導(dǎo)語：如何才能寫好一篇信息系統(tǒng)安全運維服務(wù)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

如何建立一套針對企業(yè)自身特點的信息系統(tǒng)安全體系，最大程度地保證其正常運營，這不是一個單純的技術(shù)問題，而是一個把管理、安全技術(shù)、審計等多種因素集成于于一體的系統(tǒng)工程。因此，企業(yè)管理層需要在企業(yè)發(fā)展策略中，高度重視信息安全技術(shù)、信息安全管理和審計工作，不僅要在信息系統(tǒng)的軟硬件上下功夫，而且不能忽略相關(guān)審計工作，加強風險排查，這樣才能對企業(yè)的業(yè)務(wù)發(fā)展做到同步支持。

1.信息系統(tǒng)安全技術(shù)

信息系統(tǒng)安全技術(shù)作為信息系統(tǒng)安全體系的基礎(chǔ)，在其中起到支撐的作用。在實際工作中，針對企業(yè)各自特點制定相關(guān)策略。當前企業(yè)信息系統(tǒng)安全的現(xiàn)狀和面臨的主要問題如下：

1.1硬件運維

硬件設(shè)備的運維和管理是企業(yè)信息系統(tǒng)安全體系的基礎(chǔ)保障，但是管理人員容易忽視這一環(huán)節(jié)。企業(yè)信息系統(tǒng)往往會因為硬件設(shè)備故障、斷電或網(wǎng)絡(luò)問題造成信息丟失或服務(wù)中斷。如果針對硬件設(shè)備的運維和管理沒有相關(guān)保障機制，一次發(fā)生意外，就會給企業(yè)造成不可估量的損失。

當前常見的硬件設(shè)備運維保障管理機制有以下幾個環(huán)節(jié)：一是通過設(shè)置UPS不間斷電源保障系統(tǒng)硬件的持續(xù)性運行；二是要對企業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備進行定期巡檢，在前期的網(wǎng)絡(luò)環(huán)境部署過程中首先考慮網(wǎng)絡(luò)的連接穩(wěn)定性；最后是加強信息系統(tǒng)安全管理，嚴防企業(yè)信息丟失和竊取，可以通過對數(shù)據(jù)信息存儲服務(wù)器設(shè)置物理鎖的方式避免非法操作。為了保證系統(tǒng)服務(wù)器的安全，管理人員可以采用遠程登錄的方式訪問系統(tǒng)。

1.2入侵防御

病毒入侵一般都擁有固定代碼，而入侵威脅是由非法人員需要得知信息系統(tǒng)的漏洞，從而進行人為操縱的信息竊取或系統(tǒng)攻擊。特定的防范方法包括：嚴格制定防火墻訪問控制策略，阻止外界對內(nèi)部資源的非法訪問；關(guān)閉系統(tǒng)硬件不用的端口；定期對系統(tǒng)進行漏洞掃描和補丁包更新；在信息系統(tǒng)中部署入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），從而抵御非法入侵。

1.3病毒防范

信息系統(tǒng)的安全配置和管理人員的正規(guī)操作對于信息系統(tǒng)病毒的防范非常重要。操作系統(tǒng)是企業(yè)信息平臺安全的基礎(chǔ)，錯誤的安裝配置會使病毒滲入到信息系統(tǒng)當中。針對信息系統(tǒng)安裝殺毒軟件并進行定期更新是病毒防范的基本措施，這樣可以保證系統(tǒng)基本的安全性與穩(wěn)定性。企業(yè)還需要定期對系統(tǒng)進行數(shù)據(jù)備份。

1.4數(shù)據(jù)加密

在公共網(wǎng)絡(luò)進行數(shù)據(jù)傳輸?shù)倪^程中，利用虛擬專用網(wǎng)（VPN）技術(shù)設(shè)置訪問控制策略，實現(xiàn)兩個或多個可信網(wǎng)絡(luò)之間的數(shù)據(jù)加密與傳輸。搭建VPN通常使用加密防火墻和路由器，保證數(shù)據(jù)安全傳輸[1]。

在企業(yè)的局域網(wǎng)中針對內(nèi)部信息存儲、傳輸?shù)陌踩珕栴}，可以通過部署安全服務(wù)器來實現(xiàn)包括對局域網(wǎng)內(nèi)資源的管理控制、用戶的管理和所有安全相關(guān)事件的跟蹤和審計。

2.信息系統(tǒng)安全管理

企業(yè)信息系統(tǒng)安全體系的建設(shè)三分靠技術(shù)，七分靠管理。因此，建立和完善管理制度是保障企業(yè)信息系統(tǒng)安全的關(guān)鍵和重點。

2.1制定企業(yè)信息系統(tǒng)安全管理制度

企業(yè)信息系統(tǒng)安全體系的建立和實施對其正常運營非常重要，所有一切的信息系統(tǒng)安全工作都要以公司制定的企業(yè)信息系統(tǒng)安全管理制度為基準。

2.2提高企業(yè)員工信息系統(tǒng)安全意識

現(xiàn)實中企業(yè)管理者的關(guān)注焦點大多是生產(chǎn)上的安全，信息安全沒有得到足夠的重視。實際上，企業(yè)員工信息安全意識的高低，在企業(yè)的信息系統(tǒng)安全體系建設(shè)中起很大作用，企業(yè)能夠加強員工的信息安全意識，將很大地提高信息系統(tǒng)安全體系實施的成效。

2.3嚴格執(zhí)行標準，強化制度落實

在企業(yè)信息系統(tǒng)安全體系的建設(shè)過程中，必須嚴格按照信息系統(tǒng)安全操作規(guī)程和管理措施執(zhí)行，最大程度消除信息系統(tǒng)安全隱患。若發(fā)現(xiàn)信息系統(tǒng)安全隱患，及時按照相關(guān)操作規(guī)程處置[2]。

2.4積極學習和應(yīng)對各種信息系統(tǒng)安全事件

信息技術(shù)不斷發(fā)展，保障信息系統(tǒng)安全的難度也在與日俱增。因此，信息系統(tǒng)安全管理必須要求企業(yè)管理人員不斷學習，不僅要制定一套完整嚴密的信息系統(tǒng)安全管理方案，還要有步驟清晰、操作性強的應(yīng)急預(yù)案，這樣才能增強信息系統(tǒng)安全管理的危機抵御能力和處理能力。

2.5構(gòu)建信息系統(tǒng)安全環(huán)境平臺

面對日漸嚴峻的信息安全形勢，在加強企業(yè)信息系統(tǒng)基礎(chǔ)安全設(shè)施建設(shè)的同時，要有機結(jié)合員工信息安全意識、技術(shù)能力、企業(yè)運維管理三者，建立一套綜合性強的信息系統(tǒng)安全保障體系，在所有的業(yè)務(wù)系統(tǒng)中貫徹執(zhí)行當前的安全管理思路，通過可量化的技術(shù)手段，達到信息系統(tǒng)安全管理的最終目的。

3.信息系統(tǒng)安全審計

企業(yè)信息系統(tǒng)安全體系的建設(shè)是一個長期的、需要不斷持續(xù)更新、完善的系統(tǒng)工程，通過對信息系統(tǒng)的安全審計，及時發(fā)現(xiàn)和解決企業(yè)信息系統(tǒng)安全體系的漏洞，才能不斷提高企業(yè)安全水平和質(zhì)量。如何建立和執(zhí)行企業(yè)信息系統(tǒng)安全審計，有效加強企業(yè)內(nèi)部的信息系統(tǒng)安全管理和風險控制，滿足相關(guān)政策法規(guī)，成為各行業(yè)面臨的普遍問題[3]。

信息系統(tǒng)安全審計是指一群擁有相關(guān)信息安全專業(yè)技能和商業(yè)知識的審計人員對企業(yè)安全風險以及如何應(yīng)對風險措施進行評估的一個過程。信息系統(tǒng)安全審計人員通過收集、分析、評估信息系統(tǒng)安全信息，掌握其安全狀態(tài)，制定安全策略，將系統(tǒng)調(diào)整到“最安全”和“最小風險”的狀態(tài)，確保信息系統(tǒng)安全體系完整、合理、適用[4]。

由于目前信息系統(tǒng)應(yīng)用已經(jīng)涉及到企業(yè)的各個業(yè)務(wù)和辦公領(lǐng)域，對于信息系統(tǒng)帶來的安全管理已經(jīng)是企業(yè)運營不可切割的一部分。所以，企業(yè)的信息系統(tǒng)安全審計應(yīng)該是一個從業(yè)務(wù)部門到技術(shù)部門都必須參與控制的過程。

從信息系統(tǒng)本身來說，安全審計的要點主要是以下兩個方面：

3.1數(shù)據(jù)及數(shù)據(jù)傳輸審計

數(shù)據(jù)是信息系統(tǒng)的重要資產(chǎn)，保護數(shù)據(jù)的安全、完整，避免其被惡意破壞、盜竊。對用戶身份進行控制，避免非授權(quán)訪問數(shù)據(jù)，是數(shù)據(jù)訪問環(huán)節(jié)的安全控制措施。除此之外，對數(shù)據(jù)的操作和保存也是數(shù)據(jù)安全控制的重要環(huán)節(jié)。首先，應(yīng)雇傭具備任職資格或經(jīng)過適當培訓的人員，避免誤操作；其次，所有操作都應(yīng)該經(jīng)過授權(quán)且有記錄，數(shù)據(jù)文件被正確保存且經(jīng)過充分備份，以備正確的恢復(fù)。

在信息系統(tǒng)中，有些數(shù)據(jù)需要在兩個子系統(tǒng)或多個子系統(tǒng)中相互傳輸，在這個過程中很可能會出現(xiàn)問題，尤其是在需要手工錄入或同步傳輸?shù)那闆r，因此在進行信息系統(tǒng)安全審計的過程中要重點關(guān)注以下方面：數(shù)據(jù)在傳輸?shù)倪^程中可能會發(fā)生變化，如何進行校驗；核心數(shù)據(jù)庫可能會被物理分散的服務(wù)器取代；當一個信息系統(tǒng)取代原有的信息系統(tǒng)時，會進行數(shù)據(jù)的傳輸。要保證傳輸?shù)臄?shù)據(jù)是完整、可靠并且經(jīng)過批準的，數(shù)據(jù)的全部傳輸過程要準確，并且在約定時間內(nèi)完成。

3.2內(nèi)部控制審計

內(nèi)部控制審計是企業(yè)為實現(xiàn)管理目標而形成的自律系統(tǒng)。在審計過程中要對審計對象的系統(tǒng)環(huán)境是否符合要求、規(guī)程制度是否完善、執(zhí)行情況是否到位進行審查。在信息系統(tǒng)中，可以通過檢查以下幾個方面來驗證企業(yè)內(nèi)控制度和執(zhí)行的效果：（1）控制信息系統(tǒng)的資源存儲，包括物理存儲資源存儲（終端、連接盒、服務(wù)器、相關(guān)文檔等）和邏輯資源存儲（軟件、系統(tǒng)文件、表和數(shù)據(jù)等）。（2）把控信息系統(tǒng)資源的使用。用戶的新增、變化、刪除必須經(jīng)過授權(quán)，用戶只能對其授權(quán)范圍內(nèi)的資源進行操作。（3）按一定標準劃分信息系統(tǒng)資源。可以系統(tǒng)資源的濫用、數(shù)據(jù)的非法修改以及減少人為誤操作。（4）身份和訪問控制審計。按照時間順序建立一個檔案簿，包含信息的創(chuàng)建、修改和刪除的詳細過程及其操作人員。它采用的是授權(quán)證明，控制什么人什么時候訪問了什么數(shù)據(jù)。（5）確認處理過程的準確性。（6）管理人員對信息系統(tǒng)的所有修改都應(yīng)該保證是經(jīng)過授權(quán)、評估和審核，并且有記錄文檔，保證風險最低且有效控制。（7）入侵防御審計。入侵防御涵蓋的范圍遠廣于傳統(tǒng)的入侵檢測。入侵防御策略的合理設(shè)置會把風險縮小到最小范圍。（8）漏洞和病毒管理審計。定期檢查系統(tǒng)漏洞和防病毒措施，根據(jù)具體問題原因進行分析處置，及時采取相關(guān)措施。

篇2

關(guān)鍵詞：衛(wèi)生系統(tǒng)門戶網(wǎng)站；網(wǎng)站群運維監(jiān)測平臺；信息安全等級保護；網(wǎng)站運營；門戶網(wǎng)站健康性

