控制系統(tǒng)網(wǎng)絡(luò)安全范文

時(shí)間:2023-03-22 05:15:36

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇控制系統(tǒng)網(wǎng)絡(luò)安全,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

篇1

1過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)與風(fēng)險(xiǎn)點(diǎn)

改革開(kāi)放以來(lái),我國(guó)石油化工企業(yè)的自動(dòng)化和信息化水平,無(wú)論在裝備上、技術(shù)水平上、功能與規(guī)模上都有了較大的發(fā)展。測(cè)量和控制裝置不斷更新升級(jí),DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]。而由DCS、PLC和FCS等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)在石化行業(yè)中也得到了廣泛的應(yīng)用。

1.1過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)過(guò)程控制系統(tǒng)的網(wǎng)絡(luò)與傳統(tǒng)的IT網(wǎng)絡(luò)不同,具有以下特點(diǎn)。1)較高的實(shí)時(shí)性和可靠性。過(guò)程控制系統(tǒng)網(wǎng)絡(luò)主要需要保證所有傳輸數(shù)據(jù)的實(shí)時(shí)性以及網(wǎng)絡(luò)的可靠性,在傳輸過(guò)程中不允許有中斷出現(xiàn),需要整個(gè)傳輸過(guò)程始終在系統(tǒng)的可控范圍內(nèi),不能出現(xiàn)失控的狀態(tài)。2)專有通信協(xié)議。早先每一個(gè)過(guò)程控制系統(tǒng)供應(yīng)商都有自己獨(dú)自研發(fā)的專有通信協(xié)議,但隨著過(guò)程控制系統(tǒng)的網(wǎng)絡(luò)面逐漸擴(kuò)大,而在彼此的通信傳輸中需要進(jìn)行轉(zhuǎn)換,不同通訊協(xié)議導(dǎo)致的不便捷性逐漸顯露出來(lái)。近幾年隨著系統(tǒng)開(kāi)放性呼聲越來(lái)越高,在行業(yè)內(nèi)部出現(xiàn)了一些開(kāi)放的公用的專有通信協(xié)議,例如OPC,ModbusTCP,現(xiàn)場(chǎng)總線(Foundation/Hart/Profibus)等。3)相對(duì)的獨(dú)立性。過(guò)程控制系統(tǒng)通常都是根據(jù)工藝設(shè)備的要求而進(jìn)行獨(dú)立設(shè)計(jì),所以無(wú)論從前期網(wǎng)絡(luò)設(shè)計(jì)到實(shí)際物理安裝,整個(gè)控制系統(tǒng)網(wǎng)絡(luò)都是相當(dāng)獨(dú)立的,不會(huì)與其他任何應(yīng)用存在交聯(lián)部分。在與外界交互的通道上僅僅開(kāi)放OPCServer一個(gè)接口,通過(guò)OPC工業(yè)通信協(xié)議與外部進(jìn)行數(shù)據(jù)交換。4)較長(zhǎng)的產(chǎn)品更新周期。過(guò)程控制系統(tǒng)產(chǎn)品不以追求設(shè)備的先進(jìn)性為目標(biāo),更多地是強(qiáng)調(diào)安全性與穩(wěn)定性。所以結(jié)合實(shí)際工藝生產(chǎn)以及設(shè)備投資來(lái)進(jìn)行綜合考慮,過(guò)程控制系統(tǒng)通常具有較長(zhǎng)的更新周期,這樣就導(dǎo)致系統(tǒng)操作平臺(tái)的安全漏洞得不到及時(shí)的維護(hù)。5)與殺毒軟件兼容性差。目前市場(chǎng)上的殺毒軟件廠商基本都是針對(duì)常用的應(yīng)用軟件進(jìn)行兼容性測(cè)試,針對(duì)市場(chǎng)上使用頻率較高的軟件進(jìn)行病毒防治策略的研究。而在網(wǎng)絡(luò)中基于Windows平臺(tái)上安裝的所有過(guò)程控制軟件,幾乎沒(méi)有殺毒軟件廠商對(duì)其進(jìn)行過(guò)完整的兼容性測(cè)試。這種情況同樣也適應(yīng)于過(guò)程控制系統(tǒng)制造商,各家控制系統(tǒng)制造商一般只認(rèn)可少數(shù)幾種防病毒軟件,所以在工控領(lǐng)域的操作層級(jí)進(jìn)行統(tǒng)一部署防護(hù)策略是一件很困難的事。

1.2過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)點(diǎn)根據(jù)對(duì)過(guò)程控制系統(tǒng)結(jié)構(gòu)的分析,通常易受病毒侵襲的主要風(fēng)險(xiǎn)點(diǎn)主要有“數(shù)據(jù)采集網(wǎng)絡(luò)的連接”,“先進(jìn)過(guò)程控制站的連接”,“操作站”之間的三處連接。1)與數(shù)據(jù)采集網(wǎng)絡(luò)的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機(jī),但無(wú)其他任何防護(hù)措施。雖然OPC數(shù)據(jù)采集機(jī)采用雙網(wǎng)卡配置,并已經(jīng)將控制網(wǎng)與信息網(wǎng)進(jìn)行隔離,信息網(wǎng)已經(jīng)無(wú)法對(duì)控制網(wǎng)進(jìn)行操縱攻擊,但是雙網(wǎng)卡結(jié)構(gòu)的配置,對(duì)病毒的傳播沒(méi)有任何阻擋作用,所以來(lái)自上層信息網(wǎng)對(duì)控制網(wǎng)的病毒感染是目前的最大隱患。2)先進(jìn)控制過(guò)程站的病毒感染隱患例如先進(jìn)控制過(guò)程站通??梢杂绍浖?yīng)商進(jìn)行自由操作,先進(jìn)控制過(guò)程站本身并無(wú)任何防護(hù)措施,具有較高的病毒感染風(fēng)險(xiǎn)。首先先進(jìn)控制過(guò)程站的安裝、調(diào)試、運(yùn)行一般需要較長(zhǎng)的時(shí)間,而且需要項(xiàng)目工程師進(jìn)行不斷的調(diào)試、修改。期間先進(jìn)控制過(guò)程站需要頻繁與外界進(jìn)行數(shù)據(jù)交換,這給先進(jìn)控制過(guò)程站本身帶來(lái)很大感染病毒的風(fēng)險(xiǎn)。一旦先進(jìn)控制過(guò)程站受到病毒感染,其對(duì)實(shí)時(shí)運(yùn)行的控制系統(tǒng)安全會(huì)造成極大隱患。另外先進(jìn)過(guò)程控制站是應(yīng)用OPC通信協(xié)議進(jìn)行數(shù)據(jù)通信的,所以采用常規(guī)IT策略(例如常規(guī)的通用防火墻)無(wú)法提供適宜的防護(hù)。3)操作站互相感染的隱患目前大多數(shù)操作站都運(yùn)行一個(gè)工作網(wǎng)絡(luò)中,但在網(wǎng)絡(luò)內(nèi)部沒(méi)有采取任何有效防護(hù)措施。而工業(yè)平臺(tái)基本采用PC+Windows架構(gòu),同時(shí)也廣泛應(yīng)用以太網(wǎng)進(jìn)行連接,TCP,STMP,POP3,ICMP,Netbios等大量開(kāi)放的通信協(xié)議被廣泛應(yīng)用。但活躍在這些通訊協(xié)議上的木馬、蠕蟲(chóng)等計(jì)算機(jī)病毒也具有一定的規(guī)模。目前普通的防火墻無(wú)法實(shí)現(xiàn)工業(yè)通信協(xié)議的過(guò)濾,所以當(dāng)網(wǎng)絡(luò)中某個(gè)操作站或工程師站感染病毒時(shí),可能會(huì)馬上通過(guò)數(shù)據(jù)交換傳播到該工作網(wǎng)絡(luò)中的其他PC機(jī)上,這就容易造成網(wǎng)絡(luò)上所有操作站同時(shí)發(fā)生故障,嚴(yán)重時(shí)可導(dǎo)致所有操作站同時(shí)失控,甚至造成不可估計(jì)的損失。

2防護(hù)措施與建議

通過(guò)考慮石油化工過(guò)程控制系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)和安全設(shè)計(jì),同時(shí)參考保護(hù)層理論,列出了硬件、網(wǎng)絡(luò)通信預(yù)防手段、殺毒軟件預(yù)防手段、網(wǎng)絡(luò)管理規(guī)章制度、良好的個(gè)人工作習(xí)慣等多個(gè)“保護(hù)層”,下圖為石油化工過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型。圖1石油化工過(guò)程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型根據(jù)上圖列出的各個(gè)風(fēng)險(xiǎn)點(diǎn),可以參考以下措施進(jìn)行有針對(duì)性的安全防護(hù)。

2.1設(shè)置防火墻相關(guān)單位或部門應(yīng)該針對(duì)過(guò)程控制系統(tǒng)設(shè)置防火墻。防火墻是一項(xiàng)信息安全的防護(hù)系統(tǒng),依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。在網(wǎng)絡(luò)通信中采用防火墻,它能允許系統(tǒng)預(yù)設(shè)的人員和數(shù)據(jù)(白名單)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門外,可以最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)公司內(nèi)部網(wǎng)絡(luò),在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造一道保護(hù)屏障,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm、瑞星個(gè)人防火墻、卡巴斯基等均有完善的白名單以及黑名單設(shè)置,管理員可以根據(jù)相應(yīng)的軟件說(shuō)明書(shū)和自身狀況進(jìn)行詳細(xì)設(shè)置。

2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過(guò)程控制系統(tǒng)工業(yè)計(jì)算機(jī)上安裝相應(yīng)的殺毒軟件,以降低電腦病毒、特洛伊木馬和惡意軟件等感染計(jì)算機(jī)的概率。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能,有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能,是計(jì)算機(jī)防御系統(tǒng)(包含殺毒軟件,防火墻,特洛伊木馬和其他惡意軟件的查殺程序,入侵預(yù)防系統(tǒng)等)的重要組成部分。但是需要注意的是,有的時(shí)候殺毒軟件會(huì)對(duì)工業(yè)計(jì)算機(jī)上的一些正常行為誤報(bào)為病毒或木馬。這時(shí)候就需要網(wǎng)絡(luò)安全管理人員在安裝殺毒軟件的同時(shí),將已確認(rèn)的工業(yè)正常行為錄入殺毒軟件的信任列表,以避免誤刪重要程序或?qū)е孪到y(tǒng)停機(jī)的情況發(fā)生。

2.3建立完善的規(guī)章管理制度公司應(yīng)建立完善的網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章制度,安排專人(網(wǎng)絡(luò)安全管理人員)負(fù)責(zé)公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行工作。同時(shí)設(shè)置一定的權(quán)限,以阻止管理員之外的人員進(jìn)行隨意操作與變更。

篇2

論文摘要: 隨著信息的發(fā)展,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)引起越來(lái)越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入,校園網(wǎng)上各種數(shù)據(jù)急劇增加,結(jié)構(gòu)性不斷提高,用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高,網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手,就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點(diǎn)淺見(jiàn)。 

 

1 校園網(wǎng)的概念 

簡(jiǎn)單地說(shuō),校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個(gè)寬帶,互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。 

2 校園網(wǎng)的特點(diǎn) 

校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn): 

1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易于管理;5)提供可運(yùn)營(yíng)的特性;6)經(jīng)濟(jì)實(shí)用。 

3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求 

3.1 用戶安全 

用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。 

1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對(duì)信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對(duì)管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對(duì)于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。 

2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對(duì)業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。 

3.2 網(wǎng)絡(luò)硬環(huán)境安全 

通過(guò)調(diào)研分析,初步定為有以下需求: 

1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對(duì)進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問(wèn)控制與隔離,重點(diǎn)對(duì)源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對(duì)這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。 

3.3 網(wǎng)絡(luò)軟環(huán)境安全 

網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對(duì)于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對(duì)保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。 

3.4 傳輸安全 

數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。 

4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施 

4.1 通過(guò)使用訪問(wèn)控制及內(nèi)外網(wǎng)的隔離 

訪問(wèn)控制體現(xiàn)在如下幾個(gè)方面: 

1)要制訂嚴(yán)格的規(guī)章管理制度:可制定的相應(yīng):《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。 

2)要配備相應(yīng)的軟硬件安全設(shè)備:在內(nèi)部網(wǎng)與外部網(wǎng)之間,在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制,保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能:過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;封堵某些禁止的業(yè)務(wù);記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警。防火墻主要類型有包過(guò)濾型,包過(guò)濾防火墻就是利用ip和tcp包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的ip包信息進(jìn)行過(guò)濾,能依據(jù)我們制定安全防范策略來(lái)控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,也可實(shí)現(xiàn)網(wǎng)絡(luò)ip地址轉(zhuǎn)換(nat)、審記與實(shí)時(shí)告警等功能。因?yàn)榉阑饓Π惭b在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上,所有也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。 

4.2 通過(guò)使用內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制 

主要是利用vlan技術(shù)來(lái)實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離??梢酝ㄟ^(guò)在交換機(jī)上劃分vlan可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。因此就能防止影響一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。對(duì)于某些網(wǎng)絡(luò),一部分局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任,或者某個(gè)網(wǎng)段比另一個(gè)更加敏感,在不同的譏an段內(nèi)劃分信任網(wǎng)段和不信任網(wǎng)段,就可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全部網(wǎng)絡(luò)造成的影響。 

4.3 通過(guò)使用網(wǎng)絡(luò)安全檢測(cè) 

根據(jù)短板原理,可以說(shuō)網(wǎng)絡(luò)系統(tǒng)的安全性完全取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。最有效的方法就是定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)準(zhǔn)確發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞,能及時(shí)準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),也能最大限度地保證網(wǎng)絡(luò)系統(tǒng)安全。 

網(wǎng)絡(luò)安全檢測(cè)工具是一款網(wǎng)絡(luò)安全性評(píng)估分析軟件,其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動(dòng)響應(yīng)功能,能及時(shí)找出經(jīng)常發(fā)生問(wèn)題的根源所在;建立必要的循環(huán)過(guò)程確保隱患時(shí)刻被糾正;及時(shí)控制各種網(wǎng)絡(luò)安全危險(xiǎn);進(jìn)行漏洞分析和響應(yīng);進(jìn)行配置分析和響應(yīng);進(jìn)行認(rèn)證和趨勢(shì)分析。 

它的主要功能就是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,建議采用補(bǔ)救措施和安全策略,從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。 

 

參考文獻(xiàn): 

[1]劉俊、姜廣明等,校園網(wǎng)絡(luò)規(guī)劃和實(shí)施[j].沈陽(yáng)化工學(xué)院學(xué)報(bào),2004年第一期. 

篇3

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)配置要求;安全系統(tǒng);施工過(guò)程;質(zhì)量控制

中圖分類號(hào):TP393.1文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 03-0000-02

The Quality Control of Residential District Network and Information Security Systems

Li Junling

(Harbin University of Commercial,Harbin150028,China)

Abstract:The residential area network and information security systems are linked together through a variety of control devices,sensors and actuators to achieve real-time information exchange,management and control via the fieldbus,Ethernet or broadband access network.This paper describes the quality control of the living cell network and information security systems to protect the quality of the project,the purpose of improving service quality.

