关键词:电力监控系统;;定期培训
计算机监控系统是电力系统的重要组成部分,其对于电力系统的安全可靠运行具有比较重要的作用,但是现阶段,电力企业在发展的过程中,其计算机监控系统会由于多种原因出现运行不畅的问题,而无法安装安全防护软件,甚至不能升级其中相关操作系统,这也是多数发电企业电力监控系统运行的过程中都存在的安全隐患问题。。
1电力监控系统现阶段安全问题
1.1技术管理方面的问题
电力监控系统现阶段存在安全防护技术管理方面的问题,主要包含分区错误和跨区并联等,首先是分区错误的问题,这一问题的发生,主要是由于电力监控系统本身具有复杂性和多样性等特点,使得系统确定安全等级时存在一定困难,并且这一过程的成本比较多,在系统论角度下,需要将其中具备有不同特性以及的系统进行相关的安全程度分区处理,针对性确立安全防护策略,促使其能够达到不同等级的安全防护的具体要求。但是确立电力监控系统的安全防护体系时,在初期的规划工作以及建设的过程中,往往由于对网络的重视程度不足而造成在建设完成后出现设备和系统分区时定义等错误情况[1]。跨区并联主要是在对生产控制区域相对比较大和管理信息范围比较大的区域设置单项安全隔离装置等,而在一些控制区域、非控制区域之间使用防火墙等系统实施相应的访问控制工作,促使实现逻辑隔离的效果。在通常情况下,安全等级较低的系统在将数据传输到等级高的系统时,需要实施反向隔离传输,也需要对其传输的数据进行加密处理,在现阶段的网络安全防护系统建设的过程中,人们在网络安全方面的防护意识相对比较薄弱,其中监控系统存在有跨区互联等现象。
1.2运行管理方面的问题
在建设和实际管理电力监控系统的安全防护体系时,也存在一定的问题,首先是其中存在着数据明文管理的现象,密码口令泄漏时,就会造成防护系统整体失去防护能力。其次,电力监控系统运行管理账和拓扑图等方面的内容和实际情况不符合,在出现系统故障问题或者出现系统异常时,不能够在第一时间内寻找故障的源头,使得设备的风险难以得到控制。同时其中也包含其他方面的问题,在运行管理的过程中,机房准入制度不健全,在防范系统物理入侵等现象时有效性较低,没有比较完备的系统备份制度,促使系统在管理的过程中,由于受到袭击而难以及时恢复。
2安全管理系统体系结构
在设计安全管理系统之前,需要详细了解电力监控网络安全管理系统的结构内容,这是在电力监控网络中进行有效访问和控制的基础内容,其中分布式电力监控网络在运行的过程中,其安全管理系统的体系结构中主要包含权限管理和安全服务等内容,每一个方面的内容都能够作为比较的组件经过有效设计得以实现。权限管理在具体实施时,主要包含角色管理和用户管理两个方面的内容,而安全服务主要能够实现身份认证、权限检查以及安全审计等方面的功能,所有功能都需要数据支撑。数据服务能够在权限管理中提供所需要的工程资源数据等,数据服务是权限管理中的基础部分,角色管理和用户管理等在实施过程中,主要负责的是组态管理和监控工程的角色等方面的任务[2]。在实施组态管理之后,需要将组态结果存储于权限数据库,需要管理员进行相关的权限管理操作,也需要在监控其他子系统时进行身份认证,审查其权限内容,并且实施安全审计处理,审计的结果需要保存在数据库中,使得这些数据能够在之后的管理中提供必要的依据。安全管理系统在运行时,其主要是采用基于角色访问控制的原理,根据实际的情况进行具体删减处理。
3保证电力监控系统网络安全的措施
3.1提升安全防护人员的综合素质
。电力监控系统网络安全维护,对维护人员的要求不断提升,不仅需要在选拔维护人员时选择比较优秀的人员,同时也需要对相关的安全维护人员进行定期培训和定期检查,对这些人员实施绩效考核,促使电力监控系统网络安全维护人员在开展具体维护工作的过程中,能够具有比较充足的技术能力处理维护中遇到的相关问题。
3.2加大生产控制大区拨号访问控制力度
。
4结语
电力监控系统是电力安全生产系统中相对比较重要的内容,这一部分内容能够有效促使电力系统安全有效运行,在电力监控系统运行管理时,不仅需要建设相关的安全防护体系,同时也需要建立相关的网络安全管理制度,只有在技术实施时,具有比较规范化的管理内容对其加以规范化管理,才能够有效促使发电企业的电力监控系统的运行更加安全稳定、可靠高效。
参考文献
[1]章伟华.电力监控系统网络安全防护探讨[J].信息记录材料,2017,18(6):46-47.
