網絡及計算機安全培訓
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡及計算機安全培訓范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡及計算機安全培訓范文第1篇
在實際工作中,信息化的發展已經成為社會經濟生活中一種明顯的流行趨勢。信息化建設、信息數據資源的共享發展,都極大的促進了社會信息化的發展。信息化主要是以培養、發展以計算機為主的智能化工具為標志的一種新的生產力。信息化具體的運用在實際工作中,是具有一定的規模、組織的信息網絡體系。因此,信息化安全發展成為信息化建設與發展中必須關注的一個問題。信息化安全在計算機管理中具有非常重要的地位,發揮在企業計算機管理中發揮信息化的優勢,并確保信息化安全問題,才能更好的使其為實現信息數據資源平臺的建設,發揮積極的作用。
2信息化安全在計算機管理中存在的問題
為了更好的促進信息化安全在計算機管理工作中的運用,使之可以進一步促進企業持續的發展下去,關注信息化安全在計算機管理中存在的問題,才能使存在的問題及時的得到解決。只有確保信息化在計算機管理中的安全性,才能積極的采取有效的措施,保證企業的信息化建設事業順利的開展下去。目前,計算機信息化缺乏專業的管理、信息化運行過程中存在安全漏洞、計算機安全信息化相對利用率低等問題,是信息化安全在計算機管理中出現的主要問題。
2.1計算機信息化缺乏專業的管理
計算機信息化缺乏專業的管理,使信息化安全的沒有得到一定的重視。在實際管理工作中,缺乏專業的工作人員對信息化安全運行工作進行監管。加之部門管理人員不具備一定的專業技術,在處理計算機系統故障方面往往會受專業技術的限制,無法有效的解決問題,極易造成其區域性網絡癱瘓,嚴重影響企業的正常工作,甚至會因為計算機故障導致企業信息管理的安全出現問題。
2.2信息化運行過程中存在安全漏洞
在企業的日常工作中,計算機在運行的過程中,常常由于忽略保護性能使計算機軟件或者硬件設備出現故障問題,導致病毒侵入、瀏覽網頁無法正常進行,大量垃圾信息涌入等問題出現。計算機系統一旦被病毒侵入,電腦用戶儲存的個人信息及日常使用信息就容易被泄露。在具體的工作中,由于工作人員不注意為維護計算機系統安全,往往導致大量的儲存信息被泄露出去,給企業的正常業務開展造成了極大的不利影響。在計算運行中缺乏一定的系統保護程序,使信息化運行過程中存在安全漏洞無法得到有效的解決。
2.3計算機安全信息化相對利用率低
計算機安全信息化相對利用率低,主要是是指在我國計算機的利用率與發達國家相比,仍存在一定的差距,計算機更多的用于高新技術企業經營管理、文化單位等。高新技術企業經營管理、文化單位等,計算機安全信息化專業性偏高,在此基礎之上進行計算機安全信息化的普及發展,對我國計算機的發展水平提出了更高的標準。因此,計算機安全信息化相對利用率低,一直沒有得到很好的解決。
3發展信息化安全的有效對策
在社會經濟的發展中,企業需要在激烈的市場競爭中提高自身的競爭力,才能獲得一定的生存發展空間。信息化安全在計算機安全管理中的高效運用,是企業在社會經濟發展中提升競爭力的重要策略之一。針對信息化安全在企業計算機管理運用中存在的問題,積極的探究解決的有效對策,也是完善企業信息化建設事業發展的重要基礎。
3.1強化信息安全管理的專業化發展
在企業的發展中,信息化是計算機管理中非常關鍵的一個工作環節,不斷強化信息安全管理的專業化發展,需要企業加強自身網絡的建設以及進一步為保障信息化安全的過程采取措施,才能將信息化安全管理的發展理念,切實運用到實際的工作環節中。強化信息安全管理的專業化發展,能夠在很大程度上,提高信息化安全性能,避免企業信息的泄露及工作網絡系統的正常工作。
3.2重視查補信息化安全管理的漏洞
