導言：作為寫作愛好者，不可錯過為您精心挑選的10篇控制系統(tǒng)網(wǎng)絡安全，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

改革開放以來，我國石油化工企業(yè)的自動化和信息化水平，無論在裝備上、技術水平上、功能與規(guī)模上都有了較大的發(fā)展。測量和控制裝置不斷更新升級，DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]。而由DCS、PLC和FCS等控制系統(tǒng)構成的控制網(wǎng)絡在石化行業(yè)中也得到了廣泛的應用。

1.1過程控制系統(tǒng)網(wǎng)絡的特點過程控制系統(tǒng)的網(wǎng)絡與傳統(tǒng)的IT網(wǎng)絡不同，具有以下特點。1）較高的實時性和可靠性。過程控制系統(tǒng)網(wǎng)絡主要需要保證所有傳輸數(shù)據(jù)的實時性以及網(wǎng)絡的可靠性，在傳輸過程中不允許有中斷出現(xiàn)，需要整個傳輸過程始終在系統(tǒng)的可控范圍內(nèi)，不能出現(xiàn)失控的狀態(tài)。2）專有通信協(xié)議。早先每一個過程控制系統(tǒng)供應商都有自己獨自研發(fā)的專有通信協(xié)議，但隨著過程控制系統(tǒng)的網(wǎng)絡面逐漸擴大，而在彼此的通信傳輸中需要進行轉換，不同通訊協(xié)議導致的不便捷性逐漸顯露出來。近幾年隨著系統(tǒng)開放性呼聲越來越高，在行業(yè)內(nèi)部出現(xiàn)了一些開放的公用的專有通信協(xié)議，例如OPC，ModbusTCP，現(xiàn)場總線(Foundation／Hart／Profibus)等。3）相對的獨立性。過程控制系統(tǒng)通常都是根據(jù)工藝設備的要求而進行獨立設計，所以無論從前期網(wǎng)絡設計到實際物理安裝，整個控制系統(tǒng)網(wǎng)絡都是相當獨立的，不會與其他任何應用存在交聯(lián)部分。在與外界交互的通道上僅僅開放OPCServer一個接口，通過OPC工業(yè)通信協(xié)議與外部進行數(shù)據(jù)交換。4）較長的產(chǎn)品更新周期。過程控制系統(tǒng)產(chǎn)品不以追求設備的先進性為目標，更多地是強調(diào)安全性與穩(wěn)定性。所以結合實際工藝生產(chǎn)以及設備投資來進行綜合考慮，過程控制系統(tǒng)通常具有較長的更新周期，這樣就導致系統(tǒng)操作平臺的安全漏洞得不到及時的維護。5）與殺毒軟件兼容性差。目前市場上的殺毒軟件廠商基本都是針對常用的應用軟件進行兼容性測試，針對市場上使用頻率較高的軟件進行病毒防治策略的研究。而在網(wǎng)絡中基于Windows平臺上安裝的所有過程控制軟件，幾乎沒有殺毒軟件廠商對其進行過完整的兼容性測試。這種情況同樣也適應于過程控制系統(tǒng)制造商，各家控制系統(tǒng)制造商一般只認可少數(shù)幾種防病毒軟件，所以在工控領域的操作層級進行統(tǒng)一部署防護策略是一件很困難的事。

1.2過程控制系統(tǒng)網(wǎng)絡的風險點根據(jù)對過程控制系統(tǒng)結構的分析，通常易受病毒侵襲的主要風險點主要有“數(shù)據(jù)采集網(wǎng)絡的連接”，“先進過程控制站的連接”，“操作站”之間的三處連接。1）與數(shù)據(jù)采集網(wǎng)絡的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機，但無其他任何防護措施。雖然OPC數(shù)據(jù)采集機采用雙網(wǎng)卡配置，并已經(jīng)將控制網(wǎng)與信息網(wǎng)進行隔離，信息網(wǎng)已經(jīng)無法對控制網(wǎng)進行操縱攻擊，但是雙網(wǎng)卡結構的配置，對病毒的傳播沒有任何阻擋作用，所以來自上層信息網(wǎng)對控制網(wǎng)的病毒感染是目前的最大隱患。2）先進控制過程站的病毒感染隱患例如先進控制過程站通常可以由軟件供應商進行自由操作，先進控制過程站本身并無任何防護措施，具有較高的病毒感染風險。首先先進控制過程站的安裝、調(diào)試、運行一般需要較長的時間，而且需要項目工程師進行不斷的調(diào)試、修改。期間先進控制過程站需要頻繁與外界進行數(shù)據(jù)交換，這給先進控制過程站本身帶來很大感染病毒的風險。一旦先進控制過程站受到病毒感染，其對實時運行的控制系統(tǒng)安全會造成極大隱患。另外先進過程控制站是應用OPC通信協(xié)議進行數(shù)據(jù)通信的，所以采用常規(guī)IT策略（例如常規(guī)的通用防火墻）無法提供適宜的防護。3）操作站互相感染的隱患目前大多數(shù)操作站都運行一個工作網(wǎng)絡中，但在網(wǎng)絡內(nèi)部沒有采取任何有效防護措施。而工業(yè)平臺基本采用PC+Windows架構，同時也廣泛應用以太網(wǎng)進行連接，TCP，STMP，POP3，ICMP，Netbios等大量開放的通信協(xié)議被廣泛應用。但活躍在這些通訊協(xié)議上的木馬、蠕蟲等計算機病毒也具有一定的規(guī)模。目前普通的防火墻無法實現(xiàn)工業(yè)通信協(xié)議的過濾，所以當網(wǎng)絡中某個操作站或工程師站感染病毒時，可能會馬上通過數(shù)據(jù)交換傳播到該工作網(wǎng)絡中的其他PC機上，這就容易造成網(wǎng)絡上所有操作站同時發(fā)生故障，嚴重時可導致所有操作站同時失控，甚至造成不可估計的損失。

2防護措施與建議

通過考慮石油化工過程控制系統(tǒng)中的網(wǎng)絡架構和安全設計，同時參考保護層理論，列出了硬件、網(wǎng)絡通信預防手段、殺毒軟件預防手段、網(wǎng)絡管理規(guī)章制度、良好的個人工作習慣等多個“保護層”，下圖為石油化工過程控制系統(tǒng)網(wǎng)絡的安全防護洋蔥模型。圖1石油化工過程控制系統(tǒng)網(wǎng)絡的安全防護洋蔥模型根據(jù)上圖列出的各個風險點，可以參考以下措施進行有針對性的安全防護。

2.1設置防火墻相關單位或部門應該針對過程控制系統(tǒng)設置防火墻。防火墻是一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在網(wǎng)絡通信中采用防火墻，它能允許系統(tǒng)預設的人員和數(shù)據(jù)（白名單）進入你的網(wǎng)絡，同時將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門外，可以最大限度地阻止網(wǎng)絡中的黑客訪問公司內(nèi)部網(wǎng)絡，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造一道保護屏障，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm、瑞星個人防火墻、卡巴斯基等均有完善的白名單以及黑名單設置，管理員可以根據(jù)相應的軟件說明書和自身狀況進行詳細設置。

2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過程控制系統(tǒng)工業(yè)計算機上安裝相應的殺毒軟件，以降低電腦病毒、特洛伊木馬和惡意軟件等感染計算機的概率。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復等功能，是計算機防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預防系統(tǒng)等）的重要組成部分。但是需要注意的是，有的時候殺毒軟件會對工業(yè)計算機上的一些正常行為誤報為病毒或木馬。這時候就需要網(wǎng)絡安全管理人員在安裝殺毒軟件的同時，將已確認的工業(yè)正常行為錄入殺毒軟件的信任列表，以避免誤刪重要程序或導致系統(tǒng)停機的情況發(fā)生。

