時(shí)間:2022-10-02 03:10:45
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇控制系統(tǒng)網(wǎng)絡(luò)安全,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系是工業(yè)行業(yè)現(xiàn)代化建設(shè)體系中的重要組成部分,對(duì)保證工業(yè)安全、穩(wěn)定、可持續(xù)競(jìng)爭(zhēng)發(fā)展具有重要意義。基于此,文章從工業(yè)控制系統(tǒng)相關(guān)概述出發(fā),對(duì)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題,以及當(dāng)今工業(yè)控制系網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化進(jìn)行了分析與闡述,以供參考。
關(guān)鍵詞:
工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;防護(hù)體系
0引言
工業(yè)控制系統(tǒng)是我國(guó)工業(yè)領(lǐng)域建設(shè)中的重要組成部分,在我國(guó)現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來(lái)我國(guó)工業(yè)信息化、自動(dòng)化、智能化的創(chuàng)新與發(fā)展,工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢(shì),并在我國(guó)工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中,如能源開發(fā)、水文建設(shè)、機(jī)械制作生產(chǎn)、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用。因此,在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下,對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義,已成為當(dāng)今社會(huì)關(guān)注的重點(diǎn)內(nèi)容之一。
1工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(IndustrialControlSystem,ICS)是由一定的計(jì)算機(jī)設(shè)備與各種自動(dòng)化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過(guò)程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下,大致可分為五個(gè)部分,分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分(PLC/RTU)”、“分布式控制系統(tǒng)部分(DCS)”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分(SCADA)”以及“企業(yè)整體信息控制系統(tǒng)(EIS)”[2]。近年來(lái),在互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、電子通信技術(shù)以及控制技術(shù),不斷創(chuàng)新與廣泛應(yīng)用的推動(dòng)下,工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展,工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計(jì)算機(jī)集約控制系統(tǒng)(CCS)”轉(zhuǎn)換為“分散式控制系統(tǒng)(DCS)”,并逐漸趨向于“生產(chǎn)現(xiàn)場(chǎng)一體化控制系統(tǒng)(FCS)”的創(chuàng)新與改革發(fā)展。目前,隨著我國(guó)工業(yè)領(lǐng)域的高速發(fā)展,工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中,其安全性、穩(wěn)定性、優(yōu)化性運(yùn)行對(duì)我國(guó)經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定具有重要影響作用。
2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅
2.1工業(yè)控制系統(tǒng)本身存在的問(wèn)題
由于工業(yè)控制系統(tǒng)是一項(xiàng)綜合性、技術(shù)復(fù)雜性的控制體系,且應(yīng)用領(lǐng)域相對(duì)較廣。因此,在設(shè)計(jì)與應(yīng)用過(guò)程中對(duì)工作人員具有較高的要求,從而導(dǎo)致系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患。
2.2外界網(wǎng)絡(luò)風(fēng)險(xiǎn)滲透問(wèn)題
目前,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用,已成為時(shí)展的必然趨勢(shì),在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時(shí),對(duì)于數(shù)據(jù)信息的采集、分析與管理,需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過(guò)程中,工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中,而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問(wèn)題,這在一定程度上將會(huì)導(dǎo)致工業(yè)控制系統(tǒng)受到來(lái)自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響,從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。例如,“百度百科”網(wǎng)站,通過(guò)利用SHODAN引擎進(jìn)行OpenDirectory搜索時(shí),將會(huì)獲得八千多個(gè)處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息,一旦出現(xiàn)黑客或人為惡意攻擊,將為網(wǎng)站管理系統(tǒng)帶來(lái)嚴(yán)重的影響[3]。
2.3OPC接口開放性以及協(xié)議漏洞存在的問(wèn)題
由于工業(yè)控制系統(tǒng)中,其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的,因此,在既定環(huán)境下,工業(yè)過(guò)程控制標(biāo)準(zhǔn)OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強(qiáng)的開放性[4]。當(dāng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行操作時(shí),基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失,加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風(fēng)險(xiǎn)因素的攻擊與干擾,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2.4工業(yè)控制系統(tǒng)脆弱性問(wèn)題
目前,我國(guó)多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問(wèn)題,致使工業(yè)控制系統(tǒng)具有“脆弱性”特征,例如,網(wǎng)絡(luò)配置問(wèn)題、網(wǎng)絡(luò)設(shè)備硬件問(wèn)題、網(wǎng)絡(luò)通信問(wèn)題、無(wú)線連接問(wèn)題、網(wǎng)絡(luò)邊界問(wèn)題、網(wǎng)絡(luò)監(jiān)管問(wèn)題等等[5]。這些問(wèn)題,在一定程度上為網(wǎng)絡(luò)信息風(fēng)險(xiǎn)因素的發(fā)生提供了可行性,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題。
3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用,同時(shí)也需要相關(guān)部門(如,設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等)基于自身實(shí)際情況與優(yōu)勢(shì)加以輔助,從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化、全方位的構(gòu)建。
3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力
首先,構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略:安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)與執(zhí)行的重要前提條件,對(duì)保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對(duì)此,相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問(wèn)題,在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢(shì)的基礎(chǔ)上,有針對(duì)性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略,用以保證工業(yè)控制系統(tǒng)安全設(shè)計(jì)、操作、管理、養(yǎng)護(hù)維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如,基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理,結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求,對(duì)工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級(jí)”,用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項(xiàng)漏洞危機(jī)[6]。在此過(guò)程中,設(shè)計(jì)人員以及相關(guān)工作者應(yīng)通過(guò)“試驗(yàn)測(cè)驗(yàn)”的方式,為工業(yè)控制系統(tǒng)營(yíng)造仿真應(yīng)用環(huán)境,并在此試驗(yàn)環(huán)境中對(duì)系統(tǒng)進(jìn)行反復(fù)測(cè)驗(yàn)、審核、評(píng)價(jià),并對(duì)系統(tǒng)核心配置、代碼進(jìn)行備份處理,在保證補(bǔ)丁的全面化升級(jí)的同時(shí),降低升級(jí)過(guò)程中存在的潛在風(fēng)險(xiǎn)。其次,注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建:網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行,對(duì)降低工業(yè)控制系統(tǒng)外界風(fēng)險(xiǎn)具有重要意義。對(duì)此,相關(guān)設(shè)計(jì)與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上,制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案,并給予有效應(yīng)用。通常情況下,工業(yè)控制系統(tǒng)設(shè)計(jì)人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求,對(duì)系統(tǒng)所需設(shè)備進(jìn)行整理,并依據(jù)整理內(nèi)容進(jìn)行具體測(cè)評(píng)與調(diào)試,用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮,避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問(wèn)題的產(chǎn)生;根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對(duì)隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃(包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等),并針對(duì)不同區(qū)域情況與待保護(hù)程度要求,采用相應(yīng)的舉措進(jìn)行改善,實(shí)現(xiàn)不同風(fēng)險(xiǎn)的不同控制[7]。與此同時(shí),構(gòu)建合理、有效的物理層防護(hù)體系:實(shí)踐證明,物理層防護(hù)體系的構(gòu)建(物理保護(hù)),對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用,是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項(xiàng)目,也是核心項(xiàng)目,對(duì)工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化,具有決定性作用。因此,在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計(jì)時(shí),設(shè)計(jì)人員以及相關(guān)企業(yè)應(yīng)注重對(duì)工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如,通過(guò)配置企業(yè)門禁體系,用以避免外來(lái)人員對(duì)工業(yè)現(xiàn)場(chǎng)的侵害;依據(jù)企業(yè)特色,配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備,如備用發(fā)電機(jī)、備用操作工具、備用電線、備用油庫(kù)等,用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計(jì)或生產(chǎn)出現(xiàn)問(wèn)題;通過(guò)配置一定的監(jiān)測(cè)管理方案或設(shè)施,對(duì)系統(tǒng)進(jìn)行一體化監(jiān)管,用以及時(shí)發(fā)現(xiàn)問(wèn)題(包括自然風(fēng)險(xiǎn)因素、設(shè)備生產(chǎn)安全風(fēng)險(xiǎn)因素等)并解決問(wèn)題,保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性。此外,加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治:設(shè)計(jì)工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問(wèn)題,可通過(guò)換位思考的形式,對(duì)已經(jīng)設(shè)計(jì)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測(cè)評(píng),并從對(duì)方的角度進(jìn)行思考,制定防護(hù)對(duì)策,用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。
3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力
工業(yè)控制系統(tǒng)生產(chǎn)企業(yè),作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者,應(yīng)提升自身對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的重視程度,從而在生產(chǎn)過(guò)程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時(shí),系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計(jì)技術(shù)與經(jīng)驗(yàn)的基礎(chǔ)上,強(qiáng)化自身綜合能力與開發(fā)水平,保證工業(yè)控制系統(tǒng)緊跟時(shí)展需求,推動(dòng)工業(yè)控制系統(tǒng)不斷創(chuàng)新,從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險(xiǎn)。
3.3加大政府扶持與監(jiān)管力度
由上述分析可知,工業(yè)控制系統(tǒng)在我國(guó)各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用,并占據(jù)著重要的地位,其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對(duì)我國(guó)市場(chǎng)經(jīng)濟(jì)發(fā)展與社會(huì)的穩(wěn)定具有直接影響作用。由此可見,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問(wèn)題,政府以及社會(huì)等外部體系的構(gòu)建同樣具有重要意義。對(duì)此,政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會(huì)責(zé)任的執(zhí)行,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督,促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建。例如,通過(guò)制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施,用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生;通過(guò)制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則,嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性,加大自身維權(quán)效益。
4結(jié)論
綜上所述,本文針對(duì)“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上,分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問(wèn)題,并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的基礎(chǔ)上,提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化對(duì)策,以期對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解,從而促進(jìn)我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。
參考文獻(xiàn):
[1]王棟,陳傳鵬,顏佳,郭靚,來(lái)風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016(2):6-11.
[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.
[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.
[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場(chǎng),2013(6):314.
[6]孟雁.工業(yè)控制系統(tǒng)安全隱患分析及對(duì)策研究[J].保密科學(xué)技術(shù),2013(4):16-21.
關(guān)鍵詞:工業(yè)網(wǎng)絡(luò);安全防護(hù)
隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展以及國(guó)家“工業(yè)4.0”“兩化融合”戰(zhàn)略的推進(jìn),智能化工廠建設(shè)已成為企業(yè)節(jié)本降耗、提質(zhì)增效的必由之路,對(duì)于工業(yè)控制系統(tǒng)而言,它必將成為智能化工廠整體設(shè)計(jì)架構(gòu)中的重要組成部分。生產(chǎn)控制信息將貫穿于企業(yè)生產(chǎn)經(jīng)營(yíng)管理全過(guò)程,工業(yè)控制系統(tǒng)相對(duì)獨(dú)立的運(yùn)行環(huán)境正在被打破,工業(yè)控制系統(tǒng)面臨著來(lái)自外部越來(lái)越多的安全威脅。尤其是化工流程行業(yè)高溫高壓、易燃易爆的特點(diǎn),一旦工業(yè)控制系統(tǒng)出現(xiàn)問(wèn)題,后果將極其嚴(yán)重。
一、行業(yè)現(xiàn)狀分析
目前化工流程行業(yè)普遍運(yùn)用數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)控制生產(chǎn)設(shè)備的運(yùn)行。長(zhǎng)期以來(lái)工業(yè)控制系統(tǒng)始終把穩(wěn)定性、延時(shí)性、可操作性等作為重要的性能指標(biāo),很多企業(yè)對(duì)于工業(yè)網(wǎng)絡(luò)安全沒有足夠的重視,管理制度不健全,技術(shù)防護(hù)措施不到位,有的企業(yè)甚至基本上沒有任何防護(hù)措施,由于擔(dān)心對(duì)操作系統(tǒng)的影響,不敢輕易對(duì)系統(tǒng)實(shí)施升級(jí)和漏洞補(bǔ)丁的操作。為了實(shí)現(xiàn)管控一體化,很多企業(yè)將工業(yè)控制網(wǎng)與企業(yè)管理網(wǎng)絡(luò)甚至是與互聯(lián)網(wǎng)進(jìn)行了連接,且采取的防護(hù)措施也很簡(jiǎn)單,通常只是用一臺(tái)上位機(jī)將工業(yè)控制網(wǎng)和管理網(wǎng)連接到一起,這種安全防護(hù)措施極易被攻破,在高度信息化的同時(shí)也減弱了工業(yè)控制系統(tǒng)的安全性,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)蔓延,工業(yè)網(wǎng)絡(luò)病毒、工控設(shè)備高危漏洞、外委設(shè)備后門、無(wú)線技術(shù)應(yīng)用的風(fēng)險(xiǎn)等諸多因素對(duì)工業(yè)控制系統(tǒng)的安全造成了極大的威脅,工業(yè)控制系統(tǒng)安全問(wèn)題日益突出。
二、安全防護(hù)技術(shù)探討
1.工業(yè)控制系統(tǒng)病毒種類和傳播途徑分析。
