導(dǎo)語:在控制系統(tǒng)網(wǎng)絡(luò)安全的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�����,引領(lǐng)您探索更多的創(chuàng)作可能���。
第1篇
摘要:隨著計算機技術(shù)的飛速發(fā)展,全球信息化已成為人類發(fā)展的大趨勢���。網(wǎng)絡(luò)會計信息系統(tǒng)給人類帶來了方便快捷的信息服務(wù),已經(jīng)成為企業(yè)發(fā)展的重要保證��。但由于計算機網(wǎng)絡(luò)的開放性��、互連性和時空的無限性等特征���,致使網(wǎng)絡(luò)會計信息系統(tǒng)的安全問題變得非常突出,安全控制顯得尤為重要���。認識到這些安全問題���,采取必要的防范技術(shù)與對策是網(wǎng)絡(luò)會計信息系統(tǒng)正常運行的基本保障。關(guān)鍵詞:網(wǎng)絡(luò)會計信息系統(tǒng);安全控制�����;電子商務(wù)中圖分類號:F23
文獻標識碼:A
文章編號:16723198(2009)19027402網(wǎng)絡(luò)會計系統(tǒng)的誕生及應(yīng)用,在給人類帶來方便快捷的信息服務(wù)的同時�����,由于其自身的開放性��、資源的共享性等特點,也帶來了諸多安全問題���。因此�����,加強系統(tǒng)安全控制及防范已顯得特別重要���。1 網(wǎng)絡(luò)會計信息系統(tǒng)存在的主要問題(1)授權(quán)方式的改變和對系統(tǒng)程序質(zhì)量的依賴,潛伏著巨大的安全控制風(fēng)險���。在網(wǎng)絡(luò)會計系統(tǒng)中��,權(quán)限分工采用的主要形式是口令授權(quán)���,而口令存放于計算機系統(tǒng)內(nèi)��,一旦口令被人竊取,便會帶來巨大的安全隱患。網(wǎng)絡(luò)會計的安全控制在一定程度上取決于系統(tǒng)中運行的應(yīng)用程序的質(zhì)量��。一旦程序中存在嚴重的錯誤,便會危害系統(tǒng)安全���。而會計人員的計算機專業(yè)知識有限���,很難及時發(fā)現(xiàn)這些漏洞,致使系統(tǒng)會多次重復(fù)同一錯誤而擴大損失��。(2)電子商務(wù)的普及,會計信息易于被篡改或偽造���,將給網(wǎng)絡(luò)會計系統(tǒng)的安全控制帶來新的難題���。IT技術(shù)迅猛發(fā)展,網(wǎng)上交易愈加普遍���,電子商務(wù)將逐步普及��。企業(yè)在利用Internet網(wǎng)尋找潛在貿(mào)易伙伴��、完成網(wǎng)上交易的同時���,也將自己暴露于風(fēng)險之中�����。一旦企業(yè)的全部原始憑證采用數(shù)字格式,實現(xiàn)電子化��,極易被修改甚至偽造而不留任何痕跡��,勢必將加強企業(yè)對網(wǎng)上公證機構(gòu)的依賴�����,電子單據(jù)的信息保真將顯得特別重要���。但目前相關(guān)技術(shù)還不完全成熟���、相應(yīng)法規(guī)并不完善,這將給系統(tǒng)安全控制造成極大的困難�����。(3)會計信息儲存方式和媒介發(fā)生變化��,會計業(yè)務(wù)缺乏有效牽制���。網(wǎng)絡(luò)會計采用高度電子化的交易方式��,對數(shù)據(jù)的正確性���、交易及其軌跡均帶來新的變化�����。原始憑證在網(wǎng)絡(luò)業(yè)務(wù)交易時自動產(chǎn)生并存入計算機,交易的全過程均在電子媒介上建立��、運算與維護���,而且大量的數(shù)據(jù)錄入和交易發(fā)生在企業(yè)外部;網(wǎng)絡(luò)會計使會計介質(zhì)繼續(xù)發(fā)生變化���,更多的介質(zhì)將電子化�����,出現(xiàn)各種發(fā)票�����、結(jié)算單等電子單據(jù)。存貯形式主要以網(wǎng)絡(luò)頁面數(shù)據(jù)存貯���,網(wǎng)頁數(shù)據(jù)只能在計算機及相應(yīng)的程序中閱讀�����。由于計算機的自動高效使工作人員減少,各種手續(xù)被合并到一起由計算機統(tǒng)一執(zhí)行��,從而不能像手工方式下一筆業(yè)務(wù)要經(jīng)過幾道崗位才能被確認而相互牽制,成為內(nèi)部控制的安全隱患���。(4)網(wǎng)絡(luò)環(huán)境的開放性和動態(tài)性��,加劇了會計信息失真的風(fēng)險��。在開放的網(wǎng)絡(luò)環(huán)境中���,大量的會計信息通過Internet傳遞�����,各種服務(wù)器上的信息在理論上都可以被訪問�����,除非物理上斷開連接��,否則就存在被截取�����、篡改��、泄漏甚至黑客或病毒的惡意侵擾等安全風(fēng)險�����。盡管信息傳遞的無紙化可有效避免人為原因?qū)е碌男畔⑹д娆F(xiàn)象���,但仍不能排除電子憑證���、電子賬簿可能被隨意修改而不留痕跡的行為。由于缺乏有效的確認標識���,信息接受方懷疑所獲取財務(wù)信息的真實性��;信息發(fā)送方也擔(dān)心所傳遞的信息能否被接受方正確識別并下載�����,這無疑加大了網(wǎng)絡(luò)會計安全控制的難度。(5)網(wǎng)絡(luò)會計系統(tǒng)的復(fù)雜性�����,加大了稽核與審計的難度。網(wǎng)絡(luò)是一個由計算機硬件���、軟件、操作人員和各種規(guī)程構(gòu)成的復(fù)雜系統(tǒng)��,該系統(tǒng)將許多不相容職責(zé)相對集中,加大了舞弊的風(fēng)險��;信息來源的多樣性���,有可能導(dǎo)致審計線索紊亂;系統(tǒng)設(shè)計主要強調(diào)會計核算的要求��,很少考慮審計工作的需要��,往往導(dǎo)致系統(tǒng)留下的審計線索很少���,稽核與審計必須運用更復(fù)雜的查核技術(shù)���,且要花費更多的時間和更高的代價�����,這無疑將加大稽核與審計的難度和成本。2 網(wǎng)絡(luò)會計信息系統(tǒng)的安全控制對策2.1 法律���、政策保障為了對付計算機犯罪�����,保護會計信息使用者的權(quán)益,國家應(yīng)制定并實施計算機安全及數(shù)據(jù)保護法律�����,從宏觀上加強對信息系統(tǒng)的控制��,為網(wǎng)絡(luò)會計系統(tǒng)提供一個良好的社會環(huán)境;盡快建立和完善電子商務(wù)法律法規(guī)�����,制定網(wǎng)絡(luò)會計環(huán)境下的有關(guān)會計準則,規(guī)范網(wǎng)上交易的購銷�����、支付及核算行為�����。2.2 建立和完善網(wǎng)絡(luò)會計系統(tǒng)的管理制度管理制度是保證企業(yè)實現(xiàn)網(wǎng)絡(luò)會計信息系統(tǒng)安全�����、準確��、可靠的先決條件�����。它主要包括確定各種人員的職責(zé)范圍及其考核辦法的崗位責(zé)任制��;制定密碼的使用和管理辦法及機房��、保衛(wèi)�����、數(shù)據(jù)資料安全等方面應(yīng)遵循的安全保密制度�����;操作計算機應(yīng)遵守的操作規(guī)程及注意事項的操作管理制度;規(guī)定數(shù)據(jù)輸入��、輸出�����、存儲、查詢與使用應(yīng)遵守的數(shù)據(jù)管理制度��;規(guī)定系統(tǒng)維護的申請、審批和應(yīng)完成任務(wù)的系統(tǒng)維護制度��;修訂《會計檔案管理辦法》,重新規(guī)定會計檔案的范圍��、保管辦法及領(lǐng)用手續(xù)的會計檔案管理制度。2.3 加強網(wǎng)絡(luò)會計系統(tǒng)的安全控制(1)硬件安全控制�����。網(wǎng)絡(luò)會計系統(tǒng)的可靠運行主要依賴于硬件設(shè)備�����,因此硬件設(shè)備的質(zhì)量必須有充分保證。加強對硬件的維護�����,防止計算機出現(xiàn)故障導(dǎo)致會計信息丟失���;為以防萬一���,關(guān)鍵的硬件設(shè)備可采用雙系統(tǒng)備份���。另外��,計算機房應(yīng)充分滿足防火��、防水、防盜��、防鼠��、恒溫等技術(shù)條件��,必要情況下可采用電子門鎖��、指紋核對���、用計算機控制人員進出等防范控制手段�����;機房內(nèi)用于動力�����、照明的供電線路應(yīng)與計算機系統(tǒng)的供電線路分開,配置UPS不間斷電源��、防輻射和防電磁波干擾等設(shè)備�����,盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)��,在埋設(shè)地下電纜的位置設(shè)立標牌加以防范;對用于數(shù)據(jù)備份的存貯介質(zhì)應(yīng)注意防潮�����、防塵和防磁���,長期保存的磁介質(zhì)存貯媒體應(yīng)定期轉(zhuǎn)貯等。(2)軟件安全控制���。軟件的安全控制主要是保證程序不被修改��、不損毀���、不被病毒感染�����,程序的安全與否直接影響著系統(tǒng)的正常運行���。①及時下載和安裝系統(tǒng)補丁���,堵住操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和網(wǎng)絡(luò)服務(wù)軟件的漏洞��。②按操作權(quán)限嚴格控制系統(tǒng)軟件的安裝與修改�����,按操作規(guī)程定期對系統(tǒng)軟件進行安全性檢查。當(dāng)系統(tǒng)被破壞時,要求系統(tǒng)軟件具備緊急響應(yīng)�����、強制備份���、快速重構(gòu)和快速恢復(fù)等功能�����。③系統(tǒng)軟件應(yīng)盡量減少人機對話窗口�����,必要的窗口應(yīng)力求界面友好���,防錯糾錯能力強�����,不接受錯誤輸入。④增強系統(tǒng)軟件的現(xiàn)場保護和自動跟蹤能力��,對一切非正常操作可以記錄�����。當(dāng)非法用戶企圖登錄或錯誤口令超限額使用時,系統(tǒng)會鎖定終端��,凍結(jié)此用戶標識��,記錄有關(guān)情況,并立即報警�����。⑤分析研究各應(yīng)用軟件的兼容性�����、統(tǒng)一性,使各業(yè)務(wù)系統(tǒng)成為基于同一種操作系統(tǒng)平臺的大系統(tǒng)��,各種業(yè)務(wù)之間能相互銜接��,相關(guān)數(shù)據(jù)能夠自動核對�����、校驗�����。⑥非系統(tǒng)維護人員不得接觸程序的技術(shù)資料�����、源程序和加密文件,減少程序被修改的可能性。(3)數(shù)據(jù)資源安全控制�����。①合理定義、應(yīng)用數(shù)據(jù)子模式�����。即根據(jù)不同類別的用戶或應(yīng)用項目分別定義不同的數(shù)據(jù)子集���,對特定類型的用戶開放,以限制用戶輕易獲取全部會計數(shù)據(jù)資源�����。②合理設(shè)置網(wǎng)絡(luò)資源的屬主���、屬性和訪問權(quán)限���。資源屬主體現(xiàn)不同用戶對資源的從屬關(guān)系,如建立者��、修改者等���,資源屬性表示資源本身的存取特性��,如讀�����、寫或執(zhí)行等���,訪問權(quán)限體現(xiàn)用戶對資源的可用程度。③建立數(shù)據(jù)備份和恢復(fù)制度��。數(shù)據(jù)備份是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ),對每天的業(yè)務(wù)數(shù)據(jù)雙備份�����,建立目錄清單異地存放��。同時對存儲在網(wǎng)絡(luò)上的重要數(shù)據(jù)在傳輸前進行有效加密,接收到數(shù)據(jù)后再進行相應(yīng)的解密���,并定期更新加密密碼��。
④在操作系統(tǒng)中建立數(shù)據(jù)保護機構(gòu)。調(diào)用計算機機密文件時應(yīng)登錄用戶名���、日期��、使用方式和使用結(jié)果,修改文件和數(shù)據(jù)必須登錄備查���。⑤設(shè)置外部訪問區(qū)域�����,明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界��。訪問區(qū)域是系統(tǒng)接待外界網(wǎng)上訪問��,與外界進行數(shù)據(jù)交換的邏輯區(qū)域��。企業(yè)建立內(nèi)聯(lián)網(wǎng)時��,要詳細分析網(wǎng)絡(luò)的服務(wù)功能和結(jié)構(gòu)布局�����,通過專用軟件��、硬件和管理措施���,實現(xiàn)會計系統(tǒng)與外部訪問區(qū)域之間的嚴密的數(shù)據(jù)隔離��;在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護屏障,防止非法入侵和使用系統(tǒng)資源,記錄所有可疑事件���。⑥在開發(fā)應(yīng)用軟件的技術(shù)選擇上也要考慮數(shù)據(jù)安全性問題。如在網(wǎng)絡(luò)財務(wù)軟件中應(yīng)充分利用客戶服務(wù)器結(jié)構(gòu)和Web應(yīng)用的優(yōu)點��,對于決策支持、遠程查詢��、報表遠程上報則采用Web的應(yīng)用,可以提高財務(wù)數(shù)據(jù)安全性�����。(4)網(wǎng)絡(luò)安全控制���。為了提高網(wǎng)絡(luò)會計系統(tǒng)的安全防范能力��,必須從技術(shù)上對整個系統(tǒng)的各個層次都要采取安全防范與控制措施��,建立綜合的多層次的安全體系�����。數(shù)據(jù)加密技術(shù)是保護會計信息通過公共網(wǎng)絡(luò)傳輸和防止電子竊聽的首選方法?�,F(xiàn)代加密技術(shù)分為對稱加密和非對稱加密兩大類。對稱加密是關(guān)聯(lián)雙方共享一把專用密鑰進行加密和解密運算�����,它所面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問題。非對稱加密是將密鑰分為一把公鑰和一把私鑰���,加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰�����,有效解決了密鑰分發(fā)的管理問題���,更適合網(wǎng)絡(luò)應(yīng)用環(huán)境。訪問控制技術(shù)的代表是防火墻技術(shù)�����,特別是已融和虛擬專用網(wǎng)及隧道技術(shù)的防火墻技術(shù)��。防火墻是建立在企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)接口處的訪問控制系統(tǒng),它對跨越網(wǎng)絡(luò)邊界的信息進行過濾��?����?稍O(shè)置內(nèi)外兩層防火墻�����,外層防火墻主要用來限制外界對主機操作系統(tǒng)的訪問,內(nèi)層防火墻主要用來邏輯隔離會計系統(tǒng)與外部訪問區(qū)域之間的聯(lián)系,限制外界穿過訪問區(qū)域?qū)?nèi)聯(lián)網(wǎng)的非法訪問���。(5)毒防范安全控制���。防范病毒最有效的措施是加強安全教育,健全并嚴格執(zhí)行防范病毒管理制度��,在系統(tǒng)的運行與維護過程中高度重視病毒防范及相應(yīng)技術(shù)手段與措施。具體措施有:系統(tǒng)采購更新要經(jīng)病毒檢測后才可使用���;對不需要本地磁盤的工作站,盡量采用無盤工作站�����;采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進行實時監(jiān)控���、追蹤病毒�����;在網(wǎng)絡(luò)服務(wù)器上安裝防病毒卡或芯片等硬件��;財務(wù)軟件可掛接或捆綁第三方反病毒軟件,加強軟件自身防病毒能力��;對所有外來軟件��、介質(zhì)和傳輸數(shù)據(jù)必須經(jīng)過病毒檢查��,嚴禁使用游戲軟件��;及時升級本系統(tǒng)的防病毒產(chǎn)品,定期檢測并清除系統(tǒng)病毒�����。(6)電子商務(wù)控制。網(wǎng)絡(luò)會計系統(tǒng)的應(yīng)用為跨國企業(yè)�����、集團企業(yè)實現(xiàn)遠程報表、報賬�����、查賬�����、審計及財務(wù)監(jiān)控等處理功能創(chuàng)造了條件��。網(wǎng)絡(luò)會計是電子商務(wù)的基石和重要組成部分��,對電子商務(wù)活動也必須進行相應(yīng)的管理與控制�����。主要措施有:合理建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式;建立網(wǎng)上交易活動的授權(quán)���、確認制度��,以及相應(yīng)的電子文件的接收、簽發(fā)驗證制度���;建立交易日志的記錄與審計制度���,進行遠程處理規(guī)程控制。3 加強內(nèi)部審計為了監(jiān)督并提高系統(tǒng)運行質(zhì)量���,企業(yè)應(yīng)設(shè)獨立的內(nèi)部審計部門,在審計委員會或高層決策機構(gòu)領(lǐng)導(dǎo)下工作���。內(nèi)部審計應(yīng)包括:對會計資料定期進行審計��,系統(tǒng)處理是否正確,是否遵照《會計法》及有關(guān)法律、法規(guī)的規(guī)定���;審查電子數(shù)據(jù)與書面資料的一致性,做到賬表相符�����,對不妥或錯誤的賬表處理應(yīng)及時調(diào)整���;監(jiān)督數(shù)據(jù)保存方式的安全合法性���,防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象;對系統(tǒng)運行各環(huán)節(jié)進行審查���,防止存在漏洞�����;對網(wǎng)絡(luò)資源的使用��、網(wǎng)絡(luò)故障��、系統(tǒng)記賬等方面進行記錄和分析。4 培養(yǎng)高素質(zhì)的財會人員網(wǎng)絡(luò)會計要求財會人員不僅能進行計算機操作��,還要求能解決實際工作中出現(xiàn)的各種問題�����,所以應(yīng)積極培養(yǎng)能掌握現(xiàn)代信息技術(shù)和會計知識及管理理論與實務(wù)的復(fù)合型人才�����。既要通過教育來提高他們的思想認識��、安全防范意識和職業(yè)道德水準���,嚴格執(zhí)行各項規(guī)章制度,又要加強專業(yè)知識的學(xué)習(xí)和培訓(xùn)�����,不斷提高計算機網(wǎng)絡(luò)的安全防范手段和應(yīng)用水平���,在對網(wǎng)上會計信息進行有效過濾的同時��,防止非法訪問和惡意攻擊本企業(yè)的會計信息���。要適應(yīng)網(wǎng)絡(luò)會計的發(fā)展,企業(yè)必須注重人才的培養(yǎng)和開發(fā)���,這是信息時代保證企業(yè)在激烈的市場競爭中制勝的關(guān)鍵所在。網(wǎng)絡(luò)會計信息系統(tǒng)隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)的發(fā)展不斷發(fā)展和完善��。可以相信�����,隨著會計信息系統(tǒng)功能的不斷完善���,越來越多的企業(yè)應(yīng)用的不斷深入�����,它將會引發(fā)企業(yè)管理思想���、經(jīng)營理念和會計管理工作的變化�����。參考文獻[1]凌艷萍,梁燕華��,成志軍.會計電算化[M].長沙:中南大學(xué)出版社���,2006:226229.[2]潘婧.網(wǎng)絡(luò)會計信息系統(tǒng)的安全風(fēng)險及防范措施[J].財會研究,2008��,(2):4849.[3]馮曉玲,任新利.網(wǎng)絡(luò)會計信息系統(tǒng)的安全技術(shù)研究[J].會計之友�����,2007,(11):8990.[4]劉梅玲.網(wǎng)絡(luò)會計信息系統(tǒng)的安全技術(shù)探討[J].中國會計電算化��,2004��,(12):89.[5]范艷梅,孫艷霞,辛瑩,等.淺析網(wǎng)絡(luò)會計中存在的問題及對策[J].商業(yè)經(jīng)濟,2008��,(6):109110.
