前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的信息安全事件主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:建筑施工;現(xiàn)場安全管理;信息系統(tǒng);
中圖分類號:TU7文獻標識碼: A
前言:經(jīng)過多年的探索與實踐, 我國的建筑施工安全管理模式已經(jīng)得到了一定的完善, 但目前依然面臨著需要解決的難題,比如,在建設(shè)規(guī)模不斷擴大的背景下, 建筑從業(yè)人員中農(nóng)民工所占的比例也在不斷上升, 目前已達到80%以上, 由于部分農(nóng)民工缺乏安全防護技能, 再加上現(xiàn)場防護設(shè)施不完善, 這就給安全管理帶來了困難; 建筑施工工作具有較強的動態(tài)變化性, 如施工平臺 施工材料及施工工序等均會發(fā)生變化,在進行安全管理時, 需要控制多種因素, 如設(shè)備及人員等, 難以面面俱到 因此, 在動態(tài)變化性較強的施工工作中存在較多的安全隱患;建筑工程結(jié)構(gòu)的多樣化也加大了安全管理工作的難度 如建筑結(jié)構(gòu)不同, 其施工工藝 防護用品及地質(zhì)勘查等的安全管理要求也存在一定的差異, 在實際的管理工作中必須對安全措施進行調(diào)整, 才能夠滿足安全生產(chǎn)要求。
建筑施工現(xiàn)場安全管理信息系統(tǒng)的需求
項目的建設(shè)經(jīng)過了大量的調(diào)研,調(diào)研的對象包括企業(yè)人力資源部、財務(wù)部、項
目管理,要包括項目施工管理人員、施工現(xiàn)場工人,調(diào)研的內(nèi)容包括了項目功能
需求、項目的工作內(nèi)容和項目的數(shù)據(jù)規(guī)格,分析的資料包括了各類管理文件和管
理中產(chǎn)生的各類單據(jù),通過調(diào)研對需求的描述如下:
1.1、用工的信息管理
(1)工人的信息內(nèi)容包括:姓名、身份證號、年齡、技能等級、工種、家庭住
址、主要聯(lián)系方式、所在項目信息、工長信息、合同編號、合同日期;
(2)工人信息的管理包括信息的添加、編輯、統(tǒng)計;
(3)信息的添加由人力資源負責(zé),信息的查詢權(quán)限授予人力資源部、項目管理
部、施工管理部、安全管理部門。
1.2施工日志管理
(1)施工日志管理需要記錄的內(nèi)容包括:職工號、施工日期、起止時間、工作
崗位、場地編號;
(2)施工日的天氣情況,包括氣溫、風(fēng)力、是否霧霾、雨雪情況;
(3)職工號、施工日期、起止時間、場地編號由讀卡采集設(shè)備生成,天氣情況、
工作崗位由系統(tǒng)管理員錄入。
1.3合同管理
合同管理的主要目的是實現(xiàn)合同管理的數(shù)字化、方便合同信息的查閱,合同管
理記錄工人姓名、身份證號、合同簽訂日期、有效期、合同內(nèi)容、工資標準、崗位。
1.4系統(tǒng)管理
系統(tǒng)管理的內(nèi)容包括:工人信息的錄入或?qū)?、項目信息的錄入、出勤統(tǒng)計管
理、短信的統(tǒng)計管理、系統(tǒng)的用戶的角色分配與授權(quán),系統(tǒng)數(shù)據(jù)的備份與還原。
數(shù)據(jù)的操作根據(jù)用戶的權(quán)限分配授予相關(guān)部門。
2.系統(tǒng)的性能分析
施工現(xiàn)場信息的采集與發(fā)放依靠無線網(wǎng)絡(luò)和移動通信網(wǎng)絡(luò)完成,部分數(shù)據(jù)需要離線采集定期更新。因此在出勤數(shù)據(jù)進行定期更新,即每天更新1次,位置數(shù)據(jù)由無線網(wǎng)絡(luò)實時完成。工資和出勤查詢采用短信完成,其中工資數(shù)據(jù)發(fā)送延遲不大于2小時,短信查詢可以滿足300人同時查詢,系統(tǒng)響應(yīng)時間不大于10秒,短信息發(fā)送時間根據(jù)當?shù)赝ㄐ盘峁┥叹W(wǎng)絡(luò)情況而定;網(wǎng)站查詢在256K網(wǎng)絡(luò)情況下,100人同時訪問,頁面應(yīng)該在8秒內(nèi)打開。
系統(tǒng)設(shè)計
3.1建筑施工單位是系統(tǒng)的主要用戶之一,需要完成的活動包括:考勤查看,實時了解出工情況;施工日志的記錄工作;發(fā)送施工安排相關(guān)通知;查看工人的基本信息;查看工人的實時位置信息。
3.2系統(tǒng)的軟件架構(gòu)
系統(tǒng)采用了 B/S架構(gòu)與C/S架構(gòu)混合的架構(gòu),如項目部與人力資源部相關(guān)的業(yè)務(wù),由于工作地點網(wǎng)絡(luò)情況較好,因此采用了基于Web的管理方式;面向工人的考勤管理,位置管理等采用了終端設(shè)備與服務(wù)端相連的C/S架構(gòu);而工資查詢和出勤查詢則提供短信和Web查詢兩種方式,即滿足了工人在互聯(lián)網(wǎng)沒有覆蓋,而有手機通信網(wǎng)絡(luò)的條件下通過手機查詢,也滿足了工人利用智能手機上網(wǎng)查詢的需要。
3.3系統(tǒng)的類設(shè)計
1).施工單位項目類
施工項目類的特殊包括項目的編號、項目名稱、項目地址等關(guān)鍵信息,施工項目的對象可以進行的操作包括對施工單位的管理,如添加勞務(wù)單位、修改勞務(wù)單位、項目成立等.
2)勞務(wù)單位類
勞務(wù)單位類的主要特性包括編號、類型、負責(zé)人等信息,能夠完成的操作包括成
立隊伍、解散隊伍、更換負責(zé)人等操作.
3)工人類
工人類的特性包括工人的自然屬性,如職工號、姓名、出生日期,工作屬性包
括工種、合同類型等;職工類可以完成的操作主要為各類信息的查詢,包括出勤
信息、工資信息、個人信息等.
3.4關(guān)于建筑管理信息系統(tǒng)的其他幾點建議
建筑工程作為一種野外分布的線性工程,施工面狹長,流動性大,臨時工程多,容易受外界因素的干擾;特別是目前建筑的建設(shè)中,高等級建筑占有的比例越來越大,而高等級建筑建設(shè)本身還具有工程規(guī)模大、涉及面廣、質(zhì)量標準和技術(shù)要求高、施工單位和協(xié)作配合環(huán)節(jié)多等特點。
建筑施工管理中應(yīng)用管理信息系統(tǒng),要始終以安全管理體系為系統(tǒng)主線,保證建筑施工所實施的安全管理體系,突出了施工企業(yè)安全第一的思想,全面執(zhí)行安全管理的可追溯性的原則,劃分了管理要素,體現(xiàn)出全員參與、責(zé)任到人的管理思路,把生產(chǎn)管理信息作為主體,輔以服務(wù)信息的回饋,來加強企業(yè)全面管理的領(lǐng)導(dǎo)、決策和控制職能。因此,信息管理應(yīng)當依照確定的安全體系中的組織機構(gòu)和管理程序的劃分來建立網(wǎng)絡(luò),設(shè)立相應(yīng)的管理程序和制度。
施工管理人員必須收集、歸納整理、分析研究、掌握涉及本項目的建筑安全管理方面的各種法律法規(guī)和規(guī)章制度、建筑安全技術(shù)標準、規(guī)范、公司對于安全管理的制度和要求、以及施工項目的有關(guān)技術(shù)文件和資料。制定項目各個崗位,各類人員的管理責(zé)任制度,施工管理制度和施工技術(shù)措施方案,總結(jié)施工管理經(jīng)驗,將資料整理歸檔,優(yōu)秀的文本可以保存為范本,這些經(jīng)驗應(yīng)該不斷積累起來,成為以后項目的參考。
對建筑工程企業(yè)來講,人員的工作方式從傳統(tǒng)的面對面的交流,轉(zhuǎn)向大多基于網(wǎng)絡(luò)的交流,是一個較大的變革,如何適應(yīng)這個變化對每個人都至關(guān)重要,另外,隨著信息系統(tǒng)應(yīng)用的深入,安全問題也更加突出。系統(tǒng)的安全包括網(wǎng)絡(luò)平臺本身的安全和數(shù)據(jù)的安全,這一方面要加強人員的安全意識教育,建立嚴格的保密管理制度,防范竊密和泄密,保護知識產(chǎn)權(quán)不受侵犯,此外還要在軟、硬件系統(tǒng)的建設(shè)上進一步加強安全機制。
注意加強對信息管理系統(tǒng)使用情況的監(jiān)督檢查,把該系統(tǒng)的使用情況作為日?,F(xiàn)場檢查時的重點內(nèi)容之一,對信息記錄不準確或未按規(guī)定時間上報數(shù)據(jù)等問題,及時督促施工現(xiàn)場予以糾正,確保建筑施工現(xiàn)場信息管理系統(tǒng)的正常運行。并及時通過信息管理系統(tǒng)了解現(xiàn)場的基本情況,開展有針對性地監(jiān)督檢查。
4.建筑施工現(xiàn)場安全管理信息系統(tǒng)的總體結(jié)構(gòu)框架
建筑施工現(xiàn)場影響安全的主要因素分為人的因素和物的因素,人的不安全因素和物的不安全狀態(tài) ,是導(dǎo)致安全事故發(fā)生的直接原因, 我們可以通過加強對人員的管理及教育培訓(xùn)來減少人的不安全行為, 可以通過對建筑施工現(xiàn)場所用設(shè)備的安全管理來降低物的不安全狀態(tài) 。安全第一, 預(yù)防為主 ,查找 、分析和預(yù)測工程 、系統(tǒng)中存在的危險有害因素及可能導(dǎo)致的事故的嚴重程度 ,提出合理可行的安全對策措施是建筑施工現(xiàn)場安全管理的重要任務(wù) 。通過相關(guān)規(guī)范的要求 ,系統(tǒng)設(shè)計了系統(tǒng)管理 ,基本信息管理模塊 ,安全生產(chǎn)管理模塊 ,機械設(shè)備管理模塊 ,安全教育與培訓(xùn)模塊 ,安全生產(chǎn)環(huán)保勞動保護法規(guī)與標準模塊, 安全技術(shù)交底模塊七個模塊 。
4.1系統(tǒng)管理 ,主要包括用戶及權(quán)限管理、 數(shù)據(jù)庫設(shè)置 、數(shù)據(jù)備份 、數(shù)據(jù)還原 、退出等內(nèi)容 ,管理信息系統(tǒng)基本都包含本模塊, 所以本文對此并不會做過多的介紹。
4.2基本信息管理 ,存儲施工現(xiàn)場的基本信息,主要包括 工程信息、 單位信息 、員工信息等 ,這些信息可以基本描述施工現(xiàn)場的基本情況, 同時為其他模塊提供相應(yīng)的數(shù)據(jù)
4.3安全生產(chǎn)管理, 記錄每天施工現(xiàn)場的重要信息, 通過安全評價發(fā)現(xiàn)施工現(xiàn)場的事故隱患和危險源 ,并作出預(yù)防措施 ,記錄已發(fā)生事故的詳細信息 ,吸取失敗的教訓(xùn)。
4.4機械設(shè)備管理。 用于管理施工現(xiàn)場的機械設(shè)備安全教育與培訓(xùn) ,主要包括學(xué)習(xí) ,安全資料管理 ,培訓(xùn)信息管理, 數(shù)據(jù)庫擴充等功能安全生產(chǎn)環(huán)保勞動保護法規(guī)與標準 ,儲存著有關(guān)建筑工程安全生產(chǎn) ,環(huán)境保護, 職業(yè)健康安
全的重要法律法規(guī)與標準規(guī)范, 具有強大的查詢功能和擴充功能。
4.5安全技術(shù)交底
儲存建筑施工現(xiàn)場所用的大部分安全交底表格。
結(jié)束語:建筑類企業(yè)存在施工項目多、項目地點變化頻繁,各個項目用工種類多,工人流動性大、工人總數(shù)較多。為加強企業(yè)對用工的實時監(jiān)控并規(guī)范各個項目的人員,統(tǒng)一管理規(guī)范,企業(yè)需要開發(fā)管理信息系統(tǒng)對各個項目的用工情況進行統(tǒng)一管理。系統(tǒng)的應(yīng)用明顯規(guī)范了公司各個項目的用工情況;做到了實時了解企業(yè)的用工總數(shù)、用工的項目分布情況;對項目用工有了明確的施工日志記錄,做到了工作情況可核查;實現(xiàn)了工人工資的網(wǎng)絡(luò)化管理,實現(xiàn)了網(wǎng)絡(luò)與查詢,提高了管理的透明度。以上功能的實現(xiàn)極大的提高了用工管理的效率、增加了企業(yè)對用工狀況的整體把握,提高了工作人員的滿意度,統(tǒng)計功能為領(lǐng)導(dǎo)決策提供了有效的依據(jù)。文章對建筑施工現(xiàn)場安全管理信息系統(tǒng)的需求與設(shè)計進行了闡述。
