控制系统信息安全范文
时间:2023-04-09 21:56:31
导语:如何才能写好一篇控制系统信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
一、2015年工控安全漏洞与安全事件依然突出
通过对国家信息安全漏洞库(CNNVD)的数据进行分析,2015年工控安全漏洞呈现以下几个特点:
1.工控安全漏洞披露数量居高不下,总体呈递增趋势。受2010年“震网病毒”事件影响,工控信息安全迅速成为安全领域的焦点。国内外掀起针对工控安全漏洞的研究热潮,因此自2010年以后工控漏洞披露数量激增,占全部数量的96%以上。随着国内外对工控安全的研究逐渐深入,以及工控漏洞的公开披露开始逐渐制度化、规范化,近几年漏洞披露数量趋于稳定。
2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的工控系统漏洞中软件漏洞数量仍高居首位,但近几年工控硬件漏洞数量增长明显,所占比例有显著提高。例如,2010年工控硬件漏洞占比不足10%,但是2015年其占比高达37.5%。其中,工控硬件包括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设备(IED)及离散控制系统(DCS)等。
3.漏洞已覆盖工控系统主要组件,主流工控厂商无一幸免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还是国内工控厂商(研华),其产品普遍存在安全漏洞,且许多漏洞很难修补。在2015年新披露的工控漏洞中,西门子、施耐德、罗克韦尔、霍尼韦尔产品的漏洞数量分列前四位。
二、工控信息安全标准需求强烈,标准制定工作正全面推进
尽管工控信息安全问题已得到世界各国普遍重视,但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法,工控信息安全防护面临着“无章可循”,工控信息安全标准已迫在眉睫。当前,无论是国外还是国内,工控信息安全标准的需求非常强烈,标准制定工作也如火如荼在开展,但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段,目前绝大多数标准正处于草案或征求意见阶段,而且在设计思路上存在较为明显的差异,这充分反映了目前不同人员对工控信息安全标准认识的不同,因此工控信息安全标准的制定与落地任重道远。
1.国外工控信息安全标准建设概况
IEC 62443(工业自动化控制系统信息安全)标准是当前国际最主要的工控信息安全标准,起始于2005年,但至今标准制定工作仍未结束,特别是在涉及到系统及产品的具体技术要求方面尚有一段时日。
此外,美国在工控信息安全标准方面也在不断推进。其国家标准技术研究院NIST早在2010年了《工业控制系统安全指南》(NIST SP800-82),并2014年了修订版2,对其控制和控制基线进行了调整,增加了专门针对工控系统的补充指南。在奥巴马政府美国总统第13636号行政令《提高关键基础设计网络安全》后,NIST也随即了《关键基础设施网络安全框架》,提出“识别保护检测响应恢复”的总体框架。
2.国内工控信息安全标准建设概况
在国内,两个标准化技术委员会都在制定工控信息安全标准工作,分别是:全国信息安全标准化技术委员会(SAC/TC260),以及全国工业过程测量与控制标准化技术委员会(SAC/TC 124)。
其中,由TC260委员会组织制定的《工业控制系统现场测控设备安全功能要求》和《工业控制系统安全控制应用指南》处于报批稿阶段,《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统风险影响等级划分规范》、《工业控制系统安全防护技术要求和测试评价方法》和《安全可控信息系统(电力系统)安全指标体系》正在制定过程中,并且在2015年新启动了《工业控制系统产品信息安全通用评估准则》、《工业控制系统漏洞检测技术要求》、《工业控制系统网络监测安全技术要求和测试评价方法》、《工业控制网络安全隔离与信息交换系统安全技术要求》、《工业控制系统网络审计产品安全技术要求》、《工业控制系统风险评估实施指南》等标准研制工作。
TC124委员会组织制定的工控信息安全标准工作也在如火如荼进行。2014年12月,TC124委员会了《工业控制系统信息安全》(GB/T 30976-2014),包括两个部分内容:评估规范和验收规范。另外,TC124委员会等同采用了IEC 62443中的部分标准,包括《工业通信网络网络和系统安全术语、概念和模型》(JB/T 11961-2014,等同采用IEC/TS 62443-1-1:2009)、《工业过程测量和控制安全网络和系统安全》(JB/T 11960-2014,等同采用IEC PAS 62443-3:2008)、《工业通信网络网络和系统工业自动化和控制系统信息安全技术》(JB/T 11962-2014,等同采用IEC/TR 62443-3-1:2009),此外对IEC62443-2-1:2010标准转标工作已经进入报批稿阶段,并正在计划对IEC 62443-3-3:2013进行转标工作。除此之外,TC124委员会组织制定的集散控制系统(DCS)安全系列标准和可编程控制器(PLC)安全要求标准也已经进入征求意见稿后期阶段。
由于不同行业的工业控制系统差异很大,因此我国部分行业已经制定或正在研究制定适合自身行业特点的工控信息安全标准。2014年,国家发改委了第14号令《电力监控系统安全防护规定》,取代原先的《电力二次系统安全防护规定》(电监会[2005]5号),以此作为电力监控系统信息安全防护的指导依据,同时原有配套的防护方案也进行了相应的更新。在城市轨道交通领域,上海申通地铁集团有限公司2013年了《上海轨道交通信息安全技术架构》(沪地铁信[2013]222号文),并在2015年以222号文为指导文件了企业标准《轨道交通信息安全技术建设指导意见》(2015,试行)。同时,北京市轨道交通设计研究院有限公司于2015年牵头拟制国家标准草案《城市轨道交通工业控制系统信息安全要求》。在石油化工领域,2015年由石化盈科牵头拟制《中石化工业控制系统信息安全要求》等。
三、工控安全防护技术正迅速发展并在局部开始试点,但离大规模部署和应用有一定差距
当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品,近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。比较有代表性的工控安全防护产品及特点如下:
1.工控防火墙 防火墙是目前网络边界上最常用的一种安全防护设备,主要功能包括访问控制、地址转换、应用、带宽和流量控制等。相对于传统的IT防火墙,工控防火墙不但需要对TCP/IP协议进行安全过滤,更需要对工控应用层协议进行深度解析和安全过滤,如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控应用层协议的深度检测,包括控制指令识别、操作地址和操作参数提取等,才能真正阻止那些不安全的控制指令及数据。
2.工控安全监测系统我国现有工业控制系统网络普遍呈现出“无纵深”、“无监测”、“无防护”特点,工控安全监测系统正是针对上述问题而快速发展起来的技术。它通过数据镜像方式采集大量工控网络数据并进行分析,最终发现各种网络异常行为、黑客攻击线索等。利用该系统,相关人员能够了解工控网络实时通信状况,及时发现潜在的攻击前兆、病毒传播痕迹以及各类网络异常情况,同时,由于该系统是以“旁路”方式接入工控网络中,不会对生产运行造成不良影响,因此更容易在工控系统这种特殊环境下进行部署和推广。
3.主机防护产品在工业生产过程中,人员能够通过工程师站或操作员站对PLC、DCS控制器等设备进行控制,从而实现阀门关闭、执行过程改变等操作。这些工程师站、操作员站等主机系统就变得十分重要,一旦出现问题,比如感染计算机病毒等,就会对正常生产造成较大影响。近年来发生的由于工程师站或操作员站感染计算机病毒最终导致控制通信中断从而影响生产的报道屡见不鲜。加强这些重要主机系统的安全防护,尤其是病毒防护至关重要。但是,传统的基于杀毒软件的防护机制在工控系统中面临着很多挑战,其中最严重的就是在工控网络这样一个封闭的网络环境中,杀毒软件无法在线升级。另外,杀毒软件对未知病毒、变异病毒也无能为力。在此情况下,基于白名单的防护技术开始出现。由于工控系统在建设完成投入运行后,其系统将基本保持稳定不变,应用单一、规律性强,因而很容易获得系统合法的“白名单”。通过这种方式就能够发现由于感染病毒或者攻击而产生的各种异常状况。
4.移动介质管控技术在工控网络中,由于工控系统故障进行维修,或者由于工艺生产逻辑变更导致的工程逻辑控制程序的变更,需要在上位机插入U盘等外来移动介质,这必然成为工控网络的一个攻击点。例如,伊朗“震网”病毒就是采用U盘摆渡方式,对上位机(即WinCC主机)进行了渗透攻击,从而最终控制了西门子PLC,造成了伊朗核设施损坏的严重危害后果。针对上述情况,一些针对U盘管控的技术和原型产品开始出现,包括专用U盘安全防护工具、USB漏洞检测工具等。
总之,针对工控系统安全防护需求及工控环境特点,许多防护技术和产品正在快速研发中,甚至在部分企业进行试点应用。但是,由于这些技术和产品在稳定性、可靠性等方面还未经严格考验,能否适用于工业环境的高温、高湿、粉尘情况还未可知,再加上工控系统作为生产系统,一旦出现故障将会造成不可估量的财产损失甚至人员伤亡,用户不敢冒然部署安全防护设备,因此目前还没有行业大规模使用上述防护技术和产品。
四、主要对策建议
针对2015年工控信息安全总体情况,提出以下对策建议:
1.进一步强化工控信息安全领导机构,充分发挥组织管理职能。
