控制系統(tǒng)網(wǎng)絡(luò)安全大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇控制系統(tǒng)網(wǎng)絡(luò)安全范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

關(guān)鍵詞：

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護體系

0引言

工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分，在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動化、智能化的創(chuàng)新與發(fā)展，工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢，并在我國工業(yè)領(lǐng)域各行業(yè)控制機制中，如能源開發(fā)、水文建設(shè)、機械制作生產(chǎn)、工業(yè)產(chǎn)品運輸?shù)鹊玫搅藦V泛應(yīng)用。因此，在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下，對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的研究與分析具有重要現(xiàn)實意義，已成為當(dāng)今社會關(guān)注的重點內(nèi)容之一。

1工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）是由一定的計算機設(shè)備與各種自動化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下，大致可分為五個部分，分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠程控制終端系統(tǒng)部分（PLC/RTU）”、“分布式控制系統(tǒng)部分（DCS）”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分（SCADA）”以及“企業(yè)整體信息控制系統(tǒng)（EIS）”[2]。近年來，在互聯(lián)網(wǎng)技術(shù)、計算機技術(shù)、電子通信技術(shù)以及控制技術(shù)，不斷創(chuàng)新與廣泛應(yīng)用的推動下，工業(yè)控制系統(tǒng)已經(jīng)實現(xiàn)了由傳統(tǒng)機械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展，工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計算機集約控制系統(tǒng)（CCS）”轉(zhuǎn)換為“分散式控制系統(tǒng)（DCS）”，并逐漸趨向于“生產(chǎn)現(xiàn)場一體化控制系統(tǒng)（FCS）”的創(chuàng)新與改革發(fā)展。目前，隨著我國工業(yè)領(lǐng)域的高速發(fā)展，工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護等眾多領(lǐng)域與行業(yè)中，其安全性、穩(wěn)定性、優(yōu)化性運行對我國經(jīng)濟發(fā)展與社會穩(wěn)定具有重要影響作用。

2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅

2.1工業(yè)控制系統(tǒng)本身存在的問題

由于工業(yè)控制系統(tǒng)是一項綜合性、技術(shù)復(fù)雜性的控制體系，且應(yīng)用領(lǐng)域相對較廣。因此，在設(shè)計與應(yīng)用過程中對工作人員具有較高的要求，從而導(dǎo)致系統(tǒng)本身在設(shè)計或操作中容易出現(xiàn)安全隱患。

2.2外界網(wǎng)絡(luò)風(fēng)險滲透問題

目前，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計與應(yīng)用，已成為時展的必然趨勢，在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時，對于數(shù)據(jù)信息的采集、分析與管理，需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進行一定的鏈接或遠程操控。在這一過程中，工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中，而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題，這在一定程度上將會導(dǎo)致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響，從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。例如，“百度百科”網(wǎng)站，通過利用SHODAN引擎進行OpenDirectory搜索時，將會獲得八千多個處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息，一旦出現(xiàn)黑客或人為惡意攻擊，將為網(wǎng)站管理系統(tǒng)帶來嚴(yán)重的影響[3]。

2.3OPC接口開放性以及協(xié)議漏洞存在的問題

由于工業(yè)控制系統(tǒng)中，其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進行構(gòu)建的，因此，在既定環(huán)境下，工業(yè)過程控制標(biāo)準(zhǔn)OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強的開放性[4]。當(dāng)對工業(yè)控制系統(tǒng)進行操作時，基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護舉措的缺失，加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風(fēng)險因素的攻擊與干擾，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險。

2.4工業(yè)控制系統(tǒng)脆弱性問題

目前，我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題，致使工業(yè)控制系統(tǒng)具有“脆弱性”特征，例如，網(wǎng)絡(luò)配置問題、網(wǎng)絡(luò)設(shè)備硬件問題、網(wǎng)絡(luò)通信問題、無線連接問題、網(wǎng)絡(luò)邊界問題、網(wǎng)絡(luò)監(jiān)管問題等等[5]。這些問題，在一定程度上為網(wǎng)絡(luò)信息風(fēng)險因素的發(fā)生提供了可行性，從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。

3加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的建議

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建，不僅需要加強相關(guān)技術(shù)的研發(fā)與利用，同時也需要相關(guān)部門（如，設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等）基于自身實際情況與優(yōu)勢加以輔助，從而實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系多元化、全方位的構(gòu)建。

3.1強化工業(yè)控制系統(tǒng)用戶使用安全防護能力

首先，構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護安全策略：安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計與執(zhí)行的重要前提條件，對保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對此，相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問題，在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢的基礎(chǔ)上，有針對性的制定一系列網(wǎng)絡(luò)防護安全策略，用以保證工業(yè)控制系統(tǒng)安全設(shè)計、操作、管理、養(yǎng)護維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如，基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補丁管理，結(jié)合工業(yè)控制系統(tǒng)實際需求，對工業(yè)控制系統(tǒng)核心系統(tǒng)進行“補丁升級”，用以彌補工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項漏洞危機[6]。在此過程中，設(shè)計人員以及相關(guān)工作者應(yīng)通過“試驗測驗”的方式，為工業(yè)控制系統(tǒng)營造仿真應(yīng)用環(huán)境，并在此試驗環(huán)境中對系統(tǒng)進行反復(fù)測驗、審核、評價，并對系統(tǒng)核心配置、代碼進行備份處理，在保證補丁的全面化升級的同時，降低升級過程中存在的潛在風(fēng)險。其次，注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護體系的構(gòu)建：網(wǎng)絡(luò)隔離防護的構(gòu)建與執(zhí)行，對降低工業(yè)控制系統(tǒng)外界風(fēng)險具有重要意義。對此，相關(guān)設(shè)計與工作人員應(yīng)在明確認知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護目標(biāo)的基礎(chǔ)上，制定相應(yīng)的網(wǎng)絡(luò)隔離防護方案，并給予有效應(yīng)用。通常情況下，工業(yè)控制系統(tǒng)設(shè)計人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求，對系統(tǒng)所需設(shè)備進行整理，并依據(jù)整理內(nèi)容進行具體測評與調(diào)試，用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮，避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生；根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點對隔離防護區(qū)域進行分類與規(guī)劃（包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等），并針對不同區(qū)域情況與待保護程度要求，采用相應(yīng)的舉措進行改善，實現(xiàn)不同風(fēng)險的不同控制[7]。與此同時，構(gòu)建合理、有效的物理層防護體系：實踐證明，物理層防護體系的構(gòu)建（物理保護），對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護具有至關(guān)重要的作用，是工業(yè)控制系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項目，也是核心項目，對工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護體系整體效果的優(yōu)化，具有決定性作用。因此，在進行工業(yè)控制防護系統(tǒng)網(wǎng)絡(luò)安全防護體系優(yōu)化設(shè)計時，設(shè)計人員以及相關(guān)企業(yè)應(yīng)注重對工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如，通過配置企業(yè)門禁體系，用以避免外來人員對工業(yè)現(xiàn)場的侵害；依據(jù)企業(yè)特色，配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備，如備用發(fā)電機、備用操作工具、備用電線、備用油庫等，用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計或生產(chǎn)出現(xiàn)問題；通過配置一定的監(jiān)測管理方案或設(shè)施，對系統(tǒng)進行一體化監(jiān)管，用以及時發(fā)現(xiàn)問題（包括自然風(fēng)險因素、設(shè)備生產(chǎn)安全風(fēng)險因素等）并解決問題，保證工業(yè)控制系統(tǒng)運行的優(yōu)化性。此外，加強互聯(lián)網(wǎng)滲透與分析防治：設(shè)計工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題，可通過換位思考的形式，對已經(jīng)設(shè)計的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系進行測評，并從對方的角度進行思考，制定防護對策，用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。

3.2強化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護能力

工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)，作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者，應(yīng)提升自身對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計的重視程度，從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時，系統(tǒng)生產(chǎn)企業(yè)在引進先進設(shè)計技術(shù)與經(jīng)驗的基礎(chǔ)上，強化自身綜合能力與開發(fā)水平，保證工業(yè)控制系統(tǒng)緊跟時展需求，推動工業(yè)控制系統(tǒng)不斷創(chuàng)新，從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險。

3.3加大政府扶持與監(jiān)管力度

由上述分析可知，工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用，并占據(jù)著重要的地位，其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對我國市場經(jīng)濟發(fā)展與社會的穩(wěn)定具有直接影響作用。由此可見，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系的構(gòu)建，不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題，政府以及社會等外部體系的構(gòu)建同樣具有重要意義。對此，政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會責(zé)任的執(zhí)行，加強對工業(yè)控制系統(tǒng)安全防護體系環(huán)境的管理與監(jiān)督，促進工業(yè)控制系統(tǒng)安全防護外部體系的構(gòu)建。例如，通過制定相應(yīng)的網(wǎng)絡(luò)安全運行規(guī)范與行為懲罰措施，用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生；通過制定行業(yè)網(wǎng)絡(luò)安全防護機制與準(zhǔn)則，嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性，加大自身維權(quán)效益。

4結(jié)論

綜上所述，本文針對“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系”課題研究的基礎(chǔ)上，分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題，并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的基礎(chǔ)上，提供了加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系設(shè)計的優(yōu)化對策，以期對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認知與理解，從而促進我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)的優(yōu)化發(fā)展。

參考文獻：

[1]王棟,陳傳鵬,顏佳,郭靚,來風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動化,2016(2):6-11.

[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護體系設(shè)計[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.

[4]羅常.工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應(yīng)用研究[J].機電工程技術(shù),2016(12):97-100.

[5]劉秋紅.關(guān)于構(gòu)建信息安全防護體系的思考——基于現(xiàn)代計算機網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場,2013(6):314.

篇（2）

0　引言

對于電力部門來說，保奧運，確保電網(wǎng)和系統(tǒng)安全，是目前各發(fā)電集團公司、國家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲、傳輸?shù)陌踩Ｓ绊戨娏ο到y(tǒng)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。

電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)相對封閉，電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。但是，隨著近年來與外界接口的增加，特別是與政府、金融機構(gòu)等合作單位中間業(yè)務(wù)的接口、網(wǎng)上服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊也越來越多，已經(jīng)成為電力系統(tǒng)不可忽視的威脅來源。但是，據(jù)我所知，未來電力系統(tǒng)網(wǎng)上服務(wù)所采用的策略一般是由各省公司做統(tǒng)一對外服務(wù)出口，各級分局或電力公司和電廠將沒有對外出口；從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看，除大量現(xiàn)存的C/S結(jié)構(gòu)以外，還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。所以，對于電力系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中通訊、信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅，造成電力系統(tǒng)癱瘓。對于電力系統(tǒng)來說，主要是保護電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲，數(shù)據(jù)傳輸?shù)陌踩?/p>

1 電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅

(1)人為的無意失誤

如果網(wǎng)絡(luò)安全配置不當(dāng)造成的安全漏洞，包括安全意識、用戶口令、賬號、共享信息資源等都會對網(wǎng)絡(luò)安全帶來威脅。主機存在系統(tǒng)漏洞，通過電力網(wǎng)絡(luò)入侵系統(tǒng)主機，并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器，進而對整個電力系統(tǒng)造成很大的威脅。

(2)人為的惡意攻擊

這是計算機網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成直接的極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn)，針對windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80％的計算機造成了破壞，安徽省省電力公司系統(tǒng)內(nèi)也有多個供電企業(yè)的信息系統(tǒng)遭到病毒的破壞，這一事件給網(wǎng)絡(luò)安全再次敲響了警鐘!

