水電廠(chǎng)監(jiān)控系統(tǒng)信息安全防護(hù)優(yōu)化研究

李 鵬

(大唐雅安電力開(kāi)發(fā)有限公司,四川雅安 625500)

0 引 言

隨著社會(huì)的不斷發(fā)展和進(jìn)步,水電廠(chǎng)的生產(chǎn)運(yùn)營(yíng)已經(jīng)逐漸向著智能化、自動(dòng)化方向發(fā)展。水電廠(chǎng)監(jiān)控信息系統(tǒng)作為水電廠(chǎng)的中樞神經(jīng)系統(tǒng),起到整個(gè)生產(chǎn)運(yùn)營(yíng)流程的關(guān)鍵作用。然而,隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)攻擊技術(shù)也愈來(lái)愈成熟和高級(jí)。因此,水電廠(chǎng)監(jiān)控信息系統(tǒng)的安全問(wèn)題已經(jīng)日益引起人們的重視。安全一旦出現(xiàn)問(wèn)題,不僅會(huì)造成生產(chǎn)經(jīng)濟(jì)上的巨大損失,還會(huì)對(duì)社會(huì)穩(wěn)定和人民生命財(cái)產(chǎn)安全造成巨大威脅。

針對(duì)水電廠(chǎng)監(jiān)控系統(tǒng)在信息安全領(lǐng)域存在的問(wèn)題,必須對(duì)網(wǎng)絡(luò)系統(tǒng)的防火墻進(jìn)行優(yōu)化,提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn),加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)進(jìn)程,同時(shí)還要對(duì)監(jiān)控系統(tǒng)防護(hù)入侵策略進(jìn)行優(yōu)化,才能保證水電廠(chǎng)監(jiān)控信息系統(tǒng)更加安全可靠,降低潛在風(fēng)險(xiǎn),增強(qiáng)對(duì)水電廠(chǎng)生產(chǎn)運(yùn)營(yíng)的保障力度。

1 水電廠(chǎng)監(jiān)控系統(tǒng)概述

水電廠(chǎng)作為國(guó)民經(jīng)濟(jì)的重要組成部分,其生產(chǎn)運(yùn)營(yíng)的自動(dòng)化程度不斷提高,監(jiān)控信息系統(tǒng)也在隨之發(fā)展。水電廠(chǎng)監(jiān)控系統(tǒng)是水電廠(chǎng)自動(dòng)化控制系統(tǒng)的核心部分,是水電廠(chǎng)操作者獲取和控制水電廠(chǎng)信息的重要工具。它的主要功能是對(duì)水電廠(chǎng)的運(yùn)行參數(shù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)、收集和存儲(chǔ),并對(duì)這些數(shù)據(jù)進(jìn)行自動(dòng)化處理,依據(jù)預(yù)設(shè)好的算法規(guī)律采取必要的措施,保障水電廠(chǎng)的正常運(yùn)行。

水電廠(chǎng)監(jiān)控系統(tǒng)主要由硬件設(shè)備與軟件系統(tǒng)構(gòu)成,硬件設(shè)備包括傳感器、控制器、執(zhí)行器等,而軟件系統(tǒng)則包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件等。在實(shí)際應(yīng)用中,水電廠(chǎng)監(jiān)控系統(tǒng)一般包含人機(jī)界面(HMI)、數(shù)據(jù)采集與處理、數(shù)字信號(hào)處理與控制、通信管理、遠(yuǎn)程操作等功能模塊[1]。其中,人機(jī)界面HMI是水電廠(chǎng)操作者與監(jiān)控系統(tǒng)之間的橋梁,負(fù)責(zé)人機(jī)交互,顯示現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)的狀態(tài)和控制命令的結(jié)果。數(shù)據(jù)采集與處理模塊是水電廠(chǎng)監(jiān)控系統(tǒng)的核心部分,主要負(fù)責(zé)對(duì)各種傳感器和設(shè)備的數(shù)據(jù)進(jìn)行采集、處理、分析和計(jì)算,并控制執(zhí)行器對(duì)系統(tǒng)進(jìn)行調(diào)整、控制和優(yōu)化。數(shù)字信號(hào)處理與控制模塊則負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行數(shù)字化編碼,進(jìn)行數(shù)據(jù)流的傳輸、分析和處理。通信管理模塊是監(jiān)控系統(tǒng)與其他設(shè)備或系統(tǒng)之間的數(shù)據(jù)通信的重要部分,提供數(shù)據(jù)傳輸?shù)沫h(huán)節(jié)。遠(yuǎn)程操作模塊則允許操作者通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程獲取水電廠(chǎng)運(yùn)行數(shù)據(jù)及進(jìn)行遠(yuǎn)程控制。

