信息安全培训计划方案

2024-11-15

信息安全培训计划方案（精选8篇）

1.信息安全培训计划方案篇一

为进一步提升和田地区公务员对信息化与电子政务的掌握了解与实际应用能力，切实加快政府职能转变，积极提高政府行政效能，全面推进我地区经济建设和社会和谐协调发展，根据中共新疆维吾尔自治区委员会组织部、原新疆维吾尔自治区人事厅《关于在全区公务员中开展信息化与电子政务培训的通知》(新人发〔20XX〕27号)精神，20XX年将在全地区各级公务员中开展电子政务培训。现结合地区干部培训教育工作实际情况，制定本实施方案。

一、培训目标

(一)提高公务员对推进地区信息化和电子政务工作重大意义的认识，增强电子政务工作水平和实际应用能力，促进地区信息化建设。

(二)掌握电子政务建设的指导思想、建设原则、主要目标和任务，以及电子政务工程的组织领导与管理。

(三)掌握信息化和电子政务的基础知识和计算机网上办公实务，了解信息安全在电子政务建设中的地位和作用。(四)从事电子政务工作的专职人员要掌握新疆电子政务发展现状和新疆电子政务建设规划规范。

二、培训内容

(一)国家电子政务建设的指导思想、建设原则、主要目标和任务。

(二)电子政务工程的组织领导与管理、信息化与电子政务基础知识、信息安全。

(三)计算机应用技术及网上办公实务、电子政务与公共服务、新疆电子政务建设规划。

培训教材采用中国人事出版社20XX年新版公务员电子政务培训教材《信息化与电子政务读本》(陈主编;书刊号：ISBN7-80189-450-2)及《新疆维吾尔自治区电子政务建设规划指南》(第二版，新疆维吾尔自治区人民政府电子政务办公室编)。

培训教材由各单位、各县市自行征订。

三、培训对象

全地区各级机关的公务员和参照公务员的法管理单位的工作人员(除工勤人员以外)。

四、工作职责和分工

(一)全地区公务员信息化与电子政务培训主管部门为地委组织部、地区人事局，和田行署信息化办公室协办。具体工作由地区人事局承担。

(二)地区人事局负责全地区公务员电子政务培训工作的指导、监督、协调、考试等综合管理及师资骨干培训工作，地直各有关单位负责本单位公务员电子政务培训的组织实施;各县(市)人事局(人事劳动和社会保障局)负责本县(市)电子政务培训的组织实施。

五、培训形式和时间安排

(一)电子政务培训采取集中授课、专题讲座、演示及上机操作等多种形式进行，以增强培训实效。

(二)举办地区电子政务师资、骨干培训班，聘请自治区专家授课(具体时间另行通知)。

(三)地直各有关单位选派1名、各县市选派3-5名精通计算机的人员参加地区举办的师资骨干培训，参加师资骨干培训人员经考试合格后，负责对本单位、本县市的公务员进行全员培训。

(四)地直各有关单位公务员信息化与电子政务全员培训工作于20XX年5月底前全部完成;各县(市)机关及乡镇机关公务员信息化与电子政务全员培训工作于20XX年8月底前全部完成。

六、考试考核

(一)考试内容：按照培训教材全疆统一命题。(按年龄阶段35岁以下，36岁以上确定两种试题)。

(二)考试方式：采取上机操作的形式进行。合格分数线为60分，成绩合格者，颁发由自治区党委组织部、自治区人力资源和社会保障厅印制的《新疆维吾尔自治区计算机应用能力等级证书(电子政务)》(按照年龄阶段，35岁以下考试颁发贰级证书，36岁-55岁考试颁发壹级证书，56岁以上人员只参加培训，不参加考试)，考试成绩记入《公务员培训证书》。

(三)取得全国计算机二级以上证书的公务员，由人事部门审核汇总后，统一报自治区认定后，免于考试。

(四)具体考试考核工作安排及考试时间另行通知。

(五)参训人员考试信息资料上报按照《关于在全地区公务员中开展信息化与电子政务培训、考试的通知》(和地人发〔20XX〕112号)第九项要求予以上报。

七、相关要求

(一)各县(市)、地直各有关单位要从建设服务型、学习型和高效能政府的高度来认识此次培训学习活动，把“信息化与电子政务”培训纳入“大规模培训干部”的总体规划，作为公务员更新知识、提升能力的在职培训必修课程。并按照文件要求，结合本单位实际，克服工学矛盾，制定培训计划。

(二)各单位要认真做好公务员电子政务与信息化培训的宣传、动员工作，增强广大公务员的电子政务和信息化意识，提高自觉参与培训的积极性。

(三)地区将开展公务员信息化与电子政务培训列入单位绩效考核范围，各县(市)、地直各有关单位要切实抓好落实，确保培训任务顺利完成。同时对培训工作开展情况及时进行总结，地直各有关单位于20XX年5月30日，各县(市)于20XX年8月30日前将总结(包括单位应参训人数、实际参训人数、考试合格率、人员花名册等)报地区人事局。

(四)切实完善公务员培训证书登记制度，将培训学习情况和考试考核结果记入培训档案并及时予以登记，《公务员培训证书》送地区人事局培训科验证。培训考核结果作为公务员年度考核定等的重要依据之一，不参加培训或培训考试不合格者，当年年度考核不得评为优秀等次。

(五)地委组织部、地区人事局将对各县(市)、地直各单位开展培训情况进行不定期督导检查，并对考试考核情况进行抽查验收。

(六)考试费用严格按照物价部门规定标准收取。

2.信息安全培训计划方案篇二

项目背景:

校园网络目前已成为师生获取信息、开展研究、改进教学、促进管理服务的重要渠道和手段。然而, 凡事“有一利必有一弊”, 各种各样网络安全问题开始困扰网络管理人员, 直接影响着学校正常的教育教学活动。随着校园网络应用的不断升级和数据量的急增, 校园网络所遭遇的安全问题和威胁愈加严重。因此, 及时开展校园网络安全与病毒防治的现状调查, 做出研究分析, 有针对性地提出解决方案对于校园用户而言是一个不容回避的紧迫问题, 对于基础电信运营商也是业务发展的新增长点所在。本文以对某校园的网络信息安全进行升级改造为例, 研究了利用网络安全技术来保障某校园网络信息安全的解决方案。

本文所论的该校园网的安全问题主要有以下三个方面:

(1) 硬件设备太过简陋。该校园网络整体结构陈旧设备简陋, 现有设备技术指标低, 以至于在软件、设置问题上受到一定局限, 许多安全功能没有, 便无从设置, 在网络安全方面留下较大的漏洞。

(2) 软件、设置问题。同硬件系统相比, 软件系统的安全问题多且复杂。现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议起源于Internet, 是完全非赢利性的信息共享载体, 所以几乎所有的Internet协议都没有考虑安全机制。以至于网络攻击者很容易从Internet获得相关的核心技术资料, 很容易造成网络安全问题。在设置方面该校园网络也存在隐患, 其服务器或可网管的交换机上没有设置必要的密码, 这就为网络攻击者通过网络来取得服务器或交换机的控制权提供了可乘之机, 这是非常危险的。

(3) 系统终端购置及管理杂乱。由于该校园网中的计算机系统的购置和管理情况非常复杂, 比如学生宿舍中的电脑是学生自己花钱购买、自己维护的;有些部门的学生电脑是统一采购、有技术人员负责维护的, 而有些部门则是教师自主购买、没有专人维护。在这种情况下, 要求所有的系统终端实施统一的安全政策, 比如安装防病毒软件、设置可靠的口令等是非常困难的。由于没有统一的资产管理和设备管理, 因此, 出现安全问题后通常无法分清责任。比较典型的现象是, 用户的计算机接入校园网后感染病毒, 之后这台感染病毒的计算机又影响了校园网的运行。甚至出现有些计算机乃至服务器系统建设完毕之后无人管理, 被攻击者攻破, 并作为攻击的跳板、攻击试验床也无人觉察的严重情况。该校园网的原网络拓扑图如图1所示。

二、某校园网络的升级改造方案

该学校的系、部门、学生公寓众多, 物理网络接入较为复杂, 各部门的信息系统很分散, 安全需求也不尽相同, 比如图书馆、财务部、教务处等都各自有独立的信息服务系统, 而大多数的部门则主要是依托网络中心来提供信息服务。

鉴于这种管理结构, 在该校园网的升级改造时采用的是部门独立、相对分散的信息安全管理架构。对图书馆、财务部等有一定网络规模或对信息安全有特殊要求的部门, 自成一个安全实体, 而其它全校公共信息服务系统, 如电子邮件系统, Web服务、校内信息服务等系统, 则由网络中心统一负责管理, 该校园网络升级改造后的拓扑图如图2所示。

这次网络改造中, 我们建议该校购买了性能更加优越的大型企业交换机和防火墙, 如锐捷RG-wall l600防火墙、锐捷RG-S8610交换机、锐捷RG-S5750交换机等。首先, 在网络主干上进行了一个大的升级:把以前的路由器和联想网御2000防火墙去掉, 取而代之的是刚购买的RG-Wall1600M防火墙, 而锐捷RG-S8610替代以前核心交换机联想i Spirit 4504。该校北校区的中心汇聚交换机联想天工i Spirit2924用i Spirit4504替代, 图书馆的中心汇聚交换机i Spirit2924用锐捷RG-S5750替代, 其它部门或教学、办公楼的汇聚交换机都用i Spirit2924, 这样, 整个网络速度得到了一个比较大的提升, 同时由于启用了功能更加全面的防火墙, 使整个网络的安全系数提高不少。

考虑到除了要实现该校园网络的畅通、高效之外, 还要根据该校园结构特点, 对可能面临的安全隐患进行排除。综合考虑, 该校园网可能会面临三种隐患:

一是校园网与Internet相连, 面临着外网攻击的风险;二是来自内部的安全威胁;三是接入校园网的节点数目日益增多, 这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。

为了消除以上安全隐患, 我们从以下五方面着手:

第一, 部署新的防火墙来保护该校园网络的安全。在Internet与校园网内网之间部署了1台锐捷RG-Wall 1600M防火墙 (以前是联想网御2000防火墙) , 在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区 (即“非军事区”, 是为不信任系统提供服务的孤立网段, 它阻止内网和外网直接通信, 以保证内网安全) , 与内、外网间进行隔离, 内网口连接校园网内网交换机, 外网口与Internet连接。这样, 通过Internet进来的外网用户只能访问到对外公开的一些服务, 如WWW、E-mail、FTP、DNS等, 保护了内网资源不被外部非授权用户非法访问。

在防火墙的部署上, 之所以选择锐捷RG-Wall 1600M, 是考虑其具备一些特点:比如采用最新的硬件平台和体系架构, 实现防火墙性能的跨越式突破, 可支持数十个CTE接口;采用锐捷网络自主开发的RCT--Sec OS和独创分类算法使得它的高速性能不受策略数和会话数多少的影响;具有入侵监测功能;支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能, 能够有效的保证网络安全;提供多种智能分析和管理手段;能抵抗绝大部分恶意攻击等。

