導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇控制系統(tǒng)網(wǎng)絡(luò)安全，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

改革開放以來，我國石油化工企業(yè)的自動(dòng)化和信息化水平，無論在裝備上、技術(shù)水平上、功能與規(guī)模上都有了較大的發(fā)展。測量和控制裝置不斷更新升級(jí)，DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]。而由DCS、PLC和FCS等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)在石化行業(yè)中也得到了廣泛的應(yīng)用。

1.1過程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)過程控制系統(tǒng)的網(wǎng)絡(luò)與傳統(tǒng)的IT網(wǎng)絡(luò)不同，具有以下特點(diǎn)。1）較高的實(shí)時(shí)性和可靠性。過程控制系統(tǒng)網(wǎng)絡(luò)主要需要保證所有傳輸數(shù)據(jù)的實(shí)時(shí)性以及網(wǎng)絡(luò)的可靠性，在傳輸過程中不允許有中斷出現(xiàn)，需要整個(gè)傳輸過程始終在系統(tǒng)的可控范圍內(nèi)，不能出現(xiàn)失控的狀態(tài)。2）專有通信協(xié)議。早先每一個(gè)過程控制系統(tǒng)供應(yīng)商都有自己獨(dú)自研發(fā)的專有通信協(xié)議，但隨著過程控制系統(tǒng)的網(wǎng)絡(luò)面逐漸擴(kuò)大，而在彼此的通信傳輸中需要進(jìn)行轉(zhuǎn)換，不同通訊協(xié)議導(dǎo)致的不便捷性逐漸顯露出來。近幾年隨著系統(tǒng)開放性呼聲越來越高，在行業(yè)內(nèi)部出現(xiàn)了一些開放的公用的專有通信協(xié)議，例如OPC，ModbusTCP，現(xiàn)場總線(Foundation／Hart／Profibus)等。3）相對的獨(dú)立性。過程控制系統(tǒng)通常都是根據(jù)工藝設(shè)備的要求而進(jìn)行獨(dú)立設(shè)計(jì)，所以無論從前期網(wǎng)絡(luò)設(shè)計(jì)到實(shí)際物理安裝，整個(gè)控制系統(tǒng)網(wǎng)絡(luò)都是相當(dāng)獨(dú)立的，不會(huì)與其他任何應(yīng)用存在交聯(lián)部分。在與外界交互的通道上僅僅開放OPCServer一個(gè)接口，通過OPC工業(yè)通信協(xié)議與外部進(jìn)行數(shù)據(jù)交換。4）較長的產(chǎn)品更新周期。過程控制系統(tǒng)產(chǎn)品不以追求設(shè)備的先進(jìn)性為目標(biāo)，更多地是強(qiáng)調(diào)安全性與穩(wěn)定性。所以結(jié)合實(shí)際工藝生產(chǎn)以及設(shè)備投資來進(jìn)行綜合考慮，過程控制系統(tǒng)通常具有較長的更新周期，這樣就導(dǎo)致系統(tǒng)操作平臺(tái)的安全漏洞得不到及時(shí)的維護(hù)。5）與殺毒軟件兼容性差。目前市場上的殺毒軟件廠商基本都是針對常用的應(yīng)用軟件進(jìn)行兼容性測試，針對市場上使用頻率較高的軟件進(jìn)行病毒防治策略的研究。而在網(wǎng)絡(luò)中基于Windows平臺(tái)上安裝的所有過程控制軟件，幾乎沒有殺毒軟件廠商對其進(jìn)行過完整的兼容性測試。這種情況同樣也適應(yīng)于過程控制系統(tǒng)制造商，各家控制系統(tǒng)制造商一般只認(rèn)可少數(shù)幾種防病毒軟件，所以在工控領(lǐng)域的操作層級(jí)進(jìn)行統(tǒng)一部署防護(hù)策略是一件很困難的事。

1.2過程控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)點(diǎn)根據(jù)對過程控制系統(tǒng)結(jié)構(gòu)的分析，通常易受病毒侵襲的主要風(fēng)險(xiǎn)點(diǎn)主要有“數(shù)據(jù)采集網(wǎng)絡(luò)的連接”，“先進(jìn)過程控制站的連接”，“操作站”之間的三處連接。1）與數(shù)據(jù)采集網(wǎng)絡(luò)的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機(jī)，但無其他任何防護(hù)措施。雖然OPC數(shù)據(jù)采集機(jī)采用雙網(wǎng)卡配置，并已經(jīng)將控制網(wǎng)與信息網(wǎng)進(jìn)行隔離，信息網(wǎng)已經(jīng)無法對控制網(wǎng)進(jìn)行操縱攻擊，但是雙網(wǎng)卡結(jié)構(gòu)的配置，對病毒的傳播沒有任何阻擋作用，所以來自上層信息網(wǎng)對控制網(wǎng)的病毒感染是目前的最大隱患。2）先進(jìn)控制過程站的病毒感染隱患例如先進(jìn)控制過程站通?？梢杂绍浖?yīng)商進(jìn)行自由操作，先進(jìn)控制過程站本身并無任何防護(hù)措施，具有較高的病毒感染風(fēng)險(xiǎn)。首先先進(jìn)控制過程站的安裝、調(diào)試、運(yùn)行一般需要較長的時(shí)間，而且需要項(xiàng)目工程師進(jìn)行不斷的調(diào)試、修改。期間先進(jìn)控制過程站需要頻繁與外界進(jìn)行數(shù)據(jù)交換，這給先進(jìn)控制過程站本身帶來很大感染病毒的風(fēng)險(xiǎn)。一旦先進(jìn)控制過程站受到病毒感染，其對實(shí)時(shí)運(yùn)行的控制系統(tǒng)安全會(huì)造成極大隱患。另外先進(jìn)過程控制站是應(yīng)用OPC通信協(xié)議進(jìn)行數(shù)據(jù)通信的，所以采用常規(guī)IT策略（例如常規(guī)的通用防火墻）無法提供適宜的防護(hù)。3）操作站互相感染的隱患目前大多數(shù)操作站都運(yùn)行一個(gè)工作網(wǎng)絡(luò)中，但在網(wǎng)絡(luò)內(nèi)部沒有采取任何有效防護(hù)措施。而工業(yè)平臺(tái)基本采用PC+Windows架構(gòu)，同時(shí)也廣泛應(yīng)用以太網(wǎng)進(jìn)行連接，TCP，STMP，POP3，ICMP，Netbios等大量開放的通信協(xié)議被廣泛應(yīng)用。但活躍在這些通訊協(xié)議上的木馬、蠕蟲等計(jì)算機(jī)病毒也具有一定的規(guī)模。目前普通的防火墻無法實(shí)現(xiàn)工業(yè)通信協(xié)議的過濾，所以當(dāng)網(wǎng)絡(luò)中某個(gè)操作站或工程師站感染病毒時(shí)，可能會(huì)馬上通過數(shù)據(jù)交換傳播到該工作網(wǎng)絡(luò)中的其他PC機(jī)上，這就容易造成網(wǎng)絡(luò)上所有操作站同時(shí)發(fā)生故障，嚴(yán)重時(shí)可導(dǎo)致所有操作站同時(shí)失控，甚至造成不可估計(jì)的損失。

2防護(hù)措施與建議

通過考慮石油化工過程控制系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)和安全設(shè)計(jì)，同時(shí)參考保護(hù)層理論，列出了硬件、網(wǎng)絡(luò)通信預(yù)防手段、殺毒軟件預(yù)防手段、網(wǎng)絡(luò)管理規(guī)章制度、良好的個(gè)人工作習(xí)慣等多個(gè)“保護(hù)層”，下圖為石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型。圖1石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型根據(jù)上圖列出的各個(gè)風(fēng)險(xiǎn)點(diǎn)，可以參考以下措施進(jìn)行有針對性的安全防護(hù)。

