常見的信息安全事件精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的信息安全事件主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:常見的信息安全事件范文
關鍵詞:建筑施工;現場安全管理;信息系統;
中圖分類號:TU7文獻標識碼: A
前言:經過多年的探索與實踐, 我國的建筑施工安全管理模式已經得到了一定的完善, 但目前依然面臨著需要解決的難題,比如,在建設規模不斷擴大的背景下, 建筑從業人員中農民工所占的比例也在不斷上升, 目前已達到80%以上, 由于部分農民工缺乏安全防護技能, 再加上現場防護設施不完善, 這就給安全管理帶來了困難; 建筑施工工作具有較強的動態變化性, 如施工平臺 施工材料及施工工序等均會發生變化,在進行安全管理時, 需要控制多種因素, 如設備及人員等, 難以面面俱到 因此, 在動態變化性較強的施工工作中存在較多的安全隱患;建筑工程結構的多樣化也加大了安全管理工作的難度 如建筑結構不同, 其施工工藝 防護用品及地質勘查等的安全管理要求也存在一定的差異, 在實際的管理工作中必須對安全措施進行調整, 才能夠滿足安全生產要求。
建筑施工現場安全管理信息系統的需求
項目的建設經過了大量的調研,調研的對象包括企業人力資源部、財務部、項
目管理,要包括項目施工管理人員、施工現場工人,調研的內容包括了項目功能
需求、項目的工作內容和項目的數據規格,分析的資料包括了各類管理文件和管
理中產生的各類單據,通過調研對需求的描述如下:
1.1、用工的信息管理
(1)工人的信息內容包括:姓名、身份證號、年齡、技能等級、工種、家庭住
址、主要聯系方式、所在項目信息、工長信息、合同編號、合同日期;
(2)工人信息的管理包括信息的添加、編輯、統計;
(3)信息的添加由人力資源負責,信息的查詢權限授予人力資源部、項目管理
部、施工管理部、安全管理部門。
1.2施工日志管理
(1)施工日志管理需要記錄的內容包括:職工號、施工日期、起止時間、工作
崗位、場地編號;
(2)施工日的天氣情況,包括氣溫、風力、是否霧霾、雨雪情況;
(3)職工號、施工日期、起止時間、場地編號由讀卡采集設備生成,天氣情況、
工作崗位由系統管理員錄入。
1.3合同管理
合同管理的主要目的是實現合同管理的數字化、方便合同信息的查閱,合同管
理記錄工人姓名、身份證號、合同簽訂日期、有效期、合同內容、工資標準、崗位。
1.4系統管理
系統管理的內容包括:工人信息的錄入或導入、項目信息的錄入、出勤統計管
理、短信的統計管理、系統的用戶的角色分配與授權,系統數據的備份與還原。
數據的操作根據用戶的權限分配授予相關部門。
2.系統的性能分析
施工現場信息的采集與發放依靠無線網絡和移動通信網絡完成,部分數據需要離線采集定期更新。因此在出勤數據進行定期更新,即每天更新1次,位置數據由無線網絡實時完成。工資和出勤查詢采用短信完成,其中工資數據發送延遲不大于2小時,短信查詢可以滿足300人同時查詢,系統響應時間不大于10秒,短信息發送時間根據當地通信提供商網絡情況而定;網站查詢在256K網絡情況下,100人同時訪問,頁面應該在8秒內打開。
系統設計
3.1建筑施工單位是系統的主要用戶之一,需要完成的活動包括:考勤查看,實時了解出工情況;施工日志的記錄工作;發送施工安排相關通知;查看工人的基本信息;查看工人的實時位置信息。
3.2系統的軟件架構
系統采用了 B/S架構與C/S架構混合的架構,如項目部與人力資源部相關的業務,由于工作地點網絡情況較好,因此采用了基于Web的管理方式;面向工人的考勤管理,位置管理等采用了終端設備與服務端相連的C/S架構;而工資查詢和出勤查詢則提供短信和Web查詢兩種方式,即滿足了工人在互聯網沒有覆蓋,而有手機通信網絡的條件下通過手機查詢,也滿足了工人利用智能手機上網查詢的需要。
3.3系統的類設計
1).施工單位項目類
施工項目類的特殊包括項目的編號、項目名稱、項目地址等關鍵信息,施工項目的對象可以進行的操作包括對施工單位的管理,如添加勞務單位、修改勞務單位、項目成立等.
2)勞務單位類
勞務單位類的主要特性包括編號、類型、負責人等信息,能夠完成的操作包括成
立隊伍、解散隊伍、更換負責人等操作.
3)工人類
工人類的特性包括工人的自然屬性,如職工號、姓名、出生日期,工作屬性包
括工種、合同類型等;職工類可以完成的操作主要為各類信息的查詢,包括出勤
信息、工資信息、個人信息等.
3.4關于建筑管理信息系統的其他幾點建議
建筑工程作為一種野外分布的線性工程,施工面狹長,流動性大,臨時工程多,容易受外界因素的干擾;特別是目前建筑的建設中,高等級建筑占有的比例越來越大,而高等級建筑建設本身還具有工程規模大、涉及面廣、質量標準和技術要求高、施工單位和協作配合環節多等特點。
建筑施工管理中應用管理信息系統,要始終以安全管理體系為系統主線,保證建筑施工所實施的安全管理體系,突出了施工企業安全第一的思想,全面執行安全管理的可追溯性的原則,劃分了管理要素,體現出全員參與、責任到人的管理思路,把生產管理信息作為主體,輔以服務信息的回饋,來加強企業全面管理的領導、決策和控制職能。因此,信息管理應當依照確定的安全體系中的組織機構和管理程序的劃分來建立網絡,設立相應的管理程序和制度。
施工管理人員必須收集、歸納整理、分析研究、掌握涉及本項目的建筑安全管理方面的各種法律法規和規章制度、建筑安全技術標準、規范、公司對于安全管理的制度和要求、以及施工項目的有關技術文件和資料。制定項目各個崗位,各類人員的管理責任制度,施工管理制度和施工技術措施方案,總結施工管理經驗,將資料整理歸檔,優秀的文本可以保存為范本,這些經驗應該不斷積累起來,成為以后項目的參考。
對建筑工程企業來講,人員的工作方式從傳統的面對面的交流,轉向大多基于網絡的交流,是一個較大的變革,如何適應這個變化對每個人都至關重要,另外,隨著信息系統應用的深入,安全問題也更加突出。系統的安全包括網絡平臺本身的安全和數據的安全,這一方面要加強人員的安全意識教育,建立嚴格的保密管理制度,防范竊密和泄密,保護知識產權不受侵犯,此外還要在軟、硬件系統的建設上進一步加強安全機制。
注意加強對信息管理系統使用情況的監督檢查,把該系統的使用情況作為日常現場檢查時的重點內容之一,對信息記錄不準確或未按規定時間上報數據等問題,及時督促施工現場予以糾正,確保建筑施工現場信息管理系統的正常運行。并及時通過信息管理系統了解現場的基本情況,開展有針對性地監督檢查。
4.建筑施工現場安全管理信息系統的總體結構框架
建筑施工現場影響安全的主要因素分為人的因素和物的因素,人的不安全因素和物的不安全狀態 ,是導致安全事故發生的直接原因, 我們可以通過加強對人員的管理及教育培訓來減少人的不安全行為, 可以通過對建筑施工現場所用設備的安全管理來降低物的不安全狀態 。安全第一, 預防為主 ,查找 、分析和預測工程 、系統中存在的危險有害因素及可能導致的事故的嚴重程度 ,提出合理可行的安全對策措施是建筑施工現場安全管理的重要任務 。通過相關規范的要求 ,系統設計了系統管理 ,基本信息管理模塊 ,安全生產管理模塊 ,機械設備管理模塊 ,安全教育與培訓模塊 ,安全生產環保勞動保護法規與標準模塊, 安全技術交底模塊七個模塊 。
4.1系統管理 ,主要包括用戶及權限管理、 數據庫設置 、數據備份 、數據還原 、退出等內容 ,管理信息系統基本都包含本模塊, 所以本文對此并不會做過多的介紹。
