工信部信息安全范文
時間:2023-10-11 17:24:43
導語:如何才能寫好一篇工信部信息安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:職責;信息安全保密;泄密;技術策略;加密技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2013) 08-0000-01
一、引言
公安交管部門的主要職責是管理道路交通秩序,服務經濟社會發展,服務民生。計算機網絡技術的發展與普遍應用,網絡安全越發受到人們的重視。歸屬于政府、行業和個人所擁有的各種重要信息的安全性要求越來越高。
二、現存的主要問題
1.思想重視不夠。
2.機制不健全。
3.對計算機信息安全重要性認識不足。
4.計算機信息安全的技術支持差。
三、采取的建議與措施
(一)思想領域
1.加強計算機信息安全思想建設,構建以單位主要領導為核心,以具體職能部門為主體計算機信息安全管理體系。把信息安全目標層層分解,使每個部門;每個人目標明確,責任到位。建立完善現有計算機信息安全的規章制度,明確崗位與每個人的具體職責。
2.加大計算機信息安全方面宣傳教育力度。使人人知道計算機信息安全的重要性和迫切性及相關的注意事項,自覺提高信息安全憂患意識,做到自覺遵守,互相監督。
3.強化計算機信息安全方面的培訓。計算機專業人員專業培訓與全體工作人員計算機基礎知識培訓相結合。培訓重點是網絡技術、信息安全管理、網絡安全與病毒防護、計算機軟硬件和網絡維護等知識。
4.建立信息安全的獎罰機制。對執行信息安全制度好的職工給予物質獎勵,提職晉級優。對信息安全事故有功人員實施重獎,同時對執行差的信息安全事故造成損失的給予相應的重罰。
(二)技術領域:建立計算機信息安全的內外策略。
內部策略(本地策略):主要指計算機系統的訪問、軟件的升級及病毒代碼的更新,機房、計算機硬件、網絡傳輸介質、固定、移動存儲介質等方面安全策略。
從內部策略來說計算機信息泄密主要體現以下幾個方面:
計算機電磁波輻射泄密;計算機存儲介質泄密;計算機網絡連接介質泄密
1.計算機電磁波輻射泄密。主要涵蓋四個部分:主機的輻射;通信線路(連接線)的輻射;輸出設備(打印機;顯示器的輻射)的輻射。
采取安全技術策略:(1)屏蔽。主要屏蔽電磁波輻射,創建符合國家標準具有屏蔽電磁波功能及斷電保護裝置UPS機房。(2)干擾。主要是根據電子對抗原理,采用一定的技術措施,利用干擾器產生噪聲與計算機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行干擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。(3)盡量使用輻射低的主機及外設。(4)避免使用無線鍵盤、無線鼠標、無線網卡等具有無線互聯功能的計算機設備。因為這些設備是通過無線方式與計算機之間連接的,傳輸、處理信息的信號完露在空中,通過相關技術設備完全可接收到這些信號,進行信號還原處理。
2.計算機存儲介質泄密:(1)對于固定存儲裝置(硬盤)。采用磁盤級動態加解密技術,可分為磁盤全盤加密技術、磁盤分區加密技術。磁盤全盤加密技術(FDE)能對磁盤上所有數據進行動態加解密。包括操作系統、應用程序和數據文件都可以被加密。通常這個加密解決方案在系統啟動時就進行加密驗證,一個沒有授權的用戶,如果不提供正確的密碼,就不可能繞過數據加密機制獲取系統中的任何信息。磁盤分區加密,就是對磁盤的某一個分區(扇區)進行加密。對于存儲在磁盤上的數據,采取文檔級動態加解密和解密技術。通過密碼身份識別以達到防止信息外漏的目的。(2)對于移動存儲裝置:一是對移動存儲設備設置密碼,并且對移動存儲設備內的數據進行加密。二是對計算機及內部網絡各種端口進行管控,對接入端口的移動設備進行統一認證,硬件綁定等方式,限制移動存儲設備的使用。三是使用具有加密功能的U盤和移動硬盤。如安全U盤(UDiskSec)和安全移動硬盤(EDiskSec)。(3)對的移動或固定存儲器專人使用和管理,到期后集中報廢,集中銷毀,杜絕外流。
3.設置系統訪問密碼。密碼設置要復雜,以普通用戶登錄,避免以管理員身份登錄。
4.使用正版和國產軟件并且按時升級打補丁;要按時查殺病毒,對重要數據要及時備份保存。
外部技術策略:主要指來自計算機系統外部的信息防護策略主要指互聯網方面;防火墻網絡自身存在的漏洞或缺陷。
1.對于來自互聯網方面的技術策略:(1)采用漏洞少速度快的瀏覽器,并且及時更新版本,打補丁,補漏洞;設置分級管理瀏覽的站點,禁止訪問具有安全隱患的站點。(2)采用內網,公共郵箱不得私用,不下載和打開莫明的郵件。(3)不得安裝即時消息軟件。(4)通過設置系統安全策略關閉系統下載功能。
2.對于來自防火墻及網絡漏洞或缺陷方面的技術策略。采用硬件和軟件并存的防火墻技術,封閉重要的計算機端口。安裝反后門木馬病毒專殺軟件。
四、總結
計算機信息安全防護要從用戶及系統由里向外制定相應的技術策略,以人為本,以管理為安全的靈魂,以技術策略為安全的主體,只有這樣計算機信息安全才能保證。
參考文獻:
[1]丘昊.計算機網絡安全淺析[J].信息與電腦,2009,12.
[2]王洪海,袁學松.數據安全技術[J].巢湖學院學報,2006,8(3):42-43.
[3]馬麗娜.計算機信息安全研究[J].農業圖書情報學刊,2009,21(7).
[4]石書紅.信息安全技術淺析[J].電腦編程技巧與維護,2009,6.
[5]曹壽慕.計算機信息安全的新特點[J].吉林省教育學院學報(學科版),2010,26(10).
