前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的控制系统信息安全主题范文,仅供参考,欢迎阅读并收藏。
一、工控系统介绍
工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、通信网络、控制器组。
工控系统主要包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等。一直以来,这些系统被应用在不同的工业领域,成为了国家的重点基础工程项目的建设中不可缺少的成分之一。所有的工业控制系统中, 工业控制过程都包括控制回路、人机交互界面(HMI)及远程诊断与维护组件。上图为典型的ICS 控制过程。
二、工控系统的安全现状分析
随着计算机技术和工业生产的结合,工业控制系统(Industrial Control Systems, ICS)已成为制造、电力及交通运输等行业的基石。一方面,工控系统为工业的发展带来了巨大的积极作用,另一方面,因为工业控制系统的安全防护体系做得还不是很到位, 很多的非法入侵事件屡见不鲜,这对工业的发展,甚至对整个国家的安全战略提出了挑战。尤其是2010 年的Stuxnet 病毒的肆虐,让全球都明白,人们一直认为相对安全的工业控制系统也成为了黑客攻击的目标,因此,在第一时间发现工控系统的安全问题,并及时解决这些安全问题是极其重要的。此外,建设安全可信的工控防御体系,也是现在各国发展和建设的重要一环。
三、工控系统现存在的问题
3.1系统内部风险:操作系统存在安全漏洞。由于工控软件先设计,之后操作系统才会发现漏洞进行修复,甚至绝大部分工控系统所使用的Windows XP系统生产者Microsoft公司申明:4月8日以后不会对XP系统安全漏洞进行修复,所以之后工控系统病毒的爆发会更加频繁,使工控系统更加危险。
无杀毒软件的问题。使用Windows操作系统的工控系统基于工控软件与杀毒软件的兼容性的考虑,一般不会安装杀毒软件,给病毒的传播与扩散留下了空间。
u盘传播病毒问题。在工控系统中的管理终端一般不会有专门软件对U盘进行管理,导致外设的无序使用从而引发工控系统病毒传播。
工控系统存在被有意控制的风险。没有对工控系统的操作行为监控和制定相应的措施,工控系统中的异常行为会给工控系统带来较大的风险。
3.2 外部问题。安全评估存在困难。安全评估是建立安全防护体系的第一步,工业控制系统信息安全评估标准是国家颁发的第一个关于工控系统安全方面的标准,工信部2011年的通知中明确要求对重点领域的工业控制系统进行安全评估,但2012 年这项工作遇到了例如缺少针对特定行业的评估规范、只能针对IT系统,不能对非IT类的设备进行评估等困难。
缺乏针对ICS安全有效的解决方案。现有的纵深防御架构解决方案只针对一般ICS模型,针对特定行业的工控系统进行防护,还需要在未来大量实践的基础上才能完善。
应对APT攻击解决效果不佳。从过去的几次ICS安全事故来看,有针对性、有持续性的APT攻击威胁最大,APT 攻击的防御一直是信息安全行业面临的难题,即使是Google、RSA 这些拥有许多专门人才和对信息安全有大投入的公司在APT攻击面前也没能幸免。
四、工控系统信息安全的解决
4.1硬件完善。国际上有两种不同的工控系统信息安全解决方案: 主动隔离式和被动检测式
主动隔离式解决方案:即相同功能和安全要求的设备放在同一区域,区域间通信有专门通道,加强对通道的管理来阻挡非法入侵,保护其中的设备。例如:加拿大Byres Security公司推出的Tofino工控系统信息安全解决方案。
被动检测式解决方案:除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等方式确定非法身份,多层次部署与检测来加强网络信息安全。例如:美国Industrial Defender公司的ICS安全解决方案。
4.2“软件”完善:安全管理体系。安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分构成。工控系统管理体系是一个循序渐进的过程,且要随着时代的进步随时更新,逐步完善系统,完善管理体系,最终才能实现工控系统的真正的安全。
安全管理制度:建立、健全工控系统安全管理制度,制定安全工作的总体方针和战略,工控系统安全防护及信息录入纳入日常工作管理体系,对安全管理人员或者操作人员所进行的重要操作建立规范流程;形成由安全政策、管理方法、操作规范流程等构成的安全管理制度体系。
安全管理机构:专门设立的工控信息安全工作部门,确定相关领导为安全事故责任人,制定相关文件明确机构、岗位、个人的职责分工和要求等。
人员安全管理:规范重要岗位录用流程,对录用者进行相关身份、背景、专业资质的严格审查,进行相关专业技能的考核,与关键岗位的人员签订保密协议;对相关岗位人员进行定期安全培训教育,严格限制外来人员访问相关区域、系统、设备等。
系统建设管理:首先要根据系统重要程度设立安全等级实施相应的基本安全措施,根据实时状态更新完善系统,制定相应的补充调整安全措施制定长远的工作计划。
五、工业控制系统信息安全发展趋势
众所周知,工业控制系统逐渐延伸到各行各业,造福人类的同时,也显露出不少问题,给国家和人民造成了巨大损失。进入新世纪以来,各个国家都在致力于解决这个问题,但是信息安全事故任然屡见不鲜。
【 关键词 】 工业控制系统;信息安全;现状;趋势
【 中图分类号 】 T-19 【 文献标示码 】 A
1 引言
随着科学技术的发展,工业控制系统(Industrial Control Systems, ICS)已成为电力、水力、石化天然气及交通运输等行业的基石。但工业控制系统往往缺乏或根本不具备防护能力,与此同时工业控制系统的每次安全事件都会造成巨大的经济损失,并直接关系到国家的战略安全。特别是2010年爆发的Stuxnet病毒让全球都明白,一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标,因此,工业控制系统安全是世界各国关注的焦点。本文将从工业控制系统特点出发、立足典型工控安全事件,对该领域的现状及未来发展趋势做详细阐述和分析。
2 典型工业控制系统基本结构
工业控制系统是由各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,其结构如图1所示,主要分为控制中心、通信网络、控制器组。工业控制系统包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等,目前已广泛应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域,成为国家关键基础设施的重要组成部分。
作为工业控制系统的重要组件,SCADA、DCS及PLC各具特点。
SCADA(Supervisory Control And Data Acquisition)系统:SCADA经通信网络与人机交互界面进行数据交互,可以对现场的运行设备实时监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等。可见其包含两个层次的基本功能:数据采集和监控。常见的SCADA系统结构如城市煤气管网远程监控、电力行业调度自动化及城市排水泵站远程监控系统等。
DCS(Distributed Control System)系统:分布式控制系统是相对于集中式控制系统而言的一种新型计算机控制系统,由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,其基本思想是分散控制、集中操作、分级管理,广泛应用于流程控制行业,例如电力、石化等。
PLC(Programmable Logic Controllers):用以实现工业设备的具体操作与工艺控制,通常在SCADA或DCS系统中通过调用各PLC组件实现业务的基本操作控制。
其他工业控制系统:除以上介绍外,一些生产厂商对典型的控制系统进行改造,生产出符合特定工作环境、满足特定生产工艺的工业控制系统。
无论在何种工业控制系统中,工业控制过程都包括控制回路、人机交互界面(Human Interface,HMI)及远程诊断与维护组件:其中控制回路用于向执行器输出逻辑控制指令;HMI执行信息交互,包括实时获取控制器及执行器的状态参数,向控制器发送控制指令,修改工艺参数等;远程诊断与维护工具确保出现异常时进行诊断和系统恢复,例如系统的紧急制动、报警等。图1为典型的ICS控制过程。
3 工业控制系统信息安全现状及策略
3.1 工业控制系统安全现状
相比于传统的网络与信息系统,大多数的工业控制系统在开发设计时,需要兼顾应用环境、控制管理等多方面因素,首要考虑效率和实时特性。因此,工业控制系统普遍缺乏有效的工业安全防御及数据通信保密措施。特别是随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。根据工业安全事件信息库RISI(Repository of Industrial Security Incidents)的统计,截止2011年,全球已发生200余起针对工业控制系统的重大攻击事件,尤其在2000年之后,随着通用协议、通用硬件、通用软件在工业控制系统中的应用,对过程控制和数据采集监控系统的攻击增长了近10倍。
