【发电技术】信息安全环境的治理与调整

随着我国经济建设的快速发展,企业办公和日常生活已离不开互联网络的支撑.但是,部分企业员工对企业网络信息安全环境意识不强,并随心所欲地在企业内上网、聊天和办公等。2013年美国中情局前职员爱德华·斯诺登爆料“棱镜”窃听计划后,中国无论是国家层面还是企业乃至个人层面对网络信息安全环境都上升到一个新的认识高度,积极加强自身的信息安全环境,以抵御外部非法窃听和攻击行为。

IDS爱达:圣诞或令销售靓丽 美元周五将反击

华润电力江苏分公司(简称江苏公司)的信息系统安全以等级保护为核心思想,建立科学的信息安全保障体系;通过等级保护的建设,全面识别公司业务系统在信息安全技术层面和管理层面的不足与差距,充分借鉴国内信息安全实践和成熟的理论模型,设计合理的安全管理措施和技术措施,通过建设实践,建立起符合内部需要和外部监管的信息安全保障体系。依据国家信息安全等级保护政策及技术标准,江苏公司开展的公司信息安全环境的架构设计、治理以及调整工作,取得了较好的成效。
企业当前信息安全环境架构及不足
现有架构分析

江苏公司网络采用核心层和接入层两层架构。Cisco6509设备是整个网络的核心设备,下连16台业务交换机,交换机之间互联链路除了Cisco2960-s-18设备外均为千兆链路。
四台cisco 2960(14-15)设备部署在25楼,供该楼层部门使用,其余设备部署在33楼机房,供其他部门使用。cisco 3560设备主要负责连接服务器系统(门户电子商务系统、OA系统、人力资源系统、物资系统、联储系统、财务系统、项目管理系统、燃料系统等),3560下连的2960负责连接服务器(DNS服务器、考试系统服务器)。具体情况如下图所示:
安全问题分析
通过上图可以看出,公司拥有VPN设备及技术,实现了数据安全的通信网络数据传输完整性保护和网络安全的通信网络数据传输保密性保护。但是,公司缺失通信网络安全审计,即对网络中的网络安全设备运行状况、网络流量、用户行为等进行日志记录的安全审计缺失。

