工業(yè)網(wǎng)絡(luò)信息安全范文
時(shí)間:2023-10-10 18:05:19
導(dǎo)語(yǔ):如何才能寫(xiě)好一篇工業(yè)網(wǎng)絡(luò)信息安全,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。
篇1
工程控制系統(tǒng)是建立在網(wǎng)絡(luò)信息基礎(chǔ)之上的,計(jì)算機(jī)充當(dāng)各個(gè)監(jiān)測(cè)和控制物理過(guò)程的端口,通過(guò)將不同端口之間有機(jī)的連接和限制訪問(wèn),實(shí)現(xiàn)網(wǎng)絡(luò)化系統(tǒng)控制。一般來(lái)講,工業(yè)控制系統(tǒng)分為幾個(gè)子系統(tǒng),分別為過(guò)程控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)以及狀態(tài)監(jiān)控系統(tǒng)。每個(gè)子系統(tǒng)分別擁有不同的功能,但相互之間又通過(guò)工業(yè)生產(chǎn)過(guò)程相互聯(lián)接,使整個(gè)工業(yè)控制系統(tǒng)成為一個(gè)整體。工業(yè)控制系統(tǒng)的基本組件有:計(jì)算機(jī)、傳感器、執(zhí)行器、通訊設(shè)備及信息傳輸設(shè)備組成。其網(wǎng)絡(luò)結(jié)構(gòu)一般采用樹(shù)狀分支結(jié)構(gòu),最上面是企業(yè)工作站,負(fù)責(zé)分析處理下級(jí)傳遞上來(lái)的信息并進(jìn)行綜合分析,得出結(jié)論,向下級(jí)發(fā)出指令;企業(yè)工作站下面是操作員工作站,操作員工作站可能有一個(gè)或多個(gè),具體與企業(yè)結(jié)構(gòu)相關(guān),其主要任務(wù)是收集下級(jí)傳遞上來(lái)的信息,并及時(shí)處理突況,向上級(jí)傳遞信息,執(zhí)行上級(jí)指令;操作員工作站下面是傳感器和執(zhí)行器,一般情況下,傳感器和執(zhí)行器是并存的,傳感器感受到工業(yè)生產(chǎn)過(guò)程中的狀態(tài)信息,并向上級(jí)傳遞信息,執(zhí)行器執(zhí)行操作員工作站發(fā)出的指令,完成對(duì)工業(yè)生產(chǎn)過(guò)程的全方位控制。
2工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全要求
相比較工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全來(lái)說(shuō),傳統(tǒng)IT信息安全的技術(shù)已經(jīng)相當(dāng)成熟,但I(xiàn)T控制系統(tǒng)在工業(yè)控制中無(wú)法有效得到應(yīng)用。因此,工業(yè)控制系統(tǒng)的安全性不能直接采用IT信息安全技術(shù)進(jìn)行防護(hù)。下面,筆者就根據(jù)工業(yè)控制系統(tǒng)的特點(diǎn)分析工業(yè)控制系統(tǒng)的安全性防護(hù)問(wèn)題。工業(yè)控制系統(tǒng)一般用電負(fù)荷等級(jí)比較高,除了市電之外,一般由UPS不間斷電源作為備用電源,是由電池組、逆變器和其他電路組成,能在電網(wǎng)停電時(shí)提供交流電力的電源設(shè)備。UPS單臺(tái)計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或其他電力電子設(shè)備提供不間斷的電力供應(yīng)。當(dāng)市電輸入正常時(shí),UPS將市電穩(wěn)壓后供應(yīng)給負(fù)載使用,此時(shí)的UPS就是一臺(tái)交流市電穩(wěn)壓器,同時(shí)它還向機(jī)內(nèi)電池充電;當(dāng)市電中斷(事故停電)時(shí),UPS立即將機(jī)內(nèi)電池的電能,通過(guò)逆變轉(zhuǎn)換的方法向負(fù)載繼續(xù)供應(yīng)220V交流電,使負(fù)載維持正常工作并保護(hù)負(fù)載軟、硬件不受損壞。工業(yè)控制系統(tǒng)同IT信息系統(tǒng)的不同之處在于其對(duì)安全性和可用性的要求更高,傳統(tǒng)信息安全采用打補(bǔ)丁的方式更新系統(tǒng)已不再適用于工業(yè)控制系統(tǒng)。因此,工業(yè)控制系統(tǒng)的更新需要長(zhǎng)時(shí)間的準(zhǔn)備,為防止更新系統(tǒng)過(guò)程中對(duì)工業(yè)生產(chǎn)造成影響,造成不必要的損失或者出現(xiàn)工業(yè)事故,往往在更新系統(tǒng)期間,工業(yè)生產(chǎn)暫停,將系統(tǒng)設(shè)為離線狀態(tài),這是因?yàn)楦逻^(guò)程中可能控制系統(tǒng)中某一數(shù)據(jù)發(fā)生變化引起連鎖反應(yīng),造成生產(chǎn)事故甚至安全事故。盡管停機(jī)更新系統(tǒng)需要的成本極高,但為防止出現(xiàn)事故,一般不會(huì)采用IT信息安全技術(shù)對(duì)系統(tǒng)進(jìn)行更新維護(hù)。因此,要實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)的安全性防護(hù),同時(shí)不能對(duì)工業(yè)控制系統(tǒng)造成較大的封閉,保證其響應(yīng)力,就不能采用加密傳統(tǒng)IT信息安全技術(shù),最經(jīng)典的安全防護(hù)技術(shù)就是安全防火墻的設(shè)置。防火墻可以設(shè)置在工業(yè)控制系統(tǒng)的,與工業(yè)控制系統(tǒng)沒(méi)有聯(lián)系,對(duì)控制系統(tǒng)也不會(huì)造成負(fù)擔(dān),同時(shí)保證了威脅因素不能進(jìn)入防火墻內(nèi)部,也就不能實(shí)現(xiàn)對(duì)控制系統(tǒng)的惡意攻擊。
3結(jié)語(yǔ)
篇2
在社會(huì)經(jīng)濟(jì)的推動(dòng)下,我國(guó)供電企業(yè)得到了較快發(fā)展,在更好滿(mǎn)足人們供電需求的同時(shí),順應(yīng)了城市化發(fā)展的潮流。目前,很多供電企業(yè)都對(duì)信息技術(shù)進(jìn)行了較好應(yīng)用,并通過(guò)其提高員工的工作效率以及質(zhì)量,從而給供電企業(yè)的發(fā)展帶來(lái)了一定機(jī)遇。雖然我國(guó)的網(wǎng)絡(luò)信息技術(shù)有了較好發(fā)展,但在供電企業(yè)網(wǎng)絡(luò)信息管理中,依然存在許多信息安全問(wèn)題,給企業(yè)發(fā)展以及社會(huì)穩(wěn)定帶來(lái)不利,因此,加強(qiáng)供電企業(yè)網(wǎng)絡(luò)信息安全防護(hù)具有重要意義。
一、供電企業(yè)網(wǎng)絡(luò)信息安全概要
隨著科學(xué)技術(shù)的不斷進(jìn)步,我國(guó)許多供電企業(yè)都進(jìn)入了智能化、自動(dòng)化工作時(shí)代,并建立了自身的網(wǎng)絡(luò)信息數(shù)據(jù)庫(kù),不僅給企業(yè)各項(xiàng)工作的順利進(jìn)行帶來(lái)了較大便利,而且能夠?yàn)橛脩?hù)提供更高質(zhì)量的電能。在信息技術(shù)的推動(dòng)下,供電企業(yè)營(yíng)銷(xiāo)、財(cái)務(wù)等工作都實(shí)現(xiàn)了網(wǎng)絡(luò)化和規(guī)范化,而且有些地區(qū)對(duì)正向隔離器進(jìn)行了較好應(yīng)用,從而給網(wǎng)絡(luò)信息訪問(wèn)提供了一定的安全保障。目前,許多供電企業(yè)將自身營(yíng)銷(xiāo)網(wǎng)絡(luò)與MIS網(wǎng)絡(luò)進(jìn)行了有效結(jié)合,并合理納入了呼叫接入系統(tǒng),從而與銀行、用戶(hù)等能夠較好進(jìn)行信息共享,并具有較高的安全性。雖然供電企業(yè)網(wǎng)絡(luò)信息具有一定的安全性,但是基于網(wǎng)絡(luò)載體的自身特性,依然存在著許多安全隱患,包括計(jì)算機(jī)病毒、惡意網(wǎng)頁(yè)等內(nèi)容,這些不良因素嚴(yán)重影響著網(wǎng)絡(luò)信息的安全,不僅對(duì)企業(yè)各項(xiàng)工作的正常進(jìn)行造成了較大影響,而且給用戶(hù)正常用電帶來(lái)了極大不利,最終產(chǎn)生多種社會(huì)問(wèn)題。因此,加強(qiáng)供電企業(yè)網(wǎng)絡(luò)信息安全防護(hù)勢(shì)在必行。
二、供電企業(yè)網(wǎng)絡(luò)信息存在的安全問(wèn)題
(一)供電企業(yè)網(wǎng)絡(luò)服務(wù)器質(zhì)量不高
供電企業(yè)的電力系統(tǒng)中一般具有多種服務(wù)器,包括銀電聯(lián)網(wǎng)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、WEB服務(wù)器等,每種服務(wù)器都有著自身的特性和功能,對(duì)電力系統(tǒng)的正常運(yùn)作具有重要作用。在信息技術(shù)的發(fā)展下,各種網(wǎng)絡(luò)侵入技術(shù)也有了較快發(fā)展,服務(wù)器非法入侵問(wèn)題越來(lái)越嚴(yán)重,不僅給網(wǎng)絡(luò)信息的安全性帶來(lái)了較大隱患,而且破壞了社會(huì)穩(wěn)定。在供電企業(yè)中,不同的服務(wù)器據(jù)具有不同的認(rèn)證系統(tǒng),主要是為了提高網(wǎng)絡(luò)安全性,但是沒(méi)有建立一個(gè)統(tǒng)一管理的網(wǎng)絡(luò)系統(tǒng),致使工作人員難以對(duì)服務(wù)器進(jìn)行有效管理;電力系統(tǒng)中的WEB服務(wù)器經(jīng)常會(huì)受到各種惡意病毒的侵襲,致使信息訪問(wèn)的安全性遭到較大沖擊;在供電企業(yè)的郵件服務(wù)器中,存在較多的垃圾郵件,但是管理人員疏于監(jiān)管,而許多工作人員不具備較好的安全意識(shí),將這些郵件隨意傳播,致使企業(yè)網(wǎng)絡(luò)信息安全受到嚴(yán)重威脅;由于供電企業(yè)網(wǎng)絡(luò)服務(wù)器質(zhì)量不高、加密效果較差、管理人員安全意識(shí)不足,極易遭受黑客攻擊,致使企業(yè)機(jī)密文件或重要信息被竊取,最終給企業(yè)的正常運(yùn)作帶來(lái)極大不利。
(二)供電企業(yè)網(wǎng)絡(luò)信息安全防護(hù)能力不足