篇2

中圖分類號：F407 文獻標識碼： A

一、前言

作為電廠生產(chǎn)運作的一項重要工具，生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應用和深入的研究。研究其網(wǎng)絡信息安全，能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性，從而更好地保證電廠生產(chǎn)的順利進行。本文從概述相關內(nèi)容開始探究。

二、概述

為了提高工作效率，絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡，內(nèi)部網(wǎng)絡存在的安全隱患同樣會對信息安全造成很多的威脅，甚至會對電廠造成重大經(jīng)濟損失。電廠網(wǎng)絡面臨的威脅來自于電廠內(nèi)部和電廠外部兩個方面，安全隱患主要體現(xiàn)在管理不嚴，導致非法入侵；電廠內(nèi)部操作不規(guī)范，故意修改自己的IP地址等，導致電廠內(nèi)部信息的泄漏；網(wǎng)絡黑客通過系統(tǒng)的漏洞進行攻擊，導致網(wǎng)絡的癱瘓，數(shù)據(jù)的盜?。徊《就ㄟ^局域網(wǎng)資料的共享造成病毒的蔓延等。

電廠網(wǎng)絡面臨的外部威脅主要是指黑客攻擊，它們憑借計算機技術和通信技術侵入到電廠內(nèi)部網(wǎng)絡信息系統(tǒng)中，非法獲得電廠內(nèi)部的機密文件和信息。無論是操作系統(tǒng)還是網(wǎng)絡服務都存在一定的安全漏洞，這些漏洞的存在，就給攻擊者提供了入侵的機會。網(wǎng)絡黑客通過各種手段對網(wǎng)絡中的計算機進行攻擊，非法闖入信息系統(tǒng)，竊取信息，泄露信息系統(tǒng)內(nèi)的重要文件。

由于電廠內(nèi)部管理不善，電廠員工的惡意行為也影響著信息的安全，內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報復。其中，內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因，有的工作人員利用自己的工作便利進入電廠的信息系統(tǒng)，竊取電廠信息系統(tǒng)內(nèi)的重要文件，并將信息泄漏給他人，獲取一定的利益；有的員工直接打開從網(wǎng)上下載的文件和視頻，不經(jīng)過專業(yè)殺毒軟件的掃描，給電廠的內(nèi)部網(wǎng)絡帶來安全隱患，甚至帶來的病毒在全網(wǎng)絡蔓延，造成電廠內(nèi)網(wǎng)的癱瘓，嚴重損壞公司的利益，影響公司的正常運轉。

三、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患

1.被動攻擊形式

被動攻擊這種情況下在計算機領域中稱作是流量分析現(xiàn)象。在計算機網(wǎng)絡安全中，最為典型的信息攻擊方式是信息的截獲，信息的捕獲主要指的是在信息技術中，網(wǎng)絡攻擊者通過網(wǎng)絡技術對他人的私人信息進行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀。在這個過程中，網(wǎng)絡信息得到攻擊者通過對數(shù)據(jù)信息的觀察與分子，進行相應的網(wǎng)絡信息的攻擊，尤其是對其中的一個數(shù)據(jù)單元進行相應的攻擊，其中攻擊的是網(wǎng)絡中的信息數(shù)據(jù)，并不是信息流。上述的這些網(wǎng)絡信息的安全隱患中，網(wǎng)絡信息的攻擊者和黑客是無處不在的，總是對網(wǎng)絡系統(tǒng)中的數(shù)據(jù)信息進行攻擊，盜取用戶的個人信息，這些攻擊者主要是通過網(wǎng)絡中的數(shù)據(jù)協(xié)議PUD對用戶的信息資源進行了一定的控制與盜取，最終導致而來網(wǎng)絡信息資源安全隱患的產(chǎn)生。

2.主動攻擊

計算機網(wǎng)絡安全注的主動攻擊是指，在計算機網(wǎng)絡通訊系統(tǒng)中，攻擊者或者是黑客，通過網(wǎng)絡技術，連接到具體的數(shù)據(jù)通訊協(xié)議進行有目的有計劃的信息資源的獲取。這個過程是一種目的性明確的信息盜取方式，對于系統(tǒng)中的信息進行有目的的安全性攻擊。并且在整個計算機網(wǎng)絡通訊技術的安全性攻擊過程中，攻擊者通過對系統(tǒng)中的數(shù)據(jù)協(xié)議進行攻擊，延遲了PDU的運行，嚴重情況下，最終將一種偽造的PDU輸送到相應的網(wǎng)絡中進行信息數(shù)據(jù)的傳輸。其中，此處所述的信息中斷、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說的一種計算機網(wǎng)絡完全的被動攻擊方式。

四、電廠生產(chǎn)控制系統(tǒng)對網(wǎng)絡安全的改進方案

1.物資需求計劃的應用

MRP即物資需求計劃，所謂物資需求計劃指根據(jù)產(chǎn)品結構中不同層次的物品的從屬關系和數(shù)量關系，以單件產(chǎn)品為對象，以完工時間為標準的倒排計劃，根據(jù)提前期的長短制定物品下達時間的先后順序，是一種電廠內(nèi)的物資計劃管理模式。通過運用物資需求計劃，精確地對每月的生產(chǎn)任務進行合理安排，可以有效解決電廠生產(chǎn)過程中出現(xiàn)的“月初任務松，月末任務緊”的現(xiàn)象，通過合理調(diào)整生產(chǎn)計劃，使發(fā)電廠對市場的應變能力加強。

2.完善身生產(chǎn)生產(chǎn)計劃和控制系統(tǒng)

發(fā)電廠需要將安全生產(chǎn)列為其主要的研究內(nèi)容，通過確保其生產(chǎn)質量提高其在同行業(yè)中的競爭力，從而獲得較大的經(jīng)濟效益。通過完善發(fā)電廠自身的管理體系，使其在進行安全生產(chǎn)的同時，保障其生產(chǎn)計劃的順利執(zhí)行。建立并完善合理的監(jiān)督管理體系，有助于提高發(fā)電廠內(nèi)部員工的自覺性和職業(yè)素質，可以在滿足客戶需求的同時，有效地提高發(fā)電廠的經(jīng)濟效益。

3.主生產(chǎn)計劃方案編制

所謂主生產(chǎn)計劃，是物資需求計劃的主要輸入因素，其以合同為依據(jù)，并按一定的時間段對相關電力產(chǎn)品的數(shù)量以及交貨日期進行合理分析，并在現(xiàn)有的生產(chǎn)計劃與設備資源中做出相應的平衡的新型生產(chǎn)計劃。另一方面，從客戶和電廠的雙方面角度出發(fā)，主生產(chǎn)計劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計劃，另一方面使得電廠的各項生產(chǎn)得以有序進行，從而提高了電廠與用戶的合作效率。

五、強化生產(chǎn)控制系統(tǒng)安全的措施

1.對安全規(guī)劃產(chǎn)生足夠的重視

電廠網(wǎng)絡安全規(guī)劃就是全面的思考網(wǎng)絡的安全問題，對于安全問題，需要以系統(tǒng)觀點進行考慮。要想提升安全管理的有效性，就需要對信息安全管理體系進行全面系統(tǒng)的構建。

