要落实2011年工业和信息化部的《关于加强工业控制系统安全管理的通知》精神,做好重点领域工业控制系统信息安全的管理工作,对连接、组网、配置、设备选择与升级、数据、应急等管理方面的要求,要逐一落实。
可信、可控、可管
随着信息化的不断深入,工业控制系统已从封闭、孤立的系统走向互联体系的IT系统,采用以太网、TCP/IP网及各种无线网,控制协议已迁移到应用层;采用的标准商用操作系统、中间件与各种通用软件,已变成开放、互联、通用和标准化的信息系统。因此,安全风险也等同于通用的信息系统。
工业控制系统网络架构是依托网络技术,将控制计算节点构建成为工业生产过程控制的计算环境,属于等级保护信息系统范围。
信息安全等级保护是我国信息安全保障的基本制度,从技术和管理两个方面进行安全建设,做到可信、可控、可管,使工业控制系统具有抵御高强度连续攻击(APT)的能力。
就工业控制系统等级保护技术框架而言,我认为,信息安全等级保护要做到以下三点:
可信――针对计算资源(软硬件)构建保护环境,以可信计算基(TCB)为基础,层层扩充,对计算资源进行保护;
可控――针对信息资源(数据及应用)构建业务流程控制链,以访问控制为核心,实行主体(用户)按策略规则访问客体(信息资源);
可管――保证资源安全必须实行科学管理,强调最小权限管理,尤其是高等级系统实行三权分离管理体制,不许设超级用户。
针对工业控制特点,要按GB/17859要求,构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系是必要且可行的,具体设计可参照GB/T25070-2010,以实现通信网络安全互联、区域边界安全防护和计算环境的可信免疫。
坚持自主创新、纵深防御
做好工业控制系统的信息安全等级保护工作,更要坚持自主创新、纵深防御。
工业控制系统是定制的运行系统,其资源配置和运行流程具有唯一性和排它性,用防火墙、杀病毒、漏洞扫描不仅效果不好,而且会引起新的安全问题。
坚持自主创新,采用可信计算技术,使每个计算节点、通信节点都有可信保障功能,系统资源就不会被篡改,处理流程就不会扰破坏,系统能按预定的目标正确运行,“震网”、“火焰”等病毒攻击不查即杀。
摘要:随着计算机技术的飞速发展,全球信息化已成为人类发展的大趋势。网络会计信息系统给人类带来了方便快捷的信息服务,已经成为企业发展的重要保证。但由于计算机网络的开放性、互连性和时空的无限性等特征,致使网络会计信息系统的安全问题变得非常突出,安全控制显得尤为重要。认识到这些安全问题,采取必要的防范技术与对策是网络会计信息系统正常运行的基本保障。关键词:网络会计信息系统;安全控制;电子商务中图分类号:F23
文献标识码:A
文章编号:16723198(2009)19027402网络会计系统的诞生及应用,在给人类带来方便快捷的信息服务的同时,由于其自身的开放性、资源的共享性等特点,也带来了诸多安全问题。因此,加强系统安全控制及防范已显得特别重要。1 网络会计信息系统存在的主要问题(1)授权方式的改变和对系统程序质量的依赖,潜伏着巨大的安全控制风险。在网络会计系统中,权限分工采用的主要形式是口令授权,而口令存放于计算机系统内,一旦口令被人窃取,便会带来巨大的安全隐患。网络会计的安全控制在一定程度上取决于系统中运行的应用程序的质量。一旦程序中存在严重的错误,便会危害系统安全。而会计人员的计算机专业知识有限,很难及时发现这些漏洞,致使系统会多次重复同一错误而扩大损失。(2)电子商务的普及,会计信息易于被篡改或伪造,将给网络会计系统的安全控制带来新的难题。IT技术迅猛发展,网上交易愈加普遍,电子商务将逐步普及。企业在利用Internet网寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。一旦企业的全部原始凭证采用数字格式,实现电子化,极易被修改甚至伪造而不留任何痕迹,势必将加强企业对网上公证机构的依赖,电子单据的信息保真将显得特别重要。但目前相关技术还不完全成熟、相应法规并不完善,这将给系统安全控制造成极大的困难。(3)会计信息储存方式和媒介发生变化,会计业务缺乏有效牵制。网络会计采用高度电子化的交易方式,对数据的正确性、交易及其轨迹均带来新的变化。原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,而且大量的数据录入和交易发生在企业外部;网络会计使会计介质继续发生变化,更多的介质将电子化,出现各种发票、结算单等电子单据。存贮形式主要以网络页面数据存贮,网页数据只能在计算机及相应的程序中阅读。由于计算机的自动高效使工作人员减少,各种手续被合并到一起由计算机统一执行,从而不能像手工方式下一笔业务要经过几道岗位才能被确认而相互牵制,成为内部控制的安全隐患。(4)网络环境的开放性和动态性,加剧了会计信息失真的风险。在开放的网络环境中,大量的会计信息通过Internet传递,各种服务器上的信息在理论上都可以被访问,除非物理上断开连接,否则就存在被截取、篡改、泄漏甚至黑客或病毒的恶意侵扰等安全风险。尽管信息传递的无纸化可有效避免人为原因导致的信息失真现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。由于缺乏有效的确认标识,信息接受方怀疑所获取财务信息的真实性;信息发送方也担心所传递的信息能否被接受方正确识别并下载,这无疑加大了网络会计安全控制的难度。(5)网络会计系统的复杂性,加大了稽核与审计的难度。网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;信息来源的多样性,有可能导致审计线索紊乱;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价,这无疑将加大稽核与审计的难度和成本。2 网络会计信息系统的安全控制对策2.1 法律、政策保障为了对付计算机犯罪,保护会计信息使用者的权益,国家应制定并实施计算机安全及数据保护法律,从宏观上加强对信息系统的控制,为网络会计系统提供一个良好的社会环境;尽快建立和完善电子商务法律法规,制定网络会计环境下的有关会计准则,规范网上交易的购销、支付及核算行为。2.2 建立和完善网络会计系统的管理制度管理制度是保证企业实现网络会计信息系统安全、准确、可靠的先决条件。它主要包括确定各种人员的职责范围及其考核办法的岗位责任制;制定密码的使用和管理办法及机房、保卫、数据资料安全等方面应遵循的安全保密制度;操作计算机应遵守的操作规程及注意事项的操作管理制度;规定数据输入、输出、存储、查询与使用应遵守的数据管理制度;规定系统维护的申请、审批和应完成任务的系统维护制度;修订《会计档案管理办法》,重新规定会计档案的范围、保管办法及领用手续的会计档案管理制度。2.3 加强网络会计系统的安全控制(1)硬件安全控制。网络会计系统的可靠运行主要依赖于硬件设备,因此硬件设备的质量必须有充分保证。加强对硬件的维护,防止计算机出现故障导致会计信息丢失;为以防万一,关键的硬件设备可采用双系统备份。另外,计算机房应充分满足防火、防水、防盗、防鼠、恒温等技术条件,必要情况下可采用电子门锁、指纹核对、用计算机控制人员进出等防范控制手段;机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS不间断电源、防辐射和防电磁波干扰等设备,尽量采用结构化布线来安装网络,在埋设地下电缆的位置设立标牌加以防范;对用于数据备份的存贮介质应注意防潮、防尘和防磁,长期保存的磁介质存贮媒体应定期转贮等。(2)软件安全控制。软件的安全控制主要是保证程序不被修改、不损毁、不被病毒感染,程序的安全与否直接影响着系统的正常运行。①及时下载和安装系统补丁,堵住操作系统、数据库管理系统和网络服务软件的漏洞。②按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。③系统软件应尽量减少人机对话窗口,必要的窗口应力求界面友好,防错纠错能力强,不接受错误输入。④增强系统软件的现场保护和自动跟踪能力,对一切非正常操作可以记录。当非法用户企图登录或错误口令超限额使用时,系统会锁定终端,冻结此用户标识,记录有关情况,并立即报警。⑤分析研究各应用软件的兼容性、统一性,使各业务系统成为基于同一种操作系统平台的大系统,各种业务之间能相互衔接,相关数据能够自动核对、校验。⑥非系统维护人员不得接触程序的技术资料、源程序和加密文件,减少程序被修改的可能性。(3)数据资源安全控制。①合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,对特定类型的用户开放,以限制用户轻易获取全部会计数据资源。②合理设置网络资源的属主、属性和访问权限。资源属主体现不同用户对资源的从属关系,如建立者、修改者等,资源属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对资源的可用程度。③建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,对每天的业务数据双备份,建立目录清单异地存放。同时对存储在网络上的重要数据在传输前进行有效加密,接收到数据后再进行相应的解密,并定期更新加密密码。
④在操作系统中建立数据保护机构。调用计算机机密文件时应登录用户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。⑤设置外部访问区域,明确企业内部网络的边界。访问区域是系统接待外界网上访问,与外界进行数据交换的逻辑区域。企业建立内联网时,要详细分析网络的服务功能和结构布局,通过专用软件、硬件和管理措施,实现会计系统与外部访问区域之间的严密的数据隔离;在内部网和外部网之间的界面上构造保护屏障,防止非法入侵和使用系统资源,记录所有可疑事件。⑥在开发应用软件的技术选择上也要考虑数据安全性问题。如在网络财务软件中应充分利用客户服务器结构和Web应用的优点,对于决策支持、远程查询、报表远程上报则采用Web的应用,可以提高财务数据安全性。(4)网络安全控制。为了提高网络会计系统的安全防范能力,必须从技术上对整个系统的各个层次都要采取安全防范与控制措施,建立综合的多层次的安全体系。数据加密技术是保护会计信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密和非对称加密两大类。对称加密是关联双方共享一把专用密钥进行加密和解密运算,它所面临的最大难题是密钥网上分发的安全性问题。非对称加密是将密钥分为一把公钥和一把私钥,加密钥不同于解密钥、并且不能由加密钥推出解密钥,有效解决了密钥分发的管理问题,更适合网络应用环境。访问控制技术的代表是防火墙技术,特别是已融和虚拟专用网及隧道技术的防火墙技术。防火墙是建立在企业内部网和外部网接口处的访问控制系统,它对跨越网络边界的信息进行过滤。可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网的非法访问。(5)毒防范安全控制。防范病毒最有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,在系统的运行与维护过程中高度重视病毒防范及相应技术手段与措施。具体措施有:系统采购更新要经病毒检测后才可使用;对不需要本地磁盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务器上安装防病毒卡或芯片等硬件;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身防病毒能力;对所有外来软件、介质和传输数据必须经过病毒检查,严禁使用游戏软件;及时升级本系统的防病毒产品,定期检测并清除系统病毒。(6)电子商务控制。网络会计系统的应用为跨国企业、集团企业实现远程报表、报账、查账、审计及财务监控等处理功能创造了条件。网络会计是电子商务的基石和重要组成部分,对电子商务活动也必须进行相应的管理与控制。主要措施有:合理建立与关联方的电子商务联系模式;建立网上交易活动的授权、确认制度,以及相应的电子文件的接收、签发验证制度;建立交易日志的记录与审计制度,进行远程处理规程控制。3 加强内部审计为了监督并提高系统运行质量,企业应设独立的内部审计部门,在审计委员会或高层决策机构领导下工作。内部审计应包括:对会计资料定期进行审计,系统处理是否正确,是否遵照《会计法》及有关法律、法规的规定;审查电子数据与书面资料的一致性,做到账表相符,对不妥或错误的账表处理应及时调整;监督数据保存方式的安全合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞;对网络资源的使用、网络故障、系统记账等方面进行记录和分析。4 培养高素质的财会人员网络会计要求财会人员不仅能进行计算机操作,还要求能解决实际工作中出现的各种问题,所以应积极培养能掌握现代信息技术和会计知识及管理理论与实务的复合型人才。既要通过教育来提高他们的思想认识、安全防范意识和职业道德水准,严格执行各项规章制度,又要加强专业知识的学习和培训,不断提高计算机网络的安全防范手段和应用水平,在对网上会计信息进行有效过滤的同时,防止非法访问和恶意攻击本企业的会计信息。要适应网络会计的发展,企业必须注重人才的培养和开发,这是信息时代保证企业在激烈的市场竞争中制胜的关键所在。网络会计信息系统随着网络技术和电子商务的发展不断发展和完善。可以相信,随着会计信息系统功能的不断完善,越来越多的企业应用的不断深入,它将会引发企业管理思想、经营理念和会计管理工作的变化。参考文献[1]凌艳萍,梁燕华,成志军.会计电算化[M].长沙:中南大学出版社,2006:226229.[2]潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2):4849.[3]冯晓玲,任新利.网络会计信息系统的安全技术研究[J].会计之友,2007,(11):8990.[4]刘梅玲.网络会计信息系统的安全技术探讨[J].中国会计电算化,2004,(12):89.[5]范艳梅,孙艳霞,辛莹,等.浅析网络会计中存在的问题及对策[J].商业经济,2008,(6):109110.