2.对工控新建系统和存量系统进行区别对待。对于工控新建系统而言,要将信息安全纳入总体规划中,从安全管理和安全技术两方面着手提升新建系统的安全保障能力,对关键设备进行安全选型,在系统上线运行前进行风险评估和渗透测试,及时发现安全漏洞并进行修补,避免系统投入生产后无法“打补丁”的情况。对于大量存量系统而言,应在不影响生产运行的情况下,通过旁路安全监测、外边界保护等方式,形成基本的工控安全状况监测和取证分析能力,彻底扭转现阶段对工控网络内部状况一无所知、面对工控病毒攻击束手无策的局面。
3.大力推进工控安全防护技术在实际应用中“落地”,鼓励主要工控行业用户进行试点应用,并对那些实践证明已经成熟的技术和产品在全行业进行推广。
4.建立工控关键设备的安全测评机制,防止设备存在高危漏洞甚至是“后门”等重大隐患。
篇2
工业以太网技术由于开放、灵活、高效、透明、标准化等特点,越来越多的在工控控制系统中得到广泛应用。随着“两化融合”和物联网的普及,越来越多的信息技术应用到了工业领域。目前,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化控制作业,如:电力、水力、石化、交通运输、航空航天等工业控制系统的安全也直接关系到国家的战略安全。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业控制系统的信息安全敲响了警钟。最近几年,针对工业控制系统的信息安全攻击事件成百倍的增长,引发了国家相关管理部门和企业用户的高度重视。今年国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一。2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中更明确指出,有关国家大型企业要慎重选择工业控制系统设备,确保产品安全可控。现在,国内大型企业都把工业控制系统安全防护建设提上了日程。如何应对工业控制系统的信息安全,是我们在新形势下面临的迫在眉睫需要解决的现实问题。
2企业信息安全现状
目前,虽然国家和行业主管部门、国内企业集团等都开始重视工业控制系统的信息安全问题,并开始研究相应的对策,但还面临很多现实问题:(1)信息安全专责的缺失:国内信息安全专门型人才比较缺失,很多企业甚至没有专门负责信息安全的专员;(2)制度形式化:规范的管理制度作为工业控制系统信息安全的第一道“防火墙”,可以有效的防范最基础的安全隐患,可是很多企业的管理制度并没有真正落到实处,导致威胁工控系统信息安全的隐患长驱直入、如入无人之境进入企业系统内;(3)安全生产的矛盾现状:保证工业企业安全生产和正常运营是企业的首要目标,而信息安全的解决方案部署又会影响到企业的正常运营。因此,部分企业消极应对信息安全的部署。
3常见的信息安全解决方案
面对工业控制系统的信息安全现状,很多信息安全解决方案提供商提出了各自的安全策略,强调的是“自上而下”、注重“监管”和“隔离”的安全策略。由于企业内部产品、设备或资产繁多,产品供应商较多,“监管”系统无法“监视和管理”企业内部庞大的设备或资产,导致部分系统依然存在信息安全隐患。同时,这些解决方案部署时又面临投资比较大,定制化程度比较高等缺点。有的企业通过在企业系统内部部署“横向分层、纵向分域、区域分等级”的安全策略,构建“三层架构,二层防护”的安全体系。这些解决方案又面临着“安全区域”较大,无法避免系统内部设备自身“带病上岗”的现象发生。如何在企业内部高效部署信息安全解决方案,同时又不影响系统的正常运行,不增加企业的负担,同时又不增加将来企业维护人员的工作量,降低对维护人员的能力等的过渡依赖,是企业部署信息安全解决方案时面临的现实问题。
4符合国情的信息安全解决方案
针对这种现状,施耐德电气将原来“从上到下”的防御策略逐步完善为符合中国客户实际应用的、倡导以设备级防护优先,兼顾系统级和管理级防护的“自下而上”的三级纵深防御策略。其中,设备级防护是整个安全防护策略的核心和基础。
4.1设备级防护
企业内部的系统从管理层、制造执行层到工业控制层都是由不同的资产或者设备组成的,如果每个单体资产或者设备符合信息安全要求,做到防范基本的信息安全隐患。这些资产或者设备集成到企业系统中就可以避免“带病上岗”的现象,作为信息安全防护体系的最后一道“防火墙”可以有效的防范针对这些设备或资产的各种安全威胁。施耐德电气作为一家具有高度社会责任感的企业,积极推进构建安全、可靠的工业控制系统信息安全,率先在工业控制设备集成信息安全防护体系:(1)集成信息安全防护体系的昆腾PLC产品率先通过了国家权威信息安全测评机构的双重产品安全性检测,成为首家也是目前唯一通过并获得此类检测认可的PLC产品。在企业内已经运行的昆腾PLC可以通过升级固件的方式达到信息安全要求,大大的减少了企业在部署信息安全过程中的资金投入,还可以减少对技术人员技能的要求;(2)SCADAPack控制器内嵌的增强型安全性套件:IEEE1711加密和IEC62351认证以及时标等安全功能,最大化系统的安全性,确保远程通信链路不被恶意或其他通信网络干扰破坏,有效的提升了信息安全功能;(3)针对所有的控制系统还可以采用软件安全属性的辅助设置功能,如增加访问控制功能、增加审计和日志信息、增加用户认证和操作、采用增强型密码等措施,增强和加固工业控制系统的信息安全功能。
4.2系统级防护
主要是通过优化和重建系统架构,提升控制系统网络的可靠性和可用性,保证企业系统的“横向”、“纵向”、“区域”间数据交互的安全性。(1)施耐德电气的ConneXium系列工业级以太网交换机的MAC的地址绑定、VLAN区域划分、数据包过滤、减少网络风暴等影响保证了工业控制系统网络的可靠性和安全性;(2)ConneXium系列工业级防火墙产品可实现针对通用网络服务、OPC通讯服务的安全防护之外,还可实现所有工业以太网协议的协议包解析,有效的防范了威胁工业控制系统的安全隐患。同时,软件内置的针对施耐德电气所有PLC系列的安全策略组件以及模板模式大大增强了产品的可用性。
篇3
关键词:空管信息化;安全域;权值划分;信息安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)10-2222-03
Researches on Security Domain Distribution of ATC Information system
HAN Xuan-zong
(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)
Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.
Key words: ATC information; security domain; private allocate; information security
空中交通管制作为LRI(Life related industry)生死攸关行业的一种,在航班数量飞速增加的今天,日益面临着严峻的挑战;尤其是大量基础支撑性的空管信息系统的引入,尽管有效地提升了管制工作效率,但是空管信息系统的安全管理问题却越来越成为一个潜在的隐患。
在当前空管行业应用的各类空管信息系统当中,从包括自动化系统、航行情报控制系统在内的管制直接相关系统,到日常应用的班前准备系统、设备运维管理系统等,大都采用设置超级管理员用户口令的方式进行管理,此方式尽管便于实现对系统的配置和维护,但由于权限过大,使得其可以对空管信息系统中数据进行任意操作,一旦出现超级管理员误操作或外部黑客获取到超级管理员权限,都可能造成难以估量的严重后果。
安全操作系统设计原则中包括的“最小特权”和“权值分离”的安全原则,可以有效地解决这一问题。最小特权原则思想在于控制为主体分配的每个操作的最小权限;权值分离原则思想在于实现操作由专人执行同时由第三方用户进行监管。
最小特权和权值分离两大原则的共同使用,构建出了基于角色的访问控制(Role-Based Access Control,RBAC)安全策略模型[1]。RBAC作为对用户角色权限的一种高度抽象,同一角色用户仍然拥有同样的权限,但为了能够更好的体现最小特权原则,角色下用户的权限仍必须得到进一步的控制;DTE(Domain And Type Enforcement,DTE)策略模型实现了将空管信息系统的不同进程划分为不同的域(Domain),将不同类型的资源划分为不同的类型(Type),通过对域和类型的安全属性进行限制,来实现对用户权限的控制[2]。
该文在综合了RBAC安全策略模型和DTE策略模型的基础上,提出一种对空管信息系统进行分域管理的划分机制,该机制符合最小特权和权值分离原则,实现了对系统超级管理员的权限细分,通过对权限的划分,建立管理员―域―类型的相关对应关系,分散了由于超级管理员权限过大造成的安全风险。
1系统/安全/审计管理划分机制
在任何一个构建完善的管理体系运行当中,管理人员、管理行为审计人员、安全管理人员的角色都不可或缺。空管信息系统超级管理员的权限也应依据此原则进行划分[3]。在具体实现中,应结合DTE策略中对于域和类型的管理思想,采取二维访问控制策略,强化对空管信息系统完整性和数据安全性的保护;DTE策略通过对管理权限进行控制,阻止单一用户权限造成的恶意程序扩散等情况。通过系统管理、安全管理、审计管理三方面的协同制约,保护系统资源的安全性。
1.1基于MSA的管理机制
该文依据RBAC及DTE策略遵循的最小特权和权值分离原则,将空管信息系统中超级管理员权限进行细粒度(Fine-Grain)的划分,将其权限一分为三,即管理(Management)权限、安全(Security)权限、审计(Audit)权限,构建一套基于MSA的权限管理机制。使三类管理员只具备完成所需工作的最小特权,在单项管理操作的整个生命周期中,必须历经安全权限的设置、管理权限的操作、 审计权限的审核这一流程。该文通过设立独立的系统管理员、安全管理员、审计管理员,并为其设置独立的与安全域挂勾的安全管理特权集,实现了管理-安全域-类型的二维离散对应关系。具体而言,三类管理员主要承担了以下职责:
1)系统管理特权集:归属于系统管理员,包括系统相关资源的分配,系统软件的配置、维护等权限;
