摘要：計算機網絡在各個行業中的普及下，為人們的生活與工作帶來便捷，但是信息安全問題也為其產生更多的困擾，稍不留神就會對人們帶來巨大影響。基于此，講述了使用信息安全防護策略的重要性，并對當前可能產生安全隱患的因素進行研究，重點闡述了安全防護技術，旨在為計算機領域科研人員工作提供幫助。

關鍵詞：信息安全；技術基礎；安全策略

當前社會中網絡的實用已經普及，隨著網絡信息安全性的降低，人們的隱私被泄露，財產被轉移，對其生活帶來嚴重的影響。基于此，國家開始重視網絡信息安全技術基礎與策略的研究，力求提升信息的安全性與隱私性，降低信息傳輸中的安全隱患。探索出適當的安全技術，為計算機網絡行業工作提供條件。

1信息安全防護策略使用的必要性

在互聯網與大數據普及的背景下，信息的傳輸以開放性與共享性為主，也正是這兩個特點，對其安全帶來影響，計算機運行時產生較多漏洞，人們傳輸信息的時候，可能稍不留神，就會泄露信息。在此形勢下，產生與信息安全相關的問題，嚴重者影響人們的生活，例如不法人員通過竊取計算機中信息資料，盜取網銀密碼轉出錢財，造成財產損失。另外一些特殊的組織，特別是保密性強的組織中一旦信息受到破壞，主要信息會流入敵對方，輕者對個人重者對國家的利益造成嚴重的損害。所以重視信息安全技術的使用，以安全策略提升計算機與信息傳輸的安全性很重要。

2現階段影響信息安全的因素

摘要基于策略的網絡互聯是當前安全研究的熱點問題之一。該文首先介紹了IPsec協議中策略的含義及使用，繼而討論了IETF提出的安全策略系統的一般結構及各關鍵部件的功能劃分。最后討論了當前研究存在的問題及今后的研究方向。

關鍵詞Ipsec；安全策略數據庫；安全關聯數據庫；安全策略系統

1IPsec協議

IPSec(InternetProtocolSecurity)是IETF提出的一套開放的標準協議，它是IPV6的安全標準，也可應用于目前的IPV4。IPSec協議是屬于網絡層的協議，IP層是實現端到端通信的最底層，但是IP協議在最初設計時并未考慮安全問題，它無法保證高層協議載荷的安全，因而無法保證通信的安全。而IPSec協議通過對IP層數據的封裝和保護，能夠為高層協議載荷提供透明的安全通信保證。IPsec包括安全協議部分和密鑰協商部分，安全協議部分定義了對通信的各種保護方式；密鑰協商部分則定義了如何為安全協議協商保護參數，以及如何對通信實體的身份進行鑒別。IETF的IPsec工作組已經制定了諸多RFC，對IPsec的方方面面都進行了定義，但其核心由其中的三個最基本的協議組成。即：認證協議頭(AuthenticationHeader，AH)、安全載荷封裝(EncapsulatingSecurityPayload，ESP)和互聯網密鑰交換協議(InternetKeyExchangeProtocol，IKMP)。

AH協議提供數據源認證，無連接的完整性，以及一個可選的抗重放服務。AH認證整個IP頭，不過由于AH不能加密數據包所加載的內容，因而它不保證任何的機密性。

ESP協議通過對數據包的全部數據和加載內容進行全加密，來提供數據保密性、有限的數據流保密性，數據源認證，無連接的完整性，以及抗重放服務。和AH不同的是，ESP認證功能不對IP數據報中的源和目的以及其它域認證，這為ESP帶來了一定的靈活性。

隨著云南省人口中資源和環境壓力的不斷加大，糧食供求偏緊狀態將長期存在，云南省糧食安全問題的解決，要突破傳統束縛，拓展糧食來源渠道、種類、區域等，以下的思考是確保云南糧食安全的策略思路所在。

