控制系統(tǒng)網(wǎng)絡(luò)安全大全11篇
時(shí)間:2023-03-08 15:05:23緒論:寫作既是個(gè)人情感的抒發(fā),也是對(duì)學(xué)術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇控制系統(tǒng)網(wǎng)絡(luò)安全范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
關(guān)鍵詞:
工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;防護(hù)體系
0引言
工業(yè)控制系統(tǒng)是我國工業(yè)領(lǐng)域建設(shè)中的重要組成部分,在我國現(xiàn)代化工業(yè)生產(chǎn)與管理中占有重要地位。隨著近年來我國工業(yè)信息化、自動(dòng)化、智能化的創(chuàng)新與發(fā)展,工業(yè)控制系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)化、智能化、數(shù)字化發(fā)展趨勢(shì),并在我國工業(yè)領(lǐng)域各行業(yè)控制機(jī)制中,如能源開發(fā)、水文建設(shè)、機(jī)械制作生產(chǎn)、工業(yè)產(chǎn)品運(yùn)輸?shù)鹊玫搅藦V泛應(yīng)用。因此,在網(wǎng)絡(luò)安全隱患頻發(fā)的背景下,對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的研究與分析具有重要現(xiàn)實(shí)意義,已成為當(dāng)今社會(huì)關(guān)注的重點(diǎn)內(nèi)容之一。
1工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(IndustrialControlSystem,ICS)是由一定的計(jì)算機(jī)設(shè)備與各種自動(dòng)化控制組件、工業(yè)信息數(shù)據(jù)采集、生產(chǎn)與監(jiān)管過程控制部件共同構(gòu)成且廣泛應(yīng)用與工業(yè)生產(chǎn)與管理建設(shè)中的一種控制系統(tǒng)總稱[1]。工業(yè)控制系統(tǒng)體系在通常情況下,大致可分為五個(gè)部分,分別為“工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)部分”、“可編程邏輯控制器/遠(yuǎn)程控制終端系統(tǒng)部分(PLC/RTU)”、“分布式控制系統(tǒng)部分(DCS)”、“數(shù)據(jù)采集與監(jiān)管系統(tǒng)部分(SCADA)”以及“企業(yè)整體信息控制系統(tǒng)(EIS)”[2]。近年來,在互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)技術(shù)、電子通信技術(shù)以及控制技術(shù),不斷創(chuàng)新與廣泛應(yīng)用的推動(dòng)下,工業(yè)控制系統(tǒng)已經(jīng)實(shí)現(xiàn)了由傳統(tǒng)機(jī)械操作控制到網(wǎng)絡(luò)化控制模式的發(fā)展,工業(yè)控制系統(tǒng)的結(jié)構(gòu)核心由最初的“計(jì)算機(jī)集約控制系統(tǒng)(CCS)”轉(zhuǎn)換為“分散式控制系統(tǒng)(DCS)”,并逐漸趨向于“生產(chǎn)現(xiàn)場(chǎng)一體化控制系統(tǒng)(FCS)”的創(chuàng)新與改革發(fā)展。目前,隨著我國工業(yè)領(lǐng)域的高速發(fā)展,工業(yè)控制系統(tǒng)已經(jīng)被廣泛應(yīng)用到水利建設(shè)行業(yè)、鋼鐵行業(yè)、石油化工行業(yè)、交通建設(shè)行業(yè)、城市電氣工程建設(shè)行業(yè)、環(huán)境保護(hù)等眾多領(lǐng)域與行業(yè)中,其安全性、穩(wěn)定性、優(yōu)化性運(yùn)行對(duì)我國經(jīng)濟(jì)發(fā)展與社會(huì)穩(wěn)定具有重要影響作用。
2工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全威脅
2.1工業(yè)控制系統(tǒng)本身存在的問題
由于工業(yè)控制系統(tǒng)是一項(xiàng)綜合性、技術(shù)復(fù)雜性的控制體系,且應(yīng)用領(lǐng)域相對(duì)較廣。因此,在設(shè)計(jì)與應(yīng)用過程中對(duì)工作人員具有較高的要求,從而導(dǎo)致系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患。
2.2外界網(wǎng)絡(luò)風(fēng)險(xiǎn)滲透問題
目前,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用,已成為時(shí)展的必然趨勢(shì),在各領(lǐng)域中應(yīng)用工業(yè)控制系統(tǒng)時(shí),對(duì)于數(shù)據(jù)信息的采集、分析與管理,需要工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)系統(tǒng)進(jìn)行一定的鏈接或遠(yuǎn)程操控。在這一過程中,工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中,而目前公共網(wǎng)絡(luò)環(huán)境仍存在一定的網(wǎng)絡(luò)信息安全問題,這在一定程度上將會(huì)導(dǎo)致工業(yè)控制系統(tǒng)受到來自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及人為惡意干擾等因素的影響,從而出現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。例如,“百度百科”網(wǎng)站,通過利用SHODAN引擎進(jìn)行OpenDirectory搜索時(shí),將會(huì)獲得八千多個(gè)處于公共網(wǎng)絡(luò)環(huán)境下與“工業(yè)控制系統(tǒng)”相關(guān)的信息,一旦出現(xiàn)黑客或人為惡意攻擊,將為網(wǎng)站管理系統(tǒng)帶來嚴(yán)重的影響[3]。
2.3OPC接口開放性以及協(xié)議漏洞存在的問題
由于工業(yè)控制系統(tǒng)中,其網(wǎng)絡(luò)框架多是基于“以太網(wǎng)”進(jìn)行構(gòu)建的,因此,在既定環(huán)境下,工業(yè)過程控制標(biāo)準(zhǔn)OPC(Ob-jectLinkingandEmbeddingforProcessControl)具有較強(qiáng)的開放性[4]。當(dāng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行操作時(shí),基于OPC的數(shù)據(jù)采集與傳輸接口有效網(wǎng)絡(luò)信息保護(hù)舉措的缺失,加之OPC協(xié)議、TCP/IP協(xié)議以及其他專屬代碼中存在一定的漏洞,且其漏洞易受外界不確定性風(fēng)險(xiǎn)因素的攻擊與干擾,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2.4工業(yè)控制系統(tǒng)脆弱性問題
目前,我國多數(shù)工業(yè)控制系統(tǒng)內(nèi)部存在一定的問題,致使工業(yè)控制系統(tǒng)具有“脆弱性”特征,例如,網(wǎng)絡(luò)配置問題、網(wǎng)絡(luò)設(shè)備硬件問題、網(wǎng)絡(luò)通信問題、無線連接問題、網(wǎng)絡(luò)邊界問題、網(wǎng)絡(luò)監(jiān)管問題等等[5]。這些問題,在一定程度上為網(wǎng)絡(luò)信息風(fēng)險(xiǎn)因素的發(fā)生提供了可行性,從而形成工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。
3加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的建議
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅需要加強(qiáng)相關(guān)技術(shù)的研發(fā)與利用,同時(shí)也需要相關(guān)部門(如,設(shè)備生產(chǎn)廠家、政府結(jié)構(gòu)、用戶等)基于自身實(shí)際情況與優(yōu)勢(shì)加以輔助,從而實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系多元化、全方位的構(gòu)建。
3.1強(qiáng)化工業(yè)控制系統(tǒng)用戶使用安全防護(hù)能力
首先,構(gòu)建科學(xué)且完善的網(wǎng)絡(luò)防護(hù)安全策略:安全策略作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)與執(zhí)行的重要前提條件,對(duì)保證工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全性具有重要指導(dǎo)作用。對(duì)此,相關(guān)工作人員應(yīng)在結(jié)合當(dāng)今工業(yè)控制系統(tǒng)存在的“脆弱性”問題,在依據(jù)傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建策略優(yōu)勢(shì)的基礎(chǔ)上,有針對(duì)性的制定一系列網(wǎng)絡(luò)防護(hù)安全策略,用以保證工業(yè)控制系統(tǒng)安全設(shè)計(jì)、操作、管理、養(yǎng)護(hù)維修規(guī)范化、系統(tǒng)化、全面化、標(biāo)準(zhǔn)化施行。例如,基于傳統(tǒng)網(wǎng)絡(luò)安全策略——補(bǔ)丁管理,結(jié)合工業(yè)控制系統(tǒng)實(shí)際需求,對(duì)工業(yè)控制系統(tǒng)核心系統(tǒng)進(jìn)行“補(bǔ)丁升級(jí)”,用以彌補(bǔ)工業(yè)控制系統(tǒng)在公共網(wǎng)絡(luò)環(huán)境下存在的各項(xiàng)漏洞危機(jī)[6]。在此過程中,設(shè)計(jì)人員以及相關(guān)工作者應(yīng)通過“試驗(yàn)測(cè)驗(yàn)”的方式,為工業(yè)控制系統(tǒng)營造仿真應(yīng)用環(huán)境,并在此試驗(yàn)環(huán)境中對(duì)系統(tǒng)進(jìn)行反復(fù)測(cè)驗(yàn)、審核、評(píng)價(jià),并對(duì)系統(tǒng)核心配置、代碼進(jìn)行備份處理,在保證補(bǔ)丁的全面化升級(jí)的同時(shí),降低升級(jí)過程中存在的潛在風(fēng)險(xiǎn)。其次,注重工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離防護(hù)體系的構(gòu)建:網(wǎng)絡(luò)隔離防護(hù)的構(gòu)建與執(zhí)行,對(duì)降低工業(yè)控制系統(tǒng)外界風(fēng)險(xiǎn)具有重要意義。對(duì)此,相關(guān)設(shè)計(jì)與工作人員應(yīng)在明確認(rèn)知與掌握工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)目標(biāo)的基礎(chǔ)上,制定相應(yīng)的網(wǎng)絡(luò)隔離防護(hù)方案,并給予有效應(yīng)用。通常情況下,工業(yè)控制系統(tǒng)設(shè)計(jì)人員應(yīng)依據(jù)不同領(lǐng)域中工業(yè)控制系統(tǒng)類型與應(yīng)用需求,對(duì)系統(tǒng)所需設(shè)備進(jìn)行整理,并依據(jù)整理內(nèi)容進(jìn)行具體測(cè)評(píng)與調(diào)試,用以保證各結(jié)構(gòu)設(shè)備作用與性能的有效發(fā)揮,避免出現(xiàn)設(shè)備之間搭配與連接不和諧等問題的產(chǎn)生;根據(jù)工業(yè)控制系統(tǒng)功能關(guān)鍵點(diǎn)對(duì)隔離防護(hù)區(qū)域進(jìn)行分類與規(guī)劃(包括工業(yè)控制系統(tǒng)內(nèi)網(wǎng)區(qū)域、工業(yè)控制系統(tǒng)外部區(qū)域、工業(yè)控制系統(tǒng)生產(chǎn)操作區(qū)域、工業(yè)控制系統(tǒng)安全隔離區(qū)域等),并針對(duì)不同區(qū)域情況與待保護(hù)程度要求,采用相應(yīng)的舉措進(jìn)行改善,實(shí)現(xiàn)不同風(fēng)險(xiǎn)的不同控制[7]。與此同時(shí),構(gòu)建合理、有效的物理層防護(hù)體系:實(shí)踐證明,物理層防護(hù)體系的構(gòu)建(物理保護(hù)),對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有至關(guān)重要的作用,是工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全管理與建設(shè)的重要基礎(chǔ)項(xiàng)目,也是核心項(xiàng)目,對(duì)工業(yè)控制和系統(tǒng)網(wǎng)絡(luò)防護(hù)體系整體效果的優(yōu)化,具有決定性作用。因此,在進(jìn)行工業(yè)控制防護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系優(yōu)化設(shè)計(jì)時(shí),設(shè)計(jì)人員以及相關(guān)企業(yè)應(yīng)注重對(duì)工業(yè)控制系統(tǒng)物理層的完善與優(yōu)化。例如,通過配置企業(yè)門禁體系,用以避免外來人員對(duì)工業(yè)現(xiàn)場(chǎng)的侵害;依據(jù)企業(yè)特色,配設(shè)相應(yīng)的生產(chǎn)應(yīng)急設(shè)備,如備用發(fā)電機(jī)、備用操作工具、備用電線、備用油庫等,用以避免突發(fā)現(xiàn)象導(dǎo)致設(shè)計(jì)或生產(chǎn)出現(xiàn)問題;通過配置一定的監(jiān)測(cè)管理方案或設(shè)施,對(duì)系統(tǒng)進(jìn)行一體化監(jiān)管,用以及時(shí)發(fā)現(xiàn)問題(包括自然風(fēng)險(xiǎn)因素、設(shè)備生產(chǎn)安全風(fēng)險(xiǎn)因素等)并解決問題,保證工業(yè)控制系統(tǒng)運(yùn)行的優(yōu)化性。此外,加強(qiáng)互聯(lián)網(wǎng)滲透與分析防治:設(shè)計(jì)工作人員為避免工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)滲透安全威脅問題,可通過換位思考的形式,對(duì)已經(jīng)設(shè)計(jì)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行測(cè)評(píng),并從對(duì)方的角度進(jìn)行思考,制定防護(hù)對(duì)策,用以提升工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全性。
3.2強(qiáng)化工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)網(wǎng)絡(luò)安全防護(hù)能力
工業(yè)控制系統(tǒng)生產(chǎn)企業(yè),作為工業(yè)控制系統(tǒng)的研發(fā)者與生產(chǎn)者,應(yīng)提升自身對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)的重視程度,從而在生產(chǎn)過程中保證工業(yè)控制系統(tǒng)的質(zhì)量。與此同時(shí),系統(tǒng)生產(chǎn)企業(yè)在引進(jìn)先進(jìn)設(shè)計(jì)技術(shù)與經(jīng)驗(yàn)的基礎(chǔ)上,強(qiáng)化自身綜合能力與開發(fā)水平,保證工業(yè)控制系統(tǒng)緊跟時(shí)展需求,推動(dòng)工業(yè)控制系統(tǒng)不斷創(chuàng)新,從根源上降低工業(yè)控制系統(tǒng)自身存在安全風(fēng)險(xiǎn)。
3.3加大政府扶持與監(jiān)管力度
由上述分析可知,工業(yè)控制系統(tǒng)在我國各領(lǐng)域各行業(yè)中具有廣泛的應(yīng)用,并占據(jù)著重要的地位,其安全性、穩(wěn)定性、創(chuàng)新性、優(yōu)化性對(duì)我國市場(chǎng)經(jīng)濟(jì)發(fā)展與社會(huì)的穩(wěn)定具有直接影響作用。由此可見,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建,不僅是各企業(yè)內(nèi)部組織結(jié)構(gòu)體系創(chuàng)新建設(shè)問題,政府以及社會(huì)等外部體系的構(gòu)建同樣具有重要意義。對(duì)此,政府以及其他第三方結(jié)構(gòu)應(yīng)注重自身社會(huì)責(zé)任的執(zhí)行,加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)體系環(huán)境的管理與監(jiān)督,促進(jìn)工業(yè)控制系統(tǒng)安全防護(hù)外部體系的構(gòu)建。例如,通過制定相應(yīng)的網(wǎng)絡(luò)安全運(yùn)行規(guī)范與行為懲罰措施,用以避免互聯(lián)網(wǎng)惡意破壞行為的發(fā)生;通過制定行業(yè)網(wǎng)絡(luò)安全防護(hù)機(jī)制與準(zhǔn)則,嚴(yán)格控制工業(yè)控制系統(tǒng)等基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全性,加大自身維權(quán)效益。
4結(jié)論
綜上所述,本文針對(duì)“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系”課題研究的基礎(chǔ)上,分析了工業(yè)控制系統(tǒng)以及當(dāng)今工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全問題,并在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的基礎(chǔ)上,提供了加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)的優(yōu)化對(duì)策,以期對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全具有更明確的認(rèn)知與理解,從而促進(jìn)我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的優(yōu)化發(fā)展。
參考文獻(xiàn):
[1]王棟,陳傳鵬,顏佳,郭靚,來風(fēng)剛.新一代電力信息網(wǎng)絡(luò)安全架構(gòu)的思考[J].電力系統(tǒng)自動(dòng)化,2016(2):6-11.
