前言:中文期刊网精心挑选了网络安全管理报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全管理报告范文1
【 关键词 】 工业控制系统;基础设施安全;安全隔离网关;边界防护
1 引言
“两化”融合的推进和以太网技术在工业控制系统中的大量应用,引发的病毒和木马对工业控制系统的攻击事件频发,直接影响公共基础设施的安全,其造成的损失可能非常巨大,甚至不可估量。而在工业控制系统中,工控网络管理和维护存在着特殊性,不同设备厂家使用不同的通信协议/规约,不同的行业对系统网络层次设计要求也各不相同,直接导致商用IT网络的安全技术无法适应工业控制系统。
2 国内工控安全现状
2.1 信息化建设的趋势
过去10年间,世界范围内的过程控制系统(DCS/PLC/PCS/RTU等)及SCADA系统广泛采用信息技术,Windows、Ethernet、现场总线技术、OPC 等技术的应用使工业设备接口越来越开放,企业信息化让控制系统及SCADA系统等不再与外界隔离。但是,越来越多的案例表明,来自商业网络、因特网、移动U盘、维修人员笔记本电脑接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全,对基础设备造成破坏。
2.2 以太网及协议的普及
目前,市场上具有以太网接口和TCP/IP协议的工控设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷,促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中,应用较为广泛的工业以太网之一是德国西门子公司研发的PROFINET工业以太网。
施耐德电气公司推出了一系列完整、以TCP/IP 以太网为基础、对用户高度友好的服务,专门用于工业控制领域。自1979 年以来, Modbus 就已成为工业领域串行链路协议方面的事实标准。它已经在数以百万计的自动化设备中作为通信协议得到了应用。Modbus 已经得到了国际标准IEC 61158 的认可,同时也成为了“中国国家标准”。通过Modbus 消息可以在TCP/IP 以太网和互联网上交换自动化数据,以及其它各种应用( 文件交换、网页、电子邮件等等)。
如今,在同一个网络上,无需任何接口就可以有机地融合信息技术与自动化已成为现实。
2.3 国产化程度
随着工业控制系统、网络、协议的不断发展和升级,不同厂商对于以太网技术也在加速推广,而国内80%以上的控制系统由国外品牌和厂商所占据,核心的技术和元件均掌握在他人手里,这给国内的工业网络安全形势,造成了极大的威胁和隐患。
目前,在国内工控领域应用比较多的是通用网闸产品和工业安全隔离网关产品,用于工控企业控制网和办公网的物理隔离和边界防护。由于国内重要控制系统有超过80%的系统都使用的是国外产品和技术,这些技术和产品的漏洞不可控,将给控制系统留下巨大的安全隐患。而国内通用IT网络与工业控制网络存在巨大差异,通用IT的安全解决方案无法真正满足工控领域的需求,工业控制系统的安全威胁,一触即发。
2.4 软、硬件的漏洞
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞,但这些漏洞可能被黑客或恶意软件利用。
由于早期的工业控制都是相对独立的网络环境,在产品设计和网络部署时,只考虑了功能性和稳定性,对安全没有考虑。经过测试,很多支持以太网的控制器都存在比较严重的漏洞和安全隐患。
2.5 病毒攻击的发展
国外典型工业控制系统入侵事件。
* 2007 年,攻击者入侵加拿大的一个水利SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机。
* 2008 年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4 节车厢脱轨。
* 2010 年,“网络超级武器”Stuxnet 病毒通过针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营。
* 2011 年,黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。
* 2011年,Stuxnet 变种 Duqu, 有关“Duqu”病毒的消息是在10月出现的。 “Duqu”病毒似乎专为收集数据而来,其目的是使未来发动网络袭击变得更加容易。这种新病毒的目的不是破坏工业控制系统,而是获得远距离的进入能力。
* 2012年,肆虐中东的计算机病毒“火焰”日前现身美国网络空间,甚至攻破了微软公司的安全系统。
3 工控安全与通用IT安全的区别
3.1 协议区别
比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。