[2]高夏生,黄少雄,梁肖.电力监控系统安全防护要素[J].电脑知识与技术,2017,13(8):212-214,222.
[关键词]烟草企业;网络安全防护;体系建设
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
近年来,随着计算机技术的快速发展,人们的衣、食、住、行都与网络息息相关。信息化为人们的生产生活带来极大的便利,与此同时,计算机和网络也存在较多的安全隐患,影响着人们的信息安全。本文从计算机及网络的管理与安全防护出发,先阐述了计算机及网络安全,然后分析了计算机及网络管理中存在的问题,最后提出了加强计算机及网络安全防护的具体措施。
【关键词】计算机 安全防护 管理 网络
1 计算机及网络安全
所谓计算机及网络安全,它指的是人们通过监控网络管理的手段,或者是采取相关的安全防护技术方法,保证某一个网络环境中,用户数据保持完整,且用户的隐私可以得到有效的保护,避免信息泄露现象的发生。总的来说,计算机及网络安全包括两个方面的内容,一方面是物理安全,即计算机系统设备及相关的设施可以得到良好保护,从而不被损坏;另一方面是逻辑安全,即保障计算机及网络上的信息完整,具有良好的保密性能。
2 计算机及网络管理中存在的问题
。
2.1 计算机自身因素
。其一,计算机具有开放性特点,那么计算机在进行信息储存、处理、传输等过程中,极容易受到不安全因素的干扰,从而导致信息泄密。其二,通信协议方面的问题。目前计算机通信协议上存在较多的漏洞,从而给那些网络攻击者以可乘之机,给计算机运行埋下安全隐患。其三,计算机操作系统方面的问题。从计算机操作系统按安全情况来看,现状还比较令人担忧,存在访问控制混乱、安全违规操作等方面的问题,这些都给计算机及网络管理带来严重的威胁。
2.2 人为因素
。第一,计算机及网络管理者缺乏安全意识,很多人的网络信息安全意识比较薄弱,或者是根本没有意识到信息网络存在的威胁,存在侥幸心理,认为没有必要采取安全防护措施。第二,网络黑客的恶意攻击。社会上目前存在很多的黑客,他们运用各种计算机病毒、技术手段等对计算机及网络进行攻击,或是非法访问、窃取、篡改计算机信息,或是造成网络通信系统瘫痪等,这些都使得计算机及网络的安全受到严重威胁。
3 加强计算机及网络安全防护的具体措施
计算机及网络安全威胁会严重影响用户的信息安全。。
3.1 提高人们的计算机及网络安全意识
人们在使用计算机及网络时,一定要提高认识,意识到计算机及网络中潜在的多种威胁,在平时的操作中提高警惕,养成良好的上网习惯。;平时养成良好的病毒查杀习惯,防止某些计算机病毒利用漏洞来攻击电脑,带来不必要的麻烦。这里需要有关人员加强宣传。比如在企业中,领导要加强员工的安全意识,举办信息安全技术培训,向大家介绍计算机及网络安全的重要性,避免侥幸心理,确保信息安全。
3.2 运用多种技术手段
。
3.2.1 防火墙技术
防火墙技术是目前大家比较常用的一种计算机及网络安全防护技术,它的实现手段非常灵活,既可以通过软件来实现,又可以借助硬件来完成,还可以将硬件和软件有机结合起来达到有效保护计算机及网络安全的目的。
3.2.2 网络入侵检测技术
计算机及网络中存在很多的网络入侵行为,造成计算机信息泄露。针对这种行为,人们就可以充分运用网络入侵检测技术,有效保障计算机及网络安全。这种技术一般又称作网络实时监控技术,主要是通过相关软件(或者硬件)对被保护的网络数据流进行实时检查,然后将检查的结果与系统中的入侵特征数据进行比对,如果发现两者的结果一致,则存在计算机及网络被攻击的迹象,这时候计算机就会参照用户所定义的相关操作作出反应,比如马上切断网络连接,防止计算机病毒的传播;或者是直接通知安装在计算机上的防火墙系统,调整计算机访问控制策略,过滤掉那些被入侵的数据包等,从而有效保证计算机及网络的安全。因此,人们可以通过采用网络入侵检测技术,可以有效识别网络上的入侵行为,然后采取相关措施加以解决。
此外,人们还可以运用数据加密技术、黑客诱骗技术、网络安全扫描技术等,从而有效保障计算机及网络安全。
4 结束语
综上所述,计算机及网络管理中存在一些问题,既有计算机自身方面的因素存在,也存在很多人为因素。为了有效保障计算机及网络安全,人们必须要提高计算机及网络安全防护意识,进一步加强制度建设,综合运用多种技术手段,营造良好的网络环境,保证计算机技术的良好发展。
参考文献
[1]特日格乐,张善勇.计算机网络的安全防护分析及发展研究[J].内蒙古科技与经济,2012(22).
