李 鵬

(大唐雅安電力開發(fā)有限公司,四川雅安 625500)

0 引 言

隨著社會的不斷發(fā)展和進(jìn)步,水電廠的生產(chǎn)運營已經(jīng)逐漸向著智能化、自動化方向發(fā)展。水電廠監(jiān)控信息系統(tǒng)作為水電廠的中樞神經(jīng)系統(tǒng),起到整個生產(chǎn)運營流程的關(guān)鍵作用。然而,隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)攻擊技術(shù)也愈來愈成熟和高級。因此,水電廠監(jiān)控信息系統(tǒng)的安全問題已經(jīng)日益引起人們的重視。安全一旦出現(xiàn)問題,不僅會造成生產(chǎn)經(jīng)濟(jì)上的巨大損失,還會對社會穩(wěn)定和人民生命財產(chǎn)安全造成巨大威脅。

針對水電廠監(jiān)控系統(tǒng)在信息安全領(lǐng)域存在的問題,必須對網(wǎng)絡(luò)系統(tǒng)的防火墻進(jìn)行優(yōu)化,提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn),加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)進(jìn)程,同時還要對監(jiān)控系統(tǒng)防護(hù)入侵策略進(jìn)行優(yōu)化,才能保證水電廠監(jiān)控信息系統(tǒng)更加安全可靠,降低潛在風(fēng)險,增強對水電廠生產(chǎn)運營的保障力度。

1 水電廠監(jiān)控系統(tǒng)概述

水電廠作為國民經(jīng)濟(jì)的重要組成部分,其生產(chǎn)運營的自動化程度不斷提高,監(jiān)控信息系統(tǒng)也在隨之發(fā)展。水電廠監(jiān)控系統(tǒng)是水電廠自動化控制系統(tǒng)的核心部分,是水電廠操作者獲取和控制水電廠信息的重要工具。它的主要功能是對水電廠的運行參數(shù)進(jìn)行實時監(jiān)測、收集和存儲,并對這些數(shù)據(jù)進(jìn)行自動化處理,依據(jù)預(yù)設(shè)好的算法規(guī)律采取必要的措施,保障水電廠的正常運行。

水電廠監(jiān)控系統(tǒng)主要由硬件設(shè)備與軟件系統(tǒng)構(gòu)成,硬件設(shè)備包括傳感器、控制器、執(zhí)行器等,而軟件系統(tǒng)則包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等。在實際應(yīng)用中,水電廠監(jiān)控系統(tǒng)一般包含人機(jī)界面(HMI)、數(shù)據(jù)采集與處理、數(shù)字信號處理與控制、通信管理、遠(yuǎn)程操作等功能模塊[1]。其中,人機(jī)界面HMI是水電廠操作者與監(jiān)控系統(tǒng)之間的橋梁,負(fù)責(zé)人機(jī)交互,顯示現(xiàn)場實時數(shù)據(jù)的狀態(tài)和控制命令的結(jié)果。數(shù)據(jù)采集與處理模塊是水電廠監(jiān)控系統(tǒng)的核心部分,主要負(fù)責(zé)對各種傳感器和設(shè)備的數(shù)據(jù)進(jìn)行采集、處理、分析和計算,并控制執(zhí)行器對系統(tǒng)進(jìn)行調(diào)整、控制和優(yōu)化。數(shù)字信號處理與控制模塊則負(fù)責(zé)對數(shù)據(jù)進(jìn)行數(shù)字化編碼,進(jìn)行數(shù)據(jù)流的傳輸、分析和處理。通信管理模塊是監(jiān)控系統(tǒng)與其他設(shè)備或系統(tǒng)之間的數(shù)據(jù)通信的重要部分,提供數(shù)據(jù)傳輸?shù)沫h(huán)節(jié)。遠(yuǎn)程操作模塊則允許操作者通過互聯(lián)網(wǎng)遠(yuǎn)程獲取水電廠運行數(shù)據(jù)及進(jìn)行遠(yuǎn)程控制。

