緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇控制系統網絡安全范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

關鍵詞：

工業控制系統；網絡安全；防護體系

0引言

工業控制系統是我國工業領域建設中的重要組成部分，在我國現代化工業生產與管理中占有重要地位。隨著近年來我國工業信息化、自動化、智能化的創新與發展，工業控制系統呈現出網絡化、智能化、數字化發展趨勢，并在我國工業領域各行業控制機制中，如能源開發、水文建設、機械制作生產、工業產品運輸等得到了廣泛應用。因此，在網絡安全隱患頻發的背景下，對工業控制系統網絡安全防護體系的研究與分析具有重要現實意義，已成為當今社會關注的重點內容之一。

1工業控制系統

工業控制系統（IndustrialControlSystem，ICS）是由一定的計算機設備與各種自動化控制組件、工業信息數據采集、生產與監管過程控制部件共同構成且廣泛應用與工業生產與管理建設中的一種控制系統總稱[1]。工業控制系統體系在通常情況下，大致可分為五個部分，分別為“工業基礎設施控制系統部分”、“可編程邏輯控制器/遠程控制終端系統部分（PLC/RTU）”、“分布式控制系統部分（DCS）”、“數據采集與監管系統部分（SCADA）”以及“企業整體信息控制系統（EIS）”[2]。近年來，在互聯網技術、計算機技術、電子通信技術以及控制技術，不斷創新與廣泛應用的推動下，工業控制系統已經實現了由傳統機械操作控制到網絡化控制模式的發展，工業控制系統的結構核心由最初的“計算機集約控制系統（CCS）”轉換為“分散式控制系統（DCS）”，并逐漸趨向于“生產現場一體化控制系統（FCS）”的創新與改革發展。目前，隨著我國工業領域的高速發展，工業控制系統已經被廣泛應用到水利建設行業、鋼鐵行業、石油化工行業、交通建設行業、城市電氣工程建設行業、環境保護等眾多領域與行業中，其安全性、穩定性、優化性運行對我國經濟發展與社會穩定具有重要影響作用。

2工業控制系統存在的網絡安全威脅

2.1工業控制系統本身存在的問題

由于工業控制系統是一項綜合性、技術復雜性的控制體系，且應用領域相對較廣。因此，在設計與應用過程中對工作人員具有較高的要求，從而導致系統本身在設計或操作中容易出現安全隱患。

2.2外界網絡風險滲透問題

目前，工業控制系統網絡化設計與應用，已成為時展的必然趨勢，在各領域中應用工業控制系統時，對于數據信息的采集、分析與管理，需要工業控制系統與公共網絡系統進行一定的鏈接或遠程操控。在這一過程中，工業控制系統的部分結構暴露在公共網絡環境中，而目前公共網絡環境仍存在一定的網絡信息安全問題，這在一定程度上將會導致工業控制系統受到來自網絡病毒、網絡黑客以及人為惡意干擾等因素的影響，從而出現工業控制系統網絡安全問題。例如，“百度百科”網站，通過利用SHODAN引擎進行OpenDirectory搜索時，將會獲得八千多個處于公共網絡環境下與“工業控制系統”相關的信息，一旦出現黑客或人為惡意攻擊，將為網站管理系統帶來嚴重的影響[3]。

2.3OPC接口開放性以及協議漏洞存在的問題

由于工業控制系統中，其網絡框架多是基于“以太網”進行構建的，因此，在既定環境下，工業過程控制標準OPC（Ob-jectLinkingandEmbeddingforProcessControl）具有較強的開放性[4]。當對工業控制系統進行操作時，基于OPC的數據采集與傳輸接口有效網絡信息保護舉措的缺失，加之OPC協議、TCP/IP協議以及其他專屬代碼中存在一定的漏洞，且其漏洞易受外界不確定性風險因素的攻擊與干擾，從而形成工業控制系統網絡風險。

2.4工業控制系統脆弱性問題

目前，我國多數工業控制系統內部存在一定的問題，致使工業控制系統具有“脆弱性”特征，例如，網絡配置問題、網絡設備硬件問題、網絡通信問題、無線連接問題、網絡邊界問題、網絡監管問題等等[5]。這些問題，在一定程度上為網絡信息風險因素的發生提供了可行性，從而形成工業控制系統網絡安全問題。

3加強工業控制系統網絡安全防護體系的建議

工業控制系統網絡安全防護體系的構建，不僅需要加強相關技術的研發與利用，同時也需要相關部門（如，設備生產廠家、政府結構、用戶等）基于自身實際情況與優勢加以輔助，從而實現工業控制系統網絡安全防護體系多元化、全方位的構建。

3.1強化工業控制系統用戶使用安全防護能力

首先，構建科學且完善的網絡防護安全策略：安全策略作為工業控制系統網絡安全防護體系設計與執行的重要前提條件，對保證工業控制系統的網絡安全性具有重要指導作用。對此，相關工作人員應在結合當今工業控制系統存在的“脆弱性”問題，在依據傳統網絡安全系統構建策略優勢的基礎上，有針對性的制定一系列網絡防護安全策略，用以保證工業控制系統安全設計、操作、管理、養護維修規范化、系統化、全面化、標準化施行。例如，基于傳統網絡安全策略——補丁管理，結合工業控制系統實際需求，對工業控制系統核心系統進行“補丁升級”，用以彌補工業控制系統在公共網絡環境下存在的各項漏洞危機[6]。在此過程中，設計人員以及相關工作者應通過“試驗測驗”的方式，為工業控制系統營造仿真應用環境，并在此試驗環境中對系統進行反復測驗、審核、評價，并對系統核心配置、代碼進行備份處理，在保證補丁的全面化升級的同時，降低升級過程中存在的潛在風險。其次，注重工業控制系統網絡隔離防護體系的構建：網絡隔離防護的構建與執行，對降低工業控制系統外界風險具有重要意義。對此，相關設計與工作人員應在明確認知與掌握工業控制系統網絡安全防護目標的基礎上，制定相應的網絡隔離防護方案，并給予有效應用。通常情況下，工業控制系統設計人員應依據不同領域中工業控制系統類型與應用需求，對系統所需設備進行整理，并依據整理內容進行具體測評與調試，用以保證各結構設備作用與性能的有效發揮，避免出現設備之間搭配與連接不和諧等問題的產生；根據工業控制系統功能關鍵點對隔離防護區域進行分類與規劃（包括工業控制系統內網區域、工業控制系統外部區域、工業控制系統生產操作區域、工業控制系統安全隔離區域等），并針對不同區域情況與待保護程度要求，采用相應的舉措進行改善，實現不同風險的不同控制[7]。與此同時，構建合理、有效的物理層防護體系：實踐證明，物理層防護體系的構建（物理保護），對工業控制系統網絡安全防護具有至關重要的作用，是工業控制系統實現網絡安全管理與建設的重要基礎項目，也是核心項目，對工業控制和系統網絡防護體系整體效果的優化，具有決定性作用。因此，在進行工業控制防護系統網絡安全防護體系優化設計時，設計人員以及相關企業應注重對工業控制系統物理層的完善與優化。例如，通過配置企業門禁體系，用以避免外來人員對工業現場的侵害；依據企業特色，配設相應的生產應急設備，如備用發電機、備用操作工具、備用電線、備用油庫等，用以避免突發現象導致設計或生產出現問題；通過配置一定的監測管理方案或設施，對系統進行一體化監管，用以及時發現問題（包括自然風險因素、設備生產安全風險因素等）并解決問題，保證工業控制系統運行的優化性。此外，加強互聯網滲透與分析防治：設計工作人員為避免工業控制系統互聯網滲透安全威脅問題，可通過換位思考的形式，對已經設計的工業控制系統網絡安全防護體系進行測評，并從對方的角度進行思考，制定防護對策，用以提升工業控制系統網絡安全性。

3.2強化工業控制系統生產企業網絡安全防護能力

工業控制系統生產企業，作為工業控制系統的研發者與生產者，應提升自身對工業控制系統網絡安全設計的重視程度，從而在生產過程中保證工業控制系統的質量。與此同時，系統生產企業在引進先進設計技術與經驗的基礎上，強化自身綜合能力與開發水平，保證工業控制系統緊跟時展需求，推動工業控制系統不斷創新，從根源上降低工業控制系統自身存在安全風險。

3.3加大政府扶持與監管力度

由上述分析可知，工業控制系統在我國各領域各行業中具有廣泛的應用，并占據著重要的地位，其安全性、穩定性、創新性、優化性對我國市場經濟發展與社會的穩定具有直接影響作用。由此可見，工業控制系統網絡安全防護體系的構建，不僅是各企業內部組織結構體系創新建設問題，政府以及社會等外部體系的構建同樣具有重要意義。對此，政府以及其他第三方結構應注重自身社會責任的執行，加強對工業控制系統安全防護體系環境的管理與監督，促進工業控制系統安全防護外部體系的構建。例如，通過制定相應的網絡安全運行規范與行為懲罰措施，用以避免互聯網惡意破壞行為的發生；通過制定行業網絡安全防護機制與準則，嚴格控制工業控制系統等基礎設施的網絡安全性，加大自身維權效益。

4結論

綜上所述，本文針對“工業控制系統網絡安全防護體系”課題研究的基礎上，分析了工業控制系統以及當今工業控制系統存在的網絡安全問題，并在工業控制系統網絡安全防護體系設計的基礎上，提供了加強工業控制系統網絡安全防護體系設計的優化對策，以期對工業控制系統網絡安全具有更明確的認知與理解，從而促進我國工業控制系統網絡安全防護體系建設的優化發展。

參考文獻：

[1]王棟,陳傳鵬,顏佳,郭靚,來風剛.新一代電力信息網絡安全架構的思考[J].電力系統自動化,2016(2):6-11.

[2]薛訓明,楊波,汪飛,郭磊,唐皓辰.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望,2016(14):264-265.

