緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇網絡安全防護的主要技術范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

引言

根據工信部提供的數據，截至2018年3月，我國移動互聯網用戶總數高達13.2億，同比增加16.1%，移動網絡用戶數量的持續增加，不僅催生了新的經濟業態，便捷了用戶生活，也誘發了信息數據丟失、泄露等安全問題。為保持移動網絡的安全性與穩定性，研究團隊與技術人員需要從安全防護技術的角度出發，厘清設計需求，強化技術創新，逐步構建起完備的移動網絡安全防護技術體系。

1移動通信網絡安全防護技術概述

探討移動通信網絡安全防護技術構成與類型，有助于技術人員形成正確的觀念認知，掌握移動通信網絡安全防護的特點，梳理后續安全防護技術的設計需求，為安全防護技術的科學應用提供方向性引導。隨著移動網絡技術的日益成熟，移動通信網絡安全防護技術逐步完善，可以充分滿足不同場景下的網絡安全防護基本要求。具體來看，現階段移動網絡安全機制較為健全、完善，形成了網絡接入安全、網絡域安全、用戶域安全、應用安全等幾個層級［1］，實現了移動網絡的傳輸層、服務層以及應用層的有效聯動，強化了對移動網絡入網用戶的身份識別能力，以更好地提升移動通信網絡的安全防護能力，相關技術構成如圖1所示。網絡接入安全保護技術的作用，使得用戶可以通過身份識別等方式，快速接入到移動網絡之中，從而規避無線鏈路攻擊風險，保證網絡運行的安全性，降低網絡安全風險。通過構建網絡安全域安全技術模塊，對移動網絡中的數據交互路徑采取加密保護等相關舉措，可以降低數據丟失或者泄露的風險。與其他網絡不同，移動網絡用戶相對而言較為固定，用戶群體較為明顯，這種特性使得在移動通信網絡安全防護應用過程中，可以通過簽約用戶識別模塊，形成移動實體/通用簽約用戶識別模塊（UniversalSubscriberIdentityModule，USIM）安全環境，實現移動網絡安全防護的靈活化、有效化，依托移動網絡安全防護技術，使得電信運營商的服務質量顯著提升，更好地滿足不同場景下、不同用戶群體的移動網絡使用需求［2］。隨著5G網絡的日益成熟，移動網絡安全防護技術也需要做出相應的轉變，通過形成移動通信網絡安全平臺，實現硬件系統與軟件系統的聯動，構建起平臺式、生態化的移動通信網絡安全防護機制，最大限度地保證用戶信息的安全性與有效性。

2移動通信網絡安全防護技術設計需求

移動通信網絡安全防護技術涉及的技術類型較為多元，為有效整合安全防護技術資源，技術人員應當明確安全防護技術需求，在技術需求導向下，提升移動通信網絡安全防護技術應用的有效性。

2.1移動通信網絡面臨的主要威脅

移動通信網絡在使用過程中，受到病毒、木馬、垃圾郵件等因素的威脅日益嚴重，用戶個人信息數據丟失案例逐年上升，網絡安全形勢日益嚴峻。出現這種情況的主要原因在于，移動通信網絡經過多年發展，其形成以網絡應用服務為核心，以移動終端為平臺的應用場景［3］。這種技術特性，使得越來越多的用戶愿意通過移動通信網絡進行數據的訪問。數據訪問的完成，固然提升了用戶的使用體驗，但是移動通信網絡在通過空中接口傳輸數據的過程中，出現數據截流或者丟失的概率也相對較大。移動通信網絡具有較強的開放性，用戶可以根據自身的需要，進行網絡資源的獲取與訪問，這種開放性，無形之中增加了安全事件的發生概率。這些移動通信網絡安全威脅要素的存在，勢必要求技術人員快速做出思路的轉變，通過技術創新與優化，持續增強技術的安全性。

2.2移動通信網絡安全防護技術設計基本要求

2.2.1基于體系安全的移動通信網絡安全防護為改善移動通信網絡安全防護能力，有效應對各類外部風險，避免數據竊取或者泄漏等情況的發生。在移動通信網絡安全防護工中，需要以平臺為基礎，豐富安全防護的路徑與場景，基于這種技術思路，我國相關安全技術團隊提出了平臺化的解決方案。將移動通信網絡終端作為主要平臺，對終端實體設備與網絡之間的初始認證路徑、認證頻次等做出適當的調整，形成安全信息的交互，這種平臺式的移動通信網絡安全防護技術，不僅可以提升實際的防護能力，還在很大程度上降低了移動通信安全防護技術的應用成本，避免了額外費用的產生，穩步提升了移動通信網絡安全防護的實用性與可行性［4］。

2.2.2基于終端安全的移動通信網絡安全防護終端是移動通信網絡數據存儲、交互、使用的重要媒介，基于這種認知，技術人員需要將終端作為安全防護的重要領域，通過技術的創新，打造完備的終端安全防護機制體系。例如，目前較為成熟的第三代移動通信網絡的認證與密鑰協商協議（AuthenticationandKeyAgreement，AKA），其根據終端特性，設置了可信計算安全結構，這種安全結構以可信移動平臺、公鑰基礎設施作為框架，將用戶終端中嵌入敏感服務，形成魯棒性終端安全平臺，從實踐效果來看，這種安全認證技術方案，不僅可以識別各類終端攻擊行為，消除各類安全風險，其技術原理相對簡單，實現難度較小，在實踐環節，表現出明顯的實踐優勢。

3移動網絡安全防護技術體系的構建

移動通信網絡安全防護技術的應用，要求技術人員從實際出發，在做好防護技術設計需求分析的基礎上，依托現有的技術手段，建立起完備的移動通信網絡安全防護技術應用體系，實現安全防護體系的健全與完善。

3.1應用可信服務安全防護技術方案

基于移動通信網絡安全防護技術設計要求，技術人員應當將平臺作為基礎，形成以移動可信計算模塊為核心的安全防護技術體系。從實際情況來看，移動可信計算模塊具有較強的獨立性，可以為用戶提供可靠的信息安全通道，對于移動通信網絡終端安裝的各類操作軟件進行合法性檢測，對于沒有獲得授權的軟件，禁止安裝與運行。這種技術處理方案實用性較強，具備較高的使用價值。

3.2應用安全服務器防護技術方案

為降低移動通信網絡安全防護技術的應用難度，技術人員將安全服務器納入防護技術方案中，通過安全服務器，移動通信網絡可以在較短的時間內完成移動端軟件完整性評估與合法性查詢，通過這種輔助功能，移動通信網絡使用的各類硬件、軟件保持在安全運行狀態，實現對各類安全事件的評估與應對，以保證安全防護成效。在安全服務器防護技術設置上，技術人員需要針對性地做好查詢功能的設置工作，為移動終端提供軟件合法性查詢服務。這種技術機制使得安全服務器可以對移動終端安裝或者運行軟件進行系統化查詢。例如，根據需要，對安裝或者運行軟件的合法性進行審查。審查過程中，終端通過本地的MTM進行查詢，如沒有獲得查詢結果，則發出查詢申請，安全服務器在接受申請后，進行系列安全查詢，并將查詢結果及時反饋給終端。在安全服務器使用過程中，還需要做好升級工作。例如，加強與軟件提供商的技術溝通，通過技術溝通，做好軟件安全性、合法性信息的生成，實現軟件的備案。還要持續提升運營網絡的接入網服務器交互功能，逐步強化移動終端完整性的整體性接入能力，保證移動終端的安全性與整體性。

