前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的工业网络信息安全主题范文,仅供参考,欢迎阅读并收藏。
关键词:网络工程;实习体系;应用型人才
1网络工程人才培养的现状
1.1计算机相关专业面临严重的生存危机
根据教育部最新公布的专业指导报告,计算机相关专业成为了就业形势最严峻的专业之一,而计算机相关专业的学生数量在全国高校学生总人数中排名第二,可以毫不客气的说,计算机相关专业在今后相当长的时间内,都要面对“专业人才”过剩的残酷的市场现状。作为高校,我们学院属于国家二类本科学校,教育部公布的本科院校层次中处于倒数第二档,没有相对优势。作为专业,计算机相关专业在最近几年内,迅速的从热门专业演变到就业老大难专业。在学院内部,我们的师资、实验室资源客观的说应该属于中下游专业,也不具备相对竞争优势。“穷则变,变则通,通则久”,我们认识到面临的严峻形势,我们的专业想要生存,我们必须、也一定要走出一条有自己的特色专业建设道路。
1.2师资问题困扰专业人才培养方案改革
网络工程是一门以应用为主学科,对基础理论研究的人才量大概只占人才总需求量的10%左右,大量的人才需求是应用技术型人才,这类人才的特点是必须“实践之中出真知”。但是因为提供的待遇缺乏足够的竞争力,高校的计算机教师大部分是“从学校中来,到学校中去的”硕士或者博士,长期进行理论研究,缺乏项目实践经验。自己都没有项目实践经验,自然不能把很多的很多项目经验带到课堂或者实习中来。这也是目前计算机教育体制的现状,也是学生就业难的原因之一。
1.3以工程项目为核心的实习体系是大势所趋
创建以网络工程实践项目为核心的实习教学体系,我们在实验室设置网络工程案例项目,提高学生的网络工程关键实践能力,实现校企“零距离”的对接,增强就业的竞争力,满足社会对未来人才的需求。
1.4网络工程专业实践教学的特点
根据当今网络的应用发展和网络工程专业的特点,实习教学体系应有如下特点:1.4.1实验平台具有复杂性一个基本的网络实验至少要两台计算机才能构建一个最简单的网络环境,而网络环境太简单又会使实验在数量和质量上受到限制。为了取得较好的实践效果,每组实验需要多台计算机、路由器、交换机等网络硬件设备,各小组之间才可以构成更大的网络实验环境。1.4.2实践教学具有独特性网络实践教学中的路由器配置、防火墙配置等实验在正常的上机时间内是无法完成的。并且有些实验与实验之间是紧密联系的,例如先进行硬件防火墙的配置,然后进行协议的测试和内外网的访问,实验之间的联系密切,这给实践教学的实施提出了很大的难题。1.4.3实习中知识跨度大、综合性强。网络工程实习要结合局域网安全、网络协议分析、网络编程等多门课程来开设实验,是对网络工程的实施过程进行模拟仿真,具有很强的综合性。
2网络工程人才培养的应对办法
2.1网络工程专业毕业生应该掌握的知识和能力
2.1.1计算机网络、网络协议分析、网络与信息安全、网络操作系统及应用开发技术相关的计算机科学与技术等方面的理论知识及应用能力。2.1.2要求具备扎实的计算机网络基础知识,具备扎实的服务器配置、网络与信息安全的实践技能。2.1.3掌握网络攻击的技能,同时能够提出相应的防御措施,加固现有的网络环境。践行应用型人才培养方案的目标,培养出高水平的网络工程人才,必须构建一套完善的、高质量的实习教学体系,包括网络基础实验、网络工程综合实验、认识实训、专业实习、生产实习和毕业设计等实践教学环节。使学生掌握网络的基本理论及网络工程的实用技术,理解网络协议体系、组网技术、服务器配置、网络与信息安全、网络性能评估、网络运维及管理、网络攻击与防御等工作。
2.2重组教学体系
根据社会对网络工程人才需求的变化,以及网络工程专业的现状和发展,确定实践教学内容,以实践教学内容定位理论教学内容,对整个教学体系的教学内容进行合理取舍。2.2.1合并、压缩或调整原有课程中陈旧和重复的内容。如压缩或调整网络原理中一些比较陈旧的知识,如令牌环网、令牌总线网、FDDI网络、CSMA/CD、X.25、帧中继等技术,从而加大实验学时,增加课程设计和实习环节。2.2.2根据网络应用发展的具体情况和人才需求变化,对一些学科理论有重大发的基础课程的教学内容进行重组。例如调整组网技术在整体教学中的比例,增加网络组建、安装、测试及其工程实施的知识单元比重,增加组网、网络应用、网络管理、网络编程、网络与信息安全等工程应用类的课程。2.2.3适时地把一些反映当代计算机技术发展趋势的内容充实到课程教学中。例如增加VPN、IPv6、P2P、网络爬虫、Web2.0、3G网络、物联网技术等内容。实习教学体系是以培养学生的技术应用能力为主线,培养学生的知识、能力和素质结构。把网络工程实习教学作为一个体系纳入网络工程专业人才的培养方案之中,围绕专业培养目标的要求,对不同的实习教学环节进行系统的完善,从纵、横两方面考虑,形成网络工程专业实践教学体系结构,纵向摆脱实践教学对理论课程的依附,按照从简单到复杂、从低级到高级、从单一到综合,循序渐进地认识规律,整体设计其内容,相对独立地形成一个有梯度、有层次、有阶段性的实践教学体系;横向与理论课程相互支撑,有机结合。在各自波浪式前进的过程中不断出现结合点,以培养具有综合的思维能力和综合处理问题能力的复合型人才。
2.3构建实践教学平台
实践教学平台的搭建是完成网络工程人才的关键。考虑我们学院的现状,我们打算采取如下措施:2.3.1整合现有的实验室资源。将现有的网络实验设备组分上架、连网,在不占用上课和实习任务的情况下,作为远程开放实验室使用,并设计详细的基础实验项目,让学生在课余时间能够充分利用;2.3.2落实网络工程专业实习基地。通过各种途径,落实网络工程专业实习基地。2.3.3根据专业特点、挖掘目前全真模拟器的潜能。我们目前的一些网络工程实验,在实验条件不具备的情况下,都是利用软件模拟器完成的。但是,使用的模拟器还属于比较陈旧的Router-Simulator之类,事实最近二年出现很多非常好用的全真模拟器:例如Dynamips,NE之类,可以直接加载真实的IOS,只要电脑的配置足够高,完全可以使用PC搭建出来一个中端的网络实验室。对于这些新的模拟器,我们要认真掌握,在实验和实习中充分加以利用。2.3.4加强校企合作校企合作是培养工程应用型人才,缩短教学与就业之间距离的一个重要渠道,我们应该通过各种途径,特别是在网络实验室的建设中,与多家网络厂商和企业强加交流与合作,一方面提高我们自己的师资水平,最好能够培养了一批双师型教师。同时使我们的实验室具有了培养国家计算机网络管理员、计算机网络工程师、Cisco网络工程师、华为3COM网络工程师等的专业培训和考核能力。这样,不但便于教师根据网络应用的变化及时更新和完善教学体系,也有利于学生就业竞争力的提高。
3实习体系具体建设途径
3.1开放的平台
在传统的实验模式下,学生必须在需要在专用的实验场地方可进行实验。而有限的实验场地往往难以满足学生对知识的无限渴望。为了解决这个问题,本虚拟实验平台充分利用互联网技术和服务器技术打造一个开放的实验平台,使得教师和学生可以在任何时间,通过教室、实验室、宿舍或其他地方的互联网接入点都能进行实验。
3.2创新的平台