一、藏糧于田

糧源于田，耕地是糧食生產最重要的物質基礎，是最基本生產資料和生活保障。應在確保云南省8970萬畝耕地“紅線”基礎上，通過土地整理、農田水利建設、中低產田改造等措施，對農田水、土、氣、生等基本生態因子進行系統保護與改善，提高糧食的可持續生產能力。

（一）加強糧食耕地保護

嚴格保護耕地，是保障糧食安全和維護社會穩定的前提和基礎，根據《全國土地利用總體規劃綱要（-2020）》提出的明確指標，到2020年，全國耕地保有量不低于18.05億畝，云南省耕地保有量不得低于8970萬畝，這是一條不可逾越的“紅線”。必須正確處理好建設用地與耕地保護的關系，正確處理占用耕地與補充耕地的關系，科學推進以土地整理為核心的土地開發、復墾與整理工作，嚴格落實耕地“占補平衡”制度。在耕地質量的整治與建設上，要大力推進以坡耕地“坡改梯”為主體的耕地綜合整治，穩步提升耕地質量和產出率。

（二）加強農田水利基礎設施建設

美國聯邦政府云計算安全發展過程

昆德拉上任時就承認云計算可能存在隱私泄露或其它安全隱患，但表示不能因此而錯過云計算的速度和效率[3]。2009年5月召開的云計算倡議工業界峰會[2，7]上，美國產業界認識到云計算在法律法規和政策以及IT安全和隱私方面的挑戰，深入討論了云計算認證認可、訪問控制和身份管理、數據和應用安全、可移植性和互操作性以及服務級別協議（SLA等。5月份的《遠景分析》中指出了與新技術服務交付模型相關的風險，包括政策的變化、動態應用的實施以及動態環境的安全保障，要求建立一個項目管理辦公室來實施工業界最佳實踐和政府項目管理方面的政策。10月份國家標準和技術研究所（NIST在《有效安全地使用云計算范式》[8]的研究報告中分析了云計算安全的眾多優勢和挑戰。2010年2月美國啟動了政府范圍的云計算解決方案的安全認證認可過程的開發[9]。8月CIOC了《聯邦部門和機構使用云計算的隱私建議》[10]，指出云環境下隱私風險跟法律法規、隱私數據存儲位置、云服務商服務條款和隱私保護策略有關，并指出了9類風險，通過使用相關標準、簽署隱私保護的補充合同條款、進行隱私門檻分析和隱私影響評估、充分考慮相關的隱私保護法律，可以有效加強云計算環境下的隱私保護。9月非盈利組織MITRE給出了《政府客戶云計算SLA考慮》[11]。11月份，NIST、GSA、CIOC以及信息安全及身份管理委員會（ISIMC等組成的團隊歷時18個月提出了《美國政府云計算安全評估和授權建議方案》[12]，該方案由云計算安全要求基線、持續監視、評估和授權三部分組成。12月，在《改革聯邦信息技術管理的25點實施計劃》中指出安全、互操作性、可移植性是云計算被接納的主要障礙。2011年1月國土安全部(DHS)給出了《從安全角度看云計算：聯邦IT管理者入門》[13]讀本，指出了聯邦面臨的16項關鍵安全挑戰：隱私、司法、調查與電子發現、數據保留、過程驗證、多租戶、安全評估、共享風險、人員安全甄選、分布式數據中心、物理安全、程序編碼安全、數據泄露、未來的規章制度、云計算應用、有能力的IT人員挑戰，NIST了《公共云計算安全和隱私指南》[14]和《完全虛擬化技術安全指南》[15]。2月份的《聯邦云計算戰略》指出在管理云服務時要主動監視和定期評估，確保一個安全可信的環境，并做出了戰略部署，包括推動聯邦風險和授權管理項目（FedRAMP、DHS要每6個月或按需一個安全威脅TOP列表并給出合適的安全控制措施和方法，NIST要一些安全技術指南。2011年12月OMB了一項關于“云計算環境下信息系統安全授權”的首席信息官備忘錄[16]，正式設立FedRAMP項目。2012年2月成立了FedRAMP項目聯合授權委員會（JAB[17]并了《FedRAMP概念框架（CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美國聯邦政府云計算安全策略分析

