安全防护系统建设方案范文第1篇

关键词：电力 信息安全防护 等级保护 安全域

中图分类号：TP309 文献标识码：A 文章编号：1674-098X（2016）12（b）-0055-03

为深化电力信息化工程安全防护体系建设，落实工程安全防护总体方案，制定此操作指引，为电力信息化依据总体方案开展信息安全建设提供参考。

1 安全域划分设计

依据国家电网公司安全分区、分级、分域及分层防护的原则，首先，各单位网络分为管理信息大区与生产控制大区；其次，管理信息大区按照双网隔离方案又分为信息内网与信息外网。电力工程安全防护总体方案的设计作用范围为信息内网和信息外网的一体化平台以及业务应用相关系统，在进行安全防护建设之前，应首先实现对信息系统的安全域划分。

对于一体化平台与业务应用安全域划分依据总体方案中定义的“二级系统统一成域，三级系统独立分域”的方法进行，信息内网的系统基本上可分为：（1）ERP系统域；（2）电力市场交易系统域；（3）财务（资金）管理系统域；（4）办公自动化系统域（总部）；（5）营销管理系统域；（6）二级系统域；（7）桌面终端域。信息外网的系统可分为：（1）外网应用系统域；（2）桌面终端域。

安全域的具体实现可采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式。基本实现目标为划分各域网络边界并进行访问控制。

进行安全域划分后，国家电网公司总部、网省、地市所划分出的安全域与数量如表1所示。

2 安全域的实现设计

安全域实现方式以划分逻辑区域为目标，旨在实现各安全区域的逻辑隔离，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网络或逻辑网段的集合。对安全域的划分手段可以参考采用如下方式（以下方式可能出现技术重叠，以最终实现网络分域并可进行访问控制为目标）。

2.1 防火墙安全隔离

可采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。

2.2 虚拟防火墙隔离

采用虚拟防火墙实现各安全域边界隔离，虚拟防火墙可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在该方案中，可以实现为每个安全域建立独立的虚拟防火墙进行边界安全防护。

2.3 三层交换机Vlan隔离

采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制。

2.4 二层交换机Vlan隔离

在二层交换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制。

对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将一个公司层面上的多个物理网络或子网归属于同一安全域进行安全体系建设。

3 明确所要防护的对象

在进行安全防护体系建设之前，首先需明确所要防护的对象，将所要防护的对象对应至整体信息网络环境与相应的安全域中，设计所保护域的边界、网络、主机及应用。

（1）边界安全防护。针对信息内外网第三方边界、纵向上下级单位边界以及横向域间边界进行安全防护。

①信息外网第三方边界为国家电网公司信息外网与互联网的网络边界。

②信息内网第三方边界为国家电网公司信息内网与其他利益相关方（如银行、代收机构）间的网络边界。

③信息内外网边界为信息内网与信息外网间的边界，采用逻辑强隔离装置进行隔离。

④纵向上下级单位安全边界包括国家电网总部与各网省分司间、各网省公司与地市公司间、地市与县级单位间的网络边界。

⑤横向域间边界指划分出的各安全域之间的边界，如营销管理系统域与ERP系统域之间的边界属于横向边界。

在进行边界安全防护之前，首先应当制定出边界清单，对各网络边界进行登记。

（2）网络环境安全防护。包括所要防护的基础网络及安全域范围内的网络设备和安全设备。

（3）主机系统安全防护。包括承载所防护的安全域中的应用系统的操作系统、数据库的安全防护。

（4）业务应用安全防护。包括应用系统及通过用户接口、数据接口所传输数据的安全防护。

4 可共用的安全防护措施设计

划分安全域防护带来的成本增加主要为网络边界隔离设备的投入和网络安全防护设备的投入。

（1）逻辑隔离设备的成本。如，防火墙、路由器等成本。针对逻辑隔离设备的成本控制，可采取将多接口防火Α⑿槟夥阑鹎健⑼络交换机Vlan间访问控制等措施在多个安全域间共用的方式实现。

（2）网络安全防护设备成本。包括实现防护所需的入侵检测、弱点扫描系统等。可采用在多个安全域共用一套入侵检测系统，在各安全域仅部署入侵检测探头，所有安全域可采用统一的一套弱点扫描器等复用防护措施以降低防护投入。分域所带来的只有边界和网络层面上的投入增加，对于主机、应用相关的安全措施不会增加投入。

