前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的控制系統(tǒng)網(wǎng)絡(luò)安全主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】電廠;生產(chǎn)控制系統(tǒng);網(wǎng)絡(luò)信息安全
中圖分類號:F407 文獻(xiàn)標(biāo)識碼: A
一、前言
作為電廠生產(chǎn)運(yùn)作的一項(xiàng)重要工具,生產(chǎn)控制系統(tǒng)在近期得到了較為廣泛的應(yīng)用和深入的研究。研究其網(wǎng)絡(luò)信息安全,能夠更好地提升電廠生產(chǎn)控制系統(tǒng)的可靠性,從而更好地保證電廠生產(chǎn)的順利進(jìn)行。本文從概述相關(guān)內(nèi)容開始探究。
二、概述
為了提高工作效率,絕大多數(shù)電廠都建立了自己的內(nèi)部網(wǎng)絡(luò),內(nèi)部網(wǎng)絡(luò)存在的安全隱患同樣會對信息安全造成很多的威脅,甚至?xí)﹄姀S造成重大經(jīng)濟(jì)損失。電廠網(wǎng)絡(luò)面臨的威脅來自于電廠內(nèi)部和電廠外部兩個方面,安全隱患主要體現(xiàn)在管理不嚴(yán),導(dǎo)致非法入侵;電廠內(nèi)部操作不規(guī)范,故意修改自己的IP地址等,導(dǎo)致電廠內(nèi)部信息的泄漏;網(wǎng)絡(luò)黑客通過系統(tǒng)的漏洞進(jìn)行攻擊,導(dǎo)致網(wǎng)絡(luò)的癱瘓,數(shù)據(jù)的盜??;病毒通過局域網(wǎng)資料的共享造成病毒的蔓延等。
電廠網(wǎng)絡(luò)面臨的外部威脅主要是指黑客攻擊,它們憑借計(jì)算機(jī)技術(shù)和通信技術(shù)侵入到電廠內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)中,非法獲得電廠內(nèi)部的機(jī)密文件和信息。無論是操作系統(tǒng)還是網(wǎng)絡(luò)服務(wù)都存在一定的安全漏洞,這些漏洞的存在,就給攻擊者提供了入侵的機(jī)會。網(wǎng)絡(luò)黑客通過各種手段對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行攻擊,非法闖入信息系統(tǒng),竊取信息,泄露信息系統(tǒng)內(nèi)的重要文件。
由于電廠內(nèi)部管理不善,電廠員工的惡意行為也影響著信息的安全,內(nèi)部人員的威脅行為分為違規(guī)操作和惡意報(bào)復(fù)。其中,內(nèi)部員工的違規(guī)操作是造成外部威脅得逞的主要原因,有的工作人員利用自己的工作便利進(jìn)入電廠的信息系統(tǒng),竊取電廠信息系統(tǒng)內(nèi)的重要文件,并將信息泄漏給他人,獲取一定的利益;有的員工直接打開從網(wǎng)上下載的文件和視頻,不經(jīng)過專業(yè)殺毒軟件的掃描,給電廠的內(nèi)部網(wǎng)絡(luò)帶來安全隱患,甚至帶來的病毒在全網(wǎng)絡(luò)蔓延,造成電廠內(nèi)網(wǎng)的癱瘓,嚴(yán)重?fù)p壞公司的利益,影響公司的正常運(yùn)轉(zhuǎn)。
三、電廠生產(chǎn)控制系統(tǒng)面臨的安全隱患
1.被動攻擊形式
被動攻擊這種情況下在計(jì)算機(jī)領(lǐng)域中稱作是流量分析現(xiàn)象。在計(jì)算機(jī)網(wǎng)絡(luò)安全中,最為典型的信息攻擊方式是信息的截獲,信息的捕獲主要指的是在信息技術(shù)中,網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)技術(shù)對他人的私人信息進(jìn)行不斷的竊取和攻擊這一信息安全性的現(xiàn)狀。在這個過程中,網(wǎng)絡(luò)信息得到攻擊者通過對數(shù)據(jù)信息的觀察與分子,進(jìn)行相應(yīng)的網(wǎng)絡(luò)信息的攻擊,尤其是對其中的一個數(shù)據(jù)單元進(jìn)行相應(yīng)的攻擊,其中攻擊的是網(wǎng)絡(luò)中的信息數(shù)據(jù),并不是信息流。上述的這些網(wǎng)絡(luò)信息的安全隱患中,網(wǎng)絡(luò)信息的攻擊者和黑客是無處不在的,總是對網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)信息進(jìn)行攻擊,盜取用戶的個人信息,這些攻擊者主要是通過網(wǎng)絡(luò)中的數(shù)據(jù)協(xié)議PUD對用戶的信息資源進(jìn)行了一定的控制與盜取,最終導(dǎo)致而來網(wǎng)絡(luò)信息資源安全隱患的產(chǎn)生。
2.主動攻擊
計(jì)算機(jī)網(wǎng)絡(luò)安全注的主動攻擊是指,在計(jì)算機(jī)網(wǎng)絡(luò)通訊系統(tǒng)中,攻擊者或者是黑客,通過網(wǎng)絡(luò)技術(shù),連接到具體的數(shù)據(jù)通訊協(xié)議進(jìn)行有目的有計(jì)劃的信息資源的獲取。這個過程是一種目的性明確的信息盜取方式,對于系統(tǒng)中的信息進(jìn)行有目的的安全性攻擊。并且在整個計(jì)算機(jī)網(wǎng)絡(luò)通訊技術(shù)的安全性攻擊過程中,攻擊者通過對系統(tǒng)中的數(shù)據(jù)協(xié)議進(jìn)行攻擊,延遲了PDU的運(yùn)行,嚴(yán)重情況下,最終將一種偽造的PDU輸送到相應(yīng)的網(wǎng)絡(luò)中進(jìn)行信息數(shù)據(jù)的傳輸。其中,此處所述的信息中斷、信息篡改以及數(shù)據(jù)信息內(nèi)容的偽造是上述所說的一種計(jì)算機(jī)網(wǎng)絡(luò)完全的被動攻擊方式。
四、電廠生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)安全的改進(jìn)方案
1.物資需求計(jì)劃的應(yīng)用
MRP即物資需求計(jì)劃,所謂物資需求計(jì)劃指根據(jù)產(chǎn)品結(jié)構(gòu)中不同層次的物品的從屬關(guān)系和數(shù)量關(guān)系,以單件產(chǎn)品為對象,以完工時間為標(biāo)準(zhǔn)的倒排計(jì)劃,根據(jù)提前期的長短制定物品下達(dá)時間的先后順序,是一種電廠內(nèi)的物資計(jì)劃管理模式。通過運(yùn)用物資需求計(jì)劃,精確地對每月的生產(chǎn)任務(wù)進(jìn)行合理安排,可以有效解決電廠生產(chǎn)過程中出現(xiàn)的“月初任務(wù)松,月末任務(wù)緊”的現(xiàn)象,通過合理調(diào)整生產(chǎn)計(jì)劃,使發(fā)電廠對市場的應(yīng)變能力加強(qiáng)。
2.完善身生產(chǎn)生產(chǎn)計(jì)劃和控制系統(tǒng)
發(fā)電廠需要將安全生產(chǎn)列為其主要的研究內(nèi)容,通過確保其生產(chǎn)質(zhì)量提高其在同行業(yè)中的競爭力,從而獲得較大的經(jīng)濟(jì)效益。通過完善發(fā)電廠自身的管理體系,使其在進(jìn)行安全生產(chǎn)的同時,保障其生產(chǎn)計(jì)劃的順利執(zhí)行。建立并完善合理的監(jiān)督管理體系,有助于提高發(fā)電廠內(nèi)部員工的自覺性和職業(yè)素質(zhì),可以在滿足客戶需求的同時,有效地提高發(fā)電廠的經(jīng)濟(jì)效益。
3.主生產(chǎn)計(jì)劃方案編制
所謂主生產(chǎn)計(jì)劃,是物資需求計(jì)劃的主要輸入因素,其以合同為依據(jù),并按一定的時間段對相關(guān)電力產(chǎn)品的數(shù)量以及交貨日期進(jìn)行合理分析,并在現(xiàn)有的生產(chǎn)計(jì)劃與設(shè)備資源中做出相應(yīng)的平衡的新型生產(chǎn)計(jì)劃。另一方面,從客戶和電廠的雙方面角度出發(fā),主生產(chǎn)計(jì)劃方案的編制一方面為電廠制定了完備的生產(chǎn)和控制計(jì)劃,另一方面使得電廠的各項(xiàng)生產(chǎn)得以有序進(jìn)行,從而提高了電廠與用戶的合作效率。
五、強(qiáng)化生產(chǎn)控制系統(tǒng)安全的措施
1.對安全規(guī)劃產(chǎn)生足夠的重視
電廠網(wǎng)絡(luò)安全規(guī)劃就是全面的思考網(wǎng)絡(luò)的安全問題,對于安全問題,需要以系統(tǒng)觀點(diǎn)進(jìn)行考慮。要想提升安全管理的有效性,就需要對信息安全管理體系進(jìn)行全面系統(tǒng)的構(gòu)建。
2.對安全域進(jìn)行合理劃分
電廠將電廠網(wǎng)絡(luò)的內(nèi)外網(wǎng)實(shí)行了物理隔離,但是在內(nèi)網(wǎng)上,安全域的合理劃分依然非常重要。在劃分的時候,需要結(jié)合整體的安全規(guī)劃和信息安全等級來進(jìn)行,對核心重點(diǎn)防范區(qū)域和一般防范區(qū)域以及開放區(qū)域進(jìn)行劃分。網(wǎng)絡(luò)安全的核心就是重點(diǎn)防范區(qū)域,用戶不能夠?qū)@個區(qū)域直接訪問,安全級別較高;應(yīng)該在這個區(qū)域內(nèi)放置各種重要數(shù)據(jù)、服務(wù)器和數(shù)據(jù)庫服務(wù)器,在本區(qū)域內(nèi)運(yùn)行各種應(yīng)用系統(tǒng)、OA系統(tǒng)等。
3.對安全管理進(jìn)行強(qiáng)化,對制度建設(shè)產(chǎn)生足夠的重視
為了促使電廠網(wǎng)絡(luò)信息安全得到保證,就需要系統(tǒng)性的考慮電廠網(wǎng)絡(luò)信息安全,對于電廠網(wǎng)絡(luò)的安全問題,非常重要的一個方面就是安全管理和制度建設(shè)。首先要對日志管理和安全審計(jì)產(chǎn)生足夠的重視,通常情況下,審計(jì)功能是防火墻和入侵檢測系統(tǒng)都具備的,要將它們的審計(jì)功能給充分利用起來,提升網(wǎng)絡(luò)日志管理和安全審計(jì)的質(zhì)量。要嚴(yán)格管理審計(jì)數(shù)據(jù),任何人不得對審計(jì)記錄進(jìn)行隨意的修改和刪除。
4.構(gòu)建內(nèi)網(wǎng)的統(tǒng)一認(rèn)證系統(tǒng)
網(wǎng)絡(luò)信息安全最為關(guān)鍵的一項(xiàng)技術(shù)就是認(rèn)證,通過認(rèn)證,身份鑒別服務(wù)、訪問控制服務(wù)以及機(jī)密都可以得到實(shí)現(xiàn)。對病毒防護(hù)體系進(jìn)行構(gòu)建,將防病毒體系安裝于電廠網(wǎng)絡(luò)上,遠(yuǎn)程安裝、遠(yuǎn)程報(bào)警以及集中管理等都是防病毒軟件的功能;要對防病毒的管理制度進(jìn)行構(gòu)建,不能夠在內(nèi)網(wǎng)主機(jī)上隨意拷貝互聯(lián)網(wǎng)上下載的數(shù)據(jù),不能夠在聯(lián)網(wǎng)計(jì)算機(jī)上使用來歷不明的移動存儲設(shè)備,發(fā)現(xiàn)病毒之后,相關(guān)工作人員需要及時采取處理措施。
六、結(jié)束語
通過對電廠生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)信息安全的相關(guān)研究,我們可以發(fā)現(xiàn),威脅其安全的因素來自多方面,有關(guān)人員應(yīng)該從電廠生產(chǎn)控制系統(tǒng)運(yùn)作的客觀實(shí)際出發(fā),充分分析威脅因素,從而研究制定最為切合實(shí)際的網(wǎng)絡(luò)信息安全應(yīng)對策略。
參考文獻(xiàn):
[1] 覃冠標(biāo).關(guān)于發(fā)電廠生產(chǎn)計(jì)劃與控制系統(tǒng)的改進(jìn)研究[J].科技資訊.2013(34):141-143.
