序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的公司安全防護措施樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀��。
第1篇
1電力施工和檢修中存在的問題
1.1施工人員的安全意識薄弱
在電力施工和檢修中��,許多電力公司為了追求經(jīng)濟利益��,一味地降低施工和檢修成本��,忽視了施工和檢修安全的重要性��,主要體現(xiàn)在以下2方面:①未開展安全培訓。多數(shù)電力公司在開展電力施工和檢修工作前,并沒有對相應(yīng)的工作人員展開必要的安全教育��,也沒有進行必要的考核��,許多工作人員不具備相應(yīng)的自我保護能力��,在施工和檢修中無法完全按照相應(yīng)的安全規(guī)范施工��,導致安全事故頻發(fā)��。②安全防護設(shè)備數(shù)量不足��,標準較低��。安全防護設(shè)備是保障電力施工和檢修人員人身安全的重要措施��,但一些電力公司并未按照電力施工和檢修工作的需求配置相應(yīng)的安全防護設(shè)備��,或配置的防護設(shè)備未達到相應(yīng)的安全標準��,導致工作人員只能在無安全防護或低級安全防護等條件下施工和檢修��,進而提高了安全事故發(fā)生的概率��。
1.2電力施工和檢修管理的水平較低
在電力施工中��,部分監(jiān)督管理部門對施工安全缺乏深入了解,且監(jiān)督管理人員的綜合素質(zhì)較低��,在監(jiān)督管理工作中未嚴格按照相應(yīng)要求執(zhí)行��,無法及時發(fā)現(xiàn)電力施工中的安全隱患��,進而導致電力施工安全事故頻發(fā)��;在電力檢修中��,電力設(shè)備管理缺乏系統(tǒng)性��,未建立完善的電力設(shè)備信息統(tǒng)計表��,且許多電力設(shè)備長期處于超負荷狀態(tài)��。
1.3電力施工和檢修責任制度不完善
在電力施工和檢修工作中��,責任制度不完善是電力安全事故頻發(fā)的重要原因之一��,具體表現(xiàn)在以下2方面:①電力施工中涉及多方面的安全問題��,但電力公司未設(shè)置專門的安全管理機構(gòu)��,安全管理制度也并不健全��,并未將責任明確落實到部門或個人。②在電力檢修中��,缺乏明確的責任制度��,許多電力檢修人員在檢修工作中存在敷衍��、散漫��、主觀臆斷等現(xiàn)象��,無法及時發(fā)現(xiàn)設(shè)備故障��,最終引發(fā)安全事故��。
2解決措施
2.1加強安全保障措施
電力企業(yè)應(yīng)加強對施工和檢修安全的重視��,開展相應(yīng)的安全教育和培訓��,增強工作人員的安全意識��,從而使其在實際工作中嚴格按照安全規(guī)范作業(yè)��,主動規(guī)避各種危險因素��,做好相應(yīng)的安全保護工作��,盡可能地避免安全事故發(fā)生��;加大在安全設(shè)備方面的經(jīng)費投入��,按照電力施工和檢修工作的需求��,采購高質(zhì)量的安全防護設(shè)備��,并加強對安全防護設(shè)備的管理��,保證所有工作人員在正確穿戴安全防護設(shè)備的狀態(tài)下作業(yè)��,充分發(fā)揮安全防護設(shè)備的功能��,從而提高電力施工和檢修工作的安全性��。
2.2加強對電力施工和檢修的監(jiān)督管理
應(yīng)設(shè)置專門的監(jiān)督管理機構(gòu)��,聘請高水平的監(jiān)督管理人員��,結(jié)合工程項目的實際情況制訂嚴格的管理制度��,按照管理制度中的要求充分落實日常監(jiān)督管理工作��,及時發(fā)現(xiàn)電力施工和檢修中存在的違章操作等問題��,以防發(fā)生安全事故;加強對相應(yīng)工作人員的培訓��,提高電力施工和檢修人員的專業(yè)技能水平��;開展職業(yè)道德培養(yǎng)工作��,使施工和檢修人員持有正確的工作態(tài)度��;在施工和檢修工作開始前��,嚴格檢查作業(yè)所需的機械設(shè)備能否正常工作��、安全防護措施是否周密��、工作流程是否存在疏漏等��,從而為施工和檢修工作的順利開展提供保障��,避免電力安全事故的發(fā)生��。
2.3完善電力施工和檢修的責任制度
良好的責任制度能有效增強各方面工作人員的責任心��,從而降低安全事故的發(fā)生概率��。應(yīng)完善電力施工安全管理責任制度��,加強對施工現(xiàn)場危險源的識別��,增強管理人員��、施工人員的防范意識��,嚴格按照安全檢查驗收和評價制度審查電力施工方案和風險報告��;完善電力檢修責任制度��,做好安全防護工作��,加強相應(yīng)的安全控制��,并與現(xiàn)場值班人員積極溝通��、配合��,從而提高電力設(shè)備的檢修效率��。
3結(jié)束語
第2篇
關(guān)鍵詞:電力營銷��;網(wǎng)絡(luò)安全��;安全建設(shè);安全管理
1 引言
營銷業(yè)務(wù)作為“SG186”工程的業(yè)務(wù)系統(tǒng)之一��,應(yīng)用上涵蓋了新裝增容及變更用電��、資產(chǎn)管理��、計量點管理��、抄表管理��、核算管理��、電費收繳��、帳務(wù)管理��、用電檢查管理��、95598業(yè)務(wù)等領(lǐng)域��,需要7×24小時不間斷��、安全可靠運行的保障[1]��。因此在遵循國家電網(wǎng)公司“SG186”工程的建設(shè)標準和信息網(wǎng)絡(luò)等級保護要求的基礎(chǔ)上��,結(jié)合營銷關(guān)鍵業(yè)務(wù)應(yīng)用��,加強信息安全防護��,保障營銷系統(tǒng)網(wǎng)絡(luò)的安全運行��。本文針對新疆電力營銷系統(tǒng)的現(xiàn)狀��,給出了一種多層次的安全防護方案��,對保障營銷系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行��,保護用戶信息安全��,傳輸安全��、存儲安全和有效安全管理方面給出了建設(shè)意見��。
2 新疆營銷網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀
新疆電力營銷業(yè)務(wù)應(yīng)用經(jīng)過了多年的建設(shè)��,目前大部分地區(qū)在業(yè)擴報裝��、電費計算��、客戶服務(wù)等方面的營銷信息化都基本達到實用化程度��,在客戶服務(wù)層、業(yè)務(wù)處理層��、管理監(jiān)控層三個層次上實現(xiàn)了相應(yīng)的基本功能��。結(jié)合新疆電力公司的實際情況��,主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀��。
2.1 管理現(xiàn)狀
根據(jù)公司總部提出的“集團化運作��、集約化發(fā)展��、精細化管理”的工作思路��,從管理的需求上來說��,數(shù)據(jù)越集中��,管理的力度越細��,越能夠達到精細化的管理的要求��。但由于目前各地市公司的管理水平現(xiàn)狀��、IT現(xiàn)狀��、人員現(xiàn)狀等制約因素的限制��,不可能使各地市公司的管理都能夠一步到位��,尤其是邊遠地區(qū)��。因此��,營銷業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進��。根據(jù)對當前各地市公司的營銷管理現(xiàn)狀和管理目標需求的分析��,管理現(xiàn)狀可分為如下三類:實時化��、精細化管理��;準實時��、可控的管理��;非實時��、粗放式管理��。目前大部分管理集中在第二類和第三類��。
2.2 網(wǎng)絡(luò)現(xiàn)狀
網(wǎng)絡(luò)建設(shè)水平將直接影響營銷業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署,目前新疆公司信息網(wǎng)已經(jīng)形成��,實現(xiàn)了公司總部到網(wǎng)省公司��、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通��,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大��,部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò)��,并且有相應(yīng)的備用通道��,能夠滿足實時通信的要求��,部分地市公司通過租用專線方式等實現(xiàn)連接��,還有一些地市公司由于受地域條件的限制��,尚存在一些信息網(wǎng)絡(luò)無法到達的地方��,對大批量��、實時的數(shù)據(jù)傳輸要求無法有效保證��,通道的可靠性相對較差��。
2.3 需求分析
營銷業(yè)務(wù)系統(tǒng)通常部署在國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機房��,為國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶提供相關(guān)業(yè)務(wù)支持��。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復雜��,與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換��,使用人員涵蓋國家電網(wǎng)公司內(nèi)部人員��,外部廠商人員��,公網(wǎng)用戶等��。因此��,在網(wǎng)絡(luò)身份認證��、數(shù)據(jù)存儲��、網(wǎng)絡(luò)邊界防護與管理等層面上都有很高的安全需求��。[2]
3 關(guān)鍵技術(shù)和架構(gòu)
3.1 安全防護體系架構(gòu)
營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系的總體目標是保障營銷系統(tǒng)安全有序的運行��,規(guī)范國家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶的行為��,對違規(guī)行為進行報警和處理。營銷網(wǎng)絡(luò)系統(tǒng)安全防護體系由3個系統(tǒng)(3維度)接入終端安全��、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個方面內(nèi)容��,以及其多個子系統(tǒng)組成��,其體系結(jié)構(gòu)如圖1所示��。
圖1 營銷系統(tǒng)安全防護總體防護架構(gòu)
3.2 接入終端安全
接入營銷網(wǎng)的智能終端形式多樣��,包括PC終端��、智能電表和移動售電終端等��。面臨協(xié)議不統(tǒng)一��,更新?lián)Q代快��,網(wǎng)絡(luò)攻擊日新月異��,黑客利用安全漏洞的速度越來越快��,形式越來越隱蔽等安全問題��。傳統(tǒng)的基于特征碼被動防護的反病毒軟件遠遠不能滿足需求。需要加強終端的安全改造和監(jiān)管��,建立完善的認證��、準入和監(jiān)管機制��,對違規(guī)行為及時報警��、處理和備案��,減小終端接入給系統(tǒng)帶來的安全隱患��。