2)安全管理特权集:归属于安全管理员,包括系统内部安全策略的制订,安全阙值的设置等安全相关权限;
3)审计管理特权集:归属于审计管理员,包括对系统管理员和安全管理员操作记录的审计和审批,作为一个独立的第三方监督角色出现。
MSA管理机制将系统超级管理员的权限划分为三个相互独立又相互依存的独立环节,实现了系统特权的细粒度划分,强化了系统的安全属性。图1展示了三类管理员之间的具体关系:图1 MSA管理员协作流程
如图1所示,空管信息系统用户总是会提出一定的需求,并寻求通过系统得到相应的应用来解决面临的问题。在这一过程中,首先会由系统管理员针对用户需求,判断满足用户需要调用的相应资源,如功能域和资源的类型,同时生成解决方案,并将其提交至安全管理员处。
安全管理员在接收到系统管理员产生的解决方案后,即时的会依照相关规定要求,为解决方案制定对应的安全级别,并实施可行的安全策略。如解决方案能够较好地满足安全级别和安全策略的要求,即通过安全管理员的安全评估,为其施加安全策略。
解决方案历经系统管理员、安全管理员的制定、安全策略实施等步骤后,将生成应用提交至用户,由用户验证其需求是否得到满足。
审计管理员在整个过程中,将针对从需求提出至应用的所有环节进行监控,任何系统内部的操作均需经过审计管理员的审计和监督,审计管理员有权停止任何涉及到安全的异常操作。
通过上述模式的应用,将使得空管信息系统划分为由MSA三个管理员所共同管理的系统,也形成了三大管理员之间的制约机制。该机制的建立,有效地避免了超级用户误操作和黑客入侵可能造成的危害。同时权限的细分,也使得任何一名管理员在操作自身环节事务时,都需要其它管理员的协助,无法独立完成越权操作。如当系统管理员进行用户的删除时,此操作将依据安全管理员制定的安全策略确定为较危险操作,实施的结果将由审计管理员进行审核,在确保该行为是合理有效的情况下才能实施。
1.2 MSA管理体系安全域的划分
MSA管理体系的应用使得系统、安全、审计三类管理员之间相互协作,相互制约的关系成为可能,系统的安全性得到增强。而在MSA体系上应用安全域思想及类资源的设置,将进一步隔离域间的信息和资源流动,防范非法信息泄漏现像,确保数据信息的安全。
该文在MSA体系中灵活运用了安全域的思想,实现了对空管信息系统主体域的划分,同时将空管信息系统管理的资源分为了不同的类型资源,MSA通过建立安全域和类型资源之间的关联,实现了对域间信息流动的监控,通过对安全域规则的制定,使得系统用户只能访问到所属安全域内的安全类型资源。通过对用户安全域访问行为的控制,有效的防止了误操作、恶意操作可能造成的恶意信息流的传输,进而强化空管信息系统整体安全性。在空管信息系统遭遇病毒攻击的环境下,病毒本身具有自我复制和传染未遭感染区域的特性,通过对安全域的划分和安全域内类型资源的归并,能够有效的阻止病毒的无限制复制传播,病毒只能访问所属主体的安全域及相关资源,无法传播至安全域边界之外。当系统管理资源分散于多个不同安全域时,系统将有效避免形成整体瘫痪现象。
在空管信息系统中,根据需求通常可以把资源划分到不同的安全域,同一安全域还能依据资源归属的不同,细分为不同的子域,子域在拥有部分父域特性和资源的同时,具有自身特有的特性,子域的存在不仅强化了安全域的安全管理特性,还能够真实映射现实社会的组织结构关系。
2管理机制安全规则研究
本节给出了MSA管理机制的实施规则,按照这些规则,可以根据MSA原则实施空管信息系统的管理。系统中的资源主要由主体(a),客体(c)组成,用A表示主体的集合,B表示客体的集合,D表示域(d)的集合,P表示型(p)的集合,R为权限的集合,主体、域、客体权限之间的关系如下:
1)设函数dom_a(a),是定义在主体集合A上的函数,将主体a映射到相应的域。系统中的主体至少属于1个域,即:?a∈A,? dom_a(a)≠?∧dom_a(a)?D。
2)设函数type(b),是定义在客体集合B上的函数,将客体b映射到相应的型,系统中的客体至少属于1个型,即:?b∈B,? type(b)≠?∧type(b)?B。
3)若权限映射函数R_DT(d,p),为定义在域D和型P上的函数,将域d对型p的权限映射为集合的某个子集,即为域d对型p拥有特权的集合。
为有效避免超级用户的误操作和恶意程序的攻击,安全域间的信息流动必须得到有效的控制。在每个独立的信息流动需求发起的同时,必须同步进行安全信息的验证,确保信息不会对接收安全域的安全状态造成破坏,在不影响安全域安全的前提下,才接收该信息流。信息流在由主体操作产生的同时,必须对操作本身进行检查,在操作和信息流均处于安全状态时,可视系统为安全态。依据以下分析,可得出如下关于信息流动的规则:
规则1安全域隔离规则:为有效阻止恶意操作,安全域间信息流动必须处于受监控状态,实现对安全域中数据的保护。
不同安全域间存在着干扰性,而干扰性的存在又反映了不同域间的相互作用,合理的应用安全域隔离规则,对安全域间信息的流动进行监控,是实现安全域安全的一大前提条件。
规则2安全域访问规则:安全域内部主体对客体的访问,必须满足相应的访问控制规则,包括常见的只读、读写等。具体的访问规则包括如下几类:
只读规则:单纯采用读取形式取得客体中信息,对安全域中数据进行不操作的读取,有效保证数据的完整性和不可变更性,同时在利用了数字加密技术的基础上,还保证了数据的机密性只读需求。
只写规则:主体对安全域内客体只进行单纯写入操作,不允许读取安全域中原有数据,对于主体写入数据的读取可根据具体进行进行设置其是否具有读取权限。
读写规则:包括只读和只写规则的部分安全控制因素,但主体在受控的情况下,可向安全域中客体写入并读取信息,在满足机密性和完整性的基础上,允许主体对安全域内客体进行读写。
以上几条规则只涉及安全域内部读写规则,当需要实现安全域间访问时,需要结合规则1进行控制,对于安全域间的访问控制,既要考虑到主体自身的权限要求,也要考虑到安全域之间的规则控制和系统监管因素,只有经过配置的安全策略实施后,才能允许实现域间的访问。
规则3安全域间管理规则:安全域级别可分为父域和子域两类,子域继承父域的域内资源,但采取独立的安全策略机制管理,父域通过为子域配置相应的安全策略实现子域对父域资源的安全访问,保障父域自身的数据完整性和安全性。在父域和子域同时管理同一资源时,父域具有优先级(安全策略进行特殊配置除外)。管理规则的实施,在便于调用资源的同时,实现了资源的共享和优化,也一定程度上防止了资源共享可能产生的冲突和安全患。
3结束语
最小特权原则和权值分离原则作为安全操作系统的基础原则的内容,能够有效地应用于空管信息系统超级用户权限分离问题,该文提出的MSA管理机制,通过管理权限的划分、管理员主体安全域的归属和相关资源类型的划定,有效降低了管理员误操作、黑客入侵等可能带来的对系统的破坏。在MSA管理机制的基础上,安全域的引入和资源类型的划分,有效地阻隔了各安全域间信息和资源的流动,阻止了恶意信息流的传递,增强了空管信息系统的安全。该文下一阶段将把安全域之间的流动控制作为下一步的研究重点,进一步进行开展,力图实现对空管信息安全的不断强化。
参考文献:
[1]张德银,刘连忠.多安全域下访问控制模型研究[J].计算机应用,2008,28(3):633-636.
[2]付长胜,肖侬,赵英杰.基于协商的跨社区访问的动态角色转换机制[J].软件学报,2008,10(19):2754-2761.
[3]段立娟,刘燕,沈昌祥.一种多安全域支持的管理机制[J].北京工业大学学报,2011,37(4):609-613.
[4]周伟.机场信息化规划研究及应用[J].科技创新导报,2008(21).
篇4
关键词 会计电算化 安全控制 内部控制
会计电算化是从以电子计算机为主的当代电子和信息技术于会计工作中的简称,是采用电子计算机替代手工记账、算账、报账,以及对会计资料进行电子化分析和利用的记账手段。开展会计电算化工作,能有效的促进会计基础工作规范化,提高会计人员的工作效率和工作质量,并最终提高的效益。
电算化会计信息处理具有如下特点:以电子计算机为计算工具,数据处理代码化,速度快、精度高;数据处理人机结合,系统内部控制程序化、复杂化;数据处理自动化,账务处理一体化;信息处理规范化,会计存储磁性化;具有选择判断及作出合理决定的逻辑功能。
会计电算化后,由于软件完成了大部分数据处理工作,所以软件本身的数据安全非常重要。
1 会计电算化信息系统的安全威胁
1.1 非预期故障
非预期故障主要包括以下几个方面:不可控制的灾害;存储数据的辅助介质(如磁盘)部分或全部遭到破坏;非预期的、不正常的程序结束操作造成的故障;用户非法读取、执行、修改、删除、扩充和迁移各种数据、索引、模式、子模式和程序等,从而使数据遭到破坏、篡改或泄露;使用、维护人员的错误或疏忽。
1.2 计算机舞弊和犯罪
1.2.1 篡改输入或输出数据
数据有可能在输入计算机之前或输入过程之中被篡改。在数据的采集、记录、传递、编码、检查、核实、转换并最后进入计算机系统的过程中,任何与之有关的人员,或能够接触处理过程的人员,为了一己之欲或被人利用都有可能篡改数据。如虚构业务数据、修改业务数据、删除业务数据等。篡改输出数据,通过非法修改,销毁输出报表,将输出报表送给公司竞争对手利用终端窃取输出的机密信息等手段来达到作案的目的。
1.2.2 采用木马程序获取数据
在计算机程序中,非法地编进一些指令,使之执行未经授权的功能,这些指令的执行可以在被保护或限定的程序范围内接触所有供程序使用的文件。例如安置逻辑炸弹,即在计算机系统中适时或定期执行一种计算机程序,它能确定计算机中促发未经授权的有害件的发生件。
1.2.3 篡改程序和文件
一般情况下只有系统程序员和计算机操作系统的维修人员有可能篡改程序和文件。例如,将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资帐户中,表面上却看不出任何违规之处。又例如开发大型计算机应用系统,程序员一般要一些调式手段,编辑完毕时,这些手段应被取消,但有时被有意留下,以用来进行篡改程序和文件之用。此外,当计算机出现故障、运转异常时,修改或暴露计算。