公司拥有一定恶意代码防护和入侵防范的能力,但是,公司缺失完整的网络结构体系和访问控制能力,同时缺少对边界安全设备的安全审计功能。
公司缺失主机和应用安全的身份鉴别功能等,缺失主体客体的标识和强制访问控制规则设置和实现。对用户在网络、主机、应用全审计,以确保系统数据完整保护和保密及程序可信执行保护等。
公司在管理体系上缺乏明确的信息安全管理组织机构,没有明确信息安全相关岗位的具体职责;在管理制度上,未建立明确的信息安全原则、方针、总体策略,缺乏安全管理框架;在信息安全人员方面,未建立明确的信息安全三大员,没有明确信息安全相关的人员考核、入职、离职等管理;公司已有管理制度覆盖了少部分系统建设和系统运维的信息安全管理,还需要在整体框架内进行补充,在具体操作层面上进一步细化。
信息安全环境架构治理与调整
通过上述分析,公司的信息安全环境设计就是基于安全域的划分,在此基础上,实现域与域之间的安全隔离,同时,做好域自身内部的安全加固,使得域无论内外的非法攻击都不可能打破域的安全设计。另外,安全策略是基于逻辑和抽象的方面来实现信息系统安全的,是基于硬件来实现信息安全的另一大重要手段。
网络结构上划分为四个安全域:核心接入域、安全管理域、终端接入域和应用管理域。做到边界和安全管理的清晰化、明了化和结构化。
在各个域的边界加入防火墙来实现基于硬件角度上的区域划分和安全管理以及控制。
加入大量安全控制、检查和防御设备:入侵检测设备、防火墙、防病毒网管、web七层防火墙、上网行为管理设备、危险发现设备、综合审计设备和堡垒机设备。
便于网络安全管理域管理整个网络并可以及时发现网络出现的故障。在安全管理服务器上装载网络管理软件、安全管理平台、梭子鱼防垃圾邮件网关、日志审计软件和终端管理软件来实现对网络安全信息安全控制处理。
公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
为保障信息安全系统,可以在发生故障和被攻击以后进行有效的追溯,时间的准确和一致性将会变得非常重要,所有的事后追踪和分析都需要基于准确的时间。
数据安全传输是信息系统安全环境的重要一环。基于VPN的加密数据传输有效保证数据的源认证、私密性和完整性。重要的企业内部数据在传输中基于VPN的秘钥来加密和解密,man-in-middle攻击和数据窃取都是不可行的。所以VPN的应用有效地解决了企业内部数据传输的安全性,并且相对于专线来说VPN的性价比更加好。建立的架构遵循分公司与各个项目公司之间的访问和数据传输以及数据备份都是通过VPN来实现;同时,与深圳控股公司总部的数据交流也是通过一条专用的VPN来实现。
海外风险与安全基础知识,海外留学或移民需知,出国前的必修课:
对于无线网络,无线的接入和无线AP设备自身的安全一直是无线安全信息环境重点关注的。公司采用AC集中控制、集中监控和策略集中下发等模式组建无线局域网络环境。这个模式的好处是当AP设备被盗窃时,AP脱离本无线环境时,AP里的配置将会在一定时间内自动删除,确保了他人无法暴力破解无线AP。
企业信息安全环境组建
信息系统安全是信息系统服务质量的保障。并且,网络主机安全系统应当融于信息网络服务系统之中,它的建设与维护应当与信息网络主机系统的建设和维护保持一致,遵循安全系统化流程的方法。网络安全流程就是应用系统工程建设和维护网络安全系统的规范化的规章制度以及一系列的过程保障体系。
信息安全系统工程应该与被建设的系统特性紧密结合,工程环节与系统生命周期保持同步,安全系统的生命周期也基本如此。安全系统工程典型的基本环节包括信息系统安全需求分析、安全系统设计、安全系统组建、安全系统认证、系统安全运行维护和安全系统改造等。
安全的Internet接入:企业员工网络办公、查找资料、收发邮件和对外联系业务等,都需要通过互联网来实现,这种信息的交流随时随地及时和持续发生。因而对于企业来说,内部局域网络和外部互联网络的接入点的安全性是非常重要的。通过采用防火墙的策略控制以及NAT策略映射来实现节点的安全是信息安全环境的有力保障。
入侵防御系统:系统安全由IPS组成。企业在互联网流量汇聚的出口处部署入侵防御系统,它可实时监控内网中发生的安全事件,使得管理员及时作出反应,并可记录内部用户对Internet的访问,管理者可审计Internet接入平台是否被滥用,同时可以抵御常见的入侵攻击等。
防病毒系统:企业的防病毒系统是由网络出口处的防病毒网关和内部各个服务器与终端上的防病毒软件共同组成一道坚固防御城墙,并且抵御恶意代码等。

任天堂启91cmm动付费网络服务

网页七层应用的防御系统:企业必须在出口位置部署相应的web七层防火墙,通过其设备可以防御和预警绝大部分网络中常见的http、https和嵌入式等网页攻击。管理人员应及时更新wap的病毒库。
上网行为的监控和控制系统:企业在互联网区域部署上网行为审计设备来对企业内部人员的办公上网行为进行监督和控制。对于员工访问企业规定的非法和非业务网站行为进行制止;管理员也可以为了保证视频会和公共网速对一些下载软件进行整体限定。
VPN加密系统:企业可建立虚拟专网VPN,主要为企业移动办公的员工提供通过互联网访问企业内网OA系统,同时为企业内网用户访问总、分公司的内部业务系统提供VPN加密连接。
定期的安全加固:企业管理员应该定期利用漏洞扫描设备和应用监测设备来对网络设备、主机设备进行渗透测试,及时发现信息系统内部的漏洞并加以补救。对主机应用关闭不需要的协议和端口,删除长期不使用的账号和共享账号。
事后的审计与追溯:企业部署审计设备、日志收集设备并且与时间同步设备联动在一起形成一个信息安全可以追溯的环境。对于一些已经发生的攻击和入侵,以及一些人员的非法操作,能够有效追踪。
人员信息安全管理制度:企业需要制定一份相应的信息安全管理制度。对人员的上网、操作系统、安装和卸载软件等行为作出规范。再则,建立起一套行之有效的应急制度来解决突发事件对企业本身的影响等。
系统备份:企业应制定备份策略,定期对一些重要数据进行备份。
从实际的角度出发,总结已有的信息安全环境,学习当今前沿的信息安全技术,并在国家法规政策的指引下建立以一套适合江苏公司的信息安全环境的网络系统架构和人员管理制度势在必行。
长按识别二维码,关注我们
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