[2] 吳興波.S公司生產(chǎn)計(jì)劃與控制改進(jìn)研究[J].華南理工大學(xué)學(xué)報(bào).2010(01):88-89.
[3] 李隨成,樊相宇.MRP生產(chǎn)計(jì)劃與控制系統(tǒng)的探討[J].西安理工大學(xué)學(xué)報(bào).2010(23):356-360.
摘要: 隨著信息的發(fā)展,網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入,校園網(wǎng)上各種數(shù)據(jù)急劇增加,結(jié)構(gòu)性不斷提高,用戶對網(wǎng)絡(luò)性能要求的不斷提高,網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手,就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點(diǎn)淺見。
關(guān)鍵詞: 網(wǎng)絡(luò)安全 安全需求 措施
1 校園網(wǎng)的概念
簡單地說,校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個寬帶,互動功能和高度專業(yè)化的局域網(wǎng)絡(luò)。
2 校園網(wǎng)的特點(diǎn)
校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn):
1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易于管理;5)提供可運(yùn)營的特性;6)經(jīng)濟(jì)實(shí)用。
3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求
3.1 用戶安全
用戶安全分成兩個層次即管理員用戶安全和業(yè)務(wù)用戶安全。
1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。
2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。
3.2 網(wǎng)絡(luò)硬環(huán)境安全
通過調(diào)研分析,初步定為有以下需求:
1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離,重點(diǎn)對源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。
3.3 網(wǎng)絡(luò)軟環(huán)境安全
網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。
3.4 傳輸安全
數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。
4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施
4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制體現(xiàn)在如下幾個方面:
1)要制訂嚴(yán)格的規(guī)章管理制度:可制定的相應(yīng):《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。
隨著現(xiàn)代工業(yè)技術(shù)的發(fā)展,工業(yè)化與信息化正在不斷融合,工業(yè)控制系統(tǒng)越來越多采用通用的通信協(xié)議和軟硬件系統(tǒng),并且以各種方式接入網(wǎng)絡(luò),從而打破了這些系統(tǒng)原有的封閉性和專用性,造成病毒、木馬等安全威脅向工控領(lǐng)域迅速擴(kuò)散。工業(yè)控制系統(tǒng)所面臨的信息安全問題日益嚴(yán)重,而且呈現(xiàn)出諸多與傳統(tǒng)IT系統(tǒng)不同的特點(diǎn)。核電廠作為國家關(guān)鍵基礎(chǔ)設(shè)施,是關(guān)注的核心,重中之重。儀控系統(tǒng)作為核電廠的神經(jīng)中樞、關(guān)鍵數(shù)字資產(chǎn),是重點(diǎn)保護(hù)對象。而儀控系統(tǒng)從功能安全角度已有完整的法規(guī)標(biāo)準(zhǔn)和技術(shù)。如何在不降低安全的情況下考慮加強(qiáng)信息安全,有必要提出協(xié)調(diào)功能安全和信息安全的整體框架。
2安全和網(wǎng)絡(luò)安全協(xié)調(diào)要求
2.1基本原則
數(shù)字式儀控系統(tǒng)整體結(jié)構(gòu)層面應(yīng)考慮以下原則:(1)網(wǎng)絡(luò)安全措施不能影響核電廠安全目標(biāo)。網(wǎng)絡(luò)安全措施不應(yīng)損害儀控系統(tǒng)架構(gòu)實(shí)施的多樣性和縱深防御的有效性。(2)首先按照IEC61513的要求,進(jìn)行儀控系統(tǒng)功能初次分配,并進(jìn)行儀控系統(tǒng)架構(gòu)總體設(shè)計(jì),然后考慮可能影響整體系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求。通過迭代設(shè)計(jì)過程,將可能影響系統(tǒng)架構(gòu)的網(wǎng)絡(luò)安全要求整合到一起。(3)網(wǎng)絡(luò)安全功能不得對安全重要功能所要求的性能、有效性、可靠性和可操作性產(chǎn)生不利影響。(4)安全重要系統(tǒng)增加的網(wǎng)絡(luò)安全特征應(yīng)進(jìn)行失效模式和后果分析,并考慮預(yù)防、控制或緩解措施.(5)當(dāng)兩種架構(gòu)設(shè)計(jì)有相同等級的安全性時,優(yōu)先考慮具備網(wǎng)絡(luò)安全防范特性的設(shè)計(jì)。但應(yīng)避免不必要的復(fù)雜設(shè)計(jì),因?yàn)閺?fù)雜設(shè)計(jì)既不利于功能安全也不利于網(wǎng)絡(luò)安全。
2.2網(wǎng)絡(luò)安全區(qū)域劃分原則
為了更切實(shí)地實(shí)施分級方法,需要將儀控系統(tǒng)中的基于計(jì)算機(jī)的和基于數(shù)字邏輯的系統(tǒng)劃分為若干安全區(qū)域,分級保護(hù)原則適用于各個安全區(qū)域。區(qū)域允許將在安全和設(shè)備功能方面有著相似重要性的系統(tǒng)分為一組,以管理并應(yīng)用保護(hù)措施。定義安全區(qū)域的標(biāo)準(zhǔn)可能包括組織問題、本地化、架構(gòu)或技術(shù)方面。劃分網(wǎng)絡(luò)安全區(qū)域應(yīng)考慮如下原則:(1)網(wǎng)絡(luò)安全區(qū)域的劃定應(yīng)考慮和利用為加強(qiáng)安全目的而引入的獨(dú)立性和物理隔離要求;(2)劃定網(wǎng)絡(luò)安全區(qū)域應(yīng)同時考慮數(shù)據(jù)通信、地理/物理隔離以及獨(dú)立性等方面;(3)除非能夠從網(wǎng)絡(luò)安全防范角度有效的過濾和監(jiān)測分隔之間的通信,否則由多個子列組成的儀控系統(tǒng)應(yīng)劃分到同一個網(wǎng)絡(luò)安全區(qū)域中。
2.3共因故障處理原則
在某些情況下,共因故障的措施,有利于網(wǎng)絡(luò)安全防范。具體情況需由負(fù)責(zé)網(wǎng)絡(luò)安全人員基于特定場景可能的惡意攻擊和潛在威脅進(jìn)行評估。多樣性手段在網(wǎng)絡(luò)安全防范中使用,利弊需要具體分析。以串聯(lián)方式可以增加網(wǎng)絡(luò)安全效果,但是會引入復(fù)雜性;以并聯(lián)方式則可能增加系統(tǒng)接入路徑和漏洞。對于集成到系統(tǒng)中的網(wǎng)絡(luò)安全防范措施,應(yīng)分析其可能在多樣性系統(tǒng)間引入共因故障的潛在風(fēng)險(xiǎn)。存在風(fēng)險(xiǎn)時,應(yīng)考慮替代措施,在保證充分的網(wǎng)絡(luò)安全的同時,降低共因故障風(fēng)險(xiǎn)。
2.4隔離原則
隔離設(shè)計(jì)在某些情況下也可用于網(wǎng)絡(luò)安全防范。應(yīng)由負(fù)責(zé)網(wǎng)絡(luò)安全的人員按照場景進(jìn)行分析,利用隔離措施促進(jìn)安全防范。功能安全相關(guān)標(biāo)準(zhǔn)所提出的用于支持A類功能的控制系統(tǒng)的獨(dú)立性要求,對網(wǎng)絡(luò)安全是有益的,應(yīng)針對具體場景進(jìn)行評估和驗(yàn)證,以便在網(wǎng)絡(luò)安全防范中納入這些措施。這些控制系統(tǒng)的獨(dú)立性要求包括:(1)對于那些僅用于檢測或保護(hù)目的的A類信號,對同時用于控制系統(tǒng)(無論其類別)的A類系統(tǒng)信號需要予以特別關(guān)注。這是由于傳感器故障可導(dǎo)致控制系統(tǒng)的測量值超出需求容許值,并產(chǎn)生不安全的控制動作,同時還會方案保護(hù)系統(tǒng)對不安全工況的探測。(2)保護(hù)系統(tǒng)和控制系統(tǒng)應(yīng)設(shè)計(jì)成如下的形似和:對兩個系統(tǒng)之間所傳遞的信號,假設(shè)單一故障包括了后繼故障,不能引發(fā)事故或要求安全動作的瞬態(tài),同時,也不能引發(fā)A類系統(tǒng)不可接受的降級。(3)當(dāng)A類系統(tǒng)內(nèi)的一個單一隨機(jī)故障及其后任何后續(xù)故障可引發(fā)一個控制系統(tǒng)動作,從而成為導(dǎo)致一個要求安全動作的工況時,即使此時有第二個隨機(jī)故障使得A類系統(tǒng)降級,A類系統(tǒng)仍應(yīng)有提供安全動作的能力。應(yīng)采取措施,無論任何原因,包括測試或維修目的,使得部件或組建旁通或退出運(yùn)行,系統(tǒng)都應(yīng)滿足這一要求。(4)即使有效的旁通、傳感器和設(shè)備有測試證據(jù)證明的高可靠性,對提供控制信號的二取一表決的保護(hù)系統(tǒng)將要求比較論證和證明。如果在維護(hù)期間使用了合適的旁通措施,則采用故障安全的設(shè)備和自動探測故障傳感器的三取二系統(tǒng)能夠滿足要求。
3結(jié)語
在核電廠儀控系統(tǒng)設(shè)計(jì)時,考慮功能安全和信息安全的協(xié)調(diào)要求,使儀控系統(tǒng)在保證安全性的同時也具備適當(dāng)?shù)男畔踩匦?,為確保電站安全穩(wěn)定運(yùn)行、免受網(wǎng)絡(luò)攻擊提供了有力保障。
參考文獻(xiàn)
[1]王小山,楊安,石志強(qiáng),孫利民.工業(yè)控制系統(tǒng)信息安全新趨勢[J].信息網(wǎng)絡(luò)安全,2015(01).
