導語：如何才能寫好一篇網(wǎng)絡安全等級劃分，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

一、國家等級保護標準

我國的信息安全等級保護工作起步于20世紀90年代，隨后相繼頒布了多個等級保護標準，具體可分為基礎性標準、定級標準、建設標準、測評類標準和管理類標準?；A性標準包括《計算機信息系統(tǒng)安全等級保護劃分準則》（GB17859-1999）、《信息系統(tǒng)安全等級保護實施指南》（GB25058-2010）以及《信息安全等級保護管理辦法》（公通字[2007]43號）等；定級標準有《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）等；建設標準包括《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）、《信息系統(tǒng)通用安全技術要求》（GB/T20271-2006）以及《信息系統(tǒng)等級保護安全設計技術要求》（GB/T25070-2010）等；測評類標準主要有《信息系統(tǒng)安全等級保護測評要求》（GB/T28448-2012）和《信息系統(tǒng)安全等級保護測評過程指南》（GB/T28449-2012）等；管理類標準主要有《信息系統(tǒng)安全管理要求》（GB/T20269-2006）以及《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）等。針對單位的普通信息安全工作人員而言，涉及較多的標準主要有定級標準《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）與建設標準《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）等。《信息系統(tǒng)安全等級保護定級指南》主要用于指導信息系統(tǒng)的等級劃分和評定，將信息系統(tǒng)安全保護等級劃分為5級，定級要素有兩個：等級保護對象受到破壞時所侵害的客體以及客體受到侵害程度。定級要素與信息系統(tǒng)安全保護等級的關系見表1。由表1可知，三級及以上系統(tǒng)受到侵害時可能會影響國家安全，而一級、二級系統(tǒng)受到侵害時只會對社會秩序或者個人權益產(chǎn)生影響。在實際系統(tǒng)定級過程中，要從系統(tǒng)的信息安全和服務連續(xù)性兩個維度分別定級，最后按就高原則給系統(tǒng)進行定級?！缎畔⑾到y(tǒng)安全等級保護基本要求》是針對不同安全保護等級信息系統(tǒng)應該具有的基本安全保護能力提出的安全要求，根據(jù)實現(xiàn)方式的不同，基本安全要求分為基本技術要求和基本管理要求兩大類等級保護基本要求共有10個部分，技術要求和管理要求各占5個部分。其中，技術類安全要求又細分三個類型。信息安全類（S類）：為保護數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改的信息安全類要求。服務保證類（A類）：保護系統(tǒng)連續(xù)正常的運行，免受對系統(tǒng)的未授權修改、破壞而導致系統(tǒng)不可用的服務保證類要求。通用安全保護類要求（G類）：既考慮信息安全類，又考慮服務保障類，最后選擇就高原則。

二、金融行業(yè)信息安全等級保護標準及必要性分析

1.行業(yè)標準金融行業(yè)作為信息化行業(yè)的一個重要組成部分，金融行業(yè)信息系統(tǒng)安全直接關系到國家安全、社會穩(wěn)定以及公民的利益等。為落實國家對金融行業(yè)信息系統(tǒng)信息安全等級保護相關工作要求，加強金融行業(yè)信息安全管理和技術風險防范，保障金融行業(yè)信息系統(tǒng)信息安全等級保護建設、測評、整改工作順利開展，中國人民銀行針對金融行業(yè)的信息安全問題，在2012年了三項行業(yè)標準：《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》、《金融行業(yè)信息系統(tǒng)信息安全等級保護測評指南》和《金融行業(yè)信息安全等級保護測評服務安全指引》。2.必要性分析網(wǎng)絡安全法明確規(guī)定國家實行網(wǎng)絡安全等級保護制度，開展等級保護工作是滿足國家法律法規(guī)的合規(guī)需求。金融行業(yè)開展信息安全等級保護工作的必要性有以下3點。（1）理清安全等級，實現(xiàn)分級保護金融行業(yè)各類業(yè)務系統(tǒng)眾多，系統(tǒng)用途和服務對象差異性大，依據(jù)等級保護根據(jù)系統(tǒng)可用性和數(shù)據(jù)重要性開展分級的定級要求，可以有效梳理和分析現(xiàn)有的信息系統(tǒng)，識別出重要的信息系統(tǒng)，將不同系統(tǒng)按照不同重要等級進行分級，按照等級開展適當?shù)陌踩雷o，有效保證了有限資源充分發(fā)揮作用。（2）明確保護標準，實現(xiàn)規(guī)范保護金融行業(yè)信息系統(tǒng)等級保護標準有效解決了金融行業(yè)信息系統(tǒng)保護無標準可依的問題。在信息系統(tǒng)全生命周期中注重落實等級保護相關標準和規(guī)范要求，在信息系統(tǒng)需求、信息系統(tǒng)建設和信息系統(tǒng)維護階段參照、依據(jù)等級保護的標準和要求，基本實現(xiàn)信息系統(tǒng)安全技術措施的同步規(guī)劃、同步建設、同步使用，從而保證重要的信息系統(tǒng)能夠抵御網(wǎng)絡攻擊而不造成重大損失或影響。（3）定期開展測評，實現(xiàn)有效保護按照等級保護要求，每年對三級以上信息系統(tǒng)開展測評工作，使得重要信息系統(tǒng)能夠對系統(tǒng)的安全性實現(xiàn)定期回顧、有效評估，從整體上有效發(fā)現(xiàn)信息系統(tǒng)存在的安全問題。通過每年開展等級保護測評工作，持續(xù)優(yōu)化金融行業(yè)重要信息系統(tǒng)安全防護措施，有效提高了重要信息系統(tǒng)的安全保障能力，加強了信息系統(tǒng)的安全管理水平，保障信息系統(tǒng)的安全穩(wěn)定運行以及對外業(yè)務服務的正常開展。

三、網(wǎng)絡安全法作用下標準的發(fā)展

隨著等保制度上升為法律層面、等保的重要性不斷增加、等保對象也在擴展以及等保的體系也在不斷升級，等級保護的發(fā)展已經(jīng)進入到了2.0時代。為了配合網(wǎng)絡安全法的出臺和實施，滿足行業(yè)部門、企事業(yè)單位、安全廠商開展云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新技術、新應用環(huán)境下等級保護工作需求，公安部網(wǎng)絡安全保衛(wèi)局組織對原有的等保系列標準進行修訂，主要從三個方面進行了修訂：標準的名稱、標準的結構以及標準的內(nèi)容。1.標準名稱的變化為了與網(wǎng)絡安全法提出的“網(wǎng)絡安全等級保護制度”保持一致性，等級保護標準由原來的“信息系統(tǒng)安全等級”修改為“網(wǎng)絡安全等級”。例如：《信息系統(tǒng)安全等級保護基本要求》修改為《網(wǎng)絡安全等級保護基本要求》，《信息系統(tǒng)安全等級保護定級指南》修改為《網(wǎng)絡安全等級保護定級指南》等。2.標準結構的變化為了適應云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護工作的開展，等級保護基本要求標準、等級保護測評要求標準的結構均由原來的一部分變?yōu)榱糠纸M成，分別為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求、工業(yè)控制系統(tǒng)安全擴展要求與大數(shù)據(jù)安全擴展要求。3.標準內(nèi)容的變化各級技術要求分類和管理要求的分類都發(fā)生了變化。其中，技術要求“從面到點”提出安全要求，對機房設施、通信網(wǎng)絡、業(yè)務應用等提出了要求；管理要求“從元素到活動”，提出了管理必不可少的制度、機構和人員三要素，同時也提出了建設過程和運維過程中的安全活動要求。

篇2

建設財政信息的安全系統(tǒng)是財政管理改革發(fā)展中的要求。當下財政信息化的應用在全國各地的財政系統(tǒng)中正逐漸深入，覆蓋了各級財政部門和面向社會公眾的財政信息系統(tǒng)。可以說財政信息系統(tǒng)是各級財政系統(tǒng)進行信息共享的平臺，目前由于大量需要保護的數(shù)據(jù)和信息存儲在財政信息系統(tǒng)中，所以對系統(tǒng)中運行的安全保障提出了更高的要求。

【關鍵詞】等級保護 財政信息系統(tǒng) 信息安全

在財政信息系統(tǒng)安全建設的過程中，由于系統(tǒng)復雜、數(shù)據(jù)安全的屬性要求存在著差異，導致系統(tǒng)在不同程度上存在一定的脆弱性；在系統(tǒng)安全的規(guī)劃和設計中由于對策略認識不夠，以致風險延續(xù)到信息系統(tǒng)的運行和維護管理階段。文章從我國信息安全等級體系的規(guī)范和標準著眼，對財政信息系統(tǒng)的安全保護等級模型進行了分析，并提出了進一步完善財政信息系統(tǒng)安全的措施。

1 信息安全的保護等級及其基本流程

目前信息安全技術和管理水平在不斷地提升和發(fā)展，人們逐漸意識到要想保障信息系統(tǒng)的安全，就要不斷完善信息安全管理和技術體系，構建完整的信息系統(tǒng)，并且為了把信息和信息系統(tǒng)的殘留風險降低到最小級別，就要提高信息安全應急處置的能力。由于當前不同的信息和信息系統(tǒng)，對其安全級別的要求也不盡相同，應將管理策略、技術、工程過程等多個方面相結合，同時進行客觀的綜合考慮，對信息系統(tǒng)的安全分類需要充分運用信息安全等級保護的思想和方式。

1.1 信息系統(tǒng)安全保護等級

信息系統(tǒng)安全保護等級在《信息安全技術――信息系統(tǒng)安全等級保護基本要求》中劃分為五個等級，信息系統(tǒng)安全保護等級的第一級是用戶自主保護等級，用戶可根據(jù)自主訪問控制、身份鑒別和數(shù)據(jù)的完整性這三個條款進行判斷；第二級是系統(tǒng)審計保護級，在第一級的基礎上增加了兩個條款，分別是客體重用和審計；第三級是安全標記保護級，在第二級的基礎上增加了強制訪問控制、標記等條款；第四級是結構化保護級，在第三級的基礎上增加了可信路徑和隱蔽信道分析；第五級是訪問驗證保護級，在第四級的基礎上增加了可信恢復條款。這五個等級的基本內(nèi)容以信息安全的屬性為主，即網(wǎng)絡安全、系統(tǒng)安全、應用安全、物理安全以及管理安全等五個方面，根據(jù)其不同要求，對安全信息系統(tǒng)的構建、測評和運行過程進行管理和掌控，進而實現(xiàn)對不同信息的類別按照不同的要求進行等級安全保護的目標，盡管不同等級的條款中有些內(nèi)容是相似的，但在一定程度上仍然存在著差異，安全保護能力的要求會隨著保護等級的提升而逐漸增強。