2.1設(shè)置防火墻相關(guān)單位或部門應(yīng)該針對過程控制系統(tǒng)設(shè)置防火墻。防火墻是一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在網(wǎng)絡(luò)通信中采用防火墻，它能允許系統(tǒng)預(yù)設(shè)的人員和數(shù)據(jù)（白名單）進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門外，可以最大限度地阻止網(wǎng)絡(luò)中的黑客訪問公司內(nèi)部網(wǎng)絡(luò)，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造一道保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm、瑞星個(gè)人防火墻、卡巴斯基等均有完善的白名單以及黑名單設(shè)置，管理員可以根據(jù)相應(yīng)的軟件說明書和自身狀況進(jìn)行詳細(xì)設(shè)置。

2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過程控制系統(tǒng)工業(yè)計(jì)算機(jī)上安裝相應(yīng)的殺毒軟件，以降低電腦病毒、特洛伊木馬和惡意軟件等感染計(jì)算機(jī)的概率。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能，有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預(yù)防系統(tǒng)等）的重要組成部分。但是需要注意的是，有的時(shí)候殺毒軟件會(huì)對工業(yè)計(jì)算機(jī)上的一些正常行為誤報(bào)為病毒或木馬。這時(shí)候就需要網(wǎng)絡(luò)安全管理人員在安裝殺毒軟件的同時(shí)，將已確認(rèn)的工業(yè)正常行為錄入殺毒軟件的信任列表，以避免誤刪重要程序或?qū)е孪到y(tǒng)停機(jī)的情況發(fā)生。

篇2

中圖分類號(hào)：F407 文獻(xiàn)標(biāo)識(shí)碼： A

一、前言

作為電廠生產(chǎn)運(yùn)作的一項(xiàng)重要工具，生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應(yīng)用和深入的研究。研究其網(wǎng)絡(luò)信息安全，能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性，從而更好地保證電廠生產(chǎn)的順利進(jìn)行。本文從概述相關(guān)內(nèi)容開始探究。

二、概述

為了提高工作效率，絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)存在的安全隱患同樣會(huì)對信息安全造成很多的威脅，甚至?xí)﹄姀S造成重大經(jīng)濟(jì)損失。電廠網(wǎng)絡(luò)面臨的威脅來自于電廠內(nèi)部和電廠外部兩個(gè)方面，安全隱患主要體現(xiàn)在管理不嚴(yán)，導(dǎo)致非法入侵；電廠內(nèi)部操作不規(guī)范，故意修改自己的IP地址等，導(dǎo)致電廠內(nèi)部信息的泄漏；網(wǎng)絡(luò)黑客通過系統(tǒng)的漏洞進(jìn)行攻擊，導(dǎo)致網(wǎng)絡(luò)的癱瘓，數(shù)據(jù)的盜??；病毒通過局域網(wǎng)資料的共享造成病毒的蔓延等。

電廠網(wǎng)絡(luò)面臨的外部威脅主要是指黑客攻擊，它們憑借計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到電廠內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中，非法獲得電廠內(nèi)部的機(jī)密文件和信息。無論是操作系統(tǒng)還是網(wǎng)絡(luò)服務(wù)都存在一定的安全漏洞，這些漏洞的存在，就給攻擊者提供了入侵的機(jī)會(huì)。網(wǎng)絡(luò)黑客通過各種手段對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行攻擊，非法闖入信息系統(tǒng)，竊取信息，泄露信息系統(tǒng)內(nèi)的重要文件。

由于電廠內(nèi)部管理不善，電廠員工的惡意行為也影響著信息的安全，內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報(bào)復(fù)。其中，內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因，有的工作人員利用自己的工作便利進(jìn)入電廠的信息系統(tǒng)，竊取電廠信息系統(tǒng)內(nèi)的重要文件，并將信息泄漏給他人，獲取一定的利益；有的員工直接打開從網(wǎng)上下載的文件和視頻，不經(jīng)過專業(yè)殺毒軟件的掃描，給電廠的內(nèi)部網(wǎng)絡(luò)帶來安全隱患，甚至帶來的病毒在全網(wǎng)絡(luò)蔓延，造成電廠內(nèi)網(wǎng)的癱瘓，嚴(yán)重?fù)p壞公司的利益，影響公司的正常運(yùn)轉(zhuǎn)。

三、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患

1.被動(dòng)攻擊形式

被動(dòng)攻擊這種情況下在計(jì)算機(jī)領(lǐng)域中稱作是流量分析現(xiàn)象。在計(jì)算機(jī)網(wǎng)絡(luò)安全中，最為典型的信息攻擊方式是信息的截獲，信息的捕獲主要指的是在信息技術(shù)中，網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)技術(shù)對他人的私人信息進(jìn)行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀。在這個(gè)過程中，網(wǎng)絡(luò)信息得到攻擊者通過對數(shù)據(jù)信息的觀察與分子，進(jìn)行相應(yīng)的網(wǎng)絡(luò)信息的攻擊，尤其是對其中的一個(gè)數(shù)據(jù)單元進(jìn)行相應(yīng)的攻擊，其中攻擊的是網(wǎng)絡(luò)中的信息數(shù)據(jù)，并不是信息流。上述的這些網(wǎng)絡(luò)信息的安全隱患中，網(wǎng)絡(luò)信息的攻擊者和黑客是無處不在的，總是對網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息進(jìn)行攻擊，盜取用戶的個(gè)人信息，這些攻擊者主要是通過網(wǎng)絡(luò)中的數(shù)據(jù)協(xié)議PUD對用戶的信息資源進(jìn)行了一定的控制與盜取，最終導(dǎo)致而來網(wǎng)絡(luò)信息資源安全隱患的產(chǎn)生。

2.主動(dòng)攻擊

計(jì)算機(jī)網(wǎng)絡(luò)安全注的主動(dòng)攻擊是指，在計(jì)算機(jī)網(wǎng)絡(luò)通訊系統(tǒng)中，攻擊者或者是黑客，通過網(wǎng)絡(luò)技術(shù)，連接到具體的數(shù)據(jù)通訊協(xié)議進(jìn)行有目的有計(jì)劃的信息資源的獲取。這個(gè)過程是一種目的性明確的信息盜取方式，對于系統(tǒng)中的信息進(jìn)行有目的的安全性攻擊。并且在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)通訊技術(shù)的安全性攻擊過程中，攻擊者通過對系統(tǒng)中的數(shù)據(jù)協(xié)議進(jìn)行攻擊，延遲了PDU的運(yùn)行，嚴(yán)重情況下，最終將一種偽造的PDU輸送到相應(yīng)的網(wǎng)絡(luò)中進(jìn)行信息數(shù)據(jù)的傳輸。其中，此處所述的信息中斷、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說的一種計(jì)算機(jī)網(wǎng)絡(luò)完全的被動(dòng)攻擊方式。

四、電廠生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)安全的改進(jìn)方案

1.物資需求計(jì)劃的應(yīng)用

MRP即物資需求計(jì)劃，所謂物資需求計(jì)劃指根據(jù)產(chǎn)品結(jié)構(gòu)中不同層次的物品的從屬關(guān)系和數(shù)量關(guān)系，以單件產(chǎn)品為對象，以完工時(shí)間為標(biāo)準(zhǔn)的倒排計(jì)劃，根據(jù)提前期的長短制定物品下達(dá)時(shí)間的先后順序，是一種電廠內(nèi)的物資計(jì)劃管理模式。通過運(yùn)用物資需求計(jì)劃，精確地對每月的生產(chǎn)任務(wù)進(jìn)行合理安排，可以有效解決電廠生產(chǎn)過程中出現(xiàn)的“月初任務(wù)松，月末任務(wù)緊”的現(xiàn)象，通過合理調(diào)整生產(chǎn)計(jì)劃，使發(fā)電廠對市場的應(yīng)變能力加強(qiáng)。

2.完善身生產(chǎn)生產(chǎn)計(jì)劃和控制系統(tǒng)

