【正文】 定運行。防護規(guī)定從技術措施和安全管理兩個方面，重點對安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證幾個層面提出。建立電力二次系統(tǒng)測評指標體系，以保證電力二次系統(tǒng)具備相應安全等級要求的安全保護能力為出發(fā)點，以同時滿足國標基線要求和行業(yè)特殊要求為原則，通過比較分析、歸納整理，選擇二次防護規(guī)定要求中提出的國標基線要求未包括和高于國標基線要求的要求，按照國標基線要求框架提出電力二次系統(tǒng)特殊要求。國標基線要求和電力二次特殊要求共同構成電力二次系統(tǒng)安全等級測評指標體系。電力二次系統(tǒng)特殊要求指標見表1所示，其中僅列出安全分類、安全子類、測評項數(shù)，特殊指標描述項具體內容省略（屬于行業(yè)敏感信息不能公開）。國標基線要求指標與被測信息系統(tǒng)安全保護等級（業(yè)務信息安全等級和系統(tǒng)服務安全等級）密切相關，根據(jù)具體情況選定，故本文中也略去。[5]表1電力二次系統(tǒng)特殊要求指標安全分類安全子類安全分區(qū)原則 生產大區(qū)內部安全防護 業(yè)務系統(tǒng)分置于安全區(qū) 網(wǎng)絡專用網(wǎng)絡安全電力調度數(shù)據(jù)網(wǎng)安全防護措施 橫向隔離 縱向認證 遠程撥號訪問 惡意代碼防范 安全Web服務 生產大區(qū)內部安全防護主機安全設備的接入管理 遠程撥號訪問應用安全生產大區(qū)內部安全防護 安全文件網(wǎng)關數(shù)據(jù)安全及備份恢復 安全管理制度 安全管理機構 系統(tǒng)建設管理 系統(tǒng)運維管理線路加密措施 備份與容災 安全管理制度 安全管理機構 相關人員的安全職責 工程實施的安全管理 設備和應用系統(tǒng)的接入管理 日常安全管理制度 聯(lián)合防護和應急處理指標合計特殊要求描述測評項數(shù)2 3 3 3 6 2 2 2 1 1 1 1 1 2 1 1 1 1 1 2 3 2 1 4 49隨著國家信息安全等級保護制度的進一步推進和電力行業(yè)信息安全等級保護工作的進一步落實，電力二次系統(tǒng)安全等級測評必將大量展開。本文在理論研究和實踐驗證的基礎上，提出的項目干系人模型、電力二次系統(tǒng)測評標準模型和測評指標體系對于電力二次系統(tǒng)安全等級測評的開展勢必具有較大意義。參考文獻[1] 《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令）[2] 《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》（電監(jiān)信息[2007]44號）[3] 《信息系統(tǒng)安全等級保護測評過程指南》[4] GB/T 222392008信息安全技術信息系統(tǒng)安全等級保護基本要求第五篇：電力信息系統(tǒng)安全淺析電力系統(tǒng)信息網(wǎng)絡安全【摘要】隨著電力行業(yè)信息化不斷發(fā)展，信息安全的重要性日漸突顯，所面臨的考驗也日益嚴峻。全文分析了威脅電力系統(tǒng)安全的幾個主要來源及局域網(wǎng)安全管理所涉及的問題，并從信息安全技術與管理上提出了自己的幾點思路和方法，增強智能電網(wǎng)信息安全防護能力，提升信息安全自主可控能力【關鍵詞】 電力系統(tǒng)網(wǎng)絡安全計算機隨著計算機信息技術的發(fā)展，電力系統(tǒng)對信息系統(tǒng)的依賴性也逐步增加，信息網(wǎng)絡已成為我們工作中的重要組成部分。電力的MIS系統(tǒng)、電力營銷系統(tǒng)、電能電量計費系統(tǒng)、SAP系統(tǒng)、電力ＩＳＰ業(yè)務、經(jīng)營財務系統(tǒng)、人力資源系統(tǒng)等，可以說目前的電力資源的整合已經(jīng)完全依賴計算機信息系統(tǒng)來管理了。