4.2基本信息管理 ,存儲施工現場的基本信息,主要包括 工程信息、 單位信息 、員工信息等 ,這些信息可以基本描述施工現場的基本情況, 同時為其他模塊提供相應的數據
4.3安全生產管理, 記錄每天施工現場的重要信息, 通過安全評價發現施工現場的事故隱患和危險源 ,并作出預防措施 ,記錄已發生事故的詳細信息 ,吸取失敗的教訓。
4.4機械設備管理。 用于管理施工現場的機械設備安全教育與培訓 ,主要包括學習 ,安全資料管理 ,培訓信息管理, 數據庫擴充等功能安全生產環保勞動保護法規與標準 ,儲存著有關建筑工程安全生產 ,環境保護, 職業健康安
全的重要法律法規與標準規范, 具有強大的查詢功能和擴充功能。
4.5安全技術交底
儲存建筑施工現場所用的大部分安全交底表格。
結束語:建筑類企業存在施工項目多、項目地點變化頻繁,各個項目用工種類多,工人流動性大、工人總數較多。為加強企業對用工的實時監控并規范各個項目的人員,統一管理規范,企業需要開發管理信息系統對各個項目的用工情況進行統一管理。系統的應用明顯規范了公司各個項目的用工情況;做到了實時了解企業的用工總數、用工的項目分布情況;對項目用工有了明確的施工日志記錄,做到了工作情況可核查;實現了工人工資的網絡化管理,實現了網絡與查詢,提高了管理的透明度。以上功能的實現極大的提高了用工管理的效率、增加了企業對用工狀況的整體把握,提高了工作人員的滿意度,統計功能為領導決策提供了有效的依據。文章對建筑施工現場安全管理信息系統的需求與設計進行了闡述。
參考文獻:
[1]孫凱,曹朝妮. 建筑施工企業安全管理信息系統的研究與開發[J]. 建筑安全,2013,02:59-62.
[2]詹宏昌,陳國華. 安全管理信息系統發展探討[J]. 工業安全與環保,2003,03:38-41.
[3]丁傳波,華燕,王際芝. 建筑企業安全管理信息系統的研究與開發[J]. 建筑科學,2004,01:72-78.
[4]王晶禹,張景林,郭艷麗. 一種現代化的安全管理方法──安全管理信息系統[J]. 中國安全科學學報,1999,05:25-29.
第2篇:常見的信息安全事件范文
關鍵詞:網絡信息安全現狀防護
21世紀是互聯網信息高速發展的時代,隨著計算機網絡的不斷發展,信息網絡化與全球化成為了世界潮流。計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化已成為信息時代的主要推動力。網絡信息的安全問題日益突出,解決網絡信息安全問題是值得我們深思的重要課題。
一、網絡信息安全之現狀
1、病毒的危害
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。常見的計算機病毒有:
1.1系統病毒:系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統的*.exe和*.dll文件,并通過這些文件進行傳播。如CIH病毒。
1.2木馬病毒、黑客病毒:木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。
1.3蠕蟲病毒:蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如沖擊波(阻塞網絡),小郵差(發帶毒郵件)等。
2、信息安全管理制度不完善
在有關機構進行的信息安全調查中,2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的46%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。信息安全管理制度的重要性并不低于信息技術本身,而是能在很大程度上能夠彌補技術缺陷本身所帶來的安全隱患。
3、黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵入重要信息系統,竊聽、獲取、攻擊侵入網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。黑客問題的出現并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發現漏洞。
二、網絡信息安全之防護技術
1、防火墻技術
1.1是網絡安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。
1.2防止內部信息的外泄
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
1.3可強化網絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
2、身份認證技術
身份認證(Authentication)是系統核查用戶身份證明的過程,其實質是查明用戶是否具有它所請求資源的存儲使用權。身份識別(Adentification)是指用戶向系統出示自己的身份證明的過程.這兩項工作通常被稱為身份認證。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限。對于身份認證系統來說,最重要的技術指標是合法用戶的身份是否易于被別人冒充.用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統。因此,身份認證是授權控制的基礎。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。身份認證技術有以下幾種:基于口令的認證技術、給予密鑰的認證鑒別技術、基于智能卡和智能密碼鑰匙(USB KEY)的認證技術、基于生物特征識別的認證技術。
3、信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密,兩種方法各有所長,可以結合使用,互補長短。對稱密鑰加密,加密解密速度快、算法易實現、安全性好,缺點是密鑰長度短、密碼空間小、“窮舉”方式進攻的代價小。非對稱密鑰加密,容易實現密鑰管理,便于數字簽名,缺點是算法較復雜,加密解密花費時間長。加密技術中的另一重要的問題是密鑰管理,主要考慮密鑰設置協議、密鑰分配、密鑰保護、密鑰產生及進入等方面的問題。
總而言之,在當前網絡時代,保障計算機網絡信息安全是非常有必要的。除了上述幾點,我們還應加快網絡信息安全技術手段的研究和創新,從而使網絡的信息能安全可靠地為廣大用戶服務。
參考文獻:
第3篇:常見的信息安全事件范文
關鍵詞:網絡審計 歷史財務報表審計 信息安全管理 風險評估
一、引言
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
