信息网络安全评估的方法8篇

时间：2024-04-12 10:54:24

绪论：在寻找写作灵感吗？爱发表网为您精选了8篇信息网络安全评估的方法，愿这些内容能够启迪您的思维，激发您的创作热情，欢迎您的阅读与分享！

信息网络安全评估的方法

篇1

【关键词】气象信息网络；安全；策略

1、计算机网络系统的安全问题。目前，计算机网络在气象行业中应用越来越广泛，而计算机网络系统中存在的安全问题也威胁着气象信息网络的安全。计算机网络安全主要受到以下几个方面的影响：第一，自然因素，一些自然的突发因素、如地震、洪水等影响计算机网络安全。第二，计算机网络的安全缺陷，由于计算机网络具有开放性、共享性以及国际性等特征、以及防火墙和计算机操作系统都存在缺陷，使计算机网络容易受到攻击，如果安全管理工作没有做好，并且缺乏严格的计算机网络安全防卫措施，可能会造成信息的丢失。第三，恶意攻击，由于计算机网络存在缺陷，因此可能会受到病毒、木马以及黑客的恶意攻击，其通过计算机网络的漏洞入侵到气象信息网络中，可能会对数据进行篡改，以及进行恶意的破坏。

2、气象人员专业能力较差。虽然近年来计算机网络已经在气象行业中被广泛应用，但是由于相关的气象人员专业素质差，对于软件安全性、气象信息的保密级别以及气象信息网络安全防护缺乏响相应的认识性，气象专业知识不足，对计算机网络安全认识也不充分，因此缺乏对网络攻击的防范能力，加之目前网络攻击方式具有较强的隐藏性、突发性，所以当气象信息网络受到攻击时，相关人员不能够及时采取相应措施来保护气象信息网络的安全。

3、气象信息网络安全管理认识误区。目前，由于工作人员的专业水平有限，对于气象信息系统的安全管理还存在错误的认识。首先，工作人员对于软件安全性能认知存在误区，任何安全产品防护作用的发挥都是建立在特定条件下的，没有特定的标准性，如国内软件安全，而国外软件不安全的，这种认识是不准确的。其次，要更新工作人员对于气象信息保密级别的认识，部分员工会认保密性级别最高的文件就是安全性要求最高的，但是气象信息的网络安全包括保密性、完整性、可用性等六方面的要求，不仅仅是保密性。最后，部分气象信息网络的安全工作人员过于依赖和信任防火墙和杀毒软件，认为安装了防火墙和杀毒软件就能够保护气象信息网络安全，但是没有安全产品能做到绝对的安全，因此需要工作人员提高防范意识。

二、气象信息网络的安全管理策略

1、建立健全规章制度。为了保护气象信息网络的安全，浅谈气象信息网络安全策略及技术徐骁济南市气象局需要建立并不断完善相关规章制度，健全的规章制度是进行各种安全防护的保障，如建立起相关人员的培训制度，提高其专业素质，以及计算机使用制度等，实现专机专用，保护气象信息网络的安全。在建立规章制度之后对其进行不断调整是十分有必要的，随着时代的进步有些制度已不能满足要求，因此需要与时俱进，对规章制度进行调整和完善。健全的制度是保障气象信息安全的前提，在其基础上建立起完整的气象信息安全体系，将规章制度落实到实处，明确各部门之间的配合、协作，最大程度上降低安全问题出现的概率。

2、加强气象信息网络的风险管理与风险评价。做好气象信息网络的风评价估和风险管理工作对于保证气象信息网络安全具有重要的作用，一般选取以下三种风险管理的方法。第一，接受风险，风险是不可避免的，有一些风险对于气象信息网络的影响不大，可以不用采取专门的安全措施去应对。第二，减轻风险，对于危险程度低的风险，要通过对风险进行评估，采取有效措施来降低风险发生的概率。第三，消除风险，对于严重的风险，如气象信息网络遭受攻击，此时要采取最高级别的安全防护措施，来消除风险，保护气象信息系统的安全。通过进行风险评估和风险管理，根据不同的情况采取相应的措施，可以有效地分配资源，更好的保护气象信息网络的安全。

3、做好网络控制工作。通过设置网络访问的控制可以有效的保护气象信息系统的安全，防止非法的入侵和访问。可以通过以下方面来加强访问控制：第一，进行入网访问控制，对网络信息、网络权限、目录级别等进行严格的控制。第二，做好数据的备份和恢复工作，以防止突发事件对气象信息安全方面的影响，在数据遭到破坏时能够通过备份数据进行恢复。第三，利用信息加密技术对气象信息进行加密处理。信息加密技术是保障信息安全的重要手段，可以通过数字签名、身份认证、单钥密码体制、古典密码等方式对信息进行加密，保护气象信息安全。第四。充分利用防火墙来阻止病毒入侵，及时的对防火墙进行更新，对进出信息的安全性进行检查，阻止危险因素进入到气象信息网络，实现对内部网络的监控，从而保护气象信息网络的安全。

三、结语

计算机网络的不断发展给计算机信息网络带来了方便的同时也带来了安全风险，因此要充分考虑各方面因素，采取科学有效的防护措施保护气象信息网络的安全。

参考文献

[1]朱倩雨,王帅.浅谈气象信息网络安全策略及技术[J].通讯世界,2015(15):54-55.

篇2

【关键词】电网；信息网络；安全；防范措施

1 引言

通常人们谈到电网时，大多指的是这些输电配电的网络。但其实电网还有另外一张“网”，就是用于传递信息的互联网。在当前我国电力信息化迅猛发展的过程中，调度中心、电力局、电厂与用户之间的信息通信更为频繁。各种与电力相关的生产、管理、运营网络与“电”一样，成为电网必不可少的重要组成部分。这些网络除了带来更为便捷、高效的工作方式外，也附带了病毒入侵，安全漏洞等网络负面因素。

如何能够确保电网的信息传递完整准确，使得输变电网络有效地运转，为国家各项建设提供基础保障，是当前乃至今后的电力工作中的一项重中之重。

2 电力信息网络安全分析

与普通互联网一样，电力信息网络也同样需要面对各种各样的网络安全威胁，包括对各种网络设备，对网络中传递的信息的威胁，甚至是对不完善的管理制度的威胁。下面本文就电力信息网络可能存在的安全问题进行了分析。