關(guān)鍵詞:水泥廠工控;網(wǎng)絡(luò)安全;防護(hù)建設(shè)
近年來,水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速,抓住了智能制造發(fā)展的制高點(diǎn),信息化是水泥企業(yè)信息化建設(shè)的必由之路,對企業(yè)管理,企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。為實(shí)現(xiàn)企業(yè)的轉(zhuǎn)型,我公司介紹了建設(shè)和網(wǎng)絡(luò)安全管理的方法和經(jīng)驗(yàn)。
1運(yùn)行控制與網(wǎng)絡(luò)安全建設(shè)背景
1.1信息化建設(shè)
在信息化建設(shè)初期,我公司的網(wǎng)絡(luò)安全還不完善,在信息化和智能化建設(shè)方面,沒有考慮網(wǎng)絡(luò)管理和安全問題。但在施工過程中,網(wǎng)絡(luò)安全越來越重要,在實(shí)施過程中發(fā)現(xiàn)了以下問題:比如OPC協(xié)議是目前以信息為基礎(chǔ)的通信方式,是實(shí)現(xiàn)建筑信息智能傳輸?shù)闹匾ㄐ欧绞?,?dāng)前正在解決信息隔離問題。公司能源管理系統(tǒng)數(shù)據(jù)和DCS系統(tǒng)監(jiān)控?cái)?shù)據(jù)應(yīng)通過OPC通信進(jìn)行隔離和控制,方便員工使用。在出差過程中快速監(jiān)控直流生產(chǎn)和生產(chǎn)畫面,為了監(jiān)控?cái)?shù)據(jù)和曲線,我公司采用智能集成工廠,并在手機(jī)上安裝移動工廠應(yīng)用程序。在保證網(wǎng)絡(luò)安全的前提下,我們可以對公司生產(chǎn)的圖像進(jìn)行監(jiān)控,但是如何管理數(shù)據(jù)通過網(wǎng)絡(luò)在手機(jī)上移動,基于前面應(yīng)用實(shí)現(xiàn)的方便性,沒有必要的安全設(shè)施,生產(chǎn)系統(tǒng)的安全是否得到保證。目前,智能物流廣泛應(yīng)用于水泥行業(yè),銷售系統(tǒng)和生產(chǎn)統(tǒng)計(jì)等其他系統(tǒng)以及數(shù)據(jù)通信量最大的系統(tǒng)具有最高的安全性。生產(chǎn)原材料多個生產(chǎn)和辦公系統(tǒng)缺乏主機(jī)管理和控制軟件及防病毒,導(dǎo)致控制自動化系統(tǒng)各設(shè)備的USB接口,缺乏有效的移動媒體控制狀態(tài)。系統(tǒng)維護(hù)工程師必須定期復(fù)制數(shù)據(jù),操作人員也可以秘密使用USB接口,存在較大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。因?yàn)榘l(fā)生網(wǎng)絡(luò)安全事件會導(dǎo)致整個工廠系統(tǒng)癱瘓、服務(wù)器崩潰和數(shù)據(jù)損失等嚴(yán)重后果。我公司從2020年開始實(shí)施網(wǎng)絡(luò)升級改造,優(yōu)化和提高了管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的安全性[1-3]。
1.2信息安全保護(hù)發(fā)展
新的應(yīng)用沒有等級保護(hù)標(biāo)準(zhǔn),缺乏完整的風(fēng)險(xiǎn)評估和安全監(jiān)測系統(tǒng),因此很難適應(yīng)互聯(lián)網(wǎng)信息安全保護(hù)的要求,為了適應(yīng)新技術(shù)和新的應(yīng)用發(fā)展,滿足各種系統(tǒng)等級保護(hù)的需求威海工業(yè)控制領(lǐng)域的云計(jì)算,信息系統(tǒng)等方面提供了重要保證,以重要保證為基礎(chǔ),目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)還不夠,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)的必要性分析工業(yè)控制系統(tǒng)需要使用的許多控制系統(tǒng),包括,產(chǎn)業(yè)生產(chǎn)中監(jiān)控系統(tǒng),數(shù)據(jù)采集系統(tǒng)和分布式控制系統(tǒng),如PLC等應(yīng)用廣泛,與人們的生產(chǎn)和生活密切相關(guān),本文分析了他面臨的威脅。
1.3工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件分析
2019年出現(xiàn)的第一個控制系統(tǒng),打破離心分離器運(yùn)行的產(chǎn)業(yè)控制器,建立了一個全新的腳本技術(shù)和適應(yīng)大規(guī)模應(yīng)用的完美安全保護(hù)體系。祝賀很重要。2018年,黑客利用工業(yè)惡性軟件攻擊烏克蘭的一個變電站,導(dǎo)致基輔等地區(qū)的供電中斷,使用軟件自動運(yùn)行,導(dǎo)致機(jī)器控制系統(tǒng)無法正常運(yùn)行因此,電力網(wǎng)和其他基礎(chǔ)設(shè)施的安全受到了嚴(yán)重的威脅。例如,2017年有100多個地區(qū)受到威脅軟件感染的影響,中國的石油和交通受到影響,造成嚴(yán)重后果。
1.4工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)用
目前這些系統(tǒng)由于需求不足,各種業(yè)務(wù)系統(tǒng)存在潛在的安全隱患,比如遠(yuǎn)程訪問保護(hù)要求,大多數(shù)工業(yè)控制和生產(chǎn)網(wǎng)絡(luò)的遠(yuǎn)程維護(hù)都是由供應(yīng)商提供的。渠道使用存在入侵風(fēng)險(xiǎn)。還有網(wǎng)絡(luò)監(jiān)控和審核要求,目前行業(yè)使用的各種監(jiān)控軟件和審計(jì)軟件和基礎(chǔ)設(shè)施還不完善,難以對數(shù)據(jù)進(jìn)行有效的控制其次是操作系統(tǒng)漏洞管理需求;工業(yè)生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)的要求很高,這就給系統(tǒng)漏洞升級帶來了難題,一旦出現(xiàn)安全漏洞,就會威脅到系統(tǒng)運(yùn)行的安全;惡意代碼風(fēng)險(xiǎn)防范要求,在工控系統(tǒng)應(yīng)用中實(shí)際發(fā)生惡意代碼時,存在著安裝殺毒軟件和安全隱患等安全防護(hù)缺失等重大風(fēng)險(xiǎn)。在分析網(wǎng)絡(luò)安全需求的基礎(chǔ)上,分析了網(wǎng)絡(luò)安全對人身安全財(cái)產(chǎn)安全的影響,為保證網(wǎng)絡(luò)安全運(yùn)行所采取相應(yīng)的措施,建立工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)策略,實(shí)施安全管理體系。根據(jù)安全防護(hù)工作要求設(shè)置專門的部門和人員,由安全管理人員和安全管理人員負(fù)責(zé),組織網(wǎng)絡(luò)安全委員會或領(lǐng)導(dǎo)小組。掌握具體工作,要求做好網(wǎng)絡(luò)安全防護(hù)工作,并根據(jù)需要制定相應(yīng)的管理制度和方法,實(shí)現(xiàn)崗位職責(zé)和資源的有效分工。配置足夠的人力資源,確保網(wǎng)絡(luò)安全工作的順利進(jìn)行,加強(qiáng)與安全供應(yīng)商和企業(yè)的溝通,確保安全,及時掌握事態(tài)發(fā)展,定期進(jìn)行安全檢查。首先做好檢查記錄,編制安全檢查報(bào)告,確保各項(xiàng)工作順利完成,其次,建立安全管理機(jī)構(gòu),配備網(wǎng)絡(luò)安全管理人員;安全管理體系能否有效啟動,與組織機(jī)構(gòu)組成、人員配置、工作要求、人力資源配置、協(xié)調(diào)指導(dǎo)密切相關(guān)。對實(shí)施網(wǎng)絡(luò)安全管理等任務(wù),建立有效的安全防護(hù)組織體系。加強(qiáng)安全施工管理,在安全施工管理方面,以信息系統(tǒng)的整個生命周期為中心實(shí)施安全管理措施,系統(tǒng)審核和控制安全等級等關(guān)鍵環(huán)節(jié),加強(qiáng)安全運(yùn)輸和層次管理,結(jié)合網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)的原因和特點(diǎn),實(shí)施安全評價(jià)和安全強(qiáng)化,對機(jī)艙環(huán)境、漏洞和網(wǎng)絡(luò)、實(shí)施設(shè)施安全運(yùn)行維護(hù)管理等安全管理,有效變更備份及修復(fù)管理和各種安全事件。
1.5安全技術(shù)系統(tǒng)建設(shè)
安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)體系和安全通信網(wǎng)絡(luò)設(shè)計(jì)的重點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)。利用關(guān)鍵網(wǎng)絡(luò)設(shè)備和電腦設(shè)備,以不必要的結(jié)構(gòu)劃分安全區(qū)域,實(shí)現(xiàn)安全隔離。通信傳輸。使用密碼確保通信的完整性和機(jī)密性??梢孕刨嚨尿?yàn)證。對于產(chǎn)業(yè)控制和網(wǎng)絡(luò)安全建設(shè)的總體規(guī)劃,應(yīng)該保護(hù)事務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的界限,并且在劃分網(wǎng)絡(luò)層次結(jié)構(gòu)的同時,根據(jù)各信息系統(tǒng)的功能,將與管理系統(tǒng)有密切關(guān)系的系統(tǒng)劃分為控制層,將系統(tǒng)數(shù)據(jù)并連接外部網(wǎng)絡(luò)時系統(tǒng)分為電源管理系統(tǒng)等生產(chǎn)管理層,軟件系統(tǒng)與管理系統(tǒng)的數(shù)據(jù)交流較少,企業(yè)管理中其他企業(yè)管理軟件,如智能物流系統(tǒng)的數(shù)據(jù)交換較多的軟件系統(tǒng),在網(wǎng)絡(luò)邊界處配置入侵防御和防火墻安全產(chǎn)品,實(shí)時分析鏈接的傳輸數(shù)據(jù),阻斷鏈接隱藏的威脅。
1.6邊界網(wǎng)絡(luò)屏障設(shè)置
警戒保護(hù)并在相關(guān)控制系統(tǒng)中讀取的所有數(shù)據(jù)通過網(wǎng)絡(luò)屏障確保系統(tǒng)的安全。我公司擁有兩個DCS系統(tǒng),一個是加工品水泥生產(chǎn)線的DCS系統(tǒng),另一個是起到外部控制作用的DCS系統(tǒng),公司的兩個工業(yè)控制系統(tǒng)的外部數(shù)據(jù)傳輸鏈接的出口端增加了產(chǎn)業(yè)防火墻。所有的管理系統(tǒng)都要通過防火墻來通訊外部數(shù)據(jù)。進(jìn)行管理防止系統(tǒng)中未授權(quán)的程序和未知存儲介質(zhì)的運(yùn)行,白色命名單系統(tǒng)由非系統(tǒng)管理者隨意使用USB接口或隨意復(fù)制或安裝各種軟件,對生產(chǎn)主機(jī)進(jìn)行安全管理、提高設(shè)備運(yùn)行能力,確保各生產(chǎn)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。對于安全區(qū)域邊界設(shè)計(jì)內(nèi)容包括警戒保護(hù)和入侵預(yù)防等,惡意代碼和安全審計(jì)。對于正在運(yùn)行的工業(yè)無線網(wǎng)絡(luò),無線AP或無線路由器由上述端口控制,例如在訪問防火墻端口時,以工業(yè)防火墻為邊界進(jìn)行邏輯隔離,實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域的有效隔離。從實(shí)施網(wǎng)絡(luò)安全保護(hù)的角度分析了安全計(jì)算環(huán)境,安全計(jì)算環(huán)境的設(shè)計(jì)主要內(nèi)容如下,首先是安全監(jiān)控,由于工業(yè)控制系統(tǒng)的運(yùn)行環(huán)境越來越復(fù)雜,新技術(shù)和新設(shè)備的廣泛應(yīng)用,對環(huán)境保護(hù)計(jì)算具有重要意義。利用數(shù)據(jù)庫協(xié)議的分析和控制技術(shù),可以達(dá)到阻塞危險(xiǎn)命令、控制訪問行為等目的。保護(hù)數(shù)據(jù)庫運(yùn)行安全。由安全管理中心建立的安全管理中心具有以下功能,基于工控系統(tǒng)安全管理平臺,對登錄人員進(jìn)行動態(tài)認(rèn)證。并且組織安全管理人員和監(jiān)理人員的授權(quán),實(shí)行統(tǒng)一調(diào)配管理,其次,還要進(jìn)行安全監(jiān)督管理;確認(rèn)相應(yīng)人員的身份并監(jiān)督其工作,如工作日志和門禁等進(jìn)行安全管理,最后通過集中管理和數(shù)據(jù)和信息的收集和分析,了解系統(tǒng)運(yùn)行的安全狀態(tài),并采取設(shè)施安全防護(hù)措施。
2網(wǎng)絡(luò)運(yùn)行控制及具體實(shí)施
根據(jù)上述總體安全策略的要求,我們的辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)被劃分為VLAN,VLAN將辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)隔離開來,我們還建造了辦公室和機(jī)械宿舍,建筑細(xì)節(jié)如下,公司所使用的防火墻是可以將新的入侵防御系統(tǒng)與網(wǎng)絡(luò)病毒過濾和殺滅相結(jié)合。根據(jù)實(shí)際管理和控制原則,各子網(wǎng)在網(wǎng)絡(luò)區(qū)域內(nèi)組織地址區(qū)域,避免廣播風(fēng)造成公司網(wǎng)絡(luò)整體癱瘓,并確定網(wǎng)絡(luò)故障點(diǎn)。從網(wǎng)絡(luò)層面分為辦公網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò),在兩個網(wǎng)絡(luò)隔離邊界上設(shè)置網(wǎng)關(guān),在網(wǎng)絡(luò)隔離的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)交換。公司從管理網(wǎng)讀取DCS系統(tǒng)數(shù)據(jù),并增加雙向控制體系。我們公司有兩套DCS系統(tǒng),一個是水泥生產(chǎn)線的DCS系統(tǒng),另一個是為了余熱發(fā)電的DCS系統(tǒng)。在配套系統(tǒng)中增加Moxa工業(yè)基地的交換機(jī),對工業(yè)行為進(jìn)行審查,通過鏡像流動對整個網(wǎng)絡(luò)進(jìn)行流量審計(jì)和檢查,建立專用作業(yè)控制運(yùn)輸管理區(qū)并通過產(chǎn)業(yè)防火墻隔離,設(shè)置主機(jī)白名單和漏洞掃描,確保網(wǎng)絡(luò)安全和安全,除上述建設(shè)內(nèi)容外,我公司將根據(jù)融合管理體系建立公司的機(jī)械住宅和網(wǎng)絡(luò)布局完善是實(shí)現(xiàn)網(wǎng)絡(luò)化和工業(yè)控制的必要手段,具體情況如下:公司已經(jīng)建立了標(biāo)準(zhǔn)控制網(wǎng)絡(luò),并且要求機(jī)房獨(dú)立連接接地網(wǎng),在靜電地板下用10毫米寬的銅箔設(shè)置屏蔽網(wǎng)格,確保整個機(jī)房連接良好,設(shè)置傳感器系統(tǒng),安裝恒溫系統(tǒng)和自動滅火系統(tǒng),建立完整的同環(huán)檢測平臺,確保機(jī)房不斷供電和火災(zāi)警報(bào),公司的兩個機(jī)房采用遠(yuǎn)程自動備份系統(tǒng)和自動備份服務(wù)器系統(tǒng)和軟件數(shù)據(jù),并可在網(wǎng)絡(luò)空間發(fā)生災(zāi)難后迅速恢復(fù),設(shè)置網(wǎng)絡(luò)管理軟件。主要是網(wǎng)絡(luò)掃描,遠(yuǎn)程監(jiān)控和警報(bào)管理。微信警告,支持網(wǎng)絡(luò)管理多個資產(chǎn)許可證,便于網(wǎng)絡(luò)管理,公司客房內(nèi)多種通信專用線和聯(lián)合線的雙軌連接,確保公司網(wǎng)絡(luò)實(shí)時正常運(yùn)行,防止專用線路故障導(dǎo)致整個公司網(wǎng)絡(luò)的癱瘓[4-5]。
3結(jié)束語
近年來,水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速,各企業(yè)紛紛實(shí)施信息化建設(shè)競爭,抓住了智能制造發(fā)展的制高點(diǎn),信息化是水泥企業(yè)信息化建設(shè)的必由之路,對企業(yè)管理,企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。企業(yè)在改造后,公司網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定,網(wǎng)絡(luò)不會出現(xiàn)由于間斷而影響業(yè)務(wù)和生產(chǎn),也不會發(fā)生系統(tǒng)或服務(wù)器中毒事件,各信息系統(tǒng)運(yùn)行穩(wěn)定。防火墻和防火墻形成的保護(hù)體系運(yùn)行穩(wěn)定,預(yù)防外部多次的網(wǎng)絡(luò)入侵攻擊和病毒。企業(yè)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)具有良好的擴(kuò)展性和安全性,在企業(yè)實(shí)施不同的信息化項(xiàng)目時,可以更加便利鮮明地將新系統(tǒng)配置在網(wǎng)絡(luò)結(jié)構(gòu)中,提高系統(tǒng)的線上效率和穩(wěn)定運(yùn)行。
參考文獻(xiàn)
[1]楊永恩,張國恒.水泥廠工控及網(wǎng)絡(luò)安全防護(hù)建設(shè)[J].水泥工程,2019(03):56-59.