3.3應用大數據下安全防護技術方案

篇（2）

一、威脅計算機網絡安全的因素

（1）存在一定的無意的人為因素。人為的因素主要是部分的電腦操作者操作不當，比如說沒有進行正常的安全配置，威脅操作系統，沒有較強的計算機安全防護意識，這有很大可能將威脅到計算機網絡安全。（2）操作系統存在一定的不安全性。每個操作系統都存在一定的不安全性，操作系統支持數據的交換與連接，這對網絡安全來說是一個漏洞；操作系統還可以創建進程，然而這些進程軟件就是系統進程，黑客不法分子經常就利用這些進程軟件竊取信息；再者，操作系統還支持在互聯網中傳送文件，文件傳輸過程中很有可能附帶一些可執行文件，是人為編寫的，一旦出現漏洞被不法分子利用，會對計算機網絡系統帶來很大的破壞。（3）計算機病毒的威脅和惡意程序的破壞。由于計算機網絡的互聯性與廣泛性，計算機病毒的傳播速度和威脅力越來越大，病毒其實是一些破壞計算機數據或功能、阻礙計算機正常運行的，而且還可以自我復制的一段計算機指令或代碼，而且病毒還有持續時間特別長、危害性特別大、傳染性特別高的特點，病毒的傳播途經也特別廣，一些光盤和移動硬盤以及其他的硬件設施都是病毒傳播的途徑，一些惡意的程序如木馬程序就是利用一些程序漏洞竊取信息的惡意程序，具有一定的自發性和隱蔽性。（4）黑客的惡意攻擊。黑客對計算機網絡安全帶來巨大的威脅，他們通常能夠利用一些軟件來進行網絡上的攻擊，他們經常竊取和篡改計算機中重要的系統數據和資源，還能自己編制病毒破壞計算機系統，對計算機的安全防護帶來巨大的影響和威脅。

二、計算機網絡安全防護的主要對策

（1）要健全計算機網絡安全管理的防護機制。建立健全計算機網絡安全防護機制，是規范計算機用戶和管理員行為的保障，建立健全網絡安全管理機制，有利于提高用戶和計算機系統管理員的職業水準和專業素質，有利于使計算機操作人員形成良好的習慣，促使他們及時的對數據資料進行備份，促進計算機網絡安全防護的工作能夠順利開展。（2）要重視加強防火墻技術。采用防火墻技術是一種有效地手段，防火墻是一種網絡的屏障，因為黑客要想竊取重要的機密與信息必須進入計算機內網，而要想訪問內網就必須通過連接外網來實現，采用防火墻技術可以有效地防止這一現象發生，而且比較經濟。（3）重視加強數據的備份工作。及時對一些重要的數據資料進行備份工作，通過存儲技術將計算機中的重要的需要被保護的數據用其他的存儲設施，如移動硬盤或者光盤進行轉存，以防系統崩潰時數據被破壞或者丟失，即使數據被破壞或丟失后，也可以依靠備份來進行數據的恢復，只是在備份時，不要將源數據和備份數據放在一個服務器之中，另找一個安全的地方進行存放。要切實建立健全數據備份與恢復機制。（4）進行相關政策法規的保障，同時提高計算機操作人員。與管理人員的專業能力與素養，提高安全防護意識頒布相關的法律法規保障網絡安全，加強管理，同時重視計算機網絡的安全意識教育，再者要提高技術人員的專業能力與素養，對于一些基本的網絡安全防護措施要很熟悉而且要做到位，及時的對新的技術人員進行培訓與輔導，加強安全防護管理的意識，不斷提高自身的專業技能與專業素養。

三、計算機網絡安全防護的發展

對于計算機網絡安全防護的發展，我們需要更加的完善網絡安全防護措施，在不斷進行完善更新的基礎上采用更為先進和主動的防護措施，化被動為主動，我們可以采用“云安全”技術，云安全這項新的技術可以大范圍的對網絡中的異常的軟件行為進行檢測，獲取關于病毒、木馬等惡意程序的最新消息，并通過服務端進行自動的處理分析，然后給每一位客戶發送解決方案。從而整個計算機互聯網絡就像是一個巨大的殺毒軟件。采用“云安全”等新技術會讓計算機網絡安全防護變得更有力。

計算機互聯網絡是一個龐大而又復雜的信息網絡，在這個信息網絡之中，做好必要的安全防護措施是很重要的，計算機網絡涉及的領域相當的廣泛，如果不進行計算機網絡的安全防護，那么一旦在計算機網絡中一個領域中出現安全問題，那么其他的領域也會受到連鎖的影響。因此全面認識到計算機網絡中的不安全因素，及時提出實施安全防護措施，及時的讓新技術加盟，我們才能夠更好地確保計算機網絡的安全，促進人們正常的學習、工作、生活，促進經濟平穩迅速發展，確保國家安全。

參 考 文 獻

篇（3）

一、引言

電力生產直接關系到國計民生，其安全問題一直是國家關注的重點之一。電力監控系統及調度數據網絡作為電力系統的重要基礎設施，不僅與電力系統生產、經營和服務相關，而且與電網調度和控制系統的安全運行緊密關聯，是電力系統安全運行的重要組成部分。

隨著通信技術和網絡技術的發展，接入調度數據網的電力控制系統越來越多，調度中心、變電站、電廠、用戶等之間的數據交換也越來越頻繁，這對電力監控系統和數據網絡的安全性、可靠性和實時性提出了新的嚴峻挑戰。

二、本地110kV變電站二次系統現狀

目前電力二次系統存在的主要問題有：管理區和生產區存在著雙向的數據互換；缺乏加密，認證機制，沒有入侵檢測等預警機制；沒有漏洞掃描和審計手段，接入存在安全隱患等。

隨著網絡技術的迅猛發展，為滿足網絡技術在電力系統中的應用，加之通過網絡傳輸遠動信息的迫切要求，IEC國際電工委員會在IEC60870-5-101基本遠動任務配套標準的基礎上，又制定了IEC60870-5-104遠動傳輸規約標準，廣東電網公司則據此制定了廣東電網DL/T634.5104-2002實施細則。它采用平衡傳輸模式，通過TCP/IP協議實現網絡傳輸遠動信息，適用于調度主站（中心站）EMS系統和子站（遠方站）RTU或計算機監控系統之間采用專用Intranet網絡進行通訊。

因此，本地電網在當前已建設完成的地調、500kV變電站及220kV變電站生產控制區業務系統接入調度數據網及相應調度數據網邊界的安全防護的基礎上，進一步完善局本部安全防護體系，并結合地區調度數據網建設將安全防護建設范圍拓展至110kV變電站。

三、整體解決方案

1. 安全防護目標及重點

電力二次系統安全防護的重點是抵御黑客、病毒等通過各種形式對系統發起的惡意破壞和攻擊，能夠抵御集團式攻擊，重點保護電力實時閉環監控系統及調度數據網絡的安全，防止由此引起電力系統故障。

安全防護目標是防止通過外部邊界發起的攻擊和侵入，尤其是防止由攻擊導致的一次系統的事故以及二次系統的崩潰；防止未授權用戶訪問系統或非法獲取信息和侵入以及重大的非法操作。

2. 安全防護策略

安全防護總體策略是：安全分區、網絡專用、橫向隔離、縱向認證。

2.1安全分區。

二次系統從邏輯上可劃分為生產控制區和生產管理區，其中生產控制區又分為實時控制區（Ⅰ區）和非控制生產區（Ⅱ區）；生產管理區又分為調度生產管理區（Ⅲ區）和管理信息區（Ⅳ區），調度系統主要負責安全區Ⅰ、Ⅱ、Ⅲ的安全防護。

2.2網絡專用。

在專用通道上建立調度專用數據網絡，實現與其他數據網絡物理隔離。并通過采用MPLS-VPN或IPsec-VPN在專網上形成多個相互邏輯隔離的VPN，以保障上下級各安全區的縱向互聯僅在相同安全區進行，避免安全區縱向交叉。

2.3橫向隔離。

采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護，在生產控制大區與管理信息大區之間，隔離強度應接近或達到物理隔離，必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。在生產控制大區內部的安全區之間，進行邏輯隔離，采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施。

2.4縱向認證。

采用認證、加密等手段實現數據的遠方安全傳輸。

3. 110kV變電站安全防護方案

110kV變電站二次系統安全防護不接入省調，生產控制大區可以不再細分，可將各業務系統和裝置均置于控制區，其總體設計邏輯結構如下圖。該圖示意了二次系統安全區域的劃分、安全區域之間橫向互聯的邏輯結構、安全區域的縱向互聯的邏輯結構以及網絡安全產品的總體部署。