针对工业控制系统的攻击主要威胁其物理安全、功能安全和系统信息安全,以达到直接破坏控制器、通信设备,篡改工业参数指令或入侵系统破坏生产设备和生产工艺、获取商业信息等目的。
对于工业控制系统破坏主要来自与对工控系统的非法入侵,目前此类事件已频繁发生在电力、水利、交通、核能、制造业等领域,给相关企业造成重大的经济损失,甚至威胁国家的战略安全。以下是各行业典型的工业控制系统(ICS)遭入侵事件。
* 2000年,黑客在加斯普罗姆(Gazprom)公司(俄罗斯国营天然气工业股份公司)内部人员的帮助下突破了该公司的安全防护网络,通过木马程序修改了底层控制指令,致使该公司的天然气流量输出一度控制在外部用户手中,对企业和国家造成了巨大的经济损失。
* 2001年,澳大利亚昆士兰Maroochy 污水处理厂由于内部工程师的多次网络入侵,该厂发生了46次不明原因的控制设备功能异常事件,导致数百万公升的污水进入了地区供水系统。
* 2003年,美国俄亥俄州的戴维斯-贝斯(Davis Besse)核电站进行维修时,由于施工商在进行常规维护时,自行搭接对外连接线路,以方便工程师在厂外进行维护工作,结果当私人电脑接入核电站网络时,将电脑上携带的SQL Server蠕虫病毒传入核电站网络,致使核电站的控制网络全面瘫痪,系统停机将近5小时。
* 2005年,13家美国汽车厂(尤其是佳士拿汽车工厂)由于被蠕虫感染而被迫关闭,50000名生产工人被迫停止工作,直接经济损失超过140万美元。
* 2006年8月,美国Browns Ferry核电站,因其控制网络上的通信信息过载,导致控制水循环系统的驱动器失效,使反应堆处于“高功率,低流量”的危险状态,核电站工作人员不得不全部撤离,直接经济损失数百万美元。
* 2007年,攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制萨克拉门托河河水调度的控制计算机系统。
* 2008年,攻击者入侵波兰罗兹(LodZ)市的城市铁路系统,用一个电视遥控器改变了轨道扳道器的运行,导致四节车厢脱轨。
* 2010年6月,德国安全专家发现可攻击工业控制系统的Suxnet病毒,截止9月底,该病毒感染了全球超过45000个网络,其中伊朗最为严重,直接造成其核电站推迟发电。
除对工业控制系统的直接恶意攻击外,获取商业信息、工业数据等也是近年来入侵工业控制系统的常见现象。例如,2011年出现的Night Dragon可以从能源和石化公司窃取诸如油田投标及SCADA运作这样敏感的数据。世界著名安全公司迈克菲(McAfee)在一份报告中披露,黑客曾依靠该方式入侵了五家跨国石油天然气公司窃取其商业机密;与此同时出现的Duqu病毒和Suxnet不同,它并不攻击PLC系统,而是收集与其攻击目标有关的各种情报(如工业控制系统的设计文件等),根据世界著名信息安全公司卡巴斯基的报告,Duqu作为一种复杂的木马,可能与Suxnet蠕虫的编写者同为一人,这也预示着网络犯罪有足够的能力成功执行工业间谍活动;类似的恶意软件还有Nitro,它攻击了25家化工和新材料制造商,收集相关知识产权资料,以获得竞争优势。
据不完全统计,近年来发生的工业控制系统安全事件(主要以恶意入侵、攻击为主),除水利、电力、交通运输等公共设施领域外,更为集中的发生在诸如石油、石化等能源行业。如图4所示为主要领域工业控制系统安全事件统计。
通过相关工控事件案例分析可以发现,导致工业控制系统安全问题日益加剧的原因有三。
A.工业控制系统的自身特点所致:如前所述,工业控制系统的设计开发并未将系统防护、数据保密等安全指标纳入其中,再者工业控制网络中大量采用TCP/IP技术,而且工业控制系统网络与企业网络连接,防护措施的薄弱(如TCP/IP协议缺陷、工业应用漏洞等)导致攻击者很容易通过企业网络间接入侵工业控制系统,如图5所示。
经统计,工控系统遭入侵的方式多样,其入侵途径以透过企业广域网及商用网络方式为主,除此之外还包括通过工控系统与因特网的直接连接,经拨号调制解调器、无线网络、虚拟网络连接等方式。如图6所示为常用的工业控制系统入侵手段。
B.工业控制系统设备的通用性:在工业控制系统中多采用通用协议、通用软件硬件,这些通用设备的漏洞将为系统安全带来极大隐患。
1) 组态软件作为工业控制系统监控层的软件平台和开发环境,针对不同的控制器设备其使用具有一定的通用性。目前使用比较广泛的有WinCC、Intouch、IFix等,在国内,组态王在中小型工控企业中也占有一定份额。Suxnet病毒事件即为利用西门子WinCC漏洞所致。
2) 通信网络是工业控制系统中连接监测层与控制层的纽带,目前工控系统多采用IEC61158中提供的20种工业现场总线标准,例如Modbus系列(Modbus-TCP和Modbus-RTU等)、Profibus系列(Profibus-DP、Profibus-FMS)、Ethernet等,图7为通用现场总线的网络结构,可见只要利用这些通用协议的缺陷、漏洞即可入侵工业控制系统,获得控制器及执行器的控制权,进而破坏整个系统。控制器设备则主要采用西门子、RockWell、HoneyWell、施耐德等公司产品,因此这些通信协议及通用控制器所具有的漏洞极易成为恶意攻击的突破口(如施耐德电气Quantum以太网模块漏洞可以使任何人全方位访问设备的硬编码密码)。
C.入侵、攻击手段的隐蔽性:大多对工业控制系统的入侵和攻击手段极为隐蔽、木马和蠕虫病毒的潜伏周期较长,待发现时已对企业国家造成严重损失。
据金山网络安全事业部的统计报告显示,一般的防御机制需要2个月的时间才能确认针对工业控制系统的攻击行为,对于更为隐蔽的Stunet及Duqu病毒,则需要长达半年之久。如图8所示为McAfee披露Night Dragon的入侵模式。
3.2 工业控制系统安全策略
自Stuxnet病毒爆发以来,工业控制系统的安全就成为各国所关注的焦点。针对越发严重的工业系统入侵等安全事件,世界各国都在积极研究相应的应对措施。
* 美国成立了工业控制系统网络应急小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT),专注于协助美国计算机应急相应小组US-CERT处理工业控制系统安全方面的事宜,其职能包括:对已发生的工控安全事件进行处理分析,以便将来避免发生类似的安全事件;引导系统脆弱性分析和恶意软件分析;提供对事件相应和取证分析的现场支持等。
关键词:电力二次系统;安全防护体系;安全区;措施
中图分类号:TM727 文献标识码:A 文章编号:1007-0079(2014)33-0180-02
随着电网自动化、计算机网络及通信技术的飞速发展,电力系统自动化、信息化水平迅速提高。同时,电力调度系统的业务也不断丰富,很多系统存在着相互之间的数据业务交换,这些对系统的网络安全问题提出了更高的要求,电力二次系统的安全防护也变得更加重要和严峻起来。[1]为此,针对调度系统二次安全防护,相继出台了原国家电监会第5号令《电力二次系统安全防护规定》以及《电力二次系统安全防护总体方案》等指导性文件从政策和技术的层面明确了电力调度部门信息安全建设的具体措施。
为保障地区电网安全、稳定运行,抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪,依据相关政策文件,结合地区电网实际情况,设计和制定了地区调度控制中心二次系统安全防护方案。
一、电力二次系统安全防护体系
1.二次系统安全防护的相关原则
电力调度二次系统安全防护包括调度端、变电站内及纵向安全防护,按照国家电力监管委员会《电力二次系统安全防护规定》,电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全,同时有效抵御外部的恶意攻击,防止发生电力二次系统安全事件或由此导致的一次系统事故、大面积停电事故,达到保障电网安全稳定运行的目的。[2,3]
“安全分区”是电力二次系统安全防护体系的结构基础,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II),管理信息大区可以分为生产管理区(又称安全区III)和管理信息区(又称安全区IV);“网络专用”,是指生产大区的数据网络必须使用专网――电力调度数据网,其中电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区;“横向隔离”,是指在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离;“纵向认证”是指采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度控制中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。[4,5]
电力二次系统安全防护的基本原则是,系统中安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠的自身安全防护措施,不得与安全等级较低的系统直接连接。
2.二次系统中安全区的划分
从横向角度看,为强化安全区的隔离,采用不同强度的网络安全设备,使得各安全区中的业务系统得到有效保护。安全区I与安全区II之间采用硬件防火墙进行隔离;生产控制大区与管理信息大区之间采用电力专用隔离装置进行隔离,并且限制数据业务的流向;从安全区I、安全区II去往安全区III单向传输信息必须采用正向隔离装置,由安全区III去往安全区I、安全区II的单向传输信息必须采用反向隔离装置。安全区III与安全区IV之间采用硬件防火墙进行隔离。[6]