1.2 信息系統(tǒng)安全等級保護實施的流程

信息系統(tǒng)安全等級保護實施的基本流程包括五個階段，分別是定級階段、備案階段、測評階段、整改階段、運行和維護階段。其中等級保護工作的基本前提是系統(tǒng)劃分和定級工作，定級工作必須要首先確定，否則后面的工作將會無從做起；備案階段中，當專家評審與自定級不同時，要重新定級，才能夠進行備案工作；測評階段中指定的第三方測評機構必須是權威機構，需要公正公平地對系統(tǒng)進行測評；整改和復測階段中對于整改的項目要通過等級保護測評和風險評估的方法進行分析。等級保護工作要隨著信息系統(tǒng)建設的變化和發(fā)展而做出不斷循環(huán)的工作。

2 財政信息系統(tǒng)的等級保護

2.1 財政信息系統(tǒng)安全的架構

在財政信息系統(tǒng)安全的架構模式中，既包含計算機網(wǎng)絡通信和環(huán)境平臺、又有多種相關的業(yè)務平臺，并且這些應用的安全等級各不相同，所以采取的安全保護策略也有所不同。財政信息系統(tǒng)規(guī)模大、系統(tǒng)復雜，按照系統(tǒng)的功能可以分為核心數(shù)據(jù)中心、采購管理、預算管理、業(yè)務門戶網(wǎng)站等多個子系統(tǒng)，要按照業(yè)務應用數(shù)據(jù)的不同性質(zhì)進行不同安全等級的保護?？傊鶕?jù)財政信息系統(tǒng)的實際情況，構建一個相對完善的財政信息系統(tǒng)模型。

2.2 財政信息系統(tǒng)安全的等級區(qū)域的劃分

財政信息系統(tǒng)安全等級保護要根據(jù)系統(tǒng)的特點和性質(zhì)進行不同區(qū)域的安全劃分，以實現(xiàn)不同強度下的安全保護。針對財政信息系統(tǒng)中不同子系統(tǒng)的實際情況，可以將財政信息網(wǎng)絡劃分為不同的安全保密等級區(qū)域，分別為業(yè)務核心區(qū)，辦公用戶區(qū)域、專線用戶區(qū)域、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)信息交換的區(qū)域等。

3 財政信息系統(tǒng)的等級的保護措施

在財政信息系統(tǒng)安全等級保護的建設工作中，目前采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的方式，從物理上把財政業(yè)務中各個子系統(tǒng)與對外服務區(qū)進行劃分，分別劃分到不同的子網(wǎng)，在財政業(yè)務的防火墻上可以設置權限為允許的策略，源地址是內(nèi)部桌面，目的地址是業(yè)務服務器，對于其他服務的子系統(tǒng)，同樣需要防火墻進行隔離，使各子系統(tǒng)都有充分的隔離和清晰的界限，同時可以配置漏洞掃描設備的檢測設備，不定期對各個服務器進行掃描。

數(shù)據(jù)備份能夠進一步保障財政信息系統(tǒng)的安全，在財政信息系統(tǒng)應用中需要配備存儲備份設備以實現(xiàn)數(shù)據(jù)自動備份，一旦系統(tǒng)出現(xiàn)故障，通過數(shù)據(jù)備份即可恢復。為了進一步支持財政信息系統(tǒng)的穩(wěn)步運行，可建立一個異地財政信息數(shù)據(jù)備份中心，以防財政信息系統(tǒng)發(fā)生災難性故障時實現(xiàn)異地遠程恢復的功能。

在財政信息系統(tǒng)安全保障體系建立的過程中，要嚴格依照等級保護下的安全管理制度、系統(tǒng)建設制度和相關財政系信息管理的法律及標準，在建立完善的網(wǎng)絡安全管理機制的同時明確管理人員的職責。

4 結論

綜上所述，文章從我國信息安全等級體系的規(guī)范和標準著眼，對財政信息系統(tǒng)的安全保護等級模型進行了分析，并提出了進一步完善財政信息系統(tǒng)安全的有效措施。在財政信息建設的過程中，設計出一個科學合理、全面的信息安全解決方案是一個關鍵的任務，要從我國信息安全等級體系的規(guī)范和標準著眼，對財政信息系統(tǒng)安全保障的體系進行深入的探討，以達到切實保護財政信息系統(tǒng)安全的目的。

參考文獻

[1]龔雷.應用安全透明支撐平臺體系結構與模型研究[D].鄭州：信息工程大學，2013.

[2]王會.基于等級保護的黨校網(wǎng)絡安全體系的研究與應用[D].廣州：中山大學，2012.

[3]劉莎莎.NN市委辦政務信息系統(tǒng)安全等級保護策略研究[D].南寧：廣西大學，2012.

[4]高朝勤.信息系統(tǒng)等級保護中的多級安全技術研究[D].北京：北京工業(yè)大學，2012.

篇3

內(nèi)網(wǎng)的安全風險

目前，整個信息安全狀況存在日趨復雜和混亂的趨向：誤報率增大，安全投入不斷增加，維護與管理更加復雜和難以實施、信息系統(tǒng)使用效率大大降低，對新的攻擊入侵毫無防御能力，尤其是對內(nèi)部沒有重視防范。

據(jù)美國FBI統(tǒng)計，83%的信息安全事故為內(nèi)部人員和內(nèi)外勾結所為，而且呈上升的趨勢。從這一數(shù)字可見，內(nèi)網(wǎng)安全的重要性不容忽視。據(jù)公安部最新統(tǒng)計，70%的泄密犯罪來自于內(nèi)部，電腦應用單位80%未設立相應的安全管理系統(tǒng)、技術措施和制度。

中國科學院研究生院信息安全國家重點實驗室趙戰(zhàn)生教授表示，目前我國信息與網(wǎng)絡安全的防護能力處于發(fā)展的初級階段，許多應用系統(tǒng)處于不設防狀態(tài)。國防科技大學的一項研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構是攻擊重點。

“當前的信息與網(wǎng)絡安全研究，處于忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?！惫膊烤W(wǎng)絡安全保衛(wèi)局處長郭啟全認為，“要徹底解決這些迫在眉睫的問題，歸根結底取決于信息安全保障體系的建設。目前，我們迫切需要根據(jù)國情，從安全體系整體著手，在建立全方位的防護體系的同時，完善法律體系并加強管理體系。只有這樣，才能保證國家信息化的健康發(fā)展，確保國家安全和社會穩(wěn)定?！?/p>

2003年，國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》（簡稱“27號文件”），明確要求我國信息安全保障工作實行等級保護制度，2007年出臺《信息安全等級保護管理辦法》（簡稱“43號文件”）。隨著兩項標志性文件的下發(fā)，2007年被稱為等級保護的啟動元年；由于要對現(xiàn)有信息安全系統(tǒng)進行加固，大量產(chǎn)品和服務采購即將開始，2008年則被普遍視為等級保護采購元年。

等級保護政策是信息安全保障的主要環(huán)節(jié)。在等級保護解決方案中，內(nèi)網(wǎng)安全產(chǎn)品主要作用是對終端進行防護。

內(nèi)網(wǎng)是核心

“事實上，信息安全等級保護的核心思想就是根據(jù)不同的信息系統(tǒng)保護需求，構建一個完整的信息安全保護體系。分析《計算機信息系統(tǒng)安全保護等級劃分準則（GB 17859-1999）》可以看出，信息安全等級保護的重點在于內(nèi)網(wǎng)安全措施的建設和落實。建立一個完整的內(nèi)網(wǎng)安全體系，是信息系統(tǒng)在安全等級保護工作中的一個重點?！惫鶈⑷f。

內(nèi)網(wǎng)安全理論的提出主要基于兩個根本要素，一是企事業(yè)單位業(yè)務工作的高度信息化，二是內(nèi)網(wǎng)中主機數(shù)量的大量增加。由此可見，內(nèi)網(wǎng)安全從其誕生之日起，對主機系統(tǒng)安全的關注就從來沒有忽略過，采用了包括身份認證、授權管理和系統(tǒng)保護等手段對主機進行了多方面的防護。這與等級保護的思想也是相一致的。

鼎普科技股份有限公司總經(jīng)理于晴認為，大多數(shù)用戶網(wǎng)絡拓撲結構相似，用戶對網(wǎng)絡的安全管理比較一致，但由于用戶使用習慣的不同，對終端的管理則千差萬別。

于晴認為，內(nèi)網(wǎng)安全領域的關鍵技術主要有內(nèi)部網(wǎng)絡接入、桌面安全管理和內(nèi)網(wǎng)安全審計等。這些本質(zhì)上的問題，應該從系統(tǒng)層面來解決，以信息安全等級保護為基礎。內(nèi)部網(wǎng)絡接入基于等級保護技術，分別從終端自身的安全性評估，到網(wǎng)絡地址的合法性，讓信息系統(tǒng)“對號入座”。桌面安全管理側重于桌面使用者的行為安全，對終端用戶的電腦行為進行監(jiān)控、管理與控制，來保障終端的安全。內(nèi)網(wǎng)安全審計從主機和網(wǎng)絡兩個方面對網(wǎng)絡數(shù)據(jù)和系統(tǒng)操作進行記錄和恢復，強調(diào)出現(xiàn)問題后的案情追溯。

