公安网络安全建设范文第1篇

关键词：供电公司　网络信息　安全建设　管理

1.电力系统的安全指标

电力系统为各产业的发展提供电力资源，建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输，同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护，还包括对信息系统的保护、检测和恢复等[1]。为保证信息系统的稳定传输，电力企业应制定相应的安全指标。

1.1使用指标

系统中存储的信息必须具有使用价值，否则就没有必要存储进信息系统。因此，电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要，系统应为其提供相应的访问服务，避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理，给系统功能的正常发挥带来影响。

1.2保密指标

电力企业信息系统所用的数据信息必须进行保密，只允许授权使用的人员查看，并不得透露给其他人员。目前，多数电力企业采用“授权、认证”的方式进行信息的保密，只允许授权使用的用户使用信息系统。执行保密指标，必须确保信息不被损坏、篡改和窃取。

1.3存储指标

实现网络化控制是地理企业的改革创新，在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式，然后再根据实际需要进行合适的存储指标选择，保证使每项信息都能得到有效存储和维护。

1.4审核指标

对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作，给管理人员提供正确的决策和指示。此外，进行信息审核能够及时发现系统中存在的问题，提醒网络控制人员对异常情况进行及时处理，防止给信息系统的安全运行带来安全隐患。

1.5人员指标

人是电力网络信息系统中最关键的因素，系统最终需要技术人员的操作控制，如果专业人员技能不足，会给信息安全系统带来很大风险。如：操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等，都会给网络信息系统带来安全隐患，破坏网络信息传输的正常进行。

2.网络信息安全防护对策

对于电力企业来说，电力资源信息化涉及的面广，工程技术比较复杂，必须从总体考虑网络资源的安全问题。为规避风险，使网络系统的运行更加安全、高效，必须保证网络的安全隔离。具体可采用以下技术解决网络资源的安全：

2.1虚拟网技术

网络管理者掌握虚拟网技术可以营造网络运行的稳定环境，避免其受到外界因素的干扰。。在公共数据网络上，采用访问控制和数据加密技术，可以将两个或多个可信内部网进行互联[2]。

2.2数据库技术

为提前防范电力网信息出现被盗、丢失等异常，运用数据库技术通过数据备份的方式保存原资料，可以保证信息的安全。电力企业应创建数据备份中心，选择高品质的数据恢复技术，如遇到信息数据受损，可以进行提前修复补充，以保证信息系统的正常运行。

2.3防火墙技术

防火墙属于访问控制产品，它能够隔离开信任网络和不信任网络，在内部网络与外部不安全的网络之间设置障碍，对外界异常信息进行过滤控制，阻止来自外界的非法访问。能够有效的阻止黑客的攻击，实现对数据流的监控。如防火墙中的强制实糟，能避免企业信息遭受非法攻击或存取。

2.4病毒防护技术

电力信息网络系统所遭受的最大病害是病毒，它对各类信息的安全具有较大的破坏力。要解决好这个问题，应通过防毒、杀毒的等方式进行处理，营造稳定的信息系统运行的环境。可以在电力企业的服务器上安装防病毒软件，在每台PC机上安装防病毒软件。

2.5安全审核技术

安全审核技术的作用是审核系统上流通的数据信息，及时将在异常的数据信息拦截，避免其给网络系统造成干扰，有效的保护信息系统的安全[3]。

3.加强安全制度管理

电力企业的网络安全管理中，技术仅仅是一部分，经营者还应加强管理决策的改革创新，制定出科学的管理规划和制度。日常管理中，应从以下方面加强管理：

3.1强化安全意识

安全意识涉及到领导者和网络系统运用管理的每个人。电力企业的经营者应将安全意识放在首位，从安全角度出发，制定现有网络系统的安全管理策略，避免来自外在的破坏因素干扰或危害网络系统。企业的员工要不断的培养自己的安全意识，坚持以安全为原则进行系统操作，把握好每个步骤。

3.2及时进行故障处理

网络信息系统发生故障在所难免，当出现故障时，应及时、尽快组织技术人员进行处理，尽早解决故障给系统造成的不良影响。

3.3规划管理制度

网络完全管理制度的严格执行可实现网络系统的有序操作，让系统的每个环节都能安全可靠的运行。电力企业应制定网络系统安全管理的制度，对计算机操作人员进行专业考核、加强设备的管理等，有效预防并避免意外故障的发生。

4.小结

计算机网络系统在电力企业的运用深刻而广泛，存在各种各样的安全威胁。电力企业必须加强安全技术的管理和应用，确保信息系统的安全运行，为企业的安全生产提供有力的保证。

参考文献：

[1]赵慧岩.对计算机网络信息安全建设的探究[J].中国电子商务,2010(1):54.