第二, 部署新的核心交换机 (RG-S8610) , 该校北校区也升级了汇聚交换机 (由原来的联想Ispirit2924升级到联想Ispirit4054) , 图书馆也升级了汇聚交换机 (原来的联想Ispirit2924被替换成了锐捷RG-S5750) , 这样可以更科学的划分VLAN, 一来更好地保护校园网络的安全, 二来提高校园网络的速度。在具体实施时, 根据该校园网的具体情况, 为了对该校园内部网络不同部门之间进行隔离而达到信息流量的控制, 同时抑制广播风暴, 并提供良好的安全性, 通过对网络逻辑结构进行分析, 我们采取了应用最为普遍的基于交换机端口的VLAN划分技术, 因为以基于交换机端口的实现方式最为灵活, 维护起来比较方便快捷。

第三, 部署了网络版的杀毒软件服务器, 来保护整个校园网络远离病毒。针对该校园网络的具体病毒防护需求, 我们制定了详细的解决方案, 病毒防护的实施包括了系统安装、升级、全网病毒防范、邮件客户端防毒、新病毒应急、数据保护等等。病毒防护解决方案的拓扑图如图3所示。

我们对该校园的网络状况进行综合分析后, 决定采用瑞星杀毒软件网络版解决方案。如图3所示, 连接在中心交换机上的系统中心可以管理各子网的客户端, 具体方案如下:

(1) 系统中心统一管理

网络病毒防治不同于单机版, 现在的病毒大多可以在网络环境下自动传播, 对多台联网计算机杀毒时常常会出现这种尴尬的情况, 当杀光第一台电脑的病毒去杀第二台时候, 病毒又从其他机器上传播回第一台机器上。如此反复, 除非将所有的中毒电脑的网线全部拔掉, 很难将全部病毒杀完。而拔掉网线断开网络连接毕竟不是最好的办法, 会有很多不便并且耽误工作。对此我们使用瑞星网络版杀毒软件时采用了一种比较好的解决方案, 即在每台机器上都安装瑞星杀毒软件网络版的客户端或服务器端, 在一台服务器上安装瑞星杀毒软件网络版系统中心, 该软件网络版自带可移动远程管理控制台, 通过系统中心可以管理所有已经安装了客户端和服务器端的局域网内的机器, 包括在Windows 9X、Windows 2000 Professional、Windows XP、Windows 2003Server、Windows NT/Workstation、Unix、Linux等操作系统上的防病毒软件。 (下转第49页) 也就是说, 通过系统中心控制网络内所有的机器统一杀毒, 这样在同一时间杀除所有病毒, 从而使得病毒无法藏身, 真正干干净净地消灭病毒。

(2) 远程安装升级

远程安装也是使用了系统中心的统一管理功能。计算机用户并不一定都是计算机专业人士, 该校的情况也是这样, 为了方便普通计算机用户也能做好杀毒工作, 我们的方案提供了远程安装和自动升级等功能。在系统中心就可以给客户端安装杀毒软件的客户端, 瑞星杀毒系统的自动升级功能更可以在系统中心病毒库升级后, 客户端自动从系统中心升级, 实现了网管人员通过一个点管理整个面, 整个杀毒工作由网管人员统一完成, 不用用户干预。

(3) 因地制宜设计方案

考虑到该校园网络的机器众多, 局域网内有较多的客户端和较多的服务器, 我们采用瑞星杀毒软件网络版的构架, 分层次管理, 建立校园网络防病毒体系:在中心机房设立一个系统中心, 作为整个网络防病毒系统总管理中心;在各子网安装客户端、服务器端, 各个客户端、服务器端同时接受系统中心的命令和管理, 向系统中心汇报情况。具体结构参看校园网络病毒防护系统拓扑图 (图3) , 这种树状结构使得整个杀毒体系清晰明了。

第四, 部署身份认证计费服务器 (802.1X) , 没有通过身份认证的计算机绝不允许接入校园网络。

第五, 部署出口日志记录服务器 (锐捷日志记录系统) , 由于网络攻击日益猖撅, 安全功能和出口日志的部署成为必须。通过查询AT日志或LOW日志的内容 (经过NAT转换前的源IP地址、源端口, 经过NAT转换后的源IP地址、源端口, 所访问的目的IP、目的端口、协议、开始时间、结束时间、接受字节数, 发送字节数等关键信息) , 可以掌握校园网络遭受的攻击来源。

三、效果分析

自校园网络升级改造后, 该校园网络的网络运行质量有了明显提升, 网络的信息安全性得到强化。在网络升级改造前, 该校园网几乎每周要被恶意攻击者或病毒攻击两次左右的;而升级改造后运行近两个月来, 未发生过任何一起网络信息安全事故, 该校园网络的安全性得到了明显提升。

参考文献

[1]谢大吉, 李明华.新形势下高校网络安全隐患与对策研究[J].中国科技信息, 2011.

[2]游明坤.浅谈计算机网络安全防范技术[J].科技资讯, 2005.

[3]陈峰.计算机网络安全问题及其对策浅议[J].电脑知识与技术, 2010.

[4]赵世泽.高校图书馆网络安全问题与对策[J].大学图书情报学刊, 2006.

[5]张吉力, 韩晓颖, 高芸.解析计算机网络面临的安全威胁[J], 科技经济市场, 2007.

[6]杜林, 李世运.计算机网络安全及防护策略[J].电脑知识与技术, 2009.