[2]薛訓(xùn)明,楊波,汪飛,郭磊,唐皓辰.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望,2016(14):264-265.
[3]劉凱俊,錢秀檳,劉海峰,趙章界,李智林.首都城市關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全保障探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016(5):81-86.
[4]羅常.工業(yè)控制系統(tǒng)信息安全防護(hù)體系在電力系統(tǒng)中的應(yīng)用研究[J].機(jī)電工程技術(shù),2016(12):97-100.
[5]劉秋紅.關(guān)于構(gòu)建信息安全防護(hù)體系的思考——基于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)[J].技術(shù)與市場(chǎng),2013(6):314.
篇(2)
0 引言
對(duì)于電力部門來說,保奧運(yùn),確保電網(wǎng)和系統(tǒng)安全,是目前各發(fā)電集團(tuán)公司、國家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護(hù)電力業(yè)務(wù)系統(tǒng)的安全,其核心在于保護(hù)電力數(shù)據(jù)的安全,包括數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩S绊戨娏ο到y(tǒng)網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的,也可能是無意的誤操作;可能是人為的或是非人為的;也有可能是內(nèi)部或外來攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用。
電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)相對(duì)封閉,電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。但是,隨著近年來與外界接口的增加,特別是與政府、金融機(jī)構(gòu)等合作單位中間業(yè)務(wù)的接口、網(wǎng)上服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展,其安全問題不僅僅局限于內(nèi)部事件了,來自外界的攻擊也越來越多,已經(jīng)成為電力系統(tǒng)不可忽視的威脅來源。但是,據(jù)我所知,未來電力系統(tǒng)網(wǎng)上服務(wù)所采用的策略一般是由各省公司做統(tǒng)一對(duì)外服務(wù)出口,各級(jí)分局或電力公司和電廠將沒有對(duì)外出口;從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看,除大量現(xiàn)存的C/S結(jié)構(gòu)以外,還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。所以,對(duì)于電力系統(tǒng)整體來說,主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)中通訊、信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅,造成電力系統(tǒng)癱瘓。對(duì)于電力系統(tǒng)來說,主要是保護(hù)電力業(yè)務(wù)系統(tǒng)的安全,其核心在于保護(hù)電力數(shù)據(jù)的安全,包括數(shù)據(jù)存儲(chǔ),數(shù)據(jù)傳輸?shù)陌踩?/p>
1 電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅
(1)人為的無意失誤
如果網(wǎng)絡(luò)安全配置不當(dāng)造成的安全漏洞,包括安全意識(shí)、用戶口令、賬號(hào)、共享信息資源等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。主機(jī)存在系統(tǒng)漏洞,通過電力網(wǎng)絡(luò)入侵系統(tǒng)主機(jī),并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器,進(jìn)而對(duì)整個(gè)電力系統(tǒng)造成很大的威脅。
(2)人為的惡意攻擊
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的可用性和完整性;另一類是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成直接的極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn),針對(duì)windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80%的計(jì)算機(jī)造成了破壞,安徽省省電力公司系統(tǒng)內(nèi)也有多個(gè)供電企業(yè)的信息系統(tǒng)遭到病毒的破壞,這一事件給網(wǎng)絡(luò)安全再次敲響了警鐘!
2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式
電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個(gè)非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故,二次系統(tǒng)的崩潰或癱瘓,以及有關(guān)信息管理系統(tǒng)的癱瘓。必須提出針對(duì)以上事故的各種應(yīng)急預(yù)案。 隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多,要求在業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來越多,對(duì)電力網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。其安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式如下:
(1)UNIX和Windows主機(jī)操作系統(tǒng)存在安全漏洞。
(2)Oracle,Sybase、MS SQL等主要關(guān)系型數(shù)據(jù)庫的自身安全漏洞。
(3)重要應(yīng)用系統(tǒng)的安全漏洞,如:MS IIS或Netscape WEB服務(wù)應(yīng)用的“緩存區(qū)溢出”等,使得攻擊者輕易獲取超級(jí)用戶權(quán)限。核心的網(wǎng)絡(luò)設(shè)備,如路由器、交換機(jī)、訪問服務(wù)器、防火墻存在安全漏洞。
(4)利用TCP/IP等網(wǎng)絡(luò)協(xié)議自身的弱點(diǎn)(DDOS分布式拒絕服務(wù)攻擊),導(dǎo)致網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)中打開大量的服務(wù)端口(女IIRPC、FTP、TELNET、SMTP、FINGER等),容易被攻擊者利用。黑客攻擊工具非常容易獲得,并可以輕易實(shí)施各類黑客攻擊,如:特洛伊木馬、蠕蟲、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、同時(shí)可利用ActiveX、Java、JavaScript、VBS等實(shí)施攻擊。造成網(wǎng)絡(luò)的癱瘓和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡(luò)中非法安裝和使用未授權(quán)軟件。對(duì)網(wǎng)絡(luò)性能和業(yè)務(wù)造成直接影響。系統(tǒng)及網(wǎng)絡(luò)設(shè)備的策略(如防火墻等)配置不當(dāng)。
(5)關(guān)鍵主機(jī)系統(tǒng)及數(shù)據(jù)文件被篡改或誤改,導(dǎo)致系統(tǒng)和數(shù)據(jù)不可用,業(yè)務(wù)中斷等。
(6)分組協(xié)議里的閉合用戶群并不安全,信任關(guān)系可能被黑客利用。
(7)應(yīng)用軟件的潛在設(shè)計(jì)缺陷。
(8)在內(nèi)部有大批的對(duì)內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)相當(dāng)熟悉的人員,據(jù)統(tǒng)計(jì),70%以上的成功攻擊來自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡(luò)互通存在著極大的風(fēng)險(xiǎn)。
(9)雖然將來由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務(wù),但很多分局和分公司仍允許以撥號(hào)、DDN專線、ISDN等方式單獨(dú)接入互聯(lián)網(wǎng),存在著由多個(gè)攻擊入口進(jìn)入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全,如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點(diǎn)等,技術(shù)人員的忠誠度和穩(wěn)定性,將直接關(guān)系到系統(tǒng)安全。
(10)各局使用的OA辦公自動(dòng)化系統(tǒng)大量使用諸如WINDOWS操作系統(tǒng),可能存在安全的薄弱環(huán)節(jié),并且有些分局可能提供可拷貝腳本式的撥號(hào)服務(wù),撥入網(wǎng)絡(luò)后,即可到達(dá)電力的內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。
系統(tǒng)為電力客戶提供方便服務(wù)的同時(shí),數(shù)據(jù)的傳輸在局外網(wǎng)絡(luò)和局內(nèi)局域網(wǎng)絡(luò)的傳輸中極有可能被竊取,通過 Sniffer 網(wǎng)絡(luò)偵聽極易獲得超級(jí)用戶的密碼。
3 系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)基本控制策略
針對(duì)電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性,電力安全方案要能抵御通過各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊,防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故,二次系統(tǒng)的崩潰或癱瘓,以及有關(guān)信息管理系統(tǒng)的癱瘓。總體來說,電力系統(tǒng)安全解決方案的總體策略如下:
(1)分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度,按其性質(zhì)可劃分為實(shí)時(shí)控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個(gè)安全區(qū)域,重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi),納入統(tǒng)一的安全防護(hù)方案。
(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護(hù)。
(3)網(wǎng)絡(luò)專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò),實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離,并通過采用MPLS-VPN形成多個(gè)相互邏輯隔離的IPSEC VPN,實(shí)現(xiàn)多層次的保護(hù)。
(4)設(shè)備獨(dú)立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡(luò)交換機(jī)設(shè)備。
(5)縱向防護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。
4 電力系統(tǒng)的網(wǎng)絡(luò)安全解決方案
針對(duì)電力網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡(luò)設(shè)備;保護(hù)電力數(shù)據(jù)中心及其設(shè)備中心的網(wǎng)絡(luò)、服務(wù)器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離,并且制定科學(xué)的安全策略;制定權(quán)限管理――這是對(duì)應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全保障;考慮網(wǎng)絡(luò)上設(shè)備安裝后仍然可能存在的安全漏洞,并制定相應(yīng)措施策略。
(1)在網(wǎng)絡(luò)設(shè)備的安全管理方面,將所有網(wǎng)絡(luò)設(shè)備上的Console口加設(shè)密碼進(jìn)行屏蔽,配置管理全部采用DUT-BAND帶外方式,并對(duì)每個(gè)被管理的設(shè)備均設(shè)置相應(yīng)的帳戶和口令,只有網(wǎng)絡(luò)管理員具有對(duì)網(wǎng)絡(luò)設(shè)備訪問配置和更改密碼的權(quán)力。
(2)存網(wǎng)管中心通過劃分不同安全區(qū)域來規(guī)范管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò),從邏輯上把每個(gè)部門的資源獨(dú)立成一個(gè)安全區(qū)域,對(duì)安全區(qū)域的劃分基于安全性策略或規(guī)則,使區(qū)域的劃分更具安全性。網(wǎng)絡(luò)管理員可根據(jù)用戶需求,把某些共享資源分配到單獨(dú)的安全區(qū)域中,并控制區(qū)域之間的訪問。
(3)VPN和IPsec加密的使用。電力網(wǎng)絡(luò)將通過MPLS VPN把跨骨干的廣域網(wǎng)絡(luò)變成自己的私有網(wǎng)絡(luò)。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會(huì)對(duì)數(shù)據(jù)的完整與安全構(gòu)成潛在危險(xiǎn),在數(shù)據(jù)進(jìn)入MPLSVPN網(wǎng)絡(luò)之前首先經(jīng)過IPsec加密,在離開VPN網(wǎng)絡(luò)后又再進(jìn)行IPsec解密。
(4)通過網(wǎng)絡(luò)設(shè)置控制網(wǎng)絡(luò)的安全。在交換機(jī)、路由器、數(shù)據(jù)庫和各種認(rèn)證上,層層進(jìn)行安全設(shè)置,從而確保整個(gè)網(wǎng)絡(luò)的安全。
(5)通過專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。
(6)進(jìn)行黑客防范配置。通過信息檢測(cè)、攻擊檢測(cè)、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置,對(duì)黑客進(jìn)行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進(jìn)行監(jiān)控使用,也可以部署在服務(wù)器的前端作為防攻擊的IPS產(chǎn)品使用,前題是保障網(wǎng)絡(luò)的安全性。
5 電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全解決方案
外部攻擊影響巨大,但內(nèi)部攻擊危害巨大,為了解決內(nèi)網(wǎng)安全問題,在一個(gè)電力/電廠系統(tǒng)的局域網(wǎng)內(nèi)部,可以使用防火墻對(duì)不同的網(wǎng)段進(jìn)行隔離,并且使用IPS設(shè)備對(duì)關(guān)鍵應(yīng)用進(jìn)行監(jiān)控和保護(hù)。同時(shí),使用IPS設(shè)備架設(shè)在相應(yīng)的安全區(qū)域,保證訪問電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性,可審計(jì)性以及防止惡意流量的攻擊。并且實(shí)現(xiàn)以下的主要目的:
(1)網(wǎng)絡(luò)安全:防火墻可以允許合法用戶的訪問以及限制其正常的訪問,禁止非法用戶的試圖訪問。
(2)防火墻負(fù)載均衡:網(wǎng)絡(luò)安全性越來越成為電力系統(tǒng)擔(dān)心的問題了,網(wǎng)絡(luò)安全已經(jīng)成為了關(guān)鍵部門關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問的常用方法。
(3)服務(wù)器負(fù)載均衡:執(zhí)行一定的負(fù)載均衡算法,可以針對(duì)電廠內(nèi)關(guān)鍵的服務(wù)器群動(dòng)態(tài)分配負(fù)載。
6 廣域網(wǎng)整體安全解決方案
對(duì)于整個(gè)廣域網(wǎng),為了端對(duì)端,局對(duì)局的安全性,本著不受他系統(tǒng)影響/不影響他系統(tǒng)的安全原則,可對(duì)防火墻以及IPS設(shè)備進(jìn)行分布式部署。
通過過濾的規(guī)則設(shè)置可以使得我們方便地控制網(wǎng)絡(luò)內(nèi)部資源對(duì)外的開放程度,特別是針對(duì)國家電網(wǎng)公司、當(dāng)?shù)卣约癐nternet僅僅開放某個(gè)IP的特殊端口,有效地限制黑客的侵入。
通過過濾、IP地址以及客戶端認(rèn)證等規(guī)則的應(yīng)用,可以確定不同的內(nèi)部用戶享受不同的訪問外部資源的級(jí)別,對(duì)于內(nèi)部用戶嚴(yán)格區(qū)分網(wǎng)段,而且可以利用獨(dú)特的內(nèi)置LDAP的功能對(duì)客戶端進(jìn)行認(rèn)證。通過這種方式可以有效地限制內(nèi)部用戶主動(dòng)將信息通過網(wǎng)絡(luò)向外界傳遞。
