第一篇：電力系統(tǒng)計算機網(wǎng)絡信息安全分析及防護.

電力系統(tǒng)計算機網(wǎng)絡信息安全分析及防護 吳博

(河南電力調(diào)度通信中心 河南 鄭州,450052 摘要:分析了河南省電力公司計算機信息網(wǎng)絡所面臨的不安全因素,并對該計算機信息網(wǎng)絡的特殊架構層次化,繼而進行了深入的網(wǎng)絡安全透析,并給出了針對性的網(wǎng)絡安全防護部署。

關鍵詞:計算機信息網(wǎng)絡;安全防護技術;安全管理;防火墻;入侵監(jiān)測;防病毒;身份認證;VPN;網(wǎng)絡隔離裝置

一、前言

電力行業(yè)與其他行業(yè)相比具有分散控制、統(tǒng)一聯(lián)合運行的特點。系統(tǒng)的運行涉及到發(fā)電廠、變電站、調(diào)度中心;發(fā)、輸、配電系統(tǒng)一體化,系統(tǒng)中包括了各種獨立系統(tǒng)和聯(lián)合電網(wǎng)的控制保護技術、通信技術、運行管理技術等。隨著河南電力計算機信息網(wǎng)絡的不斷發(fā)展,電力的關鍵業(yè)務不斷增長,因此信息化應用也不斷增強,網(wǎng)絡系統(tǒng)中的應用越來越多;同時,隨著Internet技術的發(fā)展,建立在Internet架構上的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)開始逐步建立,使網(wǎng)絡的重要性和影響也越來越大,因此電力信息網(wǎng)絡系統(tǒng)的網(wǎng)絡安全“層次化”愈來愈顯得重要。

一、電力計算機信息網(wǎng)絡的架構特點:(一 河南省電力計算機信息網(wǎng)絡的現(xiàn)狀:(1企業(yè)內(nèi)部網(wǎng)絡(Intranet連接。Intranet主要包括以下幾個方面:各地區(qū)電業(yè) 局、電廠、修造設計機構與省電力公司的連接;各縣電業(yè)局與地區(qū)電業(yè)局的連接;省電力公司與網(wǎng)局、國電公司的連接。

(2企業(yè)外部連接。省電力公司與省電力公司二級機構與國際互聯(lián)網(wǎng)的連接;各級電

力公司提供的遠程訪問服務;各級電力公司與外系統(tǒng)(如銀行、政府部門的連接。

以上連接一方面豐富了電力公司的業(yè)務,同時也導致了新的安全問題。

二、對河南電力計算機信息網(wǎng)絡的安全“層次化”:

上述企業(yè)內(nèi)部網(wǎng)絡連接與企業(yè)外部網(wǎng)絡連接的安全防范也成為河南省電力公司重要的網(wǎng)絡安全問題之一。保護計算機網(wǎng)絡的穩(wěn)定運行,防止重要信息被攻擊、竊取或泄露,安全地連接因特網(wǎng)或其他組織和分支機構,確定信息認證等等問題需要重點解決。而且電力部門有其獨特的網(wǎng)絡模式,所以從自身實際安全需求出發(fā),全局、綜合、均衡地考慮各種必要的安全措施,建立全面完整的安全體系,從而促進電力生產(chǎn)的安全、穩(wěn)定、經(jīng)濟運行。

根據(jù)河南省電力系統(tǒng)計算機信息網(wǎng)絡的特點,各相關業(yè)務系統(tǒng)的重要程度和數(shù)據(jù)

流程、目前狀況和安全要求,將整個系統(tǒng)分為四個安全區(qū):I實時控制區(qū)、II非控制生產(chǎn)區(qū)、III生產(chǎn)管理區(qū)、IV管理信息區(qū)。不同的安全區(qū)確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。其中安全區(qū)Ⅰ的安全等級最高,安全區(qū)II次之,其余依次類推。

(1安全區(qū)Ⅰ:實時控制區(qū)

安全區(qū)I中的業(yè)務系統(tǒng)或功能模塊的典型特征為直接實現(xiàn)實時監(jiān)控功能,是電力生產(chǎn)的重要必備環(huán)節(jié),系統(tǒng)實時在線運行,使用調(diào)度數(shù)據(jù)網(wǎng)絡或專用通道。

安全區(qū)I的典型系統(tǒng)包括調(diào)度自動化系統(tǒng)(SCADA/EMS、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)等,其主要使用者為調(diào)度員和運行操作人員,數(shù)據(jù)實時性為秒級,外部邊界的通信經(jīng)由電力調(diào)度數(shù)據(jù)網(wǎng)SPInet--VPN1。該區(qū)中還

包括采用專用通道的控制系統(tǒng),如:繼電保護、安全自動控制系統(tǒng)、低頻/低壓自動減載系統(tǒng)、負荷控制系統(tǒng)等,這類系統(tǒng)對數(shù)據(jù)通信的實時性要求為毫秒級或秒級。安全區(qū)I是電力二次系統(tǒng)中最重要系統(tǒng),安全等級最高,是安全防護的重點與核心。

(2安全區(qū)Ⅱ:非控制生產(chǎn)區(qū)

安全區(qū)Ⅱ中的業(yè)務系統(tǒng)或功能模塊的典型特征為:所實現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié),但不具備控制功能,使用調(diào)度數(shù)據(jù)網(wǎng)絡,在線運行,與安全區(qū)I中的系統(tǒng)或功能模塊聯(lián)系緊密。安全區(qū)Ⅱ的典型系統(tǒng)包括調(diào)度員培訓模擬系統(tǒng)(DTS、水調(diào)自動化系統(tǒng)、繼電保護及故障錄波信息管理系統(tǒng)、電能量計量系統(tǒng)、批發(fā)電力交易系統(tǒng)等,其面向的主要使用者分別為電力調(diào)度員、水電調(diào)度員、繼電保護人員及電力市場交易員等。該區(qū)數(shù)據(jù)的實時性是分鐘級、小時級。

(3安全區(qū)Ⅲ:生產(chǎn)管理區(qū)

安全區(qū)III中的業(yè)務系統(tǒng)或功能模塊的典型特征為:實現(xiàn)電力生產(chǎn)的管理功能,但不具備控制功能,不在線運行,可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡,與調(diào)度中心或控制中心工作人員的桌面終端直接相關,與安全區(qū)IV的辦公自動化系統(tǒng)關系密切。該區(qū)的典型系統(tǒng)為調(diào)度生產(chǎn)管理系統(tǒng)(DMIS、統(tǒng)計報表系統(tǒng)(日報、旬報、月報、年報、雷電監(jiān)測系統(tǒng)、氣象信息接入等。

(4安全區(qū)IV:管理信息區(qū)

安全區(qū)IV中的業(yè)務系統(tǒng)或功能模塊的典型特征為:實現(xiàn)電力信息管理和辦公自動化功能,使用電力數(shù)據(jù)通信網(wǎng)絡,業(yè)務系統(tǒng)的訪問界面主要為桌面終端。該區(qū)包括管理信息系統(tǒng)(MIS、辦公自動化系統(tǒng)(OA、客戶服務等。該區(qū)的外部通信邊界為公共因特網(wǎng)。