[2]金世堯,劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風(fēng),2021(13):95-96.
[3]李杺恬,郭翔宇,寧黃江,李世斌.區(qū)塊鏈技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析[J].工業(yè)技術(shù)創(chuàng)新,2021,08(02):37-42.
[4]樊佩茹,李俊,王沖華,張雪瑩,郝志強(qiáng).工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈安全發(fā)展路徑研究[J].中國工程科學(xué),2021,23(02):56-64.
――獲獎感言
隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工控系統(tǒng)開放的同時,也減弱了控制系統(tǒng)與外界的隔離,企業(yè)在享受網(wǎng)絡(luò)互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅,包括病毒、木馬向控制網(wǎng)的擴(kuò)散等。工控系統(tǒng)的安全隱患問題日益嚴(yán)峻。為保證能源和基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行,需要建立有針對性的安全防護(hù)體系,創(chuàng)建“本質(zhì)安全”的工業(yè)控制網(wǎng)。
青島多芬諾信息安全技術(shù)有限公司是加拿大Byres Security Inc中國區(qū)合作伙伴。公司的核心產(chǎn)品多芬諾工業(yè)防火墻旨在全方位地保障工業(yè)控制系統(tǒng)信息安全。產(chǎn)品通過了FM、EX、CE、MUSIC和中國公安部認(rèn)證等工業(yè)安全標(biāo)準(zhǔn)。它在國內(nèi)外均有許多成功案例,用戶包括中石化齊魯石化分公司、中石化上海石化分公司、中石油大慶石化分公司、波音公司Boeing、科斯特全球Cristal Global等。
ANSI/ISA-99標(biāo)準(zhǔn)是目前在工廠信息安全防護(hù)上專家和業(yè)內(nèi)人士普遍認(rèn)可的一個實(shí)施標(biāo)準(zhǔn)。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案參照國際行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99對工業(yè)網(wǎng)絡(luò)安全防護(hù)提出的要求,對工業(yè)網(wǎng)絡(luò)安全實(shí)施“縱深防御”策略,即將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過控制區(qū)域間管道中的通信內(nèi)容來防御各種內(nèi)部威脅和外部網(wǎng)絡(luò)攻擊,實(shí)現(xiàn)了工業(yè)控制系統(tǒng)信息安全防護(hù)的兩個目標(biāo):一是即使網(wǎng)絡(luò)中某一點(diǎn)發(fā)生安全事故,也能保證工廠的正常安全穩(wěn)定運(yùn)行;二是工廠操作人員能及時準(zhǔn)確地確認(rèn)故障點(diǎn),并排除問題。
另外由于IT環(huán)境和工控環(huán)境之間存在著一些關(guān)鍵不同,例如,控制系統(tǒng)通常7×24全天候運(yùn)行。因此企業(yè)在沒有全面考慮工控環(huán)境特殊性的情況下,簡單地將IT安全技術(shù)配置到工控系統(tǒng)中并不是高效可行的解決方案,同時也在另一層面增加了企業(yè)工業(yè)網(wǎng)絡(luò)信息安全隱患。多芬諾更適于工業(yè)控制系統(tǒng)信息安全的防護(hù),主要表現(xiàn)在:
它內(nèi)置50多種常見工業(yè)通信協(xié)議,基于應(yīng)用層的數(shù)據(jù)包深度檢測,為工業(yè)通信提供全方位的安全保障;組態(tài)簡便,無需停車,支持在線組態(tài);多芬諾工業(yè)防火墻自身基于非IP的獨(dú)有專利安全連接技術(shù),同時能隱藏后端所有設(shè)備的IP地址,讓入侵者無法發(fā)現(xiàn)目標(biāo),更無從談起發(fā)動任何攻擊;集防火墻與虛擬路由與一身,能夠像網(wǎng)絡(luò)警察一樣管控網(wǎng)絡(luò)數(shù)據(jù)通信,同時具有實(shí)時網(wǎng)絡(luò)通信透視鏡功能,能實(shí)現(xiàn)對非法通信的實(shí)時報(bào)警、來源確認(rèn)和歷史記錄,保證對控制網(wǎng)絡(luò)通信的實(shí)時診斷;特有的“測試”模式允許用戶在真實(shí)工控環(huán)境中對防火墻組態(tài)規(guī)則進(jìn)行測試,在全方位保障工業(yè)網(wǎng)絡(luò)安全的同時也保證了工控需求的完整性;采用深度數(shù)據(jù)包檢測DPI技術(shù)。
【關(guān)鍵詞】電子計(jì)算機(jī) 網(wǎng)絡(luò) 控制軟件 改進(jìn)
隨著計(jì)算機(jī)和網(wǎng)絡(luò)的不斷進(jìn)步,信息技術(shù)飛速發(fā)展,互聯(lián)網(wǎng)的普及與應(yīng)用為人們的生活、學(xué)習(xí)、交流帶來了極大方便,但與此同時網(wǎng)絡(luò)安全入侵事件卻屢見報(bào)端,如果對于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中的控制軟件應(yīng)用不加以改進(jìn)和提升就會使網(wǎng)絡(luò)安全問題更加突出,給網(wǎng)絡(luò)用戶帶來更大的安全隱患,所以,加強(qiáng)網(wǎng)絡(luò)安全,保證網(wǎng)民的正常生活,確保網(wǎng)絡(luò)秩序的正?;蔷W(wǎng)絡(luò)工作者現(xiàn)實(shí)需要面對的非常棘手的問題。
一、相關(guān)概念界定
(一)網(wǎng)絡(luò)控制。所謂網(wǎng)絡(luò)控制,是指通過一系列的通信信道網(wǎng)絡(luò)控制裝置構(gòu)成一個或多個閉環(huán)控制,隨著信號處理,優(yōu)化和控制決策函數(shù)的操作功能。網(wǎng)絡(luò)控制系統(tǒng)被應(yīng)用于―系列通信網(wǎng)絡(luò)的不同物理部件之間,進(jìn)行處理系統(tǒng)交換信息和控制分配系統(tǒng)的信號,并且控制器可以被分散在網(wǎng)絡(luò)中的不同位置。
(二)網(wǎng)絡(luò)軟件。網(wǎng)絡(luò)軟件是指,在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中,用于支持?jǐn)?shù)據(jù)通信和各種網(wǎng)絡(luò)活動的軟件。連接到計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng),通常是基于系統(tǒng)本身的特性,容量和服務(wù)對象,配置不同的網(wǎng)絡(luò)應(yīng)用系統(tǒng),目的是用戶與其他系統(tǒng)共享網(wǎng)絡(luò)資源,或是把本地系統(tǒng)的功能和資源提供給其他網(wǎng)絡(luò)用戶共享使用。網(wǎng)絡(luò)軟件通常包括網(wǎng)絡(luò)協(xié)議和協(xié)議軟件,網(wǎng)絡(luò)通信軟件,網(wǎng)絡(luò)操作系統(tǒng)軟件,網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)應(yīng)用軟件幾種。
(三)網(wǎng)絡(luò)控制軟件。網(wǎng)絡(luò)控制軟件是網(wǎng)絡(luò)軟件之一,即通過支持該軟件的行為,來提高網(wǎng)絡(luò)的工作效率,是專門為網(wǎng)絡(luò)管理人員設(shè)計(jì),以幫助網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)進(jìn)行自動化監(jiān)控和管理,最終達(dá)到減少故障,提高IT效率的目標(biāo)。
二、網(wǎng)絡(luò)控制軟件的應(yīng)用及弊端
網(wǎng)絡(luò)管理軟件應(yīng)用程序的范圍很廣,主要可以分為廣義和狹義兩個方面。從廣義上來說,任何有網(wǎng)絡(luò)的地點(diǎn)都需要網(wǎng)絡(luò)管理,網(wǎng)絡(luò)管理軟件就用在這些領(lǐng)域內(nèi)。從實(shí)際的應(yīng)用來看,電信,銀行,金融等眾多行業(yè)都使用網(wǎng)絡(luò)管理軟件。在狹義的角度來看,網(wǎng)絡(luò)管理軟件有不同的劃分方式。根據(jù)網(wǎng)絡(luò)管理軟件管理的對象來分,它可分為系統(tǒng)管理軟件和設(shè)備管理軟件。系統(tǒng)管理軟件是對全面的整個網(wǎng)絡(luò),深入的監(jiān)控和管理的軟件(包括服務(wù)器,網(wǎng)絡(luò)設(shè)備和應(yīng)用程序);設(shè)備管理軟件是各種網(wǎng)絡(luò)設(shè)備廠商推出的,可以很好地管理他們的網(wǎng)絡(luò)的設(shè)備(如華為設(shè)備管理軟件)。雖然網(wǎng)絡(luò)控制軟件通過網(wǎng)絡(luò)使得人們的工作、學(xué)習(xí)和生活都帶來了巨大的方面,讓網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)可以實(shí)現(xiàn)各種各樣的遠(yuǎn)程操作,但是也同樣存在著弊端,例如由此會產(chǎn)生一些網(wǎng)絡(luò)系統(tǒng)的安全問題;計(jì)算機(jī)運(yùn)行的速度問題;由于網(wǎng)絡(luò)帶寬的問題導(dǎo)致的信息在傳輸過程中的阻塞等現(xiàn)象,這就需要電子計(jì)算機(jī)網(wǎng)絡(luò)工作者加強(qiáng)對網(wǎng)絡(luò)控制軟件的改進(jìn)和完善。
三、電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件改進(jìn)應(yīng)采取的措施
目前,隨著人們對網(wǎng)絡(luò)需求的提高,網(wǎng)絡(luò)規(guī)模急劇擴(kuò)充的現(xiàn)實(shí)已經(jīng)越來越不充分,因此計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的另一趨勢是智能化,集成化的網(wǎng)絡(luò)管理的方發(fā)展方向。
(一)注重對網(wǎng)絡(luò)安全的建設(shè)。我們可以有效地利用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng),對網(wǎng)絡(luò)進(jìn)行安全性測試,如果發(fā)現(xiàn)該系統(tǒng)漏洞和安全風(fēng)險(xiǎn)后,進(jìn)行排除。由于系統(tǒng)本身不可避免的存在一些漏洞,這時可以使用各種軟件的“補(bǔ)丁”對漏洞進(jìn)行修補(bǔ),更多的系統(tǒng)軟件服務(wù),就更容易發(fā)生多的系統(tǒng)漏洞,因此,應(yīng)該要避免運(yùn)行過多的軟件,提高電腦速度,減少漏洞風(fēng)險(xiǎn),經(jīng)常性的進(jìn)行漏洞掃描,以提升網(wǎng)絡(luò)系統(tǒng)的安全性,有效地保證計(jì)算機(jī)網(wǎng)絡(luò)的安全性。用戶可以通過授權(quán)和其他方法來對數(shù)據(jù)進(jìn)行加密,以此保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全性。對系統(tǒng)中的所有數(shù)據(jù),可以通過現(xiàn)代數(shù)據(jù)加密技術(shù)進(jìn)行保護(hù),除了指定的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)用戶,沒有人可以解密加密數(shù)據(jù)。加密技術(shù)主要體現(xiàn)在系統(tǒng)運(yùn)營和維護(hù),以及開發(fā)軟件和應(yīng)用方面,有效的實(shí)了現(xiàn)端到端的網(wǎng)絡(luò)安全保障,是網(wǎng)絡(luò)安全問題最有效和最可靠的解決方案。
