第一篇：電力系統計算機網絡信息安全分析及防護.

電力系統計算機網絡信息安全分析及防護 吳博

(河南電力調度通信中心 河南 鄭州,450052 摘要:分析了河南省電力公司計算機信息網絡所面臨的不安全因素,并對該計算機信息網絡的特殊架構層次化,繼而進行了深入的網絡安全透析,并給出了針對性的網絡安全防護部署。

關鍵詞:計算機信息網絡;安全防護技術;安全管理;防火墻;入侵監測;防病毒;身份認證;VPN;網絡隔離裝置

一、前言

電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到發電廠、變電站、調度中心;發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。隨著河南電力計算機信息網絡的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多;同時,隨著Internet技術的發展,建立在Internet架構上的跨地區、全行業系統內部信息網開始逐步建立,使網絡的重要性和影響也越來越大,因此電力信息網絡系統的網絡安全“層次化”愈來愈顯得重要。

一、電力計算機信息網絡的架構特點:(一 河南省電力計算機信息網絡的現狀:(1企業內部網絡(Intranet連接。Intranet主要包括以下幾個方面:各地區電業 局、電廠、修造設計機構與省電力公司的連接;各縣電業局與地區電業局的連接;省電力公司與網局、國電公司的連接。

(2企業外部連接。省電力公司與省電力公司二級機構與國際互聯網的連接;各級電

力公司提供的遠程訪問服務;各級電力公司與外系統(如銀行、政府部門的連接。

以上連接一方面豐富了電力公司的業務,同時也導致了新的安全問題。

二、對河南電力計算機信息網絡的安全“層次化”:

上述企業內部網絡連接與企業外部網絡連接的安全防范也成為河南省電力公司重要的網絡安全問題之一。保護計算機網絡的穩定運行,防止重要信息被攻擊、竊取或泄露,安全地連接因特網或其他組織和分支機構,確定信息認證等等問題需要重點解決。而且電力部門有其獨特的網絡模式,所以從自身實際安全需求出發,全局、綜合、均衡地考慮各種必要的安全措施,建立全面完整的安全體系,從而促進電力生產的安全、穩定、經濟運行。

根據河南省電力系統計算機信息網絡的特點,各相關業務系統的重要程度和數據

流程、目前狀況和安全要求,將整個系統分為四個安全區:I實時控制區、II非控制生產區、III生產管理區、IV管理信息區。不同的安全區確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。其中安全區Ⅰ的安全等級最高,安全區II次之,其余依次類推。

(1安全區Ⅰ:實時控制區

安全區I中的業務系統或功能模塊的典型特征為直接實現實時監控功能,是電力生產的重要必備環節,系統實時在線運行,使用調度數據網絡或專用通道。

安全區I的典型系統包括調度自動化系統(SCADA/EMS、配電自動化系統、變電站自動化系統、發電廠自動監控系統等,其主要使用者為調度員和運行操作人員,數據實時性為秒級,外部邊界的通信經由電力調度數據網SPInet--VPN1。該區中還

包括采用專用通道的控制系統,如:繼電保護、安全自動控制系統、低頻/低壓自動減載系統、負荷控制系統等,這類系統對數據通信的實時性要求為毫秒級或秒級。安全區I是電力二次系統中最重要系統,安全等級最高,是安全防護的重點與核心。

(2安全區Ⅱ:非控制生產區

安全區Ⅱ中的業務系統或功能模塊的典型特征為:所實現的功能為電力生產的必要環節,但不具備控制功能,使用調度數據網絡,在線運行,與安全區I中的系統或功能模塊聯系緊密。安全區Ⅱ的典型系統包括調度員培訓模擬系統(DTS、水調自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、批發電力交易系統等,其面向的主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。該區數據的實時性是分鐘級、小時級。

(3安全區Ⅲ:生產管理區

安全區III中的業務系統或功能模塊的典型特征為:實現電力生產的管理功能,但不具備控制功能,不在線運行,可不使用電力調度數據網絡,與調度中心或控制中心工作人員的桌面終端直接相關,與安全區IV的辦公自動化系統關系密切。該區的典型系統為調度生產管理系統(DMIS、統計報表系統(日報、旬報、月報、年報、雷電監測系統、氣象信息接入等。

(4安全區IV:管理信息區

安全區IV中的業務系統或功能模塊的典型特征為:實現電力信息管理和辦公自動化功能,使用電力數據通信網絡,業務系統的訪問界面主要為桌面終端。該區包括管理信息系統(MIS、辦公自動化系統(OA、客戶服務等。該區的外部通信邊界為公共因特網。

三、網絡安全防護分析: 針對電力計算機信息網絡的以上特殊性質,進行網絡安全分析如下:(一 網絡邏輯結構示意圖

(二在網絡接口處可能受到的攻擊分析: 關聯接口攻擊場景描述風險類 型 風險 級別 對業務的影 響

I1 通過該接口,入侵安全等級高的系統,向通信網關發送雪崩 數據,造成網絡堵塞。機密性

完整性 H 導致和 SCADA/EMS 系統及其它 生產系統業 務中斷

I2、I3 通過該接口,入侵DMIS系統 重要業務部分,造成重要業務 中斷。完整性 可用性 可靠性 審計性 H 可以向DMIS 系統加入惡 意代碼,竊取 信息或對系 統造成破壞。