高科技企业的员工泄露机密,不仅会损失商业竞争力,更会波及供应链的利益,最终会损害企业信誉和形象。所以要加强各方面的控制措施,特别是提升员工和供应商的安全保密意识教育。

猜您喜欢

信息安全培训行业呼唤互动式的在线课程
勿让新员工成为信息安全短板
网络信息安全小曲
春节期间汽车异地出事故 三大问题提前支招
OPERABALL MUSICINTHEMOUNTAINS
网络安全宣传之电信诈骗防范

[industry technical specification] provisions on strengthening the management of customer information for clients of securities and futures institutions, such as client terminal information (2013)

发布
主要内容
参考链接
font-family:华文楷体”>
数据库注入攻击是让人头痛的事,目前尚无成熟的第三方技术来有效防范,重点在程序员的安全意识和安全代码行为。

本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失,包括但不限于因有关内容不准确、不完整而导致的损失,本公众号不承担任何法律责任。如有问题请反馈至[email protected]
点击”阅读全文”了解详情
微信扫一扫关注该公众号
安全月安全生产教育动画片——小李的一天
Release
primary coverage
Reference link

数据泄露如何破解?专家:应加强网络平台信息安全管控
实达智能POS助推高速公路拥抱移动支付时代

Font-family: Chinese italics >

信息安全问题频发 打击”黑产”亟待行业协同

The public number is for reference only. The public shall not be liable for any loss resulting from the direct or indirect use of the contents of the public, including but not limited to the loss of accuracy or completeness of the contents. If any problem, please feedback to [email protected]
Click read the full text for details
Sweep the concern of the public, WeChat

信息安全是金融业信息科技的永恒主题,信息安全工作是一个系统工程,需要决策层、管理层、技术层通力配合,信息安全重在预防,等出了问题再进行补救已经造成不良影响。

猜您喜欢

实地了解三扬科技APS信息系统 五金企业寻求信息管理帮助
员工安全培训帮助实现终端安全以及法规遵循
依法管网与网络安全意识
婚恋心理:4种方法忘掉分手的臭男人(图)
PLAZA108 CCEC
黑客社交攻防大挑战

Self controlled network security the Great Wall 2016 information security industry memorabilia

2016年已经马上就要过去了,站在2016年的年末,让我们回首我们的2016。这一年,对于信息安全产业,是成长的一年,也是丰收的一年。今天让我们回顾一下信息安全产业2016年大事记。

卷皮用平价电商华丽转身,如何在消费升级大潮中逆生长?

