公司安全防護措施樣例十一篇

序論：速發表網結合其深厚的文秘經驗，特別為您篩選了11篇公司安全防護措施范文。如果您需要更多原創資料，歡迎隨時與我們的客服老師聯系，希望您能從中汲取靈感和知識！

篇1

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0055-03

為深化電力信息化工程安全防護體系建設，落實工程安全防護總體方案，制定此操作指引，為電力信息化依據總體方案開展信息安全建設提供參考。

1 安全域劃分設計

依據國家電網公司安全分區、分級、分域及分層防護的原則，首先，各單位網絡分為管理信息大區與生產控制大區；其次，管理信息大區按照雙網隔離方案又分為信息內網與信息外網。電力工程安全防護總體方案的設計作用范圍為信息內網和信息外網的一體化平臺以及業務應用相關系統，在進行安全防護建設之前，應首先實現對信息系統的安全域劃分。

對于一體化平臺與業務應用安全域劃分依據總體方案中定義的“二級系統統一成域，三級系統獨立分域”的方法進行，信息內網的系統基本上可分為：（1）ERP系統域；（2）電力市場交易系統域；（3）財務（資金）管理系統域；（4）辦公自動化系統域（總部）；（5）營銷管理系統域；（6）二級系統域；（7）桌面終端域。信息外網的系統可分為：（1）外網應用系統域；（2）桌面終端域。

安全域的具體實現可采用物理防火墻隔離、虛擬防火墻隔離或Vlan隔離等形式?；緦崿F目標為劃分各域網絡邊界并進行訪問控制。

進行安全域劃分后，國家電網公司總部、網省、地市所劃分出的安全域與數量如表1所示。

2 安全域的實現設計

安全域實現方式以劃分邏輯區域為目標，旨在實現各安全區域的邏輯隔離，明確邊界以對各安全域分別防護，并且進行域間邊界控制，安全域的實體展現為一個或多個物理網絡或邏輯網段的集合。對安全域的劃分手段可以參考采用如下方式（以下方式可能出現技術重疊，以最終實現網絡分域并可進行訪問控制為目標）。

2.1 防火墻安全隔離

可采用雙接口或多接口防火墻進行邊界隔離，在每兩個安全域的邊界部署雙接口防火墻，或是采用多接口防火墻的每個接口分別與不同的安全域連接以進行訪問控制。

2.2 虛擬防火墻隔離

采用虛擬防火墻實現各安全域邊界隔離，虛擬防火墻可以將一臺防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統都可以被看成是一全獨立的防火墻設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。在該方案中，可以實現為每個安全域建立獨立的虛擬防火墻進行邊界安全防護。

2.3 三層交換機Vlan隔離

采用三層交換機為各安全域劃分Vlan，采用交換機訪問控制列表或防火墻模塊進行安全域間訪問控制。

2.4 二層交換機Vlan隔離

在二層交換機上為各安全域劃分Vlan，采用Trunk與路由器或防火墻連接，在上聯的路由器或防火墻上進行訪問控制。

對于一個應用的子系統跨越多個物理環境如設備機房所帶來的分域問題，由于安全域為邏輯區域，可以將一個公司層面上的多個物理網絡或子網歸屬于同一安全域進行安全體系建設。

3 明確所要防護的對象

在進行安全防護體系建設之前，首先需明確所要防護的對象，將所要防護的對象對應至整體信息網絡環境與相應的安全域中，設計所保護域的邊界、網絡、主機及應用。

（1）邊界安全防護。針對信息內外網第三方邊界、縱向上下級單位邊界以及橫向域間邊界進行安全防護。

①信息外網第三方邊界為國家電網公司信息外網與互聯網的網絡邊界。

②信息內網第三方邊界為國家電網公司信息內網與其他利益相關方（如銀行、代收機構）間的網絡邊界。

③信息內外網邊界為信息內網與信息外網間的邊界，采用邏輯強隔離裝置進行隔離。

④縱向上下級單位安全邊界包括國家電網總部與各網省分司間、各網省公司與地市公司間、地市與縣級單位間的網絡邊界。

⑤橫向域間邊界指劃分出的各安全域之間的邊界，如營銷管理系統域與ERP系統域之間的邊界屬于橫向邊界。

在進行邊界安全防護之前，首先應當制定出邊界清單，對各網絡邊界進行登記。

（2）網絡環境安全防護。包括所要防護的基礎網絡及安全域范圍內的網絡設備和安全設備。

（3）主機系統安全防護。包括承載所防護的安全域中的應用系統的操作系統、數據庫的安全防護。

（4）業務應用安全防護。包括應用系統及通過用戶接口、數據接口所傳輸數據的安全防護。

4 可共用的安全防護措施設計

劃分安全域防護帶來的成本增加主要為網絡邊界隔離設備的投入和網絡安全防護設備的投入。

（1）邏輯隔離設備的成本。如，防火墻、路由器等成本。針對邏輯隔離設備的成本控制，可采取將多接口防火Α⑿檳夥闌鵯?、徒j交換機Vlan間訪問控制等措施在多個安全域間共用的方式實現。

（2）網絡安全防護設備成本。包括實現防護所需的入侵檢測、弱點掃描系統等?？刹捎迷诙鄠€安全域共用一套入侵檢測系統，在各安全域僅部署入侵檢測探頭，所有安全域可采用統一的一套弱點掃描器等復用防護措施以降低防護投入。分域所帶來的只有邊界和網絡層面上的投入增加，對于主機、應用相關的安全措施不會增加投入。

4.1 明確可共用的安全防護措施

分析所有設計的安全防護措施，考慮可共用的安全防護措施，整理目前已完成建設的安全措施，對于不能通過安全產品實現的，需通過功能開發或配置更改等方式來實現。

在網絡邊界部署邊界防護安全措施時，在滿足功能及性能要求的前提下，應盡可能地采用較少的設備實現，例如：采用UTM或IPS設備可以實現網絡訪問控制功能且性能可以接受，則可不再專門部署防火墻。

