畢業(yè)論文--供電企業(yè)的信息安全及應(yīng)對(duì)措施研究

1、<p>　　畢 業(yè) 設(shè) 計(jì)(論文)</p><p>　　題 目 供電企業(yè)的信息安全及應(yīng)對(duì)措施研究</p><p><b>　　二0一三年六月</b></p><p><b>　　摘 要</b></p><p>　　隨著企業(yè)信息技術(shù)的應(yīng)用日益加深，信息安全也受到廣大企業(yè)用戶(hù)的關(guān)注。信息化

2、建設(shè)在企業(yè)內(nèi)部不斷的發(fā)展，企業(yè)網(wǎng)絡(luò)與用戶(hù)規(guī)模的不斷增長(zhǎng)，企業(yè)所面臨的信息安全問(wèn)題日益嚴(yán)重，所以對(duì)企業(yè)信息化安全風(fēng)險(xiǎn)的研究就顯得比較重要了。</p><p>　　本文著重闡述了我們國(guó)家供電企業(yè)信息安全管理過(guò)程的主要影響因素，并且針對(duì)如何有效地提高電力信息系統(tǒng)安全管理工作提出了相應(yīng)的強(qiáng)化策略。通過(guò)對(duì)網(wǎng)絡(luò)主要攻擊手段的分析得出，應(yīng)該從企業(yè)信息化數(shù)據(jù)的安全防御入手，針對(duì)性地對(duì)供電企業(yè)的安全體系結(jié)構(gòu)進(jìn)行框架分析，提出供電企

3、業(yè)對(duì)整體安全防護(hù)的理念與措施，并且針對(duì)應(yīng)用最廣泛的防火墻進(jìn)行安全策略分析。同時(shí)也對(duì)員工的管理方面做出了相應(yīng)的信息安全措施。能源作為國(guó)民經(jīng)濟(jì)發(fā)展的基礎(chǔ)行業(yè)，而更是供電企業(yè)投入了大量人力物力來(lái)構(gòu)建信息系統(tǒng)安全體系，進(jìn)一步提高信息安全的工作水平。這也為國(guó)家電網(wǎng)的安全運(yùn)行提供了信息系統(tǒng)安全管理的保障。</p><p>　　關(guān)鍵詞：供電企業(yè)；強(qiáng)化策略；信息安全。</p><p>　　INFORMAT

4、ION SECURITY OF THE POWER SUPPLY ENTERPRISE AND COUNTERMEASURES RESEARCH</p><p><b>　　Abstract</b></p><p>　　With the application of information technology enterprises deepening, infor

5、mation security has also been the concern of the majority of business users.Information technology within the enterprise continues to develop,the enterprise network and subscriber base continues to grow,enterprises are f

6、acing increasingly serious problem of information security, so the enterprise information security risk research becomes more important.</p><p>　　This paper focuses on the power supply enterprise information

7、 security in our country the main factors affecting the management process, and on how to effectively improve the electric power information system security management strategy put forward the corresponding enhancement.M

8、ain means of attack through the network analysis concluded that the data should be from the enterprise information security defense start,targeted to the safety of power supply enterprise architecture framework for anal&

9、lt;/p><p>　　Key words: power supply enterprises ; security policy;security information.</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　Abstract

10、II</p><p><b>　　1 緒 論1</b></p><p>　　1.1 供電企業(yè)信息化概況1</p><p>　　1.2 供電企業(yè)的特點(diǎn)1</p><p>　　1.3 信息安全風(fēng)險(xiǎn)評(píng)估的重要性2</p><p>　　1.4 供電企業(yè)與民生息息相關(guān)2</p>&

11、lt;p>　　2 國(guó)內(nèi)外企業(yè)信息安全的研究現(xiàn)狀4</p><p>　　2.1 國(guó)外企業(yè)信息安全的研究現(xiàn)狀4</p><p>　　2.2 國(guó)內(nèi)企業(yè)信息安全的研究現(xiàn)狀5</p><p>　　2.2.1 軍工企業(yè)的信息安全風(fēng)險(xiǎn)分析5</p><p>　　2.2.2 政府信息安全風(fēng)險(xiǎn)分析6</p><p>　　

12、2.2.3 金融行業(yè)的信息安全風(fēng)險(xiǎn)分析6</p><p>　　2.3 信息安全體系結(jié)構(gòu)框架7</p><p>　　2.4 整體安全防護(hù)體系7</p><p>　　3 供電企業(yè)信息安全風(fēng)險(xiǎn)因素及其威脅9</p><p>　　3.1 供電企業(yè)信息安全存在的風(fēng)險(xiǎn)9</p><p>　　3.2 導(dǎo)致企業(yè)信息安全的因素

13、9</p><p>　　3.3企業(yè)信息安全的主要威脅10</p><p>　　3.3.1 E-mail威脅10</p><p>　　3.3.2公文處理過(guò)程的安全問(wèn)題11</p><p>　　3.3.3數(shù)據(jù)安全威脅11</p><p>　　3.3.4離職員工帶來(lái)的安全隱患11</p><p

14、>　　4 供電企業(yè)的網(wǎng)絡(luò)安全的解決方案與對(duì)策13</p><p>　　4.1 DR容災(zāi)解決方案13</p><p>　　4.1.1 HeartsOne DR 功能特點(diǎn)13</p><p>　　4.1.2 DR容災(zāi)實(shí)例15</p><p>　　4.2安全管理解決策略17</p><p>　　4.3 HBU

15、數(shù)據(jù)備份方案18</p><p>　　4.4 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)解決方案19</p><p>　　4.4.1 實(shí)施方法19</p><p>　　4.4.2 方案特點(diǎn)19</p><p>　　4.5 針對(duì)其他一些主要威脅作出的應(yīng)對(duì)措施20</p><p>　　4.5.1 E-mail 威脅20</p>

16、<p>　　4.5.2 文檔處理過(guò)程的安全問(wèn)題21</p><p><b>　　結(jié) 論23</b></p><p><b>　　參考文獻(xiàn)23</b></p><p><b>　　致 謝26</b></p><p><b>　　1 緒 論&l

17、t;/b></p><p>　　1.1 供電企業(yè)信息化概況</p><p>　　電力行業(yè)信息化目前尚未制訂統(tǒng)一的信息化標(biāo)準(zhǔn)體系，企業(yè)內(nèi)部信息系統(tǒng)的規(guī)范還不夠統(tǒng)一，是造成企業(yè)內(nèi)部信息孤立的主要原因。經(jīng)過(guò)2003年的結(jié)構(gòu)性改革與資源重組，我國(guó)電力行業(yè)的競(jìng)爭(zhēng)新態(tài)勢(shì)逐漸形成，供電企業(yè)的經(jīng)營(yíng)思路正從計(jì)劃性經(jīng)營(yíng)向市場(chǎng)化運(yùn)營(yíng)轉(zhuǎn)變。面對(duì)新的市場(chǎng)環(huán)境，降低運(yùn)營(yíng)成本、提升管理水平、提高經(jīng)營(yíng)效益、增強(qiáng)市場(chǎng)

18、競(jìng)爭(zhēng)力成為當(dāng)前最重要的工作，積極進(jìn)行信息化建設(shè)逐漸成為我國(guó)電力企業(yè)的必然選擇。</p><p>　　分析我國(guó)供電企業(yè)信息化的狀況，與中國(guó)整體信息化水平基本保持一致，大小信息系統(tǒng)零零總總，關(guān)系錯(cuò)綜復(fù)雜；系統(tǒng)間數(shù)據(jù)交換能力差，共享程度低，數(shù)據(jù)“冗余”現(xiàn)象較為突出；信息系統(tǒng)實(shí)用化程度較低等問(wèn)題在供電企業(yè)中有體現(xiàn)。具體顯現(xiàn)在如下幾方面：</p><p>　　信息化建設(shè)進(jìn)程缺乏規(guī)劃、指導(dǎo)和約束。各局

19、在不同時(shí)期不同部門(mén)為了滿(mǎn)足業(yè)務(wù)需要進(jìn)行了一系列信息系統(tǒng)建設(shè)，到目前為止，這些大大小小的信息系統(tǒng)數(shù)量眾多。應(yīng)用軟件系統(tǒng)的開(kāi)發(fā)、引進(jìn)，缺乏統(tǒng)一的規(guī)劃、要求和技術(shù)標(biāo)準(zhǔn)、各單位只根據(jù)自己工作的需求設(shè)計(jì)開(kāi)發(fā)，系統(tǒng)之間重復(fù)建設(shè)，無(wú)共享數(shù)據(jù)資源與信息傳遞，導(dǎo)致信息孤島的產(chǎn)生，同時(shí)也無(wú)法確保數(shù)據(jù)的唯一性和權(quán)威性，給以后系統(tǒng)的集成、信息的匯總分析帶來(lái)諸多不便。</p><p>　　沒(méi)有統(tǒng)一的行業(yè)標(biāo)準(zhǔn)、編碼體系。目前，電力行業(yè)信息化