三、網(wǎng)絡安全防護分析: 針對電力計算機信息網(wǎng)絡的以上特殊性質(zhì),進行網(wǎng)絡安全分析如下:(一 網(wǎng)絡邏輯結構示意圖

(二在網(wǎng)絡接口處可能受到的攻擊分析: 關聯(lián)接口攻擊場景描述風險類 型 風險 級別 對業(yè)務的影 響

I1 通過該接口,入侵安全等級高的系統(tǒng),向通信網(wǎng)關發(fā)送雪崩 數(shù)據(jù),造成網(wǎng)絡堵塞。機密性

完整性 H 導致和 SCADA/EMS 系統(tǒng)及其它 生產(chǎn)系統(tǒng)業(yè) 務中斷

I2、I3 通過該接口,入侵DMIS系統(tǒng) 重要業(yè)務部分,造成重要業(yè)務 中斷。完整性 可用性 可靠性 審計性 H 可以向DMIS 系統(tǒng)加入惡 意代碼,竊取 信息或對系 統(tǒng)造成破壞。

I4 其它DMIS系統(tǒng)中的惡意進程或攻擊人或病毒,通過SPI

net,利用該接口非法接入 DMIS局域網(wǎng)可用性 審計性 抗否認 M 獲得對DMIS 局域網(wǎng)的非 法接入權,病 毒感染

I5 來自MIS系統(tǒng)的病毒和惡意進程或攻擊人,非法進入DMIS 系統(tǒng)。竊聽或篡改發(fā)電計劃、負荷需求或其它不對外公開 信息等數(shù)據(jù)審計性 可用性 抗否認 M 獲得對DMIS 局域網(wǎng)的非 法接入權,病 毒感染

I6 , I6.1 黑客假冒開發(fā)商或本系統(tǒng)維

護人員的身份獲得對DMIS系 統(tǒng)的遠程維護權限 認證性 可用性 抗否認 H 黑客可以向 DMIS系統(tǒng)加 入惡意代碼, 竊取信息,或 對系統(tǒng)造成 破壞。

I7 來自系統(tǒng)外單位系統(tǒng)的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 DMIS系統(tǒng), 導致服務中

斷或網(wǎng)絡堵 塞

I8 來自INTERNET的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 MIS系統(tǒng),導 致服務中斷 或網(wǎng)絡堵塞

四、網(wǎng)絡安全防護措施

(一基于接口的安全技術和管理建議 接口 保護(P 檢測(D 響應(R 管理

I1 C 通信網(wǎng)關、防火墻 無 無 C 口令 無 無

無 I2 R 身份認證,審計追蹤,抗否認,防病毒 惡意代碼檢測 入侵檢測

暫停服務,審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 無 無 無 無 I3 R 物理隔離 無

暫停服務,審計日志分析

制定服務中斷恢復計劃,安全相容性檢查 C 口令 無 無 無 I4 R 抗否認,審計追蹤,身份認證,防病毒 惡意代碼檢測 入侵檢測

暫停服務,審計日志分析 病毒庫更新

定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 防火墻 無 無

I5 R 防火墻,身份認證,防惡意代碼,安全網(wǎng)關,防病毒 惡意代碼檢測 入侵檢測 修改防火墻規(guī)則,病毒庫更新

制定服務中斷恢復計劃,安全相容性檢查 I6, I6 C 口令 無 無.1 R VPN,抗否認, 審計追蹤,身 份認證,安全 網(wǎng)關惡意代碼檢測 入侵檢測 暫停撥號服 務,審計日志 分析 定義接 口安全 條件, 定義用 戶安全

連接條 件,安 全相容 性檢查

C 通信網(wǎng)關無無I7 R 身份認證,安 全網(wǎng)關,防火 墻,抗否認, 審計追蹤,防 病毒惡意代碼檢測 入侵檢測 暫停服務,修 改防火墻規(guī) 則,審計日 志,病毒庫更 新 定義接 口安全 條件

C防火墻無無無I8 R防火墻,身份 認證,防惡意 代碼,安全網(wǎng)

關,防病毒惡意代碼檢測 入侵檢測 修改防火墻 規(guī)則,病毒庫 更新 制定服 務中斷 恢復計 劃,安 全相容 性檢查

注:C表示當前所采用的安全措施,R表示推薦采用安全措施(二安全產(chǎn)品選用 安全產(chǎn)品及其簡要功能 安全產(chǎn)品名

稱

類型 功能說明 對系統(tǒng)可能的影響 防火墻 硬件防火墻 軟件防火墻

訪問控制 影響數(shù)據(jù)傳輸速度

網(wǎng)關 服務器 訪問控制 影響數(shù)據(jù)傳輸速度 基于網(wǎng)絡 實時監(jiān)控 實施阻斷時,占用一定的 網(wǎng)絡帶寬 入侵檢測軟

件 基于主機 準實時監(jiān)控 占用主機的一部分CPU和 內(nèi)存 安全評估軟

件 基于網(wǎng)絡和主機 漏洞掃描 在掃描時,占用一定主機 和網(wǎng)絡資源 專用隔離裝 置 物理隔離 邏輯隔離 更嚴格的訪問 控制

影響傳輸數(shù)據(jù)的類型、速 度

防病毒軟件 針對NT/2000系列 防、殺病毒 對主機性能有一定影響 PKI系統(tǒng) CA, RA, AS RA, AS 身份認證、數(shù)據(jù) 保密、數(shù)據(jù)完整 證書和私鑰的管理增加 了管理工作量 AS 性檢驗等 備份系統(tǒng) 針對服務器中的數(shù)據(jù)和軟件

可以對重要數(shù)據(jù)和軟件進行災難恢復

實施備份操作時,影響網(wǎng)絡和相關主機的速度和性能（三、部署安全產(chǎn)品

(四安全產(chǎn)品部署說明: [1] 防火墻&隔離裝置

在調(diào)度生產(chǎn)管理系統(tǒng)的安全區(qū)Ⅱ和安全區(qū)Ⅲ間(即物理接口PI3處,部署專用物理隔離設備,以實施對安全區(qū)Ⅰ、Ⅱ的安全隔離。

在管理信息系統(tǒng)(MIS的接入點和公共網(wǎng)絡接入點,即物理接口PI5和PI8,采用隔離裝置實施訪問控制策略。

[2] 入侵監(jiān)測系統(tǒng)

在調(diào)度生產(chǎn)管理系統(tǒng)中部署基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),以實施對網(wǎng)絡和服務器攻擊及違規(guī)行為的監(jiān)測與響應策略。入侵檢測系統(tǒng)的探頭布置在三處,分別標識為IDS 探頭

1、IDS 探頭2和IDS 探頭3,它們的作用分別為: IDS 探頭1:用于監(jiān)控DMIS 系統(tǒng)與SPI net 之間的訪問活動 IDS 探頭2:用于監(jiān)控DMIS 系統(tǒng)內(nèi)部服務器訪問活動

