纵深防御

摘要： 本文针对目前互联网医疗服务面临的安全风险,分析风险成因,提出应对思路。互联网医疗服务的出现,提升了患者就诊方便性和就医及时性。国家高度重视“互联网+医疗健康”工作,近年来出台了一系列政策推动其发展。互联网医疗通过移动终端或互联网提供医疗健康服务,由于移动终端应用安全保障机制和系统纵深防御不足,导致其面临新的安全风险挑战。

摘要： 以往使用的入侵检测系统、电力专用安全隔离装置、加密认证装置对未知攻击无法精准捕获攻击点,导致监测效果较差,文中提出了基于纵深防御的电力信息安全监测系统。使用事件生成器可将预过滤事件传递给事件收集格式化器,格式化器经过协议收集,对已知事件进行不同等级告警定义。在关联分析引擎的支持下,通过特征匹配找出已知事件发生的真正原因。利用TMS320LF2812DSP监控器,连接电脑端进行远程办公和管理。依据信息安全威胁类型设定纵深防御模式。利用白名单与规则匹配方式添加边界隔离条件,触发边界隔离机制。扫描漏洞,并结合遗传算法生成的测试用例发现漏洞。由实验结果可知,该系统攻击点捕捉精度始终高于80%,具有良好监控效果。

摘要： “全媒体”作为一种新的传播形态,相较于传统媒体具有用户多、互动性强及海量数据等特征。面向全媒体业务,传统被动“救火”的运维方式无法适应全媒体时代的安全保障要求。本文从全媒体安全保障所遇到的挑战和困难着手,以资源智能化、数据智能化及运维智能化为目标,结合国际权威运维成熟度模型、AIOps等运维设计思想,设计和建设了智能运维平台,解决了全媒体业务在安全保障实际工作中遇到的问题,全面提升了全媒体业务平台的运维水平,实现了从被动“救火”向主动感知,从传统网管型向高新技术型主动运维模式的转变。

摘要： 随着数字化控制系统在后处理厂中的大规模应用,计算机病毒的威胁也随之出现。首先总结影响数字化控制系统的病毒的一般特点,阐明计算机病毒对于后处理厂控制系统的危害;进而结合核安全文化,阐述一种典型后处理厂纵深防御型网络安全架构,最后基于此架构从信息技术和行政管理两个方面探讨适用于乏燃料后处理厂仪表和控制系统的病毒防护方法、措施和应注意的几点事项,强调计算机病毒的防护策略应贯穿于信息安全载体的制造、配置、应用、检测、评估、维护、改造等一系列活动中,推荐使用可信保障的安全管理机制。同时,本文也提出安全级控制系统和非安全级控制系统应有所区别。

摘要： 随着计算机技术和控制技术的飞速发展,后处理厂工业控制系统大多采用数字化技术。为了加强后处理厂工控系统信息安全,防范外部非法目的的攻击对后处理厂工控系统的攻击及侵害,通过对后处理厂工控信息安全防护策略研究,防止后处理厂工控系统瘫痪和失控,和由此导致的后处理厂工控系统事故和其他事故。本文从后处理厂工控信息安全设计原则,后处理厂控制系统网络安全等级划分及架构,后处理厂控制系统安全防护方案几个方面进行描述,确定主要仪控资产的信息安全等级、区域,以及相互间的边界和接口,制定适应后处理厂工控系统特点和要求的信息安全管理体系和安全防护方案。

摘要： 本文从物理安全、网络安全、主机安全、应用和数据安全等方面介绍了各种防御措施,构造纵深防御体系,为信息系统的安全、稳定运行保驾护航。

摘要： 网络安全是一项系统工程,正如木桶效应一样,要想保障整体安全,必须在各个环节保障安全受控,因此就要求从管理上不断提升,从技术上不断优化,形成完善的网络安全运行管理体系。油气储运企业作为国家能源的大动脉,更应该努力实现网络安全的常态化运行、体系化建设和实战化演练,同时瞄准目标逐步把动态防御、主动防御、纵深防御、精准防护、整体防控和联防联控的安全机制部署在网络安全管理实践基础上,不断优化完善“三化六防”的网络安全运行体系,保障油气储运工控以及办公网络安全、平稳运行。

摘要： 本文结合北京广播电视台广播播出系统的实际情况,论述了广播播出系统在当前网络环境中的实际需求,介绍了播出系统安全管理体系和安全技术体系建立的思路,主要包括建立安全管理组织结构、制订安全管理流程、记录与追溯,构建纵深防御体系和集中管理的实现。