20、尚未制定統(tǒng)一的信息化標(biāo)準(zhǔn)體系，電力企業(yè)內(nèi)部信息系統(tǒng)的信息編碼、技術(shù)標(biāo)準(zhǔn)、規(guī)范也不統(tǒng)一。導(dǎo)致企業(yè)內(nèi)部信息孤立的態(tài)勢(shì)無(wú)處不在、系統(tǒng)不能集成、資源不能共享，嚴(yán)重制約企業(yè)信息化建設(shè)和應(yīng)用。</p><p>　　信息化建設(shè)需要大量的人才儲(chǔ)備和整體人力資源水平的提高，而這方面的準(zhǔn)備不足。隨著信息化的發(fā)展及企業(yè)信息化建設(shè)需求的擴(kuò)展，電力企業(yè)的信息化涉及到業(yè)務(wù)與管理的更多環(huán)節(jié)，而信息化需求也從個(gè)別業(yè)務(wù)部門(mén)擴(kuò)展到整個(gè)企業(yè)。因而需要

21、既懂業(yè)務(wù)又熟悉信息技術(shù)的“復(fù)合型”人才來(lái)負(fù)責(zé)與實(shí)施。目前電力企業(yè)的信息化組織機(jī)構(gòu)設(shè)置和人才狀況已經(jīng)滯后于信息化建設(shè)的需要，影響了信息化的推進(jìn)。</p><p>　　忽視信息系統(tǒng)的實(shí)用性?，F(xiàn)有各類(lèi)系統(tǒng)的綜合利用及深層次應(yīng)用不夠，大多局限于數(shù)據(jù)的錄入、采集、存儲(chǔ)、查詢(xún)，缺少業(yè)務(wù)內(nèi)容的信息處理，信息更新遲緩。系統(tǒng)建設(shè)的先天不足，造成系統(tǒng)的使用化程度低。</p><p>　　1.2 供電企業(yè)的特點(diǎn)

22、 </p><p>　　電力行業(yè)是技術(shù)密集和裝備密集型產(chǎn)業(yè)，其獨(dú)特的生產(chǎn)經(jīng)營(yíng)方式?jīng)Q定了其信息化發(fā)展的模式。由于行業(yè)的特俗性，電力行業(yè)對(duì)IT設(shè)備提出了高安全性、高可靠性、高穩(wěn)定性的要求。各個(gè)電力企業(yè)已經(jīng)加快了自己信息化進(jìn)程，辦公自動(dòng)化（OA）、MIS系統(tǒng)、電力市場(chǎng)和營(yíng)銷(xiāo)系統(tǒng)、電力調(diào)動(dòng)系統(tǒng)（EMS）、配電管理系統(tǒng)（DMS）、呼叫中心（Call Center）以及電力自動(dòng)化管理系統(tǒng)已經(jīng)有廣泛的應(yīng)用。但是，電力行業(yè)和其他

23、行業(yè)不同之處是，各個(gè)省市獨(dú)立規(guī)劃和運(yùn)作，所以各個(gè)省市的電力企業(yè)IT系統(tǒng)建設(shè)面臨著多樣性、復(fù)雜性。</p><p>　　隨著電力行業(yè)信息化建設(shè)的不斷深入和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，如何借助互聯(lián)網(wǎng)的種種優(yōu)勢(shì)來(lái)構(gòu)建大型集團(tuán)公司的信息交換平臺(tái)，成為企業(yè)內(nèi)部信息化建設(shè)人員面臨的一大難題。首先，該平臺(tái)的性能應(yīng)該穩(wěn)定、高效并易于管理；其次，從信息安全角度考慮，該平臺(tái)必須具有高度的安全防護(hù)機(jī)制，能夠抵御來(lái)自互聯(lián)網(wǎng)上的非法攻擊；最后，

24、該平臺(tái)還應(yīng)擁有較高的性?xún)r(jià)比，符合未來(lái)發(fā)展的趨勢(shì)。</p><p>　　1.3 信息安全風(fēng)險(xiǎn)評(píng)估的重要性</p><p>　　當(dāng)今的社會(huì)，已經(jīng)進(jìn)入了一個(gè)信息社會(huì)。從工作、學(xué)習(xí)到日常生活，信息和信息技術(shù)已經(jīng)滲透到社會(huì)的每一個(gè)角落，但是隨著信息技術(shù)應(yīng)用的不斷擴(kuò)展，隨之產(chǎn)生的是大量的信息安全事件。我們可以先來(lái)看一些信息安全事件：</p><p>　?。?）一群巴西網(wǎng)絡(luò)銀行黑

25、客利用發(fā)送帶有可竊取銀行客戶(hù)密碼和保密資料的電子郵件，在僅 僅一年多的時(shí)間從銀行中竊取了大約2758萬(wàn)美元。</p><p>　?。?）近年來(lái)一些信用卡處理網(wǎng)站會(huì)收到在線(xiàn)勒索信，如果不按照要求付錢(qián)，則會(huì)遭受大規(guī)模數(shù)據(jù)攻擊，中斷它們?yōu)槠浠ヂ?lián)網(wǎng)商業(yè)用戶(hù)提供的信用卡處理業(yè)務(wù)。</p><p>　?。?）去年國(guó)內(nèi)某銀行在測(cè)試時(shí)，誤將帶有蠕蟲(chóng)病毒的主機(jī)接入生產(chǎn)系統(tǒng)，造成其生產(chǎn)系統(tǒng)的長(zhǎng)時(shí)間故障，造成

26、大量經(jīng)濟(jì)損失。</p><p>　?。?）去年4月20日，中國(guó)銀聯(lián)系統(tǒng)通信網(wǎng)絡(luò)和主機(jī)出現(xiàn)了故障，造成轄區(qū)內(nèi)跨行交易全部中斷，故障時(shí)間長(zhǎng)達(dá)8小時(shí)，對(duì)人們的生活帶來(lái)了極大的不便。</p><p>　　從這些安全問(wèn)題可以看出，在信息技術(shù)使我們的工作和生活越來(lái)越便利的同時(shí)，信息安全事件的發(fā)生會(huì)帶來(lái)很?chē)?yán)重的后果和影響。信息技術(shù)的應(yīng)用越是深入，這種情況就越是明顯。所以，信息安全已經(jīng)不僅是一個(gè)人們閑聊時(shí)

27、談?wù)摰脑?huà)題，而且是一個(gè)和人們生活息息相關(guān)，值得國(guó)家、組織和個(gè)人都關(guān)注和重視的問(wèn)題。</p><p>　　1.4 供電企業(yè)與民生息息相關(guān)</p><p>　　一個(gè)負(fù)責(zé)任的企業(yè)，必須肩負(fù)起自身發(fā)展和社會(huì)發(fā)展的雙重責(zé)任。在發(fā)展快軌道上前行的陜西榆林市供電公司恪守“先行之職”，將關(guān)注民生作為推動(dòng)公司健康發(fā)展的助推劑，傾情服務(wù)客戶(hù)，積極履行承諾，努力踐行責(zé)任，讓國(guó)家電網(wǎng)的品牌在榆林地區(qū)唱響做優(yōu)。一個(gè)

28、負(fù)責(zé)任的企業(yè)，必須肩負(fù)起自身發(fā)展和社會(huì)發(fā)展的雙重責(zé)任。在發(fā)展快軌道上前行的陜西榆林市供電公司恪守“先行之職”，將關(guān)注民生作為推動(dòng)公司健康發(fā)展的助推劑，傾情服務(wù)客戶(hù)，積極履行承諾，努力踐行責(zé)任，讓國(guó)家電網(wǎng)的品牌在榆林地區(qū)唱響做優(yōu)。</p><p>　　電力行業(yè)在國(guó)民經(jīng)濟(jì)和人民群眾日常生活中具有非常重要的作用。電力行業(yè)也是一個(gè)高危的行業(yè)，由于設(shè)計(jì)、制造、調(diào)度、操作、檢修等環(huán)節(jié)造成的質(zhì)量不佳、維護(hù)不當(dāng)、操作錯(cuò)誤，管理不

29、善以及外界不可抗力的破壞所造成的人身、設(shè)備、電網(wǎng)事故時(shí)有發(fā)生，而且隨著電力生產(chǎn)規(guī)模的擴(kuò)大，事故所帶來(lái)的危害和損失更加巨大，因此，保證電力安全生產(chǎn)具有非常重要的意義。信息安全又在某種程度上嚴(yán)重影響著生產(chǎn)活動(dòng)，故次，信息安全對(duì)國(guó)民經(jīng)濟(jì)和人民群眾的日常生活都有著非常重要的意義。</p><p>　　供電企業(yè)是電力工業(yè)的重要組成部分，由于具有點(diǎn)多、面廣、線(xiàn)長(zhǎng)的特點(diǎn)，作業(yè)環(huán)境復(fù)雜，各種可變因素太多，供電企業(yè)的生產(chǎn)過(guò)程和安全

30、管理尤其復(fù)雜和困難。</p><p>　　2 國(guó)內(nèi)外企業(yè)信息安全的研究現(xiàn)狀</p><p>　　2.1 國(guó)外企業(yè)信息安全的研究現(xiàn)狀</p><p>　　國(guó)內(nèi)外的學(xué)者從不同角度對(duì)信息安全事故原因進(jìn)行了研究。Van Niekerk（2010）認(rèn)為企業(yè)信息安全文化氛圍是減少人為因素說(shuō)導(dǎo)致的信息安全事故的關(guān)鍵；[3]Knapp（2009）等先后對(duì)信息安全政策和信息安全事故之