1）网络设备可能存在的安全隐患。目前，不少计算机机房并没有防火、防水、防雷击、防电磁泄漏和干扰等措施。在遭遇自然灾害和意外情况时，抵御能力较差；由于噪音或者电磁干扰，可能导致信号的信噪比下降，误码率增加，破坏信息的完整性；人为造成的设备损坏甚至窃听，更是严重影响了信息的安全性。

2）网络本身的安全。信息网络本身在下面几个主要方面存在安全漏洞：网络系统的结构、软件漏洞、病毒入侵。互联网是一个由无数局域网组成的巨大网络。当人们在局域网间进行通信时，这些信息数据流通常要经过许多网络设备的重重转发，任意两节点间的数据包，不仅会被这两个节点的网卡所接收，也会被处在同一个以太网中的任何一个节点的网卡所捕获。黑客只需要侵入这一以太网上的任一节点，就可以截取在这个以太网上传输的所有数据包。因为互联网上大多数的数据包都没有经过加密，所以黑客通过各种手段很容易对这些数据包进行破解，窃取有用信息。因此，选择合理的网络拓扑结构是信息网络组建时的首要工作。

3）位于网络中的主机或其它设备上的软件可能存在安全漏洞，但没有及时升级更新或打上补丁，又或者软件配置存在安全隐患，使其容易受到攻击也存在感染病毒的可能。

4）蠕虫病毒、ARP欺骗病毒等可能导致网络全部瘫痪。一旦有计算机中的文件感染蠕虫病毒，那么这台计算机和这些文件本身也是蠕虫病毒，可能随着网络的传播，干扰整个网络，使业务无法正常进行。

5）管理制度和人员的安全意识也是网络安全的一大威胁。企业在管理上缺乏必要的规定和监管，对重要甚至的设备或信息的管理不到位，未设置专门的部门或者人员进行专业管理。对员工上网的行为未做必要的规范，导致员工可能通过电子邮件或者其它即时通信方式向外传递敏感信息，泄漏企业机密。

一些员工在信息安全方面的意识较差，例如共享主机或关键设备的账户或密码，密码设置随意，在对外联系时也没有注意到信息的敏感性。这些有意或无意的行为都对电力信息网络带来了安全威胁。

3 电力信息网络安全防范措施

3.1 加强网络安全观念，提升安全防范意识

信息网络安全工作的前提，是提高人员的思想意识。首先要加强宣传教育，使全体人员充分认识到信息网络安全的重要性，树立网络安全观。其次，可以通过丰富多样的培训内容和方式，对全体员工进行网络安全知识的培训，并通过理论考试或者上机实践等方式，让大家充分理解和掌握网络安全的基础知识和技能。再者，员工都应该自觉地遵守信息安全管理的各项规定，培养对网络安全工作的主动性和自觉性，保证信息网络的安全。最后，各级领导也应该转变观念，充分认识到信息网络的安全风险，加大在网络安全方面的投入和工作力度。

3.2 结合多种技术手段，构建安全的信息网络

3.2.1物理的安全防护

物理的安全防护包括物理的分区和各种设备的安全两个方面。

根据国家《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等文件的要求，电力行业的物理分区必须明晰。根据业务的不同，划分为生产控制区和信息管理区两大部分。其中，生产控制区又分为主控制区和非控制区，信息管理区又分为信息内网和信息外网。这些不同的区域分别采用不同的保护等级，并且使用物理隔离装置也就是专用的防火墙，进行隔离。

各区域内部和区域之间的通信设备必须严格按照国家规定，采购品质好，安全性能高的设备。不仅如此，在运输、安装、使用的过程中也要加强安全措施，除了注意防火、防盗、防水、防潮、防静电等外，还需要对重要的设备进行防电磁辐射保护。当设备出现故障或超过使用期限时，要及时处理或销毁。不同安全级别的设备要区别处理，要注意对送出单位进行修理的设备上存储的信息的安全。设备的销毁则一定要送入国家专业机构进行处理。

3.2.2逻辑保护

逻辑的保护主要是进一步将网络进行分区，增加网络防护的深度。当出现入侵时，入侵者需要破解多层的防护。这样即提高了入侵的难度，也为主动防御增加了时间。通过设置交换机或者路由策略，将核心部门的主机集中在一个没有其它用户节点的VLAN中，更好地保护主机中的资源；也可以按照部门或者业务分工划分VLAN，各部门内部的用户节点或服务器独立存在于各自的VLAN中，互不干扰，从而防止病毒的传播和黑客攻击。

3.2.3防火墙

防火墙是一套由应用层网关、包过滤路由器和电路层网关等组成的系统。逻辑上，它处于企业内网和外部互联网之间，提供网络通信，保证企业内网能正常安全地运行。根据防火墙的作用不同，分为两类，主机防火墙和网络防火墙。前者主要在主机受到攻击时进行保护；后者为网络协议的2至7层提供防护。

3.2.4入侵系统

入侵检测系统（IDS）是主动防御攻击的网络安全系统。这一系统通过收集，分析网络的行为、安全日志、数据以及计算机系统中关键点的信息，查看系统或网络中是否有违反安全策略的行为或者被攻击的可能。它与防火墙一起，完善了整个网络安全的防御体系，是网络安全的第二道闸门，在电力信息网络安全工作中发挥着重要作用。其在整个网络布局中的位置示意图如图1所示。

3.3 完善网络安全制度，强化安全管理

要做好电力信息网络安全工作，技术是保障，而管理是关键。因此，需要有一套严密有效的网络安全管理制度，无论是技术人员还是普通用户都需要严格遵守和执行管理规定。这些制度包含几个方面。

1）信息监管。各区域的网络，尤其是信息外网的使用者在上网时，需要加强审查，规范上网信息，以及上传和下载信息的行为。严禁携带，传播信息和不健康的信息，必要时可以使用带保密功能的终端，杜绝有意和无意的泄密事件。

2）设备管理和使用。对各种软、硬件设备，在采购、运输、安装、使用和报废等关键环节，都需要登记造册，由专门的部门以及专人负责保管和维护，确保设备的安全。针对密级较高的设备，可以由专人负责分类存放，甚至可以配置专人专机。一般情况下，不允许使用个人设备、未登记备案的办公设备、未经加密处理的设备接入网络。