對于通過部署安全產品實現的防護措施，可采用包括但不限于如下實現共用的方式。

（1）防火墻。

添加防火墻硬件接口模塊實現邊界訪問控制。

添加防火墻管理系統中的策略和對象資源實現邊界訪問控制。

多安全域共用多接口防火墻、虛擬防火墻、交換機Vlan隔離等方式實現域間訪問控制。

（2）UTM統一威脅管理。

添加UTM硬件接口模塊來實現統一威脅管理。

添加UTM管理系統中的策略和對象來實現對資源的統一威脅管理。

（3）入侵檢測系統。

添加軟件網絡入侵檢測系統的網卡以增加可監測的網段。

在交換機上添加硬件網絡入侵檢測模塊以實現對多網段的監聽。

在交換機上增加鏡像端口以實現對多網段的入侵檢測偵聽。

在網段分別部署硬件入侵檢測探頭以實現對多個安全域的分別監測。

在各重要業務主機部署主機入侵檢測以實現對主機的入侵檢測。

（4）弱點掃描系統。

采用一套共用的弱點掃描系統，在掃描系統上添加授權主機的掃描地址范圍，將掃描系統安裝在筆記本電腦上以實現對各安全域系統的掃描。

（5）桌面終端安全管理系統。

采用統一的桌面安全管理系統，分別部署于信息內外網集中進行管理。

（6）防病毒系統。

在信息內外網分別采用統一的網絡版防病毒系統，將所有Windows服務器安裝防病毒客戶端，統一進行管理，或在服務器上安裝單機服務器版本的防病毒軟件。

（7）安全事件/日志分析系統。

在信息內外網分別采用統一的安全事件及日志分析系統。

（8）入侵防護系統。

在信息外網應用系統域的網絡邊界上通過添加入侵防護硬件實現對各系統互聯網應用的入侵防護。

通過添加入侵防護管理系統中的策略和對象以實現對特定資源的入侵防護。

（9）備份恢復軟件。

可在信息內外網分別采用一套統一的備份恢復軟件對各業務數據進行統一備份，在各應用服務器上添加備份。

4.2 設計不可共用的安全防護措施

對于不能通過安全產品實現的安全防護措施，可通過專項研發來實現。

對于通過安全產品實現的安全防護措施，依據安全防護總體方案中的安全防護措施設計來選擇安全產品。

產品選型時，對產品的選型原則、選型范圍、功能技術要求等方面進行說明，然后依據產品選型要求對安全產品進行測評和篩選。

5 安全防護措施實施設計

5.1 安全控制措施實施設計

實施安全控制措施應該遵循總體方案設計，分階段落實安全控制措施建設。這包括安全控制開發和配置、安全控制集成、測試與驗收等主要環節。

（1）安全功能開發和配置。對于一些不能通過部署安全產品來實現的安全措施和安全功能，通過軟件功能設計、開發和配置來實現。

（2）安全控制集成。將不同的軟硬件產品集成起來，依據安全設計方案，將安全產品、系統軟件平臺和開發配置的安全控制與各種應用系統綜合、整合成為一個系統。

（3）安全產品測試與驗收。在安全產品上線前應當對設計的功能進行測試，并經過試運行后完成驗收。

（4）安全運行維護。完成安全體系建設后，將進入安全運行維護階段，各單位應當嚴格遵照國家電網公司相關運行維護要求及各安全產品的運行維護手冊及要求進行系統運行維護。

5.2 安全控制措施變更設計

經過一段時間運行后，隨業務系統及信息環境的變化，安全控制措施可能需要進行變更，需注意以下幾點。

（1）確定是安全體系局部調整還是重大變更，如果涉及到安全域變化需要重新依據防護方案進行設計；如果僅局部調整可修改安全控制措施的配置實現。

（2）由變更發起人向主管領導進行書面申請并要記錄相應變更行為，確保變更實施過程受到控制，保證變更對業務的影響最小。

（3）對變更目的、內容、影響、時間和地點以及人員權限進行審核，以確保變更合理、科學的實施。

（4）變更應當制定詳細的計劃并在非關鍵業務時段進行，并制定相應的回退計劃。

6 結語

該課題對電力公司信息系統等級保護安全策略進行研究，采用了安全域劃分設計，通過該課題設計實現信息安全等級保護建設的層次及過程，有效地將信息安全總體方案進行貫徹執行。

參考文獻

[1] 槍威.數字化變電站中信息處理及網絡信息安全分析[J].電力系統保護與控制，2007，35（12）：18-22.

[2] 胡炎，謝小榮，韓英鐸，等.電力信息系統安全體系設計方法綜述[J].電網技術，2005，29（1）：35-39.

篇2

現今信息技術在電力行業中廣泛應用，雙向互動服務由于大量使用了通信、網絡和自動化等新技術，使自身的安全問題變得更加復雜、更加緊迫。信息安全問題顯得越來越重要，它不僅威脅到電力系統的安全、穩定、經濟和優質運行，而且影響著電力系統信息化建設的實現進程。

 

針對上述情況，本文在雙向互動服務平臺物理架構的基礎上，分析雙向互動服務的安全防護需求，并由此提出了一套切實有效的保護方案，對跨區通信進行重點防護，提升整體信息安全防護能力，實現對雙向互動服務信息的有力支撐和保障。

 

1 雙向互動服務平臺物理架構

 

雙向互動服務平臺的物理架構包括：

 

a.安全架構：終端安全接入平臺，公網與DMZ區(隔離區)通過防火墻進行防護，DMZ區(隔離區)與信息外網通過防火墻隔離，信息外網與信息內網通過網絡物理隔離裝置隔離;專網(電力應用專網VPN)越過DMZ區(隔離區)，通過防火墻接入，實現與信息外網通訊，信息外網與信息內網通過安全接入網關實現安全接入。

 

b.內外互動：所有應用部署分信息內網部署和信息外網部署，移動作業、控制類的涉及敏感數據的互動服務部署在信息內網，普通互動服務部署在信息外網。

 

c.通信方式：電力專網(包括電力應用專網VPN)、互聯網(家庭寬帶)、2G/3G/4G無線公網無線專網(VPN)、電力載波(PLC)、RS485、Zigbee、RFID、其它無線等。

 

2 雙向互動服務安全防護需求分析

 

從網絡邊界安全防護、網絡環境安全防護、主站和終端設備的主機安全防護、業務應用系統安全防護等四個方面提出雙向互動服務的安全防護需求。

 

(1)網絡邊界安全防護需求

 

雙向互動服務需要對信息數據的流入流出建設相應的邊界安全防范措施(如防火墻系統)和數據的入侵檢測系統。由于雙向互動服務平臺中屬于企業信息網絡的管理大區，同生產大區之間應該實現邏輯隔離，但管理大區和生產大區之間要相互交換數據，所以在網絡大區之間應建設安全隔離與信息交換設備，如隔離網閘。

 

(2)網絡環境安全防護需求

 

需要針對雙向互動服務的整個網絡環境建立完整的網絡環境安全防護手段。網絡環境安全防護需要對系統中的組網方式、網絡設備以及經過網絡傳輸的業務信息流進行安全控制措施設計。

 

針對黑客入侵的威脅，需要增加入侵檢測系統，以防止黑客的威脅和及時發現入侵;需要對病毒及惡意代碼的威脅建立相應的安全措施。

 

(3)主站和終端設備主機安全防護需求

 

需要對操作系統和數據庫的漏洞增加相應的安全防范措施，對主站和終端設備提供防竊、防破壞、用電安全的措施。為滿足數據終端存儲和系統訪問控制、終端設備網絡安全認證、數據加解密等安全需求，可使用安全認證芯片所提供的密碼服務功能，保障主站與終端設備的安全。

 

(4)業務應用安全防護需求

 

業務應用系統安全防護需求應從使用安全和數據安全兩個層面進行描述。

 

1)系統使用安全需求。該項需求包括管理規章、系統備份、密碼管理、測試及運行、操作記錄等方面安全需求。

 

2)系統數據安全需求。該項需求包括系統數據、用戶身份數據、傳輸數據、交易數據、終端數據等安全需求。

 

3 雙向互動服務安全防護方案

 

雙向互動服務安全防護方案應該基于上述物理架構，從邊界防護、網絡安全防護、主機安全防護、應用與數據安全防護等四個方面進行設計，具體如下所示：

 

(1)邊界防護。1)橫向網絡邊界：橫向域間邊界安全防護是針對各安全域間的通信數據流傳輸所制定的安全防護措施，各系統跨安全域進行數據交換時應當采取適當的安全防護措施以保證所交換數據的安全。2)縱向網絡邊界：信息內網縱向上下級單位邊界，此外，如果平級單位間有信息傳輸，也按照此類邊界進行安全防護。3)第三方網絡邊界：信息內網第三方邊界指信息內網與其他第三方網絡連接所形成的網絡邊界，在雙向互動服務中指通過公網信道(GPRS、 CDMA)接入信息內網的網絡邊界。

 

(2)網絡安全防護。網絡安全防護面向企業的整體支撐性網絡，以及為各安全域提供網絡支撐平臺的網絡環境設施，網絡環境具體包括網絡中提供連接的路由、交換設備及安全防護體系建設所引入的安全設備、網絡基礎服務設施。

 

(3)主機安全防護。雙向互動服務的主機安全防護主要包括系統服務器及用戶計算機終端的安全防護。服務器主要包括數據庫服務器、應用服務器、網絡服務器、WEB服務器、文件與通信服務器、接口服務器等。計算機終端包括各地市供電公司遠程工作站、省級公司工作站的臺式機與筆記本計算機等。

 

(4)應用數據安全防護。應用安全防護包括對于主站應用系統本身的防護，用戶接口安全防護、系統間數據接口的安全防護、系統內數據接口的安全防護。應用安全防護的目標是通過采取身份認證、訪問控制等安全措施，保證應用系統自身的安全性，以及與其他系統進行數據交互時所傳輸數據的安全性;采取審計措施在安全事件發生前發現入侵企圖或在安全事件發生后進行審計追蹤。