篇2
移動互聯網時代,移動端的交流溝通和信息傳遞成為人類的生活必需。而竊取個人移動信息資料、詐騙信息猖獗已經成為社會最重要的安全隱患。特別針對心智尚未完全成熟的中小學生及家長尤其重要。當犯罪分子通過移動端木馬手段掌握了學生個人的信息狀況就能夠策劃針對學生的犯罪活動、而家長手機信息的泄露無疑成為眾多如考試答案信息、代考信息、調分信息、錄取信息等等詐騙目標,校園信息安全問題凸顯并逐漸演化成一個社會問題。日前,為解決校園信息安全問題,給學生和家長提供便捷可靠的資訊服務,教育部教育管理信息中心與百度移動安全部合作,在全國范圍推出”中國教育蔚藍守衛“計劃。旨在雙方共同保護全國中小學師生和家長的隱私信息、預防學生和家長受到詐騙信息,并且保障移動端病毒查殺及系統漏洞檢測。
中國教育部教育管理信息中心于今年3月全力推出“全國教育技術服務平臺”(以下簡稱“IME平臺”)并在全國范圍內的中小學校進行大規模推廣。IME是中國教育部教育管理信息中心研制開發的一個全國中小學教育信息溝通平臺。家長和老師可通過此平臺可實現無縫溝通,從而更加便捷地了解學生的在校狀況和學習動態。老師、學生、家長三位一體在線實時分享學習信息、極速傳遞教育部政策資訊。IME平臺主要在移動設備上運行,便捷的同時也存在著信息安全隱患。
百度移動安全部致力為移動客戶端用戶提供安全可靠的使用環境,保障用戶信息安全。為解決目前校園信息安全的漏洞,教育部教育管理信息中心與百度手機衛士進行密切合作,旨在打造一張綠色防護網,維護教育信息安全。針對當前校園信息安全現狀,百度手機衛士將從三大維度重點打造綠色防護網絡解決信息安全危機。分別是:師生和家長隱私信息保護、防詐騙信息安全監測、移動端病毒查殺及漏洞檢測。在IME平臺推廣過程中,百度手機衛士將對安裝使用者師生及家長的移動設備進行全程實時防護。本次合作項目預計將覆蓋全國小學至高中各大院校教師、學生及家長,總計約3億人。
移動互聯網的發展讓校園信息交流、學生個人信息管理更加便捷,教育部和百度移動安全部強強聯手,雙方共同打造的IME安全項目給教師、學生、家長三方打造了一個可靠暢通的平臺,讓學生遠離個人隱私信息泄露、病毒騷擾和侵害,為學生全方位健康發展提供了堅實的保障。
(來源:光明網)
篇3
摘要:目的:探討心功能不全合并室性心律失常采用胺碘酮治療的臨床療效。
方法:選擇2009年1月―2013年10月我院收治的60例心功能不全合并室性心律失常患者作為研究對象,將患者隨機分為治療組和對照組各30例,胺碘酮用于治療組,美托洛爾用于對照組,治療后隨訪一年,觀察兩組療效及不良反應。
結果:治療組心功能總有效率明顯高于對照組,差異有統計學意義(P
結論:胺碘酮治療心功能不全合并室性心律失常療效顯著,值得臨床推廣應用。
關鍵詞:心功能不全胺碘酮療效分析
Doi:10.3969/j.issn.1671-8801.2014.01.228
【中圖分類號】R4【文獻標識碼】B【文章編號】1671-8801(2014)01-0165-01
心功能不全是一種體質量減輕、疲勞、心悸、氣短、肌肉松弛萎縮癥候群,需整日臥床,其發病率較高,致死率也較高,基本誘因是慢性心肌疾病和長期過重心室負荷,會引發一系列心臟疾病,如室性心律失常。室性心律失常包括室性期前收縮、室性心動過速、心室纖顫等。室性心動過速合并器質性心臟病極易導致心室纖顫、猝死等嚴重后果,要及時明確診斷和處理。室性心律失常的發生率隨年齡增加,老年人是高發人群。現將我院采用胺碘酮治療心功能不全合并室性心律失常的療效報道如下。
1資料與方法
1.1一般資料。選擇2009年1月―2013年10月我院收治的60例心功能不全合并室性心律失常患者作為研究對象,將其隨機分為治療組和對照組,各30例,患者心功能NYHA分級均為Ⅱ~Ⅲ級,且左室射血分數(LVEF)
1.2治療方法。治療組:選用胺碘酮治療,第1周劑量為200mg/次,3次/d;第2周劑量改為200mg/次,2次/d;第3周劑量為200mg/次,1次/d;此后劑量改為100~200mg/d。對照組:選用美托洛爾治療,第1個月劑量維持6.25mg/次,2次/d;之后逐漸加大加量直至最大耐受量。治療期間劑量調整依據心率和QT間期(QTC):心率0.50s,就要減少胺碘酮劑量;(2)心率0.55s,就要停用胺碘酮。兩組在用藥期間均給予血管緊張素轉換酶抑制劑(ACEI)類藥物、利尿劑和血管擴張劑治療,同時嚴密監察患者心電圖變化、動態心電圖、肝腎功能、血清電解質、甲狀腺功能、心臟彩超及胸部X片等,治療結束后隨訪1年,比較兩組療效、1年再住院率及不良反應情況。
1.3療效判定標準。心功能分級按NYHA分級標準進行,療效評價:顯效:心功能改善達2級;有效:心功能僅改善1級;無效:心功能未改善甚至發生惡化。心律失常通過心電圖監測,療效評價:顯效:室性心律失常完全消失或者下降90%以上;有效:室性心律失常下降50%以上;無效:室性心律失常下降50%以下。若在用藥后室性心律失常增多或惡化則判斷是藥物導致的心律失常。總有效率=顯效率+有效率。
1.4統計學方法。采用SPSS17.0統計軟件進行數據處理,計數資料采用檢驗,等級資料采用秩和檢驗,以P
2結果
2.1兩組心功能療效比較。治療組顯效8例(26.7%),有效19例63.3%),無效3例(10%),總有效率為90.0%;對照組顯效7例(23.3%),有效15例(50%),無效8例(26.7%),對照組總有效率為73.3%,兩組患者心功能療效比較,差異有統計學意義(P
2.2兩組心律失常療效比較。治療組顯效9例(30%),有效17例(56.7%),無效4例(13.3%),治療組總有效率86.7%;對照組顯效8例(26.7%),有效12例(40%),無效10例(33.3%),總有效率為66.7%,兩組心律失常療效比較,差異有統計學意義(P
3討論
