，人類已經現實信息全球化。但因為計算機網絡具有開放性、互連性、多樣性等特點，造成網絡容易受到攻擊。具體的攻擊有許多方面，不但有來自黑客的攻擊，還有其他諸如計算機病毒等方式的攻擊。所以，網絡的安全措施就變得特別重要，唯有針對每種不同的攻擊或威脅采取的不同方法，對網絡信息的可靠性、安全性和保密性才能有保障。

不管是發(fā)達國家，還是發(fā)展中國家包括我國，黑客活動猖獗，他們無孔不入，給社會造成了巨大的危害。盡管我們正在廣泛地應用所有復雜的軟件技術，例如服務器、侵襲探嗅器、防火墻、通道控制機制來防止網絡被人侵。但是，在各種文化和物質享受的同時，網絡安全威脅日益嚴重，例如黑客的侵襲、數據竊賊、病毒者，更嚴重的系統(tǒng)內部的泄密都時刻要求我們確保網絡上重要數據的安全性、網絡信息的安全性。

二、網絡主要安全隱患現狀分析

20世紀60年代因特網發(fā)展起來了計算機網絡應用技術，以因特網為代表的網絡，現在己經發(fā)展成全球共享的信息網絡資源，成為人們生活中不可缺少的一部分。網絡不但改變了人們的生活、學習方式和生產，還對人們的思維方式產生了影響。網絡系統(tǒng)的軟件、硬件和系統(tǒng)中的數據受到保護被稱為網絡安全，不因為惡意的或者偶然的原因而遭受到更改、泄露、破壞，系統(tǒng)能連續(xù)可靠地正常運行，網絡服務不中途斷掉。網絡上的信息安全是網絡安全的本質。

從廣義上來講，一旦關系到網絡上信息的完整性、可用性、真實性和保密性可控性的相關技術和理論都是網絡安全的研究范疇。隨著公司網絡應用的不斷增大，企業(yè)內部網遭到了病毒肆虐帶來了一定的安全隱患，網絡安全風險也變得越來越復雜和嚴重。原來的由單個計算機安全事故引起的損害有可能傳播到其他主機和系統(tǒng)，引起大范圍的損失和癱瘓，再加上對安全控制機制的缺乏和對網絡安全政策及防護意識的認識，致使這些風險不斷加深。網絡面臨的主要威脅主要來自以下面幾方面：

(一)黑客的攻擊

隨著網絡的發(fā)展黑客技術漸漸被越來越多的人發(fā)展和掌握，如今，世界上共有20多萬個黑客網站，這些網站對一些攻擊軟件的使用和攻擊方法以及系統(tǒng)的一些漏洞都有介紹，所以站點、系統(tǒng)遭受攻擊的可能性變得越來越大。特別是現在針對網絡犯罪特別有效的跟蹤手段和反擊還很缺乏，黑客攻擊的隱蔽性變得更好，“殺傷力”強，是網絡安全的主要威脅。

據報道，全世界每20秒就會發(fā)生一起黑客事件，僅美國自己每年為此遭到的經濟損失就高達數百億美元。2011年5月，我國被惡意篡改的網站數量為8513個，其中政府網站.gov.cn被篡改的數量就有826個；12年1到5月，全國有遭到“黑客”入侵的網站有5萬多個。

(二)計算機病毒的入侵

在計算機的運行中，因為編程者在計算機程序中，插入了破壞計算機正常運行的數據、命令、程序，讓計算機不能繼續(xù)正常運行指的就是所謂的計算機病毒，給用戶帶來很大的影響。

計算機病毒具有以下特點：

(1)破壞性；

(2)潛伏性；

(3)傳染性；

(4)可執(zhí)行性；

(5)可處發(fā)現；

(6)針對性；

(7)隱蔽性。

計算機病毒在本質上表現為一種能夠自我復制的指令和程序，它擁有很大的破壞性，嚴重的能夠使計算機信息系統(tǒng)的崩潰。近年來，由于網絡和計算機的普及，給計算機病毒了提供滋長的空間給計算機網絡安全造成嚴重威脅。

(三)計算機操作系統(tǒng)的漏洞

因特網的開放性和共享性讓網上信息安全存在一定的先天不足，因為其賴以生存的TCP/IP協(xié)議族，缺乏相應的安全機制，而且因特網最初的設計思想是此網不會因為局部發(fā)生故障而影響整體的信息傳輸，對安全問題基本沒有考慮，所以它在服務質量、安全可靠、方便性和寬帶等方面存在著不適應性。計算機操作系統(tǒng)可以被看成是一個復雜的軟件程序，雖然研究人員與開發(fā)在設計時做到思維縝密，但隨著時代的進步、技術的完善，都不可避免的存在那樣或這樣的漏洞?，F在，I/O管理計算機操作系統(tǒng)中存在的最大的漏洞是，這種漏洞會成為黑客攻擊的對象，對網絡安全造成影響。