工業(yè)控制系統(tǒng)受到攻擊一般都是先感染病毒,系統(tǒng)被感染后會(huì)出現(xiàn)兩種情況,一是系統(tǒng)運(yùn)行效率下降,常出現(xiàn)運(yùn)行速度慢和死機(jī)現(xiàn)象;二是系統(tǒng)被黑客利用病毒所控制,對(duì)系統(tǒng)進(jìn)行操作。近年來(lái)出現(xiàn)的震網(wǎng)病毒、Duqu病毒、Flame病毒和Havex病毒都是針對(duì)工業(yè)控制系統(tǒng)的病毒,這些病毒的傳播途徑一般是通過(guò)互聯(lián)網(wǎng)散布,通過(guò)互聯(lián)網(wǎng)感染企業(yè)管理網(wǎng)絡(luò)計(jì)算機(jī)或移動(dòng)存儲(chǔ)設(shè)備,通過(guò)管理網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)設(shè)備感染工業(yè)控制網(wǎng)絡(luò)。目前很多化工企業(yè)用于生產(chǎn)控制的是DCS系統(tǒng),針對(duì)這些DCS產(chǎn)品實(shí)施攻擊是很容易做到的,因?yàn)檫@些DCS產(chǎn)品的協(xié)議參數(shù)、標(biāo)準(zhǔn)規(guī)范、接口參數(shù)等信息對(duì)于攻擊者來(lái)說(shuō)是很容易得到的,制作出有針對(duì)性的攻擊程序技術(shù)難度也不大,攻擊的關(guān)鍵就是如何使這些程序侵入到工業(yè)控制系統(tǒng)之中,這既是攻擊者想方設(shè)法所要做的事情,也是防御者的工作重心。以震網(wǎng)病毒為例進(jìn)行分析,震網(wǎng)病毒是一種基于WINDOWS操作系統(tǒng)平臺(tái)的專門針對(duì)工業(yè)控制系統(tǒng)的蠕蟲病毒,它具有傳播能力強(qiáng)、能自我復(fù)制、隱身性好等特點(diǎn),還具有多種掃描和滲透機(jī)制,該病毒可以根據(jù)環(huán)境不同做出相應(yīng)的反應(yīng)。震網(wǎng)病毒的攻擊手段常常以黑客技術(shù)發(fā)動(dòng)首次攻擊,入侵到工業(yè)控制系統(tǒng)后進(jìn)行蔓延、復(fù)制,滲透到更深層次的控制單元中,從而達(dá)到控制系統(tǒng)的目的。
2.工控安全防護(hù)理念的演變。
(1)強(qiáng)調(diào)網(wǎng)絡(luò)隔離,一般是采用網(wǎng)關(guān)、網(wǎng)閘、單向隔離設(shè)備等硬件隔離技術(shù),這些防護(hù)手段屬于被動(dòng)防護(hù),起到抵御和阻擋威脅侵入的作用。但被動(dòng)的防御是脆弱的,現(xiàn)代高端持續(xù)性攻擊都是有針對(duì)性的應(yīng)對(duì)這些隔離技術(shù),只要是有物理連接,那攻破這些隔離設(shè)施只是技術(shù)上的問(wèn)題。
(2)傳統(tǒng)信息安全廠商提出了縱深防御體系的理念,其性質(zhì)也是屬于隔離的范疇,只不過(guò)是對(duì)傳統(tǒng)隔離技術(shù)的一種演變,基本上是諸如防火墻、動(dòng)態(tài)入侵檢測(cè)(IPS)等一些信息安全設(shè)備的一種簡(jiǎn)單的堆砌,不能完全適應(yīng)工業(yè)控制網(wǎng)絡(luò)安全的特點(diǎn)。
(3)以工業(yè)控制系統(tǒng)生產(chǎn)廠家為代表的,基于產(chǎn)品端的持續(xù)性防御體系,其理念是基于工控產(chǎn)品硬件創(chuàng)新以提高其安全性,這種理念適應(yīng)工業(yè)控制系統(tǒng)高可靠、低延時(shí)、可定制以及簡(jiǎn)單化的實(shí)施和操作等特點(diǎn),這就需要制造廠家與客戶之間需建立一種長(zhǎng)期的合作關(guān)系,費(fèi)用相對(duì)也較高。
(4)以攻為守的防護(hù)策略,通過(guò)注重攻擊技術(shù)的研究以提高攻擊技術(shù),從而帶動(dòng)防御技術(shù)的提高,以此為基礎(chǔ)衍生出多種檢測(cè)技術(shù)和風(fēng)險(xiǎn)評(píng)估方法,運(yùn)用這些技術(shù)和方法建立諸如離線威脅管理平臺(tái)、威脅評(píng)估系統(tǒng)等工具挖掘系統(tǒng)漏洞,尋找安全滲透攻擊,發(fā)現(xiàn)隱患及時(shí)報(bào)警或消除,這些技術(shù)和手段屬于主動(dòng)防御。
3.攻擊技術(shù)分析。
(1)網(wǎng)絡(luò)掃描技術(shù)分析。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議對(duì)延時(shí)性很敏感,實(shí)施硬掃描通過(guò)占用資源對(duì)延時(shí)造成影響,就很有可能致使整個(gè)網(wǎng)絡(luò)癱瘓。單單是進(jìn)行簡(jiǎn)單的網(wǎng)絡(luò)掃描操作,就可以達(dá)到中斷系統(tǒng)服務(wù)的目的,在網(wǎng)絡(luò)掃描過(guò)程中,如果發(fā)現(xiàn)防火墻、網(wǎng)關(guān)之類的網(wǎng)絡(luò)保護(hù)設(shè)備,憑借基本的黑客技術(shù),通過(guò)實(shí)施DOS攻擊就可以達(dá)到目的。如果不希望系統(tǒng)崩潰,只是通過(guò)掃描獲取相關(guān)設(shè)備信息,那就可以采取軟掃描的方法進(jìn)行目標(biāo)系統(tǒng)定位,之后再根據(jù)系統(tǒng)的網(wǎng)絡(luò)協(xié)議的特性進(jìn)行后續(xù)掃描。通過(guò)掃描可以識(shí)別出關(guān)鍵設(shè)施保護(hù)設(shè)備及其屬性,可以得到設(shè)備的各類同步信息,還可以發(fā)現(xiàn)DNP3的從屬地址和相應(yīng)的邏輯關(guān)系。
(2)賬戶破解技術(shù)。
目前大部分工控系統(tǒng)都是基于WIN-DOWS操作系統(tǒng)的,因此一些通用的專門破解WINDOWS賬戶的軟件工具和方法同時(shí)也可以應(yīng)用到破解工業(yè)控制系統(tǒng)上來(lái)。OPC是以O(shè)LE和COM機(jī)制作為應(yīng)用程序的通訊標(biāo)準(zhǔn),DCS系統(tǒng)可以通過(guò)OPC與外界建立聯(lián)系,賬戶破解后通過(guò)主機(jī)認(rèn)證就可以全面控制OPC環(huán)境,對(duì)DCS系統(tǒng)實(shí)施雙向的數(shù)據(jù)通訊。若無(wú)法獲得底層協(xié)議認(rèn)證,也可以通過(guò)枚舉方法破解系統(tǒng)人機(jī)界面用戶信息,進(jìn)入人機(jī)界面就可以直接控制管理進(jìn)程,竊取各類信息。以上兩種技術(shù)只是眾多攻擊技術(shù)的代表,攻擊技術(shù)種類繁多,且還有多種復(fù)雜的變換,但最終目的就是要入侵到系統(tǒng)中來(lái),所以防御和捕獲技術(shù)的研發(fā)是關(guān)鍵,兩者應(yīng)結(jié)合運(yùn)用才能保證系統(tǒng)安全。目前各類防御系統(tǒng)較多,但捕獲技術(shù)應(yīng)用較少,在入侵來(lái)源識(shí)別、I/O接口監(jiān)控、動(dòng)態(tài)檢測(cè)分析和系統(tǒng)運(yùn)行檢測(cè)等方面開展工控系統(tǒng)保護(hù)工作效果將更加明顯。
三、安全防護(hù)管理探討
技術(shù)是手段,管理是保障,建立完善的工業(yè)控制網(wǎng)絡(luò)安全管理體系對(duì)于安全防護(hù)更為重要,管理體系架構(gòu)應(yīng)包含以下六部分:
1.建立完善的組織機(jī)構(gòu)。
企業(yè)要結(jié)合本單位實(shí)際,制定網(wǎng)絡(luò)安全工作的總體方針和策略,明確本單位網(wǎng)絡(luò)安全工作的總體目標(biāo)、范圍、原則和安全框架。應(yīng)有專門的部門具體承擔(dān)網(wǎng)絡(luò)安全管理工作,組織制定和落實(shí)網(wǎng)絡(luò)安全管理制度,實(shí)施網(wǎng)絡(luò)安全技術(shù)防護(hù)措施,開展網(wǎng)絡(luò)安全宣傳教育培訓(xùn),執(zhí)行網(wǎng)絡(luò)安全監(jiān)督檢查等。
2.加強(qiáng)人員管理。
建立相關(guān)崗位人員上崗管理規(guī)定,進(jìn)行相關(guān)教育和培訓(xùn)、考核,與關(guān)鍵崗位的計(jì)算機(jī)使用和管理人員簽訂網(wǎng)絡(luò)安全與保密協(xié)議,明確網(wǎng)絡(luò)安全與保密要求和責(zé)任。建立相關(guān)崗位人員離崗管理規(guī)定,人員離崗時(shí)應(yīng)終止其系統(tǒng)訪問(wèn)權(quán)限,收回各種軟硬件設(shè)備及身份證件、門禁卡、UKey等,并簽署安全保密承諾書。建立外來(lái)人員管理制度,外來(lái)人員訪問(wèn)機(jī)房等重要區(qū)域,應(yīng)履行審批手續(xù)。
3.重視存儲(chǔ)介質(zhì)管理。
建立存儲(chǔ)介質(zhì)安全管理制度,對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行集中統(tǒng)一管理,記錄介質(zhì)領(lǐng)用、交回、維修、報(bào)廢、銷毀等情況。嚴(yán)格限制USB接口的使用,嚴(yán)格存儲(chǔ)陣列、磁帶庫(kù)等大容量存儲(chǔ)介質(zhì)的管理,采取技術(shù)措施防范外聯(lián)風(fēng)險(xiǎn),確保存儲(chǔ)數(shù)據(jù)安全。嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。
4.規(guī)范網(wǎng)絡(luò)管理和運(yùn)維工作。
建立網(wǎng)絡(luò)安全管理和日常運(yùn)行維護(hù)管理制度,制定運(yùn)維操作規(guī)程,規(guī)范日常運(yùn)維操作記錄。建立安全風(fēng)險(xiǎn)控制流程,采取書面審批、訪問(wèn)控制、在線監(jiān)測(cè)、日志審計(jì)等安全防護(hù)措施進(jìn)行安全風(fēng)險(xiǎn)控制。日常維護(hù)要建立巡檢表,對(duì)網(wǎng)絡(luò)監(jiān)控日志和設(shè)備日志進(jìn)行管理,定期審計(jì)分析,發(fā)現(xiàn)安全風(fēng)險(xiǎn)或問(wèn)題,及時(shí)進(jìn)行處理。嚴(yán)格口令管理,及時(shí)更改產(chǎn)品安裝時(shí)的預(yù)設(shè)口令,杜絕弱口令、空口令。建立計(jì)算機(jī)管理制度,對(duì)計(jì)算機(jī)進(jìn)行重點(diǎn)監(jiān)控,嚴(yán)禁計(jì)算機(jī)接入互聯(lián)網(wǎng)。
5.嚴(yán)格外包服務(wù)機(jī)構(gòu)的管理。
關(guān)鍵詞:校園網(wǎng);接入控制系統(tǒng);網(wǎng)絡(luò)安全
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)志碼:B 文章編號(hào):1673-8454(2017)03-0091-03
伴隨著網(wǎng)絡(luò)安全威脅的產(chǎn)生,各高校廣泛運(yùn)用身份認(rèn)證、防火墻、漏洞掃描、防病毒、入侵檢測(cè)、虛擬專用網(wǎng)等技術(shù)來(lái)保障網(wǎng)絡(luò)的安全運(yùn)行。但是,這些安全技術(shù)均只針對(duì)于某一個(gè)特定的領(lǐng)域,不能形成完整的安全防護(hù)體系,且都是被動(dòng)防御方式,不能有效保護(hù)校園網(wǎng)絡(luò)和各類信息終端的安全。因此,如何對(duì)接入校園網(wǎng)的終端實(shí)現(xiàn)從安全認(rèn)證、IP地址綁定及授權(quán)、IP準(zhǔn)入直至對(duì)上網(wǎng)行為進(jìn)行實(shí)時(shí)管控成為校園網(wǎng)絡(luò)信息安全管理的重要課題,建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng)刻不容緩。
一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
資源共享是計(jì)算機(jī)網(wǎng)絡(luò)的重要特性。當(dāng)前,各高校將大量的視頻、語(yǔ)音、文獻(xiàn)等教學(xué)資料在校園網(wǎng)內(nèi)部實(shí)現(xiàn)共享,但也正是因?yàn)檫@種共享,給網(wǎng)絡(luò)本身和信息設(shè)備帶來(lái)了各種威脅:
一是操作人員的無(wú)意失誤帶來(lái)的。比如:操作人員安全意識(shí)淡薄、用戶使用不當(dāng)、系統(tǒng)安全配置不規(guī)范、配套規(guī)章制度不健全、網(wǎng)絡(luò)安全培訓(xùn)工作滯后等等,都會(huì)給網(wǎng)絡(luò)信息安全帶來(lái)隱患。
二是人為的惡意攻擊帶來(lái)的。人為的惡意攻擊是校園網(wǎng)絡(luò)面臨的最大威脅,根據(jù)攻擊所作用于網(wǎng)絡(luò)的協(xié)議層不同,校園網(wǎng)中常見的攻擊行為如表1所示。
三是系統(tǒng)漏洞和軟件“后門”帶來(lái)的。各類硬件或軟件在設(shè)計(jì)開發(fā)和系統(tǒng)部署過(guò)程中,部分廠商沒有充分考慮安全性和可靠性,同時(shí)為了管理或者在出現(xiàn)問(wèn)題時(shí)能方便跟蹤查找,無(wú)意或有意的留下了部分漏洞、“后門”等,這些也成為了攻擊的突破口。
雖然在校園網(wǎng)建設(shè)時(shí),各高校通常會(huì)部署入侵檢測(cè)系統(tǒng)、防火墻、殺毒軟件等來(lái)作為網(wǎng)絡(luò)安全防護(hù)手段,但這些手段功能單一,而且采用被動(dòng)防御方式,無(wú)法完全抵御來(lái)自各個(gè)層面的惡意攻擊,再加上部分防護(hù)手段(如殺毒軟件)雖然部署在校園網(wǎng)絡(luò)的信息終端,但由于長(zhǎng)時(shí)間沒有升級(jí)或沒有及時(shí)安裝系統(tǒng)補(bǔ)丁,給校園網(wǎng)絡(luò)安全帶來(lái)更為嚴(yán)峻的挑戰(zhàn)。
二、網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計(jì)需求
針對(duì)校園網(wǎng)絡(luò)安全現(xiàn)狀,迫切的需要建設(shè)一套“主動(dòng)防御、整體安全”的網(wǎng)絡(luò)接入終端控制系統(tǒng),部署后,應(yīng)達(dá)到以下目標(biāo):
(1)不符合安全要求的終端將無(wú)法接入校園網(wǎng)。
(2)沒有授權(quán)的非校園網(wǎng)用戶無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部信息資源。
(3)合法用戶只能按權(quán)限訪問(wèn)相應(yīng)等級(jí)的網(wǎng)絡(luò)資源,并對(duì)信息終端所必需的防護(hù)手段(如系統(tǒng)補(bǔ)丁、殺毒軟件)等進(jìn)行檢測(cè),能自動(dòng)升級(jí)更新,提高網(wǎng)絡(luò)安全防護(hù)等級(jí)。
(4)提供網(wǎng)絡(luò)安全狀況評(píng)估,并具備一定的數(shù)據(jù)分析與處理能力,為校園大數(shù)據(jù)應(yīng)用提供基礎(chǔ)數(shù)據(jù)。
為此,網(wǎng)絡(luò)接入控制系統(tǒng)應(yīng)具備以下三項(xiàng)基本功能:
1.用戶身份認(rèn)證
通過(guò)對(duì)MAC地址、IP地址、硬盤序列號(hào)等多重綁定,為接入校園網(wǎng)絡(luò)的每個(gè)信息終端分配一個(gè)用戶名,用戶終端在接入校園網(wǎng)之前,只有通過(guò)用戶身份認(rèn)證才能合法訪問(wèn)網(wǎng)絡(luò),為在源頭上控制信息終端訪問(wèn)網(wǎng)絡(luò)打好基A。
2.終端安全狀態(tài)檢測(cè)
對(duì)各類終端的安全性能進(jìn)行檢測(cè),主要包括操作系統(tǒng)完整性檢測(cè)(如漏洞掃描、自動(dòng)更新、補(bǔ)丁安裝等)、必裝軟件檢測(cè)(如殺毒軟件)、非法安裝軟件檢測(cè)、防病毒軟件版本、病毒特征庫(kù)版本檢查、應(yīng)用軟件黑白名單檢查、共享目錄檢查、分區(qū)表檢查等功能。通過(guò)對(duì)終端安全性能的檢測(cè),從而抵御由于信息終端本身安全問(wèn)題帶來(lái)的攻擊行為。
3.網(wǎng)絡(luò)安全評(píng)估
根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測(cè)結(jié)果,限制不同的訪問(wèn)權(quán)限,讓用戶在接入網(wǎng)絡(luò)后,只能訪問(wèn)自己權(quán)限之內(nèi)的服務(wù)器、網(wǎng)絡(luò)區(qū)域等,同時(shí),如果終端通過(guò)身份認(rèn)證,但安全性能低,要能引導(dǎo)低安全性能終端自動(dòng)升級(jí),提高安全水平。
另外,還要根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測(cè)結(jié)果,將某些關(guān)鍵數(shù)據(jù)存儲(chǔ)在系統(tǒng)服務(wù)器中,并進(jìn)行簡(jiǎn)單的圖表分析和處理,給網(wǎng)絡(luò)管理員直觀的、可視的網(wǎng)絡(luò)安全性能結(jié)果。
三、網(wǎng)絡(luò)接入控制系統(tǒng)功能及應(yīng)用
某高校于2010年重新建設(shè)本校校園網(wǎng)網(wǎng)絡(luò),該網(wǎng)絡(luò)主要用于校園內(nèi)部教學(xué)和辦公,不與互聯(lián)網(wǎng)相聯(lián)。在建設(shè)初期,充分考慮系統(tǒng)兼容,所有交換機(jī)均選用銳捷系列產(chǎn)品,包括2臺(tái)RG-S8610核心交換機(jī),4臺(tái)RG-S5750萬(wàn)兆匯聚交換機(jī),1臺(tái)RG-S2951XG千兆匯聚交換機(jī),47臺(tái)RG-S2951XG網(wǎng)絡(luò)交換機(jī),44臺(tái)RG-S2924G及3臺(tái)STAR-S2126G網(wǎng)絡(luò)交換機(jī)。在對(duì)各樓宇所承擔(dān)的教學(xué)、科研、管理等相關(guān)任務(wù)進(jìn)行充分論證后,完成信息網(wǎng)絡(luò)節(jié)點(diǎn)的合理規(guī)劃,其網(wǎng)路拓?fù)鋱D如圖1所示。
網(wǎng)絡(luò)投入運(yùn)營(yíng)以來(lái),由于均采用統(tǒng)一廠家產(chǎn)品,系統(tǒng)兼容性較好。但隨著系統(tǒng)的長(zhǎng)期運(yùn)行,其安全問(wèn)題也逐步顯現(xiàn):
(1)由于該網(wǎng)絡(luò)沒有接入互聯(lián)網(wǎng),教職員工經(jīng)常將光盤、U盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)在本地信息終端上插拔,進(jìn)行數(shù)據(jù)的導(dǎo)入與導(dǎo)出操作。在插拔過(guò)程中,移動(dòng)介質(zhì)不可避免的將一些病毒、木馬程序帶入到校園網(wǎng)網(wǎng)絡(luò),不斷對(duì)本地網(wǎng)絡(luò)和服務(wù)器進(jìn)行各種類型的攻擊,一方面造成了病毒擴(kuò)散的局面,另一方面給服務(wù)器健康穩(wěn)定運(yùn)行帶來(lái)不良影響。
(2)由于用戶類型多,信息終端類型多,很難進(jìn)行全網(wǎng)的統(tǒng)一管理,不同區(qū)域終端及系統(tǒng)的不同要求管理人員熟悉并掌握不同的設(shè)備及系統(tǒng)管理辦法,加重了網(wǎng)絡(luò)維護(hù)人員的負(fù)擔(dān),降低了管理效率,增大了管理成本。
(3)在網(wǎng)絡(luò)運(yùn)行維護(hù)過(guò)程中,對(duì)經(jīng)費(fèi)投入觀念也有所偏差。初期投入較大,后期投入較少,偏重于主干線路設(shè)備的升級(jí)換代,對(duì)于各類安全設(shè)備及管理系統(tǒng)的投入則不太重視。
(4)沒有建設(shè)一套良好的接入控制機(jī)制,對(duì)網(wǎng)絡(luò)中出現(xiàn)的病毒、木馬無(wú)法從源頭上得到有效管控,特別是信息終端到底有沒有進(jìn)行軟件升級(jí),操作系統(tǒng)是否存在漏洞均無(wú)法得知。
為解決以上問(wèn)題,該校以銳捷上網(wǎng)實(shí)名策略外置認(rèn)證產(chǎn)品RG-ESS1000和統(tǒng)一上網(wǎng)行為管理與審計(jì)產(chǎn)品RG-UAC6000為基礎(chǔ),建設(shè)了一套配置的基于規(guī)則的前置式接入控制系統(tǒng),實(shí)現(xiàn)以下功能:
1.用戶身份認(rèn)證
合理為每名用戶劃分網(wǎng)段,分配IP地址,并通過(guò)嚴(yán)格的6元素(IP地址、MAC地址、交換機(jī)IP、交換機(jī)端口、用戶名、密碼)綁定措施,確保接入用戶身份的合法性,用戶未進(jìn)行合法登錄將無(wú)法上網(wǎng)。用戶登錄成功界面如圖2所示。
同時(shí),對(duì)操作系統(tǒng)重裝后更改IP地址的用戶或在其它IP地址登錄本人賬號(hào)的用戶,均不能登錄。
2.終端安全狀態(tài)檢測(cè)
終端登錄成功后,系統(tǒng)對(duì)每臺(tái)終端進(jìn)行狀態(tài)檢測(cè),如果終端未安裝殺毒軟件、操作系統(tǒng)需要更新等,系統(tǒng)將強(qiáng)制用戶進(jìn)行安裝和更新,提升整個(gè)網(wǎng)絡(luò)的安全水平。信息終端提醒界面如圖3所示。
在服務(wù)器端,系統(tǒng)提示整個(gè)網(wǎng)絡(luò)終端殺毒軟件安裝情況、系統(tǒng)漏洞修復(fù)情況,并以餅圖、柱狀圖等形式對(duì)用戶是否進(jìn)行了漏洞修復(fù)、是否安裝了殺毒軟件等情況進(jìn)行圖像顯示,使網(wǎng)絡(luò)管理員實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況。同時(shí),對(duì)不符合要求的用戶,以列表的形式通知網(wǎng)絡(luò)管理員,顯示界面如圖4所示。
3.網(wǎng)絡(luò)安全評(píng)估
系統(tǒng)能提供各種網(wǎng)絡(luò)安全狀況評(píng)估,并具備一定的數(shù)據(jù)分析與處理能力。以流量統(tǒng)計(jì)為例,某時(shí)段網(wǎng)絡(luò)中各VLAN實(shí)時(shí)流量如圖5所示。
為進(jìn)一步分析實(shí)時(shí)流量是由哪些服務(wù)、用戶訪問(wèn)了哪些站點(diǎn)帶來(lái)的,系統(tǒng)能自動(dòng)進(jìn)行分析與處理,其分析結(jié)果如圖6、圖7所示。
四、結(jié)束語(yǔ)
基于校園網(wǎng)這個(gè)特殊的網(wǎng)絡(luò)平臺(tái),建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng),對(duì)接入網(wǎng)絡(luò)的所有用戶實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一管理是確保校園網(wǎng)絡(luò)信息安全的重要手段。一個(gè)良好的接入控制管理系統(tǒng)能充分利用網(wǎng)絡(luò)資源、提高網(wǎng)絡(luò)效率、增強(qiáng)用戶體驗(yàn)度,并減少網(wǎng)絡(luò)管理員的工作量。
參考文獻(xiàn):
[1]張棟毅.校園網(wǎng)絡(luò)安全分析與安全體系方案設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用,2011,31(2):116-118.