31、間的關(guān)系進(jìn)行了研究；[4]Herath(2009)通過(guò)問(wèn)卷調(diào)研的實(shí)證研究驗(yàn)證了懲罰力度、壓力和員工的效果認(rèn)知會(huì)對(duì)其安全行為產(chǎn)生影響；[5]Albrechtsen(2010)發(fā)現(xiàn)員工參與、集體反思和群體作用可以提高員工的信息安全意識(shí)，并改善其安全行為；[6]Stanton(2005)研究發(fā)現(xiàn)終端用戶(hù)的安全行為會(huì)對(duì)企業(yè)信息安全管理產(chǎn)生影響；[7]Ashenden（2008）通過(guò)實(shí)證研究發(fā)現(xiàn)信息安全管理人員、高層管理者和終端用戶(hù)之間存在信息鴻

32、溝，雙方在理解上的差異會(huì)對(duì)企業(yè)的信息安全管理產(chǎn)生不利影響，增加了信息安全事故發(fā)生的幾率。[8]ciwai ,Vroom（2004）、FLlowerday（2005）等學(xué)者也先后對(duì)此進(jìn)行了研究。</p><p>　　與國(guó)外相比，國(guó)內(nèi)對(duì)信息安全的研究集中于技術(shù)層面，涉及管理層面的研究較少。沈昌祥、張煥國(guó)、馮登國(guó)（2007）系統(tǒng)地闡述了信息安全理論及相關(guān)技術(shù)的發(fā)展；[9]官巍、胡若（2007）從社會(huì)社會(huì)環(huán)境、商業(yè)、組織

33、、個(gè)人的角度分析了電子商務(wù)的信息安全問(wèn)題；[10]l劉福來(lái)（2010）對(duì)中小企業(yè)信息化管理中存在的安全隱患和原因進(jìn)行了分析。[11]</p><p>　　通過(guò)閱讀文獻(xiàn)發(fā)現(xiàn)，國(guó)外學(xué)者大多通過(guò)實(shí)證研究驗(yàn)證了一個(gè)或幾個(gè)因素對(duì)信息安全事故的影響，但是缺乏對(duì)信息安全事故的系統(tǒng)分析。國(guó)內(nèi)的研究多用于構(gòu)建信息安全管理體系，對(duì)信息安全事故分析則鮮有研究。</p><p>　　則對(duì)于影響力比較大的銀行業(yè)來(lái)說(shuō)

34、，造成信息安全風(fēng)險(xiǎn)的因素有以下幾方面。</p><p>　　科技隊(duì)伍素質(zhì)不適應(yīng)發(fā)展的新形勢(shì)；</p><p>　　領(lǐng)導(dǎo)的不夠重視可能導(dǎo)致信息安全風(fēng)險(xiǎn)；</p><p><b>　　缺乏思想準(zhǔn)備；</b></p><p><b>　　缺乏防范能力；</b></p><p>　　

35、缺乏對(duì)信息安全方面的知識(shí)培訓(xùn)；</p><p>　　防范措施的不周密：應(yīng)急方案不全面、監(jiān)控系統(tǒng)不完備、內(nèi)控制度不嚴(yán)謹(jǐn)、機(jī)具管理不妥善；</p><p>　　因?yàn)橛?jì)算機(jī)設(shè)備損壞導(dǎo)致系統(tǒng)癱瘓的應(yīng)對(duì)措施不夠完善；</p><p>　　因臺(tái)風(fēng)等自然災(zāi)害導(dǎo)致計(jì)算機(jī)系統(tǒng)無(wú)法使用的應(yīng)對(duì)措施不夠好。</p><p>　　面對(duì)這些因素造成的安全風(fēng)險(xiǎn)，我們只好是

36、盡可能的做好防護(hù)措施，在風(fēng)險(xiǎn)發(fā)生之后，損失降到最低。同時(shí)，隨著大數(shù)據(jù)時(shí)代的到來(lái)，備份、容災(zāi)方案將會(huì)是發(fā)展的主流，也是必不可少的科技成果。</p><p>　　2.2 國(guó)內(nèi)企業(yè)信息安全的研究現(xiàn)狀</p><p>　　2.2.1 軍工企業(yè)的信息安全風(fēng)險(xiǎn)分析</p><p>　　目前軍工企業(yè)信息安全與保密工作的形勢(shì)依然十分嚴(yán)峻，境內(nèi)外各種敵對(duì)勢(shì)力一直把我國(guó)軍工單位作為滲透

37、、情報(bào)竊取的重點(diǎn)目標(biāo)。確保國(guó)家機(jī)密的信息安全始終是關(guān)乎國(guó)家長(zhǎng)治久安的主題。目前軍工企業(yè)信息安全保密工作中存在的隱患有一下幾個(gè)方面。</p><p>　　信息技術(shù)漏洞廣泛存在。當(dāng)前信息技術(shù)的漏洞無(wú)處不在，涉及軟硬件等各個(gè)方面。眾所周知，計(jì)算機(jī)網(wǎng)絡(luò)的主要軟硬件大多依賴(lài)進(jìn)口。這些軟硬件都存在大量的安全漏洞，極易給病毒、隱蔽信道和可恢復(fù)密碼等開(kāi)辟捷徑或?yàn)樗死?。一旦發(fā)現(xiàn)新的漏洞，就會(huì)在短短的幾分鐘內(nèi)傳遍整個(gè)網(wǎng)絡(luò)，攻擊者

38、就可以利用這些漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)信息處與被竊聽(tīng)、監(jiān)視等多種安全威脅中，信息安全極度脆弱。</p><p>　　內(nèi)外網(wǎng)隔離執(zhí)行不力，內(nèi)部防范不嚴(yán)。大多數(shù)軍工企業(yè)既有涉密網(wǎng)絡(luò)也有非涉密網(wǎng)絡(luò)。涉密網(wǎng)絡(luò)一般能夠做到與其他非涉密網(wǎng)絡(luò)的物理隔離，但還是存在以下問(wèn)題：1）一些單位內(nèi)部文件共享情況比較普遍，缺乏有效的授權(quán)訪問(wèn)機(jī)制，對(duì)內(nèi)不設(shè)防的情況比較多；2）一些涉密單位仍然一機(jī)多用，邏輯隔離強(qiáng)度不夠，致使病毒在多個(gè)網(wǎng)絡(luò)中流

39、傳，存在一點(diǎn)突破全網(wǎng)盡失的現(xiàn)象。</p><p>　　無(wú)線(xiàn)通信設(shè)備成為泄密通道。隨著手機(jī)的普及，特別是3G和智能手機(jī)的廣泛使用，無(wú)線(xiàn)通信設(shè)備成為新的滲透對(duì)象。美國(guó)情報(bào)部門(mén)通過(guò)衛(wèi)星和計(jì)算機(jī)監(jiān)控分析的中國(guó)“重要用戶(hù)”的手機(jī)據(jù)說(shuō)已經(jīng)超過(guò)百萬(wàn)臺(tái)。雖然國(guó)家保密局曾下文件禁止涉密人員使用3G手機(jī)，但仍有部分涉密人員在使用。因現(xiàn)在很多手機(jī)都有拍攝、語(yǔ)音錄入和大容量存儲(chǔ)、直接聯(lián)網(wǎng)、快速傳輸?shù)墓δ?，一旦被滲透，相當(dāng)于給對(duì)方進(jìn)行現(xiàn)場(chǎng)

40、直播，保密措施形同虛設(shè)。</p><p>　　便攜式計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備管理不嚴(yán)。便攜式計(jì)算機(jī)、移動(dòng)存儲(chǔ)設(shè)備管理不嚴(yán)主要表現(xiàn)為以下幾方面：1）便攜式計(jì)算機(jī)未經(jīng)審批，私自攜帶外出，在外出過(guò)程中，保密意識(shí)淺薄，將便攜式計(jì)算機(jī)交予他人保管、使用或連接互聯(lián)網(wǎng)或其他非涉密網(wǎng)絡(luò)；2）涉密移動(dòng)存儲(chǔ)介質(zhì)疏于管理，未采取相應(yīng)的技術(shù)措施，涉密機(jī)和非涉密機(jī)交叉使用的現(xiàn)象比較嚴(yán)重，非涉密計(jì)算機(jī)上存儲(chǔ)涉密文件的現(xiàn)象普遍存在；3）對(duì)于更換、

41、淘汰或改變用途的涉密存儲(chǔ)介質(zhì)缺乏有效的技術(shù)處理，普遍采用直接丟棄、轉(zhuǎn)為他用或賣(mài)廢品等方式處理。</p><p>　　安全防范技術(shù)強(qiáng)度有限，管理不到位。安全防范技術(shù)主要包括物理技術(shù)防范和電子技術(shù)防范兩種。雖然大多數(shù)軍工企業(yè)在物理技術(shù)防范和電子技術(shù)方方面配置了一些硬件和軟件，但總體而言安全防范技術(shù)強(qiáng)度還很有限。1）邊界保護(hù)存在弱點(diǎn)。不能實(shí)行物理隔離的網(wǎng)絡(luò)之間為了防止內(nèi)部人員跨越邊界進(jìn)行非法訪問(wèn)和攻擊，常常運(yùn)用防火墻、