【 关键词 】 工业控制系统;信息安全;现状;趋势
【 中图分类号 】 T-19 【 文献标示码 】 A
1 引言
随着科学技术的发展,工业控制系统(Industrial Control Systems, ICS)已成为电力、水力、石化天然气及交通运输等行业的基石。但工业控制系统往往缺乏或根本不具备防护能力,与此同时工业控制系统的每次安全事件都会造成巨大的经济损失,并直接关系到国家的战略安全。特别是2010年爆发的Stuxnet病毒让全球都明白,一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标,因此,工业控制系统安全是世界各国关注的焦点。本文将从工业控制系统特点出发、立足典型工控安全事件,对该领域的现状及未来发展趋势做详细阐述和分析。
2 典型工业控制系统基本结构
工业控制系统是由各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,其结构如图1所示,主要分为控制中心、通信网络、控制器组。工业控制系统包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等,目前已广泛应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域,成为国家关键基础设施的重要组成部分。
作为工业控制系统的重要组件,SCADA、DCS及PLC各具特点。
SCADA(Supervisory Control And Data Acquisition)系统:SCADA经通信网络与人机交互界面进行数据交互,可以对现场的运行设备实时监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等。可见其包含两个层次的基本功能:数据采集和监控。常见的SCADA系统结构如城市煤气管网远程监控、电力行业调度自动化及城市排水泵站远程监控系统等。
DCS(Distributed Control System)系统:分布式控制系统是相对于集中式控制系统而言的一种新型计算机控制系统,由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统,其基本思想是分散控制、集中操作、分级管理,广泛应用于流程控制行业,例如电力、石化等。
PLC(Programmable Logic Controllers):用以实现工业设备的具体操作与工艺控制,通常在SCADA或DCS系统中通过调用各PLC组件实现业务的基本操作控制。
其他工业控制系统:除以上介绍外,一些生产厂商对典型的控制系统进行改造,生产出符合特定工作环境、满足特定生产工艺的工业控制系统。
无论在何种工业控制系统中,工业控制过程都包括控制回路、人机交互界面(Human Interface,HMI)及远程诊断与维护组件:其中控制回路用于向执行器输出逻辑控制指令;HMI执行信息交互,包括实时获取控制器及执行器的状态参数,向控制器发送控制指令,修改工艺参数等;远程诊断与维护工具确保出现异常时进行诊断和系统恢复,例如系统的紧急制动、报警等。图1为典型的ICS控制过程。
3 工业控制系统信息安全现状及策略
3.1 工业控制系统安全现状
相比于传统的网络与信息系统,大多数的工业控制系统在开发设计时,需要兼顾应用环境、控制管理等多方面因素,首要考虑效率和实时特性。因此,工业控制系统普遍缺乏有效的工业安全防御及数据通信保密措施。特别是随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。根据工业安全事件信息库RISI(Repository of Industrial Security Incidents)的统计,截止2011年,全球已发生200余起针对工业控制系统的重大攻击事件,尤其在2000年之后,随着通用协议、通用硬件、通用软件在工业控制系统中的应用,对过程控制和数据采集监控系统的攻击增长了近10倍。
针对工业控制系统的攻击主要威胁其物理安全、功能安全和系统信息安全,以达到直接破坏控制器、通信设备,篡改工业参数指令或入侵系统破坏生产设备和生产工艺、获取商业信息等目的。
对于工业控制系统破坏主要来自与对工控系统的非法入侵,目前此类事件已频繁发生在电力、水利、交通、核能、制造业等领域,给相关企业造成重大的经济损失,甚至威胁国家的战略安全。以下是各行业典型的工业控制系统(ICS)遭入侵事件。
* 2000年,黑客在加斯普罗姆(Gazprom)公司(俄罗斯国营天然气工业股份公司)内部人员的帮助下突破了该公司的安全防护网络,通过木马程序修改了底层控制指令,致使该公司的天然气流量输出一度控制在外部用户手中,对企业和国家造成了巨大的经济损失。
* 2001年,澳大利亚昆士兰Maroochy 污水处理厂由于内部工程师的多次网络入侵,该厂发生了46次不明原因的控制设备功能异常事件,导致数百万公升的污水进入了地区供水系统。
* 2003年,美国俄亥俄州的戴维斯-贝斯(Davis Besse)核电站进行维修时,由于施工商在进行常规维护时,自行搭接对外连接线路,以方便工程师在厂外进行维护工作,结果当私人电脑接入核电站网络时,将电脑上携带的SQL Server蠕虫病毒传入核电站网络,致使核电站的控制网络全面瘫痪,系统停机将近5小时。
* 2005年,13家美国汽车厂(尤其是佳士拿汽车工厂)由于被蠕虫感染而被迫关闭,50000名生产工人被迫停止工作,直接经济损失超过140万美元。
* 2006年8月,美国Browns Ferry核电站,因其控制网络上的通信信息过载,导致控制水循环系统的驱动器失效,使反应堆处于“高功率,低流量”的危险状态,核电站工作人员不得不全部撤离,直接经济损失数百万美元。
* 2007年,攻击者入侵加拿大的一个水利SCADA控制系统,通过安装恶意软件破坏了用于控制萨克拉门托河河水调度的控制计算机系统。
* 2008年,攻击者入侵波兰罗兹(LodZ)市的城市铁路系统,用一个电视遥控器改变了轨道扳道器的运行,导致四节车厢脱轨。
* 2010年6月,德国安全专家发现可攻击工业控制系统的Suxnet病毒,截止9月底,该病毒感染了全球超过45000个网络,其中伊朗最为严重,直接造成其核电站推迟发电。
除对工业控制系统的直接恶意攻击外,获取商业信息、工业数据等也是近年来入侵工业控制系统的常见现象。例如,2011年出现的Night Dragon可以从能源和石化公司窃取诸如油田投标及SCADA运作这样敏感的数据。世界著名安全公司迈克菲(McAfee)在一份报告中披露,黑客曾依靠该方式入侵了五家跨国石油天然气公司窃取其商业机密;与此同时出现的Duqu病毒和Suxnet不同,它并不攻击PLC系统,而是收集与其攻击目标有关的各种情报(如工业控制系统的设计文件等),根据世界著名信息安全公司卡巴斯基的报告,Duqu作为一种复杂的木马,可能与Suxnet蠕虫的编写者同为一人,这也预示着网络犯罪有足够的能力成功执行工业间谍活动;类似的恶意软件还有Nitro,它攻击了25家化工和新材料制造商,收集相关知识产权资料,以获得竞争优势。
据不完全统计,近年来发生的工业控制系统安全事件(主要以恶意入侵、攻击为主),除水利、电力、交通运输等公共设施领域外,更为集中的发生在诸如石油、石化等能源行业。如图4所示为主要领域工业控制系统安全事件统计。
通过相关工控事件案例分析可以发现,导致工业控制系统安全问题日益加剧的原因有三。
A.工业控制系统的自身特点所致:如前所述,工业控制系统的设计开发并未将系统防护、数据保密等安全指标纳入其中,再者工业控制网络中大量采用TCP/IP技术,而且工业控制系统网络与企业网络连接,防护措施的薄弱(如TCP/IP协议缺陷、工业应用漏洞等)导致攻击者很容易通过企业网络间接入侵工业控制系统,如图5所示。
经统计,工控系统遭入侵的方式多样,其入侵途径以透过企业广域网及商用网络方式为主,除此之外还包括通过工控系统与因特网的直接连接,经拨号调制解调器、无线网络、虚拟网络连接等方式。如图6所示为常用的工业控制系统入侵手段。
B.工业控制系统设备的通用性:在工业控制系统中多采用通用协议、通用软件硬件,这些通用设备的漏洞将为系统安全带来极大隐患。
1) 组态软件作为工业控制系统监控层的软件平台和开发环境,针对不同的控制器设备其使用具有一定的通用性。目前使用比较广泛的有WinCC、Intouch、IFix等,在国内,组态王在中小型工控企业中也占有一定份额。Suxnet病毒事件即为利用西门子WinCC漏洞所致。
2) 通信网络是工业控制系统中连接监测层与控制层的纽带,目前工控系统多采用IEC61158中提供的20种工业现场总线标准,例如Modbus系列(Modbus-TCP和Modbus-RTU等)、Profibus系列(Profibus-DP、Profibus-FMS)、Ethernet等,图7为通用现场总线的网络结构,可见只要利用这些通用协议的缺陷、漏洞即可入侵工业控制系统,获得控制器及执行器的控制权,进而破坏整个系统。控制器设备则主要采用西门子、RockWell、HoneyWell、施耐德等公司产品,因此这些通信协议及通用控制器所具有的漏洞极易成为恶意攻击的突破口(如施耐德电气Quantum以太网模块漏洞可以使任何人全方位访问设备的硬编码密码)。
C.入侵、攻击手段的隐蔽性:大多对工业控制系统的入侵和攻击手段极为隐蔽、木马和蠕虫病毒的潜伏周期较长,待发现时已对企业国家造成严重损失。
据金山网络安全事业部的统计报告显示,一般的防御机制需要2个月的时间才能确认针对工业控制系统的攻击行为,对于更为隐蔽的Stunet及Duqu病毒,则需要长达半年之久。如图8所示为McAfee披露Night Dragon的入侵模式。
3.2 工业控制系统安全策略
自Stuxnet病毒爆发以来,工业控制系统的安全就成为各国所关注的焦点。针对越发严重的工业系统入侵等安全事件,世界各国都在积极研究相应的应对措施。
* 美国成立了工业控制系统网络应急小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT),专注于协助美国计算机应急相应小组US-CERT处理工业控制系统安全方面的事宜,其职能包括:对已发生的工控安全事件进行处理分析,以便将来避免发生类似的安全事件;引导系统脆弱性分析和恶意软件分析;提供对事件相应和取证分析的现场支持等。
【 关键词 】 工业控制系统;信息安全;措施建议
【 中图分类号 】 O242; F830.9 【 文献标识码 】 A
1 工业控制系统概念
工业控制系统(Industrial Control System)是工业生产中所使用的多种控制系统的统称,典型形态包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)、以及可编程逻辑控制器(PLC)等小型控制系统装置。工业控制系统普遍适用于水处理、能源、电力、化工、交通运输、制造业等行业。
2 典型工业控制系统介绍
2.1 监控和数据采集系统(SCADA)
SCADA系统用于数据采集与控制,对大规模远距离地理分布的资产与设备进行集中式管理。SCADA系统对数据采集系统、数据传输系统和人机接口进行集成,以提供一个集中监控多个过程输入和输出的系统。SCADA系统采集现场信息,传输到中央计算中心,以图形和文本形式向操作员展示,从而操作员能够实施的对整个系统进行集中监视或控制。SCADA系统是广域网规模的控制系统,常用于电力和石油等长输管道的过程控制。
2.2 分布式控制系统(DCS)