1.2.4 非法操作
非法操作主要是通过非法手段获取他人口令或通过隐藏的终端进入被控制接触的区域从而进行舞弊活动。例如,从计算机中泄露数据,即从计算机系统或计算设施中取走数据。作案人员可以将敏感数据隐藏在没有的输出报告中,也可采用隐藏数据和没有问题的数据交替输出。如系统人员未经批准擅自启动现金支票签发程序,生成一张现金支票到银行支取现金。
1.2.5 其他方法
其他的方法如拾遗、仿造与模拟等等。拾遗是在一项作业完成之后,取得遗留在计算机系统内或附近的信息。仿造与模拟在个人计算机上仿造其他计算机程序,或对作案计划方法进行模拟实验,以确定成功的可能性,然后实施非法操作。此外,还可通过物理接触、电子窃听、译码、拍照、拷贝等方法来舞弊。
1.3 计算机病毒侵入
财务是会计电算化的一个趋势,网络是计算机病毒传播的一个重要途径,因此计算机病毒也是会计电算化安全的一大威胁。
2 会计电算化安全防范与控制
2.1 加强电算化法制建设
,由于法规的不健全使电算化犯罪的控制很困难,例如,对未经许可接触电算化信息系统或有关数据文件的行为,在许多国家上不认为是偷窃行为,因此就无法对拷贝重要机密数据的行为治罪。我们必须看到,对电算化会计信息系统的开发和管理,不能仅靠现有的一些法规,如会计法、会计准则等,因为会计电算化犯罪毕竟是高、新技术下的一种新型犯罪,为此制定专门的法规对此加以有效控制就很有必要。
电算化犯罪法制建设,可从三个方面入手:建立针对利用电算化犯罪活动的法律; 建立电算化系统保护法;加强会计人员的信用体系建设和职业道德。
2.2 完善内部控制系统
2.2.1 组织与管理控制
(1)机构和人员的管理控制。会计核算软件投入正式使用后,对原有会计机构必须做相应调整,对各类人员制定岗位责任制度。通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。
(2)实体安全控制。实体安全涉及到机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护。计算机机房应该符合技术要求和安全要求,应充分满足防火、防水、防潮、防盗、恒温等技术条件;机房应配有空调和消防设置等。对用于数据备份的磁介质存贮媒体进行保护时应注意防潮、防尘和防磁,对每天的业务数据备双份,建立目录清单异地存放,长期保存的磁介质存贮媒体应定期转贮。
(3)硬件安全控制。计算机关键性的硬件设备应采用双系统备份。此外,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS(不间断电源)、防辐射和防电磁波干扰等设备。
(4)安全控制。针对网络的特点,需加强以下几个方面的控制。① 用户权限设置:从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。② 密码设置:每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。③对重要数据加密:在网络中传播数据前对相关数据进行加密,接收到数据后作相应的解密处理,并定期更新加密密钥。④病毒的防范与控制:防范病毒最为有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,具体包括软件、软盘及计算机系统的采购和更新要通过计算机病毒检测后才可使用;专机专用,绝对禁止在工作机上玩游戏;建立软盘管理制度,同时防止乱拷贝软盘;安装防病毒卡和反病毒软件,定期检测并清除计算机病毒;采用网上防火墙技术等。
2.2.2 控制
(1)数据输入控制。输入控制的主要有:由专门录入人员、录入人员除录入数据外,不允许将数据进行修改、复制或其他操作;数据输入前必须经过有关负责人审核批准;对输入数据进行校对;对更正错误的控制等。
(2)处理控制。是指对计算机系统进行的内部数据处理活动(数据验证、计算、比较、合并、排序、文件更新和维护、访问、纠错等等)进行控制。处理控制是通过计算机程序自动进行的。其措施有:输出审核处理;数据有效件件验;通过重运算、逆运算法、溢出检查等进行处理有效性检测;错误纠正控制;余额核对;试算平衡等。
(3)数据输出控制。主要措施有:建立输出记录;建立输出文件及报告的签章制度;建立输出授权制度;建立数据传送的加密制度;严格减少资产的文件输出,如开支票、发票、提货单要经过有关人员授权,并经过有关人员审核签章。
2.2.3 充分发挥审计人员的作用
会计审计准则的建设是会计信息行业健康的重要步骤。企业信息系统的化和网络化使审计重点转向对明细信息的验证和对系统的复核验证,因此,审计人员还要加大传统的实物牵制、体制牵制、簿籍牵制力度,还要通过开展计算机系统的事前审计,对于内部控制系统的完善性系统的可审性及系统的合法性作出评价,以保证系统运行后数据处理的真实、准确、防止和减少舞弊行为的发生;通过定期的对计算机内部控制系统的审查与评价促进企业加强和完善内部控制;通过对计算机系统的事后审计,对系统的处理实施有效的监督。
1 李玉萍,尚英梅.浅谈会计电算化在实际工作中的应用[J].吉林师范大学学报(版),2003(2)
篇5
关键词:会计电算化 风险 安全控制
一、前言
在科技飞速发展的今天,电子信息技术即为会计电算化提供了机遇,也带来了挑战。会计电算化代替传统会计的手工的数据采集、处理和输出,减少了会计的劳动量,大大提高了劳动生产率,节约了成本。但是,有利必有弊,与传统手工会计相比,会计电算化的安全控制正将面临着严峻的挑战,如何加强会计电算化信息系统的安全控制,已经迫在眉睫。
二、会计电算化信息系统的防范措施
1.加强实体安全建设
一般来说实体安全是涉及到环境、技术、光和磁介质等因素,具体是指那部分有关于计算机机房内环境与技术规范以及光和磁介质特殊性数据存贮体保护及保存要求的统称。从本质上来说,实体安全控制更多的倾向于一种预防性控制。计算机机房应该符合安全要求和技术要求,需要有防潮、恒温、防火、防水以及防盗等环境条件。对于光、磁性备份数据的储存工作应当特别从注意防潮、防尘以及防磁这三个方面。
2.加强对会计电算化设备的安全控制
(1)弥补硬件的缺失
硬件设备是计算机运行所必不可少的核心部分,计算机会计系统也不例外,因此必须要充分保证会计电算化信息系统硬件设备的完善,但是基于自然和认为的原因,计算机硬件系统会存在固有缺陷。会计信息系统的硬件在设计、制造和组装过程中可能留下各种隐患,严重的影响了网络传输介质和服务器等硬件设施的稳定性和运行速度。
(2)减少软件的风险
软件系统为计算机的运行注入了新的活力,但对软件系统的不重视,极易产生安全隐患,严重的影响了会计电算化信息系统的安全,不容忽视。软件设计与安装阶段都会对信息系统造成隐患,如软件安全等级较低,在设计中的疏忽造成安全漏洞等;另外,软件使用的技术过于复杂引起实施者未恰当理解,也对信息系统造成威胁。笔者认为减少软件的风险可以从以下三个方面入手:
第一,充分检测软件与系统的兼容性和统一性,加强业务之间的衔接,尽可能统一的完成数据的自动核对、校验,数据备份。
第二,加强计算机系统的保密措施,减少人机对话,提高安全性。
第三,增强软件的自动跟踪能力,记录所有的非正常操作现象。
3.加强对内部岗位的牵制力
会计电算化信息系统的应用,大量的减少了操作人员的数量,计算机统一执行了各种业务,打破了传统手工会计与企业之间的管理模式,缺乏了那种以岗位分离的方式来实现各种业务环节的相互制约的牵制力。这是会计电算化信息系统的一个极大的隐蔽风险,因此必须要对内部岗位加强管理,使其相互监督制约,从源头上控制风险。
4.病毒的防范控制
病毒是计算机信息系统的严重威胁,而防范病毒最好的方式就是加强教育,提高预防意识,使病毒防范的管理制度能够严格的执行。在计算机软件更新时要先经过专业的计算机病毒检测,然后才能安装使用。而且要经常或定期性的由专业人士对计算机病毒进行检测与清除。并要加强网络防火墙建设,防止病毒的网络传播。
三、加强会计电算化信息系统处理过程中的安全控制
1.电力设备保障
在会计电算化处理过程中,极易发生意外,而这些意外往往是不可期其中断电便是其中之一,因此在发生停电或意外断电时,必须要保证电力的供应,避免数据的丢失。
2.对数据的备份
在系统正常运行过程中,要定时或不定时地进行数据备份,或由系统提供强制备份措施,只有经常进行数据的备份,才可能在数据发生丢失或损坏时,及时进行修复。否则,数据不能得到及时修复,对企业会造成不可弥补的损失。
3.数据输入、输出的控制
会计信息系统主要是由数据整理,数据输入,数据处理,数据通讯,数据保存,数据输出几个部分构成。在这些环节中分析出现风险的可能性,分析系统设计过程中是否在实现各个功能时嵌入相应的内部控制措施,嵌入的内部控制措施是否发挥作用,对于一些潜在的可预见风险是否在系统中采取预防措施,是否对不可预见风险的处理留有挽救的余地等对于加强会计电算化信息系统的安全又这什么重要的意义。在会计信息系统工作中,可以说,电子计算机信息系统处理数据的准确性与数据输入时的准确息相关,计算机的原始数据是先由人工事先进行审核和确认,然后在输入计算机内,如果输入错误,计算机数据处理必将出现偏差,因此,企业应该建立起一整套内部控制制度以便对输入的数据进行严格的控制,保证数据输入的准确性。而在数据输出过程中,由于计算机信息系统中磁性介质的可复制性,使会计资料极易泄露而不被发现,因此,对于数据输出的资料,不论是磁性文件还是打印资料,输出后均应立即受到严格管理,以防被人窃取或篡改,造成机密泄露,给企业带来不必要的损失。
四、结束语
会计电算化是电子信息技术在金融领域的具体应用,对企业的管理和企业的效益有着十分直观的影响。虽然会计电算化作为科技时代的新兴产物,与传统手工会计相比有着无可比拟的优越性但其风险也是大大提高了,可谓是基于与挑战并存,因此,我们要抓准机遇,迎接挑战,加强会计电算化信息系统的安全控制,是企业形成良性的管理模式,促进经济和谐发展。
参考文献:
[1]陈金仓.会计电算化软件应用[M].黑龙江人民出版社,2002.
[2]鲜军.企业实施网络财务的安全风险与对策[J].商业研究,2002,(2).