3.信息系统安全的一种解决方案篇三

关键词：信息系统；权限管理；数据加密；数字签名

中图分类号：TP309.2文献标识码：A文章编号：1007-9599 (2011) 05-0000-02

Information System Security Solutions

Qi Shifeng

（Computer Sciences School,Panzhihua University,Panzhihua617000,China）

Abstract:Security is inevitable for every information system.This paper provides solutions to the information system security by using the relevant technologies such as firewalls externally,and internally authority administration,data encryption,digital signatures and so on.Practice has proved these solutions and their reference value.

Keywords:Information System;Authority;Data encryption;Digital Signatures

一、引言

信息系统的迅速发展和广泛应用，显示了它的巨大生命力；另一方面也体现了人类社会对信息系统的依赖性越来越强。但信息系统的安全是一个不可回避的问题，一者信息系统管理着核心数据，一旦安全出现问题，后果不堪设想；再者现在信息系统大多运行环境是基于TCP/IP的，众所周知，TCP/IP协议本身是不安全的，因此必须充分考虑信息系统的安全性。信息系统的安全问题已成为全球性的社会问题，也是信息系统建设和管理的主要瓶颈。

二、一种解决方案

信息系统的安全包括很多方面，一般说来，可以分为外部安全和内部安全两方面。对外的安全主要是防止非法攻击，本方案通过第三方防火墙来实现。内部的安全主要是保证数据安全，本方案提出两个方面的解决：①权限管理；②数据加密。

（一）防火墙技术

防火墙是一种综合性的技术，它是一种计算机硬件和软件的结合。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问，它实际上是一种隔离技术。工作原理如图1所示。

图1防火墙工作原理

（二）权限管理

构建强健的权限管理系统，对保证信息系统的安全性是十分重要的。基于角色的访问控制（Role-Based Access Control，简称RBAC）方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是：

1.减小授权管理的复杂性，降低管理开销。

2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

一个完整的权限管理系统应该包括：用户、角色、资源、操作这四种主体，他们简化的关系可以简化为图2。

图2 权限管理四种主体关系图

RBAC认为权限授权实际上是Who、What、How的问题。可简单表述为这样的逻辑表达式：判断“Who对What（Which）进行How的操作”是否为真。

本方案权限管理采用“用户—角色—功能权限—数据对象权限”权限管理模式管理权限。具体参见图3。

图3 权限管理模型

图3所示的权限管理模型实现过程如下：

1.划分用户角色级别：系统管理员根据用户岗位职责要求对其功能权限进行分配和管理。

2.划分功能控制单元：功能控制单元即权限控制的对象。功能控制单元根据功能结构树按层次进行划分。

3.权限管理实现：例如，当新员工加盟时、系统首先为其分配一个系统账号，当给他分配岗位时、便自动有了该岗位对应角色的权限。当然如果该用户有本系统的一些单独的功能使用权限，可以提出申请经批准后由系统管理员分配。

（三）数据安全保证

1.实现技术

（1）数据加密。数据加密技术是指将一个信息（或称明文）经过加密钥匙及加密函数转换，变成无意义的密文，从而达到使非法用户无法获取信息真实内容。另一方面接收方则将此密文经过解密函数及解密钥匙还原成明文。常见的对称密钥加密算法有DES加密算法和IDEA加密算法，用得最多的公开密钥加密算法是RSA加密算法。

（2）数字签名。数字签名技术是在公钥加密系统的基础上建立起来的。数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造。用来模拟现实生活中的签名或印章。

2.实施策略

本方案中，系统的数据安全保证主要是依靠上述的数据加密技术和数字签名技术来实现，具体的实施策略如图4所示。

图4 混合加密和数字签名联合使用的实施策略

在图4中，将其数据安全保证实现过程分为四步：数据加密、数据签名，验证入库、数据解密。

（1）数据加密：当需要将核心信息放入数据库时，信息发送方随机生成本次通信用的DES或IDEA密钥K，用密钥K加密压缩的明文M得到密文Cm，用系统的RSA公钥加密密钥K得到Ck，再将Cm和Ck合成密文C。

（2）数字签名：信息发送方对数据加密时生成的密文C进行MD5运算，产生一个消息摘要MD，再用自己的RSA私钥对MD进行解密来形成发送方的数字签名Cd，并将Cd和C合成密文Cc。

（3）验证入库：数据库服务器收到Cc后，将其分解为Cd和C。用发送方的RSA公钥加密Cd得到MD，然后对C进行MD5运算，产生一个消息摘要MD1。比较MD和MD1，如果相同，将合成密文C放入仓库，否则不与入库。

（4）数据解密：对于有权访问核心数据的用户，系统将向其提供RSA私钥，访问时首先从数据检出合成密文C，将C分解成Cm和Ck；并用系统提供的RSA私钥对Ck解密得到密钥K，用密钥K对Cm解密得到明文M。

三、小结

“三分技术，七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现，没有完善的管理，技术就是再先进，也是无济于事的。本文提出的这种信息系统安全的解决方案，已成功应用于系统的设计和开发实践，与应用系统具有良好的集成。当然这种方案并不一定是最好或最合理的保证信息系统安全的解决方案。但希望能够抛砖引玉，使各位同仁在此类问题上找到更合理更安全的解决方案。

