第一篇：發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全與防護淺談

發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全與防護淺談

摘 要： 發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全問題已威脅電力系統(tǒng)安全、穩(wěn)定、可靠、優(yōu)質(zhì)地運行。通過對發(fā)電企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)信息安全危險分析,根據(jù)發(fā)電企業(yè)的特點提出了相應(yīng)的風(fēng)險防范措施。關(guān)鍵詞： 計算機網(wǎng)絡(luò);風(fēng)險分析;安全體系機構(gòu);信息安全;安全防護

隨著信息化不斷擴展，各類網(wǎng)絡(luò)版應(yīng)用軟件得到推廣應(yīng)用。計算機網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率、實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來越重要的作用，計算機網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項工作的重要基礎(chǔ)設(shè)施。但病毒傳播、黑客入侵、惡意軟件肆虐，時刻威脅著計算機網(wǎng)絡(luò)信息，并造成嚴(yán)重危害。新版《火力發(fā)電廠安全性評價》加入了網(wǎng)絡(luò)信息安全評價標(biāo)準(zhǔn)，安評工作中計算機網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)尤為重要。1 發(fā)電企業(yè)網(wǎng)絡(luò)系統(tǒng)簡介1.1 總體結(jié)構(gòu)圖 圖1是發(fā)電廠信息系統(tǒng)的結(jié)構(gòu)示意圖。

發(fā)電廠信息系統(tǒng)由廠控二次系統(tǒng)、管理信息系統(tǒng)及相關(guān)的網(wǎng)絡(luò)和網(wǎng)絡(luò)接口構(gòu)成。根據(jù)發(fā)電廠信息系統(tǒng)的組成，廠控二次系統(tǒng)中包括電量計量、DCS、輸煤除灰、化學(xué)制水、遠動、脫硫等多個業(yè)務(wù)系統(tǒng)及其網(wǎng)絡(luò)。各廠控二次業(yè)務(wù)系統(tǒng)通過獨立的接口機連接到管理信息系統(tǒng)的實時數(shù)據(jù)庫服務(wù)器端，向管理信息系統(tǒng)提供實時業(yè)務(wù)的數(shù)據(jù)，供發(fā)電廠各相關(guān)管理部門使用。管理信息系統(tǒng)包括了EAM、財務(wù)管理、OA、燃料管理、生產(chǎn)管理、實時數(shù)據(jù)庫等多個系統(tǒng)和系統(tǒng)用戶，還有相關(guān)的網(wǎng)絡(luò)與網(wǎng)絡(luò)接口。其中，實時數(shù)據(jù)庫系統(tǒng)服務(wù)器接收廠控端接口機采集的實時數(shù)據(jù)，并將數(shù)據(jù)提供給管理信息系統(tǒng)中的其他業(yè)務(wù)系統(tǒng)。1.2 應(yīng)用系統(tǒng)1.2.1 EAM（設(shè)備管理系統(tǒng)）EAM系統(tǒng)主要提供對電廠設(shè)備的編碼管理、電廠設(shè)備維護工作流程的管理、電廠生產(chǎn)過程中的運行值班情況的管理及電廠的備品備件的管理功能。EAM系統(tǒng)中數(shù)據(jù)主要包括用戶信息/權(quán)限、設(shè)備數(shù)據(jù)、維修管理數(shù)據(jù)、運行管理數(shù)據(jù)、備件數(shù)據(jù)等。因用戶信息/權(quán)限的機密性要求高，所以EAM系統(tǒng)數(shù)據(jù)的完整性和可用性要求都為高。1.2.2 實時數(shù)據(jù)庫系統(tǒng) 實時數(shù)據(jù)庫系統(tǒng)服務(wù)器負責(zé)通過多個和廠控系統(tǒng)相連的接口機收集與廠控系統(tǒng)相關(guān)的實時數(shù)據(jù)。接口機分布與各廠控系統(tǒng)現(xiàn)場連接,其中的實時數(shù)據(jù)來自于DCS系統(tǒng)、遠動系統(tǒng)、電量采集系統(tǒng)、輸煤除灰系統(tǒng)等。實時數(shù)據(jù)庫系統(tǒng)存在與廠控系統(tǒng)、管理信息網(wǎng)絡(luò)其他業(yè)務(wù)系統(tǒng)的通信關(guān)系。授權(quán)用戶對實時數(shù)據(jù)庫服務(wù)器的訪問，采用用戶名/密碼的認證方式，訪問控制通過防火墻控制。1.3 安全分區(qū) 根據(jù)《電力二次系統(tǒng)安全防護規(guī)定》的安全分區(qū)原則，對發(fā)電廠信息系統(tǒng)進行分區(qū)，按照AGC接口設(shè)備、遠動RTU、電量計量RTU和電力市場報價終端與管理信息系統(tǒng)通信方式的不同，劃分成兩個分區(qū):生產(chǎn)控制大區(qū)（安全區(qū)Ⅰ和安全區(qū)Ⅱ）和管理信息大區(qū)。實時數(shù)據(jù)系統(tǒng)各組件分布于安全區(qū)I、II和管理信息大區(qū)中，根據(jù)實時數(shù)據(jù)系統(tǒng)的結(jié)構(gòu)，將實時數(shù)據(jù)系統(tǒng)分為兩部分：(1)安全區(qū)I、II的接口機：用于采集來自安全區(qū)Ⅰ和安全區(qū)Ⅱ的實時系統(tǒng)數(shù)據(jù)，同時將這些實時數(shù)據(jù)單向傳給管理信息大區(qū)的實時服務(wù)器。(2)管理信息大區(qū)的實時數(shù)據(jù)庫服務(wù)器：從安全區(qū)I、II的接口機獲取數(shù)據(jù)，并與管理信息區(qū)的其他業(yè)務(wù)系統(tǒng)間進行數(shù)據(jù)交互。2 網(wǎng)絡(luò)安全體系機構(gòu) 電力企業(yè)信息安全體系機構(gòu)由網(wǎng)絡(luò)安全防護、數(shù)據(jù)備份和恢復(fù)、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成[1-2]。2.1網(wǎng)絡(luò)安全防護2.1.1 安全域防護