3）存储和备份管理。各种存储信息的介质，都需要统一编号登记，按照级别分门别类存放，由专门的部门专门的人员负责。数据是保证信息网络安全的核心，而数据备份是保证数据不受损失的最佳方法。为了防止设备意外损坏、人为操作失误或者其它未知因素导致的数据丢失，需要制定完备的备份恢复策略，保证及时有效地恢复数据，避免系统瘫痪。可以结合实际情况，采取增量备份，完整备份，或者利用第三方工具进行磁带备份等等技术手段，提高数据的安全性，保证数据的完整性。

4）风险评估和检测。在专业的网络安全服务公司的帮助下，结合电力信息网络安全的实际，加强各部门间安全信息的交流与共享，建立风险评估机制和管理机制。持续研究和发现网络安全漏洞或者缺陷，评估面临的风险和威胁，并且寻求相应的补救方法，做到防患于未然。

3.4 加强人才培养，提高人员素质

成立专门负责信息网络安全的部门或者小组，选择具有专业水平或者学历的人员担当管理人员、技术人员。通过开展学术交流，进修，内部培训等多种方式，对这些人员进行系统全面的培训，在加强责任心，业务能力培养的同时，也加大对计算机网络安全技能的培训，不断更新人员的知识结构。掌握最新的安全防护技能。此外，还可以引进人才，充实到信息网络安全的各个工作岗位。

4 结束语

电力行业是国家的基础行业中尤为重要的一项，关系到国计民生。如何保障电力的稳定运行，如何让电力保障人民生产生活的正常进行，是电力行业一直面临的问题。这其中，电力信息网络的安全工作随着互联网的进一步发展，将会是电力行业的一项新的挑战。

本文通过对电力信息网络中存在的风险进行分析，并从管理和技术上提出几种安全防范措施。目标在于更好地满足电力信息网络安全稳定运行和数据资料的保密性，从而为电力在国家各项建设中发挥作用提供更有利的保障。

参考文献

[1] 李涛.网络安全概论[M].北京：电子工业出版社，2004.

[2] 王宏伟.网络安全威胁与对策[J].应用技术.2006，5.

[3] 余勇. 电力系统中的信息安全策略[J].信息网络安全，2003，9.

[4] 王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息，2010，7.

[5] 钟婧文，崔敬.信息系统网络安全问题研究[J].科技致富向导，2010，5.

[6] 魏晓著，柳英楠，来风刚.国家电力信息网信息安全防护体系框架与策略.计算机安全，2004，2.

篇3

【关键词】电力系统信息网络安全问题防护措施

1 引言

有效地保障电力企业的安全和保障电力信息网络安全，对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展，信息化系统已经在电力企业中受到广泛应用，实现了信息化网络管理。但由于信息网络中存在的问题，导致电力信息网络安全时有发生，有必要对此进行分析，并且采取安全保护措施，确保电力信息网络安全和电力企业的稳定发展。

2 电力系统信息网络存在的安全问题

2.1 网络病毒

电力系统信息网络安全中，最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒，轻则是对电力信息系统的正常运行受到阻碍，使数据丢失、信息不能及时共享；严重则会导致电力信息系统瘫痪，整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外，电力设备还可能因此遭到网络病毒的破坏，造成不可估量的损失。

2.2 黑客攻击

在电力系统信息网络运行的过程之中，网络安全问题也会因为受到黑客的攻击而出现，导致电力系统信息网络安全出现故障，甚至会造成大范围的电力故障发生，具有非常大的危害力，这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量，假如被黑客攻击获取机密信息，则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多，比如利用数字控制系统（DCS）对电力企业的基层系统进行控制，造成基层系统瘫痪。此外，黑客也可以利用某个系统对其他系统进行控制和破坏，对电力系统造成非常恶劣的影响。

2.3 脆弱的身份认证

电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发，而基本上都是使用口令为用户身份认证的鉴别模式，而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式，用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今，这种脆弱的安全控制措施已经不再适用。

2.4 内部恶意操作

电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制，加入人的因素存在主管恶意，则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全，但是只能防范人的控制，一旦出现人为因素，大灾难将会降临到电力信息系统上。

2.5 信息网络安全意识淡薄

在电力信心网络的建设以及运营过程之中，安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新，电力信息网络的安全等级也逐渐提高。但是，不能否认的是，实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题；另一方面则是超高的安全防护技术带来高昂的成本，电力企业的效益降低，导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高，同时网路安全人员的安全防护意识缺乏，出现违规操作、不按照规范进行操作等现象发生而出现问题。

2.6 信息网络安全制度缺失

随着电力信息化程度的不断深入，要加强信息网络安全制度的规范，不断创设完整的信息网络安全防护制度显得非常重要，这样才能够确实提高电力企业信息网络安全，保障企业经济效益。当时目前而言，在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度，很大程度上对电力系统信息网络安全造成危害，影响电力信息化水平提高。同时，在电力系统信息网络运行，由于缺乏科学的安全管理制度，很容易在运行过程之中出现大漏洞和缺陷。

3 电力系统信息网络安全防护的具体措施

3.1 提高对安全性的认识

第一，电力企业要加强对电力系统信息网络安全的认识，要将网络信息安全防护体系完善建立，采用分层、分区的管理方法，其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区，并且隔离区城之间的网络物理隔离设备。第二，加强人员素质管理，通过网络安全培训和技能训练，将网络管理工作人员的素质和能力提高。最后，对信息网络体系的密码、技术、数据管理要加强，切实将电力系统信息网络安全系数提高。

3.2 做好信息网络系统的维护与支持工作

在现实电力系统信息网络安全防护中可以采取以下几种安全技术：第一，防火墙技术。网络与网络安全领域的连接入口是防火墙，因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息，保证电力系统信息网络的安全。因此，在日常工作中要对防火墙的访问设置相应的权限，对非授权连接进行强力防护。第二，漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测，根据检查情况对设备检测风险进行评估。假如存在安全问题，则要及时采取防护措施进行修复，这样才能够有效避免安全问题发生。第三，数据加密技术。所谓的加密技术，就是对网络传输数据的访问权进行限制，也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露，有效保证电力系统鑫鑫网络安全，确保能够正常稳定地运行。