公安网络安全建设范文第2篇

关键词:信息系统;网络安全

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01

Network Security Management of Highway Information System

Yuan Yujun,Li Xianshu

(JingHu Highway,North of Lin Management Office,Linyi276013,China)

Abstract:This paper analyzes the current situation,the importance of network security,combined with the actual highway information system network,analyzes the security vulnerabilities of its existence,and the corresponding solutions.

Keywords:Information system;Network security

随着IT技术的发展,政府、企业和个人越来越多的将政务、商务、经营等活动放到网络上进行,在网络应用越来越普遍、越来越重要的同时,它的安全问题就越发显的重要。据统计,现在全球每20秒就发生一起入侵网络的事件,超过半数的防火墙被攻破,每年因此而造成的经济损失超过80亿美元;在国内,超过76%的网络存在安全隐患,20%存在严重问题,并且有超过70%的网络安全威胁来自内部。与之相适应,网络安全已成为信息安全领域一个非常重要的方面,随着计算机网络的广泛应用,网络安全的重要性也日渐突出,当前国际国内社会,网络安全已经成为国家、国防及国民经济的重要组成部分。

山东省高速公路信息化“十五规划”中明确指出,山东高速公路信息化方针为:“统筹规划、突出重点、互联互通、安全可靠”。因此,在信息系统网络应用的同时,我们必须保证网络的安全,把安全放在比较重要的位置。

一、高速公路信息系统网络特点分析

高速公路以其高效、迅捷、安全的特点,在交通运输中越来越发挥其不可替代的作用。高速公路信息系统的建设,对改变交通管理模式,改进和完善高速公路管理水平,提高科学决策水平和快速反应能力,提高服务水平,改善道路运营环境,实现高效、优质、安全、舒适和道路运营目的,起着重要的推动作用。

截至2009年底,山东省高速公路信息系统(通信、监控、收费三大系统)已建成4300余公里,实现了收费站-分中心-中心-总中心四级联网,在全省高速公路已实现收费联网“一卡通”。信息系统中通信网实现了语音、数据和图像等业务功能,满足了收费网、监控网等的带宽要求,传输模式以及远程监控等要求;通过对多种外场设备控制,可对交通流量、气象情况、道路运行情况等信息进行采集和图像监视,实现了对整个路网全程、实时监控,生成并显示各种报表等功能;收费网实现了全省高速公路“一票直达”、全省统一收费,并按路段合理准确的进行结算和账务分割及对特殊收费情况进行监督管理的功能。而且,高速公路信息管理系统的三级管理体制(总中心、中心、分中心)已建立运行并在逐步完善。

综合以上,高速公路信息系统的网络具有以下特点:信息系统网络对我们的高速公路信息化建设事业至关重要;高速公路信息系统点多线长面广,管理体制和层次较复杂;随着高速公路建设的不断进行,信息系统的网络也将随之不断扩大。

二、高速公路信息系统网络安全隐患

目前,高速公路信息系统网络主要存在以下安全隐患:

(一)网络安全意识尚未深入人心,职工网络安全意识有待加强。

(二)信息系统点多线长,各路段信息系统由不同管理处,不同的部门负责,很难做到协调一致,统一部署;信息系统网络安全相关的规章制度尚未建立健全,相关的应急预案、方案尚未出台;对网络安全的检查考核工作尚未开展。

(三)黑客技术日益公开化、职业化,各种攻击日益频繁,病毒日益泛滥,重大网络安全事故日益增多,网络安全事件日益啬;与此相对应的是:高速公路信息系统(通信、监控、收费)尚未应用必要的网络安全设备、尚未采用一定的网络安全措施。

(四)现有计算机操作系统已发现2000多个漏洞,而且每一个漏洞均有可能被黑客利用,对计算机、信息系统网络造成重大的危害。

(五)对防范内部员工的误操作或恶意攻击没有很好的办法。

三、切实加强网络安全建设

结合高速公路信息系统网络的特点,为加强山东高速网络安全建设,应当坚持以管理为基础,以制度为保障,以技术为实现手段的中心思想,并注重以下几个方面:

(一)加强网络安全教育,培养员工的网络安全意识,使每个员工都认识到网络安全的重要性,并且能够掌握必要的网络安全防范知识。网络安全工作不能单靠网络安全设备或个别的网络管理售货员,而是需要单位领导高度重视、全体员工共同努力,才能够切实保证信息系统网络的安全。

(二)建立专门负责信息系统网络安全的机构,统一指挥、协调一致,并明确各相关部门的网络安全责任和义务,做到网络安全各相关部门权责分明。

(三)对全体员工进行网络安全培训,全面提高职工的计算机水平及网络安全防护能力。

公安网络安全建设范文第3篇

【关键词】信息安全双网隔离分区分域安全接入积极管控

在信息化时代，网络空间承载着国家政治、经济、文化和军事发展与安全的重荷，网络空间存在的黑客攻击、网络犯罪和网络恐怖主义事件层出不穷，网络空间安全已上升到国家安全战略的层面，美国政府于2011年5月16日的《网络空间国际战略》引起世界各国瞩目，向我们传递了许多新的信息，值得认真思考和研究，同时也为中国与时俱进地提升网络安全战略地位，转换网络安全建设思维，增强国家网络安全利益的护持力度提出参考和要求。本文在遵循国家信息安全等级保护政策、标准及电力行业相关要求下，结合作者所在单位的信息安全网络建设实际情况，探讨如何建设安全、可靠、高效的电力企业信息安全网络。

一、双网隔离原则

随着电力企业信息化建设不断推进，现在许多企业都建设了自己的网络系统，是以企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、ERP内部运行管理系统等，极大的提高了办公效率，实现信息的实时传输和信息共享。通过与Internet国际互联网相连，方便员工查找相关的技术资料，及时了解和掌握最新咨询。由于信息技术的发展又不断推动现代办公逐渐走向信息化、智能化、移动化，宽带技术的增强、无线网络的普及，促使移动办公得到飞速发展，传统的办公室随之拓宽领域，办公不再拘泥于办公室，无处不在的网络使随时随地进行办公成为可能，移动办公使办公效率大大提高，突破了时间与空间的局限。但是在给我们带来极大便利的同时也带来了严重的安全问题，尤其是病毒破坏、黑客入侵，甚至系统内部的泄密，信息化条件下各种网络的普及，为黑客提供了展示其娴熟技法的空间和舞台，它能在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。众所周知，国际互联网是以国际化、开放和互联为特点的，而安全度和开放度永远是一对矛盾。虽然，目前可以利用防火墙、防毒墙、服务器、入侵检测等技术手段来抵御来自互联网的非法入侵，但至今这些技术手段都还存在许多漏洞，还不能很好地解决信息的安全问题。在现在国际互联网网络不可掌控的情况下，当今信息安全问题已经上升到国家安全层面，全球都很重视，信息网络安全面临“外侵内泄”的情况下，用类似“惹不起，躲得起”的智慧，推导出留得青山在，以退为进的柔性曲线安全策略，双网隔离的解决方案。

在国家和行业几个红头文件下发之后，电力企业的信息化建设和规划正在紧锣密鼓进行，双网隔离早已成为电力企业信息安全的必修课。双网隔离技术在一定程度上解决了电力企业信息化建设的困境，满足了当前安全需要。通过双网隔离这样的办法，尽量减少互联互通，减少接触面，杜绝多出口多互连所带来的业务是否需要上网界定不清无法控制问题，而且互联互通程度越高，对人员、管理、运维要求也越高。今天，日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节，是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。安全隔离网闸是采用双主机+物理隔离开关的硬件结构，结合高强度的网络协议分析和控制的软件系统，共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。简单的说，安全隔离网闸是一套双主机系统，两个主机之间是永远断开的，以达到物理隔离的目的，双主机之间的信息交换是通过借助拷贝、镜像、反射等第三方非网络方式来完成的。当数据需要从外网下载到内网，或者和内网通讯时，安全隔离网闸在内外网之间扮演着一种类似“信息渡船”的角色。信息技术是动态发展的，“道高一尺，魔高一丈”，安全不是绝对化的。

