安全策略范文10篇

摘要：计算机网络在各个行业中的普及下，为人们的生活与工作带来便捷，但是信息安全问题也为其产生更多的困扰，稍不留神就会对人们带来巨大影响。基于此，讲述了使用信息安全防护策略的重要性，并对当前可能产生安全隐患的因素进行研究，重点阐述了安全防护技术，旨在为计算机领域科研人员工作提供帮助。

关键词：信息安全；技术基础；安全策略

当前社会中网络的实用已经普及，随着网络信息安全性的降低，人们的隐私被泄露，财产被转移，对其生活带来严重的影响。基于此，国家开始重视网络信息安全技术基础与策略的研究，力求提升信息的安全性与隐私性，降低信息传输中的安全隐患。探索出适当的安全技术，为计算机网络行业工作提供条件。

1信息安全防护策略使用的必要性

在互联网与大数据普及的背景下，信息的传输以开放性与共享性为主，也正是这两个特点，对其安全带来影响，计算机运行时产生较多漏洞，人们传输信息的时候，可能稍不留神，就会泄露信息。在此形势下，产生与信息安全相关的问题，严重者影响人们的生活，例如不法人员通过窃取计算机中信息资料，盗取网银密码转出钱财，造成财产损失。另外一些特殊的组织，特别是保密性强的组织中一旦信息受到破坏，主要信息会流入敌对方，轻者对个人重者对国家的利益造成严重的损害。所以重视信息安全技术的使用，以安全策略提升计算机与信息传输的安全性很重要。

2现阶段影响信息安全的因素

摘要基于策略的网络互联是当前安全研究的热点问题之一。该文首先介绍了IPsec协议中策略的含义及使用，继而讨论了IETF提出的安全策略系统的一般结构及各关键部件的功能划分。最后讨论了当前研究存在的问题及今后的研究方向。

关键词Ipsec；安全策略数据库；安全关联数据库；安全策略系统

1IPsec协议

IPSec(InternetProtocolSecurity)是IETF提出的一套开放的标准协议，它是IPV6的安全标准，也可应用于目前的IPV4。IPSec协议是属于网络层的协议，IP层是实现端到端通信的最底层，但是IP协议在最初设计时并未考虑安全问题，它无法保证高层协议载荷的安全，因而无法保证通信的安全。而IPSec协议通过对IP层数据的封装和保护，能够为高层协议载荷提供透明的安全通信保证。IPsec包括安全协议部分和密钥协商部分，安全协议部分定义了对通信的各种保护方式；密钥协商部分则定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。IETF的IPsec工作组已经制定了诸多RFC，对IPsec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成。即：认证协议头(AuthenticationHeader，AH)、安全载荷封装(EncapsulatingSecurityPayload，ESP)和互联网密钥交换协议(InternetKeyExchangeProtocol，IKMP)。

AH协议提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。AH认证整个IP头，不过由于AH不能加密数据包所加载的内容，因而它不保证任何的机密性。

ESP协议通过对数据包的全部数据和加载内容进行全加密，来提供数据保密性、有限的数据流保密性，数据源认证，无连接的完整性，以及抗重放服务。和AH不同的是，ESP认证功能不对IP数据报中的源和目的以及其它域认证，这为ESP带来了一定的灵活性。

随着云南省人口中资源和环境压力的不断加大，粮食供求偏紧状态将长期存在，云南省粮食安全问题的解决，要突破传统束缚，拓展粮食来源渠道、种类、区域等，以下的思考是确保云南粮食安全的策略思路所在。

一、藏粮于田

粮源于田，耕地是粮食生产最重要的物质基础，是最基本生产资料和生活保障。应在确保云南省8970万亩耕地“红线”基础上，通过土地整理、农田水利建设、中低产田改造等措施，对农田水、土、气、生等基本生态因子进行系统保护与改善，提高粮食的可持续生产能力。

（一）加强粮食耕地保护

严格保护耕地，是保障粮食安全和维护社会稳定的前提和基础，根据《全国土地利用总体规划纲要（-2020）》提出的明确指标，到2020年，全国耕地保有量不低于18.05亿亩，云南省耕地保有量不得低于8970万亩，这是一条不可逾越的“红线”。必须正确处理好建设用地与耕地保护的关系，正确处理占用耕地与补充耕地的关系，科学推进以土地整理为核心的土地开发、复垦与整理工作，严格落实耕地“占补平衡”制度。在耕地质量的整治与建设上，要大力推进以坡耕地“坡改梯”为主体的耕地综合整治，稳步提升耕地质量和产出率。