传统的实验室一般都是根据教学大纲而设置实验项目,学生往往只能按照实验指导书所规定的操作规程来进行实验,而且在程序设计类课程中,学生往往无法对其所设计的算法进行验证。为了解决这个问题,本虚拟实验平台能够利用最新的构件和Web服务技术,使得学生能够按照自己的思路而不是拘泥于课本知识来进行实验,拓展其思维。
3.3可扩充的平台
信息技术日新月异,课程内容不断的更新,而传统的实验室如果要更新实验器材则需要完全更换设备才能满足要求,这样的成本往往都比较大。为了解决这个问题,本虚拟实验平台具有良好的可扩充性,充分利用构件和Web服务技术的优势,使得在使用过程中能够快速的增加新的虚拟设备而不用修改平台代码,而且用户亦可以根据自身需求自行在平台中添加相应虚拟设备。
3.4可在线指导的平台
网络工程实验是探索和实践所学知识的过程,在这个过程中难免会遇到不懂或者不会操作的地方,也可能面临一个简单的错误而导致整个实验流程停滞不前,传统的实验模式下,这些问题需要求助于实验室指导老师,而指导老师往往由于所指导的学生太多可能无法及时的给予指导。而且在本虚拟实验平台中,学生可以在任何时间和任何地点进行实验,因此当遇到问题时往往可能旁边没有指导老师。为了解决这个问题,本虚拟实验平台提供了在线指导功能,学生在遇到问题时能向老师或其他同学请求指导,老师也可以通过平台给所有在线的学生讲解实验的流程。
3.5充足的网络工程项目资源储备
我院经过多年建设网络技术相关专业、储备数量众多的网络工程综合实践项目,大部分项目来源于网络工程一线,涵盖了目前金融、能源、高校、大中小型企业几乎所有的网络工程项目和系统集成项目。这些资源能够保证我的实习方案能够有充足的教学资源支撑。
3.6培养实际网络工程项目经验
学校的大部分教师从“从学校中来,到学校中去”不同,是“从企业到学校”,最早从事工作也正好是通信与网络工程,有多大中小众多网络工程项目经验,这些经历能够保证充分了解用人单位需要,了解真实网络工程项目的全过程,可以比较准确、全面把握网络工程实习体系建设。
3.7设计网络工程实习体系路线图
电脑组装与维修常见系统软件安装与配置网络综合布线Windows系统管理Windows系统管理企业网站开发、管理与维护网络工程综合实践数据库管理网络协议分析网络信息安全Linux系统构建路由网络构建交换网络网络设备排错系统集成。综上所述,结合学校要进行教学管理改革的大形势,我们可以以信息安全实习教学为突破口,来加强学生实践能力,让学生真正的了解企业对人才的技术需求,这类技术上知识点的要求,了解真实的企业网络工程项目、网络与信息安全工程项目的流程,了解真实的企业网络安全工程案例,达到最终提高学生就业率和提高学生就业质量的目标。
参考文献
[1]白灵,王小英.黄猛.网络时代大学课程资源建设[J].中国成人教育,2014(4).
[2]白灵,王小英.新时期高校计算机课程教学途径研究[J].教育与职业,2015(1).
[3]李道全,薛炜华,姜梅,张俊虎.网络工程专业实践教学体系研究与实践[J].计算机教育,2010(6):141-144.
【关键词】 通信企业 信息网络 安全工作
在当今社会中,如何做好信息网络安全工作是值得进行深入研究与探讨的课题。如今的网络发展速度不断加快,信息相互融合的程度也在不断加深,网络给通信企业的工作带来便利的同时,也存在着一些难以避免的问题。安全上的漏洞给通信企业的发展带来了不利因素,需要及时解决,这样才有保持通信企业良好发展的可能。
一、通信企业中信息网络安全的现状
在通信企业目前发展中,对信息网络的安全性要求越来越高,由于通信企业对网络的依赖程度日渐加深,保障信息网络的安全性就显得尤为重要。通信企业在内部通常建立了与自身发展相适应的信息网络安全机制,并加大了对信息网络安全的维护力度。在通信企业中,大多应用了相关维护安全性能的系统,如防火墙、日志分析系统、防病毒软件等。根据自身发展要求投入了大量的资源,并进一步完善对信息网络安全工作,这是符合发展要求的举措。但在一定程度上,还无法完全避免通信企业受到信息网络安全的影响,这就需要通信企业进一步作出相应维护措施。
二、做好通信企业信息网络安全工作的方案
1、提高企业领导的重视程度。在通信企业中,加强信息网络安全工作与企业领导的重视息息相关,企业领导对信息网络安全工作重要性有了足够的认识,就会相应地加大对这项工作的投入力度。这样为做好信息网络安全工作提供了有利的发展条件,使这一工作有了充足的资金保障,同时,企业领导的重视也会促进各部门工作相互协调,提高工作效率。加强信息网络安全时,在无形中加大相关工作人员的工作强度,容易使工作人员产生抵触排斥的心理,根据这一情况,企业领导更需加以重视,为企业整个工作的顺利开展提供有利的保障。由此看来,只有在企业领导足够重视的情况下,才能够更好地为企业提供良好的发展平台。为通信企业做好信息网络安全工作打下坚实的基础。2、加强学习交流。由于互联网的普及,信息网络安全层面的技术在日益完善,技术水平不断提高,相应的技术知识日新月异。因此,加强学习交流,保障技术的先进性是做好网络信息安全工作的前提。通过与其它企业进行技术上的交流互换,完善发展体制,不断更新维护信息安全的技术,提出相应的解决措施,才能将通信企业的信息网络安全工作做好。3、专业化网络安全人员的配备。在网络安全工作中,通信企业还存在着兼职人员担任网络安全员职位的现象。这对于维护通信企业的信息网络安全是不利的,由于兼职人员在网络维护的专业性上跟不上时展的需求,在许多专业问题上还不能很好地进行处理,因此造成了通信企业网络安全工作存在问题的局面。针对这一实际问题,需要在维护网络安全工作中,应用专业化的技术人才,以最大程度保障通信企业网络安全。4、大力完善技术保护手段。一方面,技术保护手段的完善是推动通信企业网络安全工作的关键因素。要做好通信企业信息系统之间的安全隔离措施,在应用系统所在的服务器中,只对外开放相应指定的服务端口。另一方面,需加强对网络边界的管理,具体举措如在网络边界上设置防火墙等。防火墙可以有效地保障网络边界的安全,为防止病毒等不良因素的入侵做好预防工作。防火墙的配备同样需合理化,要避免产生不良情况,如开通不必要的服务。同时,国产设备应广泛应用于与网络相连接的安全设备中。
三、通信企业信息网络安全工作发展趋势
1、网络安全工作复杂化。网络信息技术将会持续发展,这就促使网络安全工作复杂化。威胁网络安全的因素不断更新,新病毒的出现、网络黑客的攻击技术提高等使维护网络安全工作的难度不断增加。同时随着网络应用的范围越来越广,所涉及到的相关工作日渐增多,也是网络安全工作难度增加的一个重要因素。
2、网络安全工作规范化。随着网络安全工作的逐步深入,网络安全工作势必将规范化。同时,在通信企业中,做好信息网络安全工作是重要的工作之一,因此,网络安全工作的规范化程度将日益加深。
结语:随着通信企业对信息网络安全工作的要求进一步提高,维护信息网络安全的重要性日渐突出。网络技术逐渐普及到社会的各行各业,对于自身网络安全性的保障是日常工作中不可缺少的任务与目标。在通信企业中,做好信息网络安全工作是必要的工作之一,这对于维护企业的利益、树立良好的企业形象、维护社会的安全与稳定都有着重要的意义。
参 考 文 献
[1]杨威,张敬和.浅谈通信企业如何做好信息网络安全工作[J].厦门科技,2001(03).
