時間:2023-10-12 09:33:50
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇國內信息安全認證范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
日前,我國專門從事數字證書認證系統開發的吉大正元信息技術股份有限公司與公安部舉行了“公安部信息安全認證管理系統(試點工程)”合同簽字儀式。吉大正元將承擔“公安部信息安全認證管理系統(試點工程)”的具體實施工作。
金盾工程(公安綜合信息網絡建設工程)是全國公安信息化工程,其實質是利用現代化信息通信技術,增強公安機關快速反應、協同作戰的能力;提高公安機關的工作效率和偵察破案水平,適應新形式下社會治安的動態管理。目的是實現以全國犯罪信息中心(CCIC)為核心,以各項公安業務應用為基礎的信息共享和綜合利用,為各項公安工作提供強有力的信息支持。預計到2004年,金盾工程將在全國范圍內準備100%完成聯結公安部到各省、自治區、直轄市的一級網,以及聯結省到各地市的二級網的建設。而“公安部信息安全認證管理系統(試點工程)”作為“金盾工程”安全保障體系的關鍵,主要解決公安信息網潛在的安全問題,進而建立有效的公安信息安全管理系統運行機制。
吉大正元信息技術股份有限公司是中國最大的數字證書廠商之一,是國家密碼管理委員會辦公室認定的商用密碼產品生產、銷售定點單位。公司自主開發的“吉大正元數字證書認證系統”處于國際先進、國內領先地位,通過了國家密碼管理委員會辦公室、中國國家信息安全測評認證中心和公安部計算機信息系統安全產品質量監督檢驗中心的審查和檢測,并取得了銷售許可證,在2001年度被國家經貿委評為國家級重點新產品。該系統是1999年10月國務院頒布《商用密碼管理條例》以來,我國第一個通過國家級鑒定的擁有自主知識產權的數字證書認證系統。
據了解,吉大正元已經先后承擔建設了6個國家級CA中心、6個省市級CA中心和20多個企業級CA中心。其中,承建的福建省電子商務證書安全認證中心、電子商務密鑰管理中心是我國第一個通過國家級鑒定的區域性電子商務證書安全認證中心和電子商務密鑰管理中心。吉大正元數字證書認證系統已經在銀行、證券、稅務、工商、郵政等行業得到廣泛應用,市場占有率居于全國首位。
關鍵詞 PKI;CA;RA;數字證書;信息安全;雙因素認證;數字簽名;加密
中圖分類號:TM769 文獻標識碼:A 文章編號:1671-7597(2013)15-0119-02
隨著國內外網絡與信息技術飛速發展和廣泛應用,發電企業信息化也在不斷深入開展,信息安全形勢更加嚴峻,網絡與信息安全工作問題更加突出和重要。發電企業在保證發電安全生產的基礎上,逐步通過信息化建設,梳理管理流程,加強內部管控,從而達到提升競爭力的作用。
信息安全是信息化建設的基礎和前提,基于PKI技術的數字證書機制構建的應用層信息安全保障體系,已經作為信息安全基礎設施,在政府、金融、電信等領域得到廣泛應用。如何合理構建安全認證體系,既能滿足信息安全管理要求,又能保證投資和信息安全管理可控在控,已經成為發電企業越來越關注的問題。
1 發電企業信息安全現狀分析
在發電企業構建電子認證體系以保障業務安全的過程中,主要面臨著如下需求和問題。
1)缺少完整的電子認證基礎設施,企業內部多級管理體系和獨立分支機構的不同信息系統使用的數字證書不統一。
2)自建的電子認證基礎設施,有可能不具備相關運營資質,并且建設和運營維護成本較大,而只采購第三方認證機構頒發的數字證書,又不能完全滿足企業內部信息化管理的需要。
3)重要核心信息系統未采用雙因素認證、數字簽名和數據加密等技術手段,無法保證數據保密性、完整性、抗抵賴性等信息安全要求。
為了很好的解決以上問題,結合發電企業信息化建設實際情況,提出以下幾點建議。
1)針對發電企業內部多級管理體系和獨立分支機構,建設統一的RA注冊審核機構,與第三方認證機構PKI/CA基礎設施配合,將完整的電子認證服務引入到現有信息系統中,既滿足了安全體系完整性,又方便了內部安全認證服務管理。
2)針對不同的信息系統特性,制定雙因素認證、數字簽名和數據加密等安全認證策略和實施規范,RA系統設計上應方便的與業務系統進行對接和交互,避免成為“信息孤島”,保證數據保密性、完整性、抗抵賴性等信息安全要求。
3)針對已經使用了數字證書等安全認證的信息系統,應考慮能夠實現平滑過渡和無縫對接,防止出現安全體系設計重大變更和大規模系統改造等情況。
2 PKI/CA/RA簡介
1)PKI為“公鑰基礎設施”,是一個用非對稱密碼算法原理和技術實現的、具有通用性的安全基礎設施。PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
2)CA認證機構是采用PKI公開密鑰基礎架構技術,專門提供網絡身份認證服務,負責簽發和管理數字證書,且具有權威性和公正性的第三方信任機構。它是PKI公鑰基礎設施的核心,主要完成生成/簽發證書、生成/簽發證書撤銷列表(CRL:Certificate Revocation List)、證書和CRL到目錄服務器、維護證書數據庫和審計日志庫等功能,即證書的頒發、證書的更新、證書的查詢、證書的作廢、證書的歸檔等功能。
