安全网络论文范文第1篇
关键词:网络金融;风险控制;虚拟交易
引言
网络金融的发展和操作的便捷建议是分不开的,也是大环境下信息技术空前普及的结果。而网络金融发展了普遍了也同样会产生更多的觊觎,从而导致更多的风险发生。在之前的发展期内并非没有问题,而是发展掩盖了问题的存在。现在的网络金融已经面临着多方面的风险挑战,从各个角度威胁着其健康的发展。如果没有比较合理的防控机制,那么必然是很难完全做到卓有成效的应用的。
1.网络金融安全分析
网络金融一般而言包括网络银行、证券、期货以及支付结算等业务,总体而言因为借助互联网作为平台进行金融业务,因而被称为网络金融。
网络金融的进行都是依靠互联网上的电子数据进行传输,因此具有结构简单和快捷方便的优点,而依靠电子信息传输这个特点,也成为了风险高发的原因之一。
金融业本身就是高风险的行业,由于本身的变幻不定以及需要足够的信用作为保证,再加上一般各个方面之间的资金网络互相连通,一个方面出现问题往往牵扯到整个资金链,从而导致风险爆发的严重后果。而网络金融除了上述的一般特点之外,还有自身的弱点,那就是其通道和联系都是建立在电子数据方面的,这方面相对于一般的资金融通,更容易出现信用危机(因为不容易追责),而更加快速的资金流动和不稳定的网络状况,也进一步给了破坏者可乘之机。高技术条件下的网络金融一方面提高了技术门槛,另一方面也给了更有技术的人进行投机行为的空间。而金融活动本身就是有一定的债务风险,一旦连续出现断裂和坏账的情况(网络金融环境下更容易出现,由于违法成本更低),也必然的会给操作者难以承受的后果[1]。
2.网络金融风险的主要类别
2.1计算机硬件方面的风险。硬件方面是指一般性的计算机硬件性能,现阶段由于网络信息化技术的高速发展,计算机硬件的更新换代也非常的频繁,往往为了能够运转新开发的软件导致不过几年前的硬件淘汰过时。而现在进行网络金融操作的计算机理论上基本合理运转的比较多,但是比较陈旧的也不少,硬件的不过关可能导致金融软件的运行不畅,从而增加危险。而且当计算机一旦发生故障,就可以导致正在进行的网络金融活动瞬间中断,乃至于出现可能被他人利用的可乘之机,而且突然地中断对于业务而言可以说是非常大的损失了,因此也是不可能不谨慎对待的问题。
2.2计算机软件方面的风险。网络金融也是需要依靠一定的金融软件进行操作的,而软件本身就是存在可能被利用的漏洞的(这个是天然缺陷,不可能完全避免,只不过或多或少而已)。对于金融软件而言,一方面对于操作者的技术要求有了一定的限定,另一方面,对于信息技术的高手来说,对其进行攻击和破坏也总能找到相应的方法。而其所依托的计算机系统,本身也具有一定的不稳定性,系统一旦受到攻击,那么就非常容易导致所有的软件的损坏[2]。更何况运行过程之中本身就处于一个不断的克服软件风险的过程中,一旦运行中发生数据错误,那么也会带来不可估量的伤害。对于网络金融而言,软件方面可能的风险,还要更大。
2.3网络情况方面的风险。网络金融需要依靠互联网,而互联网本身是全球联通的,也就是说这样的数据即使经过加密,也完全可能被有心人搞得到,更何况全球性也注定了危险可能来自四面八方,是注定的防不胜防。在交易和结算方面,因为完全依靠电子数据传输,其覆盖面和风险比较大,而正因为网络环境的不稳定性和安全脆弱性,也容易由于范围过于广泛而受到损害,而这样的结果必然是牵一发而动全身,造成大片区域的问题。