【关键词】中小企业;网络;信息;安全
一、中小企业网络和信息技术安全的必要性
科学技术的迅猛发展,信息化成为现代经济发展的重要工具,现如今,信息化已经融合在企业发展的各个环节,如:公司制定的技术报告、各种方案、公司设备的操作、营销计划、投资理财、调试方案、员工的培训计划、公司的客户信息、合同管理、会计财务报表等所有同企业相关文件及电子版的文件都已经网络化和信息化。
1.网络及信息安全对企业商业数据的防泄漏及保密性具有极其重要的作用。因为在当今社会,有些中小企业有自己比较先进的技术及产品,就会涉及到商业数据及商业机密的保密工作,而这些机密关系着企业的生死存亡。
2.保证企业数据的真实性和完整性是中小企业信息安全的必要需求。虚伪的、虚假的、不完整的企业信息很可能会造成企业信誉度丧失甚至损失订单,。
3.保证企业信息的实用性是中小企业信息安全的需求。中小企业必需要防止信息的中断而影响企业业务的正常运作。
二、网络信息安全是中小企业所面临的重要问题
1.网络病毒。通过相关调查数据我们可以看出,我们在调查中小企业时,问及使用电脑时,他们最为棘手的问题是啥,有33%的企业的答案是经常受到网络病毒的入侵。网络病毒将会对业务的连续性和有效性进行破坏,甚至会造成损失业务、毁坏数据及对客户的满意度降低等后果。
2.网络黑客对企业网站的攻击。目前企业最为关注的问题之一仍然是黑客。当今,电脑黑客传播间谍软件、垃圾广告、钓鱼广告、垃圾邮件、盗取企业商业机密及攻击组织团体这些手段中小企业的电脑已成为他们的一个主要途径。
3.企业邮件中的垃圾邮件。中小企业由于实力有限,对于信息化的一些设备没有能力及实力,所以只能租用一些工具。
4.恶意的电脑软件。网络安全人员统计,每年的每一个季度,都有一百多万的企业网站被恶意软件侵入,其中不乏有一部分信任度很好的网站。每十个网页中就有一个网页在毫不知情的情况下托管了恶意软件。很多上网电脑都会在未被告知并经许可的情况下安装或曾经安装了各类广告软件、浏览器劫持、间谍软件、恶意共享软件、行为记录软件或恶作剧程序,有些间谍软件、行为记录软件能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息,为黑客打开方便之门,造成了中小企业信息安全的严重隐患。
5.信息管理失控。由于中小企业普遍缺乏信息资源、信息资产的保护意识和手段,员工流动性也较大。
三、在中小企业中产生网络信息安全问题的因素
1.相关专业的人才缺少。中小企业由于实力、公司规模都相对比较小,很难能够留住这一行业的顶尖人才,再有就是网络信息行业的人才相当缺少,不要说中小企业,就是中型企业的网络信息人员也经常只是一个人,而且还经常是一个人身兼多职。
2.中小企业的职工对网络信息安全意识落后。中小企业的职工对信息安全的意识比较淡薄。在中小企业中,我们常常能够听说职工经常会因为一些不注意的行为造成企业信息安全事故的发生。
3.公司资金实力弱小。由于中小企业的资金实力比较有限,所以,其在公司网络信息安全方面投入非常有限。中小企业本身自己的资金实力极有限,一般在需要资金时,均需从外部进行融资,另外,中小企业还普遍存存活率比较低、资产信用度比较低、几乎没有资产用来抵押、信用贷款的风险也比较大,因此一般金融机构不愿意支持中小企业。
4.中小企业内部职工的不稳定性。每个行业都会存在员工的离职问题,而中小企业由于其自身的原因这种现象尤为严重。
四、我们应该如何应对中小企业网络信息安全的问题
我们要解决中小企业网络信息安全问题许多方面考虑。
1.要把网络信息安全意识提高到一个层次。中小企业的高层管理人员要重视信息安全,对自己的员工要经常进行安全教育,提高企业员工的安全意识及信息技术能力,把员工的信息安全能力提高一个等级。企业自身要健全自己的信息安全制度,认识到信息安全的必要性。
2.需要及时防病毒、杀病毒。在防病毒、杀病毒方面,企业一方面,需要不断地更新电脑系统,经常修复漏洞及补丁,避免由于自身系统的漏洞带来信息安全问题,另外就是一定要及时更新杀毒软件,避免由于病毒入侵而导致计算机出现问题。再一方面,中小企业应努力实现企业集中安全管理。各企业应该与制作杀毒软件的服务商联合,双方共同研制一套适合中小企业的杀毒软件,通过采用综合网络管理、主动智能化防御、加强型全网漏洞管理、强大的网络管理能力等方法来实现信息安全。
3.一定要把防火墙设置好。防火墙是信息的唯一出入口,它是在不同网络或网络安全领域之间设置的。防火墙分为两种,一是软件防火墙,另一种是硬件防火墙。企业自身网络和企业外部网络连接的首要条件是硬件防火墙,硬件防火墙的功能比较全面,它比较有效的防止非法攻击和入侵,而软件防火墙则是更深一步水位检查,它通常能检测到许多其他防火墙检测不出来的威胁。因此两者结合,相互补充,能更好的为中小企业的信息安全服务。
4.采取行之有效的反垃圾邮件策略。首先提高企业员工的安全意识,不随意打开搜索引擎和他人从邮件和聊天窗口发来的链接。其次要对每个企业员工的邮箱用户名进行统一管理,同时,加强对企业员工邮箱使用的监测。第三,要使用最新的反垃圾邮件技术,有效地处理过滤垃圾邮件。如果企业自身缺乏相关技术人员,可以通过引入外部第三方服务商来实现反垃圾邮件的目的。
5.做好数据备份工作
CA公司的BrightStor ARCserve Backup V9,美国CA公司提供的存储备份软件能提供对主服务器数据库的备份,并提供数据灾难级的恢复,可以为的数据提供更加安全,更加高级的备份存储方式。
5.1基本部件内容如下:
5月31日下午,由工业和信息化部、国家发改委、科技部、国家外国专家局和北京市人民政府共同主办、工业和信息化部电子科学技术情报研究所承办的“2012中国信息安全产业创新发展论坛”在北京举办。工业和信息化部电子科学技术情报研究所所长洪京一、工业和信息化部软件服务业司副司长陈英等多位领导和专家出席了本次论坛。
加快发展意义重大
随着信息化进程的不断深入,国民经济和社会发展对信息系统的依赖程度越来越高。从电网、铁路等基础设施,到水、电、气等日常生活的供应,各行各业的数字化、网络化进程都在全面而深入地展开,网络信息系统已经成为金融、能源、交通、现代物流、现代制造等行业的神经中枢、调动中心。人民的生活、娱乐、消费更是与互联网紧密相关。CNNIC的数据显示,2011年底我国网民规模已经超过5亿,互联网普及率达38.3%,其中,手机网民3.56亿,移动电话用户接近10亿。2011年,网络购物用户达到1.94亿人,交易额达到5.88万亿元,占社会消费品零售总额的比重达到4.3%。
洪京一表示,当前,信息技术已经成为我国经济社会发展的重要驱动和支撑要素,信息网络已经成为国民经济运行的重要基础设施。信息安全威胁不仅会阻碍信息化发展,也会影响我国经济社会发展和安全。因此提高信息安全水平,加快信息安全产业的发展是保障我国信息化建设的必然选择。
重点提升保障能力
“十一五”期间,我国信息安全产业持续快速发展,年均增速超过30%,产业规模不断扩大,2010年达182亿元,产品体系逐渐健全,企业实力逐步提升,标准化体系不断完善,人才队伍不断壮大,信息安全产业占信息产业的比重稳步提高,对国民经济和社会发展的支撑作用进一步增强。2011年,我国信息安全产业进一步扩大,估计产业规模超过230亿元,过亿元的企业有10多家,部分企业开始进入国际市场。2011年12月,工业和信息化部《信息安全产业“十二五”发展规划》。在总结“十一五”期间我国信息安全产业发展现状、分析面临形势的基础上,规划明确了“十二五”期间的发展思路和目标,通过发展重点和重大工程的实施,推动我国信息安全产业向体系化、规模化、特色化、高端化方向发展,促进我国信息安全产业做大做强。