在信息化建設的過程中,重視查補信息化安全管理的漏洞,通過查缺補漏、及時更新軟件、應景設備的方式,進一步減小信息化過程中不安全問題導致的經濟損失,對于企業的長期發展而言,具有重要的發展意義。在日常工作中,可以在企業允許的條件下,建立計算機系統的病毒防護措施,完善相關的系統安全防護措施,通過防火墻有效的防止大量病毒入侵企業的計算機系統。通過,通過相關人員的定期檢查工作,及時更新過期的零部件,提高信息化安全性。不斷的實踐經驗表明,重視查補信息化安全管理的漏洞,可以有效的降低信息化安全管理工作中出現嚴重的問題,是保證企業的信息安全及正常業務開展的一項基礎性工作。
3.3提高計算機安全信息化的利用率
提高計算機安全信息化的利用率,需要企業組織專業的信息化安全團隊,針對如何提高計算機安全信息化管理工作,深入探究有效的對策及措施。在企業的日常管理工作中,管理者應重視專業人才隊伍的培養,定期組織專業性的培訓會,提高工作人員的業務水平。其次,吸收具有專業勝任能力的人員為企業服務,通過專業人才的儲備管理工作,提高信息化的有效利用率。此外,依據工作人員的專業能力,積極的鼓勵其參加信息化安全培訓,提高其自身網絡安全管理技術水平,對于保證信息化安全在計算機管理中的高效運用,也具有一定的現實意義。
4結束語
網絡及計算機安全培訓范文第2篇
關鍵詞:網絡安全;校園網;計算機病毒;防火墻
中圖分類號:TP393.18 文獻標識碼:A文章編號:1007-9599 (2011) 08-0000-01
The Campus Network Security and Defense Technology
Yao Weiguo,Zhang We
(Nanchang Institute of Technology,Nanchang330000,China)
Abstract:The concept of security from the network,analyzes the current campus network security risks,and then make the campus network management,technical and emergency response of specific measures and several commonly used network security technology to ensure the campus network system To safe operation.
Keywords:Network security;Campus network;Computer virus;Firewall
計算機網絡安全是計算機安全概念在網絡環境下的擴展,深入了解計算機系統安全的基本概念,是進一步了解計算機網絡安全的基礎。國際標準化組織為計算機安全做了如下定義:為保護數據處理系統而采取的技術和管理的安全措施,保護計算機硬件、軟件和數據不會因偶然和故意的原因而遭到破壞、更改和泄露。
一、目前校園網絡中的主要安全隱患
(一)網絡系統自身的漏洞的威脅。網絡設備和計算機軟件不可能是十全十美的,在設計和開發的過程中,不可避免會出現一些缺陷和漏洞,漏洞包括許多方面:如操作系統的安全漏洞、數據庫及應用軟件的安全漏洞、TCP/IP協議的安全漏洞、網絡軟件和服務的安全漏洞等。另外,編程人員為自己方便而在軟件中留有“后門”,這些漏洞、缺陷以及“后門”恰恰是黑客進行攻擊的首選目標。
(二)機房軟件系統的漏洞問題。目前,高校網絡機房使用的操作系統軟件大多使用徽軟件的Windows操作系統,主要有Windows 2003 Server、Windows xp、linux等,這些系統自身有漏洞,雖然推出了一些針對性的補丁程序,但也不可避免地容易遭到病毒或人為因素的破壞,其存在的系統漏洞已成為網絡攻擊的一大目標。在高校計算機房接入Internet后,使得用戶的信息庫實際上如同向外界敞開了一扇大門,入侵者可以在受害人毫無察覺的情況下侵入信息系統,進行偷窺、復制、更改或者刪除計算機信息,給教學帶來很大的影響。