2.對安全域進行合理劃分

電廠將電廠網(wǎng)絡的內(nèi)外網(wǎng)實行了物理隔離，但是在內(nèi)網(wǎng)上，安全域的合理劃分依然非常重要。在劃分的時候，需要結合整體的安全規(guī)劃和信息安全等級來進行，對核心重點防范區(qū)域和一般防范區(qū)域以及開放區(qū)域進行劃分。網(wǎng)絡安全的核心就是重點防范區(qū)域，用戶不能夠對這個區(qū)域直接訪問，安全級別較高；應該在這個區(qū)域內(nèi)放置各種重要數(shù)據(jù)、服務器和數(shù)據(jù)庫服務器，在本區(qū)域內(nèi)運行各種應用系統(tǒng)、OA系統(tǒng)等。

3.對安全管理進行強化，對制度建設產(chǎn)生足夠的重視

為了促使電廠網(wǎng)絡信息安全得到保證，就需要系統(tǒng)性的考慮電廠網(wǎng)絡信息安全，對于電廠網(wǎng)絡的安全問題，非常重要的一個方面就是安全管理和制度建設。首先要對日志管理和安全審計產(chǎn)生足夠的重視，通常情況下，審計功能是防火墻和入侵檢測系統(tǒng)都具備的，要將它們的審計功能給充分利用起來，提升網(wǎng)絡日志管理和安全審計的質量。要嚴格管理審計數(shù)據(jù)，任何人不得對審計記錄進行隨意的修改和刪除。

4.構建內(nèi)網(wǎng)的統(tǒng)一認證系統(tǒng)

網(wǎng)絡信息安全最為關鍵的一項技術就是認證，通過認證，身份鑒別服務、訪問控制服務以及機密都可以得到實現(xiàn)。對病毒防護體系進行構建，將防病毒體系安裝于電廠網(wǎng)絡上，遠程安裝、遠程報警以及集中管理等都是防病毒軟件的功能；要對防病毒的管理制度進行構建，不能夠在內(nèi)網(wǎng)主機上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù)，不能夠在聯(lián)網(wǎng)計算機上使用來歷不明的移動存儲設備，發(fā)現(xiàn)病毒之后，相關工作人員需要及時采取處理措施。

六、結束語

通過對電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡信息安全的相關研究，我們可以發(fā)現(xiàn)，威脅其安全的因素來自多方面，有關人員應該從電廠生產(chǎn)控制系統(tǒng)運作的客觀實際出發(fā)，充分分析威脅因素，從而研究制定最為切合實際的網(wǎng)絡信息安全應對策略。

參考文獻：

[1] 覃冠標.關于發(fā)電廠生產(chǎn)計劃與控制系統(tǒng)的改進研究[J].科技資訊.2013（34）：141-143.

[2] 吳興波.S公司生產(chǎn)計劃與控制改進研究[J].華南理工大學學報.2010（01）：88-89.

篇3

0　引言

對于電力部門來說，保奧運，確保電網(wǎng)和系統(tǒng)安全，是目前各發(fā)電集團公司、國家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護電力業(yè)務系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲、傳輸?shù)陌踩?。影響電力系統(tǒng)網(wǎng)絡安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡系統(tǒng)資源的非法使用。

電力系統(tǒng)一直以來網(wǎng)絡結構和業(yè)務系統(tǒng)相對封閉，電力系統(tǒng)出現(xiàn)的網(wǎng)絡安全問題也基本產(chǎn)生于內(nèi)部。但是，隨著近年來與外界接口的增加，特別是與政府、金融機構等合作單位中間業(yè)務的接口、網(wǎng)上服務、三網(wǎng)融合、數(shù)據(jù)大集中應用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊也越來越多，已經(jīng)成為電力系統(tǒng)不可忽視的威脅來源。但是，據(jù)我所知，未來電力系統(tǒng)網(wǎng)上服務所采用的策略一般是由各省公司做統(tǒng)一對外服務出口，各級分局或電力公司和電廠將沒有對外出口；從內(nèi)部業(yè)務應用的角度來看，除大量現(xiàn)存的C/S結構以外，還將出現(xiàn)越來越多的內(nèi)部B/S結構應用。所以，對于電力系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中通訊、信息的威脅；二是對網(wǎng)絡中設備的威脅，造成電力系統(tǒng)癱瘓。對于電力系統(tǒng)來說，主要是保護電力業(yè)務系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲，數(shù)據(jù)傳輸?shù)陌踩?/p>

1 電力網(wǎng)絡信息系統(tǒng)安全的威脅

(1)人為的無意失誤

如果網(wǎng)絡安全配置不當造成的安全漏洞，包括安全意識、用戶口令、賬號、共享信息資源等都會對網(wǎng)絡安全帶來威脅。主機存在系統(tǒng)漏洞，通過電力網(wǎng)絡入侵系統(tǒng)主機，并有可能登錄其它重要應用子系統(tǒng)服務器或中心數(shù)據(jù)庫服務器，進而對整個電力系統(tǒng)造成很大的威脅。

(2)人為的惡意攻擊

這是計算機網(wǎng)絡所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成直接的極大的危害，并導致機密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn)，針對windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80％的計算機造成了破壞，安徽省省電力公司系統(tǒng)內(nèi)也有多個供電企業(yè)的信息系統(tǒng)遭到病毒的破壞，這一事件給網(wǎng)絡安全再次敲響了警鐘!

2　網(wǎng)絡安全風險和威脅的具體表現(xiàn)形式

電力系統(tǒng)網(wǎng)絡的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關信息管理系統(tǒng)的癱瘓。必須提出針對以上事故的各種應急預案。 隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務及應用系統(tǒng)越來越多，要求在業(yè)務系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，對電力網(wǎng)絡的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。其安全風險和威脅的具體表現(xiàn)形式如下：

(1)UNIX和Windows主機操作系統(tǒng)存在安全漏洞。

(2)Oracle，Sybase、MS SQL等主要關系型數(shù)據(jù)庫的自身安全漏洞。

(3)重要應用系統(tǒng)的安全漏洞，如：MS IIS或Netscape WEB服務應用的“緩存區(qū)溢出”等，使得攻擊者輕易獲取超級用戶權限。核心的網(wǎng)絡設備，如路由器、交換機、訪問服務器、防火墻存在安全漏洞。

(4)利用TCP/IP等網(wǎng)絡協(xié)議自身的弱點(DDOS分布式拒絕服務攻擊)，導致網(wǎng)絡癱瘓。網(wǎng)絡中打開大量的服務端口(女IIRPC、FTP、TELNET、SMTP、FINGER等)，容易被攻擊者利用。黑客攻擊工具非常容易獲得，并可以輕易實施各類黑客攻擊，如：特洛伊木馬、蠕蟲、拒絕服務攻擊、分布式拒絕服務攻擊、同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網(wǎng)絡的癱瘓和關鍵業(yè)務數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡中非法安裝和使用未授權軟件。對網(wǎng)絡性能和業(yè)務造成直接影響。系統(tǒng)及網(wǎng)絡設備的策略(如防火墻等)配置不當。

(5)關鍵主機系統(tǒng)及數(shù)據(jù)文件被篡改或誤改，導致系統(tǒng)和數(shù)據(jù)不可用，業(yè)務中斷等。

(6)分組協(xié)議里的閉合用戶群并不安全，信任關系可能被黑客利用。

(7)應用軟件的潛在設計缺陷。

(8)在內(nèi)部有大批的對內(nèi)網(wǎng)和業(yè)務系統(tǒng)相當熟悉的人員，據(jù)統(tǒng)計，70％以上的成功攻擊來自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡互通存在著極大的風險。