脅發生的可能性賦值;(3)識別信息資產的脆弱性,并對弱點的嚴重程度賦值;(4)根據威脅和脆弱性計算安全事件發生的可能性;(5)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件造成的損失;(6)根據安全事件發生的可能性以及安全事件出現后的損失,計算安全事件一旦發生對組織的影響,即風險值。結合上文網絡審計風險評估五個方面的內容可以看出,網絡審計和信息安全風險評估在內容上有相近之處,即都需要針對信息系統和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業的一項內部管理,其風險評估工作需要從兩個層次展開:一是評估風險發生的可能性及其影響;二是提出防護或整改措施以控制風險。第一個層次的工作實質上是為第二層次工作服務的,其重點在第二層次。《信息安全風險評估指南》(征求意見稿)提出,企業在確定出風險水平后,應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。其中,風險處理的方式包括回避風險、降低風險、轉移風險、接受風險,而控制措施的選擇應兼顧管理和技術,考慮企業發展戰略、企業文化、人員素質,并特別關注成本與風險的平衡。網絡審計的風險評估工作主要集中在第一個層次,即審計人員通過風險評估,為進一步審計中做出合理的職業判斷、有效地實施網絡審計程序和實現網絡審計目標提供重要基礎。因此,兩者的評估內容是存在區別的。
第4篇:常見的信息安全事件范文
關鍵詞關鍵詞:工業控制系統;行為審計;智能分析;信息安全
DOIDOI:10.11907/rjdk.162241
中圖分類號:TP319文獻標識碼:A文章編號文章編號:16727800(2017)001012004
引言
伴隨著工業化和信息化融合發展,大量IT技術被引入現代工業控制系統。網絡設備、計算設備、操作系y、嵌入式平臺等多種IT技術在工控系統中的遷移應用已經司空見慣。然而,工控系統與IT系統存在本質差異,差異特質決定了工控系統安全與IT系統安全不同。
(1)工控系統的設計目標是監視和控制工業過程,主要是和物理世界互動,而IT系統主要用于與人的交互和信息管理。電力配網終端可以控制區域電力開關,類似這類控制能力決定了安全防護的效果。
(2)常規IT系統生命周期往往在5年左右,因此系統的遺留問題一般都較小。而工控系統的生命周期通常有8~15年,甚至更久,遠大于常規IT系統,對其遺留的系統安全問題必須重視。相關的安全加固投入涉及到工業領域商業模式的深層次問題(如固定資產投資與折舊)。
(3)工控系統安全遵循SRA(Safety、Reliability和Availability)模型,與IT系統的安全模型CIA(Confidentiality、Integrity和Availability)迥異。IT安全的防護機制需要高度的侵入性,對系統可靠性、可用性都有潛在的重要影響。因此,現有的安全解決方案很難直接用于工控系統,需要深度設計相關解決方案,以匹配工控系統安全環境需求[12]。
1工控系統安全威脅及成因
工業控制系統安全威脅主要有以下幾個方面[35]:
(1)工業控制專用協議安全威脅。工業控制系統采用了大量的專用封閉工控行業通信協議,一直被誤認為是安全的。這些協議以保障高可用性和業務連續性為首要目的,缺乏安全性考慮,一旦被攻擊者關注,極易造成重大安全事件。
(2)網絡安全威脅。TCP/IP 協議等通用協議與開發標準引入工控系統,使得開放的工業控制系統面臨各種各樣的網絡安全威脅[67]。
早期工業控制系統為保證操作安全,往往和企業管理系統相隔離。近年來,為了實時采集數據,滿足管理需求,工業控制系統通過邏輯隔離方式與企業管理系統直接通信,而企業管理系統一般連接Internet,這種情況下,工業控制系統接入的范圍不僅擴展到了企業網,而且面臨來自Internet的威脅。在公用網絡和專用網絡混合的情況下,工業控制系統安全狀態更加復雜。
(3)安全規程風險。為了優先保證系統高可用性而把安全規程放在次要位置,甚至犧牲安全來實現系統效率,造成了工業控制系統常見的安全隱患。以介質訪問控制策略為代表的多種隱患時刻威脅著工控系統安全。為實現安全管理制定符合需求的安全策略,并依據策略制定管理流程,是確保ICS 系統安全性和穩定性的重要保障。
(4)操作系統安全威脅。工業控制系統有各種不同的通用操作系統(Window、Linux)以及嵌入式OS,大量操作系統版本陳舊(Win95、Win me、Win2K等)。鑒于工控軟件與操作系統補丁存在兼容性問題,系統上線和運行后一般不會對平臺打補丁,導致應用系統存在很大的安全風險。
(5)終端及應用安全風險。工業控制系統終端應用大多固定不變,系統在防范一些傳統的惡意軟件時,主要在應用加載前檢測其完整性和安全性,對于層出不窮的新型攻擊方式和不斷改進的傳統攻擊方式,采取這種安全措施遠遠不能為終端提供安全保障。因此,對靜態和動態內容必須進行安全完整性認證檢查。
2審計方案設計及關鍵技術
2.1系統總體架構
本方案針對工控系統面臨的五大安全威脅,建立了基于專用協議識別和異常分析技術的安全審計方案,采用基于Fuzzing的漏洞挖掘技術,利用海量數據分析,實現工控系統的異常行為監測和安全事件智能分析,實現安全可視化,系統框架如圖1所示。
電力、石化行業工業控制系統行為審計,主要對工業控制系統的各種安全事件信息進行采集、智能關聯分析和軟硬件漏洞挖掘,實現對工業控制系統進行安全評估及安全事件準確定位的目的[89]。
審計系統采用四層架構設計,分別是數據采集層、信息數據管理層、安全事件智能分析層和安全可視化展示層。其中數據采集層通過安全、鏡像流量、抓取探測等方式,監測工控網絡系統中的服務日志、通信會話和安全事件。多層部署采用中繼隔離方式單向上報采集信息,以適應各種網絡環境。信息數據管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協議,對海量數據進行分布式存儲,優化存儲結構和查詢效率,實現系統數據層可伸縮性和可擴展性。智能分析層通過對異構數據的分析結果進行預處理,采用安全事件關聯分析和安全數據挖掘技術,審計工控系統應用過程中的協議異常和行為異常。安全綜合展示層,對安全審計結果可視化,呈現工業控制系統安全事件,標識安全威脅,并對工業控制系統安全趨勢作出預判。
2.2審計系統關鍵技術及實現
2.2.1專用協議識別和異常分析技術
第5篇:常見的信息安全事件范文
關鍵詞:自主研學;第三方支付;客戶端安全;瀏覽器劫持
我國的高等院校信息安全專業本科的建立和發展至今尚不足8年。這些年來,有關專業人士就如何發展和完善信息安全專業建設進行了廣泛的研究和探討,比如,如何結合學校特色加強信息安全專業的建設、信息安全專業人才培養存在的若干問題、信息安全專業人才培養模式的探討、信息安全課程體系和實驗體系的建設、信息安全專業應用型人才的培養,等等[1-2]。國外大學關于信息安全專業教育方面的研究也不少,特別在信息安全實驗教學方面有許多很具體的研究和探索[3-4]。北京信息科技大學信息安全專業成立于2004年,近些年來,本專業特別注重結合學校具體情況,為培養信息安全應用型人才進行積極的探索,無論在專業建設和學科建設方面都取得了一定成效。筆者在“入侵檢測技術”這門課程的實驗教學方面進行過積極探索[5],采用課內實驗與課外實驗相結合的方式增加學生動手的機會,使學生在實踐中學習,在實踐中增強各種能力。但是無論從學校方面,還是從教師方面做再多的努力,都難以回避一個不爭的事實:大多數學生玩游戲上癮,自主研學的習慣和精神嚴重缺乏。因此,無論進行什么樣的教學模式創新與改革,無論提供什么樣的教學和實驗環境,其效果都會大打折扣。這是我們必須要面對,同時也要盡快解決的現實問題。筆者從事多年的信息安全專業的教學,同時又長期兼任信息安全專業班級的班主任,即站在專業教學的第一線,也站在學生管理的第一線,有更多的時間和機會在如何引導學生自主研學方面進行廣泛和深入的探索。
1發現和提出問題