在網(wǎng)絡(luò)信息技術(shù)發(fā)展的同時(shí),各類(lèi)信息安全事件也不斷涌現(xiàn),不僅破壞了網(wǎng)絡(luò)秩序,而且產(chǎn)生了較多負(fù)面影響,因此,加強(qiáng)網(wǎng)絡(luò)信息安全防護(hù)具有重要作用。雖然我國(guó)信息技術(shù)有了較大進(jìn)步,但是在供電企業(yè)中,其網(wǎng)絡(luò)信息安全防護(hù)能力還存在較大問(wèn)題,難以適應(yīng)網(wǎng)絡(luò)環(huán)境的復(fù)雜性與多變性,所以提高供電企業(yè)網(wǎng)絡(luò)信息安全防護(hù)能力勢(shì)在必行。目前,網(wǎng)絡(luò)的保護(hù)系統(tǒng)還沒(méi)有得到更為有效的保護(hù),我國(guó)目前對(duì)于網(wǎng)絡(luò)信息的保護(hù)還僅僅是停留在購(gòu)買(mǎi)殺毒軟件這個(gè)層次上,但是殺毒軟件其實(shí)效果是有限的,如果想要更加健全更加全方位的保護(hù)就必須要有自己的防護(hù)系統(tǒng),例如在網(wǎng)關(guān)處加入自己的防護(hù)措施,并且具有針對(duì)性的增強(qiáng)安全手段。畢竟,對(duì)于供電企業(yè)來(lái)說(shuō),很多信息是非常重要的,也算是企業(yè)的機(jī)密文件,所以對(duì)于網(wǎng)絡(luò)的安全尤為重要。就部分供電企業(yè)而言,并不具有完善的信息安全防護(hù)系統(tǒng),在殺毒軟件方面存在一定落后性,當(dāng)網(wǎng)絡(luò)遭到外部攻擊時(shí),現(xiàn)有的安全防護(hù)措施難以進(jìn)行抵御。此外,有些供電企業(yè)不具備較好的數(shù)據(jù)恢復(fù)系統(tǒng),一旦信息出現(xiàn)損害或消失,供電企業(yè)難以補(bǔ)救數(shù)據(jù)漏洞,從而給各項(xiàng)工作的順利進(jìn)行帶來(lái)不利。目前的供電企業(yè)大都缺乏網(wǎng)絡(luò)信息安全評(píng)價(jià)體系,致使供電企業(yè)不能有效了解自身的網(wǎng)絡(luò)情況,也難以加強(qiáng)信息安全,所以如何提高網(wǎng)絡(luò)信息安全防護(hù)能力是供電企業(yè)面臨的重大問(wèn)題。
(三)計(jì)算機(jī)病毒威脅
供電企業(yè)大都通過(guò)自身網(wǎng)站與外網(wǎng)進(jìn)行鏈接實(shí)現(xiàn)信息訪問(wèn),由于網(wǎng)絡(luò)信息不具備較好的規(guī)范性,許多惡意網(wǎng)頁(yè)也隱藏在網(wǎng)站中,當(dāng)員工點(diǎn)開(kāi)惡意網(wǎng)頁(yè)的鏈接時(shí),計(jì)算機(jī)病毒就會(huì)侵入供電企業(yè)網(wǎng)站服務(wù)器,并迅速擴(kuò)散,最終造成服務(wù)器癱瘓。計(jì)算機(jī)病毒并不能夠直接用肉眼識(shí)別,許多計(jì)算機(jī)病毒都隱藏在一些正規(guī)的網(wǎng)頁(yè)中,所以電腦使用者不能夠及時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)危害,當(dāng)其無(wú)意中點(diǎn)開(kāi)惡意網(wǎng)頁(yè)鏈接時(shí),計(jì)算機(jī)病毒就會(huì)通過(guò)一定運(yùn)作方式擴(kuò)散至整個(gè)計(jì)算機(jī)終端,并改變服務(wù)器的運(yùn)行程序,從而產(chǎn)生多種問(wèn)題。
三、供電企業(yè)網(wǎng)絡(luò)信息安全防護(hù)措施
(一)完善計(jì)算機(jī)防火墻
防火墻是計(jì)算機(jī)中重要組成部分,主要分為兩種形式,一種是軟件防火墻,另一種是硬件防火墻。防火墻具有較高的安全性,能夠阻止網(wǎng)頁(yè)非法訪問(wèn)以及惡意信息侵入,并能對(duì)信息的流通環(huán)節(jié)進(jìn)行較好控制,從而保障網(wǎng)絡(luò)信息安全。因此,供電企業(yè)可以對(duì)硬件防護(hù)墻進(jìn)行完善,利用其對(duì)企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的信息訪問(wèn)進(jìn)行控制,并對(duì)外網(wǎng)進(jìn)行有效隔離,從而提高信息訪問(wèn)的安全性。為了更好保障網(wǎng)絡(luò)信息安全性,供電企業(yè)可以在完善防火墻的基礎(chǔ)上對(duì)殺毒軟件進(jìn)行升級(jí),并建立數(shù)據(jù)備份系統(tǒng),從而取得較好的防護(hù)效果。在對(duì)防火墻進(jìn)行完善時(shí),供電企業(yè)需對(duì)訪問(wèn)權(quán)限進(jìn)行合理設(shè)置,并對(duì)相應(yīng)的數(shù)據(jù)資源進(jìn)行加密,合理控制數(shù)據(jù)進(jìn)出環(huán)境,排除一切不利因素,從而提高防火墻的效果。防火墻不僅會(huì)對(duì)外網(wǎng)信息傳輸進(jìn)行控制,而且還會(huì)對(duì)供電企業(yè)內(nèi)網(wǎng)信息傳輸進(jìn)行限制,所以供電企業(yè)在完善防火墻時(shí)必須對(duì)多種情況進(jìn)行合理考慮,在滿(mǎn)足企業(yè)工作需求的前提下提高信息安全度,從而更好保障供電企業(yè)正常運(yùn)作。
(二)增強(qiáng)員工安全意識(shí)
供電企業(yè)中具有多種類(lèi)型的工作,而員工又是工作主體,所以增強(qiáng)員工安全意識(shí)對(duì)提高網(wǎng)絡(luò)信息安全性具有重要作用。供電企業(yè)須根據(jù)實(shí)際情況建立網(wǎng)絡(luò)安全制度,并加強(qiáng)對(duì)員工安全意識(shí)的教育,要求其在實(shí)際工作中樹(shù)立信息安全風(fēng)險(xiǎn)意識(shí),嚴(yán)格控制信息輸出及輸入環(huán)節(jié),按照相關(guān)規(guī)范進(jìn)行工作。由于供電企業(yè)中多項(xiàng)環(huán)節(jié)都會(huì)涉及到網(wǎng)絡(luò)信息的應(yīng)用,所以供電企業(yè)必須注重對(duì)員工進(jìn)行安全培訓(xùn),并提高其專(zhuān)業(yè)能力,從而降低因人為因素造成的網(wǎng)絡(luò)信息安全隱患。
(三)預(yù)控計(jì)算機(jī)病毒
計(jì)算機(jī)病毒的種類(lèi)較多,存在于計(jì)算機(jī)信息傳輸?shù)母鱾€(gè)環(huán)節(jié),不僅會(huì)對(duì)供電企業(yè)的正常運(yùn)作帶來(lái)不利,而且可能對(duì)電力系統(tǒng)的穩(wěn)定性造成嚴(yán)重影響,所以供電企業(yè)必須采取有效措施預(yù)控計(jì)算機(jī)病毒。基于計(jì)算機(jī)病毒的威脅,供電企業(yè)可以建立網(wǎng)絡(luò)病毒墻,根據(jù)防火墻的特性來(lái)完善病毒墻的各種功能,以預(yù)控計(jì)算機(jī)病毒為目標(biāo),加強(qiáng)對(duì)網(wǎng)絡(luò)信息傳輸環(huán)節(jié)的控制,從而更好提高網(wǎng)絡(luò)信息安全性。
結(jié)束語(yǔ)
基于電力企業(yè)的重要性,維護(hù)網(wǎng)絡(luò)信息安全有著極大意義,也是保障社會(huì)穩(wěn)定的重要措施。網(wǎng)絡(luò)具有復(fù)雜性和多樣性,其存在著多種漏洞,因此,信息安全問(wèn)題在所難免,只有加強(qiáng)信息安全防護(hù)才能更好保障供電企業(yè)各項(xiàng)工作正常進(jìn)行,所以供電企業(yè)必須加強(qiáng)對(duì)員工專(zhuān)業(yè)素質(zhì)的培訓(xùn),并采取有效措施控制計(jì)算機(jī)病毒,這樣才能更好保障網(wǎng)絡(luò)信息安全,滿(mǎn)足人們正常供電需求。
篇3
關(guān)鍵詞:供電企業(yè);計(jì)算機(jī)信息系統(tǒng);網(wǎng)絡(luò)安全防范
前言:
信息技術(shù)的發(fā)展為人類(lèi)社會(huì)帶來(lái)了更多的便利,因此國(guó)內(nèi)的諸多行業(yè)為提高其工作的效率均廣泛采用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)以實(shí)現(xiàn)其信息化建設(shè),與此同時(shí),相應(yīng)的各種網(wǎng)絡(luò)安全問(wèn)題也日漸突出。供電企業(yè)為更好地向社會(huì)提供優(yōu)質(zhì)可靠的電力服務(wù)也在其供電管理系統(tǒng)中應(yīng)用了計(jì)算機(jī)網(wǎng)絡(luò),如果計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全出現(xiàn)了問(wèn)題則不僅會(huì)對(duì)供電企業(yè)的正常工作產(chǎn)生影響,同時(shí)也會(huì)影響到所在地居民的正常生活,因此必須要加強(qiáng)供電企業(yè)計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)安全性,并做好相關(guān)防范工作。
一、供電企業(yè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)方面的安全防范現(xiàn)狀
實(shí)際上我國(guó)的供電企業(yè)在計(jì)算機(jī)網(wǎng)絡(luò)方面的建設(shè)已有多年的歷程,并且在規(guī)模以及技術(shù)上也有所發(fā)展,但隨著現(xiàn)今信息網(wǎng)絡(luò)的發(fā)展,其計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展也面臨著更多的挑戰(zhàn)。供電企業(yè)的管理系統(tǒng)關(guān)系著其財(cái)務(wù)、銷(xiāo)售、管理等多項(xiàng)涉及到其日常經(jīng)營(yíng)的業(yè)務(wù),為此則必須要對(duì)計(jì)算機(jī)在其管理系統(tǒng)中的應(yīng)用進(jìn)行分析,以了解當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀。
1. 計(jì)算機(jī)網(wǎng)絡(luò)在管理方面的安全防范現(xiàn)狀
隨著供電企業(yè)在信息化方面的建設(shè)工作不斷開(kāi)展,其在管理方面尤其是安全性方面的管理工作取得了一定的進(jìn)展,在原先的管理模式上做出了與計(jì)算機(jī)網(wǎng)絡(luò)向適應(yīng)的針對(duì)性調(diào)整,使得其與信息化建設(shè)的要求也逐步向適應(yīng)。但是由于我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)在技術(shù)方面的飛速發(fā)展,不僅使供電企業(yè)對(duì)其依賴(lài)程度加深,同樣也使得其在管理方面的所存在的一些隱患問(wèn)題暴露出來(lái)。安全防范的管理不足具體體現(xiàn)在機(jī)房管理不夠嚴(yán)謹(jǐn),包括計(jì)算機(jī)的設(shè)備以及系統(tǒng)都存在不同程度的落后情況,在進(jìn)行數(shù)據(jù)的存儲(chǔ)時(shí)無(wú)法提供可靠的記錄和存儲(chǔ);在電源方面也是有所疏忽,一旦機(jī)房的主電源出現(xiàn)了問(wèn)題則會(huì)迅速導(dǎo)致其信息數(shù)據(jù)的傳輸出現(xiàn)錯(cuò)誤,進(jìn)而使整個(gè)供電企業(yè)管理系統(tǒng)出現(xiàn)問(wèn)題,后備電源的缺失以及供應(yīng)不及時(shí)都會(huì)影響到整個(gè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)方面的安全性,如下圖所示。
2. 計(jì)算機(jī)網(wǎng)絡(luò)在系統(tǒng)方面的安全防范現(xiàn)狀