三、網絡安全防護的主要應對技術措施

網絡具有用戶群龐大、網絡行為突發(fā)性較高、訪問方式多樣的特點。網絡安全問題需從網絡規(guī)劃階段制定每種方案，且在實際運行中加強管理。為保障網絡信息的安全和網絡系統(tǒng)的正常運行，要從各個方面采取措施，因為攻擊可能隨時發(fā)生，系統(tǒng)有可能隨時被攻破，所以對網絡的安全采取防范措施是極其必要的。常用的防范措施有以下幾種。

(一)硬件系統(tǒng)的安全防護

硬件的安全問題有兩種：一種是設置安全，是一種物理安全。在設備上進行必要的設置(如交換機、服務器的密碼等)，避免黑客獲得硬件設備的遠程控制權指的是安全設置安全。防止人為破壞或意外事件具體的物理設備指的是物理安全，例如交換機、機柜、線路、路由器、服務器等。機柜與機房的鑰匙要妥善管理，不能讓不相關人員進人機房，特別是網絡中心機房，以免遭到人為的蓄意破壞。需要采取嚴格的安全管理措施，例如加載嚴格的訪問列表、口令加密、對一些漏洞端口禁止訪問等。

(二)防火墻技術措施

在網絡訪問中，有效攔截外部網絡對內部網絡的非法行為，可以有效保障計算機系統(tǒng)安全的互聯網設備指的就是防火墻。防火墻在網絡數據傳輸的過程中，起到了較好的保護作用，首先入侵者必須穿越防火墻的安全防線，才能接觸目標計算機。用戶能把防火墻配置成多種不同的保護級別，防火墻可以依據個人設定的信息來檢測且決定網絡通信是否被允許，同時，對網絡的運行狀態(tài)還可進行監(jiān)控。防火墻技術的普及和應用，在很大程度上可以阻止黑客的入侵，給網絡安全帶來保障。系統(tǒng)固有的破壞工具和漏洞給黑客的攻擊帶來方便，造成安全隱患的一個重要因素是不完善的安全管理。當發(fā)現新的漏洞時，管理人員需認真分析危險程度，且立即采取補救措施。雖然對系統(tǒng)已經進行了維護，對軟件進行了升級或更新，但因為防火墻和路由器的過濾規(guī)則太過復雜，系統(tǒng)有可能出現新的漏洞。所以，及時、有效地改變管理才可以很大程度的降低系統(tǒng)所承受的風險。

(三)漏洞的修補

一旦系統(tǒng)中存在漏洞，就會給計算機帶來威脅，在許多上市的軟件中，都存在著缺陷以及漏洞，利用這些軟件漏洞，黑客入侵到用戶的計算中去，對用戶的正常使用計算機產生影響。所以，廠家應該時刻注意更新軟件，軟件相關補丁，需要下載安裝360安全衛(wèi)士等相關軟件。用戶需及時下載進行補丁安裝來，修復軟件漏洞。

(四)加強網絡安全管理

加強網絡安全管理，確保有一套完整的規(guī)章制度和管理體制，同時，對計算機安全管理制度的建設要加強。要實行崗位責任制與專人負責制。加強網絡相關技術人員安全知識教育，對技術員和網絡管理員的職業(yè)道德與專業(yè)操作能力要不斷加強。對企業(yè)計算機網絡的安全，各企業(yè)需要與相關技術人員簽訂保密協(xié)議，根據公司的規(guī)定，做好數據備份。人為因素對計算機網絡安全有著重要的影響。所以，給相關人員做好安全知識教育，對加強網絡安全更有利。鼓勵相關人員持證上崗，對相關人員的教育培訓機制加強，定期給有關人員進行繼續(xù)培訓和教育，培養(yǎng)他們良好的學習習慣，持續(xù)更新自己所擁有的知識，加強他們的知識儲備，并強化實踐學習。

四、結束語

計算機網絡已成為人們生活娛樂、工作學習中的重要組成部分，人們的生活質量和工作效率與網絡的安全問題有直接影響。所以，計算機網絡的安全防護措施就顯得特別重要，此文從計算機網絡的幾個方面出發(fā)：介紹了集中安全防護措施，建議用戶對不同的應用目的和網絡結構，使用不同的保障措施，來提高網絡的穩(wěn)定性與安全性。

此外，因為黑客攻擊手段的變化與信息量的擴張，很難在長時間范圍內確保計算機網絡的安全。所以，我們需要讓網絡的硬件設備及時升級且提升防護策略技術，來形成持續(xù)的安全保障，讓計算機網絡安全穩(wěn)定。

我國的網絡發(fā)展迅猛，但網站安全建設卻處于初級階段，多數網站或多或少的存在著安全漏洞，很易遭到“黑客”攻擊，并且一旦受到破壞，恢復起來比較困難，所以網絡安全已經受到政府的高度重視。在《刑法》中明確規(guī)定了對非法人侵重要領域計算機信息系統(tǒng)行為將受到刑事處罰。公安部頒布了《計算機網絡國際聯網安全保護管理辦法》。相信通過民族電腦事業(yè)的發(fā)展與政府的重視，加上技術人員認真負責的工作，智能化犯罪將會得到有效控制，國家信息安全一定會在現代電子技術的支撐下得到有效的保障。（來源：《消費電子》雜志 編選：）

