1111单位:1111系统安全项目信息安全风险评估报告 我们单位名 日期
报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板
目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)
5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A:脆弱性编号规则.. (17)
最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect
目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
1、风险评估概述 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。 1.2风险评估相关 资产,任何对组织有价值的事物。 威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。 脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。 风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。 2、风险评估的发展现状 2.1信息安全风险评估在美国的发展 第一阶段(60-70年代)以计算机为对象的信息阶段 1067年11月到1970年2月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究,分析。作为第一次比较大规模的风险评估。 特点: 仅重点针对了计算机系统的性问题提出要求,对安全的评估只限于性,且重点在于安全评估,对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段 评估对象多为产品,很少延拓至系统,婴儿在严格意义上扔不是全面的风险评估。 第三阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段 随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。
1.产品简介 每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。 寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。 绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System,简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘,是您身边的“漏洞管理专家”。 产品为国内开发,具备自主知识产权,并经过三年以上应用检验并提供产品用户使用报告的复印件;产品具有高度稳定性和可靠性。 产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中华人民共和国国家版权局《计算机软件著作权登记证书》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,中国信息安全测评中心《信息技术产品安全测评证书--EAL3》,中国信息安全认证中心《中国国家信息安全产品认证证书》。 厂商在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。
产品使用了专门的硬件,基于嵌入式安全操作系统,大大提高了系统的工作效率和自身安全性。系统稳定可靠,无需额外存储设备即可运行,系统采用B/S 设计架构,并采用SSL加密通信方式,用户可以通过浏览器远程方便的对产品进行管理。 产品要求界面友好,并有详尽的技术文档;产品支持中英文图形界面,能够方便的进行语言选择,能够提供丰富的中英文语言的文档资料。 通过CVE兼容性认证及英国西海岸实验室Checkmark认证等国际权威认证。 2.产品功能 2.1 系统漏洞扫描功能 1. 漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类, 需要给出具体的分类信息。 2. 支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏 洞信息,并具体说明支持的检索方式。 3. 提供漏洞知识库中包含的主流操作系统、数据库、网络设备的列表信息。