(三)計算機病毒肆虐。由于計算機實驗室上機的人數多,學生可以攜帶磁盤進出計算機機房,還要上網,所以計算機很容易感染上病毒。當其中一臺計算機中病毒后就會成為病毒傳染的源頭,以各種方式傳染其它計算機,輕則破壞文件,影響系統正常運行,重則破壞磁盤數據、刪除文件,感染整個機房,甚至造成機房計算機和計算機網絡系統癱瘓、數據和文件丟失,導致系統崩潰。
(四)安全保障制度落實不到位。沒有嚴格執行用戶的標識與鑒別制度及賬號認證制度對主要信息進行加密,對登錄數據庫服務器的用戶的權限沒有進行嚴格的限制,同時沒有隨時清除不需要的系統和賬戶和不需要的網絡服務等,不能有效地防范病毒對系統和網絡的攻擊。
二、防范技術及措施
對于不同的計算機網絡安全威脅,我們該如何防范呢?筆者認為,建設相對較好的防范體系必須從管理、技術及應急方案等方面入手。
(一)管理層面。
1.建設完整的防范制度和防范策略。針對一個校園網制定安全保密制度、校園網用戶接入互聯網安全使用手冊,對大型移動存儲設備和U盤的使用進行嚴格要求或控制,比如說有些實驗室只允許郵件收發文件,不允許采用上述設備。對重要數據嚴格執行時時備份制度。
2.每周上報安全檢查和運行機制報告。建立周上報機制,通過對網絡中運行的設備、流量、故障率等報告分析,得出網絡設備及軟件運行是否正常,發現問題主導原因,針對性的優化設置,增強運行能力。
3.加強網絡安全培訓,提高用戶安全防范意識。所有用戶進行定期網絡安全的培訓,提高用戶自身防范能力。對網絡中心或機要中心的主負責人簽訂保密協議,進行專業化、強化實踐能力的培訓。密碼實行多元化管理體制,定期更換并做記要日志備案。
4.建立有效的網絡安全防范、病毒防治體系和系統恢復方案。校園網的管理部門要嚴密注意國家計算機病毒應急處理中心的病毒疫情,及時做好預防工作,避免大規模疫情暴發,同時對各級網絡及服務器系統做好系統恢復應急預案,當病毒爆發時,可盡快恢復系統,將損失降到最低。
(二)技術層面。
1.優化網絡方案設計。對網絡拓撲圖進行優化設計,按實際情況合理的劃分成若干個子網。每個子網對應固定的交換機端口,區域的計算機只能在相應的位置范圍內使用。
2.建立一卡通制度。所有用戶進行實名制(職工號)入網登記,通過數據加密、身份驗證等來核實通信對方的真實身份等。設置入網時限,如在設定的時間內無流量,自動斷開網絡。對有問題的PC機,可以迅速確定位置并解決問題。
3.采用硬件、軟件網絡防火墻技術、入侵防御系統及核心交換機上的訪問控制規則。建立硬件、軟件網絡防火墻,入侵防御系統Symantec防病毒系統及核心交換機上配置訪問機制。
4.建立垃圾郵件過濾器、對三大服務器(Web服務器,郵件服務器,Ftp服務器)進行加固,對IP訪問限制。
5.外部設備使用的安全方法。對使用外來移動盤及打開電子郵件和互聯網文件之前先做病毒檢查,確認無毒后再使用或打開。對移動設備打開時,最好使用Windows資源管理器的方式打開,切記不可雙擊打開。
三、結束語
網絡安全是一個綜合性的課題,涉及到技術、管理、使用等許多方面。網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。但任何網絡安全和數據保護的防范措施都是有一定的限度,網絡安全只是相對的,沒有一勞永逸的網絡安全體系。在信息網絡化的時代,不斷有新的安全問題出現,不斷有新的解決方案,網絡安全作為一個產業也將隨著新技術發展而不斷發展。
參考文獻:
[1]韓筱卿.計算機病毒分析與防范大全(第2版)[M].北京:電子工業出版社,2008
網絡及計算機安全培訓范文第3篇
1.1計算機病毒的概念