隨著互聯網上各種應用和服務不斷增多,信息安全問題越來越受到人們的關注。目前,網絡銀行和第三方支付系統在各種網上應用和服務中扮演極其重要的角色,而它的安全問題一直受到有關各方的重視,但沒有得到根本上的解決,這將嚴重影響未來網上服務和應用的進一步發展。筆者通過一個真實的案例,吸引學生的興趣,引導他們結合所學的知識去分析問題和解決問題。案例的具體內容涉及一個用戶利用第三方支付系統還房貸而遭受較大的資金損失。筆者在這個事件發生后,親歷了此案例的調查,事件發生的過程如下:一個用戶看到某第三方支付商提供的廣告后,進行了信用卡還款操作。圖1是用戶在操作時輸入的重要信息。
左窗口是要求用戶輸入接收方的信用卡卡號、用戶名及還款金額;右窗口是付款方的借記卡所屬銀行、個人電子郵件和手機號碼。完成各項填寫后,按確認鍵,進入所選銀行的付款頁面,該頁面顯示商城名稱、訂單號、訂單金額、商品名稱等提示信息,并要求輸入支付卡的卡號和口令,接下來用戶只要插上自己的有效的安全U盾,輸入正確的PIN碼后就可以完成付款。本案例中的用戶共進行了二次支付,共計支付了8萬多元錢。過了幾天,所支付的錢依然沒有到達接收卡賬戶上。用戶查詢后發現,這二筆錢通過另一家支付系統分別轉入了某地二個不同的賬戶,而他所選用的第三方支付商根本沒有接受這二筆交易。
筆者將上述真實的案例告訴學生,首先是讓他們了解該安全事件的具體表現。接下來給學生提出更多的問題,比如:通過第三方的支付過程涉及哪些主體?這些主體各自應該承擔的安全責任和應當采取的安全機制是什么?上述案例中存在的安全漏洞到底在哪?這樣的安全漏洞能夠解決嗎?采用什么安全機制能防范或制止這種安全漏洞?為了讓學生更快地進入角色,筆者給他們提出一些建議:
1) 通過第三方支付系統完成一次網上的實際轉賬過程;
2) 上中國金融認證中心網站,了解網上支付過程及相關安全知識;
3) 了解客戶端及IE瀏覽器存在的安全漏洞。
2描述和理解問題
學生們帶著對上述案例的興趣及若干問題去查找相關資料,經過一段時間的學習和討論以后,他們能夠與老師討論這個案例,并能完成對相關問題的描述和理解。
首先,了解到第三方支付系統的支付過程,涉及支付用戶、收款用戶、第三方支付系統、網上銀行、認證中心(CA),以及網上通信。若存在購物交易,還應包括商家。本案例中用戶的在線支付,不是為了完成購物而是為了還款,實質上就是利用第三方支付系統進行轉賬。這種轉賬方式,是在網上銀行與用戶方之間增加了第三方支付商,增加了這樣一個支付環節,很有可能會給用戶帶來了額外的風險。若從技術層面上來考慮,這種支付過程,涉及到客戶端、第三方支付系統的服務器端、網銀系統的服務器端、認證系統服務器、互聯網通信等多個方面。一旦出現安全事件,每一個相關方面都有可能成為安全事件起因。當然,事件的確切原因需要具體問題具體分析。
第二,所涉及到的各方都會采用相應安全機制來保證系統的安全,其中認證中心、銀行采用的安全機制最強、在安全方面投入也更高;第三方支付系統相對弱一些;用戶端存在的安全隱患相對更多一些。目前,國內銀行的認證還是由各銀行自行完成,以后這方面的工作應該由中國金融認證中心來完成。到目前為止有關網銀安全事件的發生原因,都與網銀的服務器端沒有直接原因,主要由于客戶端存在病毒、或用戶操作不當造成的。相比較而言,第三方支付系統存在的安全隱患更大,其中包括監管和技術二方面的原因。但是就目前所發生的有關安全事件來看,第三方支付系統的服務器端出現技術或人為安全問題的可能性不大,因為若是服務器端出現問題,其造成資金的損失,一定會是以億計,而且會涉及大量的用戶。與其他主體相比,客戶端存在的安全問題相對比較多,比如,操作系統和IE沒有及時升級、沒有安裝殺毒軟件或沒有對殺毒軟件的病毒庫及時更新,等等。本案例中用戶所用的Window系統版本較早且未及時打補丁,所用IE版本較低。筆者用諾頓殺毒軟件對案中用戶所用U盤進行過檢測,出現了Spyware.Keylogger報警。經查詢,這是一個間諜軟件,在2007年2月升級,可以截屏,可以記錄擊鍵信息。該軟件可能來自網站、電子郵件、即時消息及直接文件共享連接,此外用戶在接受某個軟件程序的最終用戶許可協議時,可能會在毫無察覺的情況下收到該間諜軟件。
第三,在網絡通信方面,目前網上交易大都采用SSL、SET等安全協議,所用安全協議的安全功能包括身份認證服務、機密性保護服務、數據完整、不可否認等,從這些年的實踐上來看,SSL和SET二個安全協議尚未有明顯易攻擊的安全漏洞 [6]。
最終,通過認真分析交易環節、上網查詢相似案例的報道、以及檢查用戶交易所用的筆計本電腦,確認這是一起典型的發生在客戶端的中間人攻擊事件,利用了客戶端與第三方交易系統存在的漏洞。這里所說的第三方交易系統存在安全漏洞,主要是指三方面的內容,其一,如圖1所示,當用戶在左窗口中輸入賬戶信息時,所輸數據極易被鍵盤截獲木馬所截獲;其二,沒有采用適當的安全控件,防范一些常見攻擊;其三,第三方支付系統存在更易被利用的弱點。下面重點分析本案例中的客戶端的安全問題,這是目前最常見的,也是難于解決的問題。
圖2是客戶端的涉及IE瀏覽器、鍵盤和安全U盾三個實體的數據流圖。
就本文所提案例而言,用戶進入第三方支付系統A網站后,首先在圖1左端窗口輸入接收卡信息,在右端窗口選擇支付銀行及個人Email和手機信息,正常情況下,這些信息通過IE內置SSL模塊,建立SSL連接,將信息安全傳送至第三方支付系統A服務器端;然后再依據用戶所選擇的支付銀行,鏈接銀行支付頁面進行支付,支付時要求輸入用戶銀行卡號、用戶銀行卡密碼及付款金額,提示用戶插入安全U盾,輸入PIN碼。該過程用戶所輸入的信息通過IE傳遞給安全U盾,進行簽名和加密運算以后,再返回IE傳送至網銀支付網關,網銀系統的服務器端對數據進行認證和解密后,將資金從用戶支付卡上轉至第三方支付系統。延遲一段時間后,資金才由第三方支付系統轉入用戶所輸入的接收卡中。
在本文的案例中,用戶的資金通過另一個第三支付系統B轉入非用戶指定的接收卡賬戶。這顯然是一種瀏覽器劫持行為,此行為發生在調用網銀支付頁面以前,它更改了接收卡信息,同時由另一第三方支付系統B,代替了用戶所選擇的第三方支付系統A,因此網銀支付頁面是由第三方支付系統B提供的鏈接。在接下來的支付過程中,無論是用戶方、第三方支付系統A、第三方支付系統B,還是銀行方均不會發現任何異常情況。
分析了整個入侵過程以后,教師自然引入以下幾個問題:
1) 非法者為何要選擇在此操作環節進行IE劫持?這種IE劫持是如何實現的?
2) 非法者為何要選擇第三方支付系統B作為他們的支付平臺?該平臺是否有漏洞更容易被利用?
3) 若該用戶直接進入網銀界面進行類似的轉賬操作會有資金會發生資金損失嗎?
4) 能否防范此類IE劫持行為?如何防范?
3分析和實踐
前面描述了如何引導學生去發現和理解問題。接下來是組織學生進一步分析問題,并著手尋找解決問題的方法和途徑。筆者通過與學生們討論,將接下來所要進行的工作分成四大部分。第一、明確和掌握文中所提案例的攻擊原理;第二、通過分析和模擬攻擊行為,進一步理解和掌握相關攻擊原理和實現方法;第三、設計并實現新的安全機制,防范相關攻擊;第四、驗證新的安全防范機制的有效性。
3.1瀏覽器劫持技術的原理
從目前的資料來看,“瀏覽器劫持”攻擊的滲透途徑有很多,其中最常見的方式有通過BHO DLL插件、Hook技術達到對用戶的瀏覽器進行篡改的目的。這些載體可以直接寄生于瀏覽器的模塊里,成為瀏覽器的一部分,進而直接操縱瀏覽器的行為。
什么是BHO DLL插件、Hook技術?它們的作用是什么?它們是如何被合法和不法利用的?“瀏覽器劫持”攻擊是如何利用這些技術從事了非法或非授權行為的?