42、網(wǎng)絡(luò)監(jiān)測(cè)等技術(shù)來(lái)實(shí)現(xiàn)對(duì)邊界的保護(hù)。到實(shí)際在軍工企業(yè)內(nèi)部，科研項(xiàng)目組之間、部門(mén)之間常常很少使用邊界保護(hù)措施或邊界保護(hù)策略配置不當(dāng)，使邊界保護(hù)未被有效利用。2）人員權(quán)限設(shè)置不夠精細(xì)。人員登陸系統(tǒng)身份驗(yàn)證不夠嚴(yán)格，系統(tǒng)管理員、安全保密管理員、安全審計(jì)員的職責(zé)劃分不清，或一人兼任多職，在軍工企業(yè)內(nèi)部管理中普遍存在。內(nèi)部監(jiān)督機(jī)制形同虛設(shè)，導(dǎo)致發(fā)生的問(wèn)題不能及時(shí)發(fā)現(xiàn)、解決，一旦發(fā)生失竊泄密事件，后果相當(dāng)嚴(yán)重。</p><p>

43、;　　參與網(wǎng)絡(luò)活動(dòng)存在安全風(fēng)險(xiǎn)。情報(bào)往往在偶然之中獲取，而泄密往往發(fā)生在無(wú)意之間。隨著論壇、電子地圖等新的網(wǎng)絡(luò)服務(wù)的興起，著成為新的信息安全隱患。但因部分涉密人員保密意識(shí)的淺薄，在論壇發(fā)帖或回復(fù)他人都有可能帶來(lái)泄密的威脅，也有可能參與電子地圖標(biāo)示或上傳一些自己認(rèn)為根本就不重要的信息給情報(bào)人員提供情報(bào)。據(jù)媒體報(bào)道：西方情報(bào)部門(mén)根據(jù)網(wǎng)友提供的我國(guó)某型號(hào)潛水艇的滑道圖片，分析出潛艇可能長(zhǎng)度、寬度，進(jìn)一步分析最大排水量、魚(yú)雷個(gè)數(shù)和攜彈數(shù)量、航行

44、節(jié)數(shù)。</p><p>　　2.2.2 政府信息安全風(fēng)險(xiǎn)分析</p><p>　　政府系統(tǒng)計(jì)算機(jī)信息網(wǎng)絡(luò)安全問(wèn)題事關(guān)有關(guān)部門(mén)改革、發(fā)展、穩(wěn)定大局，是一項(xiàng)嚴(yán)肅的政治問(wèn)題。要建立健全各項(xiàng)制度，完善工作機(jī)制，嚴(yán)格落實(shí)保密責(zé)任，既要做好技術(shù)防范工作，又要做好操作人員的管理工作，確保萬(wàn)無(wú)一失。</p><p>　　涉密信息網(wǎng)路必須在物理上與國(guó)際互聯(lián)網(wǎng)完全隔離，政府系統(tǒng)內(nèi)部辦公

45、自動(dòng)化網(wǎng)必須與公眾信息網(wǎng)實(shí)行邏輯隔離。在與國(guó)際互聯(lián)網(wǎng)相連的信息設(shè)備上，不得存儲(chǔ)、處理、傳遞國(guó)家秘密信息和進(jìn)行內(nèi)部辦公事項(xiàng)。</p><p>　　各部門(mén)連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，必須明確專(zhuān)人管理，并由使用部門(mén)的領(lǐng)導(dǎo)負(fù)責(zé)其入網(wǎng)計(jì)算機(jī)的保密管理工作。</p><p>　　加強(qiáng)計(jì)算機(jī)存儲(chǔ)介質(zhì)管理工作，涉密存儲(chǔ)介質(zhì)應(yīng)按存儲(chǔ)信息的最高密級(jí)標(biāo)注密級(jí)，并按照相同密級(jí)的秘密載體管理。攜帶涉密存儲(chǔ)介質(zhì)外出，須經(jīng)

46、單位主要領(lǐng)導(dǎo)批準(zhǔn)。存儲(chǔ)過(guò)國(guó)家秘密信息的計(jì)算機(jī)信息媒體或載體，未經(jīng)嚴(yán)格的脫密技術(shù)處理，不得在與國(guó)際互聯(lián)網(wǎng)連接的計(jì)算機(jī)上使用。</p><p>　　要加強(qiáng)對(duì)政府網(wǎng)站的監(jiān)控與管理，上網(wǎng)信息要嚴(yán)格按照程序?qū)徟?，重要?shù)據(jù)資料要備份，要采取嚴(yán)格的防范措施，確保政府網(wǎng)絡(luò)安全運(yùn)行。如發(fā)生網(wǎng)絡(luò)遭受攻擊或者失泄秘密事件，要立即處置，并及時(shí)上報(bào)保密委員會(huì)、信息化辦公室和國(guó)家安全局。</p><p>　　2.2.

47、3 金融行業(yè)的信息安全風(fēng)險(xiǎn)分析</p><p>　　金融行業(yè)如銀行、證券等是國(guó)家重要的支柱行業(yè)。金融行業(yè)的信息安全水平關(guān)系到整個(gè)國(guó)家發(fā)展大計(jì)。在有關(guān)文件中提到了我國(guó)信息安全保障的重點(diǎn)包括三大部分。一是基礎(chǔ)信息網(wǎng)絡(luò)安全，二是重要信息系統(tǒng)的安全，三是信息內(nèi)容安全的管理，其中的重要信息系統(tǒng)就包括銀行和證券。目前，我國(guó)的金融行業(yè)的信息化建設(shè)速度非?？?，對(duì)于信息系統(tǒng)的依賴(lài)程度非常高，可以說(shuō)，目前金融行業(yè)的業(yè)務(wù)90%以上需要

48、信息系統(tǒng)的支撐。但是，目前我國(guó)金融系統(tǒng)的信息安全水平比較低，與國(guó)際相比差距比較大。各類(lèi)安全問(wèn)題一直困擾著金融企業(yè)。隨著金融行業(yè)國(guó)際化成的程度不斷提高，信息安全水平也需要與國(guó)際同步。信息安全問(wèn)題的存在不但會(huì)給金融企業(yè)自身帶來(lái)一定的直接損失，而且會(huì)影響到我國(guó)金融行業(yè)的進(jìn)一步發(fā)展。所以金融行業(yè)的信息安全水平亟待發(fā)展和提高。</p><p>　　長(zhǎng)久以來(lái)，人們?cè)诓粩嗟奶剿骱脱芯糠乐剐畔⑾到y(tǒng)遭受威脅影響的手段和方法。在殺毒

49、軟件、防火墻和入侵檢查等方面得到了迅猛的發(fā)展。然而，這些技術(shù)的發(fā)展并沒(méi)有從根本上解決信息系統(tǒng)的安全問(wèn)題，組織嗯哼用戶(hù)面臨的是更加多樣化和隱蔽化的威脅，各類(lèi)安全事件也是層出不窮。人們逐漸意識(shí)到，安全管理是一個(gè)過(guò)程而不是一個(gè)產(chǎn)品，不能期望通過(guò)一個(gè)或幾個(gè)安全產(chǎn)品解決所有的安全問(wèn)題。信息安全風(fēng)險(xiǎn)管理可以看成是一個(gè)不斷降低安全風(fēng)險(xiǎn)的過(guò)程，它會(huì)幫助組織建立最優(yōu)的信息安全戰(zhàn)略，最終其目的是使組織的安全風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，使得用戶(hù)能夠接受這些風(fēng)

50、險(xiǎn)。</p><p>　　2.3 信息安全體系結(jié)構(gòu)框架</p><p>　　電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電的保障，是一項(xiàng)涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力市場(chǎng)交易、電力營(yíng)銷(xiāo)、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。結(jié)合電力工業(yè)特點(diǎn)，信息安全按業(yè)務(wù)性質(zhì)一般可分為4種。</p>&l

51、t;p>　?。?） 電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng)，包括電網(wǎng)自動(dòng)發(fā)電控制系統(tǒng)及支持及運(yùn)行的調(diào)度自動(dòng)化系統(tǒng)，變電站及集控站綜合自動(dòng)化系統(tǒng)，電網(wǎng)繼電保護(hù)及安全自動(dòng)裝置，電力市場(chǎng)技術(shù)支持系統(tǒng)。</p><p>　?。?）電力營(yíng)銷(xiāo)系統(tǒng)、電量計(jì)費(fèi)系統(tǒng)、負(fù)荷管理系統(tǒng)、生產(chǎn)MIS系統(tǒng)、輸電GIS系統(tǒng)。</p><p>　　（3）支持企業(yè)經(jīng)營(yíng)、管理、運(yùn)營(yíng)的管理信息系統(tǒng)，如協(xié)同辦公系統(tǒng)、人力資源信息管理系統(tǒng)、網(wǎng)

52、站系統(tǒng)等。</p><p>　?。?）不直接參與電力企業(yè)過(guò)程控制、生產(chǎn)經(jīng)營(yíng)管理的各類(lèi)經(jīng)營(yíng)、開(kāi)發(fā)、采購(gòu)、銷(xiāo)售等多種經(jīng)營(yíng)公司。支持上述各類(lèi)業(yè)務(wù)系統(tǒng)正常運(yùn)營(yíng)的信息基礎(chǔ)設(shè)施主要指各類(lèi)計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)、電力通信系統(tǒng)，根據(jù)信息對(duì)電力系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營(yíng)和管理及企業(yè)發(fā)展所造成的危害程度，確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí)，制定電力系統(tǒng)</p><p>　　信息安全控制策略，建立適應(yīng)電力企業(yè)發(fā)展的電力