(二)優(yōu)化配置。配置應(yīng)用程序?yàn)橛脩籼峁┝藢懺L問的資源,配置應(yīng)用程序可分為以下幾種形式:(1)有關(guān)當(dāng)前資源分配信息??梢允褂肧NMP來詢問如路由表,接口表,地址表和ARP表等。(2)通過管理協(xié)議更改配置。通過SNMP協(xié)議服務(wù)中的Set服務(wù)來更改配置信息。這里的一個困難是由于SNMP安全問題,許多制造商不允許寫訪問的資源。這時可以通過登錄系統(tǒng)進(jìn)行配置。設(shè)備制造商允許用戶登錄到系統(tǒng)中直接更改系統(tǒng)配置工具。
(三)電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制實(shí)現(xiàn)分布式管理。核心分布式對象的目的是解決跨平臺的連接和互動的問題,以實(shí)現(xiàn)分布式應(yīng)用系統(tǒng)。分布式網(wǎng)絡(luò)管理是建立多域名管理,域名管理負(fù)責(zé)管理域?qū)ο蟮墓芾磉M(jìn)程的進(jìn)程,同時進(jìn)程間進(jìn)行協(xié)調(diào)與互動,以完成全球網(wǎng)絡(luò)的管理。這不僅降低了在中央網(wǎng)絡(luò)管理的負(fù)荷,并降低了信息傳送的延遲時間,達(dá)到更有效管理的目的。目前,分布式技術(shù)的研究主要來自兩個方面:一是使用CORBA技術(shù)的,另一種是利用移動技術(shù)。
(四)深入研究和拓展智能網(wǎng)絡(luò)控制系統(tǒng)。智能控制是一類無需人工干預(yù)就能夠通過自主駕駛智能機(jī)實(shí)現(xiàn)其目標(biāo)的過程,是機(jī)器模擬人類智能的一個重要領(lǐng)域。智能控制,包括學(xué)習(xí)控制系統(tǒng),分級分級智能控制系統(tǒng),專家系統(tǒng),模糊控制和神經(jīng)網(wǎng)絡(luò)控制系統(tǒng)。應(yīng)用智能控制技術(shù),實(shí)現(xiàn)自動控制理論和先進(jìn)的電腦控制系統(tǒng),將促進(jìn)科學(xué)技術(shù)進(jìn)步和提高工業(yè)生產(chǎn)系統(tǒng)的自動化水平,加快計(jì)算機(jī)技術(shù)智能控制的發(fā)展研究方法。
四、結(jié)束語
總之,為了提升計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的性能,必須使其朝著智能化、網(wǎng)絡(luò)化和集成化的方向發(fā)展,并加以改進(jìn),從而促進(jìn)計(jì)算機(jī)控制系統(tǒng)的發(fā)展進(jìn)程和計(jì)算機(jī)控制系統(tǒng)的應(yīng)用。
參考文獻(xiàn):
[1] 祁寶婷.電子計(jì)算機(jī)工程網(wǎng)絡(luò)控制軟件的改進(jìn)[J].城市建設(shè)理論研究(電子版),2013,(23).
[2] 張彤.計(jì)算機(jī)網(wǎng)絡(luò)管理軟件的應(yīng)用研究[J].企業(yè)導(dǎo)報(bào),2012,(10).
【關(guān)鍵詞】火力發(fā)電廠;信息安全體系
前言
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展促使網(wǎng)絡(luò)信息管理系統(tǒng)數(shù)據(jù)傳輸效率不斷提升,推動了火力發(fā)電企業(yè)數(shù)據(jù)集中處理、數(shù)據(jù)共享、生產(chǎn)自動化的進(jìn)程,在發(fā)電廠生產(chǎn)管理過程中信息系統(tǒng)成為必不可少的管理工具,而隨著黑客惡意入侵、網(wǎng)絡(luò)攻擊等現(xiàn)象的頻繁出現(xiàn)對火力發(fā)電廠生產(chǎn)經(jīng)營信息管理系統(tǒng)、生產(chǎn)控制信息系統(tǒng)的信息安全造成了極大的威脅,因此網(wǎng)絡(luò)信息安全體系的構(gòu)建成為現(xiàn)階段火力發(fā)電企業(yè)生產(chǎn)經(jīng)營過程中的重要任務(wù)。
一、火力發(fā)電廠基本情況
火力發(fā)電廠是國家循環(huán)經(jīng)濟(jì)的典型項(xiàng)目之一,其為了進(jìn)一步提高經(jīng)濟(jì)效益,加強(qiáng)了信息化技術(shù)在電力生產(chǎn)管理工作中的應(yīng)用,主要包括發(fā)電設(shè)備網(wǎng)絡(luò)控制系統(tǒng)、管理信息系統(tǒng),信息技術(shù)在發(fā)電廠生產(chǎn)經(jīng)營管理中的應(yīng)用極大的提高了電力生產(chǎn)與管理的效率,但同時也為其帶來了一定的安全威脅,如遭遇黑客惡意攻擊會很大程度上影響發(fā)電廠的發(fā)電機(jī)組、經(jīng)營管理系統(tǒng)等方面的正常運(yùn)行,從而影響發(fā)電廠正常的生產(chǎn)經(jīng)營活動。
二、火力發(fā)電廠面臨的網(wǎng)絡(luò)安全威脅
火力發(fā)電廠面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括管理信息系統(tǒng)、生產(chǎn)控制系統(tǒng)、設(shè)備設(shè)施控制系統(tǒng)等幾個方面[1]。其中由于電力生產(chǎn)控制系統(tǒng)主要用于電力生產(chǎn)過程,其雖然具有一定的安全防護(hù)能力,但是其結(jié)構(gòu)、管理、技術(shù)等方面的安全漏洞很容易在受到攻擊夠造成大范圍的用電事故。根據(jù)相應(yīng)的信息管理結(jié)構(gòu)可以從兩個方面進(jìn)行分析,首先來自該火力發(fā)電廠內(nèi)部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),如系統(tǒng)管理工作人對其工作不夠了解,在工作過程中的不規(guī)范行為導(dǎo)致信息管理系統(tǒng)出現(xiàn)故障;另一方面來自該火力發(fā)電廠外部的網(wǎng)絡(luò)安全威脅,主要有外來人員的網(wǎng)絡(luò)病毒入侵、網(wǎng)絡(luò)攻擊等,如在生產(chǎn)控制系統(tǒng)受到攻擊時會首先導(dǎo)致相應(yīng)的發(fā)電系統(tǒng)發(fā)生跳機(jī)故障,隨之影響整個發(fā)電系統(tǒng)的正常運(yùn)行。在內(nèi)部與外部兩個方面的共同作用下,再加上管理制度不夠完善、網(wǎng)絡(luò)缺陷、軟件漏洞等行為通過病毒傳播、偽裝、惡意代碼、非授權(quán)操作、特權(quán)濫用、調(diào)試不強(qiáng)等行為導(dǎo)致電力系統(tǒng)的正常運(yùn)行受到了阻礙,火力發(fā)電廠網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的發(fā)生在影響相應(yīng)發(fā)電機(jī)構(gòu)的經(jīng)濟(jì)效益的同時,也會影響用戶的正常用電的過程,從而影響社會生產(chǎn)生活的平穩(wěn)進(jìn)行。
三、火力發(fā)電廠信息安全體系的構(gòu)建
1.安裝防火墻。
防火墻的安裝可以提高火力發(fā)電廠整體信息管理系統(tǒng)的防護(hù)性能,其主要是在整體信息網(wǎng)絡(luò)出口進(jìn)行硬件防火墻的安裝,該火力發(fā)電廠可根據(jù)實(shí)際需要選擇性能較高的防火墻,然后在防火墻安轉(zhuǎn)的過程中為了保護(hù)數(shù)據(jù)的穩(wěn)定性,可將該火力發(fā)電廠信息管理系統(tǒng)中的所以數(shù)據(jù)包進(jìn)行關(guān)閉操作,同時進(jìn)行防火墻包過濾配置的設(shè)計(jì),如未經(jīng)許可不允許其他IP越過防火墻進(jìn)入該火力發(fā)電廠信息管理系統(tǒng)內(nèi)部,提高該火力發(fā)電廠信息管理的安全性。此外為了保證不同信息管理系統(tǒng)的獨(dú)立性,可建立相應(yīng)的安全控制點(diǎn),如在生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)之間設(shè)置一個安全控制點(diǎn)通過相應(yīng)的指令對進(jìn)入或者流出內(nèi)部網(wǎng)絡(luò)服務(wù)進(jìn)行控制,如拒絕、重新定向、允許等[2]。通過相應(yīng)指令的控制提高管理信息系統(tǒng)的安全性,降低安全風(fēng)險(xiǎn)對火力發(fā)電廠生產(chǎn)管理信息系統(tǒng)的安全威脅。
2.建立相關(guān)防護(hù)系統(tǒng)。
為了進(jìn)一步維持火力發(fā)電廠信息系統(tǒng)管理的可靠性、先進(jìn)性及實(shí)用性,可依據(jù)《信息系統(tǒng)-布線標(biāo)準(zhǔn)》等技術(shù)規(guī)范進(jìn)行相關(guān)防護(hù)系統(tǒng)的構(gòu)建,然后根據(jù)信息系統(tǒng)的整體布局,可設(shè)計(jì)從音頻信號集中控制傳輸,并在特殊情況下將系統(tǒng)內(nèi)部的揚(yáng)聲器設(shè)置為語音廣播模式,促使網(wǎng)絡(luò)信息安全事故可以及時發(fā)現(xiàn)處理,減低人員誤操作為整體信息系統(tǒng)造成的安全威脅。而在數(shù)據(jù)的傳輸過程中可利用計(jì)算機(jī)信息系統(tǒng)進(jìn)行全數(shù)字化傳輸模式,且在其配置安裝時應(yīng)不采用網(wǎng)線、光纖裝換器等網(wǎng)絡(luò)設(shè)備的應(yīng)用。為了保證安全防護(hù)系統(tǒng)的穩(wěn)定運(yùn)行,可設(shè)置視頻監(jiān)控中心為主控制機(jī)構(gòu),然后在相應(yīng)管理人員的辦公室內(nèi)部進(jìn)行分控制機(jī)構(gòu)的設(shè)置,如IP網(wǎng)絡(luò)尋呼話筒等。
此外,由于火力發(fā)電廠信息管理區(qū)域的區(qū)別,可根據(jù)具體需求的區(qū)別進(jìn)行生產(chǎn)管理信息防護(hù)系統(tǒng)的分區(qū)設(shè)置,結(jié)合機(jī)架式IP網(wǎng)絡(luò)系統(tǒng),促使相關(guān)防護(hù)系統(tǒng)在火力信息系統(tǒng)管理維護(hù)中發(fā)揮最大的效能。發(fā)電廠管理人員需提高對相關(guān)防護(hù)系統(tǒng)的關(guān)注力度,然后加強(qiáng)科學(xué)技術(shù)在相應(yīng)防護(hù)系統(tǒng)中的應(yīng)用,在這個前提下,可將企業(yè)實(shí)時防護(hù)系統(tǒng)安置在火力發(fā)電廠網(wǎng)絡(luò)系統(tǒng)的出入口處,同時在核心的交換機(jī)上也加設(shè)企業(yè)實(shí)時防護(hù)系統(tǒng),促使火力發(fā)電廠網(wǎng)絡(luò)信息管理系統(tǒng)風(fēng)險(xiǎn)的及時發(fā)現(xiàn)、處理。
3.完善信息安全組織體系。