發(fā)電廠需要將安全生產(chǎn)列為其主要的研究內(nèi)容，通過確保其生產(chǎn)質(zhì)量提高其在同行業(yè)中的競爭力，從而獲得較大的經(jīng)濟(jì)效益。通過完善發(fā)電廠自身的管理體系，使其在進(jìn)行安全生產(chǎn)的同時(shí)，保障其生產(chǎn)計(jì)劃的順利執(zhí)行。建立并完善合理的監(jiān)督管理體系，有助于提高發(fā)電廠內(nèi)部員工的自覺性和職業(yè)素質(zhì)，可以在滿足客戶需求的同時(shí)，有效地提高發(fā)電廠的經(jīng)濟(jì)效益。

3.主生產(chǎn)計(jì)劃方案編制

所謂主生產(chǎn)計(jì)劃，是物資需求計(jì)劃的主要輸入因素，其以合同為依據(jù)，并按一定的時(shí)間段對相關(guān)電力產(chǎn)品的數(shù)量以及交貨日期進(jìn)行合理分析，并在現(xiàn)有的生產(chǎn)計(jì)劃與設(shè)備資源中做出相應(yīng)的平衡的新型生產(chǎn)計(jì)劃。另一方面，從客戶和電廠的雙方面角度出發(fā)，主生產(chǎn)計(jì)劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計(jì)劃，另一方面使得電廠的各項(xiàng)生產(chǎn)得以有序進(jìn)行，從而提高了電廠與用戶的合作效率。

五、強(qiáng)化生產(chǎn)控制系統(tǒng)安全的措施

1.對安全規(guī)劃產(chǎn)生足夠的重視

電廠網(wǎng)絡(luò)安全規(guī)劃就是全面的思考網(wǎng)絡(luò)的安全問題，對于安全問題，需要以系統(tǒng)觀點(diǎn)進(jìn)行考慮。要想提升安全管理的有效性，就需要對信息安全管理體系進(jìn)行全面系統(tǒng)的構(gòu)建。

2.對安全域進(jìn)行合理劃分

電廠將電廠網(wǎng)絡(luò)的內(nèi)外網(wǎng)實(shí)行了物理隔離，但是在內(nèi)網(wǎng)上，安全域的合理劃分依然非常重要。在劃分的時(shí)候，需要結(jié)合整體的安全規(guī)劃和信息安全等級(jí)來進(jìn)行，對核心重點(diǎn)防范區(qū)域和一般防范區(qū)域以及開放區(qū)域進(jìn)行劃分。網(wǎng)絡(luò)安全的核心就是重點(diǎn)防范區(qū)域，用戶不能夠?qū)@個(gè)區(qū)域直接訪問，安全級(jí)別較高；應(yīng)該在這個(gè)區(qū)域內(nèi)放置各種重要數(shù)據(jù)、服務(wù)器和數(shù)據(jù)庫服務(wù)器，在本區(qū)域內(nèi)運(yùn)行各種應(yīng)用系統(tǒng)、OA系統(tǒng)等。

3.對安全管理進(jìn)行強(qiáng)化，對制度建設(shè)產(chǎn)生足夠的重視

為了促使電廠網(wǎng)絡(luò)信息安全得到保證，就需要系統(tǒng)性的考慮電廠網(wǎng)絡(luò)信息安全，對于電廠網(wǎng)絡(luò)的安全問題，非常重要的一個(gè)方面就是安全管理和制度建設(shè)。首先要對日志管理和安全審計(jì)產(chǎn)生足夠的重視，通常情況下，審計(jì)功能是防火墻和入侵檢測系統(tǒng)都具備的，要將它們的審計(jì)功能給充分利用起來，提升網(wǎng)絡(luò)日志管理和安全審計(jì)的質(zhì)量。要嚴(yán)格管理審計(jì)數(shù)據(jù)，任何人不得對審計(jì)記錄進(jìn)行隨意的修改和刪除。

4.構(gòu)建內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)

網(wǎng)絡(luò)信息安全最為關(guān)鍵的一項(xiàng)技術(shù)就是認(rèn)證，通過認(rèn)證，身份鑒別服務(wù)、訪問控制服務(wù)以及機(jī)密都可以得到實(shí)現(xiàn)。對病毒防護(hù)體系進(jìn)行構(gòu)建，將防病毒體系安裝于電廠網(wǎng)絡(luò)上，遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警以及集中管理等都是防病毒軟件的功能；要對防病毒的管理制度進(jìn)行構(gòu)建，不能夠在內(nèi)網(wǎng)主機(jī)上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù)，不能夠在聯(lián)網(wǎng)計(jì)算機(jī)上使用來歷不明的移動(dòng)存儲(chǔ)設(shè)備，發(fā)現(xiàn)病毒之后，相關(guān)工作人員需要及時(shí)采取處理措施。

六、結(jié)束語

通過對電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全的相關(guān)研究，我們可以發(fā)現(xiàn)，威脅其安全的因素來自多方面，有關(guān)人員應(yīng)該從電廠生產(chǎn)控制系統(tǒng)運(yùn)作的客觀實(shí)際出發(fā)，充分分析威脅因素，從而研究制定最為切合實(shí)際的網(wǎng)絡(luò)信息安全應(yīng)對策略。

參考文獻(xiàn)：

[1] 覃冠標(biāo).關(guān)于發(fā)電廠生產(chǎn)計(jì)劃與控制系統(tǒng)的改進(jìn)研究[J].科技資訊.2013（34）：141-143.

[2] 吳興波.S公司生產(chǎn)計(jì)劃與控制改進(jìn)研究[J].華南理工大學(xué)學(xué)報(bào).2010（01）：88-89.

篇3

0　引言

對于電力部門來說，保奧運(yùn)，確保電網(wǎng)和系統(tǒng)安全，是目前各發(fā)電集團(tuán)公司、國家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護(hù)電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護(hù)電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩Ｓ绊戨娏ο到y(tǒng)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。

電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)相對封閉，電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。但是，隨著近年來與外界接口的增加，特別是與政府、金融機(jī)構(gòu)等合作單位中間業(yè)務(wù)的接口、網(wǎng)上服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊也越來越多，已經(jīng)成為電力系統(tǒng)不可忽視的威脅來源。但是，據(jù)我所知，未來電力系統(tǒng)網(wǎng)上服務(wù)所采用的策略一般是由各省公司做統(tǒng)一對外服務(wù)出口，各級(jí)分局或電力公司和電廠將沒有對外出口；從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看，除大量現(xiàn)存的C/S結(jié)構(gòu)以外，還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。所以，對于電力系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中通訊、信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅，造成電力系統(tǒng)癱瘓。對于電力系統(tǒng)來說，主要是保護(hù)電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護(hù)電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲(chǔ)，數(shù)據(jù)傳輸?shù)陌踩?/p>

1 電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅

(1)人為的無意失誤

如果網(wǎng)絡(luò)安全配置不當(dāng)造成的安全漏洞，包括安全意識(shí)、用戶口令、賬號(hào)、共享信息資源等都會(huì)對網(wǎng)絡(luò)安全帶來威脅。主機(jī)存在系統(tǒng)漏洞，通過電力網(wǎng)絡(luò)入侵系統(tǒng)主機(jī)，并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器，進(jìn)而對整個(gè)電力系統(tǒng)造成很大的威脅。

(2)人為的惡意攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成直接的極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn)，針對windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80％的計(jì)算機(jī)造成了破壞，安徽省省電力公司系統(tǒng)內(nèi)也有多個(gè)供電企業(yè)的信息系統(tǒng)遭到病毒的破壞，這一事件給網(wǎng)絡(luò)安全再次敲響了警鐘!