IDS 探頭3:用于監(jiān)控系統(tǒng)外部單位和DMIS 系統(tǒng)之間的訪問活動

安全監(jiān)測中心實現(xiàn)對入侵檢測系統(tǒng)中探頭(或稱為探測器的統(tǒng)一管理與控制,它與探頭之間可以通過單獨通道建立連接。這樣既可以使安全監(jiān)測中心在網(wǎng)絡中隱形,也可以使安全監(jiān)測中心與探頭之間的通信不占用被檢測網(wǎng)絡的帶寬資源。

[3] 安全評估系統(tǒng)

在DMIS系統(tǒng)中布置安全評估系統(tǒng),可以輔助管理員自主地定期對調(diào)度生產(chǎn)管理系統(tǒng)進行必要的安全評估,檢測與分析系統(tǒng)存在的安全漏洞,并根據(jù)安全評估報告的結果進行整改,及時安裝升級包,或者修改防火墻和隔離設備的訪問控制規(guī)則,以避免黑客利用系統(tǒng)安全漏洞進行攻擊。

[4] 防病毒軟件

在調(diào)度生產(chǎn)管理系統(tǒng)內(nèi)部的所有主機和服務器上安裝防病毒軟件,并配置一臺病毒管理中心,進行必要的防病毒管理。

由于現(xiàn)在病毒感染的途徑很多,因此必須實施全面的防病毒方案,并且能及時更新。

[5] 身份認證(PKI系統(tǒng)

在調(diào)度生產(chǎn)管理系統(tǒng)中布置PKI系統(tǒng)主要用于系統(tǒng)與人(如使用人員員、遠程維護人員等之間以及各系統(tǒng)進程之間的身份認證。完整的PKI系統(tǒng)包括CA、RA、目錄服務等,在調(diào)度生產(chǎn)管理系統(tǒng)中可以選擇下面兩種配置之一: 只需要布置一個證書服務器,向應用程序提供證書和證書作廢列表下載、證書有效性驗證服務。證書服務器上的證書數(shù)據(jù)庫和證書作廢列表可以通過離線方式更新。證書服務器的證書數(shù)據(jù)庫中至少應該有撥號診斷服務證書、網(wǎng)絡RTU證書、無閉環(huán)專用系統(tǒng)的證書、遠程維護人員的證書等。

不增加任何設備,應用程序直接調(diào)用PKI系統(tǒng)提供的API,從而支持強身份認證功能。

與配置一相比,需要手工向應用程序導入證書和證書作廢列表 參考文獻: [1]湖南電力計算機廣域網(wǎng)安全分析張燦湖南電力文獻 2003.5 [2] 電力信息網(wǎng)絡安全的“層次化”思科網(wǎng)絡安全技術文獻庫 2004.5 [3] 國家電力信息化目標國家電力信息化技術文獻 2002.3 [4] 孫友倉,對信息系統(tǒng)安全管理的探討.現(xiàn)代電子技術[J],2004,27(5 [5] 熊松韞,張志平.構建網(wǎng)絡信息的安全防護體系.情報學報[J], 2003,22(1 吳博: 男,工程師,2003年畢業(yè)于四川大學電氣信息學院通信工程系,同年7月在河南省電力公司調(diào)度通信中心通信處就職, 從事電力通信調(diào)度以及電力通信網(wǎng)絡的管理、維護和故障處理等方面的工作。

The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone

Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.電力系統(tǒng)計算機網(wǎng)絡信息安全分析及防護 作者:吳博

作者單位:河南電力調(diào)度通信中心,河南鄭州,450052 相似文獻(10條

1.會議論文譚曉天系統(tǒng)集成思想指導下的電網(wǎng)調(diào)度專業(yè)網(wǎng)絡構建1999 系統(tǒng)集成是高水閏的計算機應用,能為用戶提供一體化的解決方案。該文結合湖南電網(wǎng)調(diào)度專業(yè)網(wǎng)絡系統(tǒng)的開發(fā)闡述了系統(tǒng)集成四個層次的具體實踐。最后指出專業(yè)人員參與系統(tǒng)集成值得注意的問題。

2.會議論文胡炎.謝小榮.辛耀中現(xiàn)有安全設計方法綜述2005 本文對電網(wǎng)現(xiàn)有安全設計方法進行了綜述。文章分析了風險管理方法、遵循安全設計指南方法、形式化驗證方法、發(fā)現(xiàn)修改方法、預防性安全設計方法等現(xiàn)有安全設計方法的特點和不足,同時總結了信息系統(tǒng)安全工程過程、安全需求分析方法、可生存系統(tǒng)分析設計等方面研究的可借鑒之處.3.期刊論文任志翔.仇群輝智能電網(wǎng)調(diào)度自動化技術思考-經(jīng)濟研究導刊2010,“"(7

簡述了智能電網(wǎng)的概念和特點,介紹電網(wǎng)調(diào)度自動化的發(fā)展歷史,分析了智能電網(wǎng)調(diào)度自動化和傳統(tǒng)電網(wǎng)調(diào)度自動化在智能處理和信息共享等方面的區(qū)別,著重分析了目前電網(wǎng)調(diào)度自動化系統(tǒng)的研究現(xiàn)狀,并以目前在變電站建設中推廣的IEC 61850和在主站構建中推廣的IEC 61970標準以及計算機網(wǎng)絡和先進的通信技術作為基礎,重點分析了未來中國智能電網(wǎng)調(diào)度自動化的研究方向.4.會議論文李承東.潘明惠微機網(wǎng)絡在東北電網(wǎng)調(diào)度運行中的應用1994 5.會議論文舒彬.潘敬東轉變觀念、優(yōu)化管理—關于電網(wǎng)調(diào)度自動化系統(tǒng)網(wǎng)絡安全管理的幾點思考2001 本文在分析調(diào)度自動化系統(tǒng)網(wǎng)絡安全管理中,由于信息不對稱所造成的信息失真情況的基礎上,探討了如何通過建立一套有效的技術手段提高自動化系統(tǒng)安全管理系數(shù),并進一步提出以”目標和任務"機制作為網(wǎng)絡安全研究與建設方向的思想,以期為建立可適應性安全防護體系做好準備工作.6.會議論文牛萬福DEC計算機電網(wǎng)調(diào)度監(jiān)控系統(tǒng)1997 詳細介紹了一自行開發(fā)的DEC ALPHA計算機電網(wǎng)監(jiān)控(SCADA系統(tǒng),描述了監(jiān)控系統(tǒng)計算機網(wǎng)絡的客戶站/服務器(client/server體系結構及電網(wǎng)監(jiān)控軟件,闡述了雙機運行和軟件切換機制。文章也介紹了該計算機電網(wǎng)監(jiān)控系統(tǒng)在地區(qū)電網(wǎng)調(diào)度中的應用及與企業(yè)管理信息系統(tǒng)(MIS和省局能量管理系統(tǒng)(EMS的網(wǎng)絡連接。