3.3 數(shù)據(jù)傳輸安全
傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗等保護措施��,電力營銷數(shù)據(jù)涉及國家電網(wǎng)公司和用戶信息��,安全等級較高��,需要更有效的手段消除數(shù)據(jù)泄露��、非法篡改信息等風險��。
市場上常見的安全網(wǎng)關(guān)��、防火墻��、漏洞檢測設(shè)備等��,都具有數(shù)據(jù)加密傳輸?shù)墓δ?�,能夠有效保證數(shù)據(jù)傳輸?shù)陌踩?�。但僅僅依靠安全設(shè)備來保證數(shù)據(jù)通道的安全也是不夠的��。一旦設(shè)備被穿透��,將可能造成營銷系統(tǒng)數(shù)據(jù)和用戶信息的泄露��。除此之外��,還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全��。
3.4 應(yīng)用系統(tǒng)安全
目前營銷系統(tǒng)已經(jīng)具有針對應(yīng)用層的基于對象權(quán)限和用戶角色概念的認證和授權(quán)機制��,但是這種機制還不能在網(wǎng)絡(luò)層及以下層對接入用戶進行細粒度的身份認證和訪問控制��,營銷系統(tǒng)仍然面臨著安全風險��。增強網(wǎng)絡(luò)層及以下層��,比如接入層��、鏈路層等的細粒度訪問控制,從而提高應(yīng)用系統(tǒng)的安全性��。
4 安全建設(shè)
營銷系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全��、主機操作系統(tǒng)安全��、數(shù)據(jù)庫安全��、應(yīng)用安全以及終端安全幾個層面的安全防護方案��,用以解決營銷系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問題��。
4.1 終端安全加固
終端作為營銷系統(tǒng)使用操作的發(fā)起設(shè)備��,其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩?�,乃至?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全��。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭��,而且是攻擊事件��、數(shù)據(jù)泄密和病毒感染的源頭��。這需要加強終端自身的安全防護策略的制定��,定期檢測被攻擊的風險��,對安全漏洞甚至病毒及時處理��。對終端設(shè)備進行完善的身份認證和權(quán)限管理��,限制和阻止非授權(quán)訪問��、濫用��、破壞行為��。
目前公司主要的接入終端有PC��、PDA��、無線表計��、配變檢測設(shè)備��、應(yīng)急指揮車等��。由于不同終端采用的操作系統(tǒng)不同��,安全防護要求和措施也不同��,甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統(tǒng)底層改造加固��;終端接入前下載安裝可信任插件��;采用兩種以上認證技術(shù)驗證用戶身份��;嚴格按權(quán)限限制用戶的訪問��;安裝安全通信模塊��,保障加密通訊及連接��;安裝監(jiān)控系統(tǒng)��,監(jiān)控終端操作行為��;安裝加密卡/認證卡��,如USBKEY/PCMCIA/ TF卡等��。
4.2 網(wǎng)絡(luò)環(huán)境安全
網(wǎng)絡(luò)環(huán)境安全防護是針對網(wǎng)絡(luò)的軟硬件環(huán)境��、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進行安全防護��。確保軟硬件設(shè)備整體在營銷網(wǎng)絡(luò)系統(tǒng)中安全有效工作��。
4.2.1 網(wǎng)絡(luò)設(shè)備安全
網(wǎng)絡(luò)設(shè)備安全包括國家電網(wǎng)公司信息內(nèi)��、外網(wǎng)營銷管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護��。主要防護措施包括��,對網(wǎng)絡(luò)設(shè)備進行加固��,及時安裝殺毒軟件和補丁��,定期更新弱點掃描系統(tǒng)��,并對掃描出的弱點及時進行處理��。采用身份認證��、IP��、MAC地址控制外來設(shè)備的接入安全��,采用較為安全的SSH��、HTTPS等進行遠程管理��。對網(wǎng)絡(luò)設(shè)備配置文件進行備份��。對網(wǎng)絡(luò)設(shè)備安全事件進行定期或?qū)崟r審計。采用硬件雙機��、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作��,保證營銷管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余��。
4.2.2 網(wǎng)絡(luò)傳輸安全
營銷系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時可能會被截獲��、篡改��、刪除��,因此應(yīng)當建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸��。
在非邊遠地方建立專用的電力通信網(wǎng)絡(luò)方便營銷系統(tǒng)的用戶安全使用��、在邊遠的沒有覆蓋電力局和供電營業(yè)所的地方��,采用建立GPRS��、GSM,3G專線或租用運營商ADSL、ISDN網(wǎng)絡(luò)專網(wǎng)專用的方式��,保障電力通信安全。
電力營銷技術(shù)系統(tǒng)與各個銀行網(wǎng)上銀行��、郵政儲蓄網(wǎng)點��、電費代繳機構(gòu)進行合作繳費��,極大方便電力客戶繳費��。為了提高通道的安全性,形成了營銷系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲蓄系統(tǒng)、internet公網(wǎng)��、供電中心網(wǎng)絡(luò)的一個封閉環(huán)路��,利用專網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>
在數(shù)據(jù)傳輸之前需要進行設(shè)備間的身份認證,在認證過程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉停赏ㄟ^哈希(HASH)單向運算、SSL加密��、Secure Shell(SSH)加密��、公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure 簡稱PKI)等方式實現(xiàn)��。
此外��,為保證所傳輸數(shù)據(jù)的完整性需要對傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗碼等技術(shù)以檢測和管理數(shù)據(jù)��、鑒別數(shù)據(jù)在傳輸過程中完整性是否受到破壞��。在檢測到數(shù)據(jù)完整性被破壞時��,采取有效的恢復措施��。
4.2.3 網(wǎng)絡(luò)邊界防護
網(wǎng)絡(luò)邊界防護主要基于根據(jù)不同安全等級網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護思想��。營銷系統(tǒng)安全域邊界��,分為同一安全域內(nèi)部各個子系統(tǒng)之間的內(nèi)部邊界��,和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類��。依據(jù)安全防護等級��、邊界防護和深度防護標準��,具有相同安全保護需求的網(wǎng)絡(luò)或系統(tǒng)��,相互信任,具有相同的訪問和控制策略��,安全等級相同��,被劃分在同一安全域內(nèi)[3]��,采用相同的安全防護措施��。
加強外部網(wǎng)絡(luò)邊界安全��,可以采用部署堡壘機��、入侵檢測��、審計管理系統(tǒng)等硬件加強邊界防護,同時規(guī)范系統(tǒng)操作行為��,分區(qū)域分級別加強系統(tǒng)保護��,減少系統(tǒng)漏洞��,提高系統(tǒng)內(nèi)部的安全等級��,從根本上提高系統(tǒng)的抗攻擊性��。
跨安全域傳輸?shù)臄?shù)據(jù)傳輸需要進行加密處理��。實現(xiàn)數(shù)據(jù)加密��,啟動系統(tǒng)的加密功能或增加相應(yīng)模塊實現(xiàn)數(shù)據(jù)加密��,也可采用第三方VPN等措施實現(xiàn)數(shù)據(jù)加密��。
4.3 主機安全
從增強主機安全的層面來增強營銷系統(tǒng)安全��,采用虛擬專用網(wǎng)絡(luò)(Virtual Private Network 簡稱VPN)等技術(shù)��,在用戶網(wǎng)頁(WEB)瀏覽器和服務(wù)器之間進行安全數(shù)據(jù)通信��,提高主機自身安全性,監(jiān)管主機行��,減小用戶錯誤操作對系統(tǒng)的影響��。
首先��,掃描主機操作系統(tǒng)評估出配置錯誤項��,按照系統(tǒng)廠商或安全組織提供的加固列表對操作系統(tǒng)進行安全加固��,以達到相關(guān)系統(tǒng)安全標準��。安裝第三方安全組件加強主機系統(tǒng)安全防護��。采用主機防火墻系統(tǒng)��、入侵檢測/防御系統(tǒng)(IDS/IPS)��、監(jiān)控軟件等��。在服務(wù)器和客戶端上部署專用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護系統(tǒng)等��。
此外��,還需要制定用戶安全策略��,系統(tǒng)用戶管理策略��,定義用戶口令管理策略[4]��。根據(jù)管理用戶角色分配用戶權(quán)限��,限制管理員使用權(quán)限��,實現(xiàn)不同管理用戶的權(quán)限分離��。對資源訪問進行權(quán)限控制��。依據(jù)安全策略對敏感信息資源設(shè)置敏感標記��,制定訪問控制策略嚴格管理用戶對敏感信息資源的訪問和操作��。
4.4 數(shù)據(jù)庫安全
數(shù)據(jù)庫安全首要是數(shù)據(jù)存儲安全��,包括敏感口令數(shù)據(jù)非明文存儲��,對關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲��,本地數(shù)據(jù)備份與恢復��,關(guān)鍵數(shù)據(jù)定期備份��,備份介質(zhì)場外存放和異地備份。當環(huán)境發(fā)生變更時��,定期進行備份恢復測試��,以保證所備份數(shù)據(jù)安全可靠��。
數(shù)據(jù)安全管理用于數(shù)據(jù)庫管理用戶的身份認證��,制定用戶安全策略��,數(shù)據(jù)庫系統(tǒng)用戶管理策略��,口令管理的相關(guān)安全策略��,用戶管理策略��、用戶訪問控制策略��,合理分配用戶權(quán)限��。