3.1縱向加密裝置

用于生產控制大區的廣域邊界防護，為電力網關機之間的廣域通信提供認證與加密功能，實現數據傳輸的機密性和完整性保護。

3.2縱向互聯防火墻

提供基于策略的會話限制，方便用戶對網絡中會話的管理，有效抵御內外部對網絡的攻擊和濫用。

3.3控制區互聯交換機

在控制區互聯交換機上將站端調度數據網實時VPN業務段地址劃分為兩個VLAN（VLAN100和VLAN199），其中VLAN100用于遠動等自動化業務的接入和通過縱向加密認證裝置與調度數據網實時VPN的互聯，VLAN199用于保信等其它業務系統的接入和通過防火墻與調度數據網非實時VPN互聯。

四、結束語

本文就目前電力監控系統和調度數據網絡面臨越來越多的安全威脅，進而影響電網安全的形勢下，對電力二次系統安全防護的主要目標及防護策略展開分析，并介紹本地區供電局在110kV變電站二次系統安全防護的實施方案。隨著計算機技術發展，計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外，還必須建立健全完善的網絡安全管理制度，形成技術和管理雙管齊下，才能真正達到保證安全的目的。同時，調度自動化安全防護是一個動態的工作過程，而不是一種狀態或目標。隨著風險、人員、技術不斷地變化發展，以及調度應用與應用環境的發展，安全目標和策略也發生著變化，電力二次系統的安全管理需要不斷跟蹤并應用新技術，定期進行風險評估、加強管理，才能保障電力行業調度安全穩定、高效可靠運行。

參考文獻：

篇（4）

引言

隨著我國對于計算機網絡技術的廣泛應用，對于其應用的安全防護設計和實現也逐漸成為當前人們熱議的話題。這需要能夠系統地針對網絡安全技術進行相關探究，并針對當前計算機網絡技術的系統安全隱患，構建成熟的防御和管理體系，同時應用相關網絡安全知識對存在的安全隱患進行深入剖析，進而構建一套完善的網絡安全防御分解體系。

1計算機網絡安全防護設計概述

計算機網絡是為用戶提供所需信息資源服務的一種方式，而計算機網絡安全防護主要用于保護相關服務信息的完整性。當前的計算機網絡安全防護設計主要是為了更好地保證網絡信息的安全。為此，近些年的研究往往將計算機網絡安全防護技術的應用與計算機網絡的發展直接聯系在一起，相關的計算機網絡安全防護技術的研究也越來越成熟和完善。例如，無論是近些年提出的區塊鏈加密技術，還是剛剛頒布的密碼法，對于計算機網絡的安全防護都給予了高度重視。對計算機網絡安全的重視能夠強化人們的安全意識和計算機網絡信息版權意識，同時也有助于增強人們的法律意識，幫助人們更好地掌握計算機網絡技術，更好地享受計算機網絡帶來的便利。

2計算機網絡安全防護設計現狀

用戶的安全意識較差一直是我國計算機網絡安全存在的首要問題。由于很多計算機用戶缺乏信息安全意識，因此在日常操作中經常由于操作不當引發信息安全問題，如信息泄露、安全信息使用不當、使用環境不安全、使用方式不符合規定等。此外，由于近些年來我國的防護措施水平存在一定的問題，處理網絡漏洞時往往會由于技術原因導致監管力度不夠、處理不夠及時等，直接導致計算機網絡出現安全問題。為了更好地發展計算機網絡，必須正視存在的這些問題，將網絡安全放在關鍵位置上。

3計算機網絡安全防護的設計與實現

針對當前計算機網絡安全防護設計的應用現狀和存在的問題進行相關解析，本文提出了相關的防護設計與實現策略，以期能夠更好地實現相關的網絡安全防護設計應用，提高網絡技術自身的安全性[1-2]。

3.1增強用戶安全意識

用戶在使用計算機互聯網絡時存在基礎性應用不足的問題，需要相關的計算機用戶操作守則真正發揮作用，或者能夠開展對于用戶的針對性培訓，以便增強用戶的安全意識。此外，計算機網絡安全監管部門需要加強對用戶行為的引導，避免由于沒有正規引導導致的用戶安全信息問題，同時需要用戶能夠保證自身網絡使用環境的安全，避免在未知環境下進行計算機操作。

3.2加強網絡安全管理措施

針對當前計算機網絡安全問題較多的現狀，我國需要相關的計算機網絡安全管理人員能夠更好地對當前計算機網絡信息技術中存在的安全問題進行有效的安全管理。例如，制定并監督相關網絡技術安全規定的執行，網絡使用情況的優化和完善，通過強化員工自身的網絡應用安全管理意識來優化網絡安全。為了更好地優化網絡安全管理措施，需要相關的管理人員按照一定的規定執行更有效的監管行為。這對于整個監管部門來說具有重要的意義，需要管理人員能夠對網絡安全具有更深刻的了解。此外，需要深入規定相關的計算機網絡準入標準，避免接入不符合規定的計算機網絡，從而減小病毒等不安全因素對網絡安全的影響。

3.3重視計算機軟件開發人員的培養和教育

目前，我國還需要高度重視對軟件技術應用人員的培養和教育，應給予一定的政策和福利支撐，以便培養出更多優秀的計算機網絡安全防護人員，促進計算機網絡信息技術的快速發展與進步[3]。同時，管理部門和計算機網絡開發部門應根據不同的計算機理論，提供針對性的開發課程和安全維護課程，從而提升計算機軟件開發人員自身的專業素質和素養。

3.4制定內部監督制度

計算機網絡應用部門在監管過程中要做好預防工作，避免由于工作中問題責任不明確而出現不必要的推諉現象。這就要求相關的計算機網絡應用管理和維護部門制定完善的內部監督制度，盡量避免由于工作失誤造成計算機網絡技術產生漏洞。這種內部監督制度能夠在一定程度上優化對網絡應用的技術管理，從而更好地保障計算機網絡的系統安全，同時避免相關的計算機網絡隱患。此外，計算機網絡技術的內部監督制度能夠從內部避免計算機網絡的隱患，幫助計算機網絡完善安全保障體系，實現優化計算機網絡的目標。

3.5強化檔案計算機管理的加密處理

篇（5）

1電力通信網的安全問題

（1）隱私性：電信系統的發展與完善，擴大的運行用戶的數據資料的信息對于電信系統十分重要。大多指由于電力企業的疏忽而出現秘密偵測導致電力通信網絡通信內容的泄露，出現一些關于電網、經濟信息、高層對話信息的偵聽，會讓整個用戶網絡出現危機，同時也侵犯了用戶的隱私。（2）可運用性：電力通信網電力系統延時與可靠的性質要求，促使電力系統在傳輸數據的時候相對于普通網更加及時。也因此在數據傳輸的過程中更容易受到外界的攻擊，使安全防護更難實施，對于數據的可運用也出現了極大的漏洞[3]。（3）完整性：系統、過程、數據時電力通信網完整性的重要組成部分。凡是發生了對信息篡改卻并未被系統檢驗出來的情況從而造成損失，完整性將遭到了破壞。在電網通信中的具體活動中，是指通過特殊方法沒有被管理的系統檢測到部分變電站SCADA數據被篡改，從而導致整個電網工作不能順利開展而造成巨大損失。（4）身份認證的保護：在當前的電力通信網絡中，身份認證已經成為了通信安全運行的首要方法與重要的措施，其最大的目的是證實通信方信息的真實性，來有效的預防比如一些未在、攻擊或者篡改，保證整個電力系統網可以順利地傳導信息，也可以保證命令執行的有效性。（5）電力通信的可信性：全社會創新科技的口號帶動著電力通信網絡的不斷發展，也不斷鞭策整個電力通信系統對于創新安全的認識，在原來通信方式的基礎之上在根據實際實現穩定中求發展，循序漸進向更加完整的電力系統邁進。在形成更加完善、發雜、科技性提升的電力系統之前，應該讓系統已經存在的安全隱患逐一解決，加強每一個電力系統網的子網絡的安全保障，才能保證系統報告的安全性目標，實現可信性的電信系統環境，將電力通信的安全問題落實到實處[3]。

