導語：如何才能寫好一篇控制系統(tǒng)信息安全，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

 

一、2015年工控安全漏洞與安全事件依然突出

 

通過對國家信息安全漏洞庫(CNNVD)的數(shù)據(jù)進行分析，2015年工控安全漏洞呈現(xiàn)以下幾個特點：

 

1.工控安全漏洞披露數(shù)量居高不下，總體呈遞增趨勢。受2010年“震網(wǎng)病毒”事件影響，工控信息安全迅速成為安全領域的焦點。國內外掀起針對工控安全漏洞的研究熱潮，因此自2010年以后工控漏洞披露數(shù)量激增，占全部數(shù)量的96%以上。隨著國內外對工控安全的研究逐漸深入，以及工控漏洞的公開披露開始逐漸制度化、規(guī)范化，近幾年漏洞披露數(shù)量趨于穩(wěn)定。

 

2.工控核心硬件漏洞數(shù)量增長明顯。盡管在當前已披露的工控系統(tǒng)漏洞中軟件漏洞數(shù)量仍高居首位，但近幾年工控硬件漏洞數(shù)量增長明顯，所占比例有顯著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高達37.5%。其中，工控硬件包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)、智能儀表設備(IED)及離散控制系統(tǒng)(DCS)等。

 

3.漏洞已覆蓋工控系統(tǒng)主要組件，主流工控廠商無一幸免。無論是國外工控廠商(如西門子、施耐德、羅克韋爾等)還是國內工控廠商(研華)，其產(chǎn)品普遍存在安全漏洞，且許多漏洞很難修補。在2015年新披露的工控漏洞中，西門子、施耐德、羅克韋爾、霍尼韋爾產(chǎn)品的漏洞數(shù)量分列前四位。

 

二、工控信息安全標準需求強烈，標準制定工作正全面推進

 

盡管工控信息安全問題已得到世界各國普遍重視，但在工業(yè)生產(chǎn)環(huán)境中如何落實信息安全管理和技術卻沒有切實可行的方法，工控信息安全防護面臨著“無章可循”，工控信息安全標準已迫在眉睫。當前，無論是國外還是國內，工控信息安全標準的需求非常強烈，標準制定工作也如火如荼在開展，但工控系統(tǒng)的特殊性導致目前工控安全技術和管理仍處探索階段，目前絕大多數(shù)標準正處于草案或征求意見階段，而且在設計思路上存在較為明顯的差異，這充分反映了目前不同人員對工控信息安全標準認識的不同，因此工控信息安全標準的制定與落地任重道遠。

 

1.國外工控信息安全標準建設概況

 

IEC 62443(工業(yè)自動化控制系統(tǒng)信息安全)標準是當前國際最主要的工控信息安全標準，起始于2005年，但至今標準制定工作仍未結束，特別是在涉及到系統(tǒng)及產(chǎn)品的具體技術要求方面尚有一段時日。

 

此外，美國在工控信息安全標準方面也在不斷推進。其國家標準技術研究院NIST早在2010年了《工業(yè)控制系統(tǒng)安全指南》(NIST SP800-82)，并2014年了修訂版2，對其控制和控制基線進行了調整，增加了專門針對工控系統(tǒng)的補充指南。在奧巴馬政府美國總統(tǒng)第13636號行政令《提高關鍵基礎設計網(wǎng)絡安全》后，NIST也隨即了《關鍵基礎設施網(wǎng)絡安全框架》，提出“識別保護檢測響應恢復”的總體框架。

 

2.國內工控信息安全標準建設概況

 

在國內，兩個標準化技術委員會都在制定工控信息安全標準工作，分別是：全國信息安全標準化技術委員會(SAC/TC260)，以及全國工業(yè)過程測量與控制標準化技術委員會(SAC/TC 124)。

 

其中，由TC260委員會組織制定的《工業(yè)控制系統(tǒng)現(xiàn)場測控設備安全功能要求》和《工業(yè)控制系統(tǒng)安全控制應用指南》處于報批稿階段，《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)風險影響等級劃分規(guī)范》、《工業(yè)控制系統(tǒng)安全防護技術要求和測試評價方法》和《安全可控信息系統(tǒng)(電力系統(tǒng))安全指標體系》正在制定過程中，并且在2015年新啟動了《工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則》、《工業(yè)控制系統(tǒng)漏洞檢測技術要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡監(jiān)測安全技術要求和測試評價方法》、《工業(yè)控制網(wǎng)絡安全隔離與信息交換系統(tǒng)安全技術要求》、《工業(yè)控制系統(tǒng)網(wǎng)絡審計產(chǎn)品安全技術要求》、《工業(yè)控制系統(tǒng)風險評估實施指南》等標準研制工作。

 

TC124委員會組織制定的工控信息安全標準工作也在如火如荼進行。2014年12月，TC124委員會了《工業(yè)控制系統(tǒng)信息安全》(GB/T 30976-2014)，包括兩個部分內容：評估規(guī)范和驗收規(guī)范。另外，TC124委員會等同采用了IEC 62443中的部分標準，包括《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全術語、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工業(yè)過程測量和控制安全網(wǎng)絡和系統(tǒng)安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)工業(yè)自動化和控制系統(tǒng)信息安全技術》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外對IEC62443-2-1：2010標準轉標工作已經(jīng)進入報批稿階段，并正在計劃對IEC 62443-3-3：2013進行轉標工作。除此之外，TC124委員會組織制定的集散控制系統(tǒng)(DCS)安全系列標準和可編程控制器(PLC)安全要求標準也已經(jīng)進入征求意見稿后期階段。

 

由于不同行業(yè)的工業(yè)控制系統(tǒng)差異很大，因此我國部分行業(yè)已經(jīng)制定或正在研究制定適合自身行業(yè)特點的工控信息安全標準。2014年，國家發(fā)改委了第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，取代原先的《電力二次系統(tǒng)安全防護規(guī)定》(電監(jiān)會[2005]5號)，以此作為電力監(jiān)控系統(tǒng)信息安全防護的指導依據(jù)，同時原有配套的防護方案也進行了相應的更新。在城市軌道交通領域，上海申通地鐵集團有限公司2013年了《上海軌道交通信息安全技術架構》(滬地鐵信[2013]222號文)，并在2015年以222號文為指導文件了企業(yè)標準《軌道交通信息安全技術建設指導意見》(2015，試行)。同時，北京市軌道交通設計研究院有限公司于2015年牽頭擬制國家標準草案《城市軌道交通工業(yè)控制系統(tǒng)信息安全要求》。在石油化工領域，2015年由石化盈科牽頭擬制《中石化工業(yè)控制系統(tǒng)信息安全要求》等。

 

三、工控安全防護技術正迅速發(fā)展并在局部開始試點，但離大規(guī)模部署和應用有一定差距

 

當前許多信息安全廠商和工控自動化廠商紛紛研究工業(yè)控制系統(tǒng)的信息安全防護技術并開發(fā)相應產(chǎn)品，近幾年出現(xiàn)了一系列諸如工控防火墻、工控異常監(jiān)測系統(tǒng)、主機防護軟件等產(chǎn)品并在部分企業(yè)進行試點應用。比較有代表性的工控安全防護產(chǎn)品及特點如下：

 

1.工控防火墻 防火墻是目前網(wǎng)絡邊界上最常用的一種安全防護設備，主要功能包括訪問控制、地址轉換、應用、帶寬和流量控制等。相對于傳統(tǒng)的IT防火墻，工控防火墻不但需要對TCP/IP協(xié)議進行安全過濾，更需要對工控應用層協(xié)議進行深度解析和安全過濾，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控應用層協(xié)議的深度檢測，包括控制指令識別、操作地址和操作參數(shù)提取等，才能真正阻止那些不安全的控制指令及數(shù)據(jù)。

 

2.工控安全監(jiān)測系統(tǒng)我國現(xiàn)有工業(yè)控制系統(tǒng)網(wǎng)絡普遍呈現(xiàn)出“無縱深”、“無監(jiān)測”、“無防護”特點，工控安全監(jiān)測系統(tǒng)正是針對上述問題而快速發(fā)展起來的技術。它通過數(shù)據(jù)鏡像方式采集大量工控網(wǎng)絡數(shù)據(jù)并進行分析，最終發(fā)現(xiàn)各種網(wǎng)絡異常行為、黑客攻擊線索等。利用該系統(tǒng)，相關人員能夠了解工控網(wǎng)絡實時通信狀況，及時發(fā)現(xiàn)潛在的攻擊前兆、病毒傳播痕跡以及各類網(wǎng)絡異常情況，同時，由于該系統(tǒng)是以“旁路”方式接入工控網(wǎng)絡中，不會對生產(chǎn)運行造成不良影響，因此更容易在工控系統(tǒng)這種特殊環(huán)境下進行部署和推廣。

 

3.主機防護產(chǎn)品在工業(yè)生產(chǎn)過程中，人員能夠通過工程師站或操作員站對PLC、DCS控制器等設備進行控制，從而實現(xiàn)閥門關閉、執(zhí)行過程改變等操作。這些工程師站、操作員站等主機系統(tǒng)就變得十分重要，一旦出現(xiàn)問題，比如感染計算機病毒等，就會對正常生產(chǎn)造成較大影響。近年來發(fā)生的由于工程師站或操作員站感染計算機病毒最終導致控制通信中斷從而影響生產(chǎn)的報道屢見不鮮。加強這些重要主機系統(tǒng)的安全防護，尤其是病毒防護至關重要。但是，傳統(tǒng)的基于殺毒軟件的防護機制在工控系統(tǒng)中面臨著很多挑戰(zhàn)，其中最嚴重的就是在工控網(wǎng)絡這樣一個封閉的網(wǎng)絡環(huán)境中，殺毒軟件無法在線升級。另外，殺毒軟件對未知病毒、變異病毒也無能為力。在此情況下，基于白名單的防護技術開始出現(xiàn)。由于工控系統(tǒng)在建設完成投入運行后，其系統(tǒng)將基本保持穩(wěn)定不變，應用單一、規(guī)律性強，因而很容易獲得系統(tǒng)合法的“白名單”。通過這種方式就能夠發(fā)現(xiàn)由于感染病毒或者攻擊而產(chǎn)生的各種異常狀況。

 

4.移動介質管控技術在工控網(wǎng)絡中，由于工控系統(tǒng)故障進行維修，或者由于工藝生產(chǎn)邏輯變更導致的工程邏輯控制程序的變更，需要在上位機插入U盤等外來移動介質，這必然成為工控網(wǎng)絡的一個攻擊點。例如，伊朗“震網(wǎng)”病毒就是采用U盤擺渡方式，對上位機(即WinCC主機)進行了滲透攻擊，從而最終控制了西門子PLC，造成了伊朗核設施損壞的嚴重危害后果。針對上述情況，一些針對U盤管控的技術和原型產(chǎn)品開始出現(xiàn)，包括專用U盤安全防護工具、USB漏洞檢測工具等。

 

總之，針對工控系統(tǒng)安全防護需求及工控環(huán)境特點，許多防護技術和產(chǎn)品正在快速研發(fā)中，甚至在部分企業(yè)進行試點應用。但是，由于這些技術和產(chǎn)品在穩(wěn)定性、可靠性等方面還未經(jīng)嚴格考驗，能否適用于工業(yè)環(huán)境的高溫、高濕、粉塵情況還未可知，再加上工控系統(tǒng)作為生產(chǎn)系統(tǒng)，一旦出現(xiàn)故障將會造成不可估量的財產(chǎn)損失甚至人員傷亡，用戶不敢冒然部署安全防護設備，因此目前還沒有行業(yè)大規(guī)模使用上述防護技術和產(chǎn)品。

 

四、主要對策建議

 

針對2015年工控信息安全總體情況，提出以下對策建議：

 

1.進一步強化工控信息安全領導機構，充分發(fā)揮組織管理職能。

 

2.對工控新建系統(tǒng)和存量系統(tǒng)進行區(qū)別對待。對于工控新建系統(tǒng)而言，要將信息安全納入總體規(guī)劃中，從安全管理和安全技術兩方面著手提升新建系統(tǒng)的安全保障能力，對關鍵設備進行安全選型，在系統(tǒng)上線運行前進行風險評估和滲透測試，及時發(fā)現(xiàn)安全漏洞并進行修補，避免系統(tǒng)投入生產(chǎn)后無法“打補丁”的情況。對于大量存量系統(tǒng)而言，應在不影響生產(chǎn)運行的情況下，通過旁路安全監(jiān)測、外邊界保護等方式，形成基本的工控安全狀況監(jiān)測和取證分析能力，徹底扭轉現(xiàn)階段對工控網(wǎng)絡內部狀況一無所知、面對工控病毒攻擊束手無策的局面。

 

3.大力推進工控安全防護技術在實際應用中“落地”，鼓勵主要工控行業(yè)用戶進行試點應用，并對那些實踐證明已經(jīng)成熟的技術和產(chǎn)品在全行業(yè)進行推廣。

 

4.建立工控關鍵設備的安全測評機制，防止設備存在高危漏洞甚至是“后門”等重大隱患。

篇2

工業(yè)以太網(wǎng)技術由于開放、靈活、高效、透明、標準化等特點，越來越多的在工控控制系統(tǒng)中得到廣泛應用。隨著“兩化融合”和物聯(lián)網(wǎng)的普及，越來越多的信息技術應用到了工業(yè)領域。目前，超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化控制作業(yè)，如：電力、水力、石化、交通運輸、航空航天等工業(yè)控制系統(tǒng)的安全也直接關系到國家的戰(zhàn)略安全。2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，為工業(yè)控制系統(tǒng)的信息安全敲響了警鐘。最近幾年，針對工業(yè)控制系統(tǒng)的信息安全攻擊事件成百倍的增長，引發(fā)了國家相關管理部門和企業(yè)用戶的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專項有關事項的通知》中，強調工業(yè)控制系統(tǒng)信息安全是國家重點支持的四大領域之一。2011年工信部451號文件《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中更明確指出，有關國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設備，確保產(chǎn)品安全可控?，F(xiàn)在，國內大型企業(yè)都把工業(yè)控制系統(tǒng)安全防護建設提上了日程。如何應對工業(yè)控制系統(tǒng)的信息安全，是我們在新形勢下面臨的迫在眉睫需要解決的現(xiàn)實問題。