53、系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理，在不同條件下提供信息安全防范措施。</p><p>　　2.4 整體安全防護(hù)體系</p><p>　　基于以上規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照電力系統(tǒng)基于以上規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照電力系統(tǒng)的需求，采用一種整合型高可靠性安全網(wǎng)關(guān)來(lái)實(shí)現(xiàn)以下系統(tǒng)功能：防火墻系統(tǒng)、VPN系統(tǒng)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)控系

54、統(tǒng)、垃圾郵件過(guò)濾系統(tǒng)、病毒掃描系統(tǒng)、內(nèi)網(wǎng)安全、外網(wǎng)安全、內(nèi)外網(wǎng)隔離等。</p><p>　　(1)防火墻系統(tǒng)。采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。</p><p>　　(2)VPN系統(tǒng)。對(duì)遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的IPSecVPN接入，保護(hù)數(shù)據(jù)傳輸過(guò)程中的安全，實(shí)現(xiàn)用戶(hù)對(duì)服務(wù)器系統(tǒng)的受控訪問(wèn)。</p>&l

55、t;p>　　(3)入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)扮演著數(shù)字空間“預(yù)警機(jī)”的角色。入侵檢測(cè)技術(shù)大致分為5個(gè)階段：1 ）基于簡(jiǎn)單攻擊特征模式匹配檢測(cè)；2)基于異常行為模型檢測(cè)；3）基于入侵報(bào)警的關(guān)聯(lián)分析檢測(cè)；4）基于攻擊意圖檢測(cè)；5）基于安全態(tài)勢(shì)檢測(cè)。采用入侵檢測(cè)設(shè)備，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)。</p><p>　　(4)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)。對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)

56、行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。</p><p>　　(5)病毒防護(hù)系統(tǒng)。強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。</p><p>　　(6)垃圾郵件過(guò)濾系統(tǒng)。過(guò)濾郵件，阻止垃圾郵件及病毒郵件的入侵。</p><p>　　(7)內(nèi)網(wǎng)安全。最新調(diào)查顯示，大多數(shù)企業(yè)60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正

57、當(dāng)使用，降低了生產(chǎn)率，阻礙電腦網(wǎng)絡(luò)，消耗企業(yè)網(wǎng)絡(luò)資源，并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)的巨大損失。</p><p>　　(8)外網(wǎng)安全。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲(chóng)攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶(hù)，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊、工作效率下降，直接或間

58、接的經(jīng)濟(jì)損失也很大。</p><p>　　(9)內(nèi)外網(wǎng)隔離。通過(guò)以上內(nèi)、外網(wǎng)的安全分析，通過(guò)技術(shù)手段，將內(nèi)、外網(wǎng)嚴(yán)格隔離開(kāi)來(lái)，也就是內(nèi)部辦公網(wǎng)絡(luò)的機(jī)器不能上互聯(lián)網(wǎng)，上互聯(lián)網(wǎng)的機(jī)器不能接入內(nèi)網(wǎng)，這樣使內(nèi)、外網(wǎng)不能連通，使企業(yè)的信息與資源不被傳出去。</p><p>　　現(xiàn)在國(guó)家電網(wǎng)公司信息化建設(shè)正由局部向全面和縱深發(fā)展，信息安全的重要性日益增加，信息網(wǎng)絡(luò)已經(jīng)延伸到生產(chǎn)經(jīng)營(yíng)的各個(gè)領(lǐng)域、各個(gè)層次

59、。一個(gè)完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)志。信息安全保障體系的建設(shè)，必須進(jìn)行科學(xué)的規(guī)劃，以用戶(hù)身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助，建立全面有機(jī)的安全整體，從而建立真正有效的、能夠?yàn)樾畔⒒ㄔO(shè)提供安全保障的平臺(tái)。</p><p>　　3 供電企業(yè)信息安全風(fēng)險(xiǎn)因素及其威脅</p><p>　　3.1 供電企業(yè)信息安全存在的風(fēng)險(xiǎn)</p>

60、<p><b>　　網(wǎng)絡(luò)主要攻擊統(tǒng)計(jì)</b></p><p>　　經(jīng)過(guò)有關(guān)部門(mén)統(tǒng)計(jì)，網(wǎng)絡(luò)所受到10種主要攻擊分別為：Probes、WWW Attacks、DOS、惡意代碼攻擊、基礎(chǔ)設(shè)施攻擊、遠(yuǎn)程服務(wù)攻擊、操作欺騙、FTP 攻擊、SMTP攻擊、Windows 攻擊。被攻擊的操作系統(tǒng)主要有： Microsoft Windows、UNIX、Cisco IOS，被攻擊最多的通用Web服

61、務(wù)器有：Microsoft IIS、Apache Group Apache、Netscape Enterprise Server、Iplanet E-commerce Solution（見(jiàn)表3-1）。</p><p>　　隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。如那些攜帶著后門(mén)程序的蠕蟲(chóng)病毒是簡(jiǎn)單的防火墻/VPN安全體系所無(wú)法對(duì)付的。因此企業(yè)應(yīng)采

62、用立體多層次的安全系統(tǒng)架構(gòu)。因此網(wǎng)絡(luò)安全體系正是電力企業(yè)所需要采用的模式，這種多層次的安全體系不僅在網(wǎng)絡(luò)邊界設(shè)置防火墻/VPN，而且還設(shè)置了針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。</p><p>　　表3-1 網(wǎng)絡(luò)受到的主要攻擊統(tǒng)計(jì)</p><p>　　3.2 導(dǎo)致企業(yè)信息安全的因素</p>

63、<p>　　伴隨電網(wǎng)的快速發(fā)展以及科學(xué)技術(shù)的進(jìn)步，我們國(guó)家的電力信息化工作也得到了迅猛的發(fā)展。信息系統(tǒng)已經(jīng)廣泛應(yīng)用于電力系統(tǒng)的生產(chǎn)、經(jīng)營(yíng)以及管理等各個(gè)方面，然而在計(jì)算機(jī)安全技術(shù)、運(yùn)行以及相應(yīng)的措施方面投入還不到位，存在許多信息安全隱患。由于解決基于Internet的信息系統(tǒng)的安全問(wèn)題是一項(xiàng)十分復(fù)雜的系統(tǒng)性工程，供電企業(yè)應(yīng)盡快建立一套完整系統(tǒng)的、便于管理的信息安全體系。電力是國(guó)民社會(huì)經(jīng)濟(jì)發(fā)展的一個(gè)基礎(chǔ)性的產(chǎn)業(yè)，電力系統(tǒng)的安全穩(wěn)

64、定運(yùn)行對(duì)于社會(huì)經(jīng)濟(jì)的持續(xù)健康發(fā)展有重大的影響，因此，強(qiáng)化供電企業(yè)信息安全管理工作就顯得迫在眉睫。</p><p>　　供電企業(yè)信息安全的主要影響因素:</p><p>　　1）自然環(huán)境以及各種不可抗拒因素。由于水災(zāi)、雷電等自然災(zāi)害造成的網(wǎng)絡(luò)信號(hào)中斷、數(shù)據(jù)被破壞等。</p><p>　　2）物理設(shè)備風(fēng)險(xiǎn)。在供電企業(yè)信息系統(tǒng)中必須使用了大量的網(wǎng)絡(luò)設(shè)備，比如路由器等，而設(shè)

65、備本身的安全性能也會(huì)對(duì)網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生較大的影響。</p><p>　　3）人為因素以及管理因素。工作人員的業(yè)務(wù)素質(zhì)、職業(yè)修養(yǎng)是其主要因素。建立過(guò)錯(cuò)追究制度，有效預(yù)防人為破壞以及管理方面的漏洞。</p><p>　　4） 數(shù)據(jù)庫(kù)存在的安全風(fēng)險(xiǎn)。嚴(yán)禁供電企業(yè)以及調(diào)度中心的電力控制系統(tǒng)直接和辦公信息網(wǎng)絡(luò)進(jìn)行連接，務(wù)必安裝經(jīng)國(guó)家相關(guān)部門(mén)認(rèn)證的專(zhuān)業(yè)安全隔離設(shè)施，同時(shí)選擇專(zhuān)用設(shè)備組網(wǎng)，確保物理層面

66、上和公用信息網(wǎng)絡(luò)之間的安全隔離。</p><p>　　3.3企業(yè)信息安全的主要威脅</p><p>　　3.3.1 E-mail威脅</p><p>　　E-mail 是一個(gè)重要的個(gè)人和企業(yè)的溝通工具, 它幫助全球性的思想和內(nèi)容的快速交換。然而, 這種信息共享的便利, 也帶來(lái)了許多不利因素。</p><p><b>　　病毒感染&l

67、t;/b></p><p>　　最明顯的危害之一是攜帶病毒的電子郵件。每年的眾多新病毒傳播到互聯(lián)網(wǎng), 如果沒(méi)有強(qiáng)有力的方法和措施, 以保護(hù)個(gè)人或組織的網(wǎng)絡(luò)系統(tǒng), 任何病毒都會(huì)導(dǎo)致極大的傷害。</p><p><b>　　垃圾郵件</b></p><p>　　垃圾郵件的問(wèn)題是最現(xiàn)實(shí)的問(wèn)題之一。除了要花費(fèi)大量的時(shí)間每天清理垃圾, 垃圾郵件也給

