時間:2023-10-10 10:43:28
導語:在工業網絡信息安全的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
網絡安全是一個較為系統的概念,網絡安全解決方案的可靠性是建立在集成網絡安全技術的基礎之上,由于受到各種各樣因素的影響而對眾多供電企業的網絡安全構成威脅。隨著現代科學技術水平的不斷提高,電網安全生產系統、電力調度監控系統以及用電營銷系統等已廣泛應用于供電企業中。應用信息網絡安全技術可確保各應用系統穩定可靠運行,有效提高各系統數據傳輸的效率,實現數據集中和數據資源共享[1]。但是,網絡信息中仍然存在較多安全問題,需要對其給予重視,提高計算機網絡信息的安全性并加強防護對供電企業的正常運行以及發展均具有非常重要的意義。
1地級市供電企業信息網絡存在的安全問題
1.1內網網絡結構不健全
現今,地級市供電企業的內網結構未能達到企業內網網絡信息化的良好狀態,其結構還不夠健全。地級市供電企業由于條件有限,對信息安全工作的投入并不多,使其存在較大的安全隱患,加上各項安全保障措施不到位,使得內網網絡缺乏健全性。但是,隨著營銷、生產、財務等各個專業的信息系統的上線投運,使得整個信息管理模式中較為薄弱的網絡安全系統成為最短板。
1.2職工安全防范意識不夠
要使網絡信息安全得到保障,就要提高地級市供電企業的工作人員的綜合素質。目前,地級市供電企業的工作人員具有技術水平參差不齊、缺乏安全防范意識的特點。年輕職員的操作能力不夠高,對突發事件的應對措施等相關知識沒有足夠的積累;而老齡職工又難以完全掌握網絡信息安全,跟不上信息化的更新腳步,對新型網絡技術的了解不全面等[2]。這也是地級市供電企業信息網絡安全中存在的問題,應當給予重視。
1.3網絡信息化機構漏洞較多
當前地級市供電企業的網絡信息化管理還不是一個完整的體系,其中各類系統的數據存儲、關鍵流程流轉等都是非常重要的環節,不能出現任何問題,但由于安全管理的漏洞較多,所承載的網絡平臺的安全性也較低,使信息管理的發展不具平衡性。針對現狀來看,計算機病毒、黑客攻擊等所導致的關鍵保密數據外泄是對地級市供電企業最具威脅性的安全隱患。雖然應用各種計算機準入技術和可移動存儲介質的加密技術可保障企業信息網絡安全,但是還存在操作系統正版化程度嚴重不足的情況[3]。由于被廣泛使用的XP操作系統在企業內已停止更新,導致操作系統的針對性攻擊越來越頻繁。一旦出現計算機網絡病毒,就會在企業內部的計算機中進行大規模傳播,從而為相對公開化的網絡提供了機會,導致計算機系統遭到惡意破壞,甚至系統崩潰。不法分子就會趁機盜取企業的機密文件,對供電系統的相關數據進行篡改,毀滅性地攻擊供電系統,嚴重時還會導致整個供電系統的大面積癱瘓。
2對地級市供電企業信息網絡安全的防范措施
2.1加強對網絡設備的管理
采用內外網物理隔離,在內網邊界設置入侵監測系統;在內外網邊界同時設置千兆硬件防火墻。對VLAN裝置進行優化,對局域網合理分割安全區域;對于VLAN之間的信息交換進行嚴格規劃,訪問控制列表須詳細規劃,對VLAN的合法訪問給予授權,對非法訪問則進行隔離,同時還要運用VACL優化訪問控制列表,使其安全性得到保障。入侵監測系統的配置可對利用常用端口的漏洞所實施的攻擊以及病毒進行防范。
2.2加強對服務器的管理
專用業務服務器的訪問權限較嚴格,其訪問精度須達到“終端級別”;采用VACL隔離無需相互訪問的服務器。仔細認真地整理和統計服務器中應用系統的使用對象及需開放的服務端口,并根據實際情況進行調整。逐一匹配IDS到開通的服務端口中,并對同一源地址、目的地址的連接次數進行限制,控制數據包的大小,監控對主機提供服務的端口,如果發現有攻擊行為就會自動連接到防火墻模塊。
2.3加強對終端設備的管理
設置北信源內網安全管理系統可對終端設備管理進行強化,從而保護內部資源與網絡的安全。這個系統是由移動存儲管理、文件保密管理、補丁管理和終端管理構成,終端管理系統可使桌面行為監管、準入控制、外設與接口管理、終端資產管理等功能得以實現。補丁管理系統是分析系統漏洞以及對流量進行控制,而文件保密管理和移動存儲管理是對文件、目錄、U盤、磁盤盒等進行保密管理。
2.4防火墻的攔截
防火墻被稱為控制逾出兩個方向通信的門檻,是對計算機網絡安全進行保護的一種技術措施,也是對網絡中的黑客入侵進行阻止的有力屏障。在電力系統殺毒軟件的基礎上再對防火墻軟件系統進行配置是安全性較高的措施,并且可以預防黑客或不法分子的入侵,對計算機網絡信息和系統的備份都具有重要意義,另外還可定期檢查備份,使其有效性得到保證[4]。防火墻系統由過濾防火墻、防火墻和雙穴防火墻組成。過濾防火墻是設置于網絡層的,它能夠實現路由器上的過濾。防火墻又稱應用層網管級防火墻,由服務器和過濾路由器組成,是目前最流行的防火墻。雙穴防火墻主要是對一個網路的數據進行搜集,并選擇性地將數據發送至另一個網絡中。在電力系統中合理、科學地配置防火墻可保障計算機信息網絡的安全性,同時對網絡之間連接的可靠性和安全性也具有重要意義。
2.5使用正版化的操作系統和應用軟件,并及時升級
使用正版化的操作系統和應用軟件具有專業有效的售后服務支持,可隨時請專業人員對電腦所出現的問題進行解決。另外,隨著人們對軟件功能要求和硬件升級的不斷提高,使用正版化的操作系統和應用軟件可隨時獲得安全升級,避免盜版軟件所帶來的安全隱患,有效防范企業隱私信息外泄。因此,地級市供電企業應使用正版化的操作系統和應用軟件,并及時進行升級,以使信息網絡的安全性得到提高。
2.6提高員工的綜合素質
地級市供電企業應提高全體工作人員的計算機網絡信息安全知識水平和技術水平,提高其計算機網絡信息竊密泄密的防護水平以及綜合能力。嚴禁將泄密的計算機和互聯網或其他公共信息網進行連接,在非泄密計算機或者互聯網中對機密文件進行處理,落實計算機網絡信息安全保密責任制,提高員工對網絡安全的認識[5]。還可設立安全保密管理系統,簽署保密協議,對供電企業的計算機網絡安全的管理與監督進行加強,定期對其安全性進行檢查。做好文件的登記、存檔和銷毀工作,對系統中的網絡信息安全隱患能夠及時發現并處理,從而保證地級市供電企業網絡信息的安全。另外,企業也應嚴格遵循相關的信息保密工作文件要求,防止外部侵害和網絡化所造成的機密泄露。
3結束語
關鍵詞:通信工程項目;安全監理
中圖分類號: U415 文獻標識碼: A
引言:20世紀80年代以來,以計算機和因特網技術為主的現代信息技術取得了突飛猛進的發展,為全球各個領域、各部門的工作帶來了深刻的變革。事實說明,信息與物質能源共同構成了企業乃至國家生存的客觀世界三大資源和要素,其對各行各業的生存與發展所起的重要作用決不亞于物質和能源。隨著現代信息技術的發展,作為IT行業排頭兵的通信企業在自身的信息網絡建設上也得到了長足的進步,其生產、經營都越來越強烈地依賴于企業的信息網絡。對網絡利用和依賴的程度越高,就越要求我們重視網絡的安全防護。尤其是隨著INTERNET/INTRANET技術的興起,當前的通信企業網已經不再是一個封閉的內部網,而逐步成為一個開放的、互聯的“大”網。
INTERNET技術應該說是一把雙刃劍,它為通信企業各部門的信息化建設、生產效率和服務質量的提高帶來了極大的促進作用,但是它也對傳統的企業安全體系提出了嚴峻的挑戰。由于計算機信息具有共享和易于擴散等特性,它在處理、存儲、傳輸和使用上有著嚴重的脆弱性,即很容易擾、濫用和丟失,甚至被泄漏、竊取、篡改、冒充和破壞,還有可能受到計算機病毒的感染,所以對于通信企業來說,構筑信息網絡的安全防線事關重大、刻不容緩。本文就當前通信企業的信息網絡發展現狀結合國內外信息安全技術發展的新動向,談談對通信企業信息網絡安全建設的一些心得和體會。
1.通信企業信息網絡面臨的主要安全威脅
縱觀近年來信息網絡安全的發展動態,當前通信企業信息網絡安全主要來自于以下三個方面的威脅:
1.1物理威脅
1.1.1建立嚴格的信息安全保障制度,制定完備的機房安全管理規章。這部分的手段包括妥善保護磁帶和文檔資料,防止非法人員進入機房進行偷竊和破壞活動,同時采取妥善措施抑制和防止電磁泄漏,主要可以采用兩類防護措施:一類是對傳導發射的防護,主要采取對電源線和信號線性能良好的濾波器,以減小傳輸阻抗和導線間的交叉耦合;另一類是對輻射的防護,這類防護措施又可以分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行防護和隔離;二是采用干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲,向空間輻射來掩蓋計算機系統的工作頻率和信息特征。另外,還要建立計算機信息系統安全等級制度、國際互聯網備案制度、發生案件報告制度等,定期監督檢查上述制度的落實情況。
1.2病毒威脅:
1.2.1系統的防護措施;建立全面立體的企業防毒和反黑網絡,對桌面、網絡和服務器進行全方位防護。