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）16-0122-02

浙江省衛(wèi)生廳、浙江省公安廳聯(lián)合下發(fā)文件《關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知》對全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)提出高度重視信息安全等級保護工作、明確工作職責，建立工作機制等重要要求。同時為加強浙江省醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站的運維和管理，提高醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站運行質(zhì)量，經(jīng)研究決定開展浙江省醫(yī)療衛(wèi)生系統(tǒng)網(wǎng)站群運維監(jiān)測平臺（以下簡稱運維監(jiān)測平臺）的建設(shè)工作。基于互聯(lián)網(wǎng)搭建，集“訪問分析、健康診斷、實時監(jiān)控、績效考核”四大功能于一體，實現(xiàn)對醫(yī)療衛(wèi)生系統(tǒng)門戶網(wǎng)站的網(wǎng)頁差錯、信息更新量、訪問流量和可用性進行統(tǒng)一診斷、檢測和分析。截止四月底，浙江省衛(wèi)生系統(tǒng)網(wǎng)站評測針對全省276個預(yù)參評網(wǎng)站實現(xiàn)過半數(shù)的檢測，其中包括行政類（103個，含新增2個），委直屬單位（11個，含新增3個），監(jiān)督所（12個），疾控中心（12個），醫(yī)院（138個，含新增12個）

衛(wèi)生系統(tǒng)門戶網(wǎng)站建設(shè)及運維需在實現(xiàn)日常網(wǎng)站內(nèi)容分享及告知功能外，更合理的設(shè)計信息安全、健康等方面的環(huán)節(jié)，以確保門戶正常合理運營。針對實際需求，醫(yī)院類門戶網(wǎng)站關(guān)注重點主要包含：健康情況、院務(wù)公開、醫(yī)療服務(wù)、互動交流、訪問量、網(wǎng)站設(shè)計與用戶體驗、安全管理。

1 健康情況

針對“站點可用性”、“首頁更新”、“鏈接可用性”、“欄目維護情況”4個指標中的每個網(wǎng)站各按標準分100分采樣后加權(quán)折算，得出健康情況總和得分，以評定出站點可用性及用戶操作通暢性體驗描述。

2 院務(wù)公開

針對“概況信息”，“ 院務(wù)信息”，“ 行風廉政建設(shè)”，“ 院務(wù)動態(tài)”，“ 信息保障”4個指標欄目完整性 加以評測。詳細欄目見附圖1

3 醫(yī)療服務(wù)

針對“健康服務(wù)”，“ 科室服務(wù)”，“ 專家服務(wù)”，“ 就醫(yī)指南”，“ 查詢服務(wù)” 5個指標欄目完整性加以評測。詳細欄目見表1。

4 互動交流

針對“醫(yī)院信箱”，“ 信件反饋”，“ 在線調(diào)查”等功能完整性、可操作性、功能介紹完整性加以評定，并承諾時限超過10個工作日或未提供承諾時限的要求在10個工作日內(nèi)給予反饋。

5 訪問量

同一時間段內(nèi)網(wǎng)站的訪問量。

6 網(wǎng)站設(shè)計與用戶體驗

針對“頁面布局”，“ 欄目設(shè)置”，“ 檢索功能”，“ 網(wǎng)站導(dǎo)航”，“ 輔助信息”，“ 網(wǎng)站使用幫助”，“ 頁面相關(guān)度”，“ 網(wǎng)站群標識”等方面對用戶實用性加以評定。

7 安全管理

1）組織機構(gòu)、組織領(lǐng)導(dǎo)、制度保障設(shè)置完整

2）等級保護，公安廳（局）進行備案，有備案證書

3）安全檢測，檢查網(wǎng)站是否被掛馬、SQL 注入、XPath注入攻擊、源碼泄露、web漏洞等到安全隱患。

7.1 主機安全

7.1.1 操作系統(tǒng)

1）門戶網(wǎng)站服務(wù)器都未對登錄口令進行復(fù)雜度限制且無登錄失敗處理功能，容易產(chǎn)生較弱的登錄口令，非授權(quán)人員可通過無限制的嘗試暴力破解，會導(dǎo)致系統(tǒng)被非授權(quán)訪問；

2）門戶網(wǎng)站服務(wù)器未對默認賬戶administrator進行修改，非授權(quán)人員可跳過猜測用戶名的步驟直接嘗試暴力破解密碼，加大了登錄口令被破解的可能性，使系統(tǒng)被非授權(quán)訪問；

3）門戶網(wǎng)站服務(wù)器的日志審計范圍未包括部分重要安全相關(guān)事件，審計內(nèi)容不完善，不利于管理員對重要歷史事件進行追溯；

4）門戶網(wǎng)站服務(wù)器日志空間過小，可能導(dǎo)致重要的日志信息被未預(yù)期的刪除或覆蓋等，降低了審計記錄的可信度，也不利于事故時對重要歷史事件進行追溯處理；

5）門戶網(wǎng)站服務(wù)器未對操作系統(tǒng)補丁進行及時的更新，可能導(dǎo)致產(chǎn)生較多的系統(tǒng)漏洞，增加了操作系統(tǒng)被入侵的風險；

6）門戶網(wǎng)站服務(wù)器未對遠程登錄地址進行限制，可能導(dǎo)致非授權(quán)人員通過遠程連接登錄系統(tǒng)，使系統(tǒng)被非授權(quán)訪問；

7.1.2 數(shù)據(jù)庫

1）數(shù)據(jù)庫未對登錄口令進行復(fù)雜度限制容易產(chǎn)生較弱的登錄口令，非授權(quán)人員可能暴力破解，會導(dǎo)致數(shù)據(jù)庫被非授權(quán)訪問；

2）數(shù)據(jù)庫未設(shè)置超時鎖定功能，可能導(dǎo)致數(shù)據(jù)庫被非授權(quán)訪問；

3）數(shù)據(jù)庫未限制單個用戶對數(shù)據(jù)庫資源的最大或最小使用限度，可能因某些用戶占用數(shù)據(jù)庫過多的資源，導(dǎo)致其他用戶的重要服務(wù)得不到及時響應(yīng)和處理。

7.2 數(shù)據(jù)及備份恢復(fù)

7.3 管理安全

在CGI中限制用戶提交數(shù)據(jù)的長度。對用戶輸入的數(shù)據(jù)進行合法性檢查，只允許合法字符通過檢測。對于非字符串類型的，強制檢查類型；字符串類型的，過濾單引號。WEB程序調(diào)動低權(quán)限的sql用戶連接，勿用類似于dbo高權(quán)限的sql 賬號。細化Sql用戶權(quán)限，限定用戶僅對自身數(shù)據(jù)庫的訪問控制權(quán)限。使用Web應(yīng)用防火墻來加固整個網(wǎng)站系統(tǒng)。

參考文獻：

[1] 浙江省醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作實施方案[Z].

[2] 浙江省衛(wèi)生行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見[Z].

[3] 關(guān)于做好全省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知[Z].

[4] 浙江省政府網(wǎng)站日常運維監(jiān)測實施辦法（浙政辦發(fā)〔2012〕50號）[Z].

[5] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局， 中國國家標準化管理委員會. GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求[S]. GB/T 22239-2008， 北京： 中國標準出版社.

[6] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局. GB/T 25058-2010信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南[S]. 北京： 中國標準出版社.

篇3

鐵路投產(chǎn)運行的信息系統(tǒng)很多，有的系統(tǒng)按照等級保護要求確定了安全等級并建立了安全系統(tǒng)；有的系統(tǒng)在設(shè)計中考慮了安全等級，但在建設(shè)過程中并未按設(shè)計要求實施安全方案；還有的系統(tǒng)沒有考慮安全措施。針對鐵路信息系統(tǒng)投產(chǎn)運行后的實際情況，鐵路總公司有必要組織內(nèi)外部測評隊伍，根據(jù)國家和總公司對信息安全的建設(shè)要求，對信息系統(tǒng)開展技術(shù)和管理兩方面的現(xiàn)狀評估，檢查信息系統(tǒng)在物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理上與相應(yīng)安全等級標準的差距，進行差距分析，提出建設(shè)整改意見。

2安全等級測評

在信息系統(tǒng)等級保護安全建設(shè)完成和投產(chǎn)之前，首先組織內(nèi)部測評隊伍對安全建設(shè)情況進行效果測評，發(fā)現(xiàn)不符合性提出整改建議。內(nèi)部測評結(jié)束及整改驗收后，再聘請有第三方測評資質(zhì)的測評機構(gòu)進行等級測評，驗證與國家及行業(yè)等級保護標準的符合性。通過總公司內(nèi)部和專業(yè)測評機構(gòu)的兩級測評，可有效地推進國家及行業(yè)信息安全標準在全路的落實完善。按照GB/T22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級保護基本要求》中的等級測評要求，信息系統(tǒng)在運行過程中，等級保護測評工作要定期開展，其中三級系統(tǒng)每年要測評一次，四級系統(tǒng)每半年要測評一次。根據(jù)該要求，結(jié)合每年鐵路安全大檢查工作的需要，制定每年的安全大檢查計劃，組織內(nèi)外部專業(yè)測評隊伍，對三級及以上的信息系統(tǒng)開展安全等級測評工作。

3安全建設(shè)整改

3.1機房物理環(huán)境整改

按照《鐵路行業(yè)信息機房設(shè)計及建設(shè)規(guī)范》、《鐵路行業(yè)信息機房管理規(guī)范》的要求，完善機房環(huán)境、設(shè)備管理、電源管理、安全管理和資料管理，并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應(yīng)、機房電源及環(huán)境監(jiān)控等方面對機房環(huán)境進行改造。

3.2安全域劃分

按照《鐵路行業(yè)信息系統(tǒng)安全體系總體設(shè)計方案》，根據(jù)信息系統(tǒng)的安全等級，采用交換機劃分VLAN、設(shè)置訪問控制策略、部署防火墻等技術(shù)措施對信息系統(tǒng)進行安全域劃分。

3.3邊界網(wǎng)絡(luò)防護

明確總公司信息網(wǎng)絡(luò)、業(yè)務(wù)專網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)邊界，對網(wǎng)絡(luò)邊界部署內(nèi)、外部網(wǎng)絡(luò)訪問控制策略、入侵檢測等多項防護措施，并加強網(wǎng)絡(luò)邊界的監(jiān)測。

3.4主機安全加固

遵照《鐵路行業(yè)信息系統(tǒng)安全加固實施指南》，通過配置安全策略、安裝安全補丁、修補系統(tǒng)漏洞、強化身份鑒別等方法對各類主機設(shè)備的操作系統(tǒng)、數(shù)據(jù)庫、中間件等及時進行策略配置和加固。

3.5應(yīng)用及數(shù)據(jù)安全防護

依照國家和行業(yè)標準，從用戶身份認證、訪問控制、數(shù)據(jù)加密、容錯能力、日志審計等方面進行應(yīng)用系統(tǒng)安全改造和建設(shè)。在數(shù)據(jù)安全防護方面，采用有效的數(shù)據(jù)備份策略對重要數(shù)據(jù)進行定期和增量備份，采用安全移動存儲介質(zhì)進行必要的數(shù)據(jù)交換。

3.6強化信息安全隊伍建設(shè)

從安全管理、運行、監(jiān)督、技術(shù)支持等方面加強行業(yè)內(nèi)信息安全隊伍建設(shè)，確保安全責任落實。做好總公司、鐵路局兩級和一線服務(wù)、二線運維、三線技術(shù)支持安全運維服務(wù)隊伍，負責各系統(tǒng)日常安全運行維護工作。

3.7完善信息安全管理工作

為切實做好信息安全管理工作，總公司需要結(jié)合信息安全管理體系建設(shè)項目，以等級保護為抓手，將等級保護與信息安全日常管理緊密結(jié)合，將信息安全管理全面納入鐵路運輸安全生產(chǎn)管理體系，按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則，逐級落實信息安全責任，建立與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督機制、應(yīng)急機制、故障通報與處理機制、事件責任追究機制和風險管理機制。總公司在加強信息系統(tǒng)建設(shè)管理方面，需制定一系列的規(guī)章制度，包括《鐵路行業(yè)信息系統(tǒng)上下線管理規(guī)范》和《鐵路行業(yè)計算機應(yīng)用軟件通用安全要求》等，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容。

4安全措施落實

4.1建立鐵路信息系統(tǒng)安全技術(shù)體系

研究建立“一個中心（安全管理中心），三重防護（計算環(huán)境、區(qū)域邊界、信息網(wǎng)絡(luò)）”的鐵路信息系統(tǒng)安全縱深防護和主動防御的技術(shù)體系，按總公司、鐵路局、站段三級管理模式和信息系統(tǒng)運輸生產(chǎn)專網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)三網(wǎng)的特點，實現(xiàn)運輸組織及客貨營銷類信息系統(tǒng)“分級分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證”的安全策略，經(jīng)營管理類信息系統(tǒng)“三級獨立成域、主動防御、內(nèi)外兼防”的安全策略。

4.2建設(shè)鐵路信息安全綜合管理平臺

鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺，功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內(nèi)容，并支持公安部等級保護管理工作。平臺主要提供以下3類功能：

（1）以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線，實現(xiàn)等級保護工作任務(wù)的下發(fā)、執(zhí)行、進度監(jiān)控和督辦；