68、服務(wù)器帶來(lái)了很大的負(fù)擔(dān)。</p><p><b>　　帶寬和存儲(chǔ)容量</b></p><p>　　浪費(fèi)帶寬和存儲(chǔ)容量等資源垃圾郵件不僅浪費(fèi)時(shí)間, 導(dǎo)致生產(chǎn)力下降, 還會(huì)造成有限的IT 資源的消耗。如存儲(chǔ), CPU , 網(wǎng)絡(luò)帶寬等。</p><p><b>　　知識(shí)產(chǎn)權(quán)</b></p><p>　　知

69、識(shí)產(chǎn)權(quán)的損失監(jiān)控和檢查大量的郵件流量是相當(dāng)困難的。因此, 特別對(duì)商業(yè)組織而言, 私有的或保密的信息通過(guò)電子郵件泄露出去一個(gè)極為重要的擔(dān)憂(yōu)。</p><p>　　3.3.2公文處理過(guò)程的安全問(wèn)題</p><p>　　目前, 公文處理通常使用諸如Word之類(lèi)的文字編輯排版軟件, 其功能強(qiáng)大, 使用廣泛, 但也存在許多安全隱患, 如:</p><p>　　針對(duì)Word的病

70、毒種類(lèi)繁多且不斷有破壞力更大的新病毒流行,Word文檔是傳播病毒的一個(gè)重要載體。</p><p>　　使用Word 客戶(hù)端上的本地文件和臨時(shí)Word 文檔, 雖然這有一定的安全處理, 但在系統(tǒng)異常(如停電等) 的情況下, 這些臨時(shí)Word文檔不能處理。在客戶(hù)端存儲(chǔ)的重要信息可能被竊取。</p><p>　　所帶來(lái)的不同部門(mén)使用不同版本的Word和不斷升級(jí)的版本是不兼容許多不可預(yù)見(jiàn)的問(wèn)題。&

71、lt;/p><p>　　根據(jù)官方文檔模板草案中的語(yǔ)言使用的語(yǔ)言和修改稿件,眉首、公章和版記等處的內(nèi)容可以自由發(fā)揮除, 修改, 造成當(dāng)最后的書(shū)面錯(cuò)誤。</p><p>　　在Word 的編輯格式存儲(chǔ)的可編輯的電子印章是一個(gè)很大的安全風(fēng)險(xiǎn)。文件瀏覽, 文件可以重新編輯打印。</p><p>　　認(rèn)勺Word 文檔的文件較大, 這樣我們必須經(jīng)常大容量數(shù)據(jù)傳輸。這將導(dǎo)致數(shù)據(jù)傳輸

72、效率低, 不穩(wěn)定。</p><p>　　3.3.3數(shù)據(jù)安全威脅</p><p><b>　　1）客戶(hù)信息泄露</b></p><p>　　商業(yè)信息是一個(gè)公司寶貴的財(cái)富, 沒(méi)有一家公司愿意共享客戶(hù)資源給他們的商業(yè)競(jìng)爭(zhēng)對(duì)手, 缺乏客戶(hù)數(shù)據(jù), 公司也不能有效地運(yùn)作。然而, 間諜/ 廣告軟件會(huì)泄露商業(yè)信息。</p><p>&l

73、t;b>　　2）應(yīng)用數(shù)據(jù)的安全</b></p><p>　　企業(yè)應(yīng)用系統(tǒng)在在使用的過(guò)程中的數(shù)據(jù)有的保存在數(shù)據(jù)庫(kù)中, 有的保存在Word文檔中, 這些數(shù)據(jù)可能存在著應(yīng)用軟件漏洞等諸多不安全因素, 這些因素都有可能導(dǎo)致應(yīng)用數(shù)據(jù)的破壞。</p><p>　　3.3.4離職員工帶來(lái)的安全隱患</p><p>　　企業(yè)員工或多或少地?fù)碛幸欢ǖ钠髽I(yè)信息系統(tǒng)訪問(wèn)

74、權(quán)限。但當(dāng)員工離職后, 大多數(shù)企業(yè)卻沒(méi)有適當(dāng)?shù)臋C(jī)制來(lái)確保收回離職員工擁有的任何權(quán)限。</p><p>　　1）所遺留的各種帳戶(hù)</p><p>　　許多企業(yè)的信息化成熟度不高, 企業(yè)各種應(yīng)用系統(tǒng)往往并沒(méi)有集成在一起, 員工也就有了不同系統(tǒng)的賬號(hào)。離任員工仍然可以登陸賬號(hào)。</p><p>　　2）殘存的各種資源權(quán)限</p><p>　　員工很

75、可能有一個(gè)VPN , 寬帶接入, 遠(yuǎn)程主機(jī), E-mail 和其他特權(quán)等。如果員工離開(kāi)了, 但仍然在使用該公司的E-mail, 則很可能是被人利用。</p><p>　　3）其他內(nèi)部信息和隱藏信息</p><p>　　在企業(yè)中, 雇員可能會(huì)無(wú)意或故意得到其他人使用他的帳戶(hù)。有些員工可能了解企業(yè)網(wǎng)絡(luò)中的一些后門(mén), 這可能危及系統(tǒng)的安全。</p><p>　　4 供電企

76、業(yè)的網(wǎng)絡(luò)安全的解決方案與對(duì)策</p><p>　　4.1 DR容災(zāi)解決方案</p><p>　　針對(duì)自然環(huán)境以及各種不可抗拒的因素造成的信息安全風(fēng)險(xiǎn)，遠(yuǎn)程容災(zāi)的方案比較實(shí)用！</p><p>　　4.1.1 HeartsOne DR 功能特點(diǎn)</p><p><b>　　1）遠(yuǎn)程實(shí)時(shí)復(fù)制 </b></p>

77、<p>　　通過(guò)對(duì)數(shù)據(jù)庫(kù)日志進(jìn)行抓取，分析，同時(shí)將其傳輸?shù)狡渌O(shè)備上進(jìn)行日志前滾，實(shí)現(xiàn)一對(duì)一數(shù)據(jù)庫(kù)實(shí)時(shí)復(fù)制同步。</p><p><b>　　2）服務(wù)接管</b></p><p>　　圖4-1 服務(wù)接管圖</p><p>　　在主服務(wù)器宕機(jī)以后，備份服務(wù)器可以手動(dòng)或者自動(dòng)的接管主站的IP以及對(duì)外的相關(guān)服務(wù)。遠(yuǎn)程實(shí)時(shí)復(fù)制功能已經(jīng)將從站

78、數(shù)據(jù)庫(kù)服務(wù)器的數(shù)據(jù)與主站進(jìn)行了同步，業(yè)務(wù)接管后，可以保障數(shù)據(jù)的一致性和完整性。</p><p><b>　　3）異地容災(zāi)</b></p><p><b>　　異地——局域網(wǎng) </b></p><p>　　圖4-2 局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　可以在局域網(wǎng)內(nèi)的任一機(jī)器上，將數(shù)據(jù)同步到任意一

79、臺(tái)機(jī)器上，實(shí)現(xiàn)不同機(jī)房，不同樓宇間，同城的本地各種類(lèi)型局域網(wǎng)，城域網(wǎng)的數(shù)據(jù)同步，完成本地容災(zāi)系統(tǒng)建設(shè)中，最重要的數(shù)據(jù)同步工作。</p><p><b>　　異地——廣域網(wǎng) </b></p><p>　　圖4-3 廣域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　可以通過(guò)廣域網(wǎng)進(jìn)行異地?cái)?shù)據(jù)同步。即使本地?cái)?shù)據(jù)發(fā)生災(zāi)難性的損壞，也能及時(shí)恢復(fù)。主要適用于對(duì)數(shù)據(jù)安全

80、性要求較高的行業(yè)。</p><p><b>　　4）報(bào)警機(jī)制</b></p><p>　　圖4-4 警報(bào)機(jī)制拓?fù)鋱D</p><p>　　當(dāng)服務(wù)器主站宕機(jī)或者出現(xiàn)故障時(shí)，可以在網(wǎng)內(nèi)通過(guò)指定機(jī)器提示消息?；蛘咄ㄟ^(guò)配置無(wú)線(xiàn)發(fā)送設(shè)備，可以直接發(fā)送消息到指定的無(wú)線(xiàn)終端設(shè)備。</p><p><b>　　5）日志記錄<

81、;/b></p><p>　　系統(tǒng)每天會(huì)產(chǎn)生一個(gè)日志文件，其中記錄了當(dāng)天所有運(yùn)行作業(yè)產(chǎn)生的日志信息。根據(jù)日志用戶(hù)可了解各個(gè)作業(yè)詳細(xì)的歷史運(yùn)行狀況。</p><p><b>　　6）統(tǒng)計(jì)分析</b></p><p><b>　　圖4-5 統(tǒng)計(jì)圖</b></p><p>　　提供各類(lèi)數(shù)據(jù)接口的數(shù)

82、據(jù)統(tǒng)計(jì)分析功能，支持一維或二維數(shù)據(jù)分析，可輸出一維餅圖、二維直方圖及基于時(shí)間維的二維趨勢(shì)。</p><p>　　4.1.2 DR容災(zāi)實(shí)例</p><p>　　下面以這個(gè)是某個(gè)電廠的實(shí)際案例——DR容災(zāi)解決方案為例：</p><p>　　根據(jù)客戶(hù)業(yè)務(wù)需求，本方案的核心任務(wù)是提供了基于應(yīng)用級(jí)的備份和災(zāi)難恢復(fù)方案。包括當(dāng)生產(chǎn)中心的服務(wù)器、存儲(chǔ)、Oracle、MySQL、郵