數(shù)據(jù)庫安全審計采用數(shù)據(jù)庫內(nèi)部審計機制或第三方數(shù)據(jù)庫審計系統(tǒng)進行安全審計��,并定期對審計結(jié)果進行分析處理��。對較敏感的存儲過程加以管理��,限制對敏感存儲過程的使用��。及時更新數(shù)據(jù)庫程序補丁��。經(jīng)過安全測試后加載數(shù)據(jù)庫系統(tǒng)補丁��,提升數(shù)據(jù)庫安全��。
數(shù)據(jù)庫安全控制��、在數(shù)據(jù)庫安裝前��,必須創(chuàng)建數(shù)據(jù)庫的管理員組��,服務(wù)器進行訪問限制��,制定監(jiān)控方案的具體步驟��。工具配置參數(shù)��,實現(xiàn)同遠程數(shù)據(jù)庫之間的連接[5]��。
數(shù)據(jù)庫安全恢復��,在數(shù)據(jù)庫導入時��,和數(shù)據(jù)庫發(fā)生故障時,數(shù)據(jù)庫數(shù)據(jù)冷備份恢復和數(shù)據(jù)庫熱備份恢復��。
4.5 應(yīng)用安全
應(yīng)用安全是用戶對營銷系統(tǒng)應(yīng)用的安全問題��。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶接口和數(shù)據(jù)接口的安全防護��。
4.5.1 應(yīng)用系統(tǒng)安全防護
應(yīng)用系統(tǒng)安全防護首先要對應(yīng)用系統(tǒng)進行安全測評��、安全加固��,提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運行��。定期對應(yīng)用程序軟件進行弱點掃描��,掃描之前應(yīng)更新掃描器特征代碼��;弱點掃描應(yīng)在非核心業(yè)務(wù)時段進行��,并制定回退計劃��。依據(jù)掃描結(jié)果��,及時修復所發(fā)現(xiàn)的漏洞��,確保系統(tǒng)安全運行��。
4.5.2 用戶接口安全防護
對于用戶訪問應(yīng)用系統(tǒng)的用戶接口需采取必要的安全控制措施��,包括對同一用戶采用兩種以上的鑒別技術(shù)鑒別用戶身份��,如采用用戶名/口令��、動態(tài)口令��、物理識別設(shè)備��、生物識別技術(shù)��、數(shù)字證書身份鑒別技術(shù)等的組合使用��。對于用戶認證登陸采用包括認證錯誤及超時鎖定��、認證時間超出強制退出��、認證情況記錄日志等安全控制措施��。采用用戶名/口令認證時��,應(yīng)當對口令長度��、復雜度��、生存周期進行強制要求。
同時��,為保證用戶訪問重要業(yè)務(wù)數(shù)據(jù)過程的安全保密��,用戶通過客戶端或WEB方式訪問應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當考慮進行加密傳輸��,如網(wǎng)上營業(yè)廳等通過Internet等外部公共網(wǎng)絡(luò)進行業(yè)務(wù)系統(tǒng)訪問必須采用SSL等方式對業(yè)務(wù)數(shù)據(jù)進行加密傳輸��。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩裘?�、口令等認證信息應(yīng)當明文傳輸和用戶口令在應(yīng)用系統(tǒng)中明文存儲��。
4.5.3 數(shù)據(jù)接口安全防護
數(shù)據(jù)接口的安全防護分為安全域內(nèi)數(shù)據(jù)接口的安全防護和安全域間數(shù)據(jù)接口的安全防護��。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間��,需要通過網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口��;安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間��,需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口��。
5 安全管理
安全管理是安全建設(shè)的各項技術(shù)和措施得以實現(xiàn)不可缺少的保障��,從制度和組織機構(gòu)到安全運行、安全服務(wù)和應(yīng)急安全管理��,是一套標準化系統(tǒng)的流程規(guī)范��,主要包括以下方面��。
5.1 安全組織機構(gòu)
建立營銷業(yè)務(wù)應(yīng)用安全防護的組織機構(gòu)��,并將安全防護的責任落實到人��,安全防護組織機構(gòu)可以由專職人員負責��,也可由運維人員兼職��。
5.2 安全規(guī)章制度
建立安全規(guī)章制度��,加強安全防護策略管理��,軟件系統(tǒng)安全生命周期的管理��,系統(tǒng)安全運維管理��,安全審計與安全監(jiān)控管理��,以及口令管理��、權(quán)限管理等��。確保安全規(guī)章制度能夠有效落實執(zhí)行��。
5.3 安全運行管理
在系統(tǒng)上線運行過程中��,遵守國家電網(wǎng)公司的安全管理規(guī)定��,嚴格遵守業(yè)務(wù)數(shù)據(jù)安全保密��、網(wǎng)絡(luò)資源使用��、辦公環(huán)境等的安全規(guī)定��。
首先��,系統(tǒng)正式上線前應(yīng)進行專門的系統(tǒng)安全防護測試��,應(yīng)確認軟件系統(tǒng)安全配置項目準確��,以使得已經(jīng)設(shè)計��、開發(fā)的安全防護功能正常工作��。
在上線運行維護階段��,應(yīng)定期對系統(tǒng)運行情況進行全面審計,包括網(wǎng)絡(luò)審計��、主機審計��、數(shù)據(jù)庫審計��,業(yè)務(wù)應(yīng)用審計等��。每次審計應(yīng)記入審計報告��,發(fā)現(xiàn)問題應(yīng)進入問題處理流程��。建立集中日志服務(wù)器對營銷交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進行集中收集存儲和管理��。
軟件升級改造可能會對原來的系統(tǒng)做出調(diào)整或更改��,此時也應(yīng)從需求��、分析��、設(shè)計��、實施上線等的整個生命周期對運行執(zhí)行新的安全管理��。
5.4 安全服務(wù)
安全服務(wù)的目的是保障系統(tǒng)建設(shè)過程中的各個階段的有效執(zhí)行��,問題��、變更和偏差有效反饋��,及時解決和糾正��。從項目層面進行推進和監(jiān)控系統(tǒng)建設(shè)的進展��,確保項目建設(shè)質(zhì)量和實現(xiàn)各項指標��。
從項目立項��、調(diào)研��、開發(fā)到實施��、驗收��、運維等各個不同階段��,可以階段性開展不同的安全服務(wù)��,包括安全管理��、安全評審��、安全運維、安全訪談��、安全培訓��、安全測試��、安全認證等安全服務(wù)��。
5.5 安全評估
安全評估是對營銷系統(tǒng)潛在的風險進行評估(Risk Assessment)��,在風險尚未發(fā)生或產(chǎn)生嚴重后果之前對其造成后果的危險程度進行分析��,制定相應(yīng)的策略減少或杜絕風險的發(fā)生概率��。
營銷系統(tǒng)的安全評估主要是針對第三方使用人員��,評估內(nèi)容涵蓋��,終端安全和接入網(wǎng)絡(luò)安全��。根據(jù)國家電網(wǎng)公司安全等級標準��,對核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級進行測評��,并給出測評報告和定期加固改造辦法��,如安裝終端加固軟件/硬件��,安裝監(jiān)控軟件��、增加網(wǎng)絡(luò)安全設(shè)備��、增加安全策略��,包括禁止違規(guī)操作��、禁止越權(quán)操作等��。
5.6 應(yīng)急管理
為了營銷系統(tǒng)7×24小時安全運行��,必須建立健全快速保障體系��,在系統(tǒng)出現(xiàn)突發(fā)事件時��,有效處理和解決問題��,最大限度減小不良影響和損失��,制定合理可行的應(yīng)急預案��,主要內(nèi)容包括:明確目標或要求��,設(shè)立具有專門的部門或工作小組對突發(fā)事件能夠及時反應(yīng)和處理。加強規(guī)范的應(yīng)急流程管理��,明確應(yīng)急處理的期限和責任人��。對于一定安全等級的事件��,要及時或上報��。
6 實施部署
營銷系統(tǒng)為多級部署系統(tǒng)��。根據(jù)國家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護的指導思想原則��,結(jié)合新疆多地市不同安全級別需求的實際情況��,營銷系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示��。
在營銷系統(tǒng)部署中��,對安全需求不同的地市子網(wǎng)劃分不同的安全域��,網(wǎng)省管控平臺部署在網(wǎng)省信息內(nèi)網(wǎng)��,負責對所有安全防護措施的管控和策略的下發(fā)��,它是不同安全級別地市子系統(tǒng)信息的管理控制中心��,也是聯(lián)接總部展示平臺的橋梁��,向國網(wǎng)總公司提交營銷系統(tǒng)安全運行的數(shù)據(jù)和報表等信息��。
7 結(jié)束語
電力營銷網(wǎng)絡(luò)安全技術(shù)的發(fā)展伴隨電力營銷技術(shù)的發(fā)展而不斷更新��,伴隨安全技術(shù)的不斷進步而不斷進步��。電力營銷網(wǎng)絡(luò)的安全不僅僅屬于業(yè)務(wù)系統(tǒng)的安全范疇��,也屬于網(wǎng)絡(luò)信息化建設(shè)范疇��,其安全工作是一個系統(tǒng)化��,多元化的工作��,立足于信息內(nèi)網(wǎng)安全��,覆蓋信息外網(wǎng)安全和其他網(wǎng)絡(luò)��。
本文基于新疆電力營銷系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀��,結(jié)合現(xiàn)有安全技術(shù)和安全管理手段來提高營銷系統(tǒng)整體安全水平��,為提升原有網(wǎng)絡(luò)的安全性��,構(gòu)造一個安全可靠的電力營銷網(wǎng)絡(luò)提供了一套安全解決方案,對國家電網(wǎng)其他具有類似需求的網(wǎng)省公司營銷系統(tǒng)網(wǎng)絡(luò)安全問題解決提供參考和借鑒��。
參考文獻
[1]趙宏斌��,陳超.電力營銷數(shù)據(jù)安全防護體系及其關(guān)鍵技術(shù)研究[J].電力信息化��,2008年6卷7期:135-139.
[2]呂萍萍.當前電力企業(yè)電力營銷的現(xiàn)狀與安全防護保障系統(tǒng)構(gòu)建[J].華東科技:學術(shù)版��,2012年11期:282.