2　網(wǎng)絡(luò)安全風(fēng)險和威脅的具體表現(xiàn)形式

電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓。必須提出針對以上事故的各種應(yīng)急預(yù)案。 隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多，要求在業(yè)務(wù)系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，對電力網(wǎng)絡(luò)的安全性、可靠性、實時性提出了新的嚴(yán)峻挑戰(zhàn)。其安全風(fēng)險和威脅的具體表現(xiàn)形式如下：

(1)UNIX和Windows主機操作系統(tǒng)存在安全漏洞。

(2)Oracle，Sybase、MS SQL等主要關(guān)系型數(shù)據(jù)庫的自身安全漏洞。

(3)重要應(yīng)用系統(tǒng)的安全漏洞，如：MS IIS或Netscape WEB服務(wù)應(yīng)用的“緩存區(qū)溢出”等，使得攻擊者輕易獲取超級用戶權(quán)限。核心的網(wǎng)絡(luò)設(shè)備，如路由器、交換機、訪問服務(wù)器、防火墻存在安全漏洞。

(4)利用TCP/IP等網(wǎng)絡(luò)協(xié)議自身的弱點(DDOS分布式拒絕服務(wù)攻擊)，導(dǎo)致網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)中打開大量的服務(wù)端口(女IIRPC、FTP、TELNET、SMTP、FINGER等)，容易被攻擊者利用。黑客攻擊工具非常容易獲得，并可以輕易實施各類黑客攻擊，如：特洛伊木馬、蠕蟲、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網(wǎng)絡(luò)的癱瘓和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡(luò)中非法安裝和使用未授權(quán)軟件。對網(wǎng)絡(luò)性能和業(yè)務(wù)造成直接影響。系統(tǒng)及網(wǎng)絡(luò)設(shè)備的策略(如防火墻等)配置不當(dāng)。

(5)關(guān)鍵主機系統(tǒng)及數(shù)據(jù)文件被篡改或誤改，導(dǎo)致系統(tǒng)和數(shù)據(jù)不可用，業(yè)務(wù)中斷等。

(6)分組協(xié)議里的閉合用戶群并不安全，信任關(guān)系可能被黑客利用。

(7)應(yīng)用軟件的潛在設(shè)計缺陷。

(8)在內(nèi)部有大批的對內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)相當(dāng)熟悉的人員，據(jù)統(tǒng)計，70％以上的成功攻擊來自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡(luò)互通存在著極大的風(fēng)險。

(9)雖然將來由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務(wù)，但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯(lián)網(wǎng)，存在著由多個攻擊入口進入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全，如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點等，技術(shù)人員的忠誠度和穩(wěn)定性，將直接關(guān)系到系統(tǒng)安全。

(10)各局使用的OA辦公自動化系統(tǒng)大量使用諸如WINDOWS操作系統(tǒng)，可能存在安全的薄弱環(huán)節(jié)，并且有些分局可能提供可拷貝腳本式的撥號服務(wù)，撥入網(wǎng)絡(luò)后，即可到達電力的內(nèi)部網(wǎng)絡(luò)的其它主機。

系統(tǒng)為電力客戶提供方便服務(wù)的同時，數(shù)據(jù)的傳輸在局外網(wǎng)絡(luò)和局內(nèi)局域網(wǎng)絡(luò)的傳輸中極有可能被竊取，通過 Sniffer 網(wǎng)絡(luò)偵聽極易獲得超級用戶的密碼。

3　系統(tǒng)的網(wǎng)絡(luò)風(fēng)險基本控制策略

針對電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性，電力安全方案要能抵御通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓。總體來說，電力系統(tǒng)安全解決方案的總體策略如下：

(1)分區(qū)防護、突出重點。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度，按其性質(zhì)可劃分為實時控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個安全區(qū)域，重點保護實時控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護方案。

(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護。

(3)網(wǎng)絡(luò)專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN，實現(xiàn)多層次的保護。

(4)設(shè)備獨立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡(luò)交換機設(shè)備。

(5)縱向防護。采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸。

4　電力系統(tǒng)的網(wǎng)絡(luò)安全解決方案

針對電力網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡(luò)設(shè)備；保護電力數(shù)據(jù)中心及其設(shè)備中心的網(wǎng)絡(luò)、服務(wù)器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離，并且制定科學(xué)的安全策略；制定權(quán)限管理――這是對應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全保障；考慮網(wǎng)絡(luò)上設(shè)備安裝后仍然可能存在的安全漏洞，并制定相應(yīng)措施策略。

(1)在網(wǎng)絡(luò)設(shè)備的安全管理方面，將所有網(wǎng)絡(luò)設(shè)備上的Console口加設(shè)密碼進行屏蔽，配置管理全部采用DUT-BAND帶外方式，并對每個被管理的設(shè)備均設(shè)置相應(yīng)的帳戶和口令，只有網(wǎng)絡(luò)管理員具有對網(wǎng)絡(luò)設(shè)備訪問配置和更改密碼的權(quán)力。

(2)存網(wǎng)管中心通過劃分不同安全區(qū)域來規(guī)范管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò)，從邏輯上把每個部門的資源獨立成一個安全區(qū)域，對安全區(qū)域的劃分基于安全性策略或規(guī)則，使區(qū)域的劃分更具安全性。網(wǎng)絡(luò)管理員可根據(jù)用戶需求，把某些共享資源分配到單獨的安全區(qū)域中，并控制區(qū)域之間的訪問。

(3)VPN和IPsec加密的使用。電力網(wǎng)絡(luò)將通過MPLS VPN把跨骨干的廣域網(wǎng)絡(luò)變成自己的私有網(wǎng)絡(luò)。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會對數(shù)據(jù)的完整與安全構(gòu)成潛在危險，在數(shù)據(jù)進入MPLSVPN網(wǎng)絡(luò)之前首先經(jīng)過IPsec加密，在離開VPN網(wǎng)絡(luò)后又再進行IPsec解密。

(4)通過網(wǎng)絡(luò)設(shè)置控制網(wǎng)絡(luò)的安全。在交換機、路由器、數(shù)據(jù)庫和各種認證上，層層進行安全設(shè)置，從而確保整個網(wǎng)絡(luò)的安全。

(5)通過專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。

(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進行監(jiān)控使用，也可以部署在服務(wù)器的前端作為防攻擊的IPS產(chǎn)品使用，前題是保障網(wǎng)絡(luò)的安全性。

5　電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全解決方案

外部攻擊影響巨大，但內(nèi)部攻擊危害巨大，為了解決內(nèi)網(wǎng)安全問題，在一個電力／電廠系統(tǒng)的局域網(wǎng)內(nèi)部，可以使用防火墻對不同的網(wǎng)段進行隔離，并且使用IPS設(shè)備對關(guān)鍵應(yīng)用進行監(jiān)控和保護。同時，使用IPS設(shè)備架設(shè)在相應(yīng)的安全區(qū)域，保證訪問電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性，可審計性以及防止惡意流量的攻擊。并且實現(xiàn)以下的主要目的：

(1)網(wǎng)絡(luò)安全：防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。

(2)防火墻負載均衡：網(wǎng)絡(luò)安全性越來越成為電力系統(tǒng)擔(dān)心的問題了，網(wǎng)絡(luò)安全已經(jīng)成為了關(guān)鍵部門關(guān)注的焦點。網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對網(wǎng)絡(luò)資源進行非授權(quán)訪問的常用方法。

(3)服務(wù)器負載均衡：執(zhí)行一定的負載均衡算法，可以針對電廠內(nèi)關(guān)鍵的服務(wù)器群動態(tài)分配負載。

6　廣域網(wǎng)整體安全解決方案

對于整個廣域網(wǎng)，為了端對端，局對局的安全性，本著不受他系統(tǒng)影響／不影響他系統(tǒng)的安全原則，可對防火墻以及IPS設(shè)備進行分布式部署。

通過過濾的規(guī)則設(shè)置可以使得我們方便地控制網(wǎng)絡(luò)內(nèi)部資源對外的開放程度，特別是針對國家電網(wǎng)公司、當(dāng)?shù)卣约癐nternet僅僅開放某個IP的特殊端口，有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認證等規(guī)則的應(yīng)用，可以確定不同的內(nèi)部用戶享受不同的訪問外部資源的級別，對于內(nèi)部用戶嚴(yán)格區(qū)分網(wǎng)段，而且可以利用獨特的內(nèi)置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內(nèi)部用戶主動將信息通過網(wǎng)絡(luò)向外界傳遞。

雙機熱備(負載均衡)：為了提高系統(tǒng)的可靠性，通過監(jiān)控設(shè)備的CPU Loading來確認誰轉(zhuǎn)發(fā)流量，極大的提高了防火墻的吞吐量。

友好的用戶界面：只需作簡單的培訓(xùn)，用戶即可進行規(guī)則配置、系統(tǒng)管理、統(tǒng)計。

7　參考文獻

[1]　《StoneSoft電力系統(tǒng)網(wǎng)絡(luò)安全解決方案》StoneSoft

公司，2005。

[2] 王桂娟，張漢君。《網(wǎng)絡(luò)安全的風(fēng)險分析》[J]．中南民族

大學(xué)學(xué)報，2007，(11)。

[3] 陳 偉、鮑 慧．《電力系統(tǒng)網(wǎng)絡(luò)安全體系研究》[丁]．電

篇（3）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，傳統(tǒng)的手工會計系統(tǒng)已向網(wǎng)絡(luò)會計系統(tǒng)發(fā)展，這是企業(yè)管理手段的巨大進步，但同時也給企業(yè)內(nèi)部安全控制帶來了新的問題和挑戰(zhàn)，具體表現(xiàn)在：

(一)授權(quán)方式的改變和系統(tǒng)程序質(zhì)量的依賴性不利于安全風(fēng)險的控制在網(wǎng)絡(luò)會計系統(tǒng)中，權(quán)限分工采用的主要形式是口令授權(quán)，而口令存放于計算機系統(tǒng)內(nèi)，一旦口令被人竊取，便會帶來巨大的安全隱患。如會計人員被客戶收買后，竊取口令并登錄系統(tǒng)，非法核銷客戶的應(yīng)收款及相關(guān)資料；銷售人員竊得顧客訂單口令，開出假訂單，騙走企業(yè)產(chǎn)品等。網(wǎng)絡(luò)會計的安全控制在一定程度上取決于系統(tǒng)中運行的應(yīng)用程序的質(zhì)量。一旦程序中存在嚴(yán)重的錯誤，便會危害系統(tǒng)安全。而會計人員的計算機專業(yè)知識有限，很難及時發(fā)現(xiàn)這些漏洞，致使系統(tǒng)會多次重復(fù)同一錯誤而擴大損失。

(二)電子商務(wù)的普及和會計信息的偽造導(dǎo)致網(wǎng)絡(luò)會計系統(tǒng)安全控制的新難題IT技術(shù)迅猛發(fā)展，網(wǎng)上交易愈加普遍，電子商務(wù)逐步普及。企業(yè)在利用Intemet網(wǎng)尋找潛在貿(mào)易伙伴、完成網(wǎng)上交易的同時，也將自己暴露于風(fēng)險之中。一旦企業(yè)的全部原始憑證采用數(shù)字格式，實現(xiàn)電子化，極易被修改甚至偽造而不留任何痕跡，勢必將加強企業(yè)對網(wǎng)上公證機構(gòu)的依賴，電子單據(jù)的信息保真將顯得特別重要。但目前相關(guān)技術(shù)還不完全成熟、相應(yīng)法規(guī)并不完善，這將給系統(tǒng)安全控制造成極大的困難。