Keywords:Computer network system configuration requirements;

Security system;Construction process;Quality control

一、引言

居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)的網(wǎng)絡(luò)是以廣域網(wǎng)、局域網(wǎng)和現(xiàn)場(chǎng)總線為物理集成平臺(tái)的多功能管理與控制相結(jié)合的綜合智能網(wǎng)。它的功能強(qiáng)大、結(jié)構(gòu)復(fù)雜,應(yīng)充分考慮現(xiàn)有技術(shù)的成熟程度和可升級(jí)性來(lái)確定居住小區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)。

(一)居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)配置要求的質(zhì)量控制

1.按國(guó)家城鎮(zhèn)建設(shè)行業(yè)標(biāo)準(zhǔn)CJ/T×××―2001中的要求進(jìn)行檢查。居住區(qū)寬帶接入網(wǎng)可采用FTTX,HFC和XDSL中任一種與其組合,或按設(shè)計(jì)要求采用其他類型的數(shù)據(jù)網(wǎng)絡(luò)。

2.居住區(qū)寬帶接入網(wǎng)應(yīng)提供如下功能:①支持用戶開(kāi)戶/銷戶,用戶流量時(shí)間統(tǒng)計(jì),用戶流量控制等管理功能;②應(yīng)提供安全的網(wǎng)絡(luò)保障;③居住區(qū)寬帶接入網(wǎng)應(yīng)提供本地計(jì)費(fèi)或遠(yuǎn)端撥號(hào)用戶認(rèn)證(RADIUS)的計(jì)費(fèi)功能。

3.控制網(wǎng)中有關(guān)信息或基于IP協(xié)議傳輸?shù)闹悄芙K端,應(yīng)通過(guò)居住區(qū)寬帶接入網(wǎng)集成到居住區(qū)物業(yè)管理中心計(jì)算機(jī)系統(tǒng)中,便于統(tǒng)一管理,資源共享。

(二)居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)提供信息服務(wù)的內(nèi)容

居住小區(qū)計(jì)算機(jī)網(wǎng)絡(luò)提供信息服務(wù)包括Internet網(wǎng)接入服務(wù)、娛樂(lè)、商業(yè)服務(wù)、教育、醫(yī)療保健、電子銀行、家政服務(wù)、建立住戶個(gè)人電子信箱和個(gè)人網(wǎng)頁(yè)和資訊等內(nèi)容

二、居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)質(zhì)量控制要求

網(wǎng)絡(luò)安全問(wèn)題涉及網(wǎng)絡(luò)和信息技術(shù)各個(gè)層面的持續(xù)過(guò)程,從HUB交換機(jī)、服務(wù)器到PC機(jī),磁盤的存取,局域網(wǎng)上的信息互通以及Internet的駁接等各個(gè)環(huán)節(jié),均會(huì)引起網(wǎng)絡(luò)的安全,所以網(wǎng)絡(luò)內(nèi)的產(chǎn)品(包括硬件和軟件)均應(yīng)嚴(yán)格把關(guān)。

1.定購(gòu)硬件和軟件產(chǎn)品時(shí),應(yīng)遵循一定的指導(dǎo)方針,(如非盜版軟件)確保安全。

2.任何網(wǎng)絡(luò)內(nèi)產(chǎn)品的采購(gòu)必須經(jīng)過(guò)審批。

3.對(duì)于所有的新系統(tǒng)和軟件必須經(jīng)過(guò)投資效益分析和風(fēng)險(xiǎn)分析。

4.網(wǎng)絡(luò)安全系統(tǒng)的產(chǎn)品均應(yīng)符合設(shè)計(jì)(或合同)要求的產(chǎn)品說(shuō)明書(shū)、合格證或驗(yàn)證書(shū)。

三、居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系施工過(guò)程質(zhì)量控制要點(diǎn)

按照有關(guān)對(duì)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)要求,在網(wǎng)絡(luò)安裝的各個(gè)環(huán)節(jié)進(jìn)行監(jiān)督指導(dǎo)。

1.防火墻的設(shè)置。應(yīng)阻擋外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)和窺探,控制內(nèi)部用戶的不合理流量,同時(shí),它也能進(jìn)一步屏蔽了內(nèi)部網(wǎng)絡(luò)的拓補(bǔ)細(xì)節(jié),便于保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。

2.服務(wù)器的裝置。應(yīng)保證局域網(wǎng)用戶可以安全的訪問(wèn)Internet提供的各種服務(wù)而局域網(wǎng)無(wú)須承擔(dān)任何風(fēng)險(xiǎn)。

3.網(wǎng)絡(luò)中要有備份和容錯(cuò)。

4.操作系統(tǒng)必須符合美國(guó)國(guó)家計(jì)算機(jī)安全委員會(huì)的C2級(jí)安全性的要求。

5.對(duì)網(wǎng)絡(luò)安全防御的其他手段,如IDS入侵檢測(cè)系統(tǒng),密罐和防盜鈴,E-mail安全性,弱點(diǎn)掃描器,加密與網(wǎng)絡(luò)防護(hù)等均應(yīng)一一檢查。

6.應(yīng)檢查“系統(tǒng)安全策略”內(nèi)容是否符合實(shí)際要求。對(duì)于信息系統(tǒng)管理員還包括安全協(xié)定,E-mail系統(tǒng)維護(hù)協(xié)定和網(wǎng)絡(luò)管理協(xié)定等,確保所有的系統(tǒng)管理人員能夠及時(shí)報(bào)告問(wèn)題和防止權(quán)力濫用。最好建議印成安全手冊(cè)或于內(nèi)部網(wǎng)上,使每個(gè)員工都能得到準(zhǔn)確的信息。

7.網(wǎng)絡(luò)宜建立應(yīng)及事件反映處理小組,并制定災(zāi)難計(jì)劃,尤其是提出保證系統(tǒng)恢復(fù)所需的硬件環(huán)境和有關(guān)人員。

8.應(yīng)用系統(tǒng)安全性應(yīng)滿足以下要求:

(1)身份認(rèn)證:嚴(yán)格管理用戶帳號(hào),要求用戶必須使用滿足安全要求的口令。

(2)訪問(wèn)控制:必須在身份認(rèn)證的基礎(chǔ)上根據(jù)用戶及資源對(duì)象實(shí)施訪問(wèn)控制;用戶能正確訪問(wèn)其獲得授權(quán)的對(duì)象資源,同時(shí)不能訪問(wèn)未獲得授權(quán)的資源時(shí),判為合格。

9.操作系統(tǒng)安全性應(yīng)滿足以下要求:

(1)操作系統(tǒng)版本應(yīng)使用經(jīng)過(guò)實(shí)踐檢驗(yàn)的具有一定安全強(qiáng)度的操作系統(tǒng)。

(2)使用安全性較高的文件系統(tǒng)。

(3)嚴(yán)格管理操作系統(tǒng)的用戶帳號(hào),要求用戶必須使用滿足安全要求的口令。

10.信息安全系統(tǒng)質(zhì)量驗(yàn)收要求:

(1)物理系統(tǒng)安全檢察(規(guī)章制度、電磁泄漏等)。

(2)信息安全測(cè)試(模擬攻擊測(cè)試、訪問(wèn)控制測(cè)試、安全隔離測(cè)試)。

(3)病毒系統(tǒng)測(cè)試(病毒樣本傳播測(cè)試)。

(4)入侵檢測(cè)系統(tǒng)測(cè)試(模擬攻擊測(cè)試)。

(5)操作系統(tǒng)檢查(文件系統(tǒng)、帳號(hào)、服務(wù)、審計(jì))。

(6)互聯(lián)網(wǎng)行為管理系統(tǒng)(訪問(wèn)控制測(cè)試)。

(7)應(yīng)用系統(tǒng)安全性檢查(身份認(rèn)證、訪問(wèn)控制、安全審計(jì)等)。

四、常見(jiàn)質(zhì)量問(wèn)題

1.無(wú)法保存撥號(hào)網(wǎng)絡(luò)連接的密碼。

2.發(fā)送的郵件有時(shí)會(huì)被退回來(lái)。

3.瀏覽中有時(shí)出現(xiàn)某些特定的錯(cuò)誤提示。

4.主機(jī)故障。

[現(xiàn)象]PC1機(jī)在進(jìn)行了一系列的網(wǎng)絡(luò)配置之后,仍無(wú)法正常連入總部局域網(wǎng)。如圖1網(wǎng)絡(luò)結(jié)構(gòu)所示。

圖1網(wǎng)絡(luò)結(jié)構(gòu)

說(shuō)明:某用戶新購(gòu)一臺(tái)PC1,通過(guò)已有HUB連入總部局域網(wǎng)。

[原因分析]

檢測(cè)線路,沒(méi)有發(fā)現(xiàn)問(wèn)題。然后,查主機(jī)的網(wǎng)絡(luò)配置,有配錯(cuò),該機(jī)的IP地址已被其他主機(jī)占用(如PC2),導(dǎo)致兩機(jī)的地址沖突。

[解決方法]

重新配置一個(gè)空閑合法地址后,故障排除。

總之,此類故障可歸納為主機(jī)故障,可分為以下幾類:

①主機(jī)的網(wǎng)絡(luò)配置不當(dāng);②服務(wù)設(shè)置為當(dāng);③未使用合法的網(wǎng)絡(luò)用戶名及密碼登錄到局域網(wǎng)上;④共享主機(jī)硬盤不當(dāng)。

解決的方法,目前只能是預(yù)防為主,并提高網(wǎng)絡(luò)安全防范意識(shí),盡量不讓非法用戶有可乘之機(jī)。

五、結(jié)束語(yǔ)

建立一個(gè)高效、安全、舒適的住宅小區(qū),必須有一套完整的高品質(zhì)住宅小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全布線系統(tǒng),按照用戶的需求報(bào)告,本著一切從用戶出發(fā)的原則,根據(jù)多年來(lái)的豐富施工經(jīng)驗(yàn),作出可靠性高及實(shí)用的技術(shù)配置方案,保障居住小區(qū)網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)工程質(zhì)量,提高網(wǎng)絡(luò)及信息服務(wù)安全系統(tǒng)的服務(wù)質(zhì)量。

參考文獻(xiàn):

[1]Chris Brenton,Cameron Hunt.網(wǎng)絡(luò)安全積極防御從入門到精通馮樹(shù)奇[M].金燕.北京:電子工業(yè)出版社,2001

[2]劉國(guó)林.綜合布線[M].上海:同濟(jì)大學(xué)出版社,1999

[3]楊志.建筑智能化系統(tǒng)及工程應(yīng)用[M].北京:化學(xué)工業(yè)出版社,2002

[4]沈士良.智能建筑工程質(zhì)量控制手冊(cè)[M].上海:同濟(jì)大學(xué)出版社,2002

[5]中國(guó)建設(shè)監(jiān)理協(xié)會(huì).建筑工程質(zhì)量控制[M].北京:中國(guó)建筑工業(yè)出版社,2003

[6]中國(guó)建設(shè)執(zhí)業(yè)網(wǎng).建筑物理與建筑設(shè)備[M].北京:中國(guó)建筑工業(yè)出版社,2006

[7]彭祖林.網(wǎng)絡(luò)系統(tǒng)集成工程項(xiàng)目投標(biāo)與施工[M].北京:國(guó)防工業(yè)出版社,2004

[8]姜湘山.高層建筑設(shè)備安裝工程指南[M].北京:機(jī)械工業(yè)出版社,2005

篇4

鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)應(yīng)用于多個(gè)方面,并且為其他行業(yè)做出鮮明的例子。合理的建立計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng),可以在計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)上建立一系列的安全系統(tǒng)平臺(tái)。合理的鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng),可以讓鐵路的客戶端避免病毒的侵害,并且減少網(wǎng)絡(luò)攻擊等方面的侵害。鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)為鐵路信息系統(tǒng)提供了一個(gè)堅(jiān)實(shí)的安全保障,讓鐵路信息系統(tǒng)在安全的環(huán)境下運(yùn)行,保證客戶資料的安全性。隨著信息化社會(huì)的不斷發(fā)展,鐵路的運(yùn)輸以及市場(chǎng)營(yíng)銷和物流行業(yè)的發(fā)展,鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全也在不斷的提升網(wǎng)絡(luò)安全程度,保證鐵路信息網(wǎng)絡(luò)的最大化安全。鐵路計(jì)算機(jī)的網(wǎng)絡(luò)安全,需要建立行業(yè)證書(shū)安全系統(tǒng)、訪問(wèn)控制系統(tǒng)、病毒防護(hù)系統(tǒng)等方面的安全系統(tǒng),這樣才能夠有效的保證鐵路計(jì)算機(jī)系統(tǒng)的安全性,讓鐵路計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)發(fā)揮最大化的作用。通過(guò)完善鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全,可以有效保證鐵路計(jì)算機(jī)在最大化的安全下運(yùn)行。

2鐵路計(jì)算機(jī)網(wǎng)絡(luò)安全的建設(shè)途徑

2.1三網(wǎng)隔離為了保證生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、外部服務(wù)網(wǎng)的安全,實(shí)現(xiàn)三網(wǎng)互相物理隔離,不得進(jìn)行三網(wǎng)直接連接。尤其生產(chǎn)網(wǎng)、內(nèi)部服務(wù)網(wǎng)的運(yùn)行計(jì)算機(jī)嚴(yán)禁上INTERNET。

2.2建立良好的鐵路行業(yè)數(shù)字證書(shū)系統(tǒng)良好的鐵路行業(yè)數(shù)字證書(shū)系統(tǒng)能夠有效的保證鐵路計(jì)算機(jī)網(wǎng)絡(luò)的安全,鐵路的數(shù)字證書(shū)主要包括簽名證書(shū)與加密證書(shū)。證書(shū)的管理系統(tǒng)有利于保證網(wǎng)絡(luò)和信息安全。鐵路行業(yè)的數(shù)字證書(shū)系統(tǒng)能夠有效的提高鐵路信息系統(tǒng)的安全,讓鐵路信息系統(tǒng)在一個(gè)安全的環(huán)境下運(yùn)行。證書(shū)系統(tǒng)加強(qiáng)了客戶身份的認(rèn)證機(jī)制,加強(qiáng)了訪問(wèn)者的信息安全,并且發(fā)生了不安全的問(wèn)題還有可以追查的可能。行業(yè)數(shù)字證書(shū)在鐵路信息系統(tǒng)中有效的防止了非法人員篡改鐵路信息的不良行為,并且對(duì)訪問(wèn)者提供了強(qiáng)大的保護(hù)手段。

2.3建立安全的訪問(wèn)控制系統(tǒng)安全的訪問(wèn)控制系統(tǒng),是整個(gè)鐵路計(jì)算機(jī)網(wǎng)絡(luò)中的核心。建立合理的訪問(wèn)控制系統(tǒng),可以防止用戶對(duì)鐵路資源的實(shí)際操作,隱藏鐵路應(yīng)用系統(tǒng)在網(wǎng)絡(luò)中的位置,在鐵路計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行中,保證用戶訪問(wèn)的安全性。根據(jù)用戶的選擇進(jìn)行網(wǎng)絡(luò)的授權(quán),可以有效的控制用戶對(duì)于鐵路資源的訪問(wèn),保證鐵路用戶合理的訪問(wèn)鐵路資源??刂葡到y(tǒng)可以針對(duì)不同的資源建立不同的訪問(wèn)控制系統(tǒng),建立多層次的訪問(wèn)控制系統(tǒng)??刂圃L問(wèn)系統(tǒng)構(gòu)成了鐵路計(jì)算機(jī)網(wǎng)絡(luò)的必經(jīng)之路,并且可以將不良的信息進(jìn)行有效的隔離與阻斷,確保鐵路網(wǎng)絡(luò)信息的安全性。建立有效的訪問(wèn)控制系統(tǒng),可以保證網(wǎng)絡(luò)訪問(wèn)的安全性和數(shù)據(jù)傳輸?shù)陌踩?,最大限度的保障鐵路計(jì)算機(jī)的信息安全。