DCS是集中式局域网模式的生产控制系统,通过对各控制器进行控制,使它们共同完成整个生产过程;通过对生产系统进行模块化,减少单点故障对整个系统的影响。通过接入企业管理信息网络,实现实时生产情况的展现。DCS主要用于各种大、中、小型电站的分散型控制、发电厂自动化系统的改造以及钢铁、石化、造纸、水泥等过程控制行业。
2.3 可编程逻辑控制器(PLC)
PLC是具有计算能力的固态设备,具有独立进行一定的采集、计算、分析和工业设备与工业过程的控制功能。PLC还可以直接作为小规模控制系统进行生产过程控制,也常常在SCADA和DCS系统中作为整个系统的控制组件对本地进行进行管理。在SCADA系统,PLC可以起到RTU的作用;在DCS系统中,PLC起到本地控制器的作用。
2.4 其它工业控制设备
工业控制计算机(IPC)是一种面向工业生产设计的计算机,工业生产环境中完成对生产过程及其机电设备、工艺装备进行检测与控制。
PLC/RTU可编程逻辑控制器/远程传输单元, 是工业控制系统中的硬件核心部分,通过对它们进行编写控制程序,PLC/RTU能够按照程序控制工业设备的运行和对其故障进行处理,并且把实时的数据上传到计算机进行进一步的分析、储存和处理。
仪器仪表是对工业现场的过程数据进行度量和采集的仪器,如压力计、温度计、湿度计等。主要包括:长寿命电能表、电子式电度表、特种专用电测仪表;过程分析仪器、环保监测仪器仪表、工业炉窑节能分析仪器以及围绕基础产业所需的零部件动平衡、动力测试及产品性能检测仪、大地测量仪器、电子速测仪、测量型全球定位系统;大气环境、水环境的环保监测仪器仪表、取样系统和环境监测自动化控制系统产品等。
智能接口是标准的工业通信接口,用于设备之间的互联,按照其通信协议不同而分为不同种类,如RS232、RS485串行通信接口、Modbus接口等。
工业现场网络是在工业设备间进行数据传输的网络,比一般的计算机网络更注重稳定性和抗干扰能力,通常按照不同设备厂家的协议来命名的,如西门子的Profitbus, RockWell 的Rslink等。
工业控制软件,又叫组态软件,就是开发人机界面用于操作员对工业现场的设备状态进行实时控制,对实时的告警数据进行响应,对历史数据进行分析的软件系统,如Wonderware的Intouch和Citect的CitectSCADA等。
历史数据库系统就是通过数据的压缩技术把工业现场以毫秒级变化的实时数据进行压缩存储,并且可以对几天前,几月前甚至几年前的生产设备数据进行查询还原。如Wonderware的InSQL和Citect的Historian等。
3 工业控制系统信息安全事件
随着工业控制系统的通用化、网络化、智能化发展,工业控制系统信息安全形势日渐严俊。一方面,传统的互联网信息安全威胁正在向工业控制系统蔓延,另一方面,针对关键基础设施及其控制系统,以窃取敏感信息和破坏关键基础设施运行为主要目的攻击愈演愈烈。近年发生的工业控制系统安全事件主要有几个。
3.1 伊朗核电站受到“震网”Stuxnet病毒攻击
2010年9月26日伊朗向外界证实,布什尔核电站的计算机系统受到“震网”蠕虫病毒的攻击。调查显示,布什尔核电站数名员工的个人电脑感染了“网震”蠕虫病毒。一名伊朗工业和矿业部信息技术部门负责人称,这种病毒可以将计算机储存数据传输到伊朗境外的IP地址,全国多达3万台电脑IP地址被这种蠕虫病毒感染,一场针对伊朗的电子网络战已经拉开序幕。
该病毒专门针对西门子公司生产的监控和数据采集系统,一旦计算机控制系统感染复杂的这种蠕虫病毒,整个工厂的自动化运转都将陷入混乱。“震网”病毒可能是全球第一种投入实战的“网络武器”。新病毒采取了多种先进技术,具有极强的隐身和破坏力。
3.2 日本新干线系统故障
2011年1月17日早晨,JR东日本公司运营的东北、上越、长野、山形和秋田5条新干线运行管理系统发生故障,上午8点23分起全线临时停运约75分钟。虽然9点38分恢复运营,但时刻表被大幅打乱。5条线路共计有15趟列车停运,124趟列车延误,最长延误时间为2小时13分,约8.12万人出行受到影响。这些线路直到当地时间当天傍晚才基本恢复正常。
JR东日本公司称,故障原因可能在于东京运行总部用于综合管理和监控新干线运行情况的电脑网络中,操控时刻表、信号和线路转辙器(扳道岔)的管理系统出现异常,总部内用于显示时刻表的22台机器画面时而黑屏时而显示。
3.3 美一水利设施遭黑客破坏
2011年11月美国伊利诺伊州一个供水系统发现被黑客入侵,一个水泵怀疑因此被黑客遥控破坏。著名网络安全专家韦斯(Joe Weiss)引述伊利诺伊州反恐情报中心的报告,指该州首府斯普林菲尔德(Springfield)以西一处乡郊的供水设施,约两个月前开始出现系统问题,其中一个水泵被频密开关,至11月8日马达报废,职员才发现控制水泵的监控及数据采集(SCADA)系统出现可疑情况。
3.4 伊朗击落美无人机
2011年12月4日,伊朗宣布其防空部队击落一架入侵伊东部边境空域执行侦察任务的美国RQ-170型无人侦察机,飞机轻微受损。一名参与击落行动的伊朗工程师透露,伊朗是利用美军无人机全球定位导航系统(GPS)存在的缺陷,才成功把这架无人机“诱骗”至伊朗领土。他介绍称,伊朗利用从之前缴获的其他型号的美军无人机上获取的技术资料,切断这架“哨兵”无人机与指挥部之间的联系,然后重新设定无人机的GPS坐标、指引其在伊朗境内着陆。2011年10月7日美国军方宣布美国内华达州克里奇空军基地计算机控制系统遭电脑病毒入侵,这里正是美国无人侦察机“捕食者”和“死神”的控制平台。
3.5 “火焰”病毒肆虐中东
2012年5月,俄罗斯安全专家发现一种威力强大的电脑病毒“火焰”(Flame)在中东地区大范围传播。火焰病毒最早可能于2010年3月就被攻击者放出,但一直没能被其他网络安全公司发现。“火焰”病毒构造复杂,此前从未有病毒能达到其水平,是一种全新的网络间谍装备。该病毒可以通过USB存储器以及网络复制和传播,并能接受来自世界各地多个服务器的指令。
感染“火焰”病毒的电脑将自动分析自己的网络流量规律、自动录音、记录用户密码和键盘敲击规律,并将结果和其他重要文件发送给远程操控病毒的服务器。一旦完成搜集数据任务,这些病毒还可自行毁灭,不留踪迹。
火焰病毒通过大量的代码实现自我隐藏,能够记录来自内部话筒音频数据,并且能够在设备的蓝牙功能开启时通过蓝牙收集临近设备中的信息目前,已经有成千上万的计算机受到火焰病毒的影响,涉及伊朗、以色列、黎巴嫩、沙特、埃及等多个国家,其中,伊朗遭受病毒感染的计算机数量最多。
火焰病毒对石油工业等重要信息系统的正常运行造成了很大的冲击。火焰病毒是迄今发现为止程序最大的网络武器,其设计结构让其几乎不能被追查到,不同于一般的恶意程序较小且方便隐藏的特点,火焰程序庞大却能隐藏得难以被发现。
4 工业控制系统信息安全的趋势和特点
4.1 针对关键基础设施及其控制系统的攻击增多
与传统病毒攻击的漫无目的相比,近年来“震网”等病毒攻击具有越来越明确的针对性和目标性。“震网”、“火焰”病毒虽然也能像传统蠕虫病毒一样在网络上广泛传播,但它们并不以牟取经济利益为目的,其最终目标是特定国家的关键基础设施或工业控制系统,攻击旨在获取系统中的敏感信息,或者瘫痪关键基础设施运行。例如,“震网”病毒以伊朗核电基础设施为攻击目标;“火焰”病毒在2012年4月已经导致伊朗石油部、国家石油公司内网及其关联官方网站无法运行及部分用户数据泄露。
4.2 国家成为网络攻击的重要支持和发动者
以往的网络攻击,攻击者多数是个人或黑客团体,但近年来国家政府开始加入进来。早在2008年,俄罗斯就因与格鲁吉亚的南奥塞梯问题对后者发动了网络攻击。2010年给伊朗核电站造成破坏的“震网”病毒,经证实是由美国和以色列联合研发的,目的在于阻止伊朗发展核武器。
“火焰”虽然目前攻击源还不能确定,但研究表明,后者与“震网”病毒有着深层次联系。例如,“火焰”病毒代码与“震网”的某个特定模块有共同特征。而且,从病毒结构、病毒开发工作难度等来看,这些病毒不可能由几个黑客开发,专家分析认为这应当是某些国家的行为。
4.3 高级可持续性攻击威胁日趋严重
高级可持续性攻击(APT)是针对特定组织的复杂且多方位的网络攻击,这类攻击目标性极强,一旦成功危害很大。攻击一般从搜集信息开始,搜集范围包括商业秘密、军事秘密、经济情报、科技情报等;情报收集工作为后期攻击服务。攻击可能会持续几天、几周、几个月、甚至更长时间,呈现出持续性的特点。
自2007年出现以来,APT攻击手段不断完善,攻击方式越来越隐蔽,攻击范围扩展到能源、运输、食品和制药等公用事业领域的企业和机构。据专家的判断,2011年伊朗导弹爆炸事件,是因为导弹电脑控制系统遭“震网”病毒感染所致,而该事件距“震网”病毒爆发已一年以上,足见此攻击的持续性。
4.4 国家之间的网络战争威胁日益加剧
近年来国家支持的网络攻击活动频繁,引起了各国对网络战争的担忧,尤其是“火焰”等病毒威力强大、足以用来攻击任何一个国家,更使人相信未来针对一个国家发动网络攻击,以瘫痪该国的关键基础设施,并非绝无可能。
研究认为,网络战争可分为战略和战役两个层次,战役层次网络攻击是对军事目标以及与军事相关民用目标的战时攻击,战略层次网络攻击是针对一国关键基础设施发动网络攻击。战略层次网络攻击将可能给被攻击国家和社会造成灾难性的危害,为防御他国可能的上述攻击,美国等一些国家在积极开展网络武器研发,组建网络部队,并且通过立法方式授权军队在遭受网络攻击时使用武力进行反击。
5 我国应对工业控制系统信息安全威胁的措施建议
工业控制系统信息安全事关国家安全,为有效应对网络攻击的新变化,建议从以下几方面着手。
5.1 加强信息安全威胁分析等基础技术研究
开展针对关键基础设施及其控制系统的新型网络威胁的跟踪研究,分析网络威胁的主要特征和关键技术,有针对性地开展网络态势感知、大数据分析、漏洞挖掘等技术研发,搭建相关技术平台,提高国家对信息安全风险隐患发现、监测预警等能力。
5.2 加强关键基础设施及其控制系统的安全评估
制定关键基础设施及其控制系统安全检查和风险评估的相关标准,加快培育专业技术力量,组织进行安全检查和风险评估。督促相关企业建立信息安全防护体系,落实信息安全技术防护和管理措施。通过检查和评估,发现安全防护中的薄弱环节,针对性地提出风险消减和改进防范措施。
5.3 加快推动国产技术产品对国外产品的替代
针对当前我国关键基础设施及其控制系统中信息技术产品高度依赖进口的现状,加强高端通用芯片、操作系统等基础技术攻关,支持国内企业基于国产芯片研发信息技术装备、大型SCADA等控制设备和系统。加快国产技术产品的应用推广,落实首台套政策,逐步实现对国外产品的替代。
5.4 联合开展针对关键基础设施的网络攻防演习
联合关键基础设施主管部门及相关企业,开展针对关键基础设施的网络攻防演习,对关键基础设施进行模拟攻击,检验其对网络攻击的承受能力,以及攻击发生后的应急处置和应对能力。在实践中摸索建立企业和政府间威胁信息共享、协同应急处置等机制。
5.5 搭建工业控制系统漏洞检测等公共技术平台
建立部级工业控制系统数字仿真测试环境,通过实验室测评、现场评估、渗透测试等方式,对工业控制系统进行网络脆弱性评估。建立部级工业控制系统漏洞检测和管理平台,对工业控制终端、通信设备以及芯片、软件等软硬件产品进行漏洞检测,建立工业控制系统漏洞数据库。
6 结束语
面对日益复杂的国际环境,我国工业控制系统信息安全形势日趋严峻。本文介绍了工业控制系统的概念和典型的工业控制系统,列举了近年一系列工业控制系统信息安全事件,分析了工业控制系统信息安全的趋势和特点,提出了提高我国工业控制系统信息安全保障能力的措施建议。
参考文献
[1] NIST Manufacturing Engineering (2008).NIST Programs of the Manufacturing Engineering Laboratory,March 2008.