黑客可以很轻松的获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。
3.2 成本及影响对照(如图1所示)
4 工控安全防御方法建议
4.1 白名单机制
白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。
“白名单”安全机制是一种安全管理规范,不仅应用于防火墙软件的设置规则,也是在实际管理中要遵循的原则,例如在对设备和计算机进行实际操作时,需要使用指定的笔记本、U盘等,管理人员只信任可识别的身份,未经授权的行为将被拒绝。
4.2 物理隔离
网络物理隔离类技术诞生较早,最初是用来解决网络与非网络之间的安全数据交换问题。后来,网络物理隔离由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门,其主要功能支持:文件数据交换、http访问、www服务、ftp访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业控制领域,网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能,因此更适合于控制网络与办公网络,以及控制网络各独立子系统之间的隔离。其主要特点有几种:
* 独立的运算单元和存储单元,各自运行独立的操作系统和应用系统;
* 安全隔离区采用私有加密的数据交互技术,数据交换不依靠TCP/IP协议;
* 工业通信协议,OPC/MODBUS/60870-5-104/等;
* 与信息层上传数据时,可实现断线缓存、续传;
* 实时数据交换,延时时间小于1ms;
* 访问控制;
* 身份认证;
* 安全审计与日志管理。
4.3 工业协议深度解析
商用防火墙是根据办公网络安全要求设计的一种防火墙,它可以对办公网络中传输使用的大部分通用网络协议(如http、ftp等)进行完全包过滤,能给办公网络提供有效的保护。但是,对于工业网络上使用的工业通信协议(如Modbus、OPC等应用层协议)的网络包,商用防火墙只能做网络层和传输层的浅层包过滤,它无法对网络包中应用层数据进行深层检查,因此,商用防火墙有一定的局限性,无法满足工业网络的要求。因此,自动化行业内迫切需要一款专用于工业网络的工业防火墙,可以针对工业通信协议进行有效的过滤检查,以保证工业控制系统的运行安全。
4.4 漏洞扫描
工信部在“451”号文以后,开展了全国各地的工控系统安全调研活动,对文中所涉及到的各行业发放了调查问卷。在实际工作中,我们了解到,各地工信部、委和央企信息中心在落实工作的过程中,缺少对工控系统的了解和培训,不敢轻易对工控系统进行调查、检测等操作。因此针对工控领域的第三方的权限设备和技术,将有效解决该问题。
4.5 云管理服务平台
构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基线建设,兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。
安全管理私有云服务平台的建立要求包括:
* 方便地对整个系统里所有安全设备模块、控制器和工作站,进行部署、监控和管理;
* 规则辅助生成,指导用户方便快捷地从权限、授权管理报告中,创建防火墙的规则;
* 自动阻止并报告任何与系统流量不匹配的规则;
* 接收、处理和记录由安全模块所上传的报警信息;
* 全网流量收集识别能力;
* 基于白名单的终端应用控制能力;
* 实时ICS 协议与内容识别能力;
* 异常行为的仿真能力;
* 可视化配置、组态;
* 安全事件搜索、跟踪和预处理能力。
5 结束语
随着以太网技术在工业控制网络的应用,以及国家对“两化”整合的继续推进,未来的工业控制系统将会融合更多的先进的信息安全技术,如可信计算、云安全等,信息安全成为关系政治稳定、经济发展的重要因素,本文介绍了在工业控制系统安全中采用的技术手段和策略,与此同时,还需不断加强对工业控制领域的整体安全部署,完善和提供整体的安全解决方案。
参考文献
[1] DRAFT Guide to Industrial Control Systems (ICS) Security.
[2] 王聪.工业网络安全(Security).来源:e-works, 2012-3-8.
[3] 工业以太网在实际应用中安全对策解决方案.来源: ducuimei.
[4] 施耐德Connexium工业以太网产品目录及参数.
[5] 2011年我国互联网网络安全态势综述 CNVD.
[6] 王孝良,崔保红,李思其.关于工控系统信息安全的思考与建议. 信息网络安全,2012.8.
[7] 刘威,李冬,孙波.工业控制系统安全分析.信息网络安全,2012.8.
[8] 余勇,林为民.工业控制SCADA系统的信息安全防护体系研究.信息网络安全,2012.5.