针对我国未来在信息安全领域的工作重心,工业和信息化部软件服务业司副司长陈英在本次论坛上发表了题为《促进信息安全产业发展,提升信息安全保障能力》的主题演讲。在演讲中,陈英重点强调了我国在“十一五”期间取得的成就,并就“十二五”期间的任务进行了总结。他表示,“十一五”期间,我国信息安全产业实现了较快的发展,为国家信息化建设和信息安全保障体系建设提供了有力的保障,并为“十二五”时期的发展奠定了良好的基础。
产业规模将超670亿元
全国信息安全标准化技术委员会委员曲成义在题为《网络空间信息安全态势和对策》的演讲中表示,信息网络正在成为国家的重要基础设施,网络正在承载着保障国家安全的重要使命。他特别强调说:“我们要在信息安全技术领域掌握主动权,前提是一定要大力发展我国自主可控的信息安全产业。要推进我国信息安全产业的自主创新发展,来保护我国当前在网络空间对抗中所面临的各种严峻的威胁,使经济更安全地运行,这是信息安全产业的重要使命。
在《数字解读》的演讲中,工业和信息化部电子科学技术情报研究所软件产业研究室主任陈新河总结了当前信息安全领域的发展态势,以及未来的发展路线。数据显示,全球信息安全产业的规模在1998年首次超过100亿美元,10年之后超过了1000亿美元。这一数据在2011年达到1188亿美元。目前这一产业的年增速平均在15%左右,是同期GDP、软件产业增速的2.5倍左右。
陈新河表示,从工业和信息化部的统计数据来看,2015年我国信息安全产业规模将达670亿元。目前我国共有712家从事信息安全的企业。相对于全国3万多家软件企业而言,信息安全企业还是比较集中的,这与技术门槛、牌照门槛有关。目前国内信息安全企业产值过亿的企业有十多家。同时,国内信息安全投入占IT投入的比重也在逐步提高。
据悉,本次“2012中国信息安全产业创新发展论坛”吸引到了100多名政府、制造业、能源、金融、电信、医疗、零售、房地产等行业用户参与,并获得了与会者的好评。
电力工业是一个国家至关重要的基础产业,近些年来伴随着网络信息技术的飞速发展,各产业都发生了翻天覆地的变化,电力系统的网络信息化得到加强,电气设备与线路同多台计算机通过各种接口连接,以实现信息的传递和共享。但与此同时威胁电力系统网络信息安全的因素却日益增多,而这将极大的危害电力系统的安全运行,危害电气设备的安全,甚至造成电力系统瘫痪等十分恶劣的影响,对整个国民经济的发展和人们正常生活秩序的破坏巨大,更有甚者危及社会稳定,因此针对电力系统网络信息安全防护的研究是十分必要的。
1 电力系统网络信息安全的重要性
当前网络信息技术已经广泛应用于电力系统的各个领域,如电力系统监视、控制以及保护等方方面面。随着计算机网络信息技术应用的深度和广度的不断加大,各种可能的防范不周出现的几率也会直线上升,电力系统的网络信息系统受到来自黑客、病毒或者其他不明原因侵害的现象将更加频发,可能造成电气设备故障,电力系统数据泄露或者信息系统崩溃等极其严重的恶性后果,从而对电力系统造成较大的损害。从而间接的影响人们的生活秩序和工业生产秩序,对整个社会造成不可估量的损失,由此可见,电力系统网络信息安全防护是电力系统中极为重要的一环。[ 1 ]
2 威胁电力系统网络信息安全的因素分析
2.1 计算机病毒
作为危害电力系统网络信息安全的最常见的因素,计算机病毒在网络化的状态下具有极强的感染传播能力,如果缺乏必要的防护措施,则由计算机病毒带来的危害无法想象。计算机病毒具有与普通生物病毒相似的一些属性,具有极强的传播能力,能够在有关文件或者应用程序之间膨胀式的发展扩散。同时这些病毒极难得到彻底清理,被传播者同样是病毒载体,传播病毒[ 2 ],对电力系统网络信息安全构成威胁。
2.2 网络协议
网络信息技术的信息共享的属性和基本前提决定了一定的安全漏洞会存在于电力系统的各个计算机网络信息系统中。网络协议漏洞也是危害电力系统网络信息安全的重要因素之一。
2.3 工作环境
时下众多电力企业的计算机操作系统以及相关数据库系统等工作环境存在诸如网路通信协议错误以及存在于自身体系中的安全漏洞等等诸多不确定因素带来的安全威胁,这些工作环境因素对电力系统的负面影响不容小觑,会在一定程度损害电力系统运行的经济效益。
3 电力系统网络信息安全防护策略
3.1 计算机病毒防护
由威胁电力系统网络信息安全的影响因素分析可知计算机病毒是危害电力系统网络信息安全的最普遍因素,此外鉴于计算机病毒强大的破坏力,极大的传播性以及难以控制的突发性等特点,针对计算机病毒的防护措施是关乎电力系统网络信息安全的重要前提。防范计算机病毒侵扰的措施如下:1)建立健全能够切实防范计算机病毒的涵盖电力系统各环节的客户端,有效防护电力系统所有的工作站和服务器。2)分级应用不同的病毒防护措施,尤其是防病毒服务器,做到分级采纳,各不相同,减少病毒滋生的可能性。3)在电力系统涉及资源共享的相关设备的服务器前端布置相应的病毒防护措施,如杀毒软件和病毒网关等,严防病毒通过网络快速传播。4)电力企业应建立相关的病毒管理体系,关注计算机病毒相关动态,设置相关管理服务器以应对突发的病毒侵袭,切实保障系统网络信息的安全性。
3.2 建立网络信息安全管理体系
电力系统网络信息安全的重要性已经不言而喻,但众多电力企业尚未建立起一整套行之有效的防护管理体系,该防护体系应该包括对员工的安全教育,加强对网络信息安全的投入,规范电力系统网络安全管理监督体系,保证电网运行的安全性和可靠性。
3.3 合理配置防火墙
作为防护网络信息安全的有效手段,可以有效的防止黑客入侵,被称为控制逾出两个方向通信的门槛。防火墙的种类多种多样,而且功能和原理也不尽相同,对电力系统进行合理而又科学的防火墙配置,可以有效防止不法分子入侵,增强系统的网络信息安全性和可靠性。
3.4 配置主机保护和电气物理隔离
主机保护是有效防范控制电力系统计算机病毒、恶意计算机程序和木马入侵的重要防护措施,配备主机保护后即使电力系统计算机网络相互连接时也不用担忧由计算机病毒感染引发的电力系统计算机网络甚至电力系统瘫痪,遇到问题时只需要按动相应按钮就可以进行系统复位操作,无需重启计算机网络系统,电力系统主机防护系统的配置可以有效保证电力系统安全运行,具有较高的实用价值。
电气隔离是指在电力系统中采用某些特殊的技术手段,如隔离岛技术、双处理技术等,同时对于软硬件控制都使用单向传输以及单向控制,从而增加电力系统网络信息安全的相关措施。单向电气隔离措施主要应用于电力系统二次系统之中,专用的电气隔离措施对防范黑客入侵网络信息系统效果显著。
4 结语
电力系统正在经历日新月异的变化,其网络信息安全也相应面临越来越多的不安全因素的困扰,电力系统网络信息安全直接关系着电力系统的稳定安全运行,而电力工业又是一个国家的基础工业,可以说网络信息安全对国民经济和人民生活等领域影响深远,加强电力系统信息安全防护是十分必要的。本文探究了影响电力系统网络信息系统的因素,并提出了相应的防护措施。电力系统网络信息安全是电力系统安全的重要组成部分,也是保证工业生产和社会秩序的基本前提,该领域研究应当引起足够重视,切实保证电力系统网络信息安全。
关键词:工业控制系统;信息安全;测试
中图分类号:TP39文献标志码:A
1引言
工業控制系统(IndustrialControlSystems,ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络,越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络,ICS脆弱性就暴露给潜在的攻击者[2]。