[2]杨光,孙洋,王磊,吴冰.计算机及网络的管理与安全防护[J].内蒙古林业调查设计,2013(02).
[3]杨年辉.探讨现阶段计算机网络管理与安全技术[J].电子制作,2014(01).
李克锋(1980-),男,河南省镇平县人。助讲,大学本科学历。研究方向为硬件维护、软件应用及网络。
关键词:调度自动化 网络安全 二次防护
中图分类号:TP29 文献标识码:A 文章编号:1007-9416(2012)09-0181-02
1、引言
电力工业是关系国计民生的重要基础产业和公用事业,电力系统安全稳定运行和电力可靠供应直接关系到国民经济发展和人民生命财产安全,关系到和社会稳定。现代电力系统生产运行高度依赖于计算机、通信和控制技术,电力监控系统、电力通信及数据网络等电力二次系统已经成为电网运行控制不可须臾或缺的重要组成部分。
2、发电厂调度自动化系统概述
调度自动化系统是在对全系统运行信息进行采集分析的科学基础上,运用现代自动化技术和可靠的通信系统,由计算机监控作出综观全局的明智判断和控制决策。包括远动装置和调度主站系统,是用来监控整个电网运行状态的。调度自动化系统是电网调度和电网运行管理必不可少的技术手段,是电力系统重要基础设施之一,关系到电网安全稳定运行。。
3、电力二次系统安全防护工作开展情况
2002年,原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,提出了电网和电厂计算机监控系统及调度数据网络安全防护的基本原则,即“电力系统中,安全等级较高的系统不受安全等级较低系统的影响”,明确要求要实现两个隔离:电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施;电力调度数据网应在物理层面上与公用信息网络安全隔离。电监会成立以后,在充分总结以往工作的基础上,明确提出了“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护总体策略,使电力行业二次系统安全防护工作进入了实质建设阶段。
2005年以来,电力行业按照《电力二次系统安全防护规定》(电监会5号令)及相关配套文件要求,从规章制度、组织体系、资金保障、人员管理及分区防御、网络安全、数据防护等方面开展了一系列富有成效的工作,初步建立了覆盖全行业的二次系统安全防护体系,防护能力显著提高。随着网络安全威胁的日趋严重和升级,二次系统安全防护工作所面临的安全形势更加严峻。
4、调度自动化系统二次防护的主要策略
电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程序、数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区:Ⅰ实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、Ⅲ管理信息区。
4.1 理顺关系,合理整合接入业务
(1)调度自动化系统的横向业务包括:第一、与办公区域的生产管理信息系统(MIS)的接口。传统的访问方式是通过通信网关或WEB服务器实现数据的通信。若想达到横向安全防护的目标,位于安全区Ⅱ的通信网关或WEB服务器与位于安全区Ⅲ的MIS系统之间必须采用经有关部门认定核准的专用隔离装置,使MIS系统的用户终端仅可以通过专用隔离装置浏览WEB服务器上的调度自动化信息,禁止其MIS系统向调度自动化系统发出数据请求。第二、与电能量计量系统、竞价上网系统的接口。为使这些位于安全区Ⅱ的系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间增加硬件防火墙。
(2)调度自动化系统的纵向业务包括:第一、专线通道。通过专线通道和特定的通信协议实现厂站RTU装置与调度主站EMS系统间的通信。这类接口暂不考虑安全问题。第二、网络通信接口。通过通信网关实现厂站与调度主站间的通信。为确保处理安全区Ⅰ的各系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间加设纵向加密认证装置,再经电力通信数据网络(SPTnet)进行通信。第三、远程维护接口。系统维护人员或开发商可以通过拨号方式进行系统维护和故障处理。应加强口令的严格管理,在未采取安全防护措施前,不得开通通过拨号服务器接人远程局域网的服务。
4.2 分区隔离,实施安全防护和加密认证
(1)纵向加密认证:在纵向传输防护方面,发电厂调度自动化系统依据传输业务的实时性和重要性进行分类传输保护。远动装置RTU采集数据、脱硫数据、同步相量采集装置PMU采集数据、电压自动控制系统AVC采集数据作为Ⅰ实时控制区数据直接接入区内专用交换机,并通过纵向认证装置接入路由器。电量信息、保护信息子站数据等作为Ⅱ非控制生产区数据业务直接接入区内专用交换机,经防火墙连接至路由器。
各业务系统均直接通过专用交换机实现与上级调度部门的相应业务实现对口通信。为实现对不同安全区域的业务隔离,调度数据网通过纵向认证装置和防火墙实现对Ⅰ区和Ⅱ区的安全隔离,两个区域之间的业务不能通过网络彼此通信。从而减少数据传输的中间环节,缩短了传输时间,有效地兼顾了二次系统对安全防护强度和数据传输实时性的要求。