2　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式

電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個(gè)非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團(tuán)式攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓。必須提出針對以上事故的各種應(yīng)急預(yù)案。 隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多，要求在業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來越多，對電力網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。其安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式如下：

(1)UNIX和Windows主機(jī)操作系統(tǒng)存在安全漏洞。

(2)Oracle，Sybase、MS SQL等主要關(guān)系型數(shù)據(jù)庫的自身安全漏洞。

(3)重要應(yīng)用系統(tǒng)的安全漏洞，如：MS IIS或Netscape WEB服務(wù)應(yīng)用的“緩存區(qū)溢出”等，使得攻擊者輕易獲取超級(jí)用戶權(quán)限。核心的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)、訪問服務(wù)器、防火墻存在安全漏洞。

(4)利用TCP/IP等網(wǎng)絡(luò)協(xié)議自身的弱點(diǎn)(DDOS分布式拒絕服務(wù)攻擊)，導(dǎo)致網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)中打開大量的服務(wù)端口(女IIRPC、FTP、TELNET、SMTP、FINGER等)，容易被攻擊者利用。黑客攻擊工具非常容易獲得，并可以輕易實(shí)施各類黑客攻擊，如：特洛伊木馬、蠕蟲、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、同時(shí)可利用ActiveX、Java、JavaScript、VBS等實(shí)施攻擊。造成網(wǎng)絡(luò)的癱瘓和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡(luò)中非法安裝和使用未授權(quán)軟件。對網(wǎng)絡(luò)性能和業(yè)務(wù)造成直接影響。系統(tǒng)及網(wǎng)絡(luò)設(shè)備的策略(如防火墻等)配置不當(dāng)。

(5)關(guān)鍵主機(jī)系統(tǒng)及數(shù)據(jù)文件被篡改或誤改，導(dǎo)致系統(tǒng)和數(shù)據(jù)不可用，業(yè)務(wù)中斷等。

(6)分組協(xié)議里的閉合用戶群并不安全，信任關(guān)系可能被黑客利用。

(7)應(yīng)用軟件的潛在設(shè)計(jì)缺陷。

(8)在內(nèi)部有大批的對內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)相當(dāng)熟悉的人員，據(jù)統(tǒng)計(jì)，70％以上的成功攻擊來自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡(luò)互通存在著極大的風(fēng)險(xiǎn)。

(9)雖然將來由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務(wù)，但很多分局和分公司仍允許以撥號(hào)、DDN專線、ISDN等方式單獨(dú)接入互聯(lián)網(wǎng)，存在著由多個(gè)攻擊入口進(jìn)入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全，如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點(diǎn)等，技術(shù)人員的忠誠度和穩(wěn)定性，將直接關(guān)系到系統(tǒng)安全。

(10)各局使用的OA辦公自動(dòng)化系統(tǒng)大量使用諸如WINDOWS操作系統(tǒng)，可能存在安全的薄弱環(huán)節(jié)，并且有些分局可能提供可拷貝腳本式的撥號(hào)服務(wù)，撥入網(wǎng)絡(luò)后，即可到達(dá)電力的內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。

系統(tǒng)為電力客戶提供方便服務(wù)的同時(shí)，數(shù)據(jù)的傳輸在局外網(wǎng)絡(luò)和局內(nèi)局域網(wǎng)絡(luò)的傳輸中極有可能被竊取，通過 Sniffer 網(wǎng)絡(luò)偵聽極易獲得超級(jí)用戶的密碼。

3　系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)基本控制策略

針對電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性，電力安全方案要能抵御通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓?？傮w來說，電力系統(tǒng)安全解決方案的總體策略如下：

(1)分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度，按其性質(zhì)可劃分為實(shí)時(shí)控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個(gè)安全區(qū)域，重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護(hù)方案。

(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護(hù)。

(3)網(wǎng)絡(luò)專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并通過采用MPLS-VPN形成多個(gè)相互邏輯隔離的IPSEC VPN，實(shí)現(xiàn)多層次的保護(hù)。

(4)設(shè)備獨(dú)立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡(luò)交換機(jī)設(shè)備。

(5)縱向防護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。

4　電力系統(tǒng)的網(wǎng)絡(luò)安全解決方案

針對電力網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡(luò)設(shè)備；保護(hù)電力數(shù)據(jù)中心及其設(shè)備中心的網(wǎng)絡(luò)、服務(wù)器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離，并且制定科學(xué)的安全策略；制定權(quán)限管理――這是對應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全保障；考慮網(wǎng)絡(luò)上設(shè)備安裝后仍然可能存在的安全漏洞，并制定相應(yīng)措施策略。

(1)在網(wǎng)絡(luò)設(shè)備的安全管理方面，將所有網(wǎng)絡(luò)設(shè)備上的Console口加設(shè)密碼進(jìn)行屏蔽，配置管理全部采用DUT-BAND帶外方式，并對每個(gè)被管理的設(shè)備均設(shè)置相應(yīng)的帳戶和口令，只有網(wǎng)絡(luò)管理員具有對網(wǎng)絡(luò)設(shè)備訪問配置和更改密碼的權(quán)力。

(2)存網(wǎng)管中心通過劃分不同安全區(qū)域來規(guī)范管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò)，從邏輯上把每個(gè)部門的資源獨(dú)立成一個(gè)安全區(qū)域，對安全區(qū)域的劃分基于安全性策略或規(guī)則，使區(qū)域的劃分更具安全性。網(wǎng)絡(luò)管理員可根據(jù)用戶需求，把某些共享資源分配到單獨(dú)的安全區(qū)域中，并控制區(qū)域之間的訪問。

(3)VPN和IPsec加密的使用。電力網(wǎng)絡(luò)將通過MPLS VPN把跨骨干的廣域網(wǎng)絡(luò)變成自己的私有網(wǎng)絡(luò)。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會(huì)對數(shù)據(jù)的完整與安全構(gòu)成潛在危險(xiǎn)，在數(shù)據(jù)進(jìn)入MPLSVPN網(wǎng)絡(luò)之前首先經(jīng)過IPsec加密，在離開VPN網(wǎng)絡(luò)后又再進(jìn)行IPsec解密。

(4)通過網(wǎng)絡(luò)設(shè)置控制網(wǎng)絡(luò)的安全。在交換機(jī)、路由器、數(shù)據(jù)庫和各種認(rèn)證上，層層進(jìn)行安全設(shè)置，從而確保整個(gè)網(wǎng)絡(luò)的安全。

(5)通過專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。

(6)進(jìn)行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進(jìn)行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進(jìn)行監(jiān)控使用，也可以部署在服務(wù)器的前端作為防攻擊的IPS產(chǎn)品使用，前題是保障網(wǎng)絡(luò)的安全性。

5　電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全解決方案

外部攻擊影響巨大，但內(nèi)部攻擊危害巨大，為了解決內(nèi)網(wǎng)安全問題，在一個(gè)電力／電廠系統(tǒng)的局域網(wǎng)內(nèi)部，可以使用防火墻對不同的網(wǎng)段進(jìn)行隔離，并且使用IPS設(shè)備對關(guān)鍵應(yīng)用進(jìn)行監(jiān)控和保護(hù)。同時(shí)，使用IPS設(shè)備架設(shè)在相應(yīng)的安全區(qū)域，保證訪問電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性，可審計(jì)性以及防止惡意流量的攻擊。并且實(shí)現(xiàn)以下的主要目的：

(1)網(wǎng)絡(luò)安全：防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。

(2)防火墻負(fù)載均衡：網(wǎng)絡(luò)安全性越來越成為電力系統(tǒng)擔(dān)心的問題了，網(wǎng)絡(luò)安全已經(jīng)成為了關(guān)鍵部門關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問的常用方法。

(3)服務(wù)器負(fù)載均衡：執(zhí)行一定的負(fù)載均衡算法，可以針對電廠內(nèi)關(guān)鍵的服務(wù)器群動(dòng)態(tài)分配負(fù)載。

6　廣域網(wǎng)整體安全解決方案

對于整個(gè)廣域網(wǎng)，為了端對端，局對局的安全性，本著不受他系統(tǒng)影響／不影響他系統(tǒng)的安全原則，可對防火墻以及IPS設(shè)備進(jìn)行分布式部署。