2有關于電力通信網絡的安全體系的探究

電力通信技術的提高所取得成果同時也伴隨安全問題的出現，在電力通信的安全方面存在的問題比如缺乏統一的安全防護的標準、對于安全防護的提前認知與規劃方面、對于安全防護準確的評估標準、對于支撐網與接入網的安全防護措施、物理防護手段的缺乏，這些都是實際的電力通信的運轉過程中，阻礙其進入正常工作狀態，因此要針對不同的網絡安全問題作出相應的安全保護策略。在安全防護方面，很多是以企業的防護標準與規范為基準來要求，而真正以電力通信網的安全防護為標準的相比較而言少之又少。企業自制的安全防護標準具有較大的局限性，不能夠將其標準運用于整個電力系統網絡。因此要時時刻刻以電力系統網絡的安全防護標準去做好安全問題。在安全防護提前認知與規劃方面，電力通信網因做好對于安全防護工作科學合理的規劃，有效的組織與管理使其正常的安全運營。在安全防護準確的評估標準方面，不斷地完善對于電力通信網的安全防護的評估方法，做到科學準確的去評估電力通信網絡的安全防護。在支撐網與接入網安全的防護中，應該加大對于支撐網與接入網的重視，全面的做好安全防護的措施，讓電力通信安全網的安全性的到保障。在物理防護方面，加大對于物理的防護，在做好通信設備安全與業務保障安全的同時，也要注意物理的安全防護。以上幾個方面是對于電力系統安全防護的解決，除了做好對于安全防護的預防，也要根據實際的情況注意做好各個方面的管理工作。在管理方面主要包括人員管理、密碼管理、技術管理、數據管理、信息管理五大方面。為了保障電力通信的安全，著手管理電力通信網絡的工作人員，定期培訓工作人員的專業知識，進行講座培養工作人員的積極性與責任感，防止網路機密的泄露。同時也要管理好電力通信網絡的密碼，避免一些常規的默認密碼。對于技術方面，最基礎的安全防護技術室基準，將目前的網絡安全技術綜合利用。在數據管理方面應提前備份好數據信息，做好有關數據出現問題的防護。在以上問題保證的情況下，也要做好對于信息設備的保護，以防出現意外安全問題。

作者：馬明峰 單位：內蒙古電力有限責任公司阿拉善電業局

篇（6）

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2013）23-0105-01

Internet起源于美國，最初應用于美國國防部高級研究計劃管理局ARPA，用于美國軍方信息通信，后來逐漸轉為民用。

在信息技術的推動和牽引下，人類社會已由工業時代邁進信息時代。計算機網絡對人類經濟和生活的沖擊是其它信息載體所無法比擬的，它的高速發展和全方位滲透，推動了整個社會的信息化進程。網絡的機遇與挑戰并存，影響網絡安全的因素也日益顯露。

1 網絡安全的需求

影響網絡安全的因素有很多，從宏觀角度來分析，影響網絡安全的方面有：物理層安全、網絡層安全、系統層安全、應用層安全及管理層安全，這也與網絡架構中的開放系統互連模型OSI七層結構異曲同工。

1.1 物理層網絡安全及需求

網絡的物理安全是影響網絡安全的基礎，可謂是網絡安全的第一道防線，它可細分為環境安全、設備安全、存儲介質安全和防電磁泄漏等。其中環境安全是最重要的，而防電磁泄漏是最容易被忽視的，這兩點在物理安全中應當重點考慮。

1.2 網絡層安全及需求

網絡層安全總體目標可歸納為“進不來”、“出不去”、“拿不走”、“讀不懂”、“跑不掉”。具體要求是利用計算機及通信技術，防范未經授權的人員非法訪問網絡資源。

非法訪問網絡的手段有：針對IP地址欺騙的ARP攻擊、消耗大量網絡資源的拒絕服務攻擊、針對數據庫堆棧溢出、Web應用的網站篡改等。

1.3 系統層安全及需求

系統安全可分為服務器系統安全和用戶主機系統安全。影響安全的因素主要來自系統漏洞補丁、系統的端口及服務、主機密碼、系統病毒等。

1.4 應用層安全及需求

應用層安全包括應用軟件安全和數據安全。應用軟件安全的需求包括及時安裝補丁程序，對應用程序設置的身份認證和授權訪問控制機制。應用系統要具有數據備份和恢復手段，以防止系統故障而導致數據丟失。

1.5 管理層安全及需求

俗話說“三分技術、七分管理”，網絡安全僅用技術手段是做不到全方位的防護的，必須從管理的角度讓使用網絡的人懂得怎樣使用網絡。

2 五層全方位網絡防護策略

2.1 物理安全防護策略

網絡設計與規劃之初，要考慮核心機房及數據中心的選址問題。機房要選擇在可控區域內，并與非可控區域間隔300米外，在現實條件無法滿足的情況下，對機房采取安全屏蔽措施。機房對樓層的選擇盡量就低不就高，避免在樓頂。

在單位，重要的政府機關、機要及軍政、部隊網絡要與互聯網物理隔離，不同等級的網絡之間采用最小耦合。

在物理環境安全中要注重通風、降溫及消防。在機房內采用機房專用精密空調，將機房的整體溫度控制在21℃±2℃范圍內。適度的溫度可以延長服務器的使用壽命，減少故障的發生機率。

機房的消防一定要采用氣體聯動消防，切勿使用水或傳統的干粉，這些方法雖然可以滅火，但對設備的影響，卻是不可逆的，它的影響遠大于滅火本身。

2.2 網絡層安全防護策略

網絡層安全防護應從網絡拓撲結構進行分析，防護的方法是：在網絡邊界部署抗拒絕服務攻擊系統、防火墻、入侵檢測系統實時監測網絡流量數據，發現違規操作后告警并阻斷，形成防火墻與入侵檢測系統聯動的邊界防護安全域。在核心交換機旁路部署安全審計系統、網絡分析系統及漏洞掃描系統，利用安全審計系統對全網行為、數據庫進行實時審計，通過網絡分析系統抓取數據包，準確、及時定位故障，還原數據包行為來取證違規違紀操作。將服務器劃分為內、外服務器域，保護不同的應用數據。利用虛擬局域網技術、身份認證準入機制及三層交換的ACL管理控制策略配合使用形成用戶的不同域安全防護。

2.3 系統層安全防護策略

對操作系統和數據庫系統配置高強度用戶名及密碼，啟用登陸失敗處理、傳輸加密等措施。對用戶主機使用8位以上的口令，禁用guest用戶、更改administrator用戶名。對服務器主機進行訪問控制的配置，管理員分級分權限控制，對重要信息（文件、數據庫等）進行標記，設定訪問控制策略進行訪問控制，開啟服務器日志審計功能。通過軟件防火墻關閉服務器及用戶主機端口，利用系統組策略關閉不必要的服務。

2.4 應用層安全防護策略

對重要的應用層系統及軟件如WWW、DNS系統進行備份，可制作雙機備份系統，一主一備，一旦一個系統出現故障，另一個系統自動啟動，實現應用層的無縫實時切換。

數據是網絡的核心，因此保護數據也是應用層安全防護的要點。最好的方法是建立異地容災備份中心，可簡稱為兩地三中心。本地有數據中心及備份中心，異地有容災中心。數據備份采用光纖SAN網絡架構，ISCSI協議與TCP/IP協議不同，兩網之間不進行網絡通信，保證網絡的安全。

2.5 管理層安全

安全的最高境界不是產品，也不是服務，而是管理。沒有好的管理思想、嚴格的管理制度、負責的管理人員和實施到位管理程序，就沒有真正的信息安全。對人員的管理和安全制度的制訂是否有效，直接影響這一層的安全問題。

管理層安全包括管理制度、管理技術。管理制度須制訂一系列的安全管理制度，普及安全教育，包括：用戶守則的制訂。管理技術包括安全理論知識的培訓、對安全產品使用培訓、建立安全信息分發系統、及時通報最新安全事件、建立安全論壇、交流安全技術等。

3 結束語

網絡安全影響因素萬變不離物理層安全、網絡層安全、系統層安全、應用層安全、及管理層安全這五類。物理安全是網絡安全的基礎，網絡層安全是網絡安全的關鍵，系統層安全是網絡安全的個體體現，應用層安全是網絡安全的重點，管理層安全是網絡安全長治久安成效的重要保障?？傊?，網絡安全不能脫離這五個方面的任何一個層次而談，忽略了任何一個方面，網絡安全都將會存在短板，“木桶效應”將展現。

參考文獻

[1]顧昕.某內部網絡安全防護系統的設計與實現[D].四川大學，2006.