2企業(yè)信息安全現(xiàn)狀

目前，雖然國家和行業(yè)主管部門、國內企業(yè)集團等都開始重視工業(yè)控制系統(tǒng)的信息安全問題，并開始研究相應的對策，但還面臨很多現(xiàn)實問題：（1）信息安全專責的缺失：國內信息安全專門型人才比較缺失，很多企業(yè)甚至沒有專門負責信息安全的專員；（2）制度形式化：規(guī)范的管理制度作為工業(yè)控制系統(tǒng)信息安全的第一道“防火墻”，可以有效的防范最基礎的安全隱患，可是很多企業(yè)的管理制度并沒有真正落到實處，導致威脅工控系統(tǒng)信息安全的隱患長驅直入、如入無人之境進入企業(yè)系統(tǒng)內；（3）安全生產(chǎn)的矛盾現(xiàn)狀：保證工業(yè)企業(yè)安全生產(chǎn)和正常運營是企業(yè)的首要目標，而信息安全的解決方案部署又會影響到企業(yè)的正常運營。因此，部分企業(yè)消極應對信息安全的部署。

3常見的信息安全解決方案

面對工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，很多信息安全解決方案提供商提出了各自的安全策略，強調的是“自上而下”、注重“監(jiān)管”和“隔離”的安全策略。由于企業(yè)內部產(chǎn)品、設備或資產(chǎn)繁多，產(chǎn)品供應商較多，“監(jiān)管”系統(tǒng)無法“監(jiān)視和管理”企業(yè)內部龐大的設備或資產(chǎn)，導致部分系統(tǒng)依然存在信息安全隱患。同時，這些解決方案部署時又面臨投資比較大，定制化程度比較高等缺點。有的企業(yè)通過在企業(yè)系統(tǒng)內部部署“橫向分層、縱向分域、區(qū)域分等級”的安全策略，構建“三層架構，二層防護”的安全體系。這些解決方案又面臨著“安全區(qū)域”較大，無法避免系統(tǒng)內部設備自身“帶病上崗”的現(xiàn)象發(fā)生。如何在企業(yè)內部高效部署信息安全解決方案，同時又不影響系統(tǒng)的正常運行，不增加企業(yè)的負擔，同時又不增加將來企業(yè)維護人員的工作量，降低對維護人員的能力等的過渡依賴，是企業(yè)部署信息安全解決方案時面臨的現(xiàn)實問題。

4符合國情的信息安全解決方案

針對這種現(xiàn)狀，施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、倡導以設備級防護優(yōu)先，兼顧系統(tǒng)級和管理級防護的“自下而上”的三級縱深防御策略。其中，設備級防護是整個安全防護策略的核心和基礎。

4.1設備級防護

企業(yè)內部的系統(tǒng)從管理層、制造執(zhí)行層到工業(yè)控制層都是由不同的資產(chǎn)或者設備組成的，如果每個單體資產(chǎn)或者設備符合信息安全要求，做到防范基本的信息安全隱患。這些資產(chǎn)或者設備集成到企業(yè)系統(tǒng)中就可以避免“帶病上崗”的現(xiàn)象，作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設備或資產(chǎn)的各種安全威脅。施耐德電氣作為一家具有高度社會責任感的企業(yè)，積極推進構建安全、可靠的工業(yè)控制系統(tǒng)信息安全，率先在工業(yè)控制設備集成信息安全防護體系：（1）集成信息安全防護體系的昆騰PLC產(chǎn)品率先通過了國家權威信息安全測評機構的雙重產(chǎn)品安全性檢測，成為首家也是目前唯一通過并獲得此類檢測認可的PLC產(chǎn)品。在企業(yè)內已經(jīng)運行的昆騰PLC可以通過升級固件的方式達到信息安全要求，大大的減少了企業(yè)在部署信息安全過程中的資金投入，還可以減少對技術人員技能的要求；（2）SCADAPack控制器內嵌的增強型安全性套件：IEEE1711加密和IEC62351認證以及時標等安全功能，最大化系統(tǒng)的安全性，確保遠程通信鏈路不被惡意或其他通信網(wǎng)絡干擾破壞，有效的提升了信息安全功能；（3）針對所有的控制系統(tǒng)還可以采用軟件安全屬性的輔助設置功能，如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施，增強和加固工業(yè)控制系統(tǒng)的信息安全功能。

4.2系統(tǒng)級防護

主要是通過優(yōu)化和重建系統(tǒng)架構，提升控制系統(tǒng)網(wǎng)絡的可靠性和可用性，保證企業(yè)系統(tǒng)的“橫向”、“縱向”、“區(qū)域”間數(shù)據(jù)交互的安全性。（1）施耐德電氣的ConneXium系列工業(yè)級以太網(wǎng)交換機的MAC的地址綁定、VLAN區(qū)域劃分、數(shù)據(jù)包過濾、減少網(wǎng)絡風暴等影響保證了工業(yè)控制系統(tǒng)網(wǎng)絡的可靠性和安全性；（2）ConneXium系列工業(yè)級防火墻產(chǎn)品可實現(xiàn)針對通用網(wǎng)絡服務、OPC通訊服務的安全防護之外，還可實現(xiàn)所有工業(yè)以太網(wǎng)協(xié)議的協(xié)議包解析，有效的防范了威脅工業(yè)控制系統(tǒng)的安全隱患。同時，軟件內置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產(chǎn)品的可用性。

篇3

關鍵詞：空管信息化；安全域；權值劃分；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)10-2222-03

Researches on Security Domain Distribution of ATC Information system

HAN Xuan-zong

(Bureau of Guizhou air Traffic Management, Guiyang 550012, China)

Abstract: This paper is based on the basic concept of information security, which give a MSA security domain allocate system to resolve privates distribute problem in these construction of air traffic management information system and security domain system, It has an effective solution to coordination of various administrator and collaboration between security domains and information circulation, It also strengthen the ATC Security ability.

Key words: ATC information; security domain; private allocate; information security

空中交通管制作為LRI(Life related industry)生死攸關行業(yè)的一種，在航班數(shù)量飛速增加的今天，日益面臨著嚴峻的挑戰(zhàn)；尤其是大量基礎支撐性的空管信息系統(tǒng)的引入，盡管有效地提升了管制工作效率，但是空管信息系統(tǒng)的安全管理問題卻越來越成為一個潛在的隱患。

在當前空管行業(yè)應用的各類空管信息系統(tǒng)當中，從包括自動化系統(tǒng)、航行情報控制系統(tǒng)在內的管制直接相關系統(tǒng)，到日常應用的班前準備系統(tǒng)、設備運維管理系統(tǒng)等，大都采用設置超級管理員用戶口令的方式進行管理，此方式盡管便于實現(xiàn)對系統(tǒng)的配置和維護，但由于權限過大，使得其可以對空管信息系統(tǒng)中數(shù)據(jù)進行任意操作，一旦出現(xiàn)超級管理員誤操作或外部黑客獲取到超級管理員權限，都可能造成難以估量的嚴重后果。

安全操作系統(tǒng)設計原則中包括的“最小特權”和“權值分離”的安全原則，可以有效地解決這一問題。最小特權原則思想在于控制為主體分配的每個操作的最小權限；權值分離原則思想在于實現(xiàn)操作由專人執(zhí)行同時由第三方用戶進行監(jiān)管。

最小特權和權值分離兩大原則的共同使用，構建出了基于角色的訪問控制（Role-Based Access Control，RBAC）安全策略模型[1]。RBAC作為對用戶角色權限的一種高度抽象，同一角色用戶仍然擁有同樣的權限，但為了能夠更好的體現(xiàn)最小特權原則，角色下用戶的權限仍必須得到進一步的控制；DTE（Domain And Type Enforcement，DTE）策略模型實現(xiàn)了將空管信息系統(tǒng)的不同進程劃分為不同的域（Domain），將不同類型的資源劃分為不同的類型（Type），通過對域和類型的安全屬性進行限制，來實現(xiàn)對用戶權限的控制[2]。

該文在綜合了RBAC安全策略模型和DTE策略模型的基礎上，提出一種對空管信息系統(tǒng)進行分域管理的劃分機制，該機制符合最小特權和權值分離原則，實現(xiàn)了對系統(tǒng)超級管理員的權限細分，通過對權限的劃分，建立管理員―域―類型的相關對應關系，分散了由于超級管理員權限過大造成的安全風險。

1系統(tǒng)/安全/審計管理劃分機制

在任何一個構建完善的管理體系運行當中，管理人員、管理行為審計人員、安全管理人員的角色都不可或缺?？展苄畔⑾到y(tǒng)超級管理員的權限也應依據(jù)此原則進行劃分[3]。在具體實現(xiàn)中，應結合DTE策略中對于域和類型的管理思想，采取二維訪問控制策略，強化對空管信息系統(tǒng)完整性和數(shù)據(jù)安全性的保護；DTE策略通過對管理權限進行控制，阻止單一用戶權限造成的惡意程序擴散等情況。通過系統(tǒng)管理、安全管理、審計管理三方面的協(xié)同制約，保護系統(tǒng)資源的安全性。

1.1基于MSA的管理機制

該文依據(jù)RBAC及DTE策略遵循的最小特權和權值分離原則，將空管信息系統(tǒng)中超級管理員權限進行細粒度（Fine-Grain）的劃分，將其權限一分為三，即管理（Management）權限、安全（Security）權限、審計（Audit）權限，構建一套基于MSA的權限管理機制。使三類管理員只具備完成所需工作的最小特權，在單項管理操作的整個生命周期中，必須歷經(jīng)安全權限的設置、管理權限的操作、 審計權限的審核這一流程。該文通過設立獨立的系統(tǒng)管理員、安全管理員、審計管理員，并為其設置獨立的與安全域掛勾的安全管理特權集，實現(xiàn)了管理-安全域-類型的二維離散對應關系。具體而言，三類管理員主要承擔了以下職責：

1)系統(tǒng)管理特權集：歸屬于系統(tǒng)管理員，包括系統(tǒng)相關資源的分配，系統(tǒng)軟件的配置、維護等權限；

2)安全管理特權集：歸屬于安全管理員，包括系統(tǒng)內部安全策略的制訂，安全闕值的設置等安全相關權限；

3)審計管理特權集：歸屬于審計管理員，包括對系統(tǒng)管理員和安全管理員操作記錄的審計和審批，作為一個獨立的第三方監(jiān)督角色出現(xiàn)。

MSA管理機制將系統(tǒng)超級管理員的權限劃分為三個相互獨立又相互依存的獨立環(huán)節(jié)，實現(xiàn)了系統(tǒng)特權的細粒度劃分，強化了系統(tǒng)的安全屬性。圖1展示了三類管理員之間的具體關系：圖1 MSA管理員協(xié)作流程

如圖1所示，空管信息系統(tǒng)用戶總是會提出一定的需求，并尋求通過系統(tǒng)得到相應的應用來解決面臨的問題。在這一過程中，首先會由系統(tǒng)管理員針對用戶需求，判斷滿足用戶需要調用的相應資源，如功能域和資源的類型，同時生成解決方案，并將其提交至安全管理員處。

安全管理員在接收到系統(tǒng)管理員產(chǎn)生的解決方案后，即時的會依照相關規(guī)定要求，為解決方案制定對應的安全級別，并實施可行的安全策略。如解決方案能夠較好地滿足安全級別和安全策略的要求，即通過安全管理員的安全評估，為其施加安全策略。

解決方案歷經(jīng)系統(tǒng)管理員、安全管理員的制定、安全策略實施等步驟后，將生成應用提交至用戶，由用戶驗證其需求是否得到滿足。

審計管理員在整個過程中，將針對從需求提出至應用的所有環(huán)節(jié)進行監(jiān)控，任何系統(tǒng)內部的操作均需經(jīng)過審計管理員的審計和監(jiān)督，審計管理員有權停止任何涉及到安全的異常操作。

通過上述模式的應用，將使得空管信息系統(tǒng)劃分為由MSA三個管理員所共同管理的系統(tǒng)，也形成了三大管理員之間的制約機制。該機制的建立，有效地避免了超級用戶誤操作和黑客入侵可能造成的危害。同時權限的細分，也使得任何一名管理員在操作自身環(huán)節(jié)事務時，都需要其它管理員的協(xié)助，無法獨立完成越權操作。如當系統(tǒng)管理員進行用戶的刪除時，此操作將依據(jù)安全管理員制定的安全策略確定為較危險操作，實施的結果將由審計管理員進行審核，在確保該行為是合理有效的情況下才能實施。

1.2 MSA管理體系安全域的劃分

MSA管理體系的應用使得系統(tǒng)、安全、審計三類管理員之間相互協(xié)作，相互制約的關系成為可能，系統(tǒng)的安全性得到增強。而在MSA體系上應用安全域思想及類資源的設置，將進一步隔離域間的信息和資源流動，防范非法信息泄漏現(xiàn)像，確保數(shù)據(jù)信息的安全。

該文在MSA體系中靈活運用了安全域的思想，實現(xiàn)了對空管信息系統(tǒng)主體域的劃分，同時將空管信息系統(tǒng)管理的資源分為了不同的類型資源，MSA通過建立安全域和類型資源之間的關聯(lián)，實現(xiàn)了對域間信息流動的監(jiān)控，通過對安全域規(guī)則的制定，使得系統(tǒng)用戶只能訪問到所屬安全域內的安全類型資源。通過對用戶安全域訪問行為的控制，有效的防止了誤操作、惡意操作可能造成的惡意信息流的傳輸，進而強化空管信息系統(tǒng)整體安全性。在空管信息系統(tǒng)遭遇病毒攻擊的環(huán)境下，病毒本身具有自我復制和傳染未遭感染區(qū)域的特性，通過對安全域的劃分和安全域內類型資源的歸并，能夠有效的阻止病毒的無限制復制傳播，病毒只能訪問所屬主體的安全域及相關資源，無法傳播至安全域邊界之外。當系統(tǒng)管理資源分散于多個不同安全域時，系統(tǒng)將有效避免形成整體癱瘓現(xiàn)象。