2 水電廠監(jiān)控信息系統(tǒng)的網(wǎng)絡(luò)安全問題

2.1 網(wǎng)絡(luò)數(shù)據(jù)傳輸問題

水電廠監(jiān)控信息系統(tǒng)中的網(wǎng)絡(luò)數(shù)據(jù)傳輸是個重要環(huán)節(jié)。傳統(tǒng)的網(wǎng)絡(luò)通信方式采用明文傳輸,存在數(shù)據(jù)被竊聽和篡改的可能性,并且這些安全威脅會對水電廠的運行和生產(chǎn)帶來巨大損失。因此,保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浅ｊP(guān)鍵。為了解決這個問題,可采用數(shù)據(jù)加密技術(shù),對傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理。一般來說,對于需要保護(hù)的數(shù)據(jù),可以采用對稱加密算法或非對稱加密算法進(jìn)行加密,加密后的數(shù)據(jù)在傳輸過程中即使被截取,攻擊者也無法利用這些數(shù)據(jù)進(jìn)行攻擊[2]。而對于數(shù)據(jù)的完整性保護(hù),則可以通過數(shù)字簽名技術(shù)來實現(xiàn),保證接收方能夠驗證所收到數(shù)據(jù)的真實性和完整性,從而防止數(shù)據(jù)被篡改。此外,對于對數(shù)據(jù)加密解密進(jìn)行重復(fù)操作的情況,可以采用密鑰協(xié)商技術(shù),確保密鑰的安全性。在實際應(yīng)用中,為了更好地保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?還需要做好網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計、提升網(wǎng)絡(luò)通信速度和穩(wěn)定性、規(guī)范網(wǎng)絡(luò)訪問流程等工作。同時,還需要不斷增強網(wǎng)絡(luò)安全防御能力,包括制定安全策略、建立安全監(jiān)控機(jī)制、加強網(wǎng)絡(luò)安全培訓(xùn)等措施,提高網(wǎng)絡(luò)安全防護(hù)水平。

根據(jù)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案指導(dǎo),鍋浪蹺水電站地調(diào)數(shù)據(jù)網(wǎng)內(nèi)已劃分兩個VPN,分別是實時控制VPN和非控制生產(chǎn)VPN,分別供安全區(qū)I(實時控制區(qū))、安全區(qū)Ⅱ(非控制生產(chǎn)區(qū))數(shù)據(jù)上傳。站內(nèi)調(diào)度數(shù)據(jù)網(wǎng)作為數(shù)據(jù)采集中心,由調(diào)度數(shù)據(jù)網(wǎng)接入地調(diào)骨干接點,實現(xiàn)公司的調(diào)度自動化信息經(jīng)過調(diào)度數(shù)據(jù)網(wǎng)向地調(diào)傳送。

遠(yuǎn)動裝置經(jīng)三層交換機(jī)(實時交換機(jī))——實時縱向加密裝置——地調(diào)路由器設(shè)備接入地調(diào)。電能量采集、保信子站數(shù)據(jù)經(jīng)三層交換機(jī)(非實時交換機(jī))——非實時縱向加密裝置——地調(diào)路由器向地調(diào)傳輸。