作者所在企业的双网隔离方案是集团本部和分公司分别部署安全隔离网闸，三级单位及电厂的内外网实现完全的物理隔离。每个三级单位及电厂均有专线通道到分公司，每个分公司又有专线通道到集团本部构成整个集团内网，大集中方式部署在集团内网的应用系统正常情况下均通过集团安全隔离网闸实现内外网安全访问和数据摆渡，分公司部署的应用系统均从分公司安全隔离网闸实现内外网安全访问和数据摆渡，三级单位原则上不允许部署单独的应用系统，现有系统将逐步集中到分公司层面，三级单位及电厂严禁内外网互联互通。这样就形成了两个网络，双网（内外网）共存，内网作为集团企业内部各业务应用系统信息网络基础平台，外网各单位分别与Internet国际互联网互连。其实作者认为外网也同样应该减少局域网与互联网的互联互通，因为人员编制等原因，实际上各单位的信息网络管理和维护水平和领导重视程度都不一样，参差不齐。

二、分区分域防护原则

划分安全域是构建企业信息安全网络的基础，提高抗击风险能力，提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏，它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。各业务应用服务器区域是内部各应用管理系统所在区域，包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、ERP等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备，是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域，这个区域一般包括DNS、DHCP、防病毒、桌面管理系统、网管系统、IT运维管理平台和安全运维管理平台SOC等。内外网安全隔离区域是用于内网与外网摆渡的区域，是内网与外网通信的唯一出口，其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明，为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心，所有其他区域均经过核心区域进行交互，这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例，它和网络核心区域中间部署安全设备，对过往的流量起到控制作用，以达到安全防护。再以广域网接入区域为例，它和网络核心区域中间部署安全设备和主动防攻击设备，达到更高层级的防护。分区域防护的设置，将降低外界对信息系统的物理攻击和网络攻击的危害性，以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DMZ区域、与内网安全隔离区域和与Internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSL VPN系统。DMZ区域是提供给互联网用户访问的系统，主要包括WWW、Email、外部DNS等服务器，DMZ区域的服务器禁止访问其他区域，避免来自互联网用户攻击或控制DMZ区服务器后影响或威胁其他区域。拓扑结构如下图：

三、应用虚拟化接入原则

双网隔离方案的建设极大提高了内部网络的信息安全水平，却又面临一个新的问题，内外网之间信息安全交互受到制约，保密性（Confidentiality）和可用性（Availability）矛盾日益凸出。一方面随着双网建设的不断深入和推进，对信息系统的安全性要求越来越高；另一方面随着公司信息化建设的不断深入，投入的业务系统不断增加，用户业务快速发展，商务出行及会议等逐渐增多，导致公司员工无法遵循业务要求的标准化，流程化，及时地处理文件，从而使整个业务停滞不前，同时随着集团双网改造和建设的不断深入和推进，原有VPN移动办公解决方案从安全和性能上都已经不能满足要求，限制了信息系统的效益，阻碍了业务的处理。移动办公也面临着诸多方面的挑战，今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展，从基础安全向细粒度的高阶安全发展。双网改造后，如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用？如何对员工的访问进行有效地控制，实现便捷高效访问被授权资源？如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等？

作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案，采用虚拟化技术的安全堡垒平台和SSL VPN设备，使用数字证书或UKEY登录，彻底解决了双网环境下跨网访问、移动办公的难题。安全堡垒平台将应用虚拟化技术应用于信息安全领域，将应用100%在服务器运行，没有任何应用组件运行于客户端环境，以虚拟的方式与客户端交互，实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算，实现虚拟应用交互、本地化应用体验，客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息，没有实际的业务数据流到客户端，客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系，包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次，可以实现多级的用户管理和细粒度的用户授权，可以完成对用户整个生命周期的监控和管理，制定统一的、标准的用户账户安全策略，捆绑具体用户，对用户、行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。还可以通过对用户访问的行为全程录制，实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSL VPN设备，手机和平板电脑通过数字证书，笔记本电脑通过UKEY与安全堡垒平台建立虚拟的专用VPN隧道加密，从而实现了4A（认证Authentication、账号Account、授权Authorization、审计Audit）的安全标准。

四、积极管控原则

随着信息技术的快速发展，信息化建设的不断提高，各种应用系统逐渐上线运行，各种业务也开始在网络上开展起来，有些应用已经是在整个集团正常运行，同时网络的扩展也为病毒和木马的传播提供了便利的条件，各种极具破坏性的病毒在网络中流窜，使网络拥堵不堪，甚至瘫痪，也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利，所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义，一旦网络瘫痪或信息泄密，后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束，反而对整体信息网络的安全防护和监督控制提出了更高的要求，必须要加强对信息安全的管理和控制，提高信息安全意识。