篇7

[關鍵詞]專用網絡 信息安全 權限劃分 集中管理

[中圖分類號]C931.6 [文獻標識碼]B [文章編號]1672-5158（2013）06-0319-01

1、前言

伊犁河是一條跨境內陸河流，伊犁河建管局承擔伊犁河流域內的水利、水電工程建設、管理、運營任務。在當前和平與發(fā)展的國際形勢下，抓緊時間搞好伊犁河流域水利建設項目，是促進伊犁地區(qū)經濟發(fā)展，保證國家安全和利益的大事。

伊犁河建管局自2001年開始在伊犁河進行水利工程建設，隨著建設項目增多，組織機構健全，工作人員增加，管理工作呈現點多、線長、面廣的特點，管理機構分布在烏魯木齊市、伊寧市、伊寧縣、鞏留縣、察布查爾縣境內，建設過程中管理工作涉及到多方面的單位和人員，從而加大了建設管理的難度。在這種情況下，應用計算機信息網絡技術建設伊犁河建管局專用信息網絡（即：現有辦公內網），是各項建設管理工作得以正常、高效開展的必備條件。

2、專用信息網絡現狀及存在的問題

2，1現狀

伊犁河建管局專用信息網絡于2006年明建成，由于專用信息網絡是為全局運行管理服務的，全網獨立運行，與互聯網沒有設置接口。目前，內網通訊系統(tǒng)、遠控系統(tǒng)、水情系統(tǒng)、綜合管理系統(tǒng)、辦公系統(tǒng)、網站系統(tǒng)、郵件系統(tǒng)等業(yè)務應用均在此專用信息網中運行，其中部分系統(tǒng)處理、流轉著信息和單位內部重要的工作信息，對這些信息和重要工作信息的保護措施是采用防火墻做邏輯隔離。

2.2 存在的問題

1）伊犁河建管局現有專用信息網絡是一張非網絡，在此網絡上運行有信息，這是不符合BMB-16《涉及國家秘密的信息系統(tǒng)分保護管理辦法》中規(guī)定的“不涉及國家秘密的信息系統(tǒng)不得處理國家秘密信息”；

2）伊犁河建管局現有專用信息網絡的安全防護技術措施，不符合BMB-17《涉及國家秘密的信息系統(tǒng)分級保護技術要求》中規(guī)定的“信息系統(tǒng)與非信息系統(tǒng)之間，要求物理隔離；信息在遠距離傳送時，要求加密傳送；信息系統(tǒng)中的信息應有相應的密級標識，所有信息通信時應安全可控等等”；

3）伊犁河建管局現有專用信息網絡所涉及的用戶面太廣，如：內部人員、設計單位、監(jiān)理單位、施工單位，這些用戶都可以接人到現有網絡并能訪問內部網站，易造成信息和內部重要工作信息外泄的風險；

4）伊犁河建管局現有專用信息網絡運行的應用系統(tǒng)，沒有做分類分級的防護控制，內部用戶也未做分類分級的角色劃分，從而導致信息和內部重要工作信息所能接觸到的人數眾多，易造成信息和內部重要工作信息外泄的風險；

5）伊犁河建管局現有專用信息網絡內部，沒有統(tǒng)一身份認證和行為審計系統(tǒng)，在出現信息和內部重要工作信息外泄事件時，難以取證和追查；

6）伊犁河建管局現有專用信息網絡內部，工作終端使用沒有單一化，部分終端存在一機多用（即用于內網辦公，又用于外網訪問互聯網），易造成內部信息外泄到互聯網上。

伊犁河建管局現有專用信息網絡，還存在一些其他的問題，在此就不——贅述了，針對上述存在的問題，局領導和信息管理者應該重視起來，拿出相應的解決辦法，消除存在的問題，使此專用信息網絡更好地服務于生產管理，更好地服務于信息保密工作。

3、解決方案

以國家相關標準和規(guī)范為依據，結合伊犁河建管局專用信息網絡現狀和實際工作需要，在綜合分析的基礎上給出如下解決方案，供局領導決策：

按照非網的方式對現有專用信息網絡進行安全改造，使其具備一定等級的安全防護功能，其組網示意圖如圖1所示。通過本次安全改造，最終將實現專用信息網絡上的網絡接人安全、終端安全、信息安全，并通過本次安全改造，規(guī)范專用信息網絡內用戶的上網行為，增強專用信息網絡內用戶的安全防護意識及能力。

專用信息網絡是一張相對獨立的網絡，這張網絡不與任何網絡（尤其是互聯網）有著物理連接，將專用信息網絡劃分成三個安全區(qū)域，即服務器安全區(qū)域、安全管理安全區(qū)域、用戶終端安全區(qū)域，三個區(qū)域之間安全級別由高到低，依次為：服務器安全區(qū)域、安全管理安全區(qū)域、用戶終端安全區(qū)域。因專用信息網絡上的信息還是有需要提供給外部網絡使用，同時外部網絡上有些信息還是有需要提供專用網絡使用，這是實際需求，從安全的角度出發(fā)，將在每個用戶終端安全區(qū)域部署1臺中轉機，實現圖1所示的手動信息交換（可通過U盤、光盤等移動存儲介質）。