(三)會計信息儲存方式和媒介的變化缺乏會計業(yè)務(wù)的有效牽制網(wǎng)絡(luò)會計采用高度電子化的交易方式，對數(shù)據(jù)的正確性、交易及其軌跡均帶來新的變化。原始憑證在網(wǎng)絡(luò)業(yè)務(wù)交易時自動產(chǎn)生并存入計算機，交易的全過程均在電子媒介上建立、運算與維護，而且大量的數(shù)據(jù)錄入和交易發(fā)生在企業(yè)外部；網(wǎng)絡(luò)會計使會計介質(zhì)繼續(xù)發(fā)生變化，更多的介質(zhì)將電子化，出現(xiàn)各種發(fā)票、結(jié)算單等電子單據(jù)。存貯形式主要以網(wǎng)絡(luò)頁面數(shù)據(jù)存貯，網(wǎng)頁數(shù)據(jù)只能在計算機及相應(yīng)的程序中閱讀。由于計算機的自動高效使工作人員減少，各種手續(xù)被合并到一起由計算機統(tǒng)一執(zhí)行，從而不能像手工方式下一筆業(yè)務(wù)要經(jīng)過幾道審查后才能被確認而相互牽制，成為內(nèi)部控制的安全隱患。

(四)網(wǎng)絡(luò)環(huán)境的開放性和動態(tài)性加劇會計信息失真的風(fēng)險網(wǎng)絡(luò)技術(shù)是IT發(fā)展的方向，特別是Inlemet在財務(wù)軟件中的應(yīng)用使得會計信息系統(tǒng)向網(wǎng)絡(luò)化方向發(fā)展。但在開放的網(wǎng)絡(luò)環(huán)境中，大量的會計信息通過Internet傳遞，各種服務(wù)器上的信息在理論上都可以被訪問，除非物理上斷開連接，否則就存在被截取、篡改、泄漏甚至黑客或病毒的惡意侵?jǐn)_等安全風(fēng)險。盡管信息傳遞的無紙化可有效避免人為原因?qū)е碌男畔⑹д娆F(xiàn)象，但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。南于缺乏有效的確認標(biāo)識，信息接受方懷疑所獲取財務(wù)信息的真實性；信息發(fā)送方也擔(dān)心所傳遞的信息能否被接受方正確識別并下載，加大了網(wǎng)絡(luò)會計安全控制的難度。

(五)網(wǎng)絡(luò)會計系統(tǒng)的復(fù)雜性加大稽核與審計的難度網(wǎng)絡(luò)是一個由計算機硬件、軟件、操作人員和各種規(guī)程構(gòu)成的復(fù)雜系統(tǒng)，該系統(tǒng)將許多不相容職責(zé)相對集中，加大了舞弊的風(fēng)險；信息來源的多樣性，有可能導(dǎo)致審計線索紊亂；系統(tǒng)設(shè)計主要強調(diào)會計核算的要求，很少考慮審計工作的需要，往往導(dǎo)致系統(tǒng)留下的審計線索很少，稽核與審計必須運用更復(fù)雜的查核技術(shù)，且要花費更多的時間和更高的代價，這無疑將加大稽核與審計的難度和成本。

二、網(wǎng)絡(luò)會計信息系統(tǒng)的安全控制對策

網(wǎng)絡(luò)技術(shù)在會計信息系統(tǒng)中的應(yīng)用，豐富了會計信息系統(tǒng)的功能，促進了會計工作效率的提高。但安全問題若不能及時有效地得到解決，必將限制網(wǎng)絡(luò)會計系統(tǒng)的發(fā)展與應(yīng)用。網(wǎng)絡(luò)會計信息系統(tǒng)安全控制的對策主要有：

(一)做好法律、政策上的相關(guān)保障為了對付計算機犯罪，保護會計信息使用者的權(quán)益，國家應(yīng)制定并實施計算機安全及數(shù)據(jù)保護法律，從宏觀上加強對信息系統(tǒng)的控制，為網(wǎng)絡(luò)會計系統(tǒng)提供一個良好的社會環(huán)境；盡快建立和完善電子商務(wù)法律法規(guī)，制定網(wǎng)絡(luò)會計環(huán)境下的有關(guān)會計準(zhǔn)則，規(guī)范網(wǎng)上交易的購銷、支付及核算行為。

(二)建立和完善網(wǎng)絡(luò)會計系統(tǒng)的管理制度管理制度是保證企業(yè)實現(xiàn)網(wǎng)絡(luò)會計信息系統(tǒng)安全、準(zhǔn)確、可靠的先決條件。它主要包括：確定各種人員的職責(zé)范圍及其考核辦法的崗位責(zé)任制；制定密碼的使用和管理辦法及機房、保衛(wèi)、數(shù)據(jù)資料安全等方面應(yīng)遵循的安全保密制度；操作計算機應(yīng)遵守的操作規(guī)程及注意事項的操作管理制度；規(guī)定數(shù)據(jù)輸入、輸出、存儲、查詢與使用應(yīng)遵守的數(shù)據(jù)管理制度；規(guī)定系統(tǒng)維護的申請、審批和應(yīng)完成任務(wù)的系統(tǒng)維護制度；修訂《會計檔案管理辦法》，重新規(guī)定會計檔案的范圍、保管辦法及領(lǐng)用手續(xù)的會計檔案管理制度。

(三)加強網(wǎng)絡(luò)會計系統(tǒng)的安全控制網(wǎng)絡(luò)會計的安全控制是指在網(wǎng)絡(luò)環(huán)境下采用各種方法保護數(shù)據(jù)和計算機程序，以防止數(shù)據(jù)泄密、更改或破壞。主要包括硬件安全控制、軟件安全控制、網(wǎng)絡(luò)安全控制和病毒防范安全控制等。

一是硬件安全控制。網(wǎng)絡(luò)會計系統(tǒng)的可靠運行主要依賴于硬件設(shè)備，因此硬件設(shè)備的質(zhì)量必須有充分保證。加強對硬件的維護，防止計算機出現(xiàn)故障導(dǎo)致會計信息丟失；為以防萬一，關(guān)鍵的硬件設(shè)備可采用雙系統(tǒng)備份。另外，計算機房應(yīng)充分滿足防火、防水、防盜、防鼠、恒溫等技術(shù)條件，必要情況下可采用電子門鎖、指紋核對、用計算機控制人員進出等防范控制手段；機房內(nèi)用于動力、照明的供電線路應(yīng)與計算機系統(tǒng)的供電線路分開，配置UPS不間斷電源、防輻射和防電磁波干擾等設(shè)備，盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)，在埋設(shè)地下電纜的位置設(shè)立標(biāo)牌加以防范；對用于數(shù)據(jù)備份的存貯介質(zhì)應(yīng)注意防潮、防塵和防磁，長期保存的磁介質(zhì)存貯媒體應(yīng)定期轉(zhuǎn)貯等。

二是軟件安全控制。軟件的安全控制主要是保證程序不被修改、不損毀、不被病毒感染，程序的安全與否直接影響著系統(tǒng)的正常運行。及時下載和安裝系統(tǒng)補丁，堵住操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)絡(luò)服務(wù)軟件的漏洞；按操作權(quán)限嚴(yán)格控制系統(tǒng)軟件的安裝與修改，按操作規(guī)程定期對系統(tǒng)軟件進行安全性檢查。當(dāng)系統(tǒng)被破壞時，要求系統(tǒng)軟件具備緊急響應(yīng)、強制備份、快速重構(gòu)和快速恢復(fù)等功能；系統(tǒng)軟件應(yīng)盡量減少人機對話窗口，必要的窗口應(yīng)力求界面友好，防錯糾錯能力強，不接受錯誤輸入；增強系統(tǒng)軟件的現(xiàn)場保護和自動跟蹤能力，對一切非正常操作可以記錄。當(dāng)非法用戶企圖登錄或錯誤口令超限額使用時，系統(tǒng)會鎖定終端，凍結(jié)此用戶標(biāo)識，記錄有關(guān)情況，并立即報警；分析研究各應(yīng)用軟件的兼容性、

統(tǒng)一性，使各業(yè)務(wù)系統(tǒng)成為基于同一種操作系統(tǒng)平臺的大系統(tǒng)，各種業(yè)務(wù)之間能相互銜接，相關(guān)數(shù)據(jù)能夠自動核對、校驗；非系統(tǒng)維護人員不得接觸程序的技術(shù)資料、源程序和加密文件，減少程序被修改的可能性。

三是數(shù)據(jù)資源安全控制。數(shù)據(jù)資源的安全與否關(guān)系到財務(wù)信息的完整性和保密性。數(shù)據(jù)庫系統(tǒng)是整個網(wǎng)絡(luò)會計系統(tǒng)安全控制的核心，數(shù)據(jù)庫的安全威脅主要來自系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫的非法訪問和系統(tǒng)故障。誤操作或人為破壞均會造成數(shù)據(jù)庫的物理損毀。為防止非法用戶入侵，確保數(shù)據(jù)資源安全，主要采取以下措施：合理定義、應(yīng)用數(shù)據(jù)子模式。即根據(jù)不同類別的用戶或應(yīng)用項目分別定義不同的數(shù)據(jù)子集，對特定類型的用戶開放，以限制用戶輕易獲取全部會計數(shù)據(jù)資源；合理設(shè)置網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限。資源屬主體現(xiàn)不同用戶對資源的從屬關(guān)系，如建立者、修改者等，資源屬性表示資源本身的存取特性，如讀、寫或執(zhí)行等，訪問權(quán)限體現(xiàn)用戶對資源的可用程度；建立數(shù)據(jù)備份和恢復(fù)制度。數(shù)據(jù)備份是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ)。對每天的業(yè)務(wù)數(shù)據(jù)雙備份，建立目錄清單異地存放。同時對存儲在網(wǎng)絡(luò)上的重要數(shù)據(jù)在傳輸前進行有效加密，接收到數(shù)據(jù)后再進行相應(yīng)的解密，并定期更新加密密碼；在操作系統(tǒng)中建立數(shù)據(jù)保護機構(gòu)。調(diào)用計算機機密文件時應(yīng)登錄用戶名、日期、使用方式和使用結(jié)果，修改文件和數(shù)據(jù)必須登錄備查；設(shè)置外部訪問區(qū)域，明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界。企業(yè)建立內(nèi)聯(lián)網(wǎng)時，要詳細分析網(wǎng)絡(luò)的服務(wù)功能和結(jié)構(gòu)布局，通過專用軟件、硬件和管理措施，實現(xiàn)會計系統(tǒng)與外部訪問區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離；在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護屏障，防止非法入侵和使用系統(tǒng)資源，記錄所有可疑事件；在開發(fā)應(yīng)用軟件的技術(shù)選擇上也要考慮數(shù)據(jù)安全性問題。如在網(wǎng)絡(luò)財務(wù)軟件中應(yīng)充分利用客戶服務(wù)器結(jié)構(gòu)和Web應(yīng)用的優(yōu)點，對于決策支持、遠程查詢、報表遠程上報則采用Web的應(yīng)用，可以提高財務(wù)數(shù)據(jù)安全性。