2 水電廠(chǎng)監(jiān)控信息系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題

2.1 網(wǎng)絡(luò)數(shù)據(jù)傳輸問(wèn)題

水電廠(chǎng)監(jiān)控信息系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)傳輸是個(gè)重要環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)通信方式采用明文傳輸,存在數(shù)據(jù)被竊聽(tīng)和篡改的可能性,并且這些安全威脅會(huì)對(duì)水電廠(chǎng)的運(yùn)行和生產(chǎn)帶來(lái)巨大損失。因此,保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浅ｊP(guān)鍵。為了解決這個(gè)問(wèn)題,可采用數(shù)據(jù)加密技術(shù),對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。一般來(lái)說(shuō),對(duì)于需要保護(hù)的數(shù)據(jù),可以采用對(duì)稱(chēng)加密算法或非對(duì)稱(chēng)加密算法進(jìn)行加密,加密后的數(shù)據(jù)在傳輸過(guò)程中即使被截取,攻擊者也無(wú)法利用這些數(shù)據(jù)進(jìn)行攻擊[2]。而對(duì)于數(shù)據(jù)的完整性保護(hù),則可以通過(guò)數(shù)字簽名技術(shù)來(lái)實(shí)現(xiàn),保證接收方能夠驗(yàn)證所收到數(shù)據(jù)的真實(shí)性和完整性,從而防止數(shù)據(jù)被篡改。此外,對(duì)于對(duì)數(shù)據(jù)加密解密進(jìn)行重復(fù)操作的情況,可以采用密鑰協(xié)商技術(shù),確保密鑰的安全性。在實(shí)際應(yīng)用中,為了更好地保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?還需要做好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、提升網(wǎng)絡(luò)通信速度和穩(wěn)定性、規(guī)范網(wǎng)絡(luò)訪(fǎng)問(wèn)流程等工作。同時(shí),還需要不斷增強(qiáng)網(wǎng)絡(luò)安全防御能力,包括制定安全策略、建立安全監(jiān)控機(jī)制、加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)等措施,提高網(wǎng)絡(luò)安全防護(hù)水平。

根據(jù)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案指導(dǎo),鍋浪蹺水電站地調(diào)數(shù)據(jù)網(wǎng)內(nèi)已劃分兩個(gè)VPN,分別是實(shí)時(shí)控制VPN和非控制生產(chǎn)VPN,分別供安全區(qū)I(實(shí)時(shí)控制區(qū))、安全區(qū)Ⅱ(非控制生產(chǎn)區(qū))數(shù)據(jù)上傳。站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)作為數(shù)據(jù)采集中心,由調(diào)度數(shù)據(jù)網(wǎng)接入地調(diào)骨干接點(diǎn),實(shí)現(xiàn)公司的調(diào)度自動(dòng)化信息經(jīng)過(guò)調(diào)度數(shù)據(jù)網(wǎng)向地調(diào)傳送。

遠(yuǎn)動(dòng)裝置經(jīng)三層交換機(jī)(實(shí)時(shí)交換機(jī))——實(shí)時(shí)縱向加密裝置——地調(diào)路由器設(shè)備接入地調(diào)。電能量采集、保信子站數(shù)據(jù)經(jīng)三層交換機(jī)(非實(shí)時(shí)交換機(jī))——非實(shí)時(shí)縱向加密裝置——地調(diào)路由器向地調(diào)傳輸。