（二）加强农田水利基础设施建设

美国联邦政府云计算安全发展过程

昆德拉上任时就承认云计算可能存在隐私泄露或其它安全隐患，但表示不能因此而错过云计算的速度和效率[3]。2009年5月召开的云计算倡议工业界峰会[2，7]上，美国产业界认识到云计算在法律法规和政策以及IT安全和隐私方面的挑战，深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议（SLA等。5月份的《远景分析》中指出了与新技术服务交付模型相关的风险，包括政策的变化、动态应用的实施以及动态环境的安全保障，要求建立一个项目管理办公室来实施工业界最佳实践和政府项目管理方面的政策。10月份国家标准和技术研究所（NIST在《有效安全地使用云计算范式》[8]的研究报告中分析了云计算安全的众多优势和挑战。2010年2月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发[9]。8月CIOC了《联邦部门和机构使用云计算的隐私建议》[10]，指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略有关，并指出了9类风险，通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律，可以有效加强云计算环境下的隐私保护。9月非盈利组织MITRE给出了《政府客户云计算SLA考虑》[11]。11月份，NIST、GSA、CIOC以及信息安全及身份管理委员会（ISIMC等组成的团队历时18个月提出了《美国政府云计算安全评估和授权建议方案》[12]，该方案由云计算安全要求基线、持续监视、评估和授权三部分组成。12月，在《改革联邦信息技术管理的25点实施计划》中指出安全、互操作性、可移植性是云计算被接纳的主要障碍。2011年1月国土安全部(DHS)给出了《从安全角度看云计算：联邦IT管理者入门》[13]读本，指出了联邦面临的16项关键安全挑战：隐私、司法、调查与电子发现、数据保留、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员挑战，NIST了《公共云计算安全和隐私指南》[14]和《完全虚拟化技术安全指南》[15]。2月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估，确保一个安全可信的环境，并做出了战略部署，包括推动联邦风险和授权管理项目（FedRAMP、DHS要每6个月或按需一个安全威胁TOP列表并给出合适的安全控制措施和方法，NIST要一些安全技术指南。2011年12月OMB了一项关于“云计算环境下信息系统安全授权”的首席信息官备忘录[16]，正式设立FedRAMP项目。2012年2月成立了FedRAMP项目联合授权委员会（JAB[17]并了《FedRAMP概念框架（CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美国联邦政府云计算安全策略分析

美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍，并给予了高度重视。美国联邦政府认为，对于云服务要实施基于风险的安全管理，在控制风险的基础上，充分利用云计算高效、快捷、利于革新等重要优势，并启动了联邦风险和授权管理项目（FedRAMP。首先，明确了云计算安全管理的政府部门角色及其职责：1联合授权委员会（JAB：成立了由国防部（DOD、DHS、GSA三方组成的联合授权委员会JAB，主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等；2FedRAMP项目管理办公室（FedRAMPPMO：设立于GSA，负责管理评估、授权、持续监视过程等,并与NIST合作实施对第三方评估组织的符合性评估；3国土安全部：主要负责监视、响应、报告安全事件，为可信互联网联接提供指南等；4各执行部门或机构：按照DHS、JAB等要求评估、授权、使用和监视云服务等，并每年4月向CIOC提供由本部门CIO和CFO签发的认证；5首席信息官委员会：负责出版和分发来自FedRAMPPMO和JAB的信息。其次，明确了FedRAMP项目相关方的角色和职责（如图1。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC外，还包括云服务商（CSP和第三方评估组织（3PAO。云服务商实现安全控制措施；创建满足FedRAMP需求的安全评估包；与第三方评估机构联系，执行初始的系统评估，以及运行中所需的评估与授权；维护连续监视项目；遵从有关变更管理和安全事件报告的联邦需求。第三方评估组织保持满足FedRAMP所需的独立性和技术优势；对CSP系统执行独立评估，并创建满足FedRAMP需求的安全评估包清单。美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下，以安全控制基线为基本要求，以评估和授权以及监视为管理抓手，同时提供模板、指南等协助手段，建立了云计算安全管理的立体体系（如图2。政策备忘录：OMB于2011年12月8日，为政府级云计算安全提供方向和高级框架。安全控制基线：基于NIST的SP800-53第三版中所描述的安全控制措施指南，补充和增强了控制措施，以应对云计算系统特定的安全脆弱性。FedRAMP的安全控制基线于2012年1月6号单独。运营概念（CONOPS：提供对FedRAMP的运营模型与关键过程的概述。运营模型：FedRAMP的运营模型基于OMB的政策备忘录，明确FedRAMP实现的关键组织，对各个组织运营角色与职责进行抽象描述。关键过程：指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”，它们为FedRAMP运营过程的三个主要功能。详细的模板与指南：云服务商与第三方评估组织在FedRAMP整个过程中需要这些文档模板作为文档规范。