7.學位論文高云電網(wǎng)調(diào)度運行信息管理系統(tǒng)設計2001 該文研究的對象是供電企業(yè)的電網(wǎng)調(diào)度運行信息管理系統(tǒng),它是生產(chǎn)技術管理系統(tǒng)的一個重要組成部分.文中首先指出了目前地區(qū)供電企業(yè)在調(diào)度運行信息的記錄、處理和傳閱方式上存在的問題.在對系統(tǒng)功能需求和數(shù)據(jù)需求進行分析的基礎上,對調(diào)度運行信息進行了分類,確定了系統(tǒng)的總體功能及實現(xiàn)方案,并采用原型法的軟件開發(fā)方法、面向對象程序設計技術(OOP和計算機網(wǎng)絡技術進行開發(fā).利用Visual FoxPro6.0開發(fā)工具設計的調(diào)度運行信息管理系統(tǒng)具有基礎資料數(shù)據(jù)庫和運行記錄數(shù)據(jù)庫.現(xiàn)已完成主控程序,系統(tǒng)注冊模塊、運行記錄模塊和操作命令票管理

模塊等應用程序,可以對設備參數(shù)和電網(wǎng)運行信息進行增加、修改、刪除和查詢工作,統(tǒng)計斷路器跳閘次數(shù)并給出達到預定值時的信息提示.程序中設計了利用已輸入的基礎資料數(shù)據(jù)進行快速、靈活地輸入和編輯運行記錄的操作方法,極大地減少了漢字輸入的工作量,并且使記錄的信息更為規(guī)范.設計的程序具有操作簡便、易于使用和功能擴充方便等特點.8.會議論文王桂茹電網(wǎng)調(diào)度管理信息系統(tǒng)設計1997 這是一篇涉及計算機網(wǎng)絡及應用推廣;涉及電網(wǎng)調(diào)度相關專業(yè)知識及信息共享原則的論文。

9.會議論文曹連軍.王曉華東北電網(wǎng)調(diào)度通信中心生產(chǎn)管理企業(yè)網(wǎng)1999 當今計算機已經(jīng)由單機操作向網(wǎng)絡操作發(fā)展。計算機網(wǎng)絡在企業(yè)現(xiàn)代化管理中起到越來越重要的作用。該文給出了東北電網(wǎng)調(diào)度通信中心生產(chǎn)管理企業(yè)網(wǎng)的功能描述。

10.期刊論文周士躍.王勁松.金小達地區(qū)供電網(wǎng)調(diào)度實時數(shù)據(jù)網(wǎng)絡安全分析及對策-電網(wǎng)技術2003,27(10 隨著信息技術和網(wǎng)絡技術在電力生產(chǎn)中的應用,在變電站與調(diào)度自動化系統(tǒng)間傳輸數(shù)據(jù)已經(jīng)實現(xiàn),同時調(diào)度自動化系統(tǒng)與電力生產(chǎn)中其它系統(tǒng)間也進行了互聯(lián),因此調(diào)度實時系統(tǒng)和變電站計算機網(wǎng)絡的安全問題也越來越引起人們的關注.文中結合鹽城電網(wǎng)的實際情況,提出了相應的系統(tǒng)安全策略和信息安全策略,重點介紹了調(diào)度主站系統(tǒng)和變電站的網(wǎng)絡安全技術:防火墻技術、多層次防護策略、入侵檢測系統(tǒng).本文鏈接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下載時間:2010年6月6日

第二篇：計算機網(wǎng)絡信息安全及其防護對策

計算機網(wǎng)絡信息安全及其防護對策

摘要：隨著信息化建設的快速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。但是，由于在早期網(wǎng)絡協(xié)議設計上對安全問題的忽視，與它有關的安全事故屢有發(fā)生。使各國的計算機系統(tǒng)特別是網(wǎng)絡系統(tǒng)面臨著很大的威脅，并成為嚴重的社會問題之一。而有針對性地加強網(wǎng)絡信息安全防護，是網(wǎng)絡安全必須做的工作。針對這些問題，該文歸納并提出了一些網(wǎng)絡信息安全防護的方法和策略。

關鍵詞：計算機網(wǎng)絡；信息安全；防護策略

1.計算機網(wǎng)絡面臨的安全問題

1.1自然災害

組成計算機的多是一些電子器件，本身對外界環(huán)境極其敏感，很容易受到溫度、濕度、振動沖擊的影響?？v觀現(xiàn)今的計算機房，并沒有防火、避震、防雷、抗干擾等措施，接地系統(tǒng)的設計也比較單一化，抵御突發(fā)狀況的能力較差。日常工作中因斷電而導致硬盤損傷、數(shù)據(jù)丟失的現(xiàn)象屢見不鮮。噪聲和電磁輻射會導致網(wǎng)絡信噪比下降，增加誤碼率，威脅到信息傳遞的完整性、可用性與安全性。

1.2黑客襲擊

計算機信息網(wǎng)絡成為黑客的溫床，利用這個平臺，他們編寫出大量具有強大破壞力的病毒程序。黑客們熟知各類計算機系統(tǒng)的安全漏洞，對計算機軟件較熟悉。黑客破壞網(wǎng)絡的問題很嚴重，他們越權群儒重要信息庫，竊聽、截取、篡改敏感性信息，修改信息網(wǎng)絡參數(shù)，導致數(shù)據(jù)丟失或系統(tǒng)崩潰，給企業(yè)帶來巨大經(jīng)濟損失，甚至會影響到國家的政治安全。信息網(wǎng)絡本身的弊端和缺陷成為黑客的突破口，并構成了人為破壞的威脅。

1.3計算機病毒

計算機病毒這一名詞院子上世紀九十年代，它傳播速度快、蔓延范圍廣，可以造成難以估量的損失。病毒可以潛伏在計算機程序中，一旦程序運行或達到某個特定狀態(tài)，病毒便會激活，并迅速進行擴散，輕則占用系統(tǒng)內(nèi)存，導致運行速度下降，重則造成數(shù)據(jù)丟失、系統(tǒng)癱瘓甚至硬件損失。一旦某些重要文件或數(shù)據(jù)遭到破壞，其造成的損失是無法估量的。

1.4垃圾郵件和間諜軟件

電子郵件具有高度開放性和廣泛傳播性，某些人利用這個特點進行商業(yè)、宗教或商業(yè)活動，將自己編寫好的郵件強行植入他人郵箱，強迫他人閱讀郵件。間諜軟件與計算機病毒不同，主要目的不在于破壞系統(tǒng)，而是竊取用戶信息。目前，對間諜軟件的界定還存在爭議，被普遍接受的觀點是間諜軟件在未得到用戶授權的情況下進行非法安裝，形成第三方插件，并把一些機密信息提供給第三方。間諜軟件功能繁雜，可以時刻監(jiān)視用戶行為，并修改系統(tǒng)設置、發(fā)布彈窗廣告，嚴重干擾用戶隱私，并在一定程度上占用了系統(tǒng)內(nèi)存。

2.計算機網(wǎng)絡安全防護措施

2.1隱藏IP地址

黑客可以通過第三方軟件查看主機信息，主要目的是獲取目標計算機的IP地址。當黑客得知你的IP地址，可以對這個地址發(fā)動各種攻擊，例如拒絕服務、Floop溢出攻擊等。用戶可以使用代理服務器隱藏主機IP地址，其他人只能獲悉代理服務器IP地址，無法得知主機IP地址，間接保護了用戶上網(wǎng)安全。2.2封死黑客退路（1）刪除冗余協(xié)議