1.2.2采用穩妥的系統保護技術;系統的備份技術,采用先進的備份手段和備份策略來最大限度地保證系統信息在遭受破壞后的可恢復性。采用這三方面的技術,企業信息網才算是有了全面的安全——即通常所說的全面解決方案。這里的第一種技術與第三種技術與傳統的通信網防護措施基本相同,下面我們就第二種技術的具體實施作一說明。建立全方位的立體防毒反黑網絡。企業的計算機網絡通常有很多 PC機和不同的應用服務器,構建網絡防毒反黑系統時,應當對網絡內所有可能作為病毒寄居、傳播及受感染的計算機進行有效地處理,并對黑客可能入侵的節點進行有效的監控和保護。一方面需要對各種病毒和黑客進行有效的“查”和“防”;另一方面也要強調防毒反黑網絡在實施、操作、維護和管理中的簡潔、方便和高效。最大限度地減輕使用人員和維護人員的工作量一個成功的全方位立體防毒反黑網絡應當具有以下特征:
1.2.3防毒反黑網絡體系結構應當包括從PC到各種服務器,從操作系統到各種應用軟件,從單機到網絡的全方位防病毒解決方案;
1.2.4同時,該網絡必須集成中央控管,遠程軟件分發,遠程升級等工具,便于系統管理;
1.2.5網絡具有“查毒”、“殺毒”、“防毒”、“預警”等全面的功能,并能夠適用于多個平臺的產品。另外,由于目前的病毒傳播越來越強烈地體現其網絡特性,尤其以電子郵件為載體的病毒傳播日益猖獗,病毒在壓縮文件和打包郵件中埋藏極深,因此系統還應當能夠實現郵件的實時防毒,同時能夠對壓縮文件進行快速查毒。
1.3黑客威脅:
1.3.1具備“防火墻”功能,由于通信企業信息網中潛在著可能的黑客入侵,所以在每個網絡節點上都應安裝有“防火墻”,防火墻能夠起到實時監控的作用,當用戶上網時,防火墻將充當個人電腦與網絡間的過濾器,并對黑客可能入侵的各個網絡端口進行屏蔽與防護。
目前,組建這樣的系統可以有許多選擇,比如冠群金辰的Kill for Windows NT/Windows 2000,Norton公司的Norton Antivirus 2000以及Network Associate公司的面向企業網絡的病毒防保方案TVD(Total Virus Defense)Enterprise都是很好的選擇,對于個人防火墻來說,Network ICE公司的Black ICE是一個值得推薦的產品,其運行如圖1(略)所示,除了可以監測入侵者外,還可以給出對系統安全的各種“忠告”。
1.3.2采取上述技術措施外,建立嚴密的規章制度也是十分必要的,如告知員工不要通過無防護的接口上網,不要隨便執行附加在電子郵件中來歷不明的附件,反病毒軟件要經常升級等,并設置專職人員監督執行。
2.通信工程的特點
通信工程的特點是點多、面廣。就設備安裝來說,在機房內的設備,分為動力、交換、傳輸三大專業,設備的品種及規格多,單元的工程所涉及的專業多,如新建匯聚機房的設備包括外電接入的AC箱、空調、配電柜、整流屏、蓄電池、電源列頭柜、ODF架、主設備機柜等等;建設單位對設備的安裝質量要求高,施工工期緊,為保證按時按質完成設備安裝工作,需要監理人員周密計劃,抓好工程的投資、進度和質量制約,特別是要做好監理的質量制約這一關鍵環節,做好安全管理和協調工作,才能向業主交出滿意的答卷。
3.通信工程項目開工前的安全監理措施
3.1部安全培訓教育
監理單位應主動在開工前向工程主管人員索要本公司相關安全管理規定、機房安全管理辦法、應急故障處理流程等文件,并將收集的資料發給各參建單位,同時要求各參建單位組織全部入場人員進行培訓學習,以便盡快熟悉掌握。各參建單位尤其是施工單位負責人員需在開工前認真組織本期工程所有人員進行培訓學習,充分熟悉本公司所有的安全生產規定,同時強調現場施工的規范性、紀律性,確保安全文明施工。在項目工程開工前,對施工單位安全措施的審核。
監督施工單位做好各安全措施的實施。
4.結束語
安全本身不是目的,它只是一種保障。網絡安全涉及的范圍非常寬廣。不管是從技術角度,還是從實際意義角度,它都是一個太大的話題。本文討論了在通信企業信息網絡中網絡安全的實現。
企業網絡安全是國家網絡安全的基石,也是針對未來的信息戰來加強國防建設的重要基礎。一般來說,安全性越高,其實現就越復雜,費用也相應的越高。對于企業來說,就需要對網絡中需保護的信息和數據進行詳細的經濟性評估,決定投資強度。企業的網絡安全工作可以根據本企業的主營方向來決定是建設自己的網絡安全服務隊伍,還是購買市場上的網絡安全服務產品,對于通信企業網則可以選擇購買服務產品來減少成本。筆者認為制定嚴格完備的網絡安全保障制度是實現網絡安全的前提,采用高水平的網絡安全防護技術是保證,認真地管理落實是關鍵。
參考文獻:
關鍵詞:供電企業 信息網絡安全 病毒 防火墻
中圖分類號:U223 文獻標識碼: A 文章編號:
1、引言
網絡安全是一個系統的概念,可靠的網絡安全解決方案必須建立在集成網絡安全技術的基礎上,比如系統認證、建立IP地址登記、數據庫登錄權限和各類服務的授權、加密及備份,訪問及操作的控制等。
信息網絡自身的脆弱性主要包括:在信息輸入、處理、傳輸、存儲、輸出過程中存在的信息容易被篡改、偽造、破壞、竊取、泄漏等不安全因素;信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;在其他方面如磁盤高密度存儲受到損壞造成大量信息的丟失,存儲介質中的殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密,等等這些不安全因素導致了眾多威脅供電企業網絡安全的行為。
1.1非法登錄式的入侵
在電力企業信息數據庫,能夠找到很多我們需要的資料和數據,其中包括機密度很高的資料。所以,沒有權限而又想得到這些資料的人,會采用網絡攻擊侵入的方式來達到系統登錄。網絡攻擊式的入侵是一項系統性、程序非正常性的行為,主要內容包括:目標分析;文檔、資料;破解密碼;登陸系統、日志清除、數據篡改、消除痕跡等技術。供電企業網絡安全形勢存在惡意入侵的可能,系統破壞、信息泄密和數據篡改等方面需要進行技術性的防范。
1.2非正常的軟件應用
隨著網絡技術的發展,計算機安全技術也得到了廣泛、深入性的研究與應用,各種應用類型的安全軟件隨處可見。包括功能強大且完全免費的網絡性的安全軟件。在供電企業內部計算機使用的人員中,很多的人沒有接受過系統的安全知識的學習;不經過信息管理人員的授權或同意,在局域網上應用此類非正式的軟件,給系統的正常性、安全性帶來了危害。
1.3網絡病毒的傳播伴隨型病毒,
這一類病毒并不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址將自身的病毒通過網絡發送。有時它們在系統存在,一般除了內存不占用其它資源。寄生型病毒除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播。
詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
變型病毒(又稱幽靈病毒)這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是將一段混有無關指令的解碼算法和被變化過的病毒體組合而成。
1.4惡意網頁
網頁病毒是利用網頁來進行破壞的病毒,它使用一些SCRIPT語言編寫的一些惡意代碼利用瀏覽器的漏洞來實現病毒植入。當用戶登錄某些含有網頁病毒的網站時,網頁病毒便被悄悄激活,這些病毒一旦激活,可以利用系統的一些資源進行破壞。輕則修改用戶的注冊表,使用戶的首頁、瀏覽器標題改變,重則可以關閉系統的很多功能,裝上木馬,染上病毒,使用戶無法正常使用計算機系統,嚴重者則可以將用戶的系統進行格式化。而這種網頁病毒容易編寫和修改,使用戶防不勝防。
1.5各種軟件本身的漏洞涌現
軟件本身的特點和軟件開發者開發軟件時的疏忽,或者是編程語言的局限性,比如c家族比java效率高但漏洞也多,電腦系統幾乎就是用c編的,所以常常要打補丁。 軟件漏洞有時是作者日后檢查的時候發現的,然后出補丁修改;還有一些人專門找別人的漏洞以從中做些非法的事,當作者知道自己的漏洞被他人利用的時候就會想辦法補救。
以我們熟悉的微軟公司的WINDOWS系列操作系統為例,每隔一段時間,都會在微軟的官方網站上貼出最近發現的漏洞補丁。
2供電企業網絡安全基本防范措施
針對電力網絡脆弱性,需要加強的網絡安全配置和策略應該有以下幾個方面。
2.1防火墻攔截
防火墻是最近幾年發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制逾出兩個方向通信的門檻。在網絡邊界上通過建立起相應的網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵人;針對電力企業的實際,我個人認為“防火墻十殺毒軟件”的配置手段是比較合適的,但定期的升級工作是必須的,否則也只能是一種擺設。
防火墻具有很好的網絡安全保護作用。防火墻作為內部網與外部網之間的一種訪問控制設備,常常安裝在內部網和外部網交界點上;入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