 

4 結論

 

篇3

中圖分類號：F470.6 文獻標識碼：A 文章編號：

信息安全管理是信息安全防護體系建設的重要內容，也是完善各項信息安全技術措施的基礎，而信息安全管理標準又是信息安全管理的基礎和準則，因此要做好信息安全防護體系建設，必須從強化管理著手，首先制定信息安全管理標準。電力系統借鑒 ISO27000國際信息安全管理理念，并結合公司信息安全實際情況，制訂了信息安全管理標準，明確了各單位、各部門的職責劃分，固化了信息系統安全檢測與風險評估管理、信息安全專項檢查與治理、信息安全預案管理、安全事件統計調查及組織整改等工作流程，促進了各單位信息安全規范性管理，為各項信息安全技術措施奠定了基礎，顯著提升了公司信息安全防護體系建設水平。

1電力系統信息安全防護目標

規范、加強公司網絡和信息系統安全的管理，確保信息系統持續、穩定、可靠運行和確保信息內容的機密性、完整性、可用性，防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰， 抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞，防止信息內容及數據丟失和失密，防止有害信息在網上傳播，防止公司對外服務中斷和由此造成的電力系統運行事故，并以此提升公司信息安全的整體管理水平。

2信息安全防護體系建設重點工作

電力系統信息安全防護體系建設應遵循“強化管理、標準先行”的理念。下面，結合本公司信息安全防護體系建設經驗，對信息安全防護體系建設四項重點工作進行闡述。

2.1 信息系統安全檢測與風險評估管理

信息管理部門信息安全管理專職根據年度信息化項目綜合計劃，每年在綜合計劃正式下達后，制定全年新建應用系統安全檢測與風險評估計劃，確保系統上線前符合國網公司信息安全等級保護要求。 應用系統在建設完成后 10個工作日內，按照《國家電網公司信息系統上下線管理辦法》要求進行上線申請。 由信息管理部門信息安全管理專職在接到上線申請 10個工作日內， 組織應用系統專職及業務主管部門按照《國家電網公司信息安全風險評估實施指南》對系統的安全性進行風險評估測試，并形成評估報告交付業務部門。 對應用系統不滿足安全要求的部分， 業務部門應在收到評估報告后 10個工作日內按照《國家電網公司信息安全加固實施指南（試行）》進行安全加固，加固后 5個工作日內，經信息管理部門復查，符合安全要求后方可上線試運行。應用系統進入試運行后，應嚴格做好數據的備份、保證系統及用戶數據的安全，對在上線后影響網絡信息安全的，信息管理部門有權停止系統的運行。

2.2 信息安全專項檢查與治理

信息管理部門信息安全管理專職每年年初制定公司全年信息安全專項檢查工作計劃。檢查內容包括公司本部及各基層單位的終端設備、網絡設備、應用系統、機房安全等。 信息安全專職按照計劃組織公司信息安全督查員開展信息安全專項檢查工作，對在檢查中發現的問題，檢查后 5 個工作日內錄入信息安全隱患庫并反饋給各相關單位，隱患分為重大隱患和一般隱患，對于重大隱患，信息安全專職負責在錄入隱患庫 10 個工作日內組織制定重大隱患治理方案。 各單位必須在收到反饋 5 個工作日內對發現的問題制定治理方案， 并限期整技信息部信息安全專職。信息管理部門安全專職對隱患庫中所有隱患的治理情況進行跟蹤，并組織復查，對未能按期完成整改的單位，信息安全專職 10 個工作日內匯報信息管理部門負責人， 信息管理部門有權向人資部建議對其進行績效考核。

2.3 信息安全應急預案管理

信息管理部門信息安全管理專職每年 年初制定公司全年信息安全應急預案編制、演練及修訂計劃，并下發給各單位。各單位信息安全專職按照計劃組織本單位開展相關預案的制定，各種預案制定后 5 個工作日內交本部門主要負責人審批，審批通過后 5 個工作日內報信息管理部門信息安全專職。各單位信息安全專職負責組織對系統相關人員進行應急預案培訓，并按年度計劃開展預案演練。 根據演練結果，10 個工作日內組織對預案進行修訂。各單位信息安全預案應每年至少進行一次審查修訂， 對更新后的內容， 需在 10 個工作日內經本部門領導審批，并在審批通過后 5 個工作日內報信息管理部門備案。

2.4 安全事件統計、調查及組織整改

信息管理部門信息安全專職負責每月初對公司本部及各基層單位上個月信息安全事件進行統計。 各系統負責人、各單位信息安全管理專職負責統計本系統、單位的信息安全事件，并在每月 30 日以書面形式報告信息管理部門信息安全專職， 對于逾期未報的按無事件處理。 出現信息安全事件后 5 個工作日內，信息管理部門信息安全專職負責組織對事件的調查，調查過程嚴格按照《國家電網公司信息系統事故調查及統計規定(試行)》執行，并組織開展信息系統事故原因分析，堅持“四不放過”原則，調查后 5 個工作日內組織編寫事件調查報告。調查、分析完成后 10 個工作日內組織落實各項整改措施。信息安全事件調查嚴格執行《國家電網公司網絡與信息系統安全運行情況通報制度》制度。

3評估與改進

篇4

電力通信網為專用通信網絡，作用是為電力系統的生產、經營、管理、數據采集和調度等信息和數據的基礎網絡，電網能否安全可靠的運行直接關系到電網的穩定性。為了確保電網的順利安全運行，需要采取多種安全維護方式，包括數據的加密和備份、防火墻、病毒入侵檢測和防病毒措施等。電網的穩定對國家能源戰略也有著非常大的影響。電網的不斷擴大，特別是特高壓電網、智能化電網的建設和發展，電網的作用更加顯著。因此，了解電力通信網自身的特點，確保其運行安全并支撐著電網智能化的發展需要，并指導電力通信網的安全防護體系的構建。

1 電力通信網的特點

作為服務電力行業的專用通信網絡，電力通信網的網絡結構、服務對象和業務需要均和公網運營商不同。公網的服務對象為社會大眾，其業務包括語音、圖像和數據等信息的疏送。公網致力于提供高質量的通信服務，便利的電網接入，因此這些運營商大多建立在人口較為密集的區域。公網由于建設時間早，隨著多年的不斷完善和發展，逐漸形成科學合理的網絡架構，且公網運營商非常明確其服務目標和管理內容，業務量的大量增加也促進了相應通信技術的發展。相應的，公網的安全防護水平也不斷提高，目前已建立較完善的規范和標準體系。公網將網絡結構的安全等級、風險評估、數據備份和恢復等進行結合，并對互聯網、電信網、固網、支撐網和接入網等網絡實行安全防護措施。

但電力通信網為專門服務電力通信系統的網絡，用于電網的生產、經營和調度及電網管理等活動進行的數據通信。電力通信網的建設受線路、變電站和電廠的布局所限制。與公網不同，此網絡常位于偏遠地區，實時監測變電站和電力線路的運行狀態，以使電力系統能夠穩定運行。電網的不斷擴大，促進了電力通信網的擴大發展，復雜度也隨之提高，因而其安全防護技術的研究非常重要。不像公網具備較為完善的安全防護技術，電力通信網的安全防護技術較為薄弱，未形成相應的科學合理的規范和防護體系。所以，電力通信網的安全防護技術值得更加深入的研究。

2 電力通信網安全防護措施中存在的問題

電力通信網的不斷擴大發展，逐漸成為支撐著調度自動化、運營市場化和管理信息化的發展模式。電力通信網為一個大而完整的網絡，各個部分相互聯系與作用，任一部位出現故障都將對整個電力通信網的服務質量造成影響，嚴重的話還將威脅到電網自身的安全可靠運行。目前，我國已開展了許多電力通信、電網安全性等方面的相關研究，并獲得了許多進展。但是電力通信網的安全防護技術尚未成熟，還存在許多問題，現介紹如下：