工作票申请系统、报价系统作为发电厂的Ⅱ区业务接入相应的电力信息专网。以发电厂工作票申请系统为例,由于电力网调度生产信息网为电力内网,终端用户接入网内时需要进行安全加固和安全隔离。也就是要做到内物理隔离,专机专用,同时增加网络防火墙解决安全隔离的作用。每个用户终端需要安装上级电力调度部门签发的电力调度系统设备数字证书,以保证电厂能及时、安全的获取调度生产管理信息。
(2)横向单向隔离:横向传输防护方面,发电厂调度自动化系统主要是微机监测及发电负荷调度系统与安全区Ⅲ的厂信息系统之间的安全防护。一般加设横向单向安全隔离装置实现安全防护和隔离目的。生产区域的实时信息经过该物理隔离装置单向传输给WEB服务器,且不接受来自的WEB服务器上任何信息和操作。办公区域的工作站也只能通过的WEB服务器浏览生产区域的实时信息,从而有效保护内网的服务器和相关子系统设备,实现生产控制大区与管理信息大区之间的高强度的物理隔离,更好地保障电力生产监控系统的安全稳定运行。
4.3 软件的安全防护功能
(1)分组用户管理权限:计算机在网络中的应用,存在两种身份:一种是作为本地计算机,用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统,都支持多用户模式,可以给使用同一台计算机的不同人员分配不同的帐户,并在本地分配不同的权限。对于调度自动化系统所有后台服务器,应全部实行分级用户权限进行管理。
(2)设定高强度口令密码:生活在信息时代的今天,在电力企业的网络环境里,密码显得尤为重要。调度自动化系统所有后台维护及操作平台,均设有高强度口令密码。只有拥有口令密码的专业技术人员方能有权登录,并进行相关安全操作。网络管理人员应具有强烈的安全防护意识,设置以字母、数字、符号相互组合,且长度大于8位的口令密码,并定期更换,可以有效地防止被黑客破解与攻击,保护电力企业内部的调度自动化系统安全稳定,尤为重要。
(3)规范执行制度:调度自动化专业应有明确制度规定,定期进行系统数据异地存储及备份。日常操作时,必须使用专用的移动存储设备,任何人员均不得使用来历不明的移动存储设备。
5、结语
计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下的态势,以确保网络安全这一最终目的的逐步实现。同时,调度自动化安全防护是一个长期的、动态的工作过程。在随着人员、技术、外界风险不断变化发展,以及调度自动化系统应用与开发环境的不断变化发展,安全目标与防护措施也随之不断发展和变化。调度自动化系统的安全管理需要及时跟进并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、可靠地长周期运行。
参考文献
【关键词】计算机 网络 管理与安全防护
在信息化技术力量的不断壮大发展中,它一方面为人们的生产生活带来了极大的方便和快捷,但与此同时也伴随着这种快速蓬勃发展带来很多计算机及网络的问题,使得人们的信息安全和个人隐私遭到破坏和损害,严重影响人们的计算机网络应用的健康发展。面对这些问题,要加强计算机网络的管理,提高计算机及网络的使用安全问题。
1 计算机及网络信息管理中的安全性问题
1.1 计算机的病毒和黑客威胁
在计算机网络使用的过程中,最常见也同时也是网络安全危害性最大的病毒威胁。计算机的病毒是一种需要把计算机作为载体才能存在的程序。计算机病毒其存在的最大危害性特点是病毒传播速度非常快,这种速度让计算机用户措手不及,同时所产生的病毒威胁所产生的损失严重时是不可想象的。如果某种计算机病毒已经在计算机的系统中存在,那么就会对用户的计算机里的信息资料以及个人隐私产生不同程度的泄露和破坏。而且在计算机网络技术的不断发展下,计算机病毒广泛存在于计算机系统中,并在以更快更多样的速度和方式存在。同时计算机网络的开放性使得出现多种网络黑客,通过漏洞对用户的信息窃取。因此对计算机病毒做好管理与安全防护工作,才能有效保障计算机用户的安全。
着计算机病毒的不断更新传播,计算机网络病毒也无出不在,
1.2 计算机网络的物理性安全
计算机网络的物理性安全是指计算机的硬件设备在进行数据传输和信息储存时产生的计算机网络安全问题。例如,网络通信过程中计算机的网线、光纤或者局域网的内部物理设备在人为或者其他自然原因而产生的对计算机的损坏就会带来计算机网络的物理性安全问题的产生。
1.3 网络系统管理制度不够完善
。有关计算机网络系统的管理人员在工作上的疏忽和怠慢,使得计算机网络系统的安全存在很大的威胁。尤其在计算机广泛应用到各大企业的经营发展中,如果企业的相关网络管理员缺乏对计算机网络技术的管理能力且忽略了网络系统安全管理的重要性,会造成企业重要机密和信息资料的丢失,造成不可逆转的经济损失。还有部分计算机管理人员为了谋取个人利益,将计算机用户的资料进行变卖,使得其保密文件和个人隐私信息遭到泄露。。
2 如何提高计算机及网络的管理与安全防护
2.1 提高计算机用户关于计算机及网络使用的安全防范意识