I4 其它DMIS系統中的惡意進程或攻擊人或病毒,通過SPI

net,利用該接口非法接入 DMIS局域網可用性 審計性 抗否認 M 獲得對DMIS 局域網的非 法接入權,病 毒感染

I5 來自MIS系統的病毒和惡意進程或攻擊人,非法進入DMIS 系統。竊聽或篡改發電計劃、負荷需求或其它不對外公開 信息等數據審計性 可用性 抗否認 M 獲得對DMIS 局域網的非 法接入權,病 毒感染

I6 , I6.1 黑客假冒開發商或本系統維

護人員的身份獲得對DMIS系 統的遠程維護權限 認證性 可用性 抗否認 H 黑客可以向 DMIS系統加 入惡意代碼, 竊取信息,或 對系統造成 破壞。

I7 來自系統外單位系統的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 DMIS系統, 導致服務中

斷或網絡堵 塞

I8 來自INTERNET的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 MIS系統,導 致服務中斷 或網絡堵塞

四、網絡安全防護措施

(一基于接口的安全技術和管理建議 接口 保護(P 檢測(D 響應(R 管理

I1 C 通信網關、防火墻 無 無 C 口令 無 無

無 I2 R 身份認證,審計追蹤,抗否認,防病毒 惡意代碼檢測 入侵檢測

暫停服務,審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 無 無 無 無 I3 R 物理隔離 無

暫停服務,審計日志分析

制定服務中斷恢復計劃,安全相容性檢查 C 口令 無 無 無 I4 R 抗否認,審計追蹤,身份認證,防病毒 惡意代碼檢測 入侵檢測

暫停服務,審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 防火墻 無 無

I5 R 防火墻,身份認證,防惡意代碼,安全網關,防病毒 惡意代碼檢測 入侵檢測 修改防火墻規則,病毒庫更新

制定服務中斷恢復計劃,安全相容性檢查 I6, I6 C 口令 無 無.1 R VPN,抗否認, 審計追蹤,身 份認證,安全 網關惡意代碼檢測 入侵檢測 暫停撥號服 務,審計日志 分析 定義接 口安全 條件, 定義用 戶安全

連接條 件,安 全相容 性檢查

C 通信網關無無I7 R 身份認證,安 全網關,防火 墻,抗否認, 審計追蹤,防 病毒惡意代碼檢測 入侵檢測 暫停服務,修 改防火墻規 則,審計日 志,病毒庫更 新 定義接 口安全 條件

C防火墻無無無I8 R防火墻,身份 認證,防惡意 代碼,安全網

關,防病毒惡意代碼檢測 入侵檢測 修改防火墻 規則,病毒庫 更新 制定服 務中斷 恢復計 劃,安 全相容 性檢查

注:C表示當前所采用的安全措施,R表示推薦采用安全措施(二安全產品選用 安全產品及其簡要功能 安全產品名

稱

類型 功能說明 對系統可能的影響 防火墻 硬件防火墻 軟件防火墻

訪問控制 影響數據傳輸速度

網關 服務器 訪問控制 影響數據傳輸速度 基于網絡 實時監控 實施阻斷時,占用一定的 網絡帶寬 入侵檢測軟

件 基于主機 準實時監控 占用主機的一部分CPU和 內存 安全評估軟

件 基于網絡和主機 漏洞掃描 在掃描時,占用一定主機 和網絡資源 專用隔離裝 置 物理隔離 邏輯隔離 更嚴格的訪問 控制

影響傳輸數據的類型、速 度

防病毒軟件 針對NT/2000系列 防、殺病毒 對主機性能有一定影響 PKI系統 CA, RA, AS RA, AS 身份認證、數據 保密、數據完整 證書和私鑰的管理增加 了管理工作量 AS 性檢驗等 備份系統 針對服務器中的數據和軟件

可以對重要數據和軟件進行災難恢復

實施備份操作時,影響網絡和相關主機的速度和性能（三、部署安全產品

(四安全產品部署說明: [1] 防火墻&隔離裝置

在調度生產管理系統的安全區Ⅱ和安全區Ⅲ間(即物理接口PI3處,部署專用物理隔離設備,以實施對安全區Ⅰ、Ⅱ的安全隔離。

在管理信息系統(MIS的接入點和公共網絡接入點,即物理接口PI5和PI8,采用隔離裝置實施訪問控制策略。

[2] 入侵監測系統

在調度生產管理系統中部署基于網絡和基于主機的入侵檢測系統,以實施對網絡和服務器攻擊及違規行為的監測與響應策略。入侵檢測系統的探頭布置在三處,分別標識為IDS 探頭

1、IDS 探頭2和IDS 探頭3,它們的作用分別為: IDS 探頭1:用于監控DMIS 系統與SPI net 之間的訪問活動 IDS 探頭2:用于監控DMIS 系統內部服務器訪問活動

IDS 探頭3:用于監控系統外部單位和DMIS 系統之間的訪問活動

安全監測中心實現對入侵檢測系統中探頭(或稱為探測器的統一管理與控制,它與探頭之間可以通過單獨通道建立連接。這樣既可以使安全監測中心在網絡中隱形,也可以使安全監測中心與探頭之間的通信不占用被檢測網絡的帶寬資源。

