数字化煤厂网络安全分区

⑴ 网络安全分为几个级别

网络安全分为四个级别，详情如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。

(1)数字化煤厂网络安全分区扩展阅读

网络安全的影响因素：

自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等。

网络协议中的缺陷，例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有：假冒、旁路控制、授权侵犯。

⑵ 有没有人知道配电网分区，I区 ，II 区，III区，IV区，是如何划分的

I区传输网，II区调度数据网，III区综合数据网，网络安全性要求依次递减。一般来说电网的安防、环境等低安全性的接III区。

⑶ 油田网络系统架构及管理

油田网络系统架构及管理

面对全球市场化的挑战，企业要实现跨地区、跨行业、跨国经营的战略目标，要把工作重点转向技术创新、管理创新和制度创新上来，信息化是必然的选择。油田的数字化建设为油田的生产经营业务提供安全、稳定、高效、可靠的网络服务目标，把工作重心转移到确保“数字化管理”的网络需要上来，紧紧围绕中国石油规划的计算机局域网改进项目实施，主要从计算机主干网络、网络安全体系、网络数字化管理等方面，提供了强有力的通信信息服务保障。油田的数字化建设对计算机网络的安全性提出了更高的要求。

一、网络系统架构

遵循中国石油局域网建设和运维规范，结合各地油田实际，科学规划，从网络架构、设备配置、系统承载能力、网络带宽等全面构架网络。

网络架构设计。按照核心层、汇聚层、接入层三层架构的设计原则，在主要油气区设置网络汇聚节点，提高网络覆盖面，满足油气生产需要。

网络拓扑结构采用双星型结构。自有电路与社会电路资源结合使用，在链路层面提高了油气区网络的可靠性和安全性。对于主要油气区域的汇聚节点，采用网状组网方式，增加到其他汇聚节点的千兆级电路，提高网络冗余度。

设备配置。主干节点设备采用冗余配置。西安网络核心、各网络汇聚节点及重要三级节点的路由器、交换机，采用双设备冗余配置。用设备与备份设备双机模式工作，在系统或者硬件故障时候应用自动切换，在硬件层面提高主干网络的安全性、可靠性。

网络带宽。油田的数字化管理全面展开，计算机网络的带宽需要按照业务需求进行规划。将网络业务分为生产、办公、住宅三类，逐一预测带宽。将主干网络承载的主要业务生产数据按照其业务层级.从井站、作业区、厂部到公司，逐级分解，明确了主干网络的带宽需求，初步确定了网络核心与各汇聚节点之间采用双2.5Gbps链路互联，三级节点至网络汇聚节点采用1―2个1000Mbps-ff联，核心网络采用双万兆互联的链路方案。为确保链路的可靠性，主要节点之间采用双链路互联。

二、网络安全体系的规划和构建

如何规划和设计好网络安全体系，是油田数字化管理基础网络建设的重中之重，也是支持各种信息化应用系统运行的关键所在。按照中国石油的统一规划，各油田计算机网络，对上，与中国石油总部内部网络互联，对外，可以就地通过电信运营商接入Internet。这样就可以从结构上将网络安全分为内部安全、外部安全进行考虑。油田在打造畅通、可靠的油田计算机主干网络的同时，同步做好网络安全工作，从网络的边界层、核心层、接入层及安全体系等方面进行统筹规划，已初步形成了边界严防护、核心重监控、桌面勤补漏、全网建体系的网络安全管理理念。网络安全性得到加强，非正常应用流量减少90%。在边界层，采用防火墙及IPS技术，实现对来自外网的安全第一级防护;在网络核心层，首次在企业网应用了流量清洗技术，不仅实现了外网第二级安全防护，还实现企业内部各个重要业务及用户之间的流量监测及攻击性数据清洗;在接入层，采用漏洞扫描系统，不定期对敏感业务系统进行扫描和加固，及时发现安全隐患并予以消除;在主干网方面，以建立网络安全体系为核心，加强网络安全管理，初步建立起了主干网的安全评估体系。

1、互联网网络安全。在与互联网的接入部分，按照安全区、信息交换区、互联网接入区三个安全区进行建设，规划两台防火墙，考虑到出口网络万兆升级以及防火墙处理能力，同时为了降低出口网络复杂度，选择自带IPS功能的防火墙，通过防火墙设备完成出口网络