[3]蔣明��,吳斌.電力營銷系統(tǒng)信息安全等級保護的研究與實踐[J].電力信息化,2009年3期:25-27.
[4]朱芳,肖忠良��,趙建梅.淺析電力營銷業(yè)務(wù)應(yīng)用系統(tǒng)的安全風險[J].黑龍江科技信息,2010年35期:153-154.
[5]李紅文.論加強電力營銷信息系統(tǒng)安全[J].信息通信,2012年1月:115-116.
作者簡介:劉陶(1983-),男��,漢族��,四川樂山��,本科,技師��,電力營銷稽查與實施調(diào)度��。
陳曉云(1974-),女��,大專��,技師��,新疆烏魯木齊��,電力營銷稽查��。
第3篇
根據(jù)總公司要求和排查安全管理工作重點的要求��,結(jié)合科技公司的經(jīng)營工作實際��,經(jīng)認真排查確定��,安全管理工作重點為:青島至四方間k4+690至k6+119處聲屏障工程��,其中��,人身安全為重中之重��。
為確保聲屏障工程的施工安全和勞動人身安全��,公司給予了人力、物力��、財力的全力支持��。施工之初��,公司成立了工程施工安全領(lǐng)導小組��,組長:彭大釗王國華副組長:楊躍偉(常務(wù))成員:楊淑靜史堅鵬李明周國忠李樹戊��。工程施工現(xiàn)場安全工作組��,組長:楊躍偉副組長:楊淑靜史堅鵬(常務(wù))鞏寶方成員:宋振輝陳金華周國忠李樹戊��,加強對安全工作的領(lǐng)導和管理��。
在基礎(chǔ)開挖工作中��,根據(jù)施工進度和現(xiàn)場實際情況��,制定了《施工現(xiàn)場安全注意事項》
一��、進入施工現(xiàn)場人員必須身穿防護服��。
二��、橫越線路時必須做到:一站、二看��、三通過��,注意左右機車��、車輛的動態(tài)及腳下有無障礙物。
三��、嚴禁在運行中的機車��、車輛前面搶越��。
四��、嚴禁在鋼軌上��、車底下��、枕木頭��、道心里坐臥或停留��,嚴禁將鋼筋��、鋼管等金屬物橫放在兩條鋼軌上��。
五、順線路行走時��,應(yīng)走兩線路中間,隨時注意機車��、車輛的動態(tài)��。
六��、必須橫越停有機車��、車輛的線路時��,先確認機車��、車輛暫不移動��,然后在機車��、車輛較遠處越過��。
七��、注意愛護行車設(shè)備��、站場設(shè)備及各種表示牌(燈)等站場標志。
八��、當防護員發(fā)出報警信號后��,施工人員應(yīng)立即離開行車線路躲避��,以保證行車和人身安全��。
九��、施工中較長的施工工具及材料應(yīng)順線路擺放��,以免侵入限界造成事故��。
7月17日基礎(chǔ)混凝土澆注完成后��,根據(jù)工程進度和施工內(nèi)容的變化��,我們對施工現(xiàn)場安全注意事項及時進行了修訂和補充��。
一、施工現(xiàn)場安全工作制度
1��、定期召開安全工作會議��,認真?zhèn)鬟_貫徹路局有關(guān)施工安全文件��,組織學習工程指揮部有關(guān)工程施工的文件和電報��,結(jié)合工程實際情況��,制定相應(yīng)的貫徹措施��。
2��、每天召開安全碰頭會��,總結(jié)安全工作��,研究解決施工中存在的問題��,制定相應(yīng)的安全措施��,研究制定次日的安全關(guān)鍵和相應(yīng)的防護措施��。
3��、每天派出專人參加施工隊的班前會,對前日的安全工作進行點評��,布置當日的安全工作重點和安全注意事項��。
二��、施工現(xiàn)場安全防護措施
1、施工現(xiàn)場設(shè)立警戒表識和安全警示標志,加強對施工人員的安全教育��,不穿防護服��,絕對不能進入施工現(xiàn)場。
2��、施工現(xiàn)場兩端施工隊設(shè)專人進行安全防護��,配備喇叭并保證作用良好��。
3��、派出專人到車站聯(lián)系行車計劃,提前掌握車流狀況��,作好安全防護準備工作。
4��、加強現(xiàn)場安全巡查力度和巡查頻次��,認真檢查作業(yè)現(xiàn)場的工具和材料的擺放,避免侵線��,發(fā)現(xiàn)問題立即督促整改��。
5��、對于登高作業(yè),施工隊派出專人現(xiàn)場盯控��,防止高空墜落傷害��,防止材料、工具和人員侵入接觸網(wǎng)的安全限界��,防止觸電事故的發(fā)生��,杜絕斷網(wǎng)的行車事故��。
6��、制作專用工具��,解決架設(shè)h型鋼和吸聲板難題��,從根本上防止觸電事故和行車事故的發(fā)生��。
7、搬運金屬材料時��,采取有效防護措施��,防止軌道電路短路,影響行車安全��。
三、應(yīng)急預案
1��、施工安排堅持“先難后易��、先內(nèi)后外”的原則��,科學、合理的安排進度��。
2、幫助施工隊合理調(diào)配勞動力��,科學施工,分組分段��,倒排工期��,嚴格按進度計劃完成當日施工任務(wù)。
3��、制作輔助器械,減輕勞動強度��,在確保絕對安全的前提下��,加快工程進度��。
4��、提高安全意識��,增強反恐防爆觀念,加強內(nèi)部治安秩序��,加強對施工現(xiàn)場的安全巡查,特別要加強夜間的安全巡查��,對進入施工現(xiàn)場的閑散人員,嚴加盤查��,勸其離開��,如發(fā)現(xiàn)可疑跡象和故意破壞行為��,應(yīng)立即報警��。
7月27日正線開通以后,我們根據(jù)《*鐵路局營業(yè)線施工及安全管理實施細則》��、《技規(guī)》��、《行規(guī)》的有關(guān)規(guī)定��,重新修訂了《施工現(xiàn)場安全管理辦法》��。一��、聲屏障施工現(xiàn)場必須全部設(shè)立施工安全警戒線��。按照《技規(guī)》第395條第一款第一項基本建筑限界圖的規(guī)定��,距離鋼軌頭部外側(cè)1.6米以外設(shè)立施工安全警戒線��。施工人員以及施工材料��、工具和備品��,嚴禁侵入施工安全警戒線以內(nèi)��。
二��、聲屏障基礎(chǔ)抹面作業(yè)方式��,采取分段作業(yè)��,100米以內(nèi)為一段作業(yè)面��,施工現(xiàn)場(包括安裝吸聲板)不得超過3個作業(yè)面��。根據(jù)施工現(xiàn)場的了望條件��,以作業(yè)面兩端為起點��,向兩端延伸50至80米處各設(shè)立一名安全防護員��,安全防護員要全神貫注��、精力集中��,佩帶臂章��,手持喇叭��,站姿面向來車方向��。在接到來車通知或看到有機車��、車輛��、軌道車移動時,立即吹響喇叭��,警示施工人員停止作業(yè)��。施工人員聽到警示信號后��,立即停止一切作業(yè)并站穩(wěn)抓牢躲避列車和移動車輛��。列車��、車輛在作業(yè)面內(nèi)通過時嚴禁人員走動和其它作業(yè)��。待列車全部通過或移動車輛遠離作業(yè)面后��,重新作業(yè)��。
三��、吸聲板作業(yè)和安全防護��,除嚴格執(zhí)行聲屏障基礎(chǔ)抹面的作業(yè)方式和安全防護辦法外��,施工人員聽到警示喇叭后��,應(yīng)立即停止作業(yè)��,作業(yè)人員迅速從梯子上下來后,將全部梯子��、吸聲板以及施工器械橫到并順線路方向擺放于警戒線外方��,施工人員站穩(wěn)抓牢躲避列車��、車輛��。待列車��、車輛通過后��,重新作業(yè)��。安裝吸聲板作業(yè)時嚴禁在電網(wǎng)以及帶電體2米范圍內(nèi)進行安裝和其它作業(yè)��。
第4篇
【關(guān)鍵詞】 二灘水電站 二次系統(tǒng) 安全防護
1 概述
二灘水電站地處中國四川省西南邊陲攀枝花市鹽邊與米易兩縣交界處��,雅礱江下游��,壩址距雅礱江與金沙江的交匯口33公里��,距攀枝花市區(qū)46公里��,系雅礱江水電基地梯級開發(fā)的第一個水電站��,上游為官地水電站��,下游為桐子林水電站��。水電站最大壩高240米��,水庫正常蓄水位1200米��,總庫容57.9億立方米��,調(diào)節(jié)庫容33.7億立方米��,裝機總?cè)萘?30萬千瓦��,保證出力102.8萬千瓦��,多年平均發(fā)電量170億千瓦時��,兩回500kV出線接入攀枝花電網(wǎng)��,三回500kV出線接入四川主網(wǎng)��,并擔當四川電網(wǎng)主力調(diào)峰��、調(diào)頻任務(wù)��。
隨著網(wǎng)絡(luò)技術(shù)、信息技術(shù)在電力系統(tǒng)的廣泛應(yīng)用��,網(wǎng)絡(luò)與信息系統(tǒng)已經(jīng)成為電力系統(tǒng)生產(chǎn)��、運營和發(fā)展的基礎(chǔ)設(shè)施��。信息安全風險作為電力企業(yè)信息安全風險管理的基本內(nèi)容��,是電力系統(tǒng)各級單位信息安全保障體系的重要內(nèi)容��,其中二次系統(tǒng)安全更是重中之重��。
2 二灘水電站二次系統(tǒng)安全防護的必要性
二灘水電站生產(chǎn)控制系統(tǒng)在可靠性方面已經(jīng)采取了防電磁干擾��、冗余等措施��,但是隨著2011年12月實現(xiàn)成都集控中心遠程控制二灘水電站��,在通信鏈路上冒充��、篡改��、竊收��、重放等類型的網(wǎng)絡(luò)威脅也不斷增加��,嚴重影響到電力生產(chǎn)信息的完整性��、真實性和一致性��。同時隨著設(shè)備老化��,消缺及改造的增加��,生產(chǎn)控制系統(tǒng)在調(diào)試及維護階段��,廠家人員以及相關(guān)班組通過移動工作站進入電力生產(chǎn)控制系統(tǒng)��,出于安全意識薄弱��、商業(yè)競爭或政治目的會置入邏輯炸彈��、蠕蟲等惡意代碼��,破壞電力生產(chǎn)控制系統(tǒng)的正常穩(wěn)定運行的風險也不斷增大��,二次系統(tǒng)安全問題日益凸顯��。因此��,二灘水電站于2011年8月啟動集控邊界二次安防系統(tǒng)建設(shè)。
3 二灘水電站二次系統(tǒng)安全防護系統(tǒng)的構(gòu)成