主要作用:
(1) Internet防火墻可以防止Internet上的危險(病毒、資源盜用)傳播到網絡內部。
(2) 能強化安全策略;
(3) 能有效記錄Internet上的活動;
(4)可限制暴露用戶點;
(5)它是安全策略的檢查點。
即便企業有了各種各樣防火墻和殺毒軟件的保護,企業系統管理員也不能夠高枕無憂。為了預防意外的破壞造成信息丟失和網絡癱瘓,必須要事先做好網絡信息和系統的備份。當然,定期檢驗備份的有效性也非常重要。同時也是對信息管理人員數據恢復技術操作的演練,做到遇到問題不慌亂,從容應付,提供有保障的網絡訪問服務。
防火墻類型主要包括包過濾防火墻、防火墻和雙穴防火墻。其中包過濾防火墻設置在網絡層,可以在路由器上實現包過濾。這種防火墻可以用于禁止外部非法用戶的訪問,也可以用來禁止訪問某些服務類型。防火墻又稱應用層網管級防火墻,由服務器和過濾路由器組成,是目前教為流行的一種防火墻。雙穴防火墻從一個網絡搜集數據,并具有選擇的把它發送到另一個網絡。
合理的配置防火墻,是確保我們電力企業網絡安全的首要選項。保證我們的網絡之間的連接安全,不會在連接端口出現安全漏洞。
2.2用戶管理機制
計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。在網絡的服務器中安裝的網絡操作系統,更是存在嚴格的用戶管理模式。微軟的WINDOWS系列操作系統,從WINNT開始,到WIN2000 SERVER的用戶管理日趨完善,從單純的域管理,發展到活動目錄的集成管理。在應用服務器上我門可以詳細規定用戶的權限,有效地防止非法用戶的登陸和惡意人侵。
2.3密碼管理權限機制
生活在信息時代,密碼對每個人來說,都不陌生。供電企業的信息網絡環境,密碼顯得尤為重要。可以這樣說,誰掌握了密碼,誰就掌握了信息資源。當你失去了密碼,就像你雖然鎖上了門,可是別人卻有了和你同樣的門鑰匙一樣。特別將這個題目單獨列出,是因為作為一個網絡管理人員,深刻感覺到我們電力企業內部網絡中,存在大量不安全的密碼。比如弱口令:123,000,admin等等。這些密碼表面上看是存在密碼,但實際上用專用的網絡工具查看的時候,很容易的就會被破解。某些網站和服務器的密碼便是如此。
2.4系統升級
隨著硬件的升級和對軟件功能要求的不斷提高,軟件漏洞的不斷出現,我們必須要不斷的對自己使用的軟件升級。我們所使用的操作系統和應用軟件,隨著使用頻率的提高和使用條件的多樣化,需要采用系統軟硬件升級的方式來提高信息網絡的安全性。
3、結束語
信息網絡安全是指防止信息網絡本身及其采集、加工、存儲、傳輸的信息數據被故意或偶然的非授權泄露、更改、破壞或使信息被非法辨認、控制,即保障信息的可用性、機密性、完整性、可控性、不可抵賴性。
通過加強對信息網絡安全知識和學習與培訓,注重“以人為本,輔以技術,重在管理,管用并濟”是信息網絡安全管理的根本原則。通過了解網絡的各種不安全因素,其目的在于把我們應用的信息網絡加強起來。建設安全、穩定的電力企業信息網絡,來實現“實體可信,行為可控,資源可管,事件可查,運行可靠” 的安全信息網絡,保證不間斷的信息網絡給我們提供更加便捷和豐富的信息服務。
參考文獻:
[1]盧開澄:《計算機密碼學―計算機網絡中的數據預安全》(清華大學出版社1998)
【關鍵詞】 核電 工業控制系統 安全測試 風險評估 應對策略
【Abstract】 This paper illustrates the difference between ICS and IT system, the diversity between information security and functional safety and significant security events abroad. The specification of ICS in nuclear power generation is presented. The regulations and safety standards for ICS in nuclear power plant are also introduced. Based on the basic security requirements for nuclear power generation in our country, an integrated protect strategy is proposed.
【Key words】 Nuclear power generation;Industrial control system ;Safety testing;Risk assessment;Protect strategy
1 引言
隨著信息和通信技術的發展,核電領域工業控制系統(Industrial Control System,ICS)的結構變得愈發開放,其需求方逐漸采用基于標準通信協議的商業軟件來代替自主研發的工業控制軟件。這種趨勢降低了最終用戶的研發投入成本,同時,設備與軟件的維護任務可以交給工業控制系統解決方案提供方,節省了人力維護成本。
ICS系統的聯通特性在帶來方便的同時也給核電工業控制系統安全防護提出了新的挑戰,近年來,多個國家的ICS系統受到了安全威脅。為應對核電領域網絡安全風險挑戰,建立工業控制安全與核安全相結合的保障體系,本文從工業控制系統與信息系統的界定、核電信息安全與功能安全的區別、核電工業控制系統基本安全要求等方面闡述我國目前面臨的核電信息安全形勢,介紹了核電領域重要的信息安全事件,并總結了核電工業控制系統安全的應對策略。
2 工業控制系統與信息系統的界定
標準通信協議的引入使ICS具備了互聯互通的特性,ICS與傳統IT系統的界線似乎變得更加模糊了。然而,ICS系統與IT系統相比仍然具有很多本質上的差異。
美國問責總署(GAO)的報告GAO-07-1036[1]、美國國家標準技術研究院NIST SP 800-82[2]根據系統特征對IT系統和ICS系統進行了比較,IT系統屬于信息系統(Cyber System),ICS系統屬于信息物理融合系統(Cyber-Physical System)。下文將從不同角度說明兩種系統的差異。
2.1 工業控制系統與信息系統的界定
模型和參考體系是描述工業控制系統的公共框架,工業控制系統被劃分為五層結構,如圖1。
第五層―經營決策層。經營決策層具有為組織機構提供核心生產經營、重大戰略決策的功能。該層屬于傳統IT管理系統,使用的都是傳統的IT技術、設備等,主要由服務器和計算機構成。當前工業領域中企業管理系統等同工業控制系統之間的耦合越來越多,參考模型也將它包含進來。
第四層―管理調度層。管理調度層負責管理生產所需最終產品的工作流,它包括業務管理、運行管理、生產管理、制造執行、能源管理、安全管理、物流管理等,主要由服務器和計算機構成。
第三層―集中監控層。集中監控層具有監測和控制物理過程的功能,主要由操作員站、工程師站、輔操臺、人機界面、打印工作站、數據庫服務器等設備構成。
第二層―現場控制層。現場控制層主要包括利用控制設備進行現場控制的功能,另外在第二層也對控制系統進行安全保護。第二層中的典型設備包括分散控制系統(DCS)控制器、可編程邏輯控制器(PLC)、遠程終端控制單元(RTU)等。
第一層―采集執行層。現場執行層指實際的物理和化學過程數據的采集、控制動作的執行。本層包括不同類型的生產設施,典型設備有直接連接到過程和過程設備的傳感器、執行器、智能電子儀表等。在工業控制系統參考模型中,現場執行層屬于物理空間,它同各工業控制行業直接相關,例如電力的發電、輸電、配電,化工生產、水處理行業的泵操作等;正是由于第一層物理空間的過程對實時性、完整性等要求以及它同第二、三、四層信息空間融合才產生工業控制系統特有的特點和安全需求[3]。
隨著信息物理的融合,從廣義來說,上述五層都屬于工業控制系統;從狹義來說,第一層到第三層的安全要求及技術防護與其他兩層相比具備較大差異,第一層到第三層屬于狹義工業控制系統,第四層到第五層屬于信息系統。
2.2 工業控制系統與信息系統的差異
從用途的角度來說,ICS屬于工業生產領域的生產過程運行控制系統,重點是生產過程的采集、控制和執行,而信息系統通常是信息化領域的管理運行系統,重點在于信息管理。
從系統最終目標的角度來看,ICS更多是以生產過程的控制為中心的系統,而信息技術系統的目的是人使用信息進行管理。
從安全的角度來說,傳統IT系統的安全三要素機密性、完整性、可用性按CIA原則排序,即機密性最重要,完整性次之,可用性排在最后;而工業控制系統不再適用于這一原則,其安全目標應符合AIC原則,即可用性排在第一位,完整性次之,機密性排在最后。