[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關鍵基礎設施工業控制系統安全保障探索[J].網絡安全技術與應用,2016(5):81-86.

[4]羅常.工業控制系統信息安全防護體系在電力系統中的應用研究[J].機電工程技術,2016(12):97-100.

[5]劉秋紅.關于構建信息安全防護體系的思考——基于現代計算機網絡系統[J].技術與市場,2013(6):314.

篇（2）

0　引言

對于電力部門來說，保奧運，確保電網和系統安全，是目前各發電集團公司、國家電網公司、南方電網公司的頭等大事。保護電力業務系統的安全，其核心在于保護電力數據的安全，包括數據存儲、傳輸的安全。影響電力系統網絡安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內部或外來攻擊者對網絡系統資源的非法使用。

電力系統一直以來網絡結構和業務系統相對封閉，電力系統出現的網絡安全問題也基本產生于內部。但是，隨著近年來與外界接口的增加，特別是與政府、金融機構等合作單位中間業務的接口、網上服務、三網融合、數據大集中應用、內部各系統間的互聯互通等需求的發展，其安全問題不僅僅局限于內部事件了，來自外界的攻擊也越來越多，已經成為電力系統不可忽視的威脅來源。但是，據我所知，未來電力系統網上服務所采用的策略一般是由各省公司做統一對外服務出口，各級分局或電力公司和電廠將沒有對外出口；從內部業務應用的角度來看，除大量現存的C/S結構以外，還將出現越來越多的內部B/S結構應用。所以，對于電力系統整體來說，主要問題仍有一大部分是內部安全問題。其所面臨的威脅大體可分為兩種：一是對網絡中通訊、信息的威脅；二是對網絡中設備的威脅，造成電力系統癱瘓。對于電力系統來說，主要是保護電力業務系統的安全，其核心在于保護電力數據的安全，包括數據存儲，數據傳輸的安全。

1 電力網絡信息系統安全的威脅

(1)人為的無意失誤

如果網絡安全配置不當造成的安全漏洞，包括安全意識、用戶口令、賬號、共享信息資源等都會對網絡安全帶來威脅。主機存在系統漏洞，通過電力網絡入侵系統主機，并有可能登錄其它重要應用子系統服務器或中心數據庫服務器，進而對整個電力系統造成很大的威脅。

(2)人為的惡意攻擊

這是計算機網絡所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成直接的極大的危害，并導致機密數據的泄漏和丟失。由于windows操作系統的漏洞不斷出現，針對windows操作系統漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現的沖擊波蠕蟲病毒和惡意程序給全世界80％的計算機造成了破壞，安徽省省電力公司系統內也有多個供電企業的信息系統遭到病毒的破壞，這一事件給網絡安全再次敲響了警鐘!

2　網絡安全風險和威脅的具體表現形式

電力系統網絡的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導致的一次系統事故或大面積停電事故，二次系統的崩潰或癱瘓，以及有關信息管理系統的癱瘓。必須提出針對以上事故的各種應急預案。 隨著計算機技術、通信技術和網絡技術的發展，電力系統網上開展的業務及應用系統越來越多，要求在業務系統之間進行的數據交換也越來越多，對電力網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰。其安全風險和威脅的具體表現形式如下：

(1)UNIX和Windows主機操作系統存在安全漏洞。

(2)Oracle，Sybase、MS SQL等主要關系型數據庫的自身安全漏洞。

(3)重要應用系統的安全漏洞，如：MS IIS或Netscape WEB服務應用的“緩存區溢出”等，使得攻擊者輕易獲取超級用戶權限。核心的網絡設備，如路由器、交換機、訪問服務器、防火墻存在安全漏洞。

(4)利用TCP/IP等網絡協議自身的弱點(DDOS分布式拒絕服務攻擊)，導致網絡癱瘓。網絡中打開大量的服務端口(女IIRPC、FTP、TELNET、SMTP、FINGER等)，容易被攻擊者利用。黑客攻擊工具非常容易獲得，并可以輕易實施各類黑客攻擊，如：特洛伊木馬、蠕蟲、拒絕服務攻擊、分布式拒絕服務攻擊、同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網絡的癱瘓和關鍵業務數據的泄漏、篡改甚至毀壞。在電力內部網絡中非法安裝和使用未授權軟件。對網絡性能和業務造成直接影響。系統及網絡設備的策略(如防火墻等)配置不當。

(5)關鍵主機系統及數據文件被篡改或誤改，導致系統和數據不可用，業務中斷等。

(6)分組協議里的閉合用戶群并不安全，信任關系可能被黑客利用。

(7)應用軟件的潛在設計缺陷。

(8)在內部有大批的對內網和業務系統相當熟悉的人員，據統計，70％以上的成功攻擊來自于企業系統內部。與其他電力和合作單位之間的網絡互通存在著極大的風險。

(9)雖然將來由省局(公司)統一的WEB網站向外信息并提供網上信息服務，但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯網，存在著由多個攻擊入口進入電力內部網的可能。系統中所涉及的很多重要數據、參數直接影響系統安全，如系統口令、IP地址、交易格式、各類密鑰、系統流程、薄弱點等，技術人員的忠誠度和穩定性，將直接關系到系統安全。

(10)各局使用的OA辦公自動化系統大量使用諸如WINDOWS操作系統，可能存在安全的薄弱環節，并且有些分局可能提供可拷貝腳本式的撥號服務，撥入網絡后，即可到達電力的內部網絡的其它主機。

系統為電力客戶提供方便服務的同時，數據的傳輸在局外網絡和局內局域網絡的傳輸中極有可能被竊取，通過 Sniffer 網絡偵聽極易獲得超級用戶的密碼。

3　系統的網絡風險基本控制策略

針對電力系統網絡的安全性和可靠性，電力安全方案要能抵御通過各種形式對系統發起的惡意破壞和攻擊，防止由此導致的一次系統事故或大面積停電事故，二次系統的崩潰或癱瘓，以及有關信息管理系統的癱瘓。總體來說，電力系統安全解決方案的總體策略如下：

(1)分區防護、突出重點。根據系統中業務的重要性和對一次系統的影響程度，按其性質可劃分為實時控 制區、非控制生產區、調度生產管理區、管理信息區等四個安全區域，重點保護實時控制系統以及生產業務系統。所有系統都必須置于相應的安全區內，納入統一的安全防護方案。

(2)區域隔離。采用防火墻裝置使核心系統得到有效保護。

(3)網絡專用。在專用通道上建立電力調度專用數據網絡，實現與其他數據網絡物理隔離，并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN，實現多層次的保護。

(4)設備獨立。不同安全區域的系統必須使用不同的網絡交換機設備。

(5)縱向防護。采用認證、加密等手段實現數據的遠方安全傳輸。

4　電力系統的網絡安全解決方案

針對電力網絡安全的薄弱環節全方位統籌規劃。解決方案注重防止非法入侵全網網絡設備；保護電力數據中心及其設備中心的網絡、服務器系統不受侵犯――數據中心與Internet間必須使用防火墻隔離，并且制定科學的安全策略；制定權限管理――這是對應用系統、操作系統、數據庫系統的安全保障；考慮網絡上設備安裝后仍然可能存在的安全漏洞，并制定相應措施策略。

(1)在網絡設備的安全管理方面，將所有網絡設備上的Console口加設密碼進行屏蔽，配置管理全部采用DUT-BAND帶外方式，并對每個被管理的設備均設置相應的帳戶和口令，只有網絡管理員具有對網絡設備訪問配置和更改密碼的權力。

(2)存網管中心通過劃分不同安全區域來規范管理網絡和工作網絡，從邏輯上把每個部門的資源獨立成一個安全區域，對安全區域的劃分基于安全性策略或規則，使區域的劃分更具安全性。網絡管理員可根據用戶需求，把某些共享資源分配到單獨的安全區域中，并控制區域之間的訪問。

(3)VPN和IPsec加密的使用。電力網絡將通過MPLS VPN把跨骨干的廣域網絡變成自己的私有網絡。為保障數據經VPN承載商(ISP)傳輸后不會對數據的完整與安全構成潛在危險，在數據進入MPLSVPN網絡之前首先經過IPsec加密，在離開VPN網絡后又再進行IPsec解密。

(4)通過網絡設置控制網絡的安全。在交換機、路由器、數據庫和各種認證上，層層進行安全設置，從而確保整個網絡的安全。

(5)通過專用網絡防火墻控制網絡邊界的安全。

(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網絡安全性分析和操作系統安全性分析等一系列配置，對黑客進行監控。可以部署在內網作為IDS進行監控使用，也可以部署在服務器的前端作為防攻擊的IPS產品使用，前題是保障網絡的安全性。

5　電力系統局域網內部網絡安全解決方案

外部攻擊影響巨大，但內部攻擊危害巨大，為了解決內網安全問題，在一個電力／電廠系統的局域網內部，可以使用防火墻對不同的網段進行隔離，并且使用IPS設備對關鍵應用進行監控和保護。同時，使用IPS設備架設在相應的安全區域，保證訪問電力系統內部重要數據的可監控性，可審計性以及防止惡意流量的攻擊。并且實現以下的主要目的：

(1)網絡安全：防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。

(2)防火墻負載均衡：網絡安全性越來越成為電力系統擔心的問題了，網絡安全已經成為了關鍵部門關注的焦點。網絡安全技術將防火墻作為一種防止對網絡資源進行非授權訪問的常用方法。

(3)服務器負載均衡：執行一定的負載均衡算法，可以針對電廠內關鍵的服務器群動態分配負載。

6　廣域網整體安全解決方案

對于整個廣域網，為了端對端，局對局的安全性，本著不受他系統影響／不影響他系統的安全原則，可對防火墻以及IPS設備進行分布式部署。

通過過濾的規則設置可以使得我們方便地控制網絡內部資源對外的開放程度，特別是針對國家電網公司、當地政府以及Internet僅僅開放某個IP的特殊端口，有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認證等規則的應用，可以確定不同的內部用戶享受不同的訪問外部資源的級別，對于內部用戶嚴格區分網段，而且可以利用獨特的內置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內部用戶主動將信息通過網絡向外界傳遞。