二灘水電站按照《電力二次系統(tǒng)安全防護規(guī)定》和《全國電力二次系統(tǒng)安全防護規(guī)定》��,根據(jù)電力二次系統(tǒng)安全防護總體原則“安全分區(qū)��、網(wǎng)絡(luò)專用��、橫向隔離��、縱向認證”的要求��,二灘水電站二次系統(tǒng)安全防護按安全等級劃分為兩個大區(qū)��,即:生產(chǎn)控制大區(qū)和管理信息大區(qū)��。生產(chǎn)控制大區(qū)劃分為安全Ⅰ區(qū)(實時控制區(qū))和安全區(qū)Ⅱ(非控制生產(chǎn)區(qū))��;管理信息大區(qū)劃分為安全Ⅲ區(qū)(生產(chǎn)管理區(qū))��。安全Ⅰ區(qū)主要包括計算機監(jiān)控系統(tǒng)和穩(wěn)定監(jiān)錄裝置��,安全Ⅱ區(qū)主要包括安控信息��、保護信息和能量計費系統(tǒng)��,安全Ⅲ區(qū)主要包括工業(yè)電視系統(tǒng)��。二次安防系統(tǒng)圖如圖1��。
3.1 二灘水電站二次系統(tǒng)安全Ⅰ區(qū)安全防護措施
二次系統(tǒng)安全Ⅰ區(qū)的計算機監(jiān)控系統(tǒng)為整個電站的核心��,一旦遭受網(wǎng)絡(luò)攻擊��、惡意代碼等網(wǎng)絡(luò)安全威脅��,對于電站自身安全生產(chǎn)乃至四川電網(wǎng)安全都構(gòu)成嚴重威脅��,必須采用最為嚴格的技術(shù)手段來確保其安全��。二灘水電站穩(wěn)定監(jiān)錄系統(tǒng)為四川省電網(wǎng)穩(wěn)定性監(jiān)錄系統(tǒng)的重要監(jiān)測點之一��,為四川省電網(wǎng)穩(wěn)定性監(jiān)錄系統(tǒng)提供實時數(shù)據(jù)��,為電網(wǎng)的安全穩(wěn)定運行提供分析依據(jù)設(shè)��,其信息安全直接關(guān)系到四川電網(wǎng)的穩(wěn)定性��,必須作為安全防護的重點��。避免網(wǎng)絡(luò)威脅的最直接辦法就是減少與外部網(wǎng)絡(luò)的連接��,并在網(wǎng)絡(luò)邊界處采取嚴格防侵入措施��。如圖1所示,二灘水電站安全I區(qū)的主要防護措施如下:
(1)安全I區(qū)內(nèi)系統(tǒng)在本站范圍內(nèi)不與任何外部網(wǎng)絡(luò)連接��,確保其網(wǎng)絡(luò)的獨立性��。
(2)在安全I區(qū)與省調(diào)的縱向通信網(wǎng)絡(luò)邊界處裝設(shè)衛(wèi)士通SJW77電力專用縱向加密認證裝置��。該裝置采用國密辦批準的專用密碼算法以及電力系統(tǒng)安全防護專家組制定的特有封裝格式��,在協(xié)議IP層實現(xiàn)數(shù)據(jù)的封裝��、機密性��、完整性和數(shù)據(jù)源鑒別等安全功能��。
(3)在安全I區(qū)與成都集控中心縱向通信網(wǎng)絡(luò)邊界處裝設(shè)南瑞NetKeeper-2000縱向加密認證網(wǎng)關(guān)��。該設(shè)備采用國密碼辦批準的電力系統(tǒng)專用加密芯片實現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)的加密��,所有密鑰協(xié)商和密文通信均采用專用的安全協(xié)議��。提供長度高達128位加密算法��,抗攻擊性強��,破解難度高��,充分保證數(shù)據(jù)的機密性��。提供長度高達160位密鑰散列算法��,抗攻擊強度高��,嚴格防止用戶篡改數(shù)據(jù)��,保證數(shù)據(jù)的完整性��。
(4)配置一套安全審計TDS管理系統(tǒng)��。其針對站內(nèi)監(jiān)控系統(tǒng)網(wǎng)絡(luò)及監(jiān)控系統(tǒng)與省調(diào)��、集控中心網(wǎng)絡(luò)邊界��,可通過全面漏洞掃描探測��、操作系統(tǒng)信息采集與分析��、日志分析��、木馬檢查��、安全攻擊仿真��、網(wǎng)絡(luò)協(xié)議分析、系統(tǒng)性能壓力��、滲透測試��、安全配置檢查��、進程查看分析��、數(shù)據(jù)恢復取證(定制)��、網(wǎng)絡(luò)行為分析等多個維度對網(wǎng)絡(luò)安權(quán)檢測分析��,一旦發(fā)現(xiàn)網(wǎng)絡(luò)威脅��,系統(tǒng)會迅速通過網(wǎng)絡(luò)備份與災(zāi)難恢復系統(tǒng)進行快速恢復��。
(5)監(jiān)控系統(tǒng)主服務(wù)器采用UNIX操作系統(tǒng)��,降低病毒風險��。
(6)在每臺操作員站及工程師站裝設(shè)殺毒軟件��,并及時更新數(shù)據(jù)庫��。
(7)移動工程師站接入安全I區(qū)時��,必須通過硬件防火墻
通過上述多項安全防護措施��,二灘水電站安全I區(qū)能有效防止惡意攻擊��、數(shù)據(jù)篡改及數(shù)據(jù)竊取等網(wǎng)絡(luò)威脅��,符合二次系統(tǒng)安全防護的整體要求��。
3.2 二灘水電站二次系統(tǒng)安全Ⅱ區(qū)安全防護措施
二次系統(tǒng)安全防護Ⅱ區(qū)包括電站側(cè)能量計費系統(tǒng)��、安控信息��、及保護信息��。其數(shù)據(jù)通信使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)��,數(shù)據(jù)采集頻度是分鐘級或小時級��,為非控制網(wǎng)��,其二次安防按照遠程撥號訪問生產(chǎn)控制大區(qū)的防護策略��,設(shè)防等級低于安全Ⅰ區(qū)��。如圖1所示��,安全Ⅱ區(qū)的防護措施如下:
(1)安控裝置與保護信息裝置之間裝設(shè)華為USG2000型防火墻,能有效起到入侵防御��、防病毒等安全防護��,確保安控裝置的安全性��。
(2)二灘水電站安全Ⅱ區(qū)與省調(diào)網(wǎng)絡(luò)邊界裝設(shè)華為USG2000型防火墻��,確保站內(nèi)安全Ⅱ區(qū)不受來自外網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵��、病毒等網(wǎng)絡(luò)威脅��。
(3)安全Ⅱ區(qū)網(wǎng)絡(luò)除省調(diào)邊界外��,與外網(wǎng)隔離��,不采用WEB服務(wù)器��,保證專網(wǎng)專用��,避免來自其他網(wǎng)絡(luò)的網(wǎng)絡(luò)安全威脅��。
通過上述多項安全防護措施��,二灘水電站安全Ⅱ區(qū)能有效防止來自內(nèi)部及外部的網(wǎng)絡(luò)威脅��,符合二次系統(tǒng)安全防護的整體要求��。
3.3 二灘水電站二次系統(tǒng)安全Ⅲ區(qū)安全防護措施
二次系統(tǒng)安全Ⅲ區(qū)主要是工業(yè)電視系統(tǒng)��。工業(yè)電視系統(tǒng)作為全站設(shè)備輔助監(jiān)視的一個重要手段��,能很好地為雅礱江公司集控中心在電站無人值班時��,及時監(jiān)控現(xiàn)場設(shè)備運行情況��,大幅提升電站運行的可靠性��。其安全防護特點雖不如安全Ⅰ區(qū)��、Ⅱ區(qū)嚴格��,但也不能忽視��。二次系統(tǒng)安全Ⅲ區(qū)同樣采用專網(wǎng)專用��,不與Ⅰ區(qū)��、Ⅱ區(qū)相連��,在與雅礱江公司集控中心網(wǎng)絡(luò)邊界處裝設(shè)華為USG2000型防火墻,保證安全Ⅲ區(qū)免受網(wǎng)絡(luò)入侵和控制��。
4 二灘水電站二次系統(tǒng)安全防護系統(tǒng)運行管理
安全管理是電力系統(tǒng)安全的重要保障��,二灘水電站的二次系統(tǒng)分布廣��,不易管理��,所以“三分技術(shù)��,七分管理”中管理亦不能忽視��。二灘水電站是國內(nèi)首座通過NOSCAR認證的大型水電站��,其對安全的重視尤為突出��,針對二次系統(tǒng)安全防護的重要性��,通過制度管理來保證其安全運行��。
(1)實行安全責任追究制度��,出現(xiàn)問題嚴格按照制度進行責任追究和考核��。
(2)借助電站NOSA安全體系建設(shè)��,強化員工安全意識,明確二次安防系統(tǒng)的重要性��。
(3)加強用戶權(quán)限管理��,運行人員僅具備查看��、操作權(quán)限��,參數(shù)配置��、修改��,系統(tǒng)維護等權(quán)限由檢修監(jiān)控班統(tǒng)一管理��。
(4)針對系統(tǒng)維護��、消缺等工作制定嚴格工序卡��,專業(yè)人員必須按照工序卡來執(zhí)行��。
(5)系統(tǒng)數(shù)據(jù)提取采用光盤刻錄方式進行��,杜絕其他移動儲存設(shè)備的接入��。
(5)建立機房管理制度并嚴格執(zhí)行��。
(6)制定應(yīng)急預案��,確保二次系統(tǒng)故障后能迅速��、有效處置��,限制��、減小影響范圍��。
5 結(jié)語
隨著水電站自動化水平的不斷提升��,遙測��、遙信��、遙控和遙調(diào)設(shè)備的不斷增加��,網(wǎng)絡(luò)安全威脅的不斷多元化��,二次系統(tǒng)的安全足以影響整個電站的安全生產(chǎn)��,所以二次系統(tǒng)安全防護需要技術(shù)不斷升級��,管理不斷加強��,保證電力生產(chǎn)安全。
二灘水電站二次系統(tǒng)安全防護工作按照國家電力二次系統(tǒng)安全防護的總體原則��,結(jié)合電站自身情況��,通過加密認證技術(shù)��、防火墻技術(shù)��、入侵檢測技術(shù)和網(wǎng)絡(luò)防病毒技術(shù)��,對站內(nèi)二次系統(tǒng)進行了有效防護��,能有效保證其安全��、穩(wěn)定運行��。
參考文獻:
[1]王群��,潘亮.紫平鋪水力發(fā)電廠二次系統(tǒng)安全防護簡介[J].機電技術(shù)��,2012��,(5):57-59.