对于网络风险而言,传染性的网络病毒和特定的网络攻击都是很难完全抵挡得住的,对于这些东西而言,网络安全措施往往只是道高一尺魔高一丈,被动得难以完全抗衡。因此,在网络金融风险方面,网络风险为其中最容易出现状况的一环。
2.4交易操作的风险。由于网络金融的交易和操作都在网上进行,因而其本身的存在具有一定程度的虚拟性。虚拟下的操作不容易进行更好的追责,从而降低了信用违法的成本。在网络金融中的许多风险案例中,信用危机都是其中非常重要的一环,对于金融业而言,信用环节一旦有问题就是全面的崩盘。网络虚拟环境下双方身份不够透明,信息交换程度更不对称,因此优势方一旦出现信用问题,对方往往根本没有反应和追究的机会,即使能够做到,也一般只能承受更大的损失(敢于信用违约,自然是看到了违约的损失小于其收益而已)。
3.针对网络金融安全进行风险控制
3.1完善立法,加强政策调控。网络金融风险之所以屡屡出现人为因素,主要还是钻法律的空子,针对在这方面没有明确的规定,而地方有部分规定又不能统一的状况。所以必须要完善法律对于网络金融安全的规定,制定健全和统一的法律规范,来完善网络金融参与者们明确的权力和义务,保证对于责任的判定能够切实的执行。
同时应当适当的引入政策的调控,固然政策多变,而且政治调控多了也影响正常运行。但是在规范化没有完全建立起来的阶段下,适当的进行政策调控,对于网络金融秩序的保障,也未必没有好处。
3.2改进技术,防控信息技术漏洞。同样针对网络和软件方面的风险,则是需要进行比较完善的技术改造,来避免过于频繁的遭受侵害。而硬件方面,则是需要尽快的进行更新换代,保证技术的及时更新,虽然不一定能够完全避免网络风险的发生,但是对于风险的控制和抵御还是有很大的作用的。
对于技术漏洞的填补一般而言都是亡羊补牢,但是补上总比不补强,完善已经出现问题防御,自然就是为了避免在已有的风险上再次出错,能够有这样的弥补,也在一定程度上可以远离大部分问题了[3]。
3.3建立完善的内部监控体系,增强自身责任意识。很多企业出现网络金融风险问题都是由于自身的内部风险管理方式不稳定,也没有很好的防控措施。因此在进行针对建议的时候,必须要考虑操作者自身的问题,只有自己用心去避免,才能够最大程度的规避风险。自身如果连金融操作都频繁失误,那么自己创造的危险都占了多数的情况下,自然更难以面对外部的危险了。
而在企业内部显然需要有针对网络金融风险的管理和监控,需要自身专门的针对,然后配合外部的监控防治体系,才能够在其中取得比较明显的效果。对于操作人员需要进行有效的监督管理来避免问题,也需要培养和强化他们的专业水平,落实责任问题,进而建立起完善的监管体系,才是从自身做起的最好方式。
4.结语
总的来说,由于网络金融安全具有全方位立体化的特征,因此在风险控制方面也必须从各个方面加强防控。通过建立起一套综合的防御网,从各个方面进行自觉地控制和监管,才能够保证网络金融有效的运转。(作者单位:内蒙古工业大学)
参考文献:
[1]隋庶.网络金融对金融生态环境建设影响的探讨[J].电子商务.2013(05).
[2]李凤梅.金融行业网络安全及其控制[J].现代商业,2011(3).
[3]乔立新等.建立网络银行操作风险内部控制系统的策略[J],商业研究,2006(8).