第2篇
關(guān)鍵字:智能手機;安全�����;神經(jīng)網(wǎng)絡(luò);病毒病毒識別模型在智能手機監(jiān)測中的優(yōu)越性以及可行性���。
0 引言
現(xiàn)階段��,互聯(lián)網(wǎng)已成為當(dāng)今社會不可或缺的一部分�����,智能手機的數(shù)量也是與日俱增���,與此同時不斷發(fā)展的是手機病毒��,手機病毒已成為現(xiàn)代病毒發(fā)展的趨勢���。
所謂手機病毒�����,其實是一種破壞手機系統(tǒng)的程序,且其傳播手段極為廣泛,可通過短信、彩信、郵件�����、網(wǎng)站或者下載文件�����、藍牙等傳播���,手機一旦被病毒感染就會根據(jù)所感染病毒程序的要求對手機實施破壞���,其表現(xiàn)方式不盡相同,可以使關(guān)機、死機、刪除手機資料���、自動通話��、發(fā)郵件等���,有的病毒還能夠破壞手機SIM卡和芯片等手機硬件設(shè)備。
怎樣才能避免手機遭受病毒的破壞���?其主要措施還是殺毒軟件和防火墻:
①定期對殺毒軟件的病毒庫進行更新升級,盡可能的保證其擁有當(dāng)時已出現(xiàn)的病毒程序的破解���,若病毒庫中不存在某個病毒的特征�����,則殺毒軟件就不能對該病毒進行查殺��。此外�����,現(xiàn)在的手機殺毒軟件病毒庫采用的是特征代碼法��,病毒的細微的變化都需要病毒庫對其進行辨別,然而智能手機的存儲空間和運算能力都是有限的��,所以這種防殺毒的方法對智能手機而言���,并不是完美的���。
②而智能手機的防火墻主要的作用是攔截騷擾電話等,而并不是對手機病毒進行監(jiān)控,面對現(xiàn)存的多樣易變的病毒��,防火墻更是顯得微不足道�����。
究竟該選擇何種方式來保護手機���,這也是本文研究的重點―神經(jīng)網(wǎng)絡(luò)。
1 神經(jīng)網(wǎng)絡(luò)
神經(jīng)網(wǎng)絡(luò)是依據(jù)生物神經(jīng)的機制和原理���,對信息進行處理的一種模型���。它能夠模擬動物大腦的某些機制機理��,實現(xiàn)一些特定的功能��。人工神經(jīng)網(wǎng)絡(luò)具有很大的優(yōu)越性:
①具有自學(xué)功能。比如說,當(dāng)對一幅圖像進行識別時���,將各種不同的圖像樣本及其對應(yīng)的結(jié)果輸入人工神經(jīng)網(wǎng)絡(luò),它就能夠自己學(xué)習(xí)識別相同類型的圖像�����。
②具有聯(lián)想存儲功能��。人工神經(jīng)網(wǎng)絡(luò)中的反饋網(wǎng)絡(luò)具備了聯(lián)想存儲的功能��。
③具有高速尋找優(yōu)化解的功能。
2 神經(jīng)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)
神經(jīng)網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)就是監(jiān)控手機應(yīng)用程序���,使手機的正常業(yè)務(wù)能夠順利進行���,而對那些異常業(yè)務(wù)則進行阻止��。所謂正常的業(yè)務(wù)就是那些手機用戶已知的���、按照用戶的意愿運行的、并且其運行并不破壞用戶手機中的資源和產(chǎn)生額外費用的已經(jīng)授權(quán)的程序。
通過神經(jīng)網(wǎng)絡(luò)監(jiān)控手機的而應(yīng)用程序的流程圖如圖1所示:
圖1 神經(jīng)網(wǎng)絡(luò)安全監(jiān)控流程圖圖2 單層感知器神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)
神經(jīng)網(wǎng)絡(luò)智能手機安全監(jiān)控的第一步是獲取所運行程序的特征���,然后借助于神經(jīng)網(wǎng)絡(luò)的識別功能,對所提取的應(yīng)用程序的行為特征進行識別�����,如果識別結(jié)果為病毒手機會向用戶發(fā)出提示信息��,若不為病毒則程序?qū)⒗^續(xù)運行���。
3.1 程序行為特征的獲取
這里舉個例子說明。例如OwnSkin.A病毒���,該病毒以手機主題的形式誘導(dǎo)手機用戶進行下載安裝,一旦該病毒被安裝進了手機���,它就會在用戶不知情的情況下自動連接網(wǎng)絡(luò)�����,自動想外界批量發(fā)送短信,對手機收到的短信的信息內(nèi)容進行刪除等等��。從對病毒的描述詳細程度方面來說��,病毒具有很多種特征�����,本文以3個為例��,進行說明,這3個特征分別是有無按鍵�����、是否自啟動、是否特殊號碼,程序行為特征獲取的方法如下:
①針對手機自啟動的行為特征:每種手機的系統(tǒng)��,都有其正常的程序啟動方式���,例如Windows Mobile通過“啟動”設(shè)置��,Symbian的系統(tǒng)式通過“Recognizer”來設(shè)置程序的啟動���,Linux系統(tǒng)是將啟動語句加入/ect/init.d/rcs���,或者/usr/etc/rc.local中���,在程序啟動的時候?qū)@些個位置進行監(jiān)控���,就可以很容易的判別其是否為自啟動。
②針對按鍵這個行為特征:塞班的系統(tǒng)對是否有按鍵這個行為特征的監(jiān)控是粗略的監(jiān)控�����,以短信為例��,手機短信的使用一般是先按功能鍵啟動功能圖標�����,然后選取短信的圖標,接著是對短信內(nèi)容的編輯��,即一系列的數(shù)字鍵���,監(jiān)控可得到一個相應(yīng)的按鍵序列��,這樣就可以通過是否有按鍵這個行為特征來監(jiān)測手機程序的啟動是否正常�����。
③針對“被叫號碼”和“文件信息”的特征: 對于被叫號碼主要執(zhí)行的是��,查看所要撥出去的電話號碼是否是設(shè)置在黑名單里的電話�����,對于文件信息則是查看信息中所添加的附件是否是安裝文件��,如果是手機用戶之間的正常傳輸行為���,則必定有按鍵行為特征�����,這樣也就會避免手機中的病毒程序隱蔽性的自啟動來傳輸文件。
3.2 神經(jīng)網(wǎng)絡(luò)建模
仍舊以上述3個行為特征為例��,將其三個特征分別用“0”或者“1”來表示��,若無按鍵�����、自啟動��、特殊號碼��,其特征值都取“1”,反之則取“0”�����,這三個特征值一共組合成了8中可能出現(xiàn)的情況,將其標記為矩陣如下:
(1)
借助于神經(jīng)網(wǎng)絡(luò)的識別功能�����,本文以單層單神經(jīng)元的神經(jīng)網(wǎng)絡(luò)為例進行說明�����,采用以下的參數(shù)對神經(jīng)網(wǎng)絡(luò)進行設(shè)計:
該網(wǎng)絡(luò)包含有一個輸入向量�����,包汗三個元素�����,并且每個元素取0―1之間的值���。
神經(jīng)網(wǎng)絡(luò)中的神經(jīng)元通過hardlim函數(shù)為傳輸手段���,根據(jù)這個函數(shù)設(shè)計出如圖2所示的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu),:
(2)
該結(jié)構(gòu)輸出結(jié)果為二值向量“0”或者“1”,其中“0”表示不是病毒特征���,“1”則表示是行為特征。
在智能手機的實際應(yīng)用中���,傳輸函數(shù)和網(wǎng)絡(luò)結(jié)構(gòu)�����、層數(shù)極易神經(jīng)元等的類型多種多樣,可根據(jù)病毒的實際情況進行選擇和應(yīng)用,在此筆者只是舉個例子來論述神經(jīng)網(wǎng)絡(luò)是如何識別網(wǎng)絡(luò)的�����。當(dāng)網(wǎng)絡(luò)建好之后��,就需要通過適當(dāng)?shù)姆椒▽Σ《緲颖具M行訓(xùn)練得出誤差。
仍以上述例子為例進行訓(xùn)練:
輸入向量為:p= ;目標向量選為:t= ,在MATLAB7.1的環(huán)境中對病毒進行訓(xùn)練�����,根據(jù)所的結(jié)果得出訓(xùn)練的誤差性能曲線,如圖3所示:
圖3 訓(xùn)練誤差性能曲線
經(jīng)過訓(xùn)練并獲取矩陣權(quán)重�����,至此���,神經(jīng)網(wǎng)絡(luò)的建模基本完成��,其模型為
a=hardlim(P1*2+P2*2+P3*1-3)
在手機中所執(zhí)行的應(yīng)用程序�����,計算程序的行為特征向量與病毒的行為特征向量(111)之間的歐式距離���,當(dāng)所得之?dāng)?shù)比程序的特征行為向量和正常行為特征向量之間的歐式距離大時��,系統(tǒng)將將此程序判定為病毒。
運用神經(jīng)網(wǎng)絡(luò)系統(tǒng)對手機進行監(jiān)測不需要像殺毒軟件一樣需要定期更新���,這對手機的安全具有更好的防護作用��。
3結(jié)語
隨著現(xiàn)代社會智能手機數(shù)量的增多和日?��;W(wǎng)絡(luò)黑客技術(shù)也在不斷的發(fā)展和完善���,因此智能手機安全問題已然不能忽視或者小視��。本文針對這個問題�����,以及殺毒軟件和防火墻的不足之處��,論述了神經(jīng)網(wǎng)絡(luò)病毒識別模型在智能手機監(jiān)測中的優(yōu)越性以及可行性���。
參考文獻
[1]劉一靜,孫瑩,藺洋. 基于手機病毒攻擊方式的研究[J]信息安全與通信保密, 2007, (12) .
[2]李錦. 手機病毒特點及防范對策[J]通信技術(shù), 2009, (02) .
[3]楊建強,吳釗,李學(xué)鋒. 增強智能手機安全的動態(tài)惡意軟件分析系統(tǒng)[J]. 計算機工程與設(shè)計, 2010, (13) .
[4]智能手機安全防護框架淺析[J]. 信息安全與通信保密, 2010, (10).