篇（7）

1 引言

隨著時代的發展和科技的進步，各種新型醫療信息系統在醫院中應用的范圍不斷擴大，醫院信息化建設得到飛速發展，但是醫院在對信息技術進行應用時，不僅得到很多有利之處，也有一些不容忽略的網絡安全現象。比如，信息的泄漏、APT攻擊等，這些問題的出現對醫院的信息化建設產生極大影響。所以，醫院需要采取有效的網絡安全防護手段，建構安全、穩定的網絡環境，然后對網絡的管理進行規范，加強網絡安全的管理強度，進而為信息化建設發展奠定基礎。

2 醫院信息化建設中網絡安全隱患

網絡安全使之網絡系統內的各種軟件、硬件和數據等可以得到有效保護，不會因為偶然或者惡意行為而被破壞、更改或者泄露，可以確保網絡系統穩定、正常運行，提供的服務也不會出現中斷的情況。因為醫院資深具有特殊的性質，所以醫院的信息系統需要在24小時內都可以正常運轉，而且，醫院的信息系統輻射的范圍比較廣，是醫院的全部部門，包含患者在就診時的各個環節，這就使醫院的業務對網絡有較強的依賴性。而且，醫院借助互聯網可以和醫保進行聯網，這就使醫院的網絡變的更加開放，使醫院受到攻擊和感染病毒的概率增加，只要其信息化系統發生故障，就會對整個醫院的運行和管理帶來很大影響，還會為醫院和患者帶來損害甚至是災難。

目前，醫院信息化建設中網絡安全問題主要有一些層面：網絡安全，系統安全和數據安全。系統安全主要有程序、操作以及物理安全；網絡安全隨網絡攻防技術的發展而更加復雜和多樣；數據安全包括數據自身和數據防護的安全。從應用服務層面出發，網絡安全主要是在網絡終端接入網絡后出現的安全問題，比如黑客、病毒、操作違規以及非法入侵等，造成系統內的網絡斷開，服務器的癱瘓或者病人賬戶被盜以及丟失數據等。從產品層面出發，主要是硬件、應用程序以及軟件系統內被植入惡意代碼等帶來的隱患。從技術層面出發，主要是產品信息自身在設計和研發層面的缺陷，也包含日常維護管理和信息科技帶來的隱患。從物理層面出發，主要是操作錯誤，自然災害或者人為的破壞等，使計算機不能繼續運行。

3 醫院信息化建設中網絡安全防護的對策

3.1 建構起科學的網絡安全管理體制

要想確保醫院網絡安全，首先需要制定科學的網絡安全管理規章制度，醫院需要和自身實際相結合，使用科學方法和管理體制，比如機房的管理規范、數據資源備份存儲制度、網絡的運行和維護制度以及信息系統的操作制度等，還需要對工作人員的安全意識進行培養，確保醫院的網絡管理有理有據。醫院需要成立網絡應急小組，在出現網絡安全問題后，小組需要按照事件嚴重性程度采取相關措施，盡可能快的恢復網絡，并把事故的時間、影響和損失降至最低，形成問題長效整改C制。

3.2 使用科學的網絡管理手段

醫院需要以自身的實際發展狀況為基礎，實施正確、科學的網絡管理手段，進而確保醫院的整個信息系統可以正常、高效與安全運行。首先，為了確保醫院信息系統內的服務器可以穩定、可靠與高效運行，需要使用雙機熱備和雙機容錯等措施進行解決。其次，對于系統內一些比較關鍵和重要的設備，可以借助UPS對主機設備進行供電，這樣可以在確保擁有穩定電壓的同時，有效防止出現突況。再次，在對網絡的架構進行設計時，需要把主干網絡的鏈路也建構為冗余模式，如果主干網絡的線路出現了故障，就可以借助冗余線路確保網絡數據信息仍然能夠正常進行傳輸，語言的專業人員需要對網絡的外網與業務的內網開展物理分離處理，進而避免互聯網與業務網絡的混搭現象，這可以從根本上降低因為互聯網的因素影響而造成醫療數據出現外泄可能性，還能夠防止非法用戶使用外網進入到醫院服務器和信息系統中。接著，醫院還需要建構系統與數據的備份體系，進而保證在機房出現災難或者儲存設備受到損壞時，可以在較短時間內恢復系統運行。最后，使用分級權限管理措施，防止數據修改或者越權進行訪問的情況出現，還要對部分重要信息數據開展跟蹤預警措施。

3.3 使用科學的技術手段

首先，因為醫院網絡架構中內網與外網是隔離的，內網安全需求更高，所以需要安裝更加強大的軟件進行殺毒。并在內網和外網間建構防火墻網關，進而濾出一些不安全或者非法的服務，適當限制網絡的訪問，這可以對網絡攻擊行為起到一定的預警作用。其次，要想彌補防火墻自身的漏洞，醫院需要使用專業化入侵檢測體系，把各個關鍵點在網絡內分散，然后借助對數據的審計、安全日志或者行為等檢測得到的信息，進而了解網絡或者系統內有被攻擊或者違反安全措施的行為，還需要借助安全掃描技術等對可能出現的漏洞進行檢查。最后，需要建構云安全平臺，借助虛擬化平臺實現網絡安全集中管理，并使醫院中網絡安全管理成本得到降低，解決網絡安全問題。

4 結語

綜上所述，語言的信息化建設中網絡安全防護具有重要的意義，需要引起相關人員的重視，不斷對其進行改進與完善，切實發揮出網絡安全防護的作用，進而促進醫院的信息化建設發展，更好的為病人服務。

參考文獻

[1]韓輝.醫院信息化建設中網絡安全分析與防護[J].信息安全與技術，2014，（05）：91-93.

[2]徐亞雄.醫院信息化建設中的網絡安全分析與防護[J].網絡安全技術與應用，2015（11）：43-43.

篇（8）

中圖分類號TM7

文獻標識碼A

文章編號1674-6708（2016）156-0082-01

信息技術發展過程中，互聯網技術在各個行業中都具有較為廣泛的應用，并對行業的發展起到了良好的促進作用。電力系統通信網絡為電力系統運行與管理做出了巨大貢獻，但是網絡安全問題也是電力系統通信業務不可忽視的問題，任何潛在的安全風險都會給電力系統運行以及電力企業造成巨大的損失。基于此，加強對電力系統通信網絡安全問題的研究具有十分現實的意義。

1 電力系統通信網絡安全問題

現階段，我國電力系統通信網絡安全防護中存在一定的問題，主要表現在以下幾個方面。

第一，電力企業管理過程中，缺少數據備份等安全意識，導致一旦數據丟失，則會給電力企業造成巨大的損失。同時，電力企業中缺少專業的信息備份設備，也沒有與之配套的管理制度；第二，電力企業相關領導對網絡安全防護的重視程度不足，在資金、設備、政策等方面都沒有給予太大的支持；第三，現階段電力企業尚未形成統一的信息網絡管理體系，安全防護措施與管理制度也相對缺失；第四，目前外界威脅電力通信網絡系統的因素較多，包括網絡病毒、人為入侵、黑客攻擊等等，都給電力通信網絡造成嚴重的安全隱患。

供電商與消費者之間具有雙向通信的升級電網，具有智能測量和監視系統，這是對智能電網的簡單定義。在一次設備智能化、無線通信等設備、技術不斷涌現的背景下，使得我國智能電網接入環境更加復雜，對智能電網的安全也造成一定的影響，帶來了諸多安全隱患。諸如正在部署的、用以支持智能電網項目的技術智能電表、傳感器等，都會加大電網受攻擊的風險。

