2: 2003年,承擔(dān)SX電力外送任務(wù)的三個(gè)換流站(LQ、EC、ZP)的控制系統(tǒng)相繼發(fā)現(xiàn)病毒,經(jīng)查明系外國技術(shù)人員在系統(tǒng)調(diào)試中使用便攜式電腦上互聯(lián)網(wǎng)后,將病毒帶入基于WINDOWS操作系統(tǒng)的控制系統(tǒng)通過網(wǎng)絡(luò)傳播所致。事件暴露出WINDOWS操作系統(tǒng)的脆弱性和局部安全事件擴(kuò)散可能造成整個(gè)系統(tǒng)癱瘓。
3:2010年9月,伊朗布什爾核電站的計(jì)算機(jī)遭到世界上第一個(gè)以工業(yè)控制系統(tǒng)為攻擊目標(biāo)的“震網(wǎng)”蠕蟲病毒的侵襲,導(dǎo)致納坦茲鈾濃縮工廠數(shù)千臺(tái)離心機(jī)因技術(shù)故障“停工”。
4:1992年2月,立陶宛Inalina核電站的計(jì)算機(jī)中心員工因?qū)Ξ?dāng)局不滿,故意在電廠控制程序內(nèi)植入惡意程序(邏輯炸彈),使控制系統(tǒng)功能異常。
5:2008年,黑客入侵并劫持了南美洲某國的電網(wǎng)反控制系統(tǒng),敲詐該國政府,在遭到拒絕后,攻擊了電力傳輸系統(tǒng),導(dǎo)致了長時(shí)間的電力中斷。
6: 07年5月底,GZ電力調(diào)度,安全區(qū)I通信服務(wù)器由于廠家開發(fā)的軟件系統(tǒng)出現(xiàn)緩沖區(qū)溢出漏洞,造成核心服務(wù)器宕機(jī)(重啟等現(xiàn)象),并且無法與南網(wǎng)公司進(jìn)行數(shù)據(jù)通訊,造成特大事故。
7:XX電網(wǎng),黑客入侵電力營銷主機(jī),更改計(jì)費(fèi)系統(tǒng),達(dá)30萬元,為了掩蓋自己的入侵行為退出時(shí)刪除系統(tǒng)日志。
核心系統(tǒng)安全事故原因分析
原因是:在核心的主機(jī)系統(tǒng)沒有做安全防護(hù)
在一個(gè)部署過許多邊界防護(hù)產(chǎn)品又是內(nèi)外網(wǎng)隔離的情況下,為什么要在核心的主機(jī)系統(tǒng)部署防護(hù)產(chǎn)品?因?yàn)椋?/p>
(1) 美國出口中國的操作系統(tǒng)的安全級(jí)別低,只是C2級(jí)別的,更高級(jí)別的操作系統(tǒng)不出口中國,這種C2級(jí)別系統(tǒng)本身就有很多的漏洞,入侵者很容易通過這些系統(tǒng)漏洞侵入主機(jī)。
(2) 很多用戶的核心業(yè)務(wù)服務(wù)器,由于本身業(yè)務(wù)原因,不能及時(shí)安裝由操作系統(tǒng)廠商提供的補(bǔ)丁,造成利用漏洞攻擊核心系統(tǒng)的風(fēng)險(xiǎn)增加。
(3) 網(wǎng)絡(luò)級(jí)(防火墻、入侵檢測)或應(yīng)用級(jí)(殺毒、網(wǎng)管)安全產(chǎn)品只能實(shí)現(xiàn)網(wǎng)絡(luò)邊界處或應(yīng)用層的保護(hù),不能保護(hù)核心系統(tǒng)。
(4) 在信息化建設(shè)的過程中,接觸主機(jī)的外部人員多(如設(shè)備的調(diào)試安裝),對(duì)信息安全造成一定威脅。
(5) 主機(jī)上運(yùn)行的是用戶的重要數(shù)據(jù)、文件和關(guān)鍵的業(yè)務(wù)、進(jìn)程,對(duì)系統(tǒng)可靠性要求更高。
(6) 一旦出現(xiàn)了事故,入侵者在離開前修改或刪除日志,事后無法追查、判斷責(zé)任,無法迅速找到解決方案。
(7) 目前行業(yè)內(nèi)部主機(jī)感染病毒、木馬事件日漸頻繁,通過個(gè)人主機(jī)攻擊核心業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)也再不斷增加。
(8) 利用有限的外聯(lián)設(shè)備進(jìn)行滲透式攻擊,包括植入木馬等惡意程序或者利用緩沖區(qū)溢出等攻擊方法獲取系統(tǒng)資源及系統(tǒng)控制權(quán)。
綜上所述,電力行業(yè)是非常重視信息安全保障,有非常嚴(yán)格的管理體系,并且部署了部分安全產(chǎn)品。但是以上事故說明從現(xiàn)有的防火墻、防病毒等安全產(chǎn)品的情況下,無法非常有效的阻止和預(yù)防此類安全問題。