[2] “Introduction to Industrial Control Networks”,IEEE Communications Surveys and Tutorials, 2012.
[3] 蔡锋,张岑,李代甜. SCADA系统在石油管线中的应用. 石油化工自动化,2007 第2期.
[4] 秦猛. DCS的可靠性分析. 石油化工自动化,2008 第1期.
[5] 李桢. DCS与PLC的Modbus协议通信在石油化工厂的应用. 计算机应用与软件,2009 第4期.
[6] 广州致远电子有限公司. 新一代嵌入式工控设备系统级互连应用. 电子技术应用,2008 第7期.
【摘 要】 笔者 分析 了城市轨道 交通 安全管理的现状,从系统的角度挖掘导致事故发生的管理缺陷原因;提出保证轨道交通安全的根本出路在于建立 现代 企业 安全管理体系;研讨了安全管理系统的运行机理,规范了保证系统、控制系统、信息系统贯穿在全过程管理的功能和作用;提出以信息系统为基础的旨在对安全生产进行事前、事中、事后控制的安全管理体系,并对该体系的结构和 内容 进行了分析和讨论。通过所 研究 的安全管理体系的成果,对城市轨道交通安全管理的现状改善、为适应城市轨道交通安全管理的现代化提供了新的思路和途径,也推动和丰富了城市轨道交通安全管理体系的学科建设。
【关键词】 城市轨道交通;安全管理体系;保证系统;控制系统;信息系统
1 前 言
2003年2月18日韩国大邱市发生地铁纵火案,造成133人死亡、300多人失踪,财产损失高达460亿韩元。尽管事故原因是人为有目的造成的,但火灾发生后的分析,又暴露出很多安全管理措施不得力,包括指挥调度不当、司机失职、乘客缺乏逃生知识等,导致了灾害后果的扩大。大邱市的地铁火灾给各国城市轨道交通安全提出了警示,笔者分析了我国轨道交通安全管理的现状,以期发现存在的 问题 ,提高轨道交通的安全管理水平。
2 轨道交通管理工作急需改进
从安全管理组织机构看,我国各城市轨道交通基本上设立三级安全管理模式,即总部(地铁公司)设安全委员会,车务、车辆、维修等部门设安全领导小组,各车间(室)设安全员。总部范围内建立包括总部领导、部门领导、车间领导、安全监察员和兼职安全员在内的安全管理 网络 。其中安全委员会是安全管理的最高领导机构,安全监察室为其常设办公室,车务、车辆、维修三大生产部门设有专职安全监察员[1~3]。 把轨道交通作为一个大系统进行分析,可把人、设备、环境3个因素作为事故发生的直接原因,而管理缺陷是造成事故的间接原因。这4种因素和事故发生存在着必然的逻辑关系,借助事故树中的条件或门,运用布尔代数原理可写出如下公式:X1———事故的管理原因;
X2———事故的人为原因;
X3———事故的设备原因;
X4———事故的环境原因。
由上述公式看出:事故发生的原因可归结到管理、人为、设备和环境四大因素。这四大因素中的任何一种因素运行不良,都会引起事故发生。而管理因素随时随地制约着其他3种因素,管理原因或管理原因与上述任何一种原因结合,都会引起事故的发生。换句话说,只要管理上存在着缺陷、不善、混乱或失误,就会直接导致事故发生或导致人的不安全行为、设备的不安全状态和环境的不安全因素存在,进而引发事故,可见管理缺陷是诱发事故的关键原因。
笔者通过调研,并以现代企业 科学 管理的尺度来衡量,认为 目前 轨道交通系统的安全管理工作还存在以下不足:
(1)安全与生产脱节。有的生产管理部门和个别员工错误地把安全工作看成是领导、安监室、安全员的事,在生产过程中忽视安全工作,造成安全管理与地铁运营管理脱节。轨道交通企业作为独立的 经济 实体,安全管理理所当然是生产管理的有机组成部分,应当推行与生产管理同
步 发展 的全面安全管理,即系统安全管理。
(2)对安全问题处理不够全面。在处理问题时,没有由表及里按系统的结构和功能去深入进行分析,不能将存在的各种安全问题有机联系在一起、全面分析,并制定相应的预防措施,造成了头痛医头、脚痛医脚、顾此失彼的局面。
(3)没有抓住信息流这一管理核心去指导安全工作,安全管理体制特征仍然是静态管理。现代企业安全管理的理念是:安全信息不仅应包括有关重大事故等灾害事故的信息、 历史 经验资料,更重要的是应及时把握住运营过程的安全信息,以实现对安全工作的全过程动态控制。
(4)“事故处理”仍然是安全管理的日常工作重心,要完成由“事故处理”型到“事故预测”型的转变,将安全管理工作的重心真正从事故追查处理转变到事前安全预测上,还需要一个过程。
(5)随着轨道交通线网规模的扩大,安全监管的范围、人员、规章制度都有新的变化,就容易形成管理上的漏洞。出现规章制度的不健全、安全考核和相关措施不到位的情况,所以要对现行的安全标准根据实际情况的变化及时修改补充或重新制定。
(6)安全责任落实不够。虽基本建立安全生产责任制,但落实仍有待加强。
3 安全管理系统的运行机理
在轨道交通安全系统 应用 方面,要澄清这样的错误认识,即认为运营管理系统是一个大系统,安全管理系统是生产系统的子系统。实际上,安全管理系统的概念是为解决安全问题而构造的,其内涵是针对生产系统本身安全而言,并不是从生产系统分离出安全系统这一子系统,而是改造生产系统的安全系统,使之具有处理本系统一切安全问题的功能。因此,安全系统是“由与生产安全问题有关的相互联系、相互作用、相互制约的若干因素结合成的具有特定功能的有机整体”[4]。安全管理系统的中心任务即对运营管理系统的安全状况进行管理和控制。
从控制论的角度看,安全管理是一个多回路的反馈控制系统。在这个系统中,事故是被控制的对象,事故控制是笔者研究的中心。系统控制的目的是减少或消灭事故的发生及其 影响 ,以提高生产系统的安全度[5]。
就安全管理系统的运行来说,在获得系统内外安全信息基础上,确定安全管理的目标并将目标按管理的层次进行分解,根据目标制定安全管理的总体计划和分层实施计划,通过安全执行机构予以执行落实,系统内的监察部门及时将有关生产系统的安全信息进行反馈,经过安全状态分析、评价,找出系统隐患,及时进行整改,通过这样不断循环以实现安全管理系统对生产系统的安全控制。
从图1中可看出,安全管理系统对生产系统进行控制的功能通过两条途径来实现:
一条为微观控制反馈回路,由“安全状态检测”、“安全状态调查分析”、“隐患处理”、“组织实施”等组成,通过“安全状态检测”、“安全状态调查分析”,充分地反映出当时生产系统的安全状态,通过对“隐患处理”、“执行”,随时控制人、设备、环境和管理四个影响生产系统安全状态的主要因素;
另一条是宏观控制反馈回路,由“安全状态检测”、“安全状态调查分析”、“原始信息收集”、“安全状态综合分析、评价”、“人员的安全 教育 和技术培训”、“设备的更新改造”、“环境状态的改良”、“管理 方法 和制度的完善”、“安全计划”、“组织实施”等组成,通过对大量的事故和隐患等不安全状态信息的收集、综合分析来预测、评价整个生产系统的安全状态,提出对“人员的安全教育和技术培训”、“设备的更新改造”、“环境状态的改良”、“管理方法和制度的完善”等要求,及时调整安全计划并组织实施。
通过上述的工作流程和控制方法来提高生产系统的安全系数,最终达到减少事故的目的。
在以上控制线路中,还存在一个内反馈,即采用新方法、新 理论 通过原始信息收集产生参数,通过安全状态综合评价产生模型,最终产生新的安全状态调查分析方法和手段,来更新以往的方法及手段,并使其不断地完善,达到使原始信息更及时、全面、准确地反馈安全状态的目的。
从管理的角度来看,安全管理是个多层次的分级管理系统,其结构是与生产系统的管理结构分不开的,同时每级又成为一个完整的系统,都有自己的控制目标和自己的特点。微观反馈一般存在于最基层的管理级,而宏观控制反馈则存在于各管理级之中。
对图1进一步分析得知:安全管理系统的运行,除自身的控制实体(控制系统)外,首先必须有一个能从组织上、制度上给以保证的载体即保证系统,它是整个系统得以运行的前提和保障;此外,鉴于现代安全管理系统多层次、多回路、多环节的特征,在安全管理系统内部和安全管理系统与生产系统之间,必须具备一定的信息反馈渠道,要求信息传递及时、准确。因此,要使安全管理系统有效运行,还必须有一个能全面、及时而准确地获取各种决策所需的信息、对实施情况能迅速反馈的信息系统。
4 轨道交通安全管理体系原理
由上一章的分析可知,轨道交通安全管理体系应由保证系统、控制系统和信息系统构成(见图2)。在这3个系统中,保证系统为整个管理工作提供组织保证和制度保证,是该体系运行的前提和根本。控制系统是整个管理工作的核心,是实现有效管理的关键环节,在整个管理体系中处于中心地位。信息系统是用来进行信息的收集、加工、转换并利用信息进行预测和控制的,是整个安全管理工作的基础。
4.1 保证系统
根据保证系统的地位和作用,把其分为组织保证、制度保证和教育培训。
4.1 1 组织保证
安全贯穿于生产的全过程,既需要通过对企业的各层次部门进行横向管理来实行决策方案的落实,更需要通过对纵向上的管理最终达到安全生产的目的。轨道交通安全管理组织网络图如图3所示。
建立以安全生产责任制为核心的安全管理规章制度是安全生产管理的依据和前提,安全生产责任系统的建立体现了全面安全管理的思想。岗位安全生产责任制作为其实施细则,是保证各级安全生产责任制具体落实到人的措施。安全责任应按照管理层次不同、分工不同,在每个岗位上都应该有一个明确的安全责任。纵向从最高管理者到每个作业人员,横向则包括各个部门的每个岗位。
4.1 3 教育培训
安全教育是使职工适应作业环境的重要手段,如果不经过培训和教育,熟练掌握生产环境中有关作业的条件和知识,就难免产生人的不安全行为。因此,安全教育和培训是安全工作中特别重要的一环,也是特别值得重视的提高员工安全素质的问题。
4.2 控制系统
控制是指为保证行为主体在变化的条件下实现其目标,按照事先拟定的计划和标准,通过采取各种 方法 ,对被控过程中发生的各种实际值与计划值进行比较、检查、监督、引导和纠正,以保证计划目标得以实现的管理活动。 目前 的安全管理特征是事后管理,即单一的反馈控制。这是一种典型的“ 问题 管理型”方法,即事故或事故苗子发生后再采取防范对策,它远远不能适应未来轨道 交通 路网化建设、高密度、大运量的需要,因此,必须采用前馈与反馈相耦合的超前控制。即在原有反馈基础上,针对其输入或生产系统本身发生的变化,不等其 影响 安全就事先将其对安全可能造成的影响进行 分析 评价,开展事故预测,采取必要的防范措施,其控制机制如图4所示。
就轨道交通安全管理的安全控制系统来说,可考虑由目标确定、安全设计、过程控制和事故处理这4部分组成。 4.2 1 目标管理
在确定安全目标值时应根据自身的安全状况,历年、特别是近期各项指标的统计数据,同时也应参照同行业,特别是先进 企业 (如香港地铁)的安全目标值。安全目标值确定后,应自上而下展开分解落实到公司、车站(车辆段)、具体工种等,纵向到底,横向到边。