2.2 網(wǎng)絡(luò)通信安全問(wèn)題

水電廠(chǎng)監(jiān)控信息系統(tǒng)中的網(wǎng)絡(luò)通信安全問(wèn)題,是指數(shù)據(jù)在網(wǎng)絡(luò)中傳輸過(guò)程中可能會(huì)被竊聽(tīng)、篡改、偽造等,影響水電廠(chǎng)的生產(chǎn)和運(yùn)營(yíng)。在現(xiàn)代化的水電廠(chǎng)系統(tǒng)中,網(wǎng)絡(luò)已經(jīng)成為各個(gè)子系統(tǒng)之間協(xié)同工作的基礎(chǔ),也成了水電廠(chǎng)安全的最大的威脅源。因此,如何保證水電廠(chǎng)網(wǎng)絡(luò)通信的安全,保障系統(tǒng)的穩(wěn)定運(yùn)行,是一項(xiàng)必須著重考慮的重要問(wèn)題。為了加強(qiáng)水電廠(chǎng)網(wǎng)絡(luò)通信的安全,應(yīng)建立完善的網(wǎng)絡(luò)安全管理制度,按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”原則,制定《計(jì)算機(jī)監(jiān)控系統(tǒng)管理制度》《計(jì)算機(jī)網(wǎng)絡(luò)管理制度》《監(jiān)控系統(tǒng)管理制度》《防病毒管理制度》《數(shù)據(jù)庫(kù)系統(tǒng)管理制度》。定期按要求更新密碼,采用禁止外網(wǎng)連接、權(quán)限登錄、加強(qiáng)宣貫培訓(xùn)、封閉閑置的USB接口、應(yīng)急預(yù)案演練等方式,確保系統(tǒng)安全穩(wěn)定運(yùn)行。此外,在網(wǎng)絡(luò)通信中,進(jìn)一步加強(qiáng)數(shù)據(jù)傳輸?shù)陌踩砸彩呛苤匾摹Ｒ环N方法是采用虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)(VPN)來(lái)保證網(wǎng)絡(luò)通信的安全性,使得數(shù)據(jù)在從發(fā)源端到目的端的過(guò)程中不被竊聽(tīng)、篡改或截獲;另一種方法是采用身份驗(yàn)證和訪(fǎng)問(wèn)控制技術(shù)來(lái)防止非法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。在此基礎(chǔ)上,還應(yīng)該增強(qiáng)系統(tǒng)的日志管理和審計(jì)功能,及時(shí)發(fā)現(xiàn)并處理網(wǎng)絡(luò)安全事件[3]。

2.3 系統(tǒng)防火墻問(wèn)題

系統(tǒng)防火墻是現(xiàn)代化水電廠(chǎng)監(jiān)控信息系統(tǒng)中網(wǎng)絡(luò)安全的第一道防線(xiàn),在網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)連接處起著至關(guān)重要的作用,主要用于防止非法入侵和攻擊,保護(hù)系統(tǒng)的數(shù)據(jù)和應(yīng)用等資源安全。為了提高系統(tǒng)防火墻的安全功能,可以從以下方面著手:

(1)采用合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì),將不同功能的子網(wǎng)放置在各自的子網(wǎng)中,并設(shè)置網(wǎng)絡(luò)邊界,保證不同區(qū)域之間的流量只能通過(guò)防火墻進(jìn)行通信。同時(shí),采用虛擬專(zhuān)用網(wǎng)(VPN)等技術(shù),將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開(kāi)來(lái),有效減少系統(tǒng)被攻擊的風(fēng)險(xiǎn)。

(2)在防火墻上設(shè)置規(guī)則,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過(guò)濾和限制,設(shè)置合理的防火墻功能,可有效降低網(wǎng)絡(luò)被攻擊的危險(xiǎn)性。此外,對(duì)具體的站點(diǎn)、IP地址、協(xié)議、端口等進(jìn)行深入細(xì)致的管理,增強(qiáng)網(wǎng)絡(luò)安全保護(hù)能力。

(3)設(shè)置檢測(cè)和過(guò)濾規(guī)則,通過(guò)分析和屏蔽惡意程序、垃圾郵件、病毒和木馬等有害信息,保證通信內(nèi)容的安全可靠。同時(shí),也應(yīng)該對(duì)內(nèi)網(wǎng)與外網(wǎng)之間的通信進(jìn)行監(jiān)控,及時(shí)發(fā)現(xiàn)異常情況,做出相應(yīng)的處理。

(4)防火墻應(yīng)該設(shè)置安全日志記錄功能,記錄所有進(jìn)出網(wǎng)絡(luò)流量以及阻攔流量的詳細(xì)信息。及時(shí)分析和處理日志數(shù)據(jù),可以有效地提高系統(tǒng)對(duì)于攻擊事件的應(yīng)對(duì)能力,并為后續(xù)的網(wǎng)絡(luò)安全分析和處理提供有用的數(shù)據(jù)支持。

2.4 工作人員安全意識(shí)問(wèn)題

工作人員安全意識(shí)問(wèn)題是企業(yè)信息安全管理中非常重要的一環(huán)。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全威脅日益增多,企業(yè)面臨著越來(lái)越復(fù)雜的安全挑戰(zhàn)。而工作人員作為企業(yè)信息系統(tǒng)的重要組成部分,其安全意識(shí)和安全行為直接影響著企業(yè)的安全狀況[4],因此,需要加強(qiáng)對(duì)工作人員安全意識(shí)問(wèn)題的培訓(xùn)和教育。