（2）風險管理、應(yīng)急管理、安全檢查和事故通報等專項管理功能；

（3）日常辦公的綜合管理、培訓教育、標準管理等。

4.3建設(shè)鐵路信息安全一體化運行監(jiān)控平臺

鐵路信息安全一體化運行監(jiān)控平臺是集綜合網(wǎng)管、應(yīng)用防護、IT運維、機房監(jiān)控為一體的信息系統(tǒng)安全運行監(jiān)控管理平臺，實現(xiàn)網(wǎng)絡(luò)監(jiān)控、主機監(jiān)控、機房監(jiān)控、邊界防御、桌面終端安全的全方位監(jiān)控功能。

4.4開展國產(chǎn)化和自主可控技術(shù)研究

在信息安全越來越重視國產(chǎn)化的大技術(shù)背景下，開展鐵路行業(yè)的信息安全國產(chǎn)化和自主可控技術(shù)的研究尤為重要。在國產(chǎn)化方面，緊緊圍繞鐵路網(wǎng)絡(luò)安全自主可控戰(zhàn)略目標，根據(jù)國產(chǎn)產(chǎn)品成熟情況，結(jié)合鐵路業(yè)務(wù)發(fā)展、業(yè)務(wù)需求，按照“統(tǒng)籌規(guī)劃、分步實施，應(yīng)用牽引、平臺重構(gòu)，項目推動、政策保障”的工作思路，采取“直接采用、對等替換、平臺替換”技術(shù)策略，進行信息系統(tǒng)國產(chǎn)化改造和構(gòu)建鐵路信息安全等級保護技術(shù)體系的積極探索。在自主可控方面，通過統(tǒng)一標準、自主研發(fā)、自主實施、產(chǎn)權(quán)管理、風險評估、安全測評、安全管控、安全巡檢等手段實現(xiàn)信息系統(tǒng)全生命周期各階段的安全可控。

4.5開展基于云計算的安全技術(shù)探索

云計算已成為信息技術(shù)的重要發(fā)展方向，建立鐵路云應(yīng)用平臺將對鐵路信息化應(yīng)用技術(shù)產(chǎn)生深遠影響。云計算環(huán)境下的信息安全問題是信息安全技術(shù)領(lǐng)域面臨的一個新課題，在開展鐵路云應(yīng)用平臺研究的同時，同步開展云安全應(yīng)用技術(shù)的研究和探索，使基于云計算的鐵路應(yīng)用平臺在設(shè)計、建設(shè)、投產(chǎn)3個環(huán)節(jié)將信息安全同步納入。

4.6建立鐵路信息安全評測體系與技術(shù)督查體系

采用安全檢查、風險評估、內(nèi)外評測、安全運維等管理和技術(shù)手段，建立有效的安全測評與技術(shù)督查體系。通過在重要時間節(jié)點（如春運、暑運等）開展安全檢查和自查工作，使路局、站段管理人員保持安全意識；按照等級保護標準要求定期開展風險評估、等級評測等工作，確保等級保護安全手段能貫穿重要信息系統(tǒng)的始終；通過完善鐵路兩級三線安全運維服務(wù)體系，建立總公司、鐵路局兩級信息安全技術(shù)督查工作機制，將信息安全技術(shù)和管理有機結(jié)合起來，實現(xiàn)安全管理、運維、督辦相輔相成、相互監(jiān)督的局面。

4.7等級保護示范工程仿真實驗環(huán)境及試點工程建設(shè)

篇4

 

1 綜合治理信息安全的戰(zhàn)略背景

 

IT管理技術(shù)發(fā)展歷程，從被動管理轉(zhuǎn)向主動管理，從服務(wù)導(dǎo)向轉(zhuǎn)向業(yè)務(wù)價值。在科學的IT管理方法論方面形成了一系列標準：諸如ITIL/ITSM以流程為中心的IT管理行業(yè)標準;ISO20000ITIL 的國際標準; COBIT面向IT審計的IT管理標準;COSO企業(yè)內(nèi)部控制框架，面向內(nèi)部控制;ISO17799：信息安全管理國際標準。當前有很多非常好的綜合性標準與規(guī)范可以參考，其中非常有名的就是ISO/IEC27000系列標準。ISO/IEC 27001通過PDCA過程，指導(dǎo)企業(yè)如何建立可持續(xù)改進的體系。

 

目前企業(yè)IT運維管理現(xiàn)狀。需求變化：IT本身快速變更;管理目標多角度變換并存。資源不足：IT 復(fù)雜性成長快于人員成長;IT 人員持續(xù)流動。業(yè)務(wù)影響：難以判斷事件對業(yè)務(wù)的影響和處理事件的優(yōu)先級。信息孤島：IT 資源多樣性的，不能進行事件的關(guān)聯(lián)分析，缺少統(tǒng)一的健康視圖。IT網(wǎng)絡(luò)與信息系統(tǒng)運維存在監(jiān)測盲點，缺少主動預(yù)警和事件分析機制。

 

如何把此項復(fù)雜的工程進行細化與落地，建立信息安全保障框架?在企業(yè)有限的IT資源(包括人員、系統(tǒng)等)等的前提下，IT運營面臨嚴峻的挑戰(zhàn)，企業(yè)多半缺乏信息系統(tǒng)應(yīng)用開發(fā)能力，在很大程度上依賴于產(chǎn)品開發(fā)商的支持，為此，要想實現(xiàn)從混亂到清晰、從被動到主動、從應(yīng)付到實現(xiàn)價值取向的服務(wù)思想，自主加外包的混合運維方式無疑是一種好的服務(wù)方式。

 

2 建立和實施信息安全保障體系思路和方法

 

針對IT管理問題和價值取向的服務(wù)方式，借鑒PDCA工作循環(huán)原理和標準化體系建設(shè)方法，從建立安全目標和組織體系、制度體系和技術(shù)體系等三個主要層面構(gòu)建實施信息安全保障體系，以規(guī)范引導(dǎo)人、以標準流程引導(dǎo)人，以業(yè)績激勵人，從而促被動變主動，堅持持續(xù)改善，促進工作效率，促進安全保障。

 

2.1 建立和推行目標管理

 

體系建設(shè)應(yīng)以目標管理為先導(dǎo)、循序漸進，按頂層布局、中層發(fā)力、底層推動內(nèi)容設(shè)計與構(gòu)建，為此，借鑒當前IT運維管理目標演進方式，確立各階段建設(shè)目標。

 

基礎(chǔ)架構(gòu)建設(shè)階段(SMB)，手工維護階段。主要實現(xiàn)IT基礎(chǔ)架構(gòu)建設(shè)。

 

網(wǎng)絡(luò)和系統(tǒng)監(jiān)控(NSM)階段，重視自動化監(jiān)控階段。主要實現(xiàn)IT設(shè)備維護和管理。

 

IT服務(wù)管理(ITSM)階段，重視流程管理階段。主要實現(xiàn)IT服務(wù)流程管理。

 

業(yè)務(wù)服務(wù)管理(BSM)階段，重視用戶服務(wù)質(zhì)量與滿意度。主要實現(xiàn)IT與業(yè)務(wù)融合管理。

 

從IT投入和業(yè)務(wù)價值來看，前三個階段是間接業(yè)務(wù)價值，第四階段才是直接業(yè)務(wù)價值。

 

根據(jù)ITIL這個IT服務(wù)管理的方法論，先是搭建一個框架，借用工具的配合促進落地。如圖1、IT運維管理系統(tǒng)參考模型。

 

從安全目標出發(fā)，結(jié)合IT運維管理系統(tǒng)參考模型，每個階段的工作向著實現(xiàn)直接業(yè)務(wù)價值，不斷消除或減輕對性能的約束，促進IT產(chǎn)品或服務(wù)滿足確定的規(guī)范，實現(xiàn)企業(yè)效益最大化。服務(wù)好用屬性通過最終的績效和檢驗結(jié)果監(jiān)視測量價值成分。如圖2。

 

2.2 規(guī)劃融合信息安全保障體系

 

通過從組織體系、制度體系、技術(shù)體系層面建立和實施縱深防御體系，實現(xiàn)穩(wěn)健的信息安全保障狀態(tài)。

 

①組織體系：通過企業(yè)中高層的支持實現(xiàn)業(yè)務(wù)驅(qū)動和共同推動信息安全體系建設(shè)。當然，需要提出的問題，組織有可能要依賴長期可靠的合作伙伴：通過長期可靠的合作關(guān)系，快速引進外部專業(yè)資源和先進技術(shù)，可以幫助企業(yè)推動信息安全建設(shè)工作。為了幫助組織內(nèi)外信息系統(tǒng)人員更好地遵守行業(yè)規(guī)范及法律要求，企業(yè)實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標準，組織應(yīng)做到定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識，通過相關(guān)審核，證明組織具備實施體系的意識和能力。

 

②制度體系：企業(yè)IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維系統(tǒng)建設(shè)的范圍包括機房安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、服務(wù)器安全、業(yè)務(wù)應(yīng)用安全、終端安全等。為此，企業(yè)應(yīng)明確內(nèi)部運維和外部協(xié)同的內(nèi)容及其標準規(guī)范，包括績效標準。建立實施IT網(wǎng)絡(luò)與信息系統(tǒng)安全運維體系標準，首先把高效的信息安全做法固化下來形成規(guī)則制度或標準，成為組織中信息安全行為準則。保證事前預(yù)防、事中監(jiān)控和事后審計等安全措施的得到有效執(zhí)行與落實。

 

③技術(shù)體系：一般來說，網(wǎng)絡(luò)設(shè)備技術(shù)體系可以按照從上到下信息所流經(jīng)的設(shè)備來部署工具。即從數(shù)據(jù)安全、終端安全、應(yīng)用安全、操作系統(tǒng)與數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全、物理安全六個方面來選擇不同的安全工具。按照“適度防御”原則，綜合采用各種安全工具進行組合，形成企業(yè)“適用的”安全技術(shù)防線。適時根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。

 

其中，需要采用1～2種綜合管理的工具來幫助把所有的安全監(jiān)控工具進行統(tǒng)一管控。例如SOC是給企業(yè)日常維護管理者使用，ITRM作為綜合風險呈現(xiàn)，是給企業(yè)風險或安全管理層使用。

 

④體系運行和監(jiān)控：體系的日常運行和監(jiān)控就是從信息的生命周期進行流程控制，即在信息的創(chuàng)建、使用、存儲、傳遞、更改、銷毀等各個階段進行安全控制。之前不能忽視在信息創(chuàng)建開發(fā)安全階段的一個細化控制手段。在運行體系建設(shè)中，往往需要結(jié)合流程分析來關(guān)注信息的生命周期安全。運行過程中還有一個應(yīng)急管理，包括災(zāi)備中心建設(shè)、業(yè)務(wù)連續(xù)性計劃、應(yīng)急響應(yīng)等等都有相應(yīng)的標準與理論支持。特別是BS25999標準的頒布，給如何建立一套完善的應(yīng)急體系提供了參考。

 

3 企業(yè)建立和實施信息安全保障體系實踐

 

面對網(wǎng)絡(luò)系統(tǒng)互連，網(wǎng)絡(luò)技術(shù)與設(shè)備的安全管理規(guī)范的完善這個復(fù)雜而且浩大的工程，井岡山卷煙廠不僅依靠個體分散的技術(shù)措施或者管理防護，而且結(jié)合國家、社會和個人的力量構(gòu)建綜合保障體系。

 

①依據(jù)ISO9000、ISO14000和OHSAS18000標準，國家計算機網(wǎng)絡(luò)和信息安全相關(guān)法律法規(guī)，參考當前科學的IT管理方法論方面形成了一系列標準，結(jié)合YC/T384煙草企業(yè)安全生產(chǎn)標準等，識別這些與信息安全相關(guān)的法律法規(guī)及其它要求，將信息安全保障體系(框架)融合到企業(yè)質(zhì)量、環(huán)境和職業(yè)健康安全(以下簡稱為三標)綜合管理體系。

 

②確定信息安全管理目標并分步實施企業(yè)三年信息化發(fā)展規(guī)劃。自2012年開始，企業(yè)對照YC/T384煙草企業(yè)安全生產(chǎn)標準要求，在梳理和評價2000年以來企業(yè)多個企業(yè)信息化三年實施規(guī)劃實踐環(huán)境以后，制訂了新的三年信息安全管理目標和建設(shè)規(guī)劃，將目標和規(guī)劃分解到各年度實施，并納入到企業(yè)年度三標綜合管理體系建設(shè)目標和管理績效考核。

 

③建立信息安全管理組織和工作標準，同時納入三標綜合管理體系管理考核。從體系結(jié)構(gòu)上促成企業(yè)作業(yè)層、管理層(中間層)和決策層的信息化，實現(xiàn)企業(yè)的物資(服務(wù))流、資金流和信息流的一體化，及時、準確和完整地傳遞企業(yè)的經(jīng)營數(shù)據(jù)，保證企業(yè)的經(jīng)營管理。利用信息化改進管理，形成企業(yè)信息安全文化，促進員工接受、理解和主動配合，不斷提升全員的信息安全意識和技能，從而使信息安全管理真正落到實處。