3.3 构建科学完善的安全防护体系

在信息化网络的运营过程之中，科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查，有条不紊地针对加强安全防护，将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系，切忌技术盲目建设，要科学准确地建设信息化安全防护体系。与此同时，在建设防护体系过程之中，考虑到电力信息网络的功能和板块非常多，因此需要技术人员从整体把握安全防护体系，要遵循全面科学原则建设信息网络安全防护体系，使电力系统信息网络的各个功能的安全等级不断提升，能够有效地提升电力系统信息网络的安全效益和质量。

3.4 建立完善的电力系统信息网络监控中心

为了能够提高电力系统信息安全，一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合，监控中心可以在各信息网管中心建立，这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防，防患于未然，保障系统不会发生异常或故障。

3.5 加强网络设备的管理和维护

在电力企业信息网络安全管理中，网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命，因此电力企业的安全管理人员要对这些设备进行定期检查和维护，对电力设备及时进行更新更换，从源头上强化信息安全。对于电力企业而言，要及时更新网络技术、更新系统和技术，要做数据备份；对于终端密码及时更换，设置难以破解的密码，以免被窃取。

4 结语

为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全，一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失；因此要通过加强网络安全管理和充分利用先进的网络技术，构建电力系统信息安全防范体系，确保电力系统信息网络能够高效稳定运行。

参考文献：

篇4

关键词：电力信息网络；网络安全；安全体系；策略

伴随着中国电力信息化的发展，电网、电厂与用户通过网络实行信息资料的交流逐渐普遍化，使得电力控制系统不断融入公司信息网络。就电力企业信息网络而言，其安全性能的好坏亦变得尤为关键，倘若其系统遭受到严重的损坏，将会发生停止传输电压的事故，更可能出现大面积停电的现象［2］。所以需要不断探究如何确保电力系统信息不受损害，拟定确保该系统安全的有关制度。在确保电力公司外部安全的同时，亦需要找到公司的自身因素，考虑到控制与调节机制等生产网络存在的安全隐患。就外部因素而言，首要为攻击、盗窃、恶意损坏等行为；而就自身因素而言，首要为盗取密码、病毒、泄露机密等行为。因为公司内部员工无意识或是有意识而导致出现的关键数据资料的泄露等现象，均将对公司带来严重的经济亏损与信誉损失等。操控与调节等网络生产时所具有的潜在风险将直接对电网本身构成极大的威胁。本文论述电力企业信息网络所具有的各种安全漏洞，同时解释了为何会出现这些漏洞，介绍了将要出现的首要攻击形式，并且给出了维护电力企业信息网络安全的有效对策。

1电力企业信息网络安全概述

我国相关机构与各个层次的电力企业均极为关注电力信息网络的安全性，拟定出与企业相匹配的安全维护措施，各个层次的电力企业亦就防范安全的手段与治理等层面采用大量有效的策略。电力系统信息安全的模范工程首先在辽宁与江苏省地方落实，同时初步创建了电力信息系统的总体防护机制，包含主机、数据资源、应用系统、网络等防御。最近几年来，电力公司的信息化建设的核心是创建优化该网络安全系统。不同的电力公司从巩固电力调度数据库的安全性、确保电力安全生产等角度巩固网络的安全保障实力。大部分的电力公司均提高了网络身份识别度、防攻击与防病毒等防范危机的硬件与软件开发。国家电力信息化委员会就该行业的信息化建设开展了科学的抽样调查，其结论表明信息的网络和安全投资在电力信息化建造投资中所占比重均超过其他方面，就电力企业信息网络而言，均创建防火墙系统，而创建网络防病毒系统的为92．30％；创建漏洞扫描系统仅为50％左右；61．50％的企业信息网络创建了入侵检测系统；而仅有38．46％的信息网络创建了身份认证系统等安全举措［3］。就拟定与完善信息网络安全的治理机制、强化与规范网络和信息安全的治理、设置网络安全治理单位等层面，各个电力公司均取得了成就，而且还把该网络安全治理归于电力安全生产管制系统，使得对网络安全治理的关注度与电力生产安全一样。网络运行率接近100％，创建出信息网络安全运营报告与监管等机制，提高确保网络和信息安全的水准，防止自然灾害的发生，确保其能够平稳、安全的运转。

2电力企业信息网络面临的安全风险

电力企业信息网络将要面对的安全风险总体上能够划分成以下几种：首先是网络资料的危机，其次为网络设施的危机。就电力系统而言，为确保电力业务系统的安全性，其重点在维护电力信息资料的安全，其中包含了数据处理、保存与传输等层次的安全。网络安全不仅仅为简单意义上的安全，而是电力企业信息网络的总体安全，其中包含了治理与技术层面。网络安全是实时的，即网络安全层面的变化将伴随时间的改变而改变。电力企业信息网络安全可能是人为的、无意识的或是自然灾祸，可能为由公司内部的泄密或为公司外部的攻击等。信息网络系统安全要在治理网络与运用安全等层面实行全方位的保护。不管任何一个层面出现了漏洞，均将导致安全危机的出现，从而导致网络安全事故的发生。下面与电力信息网络系统的特性相结合实行解析［4］。

2．1物理安全风险

电力企业信息网络的物理安全风险首要为雷电、水灾、火灾、地震等自然灾害而导致传输中断、数据流失等难以估算的亏损，以及由于地线接触不良、外部电磁干扰等因素导致业务系统出现故障，同时还有电磁辐射、重要资料被盗取或是偷阅、机房的电力设施与其配套设施自身不足而导致信息系统不能正常运行等。

2．2网络安全风险

（1）电力动态系统的安全风险：因为生产机构存在着对于电网的操控，所以当攻击者经过信息网络来实行对动态网络系统的入侵时，所采取的所有操作行为均会对操控的电力设施产生较大影响，可能会导致出现难以估量的后果，对电力生产的安全性造成了极大的威胁；（2）网络体系构造的安全风险：电力信息网络平台作为所有网络应用系统的根基，网络体系构造就显得尤为关键，就电力信息网络而言，其框架是由许多的局域网与广域网共同构成的，其构造较为繁杂，公司自身的办公网、业务网等之间是否实行有效隔离、是否合理安置路由器、防火墙等网络设施，就网络安全需求与网络构造出现变动时，网络安全层面是否能够得到及时的调试等均和安全风险存在着关联；（3）网络通信合约的安全风险：伴随网络时代的发展，TCP／IP协议已经在各个网络里得到普遍应用，然而TCP／IP协议等有关软件，由于本身安全性能较低，将导致网络中出现较多的安全风险，入侵者能够运用网络协议的疏漏实行有效入侵或是盗取数据资料。造成如系统瘫痪，实行窃听，盗取用户密码与线路拥塞等事故。