(9)雖然將來由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務，但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯(lián)網(wǎng)，存在著由多個攻擊入口進入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全，如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點等，技術人員的忠誠度和穩(wěn)定性，將直接關系到系統(tǒng)安全。

(10)各局使用的OA辦公自動化系統(tǒng)大量使用諸如WINDOWS操作系統(tǒng)，可能存在安全的薄弱環(huán)節(jié)，并且有些分局可能提供可拷貝腳本式的撥號服務，撥入網(wǎng)絡后，即可到達電力的內(nèi)部網(wǎng)絡的其它主機。

系統(tǒng)為電力客戶提供方便服務的同時，數(shù)據(jù)的傳輸在局外網(wǎng)絡和局內(nèi)局域網(wǎng)絡的傳輸中極有可能被竊取，通過 Sniffer 網(wǎng)絡偵聽極易獲得超級用戶的密碼。

3　系統(tǒng)的網(wǎng)絡風險基本控制策略

針對電力系統(tǒng)網(wǎng)絡的安全性和可靠性，電力安全方案要能抵御通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，防止由此導致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關信息管理系統(tǒng)的癱瘓?？傮w來說，電力系統(tǒng)安全解決方案的總體策略如下：

(1)分區(qū)防護、突出重點。根據(jù)系統(tǒng)中業(yè)務的重要性和對一次系統(tǒng)的影響程度，按其性質可劃分為實時控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個安全區(qū)域，重點保護實時控制系統(tǒng)以及生產(chǎn)業(yè)務系統(tǒng)。所有系統(tǒng)都必須置于相應的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護方案。

(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護。

(3)網(wǎng)絡專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡物理隔離，并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN，實現(xiàn)多層次的保護。

(4)設備獨立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡交換機設備。

(5)縱向防護。采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸。

4　電力系統(tǒng)的網(wǎng)絡安全解決方案

針對電力網(wǎng)絡安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡設備；保護電力數(shù)據(jù)中心及其設備中心的網(wǎng)絡、服務器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離，并且制定科學的安全策略；制定權限管理――這是對應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全保障；考慮網(wǎng)絡上設備安裝后仍然可能存在的安全漏洞，并制定相應措施策略。

(1)在網(wǎng)絡設備的安全管理方面，將所有網(wǎng)絡設備上的Console口加設密碼進行屏蔽，配置管理全部采用DUT-BAND帶外方式，并對每個被管理的設備均設置相應的帳戶和口令，只有網(wǎng)絡管理員具有對網(wǎng)絡設備訪問配置和更改密碼的權力。

(2)存網(wǎng)管中心通過劃分不同安全區(qū)域來規(guī)范管理網(wǎng)絡和工作網(wǎng)絡，從邏輯上把每個部門的資源獨立成一個安全區(qū)域，對安全區(qū)域的劃分基于安全性策略或規(guī)則，使區(qū)域的劃分更具安全性。網(wǎng)絡管理員可根據(jù)用戶需求，把某些共享資源分配到單獨的安全區(qū)域中，并控制區(qū)域之間的訪問。

(3)VPN和IPsec加密的使用。電力網(wǎng)絡將通過MPLS VPN把跨骨干的廣域網(wǎng)絡變成自己的私有網(wǎng)絡。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會對數(shù)據(jù)的完整與安全構成潛在危險，在數(shù)據(jù)進入MPLSVPN網(wǎng)絡之前首先經(jīng)過IPsec加密，在離開VPN網(wǎng)絡后又再進行IPsec解密。

(4)通過網(wǎng)絡設置控制網(wǎng)絡的安全。在交換機、路由器、數(shù)據(jù)庫和各種認證上，層層進行安全設置，從而確保整個網(wǎng)絡的安全。

(5)通過專用網(wǎng)絡防火墻控制網(wǎng)絡邊界的安全。

(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進行監(jiān)控使用，也可以部署在服務器的前端作為防攻擊的IPS產(chǎn)品使用，前題是保障網(wǎng)絡的安全性。

5　電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡安全解決方案

外部攻擊影響巨大，但內(nèi)部攻擊危害巨大，為了解決內(nèi)網(wǎng)安全問題，在一個電力／電廠系統(tǒng)的局域網(wǎng)內(nèi)部，可以使用防火墻對不同的網(wǎng)段進行隔離，并且使用IPS設備對關鍵應用進行監(jiān)控和保護。同時，使用IPS設備架設在相應的安全區(qū)域，保證訪問電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性，可審計性以及防止惡意流量的攻擊。并且實現(xiàn)以下的主要目的：

(1)網(wǎng)絡安全：防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。

(2)防火墻負載均衡：網(wǎng)絡安全性越來越成為電力系統(tǒng)擔心的問題了，網(wǎng)絡安全已經(jīng)成為了關鍵部門關注的焦點。網(wǎng)絡安全技術將防火墻作為一種防止對網(wǎng)絡資源進行非授權訪問的常用方法。

(3)服務器負載均衡：執(zhí)行一定的負載均衡算法，可以針對電廠內(nèi)關鍵的服務器群動態(tài)分配負載。

6　廣域網(wǎng)整體安全解決方案

對于整個廣域網(wǎng)，為了端對端，局對局的安全性，本著不受他系統(tǒng)影響／不影響他系統(tǒng)的安全原則，可對防火墻以及IPS設備進行分布式部署。

通過過濾的規(guī)則設置可以使得我們方便地控制網(wǎng)絡內(nèi)部資源對外的開放程度，特別是針對國家電網(wǎng)公司、當?shù)卣约癐nternet僅僅開放某個IP的特殊端口，有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認證等規(guī)則的應用，可以確定不同的內(nèi)部用戶享受不同的訪問外部資源的級別，對于內(nèi)部用戶嚴格區(qū)分網(wǎng)段，而且可以利用獨特的內(nèi)置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內(nèi)部用戶主動將信息通過網(wǎng)絡向外界傳遞。

雙機熱備(負載均衡)：為了提高系統(tǒng)的可靠性，通過監(jiān)控設備的CPU Loading來確認誰轉發(fā)流量，極大的提高了防火墻的吞吐量。

友好的用戶界面：只需作簡單的培訓，用戶即可進行規(guī)則配置、系統(tǒng)管理、統(tǒng)計。

7　參考文獻

[1]　《StoneSoft電力系統(tǒng)網(wǎng)絡安全解決方案》StoneSoft

公司，2005。

[2] 王桂娟，張漢君?！毒W(wǎng)絡安全的風險分析》[J]．中南民族

大學學報，2007，(11)。

[3] 陳 偉、鮑 慧．《電力系統(tǒng)網(wǎng)絡安全體系研究》[丁]．電

篇4

 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡是“校校通”項目的基礎，是為學院教師和學生提供教學，科研等綜合信息服務的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡。 

2 校園網(wǎng)的特點 

校園網(wǎng)的設計應具備以下特點： 

1）提供高速網(wǎng)絡連接；2）滿足復雜的信息結構；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經(jīng)濟實用。 

3 校園網(wǎng)絡系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業(yè)務用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權限，因此對信息系統(tǒng)的安全負有最大的執(zhí)行責任。應該制定相應的管理制度，例如對管理員的政治素質和網(wǎng)絡信息安全技術管理的業(yè)務素質，對于涉及到某大學的網(wǎng)絡安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應實行多人參與措施等等。 

2）業(yè)務用戶必須在管理員分配的權限內(nèi)使用校園網(wǎng)資源和進行操作，嚴禁超越權限使用資源和泄露、轉讓合法權限，需要對業(yè)務人員進行崗前安全培訓。 