3)RA注冊審核機構:RA是數字證書的申請、審核和注冊中心。從廣義上講,RA是CA的一個組成部分,主要負責數字證書的申請、審核和注冊。
3 基于PKI/CA/RA的安全認證服務平臺
3.1 平臺架構
通過對發電企業安全現狀和需求分析,根據證書簽發、證書使用兩種應用環境和職責不同,將RA系統劃分為RA子系統、證書驗證子系統兩個子系統。
1)RA子系統:負責證書的申請、簽發、更新、狀態變更等證書業務功能。RA子系統結構由CA能力接入、系統管理、證書服務、用戶自服務等功能模塊組成。CA能力接入模塊面向第三方CA系統,系統管理模塊面向RA系統管理員,證書服務模塊面向業務系統,用戶自服務模塊面向使用證書業務的用戶(個人用戶、企業用戶)。
2)證書驗證子系統:負責證書有效性驗證、簽名驗簽等證書應用功能,提供非對稱密鑰運算、摘要運算、簽名驗簽運算、證書驗證等證書應用服務。
3.2 數字證書設計
3.2.1 設計原則
RA系統簽發的數字證書應具有以下特點。
1)數字證書符合X509v3國際通用標準,可以同發電企業目前的電子認證體系無縫對接,平滑過渡。
2)數字證書獲得國家電子認證服務資質認可,受《電子簽名法》保護,可以對外使用。
3)支持簽發軟/硬兩種形式的數字證書。
軟證書符合PKCS12標準,能方便的在手機、PDA等終端上使用。
硬證書保存在USBKEY等硬件存儲介質上,安全可靠。
3.2.2 數字證書類型
按照數字證書的頒發對象不同,數字證書主要分為個人數字證書、機構數字證書和設備數字證書等。
1)個人數字證書,主要用于標識數字證書自然人所有人的身份,包含了個人的身份信息及其公鑰,如用戶姓名、證件號碼、身份類型等。
2)機構數字證書,主要用于標識數字證書機構所有人的身份,包含機構的相關信息及其公鑰,如:企業名稱、組織機構代碼等。
3)設備數字證書,用于在網絡應用中標識網絡設備的身份,主要包含了設備的相關信息及其公鑰,可用于服務器或網絡設備標識和驗證設備身份。
3.2.3 證書使用范圍
從使用范圍上來說,企業數字證書分為內部證書、外部
證書。
1)內部證書限于企業內部人員、業務使用,承擔行政責任,可以用于企業內部安全保障;企業重要人員的證書采用USBKEY存放,其他人員采用軟件存儲。
2)外部證書限于企業外部人員、業務使用,如電子商務平臺的供應商。承擔法律責任,在對外業務出現糾紛時,可以用于法律鑒定,采用USBKEY存放證書。
3.2.4 證書用途
根據數字證書的密鑰用途,將證書分為以下兩種。
1)簽名證書:其私鑰可用于對信息的簽名。用戶在使用私鑰對信息簽名時,應知曉并確認簽名的內容。對于具有身份鑒別用途的證書,其私鑰可用于對鑒別方提交的挑戰信息簽名;在可能的情況下,具有身份鑒別用途的證書及信任鏈上的證書(根證書除外)應提交給驗證方。
2)加密證書:其私鑰可用于對采用對應公鑰加密的信息
解密。
根據國家密碼管理局的相關要求以及發電企業對證書的使用需求,個人證書、企業證書都需要簽發雙證書(加密證書、簽名證書)。
3.2.5 證書存儲形態
根據數字證書的存儲形態不同,可以將證書存儲在以下介質中。
1)軟證書:證書以軟件形式存放,包括以文件形式或者將證書導入到IE存儲;根據信息系統對證書的要求,可以將個人證書(大部分)以軟件形態存放。
2)USBKEY證書:證書存儲在USBKEY中;企業重要人員的證書采用USBKEY存放,企業外的個人證書、企業證書全部采用USBKEY存儲,便于保管。
4 應用實踐
目前對于發電企業來講,PKI/CA/RA安全認證服務主要可應用于以下幾個方面。
1)辦公自動化系統電子印章管理,采用數字簽名及證書對稱加密、非對稱加密等技術,防止電子文件被篡改、電子印章被非法利用。
2)企業資源計劃(ERP)、燃料管理、辦公自動化、資金管理、電子商務等重要信息系統的雙因素認證,為IT審計提供依據,防止抵賴,進一步保證系統安全。
3)無線網絡、VPN網絡等網絡接入認證管理。
5 結束語
PKI/CA/RA安全認證服務平臺實現了統一、完整的電子認證基礎設施,為發電企業提供數字證書申請、受理、審批、簽發、更新、吊銷、等業務功能,數字證書與企業資源計劃(ERP)、電子印章、電子商務等信息系統集成,全面支持企業內部和對外電子商務應用,以及重要信息系統、設備的雙因素認證。
實踐證明,PKI/CA/RA安全認證服務平臺在發電企業信息安全工作中,已發揮了不可替代的重要作用,可有效提高信息系統安全性和可靠性,下一步將加強核心業務信息系統中的重要操作、重要信息系統中敏感信息加密、移動辦公等方面的研究和應用。
參考文獻
[1]龍玉江,白雪,汪浩.PKI/CA技術在電力信息系統安全保障方面的應用研究[J].貴州電力技術,2009(1):40.
[2]劉欣.PKI/CA技術在電力信息系統中的應用研究[J].電力信息化,2009,7(10):30.