作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署，实现负载均衡和单点失效保护，利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSL VPN、IPS、IDS、WAF等网络产品构建安全高效的信息网络基础架构平台，在设备选型时尽可能考虑厂家异构和产品异构，安全设备必须是国产自主知识产权产品，尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、IT运维管理平台和安全运维管理平台SOC，既满足了信息安全运维管理的需要，同时也能满足国资委信息化检查和数据收集报送的需要。采取细分VLAN来减少网络病毒影响的范围，防止类似ARP泛洪攻击，利用DHCP服务器绑定MAC地址方法管理客户端IP地址，使用桌面安全管理系统有效管理和控制客户端，包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控，预判故障和攻击行为，实行主动防御、及时处理，将这些对智能电网建设和运行中可能发生的不安全因素，消灭在萌芽状态之中。

随着企业网络建设规模的不断扩大及上网人员用户的增加，不可避免带来泄密隐患。企业必须正视现实，处理好安全与应用方便性之间的关系，提高认识，高度重视信息网络安全问题。对于因特网的弊端，不能矫枉过正，不能因为因特网对企业信息安全形成了巨大威胁，就强制要求所有单位和用户断开与因特网的连接，这样无异于“因噎废食”。在当前“双网隔离”不失为一种有效的解决方案，然后通过安全分区域防护，部署相应安全产品和系统保证各业务应用系统和各种客户端在授权模式下，都能安全访问所需业务并实现事后追踪审计。当然双网隔离的应用不但没有降低对管理的要求，反而带来新的管理问题，对管理要求日渐提升。我们要以“三分技术、七分管理”作为信息安全管理基本原则，其中最重要的还是人，我们不要太崇拜技术，人的安全意识提高才是最重要的，现在很多信息网络基础平台建设很全面，安全制度制定得也很完善，但在执行过程中，常常被打破，被忽视，现在其实缺乏的不是技术，很多时候欠缺的是一个完善的体系化的管理机制。

参考文献

[1]刘勃然，黄凤志.美国《网络空间国际战略》评析.东北亚论坛，2012年3期

[2]孙军军，赵明清，李辉，冯梅.企业信息安全现状与发展趋势分析.信息网络安全，2012年10期

公安网络安全建设范文第4篇

【关键词】 管理 信息安全 准入

一、专业管理理念和目标

1.1 专业管理的理念或策略

信息安全管理的理念为主动作为，从技术上做到信息安全“可控、能控、在控和预控”，实现事前认证、事中监控、事后审计的全流程安全管理。

1.2 专业管理的范围

综合数据网信息安全体系建设涉及公司所有员工。

1.3专业管理的目标

信息安全体系建设的目标为违规外联事件为0，桌面弱口令为0，杀毒软件安装率为100%，桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。

二、当前的计算机网络安全形势

随着信息化的发展，业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机，在计算机上安装非法软件，肆意破坏网络和业务系统，外来电脑接入本单位计算机网络等问题时有发生，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需下载一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。

三、国网眉山供电公司综合数据网信息安全现状

国网眉山供电公司综合数据网经过2011年到2012年的大规模建设，网络覆盖到了35KV变电站及供电所等机构，形成了规模巨大的数据网络，包含连接各级机关、各个电压等级的变电站和供电所的广域网，以及各个站点的局域网。

综合数据网的建成为所有办公终端提供了高速数据通道，大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多，爆发的安全问题多，管理难度很大。从国网推广的北信源安全管控系统监控的结果来看，目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多，北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果，但是没有建立一套全方位的安全技术系统，提升网络的安全性，保护电力公司的信息资产安全。

为了真正提升网络安全性需要建立一个整体安全架构，从局部安全、全局安全、智能安全三个层面，建设一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。

四、国网眉山供电公司综合数据网信息安全体系建设规划

4.1局部安全

目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备，防火墙能够进行边界保护和基于网络层面的访问控制，但是对应用层的攻击如通过Email携带病毒，通过网页挂木马方式对用户攻击等不能够阻断，应用层攻击行为能够对业务系统造成较大损害。

局部安全建设要对电业局网络进行分区：外联区、服务器区、接入区。外联区：外联区是国网眉山供电公司与省干网连接的边界区域；服务器区：服务器区是国网眉山供电公司的数据中心，存放重要的业务数据；接入区：接入区是各个站点及电力公司的局域网区域；