83、件等系統(tǒng)無(wú)法工作時(shí)，能夠在短時(shí)間內(nèi)切換到容災(zāi)中心的服務(wù)器上；當(dāng)生產(chǎn)中心的系統(tǒng)恢復(fù)后，需要支持將系統(tǒng)回切到生產(chǎn)系統(tǒng)。</p><p>　　中科同向提供的方案中，災(zāi)備數(shù)據(jù)庫(kù)能夠快速配合業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)接管。</p><p>　　根據(jù)該系統(tǒng)的應(yīng)用概況，建議災(zāi)備方案如下圖4-6：</p><p>　　圖4-6 災(zāi)備方案拓?fù)鋱D</p><p>　　方案

84、部署及功能實(shí)現(xiàn)如下：</p><p>　　在數(shù)據(jù)中心生產(chǎn)系統(tǒng)的每個(gè)數(shù)據(jù)庫(kù)服務(wù)器上安裝HeartsOne DR的代理，代理程序?qū)?shù)據(jù)源系統(tǒng)的數(shù)據(jù)變化進(jìn)行跟蹤，當(dāng)生產(chǎn)系統(tǒng)發(fā)現(xiàn)到有數(shù)據(jù)變化時(shí)，系統(tǒng)將數(shù)據(jù)變化的結(jié)果采集起來(lái)并發(fā)送到災(zāi)備中心。</p><p>　　災(zāi)備中心需要在備份服務(wù)器上安裝一個(gè)HeartsOne DR的代理，該代理程序接受從業(yè)務(wù)系統(tǒng)的代理上傳送來(lái)的數(shù)據(jù)變化指令，并將變化的指令寫(xiě)入

85、到災(zāi)備中心數(shù)據(jù)庫(kù)對(duì)應(yīng)用戶(hù)中。從而保持生產(chǎn)系統(tǒng)與災(zāi)備系統(tǒng)保持實(shí)時(shí)更新與同步。</p><p>　　當(dāng)由于某種原因?qū)е聰?shù)據(jù)庫(kù)的數(shù)據(jù)文件丟失或損壞時(shí)，可以通過(guò)備份中心的數(shù)據(jù)進(jìn)行任意時(shí)間點(diǎn)的數(shù)據(jù)回退，保證回退時(shí)間點(diǎn)的數(shù)據(jù)的完整、可用。</p><p>　　當(dāng)數(shù)據(jù)中心的生產(chǎn)系統(tǒng)主服務(wù)器出現(xiàn)意外導(dǎo)致服務(wù)器停止對(duì)外服務(wù)時(shí)，災(zāi)備中心的備份服務(wù)器可以通過(guò)自動(dòng)或手動(dòng)接管服務(wù)器。通過(guò)接管功能可以讓業(yè)務(wù)系統(tǒng)快速恢

86、復(fù)正常服務(wù)，即恢復(fù)時(shí)間目標(biāo)RTO接近于0,確保業(yè)務(wù)的連續(xù)性。</p><p>　　當(dāng)數(shù)據(jù)中心的主服務(wù)器修復(fù)后，可以通過(guò)反向同步，停止災(zāi)備中心接管的服務(wù)，恢復(fù)生產(chǎn)中心服務(wù)器的服務(wù)。重新回到通常的冗余災(zāi)備狀態(tài)。</p><p>　　容災(zāi)硬件、系統(tǒng)的配置（建議）</p><p><b>　　表4-1 方案配置</b></p><p

87、>　　容災(zāi)軟件 HeartsOne DR的配置</p><p>　　HeartsOne DR軟件的安裝分為生產(chǎn)系統(tǒng)和備份系統(tǒng)兩個(gè)方面：</p><p><b>　　生產(chǎn)系統(tǒng)：</b></p><p>　　HeartsOne DR在生產(chǎn)系統(tǒng)的數(shù)據(jù)庫(kù)實(shí)例上要安裝一個(gè)數(shù)據(jù)庫(kù)代理程序，用來(lái)分析本代理產(chǎn)生的redo log數(shù)據(jù)。</p>

88、<p><b>　　災(zāi)備系統(tǒng)：</b></p><p>　　HeartsOne DR在備份中心的3臺(tái)服務(wù)器上，分別安裝一個(gè)HeartsOne DR，但需要為每個(gè)instance啟動(dòng)一個(gè)destination agent port。</p><p>　　表4-2 HeartsOne DR軟件配置</p><p>　　4.2安全管

89、理解決策略</p><p>　　針對(duì)人為因素以及管理因素造成對(duì)企業(yè)信息安全風(fēng)險(xiǎn)作出的相應(yīng)解決策略。</p><p>　　（1）多人負(fù)責(zé)原則。每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，忠誠(chéng)可靠，能勝任此項(xiàng)工作；應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：訪問(wèn)控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信

90、息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改等。</p><p>　?。?）任期有限原則。任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專(zhuān)有的或永久性的。為遵循任期有限原則，假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。</p><p>　?。?）職責(zé)分離原則。在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全相關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)

91、批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi)：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收和傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。</p><p>　?。?）制訂應(yīng)急措施。組織應(yīng)急響應(yīng)小組，要求制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。</p>&l

92、t;p>　　4.3 HBU數(shù)據(jù)備份方案</p><p>　　針對(duì)企業(yè)數(shù)據(jù)庫(kù)、數(shù)據(jù)存在的安全風(fēng)險(xiǎn)作出的一種解決預(yù)案。</p><p>　　中科同向 HBU for Windows Servers 是適合于Windows服務(wù)器網(wǎng)絡(luò)的高性能數(shù)據(jù)管理解決方案。HBU通過(guò)其客戶(hù)端/服務(wù)器設(shè)計(jì)，為跨網(wǎng)絡(luò)的服務(wù)器和工作站提供快速可靠的備份和恢復(fù)能力。</p><p>　　在

93、此結(jié)構(gòu)中，所有的備份策略和備份任務(wù)管理等均在介質(zhì)服務(wù)器上，Client用戶(hù)可以隨時(shí)恢復(fù)和備份指定的數(shù)據(jù)。這種結(jié)構(gòu)的好處是，可以將整個(gè)網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)備份到一個(gè)或多個(gè)集中的備份服務(wù)器上。資源共享既可以節(jié)省費(fèi)用，又可以簡(jiǎn)化管理。</p><p><b>　　1.異種環(huán)境支持</b></p><p>　　在同一個(gè)HBU 環(huán)境中，可以存在多種硬件平臺(tái)（IBM、 HP、DELL、

94、聯(lián)想等）、操作系統(tǒng)平臺(tái)(Windows,Linux)、應(yīng)用平臺(tái)(Oracle, SQL server, Sybase, Exchange Server,Domino Notes等.)，以及所有流行的存儲(chǔ)設(shè)備。</p><p>　　2.真正的映象(image)恢復(fù)</p><p>　　使用全備份和增量備份后,恢復(fù)時(shí)根據(jù)映象(image)恢復(fù),真正做到已刪除文件無(wú)需恢復(fù),大大減少恢復(fù)數(shù)據(jù)量.避

95、免了傳統(tǒng)方式先恢復(fù)全備份文件,再進(jìn)行增量恢復(fù)和文件刪除的復(fù)雜操作。</p><p><b>　　3.多種備份類(lèi)型</b></p><p>　　管理員可以靈活定義全備份、增量備份、累積備份、合成備份等各種方式。</p><p><b>　　4.備份時(shí)間靈活</b></p><p>　　備份時(shí)間可以以日

96、歷方式定義備份策略，按年、月、日、小時(shí)進(jìn)行，同時(shí)可以設(shè)置備份介質(zhì)的有效時(shí)間，使得備份的數(shù)據(jù)以時(shí)間為管理點(diǎn)。</p><p><b>　　5.磁帶多路復(fù)用</b></p><p>　　一般情況下，對(duì)每一個(gè)備份操作，磁帶庫(kù)要花費(fèi)較多時(shí)間安裝磁帶到driver中，HBU 可以將多個(gè)client備份數(shù)據(jù)復(fù)用寫(xiě)到同一磁帶上，大大提高了備份速度.</p><p

97、>　　6.提供driver共享功能</p><p>　　HBU 可以利用其特有的結(jié)構(gòu)，為用戶(hù)建立合理的備份布局。共享驅(qū)動(dòng)器選項(xiàng)可以使得多臺(tái)服務(wù)器對(duì)驅(qū)動(dòng)器實(shí)現(xiàn)共享，同時(shí)HBU支持SAN(存儲(chǔ)局域網(wǎng))的共享磁帶庫(kù)功能(光通道連接)。</p><p>　　7.Flash HBU備份</p><p>　　這是HBU 獨(dú)有的特點(diǎn)，解決文件小，文件數(shù)多且文件系統(tǒng)大情況下的

98、數(shù)據(jù)備份。據(jù)測(cè)試，80GB的文件系統(tǒng)需要72小時(shí)做備份，而采用FlashHBU, 只需10小時(shí)。</p><p>　　8.HBU 支持?jǐn)?shù)據(jù)歸檔備份</p><p>　　此時(shí)，歸檔的數(shù)據(jù)從文件系統(tǒng)上刪除。</p><p>　　HBU 對(duì)數(shù)據(jù)的備份管理方式十分豐富，它可實(shí)現(xiàn)的備份方式有：塊增量備份（Block Level Incremental HBU）：由于HBU 與