2.4建立有效的病毒防護(hù)系統(tǒng)有效的病毒防護(hù)系統(tǒng)就相當(dāng)于殺毒軟件存在于電腦中的作用一樣,可以有效的防止病毒的入侵,控制進(jìn)出鐵路信息網(wǎng)的信息,保證信息的安全性。病毒的防護(hù)系統(tǒng)可以將進(jìn)出鐵路信息系統(tǒng)的信息進(jìn)行檢查,保證了鐵路客戶端的安全。病毒防護(hù)系統(tǒng)防止了不法人員企圖通過(guò)病毒來(lái)入侵鐵路信息網(wǎng)絡(luò)系統(tǒng),讓鐵路信息網(wǎng)絡(luò)系統(tǒng)能夠在安全的環(huán)境下運(yùn)行,保證了信息的最大化安全性。定期的病毒查殺,可以保證鐵路網(wǎng)絡(luò)信息系統(tǒng)的安全,讓鐵路信息網(wǎng)絡(luò)系統(tǒng)得到有效的控制,保證客戶端的資料不被侵犯,保證鐵路計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。

2.5加強(qiáng)人才培養(yǎng)和培訓(xùn)的力度信息系統(tǒng)的安全性很重要的一點(diǎn)是人員素質(zhì),管理人員的安全意識(shí)和技術(shù)水平直接影響到整個(gè)系統(tǒng)的安全性。目前,已有許多成熟的安全技術(shù)、安全產(chǎn)品,但能否讓這些技術(shù)和產(chǎn)品在實(shí)際應(yīng)用中充分發(fā)揮作用,關(guān)鍵還在于我們?nèi)绾我?guī)劃、組織及配置,這些都是和管理人員與工程技術(shù)人員的素質(zhì)分不開(kāi)的,因此,應(yīng)該加強(qiáng)人才培養(yǎng)力度,根據(jù)信息安全的特殊性和各種不同人才需求層次,進(jìn)行有針對(duì)性的培養(yǎng)和培訓(xùn),為確保鐵路信息安全,培養(yǎng)一支實(shí)力強(qiáng)勁的專業(yè)隊(duì)伍。

篇5

關(guān)鍵詞:電力制造企業(yè);計(jì)算機(jī)網(wǎng)絡(luò);安全

一、安全風(fēng)險(xiǎn)分析

電力制造企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)一般都會(huì)將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對(duì)分隔開(kāi)來(lái),以避免外來(lái)因素對(duì)生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見(jiàn)的風(fēng)險(xiǎn)一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見(jiàn)的風(fēng)險(xiǎn)種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見(jiàn)的風(fēng)險(xiǎn)有操作系統(tǒng)和數(shù)據(jù)庫(kù)存在漏洞、合法用戶的操作錯(cuò)誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計(jì)算機(jī)病毒(惡意代碼)等,上述風(fēng)險(xiǎn)所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯(cuò)誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風(fēng)險(xiǎn),會(huì)使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險(xiǎn)的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當(dāng)需要數(shù)據(jù)傳輸時(shí)必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。

二、安全需求分析

一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計(jì)算機(jī)病毒(包括惡意代碼)通過(guò)各種形式對(duì)網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團(tuán)式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性的基本保障,需要兼顧成本和實(shí)效。安全的人員是企業(yè)經(jīng)營(yíng)鏈中的細(xì)胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問(wèn)和泄密,需要加強(qiáng)教育和制度約束。

三、安全思想和原則

電力制造企業(yè)信息安全的主要目標(biāo)一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營(yíng)服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹(shù)立集團(tuán)平臺(tái)理念;保證“信息化長(zhǎng)效機(jī)制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計(jì)算機(jī)病毒、篡改網(wǎng)頁(yè)、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時(shí)響應(yīng)與及時(shí)恢復(fù),數(shù)據(jù)不丟失。(1)先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認(rèn)證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測(cè)和最小化原則等多種因素,它們是設(shè)計(jì)信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實(shí)現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機(jī)制,集成先進(jìn)的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)。計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強(qiáng)內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強(qiáng)培訓(xùn)和用戶管理,加強(qiáng)安全審計(jì)和跟蹤體系,提高人員對(duì)整體網(wǎng)絡(luò)安全意識(shí)。(3)嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅(jiān)強(qiáng)的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強(qiáng)安全教育和宣傳,嚴(yán)肅網(wǎng)絡(luò)規(guī)章制度和紀(jì)律。對(duì)網(wǎng)絡(luò)犯罪嚴(yán)懲不貸。

四、安全策略與方法

1、物理安全策略和方法。

物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路的設(shè)計(jì),包括建設(shè)符合標(biāo)準(zhǔn)的中心機(jī)房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)等攻擊行為。還要建立完備的機(jī)房安全管理制度,防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問(wèn)控制,其作用是通過(guò)維護(hù)訪問(wèn)到表以及可審查性,驗(yàn)證用戶的身份和權(quán)限,防止和控制越權(quán)操作。

2、訪問(wèn)控制策略和方法。

網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級(jí)進(jìn)行保護(hù),主要是根據(jù)業(yè)務(wù)功能、信息保密級(jí)別、安全等級(jí)等要求的差異將網(wǎng)絡(luò)進(jìn)行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段的主要手段。而訪問(wèn)管理控制是限制系統(tǒng)內(nèi)資源的分等級(jí)和層次使用,是防止非法訪問(wèn)的第一道防線。訪問(wèn)控制主要手段是身份認(rèn)證,以用戶名和密碼的驗(yàn)證為主,必要時(shí)可將密碼技術(shù)和安全管理中心結(jié)合起來(lái),實(shí)現(xiàn)多重防護(hù)體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。

3、開(kāi)放的網(wǎng)絡(luò)服務(wù)策略和方法。

Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護(hù)自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來(lái)構(gòu)建堅(jiān)固的大門,同時(shí)對(duì)Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強(qiáng)化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時(shí)增加審計(jì)手段。

4、電子郵件安全策略和方法。

電子郵件策略主要是針對(duì)郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對(duì)目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來(lái)越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進(jìn)行。

5、網(wǎng)絡(luò)反病毒策略和方法。

每個(gè)電力制造企業(yè)為了處理計(jì)算機(jī)病毒感染事件,都要消耗大量的時(shí)間和精力,而且還會(huì)造成一些無(wú)法挽回的損失,必須制定反計(jì)算機(jī)病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實(shí)時(shí)監(jiān)控,并且針對(duì)特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。

目前,計(jì)算機(jī)網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰(shuí)主管、誰(shuí)負(fù)責(zé)、聯(lián)合保護(hù)、協(xié)調(diào)處置”的原則,實(shí)行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時(shí),制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項(xiàng)電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運(yùn)行,為電力制造企業(yè)創(chuàng)造新業(yè)績(jī)鋪路架橋。

參考文獻(xiàn)

篇6

關(guān)鍵詞:汽車檢測(cè)控制系統(tǒng);網(wǎng)絡(luò)通信技術(shù);有效措施

1汽車檢測(cè)控制系統(tǒng)的基本技術(shù)結(jié)構(gòu)

1.1監(jiān)控系統(tǒng)

監(jiān)控系統(tǒng)是汽車檢測(cè)控制系統(tǒng)中的重要系統(tǒng),也是核心系統(tǒng)。汽車檢測(cè)控制系統(tǒng)中的監(jiān)控系統(tǒng)不同于普通監(jiān)控系統(tǒng),具有遠(yuǎn)程監(jiān)控能力,而且對(duì)汽車檢測(cè)控制系統(tǒng)有一定控制能力,能夠?qū)⒈O(jiān)控信息傳輸?shù)街骺胤?wù)器上,全面檢測(cè)汽車控制系統(tǒng)工作狀態(tài)。此外,監(jiān)控系統(tǒng)監(jiān)控的范圍比較廣,不僅能夠監(jiān)控主控服務(wù)器,而且還能監(jiān)控汽車內(nèi)部的各個(gè)設(shè)備,并將監(jiān)控結(jié)果反饋到主控服務(wù)器上,系統(tǒng)在接受信息后可提供汽車內(nèi)部各個(gè)設(shè)備的工作參數(shù),技術(shù)人員根據(jù)這些參數(shù)變化及時(shí)調(diào)整設(shè)備,使設(shè)備處于正常工作狀態(tài)。汽車檢測(cè)控制系統(tǒng)中的監(jiān)控系統(tǒng)有特定的傳感器,能夠感知外界因素,為汽車行駛提供安全指導(dǎo),降低安全事故的發(fā)生頻率。各種監(jiān)控?cái)?shù)據(jù)通過(guò)網(wǎng)絡(luò)通信技術(shù)集中到一起,生成相應(yīng)的檢測(cè)報(bào)告,有利于為汽車維修提供針對(duì)性的建議。

1.2直接控制層

直接控制層也是汽車檢測(cè)控制系統(tǒng)的重要組成部分。直接控制層有兩個(gè)重要的工作部分,一個(gè)是南北檢測(cè)兩線,一個(gè)是報(bào)檢設(shè)備。隨著網(wǎng)絡(luò)通信技術(shù)在汽車檢測(cè)中的不斷應(yīng)用,報(bào)檢方式也發(fā)生了根本性變化,由傳統(tǒng)的人工檢測(cè)變成掃碼檢測(cè),減少了人工工作負(fù)荷,同時(shí)也大大提高了檢測(cè)效率,能夠在短時(shí)間內(nèi)收集車輛進(jìn)出信息,并做好相關(guān)記錄。若有違規(guī)車輛,檢測(cè)人員通過(guò)輸入車輛出入時(shí)間就能快速查到相關(guān)的車輛信息,而且還能進(jìn)一步檢測(cè)車輛的運(yùn)行狀態(tài),自動(dòng)上傳檢測(cè)信息,生成相應(yīng)的檢測(cè)報(bào)告。

2加強(qiáng)汽車檢測(cè)控制系統(tǒng)網(wǎng)絡(luò)通信技術(shù)運(yùn)用的有效措施

2.1嚴(yán)格篩選通信方式

通信方式有多種,在通信技術(shù)的選擇過(guò)程中,要嚴(yán)格篩選通信方式,根據(jù)汽車檢測(cè)系統(tǒng)的實(shí)際情況選擇,還要考慮到網(wǎng)絡(luò)通信技術(shù)的成本。目前來(lái)看,多數(shù)汽車檢測(cè)控制系統(tǒng)中都用到了計(jì)算機(jī),但是計(jì)算機(jī)的成本比較高,在實(shí)際的汽車檢測(cè)控制系統(tǒng)中通信技術(shù)所需的技術(shù)成本比較低,這就導(dǎo)致網(wǎng)絡(luò)通信技術(shù)在汽車檢測(cè)控制系統(tǒng)中的應(yīng)用成本增加。為了避免這種狀況,可在直接控制層中的報(bào)檢設(shè)備與主控設(shè)備中加入PC機(jī)器,進(jìn)一步降低通信技術(shù)的使用成本,而且也能簡(jiǎn)化檢測(cè)設(shè)備的安裝程序,大大降低安裝難度。在通信方式篩選過(guò)程中,還要考慮到網(wǎng)絡(luò)信號(hào)問(wèn)題,避免外界因素對(duì)網(wǎng)絡(luò)系統(tǒng)的干擾,優(yōu)化網(wǎng)絡(luò)系統(tǒng)。其次,汽車檢測(cè)控制系統(tǒng)中通信技術(shù)的應(yīng)用還要考慮到信息的保存問(wèn)題,汽車檢測(cè)控制系統(tǒng)主要作用于汽車內(nèi)部設(shè)備工作狀態(tài)的檢測(cè),需要借助特定的傳感器傳輸檢測(cè)信息,進(jìn)而將檢測(cè)信息整合起來(lái),但是在這個(gè)過(guò)程中,存在信息丟失的情況,這就需要進(jìn)一步完善網(wǎng)絡(luò)環(huán)境,合理設(shè)置安全密鑰,保證信息的安全性,減少傳輸過(guò)程中信息丟失的情況。通過(guò)設(shè)置訪問(wèn)權(quán)限也能進(jìn)一步保護(hù)信息,提高信息的安全性,實(shí)現(xiàn)局域資源共享。再次,汽車檢測(cè)控制系統(tǒng)中通信技術(shù)的應(yīng)用還要考慮編程工作,要進(jìn)一步降低編程工作難度,通過(guò)增加檢查設(shè)備的數(shù)量提高檢測(cè)效率,還要定期升級(jí)系統(tǒng),減少系統(tǒng)卡頓或者死機(jī)的情況,優(yōu)化整個(gè)檢測(cè)系統(tǒng),提高檢測(cè)效率,提高整個(gè)系統(tǒng)的安全性。技術(shù)人員要充分利用大數(shù)據(jù)或者其他數(shù)據(jù)處理技術(shù),提高數(shù)據(jù)處理能力,完善數(shù)據(jù)庫(kù)。加強(qiáng)對(duì)數(shù)據(jù)庫(kù)中各種信息的檢測(cè),通過(guò)檢測(cè)信息錯(cuò)誤分析汽車設(shè)備的工作狀態(tài)。最后,完善網(wǎng)絡(luò)安全評(píng)價(jià)體系,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全管理,提高網(wǎng)絡(luò)通信技術(shù)的安全性。

2.2創(chuàng)新網(wǎng)絡(luò)通信技術(shù)

網(wǎng)絡(luò)通信技術(shù)不是一成不變的,要根據(jù)實(shí)際需求不斷調(diào)整,與時(shí)俱進(jìn)。運(yùn)用新型的網(wǎng)絡(luò)安全技術(shù),降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。目前來(lái)看,網(wǎng)絡(luò)通信技術(shù)在運(yùn)用過(guò)程中還存在很多問(wèn)題,如設(shè)備較多,檢測(cè)滯后,檢測(cè)沒(méi)有按照特定的順序進(jìn)行,導(dǎo)致部分檢測(cè)設(shè)備工作忙碌,部分清閑,不利于提高檢測(cè)效率,也不能保證檢測(cè)數(shù)據(jù)的真實(shí)性。這種工作模式下,對(duì)汽車內(nèi)部設(shè)備也有影響,不能及時(shí)檢查設(shè)備的工作狀態(tài),容易引起各種安全事故。所以,在網(wǎng)絡(luò)通信技術(shù)運(yùn)用過(guò)程中,要更新相關(guān)技術(shù),及時(shí)調(diào)整主控機(jī)設(shè)備的工作參數(shù),保證每個(gè)檢測(cè)設(shè)備都處于工作狀態(tài)中,提高檢測(cè)效率。

2.3搭建網(wǎng)絡(luò)通信平臺(tái)