百度搜索:99建筑網(wǎng),查看數(shù)百萬資料
四、核心系統(tǒng)防護(hù)產(chǎn)品S-NUMEN的功能:
? 實(shí)現(xiàn)內(nèi)網(wǎng)核心安全
當(dāng)防火墻、入侵檢測、VPN等網(wǎng)絡(luò)級(jí)安全產(chǎn)品不能滿足日益受到威脅的內(nèi)網(wǎng)核心安全時(shí), S-NUMEN作為系統(tǒng)級(jí)主機(jī)保護(hù)產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來自于內(nèi)部外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生,企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在黑客及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。 S-NUMEN能夠防止非授權(quán)的訪問,使內(nèi)網(wǎng)核心服務(wù)器安全運(yùn)行。
? 提升現(xiàn)有操作系統(tǒng)的安全級(jí)別
WINDOWS、UNIX系統(tǒng)大多為C2級(jí),采用自主存取控制機(jī)制。安全性更高的B1級(jí)采用強(qiáng)制存取控制機(jī)制,強(qiáng)制存取控制(MAC) 提供了基于信息機(jī)密性的存取控制方法,用于將系統(tǒng)中的用戶和信息進(jìn)行分級(jí)別、分類別管理,強(qiáng)制限制信息的共享和流動(dòng),使不同級(jí)別和類別的用戶只能訪問到與其有關(guān)的、指定范圍的信息,從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。尤其適用于軍事、政府重要部門、金融、能源領(lǐng)域。 ? 核心數(shù)據(jù)及重要服務(wù)的保護(hù)
S-NUMEN通過在內(nèi)核層上接管系統(tǒng)調(diào)用,可對(duì)數(shù)據(jù)庫、文件、系統(tǒng)、進(jìn)程進(jìn)行保護(hù)。S-NUMEN可防止入侵者或未經(jīng)授權(quán)的用戶非法篡改、刪除數(shù)據(jù),同時(shí)可以保護(hù)提供服務(wù)的重要進(jìn)程不被強(qiáng)制終止。
? 數(shù)字簽名認(rèn)證保證了用戶身份的可靠性
S-NUMEN通過基于內(nèi)核的數(shù)字簽名認(rèn)證機(jī)制,保證了用戶身份的可靠性。C2級(jí)的操作系統(tǒng)采用ID和Password的認(rèn)證方式,這種方式不能滿足政府、金融、能源、電信等重要部門的安全等級(jí)要求。S-NUMEN只允許通過數(shù)字簽名證書認(rèn)證的授權(quán)用戶才能訪問系統(tǒng)受保護(hù)資源。
? 入侵行為的主動(dòng)防御(IPS)
當(dāng)系統(tǒng)發(fā)生入侵行為或者違反安全策略的操作時(shí), S-NUMEN利用自身功能對(duì)用戶(程序)在網(wǎng)絡(luò)層和系統(tǒng)內(nèi)部對(duì)該用戶(程序) 進(jìn)行阻斷,并且由系統(tǒng)向管理員進(jìn)行報(bào)警。S-NUMEN真正做到了,在沒有誤報(bào)和漏報(bào)率的情況下,實(shí)現(xiàn)主動(dòng)的入侵防御功能。
五、北京信達(dá)產(chǎn)品資質(zhì)與部分案例
部分案例
案例http:///
一、奧運(yùn)安保北京地鐵供電SCADA系統(tǒng)
項(xiàng)目背景
地鐵供配電系統(tǒng)擔(dān)負(fù)著向地鐵各系統(tǒng)提供動(dòng)力能源的任務(wù)。按照功能它可分為高壓電源系統(tǒng)、牽引供電系統(tǒng)和動(dòng)力照明供電系統(tǒng)。高壓電源系統(tǒng)負(fù)責(zé)將城市電網(wǎng)高壓電變?yōu)榈罔F牽引供電系統(tǒng)和動(dòng)力照明系統(tǒng)所需要的電壓,由主變電站組成;牽引供電系統(tǒng)負(fù)責(zé)軌道電動(dòng)車輛運(yùn)行的電能,由牽引站和接觸網(wǎng)組成;動(dòng)力照明供電系統(tǒng)提供車站和區(qū)間各類照明、扶梯、風(fēng)機(jī)、水泵等動(dòng)力機(jī)械設(shè)備電源和通信、信號(hào)、自動(dòng)控制等設(shè)備的電源,由降壓站組成。一般,我們習(xí)慣于按照變電站降壓等級(jí)分類,即主變電站、牽引站、降壓站。目前,國內(nèi)常規(guī)設(shè)計(jì)為設(shè)兩個(gè)110/33 kV主變電站,并根據(jù)實(shí)際情況設(shè)置多個(gè)33 kV /1500VDC牽引站和33/0.4kV降壓變電站。