参考文献：

[1]向模军.基于QFD的新产品开发决策支持系统研究与实现[C].硕士论文.成都:电子科技大学,2007

[2]唐成华,陈新度,陈新.管理信息系统中多用户权限管理的研究及实现[J].计算机应用研究,2004,21(3):217-219

[3]祖峰,熊忠阳,冯永.信息系统权限管理新方法及实现[J].重庆大学学报:自然科学版,2003,26(11):91-94

[4]陈汇远.计算机信息系统安全技术的研究及其应用[C]:硕士论文.北京:铁道部科学研究院,2004

[基金项目]基于无线传感器网络的多参数监测的粮情测控系统（No：06c26211400735）

4.信息安全整改方案篇四

整改报告

自XX县信息化领导小组对我局进行安全检查以来，我局对网络信息安全保密工作高度重视，主管局长XX同志于9月13日组织了“加强网络信息安全保密工作”专题会，会上我们认真分析了检查小组的指导意见以及在自查中发现的一些管理上的细节问题;在此基础上制定了网络信息安全保密工作整改方案：

一、以“方城县教育系统网络礼貌公约”普及为契机，在全县教育系统进行网络信息安全保密工作的强化宣传教育。

经过强化宣传教育，使教育系统内人人都能认识到网络信息安全保密工作的重要性，以自觉带自律，从自身的细节处做起，每个人都是一个安全点，点点相边构成安全面。从而强化网络信息安全保密工作。

二、对入网单位的自查要制度化。

在自查过程中，对部分单位线路架设不规范;五防措施不到位要求其限期整改的，在整改后进行复查。

成立网络信息安全工作检查小组，在复查的基础上，对所有入网单位进行不定期、不定时、不定点的突击抽查。以敦促各网络接入单位对网络信息安全保密工作管理常规化、制度化。

三、对文印室等重要信息点完善管理

针对文印室数据交换时暴露出的移动介质管理不到位的问题，我们认真分析现况。制订管理方案，并由局办公室专门下发通知，“通知”要求各科室指定办公用的移动存储设备，并登记造册，各科室在进行数据交换时不使用指定设备以外的设备，在进行数据交换前进行相关的安全扫描。

架设物理隔离区的安全扫描机，安装相关安全软件并定期更新，对进入文印室的移动存储设备进行病毒、木马等相关安全扫描，确认安全后再进入文印室等重要信息管理区;从而确保重要信息区的信息安全。

XX县教体局

5.信息员培训方案篇五

一、时间：6月25日全天。

二、地点：行政管理中心一楼会议室。

三、参加人员：各单位负责同志;各单位新闻信息员;院广播站、记者站成员。

四、注意事项：

1.各部门领导要高度重视，大力支持本次培训班的工作，为本部门参训人员创造良好条件，以保障学习时间和学习效果。

2.参训人员要充分认识举办本次培训班的意义，思想上高度重视，纪律上严格要求，课堂上认真听讲，争取有较大收获。

3.参训人员在培训期间，请按座位示意图的座次就座;请不要迟到、早退，如有特殊情况需要请假须报所属部门及宣传部批准。

6.信息化安全方案篇六

为解决成都新朝阳生物化学有限公司网络无序话，根据成都新朝阳生物化学有限公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的Ciscoworks VMS网络管理系统。CiscoWorks VMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护公司信息化资料安全实现提高生产率和降低运营成本。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案 1．

1、安全建设

1．2、网络边界安全防护

网络层的安全性首先由路由器做初步保障。路由器一般用于分隔网段。分隔网段的特性往往要求路由器处于网络的边界上。通过配置路由器访问控制列表(ACL)，可以将其用作一个“预过滤器“，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。

公司服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载oA、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。

在内网防火墙之外采用两台cisco 3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的Internet VPN采用Cisco ASA5520防火墙，同时提供拨号VPN接入，外网访问通过Amaranten F600防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在Amaranten F600防火墙DMZ区，对外开启tcp 80 http服务。

通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。

我们通过配置Amaranten F600防火墙实现以下功能：

●可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分用户可以访问外网，而其他用户不能通过防火墙访问Internet。

_对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占

用，还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配，使网络效率达到最优化。

●通过三种方式过滤不良内容，包括：>URL地址：只需要将不良网站的URL地址添加到过滤列表中，便可进行阻挡。>不良关键字：所有包含实业网络用户自定义不良关键字(如“法轮功”)的网页将被屏蔽>网页分类：Amaranten F600将上亿万个网页分成了几十个类别(如政治、经济、色情、暴力等)，实业网络用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。_通过利用IP地址、邮件地址、实时黑名单／匿名中继代理列表(RBL／ORDBL)、MIME头、关键字等多项反垃圾邮件技术在网络层和，内容层为实业网络过滤大量的垃圾邮件，以净化带宽，减轻邮件服务器负担，提高实业网络的工作效率，并防止病毒和不良信息通过垃圾邮件进入陕西电信DCN网络内网。_Amaranten F600防火墙拥有强大的日志功能，可以对网络访问、入侵、病毒、内容过滤等信息进行详细的记录。

3．4．2入侵检测与防御

入侵检测帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高信息安全基础结构的完整性。它在不影响网络性能的情况下能对网络进行监测，从计算机网络系统中收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，成都新朝阳生物化学有限企业信息化及安全整体解决方案被认为是防火墙之后的第二道安全闸门。这些通过以下工作来实现： ·监视、分析用户及系统活动；

●系统构造和弱点的审计；

_识别反映已知进攻的活动模式并向相关人士报警；_异常行为模式的统计分析；_评估重要系统和数据文件的完整性；_操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。从而达到对网络实现立体纵深、多层次保护的目的。