网络安全管理报告范文2
[关键词] 计算机审计;电子数据;数据安全;保护;对策
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 020
[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2013)15-0026-03
随着企业信息化建设应用工作的不断推进,企业内部审计计算机审计工作持续开展,并产生了大量的计算机审计电子数据,这些数据涉及企业生产经营管理活动的重要内容,也是企业重要的信息资源,因此,企业计算机审计电子数据安全保护工作十分重要。加强企业计算机审计电子数据安全保护能力、降低审计人员个人携带计算机审计电子数据的安全风险,不仅是企业信息安全保护的要求,而且是企业计算机审计自身的内在要求。与此同时,随着信息化技术的不断更新换代和计算机审计环境的越发复杂,要做好计算机审计电子数据安全保护工作,就要与时俱进、不断探索研究。
1 企业计算机审计电子数据的主要内容
企业计算机审计电子数据的主要内容包括审计人员个人计算机存储的由被审计单位提供的本单位生产运营管理报告、业务数据、财务报表等与审计项目相关的电子数据,以及参加审计项目实施过程中涉及的审计工作方案、审计实施方案、审计工作记录、审计工作底稿、审计报告等审计工作数据。
2 企业计算机审计电子数据安全保护方面存在的突出问题
企业在计算机审计电子数据安全保护方面采取了一些措施,一方面在管理上要求审计人员提高信息安全保密意识,另一方面在技术上为审计人员个人计算机安装防病毒软件等,虽然取得了一定成效,但在企业计算机审计电子数据安全保护方面尚未形成有效的体系,仍然存在以下几个方面的突出问题。
2.1 管理方面
一是数据整理与挖掘利用困难。审计数据是审计人员多年工作经验、审计知识的积累与沉淀,利用现有手段难以从数据挖掘利用的角度进一步梳理数据,无法实现数据的多维分类,无法充分进行数据价值挖掘利用。二是数据权限管理困难。数据访问与使用权限控制缺乏平台支持,难以实现更深入的权限控制,增加了管理与操作的难度和工作量。三是桌面标准化管理困难。审计工作依赖于终端设备,使用的软件不统一,给信息交流与利用带来困难,同时管理上也存在很大难度。
2.2 技术方面
一是安全性不足。现有技术手段的安全水平与审计电子数据的重要性尚有差距,不能满足审计业务对信息安全与保密的需要。其一,数据以明文传输,数据在传输过程中一旦被截获,信息容易泄露;其二,服务器上数据以明文存储,一旦服务器被入侵,入侵者可以很轻易地获取所有未加密文件;其三,终端上数据以明文方式存放,特别是正在开展的审计项目数据以明文方式存在审计人员的终端设备中,如果设备丢失或系统感染病毒,就会造成重大损失。二是权限配置与备份困难。企业邮件账号域认证初步实现访问控制,但其控制粒度尚不能满足使用需要,且配置比较繁琐。数据手工备份、同步与恢复不能满足需要。
2.3 使用方面
一是审计人员难以找到需要的信息。各单位审计人员只能查看本单位的部分共享审计资料,缺乏按关键字、审计对象、审计类型等多种方式的全面数据搜索,审计人员难以找到最适合的可参考与可借鉴的资料信息。二是尚不能完全实现审计工作与外网分离。通过上网本为审计人员提供从外网搜索资料等功能,满足了审计人员对外网大部分的需求;但审计人员出差期间,订购火车票时,需用笔记本电脑付费,而且审计人员习惯于使用终端设备,日常办公和其他方面依然和审计工作共用终端设备,未完全实现审计工作与外网的分离。
2.4 保障方面
一是终端数据清理工作量大。现阶段审计人员的终端设备数据清理工作,耗时长,工作量大,信息处负责数据清理工作的同志工作负荷重,急需通过其他手段,提高工作效率和清理效果。二是IT运维工作压力大。信息处负责企业IT设备的维护工作,各电脑终端存在操作系统不统一、审计软件与办公软件不统一、审计人员出差远程维护难等问题,造成IT运维难度大,信息处承担了很大的工作压力。终端设备容易因电脑病毒、系统漏洞、恶意网站等各种原因,造成审计数据的泄露。亟需通过新的IT手段,提高审计IT桌面安全性,降低IT维护难度,提高IT维护效率和效果。
3 目标与思路
企业计算机审计电子数据安全保护是一项系统化工作,只有明确计算机审计电子数据安全保护的主要目标,理清计算机审计电子数据安全保护的整体思路,并不断探索研究,才能持续提高计算机审计电子数据安全保护能力。
3.1 主要目标
企业计算机审计电子数据安全保护的主要目标是实行计算机审计电子数据集中统一管理、按需授权访问,降低个人携带审计电子数据意外风险;计算机审计电子数据集中管理的服务器环境,要遵照企业统一安全策略,采用相应的物理安全、网络安全、主机安全、应用安全、备份与恢复安全等技术措施,以及安全管理职责、安全管理制度、人员安全管理、系统建设管理、系统运维管理等管理措施,整体确保计算机审计电子数据安全受控。
3.2 整体思路