1、联盟标准发布|可信华泰作为组长单位参与制定TSB标准
2016年3月18日,中关村可信计算产业联盟(以下简称“联盟”)面向会员发布《可信计算体系结构规范v1.0》、《可信平台控制模块规范v1.0》、《可信软件基规范v1.0》和《可信服务器平台规范v1.0》。此外《可信存储系统架构规范v1.0》和《可信计算机评估规范v1.0》也将于近期面向会员发布。
TPCM等6个联盟标准工作组成立于2015年11月,牵头单位分别是华大半导体(TPCM)、可信华泰(TSB)、浪潮(可信服务器)、中安(可信存储)、全球能源互联网研究院(体系结构)和北京工业大学(评估),可信华泰作为可信软件基小组(TSB)的组长单位,与各组员单位通力合作,结合近年来可信计算技术的最新进展和产业化过程中的应用验证,对原有成果进行了补充、修改和完善。经过近4个月的反复论证,并征求沈昌祥院士等有关专家的意见,最终形成了TSB标准草案。
后续,可信华泰将配合联盟不断对规范版本进行迭代完善,并积极争取联盟标准转化为国家标准。
2、信息安全蓝皮书启动仪式圆满成功
4月14日,由中国管理科学学会、中关村可信计算产业联盟、南京敏捷企业管理研究所共同策划并正式启动了《信息安全蓝皮书·2016中国信息安全发展报告》的编纂工作。该蓝皮书将由社会科学文献出版社出版发行。北京可信华泰信息技术有限公司副总经理孙瑜被聘请为信息安全蓝皮书编委会编委。
3、微软强制Windows10的硬件必须使用可信平台2.0
7月28日,微软要求其PC制造商应当在 Windows 10 计算机中加入被称为TPM(Trusted Platform Module,可信平台模块)2.0的硬件级安全特性。TPM 2.0特性将对用户有利,它在保护PC敏感信息方面做得更好。
发言人说,微软正与硬件合作商协同合作,在多设备上部署 TPM 2.0。TPM 2.0能够最大化 Windows Hello 和Passport的的安全能力,并帮助保证使用DRM的4K流媒体视频安全。——”未来,更多关键特性将基于它。”
4、中办、国办印发《国家信息化发展纲要》
7月27日,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,要求将信息化贯穿我国现代化进程始终, 加快释放信息化发展的巨大潜能,以信息化驱动现代化,加快建设网络强国。《纲要》是规范和指导未来10年国家信息化发展的纲领性文件。
5、加强国家网络安全标准化意见发布:涉密网络等要制定强制性国标
8月22日,中央网络安全和信息化领导小组办公室公布了《关于加强国家网络安全标准化工作的若干意见》。
意见指出,网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推动网络治理体系变革方面发挥着基础性、规范性、引领性作用。
意见指出,要加快开展关键信息基础设施保护、网络安全审查、网络空间可信身份、关键信息技术产品、网络空间保密防护监管、工业控制系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、互联网电视终端产品安全、网络安全信息共享等领域的标准研究和制定工作。
按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。优化完善推荐性标准,在基础通用领域制定推荐性国家标准。视情在行业特殊需求的领域制定推荐性行业标准。原则上不制定网络安全地方标准。
此外,意见还指出,推动将自主制定的国家标准转化为国际标准,促进自主技术产品“走出去”。结合我国产业发展现状,积极采用适用的国际标准。
6、第三届国家网络安全宣传周开幕|祝贺沈昌祥院士获得2016年网络安全杰出人才
9月19日上午,网络安全先进典型表彰仪式在武汉国际博览中心会议中心举行,19名网络安全杰出人才、优秀人才及优秀教师受到大会表彰颁奖。据悉,今年网络安全杰出人才奖励高达100万元。
7、【新华社】中国重启可信革命 为网络安全构建“免疫系统”
国内网络安全建设再度迎来跨越式发展新机遇。11月3日,在“中国可信计算技术创新与产业化论坛(2016)”上,中国工程院沈昌祥、倪光南等多位重量级院士和相关政府部门负责人表示,面对日益严峻的国际网络空间斗争新形势,过去那种传统的“封堵查杀”被动防护已经过时,只有重建主动免疫可信体系才能有效抵御网络攻击,实现中国从网络大国向网络强国的转化。
8、十二届全国人大常委会通过网络安全法,将于2017年6月1日实施
十二届全国人大常委会第二十四次会议11月7日上午经表决,通过了《中华人民共和国网络安全法》。
【网络安全法有6大亮点】
全国人大常委会法工委经济法室副主任杨合庆介绍,网络安全法有6方面亮点:明确网络空间主权的原则;明确网络产品和服务提供者的安全义务;明确网络运营者的安全义务;完善个人信息保护规则;建立关键信息基础设施安全保护制度;确立关键信息基础设施重要数据跨境传输的规则。
9、《国家网络空间安全战略》今天发布 明确9方面战略任务
12月27日上午,国家互联网信息办公室发布了《国家网络空间安全战略》,这是我国首次发布关于网络空间安全的战略。《战略》阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。
微信扫一扫关注该公众号
2016 is about to end, at the end of 2016, let us look back at our 2016. This year, for the information security industry, is a year of growth, but also a year of harvest. Today, let’s review the information security industry memorabilia in 2016.
1, | alliance standards issued Huatai credible as head of units involved in the development of TSB standard
In March 18, 2016, the Zhongguancun trusted computing industry alliance (hereinafter referred to as the alliance) for members released trusted computing architecture specification v1.0, trusted platform control module specification v1.0, v1.0 and the specification of trusted software based trusted server platform specification v1.0. In addition, the trusted storage system architecture specification v1.0 and trusted computer evaluation standard v1.0 will also be released in the near future for members.
网络信息安全实验室
TPCM 6 Union standards working group was established in November 2015, the lead unit are China Semiconductor (TPCM), (TSB), Huatai credible wave (trusted server), ANN (trusted storage), global energy Internet Research Institute (Architecture) and the Beijing University of Technology (assessment), Huatai credible as credible software based group (TSB) the head of the unit, together with the members of units, combined with the application of the latest developments and the industrialization process of trusted computing technology in recent years the results of the original for the supplement, revise and perfect. After nearly 4 months of repeated demonstration, and seek advice from experts such as Shen Changxiang, and ultimately formed a draft TSB standard.
Follow up, credible Huatai will continue to cooperate with the regular version of the union to improve the iteration, and actively strive for the Union standard into national standards.