篇4

關鍵詞：等級防護；電力企業(yè)；網(wǎng)絡安全建設

中圖分類號： F407 文獻標識碼： A 文章編號：

引言

信息化是一把“雙刃劍”，在提高企業(yè)工作效率、管理水平以及整體競爭能力的同時，也給企業(yè)帶來了一定的安全風險，并且伴隨著企業(yè)信息化水平的提高而逐漸增長。因此，提升企業(yè)的信息系統(tǒng)安全防護能力，使其滿足國家等級保護的規(guī)范性要求，已經(jīng)成為現(xiàn)階段信息化工作的首要任務。對于電力企業(yè)的信息系統(tǒng)安全防護工作而言，應等級保護要求，將信息管理網(wǎng)絡劃分為信息內(nèi)網(wǎng)與信息外網(wǎng)，并根據(jù)業(yè)務的重要性劃分出相應的二級保護系統(tǒng)與三級保護系統(tǒng)，對三級系統(tǒng)獨立成域，其余二級系統(tǒng)統(tǒng)一成域，并從邊界安全、主機安全、網(wǎng)絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。

1現(xiàn)階段電力企業(yè)網(wǎng)絡風險分析

1.1服務器區(qū)域缺少安全防護措施

大部分電力企業(yè)的服務器都是直接接入本單位的核心交換機，然而各網(wǎng)段網(wǎng)關都在核心交換機上，未能對服務器區(qū)域采取有效的安全防護措施。

1.2服務器區(qū)域和桌面終端區(qū)域之間的劃分不明確

因服務器和桌面終端的網(wǎng)關都在核心交換機上，不能實現(xiàn)對于域的有效劃分。

1.3網(wǎng)絡安全建設缺乏規(guī)劃

就現(xiàn)階段的電力企業(yè)網(wǎng)絡安全建設而言，普遍存在著缺乏整體安全設計與規(guī)劃的現(xiàn)狀，使整個網(wǎng)絡系統(tǒng)成為了若干個安全產(chǎn)品的堆砌物，從而使各個產(chǎn)品之間失去了相應的聯(lián)動，不僅在很大程度上降低了網(wǎng)絡的運營效率，還增加了網(wǎng)絡的復雜程度與維護難度。

1.4系統(tǒng)策略配置有待加強

在信息網(wǎng)絡中使用的操作系統(tǒng)大都含有相應的安全機制、用戶與目錄權限設置以及適當?shù)陌踩呗韵到y(tǒng)等，但在實際的網(wǎng)絡安裝調(diào)試過程中，往往只使用最寬松的配置，然而對于安全保密來說卻恰恰相反，要想確保系統(tǒng)的安全，必須遵循最小化原則，沒有必要的策略在網(wǎng)絡中一律不配置，即使有必要的，也應對其進行嚴格限制。

1.5缺乏相應的安全管理機制

對于一個好的電力企業(yè)網(wǎng)絡信息系統(tǒng)而言，安全與管理始終是分不開的。如果只有好的安全設備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實施，很難實現(xiàn)電力企業(yè)網(wǎng)絡信息系統(tǒng)的安全運營。對于安全管理工作而言，其目的就是確保網(wǎng)絡的安全穩(wěn)定運行，并且其自身應該具有良好的自我修復性，一旦發(fā)生黑客事件，能夠在最大程度上挽回損失。因此，在現(xiàn)階段的企業(yè)網(wǎng)絡安全建設工作過程中，應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級保護要求下電力企業(yè)網(wǎng)絡安全建設防護的具體措施

2.1突出保護重點

對于電力企業(yè)而言，其投入到信息網(wǎng)絡安全上的資源是一定的。從另外一種意義上講，當一些設備存在相應的安全隱患或者發(fā)生破壞之后，其所產(chǎn)生的后果并不嚴重，如果投入和其一樣重要的信息資源來保護它，顯然不滿足科學性的要求。因此，在保護工作過程中，應對需要保護的信息資產(chǎn)進行詳細梳理，以企業(yè)的整體利益為出發(fā)點，確定出重要的信息資產(chǎn)或系統(tǒng)，然后將有限的資源投入到對于這些重要信息資源的保護當中，在這些重要信息資源得到有效保護的同時，還可以使工作效率得到很大程度的提高。

2.2貫徹實施3層防護方案

在企業(yè)網(wǎng)絡安全建設過程中，應充分結合電力企業(yè)自身網(wǎng)絡化特點，積極貫徹落實安全域劃分、邊界安全防護、網(wǎng)絡環(huán)境安全防護的3層防護設計方案。在安全防護框架的基礎上，實行分級、分域與分層防護的總體策略，以充分實現(xiàn)國家等級防護的基本要求。

(1)分區(qū)分域。統(tǒng)一對直屬單位的安全域進行劃分，以充分實現(xiàn)對于不同安全等級、不同業(yè)務類型的獨立化與差異化防護。

(2)等級防護。遵循“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立成域”的劃分原則，并根據(jù)信息系統(tǒng)的定級情況，進行等級安全防護策略的具體設計。

(3)多層防護。在此項工作的開展過程中，應從邊界、網(wǎng)絡環(huán)境等多個方面進行安全防護策略的設計工作。

2.3加強安全域劃分

安全域是指在同一環(huán)境內(nèi)具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)。加強對于安全域的劃分，可以實現(xiàn)以下目標：

(1)實現(xiàn)對復雜問題的分解。對于信息系統(tǒng)的安全域劃分而言，其目的是將一個復雜的安全問題分解成一定數(shù)量小區(qū)域的安全防護問題。安全區(qū)域劃分可以有效實現(xiàn)對于復雜系統(tǒng)的安全等級防護，是實現(xiàn)重點防護、分級防護的戰(zhàn)略防御理念。

(2)實現(xiàn)對于不同系統(tǒng)的差異防護?；A網(wǎng)絡服務、業(yè)務應用、日常辦公終端之間都存在著一定的差異，并且能夠根據(jù)不同的安全防護需求，實現(xiàn)對于不同特性系統(tǒng)的歸類劃分，從而明確各域邊界，對相應的防護措施進行分別考慮。

(3)有效防止安全問題的擴散。進行安全區(qū)域劃分，可以將其安全問題限定在其所在的安全域內(nèi)，從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中，還應充分遵循區(qū)域劃分的原則，將直屬單位的網(wǎng)絡系統(tǒng)統(tǒng)一劃分為相應的二級服務器域與桌面終端域，并對其分別進行安全防護管理。在二級系統(tǒng)服務器域與桌面域間，采取橫向域間的安全防護措施，以實現(xiàn)域間的安全防護。

2.4加強對于網(wǎng)絡邊界安全的防護

對于電力企業(yè)的網(wǎng)絡邊界安全防護工作而言，其目的是使邊界避免來自外部的攻擊，并有效防止內(nèi)部人員對外界進行攻擊。在安全事件發(fā)生之前，能夠通過對安全日志與入侵事件的分析，來發(fā)現(xiàn)攻擊企圖，在事件發(fā)生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。

(1)加強對于縱向邊界的防護。在網(wǎng)絡出口與上級單位連接處設立防火墻，以實現(xiàn)對于網(wǎng)絡邊界安全的防護。

(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區(qū)域通信數(shù)據(jù)流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中，應根據(jù)網(wǎng)絡邊界的數(shù)據(jù)流制定出相應的訪問控制矩陣，并依此在邊界網(wǎng)絡訪問控制設備上設定相應的訪問控制規(guī)則。

2.5加強對于網(wǎng)絡環(huán)境的安全防護

(1)加強邊界入侵檢測。以網(wǎng)絡嗅探的方式可以截獲通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，并通過相應的特征分析、異常統(tǒng)計分析等方法，及時發(fā)現(xiàn)并處理網(wǎng)絡攻擊與異常安全事件。在此過程中，設置相應的入侵檢測系統(tǒng)，能夠及時發(fā)現(xiàn)病毒、蠕蟲、惡意代碼攻擊等威脅，能夠有效提高處理安全問題的效率，從而為安全問題的取證提供有力依據(jù)。

(2)強化網(wǎng)絡設備安全加固。安全加固是指在確保業(yè)務處理正常進行的情況下，對初始配置進行相應的優(yōu)化，從而提高網(wǎng)絡系統(tǒng)的自身抗攻擊性。因此，在經(jīng)過相應的安全評估之后，應及時發(fā)現(xiàn)其中隱藏的安全問題，對重要的網(wǎng)絡設備進行必要的安全加固。

(3)強化日志審計配置。在此項工作的開展過程中，應根據(jù)國家二級等級保護要求，對服務器、安全設備、網(wǎng)絡設備等開啟審計功能，并對這些設備進行日志的集中搜索，對事件進行定期分析，以有效實現(xiàn)對于信息系統(tǒng)、安全設備、網(wǎng)絡設備的日志記錄與分析工作。

結語

綜上所述，對于現(xiàn)階段電力企業(yè)信息網(wǎng)絡而言，網(wǎng)絡安全建設是一個綜合性的課題，涉及到技術、使用、管理等許多方面，并受到諸多因素的影響。在電力企業(yè)網(wǎng)絡安全建設過程中，應加強對于安全防護管理體系的完善與創(chuàng)新，以嚴格的管理制度與高素質(zhì)管理人才，實現(xiàn)對于信息系統(tǒng)的精細化、準確化管理，從而切實促進企業(yè)網(wǎng)絡安全建設的健康、穩(wěn)步發(fā)展。

參考文獻：

[1]張蓓，馮梅，靖小偉，劉明新.基于安全域的企業(yè)網(wǎng)絡安全防護體系研究[J].計算機安全,2010(4).