參考文獻:
[1]孫凱,曹朝妮. 建筑施工企業(yè)安全管理信息系統(tǒng)的研究與開發(fā)[J]. 建筑安全,2013,02:59-62.
[2]詹宏昌,陳國華. 安全管理信息系統(tǒng)發(fā)展探討[J]. 工業(yè)安全與環(huán)保,2003,03:38-41.
[3]丁傳波,華燕,王際芝. 建筑企業(yè)安全管理信息系統(tǒng)的研究與開發(fā)[J]. 建筑科學(xué),2004,01:72-78.
[4]王晶禹,張景林,郭艷麗. 一種現(xiàn)代化的安全管理方法──安全管理信息系統(tǒng)[J]. 中國安全科學(xué)學(xué)報,1999,05:25-29.
關(guān)鍵詞:網(wǎng)絡(luò)信息安全現(xiàn)狀防護
21世紀是互聯(lián)網(wǎng)信息高速發(fā)展的時代,隨著計算機網(wǎng)絡(luò)的不斷發(fā)展,信息網(wǎng)絡(luò)化與全球化成為了世界潮流。計算機的廣泛應(yīng)用把人類帶入了一個全新的時代,特別是計算機網(wǎng)絡(luò)的社會化已成為信息時代的主要推動力。網(wǎng)絡(luò)信息的安全問題日益突出,解決網(wǎng)絡(luò)信息安全問題是值得我們深思的重要課題。
一、網(wǎng)絡(luò)信息安全之現(xiàn)狀
1、病毒的危害
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。常見的計算機病毒有:
1.1系統(tǒng)病毒:系統(tǒng)病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件,并通過這些文件進行傳播。如CIH病毒。
1.2木馬病毒、黑客病毒:木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的,即木馬病毒負責(zé)侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。
1.3蠕蟲病毒:蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進行傳播,很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò)),小郵差(發(fā)帶毒郵件)等。
2、信息安全管理制度不完善
在有關(guān)機構(gòu)進行的信息安全調(diào)查中,2003年5月至2004年5月,在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件,占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明,造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的46%,登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%。信息安全管理制度的重要性并不低于信息技術(shù)本身,而是能在很大程度上能夠彌補技術(shù)缺陷本身所帶來的安全隱患。
3、黑客的威脅和攻擊
計算機信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟條件和技術(shù)專長的形形攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識,能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴重,他們通常采用非法侵入重要信息系統(tǒng),竊聽、獲取、攻擊侵入網(wǎng)的有關(guān)敏感性重要信息,修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn)并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。
二、網(wǎng)絡(luò)信息安全之防護技術(shù)
1、防火墻技術(shù)
1.1是網(wǎng)絡(luò)安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
1.2防止內(nèi)部信息的外泄
通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用,有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN,將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)S米泳W(wǎng),有機地聯(lián)成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術(shù)保障。
1.3可強化網(wǎng)絡(luò)安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。
2、身份認證技術(shù)
身份認證(Authentication)是系統(tǒng)核查用戶身份證明的過程,其實質(zhì)是查明用戶是否具有它所請求資源的存儲使用權(quán)。身份識別(Adentification)是指用戶向系統(tǒng)出示自己的身份證明的過程.這兩項工作通常被稱為身份認證。
身份認證至少應(yīng)包括驗證協(xié)議和授權(quán)協(xié)議。網(wǎng)絡(luò)中的各種應(yīng)用和計算機系統(tǒng)都需要通過身份認證來確認合法性,然后確定它的個人數(shù)據(jù)和特定權(quán)限。對于身份認證系統(tǒng)來說,最重要的技術(shù)指標是合法用戶的身份是否易于被別人冒充.用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統(tǒng)。因此,身份認證是授權(quán)控制的基礎(chǔ)。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。身份認證技術(shù)有以下幾種:基于口令的認證技術(shù)、給予密鑰的認證鑒別技術(shù)、基于智能卡和智能密碼鑰匙(USB KEY)的認證技術(shù)、基于生物特征識別的認證技術(shù)。
3、信息加密技術(shù)
加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密,兩種方法各有所長,可以結(jié)合使用,互補長短。對稱密鑰加密,加密解密速度快、算法易實現(xiàn)、安全性好,缺點是密鑰長度短、密碼空間小、“窮舉”方式進攻的代價小。非對稱密鑰加密,容易實現(xiàn)密鑰管理,便于數(shù)字簽名,缺點是算法較復(fù)雜,加密解密花費時間長。加密技術(shù)中的另一重要的問題是密鑰管理,主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護、密鑰產(chǎn)生及進入等方面的問題。
總而言之,在當前網(wǎng)絡(luò)時代,保障計算機網(wǎng)絡(luò)信息安全是非常有必要的。除了上述幾點,我們還應(yīng)加快網(wǎng)絡(luò)信息安全技術(shù)手段的研究和創(chuàng)新,從而使網(wǎng)絡(luò)的信息能安全可靠地為廣大用戶服務(wù)。
參考文獻:
關(guān)鍵詞:網(wǎng)絡(luò)審計 歷史財務(wù)報表審計 信息安全管理 風(fēng)險評估
一、引言
從審計的角度,風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟?。無論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中,現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風(fēng)險領(lǐng)域,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進行規(guī)范,要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險,降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上,從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進行對比分析,以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。
二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較
(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風(fēng)險模型,審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中,固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財務(wù)報表某項認定產(chǎn)生重大錯報的可能性;控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性;檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中,審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素,但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險,例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險,如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地,網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險,即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險,它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險??刂骑L(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險,其中,系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風(fēng)險,財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險,審計軟件風(fēng)險是指計算機審計軟件本身缺陷原因造成的風(fēng)險,人員操作風(fēng)險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。
(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中,風(fēng)險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類,因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險,審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同,企業(yè)在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計人員在審計時應(yīng)當考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中,審eta員應(yīng)當主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風(fēng)險并非完全分離的,評估時審計人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險評估內(nèi)容 廣泛意義的風(fēng)險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同,因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的??偟膩碚f,網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風(fēng)