對于有明顯臨床癥狀的室性心動過速(非持續性)和血流動力學比較穩定的室性心動過速(持續性)均建議使用胺碘酮或β-受體阻滯劑藥物進行治療。臨床實踐總結發現抗室性心律失常的經典藥物利多卡因的療效有所下降,且用藥后病死率明顯上升,還會產生神經系統損害,總體風險較大,不是臨床最佳治療藥物選擇。胺碘酮作為一種新型的藥理作用強的抗心律失常藥物,口服用藥吸收遲緩,生物利用度為30%~80%,主要分布于脂肪組織,含脂肪豐富的器官、心、腎、肺。胺碘酮不僅能阻滯鈉、鉀、鈣通道(非活動期),還具有非競爭性抑制α、β受體功效,所以說胺碘酮能抗Ⅰ、Ⅱ、Ⅲ、Ⅳ類心律失常。同時胺碘酮在一定程度上還具有抗心肌缺血與血管擴張作用,調節抗交感神經與神經內分激素。綜上所述,胺碘酮治療心功能不全合并室性心律失常的療效優于美托洛爾。在諸多心功能不全合并室性心律失常的治療藥物中,胺碘酮可以作為一種有效的、安全可靠的治療藥物,且療效相比其他同類功效的藥物要明顯提高,值得推廣使用。
參考文獻
[1]趙金發.胺碘酮治療心力衰竭合并心律失常96例臨床療效分析[J].基層醫學論壇,2011(28)
篇4
關鍵詞 信息安全 保密管理 產業發展 價值 管理對策
一、我國信息通信安全產業的快速發展
2010年全球信息安全市場規模達257億美元,增長17%,并預估2017年可達到407億美元。根據2014年信息服務產業年鑒,2014年我國整體信息安全市場規模達106億元,較2013年增長13.24%,而2013年較2012年增長8.6%,世界規模為15.6%。我國在這一方面仍有增長空間,從信息安全服務及產品的增長速度來看,信息安全產品在2010年后,每年維持17%以上的穩定增長,內容安全及顧問服務于2014年增長率分別為14.86%及20.67%,仍維持高增長。增長的主要原因包括企業政策規范、企業缺乏信息安全人員與專業知識等帶動顧問服務需求增長,又由于我國中小企業眾多,中小企業資金、人才較為不足,在黑客行為多元以及混合式攻擊手法層出不窮等,再加上零時差攻擊時有出現以及對應產品多元化發展的趨勢下,要達到快速又有效的信息安全防護,憑借單一企業的產品及信息人員往往有一定的困難,信息安全工作委外顧問服務能夠比企業自行管理更能兼顧企業成本及安全,因而來自于顧問服務、委托服務等的增長力道將持續維持。
在外銷方面,2014年信息服務年鑒可知,2014年外銷規模約為250億元,增長率為20.16%,較2013年大幅增長。這種增長的主要原因是我國內容安全相關信息安全產品市占率逐漸提升,且整合式威脅管理設備(UTM)逐獲重視的緣故。相較世界對于信息安全需求的旺盛力量,我國目前外銷增長高于世界平均,若能將該外銷動能持續開發,不僅能提升我國信息安全整體防護能力,未來也將成為我國信息服務業中的明星產業。
二、維護信息通信安全的重要意義
在全球化信息社會中,信息科技與網絡提供便利的現代生活,也急劇地取代人工操作成為企業經營與政府機關行政服務的工具,也是現代化國家與社會運作不可或缺的一環。有鑒于此,各國政府也將信息通信基礎建設列為國家建設的根本,以及增進民生發展的基礎。從國家層面來看,如果信息通信網絡系統有所損害,輕者會導致個人生活食衣住行造成不便,重者則會使整個國家安全、政府運作、產業發展、國力強弱和民生發展等都會有重大影響。因此,信息通信安全重要性,已達到不容輕忽的地步。如何維護信息通信系統與網絡傳輸過程的安全,都是企業及政府當前運營的重要課題之一。
為能提供安全及信賴的電子化組織運營服務,組織信息通信安全工作必須以全方位觀念進行可持續推動,一般性的信息通信安全3E策略如下: 1)技術工程:利用防火墻系統、數字簽章、加密技術等建構第一道防線。2)執行管理:落實信息安全管理政策、信息安全事件緊急處理機制、內外部計算機稽核制度、信息安全標準及規范、產品及系統質量檢驗機制等。3)教育倡導:強化安全警覺訓練、信息安全倡導、人才培訓、網絡使用倫理等。
盡管當前多數組織的信息安全防護策略及應變機制已逐步建立,但是隨著信息科技的普及應用,以及電子化組織與電子商務的使用日益深化,面對網絡安全的威脅與風險,仍有必要對目前信息通信安全相關工作進行檢討評估,以強化企業或政府信息通信安全整體防護策略,而最為重要的就是保密管理措施的進一步創新。
三、強化信息安全層面保密管理的措施
(一)事前安全防護
(1)信息安全監控與防護。1)建立多重防護縱深的信息安全監控機制,構建信息通信安全防護管理平臺,提供組織網絡監控服務,以即早發現信息安全事件,降低信息安全風險。2)規劃組織整體信息安全防護架構,構建組織信息安全防護措施。
(2)信息安全情搜與分析。1)搜集來自組織服務網、學術網絡及因特網服務業者等網絡攻擊信息,分析新型黑客攻擊手法與工具,掌握我國信息安全威脅趨勢。2)研究尸網絡議題,提升Botnet偵測分析能力:教育倡導具體策略化方式追蹤大量Botnet資訊,掌握我國Botnet散布情況,降低我國Botnet數量。
(3)信息安全偵測及滲透測試。1)建立組織信息安全偵測及掃描能力,并進行內部偵測掃描,完成已知弱點的修復。2)對組織重要信息系統提供網站滲透測試服務及修補建議。
(4)信息安全認知與質量提升。1)建立組織信息安全檢測與評鑒機制。參考國際信息通信安全相關標準,制定組織信息安全規范整體發展藍圖架構,發展組織信息安全相關規范及參考指引,并建立組織信息安全檢測與評鑒機制。2)推動重點部門通過信息安全管理系統驗證。為強化組織信息安全防護能力,提供安全及便捷的網絡服務,強化內外部人員使用組織網絡服務的信心,保護使用者隱私權益,推動信息安全等級A級與B級機關通過信息安全管理系統(ISMS)驗證。3)提升員工信息安全知識與能力。為提升員工信息安全知識與能力,應辦理信息安全技術講習、信息安全資格培訓、信息通信安全防護巡回研討會等培訓課程,并發展信息安全數字學習課程。為發掘校園優秀人才,辦理“信息安全技能金盾獎”、“信息安全動畫金像獎”等競賽活動,并辦理信息安全周系列活動,以提升全體員工信息安全認知。同時進行員工信息安全職能規劃,依據其職務與角色,規劃執行業務應具備的信息安全知識與技能,并建立員工信息安全能力評量制度。
(二)事中預警應變
(1)信息安全事件實時發現。通過信息通信安全監控平臺進行信息安全事件監控作業,包括信息安全事件管理系統、整合性惡意程序監看、使用者端警示系統、蜜網與內部網絡警示系統等。