2008年,國家質量監督檢驗檢疫總局、國家認證認可監督管理委員會聯合公告,決定對部分信息安全產品實施強制性認證,《第一批信息安全產品強制性認證目錄》也同時公布,數據備份與恢復產品位列其中。凡列入強制性認證目錄內的信息安全產品,未獲得強制性產品認證證書和未加施中國強制性認證標志的,不得出廠、銷售、進口或在其他經營活動中使用。
2009年,國家質量監督檢驗檢疫總局、財政部、國家認證認可監督管理委員會聯合公告,決定將對部分信息安全產品進行強制性認證的強制實施時間從2009年5月1日延至2010年5月1日。如今,強制實施時間已經過去了4個多月,數據備份和恢復產品的認證情況如何呢?記者查閱了中國信息安全認證中心公布的信息安全產品認證獲證名單,目前已通過認證的數據備份和恢復產品只有兩款――愛數備份軟件V3.0、火星企業級跨平臺數據備份軟件V3.0。
國內廠商積極性更高
記者采訪了幾家國內外主要的數據備份與恢復軟件廠商,發現國內廠商在3C認證方面比較積極,現已通過產
品認證的兩個廠商都是國內廠商,包括上海愛數軟件有限公司和火星高科(天津火星科技有限公司是火星高科在天津的產業基地)。國外廠商的行動相對較慢。記者目前了解的情況是,CommVault已經提交了相關資料,目前正在等待回復,準備進行實際的產品測試。
火星高科市場總監郭競遠介紹說:“早在2004~2005年,我公司曾參與政府部門組織的數據備份技術標準的制定工作。后來,此技術標準沒有成為國家標準,而是被國家質量監督檢驗檢疫總局采納為部級標準,并用于對數據備份與恢復產品的3C認證。”
以前3C認證主要針對硬件產品,而數據備份與恢復產品主要是軟件。為此,2008年,國家質量監督檢驗檢疫總局曾就數據備份與恢復產品的認證廣泛征求過意見,EMC、賽門鐵克、火星高科等廠商都曾被邀請參與過討論。
火星高科是較早申請數據備份與恢復產品認證的公司,其產品已在2009年獲得了3C認證。根據《關于部分信息安全產品實施強制性認證的公告》規定,數據備份與恢復產品增加相應的安全功能是必須的。這里說的數據備份與恢復產品是指實現和管理信息系統數據備份和恢復過程的軟件。數據備份軟件的安全功能包括許多內容,人們經常用到的可能有以下幾項:第一,在系統登錄時進行安全保護,比如設置用戶名和密碼;第二,如果有人超長時間使用備份系統,系統要具備自動鎖定功能;第三,建立完善的日志系統。火星高科曾經花費近半年的時間對現有的數據備份軟件進行改進,以符合3C認證中關于信息安全的規定。
“我們在項目銷售過程中得知數據備份產品要通過3C認證的消息。公司對各種相關的專業權威認證一直都比較重視,所以立即啟動了3C認證項目。”上海愛數軟件有限公司負責技術支持和資質認證業務的許女士介紹說,“通過申報材料、產品檢測、工廠現場檢驗等一系列步驟,大約用了幾個月的時間,公司當時的主打產品愛數備份軟件V3.0順利通過了3C認證。”
政府行業采購有變數
今年9月,財政部、工業和信息化部、國家質量監督檢驗檢疫總局、國家認證認可監督管理委員會聯合下發的關于信息安全產品實施政府采購的通知中說,各級國家機關、事業單位和團體組織(以下統稱采購人)使用財政性資金采購信息安全產品的,應當采購經國家認證的信息安全產品。對采購人或其委托的采購機構未按要求采購的,有關部門要按照有關法律、法規和規章予以處理,財政部門視情況可以拒付采購資金。
2008年,《第一批信息安全產品強制性認證目錄》公布時,并沒有任何關于行業應用的限定。但是2009年,當相關機構宣布強制實施時間延至2010年5月1日時明確提出,信息安全產品強制認證只適用于政府采購。記者從中國信息安全認證中心獲得的消息是,如果廠商的產品不涉及政府采購,而只是一般的商業用途,并不受強制認證的限制。對于國內數據備份廠商來說,政府采購是收入來源中非常重要的一部分。因此,國內廠商對3C認證的態度比較積極順理成章。CommVault公司市場經理楊濤表示:“雖然目前在政府項目采購中,我們還沒有遇到有關強制性認證的問題。不過,既然有這樣的規定,我們會積極響應,不希望因此而影響日后可能進行的政府項目采購。”
雖然強制認證的實施已經有幾個月的時間,但是記者采訪了幾位政府部門的采購負責人,他們均表示還沒有看到相關的文件。備份軟件廠商BakBone公司市場部的劉欣告訴記者:“2007年,我曾經聽說過軟件產品要經過認證的事情。后來,因為工作轉換的原因,我也沒再留意相關認證的事情。”
有法可依 執法必嚴
十幾年來,勤勞智慧的藍盾人憑借高度民族使命感和責任感,自主研發出十個系列、近50個型號的產品,多項產品通過公安、保密、軍隊等權威主管部門的檢測認證。
藍盾擁有AAA級企業信用等級,在經營活動中始終堅持“誠信服務”,追求細致卓越,高效服務客戶,以客戶需求為導向,在發展過程中逐步形成了涵蓋安全產品研發及銷售、安全集成及安全服務的完整業務體系,形成了強大的綜合服務能力。藍盾已成為一家安全產品、安全服務、安全集成多業務齊頭并進的綜合性信息安全企業。