在空管信息系統(tǒng)中，根據(jù)需求通?？梢园奄Y源劃分到不同的安全域，同一安全域還能依據(jù)資源歸屬的不同，細分為不同的子域，子域在擁有部分父域特性和資源的同時，具有自身特有的特性，子域的存在不僅強化了安全域的安全管理特性，還能夠真實映射現(xiàn)實社會的組織結構關系。

2管理機制安全規(guī)則研究

本節(jié)給出了MSA管理機制的實施規(guī)則，按照這些規(guī)則，可以根據(jù)MSA原則實施空管信息系統(tǒng)的管理。系統(tǒng)中的資源主要由主體(a)，客體(c)組成，用A表示主體的集合，B表示客體的集合，D表示域(d)的集合，P表示型(p)的集合，R為權限的集合，主體、域、客體權限之間的關系如下：

1)設函數(shù)dom_a(a)，是定義在主體集合A上的函數(shù)，將主體a映射到相應的域。系統(tǒng)中的主體至少屬于1個域，即：?a∈A，? dom_a(a)≠?∧dom_a(a)?D。

2)設函數(shù)type(b)，是定義在客體集合B上的函數(shù)，將客體b映射到相應的型，系統(tǒng)中的客體至少屬于1個型，即:?b∈B，? type(b)≠?∧type(b)?B。

3)若權限映射函數(shù)R_DT(d,p)，為定義在域D和型P上的函數(shù)，將域d對型p的權限映射為集合的某個子集，即為域d對型p擁有特權的集合。

為有效避免超級用戶的誤操作和惡意程序的攻擊，安全域間的信息流動必須得到有效的控制。在每個獨立的信息流動需求發(fā)起的同時，必須同步進行安全信息的驗證，確保信息不會對接收安全域的安全狀態(tài)造成破壞，在不影響安全域安全的前提下，才接收該信息流。信息流在由主體操作產(chǎn)生的同時，必須對操作本身進行檢查，在操作和信息流均處于安全狀態(tài)時，可視系統(tǒng)為安全態(tài)。依據(jù)以下分析，可得出如下關于信息流動的規(guī)則：

規(guī)則1安全域隔離規(guī)則：為有效阻止惡意操作，安全域間信息流動必須處于受監(jiān)控狀態(tài)，實現(xiàn)對安全域中數(shù)據(jù)的保護。

不同安全域間存在著干擾性，而干擾性的存在又反映了不同域間的相互作用，合理的應用安全域隔離規(guī)則，對安全域間信息的流動進行監(jiān)控，是實現(xiàn)安全域安全的一大前提條件。

規(guī)則2安全域訪問規(guī)則：安全域內部主體對客體的訪問，必須滿足相應的訪問控制規(guī)則，包括常見的只讀、讀寫等。具體的訪問規(guī)則包括如下幾類：

只讀規(guī)則:單純采用讀取形式取得客體中信息，對安全域中數(shù)據(jù)進行不操作的讀取，有效保證數(shù)據(jù)的完整性和不可變更性，同時在利用了數(shù)字加密技術的基礎上，還保證了數(shù)據(jù)的機密性只讀需求。

只寫規(guī)則：主體對安全域內客體只進行單純寫入操作，不允許讀取安全域中原有數(shù)據(jù)，對于主體寫入數(shù)據(jù)的讀取可根據(jù)具體進行進行設置其是否具有讀取權限。

讀寫規(guī)則：包括只讀和只寫規(guī)則的部分安全控制因素，但主體在受控的情況下，可向安全域中客體寫入并讀取信息，在滿足機密性和完整性的基礎上，允許主體對安全域內客體進行讀寫。

以上幾條規(guī)則只涉及安全域內部讀寫規(guī)則，當需要實現(xiàn)安全域間訪問時，需要結合規(guī)則1進行控制，對于安全域間的訪問控制，既要考慮到主體自身的權限要求，也要考慮到安全域之間的規(guī)則控制和系統(tǒng)監(jiān)管因素，只有經(jīng)過配置的安全策略實施后，才能允許實現(xiàn)域間的訪問。

規(guī)則3安全域間管理規(guī)則：安全域級別可分為父域和子域兩類，子域繼承父域的域內資源，但采取獨立的安全策略機制管理，父域通過為子域配置相應的安全策略實現(xiàn)子域對父域資源的安全訪問，保障父域自身的數(shù)據(jù)完整性和安全性。在父域和子域同時管理同一資源時，父域具有優(yōu)先級（安全策略進行特殊配置除外）。管理規(guī)則的實施，在便于調用資源的同時，實現(xiàn)了資源的共享和優(yōu)化，也一定程度上防止了資源共享可能產(chǎn)生的沖突和安全患。

3結束語

最小特權原則和權值分離原則作為安全操作系統(tǒng)的基礎原則的內容，能夠有效地應用于空管信息系統(tǒng)超級用戶權限分離問題，該文提出的MSA管理機制，通過管理權限的劃分、管理員主體安全域的歸屬和相關資源類型的劃定，有效降低了管理員誤操作、黑客入侵等可能帶來的對系統(tǒng)的破壞。在MSA管理機制的基礎上，安全域的引入和資源類型的劃分，有效地阻隔了各安全域間信息和資源的流動，阻止了惡意信息流的傳遞，增強了空管信息系統(tǒng)的安全。該文下一階段將把安全域之間的流動控制作為下一步的研究重點，進一步進行開展，力圖實現(xiàn)對空管信息安全的不斷強化。

參考文獻：

[1]張德銀,劉連忠.多安全域下訪問控制模型研究[J].計算機應用,2008,28(3):633-636.

[2]付長勝,肖儂,趙英杰.基于協(xié)商的跨社區(qū)訪問的動態(tài)角色轉換機制[J].軟件學報,2008,10(19):2754-2761.

[3]段立娟,劉燕,沈昌祥.一種多安全域支持的管理機制[J].北京工業(yè)大學學報,2011,37(4):609-613.

[4]周偉.機場信息化規(guī)劃研究及應用[J].科技創(chuàng)新導報,2008(21).

篇4

關鍵詞　會計電算化　安全控制　內部控制

會計電算化是從以電子計算機為主的當代電子和信息技術于會計工作中的簡稱，是采用電子計算機替代手工記賬、算賬、報賬，以及對會計資料進行電子化分析和利用的記賬手段。開展會計電算化工作，能有效的促進會計基礎工作規(guī)范化，提高會計人員的工作效率和工作質量，并最終提高的效益。

電算化會計信息處理具有如下特點：以電子計算機為計算工具，數(shù)據(jù)處理代碼化，速度快、精度高；數(shù)據(jù)處理人機結合，系統(tǒng)內部控制程序化、復雜化；數(shù)據(jù)處理自動化，賬務處理一體化；信息處理規(guī)范化，會計存儲磁性化；具有選擇判斷及作出合理決定的邏輯功能。

會計電算化后，由于軟件完成了大部分數(shù)據(jù)處理工作，所以軟件本身的數(shù)據(jù)安全非常重要。

1　會計電算化信息系統(tǒng)的安全威脅

1.1　非預期故障

非預期故障主要包括以下幾個方面：不可控制的災害；存儲數(shù)據(jù)的輔助介質(如磁盤)部分或全部遭到破壞；非預期的、不正常的程序結束操作造成的故障；用戶非法讀取、執(zhí)行、修改、刪除、擴充和遷移各種數(shù)據(jù)、索引、模式、子模式和程序等，從而使數(shù)據(jù)遭到破壞、篡改或泄露；使用、維護人員的錯誤或疏忽。

1．2　計算機舞弊和犯罪

1.2.1　篡改輸入或輸出數(shù)據(jù)

數(shù)據(jù)有可能在輸入計算機之前或輸入過程之中被篡改。在數(shù)據(jù)的采集、記錄、傳遞、編碼、檢查、核實、轉換并最后進入計算機系統(tǒng)的過程中，任何與之有關的人員，或能夠接觸處理過程的人員，為了一己之欲或被人利用都有可能篡改數(shù)據(jù)。如虛構業(yè)務數(shù)據(jù)、修改業(yè)務數(shù)據(jù)、刪除業(yè)務數(shù)據(jù)等。篡改輸出數(shù)據(jù)，通過非法修改，銷毀輸出報表，將輸出報表送給公司競爭對手利用終端竊取輸出的機密信息等手段來達到作案的目的。

1.2.2　采用木馬程序獲取數(shù)據(jù)

在計算機程序中，非法地編進一些指令，使之執(zhí)行未經(jīng)授權的功能，這些指令的執(zhí)行可以在被保護或限定的程序范圍內接觸所有供程序使用的文件。例如安置邏輯炸彈，即在計算機系統(tǒng)中適時或定期執(zhí)行一種計算機程序，它能確定計算機中促發(fā)未經(jīng)授權的有害件的發(fā)生件。

1.2.3　篡改程序和文件

一般情況下只有系統(tǒng)程序員和計算機操作系統(tǒng)的維修人員有可能篡改程序和文件。例如，將小量資金（比如計算中的四舍五入部分）逐筆積累起來，通過暗設程序記到自己的工資帳戶中，表面上卻看不出任何違規(guī)之處。又例如開發(fā)大型計算機應用系統(tǒng)，程序員一般要一些調式手段，編輯完畢時，這些手段應被取消，但有時被有意留下，以用來進行篡改程序和文件之用。此外，當計算機出現(xiàn)故障、運轉異常時，修改或暴露計算。

1.2.4　非法操作

非法操作主要是通過非法手段獲取他人口令或通過隱藏的終端進入被控制接觸的區(qū)域從而進行舞弊活動。例如，從計算機中泄露數(shù)據(jù)，即從計算機系統(tǒng)或計算設施中取走數(shù)據(jù)。作案人員可以將敏感數(shù)據(jù)隱藏在沒有的輸出報告中，也可采用隱藏數(shù)據(jù)和沒有問題的數(shù)據(jù)交替輸出。如系統(tǒng)人員未經(jīng)批準擅自啟動現(xiàn)金支票簽發(fā)程序，生成一張現(xiàn)金支票到銀行支取現(xiàn)金。

1.2.5　其他方法

其他的方法如拾遺、仿造與模擬等等。拾遺是在一項作業(yè)完成之后，取得遺留在計算機系統(tǒng)內或附近的信息。仿造與模擬在個人計算機上仿造其他計算機程序，或對作案計劃方法進行模擬實驗，以確定成功的可能性，然后實施非法操作。此外，還可通過物理接觸、電子竊聽、譯碼、拍照、拷貝等方法來舞弊。

1.3　計算機病毒侵入

財務是會計電算化的一個趨勢，網(wǎng)絡是計算機病毒傳播的一個重要途徑，因此計算機病毒也是會計電算化安全的一大威脅。

2　會計電算化安全防范與控制

2．1　加強電算化法制建設

，由于法規(guī)的不健全使電算化犯罪的控制很困難，例如，對未經(jīng)許可接觸電算化信息系統(tǒng)或有關數(shù)據(jù)文件的行為，在許多國家上不認為是偷竊行為，因此就無法對拷貝重要機密數(shù)據(jù)的行為治罪。我們必須看到，對電算化會計信息系統(tǒng)的開發(fā)和管理，不能僅靠現(xiàn)有的一些法規(guī)，如會計法、會計準則等，因為會計電算化犯罪畢竟是高、新技術下的一種新型犯罪，為此制定專門的法規(guī)對此加以有效控制就很有必要。

電算化犯罪法制建設，可從三個方面入手：建立針對利用電算化犯罪活動的法律； 建立電算化系統(tǒng)保護法；加強會計人員的信用體系建設和職業(yè)道德。

2.2　完善內部控制系統(tǒng)

2.2.1　組織與管理控制

（1）機構和人員的管理控制。會計核算軟件投入正式使用后，對原有會計機構必須做相應調整，對各類人員制定崗位責任制度。通過部門的設置、人員的分工、崗位職責的制定、權限的劃分等形式進行的控制，其基本目標是建立恰當?shù)慕M織機構和職責分工制度，以達到相互牽制、相互制約、防止或減少錯弊發(fā)生的目的。

（2）實體安全控制。實體安全涉及到機主機房的環(huán)境和各種技術安全要求、光和磁介質等數(shù)據(jù)存貯體的存放和保護。計算機機房應該符合技術要求和安全要求，應充分滿足防火、防水、防潮、防盜、恒溫等技術條件；機房應配有空調和消防設置等。對用于數(shù)據(jù)備份的磁介質存貯媒體進行保護時應注意防潮、防塵和防磁，對每天的業(yè)務數(shù)據(jù)備雙份，建立目錄清單異地存放，長期保存的磁介質存貯媒體應定期轉貯。

（3）硬件安全控制。計算機關鍵性的硬件設備應采用雙系統(tǒng)備份。此外，機房內用于動力、照明的供電線路應與計算機系統(tǒng)的供電線路分開，配置UPS(不間斷電源)、防輻射和防電磁波干擾等設備。

（4）安全控制。針對網(wǎng)絡的特點，需加強以下幾個方面的控制。① 用戶權限設置：從業(yè)務范圍出發(fā)，將整個網(wǎng)絡系統(tǒng)分級管理，設置系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員和專職會計員等崗位，層層負責，對各種數(shù)據(jù)的讀、寫、修改權限進行嚴格限制，把各項業(yè)務的授權、執(zhí)行、記錄以及資產(chǎn)保管等職能授予不同崗位的用戶，并賦予不同的操作權限，拒絕其他用戶的訪問。② 密碼設置：每一用戶按照自己的用戶身份和密碼進入系統(tǒng)，對密碼進行分級管理，避免使用易破譯的密碼。③對重要數(shù)據(jù)加密：在網(wǎng)絡中傳播數(shù)據(jù)前對相關數(shù)據(jù)進行加密，接收到數(shù)據(jù)后作相應的解密處理，并定期更新加密密鑰。④病毒的防范與控制：防范病毒最為有效的措施是加強安全教育，健全并嚴格執(zhí)行防范病毒管理制度，具體包括軟件、軟盤及計算機系統(tǒng)的采購和更新要通過計算機病毒檢測后才可使用；專機專用，絕對禁止在工作機上玩游戲；建立軟盤管理制度，同時防止亂拷貝軟盤；安裝防病毒卡和反病毒軟件，定期檢測并清除計算機病毒；采用網(wǎng)上防火墻技術等。