四是網(wǎng)絡(luò)安全控制。為了提高網(wǎng)絡(luò)會計系統(tǒng)的安全防范能力，必須從技術(shù)上對整個系統(tǒng)的各個層次都要采取安全防范與控制措施，建立綜合的多層次的安全體系。數(shù)據(jù)加密技術(shù)是保護會計信息通過公共網(wǎng)絡(luò)傳輸和防止電子竊聽的首選方法。現(xiàn)代加密技術(shù)分為對稱加密和非對稱加密兩大類。對稱加密是關(guān)聯(lián)雙方共享一把專用密鑰進行加密和解密運算。它所面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問題。非對稱加密是將密鑰分為一把公鑰和一把私鑰，加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰，有效解決了密鑰分發(fā)的管理問題，更適合網(wǎng)絡(luò)應(yīng)用環(huán)境。訪問控制技術(shù)的代表是防火墻技術(shù)，特別是已融和虛擬專用網(wǎng)及隧道技術(shù)的防火墻技術(shù)。可設(shè)置內(nèi)外兩層防火墻，外層防火墻主要用來限制外界對主機操作系統(tǒng)的訪問，內(nèi)層防火墻主要用來邏輯隔離會計系統(tǒng)與外部訪問區(qū)域之間的聯(lián)系，限制外界穿過訪問區(qū)域?qū)?nèi)聯(lián)網(wǎng)的非法訪問。數(shù)字簽名是指網(wǎng)絡(luò)環(huán)境下為驗證對方身份、保證數(shù)據(jù)真實性和完整性而在計算機通信中采用的一種安全控制手段。在國家相應(yīng)財務(wù)制度許可的條件下，財務(wù)系統(tǒng)遠程處理可用數(shù)字簽名技術(shù)代替簽字蓋章的傳統(tǒng)確認手段。在網(wǎng)絡(luò)會計系統(tǒng)中使用數(shù)據(jù)加密與數(shù)字簽名技術(shù)，可以確保客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)的安全性。另外，采用虛擬專用網(wǎng)傳輸數(shù)據(jù)，使用光纖作為傳輸介質(zhì)，確保接入口的安全保密，更好地解決了財務(wù)信息在Internet傳輸?shù)陌踩珕栴}。

五是病毒防范安全控制。防范病毒最有效的措施是加強安全教育，健全并嚴(yán)格執(zhí)行防范病毒管理制度，在系統(tǒng)的運行與維護過程中高度重視病毒防范及相應(yīng)技術(shù)手段與措施。具體措施有：系統(tǒng)采購更新要經(jīng)病毒檢測后才可使用；對不需要本地磁盤的工作站，盡量采用無盤工作站；采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進行實時監(jiān)控、追蹤病毒；在網(wǎng)絡(luò)服務(wù)器上安裝防病毒卡或芯片等硬件；財務(wù)軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身防病毒能力；對所有外來軟件、介質(zhì)和傳輸數(shù)據(jù)必須經(jīng)過病毒檢查，嚴(yán)禁使用游戲軟件；及時升級本系統(tǒng)的防病毒產(chǎn)品，定期檢測并清除系統(tǒng)病毒。

六是電子商務(wù)控制。網(wǎng)絡(luò)會計系統(tǒng)的應(yīng)用為跨國企業(yè)、集團企業(yè)實現(xiàn)遠程報表、報賬、查賬、審計及財務(wù)監(jiān)控等處理功能創(chuàng)造了條件。網(wǎng)絡(luò)會計是電子商務(wù)的基石和重要組成部分，對電子商務(wù)活動也必須進行相應(yīng)的管理與控制。主要措施有：合理建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式；建立網(wǎng)上交易活動的授權(quán)、確認制度，以及相應(yīng)的電子文件的接收、簽發(fā)驗證制度；建立交易日志的記錄與審計制度，進行遠程處理規(guī)程控制。

篇（4）

在社會信息化程度快速發(fā)展的今天，社會各行已經(jīng)廣泛的運用監(jiān)控進行工作，多層次的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)，通過SIP協(xié)議和DIEME-TER協(xié)議為基礎(chǔ)創(chuàng)建的運營級視頻監(jiān)控系統(tǒng)，可以實現(xiàn)大規(guī)模和大領(lǐng)域的部署，以及運營級的整體需要，廣大的監(jiān)控業(yè)務(wù)對遠程視頻的監(jiān)控也提出了更好的要求，需要不斷地彌補傳統(tǒng)監(jiān)控系統(tǒng)的缺陷，提高新的監(jiān)控系統(tǒng)的安全性能。新的視頻監(jiān)控系統(tǒng)要符合時展的要求，不斷的提高其工作的遠度，在網(wǎng)絡(luò)系統(tǒng)的協(xié)調(diào)下，可以對大量視頻數(shù)據(jù)實時、跨區(qū)域性的傳輸，能夠?qū)⒈O(jiān)控的資源進行共享，為此提高了辦事效率。

圖1為視頻監(jiān)控網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖，SIP服務(wù)器主要是建立會話；AAA服務(wù)器主要使用于路由AAA請求；AAA服務(wù)器進行監(jiān)控認證；存儲服務(wù)器中能夠存放大量的視頻資源信息，轉(zhuǎn)發(fā)服務(wù)器進行數(shù)據(jù)的轉(zhuǎn)發(fā)，控制服務(wù)器用于主要數(shù)據(jù)的控制，審計服務(wù)器是審計系統(tǒng)的一部分，網(wǎng)管系統(tǒng)對整個監(jiān)控系統(tǒng)進行詳細的管理，前端服務(wù)器主要進行的是消除影響，建立一個完整的監(jiān)控系統(tǒng)。

在整個監(jiān)控系統(tǒng)，安全性是設(shè)計者進行設(shè)計需要考慮的重要因素，不能讓自己的監(jiān)控視頻資源落入其他人的手中，安全的系統(tǒng)機制是保證視頻可以正常的營運，在現(xiàn)在網(wǎng)絡(luò)社會中，安全的監(jiān)控系統(tǒng)也面臨著巨大的挑戰(zhàn)，現(xiàn)代化的監(jiān)控系統(tǒng)不能和傳統(tǒng)的監(jiān)控系統(tǒng)那樣進行小地區(qū)的隔離，現(xiàn)代化的監(jiān)控系統(tǒng)是連接在網(wǎng)絡(luò)上，任何地區(qū)的人都可以通過網(wǎng)絡(luò)找到這個監(jiān)控系統(tǒng)，從而去竊取視頻資源，這就需要在設(shè)計的過程中盡可能的完善內(nèi)部結(jié)構(gòu)，完善自身系統(tǒng)的服務(wù)器和網(wǎng)絡(luò)接觸的信任點，就目前的技術(shù)而言，主要是解決以下幾個問題：（1）網(wǎng)絡(luò)訪問身份認證。主要是防止攻擊者冒充身份進行訪問，防止不法分子對視頻監(jiān)控系統(tǒng)的篡改。（2）機密性。防止不具有訪問權(quán)限的人竊取視頻信息。（3）完整性。防止不法分子對視頻信息進行刪除或者是篡改。（4）授權(quán)。明確那些具有訪問權(quán)限，有效的杜絕其他的用戶訪問。（5）安全指引。安全指引是對分散的、獨立的、缺少安全通道，根據(jù)視頻系統(tǒng)協(xié)議機制，進一步加強安全通道的保護，保證網(wǎng)絡(luò)安全過程。（6）隱私性。隱私性主要是保護監(jiān)控數(shù)據(jù)的機密性，主要是為了防止其他不法人員查看視頻資源，保護視頻的信息和各個節(jié)點，起到保護視頻系統(tǒng)的作用。

1 基于VPN（虛擬專用網(wǎng)）與SIP（會話初始化協(xié)議）的閉合用戶群方案

1.1 什么叫閉合用戶群

閉合用戶群是幾個或者是幾十個視頻用戶共用一個視頻信息系統(tǒng)，其他人員不能對其中的視頻資源進行訪問。共同的使用群體內(nèi)的資源，方便了群組成員的使用。

在實際生活中，每個行業(yè)對于視頻監(jiān)控系統(tǒng)的需求是存在一定的差異，因此，在視頻的訪問中也有所不同。通過閉合用戶群的可以將各類資源得到最大利益化的使用。目前閉合用戶技術(shù)發(fā)展日益成熟，得到了各行各業(yè)的肯定，為各行各業(yè)的發(fā)展打下了堅實的基礎(chǔ)。

根據(jù)用戶的需求的不同，將閉合用戶群劃分為了兩種方案：一種是采用比較成熟的虛擬專用網(wǎng)，二是SIP（初始化協(xié)議）的呼叫控制，為每個用戶群定義應(yīng)該訪問的權(quán)限，并且只能是本群內(nèi)的用戶在特點的用戶群內(nèi)進行資源的共享。

在服務(wù)器中，SIP缺乏一整套安全機制，它能夠加強端到端的安全性跨越逐跳的安全體系。安全是視頻監(jiān)控系統(tǒng)最為基礎(chǔ)性的考慮，也是保證各行各業(yè)正常運用視頻資源的前提條件，關(guān)乎這一個企業(yè)或者是一個行業(yè)，甚至是一個國家的興衰，在視頻安全系統(tǒng)中SIP已經(jīng)有了關(guān)于視頻安全系統(tǒng)的詳細解釋，應(yīng)對應(yīng)方式的身份識別和通過閉合用戶群誕生出兩種方案對SIP用戶群體進行保護，但是他們對源頭的保護SIP消息是比較缺乏的。由于信息的連接點可能會修改SIP的源頭消息，通過逐跳的方式加強SIP傳輸過程中沿途的安全機制，所以逐跳的安全性重要就顯得十分的重要。

這樣我們就知道采用VPN建立的閉合用戶群相對來說安全性有大的保障，但是不便的就是用戶難以修改視頻的信息。采用SIP構(gòu)建閉合用戶群與用VPN構(gòu)建的閉合用戶群的作用恰恰相反，在這兩種方式的優(yōu)缺點的影響下，可以采用網(wǎng)絡(luò)層（IPSec）和傳輸層（TLS）的雙重安全機制，來提高信息在傳輸中進行逐跳的安全性，保護SIP會話在傳輸資源時的信號通道。

在實際的應(yīng)用中大部分用戶采用的是如圖2和圖3所示的方案，能夠鞏固信息在傳遞過程中逐跳的安全性能，保證控制系統(tǒng)一直處于安全狀態(tài)。

1.2 SIP和DIAMETER的認證授權(quán)

SIP是靈活性的用戶群體，可以防止非法人員的入侵，能夠有效的保護系統(tǒng)內(nèi)的視頻資源。SIP協(xié)議是專門為了SIP的安全制定的，進行認證需要MAR和MAA的指令，為了保護系統(tǒng)的安全性，SIP的請求需要經(jīng)過SIP協(xié)議的判斷進行詳細的認證，在認證中需要完成以下幾個步驟：首先是SIP用戶發(fā)出的SIP請求。其次是SIP永和的使用算術(shù)進行計算，發(fā)送帶有MD5的信息給SIP請求，并發(fā)到下面小的系統(tǒng)上。再次系統(tǒng)根據(jù)永和提供的用戶名和密碼進行下一步的認證工作。最后根據(jù)認證的結(jié)果的是與否，決定用戶是否能夠訪問系統(tǒng)內(nèi)的視頻資源。SIP協(xié)議的授權(quán)和認證是獨立起來的，通過對用戶的認證是否合法，然后做出下一步能否訪問資源的決定，能夠有效的保護了系統(tǒng)內(nèi)部資源的安全性，并且用戶在使用的過程中也是十分的方便快捷。