[2]電力二次系統(tǒng)安全防護規(guī)定(電監(jiān)會5號令)[S].2004.
第5篇
【關(guān)鍵詞】 電網(wǎng) 二次安全 防護
一��、現(xiàn)狀調(diào)查
對2013年第四季度電網(wǎng)二次安全防護系統(tǒng)存在的不安全因素��,進行了統(tǒng)計��。其中因IDS誤報漏報��、設(shè)備宕機��、網(wǎng)絡(luò)故障��、電源故障和其他原因?qū)е碌木S護總時間分別為189.5��、44.5��、13.5��、2.0和4.5小時��,累計維護時間為189.5��、234.0��、247.5��、249.5和254.0��,累計比例分別為74.60%��、92.13%、97.44%��、98.23%和100%��。
2013年��,電網(wǎng)二次安全防護系統(tǒng)累計維護時間254小時��,而電網(wǎng)二次安全防護系統(tǒng)的可用率不高于86.31%��,低于《開封電網(wǎng)調(diào)度自動化運行管理規(guī)程》和《電力調(diào)度技術(shù)標準匯編》中單機系統(tǒng)可用率不小于95%的要求��。
而從表中我們可以對比得出��,影響電網(wǎng)二次安全防護系統(tǒng)實用性的最主要問題是:IDS誤報漏報��。因此��,只要消除IDS誤報漏報這一問題��,就可以大幅度提高電網(wǎng)二次安全防護系統(tǒng)的實用性��。
二��、原因分析
依據(jù)現(xiàn)狀調(diào)查表��,從人��、機��、料��、法��、環(huán)五個方面著手��,利用魚刺圖追本溯源��,對IDS誤報漏報率的原因進行分析��,尋找出7條末端原因:系統(tǒng)規(guī)則��、策略不完善��;經(jīng)驗不足��;責任心不強��;人力缺乏��;數(shù)據(jù)源存在后門和��;誤操作;系統(tǒng)存在漏洞和開放端口��。
三��、解決措施
實施1:完善系統(tǒng)監(jiān)測規(guī)則和策略
①過濾誤報��。對系統(tǒng)產(chǎn)生的告警��,根據(jù)所監(jiān)控的具體網(wǎng)絡(luò)環(huán)境可以判斷為明顯誤報時��,可以設(shè)置為不告警��。比如:某個機器被告警有木馬��,而這個機器肯定沒有開放相應(yīng)端口或者沒有被種植木馬��;或者是某些特定應(yīng)用引起的某種類型報警��,這時對于只是針對某個系統(tǒng)的情況��,設(shè)置對此系統(tǒng)IP不告警��、不記入數(shù)據(jù)庫��。
②過濾不關(guān)心告警��。入侵檢測系統(tǒng)可以報告很多類型告警事件��,比如登錄成功��、登錄失敗及探測掃描等��。有些事件對于事后分析非常有幫助��,但日常監(jiān)控界面上大量的這些事件有時會影響對主要事件的關(guān)注��,因此需要標注那些不關(guān)心的事件讓其不顯示��,但仍然記錄進數(shù)據(jù)庫��。
③定制關(guān)心的安全事件��。通過查詢系統(tǒng)我們發(fā)現(xiàn)��,安全廠商僅僅通過定義規(guī)則來檢測常見的應(yīng)用��、系統(tǒng)攻擊事件��,而針對具體應(yīng)用系統(tǒng)的攻擊行為和網(wǎng)管人員自身關(guān)心的事件可能沒有涉及��。因此我們針對這一特點,尋求廠商的支持��,添加對應(yīng)規(guī)則��。
④正確判斷誤報��。根據(jù)網(wǎng)絡(luò)環(huán)境進行判斷��,具體判斷過程中會有跡象可尋��。常見的誤報通常會導致大量報警��,這樣在入侵檢測系統(tǒng)運行一段時候后��,使用日志分析工具對所有告警進行一個統(tǒng)計分析��,選取告警數(shù)據(jù)前10位的告警��,通過對這些告警進行分析��,協(xié)助進行判斷��,從而達到減少誤報漏報才來的影響��。
實施1完成后��,大大較少了維護人員對二次安全防護系統(tǒng)的維護工作量��,提高了二次安全防護系統(tǒng)的實用性��。同時��,也從側(cè)面減輕了人力缺乏對系統(tǒng)穩(wěn)定運行帶來的影響��。
實施2:修補系統(tǒng)漏洞��,關(guān)閉系統(tǒng)業(yè)務(wù)無關(guān)的端口及服務(wù)
對IDS系統(tǒng)的系統(tǒng)漏洞進行了檢測��,并及時修補相關(guān)補丁��。同時��,經(jīng)過和廠商相關(guān)技術(shù)人員的交流��,及對電網(wǎng)調(diào)度自動化相關(guān)業(yè)務(wù)的統(tǒng)計和其所使用服務(wù)��、端口的分析��,關(guān)閉與電網(wǎng)調(diào)度自動化系統(tǒng)無關(guān)的業(yè)務(wù)端口及服務(wù)��。同時��,還將修補漏洞工作寫入班組日常工作內(nèi)容,以達到及時修補新發(fā)現(xiàn)漏洞的目的��。
實施2完成后��,使電網(wǎng)二次安全防護系統(tǒng)的實用性得到了進一步的加強��,從而能夠有效的保障電網(wǎng)調(diào)度自動化系統(tǒng)的安全��、穩(wěn)定��、經(jīng)濟運行��。
實施3:開展技能培訓
邀請科技公司的安全工程師向調(diào)度自動化班的全體成員講解了電網(wǎng)二次安全防護系統(tǒng)的整體結(jié)構(gòu)��、聯(lián)接關(guān)系��、維護方法以及故障處理等過程��。培訓后��,工作人員對電網(wǎng)二次安全防護系統(tǒng)的故障預判��、處理及分析能力大大提高��,各項工作能力均得到了顯著提升��。
四、效果檢查
對2014年第四季度��,電網(wǎng)二次安全防護系統(tǒng)存在的不安全因素��,進行了再次統(tǒng)計��。
第6篇
關(guān)鍵詞:安全防護��;設(shè)施��;標準化��;建筑
2004年��,“開展安全生產(chǎn)標準化”這一活動被國務(wù)院大力倡導��,2006年��,住建部明確要求各地建筑開始實施建筑施工安全生產(chǎn)的標準化工作��,更是為建筑行業(yè)能踐行安全生產(chǎn)和保障找你去按生產(chǎn)質(zhì)量制定和頒布了相關(guān)規(guī)范以及工作標準��。目前��,我國建筑行業(yè)產(chǎn)業(yè)規(guī)模還在繼續(xù)擴大��,但是其安全水平較低��,建筑工程的大規(guī)?�?焖侔l(fā)展的勢頭和其相關(guān)大量的從業(yè)人員使得發(fā)生安全事故的后果極其嚴重��。例如2007年4月27日青海省西寧市某基地邊坡支護工程施工現(xiàn)場發(fā)生一起坍塌事故��,造成3人死亡��、1人輕傷��,直接經(jīng)濟損失60萬元��。因此��,必須提高建筑工程安全生產(chǎn)水平��,實施安全防護實施的標準化��。
1.建筑安全防護設(shè)施的標準化
1.1建筑工程臨邊防護的標準化��。建筑工程生產(chǎn)過程中必須按照規(guī)定的標準嚴格執(zhí)行��,比如臨邊作業(yè)前一定要建設(shè)預防工程施工安全必須具備的防護措施��;施工區(qū)域內(nèi),其施工作業(yè)區(qū)和平臺��、施工人員人行通道以及運輸接料臺等場所��,如果臨邊落差≧2m��,必須沿著其周圍安裝防護欄或住在垂直運輸接料臺安裝安全門等��。同時��,其防護欄的材料以及安裝必須符合建筑施工安全規(guī)定的基本要求��。1.2建筑工程洞口防護的標準化��。建筑工程生產(chǎn)過程中必須采取有效的防護設(shè)施��,避免因建筑工程自身問題或者工序的需要��,從而產(chǎn)生使人和物可能會發(fā)生墜落進而危及相關(guān)人員生命安全的洞口��,在樓板和墻洞口��、鉆孔樁等樁口��,在沒有進行填土的坑槽或者天窗��、地板門等處��,按照相關(guān)洞口防護安全的要求標準規(guī)范��,在其洞口上方設(shè)置具有較強穩(wěn)定性的蓋板��、防護欄和安全網(wǎng)等防止人和物發(fā)生墜落危險的防護設(shè)施��。施工區(qū)域內(nèi)的一些豎向孔和洞口可能會造成相鄰的人��、物發(fā)生墜落危險��,所以必須加以對其嚴蓋的防護措施��。