首先了解BHO技術[7]。BHO是微軟早在1999年推出的作為瀏覽器對第三方程序員開放交互接口的業界標準。BHO可以獲知和實現瀏覽器的大部分事件和功能,也就是說,它可以利用少量的代碼控制瀏覽器行為。程序員可以設計出一個BHO控制瀏覽器跳轉到他想讓用戶去的頁面,這就所謂的“瀏覽器劫持”――BHO劫持。
其次,引入Hook(鉤子)技術。Hook[8]是Windows消息處理機制的一個平臺,應用程序可以在上面設置子程序以監視指定窗口的某種消息,并且當消息到達后,在目標窗口處理函數之前處理它。Hook機制允許應用程序截獲處理Window消息或特定事件。把Hook技術應用到瀏覽器上面,就成了另一種控制瀏覽器行為的方法,稱為IE鉤子。IE鉤子程序載入進程后便能獲知所有的消息類型、API和內容,一旦發現某個符合要求的消息,如IE執行了某個事件,或者用戶輸入了特定內容,鉤子的處理代碼就開始工作了,它先攔截系統發送給IE的消息,然后分析消息內容,根據不同消息內容作出修改后再發給IE,就完成了一次Hook篡改過程。
接下來的問題就是:案例中的攻擊者是如何使攻擊得逞的呢?攻擊者能夠得逞需要具備哪些條件?
3.2第三方支付系統的弱點
本案例有一個值得關注的地方,就是詐騙者利用了另一家B支付系統將客戶資金進行了非法轉移。這個B支付系統有什么更易被利用的弱點嗎?筆者對B支付系統進行考察后發現,該支付系統給商家提供了信用支付功能,通過該功能,商家可以通過一個鏈接讓買家通過網銀進行支付。該支付系統為注冊商家和非注冊商家都提供了一個這樣的功能,也就是說任意一個人,都可以不經任何審查過程,實現這樣一個功能。
如圖3所示,要完成信用支付,任何一個注冊或非注冊用戶第一步要做的是輸入工行的信用卡號及其它相關信息。輸入完成后,再進行確認。最后生成一個支付鏈接。
如圖4所示。所生成的支付鏈接中的最后二項,一個是“money=xxxxx”,另一個是“payUrl=xxxx”等號后面的內容。前者是支付金額,后者是商品鏈接。等號后面的內容允許商戶根據需要進行修改。正是這個鏈接為網上開店的商戶完成商品的支付功能,提供了很大方便,但同時,也為攻擊者進行網上詐騙大開方便之門。
3.3模擬運行環境及攻擊行為
通過對攻擊行為的模擬,可以使學生更好地理解攻擊行為的原理、作用及局限,同時也能夠大大增強學生的編程能力。
第一,利用鉤子技術實現對鍵盤的記錄[9]。由于鍵盤記錄器需要監控鍵盤的所有輸入,因此必須安裝為全局的鉤子,該鉤子函數應當寫入一個DLL文件內。該DLL由VC編寫,相應參考資料很多。
第二,利用BHO技術實現URL的攔截[10]。該BHO插件在VC6.0下開發。基本實現過程:①ATL Object到該項目中。②實現IObjectWithSite的接口方法。③實現IDispatch接口方法。④修改注冊表文件,追加BHO的注冊信息。
第三,網上支付系統[11]保證客戶端資金安全的最核心的機制是采用安全U盾。為了使學生充分掌握和了解安全U盾的應用,給學生提供了堅石誠信科技公司的安全U盾產品ET199,能夠使用MS CryptoAPI接口開發ET199的應用。
3.4建立新的安全防范機制
分析和模擬的目的是為了能夠有更好的思路和手段來實現新的安全防范機制,避免類似的攻擊案例的發生。
從對文中案例的分析情況來看,第三方支付系統顯然存在弱點,需要企業本身和相關監管部門進一步完善業務流程和監管手段。作為用戶一方,如何保證客戶端不被非法程序所侵害,也應引起足夠的重視。目前,所能采取的技術手段是利用系統監控技術,監控文件目錄的變動、注冊表的修改、進程的創建等[9]。
1) 文件監控技術。Windows SDK提供了兩種API進行文件監控。FindChange- Notification系列函數和ReadDirectory- ChangesW()函數。
2) 注冊表監控技術。Windows SDK提供了一個函數:RegNotifyChangeKeyValue(),可以完成對指定注冊表路徑項的監視。
3) 進程監控技術。進程監控的有多種方法。最好的方法是采用API Hook。API Hook的主要思路是攔截基于操作系統提供的API函數,使其在執行這些函數前首先運行自己的代碼,可以使用這種方法來記錄系統中的一些關鍵操作。
4結語
當前,學生自主研學能力的缺乏具有一定的普遍
性,特別是在與我校同檔次的高校中,情況更為普遍。因此,無論從學校層面還是從專業教學層面上都在積極采取辦法提高學生自主研學能力,如鼓勵成立學生社團、舉辦課外專業競賽、提供學校學生基金項目、創新理論教學和實驗教學,等等。本文探討了一種新的方法和途徑:以學生感興趣的應用型項目為依托,積極引導學生自主研學。只有當學生提高了自主研學的能力和興趣以后,他們才能夠在大學所提供的各種教育活動中,更有效地提高自身的實踐能力、溝通能力、團隊合作能力和知識應用能力。
參考文獻:
[1] 李暉,馬建峰. 結合學校特色加強信息安全專業建設的幾點體會[J]. 北京電子科技學院學報,2006(3):3-4.
[2] 譚云松,王海暉,伍慶華,等. 信息安全專業實踐教學體系研究[J]. 高教論壇,2006(5):82-84.
[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.
[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.
[5] 劉凱. 入侵檢測技術實驗教學的設計與研究[J]. 計算機教育,2009(4):139-142.
[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.
[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/
library/Aa768220.aspx.
[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).
aspx.
[9] 裴要強,孟波. Windows 黑客技術揭密與攻防1:C語言篇[M]. 北京:中國鐵道出版社,2010:243-252.
[10] Scott Pobert. Intertnet Explore 5程序設計[M]. 北京博彥科技發展有限責任公司,譯. 北京:清華大學出版社,2001:429-440.
[11] 堅實誠信科技有限公司. ET199超級多功能鎖資料下載[EB/OL]. [2010-11-16]. .cn/et199/download_
authentication.php.
Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study
LIU Kai, CHEN Xin
(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)
第6篇:常見的信息安全事件范文
【關鍵詞】銀行;信息安全;管理體系
從上世紀八十年代至今,信息技術因其獨特的優勢在銀行業的地位發生了巨大的變化。在銀行業應用信息技術之初,只是被作為提高銀行工作效率的手段,隨著信息技術的不斷發展與進步,當前其已經成為銀行系統中不可或缺的工具。可以說信息技術的發展促進了銀行管理模式的變化,并且直接影響到銀行的業務流程[1]。由于銀行對信息技術的依賴程度越來越高,銀行信息系統的運行安全與銀行業的安全以及國家金融穩定密切相關,因此做好銀行信息安全管理是保障國家金融穩定運行的重要措施。目前我國銀行的信息技術水平與規模得到了不斷提高,但在信息安全管理方面存在一些不足,這就需要構建銀行信息安全管理體系,對銀行的各項信息進行全面的管理,有效避免風險的發生。
1.銀行信息安全管理中出現的問題
各種信息技術設備在銀行業的廣泛應用,雖然有效提升了銀行的工作效率與服務質量,但是也逐漸暴露出各種信息安全管理問題,主要表現在以下幾個方面。
1.1 信息安全管理體系不健全
我國很多銀行在安全管理方面存在各種問題,其中最為普遍的就是信息安全管理體系不健全。這些銀行的起步較晚,信息技術的應用范圍相對狹窄,在風險評估與等級保護等方面有待完善,并且信息安全的實施策略、標準以及質量控制等還沒有達到國際標準。同時部分銀行制定的信息安全策略不夠完善,尤其表現在信息資產的管理以及業務管理等方面,極大增加了信息系統的安全隱患,而一些銀行的信息安全管理工作流于形式,根本沒有建立全面而長效的信息安全管理機制。
1.2 運維監控與預警系統存在問題
我國的一些銀行還沒有建立有效的運維監控與預警系統,或者在銀行的硬件設施與業務系統方面存在一些缺陷,無法對銀行的重要設備以及周圍的環境進行實時監測。部分銀行在風險預警監控方面的自動化程度有待提高,而在對突發事件、意外事件等進行預警與監測時人工檢測占據了大部分比例,這樣就很難保障銀行風險預警監控的可靠性與及時性。
1.3 銀行工作人員導致的風險
當前很多銀行的管理人員并沒有加強對員工安全意識的定期強制性培訓,員工普遍缺乏安全意識,在工作過程中不能很好地保障銀行的信息安全,在出現問題后也無法及時發現,這就導致銀行潛在的風險增加。一些銀行員工由于缺乏安全意識,可能會將私人的優盤等設備接入銀行的信息系統中,導致病毒入侵,直接威脅到銀行的信息安全。同時目前銀行還普遍缺乏風險管理專業人才,無法做到對風險的專業化管理[2]。
1.4 信息技術的監控與審計不完善
當前部分銀行在信息技術的監控與設計方面有待加強。首先審計問題的整改落實不到位,銀行在通過審計發現問題后沒有及時查處,或者查處的力度不夠,缺乏長效的監督;大多采用經濟處罰,遇到侵犯領導利益的事件就大事化了或隱瞞事實。其次,銀行審計的廣度、深度還不夠,并且審核的周期與間隔較長,部分基層銀行甚至完全不開展信息技術審計工作。一些銀行雖然開展了審計工作,但審計缺乏深度,很難識別深層次的安全隱患[3]。
2.加強銀行信息安全管理的重要性
銀行加強信息安全的主要目的就是為了保障信息化的持續穩定發展,信息安全不僅屬于技術問題,也屬于管理問題。從信息技術層面來看,當前我們使用的很多操作系統存在一定的安全漏洞,開發商會針對發現的漏洞設計相應的補丁程序,這就需要定期更新系統。例如,運用主機熱備份以及災難備份的方式,可以有效保障信息的安全運行。同時一些軟件開放人員在編程設計過程中留有“后門”,如果這些“后門”被不法分子知道,就會將該部分作為攻擊目標,進而影響到信息系統的安全。當前大部分的黑客攻擊等都是由于系統“漏洞”引起的,因此銀行在應用軟件過程中應該盡量避免留有“漏洞”。
此外,隨著我國信息化技術的不斷發展,信息系統的安全管理也被納入國家的重點項目中。與世界上的部分發達國家相比,我國的信息安全管理工作起步較晚,但是發展較快,并且對系統風險認識的不斷深化促進了信息安全管理的發展。對于銀行而言,信息安全是至關重要的問題,這是因為任何一個環節出現問題,都會對整個系統的發展帶來影響,甚至導致全局性的失誤。例如,銀行傳統的信貸、柜臺等業務已經有多年的信息安全管理經驗,而信用卡作為一種新型的業務,它連接了多個方面的利益關系,其中涉及到發卡行、特約商戶以及持卡人之間的關系,因此信息安全就成為重中之重。在銀行開展各項業務過程中,信息和數據是基礎[4]。此外,從客戶的角度來看,銀行在給客戶提供服務時,必須保障提供信息的準確性、可靠性與安全性。由此可見,銀行加強信息安全管理是十分必要的。
3.構建銀行信息安全管理體系的思考
二十一世紀屬于信息網絡時代,我們生活中的大部分工作與事物都會用到信息技術,而在應用信息技術過程中也伴隨著一些信息安全問題。根據銀行安全管理中出現的問題,并結合銀行業的未來發展規劃,我們應該構建一個健全、高效的銀行信息安全管理體系。
3.1 建設信息安全管理技術體系
在整個銀行信息安全管理體系建設中,先進的技術是其中最為重要的部分,運用先進的信息技術能夠有效避免出現安全事件。我們使用較多的信息技術有身份識別、系統防火墻、防病毒技術等,同時也可以使用漏洞掃描、邊界防護等技術,通過多種安全防護技術來加強信息安全管理。
在使用防火墻技術時通常是將其設置在網絡的邊界上,以此對外界進行隔離,對信息安全管理系統進行安全強化[5]。病毒是信息網絡中最為常見的安全問題,如果出現網絡病毒將給銀行帶來巨大的經濟損失,這個時候我們就需要對重要文件進行實時備份,并且及時更新病毒數據庫。此外,在信息安全管理系統中充分應用身份識別技術,即用戶在登陸系統提交信息后,系統將嚴格識別操作者的身份,必要時會控制操作者的操作活動。
3.2 建設信息安全管理體系
所謂“三分技術七分管理”,銀行信息安全管理體系中的管理體系起到控制各種活動的作用。首先設置文檔化的管理體系,它包括制度建設與人員管理兩個部分。從銀行的制度、政策、操作流程等多個方面進行監督,對各個角色在信息系統中的活動進行監控。在信息安全管理系統中制定科學完備的管理制度,可以為信息安全提供基本保障,各大銀行都應該積極制定并完善自身的信息安全管理制度,如制定并按時更新《信息安全管理辦法》等,切實保障信息系統的安全運行。
信息安全管理系統的重要職責就是對操作人員進行管理,在人才選拔過程中應該嚴格按照銀行的聘用制度操作,不能單靠關系。在用人方面應該對員工的行為進行嚴格監督,加強員工的安全意識培訓,避免由于員工的疏忽、私欲等導致銀行信息系統被破壞。同時建立科學合理的銀行人事任用制度,保證內部員工能夠按照相關規范完成信息系統的管理工作,并及時讓技術人員掌握最新的技術。通過建設信息安全管理體系,讓銀行運行過程中的各項程序、日常維護、監控等操作符合規范,以此保障信息系統的穩定可靠運行。
為了提高銀行信息系統的安全性,管理人員也需要對已經識別的安全信息進行正確應用,定期檢測系統中的安全事件并及時解決,實時監視信息安全管理系統的運行情況,查看技術以及管理方面的控制措施是否合理。對信息系統的監控是一個長期的過程,監控的過程應該密切聯系信息系統的周期,監控程序應該能夠對與安全相關的結果進行改進,以提高信息系統的安全性。通過信息安全管理系統的構建,讓銀行業務數據的完整性、準確性與真實性得以保障;讓信息系統、網絡系統以及其它應用系統的安全性得以保障;讓與信息系統相關的設備、環境與存儲介質的安全性得以保障。
4.結語
銀行在應用先進信息技術提高銀行工作效率并方便大眾的同時,也應該加強對信息安全的管理,從技術和管理層面構建完善、高效的信息安全管理體系,避免重要信息的泄露,以此有效降低安全事故的發生率,營造良好安全的銀行服務環境。
參考文獻
[1]趙小東.數據集中模式下銀行業信息系統災備體系的研究與應用[D].山西財經大學,2011.