2．3系统安全风险

（1）操作系统安全风险：基于对操作系统的保护，从而得以确保系统安全管理。不管是网络设施里的操作系统，或是各种业务与办公用的计算机等设施应用的Windows操作系统均存在缺陷，而此类的缺陷可能将给整个网络信息系统造成严重的损失。最为常见的网络安全风险即为由于操作系统存在缺陷而造成的安全风险；（2）数据库漏洞风险：电力企业信息网络通常采取安全性能较好的ORACLE或是SYBASE等数据库，然而还是具有一定的安全隐患。而基于此数据库创建的各个类别系统软件，就数据的安全治理层面亦具有多多少少的安全漏洞。数据库漏洞风险主要包含非授权访问者的访问、经过对口令而获取管理者的权限、数据库服务器本身具有缺陷而容易遭到入侵等漏洞。数据库的有关信息资料因为硬件的损坏或是软件的崩溃而造成不可复原的危机。（3）入侵者造成的危机：木马、拒绝服务、扫描网盘、用户渗透、系统渗透、网络监听与操作系统具有的安全风险等各个方面的安全漏洞而获取合法用户的IP地址、运用操作系统的类别、ID、口令等数据资料，从而采用攻击程序实行有效攻击、盗取关键数据资料、让网络传输中断甚至让系统崩溃等。所以需要就各个安全等级的网络实行有效隔离，防止数据资料的外漏，并且还需要就服务请求实行筛选，仅同意科学合理的数据包实现与对应主机相连接，其余的指令要求到达主机之前就要拒绝。

2．4应用安全风险

（1）授权控制和身份验证风险：倘若只依赖于用户ID与口令的确认仍存在着漏洞，易被猜到或是窃取，将导致出现极大的安全风险。因此，CA第三方认证与静态口令改为动态等方式得到大量公司的认可。然而，倘若应用与治理不合理，仍然无法避免安全风险。所以要求把运用服务与外部信息系统作为根基，创建完善的授权控制制度和用户身份验证，从而实现区分各个用户与访问者的目的，同时给予他们各自应有权利。（2）数据传输的健全性风险：大量的电力信息要在Internet或广域网上实行共享，因为Internet与广域网的特点导致了此类重要数据资料在传送的过程中具有欠缺、不准确现象，可能被人改写。那么就需把In－ternet的虚拟专用网（VPN）作为基础，同时与电子签名、信息传送加密等方法相结合，来减少应用安全风险。

2．5管理层安全风险

网络的安全需要人的治理，而安全制度的实施者依旧需要人来完成，所以治理是整个网络安全里尤为关键的步骤，特别针对规模庞大与繁杂的网络系统，更是如此。管理层的安全风险首要为公司自身，其对网络安全能够造成极大的危害，而此危机是难以仅依赖计算机与网络科技处理的。

3电力企业信息网络安全策略优化路径

为了完成全面、综合的网络安全维护的标准，把针对该信息网络的安全剖析、危机解析、网络安全体系探究与网络级别划分等作为探索的根源，在科技与治理层面处理网络所存在的安全漏洞［5］。创建电力企业的总体安全评价体系为完成信息网络安全策略优化的核心所在，创建总体安全评价体系，才可以预防网络安全危机的发生。安全评价体系应在安全技术层次给出合理的网络层、物理层［6］、系统层、用户层、应用系统层等，提高网络信息系统的安全性。电力企业信息系统是一个繁杂的网络系统，需实行整体的安全评价，以便认识到眼下的系统安全状况与系统里具有的各类安全隐患，同时基于此，有针对性、有计划性地拟定电力系统的安全措施。就网络安全评价而言，其包含了整体分析、抽样评估、人工解析、策略与方针的拟定等。按照可能具有的安全风险点，依次给出相关处理手段。（1）物理层安全：物理安全指处理信息网络系统的设施、线路与其余媒体等物理层面的安全性能，即为对网络系统设施、线路与其余媒体避免水灾、火灾、地震与雷电等自然灾害与人为事故或是各种网络犯罪行为而造成损坏。物理安全为网络信息安全的根基所在，为不可忽略的组分与整个系统的核心。（2）网络层安全：电力企业信息网络中的生产管理区域、管理信息区、实时控制区域与非控制生产区域之间，企业的广域网和主干网之间等网络边界均具有安全隐患。处于相同安全区间的计算机与网络能够随意链接，而不同区间内的计算机与网络一定采用科学合理的维护举措，仅让被通过的数据包自由进出此安全范围。该信息网络的网络界限安全规划主要实施入侵检测技术、物理隔离设备与网络防火墙等。（3）系统层安全：本层面的安全以网络里使用的运行系统的安全为首要因素，例如：WindowsXP与Unix等，采用添加操作系统补丁与安全漏洞扫描等手段。（4）用户层安全：就用户的安全性问题而言，仅同意合法用户运用电力企业信息网络里有关数据信息。按照各种安全等级把用户划分成不同的小组，每个小组之间的用户仅可以访问相对应级别的系统数据信息。针对各个组别的用户给予不同的权利，设置相对的治理战略方针，让各个用户就网络与系统信息的运用层面存在着不同的约束。（5）应用层安全：本层面突出的安全问题总体上是因为实行服务时选取的应用系统与数据库的安全性所引发，在这之中存在以下层面的安全风险：a．程序赋予数据的合法性；b．程序赋予用户的合法性。

4结论

伴随电力应用不断地融入企业信息网络，电力企业信息网络的安全变得尤为关键。就电力企业信息网络而言，倘若发生了网络安全事故，会给电力企业的安全生产带来较大的消极作用，甚至会影响电力的持续传输，造成较大的资金亏损与社会影响。所以，基于对企业信息网络构造与应用的充分了解，解析信息网络的安全需要与具有的安全风险，按照网络安全制度针对公司信息网络而实施的划分等级保护的方式来创建网络安全维护策略与措施，同时按照网络安全风险的变动与安全技术水准的提高，合理调控相关安全规划与防范举措，从而使得电力信息网络的安全维护获得较好的成效，进一步确保电力生产运营活动的安全性。