完成局部安全建设后，本电业局与省公司及其他电业局之间的安全攻击将被隔离，本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施，所以需要重建安全技术体系。

4.2全局安全

全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击，但是不能够控制攻击的在内部的泛滥，需要通过网络设备的准入功能，在网络的与用户终端的边界建立准入机制，只允许合法的用户访问网络，且只允许合法用户符合安全要求的终端访问网络，并通过客户端软件强制功能提升终端的自身的安全性。

全局安全的主要建设内容为：

身份认证：变开放的网络为封闭网络防止外来非法计算机访问网络；在网络接入设备上开启网络认证功能，开启该功能后，当计算机接入网络时是无法转发任何数据的，只有认证报文能够通过网络与认证服务器交互，只有合法的员工输入正确的用户名和密码后认证成功，该用户获得第一级访问网络的权限，仅能够访问安全隔离区；外来的非法计算机因没有账号和口令而无法向网络发送任何数据。

安全评估：加强计算机的安全性，只有符合安全规范的计算机才能够访问网络；当合法员工输入正确的账号和口令后获得第一访问网络的权限后，启动对计算机的安全检查，检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令，与弱口令字典进行比对，如果存在弱口令则认证失败，要求用户修改口令，直到口令改为强口令，避免被破解口令后远程控制该计算机；防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库，如果没有安装防病毒软件或者病毒库没有更新，则认证失败。并要求计算机访问安全隔离区进行修复，安装防病毒软件或者进行病毒库升级，保证计算机具有防病毒能力，能够对通过计算机外设及通过网络散播的病毒进行杀毒。

软件管理：目前国网要求所有终端安装北信源的安全管控软件，但是部分终端没有安装，导致无法评估真实网络安全状态，建设全局安全启动了网络准入功能，如果终端不安装北信源软件就无法访问网络，通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件，提升国网考核的注册率。

防内网外联：启用网络准入功能后，准入客户端可以在终端上对网络驱动下发隔离策略，只有被安全认证服务器认证通过的网卡才能够访问网络，而安全认证服务器是在信息内网中的。当终端接入到互联网上时，只有认证数据能够通过，因互联网上没有安全认证服务器所以认证不通过，终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网，因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。

全局安全建设后，对于具有安全隐患的终端将无法接入到网络，大大提高网络的安全性，终端自身也具有了较高的防御性，可以抵御网络中的攻击。

4.3智能安全

局部安全和全局安全建设后，整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击，将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化，智能安全的目标是使得终端具备智能提升安全性能力，通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁，避免操作系统受到漏洞攻击；当病毒库版本升级后终端能够自动进行升级。

另外，部署安全审计服务器将整个网络中的网络设备、安全设备、业务服务器等日志能够统一管理，当出现安全事件时能够主动告警并快速定位，并且可以隔离攻击源。

公安网络安全建设范文第5篇

根据国家发展改革委、财政部《关于加快推进国家电子政务外网建设工作的通知》（发改高技〔〕988号）、省政府办公厅《关于加快推进电子政务外网建设工作的通知》（政办〔〕233号）、省信息中心《关于做好电子政务外网建设工作的函》（信字〔〕9号）文件精神，结合《州年电子政务工作要点》，现就加快推进我州电子政务网络建设通知如下：

一、充分认识加快电子政务网络建设的重要性和紧迫性

电子政务网络是电子政务稳步推进和可持续发展的基石，是电子公文传输、电视电话会议、党政协同OA等电子政务重点业务系统普及应用的支撑平台，也是各级政府履行职能，打造效能政府、阳光政府、透明政府的有效手段。我州电子政务网络按照统一规划、分级负责的原则进行建设，经过几年的持续快速发展，电子政务内、外网络建设取得了显著成效。电子政务内网基本实现了“纵向到底、横向到边”的建设目标，电子政务外网已完成州电子政务技术中心至州级各主要职能部门的横向城域网建设。根据国家电子政务发展规划，电子政务内、外网络将成为自上而下、纵横融合的两大基础网络平台，为避免重复投资、重复建设，充分利用好已建电子政务公共设施，国家发改委今后原则上不再批准建设新的部门专用业务网络。各地区要充分认识加快电子政务网络建设的重要性和紧迫性，认清形势、把握机遇，紧紧抓住全州电子政务网络建设整体推进、给予设备和技术支持的有利契机，加强组织领导，着力推进本地电子政务基础网络建设。