摘要： 核电厂仪表和控制系统总体架构对核电安全具有重要意义。随着数字技术在新建电厂和电厂改造中的应用,相较于相对独立的模拟系统,其总体架构内具有更多的通信联系和数据集成。这些都对数字化仪控系统总体架构的设计开发带来了挑战,例如如何保持充分的独立性以支持纵深防御,限制CCF,确保足够网络安全的同时又避免不必要的复杂性等。本文研究仪控总体架构设计主要原则,并探讨其它可能忽略的技术问题和主要设计流程,为核电厂仪控系统总体架构设计提供参考。

摘要： 纵深防御(DID)理论在经历核电之初的主动探索和三次核事故的被动改进,其层次数量和要求逐渐增多,使核电厂设计越来越复杂。工程设计和新堆型研发的实践中也暴露出一些问题,导致核电经济性提升和创新技术应用受到强烈掣肘。为了探索理论升级的可能,以使其反映最新的技术和认知水平,向着“越简单越安全”的方向发展,在充分认识纵深防御概念重要性和局限性的基础上,本文从方法和技术两个维度提出核电纵深防御理论改进的两个方向:一是建立风险指引型纵深防御策略框架,并给出渐进的实现方案;二是基于实体屏障固有安全性提升的简化纵深防御,对固有安全能力提升的潜在技术方向进行讨论。

摘要： 本文对纵深防御原则分别应用于核电厂安全架构和工业控制系统安全架构进行了比较分析.这里涉及的内容包括:对核能系统核安全纵深防御原则的描述;对工业控制系统安全纵深防御原则的描述;以举例方式给出了数字化层级控制系统的分层模式.并对两种环境下的数字化层级控制系统做了比较分析.

摘要： 本文以石化行业为例，就工业控制系统信息安全存在的隐患，及其纵深防御架构体系进行简要探讨。以纵深防御的工业信息安全防护理念为核心，在充分了解石化行业网络结构和安全现状的基础上，对石化行业工控系统信息安全需求进行了认真分析，从终端安全、网络安全和智能监控三方面出发，通过部署InTrust工控可信计算安全平台、Guard工业防火墙以及工控安全管理平台SMP，实现了石化行业工业控制系统信息安全的纵深防御，能切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击，保障企业生产安全稳定运行。

摘要： 山东海阳核电1号机组的SG二次侧打压方案初步采取核岛常规岛联合打压,执行1.25倍的核岛侧设计压力,即“联合打压、分段实施”.本文从常规岛的纵深防御的角度出发,分别探讨了采用压缩空气预查漏和水压查漏.基于海阳核电项目一期工程的的设计、安装、调试模式，针对一号机组，综合考虑了蒸发器二次侧水压试验潜在风险以及工程现场的进度调节等多方面因素，研究论证了蒸发器二次侧及常规岛主蒸汽管道部分水压试验的技术标准、边界以及“联合打压、分段实施”的试验方案，以期为国内后续AP1000项目的蒸发器二次侧水压试验提供参考借鉴。

摘要： 本文简要分析了石化行业工控系统面临的信息安全问题,从终端安全、网络安全和智能监控三方面出发,介绍了由InTrust工控可信计算安全平台、Guard工业防火墙以及工控安全管理平台SMP构成的纵深防御整体解决方案,切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击,保障企业生产安全稳定运行.

摘要： 本文简述核电仪控安全系统数字化的发展过程，分析了美国核管会（NRC）等核安全当局针对软件共因故障(SWCCF)的观点,提出了核电安全系统采用数字化平台后，带来的软件共因故障问题。以方家山核电工程安全系统数字化的设计方案为例，阐述了计算机软、硬件多样性的防范策略，特别是在软件共因故障问题上，为核电数字化安全系统提供了一种多样性纵深防御的解决方案。同时分析了核安全执照申请中可能遇到的问题，并提出未来核电安全仪控系统可能的发展方向。

摘要： 电网信息安全等级保护纵深防御示范工程是国家发改委批复的2009年信息安全专项。浙江省电力公司作为试点示范单位之一，坚持“统筹规划、试点示范、统一标准、统一规范、自主产权、全面推广”原则，通过深度探索和具体实践，完成了试点示范任务取得了预期效果。本文具体阐述了示范工程目标和内容、试点建设目标和内容、试点建设成果。