目录 摘要 (2) 前言 (2) 第一章高压断路器 (2) 第一节高压断路器的作用 (2) 第二节高压断路器的绝缘 (3) 第三节影响高压断路器绝缘性能 (3) 第四节断路器就其对地绝缘方式 (3) 第二章电力设备在线监测技术简介 (4) 第三章高压断路器的在线监测 (4) 第一节交流泄漏电流的在线监测 (5) 第二节高频接地电流的在线监测 (5) 第三节开关特性的在线监测 (5) 第四节温度特性的在线监测 (6) 第五节真空断路器真空度的在线监测 (6) 结论 (7)
高压断路器的在线监测方法 摘要:通过对断路器状态监测方法的介绍, 分析了在线监测方法的诸多特点, 指出其监测内容丰富, 信息处理速度快, 对提高断路器故障的识别、分析、诊断和处理有着极大的帮助作用, 提出为加强设备管理, 加强状态检修的需要, 应用在线监测技术已成为一种发展趋势。 关键词:高压断路器在线监测电力系统 前言:高压断路器是电力系统最重要的开关设备。它担负着控制和保护的功能,既根据电网的运行的需要用它来可靠地投入或切除相应线路或电气设备。当线路或电气设备发生故障时,将故障部分从电网中快速的切除,保证电网无故障部分正常的运行。如果断路器不能在电力系统发生故障是开断线路、消除故障,就会使事故扩大造成大面积的停电。因此,高压断路器性能的好坏、工作可靠程度是决定电力系统安全运行的重要因素。在电力系统中工作的高压断路器必须满足灭弧、绝缘、发热和电动力方面的一般要求。 第一章高压断路器 第一节高压断路器的作用 高压断路器(或称高压开关)它不仅以切断或闭合高压电路中的空载电流和负荷电流,而且当系统发生故障时通过继电器保护装置的作用,切断过负荷电流和短路电流,它具有相当完善的灭弧结构和足够的断流能力,可分为:油断路
基于电力设备状态评价体系的GIS状态评估方法 发表时间:2018-01-19T21:48:50.807Z 来源:《电力设备》2017年第28期作者:吴文利 [导读] 摘要:随着社会不断进步,电网飞速发展,电力通信网络已构建成复杂化的专网,极大地促进了地区经济全面发展。 (平高集团印度电力有限公司河南省平顶山市 467001) 摘要:随着社会不断进步,电网飞速发展,电力通信网络已构建成复杂化的专网,极大地促进了地区经济全面发展。在电网运行中,极易受到多种因素影响,加强电力设备完整化管理尤为重要。因此,该文笔者以多角度客观分析了电力设备状态评价,多层次探讨了状态评价下电力设备完整化管理有效途径。 关键词:封闭式组合电器;SF6;状态检修;状态评估;状态指数 导言 GIS(gas insulated switchgear)是指一种将断路器、隔离开关、快速接地开关、电流互感器、电压互感器、避雷器、母线、套管及电缆终端等其他功能部件封闭组合在接地的金属外壳中并采用SF 6作为绝缘介质的电器装置。当前对GIS展开的研究工作大部分集中在检测技术领域,对其健康状态及剩余使用寿命评估领域的研究未见有比较成熟的报道。电力技术与市场经济的高速发展已经对电力设备的管理提出了新的要求,需要电力企业在GIS全寿命周期内基于GIS的状态实行有针对性的差异化检修管理方案。 1电力设备状态评价与风险管理系统 在电力设备运行中,状态评价流程贯穿其完整化管理系统的关键性,促使电力设备系统核心功能模块紧密相连,处于统一化的网络结构体系中,各自发挥着不同的作用。试验、巡视是日常检查电力设备运行状态的重要形式,其检查时间以及方式各不相同,通常情况下,不能同时采用这两种检查方式,但电力设备状态评价和试验、巡视紧密相连,缺一不可。也就是说,试验以及巡视之后,相关人员都必须综合分析各方面主客观影响因素,严格按照相关规定,再次对各类电力设备进行必要的状态评价,这是提高电力设备状态评价结果实效性的重要保障。就电力设备状态评价来说,具有多样化的功能,比如,查询电力设备状态评价数据,审核电力设备状态评价结果。 在检查电力设备过程中,相关人员需要对电力设备各部件进行状态评价,根据各个部件状态评价结果,明确电力设备整体情况,是否处于“健康”状态,个部件都没有异常情况出現,才能说明电力设备处于稳定运行中,一旦某部件不属于“正常状态”,比如,注意状态、严重状态,需要将电力设备评价为最严重的状态。通常情况下,在评价电力设备部件状态中,其评价结果建立在一组状态参量基础上,以状态判断为基点,各状态参量劣化情况可以分为多个等级,等级越高,说明电力设备劣化状态最为严重。 