供配電系統(tǒng)作為整個(gè)地鐵的動(dòng)力源泉,是其它系統(tǒng)正常運(yùn)轉(zhuǎn)的前提,同時(shí),SCADA系統(tǒng)又肩負(fù)著監(jiān)督供配電系統(tǒng)的運(yùn)行狀態(tài),并根據(jù)需要進(jìn)行相應(yīng)的控制,使供配電系統(tǒng)能夠更好地為其它的系統(tǒng)服務(wù)的重任,而這一切的穩(wěn)定運(yùn)行又依賴于安全可靠的核心系統(tǒng)數(shù)據(jù)和穩(wěn)定運(yùn)行的核心業(yè)務(wù),因此,保護(hù)SCADA系統(tǒng)的核心數(shù)據(jù)和核心業(yè)務(wù)就成了勢在必行的首要安全問題。
運(yùn)行效果和用戶體驗(yàn)
通過在數(shù)據(jù)庫平臺(tái)上安裝內(nèi)網(wǎng)核心防護(hù)系統(tǒng)S-NUMEN后,保護(hù)了采集的各種底層數(shù)據(jù),包括監(jiān)視電力設(shè)備運(yùn)行狀態(tài)、高低壓主開關(guān)狀態(tài)、等各種電力參數(shù),同時(shí),數(shù)據(jù)的安全和業(yè)務(wù)的穩(wěn)定為車站控制室和控制中心及時(shí)了解現(xiàn)場狀態(tài)和執(zhí)行相應(yīng)的操作提供了必要的安全保證。
用戶認(rèn)為:目前系統(tǒng)運(yùn)行狀況良好,核心主機(jī)工作穩(wěn)定,網(wǎng)絡(luò)暢通,內(nèi)網(wǎng)核心防護(hù)系統(tǒng)S-NUMEN很好的保證了平臺(tái)數(shù)據(jù)、業(yè)務(wù)的安全。對(duì)于安裝了S-NUMEN后的效果,信息中心工作人員認(rèn)為:通過安裝內(nèi)網(wǎng)核心防護(hù)系統(tǒng),邊界部分有防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品的保護(hù),核心部份有了S-NUMEN的保護(hù)。
北京地鐵SCADA供電系統(tǒng)示意圖
案例二、國家商務(wù)部
項(xiàng)目背景
國家商務(wù)部中國國際電子商務(wù)中心是商務(wù)部信息化建設(shè)的執(zhí)行機(jī)構(gòu)和技術(shù)支撐單位,同時(shí)又是電子商務(wù)解決方案的供應(yīng)商和服務(wù)商,自1996年成立以來一直是商務(wù)部信息化建設(shè)的主力軍,承擔(dān)國家金關(guān)工程的建設(shè)、維護(hù)和運(yùn)行任務(wù)并承擔(dān)商務(wù)部電子政務(wù)建設(shè)技術(shù)支持和保障任務(wù),包括商務(wù)部統(tǒng)一網(wǎng)絡(luò)平臺(tái)(專用網(wǎng))建設(shè),應(yīng)用系統(tǒng)開發(fā)、維護(hù)、推廣、數(shù)據(jù)分析與決策支持、安全認(rèn)證技術(shù)運(yùn)用及電子商務(wù)信息交換、服務(wù)與國際交流等,在各部委中起步早、基礎(chǔ)好、成績顯著。
國家商務(wù)部數(shù)據(jù)庫平臺(tái)的建設(shè)與發(fā)展首先是為滿足我國商貿(mào)領(lǐng)域電子政務(wù)事業(yè)的深化與拓展。數(shù)據(jù)庫平臺(tái)支撐運(yùn)行的商務(wù)部業(yè)務(wù)管理、統(tǒng)計(jì)分析、預(yù)警決策等電子政務(wù)項(xiàng)目已達(dá)60多個(gè)。
應(yīng)用需求分析:增強(qiáng)全國最大的B2B數(shù)據(jù)庫平臺(tái)的安全性,增強(qiáng)北京東單中心-亦莊中心-廣州三地“異地災(zāi)備”安全性。