安全网络论文范文第2篇
2、构建网络伦理的多维路径
3、基础教育互联网学习发展水平评估模型构建与应用研究
4、大学生网络道德失范的原因与对策
5、大学生网络行为道德失范的原因及对策
6、论社会主义核心价值观视角下的网络道德建设
7、探析网络时代大学生网络道德现状及对策研究
8、浅析提高大学生网络道德与法律素质的途径
9、从网络道德缺失看新媒体建设
10、自媒体语境下大学生价值观的嬗变、形塑与培育
11、大学生网络道德现状调查
12、论网络信息安全合作的国际规则制定
13、高校网络思想政治教育的对策研究
14、网络环境下的信息伦理道德教育探析
15、网络环境下独立学院思想政治教育刍议
16、青少年网络道德现状及对策
17、初中信息技术教学对学生网络道德的培养
18、优秀传统文化网络传承与发展研究
19、网络环境下德育工作创新研究
20、专业技术类课程思政探索与实践
21、互联网对青少年道德品质建设的负面影响及思考
22、思想政治教育视角下大学生网络道德教育探析
23、《网络与道德》教学案例
24、“慎独”精神与大学生网络道德养成
25、论大学生网络道德自律的培养
26、网络道德的意识形态功能论析
27、论网络生活中的道德规范
28、企业信息安全法律治理
29、网络道德失范下高校思想道德教育的新思路
30、新媒体视角下引导大学生网络道德养成教育途径探究
31、网络虚拟环境下大学生自我教育方法研究
32、青少年网络道德失范的原因与对策研究
33、网民道德失范的审视与引导
34、论大学生网络道德教育
35、网络知识产权保护体系存在问题及对策研究
36、青年学生网络道德教育的思考
37、善治生态视域下的网络舆论治理研究
38、网络文化对公民道德有何影响
39、大学生网络道德失范与应对措施研究
40、大学生网络行为的正确引导与教育
41、当代大学生的网络道德原则
42、加强小学生网络道德教育之我见
43、面向政治安全的网络谣言风险分析与防范策略研究
44、网络条件下的道德建设:问题与对策
45、透视网络伦理的危机及其对策
46、网络安全与网络道德的思考
47、信息技术课堂中渗透网络道德教育方法谈
48、网络直播的社会责任研究
49、大学生网络道德的培育与实践
安全网络论文范文第3篇
摘 要: 随着互联网时代的不断发展和进步,我国电力信息系统的安全运行直接关系到国民经济的上涨和人民群众的日常生活。基于大数据下电力信息系统网络安全分析极为重要,由于网络自由以及不确定性会给电力信息系统带来安全漏洞。目前,大数据下的电力信息网络系统的建立需要对安全着重考虑,加强监控系统,保证电力系统的有效运行。本文针对大数据下电力信息系统网络安全风险进行简要分析,同时探讨了电力信息系统网络安全的有效措施,保证电力系统的有效运行,为人们带来便利。以下讨论仅供参考。
关键词: 大数据;电力;信息系统;网络安全;分析
电力系统信息网络安全的建立是保证电力系统在正常运行的前提下,提升电力信息运行的安全,满足我国电力系统对运行管理安全的根本需求。在大数据下,电力信息系统网络安全中需要重视电力信息的安全性。积极引进国外先进的信息安全技术和经验,结合自身实际情况,不断完善电力信息系统的网络安全体系,在一定程度上保证我国电力信息系统的安全、高效、稳定运行。
一、电力信息系统网络安全风险分析
(1)管理过程中存在的安全风险。在电力信息系统网络管理过程中存在着安全风险。其一,网络管理人员影响了安全。管理作为建立信息系统网络安全的根本,好的安全管理对人有严格的约束,电力企业的发展离不开良好的管理。现如今,我国电力信息系统网络安全管理人员常常忽视了对于网络管理者的控制,没有合理分配,导致管理者及其使用者随意出入机房。管理人员的电力信息系统网络安全管理的意识较为淡薄,同时没有建立健全的管理制度进行约束,进而影响网络的安全有效运行。其二,网络使用者在使用过程中随意将自己账号转借他人,甚至将内网计算机加密信息放置在外网上,形成网络安全问题。一系列的监管出现漏洞,造成电力企业的电力信息系统网络安全形同虚设,无法起到真正的作用。