對于服務器和主機只需要安裝TCP/IP協(xié)議，應該卸載不必要協(xié)議。其中，NetBIOS是很多安全缺陷的源頭，對于無需提供文件共享和打印服務的主機，應關閉NetBIOS，避免針對它的攻擊。

（2）關閉文件和打印共享

文件和打印共享為局域網(wǎng)上的微機提供了便利，但是它也是引發(fā)黑客入侵的重大漏洞，黑客利用共享機制可以入侵局域網(wǎng)進行破壞。在不使用打印、共享服務時，應將其關閉，或者為共享資源設置訪問口令。

（3）禁止建立空連接

默認設置下，任何用戶都可通過空連接與服務器進行互聯(lián)，窮舉賬號，并用暴力法破解密碼。不必要的空連接應禁止。另外，在上限范圍內(nèi)，服務器密碼應設置的盡可能復雜，使得窮舉法失效，或者抬升窮舉成本，令黑客望而卻步。

（4）關閉不必要的服務

多樣服務能夠給管理者提供便利，提升工作效率，但也會給黑客留下機會，對于很少用到的服務應在平時選擇關閉。例如計算機遠程管理，一般情況下無需打開。不必要服務的減少不僅保證了系統(tǒng)安全，也可以保證系統(tǒng)運行速度。

2.3數(shù)據(jù)加密技術與用戶權限分級

該技術靈活性較好，適用于開放性網(wǎng)絡。用戶權限分級保護了靜態(tài)信息，需要系統(tǒng)管理員權限，一般實現(xiàn)于操作系統(tǒng)。數(shù)據(jù)加密主要保護動態(tài)信息。針對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。主動攻擊一般很難避免，但可以有效預防和檢測；被動攻擊難以檢測，但可以避免，數(shù)據(jù)加密技術為這一系列工作奠定了良好基礎。數(shù)據(jù)加密利用數(shù)據(jù)移位和置換算法，利用密鑰進行控制。傳統(tǒng)加密算法中，加密密鑰和解密密鑰無區(qū)別，或者藉由其中一個就可以推導出另一個，我們稱之為對稱密鑰算法。這個密鑰具有高度敏感性，必須由授權用戶所保管，他們可以用密鑰加密信息，也可以解密私有信息。DES是對成加密算法中的典型。另一種算法是非對稱加密算法或公鑰加密算法，加密和解密過程的密鑰無任何相關性，加密密鑰稱為公鑰，解密密鑰稱為私鑰。公鑰算法面向全體用戶，任何人皆可用其加密信息，再發(fā)送密文給私鑰擁有者。私鑰具有保密性，用于解讀公鑰加密信息。REA是目前廣為運用的加密算法。

參考文獻

[1]邢露,張棋.計算機網(wǎng)絡信息安全與病毒防治[J].河南科技.2011(01)

[2]彭珺,高珺.計算機網(wǎng)絡信息安全及防護策略研究[J].計算機與數(shù)字工程.2011(1)[3]曾艷.計算機網(wǎng)絡信息安全與防護措施[J].理論導報.2011(01)

第三篇：淺談計算機網(wǎng)絡信息安全防護探析

淺談計算機網(wǎng)絡信息安全防護探析

論文關鍵詞：網(wǎng)絡信息 安全防護

論文摘要：隨著當代信息技術的發(fā)展，互聯(lián)網(wǎng)的共享性、開放性以及互聯(lián)程度也在不斷擴大。Internet的廣泛普及，商業(yè)數(shù)字貨幣、網(wǎng)絡銀行等一部分網(wǎng)絡新業(yè)務的迅速興起，使得計算機網(wǎng)絡的安全問題越來越顯得重要，通過歸納總結，提出網(wǎng)絡信息中的一些安全防護策略。

1．引言

網(wǎng)絡環(huán)境的復雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡安全威脅的客觀存在。當前，隨著計算機技術的飛速發(fā)展，利用因特網(wǎng)高科技手段進行經(jīng)濟商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了，因此，如何采用更加安全的數(shù)據(jù)保護及加密技術，成為當前計算機工作者的研究熱點與重點。網(wǎng)絡安全技術，尤其是網(wǎng)絡信息的安全，關系到網(wǎng)民、企業(yè)甚至是國家的信息安全。因此，發(fā)展更加安全的網(wǎng)絡安全技術，是關系到社會經(jīng)濟穩(wěn)定繁榮發(fā)展的關鍵，成為當前計算機安全工作的重點。

2．網(wǎng)絡信息安全的風險來源

影響計算機網(wǎng)絡安全的因索很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來豐要以下幾個方面：

(1)病毒感染

從“蠕蟲”病毒開始到CIH、愛蟲病毒，病毒一直是計算機系統(tǒng)安全最直接的威脅。病毒依靠網(wǎng)絡迅速傳播，它很容易地通過代理服務器以軟件下載、郵件接收等方式進入網(wǎng)絡，竊取網(wǎng)絡信息，造成很人的損失。

(2)來自網(wǎng)絡外部的攻擊

這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡信息的有效性和完整性；偽裝為合法用戶進入網(wǎng)絡并占用大量資源；修改網(wǎng)絡數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。

（3)來自網(wǎng)絡內(nèi)部的攻擊

在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后。竊取機密信息，破壞信息內(nèi)容，造成應用系統(tǒng)無法運行。

（4)系統(tǒng)的漏洞及“后門”

操作系統(tǒng)及網(wǎng)絡軟件不可能是百分之百的無缺陷、無漏洞的。編程人員有時會在軟件中

留有漏洞。一旦這個疏漏被不法分子所知，就會借這個薄弱環(huán)節(jié)對整個網(wǎng)絡系統(tǒng)進行攻擊，大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的。

3．網(wǎng)絡信息安全的防護策略

現(xiàn)在網(wǎng)絡信息安全的防護措施必不可少。從技術上來說，計算機網(wǎng)絡安全主要由防病毒、入侵檢測等多個安全組件組成，就此對我們常用的幾項防護技術分別進行分析。

3．1防火墻技術

防火墻(ifrewal1)是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的系列部件的組合，它越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為甚。不同網(wǎng)絡或網(wǎng)絡安拿域之間信息都會經(jīng)過它的過濾，防火墻就會根據(jù)自身的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，而且它本身也具有較強的抗攻擊能力，不會被病毒控制。防火墻可以阻J網(wǎng)絡中的黑客來訪問你的機器，防止他們篡改、拷貝、毀壞你的重要信息。它為網(wǎng)絡信息的安全提供了很好的服務，為我們更安全地使用網(wǎng)絡提供了很好的保障。

“防火墻”技術是指假設被保護網(wǎng)絡具有明確定義的邊界和服務而采取的一種安全保障技術，它通過監(jiān)測、限制和更改通過“防火墻”的數(shù)據(jù)流，一方面盡可能地對外部網(wǎng)絡屏蔽被保護網(wǎng)絡的信息、結構，實現(xiàn)對內(nèi)部網(wǎng)絡的保護，以防“人放火”；另一方面對內(nèi)屏蔽外部某些危險站點，防止“引火燒身”。因而，比較適合于相對獨立、與外部網(wǎng)絡互聯(lián)單