计算机在人们生活和工作中的广泛利用,要求人们要提高使用计算机及网络的安全意识,对计算机可能存在的潜在的各种风险和威胁有一个高度警惕的意识,并落实到自己实际在使用计算机的过程中,并养成良好的计算机使用习惯。;另外要定期对计算机进行病毒的查杀并在需要时及时对漏洞进行修复,防治病毒危害带来的各种对计算机的攻击和损害。在企业计算机使用中,要加强计算机使用人员的安全防范意识,公司要进行相关计算机及网络安全防护的培训学习,向员工普及如何安全上网并维护计算机的安全使用。
2.2 处理好安全防护技术
为了计算机及网络的管理与安全防护工作,其首要任务是对计算机进行物理措施的安全防护,这种防护的具体实施办法是根据当前计算机网络的发展现状和计算机使用的需求制定严格而规范的网络安全的规章制度,对计算机网络的核心设备进行重点防护,同时通过防辐射的装置和不间断电源的措施来确保计算机网络使用的安全性。其次,在访问计算机网络时,要予以严格规范型操作和访问权限。在对相关网络资源进行共享和使用时,要通过有效身份证件或者口令的认证来能得到准入,控制网络配置权限。再则是对计算机网络实行隔离防护的措施。这个隔离主要在网络安全隔离网扎或者隔离网卡的作用下才得以实现。同时在正常对计算机网络进行访问时,要做好对相关数据、信息和文件的过滤、备份和审计,才能确保计算机及网络的安全防护工作。
2.3 加强信息安全等级保护工作
在企业的计算机使用中,上层领导要引起计算机安全使用的高度重视,并对公司信息化和信息安全工作做好相关计算机管理人员的配置和管理,并根据实际情况设立必要的计算机网络使用的信息安全中心,协调统筹管理整个企业计算机使用的安全性,避免因为计算机的使用失误或者其他人为原因所引起的企业重要机密的泄露或者关于企业重要信息数据的丢失等情况的发生。并投入一定的资金和计算机技术来建立有保障的信息安全基础设施,对企业的综合信息系统进行合理规划和建设,提高企业计算机信息系统管理的运作能力,并对重要信息系统建立有效的灾难备份及应急预案,有效提高了系统的安全防护水平。
2.4 加强对计算机安全建设的投入
提高计算机及网络的管理与安全防护工作,要通过有效的措施来保障计算机的安全。那么首先是对计算机信息系统的数据信息内容进行分等级的备案,并通过积极组织开展计算机信息系统的检测和系统修复整改的安全工作,并通过计算机信息安全的检查测评活动来提高计算机使用的安全性。并在现有的网络信息系统安全管理的要求和标准下,进行更高网络安全级别的划分,并对网络安全区域进行科学、合理的划分,加强对计算机使用过程中出现的病毒和黑客威胁,并通过计算机及网络的安全建设工作,提高计算机的网络安全管理的水平,不断规范和治理计算机及网络的安全问题,保障计算机使用的安全规范。
3 结束语
综上所述,随着计算机信息技术的不断发展和发达,其技术的功能和特点已经对人们的生活和工作产生了巨大的变化,也让人们对计算机技术有了依赖,在这种广泛使用的趋势下,计算机及网络的管理与安全防护工作开始成为非常重要的亟待解决的问题。尤其是科学技术的发达使得计算机网络安全问题还在继续不断发生着更加丰富多样的变化和发展,这也使得计算机的安全维护工作需要不断的达到更高的标准,才能有效应对出现的各种计算机问题,在计算机的不断广泛使用中,市场上出现了越来越多的网络安全产品,但与此同时各种病毒和黑客也是同时在进行不断的威胁和攻击,因此计算机使用者一定要努力提高自身的计算机及网络使用的安全防范意识,并从良好的计算机网络使用的习惯开始,才能不断做好计算机的安全管理工作。
参考文献
[1]朱亮,计算机网络信息管理及其安全防护策略[J].网络通讯及安全,2012:43-4392.
关键词:工控;网络安全;安全建设
1前言
随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践,制造业工业控制系统的应用越来越多,随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉,工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路,系统阐述了工业信息安全的发展背景及重要性,以网络安全法和工业基础设施的相关法规和要求等为依据,并结合传统工业控制系统的现状,从技术设计和管理系统建设两个方面来构建工控系统网络安全。
2工业信息安全概述
2.1工控网络的特点
工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,也可以说工业控制系统是控制技术(Control)、计算机技术(Computer)、通信技术(Communication)、图形显示技术(CRT)和网络技术(Network)相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全,涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域,其中超过60%的涉及国计民生的关键基础设施(如公路、轨道交通等)都依靠工控系统来实现自动化作业。
2.2国内外工业安全典型事件