1.1简介 “电力设备状态评价与风险管理系统,(Condi-tion Assessment and Risk Management System of E-lectrical Equipment,CARMS)”通过收集设备资产信息(直接反映与间接反映资产状态的信息,包括基础数据、运行参数、变电站环境资料、试验数据、缺陷情况等信息),采用信息量化方法,结合工程学理论知识与现场运行经验,深入研究电网资产的老化过程和故障机理,在充分了解和掌握设备资产运行、环境、维护以及设备状态性能之间关系的基础上,针对电网资产开展状态评估与风险评估,以量化的状态指标准确、直观地计算每台、每组设备当前、未来的运行状态,每台、每组设备当前、未来的运行风险并最终直观地以货币化的参数展示,同时基于状态评估结果与风险评估结果,在电力企业可用的检修资源的情况下,以定量的指标(故障率、状态、风险等)给出合理的检修、维护建议。 1.2理论基础 1.2.1特征状态量 目前国内外主要通过对GIS的绝缘性能进行监测以评估其运行状态,但单独采用该数据以表征GIS的健康状态较为片面,实际上该数据只能反映GIS的绝缘状态。GIS的主要功能是开合线路,由于机械性能劣化是断路器无法正常工作的主要原因,因此基于触头的机械特性评估其状态,对于GIS的健康状态评估及剩余寿命评估具有重大意义。 1.2.2理论基础 CARMS定义GIS的剩余使用寿命是指GIS能够在一定可靠性的情况下连续运行的时长,当GIS的可靠性无法满足电网运行的需求时,即认定GIS达到了寿命终期。一般意义来说,GIS在寿命周期内的失效概率呈浴盆曲线,刚投运时,由于设计、原材料及制造过程中产生的一些缺陷,GIS在该阶段失效率较高,但GIS此时处于老化的初始阶段,仍有较长的剩余使用寿命;投运一段时间后,GIS进入稳定期,开始了正常老化过程,其状态相对来说比较稳定;当GIS的失效概率开始急剧上升,说明GIS已经严重老化,接近寿命终期。 2状态评价下电力设备完整化管理有效途径 2.1状态评价下电力设备完整化管理的重要性 在状态评价下,电力设备完整化管理尤为重要,可以对电力设备进行必要的缺陷以及预防性检修,有效防止电力设备运行中出现“过修、欠修”现象,提高电力设备整体性能的基础上,延长了电力设备使用寿命,不需要多次对电力设备进行较大的检修,计划检修已成为状态检修,可以避免检修中电力设备被损坏,电力设备检修成本大幅度降低。在此基础上,还在一定程度上减少了电力设备检修人员工作量,电力设备状态检修各方面明确化,其检修难度大幅度降低,极大地提高了电力设备检修准确率,利于电力设备随时处于稳定运行中,提高其运行效益。 2.2状态评价下电力设备完整化管理有效途径 2.2.1电力设备风险评估依据 从某种角度来说,在电力设备完整化管理方面,电力设备风险评估是其不可忽视的关键性依据。相关人员客观评价电力设备运行状态之后,需要客观评估其存在的风险,明确电力设备存在或者即将发生的风险,便于领导者科学决策,确保输变电设备方面一系列工作顺利开展,比如,运行、检修、试验,进而将电力设备完整化管理工作落到实处。在评估电力设备风险过程中,相关人员必须准确把握其具体化评估依据,比如,电力设备价值、用户,准确把握电力设备各方面权重,比如,价值、地位,根据相关计算公式准确计算电力设备风险值等,确保电力设备风险评估工作有序展开。 2.2.2电力设备检修对策 在客观“评价、评估”之后,电力企业需要根据电力设备各自运行情况,进行针对性的状态检修,需要围绕状态评价结果,全方位客观
信息系统安全测评工具 一、测评工具分类 一)安全测试工具 1、脆弱性扫描工具 脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。 1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。 常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus和Nmap等。 2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。 常用工具:微软基线安全分析器、日志分析工具和木马查杀工具等。 3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背和不遵循数据库安全性策略的做法推荐修正措施。 常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。 4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。 常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth 等。 