[2]王陽.基于IS027001的風險評估系統的設計與實現[D].大連理工大學,2010.
[3]王令朝.創建鐵路信息安全管理及其標準體系的探討[J].鐵道技術監督,2010,38(07).
[4]石磊.金融業信息安全風險評估存在的問題及對策[J].中國金融電腦,2011,10(02).
第7篇:常見的信息安全事件范文
【關鍵詞】信息管理;電力變電;安全性
一、信息管理與電力信息化概述
1.信息管理概念
信息管理是實現組織目標、滿足組織要求、解決組織環境問題而開發、規劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現的一種戰略管理。
2.電力信息化
電力企業信息化建設更趨向于科學性、實用性、安全性以及效益性,電力企業開發了一系列企業管理和經濟運行有關的應用系統,目的在于提高生產和管理效益以及信息系統的實際使用效果。電能可以瞬間完成發電、輸電、配電直到用電,電力的生產和使用具有連續性、等量以及同時的特點,要想確保電力的安全生產以及資源的合理配置生產,必須要根據調度指令對電力系統的所有環節瞬時作出反應,電力系統的控制中心、調度中心要同時對發電、配電、輸電以及用電的各種數據進行全面掌握,并及時地分析、調度和處理,對生產運行進行科學的安排,要及時的處理大而廣、紛繁復雜的信息量,這使得信息處理工作面臨著一定的挑戰。而信息管理技術的出現正好為信息的處理帶來了極大的便利,它結合了GIS技術,能實現多源數據的迅速整合,便于電力系統的信息化管理,可以綜合管理大量的屬性數據和地理信息數據,可以為經營管理提供科學的決策支持以及現代化的管理手段,結合了網絡技術,更有利于提高信息的共享程度,促進信息管理系統實現電力信息的共享,有利于電力系統信息管理更加的透明。電力系統涉及到了十分廣泛的地理區域,需要多個部門對同一圖層進行編輯,傳統的GIS圖層數據不支持多用并發操作,只適合單用戶使用,它采用的是文件格式,采用文件服務器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發生沖突。而新型的ORDBMS技術可以彌補這一缺陷,不會發生共享沖突,它采用的是面向對象的數據庫技術,可以集中式管理地理屬性數據和信息空間數據,支持版本管理以及并發操作,還支持完全數據庫存儲模式,能夠解決數據安全機制、存儲管理大量的數據、數據完整性以及多用戶編輯等方面的問題。
二、電力變電運行中運用信息管理的優勢
1.先進性和開放性
數據倉庫技術使數據有了更加廣泛的來源,便于使用,方便與MIS等系統接口,系統的構造和Internet模式進行了結合,應有前景良好。
2.實用性強
信息管理技術有利于變電運行中二次部分各類數據源的共享和使用,尤其是對于變電保護技術工作人員來說,有利于提高系統分析和數據統計的工作效率,有利于提高保護運行水平。
3.可靠性高,易于維護和升級
方法庫和數據倉庫的采用使得整個信息管理系統運行集中于網絡中心規則庫和數據庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統其他部分的性能造成影響,并且很容易恢復,軟件開發人員只需改變方法庫就可以進行升級換代,既方便又快捷。
三、電力變電運行中采用的安全策略
1.安全技術策略
為了確保信息的安全,采取的必不可少的安全技術措施有:1)病毒防護技術。應該建立健全管理制度,統一管理計算機病毒庫的升級分發以及病毒的預防、檢測等環節,應該采取全面的防病毒策略應用于信息系統的各個環節,有效的防治和避免受到病毒的侵害;2)防火墻技術。防火墻技術主要用于隔離信任網絡與非信任網絡,它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現,避免非法存取和訪問重要的信息資源;3)數據與系統備份技術。電力企業必須制定數據備份策略,定期對數據庫進行備份,按照重要程度劃分數據備份等級,建立企業數據備份中心,采用災難恢復技術來備份應用系統以及關鍵業務的數據,并制定詳細的數據庫故障恢復預案以及應用數據庫備份,并定期的進行預演,以防止在數據遭到破壞或是系統崩潰時能夠及時的修復,從而使信息系統具有更好的可靠性和可用性;4)安全審計技術。在系統規模的不斷擴大以及安全設施不斷完善的背景下,電氣企業應該引進集中智能的安全審計系統,采取行之有效的技術手段來自動統一審計網絡設備日志、業務應用系統運行日志、操作系統運行日志以及安全設施運行日志等,迅速自動的對系統安全事件進行分析,安全管理系統的運行。另外建立信息安全身份認證體系以及虛擬局域網技術也十分重要。
2.組織管理策略
組織管理措施以及技術措施統一在信息安全的范疇之內,由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應采取必要的組織管理策略:1)安全策略和制度。電氣企業應該制定相關的政策方針來指導企業整體的信息安全工作,只有制定統一的、具有指導性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現具體化、形式化的法律管理,才能將法規與管理聯系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業應該組織員工進行培訓,普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓來提高職工的安全操作技能,再結合第三方安全技術和產品來提升信息安全保障;3)安全組織和崗位。本著保障企業信息安全的目的,電氣企業應該設立獨立的信息安全部門來管理企業信息的安全,實行“統一組織、分散管理”的方式來使信息安全部門全面負責企業的信息安全管理和維護。安全崗位是是根據系統安全需要設立的信息系統安全管理機構,這個職位主要負責某一個或是幾個安全事務,在全企業形成專門的信息安全管理工作,使各個信息技術部門也能配合和推行信息安全工作。
參考文獻
[1]覃郁培.信息管理技術在電力變電運行中的應用[J].民營科技,2010,(8)
第8篇:常見的信息安全事件范文
“互聯網+”對農業的重構就是通過信息流打通物質、資金、技術、物流等各個環節,使之形成一個完善的農業互聯網生態圈。這一生態圈中的每一個環節都建立在信息化基礎上,每一步都面臨著信息化安全的挑戰。
數字證書比較常見。我們登錄網銀的方式就是通過USBKey中的數字證書驗證身份信息。此外,還有很多金融機構通過電子簽名、指紋、聲音、影像等方式進行身份驗證。數字證書在確保安全的同時,也為無紙化辦公做出了部分貢獻。
現代物流通常都是電子記錄,這就對信息安全提出了巨大的挑戰。很多不法之徒可以入侵系統,隨意篡改貨物信息,使貨主或者運輸公司蒙受損失。為了確保貨物運輸過程中的安全,貨運和物流公司等企業要提高信息安全意識。
O2O教育生態圈已經悄然形成,我們可以從網絡上獲得更多的教育資源,但教育資源的安全問題也隨之浮現出來。有些付費教育資源可能被盜或者被植入惡意軟件,這對投資人和用戶來說都是非常頭疼的問題。
傳統工業生產中,工業機器人僅僅是按照既有程序執行生產任務,發生事故的概率非常小。但是隨著互聯網的介入,工業機器人有可能會受到更多來自于外界的干擾。
隨著云計算、大數據等先進信息技術的廣泛應用,醫療技術和患者就診信息等這些資料很有可能被不懷好意的人竊取利用。同時,醫療隱私問題很有可能成為醫患之間新的矛盾激發點。
設計師們的精心設計可能隨時被一些人盜取或者篡改。輕則毀了設計稿,重則造成危險事故。給這些設計加把“鎖”,讓設計師們可以在設計完成之后安心入睡。
很多設備都能幫助我們管理自己的健康,但是可能多數人并沒有去想這些檢測數據存放在哪里。在哪里?沒錯,又是云端。我的個人隱私數據呀,為什么都在云端。誰為它們的安全埋單?