为了提高工业控制系统的安全性,现在一般从两方面考虑:一方面是提高工业控制系统的自身安全性,从设计阶段就开始安全性架构,并落实在工控系统的研发、部署、运行的各个阶段;另一方面是通过附加信息安全保障手段(如在系统中部署信息安全专用产品)在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求,通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。
工业控制系统本质上是一类信息系统,因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局(NationalSecurityAgency,NSA)针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)[3],成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节:防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,特别是由安全变为不安全,则马上采取应急措施对其进行响应处理,直至恢复安全保护对象的安全状态。这四个部分相辅相成,缺一不可,构成了公认的PDRR模型,如图1所示。
从PDDR模型的“检测”环节入手,对工业控制系统的信息安全产品进行测试与评估,建立工控信息安全产品测试评价体系,为工业控制系统信息安全测评提供专业化的理论支撑和实践引领,一方面有效帮助供应商大力提升其产品和系统的安全保障能力,另一方面为用户选购工控系统信息安全产品,提高工控系统安全性提供支持。通过对安全测评结果的综合分析,为相关主管部门提供真实、全面的安全态势分析报告,促进工业控制领域信息安全保障工作的开展。
2工业控制系统的信息安全要求
工业控制系统有许多区别于传统信息系统的特点,包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险,对环境的严重破坏,以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求,其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外,安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突(如,需要密码验证和授权不应妨碍或干扰ICS的紧急行动)。
美国NIST的《工业控制系统信息安全指南》[4]对ICS与IT的差异进行了全面的总结,这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。
传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑,这些需求体现如下:
(1)工控系统的可用性则直接影响到企业生产,生产线停机或者误动都可能导致巨大经济损失,甚至是人员生命危险和社会安全破坏。
(2)工控系统的实时性要求很高,系统要求响应时间大多在毫秒级或更快等级,而通用管理系统能够接受秒级或更慢的等级。
(3)工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。
3工控信息安全产品
由于工控系统的自身特点以及对可用性的高度要求,适用于工业控制系统的信息安全产品也需要着重考虑工控系统的特点。目前使用相对比较广泛的工控信息安全产品主要包括工控防火墙、工控安全审计、工控隔离、工控主机防护等类型。
3.1工控防火墙
工控防火墙根据防护的需要,在工控系统中部署的位置存在多种情况,通常用于各层级之间、各区域之间的访问控制,也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构,主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议(TCP、UDP)和端口,以及工控协议的控制命令和参数的访问控制。
工控防火墙从形态来说主要分两种,一类是在传统IT防火墙的基础上增加工控防护功能模块,对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的模式来实现的。
3.2工控安全审计
工控安全审计产品通过镜像接口分析网络流量,或者通过及设备的通用接口进行探测等方式工作,及时发现网络流量或设备的异常情况并告警,通常不会主动去阻断通信。
这类产品自身的故障不会直接影响工控系统的正常运行,也更容易让用户接受。
3.3工控隔离
工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品,采用双机架构,两机之间不使用传统的TCP/IP进行通信,而是对协议进行剥离,仅将原始数据以私有协议(非TCP/IP)格式进行传输。其次还有网闸,除了进行协议剥离,两机中间还有一个摆渡模块,使得内外网之间在同一时间是不联通的,比较典型的是OPC网闸,主要还是传输监测数据,传输控制命令的网闸还相当少。另外还有单向导入设备,主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性,其缺点是不能保证传输数据的完整性,但对于将控制网中的监测数据传输到企业办公网还是可行的。
总体来说,由于隔离类产品采用双机架构,中间私有协议通信,即使外端机被攻击者控制,也无法侵入内端机,其安全性要高于防火墙设备。
3.4工控主机安全防护
工控系统中会部署一定数量的主机设备,如工程师站、操作员站等。这些设备往往是工控系统的风险点,病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此,这些主机有必要进行一定的防护。
目前主要有两种针对主机设备的防护产品:一种为铠甲式防护产品,通过接管主机设备的鼠标/键盘输入、USB等外围接口来保证主机的安全;另一种就是白名单产品,通过在主机上安装程序,限制只有可信的程序、进程才允许运行,防止恶意程序的侵入。
4工控信息安全产品测试评价体系
工控信息安全产品测试评价体系涵盖测试环境、测评技术和评价服务三部分。测试环境主要由适用于工业控制系统信息安全产品的测试平台组成,测评技术主要涉及测试工具、测试方法、基础库和相关的标准及规范,评价服务提供工业控制系统的安全测评服务的能力。
4.1总体架构
以工业控制系统相关的新一代信息技术为对象,从研究工控信息安全产品的安全功能要求、自身安全要求和性能要求出发,结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术,建立了工控信息安全产品测试评价体系,总体架构如图2所示。
其中,测试环境体系包括基础环境和实验环境,测评技术体系包括测试方法、测试工具、基础库和关键标准,评价服务体系包括服务流程和组织管理。
4.2测试环境
根据测评机构质量体系建设等相关要求,通过对现有资源进行整合、改进和升级,形成实验室必要的物理基础设施,主要包括机房建设、硬件设备和软件购置,从而为工控信息安全产品测试评价提供基础条件。
测试环境主要包括以下两部分:
(1)基础环境:进行实验室机房装修和改造,作为测试评价体系的实施基础。
(2)实验环境:实验室基础网络和测试仪表。
4.2.1基础环境
基础环境主要通过对现有资源的整合、升级,着力建设测评环境所急需的物理基础设施,包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容,最终形成工控专用安全产品测试所需的必要基础条件。
