工业网络信息安全范文
发布时间:2023-10-11 17:33:15
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇工业网络信息安全范例,将为您的写作提供有力的支持和灵感!
篇1
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 08-0000-02
Military Enterprise Network Security Issues
Wang Huqiang,Wu Suqin,Gu Wenhui
(Luoyang Bearing Science&Technology Co.,Ltd.,Luoyang471039,China)
Abstract:The military enterprises in the national economy and play an important role,along with in-depth information technology,network information security issues are also increasingly prominent.This information from the affected area enterprise network security defense several major factors,discusses military enterprise network information security solutions.
Keywords:Military enterprises;Network information;Security issues
一、概述
军工企业是国防科技工业的重要组成部分,是国家综合实力的重要基础。当前,不少军工企业除了承担着军工科研任务和生产任务外,同时也是行业先进技术和生产力的代表,担负着国民经济建设的重大历史使命。
在信息技术高度发展的今天,军工企业的信息化建设也在积极科学的开展。网络已经成为企业研发、生产、经营不可或缺的工具,是企业信息化建设的重要资产。网络充分发挥了现代化工具的作用,为企业发展提供更加快捷和强大的支撑以提高整体的核心竞争力。
但是,随着信息技术的迅猛发展,企业信息化水平的逐步提高,网络信息的安全问题也日益突出。特别是通过网络发生的一些失密、泄密事件,暴露出军工企业科研生产过程中网络信息安全方面存在的问题和隐患。加强军工企业的网络信息安全管理,关系到企业的利益,关系到国家的安全,还关系到包括企业员工在内的广大人民群众的根本利益。
二、影响军工企业网络信息安全的几个主要因素
(一)管理因素
1.体制方面
军工企业因保密工作的需要,大多成立了计算机安全保密领导小组,但往往只是为工作需要所设,未能发挥其真正的作用。目前大多数军工企业信息部门的技术人员除了维护全企业的计算机和网络之外,还负责企业信息化的推广和实施工作,现在很多企业的信息部门还承担着保密管理工作的重要任务,多数技术人员还兼顾着其他的业务,网络信息安全管理实际很难到位。
2.制度方面
军工企业一般都制定有严格的安全保密制度,但这些制度主要是针对网络来制定的,对非网络,往往是疏于管理。一方面非网络的安全管理制度不完善,另一方面,即使制定了合理完善的安全管理制度,却难以付诸实施。原因有二:其一为对安全制度的学习不够全面,甚至很少安排学习;其二是执行不力。例如,虽然要求所有的非计算机都要设置相应的口令和安装杀毒软件,但还是有计算机没有设置任何密码,没有安装杀毒软件,一台计算机上甚至能够查杀到200多个木马病毒。
(二)人员因素
网络信息的安全工作未得到应有的重视,大家普遍认为只要硬件设备工作正常,数据完好无损,网络正常工作就高枕无忧。甚至认为网络安全仅是网络管理员的职责,殊不知网络安全需要全体人员的参与和积极配合,从根本上认识到网络安全关乎每个人的切身利益。
另外,网络安全管理技术人员的主要工作是软硬件的维护,常常因为经费的问题或工作太忙走不开等原因而得不到系统、专业的培训,尤其是在网络知识日新月异的今天,网络安全知识的积累往往跟不上业务发展的需要,严重制约了安全管理在网络应用上的实施。
(三)技术因素
1.软硬件漏洞
当前,软硬件的漏洞无处不在。众所周知,计算机网络的主要软硬件大多依赖进口。这些软硬件都存在大量的安全漏洞,极易给病毒、隐蔽信道和可恢复密码等开辟捷径,极易为他人利用。每当发现新的漏洞,就会在短短的几分钟内传遍整个网络,攻击者就可以利用这些漏洞对网络进行攻击,网络信息处于被窃听、监视等多种安全威胁中,信息安全极度脆弱。
2.计算机病毒
互连互通的网络给人们传输信息和共享信息带来了极大的方便,但同时也给病毒的传播大开方便之门。而且现在病毒的隐蔽性、传染性、破坏性历经演变之后都有了很大的提高,使网络用户防不慎防,给企业带来巨大的损失。
3.黑客攻击
境内外各种敌对势力一直把我国军工单位作为渗透、情报窃取的重点目标,无时不在对我进行情报窃密活动,黑客攻击是常用手段之一。黑客利用企业网络存在的一些安全漏洞,经过一些非法手段访问企业内部网络和数据资源,可以删除、复制、修改甚至毁坏一些重要数据,从而给企业和个人用户带来意想不到的损失。
4.内外网隔离不力
大多数军工企业既有网络,也有非网络,非网络一般又有与互联网隔离的运行办公、管理信息系统的内部网络(简称“内网”)和与互联网联通的外部网络(简称“外网”)。网络一般能够做到与其他非网络物理隔离,但非的内外网还是存在以下问题:
(1)非的内外部网络隔离执行不力,一机多用现象普遍。大部分军工企业没有做到非的内外部网络的物理隔离,或逻辑隔离强度不够;另外存在一机多用的情况,在内外网之间随意转换使用。致使病毒在多个网络中流传,存在一点突破全网尽失的现象。
(2)一些单位内部文件共享情况比较普遍,缺乏有效的授权访问机制,对内不设防的情况比较多。
(3)移动存储介质管理不严。对于一些物理隔离较好的内外部网络,因移动存储介质能够在两个网络之间能交叉使用,致使病毒仍能在网络之间流转,甚至能通过接入互联网的计算机把信息传输出去,致使内外网的隔离失去实际意义。
三、解决对策和措施
解决网络信息安全的对策和措施的遵旨是技术与管理相结合:技术和管理不是相互孤立的。对于任何一个企业来说,网络信息的安全不仅是技术方面的问题,更是管理的问题。
(一)制定完善的安全管理制度,拟定可行的培训计划
真正发挥计算机安全保密领导小组的职能作用,把非网络的安全管理也作为工作的重点来抓,提高全体员工对网络安全事故危害性的认识。制定完善的安全管理制度,精确到细节,从企业高管到部门负责人以及普通员工,确定每个用户在网络中扮演的角色和承担的安全责任义务,职责分明。随着计算机网络延伸至企业业务的各个层面,仅靠信息中心的少数几位技术人员已无法保证所有存在安全风险的业务系统的安全管理,所以应在各个部门配置兼职的安全管理人员来落实安全管理,对这些安全管理人员应每年都安排企业内外的安全管理工作的培训,以便他们研究安全防范技术,分析本企业可能存在的安全风险和薄弱环节,并进行重点管理。企业应将网络安全管理工作作为一项重要指标纳入年度考核,营造“网络安全,人人有责”的全体动员的氛围。
同时应制定详细的安全管理策略,并每年定时或不定时的对非网络的服务器和计算机进行抽查,根据检查结果,对不符合要求的要实事求是的下发整改通知,并在公司网络安全管理会议上进行通报。
