当前位置: 首页 精选范文 公共信息安全范文

公共信息安全精选(十四篇)

发布时间:2023-10-11 17:26:46

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇公共信息安全,期待它们能激发您的灵感。

公共信息安全

篇1

一个名叫斯诺登的美国人,使得全世界的人们对于信息安全有了更进一步的了解,好奇、恐惧、担忧等因“棱镜门”而生的复杂情绪得以持续发酵。然而,我们站在大洋彼岸隔岸观火之时,一场最为现实的公共信息安全事件让不少国人惊觉,原来我们亦遭受着公共信息泄密的危险现实。

2014年底,一到“春运”就爱“掉链子”的12306网站,又因用户数据被泄露而再遭公众的疯狂吐槽。去年12月25日,专注于互联网安全漏洞报告的乌云平台报告称,大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证、邮箱等,导致用户资料大量泄露。很快,乌云平台的这项报告就得到了12306官方网站的正面回应,其公告称,经认真核查,此泄露信息全部含有用户的明文密码。

12306网站信息泄露事件仅仅是公共信息安全隐患的冰山一角。在全球打造智慧城市的浪潮中,利用先进的信息技术不仅是必然,而且其覆盖领域及范围还将越来越宽,公共信息安全也因此遭受到前所未有的挑战。

近六成人认为公共信息安全面临威胁

“在利用先进信息技术打造智慧城市的过程中,您认为是否会面临着公共信息安全的威胁呢?”这是“2015中国平安小康指数”调查问卷的一道题目,结果显示,59%的人选择“是”,33.8%的人表示“不好说”,仅有7.2%的人认为“不是”。

对此,中国信息通信研究院泰尔终端实验室信息安全部副主任、高级工程师落红卫亦给出了肯定的答案。

显然,理解智慧城市公共信息安全首先要对它所处的大环境――智慧城市有所了解。落红卫告诉《小康》记者,智慧城市概念的提出本质上是为了解决一系列城市发展所面临的问题:诸如人口增加使得本就局促的社会资源更显稀缺,需要通过一系列技术手段来解决这些问题,进而支撑整个城市的发展。“信息技术就是比较好的选择,用信息技术加上城市建设和管理以达到智慧城市的目标。”落红卫说,通过包括物联网、云计算、大数据、移动互联网在内的信息技术,使得城市变得更智能,资源配置更合理。

然而,在智慧城市建设之路上,信息安全必将受到前所未有的挑战。落红卫举例说,人行走在原始的荒原之上,基本不会有安全问题,而一旦修好了路,人开始奔跑,就有了摔倒的风险。当道路修建得更好,人可以穿上旱冰鞋进行快速滑行,危险系数也会伴着更高速的运动而提高。“智慧城市建设就如此,在其高速发展过程中,信息越来越便捷,完成的工作也越来越重要,风险系数必然有所提升”。

在2014年,诸多公共信息安全事件让人瞠目结舌,除了12306网站用户信息泄露、“棱镜门”持续发酵外,俄罗斯与乌克兰黑客在网络空间展开激战、韩国核电站关键信息被窃取、携程网曝支付信息泄露漏洞、圆通快递官网漏洞泄露1400万用户信息等等,无一不暴露出公共信息安全的脆弱性。对此,落红卫解释称,网络安全特性之一就是相对性,安全和风险永远是一个动态性的问题,没有绝对的安全,从内部因素来看,一些安全隐患和漏洞是无法避免的。另外,智慧城市把用户资产、国家资产等放到信息管理网络中来,有资产,就会引人重视,继而发起攻击。内外因素共同作用于智慧城市建设,就对信息安全形成了威胁。

最担心政务管理信息被泄露

虽然我国的智慧城市建设与欧美发达国家相比仍有较大差距,但是在建设过程中,其覆盖范围已经延伸到涉及民生的方方面面。究竟公众最担心哪些应用项目的信息被泄露呢?“2015中国平安小康指数”调查结果显示,27.5%的人选择了政务管理运营平台,23.8%的人认为是健康医疗服务,21.6%的人选了安居服务,20%的选择了公共服务,选择教育文化服务与交通的分别为4.7%和2.4%。

与此相对应的是,在“最需要加强信息安全的应用项目”一题的调查中,26.3%的受访者指向了“智慧政务城市综合管理运营平台”,使得该选项在智慧公共服务、智慧交通、智慧服务应用等类应用项目选项中排名首位。

政务管理运营平台的公共信息层面较高,主要涉及公安部门、法院系统以及政府各部门。机密信息泄露会对当地乃至国家产生较大影响。在落红卫看来,在我国政务管理运营平台建设方面,仍存在一些欠缺。不少政务系统相对封闭,而就整个国家信息技术发展来看,一些技术并没有在政务平台得到很好的应用。可能产生的结果是,外部信息网络发达,而政务平台自身比较脆弱,这样就不可避免存在一定安全风险。

据英国BBC网站报道,2014年10月12日,网络黑客组织“匿名者”在当日入侵逾52个中国政府网站,盗取了四万多个电邮账户的私人资料和密码,水利部、教育部和人社部的网站一度无法显示。

落红卫建议,保障政务运营平台的信息安全首先要依靠法律法规制约,这是第一级别的威慑,需要制定严格处罚规章。另外,还需要引进最先进的技术,在安全建设和安全运维方面也要特别加强。

公共信息终归是由一个个用户信息汇聚而成,其二者的关系就是大数据与小数据的关系。个人信息收集到一定程度形成大数据,后者体现规律性问题,前者则是针对每一个个体。大数据来源于小数据,并服务于小数据,两者相互补充。一旦大数据出现泄露可能直接影响个人隐私被泄露。

而以上正是人们所担心的。43.6%的人认为,智慧城市建设中最有可能面临的信息安全威胁就是个人隐私的泄密。人们最担心哪些个人隐私被泄露呢?85.5%的人选了个人身份信息,72.9%的人认为是个人金融交易,58.7%的人认为是个人资产,38.8%的认为是出行轨迹,选择个人喜好的占19.3%。

保护信息安全:技术与管理并行

“在智慧城市发展过程中,一定是两手并行发展,一方面让信息技术更发达,同时也需要信息安全网络安全的措施加以保障。”落红卫补充道。

在保护信息安全措施一题的调查中,加强信息系统安全运行监管,加强立法、规范、标准的制定和建立信息安全事件应急处置机制被受访者认为是保障信息安全最有效的三个措施。对此,落红卫表示认同,但他也指出,对于完整的信息安全保护而言,这还远远不够。

落红卫表示,保护信息安全要遵循四大原则,第一是全面性原则,坚持技术与管理并重。在技术层面上涉及物理安全、网络安全、主机安全、应用安全以及数据安全。在管理层面上同样有五个层次,即安全机制、安全管理、人员安全、建设安全以及运维安全。如果只强调技术而轻视管理,有些黑客完全可以通过最粗鲁的方式进行破坏。第二个原则是相对性,安全是个动态过程,需要对保护技术进行相应提升。第三是针对性原则,安全方案一定是针对某一个或某一类安全威胁而制定。第四是层次性原则,即逐级增强安全措施。

篇2

关键词:移动互联网;公共信息;安全保障;机制

一、移动互联网巩固信息安全概述

移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:第一,具备较好的保密性。移动互联网的公共信息不会在未授权的情况下被解析或者使用。第二,具备较好的完整性。信息在传播途径中不会被肆意篡改。第三。具备很好的实用性。几乎在任何情况或场景下,信息都能够在满足用户基本需求的情况下加以使用。第四,具备很好的真实性。在信息交互的过程中,信息的者和来源通常都是真实可信的。

二、移动互联网公共信息安全制约因素

(一)移动互联网的全民使用

移动互联网在信息安全的保障上之所以会遇到各种阻碍,一个很大的原因在于移动互联网有着非常大的使用群体。在全民使用的背景下,移动互联网的管制权限被很大程度分散。由于使用者在使用目的、使用方法和使用模式上的差异,使得移动互联网资源在管理和保护上很容易发生各种分歧,这不仅使得信息安全的保障工作更难于展开,也使得信息安全问题更加广泛与普遍。

(二)移动互联网的监管不力

我国针对移动互联网信息安全的监管和保障工作在实施上仍然有较大的革新与完善空间。客观来说,针对移动互联网的信息安全管理仍然存在很多监管不力的情况。不仅如此,由于很多管理问题界定的不够明确,且管理人员观念的滞后,管理模式的低效,这些都是的信息安全的管理难以收获相应的成效。

(三)相关技术发展的滞后

信息安全的管理需要借助大量技术手段展开,但是,目前国内针对移动互联网信息安全管理的技术仍然整体滞后。从实际情况来看,我国在移动互联网的发展和整体的管理上仍然处于起步阶段,因此,在管理模式和保障机制的建设上仍然在不断探索,各类有效的管理技术还没有真正发展起来。不仅如此,由于我国移动互联网的很多核心技术来源于国外这使得在进行管理规则和标准的制定上会受到这些国家的制约,这也是我们经常会看到移动互联网被窃听或者扰等各类信息频繁产生的原因。由于我国自由的信息安全管理技术的滞后,这极大的阻碍了信息安全保障体系的建立,也让整个移动互联网的管理处于被动的状态。

(四)信息安全保障机制的缺乏

信息安全需要一套完善健全的保障机制作为依托,但是,目前我国针对移动互联网的信息安全管理制度和保障机制的建设仍然非常滞后。不仅相关的法律条文不够完善健全,缺乏良好的可实践性,整个相关部门也没有加强对于公共信息安全的监督管理,并没有采取强有力的措施来保障这部分工作。这些都会产生很多潜在问题,不仅让信息安全得不到相应的保障,也会直接影响到移动互联网使用的便利性。

三、移动互联网公共信息安全保障机制

(一)政府职能部门发挥积极作用

网络信息安全的管理与实施,这需要国家政府职能部门加强统筹管理,并且在管理制度的建设上有良好落实。对于一个国家的网络信息安全的管理工作而言,政府部门肩负着绝对的主导和主要的管理职能。政府只有提升对于这部分工作的重视程度,才会相应在法律的制定和管理模式的建立上多下功夫,才能够维护良好的整体网络安全环境。政府不仅要在政策层面加强监管,也要对于相应的职能部门和机构做更深入的管理。这样才能够推动这些部门功效的发挥,能够营造更好的网络安全的管理环境和实施氛围。

(二)加强信息安全法律建设

加强信息安全的法律建设,这是提升移动互联网信息安全的有效措施。具体来说可以采取一些相应的管理手段。比如,建立手机实名制法律。

(三)推动管理机构的建立

高质量的信息安全管理和保障机制的建设需要相应的管理机构来完成各项具体工作。目前,我国针对移动互联网的信息安全管理机构整体上不太完善与健全,因此,很有必要在这个环节上进行严格把关,推动管理机构的良好建立,并且让其功效得到充分发挥。这样才能够提供良好的保障体系,让各类管理和监督工作可以真正落到实处。

篇3

论文摘要:珠三角地区改革发展纲要的提出,为地区公共信息的发展提出了新要求,建立起地区公共信息安全的联动体系,有利于提高地区信息交流,保证信息沟通渠道的安全畅通,不断提高各地市联合公共服务、公管管理的能力,保证珠三角地区加快经济一体化的步伐。

珠三角作为我国经济发展的前沿阵地,经济市场化和外向化程度很高。但受当前国际金融海啸的影响,国内外经济形式发生深刻变化,区域发展受到严重冲击。国家从战略全局和长远发展出发,制定出珠三角地区改革发展规划纲要,用以指导珠三角经济结构转型和发展方式转变,推进区域一体化建设。

我们把以政府为主体的一切负有公共事务管理职能的组织(包括行政机关,法律法规授权、委托的组织,来源于纳税人税款的政府财政拨款的社会团体、组织等公共事业法人和社会组织)在行政过程中产生、收集、整理、传输、、使用存储和清理的所有信息,称为公共信息。珠三角地区是我国信息化程度的高度集中的地区,“数字珠三角”的提出,使公共信息在珠三角地区更富多元化和复杂化,而公共信息安全问题解决的好坏直接关系到区域的,社会的长治久安,国家的安全与稳定。珠三角作为我国新时期探索科学发展模式的试验区,在摸索构建信息安全联动体系的道路上更应体现“科学发展,先试先行”的核心理念,在危与机并存的新形式下,信息安全正面临着严峻的挑战,建立信息安全联动体系的呼声也越发响亮。

一、珠三角地区公共信息安全现状的分析

公共信息安全是指个人、组织、社会和国家在信息传播过程中保护自身利益不受损害,它包括物理设施安全、技术安全、信息内容安全等国家、社会公共安全的总和。珠三角地区目前信息化程度在全国处于领先地位,但在信息化普及过程仍存在诸多安全问题。