相關(guān)企業(yè)要搭建網(wǎng)絡(luò)通信平臺(tái),進(jìn)一步分析汽車設(shè)備的工作狀態(tài)。目前來(lái)看,隨著我國(guó)經(jīng)濟(jì)的發(fā)展,交通行業(yè)也逐漸發(fā)展起來(lái),交通行業(yè)的進(jìn)步促進(jìn)了汽車的革新,在新的時(shí)代背景下,汽車數(shù)量越來(lái)越多,但是質(zhì)量卻參差不齊,從整個(gè)汽車制造市場(chǎng)來(lái)看,市場(chǎng)機(jī)制還不完善,沒(méi)有引導(dǎo)汽車制造行業(yè)發(fā)展,還從一定程度上助長(zhǎng)了企業(yè)的不良銷售行為。不僅如此,每輛汽車經(jīng)制造后都要制作汽車檔案材料,這對(duì)檔案制作人員來(lái)說(shuō)難度也比較大,增加了這些人員的工作量,不同廠家生產(chǎn)的汽車內(nèi)部零件不同,性能也存在差異,這就增大了汽車檢測(cè)的難度。通過(guò)搭建網(wǎng)絡(luò)通信平臺(tái),能夠融合汽車制造信息,針對(duì)不同品牌和型號(hào)的汽車提出不同的檢測(cè)標(biāo)準(zhǔn),優(yōu)化通信平臺(tái),促進(jìn)新型網(wǎng)絡(luò)通信技術(shù)的運(yùn)用,著重檢測(cè)汽車的工作狀態(tài),提高信息的整合能力,實(shí)現(xiàn)信息的自動(dòng)化整理。此外,新型的網(wǎng)絡(luò)平臺(tái)能夠拓展汽車檢測(cè)途徑,為汽車檢測(cè)工作提供更多的有利信息,進(jìn)一步加大檢測(cè)強(qiáng)度,簡(jiǎn)化檢測(cè)步驟,提高檢測(cè)信息處理效率,為檢測(cè)人員提供更多的有效信息,借助網(wǎng)絡(luò)平臺(tái)借鑒其他企業(yè)優(yōu)秀的檢測(cè)方法,結(jié)合企業(yè)自身的發(fā)展?fàn)顩r優(yōu)化檢測(cè)制度,改良檢測(cè)方法,使汽車檢測(cè)結(jié)果更加真實(shí)可靠,為汽車維修提供關(guān)鍵信息,優(yōu)化整個(gè)檢測(cè)系統(tǒng),使汽車檢測(cè)控制系統(tǒng)正常運(yùn)行。最后,通過(guò)網(wǎng)絡(luò)通信平臺(tái)搜集汽車檢測(cè)過(guò)程中的各種問(wèn)題,并提出有針對(duì)性的解決策略,使汽車檢測(cè)行業(yè)處于良性發(fā)展?fàn)顟B(tài)。

篇7

關(guān)鍵詞:高速鐵路;高鐵信號(hào)系統(tǒng);信息網(wǎng)絡(luò)安全;軟件定義網(wǎng)絡(luò);新型鐵路信號(hào)系統(tǒng)

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A

SDN高速鐵路信號(hào)體系是一種新型的軟件定義網(wǎng)絡(luò)模式,這種模式與高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的安全性密切相關(guān),為了提升高速鐵路工程的工作效益,需要做好信號(hào)安全數(shù)據(jù)、分散自律調(diào)度集中網(wǎng)絡(luò)等的管控及隔離工作的要求,從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的統(tǒng)一性管理,這都離不開(kāi)統(tǒng)一性控制器的應(yīng)用,做好整體設(shè)備的注冊(cè)管理工作,確保安全通問(wèn)控制工作的有效開(kāi)展,從而實(shí)現(xiàn)該工程信號(hào)系統(tǒng)安全性的提升,降低網(wǎng)絡(luò)安全管理復(fù)雜性。

一、高速鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全性概念

1.高速鐵路工程系統(tǒng)的網(wǎng)絡(luò)架構(gòu)具備可在線編程、集中管控性、統(tǒng)一安全性的特點(diǎn),這種網(wǎng)絡(luò)架構(gòu)滿足高速鐵路工程的日常信號(hào)管理需要,有利于網(wǎng)絡(luò)安全管理工作的穩(wěn)定開(kāi)展,這種模式比分散性網(wǎng)絡(luò)管理具備更高的工作效率,通過(guò)對(duì)這種模式的應(yīng)用及普及,可以解決高鐵信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全性管控問(wèn)題。

鐵路運(yùn)輸體系是我國(guó)基礎(chǔ)交通體系的重要組成部分,為了確保該工作的穩(wěn)定運(yùn)行,必須進(jìn)行其整體安全性的控制,這里的安全性主要包括兩個(gè)方面的工作。第一是工程系統(tǒng)網(wǎng)絡(luò)安全性的保證,這種系統(tǒng)網(wǎng)絡(luò)不能因?yàn)閮?nèi)部的一些故障而停止工作,最終的工作目的是降低工作過(guò)程中的故障率,避免因?yàn)樵O(shè)備及網(wǎng)絡(luò)故障,而信系統(tǒng)出現(xiàn)一系列的危險(xiǎn)問(wèn)題。

另一方面的安全性主要是指系統(tǒng)網(wǎng)絡(luò)具備良好的抵抗外部入侵的能力,具備良好的操作安全性。高鐵信號(hào)系統(tǒng)的開(kāi)展離不開(kāi)其整體網(wǎng)絡(luò)的安全性,該信號(hào)系統(tǒng)具備其獨(dú)特的網(wǎng)絡(luò),這一定程度上確保了該系統(tǒng)的安全性,但是這并不代表這種系統(tǒng)不存在網(wǎng)絡(luò)病毒散播的問(wèn)題。隨著社會(huì)網(wǎng)絡(luò)信息化體系的健全,計(jì)算機(jī)網(wǎng)絡(luò)化日益普及,各種新型的網(wǎng)絡(luò)病毒不斷產(chǎn)生,比較常見(jiàn)的病毒有震網(wǎng)病毒,這種病毒對(duì)于工業(yè)管理系統(tǒng)極具殺傷力。隨著時(shí)代的發(fā)展,社會(huì)經(jīng)濟(jì)對(duì)于高鐵信號(hào)系統(tǒng)的要求越來(lái)越高,高鐵信號(hào)系統(tǒng)必須具備更強(qiáng)的數(shù)據(jù)共享性,需要具備豐富的通信數(shù)據(jù),這就進(jìn)一步提升了高速鐵路系統(tǒng)的開(kāi)發(fā)性,不利于進(jìn)行高速鐵路信號(hào)安全性的控制。

為了滿足信息化時(shí)代的交通工作要求,進(jìn)行鐵路信號(hào)系統(tǒng)的現(xiàn)代化管理是必要的,為了確保交通工程系統(tǒng)的穩(wěn)定運(yùn)行,需要保證鐵路信號(hào)系統(tǒng)信息化及網(wǎng)絡(luò)化過(guò)程安全性,滿足現(xiàn)代交通企業(yè)信息化管理工作的要求。這就需要我國(guó)的鐵路信號(hào)系統(tǒng)轉(zhuǎn)變傳統(tǒng)的管理模式,進(jìn)行智能化、自動(dòng)化管理技術(shù)的升級(jí),實(shí)現(xiàn)計(jì)算機(jī)模塊、控制模塊、通信模塊等的協(xié)調(diào),在這個(gè)過(guò)程中,以太網(wǎng)技術(shù)不斷流行,這種技術(shù)具備良好的數(shù)據(jù)傳輸可靠性、實(shí)時(shí)性。

無(wú)論是信息通信環(huán)節(jié)、通信數(shù)據(jù)庫(kù)構(gòu)建環(huán)節(jié)、內(nèi)部資源優(yōu)化配置環(huán)節(jié),以太技術(shù)的應(yīng)用都能取得良好的工作效益。極大地滿足了現(xiàn)代化工業(yè)控制系統(tǒng)的工作要求。隨著時(shí)代的發(fā)展,以太網(wǎng)技術(shù)體系日益健全,在控制系統(tǒng)網(wǎng)絡(luò)中,以太技術(shù)實(shí)現(xiàn)了大規(guī)模的普及,無(wú)論是控制系統(tǒng)網(wǎng)絡(luò)還是鐵路信號(hào)控制系統(tǒng)都能看到以太網(wǎng)應(yīng)用的縮影。

2.時(shí)代的不斷發(fā)展,需要工業(yè)控制系統(tǒng)具備更強(qiáng)的信息共享性,震網(wǎng)病毒的出現(xiàn),讓工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全性問(wèn)題更加引起世界各界的重視,面臨著日益嚴(yán)峻的網(wǎng)絡(luò)信息安全問(wèn)題,進(jìn)行大容量、實(shí)時(shí)性、可靠性數(shù)據(jù)信息傳遞及交互技術(shù)的應(yīng)用是必要的,比如進(jìn)行GSM無(wú)線通信技術(shù)的引進(jìn),在地面設(shè)備系統(tǒng)中,進(jìn)行無(wú)線閉塞中心及無(wú)線通信網(wǎng)絡(luò)系統(tǒng)的應(yīng)用。

無(wú)線公共信道是GSM通信系統(tǒng)信號(hào)的重要實(shí)現(xiàn)途徑,這種渠道的應(yīng)用,讓鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)具備更強(qiáng)的開(kāi)發(fā)性,但是這也一定程度上加大了鐵路信號(hào)系統(tǒng)信息的擴(kuò)散威脅性。我國(guó)的鐵路信號(hào)體系實(shí)現(xiàn)了4個(gè)模塊的結(jié)合,分別是GSM通信網(wǎng)絡(luò)模塊、集中監(jiān)測(cè)網(wǎng)絡(luò)模塊、信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)模塊、信號(hào)網(wǎng)絡(luò)基礎(chǔ)模塊。在實(shí)際工作中,鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,其內(nèi)部存在各種網(wǎng)絡(luò)模式,這些網(wǎng)絡(luò)模式具備不同的安全等級(jí),它的網(wǎng)絡(luò)設(shè)備內(nèi)部設(shè)置比較復(fù)雜,存在較大的維修困難問(wèn)題,現(xiàn)階段鐵路信號(hào)系統(tǒng)的整體安全性比較低,缺乏統(tǒng)一性的安全策略,難以滿足現(xiàn)代化鐵路工程智能化、集中管理化等的工作要求。

3.我國(guó)的鐵路信號(hào)信息安全系統(tǒng)并不具備較強(qiáng)的安全防護(hù)等級(jí),缺乏比較先進(jìn)的病毒防控、隔離等技術(shù),防火墻技術(shù)比較落后,難以滿足我國(guó)鐵路通信應(yīng)用協(xié)議的工作規(guī)范要求。為了進(jìn)一步提升鐵路信號(hào)設(shè)備通信的安全性及可靠性,需要進(jìn)行鐵路信號(hào)系統(tǒng)安全通信數(shù)據(jù)網(wǎng)絡(luò)的優(yōu)化,做好一系列的信息安全防護(hù)措施。

為了解決現(xiàn)階段高速鐵路工程信息安全性問(wèn)題,必須進(jìn)行信號(hào)系統(tǒng)網(wǎng)絡(luò)整體架構(gòu)的優(yōu)化,提升信號(hào)系統(tǒng)的整體網(wǎng)絡(luò)安全性,做好詳細(xì)地分析工作,進(jìn)行鐵路信號(hào)系統(tǒng)內(nèi)部子系統(tǒng)接口安全性的分析,實(shí)現(xiàn)信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)由高安全等級(jí)工程網(wǎng)絡(luò)的轉(zhuǎn)換,這就需要進(jìn)行SDN鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全性方案的應(yīng)用,做好該系統(tǒng)功能的特性分析工作,進(jìn)行基于軟件定義鐵路信號(hào)鐵路系統(tǒng)網(wǎng)絡(luò)的應(yīng)用。

二、信號(hào)系統(tǒng)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的優(yōu)化

鐵路信號(hào)系統(tǒng)的內(nèi)部配置具備較強(qiáng)的復(fù)雜性,它不是簡(jiǎn)單的信號(hào)設(shè)備的結(jié)合,而是由不同層次的控制模塊構(gòu)成的,這些控制模塊的功能不一,但是又能相互協(xié)作,共同實(shí)現(xiàn)鐵路信號(hào)系統(tǒng)的安全運(yùn)行。鐵路信號(hào)系統(tǒng)的內(nèi)部各個(gè)要素之間相互聯(lián)系,為了現(xiàn)階段的安全防護(hù)要求,工作人員需要進(jìn)行該系統(tǒng)內(nèi)部資源的優(yōu)化配置,深入了解其復(fù)雜的系統(tǒng)性結(jié)構(gòu),確保高鐵信號(hào)系統(tǒng)的穩(wěn)定運(yùn)行。

高鐵信號(hào)系統(tǒng)的內(nèi)部構(gòu)造比較復(fù)雜,由信號(hào)集中監(jiān)測(cè)系統(tǒng)、行車指揮系統(tǒng)等構(gòu)成,列控系統(tǒng)主要由無(wú)線閉塞中心、列控中心、傳輸網(wǎng)絡(luò)、應(yīng)答器等構(gòu)成。行車指揮系統(tǒng)由服務(wù)器系統(tǒng)、信號(hào)網(wǎng)絡(luò)基礎(chǔ)中心、自律分機(jī)等構(gòu)成。信號(hào)集中監(jiān)測(cè)系統(tǒng)由列車控制中心、軌道鐵路系統(tǒng)、信號(hào)設(shè)備連接系統(tǒng)、信號(hào)網(wǎng)絡(luò)系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)等構(gòu)成。區(qū)別于集中監(jiān)測(cè)網(wǎng)絡(luò)的安全性,信號(hào)安全通信數(shù)據(jù)網(wǎng)具備獨(dú)立成網(wǎng)性,其實(shí)現(xiàn)了物理手段隔離模式的應(yīng)用,理論上來(lái)說(shuō),信號(hào)網(wǎng)絡(luò)系統(tǒng)通信網(wǎng)絡(luò)系統(tǒng)、通信數(shù)據(jù)網(wǎng)系統(tǒng)、集中監(jiān)測(cè)網(wǎng)絡(luò)相互隔離卻又相互滲透。

三、信號(hào)系統(tǒng)網(wǎng)絡(luò)接口方案的優(yōu)化

1.為了提升高鐵工程信號(hào)系統(tǒng)的安全性,必須實(shí)現(xiàn)列車與RBC無(wú)線承載控制系統(tǒng)的連接,確保其良好的連接性,這需要做好RBC系統(tǒng)與列車的連接確認(rèn)工作,保證列控中心指令的正確傳達(dá),通過(guò)對(duì)以太網(wǎng)的應(yīng)用,實(shí)現(xiàn)聯(lián)鎖模塊及列控模塊的有效協(xié)調(diào),這兩個(gè)模塊之間不需要進(jìn)行防火墻的隔離設(shè)置,因?yàn)橐坏└綦x,就可能影響到數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性及安全性,這不利于鐵路數(shù)據(jù)信息數(shù)據(jù)的傳輸要求。為了滿足實(shí)際工作的要求,必須保證地面設(shè)備及列車車載設(shè)備的相互通信,確保其與列控系統(tǒng)之間的信息傳遞。在這個(gè)過(guò)程中,信息傳遞差異是客觀存在的,這是由于列控中心與地面設(shè)備的距離性導(dǎo)致的,這種差異性很可能導(dǎo)致行車精確性的降低。IP安全數(shù)據(jù)通信網(wǎng)是臨時(shí)限速服務(wù)器及RBC系統(tǒng)的連接網(wǎng)絡(luò),這種連接網(wǎng)絡(luò)的應(yīng)用,可以確保鐵路信號(hào)系統(tǒng)傳遞的安全性,這兩者之間沒(méi)有進(jìn)行防火墻的安全防護(hù)設(shè)置。