[3]耿文莉.谈会计电算化信息系统的安全控制问题[J].商业研究,2004(301)
篇6
关键词:医院 信息网络系统 风险控制
当今社会,人们获取信息的重要途径就是计算机网络,在计算机网络发展的同时也存在一些安全隐患,它不会通过安全的体系设计方案进行解决,比如非法访问用户账户、干扰计算机网络的正常运行、破坏数据的完整性,传播网络病毒,进行数据盗取等。医院要想计算机网络消除安全方面的隐患,需要先对影响计算机安全的因素有个大体的了解。下面就讲解了影响医院计算机信息网络系统安全的因素。
一、影响医院信息系统安全的因素
1.自身系统及软硬件的不稳定
医院信息网络系统不可避免的会出现安全漏洞。信息网络系统最容易出现漏洞的方面有调用RPC漏洞,缓冲区溢出漏洞。信息网络系统的数据库也比较容易受到攻击。信息网络系统出现的漏洞被利用后,可能会遭受远程攻击。应用软件具有一定的软件缺陷,这种缺陷可以存在于小程序中,也可以存在于大型的软件系统中。软件的缺陷导致了医院信息网络系统的安全风险。网络硬盘设备方面也存着在缺陷,网络硬盘作为信息传递中重要的硬件设备,在被人们使用的同时也存在着安全隐患,它包含的电磁信息泄露是主要的安全隐患。网络硬盘与计算机信息网络系统组成的不牢固也能造出计算机信息网络系统安全隐患。
2.网络病毒的恶意传播
现在网络病毒从类型上来分有木马病毒和蠕虫病毒。木马病毒采用的是后门启动程序,它往往会隐藏在医院计算机的操作系统中,对用户资料进行窃取。而蠕虫病毒比木马病毒更高级一些,它的传播可以通过操作系统以及软件程序的漏洞进行主动攻击,传播途径非常广泛,每一个蠕虫病毒都带有检查计算机电脑是否有系统及软件漏洞的模块,如果发现电脑含有漏洞,立刻启动传播程序传播出去,它的这一特点,使危害性比木马病毒大的多,在一台电脑感染了蠕虫病毒后,通过这个电脑迅速的传播到、该电脑所在网络的其他电脑中,电脑被感染蠕虫病毒后,会接受蠕虫病毒发送的数据包,被感染的电脑由于过多的无关数据降低了自己的运行速度,或者造成CPU内存占用率过高而死机。漏洞型病毒传播方法主要通过微软windows操作系统。由于windows操作系统漏洞很多或者用户没有及时的进行windows系统的自身更新,造成了漏洞型病毒趁虚而入,攻占医院的计算机电脑。计算机技术在更新换代,病毒技术也在发展变化,现在的网络病毒不像以前的计算机病毒,现在的病毒有的可以通过多种途径共同传播,比如集木马型病毒、漏洞型病毒于一体的新病毒混合体。该病毒对网络的危害性更大,处理查杀起来也比较困难。
3.人为恶意攻击
人为的恶意攻击是医院计算机信息网络系统面临的最大安全风险,人为的恶意攻击可以分为主动攻击和被动攻击,主动攻击是有选择的通过各种形式破坏信息网络系统的完整性和有效性;被动攻击是在不影响医院信息网络系统正常运行的情况下,进行数据信息的窃取、截获以及寻找重要的机密文件。它们都对医院的信息网络系统造成了巨大的危害。
二、保护医院信息系统安全的措施
1.建立防火墙防御技术
防火墙设计的理念是防止计算机网络信息泄露,它通过既定的网络安全策略,对网内外通信实施强制性的访问控制,借此来保护计算机网络安全。它对网络间传输的数据包进行安全检查,监视计算机网络的运行状态。一个完整的防火墙保护体系可以很好的阻止威胁计算机的用户及其数据,阻止黑客通过病毒程序访问自己的电脑网络,防止不安全因素扩散到电脑所在的局域网络。通过将用户电脑的使用账户密码设置的高级些,,禁用或者删除无用的账号,不定期进行账号密码的修改都可以很好的防止病毒侵入。由于网络入侵者的实时性、动态性,所以在计算机网络中防火墙软件要做到实时监控的要求。防火墙的实时监控技术通过过滤在调用前的所以程序,发现含有破坏网络安全的程序文件,并发出警报,对可疑程序进行查杀,将网络入侵者阻拦,使计算机免受其害。
2.采用特征码技术
目前的查杀病毒采用方法主流是通过结合特征码查毒和人工解毒。当搜查病毒时采用特征码技术查毒,在杀除清理的时候采用人工编制解毒技术。特征码查毒技术体现了人工识别病毒的基本方法,它是人工查毒的简单描述,按照“病毒中某一类代码相同”的原则进行查杀病毒。当病毒的种类和变形病毒有相关同一性时,可以使用这种特性进行程序代码比较,然后查找出病毒。但是描述特征码不能用于所有的病毒,许多的病毒很难被特征码进行描述或者根本描述不出来。在使用特征码技术时,一些补充功能需要一同使用,比如压缩包和压缩可执行性文件的自动查杀技术。
3.其他网络安全保护对策
加密技术通过将医院计算机信息网络系统的可读信息变为密文来保护网络安全。IP地址影响着用户的计算机网络安全,网络黑客通过特殊的网络探测手段抓取用户IP,然后对此发送网络攻击。对IP进行隐藏是指通过用户服务器上网,防止了网络黑客获取自己的IP。关闭电脑中不必要的端口也可以有效防范黑客的入侵,还能提高系统的资源利用率。对自己的账号密码进行定期、不定期的更改,然后设置账号密码保护问题,可以在第一道防线阻止网络黑客的入侵。及时更新计算机操作系统和应用软件可以有效避免漏洞病毒的侵入。安装知名的保护网络安全软件,对保护网络安全的软件进行及时更新。
总结
医院信息网络系统的安全与医院的经济效益息息相关。影响医院信息网络系统安全的因素是多方面的,网络病毒也在不断发展进化,面对这种严峻的形势,我们不能只采用单一的防范措施,而是采用多种保护医院信息网络系统安全的措施,相互协调,发挥优势,扬长避短,保证医院的信息网络系统在防范风险方面取得较好的效果。
参考文献:
[1]王鑫.关于医院网络环境下计算机安全的防范技术[J].计算机与数字工程,2009
[2]邓立新.加强医院中信息网络系统安全的思考[J].科技资讯,2008(26)
篇7
【关键词】 核电 工业控制系统 安全测试 风险评估 应对策略
【Abstract】 This paper illustrates the difference between ICS and IT system, the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country, an integrated protect strategy is proposed.
【Key words】 Nuclear power generation;Industrial control system ;Safety testing;Risk assessment;Protect strategy
1 引言
随着信息和通信技术的发展,核电领域工业控制系统(Industrial Control System,ICS)的结构变得愈发开放,其需求方逐渐采用基于标准通信协议的商业软件来代替自主研发的工业控制软件。这种趋势降低了最终用户的研发投入成本,同时,设备与软件的维护任务可以交给工业控制系统解决方案提供方,节省了人力维护成本。
ICS系统的联通特性在带来方便的同时也给核电工业控制系统安全防护提出了新的挑战,近年来,多个国家的ICS系统受到了安全威胁。为应对核电领域网络安全风险挑战,建立工业控制安全与核安全相结合的保障体系,本文从工业控制系统与信息系统的界定、核电信息安全与功能安全的区别、核电工业控制系统基本安全要求等方面阐述我国目前面临的核电信息安全形势,介绍了核电领域重要的信息安全事件,并总结了核电工业控制系统安全的应对策略。
2 工业控制系统与信息系统的界定
标准通信协议的引入使ICS具备了互联互通的特性,ICS与传统IT系统的界线似乎变得更加模糊了。然而,ICS系统与IT系统相比仍然具有很多本质上的差异。
美国问责总署(GAO)的报告GAO-07-1036[1]、美国国家标准技术研究院NIST SP 800-82[2]根据系统特征对IT系统和ICS系统进行了比较,IT系统属于信息系统(Cyber System),ICS系统属于信息物理融合系统(Cyber-Physical System)。下文将从不同角度说明两种系统的差异。
2.1 工业控制系统与信息系统的界定
模型和参考体系是描述工业控制系统的公共框架,工业控制系统被划分为五层结构,如图1。
第五层―经营决策层。经营决策层具有为组织机构提供核心生产经营、重大战略决策的功能。该层属于传统IT管理系统,使用的都是传统的IT技术、设备等,主要由服务器和计算机构成。当前工业领域中企业管理系统等同工业控制系统之间的耦合越来越多,参考模型也将它包含进来。
第四层―管理调度层。管理调度层负责管理生产所需最终产品的工作流,它包括业务管理、运行管理、生产管理、制造执行、能源管理、安全管理、物流管理等,主要由服务器和计算机构成。
第三层―集中监控层。集中监控层具有监测和控制物理过程的功能,主要由操作员站、工程师站、辅操台、人机界面、打印工作站、数据库服务器等设备构成。
第二层―现场控制层。现场控制层主要包括利用控制设备进行现场控制的功能,另外在第二层也对控制系统进行安全保护。第二层中的典型设备包括分散控制系统(DCS)控制器、可编程逻辑控制器(PLC)、远程终端控制单元(RTU)等。
第一层―采集执行层。现场执行层指实际的物理和化学过程数据的采集、控制动作的执行。本层包括不同类型的生产设施,典型设备有直接连接到过程和过程设备的传感器、执行器、智能电子仪表等。在工业控制系统参考模型中,现场执行层属于物理空间,它同各工业控制行业直接相关,例如电力的发电、输电、配电,化工生产、水处理行业的泵操作等;正是由于第一层物理空间的过程对实时性、完整性等要求以及它同第二、三、四层信息空间融合才产生工业控制系统特有的特点和安全需求[3]。
随着信息物理的融合,从广义来说,上述五层都属于工业控制系统;从狭义来说,第一层到第三层的安全要求及技术防护与其他两层相比具备较大差异,第一层到第三层属于狭义工业控制系统,第四层到第五层属于信息系统。
2.2 工业控制系统与信息系统的差异
从用途的角度来说,ICS属于工业生产领域的生产过程运行控制系统,重点是生产过程的采集、控制和执行,而信息系统通常是信息化领域的管理运行系统,重点在于信息管理。
从系统最终目标的角度来看,ICS更多是以生产过程的控制为中心的系统,而信息技术系统的目的是人使用信息进行管理。