在當前社會發展的過程中,人們對計算機病毒也有著比較深刻的認識,并且也已經開始采用相關的防治措施和技術手段來對計算機病毒進行有效的控制處理。目前,在我國《中華人民共和國計算機信息系統安全保護條例》中對計算機病毒也已經有了明確的規定,它是指程序編制著在計算機程序中,插入對計算機系統功能或者數據有著破壞性的計算機指令或者程序代碼,從而對計算機系統的正常使用和自我控制有著極大的影響。不過,我們在這里所說的計算機病毒和醫學上的病毒并不相同,它雖然在某些地方具有病毒的特性,但是不具有生命,而且也不是天然存在的,它主要是依靠程序編制人員制作而來的。從而對其他用戶計算機系統的安全使用有著極大的危害性。
1.2計算機病毒的特性和傳播途徑
目前,人們所發現的計算機病毒都具有以下幾種特點:第一,繁值性。計算機病毒它和醫療上所說的“病毒”一樣,都具有極強的繁殖性,在正常的計算機系統中,它可以進行自我的快速復制。第二,破壞性。計算機系統在中毒以后,通常都會導致其系統程序無法正常的使用,從而造成系統或者文件的損壞;第三,潛伏性。有些計算機病毒具有極強的潛伏功能,它可以在計算機系統當中呆上幾天,甚至幾年,而且很難被殺毒軟件發現;第四,傳染性。隨著時代的發展,計算機病毒的種類也在逐漸的增多,其特性也在不斷的增強,這也導致計算機病毒傳染性變得更強。目前計算機病毒傳統的途徑主要有三種:①通過磁性介質,比如硬盤、U盤等;②光學介質;③網絡,當前大多數計算機病毒都是通過網絡來進行計算機病毒的傳播。而且我們在對計算機病毒的傳染性進行分析研究的過程中,人們也可以通過其介質的不同將其分成靜態傳染和動態傳染這兩種。
2供電企業計算機病毒預防
目前,多數企業網絡中存在隱患多、漏洞大、容易被入侵等問題,實際給病毒傳播留下較大空間。從以上所介紹的病毒傳播途徑來看,企業網絡傳播成為主要途徑,如通過系統的漏洞及木馬、黑客等多種技術融合造成,還有因蠕蟲病毒擁塞導致企業網癱瘓,由此可見,企業計算機病毒與網絡關系密切。
2.1建立網絡監控體系,強化企業網絡管理水平
企業防病毒已經成為信息網絡安全的重要內容,而企業網絡管理就很有必要要求企業建立網絡監控體系,從而可以提高網絡安全系數。目前,很多“病毒”入侵企業內部網絡的原因和管理不到位有關,比如計算機管理員為了減少工作量而開放了員工的操作權限,造成“病毒”有機會入侵。因此,加強企業計算機安全管理,是最有效的防止“病毒”破壞的手段。①建立監控,提高用戶防范意識。企業防病毒工作是一項復雜、長期的任務,需要全體人員配合,提高對病毒的警覺和防范意識。所以,企業必須對員工強化培訓,提高用戶的防范意識。作為企業網絡管理員,可以建立一套計算機安全培訓手冊,使企業員工更多掌握最基本的病毒防治技術及體系,能夠較好配合企業網絡管理員完成所在部門的病毒防治工作。管理員應對防毒軟件和防火墻代表用戶啟用重要客戶端的防護層,在每一個員工的計算機上安裝防火墻軟件,如瑞星、金山等病毒防火墻軟件,可實時監控并查殺病毒,還應安裝360安全衛士防護軟件。目前,企業應用具有故障檢測、性能監測、流量分析功能的網管系統,建立網絡資源監控體系。加強網絡安全管理,比如對網絡訪問行為進行控制,該封閉就要封閉,該屏蔽就要必須屏蔽,這樣就可以切斷病毒傳播。②從入口攔截病毒。企業網絡安全遭受威脅大多數來自傳送郵件和其他文件。因此,建議企業計算機安裝服務器過濾軟件息。對于企業內的郵件管理,可以避免經由Internet網關進入內部網絡,也可以過濾由內部寄出的內容不當的郵件,更能避免造成網絡帶寬的不當占用。因此,從入口處攔截病毒,這將是企業計算機病毒預防的一個重要環節。用戶上網攔截限制。網關中內置了一些網站的分類信息和各種軟件的信息,這些信息還可以定期升級,可以根據實際情況對用戶的行為進行限制,如不允許用戶在上班時間使用QQ等,方便了企業的管理。
2.2建立高性能電力企業計算機網絡設施
由于網絡建設發展過程較長,網絡上連接的設備及運行軟件不可能一致,網絡應以標準化和規范化為基礎,實現較強的互連性和兼容性,能容納多種操作系統及多家廠商的硬件傳輸速度要快,性能可靠,既能滿足現時的需求,還應為遠期目標留有充分余地網絡應具有互操作性,這樣可考慮企業網絡產品兼容和平滑升級。由于Windows防火墻會限制計算機與Internet之間的通信,可將Windows防火墻配置為僅阻止連接至USB端口的設備的連接嘗試,并允許通過您的網卡進行連接。同時,還可以建立一個多層次、全方位的防病毒體系,重新編制IP地址,根據企業各部門分配的IP地址段與使用者對上號,這樣管理員在網關里綁定IP和主機MAC地址。