2.2 網(wǎng)絡(luò)通信安全問題

水電廠監(jiān)控信息系統(tǒng)中的網(wǎng)絡(luò)通信安全問題,是指數(shù)據(jù)在網(wǎng)絡(luò)中傳輸過程中可能會被竊聽、篡改、偽造等,影響水電廠的生產(chǎn)和運營。在現(xiàn)代化的水電廠系統(tǒng)中,網(wǎng)絡(luò)已經(jīng)成為各個子系統(tǒng)之間協(xié)同工作的基礎(chǔ),也成了水電廠安全的最大的威脅源。因此,如何保證水電廠網(wǎng)絡(luò)通信的安全,保障系統(tǒng)的穩(wěn)定運行,是一項必須著重考慮的重要問題。為了加強水電廠網(wǎng)絡(luò)通信的安全,應(yīng)建立完善的網(wǎng)絡(luò)安全管理制度,按照“誰主管誰負(fù)責(zé),誰運營誰負(fù)責(zé)”原則,制定《計算機(jī)監(jiān)控系統(tǒng)管理制度》《計算機(jī)網(wǎng)絡(luò)管理制度》《監(jiān)控系統(tǒng)管理制度》《防病毒管理制度》《數(shù)據(jù)庫系統(tǒng)管理制度》。定期按要求更新密碼,采用禁止外網(wǎng)連接、權(quán)限登錄、加強宣貫培訓(xùn)、封閉閑置的USB接口、應(yīng)急預(yù)案演練等方式,確保系統(tǒng)安全穩(wěn)定運行。此外,在網(wǎng)絡(luò)通信中,進(jìn)一步加強數(shù)據(jù)傳輸?shù)陌踩砸彩呛苤匾?。一種方法是采用虛擬專用網(wǎng)絡(luò)技術(shù)(VPN)來保證網(wǎng)絡(luò)通信的安全性,使得數(shù)據(jù)在從發(fā)源端到目的端的過程中不被竊聽、篡改或截獲;另一種方法是采用身份驗證和訪問控制技術(shù)來防止非法用戶訪問網(wǎng)絡(luò)資源。在此基礎(chǔ)上,還應(yīng)該增強系統(tǒng)的日志管理和審計功能,及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)安全事件[3]。

2.3 系統(tǒng)防火墻問題

系統(tǒng)防火墻是現(xiàn)代化水電廠監(jiān)控信息系統(tǒng)中網(wǎng)絡(luò)安全的第一道防線,在網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)連接處起著至關(guān)重要的作用,主要用于防止非法入侵和攻擊,保護(hù)系統(tǒng)的數(shù)據(jù)和應(yīng)用等資源安全。為了提高系統(tǒng)防火墻的安全功能,可以從以下方面著手:

(1)采用合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計,將不同功能的子網(wǎng)放置在各自的子網(wǎng)中,并設(shè)置網(wǎng)絡(luò)邊界,保證不同區(qū)域之間的流量只能通過防火墻進(jìn)行通信。同時,采用虛擬專用網(wǎng)(VPN)等技術(shù),將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來,有效減少系統(tǒng)被攻擊的風(fēng)險。

(2)在防火墻上設(shè)置規(guī)則,對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾和限制,設(shè)置合理的防火墻功能,可有效降低網(wǎng)絡(luò)被攻擊的危險性。此外,對具體的站點、IP地址、協(xié)議、端口等進(jìn)行深入細(xì)致的管理,增強網(wǎng)絡(luò)安全保護(hù)能力。

(3)設(shè)置檢測和過濾規(guī)則,通過分析和屏蔽惡意程序、垃圾郵件、病毒和木馬等有害信息,保證通信內(nèi)容的安全可靠。同時,也應(yīng)該對內(nèi)網(wǎng)與外網(wǎng)之間的通信進(jìn)行監(jiān)控,及時發(fā)現(xiàn)異常情況,做出相應(yīng)的處理。

(4)防火墻應(yīng)該設(shè)置安全日志記錄功能,記錄所有進(jìn)出網(wǎng)絡(luò)流量以及阻攔流量的詳細(xì)信息。及時分析和處理日志數(shù)據(jù),可以有效地提高系統(tǒng)對于攻擊事件的應(yīng)對能力,并為后續(xù)的網(wǎng)絡(luò)安全分析和處理提供有用的數(shù)據(jù)支持。

2.4 工作人員安全意識問題

工作人員安全意識問題是企業(yè)信息安全管理中非常重要的一環(huán)。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全威脅日益增多,企業(yè)面臨著越來越復(fù)雜的安全挑戰(zhàn)。而工作人員作為企業(yè)信息系統(tǒng)的重要組成部分,其安全意識和安全行為直接影響著企業(yè)的安全狀況[4],因此,需要加強對工作人員安全意識問題的培訓(xùn)和教育。