3.2 網(wǎng)絡硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡連接安全二需要在連接處，對進/出的數(shù)據(jù)包進行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學的數(shù)據(jù)包進行嚴格的控制。2）校園網(wǎng)中，教師/學生宿舍網(wǎng)絡與其他網(wǎng)絡連接的網(wǎng)絡安全。3）校園網(wǎng)中，教學單位網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。5）校園網(wǎng)中，網(wǎng)絡管理中心網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。6）校園網(wǎng)中，公眾服務器所在的網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。7）各個專用的業(yè)務子網(wǎng)的安全，即按信息的敏感程度，將各教學單位的網(wǎng)絡和行政辦公網(wǎng)絡劃分為多個子網(wǎng)，例如：專用業(yè)務子網(wǎng)（財務處、教務處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務子網(wǎng)提供網(wǎng)絡連接控制。 

3.3 網(wǎng)絡軟環(huán)境安全 

網(wǎng)絡軟環(huán)境安全即校園網(wǎng)的應用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務專用網(wǎng)，如：財務處、教務處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災難恢復、規(guī)范網(wǎng)絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。 

4 校園網(wǎng)絡系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個方面： 

1）要制訂嚴格的規(guī)章管理制度：可制定的相應：《用戶授權實施細則》、《口令字及賬戶管理規(guī)范》、《權限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。 

2）要配備相應的軟硬件安全設備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，在不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口設置防火墻。設置防火墻就是實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，保護內(nèi)部網(wǎng)安全的最主要、同時也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能：過濾進、出網(wǎng)絡的數(shù)據(jù)；管理進、出網(wǎng)絡的訪問行為；封堵某些禁止的業(yè)務；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡攻擊的檢測和報警。防火墻主要類型有包過濾型，包過濾防火墻就是利用ip和tcp包的頭信息對進出被保護網(wǎng)絡的ip包信息進行過濾，能依據(jù)我們制定安全防范策略來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，也可實現(xiàn)網(wǎng)絡ip地址轉換（nat）、審記與實時告警等功能。因為防火墻安裝在被保護網(wǎng)絡與路由器之間的通道上，所有也對被保護網(wǎng)絡和外部網(wǎng)絡起到隔離作用。 

4.2 通過使用內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制 

主要是利用vlan技術來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離?？梢酝ㄟ^在交換機上劃分vlan可以將整個網(wǎng)絡劃分為幾個不同的廣播域，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離。因此就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。對于某些網(wǎng)絡，一部分局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更加敏感，在不同的譏an段內(nèi)劃分信任網(wǎng)段和不信任網(wǎng)段，就可以限制局部網(wǎng)絡安全問題對全部網(wǎng)絡造成的影響。 

4.3 通過使用網(wǎng)絡安全檢測 

根據(jù)短板原理，可以說網(wǎng)絡系統(tǒng)的安全性完全取決于網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)。最有效的方法就是定時對網(wǎng)絡系統(tǒng)進行安全性分析，及時準確發(fā)現(xiàn)并修正存在的弱點和漏洞，能及時準確發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)，也能最大限度地保證網(wǎng)絡系統(tǒng)安全。 

網(wǎng)絡安全檢測工具是一款網(wǎng)絡安全性評估分析軟件，其具備網(wǎng)絡監(jiān)控、分析功能和自動響應功能，能及時找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正；及時控制各種網(wǎng)絡安全危險；進行漏洞分析和響應；進行配置分析和響應；進行認證和趨勢分析。 

它的主要功能就是用實踐性的方法掃描分析網(wǎng)絡系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議采用補救措施和安全策略，從而達到增強網(wǎng)絡安全性的目的。 

 

參考文獻： 

篇5

 

關鍵詞： 網(wǎng)絡安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡是“校校通”項目的基礎，是為學院教師和學生提供教學，科研等綜合信息服務的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡。 

2 校園網(wǎng)的特點 

校園網(wǎng)的設計應具備以下特點： 

1）提供高速網(wǎng)絡連接；2）滿足復雜的信息結構；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經(jīng)濟實用。 

3 校園網(wǎng)絡系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業(yè)務用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權限，因此對信息系統(tǒng)的安全負有最大的執(zhí)行責任。應該制定相應的管理制度，例如對管理員的政治素質和網(wǎng)絡信息安全技術管理的業(yè)務素質，對于涉及到某大學的網(wǎng)絡安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應實行多人參與措施等等。 

2）業(yè)務用戶必須在管理員分配的權限內(nèi)使用校園網(wǎng)資源和進行操作，嚴禁超越權限使用資源和泄露、轉讓合法權限，需要對業(yè)務人員進行崗前安全培訓。 

3.2 網(wǎng)絡硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡連接安全二需要在連接處，對進/出的數(shù)據(jù)包進行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學的數(shù)據(jù)包進行嚴格的控制。2）校園網(wǎng)中，教師/學生宿舍網(wǎng)絡與其他網(wǎng)絡連接的網(wǎng)絡安全。3）校園網(wǎng)中，教學單位網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。5）校園網(wǎng)中，網(wǎng)絡管理中心網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。6）校園網(wǎng)中，公眾服務器所在的網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。7）各個專用的業(yè)務子網(wǎng)的安全，即按信息的敏感程度，將各教學單位的網(wǎng)絡和行政辦公網(wǎng)絡劃分為多個子網(wǎng)，例如：專用業(yè)務子網(wǎng)（財務處、教務處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務子網(wǎng)提供網(wǎng)絡連接控制。 

3.3 網(wǎng)絡軟環(huán)境安全 

網(wǎng)絡軟環(huán)境安全即校園網(wǎng)的應用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務專用網(wǎng)，如：財務處、教務處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災難恢復、規(guī)范網(wǎng)絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個方面： 

篇6

 

關鍵詞： 網(wǎng)絡安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡是“校校通”項目的基礎，是為學院教師和學生提供教學，科研等綜合信息服務的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個寬帶，互動功能和高度專業(yè)化的局域網(wǎng)絡。 

2 校園網(wǎng)的特點 

校園網(wǎng)的設計應具備以下特點： 

1）提供高速網(wǎng)絡連接；2）滿足復雜的信息結構；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經(jīng)濟實用。 

3 校園網(wǎng)絡系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業(yè)務用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權限，因此對信息系統(tǒng)的安全負有最大的執(zhí)行責任。應該制定相應的管理制度，例如對管理員的政治素質和網(wǎng)絡信息安全技術管理的業(yè)務素質，對于涉及到某大學的網(wǎng)絡安全策略配置、調(diào)整、審計信息調(diào)閱等重要操作，應實行多人參與措施等等。 

2）業(yè)務用戶必須在管理員分配的權限內(nèi)使用校園網(wǎng)資源和進行操作，嚴禁超越權限使用資源和泄露、轉讓合法權限，需要對業(yè)務人員進行崗前安全培訓。 

3.2 網(wǎng)絡硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡連接安全二需要在連接處，對進/出的數(shù)據(jù)包進行訪問控制與隔離，重點對源地址為教育網(wǎng)，而目的地址為某大學的數(shù)據(jù)包進行嚴格的控制。2）校園網(wǎng)中，教師/學生宿舍網(wǎng)絡與其他網(wǎng)絡連接的網(wǎng)絡安全。3）校園網(wǎng)中，教學單位網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。5）校園網(wǎng)中，網(wǎng)絡管理中心網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。6）校園網(wǎng)中，公眾服務器所在的網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡連接安全。7）各個專用的業(yè)務子網(wǎng)的安全，即按信息的敏感程度，將各教學單位的網(wǎng)絡和行政辦公網(wǎng)絡劃分為多個子網(wǎng)，例如：專用業(yè)務子網(wǎng)（財務處、教務處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務子網(wǎng)提供網(wǎng)絡連接控制。 

3.3 網(wǎng)絡軟環(huán)境安全 

網(wǎng)絡軟環(huán)境安全即校園網(wǎng)的應用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務專用網(wǎng)，如：財務處、教務處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災難恢復、規(guī)范網(wǎng)絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個方面： 

篇7

中圖分類號：TP393.1文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

The Quality Control of Residential District Network and Information Security Systems

Li Junling

(Harbin University of Commercial,Harbin150028,China)

Abstract:The residential area network and information security systems are linked together through a variety of control devices,sensors and actuators to achieve real-time information exchange,management and control via the fieldbus,Ethernet or broadband access network.This paper describes the quality control of the living cell network and information security systems to protect the quality of the project,the purpose of improving service quality.