管理信息系統(tǒng)劃分為服務(wù)器集群、終端用戶、對外應(yīng)用服務(wù)器三個網(wǎng)絡(luò)安全域，將終端用戶安全域劃分成多個子安全域，包括財務(wù)系統(tǒng)、管理人員、生產(chǎn)部門、一般用戶等多個安全域；將對外提供服務(wù)的應(yīng)用服務(wù)器部署在對外應(yīng)用服務(wù)器域中。2.1.2 網(wǎng)絡(luò)的高可靠性(1)核心層網(wǎng)絡(luò)設(shè)備應(yīng)采取雙冗余結(jié)構(gòu)，兩臺核心層設(shè)備相互熱備；(2)關(guān)鍵終端用戶安全域接入交換設(shè)備到核心層應(yīng)采用雙鏈路冗余結(jié)構(gòu)，確保用戶接入核心層鏈路的冗余和可靠；(3)對關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器域和重要業(yè)務(wù)系統(tǒng)服務(wù)器域通過兩條鏈路接入核心層；2.1.3 防病毒(1)發(fā)電廠管理信息大區(qū)應(yīng)統(tǒng)一部署病毒防護措施，禁止安全區(qū)I、II與管理信息系統(tǒng)共用一個防病毒管理服務(wù)器。(2)對所有系統(tǒng)的服務(wù)器、用戶工作站都應(yīng)當(dāng)部署適當(dāng)?shù)姆啦《井a(chǎn)品的客戶端。(3)在與Internet的網(wǎng)絡(luò)接口處應(yīng)當(dāng)部署防病毒網(wǎng)關(guān)，防止病毒、蠕蟲從Internet蔓延到發(fā)電廠管理信息系統(tǒng)內(nèi)部。(4)在布置獨立的電子郵件系統(tǒng)時，必須在郵件服務(wù)器前端部署郵件病毒網(wǎng)關(guān)，防止郵件病毒在辦公網(wǎng)絡(luò)中蔓延。(5)加強防病毒管理，保證病毒特征碼的及時、全面更新，及時查看病毒查殺記錄，掌握病毒威脅情況。2.1.4 防火墻 在到Internet的每個網(wǎng)絡(luò)接口處都必須部署一臺防火墻；對外應(yīng)用的服務(wù)器安全域應(yīng)連接到防火墻?；饏^(qū)(DMZ)，選用硬件防火墻，其功能、性能、電磁兼容性必須經(jīng)過相關(guān)測試。防火墻應(yīng)支持DMZ功能，發(fā)電廠對外部公開的系統(tǒng)(如Web系統(tǒng)、郵件系統(tǒng))需放置在DMZ區(qū)。2.1.5 入侵檢測系統(tǒng) 發(fā)電廠管理信息系統(tǒng)中應(yīng)部署一套入侵檢測系統(tǒng)，至少應(yīng)在核心層網(wǎng)絡(luò)設(shè)備上部署一個入侵檢測系統(tǒng)的探頭。2.1.6 虛擬專用網(wǎng) 發(fā)電廠廠控自動化系統(tǒng)與調(diào)度中心的通信，應(yīng)滿足《電力二次系統(tǒng)安全防護規(guī)定》中提出的實時和非實時VPN建設(shè)的要求。穿越公用線路與發(fā)電廠管理信息系統(tǒng)進行業(yè)務(wù)通信、遠程辦公時，應(yīng)采用VPN產(chǎn)品，以保障數(shù)據(jù)通信的安全性。2.1.7 主機安全加固 關(guān)鍵應(yīng)用系統(tǒng)(如財務(wù)系統(tǒng)、EAM系統(tǒng)、實時數(shù)據(jù)庫系統(tǒng)等)的主服務(wù)器應(yīng)定期進行主機安全加固。主機安全加固方式包括：安全配置、安全補丁、采用專用的軟件強化操作系統(tǒng)訪問控制能力以及配置安全的應(yīng)用。2.2 備份與恢復(fù) 對于關(guān)鍵業(yè)務(wù)系統(tǒng)（財務(wù)系統(tǒng)、EAM、實時數(shù)據(jù)庫系統(tǒng)）數(shù)據(jù)，安排專人負責(zé)數(shù)據(jù)的備份，確保對業(yè)務(wù)數(shù)據(jù)每月進行一次全備。關(guān)鍵業(yè)務(wù)系統(tǒng)需雙機備份,安排專人對備份介質(zhì)進行保管,備份介質(zhì)必須與原數(shù)據(jù)異地存儲。2.3 應(yīng)用系統(tǒng)安全 管理信息大區(qū)中應(yīng)用系統(tǒng)較多，確保應(yīng)用的安全性是管理信息系統(tǒng)信息安全建設(shè)的重點內(nèi)容。包括： 訪問控制、賬戶與權(quán)限管理、審計管理、輸入/輸出完整性、加密管理、系統(tǒng)生命周期安全管理、數(shù)據(jù)完整性等。2.4 信息安全管理 信息安全管理工作包含3個方面：(1)建立專門的組織機構(gòu)負責(zé)信息安全工作的管理；(2)建立專門的策略體系和管理制度體系約束人員行為；(3)建立專門的人員隊伍進行具體的管理操作。網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護，還要意識到計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，在建立以計算機網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時，也應(yīng)樹立用戶的網(wǎng)絡(luò)信息安全意識才能防微杜漸，構(gòu)建一個高效、安全的網(wǎng)絡(luò)系統(tǒng)。

第二篇：計算機網(wǎng)絡(luò)信息安全及其防護對策

計算機網(wǎng)絡(luò)信息安全及其防護對策

摘要：隨著信息化建設(shè)的快速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，與它有關(guān)的安全事故屢有發(fā)生。使各國的計算機系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會問題之一。而有針對性地加強網(wǎng)絡(luò)信息安全防護，是網(wǎng)絡(luò)安全必須做的工作。針對這些問題，該文歸納并提出了一些網(wǎng)絡(luò)信息安全防護的方法和策略。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；信息安全；防護策略

1.計算機網(wǎng)絡(luò)面臨的安全問題

1.1自然災(zāi)害

組成計算機的多是一些電子器件，本身對外界環(huán)境極其敏感，很容易受到溫度、濕度、振動沖擊的影響。縱觀現(xiàn)今的計算機房，并沒有防火、避震、防雷、抗干擾等措施，接地系統(tǒng)的設(shè)計也比較單一化，抵御突發(fā)狀況的能力較差。日常工作中因斷電而導(dǎo)致硬盤損傷、數(shù)據(jù)丟失的現(xiàn)象屢見不鮮。噪聲和電磁輻射會導(dǎo)致網(wǎng)絡(luò)信噪比下降，增加誤碼率，威脅到信息傳遞的完整性、可用性與安全性。

1.2黑客襲擊

計算機信息網(wǎng)絡(luò)成為黑客的溫床，利用這個平臺，他們編寫出大量具有強大破壞力的病毒程序。黑客們熟知各類計算機系統(tǒng)的安全漏洞，對計算機軟件較熟悉。黑客破壞網(wǎng)絡(luò)的問題很嚴(yán)重，他們越權(quán)群儒重要信息庫，竊聽、截取、篡改敏感性信息，修改信息網(wǎng)絡(luò)參數(shù)，導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)崩潰，給企業(yè)帶來巨大經(jīng)濟損失，甚至?xí)绊懙絿业恼伟踩?。信息網(wǎng)絡(luò)本身的弊端和缺陷成為黑客的突破口，并構(gòu)成了人為破壞的威脅。

1.3計算機病毒

計算機病毒這一名詞院子上世紀(jì)九十年代，它傳播速度快、蔓延范圍廣，可以造成難以估量的損失。病毒可以潛伏在計算機程序中，一旦程序運行或達到某個特定狀態(tài)，病毒便會激活，并迅速進行擴散，輕則占用系統(tǒng)內(nèi)存，導(dǎo)致運行速度下降，重則造成數(shù)據(jù)丟失、系統(tǒng)癱瘓甚至硬件損失。一旦某些重要文件或數(shù)據(jù)遭到破壞，其造成的損失是無法估量的。

1.4垃圾郵件和間諜軟件

電子郵件具有高度開放性和廣泛傳播性，某些人利用這個特點進行商業(yè)、宗教或商業(yè)活動，將自己編寫好的郵件強行植入他人郵箱，強迫他人閱讀郵件。間諜軟件與計算機病毒不同，主要目的不在于破壞系統(tǒng)，而是竊取用戶信息。目前，對間諜軟件的界定還存在爭議，被普遍接受的觀點是間諜軟件在未得到用戶授權(quán)的情況下進行非法安裝，形成第三方插件，并把一些機密信息提供給第三方。間諜軟件功能繁雜，可以時刻監(jiān)視用戶行為，并修改系統(tǒng)設(shè)置、發(fā)布彈窗廣告，嚴(yán)重干擾用戶隱私，并在一定程度上占用了系統(tǒng)內(nèi)存。