其防護方式應(yīng)根據(jù)洞口的類型采取相對應(yīng)的設(shè)施��,比如在樓板��、屋面��、平臺等地��,其孔口短邊的尺寸大于25m且小于250mm��,須用堅固的蓋板將其蓋嚴��,并牢牢固定住��;當安裝預制構(gòu)件的洞口��、樓板面等孔口邊長在250-500mm之間以及其他種類的洞口��,蓋板須用竹��、木等材料��,并均衡放置蓋板��,使之被牢牢固定��;如果洞口的邊長在500-1500mm內(nèi)��,應(yīng)安裝扣件扣接鋼管而形成的一個1000×1000mm的網(wǎng)格��,并在網(wǎng)格上鋪滿竹籬笆或者腳手板��;在剪刀墻的墻角或用蓋板防護仍不安全的其他類型洞口��,須預先設(shè)置一個貫穿于混凝土板內(nèi)鋼筋而成的防護網(wǎng)��,其鋼筋網(wǎng)格的間距要小于200mm��,并在防護網(wǎng)上鋪滿竹籬笆或腳手板��;在邊長大于1500mm的洞口的四周設(shè)置防護欄在洞口下方設(shè)置安全平網(wǎng)��;在墻面豎向落地的洞口應(yīng)安裝一個防護門柵��,其網(wǎng)格的間距要小于150mm��,或者用防護欄桿��,在下方設(shè)置一個200m高的擋腳板��;像下面邊沿到樓板或者底面小于0.8m的窗臺等的一些豎向洞口��,若果其側(cè)邊落差大于2m��,須設(shè)置1.2m高的臨時防護欄��。1.3建筑工程井道防護的標準化��。建筑工程生產(chǎn)過程中井道的安全防護必須按照標準執(zhí)行��,在電梯井和管井等處需建設(shè)安全防護設(shè)施��,并在周邊放一個較為明顯的警示標志;在施工區(qū)域內(nèi)的電梯井��、管井洞口等一些豎向落地洞口��,若其寬度超過了400mm��,須安裝防護門等防護措施��,并每隔兩層在井道內(nèi)安裝一道不超過10m的安全平網(wǎng)��;因為施工的需要須暫時拆除防護��,在此之前必須經(jīng)過專職管理人員的審核批準才能拆除��,并在其周邊設(shè)置警示標志��,在施工完成后立即恢復原樣��;在井口防護需采用上下反轉(zhuǎn)的防護門��;在施工層的下面一層的井道里面設(shè)置一道防護隔斷層以預防物體掉落��,施工層和其他層統(tǒng)一用安全網(wǎng)進行防護��,安全網(wǎng)應(yīng)設(shè)置在井壁的鋼管上��,安全網(wǎng)和井壁的間隙要≤100mm��。1.4建筑工程安全通道和防護棚的標準化��。建筑工程生產(chǎn)過程中安全通道和防護棚的安全防護必須按照標準設(shè)置��,如臨近街道的通道口��、場內(nèi)通道口��、施工電梯��、建筑物出入的通道口和建筑物料提升機進料口等的作業(yè)通道��,當其洞口在墜落半徑范圍內(nèi)或在起重機的起重臂回轉(zhuǎn)圈內(nèi)時��,須設(shè)置防護設(shè)施��,以防造成物體打擊的安全事故��;搭設(shè)安全通道��、防護棚的材料應(yīng)使用建筑鋼管扣件腳手架等鋼材��;在安全通道和防護棚的頂部鋪滿雙層腳手板或者18mm厚的雙層木板��,以及封閉式的防護欄桿、擋板等��,其整體的防護設(shè)施的承載須能承受10KPa的均布靜荷載��;對特別重要的��、大型安全通道和防護棚��、懸調(diào)式的防護設(shè)施等須專門制定相關(guān)方案��,通過審批之后才能實施��。1.5建筑工程施工安全防護的標準化��。首先應(yīng)抓好基礎(chǔ)性工作��,加強安全投入力度��,強化建筑施工安全生產(chǎn)管理��,明確建筑施工中的重點工作內(nèi)容“安全第一”��,推進建筑企業(yè)安全標準化工作建設(shè)��,還應(yīng)加強施工人員的安全意識教育��,提高施工人員的安全責任意識��、質(zhì)量意識以及自我防護意識��,并要求相關(guān)人員嚴格按照操作規(guī)范進行生產(chǎn)工作��。其次��,做好建筑施工危險源的辨識和預控工作��,通過正確辨識生產(chǎn)過程中的危險源��,尤其是一些危險程度較大的危險源��,及時采取相應(yīng)的預防��、控制措施��,從而快速��、及時地消除施工生產(chǎn)過程中的安全隱患��,今兒保證建筑工程生產(chǎn)安全標準化工作順利開展��。
2.結(jié)語
開展建筑安全防護標準化��,可落實好工程安全生產(chǎn)責任��,以便建立一個安全生產(chǎn)的長效機制��,是提高建筑企業(yè)安全生產(chǎn)素質(zhì)的系統(tǒng)性工程��。同時建筑安全防護設(shè)施標準化��,能最大限度地消除建筑工程的安全隱患��,為企業(yè)職工提供一個安全��、良好的工作環(huán)境��,最終實現(xiàn)建筑企業(yè)經(jīng)濟效益以及社會效益的最大化��。
作者:南北豪 單位:中建七局建筑裝飾工程有限公司
參考文獻
[1]曾中興.建筑安全防護設(shè)施的標準化研究[D].華中科技大學,2008.
第7篇
三種挑戰(zhàn)
當前��,黑客攻擊手段越來越先進��,APT攻擊��、DDos攻擊��、社會工程學��、零日漏洞讓用戶應(yīng)接不暇��,而傳統(tǒng)的以打補丁為基礎(chǔ)的防護措施已經(jīng)難以起到實效��。信息安全面臨著多方面的挑戰(zhàn)��。
針對APT攻擊的日益流行��,國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心副總工杜躍進表示��,APT攻擊的應(yīng)對方法有三個層面��,包括最低層的網(wǎng)絡(luò)攝像頭��、中間層的特征數(shù)據(jù)集以及最高層的多方位情報匯總與深度分析��。國內(nèi)安全廠商目前主要是在做中間層的特征數(shù)據(jù)收集��,在更高層次的情報共享和分析方面��,做得還遠遠不夠��。在他看來��,未來情報��、資源和能力需要進行整合,形成另一種安全“云”��,而現(xiàn)有的監(jiān)測��、預警��、響應(yīng)及風險管理��,也需要進行有針對性的升級��。
此外��,在應(yīng)對移動互聯(lián)網(wǎng)帶來的新威脅方面��,一項針對全球CIO的調(diào)查顯示��,66%的受訪者希望在企業(yè)內(nèi)部建立起類似于App Store的內(nèi)部移動應(yīng)用商店��,以替代當前面向公眾的應(yīng)用商店��。CIO們希望通過這種方式應(yīng)對BYOD帶來的威脅��。但在中國��,企業(yè)內(nèi)部應(yīng)用商店的部署還沒有被提上日程。因此��,綠盟科技副總裁吳云坤認為:“雖然國內(nèi)BYOD應(yīng)用不多��,但信息安全問題比國外嚴重��,因為國內(nèi)企業(yè)在管理和體制上還沒有給出嚴格限制��。
從市場的角度看��,美國的安全硬件采購量呈下降趨勢��,安全服務(wù)的采購量在不斷升高��。相比之下��,中國的安全軟件采購增勢尚不明顯��。對此��,吳云坤認為��,信息安全廠商要擺脫做設(shè)備的模式��,強化運營模式��,加強“與用戶��、合作伙伴��、云端的協(xié)作��,以及設(shè)備與設(shè)備��、人與設(shè)備的協(xié)作”��。
安全防護正在融入IT基礎(chǔ)架構(gòu)
今年3月��,信息安全領(lǐng)域有兩項重大收購:3月13日��,戴爾宣布收購安全廠商Sonic Wall��;3月31日��,華為以5.3億美元回購華為賽門鐵克的全部股權(quán)��。這讓人聯(lián)想起近年來的多起IT巨頭對安全廠商的收購案��,例如英特爾收購邁克菲��、惠普收購Arcsight��、EMC收購RSA等。這些收購表明��,安全防護正在融入IT基礎(chǔ)架構(gòu)��。
借助安全廠商的專業(yè)技術(shù)��,提升其軟硬件的安全性��,將信息安全融入既有產(chǎn)品或IT架構(gòu)的不僅僅是IT巨頭��,一些新興廠商也從信息安全的角度尋找更多新機會��。在此次交流會上��,華為存儲網(wǎng)絡(luò)安全公司戰(zhàn)略及規(guī)劃部部長鄭志彬重點介紹了10家在2012 RSA大會上備受關(guān)注的企業(yè)��,其中有兩家企業(yè)在原有業(yè)務(wù)基礎(chǔ)上融入了安全防護功能��,拓展了新的商業(yè)模式��。
例如��,原本做基于Java開源組件的Sonatypa Insight在本屆RSA大會上備受關(guān)注��,它建立了一個基于Java的開源組件庫��。由于開發(fā)者傾向于利用開源軟件��、開源模塊開發(fā)應(yīng)用��,Sonatypa Insight為用戶提供針對庫里Java的應(yīng)用做安全性檢測和安全管理��,以及開源軟件的管理��。如果用戶訂購相關(guān)服務(wù)��,只要軟件有漏洞��,Sonatypa Insight會及時告知開源軟件的使用者��,并幫助用戶打補丁��,將軟件更新到新版本��。