实时监控或最近的网络数据监控

·实时地显示、监控网络数据流量并记入日志。

·每小时网络数据流量记入日志，显示并提供详细的信息。●本地或远程的服务器服务的用户信息。●网络负载容量和系统状态的实时显示。

实时检测、拦截并跟踪黑客入侵行为

·检测、拦截并通过各种方式(手机短信息、e—mail，etc)发布警告信息给系统管理员。

·支持各种规则配置保证检测和阻止黑客入侵。·支持追踪黑客，定位黑客的攻击位置。信息管理 ·检测并阻止访问非授权的web站点(色情、娱乐等等)·通过关键字的搜寻对e-mail和web-mail信息流出进行拦截和记入日志。

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案对于千兆网络的完善支持。

·并联式被动抓包技术(扫描和抓包)不影响网络流量。

·简便的安装和方便的操作(集成了S／W和H／w)。独立安装的系统保证更好地防御安全入侵。●远程监控和集中控制。

·支持和(IAP)控制中心的通讯交流。检测／保护／警告

·根据入侵检测规则阻断非法网络流量，发布警告和报告(通过报警、e-mail、移动电话)给网络管理人员。

●提供黑客的不同信息(目的、黑客行为、攻击尝试的数量、解决办法、黑客攻击的起止时间等等)。

·提供针对不同的攻击行为的详细信息和对策。·提供详尽的黑客文件来定位黑客位置。控制信息

●对进出的邮件进行有效的信息管理(发送者和接受者)◆检测e-mail(信息体和附件)并可以通过关键字的匹配进行阻断(保证保密或机密信息不泄漏)。

●记录Telnet，Ftp和远程登录的详细信息。

·管理访问未授权的网页(包括色情、娱乐和股票信息等)的信息。

·控制和管理硬盘共享功能(对于Pc机)。

●控制特定的服务器、客户端和服务(协议)，如果需要可以定义规则阻断非法连接。

·提供根据字符串匹配检索日志记录。报告功能

·实时或定期的网络使用情况的详细信息报告。

·黑客攻击信息／检测信息／保护信息／阻止信息报告。35 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案 ●数据交换详细信息报告，包括e-mail(正文／附件)、web—mai l、Telnet、Ftp和远程登录等等。

●提供阻断硬盘共享、本地／远程用户不合法信息的报告。·提供各种黑客攻击行为的报告。·各种不同的打印和输出格式。·各种图形和报表报告。

·基于计算机、服务、时间、单个记录／群体的报告。●根据不同时间段(月、天、小时)产生统计报表。设置

●统一管理权限。

●设置允许登录IP地址，保证只有合法IP的特定用户才能登录系统。

·本地客户机管理。

·根据IP地址管理数据流是否合法。●拦截规则设置。

●根据每台服务器情况和每个服务(端口)情况设置拦截端口。●日志设置。

●网络数据实时监控设置。

入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。两者工作方式不同，各有优势和缺点：

表一：在线式入侵检测系统和旁路式入侵检测系统的对比工作方式优点缺点串联在网络当中，在线式入侵检测对所有数据包都可以直接阻断攻会造成网络延迟

系统需要拦截检查，然击后判断是否允许

第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案通过

旁路侦听，不拦截旁路式入侵检测

数据包，只做检测不影响网络性能阻断效果差系统和记录

从表一可以看出，内置的在线式入侵检测系统可以直接阻断各种网络攻击，但是会产生延迟；而旁路式入侵检测系统虽然不会对网络性能造成影响，但是阻断效果差。

既然在线式入侵检测系统优势在于阻断功能强，而旁路式入侵检测系统的性能很好，因此我们只要进行科学的配置，将两者的优势结合起来，便可在安全和性能之间达到一个良好的平衡。

Amaranten F600具有内置IPS功能，增加IDS。

第一步，我们在Amaranten F600上配置IPS功能，直接阻挡各种DoS／DDoS 攻击，防止这类拒绝服务式攻击无意义的消耗Amaranten P600和IDS的系统资源以及网络带宽；

第二步，暂不开启Amaranten F600上的IPS功能，使用IDS旁路检测网络

中的攻击，并配置IDS与Amaranten F600联动，使这一套系统对网络性能的影响最小。

第三步，通过一段时间对IDS攻击审计日志的分析，找出对实业

网络发生次数最频繁、威胁最大的攻击方式，在Amaranten F600的IPS模块上进行配置，直接检测并实时阻断这些攻击方式。

这样便可充分利用Amaranten F600在线式入侵检测系统和旁路式入侵检测系统的优势，使实业网络在高安全的前提下保证性能损失足够小，兼顾安全和效率。37 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案 3．4．3安全漏洞扫描和评估

安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。

漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。只需在实业公司中心机房配置一台机器上安装上漏洞扫描器即

可对全网所有网络设备及服务器等进行扫描。设置对WEB服务器、邮件服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。

系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console／Agent结构，首先需要一台Console，在被扫描的机器上安装 Agent代理，由Console集中管理所有的Agent的扫描服务。

数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有：MS SQL Server、Oracle和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描实业中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。3．4．4防病毒系统

通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案以防为主、防治结合"的动态防毒策略。

在实业网络中部署全面的病毒扫描解决方案，从单机、网络到 Internet／__________Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从

清除病毒到网络通讯系统全面防范监控的要求。

单机病毒防火墙：适用于未联网的单个Windows桌面机，支持Win98、Win NT Workstation、Win 2000／XP Professional等个人操作系统。

服务器病毒防火墙：文件服务器是企业网络中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而

也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。需要为服务器提了针对性的防病毒解决方案，支持包括Netware、NT及Alpha NT为平台的多种服务器的病毒防护。