(2)计算机病毒。在大数据环境下,电力信息系统存在网络中,其计算机病毒有强大的破坏力。同时,它又作为可执行的代码。现如今,我国计算机病毒传染的方式较多,通过软盘、光盘、U盘、硬盘以及网络等传播方式。我国电力企业网络开启了双网双机的形态,将内网和互联网进行有效隔离阻止病毒的传播。如果出现病毒的移动存储介质在多台计算机上使用,就会导致病毒像流感一样在网络信息系统中传染。在互联网信息时代的今天,计算机技术在一定程度上为人们带来了便利,但也带来了计算机病毒。一旦病毒侵入电力信息系统中会导致网络内按指数增长,不断传染遍及各个网络节点,造成电力信息系统网络的阻塞,对各大文件造成破壞。一旦文件受损后无法恢复,特别是电力集团多年积累的重要数据丢失后损失是不可计量的。此外,计算机病毒传播较快、破坏性较强、不易清除,给电力系统造成了严重的威胁。
(3)恶意攻击。在大数据时代下,恶意攻击出现在网络中。同时系统和管理上存在的漏洞,攻击者可以有效观察电力信息系统网络的内部可访问的网络资源,并且有效地连接,登录全部共享资料或者他们相应的口令,再删除电力信息系统重要的信息。恶意攻击对电力企业信息系统带来了直接的危害,造成了严重的损失。恶意攻击主要包含拒绝服务攻击、缓冲区溢出攻击。
(4)人为操作出现失误。电力信息系统网络出现不安全除了技术的原因,还有用户和管理员的问题。由于信息管理员针对各项服务器、软件、网络设备的配置不当,造成了安全漏洞。同时,使用者无意识地操作导致网络或者服务系统中断,无法找到相应的故障点,给电力信息系统的正常运行带来了极大的威胁。
二、大数据下电力信息系统网络安全的防范策略
(1)加强安全管理。在大数据的环境下,对于电力信息系统的网络安全需要加强管理,建立健全的网络安全制度,构建电力企业网络安全管理机构。通过对各项安全指标的要求,有序开展电力信息系统网络安全工作。加大对系统和网络规范化的运营,有效监督电力信息系统的运行情况。其次,需要加强对于电力企业内部员工的电力信息系统网络安全教育的培训,加强员工的安全防范意识。针对性地开展信息网络安全相关法律法规知识的培训,促使员工、管理者养成良好使用计算机的习惯。不将工作以外的存储介质在单位计算机上使用,杜绝在电脑上安装各类软件或游戏,合理设置屏幕保护密码,定期对电力信息系统中重要的文件进行备份,提高全体的信息安全意识。保证电力信息系统的有效安全运行,促进电力企业的健康发展。
(2)有效预防外部的恶意攻击。对外部的恶意攻击,首先需要关闭不必要的端口服务,一旦发现系统出现漏洞时需要立即进行修补,防止系统遭到恶意的破坏。及时关闭计算机以及服务器系统闲置和存在危险的端口及服务,杜绝黑客通过端口和服务入侵破坏。其次,设置防火墙和入侵检测系统,防火墙是有效阻止恶意攻击的途径。同时入侵检测系统是针对防火墙的一种补充,它可以有效提供主动的网络保护。入侵检测在极大程度上降低了管理,通过多种功能解决了网络总体的安全性。
(3)对计算机病毒的科学防治。对于计算机病毒的危害需要有效的仿制。通过安装防病毒软件,电力企业需要统一部署防病毒系统。将防病毒系统装入企业的计算机和服务器中,保证防病毒软件可以实时监测企业计算机中的数据,进行定期杀毒;其次,对员工的移动存储介质光盘及其网上下载的软件等都需要进行查杀病毒,然后再进行使用。电力企业需要重点保护的计算机系统需要做到专机专盘专人专用,不断规范移动存储介质的使用,涉及重要信息时需要进行加密处理。最后是信息管理人员需要通过虚拟子网的划分来预防病毒的扩散,保证网络的安全性。由于虚拟子网不能直接互访,保证网络的安全。一旦出现病毒时,它的威胁仅限于本网段的计算机,而不能对计算机的病毒造成蔓延,无法影响到电力信息系统的整个网络。
三、结语
综上所述,电力企业需要重视电力信息系统网络的安全,促进电力企业的有序发展。有效管理漏洞,防止恶意攻击和病毒,杜绝人为操作的失误性,加强管理人员的培训,制定完善的安全管理制度,保证电力信息系统网络在安全的情况下运行。总的来说,只有保证电力信息系统网络安全,才能推动电力企业高效健康的发展。
参考文献:
[1]赵川,孙华利,王国平,路学刚.基于大数据的电力信息系统网络安全分析[J].电子设计工程,2019,27(23):148-152.
[2]庄洪杰.大数据时代医院计算机网络信息系统的安全分析[J].中国新通信,2019,21(20):151.
[3]程广宇.大数据时代医院计算机网络信息系统的安全分析[J].信息与电脑(理论版),2019(05):209-210.