藍盾建立了以廣州營銷總部為中心,以北京、上海、重慶為支點,輻射全國的營銷和技術服務體系。作為華南地區信息安全第一品牌,藍盾目前已擁有覆蓋全國,涉及政府、電信、金融、軍隊、能源、交通、教育、流通、郵政、制造等行業的近千余家客戶。藍盾雄厚的實力和一流的服務為公司贏得了廣大客戶的高度贊譽。
1.安全產品
藍盾擁有包括安全網關、安全審計、應用安全在內的三大類、十大系列、50多個品種的安全產品線,可基本滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求。
2.安全集成
作為主營業務之一,藍盾安全集成業務包括自有的和第三方的信息系統安全產品銷售、基礎信息系統建設、應用信息系統開發、信息系統運維服務、信息系統安全運營等。藍盾已為政府、教育、金融、電力、醫療等行業的多家客戶提供了信息安全系統整體解決方案。
有別于傳統的系統集成業務,藍盾安全集成業務以公司自有信息安全產品和業務整合為基礎,以信息系統安全運營服務平臺為基礎結構,建立了覆蓋產品研發、方案設計、銷售和集成、工程實施、管網建設和運營服務的一整套信息系統安全運營業務支持體系,成功實現了從傳統信息系統集成業務到以信息安全產品為基礎、提供信息系統安全運營整體服務的戰略跨越,從而確立了公司整體解決方案在信息安全市場中的領先地位。
3.安全服務
藍盾提供的安全服務主要包括安全咨詢與評估、專業化安全檢測與防護、安全認證培訓服務、安全運營及管理、安全技術支持等。經過多年積累,藍盾已為上百家客戶提供了專業化的服務,構建了覆蓋不同行業客戶及客戶不同發展階段的信息安全服務體系。
信息安全產品的研發、生產和銷售是藍盾業務體系的基礎。它對信息安全集成及信息安全服務的發展起著至關重要的作用。安全產品業務能夠有效促進公司安全集成與安全服務業務的實現和業務量的提升。安全集成與安全服務業務同時還會促進安全產品技術和應用水平的提升。隨著技術實力和安全產品競爭力的提高,藍盾提供整體解決方案的能力也在逐漸增強。在安全集成業務收入快速增長的同時,藍盾自有安全產品的銷售額也在快速增加。
技術創新 締造優勢
藍盾始終以自主創新為發展原動力,以領先的技術研發搶占市場。經過多年的探索和積累,藍盾已掌握了信息安全領域內的主要核心技術,并擁有該領域內近百項軟件著作權。藍盾目前掌握的主要技術處于國內領先地位,其中藍盾DDoS防御網關采用的零積累智能識別技術達到了國際先進水平。
憑借領先的技術實力,藍盾先后實施了包括公安部科技攻關項目在內的多項國家級、部級、省市區級的重點信息安全科研項目,并在公安部等部委制定服務器安全類產品和安全審計類產品行業技術標準的過程種發揮了重要作用。
此外,藍盾還成功地為北京奧運會和殘奧會提供了信息安全產品和服務,并因此獲得了北京奧組委頒發的榮譽獎章。
專業資質 彰顯實力
安全行業是國家強制性保護的行業,獲得資質或許可的多少是衡量信息安全企業競爭實力的重要標準。
藍盾具有技術優勢及綜合服務能力,已擁有商用密碼產品銷售許可證、軍隊網絡采購信息資格認證、信息系統產品檢測證書、軍用信息安全產品認證證書、產品銷售許可證、中國信息安全認證中心產品認證證書、廣州市自主創新產品證書,并取得了計算機信息系統安全服務一級資質證書、計算機信息系統集成一級資質證書、計算機信息系統集成乙級證書、信息安全應急處理服務資質、信息安全風險評估服務資質等業務資質,還獲得了包括信息安全產品、信息安全集成及信息安全服務在內的所有業務類別的較高級別資質和許可,是業內獲得資質和許可最全的企業之一。
綜合服務 鑄就品牌
藍盾的各業務模塊能相互促進,共同發展,從而形成了較強的綜合服務能力。
藍盾的信息安全產品可滿足客戶在網絡邊界安全、安全審計與合規、應用安全等方面的信息安全需求,并能為客戶設計和實施信息安全方面的整體解決方案,滿足客戶系統化、個性化的安全需求。
此外,藍盾還可以為客戶提供安全咨詢與評估、安全檢測與防護、安全認證培訓服務等專業化的安全服務。藍盾完整的業務體系及豐富的產品種類可滿足不同行業客戶的信息安全需求,增強公司的綜合競爭力。
藍盾建立了輻射全國的營銷和技術服務體系,這為公司掌握信息安全領域的最新市場動態、及時響應客戶需求提供了重要保證。
客戶穩定 促進增長
信息安全行業的特殊性決定了下游客戶對信息安全提供商存在一定的依賴性。隨著社會各界對信息安全要求的逐步提高,下游客戶在信息安全系統建設和升級的過程中會對安全產品、安全集成及安全服務產生交叉消費和重復消費。
因此,下游用戶對信息安全領域的投入是持續性的。藍盾現有的客戶資源既是穩定的業務來源,也是宣傳品牌、擴大影響力的最好載體,這有利于新市場及新客戶的開拓,也為公司的持續盈利提供了重要保障。
精英匯聚 引領成功