参考文献：

［1］辛耀中．新世纪电网调度自动化技术发展趋势［J］．电网技术，2001，25（12）：1－10．

［2］中国电机工程学会电力信息化专业委员会．电力信息化发展综述报告［J］．电力信息化，2005，（3）：20－25．

［3］吴强，刘蓉雷．电力企业信息网络安全分析与防范措施［J］．计算机安全，2004，（6）：7－9．

［4］余勇．电力系统中的信息安全策略［J］．信息网络安全，2003，（9）：31－32．

篇5

【关键词】通讯企业；信息网络;网络安全;控制通讯

企业信息网络比较复杂和繁琐，不仅包括受理人的资料，而且还有相关产品的详细资料以及企业内部员工的资料等，信息网络系统能否正常运行，直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展，经常存在各种各样的要素威胁着系统的安全，从而损坏甚至丢失内部的重要信息，从而影响通信企业内部正常的运作，最终导致一系列损失[2]。因此，对于通信企业信息网络安全的控制刻不容缓，应该加大力度提高系统的安全性能。

1.信息网络安全概述

信息网络安全是指通过各种各样的网络技术手段，保证计算机在正常运行的过程中处于安全的状态，避免硬件及软件受到网络相关的危险因素的干扰与破坏，同时还可以阻止一些危险程序对整个系统进行攻击与破坏，从而将信息泄露和篡改等，最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心，并且能够通过用户的操作，实现基本的应用目的。在信息网络的安全维护中，主要包括两个方面。一是设备安全，包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全，主要指的是数据的备份、数据库的安全性等。

2.通信企业信息网络面临的主要安全威胁

2.1人为的恶意攻击

目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击，人们采取各种各样的方式对于信息进行选择性的破坏和控制，从而造成机密信息的丢失和篡改。

2.2人为的无意失误

通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行，在日常管理和培训的过程中，会无意的使相应的措施处理不当，这是在所难免的，当工作人员因为自己的原因导致操作不当，会使信息网络系统出现或多或少的漏洞，还有可能造成设备的损坏，这些都是由于人为的无意失误造成的后果[4]。

2.3计算机病毒

由于计算机网络的复杂性及联系性，在工作过程中会尽可能的实现资源共享，因此所接收的结点会有很多。由于无法检测每个结点是否是安全的，因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后，病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统，最终将波及整个网络，后果将不堪设想[5]。

3.通信企业做好信息网络工作的措施

3.1对内部网的访问保护

（1）用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证，其次进行用户口令进行验证，最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令，用户口令需要同时进行系统的加密从而保护网络的安全，并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。（2）权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则，这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源，从而从根本上阻断这条途径。在进行权限设置的过程中，一定要遵守一些原则，第一，一定要合理的设置网络权限，确保网络权限设置的准确性，不能因为所设置的权限从而影响了整个网络的正常工作，影响了工作的整体效率；第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵，从而从一定程度上保证网络的正常运行，对网络信息数据使用系统性的加密来确保网络安全性和合理性，最终实现对计算机所有结点信息的实时保护。（3）加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密，当数据加密后，只有特定的管理人员可以对其进行解密，在数据加密的过程中主要包含两大类：对称加密和不对称加密。

3.2对内外网间的访问保护

（1）安全扫描。互联网互动过程中，及时的对计算机安全卫士和杀毒软件等进行升级，以便及时的对流动数据包进行检测，以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。（2）防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障，是一种加强网络之间访问控制，以此来决定网络之间传输信息的准确性、真实性及安全性，对于计算机的安全与正常运行具有重要的意义[7]。（3）入侵检测。计算机当中的病毒传播的速度较快且危害性极大，为此应该对网络系统进行病毒的预防及统一的、集中管理，采用防病毒技术及时有效的进行杀毒软件系统的升级，以便对网络互动中发现的木马或病毒程序采取及时的防护措施。

3.3网络物理隔离

在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护，而应该根据网络的复杂性采取不同的安全策略加以控制，因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异，通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系，能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离，在不同的时间运行，那么就可以得到两个完全物理隔离的系统[8]。

3.4安全审计及入侵检测技术

安全审计技术对于整个信息网络安全的控制起到了关键性作用，它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录，主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞，可以在一定程度允许入侵者在一定时间内侵入，以便在今后能够获得更多的入侵证据及入侵的特征；当获得足够多的特征及证据的基础上开始进行反击，通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源，从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。

3.5制定切实可行的网络安全管理策略

要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全，必须针对网络安全提出相应的安全策略，应该使信息网络使用起来安全方便，从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求，并且在工作过程中试图寻求两者的共同点和平衡点，当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估，从网络安全技术方面为保证信息基础的安全性提供了一个支撑。

信息网络的发展需要计算机技术具有跟高的要求，特别是针对通信企业的信息网络安全的控制问题应该加以关注，这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程，需要从多角度进行思索与探讨从而进行综合性的分析，才能选择出更好地安全网络设备，并且对其进行有针对的系统的优化，从而提高管理人员及工作人员的业务水平，最终全面提高整个通讯企业信息网络安全。

作者:王春宝于晓鹏单位:吉林师范大学计算机学院

参考文献

[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.

[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.

[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.

[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).

[5]王芸《.电子商务法规》.高等教育出版社,2010年版.

[6]张新宝主编：《互联网上的侵权问题研究》,中国人民大学出版社,2003年版.

篇6

关键词：HTP模型；移动平台；安全加固

中图分类号：TM769 文献标识码：A 文章编号：1671-2064（2017）05-0168-02

1 概述

HTP模型[1]是中国IT治理研究中心提出的“以人为本”的信息安全体系模型，其主要结构抽象描述包括[2]：人员与管理（Human and management）、技术与产品（Technology and products）、流程与体系（Process and Framework）。

2 网络架构与技术

通过对电力公司移动交互平台网络架构的分析，总结出网络中存在的安全薄弱点。针对这些薄弱点，在网络架构和技术方面提出如下几点建议。

（1）对信息外网进出口提供更多样的防护措施，并增加备用线路，防止单点故障。建议在信息外网进出口设立统一威胁管理系统（UTM），具体拓扑如图1所示。作为电力公司移动交互平台网络的边界，面临的混合式攻击越来越多，传统的安全解决方案如单一的防火墙功能、入侵检测功能已经无法有效解决这种混合式的攻击威胁，而全面地设立多种独立功能的安全设备往往需要巨大的投资成本，并且设备过多会带来更高的管理成本。统一威胁管理系统将各种安全防护功能集中到一个设备上，在增加安全性的同时，很好的控制了资费成本与管理成本。