4.2 2 安全设计文件
安全设计的主要 内容 有以下几部分:
(1)信息资料收集,包括员工信息,安全难点、重点、危险、关键部位分析,以往事故和常见事故资料等。
(2)安全管理目标,包括公司的安全目标值、车站(间)的安全控制目标等。
(3)安全管理组织,包括安全管理 网络 图、部门与岗位的职责与权限等。
(4)安全生产策划,包括针对性地确定控制和检查手段、措施,确定执行的文件、规范,应补充的安全管理规定。
(5)安全保证计划。
(6)运营现场的安全控制,包括对生产过程实施监督和控制的方法(重点、关键点的控制内容),生产人员上岗资格的要求,为达到规定要求所使用的安全技术和操作方法,其他工作组织设计等。
(7)事故隐患的控制,如何识别并控制事故的隐患,对检查表查出的不合格设施、不合格过程、不安全行为的具体处置方法和程序等。
4.2 3 过程控制
安全生产的整个过程中每个阶段都可视为一个过程。过程控制即是通过安全检查获得反映系统安全状态的信息,根据预期状态对获得的信息进行分析判断,作出决策,制定改进方案;采取相应的措施,调节系统的人、设备、环境和管理等方面的输入情况和工作状况。另外,通过对隐患整改情况的检查,获得整改效果的信息,对整改方案加以调整,从而有效地控制安全系统的运行,达到防止或减少事故发生的目的。过程控制如图5所示。
4.2 4 事故处理
有效的预防控制措施只能减少事故,却无法避免事故发生[6]。从图1循环控制的角度看,事故处理既是一个循环的结果,又是下一个循环的起点,其内容是和下一个循环的安全设计揉合在一起的。因此,事故处理是控制系统的一个有机组成部分,在对事故调查、分析和处理中所得到的经验、教训是未来进行安全设计、制定风险控制策略时最主要的依据。
4.3 信息系统
任何一个系统都要和物质、能量及信息发生关系,其中尤其重要的是信息。管理与控制本质就是信息处理,对于 现代 安全管理系统来说,安全信息系统是其必不可少的组成部分。然而轨道交通安全管理体系一直以来由于缺乏安全信息 理论 的指导和管理体制上的原因,存在着许多缺陷,其中一个重大缺陷就是信息不流通,有关数据被分割的职能单位甚至个人所垄断,使得这些数据中蕴载着的许多有用的信息不能被充分提取出来,指导人们的行动。这种做法实际上阻碍了信息流通,增加了安全系统的熵值。因此,建立性能良好、信息流畅且有组织合理的信息流结构的信息系统是安全工作迫切需要解决的问题。
4.3 1 信息系统应具备的内容
(1)建立生产管理信息网络,及时、准确、有效地搜集、传递安全信息,供各级管理人员和公司领导进行管理和决策。
(2)为保证安全管理体系的有效运作,建立隐患控制、安全责任、安全统计分析、事故管理、安全档案管理子系统,以提高工作效率和工作质量。
(3)建立 计算 机安全评价、分析辅助系统,使安全评价 科学 化。
(4)实现安全管理办公自动化,使工作流程规范化、制度化。
(5)建立应急预案数据库、安全文件和事故案例数据库,为应急管理提供信息,增加预测预防能
4.3 2 信息系统的总体结构和功能
信息系统分为隐患控制、安全责任、安全统计分析、事故管理和安全档案5个子系统,具体情况如下:
(1)隐患子系统是整个信息管理系统中的核心部分,其他子系统从某种意义上说都是为该子系统服务的,其主要功能是收集各种固有隐患情况和确定事故类型,进行分析、分级、归类、制定风险控制策略,实现对安全生产的预先防范和动态控制,并将控制的结果及时 总结 归纳。
(2)安全责任子系统负责建立各级管理责任和考核指标,记录措施落实情况和考核结果,对安全员反馈的各种信息的数量和质量进行统计和评价。
(3)安全统计分析子系统负责建立安全作业计划安排表,收集日常安全生产报表。
(4)事故管理子系统对事故处理过程中需要描述事故的大量数据、文字、图形进行输入、归纳和整理,并要随时调阅各类图纸、法令、法规、技术规范等信息,在此基础上形成对事故的总结与分析报告。
(5)安全档案子系统负责建立各级安全组织、安全管理人员、安全 教育 集训和劳动保护情况档案等。
5 基于安全信息系统的安全信息管理体系
建立安全管理信息系统必须建立与之相适应的安全信息管理机制,同时还要有完善的安全信息管理体系作为前端支持系统。因此,在安全管理信息系统建设之初,就应充分考虑到其引起的一些组织机构、管理程序、信息加工处理方式的变化。
安全信息系统是安全管理组织的神经中枢,信息中心是安全管理活动的大脑,负责安全信息的响应和动作,指挥、协调人员和部门间的相互关系并统一进程。构造目标信息流图如图6所示:Ⅰ为安全信息获取阶段,Ⅱ为安全信息处理阶段,Ⅲ为安全信息利用和执行反馈阶段,要使该体系真正有效的运作,必须强化安全信息采集系统和建立有效的安全信息响应保证体系。
5.1 强化安全信息采集
避免安全信息获取时的随意性和不确定性是确保安全信息收集准确、及时的前提条件。安全信息的采集包括采集内容和采集渠道。采集安全信息应注意以下几点:
(1)推行消除隐患的全过程管理。全过程管理的核心是强调对事故隐患进行跟踪管理,以对隐患的发现、登记、整改等实行全过程管理,并将之传送到安全信息中心。对设备实施定期检查制度,其检查过程中的安全信息应传递到信息中心,将所得信息纳入信息系统备案待查,以指导生产现场正常运行,整理分析出重要隐患,对职工进行安全教育。
(2)建立、落实安全信息采集制度。对安全信息的收集除以组织上保证外,更重要的是要给以制度上的保证,需制定一系列信息运行办法、管理制度、奖惩方案,使每个安全员明确其责任、权力和义务。
(3)建立立体的安全信息获取网络渠道。为了使安全信息的收集、传递、加工处理、存储等有制度保证,应建立严密的纵横交织的安全信息网。纵向安全信息网是指由企业决策层、职能部门、作业班组组成的多级安全信息网,并建立与之配套的各级安全人员责任制,层层落实安全信息的收、发、送工作。横向安全信息网则是由各级与安全生产有关的部门、生产单位等组成的安全信息网,依据所规定的义务和程序及时将有关的安全信息送到安全信息中心。
5.2 建立有效的安全信息响应保证体系
信息系统对静态安全信息应能实现“一次存储、定期更新、随时备查”,对动态安全信息应能跟踪、维护、及时响应。
动态安全信息响应系统是一个以微观控制为主的前馈系统。事故和各环节的不安全因素由众多的安全员将信息传递到信息中心,信息中心的信息管理员将传递来的安全信息进行归类整理、分析、筛选,然后由安全信息主管提供信息支持,由安全工程师提供技术支持,由安全技术部门协调资源配置,通过定方案、定日期、定负责人,共同制定整改决策方案,提出对生产系统隐患控制的有效措施。结果及检查人、验收情况都要及时反馈到信息中心。整个过程都要求有完整的文件和记录,并由安全信息中心及时备案、存档和更新,以便动态跟踪。其流程图如图7所示。
6 结 论
(1)通过管理缺陷的故障树(FTA)分析可以找出重要问题。
由布尔代数公式: 得出管理缺陷是诱发事故的关键原因。并分析了轨道交通安全管理工作的不足。
(2)从控制论角度看,安全管理是多回路的反馈控制系统。对生产系统进行控制功能通过两条途径实现:分别是微观和宏观控制反馈回路。
(3)轨道交通安全管理体系由保证系统、控制系统和信息系统组成。其中保证系统是前提,控制系统是核心,信息系统是基础。
(4)要建立基于安全信息系统的安全信息管理体系必须强化安全信息采集系统和建立有效的安全信息响应保证体系。
笔者认为,一种新的管理思想的推行总需要一个过程,轨道交通安全管理体系在实际 应用 中还存在着模型建立不完善和不细致,作业人员素质不适应等问题,需要人们不断地探索新的 规律 ,建立新的理论,指导安全管理实践活动,使之更完善和充实。
参考 文献
1崔艳萍,唐祯敏,武旭.城市轨道交通行车安全保障信息系统的 研究 [J]. 中国 安全科学学报,2004,14(5):95~98
2李毅雄.应用系统原理提高地铁安全管理水平[A].中国土木工程学会隧道及地下工程学会地下铁道专业委员会第十四届学术交流会论文集[C].北京:中国科学技术出版社,2001:481~483
3王德兴.中国土木工程学会隧道及地下工程学会地下铁道专业委员会第十四届学术交流会论文集[C].北京:中国科学技术出版社,2001:484~486
摘 要 :结合电力企业信息安全建设及管理的现状,阐述了电力信息安全领域存在的问题,针对电力系统特点和中国电力信息化现实情况,作者在描述在电力信息安全监控建设架构基础上,指出建设电力信息安全监控系统是确保电力信息安全的重要举措,概括出了电力信息安全监控系统的基本功能.提出电力信息安全监控应该以电力信息安全分析为基础,由此提出了电力信息安全分析与控制的概念和电力信息安全分析基本方法.及从电力信息安全角度出发,针对南方电网目前的电力信息系统和信息网络在电力信息安全上存在的问题,提出了防护电力信息安全风险的技术措施和管理措施。
关键词:电力 信息安全
电力是国家国民经济的支柱产业 ,其安全 问题直接关系到各行各业的发展和人民的生活水平网络信息安全已成为影响电力安全生产的重大问题。 信息技术在电力企业的生产运行中发挥着重要作用,目前,企业已建立起庞大复杂的信息,计算机网络信息系统成为 企业日益重要的技术支持系统。信息安全所面临的风险同时渗透到电力企业生产和经营的各个方面。电力企业调度 数据 网和综合信息网在物理上实现隔离 ,在一定程度上保证 了调度 数据 网的安全运行 ,避免受到来自综合信息网的可能的攻击,然而,财务、营销、客户管理等系统的网络信息安全还相 当薄弱 。网络信息安全 已成为影 响电力安全生产的重大问
题 。
一电力信息安全的基础架构
电力信息化系统的构建是根据电力系统自身的特点决定的,电力信息安全是电力系统部门首要的任务 ,为了能够让电力信息安全发挥其作用 ,它的部署和构架必须服从电力系统的基本需要、电力信息的流向和安全等级和电力信息网络的结构的需要。
(一)结构电力信息流
电力信息安全体系是对电力基本业务能够顺利开展而设置的,它要确保电力信息安全。这就需要我们对电力业务信息流的结构有一个充分的认识。计算机等信息网络在电力生产 、经营、管理、科研方面有着非常广泛的应用,尤其在电网调度自动化 、管理信息化、电力市场系统等方面都有着广泛的应用,电力信息化的应用 ,让电力部门在安全生产、节能降
耗 、降低成本、缩短工期 、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也促进 了信息化管理体制的完善和健全。
(二)电力信息网络结构
通过对上面电力信息化的分析,我们呵以得出电力信息流逻辑结构相配合,我国在电力信息安全方面采取了专用网络和公共网络相结合的电力信息网络结构,有效地支撑了电力信息安全性。我们可以按照电力信息内容的重要性,采取不同的网络,同时在确保安全的前提下,我们可以让电力信息化的专用网络与互联网实现对接。
二、电力信息安全分析与对策