(二)安装防火墙
防火墙是目前比较有效的阻止黑客入侵的技术防范措施之一,能够有效地防止黑客随意更改、移动、删除网络中的重要数据信息。但要安全管理人员时刻关注日志信息,并根据日志信息对防火墙的安全策略配置进行调整,适时的应对网络环境的变化。
(三)统一对网络安全进行扫描和补丁管理
在网络环境中,病毒的传播速度非常快,仅依靠单机来防病毒已经很难阻止病毒在网络中的扩散,所以应该配置一套适合局域网的全方位的防病毒产品。例如,可以以一台服务器作为平台,在此基础之上配置有效的防病毒软件,然后在规定的时间段对局域网的所有计算机进行安全扫描,发现漏洞统一进行安装。这既减轻了安全管理人员的工作量,也保证了网络中的单机不会因使用人员的麻痹大意和疏忽导致病毒反反复复发作而查杀不尽。
(四)划分VLAN,严格做好内外网隔离
按照部门划分为多个VLAN,部门内部也可以根据需要划分VLAN,各VLAN之间不能互相访问,严格做好内外网隔离,对实行物理隔离的要定期查看是否有效。各VLAN之间的资源访问必须通过核心交换机访问数据中心的数据服务器。数据服务器设置了防火墙,利用防火墙来实现对用户的访问控制。
(五)加强对员工上网行为的管控
军工企业因其特殊性,对接入互联网管理得非常严格。除了因工作需要必须上网且经层层审批之外,在技术上进行了相应的处理,用户名、IP地址、MAC地址实行绑定,做到实名上网。
对员工上网行为的管控不仅仅局限于对某些软件的限制和网络行为的监控,最主要的是监控网络上是否流转了信息或一些敏感信息。所以,配置员工上网行为管控系统也非常重要,除了设置一些安全审计策略实现自动报警外,安全管理人员对日志的仔细筛查才能保证管控系统有效性,并根据日志记录及时调整安全审计策略。同时,这些日志也是安全管理人员对网络中的单机进行抽查的重要凭证和依据,以此为基础,找出非网络中可能存在的隐患,确保信息不在非网络中传输、存储和处理。
(六)加强对移动存储设备的管理
网络安全管理人员应准确掌握企业移动存储设备的现有情况,建立台帐,将移动存储设备的序列号、责任人一一对应,尽可能的统一进行编号以便于管理。另外,可以在网络中部署移动存储设备的管理软件,限制移动存储设备的使用范围,并可对移动存储设备的存储格式进行加密,使其无法在限定范围外使用或读取,从而确保网络信息的安全。同时,可收集管理软件中的日志信息,分析移动存储设备管理存在的安全漏洞,及时调整安全策略配置。
四、结语
军工企业的网络信息安全建设是一项系统的、庞杂的、长期的工程。但我们也清醒的认识到,安全不是技术,而是技术与管理的结合,任何先进的安全技术都需要严谨的管理作为后盾,否则,只是一堆软硬件的组合。我们必须从自身做起,坚持不懈,确保军工企业的网络信息安全。
参考文献:
[1]徐明.网络信息安全[M].西安:西安电子科技大学出版社,2006
篇2
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1 概 述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2 信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1 高级持续威胁攻击与防护技术
高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1 基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2 基于异常的流量检测技术
传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3 全包捕获与分析技术
由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2 漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1 基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2 基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3 基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4 网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。
4.1 策略选取
4.1.1 策略A
图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;
(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;
(3) 禁止H2和H3访问Domino服务器Host5(H5);
(4) H5允许访问DMZ的H2和H3及IDC区的H4。
4.2 效果分析
通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5 结 语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
篇3
1、供电企业网络信息安全现状分析
随着电力事业的发展和技术进步,各级电力企业因为生产经营与管理的需要,都在不同程度上建成了自己的自动化系统,变电站基本也实现了“四遥”和无人值守。并且也建立起了企业自己的管理系统来对生产、营销、财务、行政办公等工作进行覆盖,并已经进行了实用化具有较高安全等级的调度自动化系统已经通过WEB网关与MIS之间进行相互的信息访问,部分地方已经安装了正向隔离器,进而实现了物理隔离与数据的安全访问。各个电力企业已经制定了安全策略,并实施了一部分,同时实现了互联网的安全接入。将营销支持网络与呼叫接入系统和MIS网络进行了整合,并且已经与用户、银行等企业实现了信息的安全共享,对自身的服务手段进行了优化。边远地区的班站基本都通过VPN技术来实现了远程班组联网的要求,并能够实现大范围的信息共享,而且应用范围也变得更加的广泛。利用VPN的高级应用能够构建起基于互联网的各种远程服务。
2、供电企业网络信息安全方面存在的问题
2.1 不同的网络之间没有严格的进行等级划分
根据当前的互联网现状与通信现状,主要还存在着这些问题:1)单向数据的传输难以实现真正意义上的数据共享,同时在与非实时系统之间的接口上也没有进行标准数据接口的建设;2)部分电力企业没有利用MPLS VPN技术组建数据调度网,没有满足相关的安全要求;3)上下级的调度之间没有部署必须的认证加密装置。
2.2 随着技术的发展与电力企业的业务发展,现有的网络安全防护能力难以满足要求
随着信息技术的发展与电力企业自身业务的发展要求,网络安全越来越受到重视,但是现有的网络安全防护能力明显不足,缺乏有效的管控手段,同时管理水平也急需要提高。如今的电力企业还缺少一套完善的服务器病毒防护系统,有一些地市、县局都是使用的省公司所同一部署的趋势防毒软件,有的甚至还采用的是单机版的瑞星、江民、卡巴斯基等防病毒软件,相对而言,防护能力还有所不足。当受到攻击时,容易出现系统瘫痪。同时还没有能够建立起一套完善的数据备份恢复机制,如果数据受到破坏,那么所受到的损失将难以估量。没有一套完善的网管软件,难以对一些内部用户的过激行为进行有效的监管,例如IP盗用、冲突,滥用网络资源(BT下载等)等等。还没有能够建立起一套完善的评测和风险评估制度,对于当前电力企业的网络安全现状难以进行有效的评估。