2.1 安全防護措施未形成統一標準

盡管，目前已經存在一些安全防護標準和規范，但大多為企業內部規定的標準和規范。由于這些標準與建立標準的企業利益息息相關，局限性強，難以作為統一的標準應用于整個電力系統，也不利于安全防護系統的長足發展。

2.2 缺少有效的評估方法

盡管安全防護方法不斷涌現，但是安全防護能力的評估方法卻存在許多爭議。安全評估方法的缺乏，安全防護能力的評價指標也錯綜復雜，無法準確、合理的評估電力通信系統的安全防護能力。

2.3 未能合理規劃安全防護措施

電力通信網的防護偏重于電網運行和組織管理等方面，而未能合理、科學的規劃安全防護措施。也就是，在安全防護工作的安排中忽視了防護策略的重要作用，而使防護方案較為紊亂，未能形成清晰的脈絡。可以采用加大檢修力度、查錯排錯，排除隱患。

2.4 安全防護覆蓋范圍不夠全面

我國電力通信網絡的安全防護過度關注傳輸網和業務網，而較少關注接入網和支撐網的安全防護。由于任一部分電力通信網出現故障將影響到全網的通信服務，因此安全全面的防護措施，確保電力通信網全面的受保護很有必要。

2.5 物理安全防護措施被忽略

電力通信網的安全防護措施對業務保障和維護通信設施等方面較為重視。但是物理安全防護措施的重要性也不容忽視，如實施板卡、電源和路由器等三種備份方式確保業務可靠承載。

3 電力通信網安全防護需求

為了確保電力通信網絡能夠安全可靠運行，構建良好的安全防護體系的前提是我們明確電力系統的安全防范需求，主要有以下幾點：（1）對電力通信網絡的安全層級進行劃分，理解安全防護的概念。

（2）了解各個層級的防護方式和對象，構建完善的安全防護體系，并系統性的實施安全保障行為。

（3）構建各層級的管理機制，使工作流程與管理都標準統一化，形成安全運維的管理方式。

（4）提高職工培訓力度，優化考核方式。5）加強應對自然災害的應急處理能力。

（5）安全管理平臺統一化，實現告警、關聯、響應和監控的集中管理。

4 總結

本文首先分析了目前我國電力通信網的特點，并分析得到其安全防護技術覆蓋面窄、系統性不強的缺陷。為全面促進電網安全性能的提升，應加強接入網和支撐網的安全防護，并對每個網絡的安全防護進行等級劃分，有針對性的制定安全防范標準，同時從電網組織、運行和策略幾個方面完善防護管理工作，并優化評價方法和評價指標，以全面促進安全防范技術水平的提高。

參考文獻

[1]苗新，陳希.電力通信網安全體系架構[J].電力系統通信，2012，33（231）：34-38.

[2]王乘恩，黃紅忠.電力通信網監測系統的安全防御體系研究[J].系統安全，2011，10（20）：47，107.

[3]梁毅強.電力通信網的安全維護與管理措施[J].企業技術開發，2010，29（15）：22-23.

篇5

中圖分類號：TM76 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0058-03

該課題研究解決方案典型方案以電力公司為主要對象，在實際操作過程中，可以裁剪，原則應滿足安全防護建設要求，主要包括安全控制措施如何部署，而不提出確定型號的安全產品，且以單位進行全新安全防護系統建設為出發點，在此基礎上，結合電力公司安全建設現狀，考慮對現有安全措施的復用，根據自己的實際情況進行安全系統選型并制定安全系統實施方案。

1 案例分析

某省電力公司構建信息網絡，已經穩定運行的有：管理系統、安全生產管理系統、國際合作系統、協同辦公系統、電力營銷系統、紀檢監察系統等，同時在建有ERP等系統，網絡和信息系統情況復雜，迫切需要進行信息安全方面的建設，實現以下幾方面的需求。

（1）確保信息系統的可用性、完整性和機密性。

（2）對服務器、工作站、網絡基礎設施和網絡邊界采取合理有效的安全防護手段。

（3）防止非授權的用戶非法接入、非法竊聽和信息篡改。

（4）對信息系統的接口實施認證和加密等手段，確保應用安全。

2 方案設計

（1）邊界防護如表1所示。

（2）網絡防護如表2所示。

（3）主機防護在主機層面部署的安全控制措施表3所示。

（4）應用防護內容如表4所示。

3 結語

該課題對電力公司信息安全典型解決方案的研究，對現有安全措施的復用，根據自己的實際情況進行安全系統選型并制定了安全系統實施方案，有效地將信息安全總體方案進行貫徹執行。該課題典型方案以網省公司為主要對象，各網省、地市等單位在實際操作過程中，可以以該方案為模板進行修改，原則應滿足安全防護總體方案的建設要求。

參考文獻

[1] 李文武，游文霞，王先培.電力系統信息安全研究綜述[J].電力系統保護與控制，2011，39（10）：140-147.

[2] 胡炎，董名垂，韓英鐸.電力工業信息安全的思考[J].電力系統自動化，2002，26（7）：1-4.

篇6

1 風電企業信息網絡規劃和安全需求

1.1 風電企業信息網絡規劃

一般情況下，風電公司本部均設在遠離下屬風電場的城市中，下屬風電場只做為單純的生產單元，以國電云南新能源公司為例，本部設在昆明，在云南省擁有多個地州上的風電場，各項工作點多面廣、戰線長，為有效提高公司管理效率，已建成全省范圍安全可靠信息傳輸網絡。本部與各風電場通過ISP提供的專線連接，項目部、外地出差、臨時辦公機構也能通過INTERNET網以VPN方式聯入公司網絡，基本滿足公司日常管理和安全生產的需要。

圖1

1.2風電企業信息網絡安全需求分析

從圖1可以看出，一般現在風電場的網絡不僅要滿足管理的日常信息化需求，還要滿足于電網交換信息的需求，所以風電場的網絡安全任務就是要符合國家和集團的有關電力二次安全規定。嚴格執行“安全分區、網絡專用、橫向隔離、縱向認證”的要求，以防范對電網和風電場計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故，保障其安全、穩定、經濟運行。

2 風電企業信息網絡安全防護體系建設

2.1 網絡安全原則

根據國家電監辦安全[2012]157號文《關于印發風電、光伏和燃氣電廠二次系統安全防護技術規定（試行）的通知》的相關要求，風電場的網絡二次安全防護基本原則是以下幾點：

2.1.1 安全分區：按照《電力二次系統安全防護規定》，將發電廠基于計算機及網絡技術的業務系統劃分為生產控制大區和管理性，重點保護生產控制以及直接影響電力生產運行的系統。

2.1.2 網絡專用：電力調度數據網是與生產控制大區相連接的專用網絡，發電廠段的電力數據網應當在專用通道上使用獨立的網絡設備組網，物理上與發電廠其他管理網絡和外部公共信息網絡安全隔離。

2.1.3 橫向隔離：在生產控制大區域管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向隔離裝置。

2.1.4 縱向認證：發電廠生產控制大區與調度數據網的縱向連接處應設置經國家指定部門檢測認證的電力專用加密認證裝置，實現雙向身份認證、數據加密和訪問控制。

2.2 安全部署方案

風電場業務系統較為繁多，根據相關規定，我們對風電場的業務系統基本分區見表1：

根據劃分結果，我們針對不同的分區之間設定了防護方案，部署示意圖如圖2：

2.2.1生產控制大區與管理信息大區邊界安全防護：目前公司從生產控制大區內接出的數據只有風電場監控系統，部署了一套珠海鴻瑞生產的Hrwall-85M-II單比特百兆網閘，保證他們之間的數據是完全單向的由生產控制大區流向管理信息大區。