在高鐵工程信號(hào)系統(tǒng)的應(yīng)用過(guò)程中,局域網(wǎng)通信協(xié)議是常見(jiàn)的網(wǎng)絡(luò)配置模式,信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)與上位機(jī),信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)的接口,都是聯(lián)鎖系統(tǒng)的常見(jiàn)內(nèi)部配置模式,這些接口之間并非進(jìn)行安全通信協(xié)議的應(yīng)用,但應(yīng)用了防火墻防護(hù)方案??陀^上來(lái)說(shuō),信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)具備非安全性,為了確保系統(tǒng)邊界防護(hù)效益的提升,必須進(jìn)行安全通信協(xié)議的應(yīng)用,確保上位機(jī)及信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)接口的安全通信協(xié)議的應(yīng)用,通過(guò)對(duì)這兩者安全通信協(xié)議的應(yīng)用可以避免這兩種網(wǎng)絡(luò)體系的相互滲透問(wèn)題,避免以太網(wǎng)控制網(wǎng)系統(tǒng)內(nèi)部要素的相互滲透狀況。

2.信號(hào)網(wǎng)絡(luò)系統(tǒng)及上位機(jī)并不能進(jìn)行控制指令的傳遞,一旦采用安全協(xié)議,必然會(huì)導(dǎo)致信號(hào)網(wǎng)絡(luò)系統(tǒng)分機(jī)與上位機(jī)數(shù)據(jù)傳遞效率的降低,但是這并不影響控制系統(tǒng)的核心功能,通信系統(tǒng)部分軟件性能的提升,并不會(huì)增加該系統(tǒng)的維護(hù)成本。集中監(jiān)測(cè)系統(tǒng)車站分機(jī)及維修機(jī)間的接口并未進(jìn)行防火墻防護(hù),采用的是IP協(xié)議及安全通信協(xié)議,客觀來(lái)說(shuō),集中監(jiān)測(cè)系統(tǒng)并非安全性系統(tǒng),為了提升工程信號(hào)系統(tǒng)的安全性,必須實(shí)現(xiàn)集中監(jiān)測(cè)系統(tǒng)及維修機(jī)安全網(wǎng)絡(luò)等級(jí)的提升。

高鐵列車的安全運(yùn)行離不開(kāi)列車控制模塊的開(kāi)展,列控中心系統(tǒng)、計(jì)算機(jī)聯(lián)鎖系統(tǒng)、臨時(shí)限速服務(wù)器系統(tǒng)等都將直接影響到高鐵列車的安全運(yùn)行,信號(hào)安全數(shù)據(jù)網(wǎng)需要為最高等級(jí)的網(wǎng)絡(luò)子系統(tǒng),信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)負(fù)責(zé)現(xiàn)場(chǎng)設(shè)備及其相關(guān)網(wǎng)絡(luò)子系統(tǒng)的控制工作,集中監(jiān)測(cè)系統(tǒng)主要負(fù)責(zé)故障信息的報(bào)警,現(xiàn)場(chǎng)設(shè)備狀態(tài)的監(jiān)測(cè)等工作,并不負(fù)責(zé)列車及設(shè)備的控制工作,其整體安全性等級(jí)較低。列車的控制系統(tǒng)與集中監(jiān)測(cè)網(wǎng)絡(luò)并無(wú)太大的關(guān)聯(lián)。

3.信號(hào)安全數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行了一系列服務(wù)器的設(shè)置,進(jìn)行了不同種專用操作系統(tǒng)的應(yīng)用,比如FreeBSD、Linux系統(tǒng)等,這些操作系統(tǒng)內(nèi)部并沒(méi)有進(jìn)行安全功能的設(shè)置,由于信號(hào)系統(tǒng)的自身復(fù)雜性,其軟件變更的周期比較長(zhǎng),為了保證信號(hào)信息的安全性,必須做好信號(hào)系統(tǒng)的徹底測(cè)試工作,確保信號(hào)系統(tǒng)的整體優(yōu)化,從而保證系統(tǒng)可靠性及安全性的提升。這就需要做好信號(hào)系統(tǒng)軟件的及時(shí)更新工作,避免出現(xiàn)具備威脅性的漏洞,從而避免被網(wǎng)絡(luò)黑客攻擊。

以信號(hào)網(wǎng)絡(luò)系統(tǒng)車站局域網(wǎng)為基點(diǎn),有兩種方法可以威脅到高鐵工程信號(hào)系統(tǒng)的安全性,第一條途徑是由信號(hào)網(wǎng)絡(luò)系統(tǒng)車站子系統(tǒng)到信號(hào)網(wǎng)絡(luò)系統(tǒng)中心系統(tǒng),在這個(gè)步驟中,一旦取得BC接口服務(wù)器的控制器,就會(huì)由信號(hào)安全數(shù)據(jù)網(wǎng)的服務(wù)器入侵到信號(hào)安全數(shù)據(jù)的子系統(tǒng)中。第二條途徑與第一條途徑類似,第二條途徑的威脅在于臨時(shí)限速接口服務(wù)器控制權(quán)的獲得,如果不能實(shí)現(xiàn)與臨時(shí)限速接口連接的路由器的良好配置,就會(huì)威脅到信號(hào)安全數(shù)據(jù)網(wǎng)的信息傳遞。

為了提升高鐵工程信號(hào)系統(tǒng)的安全性,需要實(shí)現(xiàn)統(tǒng)一安全管控方案的優(yōu)化,這種方案基于SDN模式的應(yīng)用,這種系統(tǒng)具備新型的網(wǎng)絡(luò)內(nèi)部架構(gòu),實(shí)現(xiàn)了路由器及交換機(jī)數(shù)據(jù)平面及控制平面的分離,由網(wǎng)絡(luò)操作系統(tǒng)為上層進(jìn)行網(wǎng)絡(luò)資源的提供,實(shí)現(xiàn)了網(wǎng)絡(luò)虛擬化,進(jìn)行網(wǎng)絡(luò)虛擬化層的形成,通過(guò)不同控制程序的應(yīng)用,實(shí)現(xiàn)了不同網(wǎng)絡(luò)虛擬化模塊的數(shù)據(jù)傳遞。高鐵信號(hào)系統(tǒng)由集中監(jiān)測(cè)網(wǎng)絡(luò)、信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)網(wǎng)絡(luò)、信號(hào)安全網(wǎng)絡(luò)系統(tǒng)構(gòu)成,這三者之間互為獨(dú)立性的物理網(wǎng)絡(luò),物理手段的使用可以讓這三者之間實(shí)現(xiàn)隔離,這就進(jìn)一步加大系統(tǒng)間接口的復(fù)雜性,這些系統(tǒng)結(jié)構(gòu)的安全等級(jí)不同,容易出現(xiàn)維修管理難問(wèn)題,從而不利于鐵路工程信號(hào)系統(tǒng)整體安全性提升。

4.軟件定義高鐵信號(hào)系統(tǒng)網(wǎng)絡(luò)的應(yīng)用,以SDN架構(gòu)為基礎(chǔ),通過(guò)對(duì)信號(hào)系統(tǒng)復(fù)雜性網(wǎng)絡(luò)安全管理問(wèn)題的解決,實(shí)現(xiàn)了工程信號(hào)系統(tǒng)整體安全性的提升。該網(wǎng)絡(luò)的穩(wěn)定運(yùn)行離不開(kāi)3個(gè)工作模塊的結(jié)合,需要實(shí)現(xiàn)集中監(jiān)測(cè)網(wǎng)絡(luò)、信息安全網(wǎng)絡(luò)、信號(hào)網(wǎng)絡(luò)系統(tǒng)系統(tǒng)工作網(wǎng)絡(luò)的結(jié)合,在SDN應(yīng)用結(jié)構(gòu)的基礎(chǔ)上,實(shí)現(xiàn)網(wǎng)絡(luò)硬件平臺(tái)的利用,保證分布式控制技術(shù)的統(tǒng)一性應(yīng)用。這種鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)基于網(wǎng)絡(luò)硬件平臺(tái)的應(yīng)用,通過(guò)對(duì)網(wǎng)絡(luò)虛擬化技術(shù)的使用,實(shí)現(xiàn)了系統(tǒng)不同功能子網(wǎng)的協(xié)調(diào),確保了軟件隔離網(wǎng)絡(luò)的高效化、可控化,有利于提升信號(hào)系統(tǒng)網(wǎng)絡(luò)安全性。

四、網(wǎng)絡(luò)統(tǒng)一安全管控系統(tǒng)的健全

1.為了提升高速鐵路工程信號(hào)系統(tǒng)的安全性,需要做好設(shè)備開(kāi)啟的網(wǎng)絡(luò)服務(wù)認(rèn)證工作,做好不同設(shè)備網(wǎng)絡(luò)服務(wù)的注冊(cè)及認(rèn)證工作,這需要在鐵路設(shè)備資產(chǎn)安全管理服務(wù)器上進(jìn)行操作,針對(duì)那些非認(rèn)證服務(wù)及訪問(wèn)關(guān)系,網(wǎng)絡(luò)控制器禁止其使用網(wǎng)絡(luò),這有利于提升網(wǎng)絡(luò)服務(wù)模塊的管控強(qiáng)度,實(shí)現(xiàn)合理化網(wǎng)絡(luò)服務(wù)模塊與其他服務(wù)模塊訪問(wèn)關(guān)系的確定,實(shí)現(xiàn)業(yè)務(wù)通信管理矩陣的制定。在網(wǎng)絡(luò)控制器的操作過(guò)程中,通過(guò)對(duì)通信管理矩陣的使用,實(shí)現(xiàn)各個(gè)設(shè)備及程序的網(wǎng)絡(luò)服務(wù)資源的強(qiáng)制控制工作,確保全局安全通信的管理及訪問(wèn)控制工作效率的提升。

在該系統(tǒng)的運(yùn)作過(guò)程中,網(wǎng)絡(luò)控制器可以實(shí)現(xiàn)不同數(shù)據(jù)包來(lái)源的標(biāo)識(shí)及記錄工作,實(shí)現(xiàn)數(shù)據(jù)包及其來(lái)源信息的綁定準(zhǔn)確性的提升。在這個(gè)過(guò)程中,如果網(wǎng)絡(luò)安全檢測(cè)設(shè)備發(fā)現(xiàn)異常,就會(huì)追溯故障的源頭,如果發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)的異常問(wèn)題,就可以根據(jù)綁定信息,做好異常設(shè)備的迅速定位工作,實(shí)習(xí)高速鐵路信號(hào)系統(tǒng)信息安全性及網(wǎng)絡(luò)安全性的提升,降低不同系統(tǒng)接口之間的安全威脅問(wèn)題,確保GSM系統(tǒng)安全性的提升,實(shí)現(xiàn)低安全網(wǎng)絡(luò)系統(tǒng)向高安全等級(jí)網(wǎng)絡(luò)系統(tǒng)的滲透。

2.高速鐵路工程信號(hào)系統(tǒng)的日常工作,需要建立在安全性分析的基礎(chǔ)上,信號(hào)系統(tǒng)網(wǎng)絡(luò)的探索工作,進(jìn)行鐵路信號(hào)系統(tǒng)新型網(wǎng)絡(luò)架構(gòu)的提出,在此基礎(chǔ)上,落實(shí)好信息系統(tǒng)資產(chǎn)注冊(cè)及其相關(guān)問(wèn)題,做好信息系統(tǒng)的服務(wù)管理工作,落實(shí)好網(wǎng)絡(luò)數(shù)據(jù)的信息追蹤工作,實(shí)現(xiàn)系統(tǒng)內(nèi)部不同模塊的訪問(wèn)控制工作,實(shí)現(xiàn)我國(guó)高速鐵路信號(hào)系統(tǒng)整體網(wǎng)絡(luò)安全性的提升,降低信號(hào)系統(tǒng)的日常管理難度,實(shí)現(xiàn)我國(guó)高鐵信號(hào)系統(tǒng)網(wǎng)絡(luò)的穩(wěn)定發(fā)展。

結(jié)語(yǔ)

通過(guò)對(duì)高速鐵路工程信號(hào)系統(tǒng)的安全及管理模式的應(yīng)用,可以滿足現(xiàn)代化高鐵工程信號(hào)系統(tǒng)的管理要求,保障了高速鐵路工程信號(hào)系統(tǒng)的整體安全性,實(shí)現(xiàn)了數(shù)據(jù)信息的安全性傳遞。

⒖嘉南

[1]禹志陽(yáng).高速鐵路信號(hào)系統(tǒng)集成、測(cè)試技術(shù)及“走出去”策略[J].鐵路通信信號(hào)工程技術(shù),2015(1):12-14.

篇8

一、我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)

(一)基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升,但安全隱患不容忽視

根據(jù)工信部組織開(kāi)展的2011年通信網(wǎng)絡(luò)安全防護(hù)檢查情況,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較2010年均有所提高,對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大,網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升,對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng),網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高,各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%,較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢(shì)。

但是,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。據(jù)抽查結(jié)果顯示,域名解析系統(tǒng)(DNS)、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)的百分比分別為6.8%、17.3%和0.6%。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的漏洞統(tǒng)計(jì),2011年發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)的漏洞203個(gè),其中高危漏洞73個(gè);發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè),應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測(cè),2011年每天發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊,導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無(wú)法解析。8月18日晚和19日晚,新疆某運(yùn)營(yíng)商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊,造成局部用戶無(wú)法正常使用互聯(lián)網(wǎng)。

(二)政府網(wǎng)站安全事件顯著減少,網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注

據(jù)CNCERT監(jiān)測(cè),2011年中國(guó)大陸被篡改的政府網(wǎng)站為2807個(gè),比2010年大幅下降39.4%;從CNCERT專門面向國(guó)務(wù)院部門門戶網(wǎng)站的安全監(jiān)測(cè)結(jié)果來(lái)看,國(guó)務(wù)院部門門戶網(wǎng)站存在低級(jí)別安全風(fēng)險(xiǎn)的比例從2010年的60%進(jìn)一步降低為50%。但從整體來(lái)看,2011年網(wǎng)站安全情況有一定惡化趨勢(shì)。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中,網(wǎng)站安全類事件占到61.7%;境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè),較2010年增加5.1%;4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接收的漏洞中,涉及網(wǎng)站相關(guān)的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。網(wǎng)站安全問(wèn)題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問(wèn)題。2011年底,CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注,被公開(kāi)的疑似泄露數(shù)據(jù)庫(kù)26個(gè),涉及帳號(hào)、密碼信息2.78億條,嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn),我國(guó)部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ),相關(guān)漏洞修補(bǔ)不及時(shí),安全防護(hù)水平較低。