[2]楊哂哂,宋曉光.高校統(tǒng)一身份認(rèn)證的探討與研究[J].現(xiàn)代電子技術(shù),2010(9):104-106,111.
[3]王鎮(zhèn)海.基于校園網(wǎng)的接入控制系統(tǒng)的研究[D].上海:上海交通大學(xué),2014.7.
目前ICS廣泛應(yīng)用于我國(guó)電力、水利、污水處理、石油天然氣、化工、交通運(yùn)輸、制藥以及大型制造行業(yè),其中超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠ICS來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè),ICS安全已是國(guó)家安全戰(zhàn)略的重要組成部分。
近年來(lái),國(guó)內(nèi)工業(yè)企業(yè)屢屢發(fā)生由于工控安全導(dǎo)致的事故,有的是因?yàn)楦腥倦娔X病毒,有的是因?yàn)門CP/IP協(xié)議棧存在明顯缺陷,有的是由于操作間員工違規(guī)操作帶入病毒。比如,2011年某石化企業(yè)某裝置控制系統(tǒng)分別感染Conficker病毒,造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度的中斷。又如,2014年某大型冶金廠車間控制系統(tǒng)發(fā)現(xiàn)病毒,是因?yàn)閱T工在某一臺(tái)工作站上私自安裝娛樂(lè)軟件,帶入病毒在控制網(wǎng)擴(kuò)散。還有一個(gè)案例是,江蘇某地級(jí)市自來(lái)水公司將所有小區(qū)泵站的PLC都通過(guò)某公司企業(yè)路由器直接聯(lián)網(wǎng),通過(guò)VPN遠(yuǎn)程進(jìn)行控制訪問(wèn),實(shí)時(shí)得到各泵站PLC的數(shù)據(jù);結(jié)果發(fā)現(xiàn)大量的PLC聯(lián)網(wǎng)狀態(tài)不穩(wěn)定,出現(xiàn)時(shí)斷時(shí)續(xù)的現(xiàn)象。經(jīng)過(guò)現(xiàn)場(chǎng)診斷,發(fā)現(xiàn)是PLC的TCP/IP協(xié)議棧存在明顯缺陷導(dǎo)致,最后靠廠家升級(jí)PLC固件解決。
ICS安全事故頻發(fā),引起了相關(guān)各方和國(guó)家高層的重視。2014年12月,工控系統(tǒng)信息安全國(guó)家標(biāo)準(zhǔn)GB/T30976-2014首次,基本滿足工業(yè)控制系統(tǒng)的用戶、系統(tǒng)集成商、設(shè)備生產(chǎn)商等各方面的使用。國(guó)家標(biāo)準(zhǔn)的,極大地促進(jìn)了工控系統(tǒng)信息安全的發(fā)展。
我國(guó)ICS網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀
據(jù)工信部電子科學(xué)技術(shù)情報(bào)研究所數(shù)據(jù)顯示,2012年,中國(guó)工業(yè)控制系統(tǒng)信息安全市場(chǎng)已達(dá)到11億元,未來(lái)5年仍將保持年均15%的增長(zhǎng)速度。而據(jù)工控網(wǎng)的預(yù)測(cè),中國(guó)工業(yè)網(wǎng)絡(luò)安全市場(chǎng)有望在2015年達(dá)到超過(guò)20億元的規(guī)模,并以每年超過(guò)30%的復(fù)合增長(zhǎng)率發(fā)展。
從行業(yè)來(lái)看,油氣、石化、化工、電力、冶金、煙草為核心應(yīng)用行業(yè),其他行業(yè)規(guī)模相對(duì)較小。石化行業(yè)在工控安全方面走在所有行業(yè)的前列。從2009年開始,石化行業(yè)開始部署加拿大多芬諾公司的工控防火墻,主要用在OPC防護(hù)場(chǎng)景。燕山石化、齊魯石化及大慶石化等多家國(guó)內(nèi)大型石化企業(yè)都有較多部署。電力行業(yè)的網(wǎng)絡(luò)安全主要基于《電力二次系統(tǒng)安全防護(hù)規(guī)定》、《電力二次系統(tǒng)安全防護(hù)評(píng)估管理辦法》、《電力行業(yè)工控信息安全監(jiān)督管理暫行規(guī)定》以及配套文件等電力工控信息安全各項(xiàng)規(guī)定和要求,其對(duì)于真正意義上的工控安全的項(xiàng)目實(shí)施,基本還處于探索階段。目前實(shí)際的動(dòng)作是在全網(wǎng)排查整改某品牌PLC、工業(yè)交換機(jī)的信息安全風(fēng)險(xiǎn),并開展其它工控設(shè)備信息安全漏洞的檢測(cè)排查工作,對(duì)發(fā)現(xiàn)的安全漏洞進(jìn)行上報(bào)處理。冶金行業(yè)目前已開始進(jìn)行工控安全的實(shí)地部署,由于冶金行業(yè)大量采用了西門子、羅克韋爾、ABB、TEMIC(東芝三菱)、Yaskawa(日本安川)等國(guó)外品牌的PLC,因此冶金行業(yè)對(duì)于PLC的安全防護(hù)非常重視。
工控安全廠商分析
工控安全廠商作為市場(chǎng)中最主要的、最活躍的推動(dòng)力量,在工控安全市場(chǎng)中扮演著非常重要的角色。其中以有工控背景的信息安全廠商為主,傳統(tǒng)的IT類信息安全供應(yīng)商介入速度加快。
力控華康, 脫胎于力控集團(tuán),借助多年積淀的工業(yè)領(lǐng)域行業(yè)經(jīng)驗(yàn),以及工控行業(yè)監(jiān)控軟件和工業(yè)協(xié)議分析處理技術(shù),成功研發(fā)出適用于工業(yè)控制系統(tǒng)的工業(yè)隔離網(wǎng)關(guān)pSafetyLink、工業(yè)通信網(wǎng)關(guān)pFieldComm和工業(yè)防火墻HC-ISG等系列產(chǎn)品,受到市場(chǎng)的廣泛認(rèn)可。
海天煒業(yè),即青島多芬諾,作為從2009年即在中國(guó)市場(chǎng)推廣工業(yè)防火墻的行業(yè)先驅(qū),在多年的市場(chǎng)積累中,徹底脫胎換骨,從一家傳統(tǒng)的自動(dòng)化系統(tǒng)維保公司成功轉(zhuǎn)型為一家專業(yè)的工控網(wǎng)絡(luò)安全解決方案提供者;尤其是在2014年4月22日的新一代自研“Guard”工業(yè)防火墻,受到行業(yè)一致好評(píng)。
中科網(wǎng)威,作為參與過(guò)中國(guó)多項(xiàng)網(wǎng)絡(luò)安全國(guó)標(biāo)編寫的廠商,憑借多年對(duì)用戶需求的潛心研究,推出了擁有軟硬件完全自主知識(shí)產(chǎn)權(quán)自主品牌“ANYSEC”,ANYSEC系列產(chǎn)品包括IPSEC/SSL VPN、流控管理、上網(wǎng)行為管理、中科網(wǎng)警、聯(lián)動(dòng)數(shù)字平臺(tái)等多功能的IT安全網(wǎng)關(guān)產(chǎn)品,獲得廣大用戶的一致好評(píng)。
三零衛(wèi)士,是中國(guó)電子科技集團(tuán)公司電子第三十研究所下屬企業(yè),在2014年成功推出了自研的工控防火墻,同時(shí)也推出了自己的“固隔監(jiān)”整體工控安全防護(hù)體系,得到了行業(yè)內(nèi)外的廣泛關(guān)注。
ICS存在網(wǎng)絡(luò)安全問(wèn)題的根源及安全防護(hù)
研究發(fā)現(xiàn),我國(guó)ICS存在網(wǎng)絡(luò)安全問(wèn)題的根源主要是以下幾點(diǎn):
第一,缺乏完整有效的安全策略與管理流程。經(jīng)研究發(fā)現(xiàn),ICS以可用性為第一位,追求系統(tǒng)的穩(wěn)定可靠運(yùn)行是管理人員關(guān)注的重點(diǎn),而把安全性放在次要的地位。這是很多ICS存在的普遍現(xiàn)象。缺乏完整有效的安全策略與管理流程是當(dāng)前我國(guó)ICS的最大難題。很多ICS實(shí)施了安全防御措施,但由于管理或操作上的失誤,如移動(dòng)存儲(chǔ)介質(zhì)的使用等,仍然會(huì)造成安全事故。
第二,工控平臺(tái)比較脆弱。目前,多數(shù)ICS網(wǎng)絡(luò)僅通過(guò)部署防火墻來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對(duì)隔離,各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制。而且,由于不同行業(yè)的應(yīng)用場(chǎng)景不同,其對(duì)于功能區(qū)域的劃分和安全防御的要求也各不相同,而對(duì)于利用針對(duì)性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來(lái)傳播的惡意攻擊行為更是無(wú)能為力。更為嚴(yán)重的是,工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無(wú)法令人滿意。同時(shí),工業(yè)系統(tǒng)補(bǔ)丁動(dòng)輒半年的補(bǔ)丁周期,也讓攻擊者有較多的時(shí)間來(lái)利用已存在的漏洞發(fā)起攻擊。
第三,ICS網(wǎng)絡(luò)比較脆弱。通過(guò)以太網(wǎng)技術(shù)的引入讓ICS變得智能,也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián),TCP/IP存在的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。當(dāng)前ICS網(wǎng)絡(luò)的脆弱性體現(xiàn)在:邊界安全策略缺失、系統(tǒng)安全防制機(jī)制缺失、管理制度缺失、網(wǎng)絡(luò)配置規(guī)范缺失、監(jiān)控與應(yīng)急響應(yīng)制度缺失、網(wǎng)絡(luò)通信保障機(jī)制缺失、無(wú)線網(wǎng)絡(luò)接入認(rèn)證機(jī)制缺失、基礎(chǔ)設(shè)施可用性保障機(jī)制缺失等。
為解決網(wǎng)絡(luò)安全問(wèn)題,我們建議:
第一,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的脆弱性(系統(tǒng)漏洞及配置缺陷)的合作研究,提供針對(duì)性的解決方案和安全保護(hù)措施。
第二,盡可能采用安全的通信協(xié)議及規(guī)范,并提供協(xié)議異常性檢測(cè)能力。
第三,建立針對(duì)ICS的違規(guī)操作、越權(quán)訪問(wèn)等行為的有效監(jiān)管。
第四,建立完善的ICS安全保障體系,加強(qiáng)安全運(yùn)維與管理。
創(chuàng)新,打破舊有,創(chuàng)造新生。在中國(guó)經(jīng)濟(jì)“新常態(tài)”下,創(chuàng)新毫無(wú)疑問(wèn)是引領(lǐng)發(fā)展的第一動(dòng)力。北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司(以下簡(jiǎn)稱匡恩網(wǎng)絡(luò))正是這樣一家以創(chuàng)新為驅(qū)動(dòng)力,不斷迸發(fā)著創(chuàng)造力與激情的高新技術(shù)企業(yè)。
從2010年至今,短短幾年間,工控網(wǎng)絡(luò)安全成了人們關(guān)注的焦點(diǎn),工業(yè)控制系統(tǒng)成為國(guó)家間網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場(chǎng)和反恐的新戰(zhàn)場(chǎng)。在工業(yè)轉(zhuǎn)型升級(jí)的大潮中,“創(chuàng)新+互聯(lián)網(wǎng)”使得加強(qiáng)工控網(wǎng)絡(luò)安全防范的迫切性日趨凸顯,也催生了企業(yè)對(duì)工控網(wǎng)絡(luò)安全防護(hù)的需求。而這一需求也隨著企業(yè)內(nèi)外網(wǎng)絡(luò)應(yīng)用、交互日趨頻繁和深入變得越來(lái)越強(qiáng)烈。
基于此,匡恩網(wǎng)絡(luò)在對(duì)工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施安全現(xiàn)狀進(jìn)行調(diào)研和技術(shù)產(chǎn)品研發(fā)的基礎(chǔ)上,結(jié)合網(wǎng)絡(luò)化、智能化的發(fā)展方向,創(chuàng)新性地提出面向智能工業(yè)體系的一體化大安全理念和“4+1”安全防護(hù)體系(即立體化的工控網(wǎng)絡(luò)安全理念),實(shí)現(xiàn)工業(yè)控制系統(tǒng)內(nèi)在安全和體系防護(hù)的有機(jī)統(tǒng)一。
所謂 “4+1”工控安全體系,即結(jié)構(gòu)安全、本體安全、行為安全、基因安全,以及時(shí)間持續(xù)性防護(hù)。其中,結(jié)構(gòu)安全和行為安全是工控安全體系的主體,是實(shí)現(xiàn)工控系統(tǒng)體系防護(hù)的關(guān)鍵因素,也是匡恩網(wǎng)絡(luò)對(duì)工業(yè)控制系統(tǒng)進(jìn)行安全改造和加固的切入點(diǎn)。基因安全和本體安全關(guān)系到工控安全體系的本質(zhì)安全,其根本的解決之道是自主可控。但是,我國(guó)工業(yè)控制系統(tǒng)長(zhǎng)期以來(lái)主要依賴進(jìn)口,在裝系統(tǒng)80%以上是國(guó)外設(shè)備,因此針對(duì)本體安全性的檢測(cè)和補(bǔ)償性防護(hù)措施顯得尤為重要。
結(jié)構(gòu)安全探討的是基礎(chǔ)設(shè)施建設(shè)過(guò)程中的網(wǎng)絡(luò)結(jié)構(gòu),以及區(qū)域、層次的劃分能否滿足安全的要求。工業(yè)企業(yè)可以通過(guò)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),以及采用隔離、過(guò)濾、認(rèn)證、加密等技術(shù),實(shí)現(xiàn)合理的安全區(qū)域劃分、安全層級(jí)劃分。對(duì)新裝系統(tǒng),應(yīng)實(shí)現(xiàn)結(jié)構(gòu)安全同步建設(shè);對(duì)再裝系統(tǒng),應(yīng)進(jìn)行結(jié)構(gòu)安全改造;對(duì)因條件限制無(wú)法進(jìn)行改造的,應(yīng)建立安全性補(bǔ)償機(jī)制。
本體安全是指智能設(shè)備自身的安全性。智能設(shè)備在基礎(chǔ)設(shè)施建設(shè)中被廣泛使用,包括感知設(shè)備、網(wǎng)絡(luò)設(shè)備、監(jiān)控設(shè)備等,這些設(shè)備普遍存在漏洞、后門等安全隱患。為保障工控的本體安全性,工業(yè)企業(yè)應(yīng)從智能設(shè)備的離線安全、入網(wǎng)安全、在線安全等維度進(jìn)行持續(xù)檢測(cè)與防護(hù),檢測(cè)工具應(yīng)該標(biāo)準(zhǔn)化、規(guī)范化,并針對(duì)行業(yè)應(yīng)用的特點(diǎn)進(jìn)行優(yōu)化。在檢測(cè)過(guò)程中發(fā)現(xiàn)問(wèn)題,而又無(wú)法實(shí)現(xiàn)升級(jí)和替換的設(shè)備,應(yīng)采用外掛式補(bǔ)償性措施予以防護(hù)。