安全区I中的业务系统或其功能模块的典型特征为:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。典型业务系统包括能量管理系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。
安全区II中的业务系统或其功能模块的典型特征为:是电力生产的必要环节,在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或其功能模块联系紧密。典型业务系统包括调度员培训模拟系统、水库调度自动化系统、电能量计量系统等。
安全区III中的业务系统或其功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度控制中心工作人员桌面终端直接相关,与安全区IV的办公自动化系统关系密切。
安全区IV中的业务系统或其功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端,包括办公自动化系统和管理信息系统等。[6]
二、地区电力二次系统安全防护体系
1.二次系统现有业务
某地调现有自动化系统包括:南瑞OPEN2000调度自动化系统、南瑞OPEN3000调度自动化系统、北京煜邦电能量计量采集系统、北京殷图变电站图像监控系统、电力调度运行管理系统(OMS)等。
其中,南瑞OPEN2000调度自动化系统SCADA部分于2000年7月投入运行,该系统在电网调度、运方、负荷预测等方面发挥着重要的作用。南瑞OPEN3000自动化系统是于2010年6月正式投入运行,实现了对地区电网的可靠运行控制,保证了地区电网监视、控制手段的完好,确保了地区电网的安全、稳定运行。北京煜邦电能量采集系统主要实现地调所有无人值班变电站的电能量信息、瞬时量信息的采集功能,完成变电站电能量数据的采集与处理、母线平衡计算、报表统计、线损统计分析等。北京殷图变电站图像监控系统实现了无人值班变电站空间范围内的建筑安全、防火、防盗,保障了站内输变电设备的正常运行,并在事故时保持与主站的图像通信。电力调度运行管理系统(OMS)涵盖了电网调度、运方、继保、自动化等各专业,是地调管理与生产的重要组成部分。
其中,OPEN2000调度自动化系统、OPEN3000调度自动化系统、电能量计量采集系统、变电站图像监控系统等均为独立建设的自动化系统,同时均开通了Web浏览业务。
2.二次系统安全防护的实施
依据电力二次系统安全防护方案,结合地区电网实际情况,电力二次系统划分为三个安全区。安全区I为内网,安全区III、安全区IV为外网,内网和外网之间通过电力二次系统专用安全隔离装置保证了内网和外网之间的安全程度很高的可控通信。
安全区I的网络边界通过电力通信专用网与三级数据网进行通信。安全区I的数据通过汇聚交换机和安全隔离装置实现与安全区III实时Web的通信。
安全区III的网络边界通过电力通信专用网与三级数据网进行通信,同时通过防火墙过滤与安全区IV的通信,安全区III的主要业务是电力市场模拟系统、开放了Web浏览业务的各系统等。安全区IV直接面向广域网,通过防火墙过滤与安全区III的通信,主要业务包括信息通信中心OA系统。
电力二次系统安全防护的实施选用的相关主要网络设备包括:
(1)安全隔离装置。通过部署安全隔离装置保证安全区I的网络安全性,使得整个二次系统网络的规划完全符合电力二次系统安全防护方案的部署要求,保证电力二次系统的安全性。
(2)华为网络交换机。为适应对电力二次系统的安全分区的改造,在安全区I布置了一台二层交换机,在安全区III布置了一台三层核心交换机,通过部署这两台交换机起到了分区隔离、专网专用的作用。同时,也是将安全区III和安全区IV划分清楚的重要措施。
(3)天融信防火墙。通过在安全区III、安全区IV之间部署国产防火墙,起到报文过滤的作用,保证安全区III的相对安全性。
(4)瑞星企业防病毒套件。为了进一步保证安全区III的安全稳定运行,在安全区III安装瑞星企业防病毒软件,增加安全区III的防病毒的能力。
3.二次系统安全防护设备的部署
正向隔离装置涉及到的业务为安全区I内EMS系统的实时通信、报表同步和负荷预测文本传输。其中EMS系统运行在主备网络结构上,主要的通信通过A网进行,实时通信和报表同步通过同一条链路实现。为了完成EMS系统的应用改造,通过在安全区I的华为S3025C二层交换机上划分一个单独的VLAN与正向隔离装置内网口的通信;外网直接接入安全区III的核心交换机华为S6502的专用于安全隔离装置的VLAN接口上。对于安全区I与安全区III的通信,安全区I的华为S3025C交换机与安全隔离装置相连的方式为普通二层交换机的连接方式,而安全区III与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
反向隔离装置涉及到的业务为:安全区IV负荷预测计划信息文本反向传入安全区I内的EMS工作站。对于安全区I与安全区IV的通信,安全区I华为S3025C交换机与安全隔离装置相连的方式,相当于普通二层交换机的连接方式,而安全区IV与安全隔离装置外网的连接是基于路由的模式,需要配置MAC绑定和ARP报文通信。
在不改变安全区IV的网络通信环境,维持现有的工作状况下,将相关的系统划分到安全III区,接入到华为S6502网络核心交换机,基于不影响安全区IV原有网络通信环境的原则,防火墙运行在路由模式下应用地址转换规则,可以将安全区III和安全区IV的网段完全划分开来。
三、二次系统安全防护的有效措施
病毒防护是实时系统与数据网络的安全措施之一,病毒的防护应该覆盖所有安全区I、III、IV的主机与工作站。安全区I的病毒特征码要求必须以离线的方式及时更新。
主机安全防护主要的方式包括:安全配置、安全补丁和安全主机加固。安装主机加固软件,强制访问符合定义的主机安全策略,防止主机权限被滥用。通过及时更新系统安全补丁,消除系统内核漏洞与后门。
通过合理设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。定期对关键应用的数据与应用系统进行备份,确保数据损坏及系统崩溃情况下快速恢复数据与系统的可用性。[4]
纵向安全防护体系的建设,可以完善电力二次系统的安全防护体系,避免出现安全防护中的“木桶现象”。纵向加密认证是安全防护核心的纵向防线,其具体实现是通过专用的电力加密认证网关来实现,目的是通过采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护[7]。
四、结语
地区电力调度控制中心电力二次系统的安全运行是地区电网安全运行的重要保证,根据电力调度控制中心电力二次系统的实际情况,严格按照“安全分区、网络专用、横向隔离、纵向认证”的电力二次系统安全防护总体原则,设计、制订并实施了地区电力调度控制中心二次系统安全防护方案,就二次系统安全防护设备的部署以及防护方案的具体实施进行了详细的叙述,结合行之有效的各种措施,有力保障了电力二次系统的安全运行。
同时,鉴于电力二次系统安全防护工程是一个长期的动态工程,二次系统的安全防护体系要在实施过程中根据生产实际需要不断加以修正和完善,以满足政策和文件中对电力二次系统安全防护所要求的系统性原则和螺旋上升的周期性原则。
参考文献:
[1]谢善益,梁智强.电力二次系统安全防护设备技术[M].北京:中国电力出版社,2012.
[2]陈霖.浅谈地区电网二次系统的安全防护[J].江西电力,2005,
29(3):10-12.
[3]张建庭,朱辉强.电力二次系统安全防护体系建设要点浅析[J].信息通信,2012,(6):279.
[4]周小燕,杨宏宇,崔恒志,等.地区电力调度中心二次系统安全防护[J].江苏电机工程,2005,24(2):50-52.
[5]臧琦,邹倩,郭娟莉,等.电网调度自动化二次系统安全防护实践[J].电子设计工程,2011,19(20):47-49.
【关键词】通讯企业;信息网络;网络安全;控制通讯
企业信息网络比较复杂和繁琐,不仅包括受理人的资料,而且还有相关产品的详细资料以及企业内部员工的资料等,信息网络系统能否正常运行,直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展,经常存在各种各样的要素威胁着系统的安全,从而损坏甚至丢失内部的重要信息,从而影响通信企业内部正常的运作,最终导致一系列损失[2]。因此,对于通信企业信息网络安全的控制刻不容缓,应该加大力度提高系统的安全性能。
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
参考文献
[1]卢昱.网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟.网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华.医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版.
[6]张新宝主编:《互联网上的侵权问题研究》,中国人民大学出版社,2003年版.