(三)我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多

2011年,CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),境外有近4.7萬(wàn)個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī),雖然其數(shù)量較2010年的22.1萬(wàn)大幅降低,但其控制的境內(nèi)主機(jī)數(shù)量卻由2010年的近500萬(wàn)增加至近890萬(wàn),呈現(xiàn)大規(guī)?;厔?shì)。其中位于日本(22.8%)、美國(guó)(20.4%)和韓國(guó)(7.1%)的控制服務(wù)器IP數(shù)量居前三位,美國(guó)繼2009年和2010年兩度位居榜首后,2011年其控制服務(wù)器IP數(shù)量下降至第二,以9528個(gè)IP控制著我國(guó)境內(nèi)近885萬(wàn)臺(tái)主機(jī),控制我國(guó)境內(nèi)主機(jī)數(shù)仍然高居榜首。在網(wǎng)站安全方面,境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁(yè)篡改;境外11851個(gè)IP通過(guò)植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制,其中美國(guó)有3328個(gè)IP(占28.1%)控制著境內(nèi)3437個(gè)網(wǎng)站,位居第一,源于韓國(guó)(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位;仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外,其中美國(guó)仍然排名首位——共有481個(gè)IP(占72.1%)仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn),中國(guó)香港(占17.8%)和韓國(guó)(占2.7%)分列二、三位。總體來(lái)看,2011年位于美國(guó)、日本和韓國(guó)的惡意IP地址對(duì)我國(guó)的威脅最為嚴(yán)重。另?yè)?jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù),2011年在我國(guó)實(shí)施網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚(yú)等不法行為所利用的惡意域名約有65%在境外注冊(cè)。此外,CNCERT在2011年還監(jiān)測(cè)并處理多起境外IP對(duì)我國(guó)網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件。這些情況表明我國(guó)面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來(lái)越嚴(yán)重。

(四)網(wǎng)上銀行面臨的釣魚(yú)威脅愈演愈烈

隨著我國(guó)網(wǎng)上銀行的蓬勃發(fā)展,廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。2011年初,全國(guó)范圍大面積爆發(fā)了假冒中國(guó)銀行網(wǎng)銀口令卡升級(jí)的騙局,據(jù)報(bào)道此次事件中有客戶損失超過(guò)百萬(wàn)元。據(jù)CNCERT監(jiān)測(cè),2011年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍,3月-12月發(fā)現(xiàn)針對(duì)我國(guó)網(wǎng)銀的釣魚(yú)網(wǎng)站域名3841個(gè)。CNCERT全年共接收網(wǎng)絡(luò)釣魚(yú)事件舉報(bào)5459件,較2010年增長(zhǎng)近2.5倍,占總接收事件的35.5%;重點(diǎn)處理網(wǎng)頁(yè)釣魚(yú)事件1833件,較2010年增長(zhǎng)近兩倍。

(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后,2011年美國(guó)伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作,11月Stuxnet病毒轉(zhuǎn)變?yōu)閷iT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞,但在處置過(guò)程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開(kāi)發(fā)能力不足的問(wèn)題。

(六)手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。

隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展,黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。2011年CNCERT捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè),較2010年增加超過(guò)兩倍。其中,惡意扣費(fèi)類惡意程序數(shù)量最多,為1317個(gè),占21.08%,其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來(lái)看,約有60.7%的惡意程序針對(duì)Symbian平臺(tái),該比例較2010年有所下降,針對(duì)Android平臺(tái)的惡意程序較2010年大幅增加,有望迅速超過(guò)Symbian平臺(tái)。2011年境內(nèi)約712萬(wàn)個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序,嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。

(七)木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗

2011年,CNCERT全年共發(fā)現(xiàn)近890萬(wàn)余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序,較2010年大幅增加78.5%。其中,感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬(wàn)余個(gè),國(guó)家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告,2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%,位于較高水平。黑客在瘋狂制造新的惡意程序的同時(shí),也在想方設(shè)法逃避監(jiān)測(cè)和打擊,例如,越來(lái)越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測(cè)和處置。

(八)應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)

2011年,CNVD共收集整理并公開(kāi)信息安全漏洞5547個(gè),較2010年大幅增加60.9%。其中,高危漏洞有2164個(gè),較2010年增加約2.3倍。在所有漏洞中,涉及各種應(yīng)用程序的最多,占62.6%,涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二,占22.7%,而涉及各種操作系統(tǒng)的漏洞則排到第三位,占8.8%。除預(yù)警外,CNVD還重點(diǎn)協(xié)調(diào)處置了大量威脅嚴(yán)重的漏洞,涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁(yè)瀏覽器、手機(jī)應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對(duì)安全問(wèn)題重視不夠,質(zhì)量控制不嚴(yán)格,發(fā)生安全事件后應(yīng)急處置能力薄弱等問(wèn)題。由于相關(guān)產(chǎn)品用戶群體較大,因此一旦某個(gè)產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞,將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強(qiáng)了對(duì)軟件和網(wǎng)站漏洞的挖掘和攻擊活動(dòng)。

(九)DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)

2011年,DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一,表現(xiàn)出三個(gè)特點(diǎn)。一是DDoS攻擊事件發(fā)生頻率高,且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),我國(guó)境內(nèi)日均發(fā)生攻擊總流量超過(guò)1G的較大規(guī)模的DDoS攻擊事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常見(jiàn)虛假源IP地址攻擊事件約占70%,對(duì)其溯源和處置難度較大。二是在經(jīng)濟(jì)利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大,難以防范。例如2011年針對(duì)浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月,綜合采用了DNS請(qǐng)求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請(qǐng)求攻擊等多種方式,攻擊峰值流量達(dá)數(shù)十個(gè)Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無(wú)辜者的情況屢見(jiàn)不鮮。2011年多家省部級(jí)政府網(wǎng)站都遭受過(guò)流量轉(zhuǎn)嫁攻擊,且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭(zhēng)斗引起。

二、國(guó)內(nèi)網(wǎng)絡(luò)安全應(yīng)對(duì)措施

(一)相關(guān)互聯(lián)網(wǎng)主管部門加大網(wǎng)絡(luò)安全行政監(jiān)管力度

堅(jiān)決打擊境內(nèi)網(wǎng)絡(luò)攻擊行為。針對(duì)工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況,工信部在2011年9月專門印發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求。2011年底,工信部印發(fā)了《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》,開(kāi)展治理試點(diǎn),加強(qiáng)能力建設(shè)。6月起,工信部組織開(kāi)展2011年網(wǎng)絡(luò)安全防護(hù)檢查工作,積極將防護(hù)工作向域名服務(wù)和增值電信領(lǐng)域延伸。另外還組織通信行業(yè)開(kāi)展網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練,指導(dǎo)相關(guān)單位妥善處置網(wǎng)絡(luò)安全應(yīng)急事件等。公安部門積極開(kāi)展網(wǎng)絡(luò)犯罪打擊行動(dòng),破獲了2011年12月底CSDN、天涯社區(qū)等數(shù)據(jù)泄漏案等大量網(wǎng)絡(luò)攻擊案件;國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心積極發(fā)揮網(wǎng)絡(luò)安全信息共享平臺(tái)作用,有力支撐各部門做好網(wǎng)絡(luò)安全工作。

(二)通信行業(yè)積極行動(dòng),采取技術(shù)措施凈化公共網(wǎng)絡(luò)環(huán)境

面對(duì)木馬和僵尸程序在網(wǎng)上的橫行和肆虐,在工信部的指導(dǎo)下,2011年CNCERT會(huì)同基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、域名從業(yè)機(jī)構(gòu)開(kāi)展14次木馬和僵尸網(wǎng)絡(luò)專項(xiàng)打擊行動(dòng),次數(shù)比去年增加近一倍。成功處置境內(nèi)外5078個(gè)規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端和惡意程序傳播源。此外,CNCERT全國(guó)各分中心在當(dāng)?shù)赝ㄐ殴芾砭值闹笇?dǎo)下,協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運(yùn)營(yíng)企業(yè)分公司合計(jì)處置木馬和僵尸網(wǎng)絡(luò)控制端6.5萬(wàn)個(gè)、受控端93.9萬(wàn)個(gè)。根據(jù)監(jiān)測(cè),在中國(guó)網(wǎng)民數(shù)和主機(jī)數(shù)量大幅增加的背景下,控制端數(shù)量相對(duì)2010年下降4.6%,專項(xiàng)治理工作取得初步成效。

(三)互聯(lián)網(wǎng)企業(yè)和安全廠商聯(lián)合行動(dòng),有效開(kāi)展網(wǎng)絡(luò)安全行業(yè)自律

2011年CNVD收集整理并漏洞信息,重點(diǎn)協(xié)調(diào)國(guó)內(nèi)外知名軟件商處置了53起影響我國(guó)政府和重要信息系統(tǒng)部門的高危漏洞。中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)啟動(dòng)聯(lián)盟內(nèi)惡意代碼共享和分析平臺(tái)試點(diǎn)工作,聯(lián)合20余家網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)簽訂遵守《移動(dòng)互聯(lián)網(wǎng)惡意程序描述規(guī)范》,規(guī)范了移動(dòng)互聯(lián)網(wǎng)惡意代碼樣本的認(rèn)定命名,促進(jìn)了對(duì)其的分析和處置工作。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)于2011年8月組織包括奇虎360和騰訊公司在內(nèi)的38個(gè)單位簽署了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》,該公約提倡公平競(jìng)爭(zhēng)和禁止軟件排斥,一定程度上規(guī)范了終端軟件市場(chǎng)的秩序;在部分網(wǎng)站發(fā)生用戶信息泄露事件后,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)立即召開(kāi)了“網(wǎng)站用戶信息保護(hù)研討會(huì)”,提出安全防范措施建議。

(四)深化網(wǎng)絡(luò)安全國(guó)際合作,切實(shí)推動(dòng)跨境網(wǎng)絡(luò)安全事件有效處理

作為我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對(duì)外合作窗口,2011年CNCERT極推動(dòng)“國(guó)際合作伙伴計(jì)劃”,已與40個(gè)國(guó)家、79個(gè)組織建立了聯(lián)系機(jī)制,全年共協(xié)調(diào)國(guó)外安全組織處理境內(nèi)網(wǎng)絡(luò)安全事件1033起,協(xié)助境外機(jī)構(gòu)處理跨境事件568起。其中包括針對(duì)境內(nèi)的DDoS攻擊、網(wǎng)絡(luò)釣魚(yú)等網(wǎng)絡(luò)安全事件,也包括針對(duì)境外蘇格蘭皇家銀行網(wǎng)站、德國(guó)郵政銀行網(wǎng)站、美國(guó)金融機(jī)構(gòu)Wells Fargo網(wǎng)站、希臘國(guó)家銀行網(wǎng)站和韓國(guó)農(nóng)協(xié)銀行網(wǎng)站等金融機(jī)構(gòu),加拿大稅務(wù)總局網(wǎng)站、韓國(guó)政府網(wǎng)站等政府機(jī)構(gòu)的事件。另外CNCERT再次與微軟公司聯(lián)手,繼2010年打擊Waledac僵尸網(wǎng)絡(luò)后,2011年又成功清除了Rustock僵尸網(wǎng)絡(luò),積極推動(dòng)跨境網(wǎng)絡(luò)安全事件的處理。2011年,CNCERT圓滿完成了與美國(guó)東西方研究所(EWI)開(kāi)展的為期兩年的中美網(wǎng)絡(luò)安全對(duì)話機(jī)制反垃圾郵件專題研討,并在英國(guó)倫敦和我國(guó)大連舉辦的國(guó)際會(huì)議上正式了中文版和英文版的成果報(bào)告“抵御垃圾郵件建立互信機(jī)制”,增進(jìn)了中美雙方在網(wǎng)絡(luò)安全問(wèn)題上的相互了解,為進(jìn)一步合作打下基礎(chǔ)。

三、2012年值得關(guān)注的網(wǎng)絡(luò)安全熱點(diǎn)問(wèn)題

隨著我國(guó)互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的快速發(fā)展,2012年的網(wǎng)絡(luò)安全形勢(shì)將更加復(fù)雜,尤其需要重點(diǎn)關(guān)注如下幾方面問(wèn)題:

(一)網(wǎng)站安全面臨的形勢(shì)可能更加嚴(yán)峻,網(wǎng)站中集中存儲(chǔ)的用戶信息將成為黑客竊取的重點(diǎn)。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差,其中存儲(chǔ)的用戶信息極易被竊取,黑客在得手之后會(huì)進(jìn)一步研究利用所竊取的個(gè)人信息,結(jié)合社會(huì)工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng),可能導(dǎo)致更嚴(yán)重的財(cái)產(chǎn)損失。

(二)隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展,針對(duì)移動(dòng)互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加,智能終端將成為黑客攻擊的重點(diǎn)目標(biāo)。由于Android手機(jī)用戶群的快速增長(zhǎng)和Android應(yīng)用平臺(tái)允許第三方應(yīng)用的特點(diǎn),運(yùn)行Android操作系統(tǒng)的智能移動(dòng)終端將成為黑客關(guān)注的重點(diǎn)。

(三)隨著我國(guó)電子商務(wù)的普及,網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移,針對(duì)網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的攻擊將急劇增加。針對(duì)金融機(jī)構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化,可能集網(wǎng)絡(luò)釣魚(yú)、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體,實(shí)施更具威脅的攻擊。

(四)APT攻擊將更加盛行,網(wǎng)絡(luò)竊密風(fēng)險(xiǎn)加大。APT攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性,傳統(tǒng)的安全防護(hù)系統(tǒng)很難防御。美國(guó)等西方發(fā)達(dá)國(guó)家已將APT攻擊列入國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié),2012年APT攻擊將更加系統(tǒng)化和成熟化,針對(duì)重要和敏感信息的竊取,有可能成為我國(guó)政府、企業(yè)等重要部門的嚴(yán)重威脅。

(五)隨著2012年ICANN正式啟動(dòng)新通用頂級(jí)域名(gTLD)業(yè)務(wù),新增的大量gTLD及其多語(yǔ)言域名資源,將給域名濫用者或欺詐者帶來(lái)更大的操作空間。

(六)隨著寬帶中國(guó)戰(zhàn)略開(kāi)始實(shí)施,國(guó)家下一代互聯(lián)網(wǎng)啟動(dòng)商用試點(diǎn),以及無(wú)線城市的大規(guī)模推進(jìn)和云計(jì)算大范圍投入應(yīng)用,IPv6網(wǎng)絡(luò)安全、無(wú)線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問(wèn)題將會(huì)越來(lái)越多地呈現(xiàn)出來(lái)。

篇9

【關(guān)鍵詞】 核電 工業(yè)控制系統(tǒng) 安全測(cè)試 風(fēng)險(xiǎn)評(píng)估 應(yīng)對(duì)策略

【Abstract】 This paper illustrates the difference between ICS and IT system, the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country, an integrated protect strategy is proposed.