（2）在信息外网的支撑服务处增加入侵检测系统（IDS），具体改进拓扑如图2所示。支撑服务作为移动应用的内容提供者，在信息外网中是黑客主要的攻击目标，并且移动应用提供的业务是已知的，所以用户的请求行为是可以预测的，这种情况下使用IDS是非常好的选择。根据对用户业务请求行为的预测，将正常行为与不正常行为归纳建立模型。使用入侵检测系统，采用异常检测和误用检测两种模式相结合的方式对流量进行检测。

（3）在信息外网与信息内网中同时增加安全审计系统。在信息外网使用安全审计，可以对用户访问移动应用服务资源的行为进行安全审计，并且可以对移动应用操作内网数据的行为做详细记录，通过审计系统的日志，不仅可以对潜在威胁进行分析，并且可以提供事故发生的线索做出评估，快速进行故障恢复，提供责任追究的依据。信息内网使用安全审计，可以对内部员工的操作进行管理。审计系统可以成为追踪入侵、恢复系统的直接证据，所以，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制，避免日志被篡改。

（4）在信息内网的数据库服务器处增加数据库防火墙，具体改进拓扑如图10所示。数据库防火墙所采用的主动防御技术能够主动实时监控、识别、告警、阻挡绕过企业网络边界（FireWall、IDS＼IPS等）防护的外部数据攻击、来自于内部的高权限用户（DBA、开发人员、第三方外包服务提供商）的数据窃取、破坏、损坏的等，从数据库SQL语句精细化控制的技术层面，提供一种主动安全防御措施，并且，结合独立于数据库的安全访问控制规则，帮助用户应对来自内部和外部的数据安全威胁。

3 人员管理机制分析

3.1 健全以责任分离和安全考核为原则的用人系统

信息网络安全人员的使用具有一些特殊的要求，必须以安全可靠为最高原则。相应地，应该健全以责任分离和安全考核为原则的用人系统。

一方面，在用人过程中必须坚持责任分离的原则。其具体要求是：（1）明确信息网络安全系统中每个人的职责，要求“谁管理，谁负责”；（2）关键岗位的人员不得再兼任其他职位，严格控制使用兼职人员；（3）重要的任务有两人以上共同完成，避免一个人保管组织所有安全信息；（4）坚持岗位轮换原则，确保一个员工的工作有另一个员工进行审核。

另一方面，信息网络安全人员一旦录用，就要确定其职责范围，对其实施安全考核，重点考核其安全事故发生情况。信息网络安全人员考核不能像一般工作人员那样以年终考核为主，而应加强平时考核以实现日常监控，对其考核时间越短，就越有利于确保安全；而且，不仅考核工作时间内的表现，也考察工作时间外的表现，比如生活作风与非工作行为是否正常等。

3.2 推行以增强意识和战略开发为指导的育人系统

信息网络安全工作是一种长期而艰巨的工作，保密意识贯穿始终，但随着时间的推移，信息网络安全人员难免产生工作倦怠，其“保密之弦”也会出现松弛。因此，国网公司应该不断强化保密意识培训，以形成坚固的信息安全“思想意识防线”。而且，还应该立足信息安全战略规划与开发信息网络安全人员，以长远眼光加强信息网络安全人才培养。

3.3 实施以目标激励和待遇倾斜为特色的留人系统

信息网络安全工作任务重、压力大、内容单调，加上工作环境封闭，容易使信息网络安全人员人心不稳。因此应该通过目标激励，增强他们对自己所从事工作的荣誉感、神圣感和责任感，促使他们安心工作。而且，由于信息网络安全人员作用特殊、责任大、风险高，因此在待遇上应该给予倾斜。

4 结语

本文通过对典型内外网网络安全防护方案的研究与对电力公司移动交互平台网络结构分析，结合典型的HTP网络安全体系模型，针对电力公司移动交互平台网络安全薄弱点，提出关于电力公司移动交互平台网络加固的建议，对电力公司移动交互平台安全提升做了有益的探索。

参考文献

篇7

0引言

随着光纤宽带、移动电话、移动互联网的普及，通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进，通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来，伴随着互联网技术在全球迅猛发展，信息化给人们提供了极大的便利，然而，同时我们也正受到日益严重的来自网络的安全威胁，比如黑客攻击、重要信息被盗等，网络安全事件频发，给人们的财产和精神带来很大损失。但是，在世界范围内，黑客活动越来越猖狂，黑客攻击者无孔不入，对信息系统的安全造成了很大的威胁，对社会造成了严重的危害。除此之外，互联网上黑客网站还在不断增加，这就给黑客更多的学习攻击的信息，在黑客网站上，学习黑客技术、获得黑客攻击工具变得轻而易举，更是加大了对互联网的威胁。如何才能保障信息系统的信息安全，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。

在通信领域，信息安全尤为重要，它是通信安全的重要环节。在通信组织运作时，信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面，小到人与人之间联系的纽带，大到国与国之间的信息交流。因此，研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知，未来的社会是信息化的社会，网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点，如果信息安全防护工作跟不上，一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此，信息安全防护不仅是未来战争胜利的重要保障，而且将作为交战双方信息攻防的重要手段，贯穿战争的全过程。一旦信息安全出现问题，可能导致整个国家的经济瘫痪，战争和军事领域是这样，政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡，关系到世界的安定和平。比如，美国加利弗尼亚州银行协会的曾经发出一份报告，称如果该银行的数据库系统遭到网络“黑客”的破坏，造成的后果将是致命的，3天就会影响加州的经济，5天就能波及全美经济，7天会使全世界经济遭受损失。鉴于信息安全如此重要，美国国家委员会早在2000年初的《国家安全战备报告》里就强调：执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》，第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来，我国也越来越重视信息安全问题，相关的研究层出不穷，为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分，它不仅体现在军事信息安全上，同时也涉及到政治、经济、文化等各方面。当今社会，由于国家活动对信息和信息网络的依赖性越来越大，所以一旦信息系统遭到破坏，就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱，其后果不堪设想。由于我国信息化起步较晚，目前信息化系统大多数还处在“不设防’，的状态下，国防信息安全的形势十分严峻。具体体现在以卜几个方面：首先，全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解，对因忽视信息安全而可能造成的重大危害还认识不足，信息安全观念还十分淡薄。因此，在研究开发信息系统过程中对信息安全问题不够重视，许多应用系统处在不设防状态，具有极大的风险性和危险性。其次，我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上，还是在计算机软件上，我国信息化系统的国产率还较低，而在引进国外技术和设备的过程中，又缺乏必要的信息安全检测和改造。再次，在军事领域，通过网络泄密的事故屡有发生，敌对势力“黑客”攻击对我军事信息安全危害极大。最后，我国国家信息安全防护管理机构缺乏权威，协调不够，对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离，管理混乱，缺乏与信息化进程相一致的国家信息安全总体规划，妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中，特别是军事信息，由于存在扩散和较为敏感的特征，有的人利用了这一特点采取种种手段截获信息，以便了解和掌握对方的新措施。更有甚者，在信息网络运行管理和使用中，更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此，我们更要深层次地加强网络安全方面的观念，认识到信息安全防护工作不仅仅是操作人员的“专利”，它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏

目前，我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用，忽略了一定的安全隐患。技术上的落后，使得设备受制于人。因此，我们要加大对信息网络安全关键技术的研发，避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分，是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防，技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统，并担负着网络攻防对抗的重任。因此，现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏

高级系统管理人才缺乏，已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术，还要熟悉安全技术。既要具有丰富的网络工程建设经验，又要具备管理知识。显然，加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注，如何防范病毒入侵、保护信息安全是人们关心的问题，笔者总结了几点常用的防范措施，遵循这些措施可以降低风险发生的概率，进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份，或预存影像资料，保证资料的安全和完整。设置口令，定期更换，以防止人为因素导致重要资料的泄露和丢失。利用镜像技术，在磁盘子系统中有两个系统进行同样的工作，当其中一个系统故障时，另一个系统仍然能正常工作。加密对网络通信加密，以防止网络被窃听和截取，尤其是绝密文件更要加密处理，并定期更换密码。另外，文件废弃处理时对重要文件粉碎处理，并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件，定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性，保证在使用前对软盘进行病毒检查，杀毒软件应及时更新版本。一旦发现正在流行的病毒，要及时采取相应的措施，保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障，机房的安全尤为重要，要严格监管机房人员的出入，坚决执行出入管理制度，对机房工作人员要严格审查，做到专人专职、专职专责。另外，可以在机房安装许多装置以确保计算机和计算机设备的安全，例如用高强度电缆在计算机的机箱穿过。但是，所有其他装置的安装，都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素(如黑客攻击)对计算机造成威胁，要及时安装各种安全补丁程序，不要给入侵者以可乘之机。一旦系统存在安全漏洞，将会迅速传播，若不及时修正，可能导致无法预料的结果。为了保障系统的安全运行，可以及时关注一些大公司的网站上的系统安全漏洞说明，根据其附有的解决方法，及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的，能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击，也不能阻止恶意代码的入侵，如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战，我们有必要从以下几个方面着手，加强国防信息安全建设。

4.1要加强宣传教育，切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识，树立敌情观念、纪律观念和法制观念，强化社会各界的信息安全意识，营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势，自觉针对存在的薄弱环节，采取各种措施，把这项工作做好;另一方面要结合工作实际，进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来，我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规，但从整体上看，我国信息安全法规建设尚处在起步阶段，层次不高，具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此，我们应当加快信息安全有关法律法规的研究，及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构，研究确立国家信息安全的重大决策，制定和国家信息安全政策。在此基础上，成立地方各部门的信息安全管理机构，建立相应的信息安全管理制度，对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发，提高信息安全防护技术水平

没有先进、有效的信息安全技术，国家信息安全就是一句空话。因此，我们必须借鉴国外先进技术，自主进行信息安全关键技术的研发和运用。大力发展防火墙技术，开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术，加强计算机网络安全管理，为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先，可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识，加大网络安全教育的投入。其次，重要数据和信息要及时备份，也可采用影像技术提高资料的完整性。第三，及时更新杀毒软件版本，杀毒软件可将部分病毒拒之门外，杀毒软件更新提高了防御病毒攻击的能力。第五，对重要信息采取加密技术，密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六，严格执行权限控制，做好信息安全管理工作。“三分技术，七分管理”，可见信息安全管理在预防风险时的重要性，只有加强监管和管理，才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础，是进行信息安全管理和防护的标准。首先，要高度重视安全问题。随着信息技术的发展，攻击者的攻击手段也在不断进化，面对高智商的入侵者，我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时，可以借鉴国外相关研究，尤其是一些发达国家，他们信息技术起步早，风险评估研究也很成熟，我们可以借鉴他们的管理措施，结合我们的实际，应用到风险防范中，形成风险管理制度，严格执行。

其次，应当设立信息安全管理的专门机构，并配备专业技术人才，选拔防范风险的技术骨干，开展对信息安全技术的研究，对系统弱点进行风险评估，及时采取补救措施。完善信息安全措施，并落实到信息安全管理中去。

五、结论

通信在生活中有着广泛的应用，涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点，建立在安全的网络中，保障通信系统的安全，维护信息安全。

篇8

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

1.2我国信息安全面临的形势十分严峻

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

2.2信息网络安全核心技术贫乏

2.3信息网络安全防护体系不完善

2.4信息网络安全管理人才缺乏

三、通信组织运用中的网络安全防护

3.1数据备份

3.2防治病毒

3.3提高物理安全

3.4安装补丁软件

为避免人为因素（如黑客攻击）对计算机造成威胁，要及时安装各种安全补丁程序，不要给入侵者以可乘之机。一旦系统存在安全漏洞，将会迅速传播，若不及时修正，可能导致无法预料的结果。为了保障系统的安全运行，可以及时关注一些大公司的网站上的系统安全漏洞说明，根据其附有的解决方法，及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战，我们有必要从以下几个方面着手，加强国防信息安全建设。

4.1要加强宣传教育，切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识，树立敌情观念、纪律观念和法制观念，强化社会各界的信息安全意识，营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势，自觉针对存在的薄弱环节，采取各种措施，把这项工作做好；另一方面要结合工作实际，进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

4.3要加强信息管理

4.4要加强信息安全技术开发，提高信息安全防护技术水平

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

4.6建立和完善计算机系统风险防范的管理制度

推荐范文