信息安全以業(yè)務應用系統(tǒng)和計算機網絡的安全防護為主。其中，計算機網絡的安全防護是對外部入侵和內部泄漏的最底層的硬防護，只有合理部署，才能達到較高的安全防護水平。根據網絡傳輸OSI七層模型，采取多種防護措施，以最常見的方式達到較高的安全防護水平是企業(yè)網絡構建的目標，安全防護以國產設備為首選。

       1．分區(qū)控制，信息隔離

         生產控制區(qū)為最高安全級別的區(qū)域。該區(qū)與上級調度系統(tǒng)通過防火墻和縱向加密裝置通信，與管理信息系統(tǒng)通過單向傳輸裝置與管理信息網絡相連。

        網絡結構圖

        服務器區(qū)為信息安全的重點防護區(qū)。鏈路上除串接單獨的防火墻外，還通過服務交換機的上聯口做鏡像，接入入侵檢測設備。

        內部網一區(qū)和內部網二區(qū)通過VPN、防火墻隔離，為終端用戶的接入區(qū)域。一區(qū)為可以直接訪問內部信息系統(tǒng)服務器的企業(yè)員工用戶，二區(qū)為協作單位用戶，可以通過VPN訪問相關信息。

         2．監(jiān)控上網，網關殺毒

        置于互聯網接入端的上網行為管理設備是信息安全的第一道防線。以網關模式布置，串接于出口鏈路中的上網行為管理設備，實現對互聯網訪問行為的全面管理。

        部分上網行為管理設備還集成網關殺毒功能。基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等的管理設備，對企業(yè)內部網絡用戶上網行為的記錄和審計、帶寬的分配、病毒木馬的過濾等，有效防止內網泄密、過濾掛馬網站的訪問、封堵不良網站等，從源頭上切斷病毒、木馬的潛入。通過帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬，甚至完全封堵與工作無關的應用。同時，利用上網行為管理通知和日志，及時把使用中的主動泄密、被動泄密行為，做到事前防范、事中告警、事后追蹤等多方面防范泄密，保護企業(yè)信息資產安全，降低網絡風險，并滿足公安機關對企業(yè)網絡行為記錄的相關要求，規(guī)避可能的法律風險。

         3．雙層防護，過濾攔截

         防火墻是保護內部網免受非法用戶侵入的基本設備，通過設置防火墻的服務訪問規(guī)則、驗證工具、包過濾和應用網關等，最大限度地阻止網絡中的黑客攻擊。

         內部用戶網一區(qū)、二區(qū)之間主要以應用層的攔截為主，有效隔離木馬程序的侵入。結合VPN的應用，可靈活配置二區(qū)用戶訪問內部相關信息，提高外網發(fā)布應用服務器的安全性。

         服務器區(qū)增加一臺主要以網絡層過濾為主，通過來源IP地址、來源端口號、目的IP地址或端口號、服務類型以及通信協議、TTL值、來源的網域名稱或網段等屬性進行過濾攔截，進一步加強對服務器的安全防護。

         4．單向隔離，鏡像查詢

         生產控制區(qū)通過單向傳輸隔離以輪流傳遞數據、中斷插入事件的方式，發(fā)送信息到管理信息實時數據服務器，供相關管理人員查詢信息。

        生產控制區(qū)到管理信息網絡的傳輸數據傳輸使用電力專用的CDT規(guī)約，生產控制區(qū)數據線只接發(fā)送線，接收數據線完全斷開，不可能接收管理信息網絡的任何數據，從硬件上保證兩個系統(tǒng)的完全隔離，完全符合電力系統(tǒng)二次安全防護的要求，又滿足管理用戶查詢遠程實時生產數據需求。

         5．隔離用戶，增加共享

        利用三層交換機VLAN以及二層交換機的端口隔離，有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

        用戶區(qū)所有交換機PC端口均設置隔離，需要共享打印機的部門購置打印服務器接入公共端口，既滿足共享打印的需求，又避免網內用戶使用嗅探工具、ARP攻擊、蠕蟲病毒攻擊等對其它用戶影響，惡意用戶無法獲得其它用戶的通信信息，信息安全風險大幅度降低，同時把廣播域劃分到最小，提高網絡響應速度，有效降低數據流量，延長設備的壽命，特別是低端網絡設備使用周期明顯增加。

         用戶端口隔離對個別應用帶來影響，如無法滿用戶間的資源共享足，需增加共享資源服務器，解決無安全管理需求的信息資源交換平臺，增加桌面管理系統(tǒng)監(jiān)控、管理用戶資源。

         6．在線監(jiān)控，入侵檢測

         網絡分析儀或網管系統(tǒng)，利用簡單網絡管理協議（SNMP）去調用交換機的MIB信息庫，在線監(jiān)測每臺交換機端口上流量的質量，實施諸如監(jiān)測交換機端口統(tǒng)計并掌握其趨勢的策略以及使用，清晰地掌握交換機的詳細情況和端口統(tǒng)計信息，還可根據安全策略直接關閉相應的交換機端口，徹底隔離故障或危險源。

        對于重點防護區(qū)的服務器區(qū)，通過鏡像數據進行入侵檢測，以便及時發(fā)現網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，在網絡系統(tǒng)受到危害之前攔截和響應入侵，保障數據安全。

        7．容災備份，演練驗證

        本地備份、異地備份是防止存儲設備硬件故障、火災及自然災害導致數據損壞的保障措施。在線備份與離線備份相結合，運行維護人員經常演練驗證備份數據的完整可用，是信息安全的日常保障工作；關鍵網絡設備的分布式冗余配置，是網絡系統(tǒng)容災的重要組成部分。