(2)信息安全通報與應變。1)建立信息通信安全通報應變作業程序,協助組織處理及應變信息安全事件。2)構建信息安全信息分享與分析中心。整合信息安全相關情資,進行信息安全信息分享。
三是信息安全健診服務。推動信息安全健診評量架構與追蹤管理機制,提供組織信息安全健診服務,強化組織信息安全防護能量,掌握信息安全防護情形。
(三)事后復原鑒識
(1)事后系統回復。1)結合產學研資源與技術能力,建立組織信息通信安全區域聯防運作機制,提供不同部門信息安全事件處理與咨詢服務,并提升其信息通信安全防護能力。2)規劃組織重要信息系統異地備援機制,以提升信息安全事件“事后”存活能力。
(2)信息安全事件鑒識。1)研究信息通信安全鑒識相關技術。2)協助并培訓組織保密管理相關人員執行信息安全事件鑒識作業。
四、結語
信息通信安全工作是個長期的、無止境的攻防與挑戰,然而信息通信安全工作范圍廣泛又專業,有待推動地方仍多,組織應持續強化信息通信安全防護工作,加強與產學研各界合作與交流,建立安全及可信賴的網絡環境,促進信息科技的普及應用,提供內外部利益相關者安全及便捷的服務。
(作者單位為西安飛豹空港設備有限責任公司)
參考文獻
篇5
【關鍵詞】通信計算機;安全
所謂的通信計算機,是一種把計算機與計算機聯系起來或把計算機與終端設備聯系起來的一種計算機,這種計算機構成的形式主要是為了形成一個通信服務系通。
1 通信計算機的概念及作好信息安全的意義
通信計算機可實現資源共享、數據通訊、均衡負荷與分布處理、其它綜合的信息處理等。通信計算機要處理大量的網絡數據信息,這就意味著信息安全問題是非常重要的問題,如果不能處理好信息安全問題,通信計算機在處理數據時,會面臨著極大的安全威脅。
要讓通信計算機的信息安全能得到保證,就需要建立一套能維護通信計算機信息安全的系統,這個系統應是全方位的,能相互彌補、相互支援的,然而據統計,我國約有55%左右的通信計算機企業沒有一套系統的信息安全防衛系統,他們僅僅只應用某些信息安全技術來確保通信計算機信息的安全。比如一部分企業只是應用安裝防火墻加口令密碼的方式加強通信計算機的安全。沒有一套完整的信息安全系統,如果出現信息安全問題,計算機技術人員將很難全面的、有效的處理信息安全問題帶來的后果。
2 通信計算機中信息安全存在的問題
2.1 內部操作存在的問題
內部操作存在的問題是指或者由于工作人員操作失誤、或者由于其它的原因引起計算機斷電的問題。如果通信計算機突然斷電,可能會造成數據丟失的問題;如果通信服務器的存儲介質受到強大的沖擊受到損害,服務器存儲介質中所有的數據可能會全部損壞。
2.2 外部入侵帶來的問題
外部入侵帶來的問題是指一些計算機技術人員通過發送木馬的方式、傳播病毒的方式,有目的的盜取通計算機服務器中的數據信息,或者控制通信計算機的服務器。外部的入侵給通信計算機信息安全帶來嚴重的威脅。
2.3 門戶安全引發的問題
部分外部入侵者不直接侵取通信計算機的數據,也不直接控制計算機,可是,他們會悄無聲息的瓦解計算機的門戶安全,給計算機散布一些病毒,這些病毒是潛在的安全隱患。只要通信計算機的門戶被打開,外部入侵者可根據自己的需要隨時入侵通信計算機的服務器。
3 通信計算機中信息安全問題的對策
3.1 從通信計算機的系統著手
要讓通信計算機的信息安全得到保障,首先就要讓計算機的系統安全和穩定,因為它是通信計算機工作的平臺。要讓通信計算機的系統安全穩定,可從以下幾個方面著手:一,選取較穩定的計算機系統,它需要有自我糾錯功能,如果計算機操作人員工作時出現操作失誤,它能通過糾錯功能自己找到運行的方法,而不會立即崩潰死機;二,即時更新安全補丁,該服務器系統應是有有專業的公司維護的,每隔一定的時間就能推出安全補丁的系統,如果計算機系統能得到專業的維護就能在一定程度上解決信息安全問題;三,做好信息備份工作,通信計算機信息是以電子數據的形式存在的,電子數據具有不穩定的特點,只有做好定期備份的工作,一旦通信計算機出現安全問題,才能立即恢復數據。
3.2 從通信計算機的環境著手
要讓通信計算機的系統安全能得到保證,就要讓它在一個安全的環境下運作,要給通信計算機提供一個安全的環境,可從以下幾個方面著手:一,安裝防火墻,防火墻是一道阻止外來入侵的屏障,如果做好防火墻的設置,一旦有外來入侵者試圖入侵通信計算機,防火墻會將這種入侵擋在防火墻外,并分析出外來入侵者的入侵來源,為了使通信計算機的信息安全得到保障,計算機技術人員可用多重級別的方法設置防火墻,其中最重要的數據信息要用最高級別的保護策略;二,使用入侵檢測技術,實際上防火墻本身具有入侵分析的功能,它能分析出入侵者的來源,然而部分入侵者有較高超的計算機技術,防火墻可能不能完全識別入侵者的偽裝,為了保障通信計算機的安全,在出現嚴重的、有目的的網絡入侵現象后,計算機技術人員要主動以入侵檢測技術找到入侵來源,直到能夠杜絕入侵者再度入侵;三,使用漏洞掃描技術,這種技術能主動掃描通信計算機系統內的數據是否存在木馬、是否存在病毒,如果出現異常數據,會提交數據信息并給出處理的建議。計算機技術人員要定期掃描述通信計算機的數據,使計算機的內部運行環境有安全的保障。
3.3 從通信計算機的授權著手
通信計算機在運行的時候,有時會有機與機之間、機與客戶端之間的數據互動,這種互動可能也會帶來安全隱患。為了保證通信計算機的信息安全,計算機要用授權的思想做好安全保護。這種思想為:訪問授權思想,即擁有不同權限的訪問者可訪問的數據信息范圍不一致;認證的思想,即訪問者要訪問數據信息必須提交自己的權限,只有通過權限認證才可繼續訪問數據;密保的思想,即訪問者要提交自己預設的密保,密保通過認證才可繼續訪問數據信息;訪問控制的思想,如果訪問者的認證信息出現問題,就要能阻止訪問者繼續訪問,并能追溯訪問者的來源。
4 總結
要做好通信計算機的安全工作,就要從計算機系統、環境、授權三個方面著手,建立一個完整的通信計算機安全系統,這個系統的每一個安全功能都要能相互彌補、相互支援,使通信計算機的信息問題能夠得到保障。
參考文獻
[1].李引珍.王欣欣.淺談計算機信息安全問題[J].科技創新與應用,2013(11).
[2].王玲.試析計算機信息安全與防范[J].科技風,2011(23).