4.1 明确可共用的安全防护措施

分析所有设计的安全防护措施，考虑可共用的安全防护措施，整理目前已完成建设的安全措施，对于不能通过安全产品实现的，需通过功能开发或配置更改等方式来实现。

在网络边界部署边界防护安全措施时，在满足功能及性能要求的前提下，应尽可能地采用较少的设备实现，例如：采用UTM或IPS设备可以实现网络访问控制功能且性能可以接受，则可不再专门部署防火墙。

对于通过部署安全产品实现的防护措施，可采用包括但不限于如下实现共用的方式。

（1）防火墙。

添加防火墙硬件接口模块实现边界访问控制。

添加防火墙管理系统中的策略和对象资源实现边界访问控制。

多安全域共用多接口防火墙、虚拟防火墙、交换机Vlan隔离等方式实现域间访问控制。

（2）UTM统一威胁管理。

添加UTM硬件接口模块来实现统一威胁管理。

添加UTM管理系统中的策略和对象来实现对资源的统一威胁管理。

（3）入侵检测系统。

添加软件网络入侵检测系统的网卡以增加可监测的网段。

在交换机上添加硬件网络入侵检测模块以实现对多网段的监听。

在交换机上增加镜像端口以实现对多网段的入侵检测侦听。

在网段分别部署硬件入侵检测探头以实现对多个安全域的分别监测。

在各重要业务主机部署主机入侵检测以实现对主机的入侵检测。

（4）弱点扫描系统。

采用一套共用的弱点扫描系统，在扫描系统上添加授权主机的扫描地址范围，将扫描系统安装在笔记本电脑上以实现对各安全域系统的扫描。

（5）桌面终端安全管理系统。

采用统一的桌面安全管理系统，分别部署于信息内外网集中进行管理。

（6）防病毒系统。

在信息内外网分别采用统一的网络版防病毒系统，将所有Windows服务器安装防病毒客户端，统一进行管理，或在服务器上安装单机服务器版本的防病毒软件。

（7）安全事件/日志分析系统。

在信息内外网分别采用统一的安全事件及日志分析系统。

（8）入侵防护系统。

在信息外网应用系统域的网络边界上通过添加入侵防护硬件实现对各系统互联网应用的入侵防护。

通过添加入侵防护管理系统中的策略和对象以实现对特定资源的入侵防护。

（9）备份恢复软件。

可在信息内外网分别采用一套统一的备份恢复软件对各业务数据进行统一备份，在各应用服务器上添加备份。

4.2 设计不可共用的安全防护措施

对于不能通过安全产品实现的安全防护措施，可通过专项研发来实现。

对于通过安全产品实现的安全防护措施，依据安全防护总体方案中的安全防护措施设计来选择安全产品。

产品选型时，对产品的选型原则、选型范围、功能技术要求等方面进行说明，然后依据产品选型要求对安全产品进行测评和筛选。

5 安全防护措施实施设计

5.1 安全控制措施实施设计

实施安全控制措施应该遵循总体方案设计，分阶段落实安全控制措施建设。这包括安全控制开发和配置、安全控制集成、测试与验收等主要环节。

（1）安全功能开发和配置。对于一些不能通过部署安全产品来实现的安全措施和安全功能，通过软件功能设计、开发和配置来实现。

（2）安全控制集成。将不同的软硬件产品集成起来，依据安全设计方案，将安全产品、系统软件平台和开发配置的安全控制与各种应用系统综合、整合成为一个系统。

（3）安全产品测试与验收。在安全产品上线前应当对设计的功能进行测试，并经过试运行后完成验收。

（4）安全运行维护。完成安全体系建设后，将进入安全运行维护阶段，各单位应当严格遵照国家电网公司相关运行维护要求及各安全产品的运行维护手册及要求进行系统运行维护。

5.2 安全控制措施变更设计

经过一段时间运行后，随业务系统及信息环境的变化，安全控制措施可能需要进行变更，需注意以下几点。