完善的信息安全組織體系是信息安全體系順利運(yùn)行的前提,首先可根據(jù)發(fā)電廠實(shí)際管理結(jié)構(gòu)組織專門的人員建立信息安全管理組織,并在相應(yīng)的部門建立相應(yīng)的管理小組,然后可采用分級負(fù)責(zé)機(jī)制進(jìn)一步細(xì)化各信息管理人員的工作職責(zé),并依據(jù)制定規(guī)范的信息安全管理要求,進(jìn)行嚴(yán)格的管理,組織專門的人員進(jìn)行信息安全管理工作的監(jiān)督審查,同時為了促使該火力發(fā)電廠內(nèi)部人力資源的更充分的應(yīng)用,可要求各業(yè)務(wù)機(jī)構(gòu)的人員兼任網(wǎng)絡(luò)信息管理監(jiān)督人員,促使整個廠區(qū)內(nèi)部形成全方位的信息安全管理,促使信息安全管理體系切實(shí)提高該火力發(fā)電廠信息管理系統(tǒng)的安全性。
4.系統(tǒng)安全分區(qū)防護(hù)。
系統(tǒng)安全分區(qū)防護(hù)主要在橫向隔離、縱向認(rèn)證、網(wǎng)絡(luò)專用、安全分區(qū)的指導(dǎo)下進(jìn)行相應(yīng)的實(shí)施措施,[2]然后根據(jù)實(shí)際生產(chǎn)經(jīng)營狀況及電力信息系統(tǒng)安全分區(qū)工作規(guī)范系統(tǒng)制定安全分區(qū)方案,可根據(jù)信息管理系統(tǒng)應(yīng)用性能的區(qū)別對其進(jìn)行安全等級的劃分,并采取相應(yīng)的區(qū)域的安全防護(hù)措施,一般來說可將安全防護(hù)工作的重點(diǎn)放在實(shí)時控制區(qū)域,如生產(chǎn)控制系統(tǒng)、設(shè)備設(shè)施監(jiān)控系統(tǒng)等,而安全防護(hù)等級較弱的為二級控制區(qū)域,如管理信息系統(tǒng)等。脫硝控制系統(tǒng)、化水控制系統(tǒng)、生產(chǎn)信息管理系統(tǒng)、輔助控制體系等安全防護(hù)一級區(qū)域的防護(hù)主要可在物理單向隔離裝置安裝的基礎(chǔ)上,對數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行優(yōu)化調(diào)度,并將其與廠區(qū)內(nèi)部的實(shí)時控制系統(tǒng)進(jìn)行有機(jī)整合,如在管理信息系統(tǒng)、生產(chǎn)控制系統(tǒng)間依據(jù)相應(yīng)工作需求進(jìn)行電力橫向單向安全隔離裝置的設(shè)計(jì)安裝,而在管理信息系統(tǒng)內(nèi)部也可以進(jìn)行安全分區(qū)措施,如根據(jù)設(shè)備、設(shè)施的功能、類型的區(qū)別對其訪問權(quán)限進(jìn)行一定的控制。此外在一級安全防護(hù)區(qū)域還具有自動電壓控制系統(tǒng)、遠(yuǎn)程終端單元系統(tǒng)等各級管理系統(tǒng),而機(jī)組錄波、故障信息處理、線路母線錄波、電力采集等在二級安全區(qū)域,為了保證系統(tǒng)安全分區(qū)信息處理的及時性,可采用縱向虛擬專用網(wǎng)絡(luò)進(jìn)行兩者的連接,并采取加密認(rèn)證措施。
四、總結(jié)
綜上所述,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力生產(chǎn)管理中發(fā)揮著越來越重要的作用,提高電力生產(chǎn)管理效率的同時,也為電力生產(chǎn)管理信息管理帶來了一定的安全隱患,因此電力企業(yè)管理人員應(yīng)提高對安全信息的重視,對威脅自身發(fā)展的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析,然后采取防火墻安裝、相關(guān)防護(hù)系統(tǒng)構(gòu)建、安全信息組織體系、系統(tǒng)安全分區(qū)防護(hù)工作等措施,保障電力生產(chǎn)經(jīng)營過程中信息安全,推動電力企業(yè)更加穩(wěn)定、安全的發(fā)展。
作者:關(guān)東祥
參考文獻(xiàn):
關(guān)鍵詞可控網(wǎng)絡(luò)系統(tǒng);控制中心;身份認(rèn)證;訪問控制;邊界控制
中圖分類號 TP393 DOI:10.3969/j.issn.1672-9722.2016.03.021
1引言
隨著網(wǎng)絡(luò)規(guī)模的不斷增加、網(wǎng)絡(luò)設(shè)備的多樣化和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的復(fù)雜度不斷增加,對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn),傳統(tǒng)的網(wǎng)絡(luò)管理已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的變化。針對當(dāng)前網(wǎng)絡(luò)中的安全威脅,為了解決傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)功能單一,被動防護(hù)的問題,可控網(wǎng)絡(luò)理論的研究逐漸興起。可控網(wǎng)絡(luò)理論是以網(wǎng)絡(luò)控制論為核心理論,是以實(shí)現(xiàn)網(wǎng)絡(luò)安全性為控制目標(biāo)的網(wǎng)絡(luò)安全控制理論[1]。接入控制是對節(jié)點(diǎn)接入網(wǎng)絡(luò)及節(jié)點(diǎn)的訪問權(quán)限進(jìn)行控制,是信息網(wǎng)絡(luò)安全的基礎(chǔ)。因此,對可控網(wǎng)絡(luò)中的接入控制進(jìn)行研究,實(shí)現(xiàn)對網(wǎng)絡(luò)節(jié)點(diǎn)的接入功能動態(tài)可控,對增強(qiáng)網(wǎng)絡(luò)的安全性具有重要意義。
2可控網(wǎng)絡(luò)中的接入控制系統(tǒng)
2.1相關(guān)理論知識
可控網(wǎng)絡(luò)理論是在網(wǎng)絡(luò)控制論的指導(dǎo)下的各種有關(guān)網(wǎng)絡(luò)安全控制的理論,它以解決網(wǎng)絡(luò)安全問題為著眼點(diǎn),以網(wǎng)絡(luò)安全性能為目標(biāo),整合集成現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù),構(gòu)建高效的、科學(xué)合理的網(wǎng)絡(luò)安全控制體系[2]?;诳煽鼐W(wǎng)絡(luò)理論,通過反饋控制,實(shí)現(xiàn)網(wǎng)絡(luò)安全性指標(biāo)的網(wǎng)絡(luò)系統(tǒng),稱為可控網(wǎng)絡(luò)系統(tǒng)??煽鼐W(wǎng)絡(luò)系統(tǒng)的顯著特點(diǎn)是通過施加一定的作用,使得網(wǎng)絡(luò)的狀態(tài)和行為在能夠預(yù)期和把握的范圍內(nèi)。為了實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全,網(wǎng)絡(luò)必須具有對用戶行為高度的控制和管理能力,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)行為狀態(tài)的監(jiān)測、網(wǎng)絡(luò)行為結(jié)果的評估和網(wǎng)絡(luò)異常行為的控制,形成對網(wǎng)絡(luò)行為的反饋閉環(huán)控制,提高網(wǎng)絡(luò)安全防護(hù)能力[3]。接入控制是可控網(wǎng)絡(luò)安全的第一道防線,包括邊界控制、身份認(rèn)證和訪問控制三個方面。通過邊界控制實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)(以下簡稱內(nèi)網(wǎng))與外部網(wǎng)絡(luò)(以下簡稱外網(wǎng))通信的管控以及對內(nèi)網(wǎng)接入終端的控制,防止外網(wǎng)非法用戶訪問內(nèi)網(wǎng)、內(nèi)網(wǎng)用戶訪問非授權(quán)資源以及非法終端接入內(nèi)網(wǎng);通過身份認(rèn)證,檢查用戶身份是否真實(shí)可信,防止非法人員違規(guī)操作獲得不當(dāng)利益;通過訪問控制設(shè)計(jì)不同力度的訪問控制策略,對進(jìn)入可控網(wǎng)絡(luò)中的用戶的資源訪問權(quán)限進(jìn)行監(jiān)督和限制。三者之間功能相輔相成能夠有效地杜絕外界網(wǎng)絡(luò)的安全入侵、非法用戶的違規(guī)操作和合法用戶的越權(quán)操作,確保了網(wǎng)絡(luò)的安全性。
2.2接入控制系統(tǒng)的組成與功能
接入控制主要由安全控制中心、交換傳輸設(shè)備、互連網(wǎng)資源以及主機(jī)組成,如圖1所示。安全控制中心是可控網(wǎng)絡(luò)的核心,主要由日志審計(jì)服務(wù)器、大數(shù)據(jù)分析服務(wù)器、邊界控制服務(wù)器、身份認(rèn)證服務(wù)器、訪問控制管理模塊以及各種相應(yīng)功能的服務(wù)器組成,其主要功能是對接入控制中的異常認(rèn)證行為和訪問行為進(jìn)行動態(tài)、實(shí)時管控,確保系統(tǒng)的安全性與穩(wěn)定性。邊界控制服務(wù)通過設(shè)置相應(yīng)的過濾規(guī)則對訪問內(nèi)網(wǎng)的用戶及通信數(shù)據(jù)進(jìn)行控制,從而達(dá)到保護(hù)內(nèi)網(wǎng)中存在安全漏洞的網(wǎng)絡(luò)服務(wù)的目的,同時實(shí)施安全策略對網(wǎng)絡(luò)通信進(jìn)行訪問控制、防止內(nèi)部網(wǎng)信息暴露;同時能夠限制內(nèi)網(wǎng)中的用戶對外網(wǎng)的非授權(quán)訪問。通過設(shè)定交換機(jī)端口、綁定網(wǎng)卡MAC地址和IP地址等手段對接入子網(wǎng)的終端進(jìn)行限定,以此來限定內(nèi)網(wǎng)的邊界。身份認(rèn)證服務(wù)通過相應(yīng)的認(rèn)證協(xié)議對可控網(wǎng)絡(luò)中的用戶進(jìn)行身份的鑒別,從而確保非法用戶被拒絕于應(yīng)用服務(wù)之外。身份認(rèn)證的本質(zhì)是被驗(yàn)證者與驗(yàn)證者之間執(zhí)行多次信息協(xié)商后,由驗(yàn)證者確認(rèn)被驗(yàn)證者的身份是否真實(shí)可信,防止非法人員違規(guī)操作獲得不當(dāng)利益。訪問控制服務(wù)通過相應(yīng)的訪問控制策略對網(wǎng)絡(luò)中通過認(rèn)證用戶的訪問權(quán)限進(jìn)行判定,從而解決內(nèi)部合法用戶的安全威脅,作為可控網(wǎng)絡(luò)的第二道防線,訪問控制主要解決“合法用戶在系統(tǒng)中對各類資源以何種權(quán)限訪問”的問題。
3接入控制結(jié)構(gòu)