作者單位
篇6
通信計算機可實現資源共享、數據通訊、均衡負荷與分布處理、其它綜合的信息處理等。通信計算機要處理大量的網絡數據信息,這就意味著信息安全問題是非常重要的問題,如果不能處理好信息安全問題,通信計算機在處理數據時,會面臨著極大的安全威脅。要讓通信計算機的信息安全能得到保證,就需要建立一套能維護通信計算機信息安全的系統,這個系統應是全方位的,能相互彌補、相互支援的,然而據統計,我國約有55%左右的通信計算機企業沒有一套系統的信息安全防衛系統,他們僅僅只應用某些信息安全技術來確保通信計算機信息的安全。比如一部分企業只是應用安裝防火墻加口令密碼的方式加強通信計算機的安全。沒有一套完整的信息安全系統,如果出現信息安全問題,計算機技術人員將很難全面的、有效的處理信息安全問題帶來的后果。
2通信計算機中信息安全存在的問題
2.1內部操作存在的問題內部操作存在的問題是指或者由于工作人員操作失誤、或者由于其它的原因引起計算機斷電的問題。如果通信計算機突然斷電,可能會造成數據丟失的問題;如果通信服務器的存儲介質受到強大的沖擊受到損害,服務器存儲介質中所有的數據可能會全部損壞。
2.2外部入侵帶來的問題外部入侵帶來的問題是指一些計算機技術人員通過發送木馬的方式、傳播病毒的方式,有目的的盜取通計算機服務器中的數據信息,或者控制通信計算機的服務器。外部的入侵給通信計算機信息安全帶來嚴重的威脅。
2.3門戶安全引發的問題部分外部入侵者不直接侵取通信計算機的數據,也不直接控制計算機,可是,他們會悄無聲息的瓦解計算機的門戶安全,給計算機散布一些病毒,這些病毒是潛在的安全隱患。只要通信計算機的門戶被打開,外部入侵者可根據自己的需要隨時入侵通信計算機的服務器。
3通信計算機中信息安全問題的對策
3.1從通信計算機的系統著手要讓通信計算機的信息安全得到保障,首先就要讓計算機的系統安全和穩定,因為它是通信計算機工作的平臺。要讓通信計算機的系統安全穩定,可從以下幾個方面著手:一,選取較穩定的計算機系統,它需要有自我糾錯功能,如果計算機操作人員工作時出現操作失誤,它能通過糾錯功能自己找到運行的方法,而不會立即崩潰死機;二,即時更新安全補丁,該服務器系統應是有有專業的公司維護的,每隔一定的時間就能推出安全補丁的系統,如果計算機系統能得到專業的維護就能在一定程度上解決信息安全問題;三,做好信息備份工作,通信計算機信息是以電子數據的形式存在的,電子數據具有不穩定的特點,只有做好定期備份的工作,一旦通信計算機出現安全問題,才能立即恢復數據。
3.2從通信計算機的環境著手要讓通信計算機的系統安全能得到保證,就要讓它在一個安全的環境下運作,要給通信計算機提供一個安全的環境,可從以下幾個方面著手:一,安裝防火墻,防火墻是一道阻止外來入侵的屏障,如果做好防火墻的設置,一旦有外來入侵者試圖入侵通信計算機,防火墻會將這種入侵擋在防火墻外,并分析出外來入侵者的入侵來源,為了使通信計算機的信息安全得到保障,計算機技術人員可用多重級別的方法設置防火墻,其中最重要的數據信息要用最高級別的保護策略;二,使用入侵檢測技術,實際上防火墻本身具有入侵分析的功能,它能分析出入侵者的來源,然而部分入侵者有較高超的計算機技術,防火墻可能不能完全識別入侵者的偽裝,為了保障通信計算機的安全,在出現嚴重的、有目的的網絡入侵現象后,計算機技術人員要主動以入侵檢測技術找到入侵來源,直到能夠杜絕入侵者再度入侵;三,使用漏洞掃描技術,這種技術能主動掃描通信計算機系統內的數據是否存在木馬、是否存在病毒,如果出現異常數據,會提交數據信息并給出處理的建議。計算機技術人員要定期掃描述通信計算機的數據,使計算機的內部運行環境有安全的保障。
3.3從通信計算機的授權著手通信計算機在運行的時候,有時會有機與機之間、機與客戶端之間的數據互動,這種互動可能也會帶來安全隱患。為了保證通信計算機的信息安全,計算機要用授權的思想做好安全保護。這種思想為:訪問授權思想,即擁有不同權限的訪問者可訪問的數據信息范圍不一致;認證的思想,即訪問者要訪問數據信息必須提交自己的權限,只有通過權限認證才可繼續訪問數據;密保的思想,即訪問者要提交自己預設的密保,密保通過認證才可繼續訪問數據信息;訪問控制的思想,如果訪問者的認證信息出現問題,就要能阻止訪問者繼續訪問,并能追溯訪問者的來源。
4總結
篇7
近日,第十三屆中國信息安全大會在北京召開。工信部官員在會議期間透露,將加快起草國家信息安全戰略和規劃文件。業內人士認為,受政策引導和市場需求雙引擎驅動,信息安全產業發展有望大提速。
當天的會議上,賽迪智庫信息安全走勢預測課題組專家指出,伴隨我國信息化發展進入新階段,一些新的領域應運而生,這也給我國網絡與信息安全保障工作提出了新任務。
以物聯網為例,這一技術運用大量感知節點,可能成為竊取情報、盜竊隱私的攻擊對象。再比如,隨著智能手機快速普及,移動安全問題也日益凸顯。
針對種種擔憂,工信部信息安全協調司副司長歐陽武表示,我國信息安全面臨日趨嚴峻的新形勢,我們迫切需要營造有利于信息安全建設的政策環境,逐步形成國家信息安全保障體系。工信部今年將加強信息安全頂層設計和統籌協調,加快國家信息安全戰略和規劃文件的研究起草工作。
歐陽武還透露,今后一段時間,工信部將加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要領域工業控制系統信息安全管理工作的指導監督和安全檢查。
財政部:繼續實施積極財政政策
財政部部長謝旭人近日部署下半年財政工作重點時指出,要繼續實施積極的財政政策,促進經濟穩定增長。
在當日舉行的全國財政廳(局)長座談會上,謝旭人表示,下半年要繼續實施積極財政政策,促進經濟穩定增長。這些政策主要包括:落實和完善結構性減稅政策;加快和擴大營業稅改征增值稅試點;落實支持小微型企業發展的稅收政策;完善促進流通產業發展的財稅政策措施;穩定支持外貿的財稅政策等。謝旭人強調,下半年要發揮財稅政策調控優勢,推進經濟結構調整和發展方式轉變。
篇8
亨達科技集團成立于2003年5月13日,于2015年3月11日在全國中小企業股份轉讓系統成功掛牌,并于2015年8月被認定為國家高新技術企業。亨達科技集團旗下擁有亨達科技集團信息安全技術有限公司(以下簡稱亨達安全)、亨達科技集團建設開發有限公司(以下簡稱亨達建設)、亨達科技集團電子信息技術有限公司(以下簡稱亨達電子)三家全資子公司。專業從事通信工程、網絡與信息安全、計算機系統集成、軟件開發、電子政務、大數據和云計算技術產品開發、推廣與服務。