从安全的角度来说,传统IT系统的安全三要素机密性、完整性、可用性按CIA原则排序,即机密性最重要,完整性次之,可用性排在最后;而工业控制系统不再适用于这一原则,其安全目标应符合AIC原则,即可用性排在第一位,完整性次之,机密性排在最后。
从受到攻击后产生的结果来说,工业控制系统被攻陷后产生的影响是巨大的,有时甚至是灾难性的:一是造成物质与人员损失,如设备的报废、基础设备的损坏、对人员的伤害、财产的损失、数据的丢失;二是造成环境的破坏,如水、电、气、热等人民生活资源的污染,有毒、危险物质的无序排放、非法转移与使用,公共秩序的混乱;三是造成对国民经济的破坏,如企业生产与经营中断或停顿、工人停工或失业,对一个地区、一个国家乃至对全球经济具备重要的影响;四是严重的则会导致社会问题和国家安全问题,如公众对国家的信心丧失、恐怖袭击等。
从安全需求的角度来说,ICS系统与IT的差异可以归纳为表1。
3 核电信息安全与功能安全的区别
功能安全(Functional Safety)是保证系统或设备执行正确的功能。它要求系统识别工业现场的所有风险,并将它控制在可容忍范围内。
安全相关系统的概念是基于安全完整性等级(SIL1到SIL4)的。它将系统的安全表示为单个数字,而这个数字是为了保障人员健康、生产安全和环境安全而提出的衡量安全相关系统功能失效率的保护因子,级别越高,失效的可能性越小。某一功能安全的SIL等级一旦确定,代表它的风险消减能力要求被确定,同时,对系统的设计、管理、维护的要求严格程度也被确定。信息安全与功能安全虽然都是为保障人员、生产和环境安全,但是功能安全使用的安全完整性等级是基于硬件随机失效或系统失效的可能性计算得出的,而信息安全的失效具有更多可能的诱因和后果。影响信息安全的因素非常复杂,很难用一个简单的数字描述。然而,功能安全的全生命周期安全理念同样适用于信息安全,信息安全的管理和维护也须是反复迭代进行的。
4 核电工业控制系统基本安全要求
我国核安全法规及政策文件主要包括《HAF001中华人民共和国民用核设施安全监督管理条例》、《HAF501中华人民共和国核材料管制条例》、《HAF002核电厂核事故应急管理条例》、《民用核安全设备监督管理条例 500号令》、《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)等;指导性文件主要有《HAD核安全导则》,与核电厂工业控制系统安全相关的有《HAF003 核电厂质量保证安全规定》、《HAD102-01核电厂设计总的安全原则》、《HAD102-10核电厂保护系统及有关设备》、《HAD102-14核电厂安全有关仪表和控制系统》、《HAD102-16核电厂基于计算机的安全重要系统软件》、《HAD102-17核电厂安全评价与验证》等导则,标准规范有《GB/T 13284.1-2008 核电厂安全系统 第1部分:设计准则》、《GB/T 13629-2008 核电厂安全系统中数字计算机的适用准则》、《GB/T 15474-2010 核电厂安全重要仪表和控制功能分类》、《GB/T 20438-2006 电气/电子/可编程电子安全相关系统的功能安全》、《GB/T 21109-2007 过程工业领域安全仪表系统的功能安全》[4]等。
然而,我国核电信息安全方面的标准与我国法律的结合不紧密。《RG 5.71核设施的信息安全程序》是美国核能监管委员会(NRC)参考联邦法规中对计算机、通信系统和网络保护的要求,针对核电厂而制定的法规,《RG 1.152核电厂安全系统计算机使用标准》是为保障用于核电厂安全系统的数字计算机的功能可靠性、设计质量、信息和网络安全而制定的法规,其所有的背景与定义均来源于联邦法规。而我国的相关标准仅是将RG 5.71中的美国标准替换为中国标准,且国内相关核电领域法规缺乏对信息安全的要求。
5 核电工业控制系统重要安全事件
5.1 蠕虫病毒导致美国Davis-Besse核电站安全监控系统瘫痪
2003年1月,“Slammer”蠕虫病毒导致美国俄亥俄州Davis-Besse核电站安全监控系统瘫痪,核电站被迫停止运转进行检修。经调查,核电站没有及时进行安装补丁,该蠕虫使用供应商被感染的电脑通过电话拨号直接连到工厂网络,从而绕过防火墙。
5.2 信息洪流导致美国Browns Ferry核电站机组关闭
2006年8月,美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击,当天核电站局域网中出现了信息洪流,导致反应堆再循环泵和冷凝除矿控制器失灵,致使3号机组被迫关闭。
5.3 软件更新不当引发美国Hatch核电厂机组停机
2008年3月,美国乔治亚州Hatch核电厂2号机组发生自动停机事件。当时,一位工程师正在对该厂业务网络中的一台计算机进行软件更新,该计算机用于采集控制网络中的诊断数据,以同步业务网络与控制网络中的数据。当工程师重启计算机时,同步程序重置了控制网络中的相关数据,使得控制系统误以为反应堆储水库水位突然下降,从而自动关闭了整个机组。
5.4 震网病毒入侵伊朗核电站导致核计划停顿
2010年10月,震网病毒(Stuxnet)通过针对性的入侵伊朗布什尔核电站核反应堆控制系统,攻击造成核电站五分之一的浓缩铀设施离心机发生故障,直接影响到了伊朗的核计划进度,严重威胁到的安全运营。该事件源于核电厂员工在内部网络和外部网络交叉使用带有病毒的移动存储介质。
5.5 无线网络引入的木马引发韩国核电站重要信息泄露
2015年8月,曾泄漏韩国古里核电站1、2号机组内部图纸、月城核电站3、4号机组内部图纸、核电站安全解析代码等文件的“核电反对集团”组织通过社交网站再次公开了核电站等机构的内部文件,要求韩国政府与该组织就拿到的10万多张设计图问题进行协商,并威胁韩国政府如不接受上述要求,将向朝鲜以及其他国家出售所有资料。本事件源于核电厂员工在企业内网和企业外部利用手机使用不安全的无线网络信号,被感染木马而引发。
6 核电工业控制系统安全应对策略
6.1 完善核电工业控制系统安全法规及标准
根据工信部协[2011]45l号文[5],工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施,明确了工业控制系统信息安全管理基本要求,即连接管理要求、组网管理要求、配置管理要求、设备选择与升级管理要求、数据管理要求、应急管理要求。核电行业主管部门、国有资产监督管理部门应结合实际制定完善相关法规制度,并参考《IEC 62443工业通讯网络 网络和系统安全》、《NIST SP800-82 工业控制系统安全指南》、《GB/T 26333-2010工业控制网络安全风险评估规范》、《GB/T 30976.1-2014 工业控制系统信息安全 第1部分:评估规范》、《GB/T 30976.2-2014工业控制系统信息安全 第2部分:验收规范》、《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》、《IEEE Std 7-432-2010 核电站安全系统计算机系统》制定适用于核电领域的工业控制系统安全标准。同时,部分企业对推荐性标准的执行力度不够,有必要出台若干强制性标准。
6.2 健全核电工业控制系统安全责任制
核电企业要按照谁主管按照谁负责、谁运营谁负责、谁使用谁负责的原则建立健全信息安全责任制,建立信息安全领导机构和专职部门,配备工业控制系统安全专职技术人员,统筹工业控制系统和信息系统安全工作,建立工业控制系统安全管理制度和应急预案,保证充足的信息安全投入,系统性开展安全管理和技术防护。
6.3 统筹开展核电工业控制系统安全防护
结合生产安全、功能安全、信息安全等多方面要求统筹开展工业控制系统安全防护,提升工业控制系统设计人员、建设人员、使用人员、运维人员和管理人员的信息安全意识,避免杀毒等传统防护手段不适用导致工业控制系统未进行有效防护、工业控制系统遭受外界攻击而发生瘫痪、工业控制系统安全可靠性不足导致停机事故、工业控制系统重要信息失窃密等风险。
6.4 建立核电工业控制系统测试管控体系
系统需求、设计、开发、运维阶段的一些问题会影响工业控制系统的安全可靠运行,因此有必要在系统需求设计、选型、招标、建设、验收、运维、扩建等阶段强化厂商内部测试、出厂测试、选型测试、试运行测试、验收测试、安全测试、入网测试、上线或版本变更测试等测试管控手段,提升系统安全性。
6.5 开展工业控制系统安全测试、检查和评估
企业要定期开展工业控制系统的安全测试、风险评估、安全检查和安全评估,以便及时发现网络安全隐患和薄弱环节,有针对性地采取管理和技术防护措施,促进安全防范水平和安全可控能力提升,预防和减少重大网络安全事件的发生。核电行业主管部门、网络安全主管部门要加强对核电领域工业控制系统信息安全工作的指导监督,加强安全自查、检查和抽查,确保信息安全落到实处。
综上所述,围绕我国核设施安全要求,完善核电信息安全法规标准,落实信息安全责任制,统筹开展安全技术防护,建立工业控制系统测试管控体系,定期开展安全测试和评估,是当前和今后核电领域开展工业控制系统信息安全保障的重要内容。
参考文献:
[1]David A. Multiple Efforts to Secure Control Systems Are Under Way, but Challenges Remain, GAO-07-1036 [R].Washington DC,USA:US Government Accountability Office(US GAO),2007.
[2]NIST SP800-82.Guide to Industrial Control Systems (ICS) Security [S].Gaithersburg, USA: National Institute of Standards and Technology (NIST),2011.
[3]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展 [J].清华大学学报,2012,52(10):1396-1408.