众所周知,工业控制系统是国家工业基础设施的重要组成部分,近年来由于网络技术的快速发展,使得工控系统正逐渐成为网络战的重点攻击目标,不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。(1)美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染,导致美国东部海岸的列车信号灯系统瞬间宕机,部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的,而这种病毒常被用来定向攻击基础(能源)设施,比如国家电网、水坝、核电站等。(2)乌克兰电网攻击事件2015年,乌克兰的首都和西部地区电网突发停电,调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站,在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。(3)旧金山轻轨系统遭勒索病毒攻击事件2016年,黑客攻击美国旧金山轻轨系统,造成上千台服务器和工作站感染勒索病毒,数据全部被加密,售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件,主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站,例如在轨道交通行业里的典型系统:综合监控系统、通信系统和信号系统等,其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出,攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的,随着网络攻击事件的频发和各种复杂病毒的出现,让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。
2.3工控安全参考标准、规范
作为国家基础设施的工业控制系统,正面临着来自网络攻击等的威胁,为此针对工控网络安全,我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求》等多项国家标准[2]。同年,工信部印发《工业控制系统信息安全防护指南》,该标准以当前我国工业控制系统面临的安全问题为出发点,分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月,《网络安全法》开始实施,网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求,促进了我国工业控制系统网络安全的发展。
3工业控制系统网络安全分析
轨道交通信号系统(CBTC)是基于通信技术的列车控制系统,该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。。各个子系统之间一般都是互联互通的,不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的,还有一些安全系统和非安全系统之间也都没有做隔离。(2)网络异常查不到针对CBTC系统的网络入侵行为一般隐蔽性很强,没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段,等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录,不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。(3)工作站、服务器无防护CBTC系统工作站、服务器的大部分采用Windows系列的操作系统,还有一部分Linux系列的操作系统,系统建设之初基本不会对工作站和服务器的操作系统进行升级,操作系统在使用过程中不断暴露漏洞,而系统漏洞又无法得到及时的修复,这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务,没有加强系统的密码策略。除此之外,运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件,也可能会开启操作系统的远程功能,上线后也不会关闭此功能,这些操作都会使得系统配置简单,更容易受到攻击。目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件,无法对USB等外接设备的接入行为进行管控,随意使用移动存储介质的现象非常普遍,这种行为极易将病毒、木马等威胁带入到生产系统中。(4)运维管理不完善单位内安全组织机构人员职责不完善,缺乏专业的人员。没有针对信号系统成立专门的安全管理部门,未明确相关业务部门的安全职责和职员的技能要求,也缺乏专业安全人才。未形成完整的网络安全管理制度来规划安全建设和设计工控系统安全需求。。目前CBTC系统的网络采用物理隔离,基本可以保证正常生产经营。但是管理网接入工控系统网络后,工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁,而且由于与管理网的数据安全交互必须在工控网络边界实现,因此做好边界保护尤为重要。
4工业控制系统网络安全防护体系