通過過濾的規(guī)則設(shè)置可以使得我們方便地控制網(wǎng)絡(luò)內(nèi)部資源對外的開放程度，特別是針對國家電網(wǎng)公司、當(dāng)?shù)卣约癐nternet僅僅開放某個(gè)IP的特殊端口，有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認(rèn)證等規(guī)則的應(yīng)用，可以確定不同的內(nèi)部用戶享受不同的訪問外部資源的級(jí)別，對于內(nèi)部用戶嚴(yán)格區(qū)分網(wǎng)段，而且可以利用獨(dú)特的內(nèi)置LDAP的功能對客戶端進(jìn)行認(rèn)證。通過這種方式可以有效地限制內(nèi)部用戶主動(dòng)將信息通過網(wǎng)絡(luò)向外界傳遞。

雙機(jī)熱備(負(fù)載均衡)：為了提高系統(tǒng)的可靠性，通過監(jiān)控設(shè)備的CPU Loading來確認(rèn)誰轉(zhuǎn)發(fā)流量，極大的提高了防火墻的吞吐量。

友好的用戶界面：只需作簡單的培訓(xùn)，用戶即可進(jìn)行規(guī)則配置、系統(tǒng)管理、統(tǒng)計(jì)。

7　參考文獻(xiàn)

[1]　《StoneSoft電力系統(tǒng)網(wǎng)絡(luò)安全解決方案》StoneSoft

公司，2005。

[2] 王桂娟，張漢君?！毒W(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析》[J]．中南民族

大學(xué)學(xué)報(bào)，2007，(11)。

[3] 陳 偉、鮑 慧．《電力系統(tǒng)網(wǎng)絡(luò)安全體系研究》[丁]．電

篇4

 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個(gè)寬帶，互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點(diǎn) 

校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn)： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強(qiáng)大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運(yùn)營的特性；6）經(jīng)濟(jì)實(shí)用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作，應(yīng)實(shí)行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離，重點(diǎn)對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財(cái)務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財(cái)務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。 

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個(gè)方面： 

1）要制訂嚴(yán)格的規(guī)章管理制度：可制定的相應(yīng)：《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。 

2）要配備相應(yīng)的軟硬件安全設(shè)備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊的檢測和報(bào)警。防火墻主要類型有包過濾型，包過濾防火墻就是利用ip和tcp包的頭信息對進(jìn)出被保護(hù)網(wǎng)絡(luò)的ip包信息進(jìn)行過濾，能依據(jù)我們制定安全防范策略來控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，也可實(shí)現(xiàn)網(wǎng)絡(luò)ip地址轉(zhuǎn)換（nat）、審記與實(shí)時(shí)告警等功能。因?yàn)榉阑饓Π惭b在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上，所有也對被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。 

4.2 通過使用內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制 

主要是利用vlan技術(shù)來實(shí)現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。可以通過在交換機(jī)上劃分vlan可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域，實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。因此就能防止影響一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。對于某些網(wǎng)絡(luò)，一部分局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任，或者某個(gè)網(wǎng)段比另一個(gè)更加敏感，在不同的譏an段內(nèi)劃分信任網(wǎng)段和不信任網(wǎng)段，就可以限制局部網(wǎng)絡(luò)安全問題對全部網(wǎng)絡(luò)造成的影響。 

4.3 通過使用網(wǎng)絡(luò)安全檢測 

根據(jù)短板原理，可以說網(wǎng)絡(luò)系統(tǒng)的安全性完全取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。最有效的方法就是定時(shí)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)準(zhǔn)確發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，能及時(shí)準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，也能最大限度地保證網(wǎng)絡(luò)系統(tǒng)安全。 

網(wǎng)絡(luò)安全檢測工具是一款網(wǎng)絡(luò)安全性評估分析軟件，其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動(dòng)響應(yīng)功能，能及時(shí)找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時(shí)刻被糾正；及時(shí)控制各種網(wǎng)絡(luò)安全危險(xiǎn)；進(jìn)行漏洞分析和響應(yīng)；進(jìn)行配置分析和響應(yīng)；進(jìn)行認(rèn)證和趨勢分析。 

它的主要功能就是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議采用補(bǔ)救措施和安全策略，從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。 

 

參考文獻(xiàn)： 

篇5

 

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個(gè)寬帶，互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點(diǎn) 

校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn)： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強(qiáng)大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運(yùn)營的特性；6）經(jīng)濟(jì)實(shí)用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作，應(yīng)實(shí)行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離，重點(diǎn)對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財(cái)務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財(cái)務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個(gè)方面： 

篇6

 

關(guān)鍵詞： 網(wǎng)絡(luò)安全　安全需求　措施 

1 校園網(wǎng)的概念 

簡單地說，校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ)，是為學(xué)院教師和學(xué)生提供教學(xué)，科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求，校園網(wǎng)必須是一個(gè)寬帶，互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點(diǎn) 

校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn)： 

1）提供高速網(wǎng)絡(luò)連接；2）滿足復(fù)雜的信息結(jié)構(gòu)；3）強(qiáng)大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運(yùn)營的特性；6）經(jīng)濟(jì)實(shí)用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1）管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限，因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度，例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì)，對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作，應(yīng)實(shí)行多人參與措施等等。 

2）業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作，嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限，需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過調(diào)研分析，初步定為有以下需求： 

1）校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處，對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離，重點(diǎn)對源地址為教育網(wǎng)，而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2）校園網(wǎng)中，教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3）校園網(wǎng)中，教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4）校園網(wǎng)中，行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5）校園網(wǎng)中，網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6）校園網(wǎng)中，公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7）各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全，即按信息的敏感程度，將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)，例如：專用業(yè)務(wù)子網(wǎng)（財(cái)務(wù)處、教務(wù)處、人事部等）和普通子網(wǎng)，對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng)，如：財(cái)務(wù)處、教務(wù)處、人事處等等，必須確保這些子網(wǎng)的信息安全，包括：防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控，防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全，主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離 

訪問控制體現(xiàn)在如下幾個(gè)方面： 

篇7

中圖分類號(hào)：TP393.1文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 03-0000-02

The Quality Control of Residential District Network and Information Security Systems

Li Junling

(Harbin University of Commercial,Harbin150028,China)

Abstract:The residential area network and information security systems are linked together through a variety of control devices,sensors and actuators to achieve real-time information exchange,management and control via the fieldbus,Ethernet or broadband access network.This paper describes the quality control of the living cell network and information security systems to protect the quality of the project,the purpose of improving service quality.

Keywords:Computer network system configuration requirements;

Security system;Construction process;Quality control

一、引言

居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)的網(wǎng)絡(luò)是以廣域網(wǎng)、局域網(wǎng)和現(xiàn)場總線為物理集成平臺(tái)的多功能管理與控制相結(jié)合的綜合智能網(wǎng)。它的功能強(qiáng)大、結(jié)構(gòu)復(fù)雜，應(yīng)充分考慮現(xiàn)有技術(shù)的成熟程度和可升級(jí)性來確定居住小區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)。

（一）居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)配置要求的質(zhì)量控制

1.按國家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)CJ／T×××―2001中的要求進(jìn)行檢查。居住區(qū)寬帶接入網(wǎng)可采用FTTX，HFC和XDSL中任一種與其組合，或按設(shè)計(jì)要求采用其他類型的數(shù)據(jù)網(wǎng)絡(luò)。

2.居住區(qū)寬帶接入網(wǎng)應(yīng)提供如下功能：①支持用戶開戶／銷戶，用戶流量時(shí)間統(tǒng)計(jì)，用戶流量控制等管理功能；②應(yīng)提供安全的網(wǎng)絡(luò)保障；③居住區(qū)寬帶接入網(wǎng)應(yīng)提供本地計(jì)費(fèi)或遠(yuǎn)端撥號(hào)用戶認(rèn)證（RADIUS）的計(jì)費(fèi)功能。

3.控制網(wǎng)中有關(guān)信息或基于IP協(xié)議傳輸?shù)闹悄芙K端，應(yīng)通過居住區(qū)寬帶接入網(wǎng)集成到居住區(qū)物業(yè)管理中心計(jì)算機(jī)系統(tǒng)中，便于統(tǒng)一管理，資源共享。