我们对电力信息安全的认识目前还只是停留在宏观层面。没有形成一个比较系统的应对措施 ,这就需要我们在应对电力信息安全方面要具有更安全、更清晰的认识 ,需要们掌握安全事件对信息系统的破坏程度,并且要掌握由信息安全事件可能引起的电力系统安全事件和破坏程度,同时要能够提出相应的具体安全分析和控制办法。
(一)预舫控制
预防控制必须以信息系统的中的监视为基础,以安全分析为手段,建立严格的预防监控机制,在这个过程中要善于发现监控的薄弱环节,防患于未然,要针对性地采取措施,尽量避免信息安全事件的发展 ,确保电力信息的安全。模糊方法是一种对系统宏观的控制,十分简单而易于掌握,为随机、非线性和不确定性系统的控制,提供了良好的途径。将人的操作经验用模糊关系来表示,通过模糊推理和决策方法,来对复杂过程对象进行有效控制。通常用“如果…,则…”的方式来表达在实际控制中的专家知识和经验,不依赖被控对象模型、鲁棒性较强的。模糊控制技术的应用非常广泛,与常规控制相比,模糊控制技术在提高模糊控制的控制品质,如:稳态误差、超调等问题,自身的学习能力还不完善,要求系统具有完备的知谈,这对工业智能系统的设计是困难的。如模糊变结构控制。自适应或自组织模糊控制,自适应神经网络控制,神经网络变结构控制等 .另一方面包含了各种智能控制方法之间的交叉结合,对电力系统这样一个复杂的大系统来讲,综合智能控制更有巨大的应用潜力。现在,在电力系统中研究得较多的有神经网络专家系统的结, 专家系统与模糊控制的结合,神经刚络与模糊控制的结合,神经网络 、模糊控制与白适应控制的结合等方面。
(二)恢复控制
恢复控制机制主要针对那些可能发生的安全事故 采取的对措施,这就要我们预先设计和部署一些控制机制信息安全事件发生后,能够及时应对,尽快恢复电力信息化的基本功能。可以运用专家系统在电力系统中的应用范围很, ,包括电力系统处于警告状态或紧急状态的辨识 ,提供紧急处理 ,系统恢复控制,非常慢的状态转换分析 ,切负倚, 系统规划,电压无功控制.故障点的隔离,配电系统 自动化、调度员培训 ,电力系统的短期负荷预报,静态与动态安全分析等方面 虽然专家系统在电力系统中得到了广泛的应用,但仍存在一定的局限性 ,如难以模仿电力专家的创造性 :只采用了浅层知识而缺乏功能理解的深层适应;缺乏有效的学习机构,对付新情况的能力有限;知识库的验证闲难 ;对复杂的问题缺少好的分析和组织工具等。因此,开发专家系统方面应注意专家系统的代价/效益分析方法问题 ,专家系统软件的有效性和试验问题 ,知识获取问题 ,专家系统与其他常规计具丰甘结合等问题。
(三)紧急控制
对电力信息安全管理过程中出现的安全严重程度进行有效的分列针对这些问题 ,设计出安全的应对措施.部署安全应对机制.在信息安伞突发事件来临时,能够及时 、准确地采取措施,立即触发相应的安全机制。尽可能把安全事件的影响控制在最小的范围内,以免造成更大的损失。综合智能控制重要的技术发展方向是智能集成化。一方面,可将多项智能技术相互结合于一体,不在单独运用,各取优势。如模糊技术和神经网络的结合,神经网络与模糊控制的结合,神经网络与专家系统的结合等 ,这些都在电力系统 自动化控制中研究的较多,如用神经网络与模糊逻辑 良好结合的技术基础,去处理同一系统内的问题 ,神经网络处理非结构化信息.模糊系统处理结构化的知识等。另~方面,自动化控制智能技术与传统的自适应控制的结合,如:神经网络、模糊控制与自适应控制的结合等。目前 ,国内已有控制专家已着手发展研究,既能有效处理模糊知识又能有效学习的模糊与神经网络集成技术 ,这必将为电力系统智能控制的发展提供新的途径。
(四)加强电力信息网安全教育
对于电力信息安全的控制一个重要的环节就是加强对员工的安全教育,让其深刻了解信息化网络安全的重要性,能够在 日常工作中把安全作为第一要务。为了落实安全教育 ,安全管理部门要对企业的各级管理人员、用户、技术人员进行安全培训 .让每个员工都能够深入了解并严格执行企业的安全策略.在安全教育具体实施过程中我们 一 定要突出层次性和普遍性
工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全,一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。工业控制系统产品越来越多的采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。本文从轨道交通行业应用的实际要求出发,基于国家规范、地方标准和地铁环境与设备监控系统架构出发,对如何有效进行信息安全防护进行研究。
关键词:
工业控制系统;环境与设备监控系统;信息安全
1概述
随着科技的日新月异,社会正处在由工业化、自动化向信息化、网络化转变的过程,互联网+、工业4.0等技术逐步发展壮大,与此相对应的传统工业体系正在以各种方式接入互联网。在轨道交通运输领域,车站与机车之间、车站与车站设备之间、机车与机车之间、车站与总控中心、机车与总控中心等交互信息越来越频繁。随着互联网+的发展,其给传统工业的带来巨大发展的同时,信息安全问题日益突出。威胁信息安全的主要包括黑客攻击、病毒、数据操纵、蠕虫和特洛伊木马等技术。数据显示,黑客的攻击目标已经从原来的商业互联网络逐步扩展到工业控制系统,主要目标集中在能源、水利、化工、政府机构以及核设施等领域。信息安全事件呈逐年上升的趋势,其背后不乏犯罪、商业间谍、恐怖主义、甚至某些国家赞助的间谍活动。面对内外部工控信息安全威胁的严峻形势,如何提高自身对工控信息安全的认识与方法论,能否为业务生产提供有力的信息安全支撑和保障,已成为工控安全领域的重中之重。
2安全防护需求
环境与设备监控系统承载着对地铁全部车站通风空调系统、给排水系统、电扶梯系统、照明系统、人防门系统、安全门、AFC自动售检票等车站设备系统进行全面、有效地自动化监控及管理,确保设备处于安全、可靠、高效、节能的最佳运行状态,从而为乘客提供一个舒适的乘车环境。在火灾、水灾、地震等灾害或阻塞事故状态下,能够及时迅速地转入灾害运行模式,保护地铁工作人员及乘客的安全,将事故损失减到最小。环境与设备监控系统具有信息系统的基本要素。其分为硬件部分和软件部分:硬件部分设在地铁指挥中心的主机/服务器、设在各地铁站的远程工作站构成分布式控制系统,软件部分主要分为通信与网络软件、操作系统、组态软件、应用软件和实时数据库五个方面,其中所有软件均在操作系统上运行,通信与网络软件是所有硬件设备联系的中心,实时数据库是系统信息交换的平台,组态软件是各设备状态监控操作的平台,应用软件则是环境与设备监控系统功能的体现。当环境与设备监控系统受到人为破坏时,可能导致设备系统崩溃、机电设备误动作,从而导致地铁车站内的秩序混乱及相关人员受到伤害。同时也对社会造成不良影响,损害公司利益。依据公安部《信息系统安全等级保护定级指南》及环境与设备监控信息系统受到破坏时所侵害的客体以及侵害程度,环境与设备监控信息系统应按照不低于二级进行设计。
3主要问题及防护手段
环境与设备监控系统是与国计民生紧密相关领域的工业控制系统,目前国内地铁既有线路设计时认为自身系统不与外网相连接,信息孤岛形式不会收到外界入侵,按照《信息系统安全等级保护基本要求》多数达不到二级防护要求,一旦信息安全出现漏洞将对工业生产运行和国家经济安全造成重大隐患。与此同时,我国工业控制系统信息安全管理中仍存在不少问题,主要是对工业信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。
3.1主要问题
3.1.1存在的风险
(1)操作系统的安全漏洞问题。工控软件运行的Windows操作系统上,由于其不能实时进行系统补丁升级更新,导致其极容易受到病毒入侵。(2)杀毒软件安装及升级更新问题。很多工控软件为了能够避免与杀毒软件冲突,其操作系统不安装杀毒软件或者不进行病毒库的更新,导致系统失去了实施的安全防护功能。(3)使用移动存储设备导致的病毒传播问题。当有移动存储设备接入工控系统中时,由于管理终端通常不采取措施对其进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。(4)系统空口令问题。工控系统服务器搭建时往往由非专业IT人员设置,多数操作系统或路由器管理账户为空口令或者采用默认口令,存在一定风险。
3.1.2网络互通的风险
早期,工业控制系统和企业管理系统之间是没有数据交互的,但是为了达到更全面的信息管理,数据采集,达到少人话,甚至无人化的远程操作监控,工业控制系统和企业管理系统之间直接采用国际互联网进行数据交互,从而使工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自国际互联网各种的威胁。同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据交换。导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
3.1.3地铁设备与环境监控系统采用以太网等通用技术带来的风险
地铁设备与环境监控系统采用工业以太网结构与控制中心进行数据交互,其开放性决定了其极容易受到来自国际互联网的病毒、木马、黑客的攻击。针对地铁设备与环境监控系统的特点,信息安全防护应从以下几个方面入手:
3.2防护手段
3.2.1定期开展检测预防工作
检测预防可从安全检查、安全加固、安全防护三个方面入手(1)安全检查可对工控系统进行渗透测试、源代码检测、漏洞扫描、应用系统漏洞扫描、基线核查等工作。(2)安全加固可针对服务器、终端、网络设备、无线设备进行安全防护或对应用缺陷进行修补。(3)安全防护可从网络架构、访问控制、身份鉴别、入侵防护、数据保护、终端防护几个方面进行改造。
3.2.2做好监控审计工作
(1)监控手段可对系统进行以下功能改造:入侵检测、网络监控、综合安全监控、设备健康险监控、系统可用性监控、文件完整性校验、数据库监控、中间件监控、应用监控、木马检测分析、数据包分析等。(2)审计时候手段可对系统进行以下功能改造:网络审计、安全事件审计、数据库审计、终端审计、运维审计、日志审计等。
3.2.3提前做好预防工作
(1)及时做好应急响应,制定相关应急预案和响应流程,能第一时间对漏洞进行修补、对策略进行修正、对应用进行调整。(2)做好分析与取证工作,包括审计分析和对数据及时、准确取证。
4结语
综上所述,随着国家信息化发展,传统工业与互联网技术的结合以及国家信息安全政策出台,地铁环境与设备监控系统信息安全防护功能应逐年加强,从而保障系统设备安全、稳定运行,为广大乘客提供良好的出现环境。
作者:任川 陈宏涛 单位:沈阳地铁集团有限公司运营分公司 辽宁省交通高等专科学校
参考文献:
[1]工信部协[2011]451号,关于加强工业控制系统信息安全管理的通知[S].