的安全防护和入侵防护功能。防火墙选型上既考虑国内产品自主知识产权的优势、又兼顾国外产品高性能及稳定性好的特点。

2、内网安全。通过对目前业界各类安全技术的跟踪和研究，重点按照搀D层做清洗、桌面做漏洞扫描及加固、全网进行安全体系建设三方面强化内部网络安全建设。核心网络流量监控及清洗。一方面，通过建立流量模型，保障主要业务。在网络核心。采用相对串接、镜像等方式先进的分光技术，部署旁路流量分析监管设备，通过分析网络核心、互联网出口等流量情况，提炼重要业务的特性，建立全网主要业务流量模型，为网络规划建设提供依据。对于P2P等对于网络带宽消耗较大的业务，设定阀值及流量管理规则，使P2P等业务对用户网络访问影响降到最低。另―方面，通过对异常流量的清洗，保障核心业务及网络的安全。针对目前在网络中频繁发生的病毒攻击等行为，选择旁路部署的网络异常流量清洗设备，通过采用策略路由和BGP引流方式实现流量监控与异常流量的清洗，使得网络安全管理变被动为主动、由事后分析到事前防范、由未知到可视。据统计。2010年3月份就成功消除安全事件1600多起，较大提高了网络的稳定性和可靠性。各类安全策略及规则库的及时更新升级，也使得系统能应对各类新的攻击。

3、安全评估建设及桌面漏洞扫描。在网络核心部署漏洞扫描系统，不定期对相关业务网络进行扫描，发现漏洞，及时进行系统加固，减少安全事件的发生，提高网络稳定性。在此基础上。与国家有安全资质的第三方公司合作，开展安全体系建设，逐步建立较为完善的网络安全管理体系。

三、网络管理

经过计算机网络的大规模建设发展，网络运维工作量规模成倍增长，而网络运维人员没有增加，如何高效运维已经成了追在眉睫的.问题，通过不断的调研和测试，我们认为目前的网络厂家的专业化网管软件、第三方网管软件、国内的网络软件之中，第三方的较为实用，纵观CA、HP等厂家的系统，Solarwinds成为目前比较适合单位实际，能快速高效部署和运维的一套经济实用的系统。主要实现了以下几个方面的开发和应用：实现对全网的网络设备包括路由器、交换机、防火墙、服务器等的实时监测，涉及CISCO、中兴、H3C、华赛、Junipier、飞塔等多个厂家的产品，监测参数包括CPU、内存、带宽、会话数等;实现对各类故障的实时告警和管理，以短信等方式及时提醒运维人员;实时展现全网拓扑结构，以图形化界面友好展示网络畅通情况;实现对全网设备的配置自动备份，能进行配置比对，方便技术人员分析设备运行情况;量化统计分析网络及设备的可用性等指标;灵活定制各类报表，方便决策分析和统计。通过自定义方式建立起来的资源管理，极大方便了网络基础数据和资料的管理。

四、结论

在近一年多的实际运维中，主干网络未出现中断、出口通畅，网络可用性达到l00%。网络整体服务能力的各项指标明显提高：网页平均打开时间由15ms降低到7ms;主干带宽利用率保持<13%;安全设备主要性能指标利用率

⑷ 电力监控系统安全防护方案中需划为控制区的有哪些

第一章 总则 1.1 为防范网络黑客、病毒及恶意代码等对我公司电力二次系统设备的攻击侵害及由此引发生产系统事故，根据《电力二次系统安全防护规定》（电监会〔2004〕5号令）和《电力二次系统安全防护总体方案》（电监安〔2006〕34号）的要求，结合我公司的实际情况，特制定本制度。 1.2 本制度规定了公司范围内电力二次系统安全防护的定义和管理职责要求，并明确二次安全防护工作的原则。 1.3严格按照“安全分区、网络专用、横向隔离、纵向认证”的原则开展二次系统安全防护工作，保障公司二次系统和电力调度数据网络的安全。 1.4 生产和信息系统各级有关人员在进行二次系统项目规划、设计、实施、改造和运行管理时应严格执行本制度的规定要求。 第二章分区定义 2.1 电力二次系统划分为生产控制大区和管理信息区，生产控制大区又分为生产控制区（简称安全I区）和生产非控制区（简称安全II区），管理信息区（简称安全III区）。 2.2 生产控制区包括计算机监控系统（含控制链路和操作链路）、继电保护、五防系统、机组调速和励磁系统、机组振动检测保护装置、变频启动装置控制系统、电力系统稳定装置（PSS）、火灾报警控制系统、闸门控制系统及其它辅助设备等与发电生产直接相关的、具有网络通讯接口或串行通讯口的各种控制系统设备。 2.3 生产非控制区包括实时系统（含实时数据库、实时WEB、事件服务器）、主变套管和气体在线检测系统、水工自动检测系统、线路和机组故障录波装置、关口计量装置、机组振动分析装置及系统等从生产设备采集运行数据、但不参与生产控制调节的各种数据采集分析系统装置。 2.4管理信息区包括资产维护、办公自动化、科档、WEB等应用系统以及网管、主域控制、DNS、备份、防病毒等多种应用服务器。 2.5 新增加的生产控制系统设备按电监会34号文件中总体方案的分区原则部署到相应的分区内。任何需接入网络的设备在项目执行前必须先审批，审批内容包括接入点、设备应有的配置及防护等。 第三章 职责与分工 3.1公司副总经理为二次系统安全防护的第一责任人，并成立以副总经理为组长的电力二次安全防护领导小组，公司总工程师为副组长，各生产部门负责人为小组成员。