因此在加強信息系統(tǒng)自身的穩(wěn)定性同時，也要防范利用網(wǎng)絡系統(tǒng)漏洞進行攻擊、通過電子郵件進行攻擊解密攻擊、后門軟件攻擊、拒絕服務攻擊等網(wǎng)絡上帶來諸多安全問題。如何應對好網(wǎng)絡與信息安全事件。要把信息安全規(guī)劃好，就要從軟件和硬件兩個方面下功夫。首先我們來談談軟件這塊，其實這塊主要是指安全防護意識和協(xié)調指揮能力和人員業(yè)務素質。作為企業(yè)信息網(wǎng)絡安全架構，最重要的一個部分就是企業(yè)網(wǎng)絡的管理制度，沒有任何設備和技術能夠百分之百保護企業(yè)網(wǎng)絡的安全，企業(yè)應該制定嚴格的網(wǎng)絡使用管理規(guī)定。對違規(guī)內網(wǎng)外聯(lián)，外單位移動存儲介質插入內網(wǎng)等行為要堅決查處，絕不姑息。企業(yè)信息網(wǎng)絡安全架構不是一個簡單的設備堆加的系統(tǒng)，而是一個動態(tài)的過程模型，安全管理問題貫穿整個動態(tài)過程。因此，網(wǎng)絡安全管理制度也應該貫穿整個過程。通過貫徹堅持“安全第一、預防為主”的方針，加強網(wǎng)絡與信息系統(tǒng)突發(fā)事件的超前預想，做好應對網(wǎng)絡與信息系統(tǒng)突發(fā)事件的預案準備、應急資源準備、保障措施準備，編制各現(xiàn)場處置預案，形成定期應急培訓和應急演練的常態(tài)機制，提高對各類網(wǎng)絡與信息系統(tǒng)突發(fā)事件的應急響應和綜合處理能力。按照綜合協(xié)調、統(tǒng)一領導、分級負責的原則，建立有系統(tǒng)、分層次的應急組織和指揮體系。組織開展網(wǎng)絡與信息系統(tǒng)事件預防、應急處置、恢復運行、事件通報等各項應急工作。充分發(fā)揮公司專家隊伍和專業(yè)人員的作用，切實提高應急處理人員的業(yè)務素質,定期參加基礎知識的梳理和各類信息系統(tǒng)的培訓，以及上崗前的考核機制。把保障公司正常生產、經(jīng)營、管理秩序、保障公司員工信息安全保密作為首要任務，最大程度減少突發(fā)事件造成的經(jīng)濟損失和利益損害。而硬件這部分也不僅僅是簡單的網(wǎng)絡設備、服務器小型機、UPS等硬件設備，還包括配合電力生產需要的各個信息系統(tǒng)以及網(wǎng)絡資源。以上的信息設備，信息系統(tǒng)和整個網(wǎng)絡的架構每一個細節(jié)直接關系到系統(tǒng)運行的穩(wěn)定性。為了確保信息系統(tǒng)穩(wěn)定性，近年來，我們在硬件設備的投入上一直是逐步增加，在網(wǎng)絡設備的采購上，我們選取的一直是CISCO品牌的交換機和路由器，CISCO交換機的帶寬的吞吐量、IPV6路由、組播路由以及訪問控制列表（ACL）、CISCO CATALYS智能電源管理等技術的穩(wěn)定性在同級別的產品中都是最優(yōu)質的。服務器小型機基本上以IBM、HP和DELL為主，在服務器的選型上盡量好的和社會口碑突出的品牌，以確保其運行的穩(wěn)定性。同樣，在軟件開發(fā)上也是和國內知名軟件公司合作開發(fā)各種生產需要的應用系統(tǒng)，如中軟的防火墻，北塔的網(wǎng)管軟件等,ORACLE的OA系統(tǒng)。在網(wǎng)絡的架構上，實行邊界防護通過防火墻，作為網(wǎng)絡安全重要的一環(huán)，防火墻是在整個網(wǎng)絡安全建設中都是不能缺少的主角之一，并且?guī)缀跛械木W(wǎng)絡安全公司品牌的防火墻。在防火墻的參數(shù)中，最?？匆姷氖遣l(fā)連接數(shù)、忘了吞吐量兩項指標。并發(fā)連接數(shù)是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，他反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。