（二）居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)提供信息服務(wù)的內(nèi)容

居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)提供信息服務(wù)包括Internet網(wǎng)接入服務(wù)、娛樂、商業(yè)服務(wù)、教育、醫(yī)療保健、電子銀行、家政服務(wù)、建立住戶個(gè)人電子信箱和個(gè)人網(wǎng)頁和資訊等內(nèi)容

二、居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)質(zhì)量控制要求

網(wǎng)絡(luò)安全問題涉及網(wǎng)絡(luò)和信息技術(shù)各個(gè)層面的持續(xù)過程，從HUB交換機(jī)、服務(wù)器到PC機(jī)，磁盤的存取，局域網(wǎng)上的信息互通以及Internet的駁接等各個(gè)環(huán)節(jié)，均會(huì)引起網(wǎng)絡(luò)的安全，所以網(wǎng)絡(luò)內(nèi)的產(chǎn)品（包括硬件和軟件）均應(yīng)嚴(yán)格把關(guān)。

1.定購硬件和軟件產(chǎn)品時(shí)，應(yīng)遵循一定的指導(dǎo)方針，（如非盜版軟件）確保安全。

2.任何網(wǎng)絡(luò)內(nèi)產(chǎn)品的采購必須經(jīng)過審批。

3.對于所有的新系統(tǒng)和軟件必須經(jīng)過投資效益分析和風(fēng)險(xiǎn)分析。

4.網(wǎng)絡(luò)安全系統(tǒng)的產(chǎn)品均應(yīng)符合設(shè)計(jì)（或合同）要求的產(chǎn)品說明書、合格證或驗(yàn)證書。

三、居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系施工過程質(zhì)量控制要點(diǎn)

按照有關(guān)對網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)要求，在網(wǎng)絡(luò)安裝的各個(gè)環(huán)節(jié)進(jìn)行監(jiān)督指導(dǎo)。

1.防火墻的設(shè)置。應(yīng)阻擋外部網(wǎng)絡(luò)的非授權(quán)訪問和窺探，控制內(nèi)部用戶的不合理流量，同時(shí)，它也能進(jìn)一步屏蔽了內(nèi)部網(wǎng)絡(luò)的拓補(bǔ)細(xì)節(jié)，便于保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

2.服務(wù)器的裝置。應(yīng)保證局域網(wǎng)用戶可以安全的訪問Internet提供的各種服務(wù)而局域網(wǎng)無須承擔(dān)任何風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)中要有備份和容錯(cuò)。

4.操作系統(tǒng)必須符合美國國家計(jì)算機(jī)安全委員會(huì)的C2級(jí)安全性的要求。

5.對網(wǎng)絡(luò)安全防御的其他手段，如IDS入侵檢測系統(tǒng)，密罐和防盜鈴，E-mail安全性，弱點(diǎn)掃描器，加密與網(wǎng)絡(luò)防護(hù)等均應(yīng)一一檢查。

6.應(yīng)檢查“系統(tǒng)安全策略”內(nèi)容是否符合實(shí)際要求。對于信息系統(tǒng)管理員還包括安全協(xié)定，E-mail系統(tǒng)維護(hù)協(xié)定和網(wǎng)絡(luò)管理協(xié)定等，確保所有的系統(tǒng)管理人員能夠及時(shí)報(bào)告問題和防止權(quán)力濫用。最好建議印成安全手冊或于內(nèi)部網(wǎng)上，使每個(gè)員工都能得到準(zhǔn)確的信息。

7.網(wǎng)絡(luò)宜建立應(yīng)及事件反映處理小組，并制定災(zāi)難計(jì)劃，尤其是提出保證系統(tǒng)恢復(fù)所需的硬件環(huán)境和有關(guān)人員。

8.應(yīng)用系統(tǒng)安全性應(yīng)滿足以下要求：

（1）身份認(rèn)證：嚴(yán)格管理用戶帳號(hào)，要求用戶必須使用滿足安全要求的口令。

（2）訪問控制：必須在身份認(rèn)證的基礎(chǔ)上根據(jù)用戶及資源對象實(shí)施訪問控制；用戶能正確訪問其獲得授權(quán)的對象資源，同時(shí)不能訪問未獲得授權(quán)的資源時(shí)，判為合格。

9.操作系統(tǒng)安全性應(yīng)滿足以下要求：

（1）操作系統(tǒng)版本應(yīng)使用經(jīng)過實(shí)踐檢驗(yàn)的具有一定安全強(qiáng)度的操作系統(tǒng)。

（2）使用安全性較高的文件系統(tǒng)。

（3）嚴(yán)格管理操作系統(tǒng)的用戶帳號(hào)，要求用戶必須使用滿足安全要求的口令。

10.信息安全系統(tǒng)質(zhì)量驗(yàn)收要求：

（1）物理系統(tǒng)安全檢察（規(guī)章制度、電磁泄漏等）。

（2）信息安全測試（模擬攻擊測試、訪問控制測試、安全隔離測試）。

（3）病毒系統(tǒng)測試（病毒樣本傳播測試）。

（4）入侵檢測系統(tǒng)測試(模擬攻擊測試)。

（5）操作系統(tǒng)檢查（文件系統(tǒng)、帳號(hào)、服務(wù)、審計(jì)）。

（6）互聯(lián)網(wǎng)行為管理系統(tǒng)(訪問控制測試)。

（7）應(yīng)用系統(tǒng)安全性檢查（身份認(rèn)證、訪問控制、安全審計(jì)等）。

四、常見質(zhì)量問題

1.無法保存撥號(hào)網(wǎng)絡(luò)連接的密碼。

2.發(fā)送的郵件有時(shí)會(huì)被退回來。

3.瀏覽中有時(shí)出現(xiàn)某些特定的錯(cuò)誤提示。

4.主機(jī)故障。

[現(xiàn)象]PC1機(jī)在進(jìn)行了一系列的網(wǎng)絡(luò)配置之后，仍無法正常連入總部局域網(wǎng)。如圖1網(wǎng)絡(luò)結(jié)構(gòu)所示。

圖1網(wǎng)絡(luò)結(jié)構(gòu)

說明：某用戶新購一臺(tái)PC1，通過已有HUB連入總部局域網(wǎng)。

[原因分析]

檢測線路，沒有發(fā)現(xiàn)問題。然后，查主機(jī)的網(wǎng)絡(luò)配置，有配錯(cuò)，該機(jī)的IP地址已被其他主機(jī)占用（如PC2），導(dǎo)致兩機(jī)的地址沖突。

[解決方法]

重新配置一個(gè)空閑合法地址后，故障排除。

總之，此類故障可歸納為主機(jī)故障，可分為以下幾類：

①主機(jī)的網(wǎng)絡(luò)配置不當(dāng)；②服務(wù)設(shè)置為當(dāng)；③未使用合法的網(wǎng)絡(luò)用戶名及密碼登錄到局域網(wǎng)上；④共享主機(jī)硬盤不當(dāng)。

解決的方法，目前只能是預(yù)防為主，并提高網(wǎng)絡(luò)安全防范意識(shí)，盡量不讓非法用戶有可乘之機(jī)。

五、結(jié)束語

建立一個(gè)高效、安全、舒適的住宅小區(qū)，必須有一套完整的高品質(zhì)住宅小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全布線系統(tǒng)，按照用戶的需求報(bào)告，本著一切從用戶出發(fā)的原則，根據(jù)多年來的豐富施工經(jīng)驗(yàn)，作出可靠性高及實(shí)用的技術(shù)配置方案，保障居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)工程質(zhì)量，提高網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)的服務(wù)質(zhì)量。

參考文獻(xiàn)：

[1]Chris Brenton,Cameron Hunt.網(wǎng)絡(luò)安全積極防御從入門到精通馮樹奇[M].金燕.北京:電子工業(yè)出版社,2001