亨達科技集團具有通信信息網絡系統集成企業資質(甲級)、信息安全服務資質(安全工程類二級)、信息安全應急處理服務資質(二級)、信息安全服務資質(風險評估二級)、信息安全服務資質(信息系統安全集成服務資質二級)、信息系統集成資質(系統集成乙級)、信息系統集成及服務資質(叁級)、建筑工程施工總承包資質(叁級)、電力工程施工總承包資質(叁級)、市政公用工程施工總承包資質(叁級)、通信工程施工總承包資質(叁級)、電子與智能化工程專業承包資質(貳級)、消防設施工程專業承包資質(貳級)、城市及道路照明工程專業承包資質(叁級)、涉及國家秘密的信息設備維修資質、國家信息安全測評授權培訓機構資質;取得了國家軍工業務咨詢服務安全保密條件備案證書和信息安全等級保護測評機構能力評估合格證書。
公司總計擁有30項軟件著作權,并已通過ISO9001:2008質量管理體系、ISO14001:2007環境管理體系及OHSAS18001:2004職業健康安全管理體系認證。公司建立了貴州省網絡信息安全“三庫一中心六大平臺”(貴州省網絡信息安全病毒庫、漏洞庫、門戶網站安全漏洞及整改數據庫;貴州省網絡信息安全應急支援中心;貴州省網絡信息安全監測預警云平臺、安全攻防實戰平臺、網站安全防護云平臺、互聯網情報分析平臺、互聯網資源偵測和漏洞偵測平臺、安全態勢感知平臺)。
亨達科技集團主要客戶包括電信運營商、政府部門、銀行、醫院、電力、煙草等行業及單位,為貴州省內外各級政府部門、企事業單位、學校等提供專業的通信工程建設、計算機系統集成和網絡信息安全、教育信息化服務。公司連續數年榮獲貴州省“守合同、重信用單位”稱號。2015年,公司被貴州省科學技術廳評為“科技型小巨人企業”;亨達安全被貴州省科學技術廳評為“科技型小巨人成長企業”。同時,亨達科技集團被貴州省通信行業協會評為2015年“貴州省優秀民營通信建設企業”稱號。在2016年7月貴州省第二次項目建設觀摩活動中,貴州省有關領導帶隊到亨達科技集團考察調研,對公司在網絡信息安全工作方面所取得的成績給予了高度肯定和表揚。
亨達科技集團堅持以客戶需求為導向,致力于成為中國領先智能安全整體運營服務商。在當前貴州省大力發展大數據產業的有利形勢下,公司不斷加大大數據、云計算相關技術及其產品的投資開發力度,以通信工程為基礎,逐步過渡到以大數據、云計算為核心的綜合信息服務領域。為推動公司業務逐步從現有的網絡信息安全和通信工程建設服務向自主產品和技術開發方向延伸,2016年7月,公司與廈門大學合作建立聯合實驗室,成功開發出了國際領先的多媒體信息快速檢測和過濾技術,結合公司目前已經自主研發完成的“亨達智慧教育云平臺及其配套軟硬件產品”, 公司將繼續投入更多的資源不斷加大后續市場推廣力度,確保早日形成規模化運用。
在2016年9月8日于北京新世紀日航大酒店舉行的“2016第十七屆中國信息安全大會”上,亨達科技集團股份有限公司董事長兼總經理連灶華做了“共筑網絡安全新防線,助力大數據產業健康發展”的主旨演講。
連灶華主要針對網絡信息安全提出了三條體會和九點建議:
1. 做好信息安全十分重要和必要,
民營企業必須順勢而為。
2. 做好信息安全關鍵在于創新和創
造,民營企業必須主動作為。
3. 做好信息安全的目的在于適用和運用,民營企業必須勇于建言修為。
針對上述三條體會,連灶華提出了九點建議:
1. 加快大數據及其安全立法工作,加快制定大數據交易法則,為大數據產業發展提供必要的法律依據,確保大數據交易規范性、安全性與合法性。
2.加快推動政府和擁有大數據資源的相關企事業單位,在風險可控的前提下通過訂立契約最大限度地開放數據資源,確保數據資源能夠快速形成規模化歸集。
3.加快推動全國性大數據交易市場的建設,為大數據交易提供必要的平臺和通道。
4. 加快構建全國性大數據中心,有效解決數據存儲問題。
5.加快制定大數據使用和安全管控機制,明確大數據安全管理責任邊界,處理好安全保障和性能提升二者之間的矛盾。
6.加大大數據安全技術研究與投資開發力度,建立一批國家級和省級重點大數據安全實驗室,積極打造面向大數據產業發展的安全產業鏈,構建安全可控的具有自主知識產權的安全產品和技術保障體系。
7加大大數據安全企業扶持力度,大力支持有條件的企業優先進入大數據安全服務領域。
8加大大數據安全產業專業人才教育培訓力度,推動大數據安全專業人才數量與質量的同步提升。
篇9
昨日,三水區舉行旅游安全生產工作會議,會議傳達貫徹省市領導有關批示指示精神,部署全區旅游安全大排查大整治,強化旅游安全監管工作。
近日,三水在全區范圍內開展旅游安全大排查專項行動。5月31日,區文體旅游局牽頭區安監局、區市場監管局、南山鎮政府等,專門對南丹山、九道谷等景區 開展了汛期旅游安全聯合檢查。同時,深入開展旅游安全宣傳教育活動。6月7日,區文體旅游局組織區內旅游企業參加全市旅游行業安全生產(消防和泳池救生) 應急救援演練。
會上,區文體旅游局分別就水上運動、旅游安全作安全生產管理情況分析。區文體旅游局局長馬秀偉介紹,今年以來,三水區以分類管理為依托,針對不同時期、不同企業,實行全面監管,共出動執法人員180人次,檢查旅游企業80家次,確保旅游安全生產。
據氣象部門預測,未來一段時間強對流雷暴降雨天氣仍將持續。同時,隨著高考、中考的結束,將迎來出游高峰,旅游交通安全壓力大; 全區景區景點較多,旅游項目特別是漂流、泳場、戶外探險、機動游戲等消暑型、冒險型產品的市場需求必將倍增,給旅游安全帶來壓力和挑戰。
副區長黃昌建在會上傳達了上級相關會議精神和省市領導有關批示指示精神,分析全區旅游安全生產管理工作存在的問題,部署旅游安全大排查大整治,要求各鎮 街各部門齊抓共管,落實好“三個一”工作,即開展一次全面徹底的隱患排查、開展一次安全生產執法檢查、制定一套風險管控和應急方案,強化風險防范和隱患整 治。黃昌建強調,各鎮街、區安委會成員單位要對旅游行業、旅游設施設備、景區景點建筑、山體等方面開展安全風險評估,確定重大風險源、風險點,并制定有效 的管控措施堵塞漏洞,做到信息互通、有的放矢、精準發力。
區委區府辦、區安監局、區文體旅游局、區安委會成員單位、各鎮街等單位的分管領導參加了會議。
2021安全工作會議記錄2
6月12日上午,紅河學院在明德樓301會議室召開了校園安全工作會,聽取各學院校園安全工作相關情況匯報,就近期校園安全工作提出要求。
校長甘雪春,學校13個學院黨委書記、副書記,黨辦、校辦、組織部、宣傳部、保衛處、信息技術中心、教務處、團委、學生處等相關部門負責人參加會議。
會上,13個學院黨委書記及保衛處、學生處、后勤處等相關職能部門負責人匯報了5月份以來各單位組織開展的校園安全相關工作情況。