我国信息安全认证接轨国际 征信信息安全有章可依

2, information security blue book launch success
By April 14th, Chinese Institute, management science Zhongguancun trusted computing industry alliance, Nanjing Agile Enterprise Management Institute jointly planned and officially launched the information security Blue Book – 2016 China information security development report of the compilation. The book will be published by the social sciences academic press. Deputy general manager of Beijing Huatai credible information technology Co., Sun Yu was hired as the information security Blue Book editorial board.
3, Microsoft forced Windows10 hardware must use trusted platform 2
In July 28th, Microsoft asked its PC manufacturers should be added to the Windows 10 computer called TPM (Trusted Platform Module, trusted platform module) of the hardware level security features of 2. TPM 2 features will be beneficial to the user, it is better to protect sensitive information in the PC.
The spokesman said that Microsoft is working with hardware partners to deploy TPM 2 on multiple devices. TPM 2 is able to maximize the security capabilities of Windows Hello and Passport, and help ensure the use of DRM 4K streaming video security. – in the future, more key features will be based on it.
4, the office of the State Office issued outline for the development of national informatization

登录核与辐射安全公众沟通多媒体信息平台

In July 27th, the office of the CPC Central Committee and the State Council issued the outline of the national development strategy, request information through the process of modernization in China has great potential, accelerate the release of information, using information technology to drive the modernization, accelerate the construction of the network power. The outline is a programmatic document for regulating and guiding the development of the national informatization in the next 10 years.
5, strengthen the national network security standard opinion released: the secret network to establish mandatory national standard etc.

August 22nd, the central network security and information technology leading group office announced the opinions on strengthening the standardization of national network security work.
Comments pointed out that network security standardization is an important part of the construction of network security system, in the construction of secure network space, promote network governance system reform plays a fundamental and normative, leading role.
Comments pointed out that we must speed up the development of critical information infrastructure protection, network security, network space, trusted identity key information technology products, network space security supervision, industrial control system security, data security, personal information protection, smart city security, networking security, a new generation of communication network security, Internet TV terminal products security and network security information sharing standards in the field of research and development work.
In accordance with the deepening of the standardization work of the requirements of the reform program, integrated the mandatory standards, mandatory national standards in the national critical information infrastructure protection, secret network etc.. Optimize and improve the recommended standards, the development of basic national standards in the field of basic recommendations. Depending on the situation in the field of special needs of the industry to develop recommended industry standards. In principle, do not develop local standards for network security.
您组织中的社交网络和个人博客政策如何?员工知晓么?会遵守吗?
In addition, the Opinions also pointed out that to promote the development of independent national standards into international standards, promote independent technology products to go out. Combined with the current situation of China’s industrial development, the adoption of international standards.
6, the third national network security propaganda week | congratulate academician Shen Changxiang received the distinguished 2016 network security personnel
On the morning of September 19th, the network security advanced typical ceremony was held at the Wuhan International Expo Center Conference Center, 19 network security outstanding talent, outstanding teachers and outstanding teachers were commended by the general assembly. It is reported that this year, network security outstanding talent award of up to 1 million yuan.
7, [Xinhua] China to restart the credible revolution for network security to build the immune system
Domestic network security construction ushered in a new opportunity for leapfrog development. In November 3rd, Chinese trusted computing technology innovation and industrialization Forum (2016), China Academy of engineering, Shen Chang Xiang Ni Guangnan and other heavyweight academicians and relevant government departments responsible person said, in the face of the new situation of international cyberspace struggle is increasingly serious, past the traditional block killing passive protection has been out of date, only reconstruction active immunization of trusted system in order to effectively defend against cyber attacks, to achieve China transformation of the network from the network power to power.
8, the Standing Committee of the twelve National People’s Congress passed the network security law, will be implemented in June 1, 2017
The twelve session of the Standing Committee of the National People’s Congress on the morning of November 7th, the twenty-fourth meeting of the vote, passed the People’s Republic of China network security law.
Network security law has 6 highlights
Deputy director of the Standing Committee of the NPC Law Committee of the law office Yang Heqing introduction, network security law has 6 highlights: clear network space the principle of sovereignty; security obligations clear network products and service providers; security obligations clear network operators; improve the personal information protection rules; the establishment of critical information infrastructure security protection system; the establishment of key information the important infrastructure in cross-border transmission of data rules.
9, the national cyberspace security strategy today issued a clear strategic tasks in 9 areas
December 27th morning, the state Internet Information Office issued the national cyberspace security strategy, which is China’s first published on the Cyberspace Security strategy. Strategy expounded China’s important position and proposition on the development and security of cyberspace, and made clear the strategic principles and main tasks. It is a programmatic document guiding the national network security work.
Sweep the concern of the public, WeChat