首先,在工程師站計(jì)算機(jī)管理中,其有權(quán)限進(jìn)入鍋浪蹺水電站微機(jī)防誤系統(tǒng)的操作人員,應(yīng)嚴(yán)格按變電運(yùn)行規(guī)定及規(guī)程要求在微機(jī)防誤系統(tǒng)下,模擬操作及填寫(xiě)、上傳、打印操作票。查看、填寫(xiě)當(dāng)日發(fā)電日?qǐng)?bào)表、月報(bào)表及相關(guān)數(shù)據(jù),必須經(jīng)當(dāng)值值班長(zhǎng)同意或授權(quán),禁止打開(kāi)、移動(dòng)、刪除計(jì)算機(jī)目錄下的所有文件夾及文件,未經(jīng)系統(tǒng)管理員批準(zhǔn),禁止進(jìn)行數(shù)據(jù)拷貝或外來(lái)磁盤(pán)、光盤(pán)的插入和操作,嚴(yán)禁進(jìn)行與工作無(wú)關(guān)的任何操作。

其次,在使用辦公用計(jì)算機(jī)時(shí),必須經(jīng)當(dāng)值值班長(zhǎng)或系統(tǒng)管理員同意,并且詳細(xì)登記后方可使用。自己所建文件或文檔必須歸類(lèi)到各自所屬磁盤(pán)的文件夾內(nèi),不準(zhǔn)將文檔、文件或文件夾亂擺亂放,不得隨意打開(kāi)、移除、更改與自己無(wú)關(guān)的程序及文件。除上網(wǎng)向國(guó)電公司上傳報(bào)表數(shù)據(jù)外,未經(jīng)系統(tǒng)管理員同意或授權(quán),不得上網(wǎng)做與國(guó)電公司報(bào)表無(wú)關(guān)的事。嚴(yán)禁更改計(jì)算機(jī)的所有設(shè)置、安裝和刪除所有程序,嚴(yán)禁更改、刪除、移動(dòng)計(jì)算機(jī)內(nèi)所有文件夾及文件,嚴(yán)禁外來(lái)磁盤(pán)以及光盤(pán)的插入和操作。通過(guò)此類(lèi)措施,能夠大大提高員工的應(yīng)急反應(yīng)能力和相應(yīng)的處理能力,更好地保障企業(yè)信息安全[5]。

3 水電廠(chǎng)監(jiān)控系統(tǒng)安全防護(hù)優(yōu)化設(shè)計(jì)

3.1 網(wǎng)絡(luò)系統(tǒng)的防火墻優(yōu)化

網(wǎng)絡(luò)系統(tǒng)的防火墻優(yōu)化是保障水電廠(chǎng)監(jiān)控系統(tǒng)安全性的重要措施。防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道防線(xiàn),可有效地預(yù)防和阻攔惡意攻擊,保護(hù)系統(tǒng)的數(shù)據(jù)和應(yīng)用等資源安全。

3.1.1 升級(jí)改進(jìn)現(xiàn)有防火墻

對(duì)現(xiàn)有防火墻進(jìn)行評(píng)估,了解其安全漏洞和弱點(diǎn),并根據(jù)情況進(jìn)行升級(jí)和改進(jìn)。例如,使用最新的防火墻設(shè)備和軟件,增強(qiáng)網(wǎng)絡(luò)對(duì)攻擊、惡意代碼和病毒等威脅的防御能力,保證系統(tǒng)的穩(wěn)定性和安全性。

3.1.2 對(duì)防火墻的規(guī)則進(jìn)行優(yōu)化

設(shè)置合理的防火墻規(guī)則,對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過(guò)濾和限制,加強(qiáng)對(duì)不同網(wǎng)絡(luò)層次之間的通信管控。同時(shí),針對(duì)常見(jiàn)攻擊方式和流量進(jìn)行規(guī)則修訂,例如IP地址、協(xié)議、端口等進(jìn)行逐一篩查管理,增強(qiáng)對(duì)違規(guī)訪(fǎng)問(wèn)或不明威脅的阻止。

3.1.3 采取虛擬專(zhuān)用網(wǎng)(VPN)等技術(shù)措施

將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開(kāi)來(lái),減少系統(tǒng)被攻擊的風(fēng)險(xiǎn)。采用可信安全防護(hù)設(shè)備和自主研發(fā)的安全軟件對(duì)防火墻和網(wǎng)絡(luò)設(shè)備進(jìn)行加固和加密,提高系統(tǒng)的安全性和穩(wěn)定性。防火墻還應(yīng)該設(shè)置日志記錄功能,及時(shí)記錄所有進(jìn)入或離開(kāi)網(wǎng)絡(luò)的信息流量,并對(duì)惡意攻擊等安全事件及時(shí)處理。