中國國際電子商務(wù)中心數(shù)據(jù)庫經(jīng)過多年建設(shè)與運(yùn)營,積淀了龐大的商貿(mào)信息資源,涵蓋
了各類業(yè)務(wù)數(shù)據(jù)庫、企業(yè)數(shù)據(jù)庫,共享數(shù)據(jù)庫、標(biāo)準(zhǔn)庫、代碼庫、和格式庫。同時(shí)中心已啟
動(dòng)“中國企業(yè)信用信息數(shù)據(jù)庫”建設(shè)計(jì)劃,擬用五年的時(shí)間視頻建立國內(nèi)規(guī)模最大的企業(yè)信用信息數(shù)據(jù)庫,并使之成為“一體化”現(xiàn)代商務(wù)服務(wù)體系的重要組成部分。國家商務(wù)部在北京東單中心、亦莊中心、廣州三地做了異地災(zāi)備,其數(shù)據(jù)的安全重要性不言而喻。將來,國家與國家之間的商業(yè)競爭就是電子商務(wù)的競爭,2009年將是B2B成熟頂峰期,當(dāng)前網(wǎng)上交易正處于快速發(fā)展階段,對(duì)數(shù)據(jù)的安全性提出了很高的挑戰(zhàn)性。
運(yùn)行效果和用戶體驗(yàn)
國家商務(wù)部選擇內(nèi)網(wǎng)核心防護(hù)產(chǎn)品S-NUMEN作為保護(hù)中心數(shù)據(jù)庫服務(wù)器平臺(tái)及災(zāi)備服務(wù)的安全產(chǎn)品,對(duì)現(xiàn)有中國商貿(mào)領(lǐng)域最權(quán)威的海量動(dòng)態(tài)數(shù)據(jù)庫數(shù)據(jù)平臺(tái)進(jìn)行安全加固。為上級(jí)政府的科學(xué)決策和國內(nèi)外企業(yè)電子商務(wù)更好的支持和服務(wù)。為商務(wù)工作提供更準(zhǔn)確、高效的統(tǒng)計(jì)、數(shù)據(jù)分析服務(wù)、同時(shí)也為國內(nèi)外企業(yè)提供更高速、穩(wěn)定、安全、快捷的服務(wù)。
用戶認(rèn)為:目前數(shù)據(jù)庫平臺(tái)安全性好,系統(tǒng)工作穩(wěn)定,網(wǎng)絡(luò)暢通,S-NUMEN和其它安全防護(hù)產(chǎn)品互為補(bǔ)充,很好好構(gòu)成了一個(gè)由網(wǎng)絡(luò)邊緣到核心的多層次的縱深的立體的防護(hù)體系,保證了各項(xiàng)業(yè)務(wù)的迅速開展和運(yùn)行。
中國國際電子商務(wù)中心網(wǎng)絡(luò)拓?fù)鋱D
案例三、華電望亭電廠SIS項(xiàng)目
項(xiàng)目背景
所謂SIS,即廠級(jí)監(jiān)控系統(tǒng)(Supervisor Information System),是介于底層系統(tǒng)和管理信息系統(tǒng)(MIS)之間的“中間件”。 火電廠自動(dòng)化的發(fā)展可以分為4個(gè)階段:分散控制系統(tǒng)時(shí)代、網(wǎng)絡(luò)化時(shí)代、數(shù)字化時(shí)代和信息化時(shí)代。目前華電望亭電廠正處于數(shù)字化建設(shè)階段,DCS分散控制系統(tǒng)已經(jīng)得到大規(guī)模的普及,電力系統(tǒng)信息化水平明顯提升,在這個(gè)基礎(chǔ)上進(jìn)行SIS系統(tǒng)的建設(shè)。電廠一般有機(jī)、爐、電、控、BOP(Balance of plant)幾個(gè)生產(chǎn)環(huán)節(jié),每個(gè)專業(yè)承擔(dān)不同的生產(chǎn)分工,采用不同的生產(chǎn)過程,每個(gè)過程都有一些相關(guān)控制系統(tǒng),一般稱之為底層系統(tǒng)。對(duì)底層數(shù)據(jù)進(jìn)行統(tǒng)一管理,并通過分析工具和數(shù)學(xué)模型,對(duì)這些數(shù)據(jù)進(jìn)行二次利用,可幫助電廠改進(jìn)生產(chǎn)管理,提高生產(chǎn)效率;同時(shí),二次分析數(shù)據(jù)又可以為管理信息系統(tǒng)(MIS)所用,從而幫助企業(yè)最高層進(jìn)行未來決策。正是上述需求使華電望亭電廠的SIS,對(duì)核心主機(jī)重要的數(shù)據(jù)、文件,關(guān)鍵的業(yè)務(wù)、進(jìn)程的可靠性需求更高了。