從受到攻擊后產生的結果來說,工業控制系統被攻陷后產生的影響是巨大的,有時甚至是災難性的:一是造成物質與人員損失,如設備的報廢、基礎設備的損壞、對人員的傷害、財產的損失、數據的丟失;二是造成環境的破壞,如水、電、氣、熱等人民生活資源的污染,有毒、危險物質的無序排放、非法轉移與使用,公共秩序的混亂;三是造成對國民經濟的破壞,如企業生產與經營中斷或停頓、工人停工或失業,對一個地區、一個國家乃至對全球經濟具備重要的影響;四是嚴重的則會導致社會問題和國家安全問題,如公眾對國家的信心喪失、恐怖襲擊等。
從安全需求的角度來說,ICS系統與IT的差異可以歸納為表1。
3 核電信息安全與功能安全的區別
功能安全(Functional Safety)是保證系統或設備執行正確的功能。它要求系統識別工業現場的所有風險,并將它控制在可容忍范圍內。
安全相關系統的概念是基于安全完整性等級(SIL1到SIL4)的。它將系統的安全表示為單個數字,而這個數字是為了保障人員健康、生產安全和環境安全而提出的衡量安全相關系統功能失效率的保護因子,級別越高,失效的可能性越小。某一功能安全的SIL等級一旦確定,代表它的風險消減能力要求被確定,同時,對系統的設計、管理、維護的要求嚴格程度也被確定。信息安全與功能安全雖然都是為保障人員、生產和環境安全,但是功能安全使用的安全完整性等級是基于硬件隨機失效或系統失效的可能性計算得出的,而信息安全的失效具有更多可能的誘因和后果。影響信息安全的因素非常復雜,很難用一個簡單的數字描述。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護也須是反復迭代進行的。
4 核電工業控制系統基本安全要求
我國核安全法規及政策文件主要包括《HAF001中華人民共和國民用核設施安全監督管理條例》、《HAF501中華人民共和國核材料管制條例》、《HAF002核電廠核事故應急管理條例》、《民用核安全設備監督管理條例 500號令》、《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)等;指導性文件主要有《HAD核安全導則》,與核電廠工業控制系統安全相關的有《HAF003 核電廠質量保證安全規定》、《HAD102-01核電廠設計總的安全原則》、《HAD102-10核電廠保護系統及有關設備》、《HAD102-14核電廠安全有關儀表和控制系統》、《HAD102-16核電廠基于計算機的安全重要系統軟件》、《HAD102-17核電廠安全評價與驗證》等導則,標準規范有《GB/T 13284.1-2008 核電廠安全系統 第1部分:設計準則》、《GB/T 13629-2008 核電廠安全系統中數字計算機的適用準則》、《GB/T 15474-2010 核電廠安全重要儀表和控制功能分類》、《GB/T 20438-2006 電氣/電子/可編程電子安全相關系統的功能安全》、《GB/T 21109-2007 過程工業領域安全儀表系統的功能安全》[4]等。
然而,我國核電信息安全方面的標準與我國法律的結合不緊密。《RG 5.71核設施的信息安全程序》是美國核能監管委員會(NRC)參考聯邦法規中對計算機、通信系統和網絡保護的要求,針對核電廠而制定的法規,《RG 1.152核電廠安全系統計算機使用標準》是為保障用于核電廠安全系統的數字計算機的功能可靠性、設計質量、信息和網絡安全而制定的法規,其所有的背景與定義均來源于聯邦法規。而我國的相關標準僅是將RG 5.71中的美國標準替換為中國標準,且國內相關核電領域法規缺乏對信息安全的要求。
5 核電工業控制系統重要安全事件
5.1 蠕蟲病毒導致美國Davis-Besse核電站安全監控系統癱瘓
2003年1月,“Slammer”蠕蟲病毒導致美國俄亥俄州Davis-Besse核電站安全監控系統癱瘓,核電站被迫停止運轉進行檢修。經調查,核電站沒有及時進行安裝補丁,該蠕蟲使用供應商被感染的電腦通過電話撥號直接連到工廠網絡,從而繞過防火墻。
5.2 信息洪流導致美國Browns Ferry核電站機組關閉
2006年8月,美國阿拉巴馬州的Browns Ferry核電站3號機組受到網絡攻擊,當天核電站局域網中出現了信息洪流,導致反應堆再循環泵和冷凝除礦控制器失靈,致使3號機組被迫關閉。
5.3 軟件更新不當引發美國Hatch核電廠機組停機
2008年3月,美國喬治亞州Hatch核電廠2號機組發生自動停機事件。當時,一位工程師正在對該廠業務網絡中的一臺計算機進行軟件更新,該計算機用于采集控制網絡中的診斷數據,以同步業務網絡與控制網絡中的數據。當工程師重啟計算機時,同步程序重置了控制網絡中的相關數據,使得控制系統誤以為反應堆儲水庫水位突然下降,從而自動關閉了整個機組。
5.4 震網病毒入侵伊朗核電站導致核計劃停頓
2010年10月,震網病毒(Stuxnet)通過針對性的入侵伊朗布什爾核電站核反應堆控制系統,攻擊造成核電站五分之一的濃縮鈾設施離心機發生故障,直接影響到了伊朗的核計劃進度,嚴重威脅到的安全運營。該事件源于核電廠員工在內部網絡和外部網絡交叉使用帶有病毒的移動存儲介質。
5.5 無線網絡引入的木馬引發韓國核電站重要信息泄露
2015年8月,曾泄漏韓國古里核電站1、2號機組內部圖紙、月城核電站3、4號機組內部圖紙、核電站安全解析代碼等文件的“核電反對集團”組織通過社交網站再次公開了核電站等機構的內部文件,要求韓國政府與該組織就拿到的10萬多張設計圖問題進行協商,并威脅韓國政府如不接受上述要求,將向朝鮮以及其他國家出售所有資料。本事件源于核電廠員工在企業內網和企業外部利用手機使用不安全的無線網絡信號,被感染木馬而引發。
6 核電工業控制系統安全應對策略
6.1 完善核電工業控制系統安全法規及標準
根據工信部協[2011]45l號文[5],工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施,明確了工業控制系統信息安全管理基本要求,即連接管理要求、組網管理要求、配置管理要求、設備選擇與升級管理要求、數據管理要求、應急管理要求。核電行業主管部門、國有資產監督管理部門應結合實際制定完善相關法規制度,并參考《IEC 62443工業通訊網絡 網絡和系統安全》、《NIST SP800-82 工業控制系統安全指南》、《GB/T 26333-2010工業控制網絡安全風險評估規范》、《GB/T 30976.1-2014 工業控制系統信息安全 第1部分:評估規范》、《GB/T 30976.2-2014工業控制系統信息安全 第2部分:驗收規范》、《GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求》、《IEEE Std 7-432-2010 核電站安全系統計算機系統》制定適用于核電領域的工業控制系統安全標準。同時,部分企業對推薦性標準的執行力度不夠,有必要出臺若干強制性標準。
6.2 健全核電工業控制系統安全責任制
核電企業要按照誰主管按照誰負責、誰運營誰負責、誰使用誰負責的原則建立健全信息安全責任制,建立信息安全領導機構和專職部門,配備工業控制系統安全專職技術人員,統籌工業控制系統和信息系統安全工作,建立工業控制系統安全管理制度和應急預案,保證充足的信息安全投入,系統性開展安全管理和技術防護。
6.3 統籌開展核電工業控制系統安全防護
結合生產安全、功能安全、信息安全等多方面要求統籌開展工業控制系統安全防護,提升工業控制系統設計人員、建設人員、使用人員、運維人員和管理人員的信息安全意識,避免殺毒等傳統防護手段不適用導致工業控制系統未進行有效防護、工業控制系統遭受外界攻擊而發生癱瘓、工業控制系統安全可靠性不足導致停機事故、工業控制系統重要信息失竊密等風險。
6.4 建立核電工業控制系統測試管控體系
系統需求、設計、開發、運維階段的一些問題會影響工業控制系統的安全可靠運行,因此有必要在系統需求設計、選型、招標、建設、驗收、運維、擴建等階段強化廠商內部測試、出廠測試、選型測試、試運行測試、驗收測試、安全測試、入網測試、上線或版本變更測試等測試管控手段,提升系統安全性。
6.5 開展工業控制系統安全測試、檢查和評估
企業要定期開展工業控制系統的安全測試、風險評估、安全檢查和安全評估,以便及時發現網絡安全隱患和薄弱環節,有針對性地采取管理和技術防護措施,促進安全防范水平和安全可控能力提升,預防和減少重大網絡安全事件的發生。核電行業主管部門、網絡安全主管部門要加強對核電領域工業控制系統信息安全工作的指導監督,加強安全自查、檢查和抽查,確保信息安全落到實處。
綜上所述,圍繞我國核設施安全要求,完善核電信息安全法規標準,落實信息安全責任制,統籌開展安全技術防護,建立工業控制系統測試管控體系,定期開展安全測試和評估,是當前和今后核電領域開展工業控制系統信息安全保障的重要內容。
參考文獻:
[1]David A. Multiple Efforts to Secure Control Systems Are Under Way, but Challenges Remain, GAO-07-1036 [R].Washington DC,USA:US Government Accountability Office(US GAO),2007.