2、渗透测试工具 渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测和入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。 常用工具:流光(Fluxay)、Pangolin、Canvas、SQLMap、SQLIer、SQL Power Injector和SQLNinja等。 3、静态分析工具 静态程序分析是指使用自动化或半自动化工具软件对程序源代码进行检查,以分析程序行为的技术,广泛应用于程序的正确性检查、安全缺陷检测、程序优化等。 常用工具:FortifySCA、Checkmark CxSuite、IBM Rational AppScan Source Edition、PC-Lint、KlocWork公司的K7,以及其他的开源软件及商业软件。 二)测评辅助工具 测评辅助工具主要实现对原始数据的采集、现状分析和趋势分析等单项功能,其输出结果可作为了解被测系统某方面特性或现状、进一步开展相关安全测试的输入,也可以直接作为系统安全评估的技术依据。 1、性能测试工具 性能测试工具是通过自动化手段模拟多种正常、峰值以及异常负载条件来对系统或网络
传感器在电力设备检测中的应用 电力设备在运行中经常受电的、热的、机械的负荷作用,以及自然环境(气温、气压、湿度以及污秽等)的影响,长期工作会引起老化、疲劳、磨损,以致性能逐渐下降,可靠性逐渐降低。为保证电力系统的安全运行,对系统的重要设备的运行状态进行的监视与检测。监测的目的在于及时发现设备的各种劣化过程的发展,以求在可能出现故障或性能下降到影响正常工作之前,及时维修、更换,避免发生危及安全的事故。 电力设备状态监测的传统方法是经常性的人工巡视与定期预防性检修、试验。设备在运行中由值班人员经常巡视,凭外观现象、指示仪表等进行判断,发现可能的异常,避免事故发生。传统方法效率低,成本高,且可能会给工作人员带来一定危险。随着传感技术与计算机技术的发展,电力设备的状态监测方法向着自动化、智能化的方向发展,设备的定期检修制度向着预警式检修制度发展。电力设备状态的监测涉及面广,大量的非电参量(热学、力学、化学参量等)需要各种相应的传感器,传感技术的发展为此提供了可能。 装备各种传感器的具有状态监测功能的新型电力设备是构成自动化的电力系统的基础,是状态监测和故障诊断的第一步,也是很重要的一步。本文以温度传感器为例,对传感器在实际生产生活中的应用做一简单介绍。 一、检测对象 电力系统中大量设备需要检测温度信息,从而确定电力设备的运行情况,以便运行调度人员及时采取措施,消除异常,避免设备的损坏和事故的发生。 电力设备过热的主要原因是过电流,单仅仅监视电流不能准确反映设备是否超温,因为温度是各种因素影响的综合反映。 主要检测的对象有:电力设备导电连接处、插接处,干式变压器的绕组,电力变压器油温,箱式变电站的出线端、低压开关和高压开关进出线端等等。 二、基本结构及工作原理 温度传感器品种繁多。按测量方式可分为接触式和非接触式两大类,按照传感器材料及电子元件特性分为热电阻和热电偶两类。 (1)热电偶:将两种不同材料的导体或半导体A和B焊接起来,构成一
网络安全风险评估 网络安全主要包括以下几个方面:一是网络物理是否安全;二是网络平台是否安全;三是系统是否安全;四是信息数据是否安全;五是管理是否安全。 一、安全简介: (一)网络物理安全是指计算机网络设备设施免遭水灾、火 灾等以及电源故障、人为操作失误或错误等导致的损坏,是整个网络系统安全的前提。 (二)网络平台安全包括网络结构和网络系统的安全,是整 个网络安全的基础和。安全的网络结构采用分层的体系结构,便于维护管理和安全控制及功能拓展,并应设置冗余链路及防火墙、等设备;网络系统安全主要涉及及内外网的有效隔离、内网不同区域的隔离及、网络安全检测、审计与监控(记录用户使用的活动过程)、网络防病毒和等方面内容。 二、安全风险分析与措施: 1、物理安全:公司机房设在4楼,可以免受水灾的隐患;机 房安装有烟感报警平台,发生火灾时可以自动灭火;机房 安装有UPS不间断电源、发电机,当市电出现故障后, 可以自动切换至UPS供电;机房进出实行严格的出入登 记流程,机房大门安装有门禁装置,只有授权了的管理员 才有出入机房的权限,机房安装了视频监控,可以对计算 机管理员的日常维护操作进行记录。