2 加強電力系統通信網絡安全防護的必要性

電力系統通信網絡安全防護工作責任重大，在時展的過程中，網絡已經成為人們日常生活、工作中比不可少的一部分。電力系統通信網絡的安全與否，關系到電力企業能否實時的掌握電力系統運行的狀態，關系到對電力系統運行管理的質量，關系到電力用戶用電質量與安全。同時，一旦電力系統通信網絡安全受到攻擊，大量的通信信息就會泄漏，可能給電力企業造成不可挽回的重大經濟損失。

加強網絡安全防護的目的在于，保證電力系統通信信息得到保護，保證相關數據信息不被損壞或丟失，也不會給惡意的攻擊或泄漏，保證電力系統運行的安全與穩定。一方面，通過網絡安全防護工作，能夠保證電力系統通信信息處于與交互過程中，信息處理的高效性與信息本身的完整性；另一方面，通過網絡安全防護，能夠為電力企業提供信息機密性，保證電力企業重要的信息不被竊取、篡改等，維護電力企業的合法權益以及商業利益。另外，在某種程度上來說，網絡安全防護工作還能夠減少電力企業信息盜竊等不法行為的發生率。

3 電力系統通信網絡安全防護措施

3.1 加強對各種安全防護技術的使用

抵制安全風險最佳的方式就是采用先進的網絡技術，電力企業需要引進先進的安全防護技術，同時保證網絡技術更新的及時，營造一個良好的通信網絡環境。在電力系統通信網絡安全技術中，具體包括安全審核技術、防火墻技術、病毒防護技術、數據庫技術、虛擬網絡技術等等。

效的過濾異常信息，避免電力企業通信信息遭受非法的攻擊；利用病毒防護技術，選擇良好的殺毒軟件等，能夠妥善處理好病毒問題，為通信系統運行提供健康的環境。利用數據庫技術，為了提前防范電力網信息出現異常，如被盜、丟失等。通過數據備份的方式將原資料保存下來.以保證信息處于安全狀態。電力企業可以積極創建數據備份中心，選擇優越的數據恢復技術，遇到信息數據受損時可提前進行修復補充，維持信息系統的正常運行。對于虛擬網技術的運用，主要是針對網絡管理者，其必須熟練的掌握VLAN技術，避免電力系統通信網絡遭受外界因素的干擾。加密技術是通過對通信數據信息的加密，通過明文、密文相互轉換，利用密鑰以及相關算法實現對通信數據的保護；鑒別技術能夠通過用戶信息驗證，保證數據交換過程中真實可靠性。

3.2 增強安全防護意識

電力系統通信網絡的操作者以及電力企業管理層人員，必須具備一定的安全防護意識，從安全的角度出發，根據現有的網絡信息系統，制定有效的安全管理策略，有效的避免系統受到外界因素的損壞；作為電力企業的員工，也需要加強安全意識培養，在操作通信網絡過程中，需要始終堅持安全的原則，做好每一個操作步驟，保證系統的安全與穩定。

3.3 健全相關的管理制度

制度是管理的基礎，電力企業需要建立嚴格的網絡安全管理制度，為電力系統通信網絡正常有序運行提供保障，讓每一個環節都處于安全的狀態。同時，電力企業需要貫徹科學的發展觀，加強對計算機操作人員的管理、對設備的管理等，采取更加有效的系統安全管理策略，對電力系統通信網絡信息提供實時的維護。

3.4 加快故障的處理

當電力系統通信網絡發生故障后，電力企業需要及時的安排技術人員進行處理，提高故障處理的效率，避免故障擴大對電力系統正常運行造成不利影響。例如，在網絡信息系統中斷后，需要及時的安排維護專家對故障進行判斷，分析故障原因與位置，及時的進行處理與維護。

3.5 構建安全認證體系

篇（9）

計算機網絡技術在日益成熟化發展的同時，人們對計算機網絡的熟悉度日益增加，發展至今即便是小學生也會利用網絡進行購物、資料查詢等。這極大的便利和豐富了人們的生活，但同時也帶來了一系列的網絡安全問題，如用戶操作不當、瀏覽釣魚網站、黑客攻擊、病毒等等這些都對用戶的計算機網絡安全造成了嚴重的影響，不利于個人信息的保護。為此，我們有必要就計算機網絡安全有效防護展開研究和討論，以通過對計算機網絡安全防護措施的探討來有效避免計算機網絡不安全事故的產生。

1 計算機網絡安全的指標

判斷計算機網絡安全具有一定的準則，這些準則也是人們進行網絡使用的最重要信息，本文認為主要的計算機網絡安全指標如下：

1.1 保密性

網絡中充斥著很多的信息，這些信息有部分是可以被所有人共享的，有部分是對某些人保密的，還有小部分是機密的，需要給予嚴格的保護。因此，保密性是衡量計算機網絡安全的重要指標。例如：人們在進行網頁訪問時，需要輸入用戶名和密碼，而用戶的密碼需要具有一定的保密性，才能夠更好地確保個人信息的安全。

1.2 授權性

雖然計算機網絡是一個信息共享的舞臺，但是其中很多地址都是需要一定的權限才能夠進行瀏覽的。所以，授權性也是計算機網絡安全的一個重要指標。例如：某個用戶對網站的內容進行瀏覽時，必須要在網站中進行注冊，然后網站會對用戶進行授權；當用戶登錄時，需要正確輸入用戶名和密碼，與網站的記錄一致才會被允許進入。授權性在一定程度上防止了一些惡意操作，能夠有效對計算機網絡安全進行防護。

1.3 高可用性

計算機網絡中由于涉及到很多的關鍵性設備，任何設備出現問題都會對計算機網絡的使用產生影響。因此，高可用性也是衡量計算機網絡安全的重要指標，例如：當某個網站受到網絡攻擊時，能夠利用自身的各項技術和相關設置，可以在最短的時間內恢復工作，盡量避免對用戶使用的影響，從而能夠更好地保障計算機網絡的高可用性。

2 計算機網絡安全的有效防護措施

上文主要論述了目前衡量計算機網絡安全的重要指標，這些指標對于安全防護措施的制定和發展也有著重要的指導性作用。因此，本文通過對目前我國計算機網絡安全的現狀進行調查，認為確保計算機網絡采取有效防護措施，可以分為以下幾個方面：

2.1 個人方面

目前，雖然計算機網絡為用戶接入互聯網提供了方便，但是用戶在使用過程中卻沒有對計算機網絡安全問題進行重視。尤其是對于互聯網來講，使用的人數眾多，如果用戶缺乏相關的網絡安全意識，那么就會對網絡安全造成非常嚴重的影響。因此，對計算機網絡采取有效的防護措施，需要首先從用戶方面做起：

（1）要對用戶網絡安全等方面的知識進行培訓，使得他們能夠充分認識到網絡安全的重要性，并且在使用過程中，能夠注重自身的行為，避免對網絡帶來安全的威脅；

（2）網絡與用戶的終端進行著信息的交互，所以網絡中的安全問題也會對用戶的終端造成一定的影響。所以，在對計算機網絡進行安全防護的過程中，用戶也需要對自己的終端進行相關的安全防護設置，從而能夠更好地提高終端接入網絡的安全性；

（3）用戶使用網絡習慣方面，養成良好的計算機網絡使用習慣，能夠有效地避免一些信息泄露的問題，對計算機網絡安全的防護能夠起到良好的促進作用。所以，用戶需要定期進行密碼的修改，提高密碼的復雜程度等等。

2.2 國家和政府方面

網絡安全方面的問題是困擾我國計算機網絡發展的重要問題，而網絡作為信息技術的重要支撐，是促進我國社會發展的重要動力。所以，在對計算機網絡安全問題進行有效防護的過程中，離不開國家和政府的相關工作：

