信息安全以業(yè)務(wù)應(yīng)用系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)為主。其中，計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)是對外部入侵和內(nèi)部泄漏的最底層的硬防護(hù)，只有合理部署，才能達(dá)到較高的安全防護(hù)水平。根據(jù)網(wǎng)絡(luò)傳輸OSI七層模型，采取多種防護(hù)措施，以最常見的方式達(dá)到較高的安全防護(hù)水平是企業(yè)網(wǎng)絡(luò)構(gòu)建的目標(biāo)，安全防護(hù)以國產(chǎn)設(shè)備為首選。

       1．分區(qū)控制，信息隔離

         生產(chǎn)控制區(qū)為最高安全級別的區(qū)域。該區(qū)與上級調(diào)度系統(tǒng)通過防火墻和縱向加密裝置通信，與管理信息系統(tǒng)通過單向傳輸裝置與管理信息網(wǎng)絡(luò)相連。

        網(wǎng)絡(luò)結(jié)構(gòu)圖

        服務(wù)器區(qū)為信息安全的重點(diǎn)防護(hù)區(qū)。鏈路上除串接單獨(dú)的防火墻外，還通過服務(wù)交換機(jī)的上聯(lián)口做鏡像，接入入侵檢測設(shè)備。

        內(nèi)部網(wǎng)一區(qū)和內(nèi)部網(wǎng)二區(qū)通過VPN、防火墻隔離，為終端用戶的接入?yún)^(qū)域。一區(qū)為可以直接訪問內(nèi)部信息系統(tǒng)服務(wù)器的企業(yè)員工用戶，二區(qū)為協(xié)作單位用戶，可以通過VPN訪問相關(guān)信息。

         2．監(jiān)控上網(wǎng)，網(wǎng)關(guān)殺毒

        置于互聯(lián)網(wǎng)接入端的上網(wǎng)行為管理設(shè)備是信息安全的第一道防線。以網(wǎng)關(guān)模式布置，串接于出口鏈路中的上網(wǎng)行為管理設(shè)備，實(shí)現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理。

        部分上網(wǎng)行為管理設(shè)備還集成網(wǎng)關(guān)殺毒功能。基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時(shí)間段等的管理設(shè)備，對企業(yè)內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為的記錄和審計(jì)、帶寬的分配、病毒木馬的過濾等，有效防止內(nèi)網(wǎng)泄密、過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入。通過帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，甚至完全封堵與工作無關(guān)的應(yīng)用。同時(shí)，利用上網(wǎng)行為管理通知和日志，及時(shí)把使用中的主動泄密、被動泄密行為，做到事前防范、事中告警、事后追蹤等多方面防范泄密，保護(hù)企業(yè)信息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，并滿足公安機(jī)關(guān)對企業(yè)網(wǎng)絡(luò)行為記錄的相關(guān)要求，規(guī)避可能的法律風(fēng)險(xiǎn)。

         3．雙層防護(hù)，過濾攔截

         防火墻是保護(hù)內(nèi)部網(wǎng)免受非法用戶侵入的基本設(shè)備，通過設(shè)置防火墻的服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)等，最大限度地阻止網(wǎng)絡(luò)中的黑客攻擊。

         內(nèi)部用戶網(wǎng)一區(qū)、二區(qū)之間主要以應(yīng)用層的攔截為主，有效隔離木馬程序的侵入。結(jié)合VPN的應(yīng)用，可靈活配置二區(qū)用戶訪問內(nèi)部相關(guān)信息，提高外網(wǎng)發(fā)布應(yīng)用服務(wù)器的安全性。

         服務(wù)器區(qū)增加一臺主要以網(wǎng)絡(luò)層過濾為主，通過來源IP地址、來源端口號、目的IP地址或端口號、服務(wù)類型以及通信協(xié)議、TTL值、來源的網(wǎng)域名稱或網(wǎng)段等屬性進(jìn)行過濾攔截，進(jìn)一步加強(qiáng)對服務(wù)器的安全防護(hù)。

         4．單向隔離，鏡像查詢

         生產(chǎn)控制區(qū)通過單向傳輸隔離以輪流傳遞數(shù)據(jù)、中斷插入事件的方式，發(fā)送信息到管理信息實(shí)時(shí)數(shù)據(jù)服務(wù)器，供相關(guān)管理人員查詢信息。

        生產(chǎn)控制區(qū)到管理信息網(wǎng)絡(luò)的傳輸數(shù)據(jù)傳輸使用電力專用的CDT規(guī)約，生產(chǎn)控制區(qū)數(shù)據(jù)線只接發(fā)送線，接收數(shù)據(jù)線完全斷開，不可能接收管理信息網(wǎng)絡(luò)的任何數(shù)據(jù)，從硬件上保證兩個(gè)系統(tǒng)的完全隔離，完全符合電力系統(tǒng)二次安全防護(hù)的要求，又滿足管理用戶查詢遠(yuǎn)程實(shí)時(shí)生產(chǎn)數(shù)據(jù)需求。

         5．隔離用戶，增加共享

        利用三層交換機(jī)VLAN以及二層交換機(jī)的端口隔離，有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

        用戶區(qū)所有交換機(jī)PC端口均設(shè)置隔離，需要共享打印機(jī)的部門購置打印服務(wù)器接入公共端口，既滿足共享打印的需求，又避免網(wǎng)內(nèi)用戶使用嗅探工具、ARP攻擊、蠕蟲病毒攻擊等對其它用戶影響，惡意用戶無法獲得其它用戶的通信信息，信息安全風(fēng)險(xiǎn)大幅度降低，同時(shí)把廣播域劃分到最小，提高網(wǎng)絡(luò)響應(yīng)速度，有效降低數(shù)據(jù)流量，延長設(shè)備的壽命，特別是低端網(wǎng)絡(luò)設(shè)備使用周期明顯增加。

         用戶端口隔離對個(gè)別應(yīng)用帶來影響，如無法滿用戶間的資源共享足，需增加共享資源服務(wù)器，解決無安全管理需求的信息資源交換平臺，增加桌面管理系統(tǒng)監(jiān)控、管理用戶資源。

         6．在線監(jiān)控，入侵檢測

         網(wǎng)絡(luò)分析儀或網(wǎng)管系統(tǒng)，利用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）去調(diào)用交換機(jī)的MIB信息庫，在線監(jiān)測每臺交換機(jī)端口上流量的質(zhì)量，實(shí)施諸如監(jiān)測交換機(jī)端口統(tǒng)計(jì)并掌握其趨勢的策略以及使用，清晰地掌握交換機(jī)的詳細(xì)情況和端口統(tǒng)計(jì)信息，還可根據(jù)安全策略直接關(guān)閉相應(yīng)的交換機(jī)端口，徹底隔離故障或危險(xiǎn)源。

        對于重點(diǎn)防護(hù)區(qū)的服務(wù)器區(qū)，通過鏡像數(shù)據(jù)進(jìn)行入侵檢測，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，保障數(shù)據(jù)安全。

        7．容災(zāi)備份，演練驗(yàn)證

        本地備份、異地備份是防止存儲設(shè)備硬件故障、火災(zāi)及自然災(zāi)害導(dǎo)致數(shù)據(jù)損壞的保障措施。在線備份與離線備份相結(jié)合，運(yùn)行維護(hù)人員經(jīng)常演練驗(yàn)證備份數(shù)據(jù)的完整可用，是信息安全的日常保障工作；關(guān)鍵網(wǎng)絡(luò)設(shè)備的分布式冗余配置，是網(wǎng)絡(luò)系統(tǒng)容災(zāi)的重要組成部分。