險》,在歷史財務(wù)報表審計中,審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險,審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此,我們認為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面:(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風(fēng)險發(fā)生的可能性;(4)根據(jù)風(fēng)險發(fā)生的可能性,評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響;(5)若被審計單位存在風(fēng)險防范或化解措施,審計人員在進行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求,審計人員應(yīng)當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外,審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估,審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權(quán)后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況,使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進行分析,進而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進行評價,審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較
(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風(fēng)險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度,在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù),其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進一步審計程序。因此,兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險,包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中,審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見,因此,風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同,信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風(fēng)險評估活動;他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機構(gòu)進行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計嚴格區(qū)分開來。
(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風(fēng)險評估指南》(征求意見稿)國家標準中,它將信息安全風(fēng)險評估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是:(1)對信息資產(chǎn)進行識別,并對資產(chǎn)賦值;(2)對威脅進行分析,并對威
脅發(fā)生的可能性賦值;(3)識別信息資產(chǎn)的脆弱性,并對弱點的嚴重程度賦值;(4)根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計算安全事件一旦發(fā)生對組織的影響,即風(fēng)險值。結(jié)合上文網(wǎng)絡(luò)審計風(fēng)險評估五個方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計和信息安全風(fēng)險評估在內(nèi)容上有相近之處,即都需要針對信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點進行識別。但是,信息安全管理作為企業(yè)的一項內(nèi)部管理,其風(fēng)險評估工作需要從兩個層次展開:一是評估風(fēng)險發(fā)生的可能性及其影響;二是提出防護或整改措施以控制風(fēng)險。第一個層次的工作實質(zhì)上是為第二層次工作服務(wù)的,其重點在第二層次?!缎畔踩L(fēng)險評估指南》(征求意見稿)提出,企業(yè)在確定出風(fēng)險水平后,應(yīng)對不可接受的風(fēng)險選擇適當?shù)奶幚矸绞郊翱刂拼胧?,并形成風(fēng)險處理計劃。其中,風(fēng)險處理的方式包括回避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險,而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險的平衡。網(wǎng)絡(luò)審計的風(fēng)險評估工作主要集中在第一個層次,即審計人員通過風(fēng)險評估,為進一步審計中做出合理的職業(yè)判斷、有效地實施網(wǎng)絡(luò)審計程序和實現(xiàn)網(wǎng)絡(luò)審計目標提供重要基礎(chǔ)。因此,兩者的評估內(nèi)容是存在區(qū)別的。
關(guān)鍵詞關(guān)鍵詞:工業(yè)控制系統(tǒng);行為審計;智能分析;信息安全
DOIDOI:10.11907/rjdk.162241
中圖分類號:TP319文獻標識碼:A文章編號文章編號:16727800(2017)001012004
引言
伴隨著工業(yè)化和信息化融合發(fā)展,大量IT技術(shù)被引入現(xiàn)代工業(yè)控制系統(tǒng)。網(wǎng)絡(luò)設(shè)備、計算設(shè)備、操作系y、嵌入式平臺等多種IT技術(shù)在工控系統(tǒng)中的遷移應(yīng)用已經(jīng)司空見慣。然而,工控系統(tǒng)與IT系統(tǒng)存在本質(zhì)差異,差異特質(zhì)決定了工控系統(tǒng)安全與IT系統(tǒng)安全不同。
(1)工控系統(tǒng)的設(shè)計目標是監(jiān)視和控制工業(yè)過程,主要是和物理世界互動,而IT系統(tǒng)主要用于與人的交互和信息管理。電力配網(wǎng)終端可以控制區(qū)域電力開關(guān),類似這類控制能力決定了安全防護的效果。
(2)常規(guī)IT系統(tǒng)生命周期往往在5年左右,因此系統(tǒng)的遺留問題一般都較小。而工控系統(tǒng)的生命周期通常有8~15年,甚至更久,遠大于常規(guī)IT系統(tǒng),對其遺留的系統(tǒng)安全問題必須重視。相關(guān)的安全加固投入涉及到工業(yè)領(lǐng)域商業(yè)模式的深層次問題(如固定資產(chǎn)投資與折舊)。
(3)工控系統(tǒng)安全遵循SRA(Safety、Reliability和Availability)模型,與IT系統(tǒng)的安全模型CIA(Confidentiality、Integrity和Availability)迥異。IT安全的防護機制需要高度的侵入性,對系統(tǒng)可靠性、可用性都有潛在的重要影響。因此,現(xiàn)有的安全解決方案很難直接用于工控系統(tǒng),需要深度設(shè)計相關(guān)解決方案,以匹配工控系統(tǒng)安全環(huán)境需求[12]。
1工控系統(tǒng)安全威脅及成因
工業(yè)控制系統(tǒng)安全威脅主要有以下幾個方面[35]:
(1)工業(yè)控制專用協(xié)議安全威脅。工業(yè)控制系統(tǒng)采用了大量的專用封閉工控行業(yè)通信協(xié)議,一直被誤認為是安全的。這些協(xié)議以保障高可用性和業(yè)務(wù)連續(xù)性為首要目的,缺乏安全性考慮,一旦被攻擊者關(guān)注,極易造成重大安全事件。
(2)網(wǎng)絡(luò)安全威脅。TCP/IP 協(xié)議等通用協(xié)議與開發(fā)標準引入工控系統(tǒng),使得開放的工業(yè)控制系統(tǒng)面臨各種各樣的網(wǎng)絡(luò)安全威脅[67]。
早期工業(yè)控制系統(tǒng)為保證操作安全,往往和企業(yè)管理系統(tǒng)相隔離。近年來,為了實時采集數(shù)據(jù),滿足管理需求,工業(yè)控制系統(tǒng)通過邏輯隔離方式與企業(yè)管理系統(tǒng)直接通信,而企業(yè)管理系統(tǒng)一般連接Internet,這種情況下,工業(yè)控制系統(tǒng)接入的范圍不僅擴展到了企業(yè)網(wǎng),而且面臨來自Internet的威脅。在公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)混合的情況下,工業(yè)控制系統(tǒng)安全狀態(tài)更加復(fù)雜。
(3)安全規(guī)程風(fēng)險。為了優(yōu)先保證系統(tǒng)高可用性而把安全規(guī)程放在次要位置,甚至犧牲安全來實現(xiàn)系統(tǒng)效率,造成了工業(yè)控制系統(tǒng)常見的安全隱患。以介質(zhì)訪問控制策略為代表的多種隱患時刻威脅著工控系統(tǒng)安全。為實現(xiàn)安全管理制定符合需求的安全策略,并依據(jù)策略制定管理流程,是確保ICS 系統(tǒng)安全性和穩(wěn)定性的重要保障。
(4)操作系統(tǒng)安全威脅。工業(yè)控制系統(tǒng)有各種不同的通用操作系統(tǒng)(Window、Linux)以及嵌入式OS,大量操作系統(tǒng)版本陳舊(Win95、Win me、Win2K等)。鑒于工控軟件與操作系統(tǒng)補丁存在兼容性問題,系統(tǒng)上線和運行后一般不會對平臺打補丁,導(dǎo)致應(yīng)用系統(tǒng)存在很大的安全風(fēng)險。
(5)終端及應(yīng)用安全風(fēng)險。工業(yè)控制系統(tǒng)終端應(yīng)用大多固定不變,系統(tǒng)在防范一些傳統(tǒng)的惡意軟件時,主要在應(yīng)用加載前檢測其完整性和安全性,對于層出不窮的新型攻擊方式和不斷改進的傳統(tǒng)攻擊方式,采取這種安全措施遠遠不能為終端提供安全保障。因此,對靜態(tài)和動態(tài)內(nèi)容必須進行安全完整性認證檢查。
2審計方案設(shè)計及關(guān)鍵技術(shù)
2.1系統(tǒng)總體架構(gòu)
本方案針對工控系統(tǒng)面臨的五大安全威脅,建立了基于專用協(xié)議識別和異常分析技術(shù)的安全審計方案,采用基于Fuzzing的漏洞挖掘技術(shù),利用海量數(shù)據(jù)分析,實現(xiàn)工控系統(tǒng)的異常行為監(jiān)測和安全事件智能分析,實現(xiàn)安全可視化,系統(tǒng)框架如圖1所示。
電力、石化行業(yè)工業(yè)控制系統(tǒng)行為審計,主要對工業(yè)控制系統(tǒng)的各種安全事件信息進行采集、智能關(guān)聯(lián)分析和軟硬件漏洞挖掘,實現(xiàn)對工業(yè)控制系統(tǒng)進行安全評估及安全事件準確定位的目的[89]。