行為安全主要包括兩部分:系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患,以及系統(tǒng)外部發(fā)起的行為是否具有安全威脅。工業(yè)企業(yè)的行為安全性防護(hù)首先應(yīng)該具備感知能力,在云端接入大數(shù)據(jù)感知威脅和安全態(tài)勢(shì)分析平臺(tái),獲取威脅情報(bào);在本地端通過(guò)靶場(chǎng)、蜜罐、審計(jì)、溯源等技術(shù),對(duì)網(wǎng)絡(luò)流量、文件傳輸、訪問(wèn)記錄等進(jìn)行綜合分析與數(shù)據(jù)挖掘,從而實(shí)現(xiàn)對(duì)已知威脅和未知威脅的感知,以及全局安全態(tài)勢(shì)和局部安全態(tài)勢(shì)的感知。其次,行為安全性防護(hù)應(yīng)具備聯(lián)動(dòng)和主動(dòng)防御能力,與其他安全防護(hù)技術(shù)聯(lián)動(dòng),根據(jù)行業(yè)特點(diǎn)考慮入侵容忍度,避免誤報(bào),并對(duì)行為進(jìn)行審計(jì)。
基因安全即CPU、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控。工業(yè)企業(yè)在有條件的情況下,可采用經(jīng)過(guò)基因安全性改造的自主工控系統(tǒng)與設(shè)備,以及經(jīng)過(guò)基因安全性加固的進(jìn)口系統(tǒng)與設(shè)備。在條件暫不具備的情況下,應(yīng)采用安全補(bǔ)償機(jī)制,在應(yīng)用層進(jìn)行完整性驗(yàn)證,使之具有一定的安全免疫能力。
結(jié)構(gòu)安全性、本體安全性、行為安全性和基因安全性,從嚴(yán)格意義上可以合稱“免疫性安全”。工控網(wǎng)絡(luò)安全防護(hù)還需強(qiáng)調(diào)時(shí)間的持續(xù)性。時(shí)間持續(xù)性保護(hù),即建立長(zhǎng)效的安全防護(hù)機(jī)制,在持續(xù)對(duì)抗中保障工業(yè)控制系統(tǒng)的安全。從技術(shù)、設(shè)備、人員、管理等多個(gè)維度,提供綜合的安全服務(wù),保障工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施在全生命周期內(nèi)的安全性。
在過(guò)去兩年中,匡恩網(wǎng)絡(luò)的創(chuàng)新技術(shù)和解決方案覆蓋基礎(chǔ)設(shè)施、智能制造、民生,以及軍民融合四大領(lǐng)域的多個(gè)重點(diǎn)行業(yè)。未來(lái),匡恩網(wǎng)絡(luò)將把“4+1”安全防護(hù)體系根植于更多行業(yè),實(shí)現(xiàn)更專業(yè)化、更精細(xì)化的融合。
關(guān)鍵詞:電力系統(tǒng);計(jì)算機(jī)網(wǎng)絡(luò)安全;安全策略
一、安全風(fēng)險(xiǎn)分析
電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)一般都會(huì)將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對(duì)分隔開來(lái),以避免外來(lái)因素對(duì)生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風(fēng)險(xiǎn)一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風(fēng)險(xiǎn)種類比較多,通常可以劃分為系統(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風(fēng)險(xiǎn)有操作系統(tǒng)和數(shù)據(jù)庫(kù)存在漏洞、合法用戶的操作錯(cuò)誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計(jì)算機(jī)病毒(惡意代碼)等,上述風(fēng)險(xiǎn)所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言淪等風(fēng)險(xiǎn),會(huì)使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險(xiǎn)的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接,當(dāng)需要數(shù)據(jù)傳輸時(shí)必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置(一般稱做網(wǎng)閘)。
二、安全需求分析
一般電力系統(tǒng)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人 3 方面著手,其中安全策略是安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為系統(tǒng)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電系統(tǒng)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計(jì)算機(jī)病毒(包括惡意代碼)通過(guò)各種形式對(duì)網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團(tuán)式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性的基本保障,需要兼顧成本和實(shí)效。安全的人員是系統(tǒng)經(jīng)營(yíng)鏈中的細(xì)胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問(wèn)和泄密,需要加強(qiáng)教育和制度約束。
三、安全思想和原則
電力系統(tǒng)信息安全的主要目標(biāo)一般可以綜述為:注重“電力生產(chǎn)”的系統(tǒng)使命,一切為生產(chǎn)經(jīng)營(yíng)服務(wù);服從“集約化管理”的系統(tǒng)戰(zhàn)略,樹立集團(tuán)平臺(tái)理念;保證“信息化長(zhǎng)效機(jī)制和體制”,保證系統(tǒng)生產(chǎn)控制系統(tǒng)不受干擾,保證系統(tǒng)安全事件(計(jì)算機(jī)病毒、篡改網(wǎng)頁(yè)、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時(shí)響應(yīng)與及時(shí)恢復(fù),數(shù)據(jù)不丟失。
(1)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認(rèn)證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)和最小化原則等多種因素,它們是設(shè)計(jì)信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實(shí)現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機(jī)制,集成先進(jìn)的安全技術(shù),形成全方位的安全系統(tǒng)。
(2)嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)、系統(tǒng)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強(qiáng)內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強(qiáng)培訓(xùn)和用戶管理,加強(qiáng)安全審計(jì)和跟蹤體系,提高人員對(duì)整體網(wǎng)絡(luò)安全意識(shí)。
(3)嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅(jiān)強(qiáng)的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強(qiáng)安全教育和宣傳,嚴(yán)肅網(wǎng)絡(luò)規(guī)章制度和紀(jì)律,對(duì)網(wǎng)絡(luò)犯罪嚴(yán)懲不貸。
四、安全策略與方法
1.物理安全策略和方法。物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路的設(shè)計(jì),包括建設(shè)符合標(biāo)準(zhǔn)的中心機(jī)房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機(jī)房安全管理制度,防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等,并妥善保管備份磁帶和文檔資料;要建立設(shè)備訪問(wèn)控制,其作用是通過(guò)維護(hù)訪問(wèn)到表以及可審查性,驗(yàn)證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2.訪問(wèn)控制策略和方法。網(wǎng)絡(luò)安全的目的是將系統(tǒng)信息資源分層次和等級(jí)進(jìn)行保護(hù),主要是根據(jù)業(yè)務(wù)功能、信息保密級(jí)別、安全等級(jí)等要求的差異將網(wǎng)絡(luò)進(jìn)行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng) VLAN、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段的主要手段。而訪問(wèn)管理控制是限制系統(tǒng)內(nèi)資源的分等級(jí)和層次使用,是防止非法訪問(wèn)的第一道防線。
訪問(wèn)控制主要手段是身份認(rèn)證,以用戶名和密碼的驗(yàn)證為主,必要時(shí)可將密碼技術(shù)和安全管理中心結(jié)合起來(lái),實(shí)現(xiàn)多重防護(hù)體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3.開放的網(wǎng)絡(luò)服務(wù)策略和方法。Internet 安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護(hù)自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來(lái)構(gòu)建堅(jiān)固的大門,同時(shí)對(duì) Web 服務(wù)和 FTP 服務(wù)采取積極審查的態(tài)度,更要強(qiáng)化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時(shí)增加審計(jì)手段。
4.電子郵件安全策略和方法。電子郵件策略主要是針對(duì)郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對(duì)目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來(lái)越多,迫使防范技術(shù)快速發(fā)展,電力系統(tǒng)可以在電子郵件安全方案加大投入或委托專業(yè)公司進(jìn)行。
5.網(wǎng)絡(luò)反病毒策略和方法。每個(gè)電力系統(tǒng)為了處理計(jì)算機(jī)病毒感染事件,都要消耗大量的時(shí)間和精力,而且還會(huì)造成一些無(wú)法挽回的損失,必須制定反計(jì)算機(jī)病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實(shí)時(shí)監(jiān)控,并且針對(duì)特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
6.加密策略和方法。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、密碼和控制信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。其方法有虛擬私有網(wǎng)、公共密鑰體系、密鑰管理系統(tǒng)、加密機(jī)和身份認(rèn)證鑰匙手段等。
7.攻擊和入侵應(yīng)急處理流程和災(zāi)難恢復(fù)策略和方法。主要方法是配備必要的安全產(chǎn)品,例如網(wǎng)絡(luò)掃描器、防火墻、入侵檢測(cè)系統(tǒng),進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控和分析,及時(shí)找到攻擊對(duì)象采取響應(yīng)的措施,并利用備份系統(tǒng)和應(yīng)急預(yù)案以備緊急情況下恢復(fù)系統(tǒng)。
8.安全服務(wù)的策略。再好的安全策略和方法都要通過(guò)技術(shù)和服務(wù)來(lái)實(shí)現(xiàn),安全產(chǎn)品和安全服務(wù)同樣重要,只有把兩者很好地結(jié)合起來(lái),才能真正貫徹安全策略。需要注意的是“最小的成本和以能接受的風(fēng)險(xiǎn)獲得 IT 投資的最大效益”。一個(gè)“大而全”的安全管理系統(tǒng)是不現(xiàn)實(shí)的,只有符合系統(tǒng)信息網(wǎng)絡(luò)架構(gòu)和安全防護(hù)體系要求的產(chǎn)品,才能真正達(dá)到網(wǎng)絡(luò)的防護(hù),一方面避免有漏洞的產(chǎn)品對(duì)系統(tǒng)安全造成更大的危害;另一方面避免造成成本上的浪費(fèi)。目前承包商可以提供的安全服務(wù)主要有:安全需求分析、安全策略制定、系統(tǒng)漏洞審計(jì)、系統(tǒng)安全加固、緊急事件響應(yīng)、網(wǎng)絡(luò)安全培訓(xùn)。承包商還可以提供對(duì)資產(chǎn)管理保護(hù)類的產(chǎn)品,主要有實(shí)時(shí)監(jiān)控的網(wǎng)管軟件、集中式安全管理平臺(tái)、安全監(jiān)控和防御產(chǎn)品、內(nèi)網(wǎng)安全管理、防止內(nèi)部信息泄漏的安全管理、網(wǎng)絡(luò)訪問(wèn)行為與通信內(nèi)容審計(jì)等。目前,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力系統(tǒng)的安全生產(chǎn)管理體系中,并根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)、聯(lián)合保護(hù)、協(xié)調(diào)處置”的原則,與電力系統(tǒng)主業(yè)一樣實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全系統(tǒng)內(nèi)部信息安全組織體系的同時(shí),制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估/分析和審計(jì),采用適合的安全產(chǎn)品,確保各項(xiàng)電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運(yùn)行,為電力系統(tǒng)創(chuàng)造新業(yè)績(jī)鋪路架橋。
【關(guān)鍵詞】 核電 工業(yè)控制系統(tǒng) 安全測(cè)試 風(fēng)險(xiǎn)評(píng)估 應(yīng)對(duì)策略
【Abstract】 This paper illustrates the difference between ICS and IT system, the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country, an integrated protect strategy is proposed.