摘要： 文章就大数据时代数据保护的实践进行论述.现在很多安全都在讲纵深防御的理念。对于Hadoop类似的大数据平台也可以用这样的理念，比如可以构建一些护城河，进行访问控制，另外也可以做一个更好的授权，更好的认证和权限控制，可以引用像门或者是用一些审计的概念。另外也可以利用加密的手段获得更好的保护数据。基于这个思路，会有大数据安全的防护体系，核心是从发现、评估、保护和审计四个方面对数据生命周期做安全防护。

摘要： 本文以纵深防御的防护理念为核心,结合智能制造中的工控信息安全的需求,推出一套基于可信计算、工业防火墙、工控审计与异常监测、SMP安全管理平台的纵深防御的解决方案,实现了智能制造工厂控制系统信息安全的纵深防御,能切实有效地保护工控系统远离木马、蠕虫、黑客等各种威胁和攻击,保障企业生产安全稳定运行.

摘要： 该文对第三代先进压水堆AP1000首堆工程乏燃料水池冷却与净化系统(SFS)进行了简单介绍,首先对乏燃料水池冷却与净化系统设备组成做了简要说明,然后针对核电站SFS可能发生的非正常运行状态进行了设计分析.该文从纵深防御、非能动补水、管道布置和安全喷淋这几个方面阐述了AP1000核电站在乏燃料水池安全运行上的设计特点,有力地说明了相较于常规核电站,AP1000在技术上的优越性和安全性.

摘要： 随着计算机化仪控系统在核安全领域的广泛应用，软件共模故障问题越来越引起安全审评方和设计者的重视。为有效应对计算机化保护系统的软件共模故障问题，福清核电厂一，二号机组设计了多样化保护系统，本文对该系统的设计方法和设计方案进行了简要的介绍。

摘要： 在从检测器50接收到攻击信息的情况下，当根据攻击信息指定受攻击的服务器20－1时，防御设备10根据路由表确定中继器30－1作为关于所指定的服务器20－1的下一中继目的地，并且从与防御设备10相邻的中继器30－1和30－2中除去中继器30－1，选择中继器30－2作为通知目的地。防御设备10随后将用于使恶意分组经由自身装置进行路由的路由信息通知给选定中继器30－2，以便对从基于所通知的路由信息更改了路由表的中继器30－2路由到自身装置的恶意分组的通过进行控制。

摘要： 提供能正确取得到被摄体的纵深的纵深取得装置。该纵深取得装置(1)具备存储器(200)和处理器(110a)。处理器(110a)：取得红外光的强度，该红外光的强度通过基于被摄体的红外光的摄像而被测量并被保存在存储器(200)，通过基于该红外光的强度算出到被摄体的距离作为纵深来生成纵深图像，取得BW图像，该BW图像通过与基于红外光的强度的IR图像实质相同的场景、相同视点以及相同时刻的摄像而生成并被保持在存储器(200)，基于IR图像和BW图像来检测被摄体当中低反射物体在IR图像内所映出的区域即低反射区域，基于可见光图像来补正纵深图像的低反射区域，输出补正后的纵深图像。

摘要： 本发明涉及一种核电厂纵深防御层次独立性量化评价方法，包括如下步骤：(1)确定纵深防御层次独立性量化评价的基本信息；(2)根据概率安全分析模型，对所述基本信息进行量化；(3)根据纵深防御层次的定性和定量信息，计算纵深防御层次相关度，得到纵深防御层次独立性量化评价结果。本发明所提供的方法能够更为具体客观的分析和理解纵深防御层次间独立的程度，弥补仅有的定性认识的不足，支持优化核电厂纵深防御层次设计。

摘要： 本发明公开了一种用于特殊核材料纵深防御的组网式辐射监测系统，该监测系统包括：服务器终端、交换机、辐射监测控制器和辐射传感器，其中辐射监测控制器与辐射传感器之间通过CAN总线进行通信，辐射传感器的核心为盖革计数管。本发明公开的特殊核材料纵深防御组网式辐射监测系统适用于大规模特殊核材料容器罐的一对一实时监测，该系统具有结构简单、探头紧凑、可靠性高的优点，并从原理上避免了特殊核材料敏感信息的泄露，降低了监测系统对敏感信息的入侵性。系统利用CAN总线进行辐射传感器组网，易于探测规模的快速拓展，能够实现对大量特殊核材料容器罐的一对一的实时监测，为系统快速准确定位非授权移动的特殊核材料位置提供方便。