首先,在工程師站計算機(jī)管理中,其有權(quán)限進(jìn)入鍋浪蹺水電站微機(jī)防誤系統(tǒng)的操作人員,應(yīng)嚴(yán)格按變電運行規(guī)定及規(guī)程要求在微機(jī)防誤系統(tǒng)下,模擬操作及填寫、上傳、打印操作票。查看、填寫當(dāng)日發(fā)電日報表、月報表及相關(guān)數(shù)據(jù),必須經(jīng)當(dāng)值值班長同意或授權(quán),禁止打開、移動、刪除計算機(jī)目錄下的所有文件夾及文件,未經(jīng)系統(tǒng)管理員批準(zhǔn),禁止進(jìn)行數(shù)據(jù)拷貝或外來磁盤、光盤的插入和操作,嚴(yán)禁進(jìn)行與工作無關(guān)的任何操作。

其次,在使用辦公用計算機(jī)時,必須經(jīng)當(dāng)值值班長或系統(tǒng)管理員同意,并且詳細(xì)登記后方可使用。自己所建文件或文檔必須歸類到各自所屬磁盤的文件夾內(nèi),不準(zhǔn)將文檔、文件或文件夾亂擺亂放,不得隨意打開、移除、更改與自己無關(guān)的程序及文件。除上網(wǎng)向國電公司上傳報表數(shù)據(jù)外,未經(jīng)系統(tǒng)管理員同意或授權(quán),不得上網(wǎng)做與國電公司報表無關(guān)的事。嚴(yán)禁更改計算機(jī)的所有設(shè)置、安裝和刪除所有程序,嚴(yán)禁更改、刪除、移動計算機(jī)內(nèi)所有文件夾及文件,嚴(yán)禁外來磁盤以及光盤的插入和操作。通過此類措施,能夠大大提高員工的應(yīng)急反應(yīng)能力和相應(yīng)的處理能力,更好地保障企業(yè)信息安全[5]。

3 水電廠監(jiān)控系統(tǒng)安全防護(hù)優(yōu)化設(shè)計

3.1 網(wǎng)絡(luò)系統(tǒng)的防火墻優(yōu)化

網(wǎng)絡(luò)系統(tǒng)的防火墻優(yōu)化是保障水電廠監(jiān)控系統(tǒng)安全性的重要措施。防火墻是網(wǎng)絡(luò)系統(tǒng)的第一道防線,可有效地預(yù)防和阻攔惡意攻擊,保護(hù)系統(tǒng)的數(shù)據(jù)和應(yīng)用等資源安全。

3.1.1 升級改進(jìn)現(xiàn)有防火墻

對現(xiàn)有防火墻進(jìn)行評估,了解其安全漏洞和弱點,并根據(jù)情況進(jìn)行升級和改進(jìn)。例如,使用最新的防火墻設(shè)備和軟件,增強網(wǎng)絡(luò)對攻擊、惡意代碼和病毒等威脅的防御能力,保證系統(tǒng)的穩(wěn)定性和安全性。

3.1.2 對防火墻的規(guī)則進(jìn)行優(yōu)化

設(shè)置合理的防火墻規(guī)則,對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)行過濾和限制,加強對不同網(wǎng)絡(luò)層次之間的通信管控。同時,針對常見攻擊方式和流量進(jìn)行規(guī)則修訂,例如IP地址、協(xié)議、端口等進(jìn)行逐一篩查管理,增強對違規(guī)訪問或不明威脅的阻止。

3.1.3 采取虛擬專用網(wǎng)(VPN)等技術(shù)措施

將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來,減少系統(tǒng)被攻擊的風(fēng)險。采用可信安全防護(hù)設(shè)備和自主研發(fā)的安全軟件對防火墻和網(wǎng)絡(luò)設(shè)備進(jìn)行加固和加密,提高系統(tǒng)的安全性和穩(wěn)定性。防火墻還應(yīng)該設(shè)置日志記錄功能,及時記錄所有進(jìn)入或離開網(wǎng)絡(luò)的信息流量,并對惡意攻擊等安全事件及時處理。