2.3 电力企业服务器存在的安全隐患
众多的服务器也使得其存在着严重的安全隐患:1)电力企业的网络中,每一个服务器都拥有自己独立的认证系统,但是这些服务器却缺乏统一的权限管理策略,管理员难以进行统一的有效管理;2)Web服务器和流媒体服务器长期遭受到来自于互联网的DDoS以及各种病毒的侵袭;3)让邮件服务器中受到大量的垃圾邮件的干扰,并且也难以进行有效的信息监管,经常会发生企业员工通过电子邮件来传递企业的机密信息的安全事件;4)权限划分不明确,容易受到来自外部黑客的攻击,例如通过SQL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据;5)与总公司服务器通信过程中有些机密信息由于没有采取加密措施,很容易被窃听而泄密。
2.4 各种恶意网页所带来的网络安全威胁
电力企业拥有自己的主题网站,并通过互联网与外网相连。每一个电脑使用者都会通过对网页的点击来寻找对自己有用的信息,电力企业内网与外网相连,因此,电力企业中的员工也会通过与外网的链接,从互联网中搜索对自己有用的信息,但是并不是所有的网页都是安全的,有一些网站的开发者或者是黑客会为了能够达到某种目的对网页进行修改,进而达到某种目的,当电力企业的内部员工通过电力企业内部的网络进行访问时,就会受到来自这些恶意网页的攻击。
3、电力企业网络信息安全防护措施
3.1 进行网络安全风险评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在在市面上出现的安全技术、安全产品实在是让人感觉眼花缭乱,难以进行选择,这时就需要进行风险分析,可行性分析等,对电力企业当前所面临的网络风险进行分析,并分析解决问题或最大程度降低风险的可行性,对收益与付出进行比较,并分析有哪一些产品能够让电力企业用自己最小的代价满足其对网络安全的需要,同时还需要考虑到安全与效率的权衡等。对于电力企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是电力企业实施安全建设必,须首先解决的问题,也是制定安全策略的基础与依据。
3.2 构建防火墙
防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙能够有效的阻止网络中的各种非法访问以及构建起起一道安全的屏障,对于信息的输入、输出都能够进行有效的控制。可以在网络边界上通过硬件防火墙的构建,对电力企业内网与外网之间的通信进行监控,并能够有效的对内网和外网进行隔离,从而能够阻档外部网络的侵人。对于电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。
3.3 加强对计算机病毒的预防控制
计算机病毒的防治是网络安全的主要组成部分,而对电力企业的网络安全造成威胁的主要是各种新型的病毒。若要从根本上防止新型态病毒对企业的威胁,就必须从监控、强制、防止及恢复等四个阶段对新型态病毒进行管理。
控制计算机病毒爆发次数,降低病毒对业务所产生的影响。我们知道,病毒从感染单台客户机·扩散·爆发,均需要一段空窗期。很多时候,管理人员都是在病毒爆发之后才能够发现问题,但是这时已经太晚。因此需要能够在病毒扩散期就发现问题根源,才能够有效的降低病毒爆发的概率。
网络层防毒将能够有效的对病毒进行预防。在电力企业中,需要将网络病毒的防范作为最重要的防范对象,通过在网络接口和重要安全区域部署网络病毒墙,在网络层全面消除外来病毒的威胁,使得网络病毒不能再肆意传播,同时结合病毒所利用的传播途径,对整个安全策略进行贯彻。
篇4
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
篇5
中图分类号: F407 文献标识码: A
前言:近几年,我国信息网络技术不断发展与完善,信息网络应用于社会各个领域,为提高企业工作效率与管理水平,信息网络已经成为电力企业信息交互、传输、共享不可缺少的部分。而研究电力系统信息安全问题、制定和实施电力企业信息安全策略、建立全方位、动态的电力信息系统安全保障体系,己成为当前电力企业信息化工作的重要内容。由于信息网络具有多样性、开放性等特点,往往会因为忽略某一环节而造成重大损失。
一、电力信息网络概述
电力信息系统是一个复杂的系统,它由分布于各级变电站、营配终端、调度机构、办公场所等通过或紧或松的联系构成。它所处环境包括各个调度机构的局域网、本地计算机系统以及电力系统所连接的行业外网。因而,简单来说,电力信息网络是电力企业内依赖于计算机及网络的业务系统和通信数据网络的统称。电力信息网络系统从功能上可以分为以下几个系统:
1.监控系统
电力信息网络的监控系统包括用于电网生产运行过程中的各个监控和控制设备以及用计算机与网络执行的业务处理设备智能终端。详细包括变电站、电网调度系统、输配电线路等的自动监控系统以及配电网、计算机保护和安全装置、及调度自动化网络系统、电能计量计费及电量实时检测控制系统。
2.管理系统
管理系统是有计算机、操作者以及其他设备组成的复杂系统,其主要功能是进行信息的收集存储、加工传递以及使用和维护,主要进行日常事务的管理操作。内容包括ERP、门户、财务管理、市场交易及营销管理、人力资源管理、变电站管理、配电网管理、输电网信息管理系统等。
3.数据网络系统
电力数据网络系统主要由电力信息数据网和电力调度数据网组成,隶属于电力专用网。电力调度数据网络指的是电力生产所用拨号网以及专门用于调度的广域网络。电力信息数据网指的是用于电力系统内部的公用网络,包含的范围非常广阔,除去生产及调度外,该网络均有覆盖。电力企业的信息网络包涵了各个电力单位,并通过电力专用网络来实现信息的上传和下载以及各个单位间的互相连接。
二、电力信息网络安全问题分析
当前国家的电力信息网络体系已经相对健全,而且具有较强的电力信息安全体系,可以将电力信息网络以及电力执行时进行实时控制,各级单位信息安全设备已安装调试到位,信息安全检查工作已规范。可是依旧会有许多电力单位对信息安全性不够关注,信息安全事件和信息泄密事件频频发生,还具有很多安全风险和问题。
1、部分员工缺乏安全意识
电力企业实现信息化建设使电力企业得到了很大的发展,但是由于电力企业信息化时间较短,部分员工缺乏信息网络的安全意识,对信息安全问题的重视程度不够,存在人为的安全隐患。
2、需进一步规范管理制度
虽然我国电力企业已经初步建立起统一的、规范的信息网络信息系统的安全管理相关规定,制定了相关安全防范措施和安全保护机制,但同样由于起步较晚,在一定程度上仍然对基层电力企业的信息网络安全工作缺乏详细的维护指导。
3、信息安全管理仍然存在不统一的现象
现在信息网络已应用到电力生产、管理和营销的各个方面,但是信息网络安全仍然按主管部门分属于两个单位,分为生产办公区和调度区,两部分安全区域各自执行各自的信息安全标准,没有实现信息安全的统一管理。
4、基层电力信息网络安全的基础设施不完善
信息网络的基础安全设施建设是信息网络安全的基础,而基层电力信息网络的安全设施仍然比较薄弱,使电力信息网络安全无法得到保障。
三、电力信息网络安全防范措施