在供電企業(yè)計(jì)算機(jī)信息系統(tǒng)中,其網(wǎng)絡(luò)的核心通常是匯聚交換機(jī),并與其下屬的各個(gè)單位設(shè)備進(jìn)行連接,從而形成一個(gè)系統(tǒng)化的大型局域網(wǎng)絡(luò)。然而由于在同各下屬單位之間進(jìn)行連接時(shí),對(duì)于網(wǎng)絡(luò)的傳輸安全未能予以相應(yīng)的保護(hù),再加上交換設(shè)備的常年使用使得其穩(wěn)定性與安全性有所下降,進(jìn)而導(dǎo)致其網(wǎng)絡(luò)在安全防范方面存在著較大的漏洞。在這種情況下一旦出現(xiàn)問(wèn)題將會(huì)使其下屬的各個(gè)單位的管理系統(tǒng)也受到影響,造成區(qū)域性的供電系統(tǒng)紊亂。供電企業(yè)內(nèi)部與外部通過(guò)網(wǎng)絡(luò)傳遞信息,結(jié)構(gòu)較為簡(jiǎn)單,在風(fēng)險(xiǎn)抵御上偏弱;同時(shí)由于操作業(yè)務(wù)的多樣性,使得其對(duì)于網(wǎng)絡(luò)網(wǎng)絡(luò)傳輸?shù)慕涌谝约靶阅芊矫嬗兄^高的要求。當(dāng)遭受來(lái)自廣域網(wǎng)上的攻擊,若未能抵御,容易出現(xiàn)網(wǎng)絡(luò)異常,嚴(yán)重者可能造成網(wǎng)絡(luò)癱瘓,或是數(shù)據(jù)丟失、信息外泄等情況,這對(duì)于供電系統(tǒng)的運(yùn)行而言是相當(dāng)危險(xiǎn)的,因此必須要針對(duì)其網(wǎng)絡(luò)系統(tǒng)問(wèn)題進(jìn)行安全協(xié)議的優(yōu)化以提高其系統(tǒng)的安全性[1]。同時(shí),需要確保局域網(wǎng)中設(shè)備的穩(wěn)定運(yùn)行,維護(hù)正常的數(shù)據(jù)通信。
二、供電企業(yè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)方面的優(yōu)化分析
供電企業(yè)在對(duì)其計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)進(jìn)行管理時(shí)一般會(huì)將其歸為三部分,分別是外網(wǎng)管理、內(nèi)網(wǎng)管理以及日常數(shù)據(jù)管理等,并且對(duì)這三個(gè)部分進(jìn)行強(qiáng)化保護(hù),以提升其網(wǎng)絡(luò)安全的等級(jí)。一般來(lái)講會(huì)將其內(nèi)網(wǎng)應(yīng)用于日常的數(shù)據(jù)處理中去,主要是客戶(hù)終端的各項(xiàng)業(yè)務(wù)服務(wù);而外網(wǎng)的話則會(huì)將其用于客戶(hù)業(yè)務(wù)辦理,當(dāng)然也可以用于客戶(hù)的訪問(wèn)與咨詢(xún)。在其計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全中,可以通過(guò)建立相互獨(dú)立的主機(jī)以及服務(wù)器從而將外網(wǎng)與內(nèi)網(wǎng)進(jìn)行隔離以保證其安全性,防止計(jì)算機(jī)網(wǎng)絡(luò)因局部故障而導(dǎo)致整體的運(yùn)行受阻,有效地避免了供電網(wǎng)絡(luò)癱瘓的情況。內(nèi)外網(wǎng)隔離的方法也可以實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)在縱向與橫向之間的隔離,并且可以使供電系統(tǒng)的信息實(shí)現(xiàn)區(qū)域化管理,從而有效提高其對(duì)于外界的防御能力。同時(shí)也要注意對(duì)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行相應(yīng)的優(yōu)化,供電企業(yè)在對(duì)管理系統(tǒng)進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)配置時(shí)可以根據(jù)情況考慮使用新型骨干交換機(jī),并且在每一臺(tái)交換機(jī)上配備兩套電源系統(tǒng),一個(gè)是常規(guī)電源,另一個(gè)則是備用電源,從而保證設(shè)備能夠在出現(xiàn)電力故障時(shí)依然能夠正常運(yùn)轉(zhuǎn),并且出于機(jī)器散熱的考慮,需要配備相應(yīng)的風(fēng)扇以提高其散熱能力。在交換機(jī)上進(jìn)行管理模塊的設(shè)置,使其既能夠完成冗余資料的備份,同時(shí)也能夠完成冗余荷載[2]。
三、供電企業(yè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)方面的安全應(yīng)急處理
為了能夠使供電企業(yè)管理系統(tǒng)安全性得到進(jìn)一步的加強(qiáng),則必須要充分考慮各種突發(fā)意外,并依此制定周全的應(yīng)急處理機(jī)制,從而確保供電管理系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)能夠具備較好的抗災(zāi)能力。首先是需要針對(duì)目前比較常見(jiàn)的黑客以及計(jì)算機(jī)病毒的攻擊,對(duì)資料與數(shù)據(jù)進(jìn)行安全加密處理,并做好其備份工作,以降低其危害。在制定應(yīng)急預(yù)案時(shí)應(yīng)當(dāng)對(duì)可能出現(xiàn)的各種情況進(jìn)行詳細(xì)的分析,對(duì)于各個(gè)預(yù)案進(jìn)行模擬演練,在演練完成后要做出正確的評(píng)估,以了解其對(duì)于災(zāi)害的抵御能力,并對(duì)其中的不足予以指正,從而確保應(yīng)急方案能夠及時(shí)有效的抵御外界入侵。同時(shí)也要對(duì)系統(tǒng)中計(jì)算機(jī)網(wǎng)絡(luò)的相關(guān)責(zé)任人員以及技術(shù)人員進(jìn)行專(zhuān)化業(yè)化的技術(shù)培訓(xùn),從而提高其計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)水平,使其能夠?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全予以技術(shù)支持。在權(quán)限方面需要對(duì)系統(tǒng)中的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行嚴(yán)格的權(quán)限等級(jí)設(shè)置,對(duì)于不符合其權(quán)限等級(jí)的操作要嚴(yán)格禁止,并進(jìn)行相應(yīng)的記錄,以便后期的檢查[3]。
四、總結(jié)
供電企業(yè)計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全是一項(xiàng)長(zhǎng)期而復(fù)雜的工程,需要根據(jù)供電企業(yè)現(xiàn)有的網(wǎng)絡(luò)運(yùn)行環(huán)境和信息系統(tǒng)環(huán)境,加強(qiáng)安全和防護(hù)技術(shù),從而使其能夠?yàn)楣╇娖髽I(yè)的生產(chǎn)經(jīng)營(yíng)管理發(fā)揮更加優(yōu)質(zhì)、便捷的服務(wù),促進(jìn)電網(wǎng)企業(yè)的發(fā)展。
參考文獻(xiàn):
[1]李偉?電力系統(tǒng)計(jì)算機(jī)信息網(wǎng)絡(luò)安全技術(shù)與防范探討[J]?通訊世界,2014,(9):69.
篇4
在網(wǎng)絡(luò)的發(fā)展過(guò)程中,計(jì)算機(jī)信息安全以及保密一直都是一個(gè)比較困難的問(wèn)題,因?yàn)樵诰W(wǎng)絡(luò)上有許許多多的方法都可能威脅到計(jì)算機(jī)信息,而且在現(xiàn)代網(wǎng)絡(luò)的環(huán)境之下,與傳統(tǒng)的信息交流交換方式不同,以往的信息流通通常是以人為終端的,但是現(xiàn)在網(wǎng)絡(luò)信息交換的方式多是計(jì)算機(jī)與計(jì)算機(jī)之間信息的交流,故在信息交流通道之中,有很大的漏洞使得計(jì)算機(jī)信息受到嚴(yán)重的威脅。所以本文將對(duì)電力企業(yè)計(jì)算機(jī)信息安全及保密工作進(jìn)行研究。
一、計(jì)算機(jī)網(wǎng)絡(luò)安全以及保密易被威脅的方面
(一)數(shù)據(jù)的訪問(wèn)無(wú)法限制性。電力內(nèi)網(wǎng)用戶(hù)計(jì)算機(jī)內(nèi)信息無(wú)法有效限制,很多數(shù)據(jù)都可以被他人隨意瀏覽或者拷貝。
(二)計(jì)算機(jī)信息當(dāng)被集中到一起的時(shí)候,信息的價(jià)值將會(huì)被大幅度的提升。
(三)保護(hù)計(jì)算機(jī)信息的困難度十分大。因?yàn)樵诰W(wǎng)絡(luò)上盡管可以設(shè)置多重的防御,但是這些防御都不是絕對(duì)的防御,都有可能被任何人突破,致使信息的安全受到威脅。
二、計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保密研究
以上分析了在網(wǎng)絡(luò)環(huán)境之下計(jì)算機(jī)信息的安全性受到了極大的威脅,以及其信息的脆弱性所在,針對(duì)于這幾個(gè)信息安全的弱點(diǎn),只有通過(guò)更加嚴(yán)謹(jǐn)?shù)姆椒▉?lái)加強(qiáng)信息的強(qiáng)度,增強(qiáng)信息的保密性。
(一)信息用戶(hù)權(quán)限認(rèn)證。信息的接觸主要是由少部分的管理人員來(lái)接觸,而對(duì)于用戶(hù)的分級(jí)就是一個(gè)十分重要的過(guò)程。在將信息管理的權(quán)限交給管理人員的同時(shí),也要確定管理人員身份的可靠性,應(yīng)將管理人員的身份交給值得信任的人員,并且將管理權(quán)限分給數(shù)人處理,避免個(gè)別管理人員信息管理權(quán)力過(guò)大,出現(xiàn)不可挽回的問(wèn)題。在監(jiān)管管理人員的身份的同時(shí),對(duì)于其他用戶(hù)身份的監(jiān)管確認(rèn)也是同樣重要的。建立一個(gè)用戶(hù)的認(rèn)證體系可以有效地避免身份不明的人來(lái)訪問(wèn)計(jì)算機(jī)信息,這樣從一開(kāi)始就可以阻止一部分惡意登陸使用訪問(wèn)信息的人,身份認(rèn)證的方式有很多種,其中綁定IP地址、密碼設(shè)置等等的方法都可以使得用戶(hù)的身份得到一定的認(rèn)證,并且管理人員同樣可以通過(guò)監(jiān)管每個(gè)用戶(hù)的登陸信息,以及監(jiān)管日志來(lái)查到一些惡意登陸信息的人,可以第一時(shí)間將威脅拒之于門(mén)外。
(二)數(shù)據(jù)庫(kù)的加密保護(hù)。數(shù)據(jù)庫(kù)中的信息數(shù)量大、機(jī)密性強(qiáng),相對(duì)應(yīng)的其價(jià)值也是十分的高,更加容易受到其他人惡意的進(jìn)行攻擊。所以對(duì)于數(shù)據(jù)庫(kù)的保密將會(huì)有十分重大的意義,必須嚴(yán)密的保護(hù)這一類(lèi)信息,防止他們被未經(jīng)過(guò)管理員身份驗(yàn)證之后進(jìn)行訪問(wèn)、拷貝或者篡改的。數(shù)據(jù)庫(kù)同時(shí)也是較為薄弱的部分,就算是沒(méi)有連接互聯(lián)網(wǎng),也很有可能遭受到惡意的攻擊。而數(shù)據(jù)庫(kù)的防護(hù)除了將用戶(hù)的等級(jí)進(jìn)行分類(lèi)、同時(shí)也可以將數(shù)據(jù)進(jìn)行分類(lèi),數(shù)據(jù)的訪問(wèn)等級(jí)也將受到嚴(yán)密的控制,將整個(gè)數(shù)據(jù)庫(kù)的數(shù)據(jù)簡(jiǎn)化為一個(gè)二維數(shù)據(jù)庫(kù),可以將每一個(gè)數(shù)據(jù)分析成一個(gè)個(gè)的元素,根據(jù)不同的權(quán)限提供不同的數(shù)據(jù)。這樣僅僅只能限制部分的數(shù)據(jù)不被他人所惡意攻擊與篡改,同樣也需要加密數(shù)據(jù)庫(kù)來(lái)強(qiáng)化整個(gè)數(shù)據(jù)庫(kù)的保密性。數(shù)據(jù)庫(kù)的加密與常規(guī)的加密方式有所不同,不僅僅是強(qiáng)度大大增加,并且用逐一的加密方式使得數(shù)據(jù)庫(kù)中信息的安全程度又上了一層樓。