[关键词]管制员;心理素质;交通安全;影响
中图分类号:V355 文献标识码:A 文章编号:1009-914X(2015)42-0122-01
1 管制员心理素质的重要性
心理素质是指人类通过教育和活动形成的对人类个体活动产生影
响的较稳定的心理品质。通俗地说就是指人在特定情况下面所发生的事情对自我心理的调适,即心理承受力,心理的调适及承受能力的强弱即心理素质的好坏。管制员在实际工作中要对空中的各种飞行状况做出及时、正确的判断和处置,除了要有过硬的指挥技能和丰富的工作经验外,良好的心理素质也是安全的决定因素。空中飞行安全与事故只有一步之遥,只需短短几秒钟就可发生质的改变。尤其是对于复杂天气和特殊情况下的指挥。
2 心理素质受到变化的原因
2.1 工作压力
目前,飞行量得到大幅增加,且运输系统有多元化的特点,任务的增加和不定期调整,使空管部门有工作压力的增加。工作负荷会带给管制人员较大的影响,管制人员一般在工作中都可保持稳定的情绪,敏捷的思维,较高质量的工作状态,但若长时间处在超负荷的工作中,会引发心理疲倦,从而增加事故的发生率。
2.2 工作情绪
管制工作中,若有航空器或者管制设备有问题时,部分管制员会有惊慌失措的出现,如,飞机的座舱失压,要使飞行员进行高度下降,或者遇到返场的情况时,管制人员不可有惊慌或者恐惧的情绪,要对问题冷静面对。还有些工作人员过分相信自身的工作能力,没有充分客观的看待事物,容易导致意外事故的发生。新上岗的工作人员,当面对困难重要的任务时,会有紧张情绪的出现,对紧张过度,也会影响心理的协调性,不利于良好工作。
3 管制员的心理素质
对于空中交通管制员来说,其担负着空中交通顺畅运行的责任,要想提升空中交通的运行效率,就必须充分发挥交通管制员的作用,其中,心理素质对于提升管制员的综合节能具有重要意义,因此,必须全面培养管制员的心理素质,提升其岗位胜任力。
3.1 科学地选择具有优良心理素质的管制员
心理学家认为,人的心理素质受遗传因素的影响,就是说,人的心理素质在很大程度上是先天性起着重要作用。由于空中交通管制工作的特殊性,管制员在执行空中交管制任务时都会不同程度地存在较大的工作压力。因此,在选择管制员时,应着重从心理素质上进行考察。,如运动的协调性、注意分配能力、应付高压力情境的能力等;面试时的心理会谈着重考查考生的职业动机、验证笔试中考生表现出的某些可疑能力和品质,通常由心理学家和经验丰富的管制员对学员进行测试。
3.2 提高在职管制员的心理素质
我国不安全的交通管制事件中,很大一部分是因为人为因素,所以要对工作人员进行心理素质进行增强培训。心理素质的影响因素,主要有内因和外因。内因为遗传因素,而外因为教育和客观环境,为有效提高工作人员的心理素质,则要加强训练。
3.2.1 注意主观意识教育
心理素质问题是一个自身主观意识上的问题。因此,为使管制员具有稳定的良好心理素质,一定要重视管制员主观意识方面的教育,帮助他们树立起正确的世界观、人生观和价值观。“安全第一”的安全教育要贯穿到具体工作中,使管制员对国家、人民及民航事业的高度负责的强烈责任心,落实到做好管制工作上,使其成为管制员做好管制工作的思想动力和精神动力。
3.2.2 解决好责任与需求之间的关系
人的需求是人能动性的源泉,是支配行为稳定的内在因素。管制员承担的工作,责任大,工作压力大,应当承认其合理的价值需求。要研究和解决好管制员工作责任与价值需求之间的关系,建立起完善的管制技术类工资序列,规范奖励制度和技术职称晋升制度等,从而使责、权、利三者合理地统一起来,实现最大限度地发挥管制员主观意识上的能动性。
3.2.3 注意管制员注意力的培养
管制员在执行空中交通管制任务时,注意力的集中程度是非常重要的。根据心理学的基本原理,管制员的注意力与他的志向、需要、性格、兴趣和情绪等多方面的因素有关。因此,不同管制员在执行空中交通管制任务时,其注意力的集中程度会存在差异。但是,空中交通管制工作的特点又要求每个管制员在执行空中交通管制任务时,注意力必须高度集中。因此,必须加强对管制员注意力品质的培养。
3.2.4 知识经验的积累是形成良好心理素质的前提
空中交通管制是一项需要专业技能的工作,一个合格的管制员要想果断、正确地化解每一个飞行冲突就必须具有相应的能力以及丰富的知识、经验,否则这一切便无从谈起。此外还应该对过去空管活动中的经验教训进行分析吸收,并借助于雷达管制模拟训练等辅助手段,来达到提高能力、积累知识经验的目的,从而提高自己的心理素质。
3.2.5 营造良好的客观环境
由于管制员工作压力大,心理负荷较重,加强感情和思想沟通就显得异常重要。因此,作为空中交通管制的管理人员应随时掌握管制员的思想动态,增强与管制员的感情交流和思想沟通,并注意拓宽管制员的业余生活内容和提供一些形式多样的社会性和集体性的活动。要特别重视管制员思想上的释压和宣泄,以及心理咨询等方面的问题;要有针对性地解决管制员由于各种因素形成的思想问题。
3.2.6 注意营造好管制员的生活环境
做好后勤保障工作,使管制员工作后,身心得到一定程度的放松和调整。这对管制员形成良好的心理素质起着非常重要的作用。要科学地安排和装饰管制工作间的工作环境,使管制员在舒适的环境下执行空中交通管制任务,有利于形成良好的心理状态。
3.2.7 加强对复杂天气条件下和特殊情况下的管制指挥培训
复杂天气和特情下的管制指挥有别于平时的管制指挥,需要管制员打破常规思维,做好多套管制预案,对可能发生的种种情况做出预测和处理方法。每当实际发生的情况出乎自己预料时,就有可能乱了方阵。平时多做培训,可以提高特情下管制指挥的反应速度,减轻心理压力,从而减少发生差错的可能性。
4 结语
安全是民航的第一生命力,也是民航永恒的主题。管制员心理素质对民航安全形势的影响日趋突出,对管制员心理素质的研究和培训也越来越被重视。而对每个管制员来说,如何提高自身心理素质成为高素质管制队伍中的一员,将是自己要思考的问题。
参考文献
[1] 李雨,常晓昕,张峰,等.管制员心理素质对空中交通安全的影响及对策[J].空中交通管理,2013,24(16):108―109.
[2] 侯景彪,颉伟,钱颖,等.建立安全、稳定、可靠的空中交通管制系统[J].民航经济与技术,2012,34(25):1l5―116.
[3] 刘继新,石军南,张丹华.人为因素与空中交通管制员素质优化[J].南京航空航天大学学报:社会科学版,2012,29(15):135―136.
[关键词] 空管系统安全监管发展创新
我们需要清醒的认识到:民航作为当前技术条件支持下最便捷的交通运输方式之一,以其舒适的运输环境、畅通的运输路线、优质的运输服务以及快速的运输质量成为了社会大众远距离出行中认同与选择程度最高的一种交通运输方式。民航空管系统作为担负着保障航空器安全、顺畅、高效、正常运行的主体,在中国民航业飞速发展的今天越发显示出其重要的核心地位,空管事业正面临着前所未有的发展机遇。空管的主要工作目标就是确保持续安全,但航空飞行流量的迅猛增长,也给基础相对薄弱的空管安全保障能力带来了前所未有的挑战,空管安全责任和压力越来越大。空管运行既是一项长期而艰苦的工作,又是一个系统工程,需要细致周密的安全监管才能实现,即通过建立安全运行监督长效机制,运用科学规范的管理手段,对安全运行工作按照统一标准和要求进行规范化管理,才能实现持续安全的目标。笔者现结合实践工作经验,积极探索安全监管工作的发展与创新之路。
一、空管安全监管工作在思想认识方面需要有所发展与创新
从理论上讲,安全监管是指以确保社会大众生命财产的安全为目的,以各类型行政措施及手段为载体,围绕安全这一中心所进行的各种监督与管理活动。也就是说安全监管的本质正是安全管理的一种表现形式。我们需要明确一点,高质量的民航安全监管工作应该充分体现包括独立、公开、超前、专业、日常以及客观在内的五大基本原则。纵观该角度,笔者认为要想使民航空管系统安全监管工作走向正确的发展轨道,顺利实现空管持续安全的目标,首先要对安全监管的思想认识进行规范与统一。
民航空管系统安全监管工作的关键是预防,重点是做细做实关键环节。首先,要做好安全监管工作,保持长期稳定的安全态势,必须要靠广大干部职工的共同努力,安全思想上不能松懈。因此安全监管工作的首要监控点是安全思想问题,职工中有无不稳定思想,安全教育是否有所放松,盲目乐观的情绪是否正在增长,单位的管理力度是否正在降低,员工的工作积极性怎样。安全监管工作首先要对这些方面进行监督,做到与宏观安全管理的结合,并保持信息通畅和措施反馈及时有效,只有这样才能提升安全监管的功能,确保安全管理的中心工作。其次,安全监管的一切工作必须要与运行工作紧密结合。监督的主要目标是查找风险源,一切工作必须围绕这一中心来展开,同时不能单纯地查找问题,要与实际运行相结合,要提出具体的改进措施,并进行措施的落实跟踪,确保工作到位。再次,安全监管工作是一项长期任务,工作具体而艰巨,要使整个民航空管系统由上至下形成一种“安全第一、预防为主、防治结合”的安全工作理念。发现风险源后,关键在于一个“早”字,早发现、早汇报、早处理,才能做到安全防范关口前移。单位领导应重视安全监管工作,建立良好便捷的沟通机制,对职工提出的意见和建议,要善于开拓理解,营造单位领导和职工之间良好的安全文化氛围,将全体职工的安全工作作风作为安全文化建设的核心。最后,民航空管系统安全监管工作需要加大对管理机制的创新力度。简单来说,地方空管部门需要以空管体制改革为核心,以整个空管事业的发展为出发点,在安全监管工作中不断推进包括干部人事制度改革、领导干部公开竞聘制度改革、技术职称评聘制度改革、绩效工资分配制度以及管制员分级制度改革在内的多种改革工作,以此在空管安全运行中逐步形成一个公平竞争、权责分明的“人本”式管理机制。做好安全监管工作,各级部门应具有开拓性的思路,安全监管工作的各个层次、部门和个人的一些思路,都应该得到充分施展。