（1）确定是安全体系局部调整还是重大变更，如果涉及到安全域变化需要重新依据防护方案进行设计；如果仅局部调整可修改安全控制措施的配置实现。

（2）由变更发起人向主管领导进行书面申请并要记录相应变更行为，确保变更实施过程受到控制，保证变更对业务的影响最小。

（3）对变更目的、内容、影响、时间和地点以及人员权限进行审核，以确保变更合理、科学的实施。

（4）变更应当制定详细的计划并在非关键业务时段进行，并制定相应的回退计划。

6 结语

该课题对电力公司信息系统等级保护安全策略进行研究，采用了安全域划分设计，通过该课题设计实现信息安全等级保护建设的层次及过程，有效地将信息安全总体方案进行贯彻执行。

参考文献

[1] 枪威.数字化变电站中信息处理及网络信息安全分析[J].电力系统保护与控制，2007，35（12）：18-22.

[2] 胡炎，谢小荣，韩英铎，等.电力信息系统安全体系设计方法综述[J].电网技术，2005，29（1）：35-39.

[3] 胡炎，谢小荣，辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术，2006，30（4）：36-42.

安全防护系统建设方案范文第2篇

关键词：防雷、太阳能加热、系统

中图分类号：TE355文献标识码： A 文章编号：

一、防雷系统防雷设计方案

采油计量站一般都运行于“高风险”环境下，既对于雷害风险的“暴露程度”很高，因此需要采取强有力的防护措施。根据《建筑物防雷设计规范》、《石油与石油设施雷电安全规范》、《石油库设计规范》等国家标准及《雷电电磁脉冲的防护》标准，在做好站内防直击雷防护的同时，还需对电源线路做好两级雷电防护。

1、高压电力线的防护

在雷电活动频繁、雷电强度大、雷暴日多的地区，当雷击建筑物附近的交流供电线路时，为防止雷电沿电力线路侵入建筑，对高压电力线以及变压器实施保护。

《建筑物防雷设计规范》要求：在电气接地与防雷的接地装置共用或相连的情况下：当低压电源线路用全长电缆或架空线换电缆引入时，宜在电源线路引入的总配电柜处设过电压保护器，当Y，YNO或D，YN11型接线的配电变压器设在建筑物内或附设与外墙处时，在高压侧采用电缆进线的情况下，宜在变压器高、低压侧各相上装设避雷器，在高压侧采用架空进线的情况下，除按国家现行有关规范的规定在高压侧装设避雷器外，宜在低压侧各相上装设避雷器。

2、建筑内配电线路及设备过电压防护

引入站内的交流电力线宜采用买地电力电缆。其电缆金属护套的两端均应作良好的接地。交流供电变压器高压侧，按供电局要求按照一组无间隙氧化锌避雷针；低压侧，安装开关型电源防雷模块或一级电源防雷箱。变压器的机壳、低压侧的交流N线，以及与变压器相连的电力电缆的金属外护层，应就近一点接地。

配电屏引出的三根相线及N线，应安装限压型电源防雷模块或电源防雷箱。建筑的电缆金属护套在入室处应作保护措施，电缆内芯线在入室处应加装防雷器，电缆内的空线对亦作保护接地。建筑内所有交直流用电及配电设备均应采取接地保护。交流保护接地线应在接地汇集线上专引，严禁采用中性线作为交流保护接线。

二、专用太阳能加热装置的保养与维护

1、油田专用太阳能加热装置选用可靠高效的集热器件、智能自控的运行模式，在正常使用、连续运行的状态下无须专人值守。

2、油田专用太阳能加热装置的太阳能集热设备由公司专利设计防垢、防泥沙沉积，具有较好的水质适应性。为保持集热性能的持续高效，应定期清洁集热器真空管外壁积尘，及时清除阳光遮挡物；意外损坏（破损、无真空度、脱膜变色等）的真空管须及时更换。

3、油田专用太阳能加热装置PLC可编程操作系统设定的数值请勿随意更改，以免影响系统正常运行。系统管理员可根据系统运行实际情况及当地气候特点参见本说明书适当修改参数。