雙機熱備(負載均衡)：為了提高系統的可靠性，通過監控設備的CPU Loading來確認誰轉發流量，極大的提高了防火墻的吞吐量。

友好的用戶界面：只需作簡單的培訓，用戶即可進行規則配置、系統管理、統計。

7　參考文獻

[1]　《StoneSoft電力系統網絡安全解決方案》StoneSoft

公司，2005。

[2] 王桂娟，張漢君。《網絡安全的風險分析》[J]．中南民族

大學學報，2007，(11)。

[3] 陳 偉、鮑 慧．《電力系統網絡安全體系研究》[丁]．電

篇（3）

隨著網絡技術的發展和應用，傳統的手工會計系統已向網絡會計系統發展，這是企業管理手段的巨大進步，但同時也給企業內部安全控制帶來了新的問題和挑戰，具體表現在：

(一)授權方式的改變和系統程序質量的依賴性不利于安全風險的控制在網絡會計系統中，權限分工采用的主要形式是口令授權，而口令存放于計算機系統內，一旦口令被人竊取，便會帶來巨大的安全隱患。如會計人員被客戶收買后，竊取口令并登錄系統，非法核銷客戶的應收款及相關資料；銷售人員竊得顧客訂單口令，開出假訂單，騙走企業產品等。網絡會計的安全控制在一定程度上取決于系統中運行的應用程序的質量。一旦程序中存在嚴重的錯誤，便會危害系統安全。而會計人員的計算機專業知識有限，很難及時發現這些漏洞，致使系統會多次重復同一錯誤而擴大損失。

(二)電子商務的普及和會計信息的偽造導致網絡會計系統安全控制的新難題IT技術迅猛發展，網上交易愈加普遍，電子商務逐步普及。企業在利用Intemet網尋找潛在貿易伙伴、完成網上交易的同時，也將自己暴露于風險之中。一旦企業的全部原始憑證采用數字格式，實現電子化，極易被修改甚至偽造而不留任何痕跡，勢必將加強企業對網上公證機構的依賴，電子單據的信息保真將顯得特別重要。但目前相關技術還不完全成熟、相應法規并不完善，這將給系統安全控制造成極大的困難。

(三)會計信息儲存方式和媒介的變化缺乏會計業務的有效牽制網絡會計采用高度電子化的交易方式，對數據的正確性、交易及其軌跡均帶來新的變化。原始憑證在網絡業務交易時自動產生并存入計算機，交易的全過程均在電子媒介上建立、運算與維護，而且大量的數據錄入和交易發生在企業外部；網絡會計使會計介質繼續發生變化，更多的介質將電子化，出現各種發票、結算單等電子單據。存貯形式主要以網絡頁面數據存貯，網頁數據只能在計算機及相應的程序中閱讀。由于計算機的自動高效使工作人員減少，各種手續被合并到一起由計算機統一執行，從而不能像手工方式下一筆業務要經過幾道審查后才能被確認而相互牽制，成為內部控制的安全隱患。

(四)網絡環境的開放性和動態性加劇會計信息失真的風險網絡技術是IT發展的方向，特別是Inlemet在財務軟件中的應用使得會計信息系統向網絡化方向發展。但在開放的網絡環境中，大量的會計信息通過Internet傳遞，各種服務器上的信息在理論上都可以被訪問，除非物理上斷開連接，否則就存在被截取、篡改、泄漏甚至黑客或病毒的惡意侵擾等安全風險。盡管信息傳遞的無紙化可有效避免人為原因導致的信息失真現象，但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。南于缺乏有效的確認標識，信息接受方懷疑所獲取財務信息的真實性；信息發送方也擔心所傳遞的信息能否被接受方正確識別并下載，加大了網絡會計安全控制的難度。

(五)網絡會計系統的復雜性加大稽核與審計的難度網絡是一個由計算機硬件、軟件、操作人員和各種規程構成的復雜系統，該系統將許多不相容職責相對集中，加大了舞弊的風險；信息來源的多樣性，有可能導致審計線索紊亂；系統設計主要強調會計核算的要求，很少考慮審計工作的需要，往往導致系統留下的審計線索很少，稽核與審計必須運用更復雜的查核技術，且要花費更多的時間和更高的代價，這無疑將加大稽核與審計的難度和成本。

二、網絡會計信息系統的安全控制對策

網絡技術在會計信息系統中的應用，豐富了會計信息系統的功能，促進了會計工作效率的提高。但安全問題若不能及時有效地得到解決，必將限制網絡會計系統的發展與應用。網絡會計信息系統安全控制的對策主要有：

(一)做好法律、政策上的相關保障為了對付計算機犯罪，保護會計信息使用者的權益，國家應制定并實施計算機安全及數據保護法律，從宏觀上加強對信息系統的控制，為網絡會計系統提供一個良好的社會環境；盡快建立和完善電子商務法律法規，制定網絡會計環境下的有關會計準則，規范網上交易的購銷、支付及核算行為。

(二)建立和完善網絡會計系統的管理制度管理制度是保證企業實現網絡會計信息系統安全、準確、可靠的先決條件。它主要包括：確定各種人員的職責范圍及其考核辦法的崗位責任制；制定密碼的使用和管理辦法及機房、保衛、數據資料安全等方面應遵循的安全保密制度；操作計算機應遵守的操作規程及注意事項的操作管理制度；規定數據輸入、輸出、存儲、查詢與使用應遵守的數據管理制度；規定系統維護的申請、審批和應完成任務的系統維護制度；修訂《會計檔案管理辦法》，重新規定會計檔案的范圍、保管辦法及領用手續的會計檔案管理制度。

(三)加強網絡會計系統的安全控制網絡會計的安全控制是指在網絡環境下采用各種方法保護數據和計算機程序，以防止數據泄密、更改或破壞。主要包括硬件安全控制、軟件安全控制、網絡安全控制和病毒防范安全控制等。

一是硬件安全控制。網絡會計系統的可靠運行主要依賴于硬件設備，因此硬件設備的質量必須有充分保證。加強對硬件的維護，防止計算機出現故障導致會計信息丟失；為以防萬一，關鍵的硬件設備可采用雙系統備份。另外，計算機房應充分滿足防火、防水、防盜、防鼠、恒溫等技術條件，必要情況下可采用電子門鎖、指紋核對、用計算機控制人員進出等防范控制手段；機房內用于動力、照明的供電線路應與計算機系統的供電線路分開，配置UPS不間斷電源、防輻射和防電磁波干擾等設備，盡量采用結構化布線來安裝網絡，在埋設地下電纜的位置設立標牌加以防范；對用于數據備份的存貯介質應注意防潮、防塵和防磁，長期保存的磁介質存貯媒體應定期轉貯等。

二是軟件安全控制。軟件的安全控制主要是保證程序不被修改、不損毀、不被病毒感染，程序的安全與否直接影響著系統的正常運行。及時下載和安裝系統補丁，堵住操作系統、數據庫管理系統和網絡服務軟件的漏洞；按操作權限嚴格控制系統軟件的安裝與修改，按操作規程定期對系統軟件進行安全性檢查。當系統被破壞時，要求系統軟件具備緊急響應、強制備份、快速重構和快速恢復等功能；系統軟件應盡量減少人機對話窗口，必要的窗口應力求界面友好，防錯糾錯能力強，不接受錯誤輸入；增強系統軟件的現場保護和自動跟蹤能力，對一切非正常操作可以記錄。當非法用戶企圖登錄或錯誤口令超限額使用時，系統會鎖定終端，凍結此用戶標識，記錄有關情況，并立即報警；分析研究各應用軟件的兼容性、

統一性，使各業務系統成為基于同一種操作系統平臺的大系統，各種業務之間能相互銜接，相關數據能夠自動核對、校驗；非系統維護人員不得接觸程序的技術資料、源程序和加密文件，減少程序被修改的可能性。

三是數據資源安全控制。數據資源的安全與否關系到財務信息的完整性和保密性。數據庫系統是整個網絡會計系統安全控制的核心，數據庫的安全威脅主要來自系統內外人員對數據庫的非法訪問和系統故障。誤操作或人為破壞均會造成數據庫的物理損毀。為防止非法用戶入侵，確保數據資源安全，主要采取以下措施：合理定義、應用數據子模式。即根據不同類別的用戶或應用項目分別定義不同的數據子集，對特定類型的用戶開放，以限制用戶輕易獲取全部會計數據資源；合理設置網絡資源的屬主、屬性和訪問權限。資源屬主體現不同用戶對資源的從屬關系，如建立者、修改者等，資源屬性表示資源本身的存取特性，如讀、寫或執行等，訪問權限體現用戶對資源的可用程度；建立數據備份和恢復制度。數據備份是數據恢復與重建的基礎。對每天的業務數據雙備份，建立目錄清單異地存放。同時對存儲在網絡上的重要數據在傳輸前進行有效加密，接收到數據后再進行相應的解密，并定期更新加密密碼；在操作系統中建立數據保護機構。調用計算機機密文件時應登錄用戶名、日期、使用方式和使用結果，修改文件和數據必須登錄備查；設置外部訪問區域，明確企業內部網絡的邊界。企業建立內聯網時，要詳細分析網絡的服務功能和結構布局，通過專用軟件、硬件和管理措施，實現會計系統與外部訪問區域之間的嚴密的數據隔離；在內部網和外部網之間的界面上構造保護屏障，防止非法入侵和使用系統資源，記錄所有可疑事件；在開發應用軟件的技術選擇上也要考慮數據安全性問題。如在網絡財務軟件中應充分利用客戶服務器結構和Web應用的優點，對于決策支持、遠程查詢、報表遠程上報則采用Web的應用，可以提高財務數據安全性。