篇8
【 关键词 】 烟草;工业控制系统;信息安全;风险评估;脆弱性测试
1 引言
随着工业化和信息化进程的加快,越来越多的计算机技术以及网络通信技术应用到烟草自动化生产过程中。在这些技术提高了企业管理水平和生产效率的同时,也带来了病毒和恶意代码、信息泄露和篡改等网络信息安全问题。当前,烟草企业所建成的综合自动化系统基本可以分为三层结构:上层为企业资源计划(ERP)系统;中间层为制造执行系统(MES);底层为工业控制系统。对于以ERP为核心的企业管理系统,信息安全防护相对已经成熟,烟草企业普遍采用了防火墙、网闸、防病毒、防入侵等防护措施。而随着MES技术在烟草企业的广泛实施,越来越多企业开始考虑在底层的工业控制系统进行信息安全防护工作。近年来,全球工业控制系统经历了“震网”、“Duqu”、“火焰”等病毒的攻击,这些安全事件表明,一直以来被认为相对封闭、专业和安全的工业控制系统已经成为了黑客或不法组织的攻击目标。对于烟草企业的工业控制系统,同样也面临着信息安全问题。
与传统IT系统一样,在工业控制系统的信息安全问题研究中,风险评估是其重要基础。在工业控制系统信息安全风险评估方面,国外起步较早,已经建立了ISA/IEC 62443、NIST800-82等一系列国际标准和指南;而国内也相继了推荐性标准GB/T 26333-2010:工业控制网络安全风险评估规范和GB/T30976.1~.2-2014:工业控制系统信息安全(2个部分)等。当前,相关学者也在这方面进行了一系列研究,但国内外还没有一套公认的针对工业控制系统信息安全风险评估方法,而且在烟草行业的应用实例也很少。
本文基于相关标准,以制丝线控制系统为对象进行了信息安全风险评估方法研究,并实际应用在某卷烟厂制丝集控系统中,为后续的安全防护工作打下了基础,也为烟草工业控制系统风险评估工作提供了借鉴。
2 烟草工业控制系统
烟草工业企业生产网中的工控系统大致分成四种类型:制丝集控、卷包数采、高架物流、动力能源,这四个流程,虽工艺不同,相对独立,但它们的基本原理大体一致,采用的工具和方法大致相同。制丝集控系统在行业内是一种典型的工业控制系统,它的信息安全情况在一定程度上体现了行业内工业控制系统的信息安全状态。
制丝集控系统主要分为三层:设备控制层、集中监控层和生产管理层。设备控制层有工业以太网连接控制主站以及现场I/O站。集中监控层网络采用光纤环形拓扑结构,将工艺控制段的可编程控制器(PLC)以及其他相关设备控制段的PLC接入主干网络中,其中工艺控制段包括叶片处理段、叶丝处理段、梗处理段、掺配加香段等,然后与监控计算器、I/O服务器、工程师站和实时数据库服务器等共同组成了集中监控层。生产管理层网络连接了生产现场的交换机,与管理计算机、管理服务器等共同组成了生产管理层。
制丝车间的生产采用两班倒的方式运行,对生产运行的实时性、稳定性要求非常严格;如直接针对实际系统进行在线的扫描等风险评估工作,会对制丝生产造成一定的影响,存在影响生产的风险。而以模拟仿真平台为基础的系统脆弱性验证和自主可控的测评是当前制丝线控制系统信息安全评估的一种必然趋势。
3 工控系统风险评估方法
在风险评估方法中,主要包括了资产识别、威胁评估、脆弱性评估、综合评估四个部分,其中脆弱性测试主要以模拟仿真平台为基础进行自主可控的测评。
风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险评估模型主要包含信息资产、脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的后果。
3.1 资产识别
首先进行的是对实际生产环境中的信息资产进行识别,主要包括服务器、工作站、下位机、工业交换设备、工控系统软件和工业协议的基本信息。其中,对于服务器和工作站,详细调查其操作系统以及所运行的工控软件;对于下位机,查明PLC主站和从站的详细型号;对于交换设备,仔细查看其配置以及连接情况;对于工控系统软件,详细调查其品牌以及实际安装位置;对于工业协议,则详细列举其通信两端的对象。
3.2 威胁评估
威胁评估的第一步是进行威胁识别,主要的任务是是识别可能的威胁主体(威胁源)、威胁途径和威胁方式。
威胁主体:分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。
威胁途径:分为间接接触和直接接触,间接接触主要有网络访问、指令下置等形式;直接接触指威胁主体可以直接物理接触到信息资产。
威胁方式:主要有传播计算机病毒、异常数据、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。
威胁识别工作完成之后,对资产所对应的威胁进行评估,将威胁的权值分为1-5 五个级别,等级越高威胁发生的可能性越大。威胁的权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。等级5标识为很高,表示该威胁出现的频率很高(或≥1 次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过。等级1标识为很低,表示该威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
3.3 脆弱性测试
脆弱性评估需从管理和技术两方面脆弱性来进行。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现了其中的管理漏洞和不足。技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次,主要是通过远程和本地两种方式进行手工检查、工具扫描等方式进行评估,以保证脆弱性评估的全面性和有效性。
传统IT 系统的技术脆弱性评测可以直接并入到生产系统中进行扫描检测,同时通过交换机的监听口采集数据,进行分析。而对工控系统的脆弱性验证和测评服务,则以实际车间工控系统为蓝本,搭建一套模拟工控系统,模拟系统采用与真实系统相同或者相近的配置,最大程序反映实际工控系统的真实情况。评估出的模拟系统工控系统安全情况,经过分析与演算,可以得出真实工控系统安全现状。
对于工控系统主要采用的技术性测试方法。
(1)模拟和数字控制逻辑测试方法。该方法针对模拟系统中的控制器系统进行测试。采用如图1的拓扑形式,通过组态配置PLC输出方波数字信号和阶梯模拟信号,通过监测控制信号的逻辑以判别控制系统的工作状态。
(2)抓包测试方法。该方法可以对模拟系统中的各种设备进行测试。采用图2的拓扑形式,通过抓包方式,获取车间现场运行的正常网络数据包;将该数据进行模糊算法变异,产生新的测试用例,将新数据发送到测试设备上进行漏洞挖掘。该测试方法既不影响工作现场,又使得模拟系统的测试数据流与工作现场相同。
(3)桥接测试方法。该方法针对模拟系统中的工业通信协议进行测试。测试平台接收到正常的数据包后,对该数据包进行模糊算法变异,按照特定的协议格式,由测试平台向被测设备发送修改后的数据,进行漏洞挖掘测试。采用的拓扑形式就是图2中去除了虚线框中的内容后的形式。
(4)点对点测试方法。该方法针对通信协议进行测试。采用与图1相同拓扑形式,按照所面对的协议的格式,由测试平台向被测设备发送测试用例,进行健壮性的测试。
(5)系统测试方法。该方法对装有工控软件的被测设备进行测试。该方法采用如图3的拓扑形式,综合了前几种方式,在系统的多个控制点同时进行,模糊测试数据在不同控制点之间同时传输,对整个工业控制环境进行系统级的漏洞挖掘。
3.4 综合分析
在完成资产、威胁和脆弱性的评估后,进入安全风险的评估阶段。在这个过程中,得到综合风险评估分析结果和建议。根据已得到的资产、威胁和脆弱性分析结果,可以得到风险以及相应的等级,等级越高,风险越高。
4 应用实例
本文以某卷烟厂制丝车间的制丝集控系统为例进行风险评估研究。
4.1 资产识别
首先对该制丝集控系统进行了资产的识别,得到的各类资产的基本信息。资产的简单概述:服务器包括GR 服务器、监控实时服务器、AOS 服务器、文件服务器、管理应用服务器、管理数据库服务器和管理实时服务器等;工作站包括工程师站、监控计算机和管理计算机;下位机包括西门子PLC S7-300、PLC S7-400 和ET200S;网络交换设备主要以西门子交换机和思科交换机为主;工控系统软件主要有Wonderware 系列软件、西门子STEP7、KEPServerEnterprise等。
4.2 威胁评估
依据威胁主体、威胁途径和威胁方式对制丝集控系统进行了威胁的识别,随后对卷烟厂制丝集控系统的威胁分析表示,面临的威胁来自于人员威胁和环境威胁,威胁方式主要有计算机病毒、入侵等。其中等级较高的威胁(等级≥3)其主体主要是互联网/办公网以及内部办公人员威胁。
4.3 脆弱性评估
搭建的模拟系统与真实网络层次结构相同,拓扑图如图4所示。
基于工控模拟环境,对设备控制层、工控协议、工控软件、集中监控设备进行评估。
对设备控制层的控制设备通讯流程分为五条路径进行归类分析,即图4中的路径1到5,通信协议均为西门子S7协议。一方面采用模拟和数字控制逻辑测试方法以及抓包测试方法对控制器进行测试,另一方面采用桥接测试方法对S7协议进行漏洞挖掘,结果表明结果未发现重大设备硬
件漏洞。
除了S7 协议外,图4中所标的剩余通信路径中,路径6为OPC协议,路径7为ProfiNet协议,路径8为ProfiBus协议,路径9为Modbus TCP协议。对于这些工控协议,采用点对点测试方法进行健壮性测试,结果发现了协议采用明文传输、未对OPC端口进行安全防范等问题。
采用系统测试方法,对装有工控软件的以及集中设备进行测试,发现了工控软件未对MAC 地址加固,无法防止中间人攻击,账号密码不更新,未进行认证等数据校验诸多问题。
然后对制丝集控系统进行的脆弱性分析发现了两个方面的问题非常值得重视。一是工控层工作站可通过服务器连通Internet,未进行任何隔离防范,有可能带来入侵或病毒威胁;攻击者可直接通过工作站攻击内网的所有服务器,这带来的风险极大。二是工控协议存在一定威胁,后期需要采取防护措施。
4.4 综合评估
此次对制丝集控系统的分析中,发现了一个高等级的风险:网络中存在可以连接Internet的服务器,未对该服务器做安全防护。还有多个中等级的风险,包括网络分域分区的策略未细化、关键网络设备和业务服务器安全配置不足、设备存在紧急风险漏洞、工控协议存在安全隐患、PLC 应用固件缺乏较完善的认证校验机制等。
4.5 防护建议
根据制丝集控系统所发现的风险和不足,可以采取几项防护措施:对于可连到Internet的服务器,采用如堡垒机模式等安全防护措施,加强分区分域管理;对主机设备和网络交换机加强安全策略,提高安全等级;对存在紧急风险漏洞的设备,及时打补丁;对于工控协议存在的安全隐患,控制器缺乏验证校验机制等风险,采用工业安全防护设备对其检测审计与防护阻断。
5 结束语
随着信息化的不断加强,烟草企业对于工业控制系统信息安全越来越重视,而风险评估可以说是信息安全工作的重要基础。本文提出基于模拟系统和脆弱性测试的风险评估方法,采用资产识别、威胁评估、以模拟系统评测为主的脆弱性评估、综合评估等步骤,对烟草制丝线控制系统进行信息安全风险评估。而在脆弱性测试中采用了模拟和数字控制逻辑测试、抓包测试、系统测试等多种方法,对工业控制系统技术上的脆弱性进行测试。这些步骤和方法在某卷烟厂的制丝集控系统应用中取得了良好的成果:发现了工控系统中存在的一些信息安全问题及隐患,并以此设计了工业安全防护方案,将工控网络风险控制到可接受范围内。
本次所做的烟草工业控制系统信息安全风险评估工作,可以为同类的烟草企业工控信息安全防护建设提供一定的借鉴。但同时,也要看到,本次的风险评估工作中对于风险等内容的定级对于经验的依赖程度较高,不易判断,这也是以后研究的方向之一。
参考文献
[1] 李燕翔,胡明淮.烟草制造企业工业控制网络安全浅析[J].中国科技博览,2011,(34): 531-2.
[2] 李鸿培, 忽朝俭,王晓鹏. 2014工业控制系统的安全研究与实践[J]. 计算机安全,2014,(05): 36-59,62.
[3] IEC 62443―2011, Industrial control network &system security standardization[S].
[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工业控制网络安全风险评估规范[S].
[6] GB/T 30976.1―2011, 工业控制系统信息安全 第1部分:评估规范[S].
[7] GB/T 30976.2―2011, 工业控制系统信息安全 第2部分:验收规范[S].
[8] 卢慧康, 陈冬青, 彭勇,王华忠.工业控制系统信息安全风险评估量化研究[J].自动化仪表, 2014 (10): 21-5.
[9] 彭杰,刘力.工业控制系统信息安全性分析[J].自动化仪表, 2012, 33(12): 36-9.