2.計算機網(wǎng)絡(luò)安全防護措施

2.1隱藏IP地址

黑客可以通過第三方軟件查看主機信息，主要目的是獲取目標(biāo)計算機的IP地址。當(dāng)黑客得知你的IP地址，可以對這個地址發(fā)動各種攻擊，例如拒絕服務(wù)、Floop溢出攻擊等。用戶可以使用代理服務(wù)器隱藏主機IP地址，其他人只能獲悉代理服務(wù)器IP地址，無法得知主機IP地址，間接保護了用戶上網(wǎng)安全。2.2封死黑客退路（1）刪除冗余協(xié)議

對于服務(wù)器和主機只需要安裝TCP/IP協(xié)議，應(yīng)該卸載不必要協(xié)議。其中，NetBIOS是很多安全缺陷的源頭，對于無需提供文件共享和打印服務(wù)的主機，應(yīng)關(guān)閉NetBIOS，避免針對它的攻擊。

（2）關(guān)閉文件和打印共享

文件和打印共享為局域網(wǎng)上的微機提供了便利，但是它也是引發(fā)黑客入侵的重大漏洞，黑客利用共享機制可以入侵局域網(wǎng)進行破壞。在不使用打印、共享服務(wù)時，應(yīng)將其關(guān)閉，或者為共享資源設(shè)置訪問口令。

（3）禁止建立空連接

默認設(shè)置下，任何用戶都可通過空連接與服務(wù)器進行互聯(lián)，窮舉賬號，并用暴力法破解密碼。不必要的空連接應(yīng)禁止。另外，在上限范圍內(nèi)，服務(wù)器密碼應(yīng)設(shè)置的盡可能復(fù)雜，使得窮舉法失效，或者抬升窮舉成本，令黑客望而卻步。

（4）關(guān)閉不必要的服務(wù)

多樣服務(wù)能夠給管理者提供便利，提升工作效率，但也會給黑客留下機會，對于很少用到的服務(wù)應(yīng)在平時選擇關(guān)閉。例如計算機遠程管理，一般情況下無需打開。不必要服務(wù)的減少不僅保證了系統(tǒng)安全，也可以保證系統(tǒng)運行速度。

2.3數(shù)據(jù)加密技術(shù)與用戶權(quán)限分級

該技術(shù)靈活性較好，適用于開放性網(wǎng)絡(luò)。用戶權(quán)限分級保護了靜態(tài)信息，需要系統(tǒng)管理員權(quán)限，一般實現(xiàn)于操作系統(tǒng)。數(shù)據(jù)加密主要保護動態(tài)信息。針對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。主動攻擊一般很難避免，但可以有效預(yù)防和檢測；被動攻擊難以檢測，但可以避免，數(shù)據(jù)加密技術(shù)為這一系列工作奠定了良好基礎(chǔ)。數(shù)據(jù)加密利用數(shù)據(jù)移位和置換算法，利用密鑰進行控制。傳統(tǒng)加密算法中，加密密鑰和解密密鑰無區(qū)別，或者藉由其中一個就可以推導(dǎo)出另一個，我們稱之為對稱密鑰算法。這個密鑰具有高度敏感性，必須由授權(quán)用戶所保管，他們可以用密鑰加密信息，也可以解密私有信息。DES是對成加密算法中的典型。另一種算法是非對稱加密算法或公鑰加密算法，加密和解密過程的密鑰無任何相關(guān)性，加密密鑰稱為公鑰，解密密鑰稱為私鑰。公鑰算法面向全體用戶，任何人皆可用其加密信息，再發(fā)送密文給私鑰擁有者。私鑰具有保密性，用于解讀公鑰加密信息。REA是目前廣為運用的加密算法。

參考文獻

[1]邢露,張棋.計算機網(wǎng)絡(luò)信息安全與病毒防治[J].河南科技.2011(01)

[2]彭珺,高珺.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].計算機與數(shù)字工程.2011(1)[3]曾艷.計算機網(wǎng)絡(luò)信息安全與防護措施[J].理論導(dǎo)報.2011(01)

第三篇：淺談計算機網(wǎng)絡(luò)信息安全防護探析

淺談計算機網(wǎng)絡(luò)信息安全防護探析

論文關(guān)鍵詞：網(wǎng)絡(luò)信息 安全防護

論文摘要：隨著當(dāng)代信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)的共享性、開放性以及互聯(lián)程度也在不斷擴大。Internet的廣泛普及，商業(yè)數(shù)字貨幣、網(wǎng)絡(luò)銀行等一部分網(wǎng)絡(luò)新業(yè)務(wù)的迅速興起，使得計算機網(wǎng)絡(luò)的安全問題越來越顯得重要，通過歸納總結(jié)，提出網(wǎng)絡(luò)信息中的一些安全防護策略。

1．引言

網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)前，隨著計算機技術(shù)的飛速發(fā)展，利用因特網(wǎng)高科技手段進行經(jīng)濟商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了，因此，如何采用更加安全的數(shù)據(jù)保護及加密技術(shù)，成為當(dāng)前計算機工作者的研究熱點與重點。網(wǎng)絡(luò)安全技術(shù)，尤其是網(wǎng)絡(luò)信息的安全，關(guān)系到網(wǎng)民、企業(yè)甚至是國家的信息安全。因此，發(fā)展更加安全的網(wǎng)絡(luò)安全技術(shù)，是關(guān)系到社會經(jīng)濟穩(wěn)定繁榮發(fā)展的關(guān)鍵，成為當(dāng)前計算機安全工作的重點。

2．網(wǎng)絡(luò)信息安全的風(fēng)險來源

影響計算機網(wǎng)絡(luò)安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來豐要以下幾個方面：

(1)病毒感染

從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡(luò)迅速傳播，它很容易地通過代理服務(wù)器以軟件下載、郵件接收等方式進入網(wǎng)絡(luò)，竊取網(wǎng)絡(luò)信息，造成很人的損失。

(2)來自網(wǎng)絡(luò)外部的攻擊

這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。

（3)來自網(wǎng)絡(luò)內(nèi)部的攻擊

在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。竊取機密信息，破壞信息內(nèi)容，造成應(yīng)用系統(tǒng)無法運行。

（4)系統(tǒng)的漏洞及“后門”

操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中

留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環(huán)節(jié)對整個網(wǎng)絡(luò)系統(tǒng)進行攻擊，大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。

3．網(wǎng)絡(luò)信息安全的防護策略

現(xiàn)在網(wǎng)絡(luò)信息安全的防護措施必不可少。從技術(shù)上來說，計算機網(wǎng)絡(luò)安全主要由防病毒、入侵檢測等多個安全組件組成，就此對我們常用的幾項防護技術(shù)分別進行分析。

3．1防火墻技術(shù)

防火墻(ifrewal1)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合，它越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安拿域之間信息都會經(jīng)過它的過濾，防火墻就會根據(jù)自身的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，而且它本身也具有較強的抗攻擊能力，不會被病毒控制。防火墻可以阻J網(wǎng)絡(luò)中的黑客來訪問你的機器，防止他們篡改、拷貝、毀壞你的重要信息。它為網(wǎng)絡(luò)信息的安全提供了很好的服務(wù)，為我們更安全地使用網(wǎng)絡(luò)提供了很好的保障。

“防火墻”技術(shù)是指假設(shè)被保護網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)而采取的一種安全保障技術(shù)，它通過監(jiān)測、限制和更改通過“防火墻”的數(shù)據(jù)流，一方面盡可能地對外部網(wǎng)絡(luò)屏蔽被保護網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護，以防“人放火”；另一方面對內(nèi)屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網(wǎng)絡(luò)互聯(lián)單