2 動態(tài)密鑰為基礎(chǔ)的媒體流私密方案

為了視頻數(shù)據(jù)的安全性和實用性，要不斷對最前端視頻數(shù)據(jù)進行加密處理，選擇合理有效加密的方法。來滿足實時性要求，采用的視頻數(shù)據(jù)加密算法對視頻設(shè)備采集到的視頻數(shù)據(jù)進行加權(quán)加密處理，需要定期更新加密的方式方法，來有效的保護和傳輸DES密鑰，防止黑客等不法分子對系統(tǒng)的攻擊。此方法其實簡單直接，能大大地提高系統(tǒng)的安全性，但是視頻數(shù)據(jù)占用的內(nèi)存相當(dāng)?shù)拇螅考用埽瑢τ谙到y(tǒng)來說是一個相當(dāng)大的負擔(dān)，在實施的過程中有一定的難度。

3 基于SNMPv3的系統(tǒng)管理

利用簡單網(wǎng)絡(luò)管理協(xié)議有效的管理了系統(tǒng)的安全性，SNMPv3在安全方面已經(jīng)基本上滿足了大規(guī)模可運營級視頻監(jiān)控系統(tǒng)在大規(guī)模運行和安全上的整體要求。

4 結(jié)束語

本文主要介紹了大規(guī)模網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是如何在復(fù)雜的環(huán)境中增強安全性能的。分析了VPN和SIP相結(jié)合起來在視頻系統(tǒng)中的安全作用，以及在現(xiàn)實生活中的應(yīng)用性。詳細的介紹了密鑰的不斷地更新在視頻信息系統(tǒng)中的應(yīng)用，SNMPv3的網(wǎng)絡(luò)系統(tǒng)是如何保證管理信息的安全性，詳盡介紹了審計服務(wù)器的輔助作用，輔助增強了系統(tǒng)的安全性，總之，隨著科技的進步通過對視頻資源的不斷地加密和保護，大規(guī)模可運營視頻監(jiān)控網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)有了顯著的提高。

參考文獻

篇（5）

 

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點 

校園網(wǎng)的設(shè)計應(yīng)具備以下特點： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經(jīng)濟實用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應(yīng)實行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進/出的數(shù)據(jù)包進行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個方面： 

篇（6）

Abstract: With the rapid development of the dam construction technology, the use of in-depth development of waterpower resources, dam safety problems have become increasingly prominent. Relevant scholars, experts have also launched the research of dam safety monitoring technology. This paper mainly uses the network technology, communication, public telephone network and the wired data communication, wireless communication, fiber communication and high speed communication analysis. Reliable design, complementary development technology to improve the level of automation, to achieve a truly "unattended, control mode and fewer people watch", has brought great convenience and benefit for the scientific management of reservoir.

Key words: dam monitoring; network technology; communication; automation

中圖分類號：TN830.1文獻標(biāo)識碼：A 文章編號：

1、前言

在大壩安全監(jiān)測自動化控制系統(tǒng)中常常由于現(xiàn)場施工條件較為復(fù)雜，現(xiàn)場網(wǎng)絡(luò)通信通常需結(jié)合采用雙絞線、光纖、電話線、無線方式等進行數(shù)據(jù)傳輸，各種通信方式也可混合使用。當(dāng)采用線纜跨越建筑物或障礙物有困難時，可采用無線通信方式；當(dāng)對現(xiàn)場通信要求很高或現(xiàn)場電磁干擾嚴(yán)重影響通信質(zhì)量時，可采用光纖通信方式；當(dāng)現(xiàn)場通信的線路很長時（如區(qū)域地形復(fù)雜的流域梯級電站），可采用有線電話網(wǎng)進行通信。

現(xiàn)場網(wǎng)絡(luò)通信應(yīng)按以下要求進行設(shè)計：

（1） 現(xiàn)場網(wǎng)絡(luò)通信包括監(jiān)測站之間和監(jiān)測站與監(jiān)測管理站之間的數(shù)據(jù)通信。應(yīng)根據(jù)工程的實際需求在保證通信質(zhì)量的前提下，選擇實用經(jīng)濟、維護方便的通信方式；

（2） 監(jiān)測站之間和監(jiān)測站與監(jiān)測管理站之間可采用雙絞線、光纖、電話線、無線連接；

（3） 現(xiàn)場通信線路布設(shè)時必須考慮預(yù)防雷電感應(yīng)對系統(tǒng)可能的影響，應(yīng)做好線纜的防護接地。

由于工程現(xiàn)場環(huán)境本身的多樣性和復(fù)雜性，加上管理部門對管理現(xiàn)代化的需求和將監(jiān)測管理站后移至監(jiān)測管理中心站的趨勢，現(xiàn)場網(wǎng)絡(luò)的構(gòu)建方式變得更加多樣化。下面幾種組網(wǎng)方式可供參考。

2、系統(tǒng)總體結(jié)構(gòu)概述

大壩安全監(jiān)測系統(tǒng)應(yīng)用傳感器、自動監(jiān)測、通訊及計算機等技術(shù)，實現(xiàn)實時大壩安全監(jiān)測信息自動數(shù)據(jù)采集、傳輸、處理入庫等，為大壩安全運行提供科學(xué)依據(jù)。實時監(jiān)測表面變形、內(nèi)部變形、接縫、混凝土面板變形、滲流量、壩基滲流壓力、壩體滲流壓力、繞壩滲流、混凝土面板應(yīng)力、環(huán)境量監(jiān)測及水力學(xué)等項目，使水庫大壩安全診斷工作及資料存貯、查尋和輸出等工作自動化。

系統(tǒng)從結(jié)構(gòu)上分為：集中式、分布式和現(xiàn)場總線式。

1公用電話網(wǎng)通信

這是一種通用的現(xiàn)場網(wǎng)絡(luò)通信方式，特別適合于現(xiàn)場條件復(fù)雜、通信設(shè)施敷設(shè)困難的中小型電站和梯級電站，其傳輸距離與電話線路有關(guān)。

2有線數(shù)據(jù)通信

這是一種最常用的現(xiàn)場網(wǎng)絡(luò)通信方式，采用雙絞通信線，通信距離1200m，加中繼可延伸。

3無線通信

當(dāng)現(xiàn)場不便于（或不允許、不可能）敷設(shè)纜線，或采用纜線不經(jīng)濟（如沿堤壩、渠道等建筑物設(shè)置的監(jiān)測點相隔距離達數(shù)公里）時，可考慮采用無線通信方式。

4光纖通信

光纖通信方式在現(xiàn)場網(wǎng)絡(luò)通信中得到了快速發(fā)展，其應(yīng)用模式有如下幾種：

1） 雙絞線＋光纖通信方式

這種通信方式是在數(shù)據(jù)采集裝置DAU之間采用雙絞線連接，從設(shè)置有DAU的監(jiān)測站到監(jiān)測管理站采用光纖連接。整個現(xiàn)場網(wǎng)絡(luò)運行RS-485串行數(shù)據(jù)接口標(biāo)準(zhǔn)。由于從監(jiān)測站到監(jiān)測管理站采用光纖連接，監(jiān)測管理站與監(jiān)測站的距離有可能延伸到數(shù)公里至數(shù)十公里，實現(xiàn)監(jiān)測管理站后移至監(jiān)測管理中心站。

2） 全光纖通信方式

全光纖通信方式是在數(shù)據(jù)采集裝置DAU之間，以及設(shè)置有DAU的監(jiān)測站到監(jiān)測管理站全部采用光纖連接。整個現(xiàn)場網(wǎng)絡(luò)仍運行RS-485串行數(shù)據(jù)接口標(biāo)準(zhǔn)。全光纖通信方式適合于對系統(tǒng)要求可靠性很高、現(xiàn)場電磁干擾嚴(yán)重的工程，它同樣可以將監(jiān)測管理站后移至數(shù)公里至數(shù)十公里外的監(jiān)測管理中心站。

5高速通信方式

當(dāng)今網(wǎng)絡(luò)技術(shù)的快速發(fā)展促進了現(xiàn)場網(wǎng)絡(luò)的變革，以以太網(wǎng)（Ethernet）為代表的高速網(wǎng)絡(luò)技術(shù)正向低速的現(xiàn)場網(wǎng)絡(luò)擴展。計算機局域網(wǎng)運行TCP/IP協(xié)議，其通信速率可達10Mbps、100Mbps、甚至1000Mbps，遠比通信速率僅為1.2Kbps～2.4Kbps的現(xiàn)場網(wǎng)絡(luò)高出千百倍。

現(xiàn)代大壩安全管理模式對監(jiān)測自動化系統(tǒng)提出了新的要求，高速網(wǎng)絡(luò)引入大壩安全監(jiān)測自動化系統(tǒng)已成為發(fā)展趨勢。目前比較成功應(yīng)用的一種模式是采用專線光纖實現(xiàn)監(jiān)測管理站和監(jiān)測站之間的遠距離高速連接，監(jiān)測站之間仍采用RS-485通信方式，其結(jié)構(gòu)框圖如下。

篇（7）

當(dāng)今社會，人們獲取信息的重要途徑就是計算機網(wǎng)絡(luò)，在計算機網(wǎng)絡(luò)發(fā)展的同時也存在一些安全隱患，它不會通過安全的體系設(shè)計方案進行解決，比如非法訪問用戶賬戶、干擾計算機網(wǎng)絡(luò)的正常運行、破壞數(shù)據(jù)的完整性，傳播網(wǎng)絡(luò)病毒，進行數(shù)據(jù)盜取等。醫(yī)院要想計算機網(wǎng)絡(luò)消除安全方面的隱患，需要先對影響計算機安全的因素有個大體的了解。下面就講解了影響醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)安全的因素。

一、影響醫(yī)院信息系統(tǒng)安全的因素

1．自身系統(tǒng)及軟硬件的不穩(wěn)定

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)不可避免的會出現(xiàn)安全漏洞。信息網(wǎng)絡(luò)系統(tǒng)最容易出現(xiàn)漏洞的方面有調(diào)用RPC漏洞，緩沖區(qū)溢出漏洞。信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫也比較容易受到攻擊。信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的漏洞被利用后，可能會遭受遠程攻擊。應(yīng)用軟件具有一定的軟件缺陷，這種缺陷可以存在于小程序中，也可以存在于大型的軟件系統(tǒng)中。軟件的缺陷導(dǎo)致了醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險。網(wǎng)絡(luò)硬盤設(shè)備方面也存著在缺陷，網(wǎng)絡(luò)硬盤作為信息傳遞中重要的硬件設(shè)備，在被人們使用的同時也存在著安全隱患，它包含的電磁信息泄露是主要的安全隱患。網(wǎng)絡(luò)硬盤與計算機信息網(wǎng)絡(luò)系統(tǒng)組成的不牢固也能造出計算機信息網(wǎng)絡(luò)系統(tǒng)安全隱患。