[2]沈经信发[2012]31号,关于对沈阳市重点领域工业控制系统信息安全管理情况调查的通知[S].
[3]余勇,林为民.工业控制SCADA系统的信息安全防护体系的研究[J].信息网络安全,2012(05):74-77.
[4]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(08):41-43.
[5]宋岩,王天然等.控制系统Safe-Sec安全安全通信方法研究[J].自动化仪表,2013,34(11):30-33.
[6]王孝良,催保红,李思其.关于工控系统信息安全的思考与建议[J].信息网络安全,2012(08):36-37.
[7]沈亮,张艳,顾健.物联网网络层中基于IPv6的信息安全产品发展趋势研究[J].信息网络安全,2012(08):38-40.
[8]曲洁,朱建平.等级保护与关键基础设施防护的融合研究[J].2011(12):84-88.
[9]彭勇,谢丰,郭晓静等.物联网安全问题对策研究[J].信息网络安全,2011(10):4-6.
[10]任伟.密码学与现代密码学研究[J].信息网络安全,2011(08):1-3.
[11]李发根,钟笛.数字签名综述[J].信息网络安全,2011(12):1-8.
[12]施晓秋.计算机网络技术[M].北京:高等教育出版社,2006:10-18.
[13]韩东海.入侵检测系统及实例剖析[M].北京:清华大学出版社,2002:18-26.
引言
操作系统作为底层系统软件,负责为应用程序提供运行环境和访问硬件的接口,它的安全性是信息安全的基础。现在操作系统面临的威胁与攻击多种多样,安全操作系统已经不再局限于仅提供安全的存取控制机制,还要提供安全的网络平台、安全的信息处理平台和安全的进程通信支持。
在嵌入式系统中,由于系统软件和硬件设计的特点,很容易从硬件和软件直接进行拷贝。操作系统的安全性应有更特殊的考虑。操作系统不但要对保存的数据提供安全保证,而且还要考虑自己运行的硬件平台和系统本身的安全性。
在现有操作系统中,有关系统安全控制的代码是分散到系统中的,这对系统性能的影响降到了最低。但是,如果要添加新的控制机制,必须会引起大量的修改,由此将带来潜在的不稳定性和不一致性。随着系统硬件性能的成倍增长,人们逐渐将目光转移到集中式控制上来。在操作系统设计初期,安全模块应该被独立地提出来,成为操作系统设计需要考虑的一部分。
智能卡技术是一种软硬件结合的安全保护技术,经常用于身份验证和存储加密信息。由于自身的硬件特性,它可以防止非法读取和篡改;同时,智能卡本身具有加密的文件系统,可以对信息进行安全的保护。
在我们研究操作系统安全问题时,首次将智能卡技术引用到安全控制当中,作为整个安全体系结构的保证。智能卡用于对操作系统本身和运行的平台进行标识,可以对用户身份、进程的合法性进行严格的控制。
1 存取控制和安全模型
存取控制是系统安全的核心内容。存取控制按照一定的机制,在系统主体对客体进行访问时,判定访问请求和访问的方式是否合法,返回判定结果。一般情况下,有两种存取控制方式:自主存取控制DAC(Discretionary Access Control)和强制存取控制MAC(Mandatory Access Control)。
(1)自主存取控制
DAC是安全操作系统最早期的存取控制方式,客体的所有者可以将客体的访问权限或者访问权限的子集授予其它主体。在类Unix系统当中,系统提供owner/group/other的控制方式,就是一种典型的自主存取控制方式。
(2)强制存取控制
在自主存取控制当中,由于管理不当或者操作失误,可能会引起非法的访问,并且不能有效地防御特洛伊马病毒的攻击。在信息保密要求比较高的领域,人们提出了强制的存以控制方式,给系统提供一道不可逾越的访问控制限制。强制存取控制主要通过安全级的方式实现。安全级含“密级”和“部门集”两方面。密级又分为无密、秘密、机密、绝密四级。系统中主体和客体按照一定的规则被赋予最高安全级和当前安全级。系统主体的部门集表示主体可以涉及猎的信息范围,系统客体的部门集表示该信息涉及的信息范围。强制存取控制抽象出三条访问原理:①的主体的安全级高于客体,当且仅当主体的密级高于客体的密级,且主体的部门集包含客体的部门集;②主体对客体具有读权限,当且仅当主体的安全级高于客体的安全级;③主体对客体具有写权限,当全仅当主体的安全级低于或者等于客体的安全级。
安全模型是系统安全特性的描述,是对安全策略的一种数学形式化的表示方法。一般的安全操作系统的设计方法,通常是先设计安全模型,对安全模型进行分析,并且给出数学证明。安全模型的设计是研究安全操作系统的重要成果,可以对安全系统设计提供结构清晰、功能明确的指导。这里主要介绍BLP安全模型。
BLP模型是人们对安全策略的形式化描述。它通过系统安全级的划分来保证系统存取的合法性。BLP模型定义了一系列的安全状态和状态转换规则,如果保证系统启动时处于安全状态的话,即可按安全转换规则,在各个安全状态之间转换。下面介绍BLP模型的具体规则。
系统的主体和客体均被赋予一定的安全级和部门集。主体安全级包含最高安全级的当前安全级。主体对于客体的访问方式包括:只读、只写、执行、读写。BLP模型定义了两具安全特性,并且证明了只要系统遵循这两个模型,便可认为系统处于安全状态并可在状态之间进行转换,这两个特性是简单安全特性和*特性。
(1)简单安全特性(ss-property)
如果一个主体对一个客体具有读的权限,则客体的安全级不能比主体的最大安全级高。
(2)*特性(*-property)
主体对客体有“只写”的权限,则客体的安全级至少和主体的最高安全级一样高。
主体对客体有“读”权限,则客体的安全级不会比主体的当前安全级高。
主体对客体有“读写”权限,则客体安全级等于主体的当前安全级。
人们习惯上将简单安全特性看成限制“向上读”,将*特性看成限制“向下写”。
BLP在多年的研究当中被认为可以有效防止特洛伊马病毒的攻击,但是仍然存在两个问题:①系统具有动态的信息处理(例如主体的安全级的变化)都是有可信进程来实现的,但是BLP模型并没有对可信进程进行说明,可信进程也不受BLP模型的限制;②BLP模型不能防止隐通道。
2 系统实现原理
根据上面的分析,我们提出了一种本质安全型,以进程控制为中心,集中式管理方式的安全控制方法。下面结合Linux操作系统说明具体的实现原理,以wolf-Linux来指具有这种控制机制的安全操作系统。
本质安全是指一种建立在特殊的硬件设备上(Smart卡),具有特殊的体系结构,可对操作系统本身、进程合法性和运行权利进行验证的安全机制。
系统的安全控制分为六部分:进程管理器、安全服务器、文件系统伺服器、进程通信伺服务器、网络伺服器和审计模块。总体结构如图1所示:进程管理器、安全服务器wolf-Linux安全控制的核心部分,审计模块负责对系统的安全性事件进行记录,其它部分是安全控制的执行模块。
从图1中可以看出,SIM(Subscriber Identity Module)卡处于系统的安全模块中,保存系统的关键信息,集中式管理
主要体现在进程控制器部分,安全判定和安全执行的分离使得任何存取操作都不可能绕过安全控制机制。系统中所有的安全事件都通过进程控制器来判定是否可行,安全执行模块负责在访问操作发生时抽象主体和客体,提交访问请求并执行访问结果。下面主要介绍各个模块的功能原理。(1)安全服务器和SIM卡
系统的安全服务器负责提供系统支持的安全策略。在系统启动时,安全服务器初始化系统支持的安全策略。它的初始化过程中重要的一步是读智能卡中的信息,验证系统的身份。安全服务器提供的接口有三类:①与智能卡的接口。在智能卡中保存系统的关键信息,例如系统的有效使用时间、操作系统身份ID。这个ID号相当规模识了一个合法的系统身份和系统用户身份信息(在系统的安全特性部分还会讨论)。安全模块通过智能卡的驱动程序,负责与智能卡信息的安全交互,并提供访问智能卡的操作函数。②与进程控制器交互的接口。安全服务器只负责实现对安全策略的支持,而不管判定访问操作是否合法。进程控制器在判定访问是否合法时,使用安全服务器提供规则。③提供给系统管理的接口。由于在安全模块当中实现了策略的独立性,所以安全模块可以在实现对多种策略的支持。接口函数包括安全模块的初始化接口、安全策略的注册接口、安全策略的管理接口。通过这些接口函数可以实现对安全策略的配置,系统安全特性针对不同的工作环境,可以动态变化。安全模块的固化设计保证系统的安全特性不可能被破坏和篡改。
(2)进程控制器
进程控制器是系统安全特性的关键部分,功能有两个:①以进程为单位的权限控制;②判定安全执行部分提供的访问请求并返回判定结果;同时为了提高效率,保存最近的访问判定结果,提供缓存功能。
在传统的Unix系统当中,一般提供基于用户的权限控制方法,系统的控制粒度只能到用户。一般的攻击方法是利用程序的设计漏洞,或者用户的误操作来取得高级权限。在我们研究这类安全问题时,继续细化了这类控制方法,提供更细的控制粒度;可以针对每一个进程进行控制,确保用户所启动的所有进程均处于相应权限控制之下。
(3)文件系统伺服器
主要操作是抽象各种操作,包括对文件系统的操作和对于文件的操作;是在文件系统当中的系统调用部分加入控制机制,向控制器提交访问的主客体标识符。在Linux操作系统中,涉及到的数据结构有:super_block(表示文件系统),file(表示操作的文件),inode(表示管道),文件或者网络套接字等等。
(4)网络伺服器