在《推荐的联邦信息系统和组织安全措施》（sp800-53基础上，根据云计算特点，针对信息系统的不同等级（低影响级和中影响级，制定了云计算安全基线要求《FedRAMP安全控制措施》。与传统安全控制措施相比，云计算环境下需增强的安全控制措施包括：1访问控制：要求定义非用户帐户（如设备帐户的存活期限、采用基于角色的访问控制、供应商提供安全功能列表、确定系统使用通知的要素、供应商实现的网络协议要经过JAB同意等。2审计和可追踪：供应商要定义审计的事件集合、配置软硬件的审计特性、定义审计记录类型并经过同意、服务商要实现合法的加密算法、审计记录90天有效等。3配置管理：要求供应商维护软件程序列表、建立变更控制措施和通知措施、建立集中网络配置中心且配置列表符合或兼容安全内容自动化协议（SCAP、确定属性可追踪信息等。4持续性规划：要求服务商确定关键的持续性人员和组织要素的列表、开发业务持续性测试计划、确定哪些要素需要备份、备份如何验证和定期检查、至少保留用户级信息的3份备份等。5标识和鉴别：要求供应商确定抗重放的鉴别机制、提供特定设备列表等。6事件响应：要求每天提供演练计划、提供事件响应人员和组织要素的列表等。7维护：要确定关键的安全信息系统要素或信息技术要素、确定获取维护的期限等。8介质保护：确定介质类型和保护方式等。9物理和环境保护：要确定紧急关闭的开关位置、测量温湿度、确定可替代的工作节点的管理、运维和技术信息系统安全控制措施等。10系统和服务获取：对所有外包的服务要记录在案并进行风险评估、对开发的代码提供评估报告、确定供应链威胁的应对措施列表等。11系统和通信保护：确定拒绝服务攻击类型列表、使用可信网络联接传输联邦信息、通信网络流量通过经鉴别的服务器转发、使用隔离措施。12系统和信息完整性：在信息系统监视时要确定额外的指示系统遭到攻击的指标。其他方面如意识和培训、评估和授权、规划、人员安全、风险评估则与传统差别不大。安全授权越来越变为一种高时间消耗的过程，其成本也不断增加。政府级的风险和授权项目通过“一次授权，多次应用”的方式加速政府部门采用云服务的过程，节约云服务采用费用，实现在政府部门内管理目标的开放和透明。1以第三方评估机构作支撑，对云服务进行安全评估CSP向FedRAMPPMO提出安全评估请求，并经已获得授权的3PAO检查与验证后，向FedRAMPPMO提交评估材料，由FedRAMPPMO组织专家组对其进行评审。当专家组通过评估后，由FedRAMPPMO向CSP颁发初始授权。云计算应用部门不应该把部门的安全责任转嫁给CSP，政府部门以该初始授权为基础，颁发部门的云服务运营授权（ATO。2通过初始安全授权，加强双层授权机制FedRAMPPMO维护一个初始授权以及相关安全评估材料的信息库，政府部门可以基于这些初始授权和评估材料颁发部门的服务运营授权，政府部门也可以添加另外的安全控制。3对云服务商持续监视，保证云服务运营安全对已获得初始授权的CSP，FedRAMPPMO应与3PAO一同开展对其系统和服务的连续监视活动。连续监视需要判断安全控制是否持续有效。政府部门在采用云服务、特别在采用公有云服务时，将会面临诸多严重安全风险，如多租户引入的安全问题、信息安全与隐私泄露、业务连续性、厂商锁定等诸多安全问题。在云服务采购合同中包含有效的SLA内容将会为云服务采购及其使用过程提供充分的安全保障。2010年9月MITRE给出的《政府客户云计算SLA考虑》[11]中，对政府部门与云服务商之间的SLA设计给出了具体的指南，指出SLA设计要考虑如下11方面的内容，每个方面的内容又划分为具体的细项给予了具体的指导：SLA背景、服务描述、测量与关键性能指标、连续性或业务中断、安全管理、角色与责任、支付与赔偿及奖励、术语与条件、报告指南与需求、服务管理、定义/术语表。另外，在合同方面，2012年2月的《联邦政府制定有效的云计算合同——获取IT即服务的最佳实践》，给出了采购云服务的合同需求和建议，包括服务协议条款、保密协议、服务级别协议等，并分析安全、隐私、电子发现、信息自由访问、联邦记录保留等方面的需求并给出了具体建议。