二、空管安全监管工作在监督评估机制方面需要有所发展与创新
民航空管系统安全监管工作并非一蹴而就的,它更多的倾向于一种长期性的系统工程,将包括规章制度、人为因素以及设备环境等内容纳入监管的重点之中。要确保各项规章的执行、各项工作的落实,监督评估机制是其重要的保证。完善的监督评估机制可以使空管工作运行得更加“安全、平稳、有效”。而用好监督评估机制则必须有敢于较真碰硬、善于举一反三、勤于严抓细扣的务实作风,从而真正促进监督评估机制不断完善,确保在空管系统安全监管工作中发挥重要作用。
监督评估机制要覆盖空管系统安全监管工作的方方面面,全面促进空管系统安全监管工作,就要让监督评估机制融入其中,使其在各个环节发挥应有的作用,实现全方位、多角度、深层次的覆盖。首先,安全监管工作的主要关注点在于评估单位规章制度是否完善、如发生不正常情况后有无处置预案、一线人员对本部门的规章制度和应急预案的熟悉程度如何、管制室的管理是否奖罚分明、职工的工作积极性如何、部门的整体工作成效性怎样等等。其次,人为因素也是安全监管工作的重点,根据科学统计研究,与空中交通服务有关的不安全事件中绝大部分是人为因素造成的,而人为因素也是安全运行中最难把握的因素,并已成为制约空管安全水平提高的瓶颈,因此安全监管工作必须重视对人为因素的监督评估。实际工作中主要是合理评估一线人员的安全思想、意识、资质,值班期间的工作表现和精神状况、班组搭配是否合理、值班休息制度是否完善、上岗人员的资质和培训状况如何、最近有过几次安全教育(安全意识是否牢固)、上岗人员的过去表现和现状如何等内容来进行风险源的梳理排查、分析和量化。还可以采取抽查录音录像、工作现场跟班检查等手段,进行分项考核评估,得出客观数据。再次,安全监管工作还要重点监督评估管制人机工作环境,如飞行空域的结构是否合理、设备是否存在老化风险、近期设备的运行状态如何、有无设备故障时的应急处置预案及是否组织过类似的应急演练等。
科学性与客观性作为衡量民航空管系统安全运行质量的两大原则,需要在监督评估机制中得到深入的体现。由此,监督评估机制的构建需要秉承一个基本原则:监督评估中能够量化的指标一定要量化,不能量化的指标则需要采取等级划分或是评分的模式人为量化。根据这一基本原则,笔者现提出以下两种较为有效的监督评估机制,以供民航空管系统安全监管部门选用。
(一)关键指标法。这种监督评估机制最大的特点在于它以空管安全运行工作为出发点,对其安全运行日常行为活动中所涉及到的关键特征进行了分析与提炼,归纳出若干最能够代表安全运行工作质量的指标进行考评。民航空管系统安全监管工作能够利用这种关键指标法实现对空管安全运行质量的有效控制,进而更高质量地保障空管系统的安全运行。
(二)360°反馈法。在这种监督评估机制作用下,安全监管员能够通过对包括上级领导、一线管制员以及各相关生产部门在内的安全运行质量评估结果的反馈,对自身的安全监管工作建立起比较立体且真实的认识,进而更具针对性地改进自身安全监管工作的不足之处,以便更加准确地量化风险源并控制风险,形成有益的良性循环,从而提升民航空管系统安全监管工作品质。
三、空管安全监管工作在人才培养方面需要有所发展与创新
我们必须认识到,人才是空管建设发展的主要因素,也是做好安全监管之本。空管事业的发展,需要大批高素质、高技能的人才。因此,要做好安全监管工作,就要坚持“以人为本”理念,努力培养人才、积蓄人才、用好人才,确保实现空管安全监管工作持续健康发展。
首先,要着力培养综合素质优异、思维开阔的空管安全监管复合型人才。安全监管员作为民航空管系统安全监管工作的主体,其综合素质水平的高低直接影响着空管安全监管工作的质量。培养优秀的安全监管人才就要着眼全局,综合考虑。建设发展安全监管人才队伍,不能仅仅停留在业务水平层面,更要从拓宽视野、拓展思路方面入手,下大力提高安全监管员思想理论水平,努力培养有头脑、懂理论、智慧与技术兼备的复合型人才。推荐安全、促进管理,需要人才,尤其是优秀人才,没有人才,发展就无从谈起。因此,更好地依靠人才且合理利用好人才,关乎民航空管系统能否实现持续安全的工作目标,是安全监管工作不可或缺的重要因素。
其次,由于安全监管员分布在各个基层单位,对基层单位的实际情况非常熟悉,对可能发生的风险源也最容易发现和了解,是领导者作出决策的主要情报来源,因此,选好用好安全监管员,赋予他们一定的权利和职业发展空间,有利于充分调动他们的工作积极性。安全监管员一定要选用敢于直言、业务精、责任心强的人员,才能发挥作用,并在选取之后,要经常进行培训,并在各个方面给予帮助,对工作得力的安全监管员在其职业发展上应优先考虑,使各单位的业务骨干愿意被选为安全监管员。只有这样,才能使安全监管工作的作用得到充分发挥,空管系统的运转更加健全。
四、结束语
做好民航空管系统安全监管工作,实现空管高效安全运行,就要着力提升科学管理水平,切实将安全流程环环相扣,形成闭合环路管理,并用提高对空管安全监管工作的思想认识来强化主动安全意识,用完善的监督评估机制来确保规章的执行以及工作的落实与持续改进,用优秀的安全监管人才担当空管系统安全监管工作的主体。笔者深知,安全监管工作的发展与创新将是整个民航空管系统所面临的永恒的话题,只有立足于当下,着眼于探索一套极具针对性的探索发展与创新之路,才能推动整个民航空管系统安全监管工作又好又快向前发展。
参考文献:
[1] 黄捷.杨.民航空管系统资源分析与核心能力评价. [J].桂林航天工业高等专科学校学报.2007.(12).
[2] 朱丽君.刘珂.人为因素和航空法规. [M].兵器工业出版社.2006
工程控制系统是建立在网络信息基础之上的,计算机充当各个监测和控制物理过程的端口,通过将不同端口之间有机的连接和限制访问,实现网络化系统控制。一般来讲,工业控制系统分为几个子系统,分别为过程控制系统、数据采集系统以及状态监控系统。每个子系统分别拥有不同的功能,但相互之间又通过工业生产过程相互联接,使整个工业控制系统成为一个整体。工业控制系统的基本组件有:计算机、传感器、执行器、通讯设备及信息传输设备组成。其网络结构一般采用树状分支结构,最上面是企业工作站,负责分析处理下级传递上来的信息并进行综合分析,得出结论,向下级发出指令;企业工作站下面是操作员工作站,操作员工作站可能有一个或多个,具体与企业结构相关,其主要任务是收集下级传递上来的信息,并及时处理突况,向上级传递信息,执行上级指令;操作员工作站下面是传感器和执行器,一般情况下,传感器和执行器是并存的,传感器感受到工业生产过程中的状态信息,并向上级传递信息,执行器执行操作员工作站发出的指令,完成对工业生产过程的全方位控制。
2工业控制系统的网络信息安全要求
相比较工业控制系统网络信息安全来说,传统IT信息安全的技术已经相当成熟,但IT控制系统在工业控制中无法有效得到应用。因此,工业控制系统的安全性不能直接采用IT信息安全技术进行防护。下面,笔者就根据工业控制系统的特点分析工业控制系统的安全性防护问题。工业控制系统一般用电负荷等级比较高,除了市电之外,一般由UPS不间断电源作为备用电源,是由电池组、逆变器和其他电路组成,能在电网停电时提供交流电力的电源设备。UPS单台计算机、计算机网络系统或其他电力电子设备提供不间断的电力供应。当市电输入正常时,UPS将市电稳压后供应给负载使用,此时的UPS就是一台交流市电稳压器,同时它还向机内电池充电;当市电中断(事故停电)时,UPS立即将机内电池的电能,通过逆变转换的方法向负载继续供应220V交流电,使负载维持正常工作并保护负载软、硬件不受损坏。工业控制系统同IT信息系统的不同之处在于其对安全性和可用性的要求更高,传统信息安全采用打补丁的方式更新系统已不再适用于工业控制系统。因此,工业控制系统的更新需要长时间的准备,为防止更新系统过程中对工业生产造成影响,造成不必要的损失或者出现工业事故,往往在更新系统期间,工业生产暂停,将系统设为离线状态,这是因为更新过程中可能控制系统中某一数据发生变化引起连锁反应,造成生产事故甚至安全事故。尽管停机更新系统需要的成本极高,但为防止出现事故,一般不会采用IT信息安全技术对系统进行更新维护。因此,要实现对工业控制系统的安全性防护,同时不能对工业控制系统造成较大的封闭,保证其响应力,就不能采用加密传统IT信息安全技术,最经典的安全防护技术就是安全防火墙的设置。防火墙可以设置在工业控制系统的,与工业控制系统没有联系,对控制系统也不会造成负担,同时保证了威胁因素不能进入防火墙内部,也就不能实现对控制系统的恶意攻击。
3结语