SQL注入攻击已经存在有10多年了,我们仍无法彻底解决它,问题在于这类攻击不是传统的网络安全系统如防火墙、入侵检测和防御系统等可以有效防范的,它更多是应用安全的范畴,需要将安全内置进整个系统开发生命周期当中。

猜您喜欢

漏洞分析:一个Markdown解析器的持久型XSS漏洞
信息安全年会关注的焦点是信息安全意识
提高信息安全保密意识防范军事间谍活动
2016年英国最奇葩的房子住里面超酷!
BAJIBAJI RUSSIANCUPID
互联网金融移动APP与虚假WIFI的信息安全教训

【鹏越 工控安全】专题系列(106)——基于工控全生命周期安全的冷思考

1工控生命周期的安全之殇
1.1工控系统全生命周期
工控系统生命周期包括设计阶段、选型阶段、测试阶段、建设阶段、运行阶段、检修阶段以及废弃阶段。如图1所示。

别晒了!小心你的信息已被泄露!

当从信息安全的角度去考虑整个工控系统安全的时候,到底信息安全的因素或者要素在其中应该占据怎样的位置,其实是我们应该思考的问题。1.2工业信息安全逐步引起关注工业领域中我们以前经常会提到功能安全,功能安全的标准等各方面在国内都发展得比较健全,而相对于功能安全而言,在整个工业领域中使用相关信息安全技术来保障生产系统安全的企业相对比较少,相关的技术应用还不是很普及。然而,随着两化融合的深入,“中国制造2025”等国家战略的启动,IT技术越来越多地被应用到工业控制系统中,并且已经和工程技术进行了深度的融合,成为提高工控系统效率的重要技术手段,这使得信息技术与工程技术融合的趋势越来越明显。但遗憾的是,我们涉足信息安全领域却并不是很深。伴随着信息技术与工程技术的深度融合,专门针对工业控制系统的攻击行为已经给实际的生产和业务带来影响,如震网病毒事件、乌克兰电力攻击事件。从攻击手段的变化看,内外网结合的渗透技术与社工手段的结合、生产工艺过程与攻击过程的结合、漏洞利用与后门利用的结合,成为工控安全面临的主要安全挑战。
1.3工控系统全生命周期中的安全缺失
在整个工控系统生命周期当中,目前仍然是以功能实现为主要的考虑方向,缺乏相关的信息安全要求。从设计阶段看,因为缺乏相关的安全性要求,在实际设计过程中就不会考虑安全性与业务的融合。从已看到的工控系统的漏洞及安全事件分析看,前期设计上安全性考虑的不足,使安全隐患伴随系统的出厂及客户现场的部署被引入到了实际生产过程中。从信息安全技术与工控系统融合的角度考虑,现阶段信息安全的技术手段和实际工控系统本身对安全的需求还存在差异,已有的这些信息安全的技术手段,加上工业控制系统,就是工业控制系统信息安全,从内涵到外延,其实在现阶段的工业控制系统环境中和传统的工业控制系统环境是存在较大差异的。