安全网络论文范文第4篇
摘要:铁路自身的开放性、地域广泛性使得其更易成为恐怖袭击对象。大数据时代,铁路公安工作被动转主动,打击转预防,网络安全与执法职业能力成为关键,分析铁路网络安全与执法能力需求,对于铁路公安人才培养具有重要意义,也间接对更有力、有效地保障铁路公共安全产生一定的作用。
关键词:铁路公安;网络安全与执法;大数据时代
一、铁路公安网络安全与执法工作背景分析
1.铁路安全特点。铁路运输系统日常乘客运输容量大、系统开放性强,这两个特点造成整个运输系统非常脆弱,而且很难保护。近年来的重复性攻击更是证明了以铁路为主的运输系统,已经成为恐怖袭击极具吸引力的目标。在这种既要求保持其开放性、广泛性、可访问性和可负担性的属性,又要求保护整个铁路运输安全的情况下,铁路安全保卫面临着巨大挑战。
2.大数据时代对铁路网络安全与执法工作影响。大数据的出现给公安工作带来了机遇,也必然给公安工作带来新的挑战。数据量大、数据多样化、数据价值密度较低且处理时效性要求高的特征,使得必须通过全面采集、整合、处理、分析、深度挖掘,发现数据的内在规律,才能够为预防、打击犯罪提供支撑,进而推动公安信息化建设。在铁路公安工作中,利用大数据作为提高公安工作效率的重要途径,促进公安信息化深度应用,是铁路公安网络安全与执法工作的一部分。运用得当,则可提升侦查能力,应对针对铁路的高科技犯罪,增强铁路公安情报工作洞察力,达到预防犯罪,维护铁路沿线安全以及社会稳定。
二、鐵路公安网络安全与执法警务工作分析
1.网络安全监察。主要是针对辖区(路局所属各各单位)的信息系统安全措施进行监督、检查、指导,单位使用互联网备案、新建、改建、扩建系统的安全方案备案,重要系统等级保护定级管理等工作。信息系统安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.网络舆情监控。网络舆情监控主要是对互联网公共信息进行巡查、搜索、分析、整理,工作主要目标是论坛、贴吧、微博等互联网公共区域。通过网络巡查,一是加工形成网络舆情信息,提供领导做决策参考,同时会同宣传部门,做好舆情引导工作,对网络舆情焦点适时和适当回应,避免不明真相网民的炒作;二是提取情报信息,为侦察破案提供线索。
3.网络案件侦办。网络案件是指利用计算机信息系统或针对计算机系统实施犯罪的案件。针对当前突出的网络犯罪,公安机关高度重视,网络安全与执法部门对其采用打防结合战术,先后组织开展了一系列打击整治行动,采取境外集中抓捕、重点地区派驻侦查、警银联动联查、技术手段智能拦截、面上防范宣传等措施,取得了良好的成效。
4.电子物证提取。电子物证提取主要包括现勘和远勘两种,需按照公安部相关规范来执行,包括要求、流程和文书填写制作等。现勘指现场勘察,即现场的电子证据保全,包括开机状态下的信息保全和现场电子介质的提取;现场勘察提取的电子物证,交由电子物证实验室使用专用的取证设备,分析查找和案件相关的文档、音视频、邮件、聊天记录等信息;远勘指通过网络远程勘察,通过对已知嫌疑人的虚拟身份情况,远程获取与案件相关的真实身份信息。
5.信息化建设。加强公安信息化建设和应用,是公安机关适应信息社会形势、全面提升警务效能、构建现代警务机制的必然选择,同时改进警务模式、指挥模式和队伍管理模式,不断推进公安工作科学发展的必由之路,代表着公安工作发展的方向。公安机关的信息化建设和深入推进同样是一个持续不断改进的过程,需要根据警务工作内容地不断变化而进行建设。需求的变化、技术的更新,信息化建设过程中设备、软件系统都是有一定生命周期的,且更新换代未来将更加频繁,以最恰当的性价比、最合适的技术架构来实现最有效的信息化建设,这也是目前铁路公安机关网络安全与执法部门的一项重要工作。
三、铁路公安机关网络安全与执法职业能力分析