[3] 安全評估系統

在DMIS系統中布置安全評估系統,可以輔助管理員自主地定期對調度生產管理系統進行必要的安全評估,檢測與分析系統存在的安全漏洞,并根據安全評估報告的結果進行整改,及時安裝升級包,或者修改防火墻和隔離設備的訪問控制規則,以避免黑客利用系統安全漏洞進行攻擊。

[4] 防病毒軟件

在調度生產管理系統內部的所有主機和服務器上安裝防病毒軟件,并配置一臺病毒管理中心,進行必要的防病毒管理。

由于現在病毒感染的途徑很多,因此必須實施全面的防病毒方案,并且能及時更新。

[5] 身份認證(PKI系統

在調度生產管理系統中布置PKI系統主要用于系統與人(如使用人員員、遠程維護人員等之間以及各系統進程之間的身份認證。完整的PKI系統包括CA、RA、目錄服務等,在調度生產管理系統中可以選擇下面兩種配置之一: 只需要布置一個證書服務器,向應用程序提供證書和證書作廢列表下載、證書有效性驗證服務。證書服務器上的證書數據庫和證書作廢列表可以通過離線方式更新。證書服務器的證書數據庫中至少應該有撥號診斷服務證書、網絡RTU證書、無閉環專用系統的證書、遠程維護人員的證書等。

不增加任何設備,應用程序直接調用PKI系統提供的API,從而支持強身份認證功能。

與配置一相比,需要手工向應用程序導入證書和證書作廢列表 參考文獻: [1]湖南電力計算機廣域網安全分析張燦湖南電力文獻 2003.5 [2] 電力信息網絡安全的“層次化”思科網絡安全技術文獻庫 2004.5 [3] 國家電力信息化目標國家電力信息化技術文獻 2002.3 [4] 孫友倉,對信息系統安全管理的探討.現代電子技術[J],2004,27(5 [5] 熊松韞,張志平.構建網絡信息的安全防護體系.情報學報[J], 2003,22(1 吳博: 男,工程師,2003年畢業于四川大學電氣信息學院通信工程系,同年7月在河南省電力公司調度通信中心通信處就職, 從事電力通信調度以及電力通信網絡的管理、維護和故障處理等方面的工作。

The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone

Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.電力系統計算機網絡信息安全分析及防護 作者:吳博

作者單位:河南電力調度通信中心,河南鄭州,450052 相似文獻(10條

1.會議論文譚曉天系統集成思想指導下的電網調度專業網絡構建1999 系統集成是高水閏的計算機應用,能為用戶提供一體化的解決方案。該文結合湖南電網調度專業網絡系統的開發闡述了系統集成四個層次的具體實踐。最后指出專業人員參與系統集成值得注意的問題。

2.會議論文胡炎.謝小榮.辛耀中現有安全設計方法綜述2005 本文對電網現有安全設計方法進行了綜述。文章分析了風險管理方法、遵循安全設計指南方法、形式化驗證方法、發現修改方法、預防性安全設計方法等現有安全設計方法的特點和不足,同時總結了信息系統安全工程過程、安全需求分析方法、可生存系統分析設計等方面研究的可借鑒之處.3.期刊論文任志翔.仇群輝智能電網調度自動化技術思考-經濟研究導刊2010,“"(7

簡述了智能電網的概念和特點,介紹電網調度自動化的發展歷史,分析了智能電網調度自動化和傳統電網調度自動化在智能處理和信息共享等方面的區別,著重分析了目前電網調度自動化系統的研究現狀,并以目前在變電站建設中推廣的IEC 61850和在主站構建中推廣的IEC 61970標準以及計算機網絡和先進的通信技術作為基礎,重點分析了未來中國智能電網調度自動化的研究方向.4.會議論文李承東.潘明惠微機網絡在東北電網調度運行中的應用1994 5.會議論文舒彬.潘敬東轉變觀念、優化管理—關于電網調度自動化系統網絡安全管理的幾點思考2001 本文在分析調度自動化系統網絡安全管理中,由于信息不對稱所造成的信息失真情況的基礎上,探討了如何通過建立一套有效的技術手段提高自動化系統安全管理系數,并進一步提出以”目標和任務"機制作為網絡安全研究與建設方向的思想,以期為建立可適應性安全防護體系做好準備工作.6.會議論文牛萬福DEC計算機電網調度監控系統1997 詳細介紹了一自行開發的DEC ALPHA計算機電網監控(SCADA系統,描述了監控系統計算機網絡的客戶站/服務器(client/server體系結構及電網監控軟件,闡述了雙機運行和軟件切換機制。文章也介紹了該計算機電網監控系統在地區電網調度中的應用及與企業管理信息系統(MIS和省局能量管理系統(EMS的網絡連接。

7.學位論文高云電網調度運行信息管理系統設計2001 該文研究的對象是供電企業的電網調度運行信息管理系統,它是生產技術管理系統的一個重要組成部分.文中首先指出了目前地區供電企業在調度運行信息的記錄、處理和傳閱方式上存在的問題.在對系統功能需求和數據需求進行分析的基礎上,對調度運行信息進行了分類,確定了系統的總體功能及實現方案,并采用原型法的軟件開發方法、面向對象程序設計技術(OOP和計算機網絡技術進行開發.利用Visual FoxPro6.0開發工具設計的調度運行信息管理系統具有基礎資料數據庫和運行記錄數據庫.現已完成主控程序,系統注冊模塊、運行記錄模塊和操作命令票管理