第3篇
1美國電力行業(yè)信息安全的戰(zhàn)略框架
為響應(yīng)奧巴馬政府關(guān)于加強丨Kj家能源坫礎(chǔ)設(shè)施安全(13636行政令���,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求��,美國能源部出資��,能源行業(yè)控制系統(tǒng)工作組(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保護能源行業(yè)控制系統(tǒng)路線圖》(RoadmaptoSecureControlSystemsintheEnergySector)的基礎(chǔ)上��,于2011年了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線閣》�����。2011路線圖為電力行業(yè)未來丨0年的信息安全制定了戰(zhàn)略框架和行動計劃�����,體現(xiàn)了美國加強國家電網(wǎng)持續(xù)安全和可靠性的承諾和努力路線圖基于風(fēng)險管理原則���,明確了至2020年美國能源傳輸系統(tǒng)網(wǎng)絡(luò)安全目標�����、實施策略及里程碑計劃��,指導(dǎo)行業(yè)��、政府、學(xué)術(shù)界為共丨司愿景投入并協(xié)同合作�����。2011路線圖指出:至2020年,要設(shè)計、安裝��、運行�����、維護堅韌的能源傳輸系統(tǒng)(resilientenergydeliverysystems)�����。美國能源彳了業(yè)的網(wǎng)絡(luò)安全目標已從安全防護轉(zhuǎn)向系統(tǒng)堅韌。路線圖提出了實現(xiàn)目標的5個策略��,為行業(yè)�����、政府�����、學(xué)術(shù)界指明了發(fā)展方向和工作思路���。(1)建立安全文化�����。定期回顧和完善風(fēng)險管理實踐��,確保建立的安全控制有效。網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習(xí)慣,���,(2)評估和監(jiān)測風(fēng)險。實現(xiàn)對能源輸送系統(tǒng)的所有架構(gòu)層次�����、信息物理融合領(lǐng)域的連續(xù)安全狀態(tài)監(jiān)測��,持續(xù)評估新的網(wǎng)絡(luò)威脅���、漏洞��、風(fēng)險及其應(yīng)對措施�����。(3)制定和實施新的保施���。新一代能源傳輸系統(tǒng)結(jié)構(gòu)實現(xiàn)“深度防御”,在網(wǎng)絡(luò)安全事件中能連續(xù)運行���。(4)開展事件管理��。開展網(wǎng)絡(luò)事件的監(jiān)測、補救���、恢復(fù)���,減少對能源傳輸系統(tǒng)的影響。開展事件后續(xù)的分析�����、取證以及總結(jié)��,促進能源輸送系統(tǒng)環(huán)境的改進�����。(5)持續(xù)安全改進���。保持強大的資源保障、明確的激勵機制及利益相關(guān)者密切合作,確保持續(xù)積極主動的能源傳輸系統(tǒng)安全提升。為及時跟蹤2011路線圖實施情況���,能源行業(yè)控制系統(tǒng)工作組(ESCSWG)提供了ieRoadmap交互式平臺��。通過該平臺共享各方的努力成果��,掌握里程碑進展情況��,使能源利益相關(guān)者為路線圖的實現(xiàn)作一致努力��。
2美國電力行業(yè)信息安全的管理結(jié)構(gòu)
承擔(dān)美國電力行業(yè)信息安全相關(guān)職責(zé)的主要政府機構(gòu)和組織包括:國土安全部(DHS)��、能源部(1)0£)��、聯(lián)邦能源管理委員會(FEUC)��、北美電力可靠性公司(NERC)以及各州公共事業(yè)委員會(PUC)。2.1國土安全部美國國土安全部是美國聯(lián)邦政府指定的基礎(chǔ)設(shè)施信息安全領(lǐng)導(dǎo)部I'j'負責(zé)監(jiān)督保護政府網(wǎng)絡(luò)安全���,為私營企業(yè)提供專業(yè)援助。2009年DHS建立了國家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),負責(zé)與聯(lián)邦相關(guān)部門��、各州��、各行業(yè)以及國際社會共享網(wǎng)絡(luò)威脅發(fā)展趨勢���,組織協(xié)調(diào)事件響應(yīng)w��。
2.2能源部
美國能源部不直接承擔(dān)電網(wǎng)信息安全的管理職責(zé)�����,而是通過指導(dǎo)技術(shù)研發(fā)和協(xié)助項目開發(fā)促進私營企業(yè)發(fā)展和技術(shù)進步能源部的電力傳輸和能源可靠性辦公室(Office(>fElectricityDelivery<&EnergyReliability)承擔(dān)加強國家能源基礎(chǔ)設(shè)施的可靠性和堅韌性的職責(zé)�����,提供技術(shù)研究和發(fā)展的資金���,推進風(fēng)險管理策略和信息安全標準研發(fā)�����,促進威脅信息的及時共享���,為電網(wǎng)信息安全戰(zhàn)略性綜合方案提供支撐���。
能源部2012年與美國國家標準技術(shù)研究院、北美電力可靠性公司合作編制了《電力安全風(fēng)險管理過程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年與國土安全部等共同協(xié)作編制完成了《電力行業(yè)信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撐電力行業(yè)的信息安全能力評估和提升;2014年資助能源行業(yè)控制系統(tǒng)工作組(ESCSWG)形成了《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全采購用語指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加強供應(yīng)鏈的信息安全風(fēng)險管理。
在201丨路線圖的指導(dǎo)下�����,能源部啟動了能源傳輸系統(tǒng)的信息安全項目�����,資助愛達荷國家實驗室建立SCADA安全測試平臺,發(fā)現(xiàn)并解決行業(yè)面臨的關(guān)鍵安全漏洞和威脅;資助伊利諾伊大學(xué)等開展值得信賴的電網(wǎng)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)研究。
2.3聯(lián)邦能源管理委員會
聯(lián)邦能源管理委員會負責(zé)依法制定聯(lián)邦政府職責(zé)范圍內(nèi)的能源監(jiān)管政策并實施監(jiān)管,是獨立監(jiān)管機構(gòu)��。2005年能源政策法案(EnergyPolicyActof2005)授權(quán)FERC監(jiān)督包括信息安全標準在內(nèi)的主干電網(wǎng)強制可靠性標準的實施���。2007年能源獨立與安全法案(EnergyIndependenceandSecurityActof2007(EISA))賦予FERC和國家標準與技術(shù)研究所(National丨nstituteofStandardsan<丨Technology��,NIST)相關(guān)責(zé)任以協(xié)調(diào)智能電網(wǎng)指導(dǎo)方針和標準的編制和落實�����。2011年的電網(wǎng)網(wǎng)絡(luò)安全法案(GridCyberSecurityAct)要求FKRC建立關(guān)鍵電力基礎(chǔ)設(shè)施的信息安全標準�����。
2007年FERC批準由北美電力可靠性公司制定的《關(guān)鍵基礎(chǔ)設(shè)施保護》(criticalinfrastructureprotection�����,CIPW標準為北美電力可靠性標準之中的強制標準,要求各相關(guān)企業(yè)執(zhí)行,旨在保護電網(wǎng),預(yù)防信息系統(tǒng)攻擊事件的發(fā)生���。
2.4北美電力可靠性公司
北美電力可靠性公司是非盈利的國際電力可靠性組織。NERC在FERC的監(jiān)管下,制定并強制執(zhí)行包括信息安全標準在內(nèi)的大電力系統(tǒng)可靠性標準,開展可靠性監(jiān)測���、分析��、評估�����、信息共享,確保大電力系統(tǒng)的可靠性��。
NERC了一系列的關(guān)鍵基礎(chǔ)設(shè)施保護(CIP)標準181作為北美電力系統(tǒng)的強制性標準;與美國能源部和NIST編制了《電力行業(yè)信息安全風(fēng)險管理過程指南》�����,提供了網(wǎng)絡(luò)安全風(fēng)險管理的指導(dǎo)方針���。
歸屬NERC的電力行業(yè)協(xié)凋委員會(ESCC)是聯(lián)邦政府與電力行業(yè)的主要聯(lián)絡(luò)者��,其主要使命是促進和支持行業(yè)政策和戰(zhàn)略的協(xié)調(diào),以提高電力行業(yè)的可靠性和堅韌性'NERC通過其電力行業(yè)信息共享和分析中心(ES-ISAC)的態(tài)勢感知���、事件管理以及協(xié)調(diào)和溝通的能力,與電力企業(yè)進行及時�����、可靠和安全的信息共享和溝通���。通過電網(wǎng)安全年會(GridSecCon)、簡報��,提供威脅應(yīng)對策略、最佳實踐的討論共享和培訓(xùn)機會;組織電網(wǎng)安全演練(GridEx)檢查整個行業(yè)應(yīng)對物理和網(wǎng)絡(luò)事件的響應(yīng)能力�����,促2.5州公共事業(yè)委員會美國聯(lián)邦政府對地方電力公司供電系統(tǒng)的可靠性沒有直接的監(jiān)管職責(zé)。各州公共事業(yè)委員會負責(zé)監(jiān)管地方電力公司的信息安全,大多數(shù)州的PUC沒有網(wǎng)絡(luò)安全標準的制定職責(zé)���。PUC通過監(jiān)管權(quán)力���,成為地方電力系統(tǒng)和配電系統(tǒng)網(wǎng)絡(luò)安全措施的重要決策者���。全國公用事業(yè)監(jiān)管委員協(xié)會(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作為PUC的一■個聯(lián)盟協(xié)會,也采取措施促進PUC的電力網(wǎng)絡(luò)安全工作���,呼吁PUC密切監(jiān)控網(wǎng)絡(luò)安全威脅,定期審查各自的政策和程序��,以確保與適用標準���、最佳實踐的一致性%
3美國電力行業(yè)信息安全的硏究資源
參與美國電力行業(yè)信息安全研究的機構(gòu)和組織主要有商務(wù)部所屬的國家標準技術(shù)研究院及其領(lǐng)導(dǎo)下的智能電網(wǎng)網(wǎng)絡(luò)安全委員會、國土安全部所屬的能源行業(yè)控制系統(tǒng)工作組���,重點幵展電力行業(yè)信息安全發(fā)展路線圖�����、框架以及標準���、指南的研究���。同時,能源部所屬的多個國家實驗室提供網(wǎng)絡(luò)安全測試�����、網(wǎng)絡(luò)威脅分析、具體防御措施指導(dǎo)以及新技術(shù)研究等�����。
3.1國家標準技術(shù)研究院(NIST)
根據(jù)2007能源獨立與安全法令,美_國家標準技術(shù)研究院負責(zé)包括信息安全協(xié)議在內(nèi)的智能電網(wǎng)協(xié)議和標準的自愿框架的研發(fā)���。NISTf20102014發(fā)#了《?能電網(wǎng)互操作標準的框架和路線圖》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0�����、2.0和3.0版本���,明確了智能電網(wǎng)的網(wǎng)絡(luò)安全原則以及標準等。2011年3月���,NIST了信息安全標準和指導(dǎo)方針系列中的旗艦文檔《NISTSP800-39,信息安全風(fēng)險管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk)���,提供了一系列有意義的信息安全改進建議�����。2014年2月���,根據(jù)13636行政令���,了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》第一版�����,以幫助組織識別、評估和管理關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險��。
NIST正在開發(fā)工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全實驗平臺用于檢測符合網(wǎng)絡(luò)安全保護指導(dǎo)方針和標準的_「.業(yè)控制系統(tǒng)的性能,以指導(dǎo)工業(yè)控制系統(tǒng)安全策略最佳實踐的實施��。
3.2智能電網(wǎng)網(wǎng)絡(luò)安全委員會
智能電網(wǎng)網(wǎng)絡(luò)安全委員會其前身是智能電網(wǎng)互操作組網(wǎng)絡(luò)安全工作組(SGIP-CSWG)ra��。SGCC一直專注于智能電網(wǎng)安全架構(gòu)�����、風(fēng)險管理流程��、安全測試和認證等研究�����,致力于推進智能電網(wǎng)網(wǎng)絡(luò)安全的發(fā)展和標準化��。在NIST的領(lǐng)導(dǎo)下,SGCC編制并進一步修訂了《智能電網(wǎng)信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能電網(wǎng)信息安全分析框架,為組織級研究、設(shè)計���、研發(fā)和實施智能電網(wǎng)技術(shù)提供了指導(dǎo)性T.具。
3.3國家電力行業(yè)信息安全組織(NESC0)
能源部組建的國家電力行業(yè)信息安全組織(NationalElectricSectorCybersecurityOrganization,NESCO)�����,集結(jié)了美國國內(nèi)外致力于電力行業(yè)網(wǎng)絡(luò)安全的專家��、開發(fā)商以及用戶��,致力于網(wǎng)絡(luò)威脅的數(shù)據(jù)分析和取證工作⑴�����。美國電力科學(xué)研究院(EPRI)作為NESC0成員之一提供研究和分析資源�����,開展信息安全要求、標準和結(jié)果的評估和分析��。NESCO與能源部��、聯(lián)邦政府其他機構(gòu)等共同合作補充和完善了2011路線圖的關(guān)鍵里程碑和目標�����。
3.4能源行業(yè)控制系統(tǒng)工作組(ESCSWG)
隸屬國土安全部的能源行業(yè)控制系統(tǒng)工作組由能源領(lǐng)域安全專家組成���,在關(guān)鍵基礎(chǔ)設(shè)施合作咨詢委員會框架下運作���。在能源部的資助下�����,ESCSWG編制了《實現(xiàn)能源傳輸系統(tǒng)信息安全路線圖》��、《能源傳輸系統(tǒng)網(wǎng)絡(luò)安全釆購用語指南》。3.5能源部所屬的國家實驗室
3.5.1愛達荷國家實驗室(INL)
愛達荷W家實驗室成立于1949年��,是為美國能源部在能源研究、國家防御等方面提供支撐的應(yīng)用工程實驗室��。近十年來,INL與電力行業(yè)合作�����,加強了電網(wǎng)可靠性��、控制系統(tǒng)安全研究���。
在美國能源部的資助下���,INL建立了包含美國國內(nèi)和國際上多種控制系統(tǒng)的SCADA安全測試平臺以及無線測試平臺等資源�����,目的對SCADA進行全面、徹底的評估�����,識別控制系統(tǒng)脆弱點�����,并提供脆弱點的消減方法113】。通過能源部的能源傳輸系統(tǒng)信息安全項目,INL提出了采用數(shù)據(jù)壓縮技術(shù)檢測惡意流量對SCADA實時網(wǎng)絡(luò)保護的方法hi。為支持美國國土安全部控制系統(tǒng)安全項目���,INL開發(fā)并實施了培訓(xùn)課程以增強控制系統(tǒng)專家的安全意識和防御能力。1NL的相關(guān)研究報告有《SCADA網(wǎng)絡(luò)安全評估方法》���、《控制系統(tǒng)十大漏洞及其補救措施》�����、《控制系統(tǒng)網(wǎng)絡(luò)安全:深度防御戰(zhàn)略》�����、《控制系統(tǒng)評估中常見網(wǎng)絡(luò)安全漏洞》%���、《能源傳輸控制系統(tǒng)漏洞分析>嚴|等��。
3.5.2太平洋西北國家實驗室(PNNL)
太平洋西北國家實驗室是美國能源部所屬的闊家綜合性實驗室��,研究解決美國在能源�����、環(huán)境和國家安全等方面最緊迫的問題���。
PNNL提出的安全SCADA通信協(xié)議(secureserialcommunicationsprotocol,SSCP)的概念��,有助于實現(xiàn)遠程訪問設(shè)備與控制中心之間的安全通信��。的相關(guān)研究報告有《工業(yè)控制和SCADA的安全數(shù)據(jù)傳輸指南》等�����。PNNL目前正在開展仿生技術(shù)提高能源領(lǐng)域網(wǎng)絡(luò)安全的研究項。
3.5.3桑迪亞國家實驗室(SNL)
桑迪亞國家實驗室是能源部所屬的多學(xué)科國家實驗室��,也是聯(lián)邦政府資助的研究和發(fā)展中心���。SNL的研究報告有《關(guān)鍵基礎(chǔ)設(shè)施保護網(wǎng)絡(luò)漏洞評估指南》���、《控制系統(tǒng)數(shù)據(jù)分析和保護安全框架》��、《過程控制系統(tǒng)的安全指標》I1'《高級計量基礎(chǔ)設(shè)施安全考慮》���、《微電網(wǎng)網(wǎng)絡(luò)安全參考結(jié)構(gòu)》等�����。在能源部的資助下��,SNL開展了關(guān)于供應(yīng)鏈威脅的研究項目�����,形成的威脅模型有助于指導(dǎo)安全解決方案的選擇以及新投資的決策hi���。
4美國電力行業(yè)信息安全的運作策略
4.1標準只作為網(wǎng)絡(luò)安全的基線
NERC的關(guān)鍵基礎(chǔ)設(shè)施保護標準(CIP)作為強制性標準,是電力行業(yè)整體網(wǎng)絡(luò)安全策略的重要內(nèi)容��。CIP標準與電網(wǎng)規(guī)劃準則、系統(tǒng)有功平衡與調(diào)頻��、無功平衡與調(diào)壓���、安全穩(wěn)定運行等系列標準相并列���,成為北美大電網(wǎng)可靠性標準的重要組成部分。目前強制執(zhí)行的是CIP-002至C⑴-009共8個標準的第3版��。文獻1丨6]提供了CIP-002至CIP-009主要內(nèi)容的描述列表���。C〖P第5版近期已通過FERC批準即將于2016年實施�����。第5版新增了CIP-010配置變更管理和漏洞評估��、C1P-011信息保護2個強制標準���。
目前配電系統(tǒng)沒有強制標準���,但NIST將C1P標準融入了智能電網(wǎng)互操作框架中。智能電網(wǎng)互操作框架雖然是自愿標準��,但為配電系統(tǒng)提供了信息安全措施指導(dǎo)為系統(tǒng)性的指導(dǎo)智能電網(wǎng)信息安全工作,NIST組織編制了《美國智能電網(wǎng)信息安全指南》���,提出了一個普適性的智能電網(wǎng)信息安全分析框架�����,為智能電網(wǎng)的各相關(guān)方提供了風(fēng)險評估、風(fēng)險識別以及安全要求的實施方法。DOE編制的《電力行業(yè)信息安全風(fēng)險管理過程指南》提供了電力行業(yè)信息安全風(fēng)險管理的方法[5】。DOE與DHS合作編制的《信息安全能力成熟度模型》(ES-C2M2)i6i�����,通過行業(yè)實踐幫助組織評估�����、優(yōu)化和改善網(wǎng)絡(luò)安全功能,促進網(wǎng)絡(luò)安全行動和投資的有序開展以及信息安全能力的持續(xù)提升。2014年NIST了《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》也作為電力行業(yè)網(wǎng)絡(luò)安全自愿標準。文獻f17]提到只有21%的公用事業(yè)采取了NERC推薦的預(yù)防震網(wǎng)措施,可見自愿標準的執(zhí)行率偏低強制執(zhí)行的CIP標準在大電力系統(tǒng)網(wǎng)絡(luò)安全方面確實發(fā)揮了基礎(chǔ)作用��,然而網(wǎng)絡(luò)威脅的快速變化以及每個組織面對的風(fēng)險的獨特性�����,強制性標準在某種程度上影響企業(yè)采取超過但不同于最低標準的合適的防護措施���。文獻丨3]提出目前將強制性的解決方案擴展到配電網(wǎng)不是有效的方法,聯(lián)邦政府也在考慮縮小強制性范圍�����。持續(xù)提升網(wǎng)絡(luò)安全水平不能僅僅依賴于標準的符合度���,監(jiān)督管理不能保證安全��。電力行業(yè)的網(wǎng)絡(luò)安全需要整體的網(wǎng)絡(luò)安全戰(zhàn)略,包括安全文化建設(shè)、共享與協(xié)作、風(fēng)險管理等�����。無論是強制性的標準還是非強制性的標準都只是信息安全的最低要求'4.2安全文化建設(shè)成為信息安全路線圖首要策略
對能源傳輸系統(tǒng)安全風(fēng)險的認知缺失或識別能力的不足��,缺少有效的安全策略和技術(shù)環(huán)境訓(xùn)練的人員���,將阻礙能源行業(yè)的持續(xù)安全���。安全文化建設(shè)已成為201丨路線圖的首要策略,以提升電力行業(yè)網(wǎng)絡(luò)安全運作的主動性。2011路線圖提出重點從最佳實踐���、教育��、認證等方面加強信息安全文化建設(shè)��,以實現(xiàn)能源傳輸系統(tǒng)的最佳實踐被廣泛使用��、具備能源傳輸和網(wǎng)絡(luò)安全技能的行業(yè)人員明顯增長等中長期目標'最佳實踐傳遞的目標效果是網(wǎng)絡(luò)安全實踐成為能源行業(yè)所有相關(guān)者的習(xí)慣。相關(guān)國家實驗室圍繞各自研究方向總結(jié)了評估方法��、漏洞補救措施���、操作指南等一系列最佳實踐���。如INL根據(jù)其多年SCADA漏洞評估經(jīng)驗���,編制了《能源傳輸系統(tǒng)漏洞分析》、《SCADA網(wǎng)絡(luò)安全評估方法》等���。PNNL編制的《丁業(yè)控制和SCADA系統(tǒng)的安全數(shù)據(jù)傳輸指南》��,為工業(yè)控制系統(tǒng)提供了能及時發(fā)現(xiàn)并阻止人侵的數(shù)據(jù)傳輸結(jié)構(gòu)。NIST將最佳實踐融入了安全框架�����、指南和導(dǎo)則中,如《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》���、《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全指南》等���。NESCO、NERC等通過電網(wǎng)安全年會等多種方式提供了最佳實踐的交流機會。
第4篇
關(guān)鍵詞:醫(yī)院信息系統(tǒng)��;網(wǎng)絡(luò)安全控制系統(tǒng)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)11-2470-02
A Hospital Network Security Solutions
LIU Chang-sheng��,SHI Wei
(Information Department of No.105 Hospital of PLA, Heifei 230031, China)
Abstract: With the development of hospital information systems, network and information security issues become increasingly prominent, and how to ensure the running of medical information in a safe and stable state, became the new issue of the hospital information. The article introduces the security status of the hospital information system and analyzed make a positive contribution with safe and stable operation of the hospital network after using a corporate network security control system.