2.2.2　控制

（1）數(shù)據(jù)輸入控制。輸入控制的主要有：由專門錄入人員、錄入人員除錄入數(shù)據(jù)外，不允許將數(shù)據(jù)進行修改、復制或其他操作；數(shù)據(jù)輸入前必須經(jīng)過有關負責人審核批準；對輸入數(shù)據(jù)進行校對；對更正錯誤的控制等。

（2）處理控制。是指對計算機系統(tǒng)進行的內部數(shù)據(jù)處理活動（數(shù)據(jù)驗證、計算、比較、合并、排序、文件更新和維護、訪問、糾錯等等）進行控制。處理控制是通過計算機程序自動進行的。其措施有：輸出審核處理；數(shù)據(jù)有效件件驗；通過重運算、逆運算法、溢出檢查等進行處理有效性檢測；錯誤糾正控制；余額核對；試算平衡等。

（3）數(shù)據(jù)輸出控制。主要措施有：建立輸出記錄；建立輸出文件及報告的簽章制度；建立輸出授權制度；建立數(shù)據(jù)傳送的加密制度；嚴格減少資產(chǎn)的文件輸出，如開支票、發(fā)票、提貨單要經(jīng)過有關人員授權，并經(jīng)過有關人員審核簽章。

2.2.3　充分發(fā)揮審計人員的作用

會計審計準則的建設是會計信息行業(yè)健康的重要步驟。企業(yè)信息系統(tǒng)的化和網(wǎng)絡化使審計重點轉向對明細信息的驗證和對系統(tǒng)的復核驗證，因此，審計人員還要加大傳統(tǒng)的實物牽制、體制牽制、簿籍牽制力度，還要通過開展計算機系統(tǒng)的事前審計，對于內部控制系統(tǒng)的完善性系統(tǒng)的可審性及系統(tǒng)的合法性作出評價，以保證系統(tǒng)運行后數(shù)據(jù)處理的真實、準確、防止和減少舞弊行為的發(fā)生；通過定期的對計算機內部控制系統(tǒng)的審查與評價促進企業(yè)加強和完善內部控制；通過對計算機系統(tǒng)的事后審計，對系統(tǒng)的處理實施有效的監(jiān)督。

1　李玉萍，尚英梅.淺談會計電算化在實際工作中的應用［J］．吉林師范大學學報(版)，2003（2）

篇5

關鍵詞：會計電算化 風險 安全控制

一、前言

在科技飛速發(fā)展的今天，電子信息技術即為會計電算化提供了機遇，也帶來了挑戰(zhàn)。會計電算化代替?zhèn)鹘y(tǒng)會計的手工的數(shù)據(jù)采集、處理和輸出，減少了會計的勞動量，大大提高了勞動生產(chǎn)率，節(jié)約了成本。但是，有利必有弊，與傳統(tǒng)手工會計相比，會計電算化的安全控制正將面臨著嚴峻的挑戰(zhàn)，如何加強會計電算化信息系統(tǒng)的安全控制，已經(jīng)迫在眉睫。

二、會計電算化信息系統(tǒng)的防范措施

1.加強實體安全建設

一般來說實體安全是涉及到環(huán)境、技術、光和磁介質等因素，具體是指那部分有關于計算機機房內環(huán)境與技術規(guī)范以及光和磁介質特殊性數(shù)據(jù)存貯體保護及保存要求的統(tǒng)稱。從本質上來說，實體安全控制更多的傾向于一種預防性控制。計算機機房應該符合安全要求和技術要求，需要有防潮、恒溫、防火、防水以及防盜等環(huán)境條件。對于光、磁性備份數(shù)據(jù)的儲存工作應當特別從注意防潮、防塵以及防磁這三個方面。

2.加強對會計電算化設備的安全控制

（1）彌補硬件的缺失

硬件設備是計算機運行所必不可少的核心部分，計算機會計系統(tǒng)也不例外，因此必須要充分保證會計電算化信息系統(tǒng)硬件設備的完善，但是基于自然和認為的原因，計算機硬件系統(tǒng)會存在固有缺陷。會計信息系統(tǒng)的硬件在設計、制造和組裝過程中可能留下各種隱患，嚴重的影響了網(wǎng)絡傳輸介質和服務器等硬件設施的穩(wěn)定性和運行速度。

（2）減少軟件的風險

軟件系統(tǒng)為計算機的運行注入了新的活力，但對軟件系統(tǒng)的不重視，極易產(chǎn)生安全隱患，嚴重的影響了會計電算化信息系統(tǒng)的安全，不容忽視。軟件設計與安裝階段都會對信息系統(tǒng)造成隱患，如軟件安全等級較低，在設計中的疏忽造成安全漏洞等；另外，軟件使用的技術過于復雜引起實施者未恰當理解，也對信息系統(tǒng)造成威脅。筆者認為減少軟件的風險可以從以下三個方面入手：

第一，充分檢測軟件與系統(tǒng)的兼容性和統(tǒng)一性，加強業(yè)務之間的銜接，盡可能統(tǒng)一的完成數(shù)據(jù)的自動核對、校驗，數(shù)據(jù)備份。

第二，加強計算機系統(tǒng)的保密措施，減少人機對話，提高安全性。

第三，增強軟件的自動跟蹤能力，記錄所有的非正常操作現(xiàn)象。

3.加強對內部崗位的牽制力

會計電算化信息系統(tǒng)的應用，大量的減少了操作人員的數(shù)量，計算機統(tǒng)一執(zhí)行了各種業(yè)務，打破了傳統(tǒng)手工會計與企業(yè)之間的管理模式，缺乏了那種以崗位分離的方式來實現(xiàn)各種業(yè)務環(huán)節(jié)的相互制約的牽制力。這是會計電算化信息系統(tǒng)的一個極大的隱蔽風險，因此必須要對內部崗位加強管理，使其相互監(jiān)督制約，從源頭上控制風險。

4.病毒的防范控制

病毒是計算機信息系統(tǒng)的嚴重威脅，而防范病毒最好的方式就是加強教育，提高預防意識，使病毒防范的管理制度能夠嚴格的執(zhí)行。在計算機軟件更新時要先經(jīng)過專業(yè)的計算機病毒檢測，然后才能安裝使用。而且要經(jīng)常或定期性的由專業(yè)人士對計算機病毒進行檢測與清除。并要加強網(wǎng)絡防火墻建設，防止病毒的網(wǎng)絡傳播。

三、加強會計電算化信息系統(tǒng)處理過程中的安全控制

1.電力設備保障

在會計電算化處理過程中，極易發(fā)生意外，而這些意外往往是不可期其中斷電便是其中之一，因此在發(fā)生停電或意外斷電時，必須要保證電力的供應，避免數(shù)據(jù)的丟失。

2.對數(shù)據(jù)的備份

在系統(tǒng)正常運行過程中，要定時或不定時地進行數(shù)據(jù)備份，或由系統(tǒng)提供強制備份措施，只有經(jīng)常進行數(shù)據(jù)的備份，才可能在數(shù)據(jù)發(fā)生丟失或損壞時，及時進行修復。否則，數(shù)據(jù)不能得到及時修復，對企業(yè)會造成不可彌補的損失。

3.數(shù)據(jù)輸入、輸出的控制

會計信息系統(tǒng)主要是由數(shù)據(jù)整理，數(shù)據(jù)輸入，數(shù)據(jù)處理，數(shù)據(jù)通訊，數(shù)據(jù)保存，數(shù)據(jù)輸出幾個部分構成。在這些環(huán)節(jié)中分析出現(xiàn)風險的可能性，分析系統(tǒng)設計過程中是否在實現(xiàn)各個功能時嵌入相應的內部控制措施，嵌入的內部控制措施是否發(fā)揮作用，對于一些潛在的可預見風險是否在系統(tǒng)中采取預防措施，是否對不可預見風險的處理留有挽救的余地等對于加強會計電算化信息系統(tǒng)的安全又這什么重要的意義。在會計信息系統(tǒng)工作中，可以說，電子計算機信息系統(tǒng)處理數(shù)據(jù)的準確性與數(shù)據(jù)輸入時的準確息相關，計算機的原始數(shù)據(jù)是先由人工事先進行審核和確認，然后在輸入計算機內，如果輸入錯誤，計算機數(shù)據(jù)處理必將出現(xiàn)偏差，因此，企業(yè)應該建立起一整套內部控制制度以便對輸入的數(shù)據(jù)進行嚴格的控制，保證數(shù)據(jù)輸入的準確性。而在數(shù)據(jù)輸出過程中，由于計算機信息系統(tǒng)中磁性介質的可復制性，使會計資料極易泄露而不被發(fā)現(xiàn)，因此，對于數(shù)據(jù)輸出的資料，不論是磁性文件還是打印資料，輸出后均應立即受到嚴格管理，以防被人竊取或篡改，造成機密泄露，給企業(yè)帶來不必要的損失。

四、結束語

會計電算化是電子信息技術在金融領域的具體應用，對企業(yè)的管理和企業(yè)的效益有著十分直觀的影響。雖然會計電算化作為科技時代的新興產(chǎn)物，與傳統(tǒng)手工會計相比有著無可比擬的優(yōu)越性但其風險也是大大提高了，可謂是基于與挑戰(zhàn)并存，因此，我們要抓準機遇，迎接挑戰(zhàn)，加強會計電算化信息系統(tǒng)的安全控制，是企業(yè)形成良性的管理模式，促進經(jīng)濟和諧發(fā)展。

參考文獻：

[1]陳金倉.會計電算化軟件應用[M].黑龍江人民出版社，2002.

[2]鮮軍.企業(yè)實施網(wǎng)絡財務的安全風險與對策[J].商業(yè)研究，2002，（2）.

[3]耿文莉.談會計電算化信息系統(tǒng)的安全控制問題[J].商業(yè)研究，2004（301）

篇6

關鍵詞：醫(yī)院 信息網(wǎng)絡系統(tǒng) 風險控制

當今社會，人們獲取信息的重要途徑就是計算機網(wǎng)絡，在計算機網(wǎng)絡發(fā)展的同時也存在一些安全隱患，它不會通過安全的體系設計方案進行解決，比如非法訪問用戶賬戶、干擾計算機網(wǎng)絡的正常運行、破壞數(shù)據(jù)的完整性，傳播網(wǎng)絡病毒，進行數(shù)據(jù)盜取等。醫(yī)院要想計算機網(wǎng)絡消除安全方面的隱患，需要先對影響計算機安全的因素有個大體的了解。下面就講解了影響醫(yī)院計算機信息網(wǎng)絡系統(tǒng)安全的因素。

一、影響醫(yī)院信息系統(tǒng)安全的因素

1．自身系統(tǒng)及軟硬件的不穩(wěn)定

醫(yī)院信息網(wǎng)絡系統(tǒng)不可避免的會出現(xiàn)安全漏洞。信息網(wǎng)絡系統(tǒng)最容易出現(xiàn)漏洞的方面有調用RPC漏洞，緩沖區(qū)溢出漏洞。信息網(wǎng)絡系統(tǒng)的數(shù)據(jù)庫也比較容易受到攻擊。信息網(wǎng)絡系統(tǒng)出現(xiàn)的漏洞被利用后，可能會遭受遠程攻擊。應用軟件具有一定的軟件缺陷，這種缺陷可以存在于小程序中，也可以存在于大型的軟件系統(tǒng)中。軟件的缺陷導致了醫(yī)院信息網(wǎng)絡系統(tǒng)的安全風險。網(wǎng)絡硬盤設備方面也存著在缺陷，網(wǎng)絡硬盤作為信息傳遞中重要的硬件設備，在被人們使用的同時也存在著安全隱患，它包含的電磁信息泄露是主要的安全隱患。網(wǎng)絡硬盤與計算機信息網(wǎng)絡系統(tǒng)組成的不牢固也能造出計算機信息網(wǎng)絡系統(tǒng)安全隱患。

2．網(wǎng)絡病毒的惡意傳播

現(xiàn)在網(wǎng)絡病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動程序，它往往會隱藏在醫(yī)院計算機的操作系統(tǒng)中，對用戶資料進行竊取。而蠕蟲病毒比木馬病毒更高級一些，它的傳播可以通過操作系統(tǒng)以及軟件程序的漏洞進行主動攻擊，傳播途徑非常廣泛，每一個蠕蟲病毒都帶有檢查計算機電腦是否有系統(tǒng)及軟件漏洞的模塊，如果發(fā)現(xiàn)電腦含有漏洞，立刻啟動傳播程序傳播出去，它的這一特點，使危害性比木馬病毒大的多，在一臺電腦感染了蠕蟲病毒后，通過這個電腦迅速的傳播到、該電腦所在網(wǎng)絡的其他電腦中，電腦被感染蠕蟲病毒后，會接受蠕蟲病毒發(fā)送的數(shù)據(jù)包，被感染的電腦由于過多的無關數(shù)據(jù)降低了自己的運行速度，或者造成CPU內存占用率過高而死機。漏洞型病毒傳播方法主要通過微軟windows操作系統(tǒng)。由于windows操作系統(tǒng)漏洞很多或者用戶沒有及時的進行windows系統(tǒng)的自身更新，造成了漏洞型病毒趁虛而入，攻占醫(yī)院的計算機電腦。計算機技術在更新?lián)Q代，病毒技術也在發(fā)展變化，現(xiàn)在的網(wǎng)絡病毒不像以前的計算機病毒，現(xiàn)在的病毒有的可以通過多種途徑共同傳播，比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對網(wǎng)絡的危害性更大，處理查殺起來也比較困難。