終端安全管理是一個復雜的問題，通常一個組織中的終端地理位置分散，用戶水平參差不齊，承載業(yè)務不同，安全需求各異，這就決定了終端安全建設的復雜性和多元性，要根據終端用戶的接入位置、所屬部門、業(yè)務需要等條件來選擇和執(zhí)行適當的安全管理策略，既不能搞一刀切，也不能對用戶放任自流，缺乏控管。顯然局部的、簡單的、被動的防護不足以解決問題，要想解決終端安全問題，需要建立統(tǒng)一管理的終端安全整體防護系統(tǒng)，全面管理終端安全。終端安全管理還要符合安全等級保護的要求，根據不同的安全等級保護的要求制定切合實際的終端安全管理的制度，必須克服兩種極端的錯誤認識：終端安全管理越嚴格越好；終端安全管理不好部署，容易得罪領導和同事，因此放任自流。

4、應用效果

伊犁河建管局信息系統(tǒng)實現以下效果：

1）對操作系統(tǒng)，非法用戶“進不來”

系統(tǒng)通過在硬件USBKey中存儲用戶身份識別的唯一標識，對用戶登錄系統(tǒng)進行身份認證，使得系統(tǒng)登錄與硬件Key緊密捆綁，實現了非法用戶“進不來”系統(tǒng)。

2）對有效信息，非法用戶“拿不走”

系統(tǒng)通過四級用戶權限管理、自主和強制雙重存取控制，以及存儲設備安全管理，防止了越權操作、非法訪問文件和一切移動存儲設備如軟盤、移動硬盤、優(yōu)盤等的非法文件拷貝，實現了非法用戶“拿不走”有效信息。

3）對有效信息，非法用戶“看不懂”

系統(tǒng)通過加密存儲數據和程序代碼，防止了敏感明文信息的外泄，實現了非法用戶“讀不懂”有效信息。加、解密過程對用戶透明，無須對現有的應用平臺進行任何的改動；加、解密過程動態(tài)進行，保證了硬盤上任何時刻存放的敏感數據都是密文，即使是意外斷電，也不會導致明文信息的外泄。

4）非法用戶作案后“跑不了”

系統(tǒng)通過嚴密審計跟蹤受控資源的使用情況，實現了非法用戶只要作案，一定“跑不了”，便于追查責任事故。

5）被保護設備“不怕丟”

系統(tǒng)通過硬件Key保存用戶身份識別標識、用戶權限信息、文件密級信息以及加密密鑰，使得你若沒有Key是無法從終端設備獲得有效信息的，實現了被保護設備“不怕丟”。

5、結束語

信息安全防護技術的實現是在現有專用信息網絡上進行的，為了減少實施對現有應用的影響，采用分步驟分階段的實施思路。應將專用信息網用戶終端安全防護作為整個網絡安全防護的重點，做好終端“堵漏、防毒、筑墻”工作，部署終端安全管理系統(tǒng)，配置可信終端。只有這樣，才能從源頭上、根本上保障專用信息網的信息安全。

參考文獻

篇8

關鍵詞：中小型企業(yè)；信息網絡安全；網絡安全架構

Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.

Keywords: small and medium-sized enterprises; network security; network security architecture

中圖分類號：TN915.08文獻標識碼：A文章編號：2095-2104（2013）

1、中小型企業(yè)網絡安全問題的研究背景

隨著企業(yè)信息化的推廣和計算機網絡的成熟和擴大，企業(yè)的發(fā)展越來越離不開網絡，而伴隨著企業(yè)對網絡的依賴性與日俱增，企業(yè)網絡的安全性問題越來越嚴重，大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統(tǒng)漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業(yè)面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘，在信息網絡越來越發(fā)達的今天，企業(yè)要發(fā)展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業(yè)的發(fā)展，甚至關乎到了企業(yè)的存亡。

2 、中小型企業(yè)網絡安全的主要問題

2.1什么是網絡安全

網絡安全的一個通用定義：網絡安全是指網絡系統(tǒng)中的軟、硬件設施及其系統(tǒng)中的數據受到保護，不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠地正常運行，網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性的相關技術和理論，都是網絡安全主要研究的領域。

2.2網絡安全架構的基本功能

網絡信息的保密性、完整性、可用性、真實性（抗抵賴性）和可控性又被稱為網絡安全目標，對于任何一個企業(yè)網絡來講，都應該實現這五個網絡安全基本目標，這就需要企業(yè)的網絡應用架構具備防御、監(jiān)測、應急、恢復等基本功能。

2.3中小型企業(yè)的主要網絡安全問題

中小型企業(yè)主要的網絡安全問題主要體現在3個方面.

