設備監控系統信息安全防護研究

前言：尋找寫作靈感？中文期刊網用心挑選的設備監控系統信息安全防護研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

工業控制系統信息安全事關工業生產運行、國家經濟安全和人民生命財產安全，一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。工業控制系統產品越來越多的采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。本文從軌道交通行業應用的實際要求出發，基于國家規范、地方標準和地鐵環境與設備監控系統架構出發，對如何有效進行信息安全防護進行研究。

關鍵詞：

工業控制系統;環境與設備監控系統;信息安全

1概述

隨著科技的日新月異，社會正處在由工業化、自動化向信息化、網絡化轉變的過程，互聯網+、工業4.0等技術逐步發展壯大，與此相對應的傳統工業體系正在以各種方式接入互聯網。在軌道交通運輸領域，車站與機車之間、車站與車站設備之間、機車與機車之間、車站與總控中心、機車與總控中心等交互信息越來越頻繁。隨著互聯網+的發展，其給傳統工業的帶來巨大發展的同時，信息安全問題日益突出。威脅信息安全的主要包括黑客攻擊、病毒、數據操縱、蠕蟲和特洛伊木馬等技術。數據顯示，黑客的攻擊目標已經從原來的商業互聯網絡逐步擴展到工業控制系統，主要目標集中在能源、水利、化工、政府機構以及核設施等領域。信息安全事件呈逐年上升的趨勢，其背后不乏犯罪、商業間諜、恐怖主義、甚至某些國家贊助的間諜活動。面對內外部工控信息安全威脅的嚴峻形勢，如何提高自身對工控信息安全的認識與方法論，能否為業務生產提供有力的信息安全支撐和保障，已成為工控安全領域的重中之重。

2安全防護需求

環境與設備監控系統承載著對地鐵全部車站通風空調系統、給排水系統、電扶梯系統、照明系統、人防門系統、安全門、AFC自動售檢票等車站設備系統進行全面、有效地自動化監控及管理，確保設備處于安全、可靠、高效、節能的最佳運行狀態，從而為乘客提供一個舒適的乘車環境。在火災、水災、地震等災害或阻塞事故狀態下，能夠及時迅速地轉入災害運行模式，保護地鐵工作人員及乘客的安全，將事故損失減到最小。環境與設備監控系統具有信息系統的基本要素。其分為硬件部分和軟件部分：硬件部分設在地鐵指揮中心的主機/服務器、設在各地鐵站的遠程工作站構成分布式控制系統，軟件部分主要分為通信與網絡軟件、操作系統、組態軟件、應用軟件和實時數據庫五個方面，其中所有軟件均在操作系統上運行，通信與網絡軟件是所有硬件設備聯系的中心，實時數據庫是系統信息交換的平臺，組態軟件是各設備狀態監控操作的平臺，應用軟件則是環境與設備監控系統功能的體現。當環境與設備監控系統受到人為破壞時，可能導致設備系統崩潰、機電設備誤動作，從而導致地鐵車站內的秩序混亂及相關人員受到傷害。同時也對社會造成不良影響，損害公司利益。依據公安部《信息系統安全等級保護定級指南》及環境與設備監控信息系統受到破壞時所侵害的客體以及侵害程度，環境與設備監控信息系統應按照不低于二級進行設計。

3主要問題及防護手段

環境與設備監控系統是與國計民生緊密相關領域的工業控制系統，目前國內地鐵既有線路設計時認為自身系統不與外網相連接，信息孤島形式不會收到外界入侵，按照《信息系統安全等級保護基本要求》多數達不到二級防護要求，一旦信息安全出現漏洞將對工業生產運行和國家經濟安全造成重大隱患。與此同時，我國工業控制系統信息安全管理中仍存在不少問題，主要是對工業信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。

3.1主要問題

3.1.1存在的風險

（1）操作系統的安全漏洞問題。工控軟件運行的Windows操作系統上，由于其不能實時進行系統補丁升級更新，導致其極容易受到病毒入侵。（2）殺毒軟件安裝及升級更新問題。很多工控軟件為了能夠避免與殺毒軟件沖突，其操作系統不安裝殺毒軟件或者不進行病毒庫的更新，導致系統失去了實施的安全防護功能。（3）使用移動存儲設備導致的病毒傳播問題。當有移動存儲設備接入工控系統中時，由于管理終端通常不采取措施對其進行有效的管理，導致外設的無序使用而引發的安全事件時有發生。（4）系統空口令問題。工控系統服務器搭建時往往由非專業IT人員設置，多數操作系統或路由器管理賬戶為空口令或者采用默認口令，存在一定風險。