3．人為惡意攻擊

人為的惡意攻擊是醫(yī)院計算機信息網(wǎng)絡系統(tǒng)面臨的最大安全風險，人為的惡意攻擊可以分為主動攻擊和被動攻擊，主動攻擊是有選擇的通過各種形式破壞信息網(wǎng)絡系統(tǒng)的完整性和有效性；被動攻擊是在不影響醫(yī)院信息網(wǎng)絡系統(tǒng)正常運行的情況下，進行數(shù)據(jù)信息的竊取、截獲以及尋找重要的機密文件。它們都對醫(yī)院的信息網(wǎng)絡系統(tǒng)造成了巨大的危害。

二、保護醫(yī)院信息系統(tǒng)安全的措施

1．建立防火墻防御技術

防火墻設計的理念是防止計算機網(wǎng)絡信息泄露，它通過既定的網(wǎng)絡安全策略，對網(wǎng)內外通信實施強制性的訪問控制，借此來保護計算機網(wǎng)絡安全。它對網(wǎng)絡間傳輸?shù)臄?shù)據(jù)包進行安全檢查，監(jiān)視計算機網(wǎng)絡的運行狀態(tài)。一個完整的防火墻保護體系可以很好的阻止威脅計算機的用戶及其數(shù)據(jù)，阻止黑客通過病毒程序訪問自己的電腦網(wǎng)絡，防止不安全因素擴散到電腦所在的局域網(wǎng)絡。通過將用戶電腦的使用賬戶密碼設置的高級些，，禁用或者刪除無用的賬號，不定期進行賬號密碼的修改都可以很好的防止病毒侵入。由于網(wǎng)絡入侵者的實時性、動態(tài)性，所以在計算機網(wǎng)絡中防火墻軟件要做到實時監(jiān)控的要求。防火墻的實時監(jiān)控技術通過過濾在調用前的所以程序，發(fā)現(xiàn)含有破壞網(wǎng)絡安全的程序文件，并發(fā)出警報，對可疑程序進行查殺，將網(wǎng)絡入侵者阻攔，使計算機免受其害。

2.采用特征碼技術

目前的查殺病毒采用方法主流是通過結合特征碼查毒和人工解毒。當搜查病毒時采用特征碼技術查毒，在殺除清理的時候采用人工編制解毒技術。特征碼查毒技術體現(xiàn)了人工識別病毒的基本方法，它是人工查毒的簡單描述，按照“病毒中某一類代碼相同”的原則進行查殺病毒。當病毒的種類和變形病毒有相關同一性時，可以使用這種特性進行程序代碼比較，然后查找出病毒。但是描述特征碼不能用于所有的病毒，許多的病毒很難被特征碼進行描述或者根本描述不出來。在使用特征碼技術時，一些補充功能需要一同使用，比如壓縮包和壓縮可執(zhí)行性文件的自動查殺技術。

3．其他網(wǎng)絡安全保護對策

加密技術通過將醫(yī)院計算機信息網(wǎng)絡系統(tǒng)的可讀信息變?yōu)槊芪膩肀Ｗo網(wǎng)絡安全。IP地址影響著用戶的計算機網(wǎng)絡安全，網(wǎng)絡黑客通過特殊的網(wǎng)絡探測手段抓取用戶IP，然后對此發(fā)送網(wǎng)絡攻擊。對IP進行隱藏是指通過用戶服務器上網(wǎng)，防止了網(wǎng)絡黑客獲取自己的IP。關閉電腦中不必要的端口也可以有效防范黑客的入侵，還能提高系統(tǒng)的資源利用率。對自己的賬號密碼進行定期、不定期的更改，然后設置賬號密碼保護問題，可以在第一道防線阻止網(wǎng)絡黑客的入侵。及時更新計算機操作系統(tǒng)和應用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護網(wǎng)絡安全軟件，對保護網(wǎng)絡安全的軟件進行及時更新。

總結

醫(yī)院信息網(wǎng)絡系統(tǒng)的安全與醫(yī)院的經(jīng)濟效益息息相關。影響醫(yī)院信息網(wǎng)絡系統(tǒng)安全的因素是多方面的，網(wǎng)絡病毒也在不斷發(fā)展進化，面對這種嚴峻的形勢，我們不能只采用單一的防范措施，而是采用多種保護醫(yī)院信息網(wǎng)絡系統(tǒng)安全的措施，相互協(xié)調，發(fā)揮優(yōu)勢，揚長避短，保證醫(yī)院的信息網(wǎng)絡系統(tǒng)在防范風險方面取得較好的效果。

參考文獻：

[1]王鑫.關于醫(yī)院網(wǎng)絡環(huán)境下計算機安全的防范技術[J].計算機與數(shù)字工程，2009

[2]鄧立新.加強醫(yī)院中信息網(wǎng)絡系統(tǒng)安全的思考[J].科技資訊,2008(26)

篇7

【關鍵詞】 核電 工業(yè)控制系統(tǒng) 安全測試 風險評估 應對策略

【Abstract】 This paper illustrates the difference between ICS and IT system， the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country， an integrated protect strategy is proposed.

【Key words】 Nuclear power generation；Industrial control system ；Safety testing；Risk assessment；Protect strategy

1 引言

隨著信息和通信技術的發(fā)展，核電領域工業(yè)控制系統(tǒng)（Industrial Control System，ICS）的結構變得愈發(fā)開放，其需求方逐漸采用基于標準通信協(xié)議的商業(yè)軟件來代替自主研發(fā)的工業(yè)控制軟件。這種趨勢降低了最終用戶的研發(fā)投入成本，同時，設備與軟件的維護任務可以交給工業(yè)控制系統(tǒng)解決方案提供方，節(jié)省了人力維護成本。

ICS系統(tǒng)的聯(lián)通特性在帶來方便的同時也給核電工業(yè)控制系統(tǒng)安全防護提出了新的挑戰(zhàn)，近年來，多個國家的ICS系統(tǒng)受到了安全威脅。為應對核電領域網(wǎng)絡安全風險挑戰(zhàn)，建立工業(yè)控制安全與核安全相結合的保障體系，本文從工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定、核電信息安全與功能安全的區(qū)別、核電工業(yè)控制系統(tǒng)基本安全要求等方面闡述我國目前面臨的核電信息安全形勢，介紹了核電領域重要的信息安全事件，并總結了核電工業(yè)控制系統(tǒng)安全的應對策略。

2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

標準通信協(xié)議的引入使ICS具備了互聯(lián)互通的特性，ICS與傳統(tǒng)IT系統(tǒng)的界線似乎變得更加模糊了。然而，ICS系統(tǒng)與IT系統(tǒng)相比仍然具有很多本質上的差異。

美國問責總署（GAO）的報告GAO-07-1036[1]、美國國家標準技術研究院NIST SP 800-82[2]根據(jù)系統(tǒng)特征對IT系統(tǒng)和ICS系統(tǒng)進行了比較，IT系統(tǒng)屬于信息系統(tǒng)（Cyber System），ICS系統(tǒng)屬于信息物理融合系統(tǒng)（Cyber-Physical System）。下文將從不同角度說明兩種系統(tǒng)的差異。

2.1 工業(yè)控制系統(tǒng)與信息系統(tǒng)的界定

模型和參考體系是描述工業(yè)控制系統(tǒng)的公共框架，工業(yè)控制系統(tǒng)被劃分為五層結構，如圖1。

第五層―經(jīng)營決策層。經(jīng)營決策層具有為組織機構提供核心生產(chǎn)經(jīng)營、重大戰(zhàn)略決策的功能。該層屬于傳統(tǒng)IT管理系統(tǒng)，使用的都是傳統(tǒng)的IT技術、設備等，主要由服務器和計算機構成。當前工業(yè)領域中企業(yè)管理系統(tǒng)等同工業(yè)控制系統(tǒng)之間的耦合越來越多，參考模型也將它包含進來。

第四層―管理調度層。管理調度層負責管理生產(chǎn)所需最終產(chǎn)品的工作流，它包括業(yè)務管理、運行管理、生產(chǎn)管理、制造執(zhí)行、能源管理、安全管理、物流管理等，主要由服務器和計算機構成。

第三層―集中監(jiān)控層。集中監(jiān)控層具有監(jiān)測和控制物理過程的功能，主要由操作員站、工程師站、輔操臺、人機界面、打印工作站、數(shù)據(jù)庫服務器等設備構成。

第二層―現(xiàn)場控制層?，F(xiàn)場控制層主要包括利用控制設備進行現(xiàn)場控制的功能，另外在第二層也對控制系統(tǒng)進行安全保護。第二層中的典型設備包括分散控制系統(tǒng)（DCS）控制器、可編程邏輯控制器（PLC）、遠程終端控制單元（RTU）等。

第一層―采集執(zhí)行層?，F(xiàn)場執(zhí)行層指實際的物理和化學過程數(shù)據(jù)的采集、控制動作的執(zhí)行。本層包括不同類型的生產(chǎn)設施，典型設備有直接連接到過程和過程設備的傳感器、執(zhí)行器、智能電子儀表等。在工業(yè)控制系統(tǒng)參考模型中，現(xiàn)場執(zhí)行層屬于物理空間，它同各工業(yè)控制行業(yè)直接相關，例如電力的發(fā)電、輸電、配電，化工生產(chǎn)、水處理行業(yè)的泵操作等；正是由于第一層物理空間的過程對實時性、完整性等要求以及它同第二、三、四層信息空間融合才產(chǎn)生工業(yè)控制系統(tǒng)特有的特點和安全需求[3]。

隨著信息物理的融合，從廣義來說，上述五層都屬于工業(yè)控制系統(tǒng)；從狹義來說，第一層到第三層的安全要求及技術防護與其他兩層相比具備較大差異，第一層到第三層屬于狹義工業(yè)控制系統(tǒng)，第四層到第五層屬于信息系統(tǒng)。

2.2 工業(yè)控制系統(tǒng)與信息系統(tǒng)的差異

從用途的角度來說，ICS屬于工業(yè)生產(chǎn)領域的生產(chǎn)過程運行控制系統(tǒng)，重點是生產(chǎn)過程的采集、控制和執(zhí)行，而信息系統(tǒng)通常是信息化領域的管理運行系統(tǒng)，重點在于信息管理。

從系統(tǒng)最終目標的角度來看，ICS更多是以生產(chǎn)過程的控制為中心的系統(tǒng)，而信息技術系統(tǒng)的目的是人使用信息進行管理。

從安全的角度來說，傳統(tǒng)IT系統(tǒng)的安全三要素機密性、完整性、可用性按CIA原則排序，即機密性最重要，完整性次之，可用性排在最后；而工業(yè)控制系統(tǒng)不再適用于這一原則，其安全目標應符合AIC原則，即可用性排在第一位，完整性次之，機密性排在最后。

從受到攻擊后產(chǎn)生的結果來說，工業(yè)控制系統(tǒng)被攻陷后產(chǎn)生的影響是巨大的，有時甚至是災難性的：一是造成物質與人員損失，如設備的報廢、基礎設備的損壞、對人員的傷害、財產(chǎn)的損失、數(shù)據(jù)的丟失；二是造成環(huán)境的破壞，如水、電、氣、熱等人民生活資源的污染，有毒、危險物質的無序排放、非法轉移與使用，公共秩序的混亂；三是造成對國民經(jīng)濟的破壞，如企業(yè)生產(chǎn)與經(jīng)營中斷或停頓、工人停工或失業(yè)，對一個地區(qū)、一個國家乃至對全球經(jīng)濟具備重要的影響；四是嚴重的則會導致社會問題和國家安全問題，如公眾對國家的信心喪失、恐怖襲擊等。

從安全需求的角度來說，ICS系統(tǒng)與IT的差異可以歸納為表1。

3 核電信息安全與功能安全的區(qū)別

功能安全（Functional Safety）是保證系統(tǒng)或設備執(zhí)行正確的功能。它要求系統(tǒng)識別工業(yè)現(xiàn)場的所有風險，并將它控制在可容忍范圍內。

安全相關系統(tǒng)的概念是基于安全完整性等級（SIL1到SIL4）的。它將系統(tǒng)的安全表示為單個數(shù)字，而這個數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的衡量安全相關系統(tǒng)功能失效率的保護因子，級別越高，失效的可能性越小。某一功能安全的SIL等級一旦確定，代表它的風險消減能力要求被確定，同時，對系統(tǒng)的設計、管理、維護的要求嚴格程度也被確定。信息安全與功能安全雖然都是為保障人員、生產(chǎn)和環(huán)境安全，但是功能安全使用的安全完整性等級是基于硬件隨機失效或系統(tǒng)失效的可能性計算得出的，而信息安全的失效具有更多可能的誘因和后果。影響信息安全的因素非常復雜，很難用一個簡單的數(shù)字描述。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護也須是反復迭代進行的。

4 核電工業(yè)控制系統(tǒng)基本安全要求

我國核安全法規(guī)及政策文件主要包括《HAF001中華人民共和國民用核設施安全監(jiān)督管理條例》、《HAF501中華人民共和國核材料管制條例》、《HAF002核電廠核事故應急管理條例》、《民用核安全設備監(jiān)督管理條例 500號令》、《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號）等；指導性文件主要有《HAD核安全導則》，與核電廠工業(yè)控制系統(tǒng)安全相關的有《HAF003 核電廠質量保證安全規(guī)定》、《HAD102-01核電廠設計總的安全原則》、《HAD102-10核電廠保護系統(tǒng)及有關設備》、《HAD102-14核電廠安全有關儀表和控制系統(tǒng)》、《HAD102-16核電廠基于計算機的安全重要系統(tǒng)軟件》、《HAD102-17核電廠安全評價與驗證》等導則，標準規(guī)范有《GB/T 13284.1-2008 核電廠安全系統(tǒng) 第1部分：設計準則》、《GB/T 13629-2008 核電廠安全系統(tǒng)中數(shù)字計算機的適用準則》、《GB/T 15474-2010 核電廠安全重要儀表和控制功能分類》、《GB/T 20438-2006 電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》、《GB/T 21109-2007 過程工業(yè)領域安全儀表系統(tǒng)的功能安全》[4]等。