摘要： 本发明涉及一种核电站工业控制系统网络安全纵深防御体系及方法，属于核电站工业控制系统网络安全技术领域，工业控制中实现最重要功能的第一工业控制系统位于防御体系中心，与其他工业控制系统的网络接口最少且数据向外单向传输；实现次要功能的第二、三工业控制系统接收第一工业控制系统的网络数据，同时数据单向传输到第四工业控制系统；实现非重要功能的第四工业控制系统没有到第二、三工业控制系统的网络接口，且数据向外单向传输到外部系统；防御体系由外向内包括边界防护层、网络通信防护层和主机防护层。本发明通过工业控制系统总体架构的纵深防御体系分层次按重点进行网络安全防护，能够提升核电站工业控制系统的网络安全防护能力。

摘要： 本发明公开了一种区块链和强化学习的纵深防御安全系统，涉及信息安全技术领域，包括设备风险评估模块、工业防火墙模块、工控网络模块、工业态势感知模块、工控可信度量模块、可信访问代理模块、访问用户安全身份基础设施模块和区块链溯源存证记录模块。本发明还公开了一种区块链和强化学习的纵深防御安全方法，包括S100、准备工作；S200、访问用户访问工控网络中的设备；S300、终端设备接入工控网络；S400、评估工控网络安全态势；S500、实时信任度量；S600、动态调整信任决策；S700、执行信任决策；S800、持续监控和防御。本发明提高了工控网络的纵深安全性和智能性。

摘要： 本发明涉及一种纵深防御下的核电站安全壳试验系统，包括：安全壳整体泄漏率测量模块、安全壳音响测漏模块、报警模块以及显示模块；安全壳整体泄漏率测量模块用于对安全壳内的总体泄漏率进行测量并对测量数据进行计算，获得安全壳的实时整体泄漏率和不确定度；安全壳音响测漏模块用于对安全壳的声音信号进行监测并对所监测到的声音信号进行分析处理后，输出安全壳音响测漏测量结果；报警模块在实时整体泄漏率、不确定度、安全壳音响泄漏时，输出相应的报警信号；显示模块对实时整体泄漏率、不确定度和安全壳音响测漏测量结果进行显示。本发明可准确测量安全壳整体泄漏率、精度高，且还能通过音响检测安全壳是否泄漏，提升密封性试验的可靠性。

摘要： 本发明涉及一种有效应对APT攻击的纵深防御系统，包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区；DMZ区与互联网接入区相连；核心应用区与互联网接入区相连；DB区分别与DMZ区、核心应用区相连；管理区分别与互联网接入区、DMZ区、核心应用区、DB区相连。本发明提供的纵深防御系统，采用了纵深网络结构，减少了区域防火墙数量，降低了设备成本，负载分摊至各个层级网络，实现了解放核心交换机压力的作用，提高了交换机的使用寿命；实现了功能模块的划分，提高了各个功能模块的可控性；实现了各个功能子网均为闭环设计，提高了系统的安全性。

摘要： 本实用新型提供了一种储能电站纵深防御系统，包括电池舱、至少一个电池模块、喷淋装置、注入装置和储液池，电池舱具有舱室，电池模块位于舱室内。喷淋装置用于向电池模块喷淋以进行灭火作业，注入装置用于向电池模块内部注入冷却液体，储液池位于舱室下方，储液池内装有灭火流体，电池模块可在重力作用下落入灭火流体内。本实用新型实施例提供的储能电站纵深防御系统采用纵深式防御和非能动理念，对电池模块进行不同力度的灭火，在无需较多外部驱动的情况下，有效抑制火情，最大限度的减少经济损失。

摘要： 本实用新型涉及一种有效应对APT攻击的纵深防御系统，包括互联网接入区、DMZ区、核心应用区、DB区、数据区、管理区；DMZ区与互联网接入区相连；核心应用区与互联网接入区相连；DB区分别与DMZ区、核心应用区相连；管理区分别与互联网接入区、DMZ区、核心应用区、DB区相连。本实用新型提供的纵深防御系统，采用了纵深网络结构，减少了区域防火墙数量，降低了设备成本，负载分摊至各个层级网络，实现了解放核心交换机压力的作用，提高了交换机的使用寿命；实现了功能模块的划分，提高了各个功能模块的可控性；实现了各个功能子网均为闭环设计，提高了系统的安全性。