(一)信息共享渠道不畅。当前的难点在于信息归部门所有,在信息管理上条块分割现象严重,区域内小到政府部门,大到地方政府,大多只考虑自身的管理和利益的需要,很少能从全局发展的战略需求角度考虑,各部门,各地方间缺乏必要的沟通配合,相互问协调联动不够,信息获取存在障碍,不能有效整合信息资源。面对突发安全事件时,由于事件自身具有复杂多变的特性,需调动各方力量,收集各类信息,对信息进行分门别类,分析提炼,加工处理,才能为决策领导层制定行之有效的解决对策提供素材。但因存在部门信息保护主义,以及访问权限的设置问题,容易导致管理部门相互间推诿扯皮现象的出现,不仅不能及时便捷的处理问题,有时反而“延误战机”,造成不可估量的损失。

(二)电子政务建设华而不实。政府门户网站提供服务的能力直接反映了政府信息化的综合水平,同时也在一定程度上折射出真实政府的运作情况和应对信息威胁的能力。随着珠三角地区经济的飞速发展,本地区的信息产业也不断得到提高,电子政务建设无论在资金投入上还是技术设备上都处在全国领先地位,但同时也存在不少问题,一方面,珠三角地区在信息系统建设存在相互攀比,急于求成,重复建设的现象,有的政府部门为了实现所谓“政务公开,公务透明”的电子化办公,盲目投资,建设内容贫乏,失去时效,形同虚设的网站。不但容易造成资源的铺张浪费,不利于对公共信息的采集、传递、确认、分析和理解,而且容易造成政出多门,办事效率低下的深层问题。

一旦遭遇公共危机,政府信息系统在危机期间的信息采集,信息整合、信息将出现紊乱,导致政府信息准确性的降低,影响政府的公众形象和政府公信力。另一方面,政府网络有其特殊性,网络和信息安全防护十分重要。但作为面向公共社会服务的信息平台,却没有专门设立公共信息安全知识的服务型网站,公众对公共安全基本知识缺乏了解。

(三)公共信息系统建设缺乏统一规范。公共信息系统的建设标准尚未规范和统一。“数字珠三角”意味着信息化,信息化意味着网络化,网络化意味着互通互联、资源共享,规范和统一信息建设标准十分重要j。珠三角各地的信息化程度普及率高,有条件率先实现统一的公共信息系统建设的标准。但鉴于珠三角城市问的经济发展水平和公共服务能力存在差距,如果全都划一要求,一统到底,势必造成“水土不服”。必须要有一个科学的,合理的、讲求效益的界定。

(四)信息安全防范治理能力不强。公共信息安全的关键在于防范。目前,珠三角信息和网络安全的防范能力处于发展的初步阶段。许多应用系统处于不设防阶段。全国范围内,包括珠三角地区的信息与网络安全研究任停留在封堵现有信息系统的安全漏洞阶段。区域的综合信息安防能力面临考验。一方面,虽然珠三角地区的政府在推进信息安全的风险评估,风险控制,风险管理的推广、规范工作上步伐较快,但维护信息安全的核心技术和关键技术却基本被国外垄断。对可信安全计算、信息安全内容管理、网络安全管理与风险评估、应急响应和安全应用支撑平台等一系列网络信息安全核心技术的自主研发仍处在起步阶段,与国外先进国家、地区的信息安防技术能力存在明显差距。另一方面,许多公众和政府工作人员对公共信息安防领域的认识仍局限在防病毒、入侵检测、vpn、垃圾邮件等基本防范手段上,而忽视对utm(统一威胁管理)、soc(安全运营中心)等新型信息防范手段的学习。

二、建立珠三角公共信息安全联动体系的必要性

(一)面对人为事件、事故,自然灾害建立联动信息安防体系是公共安全的基本必要。珠三角在空间上是一个相互依存的系统,空间的分布并不是根据行政界线来划分,珠江三角洲经济区毗邻港澳,华侨、港澳同胞众多,具有发展对外贸易和经济技术合作,引进外资和技术等方面优越的条件,是我国对外开放的重点地区;地区内的经济活动频繁,相互间关系密切,在交通运输、生产事故、刑事犯罪等人为事件、事故处理上具有区域的联发联动性,此外该地区是洪涝灾害和台风等自然灾害的频发地区,对自然灾害的预防和应急亦需要跨地区跨部门的相互联动合作。建立珠三角信息联动体系,可以有效整合各地资源,及时有效的采取应对措施,排除险情,解除危难;保证在信息收集、分析、传递、方面的准确性和有效性,防止信息失真带来的严重后果的。

(二)珠三角作为我国经济改革发展的“试验田”,在区域经济一体化的政策导向下,建立联动信息安防体系是公共安全的特殊必要。城市区域内的矛盾和冲突是必然的,这是由于城市区域经济活动本身的外部性及信息不对称所造成的。珠三角城市区域内的某些地方政府,常通过建立地方保护链条、重复建设项目等手段,来实现地方利益的最大化,从而加大了珠三角地区城市间经济交易的成本,不利于经济一体化的形成。打破这种信息不对称性所照成的城市经济“孤岛危机”就必须建立公共信息共享以及安全保护的联动体系,通过制度变迁,建立相应的城市区域信息协作组织,在安全可靠的环境下,对公共经济等信息实现互联互动,不仅可以实现区域内城市不同利益主体的相互间信息交流,降低不同利益主体达成交易的成本,并能对区域的经济发展现状进行有效的监督。

三、珠三角公共信息安全联动体系的构建和管理

(一)注重公共信息安全法律建设。

加强公共信息安全法制的立法工作。法律本身就是确保公共信息安全管理的一项重要保障,为有效贯彻落实国家信息安全等级保护制度,在总结基础调查和试点工作的基础上,国家颁布了《中华人民共和国计算机信息系统安全保护条例》和印发了《信息安全等级保护管理办法》等相关条例,确定了信息安全等级保护制度的基本内容及各项工作要求,进一步明确了国家、公民、法人和其他组织在等级保护工作中的责任、义务,各职能部门在信息安全等级保护工作中的职责分工以及信息系统运营使用单位、行业主管部门的安全保障法律责任。

但是中国目前尚没有形成专门的“公共信息安全”法规体系,还有许多公共领域在信息安全方面无法可寻、无法可依,地方性在公共信息安全方面的行政法规良莠不齐,难以统一。公共信息安全法律体系的研究可以选择不同的切入点。按照法律效率,我们可以从法律、法规和规章层次讨论信息安全的法律体系。也可以另辟蹊径,以战略作为出发点探讨信息安全的法律体系。我国应从国情出发,积极探索加强信息安全法制建设的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法进程,以建立起一套既符合国际通行规则,又具有中国特色、门类齐全、层次分明、结构严谨的信息安全法律体系,为信息安全保障工作提供更有力的法律支撑j。在珠三角规划出台的新形势下,国家可以不妨逐步探索、建设和制订与区域一体化相适应的公共信息安全法律体系,这不仅有利于公共信息安全治理的规范化和稳定化;有利于为公共信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动各类信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式,为以后我国全面实施公共信息安全保护工作提供政策支持。

(二)建立统一的、共享的、安全的公共信息网络系统。

首先,以信息资源开发利用为导向,加强珠三角公共数据整合。城市信息资源在信息化过程中得到不断积累,只有以信息资源开发利用为导向,城市信息化综合效益才能得到提高。到目前为止,各城市都建立了具有本地特色的数据库,但是多数数据库的使用都处于封锁状态,这严重影响了城市信息化建设的效益发挥。未来几年,城市公共数据整合将成为未来城市信息化建设的一项重点工作。公共数据整合要结合城市经济发展战略和现状,构建城市各部门、各组织共享的公共数据库,这也是当前城市信息化建设中必须着力解决的重要课题。根据我国信息资源规划和建设的总体要求,各地要建立一批具有公益性、基础性、实用性的公共数据库;加紧建设和健全自然人基础信息库、法人基础信息库,作为建构公共数据库的基础,合理、高效地利用信息资源,整合现有的信息资源;加强生产、流通、科技、人口、资源、生态环境等领域的信息资源开发利用工作;加快教育、文化、公共文献等领域信息资源的数字化、网络化进程。

其次,加强信息和信息安全关键技术的自主研发,从技术上统一标准。当前,我国在信息和信息安全领域总体上处于关键技术和设备受制于人的被动局面,发展信息和信息安全高端技术、提高自主创新能力已经成为我国掌握信息安全主动权的唯一出路。为加强信息和信息安全关键技术的研发,我国必须采取有效措施,建立健全坚强有力、运转灵活、工作高效的新体制,全方位地指导信息和信息安全关键技术的规划、研发、成果转化,同时组织和动员各方力量,密切跟踪世界先进技术的发展,逐步形成基础信息网络、重要信息系统以自主可控技术为主的新格局。

再次,建立完善的信息安全风险评估体系。在信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,在系统验收时必须对信息系统安全进行测评认证。对于已建的信息系统,要完善信息安全的总体设计和信息系统安全工程建设,进行系统安全测评认证。在信息系统建设中信息安全的投资应占系统投资的一定比例。各级机关和重点单位新建和改建信息系统必须配套建设信息安全子系统,并与主体工程实行同时设计、同时施工、同时投入使用。加强对修订稿安全产品、服务商资质、信息系统的安全管理与测评认证,在系统建设总体方案评审时强化对安全保障方案的审查和各项安全保障功能的认证。

最后,加强对信息网络、信息产品和网上交易行为的监管,提高对网上信息的跟踪管理能力、对专案对象的监控能力和对制造和传播计算机病毒、非法入侵、泄密、窃密以及散布有害信息等行为的防范能力,严厉打击危害计算机信息系统安全和利用计算机技术进行犯罪活动。保障国家秘密、商业秘密和个人隐私的权利,抵制不良文化、不实新闻在网上传播,维护信息安全和社会稳定。

(三)建立政府主导下的公共信息安全组织体系,落实安全管理责任制

公共信息安全工作综合性强,涉及单位、部门多,需要在统一领导下实现职能的有机组合。因此,应建立一个具有高度权威的实体化领导管理机构,并强化其权限和职能,使其能从战略高度统揽全军的信息安全工作。应该建立健全信息安全工作领导体制,明确各业务部门的具体职责,形成科学高效的信息安全管理体制。政府主导下可以成立“珠三角信息安全工作小组”,加强信息安全的组织领导。“珠三角信息安全工作小组”的管理职能是负责协调珠三角各市及其有关部门间的工作关系,理顺管理体制,明确职责,以统筹规划信息安全保障体系、基础设施建设,并促进资源的共享,信息安全的管理。在机构的组织形式上,既要使其能够在正常时期充分履行职能,又要便于公共信息系统出现崩溃时快速转入应急体制并发挥作用;在机构职能的确立上,既要能对全社会的信息安全工作进行战略指导和宏观管理,又要能对公共信息安全的具体问题进行策略支持和微观控制j。

篇4

北京市公共安全图像信息系统管理办法全文第一条为了规范本市公共安全图像信息系统的建设和管理,提高预防和处置突发公共事件的能力,保障公共安全,保护公民的合法权益,制定本办法。

第二条本办法适用于本市行政区域内公共安全图像信息系统的建设和管理。

第三条本办法所称的公共安全图像信息系统,是指利用图像采集设备和其他相关设备对涉及公共安全的区域进行信息记录的视频系统。

第四条市人民政府有关部门和区、县人民政府负责本行业、本系统、本地区公共安全图像信息系统建设的组织实施,并协助做好公共安全图像信息系统使用、维护等方面的监督管理工作。

市和区、县公安机关负责公共安全图像信息系统建设、使用、维护的日常监督管理工作。

第五条下列单位和区域,应当安装公共安全图像信息系统:

(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;

(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;

(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;

(四) 城市供排水、电力、燃气、热力设施,城市河湖及其他重要水务工程等重要城市基础设施;

(五) 国家法律、法规规定的其他地点和区域。

公共安全图像信息系统建设的市级主管部门可以根据需要确定其他应当安装公共安全图像信息系统的区域,报市人民政府批准。

第六条单位按照本办法规定自建公共安全图像信息系统,应当符合政府的统一规划和要求,不得采集本单位范围以外的公共区域的图像信息。

第七条交通道路、广场等公共场所公共安全图像信息系统的建设由政府负责,其他任何单位和个人不得在该区域设置公共安全图像信息系统。

第八条公共安全图像信息系统的建设,应当符合国家和本市的技术规范和标准。

市质量技术监督、信息化主管部门和公安机关共同制定本市公共安全图像信息系统的技术规范和标准,公共图像信息系统应当具有采集、录像、传输等功能。

第九条设置公共安全图像信息系统,不得侵犯公民个人隐私;对涉及公民个人隐私的图像信息,应当采取保密措施。

涉及国家秘密、商业秘密的公共安全图像信息系统的建设,按照国家有关规定执行。

第十条新建、改建、扩建建设项目应当安装公共安全图像信息系统的,公共安全图像信息系统应当与项目主体工程同步规划、同步建设、同时投入使用。

第十一条公共安全图像信息系统的使用单位,应当自系统竣工验收合格之日起30日内,将公共安全图像信息系统的建设情况按照保卫隶属关系向市或者区、县公安机关备案;没有保卫隶属关系的,向本单位所在地的区、县公安机关备案。