二、全州电子政务网络建设的基本原则及标准要求

全州电子政务网络建设要在州政府电子政务技术中心的规划指导下，按照统一标准和规范有序推进。各地区在规划建设本地区电子政务网络时，要按照全州电子政务网络建设标准（每栋入网行政办公楼的每间办公室要设置2个以上完全物理隔离的内、外网信息节点），对本地区电子政务内、外网络进行同步规划、同步建设。

1、纵向骨干电路建设。根据全州电子政务外网建设总体规划，州至各地区纵向骨干电路由电信、移动两家运营商共同承建，形成高效、安全的双回路网。在年4月25日前完成电路建设、调通测试电路。

2、地区横向网络建设。各地区横向城域网络建设及本地区互联网出口电路租赁等工作，由各地区政府与当地电信、移动、联通等运营商自主洽谈确定，可根据实际洽谈情况，综合当地运营商合作意向、承建能力、线路品质、技术力量、租赁费用及本地区电子政务长远发展等因素合理选择一家或多家运营商的互联网资源作为本地区电子政务外网的互联网出口电路（出口电路带宽可根据本地区入网单位数量、上网速率要求等实际需要科学确定），按照“以租代建”（通过本地互联网出口电路租费来带动横向网络建设）的原则，由选定的运营商按照全州电子政务网络建设标准于年底前完成本地区横向城域网络建设。

3、现场指导建设。州政府电子政务技术中心近期将会同省信息中心、电信公司、移动公司等相关单位，成立电子政务外网建设工作组赴各地区对纵向骨干测试电路、地区首批13家横向电路进行现场指导建设，请各地区安排得力技术人员进行全程配合、学习。今后，，地区横向电子政务网络由各地区政府按统一标准和规范自行规划建设，州政府电子政务技术中给予必要的远程协助和电话指导，原则上不再专门组织安排人员进行现场指导。

三、加强电子政务网络安全体系建设的统一规划和管理

各地区要根据全州电子政务网络安全等级保护的有关规定，配合州政府电子政务技术中心同步规划、建设本地区电子政务网络安全防御体系，合理划分安全域，采取相应的信息安全等级保护措施，实现州、县级网络中心与各级入网单位的分级、分域保护，实现不同网络安全域之间的可信接入，保障各自业务系统的信息安全。按照统一规划、统一管理的原则合理分配本地区IP地址资源，对接入电子政务网络的所有计算机进行MAC地址、IP地址、交换机端口的有效绑定，以减少局域网内IP地址冲突，防止ARP攻击，提高网络的安全性。加强网络安全保障制度建设，落实信息安全保障责任，明确政务网络安全主管领导和工作部门责任人，对入网计算机进行登记备案，定期检测网络运行状况，及时排解安全隐患，确保全州电子政务网络安全稳定运行。

四、落实项目配套资金确保电子政务网络建设顺利进行

电子政务建设所需财政性资金采取分级负担的方式予以解决，各地区要统筹财力，加大对电子政务网络建设和运行维护的资金投入力度，根据项目建设要求，抓紧落实地区配套资金，确保必要的项目建设经费，推动地区电子政务健康持续发展。

1、州级专项经费。州至各地区电子政务外网纵向骨干电路租赁费用由州级财政统一安排解决；各地区电子政务外网建设所需核心路由器、核心交换、网管交换、网管计算机、网络机柜、首批13家部门接入路由器等设备由州政府统一配送；各地区首批13家接入单位横向网络电路、办公局域网综合布线由州政府按照“以租代建”原则（通过州至各地区纵向电路专用租费带动项目建设），协调电信或移动公司按照统一标准和要求建设；州政府电子政务技术中心对各地区网络规划设计、建设实施给予必要的技术支持和业务指导，对重视程度高、配套资金落实好、规划建设进度快的地区在后期横向网络建设时给予一定数量的部门接入路由器、交换机等设备支持。

2、地区配套资金。各地区电子政务外网横向网络（不含首批13家接入单位）建设、本地互联网出口电路租赁等费用由各地区政府统筹安排解决；地区电子政务横向内网节点租费由各地区政府与当地电信公司洽谈确定，通过降低每个节点租费或参照州本级财政供养单位整体打包租赁等方式有效降低电子政务内网年租费。整体打包方式即将本地区所属财政供养单位（含事业单位、二级局）作为一个整体，进行商谈确定电子政务内网年租费，合同期内租费不因机构改革、办公楼搬迁等新增节点而增加。