1.數(shù)據(jù)庫(kù)加密使用多重加密的方式。即將整個(gè)數(shù)據(jù)庫(kù)的加密分為多個(gè)部分,每一級(jí)別的加密都僅僅加密相關(guān)的數(shù)據(jù)信息,不會(huì)對(duì)其他的信息造成影響,且將數(shù)據(jù)信息分為多個(gè)部分,直接導(dǎo)致數(shù)據(jù)庫(kù)就算被他人入侵攻破,短時(shí)間之內(nèi)不會(huì)出現(xiàn)過(guò)大的損失。
2.數(shù)據(jù)庫(kù)加密將有獨(dú)特的算法。一個(gè)數(shù)據(jù)庫(kù)的安全程度很大的程度上都取決于整個(gè)數(shù)據(jù)庫(kù)加密之中算法的保密特殊性,好的算法可以保證對(duì)于惡意入侵者沒(méi)有一絲漏洞,并且不會(huì)出現(xiàn)隨機(jī)、重復(fù)等等情況。而將秘鑰公開(kāi)可以使得有權(quán)限的人員可以更加容易的找尋相應(yīng)的信息,并且由于算法的緣故,秘鑰的公開(kāi)并不會(huì)影響到整個(gè)系統(tǒng)的強(qiáng)度。
3.數(shù)據(jù)的保密工作方法
(1)逐鏈加密。在數(shù)據(jù)傳輸?shù)倪^(guò)程之中,在每一個(gè)節(jié)點(diǎn)處加密,并且將每一個(gè)節(jié)點(diǎn)的檢查結(jié)果進(jìn)行記錄整理分析,只有逐一對(duì)每一個(gè)節(jié)點(diǎn)的加密進(jìn)行解密,才能夠在目的節(jié)點(diǎn)處得到所應(yīng)得的數(shù)據(jù)信息。如果多次錯(cuò)誤的信息被系統(tǒng)記錄下來(lái),并且將其分析,將會(huì)對(duì)用戶(hù)的信息進(jìn)行詳細(xì)的查詢(xún),做到有效地排除惡意進(jìn)入數(shù)據(jù)信息系統(tǒng)的用戶(hù)。
(2)端端加密。在數(shù)據(jù)的兩端進(jìn)行加密,這種加密的方式被稱(chēng)為端端加密。這種加密的方式解決了在傳輸?shù)倪^(guò)程中都是以明文的方式來(lái)進(jìn)行傳輸?shù)娜秉c(diǎn),本來(lái)在傳輸?shù)倪^(guò)程之中,節(jié)點(diǎn)上的數(shù)據(jù)傳輸只能是以明文的形式進(jìn)行傳輸,以至于以前的數(shù)據(jù)加密強(qiáng)度不足以保護(hù)所有的數(shù)據(jù)。而端端加密僅僅在開(kāi)端與結(jié)尾處設(shè)置加密與解密設(shè)施,在傳輸過(guò)程中的節(jié)點(diǎn)都無(wú)法明文訪問(wèn)到數(shù)據(jù),進(jìn)一步加強(qiáng)了數(shù)據(jù)的保密性。
(3)混合方式加密。在數(shù)據(jù)傳輸?shù)倪^(guò)程中,有很多的節(jié)點(diǎn),并且在節(jié)點(diǎn)之上會(huì)將數(shù)據(jù)進(jìn)行轉(zhuǎn)化為明文,通過(guò)在這些節(jié)點(diǎn)上進(jìn)行不同的加密,并且在起始端與結(jié)束端進(jìn)行加密,使得整個(gè)系統(tǒng)中最薄弱的地方得到了加強(qiáng),加強(qiáng)了數(shù)據(jù)傳輸?shù)倪^(guò)程中被破解的難度,增強(qiáng)了網(wǎng)絡(luò)安全性的下限。
三、結(jié)束語(yǔ)
在網(wǎng)絡(luò)十分發(fā)展的今天,面臨更多挑戰(zhàn)的信息安全,電力企業(yè)計(jì)算機(jī)的信息安全與保密性也將要受到更多的重視,而以上對(duì)于信息安全以及保密性的研究?jī)H僅是對(duì)于現(xiàn)在科技水平之下,自己的一點(diǎn)見(jiàn)解。而對(duì)于信息的安全的一點(diǎn)保護(hù)方式,隨著科學(xué)技術(shù)的進(jìn)一步發(fā)展,計(jì)算機(jī)的安全受到更加有力的保障的同時(shí),也將要面臨更大的威脅。
電力企業(yè)的計(jì)算機(jī)信息無(wú)疑是具有十分重大價(jià)值的信息,也同樣增加了企業(yè)計(jì)算機(jī)信息庫(kù)受到惡意攻擊的可能性,所需要的是萬(wàn)無(wú)一失的安全保護(hù)系統(tǒng)來(lái)確保信息的安全。所以只有不斷研發(fā)新型的信息安全保護(hù)裝置,使得計(jì)算機(jī)信息的安全得到真正的保密。
篇5
工業(yè)控制系統(tǒng)(ICS)是綜合運(yùn)用信息技術(shù)、電子技術(shù)、通信技術(shù)和計(jì)算機(jī)技術(shù)等,對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行檢測(cè)控制,實(shí)現(xiàn)工業(yè)技術(shù)生產(chǎn)過(guò)程自動(dòng)化的應(yīng)用系統(tǒng)。ICS在冶金、電力、石化、水處理、鐵路、食品加工等行業(yè),以及軍工的航空、航天、船舶、艦艇、潛艇等領(lǐng)域的自動(dòng)化生產(chǎn)管理系統(tǒng)中都得到了廣泛地應(yīng)用。
1 工業(yè)控制系統(tǒng)安全現(xiàn)狀
與傳統(tǒng)信息系統(tǒng)安全需求不同,ICS設(shè)計(jì)需要兼顧應(yīng)用場(chǎng)景與控制管理等多方面因素,并且優(yōu)先考慮系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。鑒于ICS的特定設(shè)計(jì)理念,缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多ICS所面臨的共同問(wèn)題。
傳統(tǒng)的ICS多為車(chē)間/廠區(qū)局域網(wǎng)ICS,系統(tǒng)特點(diǎn)包括專(zhuān)有網(wǎng)絡(luò)、專(zhuān)有操作系統(tǒng)、無(wú)以太網(wǎng)絡(luò)、沒(méi)有因特網(wǎng)的鏈接。從網(wǎng)絡(luò)安全角度,系統(tǒng)是安全的。
現(xiàn)今的ICS開(kāi)始與互聯(lián)網(wǎng)或辦公網(wǎng)直接/間接互聯(lián),形成從控制網(wǎng)到信息網(wǎng)的大系統(tǒng)ICS,系統(tǒng)特點(diǎn)包括以太網(wǎng)無(wú)處不在、無(wú)線設(shè)備、遠(yuǎn)程配置和監(jiān)控、Windows和Linux等流行操作系統(tǒng)。從網(wǎng)絡(luò)安全角度,系統(tǒng)存在巨大安全隱患,很容易被黑客攻擊。
2 工業(yè)控制系統(tǒng)安全漏洞及風(fēng)險(xiǎn)分析
隨著工業(yè)信息化進(jìn)程的快速推進(jìn),物聯(lián)網(wǎng)技術(shù)開(kāi)始在工控領(lǐng)域廣泛應(yīng)用,實(shí)現(xiàn)了系統(tǒng)間的協(xié)同和信息分享,極大地提高了企業(yè)的綜合效益。與此同時(shí),暴露在互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中的工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油化工、核工業(yè)等國(guó)家重要行業(yè)中,其安全事故造成的社會(huì)影響和經(jīng)濟(jì)損失會(huì)更為嚴(yán)重。
2.1工業(yè)控制系統(tǒng)安全漏洞
工業(yè)控制系統(tǒng)安全漏洞包括:策略與規(guī)則漏洞、平臺(tái)漏洞、網(wǎng)絡(luò)漏洞。
2.1.1 策略與規(guī)則漏洞
缺乏工業(yè)控制系統(tǒng)的安全策略、缺乏工業(yè)控制系統(tǒng)的安全培訓(xùn)與意識(shí)培養(yǎng)、缺乏工業(yè)控制系統(tǒng)設(shè)備安全部署的實(shí)施方法、缺乏工業(yè)控制系統(tǒng)的安全審計(jì)、缺乏針對(duì)工業(yè)控制系統(tǒng)的配置變更管理。
2.1.2 平臺(tái)漏洞
平臺(tái)漏洞包括:平臺(tái)配置漏洞、平臺(tái)硬件漏洞、平臺(tái)軟件漏洞、惡意軟件攻擊。
(1)平臺(tái)配置漏洞
包括關(guān)鍵配置信息未備份、關(guān)鍵信息未加密存儲(chǔ)、沒(méi)有采用口令或口令不滿(mǎn)足長(zhǎng)度和復(fù)雜度要求、口令泄露等。
(2)平臺(tái)硬件漏洞
包括關(guān)鍵系統(tǒng)缺乏物理防護(hù)、未授權(quán)的用戶(hù)能夠物理訪問(wèn)設(shè)備、對(duì)工業(yè)控制系統(tǒng)不安全的遠(yuǎn)程訪問(wèn)。
(3)平臺(tái)軟件漏洞
包括拒絕服務(wù)攻擊(DOS攻擊)、采用不安全的工控協(xié)議、采用明文傳輸、未安裝入侵檢測(cè)系統(tǒng)與防護(hù)軟件等。
(4)惡意軟件攻擊
包括未安裝防病毒軟件等。
2.1.3 網(wǎng)絡(luò)漏洞
(1)網(wǎng)絡(luò)配置漏洞
包括有缺陷的網(wǎng)絡(luò)安全架構(gòu)、口令在傳輸過(guò)程中未加密、未采取細(xì)粒度的訪問(wèn)控制策略、安全設(shè)備配置不當(dāng)。
(2)網(wǎng)絡(luò)硬件漏洞
包括網(wǎng)絡(luò)設(shè)備的物理防護(hù)不充分、未采取有效的措施保護(hù)物理端口、關(guān)鍵網(wǎng)絡(luò)設(shè)備未備份。
(3)網(wǎng)絡(luò)邊界漏洞
包括未定義網(wǎng)絡(luò)安全邊界、未部署防火墻或配置不當(dāng)、未采取信息流向控制措施。
2.2 工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析
電力故障、自然災(zāi)害、軟硬件故障、黑客攻擊、惡意代碼都會(huì)對(duì)ICS系統(tǒng)產(chǎn)生影響。其中,電力故障、自然災(zāi)害和軟/硬件故障,屬于信息安全范疇之外,而非法操作、惡意代碼和黑客攻擊作為信息安全威脅的主要形式,往往很難被發(fā)現(xiàn)或控制,對(duì)ICS網(wǎng)絡(luò)安全運(yùn)行的威脅和影響也最大。
(1)利用USB協(xié)議漏洞在U盤(pán)中植入惡意代碼
U盤(pán)內(nèi)部結(jié)構(gòu):U盤(pán)由芯片控制器和閃存兩部分組成,芯片控制器負(fù)責(zé)與PC的通訊和識(shí)別,閃存用來(lái)做數(shù)據(jù)存儲(chǔ);閃存中有一部分區(qū)域用來(lái)存放U盤(pán)的固件,控制軟硬件交互,固件無(wú)法通過(guò)普通手段進(jìn)行讀取。
USB協(xié)議漏洞:USB設(shè)備設(shè)計(jì)標(biāo)準(zhǔn)并不是USB設(shè)備具備唯一的物理特性進(jìn)行身份驗(yàn)證,而是允許一個(gè)USB設(shè)備具有多個(gè)輸入輸出設(shè)備的特征。
這樣就可以通過(guò)U盤(pán)固件逆向重新編程,將U盤(pán)進(jìn)行偽裝,偽裝成一個(gè)USB鍵盤(pán),并通過(guò)虛擬鍵盤(pán)輸入集成到U盤(pán)固件中的惡意代碼而進(jìn)行攻擊。
(2)利用組態(tài)軟件數(shù)據(jù)庫(kù)漏洞進(jìn)行攻擊
ICS系統(tǒng)采用的組態(tài)軟件,缺乏安全防護(hù)措施,往往公開(kāi)訪問(wèn)其實(shí)時(shí)數(shù)據(jù)庫(kù)的途徑,以方便用戶(hù)進(jìn)行二次開(kāi)發(fā),從而可利用此漏洞,遠(yuǎn)程/本地訪問(wèn)數(shù)據(jù)庫(kù),獲取全部數(shù)據(jù)庫(kù)變量,選取關(guān)鍵數(shù)據(jù)進(jìn)行訪問(wèn)并篡改,從而達(dá)到攻擊目的。