（1）國家需要出臺相關的規章制度，對于計算機網絡安全進行強制防護，促使網絡用戶能夠提高自制力，在使用過程中能對自身行為進行更好的約束；

（2）國家和政府需要建立專門的網絡安全防護小組，對于網絡的安全問題進行定時清理，能夠有效地保持網絡環境的清潔，同時對于計算機網絡安全問題能夠進行有效地治理；

（3）國家和政府應該積極組織相關的網絡安全活動及會議，同時積極與國外其他國家進行相關的交流，能夠促進網絡安全技術的共享，在促進我國網絡安全方面提供有效的保障。

2.3 促進計算機網絡安全防護技術的發展

無論是計算機網絡的建設者還是國家網絡安全的維護者，都需要通過計算機網絡安全防護技術，對網絡環境進行更好地監督和治理。因此，可以說提高計算機網絡安全技術是對網絡安全問題進行有效防護的重要策略。為此可以參考以下幾個方面：

（1）國家和政府需要對相關技術的研究給予支持，專門成立相關的研究機構，同時為相關的研究提供豐富的資源，能夠進一步促進研究成果的創新和用，成為計算機網絡安全的有效保障；

（2）高校中可以設置相關的計算機網絡安全專業，能夠對學生進行網絡安全知識的教學，從而能夠為網絡安全技術的研究提供更多的優秀人才，是促進技術發展和研究的有效保障；

（3）網站建設者方面，相關網站在進行建設的過程中，需要對各種網絡安全問題進行深入地調查和研究，從而能夠采取有效的措施，更好地應對網絡中的安全問題，為用戶提供一個安全潔凈的網絡環境。

參考文獻

[1]李軼.計算機網絡信息安全形勢分析與防護[J].科技情報開發與經濟，2012（23）.

[2]李勇.網絡戰爭一觸即發――再議計算機網絡信息安全與防護[J].信息與電腦（理論版），2011（07）.

[3]彭B，高B.計算機網絡信息安全及防護策略研究[J].計算機與數字工程，2011（01）.

作者簡介

篇（10）

1.1網絡連接問題

該水電廠中的網絡數據，采用的是單向傳輸的方法，禁止向實時監控系統的服務器內寫入數據，主要是因為SIS連接了水電廠的運行設備，一旦連接中出現安全問題，即會影響水電廠的安全運行，很容易引起黑客入侵，所以網絡連接是一項常見的安全問題，導致SIS連接中出現了網絡缺陷。

1.2網絡通訊問題

SIS通過交換機連接水電廠的通信服務器，網絡通訊的安全級別，要高于管理、操作等網絡系統。雖然SIS網絡通訊中使用了安全防護措施，但是網絡通訊同樣需要遵循單向傳輸的規定，站在網絡結構的角度上分析，網絡通訊仍舊存在一定的安全問題。例如，SIS中通訊訪問的過程是透明的，其可實現任意編程的訪問，表明任何身份的計算機，都可訪問SIS通訊網絡，獲取水電站的通信監控信息，由低到高的級別網絡中，不存在安全保護的措施，威脅了網絡通訊中的數據交流。

1.3防火墻問題

該水電廠SIS中的防火墻設計，比較注重軟件防火墻，利用軟件操作，提高SIS的安全性。例如，SIS在監控水電廠電網調度信息時，軟件防火墻處于被動防御的狀態，該水電廠沒有升級軟件防火墻，只能阻擋常規病毒，對新型的攻擊起不到任何作用，此時軟件防火墻處于停滯狀態，沒有完全保護電網調度的信息，導致信息丟失，嚴重影響了該水電廠的調度過程。

2水電廠監控信息系統網絡中的安全設計

水電廠監控信息系統網絡運行較為復雜，設計安全防控的方案，以此來規范監控信息系統的實踐運行。

2.1系統網絡安全設計原則

水電廠監控信息系統網絡安全設計的原則：(1)實踐性原則，網絡安全設計必須以監控信息系統在水電廠中的實際情況為主，盡量不出現冗余設計；(2)安全接入原則，水電廠的運行規模大，監控信息系統的接入頻率較高，維護接入過程的安全，才能提高安全防護的水平；(3)適用性原則，網絡安全防控設計，要適用于水電廠的運行環境，符合水電廠監控信息系統的需求；(4)技術性原則，安全防控本身是一項技術，其在水電廠監控信息系統內，積極落實安全技術，改善水電廠監控的環境。

2.2系統網絡邊界隔離設計

水電廠監控信息網絡中的邊界隔離設計，主要是防護外部攻擊和干擾。邊界隔離設計的基礎是防火墻，需要物理隔離進行配合，提高邊界安全隔離的水平。防火墻設計的過程中，考慮系統防火墻中出現的風險隱患，實行綜合化的防火墻隔離設計，防火墻設計中，注重控制水電廠監控的信息流，采用成熟的技術控制，彌補安全漏洞的不足之處，防火墻邊界隔離時，要注重升級和更新操作，抵御復雜的病毒攻擊。系統網絡邊界的物理隔離，集中在硬件防護方面，水電廠在監控信息系統中，利用具有隔離作用的硬件設備，連接運行主機，通過硬件設計隔離主機之間的運行，而且硬件設備在系統中的隔離，既可以控制數據流向，又可以支撐安全防護，提供標準的隔離方式。

3水電廠監控信息系統網絡的安全防控措施

根據水電廠監控信息系統對網絡安全的需求，提出三點防護的措施，用于提高監控信息系統在水電廠中的安全水平。

3.1硬件防護措施

水電廠在設置監控信息系統時，提出了硬件防護的措施，在監控信息系統中設置專有的硬件隔離，保護監控系統的安全性。例如，水電廠的監控信息系統接入MIS時，安裝了單向傳輸裝置，規范硬件中的信息流向，促使監控信息系統的數據能夠安全的傳送到MIS模塊中，主動阻斷MIS回傳的所有數據信息。比較常用的硬件防護裝置是南瑞SYSKEEPER2000，按照“2+1”的模式構建硬件防護系統。硬件防護措施可以保障水電廠數據信息準確的穿過網閘，規避數據傳輸中潛在的協議負荷，凈化監控信息系統中的數據傳遞。

3.2入侵防護策略

入侵防護策略偏重于水電廠監控信息系統的軟件構成，根據病毒入侵的等級，設計標準的防護策略。例舉水電廠監控信息系統網絡安全防護中，比較常用的入侵防護策略：(1)依照水電廠監控信息系統的運行周期，規劃病毒查殺的周期，實行全面的病毒查殺，查殺完成后檢查病毒定義碼，設計查殺軟件的配置，促使其跟上病毒演變的速度；(2)水電廠網絡防護人員定期修復病毒入侵造成的漏洞，針對漏洞安排測試方法，科學的安排修補措施，彌補病毒造成的缺陷、漏洞；(3)積極引入先進的防病毒軟件，病毒更新的速度非?？?，增加了水電廠監控系統網絡運行的風險，先進的軟件在配置、設計上有一定的優勢，其對病毒的防護能力相對比較強。4.3軟件系統的可靠性水電廠監控信息系統網絡中的軟件，既可以落實監控和監督功能，也可以發生不穩定的漏洞，干預了信息系統的安全運行。水電廠必須使用正規的操作系統和軟件，如WindowsServer2003，盡量不使用試點軟件，以免影響監控信息系統的整體穩定性。水電廠加強軟件系統的可靠性控制，預防監控的過程中的軟件卡死情況，嚴謹控制運行軟件的安全使用。

篇（11）

1 概述

二灘水電站地處中國四川省西南邊陲攀枝花市鹽邊與米易兩縣交界處，雅礱江下游，壩址距雅礱江與金沙江的交匯口33公里，距攀枝花市區46公里，系雅礱江水電基地梯級開發的第一個水電站，上游為官地水電站，下游為桐子林水電站。水電站最大壩高240米，水庫正常蓄水位1200米，總庫容57.9億立方米，調節庫容33.7億立方米，裝機總容量330萬千瓦，保證出力102.8萬千瓦，多年平均發電量170億千瓦時，兩回500kV出線接入攀枝花電網，三回500kV出線接入四川主網，并擔當四川電網主力調峰、調頻任務。

隨著網絡技術、信息技術在電力系統的廣泛應用，網絡與信息系統已經成為電力系統生產、運營和發展的基礎設施。信息安全風險作為電力企業信息安全風險管理的基本內容，是電力系統各級單位信息安全保障體系的重要內容，其中二次系統安全更是重中之重。