基础环境包括4个测试(性能测试环境、攻击测试环境、功能测试环境和协议测试环境)隔断环境、1个演示环境和1个测试机房组成。
4.2.2实验环境
实验室环境主要是针对工业控制系统信息安全产品的检测需要,搭建典型的工业控制环境,包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。
4.2.2.1测试平台
测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不相同,所以四个平台分别独立部署。
(1)功能测试平台
功能测试平台是一套典型的小规模工业控制系统,包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流,并支持工业控制主要协议的设备(包括西门子、施耐德、和利时及信捷等)的一至两种型号,能夠实现常用的工业控制功能及数据监测功能,具备支持多种常见的工业控制协议(支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等)的能力。
(2)协议测试平台
工控信息安全产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入,还是旁路接入工控网络,则该设备都需要进行协议测试,测试目地在于验证该设备是否能支持现有常用的工业控制协议。
(3)攻击测试平台
攻击测试平台主要针对常用的工控信息安全产品,用以验证安全产品是否能够抵御来自网络,压力,碎片等攻击。对于旁路接入的工控信息安全设备,测试目的在于验证系统能否能记录攻击行为(工控审计类产品);对于串行接入的工控信息安全设备,测试目的在于验证系统能否能抵御并拦截攻击行为(工控防火墙类产品)。
(4)性能测试平台
如果工控信息安全产品为串接部署则需要进行性能测试,用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、安全设备的安全防护能力下降等影响。
4.2.2.2演示环境
演示环境是工控系统运行的展示,以简单明了的形式来表征工控系统运行的状态,包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的漏洞是各不相同的,所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响,我们需要在工业控制协议及工业控制厂商进行尽量的覆盖。
演示环境包含高仿真沙盘模型和可视化工控系统拓扑结构展板。
沙盘由底座、台面和台面模型组成,沙盘内部完成所有动态的设计和线路的连接,台面模型根据具体设计和布局陈列,体现完整的工艺流程,各模型单体形状和比例与真实系统一致。沙盘涉及化工生产、污水处理、环境监测、智能楼宇等多个应用实景。
展板由展架和展板封面组成,展板上按层次集成工控设备、网络设备,并由灯带组成复杂的网络路径。实际演示过程中,将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口,可方便接入典型的工业控制防护设备或专用测试工具。
4.3测评技术
测评技术包括测试方法和测试工具的研究、改进和应用,基础库的建设以及相关标准的编制。
4.3.1测试方法
工控系统的安全性测试方法按照安全技术要求可以分为安全功能、安全保证、环境适应性和性能要求四个大类。根据各大类对系统的要求,分别进行测试方法的研究。
鉴于工控系统与传统信息系统在安全性要求上的区别,工控系统的信息安全目标通常都在最后考虑,因此工控系统的安全技术要求又有其特殊性。安全功能要求是对工控信息安全产品应具备的安全功能提出的具体要求,工控信息产品安全功能的具体要求包括身份鉴别、访问控制、安全管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等;安全保证要求针对工控信息安全产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等;环境适应性要求是对工控信息安全产品的应用环境提出具体的具体要求,例如IPv6环境适应性,OPC环境适应性等;性能要求则是对工控系统和工控产品应达到的性能指标做出的规定,例如去抖动、交换速率和硬件切换时间等。此外,针对工控系统和设备的操作系统层面的漏洞进行分析挖掘,形成攻击测试集。
针对以上要去分别深入研究相关的测试方法,并应用于实际的测试工作中。
4.3.2测试工具
为确保工业控制系统信息安全产品和系统测评服务的专业化,开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担,二是减少测评和评估人员因能力和经验造成的测评或评估误差,保证测评和评估服务结果的准确性和科学性,提高专业化的服务能力。通过测试软件来模拟正常和异常协议,可检测工业控制系统信息安全产品的功能实现,以及对异常协议的抵御能力。
本体系配套了工控协议模拟测试软件,集成Modbus、DNP、IEC104、IEC61850等工控协议,用于工控信息安全专用产品和工控设备的测试。该软件的运行方式是单机运行,适用的操作系统为windowsNT,windowsxp,windows7x86平台。该软件主要分为四个模块:ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。
4.3.3基础库
基础库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。
知识库的主要内容包括工业控制系统信息安全领域的基础技术知识、测试案例、法律法规、安全事件/技术手段等的统一描述方法、国内外安全事件、知识库的管理和维护方法、智能化数据挖掘方法等。
指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统安全测评服务建立统一的测评指标库,保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和安全性评价指标库等构成,可根据需要对指标库进行扩展和维护。
测评方法库用以在每种信息安全专业化服务的标准编制和测评方法研究的基础上,明确具体的技术要求,从而提供有效的服务。
測评用例库是在测评方法库建设的基础上,加强测试的复用,提高安全测试的效率。根据厂家提供的说明书和测评人员的经验,深入解析相关技术要求的内涵,为每种具体服务建立测评用例库。
本体系的基础库由两部分构成,第一部分包括了知识库和漏洞库,设计成门户网站模式,直接对外开放,其中收集了4000余条安全事件、3万余条安全漏洞以及相关的法规政策、技术知识、工具等;第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等,运用于测评实战,检测人员可以在其中依据指标、测评方法、测试用例对实际的产品或系统进行测试记录。
4.3.4关键标准
工控系统与互联网信息系统采用传统信息安全产品难以满足相关要求,工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。因此,有必要为应用于工控系统的关键信息安全产品,以及工控系统安全提出专门的标准,并研究相应的测试技术与方法。
本体系在工控领域制定了信息安全产品标准体系,以规范和支撑产品测试。主要包括:
(1)《信息安全技术工业控制系统专用防火墙技术要求》;
(2)《信息安全技术工业控制系统网络审计产品安全技术要求》;