3.2 提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn)

隨著科技的發(fā)展,監(jiān)控系統(tǒng)在水電廠(chǎng)中得到廣泛應(yīng)用。然而,如何保障監(jiān)控系統(tǒng)的安全性和穩(wěn)定性,是值得考慮的問(wèn)題。提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn)是保障系統(tǒng)安全的重要措施。

3.2.1 對(duì)監(jiān)控系統(tǒng)合理布局

對(duì)監(jiān)控系統(tǒng)進(jìn)行合理的規(guī)劃布局,合理分區(qū)并設(shè)置限制與控制。如果監(jiān)控系統(tǒng)正在運(yùn)行敏感的信息或應(yīng)用程序,需要采取更嚴(yán)格的控制措施。例如,將具有相同密級(jí)和其他安全特征的信息或應(yīng)用程序放置在獨(dú)立的區(qū)域內(nèi),并采取設(shè)置門(mén)禁、刷卡等物理隔離訪(fǎng)問(wèn)控制措施,以確保系統(tǒng)的安全可靠。

3.2.2 選擇高品質(zhì)的監(jiān)控設(shè)備

增加攝像頭的數(shù)量及其安裝位置,采用高清晰度的監(jiān)控?cái)z像頭,增加系統(tǒng)的可靠性和受控性,以及有效監(jiān)測(cè)攻擊和操作活動(dòng)。

3.2.3 加固系統(tǒng)硬件和軟件安全

更換安全性能更強(qiáng)的存儲(chǔ)設(shè)備,增強(qiáng)對(duì)數(shù)據(jù)的保護(hù);對(duì)監(jiān)控系統(tǒng)中的軟件、驅(qū)動(dòng)等進(jìn)行管理與升級(jí),及時(shí)修補(bǔ)安全漏洞,防止黑客攻擊。

3.2.4 宣傳物理隔離的重要性

向所有工作人員宣傳物理隔離的重要性和方法,引導(dǎo)員工自覺(jué)遵守企業(yè)安全管理規(guī)定,增強(qiáng)員工的安全意識(shí)和應(yīng)急反應(yīng)能力。

3.3 加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)優(yōu)化進(jìn)程

網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)母咝А⒎€(wěn)定和安全是保障網(wǎng)絡(luò)正常運(yùn)行以及信息安全的必要條件。然而,在日益增多的網(wǎng)絡(luò)攻擊、病毒、惡意軟件等黑客攻擊下,如何加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)優(yōu)化進(jìn)程變得尤為重要。

3.3.1 保護(hù)網(wǎng)絡(luò)設(shè)備的安全性

提高網(wǎng)絡(luò)設(shè)備的防護(hù)性能,確保設(shè)備本身的安全,須選擇符合標(biāo)準(zhǔn)的設(shè)備,加強(qiáng)對(duì)硬件和軟件的安全管理,對(duì)其進(jìn)行加密、認(rèn)證和授權(quán)等技術(shù)手段,有效地保護(hù)網(wǎng)絡(luò)設(shè)備的安全性。

3.3.2 設(shè)置合理的防火墻規(guī)則

采用嚴(yán)格的訪(fǎng)問(wèn)控制和鑒別技術(shù),限制違規(guī)訪(fǎng)問(wèn),防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)。配置成熟的防火墻軟件,加強(qiáng)對(duì)流量的監(jiān)管,自動(dòng)發(fā)現(xiàn)并攔截惡意程序和異常流量,確保網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。同時(shí),還應(yīng)加強(qiáng)加密技術(shù)的應(yīng)用,通過(guò)使用各種加密算法,保護(hù)數(shù)據(jù)傳輸?shù)碾[私性和機(jī)密性。例如,SSL/TLS協(xié)議、IPSec、SSH等加密技術(shù),均可以有效保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。