本办法施行前已经建成的公共安全图像信息系统的使用单位应当自本办法施行之日起30日内,将公共安全图像信息系统的建设情况按照前款规定向公安机关备案。

第十二条公共安全图像信息系统的使用单位,应当采取下列措施,保证公共安全图像信息系统安全运行:

(一)对与公共安全图像信息系统密切接触的人员进行岗位技能和保密知识的培训;

(二)建立安全检查、运行维护、应急处理等制度;

(三)保持图像信息画面清晰,保证系统正常运行;

(四)不得擅自改变公共安全图像信息系统的用途和摄像设备的位置。

使用单位委托其他单位运营、维护、管理公共安全图像信息系统的,双方应当明确保证系统安全运行的责任。

第十三条公共安全图像信息系统的使用单位,应当建立、健全图像信息安全管理制度,遵守下列规定:

(一)建立值班监看制度,发现涉及公共安全的可疑信息及时向公安机关报告;

(二)建立图像信息使用登记制度,对图像信息的录制人员、调取时间、调取用途等事项进行登记;

(三)按照规定期限留存图像信息,不得擅自删改、破坏留存期限内图像信息的原始数据记录。

第十四条负责图像信息监看的工作人员,应当遵守各项图像信息安全管理制度,坚守岗位,爱护仪器设备,保守秘密。

与图像信息监看工作无关的人员不得擅自进入监看场所。留存的图像信息除按照本办法的规定使用外,任何人不得擅自查阅、复制、提供、传播。

第十五条在公共场所设置公共安全图像信息系统,应当设置标识。

第十六条发生社会治安、自然灾害、事故灾难、公共卫生等突发公共事件时,具有突发公共事件调查、处置权的政府有关主管部门有权查看、调取、复制图像信息,有关单位应当予以配合。

第十七条政府有关主管部门工作人员查看、调取、复制图像信息时,应当遵守下列规定:

(一)工作人员不得少于二人;

(二)出示工作证件和证明文件;

(三)填写查看、调取、复制图像信息情况登记表;

(四)遵守图像信息的使用、保密制度,不得擅自提供、传播图像信息,对涉及国家秘密、商业秘密和公民个人隐私的图像信息予以保密。

第十八条公安机关应当对公共安全图像信息系统的日常使用、维护情况进行监督检查,发现问题督促相关单位及时整改;必要时,质量技术监督、信息化主管部门在技术检测等方面应当予以协助。

第十九条违反本办法的规定,应当建设公共安全图像信息系统不建设或者不按照规范和标准建设的,由公安机关责令限期整改并予以警告;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。

第二十条违反本办法第六条的规定,单位设置公共安全图像信息系统擅自采集本单位范围以外的公共区域的图像信息的,由公安机关责令改正,并对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。

第二十一条违反本办法第七条的规定,擅自在公共场所设置公共安全图像信息系统,由公安机关责令拆除;单位设置的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;个人设置的,对个人处500元以上1000元以下的罚款。

第二十二条违反本办法第十一条的规定,不遵守备案制度的,由公安机关责令改正,并对单位处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款。

第二十三条违反本办法第十二条的规定,未采取保障图像信息系统运行安全管理措施,影响系统安全运行的,由公安机关责令限期整改,可以对单位并处1000元以上1万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以下的罚款;逾期不整改或者整改不合格的,对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款。

第二十四条违反本办法第十三条、第十四条的规定,未建立、健全或者违反图像信息安全管理制度,以及擅自查阅、复制、提供、传播图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。

第二十五条违反本办法第十六条的规定,拒不提供图像信息的,由公安机关对单位处1万元以上3万元以下的罚款,对单位主要负责人、直接责任人员分别处500元以上1000元以下的罚款;构成违反治安管理行为的,由公安机关依法处罚;构成犯罪的,依法追究刑事责任。

第二十六条违反本办法第十七条的规定,政府有关主管部门的工作人员查看、调取、复制图像信息时违反相关管理制度,由主管部门追究其行政责任。构成犯罪的,依法追究刑事责任。

第二十七条本办法自20xx年4月1日起施行。

应当安装公共安全图像信息系统的地方(一)党政机关、国家机关所在地,广播电台、电视台,电信、邮政、金融、服务单位,博物馆、档案馆、重点文物保护单位,危险物品生产、销售、存放场所等重要单位;

(二)宾馆、饭店、商场、医院、学校、幼儿园、文化娱乐场所,举办体育赛事的场馆、场地,住宅区、停车场等人员聚集的公共场所;

(三)重点道路、路段和主要交通路口,地下通道、过街天桥,机场、火车站、地铁和城铁车站,公共电汽车的重要交通枢纽等;

篇5

根据相关理论,网络信息安全主要受技术、操作及管理等三方面因素的影响。其中,管理是影响网络信息安全最核心的因素,值得网络信息安全工作中高度关注。

(1)技术。

主要指信息产品和过程,比如防火墙技术、杀毒软件、侵入检测技术及信息加密方法等。

(2)操作。

主要包括信息安全的强化机制与方法、各种信息安全威胁所引起的运行缺陷纠正措施、物理干预方法、数据备份机制、环境威胁规避方法等。

(3)管理。

一般指信息安全的非技术性领域,包含所应用的政策、员工培训计划、业务规划策略等。其中,网络安全信息领域所应用的“三全”工作模式便是近些年来大范围推广的网络信息安全管理方法。

2信息安全及网络安全“三全”工作模式探讨

为确保信息安全工作基础得以进一步的强化,提升信息安全的保障能力及提高运维服务能力,在网络信息安全领域中应用“三全”工作模式显得极其重要。主要可从以下渠道进行:

(1)健全信息化项目管理机制。

在信息化工作中,逐步落实《信息化工作职责一览表》及《信息化工作整体流程图》等制度的制定工作,并推进实际信息化建设与管理中的整体流程及职责落地工作。另外,还需要不断完善信息项目管理机制及过程管控机制,不断优化完善信息化管控体系管理手册、过程管控文件、工作记录文件及过程文件等不同等级的文档,以确保项目推进规范化。项目得以顺利推进的核心在于项目沟通协调监理机制的完善。

(2)推进信息安全长效机制建设。

在网络信息安全工作中,以“三全”工作管理模式作为基本的契合点,不断完善应用系统的“三全”基础性信息库,并依据信息基础设施及业务系统的实际动态情况进行及时性地更新、调整,以确保信息化基础性数据处于最新的状态下。另外,加强应用系统技术性及信息管理问题的排查工作,提出相应的整改方法,明确整改责任人,限定最后的整改期限,确保整改工作得以高效、顺利进行。

(3)加快信息安全保障体系构建。

开展应用系统的安全层级保护整改项目的稳健落地,积极评估信息安全风险,加强对信息安全的配置,网络信息安全领域的管理体系咨询工作;对现有及未来将采购的信息化应用产品、系统软硬件平台及自主开发的信息安全管控模块与不同信息化平台进行整合为具备特定信息安全等级的集成系统,并全面规划企业网络信息安全技术集成方案。另外,后续所开发的业务管理运营系统需确保与公司所推进的网络信息安全管理体系相匹配,以扎实推进信息安全管控体系的实施落地。

(4)积极开展信息安全应急演练。

应急方案演练,是提升信息安全等级的重要渠道之一。可高效利用周末实际,根据企业实际情况安排停机时间,结合企业实际情况编写信息安全应急演练方案,按照应急演练通知,组织培训、掌握应急方案,开展应急演练,现场实际操作等流程规范化、有序化地进行应急演练活动。对于应急演练中所发现的各项问题,应有计划性地进行结语与评估,并认真研究有效的处理方法,提升企业网络信息安全管控水平。

(5)加强网站及邮件系统安全防护。

在公共服务区外网入口区域部署防DNS攻击、入侵实时监测、预防网络篡改、网络负载均衡、反垃圾邮件等软硬件系统,为互联网公共服务提供有效的保护策略。每个季度、每个月定期化地进行一次企业内部操作系统、应用系统的安全性检测,提高网络运行的安全稳定性。

3结语

篇6

关键词:公安信息化 网络安全 分析

中图分类号:D631.1 文献标识码:A 文章编号:1674-098X(2016)09(a)-0003-02

由于工业信息技术与软件的使用日益普及,公安信息化网络安全问题也日渐增多,网络安全问题不是纯粹的技术问题,是技术与管理的综合,而是一项复杂的系统工程。公安信息化是实现公安工作现代化的必由之路。公安信息网络的安全保障工作直接关系到公安工作的效率和成果。对公安信息网络实行分等级保护是保障公安信息网络安全的一个很好的方法。

全国公安信息化建设工作开展以来,各地公安信息化建设取得了一定的成果。各地的公安信息化建设成果的表现也不尽相同。2013年,秦皇岛成为全国首批“智慧城市”试点城市。秦皇岛公安信息化的建设与“智慧城市”的建设相互促进。该文运用文献查阅法、对比分析法、系y分析法等方法,对公安信息化、公安信息化建设、“智慧城市”等相关理论进行阐述。明确公安信息化概念、标志、特征以及重要意义;明确公安信息化建设的内涵、影响因素、建设内容以及评价内容;明确“智慧城市”的内涵、特征、应用以及“智慧城市”与公安信息化建设的关系。在相概观念明确的基础上,从秦皇岛市公安信息化建设的规划布局、基础网络建设情况(包括通讯网络、平安城市监控点、智能交通设施的建设)、公安应用系统建设情况(一、二、三级平台建设情况、数据研判平台、交通综合指挥平台、便民服务平台建设情况)、应急保障体系建设情况、保障体系建设情况(领导、组织、人才、资金)、服务实战及成效方面(高清视频监控系统、智能交通)进行现状分析,发现秦皇岛公安信息化建设在基础网络、应用平台体系、技术力量、体制建设等方面的问题以及复杂的挑战。

1 计算机网络安全体系结构的组成

计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等设备,用户可以搭建自己所需要的通信网络。对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以将驱动程序作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络持续稳定地运行,信息能够得已完整地传送,并得到很好保密。因此计算机网络安全涉及到网络硬件、通信协议、加密技术等领域。

2 信息安全管理

公安机关网络信息管理指的是公安机关工作人员通过规定的手段保证信息、数据、服务和通信的安全等。公安部门的安全管理系统是一个持续的过程,必须加以确定并不断审查。计算机网络安全系统作为公安机关的主要软件,并尽一切努力使公安机关网络信息更安全,同时提高公安系统工作人员的IT安全意识。网络安全解决方案和数据安全在公安领域也起到了至关重要的作用。加强信息的安全管理,防止各种信息的泄漏和窃取,有效打击各种形态的网络犯罪,已成为当前公安网络建设的重要课题。

3 数据安全

越来越多的设备连接到互联网,也受到常用办公操作系统的间接控制。如今网络入侵变得更有针对性,黑客只向配备关键安全功能的少数计算机发送恶意软件,通常是为了进行间谍活动。这意味着,病毒和特洛伊木马可以很长一段时间不被察觉,在被杀毒软件捕获之前已造成很大损害。因此,有效的数据保护措施必须提供全方位的深入保护。网络安全策略是网络安全计划的说明,目的是设计和构造网络的安全性,以防御来自内部和外部入侵者的行动计划及阻止网上泄密的行动计划。因此,建立网络的安全策略,应在建网定位的原则和信息安全级别选择的基础上制定。公安信息系统安全问题的解决依赖于技术和管理两方面,在采取技术措施保障网络安全的同时,还应建立健全网络信息系统安全管理体系,通过以上管理机制和技术措施的实施,提高网络安全性,降低网络安全事故的风险,保证网络长期平稳运行。

4 结语

社会信息化的发展给公共安全领域带来了机遇和挑战。敌对势力和不法分子利用信息技术的犯罪活动越来越多,公安机关在维护社会治安、打击违法犯罪活动中所涉及的业务信息量也在急剧地增加。在这种时代背景下,公安信息化建设显得十分重要。公安信息化建设非常有必要,并且具有深远意义。公安信息化是提高执法质量的必由之路,公安信息化有利于提高公安的工作水平,公安信息化有利于共享信息资源和情报,从而更好地打击犯罪。公安工作信息化的目标,就是通过大力推广应用现代电子信息技术,实现公安工作的信息共享、快速反应与高效运行。由此可见,众多的网络安全风险需要考虑,因此,公安部门必须采取统一的安全策略来保证网络的安全性。

参考文献

[1] 何姗.公安信息网络安全保障策略研究[J].信息安全与技术,2011(8):5-7.