(3)《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》;
(4)《信息安全技术工业控制系统安全管理平台安全技术要求》;
(5)《信息安全技术工业控制系统入侵检测产品安全技术要求》
(6)《信息安全技术工业控制系统边界安全专用网关产品安全技术要求》;
(7)《信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求》;
(8)《信息安全技术安全采集远程终端单元(RTU)安全技术要求》。
4.4评价服务
评价服务包括服务流程和组织管理。服务流程基于现有的服务流程,深入挖掘工业控制系统信息安全产品的特点,融入服务流程,提升服务质量;组织管理主要规范服务的相关制度,充分合理利用各方面的资源,提高服务效率。
4.4.1服务流程
服务采购单位提出自己的系统需求,测评机构经过沟通协调确定服务目标,签订服务合同,成立测评项目组;项目组根据采购单位提出的需求信息,分析需求是否充分;当需求不够充分时,需和服务采购单位进行沟通,补充需求并最终确认;当需求足够充分时,依据相关标准进行服务方案的总体设计,并由专家对方案进行评审;通过初步方案评审后,由测评人员对服务方案进行详细设计,再交由专家对方案进行评审,并提交方案;如方案需进行修改,需重新设计或晚上详细的服务方案,再由专家进行方案评审,如此类推;当提交的服务方案不需要进行修改时,形成安全的服务方案;一方面由专家对安全的服务方案进行审批,并形成标准化管理;另一方面测评人员根据安全服务方案进行测评工作,测评结束后,形成文档,并归档。
4.4.2组织管理
为了保障整套服务流程的顺利实施,本体系还建立信息安全产品及系统服务的组织架构,如图8所示。
通过成立领导办公室、管理部、技术部和检测部,分别从组织、管理和技术等方面对服务的流程进行控制。管理部主要按照相关的管理规定负责服务申请的受理、产品测评流程的控制、检验报告或测评报告的审核、客户满意度的回访等;技术部主要负责测评相关技术研究工作;检测部负责具体检测工作的实施,根据检测数据整理出具检验报告或测评报告初稿。
5结论
【关键词】 工业控制系统 信息安全 存在问题 解决方案
按照工业控制系统信息安全的相关要求及防范手段的特点,当前工业控制系统对信息安全提出了解决方案,在控制系统内部建立防火墙、安装入侵检测系统及建立连接服务器的验证机制,能够在控制系统内部实现网络安全设备交互信息的目的,以此可以提升工业控制系统的整体防御能力[1]。在此情况下,工业控制系统现已成为信息安全领域愈来愈受关注的话题与重点之一,对其中存在的问题加以解决是迫不可待的[2]。
一、当前工业控制系统信息安全存在问题分析
工业控制系统,一般来说可以分为三个层面,即现场控制层面、监控管理层面与生产控制层面。现场控制层面由生产设备、DCS及PLC等相关控制器组成,用来通讯的工具主要是工业以太网及现场总线;监控管理层面基本由上位机、数据服务器、监控设备及数据采集机等组成,用来通讯的工具为工业以太网及OPC;生产控制层面由管理终端组成,比如:供应链、质检与物料等相关的管理服务器,主要用以太网来进行通讯。当前工业控制系统的信息安全问题来自以下方面:1、工业控制系统通讯方案较为落后守旧。大多数的工业控制系统通讯方案都具有一定的历史,是由技术人员在多年前便已设计好的,基本上都是在串行连接的基础上访问网络,设计时考虑的主要因素便是工业控制系统的可靠性与实用性,而忽视了控制系统的安全性,加之通讯方案对于用户的身份认证、信息数据保密等这些方面存在考虑不足的问题[3]。2、接入限定点不够明确。接入限定点不够明确的问题主要体现在系统终端与计算机接口等,不同版本、不同安全要求及通讯要求的设备都可以直接或者间接连接互联网,加上访问的策略管理工作存在松散与懈怠的情况,能够在一定程度上增加工业控制系统内部病毒感染的几率[4]。3、工业控制系统信息安全的关注降低。现阶段网络安全方面很少有黑客攻击工业网络的情况发生,故工业控制系统技术人员对于工业控制系统信息安全的关注逐渐降低,也没有制定科学化与合理化的工业控制系统安全方案、管理制度,也没有加强培养操作人员与设计人员的安全意识,随着时间的推移,人员的安全意识愈来愈淡薄,操作管理的实际技术能力与安全思想观念存在差异,极容易出现违规操作与越权访问的情况,给工业控制系统的生产系统埋下安全隐患[5]。4、在信息科学技术及工业技术的高速融合下,现代企业的物联程度与信息化程度不断提升,这样便促使更多更智能的仪器设备将会在市场上出现,也将带来更多的安全问题。
二、当前工业控制系统信息安全的相关特点分析
传统计算机信息系统信息安全的要求主要有:保密性、可用性与完整性,而现代工业控制系统信息安全首要考虑的是可用性。工业控制系统的控制对象为不同方面的生产过程,如物理、生物与化学,系统终端设备与执行部位能够严格设定生产过程中的实际操作,故在对安全措施进行调整与试行之前必须要将生产设备保持停机状态,对工业控制系统采取的安全措施必须查看其是否具有一定的准确性及时效性,并要在停机状态下对其进行测试与调整,但这些程序势必会给企业带来一定程度的经济影响[6]。
根据相关的研究报告显示,在已公布于社会与民众的工业控制系统漏洞中,拒绝服务类与控制软件类等漏洞造成系统业务停止的比重,分别占据了百分之三十三与百分之二十,这样的情况,便给工业控制系统的实用功能带来了巨大的威胁,不但会在信息安全方面造成信息丢失,增加工业生产过程中生产设备出现故障的几率,而且会在最大程度上造成操作人员的意外伤亡情况及设备损坏情况,造成企业经济利益严重亏损。
三、当前工业控制系统信息安全解决方案分析
1、主动隔离式。主动隔离式信息安全解决方案的提出,来自于管道与区域的基本概念,即将同样性能与安全要求的相关设备安置在同一个区域内,通讯过程主要靠专门管道来完成,并利用管道管理工作来起到抵制非法通信的作用,能够集中防护网络区域内或者外部的所有设备。这种方案,相对来说具有一定的有效性,可以按照实际需求来灵活运用工业控制系统,并为其实施信息安全防护工作,但在实施这种解决方案之前,必须先确定防护等级与安全范围,并寻找出一种适度的防护与经济成本折中办法。
2、被动检测式。被动检测式解决方案是一种以传统计算机系统为基础的新型网络安全保护方案,因为计算机系统本身便具有结构化、程序化及多样化等特点,故除了采取对用户的身份认证与加密数据等防护技术之外,还添设了查杀病毒、检测入侵情况及黑名单匹配等手段,以此有助于确定非法身份,并结合多方面的部署来提升网络环境的安全。这种方案的硬件设备除了原部署的系统之外,还能利用终端的白名单技术来实现主机的入侵抵制功能,这些措施能够减少对原来系统具备性能的负面影响,达到工业控制系统实用的目标。但网络威胁的特征库无法及时更新,故黑名单技术对于新出现的违法入侵行为不能做出实时回应,故对于工业控制系统来说还是带来了一定的危害。
结束语:总而言之,本文主要对当前工业控制系统信息安全存在的问题展开分析,针对工业控制系统通讯方案较为落后守旧、接入限定点不够明确及工业控制系统信息安全的关注降低等问题,研究了当前工业控制系统信息安全的特点,最后对当前工业控制系统信息安全解决方案展开剖析,即主动隔离式与被动检测式。当然,要完全解决工业控制系统存在的问题,还得要求我国政府机关及相关部门提高网络安全的意识,构建并不断完善一个有效、科学且合理的安全机制,以此来推动我国工业控制系统的发展。
参 考 文 献
[1]朱世顺,黄益彬,朱应飞,张小飞.工业控制系统信息安全防护关键技术研究[J].电力信息与通信技术,2013,11:106-109.