模塊等應用程序,可以對設備參數和電網運行信息進行增加、修改、刪除和查詢工作,統計斷路器跳閘次數并給出達到預定值時的信息提示.程序中設計了利用已輸入的基礎資料數據進行快速、靈活地輸入和編輯運行記錄的操作方法,極大地減少了漢字輸入的工作量,并且使記錄的信息更為規范.設計的程序具有操作簡便、易于使用和功能擴充方便等特點.8.會議論文王桂茹電網調度管理信息系統設計1997 這是一篇涉及計算機網絡及應用推廣;涉及電網調度相關專業知識及信息共享原則的論文。

9.會議論文曹連軍.王曉華東北電網調度通信中心生產管理企業網1999 當今計算機已經由單機操作向網絡操作發展。計算機網絡在企業現代化管理中起到越來越重要的作用。該文給出了東北電網調度通信中心生產管理企業網的功能描述。

10.期刊論文周士躍.王勁松.金小達地區供電網調度實時數據網絡安全分析及對策-電網技術2003,27(10 隨著信息技術和網絡技術在電力生產中的應用,在變電站與調度自動化系統間傳輸數據已經實現,同時調度自動化系統與電力生產中其它系統間也進行了互聯,因此調度實時系統和變電站計算機網絡的安全問題也越來越引起人們的關注.文中結合鹽城電網的實際情況,提出了相應的系統安全策略和信息安全策略,重點介紹了調度主站系統和變電站的網絡安全技術:防火墻技術、多層次防護策略、入侵檢測系統.本文鏈接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下載時間:2010年6月6日

第二篇：計算機網絡信息安全及其防護對策

計算機網絡信息安全及其防護對策

摘要：隨著信息化建設的快速發展，信息網絡已經成為社會發展的重要保證。但是，由于在早期網絡協議設計上對安全問題的忽視，與它有關的安全事故屢有發生。使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。而有針對性地加強網絡信息安全防護，是網絡安全必須做的工作。針對這些問題，該文歸納并提出了一些網絡信息安全防護的方法和策略。

關鍵詞：計算機網絡；信息安全；防護策略

1.計算機網絡面臨的安全問題

1.1自然災害

組成計算機的多是一些電子器件，本身對外界環境極其敏感，很容易受到溫度、濕度、振動沖擊的影響?？v觀現今的計算機房，并沒有防火、避震、防雷、抗干擾等措施，接地系統的設計也比較單一化，抵御突發狀況的能力較差。日常工作中因斷電而導致硬盤損傷、數據丟失的現象屢見不鮮。噪聲和電磁輻射會導致網絡信噪比下降，增加誤碼率，威脅到信息傳遞的完整性、可用性與安全性。

1.2黑客襲擊

計算機信息網絡成為黑客的溫床，利用這個平臺，他們編寫出大量具有強大破壞力的病毒程序。黑客們熟知各類計算機系統的安全漏洞，對計算機軟件較熟悉。黑客破壞網絡的問題很嚴重，他們越權群儒重要信息庫，竊聽、截取、篡改敏感性信息，修改信息網絡參數，導致數據丟失或系統崩潰，給企業帶來巨大經濟損失，甚至會影響到國家的政治安全。信息網絡本身的弊端和缺陷成為黑客的突破口，并構成了人為破壞的威脅。

1.3計算機病毒

計算機病毒這一名詞院子上世紀九十年代，它傳播速度快、蔓延范圍廣，可以造成難以估量的損失。病毒可以潛伏在計算機程序中，一旦程序運行或達到某個特定狀態，病毒便會激活，并迅速進行擴散，輕則占用系統內存，導致運行速度下降，重則造成數據丟失、系統癱瘓甚至硬件損失。一旦某些重要文件或數據遭到破壞，其造成的損失是無法估量的。

1.4垃圾郵件和間諜軟件

電子郵件具有高度開放性和廣泛傳播性，某些人利用這個特點進行商業、宗教或商業活動，將自己編寫好的郵件強行植入他人郵箱，強迫他人閱讀郵件。間諜軟件與計算機病毒不同，主要目的不在于破壞系統，而是竊取用戶信息。目前，對間諜軟件的界定還存在爭議，被普遍接受的觀點是間諜軟件在未得到用戶授權的情況下進行非法安裝，形成第三方插件，并把一些機密信息提供給第三方。間諜軟件功能繁雜，可以時刻監視用戶行為，并修改系統設置、發布彈窗廣告，嚴重干擾用戶隱私，并在一定程度上占用了系統內存。

2.計算機網絡安全防護措施

2.1隱藏IP地址

黑客可以通過第三方軟件查看主機信息，主要目的是獲取目標計算機的IP地址。當黑客得知你的IP地址，可以對這個地址發動各種攻擊，例如拒絕服務、Floop溢出攻擊等。用戶可以使用代理服務器隱藏主機IP地址，其他人只能獲悉代理服務器IP地址，無法得知主機IP地址，間接保護了用戶上網安全。2.2封死黑客退路（1）刪除冗余協議