Key words: hospital information system; network security control system
1醫(yī)院信息系統(tǒng)安全現(xiàn)狀
隨著計算機技術(shù)的迅速發(fā)展以及廣泛應(yīng)用���,計算機在醫(yī)學(xué)領(lǐng)域的使用也得到廣泛的運用。醫(yī)院信息系統(tǒng)是誕生于20世紀初的產(chǎn)物�����,當(dāng)時單機版的收費系統(tǒng)代替了傳統(tǒng)的手工收費,隨著技術(shù)的不斷發(fā)展,院內(nèi)局域網(wǎng)模式的醫(yī)院信息系統(tǒng)在全國醫(yī)院如雨后春筍般的出現(xiàn)�����,同時隨著國家醫(yī)療保險政策的不斷完善���,醫(yī)院信息系統(tǒng)已經(jīng)由院內(nèi)局域網(wǎng)模式逐步走向全市��、全省乃至全國聯(lián)網(wǎng)的發(fā)展模式���。醫(yī)院信息系統(tǒng)正在變成醫(yī)療體系結(jié)構(gòu)中不可或缺的基礎(chǔ)架構(gòu),然而在計算機和互聯(lián)網(wǎng)快速發(fā)展的今天,其安全問題也逐漸突顯出來阻礙信息化的進一步發(fā)展[1]。
我院醫(yī)院信息系統(tǒng)(HIS系統(tǒng))目前采用C/S架構(gòu)模式���,各種服務(wù)器20余臺,HIS終端近600臺��,與合肥市��、安徽省各縣市實現(xiàn)了醫(yī)保聯(lián)網(wǎng)���,醫(yī)院網(wǎng)絡(luò)已經(jīng)由封閉走向了開放的模式���。醫(yī)院網(wǎng)絡(luò)環(huán)境的復(fù)雜使得網(wǎng)絡(luò)面臨了重大的安全隱患�����,既要保證醫(yī)院合法用戶對信息訪問���,又要對其進行相應(yīng)的權(quán)限控制���;既要保證內(nèi)網(wǎng)與外網(wǎng)信息的傳輸通暢��,又要保證內(nèi)網(wǎng)的信息安全��。因此���,如何管理網(wǎng)絡(luò)中數(shù)量龐大�����、安全脆弱的電腦終端,如何保障機密數(shù)據(jù)不被泄露、篡改和非法訪問���,如何持續(xù)監(jiān)控支持關(guān)鍵業(yè)務(wù)的各種軟件�����、硬件系統(tǒng)是否在正常運行���,如何讓IT維護人員由疲于奔命的“救火隊員”變?yōu)椤胺阑痍爢T”,這些成了現(xiàn)今網(wǎng)絡(luò)安全管理的重大問題���。
2醫(yī)院信息系統(tǒng)安全處理措施
針對網(wǎng)絡(luò)環(huán)境的復(fù)雜性�����,網(wǎng)絡(luò)安全管理必須要做到以下幾點:1)主動性:要能自動發(fā)現(xiàn)網(wǎng)絡(luò)上的所有終端�����,并能準確掌握每臺終端的管理狀態(tài)���;2)可控性:未經(jīng)許可的終端非法接入要禁止其訪問內(nèi)部資源;3)方便性:安全管理要方便IT維護人員�����。我院主要采用某公司的安全管理控制系統(tǒng)實行對全院網(wǎng)絡(luò)安全運行的監(jiān)管。其功能主要具備四大部分:準入控制��、系統(tǒng)安全��、信息安全��、桌面安全管理�����。
2.1準入控制
醫(yī)院網(wǎng)絡(luò)處于高度開放的狀態(tài)���,網(wǎng)路接入點遍布醫(yī)院各角落�����,只要具備一定的網(wǎng)絡(luò)基礎(chǔ)知識就可以通過設(shè)備非法接入醫(yī)院網(wǎng)絡(luò)�����,對網(wǎng)絡(luò)安全造成極大地危害。通過控制系統(tǒng)的準入控制功能實現(xiàn)對局域網(wǎng)中的各種設(shè)備的接入進行控制��,禁止設(shè)備的非法接入���,通過與智能交換機的結(jié)合使得只有安裝了控制系統(tǒng)的設(shè)備才允許訪問網(wǎng)絡(luò)��,同時可以監(jiān)測接入網(wǎng)絡(luò)的設(shè)備是否已經(jīng)安裝了該控制系統(tǒng),對于沒有安裝該系統(tǒng)的設(shè)備禁止其訪問網(wǎng)絡(luò)���,保證了對網(wǎng)絡(luò)訪問的安全性。而且控制系統(tǒng)還能根據(jù)設(shè)備的IP���、MAC等信息找到設(shè)備的物理位置,準確找到非法用戶的存在���。
2.2系統(tǒng)安全
即使合法接入醫(yī)院網(wǎng)絡(luò)的設(shè)備同樣也存在著眾多安全隱患,控制系統(tǒng)提供了詳細的系統(tǒng)安全管理方案。包括防病毒管理���、上網(wǎng)行為管理��、網(wǎng)絡(luò)異常分析�����、軟件進程的管理等功能。通過系統(tǒng)定義的各種符合醫(yī)院實際的策略實施到各客戶端,可以有效的對各客戶端進行管理�����,策略內(nèi)的操作可以正常使用,一旦操作超過策略以外��,就會提示用戶沒有權(quán)限使用此功能��,可以有效的避免了操作員的誤操作對系統(tǒng)造成的破壞。由于醫(yī)院通過電信光纖接入省市醫(yī)保中心��,所以使用外網(wǎng)的權(quán)限要得到有效的控制�����,否則將對醫(yī)院的網(wǎng)絡(luò)安全造成極大地威脅�����。通過控制系統(tǒng)的上網(wǎng)策略限制只有某些有權(quán)限的用戶可以使用外網(wǎng)功能,即使其他用戶將計算機脫離院內(nèi)局域網(wǎng)也無法使用互聯(lián)網(wǎng)功能��。
2.3信息安全
防信息泄露作為安全管理套件的核心子系統(tǒng)���,將基于文件驅(qū)動的透明加解密技術(shù)和網(wǎng)絡(luò)準入控制技術(shù)有效結(jié)合,全面徹底地解決了文檔泄密和數(shù)據(jù)庫泄密問題���。
傳統(tǒng)的防止數(shù)據(jù)庫泄密問題是通過審計手段即通過主機上的日志審計和基于網(wǎng)絡(luò)監(jiān)聽的數(shù)據(jù)包審計實現(xiàn)�����,此種方法只能用于事后追查,無法做到事前防范。安全管理控制系統(tǒng)通過強制手段解決信息泄密防護問題�����,變事后審計為事前防范���,防止內(nèi)部用戶泄露數(shù)據(jù)庫信息內(nèi)容��。
文檔信息防泄密通過多種加密算法對文檔進行加密��,采用基于PKI體系的文檔權(quán)限管理控制���,支持文件證書��、UKEY等。同時對設(shè)備U盤等移動存儲介質(zhì)實行全面管控,禁止非授權(quán)移動存儲介質(zhì)在內(nèi)網(wǎng)使用�����,防止內(nèi)部移動存儲介質(zhì)在外部非法使用,這樣大大降低介質(zhì)丟失后泄密的安全風(fēng)險�����,同時也可以保證內(nèi)外網(wǎng)數(shù)據(jù)交換安全�����、方便。
2.4桌面安全管理
醫(yī)院現(xiàn)有各種設(shè)備終端近600余臺�����,設(shè)備的日常維護需要很大的工作量。當(dāng)遇到需要現(xiàn)場操作的時候���,維護人員就會出現(xiàn)滿院跑的現(xiàn)象��,浪費時間精力?����?刂栖浖淖烂婀芾砉δ芴峁┝搜a丁管理���、軟件分發(fā)、資產(chǎn)管理�����、遠程協(xié)助和管理��、拓撲管理等功能�����。可以自動從系統(tǒng)廠商下載補丁���,自動檢查客戶端需要安裝的補丁��、已經(jīng)安裝的補丁和未安裝的補丁���。統(tǒng)一制定策略定時/即時和自動/手動安裝需要的補丁�����。可對數(shù)量龐大的桌面電腦做統(tǒng)一的軟件自動分發(fā)和安裝���,將安裝包準確地分發(fā)到目標桌面電腦�����,支持中繼方式進行軟件包分發(fā)��,能自動緘默安裝��、自動彈出界面強制安裝���、提示用戶手工安裝等�����。支持對Windows98���、2000�����、XP等系統(tǒng)的桌面遠程控制�����。
3總結(jié)
醫(yī)院信息系統(tǒng)牽涉面廣,要保證網(wǎng)絡(luò)的安全���,不僅保證服務(wù)器��、網(wǎng)絡(luò)操作系統(tǒng)��、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路以及數(shù)據(jù)庫的安全穩(wěn)定運行���,還要依靠安全控制系統(tǒng)對醫(yī)院網(wǎng)絡(luò)實行有效的監(jiān)管和控制���,讓網(wǎng)絡(luò)處于可控范圍內(nèi)��,這樣才能保證網(wǎng)絡(luò)一直處于安全穩(wěn)定的運行狀態(tài)��。[2]
參考文獻:
第5篇
工業(yè)控制系統(tǒng)(ICS)是綜合運用信息技術(shù)���、電子技術(shù)�����、通信技術(shù)和計算機技術(shù)等�����,對現(xiàn)場設(shè)備進行檢測控制�����,實現(xiàn)工業(yè)技術(shù)生產(chǎn)過程自動化的應(yīng)用系統(tǒng)。ICS在冶金��、電力、石化�����、水處理���、鐵路、食品加工等行業(yè)�����,以及軍工的航空��、航天、船舶�����、艦艇��、潛艇等領(lǐng)域的自動化生產(chǎn)管理系統(tǒng)中都得到了廣泛地應(yīng)用���。
1 工業(yè)控制系統(tǒng)安全現(xiàn)狀
與傳統(tǒng)信息系統(tǒng)安全需求不同���,ICS設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素��,并且優(yōu)先考慮系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。鑒于ICS的特定設(shè)計理念���,缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多ICS所面臨的共同問題。
傳統(tǒng)的ICS多為車間/廠區(qū)局域網(wǎng)ICS���,系統(tǒng)特點包括專有網(wǎng)絡(luò)、專有操作系統(tǒng)�����、無以太網(wǎng)絡(luò)��、沒有因特網(wǎng)的鏈接�����。從網(wǎng)絡(luò)安全角度,系統(tǒng)是安全的�����。
現(xiàn)今的ICS開始與互聯(lián)網(wǎng)或辦公網(wǎng)直接/間接互聯(lián)��,形成從控制網(wǎng)到信息網(wǎng)的大系統(tǒng)ICS���,系統(tǒng)特點包括以太網(wǎng)無處不在、無線設(shè)備�����、遠程配置和監(jiān)控���、Windows和Linux等流行操作系統(tǒng)。從網(wǎng)絡(luò)安全角度���,系統(tǒng)存在巨大安全隱患��,很容易被黑客攻擊���。
2 工業(yè)控制系統(tǒng)安全漏洞及風(fēng)險分析
隨著工業(yè)信息化進程的快速推進�����,物聯(lián)網(wǎng)技術(shù)開始在工控領(lǐng)域廣泛應(yīng)用��,實現(xiàn)了系統(tǒng)間的協(xié)同和信息分享,極大地提高了企業(yè)的綜合效益���。與此同時�����,暴露在互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中的工業(yè)控制系統(tǒng)也必將面臨病毒、木馬�����、黑客入侵�����、拒絕服務(wù)等傳統(tǒng)的信息安全威脅,而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力�����、交通、石油化工、核工業(yè)等國家重要行業(yè)中�����,其安全事故造成的社會影響和經(jīng)濟損失會更為嚴重。
2.1工業(yè)控制系統(tǒng)安全漏洞
工業(yè)控制系統(tǒng)安全漏洞包括:策略與規(guī)則漏洞�����、平臺漏洞、網(wǎng)絡(luò)漏洞�����。
2.1.1 策略與規(guī)則漏洞
缺乏工業(yè)控制系統(tǒng)的安全策略��、缺乏工業(yè)控制系統(tǒng)的安全培訓(xùn)與意識培養(yǎng)�����、缺乏工業(yè)控制系統(tǒng)設(shè)備安全部署的實施方法��、缺乏工業(yè)控制系統(tǒng)的安全審計、缺乏針對工業(yè)控制系統(tǒng)的配置變更管理。
2.1.2 平臺漏洞
平臺漏洞包括:平臺配置漏洞�����、平臺硬件漏洞���、平臺軟件漏洞�����、惡意軟件攻擊���。
(1)平臺配置漏洞
包括關(guān)鍵配置信息未備份��、關(guān)鍵信息未加密存儲、沒有采用口令或口令不滿足長度和復(fù)雜度要求��、口令泄露等。
(2)平臺硬件漏洞
包括關(guān)鍵系統(tǒng)缺乏物理防護���、未授權(quán)的用戶能夠物理訪問設(shè)備、對工業(yè)控制系統(tǒng)不安全的遠程訪問���。
(3)平臺軟件漏洞
包括拒絕服務(wù)攻擊(DOS攻擊)�����、采用不安全的工控協(xié)議、采用明文傳輸�����、未安裝入侵檢測系統(tǒng)與防護軟件等�����。
(4)惡意軟件攻擊
包括未安裝防病毒軟件等�����。
2.1.3 網(wǎng)絡(luò)漏洞
(1)網(wǎng)絡(luò)配置漏洞
包括有缺陷的網(wǎng)絡(luò)安全架構(gòu)���、口令在傳輸過程中未加密�����、未采取細粒度的訪問控制策略、安全設(shè)備配置不當(dāng)。
(2)網(wǎng)絡(luò)硬件漏洞
包括網(wǎng)絡(luò)設(shè)備的物理防護不充分�����、未采取有效的措施保護物理端口、關(guān)鍵網(wǎng)絡(luò)設(shè)備未備份��。
(3)網(wǎng)絡(luò)邊界漏洞
包括未定義網(wǎng)絡(luò)安全邊界、未部署防火墻或配置不當(dāng)�����、未采取信息流向控制措施。
2.2 工業(yè)控制系統(tǒng)安全風(fēng)險分析
電力故障�����、自然災(zāi)害、軟硬件故障���、黑客攻擊���、惡意代碼都會對ICS系統(tǒng)產(chǎn)生影響��。其中,電力故障��、自然災(zāi)害和軟/硬件故障���,屬于信息安全范疇之外�����,而非法操作�����、惡意代碼和黑客攻擊作為信息安全威脅的主要形式���,往往很難被發(fā)現(xiàn)或控制,對ICS網(wǎng)絡(luò)安全運行的威脅和影響也最大��。
(1)利用USB協(xié)議漏洞在U盤中植入惡意代碼
U盤內(nèi)部結(jié)構(gòu):U盤由芯片控制器和閃存兩部分組成�����,芯片控制器負責(zé)與PC的通訊和識別��,閃存用來做數(shù)據(jù)存儲;閃存中有一部分區(qū)域用來存放U盤的固件,控制軟硬件交互���,固件無法通過普通手段進行讀取��。
USB協(xié)議漏洞:USB設(shè)備設(shè)計標準并不是USB設(shè)備具備唯一的物理特性進行身份驗證��,而是允許一個USB設(shè)備具有多個輸入輸出設(shè)備的特征�����。
這樣就可以通過U盤固件逆向重新編程��,將U盤進行偽裝,偽裝成一個USB鍵盤��,并通過虛擬鍵盤輸入集成到U盤固件中的惡意代碼而進行攻擊。
(2)利用組態(tài)軟件數(shù)據(jù)庫漏洞進行攻擊
ICS系統(tǒng)采用的組態(tài)軟件���,缺乏安全防護措施��,往往公開訪問其實時數(shù)據(jù)庫的途徑�����,以方便用戶進行二次開發(fā),從而可利用此漏洞�����,遠程/本地訪問數(shù)據(jù)庫��,獲取全部數(shù)據(jù)庫變量,選取關(guān)鍵數(shù)據(jù)進行訪問并篡改��,從而達到攻擊目的�����。
2.3 工業(yè)控制系統(tǒng)信息安全風(fēng)險總結(jié)
病毒:可引起工控設(shè)備或網(wǎng)絡(luò)故障���,破壞生產(chǎn)過程數(shù)據(jù)或影響網(wǎng)絡(luò)正常服務(wù)��,如蠕蟲病毒等���。
緩沖區(qū)溢出攻擊:利用設(shè)計漏洞進行的攻擊。
拒絕服務(wù)攻擊:惡意造成拒絕服務(wù)��,造成目標系統(tǒng)無法正常工作或癱瘓��,或造成網(wǎng)絡(luò)阻塞。
網(wǎng)絡(luò)嗅探:可捕獲主機所在網(wǎng)絡(luò)的所有數(shù)據(jù)包,一旦被惡意利用��,獲取了目標主機的關(guān)鍵信息則可對目標主機實施進一步攻擊。
IP欺騙:可通過技術(shù)手段利用TCP/IP協(xié)議缺陷��,偽裝成被信任主機,使用被信任主機的源地址與目標主機進行會話,在目標主機不知的情況下實施欺騙行為�����。
口令破解:攻擊者若通過一定手段取得用戶口令,提升權(quán)限進入目標系統(tǒng)�����,對目標主機進行完全控制。
3 工業(yè)控制系統(tǒng)安全檢查
3.1 檢查對象
包括工藝���、工程分析�����、控制系統(tǒng)信息安全后果分析���、安全防護能力分析等�����。
3.2 檢測方式
包括訪談、現(xiàn)場測試��、離線測試���、測試床或另外搭建測試環(huán)境測試�����。
3.3 檢測內(nèi)容
應(yīng)包括信息流轉(zhuǎn)過程中遇到的一切鏈路���、設(shè)備(硬件程序���、模塊組件)、人員等。
管理檢查需要準備的資料:信息安全相關(guān)管理制度和安全策略;設(shè)備保密管理制度;系統(tǒng)運行管理制度、產(chǎn)品供應(yīng)商(或者商)���、系統(tǒng)集成商等提供的資質(zhì)證明、授權(quán)證明�����、合格證書等。
技術(shù)檢查需要準備的資料:招標合同技術(shù)規(guī)格書;詳細設(shè)備清單;設(shè)備配置及使用說明;網(wǎng)絡(luò)拓撲圖;輸入輸出端口信息;DNC服務(wù)器配置及使用說明;設(shè)備的連接說明、功能說明��、操作手冊��。
運維檢查需要準備的資料:運行維護管理制度���、訪問控制端口設(shè)置情況記錄、運行維護報告���、應(yīng)急預(yù)案方案、應(yīng)急演練記錄���。
3.4 檢測重點
重點檢查輸入輸出端口使用�����、設(shè)備安全配置、運維安全措施的落實情況���,同時檢查資產(chǎn)管理情況��,訪問控制策略���、備份及應(yīng)急管理等方面。
4 結(jié)束語
通過上面的分析與研究,工業(yè)控制系統(tǒng)還存在許多的漏洞和安全風(fēng)險�����,只有充分認識到這些漏洞��,才能利用信息安全手段不斷的處置這些漏洞�����,使風(fēng)險降到最低。同時我們應(yīng)該認識到,工業(yè)控制系統(tǒng)信息安全技術(shù)是一門不斷深入發(fā)展的技術(shù)���,隨著工業(yè)控制系統(tǒng)廣泛應(yīng)用和不斷發(fā)展,其信息安全必將面臨更加嚴峻的挑戰(zhàn)��,隨之信息安全技術(shù)的研究也必將快速推進��。
第6篇
【關(guān)鍵詞】SCADA系統(tǒng)�����;信息安全
成品油管道輸送過程中高度的自動化工業(yè)控制手段是確保管道安全���、穩(wěn)定輸送成品油的前提,近年來為了實現(xiàn)實時數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的方便���,工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)往往需要直接進行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet�����,在這種情況下���,工業(yè)控制系統(tǒng)也面臨著來自Internet的威脅�����。因此建立成品油管道企業(yè)SCADA系統(tǒng)的安全防護體系和安全模型,對確保SCADA系統(tǒng)安全穩(wěn)定運行���,加速實現(xiàn)“數(shù)字化管道”的進程具有重要的現(xiàn)實意義�����,是當(dāng)前管道企業(yè)自動化控制系統(tǒng)建設(shè)中亟待解決的大問題���。