 

④建立和實施信息安全保障體系文件標準。根據(jù)國家信息安全相關(guān)的法律法規(guī)及其它要求，結(jié)合行業(yè)和企業(yè)的特點和發(fā)展趨勢，規(guī)范管理流程和模式。網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)“立足長遠、分步實施、突出重點”，做到“統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一平臺、統(tǒng)一編碼”，同步實施信息系統(tǒng)等級保護制度，促進企業(yè)與信息系統(tǒng)項目合作單位、地方通訊和公安等部門的社會化合作主要方式。企業(yè)內(nèi)部各項工作實現(xiàn)規(guī)范化、信息化，做到一切工作都按照程序辦，同時，事事處于相互制衡的環(huán)境之下、人人處于監(jiān)督管理之中，從而形成職責明確、運轉(zhuǎn)協(xié)調(diào)、相互制衡的工作機制，為企業(yè)內(nèi)部信息安全監(jiān)管提供強有力的保障。

 

幾年來，企業(yè)堅持企業(yè)信息安全方針目標，以迅速響應(yīng)服務(wù)為宗旨。企業(yè)信息安全保障體系建設(shè)緊緊圍繞建立科學、規(guī)范、和諧、統(tǒng)一、開放的管理體系，全面融入了質(zhì)量、安全和環(huán)境管理體系一體化建設(shè)和實踐，截止到2015年底，企業(yè)共梳理建立或整合并實施安全保障類文件包括企業(yè)管理標準、技術(shù)標準和工作標準共計31個標準文件。通過創(chuàng)新與改善和體系審核、管理評審和提高文件執(zhí)行率及持續(xù)改進方式保持了信息安全保障管理體系的持續(xù)改進和有效運行。

篇5

【關(guān)鍵詞】電力;信息;系統(tǒng)安全;基線;測試;安全;設(shè)備

電力信息系統(tǒng)的安全性，對于整個電力系統(tǒng)的控制、供電等工作有著直接的影響。變電站信息系統(tǒng)的安全，是保障電力企業(yè)正常運行的控制臺。為了提高電力信息系統(tǒng)的穩(wěn)定性、安全性，為了保障供電企業(yè)的供電工作，保證城市居民的生產(chǎn)和生活的正常進行，對電力信息系統(tǒng)的安全基線的分析與測試，十分必要，也是保證電力系統(tǒng)安全性能的重點之一。

一、基于安全基線的電力信息系統(tǒng)安全問題分析

在我國的電力系統(tǒng)中，由于組織機構(gòu)龐大，網(wǎng)絡(luò)復(fù)雜，電力信息系統(tǒng)環(huán)境在運行的過程中，其異構(gòu)子系統(tǒng)也十分的繁雜。整體的電力信息系統(tǒng)在運行的過程中，其子系統(tǒng)，在聯(lián)接時，隨著信息網(wǎng)絡(luò)的不斷飛速發(fā)展，也有部分聯(lián)接采取了無線網(wǎng)絡(luò)，這對傳統(tǒng)的由線路連接的結(jié)構(gòu)，是一次巨大的變革。

無線網(wǎng)絡(luò)的使用，使得整體電力網(wǎng)絡(luò)系統(tǒng)的安全，面臨新的問題與隱患。首先，通過拓撲結(jié)構(gòu)圖如圖一前面部分，我們可以觀察到，整個的電力系統(tǒng)網(wǎng)絡(luò)，在實際的使用上，通過無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)聯(lián)接，把整體網(wǎng)絡(luò)分成了兩部分，這兩種形式的網(wǎng)絡(luò)，把整體電力網(wǎng)絡(luò)中的偏遠地區(qū)如各個區(qū)縣等的變電站及機房等所有設(shè)備連接起來。

整套系統(tǒng)當中的安全問題十分需要耗費大量的精力來管理，并且整套系統(tǒng)在運行過程中，數(shù)據(jù)的存儲、訪問，以及工作的運行等的處理，在網(wǎng)絡(luò)上都比較分散，致使網(wǎng)絡(luò)信息數(shù)據(jù)極易遭到破壞或信息外流，導(dǎo)致對網(wǎng)絡(luò)的管理比較分散與棘手。無線網(wǎng)絡(luò)的使用，更是給數(shù)據(jù)的安全性能帶來十分嚴重的隱患，一些不法分子或者是一些心懷不軌的網(wǎng)絡(luò)黑客等，可以通過多種方式對網(wǎng)絡(luò)信息進行偷窺或者是監(jiān)聽，嚴重的還會導(dǎo)致網(wǎng)絡(luò)被訪問以及數(shù)據(jù)的流失，網(wǎng)絡(luò)的安全受到了嚴重的威脅。由此可知整個電力網(wǎng)絡(luò)系統(tǒng)，在使用的過程中必須要嚴格保證數(shù)據(jù)的安全性，加強保密性，并對訪問進行嚴格的控制，對于網(wǎng)絡(luò)的攻擊以及信息的破壞制定應(yīng)急措施，具備防御能力，提高網(wǎng)絡(luò)安全性。

其次，由于整體上的電力網(wǎng)絡(luò)系統(tǒng)，其建設(shè)周期的不同，及信息發(fā)展的速度的更新，使整個的網(wǎng)絡(luò)服務(wù)器，在工作中會出現(xiàn)多種版本，同時在網(wǎng)絡(luò)內(nèi)部，硬件設(shè)施尤其是服務(wù)器的版本也不盡相同。這使得整個系統(tǒng)無法達到理想的安全模式，同時也為網(wǎng)絡(luò)安全保障增添了困難。同時，在整個的電力系統(tǒng)網(wǎng)絡(luò)控制上，各地區(qū)地變電所以及機房的工作人員，由于其具備不同的權(quán)限，使整個網(wǎng)絡(luò)系統(tǒng)的安全性能也不同，針對這種情況應(yīng)當從不同的風險控制授權(quán)來協(xié)調(diào)。

安全基線，指的是電力信息系統(tǒng)的設(shè)備功能、以及系統(tǒng)設(shè)備配置方面的基本安全要求。這是電力信息系統(tǒng)在安全上的最低保障和最基本的安全要求。

由于上述原因，提出了關(guān)于電力信息系統(tǒng)安全基線的安全框架，以此來保證系統(tǒng)以及電力系統(tǒng)網(wǎng)絡(luò)設(shè)備安全性達到相應(yīng)的要求，最大限度的減少或者是杜絕安全隱患。

二、電力信息系統(tǒng)安全基線測試方法探析

為了減少電力信息系統(tǒng)的安全隱患，提出了安全基線定義，在針對電力網(wǎng)絡(luò)系統(tǒng)的安全問題上，建立了有關(guān)安全基線的系統(tǒng)安全框架，例如圖一所示。

為了保證電力信息系統(tǒng)以及設(shè)備的安全，能夠達到最基本的安全要求，我們通過安全基線的框架，來了解安全基線測試方法。安全基線的安全框架，從總體上能夠分成兩個部分。一部分是有關(guān)電力信息系統(tǒng)網(wǎng)絡(luò)設(shè)備方面的，信息系統(tǒng)網(wǎng)絡(luò)設(shè)備的安全基數(shù)的最小標準，即是從技術(shù)上實現(xiàn)整個信息系統(tǒng)的安全。另一部分是上線安全管理基線，即系統(tǒng)在上線以后的日常運維，有關(guān)管理人員的責任分工、電力信息的備份管理等方面，出現(xiàn)故障或不安全問題的應(yīng)急措施以及安全管理的標準。

圖1 安全基線的系統(tǒng)安全框架圖

這兩部分，在啟動運維之前，都要進行必要的檢測，以及試運營，即所說的通過安全基線的測試，在各項指標達到要求的情況下，在進行電力信息系統(tǒng)的運行。

（一）電力信息系統(tǒng)安全防護體系建立的測試

電力信息系統(tǒng)在建立的過程中，針對信息系統(tǒng)的設(shè)計，以及建設(shè)的實施，首先要對影響系統(tǒng)安全的因素進行必要的分析，對影響安全因素進行全面細致的排查，對風險進行分析與檢測，對信息系統(tǒng)的需求之間進行分析，尤其是安全問題的分析與檢測等。例如，以電力信息系統(tǒng)的登錄口令為例，對口令的輸入次數(shù)應(yīng)當有所限制，即在其他人員對口令的輸入達到限制的次數(shù)時，就應(yīng)當及時制止進行口令的輸以及登錄。這樣可以保證外來人員或者是黑客的攻擊。

（二）電力信息系統(tǒng)安全防護體系物理安全測試

電力信息網(wǎng)絡(luò)安全防護體系的物理安全，指的是安全系數(shù)在硬件環(huán)境上有所提升。以設(shè)備或者是設(shè)備所處的環(huán)境避免發(fā)生故障為首要條件。電力信息網(wǎng)絡(luò)對于環(huán)境要求較高，所以在建設(shè)過程中，要做好信息網(wǎng)絡(luò)的維護工作，也是電力信息系統(tǒng)安全防護體系測試的一個重要環(huán)節(jié)。同時在測試期間，要做好防火、防潮等各項不利于安全的因素。遠離磁場，磁場對測試結(jié)果的干擾十分嚴重，保持適宜的溫度。

在電力信息網(wǎng)絡(luò)安全防護體系建設(shè)與測試中，要使設(shè)備的安全工作更高質(zhì)量的達到基線要求，就要對網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)信息數(shù)據(jù)庫，和信息網(wǎng)絡(luò)中重要的服務(wù)器等設(shè)備，做好權(quán)限的設(shè)置，用來保證網(wǎng)絡(luò)信息系統(tǒng)的安全問題。為了實現(xiàn)信息傳輸?shù)陌踩约靶畔⒌谋Ｃ苄?，在進行網(wǎng)絡(luò)安全的設(shè)置中，還要避免發(fā)生信息外泄事件，同時也要避免被截獲的可能，還要考慮到輻射方式的信息泄露和信息的丟失。

（三）系統(tǒng)安全

電力信息系統(tǒng)的安全系數(shù)，是操作系統(tǒng)的安全機制的一種，為了保證電力系統(tǒng)信息網(wǎng)絡(luò)的正常運行，可以對計算機的操作系統(tǒng)進行控制，并對具有安全隱患的程序進行查毒，或者是關(guān)掉服務(wù)器，這種方式對于信息系統(tǒng)產(chǎn)生威脅的因素都有較好的抑制作用。對用戶使用權(quán)限的審核與查驗，做好授僅工作并嚴格管理，在終端服務(wù)器或者是終端運行的站點，安裝終端桌面管理系統(tǒng)，及時進行漏洞的修補工作。這樣對于系統(tǒng)的安全性的提高效果較好。

電力信息系統(tǒng)在運行的過程中出現(xiàn)一些不安全因素，也有一部分原因是由于計算機系統(tǒng)感染病毒所致，安裝必要的查殺毒軟件，是提高安全性能的必要手段。同時在查殺毒的過程中，還要對整個的信息網(wǎng)絡(luò)進行集中管理，并進行優(yōu)化配置，及時進行修補。避免整個網(wǎng)絡(luò)由于病毒的侵害而導(dǎo)致的全網(wǎng)癱瘓狀態(tài)。為了保證電力信息網(wǎng)絡(luò)的穩(wěn)定運行，在安全基線方法測試過程中，還可以采取雙電源供電的方式，以防后患。

三、結(jié)束語

電力信息系統(tǒng)的安全基線，是電力信息系統(tǒng)運行中的一項最低安全保障條件，通過對安全基線的測試，是制定安全基線的一項重要評定標準，這對于電力信息系統(tǒng)的安全系數(shù)意義重大。在電力信息系統(tǒng)中，由于安全基線的標準不同，也會對安全隱患有重大的影響，所以對安全基線的測試十分必要，這也是保障電力信息系統(tǒng)以及設(shè)備在最低安全要求下保證系統(tǒng)正常運行的一項重要保障。

參考文獻

篇6

公安部于2009年開始等級保護測評體系的建設(shè)，2010年以來，對國家和地方等級保護協(xié)調(diào)小組推薦的測評機構(gòu)開展能力評估工作，到目前為止，已完成120多家測評機構(gòu)的申請和評估，并頒發(fā)了《信息安全等級保護測評機構(gòu)》推薦證書。120多家機構(gòu)按國家和地方兩級管理，國家級目前有7家，其中有4家主要承擔行業(yè)內(nèi)的測評工作，分別是電力、金融、教育和廣電。