2、网络平台安全:公司网络采用分层架构(核心层、接入层), 出口配备有电信、联通双运营商冗余链路,主干链路上安 装有H3C防火墙、H3C入侵防御设备,防火墙实现内外 网边界,互联网区、DMZ区、内网区的访问控制及逻辑 隔离,入侵防御设备可以有效抵御外来的非法攻击;在内 网办公区与服务器区之间,部署防火墙,实现办公区与服 务器区的访问控制及隔离,内网部署了堡垒机、数据库审 计与日志审计系统,可以有效记录用户使用计算机网络系 统的活动过程。 3、系统安全:公司各系统及时安装并升级补丁,可以及时的 修复系统漏洞,同时在关键应用系统前部署WAF,防护 来自对网站源站的动态数据攻击,电脑终端与服务器系统 安装杀毒软件,可以对病毒进行查杀。 4、信息数据安全:公司通过防火墙实现了内外网的逻辑隔离, 内网无法访问外网;同时部署了IP-guard加解密系统,借 助IP-guard,能够有效地防范信息外泄,保护信息资产安 全;对重要数据提供数据的本地备份机制,每天备份至本 地。 5、管理安全:公司严格按照等级保护之三级等保技术要求和 管理要求制定了一套完善的网络安全管理制度,对安全管 理制度、安全管理机构、人员安全管理、系统建设管理、 系统运维管理各个方面都做出了要求。
胜达集团 信息安全评估报告 (管理信息系统) 胜达集团 二零一六年一月
1目标 胜达集团信息安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围 本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等, 管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。2.3 评估方法 采用自评估方法。 3重要资产识别 对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总,形成重要资产清单。 资产清单见附表1。 4安全事件 对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1评估标准 信息安全组织机构包括领导机构、工作机构。 5.1.1.2现状描述 本局已成立了信息安全领导机构,但尚未成立信息安全工作机构。 5.1.1.3 评估结论
网络安全风险评估 从网络安全威胁看,该集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。因此要采取以下措施增强该集团网络安全: A:建立集团骨干网络边界安全,在骨干网络中Internet出口处增加入侵检测系统或建立DMZ区域,实时监控网络中的异常流量,防止恶意入侵,另外也可部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。 B:建立集团骨干网络服务器安全,主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。 C:漏洞扫描,了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。 D:集团内联网统一的病毒防护,包括总公司在内的所有子公司或分公司的病毒防护。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。 E:增强的身份认证系统,减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。 补充:最后在各个设备上配置防火墙、杀毒软件,通过软件加强网络安全
电力设备运行安全状态评估系统的方案设计 摘要:随着电力设备的广泛应用,电力设备安全运行成为目前社会关注的重点,因此应该加强对电力设备运行安全状态评估系统方案设计的研究,从而促进电力 设备安全合理的运行。本文围绕客户层、业务逻辑层、数据层、数据传输及接口、系统安全及防范措施五个方面展开讨论,对电力设备运行安全状态评估系统方案 进行全方面的分析,从而加强电力设备运行的可靠性,满足人们生活的需求。 关键词:电力设备;评估系统;业务逻辑层 电力设备在日常生活中占据了重要的地位,并且朝着容量大、结构多样化以 及状态检修等多个方向发展。因此应该在进行电力设备运行安全状态模糊综合评 价的基础上,建立相应的电力设备运行状态安全评价系统,加强对电力设备的安 全性控制,发挥对电力领域发展的积极影响,并对电力设备的安全管理有重要的 参考价值。 一、电力设备运行安全状态模糊综合评价 由于电力设备运行安全状态受到多种因素的影响,如质量等级、运行环境等 确定因素,同时还受到电力设备性能效果、特性、运行状态等不确定因素的影响。因此工作人员只能根据电力设备的实际运行情况给出模糊的综合评价,根据这一 评价,进行相关的设备安全运行评价系统方案的设计。