吞吐量的大小主要是由防火墻內網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大大折扣。對于我們大型國有企業(yè)來說，當然還是選擇1000M的防火墻來保證流量。根據(jù)國家電網(wǎng)公司對外網(wǎng)建設“強邏輯隔離”的目標和要求，在省、市供電公司和直屬單位重新架設一套物理外網(wǎng)，該網(wǎng)絡與現(xiàn)有內網(wǎng)物理隔離，兩網(wǎng)之間加裝物理隔離裝置?；ヂ?lián)網(wǎng)出口位于省電力公司，地市供電公司和直屬單位統(tǒng)一從省電力公司出口訪問互聯(lián)網(wǎng)；改造后的外網(wǎng)應用系統(tǒng)與內網(wǎng)相關系統(tǒng)的訪問必須通過隔離裝置進行。訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍內，這是訪問控制安全機制應該實現(xiàn)的基本功能，訪問控制安全機制可以在網(wǎng)絡入口處對惡意訪問用戶進行甄別和過濾，在極大程度上保證了網(wǎng)絡訪問用戶的可靠性。訪問控制的實現(xiàn)首先是要考慮對合法用戶進行驗證，然后對控制策略的選用于管理，最后要對沒有非法用戶或者是越權操作進行管理，所以，訪問控制包括認證、控制策略實現(xiàn)和審計三方面的內容。目前主流的控制技術有可以基于角色的訪問控制技術（Rolebased Access,RBAC）,基于任務的訪問控制模型（Taskbased Access Control Model,TBAC Model），基于對象的訪問控制模型（ObjectBased Access Control Model）。數(shù)據(jù)傳輸安全要求保護網(wǎng)絡上被傳輸?shù)男畔?，以防止被動地和主動地侵犯。主要是通過文件加密技術和電子簽章兩種方式。網(wǎng)絡上的加密可以分為三層：第一層是數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對其加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是對傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡傳輸期間保持加密狀態(tài)；第三層使應用層上的加密，讓網(wǎng)絡應用程序對數(shù)據(jù)進行加密和解密。通常采用的方式使對這三層進行綜合加密，以增強信息的安全性和可靠性。電子簽章是對數(shù)據(jù)的接受者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，他主要通過加密算法和驗證協(xié)議來實現(xiàn)。來自網(wǎng)絡威脅還有很重要的一點是病毒的危害。病毒本身就是計算機程序，但是它確用來破壞和干擾計算機系統(tǒng)或網(wǎng)絡的正常使用，通過編寫所謂的惡意代碼，來控制或者偷窺計算機資源或使其整個網(wǎng)絡癱瘓。計算機病毒可謂是防不勝防，總結了病毒的傳播途徑主要是通過以下幾種方式1通過光盤、軟盤傳播2通過移動存儲介質傳播3通過網(wǎng)絡傳播 所以我們通過安裝防病毒軟件symantec并跟新最新的病毒庫，實時監(jiān)控病毒，一經(jīng)發(fā)現(xiàn)馬上處理。保證網(wǎng)絡的良好環(huán)境。電力系統(tǒng)的信息化應用是隨著企業(yè)的發(fā)展而不斷發(fā)展的，信息網(wǎng)絡安全也是一個動態(tài)過程，需要定期對信息網(wǎng)絡安全狀況進行評估，改進安全方案，調整安全策略。我們不能保證能杜絕來自信息網(wǎng)絡上的各種威脅和攻擊，但是我相信通過全體電力人的責任心和使命感，我們一定能最大限度的保障電力信息網(wǎng)絡的安全，更好的為電力生產服務，更好的為全社會服務。