一、明確并且網(wǎng)絡(luò)服務(wù)種類相對集中的統(tǒng)一互聯(lián)網(wǎng)絡(luò)系統(tǒng)。防火墻可對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計，如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。VPN，可以將分部在世界各地的LAN或?qū)Ｓ秒娮泳W(wǎng)有機地聯(lián)成一個整體。這樣一方面省去了專用通信線路，也達到了信息共享的目的。

3．2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最藎木的安傘技術(shù)，主要是通過對網(wǎng)絡(luò)傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性。加密是對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)加強限制的一種技術(shù)。原始數(shù)據(jù)(也稱為明文，plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)。解密是加密的反向處理，是將密文還原為原始明文，但解秘者必須利用相同類型的加密設(shè)備和密鑰，才能對密文進行解密。

3．3入侵檢測技術(shù)

入侵檢測系統(tǒng)(intrusiondetectionsystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這些信息分析，對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的網(wǎng)絡(luò)信息安全系統(tǒng)。入侵檢測系統(tǒng)具有多方面的功能：威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持等。入侵檢測技術(shù)是為保證計算機信息系統(tǒng)安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報

告系統(tǒng)中朱授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

3．4病毒防護

可采用如下的方法或措施：

(1)合理設(shè)置殺毒軟什，如果安裝的殺毒軟什具備掃描電郵件的功能，盡量將這些功能傘部打開；

（2)定期檢查敏感文件；

(3)采取必要的病毒檢測和監(jiān)控措施；

(4)對新購的硬盤、軟盤、軟件等資源，使用前應(yīng)先用病毒測試軟件檢查已知病毒，硬盤可以使用低級格式化(DOS中的FORMAT格式化可以去抻軟盤中的病毒，但不能清除硬盤引導(dǎo)的病毒)；

（5)慎重對待郵件附件，如果收到郵件中有可執(zhí)行文件(如．EXE、．COM等)或者帶有“宏”的文殺一遍，確認沒有病毒后再打開；

（6)及時升級郵件程序和操作系統(tǒng)，以修補所有已知的安全漏洞。

3．5身份認證技術(shù)

身份認證(Authentication)是系統(tǒng)核查用戶身份證明的過程，其實質(zhì)是查明用戶是否具仃它所請求資源的存儲使用權(quán)。身份識別(IdentificaIion)是指用戶向系統(tǒng)出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。

身份認證至少應(yīng)包括驗證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計算機系統(tǒng)都需要通過身份認證來確認合法性，然后確定它的個人數(shù)據(jù)和特定權(quán)限。對于身份認證系統(tǒng)來說，合法用戶的身份是否易于被別人冒充足它最重要的技術(shù)指標(biāo)。用戶身份被冒充不儀可能損害用戶自身的利益，也可能損害其他用戶的利益或整個系統(tǒng)。因此，身份認證是授權(quán)控制的基礎(chǔ)。只有有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件，殺毒軟件和防火墻這些都是必備的，而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應(yīng)在電腦中，在上網(wǎng)時一定要打開它們。最后要及時給系統(tǒng)打補丁，建議人家下載自己的操作系統(tǒng)對應(yīng)的補丁程序，這是我們網(wǎng)絡(luò)安全的恭礎(chǔ)。

4．結(jié)束語

總之，在網(wǎng)絡(luò)技術(shù)十分發(fā)達的今大，任何一臺計算機都不可能孤立于網(wǎng)絡(luò)之外。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻、病毒軟件或各種各樣的安全產(chǎn)品就可以解決安全問題，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術(shù)，結(jié)合在一起，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

第四篇：電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全分析及防護.

電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全分析及防護 吳博

(河南電力調(diào)度通信中心 河南 鄭州,450052 摘要:分析了河南省電力公司計算機信息網(wǎng)絡(luò)所面臨的不安全因素,并對該計算機信息網(wǎng)絡(luò)的特殊架構(gòu)層次化,繼而進行了深入的網(wǎng)絡(luò)安全透析,并給出了針對性的網(wǎng)絡(luò)安全防護部署。

關(guān)鍵詞:計算機信息網(wǎng)絡(luò);安全防護技術(shù);安全管理;防火墻;入侵監(jiān)測;防病毒;身份認證;VPN;網(wǎng)絡(luò)隔離裝置

一、前言

電力行業(yè)與其他行業(yè)相比具有分散控制、統(tǒng)一聯(lián)合運行的特點。系統(tǒng)的運行涉及到發(fā)電廠、變電站、調(diào)度中心;發(fā)、輸、配電系統(tǒng)一體化,系統(tǒng)中包括了各種獨立系統(tǒng)和聯(lián)合電網(wǎng)的控制保護技術(shù)、通信技術(shù)、運行管理技術(shù)等。隨著河南電力計算機信息網(wǎng)絡(luò)的不斷發(fā)展,電力的關(guān)鍵業(yè)務(wù)不斷增長,因此信息化應(yīng)用也不斷增強,網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用越來越多;同時,隨著Internet技術(shù)的發(fā)展,建立在Internet架構(gòu)上的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)開始逐步建立,使網(wǎng)絡(luò)的重要性和影響也越來越大,因此電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全“層次化”愈來愈顯得重要。

一、電力計算機信息網(wǎng)絡(luò)的架構(gòu)特點:(一 河南省電力計算機信息網(wǎng)絡(luò)的現(xiàn)狀:(1企業(yè)內(nèi)部網(wǎng)絡(luò)(Intranet連接。Intranet主要包括以下幾個方面:各地區(qū)電業(yè) 局、電廠、修造設(shè)計機構(gòu)與省電力公司的連接;各縣電業(yè)局與地區(qū)電業(yè)局的連接;省電力公司與網(wǎng)局、國電公司的連接。

(2企業(yè)外部連接。省電力公司與省電力公司二級機構(gòu)與國際互聯(lián)網(wǎng)的連接;各級電

力公司提供的遠程訪問服務(wù);各級電力公司與外系統(tǒng)(如銀行、政府部門的連接。

以上連接一方面豐富了電力公司的業(yè)務(wù),同時也導(dǎo)致了新的安全問題。

二、對河南電力計算機信息網(wǎng)絡(luò)的安全“層次化”:

上述企業(yè)內(nèi)部網(wǎng)絡(luò)連接與企業(yè)外部網(wǎng)絡(luò)連接的安全防范也成為河南省電力公司重要的網(wǎng)絡(luò)安全問題之一。保護計算機網(wǎng)絡(luò)的穩(wěn)定運行,防止重要信息被攻擊、竊取或泄露,安全地連接因特網(wǎng)或其他組織和分支機構(gòu),確定信息認證等等問題需要重點解決。而且電力部門有其獨特的網(wǎng)絡(luò)模式,所以從自身實際安全需求出發(fā),全局、綜合、均衡地考慮各種必要的安全措施,建立全面完整的安全體系,從而促進電力生產(chǎn)的安全、穩(wěn)定、經(jīng)濟運行。

根據(jù)河南省電力系統(tǒng)計算機信息網(wǎng)絡(luò)的特點,各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)

流程、目前狀況和安全要求,將整個系統(tǒng)分為四個安全區(qū):I實時控制區(qū)、II非控制生產(chǎn)區(qū)、III生產(chǎn)管理區(qū)、IV管理信息區(qū)。不同的安全區(qū)確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。其中安全區(qū)Ⅰ的安全等級最高,安全區(qū)II次之,其余依次類推。