[2] 尹晓雷,于明,支秀玲.公安内部网络安全问题及解决方法[J].信息技术与信息化,2010(1):18-22.

[3] 王众.秦皇岛市公安信息化建设研究[D].燕山大学,2015.

篇7

随着我国计算机网络用户的急剧增长,我国信息系统的安全面临着严峻的考验,近几年来,不仅在我国,全球的信息系统安全问题层出不穷。而信息系统的安全问题不仅仅是个人和企业的问题,它还涉及到国家的安全、社会的公共安全等。因此,不断加强信息安全技术的研究,提高我国信息系统的安全性和可靠性,十分迫切。针对严峻的信息系统安全现状,目前普遍采用的方式主要有物理隔离、防火墙的建设、访问者身份认证、加密等,但是仅从这些方面去考虑还远远无法保证信息系统的安全。不断加强信息系统安全建设方面的技术,不断提高信息安全风险的检测和评估是提高信息系统安全的重要手段。

2SSE-CMM模型

2.1SSE-CMM模型的概述

SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)模型的中文全称是信息安全工程能力成熟度模型,该模型的主要任务就是评测和改进整个信息安全系统整个生命周期当中的安全工程活动,到目前为止,这个模型是信息系统安全工程领域当中可靠性较高的针对性模型。

2.2基于过程的SSE-CMM模型

基于过程的SSE-CMM模型是从成熟框架CMM模型发展而来的,SSE-CMM模型把信息系统中的安全工程划分成三种不同的过程,分别是风险过程、工程过程、信任度过程,SSE-CMM模型对这三个过程中的关键过程域以及其安全能力成熟度的等级进行了定义。在这个模型中,图b的横轴指的是这个信息系统安全工程的过程域,纵轴是11个过程域的5个能力成熟度等级。根据这个模型的框架对整个信息系统安全工程中的风险过程、工程过程、信任度过程都评定能力成熟度等级,此时得到的二维图便能够把信息系统工程队伍实施信息系统安全工程的能力成熟度形象的反映出来,也能间接的将信息系统安全工程的可信度反映出来。采用SSE-CMM模型对信息系统安全工程进行风险的评估,该模型所认定的安全风险事件包括了3个组成部分,分别是安全威胁、系统的脆弱性、风险事件所造成的影响,在SSE-CMM模型中,只有具备这三个要素才能称之为信息系统工程安全风险。SSE-CMM模型中的安全机制就是把信息系统中的工程安全风险控制在系统能够接受的范围之内。SSE-CMM模型所定义的风险过程包括了评估威胁过程、评估系统脆弱性过程、评估风险事件的影响过程、评估系统安全风险过程。

3SSE-CMM模型的构建和应用

3.1SSE-CMM模型的构建

根据上述SSE-CMM模型的作用过程在信息系统安全工程中构建SSE-CMM模型的具体步骤如下所示。第一步,对信息系统的安全工程风险进行分析,进行工程的风险分析时,要从现行的信息系统工程的风险入手,然后采取科学、先进的风险分析方法进行风险的分析。第二步,要确定目标,及要明确信息系统安全工程所提出的系统安全要求,这个安全要求是信息系统建设过程中、设计、建设、使用以及安全风险评估和监管的主要依据。第三步,对信息系统的二维视图进行描述,即需要明确的、简洁的对信息系统中的安全系统进行描述,谈后根据描述给出信息安全系统的拓扑图和边界的划分,边界的划分包括了系统的典型构造、系统的应用划分等,并对系统内的数据和需要保护的财产、系统的环境等进行描述。第四步,建立信息安全系统的基线。第五步,制定相关的信息安全系统构建策略,这些策略包括系统的物理安全策略、网络完全策略、系统应用安全策略等。第六步,对信息系统的安全工程建设进行整体的设计,其中设计是必须保证信息系统安全系统的整体框架是全方位和综合性的,并增强每个层次和划分区域的安全防御能力,从而实现一体化的信息安全系统。

3.2SSE-CMM模型的应用原则

第一,安全需求的基线。包括了用户的安全需求、对系统安全具有影响的法律法规和政策等,保证系统的安全需求与法律和政策中的保持一致,并且保证用户的需求与系统的安全需求保持一致。第二,安全输入的基线。第三,协同安全的基线。第四,安全管理的基线。在安全管理基线方面包括以下几点:一、要将信息系统的安全控制责任以文档化的形式传达给每位相关者;二、对于信息系统的安全控制有关的软件配置进行定义和管理;三、对用户和管理人员进行安全控制和管理的培训和宣教。第五,安全保证参数的基线。包括确定安全保证的目标、制定相关的保证策略、对安全保证证据金属分析等。

4结语

篇8

【关键词】公共系统;网点;信息安全

一、银行系统中网点应用系统的现状

对银行系统的支行或网点,目前,所设计的办公系统软件主要为:Windows XP、Office、Notes、AD域安装、趋势防病毒系统等。

Windows XP:基本的操作系统,是办公应用系统的基础。

Office:基础办公系统,主要包含Word(文档处理)、Excel(表格处理)、PowerPoint(幻灯片处理)、Access(数据库处理)。

Notes:邮件处理程序。

防病毒系统:OfficeScan趋势防病毒系统,为C/S结构,用户机器安装客户端,分行部署服务端,日常病毒码升级在服务端完成。

二、办公系统管理与维护

办公类系统主要针对支行或网点安装的办公计算机设备。

1.Windows XP系统:已经使用一段时间的机器,因为某种原因需要重新安装系统,事先应做好相关资料的备份工作,如文档、特殊的系统(例如网点安装空置利率屏或门楣屏的程序)等,建议拷贝至D盘或E盘,也可以拷贝至U盘,不要放置在C盘,防止由于重装系统后被破坏。同时要记录下本机的IP地址、掩码、网关、AD域的用户名及密码等信息,以便安装系统后重新配置。

2.AD域配置:首先记录本机的本地用户名和开机密码,由本级的本地管理员的用户名和密码,知道本机的IP地址;清楚要加入到域中所需的用户名和初始密码,对客户端配置项进行说明。

3.Office和部分软件的安装:一般将Office光盘放入光驱后,会自动进行安装,不用人工干预。如不能自动安装,可以打开光盘,执行Setup.exe进行安装,安装完成后,并进行补丁文件安装。

4.Notes客户端安装和配置如下图所示:

三、防病毒系统

一旦安装防病毒软件,当发现病毒应采取以下病毒处理:

1.应急处理方法:当防病毒软件报发现病毒,为了避免对内网造成影响,如条件允许(指不影响业务),应先拔除网线。

2.定位病毒信息:右键点击右下方栏的OfficeScan图标,选择“防病毒网络版主窗口”,点击“日志报告”。

3.病毒处理:如“受感染文件名称”中有system volume information字段,则说明病毒在系统还原目录下,需要手动关闭系统还原目录。如“受感染文件名称”中有Local Settings\Temporary Internet Files\字段,则说明病毒在IE临时目录下,需要清空IE临时文件。如措施为“已清除受感染文件”、“已隔离受感染文件”、“已删除受感染文件”的任意一种,且“受感染文件名称”没有出现重复的情况,表示防病毒软件已成功处理了病毒文件,无需人工处理病毒。

四、SEP安全客户端

SEP是赛门铁克多年以来市场领先的企业级安全的最新产品,在电一胡总整合了网络威胁防护、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制,自动分析应用行为和网络沟通,从而检测并主动拦截威胁,低于各种恶意软件,从而保护便携式电脑、台式机安全,被银行系统广泛使用。

SET客户端硬件及系统要求如下:

1.最低硬件配置:CPU主频400MHz;内存512M;C:\盘剩余空间大小700M以上。

2.推荐硬件配置:CPU主频1GHz;内存1G以上。

3.操作系统要求:Windows 2000 Professional或更高版本;Windows XP Professional。

4.其它环境要求:IE 6.0或以上版本,并且正常;安装并启动SMS客户端;加入并登陆AD域;安装并正常运行趋势防病毒软件Trend Micro;安装趋势防病毒软件,更新病毒码。

五、外网防控

内外网用机均应按要求分别安装内、外网客户安全管理系统(SEP)。

1.二级分行及以上机构所在城市,原则上每个城市集中建设一个网吧互联网出口,所有机构都通过该网吧出口访问互联网。

2.互联网访问室性实名制管理,用户对本人账号、密码要严格保密。

篇9

关键词:工业控制系统;信息安全;测试

中图分类号:TP39文献标志码:A

1引言

工業控制系统(IndustrialControlSystems,ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统[1]。现代的ICS网络,越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将ICS连接到互联网或其他公共网络,ICS脆弱性就暴露给潜在的攻击者[2]。

为了提高工业控制系统的安全性,现在一般从两方面考虑:一方面是提高工业控制系统的自身安全性,从设计阶段就开始安全性架构,并落实在工控系统的研发、部署、运行的各个阶段;另一方面是通过附加信息安全保障手段(如在系统中部署信息安全专用产品)在一定程度上弥补系统本身的安全漏洞。由于工业控制系统对高稳定性和高可用性的要求,通过附加信息安全保障的方式来提升工控安全性是目前最容易实现和被接受的方式。

工业控制系统本质上是一类信息系统,因此工控系统的安全性问题是信息系统安全性与工业控制系统的特点相结合产生的。美国国家安全局(NationalSecurityAgency,NSA)针对信息系统的安全保障陆续制定了多个版本的信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)[3],成为信息安全保障的权威架构。IATF把信息安全保障分为四个环节:防护(Protection)、检测(Detection)、响应(Response)和恢复(Recovery)。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,特别是由安全变为不安全,则马上采取应急措施对其进行响应处理,直至恢复安全保护对象的安全状态。这四个部分相辅相成,缺一不可,构成了公认的PDRR模型,如图1所示。

从PDDR模型的“检测”环节入手,对工业控制系统的信息安全产品进行测试与评估,建立工控信息安全产品测试评价体系,为工业控制系统信息安全测评提供专业化的理论支撑和实践引领,一方面有效帮助供应商大力提升其产品和系统的安全保障能力,另一方面为用户选购工控系统信息安全产品,提高工控系统安全性提供支持。通过对安全测评结果的综合分析,为相关主管部门提供真实、全面的安全态势分析报告,促进工业控制领域信息安全保障工作的开展。

2工业控制系统的信息安全要求

工业控制系统有许多区别于传统信息系统的特点,包括不同的风险和优先级别。其中包括对人类健康和生命安全的重大风险,对环境的严重破坏,以及金融问题如生产损失和对国家经济的负面影响。工业控制系统有不同的性能和可靠性要求,其使用的操作系统和应用程序对典型的IT支持人员而言可能被认为是不方便的。此外,安全和效率的目标有时会与控制系统的设计和操作的安全性发生冲突(如,需要密码验证和授权不应妨碍或干扰ICS的紧急行动)。

美国NIST的《工业控制系统信息安全指南》[4]对ICS与IT的差异进行了全面的总结,这些显著差异的存在导致工业控制系统与传统信息系统在通信、主机应用、外联访问等方面采取了不同的策略。

传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。工控系统安全目标优先级顺序则恰好相反。其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑,这些需求体现如下:

(1)工控系统的可用性则直接影响到企业生产,生产线停机或者误动都可能导致巨大经济损失,甚至是人员生命危险和社会安全破坏。

(2)工控系统的实时性要求很高,系统要求响应时间大多在毫秒级或更快等级,而通用管理系统能够接受秒级或更慢的等级。

(3)工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。

3工控信息安全产品

由于工控系统的自身特点以及对可用性的高度要求,适用于工业控制系统的信息安全产品也需要着重考虑工控系统的特点。目前使用相对比较广泛的工控信息安全产品主要包括工控防火墙、工控安全审计、工控隔离、工控主机防护等类型。

3.1工控防火墙

工控防火墙根据防护的需要,在工控系统中部署的位置存在多种情况,通常用于各层级之间、各区域之间的访问控制,也可能部署在单个或一组控制器前方提供保护。工控防火墙采用单机架构,主要对基于TCP/IP工业控制协议进行防护。通过链路层、网络层、传输层及应用层的过滤规则分别实现对MAC地址、IP地址、传输协议(TCP、UDP)和端口,以及工控协议的控制命令和参数的访问控制。