电子邮件服务器病毒防火墙：对邮件服务器进行针对性的病毒扫描服务，使服务器本身不受病毒感染，同时防止病毒通过邮件交叉感染。邮件服务器产品覆盖Microsoft Exchange、Lotus Notes for NT、AIX、Solaris、HPUX、IBM S390 和0S400等。

网络杀毒服务器：实时的、基于Web的、可集中控管的桌面反病毒解决方案。从管理控制台，管理员可配置、更新、扫描、监控所有的客户端的反病毒防护，降低企业的整体成本。在病毒爆发情况下，管理员可将所有的客户端的病毒码更新至最新状态并进行扫描，进行整个企业的病毒扫描。

防毒中央控管系统：使用中央控管系统后，网管人员可以使用浏览器为应用界面，在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。

随着近年来尼姆达、冲击波等蠕虫病毒的泛滥，越来越多的病毒通过系统漏洞进行主动的复制和传播，仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明，超过90％的病毒是通过网络传播的，因此网关防病毒是实业网络安全建设的重中之重。我们需要针对实业网络的安全需求，对Amaranten F600的 39 第三章成都新朝阳生物化学有限企业信息化及安全整体解决方案防病毒功能进行相应设置，便能够对进出实业网络的数据流进行实时

病毒过滤，将病毒阻挡在Internet入口之外。Amaranten F600的网关病毒过滤特性还可以有效地防止病毒进入内网之后利用计算机系统漏洞肆意传播，大量消耗系统资源和网络带宽所造成的DoS／DDoS(拒绝服务／分布式拒绝服务)攻击。3．4．5 终端监控与管理

内网计算机如果非法接入互联网，就会使得我们采取的内、外网物理隔离、防火墙等多种确保内联网安全的措施彻底失去功效，相当于把整个内部网络完全暴露在恶意攻击者面前，所可能遭受的信息失密、毁损等后果将无法估量。因此我们要在实业内网中的PC上部署防非法外联软件。

监控各类非法外联，包括Modem、ADSL、GPRS、红外、多网卡(包括无线网

卡)，基本涵盖目前主流的外联手段。实时发现非法接入的主机(可以穿透个人防火墙)，并能有效阻断非法接入主机对局域网络的访问，有效维护局域网的完整性和安全性。能够有效监控／阻断客户端主机的IP、MAC、掩码的非法修改操作，有效控制局域网的IP盗用和滥用，同时也避免了客户端主机修改网卡IP 后连入Internet的问题。告警方式包括：屏幕报警、Windows消息警告、邮件告警等。系统支持多级管理，适用于大规模分布式部署，总控可以查看全局的主机信息、所有报警信息等，很好的起到资产管理的作用。客户端的运行平台包括 Windows 98、Windows Me、Windows XP、Windows 2000、Windows 2003等。客户端采用后台运行方式，不容易被用户察觉；客户端对自己注册的服务进行保护，使服务不能非法停止、服务属性不能非法修改；客户端进程采用双进程相互守护的方式保障进行正常运行；客户端对安装文件进行保护，使其不被非法删除、修改。采用分散扫描方式，将探测活动主机的工作分摊到各个Vlan中的指定引擎，分担了控制中心的扫描工作，同时也使得探测数据包控制在Vlan中，从而使得

7.网上银行信息安全的常用解决方案篇七

网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。网上银行又被称为“3A银行”,因为它不受时间、空间限制,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务。

信息技术的飞速发展带来网上银行需求日益增加,同时也使网上银行面临种种风险,安全性是网上银行赖以生存和得以发展的核心及基础。本文主要结合2009年江西省农村信用社网上银行系统一期项目实施部署的经验,介绍基于J2EE平台的网上银行信息系统的安全技术选型并分析其优劣。

网上银行银安全体系主要解决以下四部分内容:银行内部交易系统的安全性、网上银行系统业务流程安全性、网上银行用户数据安全性及网上银行安全恢复需求。

1 银行内部交易系统的安全性

网上银行系统设备不同于其他银行内部交易系统服务器相对独立及对外隔离的安全地位,在整个银行中心机房中处于外联内通的一个特色地位,对外需连接Internet广域网,对内需与银行核心系统、现代支付系统、银行卡系统、资金业务系统、中间业务系统等发生报文交互。因此在设计银行中心机房网络拓补时遵循安全隔离规则,需在广域互联网与网上银行web服务层之间、网上银行web服务层与网上银行应用服务层之间、网上银行应用服务层与银行外围总线系统之间设立多层防火墙,杜绝黑客威胁银行核心系统的风险。除建立多层防火墙模式抵御病毒及黑客攻击外,还可以从网上银行系统服务器的软硬件配置上提升安全性能,如使用高安全级别的服务器设备,正版授权并可信任的专业操作系统,配合专业的网络动态监控产品,实现多方面立体式的防攻击保护的安全网络体系架构。图一为银行普遍采用的较科学的一整套网上银行安全系统网络拓扑图。

2 网上银行系统业务流程安全性

2.1 安全的身份认证

在双方进行交易前,首先要能确认对方的身份要求交易双方的身份不能被假冒或伪装。网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多,普遍应用在网上银行中的按安全级别高低划分主要包括:组合动态口令随机动态口令、手机短信口令、USBkey数字证书。绝大部分银行主要根据不同客户群不同的安全需求提供以上的1种或者多种组合的方式进行网上银行系统的身份认证。针对一般查询为主配合小额支付汇款类的大众版客户群选择采用相对较低安全级别却免费的口令卡形式,针对安全级别需求较高的专业版网上银行用户采用USBkey数字证书或它与其他口令的组合认证策略。