然而，我國核電信息安全方面的標準與我國法律的結合不緊密?！禦G 5.71核設施的信息安全程序》是美國核能監(jiān)管委員會（NRC）參考聯(lián)邦法規(guī)中對計算機、通信系統(tǒng)和網(wǎng)絡保護的要求，針對核電廠而制定的法規(guī)，《RG 1.152核電廠安全系統(tǒng)計算機使用標準》是為保障用于核電廠安全系統(tǒng)的數(shù)字計算機的功能可靠性、設計質量、信息和網(wǎng)絡安全而制定的法規(guī)，其所有的背景與定義均來源于聯(lián)邦法規(guī)。而我國的相關標準僅是將RG 5.71中的美國標準替換為中國標準，且國內相關核電領域法規(guī)缺乏對信息安全的要求。

5 核電工業(yè)控制系統(tǒng)重要安全事件

5.1 蠕蟲病毒導致美國Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓

2003年1月，“Slammer”蠕蟲病毒導致美國俄亥俄州Davis-Besse核電站安全監(jiān)控系統(tǒng)癱瘓，核電站被迫停止運轉進行檢修。經(jīng)調查，核電站沒有及時進行安裝補丁，該蠕蟲使用供應商被感染的電腦通過電話撥號直接連到工廠網(wǎng)絡，從而繞過防火墻。

5.2 信息洪流導致美國Browns Ferry核電站機組關閉

2006年8月，美國阿拉巴馬州的Browns Ferry核電站3號機組受到網(wǎng)絡攻擊，當天核電站局域網(wǎng)中出現(xiàn)了信息洪流，導致反應堆再循環(huán)泵和冷凝除礦控制器失靈，致使3號機組被迫關閉。

5.3 軟件更新不當引發(fā)美國Hatch核電廠機組停機

2008年3月，美國喬治亞州Hatch核電廠2號機組發(fā)生自動停機事件。當時，一位工程師正在對該廠業(yè)務網(wǎng)絡中的一臺計算機進行軟件更新，該計算機用于采集控制網(wǎng)絡中的診斷數(shù)據(jù)，以同步業(yè)務網(wǎng)絡與控制網(wǎng)絡中的數(shù)據(jù)。當工程師重啟計算機時，同步程序重置了控制網(wǎng)絡中的相關數(shù)據(jù)，使得控制系統(tǒng)誤以為反應堆儲水庫水位突然下降，從而自動關閉了整個機組。

5.4 震網(wǎng)病毒入侵伊朗核電站導致核計劃停頓

2010年10月，震網(wǎng)病毒（Stuxnet）通過針對性的入侵伊朗布什爾核電站核反應堆控制系統(tǒng)，攻擊造成核電站五分之一的濃縮鈾設施離心機發(fā)生故障，直接影響到了伊朗的核計劃進度，嚴重威脅到的安全運營。該事件源于核電廠員工在內部網(wǎng)絡和外部網(wǎng)絡交叉使用帶有病毒的移動存儲介質。

5.5 無線網(wǎng)絡引入的木馬引發(fā)韓國核電站重要信息泄露

2015年8月，曾泄漏韓國古里核電站1、2號機組內部圖紙、月城核電站3、4號機組內部圖紙、核電站安全解析代碼等文件的“核電反對集團”組織通過社交網(wǎng)站再次公開了核電站等機構的內部文件，要求韓國政府與該組織就拿到的10萬多張設計圖問題進行協(xié)商，并威脅韓國政府如不接受上述要求，將向朝鮮以及其他國家出售所有資料。本事件源于核電廠員工在企業(yè)內網(wǎng)和企業(yè)外部利用手機使用不安全的無線網(wǎng)絡信號，被感染木馬而引發(fā)。

6 核電工業(yè)控制系統(tǒng)安全應對策略

6.1 完善核電工業(yè)控制系統(tǒng)安全法規(guī)及標準

根據(jù)工信部協(xié)[2011]45l號文[5]，工業(yè)控制系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設、同步運行安全防護措施，明確了工業(yè)控制系統(tǒng)信息安全管理基本要求，即連接管理要求、組網(wǎng)管理要求、配置管理要求、設備選擇與升級管理要求、數(shù)據(jù)管理要求、應急管理要求。核電行業(yè)主管部門、國有資產(chǎn)監(jiān)督管理部門應結合實際制定完善相關法規(guī)制度，并參考《IEC 62443工業(yè)通訊網(wǎng)絡 網(wǎng)絡和系統(tǒng)安全》、《NIST SP800-82 工業(yè)控制系統(tǒng)安全指南》、《GB/T 26333-2010工業(yè)控制網(wǎng)絡安全風險評估規(guī)范》、《GB/T 30976.1-2014 工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范》、《GB/T 30976.2-2014工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范》、《GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求》、《IEEE Std 7-432-2010 核電站安全系統(tǒng)計算機系統(tǒng)》制定適用于核電領域的工業(yè)控制系統(tǒng)安全標準。同時，部分企業(yè)對推薦性標準的執(zhí)行力度不夠，有必要出臺若干強制性標準。

6.2 健全核電工業(yè)控制系統(tǒng)安全責任制

核電企業(yè)要按照誰主管按照誰負責、誰運營誰負責、誰使用誰負責的原則建立健全信息安全責任制，建立信息安全領導機構和專職部門，配備工業(yè)控制系統(tǒng)安全專職技術人員，統(tǒng)籌工業(yè)控制系統(tǒng)和信息系統(tǒng)安全工作，建立工業(yè)控制系統(tǒng)安全管理制度和應急預案，保證充足的信息安全投入，系統(tǒng)性開展安全管理和技術防護。

6.3 統(tǒng)籌開展核電工業(yè)控制系統(tǒng)安全防護

結合生產(chǎn)安全、功能安全、信息安全等多方面要求統(tǒng)籌開展工業(yè)控制系統(tǒng)安全防護，提升工業(yè)控制系統(tǒng)設計人員、建設人員、使用人員、運維人員和管理人員的信息安全意識，避免殺毒等傳統(tǒng)防護手段不適用導致工業(yè)控制系統(tǒng)未進行有效防護、工業(yè)控制系統(tǒng)遭受外界攻擊而發(fā)生癱瘓、工業(yè)控制系統(tǒng)安全可靠性不足導致停機事故、工業(yè)控制系統(tǒng)重要信息失竊密等風險。

6.4 建立核電工業(yè)控制系統(tǒng)測試管控體系

系統(tǒng)需求、設計、開發(fā)、運維階段的一些問題會影響工業(yè)控制系統(tǒng)的安全可靠運行，因此有必要在系統(tǒng)需求設計、選型、招標、建設、驗收、運維、擴建等階段強化廠商內部測試、出廠測試、選型測試、試運行測試、驗收測試、安全測試、入網(wǎng)測試、上線或版本變更測試等測試管控手段，提升系統(tǒng)安全性。

6.5 開展工業(yè)控制系統(tǒng)安全測試、檢查和評估

企業(yè)要定期開展工業(yè)控制系統(tǒng)的安全測試、風險評估、安全檢查和安全評估，以便及時發(fā)現(xiàn)網(wǎng)絡安全隱患和薄弱環(huán)節(jié)，有針對性地采取管理和技術防護措施，促進安全防范水平和安全可控能力提升，預防和減少重大網(wǎng)絡安全事件的發(fā)生。核電行業(yè)主管部門、網(wǎng)絡安全主管部門要加強對核電領域工業(yè)控制系統(tǒng)信息安全工作的指導監(jiān)督，加強安全自查、檢查和抽查，確保信息安全落到實處。

綜上所述，圍繞我國核設施安全要求，完善核電信息安全法規(guī)標準，落實信息安全責任制，統(tǒng)籌開展安全技術防護，建立工業(yè)控制系統(tǒng)測試管控體系，定期開展安全測試和評估，是當前和今后核電領域開展工業(yè)控制系統(tǒng)信息安全保障的重要內容。

參考文獻：

[1]David A. Multiple Efforts to Secure Control Systems Are Under Way， but Challenges Remain， GAO-07-1036 [R].Washington DC，USA：US Government Accountability Office（US GAO），2007.

[2]NIST SP800-82.Guide to Industrial Control Systems （ICS） Security [S].Gaithersburg， USA： National Institute of Standards and Technology （NIST），2011.

[3]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進展 [J].清華大學學報，2012，52（10）：1396-1408.

篇8

【 關鍵詞 】 煙草；工業(yè)控制系統(tǒng)；信息安全；風險評估；脆弱性測試

1 引言

隨著工業(yè)化和信息化進程的加快，越來越多的計算機技術以及網(wǎng)絡通信技術應用到煙草自動化生產(chǎn)過程中。在這些技術提高了企業(yè)管理水平和生產(chǎn)效率的同時，也帶來了病毒和惡意代碼、信息泄露和篡改等網(wǎng)絡信息安全問題。當前，煙草企業(yè)所建成的綜合自動化系統(tǒng)基本可以分為三層結構：上層為企業(yè)資源計劃（ERP）系統(tǒng)；中間層為制造執(zhí)行系統(tǒng)（MES）；底層為工業(yè)控制系統(tǒng)。對于以ERP為核心的企業(yè)管理系統(tǒng)，信息安全防護相對已經(jīng)成熟，煙草企業(yè)普遍采用了防火墻、網(wǎng)閘、防病毒、防入侵等防護措施。而隨著MES技術在煙草企業(yè)的廣泛實施，越來越多企業(yè)開始考慮在底層的工業(yè)控制系統(tǒng)進行信息安全防護工作。近年來，全球工業(yè)控制系統(tǒng)經(jīng)歷了“震網(wǎng)”、“Duqu”、“火焰”等病毒的攻擊，這些安全事件表明，一直以來被認為相對封閉、專業(yè)和安全的工業(yè)控制系統(tǒng)已經(jīng)成為了黑客或不法組織的攻擊目標。對于煙草企業(yè)的工業(yè)控制系統(tǒng)，同樣也面臨著信息安全問題。

與傳統(tǒng)IT系統(tǒng)一樣，在工業(yè)控制系統(tǒng)的信息安全問題研究中，風險評估是其重要基礎。在工業(yè)控制系統(tǒng)信息安全風險評估方面，國外起步較早，已經(jīng)建立了ISA/IEC 62443、NIST800-82等一系列國際標準和指南；而國內也相繼了推薦性標準GB/T 26333-2010：工業(yè)控制網(wǎng)絡安全風險評估規(guī)范和GB/T30976.1～.2-2014：工業(yè)控制系統(tǒng)信息安全（2個部分）等。當前，相關學者也在這方面進行了一系列研究，但國內外還沒有一套公認的針對工業(yè)控制系統(tǒng)信息安全風險評估方法，而且在煙草行業(yè)的應用實例也很少。

本文基于相關標準，以制絲線控制系統(tǒng)為對象進行了信息安全風險評估方法研究，并實際應用在某卷煙廠制絲集控系統(tǒng)中，為后續(xù)的安全防護工作打下了基礎，也為煙草工業(yè)控制系統(tǒng)風險評估工作提供了借鑒。

2 煙草工業(yè)控制系統(tǒng)

煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)中的工控系統(tǒng)大致分成四種類型：制絲集控、卷包數(shù)采、高架物流、動力能源，這四個流程，雖工藝不同，相對獨立，但它們的基本原理大體一致，采用的工具和方法大致相同。制絲集控系統(tǒng)在行業(yè)內是一種典型的工業(yè)控制系統(tǒng)，它的信息安全情況在一定程度上體現(xiàn)了行業(yè)內工業(yè)控制系統(tǒng)的信息安全狀態(tài)。

制絲集控系統(tǒng)主要分為三層：設備控制層、集中監(jiān)控層和生產(chǎn)管理層。設備控制層有工業(yè)以太網(wǎng)連接控制主站以及現(xiàn)場I/O站。集中監(jiān)控層網(wǎng)絡采用光纖環(huán)形拓撲結構，將工藝控制段的可編程控制器（PLC）以及其他相關設備控制段的PLC接入主干網(wǎng)絡中，其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等，然后與監(jiān)控計算器、I/O服務器、工程師站和實時數(shù)據(jù)庫服務器等共同組成了集中監(jiān)控層。生產(chǎn)管理層網(wǎng)絡連接了生產(chǎn)現(xiàn)場的交換機，與管理計算機、管理服務器等共同組成了生產(chǎn)管理層。

制絲車間的生產(chǎn)采用兩班倒的方式運行，對生產(chǎn)運行的實時性、穩(wěn)定性要求非常嚴格；如直接針對實際系統(tǒng)進行在線的掃描等風險評估工作，會對制絲生產(chǎn)造成一定的影響，存在影響生產(chǎn)的風險。而以模擬仿真平臺為基礎的系統(tǒng)脆弱性驗證和自主可控的測評是當前制絲線控制系統(tǒng)信息安全評估的一種必然趨勢。

3 工控系統(tǒng)風險評估方法

在風險評估方法中，主要包括了資產(chǎn)識別、威脅評估、脆弱性評估、綜合評估四個部分，其中脆弱性測試主要以模擬仿真平臺為基礎進行自主可控的測評。

風險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結合。風險評估模型主要包含信息資產(chǎn)、脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，脆弱性的屬性是脆弱性被威脅利用后對資產(chǎn)帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性，風險的屬性是風險發(fā)生的后果。

3.1 資產(chǎn)識別

首先進行的是對實際生產(chǎn)環(huán)境中的信息資產(chǎn)進行識別，主要包括服務器、工作站、下位機、工業(yè)交換設備、工控系統(tǒng)軟件和工業(yè)協(xié)議的基本信息。其中，對于服務器和工作站，詳細調查其操作系統(tǒng)以及所運行的工控軟件；對于下位機，查明PLC主站和從站的詳細型號；對于交換設備，仔細查看其配置以及連接情況；對于工控系統(tǒng)軟件，詳細調查其品牌以及實際安裝位置；對于工業(yè)協(xié)議，則詳細列舉其通信兩端的對象。

3.2 威脅評估

威脅評估的第一步是進行威脅識別，主要的任務是是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式。

威脅主體：分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然災害和設施故障。

威脅途徑：分為間接接觸和直接接觸，間接接觸主要有網(wǎng)絡訪問、指令下置等形式；直接接觸指威脅主體可以直接物理接觸到信息資產(chǎn)。

威脅方式：主要有傳播計算機病毒、異常數(shù)據(jù)、掃描監(jiān)聽、網(wǎng)絡攻擊（后門、漏洞、口令、拒絕服務等）、越權或濫用、行為抵賴、濫用網(wǎng)絡資源、人為災害（水、火等）、人為基礎設施故障（電力、網(wǎng)絡等）、竊取、破壞硬件、軟件和數(shù)據(jù)等。

