信息安全以業務應用系統和計算機網絡的安全防護為主。其中，計算機網絡的安全防護是對外部入侵和內部泄漏的最底層的硬防護，只有合理部署，才能達到較高的安全防護水平。根據網絡傳輸OSI七層模型，采取多種防護措施，以最常見的方式達到較高的安全防護水平是企業網絡構建的目標，安全防護以國產設備為首選。

       1．分區控制，信息隔離

         生產控制區為最高安全級別的區域。該區與上級調度系統通過防火墻和縱向加密裝置通信，與管理信息系統通過單向傳輸裝置與管理信息網絡相連。

        網絡結構圖

        服務器區為信息安全的重點防護區。鏈路上除串接單獨的防火墻外，還通過服務交換機的上聯口做鏡像，接入入侵檢測設備。

        內部網一區和內部網二區通過VPN、防火墻隔離，為終端用戶的接入區域。一區為可以直接訪問內部信息系統服務器的企業員工用戶，二區為協作單位用戶，可以通過VPN訪問相關信息。

         2．監控上網，網關殺毒

        置于互聯網接入端的上網行為管理設備是信息安全的第一道防線。以網關模式布置，串接于出口鏈路中的上網行為管理設備，實現對互聯網訪問行為的全面管理。

        部分上網行為管理設備還集成網關殺毒功能。基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等的管理設備，對企業內部網絡用戶上網行為的記錄和審計、帶寬的分配、病毒木馬的過濾等，有效防止內網泄密、過濾掛馬網站的訪問、封堵不良網站等，從源頭上切斷病毒、木馬的潛入。通過帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬，甚至完全封堵與工作無關的應用。同時，利用上網行為管理通知和日志，及時把使用中的主動泄密、被動泄密行為，做到事前防范、事中告警、事后追蹤等多方面防范泄密，保護企業信息資產安全，降低網絡風險，并滿足公安機關對企業網絡行為記錄的相關要求，規避可能的法律風險。

         3．雙層防護，過濾攔截

         防火墻是保護內部網免受非法用戶侵入的基本設備，通過設置防火墻的服務訪問規則、驗證工具、包過濾和應用網關等，最大限度地阻止網絡中的黑客攻擊。

         內部用戶網一區、二區之間主要以應用層的攔截為主，有效隔離木馬程序的侵入。結合VPN的應用，可靈活配置二區用戶訪問內部相關信息，提高外網發布應用服務器的安全性。

         服務器區增加一臺主要以網絡層過濾為主，通過來源IP地址、來源端口號、目的IP地址或端口號、服務類型以及通信協議、TTL值、來源的網域名稱或網段等屬性進行過濾攔截，進一步加強對服務器的安全防護。

         4．單向隔離，鏡像查詢

         生產控制區通過單向傳輸隔離以輪流傳遞數據、中斷插入事件的方式，發送信息到管理信息實時數據服務器，供相關管理人員查詢信息。

        生產控制區到管理信息網絡的傳輸數據傳輸使用電力專用的CDT規約，生產控制區數據線只接發送線，接收數據線完全斷開，不可能接收管理信息網絡的任何數據，從硬件上保證兩個系統的完全隔離，完全符合電力系統二次安全防護的要求，又滿足管理用戶查詢遠程實時生產數據需求。

         5．隔離用戶，增加共享

        利用三層交換機VLAN以及二層交換機的端口隔離，有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

        用戶區所有交換機PC端口均設置隔離，需要共享打印機的部門購置打印服務器接入公共端口，既滿足共享打印的需求，又避免網內用戶使用嗅探工具、ARP攻擊、蠕蟲病毒攻擊等對其它用戶影響，惡意用戶無法獲得其它用戶的通信信息，信息安全風險大幅度降低，同時把廣播域劃分到最小，提高網絡響應速度，有效降低數據流量，延長設備的壽命，特別是低端網絡設備使用周期明顯增加。

         用戶端口隔離對個別應用帶來影響，如無法滿用戶間的資源共享足，需增加共享資源服務器，解決無安全管理需求的信息資源交換平臺，增加桌面管理系統監控、管理用戶資源。

         6．在線監控，入侵檢測

         網絡分析儀或網管系統，利用簡單網絡管理協議（SNMP）去調用交換機的MIB信息庫，在線監測每臺交換機端口上流量的質量，實施諸如監測交換機端口統計并掌握其趨勢的策略以及使用，清晰地掌握交換機的詳細情況和端口統計信息，還可根據安全策略直接關閉相應的交換機端口，徹底隔離故障或危險源。

        對于重點防護區的服務器區，通過鏡像數據進行入侵檢測，以便及時發現網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象，在網絡系統受到危害之前攔截和響應入侵，保障數據安全。

        7．容災備份，演練驗證

        本地備份、異地備份是防止存儲設備硬件故障、火災及自然災害導致數據損壞的保障措施。在線備份與離線備份相結合，運行維護人員經常演練驗證備份數據的完整可用，是信息安全的日常保障工作；關鍵網絡設備的分布式冗余配置，是網絡系統容災的重要組成部分。