1、木馬和病毒

計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業(yè)業(yè)務的連續(xù)性和有效性，某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業(yè)業(yè)務徹底癱瘓。與此同時，公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式，在不經意間將病毒和木馬帶入企業(yè)網絡并進行傳播，進而給企業(yè)造成巨大的經濟損失。由此可見，網絡安全系統(tǒng)必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點，包括網絡的邊界位置以及內部網絡環(huán)境。

2、信息竊取

信息竊取是企業(yè)面臨的一個重大問題，也可以說是企業(yè)最急需解決的問題。網絡黑客通過入侵企業(yè)網絡盜取企業(yè)信息和企業(yè)的客戶信息而牟利。解決這一問題，僅僅靠在網絡邊緣位置加強防范還遠遠不夠，因為黑客可能會伙同公司內部人員（如員工或承包商）一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響，它不僅會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關系。還會令企業(yè)陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。

3、業(yè)務有效性

計算機木馬和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)發(fā)展與網絡越來越密不可分，網絡開始以破壞公司網站和電子商務運行為威脅條件，對企業(yè)進行敲詐勒索。其中，以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業(yè)網絡的大量帶寬，使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的：數據和訂單丟失，客戶請求被拒絕……同時，當被攻擊的消息公之于眾后，企業(yè)的聲譽也會隨之受到影響。

3如何打造安全的中小型企業(yè)網絡架構

通過對中小型企業(yè)網絡存在的安全問題的分析，同時考慮到中小型企業(yè)資金有限的情況，我認為打造一個安全的中小型企業(yè)網絡架構應遵循以下的過程：首先要建立企業(yè)自己的網絡安全策略；其次根據企業(yè)現有網絡環(huán)境對企業(yè)可能存在的網絡隱患進行網絡安全風險評估，確定企業(yè)需要保護的重點；最后選擇合適的設備。

3.1建立網絡安全策略

一個企業(yè)的網絡絕不能簡簡單單的就定義為安全或者是不安全，每個企業(yè)在建立網絡安全體系的第一步應該是定義安全策略，該策略不會去指導如何獲得安全，而是將企業(yè)需要的應用清單羅列出來，再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略，企業(yè)需要制定合理的安全策略及安全方案來確保網絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。

“五不原則”：

1.“進不來”——可用性： 授權實體有權訪問數據，讓非法的用戶不能夠進入企業(yè)網。

2.“出不去”——可控性： 控制授權范圍內的信息流向及操作方式，讓企業(yè)網內的商業(yè)機密不被泄密。

3.“讀不懂”——機密性： 信息不暴露給未授權實體或進程，讓未被授權的人拿到信息也看不懂。

4.“改不了”——完整性： 保證數據不被未授權修改。

5.“走不脫”——可審查性：對出現的安全問題提供依據與手段。

在“五不原則”的基礎上，再針對企業(yè)網絡內的不同環(huán)節(jié)采取不同的策略。

3.2 信息安全等級劃分

根據我國《信息安全等級保護管理辦法》，我國所有的企業(yè)都必須對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。具體劃分情況如下：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。

因此，中小型企業(yè)在構建企業(yè)信息網絡安全架構之前，都應該根據《信息安全等級保護管理辦法》，經由相關部門確定企業(yè)的信息安全等級，并依據界定的企業(yè)信息安全等級對企業(yè)可能存在的網絡安全問題進行網絡安全風險評估。

3.3 網絡安全風險評估

根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統(tǒng)所存在的脆弱性，因人為或自然的威脅導致安全事件發(fā)生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準，對網絡系統(tǒng)的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。

網絡安全風險評估對企業(yè)的網絡安全意義重大。首先，網絡安全風險評估是網絡安全的基礎工作，它有利于網絡安全的規(guī)劃和設計以及明確網絡安全的保障需求；另外，網絡安全風險評估有利于網絡的安全防護，使得企業(yè)能夠對自己的網絡做到突出防護重點，分級保護。

3.4確定企業(yè)需要保護的重點

針對不同的企業(yè)，其需要保護的網絡設備和節(jié)點是不同的。但是企業(yè)信息網絡中需要保護的重點在大體上是相同的，我認為主要包括以下幾點：

1.要著重保護服務器、存儲的安全，較輕保護單機安全。

企業(yè)的運作中，信息是靈魂，一般來說，大量有用的信息都保存在服務器或者存儲設備上。在實際工作中，企業(yè)應該要求員工把相關的資料存儲在企業(yè)服務器中。企業(yè)可以對服務器采取統(tǒng)一的安全策略，如果管理策略定義的好的話，在服務器上文件的安全性比單機上要高的多。所以在安全管理中，企業(yè)應該把管理的重心放到這些服務器中，要采用一切必要的措施，讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業(yè)服務器的防護。

2.邊界防護是重點。

當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要，相反的邊界防護是網絡防護的重點。網絡邊界是企業(yè)網絡與其他網絡的分界線，對網絡邊界進行安全防護，首先必須明確到底哪些網絡邊界需要防護，這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分，負責對網絡流量進行最初及最后的過濾，對一些公共服務器區(qū)進行保護，VPN技術也是在網絡邊界設備建立和終結的，因此邊界安全的有效部署對整網安全意義重大。

3.“”保護。

企業(yè)還要注意到，對于某些極其重要的部門，要將其劃為，例如一些研發(fā)部門。類似的部門一旦發(fā)生網絡安全事件，往往很難估量損失。在這些區(qū)域可以采用虛擬局域網技術或者干脆做到物理隔離。

4.終端計算機的防護。

最后作者還是要提到終端計算機的防護，雖然對比服務器、存儲和邊界防護，終端計算機的安全級別相對較低，但最基本的病毒防護，和策略審計是必不可少的。

3.5選擇合適的網絡安全設備

企業(yè)應該根據自身的需求和實際情況選擇適合的網絡安全設備，并不是越貴越好，或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。

作為網絡安全重要的一環(huán)，防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一，并且?guī)缀跛械木W絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中，最常看到的是并發(fā)連接數、網絡吞吐量兩個指標.