本文作者：赵章界刘海峰工作单位：北京信息安全测评中心

1校园信息安全状况

目前,在互联网环境下,校园网已经成为被攻击的主体。随着计算机病毒的不断更新换代,以及专业化病毒制造模式都使得网络攻击的手段变得越发的多样化,而且攻击的方式变得越来越难以察觉,破坏性也大大增加了,这都对校园网的安全和正常运作产生了严重的干扰,这些信息安全隐患具体表现为:

1.1占用资源

计算机单机病毒或网络病毒都会大量占用资源,甚至控制网络资源,使有效数据泄露,威胁到校园网的信息安全。

1.2破坏数据

计算机病毒会修改、删除或破坏校园网有用数据信息,妨碍高校校园网正常运行。

物资管理信息系统安全等级

广西电网公司物资管理信息系统的业务信息如果受到破坏，各使用单位无法通过该系统进行物资采购和供应商管理，无法完成南方电网公司、广西电网公司预定的业务目标，使公司工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，会严重损害相关单位总体利益。因此，广西电网公司物资管理信息系统的业务信息安全等级为第2级。广西电网公司物资管理信息系统的系统服务受到破坏时，将对本单位的合法权益产生损害，即对公民、法人和其他组织的合法权益造成损害，但不损害社会秩序和公共利益，不损害国家安全[3]。因此，广西电网公司物资管理信息系统的系统服务安全等级为第2级。广西电网公司物资管理信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，因此最终确定其安全保护等级为第2级。

Oracle11gR2RAC网络连接

RAC（RealApplicationClusterArchitecture）是Oracle数据库的、可以协调多个节点（2个或2个以上）同时运作的一个集群解决方案。每个节点就是1台独立的服务器，所有节点使用和管理同1个数据库，目的是分散每一台服务器的工作量。RAC结构如图2所示，物资系统数据库后台使用2台IBMP780小机作为节点，使用统一存储作为共享存储设备。通信层一方面响应客户端的请求，一方面管理节点之间通信。在Oracle11gR2RAC中可以把通信网络分成专用网络和公用网络[4]。各节点之间使用心跳线连接，心跳线的作用是使得集群管理器获得节点成员信息和节点更新情况，以及节点某个时间点的运行状态，保证集群系统正常运行。用心跳线连接的网络也叫专用网络或者叫专用高速网络，这种高速网络也称为集群互联或高速互联。在专用网络上配置的是privateip。OracleCacheFusion通过在专用网络上传输实时高速缓存中存储的数据，还允许其他用户实时访问这些数据。所谓的公用网络是真正向用户开放使用的网络，在公用网络中可以配置网卡的固定IP、VIP和SCANIP。为了维持高可用性，在Oracle10g为每个集群节点分配了1个虚拟IP地址（VIP）。为了使节点更容易扩展，在Oracle11gR2中定义了SCANIP。固定IP、VIP和SCANIP属于公用网络，其中固定IP绑定于网卡。1）SCAN（SingleClientAccessName，单客户端访问名称）IP[5]是Oracle11gR2引进的概念。SCAN是一个网络名称，它可在DNS或GNS中注册不同的IP地址。当客户端数据库被转移到集群中的不同节点时，不需要改变客户端连接字符串，因此，SCAN简化了客户端的连接管理。Oracle公司建议使用SCAN或者SCANIP连接RAC数据库，这样可以使节点更加易于扩展，并且实现实例节点的负载均衡。2）VisualIP是Oracle10g推出的虚拟IP，其根本目的是实现应用的无停顿。若客户端使用SCANIP发起连接，当连接建立后最终RAC数据库还是使用VIP和客户端发送数据。一旦某个客户连接的VIP所在的实例宕机，Oracle会自动将该VIP映射到正常的实例上，因此VIP也被称为浮动IP。在物资管理信息系统中，南方电网数据中心连接使用的是SCANIP，其分发过程如图3所示。图3SCAN监听示意图图3中的用户和应用服务器在同一时刻使用SCANIP访问RAC数据库时，SCAN监听器会监听到所有客户端的请求。由于SCAN不代表任何一个节点，而是代表了整个集群，SCAN监听器把监听到的所有请求根据轮叫算法发到各个节点上[6]，最终使用VIP和客户进行通信。客户端与服务器的连接过程可简化为：Client->SCANListener->LocalListener->LocalInstance[7]。