(1安全區(qū)Ⅰ:實時控制區(qū)

安全區(qū)I中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為直接實現(xiàn)實時監(jiān)控功能,是電力生產(chǎn)的重要必備環(huán)節(jié),系統(tǒng)實時在線運行,使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ馈?/p>

安全區(qū)I的典型系統(tǒng)包括調(diào)度自動化系統(tǒng)(SCADA/EMS、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)等,其主要使用者為調(diào)度員和運行操作人員,數(shù)據(jù)實時性為秒級,外部邊界的通信經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)SPInet--VPN1。該區(qū)中還

包括采用專用通道的控制系統(tǒng),如:繼電保護、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等,這類系統(tǒng)對數(shù)據(jù)通信的實時性要求為毫秒級或秒級。安全區(qū)I是電力二次系統(tǒng)中最重要系統(tǒng),安全等級最高,是安全防護的重點與核心。

(2安全區(qū)Ⅱ:非控制生產(chǎn)區(qū)

安全區(qū)Ⅱ中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為:所實現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié),但不具備控制功能,使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò),在線運行,與安全區(qū)I中的系統(tǒng)或功能模塊聯(lián)系緊密。安全區(qū)Ⅱ的典型系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)(DTS、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等,其面向的主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等。該區(qū)數(shù)據(jù)的實時性是分鐘級、小時級。

(3安全區(qū)Ⅲ:生產(chǎn)管理區(qū)

安全區(qū)III中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為:實現(xiàn)電力生產(chǎn)的管理功能,但不具備控制功能,不在線運行,可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),與調(diào)度中心或控制中心工作人員的桌面終端直接相關(guān),與安全區(qū)IV的辦公自動化系統(tǒng)關(guān)系密切。該區(qū)的典型系統(tǒng)為調(diào)度生產(chǎn)管理系統(tǒng)(DMIS、統(tǒng)計報表系統(tǒng)(日報、旬報、月報、年報、雷電監(jiān)測系統(tǒng)、氣象信息接入等。

(4安全區(qū)IV:管理信息區(qū)

安全區(qū)IV中的業(yè)務(wù)系統(tǒng)或功能模塊的典型特征為:實現(xiàn)電力信息管理和辦公自動化功能,使用電力數(shù)據(jù)通信網(wǎng)絡(luò),業(yè)務(wù)系統(tǒng)的訪問界面主要為桌面終端。該區(qū)包括管理信息系統(tǒng)(MIS、辦公自動化系統(tǒng)(OA、客戶服務(wù)等。該區(qū)的外部通信邊界為公共因特網(wǎng)。

三、網(wǎng)絡(luò)安全防護分析: 針對電力計算機信息網(wǎng)絡(luò)的以上特殊性質(zhì),進行網(wǎng)絡(luò)安全分析如下:(一 網(wǎng)絡(luò)邏輯結(jié)構(gòu)示意圖

(二在網(wǎng)絡(luò)接口處可能受到的攻擊分析: 關(guān)聯(lián)接口攻擊場景描述風(fēng)險類 型 風(fēng)險 級別 對業(yè)務(wù)的影 響

I1 通過該接口,入侵安全等級高的系統(tǒng),向通信網(wǎng)關(guān)發(fā)送雪崩 數(shù)據(jù),造成網(wǎng)絡(luò)堵塞。機密性

完整性 H 導(dǎo)致和 SCADA/EMS 系統(tǒng)及其它 生產(chǎn)系統(tǒng)業(yè) 務(wù)中斷

I2、I3 通過該接口,入侵DMIS系統(tǒng) 重要業(yè)務(wù)部分,造成重要業(yè)務(wù) 中斷。完整性 可用性 可靠性 審計性 H 可以向DMIS 系統(tǒng)加入惡 意代碼,竊取 信息或?qū)ο?統(tǒng)造成破壞。

I4 其它DMIS系統(tǒng)中的惡意進程或攻擊人或病毒,通過SPI

net,利用該接口非法接入 DMIS局域網(wǎng)可用性 審計性 抗否認 M 獲得對DMIS 局域網(wǎng)的非 法接入權(quán),病 毒感染

I5 來自MIS系統(tǒng)的病毒和惡意進程或攻擊人,非法進入DMIS 系統(tǒng)。竊聽或篡改發(fā)電計劃、負荷需求或其它不對外公開 信息等數(shù)據(jù)審計性 可用性 抗否認 M 獲得對DMIS 局域網(wǎng)的非 法接入權(quán),病 毒感染

I6 , I6.1 黑客假冒開發(fā)商或本系統(tǒng)維

護人員的身份獲得對DMIS系 統(tǒng)的遠程維護權(quán)限 認證性 可用性 抗否認 H 黑客可以向 DMIS系統(tǒng)加 入惡意代碼, 竊取信息,或 對系統(tǒng)造成 破壞。

I7 來自系統(tǒng)外單位系統(tǒng)的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 DMIS系統(tǒng), 導(dǎo)致服務(wù)中

斷或網(wǎng)絡(luò)堵 塞

I8 來自INTERNET的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 MIS系統(tǒng),導(dǎo) 致服務(wù)中斷 或網(wǎng)絡(luò)堵塞

四、網(wǎng)絡(luò)安全防護措施

(一基于接口的安全技術(shù)和管理建議 接口 保護(P 檢測(D 響應(yīng)(R 管理

I1 C 通信網(wǎng)關(guān)、防火墻 無 無 C 口令 無 無

無 I2 R 身份認證,審計追蹤,抗否認,防病毒 惡意代碼檢測 入侵檢測

暫停服務(wù),審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 無 無 無 無 I3 R 物理隔離 無

暫停服務(wù),審計日志分析

制定服務(wù)中斷恢復(fù)計劃,安全相容性檢查 C 口令 無 無 無 I4 R 抗否認,審計追蹤,身份認證,防病毒 惡意代碼檢測 入侵檢測

暫停服務(wù),審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 防火墻 無 無

I5 R 防火墻,身份認證,防惡意代碼,安全網(wǎng)關(guān),防病毒 惡意代碼檢測 入侵檢測 修改防火墻規(guī)則,病毒庫更新

制定服務(wù)中斷恢復(fù)計劃,安全相容性檢查 I6, I6 C 口令 無 無.1 R VPN,抗否認, 審計追蹤,身 份認證,安全 網(wǎng)關(guān)惡意代碼檢測 入侵檢測 暫停撥號服 務(wù),審計日志 分析 定義接 口安全 條件, 定義用 戶安全

連接條 件,安 全相容 性檢查

C 通信網(wǎng)關(guān)無無I7 R 身份認證,安 全網(wǎng)關(guān),防火 墻,抗否認, 審計追蹤,防 病毒惡意代碼檢測 入侵檢測 暫停服務(wù),修 改防火墻規(guī) 則,審計日 志,病毒庫更 新 定義接 口安全 條件

C防火墻無無無I8 R防火墻,身份 認證,防惡意 代碼,安全網(wǎng)

關(guān),防病毒惡意代碼檢測 入侵檢測 修改防火墻 規(guī)則,病毒庫 更新 制定服 務(wù)中斷 恢復(fù)計 劃,安 全相容 性檢查

注:C表示當(dāng)前所采用的安全措施,R表示推薦采用安全措施(二安全產(chǎn)品選用 安全產(chǎn)品及其簡要功能 安全產(chǎn)品名

稱

類型 功能說明 對系統(tǒng)可能的影響 防火墻 硬件防火墻 軟件防火墻

訪問控制 影響數(shù)據(jù)傳輸速度

網(wǎng)關(guān) 服務(wù)器 訪問控制 影響數(shù)據(jù)傳輸速度 基于網(wǎng)絡(luò) 實時監(jiān)控 實施阻斷時,占用一定的 網(wǎng)絡(luò)帶寬 入侵檢測軟