四是網絡安全控制。為了提高網絡會計系統的安全防范能力，必須從技術上對整個系統的各個層次都要采取安全防范與控制措施，建立綜合的多層次的安全體系。數據加密技術是保護會計信息通過公共網絡傳輸和防止電子竊聽的首選方法。現代加密技術分為對稱加密和非對稱加密兩大類。對稱加密是關聯雙方共享一把專用密鑰進行加密和解密運算。它所面臨的最大難題是密鑰網上分發的安全性問題。非對稱加密是將密鑰分為一把公鑰和一把私鑰，加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰，有效解決了密鑰分發的管理問題，更適合網絡應用環境。訪問控制技術的代表是防火墻技術，特別是已融和虛擬專用網及隧道技術的防火墻技術。可設置內外兩層防火墻，外層防火墻主要用來限制外界對主機操作系統的訪問，內層防火墻主要用來邏輯隔離會計系統與外部訪問區域之間的聯系，限制外界穿過訪問區域對內聯網的非法訪問。數字簽名是指網絡環境下為驗證對方身份、保證數據真實性和完整性而在計算機通信中采用的一種安全控制手段。在國家相應財務制度許可的條件下，財務系統遠程處理可用數字簽名技術代替簽字蓋章的傳統確認手段。在網絡會計系統中使用數據加密與數字簽名技術，可以確保客戶端和服務器之間傳輸的所有數據的安全性。另外，采用虛擬專用網傳輸數據，使用光纖作為傳輸介質，確保接入口的安全保密，更好地解決了財務信息在Internet傳輸的安全問題。

五是病毒防范安全控制。防范病毒最有效的措施是加強安全教育，健全并嚴格執行防范病毒管理制度，在系統的運行與維護過程中高度重視病毒防范及相應技術手段與措施。具體措施有：系統采購更新要經病毒檢測后才可使用；對不需要本地磁盤的工作站，盡量采用無盤工作站；采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒；在網絡服務器上安裝防病毒卡或芯片等硬件；財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身防病毒能力；對所有外來軟件、介質和傳輸數據必須經過病毒檢查，嚴禁使用游戲軟件；及時升級本系統的防病毒產品，定期檢測并清除系統病毒。

六是電子商務控制。網絡會計系統的應用為跨國企業、集團企業實現遠程報表、報賬、查賬、審計及財務監控等處理功能創造了條件。網絡會計是電子商務的基石和重要組成部分，對電子商務活動也必須進行相應的管理與控制。主要措施有：合理建立與關聯方的電子商務聯系模式；建立網上交易活動的授權、確認制度，以及相應的電子文件的接收、簽發驗證制度；建立交易日志的記錄與審計制度，進行遠程處理規程控制。

篇（4）

在社會信息化程度快速發展的今天，社會各行已經廣泛的運用監控進行工作，多層次的網絡視頻監控系統，通過SIP協議和DIEME-TER協議為基礎創建的運營級視頻監控系統，可以實現大規模和大領域的部署，以及運營級的整體需要，廣大的監控業務對遠程視頻的監控也提出了更好的要求，需要不斷地彌補傳統監控系統的缺陷，提高新的監控系統的安全性能。新的視頻監控系統要符合時展的要求，不斷的提高其工作的遠度，在網絡系統的協調下，可以對大量視頻數據實時、跨區域性的傳輸，能夠將監控的資源進行共享，為此提高了辦事效率。

圖1為視頻監控網絡系統結構圖，SIP服務器主要是建立會話；AAA服務器主要使用于路由AAA請求；AAA服務器進行監控認證；存儲服務器中能夠存放大量的視頻資源信息，轉發服務器進行數據的轉發，控制服務器用于主要數據的控制，審計服務器是審計系統的一部分，網管系統對整個監控系統進行詳細的管理，前端服務器主要進行的是消除影響，建立一個完整的監控系統。

在整個監控系統，安全性是設計者進行設計需要考慮的重要因素，不能讓自己的監控視頻資源落入其他人的手中，安全的系統機制是保證視頻可以正常的營運，在現在網絡社會中，安全的監控系統也面臨著巨大的挑戰，現代化的監控系統不能和傳統的監控系統那樣進行小地區的隔離，現代化的監控系統是連接在網絡上，任何地區的人都可以通過網絡找到這個監控系統，從而去竊取視頻資源，這就需要在設計的過程中盡可能的完善內部結構，完善自身系統的服務器和網絡接觸的信任點，就目前的技術而言，主要是解決以下幾個問題：（1）網絡訪問身份認證。主要是防止攻擊者冒充身份進行訪問，防止不法分子對視頻監控系統的篡改。（2）機密性。防止不具有訪問權限的人竊取視頻信息。（3）完整性。防止不法分子對視頻信息進行刪除或者是篡改。（4）授權。明確那些具有訪問權限，有效的杜絕其他的用戶訪問。（5）安全指引。安全指引是對分散的、獨立的、缺少安全通道，根據視頻系統協議機制，進一步加強安全通道的保護，保證網絡安全過程。（6）隱私性。隱私性主要是保護監控數據的機密性，主要是為了防止其他不法人員查看視頻資源，保護視頻的信息和各個節點，起到保護視頻系統的作用。

1 基于VPN（虛擬專用網）與SIP（會話初始化協議）的閉合用戶群方案

1.1 什么叫閉合用戶群

閉合用戶群是幾個或者是幾十個視頻用戶共用一個視頻信息系統，其他人員不能對其中的視頻資源進行訪問。共同的使用群體內的資源，方便了群組成員的使用。

在實際生活中，每個行業對于視頻監控系統的需求是存在一定的差異，因此，在視頻的訪問中也有所不同。通過閉合用戶群的可以將各類資源得到最大利益化的使用。目前閉合用戶技術發展日益成熟，得到了各行各業的肯定，為各行各業的發展打下了堅實的基礎。

根據用戶的需求的不同，將閉合用戶群劃分為了兩種方案：一種是采用比較成熟的虛擬專用網，二是SIP（初始化協議）的呼叫控制，為每個用戶群定義應該訪問的權限，并且只能是本群內的用戶在特點的用戶群內進行資源的共享。

在服務器中，SIP缺乏一整套安全機制，它能夠加強端到端的安全性跨越逐跳的安全體系。安全是視頻監控系統最為基礎性的考慮，也是保證各行各業正常運用視頻資源的前提條件，關乎這一個企業或者是一個行業，甚至是一個國家的興衰，在視頻安全系統中SIP已經有了關于視頻安全系統的詳細解釋，應對應方式的身份識別和通過閉合用戶群誕生出兩種方案對SIP用戶群體進行保護，但是他們對源頭的保護SIP消息是比較缺乏的。由于信息的連接點可能會修改SIP的源頭消息，通過逐跳的方式加強SIP傳輸過程中沿途的安全機制，所以逐跳的安全性重要就顯得十分的重要。

這樣我們就知道采用VPN建立的閉合用戶群相對來說安全性有大的保障，但是不便的就是用戶難以修改視頻的信息。采用SIP構建閉合用戶群與用VPN構建的閉合用戶群的作用恰恰相反，在這兩種方式的優缺點的影響下，可以采用網絡層（IPSec）和傳輸層（TLS）的雙重安全機制，來提高信息在傳輸中進行逐跳的安全性，保護SIP會話在傳輸資源時的信號通道。

在實際的應用中大部分用戶采用的是如圖2和圖3所示的方案，能夠鞏固信息在傳遞過程中逐跳的安全性能，保證控制系統一直處于安全狀態。

1.2 SIP和DIAMETER的認證授權

SIP是靈活性的用戶群體，可以防止非法人員的入侵，能夠有效的保護系統內的視頻資源。SIP協議是專門為了SIP的安全制定的，進行認證需要MAR和MAA的指令，為了保護系統的安全性，SIP的請求需要經過SIP協議的判斷進行詳細的認證，在認證中需要完成以下幾個步驟：首先是SIP用戶發出的SIP請求。其次是SIP永和的使用算術進行計算，發送帶有MD5的信息給SIP請求，并發到下面小的系統上。再次系統根據永和提供的用戶名和密碼進行下一步的認證工作。最后根據認證的結果的是與否，決定用戶是否能夠訪問系統內的視頻資源。SIP協議的授權和認證是獨立起來的，通過對用戶的認證是否合法，然后做出下一步能否訪問資源的決定，能夠有效的保護了系統內部資源的安全性，并且用戶在使用的過程中也是十分的方便快捷。

2 動態密鑰為基礎的媒體流私密方案

為了視頻數據的安全性和實用性，要不斷對最前端視頻數據進行加密處理，選擇合理有效加密的方法。來滿足實時性要求，采用的視頻數據加密算法對視頻設備采集到的視頻數據進行加權加密處理，需要定期更新加密的方式方法，來有效的保護和傳輸DES密鑰，防止黑客等不法分子對系統的攻擊。此方法其實簡單直接，能大大地提高系統的安全性，但是視頻數據占用的內存相當的大，全部加密，對于系統來說是一個相當大的負擔，在實施的過程中有一定的難度。

3 基于SNMPv3的系統管理

利用簡單網絡管理協議有效的管理了系統的安全性，SNMPv3在安全方面已經基本上滿足了大規模可運營級視頻監控系統在大規模運行和安全上的整體要求。

4 結束語

本文主要介紹了大規模網絡視頻監控系統是如何在復雜的環境中增強安全性能的。分析了VPN和SIP相結合起來在視頻系統中的安全作用，以及在現實生活中的應用性。詳細的介紹了密鑰的不斷地更新在視頻信息系統中的應用，SNMPv3的網絡系統是如何保證管理信息的安全性，詳盡介紹了審計服務器的輔助作用，輔助增強了系統的安全性，總之，隨著科技的進步通過對視頻資源的不斷地加密和保護，大規模可運營視頻監控網絡系統的安全性已經有了顯著的提高。

參考文獻

篇（5）

 