日前《數據中心服務能力成熟度評價要求》行業標準正式。該行業標準由招商銀行數據中心和中國信息安全認證中心組織,中國惠普有限公司、萬國數據服務有限公司和北京趨勢引領信息咨詢有限公司共同研究、編寫。《數據中心服務能力成熟度評價要求》歷時一年多,提出的數據中心服務能力成熟度模型從實現收益、控制風險和優化資源的基本訴求出發,確立了數據中心的目標以及實現這些目標所應具備的服務能力,并以此為基礎建立數據中心成熟度評價對象模型,提出了適用于數據中心成熟度評價的具體評價方法和指標體系。
中國信息安全認證中心魏昊主任告訴本報記者:“在模型的建立過程我們參考了國際上比較成熟的成熟度評價模型和管理體系,具有先進性和前瞻性,同時也充分考慮了行標的廣泛應用問題,可以應用到各種大型數據中心。”
魏昊主任還強調,《數據中心服務能力成熟度評價要求》在成熟度模型方面汲取了CMMI、COBIT等模型通行的基于過程評價的思路,采取了典型的5級分級;而在管理體系方面汲取了服務管理體系和信息安全管理體系的部分管理過程,但自己獨立建立了對數據中心服務能力進行評價的成熟度評價模型,提出基于3個一級管理域、15個管理子域的42個管理過程為評價對象,7個評價要素、15個評價子要素和30個評價點的評價模型,特別是基于證據指數的加權平均計算過程成熟度、過程域成熟度和總體成熟度的方法完全是自主創新。
招商銀行數據中心是《數據中心服務能力成熟度評價要求》的研究原型,也是該標準的首個試點單位。招商銀行信息技術部數據中心總經理高旭磊談及標準的產生過程時表示,現有的標準還不能覆蓋數據中心管理的各個方面,在數據中心管理成熟度精細度方面也有不足,這些基本訴求再加上招商銀行正在進行的二次轉型服務的大背景,促使其開始考慮編寫該標準。“我們目標是要把數據中心的管理從全面過程管理轉換成全面質量管控,最終把數據中心管理工作進一步科學化,以提高管理效率。”他說。
關鍵詞:火電廠;控制系統;信息安全;策略
1我國工業控制系統信息安全發展態勢
從2011年底起,國家各部委了一系列關于工業控制系統信息安全的文件,把工控信息安全列為“事關經濟發展、社會穩定和國家安全”的重要戰略,受到國家層面的高度重視。在國家層面的推動下,工控信息安全工作轟轟烈烈展開,大批行政指令以及標準應運而生;在行政和市場雙重動力的推動下,安全信息產業如雨后春筍般發展,工控信息安全產業聯盟迅速壯大。這種形勢下,我國電力、石化、鋼鐵等各大行業的集團和公司面臨著如何迅速研究工控信息安全這個新課題,學習這一系列文件精神和標準,加強工控信息安全管理,研究采取恰當的信息安全技術措施等,積極穩妥地把工控信息安全工作踏踏實實地開展起來這一系列緊迫任務。但是,當前面臨的困難是,從事信息安全產業的公司大多不太熟悉特點各異的各行業工控系統,有時還不免把工控系統視作一個互聯網信息系統去思考和防護,而從事工控系統應用行業的人們大多還來不及了解信息安全技術,主導制定本行業的相關標準和本行業控制系統信息安全的工作策略,并推動兩支力量的緊密配合。這正是當前面臨的困境和作者力圖要與同仁們一起學習和探討的問題。
2從工控系統特點出發正確制定信息安全發展策略
火電廠控制系統與傳統信息系統相比,相對來說,與外部完全開放的互聯網聯系極少,分布地域有限,接觸人員較少,而對實時性、穩定性和可靠性卻要求極高。這正是我們制定火電廠控制系統信息安全工作策略的基本出發點。為了形象起見,我們以人類抵抗疾病為例。人要不生病,一方面要自身強壯,不斷提高肌體的免疫系統和自修復能力;另一方面,要盡可能營造一個良好的外部環境(不要忽冷忽熱,空氣中污染物少,無彌漫的病菌和病毒)。人類積累了豐富的經驗,根據實際情況采取非常適當的保護措施。例如,對于一般人來說,他們改變環境的可行性較差。因此,確保自身強壯以及發現病兆及時吃藥修復等是其保護自己的主要手段。但是,對于新生兒,因為自身免疫系統還比較脆弱,短時間也不可能馬上提高。剛出生時醫生也有條件將其暫時置于無菌恒溫保護箱中哺養,以隔絕惡劣的環境。信息安全與人類抵抗病十分相似。對于一般互聯網信息系統,分布地域極廣,接觸人員多而雜,因此信息安全策略重點,除了在適當地點采取一些防火墻等隔離措施外,主要依靠提高自身健壯性,以及查殺病毒等措施防御信息安全。對于工控系統,特別是火電廠控制系統,它與外部互聯網聯系較少,分布地域有限,接觸人員較少。因此,對火電廠應該首先把重點放在為控制系統營造一個良好環境上。也就是說,盡可能與充斥病毒和惡意攻擊的源泉隔離,包括從互聯網進來的外部入侵,以及企業內外人員從內部的直接感染和入侵。前者可采取電力行業中證明行之有效的硬件網絡單向傳輸裝置(單向物理隔離裝置)等技術手段;后者則主要通過加強目前電廠內比較忽視和薄弱的信息安全管理措施。火電廠控制系統采取這種信息安全策略可以達到事半功倍的效果。從當前國內外出現的不少工控系統遭受惡意攻擊和植入病毒導致的嚴重事故來看,幾乎大多數是沒有或者隔離措施非常薄弱經互聯網端侵入,或者通過企業內外人員從內部直接植入病毒導致。當然,我們不能忽視提高控制系統自身健壯性的各種努力和措施,以便萬一惡意攻擊和病毒侵入的情況下仍能萬無一失確保安全。但是,開展這方面工作,特別是在已經投運的控制系統上進行這方面工作要特別慎重,這不僅因為這些工作代價較高,而且在當前信息安全產業中不少公司還不太熟悉相關行業工控系統特點,有些產品在工控系統中應用尚不成熟,而火電廠控制系統廠家對自身產品信息安全狀態研究剛剛開始,或者由于種種原因沒有介入和積極配合的情況下風險較高。這不是聳人聽聞,實踐已經發生,有的電廠為此已經付出了DCS停擺,機組誤跳的事故代價。