3.3.3 定期進(jìn)行安全漏洞掃描及人工檢查

在安全漏洞掃描中,工作人員可以通過(guò)本地或遠(yuǎn)程掃描的方式檢測(cè)系統(tǒng)的安全漏洞、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)、用戶(hù)賬號(hào)、口令等目標(biāo),是否存在的安全風(fēng)險(xiǎn)、漏洞和威脅。在安全掃描過(guò)程中,其主要需要注重系統(tǒng)安全漏洞、網(wǎng)絡(luò)層安全漏洞和應(yīng)用層安全漏三個(gè)層面的問(wèn)題。其中系統(tǒng)安全漏洞主要包括操作系統(tǒng)本身不安全的因素和安全配置存在問(wèn)題,網(wǎng)絡(luò)層安全漏洞主要關(guān)注網(wǎng)絡(luò)身份認(rèn)證、網(wǎng)絡(luò)資源訪(fǎng)問(wèn)控制、數(shù)據(jù)傳輸保密與完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全和入侵檢測(cè)等,而應(yīng)用層安全漏洞則考慮網(wǎng)絡(luò)對(duì)用戶(hù)提供服務(wù)的應(yīng)用軟件安全性,包括數(shù)據(jù)庫(kù)軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件及其他網(wǎng)絡(luò)服務(wù)等。在進(jìn)行人工檢查時(shí)則需要檢查操作系統(tǒng)的配置是否達(dá)到最優(yōu)狀態(tài),以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。同時(shí),確認(rèn)操作系統(tǒng)自身的保護(hù)機(jī)制是否已經(jīng)實(shí)現(xiàn),以及相應(yīng)的管理機(jī)制是否安全也是極為必要的。此外,工作人員還需要檢查操作系統(tǒng)為網(wǎng)絡(luò)提供的保護(hù)措施是否有效,并且這些措施是否被正確地配置。再者,工作人員還需要關(guān)注操作系統(tǒng)是否定期升級(jí)或更新,以保持其最新的安全補(bǔ)丁和修復(fù)程序。最后,需要注意檢查操作系統(tǒng)是否存在漏洞或后門(mén),并及時(shí)采取措施加以修復(fù)。這些人工檢查內(nèi)容能夠有效地提升操作系統(tǒng)的安全性和穩(wěn)定性,以滿(mǎn)足信息安全體系的需求。

3.4 監(jiān)控系統(tǒng)防護(hù)入侵策略的優(yōu)化

3.4.1 入侵防御

監(jiān)控系統(tǒng)在保障安全和維持運(yùn)行方面具有重要作用,但是監(jiān)控系統(tǒng)經(jīng)常成為黑客攻擊的目標(biāo)。因此,確保監(jiān)控系統(tǒng)免受入侵,防止數(shù)據(jù)泄露和操作失誤,是至關(guān)重要的。為了優(yōu)化監(jiān)控系統(tǒng)的防護(hù)入侵策略,可以采取以下措施:

(1)建立健全的防火墻策略,設(shè)置合理的訪(fǎng)問(wèn)控制機(jī)制,對(duì)入侵者進(jìn)行鑒別和隔離。合理分類(lèi)不同的網(wǎng)絡(luò)節(jié)點(diǎn)和數(shù)據(jù)流,設(shè)置不同的權(quán)限和安全性級(jí)別,最大程度限制入侵者的篡改破壞和竊取數(shù)據(jù)。

(2)加強(qiáng)系統(tǒng)日志和安全審計(jì)的監(jiān)管和管理。記錄用戶(hù)訪(fǎng)問(wèn)、修改、刪除等操作行為,完善管理制度,及時(shí)預(yù)警有可能出現(xiàn)的問(wèn)題,并盡快采取相應(yīng)的解決措施。加強(qiáng)設(shè)備的安全檢測(cè)和修復(fù)工作,提高系統(tǒng)審核的精度和效果。

(3)定期開(kāi)展安全培訓(xùn)和意識(shí)教育。通過(guò)多種途徑向員工宣傳安全防范知識(shí),強(qiáng)化員工安全意識(shí),并向員工介紹新的安全漏洞、病毒、攻擊技術(shù)等,引起員工對(duì)網(wǎng)絡(luò)安全的高度重視。

(4)加強(qiáng)合作伙伴和供應(yīng)商的監(jiān)管。與合作伙伴和供應(yīng)商建立嚴(yán)格的監(jiān)管和管理制度,并要求其采取相應(yīng)的安全保護(hù)措施,避免安全事件對(duì)本企業(yè)造成損失和影響。

3.4.2 防病毒措施

(1)防病毒軟件應(yīng)該支持多種操作系統(tǒng)平臺(tái),包括:Windows9x/Me/NT/2000/XP/2003、Unix、Linux等。此外,還具備支持群件系統(tǒng)Lotus Notes和MS Exchange郵件服務(wù)器的實(shí)時(shí)監(jiān)控和查殺毒。要求支持廣泛操作系統(tǒng)平臺(tái)的作用是將來(lái)可以比較容易地進(jìn)行擴(kuò)展。