關鍵詞： 網絡安全　安全需求　措施 

1 校園網的概念 

簡單地說，校園網絡是“校校通”項目的基礎，是為學院教師和學生提供教學，科研等綜合信息服務的寬帶多媒體。根據上述要求，校園網必須是一個寬帶，互動功能和高度專業化的局域網絡。 

2 校園網的特點 

校園網的設計應具備以下特點： 

1）提供高速網絡連接；2）滿足復雜的信息結構；3）強大的可靠性和安全性保證；4）操作方便，易于管理；5）提供可運營的特性；6）經濟實用。 

3 校園網絡系統信息安全需求 

3.1 用戶安全 

用戶安全分成兩個層次即管理員用戶安全和業務用戶安全。 

1）管理員用戶擁有校園網的最高執行權限，因此對信息系統的安全負有最大的執行責任。應該制定相應的管理制度，例如對管理員的政治素質和網絡信息安全技術管理的業務素質，對于涉及到某大學的網絡安全策略配置、調整、審計信息調閱等重要操作，應實行多人參與措施等等。 

2）業務用戶必須在管理員分配的權限內使用校園網資源和進行操作，嚴禁超越權限使用資源和泄露、轉讓合法權限，需要對業務人員進行崗前安全培訓。 

3.2 網絡硬環境安全 

通過調研分析，初步定為有以下需求： 

1）校園網與教育網的網絡連接安全二需要在連接處，對進/出的數據包進行訪問控制與隔離，重點對源地址為教育網，而目的地址為某大學的數據包進行嚴格的控制。2）校園網中，教師/學生宿舍網絡與其他網絡連接的網絡安全。3）校園網中，教學單位網絡與其他網絡的網絡連接安全。4）校園網中，行政辦公網絡與其他網絡的網絡連接安全。5）校園網中，網絡管理中心網絡與其他網絡的網絡連接安全。6）校園網中，公眾服務器所在的網絡與其他網絡的網絡連接安全。7）各個專用的業務子網的安全，即按信息的敏感程度，將各教學單位的網絡和行政辦公網絡劃分為多個子網，例如：專用業務子網（財務處、教務處、人事部等）和普通子網，對這些專用業務子網提供網絡連接控制。 

3.3 網絡軟環境安全 

網絡軟環境安全即校園網的應用環境安全。對于一些涉及到有敏感信息的業務專用網，如：財務處、教務處、人事處等等，必須確保這些子網的信息安全，包括：防病毒、數據備份與災難恢復、規范網絡通信秩序、對保存有敏感信息的重要服務器軟/硬件資源進行層次化監控，防止敏感信息被竊取。 

3.4 傳輸安全 

數據的傳輸安全，主要是指校園網內部的傳輸安全、校園網與教育網之間的數據傳輸安全以及校園網與老校區之間的數據傳輸安全。

4 校園網絡系統控制安全措施 

4.1 通過使用訪問控制及內外網的隔離 

訪問控制體現在如下幾個方面： 

篇（6）

Abstract: With the rapid development of the dam construction technology, the use of in-depth development of waterpower resources, dam safety problems have become increasingly prominent. Relevant scholars, experts have also launched the research of dam safety monitoring technology. This paper mainly uses the network technology, communication, public telephone network and the wired data communication, wireless communication, fiber communication and high speed communication analysis. Reliable design, complementary development technology to improve the level of automation, to achieve a truly "unattended, control mode and fewer people watch", has brought great convenience and benefit for the scientific management of reservoir.

Key words: dam monitoring; network technology; communication; automation

中圖分類號：TN830.1文獻標識碼：A 文章編號：

1、前言

在大壩安全監測自動化控制系統中常常由于現場施工條件較為復雜，現場網絡通信通常需結合采用雙絞線、光纖、電話線、無線方式等進行數據傳輸，各種通信方式也可混合使用。當采用線纜跨越建筑物或障礙物有困難時，可采用無線通信方式；當對現場通信要求很高或現場電磁干擾嚴重影響通信質量時，可采用光纖通信方式；當現場通信的線路很長時（如區域地形復雜的流域梯級電站），可采用有線電話網進行通信。

現場網絡通信應按以下要求進行設計：

（1） 現場網絡通信包括監測站之間和監測站與監測管理站之間的數據通信。應根據工程的實際需求在保證通信質量的前提下，選擇實用經濟、維護方便的通信方式；

（2） 監測站之間和監測站與監測管理站之間可采用雙絞線、光纖、電話線、無線連接；

（3） 現場通信線路布設時必須考慮預防雷電感應對系統可能的影響，應做好線纜的防護接地。

由于工程現場環境本身的多樣性和復雜性，加上管理部門對管理現代化的需求和將監測管理站后移至監測管理中心站的趨勢，現場網絡的構建方式變得更加多樣化。下面幾種組網方式可供參考。

2、系統總體結構概述

大壩安全監測系統應用傳感器、自動監測、通訊及計算機等技術，實現實時大壩安全監測信息自動數據采集、傳輸、處理入庫等，為大壩安全運行提供科學依據。實時監測表面變形、內部變形、接縫、混凝土面板變形、滲流量、壩基滲流壓力、壩體滲流壓力、繞壩滲流、混凝土面板應力、環境量監測及水力學等項目，使水庫大壩安全診斷工作及資料存貯、查尋和輸出等工作自動化。

系統從結構上分為：集中式、分布式和現場總線式。

1公用電話網通信

這是一種通用的現場網絡通信方式，特別適合于現場條件復雜、通信設施敷設困難的中小型電站和梯級電站，其傳輸距離與電話線路有關。

2有線數據通信

這是一種最常用的現場網絡通信方式，采用雙絞通信線，通信距離1200m，加中繼可延伸。

3無線通信

當現場不便于（或不允許、不可能）敷設纜線，或采用纜線不經濟（如沿堤壩、渠道等建筑物設置的監測點相隔距離達數公里）時，可考慮采用無線通信方式。

4光纖通信

光纖通信方式在現場網絡通信中得到了快速發展，其應用模式有如下幾種：

1） 雙絞線＋光纖通信方式

這種通信方式是在數據采集裝置DAU之間采用雙絞線連接，從設置有DAU的監測站到監測管理站采用光纖連接。整個現場網絡運行RS-485串行數據接口標準。由于從監測站到監測管理站采用光纖連接，監測管理站與監測站的距離有可能延伸到數公里至數十公里，實現監測管理站后移至監測管理中心站。

2） 全光纖通信方式

全光纖通信方式是在數據采集裝置DAU之間，以及設置有DAU的監測站到監測管理站全部采用光纖連接。整個現場網絡仍運行RS-485串行數據接口標準。全光纖通信方式適合于對系統要求可靠性很高、現場電磁干擾嚴重的工程，它同樣可以將監測管理站后移至數公里至數十公里外的監測管理中心站。

5高速通信方式

當今網絡技術的快速發展促進了現場網絡的變革，以以太網（Ethernet）為代表的高速網絡技術正向低速的現場網絡擴展。計算機局域網運行TCP/IP協議，其通信速率可達10Mbps、100Mbps、甚至1000Mbps，遠比通信速率僅為1.2Kbps～2.4Kbps的現場網絡高出千百倍。

現代大壩安全管理模式對監測自動化系統提出了新的要求，高速網絡引入大壩安全監測自動化系統已成為發展趨勢。目前比較成功應用的一種模式是采用專線光纖實現監測管理站和監測站之間的遠距離高速連接，監測站之間仍采用RS-485通信方式，其結構框圖如下。

篇（7）

當今社會，人們獲取信息的重要途徑就是計算機網絡，在計算機網絡發展的同時也存在一些安全隱患，它不會通過安全的體系設計方案進行解決，比如非法訪問用戶賬戶、干擾計算機網絡的正常運行、破壞數據的完整性，傳播網絡病毒，進行數據盜取等。醫院要想計算機網絡消除安全方面的隱患，需要先對影響計算機安全的因素有個大體的了解。下面就講解了影響醫院計算機信息網絡系統安全的因素。

一、影響醫院信息系統安全的因素

1．自身系統及軟硬件的不穩定

醫院信息網絡系統不可避免的會出現安全漏洞。信息網絡系統最容易出現漏洞的方面有調用RPC漏洞，緩沖區溢出漏洞。信息網絡系統的數據庫也比較容易受到攻擊。信息網絡系統出現的漏洞被利用后，可能會遭受遠程攻擊。應用軟件具有一定的軟件缺陷，這種缺陷可以存在于小程序中，也可以存在于大型的軟件系統中。軟件的缺陷導致了醫院信息網絡系統的安全風險。網絡硬盤設備方面也存著在缺陷，網絡硬盤作為信息傳遞中重要的硬件設備，在被人們使用的同時也存在著安全隱患，它包含的電磁信息泄露是主要的安全隱患。網絡硬盤與計算機信息網絡系統組成的不牢固也能造出計算機信息網絡系統安全隱患。

2．網絡病毒的惡意傳播

現在網絡病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動程序，它往往會隱藏在醫院計算機的操作系統中，對用戶資料進行竊取。而蠕蟲病毒比木馬病毒更高級一些，它的傳播可以通過操作系統以及軟件程序的漏洞進行主動攻擊，傳播途徑非常廣泛，每一個蠕蟲病毒都帶有檢查計算機電腦是否有系統及軟件漏洞的模塊，如果發現電腦含有漏洞，立刻啟動傳播程序傳播出去，它的這一特點，使危害性比木馬病毒大的多，在一臺電腦感染了蠕蟲病毒后，通過這個電腦迅速的傳播到、該電腦所在網絡的其他電腦中，電腦被感染蠕蟲病毒后，會接受蠕蟲病毒發送的數據包，被感染的電腦由于過多的無關數據降低了自己的運行速度，或者造成CPU內存占用率過高而死機。漏洞型病毒傳播方法主要通過微軟windows操作系統。由于windows操作系統漏洞很多或者用戶沒有及時的進行windows系統的自身更新，造成了漏洞型病毒趁虛而入，攻占醫院的計算機電腦。計算機技術在更新換代，病毒技術也在發展變化，現在的網絡病毒不像以前的計算機病毒，現在的病毒有的可以通過多種途徑共同傳播，比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對網絡的危害性更大，處理查殺起來也比較困難。