信息网络安全要加强防范措施,只有制定出严格的防范措施,才能保障电力信息网络的安全运行。
1、要加强人员管理和培训,提高员工安全意识电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。电力企业要组织电力管理相关人员进行信息网络安全教育与培训,如部门负责人、用户、相关技术人员等,要求电力企业所有人员必须认识并严格遵守电力信息网络安全规定。
培养员工建立良好网络使用习惯,与工作无关的设备要禁止在企业电脑中使用。不允许在企业电脑安装盗版的软件和与工作无关的软件,严格执行“双机双网”,不允许内、外网混合使用,对电力信息网络开机口令和应用系统口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识.才能真正开展电力信息网络安全防范措施。
2、强化电力信息网安全管理
笔者认为一方面是要进行层次化管理模式。将电力信息安全网络进行层次化划分,每一层次进行隔离。另一方面是实行区域化管理模式。根据电力信息网络安全特点对电力企业信息进行划分为控制区、非控制、生产区、信息区等四大区域进行模式化管理。
3、通过不同的安全防护措施进行保护
为信息进行加密,密码作为信息领域的安全之琐,是一项非常实用的技术;为信息进行确认,为网络提供控制技术,目前一个较为成熟的信息确认技术以及网络安全控制技术需要以计算机网络开展为基础,对业务信息安全技术进行系统的策划;为计算机提供网络防病毒技术,计算机的病毒已经逐渐朝多元化、网络化等方向发展;微计算机提供防“黑客”技术,黑客大多针对的是信息系统网络以及主机内部具有的漏洞进行攻击;对数据进行备份,避免由于外界因素造成技术上的损失,让信息系统可以更加安全、数据可以更加可靠。
4、有效设置防火墙与入侵检测系统
篇6
作者简介:赵孔燕(1980-),女,山东淄博人,山东惠民供电公司调度所,工程师;索玉海(1961-),男,山东惠民人,山东惠民供电公司调度所主任,工程师。(山东惠民251700)
中图分类号:F270.7 文献标识码:A 文章编号:1007-0079(2012)12-0138-02
随着电力系统信息化的全面推进,信息化已经成长为增强供电企业核心竞争力的重要驱动力。目前,“SG186”信息化工程不断完善,国家电网资源计划系统(ERP)上线运行,相继接入企业信息网络平台的应用系统越来越多,各应用系统间的数据交换日益频繁。因此确保供电企业内部网络信息系统的安全稳定运行,适应当前建设智能电网和“三集五大”体系建设新的工作要求,成为摆在我们面前的一个艰巨任务。为此,从九方面着手,来保障网络信息系统的安全运行。
一、完善机制,落实责任
企业的健康发展离不开严格的企业制度和明确的责任分工,信息安全保障工作的开展也不例外。为提高网络信息系统整体安全防护能力,强化公司内部信息安全,山东惠民供电公司成立了信息安全组织机构,组织机构分为领导小组和工作小组,其中领导小组的主要职责是:全面负责公司信息安全管理工作,领导实施各项信息安全各种规章制度,指导公司各种信息安全工作的开展,确保本单位不发生重大信息泄露事故。工作小组的主要职责是:负责信息安全基础防护知识的宣贯、普及工作;负责做好公司信息安全防护体系建设准备及实施工作,落实信息安全“八不准”和“五禁止”,确保不发生任何信息安全事件;负责公司信息安全技术监控及运行、维护和管理工作,坚决贯彻执行各项信息安全规章制度和领导小组的各项指令。
二、统一部署、双网双机
按照国家电网公司要求和山东电力集团公司及市公司统一部署安排,公司实行信息外网统一出口,实现了集团公司层面的统一。信息内外网实现物理分开,双网双机,网络专用。严禁办公终端计算机私自使用拨号、移动无线连接等任何方式接入因特网。在信息外网出口安装IPS入侵防御设备,可以实时主动拦截各类黑客攻击和恶意行为,保护信息网络架构免受侵害,阻断非授权用户的使用,降低了不安全因素。
信息内网统一安装桌面管理系统,能有效控制内网计算机。计算机实名注册并进行IP地址和MAC地址绑定,计算机管理员可以实时查看内网计算机的应用情况,插件的安装以及杀毒软件的运行等。启用移动存储审计策略和违规外联策略,严格控制内网设备违规外联,对公司的移动存储介质进行实名注册,严格控制信息的流入流出。
三、分区分域、等级防护
对公司的信息系统分成生产控制大区和管理信息大区,并对所有的业务系统进行等级划分,实现不同安全域之间的独立化和差异化的防护。其中生产控制大区又可以分为控制区和非控制区,调度数据网络作为专用的数据网络,划分为安全区I,它使用不同的网段单独组网,它与安全区II之间采用国家指定部门检测认定的电力专用正向单向隔离装置。WEB服务与管理信息大区之间分别安装硬件防火墙,并严格控制相互之间访问。
四、注重口令设置和数据备份
口令设置是信息安全管理中重要的一环。要求所有的服务器和每一台办公计算机都要设置开机密码,密码长度不小于8位,并且是字母和数字或特殊字符混合而成,密码不得与用户名相同并要求定期更换。另外要求每台计算机都要设屏幕保护,屏保时间设在15分钟左右,并开启恢复时使用密码功能;关闭远程桌面。这样可以有效防止外来人员访问他人电脑或内部心怀不轨的人员通过远程访问他人电脑。数据备份和恢复计算机管理员必须定期对重要的数据进行备份,这是保护信息安全的重要手段,它可以有效防止病毒入侵、操作人员误删除和设备磁盘故障等带来的数据丢失,备份要保存在当地磁盘和异地磁盘两份。个人办公计算机中重要的文件资料可以加密存放,并形成备份。
五、加强防病毒软件部署及管理
根据公司的计算机数量,统一购买安装企业版杀毒软件。为避免防病毒软件之间的冲突导致一些插件不能正常安装和运行以及文件的误删除,要求一台机器只能安装一款防病毒软件,禁止使用任何规定之外的防病毒软件。公司设专人负责定期进行病毒库的更新,并通过桌面管理系统统一发放病毒库升级通知,对机器病毒库自动进行升级,能有效防范网络病毒、木马。
六、漏洞扫描和隐患排查
漏洞扫描系统是一个自动化的安全风险评估工具,对公司的信息系统进行定期、全面、系统的信息安全风险评估,发现和分析信息系统中存在的漏洞,并及时进行整改。定期开展自测评与整改。通过自测评,及时发现信息系统中存在的问题和隐患,针对发现的问题制定相应的措施进行整改,可以有效降低信息系统安全隐患,进而将风险评估工作常态化、制度化。这也充分印证了信息管理也是遵循PDCA的过程模式,是一个动态的持续改进的过程。信息安全管理流程图如下图1所示。
七、物理安全和主机安全
公司每位职工都有保护自己办公电脑的义务,要求下班后关闭主机和显示器,这不仅可以增长机器的使用寿命也可以保护主机硬件设备,特别是雷雨天气,最好拔掉电源开关。对机房的服务器设备,首先,机房的环境应满足防风、防雨、防雷、防震等要求。其次,在机房出入口配置电子门禁系统,对进入机房的外来人员要严格登记,并有专人陪同。再次,在机房内安装机房环境监控系统,对机房的火灾自动报警,最好能够自动消防,如果不能也要配备足够的消防设备,保证机房设备的运行安全。最后,机房的温湿度也是影响设备安全运行的重要因素,因此配置温湿度调节设施,满足机房管理制度中规定的“夏季机房温度控制在23±2℃、冬季控制在20±2℃”的要求。
计算机管理员对机房服务器访问管理要严格控制,为操作系统和数据库系统的不同用户分配不同的用户名和访问权限,限制默认账户的访问权限。在不影响应用系统正常运行和访问的情况下,在服务列表中关闭有可能导致系统遭受侵害的一些服务。