3.2 提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn)

隨著科技的發(fā)展,監(jiān)控系統(tǒng)在水電廠中得到廣泛應(yīng)用。然而,如何保障監(jiān)控系統(tǒng)的安全性和穩(wěn)定性,是值得考慮的問題。提升監(jiān)控系統(tǒng)的物理隔離水準(zhǔn)是保障系統(tǒng)安全的重要措施。

3.2.1 對監(jiān)控系統(tǒng)合理布局

對監(jiān)控系統(tǒng)進(jìn)行合理的規(guī)劃布局,合理分區(qū)并設(shè)置限制與控制。如果監(jiān)控系統(tǒng)正在運行敏感的信息或應(yīng)用程序,需要采取更嚴(yán)格的控制措施。例如,將具有相同密級和其他安全特征的信息或應(yīng)用程序放置在獨立的區(qū)域內(nèi),并采取設(shè)置門禁、刷卡等物理隔離訪問控制措施,以確保系統(tǒng)的安全可靠。

3.2.2 選擇高品質(zhì)的監(jiān)控設(shè)備

增加攝像頭的數(shù)量及其安裝位置,采用高清晰度的監(jiān)控攝像頭,增加系統(tǒng)的可靠性和受控性,以及有效監(jiān)測攻擊和操作活動。

3.2.3 加固系統(tǒng)硬件和軟件安全

更換安全性能更強的存儲設(shè)備,增強對數(shù)據(jù)的保護(hù);對監(jiān)控系統(tǒng)中的軟件、驅(qū)動等進(jìn)行管理與升級,及時修補安全漏洞,防止黑客攻擊。

3.2.4 宣傳物理隔離的重要性

向所有工作人員宣傳物理隔離的重要性和方法,引導(dǎo)員工自覺遵守企業(yè)安全管理規(guī)定,增強員工的安全意識和應(yīng)急反應(yīng)能力。

3.3 加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)優(yōu)化進(jìn)程

網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)母咝А⒎€(wěn)定和安全是保障網(wǎng)絡(luò)正常運行以及信息安全的必要條件。然而,在日益增多的網(wǎng)絡(luò)攻擊、病毒、惡意軟件等黑客攻擊下,如何加快網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)姆雷o(hù)優(yōu)化進(jìn)程變得尤為重要。

3.3.1 保護(hù)網(wǎng)絡(luò)設(shè)備的安全性

提高網(wǎng)絡(luò)設(shè)備的防護(hù)性能,確保設(shè)備本身的安全,須選擇符合標(biāo)準(zhǔn)的設(shè)備,加強對硬件和軟件的安全管理,對其進(jìn)行加密、認(rèn)證和授權(quán)等技術(shù)手段,有效地保護(hù)網(wǎng)絡(luò)設(shè)備的安全性。

3.3.2 設(shè)置合理的防火墻規(guī)則

采用嚴(yán)格的訪問控制和鑒別技術(shù),限制違規(guī)訪問,防止未經(jīng)授權(quán)的訪問。配置成熟的防火墻軟件,加強對流量的監(jiān)管,自動發(fā)現(xiàn)并攔截惡意程序和異常流量,確保網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。同時,還應(yīng)加強加密技術(shù)的應(yīng)用,通過使用各種加密算法,保護(hù)數(shù)據(jù)傳輸?shù)碾[私性和機(jī)密性。例如,SSL/TLS協(xié)議、IPSec、SSH等加密技術(shù),均可以有效保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。