可控網(wǎng)絡(luò)系統(tǒng)一般包括施控部分、被控部分、控制單元及反饋單元四部分。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)接入可控網(wǎng)絡(luò)系統(tǒng)進(jìn)行資源訪問時,節(jié)點(diǎn)的接入請求會受到外界信息的干擾,主要是非法分子的攻擊和系統(tǒng)入侵;同時節(jié)點(diǎn)訪問網(wǎng)絡(luò)資源時,也會受到擾動,主要為內(nèi)部安全威脅。通過對網(wǎng)絡(luò)異常行為進(jìn)行分析將結(jié)果通過反饋單元傳給控制者和控制子網(wǎng),控制者和控制子網(wǎng)針對異常行為通過控制單元實(shí)施網(wǎng)絡(luò)主動防御控制,從而形成網(wǎng)絡(luò)控制閉環(huán),達(dá)到主動防御控制目的[4]。可控網(wǎng)絡(luò)中的接入控制系統(tǒng)主要由信息采集節(jié)點(diǎn)、中間控制節(jié)點(diǎn)和安全控制中心組成,具體如圖2所示。施控部分的主要功能是根據(jù)反饋回路中的反饋信息對網(wǎng)絡(luò)中的異常行為進(jìn)行分析、處理,并實(shí)施調(diào)控。在接入控制系統(tǒng)中,安全控制中心屬于施控部分??刂浦行耐ㄟ^大數(shù)據(jù)分析、日志審計(jì)及入侵檢查等服務(wù)器對終端的接入控制行為進(jìn)行分析、判斷,并將處理結(jié)果通過控制回路發(fā)送給被控部分。被控部分的主要功能是將網(wǎng)絡(luò)中的行為通過反饋單元發(fā)送給施控部分,并根據(jù)控制單元的控制信息對異常行為進(jìn)行處理。在接入控制中,信息采集節(jié)點(diǎn)及網(wǎng)絡(luò)資源與行為屬于被控部分。信息采集節(jié)點(diǎn)將終端的接入控制行為通過安全接口反饋給控制中心,并根據(jù)控制單元的處理信息進(jìn)行相應(yīng)的響應(yīng)??刂茊卧闹饕δ苁菍刂菩畔⑦M(jìn)行傳輸,同時對網(wǎng)絡(luò)異常行為進(jìn)行處理,使得網(wǎng)絡(luò)系統(tǒng)向安全可控狀態(tài)轉(zhuǎn)變。控制單元包括各種控制作用和控制通道。控制作用在某種意義上可以說是按一定目標(biāo)對受控系統(tǒng)在狀態(tài)空間中的各種可能狀態(tài)進(jìn)行選擇,使系統(tǒng)的運(yùn)動達(dá)到或趨近這些被選擇的狀態(tài)[5]。因此,沒有選擇的目標(biāo)就沒有控制??刂仆ǖ朗强刂菩畔⒌靡粤魍ǖ母鞣N控制結(jié)構(gòu)、控制方式和傳輸介質(zhì)的組合,它可以是物理的組合,也可以是邏輯的組合。在控制通道上,控制信息從施控部分傳遞到被控部分,屬于前向通道。反饋單元的主要功能是針對一定目標(biāo)對受控系統(tǒng)的狀態(tài)進(jìn)行監(jiān)測、分析和報(bào)告,使施控系統(tǒng)能夠及時做出響應(yīng)。接入控制系統(tǒng)在反饋?zhàn)饔玫挠绊懴?,能夠監(jiān)視系統(tǒng)處于何種狀態(tài)。反饋單元包括反饋?zhàn)饔煤头答佂ǖ?。反饋通道由各種信息采集和分析設(shè)備、信息反饋和決策系統(tǒng)等組成。在反饋通道上,反饋信息從被控部分傳遞到施控部分,屬于反向通道。
4接入控制的工作過程
接入控制要經(jīng)過邊界控制、身份認(rèn)證和訪問控制三道流程后,才能確定用戶能否訪問應(yīng)用資源,具體流程如圖3所示。當(dāng)用戶提出訪問請求后,首先要判斷訪問請求來自內(nèi)網(wǎng)用戶還是外網(wǎng)用戶。當(dāng)訪問請求來自內(nèi)網(wǎng)用戶時,首先判斷用戶訪問的資源是否為外網(wǎng)資源;若為外網(wǎng)資源,則邊界控制服務(wù)器根據(jù)過濾規(guī)則庫判斷該請求能否通過,用戶是否具有訪問外網(wǎng)的權(quán)限;若為內(nèi)網(wǎng)資源,身份認(rèn)證服務(wù)器根據(jù)認(rèn)證規(guī)則庫進(jìn)行用戶身份認(rèn)證,判斷用戶是否合法;用戶通過身份認(rèn)證后進(jìn)入應(yīng)用系統(tǒng),訪問控制器根據(jù)訪問控制策略庫進(jìn)行訪問權(quán)限控制,判斷用戶是否具有訪問資源的權(quán)限。當(dāng)訪問請求來自外網(wǎng)用戶時,則邊界控制服務(wù)器根據(jù)過濾規(guī)則庫判斷該請求能否通過,用戶是否具有訪問內(nèi)網(wǎng)的權(quán)限;當(dāng)用戶通過邊界控制服務(wù)器認(rèn)證后進(jìn)入內(nèi)網(wǎng),身份認(rèn)證服務(wù)器根據(jù)認(rèn)證規(guī)則庫進(jìn)行用戶身份認(rèn)證,判斷用戶是否合法;用戶通過身份認(rèn)證后進(jìn)入應(yīng)用系統(tǒng),訪問控制器根據(jù)訪問控制策略庫進(jìn)行訪問權(quán)限控制,判斷用戶是否具有訪問資源的權(quán)限;只有當(dāng)所有的接入控制都通過后,用戶才能進(jìn)行應(yīng)用資源的訪問。當(dāng)接入控制某個環(huán)節(jié)出現(xiàn)問題時,安全控制中心會根據(jù)反饋單元的信息對異常行進(jìn)行分析和處理,并通過控制單元對相應(yīng)節(jié)點(diǎn)進(jìn)行調(diào)控[6]。
5接入控制模型
5.1身份認(rèn)證模型
身份認(rèn)證模型一般由用戶、認(rèn)證服務(wù)器、控制中心以及數(shù)據(jù)庫存服務(wù)器組成,如圖4所示。身份認(rèn)證模型一般包括注冊與認(rèn)證兩個階段。注冊階段主要完成用戶與認(rèn)證服務(wù)器身份標(biāo)識的選擇、密鑰的分發(fā)(針對基于密鑰的身份認(rèn)證)。用戶將能夠證明自己身份的信息,通過加密等手段傳遞給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器將用戶注冊信息存儲在數(shù)據(jù)庫存服務(wù)器中用于下步的認(rèn)證,并將注冊結(jié)果返回給用戶。認(rèn)證階段主要完成用戶與認(rèn)證服務(wù)器之間的身份認(rèn)證[7]。用戶和服務(wù)器根據(jù)注冊信息以及采用的身份認(rèn)證協(xié)議進(jìn)行單向或雙向的身份認(rèn)證??刂浦行耐ㄟ^反饋通道采集用戶身份認(rèn)證行為,并通過大數(shù)據(jù)分析對異常身份認(rèn)證行為進(jìn)行分析處理,通過控制通道將處理結(jié)果通過控制通道傳遞給身份認(rèn)證服務(wù)器。綜述所述,身份認(rèn)證的結(jié)構(gòu)控制如圖5所示。當(dāng)受控對象根據(jù)認(rèn)證協(xié)議和認(rèn)證信息執(zhí)行身份認(rèn)證服務(wù)時,控制單元能夠采集受控對象信息以及認(rèn)證服務(wù),通過控制中心進(jìn)行大數(shù)據(jù)分析后,將控制結(jié)果通過控制回路反饋給受控對象,同時將控制信息反饋給執(zhí)行單元,執(zhí)行單元根據(jù)控制信息和認(rèn)證協(xié)議進(jìn)行認(rèn)證服務(wù)處理,完成認(rèn)證回路。
5.2訪問控制模型
訪問控制模型一般由主體、客體、控制中心、訪問控制器以及規(guī)則數(shù)據(jù)庫組成,如圖6所示。訪問控制器包括執(zhí)行部件和授權(quán)部件兩大部分[8]。執(zhí)行部件根據(jù)訪問規(guī)則和授權(quán)關(guān)系實(shí)現(xiàn)對主體訪問客體的控制,它要驗(yàn)證訪問的有效性和合法性,記錄訪問事件,杜絕非法訪問;授權(quán)部件根據(jù)控制策略選擇訪問控制類型,根據(jù)不同的控制類型與方式建立和維護(hù)訪問規(guī)則和授權(quán)關(guān)系,包括能力表、訪問表等,并將它們保存在數(shù)據(jù)庫中。主體不能繞過訪問控制器直接存取客體。主體在必要的時候,可攜帶訪問令牌,該令牌由授權(quán)部件核發(fā),并經(jīng)過完整性、真實(shí)性保護(hù),提交訪問請求時,它由執(zhí)行部件驗(yàn)證。一般情況下,訪問令牌具有時效性??刂浦行耐ㄟ^反饋通道采集用戶訪問行為,并通過大數(shù)據(jù)分析對異常訪問行為進(jìn)行分析處理,通過控制通道將處理結(jié)果通過控制通道傳遞給訪問控制器。綜上所述,訪問控制的控制結(jié)構(gòu)如圖7所示。訪問控制器的授權(quán)部件屬于控制單元,它根據(jù)系統(tǒng)的控制策略、主體的訪問請求和被控對象的信息,針對不同的控制方式形成訪問能力表(針對自主訪問控制下的主體)、訪問控制表(針對自主訪問控制下的客體)和訪問控制規(guī)則(針對強(qiáng)制訪問控制與基于角色的訪問控制),并傳遞給作為執(zhí)行單元的執(zhí)行部件執(zhí)行。同時,控制單元還可建立被控對象的安全標(biāo)記(用于強(qiáng)制訪問控制),也可根據(jù)主體的訪問請求核發(fā)訪問令牌,這些控制信息均屬于前饋控制信息流。在具體執(zhí)行訪問控制時,受控對象向執(zhí)行單元提交安全標(biāo)記或訪問令牌,執(zhí)行單元根據(jù)訪問控制表或控制規(guī)則實(shí)施具體的訪問控制,并將訪問事件記錄在案,反饋給控制單元??腕w所在系統(tǒng)的日志信息也會被反饋給控制單元,由控制單元根據(jù)反饋信息做出訪問權(quán)限的調(diào)整[9]。
5.3邊界控制模型
邊界控制可以分為外網(wǎng)邊界控制和內(nèi)網(wǎng)邊界控制。外網(wǎng)邊界控制通常作用于內(nèi)網(wǎng)與外網(wǎng)之間,明確哪些數(shù)據(jù)包能夠離開或者進(jìn)入內(nèi)網(wǎng),防止其到達(dá)目的主機(jī)[10]。內(nèi)網(wǎng)邊界控制主要作用于內(nèi)網(wǎng)終端上,明確哪些終端能夠接入內(nèi)網(wǎng),防止未授權(quán)終端接入內(nèi)網(wǎng)。外網(wǎng)邊界控制模型一般由內(nèi)網(wǎng)、外網(wǎng)、控制中心、邊界控制服務(wù)和相應(yīng)的過濾規(guī)則組成,如圖8所示。邊界控制服務(wù)器根據(jù)需求設(shè)置相應(yīng)的過濾規(guī)則,進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包應(yīng)根據(jù)規(guī)則進(jìn)行相應(yīng)判斷,符合過濾規(guī)則的數(shù)據(jù)才能進(jìn)行轉(zhuǎn)發(fā)??刂浦行耐ㄟ^反饋通道采集用戶邊界服務(wù)行為,并通過大數(shù)據(jù)分析對異常邊界服務(wù)行為進(jìn)行分析處理,通過控制通道將處理結(jié)果通過控制通道傳遞給邊界控制器。邊界控制器中的執(zhí)行部件根據(jù)過濾規(guī)則和控制信息實(shí)現(xiàn)對內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)通信的控制。綜上所述,外網(wǎng)邊界控制的控制結(jié)構(gòu)如圖9所示。當(dāng)受控對象根據(jù)過濾規(guī)則執(zhí)行外網(wǎng)邊界控制服務(wù)時,控制單元能夠采集受控對象信息以及邊界服務(wù),通過控制中心進(jìn)行大數(shù)據(jù)分析后,將控制結(jié)果通過控制回路反饋給受控對象,同時將控制信息反饋給執(zhí)行單元,執(zhí)行單元根據(jù)控制信息和過濾規(guī)則進(jìn)行邊界服務(wù)處理,完成邊界控制回路。內(nèi)網(wǎng)邊界控制主要作用于用戶終端。邊界控制服務(wù)器根據(jù)交換機(jī)端口、終端IP地址以及MAC地址對用戶終端接入內(nèi)網(wǎng)權(quán)限進(jìn)行判定??刂浦行耐ㄟ^反饋通道能夠采集終端接入子網(wǎng)的接入行為,并進(jìn)行大數(shù)據(jù)分析和風(fēng)險(xiǎn)評估,邊界控制服務(wù)器根據(jù)自身設(shè)定的規(guī)則和控制中心處理結(jié)果對終端接入子網(wǎng)的行為進(jìn)行控制。
6結(jié)語
關(guān)鍵詞:計(jì)算機(jī)安全;網(wǎng)絡(luò)安全;計(jì)算機(jī)管理;安全防護(hù)體系;工業(yè)控制系統(tǒng)
中圖分類號:TP393.08