2.2.2控制區與非控制區邊界安全防護：在風電場監控系統與風功率預測系統、狀態監測系統等進行信息交換的網絡邊界處安裝了防火墻和符合電網規定的正方向隔離裝置。

2.2.3系統間的安全防護：風電場同屬控制區的各監控系統之間采用了具有訪問控制功能的防火墻進行邏輯隔離。

2.2.4縱向邊界防護：風電場生產控制大區系統與調度端系統之間采用了符合國家安全檢測認證的電力專用縱向加密認證裝置，并配有加密認證網關及相應設施，與調度段實現雙向身份認證、數據和訪問控制。

2.2.5與本部網絡邊界安全防護：風電場監控系統與生產廠家、公司SIS系統之間進行數據交換，均采用了符合國家和集團規定的單向單比特隔離網閘。同時禁止廠商以任何方式遠程直接接入風電場網絡。

2.3 防病毒措施

從某種意義上說，防止病毒對網絡的危害關系到整個系統的安全。防病毒軟件要求覆蓋所有服務器及客戶端。對關鍵服務器實時查毒，對于客戶端定期進行查毒，制定查毒策略，并備有查殺記錄。病毒防護是調度系統與網絡必須的安全措施。病毒的防護應該覆蓋所有生產控制大區和管理信息大區的主機與工作站。特別在風電場要建立獨立的防病毒中心，病毒特征碼要求必須以離線的方式及時更新。

2.4 其他安全防護措施

2.4.1 數據與系統備份。對風電場SIS系統和MIS系統等關鍵應用的數據與應用系統進行備份，確保數據損壞、系統崩潰情況下快速恢復數據與系統的可用性。

2.4.2 主機防護。主機安全防護主要的方式包括：安全配置、安全補丁、安全主機加固。

安全配置：通過合理地設置系統配置、服務、權限，減少安全弱點。禁止不必要的應用，作為調度業務系統的專用主機或者工作站， 嚴格管理系統及應用軟件的安裝與使用。

安全補丁：通過及時更新系統安全補丁，消除系統內核漏洞與后門。

主機加固：安裝主機加固軟件，強制進行權限分配，保證對系統的資源（包括數據與進程）的訪問符合定義的主機安全策略，防止主機權限被濫用。

3 建立健全安全管理的工作體系

安全防護工作涉及企業的建設、運行、檢修和信息化等多個部門，是跨專業的系統性工作，加強和規范管理是確實保障電力二次系統的重要措施，管理到位才能杜絕許多不安全事件的發生。因此建立健全安全管理的工作體系，第一是要建立完善的安全管理制度，第二是要明確各級的人員的安全職責。

參考文獻

篇7

從2008年起，藍天海開始推出多品牌戰略，針對不同行業、場合、天氣、環境的需求，劃分不同的品牌，旗下產品總稱“藍翔”系列防靜電安全防護工裝面料，細分為四大品牌“藍翔”牌、“藍翔1149”牌、“藍翔8118”牌、“藍翔TS”牌中高檔防靜電安全防護工裝面料。2010年開始，藍天海所供應的面料100％具有防靜電性能，成為國內唯一一家只專業提供防靜電系列工裝面料的企業。藍翔安全防護面料的防靜電性能穩定性更是在國際范圍內亦處于領先行列。

永久性第四代導電纖維誕生

隨著市場對防靜電產品性能的要求越來越高和人們自身保護意識的增強，提高防靜電面料性能及其性能持續穩定性成為企業重要的課題。目前，主流市場應對措施主要有研發新型的導電纖維，試驗采用不同原料、不同生產工藝和調整原料配比來生產適合不同領域及各行業細分需求的防靜電面料。以上措施，對公司探索新行業防靜電面料需求擁有重大意義。

為滿足不同行業、不同場合對工裝防靜電性能的不同要求和充分體現藍天海專業化的優勢，公司區別于部分同行目前只簡單地采用白絲、灰絲、黑絲的基礎上，同相關科研單位共同開發出白絲2號、灰絲2號、灰絲4號及黑絲2號等系列產品，為面料防靜電性能的穩定提供了保障。2010年開始，公司為迎合GBl2014-2009標準的推出，與相關院所進行一年多的研發，終于開發出既滿足GB12014-2009標準又具有永久性防靜電性能的第四代導電纖維。

永久性第四代導電纖維精選導電性能優良的碳黑材料作為導電體，并將炭黑配比及生產工藝在無數次的試驗中進行最佳優化處理，全面提升其導電性能使其達到永久性導電的復合型纖維。此種新型永久性導電纖維擁有更好的抗酸堿、防腐蝕效果，結合公司最新研發的冰爽降溫防靜電面料，基于夏季酷熱，產業工人多汗，而汗液含多種微量元素將對衣物產生腐蝕效果的特定因素，使用第四代導電纖維的“藍翔”冰爽散熱(降溫)防靜電安全防護面料，一方面可在同等條件下降低2-3℃的體表溫度，另一方面更加持久和防腐蝕功能強大的第四代導電纖維將大大增加工裝的使用壽命，并提高產業工人的作業舒適性和安全性。

“八項生產要求”提供基礎保障

防靜電面料承擔著保護產業工人生命安全的重任，意義重大，稍有不慎可能帶來巨大的影響，藍天海深知只有從原料選擇和生產源頭把關才能真正地保證工裝面料防靜電性能穩定。為此藍天海公司積二十年之功，與中國紡織科學研究院江南分院特種面料研發中心的專家們特別制定了關于導電纖維的選擇、導電材料的選擇、導電纖維的含量、棉紗選擇、線捻度控制、織造要求、印染和儲存的八項生產要求，并在生產過程中嚴格執行，以滿足不同國家、不同行業、不同場合對安全防護工裝防靜電性能穩定的要求，為防靜電安全防護工裝面料提供基礎保障。

基于“八項生產要求”的“藍翔”第二代防靜電安全防護面料秉承藍天海公司一貫的宗旨――“把安全、健康、舒適獻給勤勞智慧的產業工人。”在延續第一代防靜電面料質量和防靜電性能穩定的基礎上，充分發揮其永久導電性能的優勢，成為藍天海承擔起保證產業工人生命安全的保障。

“量身定制模式”發揮最大效果

篇8

根據總公司排查安全管理工作重點的要求，結合科技公司的經營工作實際，經認真排查確定，安全管理工作重點為：青島至四方間k4+690至k6+119處聲屏障工程，其中，人身安全為重中之重。

為確保聲屏障工程的施工安全和勞動人身安全，公司給予了人力、物力、財力的全力支持。施工之初，公司成立了工程施工安全領導小組，組長：彭大釗王國華副組長：楊躍偉（常務）成員：楊淑靜史堅鵬李明周國忠李樹戊。工程施工現場安全工作組，組長：楊躍偉副組長：楊淑靜史堅鵬（常務）鞏寶方成員：宋振輝陳金華周國忠李樹戊，加強對安全工作的領導和管理。