2．網(wǎng)絡(luò)病毒的惡意傳播

現(xiàn)在網(wǎng)絡(luò)病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動程序，它往往會隱藏在醫(yī)院計算機的操作系統(tǒng)中，對用戶資料進行竊取。而蠕蟲病毒比木馬病毒更高級一些，它的傳播可以通過操作系統(tǒng)以及軟件程序的漏洞進行主動攻擊，傳播途徑非常廣泛，每一個蠕蟲病毒都帶有檢查計算機電腦是否有系統(tǒng)及軟件漏洞的模塊，如果發(fā)現(xiàn)電腦含有漏洞，立刻啟動傳播程序傳播出去，它的這一特點，使危害性比木馬病毒大的多，在一臺電腦感染了蠕蟲病毒后，通過這個電腦迅速的傳播到、該電腦所在網(wǎng)絡(luò)的其他電腦中，電腦被感染蠕蟲病毒后，會接受蠕蟲病毒發(fā)送的數(shù)據(jù)包，被感染的電腦由于過多的無關(guān)數(shù)據(jù)降低了自己的運行速度，或者造成CPU內(nèi)存占用率過高而死機。漏洞型病毒傳播方法主要通過微軟windows操作系統(tǒng)。由于windows操作系統(tǒng)漏洞很多或者用戶沒有及時的進行windows系統(tǒng)的自身更新，造成了漏洞型病毒趁虛而入，攻占醫(yī)院的計算機電腦。計算機技術(shù)在更新?lián)Q代，病毒技術(shù)也在發(fā)展變化，現(xiàn)在的網(wǎng)絡(luò)病毒不像以前的計算機病毒，現(xiàn)在的病毒有的可以通過多種途徑共同傳播，比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對網(wǎng)絡(luò)的危害性更大，處理查殺起來也比較困難。

3．人為惡意攻擊

人為的惡意攻擊是醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)面臨的最大安全風(fēng)險，人為的惡意攻擊可以分為主動攻擊和被動攻擊，主動攻擊是有選擇的通過各種形式破壞信息網(wǎng)絡(luò)系統(tǒng)的完整性和有效性；被動攻擊是在不影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)正常運行的情況下，進行數(shù)據(jù)信息的竊取、截獲以及尋找重要的機密文件。它們都對醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)造成了巨大的危害。

二、保護醫(yī)院信息系統(tǒng)安全的措施

1．建立防火墻防御技術(shù)

防火墻設(shè)計的理念是防止計算機網(wǎng)絡(luò)信息泄露，它通過既定的網(wǎng)絡(luò)安全策略，對網(wǎng)內(nèi)外通信實施強制性的訪問控制，借此來保護計算機網(wǎng)絡(luò)安全。它對網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進行安全檢查，監(jiān)視計算機網(wǎng)絡(luò)的運行狀態(tài)。一個完整的防火墻保護體系可以很好的阻止威脅計算機的用戶及其數(shù)據(jù)，阻止黑客通過病毒程序訪問自己的電腦網(wǎng)絡(luò)，防止不安全因素擴散到電腦所在的局域網(wǎng)絡(luò)。通過將用戶電腦的使用賬戶密碼設(shè)置的高級些，，禁用或者刪除無用的賬號，不定期進行賬號密碼的修改都可以很好的防止病毒侵入。由于網(wǎng)絡(luò)入侵者的實時性、動態(tài)性，所以在計算機網(wǎng)絡(luò)中防火墻軟件要做到實時監(jiān)控的要求。防火墻的實時監(jiān)控技術(shù)通過過濾在調(diào)用前的所以程序，發(fā)現(xiàn)含有破壞網(wǎng)絡(luò)安全的程序文件，并發(fā)出警報，對可疑程序進行查殺，將網(wǎng)絡(luò)入侵者阻攔，使計算機免受其害。

2.采用特征碼技術(shù)

目前的查殺病毒采用方法主流是通過結(jié)合特征碼查毒和人工解毒。當(dāng)搜查病毒時采用特征碼技術(shù)查毒，在殺除清理的時候采用人工編制解毒技術(shù)。特征碼查毒技術(shù)體現(xiàn)了人工識別病毒的基本方法，它是人工查毒的簡單描述，按照“病毒中某一類代碼相同”的原則進行查殺病毒。當(dāng)病毒的種類和變形病毒有相關(guān)同一性時，可以使用這種特性進行程序代碼比較，然后查找出病毒。但是描述特征碼不能用于所有的病毒，許多的病毒很難被特征碼進行描述或者根本描述不出來。在使用特征碼技術(shù)時，一些補充功能需要一同使用，比如壓縮包和壓縮可執(zhí)行性文件的自動查殺技術(shù)。

3．其他網(wǎng)絡(luò)安全保護對策

加密技術(shù)通過將醫(yī)院計算機信息網(wǎng)絡(luò)系統(tǒng)的可讀信息變?yōu)槊芪膩肀Ｗo網(wǎng)絡(luò)安全。IP地址影響著用戶的計算機網(wǎng)絡(luò)安全，網(wǎng)絡(luò)黑客通過特殊的網(wǎng)絡(luò)探測手段抓取用戶IP，然后對此發(fā)送網(wǎng)絡(luò)攻擊。對IP進行隱藏是指通過用戶服務(wù)器上網(wǎng)，防止了網(wǎng)絡(luò)黑客獲取自己的IP。關(guān)閉電腦中不必要的端口也可以有效防范黑客的入侵，還能提高系統(tǒng)的資源利用率。對自己的賬號密碼進行定期、不定期的更改，然后設(shè)置賬號密碼保護問題，可以在第一道防線阻止網(wǎng)絡(luò)黑客的入侵。及時更新計算機操作系統(tǒng)和應(yīng)用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護網(wǎng)絡(luò)安全軟件，對保護網(wǎng)絡(luò)安全的軟件進行及時更新。

總結(jié)

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全與醫(yī)院的經(jīng)濟效益息息相關(guān)。影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的因素是多方面的，網(wǎng)絡(luò)病毒也在不斷發(fā)展進化，面對這種嚴(yán)峻的形勢，我們不能只采用單一的防范措施，而是采用多種保護醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的措施，相互協(xié)調(diào)，發(fā)揮優(yōu)勢，揚長避短，保證醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)在防范風(fēng)險方面取得較好的效果。

參考文獻：

[1]王鑫.關(guān)于醫(yī)院網(wǎng)絡(luò)環(huán)境下計算機安全的防范技術(shù)[J].計算機與數(shù)字工程，2009

篇（8）

2010年，伊朗核電站遭受“Stuxnet（震網(wǎng)）”蠕蟲病毒攻擊，打開了網(wǎng)絡(luò)攻擊癱瘓實體空間的大門，關(guān)鍵性基礎(chǔ)設(shè)施的安全成為全世界關(guān)注的焦點。2015年，烏克蘭電網(wǎng)系統(tǒng)遭“Black Energy（黑暗力量）”的攻擊。業(yè)內(nèi)人士指出，支撐能源、通信、電力、金融、交通等重要行業(yè)運行的關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)戰(zhàn)的首選目標(biāo)。工廠使用的控制電腦的軟件一般都是特別定制版，而且不與外部互聯(lián)網(wǎng)聯(lián)通。但在黑客面前，物理隔絕并非不可逾越的天塹，通過局域網(wǎng)和USB接口進行傳播，定點干擾工業(yè)控制軟件的病毒早已產(chǎn)生，甚至通過發(fā)熱量、輻射、風(fēng)扇噪聲等入侵物理隔離網(wǎng)絡(luò)的案例也已出現(xiàn)。工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為焦點，各國均加大了在該領(lǐng)域的投資。

工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全隱患尤為突出

我國信息網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護能力薄弱。“震網(wǎng)”病毒事件后，據(jù)權(quán)威部門統(tǒng)計，我國工業(yè)系統(tǒng)100%使用西門子工業(yè)控制系統(tǒng)，這意味著我國的工業(yè)控制系統(tǒng)存在網(wǎng)絡(luò)安全隱患。尤其是隨著工業(yè)化與信息化進程的不斷交叉融合，以及物聯(lián)網(wǎng)的快速發(fā)展，越來越多的信息技術(shù)應(yīng)用到工業(yè)領(lǐng)域。我國已經(jīng)將數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運用于電力、工業(yè)、能源、交通、水利、市政等領(lǐng)域，甚至直接用于控制生產(chǎn)設(shè)備的運行。“中國制造2025”戰(zhàn)略的提出，使得國內(nèi)工業(yè)控制領(lǐng)域正在發(fā)生重大的變革。同時，由于我國大規(guī)模使用國外的網(wǎng)絡(luò)信息關(guān)鍵產(chǎn)品，在短期內(nèi)很難完全替代它們，工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為事關(guān)國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展的大問題。

先進工控安全領(lǐng)域創(chuàng)業(yè)公司涌現(xiàn)，發(fā)展模式引人注目

近兩年，一些有識之士充分認識到，工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全的需求日益凸顯，因此必須整合信息安全與自動化方面的人才，專注工控安全領(lǐng)域網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)。這類典型廠商包括北京網(wǎng)藤科技有限公司、北京威努特技術(shù)有限公司、北京匡恩網(wǎng)絡(luò)科技有限公司等。這類公司的特點是100%的業(yè)務(wù)都是工控安全，全力投入到工控安全行業(yè)。

其中，網(wǎng)藤科技是工控安全領(lǐng)域的一匹黑馬，成立于2016年3月，團隊均來自工控安全領(lǐng)域頂尖的企業(yè)。公司的組織結(jié)構(gòu)具有包容、開放、共享的特色，業(yè)務(wù)以工業(yè)控制網(wǎng)絡(luò)安全為核心，深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業(yè)，提供覆蓋設(shè)備檢測、安全服務(wù)、威脅管理、安全數(shù)據(jù)庫、智能保護、檢測審計的自主、可控、安全的生命全周期解決方案。公司旗下的主打產(chǎn)品工控安全防護系統(tǒng)為針對工業(yè)網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)，通過公安部權(quán)威檢測，達到NIPS國標(biāo)一級；工控安全審計系統(tǒng)為針對工業(yè)網(wǎng)絡(luò)安全的信息審計系統(tǒng)，通過公安部權(quán)威檢測，達到網(wǎng)絡(luò)通信安全審計行標(biāo)增強級。

工控領(lǐng)域網(wǎng)絡(luò)安全廠商任重道遠

篇（9）

1前言

隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實踐，制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多，隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個國家經(jīng)濟命脈，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會引發(fā)直接的人員傷亡和財產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護思路，系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性，以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù)，并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀，從技術(shù)設(shè)計和管理系統(tǒng)建設(shè)兩個方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。

2工業(yè)信息安全概述

2.1工控網(wǎng)絡(luò)的特點

工業(yè)控制系統(tǒng)是指各種自動化組件、過程監(jiān)控組件共同構(gòu)成的以完成實時數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測控制的管控系統(tǒng)，也可以說工業(yè)控制系統(tǒng)是控制技術(shù)（Control）、計算機技術(shù)（Computer）、通信技術(shù)（Communication）、圖形顯示技術(shù)（CRT）和網(wǎng)絡(luò)技術(shù)（Network）相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動控制系統(tǒng)網(wǎng)絡(luò)安全，涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域，其中超過60%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施（如公路、軌道交通等）都依靠工控系統(tǒng)來實現(xiàn)自動化作業(yè)。