對于服務器和主機只需要安裝TCP/IP協議，應該卸載不必要協議。其中，NetBIOS是很多安全缺陷的源頭，對于無需提供文件共享和打印服務的主機，應關閉NetBIOS，避免針對它的攻擊。

（2）關閉文件和打印共享

文件和打印共享為局域網上的微機提供了便利，但是它也是引發黑客入侵的重大漏洞，黑客利用共享機制可以入侵局域網進行破壞。在不使用打印、共享服務時，應將其關閉，或者為共享資源設置訪問口令。

（3）禁止建立空連接

默認設置下，任何用戶都可通過空連接與服務器進行互聯，窮舉賬號，并用暴力法破解密碼。不必要的空連接應禁止。另外，在上限范圍內，服務器密碼應設置的盡可能復雜，使得窮舉法失效，或者抬升窮舉成本，令黑客望而卻步。

（4）關閉不必要的服務

多樣服務能夠給管理者提供便利，提升工作效率，但也會給黑客留下機會，對于很少用到的服務應在平時選擇關閉。例如計算機遠程管理，一般情況下無需打開。不必要服務的減少不僅保證了系統安全，也可以保證系統運行速度。

2.3數據加密技術與用戶權限分級

該技術靈活性較好，適用于開放性網絡。用戶權限分級保護了靜態信息，需要系統管理員權限，一般實現于操作系統。數據加密主要保護動態信息。針對動態數據的攻擊分為主動攻擊和被動攻擊。主動攻擊一般很難避免，但可以有效預防和檢測；被動攻擊難以檢測，但可以避免，數據加密技術為這一系列工作奠定了良好基礎。數據加密利用數據移位和置換算法，利用密鑰進行控制。傳統加密算法中，加密密鑰和解密密鑰無區別，或者藉由其中一個就可以推導出另一個，我們稱之為對稱密鑰算法。這個密鑰具有高度敏感性，必須由授權用戶所保管，他們可以用密鑰加密信息，也可以解密私有信息。DES是對成加密算法中的典型。另一種算法是非對稱加密算法或公鑰加密算法，加密和解密過程的密鑰無任何相關性，加密密鑰稱為公鑰，解密密鑰稱為私鑰。公鑰算法面向全體用戶，任何人皆可用其加密信息，再發送密文給私鑰擁有者。私鑰具有保密性，用于解讀公鑰加密信息。REA是目前廣為運用的加密算法。

參考文獻

[1]邢露,張棋.計算機網絡信息安全與病毒防治[J].河南科技.2011(01)

[2]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程.2011(1)[3]曾艷.計算機網絡信息安全與防護措施[J].理論導報.2011(01)

第三篇：淺談計算機網絡信息安全防護探析

淺談計算機網絡信息安全防護探析

論文關鍵詞：網絡信息 安全防護

論文摘要：隨著當代信息技術的發展，互聯網的共享性、開放性以及互聯程度也在不斷擴大。Internet的廣泛普及，商業數字貨幣、網絡銀行等一部分網絡新業務的迅速興起，使得計算機網絡的安全問題越來越顯得重要，通過歸納總結，提出網絡信息中的一些安全防護策略。

1．引言

網絡環境的復雜性、多變性以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。當前，隨著計算機技術的飛速發展，利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了，因此，如何采用更加安全的數據保護及加密技術，成為當前計算機工作者的研究熱點與重點。網絡安全技術，尤其是網絡信息的安全，關系到網民、企業甚至是國家的信息安全。因此，發展更加安全的網絡安全技術，是關系到社會經濟穩定繁榮發展的關鍵，成為當前計算機安全工作的重點。

2．網絡信息安全的風險來源

影響計算機網絡安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來豐要以下幾個方面：

(1)病毒感染

從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統安全最直接的威脅。病毒依靠網絡迅速傳播，它很容易地通過代理服務器以軟件下載、郵件接收等方式進入網絡，竊取網絡信息，造成很人的損失。

(2)來自網絡外部的攻擊

這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。

（3)來自網絡內部的攻擊

在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后。竊取機密信息，破壞信息內容，造成應用系統無法運行。

（4)系統的漏洞及“后門”

操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中

留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環節對整個網絡系統進行攻擊，大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的。

3．網絡信息安全的防護策略

現在網絡信息安全的防護措施必不可少。從技術上來說，計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成，就此對我們常用的幾項防護技術分別進行分析。

3．1防火墻技術

防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合，它越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤其以接入Internet網絡為甚。不同網絡或網絡安拿域之間信息都會經過它的過濾，防火墻就會根據自身的安全政策控制(允許、拒絕、監測)出入網絡的信息流，而且它本身也具有較強的抗攻擊能力，不會被病毒控制。防火墻可以阻J網絡中的黑客來訪問你的機器，防止他們篡改、拷貝、毀壞你的重要信息。它為網絡信息的安全提供了很好的服務，為我們更安全地使用網絡提供了很好的保障。

“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術，它通過監測、限制和更改通過“防火墻”的數據流，一方面盡可能地對外部網絡屏蔽被保護網絡的信息、結構，實現對內部網絡的保護，以防“人放火”；另一方面對內屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網絡互聯單