开源Web软件安全项目的一个调查显示:第三方商业软件安全问题严重,开源软件做得很好。目前不少商业应用软件也开始了尝试进行开放战略,开源协议让众多的合作者及时发现和修复安全问题,我们应该积极拥抱开源安全计划。
设备在上线的时候,都要进行相应的功能符合度测试,如系统在上线之前必须达到运行168小时稳定运行的要求。但在验收环节中缺乏相关的信息安全要求,相关的风险有可能会引入到工控系统中。一些行业如电力系统也在逐步考虑从上线验收测试阶段融入相关的信息安全要求。验收环节中引入信息安全的要求,可以在一定的限度内保障上线的工控系统的安全性。从运行阶段看,工控系统因在设计阶段缺乏相关安全性的设计,在整体系统上线后,缺乏有效的防护和监测技术手段。系统的脆弱性一旦暴露,在缺乏有效防护时,攻击会渗透到系统内部;在缺乏有效的监测技术手段时,就会出现“无痕”攻击,无法有效溯源。运维过程当中是有很多要求的,比如U盘、移动硬盘的使用都是有规范的,但是如何执行,如何用有效的手段监督执行,现阶段比较缺乏。在系统生命周期结束后,如何有效地把剩余信息进行保护,如一些关键设备的配置文件等内容的保护,从现阶段的废弃系统的处置方式看,仍然缺乏手段,这会导致相关的工艺、配方和核心技术内容被窃取等。
2工控安全生态圈亟待形成
工控安全生态环境的建立,需要实现跨领域、跨行业的多方位合作,包括国家、行业监管部门、工业控制系统企业(用户)、工业控制系统提供商、信息安全提供商等。
工控系统用户主要在运营方面做出努力:
(1)制定人员、系统管理制度及规范,明确职责、提高安全意识;
(2)建立基于工控系统生命周期的安全风险监测、管控及应急响应体系;
(3)系统上线前安全检查及检修阶段的安全风险再评估及整改……
国家/行业监管部门应该充分发挥监管工作:
(1)政策、法规、标准、规范;
(2)行业安全监管及安全检查;
(3)基于行业的工控漏洞发布机制、建设并维护漏洞信息共享平台……
信息安全厂商和工控系统厂商则主要负责服务方面的工作。从信息安全厂商的角度来讲,应开展:
(1)工业控制系统安全相关的技术研究、产品开发及安全解决方案的提供;
(2)提供工控系统脆弱性监测、分析及风险评估服务,更新行业漏洞库;
(3)协助国家行业监管部门进行安全检查或协助用户进行安全整改。
从工控系统厂商的角度来讲,应开展:

当禁止浪费之风刮向网络安全行业
(1)工控系统脆弱性的发现、分析及解决方案(安全补丁等,需经过指定第三方验证)提供;
(2)支持行漏洞库的漏洞信息更新;
(3)为工控业用户进行系统安全整改提供技术支持……应该说目前的生态结构正在如图3所示的循环中积极探索。

网购信息泄露引专家卖药 嘉兴特大电信诈骗案宣判(组图)