(2)應(yīng)能監(jiān)測(cè)引導(dǎo)型病毒、內(nèi)存病毒、文件病毒、蠕蟲(chóng)、宏病毒、木馬、惡意Java小程序和ActiveX代碼等各種病毒,能自動(dòng)回復(fù)病毒修改的注冊(cè)表,自動(dòng)刪除特洛伊/木馬程序。

(3)對(duì)smtp、pop3協(xié)議郵件進(jìn)行實(shí)時(shí)監(jiān)控保護(hù),并且支持對(duì)Lotus Notes和MS Exchange郵件服務(wù)器的實(shí)時(shí)監(jiān)控和查殺毒,對(duì)所有進(jìn)出郵件服務(wù)器的郵件進(jìn)行病毒掃描。

(4)具備實(shí)時(shí)檢測(cè)病毒的功能,同時(shí)支持手動(dòng)掃描。

(5)要求支持后臺(tái)檢測(cè),采用低資源占用檢測(cè)技術(shù),對(duì)系統(tǒng)資源、網(wǎng)絡(luò)帶寬占用少。

(6)實(shí)時(shí)檢測(cè)并清除各種常用壓縮格式文件內(nèi)部的病毒,查殺包括arj、rar、cab、cml、jar等多種格式的壓縮文件。

(7)支持對(duì)病毒的多種處理方式。根據(jù)實(shí)際情況,可分別對(duì)染毒文件進(jìn)行實(shí)時(shí)查殺、刪除文件、重命名、只報(bào)告等方式,清除文件前可進(jìn)行備份,對(duì)不能處理的病毒文件進(jìn)行隔離。

(8)對(duì)于公共服務(wù)器的訪(fǎng)問(wèn),提供帶毒用戶(hù)的隔離措施。一旦發(fā)現(xiàn)帶毒用戶(hù)訪(fǎng)問(wèn)或者上傳染毒文件,自動(dòng)阻止其連接,防止病毒通過(guò)公共服務(wù)器大范圍傳播。

(9)提供封鎖文件訪(fǎng)問(wèn)的功能。通過(guò)封鎖指定擴(kuò)展名的方式,拒絕對(duì)所有該類(lèi)型文件的訪(fǎng)問(wèn),以此在特殊情況下保護(hù)關(guān)鍵文件。

(10)支持用戶(hù)根據(jù)實(shí)際需要定制針對(duì)特定目標(biāo)的定時(shí)掃描任務(wù);可以根據(jù)用戶(hù)的實(shí)際情況,排除不需要掃描的對(duì)象。

(11)要求采用雙引擎技術(shù),為查殺計(jì)算機(jī)病毒提供更全面的手段。

3.4.3 主機(jī)加固

3.4.3.1 防止程序非法終止

防止未經(jīng)授權(quán)的超級(jí)用戶(hù)非法終止重要進(jìn)程及后臺(tái)守護(hù)進(jìn)程,保證服務(wù)器的正常運(yùn)行,一些關(guān)鍵的進(jìn)程如數(shù)據(jù)庫(kù)守護(hù)進(jìn)程、應(yīng)用程序進(jìn)程等應(yīng)該一直運(yùn)行,不應(yīng)該被終止。提供對(duì)進(jìn)程的保護(hù),可以截取發(fā)向系統(tǒng)的進(jìn)程結(jié)束信號(hào)。被保護(hù)的進(jìn)程可以正?；虍惓Ｍ顺?但不能被非授權(quán)的用戶(hù)(包括超級(jí)用戶(hù))終止,這就保護(hù)了誤操作造成的關(guān)鍵進(jìn)程的異常終止,保障了系統(tǒng)的可靠性,只有通過(guò)認(rèn)證的超級(jí)用戶(hù)可以結(jié)束進(jìn)程。

3.4.3.2 文件的訪(fǎng)問(wèn)控制權(quán)限

通過(guò)細(xì)化用戶(hù)的文件訪(fǎng)問(wèn)權(quán)限規(guī)定,嚴(yán)格限制了用戶(hù)對(duì)文件的訪(fǎng)問(wèn)權(quán)。例如可以設(shè)置保護(hù)的文件即使超級(jí)用戶(hù)也只能讀,不能進(jìn)行修改,同時(shí),還可以完整檢查文件內(nèi)容是否被修改過(guò)。除此而外,還可采取訪(fǎng)問(wèn)控制列表的方式確定用戶(hù)對(duì)文件的訪(fǎng)問(wèn)權(quán)限,因此,每一個(gè)不同的用戶(hù)都可以對(duì)文件有不同的權(quán)限,而不僅僅限于屬主、同組者和其他用戶(hù)三種情況,這就增加了控制的靈活性。