2.3 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)總結(jié)
病毒:可引起工控設(shè)備或網(wǎng)絡(luò)故障,破壞生產(chǎn)過(guò)程數(shù)據(jù)或影響網(wǎng)絡(luò)正常服務(wù),如蠕蟲(chóng)病毒等。
緩沖區(qū)溢出攻擊:利用設(shè)計(jì)漏洞進(jìn)行的攻擊。
拒絕服務(wù)攻擊:惡意造成拒絕服務(wù),造成目標(biāo)系統(tǒng)無(wú)法正常工作或癱瘓,或造成網(wǎng)絡(luò)阻塞。
網(wǎng)絡(luò)嗅探:可捕獲主機(jī)所在網(wǎng)絡(luò)的所有數(shù)據(jù)包,一旦被惡意利用,獲取了目標(biāo)主機(jī)的關(guān)鍵信息則可對(duì)目標(biāo)主機(jī)實(shí)施進(jìn)一步攻擊。
IP欺騙:可通過(guò)技術(shù)手段利用TCP/IP協(xié)議缺陷,偽裝成被信任主機(jī),使用被信任主機(jī)的源地址與目標(biāo)主機(jī)進(jìn)行會(huì)話,在目標(biāo)主機(jī)不知的情況下實(shí)施欺騙行為。
口令破解:攻擊者若通過(guò)一定手段取得用戶(hù)口令,提升權(quán)限進(jìn)入目標(biāo)系統(tǒng),對(duì)目標(biāo)主機(jī)進(jìn)行完全控制。
3 工業(yè)控制系統(tǒng)安全檢查
3.1 檢查對(duì)象
包括工藝、工程分析、控制系統(tǒng)信息安全后果分析、安全防護(hù)能力分析等。
3.2 檢測(cè)方式
包括訪談、現(xiàn)場(chǎng)測(cè)試、離線測(cè)試、測(cè)試床或另外搭建測(cè)試環(huán)境測(cè)試。
3.3 檢測(cè)內(nèi)容
應(yīng)包括信息流轉(zhuǎn)過(guò)程中遇到的一切鏈路、設(shè)備(硬件程序、模塊組件)、人員等。
管理檢查需要準(zhǔn)備的資料:信息安全相關(guān)管理制度和安全策略;設(shè)備保密管理制度;系統(tǒng)運(yùn)行管理制度、產(chǎn)品供應(yīng)商(或者商)、系統(tǒng)集成商等提供的資質(zhì)證明、授權(quán)證明、合格證書(shū)等。
技術(shù)檢查需要準(zhǔn)備的資料:招標(biāo)合同技術(shù)規(guī)格書(shū);詳細(xì)設(shè)備清單;設(shè)備配置及使用說(shuō)明;網(wǎng)絡(luò)拓?fù)鋱D;輸入輸出端口信息;DNC服務(wù)器配置及使用說(shuō)明;設(shè)備的連接說(shuō)明、功能說(shuō)明、操作手冊(cè)。
運(yùn)維檢查需要準(zhǔn)備的資料:運(yùn)行維護(hù)管理制度、訪問(wèn)控制端口設(shè)置情況記錄、運(yùn)行維護(hù)報(bào)告、應(yīng)急預(yù)案方案、應(yīng)急演練記錄。
3.4 檢測(cè)重點(diǎn)
重點(diǎn)檢查輸入輸出端口使用、設(shè)備安全配置、運(yùn)維安全措施的落實(shí)情況,同時(shí)檢查資產(chǎn)管理情況,訪問(wèn)控制策略、備份及應(yīng)急管理等方面。
4 結(jié)束語(yǔ)
通過(guò)上面的分析與研究,工業(yè)控制系統(tǒng)還存在許多的漏洞和安全風(fēng)險(xiǎn),只有充分認(rèn)識(shí)到這些漏洞,才能利用信息安全手段不斷的處置這些漏洞,使風(fēng)險(xiǎn)降到最低。同時(shí)我們應(yīng)該認(rèn)識(shí)到,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門(mén)不斷深入發(fā)展的技術(shù),隨著工業(yè)控制系統(tǒng)廣泛應(yīng)用和不斷發(fā)展,其信息安全必將面臨更加嚴(yán)峻的挑戰(zhàn),隨之信息安全技術(shù)的研究也必將快速推進(jìn)。
篇6
【關(guān)鍵詞】DCS;信息安全
0 引言
DCS系統(tǒng)在我國(guó)工控行業(yè)應(yīng)用廣泛,一旦系統(tǒng)信息安全出現(xiàn)漏洞,將會(huì)對(duì)我國(guó)的工業(yè)生產(chǎn)和經(jīng)濟(jì)造成極大的破壞。伴隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,信息化和工業(yè)化融合的不斷推進(jìn),DCS系統(tǒng)越來(lái)越多的采用通用硬件、通用軟件、通用協(xié)議,使得系統(tǒng)在開(kāi)放的同時(shí),也減弱了系統(tǒng)與外界的隔離。DCS系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻,系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓。
2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì)。本文以DCS系統(tǒng)為分析基礎(chǔ),介紹了一種全新的信息安全設(shè)計(jì)概念,在不改變系統(tǒng)架構(gòu)的前提下解決當(dāng)前傳統(tǒng)DCS系統(tǒng)在信息安全方面的“薄弱環(huán)節(jié)”。
1 傳統(tǒng)DCS系統(tǒng)的“薄弱環(huán)節(jié)”分析
下圖為傳統(tǒng)的雙層網(wǎng)絡(luò)DCS系統(tǒng)架構(gòu)
傳統(tǒng)的DCS系統(tǒng)的“薄弱環(huán)節(jié)”主要包括:
1.1 通信協(xié)議漏洞
TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議在DCS系統(tǒng)網(wǎng)絡(luò)中被廣泛地應(yīng)用,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如,OPC Classic協(xié)議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊。而且OPC通訊采用不固定的端口號(hào),目前傳統(tǒng)的IT防火墻幾乎無(wú)法確保其安全性。
1.2 操作系統(tǒng)漏洞
目前大多數(shù)DCS系統(tǒng)的工程師站、操作員站、HMI都是基于Windows平臺(tái)的,在系統(tǒng)開(kāi)車(chē)后,為保證過(guò)程控制系統(tǒng)的相對(duì)獨(dú)立性,同時(shí)兼顧到系統(tǒng)的穩(wěn)定運(yùn)行,將不會(huì)對(duì)Windows平臺(tái)繼續(xù)安裝任何補(bǔ)丁。這樣勢(shì)必存在的問(wèn)題是,系統(tǒng)不加裝補(bǔ)丁就存在被攻擊的可能,從而埋下安全隱患。
1.3 應(yīng)用軟件漏洞
DCS系統(tǒng)中安裝的應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開(kāi)放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。某些別有用心的人員很有可能會(huì)利用一些應(yīng)用軟件的安全漏洞獲取DCS系統(tǒng)的控制權(quán)限從而進(jìn)行破壞、獲利等非法活動(dòng)。
1.4 安全策略和管理流程漏洞
為了更好的滿(mǎn)足系統(tǒng)的可用性而犧牲安全,是很多DCS系統(tǒng)存在的普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程也給DCS系統(tǒng)信息安全帶來(lái)了一定的威脅。例如DCS系統(tǒng)中移動(dòng)存儲(chǔ)介質(zhì)包括筆記本電腦、U盤(pán)等設(shè)備的使用和不嚴(yán)格的訪問(wèn)控制策略。
1.5 殺毒軟件漏洞
為了確保應(yīng)用軟件的可用性,許多DCS系統(tǒng)通常不會(huì)安裝殺毒軟件。即使安裝了殺毒軟件,在使用過(guò)程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是,其病毒庫(kù)需要不定期的經(jīng)常更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的,導(dǎo)致每年都會(huì)爆發(fā)大規(guī)模的病毒攻擊,特別是新病毒。
2 新概念設(shè)計(jì)方案
針對(duì)傳統(tǒng)DCS系統(tǒng)在信息安全方面的“薄弱環(huán)節(jié)”,提出一種全新概念的解決方案。以典型的二層網(wǎng)絡(luò)架構(gòu)為例:
2.1 過(guò)程控制網(wǎng)絡(luò)采用POWERLINK現(xiàn)場(chǎng)總線方案替換傳統(tǒng)的工業(yè)以太網(wǎng)。
該方案的特點(diǎn):
1)基于標(biāo)準(zhǔn)硬件,完全兼容標(biāo)準(zhǔn)以太網(wǎng);
2)確定性的實(shí)時(shí)通訊,在技術(shù)方面采用了SCNM時(shí)間槽通信管理機(jī)制,由此能夠準(zhǔn)確預(yù)測(cè)數(shù)據(jù)通訊的時(shí)間,從而實(shí)現(xiàn)了實(shí)時(shí)通訊的確定性;
3)適用系統(tǒng)廣泛,POWERLINK適用于PLC,傳感器,I/O模塊,運(yùn)動(dòng)控制,安全控制,安全傳感器、執(zhí)行機(jī)構(gòu)以及HMI系統(tǒng)等。
2.2 過(guò)程監(jiān)控網(wǎng)絡(luò)采用光纖通道交換機(jī)替換傳統(tǒng)的以太網(wǎng)交換機(jī)。
該方案的特點(diǎn):
1)采用光纖通道協(xié)議;
2)高數(shù)據(jù)傳輸速率(800和1600MB/S);
3)高帶寬低延遲(8Gbps/16Gbps);
4)可靠性傳輸誤碼率
2.3 采用國(guó)產(chǎn)操作系統(tǒng):用國(guó)產(chǎn)操作系統(tǒng)(中標(biāo)麒麟、Deepin等)替代國(guó)外操作系統(tǒng)能夠極大提高信息安全,倪光南院士說(shuō)過(guò)“國(guó)產(chǎn)操作系統(tǒng)最重要的優(yōu)勢(shì)是安全”
2.4 工程師站、操作員站中專(zhuān)用軟件
1)安裝應(yīng)用程序白名單軟件,只允許經(jīng)過(guò)授權(quán)和安全評(píng)估的軟件運(yùn)行;
2)工程師、操作員站中專(zhuān)用軟件進(jìn)行權(quán)限管理,設(shè)置登錄密碼,敏感動(dòng)作例如下裝等設(shè)置口令。避免使用默認(rèn)口令和弱口令,并且定期更新。
2.5 安全策略
1)工程師站、操作員站、服務(wù)器等主機(jī)拆除或禁用USB、光驅(qū)、無(wú)線等接口;
2)靜態(tài)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行加密存儲(chǔ);
3)動(dòng)態(tài)傳輸?shù)闹匾獢?shù)據(jù)進(jìn)行加密傳輸;
4)關(guān)鍵業(yè)務(wù)數(shù)據(jù)定期備份;
5)采用端口綁定技術(shù),使交換機(jī)各應(yīng)用端口與連接設(shè)備一一綁定,未進(jìn)行綁定的設(shè)備交換機(jī)不識(shí)別,無(wú)法接入到網(wǎng)絡(luò)中來(lái)。交換機(jī)上閑置的物理端口通過(guò)管理軟件給予關(guān)閉;
6)禁止HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù);
7)禁止訪問(wèn)方在遠(yuǎn)程訪問(wèn)期間進(jìn)行非法操作;
8)訪問(wèn)日志、操作日志等備份并能夠追蹤定位非授權(quán)訪問(wèn)行為;