图3
3冷静思考,积极应对
3.1产业热度持续增温
工控系统信息安全市场这几年很热,但相关厂商获得的收益其实是相当有限的,我们认为有几方面原因,比如说,很多行业,工控安全厂家进不去,门槛摆在那里。又比如,虽然有实际的政策引导存在,但工业企业的业务需求并不紧迫,毕竟以前工厂里并没有发生过工控系统信息安全事件。资本层面近年来对工控系统信息安全非常关注,但是究竟这个行业将会为资本市场带来多少价值目前还没有完全体现出来。3.2实际应用仍然以边界为主工业控制系统一直都主要是以边界防护为主,但我们看到像发改委的14号令(国能安全36号文),对发电控制系统有了综合防护的要求,体现了从边界防护单纯的要求向纵深防护的发展方向。另外一个发展的方向就是内生安全,从边界防护到工业控制系统自身的内生安全,这也是一个重要的发展方向。3.3 IT与OT融合的方向发展IT系统必须与OT系统进行融合,如果不进行融合的话,那么IT系统想做到工业控制系统里面,对工业控制系统应用有一些帮助的话,也会比较困难;同样,工业控制系统里面的数据如果若真能起到提升自身安全防护能力的作用,它也需要和安全系统进行深度的适配。3.4他山之石可以攻玉德国弗劳恩霍夫协会之前提出了几点关于德国未来发展的关键点:云安全。云计算是信息技术资源的下一次革命,硬件和软件向云端转移将成为新的信息技术范式。借助云计算,企业能够大幅降低成本。由于许多潜在用户对云安全有所顾虑,导致拒绝使用云技术,云安全研究势在必行。其研究重点应包括安全规则建模、用于安全规则建模和可信评测的衡量标准、云端环境的认证信息管理、云计算中心威胁评估模型、安全虚拟环境机制、隐私保护技术、信任与策略管理、固定设备和移动设备通过云设施的安全同步、高度敏感信息的云利用模式和方法、云端恶意软件的识别和处理、云服务供应商审核控制机制等。信息物理融合系统(CPS)。信息物理融合系统是嵌入式系统,借助传感器或制动器来评估和储存信息,通过网络连接和人机接口实现交流。信息物理融合系统用于数据和信号加工,已广泛应用于航空航天、汽车制造、化工、能源、医疗卫生、生产及自动化、物流、终端服务等领域。随着其性能的增强和联网程度的提高,迫切需要新的技术和方法满足它在安全和保护上的需求。其研究重点包括网络化智能交互技术的安全、特殊密码程序和安全技术、软硬件结合的安全机制、受到攻击时的紧急应对、安全等级标准检测方法、分布式智能传感机制等诸多问题。数据保护和隐私管理。个人信息非法交易问题日益凸显,许多大公司,如银行和通讯公司,都遭遇到了这样的问题,这不仅损害公司形象,而且导致经济损失。个人信息保护已成为科研与社会的核心话题。能源生产和供应。能源互联网是极其重要的基础设施,智能电网的发展要求必须注意新的风险。从电力生产者、储存者、电网到终端用户的相互联系,再到管控,智能电网意味着各环节之间存在更多的交流,也会产生更多的未知风险。该领域的研究重点是实现智能电网的建立和保证智能电网的安全。预警系统。随着网络的发展,各种恶意软件不断出现,信息系统运营者已很难及时告知新的威胁并予以保护。使用信息预警系统及早应对网络意外情况至关重要,在这方面还有很多问题有待解决,例如新兴应用领域预警系统、僵尸网络问题。信息技术取证。网络作案者会留下痕迹。信息技术取证的任务就是发现、确定并分析这些痕迹。主要研究任务包括:研发可针对各种媒体类型自动高效识别禁止内容的程序以及在删除信息后从信息碎片中识别禁止内容的程序;对大数据快速分类以及在大数据中快速自动检索图片和视频内容的办法。交通信息技术安全。越来越多的汽车功能通过软件实现。汽车联网并且车联网将逐渐对外开放,既会给汽车制造商、供应商和服务商带来许多安全问题,又带来了新市场和新机遇。综上所述,这是一套针对一个国家在工业发展过程当中他所需要具备的几方面的能力,我想中国也是可以借鉴的。3.5关注点与需求点功能安全应该是一个大安全。功能安全如何与工控信息安全融合?也就是说功能安全和工控信息安全之间有一个什么样的协调关系,可能是今后我们需要探讨的话题。在这个过程中,工业大数据、工业云的技术的应用都可以作为我们在故障诊断方面的一个很重要的输入,很多的工业现场中的故障问题,有些时候是本身的故障问题,有些时候是网络问题引发的。但这些问题与信息安全之间是否存在一定的关联关系,现有的信息安全技术如何与这些内容进行融合是我们需要思考和认真对待的。(本文来源互联网,原文根据王晓鹏在“互联网+工业大数据暨工控安全产业发展2016高峰论坛”中的报告整理)

江苏冬云荣获2016年度云计算最佳安全奖

(演讲者:王晓鹏)
温馨提醒:
现在关注“鹏越网络空间安全研究院”在对话框输入“工控”、“培训”、“CTF” 、“物联网”等关键字,可以有相关的合辑内容推送,之后我们还会推出更多方便搜索和阅读的服务,敬请期待!
点击下方”阅读原文“获得更多资讯:
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

上市公司:安全事故披露普遍滞后,投资者、社区居民和社会公众等待着上市公司的权威公告,时间越长,舆情越可能往不可控的方向发展。

猜您喜欢

ITO厂商面临发展新商机 触摸屏应用火热
信息安全意识推广传播的必要性
网络安全公益短片之高级持续性威胁APT防范基础
第四批美丽宜居村镇示范名单天津2镇13村上榜
STAGEWHISPERS BANDDGUITARREPAIR
陆易Louis是知名的搜索引擎公司搜度SoDo公司的一名资深研发组长,看看他遇到了什么搜索算法问题,以及信息安全调查人员有什么发现。