審計系統(tǒng)采用四層架構(gòu)設(shè)計,分別是數(shù)據(jù)采集層、信息數(shù)據(jù)管理層、安全事件智能分析層和安全可視化展示層。其中數(shù)據(jù)采集層通過安全、鏡像流量、抓取探測等方式,監(jiān)測工控網(wǎng)絡(luò)系統(tǒng)中的服務(wù)日志、通信會話和安全事件。多層部署采用中繼隔離方式單向上報采集信息,以適應(yīng)各種網(wǎng)絡(luò)環(huán)境。信息數(shù)據(jù)管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協(xié)議,對海量數(shù)據(jù)進行分布式存儲,優(yōu)化存儲結(jié)構(gòu)和查詢效率,實現(xiàn)系統(tǒng)數(shù)據(jù)層可伸縮性和可擴展性。智能分析層通過對異構(gòu)數(shù)據(jù)的分析結(jié)果進行預(yù)處理,采用安全事件關(guān)聯(lián)分析和安全數(shù)據(jù)挖掘技術(shù),審計工控系統(tǒng)應(yīng)用過程中的協(xié)議異常和行為異常。安全綜合展示層,對安全審計結(jié)果可視化,呈現(xiàn)工業(yè)控制系統(tǒng)安全事件,標識安全威脅,并對工業(yè)控制系統(tǒng)安全趨勢作出預(yù)判。
2.2審計系統(tǒng)關(guān)鍵技術(shù)及實現(xiàn)
2.2.1專用協(xié)議識別和異常分析技術(shù)
關(guān)鍵詞:自主研學(xué);第三方支付;客戶端安全;瀏覽器劫持
我國的高等院校信息安全專業(yè)本科的建立和發(fā)展至今尚不足8年。這些年來,有關(guān)專業(yè)人士就如何發(fā)展和完善信息安全專業(yè)建設(shè)進行了廣泛的研究和探討,比如,如何結(jié)合學(xué)校特色加強信息安全專業(yè)的建設(shè)、信息安全專業(yè)人才培養(yǎng)存在的若干問題、信息安全專業(yè)人才培養(yǎng)模式的探討、信息安全課程體系和實驗體系的建設(shè)、信息安全專業(yè)應(yīng)用型人才的培養(yǎng),等等[1-2]。國外大學(xué)關(guān)于信息安全專業(yè)教育方面的研究也不少,特別在信息安全實驗教學(xué)方面有許多很具體的研究和探索[3-4]。北京信息科技大學(xué)信息安全專業(yè)成立于2004年,近些年來,本專業(yè)特別注重結(jié)合學(xué)校具體情況,為培養(yǎng)信息安全應(yīng)用型人才進行積極的探索,無論在專業(yè)建設(shè)和學(xué)科建設(shè)方面都取得了一定成效。筆者在“入侵檢測技術(shù)”這門課程的實驗教學(xué)方面進行過積極探索[5],采用課內(nèi)實驗與課外實驗相結(jié)合的方式增加學(xué)生動手的機會,使學(xué)生在實踐中學(xué)習(xí),在實踐中增強各種能力。但是無論從學(xué)校方面,還是從教師方面做再多的努力,都難以回避一個不爭的事實:大多數(shù)學(xué)生玩游戲上癮,自主研學(xué)的習(xí)慣和精神嚴重缺乏。因此,無論進行什么樣的教學(xué)模式創(chuàng)新與改革,無論提供什么樣的教學(xué)和實驗環(huán)境,其效果都會大打折扣。這是我們必須要面對,同時也要盡快解決的現(xiàn)實問題。筆者從事多年的信息安全專業(yè)的教學(xué),同時又長期兼任信息安全專業(yè)班級的班主任,即站在專業(yè)教學(xué)的第一線,也站在學(xué)生管理的第一線,有更多的時間和機會在如何引導(dǎo)學(xué)生自主研學(xué)方面進行廣泛和深入的探索。
1發(fā)現(xiàn)和提出問題
隨著互聯(lián)網(wǎng)上各種應(yīng)用和服務(wù)不斷增多,信息安全問題越來越受到人們的關(guān)注。目前,網(wǎng)絡(luò)銀行和第三方支付系統(tǒng)在各種網(wǎng)上應(yīng)用和服務(wù)中扮演極其重要的角色,而它的安全問題一直受到有關(guān)各方的重視,但沒有得到根本上的解決,這將嚴重影響未來網(wǎng)上服務(wù)和應(yīng)用的進一步發(fā)展。筆者通過一個真實的案例,吸引學(xué)生的興趣,引導(dǎo)他們結(jié)合所學(xué)的知識去分析問題和解決問題。案例的具體內(nèi)容涉及一個用戶利用第三方支付系統(tǒng)還房貸而遭受較大的資金損失。筆者在這個事件發(fā)生后,親歷了此案例的調(diào)查,事件發(fā)生的過程如下:一個用戶看到某第三方支付商提供的廣告后,進行了信用卡還款操作。圖1是用戶在操作時輸入的重要信息。
左窗口是要求用戶輸入接收方的信用卡卡號、用戶名及還款金額;右窗口是付款方的借記卡所屬銀行、個人電子郵件和手機號碼。完成各項填寫后,按確認鍵,進入所選銀行的付款頁面,該頁面顯示商城名稱、訂單號、訂單金額、商品名稱等提示信息,并要求輸入支付卡的卡號和口令,接下來用戶只要插上自己的有效的安全U盾,輸入正確的PIN碼后就可以完成付款。本案例中的用戶共進行了二次支付,共計支付了8萬多元錢。過了幾天,所支付的錢依然沒有到達接收卡賬戶上。用戶查詢后發(fā)現(xiàn),這二筆錢通過另一家支付系統(tǒng)分別轉(zhuǎn)入了某地二個不同的賬戶,而他所選用的第三方支付商根本沒有接受這二筆交易。
筆者將上述真實的案例告訴學(xué)生,首先是讓他們了解該安全事件的具體表現(xiàn)。接下來給學(xué)生提出更多的問題,比如:通過第三方的支付過程涉及哪些主體?這些主體各自應(yīng)該承擔(dān)的安全責(zé)任和應(yīng)當采取的安全機制是什么?上述案例中存在的安全漏洞到底在哪?這樣的安全漏洞能夠解決嗎?采用什么安全機制能防范或制止這種安全漏洞?為了讓學(xué)生更快地進入角色,筆者給他們提出一些建議:
1) 通過第三方支付系統(tǒng)完成一次網(wǎng)上的實際轉(zhuǎn)賬過程;
2) 上中國金融認證中心網(wǎng)站,了解網(wǎng)上支付過程及相關(guān)安全知識;
3) 了解客戶端及IE瀏覽器存在的安全漏洞。
2描述和理解問題
學(xué)生們帶著對上述案例的興趣及若干問題去查找相關(guān)資料,經(jīng)過一段時間的學(xué)習(xí)和討論以后,他們能夠與老師討論這個案例,并能完成對相關(guān)問題的描述和理解。
首先,了解到第三方支付系統(tǒng)的支付過程,涉及支付用戶、收款用戶、第三方支付系統(tǒng)、網(wǎng)上銀行、認證中心(CA),以及網(wǎng)上通信。若存在購物交易,還應(yīng)包括商家。本案例中用戶的在線支付,不是為了完成購物而是為了還款,實質(zhì)上就是利用第三方支付系統(tǒng)進行轉(zhuǎn)賬。這種轉(zhuǎn)賬方式,是在網(wǎng)上銀行與用戶方之間增加了第三方支付商,增加了這樣一個支付環(huán)節(jié),很有可能會給用戶帶來了額外的風(fēng)險。若從技術(shù)層面上來考慮,這種支付過程,涉及到客戶端、第三方支付系統(tǒng)的服務(wù)器端、網(wǎng)銀系統(tǒng)的服務(wù)器端、認證系統(tǒng)服務(wù)器、互聯(lián)網(wǎng)通信等多個方面。一旦出現(xiàn)安全事件,每一個相關(guān)方面都有可能成為安全事件起因。當然,事件的確切原因需要具體問題具體分析。
第二,所涉及到的各方都會采用相應(yīng)安全機制來保證系統(tǒng)的安全,其中認證中心、銀行采用的安全機制最強、在安全方面投入也更高;第三方支付系統(tǒng)相對弱一些;用戶端存在的安全隱患相對更多一些。目前,國內(nèi)銀行的認證還是由各銀行自行完成,以后這方面的工作應(yīng)該由中國金融認證中心來完成。到目前為止有關(guān)網(wǎng)銀安全事件的發(fā)生原因,都與網(wǎng)銀的服務(wù)器端沒有直接原因,主要由于客戶端存在病毒、或用戶操作不當造成的。相比較而言,第三方支付系統(tǒng)存在的安全隱患更大,其中包括監(jiān)管和技術(shù)二方面的原因。但是就目前所發(fā)生的有關(guān)安全事件來看,第三方支付系統(tǒng)的服務(wù)器端出現(xiàn)技術(shù)或人為安全問題的可能性不大,因為若是服務(wù)器端出現(xiàn)問題,其造成資金的損失,一定會是以億計,而且會涉及大量的用戶。與其他主體相比,客戶端存在的安全問題相對比較多,比如,操作系統(tǒng)和IE沒有及時升級、沒有安裝殺毒軟件或沒有對殺毒軟件的病毒庫及時更新,等等。本案例中用戶所用的Window系統(tǒng)版本較早且未及時打補丁,所用IE版本較低。筆者用諾頓殺毒軟件對案中用戶所用U盤進行過檢測,出現(xiàn)了Spyware.Keylogger報警。經(jīng)查詢,這是一個間諜軟件,在2007年2月升級,可以截屏,可以記錄擊鍵信息。該軟件可能來自網(wǎng)站、電子郵件、即時消息及直接文件共享連接,此外用戶在接受某個軟件程序的最終用戶許可協(xié)議時,可能會在毫無察覺的情況下收到該間諜軟件。
第三,在網(wǎng)絡(luò)通信方面,目前網(wǎng)上交易大都采用SSL、SET等安全協(xié)議,所用安全協(xié)議的安全功能包括身份認證服務(wù)、機密性保護服務(wù)、數(shù)據(jù)完整、不可否認等,從這些年的實踐上來看,SSL和SET二個安全協(xié)議尚未有明顯易攻擊的安全漏洞 [6]。
最終,通過認真分析交易環(huán)節(jié)、上網(wǎng)查詢相似案例的報道、以及檢查用戶交易所用的筆計本電腦,確認這是一起典型的發(fā)生在客戶端的中間人攻擊事件,利用了客戶端與第三方交易系統(tǒng)存在的漏洞。這里所說的第三方交易系統(tǒng)存在安全漏洞,主要是指三方面的內(nèi)容,其一,如圖1所示,當用戶在左窗口中輸入賬戶信息時,所輸數(shù)據(jù)極易被鍵盤截獲木馬所截獲;其二,沒有采用適當?shù)陌踩丶?,防范一些常見攻擊;其三,第三方支付系統(tǒng)存在更易被利用的弱點。下面重點分析本案例中的客戶端的安全問題,這是目前最常見的,也是難于解決的問題。
圖2是客戶端的涉及IE瀏覽器、鍵盤和安全U盾三個實體的數(shù)據(jù)流圖。
就本文所提案例而言,用戶進入第三方支付系統(tǒng)A網(wǎng)站后,首先在圖1左端窗口輸入接收卡信息,在右端窗口選擇支付銀行及個人Email和手機信息,正常情況下,這些信息通過IE內(nèi)置SSL模塊,建立SSL連接,將信息安全傳送至第三方支付系統(tǒng)A服務(wù)器端;然后再依據(jù)用戶所選擇的支付銀行,鏈接銀行支付頁面進行支付,支付時要求輸入用戶銀行卡號、用戶銀行卡密碼及付款金額,提示用戶插入安全U盾,輸入PIN碼。該過程用戶所輸入的信息通過IE傳遞給安全U盾,進行簽名和加密運算以后,再返回IE傳送至網(wǎng)銀支付網(wǎng)關(guān),網(wǎng)銀系統(tǒng)的服務(wù)器端對數(shù)據(jù)進行認證和解密后,將資金從用戶支付卡上轉(zhuǎn)至第三方支付系統(tǒng)。延遲一段時間后,資金才由第三方支付系統(tǒng)轉(zhuǎn)入用戶所輸入的接收卡中。
在本文的案例中,用戶的資金通過另一個第三支付系統(tǒng)B轉(zhuǎn)入非用戶指定的接收卡賬戶。這顯然是一種瀏覽器劫持行為,此行為發(fā)生在調(diào)用網(wǎng)銀支付頁面以前,它更改了接收卡信息,同時由另一第三方支付系統(tǒng)B,代替了用戶所選擇的第三方支付系統(tǒng)A,因此網(wǎng)銀支付頁面是由第三方支付系統(tǒng)B提供的鏈接。在接下來的支付過程中,無論是用戶方、第三方支付系統(tǒng)A、第三方支付系統(tǒng)B,還是銀行方均不會發(fā)現(xiàn)任何異常情況。
分析了整個入侵過程以后,教師自然引入以下幾個問題:
1) 非法者為何要選擇在此操作環(huán)節(jié)進行IE劫持?這種IE劫持是如何實現(xiàn)的?
2) 非法者為何要選擇第三方支付系統(tǒng)B作為他們的支付平臺?該平臺是否有漏洞更容易被利用?
3) 若該用戶直接進入網(wǎng)銀界面進行類似的轉(zhuǎn)賬操作會有資金會發(fā)生資金損失嗎?
4) 能否防范此類IE劫持行為?如何防范?