八、应急响应和灾难恢复
篇7
中图分类号:C29 文献标识码:A 文章编号:
前言
随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。
1 县级供电企业信息网络安全防范体系概述
1.1 安全策略
总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。
1.2 安全技术
从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。
1.3 安全培训
通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。
2 县级供电企业信息网络整体安全建设
2.1 物理层安全建设
物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。
2.2 网络层安全建设
网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。
2.3 系统层安全建设
系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。
2.4 用户层安全建设
用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。
2.5 管理层安全建设
管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。
2.6 数据层安全建设
首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。
在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。
表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设
3 县级供电企业如何有效进行信息网络安全体系建设
(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。
(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。
(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。
(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。
4、结束语
电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。
参考文献:
[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007
篇8
1 引言
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,我供电公司也在由企业信息化向信息化企业不断的迈进。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击。计算机病毒的泛滥;木马程序带来安全保密方面的隐患;易受黑客攻击特别是洪流攻击;垃圾邮件阻塞网络等各类网络安全的威胁开始蔓延到应用的环节,其中Windows占70%,UNIX占30%。因此网络的信息安全防护是一个至关重要的问题,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。网络的安全防护措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。本次调研也正是基于此目的。
2 信息网络安防的加密策略和安全策略技术
2.1 目前计算机信息网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还有可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有以下三种:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,恶意的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善导致的。另外,软件的“后门”都是软件公司的设计编程人员为了方便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.2 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
2.3 计算机信息网络的安全策略
(1)物理安全策略。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
(2)访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
3 安防管理措施
针对我供电公司目前的网络现状,提出以下几点安防管理措施。
3.1 入网访问控制
入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。用户帐号只有系统管理员才能建立,管理员对普通用户的帐号使用进行控制和限制,控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。同时对所有入网用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,给出报警信息。
3.2 网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以通过访问控制表来描述。
3.3 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权 限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。网络系统管理员为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
3.4 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
3.5 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
3.6 防火墙控制
篇9
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2014)02-0153-02
近些年来,随着我国经济不断的发展,信息技术不断革新,企业的生存已经和计算机网紧紧绑定在一起。然而,网络的覆盖面和普及范围越来越广以及各种信息技术的不断更新,使得网络化办公存在诸多安全隐患,尤其是企业信息安全问题,因而在当今网络信息时代,保护信息等数据的安全是极为重要的。本文就针对网络信息办公中存在的安全问题进行了分析,并提出了相应的解决措施。
1 企业网络化办公中存在的安全信息问题
1.1 网络病毒