根据上述铁路公安机关网络安全与执法警务工作内容,铁路公安网络安全与执法工作者须具备的能力主要包括四个方面:开展铁路重要信息系统安全等级保护工作能力、网络舆情监控能力、网络案件侦办能力和电子物证取证能力。具体包括如下几方面:
1.扎实的计算机基础知识。计算机基础知识分软件和硬件方面,软件方面应掌握操作系统原理和各种编程语言的应用,分为应用系统类编程、网站类编程等类别;硬件方面应掌握硬件结构组成和实现原理。
2.宽泛而有一定深度的网络基础知识。网络方面要掌握网络设备(如路由器、三层交换机)的功能、作用和接口模式,有线和无线网络的搭建方式和实现原理,互联网的资源分配和命名原则、三大运营商的资源情况和光纤入户的基本方式,无线WIFI的实现模式。
3.熟练掌握接入互联网的各类操作系统和应用。熟练掌握接入互联网的各类操作系统和应用主要是能够熟练掌握互联网各类系统和应用,掌握常用工具和网站的注册及使用细节,例如微博帐号注册是手机验证还是邮箱验证,不同的论坛或即时通信工具之间账号能否共用、QQ的绿钻、红钻等都适用于什么应用等。
4.了解铁路公安辖区范围内各种重要的信息系统。了解铁路公安辖区范围内各种重要的信息系统主要是要求对辖区的各种重要系统和网站有深度了解,如列车调度系统、客票系统的网络架构、功能、使用范围、数据如何流转存储及在铁路运输生产中的重要性,具备使用工具对重要系统和网站的进行漏洞检查和防护增强的建议能力。
5.具备较高的信息素养。信息对国家和个人都至关重要,网络安全与执法人才应具备相当的信息敏感度及鉴别信息的能力、推动信息实践应用的能力。加强信息意识,主动高效获取信息,学会进行主动思考;同时在实际生活中,能够积极迅速地使用信息解决问题。
6.從事计算机应用工作的能力。要求执法人员具有较强的计算机操作技能,能够熟练地进行网上办公、办案。
7.开展信息网络安全犯罪案件的调查和侦查工作能力。根据网络安全与执法工作要求,该岗位的警务人员需要能够开展信息网络安全犯罪案件的调查和侦查工作的能力,这就要求网络安全与执法人员必须具备一定的侦查学知识以及网络犯罪案件的侦查破案和执法能力。
8.开展信息网络安全管理和执法工作的能力。开展信息网络安全管理和执法工作,要求执法人员具备深厚和宽广的信息网络安全知识和相关操作技能,并且熟知执法相关的法律法规。
9.开展公共信息网络安全防护的能力。正如习近平总书记曾指出的,互联网发展对国家主权、安全、发展利益提出了新的挑战,没有网络安全就没有国家安全。信息网络无处不在的新形势下,网络安全与网络发展相辅相成,网络安全已经成为一个关乎国家安全、国家主权和每一个互联网用户权益的重大问题。具备综合运用多种网络安全手段的能力,才能更好构筑国家网络安全保障体系,维护好国家的安全和人民群众的权益。
10.电子物证取证分析能力。具备计算机犯罪现场保护、现场勘查和对计算机犯罪现场进行正确分析的能力。
11.公安执法人员须具备的其他能力。包括较强的公安工作思维能力、较强的沟通协调和群众工作能力、较强的写作能力和口头表达能力、从事计算机应用工作的能力、运用英语进行日常交流和阅读本专业英文文献的能力、使用武器、警械的技能及其他警务技能等。
四、结语
近年来,我国铁路安全问题凸显,而铁路网络安全与执法工作相对地方起步晚,但新形势下其工作成效对整个铁路公安工作由被动转为主动性、由打击转向预防有关键性的作用,因此,分析铁路公安网络安全与执法能力需求,为公安院校提供培养适合实战需要的人才将具有一定的启示和参考作用,希望能进一步引起大家对铁路网安乃至铁路公安工作更加深入、更加广泛的思考与探索。
参考文献:
[1]张卫东,等.开放式信息安全实验教学模式的改革与创新[J].信息安全与技术,2010,(10):97-99.