[2]NIST SP800-82.Guide to Industrial Control Systems (ICS) Security [S].Gaithersburg, USA: National Institute of Standards and Technology (NIST),2011.
[3]彭勇,江常青,謝豐,等.工業控制系統信息安全研究進展 [J].清華大學學報,2012,52(10):1396-1408.
【 關鍵詞 】 煙草;工業控制系統;信息安全;風險評估;脆弱性測試
1 引言
隨著工業化和信息化進程的加快,越來越多的計算機技術以及網絡通信技術應用到煙草自動化生產過程中。在這些技術提高了企業管理水平和生產效率的同時,也帶來了病毒和惡意代碼、信息泄露和篡改等網絡信息安全問題。當前,煙草企業所建成的綜合自動化系統基本可以分為三層結構:上層為企業資源計劃(ERP)系統;中間層為制造執行系統(MES);底層為工業控制系統。對于以ERP為核心的企業管理系統,信息安全防護相對已經成熟,煙草企業普遍采用了防火墻、網閘、防病毒、防入侵等防護措施。而隨著MES技術在煙草企業的廣泛實施,越來越多企業開始考慮在底層的工業控制系統進行信息安全防護工作。近年來,全球工業控制系統經歷了“震網”、“Duqu”、“火焰”等病毒的攻擊,這些安全事件表明,一直以來被認為相對封閉、專業和安全的工業控制系統已經成為了黑客或不法組織的攻擊目標。對于煙草企業的工業控制系統,同樣也面臨著信息安全問題。
與傳統IT系統一樣,在工業控制系統的信息安全問題研究中,風險評估是其重要基礎。在工業控制系統信息安全風險評估方面,國外起步較早,已經建立了ISA/IEC 62443、NIST800-82等一系列國際標準和指南;而國內也相繼了推薦性標準GB/T 26333-2010:工業控制網絡安全風險評估規范和GB/T30976.1~.2-2014:工業控制系統信息安全(2個部分)等。當前,相關學者也在這方面進行了一系列研究,但國內外還沒有一套公認的針對工業控制系統信息安全風險評估方法,而且在煙草行業的應用實例也很少。
本文基于相關標準,以制絲線控制系統為對象進行了信息安全風險評估方法研究,并實際應用在某卷煙廠制絲集控系統中,為后續的安全防護工作打下了基礎,也為煙草工業控制系統風險評估工作提供了借鑒。
2 煙草工業控制系統
煙草工業企業生產網中的工控系統大致分成四種類型:制絲集控、卷包數采、高架物流、動力能源,這四個流程,雖工藝不同,相對獨立,但它們的基本原理大體一致,采用的工具和方法大致相同。制絲集控系統在行業內是一種典型的工業控制系統,它的信息安全情況在一定程度上體現了行業內工業控制系統的信息安全狀態。
制絲集控系統主要分為三層:設備控制層、集中監控層和生產管理層。設備控制層有工業以太網連接控制主站以及現場I/O站。集中監控層網絡采用光纖環形拓撲結構,將工藝控制段的可編程控制器(PLC)以及其他相關設備控制段的PLC接入主干網絡中,其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等,然后與監控計算器、I/O服務器、工程師站和實時數據庫服務器等共同組成了集中監控層。生產管理層網絡連接了生產現場的交換機,與管理計算機、管理服務器等共同組成了生產管理層。
制絲車間的生產采用兩班倒的方式運行,對生產運行的實時性、穩定性要求非常嚴格;如直接針對實際系統進行在線的掃描等風險評估工作,會對制絲生產造成一定的影響,存在影響生產的風險。而以模擬仿真平臺為基礎的系統脆弱性驗證和自主可控的測評是當前制絲線控制系統信息安全評估的一種必然趨勢。
3 工控系統風險評估方法
在風險評估方法中,主要包括了資產識別、威脅評估、脆弱性評估、綜合評估四個部分,其中脆弱性測試主要以模擬仿真平臺為基礎進行自主可控的測評。
風險是指特定的威脅利用資產的一種或一組脆弱性,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與后果的結合。風險評估模型主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性,信息資產的屬性是資產價值,脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度,威脅的屬性是威脅發生的可能性,風險的屬性是風險發生的后果。
3.1 資產識別
首先進行的是對實際生產環境中的信息資產進行識別,主要包括服務器、工作站、下位機、工業交換設備、工控系統軟件和工業協議的基本信息。其中,對于服務器和工作站,詳細調查其操作系統以及所運行的工控軟件;對于下位機,查明PLC主站和從站的詳細型號;對于交換設備,仔細查看其配置以及連接情況;對于工控系統軟件,詳細調查其品牌以及實際安裝位置;對于工業協議,則詳細列舉其通信兩端的對象。
3.2 威脅評估
威脅評估的第一步是進行威脅識別,主要的任務是是識別可能的威脅主體(威脅源)、威脅途徑和威脅方式。
威脅主體:分為人為因素和環境因素。根據威脅的動機,人為因素又可分為惡意和非惡意兩種。環境因素包括自然災害和設施故障。
威脅途徑:分為間接接觸和直接接觸,間接接觸主要有網絡訪問、指令下置等形式;直接接觸指威脅主體可以直接物理接觸到信息資產。
威脅方式:主要有傳播計算機病毒、異常數據、掃描監聽、網絡攻擊(后門、漏洞、口令、拒絕服務等)、越權或濫用、行為抵賴、濫用網絡資源、人為災害(水、火等)、人為基礎設施故障(電力、網絡等)、竊取、破壞硬件、軟件和數據等。
威脅識別工作完成之后,對資產所對應的威脅進行評估,將威脅的權值分為1-5 五個級別,等級越高威脅發生的可能性越大。威脅的權值主要是根據多年的經驗積累或類似行業客戶的歷史數據來確定。等級5標識為很高,表示該威脅出現的頻率很高(或≥1 次/周),或在大多數情況下幾乎不可避免,或可以證實經常發生過。等級1標識為很低,表示該威脅幾乎不可能發生,僅可能在非常罕見和例外的情況下發生。
3.3 脆弱性測試
脆弱性評估需從管理和技術兩方面脆弱性來進行。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現有的安全管理制度的制定和執行情況進行檢查,發現了其中的管理漏洞和不足。技術方面包括物理環境、網絡環境、主機系統、中間件系統和應用系統五個層次,主要是通過遠程和本地兩種方式進行手工檢查、工具掃描等方式進行評估,以保證脆弱性評估的全面性和有效性。
傳統IT 系統的技術脆弱性評測可以直接并入到生產系統中進行掃描檢測,同時通過交換機的監聽口采集數據,進行分析。而對工控系統的脆弱性驗證和測評服務,則以實際車間工控系統為藍本,搭建一套模擬工控系統,模擬系統采用與真實系統相同或者相近的配置,最大程序反映實際工控系統的真實情況。評估出的模擬系統工控系統安全情況,經過分析與演算,可以得出真實工控系統安全現狀。
對于工控系統主要采用的技術性測試方法。
(1)模擬和數字控制邏輯測試方法。該方法針對模擬系統中的控制器系統進行測試。采用如圖1的拓撲形式,通過組態配置PLC輸出方波數字信號和階梯模擬信號,通過監測控制信號的邏輯以判別控制系統的工作狀態。
(2)抓包測試方法。該方法可以對模擬系統中的各種設備進行測試。采用圖2的拓撲形式,通過抓包方式,獲取車間現場運行的正常網絡數據包;將該數據進行模糊算法變異,產生新的測試用例,將新數據發送到測試設備上進行漏洞挖掘。該測試方法既不影響工作現場,又使得模擬系統的測試數據流與工作現場相同。
(3)橋接測試方法。該方法針對模擬系統中的工業通信協議進行測試。測試平臺接收到正常的數據包后,對該數據包進行模糊算法變異,按照特定的協議格式,由測試平臺向被測設備發送修改后的數據,進行漏洞挖掘測試。采用的拓撲形式就是圖2中去除了虛線框中的內容后的形式。
(4)點對點測試方法。該方法針對通信協議進行測試。采用與圖1相同拓撲形式,按照所面對的協議的格式,由測試平臺向被測設備發送測試用例,進行健壯性的測試。
(5)系統測試方法。該方法對裝有工控軟件的被測設備進行測試。該方法采用如圖3的拓撲形式,綜合了前幾種方式,在系統的多個控制點同時進行,模糊測試數據在不同控制點之間同時傳輸,對整個工業控制環境進行系統級的漏洞挖掘。
3.4 綜合分析