3.3.3 定期進(jìn)行安全漏洞掃描及人工檢查

在安全漏洞掃描中,工作人員可以通過本地或遠(yuǎn)程掃描的方式檢測系統(tǒng)的安全漏洞、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)、用戶賬號、口令等目標(biāo),是否存在的安全風(fēng)險、漏洞和威脅。在安全掃描過程中,其主要需要注重系統(tǒng)安全漏洞、網(wǎng)絡(luò)層安全漏洞和應(yīng)用層安全漏三個層面的問題。其中系統(tǒng)安全漏洞主要包括操作系統(tǒng)本身不安全的因素和安全配置存在問題,網(wǎng)絡(luò)層安全漏洞主要關(guān)注網(wǎng)絡(luò)身份認(rèn)證、網(wǎng)絡(luò)資源訪問控制、數(shù)據(jù)傳輸保密與完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全和入侵檢測等,而應(yīng)用層安全漏洞則考慮網(wǎng)絡(luò)對用戶提供服務(wù)的應(yīng)用軟件安全性,包括數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件及其他網(wǎng)絡(luò)服務(wù)等。在進(jìn)行人工檢查時則需要檢查操作系統(tǒng)的配置是否達(dá)到最優(yōu)狀態(tài),以保證網(wǎng)絡(luò)系統(tǒng)的正常運行。同時,確認(rèn)操作系統(tǒng)自身的保護(hù)機(jī)制是否已經(jīng)實現(xiàn),以及相應(yīng)的管理機(jī)制是否安全也是極為必要的。此外,工作人員還需要檢查操作系統(tǒng)為網(wǎng)絡(luò)提供的保護(hù)措施是否有效,并且這些措施是否被正確地配置。再者,工作人員還需要關(guān)注操作系統(tǒng)是否定期升級或更新,以保持其最新的安全補丁和修復(fù)程序。最后,需要注意檢查操作系統(tǒng)是否存在漏洞或后門,并及時采取措施加以修復(fù)。這些人工檢查內(nèi)容能夠有效地提升操作系統(tǒng)的安全性和穩(wěn)定性,以滿足信息安全體系的需求。

3.4 監(jiān)控系統(tǒng)防護(hù)入侵策略的優(yōu)化

3.4.1 入侵防御

監(jiān)控系統(tǒng)在保障安全和維持運行方面具有重要作用,但是監(jiān)控系統(tǒng)經(jīng)常成為黑客攻擊的目標(biāo)。因此,確保監(jiān)控系統(tǒng)免受入侵,防止數(shù)據(jù)泄露和操作失誤,是至關(guān)重要的。為了優(yōu)化監(jiān)控系統(tǒng)的防護(hù)入侵策略,可以采取以下措施:

(1)建立健全的防火墻策略,設(shè)置合理的訪問控制機(jī)制,對入侵者進(jìn)行鑒別和隔離。合理分類不同的網(wǎng)絡(luò)節(jié)點和數(shù)據(jù)流,設(shè)置不同的權(quán)限和安全性級別,最大程度限制入侵者的篡改破壞和竊取數(shù)據(jù)。

(2)加強系統(tǒng)日志和安全審計的監(jiān)管和管理。記錄用戶訪問、修改、刪除等操作行為,完善管理制度,及時預(yù)警有可能出現(xiàn)的問題,并盡快采取相應(yīng)的解決措施。加強設(shè)備的安全檢測和修復(fù)工作,提高系統(tǒng)審核的精度和效果。

(3)定期開展安全培訓(xùn)和意識教育。通過多種途徑向員工宣傳安全防范知識,強化員工安全意識,并向員工介紹新的安全漏洞、病毒、攻擊技術(shù)等,引起員工對網(wǎng)絡(luò)安全的高度重視。

(4)加強合作伙伴和供應(yīng)商的監(jiān)管。與合作伙伴和供應(yīng)商建立嚴(yán)格的監(jiān)管和管理制度,并要求其采取相應(yīng)的安全保護(hù)措施,避免安全事件對本企業(yè)造成損失和影響。