一、明確并且網(wǎng)絡服務種類相對集中的統(tǒng)一互聯(lián)網(wǎng)絡系統(tǒng)。防火墻可對網(wǎng)絡存取和訪問進行監(jiān)控審計，如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。

通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系VPN。VPN，可以將分部在世界各地的LAN或專用電子網(wǎng)有機地聯(lián)成一個整體。這樣一方面省去了專用通信線路，也達到了信息共享的目的。

3．2數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是網(wǎng)絡中最藎木的安傘技術，主要是通過對網(wǎng)絡傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障其安全性。加密是對網(wǎng)絡上傳輸數(shù)據(jù)的訪問權加強限制的一種技術。原始數(shù)據(jù)(也稱為明文，plaintext)被加密設備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)。解密是加密的反向處理，是將密文還原為原始明文，但解秘者必須利用相同類型的加密設備和密鑰，才能對密文進行解密。

3．3入侵檢測技術

入侵檢測系統(tǒng)(intrusiondetectionsystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過這些信息分析，對計算機和網(wǎng)絡資源的惡意使用行為進行識別的網(wǎng)絡信息安全系統(tǒng)。入侵檢測系統(tǒng)具有多方面的功能：威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統(tǒng)安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報

告系統(tǒng)中朱授權或異常現(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。

3．4病毒防護

可采用如下的方法或措施：

(1)合理設置殺毒軟什，如果安裝的殺毒軟什具備掃描電郵件的功能，盡量將這些功能傘部打開；

（2)定期檢查敏感文件；

(3)采取必要的病毒檢測和監(jiān)控措施；

(4)對新購的硬盤、軟盤、軟件等資源，使用前應先用病毒測試軟件檢查已知病毒，硬盤可以使用低級格式化(DOS中的FORMAT格式化可以去抻軟盤中的病毒，但不能清除硬盤引導的病毒)；

（5)慎重對待郵件附件，如果收到郵件中有可執(zhí)行文件(如．EXE、．COM等)或者帶有“宏”的文殺一遍，確認沒有病毒后再打開；

（6)及時升級郵件程序和操作系統(tǒng)，以修補所有已知的安全漏洞。

3．5身份認證技術

身份認證(Authentication)是系統(tǒng)核查用戶身份證明的過程，其實質(zhì)是查明用戶是否具仃它所請求資源的存儲使用權。身份識別(IdentificaIion)是指用戶向系統(tǒng)出示自己的身份證明的過程。這兩項上作通常被稱為身份認證。

身份認證至少應包括驗證協(xié)議和授權協(xié)議。網(wǎng)絡中的各種應用和計算機系統(tǒng)都需要通過身份認證來確認合法性，然后確定它的個人數(shù)據(jù)和特定權限。對于身份認證系統(tǒng)來說，合法用戶的身份是否易于被別人冒充足它最重要的技術指標。用戶身份被冒充不儀可能損害用戶自身的利益，也可能損害其他用戶的利益或整個系統(tǒng)。因此，身份認證是授權控制的基礎。只有有效的身份認證，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。

安裝必要的安全軟件，殺毒軟件和防火墻這些都是必備的，而且還要安裝并使用必要的防黑軟件。我們一定要把這些安全防護措施及時應在電腦中，在上網(wǎng)時一定要打開它們。最后要及時給系統(tǒng)打補丁，建議人家下載自己的操作系統(tǒng)對應的補丁程序，這是我們網(wǎng)絡安全的恭礎。

4．結束語

總之，在網(wǎng)絡技術十分發(fā)達的今大，任何一臺計算機都不可能孤立于網(wǎng)絡之外。網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻、病毒軟件或各種各樣的安全產(chǎn)品就可以解決安全問題，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術，結合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

第四篇：淺論計算機網(wǎng)絡信息安全

淺論計算機網(wǎng)絡信息安全

摘要：在經(jīng)濟全球化的推動下，隨著計算機技術的飛速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證，當今世界已經(jīng)進入一個信息化的時代，但隨之而來的是一系列信息安全的相關問題。本文主要論述了有關網(wǎng)絡信息安全的基本知識:網(wǎng)絡信息安全存在的隱患、網(wǎng)絡信息安全的常見問題、網(wǎng)絡信息安全的防護與建設。并且對信息安全的相關問題闡明自己的想法和觀點。

關鍵詞：網(wǎng)絡安全 ； 安認證體系 ； 網(wǎng)絡機制 ；數(shù)據(jù)加密

網(wǎng)絡信息安全是一門涉及計算機科學、網(wǎng)絡技術、通訊技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性的學科。他主要是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露、系統(tǒng)連續(xù)可靠的正常運行，網(wǎng)絡服務不中斷。

本文主要由信息安全的重要性、網(wǎng)絡信息安全存在的隱患、網(wǎng)絡信息安全的防護與建設等方面進行論述，并且對相關的問題表明自己的想法。網(wǎng)絡信息安全的重要性

隨著計算機網(wǎng)絡技術的廣泛應用，人們無論是從日常的生活起居還是共工作娛樂到處都離不開計算機的影子，更重要的是計算機網(wǎng)絡已經(jīng)成為人們進行管理和交易不可或缺的橋梁，成為人們?nèi)粘９ぷ魃畈豢苫蛉钡囊徊糠帧Ｍ瑫r網(wǎng)絡信息也涉及到國家政府、軍事、文化、科學技術、等諸多領域，則存儲、傳輸、處理的許多信息是國家軍事機密、宏觀決策、商業(yè)經(jīng)濟信息、銀行資金轉賬等重要的數(shù)據(jù)。

網(wǎng)絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化的重要問題，其重要性正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡信息安全的常見問題

隨著互聯(lián)網(wǎng)的快速發(fā)展，人們的日常生活與網(wǎng)絡的聯(lián)系日益密切，而問題卻日益突出，危害人們的合法權益，網(wǎng)絡信息安全的常見問題如下：

2.1計算機病毒

計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有隱蔽性、潛伏性、破壞性和傳染性的特點。當前計算機網(wǎng)絡安全受到計算機病毒危害最為普遍，面對種類繁多的計算機病毒，其危害性大，傳播速度快，傳播形式多，特別是通過網(wǎng)絡傳播的病毒，如：網(wǎng)絡蠕蟲、木馬、震網(wǎng)、火焰等病毒對計算機網(wǎng)絡的破壞性更強，清除難度更大，是用戶面臨最頭痛的計算機網(wǎng)絡安全問題之一。

2.2 IP地址被盜用

在局域網(wǎng)中經(jīng)常會發(fā)生盜用IP地址的現(xiàn)象，這時用戶計算機上會出現(xiàn)IP地址被占用的提示對話框，導致用戶不能正常使用網(wǎng)絡。被盜用的IP地址權限一般都很高，盜用者常會通過網(wǎng)絡以隱藏的身份對用戶進行騷擾和破壞，給用戶造成較大損失，嚴重侵害了使用網(wǎng)絡用戶的合法權益，導致網(wǎng)絡安全受到極大的威脅。