工控防火墙从形态来说主要分两种,一类是在传统IT防火墙的基础上增加工控防护功能模块,对工控协议做深度检查及过滤。还有一类工控防火墙是参考多芬诺工业防火墙的模式来实现的。

3.2工控安全审计

工控安全审计产品通过镜像接口分析网络流量,或者通过及设备的通用接口进行探测等方式工作,及时发现网络流量或设备的异常情况并告警,通常不会主动去阻断通信。

这类产品自身的故障不会直接影响工控系统的正常运行,也更容易让用户接受。

3.3工控隔离

工控隔离产品主要部署在工控系统中控制网与管理网之间。包括协议隔离产品,采用双机架构,两机之间不使用传统的TCP/IP进行通信,而是对协议进行剥离,仅将原始数据以私有协议(非TCP/IP)格式进行传输。其次还有网闸,除了进行协议剥离,两机中间还有一个摆渡模块,使得内外网之间在同一时间是不联通的,比较典型的是OPC网闸,主要还是传输监测数据,传输控制命令的网闸还相当少。另外还有单向导入设备,主要采用单向光纤、VGA视频信号等方式从物理上保证传输的单向性,其缺点是不能保证传输数据的完整性,但对于将控制网中的监测数据传输到企业办公网还是可行的。

总体来说,由于隔离类产品采用双机架构,中间私有协议通信,即使外端机被攻击者控制,也无法侵入内端机,其安全性要高于防火墙设备。

3.4工控主机安全防护

工控系统中会部署一定数量的主机设备,如工程师站、操作员站等。这些设备往往是工控系统的风险点,病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此,这些主机有必要进行一定的防护。

目前主要有两种针对主机设备的防护产品:一种为铠甲式防护产品,通过接管主机设备的鼠标/键盘输入、USB等外围接口来保证主机的安全;另一种就是白名单产品,通过在主机上安装程序,限制只有可信的程序、进程才允许运行,防止恶意程序的侵入。

4工控信息安全产品测试评价体系

工控信息安全产品测试评价体系涵盖测试环境、测评技术和评价服务三部分。测试环境主要由适用于工业控制系统信息安全产品的测试平台组成,测评技术主要涉及测试工具、测试方法、基础库和相关的标准及规范,评价服务提供工业控制系统的安全测评服务的能力。

4.1总体架构

以工业控制系统相关的新一代信息技术为对象,从研究工控信息安全产品的安全功能要求、自身安全要求和性能要求出发,结合信息系統的威胁分析、系统脆弱性检测和风险评价的方法和技术,建立了工控信息安全产品测试评价体系,总体架构如图2所示。

其中,测试环境体系包括基础环境和实验环境,测评技术体系包括测试方法、测试工具、基础库和关键标准,评价服务体系包括服务流程和组织管理。

4.2测试环境

根据测评机构质量体系建设等相关要求,通过对现有资源进行整合、改进和升级,形成实验室必要的物理基础设施,主要包括机房建设、硬件设备和软件购置,从而为工控信息安全产品测试评价提供基础条件。

测试环境主要包括以下两部分:

(1)基础环境:进行实验室机房装修和改造,作为测试评价体系的实施基础。

(2)实验环境:实验室基础网络和测试仪表。

4.2.1基础环境

基础环境主要通过对现有资源的整合、升级,着力建设测评环境所急需的物理基础设施,包括机房改建和扩建、硬件设备和软件购置、测评实验环境建立等内容,最终形成工控专用安全产品测试所需的必要基础条件。

基础环境包括4个测试(性能测试环境、攻击测试环境、功能测试环境和协议测试环境)隔断环境、1个演示环境和1个测试机房组成。

4.2.2实验环境

实验室环境主要是针对工业控制系统信息安全产品的检测需要,搭建典型的工业控制环境,包括测试平台和演示环境两部分。其中测试平台又包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个系统。

4.2.2.1测试平台

测试平台包括功能测试平台、协议测试平台、攻击平台和性能测试平台四个方面。由于每个测试平台的测试重点和测试环境的要求各不相同,所以四个平台分别独立部署。

(1)功能测试平台

功能测试平台是一套典型的小规模工业控制系统,包含工业控制领域主流工业设备、工控协议交换设备、工业控制模拟软件系统。功能测试平台的工业设备包含行业主流,并支持工业控制主要协议的设备(包括西门子、施耐德、和利时及信捷等)的一至两种型号,能夠实现常用的工业控制功能及数据监测功能,具备支持多种常见的工业控制协议(支持ModBusTCP、DNP3.0、OPC、Profinet/Profibus、IEC61850、IEC104等)的能力。

(2)协议测试平台

工控信息安全产品包括工控防火墙、工控隔离、工控审计、工控主机防护等。无论该设备在实际部署时串接接入,还是旁路接入工控网络,则该设备都需要进行协议测试,测试目地在于验证该设备是否能支持现有常用的工业控制协议。

(3)攻击测试平台

攻击测试平台主要针对常用的工控信息安全产品,用以验证安全产品是否能够抵御来自网络,压力,碎片等攻击。对于旁路接入的工控信息安全设备,测试目的在于验证系统能否能记录攻击行为(工控审计类产品);对于串行接入的工控信息安全设备,测试目的在于验证系统能否能抵御并拦截攻击行为(工控防火墙类产品)。

(4)性能测试平台

如果工控信息安全产品为串接部署则需要进行性能测试,用以验证该设备的引入是否会对现有的工业网络造成如通信延时增加、网络带宽降低等情况、安全设备的安全防护能力下降等影响。

4.2.2.2演示环境

演示环境是工控系统运行的展示,以简单明了的形式来表征工控系统运行的状态,包括正常运行和承受攻击时的运行状态。不同的工业控制产品自身的漏洞是各不相同的,所以为了直观的演示不同的攻击对不同的工业控制设备造成的影响,我们需要在工业控制协议及工业控制厂商进行尽量的覆盖。

演示环境包含高仿真沙盘模型和可视化工控系统拓扑结构展板。

沙盘由底座、台面和台面模型组成,沙盘内部完成所有动态的设计和线路的连接,台面模型根据具体设计和布局陈列,体现完整的工艺流程,各模型单体形状和比例与真实系统一致。沙盘涉及化工生产、污水处理、环境监测、智能楼宇等多个应用实景。

展板由展架和展板封面组成,展板上按层次集成工控设备、网络设备,并由灯带组成复杂的网络路径。实际演示过程中,将由不同色灯光表现正常网络数据流和受攻击后异常数据流。展板上各控制系统和交换机预留相应接口,可方便接入典型的工业控制防护设备或专用测试工具。

4.3测评技术

测评技术包括测试方法和测试工具的研究、改进和应用,基础库的建设以及相关标准的编制。

4.3.1测试方法

工控系统的安全性测试方法按照安全技术要求可以分为安全功能、安全保证、环境适应性和性能要求四个大类。根据各大类对系统的要求,分别进行测试方法的研究。

鉴于工控系统与传统信息系统在安全性要求上的区别,工控系统的信息安全目标通常都在最后考虑,因此工控系统的安全技术要求又有其特殊性。安全功能要求是对工控信息安全产品应具备的安全功能提出的具体要求,工控信息产品安全功能的具体要求包括身份鉴别、访问控制、安全管理、不可旁路、抗攻击、审计以及配置数据保护和运行状态监测等;安全保证要求针对工控信息安全产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发过程、指导性文档和生命周期支持等;环境适应性要求是对工控信息安全产品的应用环境提出具体的具体要求,例如IPv6环境适应性,OPC环境适应性等;性能要求则是对工控系统和工控产品应达到的性能指标做出的规定,例如去抖动、交换速率和硬件切换时间等。此外,针对工控系统和设备的操作系统层面的漏洞进行分析挖掘,形成攻击测试集。

针对以上要去分别深入研究相关的测试方法,并应用于实际的测试工作中。

4.3.2测试工具

为确保工业控制系统信息安全产品和系统测评服务的专业化,开发了一批方便易用的测评工具和分析工具。其目的一是减少测评或评估人员的工作负担,二是减少测评和评估人员因能力和经验造成的测评或评估误差,保证测评和评估服务结果的准确性和科学性,提高专业化的服务能力。通过测试软件来模拟正常和异常协议,可检测工业控制系统信息安全产品的功能实现,以及对异常协议的抵御能力。

本体系配套了工控协议模拟测试软件,集成Modbus、DNP、IEC104、IEC61850等工控协议,用于工控信息安全专用产品和工控设备的测试。该软件的运行方式是单机运行,适用的操作系统为windowsNT,windowsxp,windows7x86平台。该软件主要分为四个模块:ModBus模块、DNP模块、IEC61850MMS模块和IEC104模块。

4.3.3基础库

基础库主要包括知识库、测评指标库、测评方法库、测评用例库和测评数据库。

知识库的主要内容包括工业控制系统信息安全领域的基础技术知识、测试案例、法律法规、安全事件/技术手段等的统一描述方法、国内外安全事件、知识库的管理和维护方法、智能化数据挖掘方法等。

指标库保证各个被测系统之间测评结果的一致性。通过为工业控制系统安全测评服务建立统一的测评指标库,保证测评结果的唯一性和公正性。指标库由功能指标库、性能指标库和安全性评价指标库等构成,可根据需要对指标库进行扩展和维护。

测评方法库用以在每种信息安全专业化服务的标准编制和测评方法研究的基础上,明确具体的技术要求,从而提供有效的服务。

測评用例库是在测评方法库建设的基础上,加强测试的复用,提高安全测试的效率。根据厂家提供的说明书和测评人员的经验,深入解析相关技术要求的内涵,为每种具体服务建立测评用例库。

本体系的基础库由两部分构成,第一部分包括了知识库和漏洞库,设计成门户网站模式,直接对外开放,其中收集了4000余条安全事件、3万余条安全漏洞以及相关的法规政策、技术知识、工具等;第二部分涵盖了指标库、测评方法库、测评用例库、测评数据库等,运用于测评实战,检测人员可以在其中依据指标、测评方法、测试用例对实际的产品或系统进行测试记录。

4.3.4关键标准

工控系统与互联网信息系统采用传统信息安全产品难以满足相关要求,工控系统对持续稳定可靠运行指标要求很高,信息安全必须具备保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期安全支持。因此,有必要为应用于工控系统的关键信息安全产品,以及工控系统安全提出专门的标准,并研究相应的测试技术与方法。

本体系在工控领域制定了信息安全产品标准体系,以规范和支撑产品测试。主要包括:

(1)《信息安全技术工业控制系统专用防火墙技术要求》;

(2)《信息安全技术工业控制系统网络审计产品安全技术要求》;

(3)《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》;

(4)《信息安全技术工业控制系统安全管理平台安全技术要求》;

(5)《信息安全技术工业控制系统入侵检测产品安全技术要求》

(6)《信息安全技术工业控制系统边界安全专用网关产品安全技术要求》;

(7)《信息安全技术工业控制系统软件脆弱性扫描产品安全技术要求》;

(8)《信息安全技术安全采集远程终端单元(RTU)安全技术要求》。

4.4评价服务

评价服务包括服务流程和组织管理。服务流程基于现有的服务流程,深入挖掘工业控制系统信息安全产品的特点,融入服务流程,提升服务质量;组织管理主要规范服务的相关制度,充分合理利用各方面的资源,提高服务效率。

4.4.1服务流程

服务采购单位提出自己的系统需求,测评机构经过沟通协调确定服务目标,签订服务合同,成立测评项目组;项目组根据采购单位提出的需求信息,分析需求是否充分;当需求不够充分时,需和服务采购单位进行沟通,补充需求并最终确认;当需求足够充分时,依据相关标准进行服务方案的总体设计,并由专家对方案进行评审;通过初步方案评审后,由测评人员对服务方案进行详细设计,再交由专家对方案进行评审,并提交方案;如方案需进行修改,需重新设计或晚上详细的服务方案,再由专家进行方案评审,如此类推;当提交的服务方案不需要进行修改时,形成安全的服务方案;一方面由专家对安全的服务方案进行审批,并形成标准化管理;另一方面测评人员根据安全服务方案进行测评工作,测评结束后,形成文档,并归档。

4.4.2组织管理

为了保障整套服务流程的顺利实施,本体系还建立信息安全产品及系统服务的组织架构,如图8所示。

通过成立领导办公室、管理部、技术部和检测部,分别从组织、管理和技术等方面对服务的流程进行控制。管理部主要按照相关的管理规定负责服务申请的受理、产品测评流程的控制、检验报告或测评报告的审核、客户满意度的回访等;技术部主要负责测评相关技术研究工作;检测部负责具体检测工作的实施,根据检测数据整理出具检验报告或测评报告初稿。