Keywords:Computer network system configuration requirements;

Security system;Construction process;Quality control

一、引言

居住小區(qū)網(wǎng)絡及信息服務安全系統(tǒng)的網(wǎng)絡是以廣域網(wǎng)、局域網(wǎng)和現(xiàn)場總線為物理集成平臺的多功能管理與控制相結合的綜合智能網(wǎng)。它的功能強大、結構復雜，應充分考慮現(xiàn)有技術的成熟程度和可升級性來確定居住小區(qū)的網(wǎng)絡結構。

（一）居住小區(qū)計算機網(wǎng)絡系統(tǒng)配置要求的質量控制

1.按國家城鎮(zhèn)建設行業(yè)標準CJ／T×××―2001中的要求進行檢查。居住區(qū)寬帶接入網(wǎng)可采用FTTX，HFC和XDSL中任一種與其組合，或按設計要求采用其他類型的數(shù)據(jù)網(wǎng)絡。

2.居住區(qū)寬帶接入網(wǎng)應提供如下功能：①支持用戶開戶／銷戶，用戶流量時間統(tǒng)計，用戶流量控制等管理功能；②應提供安全的網(wǎng)絡保障；③居住區(qū)寬帶接入網(wǎng)應提供本地計費或遠端撥號用戶認證（RADIUS）的計費功能。

3.控制網(wǎng)中有關信息或基于IP協(xié)議傳輸?shù)闹悄芙K端，應通過居住區(qū)寬帶接入網(wǎng)集成到居住區(qū)物業(yè)管理中心計算機系統(tǒng)中，便于統(tǒng)一管理，資源共享。

（二）居住小區(qū)計算機網(wǎng)絡提供信息服務的內(nèi)容

居住小區(qū)計算機網(wǎng)絡提供信息服務包括Internet網(wǎng)接入服務、娛樂、商業(yè)服務、教育、醫(yī)療保健、電子銀行、家政服務、建立住戶個人電子信箱和個人網(wǎng)頁和資訊等內(nèi)容

二、居住小區(qū)網(wǎng)絡及信息服務安全系統(tǒng)質量控制要求

網(wǎng)絡安全問題涉及網(wǎng)絡和信息技術各個層面的持續(xù)過程，從HUB交換機、服務器到PC機，磁盤的存取，局域網(wǎng)上的信息互通以及Internet的駁接等各個環(huán)節(jié)，均會引起網(wǎng)絡的安全，所以網(wǎng)絡內(nèi)的產(chǎn)品（包括硬件和軟件）均應嚴格把關。

1.定購硬件和軟件產(chǎn)品時，應遵循一定的指導方針，（如非盜版軟件）確保安全。

2.任何網(wǎng)絡內(nèi)產(chǎn)品的采購必須經(jīng)過審批。

3.對于所有的新系統(tǒng)和軟件必須經(jīng)過投資效益分析和風險分析。

4.網(wǎng)絡安全系統(tǒng)的產(chǎn)品均應符合設計（或合同）要求的產(chǎn)品說明書、合格證或驗證書。

三、居住小區(qū)網(wǎng)絡及信息服務安全系施工過程質量控制要點

按照有關對網(wǎng)絡安全系統(tǒng)的設計要求，在網(wǎng)絡安裝的各個環(huán)節(jié)進行監(jiān)督指導。

1.防火墻的設置。應阻擋外部網(wǎng)絡的非授權訪問和窺探，控制內(nèi)部用戶的不合理流量，同時，它也能進一步屏蔽了內(nèi)部網(wǎng)絡的拓補細節(jié)，便于保護內(nèi)部網(wǎng)絡的安全。

2.服務器的裝置。應保證局域網(wǎng)用戶可以安全的訪問Internet提供的各種服務而局域網(wǎng)無須承擔任何風險。

3.網(wǎng)絡中要有備份和容錯。

4.操作系統(tǒng)必須符合美國國家計算機安全委員會的C2級安全性的要求。

5.對網(wǎng)絡安全防御的其他手段，如IDS入侵檢測系統(tǒng)，密罐和防盜鈴，E-mail安全性，弱點掃描器，加密與網(wǎng)絡防護等均應一一檢查。

6.應檢查“系統(tǒng)安全策略”內(nèi)容是否符合實際要求。對于信息系統(tǒng)管理員還包括安全協(xié)定，E-mail系統(tǒng)維護協(xié)定和網(wǎng)絡管理協(xié)定等，確保所有的系統(tǒng)管理人員能夠及時報告問題和防止權力濫用。最好建議印成安全手冊或于內(nèi)部網(wǎng)上，使每個員工都能得到準確的信息。

7.網(wǎng)絡宜建立應及事件反映處理小組，并制定災難計劃，尤其是提出保證系統(tǒng)恢復所需的硬件環(huán)境和有關人員。

8.應用系統(tǒng)安全性應滿足以下要求：

（1）身份認證：嚴格管理用戶帳號，要求用戶必須使用滿足安全要求的口令。

（2）訪問控制：必須在身份認證的基礎上根據(jù)用戶及資源對象實施訪問控制；用戶能正確訪問其獲得授權的對象資源，同時不能訪問未獲得授權的資源時，判為合格。

9.操作系統(tǒng)安全性應滿足以下要求：

（1）操作系統(tǒng)版本應使用經(jīng)過實踐檢驗的具有一定安全強度的操作系統(tǒng)。

（2）使用安全性較高的文件系統(tǒng)。

（3）嚴格管理操作系統(tǒng)的用戶帳號，要求用戶必須使用滿足安全要求的口令。

10.信息安全系統(tǒng)質量驗收要求：

（1）物理系統(tǒng)安全檢察（規(guī)章制度、電磁泄漏等）。

（2）信息安全測試（模擬攻擊測試、訪問控制測試、安全隔離測試）。

（3）病毒系統(tǒng)測試（病毒樣本傳播測試）。

（4）入侵檢測系統(tǒng)測試(模擬攻擊測試)。

（5）操作系統(tǒng)檢查（文件系統(tǒng)、帳號、服務、審計）。

（6）互聯(lián)網(wǎng)行為管理系統(tǒng)(訪問控制測試)。

（7）應用系統(tǒng)安全性檢查（身份認證、訪問控制、安全審計等）。

四、常見質量問題

1.無法保存撥號網(wǎng)絡連接的密碼。

2.發(fā)送的郵件有時會被退回來。

3.瀏覽中有時出現(xiàn)某些特定的錯誤提示。

4.主機故障。

[現(xiàn)象]PC1機在進行了一系列的網(wǎng)絡配置之后，仍無法正常連入總部局域網(wǎng)。如圖1網(wǎng)絡結構所示。

圖1網(wǎng)絡結構

說明：某用戶新購一臺PC1，通過已有HUB連入總部局域網(wǎng)。

[原因分析]