2.3 網(wǎng)絡黑客攻擊

網(wǎng)絡黑客是指攻擊者通過Internet網(wǎng)絡對用戶網(wǎng)絡進行非法訪問、破壞。有些黑客因為憤怒、報復、抗議，非法侵入用于纂改用戶目標網(wǎng)頁和內(nèi)容，想法設法羞辱和攻擊用戶，造成嚴重的負面影響，迫使網(wǎng)絡癱瘓。有些黑客主要從事惡意攻擊和破壞，入侵毀壞用戶的計算

機系統(tǒng)中重要的數(shù)據(jù)被纂改、毀壞、刪除。如竊取國防、軍事、政治等機密，損害集體和個人利益，危及國家安全；非法盜用賬號提取他人銀行存款，或進行網(wǎng)絡勒索和詐騙。由此可見，黑客入侵對計算機網(wǎng)絡的攻擊和破壞后果是不堪設想。

2.4垃圾郵件泛濫破壞網(wǎng)絡環(huán)境

垃圾郵件一般是指未經(jīng)過用戶許可強行發(fā)送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經(jīng)使Internet網(wǎng)絡不堪重負。在網(wǎng)絡中大量垃圾郵件的傳播，侵犯了收件人隱私權和個人信箱的空間，占用了網(wǎng)絡帶寬，造成服務器擁塞，嚴重影響網(wǎng)絡中信息的傳輸能力，降低了網(wǎng)絡的運行效率。

2.5 計算機網(wǎng)絡安全管理不到位

計算機網(wǎng)絡安全管理機構不健全，崗位職責不明，管理密碼和權限混亂等，導致網(wǎng)絡安全機制缺乏，安全防護意識不強，使計算機網(wǎng)絡風險日益加重，這都會為計算機病毒、黑客攻擊和計算機犯罪提供破壞活動的平臺，從而導致計算機網(wǎng)絡安全受到威脅。網(wǎng)絡信息安全的防護與建設

3.1建立規(guī)范的網(wǎng)絡秩序

建立規(guī)范的網(wǎng)絡秩序，需要不斷完善法制，探索網(wǎng)絡空間所體現(xiàn)的需求和原則，為規(guī)范網(wǎng)絡空間秩序確定法律框架；建立規(guī)范的網(wǎng)絡秩序，還要在道德和文化層面確定每個使用網(wǎng)絡者的義務。

3.2加強入網(wǎng)的訪問控制

入網(wǎng)訪問控制是網(wǎng)絡的第一道關口，主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規(guī)定，如：口令和賬號要盡可能地長，數(shù)字和字母混合，避免用生日、身份證號等常見數(shù)字作口令，盡量復雜化，而且要定期更新，以防他人竊取。因此，大大增強了用戶使用信息的安全性。

3.3防火墻技術

防火墻技術是指隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)的總稱。在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡安全模型，通過它可以隔離風險區(qū)域與安全區(qū)域的連接，同時不會妨礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡的通信量，僅讓安全、核準的信息進入。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻三種類型，并在計算機網(wǎng)絡得到了廣泛的應用。一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉發(fā)。屏蔽路由器從包頭取得信息，例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項，對IP包進行過濾。代理服務器是防火墻中的一個服務器進程，它能夠代替網(wǎng)絡用戶完成特定的TCP/TP功能。一個代理服務器本質(zhì)上是一個應用層

3.4安全加密技術

加密技術的出現(xiàn)為全球電子商務提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。

3.5入侵檢測技術

隨著網(wǎng)絡安全風險系數(shù)不斷提高，作為對防火墻及其有益的補充，IDS（入侵檢測系統(tǒng)）

能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。

計算機網(wǎng)絡信息安全工作貫穿于計算機網(wǎng)絡建設、發(fā)展的始終，需要我們時刻重視，不斷學習，才能確保計算機網(wǎng)絡的安全、可靠地運行

參考文獻周學廣等.信息安全學.北京：機械工業(yè)出版社，2003.3(美)Mandy Andress著.楊濤等譯.計算機安全原理.北京：機械工業(yè)出版社，2002.1賴溪松等著.計算機密碼學及其應用.北京:國防工業(yè)出版社.2001.7馮元等.計算機網(wǎng)絡安全基礎.北京；科學出版社.2003.10董玉格等.網(wǎng)絡攻擊與防護-網(wǎng)絡安全與實用防護技術.北京：人民郵電出版社,2002.8 6 顧巧論等編著.計算機網(wǎng)絡安全.北京:科學出版社.2003.1張友生，米安然編著.計算機病毒與木馬程序剖析.北京：北京科海電子出版社，2003.3 8(美)Heith E.原莉.如何確保計算機網(wǎng)絡安全[J].職大學報，2008謝浩浩.計算機網(wǎng)絡安全綜述[J].科技廣場，2009李建霞.計算機網(wǎng)絡安全與防范[J].中國西部科技

作者：小帥

第五篇：電力系統(tǒng)信息通信網(wǎng)絡安全及防護研究（范文模版）

電力系統(tǒng)信息通信網(wǎng)絡安全及防護研究

摘要

電力系統(tǒng)通信網(wǎng)絡安全是電力系統(tǒng)安全管理的重要內(nèi)容，是關系到電力系統(tǒng)能否有效的、安全的保證電力供應、保障社會發(fā)展的重要工作。本文通過對當前我國電力系統(tǒng)網(wǎng)絡安全方面的問題進行分析，并提出自己的見解。

關鍵字：電力系統(tǒng)、信息、網(wǎng)絡安全、防護

1引言

隨著經(jīng)濟的發(fā)展，技術的進步，電力已經(jīng)成為社會發(fā)展、人們生活的重要資源，成為推動社會發(fā)展的重要動力。伴隨著電力系統(tǒng)的自動化、網(wǎng)絡化、智能化技術的深入和廣泛的應用，如何確保電力系統(tǒng)的安全性、穩(wěn)定性成為保障社會發(fā)展的重要問題。雖然當前我國在電力系統(tǒng)網(wǎng)絡管理和控制方面，為保障電力專網(wǎng)的安全，降低外網(wǎng)攻擊電力系統(tǒng)信息通信網(wǎng)絡的風險，采用了信息內(nèi)、外網(wǎng)雙網(wǎng)運行的模式，但是這種網(wǎng)絡安全防護模式在運用和管理過程中仍然發(fā)現(xiàn)了許多風險和漏洞，在通信設備運維方面、網(wǎng)絡管理方面仍有許多問題亟待解決。

2電力系統(tǒng)國內(nèi)外信息通信網(wǎng)絡設備使用現(xiàn)狀分析

電力系統(tǒng)信息通信網(wǎng)絡是一個覆蓋全面的網(wǎng)絡，其各項通信和控制活動需要大量的硬件設備進行運轉和工作。然而，在當前技術水平下，我國自主知識產(chǎn)權、自主核心技術的設備比重相對較小，在網(wǎng)絡管理和運行上大量依賴從國外進口技術和設備，導致我國電力系統(tǒng)安全防護工作存在巨大安全隱患，鑒于網(wǎng)絡設備功能和操作的特殊性和電力部門對國家的重要程度，必須加強網(wǎng)絡安全管理和防護。一方面為保障電力系統(tǒng)運行穩(wěn)定可靠，電力系統(tǒng)通信網(wǎng)絡部分技術和設備必須使用；另一方面，國外供應商、尤其是有政治背景的供應商、提供所謂“質(zhì)量安全”的技術、產(chǎn)品的供應商，可能在產(chǎn)品上留有“后門”、在軟、硬件上存在固有漏洞，隱藏了可以導致通信中斷、錯誤、設備癱瘓等惡意程序，威脅我國電力系統(tǒng)的安全。