在当今的网络信息时代,病毒攻击防火墙随时随地都在上演;病毒感染、攻击防火墙作为盗窃信息数据的重要手段之一,其是网络办公不得不防的问题之一。如在网络办公中,经常会使用邮件进行交流、信息分享与交换,而邮件也作为当前网络病毒入侵的渠道之一,其隐藏在电子邮件及附件之中,若是没有采取相应的病毒防范措施,在邮件被打开的那一刻,企业的信息数据已然开始被复制或使得整个网络办公局域网瘫痪,给企业造成巨大的损失。
1.2 数据备份存在缺陷
企业网络化办公的实时性极强,信息变化速度极快,因此数据备份就显得非常重要,如计算机中存档的数据、历史记录以及档案对企业领导层或用户来说是非常重要的,若是没有及时给予备份,一旦丢失,就会给企业造成不可预估的损失,轻则重要客户信息流失,重则导致企业的正常运行受到巨大阻碍,给生产、科研造成难以估计的损失。
1.3 网络防火墙存在漏洞
防火墙软件作为保护企业网络化办公免疫病毒攻击的主要手段之一,其随着网络中病毒软件的开发而出现相应的变化,因此网络防火墙会及时更新,这也是充分发挥网络防火墙的作用,保证信息安全的主要手段之一。然而,由于管理人员不重视,认为实时更新防火墙软件麻烦,导致软件中存在漏洞,造成数据安全隐患。
2 信息安全的防范措施
2.1 安装防病毒软件
企业在开展网络化办公时,应考虑网络中可能被病毒感染或攻击的地方可以采取相应的防病毒措施,如以“纵深”的防御形式购买和安装相应的防病毒软件。网络技术在发展,防病毒软件在更新,病毒同样如此,尤其是企业网络化办公,单机防病毒已经不足以对网络病毒进行扫描和彻底清除,因此,必须购买和安装能适应局域网,且全方位、无死角的防病毒软件。防病毒软件的安装,能有效地识别网络内部交流中隐藏的病毒,如邮件或附件中隐藏的病毒。
2.2 数据备份
为了保证企业重要数据不丢失,避免企业因数据丢失造成损失,对计算机中数据进行备份是极为重要的,也是必须采取的防范措施之一,这对保障企业的生产、产品研发、销售等正常运行,有着重要的意义。企业应根据自己的经济能力和信息的存储及更新能力,选择合适的数据备份方式,如网络硬盘备份、硬盘备份等。
2.3 架设防火墙
防火墙作为当前应用最广泛、最有效的网络安全机制之一,其是预防和避免Internet上存在的不安全因素,如木马病毒等,蔓延到企业使用的局域网内部的有效措施之一,也是保证整个局域网安全的重要环节之一。架设防火墙对于一个需要保证信息安全的企业来说非常有必要,它会对外部网络和内部网络之间流通的所有数据进行检验和筛选,只有符合企业所设定的信息安全策略的交流数据才能避免被防火墙拦截,同时,防火墙本身还具有极强的抗攻击免疫能力。
2.4 设定访问权限
访问权限设置和控制作为防范网络不安全因素和保证网络安全的重要手段之一,其主要任务是避免企业内部网络资源被非法或越权访问和使用,这是保障企业信息安全的核心策略之一。因此,依据企业对网络信息的实际要求,制定相应的访问控制权限,如目录级控制、属性控制、网络权限控制、网络IP地址控制以及入网访问控制等手段均可起到作用。
3 网络办公信息安全管理策略
企业网络安全的核心在于管理,而安全管理的保证在于技术,因此“七分管理,三分技术”是保证企业网络信息安全的重要策略和实施手段。只有制定和完善信息安全的规章制度,规范企业用户使用信息的行为,同时与安全技术相互结合,企业使用的网络系统及信息数据安全才有保障。
3.1 强化企业用户的信息安全防范意识,提升其综合素质
无论是企业决策人员,还是企业员工,其思想上对网络安全的重视和认识对企业信息安全是极为重要的,要落实安全保密工作的职责,定期开展数据安全防范教育,并制定相应的保密措施对企业员工或领导层进行要求,提升其数据安全的预防意识和保密意识。同时,网络信息安全管理需要专业的人才来进行相应的操作和监控,因此,企业要依据自身的实际需求,储备和招揽相应的计算机专业人才,并定期对其进行培训,提升企业数据安全的整体防护能力。
3.2 完善管理制度,加强管理力度
企业在实施宏观的数据安全管理措施的同时,还要与重点、有针对性监控方式相结合,这样才能最大程度上保障企业信息安全。同时,依据企业各个部分涉及的信息量和核心信息量大小,加强管理力度,制定并实施相关的网络信息安全管理办法,将每个安全管理环节进行细化,落实信息安全防范的责任,做到“谁用谁负责”,这对保证企业网络化信息安全有着重要的意义。
3.3 加强对核心数据的管理
企业核心数据涉及到企业未来发展战略的各个方面,其包含产品占据市场的方法、活动方案、策划方案等各种手段,这与企业的未来息息相关,因此,加强对企业核心数据等信息的管理是非常重要的。依据核心数据管理所涉及的对象,如领导层、决策层以及网络安全部门等人员,制定相应的制度进行规范,无论是信息的使用,还是数据的拷贝,都需要相应的秘钥进行确认,这能有效避免数据被非法盗取或使用。
4 结语
计算机网络技术、信息技术的快速发展,使得企业的办公形式与业务发展发生了根本性的改变,企业的生存和盈利更是与网络紧紧联系在一起,而网络中存在的病毒、黑客等不安全因素也给企业网络化办公的信息安全带来巨大威胁,因此加强企业网络信息安全的管理和防范,对企业未来的发展将会显得越来越重要。
参考文献
[1] 刘韫.企业网络信息安全面临风险及常用防护措
施[J].网络安全技术与应用,2013,(9).
[2] 赵治谊.浅析企业网络信息安全管理机制[J].中
国电子商务,2012,(8).
[3] 赵婷婷.关于企业网络信息安全的防范措施研究
[J].科海故事博览・科技探索,2013,(3).
篇10
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
22.电子认证服务与云计算、物联网、移动互联网等新技术、新应用融合的相关技术、标准规范和应用发展情况;
23.工业控制系统信息安全标准;
24.信息安全和功能安全标准化;
25.信息安全和功能安全集成技术;
26.工业控制系统安全性的技术指标与经济成本;
27.信息安全产品设计和系统集成;
28.工业控制系统安全的评估与认证;
29.工业控制系统的信息安全解决方案;
30.工业自动化安全面临的风险;
31.国外工业控制系统安全的做法;
32.工业控制系统信息安全现状及其发展趋势;
33.工业控制系统安全性的建议;
34.工控系统与信息系统对信息安全的不同需求;
35.工业控制系统的安全性与可用性之间的矛盾与平衡;
36.应用行业工业控制系统的信息安全防护体系;
37.工业控制系统安全测评体系;
篇11
一、2015年工控安全漏洞与安全事件依然突出
通过对国家信息安全漏洞库(CNNVD)的数据进行分析,2015年工控安全漏洞呈现以下几个特点:
1.工控安全漏洞披露数量居高不下,总体呈递增趋势。受2010年“震网病毒”事件影响,工控信息安全迅速成为安全领域的焦点。国内外掀起针对工控安全漏洞的研究热潮,因此自2010年以后工控漏洞披露数量激增,占全部数量的96%以上。随着国内外对工控安全的研究逐渐深入,以及工控漏洞的公开披露开始逐渐制度化、规范化,近几年漏洞披露数量趋于稳定。
2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的工控系统漏洞中软件漏洞数量仍高居首位,但近几年工控硬件漏洞数量增长明显,所占比例有显著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高达37.5%。其中,工控硬件包括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设备(IED)及离散控制系统(DCS)等。