并發(fā)連接數：是指防火墻或服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數目，它反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接，按每個臺計算機發(fā)生20個并發(fā)連接數計算（很多文章中提到一個經驗數據是15，但這個數值在集中辦公的地方往往會出現不足），假設企業(yè)中的計算機用戶為500人，這個企業(yè)需要的防火墻的并發(fā)連接數是：20*500*3/4=7500，也就是說在其他指標符合的情況下，購買一臺并發(fā)連接數在10000~15000之間的防火墻就已經足夠了，如果再規(guī)范了終端用戶的瀏覽限制，甚至可以更低。

網絡吞吐量：是指在沒有幀丟失的情況下，設備能夠接受的最大速率。隨著Internet的日益普及，內部網用戶訪問Internet的需求在不斷增加，一些企業(yè)也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務，這些因素會導致網絡流量的急劇增加，而防火墻作為內外網之間的唯一數據通道，如果吞吐量太小，就會成為網絡瓶頸，給整個網絡的傳輸效率帶來負面影響。因此，考察防火墻的吞吐能力有助于企業(yè)更好的評價其性能表現。這也是測量防火墻性能的重要指標。

吞吐量的大小主要由防火墻內網卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此，大多數防火墻雖號稱100M防火墻，由于其算法依靠軟件實現，通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻，由于采用硬件進行運算，因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。

從實際情況來看，中小型企業(yè)由于企業(yè)規(guī)模和人數的原因，一般選擇百兆防火墻就已經足夠了。

3.6投資回報率

在之前作者曾提到的中小企業(yè)的網絡特點中資金少是最重要的一個問題。不論企業(yè)如何做安全策略以及劃分保護重點，最終都要落實到一個實際問題上——企業(yè)網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上，是看不到任何產出的，那么網絡安全的投資回報率該如何計算呢?

首先，企業(yè)要確定公司內部員工在使用電子郵件和進行WEB瀏覽時，可能會違反公司網絡行為規(guī)范的概率?？梢詫⑦@個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業(yè)做的調查報告可知，通常有25%—30%的員工會違反企業(yè)的使用策略，作者在此選擇25%作為計算安全投資回報率的暴光值。那么，一個擁有100名員工的企業(yè)就有100x 25% = 25名違反者。

下一步，必需確定一個因素——當發(fā)現單一事件時將損失多少人民幣?？梢詫⑺Q為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規(guī)定，因此，可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如，作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后，企業(yè)需要確定在一周的工作時間之內，處理25名違規(guī)員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣，就可以按下列公式來計算單一預期損失值：

25x ￥10 x 10/ h = ￥2500 (SLE)

最后，企業(yè)要確定這樣的事情在一年中可能會發(fā)生多少次?？梢越兴鼮轭A期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發(fā)生，一年有52周，如果除去我國的春節(jié)和十一黃金周的兩個假期，這意味著一個企業(yè)在一年中可能會發(fā)生50次這樣的事件，可以將它稱之為年發(fā)生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發(fā)生率(ARO)乘以預期單一損失(SLE)：

￥2500 x 50 = ￥125,000 (ALE)

這就是說，該公司在沒有使用安全技術防范措施的情況下，內部員工的違規(guī)網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道，如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監(jiān)控解決方案，就可能讓企業(yè)每年減少12.5萬元人民幣的損失，這個安全防范方案當然是值得去做的。

當然，事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的，安全防范是一個持續(xù)過程，其中必然會牽扯到人力和管理成本等因素。而且，任何一種安全技術或安全解決方案并不能保證絕對的安全，因為這是不可能完成的任務。

就拿本例來說，實施這個網絡行為監(jiān)控方案之后，能夠將企業(yè)內部員工的違規(guī)行為，也就是暴光值(EV)降低到2%就已經相當不錯了。而這，需要在此安全防范方案實施一段時間之后，例如半年或一年，企業(yè)才可能知道實施此安全方案后的最終效果，也就是此次安全投資的具體投資回報率是多少。

有數據表明在國外，安全投入一般占企業(yè)基礎投入的5%～20%，在國內一般很少超過2%，而網絡安全事件不論在國內外都層出不窮，企業(yè)可能在安全方面投入了很多，但是仍然頻頻發(fā)生網絡安全事故。很多企業(yè)的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論，很好的解釋了這種現象。企業(yè)在信息安全方面的預算不夠進而導致了投資報酬不成比例，另外很多企業(yè)每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統(tǒng)的、科學的管理體系的支持，也是導致這種結果產生的原因。