4、系统控制柜内的漏电空开须由专业电工定期进行漏电测试；

5、系统运行控制执行设备循环泵的过滤器应定期清理，防止水中杂质损坏设备；手动阀门关闭不严时应及时更换。

6、系统管路应定期查看是否有滴漏现象，并及时维修。

7、系统管路保温在每年秋末、春初应各检查一次，确保系统保温效果良好。

8、系统室外循环管路每年入冬前应进行例行检测以保证冬季室外管路保温防冻效果良好。

9、系统集热循环应定期查看是否缺液，判别方法为：在无日照时检查热媒贮热水箱上置压力表数值是否正常（工作压力0.05-0.2Mpa），压力低于0.05Mpa时，请通知专业人员查看判定，进行补液排气处理。避免因集热循环气阻影响集热效果。补液箱内是否有泄压排出的超导液。如有缺液，及时通知专业人员给系统补加。晴好天气下因停电且时间较长时易出现缺液情况。

10、系统集热循环应定期查看是否气阻，判别方法为：晴好天气下集热能力明显降低；集热温度在持续循环状态下高温无变化；集热循环泵及循环管路噪音明显增大。请通知专业人员查看判定，进行排气处理。晴好天气下因停电且时间较长时易出现气阻情况。

11、 系统加热循环应定期查看循环管路上的压力表数值（正常工作压力0.05-0.2Mpa），压力低于0.05Mpa时，请通知专业人员查看判定，进行补液排气处理。避免因换热循环气阻影响换热效果。

12、注意：缺液后请及时补充纯净水，严禁直接添加污水！

13、长时间（特别是夏季）不使用装置，请对现场集热器进行遮挡。

三.自动化计量系统

1、 系统应具有良好的伸缩、扩展性。

可根据实际需求构建系统结构，针对复杂应用，可以模块化的进行系统组合，快速适用需求变化。针对监测点数量，可以减少或增加服务器组服务器数量。

2、 实现B/S 、C/S结构的无缝集成

系统具有多种模式的工作站模式，可针对不同用户的需求，采用不同的工作站模式，有效解决因网络等各种情况引发的各种问题。

3、 系统具有异地远程操作能力

系统可以方便用户进行移动办公，主要能够接入Internet，就能对系统进行操作，能够随时随地的了解系统信息，方便出行。

4、 系统提供数据接口，可以方便的接入其他系统

在构架解决方案时充分考虑了对原有硬件设备和应用软件系统的整合，或以后新系统的升级，从而在利用解决方案构建的新系统保持对原有系统的平滑过渡，保护原有投资;与此同时，解决方案中提供强大的数据源管理功能及各类规范的系统接口，能够与其它系统有效集成。

5、 系统实现内部高效的数据访问和数据交换，实时性优异。

实时性是系统优劣评价的一个关键要素，也是客户评价好坏的关键指标。本解决方案实现了系统内部高效的数据访问和数据交换，系统实时性优异。

6、 解决方案的软硬件设计中贯穿了系统可良好维护的理念，使得解决方案的实施高效，后期维护快捷方便。

7、 系统具有良好的安全保护机制。

系统正常运行的前提是保障安全。系统中涉及的安全因素众多，依托先进的技术和强大的系统能力，解决方案中整合了安全技术，业务数据处理安全技术，防火墙安全技术、数据库安全技术等众多安全技术，从各个安全环节保证整个解决方案的安全可靠。

8、 系统具有良好的可维护性

解决方案的软硬件设计中贯穿了系统可良好维护的理念，使得解决方案的实施高效，后期维护快捷方便。系统的应用平台架构采用三层体系结构，分离了业务处理逻辑、页面处理逻辑和数据操纵逻辑，使得业务系统维护相对简单;方案考虑了用户要求修改、更新的需求，维护简单易行;在数据的维护管理模式上，系统支持对数据的多点维护和维护规则的应用;采用先进和有前瞻性的应用平台体系技术，使得应用系统具有很强的生命力，从而为系统的进一步发展奠定基础。

参考文献：

[1] 李天奎.低产油井多参数计量技术研究[D]. 大庆石油学院 2010

[2] 王建.石化企业现场仪表雷击风险评估及防雷措施[J]. 石油化工技术与经济. 2011(03)