在體驗互聯網購物便利性的同時,誰能確保客戶的訂單不被隨意刪除和篡改呢?這不僅關乎電商的信譽,也會為電商和客戶帶來經濟損失。還是為信譽和財務安全買份保險吧。
互聯網旅游是個很敏感的話題,大家應該都還記得某些知名旅游網站信息泄露事件吧。這個雖然和某些“查開房”軟件有所不同,但個人信息泄露造成的影響也確實產生了一定的轟動效應。不論是網站被惡意攻擊,還是技術故障,請為用戶多負責一些。
通信技術的飛速發展造就了物聯網,家電、家居廠商也借著這股東風躋身于智能家居這個市場。當某一條惡意程序通過互聯網輸送給一些智能家具時,惡作劇或者惡性事件也可能就會發生。該怎么辦?安全接入解決方案正是預防此類事件的好幫手。
民以食為天,我們暫且以餐飲業為例。電子菜單、電子賬單,以及全程電子化的配送流程,這些新技術和溝通手段極大地方便了用戶和服務人員。如果,其中一個環節出現信息安全紕漏,最為直接的問題就是肚子餓了,菜還沒到。
12月28日,筆者耗費了3個小時在回家的路上。或許是車輛多的緣故,但如果交通管理能夠起到作用,結果大概就不一樣了吧。智能化的交通管理取決于很多因素,但其中一定要盡量保證不被人隨意入侵和篡改。造成惡通事故的某些橋段希望只是出現在電影中。
能源是一種資源,中國人均資源占有率很低,因此我們需要積極開發和利用新能源。不過,當想象這些新能源的控制設備與互聯網連接在一起時,我突然想到了“震網”事件。它沒有引發人員和環境災害已經實屬難得。斷絕網絡連接就能做到萬無一失嗎?
虛假新聞、虛假信息,媒體要做的就是辟謠,去偽存真。但是隨著互聯網等新媒體的發展,信息來源的真偽判定已經成為令人頭痛的問題,更別說新聞信息被篡改。媒體人實在是沒有過多的精力去預防那些放置于云端的新聞資料被篡改。來為我們媒體人減負吧。
第9篇:常見的信息安全事件范文
關鍵詞:電力制造企業;計算機網絡;安全
一、安全風險分析
電力制造企業計算機網絡一般都會將生產控制系統和管理信息系統絕對分隔開來,以避免外來因素對生產系統造成損害,在生產控制系統中常見的風險一般為生產設備和控制系統的故障。管理網絡中常見的風險種類比較多,通常可以劃分為系統合法用戶造成的威脅、系統非法用戶造成的威脅、系統組建造成的威脅和物理環境的威脅。比如比較常見的風險有操作系統和數據庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權)、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風險所造成的后果一般為數據丟失或數據錯誤,使數據可用性大大降低。網絡中的線路中斷、病毒發作或工作站失效、假冒他人言論等風險,會使數據完整性和保密性大大降低。鑒于管理網絡中風險的種類多、受到攻擊的可能性較大,因此生產控制系統和管理系統之間盡量減少物理連接。當需要數據傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或專用隔離裝置。
二、安全需求分析
一般電力制造企業的安全系統規劃主要從安全產品、安全策略、安全的人三方面著手,其中安全策略足安全系統的核心,直接影響安全產品效能的發揮和人員的安全性(包括教育培訓和管理制度),定置好的安全策略將成為企業打造網絡安全最重要的環節,必須引起發電企業高度重視。安全產品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網絡信息系統發起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業務系統之間不產生消極影響的技術手段和工具,是確保業務和業務數據的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業經營鏈中的細胞,既可以成為良性資產又可能成為主要的威脅,也可以使安全穩固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業信息安全的主要目標一般可以綜述為:注重“電力生產”的企業使命,一切為生產經營服務;服從“集約化管理”的企業戰略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業生產控制系統不受干擾。保證系統安全事件(計算機病毒、篡改網頁、網絡攻擊等)不發生,保證敏感信息不外露,保障意外事件及時響應與及時恢復,數據不丟失。(1)先進的網絡安全技術是網絡安全的根本保證。影響網絡安全的方面有物理安全、網絡隔離技術、加密與認證、網絡安全漏洞掃描、網絡反病毒、網絡入侵檢測和最小化原則等多種因素,它們是設計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術實現的基礎。要選擇相應的安全機制,集成先進的安全技術,形成全方位的安全系統。(2)嚴格的安全管理是確保安全策略落實的基礎。計算機網絡使用機構、企業、單位應建立相應的網絡管理辦法,加強內部管理,建立適合的網絡安全管理系統和管理制度,加強培訓和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網絡安全意識。(3)嚴格的法律法規是網絡安全保障堅強的后盾。建立健全與網絡安全相關的法律法規,加強安全教育和宣傳,嚴肅網絡規章制度和紀律。對網絡犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網絡服務器、打印機等硬件實體和通信鏈路的設計,包括建設符合標準的中心機房,提供冗余電力供應和防靜電、防火等設施,免受自然災害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權限,防止和控制越權操作。
2、訪問控制策略和方法。
網絡安全的目的是將企業信息資源分層次和等級進行保護,主要是根據業務功能、信息保密級別、安全等級等要求的差異將網絡進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網內,提高網絡的整體安全水平,目前路由器、虛擬局域網VL心、防火墻是當前主要的網絡分段的主要手段。而訪問管理控制是限制系統內資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術和安全管理中心結合起來,實現多重防護體系,防止內容非法泄漏,保證應用環境安全、應用區域邊界安全和網絡通信安全。
3、開放的網絡服務策略和方法。
Internet安全策略是既利用廣泛、快捷的網絡信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術,利用防火墻來構建堅固的大門,同時對Web服務和FTP服務采取積極審查的態度,更要強化內部網絡用戶的責任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規則、郵件的管理以及保密環境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現象越來越多,迫使防范技術快速發展,電力制造企業可以在電子郵件安全方案加大投入或委托專業公司進行。
5、網絡反病毒策略和方法。
每個電力制造企業為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術已由掃描、檢查、殺毒發展到了到實時監控,并且針對特殊的應用服務還出現了相應的防毒系統,如網關型病毒防火墻以及郵件反病毒系統等。
目前,計算機網絡與信息安全已經被納入電力制造企業的安全生產管理體系中,并根據“誰主管、誰負責、聯合保護、協調處置”的原則,實行“安全第一、預防為主、管理與技術并重、綜合防范”的方針,在建立健全電力制造企業內部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓體系,根據科學的網絡安全策略,采用適合的安全產品,確保各項電力應用系統和控制系統能夠安全穩定的運行,為電力制造企業創造新業績鋪路架橋。
參考文獻