3．人為惡意攻擊

人為的惡意攻擊是醫院計算機信息網絡系統面臨的最大安全風險，人為的惡意攻擊可以分為主動攻擊和被動攻擊，主動攻擊是有選擇的通過各種形式破壞信息網絡系統的完整性和有效性；被動攻擊是在不影響醫院信息網絡系統正常運行的情況下，進行數據信息的竊取、截獲以及尋找重要的機密文件。它們都對醫院的信息網絡系統造成了巨大的危害。

二、保護醫院信息系統安全的措施

1．建立防火墻防御技術

防火墻設計的理念是防止計算機網絡信息泄露，它通過既定的網絡安全策略，對網內外通信實施強制性的訪問控制，借此來保護計算機網絡安全。它對網絡間傳輸的數據包進行安全檢查，監視計算機網絡的運行狀態。一個完整的防火墻保護體系可以很好的阻止威脅計算機的用戶及其數據，阻止黑客通過病毒程序訪問自己的電腦網絡，防止不安全因素擴散到電腦所在的局域網絡。通過將用戶電腦的使用賬戶密碼設置的高級些，，禁用或者刪除無用的賬號，不定期進行賬號密碼的修改都可以很好的防止病毒侵入。由于網絡入侵者的實時性、動態性，所以在計算機網絡中防火墻軟件要做到實時監控的要求。防火墻的實時監控技術通過過濾在調用前的所以程序，發現含有破壞網絡安全的程序文件，并發出警報，對可疑程序進行查殺，將網絡入侵者阻攔，使計算機免受其害。

2.采用特征碼技術

目前的查殺病毒采用方法主流是通過結合特征碼查毒和人工解毒。當搜查病毒時采用特征碼技術查毒，在殺除清理的時候采用人工編制解毒技術。特征碼查毒技術體現了人工識別病毒的基本方法，它是人工查毒的簡單描述，按照“病毒中某一類代碼相同”的原則進行查殺病毒。當病毒的種類和變形病毒有相關同一性時，可以使用這種特性進行程序代碼比較，然后查找出病毒。但是描述特征碼不能用于所有的病毒，許多的病毒很難被特征碼進行描述或者根本描述不出來。在使用特征碼技術時，一些補充功能需要一同使用，比如壓縮包和壓縮可執行性文件的自動查殺技術。

3．其他網絡安全保護對策

加密技術通過將醫院計算機信息網絡系統的可讀信息變為密文來保護網絡安全。IP地址影響著用戶的計算機網絡安全，網絡黑客通過特殊的網絡探測手段抓取用戶IP，然后對此發送網絡攻擊。對IP進行隱藏是指通過用戶服務器上網，防止了網絡黑客獲取自己的IP。關閉電腦中不必要的端口也可以有效防范黑客的入侵，還能提高系統的資源利用率。對自己的賬號密碼進行定期、不定期的更改，然后設置賬號密碼保護問題，可以在第一道防線阻止網絡黑客的入侵。及時更新計算機操作系統和應用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護網絡安全軟件，對保護網絡安全的軟件進行及時更新。

總結

醫院信息網絡系統的安全與醫院的經濟效益息息相關。影響醫院信息網絡系統安全的因素是多方面的，網絡病毒也在不斷發展進化，面對這種嚴峻的形勢，我們不能只采用單一的防范措施，而是采用多種保護醫院信息網絡系統安全的措施，相互協調，發揮優勢，揚長避短，保證醫院的信息網絡系統在防范風險方面取得較好的效果。

參考文獻：

[1]王鑫.關于醫院網絡環境下計算機安全的防范技術[J].計算機與數字工程，2009

篇（8）

2010年，伊朗核電站遭受“Stuxnet（震網）”蠕蟲病毒攻擊，打開了網絡攻擊癱瘓實體空間的大門，關鍵性基礎設施的安全成為全世界關注的焦點。2015年，烏克蘭電網系統遭“Black Energy（黑暗力量）”的攻擊。業內人士指出，支撐能源、通信、電力、金融、交通等重要行業運行的關鍵信息基礎設施成為網絡戰的首選目標。工廠使用的控制電腦的軟件一般都是特別定制版，而且不與外部互聯網聯通。但在黑客面前，物理隔絕并非不可逾越的天塹，通過局域網和USB接口進行傳播，定點干擾工業控制軟件的病毒早已產生，甚至通過發熱量、輻射、風扇噪聲等入侵物理隔離網絡的案例也已出現。工業控制領域網絡安全成為焦點，各國均加大了在該領域的投資。

工業控制領域網絡安全隱患尤為突出

我國信息網絡關鍵基礎設施網絡安全防護能力薄弱。“震網”病毒事件后，據權威部門統計，我國工業系統100%使用西門子工業控制系統，這意味著我國的工業控制系統存在網絡安全隱患。尤其是隨著工業化與信息化進程的不斷交叉融合，以及物聯網的快速發展，越來越多的信息技術應用到工業領域。我國已經將數據采集與監控（SCADA）、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC）等工業控制系統廣泛運用于電力、工業、能源、交通、水利、市政等領域，甚至直接用于控制生產設備的運行。“中國制造2025”戰略的提出，使得國內工業控制領域正在發生重大的變革。同時，由于我國大規模使用國外的網絡信息關鍵產品，在短期內很難完全替代它們，工業控制領域網絡安全成為事關國家安全、社會穩定、經濟發展的大問題。

先進工控安全領域創業公司涌現，發展模式引人注目

近兩年，一些有識之士充分認識到，工業控制領域網絡安全的需求日益凸顯，因此必須整合信息安全與自動化方面的人才，專注工控安全領域網絡安全產品的研發。這類典型廠商包括北京網藤科技有限公司、北京威努特技術有限公司、北京匡恩網絡科技有限公司等。這類公司的特點是100%的業務都是工控安全，全力投入到工控安全行業。

其中，網藤科技是工控安全領域的一匹黑馬，成立于2016年3月，團隊均來自工控安全領域頂尖的企業。公司的組織結構具有包容、開放、共享的特色，業務以工業控制網絡安全為核心，深耕石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業，提供覆蓋設備檢測、安全服務、威脅管理、安全數據庫、智能保護、檢測審計的自主、可控、安全的生命全周期解決方案。公司旗下的主打產品工控安全防護系統為針對工業網絡安全的入侵檢測系統，通過公安部權威檢測，達到NIPS國標一級；工控安全審計系統為針對工業網絡安全的信息審計系統，通過公安部權威檢測，達到網絡通信安全審計行標增強級。

工控領域網絡安全廠商任重道遠

篇（9）

1前言

隨著工業化與信息化的快速發展以及云、大、物、智、移等新技術的逐步發展和深化實踐，制造業工業控制系統的應用越來越多，隨之而來的網絡安全威脅的問題日益突出。特別是國家重點行業例如能源、水利、交通等的工業控制系統關系到一個國家經濟命脈，工業控制系統網絡一旦出現特殊情況可能會引發直接的人員傷亡和財產損失。本文主要以軌道交通行業CBTC系統業務的安全建設為例介紹工業信息安全防護思路，系統闡述了工業信息安全的發展背景及重要性，以網絡安全法和工業基礎設施的相關法規和要求等為依據，并結合傳統工業控制系統的現狀，從技術設計和管理系統建設兩個方面來構建工控系統網絡安全。

2工業信息安全概述

2.1工控網絡的特點

工業控制系統是指各種自動化組件、過程監控組件共同構成的以完成實時數據采集、工業生產流程監測控制的管控系統，也可以說工業控制系統是控制技術（Control）、計算機技術（Computer）、通信技術（Communication）、圖形顯示技術（CRT）和網絡技術（Network）相結合的產物[1]。工控系統網絡安全是指工業自動控制系統網絡安全，涉及眾多行業例如電力、水利、石油石化、航天、汽車制造等眾多工業領域，其中超過60%的涉及國計民生的關鍵基礎設施（如公路、軌道交通等）都依靠工控系統來實現自動化作業。

2.2國內外工業安全典型事件

眾所周知，工業控制系統是國家工業基礎設施的重要組成部分，近年來由于網絡技術的快速發展，使得工控系統正逐漸成為網絡戰的重點攻擊目標，不斷涌現的安全事件也暴露出工控系統網絡安全正面臨著嚴峻的挑戰。（1）美國列車信號燈宕機事件2003年發生在美國佛羅里達州鐵路服務公司的計算機遭遇震網病毒感染，導致美國東部海岸的列車信號燈系統瞬間宕機，部分地區的高速環線停運。這次事件主要是由于感染震網病毒引起的，而這種病毒常被用來定向攻擊基礎（能源）設施，比如國家電網、水壩、核電站等。（2）烏克蘭電網攻擊事件2015年，烏克蘭的首都和西部地區電網突發停電，調查發現這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站，在電力公司的主控電腦系統里植入了病毒致使系統癱瘓造成停電事故。（3）舊金山輕軌系統遭勒索病毒攻擊事件2016年，黑客攻擊美國舊金山輕軌系統，造成上千臺服務器和工作站感染勒索病毒，數據全部被加密，售票系統全面癱瘓。其實國內也發生過很多工業控制系統里面的安全事件，主要也是因為感染勒索病毒引起的。勒索病毒感染了重要業務系統里面的一些工作站，例如在軌道交通行業里的典型系統：綜合監控系統、通信系統和信號系統等，其中大部分是由于移動接入設備的不合規使用而帶來的風險。從以上事件可以看出，攻擊者要發動網絡攻擊只需發送一個普通的病毒就可以達到目的，隨著網絡攻擊事件的頻發和各種復雜病毒的出現，讓我們的工業系統安全以及公共利益、人民財產安全正遭受著嚴重的威脅。