5结论

篇10

信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。

2供电企业信息安全的影响因素

尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。

2.1不可抗拒因素

所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。

2.2计算机网络设备因素

供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。

2.3数据库安全因素

供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。

2.4管理因素

供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。

3供电企业加强信息安全管理的对策

3.1提升员工信息安全防患意识

开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。

3.2采用知识型管理

传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。

3.3设置系统用户权限

为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。

3.4防范计算机病毒攻击

加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。

3.5完善信息安全应急预案

严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。

3.6建立信息安全保密机制

加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。

4结束语

篇11

工业控制系统是承担国家经济发展、维护社会安全稳定的重要基础设施,电力行业作为工业控制领域的重要组成部分,正面临着严峻的信息安全风险,亟需对目前的电力工业控制系统进行深入的风险分析。文章从电力终端、网络层、应用层、数据安全4个方面分别考察系统的信息安全风险,确定系统的典型威胁和漏洞,并针对性地提出了渗透验证技术和可信计算的防护方案,可有效增强工控系统抵御黑客病毒攻击时的防护能力,减少由于信息安全攻击所导致的系统破坏及设备损失。

关键词:

电力工业控制系统;信息安全;风险;防护方案

0引言

随着工业化和信息化的深度融合以及物联网的快速发展,工业控制系统(IndustrialControlSystem,ICS)获得了前所未有的飞速发展,并已成为关键基础设施的重要组成部分,广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中。调查发现,半数以上的企业没有对工控系统进行过升级和漏洞修补,部分企业的工控系统与内部管理系统、内网甚至互联网连接。此外,由于国内技术研发水平的限制,一些存在漏洞的国外工控产品依然在国内的重要装置上使用。伴随着信息化与电力工业[1-4]的深度融合,使得原本相对独立的智能电网系统越来越多地与企业管理网互联互通,电力系统的网络信息安全问题日益突出。工业控制网络[5-6]一旦出现特殊情况,后果将不堪设想,可能会对能源、交通、环境等造成直接影响,引发直接的人员伤亡和财产损失,重点行业的智能电网系统甚至关系到一个国家的经济命脉。“震网”、“棱镜门”以及乌克兰电力系统被攻击导致大范围停电等ICS安全事件,也预示了智能电网信息安全已经不再是简单的技术问题。对安全防护方案进行研究已经成为国家基础设施领域亟需解决的问题。

1国内外电力工业控制系统信息安全现状

美国很早就已在国家政策层面上关注工业控制系统信息安全问题,美国政府于近几年了一系列安全防护的战略部署,主要针对关键基础设施和工业控制系统的信息安全防护。美国国家研究理事会于2002年将控制系统攻击列入紧急关注事项,于2004年防护控制系统相关报告,2009年公布了国家基础设施保护计划,2011年了“实现能源供应系统信息安全路线图”等。除此之外,在国家层面上,美国还了两个国家级专项计划,用于保护工控系统的信息安全,包括能源部的国际测试床计划和国土安全部的控制系统安全计划。我国工业控制系统信息安全相关研究仍处于起步阶段,工业控制系统还不成熟,不同行业的安全防护水平参差不齐,安全防护能力不足,潜在的安全风险相当大。电力行业作为工业控制领域信息安全防护建设的先行者,已在信息安全防护建设方面积累了大量经验:电力企业在电力监控系统安全防护体系建设过程中始终坚持自主可控的原则,研究信息隔离与交换、纵向加密认证等多项专用安全防护技术,进而形成了多项信息安全行业技术规范和标准;针对关键产品进行自主研发,并统一组织进行严格测试,保证关键系统的安全自主可控;各电力企业相继建立了信息安全相关组织体系,建成了较为完善的信息安全管理制度,包括信息安全总体安全防护策略、管理办法、信息通报和应急处置制度,涵盖了信息安全活动的主要方面;总结形成了“安全分区、网络专用、横向隔离、纵向认证”的信息安全防护策略,建立了多技术层面的防护体系,做到了物理、网络、终端和数据的多角度、全方面保护。

2电力工业控制系统的概念和特点

电力工业控制系统主要由数据采集及监控系统(SupervisoryControlandDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)以及其他配置在关键基础设施上的控制系统如可编程逻辑控制器(ProgrammableLogicController,PLC)等组成,具有实时性、可靠性、分布性、系统性等特点。SCADA系统的主要功能是采集通信和遥测数据,下发遥控和调度命令,多用于输电调度、变电站及发电厂监控、电力市场运营、用电信息采集及配电自动化系统等[7-8]。电力工业控制系统涉及的电力、信息和业务高度统一。电力的传输过程包括:电厂发电、线路输电、变压器变电、用户配电及用电组成,电力通信网络己经覆盖了电力控制系统的各个环节,在控制原则上采用“安全分区、网络专用、物理隔离、纵向认证”的方式,且具有以下特点。1)系统响应速度快。电力工业控制系统与传统工业系统相比,不允许出现过大的延迟和系统震荡,响应必须准时可靠,以应付现场不同的工控情况。2)系统威胁源更多。如恐怖组织、工业间谍、恶意入侵者等,攻击者通过多种形式的网络攻击对工控系统网络进行破坏和入侵,包括后门攻击、IP碎片攻击、畸形包攻击、DoS攻击、暴力破解、通信抓包等,一旦攻破工控系统的安全防线,将会对工业通信网络和基础设施造成严重破坏。3)系统数据量大。电力工业控制系统涉及大量电力数据的采集、传输以及信息共享,包括系统的输变电参量、用电终端的用电量等,需要通过这些实时信息来确保电力调度的精确、快速。

3影响电力工业控制系统信息安全的风险分析

3.1电力终端的风险分析

与传统信息控制系统相比,电力工业控制系统的安全防护主要集中在终端生产设备及其操作过程。终端生产设备(如PLC、操作员工作站、工程师操作站等)作为电力系统最终的控制单元,直接控制生产运行,监控系统的运行数据信息。终端服务器的安全是计算机设备在操作系统及数据库系统层面的安全[9]。在电力工控系统网络中,缺乏合适的终端物理安全防护方法。地震、强风、暴雨等自然灾害是影响信息系统物理安全的重大威胁,易造成设备损毁、网络瘫痪、数据丢失等工业事故。除此之外,由于接地不良引起的静电干扰以及电磁干扰也会造成系统不稳定,同时机房安全设施自动化水平低,不能有效监控环境和信息系统工作状况。终端部署位置要谨慎考量,安排在高层时存在消防不易达、雨水渗透等安全隐患,部署在地下则易出现水蒸气结露、内涝、积水等隐患。工控系统应设置避雷装置,雷电容易引起强电流或高电压,极易击穿电子元件,使设备直接损毁或瘫痪。另一方面,电力设备的损坏、检修、改造等都可能导致外部电力供应中断,电力供应的突然中断除了会造成系统服务停止外,还有可能产生电力波动,如果控制系统不能把电力波动的范围控制在10%内,或没有部署稳压器和过电压保护设备,极有可能对系统电子设备带来严重的物理破坏。强电电缆和通信线在并行铺设时,可能会产生感应电流和干扰信号,极易导致通信线缆中传输的数据信息被破坏或无法识别。除了电磁干扰之外,还应防止设备寄生耦合干扰,设备耦合干扰会直接影响工控设备的性能,使得无法准确量测或采集当前信息。

3.2网络风险分析

建立安全的网络环境是保障系统信息安全的重要部分,因此必须对工控网络进行全面深入的风险分析。信息网络的安全稳定可以保障工控设备的安全运行,为企业提供可靠、有效的网络服务,确保数据传输的安全性、完整性和可用性。对于电力工业控制系统内的网络基础设施环境,基于业务和操作要求常有变动,且通常很少考虑潜在的环境变化可能会造成的安全影响,随着时间的推移,安全漏洞可能已经深入部分基础设施,有的漏洞可能通过后门连接到工控系统,严重威胁到工业控制系统的稳定运行[10]。由于安全设备配置不当,防火墙规则和路由器配置不当也易造成通信端风险。缺乏正确配置的防火墙可能允许不必要的网络数据传递,如在控制网和企业网之间的数据传输,可能导致对系统网络的恶意攻击和恶意软件的传播,敏感数据容易受到监听;网络设备的配置应进行存储或备份,在发生意外事故或配置更改时,可以通过程序恢复网络设备的配置来维持系统的可用性,防止数据丢失;若数据在传输过程中不进行加密或加密等级不够,极易被窃听或拦截,使得工控系统受到监视;另外,在通信过程中使用的通信协议通常很少或根本没有内置的安全功能,导致电力工控系统存在极大的安全风险。电力工控系统本身对可靠性、稳定性及兼容性的要求都很高,如果发生破坏或安全事故,造成的国民经济损失将不可估量。

3.3应用风险分析

应用层运行着工控系统的各类应用,包括网络应用以及特定的业务应用,如电子商务、电子政务等。对应用风险进行分析就是保护系统各种业务的应用程序能够安全运行。很多电力工控设备没有身份验证机制,即使有,多数也为设备厂商默认的用户名和密码,极易被猜出或破解,通常不会定期进行密码更换,风险极大。同时要防止应用系统的资源(如文件、数据库表等)被越权使用的风险。对关键部件缺乏冗余配置,导致应用程序对故障的检测能力、处理能力、恢复能力不足,缺乏对程序界面输入格式的验证以及注入攻击的验证,如SQL注入攻击等,系统面临暴露数据库的风险。

3.4数据安全风险分析

虽然电力系统内外网已进行了物理隔离,但在管理信息大区中积累了大量的电力敏感数据,如电力市场的营销数据、居民用电数据、电力企业财务报表、人力资源数据等,内部人员、运维人员或程序开发人员过多地对电力数据库进行访问,易造成这些敏感数据的泄露或被篡改。当前数据库中,不仅仅包含用电数据,居民的个人信息也都存储在内,居民的人身财产风险越来越大。电网资源、调度、运维、检修等数据容易被批量查询,进而导出敏感信息,缺少对敏感字符的过滤将带来极大的风险。这些电力数据往往缺乏定期备份,如果人为误操作或删除、更改数据,或者数据库本身发生故障、宕机、服务器硬件故障,数据易丢失。

险应对方案

针对电力工控系统面临的安全风险,可首先采用渗透技术模拟黑客攻击,在完成对工控系统信息收集的基础上,使用漏洞扫描技术,以检测出的漏洞为节点进行攻击,以此来验证系统的防御功能是否有效。当发现系统存在漏洞或安全风险时,应主动采取安全防护措施,使用可信计算技术以及安全监测技术抵御来自系统外部的恶意攻击,建立工控系统安全可靠的防护体系。

4.1渗透验证技术

4.1.1信息收集

1)公共信息采集首先分析网站的结构,查看源文件中隐藏的连接、注释内容、JS文件;查看系统开放的端口和服务;暴力探测敏感目录和文件,收集网站所属企业的信息,采用的手段包括查询DNS、查询Whois信息、社会工程学等。2)使用搜索引擎目前比较常用的搜索引擎为GoogleHacking,其搜索关键字符的能力非常强大,例如:①Intext字符:可用于正文检索,适用于搜索较为明确的目标,使用某个字符作为搜索条件,例如可以在Google的搜索框中输入:intext:工控,搜索结果将显示所有正文部分包含“工控”的网页;②Filetype字符:可以限定查询词出现在指定的文档中,搜索指定类型的文件,例如输入:filetype:xls.将返回所有excel文件的URL,可以方便地找到系统的文档资料;③Inurl字符:Inurl字符功能非常强大,可以直接从网站的网址挖掘信息,准确地找到需要的信息及敏感内容,例如输入:inurl:industry可以搜索所有包含industry这个关键词的网站。

4.1.2漏洞扫描

漏洞扫描是指通过手动输入指令或使用自动化工具对系统的终端通信及控制网络进行安全检测。1)使用基于主机的漏洞扫描技术对系统终端进行检测。基于主机的漏洞扫描器由管理器、控制台和组成。漏洞扫描器采用被动、非破坏性的检测手段对主机系统的内核、文件属性、系统补丁等可能出现的漏洞进行扫描。管理器直接运行在网络环境中,负责整个扫描过程;控制台安装在终端主机中,显示扫描漏洞的报告;安装在目标主机系统中,执行扫描任务。这种扫描方式扩展性强,只需增加扫描器的就可以扩大扫描的范围;利用一个集中的服务器统一对扫描任务进行控制,实现漏洞扫描管理的集中化,可以很好地用于电动汽车充电桩、自动缴费机、变电站系统及用电信息采集等终端上。2)利用特定的脚本进行扫描,以此判断电力系统是否存在网络中断、阻塞或延迟等现象,以及严重时是否会出现系统崩溃;另一方面,漏洞扫描还可以针对已知的网络安全漏洞进行检测,查明系统网络端口是否暴露、是否存在木马后门攻击、DoS攻击是否成立、SQL注入等常见漏洞及注入点是否存在、检测通信协议是否加密等。3)考虑到需要对系统具体应用的漏洞状态进行检测,因此可由前台程序提供当前系统应用的具体信息与漏洞状态,由后台程序进行具体的监听及检测,并及时调用漏洞检测引擎。需要注意的是,在电力生产大区中,尤其是安全I区中,为了避免影响到系统的稳定性,一般不使用漏洞扫描,具体防护方式需要根据安全要求而定。