[2]劉國林.綜合布線[M].上海:同濟(jì)大學(xué)出版社,1999

[3]楊志.建筑智能化系統(tǒng)及工程應(yīng)用[M].北京:化學(xué)工業(yè)出版社,2002

[4]沈士良.智能建筑工程質(zhì)量控制手冊[M].上海:同濟(jì)大學(xué)出版社,2002

[5]中國建設(shè)監(jiān)理協(xié)會(huì).建筑工程質(zhì)量控制[M].北京:中國建筑工業(yè)出版社,2003

[6]中國建設(shè)執(zhí)業(yè)網(wǎng).建筑物理與建筑設(shè)備[M].北京:中國建筑工業(yè)出版社,2006

[7]彭祖林.網(wǎng)絡(luò)系統(tǒng)集成工程項(xiàng)目投標(biāo)與施工[M].北京:國防工業(yè)出版社,2004

篇8

2安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求

2.1基本原則

數(shù)字式儀控系統(tǒng)整體結(jié)構(gòu)層面應(yīng)考慮以下原則：（1）網(wǎng)絡(luò)安全措施不能影響核電廠安全目標(biāo)。網(wǎng)絡(luò)安全措施不應(yīng)損害儀控系統(tǒng)架構(gòu)實(shí)施的多樣性和縱深防御的有效性。（2）首先按照IEC61513的要求，進(jìn)行儀控系統(tǒng)功能初次分配，并進(jìn)行儀控系統(tǒng)架構(gòu)總體設(shè)計(jì)，然后考慮可能影響整體系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求。通過迭代設(shè)計(jì)過程，將可能影響系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求整合到一起。（3）網(wǎng)絡(luò)安全功能不得對安全重要功能所要求的性能、有效性、可靠性和可操作性產(chǎn)生不利影響。（4）安全重要系統(tǒng)增加的網(wǎng)絡(luò)安全特征應(yīng)進(jìn)行失效模式和后果分析，并考慮預(yù)防、控制或緩解措施.（5）當(dāng)兩種架構(gòu)設(shè)計(jì)有相同等級(jí)的安全性時(shí)，優(yōu)先考慮具備網(wǎng)絡(luò)安全防范特性的設(shè)計(jì)。但應(yīng)避免不必要的復(fù)雜設(shè)計(jì)，因?yàn)閺?fù)雜設(shè)計(jì)既不利于功能安全也不利于網(wǎng)絡(luò)安全。

2.2網(wǎng)絡(luò)安全區(qū)域劃分原則

為了更切實(shí)地實(shí)施分級(jí)方法，需要將儀控系統(tǒng)中的基于計(jì)算機(jī)的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域，分級(jí)保護(hù)原則適用于各個(gè)安全區(qū)域。區(qū)域允許將在安全和設(shè)備功能方面有著相似重要性的系統(tǒng)分為一組，以管理并應(yīng)用保護(hù)措施。定義安全區(qū)域的標(biāo)準(zhǔn)可能包括組織問題、本地化、架構(gòu)或技術(shù)方面。劃分網(wǎng)絡(luò)安全區(qū)域應(yīng)考慮如下原則：（1）網(wǎng)絡(luò)安全區(qū)域的劃定應(yīng)考慮和利用為加強(qiáng)安全目的而引入的獨(dú)立性和物理隔離要求；（2）劃定網(wǎng)絡(luò)安全區(qū)域應(yīng)同時(shí)考慮數(shù)據(jù)通信、地理/物理隔離以及獨(dú)立性等方面；（3）除非能夠從網(wǎng)絡(luò)安全防范角度有效的過濾和監(jiān)測分隔之間的通信，否則由多個(gè)子列組成的儀控系統(tǒng)應(yīng)劃分到同一個(gè)網(wǎng)絡(luò)安全區(qū)域中。

2.3共因故障處理原則

在某些情況下，共因故障的措施，有利于網(wǎng)絡(luò)安全防范。具體情況需由負(fù)責(zé)網(wǎng)絡(luò)安全人員基于特定場景可能的惡意攻擊和潛在威脅進(jìn)行評估。多樣性手段在網(wǎng)絡(luò)安全防范中使用，利弊需要具體分析。以串聯(lián)方式可以增加網(wǎng)絡(luò)安全效果，但是會(huì)引入復(fù)雜性；以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞。對于集成到系統(tǒng)中的網(wǎng)絡(luò)安全防范措施，應(yīng)分析其可能在多樣性系統(tǒng)間引入共因故障的潛在風(fēng)險(xiǎn)。存在風(fēng)險(xiǎn)時(shí)，應(yīng)考慮替代措施，在保證充分的網(wǎng)絡(luò)安全的同時(shí)，降低共因故障風(fēng)險(xiǎn)。

2.4隔離原則

隔離設(shè)計(jì)在某些情況下也可用于網(wǎng)絡(luò)安全防范。應(yīng)由負(fù)責(zé)網(wǎng)絡(luò)安全的人員按照場景進(jìn)行分析，利用隔離措施促進(jìn)安全防范。功能安全相關(guān)標(biāo)準(zhǔn)所提出的用于支持A類功能的控制系統(tǒng)的獨(dú)立性要求，對網(wǎng)絡(luò)安全是有益的，應(yīng)針對具體場景進(jìn)行評估和驗(yàn)證，以便在網(wǎng)絡(luò)安全防范中納入這些措施。這些控制系統(tǒng)的獨(dú)立性要求包括：（1）對于那些僅用于檢測或保護(hù)目的的A類信號(hào)，對同時(shí)用于控制系統(tǒng)（無論其類別）的A類系統(tǒng)信號(hào)需要予以特別關(guān)注。這是由于傳感器故障可導(dǎo)致控制系統(tǒng)的測量值超出需求容許值，并產(chǎn)生不安全的控制動(dòng)作，同時(shí)還會(huì)方案保護(hù)系統(tǒng)對不安全工況的探測。（2）保護(hù)系統(tǒng)和控制系統(tǒng)應(yīng)設(shè)計(jì)成如下的形似和：對兩個(gè)系統(tǒng)之間所傳遞的信號(hào)，假設(shè)單一故障包括了后繼故障，不能引發(fā)事故或要求安全動(dòng)作的瞬態(tài)，同時(shí)，也不能引發(fā)A類系統(tǒng)不可接受的降級(jí)。（3）當(dāng)A類系統(tǒng)內(nèi)的一個(gè)單一隨機(jī)故障及其后任何后續(xù)故障可引發(fā)一個(gè)控制系統(tǒng)動(dòng)作，從而成為導(dǎo)致一個(gè)要求安全動(dòng)作的工況時(shí)，即使此時(shí)有第二個(gè)隨機(jī)故障使得A類系統(tǒng)降級(jí)，A類系統(tǒng)仍應(yīng)有提供安全動(dòng)作的能力。應(yīng)采取措施，無論任何原因，包括測試或維修目的，使得部件或組建旁通或退出運(yùn)行，系統(tǒng)都應(yīng)滿足這一要求。（4）即使有效的旁通、傳感器和設(shè)備有測試證據(jù)證明的高可靠性，對提供控制信號(hào)的二取一表決的保護(hù)系統(tǒng)將要求比較論證和證明。如果在維護(hù)期間使用了合適的旁通措施，則采用故障安全的設(shè)備和自動(dòng)探測故障傳感器的三取二系統(tǒng)能夠滿足要求。

3結(jié)語

在核電廠儀控系統(tǒng)設(shè)計(jì)時(shí)，考慮功能安全和信息安全的協(xié)調(diào)要求，使儀控系統(tǒng)在保證安全性的同時(shí)也具備適當(dāng)?shù)男畔踩匦?，為確保電站安全穩(wěn)定運(yùn)行、免受網(wǎng)絡(luò)攻擊提供了有力保障。

參考文獻(xiàn)