3.漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还是国内工控厂商(研华),其产品普遍存在安全漏洞,且许多漏洞很难修补。在2015年新披露的工控漏洞中,西门子、施耐德、罗克韦尔、霍尼韦尔产品的漏洞数量分列前四位。
二、工控信息安全标准需求强烈,标准制定工作正全面推进
尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段,而且在设计思路上存在较为明显的差异,这充分反映了目前不同人员对工控信息安全标准认识的不同,因此工控信息安全标准的制定与落地任重道远。
1.国外工控信息安全标准建设概况
IEC 62443(工业自动化控制系统信息安全)标准是当前国际最主要的工控信息安全标准,起始于2005年,但至今标准制定工作仍未结束,特别是在涉及到系统及产品的具体技术要求方面尚有一段时日。
此外,美国在工控信息安全标准方面也在不断推进。其国家标准技术研究院NIST早在2010年了《工业控制系统安全指南》(NIST SP800-82),并2014年了修订版2,对其控制和控制基线进行了调整,增加了专门针对工控系统的补充指南。在奥巴马政府美国总统第13636号行政令《提高关键基础设计网络安全》后,NIST也随即了《关键基础设施网络安全框架》,提出“识别保护检测响应恢复”的总体框架。
2.国内工控信息安全标准建设概况
在国内,两个标准化技术委员会都在制定工控信息安全标准工作,分别是:全国信息安全标准化技术委员会(SAC/TC260),以及全国工业过程测量与控制标准化技术委员会(SAC/TC 124)。
其中,由TC260委员会组织制定的《工业控制系统现场测控设备安全功能要求》和《工业控制系统安全控制应用指南》处于报批稿阶段,《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统风险影响等级划分规范》、《工业控制系统安全防护技术要求和测试评价方法》和《安全可控信息系统(电力系统)安全指标体系》正在制定过程中,并且在2015年新启动了《工业控制系统产品信息安全通用评估准则》、《工业控制系统漏洞检测技术要求》、《工业控制系统网络监测安全技术要求和测试评价方法》、《工业控制网络安全隔离与信息交换系统安全技术要求》、《工业控制系统网络审计产品安全技术要求》、《工业控制系统风险评估实施指南》等标准研制工作。
TC124委员会组织制定的工控信息安全标准工作也在如火如荼进行。2014年12月,TC124委员会了《工业控制系统信息安全》(GB/T 30976-2014),包括两个部分内容:评估规范和验收规范。另外,TC124委员会等同采用了IEC 62443中的部分标准,包括《工业通信网络网络和系统安全术语、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工业过程测量和控制安全网络和系统安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工业通信网络网络和系统工业自动化和控制系统信息安全技术》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外对IEC62443-2-1:2010标准转标工作已经进入报批稿阶段,并正在计划对IEC 62443-3-3:2013进行转标工作。除此之外,TC124委员会组织制定的集散控制系统(DCS)安全系列标准和可编程控制器(PLC)安全要求标准也已经进入征求意见稿后期阶段。
由于不同行业的工业控制系统差异很大,因此我国部分行业已经制定或正在研究制定适合自身行业特点的工控信息安全标准。2014年,国家发改委了第14号令《电力监控系统安全防护规定》,取代原先的《电力二次系统安全防护规定》(电监会[2005]5号),以此作为电力监控系统信息安全防护的指导依据,同时原有配套的防护方案也进行了相应的更新。在城市轨道交通领域,上海申通地铁集团有限公司2013年了《上海轨道交通信息安全技术架构》(沪地铁信[2013]222号文),并在2015年以222号文为指导文件了企业标准《轨道交通信息安全技术建设指导意见》(2015,试行)。同时,北京市轨道交通设计研究院有限公司于2015年牵头拟制国家标准草案《城市轨道交通工业控制系统信息安全要求》。在石油化工领域,2015年由石化盈科牵头拟制《中石化工业控制系统信息安全要求》等。
三、工控安全防护技术正迅速发展并在局部开始试点,但离大规模部署和应用有一定差距
当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。比较有代表性的工控安全防护产品及特点如下:
1.工控防火墙 防火墙是目前网络边界上最常用的一种安全防护设备,主要功能包括访问控制、地址转换、应用、带宽和流量控制等。相对于传统的IT防火墙,工控防火墙不但需要对TCP/IP协议进行安全过滤,更需要对工控应用层协议进行深度解析和安全过滤,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控应用层协议的深度检测,包括控制指令识别、操作地址和操作参数提取等,才能真正阻止那些不安全的控制指令及数据。
2.工控安全监测系统我国现有工业控制系统网络普遍呈现出“无纵深”、“无监测”、“无防护”特点,工控安全监测系统正是针对上述问题而快速发展起来的技术。它通过数据镜像方式采集大量工控网络数据并进行分析,最终发现各种网络异常行为、黑客攻击线索等。利用该系统,相关人员能够了解工控网络实时通信状况,及时发现潜在的攻击前兆、病毒传播痕迹以及各类网络异常情况,同时,由于该系统是以“旁路”方式接入工控网络中,不会对生产运行造成不良影响,因此更容易在工控系统这种特殊环境下进行部署和推广。
3.主机防护产品在工业生产过程中,人员能够通过工程师站或操作员站对PLC、DCS控制器等设备进行控制,从而实现阀门关闭、执行过程改变等操作。这些工程师站、操作员站等主机系统就变得十分重要,一旦出现问题,比如感染计算机病毒等,就会对正常生产造成较大影响。近年来发生的由于工程师站或操作员站感染计算机病毒最终导致控制通信中断从而影响生产的报道屡见不鲜。加强这些重要主机系统的安全防护,尤其是病毒防护至关重要。但是,传统的基于杀毒软件的防护机制在工控系统中面临着很多挑战,其中最严重的就是在工控网络这样一个封闭的网络环境中,杀毒软件无法在线升级。另外,杀毒软件对未知病毒、变异病毒也无能为力。在此情况下,基于白名单的防护技术开始出现。由于工控系统在建设完成投入运行后,其系统将基本保持稳定不变,应用单一、规律性强,因而很容易获得系统合法的“白名单”。通过这种方式就能够发现由于感染病毒或者攻击而产生的各种异常状况。
4.移动介质管控技术在工控网络中,由于工控系统故障进行维修,或者由于工艺生产逻辑变更导致的工程逻辑控制程序的变更,需要在上位机插入U盘等外来移动介质,这必然成为工控网络的一个攻击点。例如,伊朗“震网”病毒就是采用U盘摆渡方式,对上位机(即WinCC主机)进行了渗透攻击,从而最终控制了西门子PLC,造成了伊朗核设施损坏的严重危害后果。针对上述情况,一些针对U盘管控的技术和原型产品开始出现,包括专用U盘安全防护工具、USB漏洞检测工具等。