2.3工控安全參考標準、規范

作為國家基礎設施的工業控制系統，正面臨著來自網絡攻擊等的威脅，為此針對工控網絡安全，我國制定和了相關法律法規來指導網絡安全建設防護工作。其中有國家標準委在2016年10月的《工業通信網絡網絡和系統安全建立工業自動化和控制系統安全程序》《工業自動化和控制系統網絡安全可編程序控制器（PLC）第1部分：系統要求》等多項國家標準[2]。同年，工信部印發《工業控制系統信息安全防護指南》，該標準以當前我國工業控制系統面臨的安全問題為出發點，分別從技術防護和管理設計兩方面來對工業控制系統的安全防護提出建設防護要求。2017年6月，《網絡安全法》開始實施，網安法從不同的網絡層次規定了網絡安全的檢測、評估以及防護和管理等要求，促進了我國工業控制系統網絡安全的發展。

3工業控制系統網絡安全分析

軌道交通信號系統（CBTC）是基于通信技術的列車控制系統，該系統依靠通信技術實現“車地通信”并且實時地傳遞“列車定位”信息[3]。目前CBTC安全建設存在以下問題：（1）網絡邊界無隔離隨著CBTC的集成度越來越高，各個子系統之間的聯系和數據通信也越來越密切，根據地域一般劃分為控制中心、車站、車輛段和停車場，根據業務又劃分為ATO、ATS、CI、DCS等多個子系統，各區域之間沒有做好訪問控制措施，缺失入侵防范和監測的舉措。各個子系統之間一般都是互聯互通的，不同的子系統由于承載的業務的重要等級不同也是需要對其邊界進行防護的，還有一些安全系統和非安全系統之間也都沒有做隔離。（2）網絡異常查不到針對CBTC系統的網絡入侵行為一般隱蔽性很強，沒有專門的設備去檢測的話很難發現入侵行為。出現安全事件后沒有審計記錄和追溯的手段，等下次攻擊發生依然沒有抵抗的能力。沒有對流量進行實時監測和記錄，不能及時發現高級持續威脅、不能有效應對攻擊、不能及時發現各種異常操作。（3）工作站、服務器無防護CBTC系統工作站、服務器的大部分采用Windows系列的操作系統，還有一部分Linux系列的操作系統，系統建設之初基本不會對工作站和服務器的操作系統進行升級，操作系統在使用過程中不斷暴露漏洞，而系統漏洞又無法得到及時的修復，這都會導致工作站和服務器面臨風險。沒有在系統上線前關閉冗余系統服務，沒有加強系統的密碼策略。除此之外，運維人員可以在調試過程中在操作站和服務器上安裝與業務無關的軟件，也可能會開啟操作系統的遠程功能，上線后也不會關閉此功能，這些操作都會使得系統配置簡單，更容易受到攻擊。目前在CBTC系統各個區域部分尚未部署桌管軟件和殺毒軟件，無法對USB等外接設備的接入行為進行管控，隨意使用移動存儲介質的現象非常普遍，這種行為極易將病毒、木馬等威脅帶入到生產系統中。（4）運維管理不完善單位內安全組織機構人員職責不完善，缺乏專業的人員。沒有針對信號系統成立專門的安全管理部門，未明確相關業務部門的安全職責和職員的技能要求，也缺乏專業安全人才。未形成完整的網絡安全管理制度政策來規劃安全建設和設計工控系統安全需求。另外將工業控制系統的運維工作外包給第三方人員后并無相關的審計和監控措施，當第三方運維人員進行設備維護時，業務系統的運營人員不能及時了解第三方運維人員是否存在誤操作行為，一旦發生事故無法及時準確定位問題原因、影響范圍和責任追究。目前CBTC系統的網絡采用物理隔離，基本可以保證正常生產經營。但是管理網接入工控系統網絡后，工控系統網絡內部的安全防護措施無法有效抵御來自外部的攻擊和威脅，而且由于與管理網的數據安全交互必須在工控網絡邊界實現，因此做好邊界保護尤為重要。

4工業控制系統網絡安全防護體系

工控系統信息化建設必須符合國家有關規定，從安全層面來看要符合國家級防護的相關要求，全面規劃設計網絡安全保障體系，使得工控體系符合相關安全標準，確保工控安全保障體系的廣度和深度。根據安全需求建立安全防護體系，通過管理和技術實現主被動安全相結合，有效提升了工控業務系統的安全防護能力。根據業務流量和業務功能特點以及工控系統網絡安全的基本要求來設計不同的項目技術方案，從技術角度來識別系統的安全風險，依據系統架構來設計安全加固措施，同時還要按照安全管理的相關要求建立完善的網絡安全管理制度體系，來確保整體業務系統的安全有效運行。

4.1邊界訪問控制

考慮到資產的價值、重要性、部署位置、系統功能、控制對象等要素，我們將軌道交通信號系統業務網絡劃分為多個子安全域，根據CBTC業務的重要性、實時性、關聯性、功能范圍、資產屬性以及對現場受控設備的影響程度等，將工控網絡劃分成不同的安全防護區域，所有業務子系統都必須置于相應的安全區域內。通過采取基于角色的身份鑒別、權限分配、訪問控制等安全措施來實現工業現場中的設備登錄控制、應用服務資源訪問的身份認證管理，使得只有獲得授權的用戶才能對現場設備進行數據更新、參數設定，在控制設備及監控設備上運行程序、標識相應的數據集合等操作，防止未經授權的修改或刪除等操作。4.2流量監測與審計網絡入侵檢測主要用于檢測網絡中的惡意探測和惡意攻擊行為，常見有網絡蠕蟲、間諜和木馬軟件、高級持續性威脅攻擊、口令暴力破解、緩沖區溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設備掃描探測操作系統、網絡設備、安全設備、應用系統、中間件、數據庫等網絡資產和應用，及時發現網絡中各種設備和應用的安全漏洞，提出修復和整改建議來保障系統和設備自身的安全性。惡意代碼防護可以檢測、查殺和抵御各種病毒，如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設備來及時發現識別系統設備是否存在不合理的策略配置、系統配置、環境參數配置的問題。另外要加強安全審計管理，通常包括日常運維操作安全審計、數據庫訪問審計以及所有設備和系統的日志審計，主要體現在對各類用戶的操作行為進行審計和對重要安全事件進行記錄和審計，審計日志的內容需要包括事件發生的確切時間、用戶名稱、事件的類型、事件執行情況說明等。

4.3建立統一監測管理平臺

根據等級保護制度要求規定，重要等級在第二級以上的信息系統需要在網絡中建立統一集中管理中心，通過統一安全管理平臺能夠對網絡設備、安全設備、各類操作系統等的運行狀況、安全日志、配置策略進行集中監測、采集、日志范化和歸并處理，平臺可以呈現CBTC系統中各類設備間的訪問關系，形成基于網絡訪問關系、業務操作指令的工業控制環境的行為白名單，從而可以及時識別和發現未定義的行為以及重要的業務操作指令的異常行為。可以設置監控指標告警閾值，觸發告警并記錄，對各類報警和日志信息進行關聯分析和預警通報。

4.4編制網絡安全管理制度

設立安全專屬職能的管理部門和領導者及管理成員的崗位，制定總體安全方針，指明組織機構的總體目標和工作原則。對于安全管理成員的角色設計需按三權分立的原則來規劃并落實，必須配備專職的安全成員來指導和管理安全的各方面工作。指派專人來制定安全管理制度，而且制度要經過上層組織機構評審和正式，保持對下發制度的定期評審和落實情況的核查。由專人來負責單位內人員的招聘錄用工作，對人員的專業能力、背景及任職資格進行審核和考察，人員錄用時需要跟被錄用人簽訂保密協議和崗位責任書。編制完善的制度規范，編制范圍應涵蓋信息系統在規劃和建設、安全定級與備案、方案設計、開發與實施、驗收與測試以及完成系統交付的整個生命周期。針對不同系統建設階段分別編制軟件開發管理規范、代碼編寫規范、工程監理制度、測試驗收制度，在測試和交付階段記錄和收集各類表單、清單。加強安全運維建設，制定包含物理環境管理、資產管理、系統設備介質管理以及漏洞風險管理等方面的規范要求，對于機房等辦公區域的人員進出、設備進出進行記錄和控制，建立資產管理制度規范系統資質的管理與使用行為，保存相關的資產清單，對各種軟硬件資產做好定期維護，對資產采購、領用和發放制定嚴格的審批流程。針對漏洞做好風險管理，針對發現的安全問題采取相關的應對措施，形成書面記錄和總結報告。在第三方外包人員管理方面應該與外包運維服務商簽訂第三方運維服務協議，協議中應明確外包工作范圍和具體職責。

5結束語

由于工控系統安全性能不高和頻繁爆發的網絡安全攻擊的趨勢，近年來我國將網絡安全建設提升到了國家安全戰略的高度，并且制定了相關的標準、政策、技術、程序等來積極應對安全風險，業務主管部門還應進一步強化網絡安全意識，開展網絡安全評估，制定網絡安全策略，提高工控網絡安全水平，確保業務的安全穩定運行。

參考文獻：

[1]石勇，劉巍偉，劉博.工業控制系統（ICS）的安全研究[J].網絡安全技術與應用，2008（4）.