2電力行業(yè)等級保護測評機構(gòu)的借鑒作用

國家信息安全等級保護工作協(xié)調(diào)小組鼓勵具有信息系統(tǒng)特色的行業(yè)申請等級保護測評機構(gòu)，旨在對具有行業(yè)特色、安全建設(shè)情況又不便向外界透露的信息系統(tǒng)開展本行業(yè)的等級測評工作。在電力、金融、教育和廣電4大行業(yè)中，電力行業(yè)信息安全等級保護測評中心是最早獲批國家級測評機構(gòu)的單位，其成功經(jīng)驗對其它行業(yè)開展信息安全測評工作具有重要的借鑒作用。電力行業(yè)等級保護測評中心設(shè)有3個測評實驗室，分別掛靠在國網(wǎng)電力科學研究院、中國電力科學研究院、華電卓識測評中心。3個實驗室均為獨立法人單位，獨立承接測評業(yè)務(wù)，測評業(yè)務(wù)指導(dǎo)統(tǒng)一歸口電力行業(yè)信息安全等級保護測評中心。各測評單位的主要職能有：技術(shù)研究、安全測評、風險評估、業(yè)務(wù)咨詢服務(wù)、行業(yè)相關(guān)標準及規(guī)范編制等，對電力行業(yè)信息安全等級保護工作的開展起到引領(lǐng)和推動作用。電力行業(yè)信息系統(tǒng)數(shù)量多，工業(yè)控制類信息系統(tǒng)占多數(shù)，其中三級系統(tǒng)有1700多個，四級系統(tǒng)有40～50個，按照公安部的要求，測評中心對本行業(yè)的三級、四級系統(tǒng)定期開展等級保護測評工作。

3建立鐵路行業(yè)等級保護測評機構(gòu)的必要性

鐵路行業(yè)的業(yè)務(wù)與電力行業(yè)十分相似，都屬于國家的重要基礎(chǔ)設(shè)施。電力行業(yè)的信息系統(tǒng)主要是電網(wǎng)控制類系統(tǒng)，屬工業(yè)控制專業(yè)，信息安全要求高；鐵路行業(yè)信息化工作主要為行車控制、客貨運輸提供重要支撐，信息系統(tǒng)涉及控制和實時交易處理等，具有明顯的行業(yè)特點，專業(yè)性要求高。因此，借鑒電力行業(yè)等級保護測評機構(gòu)在本行業(yè)信息安全工作中起到的作用，有必要在鐵路行業(yè)內(nèi)部建立正規(guī)的信息安全技術(shù)隊伍，對鐵路行業(yè)的網(wǎng)絡(luò)與信息安全工作的開展起支撐作用。

3.1行業(yè)測評機構(gòu)的優(yōu)勢

如上所述，鐵路行業(yè)的信息系統(tǒng)有著行業(yè)運行特點和專業(yè)特殊要求，客、貨運輸交易及管理類系統(tǒng)涉及國計民生，列車運行控制類系統(tǒng)與老百姓的生命安全息息相關(guān)，行業(yè)內(nèi)的測評機構(gòu)依托其自身長期的專業(yè)知識的積累，具有以下幾個方面的優(yōu)勢：（1）行業(yè)測評機構(gòu)容易理解行業(yè)信息系統(tǒng)的業(yè)務(wù)并把控安全風險行業(yè)測評機構(gòu)的從業(yè)人員大多是有著行業(yè)信息系統(tǒng)研發(fā)經(jīng)驗的科研人員，熟悉系統(tǒng)的功能特點和應(yīng)用背景，長期從事行業(yè)信息安全服務(wù)工作，對行業(yè)信息系統(tǒng)的安全風險把握較準確。（2）便于培養(yǎng)行業(yè)內(nèi)的信息安全服務(wù)技術(shù)力量行業(yè)測評機構(gòu)通過長期積累，在技術(shù)裝備上能得到不斷提升，通過構(gòu)建與實際生產(chǎn)系統(tǒng)一致的模擬仿真測試環(huán)境，可以有效跟蹤生產(chǎn)應(yīng)用系統(tǒng)的安全風險；長期從事行業(yè)內(nèi)的信息安全等級保護測評工作也給測評機構(gòu)的檢測人員提供良好的行業(yè)應(yīng)用平臺，積累服務(wù)經(jīng)驗和技術(shù)經(jīng)驗；通過組織培訓班等形式，又可以將測評機構(gòu)積累的豐富經(jīng)驗以技術(shù)研討會的形式在行業(yè)內(nèi)信息安全從業(yè)人員中傳授，有效提高行業(yè)內(nèi)信息安全整體技術(shù)服務(wù)水平。（3）行業(yè)測評機構(gòu)隊伍穩(wěn)定且人員可控性強公安部要求從事信息安全等級保護測評工作的人員要可控，對從事四級系統(tǒng)（重要系統(tǒng)）以上的測評人員進行嚴格管理。行業(yè)測評機構(gòu)一般都是國企，主要從事行業(yè)內(nèi)的信息安全技術(shù)研究、等級保護測評服務(wù)等相關(guān)工作，人員除簽訂勞動服務(wù)合同，與單位定期簽訂保密協(xié)議外，機構(gòu)也會對員工在職業(yè)發(fā)展、工資待遇、培訓教育機會等方面給予慎重安排，使得測評人員保持較高的穩(wěn)定性和可控性。

3.2行業(yè)測評機構(gòu)的作用

（1）行業(yè)信息安全技術(shù)支撐信息安全測評第三方機構(gòu)有著豐富的信息安全專業(yè)知識，熟悉國家、行業(yè)各層級的標準和規(guī)范，通過長期在鐵路行業(yè)內(nèi)開展測評、咨詢等服務(wù)性工作，了解行業(yè)應(yīng)用系統(tǒng)的業(yè)務(wù)特點，掌握行業(yè)信息系統(tǒng)安全的普遍性和特殊性要求，可以為行業(yè)單位提供定制化的信息安全解決方案，對行業(yè)信息安全工作的開展起到積極的技術(shù)支撐作用。（2）行業(yè)標準規(guī)范制定根據(jù)公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）的要求，重點行業(yè)信息系統(tǒng)主管部門可以按照等級保護國家標準，結(jié)合行業(yè)特點，確定行業(yè)信息系統(tǒng)安全等級保護的具體指標。在不低于等級保護國標基本要求的情況下，結(jié)合鐵路行業(yè)信息系統(tǒng)安全保護的特殊需求，在行業(yè)主管部門的指導(dǎo)下制定鐵路行業(yè)的相關(guān)標準、規(guī)范或細則，指導(dǎo)鐵路行業(yè)信息系統(tǒng)安全建設(shè)、整改與測評工作。（3）信息系統(tǒng)全生命周期測評服務(wù)信息系統(tǒng)全生命周期包含5個基本階段：規(guī)劃、設(shè)計、實施、運維和廢棄。行業(yè)測評機構(gòu)可以在信息系統(tǒng)生命周期各階段為用戶提供有針對性的信息安全服務(wù)，使等級保護工作貫穿于信息系統(tǒng)生命周期的各個階段。規(guī)劃階段測評機構(gòu)可以幫助用戶識別危險源和安全風險，確定系統(tǒng)應(yīng)達到的安全目標，提供定級指導(dǎo)；設(shè)計階段協(xié)助提出系統(tǒng)需滿足的安全指標，在關(guān)鍵節(jié)點提供安全測評服務(wù)；實施階段測評機構(gòu)提供漏洞掃描、滲透性測試、源代碼安全檢查等深度安全檢測，并根據(jù)測評結(jié)果提供安全建設(shè)整改建議；運維階段等級保護測評的目的是掌控信息系統(tǒng)運行期間的安全風險，按國家標準要求定期開展等級保護測評，遇網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整、應(yīng)用系統(tǒng)升級改造等重大變更時進行等級保護測評；業(yè)務(wù)廢棄階段行業(yè)測評機構(gòu)可為用戶提供軟、硬件等資產(chǎn)及殘留信息的廢棄處置方案，防止系統(tǒng)廢棄可能引入的新的風險。（4）信息安全咨詢與評估服務(wù)由于測評機構(gòu)熟悉信息安全相關(guān)的標準和規(guī)范，實踐經(jīng)驗豐富，可以根據(jù)用戶的需要開展定制化的咨詢服務(wù)，如等級保護合規(guī)性咨詢與評估服務(wù)，風險管理咨詢服務(wù)，安全體系建設(shè)咨詢與評估服務(wù)，軟件源代碼安全咨詢服務(wù)等。（5）行業(yè)信息安全持續(xù)改進能力培養(yǎng)測評機構(gòu)在實施某一測評任務(wù)時，一般需要在測評前期、中期和后期與用戶進行充分的溝通，通過技術(shù)交流、設(shè)計聯(lián)絡(luò)等方式，提高用戶對等級保護基本概念、安全指標的理解以及測評方法、檢測工具的運用，在完成測評任務(wù)的同時，也幫助用戶提升信息安全自測能力。行業(yè)測評機構(gòu)還可通過技術(shù)講座等形式，對用戶單位信息安全分管領(lǐng)導(dǎo)、系統(tǒng)運維人員和業(yè)務(wù)部門關(guān)鍵崗位人員進行培訓，通過培訓增強用戶信息安全意識和運維人員專業(yè)技術(shù)水平，使用戶具備對信息系統(tǒng)進行安全持續(xù)改進的能力。

3.3行業(yè)信息安全測評工作的需要

鐵路行業(yè)目前已投入使用的信息系統(tǒng)按大系統(tǒng)分有上百個，每個大系統(tǒng)按照應(yīng)用范圍又分為鐵路總公司級系統(tǒng)、鐵路局/地區(qū)中心系統(tǒng)和站段級系統(tǒng)，這些系統(tǒng)一般采取統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、分系統(tǒng)建設(shè)的模式投入使用，各級系統(tǒng)采用不同的等級保護定級，在開展信息系統(tǒng)測評時，一般需要將大系統(tǒng)拆分為不同的子系統(tǒng)分開測評，每年可參與評測的信息系統(tǒng)數(shù)量不低。按1個鐵路總公司、18個鐵路局、上千個車站規(guī)?？紤]，鐵路每年可參評的信息系統(tǒng)數(shù)量大約有上萬個左右。因此，成立鐵路行業(yè)信息安全等級保護專業(yè)測評機構(gòu)不僅是信息系統(tǒng)安全保障的需要，也是建立健全完善的鐵路運輸整體安全體系的需要。

4結(jié)束語

篇7

杭州帕拉迪網(wǎng)絡(luò)科技有限公司（簡稱帕拉迪）從金融行業(yè)的實際信息安全需求出發(fā)，充分吸收近年來信息系統(tǒng)安全保障理論模型和技術(shù)架構(gòu)（如IATF等），全面參考《信息安全等級保護基本要求》、《銀行業(yè)銀行機構(gòu)內(nèi)部審計指引》、《商業(yè)銀行信息科技風險管理指引》等相關(guān)指引及法規(guī)要求，結(jié)合帕拉迪多年的攻擊防護經(jīng)驗，為金融行業(yè)提供IT運維的統(tǒng)一安全管理與綜合審計解決方案。該方案主要解決金融機構(gòu)信息中心運維管理面對系統(tǒng)復(fù)雜性、網(wǎng)絡(luò)安全性、IT內(nèi)控外審等而產(chǎn)生的相關(guān)問題。這一方案實現(xiàn)了按照行業(yè)標準進行金融機構(gòu)的精確管理、實時監(jiān)控和警告、事后追溯審計等，為管理人員的運維和決策提供了有效的技術(shù)手段。

金融IT內(nèi)部的運維風險

1. IT內(nèi)部對服務(wù)器的維護和管理依賴于操作系統(tǒng)的口令認證，口令易被轉(zhuǎn)授、窺探以及遺忘等弱點，以及授權(quán)不方便等問題造成管理困難，成本較高。

2. 第三方廠商技術(shù)支持人員、項目服務(wù)商等在對內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行現(xiàn)場調(diào)試或遠程技術(shù)維護時，無法有效地記錄其操作過程和維護內(nèi)容，核心機密數(shù)據(jù)容易泄露或遭到惡意破壞。

3. 研發(fā)部門在系統(tǒng)上線運行后，經(jīng)常會通過普通的權(quán)限登錄系統(tǒng)分析軟件查看問題，從信息安全角度考慮，這些查詢過程必須留有記錄。

解決方案技術(shù)優(yōu)勢

1. 獨創(chuàng)的數(shù)據(jù)庫運維操作審計平臺，覆蓋主流商業(yè)數(shù)據(jù)庫的企業(yè)應(yīng)用和運維操作。

2. 支持RDP圖形實時文字識別和文字提取功能。

3. 帶來無縫應(yīng)用的用戶體驗，所有應(yīng)用均可本地化展示。

4. 提供文件傳輸內(nèi)容審計記錄。

5. 契合金融行業(yè)安全的三級會同功能（接入會同、密碼會同、命令會同）。

解決方案部署收益

1. 規(guī)范運維管理。建立統(tǒng)一安全管理和綜合審計平臺，統(tǒng)一入口、統(tǒng)一認證、統(tǒng)一授權(quán)、統(tǒng)一審計；用戶可以在平臺上基于權(quán)限進行訪問控制，提高了系統(tǒng)安全性，同時減輕了管理員工作壓力，提高了工作效率，確保管理制度的順利實施。