4.1.3渗透攻击验证

1)暴力破解。暴力破解是指通过穷举不同的用户名及密码组合来获得合法的登录身份,只要密码不超过破译的长度范围,在一定时间内是能够破解出来的,但破解速度过慢,是效率很低的一种攻击方式,并且攻击不当可能会造成系统的过载,使登录无法被响应。此外,如果系统限制了登录次数,那么暴力破解的成功率则会非常低。2)DoS攻击。DoS攻击即拒绝服务,指的是通过耗尽目标的资源或内存来发现系统存在的漏洞和风险点,使计算机或网络无法正常提供服务。这种攻击会使系统停止响应或崩溃,直接导致控制设备宕机。攻击手段包括计算机网络带宽攻击和连通性攻击、资源过载攻击、洪水攻击、半开放SYN攻击、编外攻击等,其根本目的都是使系统主机或网络无法及时接受和处理请求信息,具体表现为主机无法实现通信或一直处于挂机状态,严重时甚至直接导致死机。

4.2安全防护技术

4.2.1可信计算技术

可信计算技术[12-14]是基于硬件安全模块支持下的可信计算平台实现的,已广泛应用于安全防护系统中。国际可信计算组织提出了TPM(TrustedPlatformModule)规范,希望成为操作系统硬件和软件可信赖的相关标准和规范。可信计算从微机芯片、主板、硬件结构、BIOS等软硬件底层出发,在硬件层为平台嵌入一个规范化且基于密码技术的安全模块,基于模块的安全功能,建立一个由安全存储、可信根和信任链组成的保护机制,从网络、应用、数据库等方面实现可信计算的安全目标。在保证主机系统信息安全的前提下,为企业提供安全可靠的防护系统。TPM芯片包含CPU、RAM、算法加速器等,应用时首先验证系统的初始化条件是否满足,然后在启动BIOS之前依次验证BIOS和操作系统的完整性,只有在确定BIOS没有被修改的情况下才可启动BIOS,然后利用TPM安全芯片内的加密模块验证其他底层固件,只有平台的可靠性认证、用户身份认证、数字签名以及全面加密硬盘等所有验证全部通过后,整个计算机系统才能正常启动。构建软硬件完整信任链是建立可信环境服务平台的关键。可信工控环境由以下几个模块组成:可信工控模块、度量信任根、验证信任根。可信工控模块是可信服务平台功能架构的核心,作为工控系统的信任根,主要用来存储信任根和报告信任根的作用,并为系统其他组件提供存储保护功能;度量信任根以及验证信任根利用可信工控模块提供的安全环境及保护机制实现相应的验证和度量功能。要构建可信工控安全环境,首先要加载度量信任根和验证信任根,并与可信工控模块中的完整性证书相匹配,完成对自身系统的安全诊断;然后对度量验证的完整性进行度量,将实际度量值与参考证书中的值进行比较,度量通过后将执行控制权交给度量验证,度量验证对操作系统进行度量、验证以及存储;最后通过与标准值的对比来验证工控系统相应设备引擎、通信引擎、应用引擎的运行是否可信。工控可信服务平台从硬件到软件的完整信任链传递为:系统启动后首先执行固化在ROM里的安全引导程序,该程序通过ARM硬件技术确保不会被篡改;然后,由安全引导程序计算安全区操作系统内核的RIM值,并与其对应的RIM值进行比较,验证通过则加载操作系统,并将控制权传递给可信工控模块;可信工控模块对安全区应用层进行进程验证,即加载初始进程、可信工控模块主进程及相应的辅助进程等的RIM值进行比较验证;最后,可信工控模块对非安全区域的程序进行初始化,如操作系统、可信应用程序等,对其RIM值进行比较验证。

4.2.2安全监测技术

安全监测技术[15-19]是指通过全面、丰富的数据采集,对信息进行分析和预处理,解析监控得到的数据,并与设定参数进行比对,根据结果采用相应的防护策略对系统进行全面监管。针对目前电力工控系统存在的安全风险,基于对工控网络数据的采集和协议分析,可使用数据分析算法提前处理安全威胁,使针对工控网络及关键设备的攻击得到有效监管和处理。1)数据采集。电力工控系统的数据采集不同于一般的IT系统,需要在保障系统稳定运行的前提下进行,不能因为操作不当造成链路堵塞。根据采集方式的不同可以将数据采集分为3类:通过采集采集数据、通过协议直接采集、通过抓包工具获取数据。一般来说,需要采集的信息为防火墙、路由器、交换机、IDS/IPS、网络审计设备、正/反向隔离装置以及纵向加密认证装置的具体数据,包括IP地址、MAC地址、出厂型号、配置信息、用户管理信息、权限等级设置等。除此之外,还应对含有攻击信息的数据进行监测,包括DoS攻击、重复扫描攻击、数据包攻击等。抓包分析是指使用抓包工具抓取协议数据包,再利用相关协议和规范对抓取的数据包进行解析。2)数据处理。数据处理主要是对采集到的数据和工控协议数据包进行解析和处理,剔除不需要的多余数据和垃圾数据,将与安全事件相关的数据从中选取出来,如配电自动化等业务的上传数据、下载数据,电力数据流量信息和电压、电流参数信息等,对采集到的数据进行关联分析,对分析得到的威胁进行确认,并对结果进行二次过滤,最后将解析得到的数据使用统一格式保存,用于后续的风险监测。3)构建安全监测系统。安全监测系统基于以上数据分析,设定监测参数的阈值,通过监测数据及操作的一致性来实现对工控系统的异常监控、运行管理、配电网分析等。当工控系统中的流量遭到非法抓包或者系统指令遭到恶意篡改时,应及时对数据进行过滤并发出告警信息,具体流程为:基于函数库编写相关脚本程序,抓取网络数据包;按照工控协议和标准对数据参数进行解析;根据监测系统的安全等级要求,设置系统的风险阈值;将解析得到的参数与设置的阈值相比较。电力工业控制系统采用安全监测技术,针对工业控制网络中出现的数据及进行的操作,采用网络抓包、数据分析及参数比对的方式进行风险监测与分析,对工控系统信息安全风险中典型的指令篡改、畸形数据包和异常流量等安全威胁进行全面监测。

5结语

随着工业化和信息化的发展和融合,电力工业信息化的趋势已不可阻挡,保障系统信息安全是维护电力工业控制系统稳定运行的重要前提,是开展电力工业建设的坚实基础。针对相应的工控安全需求及系统运行状况,选择合适的安全防护技术,全方位地对电力工业控制系统的风险进行分析和考察,才能确保电力网络的安全、可靠,减少由于信息安全风险造成的设备损失。

作者:张盛杰 顾昊旻 李祉岐 应欢 单位:中国电力科学研究院 安徽南瑞继远软件有限公司 北京国电通网络技术有限公司

参考文献:

[1]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.

[2]李鸿培,忽朝俭,王晓鹏,等.工业控制系统的安全研究与实践[J].计算机安全,2014(5):36-59,62.

[3]李文武,游文霞,王先培,等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.

[4]王继业,孟坤,曹军威,等.能源互联网信息技术研究综述[J].计算机研究与发展,2015,52(5):1109-1126.

[5]王刚军.电力信息安全的监控与分析[J].电网技术,2004,28(9):50-53.

[6]王保义.电力信息系统信息安全关键技术的研究[D].保定:华北电力大学,2009.

[7]王栋.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016,40(2):6-11.

[8]党林.电力企业网络病毒防御方案分析[J].科技传播,2012(7):175-176.

[9],秦浩.防病毒系统在青海电力调度数据网中的设计与应用[J].青海电力,2012,31(3):61-63.

[10]高昆仑,赵保华.全球能源互联网环境下可信计算技术研究与应用探讨[J].智能电网,2015,3(12):1103-1107.

[11]王欢欢.工控系统漏洞扫描技术的研究[D].北京:北京邮电大学,2015.

[12]张向宏,耿贵宁.基于可信计算的工业控制安全体系架构研究[J].保密科学技术,2014(8):4-13.

[14]周晓敏,李璇,黄双.工业控制系统信息安全仿真平台的设计与实现[J].可编程控制器与工厂自动化,2015(4):35-40.

[15]彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[C]//信息安全漏洞分析与风险评估大会,2012.

[17]俞海国,马先,徐有蕊,等.电网工业控制系统安全威胁监测系统设计及应用[J].电力信息与通信技术,2016,14(7):76-80.

篇12

关键词:计算机网络 信息安全管理 保障策略

中图分类号:TP2 文献标识码:A 文章编号:1672-3791(2013)02(c)-0024-01

当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害,面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。

1 计算机网络信息安全的概念及研究意义

1.1 计算机网络信息安全的概念

所谓计算机网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。网络信息安全分为网络安全和信息安全两个层面。其中网络安全包括物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,使数据免于被破坏和丢失等。逻辑安全包括信息的完整性、保密性和可用性。信息安全则主要是指数据安全,包括数据加密、备份、程序等。

1.2 网络信息安全研究意义

网络信息安全保障手段的研究和应用,对于保证信息处理和传输系统的安全,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失;保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为;保护国家的安全、利益和发展,避免非法、有害的信息传播所造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控等方面都有非常重大的意义。

2 计算机信息系统存在的安全隐患

2.1 计算机存储介质产生的信息泄露

在工作和生活中,人们习惯于把信息保存在电脑某些存储介质中,其中包括各种重要的保密信息,殊不知,在保存的过程中实际上是把信息以另一种方式输出。保存在计算机存储介质中的信息,在存储、传输的过程中很容易遭到篡改和窃取等不法行为的威胁,不仅是来自于专门的盗窃信息的不法人员,还有部分是由于电脑中植入的病毒,使得信息安全遭到侵袭,故当前把信息保存在存储介质中遭到泄密的隐患相当大。计算机存储介质泄露信息主要是通过以下的几种方式:一是由于个人对信息安全保存不负责,存储在U盘或硬盘中的东西被其他人人为的复制或盗窃;二是有部分人对电脑的运用不是很熟练,当计算机出现故障时,存有重要信息的硬盘在不经处理就带出去维修,也可能会造成泄密;三是存储介质失窃,带有重要信息的介质被不法人员窃走,造成大量信息外露。

2.2 网络产生的信息泄露

计算机网络结构中的数据不是单一存在的,都是共享的,主机与用户之间或用户与用户间都是通过线路联络,这种结构存在很多泄密漏洞。尤其是连接的网络越大,网络间线路通道的分支越多,对于信息而言,被窃取的途径和几率也就越大,窃取者只要在网络的某个节点或分支上安装窃取装备,就可以获得整个网络传输的信息;其次在网络中有部分黑客,利用网络安全中的缺陷存在的问题,对网络信息进行攻击,从而窃取用户的信息;再次就是通过传播电脑病毒,使得用户电脑被病毒感染或瘫痪,从而对用户的电脑进行控制。

2.3 管理不善产生的信息泄露或丢失

信息泄露或丢失除了不法人员的专业窃取外,还有部分是来自于信息管理人员对信息的管理不善造成的。在企事业单位中,工作人员有意或无意的都存在信息安全的隐患。主要表现在以下几个方面:一是工作人员的保密观念不强,对工作信息安全性的责任心较差,对于重要的关键信息没有设置密码或设置密码的等级过低,给不法分子提供了有机可乘的机会;二是工作人员对工作业务不熟悉,无意中破坏网络系统和设备的保密措施;三是熟悉计算机的工作人员对信息故意泄露,在企事业竞争中,有部分单位为了掌握对手的信息,对该单位的计算机人员常常采用非法手段笼络,以窃取信息系统的秘密。

3 计算机网络信息安全的防护措施

3.1 提高对网络信息安全重要性的认识

在信息技术发展的今天,网络已应用于人们生活的方方面面,在企业的发展和竞争中也都是用计算机作为信息传输的媒介,故网络信息安全的重要性事关企业的发展。我们要在思想上把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。作为个人要主动增强网络信息安全知识,提高自身的信息安全的观念和素质,对计算机的上网环境进行不定期的检查,以保证上网环境的安全性。利用课余时间多参加些网络技术方面的培训,掌握些先进的网络病毒防护知识,以便正确的应对病毒的侵袭;在上网过程中对于一些不知名的软件和程序下载的时候要慎重,预防病毒的感染。

3.2 配置防火墙

目前对于计算机信息安全管理常采用的是防火墙技术,目的是为了在内外两个网络间建立一个安全隔离带,对流进或流出的数据进行检查,把正常的可用的信息引进来,把异常的有威胁性的信息阻挡在网络外,对有害的信息起到隔离作用,能防止病毒的入侵和黑客的来访,以保护网络信息的安全。

3.3 利用网络监听维护子网系统安全

防火墙技术仅对于网络外部的入侵起着防范的作用,但对于网络内部的侵略却无能为力。针对于这种情况,我们可以采用对各个子网设置一个具有一定功能的审计文件,管理人员可以通过分析文件的使用情况,知道网络现行的运行状态,为管理人员对网络信息安全的防护提供依据。对各个子网也要设计专用的监听程序,便于掌握子网中网络的运行情况。

4 结语

随着计算机技术的快速发展与广泛应用,计算机网络信息安全问题日益复杂凸显出来。部分威胁已涉及到国家安全和社会公共安全,因此发展信息安全技术是目前需要解决的重大问题之一。网络信息安全是个综合性的课题,不仅是涉及到技术方面,在管理和使用方面也多有涉及,为保障网络信息安全,需要把各个方面都结合起来,从而保证网络应用技术不断发展。

参考文献

[1] 岳珍.计算机网络信息安全与防范工作研究[J].信息与电脑:理论版,2012(12):10-11.