篇5

 

0 引 言

 

隨著信息化進程的不斷加快，計算機網(wǎng)絡已在各個領域得到廣泛應用，并給人類的生產(chǎn)、生活帶來了極大的便利和巨大的經(jīng)濟效益;但與此同時，計算機網(wǎng)絡安全問題卻日益突出，如何客觀、科學地評價計算機網(wǎng)絡安全已成為計算機網(wǎng)絡安全研究領域的重要課題。針對此問題，國內(nèi)許多學者都進行了相關研究并提出了多種評價方法，如層次分析法、模糊綜合評價法、灰色評價法等主觀評價方法[1]。主觀評價法在確定權重時隨意性大，受專家的經(jīng)驗和知識等因素影響，很難得出被廣為認可的結論。鑒于此，很多學者提出了基于神經(jīng)網(wǎng)絡的評價方法，并取得了較好的評價效果[2?5]。

 

但是，神經(jīng)網(wǎng)絡方法存在一些固有的缺點，如網(wǎng)絡的結構不好確定、收斂速度慢、易陷入局部極值、過學習、推廣能力不強和訓練需要大量數(shù)據(jù)樣本等問題。支持向量機(Support Vector Machine，SVM)是V.Vapnik等人于20世紀90年代在統(tǒng)計學習理論的基礎上發(fā)展起來的一種新型機器學習算法，其克服了神經(jīng)網(wǎng)絡方法很多固有的缺點[6]。它通過結構風險最小化準則較好地解決了以往許多機器學習方法中高維數(shù)、非線性和小樣本等難題，具有訓練時間短、全局優(yōu)化、泛化性能好、適應性強和抗干擾能力強等優(yōu)點，在預測、模式識別、系統(tǒng)辨識、故障診斷、優(yōu)化控制和數(shù)據(jù)挖掘等領域得到了廣泛的應用[7]。支持向量回歸機(Support Vector Regression，SVR)是支持向量機在回歸領域的應用，被廣泛應用于各種預測問題并取得了非常理想的效果。因此，本文利用支持向量回歸機來解決計算機網(wǎng)絡安全評價問題。

 

1 計算機網(wǎng)絡安全評價指標體系的構建

 

建立科學、合理的評價指標體系是進行計算機網(wǎng)絡安全評價的基礎和前提，影響計算機網(wǎng)絡安全評價的因素有很多，并且多種因素相互影響。評價指標過多或過少都會影響評價的效果，評價指標過多，存在重復性，會受干擾;評價指標過少，可能所選的指標缺乏足夠的代表性，會產(chǎn)生片面性。因此，構建計算機網(wǎng)絡安全評價指標體系需要遵循指標體系構建的有關原則。

 

1.1 指標體系構建的原則

 

(1) 系統(tǒng)性原則。指標體系應能全面反映計算機網(wǎng)絡安全的本質(zhì)特征，指標體系的整體評價功能大于各分項指標的簡單總和。應注意使指標體系層次清楚、結構合理、相互關聯(lián)、協(xié)調(diào)一致，要抓住主要因素，以保證評價的全面性和可信度。

 

(2) 一致性原則。評價指標體系應與計算機網(wǎng)絡安全評價目標一致，從而充分體現(xiàn)評價活動的意圖，所選的指標既能反映直接效果，又要反映間接效果。

 

(3) 獨立性原則。同層次上的指標不應具有包含關系，保證指標能從不同方面反映計算機網(wǎng)絡安全的實際情況。

 

(4) 科學性原則。以科學理論為指導，以計算機網(wǎng)絡安全要素以及其本質(zhì)聯(lián)系為依據(jù)，定性與定量分析相結合，正確反映計算機網(wǎng)絡安全整體和內(nèi)部相互關系的特征。

 

(5) 可比性原則。計算機網(wǎng)絡安全評價的指標體系可比性越強，評價結果的可信度就越大。評價指標和評價標準的制定要符合客觀實際，便于比較。

 

1.2 計算機網(wǎng)絡安全評價指標體系本文在深入分析計算機網(wǎng)絡安全影響因素的基礎上，根據(jù)指標體系構建的原則，從管理安全、邏輯安全和物理安全角度出發(fā)，構建了如圖1所示的計算機網(wǎng)絡安全評價指標體系。為了便于分析計算，管理安全、邏輯安全和物理安全三個二級指標分別用A，B，C代替，二級指標下的三級指標分別用A1～A4，B1～B9和C1～C6代替。

 

2 計算機網(wǎng)絡安全評價指標的規(guī)范化和安全等級

 

在進行計算機網(wǎng)絡安全評價前，必須對通過各種方法得到的指標值進行規(guī)范化處理。指標包括定性指標和定量指標。一般來說，定性指標和定量指標的規(guī)范化方法有所不同。對于定性指標，由于其可能取值有多種，一般是通過建立一一映射或定性等級量化表來進行規(guī)范化;對于定量指標，一般是把指標值映射為上、下限分別為1和0的實數(shù)，這種數(shù)學變換關系是一個從實數(shù)集[R]到[0，1]的函數(shù)，稱為指標的規(guī)范化函數(shù)。定性指標也叫模糊性指標，通過專家打分可以將定性指標轉化為確定指標，這種方法在實踐中經(jīng)常被采用。定性指標的規(guī)范化方法最終歸結為兩種途徑：一是轉化為確定的定量值;二是采用模糊數(shù)或區(qū)間數(shù)的形式表示。本文采取專家打分的方式來評價定性指標，然后將各分值規(guī)范化為0～1之間的數(shù)值。對于定量指標，考慮到指標體系中的定量指標均為效益型指標，因此可以利用式(1)進行規(guī)范化處理。

 

3 支持向量回歸機算法

 

4 基于支持向量回歸機的計算機網(wǎng)絡安全評價

 

模型

 

以上構建了計算機網(wǎng)絡安全評價指標體系，提出了指標的規(guī)范化方法和安全等級的劃分方式，在此基礎上，可以構建如圖2所示的基于支持向量回歸機的計算機網(wǎng)絡安全評價模型。

 

5 仿真實例

 

為了驗證所構建的基于支持向量回歸機的計算機網(wǎng)絡安全評價模型的有效性，收集了10組計算機網(wǎng)絡安全相關數(shù)據(jù)作為樣本，如表2所示。其中前8組數(shù)據(jù)作為訓練樣本，后2組數(shù)據(jù)作為校驗樣本。采用Matlab 7.0.1軟件并調(diào)用支持向量機工具箱，編寫基于支持向量回歸機的計算機網(wǎng)絡安全評價模型，通過對訓練樣本進行訓練，最終將支持向量回歸機的相關參數(shù)分別設置為：不敏感值[ε]=0.001，正則化參數(shù)[C=1 000，]徑向基核函數(shù)的寬度參數(shù)[σ=8]。

 

經(jīng)過計算，可以得出如表3所示的5～8組訓練樣本的預測誤差，從中可以看出，所建立的基于支持向量回歸機的計算機網(wǎng)絡安全評價模型的訓練效果非常好，4組訓練樣本的絕對誤差均為0.000 1，平均絕對誤差僅為0.022 7%，準確性較高。為了檢驗所建立的評價模型的泛化能力，對后2組樣本進行預測，所得結果和誤差也列于表3。通過計算得到校驗樣本的平均絕對誤差為0.005 8%，遠小于文獻[4]提出的PSO?BP神經(jīng)網(wǎng)絡模型所預測的平均絕對誤差0.022%，也小于文獻[3]提出的改進型BP神經(jīng)網(wǎng)絡模型所預測的平均絕對誤差0.01%，這說明本文所建立的評價模型具有較強的泛化能力，預測的準確性較高。

 

6 結 論

 

如何科學有效地對計算機網(wǎng)絡安全等級進行評價，并根據(jù)評價結果對安全等級較低的計算機網(wǎng)絡采取有效措施以提高安全等級，最大限度地降低安全風險和可能帶來的損失，是當前計算機網(wǎng)絡安全研究領域的熱點問題。本文針對以往計算機網(wǎng)絡安全評價模型尤其是神經(jīng)網(wǎng)絡評價模型存在的不足，建立了計算機網(wǎng)絡安全評價指標體系，提出了一種基于支持向量回歸機的計算機網(wǎng)絡安全評價方法。仿真實例的預測結果表明，建立的基于支持向量回歸機的計算機網(wǎng)絡安全評價模型具有較強的泛化能力和較高的預測精度，為計算機網(wǎng)絡安全評價提供了一種新的評價方法。

篇6

關鍵詞：堡壘主機；內(nèi)控管理；運維審計；實踐案例

中圖分類號： TP393.08 文獻標識碼：A 文章編號：1672-3791（2015）05（c）-0000-00

近年來，筆者所在民航系統(tǒng)內(nèi)的信息化水平正在逐步從初級應用階段發(fā)展至高級應用階段，而伴隨著這個過程產(chǎn)生的信息化應用與信息安全管理的矛盾也愈發(fā)突出[1]。筆者所在單位近年來在局域網(wǎng)內(nèi)先后部署了多項網(wǎng)絡安全和網(wǎng)絡分析產(chǎn)品，已經(jīng)形成了較為完善的信息安全防護體系，主要技術人員也積累了運維經(jīng)驗。但信息系統(tǒng)故障等網(wǎng)絡安全問題仍然時有發(fā)生。通過分析故障產(chǎn)生的原因，發(fā)現(xiàn)大部分違規(guī)行為竟然來源于一些合法用戶的例行操作。傳統(tǒng)意義的安全防護系統(tǒng)可以從技術角度解決一些潛在的安全問題，但對于內(nèi)部人員操作的管理手段不完善帶來的數(shù)據(jù)破壞和泄露可能比技術原因造成的損害更為嚴重。

國家公安部《信息系統(tǒng)安全等級保護基本要求》中明確規(guī)定了二級（含）以上的重要信息系統(tǒng)網(wǎng)絡安全、主機安全、應用安全都需要具備安全審計功能[2]，所以，根據(jù)等級保護要求以及本單位的實際情況，我們迫切需要一種有效的手段來對內(nèi)部人員的設備維護行為進行控制和審計，解決信息安全管理中遇到的難題。難題具體體現(xiàn)在：運維權限分配復雜、系統(tǒng)密碼管理不足、操作風險難以控制、共享賬號安全隱患、系統(tǒng)資源授權不清晰、訪問控制策略不嚴格、重要操作無法有效審計等。而以上這些信息安全問題，通過引入內(nèi)控堡壘主機并結合管理措施之后基本得到了有效解決。

1 內(nèi)控堡壘主機介紹

1.1 什么是內(nèi)控堡壘主機？

最早的堡壘主機主要定位于防御外部進攻[3]。通過將其部署在防火墻或路由器之外，可以使那些需要面向外部的服務集中于堡壘主機上進行集中保護，以此來換取內(nèi)部網(wǎng)絡的安全。

而隨著信息化應用的日趨復雜，由被動防御型的堡壘主機發(fā)展出來了更加偏重于對內(nèi)部網(wǎng)絡、應用和數(shù)據(jù)進行綜合安全保護的管理控制平臺，也就是我們所說的內(nèi)控堡壘主機。它從網(wǎng)絡內(nèi)部出發(fā)，通過多種信息安全技術（訪問控制、身份認證、虛擬化、協(xié)議、操作審計等）實現(xiàn)用戶對內(nèi)部網(wǎng)絡資源的安全訪問，同時對用戶的操作過程形成完整的審計記錄。這樣的內(nèi)控平臺正可以有效地解決我們在日常運維和內(nèi)控管理中遇到的難題。