总之,针对工控系统安全防护需求及工控环境特点,许多防护技术和产品正在快速研发中,甚至在部分企业进行试点应用。但是,由于这些技术和产品在稳定性、可靠性等方面还未经严格考验,能否适用于工业环境的高温、高湿、粉尘情况还未可知,再加上工控系统作为生产系统,一旦出现故障将会造成不可估量的财产损失甚至人员伤亡,用户不敢冒然部署安全防护设备,因此目前还没有行业大规模使用上述防护技术和产品。
四、主要对策建议
针对2015年工控信息安全总体情况,提出以下对策建议:
1.进一步强化工控信息安全领导机构,充分发挥组织管理职能。
2.对工控新建系统和存量系统进行区别对待。对于工控新建系统而言,要将信息安全纳入总体规划中,从安全管理和安全技术两方面着手提升新建系统的安全保障能力,对关键设备进行安全选型,在系统上线运行前进行风险评估和渗透测试,及时发现安全漏洞并进行修补,避免系统投入生产后无法“打补丁”的情况。对于大量存量系统而言,应在不影响生产运行的情况下,通过旁路安全监测、外边界保护等方式,形成基本的工控安全状况监测和取证分析能力,彻底扭转现阶段对工控网络内部状况一无所知、面对工控病毒攻击束手无策的局面。
3.大力推进工控安全防护技术在实际应用中“落地”,鼓励主要工控行业用户进行试点应用,并对那些实践证明已经成熟的技术和产品在全行业进行推广。
篇12
DOI:10.16640/ki.37-1222/t.2017.03.138
0 引言
在我国电力系统是由发电、输电、变电、配电、用电和调度组成。其中发电企业是整个电力系统中起始环节,是整个能源闭环系统中最主要的生产环节。发电企业通常情况下,主要的发电形式为火力发电、水利发电和核能发电。其中火力发电占据整个发电企业发电量的比重最高。而新型的火力发电控制系统已向数字化、智能化、网络化和人性化进行转变,这势必会将更多的IT技术应用到传统的逻辑控制和数字控制中。相比互联网信息安全领域的热络,工控安全作为信息安全的重要领域却一直“备受冷落”。直到近期国外发生多起因黑客网络攻击导致工控系统瘫痪的事件,才引起人们对工控系统信息安全得以重视。
2015年国家能源局下发36号文《电力监控系统安全防护总体方案》,通过认真学习发现安全防护的总体原则与之前的电力二次安全防护原则增加了“综合防护”。而“综合防护”是对工控系统从主机、网络设备、恶意代码防范、应用安全控制、审计、备用及容灾等多个层面进行信息安全防护的过程,目前在绝大多数火电厂都是未开展的工作,主要原因有两个,一是:国内工控安全产品研发刚刚起步,火电厂也没有成功实施的案例;二是:投资费用较高,风险预控把握不大。
1 工控系统信息安全方案的解决思路
在开展工控系统信息安全解决方案之前,有两件准备工作需要做,即定期进行安全意识培训和安全评估。
1.1 安全意识
生产系统的安全是建立在人员安全意识之上,一线生产人员应该保持一个良好的网络安全防范意识和和安全操作习惯,这需要借助工控网络安全培训来形成安全意识。
1.2 安全评估
在充分了解和掌握现场工控系统存在的风险和安全隐患之后,才能制定符合现场实际的防护措施。电力生产安全防护评估工作要贯穿整个电力生产系统的规划、设计、实施、运维和废弃阶段。
1.3 结构安全
“横向隔x、纵向认证”在火电厂工控系统结构已经做的很好了,即在生产大区与管理信息大区采用单向隔离装置,安全一区与安全二区之间有逻辑隔离的防火墙,而此防火墙只是基于四层以下进行访问控制,对于报文负载部分没有进行过滤,现实中的APT攻击完全可以利用防火墙的不足,在一区、二区之间进行传播。
2 火电厂工控系统信息安全现状及应对措施
2.1 火电厂工控系统安全及现状
典型的火电厂工控系统通常由控制回路、HMI(人机接口)、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维护工具确保出现异常的操作时进行诊断和恢复。与传统的信息系统安全需求不同,工控系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。
2.2 火电厂工控系统安全风险分析及应对措施
(1)安全风险一:操作系统与外接设备交互的风险性。追求可用性而牺牲安全,这是很多工业控制系统存在普遍现象,缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题,很多已经实施了安全防御措施的工控网络仍然会因为管理或操作上的失误,造成系统出现潜在的安全短板。应对措施:制定关键设备信息安全的评测制度,防范关键设备中的预留后门及多余功能。对工控系统的设备、系统进行评测和检测,确保关键设备、软件没有预埋的、不为我们所知的一些功能。落实工控系统的信息安全检查制度,定期进行自查,这是加强信息安全工作的常规手段。加强工控系统病毒防治工作,落实工控系统防治病毒管理规定,控制系统访问权限严格控制,移动存储介质的使用应当符合管理规定。
(2)安全风险二:工控平台的风险性。随着TCP/IP等通用协议与开发标准引入工业控制系统,开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上,绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。目前,多数工控网络仅通过部署防火墙(隔离网闸)来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。应对措施:传统的IT防火墙已无法满足工业控制系统的需求,但越来越多的控制系统厂家注重网络安全,在控制层面就加装了防火墙。工业级防火墙的出现可以针对控制层的网络协议作出相应的防护,对Modbus和OPC的协议内容进行检查和连接管理。不管是控制系统本身自带的防火墙还是专业的工业级防火墙,都可以针对工控平台的风险性起到弥补作用。
(3) 安全风险三:网络的风险性。通用以太网技术的引入让工控系统变得更智能,也让工控网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前工控网络主要的风险性集中体现为:边界安全策略缺失;系统安全防御机制缺失;管理制度缺失或不完善;网络配置规范缺失;监控与应急响应制度缺失;网络通信保障机制缺失。应对措施:针对TCP/IP存在的威胁只用运用原有的防火墙及防护方法采取应对措施,而工控网络的专属控制协议防护则应更加有针对性:控制层和数据层的隔离防护,控制层网络的冗余化等,都是可以有针对性的起到保护作用。
3 结语
其实不管是火电厂工控企业还是传统企业,随着信息化的深入,企业或多或少会遇到信息安全的问题,而随着数据价值的不断提高,这种影响对于企业来说也会越来越明显。所以保护企业的核心数据安全是未来所有企业面临的同样问题,而面对不同企业不同的防护需求,采用灵活而具有针对性的安全防护设施或许才是最好的选择。
篇13
中国工程院院士、中国计算机学会计算机安全专委会主任方滨兴表示,“十二五”期间,信息安全业界要重点关注的问题包括:信息系统安全、信息(数据)自身安全、信息利用安全及信息技术尤其是新信息网络技术的安全。通过对这四方面问题的研究,要达到以下目标:完善面向可用性的信息安全对抗体系和面向可信性的信息资源保障体系,提升面向可控性的网络信息管控水平,构建面向网络新技术的安全应用支撑体系。