信息系统是智能建筑与社区(以下简称智能社区)的重要基础系统,确保信息系统自身及其所传输、处理、存储信息的安全,是保证智能社区各个子系统正常运转、确保人身和公共安全的重要方面。
标准中对信息安全的规定是针对智能社区中各种信息系统安全的特点,结合国家相关信息安全政策、标准而制定的。智能社区的建设和运营机构应对信息安全问题予以足够的重视,要意识到这是一个需要严格遵守国家法律、法规的领域。
智能社区的建设与运行应符合国家有关安全法律、法规、标准的规定和要求。建筑及住宅社区的设备研发机构、运营服务商应采取一定的信息安全措施,保障信息系统(包括智能建筑的控制系统)的安全,确保运营服务系统不会对用户造成信息安全损害。可逐步建立起建筑及居住区设备及应用系统的认证体制,以提高建筑及居住区设备的安全、有效管理。
建筑及住宅社区运营服务商应明确系统本身可能受到的安全威胁以及可能对用户造成的安全威胁,采取措施应对和消除安全威胁。
智能社区建设和运行机构应该清楚信息安全领域是一个处于不断发展和变化阶段的专业领域,各种信息安全漏洞、缺陷、威胁和攻击会不断出现和发展,因此,不存在一种静态的、一劳永逸的信息安全体系。包括本标准、本指南在内的相关内容都处于不断发展只种,智能社区建设和运行机构应密切关注相关领域的进展情况,及时采用最新的、有效的技术和管理研究成果,以确保智能社区安全运行。
等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及对存储、传输和处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理。对信息系统中发生的信息安全事件分等级进行响应、处置。
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的精神,实施信息安全等级保护,有效地提高我国信息和信息系统安全建设的整体水平,确保信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,同时有效控制信息安全建设成本,优化信息安全资源的配置,重点保障基础和重要信息系统的安全。
智能社区建设和运营单位应按照等级保护的要求开展信息安全体系的建设和运行,根据智能社区及其信息系统的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,以及信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,按照国家有关标准和规范的程序和方法确定智能社区信息系统的安全等级。国家标准将信息和信息系统的安全保护等级分为五级:
1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
2. 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
3. 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5. 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
国家对不同安全保护级别的信息和信息系统实行不同的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。智能社区建设与运营机构应按照上述国家的规定接受国家相关职能部门的监管。
智能社区的信息
安全要求
标准对智能社区运营机构信息安全相关工作从以下几个方面提出了要求,即:
信息系统基本安全活动;
风险分析与评估;
安全策略
安全体系
标准中对这些方面提出了基本的要求,运营商应根据最新的信息安全相关标准、信息安全技术和管理体系的研究成果,结合自身的实际情况,形成自身完整的智能社区信息安全运行保障体系。
1. 信息系统基本安全活动
信息系统基本安全活动是指智能社区运营机构在负责运营智能社区信息系统过程中应该开展的相关活动。信息系统基本安全活动是由运营机构负责组织、实施的活动,并确保这些活动的质量和所涉及范围的完备性。
运营服务信息系统基本安全活动包括:
(1)根据运营服务的特点和服务对象的需求,基于风险分析的结果,确定运营服务信息系统的安全等级。
(2)安全策略的制定、、教育、评价、修正等活动。运营机构必须保证行政管理范围的所有实体对安全策略正确理解、实施与保障,并有相应的考核等管理措施予以监督和检查;
(3)建立信息安全相关的机构,设置相应的岗位,确定相关的责任,并建立相配套的管理、考核和奖惩体系;
(4)保障信息安全相关工作的人力资源投入,建立相关的人员选拔、考核、培训体系,并规划和实施针对一般运营服务人员和普通用户的安全教育、宣传活动;
(5)确定运营服务系统中的关键信息资产,并进行资产分类管理;
(6)应根据运营服务信息系统的安全等级,建立相应的物理和环境安全保护体系;
(7)应根据运营服务信息系统的安全等级,建立相应的信息安全技术保障体系。
(8)建立和维护系统的运行安全体系,主要包括针对运营信息系统以及普通用户的应急响应体系、安全基础设施服务体系、定期的安全风险评估体系等;
(9)应根据运营服务信息系统的安全等级,对相应的信息系统承包商、信息软硬件产品进行安全资质审查、实施过程的质量监督和控制;
(10)应根据运营服务信息系统的安全等级,对系统运行过程中可能发生的升级、完善等活动做好安全规划,对系统的拆除应提前做好规划和处理。
2. 风险分析与评估
按照即将颁布的国家标准《信息安全风险评估标准》组织和开展信息安全评估工作。
标准在以下几方面对风险评估提出了要求:
(1)运营商应对运营服务信息系统进行风险分析,并将风险分析的结果作为确定相应系统安全等级的主要依据。
(2)运营商应建立定期和不定期风险评估的机制。
(3)运营服务信息系统的安全风险分析与评估,宜由有相应资质的机构完成。
(4)风险分析与评估宜采用适用的方法,对每一个识别出的信息资产,按照资产的“保密性”、“完整性”和“可用性”三个最基本的安全要求,分析可能受到的威胁和后果,提出相应的安全需求建议。
开展风险评估工作的时候,要注意相关国家政策(如等级保护等)对风险评估的要求,组织好智能社区相关信息系统整个生命周期的风险评估工作。全生命周期的风险分析工作主要包括:
规划阶段的风险评估。规划阶段的风险评估应针对智能社区信息系统对社区运行的作用(包括技术、管理等方面),确定系统建设应达到的安全目标。分析的重点在安全威胁,应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。规划阶段的评估结果应体现在信息系统整体规划或项目建议书中。
设计阶段的风险评估。设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。本阶段评估中,应详细评估设计方案中对系统面临威胁的描述,将使用的具体设备、软件等资产列表,以及这些资产的安全功能需求。
实施阶段的风险评估。实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段所分析的威胁和制定的安全措施,在实施及验收时进行质量控制。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。
运行维护阶段的风险评估。运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
废弃阶段的风险评估。当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部分废弃和全部废弃两种。
3. 应制定明确的安全策略
智能社区建设和运营机构应针对相关信息系统,制定相应的信息安全策略。信息安全策略规定的是智能社区中各种人员对社区信息系统资产(包括:软件、硬件、数据)的访问权限以及所应承担的责任。典型策略规定的内容包括:访问范围、访问时间、访问方式、访问地点、访问手段等。
标准中规定的安全策略包括:
(1)物理安全策略:确定在物理访问、保护方面的安全规定;
典型的物理安全策略包括:机房、机柜、电缆等的访问、使用、检查规定;
(2)访问控制策略:规定内部网与外部网之间,以及内部网段之间的访问规定和策略要求;
典型的访问控制策略包括:网络访问策略、应用访问策略等;
(3)安全检测策略:规定对系统安全实施定期检查的周期、方法等;
(4)审计与监控策略;
(5)网络防病毒策略;
(6)备份与灾难恢复策略。
4. 安全体系方面
(1)信息安全措施
信息系统应从以下几个方面采取安全措施:
建立明确的信息安全体系,包括明确的安全策略、安全的网络系统配置等安全服务和安全机制运行说明,指明在哪些部位必须配置哪些安全服务和安全机制,以及规定如何进行安全管理;
采取措施保护局域网;
采取措施保护基础通信设施;
采取措施保护边界;
配置或依托公共信息安全基础设施;
具体安全措施的采取应根据系统的实际情况确定。
(2)保护局域网计算环境
局域网可采取的安全措施有:
建立用户终端、数据库、服务器和应用系统保护机制,以防止拒绝服务攻击、未授权数据泄漏和数据修改;
保护操作系统,确保操作系统的自身安全;