[2]靳慧云.地方公安院校网络安全与执法专业建设探究[J].技术研究,2011,(10).
Key words:railway public security;network security and law enforcement personnel;large data age
安全网络论文范文第5篇
关键词 综合监控系统 信息安全技术网络安全 等级保护
工业现场控制系统是石油、轨道交通、电力等国家工业基础设施的核心。该系统一旦遭受网络攻击,可能造成重特大安全事故,引起人员伤亡、环境灾难,危及公共生活及国家安全,因此保障其安全稳定运行具有重大意义[1~2] 。
针对城市轨道交通领域,通过查阅资料发现:国内学者主要关注综合监控系统的安全域的划分,即依据国家信息安全技术信息系统安全等级保护相关标准和指南的要求,给出综合监控系统信息安全技术网络安全等级保护的定级建议以及在定级基础上提出建设目标和较详尽的安全防护方案[3] 。国内学者较少关注FAS 信息安全技术网络安全等级保护。
1城市轨道交通信息安全技术网络安全等级保护定级
1.1综合监控系统
依据《城市轨道交通综合监控系统工程技术规范》(GB/ T 50636—2018),综合监控系统的信息安全应符合现行国家标准《工业控制系统信息安全第1 部分:评估规范》(GB/ T 30976.1)和《工业控制系统信息安全第2 部分:验收规范》(GB/ T 30976.2)的规定,且应按信息系统安全等级保护标准第三级进行设计、工程实施和验收。
据调研,全国城市轨道交通综合监控系统均按照信息系统安全等级保护标准第三级进行建设。
1.2FAS
随着信息安全技术网络安全等级保护进入2.0 时代,城市轨道交通FAS 信息安全技术网络安全渐渐引起了公安部门、测评机构、建设管理方、设计院、集成商等各方关注,成为各方讨论的重要课题。
经过对大连、青岛、西安、南京、合肥、武汉、佛山、长沙、成都、广州等地绝大多数在建和已通车地铁线路调研得知,信息安全技术网络安全设备(软件)廠家和FAS 集成商均反馈FAS 未专门进行信息安全技术网络安全建设。多家第三方信息安全技术网络安全等级保护测评机构反馈未做过FAS 信息安全技术网络安全等级保护测评。
2019 年,大连地铁建设有限公司聘请第三方测评机构(公司)对大连地铁1 号线和2 号线FAS 按照信息系统网络安全等级保护第二级进行等级保护测评。
2020 年8 月,大连地铁建设有限公司组织设计、监理和地铁生产系统总集单位针对大连地铁1 号线和2号线FAS 工业控制信息系统网络安全等级保护整改项目进行探讨,尝试对FAS 按照信息系统网络安全等级保护第二级进行配置,最终主要结论为:(1)未安装主机安全防护软件;(2)根据测评单位专家指导建议,针对系统边界保护、物理机房安全、授权访问机制及管理制度的严格实施,安全风险相对可控;(3)经过与等级保护测评公司沟通后确认,FAS 为网络底层设备,不具备网络数据传输机制,安全风险相对可控,做好系统的基础物理安全、授权访问即可。
2信息安全技术网络安全等级保护的基本要求
2.1综合监控系统
2019 年12 月1 日起实施的《信息安全技术网络安全等级保护基本要求》(GB/ T 22239—2019)指出,等级保护工作进入2.0 时代,信息安全技术网络安全强制执行力度加大,工作内容扩展,等级保护监管范围扩大,新兴场景重点防护的技术要求有所增强。
较等级保护1.0,等级保护2.0 发生了一些变化,主要体现在:(1)名称变化,即等级保护1.0 为《信息安全技术信息系统安全等级保护基本要求》,等级保护2.0 为《信息安全技术网络安全等级保护基本要求》;(2)内容变化,等级保护2.0 新增云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;(3)控制措施变化,等级保护2.0 强调“一个中心三重防护”,即安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;(4)测评标准变化,即等级保护1.0 的最低通过标准为60 分, 等级保护2.0 的最低通过标准为70 分以上,且无高风险项。
2.2FAS
2.2.1FAS 不建议安装主机防护软件