一、華南管網(wǎng)生產(chǎn)網(wǎng)現(xiàn)狀及特點
銷售華南分公司作為石化企業(yè)最長的成品油長輸管道���,典型的資金和技術(shù)密集型企業(yè)��,負責(zé)西南及珠三角3千多公里的成品油輸送業(yè)務(wù)���,管道全線由國際上先進的SCADA系統(tǒng)完成對輸油管道生產(chǎn)過程的數(shù)據(jù)采集�����、監(jiān)視��、水擊保護與控制,批量計劃�����、批次編排與輸送�����,管道泄漏檢測與定位等任務(wù)。華南管網(wǎng)的生產(chǎn)運行以調(diào)控中心操作控制為主���,管道生產(chǎn)的連續(xù)性很強,裝置和重要設(shè)備的意外停產(chǎn)都會導(dǎo)致巨大的經(jīng)濟損失��,生產(chǎn)管理上更注重安全和平穩(wěn)運行��。SCADA控制網(wǎng)絡(luò)由DCS、PLC和SCADA等控制系統(tǒng)構(gòu)成,生產(chǎn)網(wǎng)在數(shù)據(jù)采集方面���,采用開放性設(shè)計。開放性設(shè)計是當(dāng)今系統(tǒng)設(shè)計的基本要求��,它要求計算機軟硬件廠家共同遵守通用的國際標準,以實現(xiàn)不同廠家設(shè)備之間的通訊�����。整個華南管網(wǎng)SCADA系統(tǒng)采用OPC協(xié)議���、IEC 104協(xié)議��、Modbus協(xié)議等通用標準接口與幾十家甚至上百家的第三方設(shè)備通訊�����,采集足夠的管線運行參數(shù)���,如液位���、溫度、電氣、陰保���、密度等信號,確保對管線的有效監(jiān)控���。具體架構(gòu)見圖1所示。
在通信方式上���,為確保監(jiān)控數(shù)據(jù)及時、準確���、安全的傳輸�����,采用沿管線敷設(shè)通信光纜線路方式�����,建立基于光同步數(shù)字傳輸系統(tǒng)下多業(yè)務(wù)傳輸平臺(MSTP)的綜合性通信網(wǎng)絡(luò)�����,通過MSTP通信信道(主用信道)和公網(wǎng)SDH 2M信道(備用信道)方式進行數(shù)據(jù)傳輸和保護,以實現(xiàn)對沿線站場及線路SCADA實施遠距離的數(shù)據(jù)采集�����、監(jiān)視控制��、安全保護和統(tǒng)一調(diào)度管理。在數(shù)據(jù)交換上��,采用思科路由交換設(shè)備構(gòu)建���,使用EIGRP路由協(xié)議作為主干路由協(xié)議���,負責(zé)整個網(wǎng)絡(luò)的路由計算,具體網(wǎng)絡(luò)拓撲見圖2���。
二、生產(chǎn)網(wǎng)絡(luò)安全隱患分析
1.操作系統(tǒng)安全漏洞
目前公司主要采用通用計算機(PC)+Windows的技術(shù)架構(gòu)���,操作系統(tǒng)使用WINDOWS SERVER 2003��、WINDOWS SERVER 2008��。當(dāng)今的DCS廠商更強調(diào)開放系統(tǒng)集成性�����,各DCS廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù),而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢�����。PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)操作站(HMI)的主流�����,任何一個版本的Windows自以來都在不停的漏洞補丁��,為保證過程控制系統(tǒng)相對的獨立性���,現(xiàn)場工程師通常在系統(tǒng)正式運行后不會對Windows平臺打任何補丁,更為重要的是打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試��,存在安全運行風(fēng)險。但是與之相矛盾的是���,系統(tǒng)不打補丁就會存在被攻擊的漏洞��,即使是普通常見病毒也會遭受感染,可能造成Windows平臺乃至控制網(wǎng)絡(luò)的癱瘓��。
2.網(wǎng)絡(luò)通信協(xié)議存在安全漏洞
OPC協(xié)議、Modbus協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中���,隨之而來的通信協(xié)議漏洞問題也日益突出���。例如,OPCClassic協(xié)議(OPCDA���,OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認識之前設(shè)計的,極易受到攻擊���,并且OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性���。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)��。
3.殺毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性及穩(wěn)定性��,目前部分工控系統(tǒng)操作站不安裝殺毒軟件�����。即使安裝了殺毒軟件,在使用過程中也有很大的局限性��,原因在于使用殺毒軟件很關(guān)鍵的一點是���,其病毒庫需要不定期的更新�����,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的��,這容易導(dǎo)致大規(guī)模的病毒攻擊��,特別是新病毒。
4.應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣��,很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時���,就必須開放其應(yīng)用端口��。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性?�;ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取設(shè)備的控制權(quán)���,一旦這些控制權(quán)被不良意圖黑客所掌握,那么后果不堪設(shè)想��。
5.缺乏有效的網(wǎng)絡(luò)監(jiān)控手段
缺乏統(tǒng)一的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)監(jiān)控平臺,主要體現(xiàn)在以下四個方面�����。
第一是隨著生產(chǎn)網(wǎng)絡(luò)不斷拓寬,對網(wǎng)絡(luò)的依賴越來越大�����,要求對網(wǎng)絡(luò)管理的內(nèi)容日趨增多,包括網(wǎng)絡(luò)管理���、性能管理、應(yīng)用管理�����、使用管理���、安全系統(tǒng)等內(nèi)容。第二是業(yè)務(wù)服務(wù)的規(guī)模增大�����,規(guī)劃、維護���、安全、管理等分工更加細致��,管理迫切要求對業(yè)務(wù)服務(wù)管理和維護建立統(tǒng)一的、規(guī)范的、體系化的、層次化的服務(wù)管理�����。第三是多設(shè)備、多系統(tǒng)的運行信息、告警信息的多樣化��,需要對這些信息進行集中化的管理��,進行智能化的分析、統(tǒng)計���,得出有利于網(wǎng)絡(luò)管理和維護的數(shù)據(jù)���,便于更有效、更快捷的解決問題。第四是管理人員不斷增多���,管理流程日益復(fù)雜���,管理成本不斷上升�����,技術(shù)管理體系需要完善���。
6.網(wǎng)絡(luò)未有效隔離
公司生產(chǎn)網(wǎng)與Internet網(wǎng)間缺乏安全有效的隔離。隨著互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團信息化整合的加強,中石化總部提出了生產(chǎn)數(shù)據(jù)集中采集���,通過廣域網(wǎng)實現(xiàn)集團內(nèi)部資源共享��、統(tǒng)一集團管理的需求�����,企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet,而Internet接入也成為必然���。Internet接入減弱了控制系統(tǒng)、SCADA等系統(tǒng)與外界的隔離���,容易造成蠕蟲�����、木馬等病毒的威脅向工業(yè)控制系統(tǒng)擴散。
7.缺乏有效的訪問控制手段
操作站(PC)和服務(wù)器提供了過多的硬件接口,光盤��、移動硬盤等存儲介質(zhì)未經(jīng)安全檢測就使用給網(wǎng)絡(luò)安全帶來了隱患;筆記本電腦等非生產(chǎn)終端設(shè)備未經(jīng)過準入許可��,通過網(wǎng)絡(luò)節(jié)點接入后��,在未授權(quán)的情況下便可以訪問和操控控制網(wǎng)絡(luò)系統(tǒng),也存在安全隱患。
三���、生產(chǎn)網(wǎng)絡(luò)安全方案設(shè)計原則
針對以上存在的安全隱患,通過目前大型企業(yè)網(wǎng)絡(luò)設(shè)計及建設(shè)經(jīng)驗���,結(jié)合生產(chǎn)網(wǎng)絡(luò)的特點���,生產(chǎn)網(wǎng)絡(luò)系統(tǒng)在安全方案設(shè)計��、規(guī)劃過程中�����,應(yīng)遵循以下原則:
綜合性��、整體性原則:應(yīng)用系統(tǒng)工程的觀點�����、方法�����,分析網(wǎng)絡(luò)的安全及具體措施��。安全措施主要包括:行政法律手段�����、各種管理制度(人員審查、工作流程�����、維護保障制度等)以及專業(yè)措施(識別技術(shù)�����、存取控制、密碼���、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)��。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果���。一個計算機網(wǎng)絡(luò),包括個人��、設(shè)備���、軟件��、數(shù)據(jù)等���,這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待�����、分析��,才能取得有效、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)���。
需求���、風(fēng)險、代價平衡的原則:對任一網(wǎng)絡(luò),絕對安全難以達到��,也不一定是必要的�����。對一個網(wǎng)絡(luò)進行實際研究(包括任務(wù)、性能���、結(jié)構(gòu)��、可靠性、可維護性等),并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施�����,確定本系統(tǒng)的安全策略���。
一致性原則:一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期(或生命周期)同時存在���,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細設(shè)計)及實施計劃���、網(wǎng)絡(luò)驗證�����、驗收���、運行等�����,都要有安全的內(nèi)容及措施�����。實際上�����,在網(wǎng)絡(luò)建設(shè)初期就考慮網(wǎng)絡(luò)安全對策���,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,不但容易�����,且花費也少得多。
分步實施原則:由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍廣���,隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加�����,網(wǎng)絡(luò)脆弱性也會不斷增加���。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出��。因此分步實施�����,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求���,亦可節(jié)省費用開支�����。
多重保護原則:任何安全措施都不是絕對安全的���,都可能被攻破���。但是建立一個多重保護系統(tǒng)��,各層保護相互補充�����,當(dāng)一層保護被攻破時�����,其它層保護仍可保護信息的安全�����。
四���、生產(chǎn)網(wǎng)絡(luò)安全保障的主要方法和措施
華南管網(wǎng)生產(chǎn)網(wǎng)的安全建設(shè)前提必須是確保生產(chǎn)應(yīng)用系統(tǒng)的正常穩(wěn)定,由于目前控制系統(tǒng)應(yīng)用軟件對網(wǎng)絡(luò)穩(wěn)定性及計算機性能要求較高,安全系統(tǒng)建設(shè)應(yīng)基于不增加系統(tǒng)負擔(dān)��,不過大占用網(wǎng)絡(luò)帶寬�����,不因安全設(shè)備的安裝增加故障點的前提考慮,盡可能進行網(wǎng)絡(luò)加固監(jiān)控��,實現(xiàn)對網(wǎng)絡(luò)安全事件的“事前���、事中��、事后”全程監(jiān)控防范。現(xiàn)就生產(chǎn)網(wǎng)的建設(shè)提出自己的想法和建議��,基本架構(gòu)及方法如圖3�����。
1.采用網(wǎng)絡(luò)隔離技術(shù)���,實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互
隔離防護系統(tǒng)建設(shè)必須遵循“安全隔斷、適度交換”的設(shè)計原則��,當(dāng)用戶的網(wǎng)絡(luò)需要保證高強度的安全�����,同時又與其它不信任網(wǎng)絡(luò)進行信息交換的情況下�����,采用數(shù)據(jù)通道控制技術(shù)�����,在保證內(nèi)網(wǎng)系統(tǒng)和信息安全的前提下�����,實現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)的安全���、快速交換。采用多重安全機制���、綜合防范策略���,徹底避免來自操作系統(tǒng)��、命令��、協(xié)議等已知和未知的攻擊�����。目前此類安全產(chǎn)品以隔離網(wǎng)閘為代表��,通過專用硬件使兩個網(wǎng)絡(luò)在物理不連通的情況下實現(xiàn)數(shù)據(jù)的安全傳輸�����。
2.建立綜合網(wǎng)管系統(tǒng)���,全面完整掌握網(wǎng)絡(luò)運行狀況
目前生產(chǎn)網(wǎng)所要管理的資源包括網(wǎng)絡(luò)�����、主機�����、安全�����、數(shù)據(jù)庫、中間件���、業(yè)務(wù)系統(tǒng)等�����,通過采集以上資源全部告警狀態(tài)信息、配置信息及性能信息�����,并與通信資源庫進行關(guān)聯(lián)�����,實現(xiàn)對全網(wǎng)的拓撲管理、配置信息管理�����、業(yè)務(wù)管理�����、故障管理、性能管理等功能���。為了便于運行人員快速熟悉和掌握新的統(tǒng)一平臺的使用�����,廣泛采用了功能菜單和圖形化界面相結(jié)合的操作界面���。
3.建立網(wǎng)絡(luò)入侵檢測系統(tǒng)
入侵檢測系統(tǒng)IDS(Intrusion Detec-tion System)提供一種實時的檢測,對網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測�����,發(fā)現(xiàn)異常后報警并動態(tài)防御��。由于考慮到生產(chǎn)網(wǎng)的可用性及穩(wěn)定性�����,故在服務(wù)器及操作站中不加裝軟件防火墻及網(wǎng)絡(luò)流量檢測軟件,而是根據(jù)接口流量及帶寬��,在各管理處及輸油站網(wǎng)絡(luò)的交換機上鏈路出口、核心交換匯聚接口及與外網(wǎng)連接接口均部署IDS�����。為避免因設(shè)備故障影響網(wǎng)絡(luò)通斷��,將IDS以旁路并聯(lián)方式連接到網(wǎng)絡(luò)中��,對路由器或交換機做端口鏡像,將需要監(jiān)控的端口流量鏡像后傳輸IDS后進行分析,最終通過IDS服務(wù)器完成集中監(jiān)控��、策略統(tǒng)一配置和報表綜合管理等功能���,實現(xiàn)從事前警告、事中防護到事后取證的一體化監(jiān)控��。
4.建立嚴格的準入控制
針對接入層用戶的安全威脅��,特別是來自應(yīng)用層面的安全隱患�����,防止黑客對核心層設(shè)備及服務(wù)器的攻擊���,我們必須在接入層設(shè)置強大的安全屏障���,從網(wǎng)絡(luò)接入端點的安全控制入手,通過安全客戶端���、安全策略服務(wù)器�����、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動�����,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略��,加強網(wǎng)絡(luò)用戶終端的主動防御能力�����,并嚴格控制終端用戶的網(wǎng)絡(luò)使用行為��,保護網(wǎng)絡(luò)安全�����。整個系統(tǒng)應(yīng)包括準入控制手段��、控制支撐�����、控制決策和應(yīng)用接口4個層面�����。
5.通過桌面安全實現(xiàn)補丁及防病毒軟件升級
操作站及服務(wù)器等PC設(shè)備考慮到生產(chǎn)網(wǎng)的安全���,不直接Internet直接下載操作系統(tǒng)補丁及防病毒軟件補丁���,而在生產(chǎn)網(wǎng)內(nèi)部建立桌面安全系統(tǒng)與外網(wǎng)連接,通過桌面安全系統(tǒng)實現(xiàn)對公司生產(chǎn)網(wǎng)內(nèi)PC機的控制管理���,從應(yīng)用程序管理、外設(shè)管理、軟件分發(fā)��、補丁管理�����、文件操作審計�����、遠程管理等多方面對PC機各種資源要素進行全程控制�����、保護和審計��。確保桌面計算機運行的可靠性���、完整性和安全性���,提高PC機維護效率���,從而達到自動化管理和信息安全監(jiān)控的整體目的�����。
五、結(jié)論
隨著計算機技術(shù)的發(fā)展�����,計算機病毒制造技術(shù)和黑客攻擊技術(shù)也在不斷的發(fā)展變化,越來越多的安全事件的發(fā)生�����,我國的工業(yè)基礎(chǔ)設(shè)施面臨著前所未有的安全挑戰(zhàn)�����。雖然我們在生產(chǎn)網(wǎng)安全建設(shè)和防范過程中積累了一定經(jīng)驗,但我們?nèi)孕柩芯亢吞剿鳎粩鄬W(xué)習(xí)和掌握日新月異的網(wǎng)絡(luò)安全新知識��,綜合運用多種安全技術(shù)來加強安全策略和安全管理�����,從而建立起一套真正適合企業(yè)生產(chǎn)網(wǎng)的安全網(wǎng)絡(luò)體系。
參考文獻
[1]戴宗坤.信息安全實用技術(shù)[M].重慶大學(xué)出版社��,2005.