3結語
網絡及計算機安全培訓范文第4篇
【關鍵詞】計算機網絡安全管理措施
一、引言
隨著計算機網絡的普,在日常的工作中計算機得到廣泛的應用,同時,計算機安全問題也隨之而來,引發計算機網絡安全事故的原因是多方面的,例如:網上黑客、非法侵入他人空間,破譯他人密碼盜取信息,對系統數據胡亂修改,惡意編制計算機病毒等信息安全事件時有發生,嚴重的影響了信息的安全性和人們日常工作的正常進行。
二、計算機網絡管理的內容及構成威脅的因素
計算機網絡管理主要包括以下三個方面的內容:1.網絡實體安全;2.軟件安全;3.數據安全。
對計算機網絡安全構成威脅的因素主要表現在以下幾個方面:1、網絡系統自身的問題;2、外界因素困擾;3、用戶自身的問題。
三、計算機網絡安全管理的若干技巧
3.1計算機網絡安全管理涉及到的技術
具體說來當前計算機網絡管理的安全技術主要包括以下幾個方面:1、計算機加密技術:計算機加密技術主要針對計算機內部信息的維護,保護計算機和網絡信息的安全性。當前的加密技術已經變革了傳統加密技術的單一結構,形成了以保密性、真實性、完整性、可控性為一體的計算機加密系統,這為保護計算機的信息安全起到了重要作用。2、計算機網絡防病毒技術:網絡防病毒技術主要是指通過專門的技術手段防止計算機病毒對系統造成的破壞。計算機防毒主要包括病毒預防和病毒清理兩個方面,其中計算機病毒預防與病毒檢測技術的發展緊密聯合,系統需要根據時下最新的病毒及時更新病毒庫。3、網絡管理和通信安全技術:網絡管理主要是對計算機內部的網絡使用情況進行全面的監控,可以管理計算機上網流量、計算機網關管理、故障檢測報警等功能。網絡管理系統會對計算機本身的網絡狀況進行智能自動化檢測,從而提高計算機網絡的可靠性和可信度。4、計算機防火墻技術:防火墻技術是防止計算機網絡非法訪問的重要手段,主要分為包過濾型、網絡地址轉換型、型、監測型的防火墻。不同類型的防火墻都具備加強網絡訪問控制的功能,能夠防止外部網絡用戶的非法侵入。
3.2計算機網絡安全管理的具體技巧
3.2.1技術層上的防護策略
(1)安裝防火墻:它實際是一種隔離技術,是使內部網與外部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。(2)要使用正版軟件:安裝正版操作系統,不安裝盜版操作系統,盜版系統或軟件往往存在漏洞或病毒。(3)及時修復系統補丁:黑客通常利用系統漏洞開展攻擊,所以我們要開啟windows自動更新,及時修補漏洞,或使用360安全衛士等工具更新升級系統。(4)安裝殺毒軟件:計算機網絡安全是一個系統工程,殺毒軟件只是其中的一環,但沒殺毒軟件,病毒更易入侵。所以用戶要安裝一款適合自己的殺毒軟件,并經常檢查其功能,使自己的計算機時刻處在殺毒軟件的保護下。(5)注重移動存儲介質使用安全:木馬病毒經常利用移動存儲介質的自動播放功能入侵用戶計算機,所以用戶要禁用移動存儲介質的自動播放功能,必要時使用殺毒軟件對其進行病毒查殺。(6)安裝入侵檢測技術系統:入侵檢測是對防火墻技術的一種邏輯補償技術,是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統受到危害之前攔截相應入侵,是一種積極主動的安全防護技術。
3.2.2管理層次上的安全防護策略