网络安全部分控制操作的目的是,防止违法的网络操作。例如,控制网络打开与关闭,路由器和防火墙的安全规则配置,端口绑定,网络广播等。
(5)进程通信伺服器
进程之间的安全通信是安全操作系统研究的重点之一。随通道是指按照常规不会用于传送信息却被利用泄漏信息的传送渠道。隐通道包括正规隐通道、存储隐通道和时间隐通道。在我们的研究过程中,分析了前两种信息泄漏方式,通过以进程为控制单位,控制进程之间有效通信方式来解决。在Linux方式当中,提供信号量、消息队列和共享内存等进程通信方式,在关键点处加入控制点,例如msg_msg代表单个的消息,kern_ipc_perm代表信号,共享内存段,或者消息队列。进程控制器提供的控制机制使得普通用户的进程只能在具有血缘关系的进程之间来传送消息,可有效防止信息的扩散。
(6)设备管理器
在计算机系统当中,输入输出设备非常易于泄漏信息,包括打印机、终端、文件卷等。例如,黑客可以利用模拟登陆终端设备来取得用户密码。这个模块负责对这些设备进行单独的管理,保证这些设备始终处于有效和正确的状态下。
3 系统的安全特性
本质安全型操作系统是在嵌入式系统背景下设计的一种安全操作系统。相对于其它嵌入式系统,它提供了一种根本意义上的信息安全保证;扩展了安全操作系统的内涵,引入了操作系统的生命周期、系统生成态、运营态、消亡态概念。在不同的时间段,安全应该有不同的考虑,而智能卡作为安全控制的基点,保证操作系统可在各种状态之下转换。智能卡健全的发生和管理机制,是安全的重要保证。下面介绍本质安全型集中式控制操作系统提供的安全特性。
(1)身份标识
在wolf-Linux系统当中,身份标识包括系统身份标识和用户身份标识。
系统身份标识是指在系统启动过程当中,对运行的平台和运行系统进行身份验证。智能卡中和操作系统中,在系统生成态时均被赋予了的特定数字ID,系统启动时操作系统读取智能卡中的ID号,进行验证。如果不合法,则转入USSPEND态,不能正常启动。通过智能卡可以有效地对系统的生命周期进行监控。
用户身份标识是指通常的用户身份标识与鉴定。系统采用智能卡保存用户的关键信息,防止被非法篡改或窃取。
(2)进程受控运行
在一般的嵌入式系统当中,不可能对系统运行的进程进行有效监控,wof-Linux提出了一种以进程控制为中心的管理方法。系统中运行的程序必须取得合法性验证才可以运行,对于一些违法的攻击程序可以有效进行限制。系统控制粒度可以以进程为单位,结合强制存取控制可以有效保证数据的安全性。
(3)集中式管理和强制访问控制
不同于现有的系统安全代码分散到系统的各个部分,wolf-Linux实现了集中式管理的策略。安全执行部分抽象存取操作的主体和客体,提交给进程控制器进行判定,集中式控制保证系统的所有存取操作不可能绕过系统的安全机制。强制存取控制是集中式控制的一种具体实现的存取控制机制。
图2给出了系统中安全存取控制的层次。
从上面分析可知,本质安全型操作系统是指建立在特殊的硬件设备基础之上,可以对系统运营平台,对系统进程合法性和运行权利进行有效保证的安全系统。
4 系统验证分析
由上述可知,本质安全型操作系统是建立在智能卡技术之上的。传统的研究方法最终将系统的安全建立在密码技术之上,而随着密码破解技术和开源操作系统的发展,密码机制已经不能有效地保证系统的安全。安全操作系统和智能卡的结合,使系统的安全控制点建立在软硬件结合的技术之上,从而可对系统的各种状态和环节进行有效的控制。在翰林电子书中采用这种结合智能卡的安全控制方式,取得了良好的效果。表1提供了一般嵌入式安全操作和本质安全型操作系统的安全特性对比。
表1 系统安全特性对比
系 统
安全特性
关键词:会计信息系统 审计 数据有效性 内部控制
一、数据有效性的定义
在目前的财务报表审计工作中,审计人员在了解被审计单位及其环境之后,实施控制测试程序和实质性测试程序,而在实施实质性测试的时候,会先从被审计单位的会计信息系统中采集所有与审计相关的数据,假设审计人员能够采集与被审计单位的会计信息系统中的数据完全一致。但是由于会计信息系统本身所固有的风险性,会使得其产生大量的数据不正确,或者不真实可靠,这将使审计的风险大大增加,产生事务所可能无法接受的风险,这时候就不应该继续审计工作。所以,在审计工作实施之前,应当把分析被审计单位会计信息系统所产生数据的有效性作为应当执行的程序。
数据有效性是指体现审计需求的程度。审计中利用会计信息系统所产生的数据的主要目的是为了取得审计证据,支持其关于审计事项的判断或结论。据此,我将会计信息系统的数据有效性定义为以下几个方面:可验证性、可理解性、可分析性、正确性、完整性和惟一性。
二、数据有效性的影响因素分析
会计信息系统由计算机硬件及其环境,计算机网络,系统管理软件和应用软件组成。影响被审计数据的有效性主要是会计信息系统的风险性。会计信息系统的风险是指由于各种不确定因素的影响,系统输出的会计信息与真实信息发生背离的可能性。会计信息系统既给会计工作带来了高效率,同时也带来了一些手工条件下所没有的风险。种种安全隐患在会计信息系统中突出表现在以下四个方面:
(一)系统环境
系统环境因素主要是指会计信息系统的硬件和软件、系统开发以及自然环境等方面的因素。
1.硬件和软件
在硬件和软件方面由于硬件失灵、逻辑线路错误等而造成信息传递或处理中的失真,或由于网络软件自身的程序、后门程序、通信线路不稳定等因素都为系统的安全带来诸多隐患,使系统面临病毒和黑客的攻击。
2.系统开发
在系统开发方面,主要表现为没有按科学的方法架构网络、开发系统和设计程序,系统未经测试和调试等,而致使财务信息面临被窃取的安全隐患。
3.自然环境
在自然环境方面,火灾、水灾、风灾、地震等都有可能造成系统的安全问题。
(二)管理制度方面
传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,在会计信息系统下,原来使用的靠账簿之间互相核对实现的差错纠正控制已经不复存在,光、电、磁介质也不同于纸张介质,它所载信息能不留痕迹地被修改和删除,使企业内部会计控制面临失效的安全隐患。因此,在会计信息系统下管理制度方面的影响要素主要包括会计信息系统的建设组织、管理制度、人员配备、内部审计机制等。
1.建设组织
在组织方面,存在职责不分、没有监督机构等问题。
2.管理制度
在管理制度方面,存在没有健全的管理制度,或者是有章不循、有规不依等问题。
3.人员配备
在人员配备方面,存在企业没有对网络会计系统以足够的重视,没有配备足够的人员,尤其是没有配备足够的系统安全人员的问题。
4.内部审计机制
在内部审计机制方面,存在没有建立有效的内部审计机制,或者建立的内部审计机制没有坚持执行等问题。
(三)数据处理方面
在会计信息系统中,需要财务部门集中输入的记账凭证可由各部门的多台计算机同时输入。这虽然提高了整个账务处理的工作效率,也遵循了会计数据输入的及时性原则。但毕竟会计数据的数量是庞大的,数据处理会出现多种错误。一是输入环节录入错误信息,使用无效代码,击错功能键,丢失数据,重复输入,没有将数据存盘等。二是处理环节使用了错误程序,使用了错误的数据文件以及丢失数据文件和程序等。这些使会计档案面临保存失效的安全隐患。
(四)人员素质方面
其安全隐患主要包括:
第一,人员配备方面没有配备足够的系统安全人员。使用与管理人员培训不够,业务素质偏低,容易产生错误操作,从而对计算机会计信息系统安全构成威胁;
第二,责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能使安全风险增强;
第三,内部人员道德风险,主要指企业内部人员对会计信息的管理不善、非法篡改、破坏和不正当泄密等,造成资料损坏或丢失,为犯罪造成可乘之机。
三、针对数据有效性的威胁审计人员应当采取的措施
国际上知名的会计师事务所都已经意识到会计信息系统所带来的审计风险,并且让信息系统审计师协助审计小组工作。审计小组应该首先了解:会计信息系统的一般控制和应用控制,被审计单位是否配备了合格的系统安全管理人员。然后请专家(即信息系统审计师)根据审计对会计信息数据的需求,实施一定的信息系统审计方法来测试会计信息系统产生数据的有效性,以达到降低审计风险的目的。
(一)应当了解的情况
审计人员应该了解会计信息的一般控制和应用控制。
1.一般控制
一般控制作为会计信息系统的主要控制手段之一,涉及面很广,从人员管理到计算机软硬件及运行环境的管理等,具体包括以下几个方面:
(1)组织控制
指为保证会计信息系统责任和义务而采取的控制。具体包括:建立管理的组织机构,选择、监督、培训人员,职责分工并授权,计算机应用系统建立的组织,以及会计信息内控制度计划、引导、管理。
(2)系统开发与维护控制
具体包括:系统开发计划控制,编程与软件测试控制,系统维护及功能改进的控制以及日常运行管理维护,文档资料的控制。
(3)软件与硬件的控制
具体包括:硬件系统控制,软件系统控制,网络系统控制。
(4)安全控制
主要涉及计算机系统的环境安全、设备保护以及安全保密制度。
(5)操作控制
主要涉及使用计算机系统的一整套管理制度,包括计算机系统操作规程和守则,上机日记,保密制度等。
2.应用控制
应用控制的目的是保证计算机系统数据处理的完整性、一致性、准确性和安全性。一般分为输入控制,处理控制和输出控制。
(1)输入控制
其目的是保证经审批的经济业务数据准确输入计算机系统。输入控制与组织控制是相辅相成的,业务审批应在电算部门之外。
(2)处理控制
其目的是保证会计信息系统按程序设计的要求进行数据处理。一般通过计算机程序加以执行。
购物车(0)