[2] 杜雯雯.计算机网络信息安全管理工作探讨[J].中国管理信息化,2011(20):50-51.

篇13

为了全面了解和掌握我州计算机信息系统的基本情况,奠定信息安全等级保护工作的基础,按照公安部、国务院信息化工作办公室《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔〕1431号)的精神要求,经州人民政府研究决定,自年3月初在全州范围内开展信息系统安全等级保护基础调查工作,有关国家机关、社会团体、企事业单位要密切配合,明确专人负责,认真组织学习《信息系统安全保护等级定级指南》,熟练掌握调查统计软件的操作及使用规范,到指定网址下载相关资料,及时填写上报,确保完成此次信息系统安全等级保护基础调查工作任务。根据公安部和国务院信息化工作办公室联发的《关于开展信息系统安全等级保护基础调查工作的通知》(公信安〔〕1431号),结合我州实际特作如下安排:

一、提高认识,统一思想。州级各部门要认真贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国务院信息化办公室等四部门《关于信息安全等级保护工作的实施意见》精神,从维护和保障国家信息安全的大局出发,充分认识开展调查工作的重要性、必要性和紧迫性,接此通知后,要指定专人负责按要求填写调查表,并做好调查和数据传输的保密工作。

二、调点范围:各级国家事务处理信息系统(党政机关办公系统);各级财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系国计民生的信息系统;各级教育、国家科研等单位的信息系统;各级公共通信、广播电视传输等基础信息网络中的信息系统;互联网管理中心、重要网站和网络节点的信息系统和其他领域的信息系统。

三、开展调查工作的方法

(一)请州级各部门到《州政务网》()、《东方信息网》()下载调查工具和资料。

(二)指定安全员填写调查表。州级各部门接到通知后,有计算机信息系统和网站的,请指定计算机信息系统和网站的安全员,负责填写调查表。同时请将安全员的基本情况和联络方式提交州公安局网监科。

篇14

电力公司在我国能源行业中占有十分重要的地位,随着信息化的不断发展,电力公司信息系统日益成为我国电力公司信息化的发展核心。但是随着电力公司对信息化依赖程度的增加,其信息系统的安全问题也日益严重,面临的风险也越来越大、越来越不确定。因此,对电力公司信息系统的安全保障已迫在眉睫,对电力公司信息安全进行有效的管理显得更加重要。

1电力公司信息安全

信息安全从不同的方面来说意义不一样。从计算机来说,信息安全就是数据处理系统而采取的技术和管理方法的安全保护。保护计算机的硬件设施、软件程序、数据库系统不会因偶然的或者病毒的破坏、更改、显露而无法保证计算机的物理层面、运行层面、数据层面等安全。这是从狭义层面的信息安全。广义上的信息安全则是包含社会生活、工程应用的方方面面。安全不仅仅是数据信息的安全,也不仅仅是管理技术的安全,更多的是一门综合性学科[1]。

信息作为大家通用的资源,有些东西可以共享,但有些东西确实是有独特性个人或者单个公司拥有。信息安全主要就是信息的完整性。可用性、保密性和可靠性。

2電力信息安全建设体系内容

电力信息系统信息安全保障体系采用了“三横四纵”的总体架构,即横向上分为3个层次,分别为应用层、技术层、管理层;技术层次中纵向又分为4种主要体系,即以基础安全服务设施、数据安全保护、网络接入保护、平台安全管理为支柱,信息安全基础设施为基础,通过信息安全管理体系为业务应用提供可靠的安全保障。

2.1应用层这是安全保障体系的主要对象。信息化建设的终极目标是提供给用户好用、易用、够用的应用系统,应用系统是为了满足不同用户的不同业务需求,安全保障体系保障的核心就是应用系统及其数据。

2.2技术层这是信息安全保障体系的主要体系。目前包括技术支撑体系、技术保障体系、网络信任体系、安全服务体系。这4种体系已经经过多年的探索和建立,应该说已经覆盖了技术上的所有方面。

2.3管理层包括等级保护安全策略、安全管理制度、法律法规和技术标准。通常说“三分技术、七分管理”,再好的技术也需要完善的管理才能保证技术发挥最大的效能。

3电力公司信息安全问题分析

3.1信息安全防护技术不当

目前电力企业加大网络信息化建设,虽然提高了信息化,但是却忽略了网络信息安全建设,包括防火墙设备、安全审计系统、入侵监测系统等。此外,一些单位计算机病毒库陈旧,数据加密以及其他的网络安全措施不足,网络信息系统存在极大的安全隐患。而一些网络黑客和不法分子就是利用网络信息系统中存在的一系列安全漏洞,通过计算机病毒、特洛伊木马、网络窃听以及邮件截取和窃取管理权限等手段,对数据的安全性、保密性、可靠性造成了威胁,直接或间接地将国家、社会、经济陷于风险之中。目前,电力行业所使用的办公计算机仍然存在内外网混用的情况,而内外网之间的隔离强度还有待加强。

3.2网络管理机制不健全

随着4G时代的到来,固定互联网已经逐渐向移动互联网延伸,每个人都能不受时间、地域的限制,实时上网,但是网络开放式管理模式也带来了很多危害,诸如信息鱼龙混杂、真假难辨以及政治有害信息等现象。而目前,公共事件发生之后,各职能部门缺乏统一协调,资源不能整合,舆论导向难以被控制;对于一些紧急情况的处置机制也不够到位,难以准确把握舆论引导的最佳时期,致使舆论失控,严重时造成更大的损失;此外一些舆论引导工作与实际工作衔接不够紧密,引导信服力不够,网络信息管理手段单一,网络舆情不能得到实时监控和及时的解决。

3.3员工信息安全意识薄弱

人为失误导致的计算机漏洞屡见不鲜,一些操作人员由于马虎或者是计算机网络方面的知识比较欠缺、相应的网络安全意识薄弱,在操作时失误,让计算机陷入风险中。人为失误导致的计算机网络风险带来的危害是不容忽视的。企业的职能部门以及涉密单位人员的保密意识以及信息安全防护意识薄弱,需要保密的文件、文档资料被存储于互联网计算机并且该计算机擅自连接互联网,导致文件泄密的情况较为突出。此外,单位员工自我保护意识较差,对一些木马文件以及电子邮件的鉴别能力稍显不足,导致黑客及不法分子轻易地侵入单位计算机,通过一些木马程序及病毒控制计算机,篡改、窃取机密文件。

3.4网络技术专业人员匮乏,监管制度不到位

网络安全专业技术人员太过于匮乏,并且专业技术不够强硬以及监管措施不到位。除此之外,一些专业人员配备齐全的单位,将工作重心放在了网络系统的使用,忽略了网络的安全防范,致使网络安全问题层出不穷。而一些单位则从未进行过网络安全风险评估,对于网络系统中存在的安全隐患及漏洞浑然不觉,不仅不能及时进行检查、维护,而且间接地扩大了安全隐患。另外,部分单位对于网站服务器的监管也不到位,一些网站的服务器甚至没有任何的防护设备。将网站服务器进行托管在外以及租用运营商服务器的情况屡见不鲜,运营商只保障服务器的正常运行,对其安全防护措施基本放任不管,所以服务器基本处于失孤状态,出现网络安全事故也在情理之中。网络信息安全是一门综合性学科,涉及计算机科学、网络技术、通信技术等多个学科,主要是指利用网络管理以及一些技术措施来维护网络环境中数据的保密性、完整性,并且通过合理授权服务,保障用户的数据安全[2]。

4对策

电力公司信息越来越依赖计算机信息技术,在进行细信息获取和分享的过程中必须重视信息安全。电力公司要切实制定好相关的预防对策,采取有效地信息保护措施,为使不管理系统方面还是工作人员方面,都能在一个安全的环境下正常运转而出谋划策。

信息安全人人有责。为了信息安全,在电力公司中应当引入密码技术,不是相关用户它无权知道密码。这是密码技术的第一步,但往往有些密码精英他们可以破解密码。所以这就要提高单利信息系统密码的难度性。有些电力系统只有用户名和密码,同样的道理这也不是十分安全。电力公司就需要采用最先进的动态口令,没有动态口令,是很难进入系统的,这样就更安全一点。

电力系统的计算机必须装备高过滤性的防火墙。防火墙对于不良网站、病毒查杀有着相当强大的功能,并且只要有不良现象出现,这时就会立马提醒工作人员,让工作人员第一时间解决问题,以免造成更大的影响。防火墙软件像其他功能软件一样,一定要及时更新,因为好多黑客在不停研制病毒,一不小心就会把病毒传至你的信息系统,影响计算机正常工作。

防火墙有时还不能完全抵制病毒的入侵,这时就需要电力系统安装专门的病毒查杀软件,让病毒无机可乘。病毒又有着独特的隐蔽性、潜伏性等特点,所以电力公司的信息安全系统要时刻注意,可以建立专门的计算机病毒预防和监督控制中心,让专业的计算机人员,或者是专业的病毒预防人员来胜任这份工作。公司对员工也要有较高的要求,不带计算机病毒入职,不在计算机使用过程中生产病毒,遇到不正常情况及时向上级汇报,不可自己單独下决定。实行对电力系统的病毒分级防范,提高电力系统的安全,维持电力系统的正常高效运转。

公司还可以定期开展电力系统安全会议提高员工的安全意识,保护电力系统信息安全人人有责。可以在会议上让专业计算机人员传授经验。每个人都为公司信息安全做出贡献。每一个员工都是公司的一员,在正常工作时间保证不浏览不良的信息网页,以免招致病毒入侵。在公司与其他公司人员进行信息共享时,一定确保对方不把信息传递给第三方。共享的信息一定要经过公司领导层的审批,不可随意将公司信息传给他人,关于公司信息的外露是要负法律责任的。公司信息系统的用户名、密码不可随意给他人,动态口令更不可给他人。公司安装正版的防火墙,专业人员的负责操作,都会给公司的顺利运行带来促进作用。在对电力信息个系统进行综合分析的过程中,制定行之有效的应对策略[3]。

5结束语

电力公司信息系统的信息安全性在现有的信息安全技术下并不能很好地解决相关安全问题。因此,只有建立完善的、可行的公司信息系统安全管理模式,并及时更新安全技术及设备,制定合理的安全管理方案,才能使电力公司的信息系统安全性一直处于良好状态。电力公司信息系统安全是电力公司正常运营的重要保证,公司信息系统安全不仅关系着我国电力公司的信息化水平,还关系着我国经济发展的前途命运。因此,只有结合我国电力公司的实际情况,采取合理、完善的风险管理措施,才能保证电力企业信息系统的安全性及平稳性。

参考文献

[1]庞霞,谢清宇.浅议电力信息安全运行维护与管理[J].科技与公司,2012,(7):28.

[2]游威荣.电力信息安全的监控与分析[J].北京电力高等专科学校学报(自然科学版),2011,(10).

[3]王红霞,王中敏,王红晓,刘东,高峰.浅析电力信息安全管理[J].北京电力高等专科学校学报(自然科学版),2011,(12).