9)通過(guò)工業(yè)防火墻、工業(yè)網(wǎng)閘等防護(hù)設(shè)備對(duì)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離;
10)信息安全審計(jì),對(duì)系統(tǒng)行為、應(yīng)用程序活動(dòng)、用(下轉(zhuǎn)第69頁(yè))(上接第20頁(yè))戶(hù)活動(dòng)等進(jìn)行安全審計(jì)從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為等危害系統(tǒng)安全的隱患或行為;
11)設(shè)置鏡像端口,對(duì)網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)流量進(jìn)行監(jiān)控;
12)網(wǎng)絡(luò)攻擊和異常行為識(shí)別、告警、記錄;
13)發(fā)現(xiàn)、報(bào)告并處理包括木馬病毒、端口掃描、暴力破解、異常流量、異常指令、偽造協(xié)議包等。
2.6 殺毒軟件專(zhuān)設(shè)計(jì)算機(jī)
設(shè)置專(zhuān)用電腦用于安裝殺毒軟件,該計(jì)算機(jī)不與DCS系統(tǒng)連接,外部數(shù)據(jù)需經(jīng)過(guò)殺毒軟件掃描確認(rèn)后方可拷貝到工程師站主機(jī)中。
2.7 嵌入式操作系y和芯片固件
采用國(guó)產(chǎn)嵌入式操作系統(tǒng),例如:DeltaSystem和國(guó)產(chǎn)龍芯芯片替代國(guó)外的相關(guān)產(chǎn)品,從而避免國(guó)外廠商預(yù)留的后門(mén)和系統(tǒng)漏洞。
3 結(jié)論與展望
本文通過(guò)對(duì)傳統(tǒng)DCS系統(tǒng)信息安全“薄弱環(huán)節(jié)”進(jìn)行分析,給出了一種全新的設(shè)計(jì)方案。該方案在不改變傳統(tǒng)架構(gòu)的基礎(chǔ)上,針對(duì)傳統(tǒng)DCS系統(tǒng)的“薄弱環(huán)節(jié)”給出相應(yīng)的設(shè)計(jì)方法,為DCS系統(tǒng)信息安全設(shè)計(jì)提供一條新的設(shè)計(jì)思路。
受到設(shè)備成本、國(guó)產(chǎn)設(shè)備性能等制約,本方案還處在概念階段。期待不久的將來(lái),隨著我國(guó)工業(yè)水平的不斷提升,方案的不斷完善,能夠真正應(yīng)用到DCS系統(tǒng),為DCS系統(tǒng)信息安全發(fā)揮其應(yīng)有的作用。
【參考文獻(xiàn)】
篇7
遠(yuǎn)望電子已獲得浙江省“雙軟企業(yè)”認(rèn)定及國(guó)家級(jí)高新技術(shù)企業(yè)認(rèn)證,是國(guó)家創(chuàng)新基金支持單位、浙江省軟件服務(wù)業(yè)重點(diǎn)扶持企業(yè)、“國(guó)家863信息系統(tǒng)安全等級(jí)保護(hù)產(chǎn)業(yè)技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟”成員、浙江省計(jì)算機(jī)學(xué)會(huì)信息安全專(zhuān)業(yè)委員會(huì)委員》。
遠(yuǎn)望電子是浙江省信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委員、公安部《公安綜合信息安全管理平臺(tái)技術(shù)規(guī)范》主要起草單位,同時(shí)還是浙江省治安監(jiān)控網(wǎng)絡(luò)綜合保障系統(tǒng)行業(yè)標(biāo)準(zhǔn)》、工業(yè)和信息化部《信息安全技術(shù)政府部門(mén)信息安全管理指南》(國(guó)家標(biāo)準(zhǔn)),及全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)《信息系統(tǒng)安全管理平臺(tái)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法》(國(guó)家標(biāo)準(zhǔn))參與起草單位。
遠(yuǎn)望電子本著誠(chéng)信為本的經(jīng)營(yíng)理念,連續(xù)多年均被評(píng)為AAA級(jí)信用等級(jí)單位。
遠(yuǎn)望電子與公安部第一研究所、公安部安全與警用電子產(chǎn)品檢測(cè)中心、西北工業(yè)大學(xué)、杭州電子科技大學(xué)等科研院所建立了長(zhǎng)期友好合作關(guān)系,從而提升了公司的軟件研發(fā)、人力資源開(kāi)發(fā)、人才培養(yǎng)和儲(chǔ)備能力。
遠(yuǎn)望電子自主研發(fā)的信息與網(wǎng)絡(luò)安全管理平臺(tái)及監(jiān)管系統(tǒng)等在國(guó)內(nèi)二十余個(gè)省市的公安、法院、政府、保密等領(lǐng)域及大型企事業(yè)單位得到了廣泛應(yīng)用。近年來(lái),遠(yuǎn)望電子開(kāi)發(fā)的信息與網(wǎng)絡(luò)安全平臺(tái)已在浙江省公安廳及所屬116個(gè)單位全面部署應(yīng)用。浙江省公安廳借助該平臺(tái)建立了較完善的信息安全綜合保障體系,連續(xù)五年在全國(guó)公安信息安全綜合評(píng)比中名列第一。
遠(yuǎn)望信息與網(wǎng)絡(luò)安全管理平臺(tái)及監(jiān)管系統(tǒng),融業(yè)務(wù)管理(規(guī)范、組織、培訓(xùn)、服務(wù))、工作流程、應(yīng)急響應(yīng)(預(yù)警、查處、通報(bào)、報(bào)告)和安全技術(shù)應(yīng)用(監(jiān)測(cè)、發(fā)現(xiàn)、處置)為一體,集成了各類(lèi)信息安全監(jiān)管、分析技術(shù),實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)邊界安全、保密安全、網(wǎng)站安全、主機(jī)基礎(chǔ)安全,以及各類(lèi)威脅信息安全的違規(guī)行為、資源占用行為等的有效監(jiān)測(cè)、處置和管理。
產(chǎn)品同時(shí)結(jié)合工作流技術(shù),實(shí)現(xiàn)了監(jiān)測(cè)、警示、處置、反饋、考核五位一體安全管理工作模式,建立起長(zhǎng)效的信息安全管理工作機(jī)制,并將其日常化、常態(tài)化,實(shí)現(xiàn)了信息安全管理工作的信息化、網(wǎng)絡(luò)化。
遠(yuǎn)望信息與網(wǎng)絡(luò)安全產(chǎn)品被列入“2010年度全國(guó)公安信息系統(tǒng)安全大檢查”指定檢查工具,并獲得公安部2011年科學(xué)技術(shù)獎(jiǎng)。
遠(yuǎn)望信息與網(wǎng)絡(luò)安全管理平臺(tái)及監(jiān)管系統(tǒng)針對(duì)安全風(fēng)險(xiǎn)產(chǎn)生的根源,對(duì)網(wǎng)絡(luò)中的安全事件和安全風(fēng)險(xiǎn)進(jìn)行全程全網(wǎng)監(jiān)測(cè)、管控,在技術(shù)的層面上突破了網(wǎng)絡(luò)邊界的定位、信息的準(zhǔn)確鑒別、網(wǎng)站的定位,以及應(yīng)用分析和監(jiān)管等難題。
該平臺(tái)能對(duì)信息網(wǎng)絡(luò)進(jìn)行全程全網(wǎng)實(shí)時(shí)監(jiān)管,全面、清晰掌握網(wǎng)絡(luò)系統(tǒng)狀況,及時(shí)發(fā)現(xiàn)并分析、處置各類(lèi)安全事件和風(fēng)險(xiǎn)隱患。
篇8
亨達(dá)公司已取得了國(guó)家信息安全測(cè)評(píng)中心信息安全服務(wù)二級(jí)(全國(guó)最高等級(jí))、注冊(cè)信息安全專(zhuān)業(yè)培訓(xùn)(CISP)授權(quán)機(jī)構(gòu)、國(guó)家信息安全認(rèn)證中心信息安全集成二級(jí)、應(yīng)急服務(wù)二級(jí)、風(fēng)險(xiǎn)評(píng)估二級(jí)、公安部等級(jí)保護(hù)測(cè)評(píng)、工業(yè)和信息化部通信信息網(wǎng)絡(luò)系統(tǒng)集成甲級(jí)、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)集成三級(jí)、國(guó)家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心(CNCERT/CC)信息安全服務(wù)技術(shù)支撐單位以及貴陽(yáng)市國(guó)家保密局信息設(shè)備維修等一系列完善的通信與網(wǎng)絡(luò)信息安全專(zhuān)業(yè)服務(wù)資質(zhì),通過(guò)了ISO9001:2008質(zhì)量管理體系認(rèn)證、ISO14001:2004環(huán)境管理體系認(rèn)證和OHSAS18001:2007職業(yè)健康安全管理體系認(rèn)證。
亨達(dá)集團(tuán)先后被評(píng)為 “貴州省通信行業(yè)協(xié)會(huì)副理事長(zhǎng)單位”、“貴州省通信體育協(xié)會(huì)副主席單位”,連續(xù)五年被省工商行政管理局評(píng)為“重信用、守合同”單位,并獲得“全國(guó)十佳誠(chéng)信單位”稱(chēng)號(hào)。目前已建成了集網(wǎng)絡(luò)信息安全監(jiān)控、網(wǎng)絡(luò)攻防演練、信息安全培訓(xùn)、軟件開(kāi)發(fā)以及信息安全產(chǎn)品測(cè)評(píng)認(rèn)證于一體的信息化綜合服務(wù)保障平臺(tái)。
亨達(dá)集團(tuán)自2011年底取得等級(jí)保護(hù)測(cè)評(píng)資質(zhì)以來(lái),配合貴州省公安廳推進(jìn)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作,開(kāi)展了近百家單位共計(jì)500多個(gè)信息系統(tǒng)的安全等級(jí)保護(hù)測(cè)評(píng),包括貴州省財(cái)政廳、貴州省統(tǒng)計(jì)局、貴州省交通廳、中國(guó)工商銀行貴州分行、中國(guó)建設(shè)銀行貴州分行、貴陽(yáng)銀行、貴陽(yáng)海關(guān)、貴州省農(nóng)村商業(yè)銀行、遵義商行、貴州省人民醫(yī)院、貴州省腫瘤醫(yī)院、貴陽(yáng)醫(yī)學(xué)院等各大單位重要信息系統(tǒng)。
基于亨達(dá)集團(tuán)作為貴州省優(yōu)秀通信建設(shè)與網(wǎng)絡(luò)信息安全服務(wù)企業(yè),長(zhǎng)期以來(lái),一直與貴州省通信管理局保持著密切的合作與良好的溝通。公司自2009年起即已被國(guó)家計(jì)算機(jī)應(yīng)急技術(shù)協(xié)調(diào)處理中心和省通信管理局確立為大區(qū)級(jí)技術(shù)支撐單位。
篇9
電力信息的迅猛發(fā)展使得電力系統(tǒng)及數(shù)據(jù)信息網(wǎng)絡(luò)迎來(lái)了前所未有的挑戰(zhàn)。本文分析研究了網(wǎng)絡(luò)系統(tǒng)信息安全存在的問(wèn)題,全面規(guī)劃了網(wǎng)絡(luò)安全系統(tǒng),提出了合理有效的安全措施、方法,大大提升了電力企業(yè)信息網(wǎng)絡(luò)安全工作的效率。
一、網(wǎng)絡(luò)系統(tǒng)信息安全存在問(wèn)題分析
(一)計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)不強(qiáng)