(1)制定和完善機關計算機網絡安全規章制度:加強統一管理,規范單位上網管理,做到有章可循,在機關內部筑起一道由規章制度建成的“防火墻”。(2)提高信息安全意識:加強單位人員信息安全培訓,提高人員信息安全意識。通過培訓,使大家意識到目前計算機互聯網面臨的各種主要危威脅,重視信息安全,提高自我保護意識。(3)加強系統備份及恢復:對個人計算機的操作系統和文件要進行備份,尤其是重要數據要定期備份。(4)落實責任:對計算機網絡安全管理實行“準主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,從科室開一級級落實護責任制,加強制度建設,逐步實現管理的科學化、規范化。
四、小結
本文首先探討了計算網絡管理的內容,然后分析了對計算機網絡管理安全構成威脅的因素,同時探路了計算機網絡安全管理涉及到的技術,最后從實際應用的角度出發探討了若干計算機網絡安全管理的技巧。
參考文獻
[1]張彥忠.論計算機網絡安全管理技術.計算機光盤與應用. 2012(22),171-173
網絡及計算機安全培訓范文第5篇
【 關鍵詞 】 工業控制系統;scada;安全防護;解決方案
1 引言
現代工業控制系統(ics)包括數據采集系統(scada),分布式控制系統(dcs),程序邏輯控制(plc)以及其他控制系統等,目前已應用于電力、水力、石化、醫藥、食品以及汽車、航天等工業領域,成為國家關鍵基礎設施的重要組成部分,關系到國家的戰略安全。為此,《國家信息安全產業“十二五”規劃》特別將工業控制系統安全技術作為重點發展的關鍵技術之一。
與傳統基于tcp/ip協議的網絡與信息系統的安全相比,我國ics的安全保護水平明顯偏低,長期以來沒有得到關注。大多數ics在開發時,由于傳統ics技術的計算資源有限,在設計時只考慮到效率和實時等特性,并未將安全作為一個主要的指標考慮。隨著信息化的推動和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時,也帶來了ics的安全問題,如木馬、病毒、網絡攻擊造成信息泄露和控制指令篡改等。工業基礎設施中關鍵ics系統的安全事件會導致出現:(1)系統性能下降,影響系統可用性;(2)關鍵控制數據被篡改或喪失;(3)失去控制;(4)嚴重的經濟損失;(5)環境災難;(6)人員傷亡;(7)破壞基礎設施;(8)危及公眾安全及國家安全。
據權威工業安全事件信息庫risi(repository of security incidents)的統計,截止2011年10月,全球已發生200余起針對工業控制系統的攻擊事件。2001年后,通用開發標準與互聯網技術的廣泛使用,使得針對ics系統的攻擊行為出現大幅度增長,ics系統對于信息安全管理的需求變得更加迫切。
典型工業控制系統入侵事件:
(1) 2007年,攻擊者入侵加拿大的一個水利scada控制系統,通過安裝惡意軟件破壞了用于取水調度的控制計算機;
(2) 2008年,攻擊者入侵波蘭某城市的地鐵系統,通過電視遙控器改變軌道扳道器,導致4節車廂脫軌;
(3) 2010年,“網絡超級武器”stuxnet病毒通過針對性的入侵ics系統,嚴重威脅到伊朗布什爾核電站核反應堆的安全運營;
(4) 2011年,黑客通過入侵數據采集與監控系統scada,使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。
2 工業控制系統的安全分析
分析可以發現,造成工業控制系統安全風險加劇的主要原因有兩方面。
首先,傳統工業控制系統的出現時間要早于互聯網,它需要采用專用的硬件、軟件和通信協議,設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。
其次,互聯網技術的出現,導致工業控制網絡中大量采用通用tcp/ip技術,工業控制系統與各種業務系統的協作成為可能,愈加智能的ics網絡中各種應用、工控設備以及辦公用pc系統逐漸形成一張復雜的網絡拓撲。另一方面,系統復雜性、人為事故、操作失誤、設備故障和自然災害等也會對ics造成破壞。在現代計算機和網絡技術融合進ics后,傳統icp/ip網絡上常見的安全問題已經紛紛出現在ics之上。例如用戶可以隨意安裝、運行各類應用軟件、訪問各類網站信息,這類行為不僅影響工作效率、浪費系統資源,而且還是病毒、木馬等惡意代碼進入系統的主要原因和途徑。以stuxnet蠕蟲為例,其充分利用了伊朗布什爾核電站工控網絡中工業pc與控制系統存在的安全漏洞(lik文件處理漏洞、打印機漏洞、rpc漏洞、wincc漏洞、s7項目文件漏洞以及autorun.inf漏洞)。