【Key words】 Nuclear power generation;Industrial control system ;Safety testing;Risk assessment;Protect strategy

1 引言

隨著信息和通信技術(shù)的發(fā)展,核電領(lǐng)域工業(yè)控制系統(tǒng)(Industrial Control System,ICS)的結(jié)構(gòu)變得愈發(fā)開(kāi)放,其需求方逐漸采用基于標(biāo)準(zhǔn)通信協(xié)議的商業(yè)軟件來(lái)代替自主研發(fā)的工業(yè)控制軟件。這種趨勢(shì)降低了最終用戶的研發(fā)投入成本,同時(shí),設(shè)備與軟件的維護(hù)任務(wù)可以交給工業(yè)控制系統(tǒng)解決方案提供方,節(jié)省了人力維護(hù)成本。

ICS系統(tǒng)的聯(lián)通特性在帶來(lái)方便的同時(shí)也給核電工業(yè)控制系統(tǒng)安全防護(hù)提出了新的挑戰(zhàn),近年來(lái),多個(gè)國(guó)家的ICS系統(tǒng)受到了安全威脅。為應(yīng)對(duì)核電領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn),建立工業(yè)控制安全與核安全相結(jié)合的保障體系,本文從工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定、核電信息安全與功能安全的區(qū)別、核電工業(yè)控制系統(tǒng)基本安全要求等方面闡述我國(guó)目前面臨的核電信息安全形勢(shì),介紹了核電領(lǐng)域重要的信息安全事件,并總結(jié)了核電工業(yè)控制系統(tǒng)安全的應(yīng)對(duì)策略。

2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

標(biāo)準(zhǔn)通信協(xié)議的引入使ICS具備了互聯(lián)互通的特性,ICS與傳統(tǒng)IT系統(tǒng)的界線似乎變得更加模糊了。然而,ICS系統(tǒng)與IT系統(tǒng)相比仍然具有很多本質(zhì)上的差異。

美國(guó)問(wèn)責(zé)總署(GAO)的報(bào)告GAO-07-1036[1]、美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST SP 800-82[2]根據(jù)系統(tǒng)特征對(duì)IT系統(tǒng)和ICS系統(tǒng)進(jìn)行了比較,IT系統(tǒng)屬于信息系統(tǒng)(Cyber System),ICS系統(tǒng)屬于信息物理融合系統(tǒng)(Cyber-Physical System)。下文將從不同角度說(shuō)明兩種系統(tǒng)的差異。

2.1 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

模型和參考體系是描述工業(yè)控制系統(tǒng)的公共框架,工業(yè)控制系統(tǒng)被劃分為五層結(jié)構(gòu),如圖1。

第五層―經(jīng)營(yíng)決策層。經(jīng)營(yíng)決策層具有為組織機(jī)構(gòu)提供核心生產(chǎn)經(jīng)營(yíng)、重大戰(zhàn)略決策的功能。該層屬于傳統(tǒng)IT管理系統(tǒng),使用的都是傳統(tǒng)的IT技術(shù)、設(shè)備等,主要由服務(wù)器和計(jì)算機(jī)構(gòu)成。當(dāng)前工業(yè)領(lǐng)域中企業(yè)管理系統(tǒng)等同工業(yè)控制系統(tǒng)之間的耦合越來(lái)越多,參考模型也將它包含進(jìn)來(lái)。

第四層―管理調(diào)度層。管理調(diào)度層負(fù)責(zé)管理生產(chǎn)所需最終產(chǎn)品的工作流,它包括業(yè)務(wù)管理、運(yùn)行管理、生產(chǎn)管理、制造執(zhí)行、能源管理、安全管理、物流管理等,主要由服務(wù)器和計(jì)算機(jī)構(gòu)成。

第三層―集中監(jiān)控層。集中監(jiān)控層具有監(jiān)測(cè)和控制物理過(guò)程的功能,主要由操作員站、工程師站、輔操臺(tái)、人機(jī)界面、打印工作站、數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備構(gòu)成。

第二層―現(xiàn)場(chǎng)控制層?,F(xiàn)場(chǎng)控制層主要包括利用控制設(shè)備進(jìn)行現(xiàn)場(chǎng)控制的功能,另外在第二層也對(duì)控制系統(tǒng)進(jìn)行安全保護(hù)。第二層中的典型設(shè)備包括分散控制系統(tǒng)(DCS)控制器、可編程邏輯控制器(PLC)、遠(yuǎn)程終端控制單元(RTU)等。

第一層―采集執(zhí)行層?,F(xiàn)場(chǎng)執(zhí)行層指實(shí)際的物理和化學(xué)過(guò)程數(shù)據(jù)的采集、控制動(dòng)作的執(zhí)行。本層包括不同類型的生產(chǎn)設(shè)施,典型設(shè)備有直接連接到過(guò)程和過(guò)程設(shè)備的傳感器、執(zhí)行器、智能電子儀表等。在工業(yè)控制系統(tǒng)參考模型中,現(xiàn)場(chǎng)執(zhí)行層屬于物理空間,它同各工業(yè)控制行業(yè)直接相關(guān),例如電力的發(fā)電、輸電、配電,化工生產(chǎn)、水處理行業(yè)的泵操作等;正是由于第一層物理空間的過(guò)程對(duì)實(shí)時(shí)性、完整性等要求以及它同第二、三、四層信息空間融合才產(chǎn)生工業(yè)控制系統(tǒng)特有的特點(diǎn)和安全需求[3]。

隨著信息物理的融合,從廣義來(lái)說(shuō),上述五層都屬于工業(yè)控制系統(tǒng);從狹義來(lái)說(shuō),第一層到第三層的安全要求及技術(shù)防護(hù)與其他兩層相比具備較大差異,第一層到第三層屬于狹義工業(yè)控制系統(tǒng),第四層到第五層屬于信息系統(tǒng)。

2.2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的差異

從用途的角度來(lái)說(shuō),ICS屬于工業(yè)生產(chǎn)領(lǐng)域的生產(chǎn)過(guò)程運(yùn)行控制系統(tǒng),重點(diǎn)是生產(chǎn)過(guò)程的采集、控制和執(zhí)行,而信息系統(tǒng)通常是信息化領(lǐng)域的管理運(yùn)行系統(tǒng),重點(diǎn)在于信息管理。

從系統(tǒng)最終目標(biāo)的角度來(lái)看,ICS更多是以生產(chǎn)過(guò)程的控制為中心的系統(tǒng),而信息技術(shù)系統(tǒng)的目的是人使用信息進(jìn)行管理。

從安全的角度來(lái)說(shuō),傳統(tǒng)IT系統(tǒng)的安全三要素機(jī)密性、完整性、可用性按CIA原則排序,即機(jī)密性最重要,完整性次之,可用性排在最后;而工業(yè)控制系統(tǒng)不再適用于這一原則,其安全目標(biāo)應(yīng)符合AIC原則,即可用性排在第一位,完整性次之,機(jī)密性排在最后。

從受到攻擊后產(chǎn)生的結(jié)果來(lái)說(shuō),工業(yè)控制系統(tǒng)被攻陷后產(chǎn)生的影響是巨大的,有時(shí)甚至是災(zāi)難性的:一是造成物質(zhì)與人員損失,如設(shè)備的報(bào)廢、基礎(chǔ)設(shè)備的損壞、對(duì)人員的傷害、財(cái)產(chǎn)的損失、數(shù)據(jù)的丟失;二是造成環(huán)境的破壞,如水、電、氣、熱等人民生活資源的污染,有毒、危險(xiǎn)物質(zhì)的無(wú)序排放、非法轉(zhuǎn)移與使用,公共秩序的混亂;三是造成對(duì)國(guó)民經(jīng)濟(jì)的破壞,如企業(yè)生產(chǎn)與經(jīng)營(yíng)中斷或停頓、工人停工或失業(yè),對(duì)一個(gè)地區(qū)、一個(gè)國(guó)家乃至對(duì)全球經(jīng)濟(jì)具備重要的影響;四是嚴(yán)重的則會(huì)導(dǎo)致社會(huì)問(wèn)題和國(guó)家安全問(wèn)題,如公眾對(duì)國(guó)家的信心喪失、恐怖襲擊等。

從安全需求的角度來(lái)說(shuō),ICS系統(tǒng)與IT的差異可以歸納為表1。

3 核電信息安全與功能安全的區(qū)別

功能安全(Functional Safety)是保證系統(tǒng)或設(shè)備執(zhí)行正確的功能。它要求系統(tǒng)識(shí)別工業(yè)現(xiàn)場(chǎng)的所有風(fēng)險(xiǎn),并將它控制在可容忍范圍內(nèi)。

安全相關(guān)系統(tǒng)的概念是基于安全完整性等級(jí)(SIL1到SIL4)的。它將系統(tǒng)的安全表示為單個(gè)數(shù)字,而這個(gè)數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的衡量安全相關(guān)系統(tǒng)功能失效率的保護(hù)因子,級(jí)別越高,失效的可能性越小。某一功能安全的SIL等級(jí)一旦確定,代表它的風(fēng)險(xiǎn)消減能力要求被確定,同時(shí),對(duì)系統(tǒng)的設(shè)計(jì)、管理、維護(hù)的要求嚴(yán)格程度也被確定。信息安全與功能安全雖然都是為保障人員、生產(chǎn)和環(huán)境安全,但是功能安全使用的安全完整性等級(jí)是基于硬件隨機(jī)失效或系統(tǒng)失效的可能性計(jì)算得出的,而信息安全的失效具有更多可能的誘因和后果。影響信息安全的因素非常復(fù)雜,很難用一個(gè)簡(jiǎn)單的數(shù)字描述。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護(hù)也須是反復(fù)迭代進(jìn)行的。

4 核電工業(yè)控制系統(tǒng)基本安全要求

我國(guó)核安全法規(guī)及政策文件主要包括《HAF001中華人民共和國(guó)民用核設(shè)施安全監(jiān)督管理?xiàng)l例》、《HAF501中華人民共和國(guó)核材料管制條例》、《HAF002核電廠核事故應(yīng)急管理?xiàng)l例》、《民用核安全設(shè)備監(jiān)督管理?xiàng)l例 500號(hào)令》、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))等;指導(dǎo)性文件主要有《HAD核安全導(dǎo)則》,與核電廠工業(yè)控制系統(tǒng)安全相關(guān)的有《HAF003 核電廠質(zhì)量保證安全規(guī)定》、《HAD102-01核電廠設(shè)計(jì)總的安全原則》、《HAD102-10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)備》、《HAD102-14核電廠安全有關(guān)儀表和控制系統(tǒng)》、《HAD102-16核電廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》、《HAD102-17核電廠安全評(píng)價(jià)與驗(yàn)證》等導(dǎo)則,標(biāo)準(zhǔn)規(guī)范有《GB/T 13284.1-2008 核電廠安全系統(tǒng) 第1部分:設(shè)計(jì)準(zhǔn)則》、《GB/T 13629-2008 核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》、《GB/T 15474-2010 核電廠安全重要儀表和控制功能分類》、《GB/T 20438-2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》、《GB/T 21109-2007 過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》[4]等。

然而,我國(guó)核電信息安全方面的標(biāo)準(zhǔn)與我國(guó)法律的結(jié)合不緊密?!禦G 5.71核設(shè)施的信息安全程序》是美國(guó)核能監(jiān)管委員會(huì)(NRC)參考聯(lián)邦法規(guī)中對(duì)計(jì)算機(jī)、通信系統(tǒng)和網(wǎng)絡(luò)保護(hù)的要求,針對(duì)核電廠而制定的法規(guī),《RG 1.152核電廠安全系統(tǒng)計(jì)算機(jī)使用標(biāo)準(zhǔn)》是為保障用于核電廠安全系統(tǒng)的數(shù)字計(jì)算機(jī)的功能可靠性、設(shè)計(jì)質(zhì)量、信息和網(wǎng)絡(luò)安全而制定的法規(guī),其所有的背景與定義均來(lái)源于聯(lián)邦法規(guī)。而我國(guó)的相關(guān)標(biāo)準(zhǔn)僅是將RG 5.71中的美國(guó)標(biāo)準(zhǔn)替換為中國(guó)標(biāo)準(zhǔn),且國(guó)內(nèi)相關(guān)核電領(lǐng)域法規(guī)缺乏對(duì)信息安全的要求。

5 核電工業(yè)控制系統(tǒng)重要安全事件

5.1 蠕蟲(chóng)病毒導(dǎo)致美國(guó)Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓

2003年1月,“Slammer”蠕蟲(chóng)病毒導(dǎo)致美國(guó)俄亥俄州Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓,核電站被迫停止運(yùn)轉(zhuǎn)進(jìn)行檢修。經(jīng)調(diào)查,核電站沒(méi)有及時(shí)進(jìn)行安裝補(bǔ)丁,該蠕蟲(chóng)使用供應(yīng)商被感染的電腦通過(guò)電話撥號(hào)直接連到工廠網(wǎng)絡(luò),從而繞過(guò)防火墻。

5.2 信息洪流導(dǎo)致美國(guó)Browns Ferry核電站機(jī)組關(guān)閉

2006年8月,美國(guó)阿拉巴馬州的Browns Ferry核電站3號(hào)機(jī)組受到網(wǎng)絡(luò)攻擊,當(dāng)天核電站局域網(wǎng)中出現(xiàn)了信息洪流,導(dǎo)致反應(yīng)堆再循環(huán)泵和冷凝除礦控制器失靈,致使3號(hào)機(jī)組被迫關(guān)閉。

5.3 軟件更新不當(dāng)引發(fā)美國(guó)Hatch核電廠機(jī)組停機(jī)

2008年3月,美國(guó)喬治亞州Hatch核電廠2號(hào)機(jī)組發(fā)生自動(dòng)停機(jī)事件。當(dāng)時(shí),一位工程師正在對(duì)該廠業(yè)務(wù)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)進(jìn)行軟件更新,該計(jì)算機(jī)用于采集控制網(wǎng)絡(luò)中的診斷數(shù)據(jù),以同步業(yè)務(wù)網(wǎng)絡(luò)與控制網(wǎng)絡(luò)中的數(shù)據(jù)。當(dāng)工程師重啟計(jì)算機(jī)時(shí),同步程序重置了控制網(wǎng)絡(luò)中的相關(guān)數(shù)據(jù),使得控制系統(tǒng)誤以為反應(yīng)堆儲(chǔ)水庫(kù)水位突然下降,從而自動(dòng)關(guān)閉了整個(gè)機(jī)組。

5.4 震網(wǎng)病毒入侵伊朗核電站導(dǎo)致核計(jì)劃停頓

2010年10月,震網(wǎng)病毒(Stuxnet)通過(guò)針對(duì)性的入侵伊朗布什爾核電站核反應(yīng)堆控制系統(tǒng),攻擊造成核電站五分之一的濃縮鈾設(shè)施離心機(jī)發(fā)生故障,直接影響到了伊朗的核計(jì)劃進(jìn)度,嚴(yán)重威脅到的安全運(yùn)營(yíng)。該事件源于核電廠員工在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)交叉使用帶有病毒的移動(dòng)存儲(chǔ)介質(zhì)。

5.5 無(wú)線網(wǎng)絡(luò)引入的木馬引發(fā)韓國(guó)核電站重要信息泄露

2015年8月,曾泄漏韓國(guó)古里核電站1、2號(hào)機(jī)組內(nèi)部圖紙、月城核電站3、4號(hào)機(jī)組內(nèi)部圖紙、核電站安全解析代碼等文件的“核電反對(duì)集團(tuán)”組織通過(guò)社交網(wǎng)站再次公開(kāi)了核電站等機(jī)構(gòu)的內(nèi)部文件,要求韓國(guó)政府與該組織就拿到的10萬(wàn)多張?jiān)O(shè)計(jì)圖問(wèn)題進(jìn)行協(xié)商,并威脅韓國(guó)政府如不接受上述要求,將向朝鮮以及其他國(guó)家出售所有資料。本事件源于核電廠員工在企業(yè)內(nèi)網(wǎng)和企業(yè)外部利用手機(jī)使用不安全的無(wú)線網(wǎng)絡(luò)信號(hào),被感染木馬而引發(fā)。

6 核電工業(yè)控制系統(tǒng)安全應(yīng)對(duì)策略

6.1 完善核電工業(yè)控制系統(tǒng)安全法規(guī)及標(biāo)準(zhǔn)