在基礎開挖工作中，根據施工進度和現場實際情況，制定了《施工現場安全注意事項》

一、進入施工現場人員必須身穿防護服。

二、橫越線路時必須做到：一站、二看、三通過，注意左右機車、車輛的動態及腳下有無障礙物。

三、嚴禁在運行中的機車、車輛前面搶越。

四、嚴禁在鋼軌上、車底下、枕木頭、道心里坐臥或停留，嚴禁將鋼筋、鋼管等金屬物橫放在兩條鋼軌上。

五、順線路行走時，應走兩線路中間，隨時注意機車、車輛的動態。

六、必須橫越停有機車、車輛的線路時，先確認機車、車輛暫不移動，然后在機車、車輛較遠處越過。

七、注意愛護行車設備、站場設備及各種表示牌（燈）等站場標志。

八、當防護員發出報警信號后，施工人員應立即離開行車線路躲避，以保證行車和人身安全。

九、施工中較長的施工工具及材料應順線路擺放，以免侵入限界造成事故。

7月17日　基礎混凝土澆注完成后，根據工程進度和施工內容的變化，我們對施工現場安全注意事項及時進行了修訂和補充。

一、施工現場安全工作制度

1、定期召開安全工作會議，認真傳達貫徹路局有關施工安全文件，組織學習工程指揮部有關工程施工的文件和電報，結合工程實際情況，制定相應的貫徹措施。

2、每天召開安全碰頭會，總結安全工作，研究解決施工中存在的問題，制定相應的安全措施，研究制定次日的安全關鍵和相應的防護措施。

3、每天派出專人參加施工隊的班前會，對前日的安全工作進行點評，布置當日的安全工作重點和安全注意事項。

二、施工現場安全防護措施

1、施工現場設立警戒表識和安全警示標志，加強對施工人員的安全教育，不穿防護服，絕對不能進入施工現場。

2、施工現場兩端施工隊設專人進行安全防護，配備喇叭并保證作用良好。

3、派出專人到車站聯系行車計劃，提前掌握車流狀況，作好安全防護準備工作。

4、加強現場安全巡查力度和巡查頻次，認真檢查作業現場的工具和材料的擺放，避免侵線，發現問題立即督促整改。

5、對于登高作業，施工隊派出專人現場盯控，防止高空墜落傷害，防止材料、工具和人員侵入接觸網的安全限界，防止觸電事故的發生，杜絕斷網的行車事故。

6、制作專用工具，解決架設h型鋼和吸聲板難題，從根本上防止觸電事故和行車事故的發生。

7、搬運金屬材料時，采取有效防護措施，防止軌道電路短路，影響行車安全。

三、應急預案

1、施工安排堅持“先難后易、先內后外”的原則，科學、合理的安排進度。

2、幫助施工隊合理調配勞動力，科學施工，分組分段，倒排工期，嚴格按進度計劃完成當日施工任務。

3、制作輔助器械，減輕勞動強度，在確保絕對安全的前提下，加快工程進度。

4、提高安全意識，增強反恐防爆觀念，加強內部治安秩序，加強對施工現場的安全巡查，特別要加強夜間的安全巡查，對進入施工現場的閑散人員，嚴加盤查，勸其離開，如發現可疑跡象和故意破壞行為，應立即報警。

7月27日　正線開通以后，我們根據《濟南鐵路局營業線施工及安全管理實施細則》、《技規》、《行規》的有關規定，重新修訂了《施工現場安全管理辦法》。

一、聲屏障施工現場必須全部設立施工安全警戒線。按照《技規》第395條第一款第一項基本建筑限界圖的規定，距離鋼軌頭部外側　1.6米　以外設立施工安全警戒線。施工人員以及施工材料、工具和備品，嚴禁侵入施工安全警戒線以內。

二、聲屏障基礎抹面作業方式，采取分段作業，　100米　以內為一段作業面，施工現場（包括安裝吸聲板）不得超過3個作業面。根據施工現場的了望條件，以作業面兩端為起點，向兩端延伸50至　80米　處各設立一名安全防護員，安全防護員要全神貫注、精力集中，佩帶臂章，手持喇叭，站姿面向來車方向。在接到來車通知或看到有機車、車輛、軌道車移動時，立即吹響喇叭，警示施工人員停止作業。施工人員聽到警示信號后，立即停止一切作業并站穩抓牢躲避列車和移動車輛。列車、車輛在作業面內通過時嚴禁人員走動和其它作業。待列車全部通過或移動車輛遠離作業面后，重新作業。

三、吸聲板作業和安全防護，除嚴格執行聲屏障基礎抹面的作業方式和安全防護辦法外，施工人員聽到警示喇叭后，應立即停止作業，作業人員迅速從梯子上下來后，將全部梯子、吸聲板以及施工器械橫到并順線路方向擺放于警戒線外方，施工人員站穩抓牢躲避列車、車輛。待列車、車輛通過后，重新作業。安裝吸聲板作業時嚴禁在電網以及帶電體　2米　范圍內進行安裝和其它作業。

篇9

引言

隨著計算機和現代通信技術的不斷發展，以及集成化和自動化水平的提高，智能電網將更加開放和復雜，在給企業帶來方便的同時，也帶來了新的挑戰。隨著計算機病毒和惡意代碼等的肆虐，以及信息系統規模的增加，信息安全防護已經成為保障智能電網可靠運行的重要手段。相較于傳統的電網，智能電網具有更強的開放性、與外界環境的互動性，因而其系統設計及功能實現也更為復雜。智能電網的穩定高效運行在一定程度上依賴于高端的信息通信技術，所以信息系統的安全性就顯得尤為重要。

一、智能電網信息系統面臨的安全風險分析

（一）、設備方面導致的威脅

智能電網信息系統離不開智能設備的支持，雖然在智能電網系統中依靠一些智能設備完成原先需要人力才能完成的復雜、危險的工作，但是智能設備在無人監護的狀況下可能受到不法分子的攻擊與破壞，導致其信息遭到篡改。更有可能因為自然因素而導致智能設備的破壞。這些不正常狀況往往導致智能設備影響智能電網信息系統，使其產生一定問題。

（二）、數據信息安全威脅

數據安全威脅囊括了數據庫管理系統漏洞、容災備份管理認證、訪問控制、數據交換瓶頸、信息系統管理等。智能電網在執行發電、輸電、變電、配電、用電時會產生大量的數據。數據安全分為數據本身的安全和數據防護安全。由于數據數量多、種類繁多，因而實現統一規定很難，加上訪問控制和認證管理不完善，容易造成用戶訪問機制失序，數據被泄露、修改。數據存儲中心以及容災備份等防范措施不到位，引起管理人員的職能混亂，造成數據交換瓶頸，災后數據丟失等問題，阻礙了整個智能電網穩定運行。

（三）、通信網絡環境更加復雜

隨著第四代無線通信技術（TD-LTE）的成熟，4G環境下智能電網的網絡試點平臺也相繼建成。TD-LTE試點網絡平臺為實現配電自動化提供了高可靠、高速率、低時延的業務通道，為配電自動化"五遙"功能的實現提供了通道保障。同時大量智能儀表、移動終端也廣泛投入到應用中，提高電網智能化、自動化的同時，也使得電網的網絡環境更加復雜，受威脅的環節增多。

二、智能電網信息系統安全防護措施

（一）、物理安全防護措施

物理安全主要是指信息系統正常工作所必需的網絡設備和存儲設備以及傳感器等各種硬件設備的安全。電網物理安全是電網信息系統安全的重要內容，其主要任務是保證各硬件部分的安全。保護電網物理安全主要是防止由于人為干擾、自然破壞以及設備自身等異常情況對外部系統物理特性造成影響，進而影響系統服務。1）管理上的防護措施：包括設施的選擇、建設和管理，員工的管控、培訓，突發事件的響應和處理步驟等。2）技術上的防護措施：包括訪問控制、入侵檢測、警報裝置、監視裝置、電力保障、火災檢測和排除以及備份和恢復等。3）物理上的防護措施：通過柵欄、大門、護柱、門鎖、照明等設施完善物理安全的配置，提供有效的物理安全防護保障。

（二）、數據安全防護措施分析

智能電網的數據安全包含兩層意思，一是數據自身的安全性不受到侵害，二是信息數據的安全防護，也就是通過多種不同方式確保數據的存儲。一般來說，為了保證數據存儲的安全，所采取的措施包括磁盤陣列、異地容災以及數據備份等手段。首先是磁盤陣列，就是將多個磁盤組成一個陣列，確保磁盤的讀寫性能以及數據存儲性能。其次是數據備份，將重要數據以及重要的日志記錄加以篩選，通過存儲設備加以備份，確保萬無一失。雙機容錯則保障了系統的穩定性與可靠性，即便是一個系統出現問題也可以憑借另一個系統進行數據的訪問、維護與處理，確保數據的安全性。最后則是異地容災，也就是在不同的位置創建備份，確保數據的安全性，即便是一地發生故障也不至于數據出現丟失的狀況。