篇9

關鍵詞 電力調度 二次系統(tǒng) 安全防護 等級保護 信息安全保障

1 引言

近年來，通信和電力行業(yè)的軟硬件技術都取得了快速發(fā)展，各級供電企業(yè)每年都會投入大量資源進行技術改造。由于縣級電力調度自動化系統(tǒng)自身條件和業(yè)務的特殊性，二次系統(tǒng)信息安全保障方案需要根據其特點進行更加有針對性和可操作性的方案設計。為保障縣級電力系統(tǒng)的安全、穩(wěn)定、經濟運行，根據相關國家法規(guī)和電力企業(yè)規(guī)定，本文結合工程實踐提出切實可行的電力調度自動化系統(tǒng)二次系統(tǒng)信息安全保障方案，并介紹實施過程。

2 電力調度自動化系統(tǒng)信息安全風險分析

縣級電力調度自動化系統(tǒng)結構較為簡單，它的二次系統(tǒng)業(yè)務系統(tǒng)較少，一般包含電力調度自動化系統(tǒng)、電力調度數據網絡、相連廠站端的RTU（或綜合自動化后臺）等。SCADA系統(tǒng)業(yè)務運行必須獲取變電站RTU發(fā)送的實時數據，對電力調度數據網絡的信息安全保障要求較高。

與省調、地調相比，縣級調度無論電網規(guī)模和管轄范圍都小得多?？h級電網中變電站往往分布在各鄉(xiāng)鎮(zhèn)，距離調度中心存在較遠的距離，廠站設備涉及廠家眾多，其中不少還比較陳舊。同時縣級電網公司缺乏調度自動化專業(yè)技術人員。相比省調和地調，縣級調度在設計電力調度自動化系統(tǒng)二次系統(tǒng)信息安全保障方案需要關注這些特殊情況造成的相應信息安全風險。

根據對電力調度自動化系統(tǒng)的危害程度從高到低，我們分析它面臨的信息安全風險主要有以下幾類：

（1）旁路控制

對電力調度自動化系統(tǒng)的危害程度最高的是旁路控制（By-Pass Control 簡稱BPC）。在二次系統(tǒng)遭遇BPC 危害時，可能被控對電力調度自動化系統(tǒng)內的一個或多個變電站傳送非法控制指令，導致電力系統(tǒng)事故或瓦解。

（2）系統(tǒng)信息完整性破壞

在二次系統(tǒng)內非授權修改電力調度系統(tǒng)配置、程序或敏感數據，可能導致電力系統(tǒng)事故或瓦解。這種風險可能來自外部人員有意破壞，也可能是內部工作人員無意誤操作。

（3）違反授權

在管理中未能嚴格制度和操作規(guī)程，操作員利用授權身份或設備進行非授權操作，也許不會立即造成系統(tǒng)事故，但會留下巨大的安全隱患。

（4）工作人員的隨意行為

電力調度自動化系統(tǒng)中的各個子系統(tǒng)和軟硬件設備都設置有嚴格的操作授權和授權口令（或認證卡）。在日常工作中一些工作人員為了便于記憶，共用授權口令、使用弱口令、允許他人使用自己授權口令等行為。也包括系統(tǒng)管理員未能正確配置訪問控制規(guī)則等操作失誤。

3 信息安全保障方案設計

3.1 按照4級安全防護等級設計電力調度自動化系統(tǒng)二次系統(tǒng)

（1）對用戶登錄系統(tǒng)功能界面采用授權口令或安全密鑰進行身份驗證。在工程實踐中，我們發(fā)現目前最安全的本地登錄身份驗證系統(tǒng)為人臉識別系統(tǒng)。

（2）在SCADA 系統(tǒng)與Web服務器之間安裝電力專用單向安全隔離網閘，隔離生產大區(qū)與管理大區(qū)間的數據通信。在Web服務器與OA網絡邊界安裝硬件防火墻。

（3）安裝電力專用縱向加密認證裝置對同屬生產大區(qū)內的遠程數據通信進行縱向安全認證，具有遠控功能的SCADA系統(tǒng)應當逐步改造支持電力縱向數字證書實現加密認證。

（4）對設備機房要采取防火、二次防雷等技術手段，使用電磁屏蔽機柜、電磁屏蔽機房等進行電磁防護。

3.2 系統(tǒng)內各功能主機安全加固

在縣級電力調度自動化系統(tǒng)二次系統(tǒng)中的各功能主機普遍采用通用型操作系統(tǒng)，為保障系統(tǒng)穩(wěn)定性、安全性必須進行主機加固。安全加固必須由有經驗的系統(tǒng)管理員通過人工的方式進行的，加固操作前應該做好充分的風險規(guī)避和跟蹤記錄，以確保系統(tǒng)的可用性。加固的內容主要包含以下方面：增強管理員口令及系統(tǒng)策略；關閉不必要的操作系統(tǒng)內置系統(tǒng)服務；開啟系統(tǒng)審計；限制遠程登錄；安裝軟件系統(tǒng)補?。环啦《敬胧?/p>

4 人員培訓和持續(xù)運行信息安全保障方案

我們在信息安全保障方案實施過程中強調“三分技術，七分管理”。方案的實施首先要從技術上滿足文獻[1-6]中規(guī)定的安全防護等級的要求。其次通過制定完善的災備預案、管理制度和進行有成效的人員培訓計劃提高工作人員的信息安全意識和技術水平。這樣就可以避免電力調度自動化系統(tǒng)二次系統(tǒng)絕大多數信息安全事故。