1.2 功能特點

1.2.1 設備的集中管控

內(nèi)控堡壘主機可以將服務器和網(wǎng)絡設備的信息，以及用戶信息和訪問權限提前配置在堡壘主機中，這樣便從傳統(tǒng)的分布式管理模式轉變成可控的集中式管理模式，以此為基礎帶來了設備管理效率和安全穩(wěn)定性的提升。

1.2.2 操作的集中審計

內(nèi)控堡壘主機通過協(xié)議的方式，將原來從某臺內(nèi)網(wǎng)終端直接通過遠程連接對網(wǎng)絡設備和服務器進行操作的不可控的分散管理方式，轉變成為了用戶必須集中至堡壘主機的統(tǒng)一入口再對有授權的設備進行操作。而全部操作都通過協(xié)議錄制得到記錄，實現(xiàn)了精細化的集中操作審計。

總之，內(nèi)控堡壘主機結合了傳統(tǒng)的4A 理念，即賬號管理、認證管理、授權管理、安全審計，與應用技術，形成了一個完善且可控的遠程接入解決方案。一方面，統(tǒng)一身份認證和統(tǒng)一訪問授權使得遠程接入用戶需要通過多種身份認證手段以及基于角色的授權管理才可以接入設備，滿足了信息安全等級保護的要求；另一方面，全面的審計功能讓管理員不但可以完整錄制會話過程，還可以實時監(jiān)視遠程訪問會話并及時終止非法操作。

2 制定解決方案

2.1 信息安全等級保護要求

根據(jù)信息安全等級保護第三級[4]的相關要求制定內(nèi)控堡壘主機的解決方案，可以滿足在要求中涉及到的網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復五項技術方面的要求，以及安全管理機構、人員安全管理、系統(tǒng)運維管理三項管理方面的要求。根據(jù)要求中的內(nèi)容以及內(nèi)控堡壘主機針對每一項提供的解決方案，整理如下表1。

2.2 設計原則

2.2.1 整體安全和全網(wǎng)統(tǒng)一的原則

資源訪問的安全設計需要綜合考慮信息網(wǎng)絡的各個環(huán)節(jié)和全部實體，然后在不同層次上綜合使用多種安全手段，為內(nèi)部信息網(wǎng)絡和安全業(yè)務提供管理和服務。

2.2.2 標準化原則

項目的安全體系設計嚴格遵循了國家標準，如《信息系統(tǒng)安全等級保護基本要求》。在達到標準要求的同時能夠使企業(yè)內(nèi)部的信息系統(tǒng)在可控范圍內(nèi)實現(xiàn)安全的互聯(lián)互通。

2.2.3 需求、風險、成本平衡原則

任何信息系統(tǒng)都無法做到絕對安全，所以設計時就需要明確性能要求以及側重點，然后從需求出發(fā)，在功能、風險和成本之間進行平衡和折中[5]。

2.2.4 實用、高效、可擴展原則

無論現(xiàn)狀如何，隨著技術發(fā)展信息系統(tǒng)仍將不斷變化，哪怕在系統(tǒng)實施過程中，系統(tǒng)的結構、配置也會發(fā)生變化。所以系統(tǒng)需要有一定的靈活性來適應這些變化，使其符合“有層次、成體系”的標準，既有利于系統(tǒng)安全，又有利于擴展。

2.2.5 技術、管理相結合原則

為了使內(nèi)控堡壘主機可以發(fā)揮其應有的效果，管理者必須首先根據(jù)系統(tǒng)的功能特點來重新梳理和完善現(xiàn)有的運行管理機制和安全規(guī)章制度，同時對技術人員進行思想教育和技術培訓。通過合理的規(guī)定和具體培訓，才能完成系統(tǒng)的應用。

2.3 設計思路

2.3.1 集中管理模式

管理模式?jīng)Q定了管理的高度，所以明確管理模式應當是我們要確定首要因素。根據(jù)多年的運維實踐發(fā)現(xiàn)，我們對維護人員及其操作的管理手段并未伴隨著信息化進程的推進而得到加強，這樣導致了人為因素造成的運行故障比例居高不下，缺少有效的審計手段。因此迫使我們必須由分散的管理模式轉變?yōu)榧械墓芾砟Ｊ?。集中管理是運維管理思想的必然發(fā)展趨勢和唯一選擇[6]。通常，集中管理包括：集中的資源訪問入口、集中的賬號管理、集中的授權管理、集中的認證管理、集中的審計管理等等。

2.3.2 訪問協(xié)議

內(nèi)控堡壘主機通過對各平臺所使用的協(xié)議進行來實現(xiàn)對操作行為的審計和監(jiān)控[7]。比如SSH、TELNET、FTP、RDP、VNC等等Windows或Linux平臺上的訪問協(xié)議。

2.3.3 身份授權分離

為避免傳統(tǒng)方式的共享賬號、弱口令賬號等問題導致的安全漏洞，我們的解決思路是將身份和授權分離。首先建立用于身份認證的獨立賬號體系，然后保留各系統(tǒng)賬號但使其由堡壘主機接管并定期更新密碼，使得被管理設備本身的系統(tǒng)賬號僅用于系統(tǒng)授權而剝離其身份認證功能，有效增強了身份認證和系統(tǒng)授權的可靠性。

2.4 系統(tǒng)構架

我們部署的內(nèi)控堡壘主機由展現(xiàn)層、核心服務層、接口管理層三層結構組成。

展現(xiàn)層面向用戶，集成了多種包括匙扣令牌在內(nèi)的強身份認證方式，分別對系統(tǒng)管理員和運維用戶提供不同的訪問操作頁面。

核心服務層面向授權和協(xié)議，部署在服務器上。在核心服務層上完成賬號管理、授權管理及策略設置等操作。其中的協(xié)議包含用戶輸入模塊、命令捕獲引擎、策略控制和日志服務，所以具備對用戶行為進行監(jiān)視、控制和記錄的功能。

接口管理層面向個信息系統(tǒng)，用于實現(xiàn)審計結合、賬號同步、認證結合等方面的數(shù)據(jù)接口工作。另外它還包含應用服務，以此來實現(xiàn)對B/S、C/S、半B/S半C/S系統(tǒng)的單點登錄及審計工作。

3 內(nèi)控堡壘主機的實施

系統(tǒng)的實施過程中，我們將堡壘主機及其應用服務器的部署位置單獨剝離開劃分為管理區(qū)，把內(nèi)部網(wǎng)絡的其他設備如服務器、網(wǎng)絡設備、數(shù)據(jù)庫等等劃分為業(yè)務區(qū)。在內(nèi)控堡壘主機部署上架后，運維人員將集中通過內(nèi)控堡壘主機對業(yè)務區(qū)的目標設備進行日常運維操作。

設備上架后，我們需要通過防火墻策略配置解除客戶端到堡壘主機及堡壘主機到目標服務器的端口限制。這樣當用戶訪問設備時，堡壘主機才可以完成對TELNET（端口23）、SSH（端口22）、RDP（端口3389）等協(xié)議的訪問具體設備，并在堡壘主機上完成對設備的單點登錄及會話的完整審計。

4 結語

在信息化水平快速發(fā)展的今天，技術發(fā)展與管理模式相輔相成。信息安全不僅需要先進的設備和嫻熟的技術，更需要完善的制度和審計手段。內(nèi)控堡壘主機的實施切實有效地規(guī)范了內(nèi)外部維護人員對IT基礎設施的維護行為，彌補了操作審計空白。它通過集中管理的模式，借助于協(xié)議、身份授權分離等技術，極大地減少了維護人員誤操作或惡意操作的概率，縮短了故障定位時間。這次內(nèi)控堡壘主機的實施完善了筆者所在單位的信息安全保護體系，將有助于提高信息系統(tǒng)運行的安全性和穩(wěn)定性。

參考文獻：

[1]潘玉. 新一代堡壘主機[J]. 信息安全與通信保密，2011，05：45.

[2]韓榮杰，于曉誼. 基于堡壘主機概念的運維審計系統(tǒng)[J]. 信息化建設，2012，01：56-59.

[3]趙瑞霞，王會平. 構建堡壘主機抵御網(wǎng)絡攻擊[J]. 網(wǎng)絡安全技術與應用，2010，08：26-27.

[4] 公安部信息安全等級保護評估中心. GB/T 22239-2008， 信息安全技術信息系統(tǒng)安全等級保護基本要求[S]. 北京：中國標準出版社，2008.

[5]韓海航，王久輝. 大型交通網(wǎng)絡系統(tǒng)安全保障體系研究[J]. 計算機安全，2007，10：77-80.

[6]吳國良. 面向NGB的網(wǎng)絡與信息管控建設[J]. 廣播與電視技術，2013，10：28+30-33.

[7]陳旭. IT運維操作管理有效降低企業(yè)風險[J]. 高科技與產(chǎn)業(yè)化，2010，05：116-119.