安全防护系统建设方案范文第3篇

关键词：电信；网络安全；技术防护

从20世纪90年代至今，我国电信行业取得了跨越式 发展 ，电信固定网和移动网的规模均居世界第一，网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面，和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作，是一项重要的工作。笔者结合工作实际，就电信网络安全及防护工作做了一些思考。

1 电信网络安全及其现状

狭义的电信网络安全是指电信网络本身的安全性，按照网络对象的不同包括了pstn网络的安全、ip/internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面；广义的网络安全是包括了网络本身安全这个基本层面，在这个基础上还有信息安全和业务安全的层面，几个层面结合在一起才能够为用户提供一个整体的安全体验。

电信运营商都比较重视网络安全的建设，针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年，原

2.3 运营商之间 网络 规划、建设缺乏协调配合，网络出现重大事故时难以迅速恢复

目前，我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备，电信市场多运营商条件下的监管措施还不配套，给电信网络安全带来了新的威胁。如在网络规划建设方面，原来由行业主管部门对电信网络进行统一规划、统一建设，现在由各运营 企业 承担各自网络的规划、建设，行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题，不同运营商之间的网络能否互相支援配合就存在问题。

2.4 相关法规尚不完善，落实保障措施缺乏力度

当前我国《电信法》还没有出台，《信息安全法》还处于研究过程中，与网络安全相关的 法律 法规还不完备，且缺乏操作性。在规范电信运营企业安全保障建设方面，也缺乏法律依据。运营企业为了在竞争中占据有利地位，更多地关注网络建设、业务开发、市场份额和投资回报，把 经济 效益放在首位，网络安全相关的建设、运行维护管理等相对滞后。

3 电信网络安全防护的对策思考

强化电信网络安全，应做到主动防护与被动监控、全面防护与重点防护相结合，着重考虑以下几方面。

3.1 发散性的技术方案设计思路

在采用电信行业安全解决方案时，首先需要对关键资源进行定位，然后以关键资源为基点，按照发散性的思路进行安全分析和保护，并将方案的目的确定为电信网络系统建立一个统一规范的安全系统，使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。

3.2 网络层安全解决方案

网络层安全要基于以下几点考虑：控制不同的访问者对网络和设备的访问；划分并隔离不同安全域；防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域，即关键服务器区域和外部接入网络区域，在这两大区域之间需要进行安全隔离。同时，应结合网络系统的安全防护和监控需要，与实际应用环境、工作业务流程以及机构组织形式进行密切结合，在系统中建立一个完善的安全体系，包括企业级的网络实时监控、入侵检测和防御，系统访问控制，网络入侵行为取证等，形成综合的和全面的端到端安全管理解决方案，从而大大加强系统的总体可控性。

3.3 网络层方案配置

在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品，将工作站直接连接到主干交换机的监控端口(spanport)，用以监控局域网内各网段间的数据包，并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。

3.4 主机、操作系统、数据库配置方案

由于电信行业的网络系统基于intranet体系结构，兼呈局域网和广域网的特性，是一个充分利用了intranet技术、范围覆盖广的分布式 计算 机网络，它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范，并在中央安全管理平台上部署中央管理控制台，对全部的核心防护产品进行中央管理。

3.5 系统、数据库漏洞扫描

系统和数据库的漏洞扫描对电信行业这样的大型网络而言，具有重要的意义。充分利用已有的扫描工具完成这方面的工作，可免去专门购买其他的系统/数据库漏洞扫描工具。

参考 文献

安全防护系统建设方案范文第4篇

一、高校档案信息网络安全的重要性

网络技术迅速发展给人们并带来便利的同时，也带来了安全隐患。因为，网络的共享性，决定了信息在传输和利用过程中，容易遭到不安全因素的破坏。调查显示，黑客每年以数十倍的增长速度对网络进行攻击，计算机病毒更是以几何级数增加，病毒多达上万种。网络成为信息时代的“双刃剑”，在带来社会经济效益的同时，也可能带来巨大灾难。因此，网络安全问题已引人们的高度关注。目前我国已制定了一系列计算机网络安全的法规和制度，提出了国家信息安全战略。但是，由于我国网络技术落后于西方发达国家，构成信息基础的软硬件核心技术几乎完全依赖于外国，网络设施存在极大安全隐患。高校是人才培养和科研重地，其档案信息不同于一般信息，它记录着高校科研、教学、人才培养和各种管理活动的过程，档案中有些涉及国家机密和安全，具有一定的利用限制性。因此，对高校敏感档案信息必须严格限制于授权者使用。此外，档案信息的原生性及凭证不可替代性，也决定了对其在网络环境中传输的可靠性要求高于其它信息。所有这些，要求高校档案信息网络安全防护较其他信息服务网络更高，措施更复杂。确保高校档案网络信息安全，跟上甚至超越世界信息技术发展步伐，开发技术先进、安全可靠的信息安全防护系统，成为网络时代高校档案信息管理部门面临的重要课题。