3分析和實踐
前面描述了如何引導(dǎo)學(xué)生去發(fā)現(xiàn)和理解問題。接下來是組織學(xué)生進一步分析問題,并著手尋找解決問題的方法和途徑。筆者通過與學(xué)生們討論,將接下來所要進行的工作分成四大部分。第一、明確和掌握文中所提案例的攻擊原理;第二、通過分析和模擬攻擊行為,進一步理解和掌握相關(guān)攻擊原理和實現(xiàn)方法;第三、設(shè)計并實現(xiàn)新的安全機制,防范相關(guān)攻擊;第四、驗證新的安全防范機制的有效性。
3.1瀏覽器劫持技術(shù)的原理
從目前的資料來看,“瀏覽器劫持”攻擊的滲透途徑有很多,其中最常見的方式有通過BHO DLL插件、Hook技術(shù)達到對用戶的瀏覽器進行篡改的目的。這些載體可以直接寄生于瀏覽器的模塊里,成為瀏覽器的一部分,進而直接操縱瀏覽器的行為。
什么是BHO DLL插件、Hook技術(shù)?它們的作用是什么?它們是如何被合法和不法利用的?“瀏覽器劫持”攻擊是如何利用這些技術(shù)從事了非法或非授權(quán)行為的?
首先了解BHO技術(shù)[7]。BHO是微軟早在1999年推出的作為瀏覽器對第三方程序員開放交互接口的業(yè)界標準。BHO可以獲知和實現(xiàn)瀏覽器的大部分事件和功能,也就是說,它可以利用少量的代碼控制瀏覽器行為。程序員可以設(shè)計出一個BHO控制瀏覽器跳轉(zhuǎn)到他想讓用戶去的頁面,這就所謂的“瀏覽器劫持”――BHO劫持。
其次,引入Hook(鉤子)技術(shù)。Hook[8]是Windows消息處理機制的一個平臺,應(yīng)用程序可以在上面設(shè)置子程序以監(jiān)視指定窗口的某種消息,并且當消息到達后,在目標窗口處理函數(shù)之前處理它。Hook機制允許應(yīng)用程序截獲處理Window消息或特定事件。把Hook技術(shù)應(yīng)用到瀏覽器上面,就成了另一種控制瀏覽器行為的方法,稱為IE鉤子。IE鉤子程序載入進程后便能獲知所有的消息類型、API和內(nèi)容,一旦發(fā)現(xiàn)某個符合要求的消息,如IE執(zhí)行了某個事件,或者用戶輸入了特定內(nèi)容,鉤子的處理代碼就開始工作了,它先攔截系統(tǒng)發(fā)送給IE的消息,然后分析消息內(nèi)容,根據(jù)不同消息內(nèi)容作出修改后再發(fā)給IE,就完成了一次Hook篡改過程。
接下來的問題就是:案例中的攻擊者是如何使攻擊得逞的呢?攻擊者能夠得逞需要具備哪些條件?
3.2第三方支付系統(tǒng)的弱點
本案例有一個值得關(guān)注的地方,就是詐騙者利用了另一家B支付系統(tǒng)將客戶資金進行了非法轉(zhuǎn)移。這個B支付系統(tǒng)有什么更易被利用的弱點嗎?筆者對B支付系統(tǒng)進行考察后發(fā)現(xiàn),該支付系統(tǒng)給商家提供了信用支付功能,通過該功能,商家可以通過一個鏈接讓買家通過網(wǎng)銀進行支付。該支付系統(tǒng)為注冊商家和非注冊商家都提供了一個這樣的功能,也就是說任意一個人,都可以不經(jīng)任何審查過程,實現(xiàn)這樣一個功能。
如圖3所示,要完成信用支付,任何一個注冊或非注冊用戶第一步要做的是輸入工行的信用卡號及其它相關(guān)信息。輸入完成后,再進行確認。最后生成一個支付鏈接。
如圖4所示。所生成的支付鏈接中的最后二項,一個是“money=xxxxx”,另一個是“payUrl=xxxx”等號后面的內(nèi)容。前者是支付金額,后者是商品鏈接。等號后面的內(nèi)容允許商戶根據(jù)需要進行修改。正是這個鏈接為網(wǎng)上開店的商戶完成商品的支付功能,提供了很大方便,但同時,也為攻擊者進行網(wǎng)上詐騙大開方便之門。
3.3模擬運行環(huán)境及攻擊行為
通過對攻擊行為的模擬,可以使學(xué)生更好地理解攻擊行為的原理、作用及局限,同時也能夠大大增強學(xué)生的編程能力。
第一,利用鉤子技術(shù)實現(xiàn)對鍵盤的記錄[9]。由于鍵盤記錄器需要監(jiān)控鍵盤的所有輸入,因此必須安裝為全局的鉤子,該鉤子函數(shù)應(yīng)當寫入一個DLL文件內(nèi)。該DLL由VC編寫,相應(yīng)參考資料很多。
第二,利用BHO技術(shù)實現(xiàn)URL的攔截[10]。該BHO插件在VC6.0下開發(fā)。基本實現(xiàn)過程:①ATL Object到該項目中。②實現(xiàn)IObjectWithSite的接口方法。③實現(xiàn)IDispatch接口方法。④修改注冊表文件,追加BHO的注冊信息。
第三,網(wǎng)上支付系統(tǒng)[11]保證客戶端資金安全的最核心的機制是采用安全U盾。為了使學(xué)生充分掌握和了解安全U盾的應(yīng)用,給學(xué)生提供了堅石誠信科技公司的安全U盾產(chǎn)品ET199,能夠使用MS CryptoAPI接口開發(fā)ET199的應(yīng)用。
3.4建立新的安全防范機制
分析和模擬的目的是為了能夠有更好的思路和手段來實現(xiàn)新的安全防范機制,避免類似的攻擊案例的發(fā)生。
從對文中案例的分析情況來看,第三方支付系統(tǒng)顯然存在弱點,需要企業(yè)本身和相關(guān)監(jiān)管部門進一步完善業(yè)務(wù)流程和監(jiān)管手段。作為用戶一方,如何保證客戶端不被非法程序所侵害,也應(yīng)引起足夠的重視。目前,所能采取的技術(shù)手段是利用系統(tǒng)監(jiān)控技術(shù),監(jiān)控文件目錄的變動、注冊表的修改、進程的創(chuàng)建等[9]。
1) 文件監(jiān)控技術(shù)。Windows SDK提供了兩種API進行文件監(jiān)控。FindChange- Notification系列函數(shù)和ReadDirectory- ChangesW()函數(shù)。
2) 注冊表監(jiān)控技術(shù)。Windows SDK提供了一個函數(shù):RegNotifyChangeKeyValue(),可以完成對指定注冊表路徑項的監(jiān)視。
3) 進程監(jiān)控技術(shù)。進程監(jiān)控的有多種方法。最好的方法是采用API Hook。API Hook的主要思路是攔截基于操作系統(tǒng)提供的API函數(shù),使其在執(zhí)行這些函數(shù)前首先運行自己的代碼,可以使用這種方法來記錄系統(tǒng)中的一些關(guān)鍵操作。
4結(jié)語
當前,學(xué)生自主研學(xué)能力的缺乏具有一定的普遍
性,特別是在與我校同檔次的高校中,情況更為普遍。因此,無論從學(xué)校層面還是從專業(yè)教學(xué)層面上都在積極采取辦法提高學(xué)生自主研學(xué)能力,如鼓勵成立學(xué)生社團、舉辦課外專業(yè)競賽、提供學(xué)校學(xué)生基金項目、創(chuàng)新理論教學(xué)和實驗教學(xué),等等。本文探討了一種新的方法和途徑:以學(xué)生感興趣的應(yīng)用型項目為依托,積極引導(dǎo)學(xué)生自主研學(xué)。只有當學(xué)生提高了自主研學(xué)的能力和興趣以后,他們才能夠在大學(xué)所提供的各種教育活動中,更有效地提高自身的實踐能力、溝通能力、團隊合作能力和知識應(yīng)用能力。
參考文獻:
[1] 李暉,馬建峰. 結(jié)合學(xué)校特色加強信息安全專業(yè)建設(shè)的幾點體會[J]. 北京電子科技學(xué)院學(xué)報,2006(3):3-4.
[2] 譚云松,王海暉,伍慶華,等. 信息安全專業(yè)實踐教學(xué)體系研究[J]. 高教論壇,2006(5):82-84.
[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.
[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.
[5] 劉凱. 入侵檢測技術(shù)實驗教學(xué)的設(shè)計與研究[J]. 計算機教育,2009(4):139-142.
[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.
[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/
library/Aa768220.aspx.
[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).
aspx.
[9] 裴要強,孟波. Windows 黑客技術(shù)揭密與攻防1:C語言篇[M]. 北京:中國鐵道出版社,2010:243-252.
[10] Scott Pobert. Intertnet Explore 5程序設(shè)計[M]. 北京博彥科技發(fā)展有限責(zé)任公司,譯. 北京:清華大學(xué)出版社,2001:429-440.
[11] 堅實誠信科技有限公司. ET199超級多功能鎖資料下載[EB/OL]. [2010-11-16]. .cn/et199/download_
authentication.php.
Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study
LIU Kai, CHEN Xin
(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)
【關(guān)鍵詞】銀行;信息安全;管理體系
從上世紀八十年代至今,信息技術(shù)因其獨特的優(yōu)勢在銀行業(yè)的地位發(fā)生了巨大的變化。在銀行業(yè)應(yīng)用信息技術(shù)之初,只是被作為提高銀行工作效率的手段,隨著信息技術(shù)的不斷發(fā)展與進步,當前其已經(jīng)成為銀行系統(tǒng)中不可或缺的工具??梢哉f信息技術(shù)的發(fā)展促進了銀行管理模式的變化,并且直接影響到銀行的業(yè)務(wù)流程[1]。由于銀行對信息技術(shù)的依賴程度越來越高,銀行信息系統(tǒng)的運行安全與銀行業(yè)的安全以及國家金融穩(wěn)定密切相關(guān),因此做好銀行信息安全管理是保障國家金融穩(wěn)定運行的重要措施。目前我國銀行的信息技術(shù)水平與規(guī)模得到了不斷提高,但在信息安全管理方面存在一些不足,這就需要構(gòu)建銀行信息安全管理體系,對銀行的各項信息進行全面的管理,有效避免風(fēng)險的發(fā)生。
1.銀行信息安全管理中出現(xiàn)的問題
各種信息技術(shù)設(shè)備在銀行業(yè)的廣泛應(yīng)用,雖然有效提升了銀行的工作效率與服務(wù)質(zhì)量,但是也逐漸暴露出各種信息安全管理問題,主要表現(xiàn)在以下幾個方面。
1.1 信息安全管理體系不健全
我國很多銀行在安全管理方面存在各種問題,其中最為普遍的就是信息安全管理體系不健全。這些銀行的起步較晚,信息技術(shù)的應(yīng)用范圍相對狹窄,在風(fēng)險評估與等級保護等方面有待完善,并且信息安全的實施策略、標準以及質(zhì)量控制等還沒有達到國際標準。同時部分銀行制定的信息安全策略不夠完善,尤其表現(xiàn)在信息資產(chǎn)的管理以及業(yè)務(wù)管理等方面,極大增加了信息系統(tǒng)的安全隱患,而一些銀行的信息安全管理工作流于形式,根本沒有建立全面而長效的信息安全管理機制。
1.2 運維監(jiān)控與預(yù)警系統(tǒng)存在問題
我國的一些銀行還沒有建立有效的運維監(jiān)控與預(yù)警系統(tǒng),或者在銀行的硬件設(shè)施與業(yè)務(wù)系統(tǒng)方面存在一些缺陷,無法對銀行的重要設(shè)備以及周圍的環(huán)境進行實時監(jiān)測。部分銀行在風(fēng)險預(yù)警監(jiān)控方面的自動化程度有待提高,而在對突發(fā)事件、意外事件等進行預(yù)警與監(jiān)測時人工檢測占據(jù)了大部分比例,這樣就很難保障銀行風(fēng)險預(yù)警監(jiān)控的可靠性與及時性。
1.3 銀行工作人員導(dǎo)致的風(fēng)險
當前很多銀行的管理人員并沒有加強對員工安全意識的定期強制性培訓(xùn),員工普遍缺乏安全意識,在工作過程中不能很好地保障銀行的信息安全,在出現(xiàn)問題后也無法及時發(fā)現(xiàn),這就導(dǎo)致銀行潛在的風(fēng)險增加。一些銀行員工由于缺乏安全意識,可能會將私人的優(yōu)盤等設(shè)備接入銀行的信息系統(tǒng)中,導(dǎo)致病毒入侵,直接威脅到銀行的信息安全。同時目前銀行還普遍缺乏風(fēng)險管理專業(yè)人才,無法做到對風(fēng)險的專業(yè)化管理[2]。
1.4 信息技術(shù)的監(jiān)控與審計不完善
當前部分銀行在信息技術(shù)的監(jiān)控與設(shè)計方面有待加強。首先審計問題的整改落實不到位,銀行在通過審計發(fā)現(xiàn)問題后沒有及時查處,或者查處的力度不夠,缺乏長效的監(jiān)督;大多采用經(jīng)濟處罰,遇到侵犯領(lǐng)導(dǎo)利益的事件就大事化了或隱瞞事實。其次,銀行審計的廣度、深度還不夠,并且審核的周期與間隔較長,部分基層銀行甚至完全不開展信息技術(shù)審計工作。一些銀行雖然開展了審計工作,但審計缺乏深度,很難識別深層次的安全隱患[3]。
2.加強銀行信息安全管理的重要性
銀行加強信息安全的主要目的就是為了保障信息化的持續(xù)穩(wěn)定發(fā)展,信息安全不僅屬于技術(shù)問題,也屬于管理問題。從信息技術(shù)層面來看,當前我們使用的很多操作系統(tǒng)存在一定的安全漏洞,開發(fā)商會針對發(fā)現(xiàn)的漏洞設(shè)計相應(yīng)的補丁程序,這就需要定期更新系統(tǒng)。例如,運用主機熱備份以及災(zāi)難備份的方式,可以有效保障信息的安全運行。同時一些軟件開放人員在編程設(shè)計過程中留有“后門”,如果這些“后門”被不法分子知道,就會將該部分作為攻擊目標,進而影響到信息系統(tǒng)的安全。當前大部分的黑客攻擊等都是由于系統(tǒng)“漏洞”引起的,因此銀行在應(yīng)用軟件過程中應(yīng)該盡量避免留有“漏洞”。
此外,隨著我國信息化技術(shù)的不斷發(fā)展,信息系統(tǒng)的安全管理也被納入國家的重點項目中。與世界上的部分發(fā)達國家相比,我國的信息安全管理工作起步較晚,但是發(fā)展較快,并且對系統(tǒng)風(fēng)險認識的不斷深化促進了信息安全管理的發(fā)展。對于銀行而言,信息安全是至關(guān)重要的問題,這是因為任何一個環(huán)節(jié)出現(xiàn)問題,都會對整個系統(tǒng)的發(fā)展帶來影響,甚至導(dǎo)致全局性的失誤。例如,銀行傳統(tǒng)的信貸、柜臺等業(yè)務(wù)已經(jīng)有多年的信息安全管理經(jīng)驗,而信用卡作為一種新型的業(yè)務(wù),它連接了多個方面的利益關(guān)系,其中涉及到發(fā)卡行、特約商戶以及持卡人之間的關(guān)系,因此信息安全就成為重中之重。在銀行開展各項業(yè)務(wù)過程中,信息和數(shù)據(jù)是基礎(chǔ)[4]。此外,從客戶的角度來看,銀行在給客戶提供服務(wù)時,必須保障提供信息的準確性、可靠性與安全性。由此可見,銀行加強信息安全管理是十分必要的。
3.構(gòu)建銀行信息安全管理體系的思考
二十一世紀屬于信息網(wǎng)絡(luò)時代,我們生活中的大部分工作與事物都會用到信息技術(shù),而在應(yīng)用信息技術(shù)過程中也伴隨著一些信息安全問題。根據(jù)銀行安全管理中出現(xiàn)的問題,并結(jié)合銀行業(yè)的未來發(fā)展規(guī)劃,我們應(yīng)該構(gòu)建一個健全、高效的銀行信息安全管理體系。
3.1 建設(shè)信息安全管理技術(shù)體系
在整個銀行信息安全管理體系建設(shè)中,先進的技術(shù)是其中最為重要的部分,運用先進的信息技術(shù)能夠有效避免出現(xiàn)安全事件。我們使用較多的信息技術(shù)有身份識別、系統(tǒng)防火墻、防病毒技術(shù)等,同時也可以使用漏洞掃描、邊界防護等技術(shù),通過多種安全防護技術(shù)來加強信息安全管理。
在使用防火墻技術(shù)時通常是將其設(shè)置在網(wǎng)絡(luò)的邊界上,以此對外界進行隔離,對信息安全管理系統(tǒng)進行安全強化[5]。病毒是信息網(wǎng)絡(luò)中最為常見的安全問題,如果出現(xiàn)網(wǎng)絡(luò)病毒將給銀行帶來巨大的經(jīng)濟損失,這個時候我們就需要對重要文件進行實時備份,并且及時更新病毒數(shù)據(jù)庫。此外,在信息安全管理系統(tǒng)中充分應(yīng)用身份識別技術(shù),即用戶在登陸系統(tǒng)提交信息后,系統(tǒng)將嚴格識別操作者的身份,必要時會控制操作者的操作活動。
3.2 建設(shè)信息安全管理體系
所謂“三分技術(shù)七分管理”,銀行信息安全管理體系中的管理體系起到控制各種活動的作用。首先設(shè)置文檔化的管理體系,它包括制度建設(shè)與人員管理兩個部分。從銀行的制度、政策、操作流程等多個方面進行監(jiān)督,對各個角色在信息系統(tǒng)中的活動進行監(jiān)控。在信息安全管理系統(tǒng)中制定科學(xué)完備的管理制度,可以為信息安全提供基本保障,各大銀行都應(yīng)該積極制定并完善自身的信息安全管理制度,如制定并按時更新《信息安全管理辦法》等,切實保障信息系統(tǒng)的安全運行。
信息安全管理系統(tǒng)的重要職責(zé)就是對操作人員進行管理,在人才選拔過程中應(yīng)該嚴格按照銀行的聘用制度操作,不能單靠關(guān)系。在用人方面應(yīng)該對員工的行為進行嚴格監(jiān)督,加強員工的安全意識培訓(xùn),避免由于員工的疏忽、私欲等導(dǎo)致銀行信息系統(tǒng)被破壞。同時建立科學(xué)合理的銀行人事任用制度,保證內(nèi)部員工能夠按照相關(guān)規(guī)范完成信息系統(tǒng)的管理工作,并及時讓技術(shù)人員掌握最新的技術(shù)。通過建設(shè)信息安全管理體系,讓銀行運行過程中的各項程序、日常維護、監(jiān)控等操作符合規(guī)范,以此保障信息系統(tǒng)的穩(wěn)定可靠運行。
為了提高銀行信息系統(tǒng)的安全性,管理人員也需要對已經(jīng)識別的安全信息進行正確應(yīng)用,定期檢測系統(tǒng)中的安全事件并及時解決,實時監(jiān)視信息安全管理系統(tǒng)的運行情況,查看技術(shù)以及管理方面的控制措施是否合理。對信息系統(tǒng)的監(jiān)控是一個長期的過程,監(jiān)控的過程應(yīng)該密切聯(lián)系信息系統(tǒng)的周期,監(jiān)控程序應(yīng)該能夠?qū)εc安全相關(guān)的結(jié)果進行改進,以提高信息系統(tǒng)的安全性。通過信息安全管理系統(tǒng)的構(gòu)建,讓銀行業(yè)務(wù)數(shù)據(jù)的完整性、準確性與真實性得以保障;讓信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及其它應(yīng)用系統(tǒng)的安全性得以保障;讓與信息系統(tǒng)相關(guān)的設(shè)備、環(huán)境與存儲介質(zhì)的安全性得以保障。
4.結(jié)語
銀行在應(yīng)用先進信息技術(shù)提高銀行工作效率并方便大眾的同時,也應(yīng)該加強對信息安全的管理,從技術(shù)和管理層面構(gòu)建完善、高效的信息安全管理體系,避免重要信息的泄露,以此有效降低安全事故的發(fā)生率,營造良好安全的銀行服務(wù)環(huán)境。
參考文獻
[1]趙小東.數(shù)據(jù)集中模式下銀行業(yè)信息系統(tǒng)災(zāi)備體系的研究與應(yīng)用[D].山西財經(jīng)大學(xué),2011.