（三）、主機系統安全防護措施分析

1）主機安全加固：采取調整主機的系統、網絡、服務等配置的措施來提升主機的安全性，主要加固措施包括補丁加載、賬戶及口令的設置、登錄控制、關閉無用的服務、文件和目錄權限控制等。2）進行補丁管理：各種操作系統均存在安全漏洞，應定時安裝、加載操作系統補丁，避免安全漏洞造成的主機風險。但針對不同的應用系統，安裝操作系統補丁可能會對其造成不同程度的影響，因此，應在測試環境中先行測試安裝操作系統補丁是否會對應用系統造成不良影響，確保安全無誤后，方可應用于正式環境中。

（四）、針對應用系統的防護工作

首先需要實現應用系統的安全加固，另外還需要定期對系統進行檢測。借助最新的身份認證功能，保證用戶進入不對應用系統造成影響。并且還需要限制用戶訪問權限，不同的工作人員其訪問權限需要固定，如有變動需要上級部門的批準方可執行。盡量避免出現多人共用一個賬號的現象。針對數據的存儲保密，為了保證數據的安全實現每天一次的備份，其備份設備應設置在場外。另外提供一個異地數據備份的功能，借助通信網絡將其中核心數據實現定時、分量的傳輸，針對備份設備需要做好嚴格的管理，應避免出現未授權訪問業務備份數據的現象。

（五）、提高國產化水平

提高電網軟硬件設備及安全產品的國產化水平，實現信息安全問題的高度自主可控。堅持自主創新、自主研發，就是在擺脫外來技術掣肘、努力實現突發狀況可控。一旦出現類似美加大停電、印度大停電這樣的事件，若電網的安全產品以及技術都是國外的，那么后果將會很嚴重。目前，國家電網公司國產化已經達到90%，在保證電網安全的基礎上，繼續提高電網國產化水平，實現完全的自主可控。

結束語

總而言之，隨著社會綜合發展，國家要求智能電網向更高的階段發展，實現智能電網的信息化、自動化。從根本上講，智能電網信息系統的安全性將會直接影響到國家及社會的穩定。保障智能電網信息安全不僅需要安全防范技術，也需要結合對信息系統的相關管理。本文簡要地分析了智能電網信息系統安全防護措施，提出了一套基于安全防護的、結合主動防御的信息系統安全防護體系，以提高智能電網信息系統的安全性。

參考文獻

[1] 高昆侖，辛耀中，李釗，孫煒，南貴林，陶洪鑄，趙保華. 智能電網調度控制系統安全防護技術及發展[J]. 電力系統自動化，2015，01：48-52.

[2] 何F諾. 試論智能電網的信息安全技術[J]. 通訊世界，2015，01：117-118.

篇10

一、自動化系統二次安全防護的現狀

⑴自動化系統二次防護的簡單結構。原有的電力自動化控制應用較為單一的控制系統，且系統中具有較少的業務模塊，不同的業務模塊之間單獨運行，少有模塊間、系統間的數據交換，故而所應用的二次防護系統結構比較簡單。隨著電力系統的不斷發展，各類新技術不斷更替，為了給予電網管理提供更好的服務，供電企業在電力調度自動化方面也投入了大量新技術的應用，例如IES調度自動化系統、調度一體化系統（EMS）、調度運行管理系統（OMS），仿真的調度員培訓系統等。大量的系統應用，導致了自動化系統二次防護結構的復雜化。同時，龐大的數據傳輸要求，以及數據在各業務系統之間交換、共享的發展趨勢，使我們對自動化系統就有了更高的二次安全防護要求。

⑵自動化系統二次防護措施達不到要求。目前的自動化系統的二次防護結構較為簡單，基本上系統都沒有部署防護措施，即使某些系統已經部署了相關防護措施，但也不能達到現行自動化系統對安全技術的要求，主要體現在以下幾個方面：①目前的隔離設備裝置達不到技術安全要求。普遍看來，現行的自動化系統的隔離裝置在橫向安全方面多數達不到新技術的要求，多家供電公司已經著手布置開展自動化系統二次安全防護的總體升級工作，并相應制訂新的企業標準，重新規范了安全防護的網絡技術要求，以此看來，現行的隔離設備已經不符合相關技術要求；②在網絡數據通信中，沒有安裝縱向認證的加密裝置，安全防護措施嚴重缺乏；③在維護遠程撥號服務中，沒有安裝撥號加密的認證裝置，達不到安全防護要求；④相關的主要服務器在控制區中，還沒有加固主機。

⑶自動化系統二次防護的落后管理。因為自動化系統缺少防護技術的有效措施，導致自動化系統二次安全防護相關管理難度增大，很多管理措施難以有效落實。隨著網絡IT技術的快速發展，維護自動化系統的工作人員相關于網絡黑客與網絡安全的知識普遍落后不足，現有的安全防范技術水平也已經遠遠落后于網絡帶來的安全隱患。

二、自動化系統的二次安全防護措施

⑴二次安全防護的目標。①阻擋病毒或黑客使用各種形式入侵電力系統，尤其可以阻擋以集團形式進行的惡意攻擊，能夠確保系統調度中心運行的安全穩定；②抵御利用木馬病毒的惡意程序損壞系統內部局域網而形成對系統的攻擊入侵，并且以此跳板來攻擊系統運行，尤其是系統的實時控制；③防止外部人員惡意攻擊破壞系統調度中心，非法竊取信息資料，防止異常干擾二次系統，導致調度生產無法正常進行；④確保系統調度中心的歷史資料與實時資料的安全性，防止信息資料被人非法入侵后惡意刪除與修改，導致系統出現嚴重癱瘓等問題；⑤嚴格規范企業內部工作人員的行為，整體加強調度中心的安全管理，注重建立安全防護的相關規章制度，并且嚴格執行與監督。

⑵二次防護措施的部署策略。在網絡基礎上，自動化系統的二次安全防護的關鍵是控制生產系統，強化防護重點邊界，在內部提高安全防護性能，確保重要數據和電力控制生產系統的安全。技術路線與防護模型主要是由反應、檢測及防護組成的閉環系統。反應一般是指系統快速作出反應，聯合防護調度系統以及快速處理網絡系統；檢測是在系統中安裝檢測外來入侵裝置，對系統進行審計安全防護；防護是在系統中部署了隔離縱向裝置、安全隔離橫向裝置、防病毒、防火墻等等。

①劃分安全區。電力系統二次安全防護結構體系的基礎是安全分區。按照內部原則，供電、電網與發電企業主要分為信息管理和控制生產兩個大區?？刂粕a這個大區又可以分為控制區與非控制區，也就是相對應Ⅰ安全區和Ⅱ安全區。其中安全防護的核心和重點就是Ⅰ安全區。

②安全區的拓撲結構及防護措施。連接安全區的拓撲結構主要有星形、三角和鏈式結構三種?？紤]到系統運行穩定以及資金投入的問題，使用鏈式結構比較合適，因為它使用較少的隔離裝置，這樣資金投入就減少了，并且安全強度可以有較高的累積。防護安全區的相關措施：a.在控制生產這個大區中，計量電能系統與自動化調度系統處于不同的網絡，相互之間獨立，一般不會有直接連接。但是由于考慮到生產調度管理系統在未來的建設使用，將會需要進行數據交換，兩個系統之間就必須添加防火墻，用來控制網絡之間的數據訪問，阻止不合法的網絡行為，禁止非法訪問信息資源，從而來保護系統；b.二次系統的信息在WEB模塊，該模塊式位于信息管理大區的，在控制生產和信息管理大區之間部署了安全橫向隔離裝置，該裝置是由國家電力部門認證檢測的，能夠阻擋Ⅰ、Ⅱ安全區之間的數據跨越和應用穿透；c.必須要確保系統中的WEB模塊運行正常，避免報表器與WEB服務器遭到病毒的侵害，報表器、WEB器在與企業的數據網連接時就要設置防火墻。

③遠方數據傳輸與安全區邊界的安全防護。自動化系統的各級調度進行數據通信時，安全防護都要使用訪問控制、加密、認證等相關技術措施，設置縱向認證的加密裝置，確保遠方數據傳輸的安全以及安全防護縱向邊界。