威脅識別工作完成之后，對資產(chǎn)所對應的威脅進行評估，將威脅的權值分為1-5 五個級別，等級越高威脅發(fā)生的可能性越大。威脅的權值主要是根據(jù)多年的經(jīng)驗積累或類似行業(yè)客戶的歷史數(shù)據(jù)來確定。等級5標識為很高，表示該威脅出現(xiàn)的頻率很高（或≥1 次/周），或在大多數(shù)情況下幾乎不可避免，或可以證實經(jīng)常發(fā)生過。等級1標識為很低，表示該威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。

3.3 脆弱性測試

脆弱性評估需從管理和技術兩方面脆弱性來進行。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現(xiàn)有的安全管理制度的制定和執(zhí)行情況進行檢查，發(fā)現(xiàn)了其中的管理漏洞和不足。技術方面包括物理環(huán)境、網(wǎng)絡環(huán)境、主機系統(tǒng)、中間件系統(tǒng)和應用系統(tǒng)五個層次，主要是通過遠程和本地兩種方式進行手工檢查、工具掃描等方式進行評估，以保證脆弱性評估的全面性和有效性。

傳統(tǒng)IT 系統(tǒng)的技術脆弱性評測可以直接并入到生產(chǎn)系統(tǒng)中進行掃描檢測，同時通過交換機的監(jiān)聽口采集數(shù)據(jù)，進行分析。而對工控系統(tǒng)的脆弱性驗證和測評服務，則以實際車間工控系統(tǒng)為藍本，搭建一套模擬工控系統(tǒng)，模擬系統(tǒng)采用與真實系統(tǒng)相同或者相近的配置，最大程序反映實際工控系統(tǒng)的真實情況。評估出的模擬系統(tǒng)工控系統(tǒng)安全情況，經(jīng)過分析與演算，可以得出真實工控系統(tǒng)安全現(xiàn)狀。

對于工控系統(tǒng)主要采用的技術性測試方法。

（1）模擬和數(shù)字控制邏輯測試方法。該方法針對模擬系統(tǒng)中的控制器系統(tǒng)進行測試。采用如圖1的拓撲形式，通過組態(tài)配置PLC輸出方波數(shù)字信號和階梯模擬信號，通過監(jiān)測控制信號的邏輯以判別控制系統(tǒng)的工作狀態(tài)。

（2）抓包測試方法。該方法可以對模擬系統(tǒng)中的各種設備進行測試。采用圖2的拓撲形式，通過抓包方式，獲取車間現(xiàn)場運行的正常網(wǎng)絡數(shù)據(jù)包；將該數(shù)據(jù)進行模糊算法變異，產(chǎn)生新的測試用例，將新數(shù)據(jù)發(fā)送到測試設備上進行漏洞挖掘。該測試方法既不影響工作現(xiàn)場，又使得模擬系統(tǒng)的測試數(shù)據(jù)流與工作現(xiàn)場相同。

（3）橋接測試方法。該方法針對模擬系統(tǒng)中的工業(yè)通信協(xié)議進行測試。測試平臺接收到正常的數(shù)據(jù)包后，對該數(shù)據(jù)包進行模糊算法變異，按照特定的協(xié)議格式，由測試平臺向被測設備發(fā)送修改后的數(shù)據(jù)，進行漏洞挖掘測試。采用的拓撲形式就是圖2中去除了虛線框中的內容后的形式。

（4）點對點測試方法。該方法針對通信協(xié)議進行測試。采用與圖1相同拓撲形式，按照所面對的協(xié)議的格式，由測試平臺向被測設備發(fā)送測試用例，進行健壯性的測試。

（5）系統(tǒng)測試方法。該方法對裝有工控軟件的被測設備進行測試。該方法采用如圖3的拓撲形式，綜合了前幾種方式，在系統(tǒng)的多個控制點同時進行，模糊測試數(shù)據(jù)在不同控制點之間同時傳輸，對整個工業(yè)控制環(huán)境進行系統(tǒng)級的漏洞挖掘。

3.4 綜合分析

在完成資產(chǎn)、威脅和脆弱性的評估后，進入安全風險的評估階段。在這個過程中，得到綜合風險評估分析結果和建議。根據(jù)已得到的資產(chǎn)、威脅和脆弱性分析結果，可以得到風險以及相應的等級，等級越高，風險越高。

4 應用實例

本文以某卷煙廠制絲車間的制絲集控系統(tǒng)為例進行風險評估研究。

4.1 資產(chǎn)識別

首先對該制絲集控系統(tǒng)進行了資產(chǎn)的識別，得到的各類資產(chǎn)的基本信息。資產(chǎn)的簡單概述：服務器包括GR 服務器、監(jiān)控實時服務器、AOS 服務器、文件服務器、管理應用服務器、管理數(shù)據(jù)庫服務器和管理實時服務器等；工作站包括工程師站、監(jiān)控計算機和管理計算機；下位機包括西門子PLC S7-300、PLC S7-400 和ET200S；網(wǎng)絡交換設備主要以西門子交換機和思科交換機為主；工控系統(tǒng)軟件主要有Wonderware 系列軟件、西門子STEP7、KEPServerEnterprise等。

4.2 威脅評估

依據(jù)威脅主體、威脅途徑和威脅方式對制絲集控系統(tǒng)進行了威脅的識別，隨后對卷煙廠制絲集控系統(tǒng)的威脅分析表示，面臨的威脅來自于人員威脅和環(huán)境威脅，威脅方式主要有計算機病毒、入侵等。其中等級較高的威脅（等級≥3）其主體主要是互聯(lián)網(wǎng)/辦公網(wǎng)以及內部辦公人員威脅。

4.3 脆弱性評估

搭建的模擬系統(tǒng)與真實網(wǎng)絡層次結構相同，拓撲圖如圖4所示。

基于工控模擬環(huán)境，對設備控制層、工控協(xié)議、工控軟件、集中監(jiān)控設備進行評估。

對設備控制層的控制設備通訊流程分為五條路徑進行歸類分析，即圖4中的路徑1到5，通信協(xié)議均為西門子S7協(xié)議。一方面采用模擬和數(shù)字控制邏輯測試方法以及抓包測試方法對控制器進行測試，另一方面采用橋接測試方法對S7協(xié)議進行漏洞挖掘，結果表明結果未發(fā)現(xiàn)重大設備硬

件漏洞。

除了S7 協(xié)議外，圖4中所標的剩余通信路徑中，路徑6為OPC協(xié)議，路徑7為ProfiNet協(xié)議，路徑8為ProfiBus協(xié)議，路徑9為Modbus TCP協(xié)議。對于這些工控協(xié)議，采用點對點測試方法進行健壯性測試，結果發(fā)現(xiàn)了協(xié)議采用明文傳輸、未對OPC端口進行安全防范等問題。

采用系統(tǒng)測試方法，對裝有工控軟件的以及集中設備進行測試，發(fā)現(xiàn)了工控軟件未對MAC 地址加固，無法防止中間人攻擊，賬號密碼不更新，未進行認證等數(shù)據(jù)校驗諸多問題。

然后對制絲集控系統(tǒng)進行的脆弱性分析發(fā)現(xiàn)了兩個方面的問題非常值得重視。一是工控層工作站可通過服務器連通Internet，未進行任何隔離防范，有可能帶來入侵或病毒威脅；攻擊者可直接通過工作站攻擊內網(wǎng)的所有服務器，這帶來的風險極大。二是工控協(xié)議存在一定威脅，后期需要采取防護措施。

4.4 綜合評估

此次對制絲集控系統(tǒng)的分析中，發(fā)現(xiàn)了一個高等級的風險：網(wǎng)絡中存在可以連接Internet的服務器，未對該服務器做安全防護。還有多個中等級的風險，包括網(wǎng)絡分域分區(qū)的策略未細化、關鍵網(wǎng)絡設備和業(yè)務服務器安全配置不足、設備存在緊急風險漏洞、工控協(xié)議存在安全隱患、PLC 應用固件缺乏較完善的認證校驗機制等。

4.5 防護建議

根據(jù)制絲集控系統(tǒng)所發(fā)現(xiàn)的風險和不足，可以采取幾項防護措施：對于可連到Internet的服務器，采用如堡壘機模式等安全防護措施，加強分區(qū)分域管理；對主機設備和網(wǎng)絡交換機加強安全策略，提高安全等級；對存在緊急風險漏洞的設備，及時打補?。粚τ诠た貐f(xié)議存在的安全隱患，控制器缺乏驗證校驗機制等風險，采用工業(yè)安全防護設備對其檢測審計與防護阻斷。

5 結束語

隨著信息化的不斷加強，煙草企業(yè)對于工業(yè)控制系統(tǒng)信息安全越來越重視，而風險評估可以說是信息安全工作的重要基礎。本文提出基于模擬系統(tǒng)和脆弱性測試的風險評估方法，采用資產(chǎn)識別、威脅評估、以模擬系統(tǒng)評測為主的脆弱性評估、綜合評估等步驟，對煙草制絲線控制系統(tǒng)進行信息安全風險評估。而在脆弱性測試中采用了模擬和數(shù)字控制邏輯測試、抓包測試、系統(tǒng)測試等多種方法，對工業(yè)控制系統(tǒng)技術上的脆弱性進行測試。這些步驟和方法在某卷煙廠的制絲集控系統(tǒng)應用中取得了良好的成果：發(fā)現(xiàn)了工控系統(tǒng)中存在的一些信息安全問題及隱患，并以此設計了工業(yè)安全防護方案，將工控網(wǎng)絡風險控制到可接受范圍內。

本次所做的煙草工業(yè)控制系統(tǒng)信息安全風險評估工作，可以為同類的煙草企業(yè)工控信息安全防護建設提供一定的借鑒。但同時，也要看到，本次的風險評估工作中對于風險等內容的定級對于經(jīng)驗的依賴程度較高，不易判斷，這也是以后研究的方向之一。

參考文獻

[1] 李燕翔，胡明淮.煙草制造企業(yè)工業(yè)控制網(wǎng)絡安全淺析[J].中國科技博覽，2011，（34）： 531-2.

[2] 李鴻培， 忽朝儉，王曉鵬. 2014工業(yè)控制系統(tǒng)的安全研究與實踐[J]. 計算機安全，2014，（05）： 36-59，62.

[3] IEC 62443―2011， Industrial control network &system security standardization[S].

[4] SP 800-82―2008， Guide to industrial control systems（ICS） security[S].

[5] GB/T 26333―2011， 工業(yè)控制網(wǎng)絡安全風險評估規(guī)范[S].

[6] GB/T 30976.1―2011， 工業(yè)控制系統(tǒng)信息安全 第1部分：評估規(guī)范[S].

[7] GB/T 30976.2―2011， 工業(yè)控制系統(tǒng)信息安全 第2部分：驗收規(guī)范[S].

[8] 盧慧康， 陳冬青， 彭勇，王華忠.工業(yè)控制系統(tǒng)信息安全風險評估量化研究[J].自動化儀表， 2014 （10）： 21-5.

[9] 彭杰，劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動化儀表， 2012， 33（12）： 36-9.

作者簡介：

李威（1984-），男，河南焦作人，西安交通大學，碩士，浙江中煙工業(yè)有限責任公司，工程師；主要研究方向和關注領域：信息安全與網(wǎng)絡管理。

湯堯平（1974-），男，浙江諸暨人，浙江中煙工業(yè)有限責任公司，工程師；主要研究方向和關注領域：煙草生產(chǎn)工業(yè)控制。

篇9

關鍵詞：電力系統(tǒng)；計算機網(wǎng)絡；信息安全；防護策略

引言

近年來，隨著科技的飛速發(fā)展，互聯(lián)網(wǎng)技術被應用于各個領域之中，互聯(lián)網(wǎng)技術給人們日常生活與工作都帶來了極大的便利。信息技術在電力系統(tǒng)之中的應用，可以提升對電力系統(tǒng)的管理工作效率，降低電力系統(tǒng)的管理難度。隨著城市的發(fā)展，生活、生產(chǎn)用電量不斷增長，這也造成了電力系統(tǒng)規(guī)模的不斷擴大，為了確保電力系統(tǒng)的穩(wěn)定運行，對網(wǎng)絡信息技術的依賴性也越來越大。但是，網(wǎng)絡信息技術中存在著信息安全問題，不能做好對計算機網(wǎng)絡信息安全方面的防護工作，就會影響電力系統(tǒng)的順利運行。

1計算機網(wǎng)絡信息安全對電力系統(tǒng)的影響

計算機網(wǎng)絡信息技術可以提升信息資源的利用效率，提高資源的共享能力，提升信息數(shù)據(jù)的傳輸效率。將計算機網(wǎng)絡信息技術應用在電力系統(tǒng)之中，就能利用網(wǎng)絡信息技術的優(yōu)勢，提高電力系統(tǒng)的輸電、用電效率，有利于降低輸電過程中的電能消耗。但是，基于計算機網(wǎng)絡信息技術建立起的管理系統(tǒng)，很容易受到來自網(wǎng)絡的黑客攻擊或病毒侵害，如果不能給予相應的防護措施，電力系統(tǒng)中的相關數(shù)據(jù)就會受到嚴重損害，系統(tǒng)故障也會造成電力系統(tǒng)的運行故障。因此，電力系統(tǒng)利用計算機網(wǎng)絡信息技術提高工作效率的同時，還必須重視起計算機網(wǎng)絡信息安全問題，建立相應的防護系統(tǒng)，這樣才能避免對電力系統(tǒng)造成的損害。