[2]王陽.基于IS027001的風(fēng)險評估系統(tǒng)的設(shè)計與實現(xiàn)[D].大連理工大學(xué),2010.
[3]王令朝.創(chuàng)建鐵路信息安全管理及其標準體系的探討[J].鐵道技術(shù)監(jiān)督,2010,38(07).
[4]石磊.金融業(yè)信息安全風(fēng)險評估存在的問題及對策[J].中國金融電腦,2011,10(02).
【關(guān)鍵詞】信息管理;電力變電;安全性
一、信息管理與電力信息化概述
1.信息管理概念
信息管理是實現(xiàn)組織目標、滿足組織要求、解決組織環(huán)境問題而開發(fā)、規(guī)劃、集成、控制、利用信息資源,以提高信息利用率,使信息效用價值最大化的一種實現(xiàn)的一種戰(zhàn)略管理。
2.電力信息化
電力企業(yè)信息化建設(shè)更趨向于科學(xué)性、實用性、安全性以及效益性,電力企業(yè)開發(fā)了一系列企業(yè)管理和經(jīng)濟運行有關(guān)的應(yīng)用系統(tǒng),目的在于提高生產(chǎn)和管理效益以及信息系統(tǒng)的實際使用效果。電能可以瞬間完成發(fā)電、輸電、配電直到用電,電力的生產(chǎn)和使用具有連續(xù)性、等量以及同時的特點,要想確保電力的安全生產(chǎn)以及資源的合理配置生產(chǎn),必須要根據(jù)調(diào)度指令對電力系統(tǒng)的所有環(huán)節(jié)瞬時作出反應(yīng),電力系統(tǒng)的控制中心、調(diào)度中心要同時對發(fā)電、配電、輸電以及用電的各種數(shù)據(jù)進行全面掌握,并及時地分析、調(diào)度和處理,對生產(chǎn)運行進行科學(xué)的安排,要及時的處理大而廣、紛繁復(fù)雜的信息量,這使得信息處理工作面臨著一定的挑戰(zhàn)。而信息管理技術(shù)的出現(xiàn)正好為信息的處理帶來了極大的便利,它結(jié)合了GIS技術(shù),能實現(xiàn)多源數(shù)據(jù)的迅速整合,便于電力系統(tǒng)的信息化管理,可以綜合管理大量的屬性數(shù)據(jù)和地理信息數(shù)據(jù),可以為經(jīng)營管理提供科學(xué)的決策支持以及現(xiàn)代化的管理手段,結(jié)合了網(wǎng)絡(luò)技術(shù),更有利于提高信息的共享程度,促進信息管理系統(tǒng)實現(xiàn)電力信息的共享,有利于電力系統(tǒng)信息管理更加的透明。電力系統(tǒng)涉及到了十分廣泛的地理區(qū)域,需要多個部門對同一圖層進行編輯,傳統(tǒng)的GIS圖層數(shù)據(jù)不支持多用并發(fā)操作,只適合單用戶使用,它采用的是文件格式,采用文件服務(wù)器的方式來共享圖層,若不進行特殊處理,多用戶同時更新同一圖層文件時就會發(fā)生沖突。而新型的ORDBMS技術(shù)可以彌補這一缺陷,不會發(fā)生共享沖突,它采用的是面向?qū)ο蟮臄?shù)據(jù)庫技術(shù),可以集中式管理地理屬性數(shù)據(jù)和信息空間數(shù)據(jù),支持版本管理以及并發(fā)操作,還支持完全數(shù)據(jù)庫存儲模式,能夠解決數(shù)據(jù)安全機制、存儲管理大量的數(shù)據(jù)、數(shù)據(jù)完整性以及多用戶編輯等方面的問題。
二、電力變電運行中運用信息管理的優(yōu)勢
1.先進性和開放性
數(shù)據(jù)倉庫技術(shù)使數(shù)據(jù)有了更加廣泛的來源,便于使用,方便與MIS等系統(tǒng)接口,系統(tǒng)的構(gòu)造和Internet模式進行了結(jié)合,應(yīng)有前景良好。
2.實用性強
信息管理技術(shù)有利于變電運行中二次部分各類數(shù)據(jù)源的共享和使用,尤其是對于變電保護技術(shù)工作人員來說,有利于提高系統(tǒng)分析和數(shù)據(jù)統(tǒng)計的工作效率,有利于提高保護運行水平。
3.可靠性高,易于維護和升級
方法庫和數(shù)據(jù)倉庫的采用使得整個信息管理系統(tǒng)運行集中于網(wǎng)絡(luò)中心規(guī)則庫和數(shù)據(jù)庫,不再在各級用戶之間分散可靠性,即使其中一個客戶的工作站突然損壞了,也不會對系統(tǒng)其他部分的性能造成影響,并且很容易恢復(fù),軟件開發(fā)人員只需改變方法庫就可以進行升級換代,既方便又快捷。
三、電力變電運行中采用的安全策略
1.安全技術(shù)策略
為了確保信息的安全,采取的必不可少的安全技術(shù)措施有:1)病毒防護技術(shù)。應(yīng)該建立健全管理制度,統(tǒng)一管理計算機病毒庫的升級分發(fā)以及病毒的預(yù)防、檢測等環(huán)節(jié),應(yīng)該采取全面的防病毒策略應(yīng)用于信息系統(tǒng)的各個環(huán)節(jié),有效的防治和避免受到病毒的侵害;2)防火墻技術(shù)。防火墻技術(shù)主要用于隔離信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò),它的檢查方式是通過單一集中的安全檢查點,強制實施安全策略來實現(xiàn),避免非法存取和訪問重要的信息資源;3)數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)必須制定數(shù)據(jù)備份策略,定期對數(shù)據(jù)庫進行備份,按照重要程度劃分數(shù)據(jù)備份等級,建立企業(yè)數(shù)據(jù)備份中心,采用災(zāi)難恢復(fù)技術(shù)來備份應(yīng)用系統(tǒng)以及關(guān)鍵業(yè)務(wù)的數(shù)據(jù),并制定詳細的數(shù)據(jù)庫故障恢復(fù)預(yù)案以及應(yīng)用數(shù)據(jù)庫備份,并定期的進行預(yù)演,以防止在數(shù)據(jù)遭到破壞或是系統(tǒng)崩潰時能夠及時的修復(fù),從而使信息系統(tǒng)具有更好的可靠性和可用性;4)安全審計技術(shù)。在系統(tǒng)規(guī)模的不斷擴大以及安全設(shè)施不斷完善的背景下,電氣企業(yè)應(yīng)該引進集中智能的安全審計系統(tǒng),采取行之有效的技術(shù)手段來自動統(tǒng)一審計網(wǎng)絡(luò)設(shè)備日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、操作系統(tǒng)運行日志以及安全設(shè)施運行日志等,迅速自動的對系統(tǒng)安全事件進行分析,安全管理系統(tǒng)的運行。另外建立信息安全身份認證體系以及虛擬局域網(wǎng)技術(shù)也十分重要。
2.組織管理策略
組織管理措施以及技術(shù)措施統(tǒng)一在信息安全的范疇之內(nèi),由于管理方面的原因為造成的計算機安全事件的比重達到了70%以上,所以應(yīng)采取必要的組織管理策略:1)安全策略和制度。電氣企業(yè)應(yīng)該制定相關(guān)的政策方針來指導(dǎo)企業(yè)整體的信息安全工作,只有制定統(tǒng)一的、具有指導(dǎo)性的安全策略和制度才能有效的衡量信息的安全,才能形成安全的防護體系以及遵循信息安全制度,只有制定有效的安全策略和制度,才能實現(xiàn)具體化、形式化的法律管理,才能將法規(guī)與管理聯(lián)系在一起,確保信息的安全。2)安全意識和安全技能。電氣企業(yè)應(yīng)該組織員工進行培訓(xùn),普及他們的安全知識,強化職工的安全意識,使他們具備安全防范意識并具備基本的安全技能,能夠處理常見的安全問題。通過安全培訓(xùn)來提高職工的安全操作技能,再結(jié)合第三方安全技術(shù)和產(chǎn)品來提升信息安全保障;3)安全組織和崗位。本著保障企業(yè)信息安全的目的,電氣企業(yè)應(yīng)該設(shè)立獨立的信息安全部門來管理企業(yè)信息的安全,實行“統(tǒng)一組織、分散管理”的方式來使信息安全部門全面負責(zé)企業(yè)的信息安全管理和維護。安全崗位是是根據(jù)系統(tǒng)安全需要設(shè)立的信息系統(tǒng)安全管理機構(gòu),這個職位主要負責(zé)某一個或是幾個安全事務(wù),在全企業(yè)形成專門的信息安全管理工作,使各個信息技術(shù)部門也能配合和推行信息安全工作。
參考文獻
[1]覃郁培.信息管理技術(shù)在電力變電運行中的應(yīng)用[J].民營科技,2010,(8)
“互聯(lián)網(wǎng)+”對農(nóng)業(yè)的重構(gòu)就是通過信息流打通物質(zhì)、資金、技術(shù)、物流等各個環(huán)節(jié),使之形成一個完善的農(nóng)業(yè)互聯(lián)網(wǎng)生態(tài)圈。這一生態(tài)圈中的每一個環(huán)節(jié)都建立在信息化基礎(chǔ)上,每一步都面臨著信息化安全的挑戰(zhàn)。
數(shù)字證書比較常見。我們登錄網(wǎng)銀的方式就是通過USBKey中的數(shù)字證書驗證身份信息。此外,還有很多金融機構(gòu)通過電子簽名、指紋、聲音、影像等方式進行身份驗證。數(shù)字證書在確保安全的同時,也為無紙化辦公做出了部分貢獻。
現(xiàn)代物流通常都是電子記錄,這就對信息安全提出了巨大的挑戰(zhàn)。很多不法之徒可以入侵系統(tǒng),隨意篡改貨物信息,使貨主或者運輸公司蒙受損失。為了確保貨物運輸過程中的安全,貨運和物流公司等企業(yè)要提高信息安全意識。
O2O教育生態(tài)圈已經(jīng)悄然形成,我們可以從網(wǎng)絡(luò)上獲得更多的教育資源,但教育資源的安全問題也隨之浮現(xiàn)出來。有些付費教育資源可能被盜或者被植入惡意軟件,這對投資人和用戶來說都是非常頭疼的問題。
傳統(tǒng)工業(yè)生產(chǎn)中,工業(yè)機器人僅僅是按照既有程序執(zhí)行生產(chǎn)任務(wù),發(fā)生事故的概率非常小。但是隨著互聯(lián)網(wǎng)的介入,工業(yè)機器人有可能會受到更多來自于外界的干擾。
隨著云計算、大數(shù)據(jù)等先進信息技術(shù)的廣泛應(yīng)用,醫(yī)療技術(shù)和患者就診信息等這些資料很有可能被不懷好意的人竊取利用。同時,醫(yī)療隱私問題很有可能成為醫(yī)患之間新的矛盾激發(fā)點。
設(shè)計師們的精心設(shè)計可能隨時被一些人盜取或者篡改。輕則毀了設(shè)計稿,重則造成危險事故。給這些設(shè)計加把“鎖”,讓設(shè)計師們可以在設(shè)計完成之后安心入睡。
很多設(shè)備都能幫助我們管理自己的健康,但是可能多數(shù)人并沒有去想這些檢測數(shù)據(jù)存放在哪里。在哪里?沒錯,又是云端。我的個人隱私數(shù)據(jù)呀,為什么都在云端。誰為它們的安全埋單?