3電力系統(tǒng)信息通信網(wǎng)絡安全風險分析

經(jīng)過多年的發(fā)展，我國為提高電力系統(tǒng)運行效率，積極構建了電力系統(tǒng)管理專用網(wǎng)絡。為防止電力系統(tǒng)網(wǎng)絡受到互聯(lián)網(wǎng)攻擊，造成電力系統(tǒng)故障、癱瘓等重大安全事故，我國在構建電力系統(tǒng)網(wǎng)絡時采用內(nèi)外網(wǎng)雙網(wǎng)模式，通過邏輯強隔離或物理隔離的方法構建信息通信網(wǎng)絡安全防護的基礎。然而，隨著技術手段的不斷升級和更新，新的網(wǎng)絡安全問題不斷出現(xiàn)，即便內(nèi)、外網(wǎng)采用物理隔離的情況下，仍然可

以通過各種方式實現(xiàn)對電力系統(tǒng)信息網(wǎng)絡的入侵和破壞。

3.1設備與系統(tǒng)方面

在網(wǎng)絡設備上的選擇上，由于當前過度依賴國外進口設備，一旦供應商在供應的網(wǎng)絡設備上植入后門、木馬等程序，將導致電力系統(tǒng)信息通信網(wǎng)絡完全局部開放給外部網(wǎng)絡，最終形成電力系統(tǒng)信息通信網(wǎng)的安全風險。隨著科技的不斷發(fā)展，網(wǎng)絡入侵和控制手段也不斷豐富，通過采用電磁輻射或者無線電信號可以實現(xiàn)對電力系統(tǒng)信息通信網(wǎng)絡的入侵。通過利用供應商預設在硬件設備中的木馬程序，使其發(fā)射出特有的輻射或者無線電信號，攻擊者可利用這些信號實現(xiàn)對信息通信網(wǎng)絡的偵測、破譯和控制，從而實現(xiàn)對內(nèi)網(wǎng)的破壞。

同時，在系統(tǒng)設備的缺陷上、漏洞上的防護不全面也是極其容易被攻擊者所利用。由于部分系統(tǒng)漏洞被供應商公開或是電網(wǎng)系統(tǒng)修復不及時，使得服務器等網(wǎng)絡設備可能遭至頻繁的攻擊和利用，更加劇了我國電力系統(tǒng)信息通信網(wǎng)絡的安全風險。

3.2人員控制方面

我國電力系統(tǒng)內(nèi)外網(wǎng)分離的策略取得了一定的成效，降低和消除了一部分由網(wǎng)絡攻擊等造成的系統(tǒng)故障。但是，在內(nèi)網(wǎng)管理和運營上，管理和操作人員在運行維護過程中存在大量風險。一方面，由于部分核心設備依賴進口，其故障、維護、升級等過程，過度依賴外來技術人員，在進行內(nèi)網(wǎng)系統(tǒng)監(jiān)測維護期間，大量敏感數(shù)據(jù)可能為他人所得

進行非法研究。另一方面，電網(wǎng)公司內(nèi)部管理人員、操作人員也可以通過移動存儲介質(zhì)、終端等數(shù)據(jù)通訊時，利用設備預留的后門、漏洞等植入病毒或木馬，使得電力系統(tǒng)信息通信網(wǎng)絡遭受內(nèi)網(wǎng)式攻擊。

4電力系統(tǒng)信息通信網(wǎng)絡安全防護的幾點措施

4.1設備供應國產(chǎn)化

設備安全是電力系統(tǒng)信息通信網(wǎng)絡安全的基礎，確保設備供應的的國產(chǎn)化，尤其是核心設備的國產(chǎn)化可以在一定程度上規(guī)避進口設備的安全風險，降低由于進口設備存在預留后門、開放漏洞等隱患造成的各類設備風險，防止設備安全隱患威脅整個電力系統(tǒng)通信網(wǎng)絡安全。

4.2設備供應審查化

在針對設備供應商的選擇上，進行嚴格的審查化，通過對供應企業(yè)的資質(zhì)審核、設備選型、安全準入、企業(yè)投資人、操作人員、企業(yè)背景等等進行嚴格的審查，提高供應商準入門檻，確保供應商的在政治和經(jīng)濟利益上與國家的一致性。

4.3設備投運管控化

首先，在設備選購、實用分析階段，對網(wǎng)絡設備進行全方位的安全檢測，降低和消除各類后門、策略配臵以及代碼等潛在的風險，對設備運行進行可行性分析，針對后門、策略配臵以及代碼等問題，與

供應商一起積極協(xié)作，消除風險。其次，在使用過程中，針對系統(tǒng)和設備所出現(xiàn)的各類問題和漏洞，與供應商積極溝通，升級消除，并通過完善漏洞數(shù)據(jù)庫，實現(xiàn)漏洞監(jiān)測和跟蹤修復工作。同時，在實際控制過程中，建立防范預警模式，優(yōu)化電力系統(tǒng)信息網(wǎng)絡安全監(jiān)測系統(tǒng)，對系統(tǒng)運行狀況、操作記錄等進行日記化備份，對系統(tǒng)重要內(nèi)容進行隔離備份，以防遭受攻擊后，系統(tǒng)不能正常恢復。

4.4人員控制嚴格化

在人員控制方面，建立相關人員管理和控制制度，對人員進行審查、教育，完善隊伍管理工作，保障在電力系統(tǒng)通信網(wǎng)絡操控過程中的安全，在內(nèi)網(wǎng)獨立的基礎上，保障人員控制質(zhì)量，消除人員控制失誤和惡意攻擊風險。同時做好離線設備的信息處理和消除教育工作，防止重要信息的泄漏。

5結論

我國處在發(fā)展階段，各項技術仍不完善，電力系統(tǒng)信息通信網(wǎng)絡的安全存在問題較多，電力系統(tǒng)信息通信網(wǎng)絡的安全直接關系到電力系統(tǒng)的有效運行，直接關系到我國電網(wǎng)的調(diào)度使用和安全，是關系到社會生產(chǎn)、國家命運的重大安全問題，只有保障了電力系統(tǒng)信息通信網(wǎng)絡安全，才能保障社會發(fā)展的動力。

參考文獻

[1]高鵬,李尼格,范杰.電力系統(tǒng)信息通信網(wǎng)絡安全及防護研究[J].現(xiàn)代電子技術,2014,18:146-148+151.[2]宋磊.電力信息系統(tǒng)實時數(shù)據(jù)的通信安全[D].華中科技大學,2005.[3]李健.對通信網(wǎng)絡安全與防護的思考[J].計算機光盤軟件與應用,2012,02:31-32.