根據(jù)工信部協(xié)[2011]45l號(hào)文[5],工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施,明確了工業(yè)控制系統(tǒng)信息安全管理基本要求,即連接管理要求、組網(wǎng)管理要求、配置管理要求、設(shè)備選擇與升級(jí)管理要求、數(shù)據(jù)管理要求、應(yīng)急管理要求。核電行業(yè)主管部門、國(guó)有資產(chǎn)監(jiān)督管理部門應(yīng)結(jié)合實(shí)際制定完善相關(guān)法規(guī)制度,并參考《IEC 62443工業(yè)通訊網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全》、《NIST SP800-82 工業(yè)控制系統(tǒng)安全指南》、《GB/T 26333-2010工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《GB/T 30976.1-2014 工業(yè)控制系統(tǒng)信息安全 第1部分:評(píng)估規(guī)范》、《GB/T 30976.2-2014工業(yè)控制系統(tǒng)信息安全 第2部分:驗(yàn)收規(guī)范》、《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《IEEE Std 7-432-2010 核電站安全系統(tǒng)計(jì)算機(jī)系統(tǒng)》制定適用于核電領(lǐng)域的工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)。同時(shí),部分企業(yè)對(duì)推薦性標(biāo)準(zhǔn)的執(zhí)行力度不夠,有必要出臺(tái)若干強(qiáng)制性標(biāo)準(zhǔn)。

6.2 健全核電工業(yè)控制系統(tǒng)安全責(zé)任制

核電企業(yè)要按照誰(shuí)主管按照誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)的原則建立健全信息安全責(zé)任制,建立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和專職部門,配備工業(yè)控制系統(tǒng)安全專職技術(shù)人員,統(tǒng)籌工業(yè)控制系統(tǒng)和信息系統(tǒng)安全工作,建立工業(yè)控制系統(tǒng)安全管理制度和應(yīng)急預(yù)案,保證充足的信息安全投入,系統(tǒng)性開(kāi)展安全管理和技術(shù)防護(hù)。

6.3 統(tǒng)籌開(kāi)展核電工業(yè)控制系統(tǒng)安全防護(hù)

結(jié)合生產(chǎn)安全、功能安全、信息安全等多方面要求統(tǒng)籌開(kāi)展工業(yè)控制系統(tǒng)安全防護(hù),提升工業(yè)控制系統(tǒng)設(shè)計(jì)人員、建設(shè)人員、使用人員、運(yùn)維人員和管理人員的信息安全意識(shí),避免殺毒等傳統(tǒng)防護(hù)手段不適用導(dǎo)致工業(yè)控制系統(tǒng)未進(jìn)行有效防護(hù)、工業(yè)控制系統(tǒng)遭受外界攻擊而發(fā)生癱瘓、工業(yè)控制系統(tǒng)安全可靠性不足導(dǎo)致停機(jī)事故、工業(yè)控制系統(tǒng)重要信息失竊密等風(fēng)險(xiǎn)。

6.4 建立核電工業(yè)控制系統(tǒng)測(cè)試管控體系

系統(tǒng)需求、設(shè)計(jì)、開(kāi)發(fā)、運(yùn)維階段的一些問(wèn)題會(huì)影響工業(yè)控制系統(tǒng)的安全可靠運(yùn)行,因此有必要在系統(tǒng)需求設(shè)計(jì)、選型、招標(biāo)、建設(shè)、驗(yàn)收、運(yùn)維、擴(kuò)建等階段強(qiáng)化廠商內(nèi)部測(cè)試、出廠測(cè)試、選型測(cè)試、試運(yùn)行測(cè)試、驗(yàn)收測(cè)試、安全測(cè)試、入網(wǎng)測(cè)試、上線或版本變更測(cè)試等測(cè)試管控手段,提升系統(tǒng)安全性。

6.5 開(kāi)展工業(yè)控制系統(tǒng)安全測(cè)試、檢查和評(píng)估

企業(yè)要定期開(kāi)展工業(yè)控制系統(tǒng)的安全測(cè)試、風(fēng)險(xiǎn)評(píng)估、安全檢查和安全評(píng)估,以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患和薄弱環(huán)節(jié),有針對(duì)性地采取管理和技術(shù)防護(hù)措施,促進(jìn)安全防范水平和安全可控能力提升,預(yù)防和減少重大網(wǎng)絡(luò)安全事件的發(fā)生。核電行業(yè)主管部門、網(wǎng)絡(luò)安全主管部門要加強(qiáng)對(duì)核電領(lǐng)域工業(yè)控制系統(tǒng)信息安全工作的指導(dǎo)監(jiān)督,加強(qiáng)安全自查、檢查和抽查,確保信息安全落到實(shí)處。

綜上所述,圍繞我國(guó)核設(shè)施安全要求,完善核電信息安全法規(guī)標(biāo)準(zhǔn),落實(shí)信息安全責(zé)任制,統(tǒng)籌開(kāi)展安全技術(shù)防護(hù),建立工業(yè)控制系統(tǒng)測(cè)試管控體系,定期開(kāi)展安全測(cè)試和評(píng)估,是當(dāng)前和今后核電領(lǐng)域開(kāi)展工業(yè)控制系統(tǒng)信息安全保障的重要內(nèi)容。

參考文獻(xiàn):

[1]David A. Multiple Efforts to Secure Control Systems Are Under Way, but Challenges Remain, GAO-07-1036 [R].Washington DC,USA:US Government Accountability Office(US GAO),2007.

[2]NIST SP800-82.Guide to Industrial Control Systems (ICS) Security [S].Gaithersburg, USA: National Institute of Standards and Technology (NIST),2011.

[3]彭勇,江常青,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展 [J].清華大學(xué)學(xué)報(bào),2012,52(10):1396-1408.

篇10

隨著網(wǎng)絡(luò)的普及率的提高,使得電力企業(yè)不斷提高其辦公的信息化,同時(shí)也提升了企業(yè)對(duì)信息化網(wǎng)絡(luò)依賴程度,網(wǎng)絡(luò)內(nèi)部存在不安全因素對(duì)信息安全存在著一定的威脅。本文主要介紹了網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)控制原理、控制技術(shù)方式及在電網(wǎng)公司中的應(yīng)用情況,及相關(guān)問(wèn)題,需要不斷完善。僅供參考。

【關(guān)鍵詞】

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)供電局終端安全應(yīng)用管理

1前言

隨著網(wǎng)絡(luò)應(yīng)用的推廣,電網(wǎng)企業(yè)的管理依賴于信息網(wǎng)絡(luò),企業(yè)相關(guān)的所有設(shè)備都需要接入企業(yè)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)企業(yè)資源的共享局面,同時(shí)也增加了電網(wǎng)企業(yè)內(nèi)網(wǎng)安全管理的工作難度。根據(jù)有關(guān)統(tǒng)計(jì)[1],絕大多數(shù)信息泄露事件都是由于企業(yè)內(nèi)部人員所泄露的,因此加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理是一件刻不容緩的事情。

2網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)控制原理

網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)控制的目的即減少降低相關(guān)病毒、黑客木馬等破壞性程序?qū)ζ髽I(yè)信息安全造成的威脅。該系統(tǒng)的應(yīng)用能夠阻擾未經(jīng)授權(quán)許可的終端設(shè)備接入公司集團(tuán)網(wǎng)絡(luò),只有經(jīng)過(guò)相關(guān)安全授權(quán)的終端設(shè)備才能順利與企業(yè)網(wǎng)絡(luò)相連接。有效的提高了企業(yè)網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的全新構(gòu)架模式,基本分為以下三個(gè)重要組成部分:企業(yè)內(nèi)部網(wǎng)絡(luò)的外界安全防護(hù),對(duì)于來(lái)自網(wǎng)絡(luò)外部的安全威脅實(shí)時(shí)防護(hù);內(nèi)部網(wǎng)絡(luò)自身的安全威脅防護(hù),對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅進(jìn)行防護(hù);外網(wǎng)移動(dòng)用戶安全接入防護(hù),用于保證內(nèi)部移動(dòng)用戶在不同網(wǎng)絡(luò)環(huán)境中的自身安全及企業(yè)網(wǎng)絡(luò)安全[2]。

3常見(jiàn)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的幾種方式:802.1x協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)其技術(shù)要求網(wǎng)絡(luò)設(shè)備能夠支持802.1x,不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),不會(huì)降低網(wǎng)絡(luò)的可靠性及其他性能,適用于所有規(guī)模的網(wǎng)絡(luò)用戶,也是眾多企業(yè)所廣泛應(yīng)用的一種網(wǎng)絡(luò)系統(tǒng)準(zhǔn)入控制。其具有國(guó)際標(biāo)準(zhǔn)是主流技術(shù);思科EoU方式的網(wǎng)絡(luò)準(zhǔn)入控制,其與802.1X的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)類似;網(wǎng)關(guān)型網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是非授權(quán)終端不能訪問(wèn)受網(wǎng)關(guān)保護(hù)的網(wǎng)絡(luò)資源,并且終端之間可以互相訪問(wèn)。其技術(shù)要求需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),要有專門適用的網(wǎng)關(guān),其會(huì)給網(wǎng)絡(luò)帶來(lái)一些有關(guān)可靠性、性能的問(wèn)題。其不適合大規(guī)模的組網(wǎng);DHCP方式的網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是終端可以通過(guò)自行IP等手段,繞開(kāi)DHCP準(zhǔn)入控制,無(wú)需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),但是需要在每一個(gè)網(wǎng)段部署專用DHCP服務(wù)器。不會(huì)降低網(wǎng)絡(luò)的可靠性,其適應(yīng)于中小規(guī)模的網(wǎng)絡(luò);ARP方式的網(wǎng)絡(luò)準(zhǔn)入控制,其技術(shù)特點(diǎn)是終端能夠通過(guò)自行設(shè)置本紀(jì)的路由器、ARP映射等繞開(kāi)ARP準(zhǔn)入控制,無(wú)需調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),需要在每一個(gè)網(wǎng)段設(shè)置ARP干擾器。其過(guò)多的ARP廣播會(huì)給網(wǎng)絡(luò)帶來(lái)諸多性能等故障問(wèn)題。其適應(yīng)于小規(guī)模的網(wǎng)絡(luò)。

4網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在供電局的應(yīng)用概況

電網(wǎng)企業(yè)的信息化管理正處于高速發(fā)展的狀態(tài),許多電網(wǎng)企業(yè)都采用了網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)對(duì)于企業(yè)信息安全的控制管理,能夠提高企業(yè)信息的安全性,保障電網(wǎng)企業(yè)的正常運(yùn)行。SymantecSNAC網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)是許多電網(wǎng)企業(yè)普遍使用的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)之一[4]。為了提高企業(yè)終端的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),廣西電網(wǎng)公司在全省各地市供電局統(tǒng)一采用的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)是華賽TSM網(wǎng)絡(luò)準(zhǔn)入控制,該系統(tǒng)主要有六種主要功能,如對(duì)終端補(bǔ)丁進(jìn)行管理的功能,對(duì)終端用戶行為、資產(chǎn)以及軟件等進(jìn)行管理的功能。通過(guò)控制網(wǎng)絡(luò)終端訪問(wèn)、準(zhǔn)入系統(tǒng),及對(duì)網(wǎng)絡(luò)終端實(shí)行安全檢查和安全修復(fù)工作,能夠控制許多人員對(duì)于企業(yè)網(wǎng)絡(luò)的訪問(wèn),如企業(yè)內(nèi)部人員、外部訪客及合作伙伴等。與此同時(shí),系統(tǒng)能夠自動(dòng)查詢發(fā)現(xiàn)安全威脅并及時(shí)隔離該安全威脅,提升了關(guān)系電網(wǎng)網(wǎng)絡(luò)防御保護(hù)的能力。規(guī)范了終端的接入程序,緩解了對(duì)其的維護(hù)壓力,提升了網(wǎng)絡(luò)安全性能,同時(shí)依舊存在迫切需要改進(jìn)的問(wèn)題[5]。(1)存在多主機(jī)模式。網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中的多主機(jī)模式是指在TSM網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中,當(dāng)企業(yè)需要進(jìn)行某些遠(yuǎn)程會(huì)議時(shí),開(kāi)通無(wú)線網(wǎng)絡(luò),企業(yè)信息中心會(huì)架設(shè)一個(gè)普通的無(wú)線AP或者是一個(gè)充當(dāng)HUB作用的交換機(jī),當(dāng)其中有一臺(tái)終端設(shè)備通過(guò)了了認(rèn)真授權(quán)后,其后面的任何終端都可以無(wú)數(shù)次不限量的訪問(wèn)企業(yè)網(wǎng)絡(luò)。這種現(xiàn)象會(huì)影響網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的控制能力,影響企業(yè)網(wǎng)絡(luò)訪問(wèn)的安全性,因此在使用時(shí)應(yīng)控制對(duì)無(wú)線AP的使用。(2)無(wú)線網(wǎng)絡(luò)準(zhǔn)入控制。無(wú)線網(wǎng)絡(luò)的工作原理是通過(guò)電磁波來(lái)傳輸相關(guān)信息數(shù)據(jù)的,同時(shí)也存在著不可輕視的信息安全問(wèn)題,其根源性的問(wèn)題基于無(wú)線信號(hào)具有空間擴(kuò)散這一特性。要解決這一問(wèn)題,能夠在網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中增加無(wú)線入侵防護(hù)系統(tǒng)作為補(bǔ)充,將成功通過(guò)MAC地址認(rèn)證的無(wú)線AP接入企業(yè)網(wǎng)絡(luò),其他的無(wú)線AP則無(wú)法進(jìn)入企業(yè)網(wǎng)絡(luò)進(jìn)行通信,這一補(bǔ)充措施能夠從根本上保障無(wú)線網(wǎng)絡(luò)的安全接入,保障企業(yè)網(wǎng)絡(luò)信息安全。(3)對(duì)虛擬化技術(shù)應(yīng)用的支持。在現(xiàn)有的技術(shù)層面,普遍存在的是服務(wù)器與桌面的虛擬化技術(shù),而如果要在終端網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)中采用虛擬化技術(shù),必要將技術(shù)上升到更高的層次才能解決相關(guān)安全問(wèn)題。假如網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)沒(méi)有辦法從網(wǎng)卡中區(qū)分出是否真實(shí),僅僅是通過(guò)一刀切的方式來(lái)禁止網(wǎng)卡的使用網(wǎng)絡(luò)的情況,會(huì)影響正常用戶的正常網(wǎng)絡(luò)接入,給網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)帶來(lái)一定的困擾工作。

5結(jié)語(yǔ)

綜上所述,應(yīng)重視信息泄露的嚴(yán)重后果,及早組建企業(yè)終端網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng),做到對(duì)于企業(yè)信息安全的防護(hù)作用,能夠有效阻止終端電腦信息的非法外泄,保障企業(yè)信息安全,促進(jìn)企業(yè)正常運(yùn)轉(zhuǎn),提高經(jīng)濟(jì)效益。

作者:李永英 單位:平頂山工業(yè)職業(yè)技術(shù)學(xué)院

參考文獻(xiàn):

[1]呂維新.網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在供電局終端安全管理中的應(yīng)用[J].電力信息化,2011(06):94~97.

[2]宋經(jīng)偉.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在終端安全管理系統(tǒng)中的應(yīng)用[J].軟件導(dǎo)刊,2014(02):136~138.

[3]常榮.網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)在電網(wǎng)企業(yè)的應(yīng)用研究[J].電力信息與通信技術(shù),2013(11):38~44.

[4]梁彪.基于網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)安全防護(hù)方案探討[J].廣西電力,2014(06):59~62.