3.4.2 防病毒措施

(1)防病毒軟件應(yīng)該支持多種操作系統(tǒng)平臺,包括:Windows9x/Me/NT/2000/XP/2003、Unix、Linux等。此外,還具備支持群件系統(tǒng)Lotus Notes和MS Exchange郵件服務(wù)器的實時監(jiān)控和查殺毒。要求支持廣泛操作系統(tǒng)平臺的作用是將來可以比較容易地進(jìn)行擴(kuò)展。

(2)應(yīng)能監(jiān)測引導(dǎo)型病毒、內(nèi)存病毒、文件病毒、蠕蟲、宏病毒、木馬、惡意Java小程序和ActiveX代碼等各種病毒,能自動回復(fù)病毒修改的注冊表,自動刪除特洛伊/木馬程序。

(3)對smtp、pop3協(xié)議郵件進(jìn)行實時監(jiān)控保護(hù),并且支持對Lotus Notes和MS Exchange郵件服務(wù)器的實時監(jiān)控和查殺毒,對所有進(jìn)出郵件服務(wù)器的郵件進(jìn)行病毒掃描。

(4)具備實時檢測病毒的功能,同時支持手動掃描。

(5)要求支持后臺檢測,采用低資源占用檢測技術(shù),對系統(tǒng)資源、網(wǎng)絡(luò)帶寬占用少。

(6)實時檢測并清除各種常用壓縮格式文件內(nèi)部的病毒,查殺包括arj、rar、cab、cml、jar等多種格式的壓縮文件。

(7)支持對病毒的多種處理方式。根據(jù)實際情況,可分別對染毒文件進(jìn)行實時查殺、刪除文件、重命名、只報告等方式,清除文件前可進(jìn)行備份,對不能處理的病毒文件進(jìn)行隔離。

(8)對于公共服務(wù)器的訪問,提供帶毒用戶的隔離措施。一旦發(fā)現(xiàn)帶毒用戶訪問或者上傳染毒文件,自動阻止其連接,防止病毒通過公共服務(wù)器大范圍傳播。

(9)提供封鎖文件訪問的功能。通過封鎖指定擴(kuò)展名的方式,拒絕對所有該類型文件的訪問,以此在特殊情況下保護(hù)關(guān)鍵文件。

(10)支持用戶根據(jù)實際需要定制針對特定目標(biāo)的定時掃描任務(wù);可以根據(jù)用戶的實際情況,排除不需要掃描的對象。

(11)要求采用雙引擎技術(shù),為查殺計算機(jī)病毒提供更全面的手段。

3.4.3 主機(jī)加固

3.4.3.1 防止程序非法終止

防止未經(jīng)授權(quán)的超級用戶非法終止重要進(jìn)程及后臺守護(hù)進(jìn)程,保證服務(wù)器的正常運行,一些關(guān)鍵的進(jìn)程如數(shù)據(jù)庫守護(hù)進(jìn)程、應(yīng)用程序進(jìn)程等應(yīng)該一直運行,不應(yīng)該被終止。提供對進(jìn)程的保護(hù),可以截取發(fā)向系統(tǒng)的進(jìn)程結(jié)束信號。被保護(hù)的進(jìn)程可以正常或異常退出,但不能被非授權(quán)的用戶(包括超級用戶)終止,這就保護(hù)了誤操作造成的關(guān)鍵進(jìn)程的異常終止,保障了系統(tǒng)的可靠性,只有通過認(rèn)證的超級用戶可以結(jié)束進(jìn)程。

3.4.3.2 文件的訪問控制權(quán)限

通過細(xì)化用戶的文件訪問權(quán)限規(guī)定,嚴(yán)格限制了用戶對文件的訪問權(quán)。例如可以設(shè)置保護(hù)的文件即使超級用戶也只能讀,不能進(jìn)行修改,同時,還可以完整檢查文件內(nèi)容是否被修改過。除此而外,還可采取訪問控制列表的方式確定用戶對文件的訪問權(quán)限,因此,每一個不同的用戶都可以對文件有不同的權(quán)限,而不僅僅限于屬主、同組者和其他用戶三種情況,這就增加了控制的靈活性。