企業(yè)的計(jì)算機(jī)技術(shù)迅猛發(fā)展,計(jì)算機(jī)在生產(chǎn)中發(fā)揮著越來越重要的作用,同時,計(jì)算機(jī)安全面臨前所未有的威脅,普通的網(wǎng)絡(luò)連通是無法滿足要求的,針對企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方面存在的缺陷,簡單的技術(shù)防范措施已無法解決。必須采用先進(jìn)的技術(shù)、加強(qiáng)先進(jìn)設(shè)施和有效的計(jì)算機(jī)安全技術(shù)手段,形成保證計(jì)算機(jī)信息安全的各項(xiàng)防護(hù)措施,只有這樣,才能提高企業(yè)的生產(chǎn)效率,保證企業(yè)的快速發(fā)展。
1建立計(jì)算機(jī)網(wǎng)絡(luò)安全架構(gòu)
計(jì)算機(jī)信息安全架構(gòu)必須按照計(jì)算機(jī)安全防護(hù)措施體系建立,但僅依靠技術(shù)的防范是保證不了信息的安全,只有根據(jù)計(jì)算機(jī)安全的自身特點(diǎn),建立先進(jìn)的計(jì)算機(jī)安全運(yùn)行機(jī)制,完善企業(yè)計(jì)算機(jī)安全技術(shù)和管理機(jī)制,才能從技術(shù)和管理上保證企業(yè)計(jì)算機(jī)信息安全。
1.1計(jì)算機(jī)安全防護(hù)關(guān)鍵技術(shù)
由操作系統(tǒng)安全技術(shù)、防火墻(Firewall)、入侵檢測技術(shù)、應(yīng)用系統(tǒng)安全技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)反病毒技術(shù)、漏洞掃描技術(shù)、虛擬局域網(wǎng)(VLAN)和電磁泄漏發(fā)射防護(hù)技術(shù)等構(gòu)成了網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。
1.2企業(yè)計(jì)算機(jī)安全防護(hù)措施
企業(yè)計(jì)算機(jī)安全防護(hù)措施是由安全操作系統(tǒng)、應(yīng)用系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、身份認(rèn)證技術(shù)、計(jì)算機(jī)防病毒及電磁泄漏發(fā)射防護(hù)等多個安全組件共同組成的,每個組件只能完成其中部分功能。
(1)操作系統(tǒng)安全。Windows操作系統(tǒng)的安全由以下內(nèi)容:
1)Windows的密碼系統(tǒng)。使用安全帳戶管理器,建立系統(tǒng)用戶名和密碼。
2)Windows操作系統(tǒng)安全配置。有選擇地安裝組件,關(guān)閉危險(xiǎn)的服務(wù)和端口,正確的設(shè)置和管理賬戶,正確的設(shè)置目錄和文件權(quán)限,設(shè)置文件訪問權(quán)限,禁止建立空連接。
3)Windows系統(tǒng)更新和日常維護(hù)。通過本地安全策略中的Windows組件服務(wù),設(shè)定Windows系統(tǒng)更新時間、更新源以及相關(guān)信息,建立補(bǔ)丁分布服務(wù)器器系統(tǒng) WSUS (Windows Server Up Services)實(shí)現(xiàn)操作系統(tǒng)的升級服務(wù)。Windows操作系統(tǒng)是一個非常開放,同時非常脆弱的系統(tǒng),需用維護(hù)人員定期和日常維護(hù)。
(2)應(yīng)用系統(tǒng)安全技術(shù)。應(yīng)用系統(tǒng)是信息系統(tǒng)重要組成部分,目前,針對應(yīng)用系統(tǒng)B/S架構(gòu)建立應(yīng)用系統(tǒng)的數(shù)據(jù)庫防護(hù)措施,如:數(shù)據(jù)庫加密、數(shù)據(jù)庫安全配置,這樣才能避免因受攻擊而導(dǎo)致數(shù)據(jù)破壞或丟失。
(3)防火墻。防火墻主要用于提供計(jì)算機(jī)網(wǎng)絡(luò)邊界防護(hù)和構(gòu)建安全域,可防止“非法用戶”進(jìn)入網(wǎng)絡(luò),可以限制外部用戶進(jìn)入內(nèi)部網(wǎng),同時過濾掉危及網(wǎng)絡(luò)的不安全服務(wù),拒絕非法用戶的進(jìn)入。同時可利用其產(chǎn)品的安全機(jī)制建立VPN(Virtual Private Networks)。通過VPN,能夠更安全地從異地聯(lián)入內(nèi)部網(wǎng)絡(luò)。但防火墻的防護(hù)是有限的需要配合其他安全措施來協(xié)同防范。
(4)入侵檢測系統(tǒng)(IDS/Intrasion Detection System)。入侵檢測系統(tǒng)是一種計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng),當(dāng)入侵者試圖通過各種途徑進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時,它能夠檢測出來,進(jìn)行報(bào)警,采取相應(yīng)措施進(jìn)行響應(yīng)。它的功能和防火墻有很大的區(qū)別,它是防火墻的合理補(bǔ)充,幫助識別防火墻通常不能識別的攻擊,提高信息系統(tǒng)基礎(chǔ)結(jié)構(gòu)的完整性。其主要功能有:監(jiān)控并分析用戶和系統(tǒng)的活動、異常行為模式的統(tǒng)計(jì)分析、對操作系統(tǒng)的校驗(yàn)管理、檢查系統(tǒng)配置和漏洞、識別已知攻擊的活動模式等。入侵檢測系統(tǒng)是作為一種主動的安全防護(hù)技術(shù),通過技術(shù)手段,進(jìn)行實(shí)時的入侵檢測和事后的完整性分析。
(5)漏洞掃描系統(tǒng)。通過漏洞掃描軟件對漏洞進(jìn)行預(yù)警,發(fā)現(xiàn)漏洞進(jìn)行相應(yīng)修復(fù)。
(6)計(jì)算機(jī)防病毒系統(tǒng)。近年來,計(jì)算機(jī)病毒通過多種途徑進(jìn)入企業(yè)計(jì)算機(jī),因此,企業(yè)計(jì)算機(jī)的防病毒工作形式日益嚴(yán)峻,針對計(jì)算機(jī)病毒的威脅,建立防病毒系統(tǒng)的防護(hù)策略,定期進(jìn)行病毒庫升級、查殺,有效地控制病毒的傳播,保證計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定。
(7)電磁泄漏發(fā)射防護(hù)。為了保證計(jì)算機(jī)信息安全必須建立電磁泄漏發(fā)射防護(hù)措施,確保計(jì)算機(jī)設(shè)備不被具有無線發(fā)射與接受功能的設(shè)備如:手機(jī)、無線網(wǎng)絡(luò)裝置等侵入。
(8)路由器和交換機(jī)。路由器和交換機(jī)是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)設(shè)備,路由器是黑客通過互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)首要攻擊的目標(biāo),因此路由器必須在技術(shù)上安裝必要的安全規(guī)則,濾掉安全隱患的IP 地址和服務(wù)。例如:首先屏蔽所有的IP 地址,然后有選擇地允許打開一些地址進(jìn)入網(wǎng)絡(luò)。路由器也可以過濾服務(wù)協(xié)議,放行需要的協(xié)議通過,而過濾掉其他有安全隱患的協(xié)議。目前企業(yè)內(nèi)部網(wǎng)大多采用以三層網(wǎng)絡(luò)為中心、路由器為邊界的內(nèi)部網(wǎng)絡(luò)格局。對于交換機(jī),按規(guī)模一般大型網(wǎng)絡(luò)分為核心、匯聚、接入;中小型分為核心和接入架構(gòu)。核心交換機(jī)最關(guān)鍵的工作是訪問控制功能。訪問控制就是交換機(jī)就是利用訪問控制列表ACL對數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行過濾和篩選。此外,為實(shí)現(xiàn)網(wǎng)絡(luò)安全的運(yùn)行通常采用一項(xiàng)非常關(guān)鍵的工作就是劃分虛擬局域網(wǎng)(VLAN),通過使用網(wǎng)絡(luò)交換機(jī)管理軟件,對交換機(jī)進(jìn)行配置完成,有利于計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)。
(9)身份認(rèn)證系統(tǒng)。通常為了能夠更好地保護(hù)應(yīng)用服務(wù)器不被非法訪問,可以將身份認(rèn)證系統(tǒng)串接在終端與應(yīng)用服務(wù)器之間,用戶需要訪問身份認(rèn)證系統(tǒng)后面的應(yīng)用系統(tǒng)服務(wù)器時,首先需要通過身份認(rèn)證系統(tǒng)的認(rèn)證,認(rèn)證通過后,身份認(rèn)證系統(tǒng)自動將用戶身份傳遞給應(yīng)用系統(tǒng)。
2計(jì)算機(jī)安全防護(hù)管理
計(jì)算機(jī)安全防護(hù)技術(shù)對保障信息安全極其重要,但是,要確保信息安全還很不夠,有效的技術(shù)手段只是計(jì)算機(jī)安全的基礎(chǔ)工作。只有建立嚴(yán)格的企業(yè)計(jì)算機(jī)安全管理制度,按制度進(jìn)行嚴(yán)格周密的管理,才能充分發(fā)揮計(jì)算機(jī)安全防護(hù)的效能,才能真正使計(jì)算機(jī)及網(wǎng)絡(luò)安全信息得到最可靠的保證。
3工業(yè)控制系統(tǒng)的安全防護(hù)
工信部2011年10月下發(fā)了“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)的安全管理,否則將影響到我國重要生產(chǎn)設(shè)施的安全。根據(jù)工業(yè)控制系統(tǒng)安全防護(hù)的特點(diǎn),在實(shí)施安全防護(hù)中,提出了分層、分域、分等級,構(gòu)建三層架構(gòu),二層防護(hù)的工業(yè)控制系統(tǒng)安全體系架構(gòu)思想。三層架構(gòu)分別是計(jì)劃管理層,制造執(zhí)行層,工業(yè)控制層。二層防護(hù)指管理層與制造執(zhí)行(MES)層之間的安全防護(hù);再就是制造執(zhí)行(MES)與工業(yè)控制層之間的安全防護(hù)。
4結(jié)束語
目前企業(yè)計(jì)算機(jī)安全已經(jīng)深入到企業(yè)生產(chǎn)管理、客戶服務(wù)、物流和營銷及工業(yè)控制等各個領(lǐng)域。建立計(jì)算機(jī)信息安全防護(hù)措施是一個復(fù)雜而又龐大的系統(tǒng)工程,涉及的問題也比較多。只有不斷對計(jì)算機(jī)安全措施進(jìn)行深入的研究和探討,提高信息安全專業(yè)人員的技術(shù)技能。更重要的是加強(qiáng)計(jì)算機(jī)安全管理,管理不到位,再多的技術(shù)也無能為力,只有充分發(fā)揮了人的作用,才能更好地實(shí)現(xiàn)信息系統(tǒng)安全,保證企業(yè)信息化建設(shè)的持續(xù)發(fā)展。
參考文獻(xiàn):
[1]嚴(yán)體華,張凡.網(wǎng)絡(luò)管理員教程[M].第三版.北京:清華大學(xué)出版社,2009.
[2]林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].北京:機(jī)械工業(yè)出版社,2004.
[3]季一木,唐家邦,潘俏羽,匡子卓.一種云計(jì)算安全模型與架構(gòu)設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全,2012,6:6-8.