一、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計，如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。VPN，可以將分部在世界各地的LAN或專用電子網有機地聯成一個整體。這樣一方面省去了專用通信線路，也達到了信息共享的目的。

3．2數據加密技術

數據加密技術是網絡中最藎木的安傘技術，主要是通過對網絡傳輸的信息進行數據加密來保障其安全性。加密是對網絡上傳輸數據的訪問權加強限制的一種技術。原始數據(也稱為明文，plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理，是將密文還原為原始明文，但解秘者必須利用相同類型的加密設備和密鑰，才能對密文進行解密。

3．3入侵檢測技術

入侵檢測系統(intrusiondetectionsystem，IDS)是從多種計算機系統及網絡系統中收集信息，再通過這些信息分析，對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統。入侵檢測系統具有多方面的功能：威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報

告系統中朱授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

3．4病毒防護

可采用如下的方法或措施：

(1)合理設置殺毒軟什，如果安裝的殺毒軟什具備掃描電郵件的功能，盡量將這些功能傘部打開；

（2)定期檢查敏感文件；

(3)采取必要的病毒檢測和監控措施；

(4)對新購的硬盤、軟盤、軟件等資源，使用前應先用病毒測試軟件檢查已知病毒，硬盤可以使用低級格式化(DOS中的FORMAT格式化可以去抻軟盤中的病毒，但不能清除硬盤引導的病毒)；

（5)慎重對待郵件附件，如果收到郵件中有可執行文件(如．EXE、．COM等)或者帶有“宏”的文殺一遍，確認沒有病毒后再打開；

（6)及時升級郵件程序和操作系統，以修補所有已知的安全漏洞。

3．5身份認證技術

身份認證(Authentication)是系統核查用戶身份證明的過程，其實質是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(IdentificaIion)是指用戶向系統出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。

身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性，然后確定它的個人數據和特定權限。對于身份認證系統來說，合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益，也可能損害其他用戶的利益或整個系統。因此，身份認證是授權控制的基礎。只有有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件，殺毒軟件和防火墻這些都是必備的，而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中，在上網時一定要打開它們。最后要及時給系統打補丁，建議人家下載自己的操作系統對應的補丁程序，這是我們網絡安全的恭礎。

4．結束語

總之，在網絡技術十分發達的今大，任何一臺計算機都不可能孤立于網絡之外。網絡安全是一個系統的工程，不能僅僅依靠防火墻、病毒軟件或各種各樣的安全產品就可以解決安全問題，而需要仔細考慮系統的安全需求，并將各種安全技術，結合在一起，才能生成一個高效、通用、安全的網絡系統。

第四篇：淺論計算機網絡信息安全

淺論計算機網絡信息安全

摘要：在經濟全球化的推動下，隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證，當今世界已經進入一個信息化的時代，但隨之而來的是一系列信息安全的相關問題。本文主要論述了有關網絡信息安全的基本知識:網絡信息安全存在的隱患、網絡信息安全的常見問題、網絡信息安全的防護與建設。并且對信息安全的相關問題闡明自己的想法和觀點。

關鍵詞：網絡安全 ； 安認證體系 ； 網絡機制 ；數據加密

網絡信息安全是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性的學科。他主要是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統連續可靠的正常運行，網絡服務不中斷。

本文主要由信息安全的重要性、網絡信息安全存在的隱患、網絡信息安全的防護與建設等方面進行論述，并且對相關的問題表明自己的想法。網絡信息安全的重要性

隨著計算機網絡技術的廣泛應用，人們無論是從日常的生活起居還是共工作娛樂到處都離不開計算機的影子，更重要的是計算機網絡已經成為人們進行管理和交易不可或缺的橋梁，成為人們日常工作生活不可或缺的一部分。同時網絡信息也涉及到國家政府、軍事、文化、科學技術、等諸多領域，則存儲、傳輸、處理的許多信息是國家軍事機密、宏觀決策、商業經濟信息、銀行資金轉賬等重要的數據。

網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化的重要問題，其重要性正隨著全球信息化步伐的加快越來越重要。網絡信息安全的常見問題

隨著互聯網的快速發展，人們的日常生活與網絡的聯系日益密切，而問題卻日益突出，危害人們的合法權益，網絡信息安全的常見問題如下：

2.1計算機病毒

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有隱蔽性、潛伏性、破壞性和傳染性的特點。當前計算機網絡安全受到計算機病毒危害最為普遍，面對種類繁多的計算機病毒，其危害性大，傳播速度快，傳播形式多，特別是通過網絡傳播的病毒，如：網絡蠕蟲、木馬、震網、火焰等病毒對計算機網絡的破壞性更強，清除難度更大，是用戶面臨最頭痛的計算機網絡安全問題之一。

2.2 IP地址被盜用

在局域網中經常會發生盜用IP地址的現象，這時用戶計算機上會出現IP地址被占用的提示對話框，導致用戶不能正常使用網絡。被盜用的IP地址權限一般都很高，盜用者常會通過網絡以隱藏的身份對用戶進行騷擾和破壞，給用戶造成較大損失，嚴重侵害了使用網絡用戶的合法權益，導致網絡安全受到極大的威脅。