此外��,ionGrid公司原本針對iPad平臺給企業(yè)提供服務(wù)��,將企業(yè)應(yīng)用轉(zhuǎn)換到iPad平臺上��,在此基礎(chǔ)上��,它提供基于流的技術(shù)控制員工訪問企業(yè)文檔安全狀況監(jiān)測服務(wù),并對所有訪問進行SSL ��、AES加密��,然后通過沙箱控制��,保證應(yīng)用和文檔的安全性��。
下一代安全體系亟待建立
傳統(tǒng)的防護手段是提取攻擊手法��,建立威脅庫��,并對網(wǎng)絡(luò)和設(shè)備進行檢測��。綠盟科技首席戰(zhàn)略官��、云安全聯(lián)盟理事趙糧認為��,當前的安全防護體系已經(jīng)很難應(yīng)對成百萬��、上千萬的新型病毒和惡意軟件��,以及新環(huán)境下層出不窮的安全威脅了��。
“失去了智能��,再先進的戰(zhàn)斗機也會失去眼睛和大腦��,成為一堆廢鐵��?�!痹谮w糧看來��,孤立的網(wǎng)絡(luò)安全的邏輯判斷方法和威脅庫已難以滿足下一代威脅��,一個能在更大范圍內(nèi)實時識別潛在威脅的病毒庫和邏輯方法急需建立起來��,下一代信息安全防護體系的建立已經(jīng)迫在眉睫��。
第8篇
前言
乳山公司信息網(wǎng)絡(luò)共覆蓋公司5個辦公區(qū)��,在運業(yè)務(wù)信息系統(tǒng)32個��,信息系統(tǒng)已全面滲透到公司的各個管理領(lǐng)域和業(yè)務(wù)環(huán)節(jié)��,信息安全已納入公司安全生產(chǎn)管理體系中��。面對當前復雜嚴峻的信息安全形勢��,乳山供電公司成功構(gòu)建起了三維立體式終端信息安全防護體系��,探索出一條行之有效的信息安全管理新模式,極大提高了信息安全的可控��、能控��、在控能力��,規(guī)避了信息安全事故��,確保了電網(wǎng)信息安全��,為公司戰(zhàn)略發(fā)展和堅強智能電網(wǎng)建設(shè)提供了有力支撐��。
一��、三維立體式終端信息安全防護體系建設(shè)的背景
近年來各地供電公司信息安全事件呈上升趨勢��。乳山公司雖然集中部署了防火墻��、入侵防御系統(tǒng)��、防病毒系統(tǒng)等軟硬件設(shè)備��,但信息安全形勢仍不樂觀��。究其根源��,企業(yè)沒有構(gòu)建以終端管理為核心的信息安全防護體系��。隨著智能電網(wǎng)建設(shè)的深入��,迫切需要建設(shè)一個更為智能化的��、具有主動防御能力的��、全過程的終端信息安全防護體系��,從被動防護尋求主動防御��,從源頭上消除安全威脅和漏洞��,促進電網(wǎng)企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全��、穩(wěn)定��、高效運行��。
二��、三維立體式終端信息安全防護體系建設(shè)內(nèi)涵
三S立體式終端信息安全防護體系以技術(shù)體系��、管理體系��、服務(wù)體系三個維度統(tǒng)籌建設(shè)、并重開展��。管理體系以構(gòu)建桌面終端全生命周期管理流程為基礎(chǔ)��,實現(xiàn)對桌面終端管理的標準化��、規(guī)范化��、流程化和考核化��;技術(shù)體系通過采取終端基線安全策略��、終端網(wǎng)絡(luò)準入控制��、訪問控制��、監(jiān)控審計等技術(shù)手段��,全面支撐桌面終端安全管控工作��;而服務(wù)體系貫穿整個過程��,以提高三線服務(wù)質(zhì)量為核心面向用戶和終端資產(chǎn)兩個層面落實企業(yè)終端管理策略��,確保終端安全管理策略的有效執(zhí)行��。
三��、三維立體式終端信息安全防護體系建設(shè)的做法
1.加強運維服務(wù)體系建設(shè)��,做好全過程安全管控保障
(1)健全運維服務(wù)制度��。乳山供電公司依照科學嚴格的制定標準��,健全完善了一系列的信息系統(tǒng)安全管理規(guī)范和實施細則��。這些管理制度的使各級單位在推行企業(yè)信息系統(tǒng)安全管理工作中有章可依和有據(jù)可循��。
(2)深化運維服務(wù)平臺��。通過深化應(yīng)用I6000平臺��,將一單兩票模塊與公司實際工作流程相結(jié)合��,建立了由運維服務(wù)熱線��、OA郵件等構(gòu)成的運維服務(wù)平臺��,以單點聯(lián)系窗口的形式��,統(tǒng)一受理服務(wù)請求,提供一線支持服務(wù)��,并對問題進行匯集總結(jié)��、分類和分級��。
(3)建設(shè)運維服務(wù)團隊��。遵循“三線運維”原則��,組建運維服務(wù)團隊��,由“一線前臺服務(wù)臺��,二線后臺運行維護��,三線技術(shù)支持”的結(jié)構(gòu)組成��,加大運維人才的培養(yǎng)力度��,建立運維人才培養(yǎng)長效機制��,逐步形成一支技術(shù)過硬��、層次分明��、結(jié)構(gòu)合理的運維團隊��。
2.規(guī)范終端安全管控��,做到“三階段”全過程管控
(1)加強宣傳和管控��,做好事前預防管理
通過編寫《乳山市供電公司桌面終端安全管控體系建設(shè)工作方案》��,加強培訓宣傳��,完善訪問控制��、身份認證機制��,實施安全評估��、安全加固工作��。
(2)規(guī)范作業(yè)流程��,做到事中高效運維
嚴格監(jiān)控運行��,及時發(fā)現(xiàn)違規(guī)事件��。通過對桌面終端的安全事件進行監(jiān)控��,如:違規(guī)外聯(lián)、異常網(wǎng)絡(luò)流量等��。對安全事件進行初步分析��,生成信息安全督查整改通知單處理��。
(3)持續(xù)體系改進��,實現(xiàn)事后完善提升
及時事后分析��,查找問題源頭��。在事件處理終結(jié)后��,對重大安全事件或重復發(fā)生的安全事件進行分析��,提交分析報告��,并依據(jù)管理規(guī)定對相關(guān)人員和單位提出考核意見��。通過考核通報不斷找差改進��,整體提升桌面終端安全水平��。
3.強化技術(shù)管控��,提高終端安全水平
(1)強制實施終端基線安全策略,提高免疫能力��,確保終端可信
乳山供電公司在信息內(nèi)網(wǎng)搭建AD域策略服務(wù)器��,通過域控制服務(wù)策略��,已入域的桌面終端自動接收安全策略��,完成配置身份驗證��、訪問控制��、安全審計��、入侵防范等方面的終端安全基線策略��,而全過程用戶無須任何操作��。
(2)實施終端網(wǎng)絡(luò)準入和訪問控制��,提供主動防御能力��,確保接入終端可管
對桌面終端IP地址統(tǒng)一管理��,采用基于802.1X協(xié)議的認證系統(tǒng)��。終端接入網(wǎng)絡(luò)前��,必須接受身份認證和安全度量��,執(zhí)行嚴格的強制安全策略檢查��,只有可信并且符合強制安全策略的終端才獲準接入公司信息內(nèi)外網(wǎng)��。使入網(wǎng)的終端有較高的健康度和可信度��,從而從源頭上消除桌面終端的安全隱患��。
(3)全過程終端安全指標監(jiān)測��,提高應(yīng)急處置能力��,確保終端可控
充分挖掘桌面終端管理系統(tǒng)的用戶行為管理和審計功能��,并依托防病毒系統(tǒng)��、補丁升級系統(tǒng)��、漏洞掃描系統(tǒng)等技術(shù)支撐保障平臺��,對桌面終端的安全狀況進行7×24小時實時動態(tài)監(jiān)測��,評估及安全事件的準確全程跟蹤定位,對發(fā)生的各類安全事件進行應(yīng)急處置��,最大程度地減少安全事件對公司網(wǎng)絡(luò)和業(yè)務(wù)的影響��。
四��、 三維立體式終端信息安全防護體系建設(shè)的效果
(1)保障了業(yè)務(wù)信息系統(tǒng)的健康運行
實施三維立體式終端信息安全防護體系以來��,信息安全水平逐步提高��,未發(fā)生一起信息系統(tǒng)安全事故��,保障了信息系統(tǒng)安全��、穩(wěn)定��、持續(xù)和高效運行��。
(2)桌面終端安全性��、可靠性得到極大提升
實施三維立體式終端信息安全防護體系以來��,建立桌面終端風險預警��、識別模型��,對終端運行風險進行規(guī)劃��、識別��、分析��,變“事后救火”為“事先控制”��,預防為主��,關(guān)口前移��,防患于未然��,全過程地進行風險管理��,檢查��、監(jiān)控��、識別��、控制解決可能出現(xiàn)的安全隱患��。
(3)信息運維效率��、服務(wù)質(zhì)量得到極大提升