2.1 安全策略與管理流程的脆弱性
追求可用性而犧牲安全,這是很多工業控制系統存在普遍現象,缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題,很多已經實施了安全防御措施的ics網絡仍然會因為管理或操作上的失誤,造成ics系統出現潛在的安全短板。例如,工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。
作為信息安全管理的重要組成部分,制定滿足業務場景需求的安全策略,并依據策略制定管理流程,是確保ics系統穩定運行的基礎。參照nerccip、ansi/isa-99、iec62443等國際標準,目前我國安全策略與管理流程的脆弱
性表現為:(1)缺乏安全架構與設計;(2)缺乏ics的安全策略;(3)缺乏ics安全審計機制;(4)缺乏針對ics的業務連續性與災難恢復計劃;(5)缺乏針對ics配置變更管理;(6)缺乏根據安全策略制定的正規、可備案的安全流程(移動存儲設備安全使用流程與規章制度、互聯網安全訪問流程與規章制度);(7)缺乏ics的安全培訓與意識培養;(8)缺乏人事安全策略與流程(人事招聘、離職安全流程與規章制度、ics安全培訓和意識培養課程)。
2.2 工控平臺的脆弱性
由于ics終端的安全防護技術措施十分薄弱,所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點,在終端上發生、發起,并通過網絡感染或破壞其他系統。事實是所有的入侵攻擊都是從終端上發起的,黑客利用被攻擊系統的漏洞竊取超級用戶權限,肆意進行破壞。注入病毒也是從終端發起的,病毒程序利用操作系統對執行代碼不檢查一致性弱點,將病毒代碼嵌入到執行代碼程序,實現病毒傳播。更為嚴重的是對合法的用戶沒有進行嚴格的訪問控制,可以進行越權訪問,造成不安全事故。
目前,多數ics網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離,各個工業自動化單元之間缺乏可靠的安全通信機制,數據加密效果不佳,工業控制協議的識別能力不理想,加之缺乏行業標準規范與管理制度,工業控制系統的安全防御能力十分有限。例如基于dcom編程規范的opc接口幾乎不可能使用傳統的it防火墻來確保其安全性,在某企業的scada系統應用中,需要開放使用opc通訊接口,在對dcom進行配置后,刻毒蟲病毒(計算機頻繁使用u盤所感染)利用windows系統的ms08-67漏洞進行傳播,造成windows系統頻繁死機。 另一種容易忽略的情況是,由于不同行業的應用場景不同,其對于功能區域的劃分和安全防御的要求也各不相同,而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業控制系統的補丁管理效果始終無法令人滿意,考慮到ics補丁升級所存在的運行平臺與軟件版本限制,以及系統可用性與連續性的硬性要求,ics系統管理員絕不會輕易安裝非ics設備制造商指定的升級補丁。與此同時,工業系統補丁動輒半年的補丁周期,也讓攻擊者有較多的時間來利用已存在漏洞發起攻擊。以stuxnet蠕蟲為例,其惡意代碼可能對siemens的cpu315-2和cpu417進行代碼篡改,而siemens的組態軟件(wincc、step7、pcs7)對windows的系統補丁有著嚴格的兼容性要求,隨意的安裝補丁可能會導致軟件的某些功能異常。
2.3 網絡的脆弱性