篇8

一、統(tǒng)籌規(guī)劃，突出重點，全面夯實信息系統(tǒng)安全運行基礎(chǔ)

1、不斷推進關(guān)區(qū)網(wǎng)絡(luò)準入管理工作。網(wǎng)絡(luò)準入是2011年我關(guān)重點科技項目之一，我科對現(xiàn)有的客戶端安全監(jiān)控系統(tǒng)（eCop）進行功能升級，以最小的資金投入和管理成本實現(xiàn)關(guān)區(qū)網(wǎng)絡(luò)準入功能，確保只有經(jīng)過總關(guān)技術(shù)處審批、并且符合各項安全要求的信息化設(shè)備才能正常使用青島海關(guān)網(wǎng)絡(luò)，補全關(guān)區(qū)信息安全管理工作的一塊短板，為我關(guān)網(wǎng)絡(luò)提供強有力的安全保障。目前關(guān)區(qū)業(yè)務(wù)管理網(wǎng)已經(jīng)全部實施了網(wǎng)絡(luò)準入，業(yè)務(wù)運行網(wǎng)正在逐步部署，預(yù)計明年初完成。

2、徹底完成業(yè)務(wù)管理網(wǎng)安全域劃分工作。按照國家關(guān)于等級保護的安全要求和海關(guān)總署的統(tǒng)一部署，在袁進軍副處長的指揮下，我科牽頭網(wǎng)絡(luò)科、系統(tǒng)科、開發(fā)科組建工作組，花大力氣，用半年多時間，將重要應(yīng)用系統(tǒng)的服務(wù)器移入保護區(qū)，只對微機開放HTTP端口，極大降低關(guān)鍵服務(wù)器受病毒影響、越權(quán)訪問、數(shù)據(jù)外泄等方面的風險，徹底完成了管理網(wǎng)安全域的劃分工作。工作組按照總署的統(tǒng)一要求、結(jié)合關(guān)區(qū)網(wǎng)絡(luò)現(xiàn)狀，充分論證、細化實施方案，將整個工作分成4個步驟，一是部署防火墻劃分安全域，二是將服務(wù)器全部移至過渡區(qū)，三是對服務(wù)器訪問策略進行徹底梳理，四是調(diào)整網(wǎng)絡(luò)參數(shù)將服務(wù)器逐臺移入保護區(qū)；制定了周密的應(yīng)急預(yù)案，將大部分網(wǎng)絡(luò)調(diào)整的操作安排在工余時間。同時，將新增的防火墻加入我關(guān)防火墻集中日志系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)日志記錄功能，并同步制定《管理網(wǎng)服務(wù)器保護區(qū)網(wǎng)絡(luò)訪問策略變更工作規(guī)范》、《管理網(wǎng)服務(wù)器安全域劃分后運維管理工作規(guī)范》等日常工作制度。在實施過程中，工作組攻克多個技術(shù)難點：對47臺服務(wù)器逐臺梳理網(wǎng)絡(luò)關(guān)聯(lián)、分析網(wǎng)絡(luò)訪問記錄達百萬條；鉆研虛擬化技術(shù)，解決部分應(yīng)用系統(tǒng)使用高危端口提供服務(wù)的問題；重新規(guī)范技術(shù)人員運維模式和業(yè)務(wù)人員對敏感數(shù)據(jù)庫的訪問方式。管理網(wǎng)安全域的劃分，提高了青島關(guān)區(qū)信息系統(tǒng)的可用性，今后將在關(guān)區(qū)信息系統(tǒng)安全運行工作中發(fā)揮至關(guān)重要的作用。

3、對敏感崗位計算機實施重點保護。為加強敏感崗位計算機在越權(quán)訪問、數(shù)據(jù)泄露、病毒入侵等方面的自我防護能力，我科經(jīng)充分測試評估，啟用瑞星防病毒軟件的個人防火墻功能，提升關(guān)區(qū)業(yè)務(wù)管理網(wǎng)內(nèi)敏感崗位計算機的安全保護級別。目前已對關(guān)領(lǐng)導(dǎo)、辦公室、人事處、財務(wù)處55臺敏感崗位微機實施了保護，受到了預(yù)期的效果。

4、完成防病毒產(chǎn)品的換型和升級工作。在管理網(wǎng)、互聯(lián)網(wǎng)部署了瑞星防病毒軟件，運行網(wǎng)服務(wù)器也完成了KILL軟件升級。升級入侵檢測系統(tǒng)，在運行網(wǎng)及管理網(wǎng)的核心交換機部署了兩臺千兆入侵檢測引擎，用于監(jiān)控關(guān)鍵服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包；調(diào)整我關(guān)入侵檢測系統(tǒng)策略，將管理網(wǎng)和運行網(wǎng)的DNS服務(wù)器納入監(jiān)控范圍；開展專項木馬查殺工作，在2臺服務(wù)器、3臺微機查殺了木馬病毒。加強日常監(jiān)控，提升關(guān)區(qū)網(wǎng)絡(luò)內(nèi)病毒、木馬等惡意軟件的防范能力。

5、充分發(fā)揮在線應(yīng)用監(jiān)控系統(tǒng)的功效，提高安全運行保障能力。不斷利用在線應(yīng)用監(jiān)控系統(tǒng)對新增項目進行運行監(jiān)控，持續(xù)優(yōu)化監(jiān)控參數(shù)。截至目前共對43個在線應(yīng)用項目的614個故障點進行了監(jiān)控，平均每分鐘發(fā)出63.4次監(jiān)控請求，日均報警2.9次。保障第一時間發(fā)現(xiàn)運行異常、準確定位故障點并及時處理。

二、充分發(fā)揮管理職能，保障關(guān)區(qū)信息系統(tǒng)安全運行

1、進行關(guān)區(qū)安全掃描評估工作。我科不斷完善安全掃描評估機制，每半年進行一次安全掃描。微機方面重點包括客戶端安全軟件（eCop）安裝、弱口令、防病毒軟件的安裝、補丁更新、計算機命名規(guī)范等五方面的內(nèi)容，運行網(wǎng)、管理網(wǎng)微機符合安全要求的比例分別為90.8%和85.3%。絕大部分單位評分在90分以上，客戶端微機的安全狀況良好。服務(wù)器方面發(fā)現(xiàn)28臺服務(wù)器共計51個高危漏洞、管理網(wǎng)qdc域共332個用戶存在弱口令。安全掃描通報并組織整改。

2、緊急應(yīng)對conficker病毒。與系統(tǒng)科一起對管理網(wǎng)conficker病毒進行專項查殺，利用ids系統(tǒng)、瑞星軟件定位染毒計算機，使用域策略配合專殺工具定期進行全網(wǎng)殺毒。積極向總署匯報該病毒的處理過程和效果，配合信息中心在全國海關(guān)網(wǎng)絡(luò)中查殺該病毒。在國慶期間，我們針對conficker病毒的傳播途徑進行重點監(jiān)控、保障敏感時期信息系統(tǒng)安全穩(wěn)定運行。

3、不斷加強信息安全宣傳工作。編寫并發(fā)表了“管理網(wǎng)安全域劃分、國慶期間關(guān)區(qū)信息系統(tǒng)安全保障、提升敏感崗位微機的安全保護級別”等三個工作簡報，平時注意工作信息的編寫，不斷提升信息安全工作在關(guān)區(qū)的認知度。

4、配合辦公室完成安全保密相關(guān)工作。協(xié)助省安全廳檢查組對我關(guān)進行網(wǎng)絡(luò)安全保密檢查，經(jīng)各級檢查組多次抽查，我關(guān)、我處均未發(fā)現(xiàn)安全保密違規(guī)事件。配合辦公室完成紅機網(wǎng)分級保護測評工作。參與辦公室關(guān)于“辦公網(wǎng)保密管理規(guī)定”的工作會議，就系統(tǒng)管理、客戶端維護、安全管理、網(wǎng)絡(luò)管理等相關(guān)工作的分工進行充分討論、溝通，最終達成一致意見。

5、繼續(xù)普及并強化關(guān)員信息安全意識。通過對各單位各部門信息安全管理員進行培訓、組織信息安全自查、操作指引、通報安全掃描情況等方式多角度、全方面地普及并強化關(guān)區(qū)用戶的信息安全意識。

三、常抓不懈，不斷排查信息安全隱患

1、外聯(lián)網(wǎng)油氣化系統(tǒng)服務(wù)器對企業(yè)端開放了所有端口，可能導(dǎo)致互聯(lián)網(wǎng)病毒傳入和非法入侵。組織有關(guān)科室確定正常服務(wù)端口，并進行網(wǎng)絡(luò)訪問控制。

2、財務(wù)處互聯(lián)網(wǎng)網(wǎng)上銀行業(yè)務(wù)用微機原本在單獨子網(wǎng)進行訪問控制，大樓裝修后未進行子網(wǎng)劃分。提醒有關(guān)科室及時處理。

3、關(guān)于VPN訪問網(wǎng)上辦公系統(tǒng)身份信息混淆的安全隱患，向政信科反映，建議其立即排除故障。

4、發(fā)現(xiàn)并排除SCA機房光纖接入單點故障。

5、處內(nèi)督察時發(fā)現(xiàn)新疆路網(wǎng)絡(luò)機房溫濕度不符合機房環(huán)境要求，建議網(wǎng)絡(luò)科排除隱患。

6、發(fā)現(xiàn)短信平臺工余時間故障無法及時通知維護人員。與通信科合作，在oam系統(tǒng)中將短信平臺的報警由短信方式改為撥通手機方式，排除該隱患。

四、服務(wù)關(guān)區(qū)各項改革，積極參與重點科技項目開發(fā)

1、組織人事管理信息平臺二期項目開發(fā)工作。

青島海關(guān)人事信息平臺是以總署人事管理信息系統(tǒng)（CCHRS）數(shù)據(jù)庫為基礎(chǔ)，在HB2004系統(tǒng)下授權(quán)運行，以人事信息綜合查詢、人事信息標準化采集、人力資源分析等功能為核心，按照“公開、效能、簡便”的原則，科學整合原有的領(lǐng)導(dǎo)干部網(wǎng)上考核、后備干部管理等系統(tǒng)，新開發(fā)人事信息綜合查詢、人事信息標準化采集、人力資源現(xiàn)狀分析、人力資源量化測算、工資管理、離崗管理、網(wǎng)上投票等系統(tǒng)，搭建的統(tǒng)一的青島海關(guān)人力資源管理信息平臺。該系統(tǒng)是關(guān)區(qū)人事部門組織開展工作、強化管理監(jiān)督的管理操作平臺，是一個關(guān)區(qū)廣大關(guān)員了解關(guān)區(qū)干部人事工作和個人基本信息的信息查詢平臺，同時也是關(guān)區(qū)各級領(lǐng)導(dǎo)班子和領(lǐng)導(dǎo)干部研究部署工作的人事輔助決策平臺。

2、升級公務(wù)員考試錄用面試系統(tǒng)。該系統(tǒng)改變了面試考官、人事處管理人員紙面評分、匯總、統(tǒng)計的工作方式，大大提高了考生招錄的效率和質(zhì)量。

3、抽調(diào)總署進行科技項目設(shè)計、開發(fā)工作。苗偉彬借調(diào)到總署人教司，參與總署人事管理信息系統(tǒng)二期的設(shè)計工作，從需求提出到系統(tǒng)設(shè)計，提出了許多建設(shè)性的意見和建議；并對署管干部年度考核系統(tǒng)進行了安全加固，修復(fù)了SQL注入攻擊、XSS跨站攻擊等多種安全漏洞，提高了系統(tǒng)的安全性。

4、升級網(wǎng)上考核系統(tǒng)。人事處對領(lǐng)導(dǎo)班子和班子成員年度考核辦法進行了大幅度的調(diào)整，政治部辦公室年內(nèi)調(diào)整了基層考核指標和計分方式。為了適應(yīng)新的考核模式，組織人員對網(wǎng)上考核系統(tǒng)進行了全面改造和升級。

5、參與H2010工程安全運行組集中工作。委派王璐參加總署H2010工程安全運行組集中工作，負責編寫《海關(guān)信息系統(tǒng)安全審計系統(tǒng)建設(shè)方案》中主機審計部分。

五、存在的不足

回顧全年工作，感覺在技術(shù)創(chuàng)新、爭取總署項目試點方面尚存在不足，今后需著力加強。

六、明年工作打算

1、在業(yè)務(wù)運行網(wǎng)完成網(wǎng)絡(luò)準入功能的部署。

2、穩(wěn)步推進，實施管理網(wǎng)移動存儲介質(zhì)專網(wǎng)專用。

3、部署防病毒網(wǎng)關(guān)產(chǎn)品，進一步加強關(guān)區(qū)網(wǎng)絡(luò)病毒防范能力。

4、加強關(guān)區(qū)信息安全培訓，不斷提高關(guān)員信息安全意識，提升自身安全技術(shù)水平。

篇9

關(guān)鍵詞：電力信息系統(tǒng) 信息安全防護 安全域 分級分域

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0100-02

電力公司的安全防護體系根據(jù)省、市、縣安全防護不同層面防護要求各有側(cè)重、相互支撐、互為補充。根據(jù)各信息系統(tǒng)重要程度設(shè)計安全防護體系“三橫四縱”的總體架，建立信息安全防護體系。