3火電廠控制系統供應側和應用側兩個信息安全戰場的不同策略及相互協調
火電廠控制系統,主要是DCS,不僅是保證功能安全的基礎,也是提高自身健壯性,確保信息安全的關鍵,它包括供應側和應用側兩個信息安全戰場。在DCS供應側提高自身健壯性,并通過驗收測收,確保系統信息安全有許多明顯的優點。它可以非常協調地融入信息安全策略,可以離線進行危險性較大的滲透性測試,發現的漏洞對應用其控制系統的電廠具有一定的通用性等。此外,DCS供應側在提高信息安全方面積累的經驗和措施,培養起來的隊伍,也將有助于現有電廠DCS的測試評估,以及安全加固等直接升級服務或配合服務。與信息安全產業的公司提供服務擴大了公司的市場不同,DCS供應側提高其信息安全水平增加了DCS成本。因此,為了推動DCS供應側提高信息安全水平,除了目前已經在發揮作用的行政手段外,我們還必須加強市場手段的動力。為此,當前我們電力行業應盡快從信息安全角度著手制定DCS準入標準,制定火電廠DCS信息安全技術標準和驗收測試標準,以及招標用典型技術規范書等。火電廠DCS應用側,是當前最緊迫面臨現實信息安全風險,而且范圍極廣的戰場,必須迅速有步驟地點面結合提高信息安全,降低風險。具體意見如下:
3.1應迅速全面開展下列三方面工作
(1)全面核查DCS與SIS及互聯網間是否真正貫徹落實了發改委2014年14號令和國家能源局2015年36號文附件中關于配置單向物理隔離的規定,沒有加裝必須盡快配置,已配置的要檢查是否符合要求。(2)迅速按照《工業控制系統信息安全防護指南》加強內部安全管理,杜絕內部和外部人員非法接近操作、介入或在現場總線及其它接入系統上偷掛攻擊設備等,并適度開展一些風險較小的安全測評項目。上述兩項工作,在已投運系統上實施難度較低,實施風險相對較低,但是卻能起到抵御當前大部分潛在病毒侵襲和惡意攻擊的風險。(3)通過試點,逐步開展對已運DCS進行較為深入的安全測評,適度增加信息安全技術措施,待取得經驗后,再組織力量全面推廣,把我國火電廠控制系統信息安全提高到一個新的水平。為了提高這項工作的總體效益,建議針對國內火電廠應用的各種型號的DCS品牌出發,各大電力集團互相協調,統籌規劃,選擇十個左右試點電廠,由應用單位上級領導組織,國家級或重點的測評機構、實驗室技術指導,相關DCS供應商、優秀信息安全產品生產商以及電廠負責DCS的工程師一起成立試點小組。這樣不僅可以融合DCS廠家的經驗,包括他們已經開展的信息安全測評和信息安全加強措施,減少不必要的某些現場直接工作帶來的較大風險。也有利于當前復合人才缺乏的情況下,確保工控系統技術和工控系統信息安全技術無縫融合,防止發生故障而影響安全生產(目前已經有電廠在測試和加入安全措施導致DCS故障而停機的事件)。
4DCS信息安全若干具體問題的建議
4.1關于控制大區和管理大區隔離的問題
根據國家發改委2014年14號令頒發的《電力監控系統安全防護規定》,以及國家能源局36號文附件《電力監控系統安全防護總體方案》的要求:(1)生產拉制大區和管理信息大區之間通信應當部署專用橫向單向安全隔離裝置,是橫向防護的關鍵設備。(2)生產控制大區內的控制區與非控制區之間應當采取具有訪問功能的設施,實現邏輯隔離。2016年修訂的電力行業標準《火電廠廠級監控信息系統技術條件》(DL/T 924-2016)對隔離問題做了新的補充規定:(1)當MIS網絡不與互聯網連接時,宜采用SIS與MIS共用同一網絡,在生產控制系統與SIS之間安裝硬件的網絡單向傳輸裝置(單向物理隔離裝置)。(2)當MIS網絡與互聯網連接時,宜采用SIS網絡獨立于MIS網絡,并加裝硬件的網絡單向傳輸裝置(單向物理隔離裝置),而在生產控制系統與SIS之間安裝硬件防火墻隔離。根椐當前嚴峻的網絡安全形勢,應當重新思考單向物理隔離裝置這個行之有效的關鍵安全措施的設置點問題。建議無論是剛才提到的哪一種情況,單向物理隔離裝置均應設置在生產控制系統(DCS)與SIS之間,理由是:(1)生產控制系統(DCS)對電廠人身設備危害和社會影響極大,而且危險事件瞬間爆發。因此,一定要把防控惡意操作、網絡攻擊和傳播病毒的區域限制在盡可能小的范圍內,這樣可以最大限度提高電廠控制系統應對網絡危害的能力。(2)SIS是全廠性的,涉及人員相對廣泛,跟每臺機組均有聯系。因此,一旦隔離屏障被攻破,故障將是全廠性的,事故危害面相對較大。