篇9

2010年，伊朗核電站遭受“Stuxnet（震網(wǎng)）”蠕蟲病毒攻擊，打開了網(wǎng)絡(luò)攻擊癱瘓實(shí)體空間的大門，關(guān)鍵性基礎(chǔ)設(shè)施的安全成為全世界關(guān)注的焦點(diǎn)。2015年，烏克蘭電網(wǎng)系統(tǒng)遭“Black Energy（黑暗力量）”的攻擊。業(yè)內(nèi)人士指出，支撐能源、通信、電力、金融、交通等重要行業(yè)運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)戰(zhàn)的首選目標(biāo)。工廠使用的控制電腦的軟件一般都是特別定制版，而且不與外部互聯(lián)網(wǎng)聯(lián)通。但在黑客面前，物理隔絕并非不可逾越的天塹，通過局域網(wǎng)和USB接口進(jìn)行傳播，定點(diǎn)干擾工業(yè)控制軟件的病毒早已產(chǎn)生，甚至通過發(fā)熱量、輻射、風(fēng)扇噪聲等入侵物理隔離網(wǎng)絡(luò)的案例也已出現(xiàn)。工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為焦點(diǎn)，各國均加大了在該領(lǐng)域的投資。

工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全隱患尤為突出

我國信息網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力薄弱?！罢鹁W(wǎng)”病毒事件后，據(jù)權(quán)威部門統(tǒng)計(jì)，我國工業(yè)系統(tǒng)100%使用西門子工業(yè)控制系統(tǒng)，這意味著我國的工業(yè)控制系統(tǒng)存在網(wǎng)絡(luò)安全隱患。尤其是隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合，以及物聯(lián)網(wǎng)的快速發(fā)展，越來越多的信息技術(shù)應(yīng)用到工業(yè)領(lǐng)域。我國已經(jīng)將數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)廣泛運(yùn)用于電力、工業(yè)、能源、交通、水利、市政等領(lǐng)域，甚至直接用于控制生產(chǎn)設(shè)備的運(yùn)行?！爸袊圃?025”戰(zhàn)略的提出，使得國內(nèi)工業(yè)控制領(lǐng)域正在發(fā)生重大的變革。同時(shí)，由于我國大規(guī)模使用國外的網(wǎng)絡(luò)信息關(guān)鍵產(chǎn)品，在短期內(nèi)很難完全替代它們，工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為事關(guān)國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展的大問題。

先進(jìn)工控安全領(lǐng)域創(chuàng)業(yè)公司涌現(xiàn)，發(fā)展模式引人注目

近兩年，一些有識(shí)之士充分認(rèn)識(shí)到，工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全的需求日益凸顯，因此必須整合信息安全與自動(dòng)化方面的人才，專注工控安全領(lǐng)域網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)。這類典型廠商包括北京網(wǎng)藤科技有限公司、北京威努特技術(shù)有限公司、北京匡恩網(wǎng)絡(luò)科技有限公司等。這類公司的特點(diǎn)是100%的業(yè)務(wù)都是工控安全，全力投入到工控安全行業(yè)。

其中，網(wǎng)藤科技是工控安全領(lǐng)域的一匹黑馬，成立于2016年3月，團(tuán)隊(duì)均來自工控安全領(lǐng)域頂尖的企業(yè)。公司的組織結(jié)構(gòu)具有包容、開放、共享的特色，業(yè)務(wù)以工業(yè)控制網(wǎng)絡(luò)安全為核心，深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點(diǎn)行業(yè)，提供覆蓋設(shè)備檢測、安全服務(wù)、威脅管理、安全數(shù)據(jù)庫、智能保護(hù)、檢測審計(jì)的自主、可控、安全的生命全周期解決方案。公司旗下的主打產(chǎn)品工控安全防護(hù)系統(tǒng)為針對工業(yè)網(wǎng)絡(luò)安全的入侵檢測系統(tǒng)，通過公安部權(quán)威檢測，達(dá)到NIPS國標(biāo)一級(jí)；工控安全審計(jì)系統(tǒng)為針對工業(yè)網(wǎng)絡(luò)安全的信息審計(jì)系統(tǒng)，通過公安部權(quán)威檢測，達(dá)到網(wǎng)絡(luò)通信安全審計(jì)行標(biāo)增強(qiáng)級(jí)。

工控領(lǐng)域網(wǎng)絡(luò)安全廠商任重道遠(yuǎn)

篇10

2鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全的建設(shè)途徑

2.1三網(wǎng)隔離為了保證生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)的安全，實(shí)現(xiàn)三網(wǎng)互相物理隔離，不得進(jìn)行三網(wǎng)直接連接。尤其生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)的運(yùn)行計(jì)算機(jī)嚴(yán)禁上INTERNET。

2.2建立良好的鐵路行業(yè)數(shù)字證書系統(tǒng)良好的鐵路行業(yè)數(shù)字證書系統(tǒng)能夠有效的保證鐵路計(jì)算機(jī)網(wǎng)絡(luò)的安全，鐵路的數(shù)字證書主要包括簽名證書與加密證書。證書的管理系統(tǒng)有利于保證網(wǎng)絡(luò)和信息安全。鐵路行業(yè)的數(shù)字證書系統(tǒng)能夠有效的提高鐵路信息系統(tǒng)的安全，讓鐵路信息系統(tǒng)在一個(gè)安全的環(huán)境下運(yùn)行。證書系統(tǒng)加強(qiáng)了客戶身份的認(rèn)證機(jī)制，加強(qiáng)了訪問者的信息安全，并且發(fā)生了不安全的問題還有可以追查的可能。行業(yè)數(shù)字證書在鐵路信息系統(tǒng)中有效的防止了非法人員篡改鐵路信息的不良行為，并且對訪問者提供了強(qiáng)大的保護(hù)手段。

2.3建立安全的訪問控制系統(tǒng)安全的訪問控制系統(tǒng)，是整個(gè)鐵路計(jì)算機(jī)網(wǎng)絡(luò)中的核心。建立合理的訪問控制系統(tǒng)，可以防止用戶對鐵路資源的實(shí)際操作，隱藏鐵路應(yīng)用系統(tǒng)在網(wǎng)絡(luò)中的位置，在鐵路計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行中，保證用戶訪問的安全性。根據(jù)用戶的選擇進(jìn)行網(wǎng)絡(luò)的授權(quán)，可以有效的控制用戶對于鐵路資源的訪問，保證鐵路用戶合理的訪問鐵路資源。控制系統(tǒng)可以針對不同的資源建立不同的訪問控制系統(tǒng)，建立多層次的訪問控制系統(tǒng)?？刂圃L問系統(tǒng)構(gòu)成了鐵路計(jì)算機(jī)網(wǎng)絡(luò)的必經(jīng)之路，并且可以將不良的信息進(jìn)行有效的隔離與阻斷，確保鐵路網(wǎng)絡(luò)信息的安全性。建立有效的訪問控制系統(tǒng)，可以保證網(wǎng)絡(luò)訪問的安全性和數(shù)據(jù)傳輸?shù)陌踩?，最大限度的保障鐵路計(jì)算機(jī)的信息安全。

2.4建立有效的病毒防護(hù)系統(tǒng)有效的病毒防護(hù)系統(tǒng)就相當(dāng)于殺毒軟件存在于電腦中的作用一樣，可以有效的防止病毒的入侵，控制進(jìn)出鐵路信息網(wǎng)的信息，保證信息的安全性。病毒的防護(hù)系統(tǒng)可以將進(jìn)出鐵路信息系統(tǒng)的信息進(jìn)行檢查，保證了鐵路客戶端的安全。病毒防護(hù)系統(tǒng)防止了不法人員企圖通過病毒來入侵鐵路信息網(wǎng)絡(luò)系統(tǒng)，讓鐵路信息網(wǎng)絡(luò)系統(tǒng)能夠在安全的環(huán)境下運(yùn)行，保證了信息的最大化安全性。定期的病毒查殺，可以保證鐵路網(wǎng)絡(luò)信息系統(tǒng)的安全，讓鐵路信息網(wǎng)絡(luò)系統(tǒng)得到有效的控制，保證客戶端的資料不被侵犯，保證鐵路計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。