篇7

信息安全作為國家安全的重要組成部分,是一項關系全局的戰(zhàn)略任務,具有極端的重要性、緊迫性、長期性和復雜性。可以說,目前我國信息安全產(chǎn)業(yè)是通過等級保護、可信計算和產(chǎn)業(yè)化發(fā)展相互結合,實現(xiàn)網(wǎng)絡虛擬世界秩序的安全和可信。

產(chǎn)業(yè)化成為重點

中國的信息安全產(chǎn)業(yè)僅有二十多年歷史,快速發(fā)展也只是近十年的事,尚存諸多不足。在互聯(lián)網(wǎng)應用與普及方面,我國已經(jīng)進入了世界大國的行列,因此我國的信息安全問題與國際上的問題基本一樣。

中國工程院院士方濱興認為,我國在網(wǎng)絡安全方面的解決策略是政府重在行動,企業(yè)重在引導,公眾重在宣傳。就是說,凡是政府信息系統(tǒng),必須接受信息系統(tǒng)安全等級保護條例的約束,以行政的手段來強化信息系統(tǒng)的安全。凡是企業(yè)的系統(tǒng),通過對信息安全產(chǎn)品的市場準入制度,以保證企業(yè)所采用的信息安全防護手段符合國家的引導思路。公眾方面則通過對網(wǎng)絡安全方面的廣泛宣傳,讓公眾對網(wǎng)絡安全具有正確的認識,從而提高相應的防范能力。

據(jù)悉,教育部、公安部、工業(yè)和信息化部、國家標準化管理委員會等單位已經(jīng)將“為國家信息化建設及國家信息安全基礎設施提供支撐的信息安全產(chǎn)品產(chǎn)業(yè)化”作為2009年信息安全重點工作。其中涉及到四個方面:

1.重點支持基于國產(chǎn)可信計算芯片的安全應用產(chǎn)品,以及基于自主密碼技術的高性能集成應用產(chǎn)品的產(chǎn)業(yè)化。

2.重點支持移動存儲介質(zhì)保密管理、惡意代碼防治、電子文檔安全管理、網(wǎng)絡數(shù)字版權保護、電子數(shù)據(jù)取證、安全保密檢查等產(chǎn)品,移動終端、桌面終端安全防護等計算機安全保護產(chǎn)品,以及面向無線網(wǎng)絡的安全管理與安全應用產(chǎn)品的產(chǎn)業(yè)化。

3.重點支持安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全中間件、安全服務器、安全接入設備、安全存儲、容災備份軟件、安全辦公軟件等產(chǎn)品的產(chǎn)業(yè)化。

4.重點支持高性能專用安全芯片和專用安全設備,以及適用于新一代網(wǎng)絡環(huán)境的具有高性能、多安全功能的軟硬件集成化產(chǎn)品的產(chǎn)業(yè)化。

技術成果的產(chǎn)業(yè)化過程應當是一個市場化、社會化的過程。將核心技術產(chǎn)品產(chǎn)業(yè)化地發(fā)展,推動產(chǎn)業(yè)結構升級,是提升核心技術發(fā)展的破局之舉。

可信計算成為標尺

雖然我國的信息化技術同國際先進技術相比,存在一定的差距。但是,中國和國際上其他組織幾乎是同步在進行可信計算平臺的研究和部署工作。其中,部署可信計算體系中,密碼技術是最重要的核心技術。

絕對的信息安全是不存在的,但信息安全卻存在著一種終極的理想狀態(tài),那就是:進不去、看不見、拿不走和賴不掉?？偨Y起來,這12字方針的目標就是可信計算。

中國可信計算工作組組長、中科院軟件所副總工程師馮登國介紹,可信計算的基礎是在每個終端平臺上植入一個信任根,讓PC從BIOS到操作系統(tǒng)內(nèi)核層,再到應用層,均構建信任關系,由此建立一個能在網(wǎng)絡上廣泛傳遞的信任鏈。這樣,人們將夢想進入一個計算免疫的時代――終端被攻擊時可以實現(xiàn)自我保護、自我管理和自我恢復。

可以說,可信計算根就像是一把丈量計算機可信度的標尺。它會在啟動之初對計算機系統(tǒng)上所有的運行軟件進行可信性(完整性)分析,由此判定它們是否被非授權篡改。若判定不可信則阻止該軟件運行,并自動恢復其合法的版本。所以,計算機一旦嵌入了該技術,即可在啟動操作系統(tǒng)時發(fā)現(xiàn)內(nèi)核已改,并根據(jù)用戶需求進行阻止和恢復。

中國可信計算工作組發(fā)言人劉曉宇說,隨著《可信計算密碼支撐平臺功能與接口規(guī)范》等一系列國家政策的出臺與推動,以可信密碼模塊為TCM核心的PC、筆記本電腦、服務器、加密機等系列產(chǎn)品和解決方案,將逐步被我國政府/軍隊、制造、金融、企業(yè)/科研、公共機構、航天等行業(yè)在IT領域廣泛采用。

劉曉宇說,我國自主研發(fā)的可信技術從芯片到PC硬件到系統(tǒng)/應用軟件以及CA認證,早已形成了一條初具規(guī)模的完整產(chǎn)業(yè)鏈。

馮登國表示:“2009年將是中國可信計算蓬勃發(fā)展的一年,為打造更為強大的可信計算體系,中國可信計算工作組將優(yōu)化和完善TCM硬件平臺,還將致力于打通產(chǎn)、學、研之間的一切壁壘,促進業(yè)內(nèi)同行實質(zhì)性的合作交流?！?/p>

等級保護推力強勁

信息安全等級保護,是這幾年聽到最多的詞之一。從1994年國務院147號令至今,已經(jīng)過去了15年。這些年間我國在信息安全領域已經(jīng)制定了數(shù)十個國家標準和行業(yè)標準,初步形成了信息安全等級保護標準體系。

方濱興說,目前,政府在信息系統(tǒng)等級保護方面加大了推進力度,已經(jīng)完成了等級保護的定級工作,接下來的工作就是采取有效措施來實施信息系統(tǒng)的安全等級保護技術。等級保護的大力推動,一方面在國際上展示了我國政府對信息安全和網(wǎng)絡安全的管理決心;另一方面,等級管理制度的建立,突破了我國慣性思維的管理理念。

隨著工業(yè)和信息化部的成立,公安部與工業(yè)和信息化部在信息系統(tǒng)等級保護管理方面出現(xiàn)了職能交叉,因此,等級保護工作的進一步開展將取決于兩個部委的有效協(xié)調(diào)和合作。

2003年,國家出臺《國家信息化領導小組關于加強信息安全保障工作的意見》(簡稱“27號文件”),明確要求我國信息安全保障工作實行等級保護制度,2007年出臺《信息安全等級保護管理辦法》(簡稱“43號文件”)。隨著兩項標志性文件的下發(fā),2007年被稱為等級保護的啟動元年;由于要對現(xiàn)有信息安全系統(tǒng)進行加固,大量產(chǎn)品和服務采購開始,2008年被普遍視為等級保護采購元年;更有業(yè)內(nèi)人士說,2009年等級保護的好戲才真正上演。

“當前的信息與網(wǎng)絡安全研究,處在忙于封堵現(xiàn)有信息系統(tǒng)安全漏洞的階段?！惫膊烤W(wǎng)絡安全保衛(wèi)局處長郭啟全認為,“要徹底解決這些迫在眉睫的問題,歸根結底取決于信息安全保障體系的建設。目前,我們迫切需要根據(jù)國情,從安全體系整體著手,在建立全方位的防護體系的同時,完善法律體系,并加強管理體系。只有這樣,才能保證國家信息化的健康發(fā)展,確保國家安全和社會穩(wěn)定。”

“事實上,信息安全等級保護的核心思想就是根據(jù)不同的信息系統(tǒng)保護需求,構建一個完整的信息安全保護體系。分析《計算機信息系統(tǒng)安全保護等級劃分準則(GB 17859-1999)》可以看出,信息安全等級保護的重點在于內(nèi)網(wǎng)安全措施的建設和落實。建立一個完整的內(nèi)網(wǎng)安全體系,是信息系統(tǒng)在安全等級保護工作中的一個重點?！惫鶈⑷f。

篇8

關鍵詞：堡壘主機；信息系統(tǒng)安全；集中授權；運營維護

0 引言

2008年中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局了GB/T 22239-2008《信息安全技術-信息系統(tǒng)安全等級保護基本要求》后，信息安全等級保護制度已經(jīng)成為我國信息安全保護工作的基本國策，實行信息安全等級保護具有重大的現(xiàn)實和戰(zhàn)略意義。

根據(jù)公安部的相關文獻，從近些年來年來等級保護安全測評的結果分析中可以看出，信息系統(tǒng)中容易出問題的部分主要是賬號管理、權限管理和審計分析等幾個方面。例如：多人共用一個賬號；用戶權限分配沒有遵循最小化原則；未限制設備管理方式；未開啟審計或未進行審計分析等。

為解決上述問題，可以通過修改服務器配置信息以及網(wǎng)絡設備的配置可以進行防范，隨著智能終端的出現(xiàn)，網(wǎng)絡傳播技術的不斷提高，交換機、路由器等網(wǎng)絡設備的管理將便捷許多，操作人員可以通過網(wǎng)絡對網(wǎng)絡設備進行遠程操作。然而，由于復雜的網(wǎng)絡環(huán)境存在著大量的潛在攻擊行為，在方便快捷的同時，操作人員通過網(wǎng)絡與網(wǎng)絡設備通信存在著嚴重的安全隱患。針對這種情況，需要對現(xiàn)有服務器進行改造，涉及到大量信息系統(tǒng)的安全維護操作，其復雜性和環(huán)境的不確定性造成這種方式的實施起來極其困難。

1 企業(yè)應用中的安全問題

在企業(yè)應用中，目標設備之間通過互聯(lián)網(wǎng)絡進行通訊，操作人員也通過互聯(lián)網(wǎng)遠程訪問目標設備。

目標設備需要對操作人員開放相應的接口，由于互聯(lián)網(wǎng)的開放性，非法操作人員或潛在非法操作人員很容易通過相應的接口登入系統(tǒng)進行操作，給網(wǎng)絡安全帶來隱患。

通過對現(xiàn)有系統(tǒng)在應用中出現(xiàn)問題進行分析，目前系統(tǒng)中存在的安全隱患主要有：（1）存在潛在非法操作人員對網(wǎng)絡終端進行非法操作；（2）目標設備與操作人員無法進行統(tǒng)一管理；（3）操作人員的誤操作無法有效避免；（4）操作人員的操作記錄歷史追蹤無法實現(xiàn)。

通過對現(xiàn)有信息系統(tǒng)以及網(wǎng)絡安全需求分析，結合企業(yè)現(xiàn)狀，選取部署相關安全產(chǎn)品到網(wǎng)絡中，作為安全模塊對整個網(wǎng)絡進行安全保護，即堡壘主機。

2 堡壘主機

堡壘主機是一種運維管理系統(tǒng)，可以完成賬戶管理、授權管理和綜合審計等功能，完成集中認證和運維審計的作用。該類產(chǎn)品對操作人員提供多種遠程管理方式，并能夠對操作人員以遠程方式對服務器主機、網(wǎng)絡設備、數(shù)據(jù)庫的操作行為過程進行監(jiān)控和審計管理，以及對違規(guī)操作行為進行實時報警、阻斷。通過堡壘主機可以有效的提高操作人員與網(wǎng)絡設備之間通信的安全性，并且可以對操作人員及遠程操作進行集中管理，在確保通信安全的基礎上，實現(xiàn)管理的統(tǒng)一。