4.2DCS信息安全認證和測試驗收問題
火電廠在推廣應用DCS的30年歷史中,從一開始就適時提出了供編制招標技術規范書參考的典型技術規范書,進而逐步形成了標準, 明確規定了功能規范、性能指標以及驗收測試等一系列要求。隨后又根據發展適時增加了對電磁兼容性和功能安全等級認證的要求。當前,為確保得到信息安全的DCS產品,歷史經驗可以借鑒。筆者認為,宜首先對控制系統供應側開展阿基里斯認證(Achilles Communications Certification,簡稱ACC)作為當前提高DCS信息安全的突破口。眾所周知,ACC已得到全球前十大自動化公司中八個公司的確認,并對其產品進行認證;工業領域眾多全球企業巨頭,均已對其產品供應商提供的產品強制要求必須通過ACC認證。目前,ACC事實上已成為國際上公認的行業標準。國內參與石化和電廠市場競爭的不少外國主流DCS均已通過了ACC一級認證。至于國產主流DCS廠家,他們大多也看到了ACC認證是進入國際市場的門檻,也嗅到了國內市場未來的傾向,都在積極為達到ACC一級認證而努力(緊迫性程度明顯與行業客戶對ACC認證緊迫性要求有關)。此外,我國也已建立了進行測試認證的合格機構,具備了國內就地認證的條件。根據調查判斷,如果我們電力行業側開始編制技術規范書將ACC一級認證納入要求,相信在行政推動和市場促進雙重動力下,國產主流DCS在一年多時間內通過ACC一級認證是可以做到的。除ACC認證外,如前所述,當前還急需編制招標用火電廠信息安全技術規范和驗收測試標準,使用戶在采購時對其信息安全的保障有據可依。從源頭抓起,取得經驗,必將有利于在運DCS信息安全工作,少走彎路。
5結語
以下是當前影響傳統安全領域的五大因素:
1.技術融合。企業安全服務如視頻監控、訪問控制及欺詐檢測與數據庫的關系越來越密切,并且通過網絡來提供。換句話說,信息安全與物理安全的關系比以往更加緊密。
2.廠商融合。不久前,信息安全廠商只保護網絡,物理安全廠商只保護場地,兩者毫不交叉。而如今,越來越多的安全公司涉足這兩個領域,以及與風險相關的其他領域:裝甲車公司Brink's開始提供托管網絡安全服務;昔日的大型機供應商優利系統公司現在提供有關供應鏈安全的咨詢業務;軟件業巨擘冠群正與智能卡廠商合作,共同開發名為PhysBits的網絡和大樓訪問標準;歷來是物理安全服務提供商的Kroll現在擁有了數字取證部門Ontrack Data Recovery。
Savvis的CSO兼全球安全解決方案副總裁Bill Hancock指出,廠商融合是一種最簡單的融合。不過,Hancock預計廠商會繼續把這些不同的產品線合并到更加緊密集成的產品當中。
3.協會融合。安全領域是由行業協會推動的領域,但多年來,許多協會很少承認對方的存在。這種情況在2004年和2005年出現了重大變化,尤其是信息系統安全認證專業人員(CISSP)的者(ISC)2(屬于信息安全領域)、認證保護專業人員(CPP)的認證方ASIS International(來自企業安全領域)和信息系統審計與控制協會(ISACA)宣布要團結一致。Williams等觀察人士預計,這些協會將在近期開展更具體的合作。
通過安全認證
隨著國航信息系統建設的飛速發展,在奧運安全保障工作中,安全不再只是空防安全和飛行安全,信息安全已成為奧運安保的重要環節,并納入公司和信息管理部2008年重點工作之中。國航信息安全規劃咨詢項目就是在奧運安保和國航信息系統跨越式發展的大背景下立項建設的,它旨在為國航信息安全體系建設打下堅實的理論基礎。
國航也是通過這個項目完成了未來3~5年信息安全建設的發展規劃,建立了信息安全管理體系,于近日最終通過了ISO 27001信息安全管理體系認證,使國航成為國內首家通過此國際認證的航空企業,進一步提升了公司的綜合競爭實力。
記者了解到,ISO 27001是國際信息安全領域的重要標準,它的前身源自英國標準協會(British Standards Institute,BSI)在1995年2月制定的信息安全管理標準 BS 7799,經修訂后,于2005年10月15日作為國際標準ISOIEC 27001/2005。該標準基于風險評估的風險管理理念,可用于信息安全管理體系的建立和實施,保障信息安全,全面系統地持續改進安全管理。國航的信息安全管理體系已于2008年12月就通過了國際權威認證機構的現場審核,具備了獲取ISO 27001信息安全管理體系國際認證的條件。
在國航發展戰略中,信息安全占有非常重要的位置,幾乎所有業務都與信息技術相關,特別是涉及到飛行安全、客戶信任度的商務及財務方面信息等,都需要信息安全管理體系這張保護網的保障,在這種發展趨勢下,國航以建立起成熟的、具備國際水平的信息安全保障體系,保障核心業務不中斷、核心系統不被攻擊、客戶信息不泄露為信息安全愿景目標,