件 基于主機 準(zhǔn)實時監(jiān)控 占用主機的一部分CPU和 內(nèi)存 安全評估軟

件 基于網(wǎng)絡(luò)和主機 漏洞掃描 在掃描時,占用一定主機 和網(wǎng)絡(luò)資源 專用隔離裝 置 物理隔離 邏輯隔離 更嚴(yán)格的訪問 控制

影響傳輸數(shù)據(jù)的類型、速 度

防病毒軟件 針對NT/2000系列 防、殺病毒 對主機性能有一定影響 PKI系統(tǒng) CA, RA, AS RA, AS 身份認證、數(shù)據(jù) 保密、數(shù)據(jù)完整 證書和私鑰的管理增加 了管理工作量 AS 性檢驗等 備份系統(tǒng) 針對服務(wù)器中的數(shù)據(jù)和軟件

可以對重要數(shù)據(jù)和軟件進行災(zāi)難恢復(fù)

實施備份操作時,影響網(wǎng)絡(luò)和相關(guān)主機的速度和性能（三、部署安全產(chǎn)品

(四安全產(chǎn)品部署說明: [1] 防火墻&隔離裝置

在調(diào)度生產(chǎn)管理系統(tǒng)的安全區(qū)Ⅱ和安全區(qū)Ⅲ間(即物理接口PI3處,部署專用物理隔離設(shè)備,以實施對安全區(qū)Ⅰ、Ⅱ的安全隔離。

在管理信息系統(tǒng)(MIS的接入點和公共網(wǎng)絡(luò)接入點,即物理接口PI5和PI8,采用隔離裝置實施訪問控制策略。

[2] 入侵監(jiān)測系統(tǒng)

在調(diào)度生產(chǎn)管理系統(tǒng)中部署基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),以實施對網(wǎng)絡(luò)和服務(wù)器攻擊及違規(guī)行為的監(jiān)測與響應(yīng)策略。入侵檢測系統(tǒng)的探頭布置在三處,分別標(biāo)識為IDS 探頭

1、IDS 探頭2和IDS 探頭3,它們的作用分別為: IDS 探頭1:用于監(jiān)控DMIS 系統(tǒng)與SPI net 之間的訪問活動 IDS 探頭2:用于監(jiān)控DMIS 系統(tǒng)內(nèi)部服務(wù)器訪問活動

IDS 探頭3:用于監(jiān)控系統(tǒng)外部單位和DMIS 系統(tǒng)之間的訪問活動

安全監(jiān)測中心實現(xiàn)對入侵檢測系統(tǒng)中探頭(或稱為探測器的統(tǒng)一管理與控制,它與探頭之間可以通過單獨通道建立連接。這樣既可以使安全監(jiān)測中心在網(wǎng)絡(luò)中隱形,也可以使安全監(jiān)測中心與探頭之間的通信不占用被檢測網(wǎng)絡(luò)的帶寬資源。

[3] 安全評估系統(tǒng)

在DMIS系統(tǒng)中布置安全評估系統(tǒng),可以輔助管理員自主地定期對調(diào)度生產(chǎn)管理系統(tǒng)進行必要的安全評估,檢測與分析系統(tǒng)存在的安全漏洞,并根據(jù)安全評估報告的結(jié)果進行整改,及時安裝升級包,或者修改防火墻和隔離設(shè)備的訪問控制規(guī)則,以避免黑客利用系統(tǒng)安全漏洞進行攻擊。

[4] 防病毒軟件

在調(diào)度生產(chǎn)管理系統(tǒng)內(nèi)部的所有主機和服務(wù)器上安裝防病毒軟件,并配置一臺病毒管理中心,進行必要的防病毒管理。

由于現(xiàn)在病毒感染的途徑很多,因此必須實施全面的防病毒方案,并且能及時更新。

[5] 身份認證(PKI系統(tǒng)

在調(diào)度生產(chǎn)管理系統(tǒng)中布置PKI系統(tǒng)主要用于系統(tǒng)與人(如使用人員員、遠程維護人員等之間以及各系統(tǒng)進程之間的身份認證。完整的PKI系統(tǒng)包括CA、RA、目錄服務(wù)等,在調(diào)度生產(chǎn)管理系統(tǒng)中可以選擇下面兩種配置之一: 只需要布置一個證書服務(wù)器,向應(yīng)用程序提供證書和證書作廢列表下載、證書有效性驗證服務(wù)。證書服務(wù)器上的證書數(shù)據(jù)庫和證書作廢列表可以通過離線方式更新。證書服務(wù)器的證書數(shù)據(jù)庫中至少應(yīng)該有撥號診斷服務(wù)證書、網(wǎng)絡(luò)RTU證書、無閉環(huán)專用系統(tǒng)的證書、遠程維護人員的證書等。

不增加任何設(shè)備,應(yīng)用程序直接調(diào)用PKI系統(tǒng)提供的API,從而支持強身份認證功能。

與配置一相比,需要手工向應(yīng)用程序?qū)胱C書和證書作廢列表 參考文獻: [1]湖南電力計算機廣域網(wǎng)安全分析張燦湖南電力文獻 2003.5 [2] 電力信息網(wǎng)絡(luò)安全的“層次化”思科網(wǎng)絡(luò)安全技術(shù)文獻庫 2004.5 [3] 國家電力信息化目標(biāo)國家電力信息化技術(shù)文獻 2002.3 [4] 孫友倉,對信息系統(tǒng)安全管理的探討.現(xiàn)代電子技術(shù)[J],2004,27(5 [5] 熊松韞,張志平.構(gòu)建網(wǎng)絡(luò)信息的安全防護體系.情報學(xué)報[J], 2003,22(1 吳博: 男,工程師,2003年畢業(yè)于四川大學(xué)電氣信息學(xué)院通信工程系,同年7月在河南省電力公司調(diào)度通信中心通信處就職, 從事電力通信調(diào)度以及電力通信網(wǎng)絡(luò)的管理、維護和故障處理等方面的工作。

The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone

Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全分析及防護 作者:吳博

作者單位:河南電力調(diào)度通信中心,河南鄭州,450052 相似文獻(10條

1.會議論文譚曉天系統(tǒng)集成思想指導(dǎo)下的電網(wǎng)調(diào)度專業(yè)網(wǎng)絡(luò)構(gòu)建1999 系統(tǒng)集成是高水閏的計算機應(yīng)用,能為用戶提供一體化的解決方案。該文結(jié)合湖南電網(wǎng)調(diào)度專業(yè)網(wǎng)絡(luò)系統(tǒng)的開發(fā)闡述了系統(tǒng)集成四個層次的具體實踐。最后指出專業(yè)人員參與系統(tǒng)集成值得注意的問題。

2.會議論文胡炎.謝小榮.辛耀中現(xiàn)有安全設(shè)計方法綜述2005 本文對電網(wǎng)現(xiàn)有安全設(shè)計方法進行了綜述。文章分析了風(fēng)險管理方法、遵循安全設(shè)計指南方法、形式化驗證方法、發(fā)現(xiàn)修改方法、預(yù)防性安全設(shè)計方法等現(xiàn)有安全設(shè)計方法的特點和不足,同時總結(jié)了信息系統(tǒng)安全工程過程、安全需求分析方法、可生存系統(tǒng)分析設(shè)計等方面研究的可借鑒之處.3.期刊論文任志翔.仇群輝智能電網(wǎng)調(diào)度自動化技術(shù)思考-經(jīng)濟研究導(dǎo)刊2010,“"(7