2.2國內(nèi)外工業(yè)安全典型事件

眾所周知，工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分，近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展，使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標(biāo)，不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。（1）美國列車信號燈宕機事件2003年發(fā)生在美國佛羅里達州鐵路服務(wù)公司的計算機遭遇震網(wǎng)病毒感染，導(dǎo)致美國東部海岸的列車信號燈系統(tǒng)瞬間宕機，部分地區(qū)的高速環(huán)線停運。這次事件主要是由于感染震網(wǎng)病毒引起的，而這種病毒常被用來定向攻擊基礎(chǔ)（能源）設(shè)施，比如國家電網(wǎng)、水壩、核電站等。（2）烏克蘭電網(wǎng)攻擊事件2015年，烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電，調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓造成停電事故。（3）舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統(tǒng)，造成上千臺服務(wù)器和工作站感染勒索病毒，數(shù)據(jù)全部被加密，售票系統(tǒng)全面癱瘓。其實國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業(yè)務(wù)系統(tǒng)里面的一些工作站，例如在軌道交通行業(yè)里的典型系統(tǒng)：綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號系統(tǒng)等，其中大部分是由于移動接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險。從以上事件可以看出，攻擊者要發(fā)動網(wǎng)絡(luò)攻擊只需發(fā)送一個普通的病毒就可以達到目的，隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn)，讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財產(chǎn)安全正遭受著嚴(yán)重的威脅。

2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范

作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)，正面臨著來自網(wǎng)絡(luò)攻擊等的威脅，為此針對工控網(wǎng)絡(luò)安全，我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器（PLC）第1部分：系統(tǒng)要求》等多項國家標(biāo)準(zhǔn)[2]。同年，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點，分別從技術(shù)防護和管理設(shè)計兩方面來對工業(yè)控制系統(tǒng)的安全防護提出建設(shè)防護要求。2017年6月，《網(wǎng)絡(luò)安全法》開始實施，網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測、評估以及防護和管理等要求，促進了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。

3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

軌道交通信號系統(tǒng)（CBTC）是基于通信技術(shù)的列車控制系統(tǒng)，該系統(tǒng)依靠通信技術(shù)實現(xiàn)“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題：（1）網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高，各個子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切，根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場，根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個子系統(tǒng)，各區(qū)域之間沒有做好訪問控制措施，缺失入侵防范和監(jiān)測的舉措。各個子系統(tǒng)之間一般都是互聯(lián)互通的，不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。（2）網(wǎng)絡(luò)異常查不到針對CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強，沒有專門的設(shè)備去檢測的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計記錄和追溯的手段，等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對流量進行實時監(jiān)測和記錄，不能及時發(fā)現(xiàn)高級持續(xù)威脅、不能有效應(yīng)對攻擊、不能及時發(fā)現(xiàn)各種異常操作。（3）工作站、服務(wù)器無防護CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng)，還有一部分Linux系列的操作系統(tǒng)，系統(tǒng)建設(shè)之初基本不會對工作站和服務(wù)器的操作系統(tǒng)進行升級，操作系統(tǒng)在使用過程中不斷暴露漏洞，而系統(tǒng)漏洞又無法得到及時的修復(fù)，這都會導(dǎo)致工作站和服務(wù)器面臨風(fēng)險。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù)，沒有加強系統(tǒng)的密碼策略。除此之外，運維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件，也可能會開啟操作系統(tǒng)的遠程功能，上線后也不會關(guān)閉此功能，這些操作都會使得系統(tǒng)配置簡單，更容易受到攻擊。目前在CBTC系統(tǒng)各個區(qū)域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設(shè)備的接入行為進行管控，隨意使用移動存儲介質(zhì)的現(xiàn)象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。（4）運維管理不完善單位內(nèi)安全組織機構(gòu)人員職責(zé)不完善，缺乏專業(yè)的人員。沒有針對信號系統(tǒng)成立專門的安全管理部門，未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求，也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運維工作外包給第三方人員后并無相關(guān)的審計和監(jiān)控措施，當(dāng)?shù)谌竭\維人員進行設(shè)備維護時，業(yè)務(wù)系統(tǒng)的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發(fā)生事故無法及時準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離，基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后，工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實現(xiàn)，因此做好邊界保護尤為重要。

4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系

工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定，從安全層面來看要符合國家級防護的相關(guān)要求，全面規(guī)劃設(shè)計網(wǎng)絡(luò)安全保障體系，使得工控體系符合相關(guān)安全標(biāo)準(zhǔn)，確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護體系，通過管理和技術(shù)實現(xiàn)主被動安全相結(jié)合，有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計不同的項目技術(shù)方案，從技術(shù)角度來識別系統(tǒng)的安全風(fēng)險，依據(jù)系統(tǒng)架構(gòu)來設(shè)計安全加固措施，同時還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系，來確保整體業(yè)務(wù)系統(tǒng)的安全有效運行。

4.1邊界訪問控制

考慮到資產(chǎn)的價值、重要性、部署位置、系統(tǒng)功能、控制對象等要素，我們將軌道交通信號系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個子安全域，根據(jù)CBTC業(yè)務(wù)的重要性、實時性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對現(xiàn)場受控設(shè)備的影響程度等，將工控網(wǎng)絡(luò)劃分成不同的安全防護區(qū)域，所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實現(xiàn)工業(yè)現(xiàn)場中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認證管理，使得只有獲得授權(quán)的用戶才能對現(xiàn)場設(shè)備進行數(shù)據(jù)更新、參數(shù)設(shè)定，在控制設(shè)備及監(jiān)控設(shè)備上運行程序、標(biāo)識相應(yīng)的數(shù)據(jù)集合等操作，防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測與審計網(wǎng)絡(luò)入侵檢測主要用于檢測網(wǎng)絡(luò)中的惡意探測和惡意攻擊行為，常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設(shè)備掃描探測操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用，及時發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞，提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時發(fā)現(xiàn)識別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數(shù)據(jù)庫訪問審計以及所有設(shè)備和系統(tǒng)的日志審計，主要體現(xiàn)在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內(nèi)容需要包括事件發(fā)生的確切時間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。

4.3建立統(tǒng)一監(jiān)測管理平臺

根據(jù)等級保護制度要求規(guī)定，重要等級在第二級以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心，通過統(tǒng)一安全管理平臺能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運行狀況、安全日志、配置策略進行集中監(jiān)測、采集、日志范化和歸并處理，平臺可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系，形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單，從而可以及時識別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標(biāo)告警閾值，觸發(fā)告警并記錄，對各類報警和日志信息進行關(guān)聯(lián)分析和預(yù)警通報。

4.4編制網(wǎng)絡(luò)安全管理制度

設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位，制定總體安全方針，指明組織機構(gòu)的總體目標(biāo)和工作原則。對于安全管理成員的角色設(shè)計需按三權(quán)分立的原則來規(guī)劃并落實，必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經(jīng)過上層組織機構(gòu)評審和正式，保持對下發(fā)制度的定期評審和落實情況的核查。由專人來負責(zé)單位內(nèi)人員的招聘錄用工作，對人員的專業(yè)能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范，編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級與備案、方案設(shè)計、開發(fā)與實施、驗收與測試以及完成系統(tǒng)交付的整個生命周期。針對不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設(shè)，制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險管理等方面的規(guī)范要求，對于機房等辦公區(qū)域的人員進出、設(shè)備進出進行記錄和控制，建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為，保存相關(guān)的資產(chǎn)清單，對各種軟硬件資產(chǎn)做好定期維護，對資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對漏洞做好風(fēng)險管理，針對發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對措施，形成書面記錄和總結(jié)報告。在第三方外包人員管理方面應(yīng)該與外包運維服務(wù)商簽訂第三方運維服務(wù)協(xié)議，協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。

5結(jié)束語

由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢，近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度，并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對安全風(fēng)險，業(yè)務(wù)主管部門還應(yīng)進一步強化網(wǎng)絡(luò)安全意識，開展網(wǎng)絡(luò)安全評估，制定網(wǎng)絡(luò)安全策略，提高工控網(wǎng)絡(luò)安全水平，確保業(yè)務(wù)的安全穩(wěn)定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業(yè)控制系統(tǒng)（ICS）的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（4）.

篇（10）

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術(shù)要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理。

1.1.2 技術(shù)要求

要求分為5個方面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。下面就這5個方面進行簡單介紹。

1）物理安全

規(guī)定了系統(tǒng)設(shè)備的物理環(huán)境，避免常見自然或人為災(zāi)害的影響。

2）網(wǎng)絡(luò)安全

結(jié)構(gòu)安全：規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進行網(wǎng)段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網(wǎng)絡(luò)的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設(shè)備，進行訪問控制；內(nèi)部嚴(yán)禁開通遠程撥號功能。

安全審計：集中審計運行情況、流量、用戶行為，便于分析問題以及數(shù)據(jù)恢復(fù)。

入侵防范：監(jiān)測網(wǎng)絡(luò)邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內(nèi)部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4）應(yīng)用安全

規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數(shù)據(jù)安全及備份恢復(fù)

規(guī)定了數(shù)據(jù)的完整性和保密性，以及備份數(shù)據(jù)的恢復(fù)。

1.2 TDCS現(xiàn)狀與四級差距

目前TDCS網(wǎng)絡(luò)安全建設(shè)相對于《國家信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》還存在著巨大的差距，其中如接入安全控制系統(tǒng)、指紋認證系統(tǒng)、網(wǎng)絡(luò)安全審計和IT資源集中安全管理等重要網(wǎng)絡(luò)安全子系統(tǒng)目前仍是空白，具體防護差距請見表1。

2 幾種網(wǎng)絡(luò)安全技術(shù)介紹

2.1 接入安全控制系統(tǒng)

接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分，部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，可以保護內(nèi)部計算機免受外來終端的危害，可禁止重要信息通過外設(shè)和USB 等端口泄漏，防范非法設(shè)備接入內(nèi)網(wǎng)等。

2.1.1 外設(shè)與接口管理

外設(shè)與接口管理主要對內(nèi)網(wǎng)終端計算機上的各種外設(shè)和接口進行管理。可以對內(nèi)網(wǎng)終端計算機上的各種外設(shè)和接口設(shè)置禁用，防止用戶非法使用。

2）本表嚴(yán)格依據(jù)國家《信息安全等級保護管理辦法》中4 級《信息系統(tǒng)安全等級保護基本要求》起草，表中8.x.x.x 編號為《基本要求》文件中實際編號.