美國聯邦政府在推動云計算一開始就認識到云計算安全和隱私、可移植性和互操作性是云計算被接納的主要障礙，并給予了高度重視。美國聯邦政府認為，對于云服務要實施基于風險的安全管理，在控制風險的基礎上，充分利用云計算高效、快捷、利于革新等重要優勢，并啟動了聯邦風險和授權管理項目（FedRAMP。首先，明確了云計算安全管理的政府部門角色及其職責：1聯合授權委員會（JAB：成立了由國防部（DOD、DHS、GSA三方組成的聯合授權委員會JAB，主要負責制定更新安全基線要求、批準第三方評估機構認可標準、設立優先順序并評審云服務授權包、對云服務供應進行初始授權等；2FedRAMP項目管理辦公室（FedRAMPPMO：設立于GSA，負責管理評估、授權、持續監視過程等,并與NIST合作實施對第三方評估組織的符合性評估；3國土安全部：主要負責監視、響應、報告安全事件，為可信互聯網聯接提供指南等；4各執行部門或機構：按照DHS、JAB等要求評估、授權、使用和監視云服務等，并每年4月向CIOC提供由本部門CIO和CFO簽發的認證；5首席信息官委員會：負責出版和分發來自FedRAMPPMO和JAB的信息。其次，明確了FedRAMP項目相關方的角色和職責（如圖1。這些角色中除了DHS、JAB、FedRAMPPMO、各執行部門或機構、CIOC外，還包括云服務商（CSP和第三方評估組織（3PAO。云服務商實現安全控制措施；創建滿足FedRAMP需求的安全評估包；與第三方評估機構聯系，執行初始的系統評估，以及運行中所需的評估與授權；維護連續監視項目；遵從有關變更管理和安全事件報告的聯邦需求。第三方評估組織保持滿足FedRAMP所需的獨立性和技術優勢；對CSP系統執行獨立評估，并創建滿足FedRAMP需求的安全評估包清單。美國聯邦政府注重對云計算安全管理的頂層設計。在政策法規的指導下，以安全控制基線為基本要求，以評估和授權以及監視為管理抓手，同時提供模板、指南等協助手段，建立了云計算安全管理的立體體系（如圖2。政策備忘錄：OMB于2011年12月8日，為政府級云計算安全提供方向和高級框架。安全控制基線：基于NIST的SP800-53第三版中所描述的安全控制措施指南，補充和增強了控制措施，以應對云計算系統特定的安全脆弱性。FedRAMP的安全控制基線于2012年1月6號單獨。運營概念（CONOPS：提供對FedRAMP的運營模型與關鍵過程的概述。運營模型：FedRAMP的運營模型基于OMB的政策備忘錄，明確FedRAMP實現的關鍵組織，對各個組織運營角色與職責進行抽象描述。關鍵過程：指“安全評估與授權”、“第三方評估”、“正在進行的評估與授權”，它們為FedRAMP運營過程的三個主要功能。詳細的模板與指南：云服務商與第三方評估組織在FedRAMP整個過程中需要這些文檔模板作為文檔規范。