在完成資產、威脅和脆弱性的評估后,進入安全風險的評估階段。在這個過程中,得到綜合風險評估分析結果和建議。根據已得到的資產、威脅和脆弱性分析結果,可以得到風險以及相應的等級,等級越高,風險越高。
4 應用實例
本文以某卷煙廠制絲車間的制絲集控系統為例進行風險評估研究。
4.1 資產識別
首先對該制絲集控系統進行了資產的識別,得到的各類資產的基本信息。資產的簡單概述:服務器包括GR 服務器、監控實時服務器、AOS 服務器、文件服務器、管理應用服務器、管理數據庫服務器和管理實時服務器等;工作站包括工程師站、監控計算機和管理計算機;下位機包括西門子PLC S7-300、PLC S7-400 和ET200S;網絡交換設備主要以西門子交換機和思科交換機為主;工控系統軟件主要有Wonderware 系列軟件、西門子STEP7、KEPServerEnterprise等。
4.2 威脅評估
依據威脅主體、威脅途徑和威脅方式對制絲集控系統進行了威脅的識別,隨后對卷煙廠制絲集控系統的威脅分析表示,面臨的威脅來自于人員威脅和環境威脅,威脅方式主要有計算機病毒、入侵等。其中等級較高的威脅(等級≥3)其主體主要是互聯網/辦公網以及內部辦公人員威脅。
4.3 脆弱性評估
搭建的模擬系統與真實網絡層次結構相同,拓撲圖如圖4所示。
基于工控模擬環境,對設備控制層、工控協議、工控軟件、集中監控設備進行評估。
對設備控制層的控制設備通訊流程分為五條路徑進行歸類分析,即圖4中的路徑1到5,通信協議均為西門子S7協議。一方面采用模擬和數字控制邏輯測試方法以及抓包測試方法對控制器進行測試,另一方面采用橋接測試方法對S7協議進行漏洞挖掘,結果表明結果未發現重大設備硬
件漏洞。
除了S7 協議外,圖4中所標的剩余通信路徑中,路徑6為OPC協議,路徑7為ProfiNet協議,路徑8為ProfiBus協議,路徑9為Modbus TCP協議。對于這些工控協議,采用點對點測試方法進行健壯性測試,結果發現了協議采用明文傳輸、未對OPC端口進行安全防范等問題。
采用系統測試方法,對裝有工控軟件的以及集中設備進行測試,發現了工控軟件未對MAC 地址加固,無法防止中間人攻擊,賬號密碼不更新,未進行認證等數據校驗諸多問題。
然后對制絲集控系統進行的脆弱性分析發現了兩個方面的問題非常值得重視。一是工控層工作站可通過服務器連通Internet,未進行任何隔離防范,有可能帶來入侵或病毒威脅;攻擊者可直接通過工作站攻擊內網的所有服務器,這帶來的風險極大。二是工控協議存在一定威脅,后期需要采取防護措施。
4.4 綜合評估
此次對制絲集控系統的分析中,發現了一個高等級的風險:網絡中存在可以連接Internet的服務器,未對該服務器做安全防護。還有多個中等級的風險,包括網絡分域分區的策略未細化、關鍵網絡設備和業務服務器安全配置不足、設備存在緊急風險漏洞、工控協議存在安全隱患、PLC 應用固件缺乏較完善的認證校驗機制等。
4.5 防護建議
根據制絲集控系統所發現的風險和不足,可以采取幾項防護措施:對于可連到Internet的服務器,采用如堡壘機模式等安全防護措施,加強分區分域管理;對主機設備和網絡交換機加強安全策略,提高安全等級;對存在緊急風險漏洞的設備,及時打補丁;對于工控協議存在的安全隱患,控制器缺乏驗證校驗機制等風險,采用工業安全防護設備對其檢測審計與防護阻斷。
5 結束語
隨著信息化的不斷加強,煙草企業對于工業控制系統信息安全越來越重視,而風險評估可以說是信息安全工作的重要基礎。本文提出基于模擬系統和脆弱性測試的風險評估方法,采用資產識別、威脅評估、以模擬系統評測為主的脆弱性評估、綜合評估等步驟,對煙草制絲線控制系統進行信息安全風險評估。而在脆弱性測試中采用了模擬和數字控制邏輯測試、抓包測試、系統測試等多種方法,對工業控制系統技術上的脆弱性進行測試。這些步驟和方法在某卷煙廠的制絲集控系統應用中取得了良好的成果:發現了工控系統中存在的一些信息安全問題及隱患,并以此設計了工業安全防護方案,將工控網絡風險控制到可接受范圍內。
本次所做的煙草工業控制系統信息安全風險評估工作,可以為同類的煙草企業工控信息安全防護建設提供一定的借鑒。但同時,也要看到,本次的風險評估工作中對于風險等內容的定級對于經驗的依賴程度較高,不易判斷,這也是以后研究的方向之一。
參考文獻
[1] 李燕翔,胡明淮.煙草制造企業工業控制網絡安全淺析[J].中國科技博覽,2011,(34): 531-2.
[2] 李鴻培, 忽朝儉,王曉鵬. 2014工業控制系統的安全研究與實踐[J]. 計算機安全,2014,(05): 36-59,62.
[3] IEC 62443―2011, Industrial control network &system security standardization[S].
[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工業控制網絡安全風險評估規范[S].
[6] GB/T 30976.1―2011, 工業控制系統信息安全 第1部分:評估規范[S].
[7] GB/T 30976.2―2011, 工業控制系統信息安全 第2部分:驗收規范[S].
[8] 盧慧康, 陳冬青, 彭勇,王華忠.工業控制系統信息安全風險評估量化研究[J].自動化儀表, 2014 (10): 21-5.
[9] 彭杰,劉力.工業控制系統信息安全性分析[J].自動化儀表, 2012, 33(12): 36-9.
作者簡介:
李威(1984-),男,河南焦作人,西安交通大學,碩士,浙江中煙工業有限責任公司,工程師;主要研究方向和關注領域:信息安全與網絡管理。
湯堯平(1974-),男,浙江諸暨人,浙江中煙工業有限責任公司,工程師;主要研究方向和關注領域:煙草生產工業控制。
目前ICS廣泛應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業,其中超過80%的涉及國計民生的關鍵基礎設施依靠ICS來實現自動化作業,ICS安全已是國家安全戰略的重要組成部分。
近年來,國內工業企業屢屢發生由于工控安全導致的事故,有的是因為感染電腦病毒,有的是因為TCP/IP協議棧存在明顯缺陷,有的是由于操作間員工違規操作帶入病毒。比如,2011年某石化企業某裝置控制系統分別感染Conficker病毒,造成控制系統服務器與控制器通訊不同程度的中斷。又如,2014年某大型冶金廠車間控制系統發現病毒,是因為員工在某一臺工作站上私自安裝娛樂軟件,帶入病毒在控制網擴散。還有一個案例是,江蘇某地級市自來水公司將所有小區泵站的PLC都通過某公司企業路由器直接聯網,通過VPN遠程進行控制訪問,實時得到各泵站PLC的數據;結果發現大量的PLC聯網狀態不穩定,出現時斷時續的現象。經過現場診斷,發現是PLC的TCP/IP協議棧存在明顯缺陷導致,最后靠廠家升級PLC固件解決。
ICS安全事故頻發,引起了相關各方和國家高層的重視。2014年12月,工控系統信息安全國家標準GB/T30976-2014首次,基本滿足工業控制系統的用戶、系統集成商、設備生產商等各方面的使用。國家標準的,極大地促進了工控系統信息安全的發展。
我國ICS網絡安全發展現狀
據工信部電子科學技術情報研究所數據顯示,2012年,中國工業控制系統信息安全市場已達到11億元,未來5年仍將保持年均15%的增長速度。而據工控網的預測,中國工業網絡安全市場有望在2015年達到超過20億元的規模,并以每年超過30%的復合增長率發展。
從行業來看,油氣、石化、化工、電力、冶金、煙草為核心應用行業,其他行業規模相對較小。石化行業在工控安全方面走在所有行業的前列。從2009年開始,石化行業開始部署加拿大多芬諾公司的工控防火墻,主要用在OPC防護場景。燕山石化、齊魯石化及大慶石化等多家國內大型石化企業都有較多部署。電力行業的網絡安全主要基于《電力二次系統安全防護規定》、《電力二次系統安全防護評估管理辦法》、《電力行業工控信息安全監督管理暫行規定》以及配套文件等電力工控信息安全各項規定和要求,其對于真正意義上的工控安全的項目實施,基本還處于探索階段。目前實際的動作是在全網排查整改某品牌PLC、工業交換機的信息安全風險,并開展其它工控設備信息安全漏洞的檢測排查工作,對發現的安全漏洞進行上報處理。冶金行業目前已開始進行工控安全的實地部署,由于冶金行業大量采用了西門子、羅克韋爾、ABB、TEMIC(東芝三菱)、Yaskawa(日本安川)等國外品牌的PLC,因此冶金行業對于PLC的安全防護非常重視。