电力设备运行安全状态模 糊综合评价的步骤包括以下几个方面:首先,确定状态因素集,将需要检测的指 标作为评价因素;其次,确定评判集,将电力设备运行安全状态分为不同等级, 从而满足实际工作的需求;之后将安全评估中的重要部分确定下来,有利于提高 进行综合安全评价的效率和合理性,权重确定的关键在于根据实际的评价情况, 应用具体的权重分析方法有针对性的进行评估;最后,进行综合评价计算,将各 指标的检测情况与各指标对评价系统的影响程度进行有效结合,进行合理的系统 安全评价[1]。 二、评估系统设计方案 (一)完善评估系统设计的必要性 电力设备运行安全状态评估体系是设计电力设备运行安全状态评估系统的重 要条件,而逐渐发展成熟的计算机技术为电力设备运行安全状态评价系统的设计 提供了技术支持。目前,电力企业的重点工作方向是将熟悉电力设备运行状态的 工作人员以及检修人员等作为电力系统安全运行评价专家组的一部分,形成全方位、合理性较强的安全评估机制。电力企业工作的展开主要是围绕企业的管理情况、电力设备的运行状态以及员工的综合素养确定的,具有合理性和可行性。多 专家协作评估的评估理念是保证电力设备运行安全评估系统设计方案合理性的重 要举措,大多数电力企业已经采取了这一做法,将企业内部技能较熟练,工作经 验丰富的员工加入到系统评价队伍中,要求员工将电力设备运行时出现的问题进 行详细记录,并且将问题产生的原因以及对设备安全性的影响表明自己的观点, 企业表示对于表现较好的员工进行奖金奖励,这一做法极大的增加了工作人员的 工作积极性,从而保证评价系统的合理性。 (二)评估系统设计方案 1.客户层 电力设备运行安全状态评价系统可以从客户层、业务逻辑层以及数据层三个 方面进行设计。客户层包括两个方面,分别是设备端以及用户端。设备端能通过 软件的采集作用将被检测设备的运行状态等数据信息进行归纳;用户端具有四大
附件: 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 项目名称: 项目建设单位: 风险评估单位: 年月日
目录 一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)
5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)
电力设备带电检测技术规范 国家电网公司 2010年1月
目录 前言 .............................................................................................................................................. I 1范围 . (1) 2规范性引用文件 (1) 3定义 (1) 5变压器检测项目、周期和标准 (4) 6套管检测项目、周期和标准 (5) 7电流互感器检测项目、周期和标准 (6) 8电压互感器、耦合电容器检测项目、周期和标准 (8) 9避雷器检测项目、周期和标准 (9) 10 GIS本体检测项目、周期和标准 (10) 11开关柜检测项目、周期和标准 (12) 12敞开式SF6断路器检测项目、周期和标准 (12) 13高压电缆带电检测项目、周期和标准 (13) 附录A 高频局部放电检测标准 (17) 附录B 高频局部放电检测典型图谱 (18) 附录C GIS超高频局部放电检测典型图谱 (21) 附录D 高压电缆局部放电典型图谱 (29) 附录E 编制说明 (30)
Q/GDW ××××-2009 前言 电力设备带电检测是发现设备潜伏性运行隐患的有效手段,是电力设备安全、稳定运行的重要保障。为规范和有效开展电力设备带电检测工作,参考国内外有关标准,结合实际情况,制订本规范。 本标准附录A为规范性附录,附录B、附录C、附录D为资料性附录。 本标准由国家电网公司生产技术部提出。 本标准由国家电网公司科技部归口。 本标准主要起草单位:北京市电力公司、中国电力科学研究院、国网电力科学研究院 本标准参加起草单位:江苏省电力公司、福建省电力公司、湖北省电力公司 本标准的主要起草人:刘庆时、张国强、丁屹峰、韩晓昆、黄鹤鸣、杨清华、赵颖、闫春雨、毛光辉、彭江、牛进仓、孙白、王承玉 本标准由国家电网公司生产部负责解释。 本标准自发布之日起实施。
绿盟--漏洞扫描系统N S F O C U S-R S A S-S- v5.0