在《推薦的聯邦信息系統和組織安全措施》（sp800-53基礎上，根據云計算特點，針對信息系統的不同等級（低影響級和中影響級，制定了云計算安全基線要求《FedRAMP安全控制措施》。與傳統安全控制措施相比，云計算環境下需增強的安全控制措施包括：1訪問控制：要求定義非用戶帳戶（如設備帳戶的存活期限、采用基于角色的訪問控制、供應商提供安全功能列表、確定系統使用通知的要素、供應商實現的網絡協議要經過JAB同意等。2審計和可追蹤：供應商要定義審計的事件集合、配置軟硬件的審計特性、定義審計記錄類型并經過同意、服務商要實現合法的加密算法、審計記錄90天有效等。3配置管理：要求供應商維護軟件程序列表、建立變更控制措施和通知措施、建立集中網絡配置中心且配置列表符合或兼容安全內容自動化協議（SCAP、確定屬性可追蹤信息等。4持續性規劃：要求服務商確定關鍵的持續性人員和組織要素的列表、開發業務持續性測試計劃、確定哪些要素需要備份、備份如何驗證和定期檢查、至少保留用戶級信息的3份備份等。5標識和鑒別：要求供應商確定抗重放的鑒別機制、提供特定設備列表等。6事件響應：要求每天提供演練計劃、提供事件響應人員和組織要素的列表等。7維護：要確定關鍵的安全信息系統要素或信息技術要素、確定獲取維護的期限等。8介質保護：確定介質類型和保護方式等。9物理和環境保護：要確定緊急關閉的開關位置、測量溫濕度、確定可替代的工作節點的管理、運維和技術信息系統安全控制措施等。10系統和服務獲取：對所有外包的服務要記錄在案并進行風險評估、對開發的代碼提供評估報告、確定供應鏈威脅的應對措施列表等。11系統和通信保護：確定拒絕服務攻擊類型列表、使用可信網絡聯接傳輸聯邦信息、通信網絡流量通過經鑒別的服務器轉發、使用隔離措施。12系統和信息完整性：在信息系統監視時要確定額外的指示系統遭到攻擊的指標。其他方面如意識和培訓、評估和授權、規劃、人員安全、風險評估則與傳統差別不大。安全授權越來越變為一種高時間消耗的過程，其成本也不斷增加。政府級的風險和授權項目通過“一次授權，多次應用”的方式加速政府部門采用云服務的過程，節約云服務采用費用，實現在政府部門內管理目標的開放和透明。1以第三方評估機構作支撐，對云服務進行安全評估CSP向FedRAMPPMO提出安全評估請求，并經已獲得授權的3PAO檢查與驗證后，向FedRAMPPMO提交評估材料，由FedRAMPPMO組織專家組對其進行評審。當專家組通過評估后，由FedRAMPPMO向CSP頒發初始授權。云計算應用部門不應該把部門的安全責任轉嫁給CSP，政府部門以該初始授權為基礎，頒發部門的云服務運營授權（ATO。2通過初始安全授權，加強雙層授權機制FedRAMPPMO維護一個初始授權以及相關安全評估材料的信息庫，政府部門可以基于這些初始授權和評估材料頒發部門的服務運營授權，政府部門也可以添加另外的安全控制。3對云服務商持續監視，保證云服務運營安全對已獲得初始授權的CSP，FedRAMPPMO應與3PAO一同開展對其系統和服務的連續監視活動。連續監視需要判斷安全控制是否持續有效。政府部門在采用云服務、特別在采用公有云服務時，將會面臨諸多嚴重安全風險，如多租戶引入的安全問題、信息安全與隱私泄露、業務連續性、廠商鎖定等諸多安全問題。在云服務采購合同中包含有效的SLA內容將會為云服務采購及其使用過程提供充分的安全保障。2010年9月MITRE給出的《政府客戶云計算SLA考慮》[11]中，對政府部門與云服務商之間的SLA設計給出了具體的指南，指出SLA設計要考慮如下11方面的內容，每個方面的內容又劃分為具體的細項給予了具體的指導：SLA背景、服務描述、測量與關鍵性能指標、連續性或業務中斷、安全管理、角色與責任、支付與賠償及獎勵、術語與條件、報告指南與需求、服務管理、定義/術語表。另外，在合同方面，2012年2月的《聯邦政府制定有效的云計算合同——獲取IT即服務的最佳實踐》，給出了采購云服務的合同需求和建議，包括服務協議條款、保密協議、服務級別協議等，并分析安全、隱私、電子發現、信息自由訪問、聯邦記錄保留等方面的需求并給出了具體建議。

本文作者：趙章界劉海峰工作單位：北京信息安全測評中心

1校園信息安全狀況

目前,在互聯網環境下,校園網已經成為被攻擊的主體。隨著計算機病毒的不斷更新換代,以及專業化病毒制造模式都使得網絡攻擊的手段變得越發的多樣化,而且攻擊的方式變得越來越難以察覺,破壞性也大大增加了,這都對校園網的安全和正常運作產生了嚴重的干擾,這些信息安全隱患具體表現為:

1.1占用資源

計算機單機病毒或網絡病毒都會大量占用資源,甚至控制網絡資源,使有效數據泄露,威脅到校園網的信息安全。

1.2破壞數據

計算機病毒會修改、刪除或破壞校園網有用數據信息,妨礙高校校園網正常運行。

物資管理信息系統安全等級

廣西電網公司物資管理信息系統的業務信息如果受到破壞，各使用單位無法通過該系統進行物資采購和供應商管理，無法完成南方電網公司、廣西電網公司預定的業務目標，使公司工作職能受到嚴重影響，業務能力顯著下降且嚴重影響主要功能執行，會嚴重損害相關單位總體利益。因此，廣西電網公司物資管理信息系統的業務信息安全等級為第2級。廣西電網公司物資管理信息系統的系統服務受到破壞時，將對本單位的合法權益產生損害，即對公民、法人和其他組織的合法權益造成損害，但不損害社會秩序和公共利益，不損害國家安全[3]。因此，廣西電網公司物資管理信息系統的系統服務安全等級為第2級。廣西電網公司物資管理信息系統的安全保護等級由業務信息安全等級和系統服務安全等級較高者決定，因此最終確定其安全保護等級為第2級。

Oracle11gR2RAC網絡連接

RAC（RealApplicationClusterArchitecture）是Oracle數據庫的、可以協調多個節點（2個或2個以上）同時運作的一個集群解決方案。每個節點就是1臺獨立的服務器，所有節點使用和管理同1個數據庫，目的是分散每一臺服務器的工作量。RAC結構如圖2所示，物資系統數據庫后臺使用2臺IBMP780小機作為節點，使用統一存儲作為共享存儲設備。通信層一方面響應客戶端的請求，一方面管理節點之間通信。在Oracle11gR2RAC中可以把通信網絡分成專用網絡和公用網絡[4]。各節點之間使用心跳線連接，心跳線的作用是使得集群管理器獲得節點成員信息和節點更新情況，以及節點某個時間點的運行狀態，保證集群系統正常運行。用心跳線連接的網絡也叫專用網絡或者叫專用高速網絡，這種高速網絡也稱為集群互聯或高速互聯。在專用網絡上配置的是privateip。OracleCacheFusion通過在專用網絡上傳輸實時高速緩存中存儲的數據，還允許其他用戶實時訪問這些數據。所謂的公用網絡是真正向用戶開放使用的網絡，在公用網絡中可以配置網卡的固定IP、VIP和SCANIP。為了維持高可用性，在Oracle10g為每個集群節點分配了1個虛擬IP地址（VIP）。為了使節點更容易擴展，在Oracle11gR2中定義了SCANIP。固定IP、VIP和SCANIP屬于公用網絡，其中固定IP綁定于網卡。1）SCAN（SingleClientAccessName，單客戶端訪問名稱）IP[5]是Oracle11gR2引進的概念。SCAN是一個網絡名稱，它可在DNS或GNS中注冊不同的IP地址。當客戶端數據庫被轉移到集群中的不同節點時，不需要改變客戶端連接字符串，因此，SCAN簡化了客戶端的連接管理。Oracle公司建議使用SCAN或者SCANIP連接RAC數據庫，這樣可以使節點更加易于擴展，并且實現實例節點的負載均衡。2）VisualIP是Oracle10g推出的虛擬IP，其根本目的是實現應用的無停頓。若客戶端使用SCANIP發起連接，當連接建立后最終RAC數據庫還是使用VIP和客戶端發送數據。一旦某個客戶連接的VIP所在的實例宕機，Oracle會自動將該VIP映射到正常的實例上，因此VIP也被稱為浮動IP。在物資管理信息系統中，南方電網數據中心連接使用的是SCANIP，其分發過程如圖3所示。圖3SCAN監聽示意圖圖3中的用戶和應用服務器在同一時刻使用SCANIP訪問RAC數據庫時，SCAN監聽器會監聽到所有客戶端的請求。由于SCAN不代表任何一個節點，而是代表了整個集群，SCAN監聽器把監聽到的所有請求根據輪叫算法發到各個節點上[6]，最終使用VIP和客戶進行通信。客戶端與服務器的連接過程可簡化為：Client->SCANListener->LocalListener->LocalInstance[7]。

實驗及分析

根據南方電網信息安全要求，物資管理信息系統安全保護等級定為2級，因此在廣西電網公司總部必須使用防火墻進行安全加固。按照開放最小化原則，既要保證系統能被區內各單位正常訪問和南方電網數據中心正常同步，又要保證系統的安全。由于區內各單位訪問系統，是穿透防火墻后通過負載均衡器radware設置的IP來訪問物資管理信息系統的，而南網數據中心是直接穿透防火墻與數據庫連接。為了制定防火墻安全策略，本實驗用辦公電腦（IP:10.X.X.X）、防火墻軟件（瑞星個人防火墻）、抓包軟件（IPAnalyse.exe）為工具分析其數據包投遞過程，按照開放最小化原則，確定向以上兩類用戶開放哪些端口和哪些IP。先設置防火墻攔截VIP1、VIP2（將VIP1、VIP2加入黑名單），然后打開抓包軟件，在辦公電腦使用sqlplus執行“conn用戶名/密碼@SCANIP:1521/實例名”，直到出現“ORA-12170:TNS:連接超時”。另外，將SCANIP、VIP1、VIP2加入白名單，在辦公電腦使用sqlplus執行conn用戶名/密碼@SCANIP:1521/實例名，提示“已連接”。抓包分析如圖4所示（圖中未畫出辦公電腦（IP:10.X.X.X）和SCANIP間已完成的3次握手過程），從抓到的數據包結合圖4進行如下分析：1）辦公電腦使用SCANIP連接發起連接請求，請求的數據包通過防火墻到達OracleRAC數據庫并被SCANListener監聽，SCANListener監聽器根據輪叫算法把本次連接請求轉給VIP1，監聽器給辦公電腦返回“使用VIP1來連接”的通告報文，辦公電腦收到該通告報文后發起向VIP1的連接請求。由于防火墻已經把VIP1、VIP2設置到黑名單，所以這次請求被防火墻拒絕。辦公電腦再請求2次都被拒絕，最后辦公電腦的Oracle客戶端程序發出“ORA-12170:TNS：連接超時”的警告。2）將SCANIP、VIP1、VIP2加入白名單，同時開始抓包，在IE輸入物資系統的訪問IP/web并操作一段時間。從抓包信息可以看到辦公電腦和“物資管理信息系統的訪問IP”之間的通信，并沒有發現辦公電腦和物資管理信息系統的應用服務器之間的通信。

［摘要］VPN技術應用日益廣泛，IPSec已成為實現VPN的主要方式。文章對IPSec相關協議進行分析的基礎上，針對IPSec協議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理并對該管理系統進行了研究。

［關鍵詞］PSecVPN；安全策略數據庫；安全關聯數據庫；安全策略

1引言

隨著Internet等公共網絡的迅速發展和國際經濟一體化的發展趨勢，企業內部及企業間通過網絡傳遞信息的需求越來越多。如何以最低的費用保障通信的安全與高效，是企業極其關注的問題。流行的解決方案是利用隧道技術，在Internet等不安全的公共網絡上建立安全的虛擬專用網絡，即虛擬專用網（VPN）。

IPSec是實現VPN的一種協議，正在得到越來越廣泛的應用，將成為虛擬專用網的主要標準。盡管IPSec已經是一種包容極廣、功能極強的IP安全協議，但卻仍然不能算是適用于所有配置的一套極為完整的方案，其中仍然存在一些需要解決的問題。本文對IPSec相關協議進行分析的基礎上，針對IPSec協議族在安全策略方面的不足，提出在遠程訪問模型中使用集中試策略管理，并對該管理系統進行了研究。

2IPSecVPN

摘要：隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。本文結合工作中常常遇到的一些實際情況，分析了網絡安全受到的一些威脅，并論述了常用的網絡安全技術。

關鍵詞：網絡安全威脅技術

0引言

網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。一影響計算機網絡安全的因素很多，有人為因素，也有自然因素，其中人為因素的危害最大。

1計算機網絡的安全策略

1.1物理安全策略物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊驗證用戶的身份和使用權限、防止用戶越權操作確保計算機系統有一個良好的電磁兼容工作環境建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

摘要隨著信息技術的迅猛發展，信息的價值與信息擴散的影響與日俱增，在信息系統中安全尤為重要。信息系統由若干個模塊與其相連的信息鏈組成。本文抓住信息鏈中的重要環節，就數據安全進行剖析，提出系統內部安全、系統間安全及環境安全等方法，保證信息鏈中的數據安全。

關鍵詞信息鏈；信道；安全策略；容災；訪問控制

1引言

隨著信息論、控制論的不斷演化，通信、計算機、系統工程和人工智能等多種技術發展與融合，人們在信息的獲取、傳輸、存儲、處理與施用等方面的能力空前提高，信息技術革命與人們的生活息息相關。尤其是在信息極度膨脹的當今社會，人們對信息的依賴程度越來越緊密，因此對信息系統中的數據的可靠和信息的安全要求也越來越高，越來越迫切。本文著重對以計算機、網絡傳輸等為載體的信息鏈作簡要闡述，對如何保證其安全提供一些方法。

2基本概念

質量、能量和信息是物質的三大基本屬性，是普遍存在于客觀世界和人的意識活動中的。所謂信息是指事物存在的方式或運動狀態以及這種方式或運動狀態的直接或間接表述。信息具有時效性、寄載性、共享性、可計量性和可控性等特征[1]。

摘要:伴隨社會條件的不斷優化以及人們生活條件的不斷改變，社會對于電力能源的需求量也在不斷增多，同時火電廠所采用的硬件軟件也在不斷創新升級。目前火電廠普遍都是采用的內網進行連接。為了確保火電廠信息的安全性，本文詳細分析火電廠內網信息安全策略。

關鍵詞:火電廠；內網信息；安全策略

伴隨著計算機技術與電子技術的不斷發展創新，計算機控制與計算機網絡也在不斷普及，這也極大程度優化了企業的運營效率。火電廠存在兩種要求：①普通企業的內網安全要求；②電力二次系統安全防護要求，其一般情況下都非常重視自動化與信息自動化建設，其中控制系統又非常多，例如辦公自動化、生產管理系統、燃料管理系統、計算機監控系統，各個系統之間都有著密切的關聯，彼此之間有著較多的信息交流。對此，為了確保系統之間的交流通暢性與保密性，研究火電廠內網信息安全策略顯得尤為重要。

1火電廠內網結構

按照《電力二次系統安全防護規定》，火電廠企業內部的計算機網絡系統原則上必須劃分為信息管理與生產控制兩個部分[1]。信息管理主要是提升管理水平，其對象是整個火電廠的所有員工[2]。信息管理系統需要與互聯網有連接，其可靠性相對于生產系統而言并沒有那么高，但是其能夠讀取各個生產系統的數據，例如某個機組的發電量，這一單方向的數據。辦公自動化系統不需要與生產系統連接，但是需要與互聯網進行了連接，在無紙辦公的現在，辦公自動化系統也需要更高的安全性與保密性。生產控制又可以被分為非控制性系統與控制性系統[3]。對于生產控制系統而言，可靠性與實效性最為重要，其可靠性必須達到99%以上，并且實效性必須以毫秒為單位，并且需要系統能夠在運行過沉重保持一個恒定的控制能力。與此同時，生產控制系統對安全性的要求也比較高，其他系統只是對他的數據進行讀取，并不能操作，不能允許任何無關人員進入到系統當中，非特殊情況基本上不允許任何人修改數據。

2火電廠內網信息安全策略