雙機(jī)熱備(負(fù)載均衡):為了提高系統(tǒng)的可靠性,通過監(jiān)控設(shè)備的CPU Loading來確認(rèn)誰轉(zhuǎn)發(fā)流量,極大的提高了防火墻的吞吐量。
友好的用戶界面:只需作簡單的培訓(xùn),用戶即可進(jìn)行規(guī)則配置、系統(tǒng)管理、統(tǒng)計(jì)。
7 參考文獻(xiàn)
[1] 《StoneSoft電力系統(tǒng)網(wǎng)絡(luò)安全解決方案》StoneSoft
公司,2005。
[2] 王桂娟,張漢君。《網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析》[J].中南民族
大學(xué)學(xué)報(bào),2007,(11)。
[3] 陳 偉、鮑 慧.《電力系統(tǒng)網(wǎng)絡(luò)安全體系研究》[丁].電
篇(3)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)已向網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)發(fā)展,這是企業(yè)管理手段的巨大進(jìn)步,但同時(shí)也給企業(yè)內(nèi)部安全控制帶來了新的問題和挑戰(zhàn),具體表現(xiàn)在:
(一)授權(quán)方式的改變和系統(tǒng)程序質(zhì)量的依賴性不利于安全風(fēng)險(xiǎn)的控制在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)中,權(quán)限分工采用的主要形式是口令授權(quán),而口令存放于計(jì)算機(jī)系統(tǒng)內(nèi),一旦口令被人竊取,便會(huì)帶來巨大的安全隱患。如會(huì)計(jì)人員被客戶收買后,竊取口令并登錄系統(tǒng),非法核銷客戶的應(yīng)收款及相關(guān)資料;銷售人員竊得顧客訂單口令,開出假訂單,騙走企業(yè)產(chǎn)品等。網(wǎng)絡(luò)會(huì)計(jì)的安全控制在一定程度上取決于系統(tǒng)中運(yùn)行的應(yīng)用程序的質(zhì)量。一旦程序中存在嚴(yán)重的錯(cuò)誤,便會(huì)危害系統(tǒng)安全。而會(huì)計(jì)人員的計(jì)算機(jī)專業(yè)知識(shí)有限,很難及時(shí)發(fā)現(xiàn)這些漏洞,致使系統(tǒng)會(huì)多次重復(fù)同一錯(cuò)誤而擴(kuò)大損失。
(二)電子商務(wù)的普及和會(huì)計(jì)信息的偽造導(dǎo)致網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)安全控制的新難題IT技術(shù)迅猛發(fā)展,網(wǎng)上交易愈加普遍,電子商務(wù)逐步普及。企業(yè)在利用Intemet網(wǎng)尋找潛在貿(mào)易伙伴、完成網(wǎng)上交易的同時(shí),也將自己暴露于風(fēng)險(xiǎn)之中。一旦企業(yè)的全部原始憑證采用數(shù)字格式,實(shí)現(xiàn)電子化,極易被修改甚至偽造而不留任何痕跡,勢(shì)必將加強(qiáng)企業(yè)對(duì)網(wǎng)上公證機(jī)構(gòu)的依賴,電子單據(jù)的信息保真將顯得特別重要。但目前相關(guān)技術(shù)還不完全成熟、相應(yīng)法規(guī)并不完善,這將給系統(tǒng)安全控制造成極大的困難。
(三)會(huì)計(jì)信息儲(chǔ)存方式和媒介的變化缺乏會(huì)計(jì)業(yè)務(wù)的有效牽制網(wǎng)絡(luò)會(huì)計(jì)采用高度電子化的交易方式,對(duì)數(shù)據(jù)的正確性、交易及其軌跡均帶來新的變化。原始憑證在網(wǎng)絡(luò)業(yè)務(wù)交易時(shí)自動(dòng)產(chǎn)生并存入計(jì)算機(jī),交易的全過程均在電子媒介上建立、運(yùn)算與維護(hù),而且大量的數(shù)據(jù)錄入和交易發(fā)生在企業(yè)外部;網(wǎng)絡(luò)會(huì)計(jì)使會(huì)計(jì)介質(zhì)繼續(xù)發(fā)生變化,更多的介質(zhì)將電子化,出現(xiàn)各種發(fā)票、結(jié)算單等電子單據(jù)。存貯形式主要以網(wǎng)絡(luò)頁面數(shù)據(jù)存貯,網(wǎng)頁數(shù)據(jù)只能在計(jì)算機(jī)及相應(yīng)的程序中閱讀。由于計(jì)算機(jī)的自動(dòng)高效使工作人員減少,各種手續(xù)被合并到一起由計(jì)算機(jī)統(tǒng)一執(zhí)行,從而不能像手工方式下一筆業(yè)務(wù)要經(jīng)過幾道審查后才能被確認(rèn)而相互牽制,成為內(nèi)部控制的安全隱患。
(四)網(wǎng)絡(luò)環(huán)境的開放性和動(dòng)態(tài)性加劇會(huì)計(jì)信息失真的風(fēng)險(xiǎn)網(wǎng)絡(luò)技術(shù)是IT發(fā)展的方向,特別是Inlemet在財(cái)務(wù)軟件中的應(yīng)用使得會(huì)計(jì)信息系統(tǒng)向網(wǎng)絡(luò)化方向發(fā)展。但在開放的網(wǎng)絡(luò)環(huán)境中,大量的會(huì)計(jì)信息通過Internet傳遞,各種服務(wù)器上的信息在理論上都可以被訪問,除非物理上斷開連接,否則就存在被截取、篡改、泄漏甚至黑客或病毒的惡意侵?jǐn)_等安全風(fēng)險(xiǎn)。盡管信息傳遞的無紙化可有效避免人為原因?qū)е碌男畔⑹д娆F(xiàn)象,但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。南于缺乏有效的確認(rèn)標(biāo)識(shí),信息接受方懷疑所獲取財(cái)務(wù)信息的真實(shí)性;信息發(fā)送方也擔(dān)心所傳遞的信息能否被接受方正確識(shí)別并下載,加大了網(wǎng)絡(luò)會(huì)計(jì)安全控制的難度。
(五)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的復(fù)雜性加大稽核與審計(jì)的難度網(wǎng)絡(luò)是一個(gè)由計(jì)算機(jī)硬件、軟件、操作人員和各種規(guī)程構(gòu)成的復(fù)雜系統(tǒng),該系統(tǒng)將許多不相容職責(zé)相對(duì)集中,加大了舞弊的風(fēng)險(xiǎn);信息來源的多樣性,有可能導(dǎo)致審計(jì)線索紊亂;系統(tǒng)設(shè)計(jì)主要強(qiáng)調(diào)會(huì)計(jì)核算的要求,很少考慮審計(jì)工作的需要,往往導(dǎo)致系統(tǒng)留下的審計(jì)線索很少,稽核與審計(jì)必須運(yùn)用更復(fù)雜的查核技術(shù),且要花費(fèi)更多的時(shí)間和更高的代價(jià),這無疑將加大稽核與審計(jì)的難度和成本。
二、網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的安全控制對(duì)策
網(wǎng)絡(luò)技術(shù)在會(huì)計(jì)信息系統(tǒng)中的應(yīng)用,豐富了會(huì)計(jì)信息系統(tǒng)的功能,促進(jìn)了會(huì)計(jì)工作效率的提高。但安全問題若不能及時(shí)有效地得到解決,必將限制網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的發(fā)展與應(yīng)用。網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全控制的對(duì)策主要有:
(一)做好法律、政策上的相關(guān)保障為了對(duì)付計(jì)算機(jī)犯罪,保護(hù)會(huì)計(jì)信息使用者的權(quán)益,國家應(yīng)制定并實(shí)施計(jì)算機(jī)安全及數(shù)據(jù)保護(hù)法律,從宏觀上加強(qiáng)對(duì)信息系統(tǒng)的控制,為網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)提供一個(gè)良好的社會(huì)環(huán)境;盡快建立和完善電子商務(wù)法律法規(guī),制定網(wǎng)絡(luò)會(huì)計(jì)環(huán)境下的有關(guān)會(huì)計(jì)準(zhǔn)則,規(guī)范網(wǎng)上交易的購銷、支付及核算行為。
(二)建立和完善網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的管理制度管理制度是保證企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全、準(zhǔn)確、可靠的先決條件。它主要包括:確定各種人員的職責(zé)范圍及其考核辦法的崗位責(zé)任制;制定密碼的使用和管理辦法及機(jī)房、保衛(wèi)、數(shù)據(jù)資料安全等方面應(yīng)遵循的安全保密制度;操作計(jì)算機(jī)應(yīng)遵守的操作規(guī)程及注意事項(xiàng)的操作管理制度;規(guī)定數(shù)據(jù)輸入、輸出、存儲(chǔ)、查詢與使用應(yīng)遵守的數(shù)據(jù)管理制度;規(guī)定系統(tǒng)維護(hù)的申請(qǐng)、審批和應(yīng)完成任務(wù)的系統(tǒng)維護(hù)制度;修訂《會(huì)計(jì)檔案管理辦法》,重新規(guī)定會(huì)計(jì)檔案的范圍、保管辦法及領(lǐng)用手續(xù)的會(huì)計(jì)檔案管理制度。
(三)加強(qiáng)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的安全控制網(wǎng)絡(luò)會(huì)計(jì)的安全控制是指在網(wǎng)絡(luò)環(huán)境下采用各種方法保護(hù)數(shù)據(jù)和計(jì)算機(jī)程序,以防止數(shù)據(jù)泄密、更改或破壞。主要包括硬件安全控制、軟件安全控制、網(wǎng)絡(luò)安全控制和病毒防范安全控制等。
一是硬件安全控制。網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的可靠運(yùn)行主要依賴于硬件設(shè)備,因此硬件設(shè)備的質(zhì)量必須有充分保證。加強(qiáng)對(duì)硬件的維護(hù),防止計(jì)算機(jī)出現(xiàn)故障導(dǎo)致會(huì)計(jì)信息丟失;為以防萬一,關(guān)鍵的硬件設(shè)備可采用雙系統(tǒng)備份。另外,計(jì)算機(jī)房應(yīng)充分滿足防火、防水、防盜、防鼠、恒溫等技術(shù)條件,必要情況下可采用電子門鎖、指紋核對(duì)、用計(jì)算機(jī)控制人員進(jìn)出等防范控制手段;機(jī)房內(nèi)用于動(dòng)力、照明的供電線路應(yīng)與計(jì)算機(jī)系統(tǒng)的供電線路分開,配置UPS不間斷電源、防輻射和防電磁波干擾等設(shè)備,盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò),在埋設(shè)地下電纜的位置設(shè)立標(biāo)牌加以防范;對(duì)用于數(shù)據(jù)備份的存貯介質(zhì)應(yīng)注意防潮、防塵和防磁,長期保存的磁介質(zhì)存貯媒體應(yīng)定期轉(zhuǎn)貯等。
二是軟件安全控制。軟件的安全控制主要是保證程序不被修改、不損毀、不被病毒感染,程序的安全與否直接影響著系統(tǒng)的正常運(yùn)行。及時(shí)下載和安裝系統(tǒng)補(bǔ)丁,堵住操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)絡(luò)服務(wù)軟件的漏洞;按操作權(quán)限嚴(yán)格控制系統(tǒng)軟件的安裝與修改,按操作規(guī)程定期對(duì)系統(tǒng)軟件進(jìn)行安全性檢查。當(dāng)系統(tǒng)被破壞時(shí),要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)等功能;系統(tǒng)軟件應(yīng)盡量減少人機(jī)對(duì)話窗口,必要的窗口應(yīng)力求界面友好,防錯(cuò)糾錯(cuò)能力強(qiáng),不接受錯(cuò)誤輸入;增強(qiáng)系統(tǒng)軟件的現(xiàn)場(chǎng)保護(hù)和自動(dòng)跟蹤能力,對(duì)一切非正常操作可以記錄。當(dāng)非法用戶企圖登錄或錯(cuò)誤口令超限額使用時(shí),系統(tǒng)會(huì)鎖定終端,凍結(jié)此用戶標(biāo)識(shí),記錄有關(guān)情況,并立即報(bào)警;分析研究各應(yīng)用軟件的兼容性、
統(tǒng)一性,使各業(yè)務(wù)系統(tǒng)成為基于同一種操作系統(tǒng)平臺(tái)的大系統(tǒng),各種業(yè)務(wù)之間能相互銜接,相關(guān)數(shù)據(jù)能夠自動(dòng)核對(duì)、校驗(yàn);非系統(tǒng)維護(hù)人員不得接觸程序的技術(shù)資料、源程序和加密文件,減少程序被修改的可能性。
三是數(shù)據(jù)資源安全控制。數(shù)據(jù)資源的安全與否關(guān)系到財(cái)務(wù)信息的完整性和保密性。數(shù)據(jù)庫系統(tǒng)是整個(gè)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)安全控制的核心,數(shù)據(jù)庫的安全威脅主要來自系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫的非法訪問和系統(tǒng)故障。誤操作或人為破壞均會(huì)造成數(shù)據(jù)庫的物理損毀。為防止非法用戶入侵,確保數(shù)據(jù)資源安全,主要采取以下措施:合理定義、應(yīng)用數(shù)據(jù)子模式。即根據(jù)不同類別的用戶或應(yīng)用項(xiàng)目分別定義不同的數(shù)據(jù)子集,對(duì)特定類型的用戶開放,以限制用戶輕易獲取全部會(huì)計(jì)數(shù)據(jù)資源;合理設(shè)置網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限。資源屬主體現(xiàn)不同用戶對(duì)資源的從屬關(guān)系,如建立者、修改者等,資源屬性表示資源本身的存取特性,如讀、寫或執(zhí)行等,訪問權(quán)限體現(xiàn)用戶對(duì)資源的可用程度;建立數(shù)據(jù)備份和恢復(fù)制度。數(shù)據(jù)備份是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ)。對(duì)每天的業(yè)務(wù)數(shù)據(jù)雙備份,建立目錄清單異地存放。同時(shí)對(duì)存儲(chǔ)在網(wǎng)絡(luò)上的重要數(shù)據(jù)在傳輸前進(jìn)行有效加密,接收到數(shù)據(jù)后再進(jìn)行相應(yīng)的解密,并定期更新加密密碼;在操作系統(tǒng)中建立數(shù)據(jù)保護(hù)機(jī)構(gòu)。調(diào)用計(jì)算機(jī)機(jī)密文件時(shí)應(yīng)登錄用戶名、日期、使用方式和使用結(jié)果,修改文件和數(shù)據(jù)必須登錄備查;設(shè)置外部訪問區(qū)域,明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界。企業(yè)建立內(nèi)聯(lián)網(wǎng)時(shí),要詳細(xì)分析網(wǎng)絡(luò)的服務(wù)功能和結(jié)構(gòu)布局,通過專用軟件、硬件和管理措施,實(shí)現(xiàn)會(huì)計(jì)系統(tǒng)與外部訪問區(qū)域之間的嚴(yán)密的數(shù)據(jù)隔離;在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護(hù)屏障,防止非法入侵和使用系統(tǒng)資源,記錄所有可疑事件;在開發(fā)應(yīng)用軟件的技術(shù)選擇上也要考慮數(shù)據(jù)安全性問題。如在網(wǎng)絡(luò)財(cái)務(wù)軟件中應(yīng)充分利用客戶服務(wù)器結(jié)構(gòu)和Web應(yīng)用的優(yōu)點(diǎn),對(duì)于決策支持、遠(yuǎn)程查詢、報(bào)表遠(yuǎn)程上報(bào)則采用Web的應(yīng)用,可以提高財(cái)務(wù)數(shù)據(jù)安全性。
四是網(wǎng)絡(luò)安全控制。為了提高網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的安全防范能力,必須從技術(shù)上對(duì)整個(gè)系統(tǒng)的各個(gè)層次都要采取安全防范與控制措施,建立綜合的多層次的安全體系。數(shù)據(jù)加密技術(shù)是保護(hù)會(huì)計(jì)信息通過公共網(wǎng)絡(luò)傳輸和防止電子竊聽的首選方法。現(xiàn)代加密技術(shù)分為對(duì)稱加密和非對(duì)稱加密兩大類。對(duì)稱加密是關(guān)聯(lián)雙方共享一把專用密鑰進(jìn)行加密和解密運(yùn)算。它所面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問題。非對(duì)稱加密是將密鑰分為一把公鑰和一把私鑰,加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰,有效解決了密鑰分發(fā)的管理問題,更適合網(wǎng)絡(luò)應(yīng)用環(huán)境。訪問控制技術(shù)的代表是防火墻技術(shù),特別是已融和虛擬專用網(wǎng)及隧道技術(shù)的防火墻技術(shù)。可設(shè)置內(nèi)外兩層防火墻,外層防火墻主要用來限制外界對(duì)主機(jī)操作系統(tǒng)的訪問,內(nèi)層防火墻主要用來邏輯隔離會(huì)計(jì)系統(tǒng)與外部訪問區(qū)域之間的聯(lián)系,限制外界穿過訪問區(qū)域?qū)?nèi)聯(lián)網(wǎng)的非法訪問。數(shù)字簽名是指網(wǎng)絡(luò)環(huán)境下為驗(yàn)證對(duì)方身份、保證數(shù)據(jù)真實(shí)性和完整性而在計(jì)算機(jī)通信中采用的一種安全控制手段。在國家相應(yīng)財(cái)務(wù)制度許可的條件下,財(cái)務(wù)系統(tǒng)遠(yuǎn)程處理可用數(shù)字簽名技術(shù)代替簽字蓋章的傳統(tǒng)確認(rèn)手段。在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)中使用數(shù)據(jù)加密與數(shù)字簽名技術(shù),可以確保客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)的安全性。另外,采用虛擬專用網(wǎng)傳輸數(shù)據(jù),使用光纖作為傳輸介質(zhì),確保接入口的安全保密,更好地解決了財(cái)務(wù)信息在Internet傳輸?shù)陌踩珕栴}。