[2]张波.西门子纵深防御DCS信息安全方案在青岛炼化项目的应用[J].自动化博览,2015,02:42-45.
[3]陈绍望,罗琪,陆晓鹏.海洋石油平台工业控制系统信息安全现状及策略[J].自动化与仪器仪表,2015,05:4-5+8.
[4]张波.基于纵深防御理念的DCS信息安全方案在青岛炼化项目的应用[J].中国仪器仪表,2014,02:30-35.
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
近年来,关键基础设施控制系统的日益标准化、智能化、网络化,伴随而来的是网络攻击快速增多。电力、石化、轨道交通等涉及国计民生的关键基础设施一旦被攻击,很可能造成灾难性后果。关键基础设施信息安全成为悬在各国政府头上的达摩克利斯之剑,采取措施加强其信息安全保障能力势在必行。
安全事件复杂化
关键基础设施(Critical Infrastructure)是指对国家至关重要的、实体的或虚拟的系统和资产,这些系统和资产一旦遭到破坏或功能丧失,就会危及国防安全、国家经济安全、公众健康或社会稳定。控制系统或工业控制系统(Industrial Control System)是关键基础设施的大脑和中枢神经,被广泛地使用于水处理、能源、电力、化工、交通运输、金融等行业的关键基础设施中,典型形态包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)以及可编程逻辑控制器(PLC)等。
随着工业化和信息化的深度融合,网络化管理操作成为关键基础设施发展的趋势。传统的关键基础设施安全往往关注的是人为破坏等情况,与之相比,近期频发的关键基础设施信息安全事件具有以下特点。
攻击来源复杂化。2010年,美国黑客开发建立了“嗅弹”(shodan)搜索引擎,能搜索到包括关键基础设施在内的、几乎所有与网络相连的控制系统,目前已经有过亿的控制系统暴露在互联网上。攻击者能够借助互联网随时随地地对关键基础设施控制系统发起攻击,难以判断和掌握攻击来源。
攻击目的多样化。“震网”病毒导致伊朗近1000多个离心机一度瘫痪,伊朗核计划被显著拖延。近年仍在中东地区肆虐的“火焰”、“Duqu”等病毒,能够自动录音、记录用户密码和键盘敲击规律、窃取敏感信息,并将结果和其他重要文件发送给远程操控病毒的服务器。这充分表明,针对关键基础设施网络攻击的目的呈现出多样化的特点,不仅能够破坏或瘫痪关键基础设施的运行,也能够窃取敏感信息。
攻击过程持续化。针对关键基础设施的网络攻击呈现出持续化的特点,其过程一般从搜集信息开始,搜集范围包括商业秘密、军事秘密、经济情报、科技情报等,这些情报收集工作为后期攻击服务。攻击可能会持续几天、几周、几个月,甚至更长时间。据专家的判断,2011年伊朗导弹爆炸事件,是因为导弹电脑控制系统遭“震网”病毒感染所致,而该事件距“震网”病毒爆发已一年以上,足见此攻击的持续性。
形势严峻
当前,关键基础设施面临的网络威胁日趋严峻,直接威胁各国经济发展、国家安全和社会稳定,成为各国必须直面的最严重的国家安全挑战之一。
据统计,目前美国大约有7200个可以直接通过互联网进行操作的关键基础设施控制设备。根据美国工业控制系统网络应急小组(ICS-CERT)的最新报告显示,在2009年到2012年间,美国关键基础设施公司报告的网络安全事件数量急剧增加。2009年,ICS-CERT仅确定了9起安全事件报告。2010年,这个数字上升到41起。2011年和2012年,均确定了198起安全事件报告。急剧上升的网络攻击,严重威胁着关键基础设施的正常运转。
以往的网络攻击,攻击者多数是个人或黑客团体,但近年来国家政府开始加入进来。据《纽约时报》披露,美国总统奥巴马从上任的第一个月开始,就密令加快对伊朗主要铀浓缩设施进行代号为“奥运会”的网络攻击。2010年给伊朗核电站造成破坏的“震网”病毒,经证实是由美国和以色列联合研发的,目的在于阻止伊朗发展核武器。据专家研判,目前仍在对关键基础设施进行持续网络攻击的“火焰”、“Duqu”等病毒,与“震网”病毒一脉相承,其背后也有国家政府的影子。
近年来国家支持的网络攻击活动频繁,引起了各国对网络战争的担忧,尤其是“火焰”等病毒威力强大,足以用来攻击任何一个国家,更使人相信未来针对一个国家发动网络攻击,以瘫痪该国的关键基础设施,并非绝无可能。针对关键基础设施的网络攻击将可能给被攻击国家和社会造成灾难性的危害,为防御他国可能的上述攻击,美国等一些国家在积极开展网络武器研发,组建网络部队,并且通过立法方式授权军队在遭受网络攻击时使用武力进行反击。
提升防护能力多方着手
关键基础设施信息安全事关国家安全,为有效应对网络攻击的新变化,提升我国关键基础设施安全防护能力,应从以下几方面着手:
抓紧建立关键基础设施信息安全法律体系。我国虽已建立重要信息系统等级保护制度,但还缺乏体系化的关键基础设施信息安全立法。建议充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施信息安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者和所有者的运营资质要求。
尽快建立关键基础设施风险信息共享机制。关键基础设施网络安全涉及部门多,影响范围广,共享网络威胁信息有助于更好地应对网络攻击。建议借鉴美国、欧盟等的先进经验,充分了解关键基础设施设备提供商、运营单位、政府部门、信息安全承包商、专家队伍、公众等各方对信息共享的需求,尽快建立有效的关键基础设施风险信息共享机制,明确信息共享的条件,确定信息共享步骤,建立信息共享公共服务平台。
抓紧制定关键基础设施网络安全风险分级规范。关键基础设施数量众多,其重要性和潜在的破坏力也不尽相同,有必要划分关键基础设施信息安全风险等级并对其进行分级管理。建议抓紧制定关键基础设施网络安全风险分级规范,根据关键基础设施的重要性、不可替代性、一旦出现问题之后的影响范围,以及网络攻击的可能性等因素,提出界定关键基础设施信息安全风险等级的量化标准,分级别制定管理要求。