二、高校档案网络信息安全涉及的主要因素

高校档案信息网络安全涉及的主要因素有硬件、软件、信息、人员等。

1.硬件。

硬件是网络的基础，在使用当中难免发生故障。硬件故障是目前引发网络系统安全的主要因素，应引起充分重视。

2.软件。

软件是网络的灵魂，而且系统庞大，每个层面都有离不开软件的支持，任何软件错误都可能导致整个系统瘫痪。由于软件是人为设计的，不可避免地存在缺陷。因此，软件的可靠性，对网络安全十分重要。

3.信息。

信息是档案价值所在，最易遭到安全攻击和威胁。要清楚网络的正常运行并不等于信息的安全，它只是提供了网上处理和传输信息的条件，是否能够保证信息的安全可靠，则有许多工作要做。

4.人员。

人员是网络安全的重要因素，但往往又容易被忽视，事实上，网络运行许多不安全问题，都是人员操作不当或故意破坏造成的。

三、高校档案信息网络安全防护对策

针对以上高校档案信息网络安全涉及的对象，笔者认为，做好档案信息网络安全防护工作，应在以下几方面下功夫：

1.选择适当的防护等级。

因为，网络安全体系构建需要投入大量人力物力，并且往往以牺牲网络运行性能为代价。如，在内外网络之间加置防火墙，安全性能要求越高，价格就越昂贵，对信息流的滞延越大。因此，应以风险系数为依据，进行网络安全评估，确定适当的安全等级，设计相应的安全体系。目前，我国将信息安全保护设定为用户自主保护、系统审计保护、安全标记保护、机构化保护、访问验证保护等五个级别。高校在建立档案网站时，应进行安全评估，分析故障发生的概率及可能造成的危害，根据实际需要确定安全等级。这样，不仅能够保证网络系统的安全，而且经济实惠。

2.做好硬件、软件系统的安全防护。

2.1硬件系统的安全防护。

一是防止意外事件和人为破坏，如：交换机、服务器、路由器等，严格机房管理，无关人员不得进入。二是设置必要的密码，防止黑客对硬件设备的攻击。因为路由器、交换机属于接入设备，容易受到黑客攻击，需要采取严格的、不易被破解的密码。

2.2软件系统的安全防护。

软件系统涉及的安全问题是最多、最复杂的，防护难度也最大。笔者认为，做好以下几方面是关键：

2.2.1账号和密码保护。账号和密码保护是网络系统安全的首道防线，因为网上对系统的攻击大多是从猜测或截获密码开始的。所以对系统账号和密码严加管理是保证系统安全重要保证。密码的位数一定要多，且不易被猜测。

2.2.2设置防火墙。防火墙对网络信息安全具有很好的防护作用，但并不是安装之后就万事大吉，必须进行科学设置才能起作用。

2.2.3安装补丁。针对操作系统可能存在的漏洞，网络管理员应及时将“补丁”打上。因为使用的人越多，蓄意攻击的也就越多。

2.2.4安装杀毒软件。网络病毒十分惊人，需要安装杀毒软件来控制病毒的传播，并及时进行升级。

2.2.5做好监测日志。通过系统日志程序，监测所有用户使用系统情况，对登录时间、使用账号、活动内容等，进行分析对比，看是否有异常现象。

2.2.6进行备份。为防止意外，必须对系统进行安全备份，一般每月备份一次，对修改的数据要及时进行备份，一旦出现意外，可及时将系统恢复正常状态。

3.建立健全安全管理制度。

高校档案网络信息的安全，不仅要看所采用的安全技术和防范措施，而且要建立健全安全管理制度。只有将二者紧密结合起来，才能使档案网络信息安全防护取得实效。安全管理制度包括：人员管理、运行维护、计算机处理控制、资料管理、机房保卫等方面。同时，明确管理人员的权利和义务，自觉遵守国家互联网使用管理规定，严格合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则。此外，要广泛进行法制教育，大力宣传安全法、保密法、计算机犯罪法等。