3.4.3.3 進(jìn)程管理

通過(guò)管理控制臺(tái)實(shí)時(shí)顯示連接站點(diǎn)的進(jìn)程狀態(tài),可以選擇進(jìn)程添加/刪除訪(fǎng)問(wèn)控制和發(fā)送信號(hào),可實(shí)時(shí)查看當(dāng)前進(jìn)程和進(jìn)程設(shè)置防kill保護(hù),還可以對(duì)進(jìn)程發(fā)送多種信號(hào),方便管理員管理維護(hù)系統(tǒng),及時(shí)地停止可疑程序或進(jìn)程。

3.4.3.4 主動(dòng)的入侵防護(hù)及審計(jì)跟蹤

當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全的操作時(shí),系統(tǒng)能利用自身功能對(duì)用戶(hù)在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)進(jìn)行阻斷,并且由系統(tǒng)向管理員進(jìn)行報(bào)警,實(shí)現(xiàn)主動(dòng)的入侵防御功能。

3.4.3.5 權(quán)限分離及最小特權(quán)實(shí)現(xiàn)

操作系統(tǒng)訪(fǎng)問(wèn)控制的最佳策略是權(quán)限分離和最小特權(quán)原則。通過(guò)嚴(yán)格分開(kāi)系統(tǒng)管理員和安全管理員的權(quán)限,以控制超級(jí)用戶(hù)的權(quán)限,可有效防止內(nèi)部人員的越權(quán)訪(fǎng)問(wèn)和外部的攻擊。

3.4.3.6 先進(jìn)的程序自我保護(hù)

系統(tǒng)使用了全球領(lǐng)先的內(nèi)核密封技術(shù)管理內(nèi)核模塊的加載/卸載,可阻斷對(duì)內(nèi)核的惡意攻擊。系統(tǒng)還具有內(nèi)核隱藏功能,它隱藏了安全內(nèi)核,并自動(dòng)保護(hù)自身系統(tǒng)程序目錄和文件,可防止安全內(nèi)核程序被刪除,最大限度地降低了安全風(fēng)險(xiǎn)。

3.4.3.7 靈活的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制

系統(tǒng)提供了主機(jī)防火墻功能,系統(tǒng)管理員可以根據(jù)需要設(shè)計(jì)安全策略來(lái)控制基于網(wǎng)絡(luò)的訪(fǎng)問(wèn),可通過(guò)設(shè)置拒絕或允許的IP和服務(wù)管理系統(tǒng)的外部訪(fǎng)問(wèn),也可對(duì)存在漏洞的連接進(jìn)行控制,阻斷外部非法訪(fǎng)問(wèn),避免被入侵者利用。

3.4.3.8 日志管理

系統(tǒng)提供了對(duì)安全日志和系統(tǒng)日志進(jìn)行詳細(xì)的記錄和保護(hù),內(nèi)容包括產(chǎn)品自身的安全配置和針對(duì)保護(hù)的目標(biāo)所作的操作日志、違規(guī)日志等,提供細(xì)粒度的查詢(xún)和檢索,方便進(jìn)行備份、保存、統(tǒng)計(jì)分析。

4 結(jié) 語(yǔ)

網(wǎng)絡(luò)安全是當(dāng)今社會(huì)中十分重要的一環(huán),對(duì)于保障信息的安全和穩(wěn)定具有至關(guān)重要的作用。在不斷發(fā)展的互聯(lián)網(wǎng)環(huán)境下,網(wǎng)絡(luò)安全面臨著越來(lái)越復(fù)雜和嚴(yán)峻的挑戰(zhàn),因此,需要采取相應(yīng)的措施,加強(qiáng)網(wǎng)絡(luò)安全保護(hù)。通過(guò)加強(qiáng)對(duì)硬件設(shè)備的防護(hù)、設(shè)置合理的防火墻、加強(qiáng)加密技術(shù)的應(yīng)用等多種手段,可以有效地提高網(wǎng)絡(luò)安全保障水平。同時(shí),也應(yīng)該注重人才的培養(yǎng)和引進(jìn),提高網(wǎng)絡(luò)安全技能和素質(zhì),增強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍力量,探索適合國(guó)情的網(wǎng)絡(luò)安全發(fā)展模式。只有這樣,才能確保網(wǎng)絡(luò)的安全和穩(wěn)定,為推動(dòng)信息化建設(shè)和數(shù)字經(jīng)濟(jì)的快速發(fā)展提供保障和支撐。