3.1.2網絡互通的風險

早期，工業控制系統和企業管理系統之間是沒有數據交互的，但是為了達到更全面的信息管理，數據采集，達到少人話，甚至無人化的遠程操作監控，工業控制系統和企業管理系統之間直接采用國際互聯網進行數據交互，從而使工業控制系統接入的范圍不僅擴展到了企業網，而且面臨著來自國際互聯網各種的威脅。同時，企業為了實現管理與控制的一體化，提高企業信息化合綜合自動化水平，實現生產和管理的高效率、高效益，對工業控制系統和管理信息系統進行了集成，管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。

3.1.3地鐵設備與環境監控系統采用以太網等通用技術帶來的風險

地鐵設備與環境監控系統采用工業以太網結構與控制中心進行數據交互，其開放性決定了其極容易受到來自國際互聯網的病毒、木馬、黑客的攻擊。針對地鐵設備與環境監控系統的特點，信息安全防護應從以下幾個方面入手：

3.2防護手段

3.2.1定期開展檢測預防工作

檢測預防可從安全檢查、安全加固、安全防護三個方面入手（1）安全檢查可對工控系統進行滲透測試、源代碼檢測、漏洞掃描、應用系統漏洞掃描、基線核查等工作。（2）安全加固可針對服務器、終端、網絡設備、無線設備進行安全防護或對應用缺陷進行修補。（3）安全防護可從網絡架構、訪問控制、身份鑒別、入侵防護、數據保護、終端防護幾個方面進行改造。

3.2.2做好監控審計工作

（1）監控手段可對系統進行以下功能改造：入侵檢測、網絡監控、綜合安全監控、設備健康險監控、系統可用性監控、文件完整性校驗、數據庫監控、中間件監控、應用監控、木馬檢測分析、數據包分析等。（2）審計時候手段可對系統進行以下功能改造：網絡審計、安全事件審計、數據庫審計、終端審計、運維審計、日志審計等。

3.2.3提前做好預防工作

（1）及時做好應急響應，制定相關應急預案和響應流程，能第一時間對漏洞進行修補、對策略進行修正、對應用進行調整。（2）做好分析與取證工作，包括審計分析和對數據及時、準確取證。

4結語

綜上所述，隨著國家信息化發展，傳統工業與互聯網技術的結合以及國家信息安全政策出臺，地鐵環境與設備監控系統信息安全防護功能應逐年加強，從而保障系統設備安全、穩定運行，為廣大乘客提供良好的出現環境。

作者：任川 陳宏濤 單位：沈陽地鐵集團有限公司運營分公司 遼寧省交通高等?？茖W校

參考文獻：

[1]工信部協[2011]451號,關于加強工業控制系統信息安全管理的通知[S].

[2]沈經信發[2012]31號,關于對沈陽市重點領域工業控制系統信息安全管理情況調查的通知[S].

[3]余勇,林為民.工業控制SCADA系統的信息安全防護體系的研究[J].信息網絡安全,2012(05):74-77.

[4]劉威,李冬,孫波.工業控制系統安全分析[J].信息網絡安全,2012(08):41-43.

[5]宋巖,王天然等.控制系統Safe-Sec安全安全通信方法研究[J].自動化儀表,2013,34(11):30-33.

[6]王孝良,催保紅,李思其.關于工控系統信息安全的思考與建議[J].信息網絡安全,2012(08):36-37.

[7]沈亮,張艷,顧健.物聯網網絡層中基于IPv6的信息安全產品發展趨勢研究[J].信息網絡安全,2012(08):38-40.

[8]曲潔,朱建平.等級保護與關鍵基礎設施防護的融合研究[J].2011(12):84-88.

[9]彭勇,謝豐,郭曉靜等.物聯網安全問題對策研究[J].信息網絡安全,2011(10):4-6.

[10]任偉.密碼學與現代密碼學研究[J].信息網絡安全,2011(08):1-3.

[11]李發根，鐘笛.數字簽名綜述[J].信息網絡安全,2011(12):1-8.

[12]施曉秋.計算機網絡技術[M].北京:高等教育出版社,2006:10-18．

[13]韓東海．入侵檢測系統及實例剖析[M].北京:清華大學出版社,2002:18-26．

[14]彭杰,應啟戛.工業以太網的安全性研究[J].儀器儀表學報,2004(01):222-223．

[15]康軍,戴冠中.工業以太網控制系統安全性問題研究[J].信息與控制,2007,36(02):245-249