作者简介:
李威(1984-),男,河南焦作人,西安交通大学,硕士,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:信息安全与网络管理。
汤尧平(1974-),男,浙江诸暨人,浙江中烟工业有限责任公司,工程师;主要研究方向和关注领域:烟草生产工业控制。
篇9
关键词:电力系统;计算机网络;信息安全;防护策略
引言
近年来,随着科技的飞速发展,互联网技术被应用于各个领域之中,互联网技术给人们日常生活与工作都带来了极大的便利。信息技术在电力系统之中的应用,可以提升对电力系统的管理工作效率,降低电力系统的管理难度。随着城市的发展,生活、生产用电量不断增长,这也造成了电力系统规模的不断扩大,为了确保电力系统的稳定运行,对网络信息技术的依赖性也越来越大。但是,网络信息技术中存在着信息安全问题,不能做好对计算机网络信息安全方面的防护工作,就会影响电力系统的顺利运行。
1计算机网络信息安全对电力系统的影响
计算机网络信息技术可以提升信息资源的利用效率,提高资源的共享能力,提升信息数据的传输效率。将计算机网络信息技术应用在电力系统之中,就能利用网络信息技术的优势,提高电力系统的输电、用电效率,有利于降低输电过程中的电能消耗。但是,基于计算机网络信息技术建立起的管理系统,很容易受到来自网络的黑客攻击或病毒侵害,如果不能给予相应的防护措施,电力系统中的相关数据就会受到严重损害,系统故障也会造成电力系统的运行故障。因此,电力系统利用计算机网络信息技术提高工作效率的同时,还必须重视起计算机网络信息安全问题,建立相应的防护系统,这样才能避免对电力系统造成的损害。
2电力系统中计算机网络信息安全的常见问题
2.1计算机病毒
计算机病毒是计算机网络信息安全中的常见问题之一,当计算机系统感染病毒,计算机病毒就会破坏系统中的程序数据,一些病毒也会损坏文件数据的完整性,这就会导致电力系统中的重要信息丢失,影响控制系统的正常运行。另外,一些危害较大的计算机病毒具有自我复制能力,随着系统软件的每次运行,病毒程序就会加以复制,进而加大计算机病毒的查杀难度,也会提升病毒对系统的破坏性。目前,电力系统中有大量基于计算机网络信息技术的监测、控制系统,当作为控制平台的计算机受到病毒入侵,系统稳定性就会受到影响,严重者就会出现电力系统的运行故障,不仅影响着正常供电,运行故障也会给电力系统的设备造成损害。
2.2黑客入侵
随着电力系统规模的扩大,在电力系统中使用的控制平台也从局域网络环境转为互联网环境,外网的使用就会加大受到黑客入侵的风险。黑客入侵会造成电力系统控制权的丧失,黑客入侵后,会利用电力系统中的安全漏洞,进而干扰电力系统的管控工作,同时也会造成重要信息数据的丢失。如果被黑客窃取的数据资料流入市场,也会让电力企业出现重大经济损失,进而扰乱电力市场,不仅危及着电力系统的运行安全,也干扰这社会秩序的稳定。
2.3系统本身的漏洞
利用计算机网络信息技术建立的监测、控制平台,需要定期进行版本的更新,不仅可以完善系统平台的功能性,也是对现存系统漏洞的修补。系统平台不能定期更新、维护,就会更容易被黑客侵入,也会提升系统报错的发生几率,影响系统的稳定性。如表1所示。
3电力系统工作方面中的不足
在电力系统中,工作人员操作相关软件系统时,也存在一些问题,这也会增加网络信息安全隐患。一些电力企业对网络信息安全的重要性并没有形成深刻的认识,网络安全问题对电力系统的危害没有引起领导层的重视,单纯的做好了计算机网络建设,并没有加入对网络信息安全方面的防护措施。另外,在使用中,许多工作人员缺乏计算机方面的专业知识,缺乏网络安全意识,就加大了日常工作行为造成网络安全问题的几率。工作人员缺乏相应的用网安全知识,随意进行网络浏览或插接带有病毒的硬件,这就会对网络信息安全造成威胁,严重者导致整个控制系统的瘫痪。另外,我国政府在对电力系统网络安全方面的管理制度也存在不足,缺少相关的法律法规加以约束,制定的法律法规中没有统一明确的标准,对现有问题的涉及范围较小,不能完全覆盖所有网络信息安全问题,这也就降低了法律法规的警示作用。
4电力系统网络信息安全的具体防护策略
4.1加装杀毒软件
在使用计算机和进行网络浏览的过程中,杀毒软件是保护计算机网络信息安全的重要工具。因此,在电力系统网络信息安全管理工作中,必须确保电力系统中的监测控制系统均要安装杀毒软件。可以根据电力系统实际情况来选择杀毒软件的类型,在日常管理中,工作人员要定期进行对计算机系统的查毒、杀毒操作,确保每名工作人员都掌握杀毒操作的方法,学习安全浏览网络、使用硬件的方法。要对工作人员加以培训,提升工作人员对网络信息安全的认识水平,对未知软件、邮件的阅读、安装提示加以防范,及时的查杀、删除,网络上挂载的文件也要慎重下载,尽量登录正规网站,减少未知网站的阅览。目前市场上常用的杀毒软件可参考表2。
4.2引用相关计算机网络防护技术
在电力系统的控制系统平台之中,还可以为相关软件加入网络信息安全技术,可以利用防火墙技术对外网与内网之间架设一道网络安全防护,进而减少外网环境中不安全因素对系统的入侵,提升用网安全性,加强对系统高危漏洞的修复,也能有效减少黑客、病毒对系统安全的危害。在电力系统控制端架设防火墙,通过防火墙限制用户数量,可以有效的避免黑客的入侵,进而防止电力系统控制权限被他人盗用。另外,在软件系统中也可以加入其它网络安全产品,例如VPN系统、文档加密系统、电子秘钥等安全产品,这样可以有效减少计算机网络信息方面的安全隐患,避免对电力系统正常运行的影响。相关网络安全防护措施如表3所示。
篇10
目前ICS广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过80%的涉及国计民生的关键基础设施依靠ICS来实现自动化作业,ICS安全已是国家安全战略的重要组成部分。
近年来,国内工业企业屡屡发生由于工控安全导致的事故,有的是因为感染电脑病毒,有的是因为TCP/IP协议栈存在明显缺陷,有的是由于操作间员工违规操作带入病毒。比如,2011年某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度的中断。又如,2014年某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件,带入病毒在控制网扩散。还有一个案例是,江苏某地级市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
ICS安全事故频发,引起了相关各方和国家高层的重视。2014年12月,工控系统信息安全国家标准GB/T30976-2014首次,基本满足工业控制系统的用户、系统集成商、设备生产商等各方面的使用。国家标准的,极大地促进了工控系统信息安全的发展。
我国ICS网络安全发展现状
据工信部电子科学技术情报研究所数据显示,2012年,中国工业控制系统信息安全市场已达到11亿元,未来5年仍将保持年均15%的增长速度。而据工控网的预测,中国工业网络安全市场有望在2015年达到超过20亿元的规模,并以每年超过30%的复合增长率发展。
从行业来看,油气、石化、化工、电力、冶金、烟草为核心应用行业,其他行业规模相对较小。石化行业在工控安全方面走在所有行业的前列。从2009年开始,石化行业开始部署加拿大多芬诺公司的工控防火墙,主要用在OPC防护场景。燕山石化、齐鲁石化及大庆石化等多家国内大型石化企业都有较多部署。电力行业的网络安全主要基于《电力二次系统安全防护规定》、《电力二次系统安全防护评估管理办法》、《电力行业工控信息安全监督管理暂行规定》以及配套文件等电力工控信息安全各项规定和要求,其对于真正意义上的工控安全的项目实施,基本还处于探索阶段。目前实际的动作是在全网排查整改某品牌PLC、工业交换机的信息安全风险,并开展其它工控设备信息安全漏洞的检测排查工作,对发现的安全漏洞进行上报处理。冶金行业目前已开始进行工控安全的实地部署,由于冶金行业大量采用了西门子、罗克韦尔、ABB、TEMIC(东芝三菱)、Yaskawa(日本安川)等国外品牌的PLC,因此冶金行业对于PLC的安全防护非常重视。
工控安全厂商分析
工控安全厂商作为市场中最主要的、最活跃的推动力量,在工控安全市场中扮演着非常重要的角色。其中以有工控背景的信息安全厂商为主,传统的IT类信息安全供应商介入速度加快。
力控华康, 脱胎于力控集团,借助多年积淀的工业领域行业经验,以及工控行业监控软件和工业协议分析处理技术,成功研发出适用于工业控制系统的工业隔离网关pSafetyLink、工业通信网关pFieldComm和工业防火墙HC-ISG等系列产品,受到市场的广泛认可。
海天炜业,即青岛多芬诺,作为从2009年即在中国市场推广工业防火墙的行业先驱,在多年的市场积累中,彻底脱胎换骨,从一家传统的自动化系统维保公司成功转型为一家专业的工控网络安全解决方案提供者;尤其是在2014年4月22日的新一代自研“Guard”工业防火墙,受到行业一致好评。
中科网威,作为参与过中国多项网络安全国标编写的厂商,凭借多年对用户需求的潜心研究,推出了拥有软硬件完全自主知识产权自主品牌“ANYSEC”,ANYSEC系列产品包括IPSEC/SSL VPN、流控管理、上网行为管理、中科网警、联动数字平台等多功能的IT安全网关产品,获得广大用户的一致好评。
三零卫士,是中国电子科技集团公司电子第三十研究所下属企业,在2014年成功推出了自研的工控防火墙,同时也推出了自己的“固隔监”整体工控安全防护体系,得到了行业内外的广泛关注。
ICS存在网络安全问题的根源及安全防护
研究发现,我国ICS存在网络安全问题的根源主要是以下几点:
第一,缺乏完整有效的安全策略与管理流程。经研究发现,ICS以可用性为第一位,追求系统的稳定可靠运行是管理人员关注的重点,而把安全性放在次要的地位。这是很多ICS存在的普遍现象。缺乏完整有效的安全策略与管理流程是当前我国ICS的最大难题。很多ICS实施了安全防御措施,但由于管理或操作上的失误,如移动存储介质的使用等,仍然会造成安全事故。
第二,工控平台比较脆弱。目前,多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制。而且,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是,工业控制系统的补丁管理效果始终无法令人满意。同时,工业系统补丁动辄半年的补丁周期,也让攻击者有较多的时间来利用已存在的漏洞发起攻击。
第三,ICS网络比较脆弱。通过以太网技术的引入让ICS变得智能,也让工业控制网络愈发透明、开放、互联,TCP/IP存在的威胁同样会在工业网络中重现。当前ICS网络的脆弱性体现在:边界安全策略缺失、系统安全防制机制缺失、管理制度缺失、网络配置规范缺失、监控与应急响应制度缺失、网络通信保障机制缺失、无线网络接入认证机制缺失、基础设施可用性保障机制缺失等。
为解决网络安全问题,我们建议:
第一,加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对性的解决方案和安全保护措施。
第二,尽可能采用安全的通信协议及规范,并提供协议异常性检测能力。
第三,建立针对ICS的违规操作、越权访问等行为的有效监管。
第四,建立完善的ICS安全保障体系,加强安全运维与管理。