簡述了智能電網(wǎng)的概念和特點,介紹電網(wǎng)調(diào)度自動化的發(fā)展歷史,分析了智能電網(wǎng)調(diào)度自動化和傳統(tǒng)電網(wǎng)調(diào)度自動化在智能處理和信息共享等方面的區(qū)別,著重分析了目前電網(wǎng)調(diào)度自動化系統(tǒng)的研究現(xiàn)狀,并以目前在變電站建設(shè)中推廣的IEC 61850和在主站構(gòu)建中推廣的IEC 61970標(biāo)準(zhǔn)以及計算機網(wǎng)絡(luò)和先進的通信技術(shù)作為基礎(chǔ),重點分析了未來中國智能電網(wǎng)調(diào)度自動化的研究方向.4.會議論文李承東.潘明惠微機網(wǎng)絡(luò)在東北電網(wǎng)調(diào)度運行中的應(yīng)用1994 5.會議論文舒彬.潘敬東轉(zhuǎn)變觀念、優(yōu)化管理—關(guān)于電網(wǎng)調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)安全管理的幾點思考2001 本文在分析調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)安全管理中,由于信息不對稱所造成的信息失真情況的基礎(chǔ)上,探討了如何通過建立一套有效的技術(shù)手段提高自動化系統(tǒng)安全管理系數(shù),并進一步提出以”目標(biāo)和任務(wù)"機制作為網(wǎng)絡(luò)安全研究與建設(shè)方向的思想,以期為建立可適應(yīng)性安全防護體系做好準(zhǔn)備工作.6.會議論文牛萬福DEC計算機電網(wǎng)調(diào)度監(jiān)控系統(tǒng)1997 詳細介紹了一自行開發(fā)的DEC ALPHA計算機電網(wǎng)監(jiān)控(SCADA系統(tǒng),描述了監(jiān)控系統(tǒng)計算機網(wǎng)絡(luò)的客戶站/服務(wù)器(client/server體系結(jié)構(gòu)及電網(wǎng)監(jiān)控軟件,闡述了雙機運行和軟件切換機制。文章也介紹了該計算機電網(wǎng)監(jiān)控系統(tǒng)在地區(qū)電網(wǎng)調(diào)度中的應(yīng)用及與企業(yè)管理信息系統(tǒng)(MIS和省局能量管理系統(tǒng)(EMS的網(wǎng)絡(luò)連接。

7.學(xué)位論文高云電網(wǎng)調(diào)度運行信息管理系統(tǒng)設(shè)計2001 該文研究的對象是供電企業(yè)的電網(wǎng)調(diào)度運行信息管理系統(tǒng),它是生產(chǎn)技術(shù)管理系統(tǒng)的一個重要組成部分.文中首先指出了目前地區(qū)供電企業(yè)在調(diào)度運行信息的記錄、處理和傳閱方式上存在的問題.在對系統(tǒng)功能需求和數(shù)據(jù)需求進行分析的基礎(chǔ)上,對調(diào)度運行信息進行了分類,確定了系統(tǒng)的總體功能及實現(xiàn)方案,并采用原型法的軟件開發(fā)方法、面向?qū)ο蟪绦蛟O(shè)計技術(shù)(OOP和計算機網(wǎng)絡(luò)技術(shù)進行開發(fā).利用Visual FoxPro6.0開發(fā)工具設(shè)計的調(diào)度運行信息管理系統(tǒng)具有基礎(chǔ)資料數(shù)據(jù)庫和運行記錄數(shù)據(jù)庫.現(xiàn)已完成主控程序,系統(tǒng)注冊模塊、運行記錄模塊和操作命令票管理

模塊等應(yīng)用程序,可以對設(shè)備參數(shù)和電網(wǎng)運行信息進行增加、修改、刪除和查詢工作,統(tǒng)計斷路器跳閘次數(shù)并給出達到預(yù)定值時的信息提示.程序中設(shè)計了利用已輸入的基礎(chǔ)資料數(shù)據(jù)進行快速、靈活地輸入和編輯運行記錄的操作方法,極大地減少了漢字輸入的工作量,并且使記錄的信息更為規(guī)范.設(shè)計的程序具有操作簡便、易于使用和功能擴充方便等特點.8.會議論文王桂茹電網(wǎng)調(diào)度管理信息系統(tǒng)設(shè)計1997 這是一篇涉及計算機網(wǎng)絡(luò)及應(yīng)用推廣;涉及電網(wǎng)調(diào)度相關(guān)專業(yè)知識及信息共享原則的論文。

9.會議論文曹連軍.王曉華東北電網(wǎng)調(diào)度通信中心生產(chǎn)管理企業(yè)網(wǎng)1999 當(dāng)今計算機已經(jīng)由單機操作向網(wǎng)絡(luò)操作發(fā)展。計算機網(wǎng)絡(luò)在企業(yè)現(xiàn)代化管理中起到越來越重要的作用。該文給出了東北電網(wǎng)調(diào)度通信中心生產(chǎn)管理企業(yè)網(wǎng)的功能描述。

10.期刊論文周士躍.王勁松.金小達地區(qū)供電網(wǎng)調(diào)度實時數(shù)據(jù)網(wǎng)絡(luò)安全分析及對策-電網(wǎng)技術(shù)2003,27(10 隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)在電力生產(chǎn)中的應(yīng)用,在變電站與調(diào)度自動化系統(tǒng)間傳輸數(shù)據(jù)已經(jīng)實現(xiàn),同時調(diào)度自動化系統(tǒng)與電力生產(chǎn)中其它系統(tǒng)間也進行了互聯(lián),因此調(diào)度實時系統(tǒng)和變電站計算機網(wǎng)絡(luò)的安全問題也越來越引起人們的關(guān)注.文中結(jié)合鹽城電網(wǎng)的實際情況,提出了相應(yīng)的系統(tǒng)安全策略和信息安全策略,重點介紹了調(diào)度主站系統(tǒng)和變電站的網(wǎng)絡(luò)安全技術(shù):防火墻技術(shù)、多層次防護策略、入侵檢測系統(tǒng).本文鏈接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下載時間:2010年6月6日

第五篇：淺論計算機網(wǎng)絡(luò)信息安全

淺論計算機網(wǎng)絡(luò)信息安全

摘要：在經(jīng)濟全球化的推動下，隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證，當(dāng)今世界已經(jīng)進入一個信息化的時代，但隨之而來的是一系列信息安全的相關(guān)問題。本文主要論述了有關(guān)網(wǎng)絡(luò)信息安全的基本知識:網(wǎng)絡(luò)信息安全存在的隱患、網(wǎng)絡(luò)信息安全的常見問題、網(wǎng)絡(luò)信息安全的防護與建設(shè)。并且對信息安全的相關(guān)問題闡明自己的想法和觀點。

關(guān)鍵詞：網(wǎng)絡(luò)安全 ； 安認證體系 ； 網(wǎng)絡(luò)機制 ；數(shù)據(jù)加密

網(wǎng)絡(luò)信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性的學(xué)科。他主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)可靠的正常運行，網(wǎng)絡(luò)服務(wù)不中斷。