本文所述的堡壘主機產(chǎn)品為軟件堡壘主機，沒有運輸成本，部署簡單，升級簡便，性能及功能可定制。在部署前，僅需要找到一臺信任主機即可。堡壘主機被部署到內(nèi)網(wǎng)主機上，并且對要訪問的目標設備進行綁定，設定僅堡壘主機才可以對目標設備進行訪問。所有操作人員都要先登錄到堡壘機上，然后才可以訪問目標設備。堡壘主機自身具有認證及授權等功能，可以有效的屏蔽非法操作人員的訪問。

3 主要功能

本文所述的堡壘主機的主要功能有賬戶管理、角色管理、設備管理、黑名單管理和操作記錄查詢等。

（1）賬戶管理。對于堡壘主機的賬戶，采用"一用戶一賬號"的原則，用戶需要通過自己的賬戶才能登錄堡壘主機。不存在用戶共享同一個賬戶，有效避免出現(xiàn)事故時無法追述問題原因和責任人的問題。另外，在用戶的身份認證時，對用戶的賬號及所在IP進行綁定，如果賬戶與登錄的IP不匹配，將無法登錄，加強了身份認證機制。實現(xiàn)集中身份認證和訪問控制，避免冒名訪問，提高訪問安全性。

（2）角色管理。針對不同的操作人員進行角色管理。不同類別的角色具有不同的操作權限，操作人員需要根據(jù)自身賬戶的角色等級來訪問可操作的目標主機及該目標主機的資源。在便于任務分工及責任劃分的同時，有效的降低操作人員錯誤操作的可能。

（3）設備管理。管理目標設備信息，堡壘主機對管理目標設備的數(shù)量無限制，可以任意添加。

（4）黑名單管理。堡壘主機將對操作人員的操作進行實時監(jiān)測，如果某些操作被管理員禁止，那么該操作將無法完成。如：關機、重啟等操作，通過黑名單管理，指定人員將不具備該操作權限，提高操作的安全性。訪問記錄查詢通過該功能可查詢目標主機在某個時間段內(nèi)，有哪人操作人員登錄過。當目標主機因操作不當而引發(fā)障礙時，結合操作記錄查詢，可快速排查障礙原因，并找到責任人，解決問題，避免不必要的損失

（5）操作記錄查詢。對操作人員的所有操作進行記錄，當因操作人員的錯誤操作而引發(fā)障礙時，通過該功能可快速找出該操作人員，避免責任劃分不清問題。

4 結語

堡壘主機能夠解決集中賬號管理、細粒度的權限管理和訪問審計的問題，有效加強現(xiàn)有系統(tǒng)的網(wǎng)絡安全性，具有改造成本小，維護容易等特點。本文所述堡壘主機產(chǎn)品在吉林聯(lián)通通信網(wǎng)絡中成功應用，有效降低了操作人員的誤操作和網(wǎng)絡信息故障發(fā)生的幾率，證明了堡壘主機在加強網(wǎng)絡安全方面的有效性。

篇9

[關鍵詞]交互；電力調(diào)度數(shù)據(jù)網(wǎng)；電能量計量；二次安全防護；四級網(wǎng)：建設和應用

電力調(diào)度數(shù)據(jù)網(wǎng)是為電力調(diào)度和生產(chǎn)服務的專用數(shù)據(jù)網(wǎng)絡，其安全、穩(wěn)定、可靠的運行是整個電網(wǎng)安全生產(chǎn)的基礎保障。隨著諸暨電網(wǎng)建設的速度加快和規(guī)模的擴大，各類調(diào)度自動化系統(tǒng)相繼建成，且地調(diào)以及縣調(diào)各系統(tǒng)之間的業(yè)務交互應用也變得比較頻繁。據(jù)原國家經(jīng)貿(mào)委頒發(fā)的關于《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》的第30號令“電力系統(tǒng)中，安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統(tǒng)直接相聯(lián)?！币约啊半娏ΡO(jiān)控系統(tǒng)可通過專用局域網(wǎng)實現(xiàn)與本地其他電力監(jiān)控系統(tǒng)的互聯(lián)，或通過電力調(diào)度數(shù)據(jù)網(wǎng)絡實現(xiàn)上下級異地電力監(jiān)控系統(tǒng)的互聯(lián)。各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡方式互聯(lián)時，必須采用經(jīng)國家有關部門認證的專用、可靠的安全隔離設施”的規(guī)定。電力調(diào)度數(shù)據(jù)網(wǎng)之間的業(yè)務交互需要遵循一定的原則一“網(wǎng)絡專用，安全分區(qū)，橫向隔離，縱向認證”。本文將從諸暨局自動化系統(tǒng)與局系統(tǒng)之間業(yè)務應用交互的角度出發(fā)，概括介紹諸暨局電力調(diào)度數(shù)據(jù)網(wǎng)的建設和應用情況。

一、諸暨局自動化系統(tǒng)接入地區(qū)調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務分類

根據(jù)電力二次系統(tǒng)的性質(zhì)，如功能、實時性、傳輸方式、對電力生產(chǎn)和管理業(yè)務的重要性等，諸暨供電局自動化業(yè)務大概可以劃分為以下三個區(qū)，其網(wǎng)絡連接圖如圖1所示：

1　安全1區(qū)

數(shù)據(jù)采集和監(jiān)控系統(tǒng)(sCADA)：以諸暨局大樓為接入中心，以光纖SDH的n*2Mbit／s鏈路為承載，通過2路模擬專用通道連接各電壓等級的變電所。主要完成諸暨境內(nèi)5座220kV，21座110kV，13座35kV變電所的數(shù)據(jù)采集、監(jiān)視和控制功能，同時通過地調(diào)轉發(fā)通道向地調(diào)轉發(fā)部分重要線路的遙測數(shù)據(jù)。

地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)(四級網(wǎng))：在地區(qū)局以1臺路由器作為中心路由設備，以100M雙鏈路接入省電力公司三級網(wǎng)的地調(diào)骨干路由器實現(xiàn)了三四級網(wǎng)的互聯(lián)，各縣局作為地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)的接入節(jié)點。主要完成局境內(nèi)所有縣局與縣局，縣局與地區(qū)局之間安全Ⅰ、Ⅱ區(qū)之間數(shù)據(jù)的共享，是地縣數(shù)據(jù)交互的骨干網(wǎng)絡路徑。

2　安全Ⅱ區(qū)

電能量計量系統(tǒng)：通過專線MODEM采集諸暨境內(nèi)13座35kV變電所電量數(shù)據(jù)，通過與局電能量系統(tǒng)在Ⅱ區(qū)的接口程序，獲得諸暨境內(nèi)其他110kV及以上變電所的關口表以及線路的電能量數(shù)據(jù)，從而系統(tǒng)生成各類報表供相關部門進行電網(wǎng)電量預測，變電所平衡數(shù)據(jù)分析等應用。

二次安防防病毒服務器系統(tǒng)：以地區(qū)四級網(wǎng)系統(tǒng)為業(yè)務承載，通過在地區(qū)局防病毒服務器下載防病毒軟件和補丁以及升級包，縣局安全Ⅰ、Ⅱ區(qū)的Windows工作站和服務器在線升級防病毒軟件的病毒庫。

3　安全Ⅲ區(qū)

PI實時數(shù)據(jù)庫縣局延伸：在地區(qū)局建立PI數(shù)據(jù)庫，縣局通過安裝在安全Ⅲ區(qū)的數(shù)據(jù)庫鏡像服務器，實現(xiàn)與安全Ⅰ區(qū)的SCADA參數(shù)庫、實時運行信息和圖形的同步。通過應用軟件導出CIMXML模型，SVG圖形，E文件并以FTP的方式定時發(fā)送至地區(qū)局的PI接口服務器，入庫到PI數(shù)據(jù)庫。同時通過應用軟件自帶轉發(fā)功能，縣局鏡像服務器實時向地區(qū)接口服務器發(fā)送遙測數(shù)據(jù)和事項。

二、地縣主要自動化系統(tǒng)之間的業(yè)務交互

隨著地調(diào)數(shù)據(jù)網(wǎng)絡(四級網(wǎng))的建成，縣局自動化系統(tǒng)與地區(qū)局自動化系統(tǒng)之間的網(wǎng)絡連接變得比較頻繁。業(yè)務交互涉及到了各個系統(tǒng)。接下來主要介紹最近幾年來陸續(xù)建成的幾個地縣接口應用系統(tǒng)：地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)，地縣電能量計量系統(tǒng)接口，二次安防防病毒服務器系統(tǒng)。

1　地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)(四級網(wǎng))的應用

四級網(wǎng)系統(tǒng)縣局的應用部分網(wǎng)絡結構如圖2所示：

四級網(wǎng)接入的業(yè)務是關系到調(diào)度生產(chǎn)運行的重要業(yè)務，網(wǎng)絡安全是必須考慮的一個重要因素。承載調(diào)度業(yè)務的調(diào)度數(shù)據(jù)網(wǎng)應通過SDH／PDH的N*2Mbit／s專線組建，實現(xiàn)與其他網(wǎng)絡無理隔離，成為調(diào)度業(yè)務可信賴網(wǎng)絡。

各單位路由之間采用E1接口通過SDH光纖環(huán)網(wǎng)相互通信，路由器配置多個信息接入端口，可接入安全Ⅰ、Ⅱ區(qū)業(yè)務設備，Ⅰ、Ⅱ區(qū)業(yè)務在接入時實現(xiàn)邏輯隔離。接入調(diào)度網(wǎng)的設備應先接到交換機端口，再由交換機接入相應的端口，禁止應用設備直接接入路由器端口。各縣調(diào)四級網(wǎng)服務器利用3700路由器實現(xiàn)與地調(diào)局四級網(wǎng)數(shù)據(jù)庫服務器的連接，從而實現(xiàn)網(wǎng)絡的物理隔離，地調(diào)將網(wǎng)絡劃分在10.33.128*。網(wǎng)段，諸暨局四級網(wǎng)服務器地址為10.33.128.50，地調(diào)數(shù)據(jù)服務器地址為10.33.128.8。同時諸暨局四級網(wǎng)服務配置一個SCADA前置網(wǎng)網(wǎng)絡地址192.168.1.36，在服務器上安裝相應的應用軟件，進行必要的遙新、遙測、廠站庫以及通信規(guī)約的維護。