1.产品简介 每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都利用了未修补的漏洞,使得许多已经部署了防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受巨大的经济损失。 寻根溯源,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。 绿盟远程安全评估系统(NSFOCUS Remote Security Assessment System,简称:NSFOCUS RSAS)第一时间主动诊断安全漏洞并提供专业防护建议,让攻击者无机可乘,是您身边的“漏洞管理专家”。 产品为国内开发,具备自主知识产权,并经过三年以上应用检验并提供产品用户使用报告的复印件;产品具有高度稳定性和可靠性。 产品取得了中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》,中华人民共和国国家版权局《计算机软件著作权登记证书》,中国人民解放军信息安全产品测评认证中心的《军用信息安全产品认证证书》,国家保密局涉密信息系统安全保密测评中心《涉密信息系统产品检测证书》,中国信息安全测评中心《信息技术产品安全测评证书--EAL3》,中国信息安全认证中心《中国国家信息安全产品认证证书》。 厂商在信息安全领域有丰富的经验与先进的技术,须有对系统漏洞进行发现、验证、以及提供应急服务的技术能力。
电力设备在线监测系统概述 宁波智电电力科技有限公司邓立林 电力设备在线监测系统由容性设备绝缘在线监测系统、避雷器绝缘在线监测系统、断路器在线监测系统组成,系统涵盖了变电站主要电气设备绝缘状态参数的监测,监测参量多、功能齐全。系统也可以灵活配置,由其中的一套或两套装置组成,必要时也可选配变压器油色谱监测系统。 1、系统集成: 通过工控机及系统集成软件,对各监控装置的动态参数进行 集成,建立变电站设备状态综合数据库,自动生成设备状态参数报表和变化趋势曲线,对设备状态的历史参数进行“横比”缺, 趋势分析和相对比较相结合,实现设备状态的初步诊断,为专家诊断系统提供开放性平台,通过网络,现设备的远程/现场状态 监测、诊断和评估。 2、系统特点 ◆配置灵活,扩展性好,功能齐全,性能优异 ◆测量准确,数据可靠,安装简便,维护简单 3、真空断路器在线监测系统 ZD-1000型断路器综合在线监测装置包括一套或多套断路器 安装单元、一个共同的服务器,通过现场总线与后台连接。断路器单元部分包括若干个传感器,一个或多个监测器,一个通信总
线转换器,支持多种标准通信协议。 系统能实时采集断路器运行数据,及时获得断路器的运行状态。 通过对断路器运行状态的分析,及时发现设备所存在的问题,有效排除故障,保证设备的正常运行,从而提高设备运行的可靠稳定性。 3.1、监测参数 1、分合闸波形、速度、时间、超程、开距、弹跳、同期; 2、线圈电流、电压、铁芯动作时间、功率; 3、电机电流、电压、功率; 4、触头温度; 5、参数的报警、警报功能; 6、监测参数统计、趋势分析。 4、容性设备绝缘在线监测系统 容性设备绝缘在线监测装置适用于110kV~500kV电压等级的 主变套管、电流互感器、电压互感器、耦合电容器的在线监测及故障诊断。 4.1、监测参数 介质损耗、泄漏电流、等值电容、母线电压、环境温度和湿度 4.2、系统功能
xxxx有限公司 无线网络安全风险评估报告 xxxx有限公司 二零一八年八月
1.目标 xxxx有限公司无线网络安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 一.评估依据、范围和方法 1.1评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 1.2评估范围 本次无线网络安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础无线网络信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、无线路由器、无线AP系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
1.3评估方法 采用自评估方法。 2.重要资产识别 对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。 3.安全事件 对本司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。 4.无线网络安全检查项目评估 1.评估标准 无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升