1）存儲設(shè)備禁用

除了網(wǎng)絡(luò)外，另一個最可能帶來病毒入侵的方式就是存儲設(shè)備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲設(shè)備的使用：軟驅(qū)、光驅(qū)、存儲設(shè)備、移動硬盤等。

2）設(shè)置移動存儲設(shè)備只讀

內(nèi)網(wǎng)安全控制系統(tǒng)可以設(shè)置將移動存儲設(shè)備置于只讀狀態(tài)，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機監(jiān)測可以通過監(jiān)聽和主動探測等方式檢測網(wǎng)絡(luò)中所有在線的主機，并判別在線主機是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認證的信任主機。

2）主機授權(quán)認證

很多的計算機被病毒入侵，主要原因是自身的健壯性與否造成的。根據(jù)這種情況，內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡(luò)授權(quán)認證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識別在線主機是否安裝客戶端程序，并結(jié)合客戶端報告的主機補丁安裝情況，反病毒程序安裝和工作情況等信息，進行網(wǎng)絡(luò)的授權(quán)認證，只允許通過授權(quán)認證的主機使用網(wǎng)絡(luò)資源。

3）非法主機網(wǎng)絡(luò)阻斷

對于探測到的非法主機，內(nèi)網(wǎng)安全控制系統(tǒng)可以主動阻止其訪問任何網(wǎng)絡(luò)資源，從而保證非法主機不對網(wǎng)絡(luò)產(chǎn)生影響。

3 結(jié)束語

可以想像，未來的TDCS系統(tǒng)，應(yīng)該具備這樣幾個特點：第一，網(wǎng)絡(luò)是安全的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有精確識別人員身份，可以阻止內(nèi)部和外部攻擊，可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機接入和訪問。第二，網(wǎng)絡(luò)是穩(wěn)定的，體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有冗余性和自愈性及良好的通道。第三，網(wǎng)絡(luò)管理是高效地，體現(xiàn)在將有統(tǒng)一的管理設(shè)備可以將網(wǎng)絡(luò)管理功能覆蓋。

篇（11）

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,關(guān)于其網(wǎng)絡(luò)安全問題尤為突出。我國石油企業(yè)的現(xiàn)代化建設(shè)起步晚,企業(yè)計算機網(wǎng)絡(luò)環(huán)境相對脆弱,網(wǎng)絡(luò)安全容易受到多方面的因素影響。加之,在開放的互聯(lián)網(wǎng)平臺下,計算機網(wǎng)絡(luò)的安全問題呈現(xiàn)出多渠道、多層次的特點。因此,凈化網(wǎng)絡(luò)運行環(huán)境,尤其是設(shè)置有效的登錄控制,以及網(wǎng)絡(luò)防火墻,是實現(xiàn)安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。石油企業(yè)在現(xiàn)代化建設(shè)中,基于網(wǎng)絡(luò)安全問題的解決尤為重要。

1、石油企業(yè)計算機網(wǎng)絡(luò)中存在的安全隱患

1.1 網(wǎng)絡(luò)攻環(huán)境下的病毒與黑客入侵

石油企業(yè)計算機網(wǎng)絡(luò)的運行平臺,基于開放的互聯(lián)網(wǎng)環(huán)境。企業(yè)網(wǎng)絡(luò)中的漏洞,都會成為網(wǎng)絡(luò)攻擊的對象。黑客入侵就是基于網(wǎng)絡(luò)漏洞,對企業(yè)的網(wǎng)絡(luò)環(huán)境造成威脅。同時企業(yè)的網(wǎng)絡(luò)服務(wù)端以員工為主,所以網(wǎng)絡(luò)環(huán)境相對復(fù)雜,關(guān)于網(wǎng)頁的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網(wǎng)絡(luò)安全意識比較淡薄,對于網(wǎng)絡(luò)環(huán)境的潛在安全隱患缺乏重視,造成企業(yè)網(wǎng)絡(luò)安全環(huán)境比較復(fù)雜,易受外界入侵源的攻擊。

1.2 人為因素下的網(wǎng)絡(luò)安全問題

人為因素下的網(wǎng)絡(luò)安全問題,主要表現(xiàn)在網(wǎng)絡(luò)管理端和用戶端。員工作為主要的用戶端,諸多不當(dāng)?shù)木W(wǎng)絡(luò)操作,都會帶來安全隱患。同時,網(wǎng)絡(luò)管理員在安全管理中,關(guān)于數(shù)據(jù)接入端和服務(wù)器的管理力度缺乏,造成網(wǎng)絡(luò)數(shù)據(jù)管理上的不足。企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)平臺都設(shè)有權(quán)限,管理員在權(quán)限的設(shè)計上存在漏洞,在病毒的入侵下,造成局部網(wǎng)絡(luò)出現(xiàn)信息癱瘓的問題。

1.3 網(wǎng)絡(luò)連接的不規(guī)范,尤其是各系統(tǒng)間的網(wǎng)絡(luò)連接

石油企業(yè)在構(gòu)建信息化的管理平臺中,各管理系統(tǒng)的網(wǎng)絡(luò)一體化,是平臺構(gòu)建的核心內(nèi)容。企業(yè)在系統(tǒng)的連接中,缺乏網(wǎng)絡(luò)風(fēng)險的認識,信息系統(tǒng)與管理系統(tǒng)的連接,造成病毒對于管理網(wǎng)絡(luò)的入侵,最終造成整個網(wǎng)絡(luò)平臺的癱瘓。同時,網(wǎng)絡(luò)連接不規(guī)范,在構(gòu)建安全的以太網(wǎng)環(huán)境中,存在諸多安全的操作,諸如一臺computer構(gòu)建兩個以太網(wǎng),在病毒的入侵防范上比較欠缺。

1.4 企業(yè)缺乏完善的網(wǎng)絡(luò)安全管理

石油企業(yè)的信息平臺構(gòu)建,注重平臺的形式,而對平臺缺乏完善的后期維護,網(wǎng)絡(luò)安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對于網(wǎng)絡(luò)漏洞和軟件不能及時修補和升級。同時,對于用戶端的下載和網(wǎng)頁瀏覽,管理力度缺乏,用戶端可以基于各網(wǎng)絡(luò)站點,隨意的東西下載,造成內(nèi)部網(wǎng)絡(luò)的安全隱患。而且,對于登陸的密碼和賬號,員工隨意的共享或轉(zhuǎn)借,造成網(wǎng)絡(luò)運行中的各類隱患。

2、計算機網(wǎng)絡(luò)安全隱患的應(yīng)對措施

在石油企業(yè)的現(xiàn)代化進程中,計算機網(wǎng)絡(luò)安全問題顯得尤為突出。企業(yè)網(wǎng)絡(luò)安全問題主要來源于管理、網(wǎng)絡(luò)操作,以及網(wǎng)絡(luò)安全體系等方面。因此,在對于安全隱患的防范中,強化網(wǎng)絡(luò)安全管理,以構(gòu)建完善的防范體系,營造安全的網(wǎng)絡(luò)環(huán)境,加速企業(yè)信息平臺的構(gòu)建于完善。

2.1 強化網(wǎng)絡(luò)安全管理

石油企業(yè)的計算機網(wǎng)絡(luò)安全隱患,很大程度上源于安全管理不到位,尤其是網(wǎng)絡(luò)權(quán)限的控制,是強化安全管理的重要內(nèi)容。構(gòu)建完善的權(quán)限控制系統(tǒng),對用戶端進行有效的約束,進而凈化網(wǎng)絡(luò)運行環(huán)境。

2.1.1 構(gòu)建完善的權(quán)限控制系統(tǒng)

企業(yè)的計算機網(wǎng)絡(luò),在登錄端采用權(quán)限控制的方式,對網(wǎng)絡(luò)的使用進行保護。因而,企業(yè)網(wǎng)絡(luò)在安全管理的進程中,強化控制系統(tǒng)的構(gòu)建。系統(tǒng)主要針對密碼驗證、身份識別等內(nèi)容,形成完善的控制系統(tǒng)。在網(wǎng)絡(luò)的使用前,用戶端需要進行身份的認證后,才能進行相關(guān)網(wǎng)絡(luò)的使用。而且,對于身份認證失敗的用戶,可以將其列為黑名單,進行集中的安全管理,以針對性的防范該類用戶的登陸。于此,在權(quán)限控制系統(tǒng)的構(gòu)建中,要明確好登陸系統(tǒng)和控制系統(tǒng),兩系統(tǒng)同時進行網(wǎng)絡(luò)的保護,以凈化用戶端的網(wǎng)絡(luò)環(huán)境。

2.1.2 構(gòu)建網(wǎng)絡(luò)安全體系

企業(yè)網(wǎng)絡(luò)安全環(huán)境的營造,在于安全體系的構(gòu)建。基于網(wǎng)絡(luò)防火墻的構(gòu)建,強化外來網(wǎng)絡(luò)威脅的阻止,以營造安全的網(wǎng)絡(luò)環(huán)境。同時,基于復(fù)雜的用戶端,企業(yè)網(wǎng)絡(luò)環(huán)境相對薄落。于是,在安全體系的構(gòu)建中,以多級防護體系為主,形成多層保護機制,強化網(wǎng)絡(luò)安全管理的力度。對于網(wǎng)絡(luò)的數(shù)據(jù),做到封閉式的管理,關(guān)鍵的數(shù)據(jù)要進行加密處理,以防止信息的泄漏。

2.2 強化網(wǎng)絡(luò)設(shè)備的管理

企業(yè)的網(wǎng)絡(luò)設(shè)備是安全隱患預(yù)防的重要部分,尤其是對網(wǎng)絡(luò)主機或服務(wù)器,是強化網(wǎng)絡(luò)安全管理的重點。對于網(wǎng)絡(luò)的相關(guān)設(shè)備,進行妥善的管理,網(wǎng)絡(luò)的電纜線在鋪設(shè)和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸?shù)膯栴}。同時,對于相關(guān)的網(wǎng)絡(luò)軟件,進行及時的升級或修補,以防止網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞,這樣可以避免各類潛在的安全隱患。

2.3 建立網(wǎng)絡(luò)安全應(yīng)急機制

在開放的互聯(lián)網(wǎng)環(huán)境下,企業(yè)網(wǎng)路存在諸多的安全隱患。構(gòu)建網(wǎng)絡(luò)安全應(yīng)急機制,對于企業(yè)的信息管理系統(tǒng)具有重要的意義。基于完善的安全應(yīng)急機制,可以及時地對各類安全威脅進行處理,避免外來入侵源對于網(wǎng)絡(luò)平臺的深入攻擊。同時,對于重要的數(shù)據(jù)信息,要進行加密或備份,以應(yīng)對數(shù)據(jù)意外丟失的情況。在實際的網(wǎng)絡(luò)安全管理中,關(guān)于網(wǎng)絡(luò)運行環(huán)境的實時監(jiān)控,是及時發(fā)現(xiàn)系統(tǒng)漏洞或外來入侵源的重要工作。

2.4 強化用戶端的安全意識

隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,企業(yè)網(wǎng)絡(luò)的運行環(huán)境越來越復(fù)雜。企業(yè)用戶端在網(wǎng)絡(luò)的使用中,要強化其網(wǎng)絡(luò)安全意識,規(guī)范相關(guān)的上網(wǎng)操作,諸如網(wǎng)頁的瀏覽或數(shù)據(jù)的下載等活動,要在安全的環(huán)境下進行。同時,做好網(wǎng)絡(luò)安全的宣傳工作,強調(diào)網(wǎng)絡(luò)犯罪的嚴(yán)重性,進而約束員工的網(wǎng)絡(luò)活動。

3、結(jié)語

石油企業(yè)在現(xiàn)代化建設(shè)中,網(wǎng)絡(luò)信息平臺的構(gòu)建十分關(guān)鍵。而基于開放的互聯(lián)網(wǎng)環(huán)境,企業(yè)計算機網(wǎng)絡(luò)存在諸多的安全隱患,嚴(yán)重制約著企業(yè)信息平臺的構(gòu)建。因而,強化企業(yè)網(wǎng)絡(luò)安全管理,尤其是安全網(wǎng)絡(luò)體系的構(gòu)建,對于凈化網(wǎng)絡(luò)環(huán)境,防范網(wǎng)絡(luò)威脅,具有重要的作用。

參考文獻