企业计算机审计电子数据安全保护的整体思路是依托企业信息技术统一安全保护策略,通过建立计算机审计电子数据集中管理平台,实现审计工作办公内网与外部公网分离、审计工作环境与个人计算机终端分离,逐步实现审计人员个人计算机审计电子数据按需携带向零携带转变,最终实现计算机审计电子数据实时在线与安全受控。
4 实施步骤
企业计算机审计电子数据安全保护工作是一项长期而艰巨的任务,不可能一蹴而就。在管理上,需要企业高度重视计算机审计电子数据安全保护工作,一方面要给予这项工作统一领导和各种资源的支持,另一方面审计人员要不断提高信息安全保护意识;在技术上,要与时俱进,采用先进的信息技术手段,有步骤、有计划地逐步开展。
4.1 审计数据集中管理,个人历史数据清零
利用企业现有软件硬件资源,创建审计数据集中统一管理存储空间,采用企业邮件域认证方式,按照单位审计人员授权访问;审计人员自行整理个人计算机审计电子数据,按照个人权限上传至统一管理存储区域;利用专用存储介质数据清除工具对审计人员个人计算机硬盘逐一进行清理;实现审计人员个人计算机审计电子数据集中管理,个人计算机历史审计数据清零。
4.2 审计网络环境分离,审计数据按需携带
针对审计工作以企业办公内网环境为主,需要借助企业外网查找资料的特点,为审计人员公网应用配发个人上网本;实行审计人员个人计算机在办公内网专用,个人上网本在公网环境专用;在审计项目开展前,为审计人员个人计算机装载系统软件,并按照审计项目需要装载相关审计数据;在审计项目结束后,利用专用存储介质数据检查工具对审计人员个人计算机和上网本使用情况进行检查,确保按照要求使用;实现审计工作内网应用和外网应用分离,审计数据按需携带。
4.3 审计工作环境分离,审计数据实时在线
借鉴先进技术应用实践经验,建立企业审计电子数据管理平台,采用统一的信息技术安全保护策略,通过企业邮件域认证登录个人移动办公桌面;采用云技术为审计人员呈现个人办公系统软件环境,所有审计工作将在审计电子数据管理平成,审计人员个人计算机将不再存储任何审计相关数据;利用专用存储介质数据检查工具对审计人员个人计算机和上网本定期进行数据存储检查,确保介质审计数据零存储;实现审计工作环境与个人计算机终端分离,审计数据实时在线。
5 主要成效
结合企业计算机审计工作实际,通过虚拟化等技术手段,建设审计电子数据管理平台,采取计算机审计电子数据集中管理、审计办公桌面集中管理、审计应用软件统一管理和信息安全策略集中管理等具体措施,最终实现审计工作环境分离、审计数据实时在线,从而实时有效地进行计算机审计电子数据安全保护。
5.1 实现电子数据集中管理
集中管理审计电子数据,提供数据多种分类和检索方式,审计人员根据分配的权限、关键字、文档类型、提交时间等快速定位所需文档,为深入发掘审计电子数据价值提供支撑,为审计管理和审计项目工作提供丰富有效的数据资源。审计电子数据管理平台,采用经国家相关安全部门认证的数据加密技术和手段,通过数据加密存储、加密传输、加密备份和数据访问控制机制,全面保障数据的安全性,实现数据的全生命周期管理。
5.2 实现办公桌面集中管理
采用云计算和虚拟化技术,提供标准的、灵活的、可扩展的办公桌面环境,通过集中配置和统一分配审计办公桌面,提高审计办公资源申请、配制、获取、维护与收回清理的工作效率,同时服务器、存储、网络等资源能得到更加充分的利用。审计人员可以快速获得所需办公桌面,系统严格控制,实现审计工作数据与个人本地终端完全分离,且工作状态自动保存,可从任何地点重新接入和恢复。
5.3 实现应用软件统一管理
集中管理OA系统、Office等办公软件,审计管理系统、财务辅助审计系统等审计软件,以及FMIS、ERP等其他专业软件,统一配置到审计人员办公桌面。审计人员还可以根据需要,申请所需的其他应用软件,经审批通过后集中配置、统一分配到办公桌面,满足审计人员工作需要,提高审计人员的工作效率,提升信息人员的运维水平。
5.4 实现安全策略集中部署
在虚拟桌面、办公应用、审计数据3个层级,集中部署管理防病毒软件、办公应用软件和数据加密管理软件等,通过一次性集中配置,到所有审计办公桌面,实现桌面安全、应用安全和数据安全,建立全面的审计办公和电子数据三级安全防护体系,提升审计办公和审计电子数据的安全保护能力。
6 总 结
企业计算机审计电子数据安全保护工作是一项系统工程,需要技术和管理并重,在将计算机审计电子数据安全保护纳入企业保密管理工作范畴的同时,要建立企业个人计算机审计电子数据集中管理制和个人计算机存储介质安全清理检查制,定期开展计算机审计电子数据安全检查工作,将检查结果定期予以公布,并将计算机审计电子数据安全保护工作情况纳入绩效考核,全面提高计算机审计电子数据安全保护能力,为企业内部审计计算机审计工作提供有力保障。
主要参考文献
[1]审计署企业审计司.企业计算机审计论文集[C].北京:中国时代经济出版社,2012.