第7篇
一、我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢
(一)基礎(chǔ)網(wǎng)絡(luò)防護能力明顯提升�����,但安全隱患不容忽視���。根據(jù)工信部組織開展的2011年通信網(wǎng)絡(luò)安全防護檢查情況��,基礎(chǔ)電信運營企業(yè)的網(wǎng)絡(luò)安全防護意識和水平較2010年均有所提高��,對網(wǎng)絡(luò)安全防護工作的重視程度進一步加大���,網(wǎng)絡(luò)安全防護管理水平明顯提升,對非傳統(tǒng)安全的防護能力顯著增強,網(wǎng)絡(luò)安全防護達標率穩(wěn)步提高�����,各企業(yè)網(wǎng)絡(luò)安全防護措施總體達標率為98.78%��,較2010年的92.25%���、2009年的78.61%呈逐年穩(wěn)步上升趨勢���。
但是��,基礎(chǔ)電信運營企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險���。據(jù)抽查結(jié)果顯示,域名解析系統(tǒng)(DNS)��、移動通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險的百分比分別為6.8%���、17.3%和0.6%��。涉及基礎(chǔ)電信運營企業(yè)的信息安全漏洞數(shù)量較多���。據(jù)國家信息安全漏洞共享平臺(CNVD)收錄的漏洞統(tǒng)計,2011年發(fā)現(xiàn)涉及電信運營企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器�����、交換機等)的漏洞203個,其中高危漏洞73個�����;發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個��, 應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個��。涉及基礎(chǔ)電信運營企業(yè)的攻擊形勢嚴峻�����。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測,2011年每天發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有7%的事件涉及到基礎(chǔ)電信運營企業(yè)的域名系統(tǒng)或服務(wù)��。2011年7月15日域名注冊服務(wù)機構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊���,導(dǎo)致其負責(zé)解析的大運會官網(wǎng)域名在部分地區(qū)無法解析��。8月18日晚和19日晚���,新疆某運營商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊,造成局部用戶無法正常使用互聯(lián)網(wǎng)��。
(二)政府網(wǎng)站安全事件顯著減少��,網(wǎng)站用戶信息泄漏引發(fā)社會高度關(guān)注。據(jù)CNCERT監(jiān)測,2011年中國大陸被篡改的政府網(wǎng)站為2807個���,比2010年大幅下降39.4%;從CNCERT專門面向國務(wù)院部門門戶網(wǎng)站的安全監(jiān)測結(jié)果來看,國務(wù)院部門門戶網(wǎng)站存在低級別安全風(fēng)險的比例從2010年的60%進一步降低為50%��。但從整體來看��,2011年網(wǎng)站安全情況有一定惡化趨勢��。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中��,網(wǎng)站安全類事件占到61.7%���;境內(nèi)被篡改網(wǎng)站數(shù)量為36612個,較2010年增加5.1%;4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個。CNVD接收的漏洞中��,涉及網(wǎng)站相關(guān)的漏洞占22.7%���,較2010年大幅上升�����,排名由第三位上升至第二位��。網(wǎng)站安全問題進一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題���。2011年底�����, CSDN�����、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會廣泛關(guān)注��,被公開的疑似泄露數(shù)據(jù)庫26個�����,涉及帳號、密碼信息2.78億條��,嚴重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)��,我國部分網(wǎng)站的用戶信息仍采用明文的方式存儲,相關(guān)漏洞修補不及時���,安全防護水平較低���。
(三)我國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多�����。
黑影服務(wù)器-僵尸網(wǎng)絡(luò)控制端數(shù)量排名(2012年3月14日)
麥咖啡
賽門鐵克
賽門鐵克——病毒郵件排名(2011年11月)
賽門鐵克——釣魚網(wǎng)站排名(2011年11月)
賽門鐵克-垃圾郵件數(shù)量排名(2011年11月)
索菲斯
索菲斯—垃圾郵件排名
2011年���,CNCERT抽樣監(jiān)測發(fā)現(xiàn),境外有近4.7萬個IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國境內(nèi)主機�����,雖然其數(shù)量較2010年的22.1萬大幅降低��,但其控制的境內(nèi)主機數(shù)量卻由2010年的近500萬增加至近890萬�����,呈現(xiàn)大規(guī)?�;厔?����。其中位于日本(22.8%)���、美國(20.4%)和韓國(7.1%)的控制服務(wù)器IP數(shù)量居前三位,美國繼2009年和2010年兩度位居榜首后��,2011年其控制服務(wù)器IP數(shù)量下降至第二�����,以9528個IP控制著我國境內(nèi)近885萬臺主機,控制我國境內(nèi)主機數(shù)仍然高居榜首���。在網(wǎng)站安全方面�����,境外黑客對境內(nèi)1116個網(wǎng)站實施了網(wǎng)頁篡改;境外11851個IP通過植入后門對境內(nèi)10593個網(wǎng)站實施遠程控制,其中美國有3328個IP(占28.1%)控制著境內(nèi)3437個網(wǎng)站�����,位居第一��,源于韓國(占8.0%)和尼日利亞(占5.8%)的IP位居第二���、三位;仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外,其中美國仍然排名首位——共有481個IP(占72.1%)仿冒了境內(nèi)2943個銀行網(wǎng)站的站點���,中國香港(占17.8%)和韓國(占2.7%)分列二�����、三位�����?����?傮w來看�����,2011年位于美國��、日本和韓國的惡意IP地址對我國的威脅最為嚴重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報送的數(shù)據(jù)���,2011年在我國實施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊�����。此外�����,CNCERT在2011年還監(jiān)測并處理多起境外IP對我國網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件���。這些情況表明我國面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴重�����。
(四)網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。隨著我國網(wǎng)上銀行的蓬勃發(fā)展��,廣大網(wǎng)銀用戶成為黑客實施網(wǎng)絡(luò)攻擊的主要目標��。2011年初���,全國范圍大面積爆發(fā)了假冒中國銀行網(wǎng)銀口令卡升級的騙局�����,據(jù)報道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測���,2011年針對網(wǎng)銀用戶名和密碼��、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍�����, 3月-12月發(fā)現(xiàn)針對我國網(wǎng)銀的釣魚網(wǎng)站域名3841個���。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報5459件�����,較2010年增長近2.5倍,占總接收事件的35.5%��;重點處理網(wǎng)頁釣魚事件1833件��,較2010年增長近兩倍���。
(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后���,2011年美國伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運作��,11月Stuxnet病毒轉(zhuǎn)變?yōu)閷iT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬�����。2011年CNVD收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞��,較2010年大幅增長近10倍���,涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品���。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞,但在處置過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。
(六)手機惡意程序現(xiàn)多發(fā)態(tài)勢�����。隨著移動互聯(lián)網(wǎng)生機勃勃的發(fā)展���,黑客也將其視為攫取經(jīng)濟利益的重要目標��。2011年CNCERT捕獲移動互聯(lián)網(wǎng)惡意程序6249個���,較2010年增加超過兩倍。其中��,惡意扣費類惡意程序數(shù)量最多,為1317個,占21.08%���,其次是惡意傳播類�����、信息竊取類�����、流氓行為類和遠程控制類。從手機平臺來看��,約有60.7%的惡意程序針對Symbian平臺��,該比例較2010年有所下降�����,針對Android平臺的惡意程序較2010年大幅增加�����,有望迅速超過Symbian平臺��。2011年境內(nèi)約712萬個上網(wǎng)的智能手機曾感染手機惡意程序��,嚴重威脅和損害手機用戶的權(quán)益�����。
(七)木馬和僵尸網(wǎng)絡(luò)活動越發(fā)猖獗���。2011年�����,CNCERT全年共發(fā)現(xiàn)近890萬余個境內(nèi)主機IP地址感染了木馬或僵尸程序��,較2010年大幅增加78.5%��。其中,感染竊密類木馬的境內(nèi)主機IP地址為5.6萬余個,國家��、企業(yè)以及網(wǎng)民的信息安全面臨嚴重威脅���。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報告,2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%���,位于較高水平��。黑客在瘋狂制造新的惡意程序的同時��,也在想方設(shè)法逃避監(jiān)測和打擊��,例如,越來越多的黑客采用在境外注冊域名�����、頻繁更換域名指向IP等手段規(guī)避安全機構(gòu)的監(jiān)測和處置。
(八)應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢��。2011年��,CNVD共收集整理并公開信息安全漏洞5547個�����,較2010年大幅增加60.9%�����。其中��,高危漏洞有2164個,較2010年增加約2.3倍���。在所有漏洞中��,涉及各種應(yīng)用程序的最多���,占62.6%,涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二�����,占22.7%�����,而涉及各種操作系統(tǒng)的漏洞則排到第三位��,占8.8%。除預(yù)警外���,CNVD還重點協(xié)調(diào)處置了大量威脅嚴重的漏洞��,涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)�����、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)��、網(wǎng)絡(luò)設(shè)備�����、網(wǎng)頁瀏覽器�����、手機應(yīng)用軟件等類型以及政務(wù)、電信�����、銀行���、民航等重要部門��。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對安全問題重視不夠�����,質(zhì)量控制不嚴格���,發(fā)生安全事件后應(yīng)急處置能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大�����,因此一旦某個產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞,將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅��。這種規(guī)模效應(yīng)也吸引黑客加強了對軟件和網(wǎng)站漏洞的挖掘和攻擊活動���。
(九)DDoS攻擊仍然呈現(xiàn)頻率高�����、規(guī)模大和轉(zhuǎn)嫁攻擊的特點�����。2011年��,DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一,表現(xiàn)出三個特點���。一是DDoS攻擊事件發(fā)生頻率高��,且多采用虛假源IP地址���。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)���,我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起�����。其中,TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%���,對其溯源和處置難度較大���。二是在經(jīng)濟利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大��,難以防范�����。例如2011年針對浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月���,綜合采用了DNS請求攻擊��、UDP FLOOD�����、TCP SYN FLOOD���、HTTP請求攻擊等多種方式���,攻擊峰值流量達數(shù)十個Gbps�����。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊��,且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭斗引起���。
二���、國內(nèi)網(wǎng)絡(luò)安全應(yīng)對措施
(一)相關(guān)互聯(lián)網(wǎng)主管部門加大網(wǎng)絡(luò)安全行政監(jiān)管力度�����,堅決打擊境內(nèi)網(wǎng)絡(luò)攻擊行為�����。針對工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況���,工信部在2011年9月專門印發(fā)了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》,對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求���。2011年底��,工信部印發(fā)了《移動互聯(lián)網(wǎng)惡意程序監(jiān)測與處置機制》,開展治理試點�����,加強能力建設(shè)。6月起�����,工信部組織開展2011年網(wǎng)絡(luò)安全防護檢查工作�����,積極將防護工作向域名服務(wù)和增值電信領(lǐng)域延伸�����。另外還組織通信行業(yè)開展網(wǎng)絡(luò)安全實戰(zhàn)演練���,指導(dǎo)相關(guān)單位妥善處置網(wǎng)絡(luò)安全應(yīng)急事件等���。公安部門積極開展網(wǎng)絡(luò)犯罪打擊行動�����,破獲了2011年12月底CSDN�����、天涯社區(qū)等數(shù)據(jù)泄漏案等大量網(wǎng)絡(luò)攻擊案件��;國家網(wǎng)絡(luò)與信息安全信息通報中心積極發(fā)揮網(wǎng)絡(luò)安全信息共享平臺作用��,有力支撐各部門做好網(wǎng)絡(luò)安全工作。
(二)通信行業(yè)積極行動���,采取技術(shù)措施凈化公共網(wǎng)絡(luò)環(huán)境���。面對木馬和僵尸程序在網(wǎng)上的橫行和肆虐���,在工信部的指導(dǎo)下���,2011年CNCERT會同基礎(chǔ)電信運營企業(yè)、域名從業(yè)機構(gòu)開展14次木馬和僵尸網(wǎng)絡(luò)專項打擊行動�����,次數(shù)比去年增加近一倍��。成功處置境內(nèi)外5078個規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端和惡意程序傳播源���。此外,CNCERT全國各分中心在當(dāng)?shù)赝ㄐ殴芾砭值闹笇?dǎo)下�����,協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運營企業(yè)分公司合計處置木馬和僵尸網(wǎng)絡(luò)控制端6.5萬個���、受控端93.9萬個。根據(jù)監(jiān)測���,在中國網(wǎng)民數(shù)和主機數(shù)量大幅增加的背景下���,控制端數(shù)量相對2010年下降4.6%,專項治理工作取得初步成效�����。