【Key words】 Nuclear power generation;Industrial control system ;Safety testing;Risk assessment;Protect strategy
1 引言
隨著信息和通信技術(shù)的發(fā)展,核電領(lǐng)域工業(yè)控制系統(tǒng)(Industrial Control System,ICS)的結(jié)構(gòu)變得愈發(fā)開放,其需求方逐漸采用基于標(biāo)準(zhǔn)通信協(xié)議的商業(yè)軟件來(lái)代替自主研發(fā)的工業(yè)控制軟件。這種趨勢(shì)降低了最終用戶的研發(fā)投入成本,同時(shí),設(shè)備與軟件的維護(hù)任務(wù)可以交給工業(yè)控制系統(tǒng)解決方案提供方,節(jié)省了人力維護(hù)成本。
ICS系統(tǒng)的聯(lián)通特性在帶來(lái)方便的同時(shí)也給核電工業(yè)控制系統(tǒng)安全防護(hù)提出了新的挑戰(zhàn),近年來(lái),多個(gè)國(guó)家的ICS系統(tǒng)受到了安全威脅。為應(yīng)對(duì)核電領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn),建立工業(yè)控制安全與核安全相結(jié)合的保障體系,本文從工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定、核電信息安全與功能安全的區(qū)別、核電工業(yè)控制系統(tǒng)基本安全要求等方面闡述我國(guó)目前面臨的核電信息安全形勢(shì),介紹了核電領(lǐng)域重要的信息安全事件,并總結(jié)了核電工業(yè)控制系統(tǒng)安全的應(yīng)對(duì)策略。
2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定
標(biāo)準(zhǔn)通信協(xié)議的引入使ICS具備了互聯(lián)互通的特性,ICS與傳統(tǒng)IT系統(tǒng)的界線似乎變得更加模糊了。然而,ICS系統(tǒng)與IT系統(tǒng)相比仍然具有很多本質(zhì)上的差異。
美國(guó)問(wèn)責(zé)總署(GAO)的報(bào)告GAO-07-1036[1]、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST SP 800-82[2]根據(jù)系統(tǒng)特征對(duì)IT系統(tǒng)和ICS系統(tǒng)進(jìn)行了比較,IT系統(tǒng)屬于信息系統(tǒng)(Cyber System),ICS系統(tǒng)屬于信息物理融合系統(tǒng)(Cyber-Physical System)。下文將從不同角度說(shuō)明兩種系統(tǒng)的差異。
2.1 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定
模型和參考體系是描述工業(yè)控制系統(tǒng)的公共框架,工業(yè)控制系統(tǒng)被劃分為五層結(jié)構(gòu),如圖1。
第五層―經(jīng)營(yíng)決策層。經(jīng)營(yíng)決策層具有為組織機(jī)構(gòu)提供核心生產(chǎn)經(jīng)營(yíng)、重大戰(zhàn)略決策的功能。該層屬于傳統(tǒng)IT管理系統(tǒng),使用的都是傳統(tǒng)的IT技術(shù)、設(shè)備等,主要由服務(wù)器和計(jì)算機(jī)構(gòu)成。當(dāng)前工業(yè)領(lǐng)域中企業(yè)管理系統(tǒng)等同工業(yè)控制系統(tǒng)之間的耦合越來(lái)越多,參考模型也將它包含進(jìn)來(lái)。
第四層―管理調(diào)度層。管理調(diào)度層負(fù)責(zé)管理生產(chǎn)所需最終產(chǎn)品的工作流,它包括業(yè)務(wù)管理、運(yùn)行管理、生產(chǎn)管理、制造執(zhí)行、能源管理、安全管理、物流管理等,主要由服務(wù)器和計(jì)算機(jī)構(gòu)成。
第三層―集中監(jiān)控層。集中監(jiān)控層具有監(jiān)測(cè)和控制物理過(guò)程的功能,主要由操作員站、工程師站、輔操臺(tái)、人機(jī)界面、打印工作站、數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備構(gòu)成。
第二層―現(xiàn)場(chǎng)控制層。現(xiàn)場(chǎng)控制層主要包括利用控制設(shè)備進(jìn)行現(xiàn)場(chǎng)控制的功能,另外在第二層也對(duì)控制系統(tǒng)進(jìn)行安全保護(hù)。第二層中的典型設(shè)備包括分散控制系統(tǒng)(DCS)控制器、可編程邏輯控制器(PLC)、遠(yuǎn)程終端控制單元(RTU)等。
第一層―采集執(zhí)行層。現(xiàn)場(chǎng)執(zhí)行層指實(shí)際的物理和化學(xué)過(guò)程數(shù)據(jù)的采集、控制動(dòng)作的執(zhí)行。本層包括不同類型的生產(chǎn)設(shè)施,典型設(shè)備有直接連接到過(guò)程和過(guò)程設(shè)備的傳感器、執(zhí)行器、智能電子儀表等。在工業(yè)控制系統(tǒng)參考模型中,現(xiàn)場(chǎng)執(zhí)行層屬于物理空間,它同各工業(yè)控制行業(yè)直接相關(guān),例如電力的發(fā)電、輸電、配電,化工生產(chǎn)、水處理行業(yè)的泵操作等;正是由于第一層物理空間的過(guò)程對(duì)實(shí)時(shí)性、完整性等要求以及它同第二、三、四層信息空間融合才產(chǎn)生工業(yè)控制系統(tǒng)特有的特點(diǎn)和安全需求[3]。
隨著信息物理的融合,從廣義來(lái)說(shuō),上述五層都屬于工業(yè)控制系統(tǒng);從狹義來(lái)說(shuō),第一層到第三層的安全要求及技術(shù)防護(hù)與其他兩層相比具備較大差異,第一層到第三層屬于狹義工業(yè)控制系統(tǒng),第四層到第五層屬于信息系統(tǒng)。
2.2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的差異
從用途的角度來(lái)說(shuō),ICS屬于工業(yè)生產(chǎn)領(lǐng)域的生產(chǎn)過(guò)程運(yùn)行控制系統(tǒng),重點(diǎn)是生產(chǎn)過(guò)程的采集、控制和執(zhí)行,而信息系統(tǒng)通常是信息化領(lǐng)域的管理運(yùn)行系統(tǒng),重點(diǎn)在于信息管理。
從系統(tǒng)最終目標(biāo)的角度來(lái)看,ICS更多是以生產(chǎn)過(guò)程的控制為中心的系統(tǒng),而信息技術(shù)系統(tǒng)的目的是人使用信息進(jìn)行管理。
從安全的角度來(lái)說(shuō),傳統(tǒng)IT系統(tǒng)的安全三要素機(jī)密性、完整性、可用性按CIA原則排序,即機(jī)密性最重要,完整性次之,可用性排在最后;而工業(yè)控制系統(tǒng)不再適用于這一原則,其安全目標(biāo)應(yīng)符合AIC原則,即可用性排在第一位,完整性次之,機(jī)密性排在最后。
從受到攻擊后產(chǎn)生的結(jié)果來(lái)說(shuō),工業(yè)控制系統(tǒng)被攻陷后產(chǎn)生的影響是巨大的,有時(shí)甚至是災(zāi)難性的:一是造成物質(zhì)與人員損失,如設(shè)備的報(bào)廢、基礎(chǔ)設(shè)備的損壞、對(duì)人員的傷害、財(cái)產(chǎn)的損失、數(shù)據(jù)的丟失;二是造成環(huán)境的破壞,如水、電、氣、熱等人民生活資源的污染,有毒、危險(xiǎn)物質(zhì)的無(wú)序排放、非法轉(zhuǎn)移與使用,公共秩序的混亂;三是造成對(duì)國(guó)民經(jīng)濟(jì)的破壞,如企業(yè)生產(chǎn)與經(jīng)營(yíng)中斷或停頓、工人停工或失業(yè),對(duì)一個(gè)地區(qū)、一個(gè)國(guó)家乃至對(duì)全球經(jīng)濟(jì)具備重要的影響;四是嚴(yán)重的則會(huì)導(dǎo)致社會(huì)問(wèn)題和國(guó)家安全問(wèn)題,如公眾對(duì)國(guó)家的信心喪失、恐怖襲擊等。
從安全需求的角度來(lái)說(shuō),ICS系統(tǒng)與IT的差異可以歸納為表1。
3 核電信息安全與功能安全的區(qū)別
功能安全(Functional Safety)是保證系統(tǒng)或設(shè)備執(zhí)行正確的功能。它要求系統(tǒng)識(shí)別工業(yè)現(xiàn)場(chǎng)的所有風(fēng)險(xiǎn),并將它控制在可容忍范圍內(nèi)。
安全相關(guān)系統(tǒng)的概念是基于安全完整性等級(jí)(SIL1到SIL4)的。它將系統(tǒng)的安全表示為單個(gè)數(shù)字,而這個(gè)數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的衡量安全相關(guān)系統(tǒng)功能失效率的保護(hù)因子,級(jí)別越高,失效的可能性越小。某一功能安全的SIL等級(jí)一旦確定,代表它的風(fēng)險(xiǎn)消減能力要求被確定,同時(shí),對(duì)系統(tǒng)的設(shè)計(jì)、管理、維護(hù)的要求嚴(yán)格程度也被確定。信息安全與功能安全雖然都是為保障人員、生產(chǎn)和環(huán)境安全,但是功能安全使用的安全完整性等級(jí)是基于硬件隨機(jī)失效或系統(tǒng)失效的可能性計(jì)算得出的,而信息安全的失效具有更多可能的誘因和后果。影響信息安全的因素非常復(fù)雜,很難用一個(gè)簡(jiǎn)單的數(shù)字描述。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護(hù)也須是反復(fù)迭代進(jìn)行的。
4 核電工業(yè)控制系統(tǒng)基本安全要求
我國(guó)核安全法規(guī)及政策文件主要包括《HAF001中華人民共和國(guó)民用核設(shè)施安全監(jiān)督管理?xiàng)l例》、《HAF501中華人民共和國(guó)核材料管制條例》、《HAF002核電廠核事故應(yīng)急管理?xiàng)l例》、《民用核安全設(shè)備監(jiān)督管理?xiàng)l例 500號(hào)令》、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))等;指導(dǎo)性文件主要有《HAD核安全導(dǎo)則》,與核電廠工業(yè)控制系統(tǒng)安全相關(guān)的有《HAF003 核電廠質(zhì)量保證安全規(guī)定》、《HAD102-01核電廠設(shè)計(jì)總的安全原則》、《HAD102-10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)備》、《HAD102-14核電廠安全有關(guān)儀表和控制系統(tǒng)》、《HAD102-16核電廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》、《HAD102-17核電廠安全評(píng)價(jià)與驗(yàn)證》等導(dǎo)則,標(biāo)準(zhǔn)規(guī)范有《GB/T 13284.1-2008 核電廠安全系統(tǒng) 第1部分:設(shè)計(jì)準(zhǔn)則》、《GB/T 13629-2008 核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》、《GB/T 15474-2010 核電廠安全重要儀表和控制功能分類》、《GB/T 20438-2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》、《GB/T 21109-2007 過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》[4]等。
然而,我國(guó)核電信息安全方面的標(biāo)準(zhǔn)與我國(guó)法律的結(jié)合不緊密。《RG 5.71核設(shè)施的信息安全程序》是美國(guó)核能監(jiān)管委員會(huì)(NRC)參考聯(lián)邦法規(guī)中對(duì)計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)保護(hù)的要求,針對(duì)核電廠而制定的法規(guī),《RG 1.152核電廠安全系統(tǒng)計(jì)算機(jī)使用標(biāo)準(zhǔn)》是為保障用于核電廠安全系統(tǒng)的數(shù)字計(jì)算機(jī)的功能可靠性、設(shè)計(jì)質(zhì)量、信息和網(wǎng)絡(luò)安全而制定的法規(guī),其所有的背景與定義均來(lái)源于聯(lián)邦法規(guī)。而我國(guó)的相關(guān)標(biāo)準(zhǔn)僅是將RG 5.71中的美國(guó)標(biāo)準(zhǔn)替換為中國(guó)標(biāo)準(zhǔn),且國(guó)內(nèi)相關(guān)核電領(lǐng)域法規(guī)缺乏對(duì)信息安全的要求。
5 核電工業(yè)控制系統(tǒng)重要安全事件
5.1 蠕蟲病毒導(dǎo)致美國(guó)Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓
2003年1月,“Slammer”蠕蟲病毒導(dǎo)致美國(guó)俄亥俄州Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓,核電站被迫停止運(yùn)轉(zhuǎn)進(jìn)行檢修。經(jīng)調(diào)查,核電站沒有及時(shí)進(jìn)行安裝補(bǔ)丁,該蠕蟲使用供應(yīng)商被感染的電腦通過(guò)電話撥號(hào)直接連到工廠網(wǎng)絡(luò),從而繞過(guò)防火墻。
5.2 信息洪流導(dǎo)致美國(guó)Browns Ferry核電站機(jī)組關(guān)閉
2006年8月,美國(guó)阿拉巴馬州的Browns Ferry核電站3號(hào)機(jī)組受到網(wǎng)絡(luò)攻擊,當(dāng)天核電站局域網(wǎng)中出現(xiàn)了信息洪流,導(dǎo)致反應(yīng)堆再循環(huán)泵和冷凝除礦控制器失靈,致使3號(hào)機(jī)組被迫關(guān)閉。
5.3 軟件更新不當(dāng)引發(fā)美國(guó)Hatch核電廠機(jī)組停機(jī)
2008年3月,美國(guó)喬治亞州Hatch核電廠2號(hào)機(jī)組發(fā)生自動(dòng)停機(jī)事件。當(dāng)時(shí),一位工程師正在對(duì)該廠業(yè)務(wù)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)進(jìn)行軟件更新,該計(jì)算機(jī)用于采集控制網(wǎng)絡(luò)中的診斷數(shù)據(jù),以同步業(yè)務(wù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)中的數(shù)據(jù)。當(dāng)工程師重啟計(jì)算機(jī)時(shí),同步程序重置了控制網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù),使得控制系統(tǒng)誤以為反應(yīng)堆儲(chǔ)水庫(kù)水位突然下降,從而自動(dòng)關(guān)閉了整個(gè)機(jī)組。
5.4 震網(wǎng)病毒入侵伊朗核電站導(dǎo)致核計(jì)劃停頓
2010年10月,震網(wǎng)病毒(Stuxnet)通過(guò)針對(duì)性的入侵伊朗布什爾核電站核反應(yīng)堆控制系統(tǒng),攻擊造成核電站五分之一的濃縮鈾設(shè)施離心機(jī)發(fā)生故障,直接影響到了伊朗的核計(jì)劃進(jìn)度,嚴(yán)重威脅到的安全運(yùn)營(yíng)。該事件源于核電廠員工在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)交叉使用帶有病毒的移動(dòng)存儲(chǔ)介質(zhì)。
5.5 無(wú)線網(wǎng)絡(luò)引入的木馬引發(fā)韓國(guó)核電站重要信息泄露
2015年8月,曾泄漏韓國(guó)古里核電站1、2號(hào)機(jī)組內(nèi)部圖紙、月城核電站3、4號(hào)機(jī)組內(nèi)部圖紙、核電站安全解析代碼等文件的“核電反對(duì)集團(tuán)”組織通過(guò)社交網(wǎng)站再次公開了核電站等機(jī)構(gòu)的內(nèi)部文件,要求韓國(guó)政府與該組織就拿到的10萬(wàn)多張?jiān)O(shè)計(jì)圖問(wèn)題進(jìn)行協(xié)商,并威脅韓國(guó)政府如不接受上述要求,將向朝鮮以及其他國(guó)家出售所有資料。本事件源于核電廠員工在企業(yè)內(nèi)網(wǎng)和企業(yè)外部利用手機(jī)使用不安全的無(wú)線網(wǎng)絡(luò)信號(hào),被感染木馬而引發(fā)。
6 核電工業(yè)控制系統(tǒng)安全應(yīng)對(duì)策略
6.1 完善核電工業(yè)控制系統(tǒng)安全法規(guī)及標(biāo)準(zhǔn)
根據(jù)工信部協(xié)[2011]45l號(hào)文[5],工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施,明確了工業(yè)控制系統(tǒng)信息安全管理基本要求,即連接管理要求、組網(wǎng)管理要求、配置管理要求、設(shè)備選擇與升級(jí)管理要求、數(shù)據(jù)管理要求、應(yīng)急管理要求。核電行業(yè)主管部門、國(guó)有資產(chǎn)監(jiān)督管理部門應(yīng)結(jié)合實(shí)際制定完善相關(guān)法規(guī)制度,并參考《IEC 62443工業(yè)通訊網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全》、《NIST SP800-82 工業(yè)控制系統(tǒng)安全指南》、《GB/T 26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《GB/T 30976.1-2014 工業(yè)控制系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范》、《GB/T 30976.2-2014工業(yè)控制系統(tǒng)信息安全 第2部分:驗(yàn)收規(guī)范》、《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《IEEE Std 7-432-2010 核電站安全系統(tǒng)計(jì)算機(jī)系統(tǒng)》制定適用于核電領(lǐng)域的工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)。同時(shí),部分企業(yè)對(duì)推薦性標(biāo)準(zhǔn)的執(zhí)行力度不夠,有必要出臺(tái)若干強(qiáng)制性標(biāo)準(zhǔn)。
6.2 健全核電工業(yè)控制系統(tǒng)安全責(zé)任制
核電企業(yè)要按照誰(shuí)主管按照誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)的原則建立健全信息安全責(zé)任制,建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和專職部門,配備工業(yè)控制系統(tǒng)安全專職技術(shù)人員,統(tǒng)籌工業(yè)控制系統(tǒng)和信息系統(tǒng)安全工作,建立工業(yè)控制系統(tǒng)安全管理制度和應(yīng)急預(yù)案,保證充足的信息安全投入,系統(tǒng)性開展安全管理和技術(shù)防護(hù)。
6.3 統(tǒng)籌開展核電工業(yè)控制系統(tǒng)安全防護(hù)
結(jié)合生產(chǎn)安全、功能安全、信息安全等多方面要求統(tǒng)籌開展工業(yè)控制系統(tǒng)安全防護(hù),提升工業(yè)控制系統(tǒng)設(shè)計(jì)人員、建設(shè)人員、使用人員、運(yùn)維人員和管理人員的信息安全意識(shí),避免殺毒等傳統(tǒng)防護(hù)手段不適用導(dǎo)致工業(yè)控制系統(tǒng)未進(jìn)行有效防護(hù)、工業(yè)控制系統(tǒng)遭受外界攻擊而發(fā)生癱瘓、工業(yè)控制系統(tǒng)安全可靠性不足導(dǎo)致停機(jī)事故、工業(yè)控制系統(tǒng)重要信息失竊密等風(fēng)險(xiǎn)。
6.4 建立核電工業(yè)控制系統(tǒng)測(cè)試管控體系
系統(tǒng)需求、設(shè)計(jì)、開發(fā)、運(yùn)維階段的一些問(wèn)題會(huì)影響工業(yè)控制系統(tǒng)的安全可靠運(yùn)行,因此有必要在系統(tǒng)需求設(shè)計(jì)、選型、招標(biāo)、建設(shè)、驗(yàn)收、運(yùn)維、擴(kuò)建等階段強(qiáng)化廠商內(nèi)部測(cè)試、出廠測(cè)試、選型測(cè)試、試運(yùn)行測(cè)試、驗(yàn)收測(cè)試、安全測(cè)試、入網(wǎng)測(cè)試、上線或版本變更測(cè)試等測(cè)試管控手段,提升系統(tǒng)安全性。
6.5 開展工業(yè)控制系統(tǒng)安全測(cè)試、檢查和評(píng)估
企業(yè)要定期開展工業(yè)控制系統(tǒng)的安全測(cè)試、風(fēng)險(xiǎn)評(píng)估、安全檢查和安全評(píng)估,以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和薄弱環(huán)節(jié),有針對(duì)性地采取管理和技術(shù)防護(hù)措施,促進(jìn)安全防范水平和安全可控能力提升,預(yù)防和減少重大網(wǎng)絡(luò)安全事件的發(fā)生。核電行業(yè)主管部門、網(wǎng)絡(luò)安全主管部門要加強(qiáng)對(duì)核電領(lǐng)域工業(yè)控制系統(tǒng)信息安全工作的指導(dǎo)監(jiān)督,加強(qiáng)安全自查、檢查和抽查,確保信息安全落到實(shí)處。
綜上所述,圍繞我國(guó)核設(shè)施安全要求,完善核電信息安全法規(guī)標(biāo)準(zhǔn),落實(shí)信息安全責(zé)任制,統(tǒng)籌開展安全技術(shù)防護(hù),建立工業(yè)控制系統(tǒng)測(cè)試管控體系,定期開展安全測(cè)試和評(píng)估,是當(dāng)前和今后核電領(lǐng)域開展工業(yè)控制系統(tǒng)信息安全保障的重要內(nèi)容。
參考文獻(xiàn):
[1]David A. Multiple Efforts to Secure Control Systems Are Under Way, but Challenges Remain, GAO-07-1036 [R].Washington DC,USA:US Government Accountability Office(US GAO),2007.