本文主要由信息安全的重要性、網(wǎng)絡(luò)信息安全存在的隱患、網(wǎng)絡(luò)信息安全的防護與建設(shè)等方面進行論述，并且對相關(guān)的問題表明自己的想法。網(wǎng)絡(luò)信息安全的重要性

隨著計算機網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，人們無論是從日常的生活起居還是共工作娛樂到處都離不開計算機的影子，更重要的是計算機網(wǎng)絡(luò)已經(jīng)成為人們進行管理和交易不可或缺的橋梁，成為人們?nèi)粘９ぷ魃畈豢苫蛉钡囊徊糠?。同時網(wǎng)絡(luò)信息也涉及到國家政府、軍事、文化、科學(xué)技術(shù)、等諸多領(lǐng)域，則存儲、傳輸、處理的許多信息是國家軍事機密、宏觀決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬等重要的數(shù)據(jù)。

網(wǎng)絡(luò)信息安全是一個關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化的重要問題，其重要性正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡(luò)信息安全的常見問題

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們的日常生活與網(wǎng)絡(luò)的聯(lián)系日益密切，而問題卻日益突出，危害人們的合法權(quán)益，網(wǎng)絡(luò)信息安全的常見問題如下：

2.1計算機病毒

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒具有隱蔽性、潛伏性、破壞性和傳染性的特點。當(dāng)前計算機網(wǎng)絡(luò)安全受到計算機病毒危害最為普遍，面對種類繁多的計算機病毒，其危害性大，傳播速度快，傳播形式多，特別是通過網(wǎng)絡(luò)傳播的病毒，如：網(wǎng)絡(luò)蠕蟲、木馬、震網(wǎng)、火焰等病毒對計算機網(wǎng)絡(luò)的破壞性更強，清除難度更大，是用戶面臨最頭痛的計算機網(wǎng)絡(luò)安全問題之一。

2.2 IP地址被盜用

在局域網(wǎng)中經(jīng)常會發(fā)生盜用IP地址的現(xiàn)象，這時用戶計算機上會出現(xiàn)IP地址被占用的提示對話框，導(dǎo)致用戶不能正常使用網(wǎng)絡(luò)。被盜用的IP地址權(quán)限一般都很高，盜用者常會通過網(wǎng)絡(luò)以隱藏的身份對用戶進行騷擾和破壞，給用戶造成較大損失，嚴(yán)重侵害了使用網(wǎng)絡(luò)用戶的合法權(quán)益，導(dǎo)致網(wǎng)絡(luò)安全受到極大的威脅。

2.3 網(wǎng)絡(luò)黑客攻擊

網(wǎng)絡(luò)黑客是指攻擊者通過Internet網(wǎng)絡(luò)對用戶網(wǎng)絡(luò)進行非法訪問、破壞。有些黑客因為憤怒、報復(fù)、抗議，非法侵入用于纂改用戶目標(biāo)網(wǎng)頁和內(nèi)容，想法設(shè)法羞辱和攻擊用戶，造成嚴(yán)重的負面影響，迫使網(wǎng)絡(luò)癱瘓。有些黑客主要從事惡意攻擊和破壞，入侵毀壞用戶的計算

機系統(tǒng)中重要的數(shù)據(jù)被纂改、毀壞、刪除。如竊取國防、軍事、政治等機密，損害集體和個人利益，危及國家安全；非法盜用賬號提取他人銀行存款，或進行網(wǎng)絡(luò)勒索和詐騙。由此可見，黑客入侵對計算機網(wǎng)絡(luò)的攻擊和破壞后果是不堪設(shè)想。

2.4垃圾郵件泛濫破壞網(wǎng)絡(luò)環(huán)境

垃圾郵件一般是指未經(jīng)過用戶許可強行發(fā)送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經(jīng)使Internet網(wǎng)絡(luò)不堪重負。在網(wǎng)絡(luò)中大量垃圾郵件的傳播，侵犯了收件人隱私權(quán)和個人信箱的空間，占用了網(wǎng)絡(luò)帶寬，造成服務(wù)器擁塞，嚴(yán)重影響網(wǎng)絡(luò)中信息的傳輸能力，降低了網(wǎng)絡(luò)的運行效率。

2.5 計算機網(wǎng)絡(luò)安全管理不到位

計算機網(wǎng)絡(luò)安全管理機構(gòu)不健全，崗位職責(zé)不明，管理密碼和權(quán)限混亂等，導(dǎo)致網(wǎng)絡(luò)安全機制缺乏，安全防護意識不強，使計算機網(wǎng)絡(luò)風(fēng)險日益加重，這都會為計算機病毒、黑客攻擊和計算機犯罪提供破壞活動的平臺，從而導(dǎo)致計算機網(wǎng)絡(luò)安全受到威脅。網(wǎng)絡(luò)信息安全的防護與建設(shè)

3.1建立規(guī)范的網(wǎng)絡(luò)秩序

建立規(guī)范的網(wǎng)絡(luò)秩序，需要不斷完善法制，探索網(wǎng)絡(luò)空間所體現(xiàn)的需求和原則，為規(guī)范網(wǎng)絡(luò)空間秩序確定法律框架；建立規(guī)范的網(wǎng)絡(luò)秩序，還要在道德和文化層面確定每個使用網(wǎng)絡(luò)者的義務(wù)。

3.2加強入網(wǎng)的訪問控制

入網(wǎng)訪問控制是網(wǎng)絡(luò)的第一道關(guān)口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應(yīng)作嚴(yán)格的規(guī)定，如：口令和賬號要盡可能地長，數(shù)字和字母混合，避免用生日、身份證號等常見數(shù)字作口令，盡量復(fù)雜化，而且要定期更新，以防他人竊取。因此，大大增強了用戶使用信息的安全性。

3.3防火墻技術(shù)

防火墻技術(shù)是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)的總稱。在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險區(qū)域與安全區(qū)域的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)的信息進入。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻三種類型，并在計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用。一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標(biāo)志以至另外一些IP選項，對IP包進行過濾。代理服務(wù)器是防火墻中的一個服務(wù)器進程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層

3.4安全加密技術(shù)

加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。

3.5入侵檢測技術(shù)

隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，作為對防火墻及其有益的補充，IDS（入侵檢測系統(tǒng)）

能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

計算機網(wǎng)絡(luò)信息安全工作貫穿于計算機網(wǎng)絡(luò)建設(shè)、發(fā)展的始終，需要我們時刻重視，不斷學(xué)習(xí)，才能確保計算機網(wǎng)絡(luò)的安全、可靠地運行

參考文獻周學(xué)廣等.信息安全學(xué).北京：機械工業(yè)出版社，2003.3(美)Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業(yè)出版社，2002.1賴溪松等著.計算機密碼學(xué)及其應(yīng)用.北京:國防工業(yè)出版社.2001.7馮元等.計算機網(wǎng)絡(luò)安全基礎(chǔ).北京；科學(xué)出版社.2003.10董玉格等.網(wǎng)絡(luò)攻擊與防護-網(wǎng)絡(luò)安全與實用防護技術(shù).北京：人民郵電出版社,2002.8 6 顧巧論等編著.計算機網(wǎng)絡(luò)安全.北京:科學(xué)出版社.2003.1張友生，米安然編著.計算機病毒與木馬程序剖析.北京：北京科海電子出版社，2003.3 8(美)Heith E.原莉.如何確保計算機網(wǎng)絡(luò)安全[J].職大學(xué)報，2008謝浩浩.計算機網(wǎng)絡(luò)安全綜述[J].科技廣場，2009李建霞.計算機網(wǎng)絡(luò)安全與防范[J].中國西部科技

作者：小帥