保护数据库:对数据库应该实施细粒度访问控制、关键数据加密、重要服务器用单独网段、强身份鉴别、备份恢复应急措施、安全审计等安全保护措施;
身份鉴别和数字签名:对于系统中重要的服务器、应用系统的访问,应采用统一的身份鉴别,并对用户访问行为采用抗抵赖措施;
建立入侵检测体系,防止内部局域网受到非法入侵;
建立病毒防范体系,防止局域网计算环境受到病毒破坏;
具有足够的防止内外人员进行违规操作和攻击的能力。
(3)保护网络和通信基础设施
可采取的保护网络和基础设施的措施有:
保证基础设施所支持的关键应用任务和数据资源任务,防止受到拒绝服务的攻击;
防止受到保护的信息在发送过程中的延迟、误传或未发送;
防止非法数据流分析;
保护各种应用系统中的用户数据流;
保护网络基础设施控制信息。
(4)保护边界
可采取的边界保护措施有:
建立网络级物理隔离体系,实现物理隔离(这是一些高敏感度网络必须达到的);
建立系统的防火墙体系,实现进出网络边界的细粒度访问控制;
建立系统远程访问安全系统,以保护系统边界远程访问的安全;
建立基于网络的入侵检测系统以防止入侵者的攻击;
建立基于网络的防病毒系统,以防止病毒入侵;
建立漏洞扫描系统以改进系统的配置和功能设置。
(5)支撑性安全基础设施
可采用的支撑性安全基础设施有:
公共密钥基础设施(PKI);
密钥管理系统;
安全管理系统;
应急响应体系。
关于嵌入式与控制信息系统的安全
智能建筑中存在大量的智能设备,并通过现代网络技术,构成为一个完整的智能社区(建筑)控制系统。该系统的安全运行是确保智能社区正常运转的基石,保障智能建筑控制系统安全是智能社区信息安全的关键内容。标准中在控制协议中从协议层次对有关技术问题进行了规定和描述,涉及控制系统设计、建设、运行的信息安全问题则应按照标准“运营”和“评测”部分的规定执行。
鉴于智能控制系统对于智能社区的特别重要性,本节对其信息安全体系的实施提出具体指南。
1. 嵌入式与控制系统面临的安全威胁
智能社区嵌入式与控制系统面临的典型安全威胁有:
控制网络中的信息流被阻塞或延迟,包括干扰通过网络实现的各种控制操作。这些阻塞、延迟、干扰有可能是由于产品和系统设计、实现、部署存在缺陷和故障引起了,也有可能是恶意行为造成的。
向系统操作员发送不准确的信息,以实现非法的修改或者引发操作员不正确的操作。智能社区中会存在有很多分布式的、人机结合的控制系统,有大量的状态和控置信息通过网络系统传输和处理,引发或指令各种设备(或操作员)的各种管理和控制行为,因此通过恶意发送不正确信息,有可能对智能社区运转造成严重后果,甚至引发严重的犯罪行为。
直接干扰可能造成人身伤害的安全保护系统。网络在实现远程状态监控和监控的同时,也为通过网络远程干扰系统提供了可能,尤其是对安全保护系统的干扰将引发严重的后果。
非法修改各种可能损坏、关闭设备的指令或报警参数设置。破坏设备是干扰智能社区运行的一种手段,网络为这种行为提供了一种新手段,通过可能造成设备损害的指令、关闭设备指令都可能造成设备失效。采取修改设备报警参数等方法,造成设备大量告警,造成设备(或系统)无法应对突然出现的大量告警而崩溃或失效,也可以达到破坏的目的。
修改智能社区控制系统软件、配置信息,或者传播恶意软件,以及其它可能造成负面效果的问题 。智能控制系统中存在大量的远程设置、软件升级、补丁分发等操作,通过干扰这些操作行为,除了可以对设备直接造成破坏外,还可以散发各种恶意软件和木马等程序和软件,为智能社区运转埋下严重的隐患。
2. 嵌入式与控制系统安全目标
针对前面提到的威胁,智能社区嵌入式与控制系统信息安全的目标如下:
限制对智能社区控制系统网络的逻辑访问行为。这包括:通过设置DMZ区,防止社区其他网络对智能社区控制系统网络的直接访问;智能社区控制系统和社区运营机构内部管理系统使用不同的鉴别和加密机制。智能社区控制系统应该使用多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的层。
限制对智能社区控制系统网络和设备的物理接近。对智能社区控制系统部件的非授权物理接近,有可能会对智能社区控制系统功能造成严重的破坏。应使用多种物理访问控制措施,如:锁、读卡器和保安。
要防止智能社区控制系统部件被非法利用。这包括:对安全补丁,应该尽可能快地完成现场测试,并部署;关闭所有的不使用服务和端口;限制 智能社区控制系统用户的权限,确保只拥有完成工作的最小权限;跟踪并监视系统设计数据;使用防病毒软件、文件完整性检查软件等安全工具,来监测、确定、防止、消除恶意代码。
确保极端情况下的系统功能。要确保每一个关键部件都有冗余和备份部件。除此之外,还要确保一个部件失效时,应该是以一种安全的方式失效,即不会在智能社区控制系统系统中产生不必要的通信流量,也不会带来其它问题,比方说连串的事件。
3. 嵌入式与控制系统安全防护体系
智能社区嵌入式与控制系统安全防护体系要根据本标准的规定建立相应的防护体系,在体系的建设与运行过程中,要特别注意以下几个方面:
高度重视智能社区专用的安全策略、流程和培训宣贯材料的制定。
按照“等级保护”的 思想,制定嵌入式与控制系统安全策略和流程,并根据威胁级别的增加部署相应的安全措施。
关注智能社区相关信息系统整个生命周期的安全,包括:架构设计、采购、安全、运行维护和拆除。
将嵌入式与控制系统网络部署成多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的网络。
在控制网络与其他网络,尤其是与其他用途完全不同的网络系统(如:内部管理信息系统、互联网等),之间部署逻辑隔离设备(比如:基于状态监测的防火墙)。
采用隔离区架构,防止其他网络和控制系统网络之间的直接通信。
确保关键部件有足够的冗余并联接在有冗余的网络之上
将关键系统设计成“容错”系统,以防止“级联”事故的发生。更进一步,系统应设计成“安全地“失效。
在控制系统测试完成后,应关闭不用的端口和服务,确保不影响系统的正常运行
限制对控制系统网络和设备的物理访问。
限制控制系统用户的权限,确保只授予他们完成工作所需的最少权限(例如:部署基于角色的访问控制系统,并赋予每一个角色完成其工作所需的最少权限)。
智能社区运营机构在控制系统和其他系统应分别使用完全隔离的鉴别机制(例如: 控制系统不要和机构内部管理信息系统使用一套用户管理系统)。
使用强度更高的身份鉴别技术(如:智能卡)。
部署安全措施(典型的措施包括防病毒软件、文件完整性检测软件等),以检测、防止恶意代码的传播。
在存储和通信过程中使用加密技术。
各种补丁、修订在正式安装之前,应尽可能在现场环境下完成所有测试。
对智能社区内所有关键区域内控制系统的运行进行跟踪、监控和审计。
信息安全检测与验收
1. 检测
(1)信息安全活动检查
检查内容包括:活动的计划、活动过程的记录和成果。具体的检查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.1中规定的内容进行。
(2)风险分析与评估核查
核查内容主要包括系统安全风险分析与评估记录和报告,系统例行风险分析计划、记录和报告;还应对风险分析具体完成人员(或机构)的资格(或资质)、能力等按照有关规定进行核查。具体的核查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.2中规定的内容进行。
(3)安全策略检查
系统安全策略主要包括物理安全策略、访问控制策略、安全检测策略、审计与监控策略、防病毒策略、备份与灾难恢复策略。安全策略应在系统的建设、运行、检测和验收等相关文档中有明确的规定。实施检测时,应对策略的合理性、完备性、法规符合性进行检查。具体检查项根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.3的规定。
(4)安全技术保障体系的检查和测试
a. 信息安全技术保障体系完整性检查
应根据系统的安全策略和实际情况,对系统局域网、基础通信设施、系统边界、安全基础设施等几方面采取的措施进行检查。
b. 安全技术保障措施检查
检查的重点有:
安全措施本身是否符合国家和地方的有关规定;
采取的安全措施是否符合安全策略要求;
安全措施的选择和部署是否合理;
安全措施是否发挥应有的作用;
系统的安全措施是否完备、合理等。
c. 系统安全测试
应根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.4规定的内容,按照系统所确定的等级或系统本身的安全要求,制定相应的测试方案,准备相应的测试表格和测试工具,并根据相应的测试流程,对系统相关的安全技术文档进行核查,对系统的运行进行现场测试。系统安全测试工作宜委托国家认可的安全检测机构进行。
2. 测评机构
测评须由获得国家认可的相关测评机构承担,测评完成后由测评机构按规定格式出具测评报告。
3. 验收
(1)验收条件
系统试运行阶段结束,并提出试运行报告;
本章“检测”部分中规定的检测工作已经完成,并形成相应的检测结论;
所有信息安全相关文档。
(2)验收文档
a. 系统试运行记录和报告
b. 检测报告
由国家授权测评机构进行测评的测试报告;
第三方测试小组提供的测试报告;