2.3 網絡黑客攻擊

網絡黑客是指攻擊者通過Internet網絡對用戶網絡進行非法訪問、破壞。有些黑客因為憤怒、報復、抗議，非法侵入用于纂改用戶目標網頁和內容，想法設法羞辱和攻擊用戶，造成嚴重的負面影響，迫使網絡癱瘓。有些黑客主要從事惡意攻擊和破壞，入侵毀壞用戶的計算

機系統中重要的數據被纂改、毀壞、刪除。如竊取國防、軍事、政治等機密，損害集體和個人利益，危及國家安全；非法盜用賬號提取他人銀行存款，或進行網絡勒索和詐騙。由此可見，黑客入侵對計算機網絡的攻擊和破壞后果是不堪設想。

2.4垃圾郵件泛濫破壞網絡環境

垃圾郵件一般是指未經過用戶許可強行發送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經使Internet網絡不堪重負。在網絡中大量垃圾郵件的傳播，侵犯了收件人隱私權和個人信箱的空間，占用了網絡帶寬，造成服務器擁塞，嚴重影響網絡中信息的傳輸能力，降低了網絡的運行效率。

2.5 計算機網絡安全管理不到位

計算機網絡安全管理機構不健全，崗位職責不明，管理密碼和權限混亂等，導致網絡安全機制缺乏，安全防護意識不強，使計算機網絡風險日益加重，這都會為計算機病毒、黑客攻擊和計算機犯罪提供破壞活動的平臺，從而導致計算機網絡安全受到威脅。網絡信息安全的防護與建設

3.1建立規范的網絡秩序

建立規范的網絡秩序，需要不斷完善法制，探索網絡空間所體現的需求和原則，為規范網絡空間秩序確定法律框架；建立規范的網絡秩序，還要在道德和文化層面確定每個使用網絡者的義務。

3.2加強入網的訪問控制

入網訪問控制是網絡的第一道關口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規定，如：口令和賬號要盡可能地長，數字和字母混合，避免用生日、身份證號等常見數字作口令，盡量復雜化，而且要定期更新，以防他人竊取。因此，大大增強了用戶使用信息的安全性。

3.3防火墻技術

防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域與安全區域的連接，同時不會妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信量，僅讓安全、核準的信息進入。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻三種類型，并在計算機網絡得到了廣泛的應用。一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火墻中的一個服務器進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層

3.4安全加密技術

加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。

3.5入侵檢測技術

隨著網絡安全風險系數不斷提高，作為對防火墻及其有益的補充，IDS（入侵檢測系統）

能夠幫助網絡系統快速發現攻擊的發生，它擴展了系統管理員的安全管理能力，提高了信息安全基礎結構的完整性。

計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終，需要我們時刻重視，不斷學習，才能確保計算機網絡的安全、可靠地運行

參考文獻周學廣等.信息安全學.北京：機械工業出版社，2003.3(美)Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業出版社，2002.1賴溪松等著.計算機密碼學及其應用.北京:國防工業出版社.2001.7馮元等.計算機網絡安全基礎.北京；科學出版社.2003.10董玉格等.網絡攻擊與防護-網絡安全與實用防護技術.北京：人民郵電出版社,2002.8 6 顧巧論等編著.計算機網絡安全.北京:科學出版社.2003.1張友生，米安然編著.計算機病毒與木馬程序剖析.北京：北京科海電子出版社，2003.3 8(美)Heith E.原莉.如何確保計算機網絡安全[J].職大學報，2008謝浩浩.計算機網絡安全綜述[J].科技廣場，2009李建霞.計算機網絡安全與防范[J].中國西部科技

作者：小帥

第五篇：電力系統信息通信網絡安全及防護研究（范文模版）

電力系統信息通信網絡安全及防護研究

摘要

電力系統通信網絡安全是電力系統安全管理的重要內容，是關系到電力系統能否有效的、安全的保證電力供應、保障社會發展的重要工作。本文通過對當前我國電力系統網絡安全方面的問題進行分析，并提出自己的見解。

關鍵字：電力系統、信息、網絡安全、防護

1引言

隨著經濟的發展，技術的進步，電力已經成為社會發展、人們生活的重要資源，成為推動社會發展的重要動力。伴隨著電力系統的自動化、網絡化、智能化技術的深入和廣泛的應用，如何確保電力系統的安全性、穩定性成為保障社會發展的重要問題。雖然當前我國在電力系統網絡管理和控制方面，為保障電力專網的安全，降低外網攻擊電力系統信息通信網絡的風險，采用了信息內、外網雙網運行的模式，但是這種網絡安全防護模式在運用和管理過程中仍然發現了許多風險和漏洞，在通信設備運維方面、網絡管理方面仍有許多問題亟待解決。

2電力系統國內外信息通信網絡設備使用現狀分析

電力系統信息通信網絡是一個覆蓋全面的網絡，其各項通信和控制活動需要大量的硬件設備進行運轉和工作。然而，在當前技術水平下，我國自主知識產權、自主核心技術的設備比重相對較小，在網絡管理和運行上大量依賴從國外進口技術和設備，導致我國電力系統安全防護工作存在巨大安全隱患，鑒于網絡設備功能和操作的特殊性和電力部門對國家的重要程度，必須加強網絡安全管理和防護。一方面為保障電力系統運行穩定可靠，電力系統通信網絡部分技術和設備必須使用；另一方面，國外供應商、尤其是有政治背景的供應商、提供所謂“質量安全”的技術、產品的供應商，可能在產品上留有“后門”、在軟、硬件上存在固有漏洞，隱藏了可以導致通信中斷、錯誤、設備癱瘓等惡意程序，威脅我國電力系統的安全。