2.2 业务操作控制

业务操作控制主要通过制度流程规避银行内部管理人员的道德风险,包括管理柜员证书申请、下载、绑定、解绑、注销、更新、发放等网上银行安全认证介质的流转管理。应配备专业人员,分级分工,换人复核授权等操作规程,安全介质USBKey应纳入银行重要空白凭证管理,防范银行内部高科技犯案。

2.3 交易风险控制

除技术上防钓鱼、防挂马等网页安全防御外,也可预留客户定制信息防假网站、敏感信息屏蔽及软键盘防拍照,多层控制交易限额降低事故损失,会话超时控制非法恶意操作,交易重复提交控制操作风险保证系统性能、短信对账及大额短信确认保证事故的预警及实时反馈。

3 网上银行数据安全性

3.1 敏感数据保密性

数据加密是指对金融交易中的敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。从目前国内网上银行应用的安全案例统计数据来看,数据保密性需求主要体现在:客户端与网上银行系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放,这些密码在网上银行系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。网上银行系统与其它系统进行数据交换时必须进行端对端的加解密处理。即密码在服务器间密文传输且不输出日志,这里的数据加解密最好是在专业金融加密机设备内部完成,主要是为了防止交易数据被银行内部人士截取利用。同时,金额加密机的本地主密钥及核心系统的业务主密钥应采用多人分段封存的方式保存。

3.2 传输数据完整性

数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。通常网上银行系统中有两个地方需要对数据进行完整性检查:一是在网上银行用户提交交易数据签名时,由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议;另一种是网上银行系统与该行其它系统进行通讯时,需要检查报文的完整性,同样采用非对称密钥算法的数字根证书进行数字签名。

3.3 数据可用性

数据可用性要求数据对于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统。网上银行系统可用性需求即是网上银行系统7×24小时稳定运行需求,体现在以下几个方面:并发用户/并发连接;同时在线人数;允许的界面最长响应时间;中断允许的最大时间;对系统的长连接访问时间的要求。

3.4 数据不可抵赖性

在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。

4 网上银行安全备份与恢复

网上银行系统的用户量大,访问和数据的流量也相应增加,网上银行系统的安全备份及恢复是系统稳定运行的前提,所以目前的网上银行系统多会在硬件上采用双机热备,集群服务器的部署方式,软件上采用负载均衡策略提高系统稳定性及运行高效性。负载均衡的算法有多种,包括依序、比重、流量比例、自动分配等。江西农信的部署方案是:网络采用自动最优匹配方式,应用服务器、加密机、数据库采用双机热备方式,安全网关及数字签名服务器采用依序负载均衡方式。

安全性作为网上银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,普遍采取了基于以上四部分安全需求的解决方案,运用多层、复杂、有效的技术手段和业务流程来确保网上银行安全。到目前为止,国内网上银行交易额已达数千亿元,所有银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失,这也主要得益于国内网上银行的一整套成熟的信息安全解决方案。

5 结束语

网上银行的安全性和方便性是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,建设安全同时便捷的网银安全系统,是未来网银安全体系中的重要课题,在确保银行利益的同时,我们应该为客户提供更加优质便利的金融电子服务,网银安全体系需要在安全性与方便性的权衡上继续寻求最佳契合点。

参考文献

[1]中国人民银行.网上银行系统信息安全通用规范[M].2009,12.

8.信息安全培训计划方案篇八

一、电力信息网安全现状分析

结合电力生产特点，从电力信息系统和电力运行实时控制系统2个方面，分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系，将电力信息网络和电力运行实时控制网络进行隔离，网络间设置了防火墙，购买了网络防病毒软件，有了数据备份设备。但电力信息网络的安全是不平衡的，很多单位没有网络防火墙，没有数据备份的概念，更没有对网络安全做统一，长远的规划，网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求，对网络安全进行了全方位的保护，防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用，确保了信息的安全，为生产、营业提供了有效的技术支持。但有些方面还不是很完善，管理起来还是很吃力，给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。

二、电力信息网安全防护方案

1.加强电力信息网安全教育

信息用户，重点是学习各种安全操作流程，了解和掌握与其相关的安全策略，包括自身应该承担的安全职责等。当然，对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。

2.电力信息髓安全防护技术措旌

(1)网络防火墙：防火墙是企业局域网到外网的唯一出口，所有的访问都将通过防火墙进行，不允许任何饶过防火墙的连接。D M Z区放置了企业对外提供各项服务的服务器，既能够保证提供正常的服务，又能够有效地保护服务器不受攻击。设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可证外的任何服务。

(2)物理隔离装置：主要用于电力信息网的不同区之间的隔离，物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。

(3)入侵检测系统：部署先进的分布式入侵检测构架，最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任时间，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。

(4)网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP／IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。

扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。

(5)网络防病毒：为保护电力信息网络受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心，对整个网络部署查、杀毒，服务器通过Internet从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。同时，选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。

(6)数据加密及传输安全：通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，实现对文件访问的控制。对通信安全，采用数据加密，信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高实时的信息传播中的保密性和安全性。

(7)数据备份：对于企业来说，最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的，必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。

(8)数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

3.电力信息网安全防护管理措施

技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

(1)要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离时的网络机密的泄露。

(2)对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

(3)技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

(5)加强信息设备的物理安全，注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

(6)注意信息介质的安全管理，备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁，特别要注意送出修理的设备上存储的信息的安全。

三、电力信息网络安全工作应注意的问题

(1)理顺技术与管理的关系。