实验及分析

根据南方电网信息安全要求，物资管理信息系统安全保护等级定为2级，因此在广西电网公司总部必须使用防火墙进行安全加固。按照开放最小化原则，既要保证系统能被区内各单位正常访问和南方电网数据中心正常同步，又要保证系统的安全。由于区内各单位访问系统，是穿透防火墙后通过负载均衡器radware设置的IP来访问物资管理信息系统的，而南网数据中心是直接穿透防火墙与数据库连接。为了制定防火墙安全策略，本实验用办公电脑（IP:10.X.X.X）、防火墙软件（瑞星个人防火墙）、抓包软件（IPAnalyse.exe）为工具分析其数据包投递过程，按照开放最小化原则，确定向以上两类用户开放哪些端口和哪些IP。先设置防火墙拦截VIP1、VIP2（将VIP1、VIP2加入黑名单），然后打开抓包软件，在办公电脑使用sqlplus执行“conn用户名/密码@SCANIP:1521/实例名”，直到出现“ORA-12170:TNS:连接超时”。另外，将SCANIP、VIP1、VIP2加入白名单，在办公电脑使用sqlplus执行conn用户名/密码@SCANIP:1521/实例名，提示“已连接”。抓包分析如图4所示（图中未画出办公电脑（IP:10.X.X.X）和SCANIP间已完成的3次握手过程），从抓到的数据包结合图4进行如下分析：1）办公电脑使用SCANIP连接发起连接请求，请求的数据包通过防火墙到达OracleRAC数据库并被SCANListener监听，SCANListener监听器根据轮叫算法把本次连接请求转给VIP1，监听器给办公电脑返回“使用VIP1来连接”的通告报文，办公电脑收到该通告报文后发起向VIP1的连接请求。由于防火墙已经把VIP1、VIP2设置到黑名单，所以这次请求被防火墙拒绝。办公电脑再请求2次都被拒绝，最后办公电脑的Oracle客户端程序发出“ORA-12170:TNS：连接超时”的警告。2）将SCANIP、VIP1、VIP2加入白名单，同时开始抓包，在IE输入物资系统的访问IP/web并操作一段时间。从抓包信息可以看到办公电脑和“物资管理信息系统的访问IP”之间的通信，并没有发现办公电脑和物资管理信息系统的应用服务器之间的通信。

［摘要］VPN技术应用日益广泛，IPSec已成为实现VPN的主要方式。文章对IPSec相关协议进行分析的基础上，针对IPSec协议族在安全策略方面的不足，提出在远程访问模型中使用集中试策略管理并对该管理系统进行了研究。

［关键词］PSecVPN；安全策略数据库；安全关联数据库；安全策略

1引言

随着Internet等公共网络的迅速发展和国际经济一体化的发展趋势，企业内部及企业间通过网络传递信息的需求越来越多。如何以最低的费用保障通信的安全与高效，是企业极其关注的问题。流行的解决方案是利用隧道技术，在Internet等不安全的公共网络上建立安全的虚拟专用网络，即虚拟专用网（VPN）。