[2]NIST SP800-82.Guide to Industrial Control Systems (ICS) Security [S].Gaithersburg, USA: National Institute of Standards and Technology (NIST),2011.
[3]彭勇,江常青,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展 [J].清華大學(xué)學(xué)報(bào),2012,52(10):1396-1408.
隨著網(wǎng)絡(luò)的普及率的提高,使得電力企業(yè)不斷提高其辦公的信息化,同時(shí)也提升了企業(yè)對(duì)信息化網(wǎng)絡(luò)依賴程度,網(wǎng)絡(luò)內(nèi)部存在不安全因素對(duì)信息安全存在著一定的威脅。本文主要介紹了網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)控制原理、控制技術(shù)方式及在電網(wǎng)公司中的應(yīng)用情況,及相關(guān)問(wèn)題,需要不斷完善。僅供參考。
【關(guān)鍵詞】
網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)供電局終端安全應(yīng)用管理
1前言
隨著網(wǎng)絡(luò)應(yīng)用的推廣,電網(wǎng)企業(yè)的管理依賴于信息網(wǎng)絡(luò),企業(yè)相關(guān)的所有設(shè)備都需要接入企業(yè)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)企業(yè)資源的共享局面,同時(shí)也增加了電網(wǎng)企業(yè)內(nèi)網(wǎng)安全管理的工作難度。根據(jù)有關(guān)統(tǒng)計(jì)[1],絕大多數(shù)信息泄露事件都是由于企業(yè)內(nèi)部人員所泄露的,因此加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理是一件刻不容緩的事情。
2網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)控制原理
網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)控制的目的即減少降低相關(guān)病毒、黑客木馬等破壞性程序?qū)ζ髽I(yè)信息安全造成的威脅。該系統(tǒng)的應(yīng)用能夠阻擾未經(jīng)授權(quán)許可的終端設(shè)備接入公司集團(tuán)網(wǎng)絡(luò),只有經(jīng)過(guò)相關(guān)安全授權(quán)的終端設(shè)備才能順利與企業(yè)網(wǎng)絡(luò)相連接。有效的提高了企業(yè)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的全新構(gòu)架模式,基本分為以下三個(gè)重要組成部分:企業(yè)內(nèi)部網(wǎng)絡(luò)的外界安全防護(hù),對(duì)于來(lái)自網(wǎng)絡(luò)外部的安全威脅實(shí)時(shí)防護(hù);內(nèi)部網(wǎng)絡(luò)自身的安全威脅防護(hù),對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅進(jìn)行防護(hù);外網(wǎng)移動(dòng)用戶安全接入防護(hù),用于保證內(nèi)部移動(dòng)用戶在不同網(wǎng)絡(luò)環(huán)境中的自身安全及企業(yè)網(wǎng)絡(luò)安全[2]。
3常見網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)
實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的幾種方式:802.1x協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)其技術(shù)要求網(wǎng)絡(luò)設(shè)備能夠支持802.1x,不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),不會(huì)降低網(wǎng)絡(luò)的可靠性及其他性能,適用于所有規(guī)模的網(wǎng)絡(luò)用戶,也是眾多企業(yè)所廣泛應(yīng)用的一種網(wǎng)絡(luò)系統(tǒng)準(zhǔn)入控制。其具有國(guó)際標(biāo)準(zhǔn)是主流技術(shù);思科EoU方式的網(wǎng)絡(luò)準(zhǔn)入控制,其與802.1X的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)類似;網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是非授權(quán)終端不能訪問(wèn)受網(wǎng)關(guān)保護(hù)的網(wǎng)絡(luò)資源,并且終端之間可以互相訪問(wèn)。其技術(shù)要求需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),要有專門適用的網(wǎng)關(guān),其會(huì)給網(wǎng)絡(luò)帶來(lái)一些有關(guān)可靠性、性能的問(wèn)題。其不適合大規(guī)模的組網(wǎng);DHCP方式的網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是終端可以通過(guò)自行IP等手段,繞開DHCP準(zhǔn)入控制,無(wú)需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),但是需要在每一個(gè)網(wǎng)段部署專用DHCP服務(wù)器。不會(huì)降低網(wǎng)絡(luò)的可靠性,其適應(yīng)于中小規(guī)模的網(wǎng)絡(luò);ARP方式的網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是終端能夠通過(guò)自行設(shè)置本紀(jì)的路由器、ARP映射等繞開ARP準(zhǔn)入控制,無(wú)需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),需要在每一個(gè)網(wǎng)段設(shè)置ARP干擾器。其過(guò)多的ARP廣播會(huì)給網(wǎng)絡(luò)帶來(lái)諸多性能等故障問(wèn)題。其適應(yīng)于小規(guī)模的網(wǎng)絡(luò)。
4網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在供電局的應(yīng)用概況
電網(wǎng)企業(yè)的信息化管理正處于高速發(fā)展的狀態(tài),許多電網(wǎng)企業(yè)都采用了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對(duì)于企業(yè)信息安全的控制管理,能夠提高企業(yè)信息的安全性,保障電網(wǎng)企業(yè)的正常運(yùn)行。SymantecSNAC網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)是許多電網(wǎng)企業(yè)普遍使用的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)之一[4]。為了提高企業(yè)終端的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),廣西電網(wǎng)公司在全省各地市供電局統(tǒng)一采用的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)是華賽TSM網(wǎng)絡(luò)準(zhǔn)入控制,該系統(tǒng)主要有六種主要功能,如對(duì)終端補(bǔ)丁進(jìn)行管理的功能,對(duì)終端用戶行為、資產(chǎn)以及軟件等進(jìn)行管理的功能。通過(guò)控制網(wǎng)絡(luò)終端訪問(wèn)、準(zhǔn)入系統(tǒng),及對(duì)網(wǎng)絡(luò)終端實(shí)行安全檢查和安全修復(fù)工作,能夠控制許多人員對(duì)于企業(yè)網(wǎng)絡(luò)的訪問(wèn),如企業(yè)內(nèi)部人員、外部訪客及合作伙伴等。與此同時(shí),系統(tǒng)能夠自動(dòng)查詢發(fā)現(xiàn)安全威脅并及時(shí)隔離該安全威脅,提升了關(guān)系電網(wǎng)網(wǎng)絡(luò)防御保護(hù)的能力。規(guī)范了終端的接入程序,緩解了對(duì)其的維護(hù)壓力,提升了網(wǎng)絡(luò)安全性能,同時(shí)依舊存在迫切需要改進(jìn)的問(wèn)題[5]。(1)存在多主機(jī)模式。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中的多主機(jī)模式是指在TSM網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中,當(dāng)企業(yè)需要進(jìn)行某些遠(yuǎn)程會(huì)議時(shí),開通無(wú)線網(wǎng)絡(luò),企業(yè)信息中心會(huì)架設(shè)一個(gè)普通的無(wú)線AP或者是一個(gè)充當(dāng)HUB作用的交換機(jī),當(dāng)其中有一臺(tái)終端設(shè)備通過(guò)了了認(rèn)真授權(quán)后,其后面的任何終端都可以無(wú)數(shù)次不限量的訪問(wèn)企業(yè)網(wǎng)絡(luò)。這種現(xiàn)象會(huì)影響網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的控制能力,影響企業(yè)網(wǎng)絡(luò)訪問(wèn)的安全性,因此在使用時(shí)應(yīng)控制對(duì)無(wú)線AP的使用。(2)無(wú)線網(wǎng)絡(luò)準(zhǔn)入控制。無(wú)線網(wǎng)絡(luò)的工作原理是通過(guò)電磁波來(lái)傳輸相關(guān)信息數(shù)據(jù)的,同時(shí)也存在著不可輕視的信息安全問(wèn)題,其根源性的問(wèn)題基于無(wú)線信號(hào)具有空間擴(kuò)散這一特性。要解決這一問(wèn)題,能夠在網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中增加無(wú)線入侵防護(hù)系統(tǒng)作為補(bǔ)充,將成功通過(guò)MAC地址認(rèn)證的無(wú)線AP接入企業(yè)網(wǎng)絡(luò),其他的無(wú)線AP則無(wú)法進(jìn)入企業(yè)網(wǎng)絡(luò)進(jìn)行通信,這一補(bǔ)充措施能夠從根本上保障無(wú)線網(wǎng)絡(luò)的安全接入,保障企業(yè)網(wǎng)絡(luò)信息安全。(3)對(duì)虛擬化技術(shù)應(yīng)用的支持。在現(xiàn)有的技術(shù)層面,普遍存在的是服務(wù)器與桌面的虛擬化技術(shù),而如果要在終端網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中采用虛擬化技術(shù),必要將技術(shù)上升到更高的層次才能解決相關(guān)安全問(wèn)題。假如網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)沒有辦法從網(wǎng)卡中區(qū)分出是否真實(shí),僅僅是通過(guò)一刀切的方式來(lái)禁止網(wǎng)卡的使用網(wǎng)絡(luò)的情況,會(huì)影響正常用戶的正常網(wǎng)絡(luò)接入,給網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)帶來(lái)一定的困擾工作。
5結(jié)語(yǔ)
綜上所述,應(yīng)重視信息泄露的嚴(yán)重后果,及早組建企業(yè)終端網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng),做到對(duì)于企業(yè)信息安全的防護(hù)作用,能夠有效阻止終端電腦信息的非法外泄,保障企業(yè)信息安全,促進(jìn)企業(yè)正常運(yùn)轉(zhuǎn),提高經(jīng)濟(jì)效益。
作者:李永英 單位:平頂山工業(yè)職業(yè)技術(shù)學(xué)院
參考文獻(xiàn):
[1]呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化,2011(06):94~97.
[2]宋經(jīng)偉.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理系統(tǒng)中的應(yīng)用[J].軟件導(dǎo)刊,2014(02):136~138.
[3]常榮.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在電網(wǎng)企業(yè)的應(yīng)用研究[J].電力信息與通信技術(shù),2013(11):38~44.
[4]梁彪.基于網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)安全防護(hù)方案探討[J].廣西電力,2014(06):59~62.
電力企業(yè)電網(wǎng)系統(tǒng)管理過(guò)程中,過(guò)于注重電網(wǎng)應(yīng)用管理,忽視了電網(wǎng)運(yùn)行管理,尤其是電網(wǎng)運(yùn)行管理中的系統(tǒng)和網(wǎng)絡(luò)安全,缺乏完善的運(yùn)行管理制度,工作人員工作中缺乏指導(dǎo),無(wú)法發(fā)現(xiàn)管理中存在的問(wèn)題,管理工作不規(guī)范,電網(wǎng)管理人員隨意更改網(wǎng)絡(luò)和系統(tǒng),網(wǎng)絡(luò)和系統(tǒng)安全存在非常大的安全隱患,無(wú)法對(duì)電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)安全提供保障。
2電網(wǎng)調(diào)度自主化網(wǎng)絡(luò)安全技術(shù)
安全技術(shù)在電力企業(yè)網(wǎng)絡(luò)和系統(tǒng)管理中的應(yīng)用,有效提高了管理質(zhì)量,為電網(wǎng)調(diào)度自主化網(wǎng)絡(luò)系統(tǒng)提供了充分的保障,促進(jìn)了電力系統(tǒng)的安全運(yùn)行,有效提高了電力企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益,促進(jìn)電力企業(yè)進(jìn)一步發(fā)展。
2.1提高網(wǎng)絡(luò)管理人員的綜合素質(zhì)
網(wǎng)絡(luò)管理人員是電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)管理的核心,網(wǎng)絡(luò)管理人員的專業(yè)水平和綜合素質(zhì)直接關(guān)系網(wǎng)絡(luò)管理質(zhì)量,因此,電力企業(yè)必須加強(qiáng)對(duì)網(wǎng)絡(luò)管理人員的管理,提高他們的綜合素質(zhì)和專業(yè)水平,避免出現(xiàn)泄密和誤用等風(fēng)險(xiǎn)性極大的事件,提高網(wǎng)絡(luò)和系統(tǒng)管理質(zhì)量,為電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)安全運(yùn)行提供保障。
2.2完善運(yùn)行管理制度
運(yùn)行管理是電網(wǎng)管理工作的重心,電網(wǎng)安全運(yùn)行才能實(shí)現(xiàn)電網(wǎng)系統(tǒng)的重要作用,所以電力企業(yè)必須完善運(yùn)行管理制度,在相關(guān)制度規(guī)范下,指導(dǎo)網(wǎng)絡(luò)管理人員的工作,使網(wǎng)絡(luò)管理人員能夠及時(shí)發(fā)現(xiàn)管理中存在的問(wèn)題,及時(shí)解決問(wèn)題,保證系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行,運(yùn)行管理中要將系統(tǒng)和網(wǎng)絡(luò)安全管理放在突出位置,為電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)安全運(yùn)行提供保障。
2.3加強(qiáng)安全管理
安全管理的內(nèi)容比較多,不僅要加強(qiáng)系統(tǒng)安全管理,還要加強(qiáng)信息資源管理,為了防止信息資源管理,應(yīng)該根據(jù)不同的業(yè)務(wù)系統(tǒng),對(duì)專用網(wǎng)絡(luò)采取安全技術(shù),例如,訪問(wèn)控制技術(shù)、加密技術(shù)以及身份驗(yàn)證技術(shù)等,每一個(gè)網(wǎng)絡(luò)管理人員進(jìn)行網(wǎng)絡(luò)和系統(tǒng)管理的時(shí)候,要通過(guò)相關(guān)驗(yàn)證,對(duì)于外部訪問(wèn)用戶,要嚴(yán)格控制系統(tǒng)安全性,限制外部訪問(wèn)用戶使用系統(tǒng)信息,從而為系統(tǒng)安全提供保障,為了防止數(shù)據(jù)信息泄露,應(yīng)該使用備份和恢復(fù)技術(shù)。除此之外,要加強(qiáng)信息使用者的理解,科學(xué)、合理地利用電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò),保證網(wǎng)絡(luò)運(yùn)行安全。
2.4加強(qiáng)設(shè)備安全管理
電力企業(yè)設(shè)立專門網(wǎng)絡(luò)管理職位,明確管理責(zé)任,對(duì)網(wǎng)絡(luò)管理人員進(jìn)行嚴(yán)格的管理,避免網(wǎng)絡(luò)管理人員在電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)中查閱其他無(wú)關(guān)信息,定期對(duì)設(shè)備進(jìn)行維護(hù),避免設(shè)備癱瘓?jiān)斐删W(wǎng)絡(luò)和系統(tǒng)管理出現(xiàn)問(wèn)題,完善監(jiān)測(cè)技術(shù),對(duì)網(wǎng)絡(luò)和系統(tǒng)管理試行實(shí)時(shí)監(jiān)測(cè),及時(shí)發(fā)現(xiàn)管理中存在的問(wèn)題,及時(shí)解決問(wèn)題,從而保證電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)安全運(yùn)行。
2.5實(shí)現(xiàn)信息單向傳輸
系統(tǒng)交互運(yùn)行存在很多安全隱患,為了保證網(wǎng)絡(luò)和系統(tǒng)安全,電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)系統(tǒng)運(yùn)行過(guò)程中,應(yīng)該實(shí)現(xiàn)信息單向傳輸,實(shí)現(xiàn)調(diào)度控制系統(tǒng)、調(diào)度生產(chǎn)系統(tǒng)、調(diào)度管理系統(tǒng)以及辦公自動(dòng)化系統(tǒng)之間的有效隔離,提高系統(tǒng)運(yùn)行的獨(dú)立性,避免系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)全面癱瘓的現(xiàn)象,提高網(wǎng)絡(luò)和系統(tǒng)的安全性,為電網(wǎng)調(diào)度自主化信息網(wǎng)絡(luò)安全運(yùn)行提供保障。
3結(jié)束語(yǔ)
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);信息安全;系統(tǒng);環(huán)境;技術(shù)
隨著科學(xué)技術(shù)的不斷發(fā)展,計(jì)算機(jī)技術(shù)已被推廣應(yīng)用于各行各業(yè),人們和計(jì)算機(jī)技術(shù)之間的關(guān)聯(lián)越來(lái)越密切。在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行過(guò)程中,不可避免的會(huì)受到信息安全威脅,可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行效益造成不良影響。計(jì)算機(jī)網(wǎng)絡(luò)可對(duì)人們的日常生活提供很多便利,在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的實(shí)際應(yīng)用中,應(yīng)提高對(duì)于各類威脅的重視度,并采取有效的技術(shù)防護(hù)措施。
1計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)組成環(huán)境
1.1物理環(huán)境