跟隨信息安全技術的發(fā)展，信息系統(tǒng)面臨的安全風險總在不斷變化中。在縣級供電企業(yè)中做信息安全保障一個非常重要的工作是建立行之有效的人員培訓計劃，要每年持續(xù)的進行信息安全的相關培訓。

5 結束語

本文的信息安全保障方案是對縣供電公司已在運行中的電力調度自動化系統(tǒng)二次系統(tǒng)進行針對性的方案設計。整個方案對現有的軟硬件環(huán)境和網絡環(huán)境不用做較大修改，工程實施對正在運行的調度系統(tǒng)影響較小，對工程實施過程有明確的操作指引。工程實施的步驟清晰、難度降低，效果顯著。工程實施后續(xù)的運行維護可以由縣供電公司自動化班根據運維手冊和災備預案進行，保障能力強且運維成本較小。

參考文獻：

[1]國務院.中華人民共和國計算機信息系統(tǒng)安全防護條例（國務院147 號文）.

[2]國家經濟貿易委員會.電網和電廠計算機監(jiān)控系統(tǒng)及調度數據網絡安全防護的規(guī)定（原國家經貿委[2002]第30 號令）.

[3]公安部.信息安全等級保護管理辦法（公通字[2007]43 號令）.

[4]國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護規(guī)定[s]，2005.

篇10

結合當前工作需要，的會員“桑妮”為你整理了這篇2021年第一季度政府網站信息內容自查整改情況匯報范文，希望能給你的學習、工作帶來參考借鑒作用。

【正文】

一、總體情況

（一）政府網站運行情況。2021年第一季度，對照國辦新標準，我區(qū)對“北京市石景山區(qū)人民政府”石景山區(qū)政府門戶網站內容建設情況進行了全面自查，對發(fā)現問題及時組織整改。主要針對站內搜索、移動適配、創(chuàng)新服務以及政務新媒體互動更新不及時、未進行留言回復等情況加強自查整改工作。加強節(jié)日期間政府網站和政務新媒體安全值守工作，安排人員24小時值守，并針對頁面顯示流暢、斷鏈錯鏈、功能訪問等情況進行檢查，未發(fā)現問題。

（二）網民留言辦理情況。2021年第一季度統(tǒng)計數據：政民互動共接訴38件，已辦結35件。并定期來信選登和受理留言統(tǒng)計情況。

（三）政府網站功能優(yōu)化情況。做好政府網站政府英文版門戶網站和政務新媒體內容建設，不斷提高政策知曉度，擴大政策推廣面積。推進政府門戶網站與政務新媒體融合發(fā)展。繼續(xù)推進政府網站集約化工作，推進政府網站、政務新媒體和在線政務服務平臺的數據融通、服務集約，推動“網上政府”向“掌上政府”發(fā)展。

（四）政府網站創(chuàng)新發(fā)展情況。1.政府英文版門戶網站正式上線。進一步優(yōu)化面向外資企業(yè)和外國人的服務水平，借力2022年冬奧會契機和冬奧組委駐地優(yōu)勢資源，提升石景山區(qū)國際形象和影響力。2.推進政務公開向新媒體平臺延伸。上線石景山區(qū)政務公開新媒體平臺，對照政務公開重點內容設置了機構職能、簡政放權等8大模塊，以及最新公開、意見征集等8個展示欄目，全面涵蓋政府政務公開信息，便于公民、法人或者其他組織依法獲取石景山區(qū)政府信息。截至目前，政務公開新媒體平臺已公開信息8110條。3.下發(fā)政務新媒體備案通知。對全區(qū)70余家政務新媒體新增、變更、注銷等操作提出新的要求。促進政務新媒體規(guī)范化管理。

（五）政府網站規(guī)范管理情況。根據《北京市人民政府辦公廳關于貫徹落實〈政府網站發(fā)展指引〉的實施意見》（京政辦發(fā)〔2017〕51號）中對政府網站域名等的要求，對政府門戶網站功能設計指標進行全面排查。石景山區(qū)政府門戶網站首頁增加“EN”標識，與石景山區(qū)政府英文版門戶網站建立鏈接。通過向全區(qū)各單位廣泛征集意見，完成制訂《石景山區(qū)英文版門戶網站建設管理辦法》，進一步規(guī)范區(qū)政府英文版門戶網站建設與管理，保障區(qū)政府英文版門戶網站安全、高效運行。

（六）網站安全保障情況。為完善政府網站安全保障機制，采取技術和管理兩手抓的方式，部署防火墻、Web應用防火墻、抗DDOS、防篡改系統(tǒng)、集中病毒防護系統(tǒng)等安全設備，技術上加強網站對抗各類命令注入、SQL注入、跨站腳本等網絡攻擊的能力；同時建立網絡安全突發(fā)事件應急保障體系等安全防護體系，明確安全工作策略，規(guī)范運維操作，鞏固技術防護效果，達到加強我區(qū)政務網站安全防護能力的目標。

二、下一步工作部署