4.构筑立体防护体系。

安全防护系统建设方案范文第5篇

总的来讲，我们目前对信息系统的安全保障工作处在初级阶段，主要表现在信息系统安全建设和管理的目标不明确，信息安全保障工作的重点不突出，信息安全监管体系尚待完善。为了实施信息系统的安全保护，我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准，随后又制定了一系列相关的国家标准，对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级，针对不同的安全等级采取不同的保护措施，以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2]，保护能力随着安全保护等级的增高，逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上，需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上，要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上，划分安全保护机制为两部分，关键部分和非关键部分，对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能，负责访问者对所有访问对象的访问活动进行仲裁。

2．企业信息安全等级保护的实施流程

在实施企业信息安全等级保护流程时，主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。

2.1信息系统定级

系统定级是根据整个系统要求达到的防护水平，确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节，根据其重要性和复杂性划分为各个子系统，描述子系统的组成和边界，以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果，对信息系统及其子系统制定全套的安全防护解决方案，并根据方案选取相应的软、硬件防护产品进行具体实施的阶段，这个阶段的工作主要可以归纳为以下三个方面的内容：

2.2.1系统对象的分类划分及相应保护框架的确立。

企业需要对信息系统进行保护对象进行分类和划分，建立起一个企业信息系统保护的框架，根据系统功能的差异和安全要求不同对系统进行分域、分级防护。

2.2.2选择安全措施并根据需要进行调整。

在确定了企业信息系统及各个子系统的安全等级以后，根据需要选择相应的等级安全要求。根据对系统评估的结果，确定出主系统、子系统和各保护对象的安全措施，并根据项目实施过程中的需要进行适当的调整。

2.2.3安全措施规划和安全方案实施。

确定需要的安全措施以后，定制相应安全解决方案和运维管理方案，以此为依据采购必要的安全保护软、硬件及安全服务。

2.3实施、等级评估和改进[4]

依照此前确定的安全措施和解决方案，在企业中进行方案实施。实施完毕之后，对照“信息安全等级保护”相关标准，评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。

3.企业信息安全等级保护体系的主要内容

3.1安全体系设计的原则及设计目标

信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则，达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。

3.2基本技术措施

3.2.1物理安全

物理安全是信息系统安全的基础，物理安全主要内容包括环境安全（防火、防水、防雷击等）、设备和介质的防盗窃、防破坏等方面。

3.2.2网络安全

网络是若干网络设备组成的可用于数据传输的网络环境，是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为，可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别，使网络最基本具备基本的防护能力。[5]

3.2.3主机安全

主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面：一是操作系统的脆弱性，二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。

3.2.4应用系统安全

应用系统是提供给用户真正可使用的功能，是以物理层、网络层和主机层为基础的，是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险，对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容，一般需要通过安全审计系统和专业的安全服务来实现。

3.2.5数据安全

数据是指用户真正的数据，信息系统数据安全所面临的主要风险包括：数据遭到盗窃；数据被恶意删除或篡改。在考虑数据安全方案时，除了使用从物理层到应用层的各种层次的安全产品，更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性，制定好数据存储与备份方案，来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。

3.3基本管理措施

3.3.1安全管理制度

安全管理制度的制定、、审核和修订等工作，需要在信息安全领导小组的统筹下，按照安全工作的总体方案，根据系统应用安全的实际情况，组织相关人员进行，并进行定期的审核和修订。

3.3.2安全管理机构

要根据要求建立专门的安全职能部门，配置专门的安全管理人员，并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计，内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。

3.3.3人员安全管理

人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。

3.3.4系统建设过程管理

要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控，对所有涉及安全保护的方面提出具体要求。

3.3.5系统运行和维护管理

信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容，可以是内部人员管理维护，也可以根据需要采用内部人员和专业安全厂商相结合的方式。

4.总结