1 信息安全防護策略設(shè)計目標

信息安全保障體系的建設(shè)緊緊圍繞安全管理、安全技術(shù)和安全運維3個方面，在每個方面都有相應(yīng)的具體目標。達到這個目標就能為綜合服務(wù)平臺構(gòu)建一個多層次、多角度的立體縱深防御體系。

安全管理的建設(shè)目標：

確定安全組織和責任劃分，確定安全策略，確定信息資產(chǎn)分類和分級。

實現(xiàn)安全變更管理、安全補丁管理、安全備份管理、應(yīng)急響應(yīng)計劃、業(yè)務(wù)持續(xù)性計劃、安全核心流程。

安全培訓與教育、安全控制要求：

對信息資產(chǎn)進行風險評估，達到ISO27001管理標準。

安全技術(shù)的建設(shè)目標：

根據(jù)業(yè)務(wù)需求劃分不同的安全域，安全邊界進行防護。

實現(xiàn)安全系統(tǒng)強化功能、建立網(wǎng)絡(luò)和主機入侵檢測機制、實現(xiàn)高危數(shù)據(jù)加密傳輸、關(guān)鍵系統(tǒng)的日志審計、建立病毒防范體系、建立身份認證體系、訪問控制體系、遠程訪問安全機制。

建立數(shù)據(jù)安全存儲體系、時間同步機制、集中安全審計體系、安全事件管理平臺。

安全運維的建設(shè)目標：

建立定期風險評估機制。

定期對日志進行審計、定期進行滲透測試。

完善安全信息上報機制、定期對安全策略和標準進行評估和修訂。

顯示安全的運維外包。

2 電力信息安全建設(shè)體系內(nèi)容

電力信息系統(tǒng)信息安全保障體系采用了“三橫四縱”的總體架構(gòu)，即橫向上分為3個層次，分別為應(yīng)用層、技術(shù)層、管理層；技術(shù)層次中縱向又分為4種主要體系，即以基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護、網(wǎng)絡(luò)接入保護、平臺安全管理為支柱，信息安全基礎(chǔ)設(shè)施為基礎(chǔ)，通過信息安全管理體系為業(yè)務(wù)應(yīng)用提供可靠的安全保障。

一是應(yīng)用層。這是安全保障體系的主要對象。信息化建設(shè)的終極目標是提供給用戶好用、易用、夠用的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)是為了滿足不同用戶的不同業(yè)務(wù)需求，安全保障體系保障的核心就是應(yīng)用系統(tǒng)及其數(shù)據(jù)。

二是技術(shù)層。這是信息安全保障體系的主要體系。目前包括技術(shù)支撐體系、技術(shù)保障體系、網(wǎng)絡(luò)信任體系、安全服務(wù)體系。這4種體系已經(jīng)經(jīng)過多年的探索和建立，應(yīng)該說已經(jīng)覆蓋了技術(shù)上的所有方面。

三是管理層。包括等級保護安全策略、安全管理制度、法律法規(guī)和技術(shù)標準。通常說“三分技術(shù)、七分管理”，再好的技術(shù)也需要完善的管理才能保證技術(shù)發(fā)揮最大的效能。

3 信息安全防護設(shè)計

電力系統(tǒng)是一個由內(nèi)網(wǎng)、外網(wǎng)兩種網(wǎng)絡(luò)域構(gòu)成的龐大信息系統(tǒng)。各個網(wǎng)絡(luò)域執(zhí)行著不同的服務(wù)內(nèi)容：內(nèi)網(wǎng)是一個完整的電力系統(tǒng)辦公自動化環(huán)境，外網(wǎng)擔負著與公眾間信息溝通的責任。

如此復(fù)雜的應(yīng)用環(huán)境給系統(tǒng)帶來了大量潛在的安全隱患：黑客利用外網(wǎng)或?qū)＞W(wǎng)攻擊內(nèi)部網(wǎng)絡(luò)、數(shù)據(jù)在傳輸過程中的泄露、網(wǎng)頁遭篡改、偽造身份進入系統(tǒng)、操作系統(tǒng)漏洞、病毒等。這些安全隱患不可能依靠某種單一的安全技術(shù)就能得到解決，必須在電力信息系統(tǒng)整體安全需求的基礎(chǔ)上構(gòu)筑一個完整的安全服務(wù)體系。

構(gòu)建一個完整的安全防護體系有組織地實現(xiàn)上述安全需求，我們提出的安全保障平臺由基礎(chǔ)安全服務(wù)設(shè)施、數(shù)據(jù)安全保護、網(wǎng)絡(luò)接入保護、平臺安全管理組成。

（1）基礎(chǔ)安全服務(wù)設(shè)施。

基礎(chǔ)安全服務(wù)設(shè)施防護設(shè)計主要包括部署平臺的應(yīng)用系統(tǒng)的身份認證與訪問控制、基礎(chǔ)環(huán)境安全保護（訪問控制、防火墻、入侵檢測、安全審計、VPN）。

（2）數(shù)據(jù)安全保護。

數(shù)據(jù)安全保護方案是為部署在電力信息系統(tǒng)提供數(shù)據(jù)傳輸、數(shù)據(jù)訪問和數(shù)據(jù)存儲備份恢復(fù)的安全保障措施，主要分為4類：應(yīng)用保護、數(shù)據(jù)傳輸交換保護、數(shù)據(jù)備份與恢復(fù)設(shè)計。

（3）網(wǎng)絡(luò)接入保護。

統(tǒng)一管理集中建設(shè)互聯(lián)網(wǎng)接入點，實現(xiàn)電力各部門互聯(lián)網(wǎng)的安全接入和可管可控可剝離；各部門在統(tǒng)一的安全技術(shù)體系下，根據(jù)各自信息下發(fā)指令信息包括針對省級安全等級，建設(shè)、升級、完善安全系統(tǒng)；依托平臺建設(shè)省級安全接入機制，實現(xiàn)與接入統(tǒng)一監(jiān)控、統(tǒng)一管理和統(tǒng)一服務(wù)。

（4）平臺安全管理。

安全管理體系是信息安全保障體系建設(shè)的一個重要環(huán)節(jié)，安全管理體系的建設(shè)內(nèi)容包括：建立完善等級保護安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)運維管理、系統(tǒng)運維管理。

4 結(jié)語

該課題對電力公司信息安全防護策略和防護設(shè)計進行研究，電力信息化安全服務(wù)平臺也基于電力信息系統(tǒng)安全需求設(shè)計安全防護體系，面向系統(tǒng)管理員、安全管理員提供安全保障，為各級信息化安全管理對安全監(jiān)管、信息共享和提供安全保障支撐。

參考文獻

[1] 高鵬，范杰，郭騫.電力系統(tǒng)信息安全技術(shù)督查策略研究[C]//電力通信管理暨智能電網(wǎng)通信技術(shù)論壇論文集.2012.

[2] 余勇，林為民，俞鋼.電力信息系統(tǒng)安全保障體系的研究[C]//2004年世界工程師大會電力和能源分會場論文集.2004.

[3] 陳秋園.淺談電力系統(tǒng)信息安全的防護措施[J].科技資訊，2011（14）：147.

篇10

【關(guān)鍵詞】Web;遠程監(jiān)控系統(tǒng);設(shè)計;安全性;控制

一、前言

遠程監(jiān)控系統(tǒng)是安防系統(tǒng)的重要組成部分，能夠起到綜合性安全防范的作用，在各種監(jiān)控系統(tǒng)中Web的發(fā)射機遠程監(jiān)控系統(tǒng)應(yīng)用較為廣泛，本文將對此進行分析。

二、嵌入式Web服務(wù)器的設(shè)計理念

一般來講，嵌入式系統(tǒng)都沒有TCP/IP協(xié)議棧或文件系統(tǒng)，主要原因是因為嵌入式設(shè)備的資源有限。RAM和ROM的存儲量都不大，所以要想在資源受到限制的情況下，保證Web服務(wù)器的正常工作是非常困難的。所以開發(fā)人員根據(jù)上述問題，并結(jié)合嵌入式Web服務(wù)器的特點和要求，在HTTP1.1的基礎(chǔ)上，提出了嵌入式Web服務(wù)器的主要目標：能夠傳輸簡單文檔，比如HTML頁面下載、上傳等工作;支持表單處理，以及POST/GET請求方式;支持頁面的動態(tài)輸出;支撐嵌入式Web服務(wù)器與頁面分離;支持局域網(wǎng)端口和廣域網(wǎng)端口在Web上的訪問。將Web服務(wù)器引入到現(xiàn)場測試和控制設(shè)備中，并在對應(yīng)的硬件平臺和軟件系統(tǒng)的支持下，能夠使傳統(tǒng)的測試和控制設(shè)備發(fā)生轉(zhuǎn)變，具備了通訊協(xié)議，以TCP/IP為底層，互聯(lián)網(wǎng)的網(wǎng)絡(luò)測試和控制設(shè)備是以Web技術(shù)為核心。主要有三方面的功能：提供接口監(jiān)測現(xiàn)場設(shè)備;靜態(tài)和動態(tài)網(wǎng)頁信息;用接口對現(xiàn)場設(shè)備進行控制。要想使軟件系統(tǒng)和通信系統(tǒng)的設(shè)計和維護工作量降低，達到提升現(xiàn)場測試和設(shè)備控制管理水平的目的，在設(shè)計過程中，充分考慮Web技術(shù)的獨立性和開放性。異構(gòu)網(wǎng)絡(luò)遠程管理和監(jiān)控設(shè)備方法、途徑可通過嵌入式Web服務(wù)器技術(shù)實現(xiàn)。一般情況下，CGI是一個不依靠嵌入式Web服務(wù)器的應(yīng)用程序，而本文的CGI的實現(xiàn)支持HTTP一個函數(shù)，并由HTTP解析模塊進行回調(diào)，這種方法的優(yōu)勢是在Web模塊中，縮短了執(zhí)行文件的長度，但是這種提高執(zhí)行速度的方法，會破壞移植性和獨立性。

三、系統(tǒng)的體系結(jié)構(gòu)

1.基于Web的斷路器遠程監(jiān)控系統(tǒng)

為了實現(xiàn)不同位置的斷路器與監(jiān)控層之間的通信、網(wǎng)絡(luò)連接和控制，筆者融合了Web服務(wù)器、LabVIEW上位機軟件的設(shè)計思想，開發(fā)了基于Web的斷路器遠程監(jiān)控系統(tǒng)。該系統(tǒng)一方面可以通過瀏覽器登錄到Web服務(wù)器，從而對嵌入式Web服務(wù)器進行相應(yīng)的監(jiān)控，另一方面可以對多臺斷路器的運行參數(shù)進行處理、存儲、顯示和分析。其系統(tǒng)拓撲結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)拓撲結(jié)構(gòu)框圖

采用分層思想設(shè)計發(fā)射機遠程監(jiān)控系統(tǒng)，系統(tǒng)的層次結(jié)構(gòu)可以分為現(xiàn)場設(shè)備層、管理層和遠程監(jiān)控層?，F(xiàn)場設(shè)備層將線上電壓、電流經(jīng)過互感器變?yōu)樾⌒盘柡蠼?jīng)過外部處理電路，在A/D轉(zhuǎn)換芯片轉(zhuǎn)換送入ARM芯片，然后通過STM32芯片進行通信，控制其輸出、輸入。管理層采用以太網(wǎng)進行連接，使用嵌入式服務(wù)器技術(shù)將網(wǎng)絡(luò)和管理主控單元、備用主控單元連接，管理層充當現(xiàn)場設(shè)備層和遠程監(jiān)控層的媒介，完成它們間信息交換。遠程監(jiān)控層接收來自管理層的數(shù)據(jù)。通過LabVIEW上位機軟件對現(xiàn)場發(fā)射機的運行狀況進行監(jiān)測，并對運行參數(shù)進行分析，通過網(wǎng)絡(luò)連接實現(xiàn)與現(xiàn)場發(fā)射機之間的信息交換、遠程監(jiān)測和控制。筆者將交換的信息分為兩類：數(shù)據(jù)流和控制流。數(shù)據(jù)流由現(xiàn)場設(shè)備層傳至遠程監(jiān)控層，控制流由遠程監(jiān)控層發(fā)出直達現(xiàn)場設(shè)別層。層次越高對集成信息的要求越高，層次越低對現(xiàn)場運行設(shè)備的占空比要求越小。