中國國際航空股份有限公司信息管理部總經理劉東說,國航有幾百個系統每天運營著國航所有的正常航線、飛機維護、機組人員的管理、人員的編排,還有財務的收益管理,以及訂座系統、離崗系統、網絡收益系統。對于航空公司來講,每個系統都不能失控,也不能出問題。
安全蹺蹺板
曾經主抓飛行安全如今管信息安全的中國國際航空股份有限公司副總裁賀利,在回顧國航在信息安全方面取得建設的一些建設成果時表示,“信息安全的體系是一個很復雜的體系,我們在業界經常叫“安全蹺蹺板”,這個蹺蹺板主要是在IT基礎結構的基礎上,包括三方面內容:一是技術平臺,二是組織和人員,三是制度和流程,由這三方面一起通過我們來執行,去構成信息安全體系。”
國航信息管理部技術管理辦公室高級經理李宗琦表示,如果沒有信息安全管理體系這張保護網,應該說國航的飛行安全可能也無法得到保障。
第一要保證國航的核心業務不中斷,第二要保證國航信息系統不被攻擊,第三要保證重要客戶的信息不被泄漏,通過這樣的保障體系為國航的業務愿景的目標實現保駕護航。
成為知名品牌
能士已經成為我國信息安全領域的知名品牌。
深圳能士公司秉承“惟精惟一,唯士為能”的企業精神,不斷開拓進取,現已在信息安全及以信息安全為支撐的應用領域居領先地位。
深圳能士公司在身份認證、加密存儲、人臉識別等技術領域具有很強的技術實力,處于世界先進、國內領先水平,在互聯網、物聯網、云計算等方面具有多項技術創新。
深圳能士公司下屬的深圳市能信安物聯網技術有限公司注冊資本為800萬元。它是由深圳能士公司投資的專注于物聯網和云計算技術開發及運營的專業技術公司。能信安物聯網技術公司擁有專業的物聯網技術研發中心。
該研發中心設有硬件部、軟件部、測試部、生產部等多個部門,同時建立了一整套的研發、生產、產品檢測流程。能信安物聯網技術公司擁有加密智能卡、加密ZIGBEE卡、活體指紋強身份認證、人臉識別等技術,在智能交通、安防等領域的應用處于領先地位。
能信安物聯網技術公司自主開發的《能信安駕駛人培訓質量監管及計時計程管理系統》在國內相關領域具有多項創新,已成為國內較先進、全面、科學的行業應用解決方案。
獲得多個資質
深圳市能士信息安全有限公司作為信息技術領域優秀的專業技術公司,已獲得如下資質:
? 國家保密局頒發的《涉及國家秘密的計算機信息系統集成資質證書》
? 國家保密局系統保密技術防護研發生產指定單位
?工業和信息化部頒發的《計算機信息系統集成資質證書》
? 中國信息安全認證中心頒發的《ISCCC信息安全應急響應服務資質證書》
? 中國信息安全測評中心頒發的《信息安全服務資質證書》
? 廣東省公安廳頒發的《廣東省計算機信息系統安全服務資質證》
? 廣東省公安廳和深圳市公安局指定的等級保護技術支持單位
? 國家密碼管理局商用密碼生產定點單位
? 國家密碼管理局商用密碼銷售許可單位
? ISO9001∶2008質量管理體系認證證書
? 深圳市《高新技術企業認定證書》
? 深圳市“軟件企業資質”
在新形勢下,深圳能士公司致力于為客戶提供建立在可靠、安全保障平臺基礎上的系統集成服務。深圳能士公司擁有一支高素質、長期從事信息系統集成工程的技術團隊,以及完善的設計、施工、管理、維護服務體系,為客戶提供優質工程及完善服務保障,相關工程曾多次獲得省部級主管部門“試點工程”或“樣板工程”榮譽稱號。公司已發展成為大規模的企業級信息系統集成完整解決方案提供商。
深圳能士公司從2008年即開始著手研究網絡綜合布線的安全問題,致力于塑料光纖在我國系統部署中的應用研究,并形成全面的系統塑料光纖綜合布線解決方案。這是因為塑料光纖傳輸頻帶很寬,通信容量大,對人體影響小,隨著社會信息化應用的不斷發展,可以滿足光纖到桌面的技術需求。據悉,深圳能士公司的民用信息系統塑料光纖綜合布線的整體解決方案在技術方面在國內處于領先水平。
深圳能士公司下屬的深圳能信安物聯網技術公司致力于應用引導和技術研發的互動式發展,帶動物聯網的產業發展。深圳能信安物聯網技術公司在物聯網和云計算領域的專業信息安全方面有領先的技術優勢,在業界享有較高的聲譽,并且基于安全識別核心技術、物聯網、云計算等多個領域開發了多款自主知識產權軟硬件產品。
深圳能士公司具有非常穩定的技術隊伍。鑒于國家對集成單位的嚴格管理規定和信息安全行業的特殊性,公司按照國家相關規定制定了嚴格的人事管理制度,為核心技術人員(人員)提供深造機會和期權激勵機制,保證了技術人員的穩定性。公司管理嚴格,技術人員政治上可靠,業務上過硬。公司成立了專門的保密領導小組,制定了人員保密管理制度、技術保密管理制度等,從而進一步保證公司所提供的安全產品和安全服務的可靠性、安全性和保密性,從而保護國家秘密和客戶利益。
深圳能士公司表示,未來公司將再接再厲,鞏固行業領軍企業的地位,為用戶提供更多更好的安全產品和服務產品。