在體驗互聯(lián)網(wǎng)購物便利性的同時,誰能確??蛻舻挠唵尾槐浑S意刪除和篡改呢?這不僅關(guān)乎電商的信譽,也會為電商和客戶帶來經(jīng)濟損失。還是為信譽和財務(wù)安全買份保險吧。
互聯(lián)網(wǎng)旅游是個很敏感的話題,大家應(yīng)該都還記得某些知名旅游網(wǎng)站信息泄露事件吧。這個雖然和某些“查開房”軟件有所不同,但個人信息泄露造成的影響也確實產(chǎn)生了一定的轟動效應(yīng)。不論是網(wǎng)站被惡意攻擊,還是技術(shù)故障,請為用戶多負責(zé)一些。
通信技術(shù)的飛速發(fā)展造就了物聯(lián)網(wǎng),家電、家居廠商也借著這股東風(fēng)躋身于智能家居這個市場。當某一條惡意程序通過互聯(lián)網(wǎng)輸送給一些智能家具時,惡作劇或者惡性事件也可能就會發(fā)生。該怎么辦?安全接入解決方案正是預(yù)防此類事件的好幫手。
民以食為天,我們暫且以餐飲業(yè)為例。電子菜單、電子賬單,以及全程電子化的配送流程,這些新技術(shù)和溝通手段極大地方便了用戶和服務(wù)人員。如果,其中一個環(huán)節(jié)出現(xiàn)信息安全紕漏,最為直接的問題就是肚子餓了,菜還沒到。
12月28日,筆者耗費了3個小時在回家的路上?;蛟S是車輛多的緣故,但如果交通管理能夠起到作用,結(jié)果大概就不一樣了吧。智能化的交通管理取決于很多因素,但其中一定要盡量保證不被人隨意入侵和篡改。造成惡通事故的某些橋段希望只是出現(xiàn)在電影中。
能源是一種資源,中國人均資源占有率很低,因此我們需要積極開發(fā)和利用新能源。不過,當想象這些新能源的控制設(shè)備與互聯(lián)網(wǎng)連接在一起時,我突然想到了“震網(wǎng)”事件。它沒有引發(fā)人員和環(huán)境災(zāi)害已經(jīng)實屬難得。斷絕網(wǎng)絡(luò)連接就能做到萬無一失嗎?
虛假新聞、虛假信息,媒體要做的就是辟謠,去偽存真。但是隨著互聯(lián)網(wǎng)等新媒體的發(fā)展,信息來源的真?zhèn)闻卸ㄒ呀?jīng)成為令人頭痛的問題,更別說新聞信息被篡改。媒體人實在是沒有過多的精力去預(yù)防那些放置于云端的新聞資料被篡改。來為我們媒體人減負吧。
關(guān)鍵詞:電力制造企業(yè);計算機網(wǎng)絡(luò);安全
一、安全風(fēng)險分析
電力制造企業(yè)計算機網(wǎng)絡(luò)一般都會將生產(chǎn)控制系統(tǒng)和管理信息系統(tǒng)絕對分隔開來,以避免外來因素對生產(chǎn)系統(tǒng)造成損害,在生產(chǎn)控制系統(tǒng)中常見的風(fēng)險一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風(fēng)險種類比較多,通??梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風(fēng)險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒(濫用授權(quán))、電源中斷、通信中斷、軟硬件故障、計算機病毒(惡意代碼)等,上述風(fēng)險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤,使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人言論等風(fēng)險,會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風(fēng)險的種類多、受到攻擊的可能性較大,因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。當需要數(shù)據(jù)傳輸時必須利用專用的通信線路和單向傳輸方式,一般采用防火墻或?qū)S酶綦x裝置。
二、安全需求分析
一般電力制造企業(yè)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人三方面著手,其中安全策略足安全系統(tǒng)的核心,直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性(包括教育培訓(xùn)和管理制度),定置好的安全策略將成為企業(yè)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié),必須引起發(fā)電企業(yè)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒(包括惡意代碼)通過各種形式對網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞,是抵御外部集團式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具,是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準確性的基本保障,需要兼顧成本和實效。安全的人員是企業(yè)經(jīng)營鏈中的細胞,既可以成為良性資產(chǎn)又可能成為主要的威脅,也可以使安全穩(wěn)固又可能非法訪問和泄密,需要加強教育和制度約束。
三、安全思想和原則
電力制造企業(yè)信息安全的主要目標一般可以綜述為:注重“電力生產(chǎn)”的企業(yè)使命,一切為生產(chǎn)經(jīng)營服務(wù);服從“集約化管理”的企業(yè)戰(zhàn)略,樹立集團平臺理念;保證“信息化長效機制和體制”,保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾。保證系統(tǒng)安全事件(計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等)不發(fā)生,保證敏感信息不外露,保障意外事件及時響應(yīng)與及時恢復(fù),數(shù)據(jù)不丟失。(1)先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素,它們是設(shè)計信息安全方案所必須考慮的,是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機制,集成先進的安全技術(shù),形成全方位的安全系統(tǒng)。(2)嚴格的安全管理是確保安全策略落實的基礎(chǔ)。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法,加強內(nèi)部管理,建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度,加強培訓(xùn)和用戶管理,加強安全審計和跟蹤體系,提高人員對整體網(wǎng)絡(luò)安全意識。(3)嚴格的法律法規(guī)是網(wǎng)絡(luò)安全保障堅強的后盾。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī),加強安全教育和宣傳,嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律。對網(wǎng)絡(luò)犯罪嚴懲不貸。
四、安全策略與方法
1、物理安全策略和方法。
物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路的設(shè)計,包括建設(shè)符合標準的中心機房,提供冗余電力供應(yīng)和防靜電、防火等設(shè)施,免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊行為。還要建立完備的機房安全管理制度,防止非法人員進入機房進行偷竊和破壞活動等,并妥善保管備份磁帶和文檔資料:要建立設(shè)備訪問控制,其作用是通過維護訪問到表以及可審查性,驗證用戶的身份和權(quán)限,防止和控制越權(quán)操作。
2、訪問控制策略和方法。
網(wǎng)絡(luò)安全的目的是將企業(yè)信息資源分層次和等級進行保護,主要是根據(jù)業(yè)務(wù)功能、信息保密級別、安全等級等要求的差異將網(wǎng)絡(luò)進行編址與分段隔離,由此可以將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi),提高網(wǎng)絡(luò)的整體安全水平,目前路由器、虛擬局域網(wǎng)VL心、防火墻是當前主要的網(wǎng)絡(luò)分段的主要手段。而訪問管理控制是限制系統(tǒng)內(nèi)資源的分等級和層次使用,是防止非法訪問的第一道防線。訪問控制主要手段是身份認證,以用戶名和密碼的驗證為主,必要時可將密碼技術(shù)和安全管理中心結(jié)合起來,實現(xiàn)多重防護體系,防止內(nèi)容非法泄漏,保證應(yīng)用環(huán)境安全、應(yīng)用區(qū)域邊界安全和網(wǎng)絡(luò)通信安全。
3、開放的網(wǎng)絡(luò)服務(wù)策略和方法。
Internet安全策略是既利用廣泛、快捷的網(wǎng)絡(luò)信息資源,又保護自己不遭受外部攻擊。主要方法是注重接入技術(shù),利用防火墻來構(gòu)建堅固的大門,同時對Web服務(wù)和FTP服務(wù)采取積極審查的態(tài)度,更要強化內(nèi)部網(wǎng)絡(luò)用戶的責(zé)任感和守約,必要時增加審計手段。
4、電子郵件安全策略和方法。
電子郵件策略主要是針對郵件的使用規(guī)則、郵件的管理以及保密環(huán)境中電子郵件的使用制定的。針對目前利用電子郵件犯罪的事件和垃圾郵件泛濫現(xiàn)象越來越多,迫使防范技術(shù)快速發(fā)展,電力制造企業(yè)可以在電子郵件安全方案加大投入或委托專業(yè)公司進行。
5、網(wǎng)絡(luò)反病毒策略和方法。
每個電力制造企業(yè)為了處理計算機病毒感染事件,都要消耗大量的時間和精力,而且還會造成一些無法挽回的損失,必須制定反計算機病毒的策略。目前反病毒技術(shù)已由掃描、檢查、殺毒發(fā)展到了到實時監(jiān)控,并且針對特殊的應(yīng)用服務(wù)還出現(xiàn)了相應(yīng)的防毒系統(tǒng),如網(wǎng)關(guān)型病毒防火墻以及郵件反病毒系統(tǒng)等。
目前,計算機網(wǎng)絡(luò)與信息安全已經(jīng)被納入電力制造企業(yè)的安全生產(chǎn)管理體系中,并根據(jù)“誰主管、誰負責(zé)、聯(lián)合保護、協(xié)調(diào)處置”的原則,實行“安全第一、預(yù)防為主、管理與技術(shù)并重、綜合防范”的方針,在建立健全電力制造企業(yè)內(nèi)部信息安全組織體系的同時,制定完善的信息安全管理措施,建立從上而下的信息安全培訓(xùn)體系,根據(jù)科學(xué)的網(wǎng)絡(luò)安全策略,采用適合的安全產(chǎn)品,確保各項電力應(yīng)用系統(tǒng)和控制系統(tǒng)能夠安全穩(wěn)定的運行,為電力制造企業(yè)創(chuàng)造新業(yè)績鋪路架橋。
參考文獻