工控系统信息化建设必须符合国家有关规定,从安全层面来看要符合国家级防护的相关要求,全面规划设计网络安全保障体系,使得工控体系符合相关安全标准,确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系,通过管理和技术实现主被动安全相结合,有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案,从技术角度来识别系统的安全风险,依据系统架构来设计安全加固措施,同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系,来确保整体业务系统的安全有效运行。
4.1边界访问控制
考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素,我们将轨道交通信号系统业务网络划分为多个子安全域,根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等,将工控网络划分成不同的安全防护区域,所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理,使得只有获得授权的用户才能对现场设备进行数据更新、参数设定,在控制设备及监控设备上运行程序、标识相应的数据集合等操作,防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为,常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用,及时发现网络中各种设备和应用的安全漏洞,提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒,如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理,通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计,主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计,审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。
4.3建立统一监测管理平台
根据等级保护制度要求规定,重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心,通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理,平台可以呈现CBTC系统中各类设备间的访问关系,形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单,从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值,触发告警并记录,对各类报警和日志信息进行关联分析和预警通报。
4.4编制网络安全管理制度
设立安全专属职能的管理部门和领导者及管理成员的岗位,制定总体安全方针,指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实,必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度,而且制度要经过上层组织机构评审和正式,保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作,对人员的专业能力、背景及任职资格进行审核和考察,人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范,编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度,在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设,制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求,对于机房等办公区域的人员进出、设备进出进行记录和控制,建立资产管理制度规范系统资质的管理与使用行为,保存相关的资产清单,对各种软硬件资产做好定期维护,对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理,针对发现的安全问题采取相关的应对措施,形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议,协议中应明确外包工作范围和具体职责。
5结束语
由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势,近年来我国将网络安全建设提升到了战略的高度,并且制定了相关的标准、、技术、程序等来积极应对安全风险,业务主管部门还应进一步强化网络安全意识,开展网络安全评估,制定网络安全策略,提高工控网络安全水平,确保业务的安全稳定运行。
参考文献:
[1]石勇,刘巍伟,刘博.工业控制系统(ICS)的安全研究[J].网络安全技术与应用,2008(4).
[2]李俊.工业控制系统信息安全管理措施研究[J].自动化与仪器仪表,2014(9).
因篇幅问题不能全部显示,请点此查看更多更全内容