篇（10）

1 TDCS與《信息安全等級保護管理辦法》中四級基本要求的差距

1.1 四級基本要求介紹

《信息安全等級保護管理辦法》中四級的基本要求有2大方面即管理要求與技術要求。

1.1.1 管理要求

該部分分為5個方面：安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。

1.1.2 技術要求

要求分為5個方面：物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。下面就這5個方面進行簡單介紹。

1）物理安全

規定了系統設備的物理環境，避免常見自然或人為災害的影響。

2）網絡安全

結構安全：規定了結構上要保證冗余并根據職能和重要性進行網段劃分，通道上要保證訪問路徑的安全和帶寬，邊界上保證與其它網絡的可靠隔離。

訪問控制：邊界上要部署訪問流量的控制設備，進行訪問控制；內部嚴禁開通遠程撥號功能。

安全審計：集中審計運行情況、流量、用戶行為，便于分析問題以及數據恢復。

入侵防范：監測網絡邊界的攻擊行為，并定位記錄和即時報警。

惡意代碼防范：在內部及時更新防范的代碼庫，在邊界要做到檢測和清除惡意代碼。

3）主機安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、入侵防范、惡意代碼防范及資源控制。

4）應用安全

規定了身份鑒別、安全標記、訪問控制、可信路徑、安全審計、信息保護、通信的完整性和保密性、軟件容錯、資源控制、抗抵賴。

5）數據安全及備份恢復

規定了數據的完整性和保密性，以及備份數據的恢復。

1.2 TDCS現狀與四級差距

目前TDCS網絡安全建設相對于《國家信息安全等級保護管理辦法》中4 級《信息系統安全等級保護基本要求》還存在著巨大的差距，其中如接入安全控制系統、指紋認證系統、網絡安全審計和IT資源集中安全管理等重要網絡安全子系統目前仍是空白，具體防護差距請見表1。

2 幾種網絡安全技術介紹

2.1 接入安全控制系統

接入安全控制系統是內網安全管理的重要組成部分，部署在企業的內部網絡中，可以保護內部計算機免受外來終端的危害，可禁止重要信息通過外設和USB 等端口泄漏，防范非法設備接入內網等。

2.1.1 外設與接口管理

外設與接口管理主要對內網終端計算機上的各種外設和接口進行管理。可以對內網終端計算機上的各種外設和接口設置禁用，防止用戶非法使用。

2）本表嚴格依據國家《信息安全等級保護管理辦法》中4 級《信息系統安全等級保護基本要求》起草，表中8.x.x.x 編號為《基本要求》文件中實際編號.

1）存儲設備禁用

除了網絡外，另一個最可能帶來病毒入侵的方式就是存儲設備了。內網安全控制系統可以禁止如下存儲設備的使用：軟驅、光驅、存儲設備、移動硬盤等。

2）設置移動存儲設備只讀

內網安全控制系統可以設置將移動存儲設備置于只讀狀態，不允許用戶修改或者寫入。

2.1.2 安全接入管理

1）在線主機監測可以通過監聽和主動探測等方式檢測網絡中所有在線的主機，并判別在線主機是否是經過內網安全控制系統授權認證的信任主機。

2）主機授權認證

很多的計算機被病毒入侵，主要原因是自身的健壯性與否造成的。根據這種情況，內網安全控制系統提供了網絡授權認證功能。內網安全控制系統可以通過識別在線主機是否安裝客戶端程序，并結合客戶端報告的主機補丁安裝情況，反病毒程序安裝和工作情況等信息，進行網絡的授權認證，只允許通過授權認證的主機使用網絡資源。

3）非法主機網絡阻斷

對于探測到的非法主機，內網安全控制系統可以主動阻止其訪問任何網絡資源，從而保證非法主機不對網絡產生影響。

3 結束語

可以想像，未來的TDCS系統，應該具備這樣幾個特點：第一，網絡是安全的，體現在網絡應該具有精確識別人員身份，可以阻止內部和外部攻擊，可以阻止各種內網安全控制系統未授權的非法主機接入和訪問。第二，網絡是穩定的，體現在網絡應該具有冗余性和自愈性及良好的通道。第三，網絡管理是高效地，體現在將有統一的管理設備可以將網絡管理功能覆蓋。

篇（11）

隨著計算機網絡技術的發展,關于其網絡安全問題尤為突出。我國石油企業的現代化建設起步晚,企業計算機網絡環境相對脆弱,網絡安全容易受到多方面的因素影響。加之,在開放的互聯網平臺下,計算機網絡的安全問題呈現出多渠道、多層次的特點。因此,凈化網絡運行環境,尤其是設置有效的登錄控制,以及網絡防火墻,是實現安全網絡環境的基礎。石油企業在現代化建設中,基于網絡安全問題的解決尤為重要。

1、石油企業計算機網絡中存在的安全隱患

1.1 網絡攻環境下的病毒與黑客入侵

石油企業計算機網絡的運行平臺,基于開放的互聯網環境。企業網絡中的漏洞,都會成為網絡攻擊的對象。黑客入侵就是基于網絡漏洞,對企業的網絡環境造成威脅。同時企業的網絡服務端以員工為主,所以網絡環境相對復雜,關于網頁的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網絡安全意識比較淡薄,對于網絡環境的潛在安全隱患缺乏重視,造成企業網絡安全環境比較復雜,易受外界入侵源的攻擊。

1.2 人為因素下的網絡安全問題

人為因素下的網絡安全問題,主要表現在網絡管理端和用戶端。員工作為主要的用戶端,諸多不當的網絡操作,都會帶來安全隱患。同時,網絡管理員在安全管理中,關于數據接入端和服務器的管理力度缺乏,造成網絡數據管理上的不足。企業網絡的網絡平臺都設有權限,管理員在權限的設計上存在漏洞,在病毒的入侵下,造成局部網絡出現信息癱瘓的問題。

1.3 網絡連接的不規范,尤其是各系統間的網絡連接

石油企業在構建信息化的管理平臺中,各管理系統的網絡一體化,是平臺構建的核心內容。企業在系統的連接中,缺乏網絡風險的認識,信息系統與管理系統的連接,造成病毒對于管理網絡的入侵,最終造成整個網絡平臺的癱瘓。同時,網絡連接不規范,在構建安全的以太網環境中,存在諸多安全的操作,諸如一臺computer構建兩個以太網,在病毒的入侵防范上比較欠缺。

1.4 企業缺乏完善的網絡安全管理

石油企業的信息平臺構建,注重平臺的形式,而對平臺缺乏完善的后期維護,網絡安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對于網絡漏洞和軟件不能及時修補和升級。同時,對于用戶端的下載和網頁瀏覽,管理力度缺乏,用戶端可以基于各網絡站點,隨意的東西下載,造成內部網絡的安全隱患。而且,對于登陸的密碼和賬號,員工隨意的共享或轉借,造成網絡運行中的各類隱患。

2、計算機網絡安全隱患的應對措施

在石油企業的現代化進程中,計算機網絡安全問題顯得尤為突出。企業網絡安全問題主要來源于管理、網絡操作,以及網絡安全體系等方面。因此,在對于安全隱患的防范中,強化網絡安全管理,以構建完善的防范體系,營造安全的網絡環境,加速企業信息平臺的構建于完善。

2.1 強化網絡安全管理

石油企業的計算機網絡安全隱患,很大程度上源于安全管理不到位,尤其是網絡權限的控制,是強化安全管理的重要內容。構建完善的權限控制系統,對用戶端進行有效的約束,進而凈化網絡運行環境。

2.1.1 構建完善的權限控制系統

企業的計算機網絡,在登錄端采用權限控制的方式,對網絡的使用進行保護。因而,企業網絡在安全管理的進程中,強化控制系統的構建。系統主要針對密碼驗證、身份識別等內容,形成完善的控制系統。在網絡的使用前,用戶端需要進行身份的認證后,才能進行相關網絡的使用。而且,對于身份認證失敗的用戶,可以將其列為黑名單,進行集中的安全管理,以針對性的防范該類用戶的登陸。于此,在權限控制系統的構建中,要明確好登陸系統和控制系統,兩系統同時進行網絡的保護,以凈化用戶端的網絡環境。

2.1.2 構建網絡安全體系

企業網絡安全環境的營造,在于安全體系的構建。基于網絡防火墻的構建,強化外來網絡威脅的阻止,以營造安全的網絡環境。同時,基于復雜的用戶端,企業網絡環境相對薄落。于是,在安全體系的構建中,以多級防護體系為主,形成多層保護機制,強化網絡安全管理的力度。對于網絡的數據,做到封閉式的管理,關鍵的數據要進行加密處理,以防止信息的泄漏。

2.2 強化網絡設備的管理

企業的網絡設備是安全隱患預防的重要部分,尤其是對網絡主機或服務器,是強化網絡安全管理的重點。對于網絡的相關設備,進行妥善的管理,網絡的電纜線在鋪設和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸的問題。同時,對于相關的網絡軟件,進行及時的升級或修補,以防止網絡系統出現漏洞,這樣可以避免各類潛在的安全隱患。

2.3 建立網絡安全應急機制

在開放的互聯網環境下,企業網路存在諸多的安全隱患。構建網絡安全應急機制,對于企業的信息管理系統具有重要的意義。基于完善的安全應急機制,可以及時地對各類安全威脅進行處理,避免外來入侵源對于網絡平臺的深入攻擊。同時,對于重要的數據信息,要進行加密或備份,以應對數據意外丟失的情況。在實際的網絡安全管理中,關于網絡運行環境的實時監控,是及時發現系統漏洞或外來入侵源的重要工作。

2.4 強化用戶端的安全意識

隨著互聯網絡技術的不斷發展,企業網絡的運行環境越來越復雜。企業用戶端在網絡的使用中,要強化其網絡安全意識,規范相關的上網操作,諸如網頁的瀏覽或數據的下載等活動,要在安全的環境下進行。同時,做好網絡安全的宣傳工作,強調網絡犯罪的嚴重性,進而約束員工的網絡活動。

3、結語

石油企業在現代化建設中,網絡信息平臺的構建十分關鍵。而基于開放的互聯網環境,企業計算機網絡存在諸多的安全隱患,嚴重制約著企業信息平臺的構建。因而,強化企業網絡安全管理,尤其是安全網絡體系的構建,對于凈化網絡環境,防范網絡威脅,具有重要的作用。

參考文獻