檢測線路，沒有發(fā)現(xiàn)問題。然后，查主機的網(wǎng)絡配置，有配錯，該機的IP地址已被其他主機占用（如PC2），導致兩機的地址沖突。

[解決方法]

重新配置一個空閑合法地址后，故障排除。

總之，此類故障可歸納為主機故障，可分為以下幾類：

①主機的網(wǎng)絡配置不當；②服務設置為當；③未使用合法的網(wǎng)絡用戶名及密碼登錄到局域網(wǎng)上；④共享主機硬盤不當。

解決的方法，目前只能是預防為主，并提高網(wǎng)絡安全防范意識，盡量不讓非法用戶有可乘之機。

五、結束語

建立一個高效、安全、舒適的住宅小區(qū)，必須有一套完整的高品質住宅小區(qū)網(wǎng)絡及信息服務安全布線系統(tǒng)，按照用戶的需求報告，本著一切從用戶出發(fā)的原則，根據(jù)多年來的豐富施工經(jīng)驗，作出可靠性高及實用的技術配置方案，保障居住小區(qū)網(wǎng)絡及信息服務安全系統(tǒng)工程質量，提高網(wǎng)絡及信息服務安全系統(tǒng)的服務質量。

參考文獻：

[1]Chris Brenton,Cameron Hunt.網(wǎng)絡安全積極防御從入門到精通馮樹奇[M].金燕.北京:電子工業(yè)出版社,2001

[2]劉國林.綜合布線[M].上海:同濟大學出版社,1999

[3]楊志.建筑智能化系統(tǒng)及工程應用[M].北京:化學工業(yè)出版社,2002

[4]沈士良.智能建筑工程質量控制手冊[M].上海:同濟大學出版社,2002

[5]中國建設監(jiān)理協(xié)會.建筑工程質量控制[M].北京:中國建筑工業(yè)出版社,2003

[6]中國建設執(zhí)業(yè)網(wǎng).建筑物理與建筑設備[M].北京:中國建筑工業(yè)出版社,2006

[7]彭祖林.網(wǎng)絡系統(tǒng)集成工程項目投標與施工[M].北京:國防工業(yè)出版社,2004

篇8

2安全和網(wǎng)絡安全協(xié)調(diào)要求

2.1基本原則

數(shù)字式儀控系統(tǒng)整體結構層面應考慮以下原則：（1）網(wǎng)絡安全措施不能影響核電廠安全目標。網(wǎng)絡安全措施不應損害儀控系統(tǒng)架構實施的多樣性和縱深防御的有效性。（2）首先按照IEC61513的要求，進行儀控系統(tǒng)功能初次分配，并進行儀控系統(tǒng)架構總體設計，然后考慮可能影響整體系統(tǒng)架構的網(wǎng)絡安全要求。通過迭代設計過程，將可能影響系統(tǒng)架構的網(wǎng)絡安全要求整合到一起。（3）網(wǎng)絡安全功能不得對安全重要功能所要求的性能、有效性、可靠性和可操作性產(chǎn)生不利影響。（4）安全重要系統(tǒng)增加的網(wǎng)絡安全特征應進行失效模式和后果分析，并考慮預防、控制或緩解措施.（5）當兩種架構設計有相同等級的安全性時，優(yōu)先考慮具備網(wǎng)絡安全防范特性的設計。但應避免不必要的復雜設計，因為復雜設計既不利于功能安全也不利于網(wǎng)絡安全。

2.2網(wǎng)絡安全區(qū)域劃分原則

為了更切實地實施分級方法，需要將儀控系統(tǒng)中的基于計算機的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域，分級保護原則適用于各個安全區(qū)域。區(qū)域允許將在安全和設備功能方面有著相似重要性的系統(tǒng)分為一組，以管理并應用保護措施。定義安全區(qū)域的標準可能包括組織問題、本地化、架構或技術方面。劃分網(wǎng)絡安全區(qū)域應考慮如下原則：（1）網(wǎng)絡安全區(qū)域的劃定應考慮和利用為加強安全目的而引入的獨立性和物理隔離要求；（2）劃定網(wǎng)絡安全區(qū)域應同時考慮數(shù)據(jù)通信、地理/物理隔離以及獨立性等方面；（3）除非能夠從網(wǎng)絡安全防范角度有效的過濾和監(jiān)測分隔之間的通信，否則由多個子列組成的儀控系統(tǒng)應劃分到同一個網(wǎng)絡安全區(qū)域中。

2.3共因故障處理原則

在某些情況下，共因故障的措施，有利于網(wǎng)絡安全防范。具體情況需由負責網(wǎng)絡安全人員基于特定場景可能的惡意攻擊和潛在威脅進行評估。多樣性手段在網(wǎng)絡安全防范中使用，利弊需要具體分析。以串聯(lián)方式可以增加網(wǎng)絡安全效果，但是會引入復雜性；以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞。對于集成到系統(tǒng)中的網(wǎng)絡安全防范措施，應分析其可能在多樣性系統(tǒng)間引入共因故障的潛在風險。存在風險時，應考慮替代措施，在保證充分的網(wǎng)絡安全的同時，降低共因故障風險。

2.4隔離原則

隔離設計在某些情況下也可用于網(wǎng)絡安全防范。應由負責網(wǎng)絡安全的人員按照場景進行分析，利用隔離措施促進安全防范。功能安全相關標準所提出的用于支持A類功能的控制系統(tǒng)的獨立性要求，對網(wǎng)絡安全是有益的，應針對具體場景進行評估和驗證，以便在網(wǎng)絡安全防范中納入這些措施。這些控制系統(tǒng)的獨立性要求包括：（1）對于那些僅用于檢測或保護目的的A類信號，對同時用于控制系統(tǒng)（無論其類別）的A類系統(tǒng)信號需要予以特別關注。這是由于傳感器故障可導致控制系統(tǒng)的測量值超出需求容許值，并產(chǎn)生不安全的控制動作，同時還會方案保護系統(tǒng)對不安全工況的探測。（2）保護系統(tǒng)和控制系統(tǒng)應設計成如下的形似和：對兩個系統(tǒng)之間所傳遞的信號，假設單一故障包括了后繼故障，不能引發(fā)事故或要求安全動作的瞬態(tài)，同時，也不能引發(fā)A類系統(tǒng)不可接受的降級。（3）當A類系統(tǒng)內(nèi)的一個單一隨機故障及其后任何后續(xù)故障可引發(fā)一個控制系統(tǒng)動作，從而成為導致一個要求安全動作的工況時，即使此時有第二個隨機故障使得A類系統(tǒng)降級，A類系統(tǒng)仍應有提供安全動作的能力。應采取措施，無論任何原因，包括測試或維修目的，使得部件或組建旁通或退出運行，系統(tǒng)都應滿足這一要求。（4）即使有效的旁通、傳感器和設備有測試證據(jù)證明的高可靠性，對提供控制信號的二取一表決的保護系統(tǒng)將要求比較論證和證明。如果在維護期間使用了合適的旁通措施，則采用故障安全的設備和自動探測故障傳感器的三取二系統(tǒng)能夠滿足要求。

3結語

在核電廠儀控系統(tǒng)設計時，考慮功能安全和信息安全的協(xié)調(diào)要求，使儀控系統(tǒng)在保證安全性的同時也具備適當?shù)男畔踩匦?，為確保電站安全穩(wěn)定運行、免受網(wǎng)絡攻擊提供了有力保障。