工控安全廠商分析
工控安全廠商作為市場中最主要的、最活躍的推動力量,在工控安全市場中扮演著非常重要的角色。其中以有工控背景的信息安全廠商為主,傳統的IT類信息安全供應商介入速度加快。
力控華康, 脫胎于力控集團,借助多年積淀的工業領域行業經驗,以及工控行業監控軟件和工業協議分析處理技術,成功研發出適用于工業控制系統的工業隔離網關pSafetyLink、工業通信網關pFieldComm和工業防火墻HC-ISG等系列產品,受到市場的廣泛認可。
海天煒業,即青島多芬諾,作為從2009年即在中國市場推廣工業防火墻的行業先驅,在多年的市場積累中,徹底脫胎換骨,從一家傳統的自動化系統維保公司成功轉型為一家專業的工控網絡安全解決方案提供者;尤其是在2014年4月22日的新一代自研“Guard”工業防火墻,受到行業一致好評。
中科網威,作為參與過中國多項網絡安全國標編寫的廠商,憑借多年對用戶需求的潛心研究,推出了擁有軟硬件完全自主知識產權自主品牌“ANYSEC”,ANYSEC系列產品包括IPSEC/SSL VPN、流控管理、上網行為管理、中科網警、聯動數字平臺等多功能的IT安全網關產品,獲得廣大用戶的一致好評。
三零衛士,是中國電子科技集團公司電子第三十研究所下屬企業,在2014年成功推出了自研的工控防火墻,同時也推出了自己的“固隔監”整體工控安全防護體系,得到了行業內外的廣泛關注。
ICS存在網絡安全問題的根源及安全防護
研究發現,我國ICS存在網絡安全問題的根源主要是以下幾點:
第一,缺乏完整有效的安全策略與管理流程。經研究發現,ICS以可用性為第一位,追求系統的穩定可靠運行是管理人員關注的重點,而把安全性放在次要的地位。這是很多ICS存在的普遍現象。缺乏完整有效的安全策略與管理流程是當前我國ICS的最大難題。很多ICS實施了安全防御措施,但由于管理或操作上的失誤,如移動存儲介質的使用等,仍然會造成安全事故。
第二,工控平臺比較脆弱。目前,多數ICS網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離,各個工業自動化單元之間缺乏可靠的安全通信機制。而且,由于不同行業的應用場景不同,其對于功能區域的劃分和安全防御的要求也各不相同,而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是,工業控制系統的補丁管理效果始終無法令人滿意。同時,工業系統補丁動輒半年的補丁周期,也讓攻擊者有較多的時間來利用已存在的漏洞發起攻擊。
第三,ICS網絡比較脆弱。通過以太網技術的引入讓ICS變得智能,也讓工業控制網絡愈發透明、開放、互聯,TCP/IP存在的威脅同樣會在工業網絡中重現。當前ICS網絡的脆弱性體現在:邊界安全策略缺失、系統安全防制機制缺失、管理制度缺失、網絡配置規范缺失、監控與應急響應制度缺失、網絡通信保障機制缺失、無線網絡接入認證機制缺失、基礎設施可用性保障機制缺失等。
為解決網絡安全問題,我們建議:
第一,加強對工業控制系統的脆弱性(系統漏洞及配置缺陷)的合作研究,提供針對性的解決方案和安全保護措施。
第二,盡可能采用安全的通信協議及規范,并提供協議異常性檢測能力。
第三,建立針對ICS的違規操作、越權訪問等行為的有效監管。
第四,建立完善的ICS安全保障體系,加強安全運維與管理。
正是因為工控系統此前基本運行在一個封閉的環境中,系統的生產研發和設計部署過程很少甚至根本就沒有考慮安全的因素,這種背景下一旦黑客通過可達網絡訪問到工控環境,是極易攻擊得手的,所以工控系統所面臨的將是比傳統IT網絡更嚴峻的安全威脅。
隨著工控安全日益受到國家和行業的重視,啟明星辰在幾年以前就開始布局工控安全領域,成為國內最早一批進入該領域的專業安全廠商,推出了各類工控安全產品以及解決方案。
工業控制系統是由一系列的生產裝置、現場設備、控制終端、操作站以及工業以太網、本地總線網絡等組成。同傳統的IT信息網絡安全一樣,工控信息安全也是一個體系化的工程,因為威脅和攻擊是來自多方面的,可能是外部黑客透過辦公網控制了某工程師站,可能是工作站PC主機一次不安全的U盤使用導致的病毒感染,可能是內部人員下達給PLC的違規指令,也可能是針對核心工控業務蓄謀已久的APT攻擊。所以工控安全領域里,只部署工控防火墻或是只進行工控漏洞掃描是不夠的,局部的防護無法構建完整的防護系統,無法形成全局監控的完整視圖,也無法抵御各個層面的攻擊威脅。
面對工控環境總體的安全防護需求,工控信息安全管理平臺系統無疑是最佳的選擇。如果說單個的防護設備是防御戰場上的一個個孤立的碉堡的話,那么工控信息安全管理平臺系統的作用就是集中自身及外部各種防護資源形成覆蓋全部被保護對象的防護網,是整體防御的指揮部和情報中心。啟明星辰泰合本部一直以來致力于安全管理平臺系統的研發和應用,代表著國內同類產品的最高水平,并且擁有各大行業大量的客戶實踐案例。泰合本部隨啟明星辰總體工控安全解決方案所推出的泰合工控信息安全管理系統擁有全網安全狀態監控、流量合規及異常分析檢測等功能,同時可以整合啟明星辰以及第三方公司的工控防火墻、工控漏掃、工控入侵檢測等各類安全防護設備,形成工控系統的全方位立體化防護。
在一個典型的工控環境中,泰合工控信息安全管理系統的防護范圍包括管理網絡層中的IT系統,MES層中的工作站、操作站等終端機服務器,以及生產過程層中的PLC、DCS等工控設備裝置。管理平臺系統自身可提供適應工控環境的設備安全監控功能、采集設備及網絡的安全運行信息,并且可將環境中所部署的所有防護設備或子系統進行整合,集中所有的監控信息進行統一展現,綜合處理分析及時發現各節點環節的異常和威脅,統一提供告警及處置支撐功能。同時管理系統還通過專門的流行為分析模塊,從流量和流行為的維度實現工控環境的流安全分析和異常發現。在工控環境中部署面向工控安全的管理系統可主要為用戶帶來如下安全防護價值:
工控環境
動態監控拓撲
泰合工控信息安全管理系統首先提供了動態拓撲監控功能。拓撲展現是對網絡環境最直觀的監控形式,也是工控系統操作人員比較認可的監控方式,該拓撲監控可以完整直觀的表現工控系統各設備、裝置的部署位置以及鏈路連接情況。同時拓撲上可以動態的展現設備和鏈路的狀態及安全相關信息,包括設備的故障、通斷、威脅事件和鏈路的可用性、流量異常等信息。
設備資產安全管理及監控
工業控制系統是由一系列工控裝置以及控制設備組成的,因此工控安全的首要任務就是保障這些設備資產的正常運行,泰合工控信息安全管理系統提供全面的設備資產安全監控管理功能,可自動發現并幫助用戶梳理全網設備,在此基礎上維護設備信息,進行生命周期管理,可對網絡中的設備資產進行運行狀態監控,包括可用性,CPU、內存使用率,接口、服務應用狀態等信息。
此外可關聯所有與設備相關的監控信息、漏洞、事件等安全信息,一旦出現異常實時報警。
設備的漏洞
及配置脆弱性管理
工控設備的安全威脅往往來自于設備主機的安全漏洞和不安全配置,一旦被黑客或內部別有用心的人員利用,將直接危害到所連接控制的生產系統。
泰合工控信息安全管理系統提供有設備配置核查功能,發現設備的不安全配置和不合規的安全策略。此外,管理系統可與工控漏洞掃描設備聯動,驅動工控漏掃對指定目標進行漏洞發現,并將掃描結果與設備資產聯動,展示設備的漏洞信息。
安全事件集中管理分析
和異常發現告警
工控安全可能涉及各類安全防護設備,包括工控防火墻、防病毒設備、入侵檢測、漏洞掃描等,這些設備的防護范圍、具體功能各不相同,工控信息安全管理系統會統一采集并識別各類工控安全設備產生的安全事件和告警信息,并通過多維度可視化的界面進行綜合展示,使監控人員一站式的查閱檢索安全及威脅信息,了解安全態勢。同時安全管理系統在收集全網安全信息的同時可以進行綜合關聯分析,發現類似于APT攻擊等的更深層更隱蔽的威脅和安全隱患。
流行為異常分析與監測
傳統的安全管理系統大多是基于事件的監控,但是有些攻擊行為和安全異常更多暴露于網絡流的維度。尤其對于工控領域,對生產設備的操作有專用的工控協議,所以對工控協議的識別和操作行為審計是發現違規操作和異常的關鍵,另外工業控制中各設備間的訪問多是較為固定的訪問關系和流量,如果掌握了一般的訪問規律也是發現異常的重要手段。