當網(wǎng)絡連通后，各縣局以及地調(diào)四級網(wǎng)服務器將實時數(shù)據(jù)存入局四級網(wǎng)服務器數(shù)據(jù)庫，由此實現(xiàn)各個單位之間實時數(shù)據(jù)的相互調(diào)用和查看，在必要的業(yè)務上進行調(diào)度員人機界面應用，從而使得調(diào)度員能夠實時掌握地調(diào)以及其他縣調(diào)的網(wǎng)供、電廠及限電計劃等實時數(shù)據(jù)。隨著各種應用的加深，地縣主站AVC系統(tǒng)的無功、電壓及功率因數(shù)限值的定值傳送也可由四級網(wǎng)來實現(xiàn)。

篇10

關鍵詞：微機監(jiān)測；鐵路信號；設備安全

Abstract: with the rapid development of railway transportation, all parts of the country a new high-speed rail railway. Speed is improved, the safety problem can not be ignored. To ensure the safety of train operation process, signal information requires the railway throughout the correct. Console through signal equipment will be operating instructions to train, so as to ensure the overall operation of the railway. In this paper, network security protection of railway signal computer detection system to conduct a comprehensive analysis.

Keywords: railway signal microcomputer monitoring; equipment safety;

中圖分類號：F530.3 文獻標識碼：A 文章編號：

1 微機監(jiān)測系統(tǒng)網(wǎng)絡安全防護現(xiàn)狀

目前的微機監(jiān)測系統(tǒng)一般都是三層次的網(wǎng)絡結構，既由車站、領工區(qū)（車間）、電務段三級構成的計算機網(wǎng)絡，電務段和領工區(qū)的管理人員可以通過微機監(jiān)測網(wǎng)直接看到所轄各站信號設備和戰(zhàn)場運作狀況。目前網(wǎng)絡遭受病毒侵襲的主要途徑有：生產(chǎn)已經(jīng)網(wǎng)絡化，網(wǎng)絡上任何一點感染病毒后，如不及時處理，容易全網(wǎng)蔓延；隨著移動存儲設備越來越廣泛的使用，病毒通過移動設備感染的機率大大增加。一機多用，如某臺終端機既用于調(diào)看生產(chǎn)監(jiān)控，又兼作辦公機；其他遭受惡意攻擊等非正常感染病毒。

現(xiàn)階段微機監(jiān)測系統(tǒng)采取的網(wǎng)絡安全防護措施包括以下幾個方面。

1）要求把站機、終端機上的I/0接口，如光驅、歟驅、USB插口等用標簽加封，并在主板BIOS里修改相應項屏蔽設備端口，杜絕在站機、終端機上進行與業(yè)務無關的作業(yè)。

2）微機檢測安全服務器，站機、終端機，安裝有MCAFEE網(wǎng)絡版防毒軟件或瑞星單機版殺毒軟件，但沒有建立專用的防病毒服務器，病毒庫的更新不及時，單機版的軟件只有維護人員到站上才能更新。

3）清理非法接入局域網(wǎng)的計算機，查清有無一機多用甚至多網(wǎng)的可能，并對非法接人的計算機進行屏蔽。

2 現(xiàn)有系統(tǒng)存在的安全問題及改進的主要參考原則

設計新的網(wǎng)絡安全防護系統(tǒng)，應確保運行數(shù)據(jù)的完整性、可用性、可控性、可審查性。安全系統(tǒng)的改進可參考以下幾個原則。

1）體系化設計原則。通過分析網(wǎng)絡系統(tǒng)的層次關系．提出科學的安全體系和安全構架，從中分析出存在的各種安全風險，充分利用現(xiàn)有投資，并合理運用當今主流的安全防護技術和手段，最大限度地解決網(wǎng)絡中可能存在的安全問題。

2）全局性、均衡性、綜合性設計原則。從網(wǎng)絡整體建設角度出發(fā)，提供一個具有相當高度，可擴展性強的安全防護解決方案，應均衡考慮各種安全措施的效果，提供具有最優(yōu)性價比的網(wǎng)絡安全防護解決方案。

3）可行性、可靠性、可審查性原則?？尚行允窃O計網(wǎng)絡安全防護方案的根本，它將直接影響到網(wǎng)絡通信平臺的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡通信平臺正常運行的保證，可審查性是對出現(xiàn)的安全問題提供依據(jù)與手段。

4）分步實施原則。分級管理，分步實施。

3 系統(tǒng)改進可采取的的主要措施

維護管理方面我們可以做好以下幾點改進。

1）微機監(jiān)測增設防病毒服務器，定期升級服務器病毒庫，將病毒入侵機率降至最低。安裝防火墻，對連接網(wǎng)絡中的計算機進行統(tǒng)一管理，確保網(wǎng)絡安全。

2）科學處理補丁和病毒之間的矛盾。安裝補丁時，應經(jīng)過慎重的論證測試，可行在開發(fā)系統(tǒng)上進行測試，確保安全的前提下，再進行補丁安裝，因為有些補丁可能與現(xiàn)行的操作系統(tǒng)發(fā)生沖突，進而影響整個系統(tǒng)的穩(wěn)定性。

3）在生產(chǎn)網(wǎng)上組建VPN，創(chuàng)建一個安全的私有鏈接。

同時，為保證系統(tǒng)的安全管理 ，避免人為的安全威脅，應根據(jù)運行工作的重要程度劃分系統(tǒng)的安全等級，根據(jù)確定的安全等級確定該系統(tǒng)的管理范圍和安全措施。對機房實行安全分區(qū)控制，根據(jù)工作人員權限限定其工作區(qū)域。機房的出入管理可以采取先進的證件識別或安裝自動識別登記系統(tǒng)，采用磁卡，身份證等手段對工作人員進行識別、登記、管理。根據(jù)職責分離和多人負責的原則，確定工作系統(tǒng)人員的操作范圍和管理，制定嚴格的操作規(guī)程。針對工作調(diào)動或離職人員要及時調(diào)整相應授權。

4 可采用的網(wǎng)絡安全新技術

建立完善的微機監(jiān)測系統(tǒng)網(wǎng)絡安全防護系統(tǒng)，需要現(xiàn)有網(wǎng)絡安全防護系統(tǒng)的基礎上，充分考慮防火墻、入侵檢測／防護、漏洞掃描、防病毒系統(tǒng)等安全機制。由于網(wǎng)絡技術的不斷飛速發(fā)展，傳統(tǒng)的防護技術已經(jīng)不能適應復雜多變的新型網(wǎng)絡環(huán)境，必須采用安全有效的網(wǎng)絡安全新技術才能防患于未然，提高整個微機監(jiān)測網(wǎng)絡的安全性。可采用的新型網(wǎng)絡安全技術包括以下幾種。

1）鏈路負載均衡技術。鏈路負載均衡技術是建立在多鏈路網(wǎng)絡結構上的一種網(wǎng)絡流量管理技術。它針對不同鏈路的網(wǎng)絡流量，通信質(zhì)量以及訪問路徑的長短等諸多因素，對訪問產(chǎn)生的徑路流量所使用的鏈路進行調(diào)度和選擇?？勺畲笙薅鹊臄U展和利用鏈路的帶寬，當某一鏈路發(fā)生故障中斷時，可以自動將其訪問流量分配給其它尚在工作的鏈路，避免IPS鏈路上的單點故障。

2）IPS入侵防御系統(tǒng)。網(wǎng)絡入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的，實時的防護，其設計目的旨在準確檢測網(wǎng)絡異常流量，自動應對各類攻擊性的流量，不將攻擊流量放進內(nèi)部網(wǎng)絡。

3）上網(wǎng)行為管理系統(tǒng)。上網(wǎng)行為管理系統(tǒng)能夠提供全面的互聯(lián)網(wǎng)控制管理，并能實現(xiàn)基于用戶和各種網(wǎng)絡協(xié)議的帶寬控制管理。實時監(jiān)控整個網(wǎng)絡使用情況。

4）網(wǎng)絡帶寬管理系統(tǒng)。對整個網(wǎng)絡狀況進行細致管理，提高網(wǎng)絡使用效率，實現(xiàn)對關鍵人員使用網(wǎng)絡的保障，對關鍵應用性能的保護，對非關鍵應用性能的控制?？筛鶕?jù)業(yè)務需求和應用自身需求進行帶寬分配。

5）防毒墻。傳統(tǒng)的計算機病毒防范是在需要保護的計算機內(nèi)部建立反病毒系統(tǒng)，隨著網(wǎng)絡病毒的日益嚴重和各種網(wǎng)絡威脅的侵害，需要將病毒在通過服務器后企業(yè)內(nèi)部網(wǎng)關之前予以過濾，防毒墻就滿足了這一需求。防毒墻是集成了強大的網(wǎng)絡殺毒機制，網(wǎng)絡層狀態(tài)包過濾，敏感信息的加密傳輸，和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網(wǎng)絡前進行全面掃描，適用于各種復雜的網(wǎng)絡拓撲環(huán)境。

5 結束語

通過本文的分析，可以看出，我國鐵路信號微機監(jiān)測系統(tǒng)的應用得到了初步的效果，但是隨著我國鐵路系統(tǒng)的繼續(xù)發(fā)展，網(wǎng)絡安全是我們不得不考慮的問題，而且隨著網(wǎng)絡安全問題的越來越多，對我國鐵路信號微機監(jiān)測系統(tǒng)的安全性要求就越高，因此，在未來的發(fā)展過程中，我們需要進一步提升鐵路信號微機監(jiān)測系統(tǒng)的安全等級，只有這樣才能促進我國鐵路信號系統(tǒng)的安全，提升我國鐵路信號系統(tǒng)的繼續(xù)發(fā)展。

參考文獻

[1]劉琦.鐵路信號安全維護及監(jiān)控系統(tǒng)設計思路及應用[J].安防科技,2011,03.