承建单位进行测试的测试报告。
c. 系统信息安全风险分析报告
d. 系统设计文档
系统的应用需求及总体设计方案;
网络规模和拓朴结构;
信息流描述;
安全威胁描述及其风险分析;
系统主要安全功能及其实现方法;
系统主要环境安全功能的实现方法;
网络管理方式及实现方法;
安全设备管理方式及实现方法;
主要软硬件设备及性能清单;
主要安全产品安全选型依据。
e. 管理文档
(a)管理机制
工程适用的法律法规;
安全策略文档资料;
安全策略审查和评估的相关规定;
信息资产管理规定;
安全事件处理规程;
物理安全规定;
资产移交的管理规定;
安全事故管理规程;
用户口令管理规定;
备份策略规程;
计算机介质操作规程;
系统工具使用规程;
系统审计规程。
(b)人员、机构与职责文档
安全决策机构组成图及职责分工表;
安全管理人员的职责分工表;
安全顾问的资质评审记录和聘任书;
安全管理人员履历及专业资格证书;
人员保密协议范本;
人员岗位职责规定。
(c)安全运行资料
安全策略有效性审查和评估的记录;
安全管理会议的会议纪要;
安全专家的建议记录;
系统和设备维护记录;
访问控制策略文档;
定期的审计分析报告;
异常情况审计日志和安全事件记录。
(d)工程实施文档
施工管理文件;
变更文件;
系统调试分析报告;
系统培训文件;
系统移交清单及文件;
工程监理报告。
(e)其它文档
项目相关的合约;
产品的法定安全测评机构的评估证书;
外包服务的合同;
外包软件开发方的资料;
外包工作人员合约;
质量手册;
以上未涉及的且与系统安全相关的文档资料。
以上要求提交的文档,可根据系统的具体情况进行选择。
(f)验收结论
由验收组依据上述检测、检查报告和各项记录文档,通过专家评审,做出验收结论。
安全保密
如果智能社区为涉及国家秘密的党政机关、企事业单位建筑数字化工程,则应严格按照保密机关的安全保密要求,开展相关建筑数字化工程。
1. 通用要求
GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求中强调,凡涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设、网和非网建设、专用电话(红机)、通信线、电源线、地线的布线以及信息系统安全保密测评均须按国家相关法律、法规及有关规定执行,一些具体要求如下:
涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设应满足国家相关管理部门的规定;
涉及国家秘密的党政机关、企事业单位建筑数字化系统工程应与保密设施同步建设;
涉及国家秘密的计算机信息系统中使用的安全保密设备,应通过国家保密局信息系统安全保密测评中心的检测;
从事系统集成业务的单位,应经过保密工作部门认定,取得《涉及国家秘密的计算机信息系统集成资质证书》(简称《资质证书》);需要建设系统的单位,应选择具有《资质证书》的集成单位来承建。获得《资质证书》的集成单位,可以从保密部门取得相关保密标准和指南遵照执行;
涉及国家秘密的党政机关、企事业单位的建筑及居住区数字化系统工程应经过国家保密部门的审批才能投入运行;
涉及国家秘密的党政机关、企事业单位的建筑应与外国人经常居住使用的建筑物(如外国机构、涉外饭店、外国人居住公寓)保有一定的距离,具体规定请参照国家相关管理部门的有关规定;
2. 安全保密检测
关键词:信息安全;网格技术;安全漏洞
1.引言
针对互联网安全问题日益严重,发展网格安全技术是解决当前网络安全问题的一个热点,但是与传统的安全技术想比,网格安全所涉及的技术比较复杂,有密码技术,网络传输技术,访问控制技术,因此目前所研究的网格安全技术还比较片面,还不能真正的使用网格安全技术来代替传统网络安全技术。本文从信息控制论角度出发,给出了基于信息控制思想的网格安全技术模型,对其中的信息安全认证和安全控制进行分析。
2.信息安全控制系统模型
信息安全控制系统是一个反馈控制模型,如图1。为了到达安全目标,系统首先检测出安全状况,然后与安全目标进行比较后,对存在的偏差进行安全决策和安全操作,经过多次反馈控制就可以使整个系统达到安全目标。
图 1 安全控制模型
通过对信息安全控制模型的分析并结合信息安全控制系统的实际要求,整个信息安全控制系统如图2。它主要包括认证授权,监视系统,控制系统,授权操作这4个功能模块组成,在功能模块之间是通过信息流进行传递的。图2和图1是完成对应的,通过监视系统采集到的状态与控制系统比较,来获得针对的授权操作,而第一步的认证授权是进行安全控制的第一步。
图2信息安全控制系统
3. 基于信息安全控制原理的安全网格模型
整个系统的安全由其最薄弱的系统所决定的,因此在进行网格安全系统设计的时候,需要使得整个系统的不同模块达到均衡安全,所有模块的安全性能都不能低于所设定的整体安全目标。按照这一思想,需要在网格中建立一个全局安全控制策略库,并包含某些具体安全规则,并且安全控制库可以根据反馈进行自我动态更新。当用户访问资源的时候,系统首先按照安全控制策略库进行访问规则的判定,只有通过的才是可以进行访问的;并在操作完成后把访问信息反馈到安全控制策略库,以完成策略库的动态更新。
结合图2并根据上述安全控制思想,可以得到如图3的基于信息安全控制模型的网格安全控制模块。在安全控制方面主要由安全认证模块和安全控制模块组成。安全认证模块主要负责通信的相互认证、密钥协商、服务开放。安全控制模块主要负责用户控制,动态反馈。整个系统设计的时候要遵循安全隔离性的原则,安全网格模块与用户必须分开,安全网格系统启动时首先使安全网格模块获得执行权,保证安全网格模块从系统启动时开始就能对网格系统进行保护。本文研究的网格系统是使用网格工具包Globus Toolkit建立的。
图3安全网格模型
3.1安全网格认证模块
安全网格认证模块主要由安全网格认证部件组成,它对非法访问进行拒绝,这里采用防火墙来进行实现,具体使用Linux防火墙来实现,在防火墙实施策略时,进行如下保守的安全策略:除了允许的事件外,拒绝其他的任何事件。
3.2安全网格控制模块
由于安全认证模块对外部用户非法访问能够防范,但是对内部网格用户缺乏控制,所以需要使用网格控制模块来进一步增强网格系统内部安全性。安全网格控制模块主要由客户端的安全监控部件、安全执行部件和服务器端的安全决策部件耽搁组成。
网格用户映射为客户端即网格服务主机用户后,便以本地用户身份运行。当以本地用户进行操作时,安全控制模块对用户进行严格控制,及时发现用户的操作行为并交给安全控制服务器进行用户行为安全性判决,安全控制服务器根据安全控制策略库中相应安全策略进行判决,禁止网格用户进行非法行为操作,并把判决结果反馈给客户端中安全执行部件进行相应的执行:允许或禁止网格用户的操作行为。安全网格控制模块防止内部信息泄漏,防止越权操作,进行网络监控,保证文件安全和进程安全,从而确保网格系统内部安全。
如图4安全网格控制模块的执行过程描述:
(1)安全监控部件对网格系统进行监控,发现用户行为后提交给安全决策部件;
(2)安全决策部件分析用户行为,并根据安全控制策略库中策略做出响应判决,确保网格用户行为合法;
(3)判决通过后,提交给安全执行部件执行用户行为,否则禁止用户行为;
(4)用户行为是否改变了安全控制策略库中某些策略,如是则反馈用户行为给安全控制策略库,动态更新相应策略。
图4安全网格控制模块流程
4.安全测试
为了测试本文所提出的网格系统的安全性,这里采用X-Scan进行网格系统漏洞扫描。按图5的配置进行安全漏洞扫描。
图5全局设置扫描参数
由于所以网格服务主机的配置相同,因此只需对一台服务逐句进行扫描。图6是一台服务主机的扫描结果。
图6网格服务主机检测报告
同时对安全控制服务器进行安全检测映出安全控制服务器的安全状况,结果如图7。
图7安全网格服务器检测报告
从图6检测报告中可以看出,安全网格系统内主机没有发现安全漏洞,只检测到一个未知开放服务运行于端口7778,而这是安全网格模块所运行的服务,用以提供给网格用户服务申请,由检测报告得出,网格主机是安全的。
从图7检测报告中可以看出,漏洞扫描工具没有检测到安全控制服务器,而服务器是运行的,并能给网格系统提供安全控制。这是由于为了保证安全控制服务器的安全,在安全网格系统中服务器只对网格内部主机提供服务端口,而对于网格外部是不可见的,从而保证了安全控制服务器的安全性。
根据网格服务主机和安全控制服务器的安全检测结果可以分析出:安全网格系统中的主机均是安全的,整个安全网格系统也是安全的。
5.结束语
本文所研究的网格安全问题是网格的核心问题之一,如何将安全方案无缝地融入网格系统中,是网格安全研究的一个重点内容。基于信息安全控制原理的安全网格技术为网格系统提供了一套行之有效的安全方案。但是由于网格环境中用户行为的多样性、复杂性以及网格技术的不断发展,需要对安全控制策略及安全网格模块进行进一步的完善,这些都是在今后的研究中所要面对并解决的问题。
参考文献:
[1]都志辉,陈渝,刘鹏.网格计算[M].清华大学出版社,2002.
[2]黄益民,平玲娣,潘雪增.计算机系统安全模型研究及技术方案设计[J].计算机研究与发展,2002, 2:15-16