IPSec是实现VPN的一种协议，正在得到越来越广泛的应用，将成为虚拟专用网的主要标准。尽管IPSec已经是一种包容极广、功能极强的IP安全协议，但却仍然不能算是适用于所有配置的一套极为完整的方案，其中仍然存在一些需要解决的问题。本文对IPSec相关协议进行分析的基础上，针对IPSec协议族在安全策略方面的不足，提出在远程访问模型中使用集中试策略管理，并对该管理系统进行了研究。

2IPSecVPN

摘要：随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。本文结合工作中常常遇到的一些实际情况，分析了网络安全受到的一些威胁，并论述了常用的网络安全技术。

关键词：网络安全威胁技术

0引言

网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。一影响计算机网络安全的因素很多，有人为因素，也有自然因素，其中人为因素的危害最大。

1计算机网络的安全策略

1.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击验证用户的身份和使用权限、防止用户越权操作确保计算机系统有一个良好的电磁兼容工作环境建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

摘要随着信息技术的迅猛发展，信息的价值与信息扩散的影响与日俱增，在信息系统中安全尤为重要。信息系统由若干个模块与其相连的信息链组成。本文抓住信息链中的重要环节，就数据安全进行剖析，提出系统内部安全、系统间安全及环境安全等方法，保证信息链中的数据安全。

关键词信息链；信道；安全策略；容灾；访问控制

1引言

随着信息论、控制论的不断演化，通信、计算机、系统工程和人工智能等多种技术发展与融合，人们在信息的获取、传输、存储、处理与施用等方面的能力空前提高，信息技术革命与人们的生活息息相关。尤其是在信息极度膨胀的当今社会，人们对信息的依赖程度越来越紧密，因此对信息系统中的数据的可靠和信息的安全要求也越来越高，越来越迫切。本文着重对以计算机、网络传输等为载体的信息链作简要阐述，对如何保证其安全提供一些方法。

2基本概念

质量、能量和信息是物质的三大基本属性，是普遍存在于客观世界和人的意识活动中的。所谓信息是指事物存在的方式或运动状态以及这种方式或运动状态的直接或间接表述。信息具有时效性、寄载性、共享性、可计量性和可控性等特征[1]。

摘要:伴随社会条件的不断优化以及人们生活条件的不断改变，社会对于电力能源的需求量也在不断增多，同时火电厂所采用的硬件软件也在不断创新升级。目前火电厂普遍都是采用的内网进行连接。为了确保火电厂信息的安全性，本文详细分析火电厂内网信息安全策略。

关键词:火电厂；内网信息；安全策略

伴随着计算机技术与电子技术的不断发展创新，计算机控制与计算机网络也在不断普及，这也极大程度优化了企业的运营效率。火电厂存在两种要求：①普通企业的内网安全要求；②电力二次系统安全防护要求，其一般情况下都非常重视自动化与信息自动化建设，其中控制系统又非常多，例如办公自动化、生产管理系统、燃料管理系统、计算机监控系统，各个系统之间都有着密切的关联，彼此之间有着较多的信息交流。对此，为了确保系统之间的交流通畅性与保密性，研究火电厂内网信息安全策略显得尤为重要。

1火电厂内网结构

按照《电力二次系统安全防护规定》，火电厂企业内部的计算机网络系统原则上必须划分为信息管理与生产控制两个部分[1]。信息管理主要是提升管理水平，其对象是整个火电厂的所有员工[2]。信息管理系统需要与互联网有连接，其可靠性相对于生产系统而言并没有那么高，但是其能够读取各个生产系统的数据，例如某个机组的发电量，这一单方向的数据。办公自动化系统不需要与生产系统连接，但是需要与互联网进行了连接，在无纸办公的现在，办公自动化系统也需要更高的安全性与保密性。生产控制又可以被分为非控制性系统与控制性系统[3]。对于生产控制系统而言，可靠性与实效性最为重要，其可靠性必须达到99%以上，并且实效性必须以毫秒为单位，并且需要系统能够在运行过沉重保持一个恒定的控制能力。与此同时，生产控制系统对安全性的要求也比较高，其他系统只是对他的数据进行读取，并不能操作，不能允许任何无关人员进入到系统当中，非特殊情况基本上不允许任何人修改数据。

2火电厂内网信息安全策略