信息安全以業(yè)務應用系統(tǒng)和計算機網(wǎng)絡的安全防護為主。其中，計算機網(wǎng)絡的安全防護是對外部入侵和內部泄漏的最底層的硬防護，只有合理部署，才能達到較高的安全防護水平。根據(jù)網(wǎng)絡傳輸OSI七層模型，采取多種防護措施，以最常見的方式達到較高的安全防護水平是企業(yè)網(wǎng)絡構建的目標，安全防護以國產(chǎn)設備為首選。

       1．分區(qū)控制，信息隔離

         生產(chǎn)控制區(qū)為最高安全級別的區(qū)域。該區(qū)與上級調度系統(tǒng)通過防火墻和縱向加密裝置通信，與管理信息系統(tǒng)通過單向傳輸裝置與管理信息網(wǎng)絡相連。

        網(wǎng)絡結構圖

        服務器區(qū)為信息安全的重點防護區(qū)。鏈路上除串接單獨的防火墻外，還通過服務交換機的上聯(lián)口做鏡像，接入入侵檢測設備。

        內部網(wǎng)一區(qū)和內部網(wǎng)二區(qū)通過VPN、防火墻隔離，為終端用戶的接入?yún)^(qū)域。一區(qū)為可以直接訪問內部信息系統(tǒng)服務器的企業(yè)員工用戶，二區(qū)為協(xié)作單位用戶，可以通過VPN訪問相關信息。

         2．監(jiān)控上網(wǎng)，網(wǎng)關殺毒

        置于互聯(lián)網(wǎng)接入端的上網(wǎng)行為管理設備是信息安全的第一道防線。以網(wǎng)關模式布置，串接于出口鏈路中的上網(wǎng)行為管理設備，實現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理。

        部分上網(wǎng)行為管理設備還集成網(wǎng)關殺毒功能?；趹妙愋?、網(wǎng)站類別、文件類型、用戶/用戶組、時間段等的管理設備，對企業(yè)內部網(wǎng)絡用戶上網(wǎng)行為的記錄和審計、帶寬的分配、病毒木馬的過濾等，有效防止內網(wǎng)泄密、過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入。通過帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬，甚至完全封堵與工作無關的應用。同時，利用上網(wǎng)行為管理通知和日志，及時把使用中的主動泄密、被動泄密行為，做到事前防范、事中告警、事后追蹤等多方面防范泄密，保護企業(yè)信息資產(chǎn)安全，降低網(wǎng)絡風險，并滿足公安機關對企業(yè)網(wǎng)絡行為記錄的相關要求，規(guī)避可能的法律風險。

         3．雙層防護，過濾攔截

         防火墻是保護內部網(wǎng)免受非法用戶侵入的基本設備，通過設置防火墻的服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關等，最大限度地阻止網(wǎng)絡中的黑客攻擊。

         內部用戶網(wǎng)一區(qū)、二區(qū)之間主要以應用層的攔截為主，有效隔離木馬程序的侵入。結合VPN的應用，可靈活配置二區(qū)用戶訪問內部相關信息，提高外網(wǎng)發(fā)布應用服務器的安全性。

         服務器區(qū)增加一臺主要以網(wǎng)絡層過濾為主，通過來源IP地址、來源端口號、目的IP地址或端口號、服務類型以及通信協(xié)議、TTL值、來源的網(wǎng)域名稱或網(wǎng)段等屬性進行過濾攔截，進一步加強對服務器的安全防護。

         4．單向隔離，鏡像查詢

         生產(chǎn)控制區(qū)通過單向傳輸隔離以輪流傳遞數(shù)據(jù)、中斷插入事件的方式，發(fā)送信息到管理信息實時數(shù)據(jù)服務器，供相關管理人員查詢信息。

        生產(chǎn)控制區(qū)到管理信息網(wǎng)絡的傳輸數(shù)據(jù)傳輸使用電力專用的CDT規(guī)約，生產(chǎn)控制區(qū)數(shù)據(jù)線只接發(fā)送線，接收數(shù)據(jù)線完全斷開，不可能接收管理信息網(wǎng)絡的任何數(shù)據(jù)，從硬件上保證兩個系統(tǒng)的完全隔離，完全符合電力系統(tǒng)二次安全防護的要求，又滿足管理用戶查詢遠程實時生產(chǎn)數(shù)據(jù)需求。

         5．隔離用戶，增加共享

        利用三層交換機VLAN以及二層交換機的端口隔離，有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。

        用戶區(qū)所有交換機PC端口均設置隔離，需要共享打印機的部門購置打印服務器接入公共端口，既滿足共享打印的需求，又避免網(wǎng)內用戶使用嗅探工具、ARP攻擊、蠕蟲病毒攻擊等對其它用戶影響，惡意用戶無法獲得其它用戶的通信信息，信息安全風險大幅度降低，同時把廣播域劃分到最小，提高網(wǎng)絡響應速度，有效降低數(shù)據(jù)流量，延長設備的壽命，特別是低端網(wǎng)絡設備使用周期明顯增加。

         用戶端口隔離對個別應用帶來影響，如無法滿用戶間的資源共享足，需增加共享資源服務器，解決無安全管理需求的信息資源交換平臺，增加桌面管理系統(tǒng)監(jiān)控、管理用戶資源。

         6．在線監(jiān)控，入侵檢測

         網(wǎng)絡分析儀或網(wǎng)管系統(tǒng)，利用簡單網(wǎng)絡管理協(xié)議（SNMP）去調用交換機的MIB信息庫，在線監(jiān)測每臺交換機端口上流量的質量，實施諸如監(jiān)測交換機端口統(tǒng)計并掌握其趨勢的策略以及使用，清晰地掌握交換機的詳細情況和端口統(tǒng)計信息，還可根據(jù)安全策略直接關閉相應的交換機端口，徹底隔離故障或危險源。

        對于重點防護區(qū)的服務器區(qū)，通過鏡像數(shù)據(jù)進行入侵檢測，以便及時發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，保障數(shù)據(jù)安全。

        7．容災備份，演練驗證

        本地備份、異地備份是防止存儲設備硬件故障、火災及自然災害導致數(shù)據(jù)損壞的保障措施。在線備份與離線備份相結合，運行維護人員經(jīng)常演練驗證備份數(shù)據(jù)的完整可用，是信息安全的日常保障工作；關鍵網(wǎng)絡設備的分布式冗余配置，是網(wǎng)絡系統(tǒng)容災的重要組成部分。