3電力系統信息通信網絡安全風險分析

經過多年的發展，我國為提高電力系統運行效率，積極構建了電力系統管理專用網絡。為防止電力系統網絡受到互聯網攻擊，造成電力系統故障、癱瘓等重大安全事故，我國在構建電力系統網絡時采用內外網雙網模式，通過邏輯強隔離或物理隔離的方法構建信息通信網絡安全防護的基礎。然而，隨著技術手段的不斷升級和更新，新的網絡安全問題不斷出現，即便內、外網采用物理隔離的情況下，仍然可

以通過各種方式實現對電力系統信息網絡的入侵和破壞。

3.1設備與系統方面

在網絡設備上的選擇上，由于當前過度依賴國外進口設備，一旦供應商在供應的網絡設備上植入后門、木馬等程序，將導致電力系統信息通信網絡完全局部開放給外部網絡，最終形成電力系統信息通信網的安全風險。隨著科技的不斷發展，網絡入侵和控制手段也不斷豐富，通過采用電磁輻射或者無線電信號可以實現對電力系統信息通信網絡的入侵。通過利用供應商預設在硬件設備中的木馬程序，使其發射出特有的輻射或者無線電信號，攻擊者可利用這些信號實現對信息通信網絡的偵測、破譯和控制，從而實現對內網的破壞。

同時，在系統設備的缺陷上、漏洞上的防護不全面也是極其容易被攻擊者所利用。由于部分系統漏洞被供應商公開或是電網系統修復不及時，使得服務器等網絡設備可能遭至頻繁的攻擊和利用，更加劇了我國電力系統信息通信網絡的安全風險。

3.2人員控制方面

我國電力系統內外網分離的策略取得了一定的成效，降低和消除了一部分由網絡攻擊等造成的系統故障。但是，在內網管理和運營上，管理和操作人員在運行維護過程中存在大量風險。一方面，由于部分核心設備依賴進口，其故障、維護、升級等過程，過度依賴外來技術人員，在進行內網系統監測維護期間，大量敏感數據可能為他人所得

進行非法研究。另一方面，電網公司內部管理人員、操作人員也可以通過移動存儲介質、終端等數據通訊時，利用設備預留的后門、漏洞等植入病毒或木馬，使得電力系統信息通信網絡遭受內網式攻擊。

4電力系統信息通信網絡安全防護的幾點措施

4.1設備供應國產化

設備安全是電力系統信息通信網絡安全的基礎，確保設備供應的的國產化，尤其是核心設備的國產化可以在一定程度上規避進口設備的安全風險，降低由于進口設備存在預留后門、開放漏洞等隱患造成的各類設備風險，防止設備安全隱患威脅整個電力系統通信網絡安全。

4.2設備供應審查化

在針對設備供應商的選擇上，進行嚴格的審查化，通過對供應企業的資質審核、設備選型、安全準入、企業投資人、操作人員、企業背景等等進行嚴格的審查，提高供應商準入門檻，確保供應商的在政治和經濟利益上與國家的一致性。

4.3設備投運管控化

首先，在設備選購、實用分析階段，對網絡設備進行全方位的安全檢測，降低和消除各類后門、策略配臵以及代碼等潛在的風險，對設備運行進行可行性分析，針對后門、策略配臵以及代碼等問題，與

供應商一起積極協作，消除風險。其次，在使用過程中，針對系統和設備所出現的各類問題和漏洞，與供應商積極溝通，升級消除，并通過完善漏洞數據庫，實現漏洞監測和跟蹤修復工作。同時，在實際控制過程中，建立防范預警模式，優化電力系統信息網絡安全監測系統，對系統運行狀況、操作記錄等進行日記化備份，對系統重要內容進行隔離備份，以防遭受攻擊后，系統不能正常恢復。

4.4人員控制嚴格化

在人員控制方面，建立相關人員管理和控制制度，對人員進行審查、教育，完善隊伍管理工作，保障在電力系統通信網絡操控過程中的安全，在內網獨立的基礎上，保障人員控制質量，消除人員控制失誤和惡意攻擊風險。同時做好離線設備的信息處理和消除教育工作，防止重要信息的泄漏。

5結論

我國處在發展階段，各項技術仍不完善，電力系統信息通信網絡的安全存在問題較多，電力系統信息通信網絡的安全直接關系到電力系統的有效運行，直接關系到我國電網的調度使用和安全，是關系到社會生產、國家命運的重大安全問題，只有保障了電力系統信息通信網絡安全，才能保障社會發展的動力。

參考文獻

[1]高鵬,李尼格,范杰.電力系統信息通信網絡安全及防護研究[J].現代電子技術,2014,18:146-148+151.[2]宋磊.電力信息系統實時數據的通信安全[D].華中科技大學,2005.[3]李健.對通信網絡安全與防護的思考[J].計算機光盤軟件與應用,2012,02:31-32.