等级保护厂家不建议对系统进行补丁加固和修改,不建议安装主机防护软件。主要原因有:(1)FAS较独立、封闭,通信协议大多为私有协议,而等级保护防护软件一般仅支持标准协议,可能导致防护软件不能识别FAS 通信协议数据包,将会默认数据包丢失,从而造成FAS 通信中断,系统信息安全保护会报故障或者通信连接失败;(2)由于FAS 工作站的操作系统和应用都属于FAS 厂商定制的版本,对系统进行补丁加固和修改存在软件无法兼容、破坏系统完整性、干扰火灾报警信号传输等风险,不满足相关规范要求“在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新”条款。由于目前国内没有在建或已建地铁线FAS 单独专门配置系统信息安全防护设备(软件),此风险又不被大家所熟知和评估,故等级保护厂家一般不建议对系统进行补丁加固和修改,不建议安装主机防护软件;(3)根据网络版主机防护软件使用机制要求,该FAS 终端PC 设备所有网络配置为同一IP 地址,不具备安装网络版主机防护的条件。同时,FAS 为网络底层设备,不连接互联网,也不具备网络数据传输机制,安全风险相对可控,无须设置网络版防护软件。
2.2.2FAS 设备(数据)日志
FAS 较独立、封闭,通信协议大多为私有协议,可能导致FAS 设备日志不能被系统信息安全保护采集,系统信息安全保护无法进行日志审计。此外,FAS 未使用网络层应用,其主机安全服务器无法通过网络上传及下发相关数据日志。
3信息安全技术网络安全等级保护解决方案
3.1综合监控系统
3.1.1方案争议
综合监控系统FEP(前端处理器)用于管理ISCS系统与集成和互联系统(电力监控、环境与设备监控、站台门系统、列车自动监控、FAS、广播、视频监控、乘客信息、自动售检票、门禁、通信系统集中告警、线网管理平台等)的接口,具有转换各种硬件接口、软件协议的能力,同时能有效地把ISCS 系统与各集成和互联系统的数据进行隔离。ISCS 系统既可通过FEP 获得集成和互联系统的数据,也能通过FEP 完成发往被集成和互联系统的数据和命令。
作为综合监控系统中核心部件,在进行信息安全技术网络安全建设时,防火墙应将FEP 纳入防护范围,如图1 所示。不过,这会增加接口数量,因此国内部分轨道交通建设者建议可以将FEP 置于防火墙防护之外,将防火墙设置在FEP 上端口。
3.1.2建议配置清单
信息安全技术网络安全等级保护测评依据为《信息安全技术网络安全等级保护基本要求》(GB/ T22239—2019),主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行打分,70 分为合格线。涉及运营、管理、硬件设施、软件设施等轨道交通建设方应结合当地公安(测评机构)部门要求、建设线路运营管理特点、集成商(厂家)实际情况等条件,酌情进行信息安全技术网络安全硬件、软件系统配置,保证通过相应测评(安全等级认证)。
3.2FAS
单独组网型FAS 做好如下几点一般可满足第一级系统信息安全保护要求:(1) 车控室(消防控制室)应做到物理访问控制。车控室(消防控制室)出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员;(2)车控室(消防控制室)需具备安全的物理环境。车控室(消防控制室) 需防盗、防破坏、防雷击、防火、防水、防潮,保证温湿度适宜,设备正常运行运转,机房、电源供应稳定等。同时,远离强电磁干扰、强热源等环境,并定期对供配电、空调、温湿度控制、消防等设施进行维护和管理;(3)系统授权访问限制。应指定专门的部门或人员进行账户管理,控制设备应满足身份鉴别、访问控制等安全要求。
4结论
综合监控系统信息安全技术网络安全等级保护按照第三级進行设计、工程实施和验收,主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行打分,测评成绩70 分为合格线,涉及运营、管理、硬件设施、软件设施等。
针对国内地铁单独组网的FAS 系统的实际情况,FAS 安全风险相对可控,可不选择针对FAS 进行等级保护备案,亦可不进行第三方等级保护测评,可参照等级保护测评单位专家指导建议,加强系统边界保护、物理机房安全、授权访问机制建设,制定有效可行的安全管理制度并严格执行。