工業物聯網是一個新概念,是傳統工業自動化和工業信息化結合發展到一定階段的產物。工業物聯網突破了傳統局域網的限制,將工廠生產、企業管理和市場營銷等環節進行了強有力的結合,全方位采集底層基礎數據,并進行更深層面的數據分析與挖掘,充分發揮整個企業中機器和人的潛能,提高生產效率。它具有以下四個典型特點:
一是全面感知。工業物聯網利用射頻識別技術、微機電傳感器、二維碼等手段隨時獲取產品從生產到銷售到最終用戶使用各個階段的信息數據。傳統工業自動化系統信息采集只局限于生產質檢階段,而企業信息化系統并不過分關注具體生產過程。
二是互聯傳輸。工業物聯網需利用專用網絡與互聯網相結合的方式,將物體信息實時準確地傳遞出去。它對網絡的依賴性更高,比傳統工業自動化、信息化系統都更強調數據交互。
三是智能處理。工業物聯網綜合利用云計算、云存儲、模糊識別、神經網絡等智能計算技術,對海量數據和信息進行分析和處理,并結合大數據技術,深入挖掘數據價值。
四是自組織與自維護。一個完善的工業物聯網系統具有自組織與自維護功能。每個節點為整個系統提供自己處理獲得的信息或決策數據,當某個節點失效或數據發生變化時,整個系統會自動根據邏輯關系做出相應調整。比如,當用戶使用產品過程中出現問題,該“節點故障數據”將回傳至系統中“技術部門節點”與“銷售部門節點”,技術部門會對故障原因進行分析,若為設計原因可以及時調整生產線,降低損失;銷售部門可以根據當前統計數據預估損失,并調整銷售策略;售后部門則提前做好售后服務準備。整個系統是全方位互聯互通的。
與此同時,工業物聯網技術在信息安全方面存在的各種隱患也逐步暴露出來,如工業核心數據泄露、互聯終端遭非法操控等,甚至發生黑客通過入侵電力能源工業網絡系統攻擊國家戰略基礎設施的事件,這又為工業物聯網的發展蒙上一層陰影。工業物聯網信息安全面臨著四個方面的威脅:
(一)系統漏洞頻發導致安全形勢進一步惡化。近年來,工業物聯網領域安全危機四伏,黑客通過系統漏洞對工業物聯網應用進行攻擊,實現系統破壞或者數據竊取的目的。雖然工業物聯網概念較新,但是其依托的卻是現代成熟的工業自動化技術與通信技術,這就導致傳統黑客攻擊方法對工業物聯網系統是可行的。
另外,工業物聯網系統中的大量有價值數,也吸引著各方黑客去攻擊和破壞。
截至2015年12月,中國國家信息安全漏洞共享平臺、美國CVE(公共漏洞庫)和ICS-CERT(工控系統網絡安全應急響應小組)共披露工控系統相關漏洞達949個,涉及國內外廠商120個, 漏洞數量較2014年增長38%。根據ICS-CERT統計,工業領域網絡安全事件呈快速爆發趨勢,2010年僅為39件,而2013年竟高達256件。這些網絡安全事件多分布在能源(151件,59%)、關鍵制造業(52件,20%)、市政交通(15件,10%)等涉及國計民生的關鍵基礎行業。能源與關鍵制造業網絡安全事件占總數的80%,這與工業能源領域高度的自動化與信息化密切相關。可以預見,隨著工業物聯網的快速發展,它面臨的安全形勢也將更加嚴峻。
(二)系統節點互聯導致安全問題影響范圍進一步擴大。和以往工業自動化、信息化系統采用局域網不同,工業物聯網從一開始定義便是一個高度互聯互通的網絡。一個完整的工業物聯網系統往往擁有數萬個“數據節點”,一旦某個節點被攻破滲透,將對整個系統造成巨大影響,且破壞將通過節點網絡高速擴散。2013年Black Hat大會上,有黑客展示了通過入侵某工業生產線網絡中某一數據節點逐步奪取整個系統控制決策權,最終更改生產線生產流程決策的過程。包含物料采購子系統、生產子系統、銷售數據統計系統在內的整個系統全部淪陷,而整個入侵過程只耗時不到2分鐘。這個案例說明,隨著工業物聯網的發展,工業信息安全問題已不再局限于傳統工控系統所涉及的具體生產應用范圍,極有可能擴大到整個工業物聯網系統的每個節點。
(三)新技術新應用集成導致網絡安全問題更加突出。工業物聯網系統是一個開放的系統。隨著業務不斷拓展,大量新技術與新應用被集成進工業物聯網系統。受客觀條件限制,這些新技術、新應用本身的安全防護強度并沒有經過可靠性驗證,極易成為整個系統的“安全短板”。
2013年9月,國內某大型金融企業新上線一套內部運營管理系統,該系統某些功能創新性實現了數據分散性存儲與控制,但是在對該系統進行綜合安全評估時,安全專家竟然從門禁系統入手,一步一步破解獲得系統權限,最終成功入侵核心數據庫。安全專家表示,整個系統的安全性具有明顯的“短板效應”,雖然系統多個關鍵業務數據節點都進行了多重軟硬件加密,但是由于某些非核心業務的新功能(如門禁)本身存在漏洞導致整個系統的安全受到威脅。
(四)網絡攻擊力量快速發展導致應對難度顯著增加。由于工業領域關系一國經濟命脈,一旦遭受攻擊將造成重大損失。
目前,我國網絡安全勢態嚴峻。據工信部日前透露,1月4日至10日,我國境內被篡改的政府網站數量為178個,與前一周相比大幅增長409%。此消息的依據來自于國家互聯網應急中心的監測結果。
緊接著,全球最大的中文搜索引擎百度也遭遇攻擊,從而導致用戶不能正常訪問。眾多網站最近頻遭網絡攻擊的消息,不禁引起業界及廣大網民的深刻反思:“我們的互聯網真的安全嗎?”
據中國互聯網絡信息中心的調查報告,2009年我國網民規模達到3.84億人,普及率達28.9%,網民規模較2008年底增長8600萬人,年增長率為28.9%。中國互聯網呈現出前所未有的發展與繁榮。
然而,在高速發展的背后,我們不能忽視的是互聯網安全存在的極大漏洞,期盼互聯網增長的不僅有渴望信息的網民,也有心存不善的黑客,不僅有滾滾而來的財富,也有讓人猝不及防的損失。此次發生的政府網站篡改事件、百度被攻擊事件已經給我們敲響了警鐘:“重視互聯網安全刻不容緩!”
顯然,互聯網以其網絡的開放性、技術的滲透性、信息傳播的交互性而廣泛滲透到各個領域,有力地促進了經濟社會的發展。但同時,網絡信息安全問題日益突出,如不及時采取積極有效的應對措施,必將影響我國信息化的深入持續發展,對我國經濟社會的健康發展帶來不利影響。進一步加強網絡安全工作,創建一個健康、和諧的網絡環境,需要我們深入研究,落實措施。
二、關于互聯網安全的幾點建議
第一,要深刻認識網絡安全工作的重要性和緊迫性。
黨的十七大指出,要大力推進信息化與工業化的融合。推進信息化與工業化融合發展,對網絡安全必須有新的要求。信息化發展越深入,經濟社會對網絡的應用性越強,保證網絡安全就顯得越重要,要求也更高。因此,政府各級主管部門要從戰略高度認識網絡安全的重要性、緊迫性,始終堅持一手抓發展,一手抓管理。在加強互聯網發展,深入推動信息化進程的同時,采取有效措施做好網絡安全各項工作,著力構建一個技術先進、管理高效、安全可靠的網絡信息安全保障體系。
第二,要進一步完善網絡應急處理協調機制。
網絡安全是一項跨部門、跨行業的系統工程,涉及政府部門、企業應用部門、行業組織、科研院校等方方面面,各方面要秉承共建共享的理念,建立起運轉靈活、反應快速的協調機制,形成合力有效應對各類網絡安全問題。特別是,移動互聯網安全防護體系建設包含網絡防護、重要業務系統防護、基礎設施安全防護等多個層面,包含外部威脅和內部管控、第三方管理等多個方位的安全需求,因此應全面考慮不同層面、多個方位的立體防護策略。
第三,要著力加強網絡安全隊伍建設和技術研究。
要牢固樹立人才第一觀念,為加強網絡管理提供堅實的人才保障和智力支持。要發揮科研院所和高校的優勢,積極支持網絡安全學科專業和培訓機構的建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型隊伍。不斷加強創新建設,是有效提升網絡安全水平的基礎,要加強相關技術,特別是關鍵核心技術的攻關力度,積極研究制訂和推動出臺有關扶持政策,有效應對網絡安全面臨的各種挑戰。
第四,要進一步加強網絡安全國際交流與合作。
在立足我國國情,按照政府主導、多方參與、民主決策、透明高效的互聯網管理原則的基礎上,不斷增強應急協調能力,進一步加強網絡安全領域的國際交流與合作,推動形成公平合理的國際互聯網治理新格局,共同營造和維護良好的網絡環境。
第五,要加強網絡和信息安全戰略與規劃的研究,針對網絡信息安全的薄弱環節,不斷完善有關規章制度。
如在當前的市場準入中,要求運營商必須承諾信息安全保障措施和信息安全責任,并監督其自覺履行相關義務。還要充分發揮行業自律及社會監督作用,利用行業自律組織完善行業規范、制定行業章程、推廣安全技術、倡導網絡文明。
第六,協調各方職能,建立網絡安全管理的長效機制。