為保證計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)處于安全運(yùn)行狀態(tài),避免數(shù)據(jù)、信息泄露,為人們營(yíng)造安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境,必須加強(qiáng)機(jī)房環(huán)境建設(shè)。對(duì)此,應(yīng)當(dāng)對(duì)國(guó)家相關(guān)標(biāo)準(zhǔn)進(jìn)行分析,對(duì)機(jī)房中的物理環(huán)境因素以及各類設(shè)施進(jìn)行科學(xué)合理的規(guī)劃,確保能夠符合國(guó)家相關(guān)標(biāo)準(zhǔn)。在計(jì)算機(jī)機(jī)房裝修施工中,應(yīng)采用具有良好防水性、防潮性、防火性的材料,提高機(jī)房安全性。在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)規(guī)劃建設(shè)過(guò)程中,還應(yīng)選擇適宜的建設(shè)場(chǎng)地,對(duì)地理環(huán)境進(jìn)行勘查分析,與危險(xiǎn)建筑工程之間保持適當(dāng)距離。另外,在機(jī)房建設(shè)中,應(yīng)聯(lián)合應(yīng)用監(jiān)控設(shè)備和門禁設(shè)備,創(chuàng)建完善的報(bào)警系統(tǒng),如果發(fā)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)運(yùn)行安全性構(gòu)成危害的危險(xiǎn)因素,則應(yīng)當(dāng)立即發(fā)出報(bào)警。除此以外,在機(jī)房建設(shè)中,還應(yīng)使用防火降溫設(shè)備,避免在機(jī)房運(yùn)行中發(fā)生火災(zāi),對(duì)設(shè)備構(gòu)成嚴(yán)重?fù)p壞。
1.2運(yùn)行環(huán)境
在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)運(yùn)行過(guò)程中,對(duì)于其所處運(yùn)行環(huán)境,要求專業(yè)技術(shù)人員加強(qiáng)防護(hù)管理。要求相關(guān)技術(shù)人員積極學(xué)習(xí)專業(yè)知識(shí),并將其應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)日常維護(hù)管理中。另外,還應(yīng)高度重視網(wǎng)絡(luò)安全防護(hù),在機(jī)房中,可安裝警示標(biāo)語(yǔ),包括“閑人免進(jìn)”、“嚴(yán)密操作、嚴(yán)格檢查”等等。另外,在信息通訊中,還可結(jié)合實(shí)際情況適當(dāng)加入其他數(shù)據(jù)信息,避免在信息傳遞過(guò)程中被惡意篡改。
1.3軟件環(huán)境
在計(jì)算機(jī)運(yùn)行中,軟件是十分重要的組成部分,如果軟件出現(xiàn)漏洞,則會(huì)嚴(yán)重危害計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)安全性。對(duì)此,必須提高對(duì)于軟件安全防護(hù)管理的重視度,對(duì)軟件中的各類數(shù)據(jù)進(jìn)行備份處理,并對(duì)用戶軟件數(shù)據(jù)加強(qiáng)防護(hù)。另外,還可采用“打補(bǔ)丁”的方式對(duì)軟件進(jìn)行防護(hù)。除此以外,計(jì)算機(jī)系統(tǒng)還應(yīng)對(duì)軟件做好隔離處理,可采用物理隔離技術(shù)或者邏輯隔離技術(shù),將計(jì)算機(jī)系統(tǒng)和軟件相分離,如果軟件中存在安全隱患,則能夠避免對(duì)計(jì)算機(jī)造成不良影響[1]。
2計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)中存在的安全隱患
2.1網(wǎng)絡(luò)安全技術(shù)不足
網(wǎng)絡(luò)安全技術(shù)發(fā)展迅速,但是依然存在一定的局限性,一般僅能夠針對(duì)某種特定病毒進(jìn)行查殺,或者只能夠處理某一特定的網(wǎng)絡(luò)安全問(wèn)題。在網(wǎng)絡(luò)安全技術(shù)的實(shí)際應(yīng)用中,對(duì)于部分安全問(wèn)題,很難達(dá)到良好的防護(hù)效果。比如,病毒防治效果比較差,無(wú)法阻擋病毒的惡意入侵,在病毒查殺技術(shù)的實(shí)際應(yīng)用中,能夠避免病毒入侵網(wǎng)絡(luò),但是無(wú)法和應(yīng)用相配合,因此很難保證系統(tǒng)安全性。現(xiàn)如今,在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)運(yùn)行中,安全隱患具有多樣性特征,包括信息傳輸速度慢、系統(tǒng)結(jié)構(gòu)不完整、身份認(rèn)知不全面等等,因此,必須對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)安全防護(hù)技術(shù)進(jìn)行深入探究,有效解決各類安全問(wèn)題。
2.2病毒攻擊嚴(yán)重
網(wǎng)絡(luò)病毒的危害性較大,不僅會(huì)影響計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)運(yùn)行安全性,同時(shí),如果不法分子利用郵件、芯片以及軟件等,對(duì)勇于計(jì)算機(jī)發(fā)送病毒,則當(dāng)病毒入侵計(jì)算機(jī)后,即可迅速蔓延至整個(gè)計(jì)算機(jī)系統(tǒng)中,另外,病毒在計(jì)算機(jī)中的潛伏時(shí)間比較長(zhǎng),當(dāng)病毒爆發(fā)后,會(huì)對(duì)系統(tǒng)構(gòu)成嚴(yán)重破壞。
2.3漏洞與后門問(wèn)題
在對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行更新升級(jí)后,可能會(huì)出現(xiàn)不同漏洞,部分不法分子通過(guò)利用計(jì)算機(jī)中的漏洞竊取用戶信息,并對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)造成破壞。另外,在部分軟件中,為了便于程序管理,可能會(huì)在程序中留有后門,但是,如果程序中存在漏洞,則會(huì)造成后門被破壞,而非法分子即可據(jù)此進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)中,進(jìn)而竊取或者更改計(jì)算機(jī)中的信息[2]。
2.4政策法規(guī)不全面
計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)被推廣應(yīng)用于各行各業(yè),但是通過(guò)對(duì)我國(guó)法律規(guī)范進(jìn)行分析,在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)安全管理方面依然存在不足,同時(shí)很難保證各項(xiàng)法律規(guī)范的執(zhí)行力以及可操作性。另外,部分計(jì)算機(jī)管理人員專業(yè)水平比較差,或者責(zé)任意識(shí)不足,無(wú)法及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)運(yùn)行中的安全隱患。
2.5人為破壞計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)
系統(tǒng)安全隱患不僅為計(jì)算機(jī)漏洞,同時(shí)也可能是受到不法分子的惡意破壞。比如,黑客、犯罪分子通過(guò)利用計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)中的漏洞,即可入侵至計(jì)算機(jī)中,并竊取計(jì)算機(jī)中的信息,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)造成嚴(yán)重不良影響。
3計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)技術(shù)
3.1網(wǎng)絡(luò)分段技術(shù)
在網(wǎng)絡(luò)安全防護(hù)中,通過(guò)利用網(wǎng)絡(luò)分段技術(shù),將交換器作為中心,同時(shí)將路由器作為邊界,可對(duì)網(wǎng)絡(luò)運(yùn)行中的數(shù)據(jù)傳遞進(jìn)行有效控制,保證數(shù)據(jù)傳輸過(guò)程安全性。在交換機(jī)的實(shí)際應(yīng)用中,可對(duì)用戶訪問(wèn)進(jìn)行有效控制,通過(guò)利用網(wǎng)絡(luò)分段技術(shù),可發(fā)揮物理分類和邏輯分類的作用,有利于解決系統(tǒng)安全隱患。另外,通過(guò)利用網(wǎng)絡(luò)分段技術(shù),還可有效隔離非法用戶和危害資源,保證網(wǎng)絡(luò)使用中用戶信息傳遞通暢性。
3.2訪問(wèn)控制技術(shù)
在訪問(wèn)控制系統(tǒng)的實(shí)際應(yīng)用中,通過(guò)利用網(wǎng)絡(luò)認(rèn)證系統(tǒng),有利于提升計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)安全性。訪問(wèn)控制系統(tǒng)的作用比較多,包括網(wǎng)絡(luò)資源管控、身份認(rèn)證等等。(1)訪問(wèn)控制系統(tǒng)通過(guò)發(fā)揮ACL功能,可對(duì)網(wǎng)絡(luò)環(huán)境中不同用戶所接收的網(wǎng)絡(luò)資源進(jìn)行有效控制。(2)訪問(wèn)控制系統(tǒng)可對(duì)網(wǎng)絡(luò)中的用戶身份進(jìn)行認(rèn)證,同時(shí),對(duì)于用戶信息資源,也可進(jìn)行查詢和認(rèn)證,合理規(guī)避各類安全隱患。(3)訪問(wèn)控制系統(tǒng)還可對(duì)用戶的訪問(wèn)過(guò)程進(jìn)行有效控制,具體而言,其能夠?qū)τ脩粼L問(wèn)IP、用戶所下載的資源進(jìn)行控制,同時(shí)還可為不同客戶設(shè)置超級(jí)口令,管理員對(duì)所有口令進(jìn)行同一管理,同時(shí)還應(yīng)當(dāng)注意定期修改,保證用戶訪問(wèn)網(wǎng)絡(luò)的安全性。除此以外,訪問(wèn)控制系統(tǒng)還可對(duì)遠(yuǎn)程登錄root的用戶進(jìn)行限制和控制[3]。訪問(wèn)控制系統(tǒng)技術(shù)簡(jiǎn)圖如圖1所示。圖1訪問(wèn)控制技術(shù)示意圖
3.3密碼技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)安全防護(hù)中,密碼發(fā)揮著十分重要的作用,用戶可設(shè)置密碼,或者對(duì)密碼進(jìn)行更改,進(jìn)而提升網(wǎng)絡(luò)使用安全性。為充分發(fā)揮密碼對(duì)于網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力,可利用機(jī)密法,如果用戶沒有獲得授權(quán),則無(wú)法登錄賬戶,顯著提升用戶使用網(wǎng)絡(luò)和系統(tǒng)的私密性,在網(wǎng)絡(luò)安全管理中,用戶可設(shè)置不同的密碼,同時(shí)還可對(duì)密碼進(jìn)行調(diào)整,避免不法分子利用用戶常用密碼登錄網(wǎng)絡(luò)系統(tǒng)中,對(duì)網(wǎng)絡(luò)運(yùn)行安全性造成不良影響。因此,通過(guò)將密碼技術(shù)應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)中,可保證數(shù)據(jù)的私密性。
3.4存儲(chǔ)技術(shù)
在存儲(chǔ)技術(shù)的實(shí)際應(yīng)用中,需對(duì)用戶數(shù)據(jù)進(jìn)行備份處理,為了保證計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)行安全性,用戶可定期對(duì)各類數(shù)據(jù)進(jìn)行備份,不僅能夠避免數(shù)據(jù)丟失,或者受到人為破壞,同時(shí)還可避免硬盤出現(xiàn)故障。因此,在計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)防護(hù)管理中,應(yīng)當(dāng)選擇適宜的數(shù)據(jù)存儲(chǔ)技術(shù),綜合考慮計(jì)算機(jī)運(yùn)行性能以及數(shù)據(jù)存儲(chǔ)量選擇備份技術(shù),避免數(shù)據(jù)受到損害。
3.5病毒查殺技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全防護(hù)中,通過(guò)利用病毒查殺軟件,能夠發(fā)揮病毒查殺功能,在此過(guò)程中,可應(yīng)用網(wǎng)絡(luò)病毒查殺技術(shù)以及單機(jī)病毒查殺技術(shù)。其中,網(wǎng)絡(luò)病毒查殺技術(shù)水平比較高,可對(duì)病毒進(jìn)行準(zhǔn)確檢測(cè)和查殺。網(wǎng)絡(luò)病毒查殺軟件類型比較多,其中防火墻的應(yīng)用比較常見,其屬于一種高效的防御技術(shù),可將本地網(wǎng)絡(luò)和外界網(wǎng)絡(luò)進(jìn)行有效隔離。同時(shí),通過(guò)利用防火墻軟件,還可對(duì)安全區(qū)和風(fēng)險(xiǎn)區(qū)進(jìn)行隔離處理,避免受到外界網(wǎng)絡(luò)入侵。防火墻技術(shù)的功能比較多,包括過(guò)濾、認(rèn)證、地址轉(zhuǎn)換等等,比如,在防火墻包過(guò)濾技術(shù)的實(shí)際應(yīng)用中,防火墻數(shù)據(jù)包的數(shù)據(jù)傳輸具有差異性特征,應(yīng)用程序在數(shù)據(jù)傳輸中可利用TCP,首先將數(shù)據(jù)傳輸至協(xié)議棧中,然后再作為比特流逐層送入網(wǎng)絡(luò)中,在經(jīng)過(guò)每一層時(shí),在過(guò)濾過(guò)程中均需增加首部信息。通過(guò)對(duì)防火墻的數(shù)據(jù)包進(jìn)行分析,TCP與IP在數(shù)據(jù)獲取方面差異比較大,如表1和表2所示。
3.6入侵檢測(cè)技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行和信息安全系統(tǒng)過(guò)程中,網(wǎng)絡(luò)入侵現(xiàn)象比較常見,不法分子入侵計(jì)算機(jī)系統(tǒng),可竊取或者破壞用戶信息,進(jìn)而對(duì)系統(tǒng)安全性構(gòu)成嚴(yán)重危害。對(duì)此,必須加強(qiáng)入侵檢測(cè)技術(shù)創(chuàng)新研究,并將其推廣應(yīng)用于網(wǎng)絡(luò)系統(tǒng)安全防護(hù)管理中,避免不法分子入侵網(wǎng)絡(luò)系統(tǒng),保障用戶信息安全性。
4計(jì)算機(jī)網(wǎng)絡(luò)和信息安全系統(tǒng)的建立策略
4.1安全系統(tǒng)的建立
(1)網(wǎng)絡(luò)監(jiān)聽模塊。在網(wǎng)絡(luò)監(jiān)聽技術(shù)的實(shí)際應(yīng)用中,能夠發(fā)揮網(wǎng)絡(luò)數(shù)據(jù)傳輸功能,對(duì)安全隱患進(jìn)行分析,然后充分發(fā)揮監(jiān)控作用,在網(wǎng)絡(luò)規(guī)劃中即可為網(wǎng)絡(luò)管理人員提供參考。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中,通過(guò)利用網(wǎng)絡(luò)監(jiān)聽技術(shù),可對(duì)系統(tǒng)缺口以及黑客攻擊進(jìn)行嚴(yán)密監(jiān)控,如果發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患,則可及時(shí)采取有效的防護(hù)措施,高效攔截非法入侵行為。另外,通過(guò)利用網(wǎng)絡(luò)監(jiān)聽技術(shù),還可對(duì)網(wǎng)絡(luò)流量實(shí)際狀態(tài)進(jìn)行監(jiān)控,網(wǎng)絡(luò)監(jiān)聽模塊是由三部分所組成的,包括攔截?cái)?shù)據(jù)包、協(xié)議分析以及QRP欺騙,比如,在攔截?cái)?shù)據(jù)包的實(shí)際應(yīng)用中,通過(guò)利用相關(guān)軟件,即可對(duì)關(guān)鍵信息進(jìn)行檢測(cè)和過(guò)濾處理,在此過(guò)程中,可將網(wǎng)絡(luò)活動(dòng)調(diào)整為日志。另外,還可將協(xié)議分析作為重要依據(jù),對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行調(diào)換處理,簡(jiǎn)化傳輸數(shù)據(jù),便于對(duì)網(wǎng)絡(luò)性能進(jìn)行檢測(cè)分析。除此以外,QRP欺騙指的是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)傳輸發(fā)揮約束作用,如果計(jì)算機(jī)沒有獲得授權(quán),則不能隨意訪問(wèn),有利于避免信息資源泄露問(wèn)題[4]。(2)移動(dòng)設(shè)備訪問(wèn)控制模塊。對(duì)于部分重要文件信息資料,可存儲(chǔ)在多臺(tái)電子設(shè)備中,重要資料類型包括人事檔案、技術(shù)資料等等,在數(shù)據(jù)采集中,可利用USB接口的復(fù)制功能,進(jìn)而有效節(jié)約數(shù)據(jù)采集所需時(shí)間。在信息傳輸中,機(jī)密丟失或者被篡改問(wèn)題比較常見,病毒可能會(huì)入侵至USB設(shè)備中,而如果不適用USB設(shè)備,則會(huì)對(duì)日常辦公效率造成不良影響。對(duì)此,在移動(dòng)存儲(chǔ)設(shè)備安全防護(hù)管理中,可利用代碼編寫軟件,在代碼編寫軟件的實(shí)際應(yīng)用中,要求對(duì)計(jì)算機(jī)光驅(qū)以及USB接口運(yùn)行狀態(tài)進(jìn)行檢測(cè)分析,同時(shí)對(duì)USB接口設(shè)備以及存儲(chǔ)設(shè)備進(jìn)行合理劃分,并對(duì)存儲(chǔ)設(shè)備進(jìn)行嚴(yán)格管理。另外,在審核完成后,管理人員通過(guò)打開USB接口,即可復(fù)制各項(xiàng)資料,在復(fù)制完成后關(guān)閉這一功能,即可對(duì)信息復(fù)制過(guò)程進(jìn)行有效控制。(3)屏幕錄制模塊。如果計(jì)算機(jī)屏幕處于運(yùn)行狀態(tài),則通過(guò)利用屏幕錄制模塊,即可進(jìn)行錄制,便于管理人員對(duì)計(jì)算機(jī)和系統(tǒng)使用過(guò)程中的各項(xiàng)行為進(jìn)行管控,通過(guò)實(shí)時(shí)監(jiān)控,即可有效避免信息泄露。在屏幕錄制模塊的實(shí)際應(yīng)用中,所占內(nèi)存比較小,因此,與常規(guī)計(jì)算機(jī)屏幕錄制軟件相比應(yīng)用優(yōu)勢(shì)明顯。
4.2技術(shù)策略
(1)將各類安全加密技術(shù)落實(shí)到實(shí)處。為了保證計(jì)算機(jī)網(wǎng)絡(luò)和信息安全系統(tǒng)運(yùn)行安全性,避免各項(xiàng)數(shù)據(jù)資源泄露,提高網(wǎng)絡(luò)通信安全性,可合理應(yīng)用各類安全加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)化處理,阻隔非法分子入侵。(2)定期對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全系統(tǒng)進(jìn)行掃描。在此過(guò)程中,可利用防火墻技術(shù),定期對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全系統(tǒng)進(jìn)行掃描,快速清理病毒。
5結(jié)語(yǔ)
綜上所述,本文主要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)以及信息安全系統(tǒng)安全防護(hù)技術(shù)進(jìn)行了詳細(xì)探究。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,對(duì)于人們?nèi)粘9ぷ骱蜕罹a(chǎn)生較大影響,但是在網(wǎng)絡(luò)信息傳輸以及網(wǎng)絡(luò)資源利用中存在很多隱患,如果防護(hù)管理不當(dāng),則會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)以及信息安全系統(tǒng)構(gòu)成嚴(yán)重危害。我國(guó)信息化發(fā)展迅速,亟需提高對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)以及信息安全系統(tǒng)安全防護(hù)的重視度,加強(qiáng)安全防護(hù)管理技術(shù)創(chuàng)新,并創(chuàng)建完善的防護(hù)系統(tǒng),保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全性。
參考文獻(xiàn):
[1]閆偉.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)的構(gòu)建及相關(guān)技術(shù)[J].信息周刊,2019(20):1.
[2]李浩溥.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略[J].電子技術(shù)與軟件工程,2018(01):217.
[3]張帥.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)[J].電子世界,2019(4):114-115.
摘要:《中等職業(yè)教育改革創(chuàng)新行動(dòng)計(jì)劃(2010-2012)》明確提出,要充分發(fā)揮現(xiàn)代信息技術(shù)的優(yōu)勢(shì),促進(jìn)現(xiàn)代信息技術(shù)與
>> 中職校園網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì) 校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) 校園網(wǎng)絡(luò)設(shè)計(jì)原則 構(gòu)建高校數(shù)字校園網(wǎng)絡(luò) 關(guān)于中職院校數(shù)字化校園網(wǎng)絡(luò)安全問(wèn)題探究 SAN網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)在數(shù)字化校園網(wǎng)中的設(shè)計(jì)和應(yīng)用 重構(gòu)與優(yōu)化:數(shù)字化校園網(wǎng)絡(luò)設(shè)計(jì)路徑 高校數(shù)字校園網(wǎng)絡(luò)安全系統(tǒng)方案與設(shè)計(jì)探討 數(shù)字校園網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 數(shù)字化校園網(wǎng)絡(luò)中的數(shù)據(jù)倉(cāng)庫(kù)的設(shè)計(jì)探討 校園網(wǎng)絡(luò)安全設(shè)計(jì)探析 校園網(wǎng)網(wǎng)絡(luò)直播系統(tǒng)設(shè)計(jì) 校園網(wǎng)絡(luò)信息平臺(tái)設(shè)計(jì)研究 新型校園網(wǎng)絡(luò)的設(shè)計(jì) 中職數(shù)字化校園應(yīng)用系統(tǒng)架構(gòu)分析 中職數(shù)字化校園建設(shè)探索與實(shí)踐 數(shù)字校園網(wǎng)絡(luò)安全策略探討 數(shù)字化校園網(wǎng)絡(luò)安全研究 基于校園網(wǎng)絡(luò)的數(shù)字廣播系統(tǒng) 中職學(xué)校校園網(wǎng)絡(luò)安全探析 常見問(wèn)題解答 當(dāng)前所在位置:.2010-11-27.
[2] 高峽,陳智罡,袁宗福.網(wǎng)絡(luò)設(shè)備互連學(xué)習(xí)指南[M].北京:科學(xué)出版社,2009.
[3] 田斌,田虹,潘利群,等.高校校園網(wǎng)工程建設(shè)方案設(shè)計(jì)與實(shí)施[J].武漢理工大學(xué)學(xué)報(bào),2009(1).
[4] 牛賀峰.中職學(xué)校數(shù)字化校園建設(shè)的問(wèn)題及對(duì)策[J].職業(yè)時(shí)空,2011(5).
[5] 余紹軍.校園網(wǎng)的安全與防火墻技術(shù)[J].長(zhǎng)沙航空職業(yè)技術(shù)學(xué)院學(xué)報(bào),2003,(4).
[6] 陳明強(qiáng).校園網(wǎng)建設(shè)的設(shè)計(jì)與實(shí)施[J]. 廣西師范學(xué)院學(xué)報(bào)(自然科學(xué)版) , 2004,(S2).
[7] 朱安平.數(shù)字化校園的現(xiàn)實(shí)探索[M].天津:華中科技大學(xué)出版社,2011.
[8] 顧振團(tuán).中職校園網(wǎng)解決方案設(shè)計(jì)[J].職業(yè)教育研究.2011(3).
論文關(guān)鍵詞:數(shù)據(jù)庫(kù) 存儲(chǔ) 網(wǎng)絡(luò) 安全
論文摘要:急救指揮中心所有的軟件和用戶數(shù)據(jù)都存儲(chǔ)在服務(wù)器硬盤這個(gè)核心的數(shù)據(jù)倉(cāng)庫(kù)中,如何保證服務(wù)器數(shù)據(jù)的安全,并且保證服務(wù)器最大程度上的不間斷運(yùn)作對(duì)每個(gè)指揮中心來(lái)說(shuō)都是一個(gè)關(guān)鍵問(wèn)題。針對(duì)急救通訊指揮系統(tǒng)的安全保障問(wèn)題,從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有重要意義。
1數(shù)據(jù)的物理安全方法
1.1RAID技術(shù)
對(duì)每臺(tái)服務(wù)器的兩塊硬盤做RAID技術(shù)處理,把多塊獨(dú)立的硬盤(物理硬盤)按不同的方式組合起來(lái)形成一個(gè)硬盤組(邏輯硬盤),從而提供比單個(gè)硬盤更高的存儲(chǔ)性能和提供數(shù)據(jù)備份技術(shù)。數(shù)據(jù)備份的功能是在用戶數(shù)據(jù)一旦發(fā)生損壞后,利用備份信息可以使損壞數(shù)據(jù)得以恢復(fù),從而保障了用戶數(shù)據(jù)的安全性,而且數(shù)據(jù)備份是自動(dòng)的。在用戶看起來(lái),組成的磁盤組就像是一個(gè)硬盤,用戶可以對(duì)它進(jìn)行分區(qū),格式化等等。總體來(lái)說(shuō),RAID技術(shù)的兩大特點(diǎn)是速度和安全。
1.2雙機(jī)熱備系統(tǒng)
從狹義上講,雙機(jī)熱備特指基于active/standby模式的服務(wù)器熱備。服務(wù)器數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)同時(shí)往兩臺(tái)或多臺(tái)服務(wù)器寫,或者使用一個(gè)共享的存儲(chǔ)設(shè)備。在同一時(shí)間內(nèi)只有一臺(tái)服務(wù)器運(yùn)行。當(dāng)其中運(yùn)行著的一臺(tái)服務(wù)器出現(xiàn)故障無(wú)法啟動(dòng)時(shí),另一臺(tái)備份服務(wù)器會(huì)通過(guò)軟件診測(cè)(一般是通過(guò)心跳診斷)將standby機(jī)器激活,保證應(yīng)用在短時(shí)間內(nèi)完全恢復(fù)正常使用。雙機(jī)熱備的工作機(jī)制實(shí)際上是為整個(gè)網(wǎng)絡(luò)系統(tǒng)的中心服務(wù)器提供了一種故障自動(dòng)恢復(fù)能力。
2、網(wǎng)絡(luò)安全保障體系
中心網(wǎng)絡(luò)由局域網(wǎng)、外部網(wǎng)兩大部分組成。因此,我們?yōu)榱私⑵饛?qiáng)大、穩(wěn)定、安全的網(wǎng)絡(luò),可從兩大安全層次著手設(shè)計(jì)與管理:局域網(wǎng)安全和外部網(wǎng)安全,這兩大層次結(jié)合起來(lái)才能構(gòu)成完善的網(wǎng)絡(luò)安全保障體系。
2.1應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)的安全主要是保護(hù)敏感數(shù)據(jù)數(shù)據(jù)不被未授權(quán)的用戶訪問(wèn)。并制訂出安全策略。包括身份認(rèn)證服務(wù);權(quán)限控制服務(wù);信息保密服務(wù);數(shù)據(jù)完整;完善的操作日志。這些服務(wù)互相關(guān)聯(lián)、互相支持,共同為本系統(tǒng)提供整體安全保障體系。
2.2數(shù)據(jù)安全
數(shù)據(jù)的安全主要體現(xiàn)在兩個(gè)方面,首先,是數(shù)據(jù)不會(huì)被非授權(quán)用戶訪問(wèn)或更該,其次,數(shù)據(jù)在遭到破壞時(shí)的恢復(fù)。
3應(yīng)用安全系統(tǒng)
資料永久保存,磁帶回復(fù)時(shí)間無(wú)嚴(yán)格限制。數(shù)據(jù)存儲(chǔ):磁盤陣列+磁帶庫(kù);Tier1=4TB HDD存放線上經(jīng)常使用的數(shù)據(jù);備份帶庫(kù):3TB定時(shí)定期備份所有數(shù)據(jù)。
3.1采用磁帶庫(kù)
磁帶庫(kù)具有如下優(yōu)點(diǎn):更高的價(jià)值;簡(jiǎn)化IT;集成的解決方案;靈活的數(shù)據(jù)存儲(chǔ)和轉(zhuǎn)移;多種接口選擇;AES256位嵌入式硬件加密和壓縮功能;用戶可自行維護(hù)和更換的組件;廣泛的兼容性測(cè)試;久經(jīng)考驗(yàn)的可靠性。 轉(zhuǎn)貼于
3.2數(shù)據(jù)備份軟件
3.2.1基于LAN備份方案
LAN是一種結(jié)構(gòu)簡(jiǎn)單,易于實(shí)現(xiàn)的備份方案,廣泛的存在于各中小企業(yè)中LAN方案在企業(yè)發(fā)展壯大過(guò)程中所發(fā)揮的作用一直被客戶所認(rèn)同。由于急救系統(tǒng)用戶數(shù)據(jù)量的巨大,基于LAN備份的弊端較突出:此方案對(duì)LAN的依賴非常強(qiáng);因?yàn)閮?nèi)部LAN為企業(yè)內(nèi)部辦公用網(wǎng)絡(luò),而LAN方案依賴現(xiàn)有網(wǎng)絡(luò)進(jìn)行備份恢復(fù)數(shù)據(jù)流的傳輸,所以必然會(huì)影響現(xiàn)有辦公網(wǎng)絡(luò)環(huán)境;基于LAN備份難于擴(kuò)展,因?yàn)樾枰砑哟鎯?chǔ)設(shè)備將導(dǎo)致繁忙的辦公網(wǎng)絡(luò)更加繁忙;管理困難是LAN備份的又一難題,因?yàn)樵O(shè)備分散于網(wǎng)絡(luò)各個(gè)環(huán)節(jié),使管理員進(jìn)行數(shù)據(jù)備份恢復(fù)及平時(shí)維護(hù)工作有一定難度。
3.2.2基于IPSAN的備份方案
基于IPSAN的備份方案,通過(guò)結(jié)合CBS備份管理軟件,將使備份恢復(fù)工作簡(jiǎn)單而有效。
備份網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)有效隔離開,備份數(shù)據(jù)不通過(guò)辦公網(wǎng)絡(luò)傳輸,而是直接通過(guò)IPSAN交換機(jī)與存儲(chǔ)設(shè)備進(jìn)行連接。
系統(tǒng)具備良好的擴(kuò)展性能,在現(xiàn)有基礎(chǔ)上,客戶能夠添加各種存儲(chǔ)設(shè)備(需支持ISCSI)。
根據(jù)客戶需要,可以實(shí)現(xiàn)D2D2T功能。將數(shù)據(jù)首先備份于速度較快的磁盤陣列上,加快備份的速度。再將數(shù)據(jù)從磁盤陣列備份到磁帶庫(kù)。
通過(guò)CBS備份管理軟件能夠集中管理其中各種設(shè)備,制定備份策略,安排備份時(shí)間,實(shí)現(xiàn)無(wú)人值守作業(yè),減輕管理員的工作量。下圖為CBS備份框架。
備份服務(wù)器作為整個(gè)CBS備份架構(gòu)的中心,實(shí)現(xiàn)管理功能。
4告警控制系統(tǒng)
通訊指揮系統(tǒng)出現(xiàn)故障時(shí)自動(dòng)告警提示,確保系統(tǒng)安全運(yùn)行。2M口通訊故障告警、網(wǎng)絡(luò)通訊故障告警、終端網(wǎng)絡(luò)斷開告警、電話到達(dá)告警、定時(shí)放音、擴(kuò)音、報(bào)時(shí)控制,也可自動(dòng)循環(huán)播放、電源出現(xiàn)故障可自動(dòng)向受理臺(tái)告警。
警告系統(tǒng)整體性能:輸入:8-32通道,8通道遞增;電源輸入:AC 180V-250V 50Hz;控制通道輸入及輸出:AC
5總結(jié)
隨著數(shù)據(jù)管理與控制信息化綜合系統(tǒng)的不斷完善,對(duì)服務(wù)器數(shù)據(jù)的安全要求也越來(lái)越高,論文就如何保障急救指揮中心證服務(wù)器數(shù)據(jù)的安全,論文從數(shù)據(jù)物理安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)安全、告警控制系統(tǒng)等方面論述了應(yīng)采取的安全防范措施。對(duì)保障網(wǎng)絡(luò)指揮中心數(shù)據(jù)安全具有指導(dǎo)性的作用。
參考文獻(xiàn)
[1]何全勝,姚國(guó)祥.網(wǎng)絡(luò)安全需求分析及安全策略研究.計(jì)算機(jī)工程,2000,(06).