2 二灘水電站二次系統安全防護的必要性

二灘水電站生產控制系統在可靠性方面已經采取了防電磁干擾、冗余等措施，但是隨著2011年12月實現成都集控中心遠程控制二灘水電站，在通信鏈路上冒充、篡改、竊收、重放等類型的網絡威脅也不斷增加，嚴重影響到電力生產信息的完整性、真實性和一致性。同時隨著設備老化，消缺及改造的增加，生產控制系統在調試及維護階段，廠家人員以及相關班組通過移動工作站進入電力生產控制系統，出于安全意識薄弱、商業競爭或政治目的會置入邏輯炸彈、蠕蟲等惡意代碼，破壞電力生產控制系統的正常穩定運行的風險也不斷增大，二次系統安全問題日益凸顯。因此，二灘水電站于2011年8月啟動集控邊界二次安防系統建設。

3 二灘水電站二次系統安全防護系統的構成

二灘水電站按照《電力二次系統安全防護規定》和《全國電力二次系統安全防護規定》，根據電力二次系統安全防護總體原則“安全分區、網絡專用、橫向隔離、縱向認證”的要求，二灘水電站二次系統安全防護按安全等級劃分為兩個大區，即：生產控制大區和管理信息大區。生產控制大區劃分為安全Ⅰ區（實時控制區）和安全區Ⅱ（非控制生產區）；管理信息大區劃分為安全Ⅲ區（生產管理區）。安全Ⅰ區主要包括計算機監控系統和穩定監錄裝置，安全Ⅱ區主要包括安控信息、保護信息和能量計費系統，安全Ⅲ區主要包括工業電視系統。二次安防系統圖如圖1。

3.1 二灘水電站二次系統安全Ⅰ區安全防護措施

二次系統安全Ⅰ區的計算機監控系統為整個電站的核心，一旦遭受網絡攻擊、惡意代碼等網絡安全威脅，對于電站自身安全生產乃至四川電網安全都構成嚴重威脅，必須采用最為嚴格的技術手段來確保其安全。二灘水電站穩定監錄系統為四川省電網穩定性監錄系統的重要監測點之一，為四川省電網穩定性監錄系統提供實時數據，為電網的安全穩定運行提供分析依據設，其信息安全直接關系到四川電網的穩定性，必須作為安全防護的重點。避免網絡威脅的最直接辦法就是減少與外部網絡的連接，并在網絡邊界處采取嚴格防侵入措施。如圖1所示，二灘水電站安全I區的主要防護措施如下：

（1）安全I區內系統在本站范圍內不與任何外部網絡連接，確保其網絡的獨立性。

（2）在安全I區與省調的縱向通信網絡邊界處裝設衛士通SJW77電力專用縱向加密認證裝置。該裝置采用國密辦批準的專用密碼算法以及電力系統安全防護專家組制定的特有封裝格式，在協議IP層實現數據的封裝、機密性、完整性和數據源鑒別等安全功能。

（3）在安全I區與成都集控中心縱向通信網絡邊界處裝設南瑞NetKeeper-2000縱向加密認證網關。該設備采用國密碼辦批準的電力系統專用加密芯片實現網絡層數據的加密，所有密鑰協商和密文通信均采用專用的安全協議。提供長度高達128位加密算法，抗攻擊性強，破解難度高，充分保證數據的機密性。提供長度高達160位密鑰散列算法，抗攻擊強度高，嚴格防止用戶篡改數據，保證數據的完整性。

（4）配置一套安全審計TDS管理系統。其針對站內監控系統網絡及監控系統與省調、集控中心網絡邊界，可通過全面漏洞掃描探測、操作系統信息采集與分析、日志分析、木馬檢查、安全攻擊仿真、網絡協議分析、系統性能壓力、滲透測試、安全配置檢查、進程查看分析、數據恢復取證（定制）、網絡行為分析等多個維度對網絡安權檢測分析，一旦發現網絡威脅，系統會迅速通過網絡備份與災難恢復系統進行快速恢復。

（5）監控系統主服務器采用UNIX操作系統，降低病毒風險。

（6）在每臺操作員站及工程師站裝設殺毒軟件，并及時更新數據庫。

（7）移動工程師站接入安全I區時，必須通過硬件防火墻

通過上述多項安全防護措施，二灘水電站安全I區能有效防止惡意攻擊、數據篡改及數據竊取等網絡威脅，符合二次系統安全防護的整體要求。

3.2 二灘水電站二次系統安全Ⅱ區安全防護措施

二次系統安全防護Ⅱ區包括電站側能量計費系統、安控信息、及保護信息。其數據通信使用電力調度數據網的非實時子網，數據采集頻度是分鐘級或小時級，為非控制網，其二次安防按照遠程撥號訪問生產控制大區的防護策略，設防等級低于安全Ⅰ區。如圖1所示，安全Ⅱ區的防護措施如下：

（1）安控裝置與保護信息裝置之間裝設華為USG2000型防火墻，能有效起到入侵防御、防病毒等安全防護，確保安控裝置的安全性。

（2）二灘水電站安全Ⅱ區與省調網絡邊界裝設華為USG2000型防火墻，確保站內安全Ⅱ區不受來自外網絡的網絡入侵、病毒等網絡威脅。

（3）安全Ⅱ區網絡除省調邊界外，與外網隔離，不采用WEB服務器，保證專網專用，避免來自其他網絡的網絡安全威脅。

通過上述多項安全防護措施，二灘水電站安全Ⅱ區能有效防止來自內部及外部的網絡威脅，符合二次系統安全防護的整體要求。

3.3 二灘水電站二次系統安全Ⅲ區安全防護措施

二次系統安全Ⅲ區主要是工業電視系統。工業電視系統作為全站設備輔助監視的一個重要手段，能很好地為雅礱江公司集控中心在電站無人值班時，及時監控現場設備運行情況，大幅提升電站運行的可靠性。其安全防護特點雖不如安全Ⅰ區、Ⅱ區嚴格，但也不能忽視。二次系統安全Ⅲ區同樣采用專網專用，不與Ⅰ區、Ⅱ區相連，在與雅礱江公司集控中心網絡邊界處裝設華為USG2000型防火墻，保證安全Ⅲ區免受網絡入侵和控制。

4 二灘水電站二次系統安全防護系統運行管理

安全管理是電力系統安全的重要保障，二灘水電站的二次系統分布廣，不易管理，所以“三分技術，七分管理”中管理亦不能忽視。二灘水電站是國內首座通過NOSCAR認證的大型水電站，其對安全的重視尤為突出，針對二次系統安全防護的重要性，通過制度管理來保證其安全運行。

（1）實行安全責任追究制度，出現問題嚴格按照制度進行責任追究和考核。

（2）借助電站NOSA安全體系建設，強化員工安全意識，明確二次安防系統的重要性。

（3）加強用戶權限管理，運行人員僅具備查看、操作權限，參數配置、修改，系統維護等權限由檢修監控班統一管理。

（4）針對系統維護、消缺等工作制定嚴格工序卡，專業人員必須按照工序卡來執行。

（5）系統數據提取采用光盤刻錄方式進行，杜絕其他移動儲存設備的接入。

（5）建立機房管理制度并嚴格執行。

（6）制定應急預案，確保二次系統故障后能迅速、有效處置，限制、減小影響范圍。

5 結語

隨著水電站自動化水平的不斷提升，遙測、遙信、遙控和遙調設備的不斷增加，網絡安全威脅的不斷多元化，二次系統的安全足以影響整個電站的安全生產，所以二次系統安全防護需要技術不斷升級，管理不斷加強，保證電力生產安全。

二灘水電站二次系統安全防護工作按照國家電力二次系統安全防護的總體原則，結合電站自身情況，通過加密認證技術、防火墻技術、入侵檢測技術和網絡防病毒技術，對站內二次系統進行了有效防護，能有效保證其安全、穩定運行。

參考文獻：

[1]王群，潘亮.紫平鋪水力發電廠二次系統安全防護簡介[J].機電技術，2012，（5）：57-59.