參考文獻

篇9

2010年，伊朗核電站遭受“Stuxnet（震網(wǎng)）”蠕蟲病毒攻擊，打開了網(wǎng)絡攻擊癱瘓實體空間的大門，關鍵性基礎設施的安全成為全世界關注的焦點。2015年，烏克蘭電網(wǎng)系統(tǒng)遭“Black Energy（黑暗力量）”的攻擊。業(yè)內(nèi)人士指出，支撐能源、通信、電力、金融、交通等重要行業(yè)運行的關鍵信息基礎設施成為網(wǎng)絡戰(zhàn)的首選目標。工廠使用的控制電腦的軟件一般都是特別定制版，而且不與外部互聯(lián)網(wǎng)聯(lián)通。但在黑客面前，物理隔絕并非不可逾越的天塹，通過局域網(wǎng)和USB接口進行傳播，定點干擾工業(yè)控制軟件的病毒早已產(chǎn)生，甚至通過發(fā)熱量、輻射、風扇噪聲等入侵物理隔離網(wǎng)絡的案例也已出現(xiàn)。工業(yè)控制領域網(wǎng)絡安全成為焦點，各國均加大了在該領域的投資。

工業(yè)控制領域網(wǎng)絡安全隱患尤為突出

我國信息網(wǎng)絡關鍵基礎設施網(wǎng)絡安全防護能力薄弱?！罢鹁W(wǎng)”病毒事件后，據(jù)權威部門統(tǒng)計，我國工業(yè)系統(tǒng)100%使用西門子工業(yè)控制系統(tǒng)，這意味著我國的工業(yè)控制系統(tǒng)存在網(wǎng)絡安全隱患。尤其是隨著工業(yè)化與信息化進程的不斷交叉融合，以及物聯(lián)網(wǎng)的快速發(fā)展，越來越多的信息技術應用到工業(yè)領域。我國已經(jīng)將數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運用于電力、工業(yè)、能源、交通、水利、市政等領域，甚至直接用于控制生產(chǎn)設備的運行?！爸袊圃?025”戰(zhàn)略的提出，使得國內(nèi)工業(yè)控制領域正在發(fā)生重大的變革。同時，由于我國大規(guī)模使用國外的網(wǎng)絡信息關鍵產(chǎn)品，在短期內(nèi)很難完全替代它們，工業(yè)控制領域網(wǎng)絡安全成為事關國家安全、社會穩(wěn)定、經(jīng)濟發(fā)展的大問題。

先進工控安全領域創(chuàng)業(yè)公司涌現(xiàn)，發(fā)展模式引人注目

近兩年，一些有識之士充分認識到，工業(yè)控制領域網(wǎng)絡安全的需求日益凸顯，因此必須整合信息安全與自動化方面的人才，專注工控安全領域網(wǎng)絡安全產(chǎn)品的研發(fā)。這類典型廠商包括北京網(wǎng)藤科技有限公司、北京威努特技術有限公司、北京匡恩網(wǎng)絡科技有限公司等。這類公司的特點是100%的業(yè)務都是工控安全，全力投入到工控安全行業(yè)。

其中，網(wǎng)藤科技是工控安全領域的一匹黑馬，成立于2016年3月，團隊均來自工控安全領域頂尖的企業(yè)。公司的組織結構具有包容、開放、共享的特色，業(yè)務以工業(yè)控制網(wǎng)絡安全為核心，深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業(yè)，提供覆蓋設備檢測、安全服務、威脅管理、安全數(shù)據(jù)庫、智能保護、檢測審計的自主、可控、安全的生命全周期解決方案。公司旗下的主打產(chǎn)品工控安全防護系統(tǒng)為針對工業(yè)網(wǎng)絡安全的入侵檢測系統(tǒng)，通過公安部權威檢測，達到NIPS國標一級；工控安全審計系統(tǒng)為針對工業(yè)網(wǎng)絡安全的信息審計系統(tǒng)，通過公安部權威檢測，達到網(wǎng)絡通信安全審計行標增強級。

工控領域網(wǎng)絡安全廠商任重道遠

篇10

2鐵路計算機網(wǎng)絡安全的建設途徑

2.1三網(wǎng)隔離為了保證生產(chǎn)網(wǎng)、內(nèi)部服務網(wǎng)、外部服務網(wǎng)的安全，實現(xiàn)三網(wǎng)互相物理隔離，不得進行三網(wǎng)直接連接。尤其生產(chǎn)網(wǎng)、內(nèi)部服務網(wǎng)的運行計算機嚴禁上INTERNET。

2.2建立良好的鐵路行業(yè)數(shù)字證書系統(tǒng)良好的鐵路行業(yè)數(shù)字證書系統(tǒng)能夠有效的保證鐵路計算機網(wǎng)絡的安全，鐵路的數(shù)字證書主要包括簽名證書與加密證書。證書的管理系統(tǒng)有利于保證網(wǎng)絡和信息安全。鐵路行業(yè)的數(shù)字證書系統(tǒng)能夠有效的提高鐵路信息系統(tǒng)的安全，讓鐵路信息系統(tǒng)在一個安全的環(huán)境下運行。證書系統(tǒng)加強了客戶身份的認證機制，加強了訪問者的信息安全，并且發(fā)生了不安全的問題還有可以追查的可能。行業(yè)數(shù)字證書在鐵路信息系統(tǒng)中有效的防止了非法人員篡改鐵路信息的不良行為，并且對訪問者提供了強大的保護手段。

2.3建立安全的訪問控制系統(tǒng)安全的訪問控制系統(tǒng)，是整個鐵路計算機網(wǎng)絡中的核心。建立合理的訪問控制系統(tǒng)，可以防止用戶對鐵路資源的實際操作，隱藏鐵路應用系統(tǒng)在網(wǎng)絡中的位置，在鐵路計算機網(wǎng)絡的運行中，保證用戶訪問的安全性。根據(jù)用戶的選擇進行網(wǎng)絡的授權，可以有效的控制用戶對于鐵路資源的訪問，保證鐵路用戶合理的訪問鐵路資源。控制系統(tǒng)可以針對不同的資源建立不同的訪問控制系統(tǒng)，建立多層次的訪問控制系統(tǒng)?？刂圃L問系統(tǒng)構成了鐵路計算機網(wǎng)絡的必經(jīng)之路，并且可以將不良的信息進行有效的隔離與阻斷，確保鐵路網(wǎng)絡信息的安全性。建立有效的訪問控制系統(tǒng)，可以保證網(wǎng)絡訪問的安全性和數(shù)據(jù)傳輸?shù)陌踩裕畲笙薅鹊谋Ｕ翔F路計算機的信息安全。

2.4建立有效的病毒防護系統(tǒng)有效的病毒防護系統(tǒng)就相當于殺毒軟件存在于電腦中的作用一樣，可以有效的防止病毒的入侵，控制進出鐵路信息網(wǎng)的信息，保證信息的安全性。病毒的防護系統(tǒng)可以將進出鐵路信息系統(tǒng)的信息進行檢查，保證了鐵路客戶端的安全。病毒防護系統(tǒng)防止了不法人員企圖通過病毒來入侵鐵路信息網(wǎng)絡系統(tǒng)，讓鐵路信息網(wǎng)絡系統(tǒng)能夠在安全的環(huán)境下運行，保證了信息的最大化安全性。定期的病毒查殺，可以保證鐵路網(wǎng)絡信息系統(tǒng)的安全，讓鐵路信息網(wǎng)絡系統(tǒng)得到有效的控制，保證客戶端的資料不被侵犯，保證鐵路計算機網(wǎng)絡的正常運行。