(三)互聯(lián)網(wǎng)企業(yè)和安全廠商聯(lián)合行動���,有效開展網(wǎng)絡(luò)安全行業(yè)自律。2011年CNVD收集整理并漏洞信息��,重點協(xié)調(diào)國內(nèi)外知名軟件商處置了53起影響我國政府和重要信息系統(tǒng)部門的高危漏洞���。中國反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)啟動聯(lián)盟內(nèi)惡意代碼共享和分析平臺試點工作���,聯(lián)合20余家網(wǎng)絡(luò)安全企業(yè)��、互聯(lián)網(wǎng)企業(yè)簽訂遵守《移動互聯(lián)網(wǎng)惡意程序描述規(guī)范》,規(guī)范了移動互聯(lián)網(wǎng)惡意代碼樣本的認定命名��,促進了對其的分析和處置工作。中國互聯(lián)網(wǎng)協(xié)會于2011年8月組織包括奇虎360和騰訊公司在內(nèi)的38個單位簽署了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》���,該公約提倡公平競爭和禁止軟件排斥��,一定程度上規(guī)范了終端軟件市場的秩序��;在部分網(wǎng)站發(fā)生用戶信息泄露事件后,中國互聯(lián)網(wǎng)協(xié)會立即召開了“網(wǎng)站用戶信息保護研討會”,提出安全防范措施建議。
(四)深化網(wǎng)絡(luò)安全國際合作��,切實推動跨境網(wǎng)絡(luò)安全事件有效處理���。作為我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對外合作窗口��,2011年CNCERT積極推動“國際合作伙伴計劃”��,已與40個國家�����、79個組織建立了聯(lián)系機制,全年共協(xié)調(diào)國外安全組織處理境內(nèi)網(wǎng)絡(luò)安全事件1033起�����,協(xié)助境外機構(gòu)處理跨境事件568起���。其中包括針對境內(nèi)的DDoS攻擊�����、網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)安全事件�����,也包括針對境外蘇格蘭皇家銀行網(wǎng)站�����、德國郵政銀行網(wǎng)站、美國金融機構(gòu)Wells Fargo網(wǎng)站�����、希臘國家銀行網(wǎng)站和韓國農(nóng)協(xié)銀行網(wǎng)站等金融機構(gòu),加拿大稅務(wù)總局網(wǎng)站�����、韓國政府網(wǎng)站等政府機構(gòu)的事件�����。另外CNCERT再次與微軟公司聯(lián)手,繼2010年打擊Waledac僵尸網(wǎng)絡(luò)后���,2011年又成功清除了Rustock僵尸網(wǎng)絡(luò),積極推動跨境網(wǎng)絡(luò)安全事件的處理�����。2011年���,CNCERT圓滿完成了與美國東西方研究所(EWI)開展的為期兩年的中美網(wǎng)絡(luò)安全對話機制反垃圾郵件專題研討�����,并在英國倫敦和我國大連舉辦的國際會議上正式了中文版和英文版的成果報告“抵御垃圾郵件 建立互信機制”���,增進了中美雙方在網(wǎng)絡(luò)安全問題上的相互了解,為進一步合作打下基礎(chǔ)��。
三���、2012年值得關(guān)注的網(wǎng)絡(luò)安全熱點問題
隨著我國互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的快速發(fā)展,2012年的網(wǎng)絡(luò)安全形勢將更加復(fù)雜��,尤其需要重點關(guān)注如下幾方面問題:
(一)網(wǎng)站安全面臨的形勢可能更加嚴峻���,網(wǎng)站中集中存儲的用戶信息將成為黑客竊取的重點��。由于很多社交網(wǎng)站�����、論壇等網(wǎng)站的安全性差���,其中存儲的用戶信息極易被竊取���,黑客在得手之后會進一步研究利用所竊取的個人信息,結(jié)合社會工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng)��,可能導(dǎo)致更嚴重的財產(chǎn)損失�����。
(二)隨著移動互聯(lián)網(wǎng)應(yīng)用的豐富和3G��、wifi網(wǎng)絡(luò)的快速發(fā)展�����,針對移動互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加���,智能終端將成為黑客攻擊的重點目標��。由于Android手機用戶群的快速增長和Android應(yīng)用平臺允許第三方應(yīng)用的特點,運行Android操作系統(tǒng)的智能移動終端將成為黑客關(guān)注的重點���。
(三)隨著我國電子商務(wù)的普及�����,網(wǎng)民的理財習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移,針對網(wǎng)上銀行��、證券機構(gòu)和第三方支付的攻擊將急劇增加�����。針對金融機構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化�����,可能集網(wǎng)絡(luò)釣魚��、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體�����,實施更具威脅的攻擊。
(四)APT 攻擊將更加盛行�����,網(wǎng)絡(luò)竊密風(fēng)險加大。APT攻擊具有極強的隱蔽能力和針對性,傳統(tǒng)的安全防護系統(tǒng)很難防御�����。美國等西方發(fā)達國家已將APT攻擊列入國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)�����,2012年APT攻擊將更加系統(tǒng)化和成熟化��,針對重要和敏感信息的竊取�����,有可能成為我國政府���、企業(yè)等重要部門的嚴重威脅���。
(五)隨著2012年ICANN正式啟動新通用頂級域名(gTLD)業(yè)務(wù)��,新增的大量gTLD及其多語言域名資源�����,將給域名濫用者或欺詐者帶來更大的操作空間��。
(六)隨著寬帶中國戰(zhàn)略開始實施���,國家下一代互聯(lián)網(wǎng)啟動商用試點���,以及無線城市的大規(guī)模推進和云計算大范圍投入應(yīng)用, IPv6網(wǎng)絡(luò)安全、無線網(wǎng)安全和云計算系統(tǒng)及數(shù)據(jù)安全等方面的問題將會越來越多地呈現(xiàn)出來���。
第8篇
影響計算機網(wǎng)絡(luò)系統(tǒng)安全的因素計算機網(wǎng)絡(luò)的安全性��,是一個系統(tǒng)的概念�����,是由數(shù)據(jù)運行的安全性���、通信的安全性和管理人員的安全意識三部分組成。任何一方面出現(xiàn)問題都將影響整個網(wǎng)絡(luò)系統(tǒng)的正常運行��。
計算機網(wǎng)絡(luò)軟、硬件技術(shù)的不完善由于人類認識能力和技術(shù)發(fā)展的局限性���,在設(shè)計硬件和軟件的過程中,難免會留下種種技術(shù)缺陷��,由此造成信息安全隱患,如Internet作為全球使用范圍最廣的信息網(wǎng)���,自身協(xié)議的開放性雖極大地方便了各種計算機入網(wǎng)���,拓寬了共享資源。但TCP/IP協(xié)議在開始制定時沒有考慮通信路徑的安全性���,缺乏通信協(xié)議的基本安全機制��,沒有加密、身份認證等功能;在發(fā)送信息時常包含源地址�����、目標地址和端口號等信息��。由此導(dǎo)致了網(wǎng)絡(luò)上的遠程用戶讀寫系統(tǒng)文件�����、執(zhí)行根和非根擁有的文件通過網(wǎng)絡(luò)進行傳送時產(chǎn)生了安全漏洞���。
計算機病毒的影響計算機病毒利用網(wǎng)絡(luò)作為自己繁殖和傳播的載體及工具�����,造成的危害越來越大。Internet帶來的安全威脅來自文件下載及電子郵件�����,郵件病毒憑借其危害性強、變形種類繁多���、傳播速度快、可跨平臺發(fā)作���、影響范圍廣等特點���,利用用戶的通訊簿散發(fā)病毒���,通過用戶文件泄密信息�����,郵件病毒己成為目前病毒防治的重中之重。
計算機網(wǎng)絡(luò)存在著系統(tǒng)內(nèi)部的安全威脅計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全威脅包括以下幾個方面:①計算機系統(tǒng)及通信線路的脆弱性���。②系統(tǒng)軟硬件設(shè)計、配置及使用不當(dāng)�����。③人為因素造成的安全泄漏,如網(wǎng)絡(luò)機房的管理人員不慎將操作口令泄漏��,有意或無意地泄密、更改網(wǎng)絡(luò)配置和記錄信息���,磁盤上的機密文件被人利用��,臨時文件未及時刪除而被竊取��。
物理電磁輻射引起的信息泄漏計算機附屬電子設(shè)備在工作時能經(jīng)過地線��、電源線�����、信號線將電磁信號或諧波等輻射出去,產(chǎn)生電磁輻射�����。電磁輻射物能夠破壞網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),這種輻射的來源主要有兩個方面:①網(wǎng)絡(luò)周圍電子設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源�����。②網(wǎng)絡(luò)的終端、打印機或其他電子設(shè)備在工作時產(chǎn)生的電磁輻射泄漏���,這些電磁信號在近處或者遠處都可以被接收下來,經(jīng)過提取處理���,重新恢復(fù)出原信息��,造成信息泄漏���。
缺少嚴格的網(wǎng)絡(luò)安全管理制度載體及工具,造成的危害越來越大�����。Internet帶來的安全威脅來自文件下載及電子郵件,郵件病毒憑借其危害性強��、變形種類繁多�����、傳播速度快��、可跨平臺發(fā)作、影響范圍廣等特點���,利用用戶的通訊簿散發(fā)病毒,通過用戶文件泄密信息��,郵件病毒己成為目前病毒防治的重中之重�����。
13計算機網(wǎng)絡(luò)存在著系統(tǒng)內(nèi)部的安全威脅計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全威脅包括以下幾個方面:①計算機系統(tǒng)及通信線路的脆弱性�����。②系統(tǒng)軟硬件設(shè)計�����、配置及使用不當(dāng)��。③人為因素造成的安全泄漏���,如網(wǎng)絡(luò)機房的管理人員不慎將操作口令泄漏��,有意或無意地泄密�����、更改網(wǎng)絡(luò)配置和記錄信息�����,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取�����。
物理電磁輻射引起的信息泄漏計算機附屬電子設(shè)備在工作時能經(jīng)過地線、電源線�����、信號線將電磁信號或諧波等輻射出去,產(chǎn)生電磁輻射��。電磁輻射物能夠破壞網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù),這種輻射的來源主要有兩個方面:①網(wǎng)絡(luò)周圍電子設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源���。②網(wǎng)絡(luò)的終端��、打印機或其他電子設(shè)備在工作時產(chǎn)生的電磁輻射泄漏���,這些電磁信號在近處或者遠處都可以被接收下來�����,經(jīng)過提取處理�����,重新恢復(fù)出原信息,造成信息泄漏��。
缺少嚴格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)內(nèi)部的安全需要用完備的安全制度來保障��,管理的失敗是網(wǎng)絡(luò)系統(tǒng)安全體系失敗的非常重要的原因。網(wǎng)絡(luò)管理員配置不當(dāng)或者網(wǎng)絡(luò)應(yīng)用升級不及時造成的安全漏洞���、使用脆弱的用戶口令�����、隨意使用普通網(wǎng)絡(luò)站點下載的軟件��、在防火墻內(nèi)部架設(shè)撥號服務(wù)器卻沒有對賬號認證等嚴格限制���、用戶安全意識不強、將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等���,都會使網(wǎng)絡(luò)處于危險之中��。
加強計算機網(wǎng)絡(luò)系統(tǒng)安全管理的對策建議面對網(wǎng)絡(luò)安全的脆弱性��,應(yīng)切實加強計算機網(wǎng)絡(luò)的安全管理��,網(wǎng)絡(luò)安全是對付威脅��、克服脆弱性��、保護網(wǎng)絡(luò)資源的所有措施的總和��,涉及政策、法律、管理��、教育和技術(shù)等方面的內(nèi)容。網(wǎng)絡(luò)安全是一項系統(tǒng)工程���,針對來自不同方面的安全威脅�����,需要采取不同的安全對策���。
計算機網(wǎng)絡(luò)系統(tǒng)的物理安全管理計算機網(wǎng)絡(luò)系統(tǒng)物理安全管理的目的是保護路由器��、交換機工作站���、網(wǎng)絡(luò)服務(wù)器�����、打印機等硬件實體和通信線路免受自然災(zāi)害�����、人為破壞和搭線竊聽攻擊�����,確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境��。抑制和防止電磁泄漏是物理安全的一個主要問題�����。
對傳導(dǎo)發(fā)射的防護主要采取對電源線和信號線加裝性能良好的濾波器��,減小傳輸阻抗和導(dǎo)線值的交叉藕合���。
對輻射的防護這類防護措施分為兩種:一是采用各種電磁屏蔽措施,如對設(shè)備的金屬屏蔽和各種接插件的屏蔽��,同時對網(wǎng)絡(luò)機房的下水管��、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統(tǒng)工作的同時�����,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征��。
計算機網(wǎng)絡(luò)系統(tǒng)的訪問控制策略
訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略�����,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。
入網(wǎng)訪問控制它為網(wǎng)絡(luò)訪問提供了第一層訪問控制��,它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源��,控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)��。
網(wǎng)絡(luò)的權(quán)限控制它是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施���。用戶和用戶組被賦予一定的權(quán)限��,網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄��、子目錄���、文件和其他資源���,可以指定用戶對這些文件��、目錄���、設(shè)備能夠執(zhí)行哪些操作。
網(wǎng)絡(luò)服務(wù)器安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺�����,以防止非法用戶修改�����。刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制���、非法訪問者檢測和關(guān)閉的時間間隔。
屬性安全控制它能控制以下幾個方面的權(quán)限:向某個文件寫數(shù)據(jù)���、拷貝一個文件、刪除目錄或文件���、查看目錄和文件���、執(zhí)行文件�����、隱含文件��、共享��、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件���,防止用戶對目錄和文件的誤刪除、執(zhí)行修改�����、顯示等�����。
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)��,是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng)���,通常安裝在單獨的計算機上�����,與網(wǎng)絡(luò)的其余部分隔開���,它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離��,限制網(wǎng)絡(luò)互訪,用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵人��,執(zhí)行安全管制措施,記錄所有可疑事件���。利用防火墻技術(shù)經(jīng)過仔細的配置,一般能夠在內(nèi)外網(wǎng)絡(luò)之間提供安全的網(wǎng)絡(luò)保護,降低網(wǎng)絡(luò)安全的風(fēng)險��。目前使用的防火墻產(chǎn)品可分為兩種類型:包過濾型和應(yīng)用網(wǎng)關(guān)型。
數(shù)據(jù)加密技術(shù)是保障信息安全的最基本最核心的技術(shù)措施和理論基礎(chǔ)���,由加密算法來具體實施��。由于數(shù)據(jù)在傳輸過程中有可能遭到侵犯者的竊聽而失去保密信息,如當(dāng)一個企業(yè)在傳送涉及到自己的商業(yè)秘密的數(shù)據(jù)時�����,一定要用密文傳送��,也就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼傳送,到達目的地后再用相同或不同的手段還原。
鑒別技術(shù)主要是在信息交流過程中防止信息被非法偽造、篡改和假冒的一種技術(shù)��。如果黑客進人了計算機系統(tǒng)��,虛假信息或更改真實的信息�����,通過鑒別技術(shù)即可做出判斷��。
報文鑒別是指在兩個通信者之間建立包括自動化立體倉庫軟件包、生產(chǎn)線監(jiān)測系統(tǒng)軟件包��、同步控制算法軟件模塊��、張力控制算法軟件模塊、船閘控制系統(tǒng)軟件包�����、船閘船只最優(yōu)調(diào)度算法軟件等等。
基于現(xiàn)場總線的先進控制系統(tǒng)市場前景分析