99、File System有緊密的集成，HBU 能識(shí)別表格的每個(gè)數(shù)據(jù)塊，所以它能自動(dòng)對(duì)表格中更改過(guò)的數(shù)據(jù)塊進(jìn)行備份。這樣，當(dāng)一個(gè)大的表格（如1GB）需要備份時(shí)，只需備份該表格中修改過(guò)的那些數(shù)據(jù)塊，而不必備份整個(gè)表格。這就大大減少了數(shù)據(jù)備份的工作量，也能節(jié)省大量的存儲(chǔ)介質(zhì)（此特點(diǎn)對(duì)大型文件尤其突出）。</p><p>　　增量備份：對(duì)修改過(guò)的表格進(jìn)行備份。</p><p>　　全備份：對(duì)所有表格

100、進(jìn)行備份。</p><p>　　累積備份：備份上一次備份以來(lái)，更新過(guò)的文件。</p><p>　　合成備份：一次全備份，以后永遠(yuǎn)的增量備份，在后臺(tái)安時(shí)間點(diǎn)合成全備份。</p><p>　　4.4 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)解決方案</p><p>　　針對(duì)物理設(shè)備存在的安全風(fēng)險(xiǎn)作出的相應(yīng)的解決策略。</p><p>　　4.4.1

101、實(shí)施方法</p><p>　　將網(wǎng)絡(luò)隔離與信息交換系統(tǒng)防止在資費(fèi)服務(wù)器與專(zhuān)網(wǎng)之間，終端用戶(hù)必須通過(guò)網(wǎng)絡(luò)隔離設(shè)備訪問(wèn)資費(fèi)服務(wù)器，網(wǎng)絡(luò)隔離設(shè)備只開(kāi)通與資費(fèi)有關(guān)的數(shù)據(jù)通道，屏蔽所有的非法訪問(wèn)，最大限度地保護(hù)資費(fèi)應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器。這樣做雖然保護(hù)了資費(fèi)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，而且為了確保系統(tǒng)的穩(wěn)定運(yùn)行，使用了2臺(tái)資費(fèi)服務(wù)器互為冗余備份，但是由于數(shù)據(jù)庫(kù)服務(wù)器只有1臺(tái)，它存儲(chǔ)著整個(gè)資費(fèi)系統(tǒng)的數(shù)據(jù)信息，一旦數(shù)據(jù)庫(kù)服務(wù)器的

102、數(shù)據(jù)被破壞、刪除、泄露，就會(huì)影響到整個(gè)系統(tǒng)的正常運(yùn)行。因此要再增加1臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，2臺(tái)數(shù)據(jù)庫(kù)服務(wù)器互為冗余備份，為防止2臺(tái)數(shù)據(jù)庫(kù)服務(wù)器同時(shí)被破壞，在服務(wù)器之間放置1臺(tái)網(wǎng)絡(luò)隔離設(shè)備。如圖4-7所示。</p><p>　　4.4.2 方案特點(diǎn)</p><p>　　此方案能夠提供資費(fèi)系統(tǒng)以下安全防護(hù)：</p><p>　?。?）在業(yè)務(wù)網(wǎng)與專(zhuān)網(wǎng)之間進(jìn)行安全隔離，網(wǎng)絡(luò)隔離

103、與信息交換系統(tǒng)采用的事安全隔離技術(shù)，從物理層到應(yīng)用層徹底終止網(wǎng)絡(luò)協(xié)議，剝離出原始的應(yīng)用層數(shù)據(jù)，再對(duì)應(yīng)用數(shù)據(jù)進(jìn)行嚴(yán)格的檢查，只有合法的數(shù)據(jù)才能夠被百度到一個(gè)網(wǎng)絡(luò)中。使用網(wǎng)絡(luò)隔離與信息交換系統(tǒng)有效地防范了網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊，任何非法的數(shù)據(jù)都無(wú)法穿透網(wǎng)絡(luò)隔離與信息交換設(shè)備；</p><p>　　（2）網(wǎng)絡(luò)隔離設(shè)備可以基于IP地址、IP\MAC綁定、用戶(hù)名\口令、時(shí)間段來(lái)驗(yàn)證用戶(hù)是否是合法身份和有效權(quán)限，IP\MAC的綁

104、定可限定IP地址只能在1臺(tái)指定的用戶(hù)終端上使用，只有擁有權(quán)限的終端用戶(hù)才能訪問(wèn)資費(fèi)服務(wù)器。同時(shí)還可以阻止終端用戶(hù)通過(guò)擅自修改IP地址，從而獲取一個(gè)特定的IP地址來(lái)進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用的行為。IP\MAC綁定+用戶(hù)名\口令可以保障合法用戶(hù)在指定終端上的應(yīng)用權(quán)限，加上完善的日志管理，大大提高了網(wǎng)絡(luò)安全管理。由于同時(shí)應(yīng)用了時(shí)間段管理，所以可以保障合法用戶(hù)在指定的終端，指定的時(shí)間，進(jìn)行指定的合法應(yīng)用；</p><p>　　

105、（3）嚴(yán)格控制業(yè)務(wù)流向，只有與資費(fèi)相關(guān)的業(yè)務(wù)才允許互通，只有用戶(hù)終端主動(dòng)發(fā)出的請(qǐng)求才能受理，任何非法用戶(hù)和非法業(yè)務(wù)都不能通過(guò)電力專(zhuān)網(wǎng)進(jìn)入資費(fèi)服務(wù)器；</p><p>　?。?）禁止資費(fèi)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器主動(dòng)向外發(fā)起TCP連接和發(fā)送UDP數(shù)據(jù)包，從而防止木馬病毒、后門(mén)病毒等竊取敏感數(shù)據(jù)。</p><p>　?。?）網(wǎng)絡(luò)隔離設(shè)備能夠主動(dòng)跟蹤主數(shù)據(jù)庫(kù)服務(wù)器，當(dāng)數(shù)據(jù)庫(kù)中的數(shù)據(jù)發(fā)生變化時(shí)，網(wǎng)絡(luò)

106、隔離設(shè)備主動(dòng)將改變的數(shù)據(jù)同步到備份數(shù)據(jù)庫(kù)服務(wù)器上，從而確保了2個(gè)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)保持一致；</p><p>　?。?）當(dāng)主數(shù)據(jù)庫(kù)服務(wù)器發(fā)生故障導(dǎo)致主要數(shù)據(jù)庫(kù)服務(wù)器癱瘓或數(shù)據(jù)丟失時(shí)，網(wǎng)絡(luò)隔離設(shè)備的高安全性，最大限度地保護(hù)了備數(shù)據(jù)庫(kù)服務(wù)器的運(yùn)行安全和數(shù)據(jù)安全，并在最短時(shí)間內(nèi)恢復(fù)整個(gè)系統(tǒng)的正常運(yùn)行。</p><p>　　圖4-4 網(wǎng)絡(luò)安全拓?fù)鋱D</p><p>　

107、　4.5 針對(duì)其他一些主要威脅作出的應(yīng)對(duì)措施</p><p>　　4.5.1 E-mail 威脅</p><p>　　對(duì)于病毒感染作出的相應(yīng)的措施</p><p>　　首先要在服務(wù)器內(nèi)部裝有殺毒軟件，其次還有防火墻策略，這是對(duì)于企業(yè)信息化建設(shè)最基本的要求。對(duì)于一些高穿透力的病毒、垃圾郵件，我們要采用反垃圾郵件軟件，還有網(wǎng)關(guān)解決這些問(wèn)題！智能防火墻針對(duì)不同安全需求動(dòng)

108、態(tài)設(shè)置自適應(yīng)檢測(cè)系統(tǒng)，為電子商務(wù)企業(yè)增加了主機(jī)自動(dòng)加固、故障自動(dòng)恢復(fù)等功能。該防火墻針對(duì)不同安全級(jí)別的外部入侵攻擊，由實(shí)時(shí)監(jiān)測(cè)系統(tǒng)記錄相應(yīng)的安全日志，動(dòng)態(tài)實(shí)施多級(jí)網(wǎng)絡(luò)安全防火墻策略進(jìn)行主機(jī)加固，并對(duì)最終導(dǎo)致的系統(tǒng)災(zāi)難動(dòng)態(tài)恢復(fù)。企業(yè)網(wǎng)絡(luò)系統(tǒng)中，由于需要大量的網(wǎng)絡(luò)操作，網(wǎng)絡(luò)防病毒至關(guān)重要，可從以下幾個(gè)方面著手：（1）在工作站上安裝防病毒軟件。（2）郵件是重要的病毒來(lái)源，郵件服務(wù)器要安裝防病毒軟件。（3）文件服務(wù)器中存放企業(yè)重要的數(shù)據(jù)。在In

109、ternet 服務(wù)器上安裝防病毒軟件是頭等重要的，上載和下載的文件不帶有病毒對(duì)網(wǎng)絡(luò)是非常重要的。</p><p>　　4.5.2 文檔處理過(guò)程的安全問(wèn)題</p><p>　　采用文檔加密的方式。受控文件從集團(tuán)到分公司各部門(mén)按職能設(shè)定密鑰，相同密鑰的職能部門(mén)可通過(guò)任何網(wǎng)絡(luò)共享、U 盤(pán)等方式交互文件可正常訪問(wèn)。 </p><p>　?。?）涉密辦公計(jì)算機(jī)產(chǎn)生的文檔，按文