在聽取各單位相關工作情況匯報后,甘校長作了講話,他說:關于校園安全工作,學校已組織過多次演練,但是校園安全要警鐘長鳴,一刻也不能放松。畢業季已經到來,各單位除了做好畢業相關常規工作外,學生安全至關重要,各單位負責人一定要高度警惕,居安思危,增強責任意識;學生、后勤、保衛等部門及各學院要積極行動起來,加大隱患排查,及時消除隱患,把安全工作責任落實到位;如遇突發事故,要保持清醒頭腦,及時準確報告信息。各單位要加強溝通,切實負起責任,讓我們的學生健康快樂成長,順順利利畢業。
2021安全工作會議記錄3
5月20日,省經信委在長治市召開了全省信息安全工作會議,總結交流近幾年的信息安全工作,分析討論信息安全面臨的形勢和任務,并對下一步工作做出部署。
省經信委樊文彬副巡視員到會并講話,長治市陳鵬飛副市長在會上致辭,共同為省信息化和信息安全評測服務中心長治市工作站揭牌。
長治市經信委魏慶武主任,各市經信委分管主任和信息安全科科長,省經信委綜合處、技術創新處、電子信息處、信息安全協調處等有關人員,以及省信息化和信息安全評測服務中心和有關企業領導參加了會議。
會議期間,省經信委邀請信息安全專家分別就傳統網絡信息安全、工控信息安全方面的概念理論、政策標準和實戰案例等做了簡要講解,并分別與各市經信委圍繞“如何應對和解決嚴峻形勢下存在的工業控制系統信息安全問題,開展信息安全工作的思路方法、工作困難、意見建議及成立市級評測服務工作站的構想”等,與省評測服務中心及有關企業圍繞“工業控制系統信息安全測評試點工作如何開展”等進行了深入的交流討論。
樊文彬副巡視員指出,一是各市以信息安全測評為手段,發現信息安全問題,督促被測單位進行整改提高。二是信息安全是信息化發展的前提,信息化發展是信息安全的保障,信息安全和信息化發展要同步推進。三是信息安全工作關鍵是補漏洞、查隱患,重點圍繞工業控制系統信息安全開展工作。四是市級評測服務工作一定要依法依規開展,與被測單位充分交流互動,全程做好技術保密。
2021安全工作會議記錄4
安全會議時間:xxxx年**月
會議內容:
1、傳達上級部門安全工作會議精神,包括“防潮水事故”、國慶期間的安全工作等。
2、近期安全工作分析和總結,對工作取得的成績給予肯定和表揚,同時也指出不足之處.要求加強學校安全管理,尤其是大門口的進出人員以及夜間的巡邏。
3、繼續鞏固創建平安校園的.工作成果。
4、全校范圍內的校園安全及設施安全檢查。
5、布置保安開會的工作任務和內容。
6、接待校外人員時要有技巧,對不了解的情況不要回答。
7、獎勵表現好的、工作表現突出的保安人員。
參加人員:*********************
檢查的部位:教學樓、綜合樓、行政樓、宿舍、食堂、實驗樓及校園周邊環境和排查周邊有無組織散發的不良信息。
發現的問題:大門口的進出人員有時間空擋。
篇10
2013年以來,重鋼集團作為重慶市的大型重工業企業工控信息安全試點,進行了積極的探索和實踐。研究工控系統信息安全問題,制定工控系統信息安全實施指南,建立重鋼ICS工控信息安全的模擬試驗中心,進行控制系統信息安全的模擬試驗,采取措施提高重鋼控制系統的安全防御能力,以保證重鋼集團控制系統的信息安全和安全生產,盡到自己的社會責任。
1工控系統信息安全問題的由來
工業控制系統(industrycontrolsystem,以下簡稱ICS)信息安全問題的核心是通信協議缺陷問題。工控協議安全問題可分為兩類:
1.1ICS設計時固有的安全缺失
傳統的ICS采用專用的硬件、軟件和通信協議,設計上注重效率、實時性、可靠性,為此放棄了諸如認證、授權和加密等需要附加開銷的安全特征和功能,一般采用封閉式的網絡架構來保證系統安全。工業控制網的防護功能都很弱,幾乎沒有隔離功能。由于ICS的相對封閉性,一直不是網絡攻防研究關注的重點。
1.2ICS開放發展而繼承的安全缺失
目前,幾乎所有的ICS廠商都提出了企業全自動化的解決方案,ICS通信協議已經演化為在通用計算機\操作系統上實現,并運行在工業以太網上,TCP/IP協議自身存在的安全問題不可避免地會影響到相應的應用層工控協議。潛在地將這些有漏洞的協議暴露給攻擊者。隨著工業信息化及物聯網技術的高速發展,企業自動化、信息化聯網融合,以往相對封閉的ICS逐漸采用通用的通信協議、硬軟件系統,甚至可以通過實時數據采集網、MES、ERP網絡連接到企業OA及互聯網等公共網絡。傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向ICS擴散。因此在ICS對企業信息化系統開放,使企業生產經營獲取巨大好處的同時,也減弱了ICS與外界的隔離,“兩化融合”使ICS信息安全隱患問題日益嚴峻。
2重鋼ICS信息安全問題的探索
2.1重鋼企業系統架構
重鋼新區的建設是以大幅提升工藝技術和控制、管理水平,以科技創新和裝備大型化推進流程再造為依據,降本增效、節能減排為目的來完成的。各主要工藝環節、生產線都實現了全流程智能化管控。依據“產銷一體化”的思想,重鋼在各產線上集成,實現“兩化”深度融合,形成了一個龐大而復雜的網絡拓撲結構。
2.2生產管控系統分級
管控系統按控制功能和邏輯分為4級網絡:L4(企業資源計劃ERP)、L3(生產管理級MES)、L2(過程控制級PCS)、L1(基礎自動化級BAS)。重鋼新區L1控制系統有:浙大中控、新華DCS、西門子PLC、GEPLC、MOX、施耐德和羅克威爾控制系統等。各主要生產環節L1獨立,L2互聯,L3和ERP是全流程整體構建。
2.3重鋼企業網絡架
重鋼新區網絡系統共分為4個層次:Internet和專線區,主干網區域,服務器區域,L2/L3通信專網區。
(1)主干網區域包括全廠無線覆蓋(用于各網絡點的補充接入備用)和辦公終端接入,主干網區域與Internet和專線區之間通過防火墻隔離,并部署行為管理系統;
(2)主干網區域與服務器區域之間通過防火墻隔離;
(3)L2與L3之間由布置在L2網絡的防火墻和L3側的數據交換平臺隔離;
(4)L2和L1之間通過L2級主機雙網卡方式進行邏輯隔離,各生產線L2和L1遍布整個新區,有多種控制系統。
(5)OA與ERP和MES服務器之間沒有隔離。在L2以下沒有防火墻,現有的安全措施不能保證ICS的安全。
2.4ICS安全漏洞
經過分析討論,我們認為重鋼管控系統ICS可能存在以下安全問題:
(1)通信協議漏洞基于TCP/IP的工業以太網、PROIBUS,MODBUS等總線通信協議,L1級與L2級之間通信采用的OPC協議,都有明顯的安全漏洞。
(2)操作系統漏洞:ICS的HMI上Windows操作系統補丁問題。
(3)安全策略和管理流程問題:安全策略與管理流程、人員信息安全意識缺乏,移動設備的使用及不嚴格的訪問控制策略。
(4)殺毒軟件問題:由于殺毒軟件可能查殺ICS的部分軟件,且其病毒庫需要不定期的更新,故此,ICS操作站\工程師站基本未安裝殺毒軟件。
3重鋼工控系統信息安全措施
對重鋼來說,ICS信息安全性研究是一個新領域,對此,需要重點研究ICS自身的脆弱性(漏洞)情況及系統間通信規約的安全性問題,對ICS系統進行安全測試,同時制定ICS的設備安全管理措施。
3.1制定ICS信息安全實施指南
根據國際行業標準ANSI/ISA-99及IT安防等級,重鋼與重慶郵電大學合作,制定出適合國內實際的《工業控制系統信息安全實施指南》(草案)。指南就ICS和IT系統的差異,ICS系統潛在的脆弱性,風險因素,ICS網絡隔離技術,安全事故緣由,ICS系統安全程序開發與部署,管理控制,運維控制,技術控制等多方面進行具體的規范,并提出ICS的縱深防御戰略的主要規則。并提出ICS的縱深防御戰略的主要規則。ICS的縱深防御戰略:
(1)在ICS從應用設計開始的整個生命周期內解決安全問題;
(2)實施多層的網絡拓撲結構;
(3)提供企業網和ICS的網絡邏輯隔離;
(4)ICS設備測試后封鎖未使用過的端口和服務,確保其不會影響ICS的運行;
(5)限制物理訪問ICS網絡和設備;
(6)限制ICS用戶使用特權,(權、責、人對應);
(7)在ICS網絡和企業網絡分別使用單獨的身份驗證機制;
(8)使用入侵檢測軟件、防病毒軟件等,實現防御工控系統中的入侵及破壞;
(9)在工控系統的數據存儲和通信中使用安全技術,例如加密技術;
(10)在安裝ICS之前,利用測試系統測試完所有補丁并盡快部署安全補丁;
(11)在工控系統的關鍵區域跟蹤和監測審計蹤跡。
3.2建立重鋼ICS信息安全模擬試驗中心
由于重鋼新區企業網絡架構異常復雜,要解決信息安全問題,必須對企業網絡及ICS進行信息安全測試,在此基礎上對系統進行加固。為避免攻擊等測試手段對正在生產運行的系統產生不可控制的惡劣影響,必須建立一個ICS信息安全的模擬試驗中心。為此,采用模擬在線運行的重鋼企業網絡的方式,構建重鋼ICS信息安全的模擬試驗中心。這個中心也是重鋼電子的軟件開發模擬平臺和信息安全攻防演練平臺。
3.3模擬系統信息安全的測試診斷
重鋼模擬系統安全測試,主要進行漏洞檢測和滲透測試,形成ICS安全評估報告。重鋼ICS安全問題主要集中在安全管理、ICS與網絡系統三個方面,高危漏洞占很大比重。
(1)骨干網作為內外網數據交換的節點,抗病毒能力弱、有明顯的攻擊路徑;
(2)生產管理系統中因為網絡架構、程序設計和安全管理等方面的因素,存在諸多高風險安全漏洞;
(3)L1的PLC與監控層之間無安全隔離,ICS與L2之間僅有雙網卡邏輯隔離,OA和ERP、MES的網絡拓撲沒有分級和隔離。對外部攻擊沒有防御手段。雖然各部分ICS(L1)相對獨立,但整個系統還是存在諸多不安全風險因素,主要有系統層缺陷、滲透攻擊、緩沖區溢出、口令破解及接口、企業網內部威脅五個方面。通過對安全測試結果進行分析,我們認為攻擊者最容易采用的攻擊途徑是:現場無線網絡、辦公網—HMI遠程網頁—HMI服務器、U盤或筆記本電腦在ICS接入。病毒最容易侵入地方是:外網、所有操作終端、調試接入的筆記本電腦。
3.4提高重鋼管控系統安防能力的措施
在原有網絡安全防御的基礎上根據ICS信息安全的要求和模擬測試的結果,我們采取一系列措施來提高重鋼管控系統的措施。
3.5安全管理措施
參照《工業控制系統信息安全實施指南》(草案),修訂《重鋼股份公司計算機信息網絡管理制度》,針對內部網絡容易出現的安全問題提出具體要求,重點突出網絡安全接入控制和資源共享規范;檢查所有ICS操作員\工程師站,封鎖USB口,重新清理所有終端,建立完整的操作權限和密碼體系。封鎖大部分骨干網區的無線接入,增加現場無線設備的加密級別。
3.6系統加固措施
3.6.1互聯網出口安全防護第一層:防火墻——在原來配置的防火墻上,清理端口,精確開放內部服務器服務端口,限制主要網絡木馬病毒入侵端口通訊;第二層:行為管理系統——對內外通訊的流量進行整形和帶寬控制,控制互聯網訪問權限,減少非法的互聯網資源訪問,同時對敏感信息進行控制和記錄;第三層:防病毒系統——部署瑞星防毒墻對進出內網的網絡流量進行掃描過濾,查殺占據絕大部分的HTTP、FTP、SMTP等協議流量,凈化內網網絡環境;
3.6.2內網(以太網)安全部署企業版殺毒系統、EAD準入控制系統(終端安裝),進行交換機加固,增加DHCP嗅探功能,拒絕非法DHCP服務器分配IP地址,廣播風暴抑制。
3.6.3工業以太網安全L1級安全隔離應考慮ICS的特點:
(1)PLC與監控層及過程控制級一般采用OPC通訊,端口不固定。因此,安全隔離設備應能進行動態端口監控和防御。
(2)工控系統實時性高,要求通信速度快。因此,為保證所處理的流量較少,網絡延時小,實時性好,安全隔離設備應布置在被保護設備的上游和控制網絡的邊緣。圖3安全防御技術措施實施簡圖經過多方比較,現采用數據采集隔離平臺和智能保護平臺。在PLC采用終端保護,在L1監控層實現L1區域保護,在PCS與MES、ERP和OA之間形成邊界保護。接著考慮增加L1外掛監測審計平臺和漏洞挖掘檢測平臺。
3.6.4數據采集隔離平臺在L1的OPC服務器和實時數據庫采集站之間實現數據隔離,采用數據隔離網關+綜合管理平臺實現:動態端口控制,白名單主動防御,實時深度解析采集數據,實時報警阻斷。
3.6.5智能保護平臺快速識別ICS系統中的非法操作、異常事件及外部攻擊并及時告警和阻斷非法數據包。多重防御機制:將IP地址與MAC地址綁定,防止內部IP地址被非法盜用;白名單防御機制:對網絡中所有不符合白名單的安全數據和行為特征進行阻斷和告警,消除未知漏洞危害;黑名單防御機制:根據已知漏洞庫,對網絡中所有異常數據和行為進行阻斷和告警,消除已知漏洞危害。邊界保護:布置在L1邊界,監控L1網絡中的保護節點和網絡結構,配置信息以及安全事件。區域保護:布置在L1級ICS內部邊界,防御來自工業以太網以外及ICS內部其他區域的威脅。終端保護:布置在終端節點,防御來自外部、內部其他區域及終端的威脅。綜合管理平臺:通過對所在工控網絡環境的分析,自動組合一套規則與策略的部署方案;可將合適的白名單規則與漏洞防護策略下發部署到不同的智能保護平臺。
4結束語