ics的網絡脆弱性一般來源于軟件的漏洞、錯誤配置或者ics網絡管理的失誤。另外,ics與其他網絡互連時缺乏安全邊界控制,也是常見的安全隱患。當前ics網絡主要的脆弱性集中體現在幾個方面。
(1) 網絡配置的脆弱性(有缺陷的網絡安全架構、未部署數據流控制、安全設備配置不當、網絡設備的配置未存儲或備份、口令在傳輸過程中未加密、網絡設備采用永久性的口令、采用的訪問控制不充分)。
(2) 網絡硬件的脆弱性(網絡設備的物理防護不充分、未保護的物理端口、喪失環境控制、非關鍵人員能夠訪問設備或網絡連接、關鍵網絡缺乏冗余備份)。
(3) 網絡邊界的脆弱性(未定義安全邊界、未部署防火墻或配置不當、用控制網絡傳輸非控制流量、控制相關的服務未部署在控制網絡內)。
(4) 網絡監控與日志的脆弱性(防火墻、路由器日志記錄不充分、ics網絡缺乏安全監控)。
(5) 網絡通信的脆弱性(未標識出關鍵的監控與控制路徑、以明文方式采用標準的或文檔公開的通信協議、用戶、數據與設備的認證是非標準的。
(6) 或不存在、通信缺乏完整性檢查。
(7) 無線連接的脆弱性(客戶端與ap之間的認證不充分、客戶端與ap之間的數據缺乏保護)。
3 工業控制系統的安全解決方案
工業控制系統的安全解決方案必須考慮所有層次的安全防護安全解決方案,必須考慮所有層次的安全防護。
(1) 工廠安全(對未經授權的人員阻止其訪問、物理上防止其對關鍵部件的訪問)。
(2) 工廠it安全(采用防火墻等技術對辦公網與自動化控制網絡之間的接口進行控制、進一步對自動化控制網絡進行分區與隔離、部署反病毒措施,并在軟件中采
用白名單機制、定義維護與更新的流程)。
(3) 訪問控制(對自動化控制設備與網絡操作員進行認證、在自動化控制組件中集成訪問控制機制)工業場景下的安全解決方案必須考慮所有層次的安全防護。
根據國內ics及企業管理的現狀,建議ics的信息安全機制的建立從三個方面考慮:1)借鑒國際規范制定適合我國國情的ics分區分級安全管理及隔離防護機制,制定相關技術標準,鼓勵國內相關企業開發符合相關技術標準的專業防火墻、隔離網關等專業產品;2)按ics系統的應用類型建立工控網絡信息安全網絡架構規范和組網原則,制定ics系統網絡設備選取及運行管理規范,禁止接入外來不可信存儲設備;3)建立市場準入機制并制定相關文件。
目前,國內大型成套設備的ics系統基本上以國外工控系統為主,甚至有些設備直接是國外全套進口的。國外廠商在ics系統集成、調試和后續維護上有許多辦法和手段以降低工程項目的后期運行維護成本。其中最典型的手段就是設備的遠程維護,包括監控、診斷、控制和遠程代碼升級。這些功能的實施通常是借助外部公共網絡平臺遠程操控。這些功能方便了系統開發建造商,但給我們的大型(包括重點)工業項目的日后運行帶來重大隱患。外部攻擊者可以通過這些路由控制或改變、介入并控制ics系統。從信息安全的角度應嚴格控制國外具有遠程外部操作后門的ics系統與裝置進入國內核心工控系統。另外,隨著高性能的通用pc平臺與工控系統對接,越來越多的工控核心裝置采用pc硬件平臺和微軟操作系統作為系統的核心,這樣做的好處是借助pc平臺和微軟軟件系統下的大量高性能軟件資源降低開發成本。但這樣做的危害是將工控系統置于pc平臺中的各種病毒和網絡攻擊的威脅下。雖然相關企業不斷推出各種補丁與升級,但工控系統24小時常年不斷的運行模式使得這種間歇式的軟件修補與升級顯得非常無助。所以選用基于pc硬件平臺和微軟操作系統的底層ics裝置進入核心工控系統應該予以認真考慮。
參考文獻
[1] 王孝良,崔保紅,李思其.關于工控系統的安全思考與建議.第27次全國計算機安全學術交流會,2012.08.
[2] 張帥.ics工業控制系統安全分析.計算機安全,2012.01.
[3] 唐文.工業基礎設施信息安全.2011.
[4] 石勇,劉巍偉,劉博.工業控制系統(ics)的安全研究.網絡安全技術與應用,2008.04.
作者簡介:
