信息网络安全风险及管控对策 本文关键词:网络安全,对策,风险,信息
信息网络安全风险及管控对策 本文简介:摘要:本文主要探讨供电系统的信息安全运用和发展、安全防护方案、安全防护技术手段和网络安全工作需要注意的问题,并且针对信息安全从技术和管理角度做出分析,讨论了确保供电系统实时运行控制以及管理信息网络系统信息安全的相关措施,并且以供电系统为例,做出针对性的分析。关键词:供电系统;信息网络;安全风险;管控
信息网络安全风险及管控对策 本文内容:
摘要:本文主要探讨供电系统的信息安全运用和发展、安全防护方案、安全防护技术手段和网络安全工作需要注意的问题,并且针对信息安全从技术和管理角度做出分析,讨论了确保供电系统实时运行控制以及管理信息网络系统信息安全的相关措施,并且以供电系统为例,做出针对性的分析。
关键词:供电系统;信息网络;安全风险;管控对策
基于目前的互联网背景下,计算机信息技术在持续快速的发展,并且已经在全球每个国家的各个行业都实现了普及,在供电系统也是如此。随着供电系统的信息化建设不断的深入,计算机技术已经开始从传统的数据处理、控制实行和信息管理,逐渐被用来开展人力资源办公、经营财务等,其发挥的作用日益重要。但是实际的运用中,供电系统计算机信息安全和网络安全尚未得到重视,技术手段和管理手段参差不齐,因此针对供电系统的信息网络安全和应用进行探讨有十分重要的意义。
1供电系统信息化运用与发展
中国供电系统信息化可以追溯到20世纪60年代。伴随着计算机网络技术的发展,国内外众多行业都在大力推进工业控制系统自身的集成化、集中化管理,党中央、国务院作出了“坚持信息化带动工业化,工业化促进信息化”、“大力推进信息化与工业化深度融合”的战略决策。20世纪80年代以后,信息技术、计算机技术在电力系统领域得到广泛应用,如电网调度自动化、发电厂生产自动化控制系统、电力负荷预测与控制、计算机辅助设计、计算机仿真系统等,各电力企业信息技术的应用由操作层向管理层延伸,从单机、单项目向网络化、整体性、综合性应用发展,从局部应用发展到全局应用,从单机运行发展到网络化运行。在“十一五”期间,电力信息化建设已纳入企业总体发展战略,信息化进一步与电力企业的生产、管理与经营融合。当前,中国的计算机信息技术正处于发展期,相对比较脆弱,甚至会威胁国家电网的安全。因此构建规范和健全的管理机制,形成更为便捷高效的沟通管理平台,依靠相关机制实现计算机信息管理的开展,可以极大的提升电力系统信息安全防护水平,同时也能保证电力系统稳定、安全和高效运行。国际标准化组织在2001年颁布《信息安全管理实施指南》,并且在该指南内提出了关于风险管理的体系架构。这也直接推动了我国计算机信息安全的风险管理发展,同时也使得人们对计算机的安全风险管理更加重视。
2自动化系统网络安全现状
伴随着信息化和工业化的快速发展,许多关键基础设施都依赖工业控制系统来实现自动化作业,工控网络安全涉及基础设施、智能制造、智慧城市、军工生产,以及事关国计民生的各个领域,近年来国内外工控系统安全事件不断增多,针对工控系统的攻击方式和手段也在不断变化,如图1所示。
2.1Stuxnet震网病毒事件
2010年,伊朗布什尔核电站20%(2000多台)离心机失控直至报废,推迟发电18个月之久,2012年美国官员承认这个病毒由美国国家安全局在以色列协助下开发,目的在于阻止伊朗发展核武。该事件中震网病毒主要通过受感染的USB设备,使普通电脑感染病毒,再通过互联网交叉感染病毒,进而通过U盘进入到工业局域网中,感染西门子控制系统,并发送错误指令,使控制系统认为一切操作正常,最终使离心机转动失控,达到破坏伊朗铀浓缩核设施的目的,如图2所示。
2.2乌克兰电力中断事件
2015年12月23日,乌克兰电力部门遭受到恶意代码攻击,乌克兰新闻媒体TSN在24日报道称:“至少有三个电力区域被攻击,并于当地时间15时左右导致了数小时的停电事故”。乌克兰电力中断事件的引发大概有以下几个步骤:情报收集→开发恶意软件→传送远程访问木马→安装恶意软件→建立远程服务器连接→收集证书和网络信息→企业网络横向渗透→向工业控制网络渗透。通过以上的一系列攻击,攻击者在未使用任何0Day,也未使用位于生产系统侧的攻击组件,仅仅依靠操作员和工程师站终端的恶意代码作业,引发了乌克兰电力系统遭受如此大的破坏,如图3所示。
3供电系统信息安全分析
计算机安全一般是指计算机信息系统安全。供电系统计算机安全出现的常见性危害为计算机信息系统软件和硬件资源被破坏、更改、泄露,导致计算机不能正常的运转。如果要保障信息系统安全就必须采取有效的预防、管理和控制措施。计算机信息系统的安全运行可以表现在很多方面,但是从现代的使用和发展上看,计算机信息系统的安全问题主要是指:信息系统运行不稳定、网络的利用率较低、内部的资料出现了泄露。企业供电系统中使用计算机网络能够显著的提升工作效率,并且可以扩展实际的管理范围。但是在便捷和高效的使用过程中不能忽视计算机网络的安全隐患,网络攻击方式多种多样,攻击目标也不尽相同。图4是美国2015年ICS-CERT统计的针对供电系统信息安全的攻击方式,其中未知攻击、鱼叉攻击和网络渗透方式占比达83%,为恶意攻击者主要的选择方式。表1是攻击者针对供电系统不同环节可能做出的常见攻击,这些攻击通过从发电侧、输电侧、配电侧、用户侧进行攻击,达到对电力系统进行破坏或接管的目的。
4供电信息网络的安全风险分析
供电系统的信息安全管理包含了物理安全管理、网络安全管理、主机安全管理、应用安全管理和数据安全管理等多方面,上述任一环节发生了问题,都会造成企业整个信息网络的系统安全受到严重的威胁并且造成较大的损失,如图5所示。4.1物理安全管理风险环境、系统载体和线路等故障导致的网络瘫痪属于物理风险,如水灾、火灾、自然灾害、人为过失等造成的数据丢失和线路破坏以及环境内的电磁干扰导致系统的线路无法正常的运转等。
4.2网络安全管理风险
由于电力系统信息化的发展,网络、互联互通是电力系统今后发展的趋势。然而系统安全的配置不够合理或操作人员的不当操作都会引发安全漏洞进而带来计算机安全威胁,病毒或其他攻击通过网络内部交叉感染,最终致使整个网络受到攻击并崩溃。许多设备厂家或设备维保厂家为了编程和维保的便利设置了后门,也会引发的黑客攻击,威胁信息网络的安全。此外,有的企业会将公司内部网络与互联网连接,方便办公,最终受到来自外部网络对信息系统实行的选择性刻意破坏。
4.3主机安全管理风险
主机系统安全保护措施不够全面或者措施执行不到位都会造成系统被入侵,破坏者通过采取一定的技术手段获取超级权限而进入系统,威胁系统信息安全。攻击者往往是利用系统漏洞来编写定向或非定向的病毒、木马,再通过各种手段在工控系统网络内传播、交叉感染。而不必要的模块安装造成了多余的端口开放、安全配置不到位和未及时修复漏洞而造成外来入侵。
4.4应用安全管理风险
伴随着两化融合的发展,许多电力企业的网络已经不再是单独的控制系统,综自系统或者控制系统已经与企业的ERP系统、MES系统、办公系统等网络连接,形成覆盖企业的一张大网,但是伴随着各种应用系统的纷纷使用,网络安全也有了更多的隐患,必须要有强大的网络安全管理系统作为支撑,才可以实现信息管理模式的安全和有效运行。但是受到企业自身发展和外界信息化发展影响,这些应用系统往往是由不同厂家实现开发,这些系统往往需要不同的接口,这些接口也为外部攻击者留下了攻击的途径和渠道。而且企业中的员工信息化水平参差不齐,有的年轻职员,操作经验不足,缺少对突发时间的处理能力和经验;而老职工没有及时跟上时代的步伐,对新形势下的网络技术并未及时掌控,这些都可能导致企业网络受到攻击。
4.5数据安全管理风险
信息和数据管理尚未在我国的电力企业中构建比较完备的体系,企业的信息管理还有诸多的问题。数据安全管理风险主要表现在以下4个方面:(1)在电力系统不间断运行的环境下,如对数据不加以特别保护,很有可能造成数据的丢失或者被窃取,轻则泄露企业数据,严重的将引起系统数据被修改,导致系统崩溃。(2)网络中传输的数据如果没有安全保护手段,容易被攻击者或者黑客非法拦截或串改。(3)数据备份往往存储在磁、光介质中,这些设备对物理环境要求较高,且如果不经常备份,有可能造成数据丢失的风险。(4)病毒的侵扰也会导致信息系统中数据被破坏。
5供电系统的计算机网络运用系统安全防护策略
伴随我国两化融合的深入推进,计算机网络信息安全管理获得了较多的关注。在某种意义上,计算机的网络信息安全在供电系统内实现数据和信息的共享、数据交换,建立比较安全的管理机制和平台,保证了沟通方式的科学、智能和安全。对此加强计算机网络信息管理建设的安全研究对保证供电企业的正常运转存在十分重要的意义,针对网络安全管理风险的防护策略也是重点工作。
5.1重视网络安全
企业的供电系统内计算机网络的安全性十分关键,首要目标就是要进一步提升供电系统工作人员的计算机信息网络安全知识和技术,并且提升其安全防护综合水平,防止发生内部机密泄露。并且不断落实计算机网络信息的安全责任,加强员工的网络安全认识,持续和定期检查供电系统的网络信息安全,及时发现并处理供电系统的计算机网络安全隐患,保证供电系统的计算机网络安全。
5.2防火墙拦截
计算机网络安全保护中,防火墙是一个及其重要的技术,是拦截黑客入侵的重要屏障。当前很多电力企业都统一部署了网络杀毒软件,在杀毒软件基础上配置相应的防火墙系统可以进一步加强其安全性。通过安装部署防火墙,可以有效的阻止未授权的访问(进/出),记录各类访问信息,有效阻止攻击数据包和恶意软件在网络之间传播,监测网络上的敏感数据,阻止未经授权的系统访问,见图6。
5.3采取防病毒措施
计算机网络技术在发展历程中,网络病毒危害性将会不断变大,因此必须要采取网络和企业实际结合的方式来实现病毒防护。对企业管理信息系统来讲,设置统一病毒防护措施是很重要的,对供电系统内的服务器和工作站来讲,则需在终端和服务器上布置合理的防病毒客户端。当前供电系统内使用的防毒软件种类繁多,且部署于各企业的服务器上,企业必须要定时升级病毒库,同时向各操作站客户端推送病毒库升级包,及时对终端进行升级,避免携带新型病毒的文件、软件和邮件等在供电系统的计算机内传播。通过对恶意行为的监控,对木马病毒传播行为的分析,防病毒软件可有效阻止其通过U盘、光盘等入侵用户电脑,阻断其利用可移动存储介质传播的通道,将木马病毒威胁拦截在电脑之外,见图7。
5.4强化密码管理
此外,为了保证电力系统的计算机网络可以正常的运行,必须加强密码管理。许多员工在设置或使用密码时,没有较强的防范意识和安全意识,很长时间不进行密码修改或密码设置较为简单,复杂程度不够,往往会成为攻击者进行入侵的捷径。对此,在设置计算机网络密码时,不能够设置默认密码,同时还要对密码进行定期的修改,设置密码复杂程度,最好是数字、字母、特殊字符结合,且长度不低于8位。并通过管理手段和技术手段来强制规范密码管理,通过科学和规范的手方法加强密码管理强度,杜绝攻击者破解密码获得系统使用权限的可能。
5.5部署专用物理隔离措施
工业网闸是一种专门针对工业控制网与自动化办公网之间进行数据传输的硬件产品,如果在综自系统或工业控制系统与自动化办公系统之间部署了工业单向网闸,可以只允许综自系统或DCS系统采集的数据流向自动化办公网,而不允许其他数据从办公系统返回到控制网络中,这样可以有效的避免自动化办公系统或生产管理系统中感染的病毒和木马通过网络传播到综自系统或DCS系统中。即使自动化办公网络或生产管理网络受到黑客入侵,供电系统的综自系统也可以不受攻击,保证供电系统数据不丢失或被窜改和窃取,同时也能保证供电系统的安全稳定运行。
5.6加强网络终端管理
对供电系统信息网络安全来讲,终端自身系统漏洞也需要关注,有的供电系统目前处于“物理隔离”状态,很大程度上是受到封闭空间保障的,这样可以提升接触式攻击的成本。但社会基础设施则是需要向社会纵深进行有效覆盖的,特别是像电网这样的注定呈现出巨大的物理空间覆盖力体系。这些孤点内的终端往往都没有对系统补丁进行过更新和修复,系统中存在大量漏洞,这些孤点的风险不止在于他们可能会出现系统功能上的瘫痪,也在于他们可能是不法分子对电力系统进行攻击的入口。加强终端安全主要可通过以下几个措施:(1)及时修复补丁,更新系统,见图8。(2)设置操作用户权限,避免高级操作权限被侵入。(3)加强身份认证手段。(4)严格控制USB等串行总线,避免未经授权的USB驱动器、键盘记录等外设的连接。(5)安装主机安全审计软件,及时监控网络终端安全。通过以上一系列措施,可有效的控制供电系统网络中的数据流和计算机安全,从物理安全、网络安全、计算机安全等方面加强供电系统信息网络安全,加强其抗攻击能力。还应定期对供电系统网络内的操作员终端、工程师站、生产管理终端和办公计算机进行安全加固,这样可帮助系统抵御外来入侵和蠕虫病毒的攻击,使系统可以长期保持在高度可信的状态下运行。
5.7白名单管理
对DCS系统操作员终端上使用的软件进行综合信息整理和安全分析,结合系统现状制定出适合DCS系统操作员终端的软件白名单。通过建立工控系统白名单,从管理上明确只有列入白名单以内的软件才能在操作员终端上使用,从而降低操作员终端的信息安全风险。
6结论
本文主要分析了供电系统运行现状及信息网络所面临的风险,通过风险分析研究出针对系统漏洞的安全管控对策,主要通过防火墙、防病毒、物理隔离措施、密码管理、安全审计、白名单管理等手段,保证供电系统信息安全,并提高其在面临内外部攻击时的安全防御能力,避免信息安全事件给系统带来的破坏,从而达到保护生产设备和保障供电安全的目的。上述就是对供电系统计算机网络信息安全的介绍,本次探究并不十分的全面,有一定的不足,以后还会不断的努力和探索。
作者:余图兴 单位:四川红华实业有限公司
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有