2.現(xiàn)場設(shè)備層的設(shè)計

現(xiàn)場設(shè)備層處于系統(tǒng)的最底層，是系統(tǒng)數(shù)據(jù)流的來源和控制流的接受者。其基本任務(wù)是實時不間斷地對電網(wǎng)的電壓、電流進行采集，將采集的參數(shù)進行相應(yīng)的處理并傳輸至管理層，遠程監(jiān)控層。在電網(wǎng)發(fā)生故障（如三相不平衡、短路、過載及接地等現(xiàn)象）時，斷路器能迅速可靠地進行保護。

（1）硬件系統(tǒng)設(shè)計

斷路器控制器具有電流保護、距離保護、零序保護、環(huán)網(wǎng)常閉、環(huán)網(wǎng)常開、自動重合、故障錄波及故障測距等功能。線上電壓、電流經(jīng)過采樣模塊里的互感器變?yōu)樾⌒盘?，?jīng)過其內(nèi)部處理電路進入A/D轉(zhuǎn)換芯片（MCP3201），然后通過控制芯片STM32F103ZET6進行通信，控制其輸出、輸入。A/D轉(zhuǎn)換采用連續(xù)掃描的方式，便于不間斷地采集信號，并傳輸至控制芯片?？刂破髋c開關(guān)本體通過控制電纜和航空插件進行電氣連接，實現(xiàn)保護和自動監(jiān)控功能?？刂破鬟€配有通信模塊（以太網(wǎng)控制芯片ENC28J60），通過網(wǎng)絡(luò)將數(shù)據(jù)傳輸至管理層、遠程監(jiān)控層。

圖2 現(xiàn)場設(shè)備層主框架示意圖

圖2所示為現(xiàn)場設(shè)備層主框架，該裝置共分為3部分：主板（包含主控制芯片、通信模塊、保護模塊和顯示模塊）;輸入部分（采樣模塊含有電壓、電流互感器，濾波和采樣保持電路）;輸出部分（隔離裝置、繼電器或者MOSFET、單片機控制合閘和分閘）現(xiàn)場設(shè)備層可配合真空接觸器，用于線路及電器設(shè)備等的保護、控制。控制器集保護、控制單元于一體。

（2）操作系統(tǒng)的選擇

搭建好嵌入式硬件系統(tǒng)后，為了使硬件達到系統(tǒng)的最優(yōu)控制要求，引入操作系統(tǒng)，程序運行時可以把一個應(yīng)用流程分割為多個任務(wù)，操作系根據(jù)任務(wù)的優(yōu)先級，通過調(diào)度器使CPU分時執(zhí)行各個任務(wù)，保證每個任務(wù)都能得到運行。若調(diào)度方法優(yōu)良，則可使任務(wù)并行執(zhí)行，減少CPU的空閑時間，提高CPU的利用率。筆者選擇實時開發(fā)的操作系統(tǒng)μC/OS-II，具有代碼量少、移植簡單及可裁剪等優(yōu)點。

3.管理層

管理層位于現(xiàn)場設(shè)備層與遠程監(jiān)控層之間，是信息交換的媒介。管理層與現(xiàn)場設(shè)備層通過以太網(wǎng)控制器聯(lián)入網(wǎng)絡(luò)，與遠程監(jiān)測層采用交換機進行數(shù)據(jù)交換和隔離，以達到隔離、減少沖突的目的?；赥CP/IP協(xié)議的以太網(wǎng)貫通于監(jiān)控系統(tǒng)的各個層次，使用戶決策與現(xiàn)場設(shè)備的控制集于一有機整體。現(xiàn)場設(shè)備層還需要實現(xiàn)與網(wǎng)絡(luò)之間的通信，嵌入式Web服務(wù)器將經(jīng)過處理的數(shù)據(jù)流（主要是電流、電壓信號）進行匯總，并將數(shù)據(jù)流通過交換機上傳到主控單元和備用主控單元。主控單元對實時的數(shù)據(jù)流進行管理，當主控單元出現(xiàn)故障時，可由備用主控單元來代替其作用。嵌入式設(shè)備可響應(yīng)遠程監(jiān)控層對數(shù)據(jù)的請求，監(jiān)控層也可對數(shù)據(jù)進行處理，檢測，并對嵌入式設(shè)備進行相應(yīng)的控制?，F(xiàn)在通常使用的網(wǎng)絡(luò)基本上都是采用TCP/IP協(xié)議，從協(xié)議分層模型方面來講，TCP/IP由4個層次組成：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。要將ARM芯片作為網(wǎng)頁服務(wù)器，其程序是根據(jù)建立TCP應(yīng)用流程編寫的。當服務(wù)器開始監(jiān)聽連接時，遠程監(jiān)控端或瀏覽器就可以提出連接請求，然后嵌入式服務(wù)器做出響應(yīng)。

4.遠程監(jiān)控層

遠程監(jiān)控層接收來自管理層的數(shù)據(jù)進行相應(yīng)的處理、分析和控制。本系統(tǒng)中的遠程控制層包括網(wǎng)絡(luò)化控制與虛擬儀器技術(shù)。網(wǎng)絡(luò)化控制將現(xiàn)場設(shè)備層和管理層上傳來的信息進行分析、處理和控制。筆者設(shè)計了結(jié)合Web服務(wù)器技術(shù)的嵌入式監(jiān)控系統(tǒng)，該系統(tǒng)具有瀏覽交互式網(wǎng)頁及對嵌入式平臺進行監(jiān)視和控制等功能。通過嵌入式Web服務(wù)器系統(tǒng)，用戶可以通過HTTP協(xié)議方便地訪問相應(yīng)的嵌入式平臺，進行有效監(jiān)視的同時還可以進行實時控制，完成遠程控制的功能。虛擬儀器是利用硬件系統(tǒng)（現(xiàn)場設(shè)備層）完成信號的采集、測量與調(diào)理，利用計算機強大的軟件功能實現(xiàn)信號數(shù)據(jù)的運算、分析和處理，利用計算機的顯示器模擬傳統(tǒng)儀器的控制面板，以各種形式輸出檢測結(jié)果，從而完成各種測試和顯示功能。LabVIEW上位機軟件的功能是對發(fā)射機系統(tǒng)運行中的參數(shù)進行監(jiān)測和分析，上位機軟件主要包括4個方面：登錄界面的設(shè)計，包括用戶名和密碼;主界面整體設(shè)計;電流、電壓及工作狀態(tài)實時顯示模塊;運行及動作參數(shù)設(shè)定模塊;故障分析模塊;簡單的故障處理模塊。

（1）主界面

本系統(tǒng)提供了兩個數(shù)據(jù)源（采集數(shù)據(jù)和仿真信號），可通過面板上“讀數(shù)據(jù)/仿真信號”布爾按鈕進行切換。登錄界面進入不同的數(shù)據(jù)監(jiān)控系統(tǒng)主界面，將各路數(shù)據(jù)進行編號，方便我們識別不同位置器件。主界面有實時運行數(shù)據(jù)、電流與電壓實時波形圖和故障情況分析，通過軟件的初步分析可以得知故障狀態(tài)、故障原因，還有不同的保護信息顯示。

（2）電壓、電流有效值測量

采集的三相電壓、電流的原始數(shù)據(jù)通過網(wǎng)絡(luò)傳輸至遠程監(jiān)控端，按列存儲在數(shù)據(jù)文件“數(shù)據(jù)保存.xls”中，從左至右為電壓信號（A相、B相和C相）和電流信號（A相、B相和C相）。每次采集5個周期，每個周期200個采樣點。保存的數(shù)據(jù)通過“讀取電子表格文件.vi”和條件結(jié)構(gòu)的“0”幀中的6個“索引數(shù)組.vi”逐列讀出。

四、Web應(yīng)用安全風險分析

1.OWASPtop10-2013

2013年，開放式Web應(yīng)用程序安全項目提出了最新的top10攻擊。

2.OWASPtop10的發(fā)展趨勢

與2010OWASPtop10相比，2013OWASPtop10前3名保持不變，但A3“跨站腳本”（XSS）名次下滑。A8“跨站請求偽造”（CSRF）排名也有所下滑。A6“暴露敏感數(shù)據(jù)”是2010年A7“不安全密碼存儲”和A9“不安全傳輸層保護”的合并，涵蓋了與敏感數(shù)據(jù)泄漏相關(guān)的更一般情況。A9“使用存在已知漏洞的組件”是新上榜的漏洞。這些變化反映了Web應(yīng)用安全的變化趨勢。

五、Web應(yīng)用安全風險規(guī)避方法

根據(jù)《信息系統(tǒng)安全等級保護基本要求GB/T22239-2008》，基本要求按照實現(xiàn)方式的不同分為基本技術(shù)要求和基本管理要求兩大類。基本技術(shù)要求包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面;基本管理要求包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面。Web應(yīng)用安全的風險從主機安全、應(yīng)用安全和數(shù)據(jù)安全，系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等幾方面可以規(guī)避。

1.與Web應(yīng)用代碼編寫密切相關(guān)的風險

A1、A2、A3、A4、A7、A8和A10與Web應(yīng)用代碼編寫密切相關(guān)。根據(jù)《信息系統(tǒng)安全等級保護基本要求GB/T22239-2008》，可以從應(yīng)用安全、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等幾個方面避免上述風險。應(yīng)用安全明確要求，訪問控制用來控制用戶對Web應(yīng)用的訪問，如果是利用掛馬、SQL注入等漏洞對系統(tǒng)的訪問，那么就應(yīng)該過濾掉該請求;安全審計包括“應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計”、“審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等”。針對A2類型的風險，應(yīng)用安全中的身份認證暫時缺少明確的要求，如Login通過后，立刻把當前Session（包含Session，Cache，Cookie）失效掉，把需要保存進Session的value重開一個Session保存進;Logout功能中，除了把當前Session失效掉外，還要把Session相關(guān)的Cache也remove掉。系統(tǒng)建設(shè)管理明確要求，測試驗收包括“應(yīng)對系統(tǒng)進行安全性測試驗收”。系統(tǒng)運維管理明確要求，系統(tǒng)安全管理包括“應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補”、“應(yīng)定期對運行日志和審計數(shù)據(jù)進行分析，以便及時發(fā)現(xiàn)異常行為”。

2.與Web應(yīng)用代碼編寫有關(guān)的風險

A6與Web應(yīng)用代碼編寫相關(guān)。根據(jù)《信息系統(tǒng)安全等級保護基本要求GB/T22239-2008》，可以從主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等幾個方面避免上述風險。主機安全和應(yīng)用安全中的剩余信息保護明確要求，應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中。應(yīng)用安全中的通信保密性明確要求，在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進行會話初始化驗證;應(yīng)對通信過程中的敏感信息字段進行加密。數(shù)據(jù)安全及備份恢復(fù)中的數(shù)據(jù)保密性明確要求，應(yīng)采用加密或其他保護措施實現(xiàn)鑒別信息的存儲保密性。

3.與Web應(yīng)用系統(tǒng)基礎(chǔ)設(shè)施相關(guān)的風險

A5和A9與Web應(yīng)用系統(tǒng)基礎(chǔ)設(shè)施相關(guān)。根據(jù)《信息系統(tǒng)安全等級保護基本要求GB/T22239-2008》，可以從主機安全、應(yīng)用安全系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等幾個方面避免上述風險。主機安全中訪問控制明確要求，應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限。主機安全中入侵防范明確要求，操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。應(yīng)用安全中的訪問控制明確要求，應(yīng)授予不同帳戶為完成各自承擔任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。系統(tǒng)運維管理中的網(wǎng)絡(luò)安全管理明確要求，應(yīng)根據(jù)廠家提供的軟件升級版本對網(wǎng)絡(luò)設(shè)備進行更新，并在更新前對現(xiàn)有的重要文件進行備份;應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補。系統(tǒng)運維管理中的系統(tǒng)安全管理明確要求，應(yīng)安裝系統(tǒng)的最新補丁程序，在安裝系統(tǒng)補丁前，應(yīng)首先在測試環(huán)境中測試通過，并對重要文件進行備份后，方可實施系統(tǒng)補丁程序的安裝;應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。

六、結(jié)束語

綜上所述，我們對Web的發(fā)射機遠程監(jiān)控系統(tǒng)有了一定的認識，在具體應(yīng)用過程中，要注意安全性防范，使其發(fā)揮更大的作用。

參考文獻

[1]劉富強.數(shù)字視頻監(jiān)控系統(tǒng)開發(fā)及應(yīng)用[M].北京：機械工業(yè)出版社，2013，（3）：15-17.

[2]鄭偉，徐榮華，王欽若.嵌入式Linux系統(tǒng)CGI程序設(shè)計技術(shù)[J].單片機與嵌入式系統(tǒng)應(yīng)用，2004，45（10）：21-23.

[3]袁宇麗.基于HTML網(wǎng)頁的Web信息提取研究[D].電子科技大學，2006.

[4]李玉爽.基于嵌入式WEB服務(wù)器的數(shù)據(jù)采集系統(tǒng)的設(shè)計[J].哈爾濱工程大學，2011，56（6）：149-150.