2電力系統(tǒng)中計算機網(wǎng)絡信息安全的常見問題

2.1計算機病毒

計算機病毒是計算機網(wǎng)絡信息安全中的常見問題之一，當計算機系統(tǒng)感染病毒，計算機病毒就會破壞系統(tǒng)中的程序數(shù)據(jù)，一些病毒也會損壞文件數(shù)據(jù)的完整性，這就會導致電力系統(tǒng)中的重要信息丟失，影響控制系統(tǒng)的正常運行。另外，一些危害較大的計算機病毒具有自我復制能力，隨著系統(tǒng)軟件的每次運行，病毒程序就會加以復制，進而加大計算機病毒的查殺難度，也會提升病毒對系統(tǒng)的破壞性。目前，電力系統(tǒng)中有大量基于計算機網(wǎng)絡信息技術的監(jiān)測、控制系統(tǒng)，當作為控制平臺的計算機受到病毒入侵，系統(tǒng)穩(wěn)定性就會受到影響，嚴重者就會出現(xiàn)電力系統(tǒng)的運行故障，不僅影響著正常供電，運行故障也會給電力系統(tǒng)的設備造成損害。

2.2黑客入侵

隨著電力系統(tǒng)規(guī)模的擴大，在電力系統(tǒng)中使用的控制平臺也從局域網(wǎng)絡環(huán)境轉為互聯(lián)網(wǎng)環(huán)境，外網(wǎng)的使用就會加大受到黑客入侵的風險。黑客入侵會造成電力系統(tǒng)控制權的喪失，黑客入侵后，會利用電力系統(tǒng)中的安全漏洞，進而干擾電力系統(tǒng)的管控工作，同時也會造成重要信息數(shù)據(jù)的丟失。如果被黑客竊取的數(shù)據(jù)資料流入市場，也會讓電力企業(yè)出現(xiàn)重大經(jīng)濟損失，進而擾亂電力市場，不僅危及著電力系統(tǒng)的運行安全，也干擾這社會秩序的穩(wěn)定。

2.3系統(tǒng)本身的漏洞

利用計算機網(wǎng)絡信息技術建立的監(jiān)測、控制平臺，需要定期進行版本的更新，不僅可以完善系統(tǒng)平臺的功能性，也是對現(xiàn)存系統(tǒng)漏洞的修補。系統(tǒng)平臺不能定期更新、維護，就會更容易被黑客侵入，也會提升系統(tǒng)報錯的發(fā)生幾率，影響系統(tǒng)的穩(wěn)定性。如表1所示。

3電力系統(tǒng)工作方面中的不足

在電力系統(tǒng)中，工作人員操作相關軟件系統(tǒng)時，也存在一些問題，這也會增加網(wǎng)絡信息安全隱患。一些電力企業(yè)對網(wǎng)絡信息安全的重要性并沒有形成深刻的認識，網(wǎng)絡安全問題對電力系統(tǒng)的危害沒有引起領導層的重視，單純的做好了計算機網(wǎng)絡建設，并沒有加入對網(wǎng)絡信息安全方面的防護措施。另外，在使用中，許多工作人員缺乏計算機方面的專業(yè)知識，缺乏網(wǎng)絡安全意識，就加大了日常工作行為造成網(wǎng)絡安全問題的幾率。工作人員缺乏相應的用網(wǎng)安全知識，隨意進行網(wǎng)絡瀏覽或插接帶有病毒的硬件，這就會對網(wǎng)絡信息安全造成威脅，嚴重者導致整個控制系統(tǒng)的癱瘓。另外，我國政府在對電力系統(tǒng)網(wǎng)絡安全方面的管理制度也存在不足，缺少相關的法律法規(guī)加以約束，制定的法律法規(guī)中沒有統(tǒng)一明確的標準，對現(xiàn)有問題的涉及范圍較小，不能完全覆蓋所有網(wǎng)絡信息安全問題，這也就降低了法律法規(guī)的警示作用。

4電力系統(tǒng)網(wǎng)絡信息安全的具體防護策略

4.1加裝殺毒軟件

在使用計算機和進行網(wǎng)絡瀏覽的過程中，殺毒軟件是保護計算機網(wǎng)絡信息安全的重要工具。因此，在電力系統(tǒng)網(wǎng)絡信息安全管理工作中，必須確保電力系統(tǒng)中的監(jiān)測控制系統(tǒng)均要安裝殺毒軟件。可以根據(jù)電力系統(tǒng)實際情況來選擇殺毒軟件的類型，在日常管理中，工作人員要定期進行對計算機系統(tǒng)的查毒、殺毒操作，確保每名工作人員都掌握殺毒操作的方法，學習安全瀏覽網(wǎng)絡、使用硬件的方法。要對工作人員加以培訓，提升工作人員對網(wǎng)絡信息安全的認識水平，對未知軟件、郵件的閱讀、安裝提示加以防范，及時的查殺、刪除，網(wǎng)絡上掛載的文件也要慎重下載，盡量登錄正規(guī)網(wǎng)站，減少未知網(wǎng)站的閱覽。目前市場上常用的殺毒軟件可參考表2。

4.2引用相關計算機網(wǎng)絡防護技術

在電力系統(tǒng)的控制系統(tǒng)平臺之中，還可以為相關軟件加入網(wǎng)絡信息安全技術，可以利用防火墻技術對外網(wǎng)與內網(wǎng)之間架設一道網(wǎng)絡安全防護，進而減少外網(wǎng)環(huán)境中不安全因素對系統(tǒng)的入侵，提升用網(wǎng)安全性，加強對系統(tǒng)高危漏洞的修復，也能有效減少黑客、病毒對系統(tǒng)安全的危害。在電力系統(tǒng)控制端架設防火墻，通過防火墻限制用戶數(shù)量，可以有效的避免黑客的入侵，進而防止電力系統(tǒng)控制權限被他人盜用。另外，在軟件系統(tǒng)中也可以加入其它網(wǎng)絡安全產(chǎn)品，例如VPN系統(tǒng)、文檔加密系統(tǒng)、電子秘鑰等安全產(chǎn)品，這樣可以有效減少計算機網(wǎng)絡信息方面的安全隱患，避免對電力系統(tǒng)正常運行的影響。相關網(wǎng)絡安全防護措施如表3所示。

篇10

目前ICS廣泛應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計民生的關鍵基礎設施依靠ICS來實現(xiàn)自動化作業(yè)，ICS安全已是國家安全戰(zhàn)略的重要組成部分。

近年來，國內工業(yè)企業(yè)屢屢發(fā)生由于工控安全導致的事故，有的是因為感染電腦病毒，有的是因為TCP/IP協(xié)議棧存在明顯缺陷，有的是由于操作間員工違規(guī)操作帶入病毒。比如，2011年某石化企業(yè)某裝置控制系統(tǒng)分別感染Conficker病毒，造成控制系統(tǒng)服務器與控制器通訊不同程度的中斷。又如，2014年某大型冶金廠車間控制系統(tǒng)發(fā)現(xiàn)病毒，是因為員工在某一臺工作站上私自安裝娛樂軟件，帶入病毒在控制網(wǎng)擴散。還有一個案例是，江蘇某地級市自來水公司將所有小區(qū)泵站的PLC都通過某公司企業(yè)路由器直接聯(lián)網(wǎng)，通過VPN遠程進行控制訪問，實時得到各泵站PLC的數(shù)據(jù)；結果發(fā)現(xiàn)大量的PLC聯(lián)網(wǎng)狀態(tài)不穩(wěn)定，出現(xiàn)時斷時續(xù)的現(xiàn)象。經(jīng)過現(xiàn)場診斷，發(fā)現(xiàn)是PLC的TCP/IP協(xié)議棧存在明顯缺陷導致，最后靠廠家升級PLC固件解決。

ICS安全事故頻發(fā)，引起了相關各方和國家高層的重視。2014年12月，工控系統(tǒng)信息安全國家標準GB/T30976-2014首次，基本滿足工業(yè)控制系統(tǒng)的用戶、系統(tǒng)集成商、設備生產(chǎn)商等各方面的使用。國家標準的，極大地促進了工控系統(tǒng)信息安全的發(fā)展。

我國ICS網(wǎng)絡安全發(fā)展現(xiàn)狀

據(jù)工信部電子科學技術情報研究所數(shù)據(jù)顯示，2012年，中國工業(yè)控制系統(tǒng)信息安全市場已達到11億元，未來5年仍將保持年均15%的增長速度。而據(jù)工控網(wǎng)的預測，中國工業(yè)網(wǎng)絡安全市場有望在2015年達到超過20億元的規(guī)模，并以每年超過30%的復合增長率發(fā)展。

從行業(yè)來看，油氣、石化、化工、電力、冶金、煙草為核心應用行業(yè)，其他行業(yè)規(guī)模相對較小。石化行業(yè)在工控安全方面走在所有行業(yè)的前列。從2009年開始，石化行業(yè)開始部署加拿大多芬諾公司的工控防火墻，主要用在OPC防護場景。燕山石化、齊魯石化及大慶石化等多家國內大型石化企業(yè)都有較多部署。電力行業(yè)的網(wǎng)絡安全主要基于《電力二次系統(tǒng)安全防護規(guī)定》、《電力二次系統(tǒng)安全防護評估管理辦法》、《電力行業(yè)工控信息安全監(jiān)督管理暫行規(guī)定》以及配套文件等電力工控信息安全各項規(guī)定和要求，其對于真正意義上的工控安全的項目實施，基本還處于探索階段。目前實際的動作是在全網(wǎng)排查整改某品牌PLC、工業(yè)交換機的信息安全風險，并開展其它工控設備信息安全漏洞的檢測排查工作，對發(fā)現(xiàn)的安全漏洞進行上報處理。冶金行業(yè)目前已開始進行工控安全的實地部署，由于冶金行業(yè)大量采用了西門子、羅克韋爾、ABB、TEMIC（東芝三菱）、Yaskawa（日本安川）等國外品牌的PLC，因此冶金行業(yè)對于PLC的安全防護非常重視。

工控安全廠商分析

工控安全廠商作為市場中最主要的、最活躍的推動力量，在工控安全市場中扮演著非常重要的角色。其中以有工控背景的信息安全廠商為主，傳統(tǒng)的IT類信息安全供應商介入速度加快。

力控華康， 脫胎于力控集團，借助多年積淀的工業(yè)領域行業(yè)經(jīng)驗，以及工控行業(yè)監(jiān)控軟件和工業(yè)協(xié)議分析處理技術，成功研發(fā)出適用于工業(yè)控制系統(tǒng)的工業(yè)隔離網(wǎng)關pSafetyLink、工業(yè)通信網(wǎng)關pFieldComm和工業(yè)防火墻HC-ISG等系列產(chǎn)品，受到市場的廣泛認可。

海天煒業(yè)，即青島多芬諾，作為從2009年即在中國市場推廣工業(yè)防火墻的行業(yè)先驅，在多年的市場積累中，徹底脫胎換骨，從一家傳統(tǒng)的自動化系統(tǒng)維保公司成功轉型為一家專業(yè)的工控網(wǎng)絡安全解決方案提供者；尤其是在2014年4月22日的新一代自研“Guard”工業(yè)防火墻，受到行業(yè)一致好評。

中科網(wǎng)威，作為參與過中國多項網(wǎng)絡安全國標編寫的廠商，憑借多年對用戶需求的潛心研究，推出了擁有軟硬件完全自主知識產(chǎn)權自主品牌“ANYSEC”，ANYSEC系列產(chǎn)品包括IPSEC/SSL VPN、流控管理、上網(wǎng)行為管理、中科網(wǎng)警、聯(lián)動數(shù)字平臺等多功能的IT安全網(wǎng)關產(chǎn)品，獲得廣大用戶的一致好評。

三零衛(wèi)士，是中國電子科技集團公司電子第三十研究所下屬企業(yè)，在2014年成功推出了自研的工控防火墻，同時也推出了自己的“固隔監(jiān)”整體工控安全防護體系，得到了行業(yè)內外的廣泛關注。

ICS存在網(wǎng)絡安全問題的根源及安全防護

研究發(fā)現(xiàn)，我國ICS存在網(wǎng)絡安全問題的根源主要是以下幾點：

第一，缺乏完整有效的安全策略與管理流程。經(jīng)研究發(fā)現(xiàn)，ICS以可用性為第一位，追求系統(tǒng)的穩(wěn)定可靠運行是管理人員關注的重點，而把安全性放在次要的地位。這是很多ICS存在的普遍現(xiàn)象。缺乏完整有效的安全策略與管理流程是當前我國ICS的最大難題。很多ICS實施了安全防御措施，但由于管理或操作上的失誤，如移動存儲介質的使用等，仍然會造成安全事故。

第二，工控平臺比較脆弱。目前，多數(shù)ICS網(wǎng)絡僅通過部署防火墻來保證工業(yè)網(wǎng)絡與辦公網(wǎng)絡的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機制。而且，由于不同行業(yè)的應用場景不同，其對于功能區(qū)域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協(xié)議與應用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是，工業(yè)控制系統(tǒng)的補丁管理效果始終無法令人滿意。同時，工業(yè)系統(tǒng)補丁動輒半年的補丁周期，也讓攻擊者有較多的時間來利用已存在的漏洞發(fā)起攻擊。

第三，ICS網(wǎng)絡比較脆弱。通過以太網(wǎng)技術的引入讓ICS變得智能，也讓工業(yè)控制網(wǎng)絡愈發(fā)透明、開放、互聯(lián)，TCP/IP存在的威脅同樣會在工業(yè)網(wǎng)絡中重現(xiàn)。當前ICS網(wǎng)絡的脆弱性體現(xiàn)在：邊界安全策略缺失、系統(tǒng)安全防制機制缺失、管理制度缺失、網(wǎng)絡配置規(guī)范缺失、監(jiān)控與應急響應制度缺失、網(wǎng)絡通信保障機制缺失、無線網(wǎng)絡接入認證機制缺失、基礎設施可用性保障機制缺失等。

為解決網(wǎng)絡安全問題，我們建議：

第一，加強對工業(yè)控制系統(tǒng)的脆弱性（系統(tǒng)漏洞及配置缺陷）的合作研究，提供針對性的解決方案和安全保護措施。

第二，盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測能力。

第三，建立針對ICS的違規(guī)操作、越權訪問等行為的有效監(jiān)管。

第四，建立完善的ICS安全保障體系，加強安全運維與管理。