五是病毒防范安全控制。防范病毒最有效的措施是加強(qiáng)安全教育,健全并嚴(yán)格執(zhí)行防范病毒管理制度,在系統(tǒng)的運(yùn)行與維護(hù)過程中高度重視病毒防范及相應(yīng)技術(shù)手段與措施。具體措施有:系統(tǒng)采購更新要經(jīng)病毒檢測(cè)后才可使用;對(duì)不需要本地磁盤的工作站,盡量采用無盤工作站;采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控、追蹤病毒;在網(wǎng)絡(luò)服務(wù)器上安裝防病毒卡或芯片等硬件;財(cái)務(wù)軟件可掛接或捆綁第三方反病毒軟件,加強(qiáng)軟件自身防病毒能力;對(duì)所有外來軟件、介質(zhì)和傳輸數(shù)據(jù)必須經(jīng)過病毒檢查,嚴(yán)禁使用游戲軟件;及時(shí)升級(jí)本系統(tǒng)的防病毒產(chǎn)品,定期檢測(cè)并清除系統(tǒng)病毒。
六是電子商務(wù)控制。網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的應(yīng)用為跨國企業(yè)、集團(tuán)企業(yè)實(shí)現(xiàn)遠(yuǎn)程報(bào)表、報(bào)賬、查賬、審計(jì)及財(cái)務(wù)監(jiān)控等處理功能創(chuàng)造了條件。網(wǎng)絡(luò)會(huì)計(jì)是電子商務(wù)的基石和重要組成部分,對(duì)電子商務(wù)活動(dòng)也必須進(jìn)行相應(yīng)的管理與控制。主要措施有:合理建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式;建立網(wǎng)上交易活動(dòng)的授權(quán)、確認(rèn)制度,以及相應(yīng)的電子文件的接收、簽發(fā)驗(yàn)證制度;建立交易日志的記錄與審計(jì)制度,進(jìn)行遠(yuǎn)程處理規(guī)程控制。
篇(4)
在社會(huì)信息化程度快速發(fā)展的今天,社會(huì)各行已經(jīng)廣泛的運(yùn)用監(jiān)控進(jìn)行工作,多層次的網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng),通過SIP協(xié)議和DIEME-TER協(xié)議為基礎(chǔ)創(chuàng)建的運(yùn)營級(jí)視頻監(jiān)控系統(tǒng),可以實(shí)現(xiàn)大規(guī)模和大領(lǐng)域的部署,以及運(yùn)營級(jí)的整體需要,廣大的監(jiān)控業(yè)務(wù)對(duì)遠(yuǎn)程視頻的監(jiān)控也提出了更好的要求,需要不斷地彌補(bǔ)傳統(tǒng)監(jiān)控系統(tǒng)的缺陷,提高新的監(jiān)控系統(tǒng)的安全性能。新的視頻監(jiān)控系統(tǒng)要符合時(shí)展的要求,不斷的提高其工作的遠(yuǎn)度,在網(wǎng)絡(luò)系統(tǒng)的協(xié)調(diào)下,可以對(duì)大量視頻數(shù)據(jù)實(shí)時(shí)、跨區(qū)域性的傳輸,能夠?qū)⒈O(jiān)控的資源進(jìn)行共享,為此提高了辦事效率。
圖1為視頻監(jiān)控網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖,SIP服務(wù)器主要是建立會(huì)話;AAA服務(wù)器主要使用于路由AAA請(qǐng)求;AAA服務(wù)器進(jìn)行監(jiān)控認(rèn)證;存儲(chǔ)服務(wù)器中能夠存放大量的視頻資源信息,轉(zhuǎn)發(fā)服務(wù)器進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā),控制服務(wù)器用于主要數(shù)據(jù)的控制,審計(jì)服務(wù)器是審計(jì)系統(tǒng)的一部分,網(wǎng)管系統(tǒng)對(duì)整個(gè)監(jiān)控系統(tǒng)進(jìn)行詳細(xì)的管理,前端服務(wù)器主要進(jìn)行的是消除影響,建立一個(gè)完整的監(jiān)控系統(tǒng)。
在整個(gè)監(jiān)控系統(tǒng),安全性是設(shè)計(jì)者進(jìn)行設(shè)計(jì)需要考慮的重要因素,不能讓自己的監(jiān)控視頻資源落入其他人的手中,安全的系統(tǒng)機(jī)制是保證視頻可以正常的營運(yùn),在現(xiàn)在網(wǎng)絡(luò)社會(huì)中,安全的監(jiān)控系統(tǒng)也面臨著巨大的挑戰(zhàn),現(xiàn)代化的監(jiān)控系統(tǒng)不能和傳統(tǒng)的監(jiān)控系統(tǒng)那樣進(jìn)行小地區(qū)的隔離,現(xiàn)代化的監(jiān)控系統(tǒng)是連接在網(wǎng)絡(luò)上,任何地區(qū)的人都可以通過網(wǎng)絡(luò)找到這個(gè)監(jiān)控系統(tǒng),從而去竊取視頻資源,這就需要在設(shè)計(jì)的過程中盡可能的完善內(nèi)部結(jié)構(gòu),完善自身系統(tǒng)的服務(wù)器和網(wǎng)絡(luò)接觸的信任點(diǎn),就目前的技術(shù)而言,主要是解決以下幾個(gè)問題:(1)網(wǎng)絡(luò)訪問身份認(rèn)證。主要是防止攻擊者冒充身份進(jìn)行訪問,防止不法分子對(duì)視頻監(jiān)控系統(tǒng)的篡改。(2)機(jī)密性。防止不具有訪問權(quán)限的人竊取視頻信息。(3)完整性。防止不法分子對(duì)視頻信息進(jìn)行刪除或者是篡改。(4)授權(quán)。明確那些具有訪問權(quán)限,有效的杜絕其他的用戶訪問。(5)安全指引。安全指引是對(duì)分散的、獨(dú)立的、缺少安全通道,根據(jù)視頻系統(tǒng)協(xié)議機(jī)制,進(jìn)一步加強(qiáng)安全通道的保護(hù),保證網(wǎng)絡(luò)安全過程。(6)隱私性。隱私性主要是保護(hù)監(jiān)控?cái)?shù)據(jù)的機(jī)密性,主要是為了防止其他不法人員查看視頻資源,保護(hù)視頻的信息和各個(gè)節(jié)點(diǎn),起到保護(hù)視頻系統(tǒng)的作用。
1 基于VPN(虛擬專用網(wǎng))與SIP(會(huì)話初始化協(xié)議)的閉合用戶群方案
1.1 什么叫閉合用戶群
閉合用戶群是幾個(gè)或者是幾十個(gè)視頻用戶共用一個(gè)視頻信息系統(tǒng),其他人員不能對(duì)其中的視頻資源進(jìn)行訪問。共同的使用群體內(nèi)的資源,方便了群組成員的使用。
在實(shí)際生活中,每個(gè)行業(yè)對(duì)于視頻監(jiān)控系統(tǒng)的需求是存在一定的差異,因此,在視頻的訪問中也有所不同。通過閉合用戶群的可以將各類資源得到最大利益化的使用。目前閉合用戶技術(shù)發(fā)展日益成熟,得到了各行各業(yè)的肯定,為各行各業(yè)的發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)。
根據(jù)用戶的需求的不同,將閉合用戶群劃分為了兩種方案:一種是采用比較成熟的虛擬專用網(wǎng),二是SIP(初始化協(xié)議)的呼叫控制,為每個(gè)用戶群定義應(yīng)該訪問的權(quán)限,并且只能是本群內(nèi)的用戶在特點(diǎn)的用戶群內(nèi)進(jìn)行資源的共享。
在服務(wù)器中,SIP缺乏一整套安全機(jī)制,它能夠加強(qiáng)端到端的安全性跨越逐跳的安全體系。安全是視頻監(jiān)控系統(tǒng)最為基礎(chǔ)性的考慮,也是保證各行各業(yè)正常運(yùn)用視頻資源的前提條件,關(guān)乎這一個(gè)企業(yè)或者是一個(gè)行業(yè),甚至是一個(gè)國家的興衰,在視頻安全系統(tǒng)中SIP已經(jīng)有了關(guān)于視頻安全系統(tǒng)的詳細(xì)解釋,應(yīng)對(duì)應(yīng)方式的身份識(shí)別和通過閉合用戶群誕生出兩種方案對(duì)SIP用戶群體進(jìn)行保護(hù),但是他們對(duì)源頭的保護(hù)SIP消息是比較缺乏的。由于信息的連接點(diǎn)可能會(huì)修改SIP的源頭消息,通過逐跳的方式加強(qiáng)SIP傳輸過程中沿途的安全機(jī)制,所以逐跳的安全性重要就顯得十分的重要。
這樣我們就知道采用VPN建立的閉合用戶群相對(duì)來說安全性有大的保障,但是不便的就是用戶難以修改視頻的信息。采用SIP構(gòu)建閉合用戶群與用VPN構(gòu)建的閉合用戶群的作用恰恰相反,在這兩種方式的優(yōu)缺點(diǎn)的影響下,可以采用網(wǎng)絡(luò)層(IPSec)和傳輸層(TLS)的雙重安全機(jī)制,來提高信息在傳輸中進(jìn)行逐跳的安全性,保護(hù)SIP會(huì)話在傳輸資源時(shí)的信號(hào)通道。
在實(shí)際的應(yīng)用中大部分用戶采用的是如圖2和圖3所示的方案,能夠鞏固信息在傳遞過程中逐跳的安全性能,保證控制系統(tǒng)一直處于安全狀態(tài)。
1.2 SIP和DIAMETER的認(rèn)證授權(quán)
SIP是靈活性的用戶群體,可以防止非法人員的入侵,能夠有效的保護(hù)系統(tǒng)內(nèi)的視頻資源。SIP協(xié)議是專門為了SIP的安全制定的,進(jìn)行認(rèn)證需要MAR和MAA的指令,為了保護(hù)系統(tǒng)的安全性,SIP的請(qǐng)求需要經(jīng)過SIP協(xié)議的判斷進(jìn)行詳細(xì)的認(rèn)證,在認(rèn)證中需要完成以下幾個(gè)步驟:首先是SIP用戶發(fā)出的SIP請(qǐng)求。其次是SIP永和的使用算術(shù)進(jìn)行計(jì)算,發(fā)送帶有MD5的信息給SIP請(qǐng)求,并發(fā)到下面小的系統(tǒng)上。再次系統(tǒng)根據(jù)永和提供的用戶名和密碼進(jìn)行下一步的認(rèn)證工作。最后根據(jù)認(rèn)證的結(jié)果的是與否,決定用戶是否能夠訪問系統(tǒng)內(nèi)的視頻資源。SIP協(xié)議的授權(quán)和認(rèn)證是獨(dú)立起來的,通過對(duì)用戶的認(rèn)證是否合法,然后做出下一步能否訪問資源的決定,能夠有效的保護(hù)了系統(tǒng)內(nèi)部資源的安全性,并且用戶在使用的過程中也是十分的方便快捷。
2 動(dòng)態(tài)密鑰為基礎(chǔ)的媒體流私密方案
為了視頻數(shù)據(jù)的安全性和實(shí)用性,要不斷對(duì)最前端視頻數(shù)據(jù)進(jìn)行加密處理,選擇合理有效加密的方法。來滿足實(shí)時(shí)性要求,采用的視頻數(shù)據(jù)加密算法對(duì)視頻設(shè)備采集到的視頻數(shù)據(jù)進(jìn)行加權(quán)加密處理,需要定期更新加密的方式方法,來有效的保護(hù)和傳輸DES密鑰,防止黑客等不法分子對(duì)系統(tǒng)的攻擊。此方法其實(shí)簡單直接,能大大地提高系統(tǒng)的安全性,但是視頻數(shù)據(jù)占用的內(nèi)存相當(dāng)?shù)拇螅考用埽瑢?duì)于系統(tǒng)來說是一個(gè)相當(dāng)大的負(fù)擔(dān),在實(shí)施的過程中有一定的難度。
3 基于SNMPv3的系統(tǒng)管理
利用簡單網(wǎng)絡(luò)管理協(xié)議有效的管理了系統(tǒng)的安全性,SNMPv3在安全方面已經(jīng)基本上滿足了大規(guī)模可運(yùn)營級(jí)視頻監(jiān)控系統(tǒng)在大規(guī)模運(yùn)行和安全上的整體要求。
4 結(jié)束語
本文主要介紹了大規(guī)模網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是如何在復(fù)雜的環(huán)境中增強(qiáng)安全性能的。分析了VPN和SIP相結(jié)合起來在視頻系統(tǒng)中的安全作用,以及在現(xiàn)實(shí)生活中的應(yīng)用性。詳細(xì)的介紹了密鑰的不斷地更新在視頻信息系統(tǒng)中的應(yīng)用,SNMPv3的網(wǎng)絡(luò)系統(tǒng)是如何保證管理信息的安全性,詳盡介紹了審計(jì)服務(wù)器的輔助作用,輔助增強(qiáng)了系統(tǒng)的安全性,總之,隨著科技的進(jìn)步通過對(duì)視頻資源的不斷地加密和保護(hù),大規(guī)模可運(yùn)營視頻監(jiān)控網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)有了顯著的提高。
參考文獻(xiàn)
篇(5)
關(guān)鍵詞: 網(wǎng)絡(luò)安全 安全需求 措施
1 校園網(wǎng)的概念
簡單地說,校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個(gè)寬帶,互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。
2 校園網(wǎng)的特點(diǎn)
校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn):
1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易于管理;5)提供可運(yùn)營的特性;6)經(jīng)濟(jì)實(shí)用。
3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求
3.1 用戶安全
用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。
1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對(duì)信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對(duì)管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對(duì)于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。
2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對(duì)業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。
3.2 網(wǎng)絡(luò)硬環(huán)境安全
通過調(diào)研分析,初步定為有以下需求:
1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對(duì)進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離,重點(diǎn)對(duì)源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對(duì)這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。
3.3 網(wǎng)絡(luò)軟環(huán)境安全
網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對(duì)于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對(duì)保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。
3.4 傳輸安全
數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。
4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施
4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制體現(xiàn)在如下幾個(gè)方面:
篇(6)
Abstract: With the rapid development of the dam construction technology, the use of in-depth development of waterpower resources, dam safety problems have become increasingly prominent. Relevant scholars, experts have also launched the research of dam safety monitoring technology. This paper mainly uses the network technology, communication, public telephone network and the wired data communication, wireless communication, fiber communication and high speed communication analysis. Reliable design, complementary development technology to improve the level of automation, to achieve a truly "unattended, control mode and fewer people watch", has brought great convenience and benefit for the scientific management of reservoir.
Key words: dam monitoring; network technology; communication; automation
中圖分類號(hào):TN830.1文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):
1、前言
在大壩安全監(jiān)測(cè)自動(dòng)化控制系統(tǒng)中常常由于現(xiàn)場(chǎng)施工條件較為復(fù)雜,現(xiàn)場(chǎng)網(wǎng)絡(luò)通信通常需結(jié)合采用雙絞線、光纖、電話線、無線方式等進(jìn)行數(shù)據(jù)傳輸,各種通信方式也可混合使用。當(dāng)采用線纜跨越建筑物或障礙物有困難時(shí),可采用無線通信方式;當(dāng)對(duì)現(xiàn)場(chǎng)通信要求很高或現(xiàn)場(chǎng)電磁干擾嚴(yán)重影響通信質(zhì)量時(shí),可采用光纖通信方式;當(dāng)現(xiàn)場(chǎng)通信的線路很長時(shí)(如區(qū)域地形復(fù)雜的流域梯級(jí)電站),可采用有線電話網(wǎng)進(jìn)行通信。
現(xiàn)場(chǎng)網(wǎng)絡(luò)通信應(yīng)按以下要求進(jìn)行設(shè)計(jì):
(1) 現(xiàn)場(chǎng)網(wǎng)絡(luò)通信包括監(jiān)測(cè)站之間和監(jiān)測(cè)站與監(jiān)測(cè)管理站之間的數(shù)據(jù)通信。應(yīng)根據(jù)工程的實(shí)際需求在保證通信質(zhì)量的前提下,選擇實(shí)用經(jīng)濟(jì)、維護(hù)方便的通信方式;
(2) 監(jiān)測(cè)站之間和監(jiān)測(cè)站與監(jiān)測(cè)管理站之間可采用雙絞線、光纖、電話線、無線連接;
(3) 現(xiàn)場(chǎng)通信線路布設(shè)時(shí)必須考慮預(yù)防雷電感應(yīng)對(duì)系統(tǒng)可能的影響,應(yīng)做好線纜的防護(hù)接地。
由于工程現(xiàn)場(chǎng)環(huán)境本身的多樣性和復(fù)雜性,加上管理部門對(duì)管理現(xiàn)代化的需求和將監(jiān)測(cè)管理站后移至監(jiān)測(cè)管理中心站的趨勢(shì),現(xiàn)場(chǎng)網(wǎng)絡(luò)的構(gòu)建方式變得更加多樣化。下面幾種組網(wǎng)方式可供參考。
2、系統(tǒng)總體結(jié)構(gòu)概述
大壩安全監(jiān)測(cè)系統(tǒng)應(yīng)用傳感器、自動(dòng)監(jiān)測(cè)、通訊及計(jì)算機(jī)等技術(shù),實(shí)現(xiàn)實(shí)時(shí)大壩安全監(jiān)測(cè)信息自動(dòng)數(shù)據(jù)采集、傳輸、處理入庫等,為大壩安全運(yùn)行提供科學(xué)依據(jù)。實(shí)時(shí)監(jiān)測(cè)表面變形、內(nèi)部變形、接縫、混凝土面板變形、滲流量、壩基滲流壓力、壩體滲流壓力、繞壩滲流、混凝土面板應(yīng)力、環(huán)境量監(jiān)測(cè)及水力學(xué)等項(xiàng)目,使水庫大壩安全診斷工作及資料存貯、查尋和輸出等工作自動(dòng)化。
系統(tǒng)從結(jié)構(gòu)上分為:集中式、分布式和現(xiàn)場(chǎng)總線式。
1公用電話網(wǎng)通信
這是一種通用的現(xiàn)場(chǎng)網(wǎng)絡(luò)通信方式,特別適合于現(xiàn)場(chǎng)條件復(fù)雜、通信設(shè)施敷設(shè)困難的中小型電站和梯級(jí)電站,其傳輸距離與電話線路有關(guān)。
2有線數(shù)據(jù)通信
這是一種最常用的現(xiàn)場(chǎng)網(wǎng)絡(luò)通信方式,采用雙絞通信線,通信距離1200m,加中繼可延伸。
3無線通信
當(dāng)現(xiàn)場(chǎng)不便于(或不允許、不可能)敷設(shè)纜線,或采用纜線不經(jīng)濟(jì)(如沿堤壩、渠道等建筑物設(shè)置的監(jiān)測(cè)點(diǎn)相隔距離達(dá)數(shù)公里)時(shí),可考慮采用無線通信方式。
4光纖通信
光纖通信方式在現(xiàn)場(chǎng)網(wǎng)絡(luò)通信中得到了快速發(fā)展,其應(yīng)用模式有如下幾種:
1) 雙絞線+光纖通信方式
這種通信方式是在數(shù)據(jù)采集裝置DAU之間采用雙絞線連接,從設(shè)置有DAU的監(jiān)測(cè)站到監(jiān)測(cè)管理站采用光纖連接。整個(gè)現(xiàn)場(chǎng)網(wǎng)絡(luò)運(yùn)行RS-485串行數(shù)據(jù)接口標(biāo)準(zhǔn)。由于從監(jiān)測(cè)站到監(jiān)測(cè)管理站采用光纖連接,監(jiān)測(cè)管理站與監(jiān)測(cè)站的距離有可能延伸到數(shù)公里至數(shù)十公里,實(shí)現(xiàn)監(jiān)測(cè)管理站后移至監(jiān)測(cè)管理中心站。
2) 全光纖通信方式
全光纖通信方式是在數(shù)據(jù)采集裝置DAU之間,以及設(shè)置有DAU的監(jiān)測(cè)站到監(jiān)測(cè)管理站全部采用光纖連接。整個(gè)現(xiàn)場(chǎng)網(wǎng)絡(luò)仍運(yùn)行RS-485串行數(shù)據(jù)接口標(biāo)準(zhǔn)。全光纖通信方式適合于對(duì)系統(tǒng)要求可靠性很高、現(xiàn)場(chǎng)電磁干擾嚴(yán)重的工程,它同樣可以將監(jiān)測(cè)管理站后移至數(shù)公里至數(shù)十公里外的監(jiān)測(cè)管理中心站。
5高速通信方式
當(dāng)今網(wǎng)絡(luò)技術(shù)的快速發(fā)展促進(jìn)了現(xiàn)場(chǎng)網(wǎng)絡(luò)的變革,以以太網(wǎng)(Ethernet)為代表的高速網(wǎng)絡(luò)技術(shù)正向低速的現(xiàn)場(chǎng)網(wǎng)絡(luò)擴(kuò)展。計(jì)算機(jī)局域網(wǎng)運(yùn)行TCP/IP協(xié)議,其通信速率可達(dá)10Mbps、100Mbps、甚至1000Mbps,遠(yuǎn)比通信速率僅為1.2Kbps~2.4Kbps的現(xiàn)場(chǎng)網(wǎng)絡(luò)高出千百倍。
現(xiàn)代大壩安全管理模式對(duì)監(jiān)測(cè)自動(dòng)化系統(tǒng)提出了新的要求,高速網(wǎng)絡(luò)引入大壩安全監(jiān)測(cè)自動(dòng)化系統(tǒng)已成為發(fā)展趨勢(shì)。目前比較成功應(yīng)用的一種模式是采用專線光纖實(shí)現(xiàn)監(jiān)測(cè)管理站和監(jiān)測(cè)站之間的遠(yuǎn)距離高速連接,監(jiān)測(cè)站之間仍采用RS-485通信方式,其結(jié)構(gòu)框圖如下。
篇(7)
當(dāng)今社會(huì),人們獲取信息的重要途徑就是計(jì)算機(jī)網(wǎng)絡(luò),在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的同時(shí)也存在一些安全隱患,它不會(huì)通過安全的體系設(shè)計(jì)方案進(jìn)行解決,比如非法訪問用戶賬戶、干擾計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行、破壞數(shù)據(jù)的完整性,傳播網(wǎng)絡(luò)病毒,進(jìn)行數(shù)據(jù)盜取等。醫(yī)院要想計(jì)算機(jī)網(wǎng)絡(luò)消除安全方面的隱患,需要先對(duì)影響計(jì)算機(jī)安全的因素有個(gè)大體的了解。下面就講解了影響醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全的因素。
一、影響醫(yī)院信息系統(tǒng)安全的因素
1.自身系統(tǒng)及軟硬件的不穩(wěn)定
醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)不可避免的會(huì)出現(xiàn)安全漏洞。信息網(wǎng)絡(luò)系統(tǒng)最容易出現(xiàn)漏洞的方面有調(diào)用RPC漏洞,緩沖區(qū)溢出漏洞。信息網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)庫也比較容易受到攻擊。信息網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的漏洞被利用后,可能會(huì)遭受遠(yuǎn)程攻擊。應(yīng)用軟件具有一定的軟件缺陷,這種缺陷可以存在于小程序中,也可以存在于大型的軟件系統(tǒng)中。軟件的缺陷導(dǎo)致了醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)硬盤設(shè)備方面也存著在缺陷,網(wǎng)絡(luò)硬盤作為信息傳遞中重要的硬件設(shè)備,在被人們使用的同時(shí)也存在著安全隱患,它包含的電磁信息泄露是主要的安全隱患。網(wǎng)絡(luò)硬盤與計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)組成的不牢固也能造出計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全隱患。
2.網(wǎng)絡(luò)病毒的惡意傳播
現(xiàn)在網(wǎng)絡(luò)病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動(dòng)程序,它往往會(huì)隱藏在醫(yī)院計(jì)算機(jī)的操作系統(tǒng)中,對(duì)用戶資料進(jìn)行竊取。而蠕蟲病毒比木馬病毒更高級(jí)一些,它的傳播可以通過操作系統(tǒng)以及軟件程序的漏洞進(jìn)行主動(dòng)攻擊,傳播途徑非常廣泛,每一個(gè)蠕蟲病毒都帶有檢查計(jì)算機(jī)電腦是否有系統(tǒng)及軟件漏洞的模塊,如果發(fā)現(xiàn)電腦含有漏洞,立刻啟動(dòng)傳播程序傳播出去,它的這一特點(diǎn),使危害性比木馬病毒大的多,在一臺(tái)電腦感染了蠕蟲病毒后,通過這個(gè)電腦迅速的傳播到、該電腦所在網(wǎng)絡(luò)的其他電腦中,電腦被感染蠕蟲病毒后,會(huì)接受蠕蟲病毒發(fā)送的數(shù)據(jù)包,被感染的電腦由于過多的無關(guān)數(shù)據(jù)降低了自己的運(yùn)行速度,或者造成CPU內(nèi)存占用率過高而死機(jī)。漏洞型病毒傳播方法主要通過微軟windows操作系統(tǒng)。由于windows操作系統(tǒng)漏洞很多或者用戶沒有及時(shí)的進(jìn)行windows系統(tǒng)的自身更新,造成了漏洞型病毒趁虛而入,攻占醫(yī)院的計(jì)算機(jī)電腦。計(jì)算機(jī)技術(shù)在更新?lián)Q代,病毒技術(shù)也在發(fā)展變化,現(xiàn)在的網(wǎng)絡(luò)病毒不像以前的計(jì)算機(jī)病毒,現(xiàn)在的病毒有的可以通過多種途徑共同傳播,比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對(duì)網(wǎng)絡(luò)的危害性更大,處理查殺起來也比較困難。
3.人為惡意攻擊
人為的惡意攻擊是醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)面臨的最大安全風(fēng)險(xiǎn),人為的惡意攻擊可以分為主動(dòng)攻擊和被動(dòng)攻擊,主動(dòng)攻擊是有選擇的通過各種形式破壞信息網(wǎng)絡(luò)系統(tǒng)的完整性和有效性;被動(dòng)攻擊是在不影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的情況下,進(jìn)行數(shù)據(jù)信息的竊取、截獲以及尋找重要的機(jī)密文件。它們都對(duì)醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)造成了巨大的危害。
二、保護(hù)醫(yī)院信息系統(tǒng)安全的措施
1.建立防火墻防御技術(shù)
防火墻設(shè)計(jì)的理念是防止計(jì)算機(jī)網(wǎng)絡(luò)信息泄露,它通過既定的網(wǎng)絡(luò)安全策略,對(duì)網(wǎng)內(nèi)外通信實(shí)施強(qiáng)制性的訪問控制,借此來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全。它對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進(jìn)行安全檢查,監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行狀態(tài)。一個(gè)完整的防火墻保護(hù)體系可以很好的阻止威脅計(jì)算機(jī)的用戶及其數(shù)據(jù),阻止黑客通過病毒程序訪問自己的電腦網(wǎng)絡(luò),防止不安全因素?cái)U(kuò)散到電腦所在的局域網(wǎng)絡(luò)。通過將用戶電腦的使用賬戶密碼設(shè)置的高級(jí)些,,禁用或者刪除無用的賬號(hào),不定期進(jìn)行賬號(hào)密碼的修改都可以很好的防止病毒侵入。由于網(wǎng)絡(luò)入侵者的實(shí)時(shí)性、動(dòng)態(tài)性,所以在計(jì)算機(jī)網(wǎng)絡(luò)中防火墻軟件要做到實(shí)時(shí)監(jiān)控的要求。防火墻的實(shí)時(shí)監(jiān)控技術(shù)通過過濾在調(diào)用前的所以程序,發(fā)現(xiàn)含有破壞網(wǎng)絡(luò)安全的程序文件,并發(fā)出警報(bào),對(duì)可疑程序進(jìn)行查殺,將網(wǎng)絡(luò)入侵者阻攔,使計(jì)算機(jī)免受其害。
2.采用特征碼技術(shù)
目前的查殺病毒采用方法主流是通過結(jié)合特征碼查毒和人工解毒。當(dāng)搜查病毒時(shí)采用特征碼技術(shù)查毒,在殺除清理的時(shí)候采用人工編制解毒技術(shù)。特征碼查毒技術(shù)體現(xiàn)了人工識(shí)別病毒的基本方法,它是人工查毒的簡單描述,按照“病毒中某一類代碼相同”的原則進(jìn)行查殺病毒。當(dāng)病毒的種類和變形病毒有相關(guān)同一性時(shí),可以使用這種特性進(jìn)行程序代碼比較,然后查找出病毒。但是描述特征碼不能用于所有的病毒,許多的病毒很難被特征碼進(jìn)行描述或者根本描述不出來。在使用特征碼技術(shù)時(shí),一些補(bǔ)充功能需要一同使用,比如壓縮包和壓縮可執(zhí)行性文件的自動(dòng)查殺技術(shù)。
3.其他網(wǎng)絡(luò)安全保護(hù)對(duì)策
加密技術(shù)通過將醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的可讀信息變?yōu)槊芪膩肀Wo(hù)網(wǎng)絡(luò)安全。IP地址影響著用戶的計(jì)算機(jī)網(wǎng)絡(luò)安全,網(wǎng)絡(luò)黑客通過特殊的網(wǎng)絡(luò)探測(cè)手段抓取用戶IP,然后對(duì)此發(fā)送網(wǎng)絡(luò)攻擊。對(duì)IP進(jìn)行隱藏是指通過用戶服務(wù)器上網(wǎng),防止了網(wǎng)絡(luò)黑客獲取自己的IP。關(guān)閉電腦中不必要的端口也可以有效防范黑客的入侵,還能提高系統(tǒng)的資源利用率。對(duì)自己的賬號(hào)密碼進(jìn)行定期、不定期的更改,然后設(shè)置賬號(hào)密碼保護(hù)問題,可以在第一道防線阻止網(wǎng)絡(luò)黑客的入侵。及時(shí)更新計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護(hù)網(wǎng)絡(luò)安全軟件,對(duì)保護(hù)網(wǎng)絡(luò)安全的軟件進(jìn)行及時(shí)更新。
總結(jié)
醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全與醫(yī)院的經(jīng)濟(jì)效益息息相關(guān)。影響醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的因素是多方面的,網(wǎng)絡(luò)病毒也在不斷發(fā)展進(jìn)化,面對(duì)這種嚴(yán)峻的形勢(shì),我們不能只采用單一的防范措施,而是采用多種保護(hù)醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的措施,相互協(xié)調(diào),發(fā)揮優(yōu)勢(shì),揚(yáng)長避短,保證醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)在防范風(fēng)險(xiǎn)方面取得較好的效果。
參考文獻(xiàn):
[1]王鑫.關(guān)于醫(yī)院網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)安全的防范技術(shù)[J].計(jì)算機(jī)與數(shù)字工程,2009
篇(8)
2010年,伊朗核電站遭受“Stuxnet(震網(wǎng))”蠕蟲病毒攻擊,打開了網(wǎng)絡(luò)攻擊癱瘓實(shí)體空間的大門,關(guān)鍵性基礎(chǔ)設(shè)施的安全成為全世界關(guān)注的焦點(diǎn)。2015年,烏克蘭電網(wǎng)系統(tǒng)遭“Black Energy(黑暗力量)”的攻擊。業(yè)內(nèi)人士指出,支撐能源、通信、電力、金融、交通等重要行業(yè)運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)戰(zhàn)的首選目標(biāo)。工廠使用的控制電腦的軟件一般都是特別定制版,而且不與外部互聯(lián)網(wǎng)聯(lián)通。但在黑客面前,物理隔絕并非不可逾越的天塹,通過局域網(wǎng)和USB接口進(jìn)行傳播,定點(diǎn)干擾工業(yè)控制軟件的病毒早已產(chǎn)生,甚至通過發(fā)熱量、輻射、風(fēng)扇噪聲等入侵物理隔離網(wǎng)絡(luò)的案例也已出現(xiàn)。工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為焦點(diǎn),各國均加大了在該領(lǐng)域的投資。
工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全隱患尤為突出
我國信息網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)能力薄弱。“震網(wǎng)”病毒事件后,據(jù)權(quán)威部門統(tǒng)計(jì),我國工業(yè)系統(tǒng)100%使用西門子工業(yè)控制系統(tǒng),這意味著我國的工業(yè)控制系統(tǒng)存在網(wǎng)絡(luò)安全隱患。尤其是隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,以及物聯(lián)網(wǎng)的快速發(fā)展,越來越多的信息技術(shù)應(yīng)用到工業(yè)領(lǐng)域。我國已經(jīng)將數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運(yùn)用于電力、工業(yè)、能源、交通、水利、市政等領(lǐng)域,甚至直接用于控制生產(chǎn)設(shè)備的運(yùn)行。“中國制造2025”戰(zhàn)略的提出,使得國內(nèi)工業(yè)控制領(lǐng)域正在發(fā)生重大的變革。同時(shí),由于我國大規(guī)模使用國外的網(wǎng)絡(luò)信息關(guān)鍵產(chǎn)品,在短期內(nèi)很難完全替代它們,工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全成為事關(guān)國家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展的大問題。
先進(jìn)工控安全領(lǐng)域創(chuàng)業(yè)公司涌現(xiàn),發(fā)展模式引人注目
近兩年,一些有識(shí)之士充分認(rèn)識(shí)到,工業(yè)控制領(lǐng)域網(wǎng)絡(luò)安全的需求日益凸顯,因此必須整合信息安全與自動(dòng)化方面的人才,專注工控安全領(lǐng)域網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)。這類典型廠商包括北京網(wǎng)藤科技有限公司、北京威努特技術(shù)有限公司、北京匡恩網(wǎng)絡(luò)科技有限公司等。這類公司的特點(diǎn)是100%的業(yè)務(wù)都是工控安全,全力投入到工控安全行業(yè)。
其中,網(wǎng)藤科技是工控安全領(lǐng)域的一匹黑馬,成立于2016年3月,團(tuán)隊(duì)均來自工控安全領(lǐng)域頂尖的企業(yè)。公司的組織結(jié)構(gòu)具有包容、開放、共享的特色,業(yè)務(wù)以工業(yè)控制網(wǎng)絡(luò)安全為核心,深耕石化、電力、冶金、軌道交通、煙草、測(cè)評(píng)中心等國家重點(diǎn)行業(yè),提供覆蓋設(shè)備檢測(cè)、安全服務(wù)、威脅管理、安全數(shù)據(jù)庫、智能保護(hù)、檢測(cè)審計(jì)的自主、可控、安全的生命全周期解決方案。公司旗下的主打產(chǎn)品工控安全防護(hù)系統(tǒng)為針對(duì)工業(yè)網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng),通過公安部權(quán)威檢測(cè),達(dá)到NIPS國標(biāo)一級(jí);工控安全審計(jì)系統(tǒng)為針對(duì)工業(yè)網(wǎng)絡(luò)安全的信息審計(jì)系統(tǒng),通過公安部權(quán)威檢測(cè),達(dá)到網(wǎng)絡(luò)通信安全審計(jì)行標(biāo)增強(qiáng)級(jí)。
工控領(lǐng)域網(wǎng)絡(luò)安全廠商任重道遠(yuǎn)
篇(9)
1前言
隨著工業(yè)化與信息化的快速發(fā)展以及云、大、物、智、移等新技術(shù)的逐步發(fā)展和深化實(shí)踐,制造業(yè)工業(yè)控制系統(tǒng)的應(yīng)用越來越多,隨之而來的網(wǎng)絡(luò)安全威脅的問題日益突出。特別是國家重點(diǎn)行業(yè)例如能源、水利、交通等的工業(yè)控制系統(tǒng)關(guān)系到一個(gè)國家經(jīng)濟(jì)命脈,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)一旦出現(xiàn)特殊情況可能會(huì)引發(fā)直接的人員傷亡和財(cái)產(chǎn)損失。本文主要以軌道交通行業(yè)CBTC系統(tǒng)業(yè)務(wù)的安全建設(shè)為例介紹工業(yè)信息安全防護(hù)思路,系統(tǒng)闡述了工業(yè)信息安全的發(fā)展背景及重要性,以網(wǎng)絡(luò)安全法和工業(yè)基礎(chǔ)設(shè)施的相關(guān)法規(guī)和要求等為依據(jù),并結(jié)合傳統(tǒng)工業(yè)控制系統(tǒng)的現(xiàn)狀,從技術(shù)設(shè)計(jì)和管理系統(tǒng)建設(shè)兩個(gè)方面來構(gòu)建工控系統(tǒng)網(wǎng)絡(luò)安全。
2工業(yè)信息安全概述
2.1工控網(wǎng)絡(luò)的特點(diǎn)
工業(yè)控制系統(tǒng)是指各種自動(dòng)化組件、過程監(jiān)控組件共同構(gòu)成的以完成實(shí)時(shí)數(shù)據(jù)采集、工業(yè)生產(chǎn)流程監(jiān)測(cè)控制的管控系統(tǒng),也可以說工業(yè)控制系統(tǒng)是控制技術(shù)(Control)、計(jì)算機(jī)技術(shù)(Computer)、通信技術(shù)(Communication)、圖形顯示技術(shù)(CRT)和網(wǎng)絡(luò)技術(shù)(Network)相結(jié)合的產(chǎn)物[1]。工控系統(tǒng)網(wǎng)絡(luò)安全是指工業(yè)自動(dòng)控制系統(tǒng)網(wǎng)絡(luò)安全,涉及眾多行業(yè)例如電力、水利、石油石化、航天、汽車制造等眾多工業(yè)領(lǐng)域,其中超過60%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施(如公路、軌道交通等)都依靠工控系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)。
2.2國內(nèi)外工業(yè)安全典型事件
眾所周知,工業(yè)控制系統(tǒng)是國家工業(yè)基礎(chǔ)設(shè)施的重要組成部分,近年來由于網(wǎng)絡(luò)技術(shù)的快速發(fā)展,使得工控系統(tǒng)正逐漸成為網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo),不斷涌現(xiàn)的安全事件也暴露出工控系統(tǒng)網(wǎng)絡(luò)安全正面臨著嚴(yán)峻的挑戰(zhàn)。(1)美國列車信號(hào)燈宕機(jī)事件2003年發(fā)生在美國佛羅里達(dá)州鐵路服務(wù)公司的計(jì)算機(jī)遭遇震網(wǎng)病毒感染,導(dǎo)致美國東部海岸的列車信號(hào)燈系統(tǒng)瞬間宕機(jī),部分地區(qū)的高速環(huán)線停運(yùn)。這次事件主要是由于感染震網(wǎng)病毒引起的,而這種病毒常被用來定向攻擊基礎(chǔ)(能源)設(shè)施,比如國家電網(wǎng)、水壩、核電站等。(2)烏克蘭電網(wǎng)攻擊事件2015年,烏克蘭的首都和西部地區(qū)電網(wǎng)突發(fā)停電,調(diào)查發(fā)現(xiàn)這次事故是由于黑客攻擊造成的。黑客攻擊了多座變電站,在電力公司的主控電腦系統(tǒng)里植入了病毒致使系統(tǒng)癱瘓?jiān)斐赏k娛鹿省#?)舊金山輕軌系統(tǒng)遭勒索病毒攻擊事件2016年,黑客攻擊美國舊金山輕軌系統(tǒng),造成上千臺(tái)服務(wù)器和工作站感染勒索病毒,數(shù)據(jù)全部被加密,售票系統(tǒng)全面癱瘓。其實(shí)國內(nèi)也發(fā)生過很多工業(yè)控制系統(tǒng)里面的安全事件,主要也是因?yàn)楦腥纠账鞑《疽鸬摹@账鞑《靖腥玖酥匾獦I(yè)務(wù)系統(tǒng)里面的一些工作站,例如在軌道交通行業(yè)里的典型系統(tǒng):綜合監(jiān)控系統(tǒng)、通信系統(tǒng)和信號(hào)系統(tǒng)等,其中大部分是由于移動(dòng)接入設(shè)備的不合規(guī)使用而帶來的風(fēng)險(xiǎn)。從以上事件可以看出,攻擊者要發(fā)動(dòng)網(wǎng)絡(luò)攻擊只需發(fā)送一個(gè)普通的病毒就可以達(dá)到目的,隨著網(wǎng)絡(luò)攻擊事件的頻發(fā)和各種復(fù)雜病毒的出現(xiàn),讓我們的工業(yè)系統(tǒng)安全以及公共利益、人民財(cái)產(chǎn)安全正遭受著嚴(yán)重的威脅。
2.3工控安全參考標(biāo)準(zhǔn)、規(guī)范
作為國家基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng),正面臨著來自網(wǎng)絡(luò)攻擊等的威脅,為此針對(duì)工控網(wǎng)絡(luò)安全,我國制定和了相關(guān)法律法規(guī)來指導(dǎo)網(wǎng)絡(luò)安全建設(shè)防護(hù)工作。其中有國家標(biāo)準(zhǔn)委在2016年10月的《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序》《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)第1部分:系統(tǒng)要求》等多項(xiàng)國家標(biāo)準(zhǔn)[2]。同年,工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,該標(biāo)準(zhǔn)以當(dāng)前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點(diǎn),分別從技術(shù)防護(hù)和管理設(shè)計(jì)兩方面來對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)提出建設(shè)防護(hù)要求。2017年6月,《網(wǎng)絡(luò)安全法》開始實(shí)施,網(wǎng)安法從不同的網(wǎng)絡(luò)層次規(guī)定了網(wǎng)絡(luò)安全的檢測(cè)、評(píng)估以及防護(hù)和管理等要求,促進(jìn)了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的發(fā)展。
3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析
軌道交通信號(hào)系統(tǒng)(CBTC)是基于通信技術(shù)的列車控制系統(tǒng),該系統(tǒng)依靠通信技術(shù)實(shí)現(xiàn)“車地通信”并且實(shí)時(shí)地傳遞“列車定位”信息[3]。目前CBTC安全建設(shè)存在以下問題:(1)網(wǎng)絡(luò)邊界無隔離隨著CBTC的集成度越來越高,各個(gè)子系統(tǒng)之間的聯(lián)系和數(shù)據(jù)通信也越來越密切,根據(jù)地域一般劃分為控制中心、車站、車輛段和停車場(chǎng),根據(jù)業(yè)務(wù)又劃分為ATO、ATS、CI、DCS等多個(gè)子系統(tǒng),各區(qū)域之間沒有做好訪問控制措施,缺失入侵防范和監(jiān)測(cè)的舉措。各個(gè)子系統(tǒng)之間一般都是互聯(lián)互通的,不同的子系統(tǒng)由于承載的業(yè)務(wù)的重要等級(jí)不同也是需要對(duì)其邊界進(jìn)行防護(hù)的,還有一些安全系統(tǒng)和非安全系統(tǒng)之間也都沒有做隔離。(2)網(wǎng)絡(luò)異常查不到針對(duì)CBTC系統(tǒng)的網(wǎng)絡(luò)入侵行為一般隱蔽性很強(qiáng),沒有專門的設(shè)備去檢測(cè)的話很難發(fā)現(xiàn)入侵行為。出現(xiàn)安全事件后沒有審計(jì)記錄和追溯的手段,等下次攻擊發(fā)生依然沒有抵抗的能力。沒有對(duì)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和記錄,不能及時(shí)發(fā)現(xiàn)高級(jí)持續(xù)威脅、不能有效應(yīng)對(duì)攻擊、不能及時(shí)發(fā)現(xiàn)各種異常操作。(3)工作站、服務(wù)器無防護(hù)CBTC系統(tǒng)工作站、服務(wù)器的大部分采用Windows系列的操作系統(tǒng),還有一部分Linux系列的操作系統(tǒng),系統(tǒng)建設(shè)之初基本不會(huì)對(duì)工作站和服務(wù)器的操作系統(tǒng)進(jìn)行升級(jí),操作系統(tǒng)在使用過程中不斷暴露漏洞,而系統(tǒng)漏洞又無法得到及時(shí)的修復(fù),這都會(huì)導(dǎo)致工作站和服務(wù)器面臨風(fēng)險(xiǎn)。沒有在系統(tǒng)上線前關(guān)閉冗余系統(tǒng)服務(wù),沒有加強(qiáng)系統(tǒng)的密碼策略。除此之外,運(yùn)維人員可以在調(diào)試過程中在操作站和服務(wù)器上安裝與業(yè)務(wù)無關(guān)的軟件,也可能會(huì)開啟操作系統(tǒng)的遠(yuǎn)程功能,上線后也不會(huì)關(guān)閉此功能,這些操作都會(huì)使得系統(tǒng)配置簡單,更容易受到攻擊。目前在CBTC系統(tǒng)各個(gè)區(qū)域部分尚未部署桌管軟件和殺毒軟件,無法對(duì)USB等外接設(shè)備的接入行為進(jìn)行管控,隨意使用移動(dòng)存儲(chǔ)介質(zhì)的現(xiàn)象非常普遍,這種行為極易將病毒、木馬等威脅帶入到生產(chǎn)系統(tǒng)中。(4)運(yùn)維管理不完善單位內(nèi)安全組織機(jī)構(gòu)人員職責(zé)不完善,缺乏專業(yè)的人員。沒有針對(duì)信號(hào)系統(tǒng)成立專門的安全管理部門,未明確相關(guān)業(yè)務(wù)部門的安全職責(zé)和職員的技能要求,也缺乏專業(yè)安全人才。未形成完整的網(wǎng)絡(luò)安全管理制度政策來規(guī)劃安全建設(shè)和設(shè)計(jì)工控系統(tǒng)安全需求。另外將工業(yè)控制系統(tǒng)的運(yùn)維工作外包給第三方人員后并無相關(guān)的審計(jì)和監(jiān)控措施,當(dāng)?shù)谌竭\(yùn)維人員進(jìn)行設(shè)備維護(hù)時(shí),業(yè)務(wù)系統(tǒng)的運(yùn)營人員不能及時(shí)了解第三方運(yùn)維人員是否存在誤操作行為,一旦發(fā)生事故無法及時(shí)準(zhǔn)確定位問題原因、影響范圍和責(zé)任追究。目前CBTC系統(tǒng)的網(wǎng)絡(luò)采用物理隔離,基本可以保證正常生產(chǎn)經(jīng)營。但是管理網(wǎng)接入工控系統(tǒng)網(wǎng)絡(luò)后,工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部的安全防護(hù)措施無法有效抵御來自外部的攻擊和威脅,而且由于與管理網(wǎng)的數(shù)據(jù)安全交互必須在工控網(wǎng)絡(luò)邊界實(shí)現(xiàn),因此做好邊界保護(hù)尤為重要。
4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系
工控系統(tǒng)信息化建設(shè)必須符合國家有關(guān)規(guī)定,從安全層面來看要符合國家級(jí)防護(hù)的相關(guān)要求,全面規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全保障體系,使得工控體系符合相關(guān)安全標(biāo)準(zhǔn),確保工控安全保障體系的廣度和深度。根據(jù)安全需求建立安全防護(hù)體系,通過管理和技術(shù)實(shí)現(xiàn)主被動(dòng)安全相結(jié)合,有效提升了工控業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。根據(jù)業(yè)務(wù)流量和業(yè)務(wù)功能特點(diǎn)以及工控系統(tǒng)網(wǎng)絡(luò)安全的基本要求來設(shè)計(jì)不同的項(xiàng)目技術(shù)方案,從技術(shù)角度來識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn),依據(jù)系統(tǒng)架構(gòu)來設(shè)計(jì)安全加固措施,同時(shí)還要按照安全管理的相關(guān)要求建立完善的網(wǎng)絡(luò)安全管理制度體系,來確保整體業(yè)務(wù)系統(tǒng)的安全有效運(yùn)行。
4.1邊界訪問控制
考慮到資產(chǎn)的價(jià)值、重要性、部署位置、系統(tǒng)功能、控制對(duì)象等要素,我們將軌道交通信號(hào)系統(tǒng)業(yè)務(wù)網(wǎng)絡(luò)劃分為多個(gè)子安全域,根據(jù)CBTC業(yè)務(wù)的重要性、實(shí)時(shí)性、關(guān)聯(lián)性、功能范圍、資產(chǎn)屬性以及對(duì)現(xiàn)場(chǎng)受控設(shè)備的影響程度等,將工控網(wǎng)絡(luò)劃分成不同的安全防護(hù)區(qū)域,所有業(yè)務(wù)子系統(tǒng)都必須置于相應(yīng)的安全區(qū)域內(nèi)。通過采取基于角色的身份鑒別、權(quán)限分配、訪問控制等安全措施來實(shí)現(xiàn)工業(yè)現(xiàn)場(chǎng)中的設(shè)備登錄控制、應(yīng)用服務(wù)資源訪問的身份認(rèn)證管理,使得只有獲得授權(quán)的用戶才能對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)更新、參數(shù)設(shè)定,在控制設(shè)備及監(jiān)控設(shè)備上運(yùn)行程序、標(biāo)識(shí)相應(yīng)的數(shù)據(jù)集合等操作,防止未經(jīng)授權(quán)的修改或刪除等操作。4.2流量監(jiān)測(cè)與審計(jì)網(wǎng)絡(luò)入侵檢測(cè)主要用于檢測(cè)網(wǎng)絡(luò)中的惡意探測(cè)和惡意攻擊行為,常見有網(wǎng)絡(luò)蠕蟲、間諜和木馬軟件、高級(jí)持續(xù)性威脅攻擊、口令暴力破解、緩沖區(qū)溢出等各種深度攻擊行為[4]。可以利用漏洞掃描設(shè)備掃描探測(cè)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、中間件、數(shù)據(jù)庫等網(wǎng)絡(luò)資產(chǎn)和應(yīng)用,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中各種設(shè)備和應(yīng)用的安全漏洞,提出修復(fù)和整改建議來保障系統(tǒng)和設(shè)備自身的安全性。惡意代碼防護(hù)可以檢測(cè)、查殺和抵御各種病毒,如蠕蟲病毒、文件病毒等木馬或惡意軟件、灰色軟件等。通過安全配置核查設(shè)備來及時(shí)發(fā)現(xiàn)識(shí)別系統(tǒng)設(shè)備是否存在不合理的策略配置、系統(tǒng)配置、環(huán)境參數(shù)配置的問題。另外要加強(qiáng)安全審計(jì)管理,通常包括日常運(yùn)維操作安全審計(jì)、數(shù)據(jù)庫訪問審計(jì)以及所有設(shè)備和系統(tǒng)的日志審計(jì),主要體現(xiàn)在對(duì)各類用戶的操作行為進(jìn)行審計(jì)和對(duì)重要安全事件進(jìn)行記錄和審計(jì),審計(jì)日志的內(nèi)容需要包括事件發(fā)生的確切時(shí)間、用戶名稱、事件的類型、事件執(zhí)行情況說明等。
4.3建立統(tǒng)一監(jiān)測(cè)管理平臺(tái)
根據(jù)等級(jí)保護(hù)制度要求規(guī)定,重要等級(jí)在第二級(jí)以上的信息系統(tǒng)需要在網(wǎng)絡(luò)中建立統(tǒng)一集中管理中心,通過統(tǒng)一安全管理平臺(tái)能夠?qū)W(wǎng)絡(luò)設(shè)備、安全設(shè)備、各類操作系統(tǒng)等的運(yùn)行狀況、安全日志、配置策略進(jìn)行集中監(jiān)測(cè)、采集、日志范化和歸并處理,平臺(tái)可以呈現(xiàn)CBTC系統(tǒng)中各類設(shè)備間的訪問關(guān)系,形成基于網(wǎng)絡(luò)訪問關(guān)系、業(yè)務(wù)操作指令的工業(yè)控制環(huán)境的行為白名單,從而可以及時(shí)識(shí)別和發(fā)現(xiàn)未定義的行為以及重要的業(yè)務(wù)操作指令的異常行為。可以設(shè)置監(jiān)控指標(biāo)告警閾值,觸發(fā)告警并記錄,對(duì)各類報(bào)警和日志信息進(jìn)行關(guān)聯(lián)分析和預(yù)警通報(bào)。
4.4編制網(wǎng)絡(luò)安全管理制度
設(shè)立安全專屬職能的管理部門和領(lǐng)導(dǎo)者及管理成員的崗位,制定總體安全方針,指明組織機(jī)構(gòu)的總體目標(biāo)和工作原則。對(duì)于安全管理成員的角色設(shè)計(jì)需按三權(quán)分立的原則來規(guī)劃并落實(shí),必須配備專職的安全成員來指導(dǎo)和管理安全的各方面工作。指派專人來制定安全管理制度,而且制度要經(jīng)過上層組織機(jī)構(gòu)評(píng)審和正式,保持對(duì)下發(fā)制度的定期評(píng)審和落實(shí)情況的核查。由專人來負(fù)責(zé)單位內(nèi)人員的招聘錄用工作,對(duì)人員的專業(yè)能力、背景及任職資格進(jìn)行審核和考察,人員錄用時(shí)需要跟被錄用人簽訂保密協(xié)議和崗位責(zé)任書。編制完善的制度規(guī)范,編制范圍應(yīng)涵蓋信息系統(tǒng)在規(guī)劃和建設(shè)、安全定級(jí)與備案、方案設(shè)計(jì)、開發(fā)與實(shí)施、驗(yàn)收與測(cè)試以及完成系統(tǒng)交付的整個(gè)生命周期。針對(duì)不同系統(tǒng)建設(shè)階段分別編制軟件開發(fā)管理規(guī)范、代碼編寫規(guī)范、工程監(jiān)理制度、測(cè)試驗(yàn)收制度,在測(cè)試和交付階段記錄和收集各類表單、清單。加強(qiáng)安全運(yùn)維建設(shè),制定包含物理環(huán)境管理、資產(chǎn)管理、系統(tǒng)設(shè)備介質(zhì)管理以及漏洞風(fēng)險(xiǎn)管理等方面的規(guī)范要求,對(duì)于機(jī)房等辦公區(qū)域的人員進(jìn)出、設(shè)備進(jìn)出進(jìn)行記錄和控制,建立資產(chǎn)管理制度規(guī)范系統(tǒng)資質(zhì)的管理與使用行為,保存相關(guān)的資產(chǎn)清單,對(duì)各種軟硬件資產(chǎn)做好定期維護(hù),對(duì)資產(chǎn)采購、領(lǐng)用和發(fā)放制定嚴(yán)格的審批流程。針對(duì)漏洞做好風(fēng)險(xiǎn)管理,針對(duì)發(fā)現(xiàn)的安全問題采取相關(guān)的應(yīng)對(duì)措施,形成書面記錄和總結(jié)報(bào)告。在第三方外包人員管理方面應(yīng)該與外包運(yùn)維服務(wù)商簽訂第三方運(yùn)維服務(wù)協(xié)議,協(xié)議中應(yīng)明確外包工作范圍和具體職責(zé)。
5結(jié)束語
由于工控系統(tǒng)安全性能不高和頻繁爆發(fā)的網(wǎng)絡(luò)安全攻擊的趨勢(shì),近年來我國將網(wǎng)絡(luò)安全建設(shè)提升到了國家安全戰(zhàn)略的高度,并且制定了相關(guān)的標(biāo)準(zhǔn)、政策、技術(shù)、程序等來積極應(yīng)對(duì)安全風(fēng)險(xiǎn),業(yè)務(wù)主管部門還應(yīng)進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全意識(shí),開展網(wǎng)絡(luò)安全評(píng)估,制定網(wǎng)絡(luò)安全策略,提高工控網(wǎng)絡(luò)安全水平,確保業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
參考文獻(xiàn):
[1]石勇,劉巍偉,劉博.工業(yè)控制系統(tǒng)(ICS)的安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).
篇(10)
1 TDCS與《信息安全等級(jí)保護(hù)管理辦法》中四級(jí)基本要求的差距
1.1 四級(jí)基本要求介紹
《信息安全等級(jí)保護(hù)管理辦法》中四級(jí)的基本要求有2大方面即管理要求與技術(shù)要求。
1.1.1 管理要求
該部分分為5個(gè)方面:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。
1.1.2 技術(shù)要求
要求分為5個(gè)方面:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。下面就這5個(gè)方面進(jìn)行簡單介紹。
1)物理安全
規(guī)定了系統(tǒng)設(shè)備的物理環(huán)境,避免常見自然或人為災(zāi)害的影響。
2)網(wǎng)絡(luò)安全
結(jié)構(gòu)安全:規(guī)定了結(jié)構(gòu)上要保證冗余并根據(jù)職能和重要性進(jìn)行網(wǎng)段劃分,通道上要保證訪問路徑的安全和帶寬,邊界上保證與其它網(wǎng)絡(luò)的可靠隔離。
訪問控制:邊界上要部署訪問流量的控制設(shè)備,進(jìn)行訪問控制;內(nèi)部嚴(yán)禁開通遠(yuǎn)程撥號(hào)功能。
安全審計(jì):集中審計(jì)運(yùn)行情況、流量、用戶行為,便于分析問題以及數(shù)據(jù)恢復(fù)。
入侵防范:監(jiān)測(cè)網(wǎng)絡(luò)邊界的攻擊行為,并定位記錄和即時(shí)報(bào)警。
惡意代碼防范:在內(nèi)部及時(shí)更新防范的代碼庫,在邊界要做到檢測(cè)和清除惡意代碼。
3)主機(jī)安全
規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、信息保護(hù)、入侵防范、惡意代碼防范及資源控制。
4)應(yīng)用安全
規(guī)定了身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、信息保護(hù)、通信的完整性和保密性、軟件容錯(cuò)、資源控制、抗抵賴。
5)數(shù)據(jù)安全及備份恢復(fù)
規(guī)定了數(shù)據(jù)的完整性和保密性,以及備份數(shù)據(jù)的恢復(fù)。
1.2 TDCS現(xiàn)狀與四級(jí)差距
目前TDCS網(wǎng)絡(luò)安全建設(shè)相對(duì)于《國家信息安全等級(jí)保護(hù)管理辦法》中4 級(jí)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》還存在著巨大的差距,其中如接入安全控制系統(tǒng)、指紋認(rèn)證系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)和IT資源集中安全管理等重要網(wǎng)絡(luò)安全子系統(tǒng)目前仍是空白,具體防護(hù)差距請(qǐng)見表1。
2 幾種網(wǎng)絡(luò)安全技術(shù)介紹
2.1 接入安全控制系統(tǒng)
接入安全控制系統(tǒng)是內(nèi)網(wǎng)安全管理的重要組成部分,部署在企業(yè)的內(nèi)部網(wǎng)絡(luò)中,可以保護(hù)內(nèi)部計(jì)算機(jī)免受外來終端的危害,可禁止重要信息通過外設(shè)和USB 等端口泄漏,防范非法設(shè)備接入內(nèi)網(wǎng)等。
2.1.1 外設(shè)與接口管理
外設(shè)與接口管理主要對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)上的各種外設(shè)和接口進(jìn)行管理。可以對(duì)內(nèi)網(wǎng)終端計(jì)算機(jī)上的各種外設(shè)和接口設(shè)置禁用,防止用戶非法使用。
2)本表嚴(yán)格依據(jù)國家《信息安全等級(jí)保護(hù)管理辦法》中4 級(jí)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》起草,表中8.x.x.x 編號(hào)為《基本要求》文件中實(shí)際編號(hào).
1)存儲(chǔ)設(shè)備禁用
除了網(wǎng)絡(luò)外,另一個(gè)最可能帶來病毒入侵的方式就是存儲(chǔ)設(shè)備了。內(nèi)網(wǎng)安全控制系統(tǒng)可以禁止如下存儲(chǔ)設(shè)備的使用:軟驅(qū)、光驅(qū)、存儲(chǔ)設(shè)備、移動(dòng)硬盤等。
2)設(shè)置移動(dòng)存儲(chǔ)設(shè)備只讀
內(nèi)網(wǎng)安全控制系統(tǒng)可以設(shè)置將移動(dòng)存儲(chǔ)設(shè)備置于只讀狀態(tài),不允許用戶修改或者寫入。
2.1.2 安全接入管理
1)在線主機(jī)監(jiān)測(cè)可以通過監(jiān)聽和主動(dòng)探測(cè)等方式檢測(cè)網(wǎng)絡(luò)中所有在線的主機(jī),并判別在線主機(jī)是否是經(jīng)過內(nèi)網(wǎng)安全控制系統(tǒng)授權(quán)認(rèn)證的信任主機(jī)。
2)主機(jī)授權(quán)認(rèn)證
很多的計(jì)算機(jī)被病毒入侵,主要原因是自身的健壯性與否造成的。根據(jù)這種情況,內(nèi)網(wǎng)安全控制系統(tǒng)提供了網(wǎng)絡(luò)授權(quán)認(rèn)證功能。內(nèi)網(wǎng)安全控制系統(tǒng)可以通過識(shí)別在線主機(jī)是否安裝客戶端程序,并結(jié)合客戶端報(bào)告的主機(jī)補(bǔ)丁安裝情況,反病毒程序安裝和工作情況等信息,進(jìn)行網(wǎng)絡(luò)的授權(quán)認(rèn)證,只允許通過授權(quán)認(rèn)證的主機(jī)使用網(wǎng)絡(luò)資源。
3)非法主機(jī)網(wǎng)絡(luò)阻斷
對(duì)于探測(cè)到的非法主機(jī),內(nèi)網(wǎng)安全控制系統(tǒng)可以主動(dòng)阻止其訪問任何網(wǎng)絡(luò)資源,從而保證非法主機(jī)不對(duì)網(wǎng)絡(luò)產(chǎn)生影響。
3 結(jié)束語
可以想像,未來的TDCS系統(tǒng),應(yīng)該具備這樣幾個(gè)特點(diǎn):第一,網(wǎng)絡(luò)是安全的,體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有精確識(shí)別人員身份,可以阻止內(nèi)部和外部攻擊,可以阻止各種內(nèi)網(wǎng)安全控制系統(tǒng)未授權(quán)的非法主機(jī)接入和訪問。第二,網(wǎng)絡(luò)是穩(wěn)定的,體現(xiàn)在網(wǎng)絡(luò)應(yīng)該具有冗余性和自愈性及良好的通道。第三,網(wǎng)絡(luò)管理是高效地,體現(xiàn)在將有統(tǒng)一的管理設(shè)備可以將網(wǎng)絡(luò)管理功能覆蓋。
篇(11)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,關(guān)于其網(wǎng)絡(luò)安全問題尤為突出。我國石油企業(yè)的現(xiàn)代化建設(shè)起步晚,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境相對(duì)脆弱,網(wǎng)絡(luò)安全容易受到多方面的因素影響。加之,在開放的互聯(lián)網(wǎng)平臺(tái)下,計(jì)算機(jī)網(wǎng)絡(luò)的安全問題呈現(xiàn)出多渠道、多層次的特點(diǎn)。因此,凈化網(wǎng)絡(luò)運(yùn)行環(huán)境,尤其是設(shè)置有效的登錄控制,以及網(wǎng)絡(luò)防火墻,是實(shí)現(xiàn)安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)。石油企業(yè)在現(xiàn)代化建設(shè)中,基于網(wǎng)絡(luò)安全問題的解決尤為重要。
1、石油企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患
1.1 網(wǎng)絡(luò)攻環(huán)境下的病毒與黑客入侵
石油企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行平臺(tái),基于開放的互聯(lián)網(wǎng)環(huán)境。企業(yè)網(wǎng)絡(luò)中的漏洞,都會(huì)成為網(wǎng)絡(luò)攻擊的對(duì)象。黑客入侵就是基于網(wǎng)絡(luò)漏洞,對(duì)企業(yè)的網(wǎng)絡(luò)環(huán)境造成威脅。同時(shí)企業(yè)的網(wǎng)絡(luò)服務(wù)端以員工為主,所以網(wǎng)絡(luò)環(huán)境相對(duì)復(fù)雜,關(guān)于網(wǎng)頁的瀏覽或東西的下載,都存在病毒的入侵的隱患。并且,員工的網(wǎng)絡(luò)安全意識(shí)比較淡薄,對(duì)于網(wǎng)絡(luò)環(huán)境的潛在安全隱患缺乏重視,造成企業(yè)網(wǎng)絡(luò)安全環(huán)境比較復(fù)雜,易受外界入侵源的攻擊。
1.2 人為因素下的網(wǎng)絡(luò)安全問題
人為因素下的網(wǎng)絡(luò)安全問題,主要表現(xiàn)在網(wǎng)絡(luò)管理端和用戶端。員工作為主要的用戶端,諸多不當(dāng)?shù)木W(wǎng)絡(luò)操作,都會(huì)帶來安全隱患。同時(shí),網(wǎng)絡(luò)管理員在安全管理中,關(guān)于數(shù)據(jù)接入端和服務(wù)器的管理力度缺乏,造成網(wǎng)絡(luò)數(shù)據(jù)管理上的不足。企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)平臺(tái)都設(shè)有權(quán)限,管理員在權(quán)限的設(shè)計(jì)上存在漏洞,在病毒的入侵下,造成局部網(wǎng)絡(luò)出現(xiàn)信息癱瘓的問題。
1.3 網(wǎng)絡(luò)連接的不規(guī)范,尤其是各系統(tǒng)間的網(wǎng)絡(luò)連接
石油企業(yè)在構(gòu)建信息化的管理平臺(tái)中,各管理系統(tǒng)的網(wǎng)絡(luò)一體化,是平臺(tái)構(gòu)建的核心內(nèi)容。企業(yè)在系統(tǒng)的連接中,缺乏網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí),信息系統(tǒng)與管理系統(tǒng)的連接,造成病毒對(duì)于管理網(wǎng)絡(luò)的入侵,最終造成整個(gè)網(wǎng)絡(luò)平臺(tái)的癱瘓。同時(shí),網(wǎng)絡(luò)連接不規(guī)范,在構(gòu)建安全的以太網(wǎng)環(huán)境中,存在諸多安全的操作,諸如一臺(tái)computer構(gòu)建兩個(gè)以太網(wǎng),在病毒的入侵防范上比較欠缺。
1.4 企業(yè)缺乏完善的網(wǎng)絡(luò)安全管理
石油企業(yè)的信息平臺(tái)構(gòu)建,注重平臺(tái)的形式,而對(duì)平臺(tái)缺乏完善的后期維護(hù),網(wǎng)絡(luò)安全管理工作不到位,以至于受到多方面的因素影響。在安全管理中,管理人員對(duì)于網(wǎng)絡(luò)漏洞和軟件不能及時(shí)修補(bǔ)和升級(jí)。同時(shí),對(duì)于用戶端的下載和網(wǎng)頁瀏覽,管理力度缺乏,用戶端可以基于各網(wǎng)絡(luò)站點(diǎn),隨意的東西下載,造成內(nèi)部網(wǎng)絡(luò)的安全隱患。而且,對(duì)于登陸的密碼和賬號(hào),員工隨意的共享或轉(zhuǎn)借,造成網(wǎng)絡(luò)運(yùn)行中的各類隱患。
2、計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的應(yīng)對(duì)措施
在石油企業(yè)的現(xiàn)代化進(jìn)程中,計(jì)算機(jī)網(wǎng)絡(luò)安全問題顯得尤為突出。企業(yè)網(wǎng)絡(luò)安全問題主要來源于管理、網(wǎng)絡(luò)操作,以及網(wǎng)絡(luò)安全體系等方面。因此,在對(duì)于安全隱患的防范中,強(qiáng)化網(wǎng)絡(luò)安全管理,以構(gòu)建完善的防范體系,營造安全的網(wǎng)絡(luò)環(huán)境,加速企業(yè)信息平臺(tái)的構(gòu)建于完善。
2.1 強(qiáng)化網(wǎng)絡(luò)安全管理
石油企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患,很大程度上源于安全管理不到位,尤其是網(wǎng)絡(luò)權(quán)限的控制,是強(qiáng)化安全管理的重要內(nèi)容。構(gòu)建完善的權(quán)限控制系統(tǒng),對(duì)用戶端進(jìn)行有效的約束,進(jìn)而凈化網(wǎng)絡(luò)運(yùn)行環(huán)境。
2.1.1 構(gòu)建完善的權(quán)限控制系統(tǒng)
企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò),在登錄端采用權(quán)限控制的方式,對(duì)網(wǎng)絡(luò)的使用進(jìn)行保護(hù)。因而,企業(yè)網(wǎng)絡(luò)在安全管理的進(jìn)程中,強(qiáng)化控制系統(tǒng)的構(gòu)建。系統(tǒng)主要針對(duì)密碼驗(yàn)證、身份識(shí)別等內(nèi)容,形成完善的控制系統(tǒng)。在網(wǎng)絡(luò)的使用前,用戶端需要進(jìn)行身份的認(rèn)證后,才能進(jìn)行相關(guān)網(wǎng)絡(luò)的使用。而且,對(duì)于身份認(rèn)證失敗的用戶,可以將其列為黑名單,進(jìn)行集中的安全管理,以針對(duì)性的防范該類用戶的登陸。于此,在權(quán)限控制系統(tǒng)的構(gòu)建中,要明確好登陸系統(tǒng)和控制系統(tǒng),兩系統(tǒng)同時(shí)進(jìn)行網(wǎng)絡(luò)的保護(hù),以凈化用戶端的網(wǎng)絡(luò)環(huán)境。
2.1.2 構(gòu)建網(wǎng)絡(luò)安全體系
企業(yè)網(wǎng)絡(luò)安全環(huán)境的營造,在于安全體系的構(gòu)建。基于網(wǎng)絡(luò)防火墻的構(gòu)建,強(qiáng)化外來網(wǎng)絡(luò)威脅的阻止,以營造安全的網(wǎng)絡(luò)環(huán)境。同時(shí),基于復(fù)雜的用戶端,企業(yè)網(wǎng)絡(luò)環(huán)境相對(duì)薄落。于是,在安全體系的構(gòu)建中,以多級(jí)防護(hù)體系為主,形成多層保護(hù)機(jī)制,強(qiáng)化網(wǎng)絡(luò)安全管理的力度。對(duì)于網(wǎng)絡(luò)的數(shù)據(jù),做到封閉式的管理,關(guān)鍵的數(shù)據(jù)要進(jìn)行加密處理,以防止信息的泄漏。
2.2 強(qiáng)化網(wǎng)絡(luò)設(shè)備的管理
企業(yè)的網(wǎng)絡(luò)設(shè)備是安全隱患預(yù)防的重要部分,尤其是對(duì)網(wǎng)絡(luò)主機(jī)或服務(wù)器,是強(qiáng)化網(wǎng)絡(luò)安全管理的重點(diǎn)。對(duì)于網(wǎng)絡(luò)的相關(guān)設(shè)備,進(jìn)行妥善的管理,網(wǎng)絡(luò)的電纜線在鋪設(shè)和管理中,要做到管理的封閉性,以防止外界物理輻射的影響,而造成信息傳輸?shù)膯栴}。同時(shí),對(duì)于相關(guān)的網(wǎng)絡(luò)軟件,進(jìn)行及時(shí)的升級(jí)或修補(bǔ),以防止網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞,這樣可以避免各類潛在的安全隱患。
2.3 建立網(wǎng)絡(luò)安全應(yīng)急機(jī)制
在開放的互聯(lián)網(wǎng)環(huán)境下,企業(yè)網(wǎng)路存在諸多的安全隱患。構(gòu)建網(wǎng)絡(luò)安全應(yīng)急機(jī)制,對(duì)于企業(yè)的信息管理系統(tǒng)具有重要的意義。基于完善的安全應(yīng)急機(jī)制,可以及時(shí)地對(duì)各類安全威脅進(jìn)行處理,避免外來入侵源對(duì)于網(wǎng)絡(luò)平臺(tái)的深入攻擊。同時(shí),對(duì)于重要的數(shù)據(jù)信息,要進(jìn)行加密或備份,以應(yīng)對(duì)數(shù)據(jù)意外丟失的情況。在實(shí)際的網(wǎng)絡(luò)安全管理中,關(guān)于網(wǎng)絡(luò)運(yùn)行環(huán)境的實(shí)時(shí)監(jiān)控,是及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞或外來入侵源的重要工作。
2.4 強(qiáng)化用戶端的安全意識(shí)
隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境越來越復(fù)雜。企業(yè)用戶端在網(wǎng)絡(luò)的使用中,要強(qiáng)化其網(wǎng)絡(luò)安全意識(shí),規(guī)范相關(guān)的上網(wǎng)操作,諸如網(wǎng)頁的瀏覽或數(shù)據(jù)的下載等活動(dòng),要在安全的環(huán)境下進(jìn)行。同時(shí),做好網(wǎng)絡(luò)安全的宣傳工作,強(qiáng)調(diào)網(wǎng)絡(luò)犯罪的嚴(yán)重性,進(jìn)而約束員工的網(wǎng)絡(luò)活動(dòng)。
3、結(jié)語
石油企業(yè)在現(xiàn)代化建設(shè)中,網(wǎng)絡(luò)信息平臺(tái)的構(gòu)建十分關(guān)鍵。而基于開放的互聯(lián)網(wǎng)環(huán)境,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)存在諸多的安全隱患,嚴(yán)重制約著企業(yè)信息平臺(tái)的構(gòu)建。因而,強(qiáng)化企業(yè)網(wǎng)絡(luò)安全管理,尤其是安全網(wǎng)絡(luò)體系的構(gòu)建,對(duì)于凈化網(wǎng)絡(luò)環(huán)境,防范網(wǎng)絡(luò)威脅,具有重要的作用。
參考文獻(xiàn)