④部署其它防護措施。a.設置IDS。在Ⅰ安全區與Ⅱ安全區分別設置入侵檢測系統即IDS，對網絡流量進行收集分析，檢測異?，F象或者入侵企圖，可以實時報警，快速地作出相應；b.對遠程撥號進行防護。防護各個業務系統之間的遠程撥號，應該設置加密認證裝置，遠程用戶在登錄系統后，每一個操作行為，都要接受嚴格的審計，確保系統的安全運行；c.關于病毒的防護措施。調度自動化系統二次安全防護和網絡安全之間最關鍵的就是防病毒安全措施。在Ⅰ、Ⅱ安全區的工作站和主機都要部署病毒防護措施；d.防護主機。防護主機安全的方式主要有：加固主機安全、安全補丁以及安全配置；e.加強管理應用系統與設備的接入。在控制生產大區中，禁止各個業務系統與互聯網之間任何方式的連接；撥號功能限制開通，主機上的串行口、USB借口、光盤驅動、軟盤驅動都要拆除或關閉，不得不保留的設備必須經過安全措施的嚴格檢測。

⑶防護措施的具體實施。安全防護工作是一個漸進和長期的工程系統，并且它的實現技術難度很大，需要改造建設廣域網絡和大量的資金投入，考慮到這些因素，結合各種實際情況，實施的分步計劃：①在第一階段時，首先理清楚整個流程，修補系統的漏洞，制定出自動化系統二次防護方案；②在第二階段時，確定出安全分區的邊界，部署安全硬件的專用防火墻和安全隔離的專用裝置，加裝防病毒的軟件，采用HTTP對WEB模塊的功能安全進行改造，整合各種功能實現系統的鏡像服務，健全系統安全的管理制度；③在第三階段時，在產品之間部署安全縱向的加密認證，對遠程撥號與移動辦公系統的安全進行改造，安全防護的其它技術措施進一步地進行實施并測試，評估審計整個系統的安全性。

篇11

Abstract: It’s introduced that the campaign machinery and equipment should have the security protection facilities in factories, as well as how to check them during the safety evaluation of the status quo, finally, the author adviced that some measures , such as mechanization, automation of process control, alarm devices and warning signs, shoud be taken against to reducing the mechanical injury and non-mechanical-injury.

Key words: Security; Machinery; Defense facilities

中圖分類號：P624.8文獻標識碼：A 文章編號：

1概述

在對工廠進行安全現狀評價過程中有一個重要的項目，就是對現場狀況進行檢查。除了檢查工廠周邊區域環境、廠區平面布置、工藝操作及安全生產管理等外，最主要的一項應針對生產機械設備設施的安全防護設施進行檢查。

機械設備本身應具有本質安全性能，不出現任何事故和危害，但往往很難做到或代價十分昂貴，因此常選擇間接安全技術措施，即當不能或不完全能實現直接安全技術措施時，為機械設備設計出一種或多種安全防護裝置，最大限度地預防、控制事故或危害的發生。一般機械設備是由電或燃油驅動和控制的，運動形式和危險部位較多。所以當機械或電子控制發生故障造成失控，或是人的行為失誤時，設備上的安全防護設施就顯得至關重要。因此，在進行安全評價時，對企業現場機械設備的安全防護設施檢查也顯得尤為重要。筆者根據多年基層工廠的經驗和參加安全評價工作幾年來對工廠現場檢查的實踐，認為對工廠現場生產機械設備的安全防護設施檢查應首先檢查其有無安全防護裝置，再檢查安全防護裝置是否完好正常。

2工廠機械設備的安全防護裝置的檢查

筆者在在對工廠進行安全現狀評價過程中，針對工廠不同的設備預先制定檢查表，將這些機械設備按常規都應配置的安全防護裝置用表格的形式列出，按表進行檢查，以免遺漏，例如：

針對生產、使用、貯存或運輸中存在有易燃易爆的生產設備如鍋爐、反應釜、壓力容器、可燃氣體燃燒設備以及其它燃料燃燒設備的檢查，按常規鍋爐、反應釜、壓力容器及燃燒設備等都應配置安全閥、水位計、溫度計、防爆閥、自動報警裝置、截止閥、限壓裝置、點火或穩定火焰裝置等安全防護裝置[1]。現場檢查時對照檢查表查看這些機械設備有無上述安全防護裝置，是否正常完好。

針對工廠各種旋轉機械的傳動外露部分的檢查，按常規如泵、風機及壓縮機等運動機械的聯軸器部位、砂輪機及電鋸皮帶輪等都應設防護裝置，一般為防護網、防護欄桿、可動式或固定式防護罩和其它專用裝置[2] [5]?，F場檢查時對照檢查表查看這些機械設備有無上述安全防護裝置，再看是否正常完好。并且有些可移動式防護罩還裝有有聯鎖裝置，當打開防護罩時，危險部分立即停止運動。如南京江寧區經濟技術開發區金佰利個人衛生用品有限公司的衛生巾生產線就設有聯鎖裝置，只要生產線上的防護罩一打開，生產線立即就停止運轉。

針對起重設備的檢查，按常規起重設備都應設有信號裝置、制動器、卷揚限制器、行程限制器、自動聯鎖裝置、緩沖器以及梯子、平臺、欄桿等[3]?，F場檢查時對照檢查表查看起重設備有無上述安全防護裝置，再看是否正常完好。

針對沖壓設備的檢查，按常規沖壓設備的施壓部分應設置防如擋手板、拔手器聯鎖電鈕、安全開關、光電控制等護裝置[5]?，F場檢查時對照檢查表查看沖壓設備有無上述安全防護裝置，再看當人體某一部分進入危險區之前，滑塊能否停止運動，聯鎖電鈕、安全開關是否正常完好。

針對自動生產線和復雜的生產設備及重要的安全系統的檢查，按常規其都應設置自動監控裝置、開車預警信號裝置、聯鎖裝置、減緩運行裝置、防逆轉等安全防護裝置[1]。現場檢查時對照檢查表查看這些生產設備有無上述安全防護裝置，是否正常完好。對加工過熱或過冷的部件時，檢查其是否已配置了防接觸屏蔽裝置[1]（在不影響操作和設備功能的情況下），避免操作者觸及過熱或過冷部件引起燙凍傷事故。

針對可能產生粉塵、有害氣體及發生輻射的生產設備的檢查，這些生產設備按常規都應安裝自動加料及卸料裝置、凈化和排放裝置、監測裝置、報警裝置、聯鎖裝置、屏蔽裝置等[4]。現場檢查時對照檢查表查看生產設備有無上述安全防護裝置，是否正常完好。

對企業正在進行檢修的機械電氣設備的檢查，檢查時要看這些正進行檢修機械電氣設備是否已掛上“正在檢修，禁止開機”、“正在檢修，禁止合閘”等警告提示牌。

另外機械設備要是間接安全技術措施無法實現或實施時，可采用檢測報警裝置、警示標志等措施，警告、提醒作業人員注意，以便采取相應的對策措施或緊急撤離危險場所。

3結語

我們在對機械設備的安全防護設施進行檢查都是為了實現工廠減少或不出現機械傷害和職業危害。只有當機械設備安全防護裝置齊全，設備處于最佳組合時，它才能自動排除故障，確保人身和設備安全。在有條件的情況下應盡量采用機械化、自動化程序控制等，這是實現機械設備本質安全的最基本的途徑。

參考文獻

[1]全國注冊安全評價師執業資格考試輔導教材編審委員會,安全生產技術[M].北京:煤炭工業出版社,2005.

[2]GB5226.1-2002,機械安全機械電氣設備[S].

[3]GB/T6067-1985,起重機械安全規程[S].

[4]GB/T17150—1997,放射衛生防護監測規范[S].

[5]GB/T8196-2003,機械安全防護裝置固定式和活動式防護裝置設計與制造一般要求[S].