3.4.3.3 進(jìn)程管理

通過管理控制臺實時顯示連接站點的進(jìn)程狀態(tài),可以選擇進(jìn)程添加/刪除訪問控制和發(fā)送信號,可實時查看當(dāng)前進(jìn)程和進(jìn)程設(shè)置防kill保護(hù),還可以對進(jìn)程發(fā)送多種信號,方便管理員管理維護(hù)系統(tǒng),及時地停止可疑程序或進(jìn)程。

3.4.3.4 主動的入侵防護(hù)及審計跟蹤

當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全的操作時,系統(tǒng)能利用自身功能對用戶在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對進(jìn)行阻斷,并且由系統(tǒng)向管理員進(jìn)行報警,實現(xiàn)主動的入侵防御功能。

3.4.3.5 權(quán)限分離及最小特權(quán)實現(xiàn)

操作系統(tǒng)訪問控制的最佳策略是權(quán)限分離和最小特權(quán)原則。通過嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限,以控制超級用戶的權(quán)限,可有效防止內(nèi)部人員的越權(quán)訪問和外部的攻擊。

3.4.3.6 先進(jìn)的程序自我保護(hù)

系統(tǒng)使用了全球領(lǐng)先的內(nèi)核密封技術(shù)管理內(nèi)核模塊的加載/卸載,可阻斷對內(nèi)核的惡意攻擊。系統(tǒng)還具有內(nèi)核隱藏功能,它隱藏了安全內(nèi)核,并自動保護(hù)自身系統(tǒng)程序目錄和文件,可防止安全內(nèi)核程序被刪除,最大限度地降低了安全風(fēng)險。

3.4.3.7 靈活的網(wǎng)絡(luò)訪問控制

系統(tǒng)提供了主機(jī)防火墻功能,系統(tǒng)管理員可以根據(jù)需要設(shè)計安全策略來控制基于網(wǎng)絡(luò)的訪問,可通過設(shè)置拒絕或允許的IP和服務(wù)管理系統(tǒng)的外部訪問,也可對存在漏洞的連接進(jìn)行控制,阻斷外部非法訪問,避免被入侵者利用。

3.4.3.8 日志管理

系統(tǒng)提供了對安全日志和系統(tǒng)日志進(jìn)行詳細(xì)的記錄和保護(hù),內(nèi)容包括產(chǎn)品自身的安全配置和針對保護(hù)的目標(biāo)所作的操作日志、違規(guī)日志等,提供細(xì)粒度的查詢和檢索,方便進(jìn)行備份、保存、統(tǒng)計分析。

4 結(jié) 語

網(wǎng)絡(luò)安全是當(dāng)今社會中十分重要的一環(huán),對于保障信息的安全和穩(wěn)定具有至關(guān)重要的作用。在不斷發(fā)展的互聯(lián)網(wǎng)環(huán)境下,網(wǎng)絡(luò)安全面臨著越來越復(fù)雜和嚴(yán)峻的挑戰(zhàn),因此,需要采取相應(yīng)的措施,加強網(wǎng)絡(luò)安全保護(hù)。通過加強對硬件設(shè)備的防護(hù)、設(shè)置合理的防火墻、加強加密技術(shù)的應(yīng)用等多種手段,可以有效地提高網(wǎng)絡(luò)安全保障水平。同時,也應(yīng)該注重人才的培養(yǎng)和引進(jìn),提高網(wǎng)絡(luò)安全技能和素質(zhì),增強網(wǎng)絡(luò)安全人才隊伍力量,探索適合國情的網(wǎng)絡(luò)安全發(fā)展模式。只有這樣,才能確保網(wǎng)絡(luò)的安全和穩(wěn)定,為推動信息化建設(shè)和數(shù)字經(jīng)濟(jì)的快速發(fā)展提供保障和支撐。