由于計(jì)算機(jī)信息技術(shù)高速發(fā)展,計(jì)算機(jī)信息安全策略和技術(shù)也有大的進(jìn)展。設(shè)計(jì)院各種計(jì)算機(jī)應(yīng)用對(duì)信息安全的認(rèn)識(shí)離實(shí)際需要差距較大,對(duì)新出現(xiàn)的信息安全問(wèn)題認(rèn)識(shí)不足。
(二)缺乏統(tǒng)一的信息安全管理規(guī)范
設(shè)計(jì)院雖然對(duì)計(jì)算機(jī)安全一直非常重視,但由于各種原因目前還沒(méi)有一套統(tǒng)一、完善的能夠指導(dǎo)整個(gè)院計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。
(三)缺乏適應(yīng)電力行業(yè)特點(diǎn)的計(jì)算機(jī)信息安全體系
近幾年來(lái)計(jì)算機(jī)在整個(gè)電力行業(yè)的生產(chǎn)、經(jīng)營(yíng)、管理等方面應(yīng)用越來(lái)越廣,但在計(jì)算機(jī)安全策略、安全技術(shù)和安全措施上投入較少。為保證網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定、高效運(yùn)行,應(yīng)建立一套結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用特點(diǎn)的計(jì)算機(jī)信息安全體系。
(四)缺乏預(yù)防各種外部安全攻擊的措施
計(jì)算機(jī)網(wǎng)絡(luò)化使過(guò)去孤立的個(gè)人電腦在聯(lián)成局域網(wǎng)后,面臨巨大的外部安全攻擊。局域網(wǎng)較早的計(jì)算機(jī)系統(tǒng)是NOVELL網(wǎng).并沒(méi)有同外界連接。計(jì)算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了,但現(xiàn)在要面對(duì)國(guó)際互聯(lián)網(wǎng)上各種安全攻擊,如網(wǎng)絡(luò)病毒和電腦“黑客”等。
二、保證網(wǎng)絡(luò)系統(tǒng)信息安全的對(duì)策
(一)建立信息安全體系結(jié)構(gòu)框架
實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息安全.首要的問(wèn)題是時(shí)時(shí)跟蹤分析國(guó)內(nèi)外相關(guān)領(lǐng)域信息安全技術(shù)的發(fā)展和應(yīng)用情況,及時(shí)掌握國(guó)際電力工業(yè)信息安全技術(shù)應(yīng)用發(fā)展動(dòng)向。結(jié)合我國(guó)電力工業(yè)的特點(diǎn)和企業(yè)計(jì)算機(jī)及信息網(wǎng)絡(luò)技術(shù)應(yīng)用的實(shí)際,建立網(wǎng)絡(luò)系統(tǒng)信息安全體系一的總體結(jié)構(gòu)框架和基本結(jié)構(gòu)。完善網(wǎng)絡(luò)系統(tǒng)信息安全體系標(biāo)準(zhǔn)以指導(dǎo)規(guī)范網(wǎng)絡(luò)系統(tǒng)信息安全體系建設(shè)工作。
按信息安全對(duì)網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營(yíng)和管理及企業(yè)發(fā)展所造成的危害程度,確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級(jí),制定網(wǎng)絡(luò)系統(tǒng)信息安全控制策略.建立適應(yīng)電力企業(yè)發(fā)展的網(wǎng)絡(luò)系統(tǒng)信息安全體系,利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù),研究故障診斷、處理及系統(tǒng)優(yōu)化管理措施。在不同條件下提供信息安全防范措施。
(二)建立網(wǎng)絡(luò)系統(tǒng)信息安全身份認(rèn)證體系
CA即證書(shū)授權(quán)。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書(shū)審批部門(mén)和證書(shū)操作部門(mén)組成。為保證網(wǎng)絡(luò)系統(tǒng)信息一和安全.應(yīng)建立企業(yè)的CA機(jī)構(gòu)對(duì)企業(yè)員工上網(wǎng)用戶(hù)統(tǒng)一身份認(rèn)證和數(shù)字簽名等安全認(rèn)證,對(duì)系統(tǒng)中關(guān)鍵業(yè)務(wù)進(jìn)行安全審計(jì),并開(kāi)展與銀行之間,上下級(jí)CA機(jī)構(gòu)之間與其他需要CA機(jī)構(gòu)之間的交叉認(rèn)證的技術(shù)研究工作。
(三)建立數(shù)據(jù)備份中心
數(shù)據(jù)備份及災(zāi)難恢復(fù)是信息安全的重要組成部分。理想的備份系統(tǒng)應(yīng)該是全方位、多層次的。硬件系統(tǒng)備份是用來(lái)防止硬件系統(tǒng)故障,使用網(wǎng)絡(luò)存儲(chǔ)備份系統(tǒng)和硬件容錯(cuò)相結(jié)合的方式。可用來(lái)防止軟件故障或人為誤操作造成的數(shù)據(jù)邏輯損壞。這種對(duì)系統(tǒng)的多重保護(hù)措施不僅能防止物理?yè)p壞還能有效地防止邏輯損壞。結(jié)合電力行業(yè)計(jì)算機(jī)應(yīng)用的特點(diǎn),選擇合理的備份設(shè)備和備份系統(tǒng).在企業(yè)建立數(shù)據(jù)備份中心,根據(jù)其應(yīng)用的特點(diǎn),制定相應(yīng)的備份策略。
(四)建立網(wǎng)絡(luò)級(jí)計(jì)算機(jī)病毒防范體系
計(jì)算機(jī)病毒是一種進(jìn)行自我復(fù)制、廣泛傳染,對(duì)計(jì)算機(jī)程序及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的病毒,具有隱蔽性與隨機(jī)性,使用戶(hù)防不勝防。設(shè)計(jì)院信息網(wǎng)絡(luò)系統(tǒng)采取在現(xiàn)有網(wǎng)絡(luò)防病毒體系基礎(chǔ)上.加強(qiáng)對(duì)各個(gè)可能被計(jì)算機(jī)病毒侵入的環(huán)節(jié)進(jìn)行病毒防火墻的控制,在計(jì)算中心建立計(jì)算機(jī)病毒管理中心,按其信息網(wǎng)絡(luò)管轄范圍,分級(jí)進(jìn)行防范計(jì)算機(jī)病毒的統(tǒng)一管理。在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒定義碼的分發(fā)等環(huán)節(jié)建立較完善的技術(shù)等級(jí)和管理制度。
(五)建立網(wǎng)絡(luò)系統(tǒng)信息安全監(jiān)測(cè)中心
計(jì)算機(jī)信息系統(tǒng)出現(xiàn)故障或遭受外來(lái)攻擊造成的損失.絕大多數(shù)是由于系統(tǒng)運(yùn)行管理和維護(hù)、系統(tǒng)配置等方面存在缺陷和漏洞,使系統(tǒng)抗干擾能力較差所致。信息安全監(jiān)測(cè)系統(tǒng)可模仿各種黑客的攻擊方法不斷測(cè)試信息網(wǎng)絡(luò)安全漏洞并可將測(cè)出的安全漏洞按照危害程度列表。根據(jù)列表完善系統(tǒng)配置,消除漏洞并可實(shí)現(xiàn)實(shí)時(shí)網(wǎng)絡(luò)違規(guī)、入侵識(shí)別和響應(yīng)。它在敏感數(shù)據(jù)的網(wǎng)絡(luò)上.實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問(wèn)時(shí),自動(dòng)根據(jù)制定的安全策略作出相應(yīng)的反映.如實(shí)時(shí)報(bào)警、事件登錄、自動(dòng)截?cái)鄶?shù)據(jù)通訊等。利用網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)層掃描各種設(shè)備來(lái)發(fā)現(xiàn)安全漏洞.消除網(wǎng)絡(luò)層可能存在的各類(lèi)隱患。
(六)建立完備信息網(wǎng)絡(luò)系統(tǒng)監(jiān)控中心
篇10
關(guān)鍵詞:石化行業(yè);工業(yè)控制系統(tǒng);安全區(qū)域;深度防御;信息安全
DOIDOI:10.11907/rjdk.161739
中圖分類(lèi)號(hào):TP309
文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào)文章編號(hào):16727800(2016)009015103
基金項(xiàng)目基金項(xiàng)目:
作者簡(jiǎn)介作者簡(jiǎn)介:甄濤(1992-),男,河北石家莊人,上海理工大學(xué)光電信息與計(jì)算機(jī)工程學(xué)院碩士研究生,研究方向?yàn)楣た匦畔踩?/p>
0引言
信息時(shí)代,對(duì)石油化工等制造業(yè)而言,以震網(wǎng)蠕蟲(chóng)為代表的木馬、病毒等對(duì)工業(yè)自動(dòng)化生產(chǎn)安全帶來(lái)了極大威脅,工業(yè)控制系統(tǒng)安全成為信息化時(shí)代企業(yè)安全生產(chǎn)的重中之重。最初的工控系統(tǒng)被設(shè)計(jì)為獨(dú)立封閉的系統(tǒng),其安全風(fēng)險(xiǎn)主要來(lái)自設(shè)備運(yùn)行不穩(wěn)定、操作不合理等方面。但是,隨著信息化的推進(jìn)和工業(yè)化進(jìn)程的加速,越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng),在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)也帶來(lái)了諸如木馬、病毒、網(wǎng)絡(luò)攻擊等安全問(wèn)題。
1石化行業(yè)工控系統(tǒng)面臨的信息安全問(wèn)題
隨著石化行業(yè)信息化的不斷深入,管理的精細(xì)化和智能工廠的實(shí)施,都離不開(kāi)實(shí)時(shí)的現(xiàn)場(chǎng)信息,因此管與控的結(jié)合就成為了必然趨勢(shì)。DCS控制系統(tǒng)與外界不再隔離,控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間廣泛采用OPC通信技術(shù);此外,先進(jìn)過(guò)程控制(APC)也需要OPC技術(shù)建立通訊。目前,常用的OPC通訊隨機(jī)使用1024~65535中的任意端口,采用傳統(tǒng)IT防火墻進(jìn)行防護(hù)配置時(shí),被迫需要開(kāi)放大量端口,形成嚴(yán)重的安全漏洞;同時(shí),OPC的訪問(wèn)權(quán)限過(guò)于寬松,任意網(wǎng)絡(luò)中的任意計(jì)算機(jī)都可以運(yùn)行OPC中的服務(wù);且OPC使用的Windows的DCOM和RPC服務(wù)極易受到攻擊。普通IT方后勤無(wú)法實(shí)現(xiàn)工業(yè)通訊協(xié)議過(guò)濾,網(wǎng)絡(luò)中某個(gè)操作站/工程師站感染病毒,會(huì)馬上傳播到其它計(jì)算機(jī),造成所有操作站同時(shí)故障,嚴(yán)重時(shí)可導(dǎo)致操作站失控甚至停車(chē)[1]。目前,存在的工控信息安全問(wèn)題主要有[2]:
(1)操作系統(tǒng)漏洞。目前,工業(yè)計(jì)算機(jī)操作系統(tǒng)大多采用Windows操作系統(tǒng),甚至還有XP系統(tǒng),這些一般不允許安裝操作系統(tǒng)的安全補(bǔ)丁和防病毒軟件。針對(duì)性的網(wǎng)絡(luò)攻擊、病毒感染都會(huì)給系統(tǒng)造成嚴(yán)重后果,而且由于漏洞和病毒公布的滯后性,殺毒軟件并不能有效地進(jìn)行防護(hù)。此外,不正當(dāng)?shù)牟僮鳎热纾陧?xiàng)目實(shí)施和后期維護(hù)中使用U盤(pán)、筆記本等外設(shè),也會(huì)存在一定的安全隱患。
(2)隔離失效。大多數(shù)石化企業(yè)通過(guò)OPC的雙網(wǎng)卡結(jié)構(gòu)對(duì)數(shù)據(jù)采集網(wǎng)絡(luò)與控制網(wǎng)之間進(jìn)行了隔離,使得惡意程序無(wú)法直接攻擊控制網(wǎng)絡(luò)。但對(duì)于針對(duì)Windows系統(tǒng)漏洞的病毒,這種設(shè)置就失去了效果,造成病毒在數(shù)采網(wǎng)和控制網(wǎng)之間傳播。
(3)信息安全延遲性。若工業(yè)網(wǎng)絡(luò)遭受黑客攻擊,維護(hù)人員無(wú)法采取相應(yīng)措施,并查詢(xún)故障點(diǎn)和分析原因。通常情況下,小的信息安全問(wèn)題直至發(fā)展成大的安全事故才會(huì)被發(fā)現(xiàn)和解決。
2柴油加氫控制系統(tǒng)安全防護(hù)簡(jiǎn)介
目前,我國(guó)煉油、石化等行業(yè)工業(yè)控制系統(tǒng)一般分為3部分:控制層、數(shù)據(jù)采集層和管理信息層,普遍采用DCS(分散控制系統(tǒng))和PLC(可編程邏輯控制器)等數(shù)字化手段,自動(dòng)化程度高,多以DCS系統(tǒng)為核心、PLC為輔機(jī)控制,形成對(duì)設(shè)備組命令的下達(dá)與控制,并對(duì)DCS和PLC反饋的數(shù)據(jù)進(jìn)行分析以掌握設(shè)備組的整體運(yùn)行狀況。
某石化公司的柴油加氫系統(tǒng)采取安全防護(hù)后的拓?fù)浣Y(jié)構(gòu)如圖1所示。
實(shí)時(shí)服務(wù)器和組態(tài)服務(wù)器組成管理信息層;監(jiān)控層包括操作員站、工程師站、OPC應(yīng)用站和異構(gòu)系統(tǒng)工作站,控制層包括以DCS為主控制溫度顯示儀表、液位計(jì)、繼電器和閥門(mén)等儀表,PLC為輔控制報(bào)警器。其中,設(shè)備層與控制層通過(guò)模擬數(shù)字通信模塊通信。
其中:①信息層與數(shù)據(jù)采集層之間添加縱向隔離平臺(tái),避免信息層向下采集數(shù)據(jù)時(shí)造成信息泄露;②異構(gòu)系統(tǒng)應(yīng)用站采用橫向隔離平臺(tái),防止其它系統(tǒng)對(duì)加氫操作工藝產(chǎn)生不必要的影響;③引入智能防火墻,對(duì)工業(yè)協(xié)議和應(yīng)用程序進(jìn)行審計(jì)、監(jiān)控。
3工業(yè)網(wǎng)絡(luò)中的安全區(qū)域
按照IEC 62443定義,“區(qū)域”由邏輯的或物理的資產(chǎn)組成,并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實(shí)體集合,基于功能、邏輯和物理關(guān)系[3]。
3.1使用操作域識(shí)別區(qū)域
安全區(qū)域的建立,第一步就是識(shí)別所有操作域,以確定每個(gè)區(qū)域的組成及邊界所在。一般在工業(yè)網(wǎng)絡(luò)中建立區(qū)域時(shí),要考慮的操作域包括有網(wǎng)絡(luò)連接控制回路、監(jiān)控系統(tǒng)、控制流程、控制數(shù)據(jù)存儲(chǔ)、交易通信、遠(yuǎn)程訪問(wèn)以及用戶(hù)群體和工業(yè)協(xié)議組之類(lèi)。其目的是通過(guò)隔離使各操作域受到攻擊的風(fēng)險(xiǎn)最低,從而進(jìn)一步使用各類(lèi)安全產(chǎn)品和技術(shù)對(duì)每個(gè)操作域進(jìn)行保護(hù),成為安全區(qū)域。然而現(xiàn)實(shí)情況下,有必要使用操作域間功能共享來(lái)簡(jiǎn)化操作域,從而有效地將重疊的操作域結(jié)合成一個(gè)獨(dú)立的更大的區(qū)域。
3.2區(qū)域邊界建立
理想情況下,每個(gè)操作域與其它區(qū)域都有明確的邊界,并且確保每個(gè)分區(qū)都采用獨(dú)特的安全防護(hù)設(shè)備,這樣邊界防御才能部署在正確的位置上。
識(shí)別區(qū)域后,將其映射到網(wǎng)絡(luò),從而定義清晰的邊界,CIP-005-3[4]的NERC規(guī)則中提到該過(guò)程的要求。只有存在已被定義和管理的接入點(diǎn),區(qū)域才會(huì)被保護(hù)。
3.3網(wǎng)絡(luò)架構(gòu)調(diào)整
所有設(shè)備都應(yīng)該直接連接到該區(qū)域或者該區(qū)域的任何設(shè)備上,然而,比如一臺(tái)打印機(jī)不屬于該區(qū)域,但是可能連接到本地交換機(jī)或路由器的接口或無(wú)線接入上。這種差錯(cuò)可能是不當(dāng)?shù)木W(wǎng)絡(luò)設(shè)計(jì)或網(wǎng)絡(luò)尋址的結(jié)果。當(dāng)定義了安全區(qū)域的劃分并對(duì)網(wǎng)絡(luò)架構(gòu)作出了必要的調(diào)整,這樣就具備了履行NERC CIP、ISA99、CFATS等符合規(guī)范性要求的必要信息。
3.4區(qū)域及其安全設(shè)備配置
防火墻、IDS(入侵檢測(cè)系統(tǒng))和IPS(入侵防護(hù)系統(tǒng))、安全信息和事件管理系統(tǒng)(SIEM)以及許多其它安全系統(tǒng)支持變量的使用,使得邊界安全控制與合規(guī)性要求相互關(guān)聯(lián)。
對(duì)于每一個(gè)區(qū)域,如下幾項(xiàng)都應(yīng)保持在最低限度[5]:①通過(guò)IP地址,將設(shè)備劃分到特定區(qū)域;②通過(guò)用戶(hù)名或其它標(biāo)志,獲得修改區(qū)域權(quán)限的用戶(hù);③在區(qū)域中使用的協(xié)議、端口及服務(wù)。
創(chuàng)建這些變量將有助于制定用于增強(qiáng)區(qū)域邊界的防火墻和IDS規(guī)則,同時(shí)也會(huì)幫助安全監(jiān)管工具檢測(cè)策略異常并發(fā)出警報(bào)。
4對(duì)安全區(qū)域邊界和內(nèi)部的安全防護(hù)
CIP-005-4 R1要求在“任何關(guān)鍵網(wǎng)絡(luò)資產(chǎn)”邊界,以及該邊界上的所有訪問(wèn)點(diǎn)都要建立通過(guò)對(duì)已建立、標(biāo)識(shí)并記錄歸檔電子安全邊界(ESP)[6]。區(qū)域周?chē)㈦娮影踩吔缈梢蕴峁┲苯拥谋Wo(hù),并且防止對(duì)封閉系統(tǒng)未經(jīng)授權(quán)的訪問(wèn),同時(shí)防止從內(nèi)部訪問(wèn)外部系統(tǒng),這是很容易忽略的一點(diǎn)。
要使建立的電子安全邊界能有效保護(hù)入站和出站流量,必須達(dá)到兩點(diǎn)要求[4]:①所有的入站和出站流量必須通過(guò)一個(gè)和多個(gè)已知的、能夠被監(jiān)控和控制的網(wǎng)絡(luò)連接;②每個(gè)連接中應(yīng)該部署一個(gè)或多個(gè)安全設(shè)備。
4.1區(qū)域邊界安全防護(hù)
對(duì)于臨界點(diǎn),NERC CIP和NRC CFR 73.54[7]給出了安全評(píng)價(jià)標(biāo)準(zhǔn)以及建議的改進(jìn)措施,如表1所示。
其中防火墻和IPS都被建議的原因是,防火墻和IPS設(shè)備具有不同的功能:防火墻限制了允許通過(guò)邊界的流量類(lèi)型,而IPS則檢查已被允許通過(guò)的流量,目的是為了檢測(cè)惡意代碼或惡意軟件等帶有破壞目的的流量。這兩種設(shè)備的優(yōu)勢(shì)在于:①I(mǎi)PS可以對(duì)所有經(jīng)過(guò)防火墻的流量進(jìn)行深度包檢測(cè)(DPI);②防火墻基于定義的安全區(qū)域變量限制了通過(guò)的流量,使IPS可以專(zhuān)注于這部分流量,并因此可以執(zhí)行更為全面和強(qiáng)大的IPS規(guī)則集。
4.2區(qū)域內(nèi)部安全防護(hù)
區(qū)域內(nèi)部由特定的設(shè)備以及這些設(shè)備之間各種各樣的網(wǎng)絡(luò)通信組成。區(qū)域內(nèi)部安全主要是通過(guò)基于主機(jī)安全來(lái)實(shí)現(xiàn),通過(guò)控制終端用戶(hù)對(duì)設(shè)備的身份認(rèn)證、設(shè)備如何在網(wǎng)絡(luò)上通信、設(shè)備能訪問(wèn)哪些文件以及可以通過(guò)設(shè)備執(zhí)行什么應(yīng)用程序。
主要的3種安全領(lǐng)域[5]:①訪問(wèn)控制,包括用戶(hù)身份認(rèn)證和服務(wù)的可用性;②基于主機(jī)的網(wǎng)絡(luò)安全,包括主機(jī)防火墻和主機(jī)入侵檢測(cè)系統(tǒng)(HIDS);③反惡意軟件系統(tǒng),如反病毒(AV)和應(yīng)用程序白名單(AWL)。
5結(jié)語(yǔ)
石油化工等關(guān)鍵基礎(chǔ)設(shè)施和能源行業(yè)關(guān)系國(guó)計(jì)民生,在我國(guó)兩化融合深入發(fā)展的同時(shí),如何確保工控系統(tǒng)信息安全是石化行業(yè)信息化建設(shè)的重要研究課題。本文以某石化行業(yè)柴油加氫系統(tǒng)架構(gòu)為例,重點(diǎn)介紹了如何識(shí)別和分隔操作域,確定每個(gè)區(qū)域的邊界和組成,最終建立安全區(qū)域,并從外部使用防火墻、IDS、IPS以及應(yīng)用程序監(jiān)控器等安全設(shè)備,從內(nèi)部使用主機(jī)防火墻、主機(jī)IDS和應(yīng)用程序白名單等對(duì)工業(yè)控制系統(tǒng)進(jìn)行保護(hù)。
參考文獻(xiàn)參考文獻(xiàn):
[1]李東周.工控蠕蟲(chóng)病毒威脅,化企如何應(yīng)對(duì)?[N].中國(guó)化工報(bào),20140527.
[2]溫克強(qiáng).石化行業(yè)工控系統(tǒng)信息安全的縱深防御[J].中國(guó)儀器儀表,2014(9):3738.
[3]肖建榮.工業(yè)控制系統(tǒng)信息安全[M].北京:電子工業(yè)出版社,2015.
[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security―electronic security perimeter[S].2009.
[5]納普.工業(yè)網(wǎng)絡(luò)安全:智能電網(wǎng),SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)備的網(wǎng)絡(luò)安全[M].周秦,譯.北京:國(guó)防工業(yè)出版社,2014.
熱門(mén)標(biāo)簽
工業(yè)發(fā)展論文 工業(yè)設(shè)計(jì)論文 工業(yè)企業(yè)論文 工業(yè)心得體會(huì) 工業(yè)論文 工業(yè)期刊 工業(yè)廢水論文 工業(yè)企業(yè)管理 工業(yè)化建筑案例 工業(yè)安全論文 心理培訓(xùn) 人文科學(xué)概論
相關(guān)文章
1工業(yè)焊接機(jī)器人應(yīng)用及發(fā)展趨勢(shì)研究
3大數(shù)據(jù)技術(shù)在工業(yè)經(jīng)濟(jì)中的應(yīng)用
4工業(yè)工程應(yīng)用型創(chuàng)新人才培養(yǎng)策略