市場需求目前��,國內(nèi)各行業(yè)競爭激烈�����。企業(yè)逐步認識到只有不斷引人新技術(shù)才能使企業(yè)得到持續(xù)穩(wěn)定地發(fā)展��。企業(yè)有追求新技術(shù)��、改造現(xiàn)有系統(tǒng)的需求?����,F(xiàn)場總線技術(shù)是未來自動化技術(shù)發(fā)展的主流���,基于現(xiàn)場總線的先進控制系統(tǒng)以其明顯的技術(shù)優(yōu)勢和價格優(yōu)勢,在分布式控制系統(tǒng)市場中將逐步替代PLC產(chǎn)品�����。
企業(yè)效益對現(xiàn)場設(shè)備制造商參與基于現(xiàn)場總線的先進控制系統(tǒng)開發(fā)的現(xiàn)場設(shè)備制造商將本企業(yè)傳統(tǒng)產(chǎn)品提高了一個技術(shù)水平。由于現(xiàn)場總線技術(shù)的開放性���,企業(yè)開發(fā)的現(xiàn)場總線產(chǎn)品可以集成到任何現(xiàn)場總線控制系統(tǒng)中�����。
第9篇
來自中央網(wǎng)信辦��、國家發(fā)改委���、國資委���、科技部、國家能源局��,中國互聯(lián)網(wǎng)發(fā)展基金會、全國信息安全標準化委員會���、中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟���,民銀國際投資有限公司���、北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司等部門��、機構(gòu)的各界專家���,匯聚一堂�����,就目前國際安全新趨勢���、我國工業(yè)控制網(wǎng)絡(luò)安全面臨的挑戰(zhàn)和機遇���、以及如何促進工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等���,進行了交流�����、研討�����。以下為與會專家的發(fā)言摘要�����。
胥和平:工控網(wǎng)絡(luò)安全問題已成為網(wǎng)絡(luò)經(jīng)濟的一個重大問題
這次新經(jīng)濟圓桌會議選擇了一個重大話題:工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全��。
2015年國家明確提出“互聯(lián)網(wǎng)+”�����、“中國制造2025”等重大戰(zhàn)略舉措,十八屆五中全會和“十三五”規(guī)劃明確指出��,把拓展網(wǎng)絡(luò)發(fā)展空間作為一個重大戰(zhàn)略舉措���。一年多來���,“互聯(lián)網(wǎng)+”在各個領(lǐng)域的深度滲透��,廣泛推進���,已經(jīng)取得了明顯的成效�����,大家一直在期待一個萬物互聯(lián)���、互聯(lián)互通的社會,期待一個基于“互聯(lián)網(wǎng)+”的新的經(jīng)濟形態(tài)出現(xiàn)���。但當(dāng)所有設(shè)備�����、所有系統(tǒng)互聯(lián)互通以后���,安全問題就至關(guān)重要���。
一個小小的病毒��、一個網(wǎng)絡(luò)的漏洞就可以導(dǎo)致大型工業(yè)系統(tǒng)��、大型基礎(chǔ)設(shè)施運轉(zhuǎn)出現(xiàn)巨大的經(jīng)濟損失��。這些問題成為網(wǎng)絡(luò)經(jīng)濟的一個重大問題���,也成為發(fā)展互聯(lián)網(wǎng)經(jīng)濟的重要基礎(chǔ)��。
何幫喜:從戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡(luò)安全頂層設(shè)計,明確責(zé)任部門
過去我當(dāng)過商會會長���,對工業(yè)領(lǐng)域很熟悉���。我們經(jīng)常遇到這樣的事兒:很多企業(yè)在招標過程中���,在實施技術(shù)過程中��,突然計算機的機密文件���、數(shù)據(jù)被盜���。企業(yè)很著急���,但無法解決��。后來,經(jīng)過調(diào)研���,我了解到這屬于工控網(wǎng)絡(luò)安全問題�����。而且,還是非常普遍的現(xiàn)象�����。
今年全國兩會召開前��,我們經(jīng)過調(diào)研和專家指導(dǎo)�����,寫了《關(guān)于加強我國工控網(wǎng)絡(luò)安全���,應(yīng)納入國家戰(zhàn)略的建議》的提案,多名政協(xié)委員聯(lián)名提交��。同時�����,十幾名人大代表也聯(lián)名提交了關(guān)于工控網(wǎng)絡(luò)安全的議案���。
我們的主要建議是:從國家戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡(luò)安全頂層設(shè)計��,明確責(zé)任部門�����;建立完備的工控網(wǎng)絡(luò)安全體系,掌握芯片級核心技術(shù)���;大力扶持新興工控網(wǎng)絡(luò)安全企業(yè)��,鼓勵技術(shù)創(chuàng)新和產(chǎn)業(yè)化��;在各行業(yè)建設(shè)中同步進行工控網(wǎng)絡(luò)安全規(guī)劃和驗收等�����。
董寶青:工控安全難度最大�����,相信未來幾年內(nèi)會扭轉(zhuǎn)現(xiàn)狀
萬物互聯(lián)的時代�����,我們從過去關(guān)注互聯(lián)網(wǎng)安全��、信息系統(tǒng)安全轉(zhuǎn)向最底層次、最難的工控安全���,因為它要解決信息空間跟物理、機械的融合問題���。
首先���,在國家頂層設(shè)計方面,目前看�����,比較清晰�����。大家也都非常關(guān)注和重視���。其次,微觀層面�����,所有的工業(yè)企業(yè)或者產(chǎn)業(yè)系統(tǒng)��、實體經(jīng)濟體系���,都要建立信息安全管理制度和組織落實制度�����。第三���,要建立技術(shù)供應(yīng)鏈全生命周期�����、全環(huán)節(jié)的把控能力���,實施國產(chǎn)替代、自主可控���、安全可靠的思路�����,打造我們的技術(shù)供應(yīng)產(chǎn)業(yè)鏈。第四�����,要建立日常的維護制度��、運營制度���、巡查制度等。第五�����,建立一些應(yīng)急支援的隊伍力量。第六��,大力發(fā)展產(chǎn)業(yè)隊伍。
我們在工業(yè)控制系統(tǒng)的市場占有率還不到10%�����,相信未來幾年��,通過企業(yè)的努力,國家政策制度的建立�����,能夠扭轉(zhuǎn)這種形勢��,安全可控��、自主可控,能夠放心地發(fā)展經(jīng)濟���。
徐建平:首先要加強系統(tǒng)性的謀劃和頂層設(shè)計
當(dāng)前我們在網(wǎng)絡(luò)安全方面面臨幾個問題:一���、安全問題的認識問題�����。應(yīng)該從根本上解決�����,建立容錯機制�����。二���、政策上也有很多需要完善的地方���。比如推動自主化��,真正的支持措施少。三��、整個大的制造業(yè)大而不強�����。四���、部門之間協(xié)同性要進一步加強���。五、工業(yè)控制系統(tǒng)安全管理還存在很多缺陷�����。
我們應(yīng)該加強系統(tǒng)性的謀劃和頂層設(shè)計���。我個人認為�����,部門之間雖然已經(jīng)形成了一個相應(yīng)的工作機制,但是離真正的加強安全管理要求,還差得很遠��,還有很大的空間��。首先�����,在規(guī)劃上�����,要真正把工業(yè)控制網(wǎng)絡(luò)安全納入到各級規(guī)劃當(dāng)中去���。其次�����,突出重點,集中優(yōu)勢��,突破關(guān)鍵��。實質(zhì)上就是要強化自主創(chuàng)新能力��,落到實處�����。第三�����,加強法律法規(guī)的建設(shè)�����,通過法規(guī)的形式為信息安全、安全能力的建設(shè)提供保障��。第四���,加強社會安全意識教育���。
劉育新:國家如何支持、民企怎么進入���,都需要認真研究
在國家科技管理體制發(fā)生變化�����、發(fā)生改革的情況下,對于工業(yè)控制網(wǎng)絡(luò)安全怎么支持���,是值得研究的問題�����。工業(yè)控制網(wǎng)絡(luò)安全還有行業(yè)性的問題�����,不同行業(yè)要求不一樣�����。應(yīng)用基礎(chǔ)性的研究怎么支持�����?政府的錢是有限的��,這是一個導(dǎo)向作用的錢,政府支持哪個領(lǐng)域�����,市場上資金就會注意這個方向��。
此外,這個技術(shù)或者產(chǎn)業(yè)發(fā)展起來,需要有競爭�����,是開放性的。網(wǎng)絡(luò)安全的天然屬性就是封閉性��、體系性��,因為它涉及到保密等問題���。民營企業(yè)和社會資本怎么進入,政府的管理門檻怎么降低�����,這是需要認真考慮的���。競爭不競爭���,有時候差距很大��。
孫耀唯:能源領(lǐng)域是公共系統(tǒng)網(wǎng)絡(luò)安全的重要方面���,我們不能輕視
能源系統(tǒng)對工控系統(tǒng)安全是比較重視的,這些年在工信部的支持指導(dǎo)下做了很多工作���。比如一些預(yù)測預(yù)警�����,包括信息通報���,也做過一些執(zhí)法檢查�����,還有專項監(jiān)管���。在國產(chǎn)化方面,我們也做了很多嘗試和推廣���,包括裝備�����,風(fēng)電、水電�����、火電都在國產(chǎn)化�����,國產(chǎn)率越來越高。
從行業(yè)角度來講:一��、我們要培養(yǎng)安全意識,今后將加強教育和宣傳�����。二���、頂層設(shè)計分工���。國家總體有籌劃、部署��、規(guī)劃�����;分行業(yè)建立一個完整的規(guī)劃��;地方公安系統(tǒng)都有網(wǎng)絡(luò)安全測試實驗室��,但還要加上企業(yè)。三、人才培養(yǎng)方面��,我們一直很重視加強專業(yè)性的培養(yǎng)��,每個崗位不僅要有安全意識���,還要有操作意識。四、監(jiān)管層面�����,要加強政府的作用���,監(jiān)管隊伍、監(jiān)管素質(zhì)���、監(jiān)管手段上了之后,會發(fā)揮很多的作用���。
能源領(lǐng)域是公共系統(tǒng)網(wǎng)絡(luò)安全的重要方面���,我們不能輕視,也正在加強��,希望有關(guān)方面繼續(xù)給與支持�����。
張銘:立法要細��,規(guī)劃要明確�����,設(shè)備必須國產(chǎn)化
要用發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)的模式,解決中國網(wǎng)絡(luò)安全問題�����。我認為���,在工業(yè)領(lǐng)域��,用產(chǎn)業(yè)網(wǎng)絡(luò)控制安全的概念更好�����,產(chǎn)業(yè)不只是工業(yè)��,還有其他的�����。中國有一個非常大的網(wǎng)絡(luò)安全產(chǎn)業(yè)。這個領(lǐng)域會誕生非常大的企業(yè)��,一定要把這個產(chǎn)業(yè)發(fā)展好��。
怎么發(fā)展產(chǎn)業(yè)�����,我提幾點建議���。
第一���,立法必須要有。我們現(xiàn)在有一個網(wǎng)絡(luò)安全征求意見稿���。法律一定要細��,如果大的法律解決不了問題�����,實施細則就一定要細���,一定要能夠操作。這么大的一個產(chǎn)業(yè)��,如果用市場經(jīng)濟的辦法來解決�����,首先要把法規(guī)制定好�����。
第二���,需要一個工控網(wǎng)絡(luò)方面的規(guī)劃。這個規(guī)劃必須要明確目標��、部門之間協(xié)作���、政策支持、后續(xù)保障�����、協(xié)調(diào)機制等等�����。企業(yè)有企業(yè)的定位���,政府有政府的定位���,制定好目標,就會有監(jiān)督��,有檢查���,很多事情才能落實到位。
第三��,自主知識產(chǎn)權(quán)核心設(shè)備國產(chǎn)化�����,這個必須要解決�����。
第四�����,意識培訓(xùn)�����,大家都用互聯(lián)網(wǎng),大家要有網(wǎng)絡(luò)安全的意識�����。我覺得這部分�����,政府應(yīng)該拿點錢,企業(yè)也會愿意拿點錢���,把這個錢給行業(yè)協(xié)會,讓它組織培訓(xùn)�����。
秦昌桂:工業(yè)控制網(wǎng)絡(luò)安全���,關(guān)鍵是人才
關(guān)于公共安全��,工業(yè)控制網(wǎng)絡(luò)安全已經(jīng)作為網(wǎng)絡(luò)安全�����,也是作為國家安全,納入國家最高戰(zhàn)略���,凡是自動化程度越高���,智能化程度越高,它的安全更危險��。工業(yè)控制網(wǎng)絡(luò)安全的重要性是顯而易見的。但關(guān)鍵一點還是人才���,你講國產(chǎn)化也好�����,什么也好��,講到底就是人才。安全體系一定是要有自己的產(chǎn)品���、自己的技術(shù)��。工業(yè)控制網(wǎng)絡(luò)安全的企業(yè)��,從國家層面來講���,一定要自主培養(yǎng)人才。
網(wǎng)絡(luò)安全方面,大家對信息安全是主動防守�����,強調(diào)得更重要���,對自動化特別是生產(chǎn)領(lǐng)域、經(jīng)濟領(lǐng)域是忽視的。不要擴大威脅��,但是也不要忽視威脅��,還要考慮自身的防御�����。你的病毒�����、漏洞自己可以破壞你自己的體系�����。從我們基金會來講��,一定要利用社會的力量�����,除了加大對網(wǎng)絡(luò)安全宣傳周支持,我們重點支持網(wǎng)絡(luò)安全人才的培養(yǎng)��,人是最根本的。
高林:關(guān)于加強信息安全標準化工作的指導(dǎo)意見今年會很快出臺
做好工業(yè)控制網(wǎng)絡(luò)安全���,需要從幾個方面分析:
一是法規(guī)和機制層面�����。具體到工控網(wǎng)絡(luò)安全的事情上��,在操作層面還需要進一步明確各有關(guān)部門��、組織的職責(zé)�����。二是標準的事情���。2012年國家成立了全國信息安全標準化技術(shù)委員會��,形成這么一個架構(gòu)�����,就是要協(xié)調(diào)標準化的事情��。組織上有了�����,做的過程中也是一個逐漸深入的過程。今年馬上要出一個政策���,關(guān)于加強信息安全標準化工作的指導(dǎo)意見��,會進一步加強工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全標準統(tǒng)籌��。這里面很重要的一個問題���,主要的核心是工控系統(tǒng)網(wǎng)絡(luò)安全防控的要求。三是規(guī)劃層面���。要做好技術(shù)保障��,有很多需要在國家層面布局的���,要有一批隊伍做這個事情��,不能光靠政府,光靠職能部門�����。四是監(jiān)管層面���。首先要在整個國家網(wǎng)絡(luò)安全審查制度框架之下做工控產(chǎn)品的安全審查���。另外就是系統(tǒng)檢查,要明確主體責(zé)任�����,主體責(zé)任一定是系統(tǒng)的擁有者���、運營者。五是服務(wù)層面�����,現(xiàn)在有很多協(xié)會和第三方機構(gòu)組織做一些服務(wù)�����,包括政府支持在一些單位建立通信通報�����、共享��、追蹤等服務(wù)��。
陳興躍:我們就做兩件事���,一是搭建橋梁,二是建設(shè)平臺
從聯(lián)盟的角度來講�����,我們就做兩件事���,一是搭建橋梁,二是建設(shè)平臺���。所謂橋梁�����,就是作為產(chǎn)業(yè)和部門對接的橋梁���、產(chǎn)業(yè)合作的橋梁。所謂平臺��,就是聚集整個產(chǎn)業(yè)的資源�����,集中力量做大事�����。以標準工作為例���,產(chǎn)業(yè)聯(lián)盟推進標準工作有先天的優(yōu)勢?�?偠灾?�,產(chǎn)業(yè)聯(lián)盟工作要代表網(wǎng)絡(luò)安全產(chǎn)業(yè)的水平。
剛才有嘉賓提到資金的問題���,聯(lián)盟會員中有很多中小企業(yè),他們有非常強的資金需要���。會員企業(yè)希望在聯(lián)盟平臺上做一個產(chǎn)業(yè)的創(chuàng)新基金���,在聯(lián)盟平臺上發(fā)現(xiàn)好的創(chuàng)新團隊和創(chuàng)新技術(shù)�����,開展專項對接扶持。
孫一桉:希望政策方面能幫助我們穿透設(shè)備供應(yīng)商這“最后一道門”
工控網(wǎng)絡(luò)安全技術(shù)是衡量一個國家綜合實力的重要組成部分,也是國家安全的重要組成部分。工業(yè)控制系統(tǒng)解決安全問題特別難��,它不是拿一個簡單信息安全的手段加一個工業(yè)的殼就可以解決�����,它必須和各個行業(yè)深入對接��。
我們在推廣過程中有一個巨大的障礙���,就是設(shè)備供應(yīng)商。國產(chǎn)設(shè)備供應(yīng)商是比較開放的�����,但在國外的設(shè)備供應(yīng)商那里遭遇了很大的阻力�����,這對我們是潛在的�����、巨大的危害���。我們不能走到互聯(lián)網(wǎng)安全那條老路上去���,讓設(shè)備供應(yīng)商自己做系統(tǒng)的安全維護���,后門都打開了���,還全然不知。所以���,在這個領(lǐng)域��,我強烈呼吁各方能一同協(xié)力,穿透“最后一道門”��,讓設(shè)備供應(yīng)商開放出來�����,用自主可控的安全手段來解決安全問題�����,不要重蹈過去互聯(lián)網(wǎng)安全的覆轍��。
工業(yè)網(wǎng)絡(luò)安全��,是信息安全與工業(yè)自動化的跨學(xué)科的集成��,涉及到國家安全���、經(jīng)濟安全、民生安全,是新經(jīng)濟時代一個基礎(chǔ)性的、亟待解決的問題���,需要各級政府部門���、各行業(yè)一起來加速推動�����。
白津夫:網(wǎng)絡(luò)經(jīng)濟安全不是網(wǎng)絡(luò)安全,須采取新舉措
工業(yè)控制網(wǎng)絡(luò)安全�����,強調(diào)的是網(wǎng)絡(luò)經(jīng)濟層面���,網(wǎng)絡(luò)經(jīng)濟安全不是一般意義上的網(wǎng)絡(luò)安全���。隨著“互聯(lián)網(wǎng)+”和網(wǎng)絡(luò)經(jīng)濟不斷發(fā)展��,網(wǎng)絡(luò)安全風(fēng)險不斷放大,切不可掉以輕心�����。
