計算機安全技術在電網信息管理論文
本文對目前電廠信息建設中若干核心系統安全事故進行了分析,闡述了內網核心系統信息安全防護解決方案及技術原理,介紹了S-NUMEN系統的技術特點及在電廠MIS中應用情況。
一、目前電力行業核心系統安全事故及原因分析
(1)某電廠,電腦高手入侵MIS主機,更改主機配置,造成2臺MIS數據庫服務器同時宕機。(電廠內部人通過UNIX學習,攻擊內部核心服務器,并且獲得管理員權限。試圖修改雙機熱備主副機配置,造成業務宕機,為了掩蓋自己的入侵行為退出時刪除系統日志。)
(2)A某電廠,電腦高手多次入侵MIS主機,更改重要的生產數據。
(3)B某電廠,多次發現內部人員誤操作,并且非法入侵MIS主機。
(4)某市電力調度,安全區I通信服務器由于廠家(KD公司)開發的軟件系統出現緩沖區溢出漏洞,造成核心服務器宕機(重啟等現象),并且無法與南網公司進行數據通訊,造成特大事故。
(5)某省電力某營銷,電腦高手入侵主機的計費系統,更改電費數據。
通過大量的行業事故可以看出,這些事故主要是針對于核心系統的攻擊或者破壞。并且每一次成功的入侵都會對系統造成極大的損失,其中業務終止或數據庫系統被入侵造成的損失更是巨大。
發生這些事故的主要原因是:在核心的主機系統沒有做安全防護:①美國出口中國的操作系統的安全級別低,只是C2級別的,更高級別的操作系統不出口中國,這種C2級別系統本身就有很多的漏洞,入侵者很容易通過這些系統漏洞侵入主機。②很多用戶的核心業務服務器,由于本身業務原因,不能及時安裝由操作系統廠商提供的補丁,造成利用漏洞攻擊核心系統的風險增加。
③網絡級(防火墻、入侵檢測)或應用級(殺毒、網管)安全產品只能實現網絡邊界處或應用層的保護,不能保護核心系統。④在信息化建設的過程中,接觸主機的外部人員多(如設備的調試安裝),對信息安全造成一定威脅。⑤主機上運行的是用戶的重要數據、文件和關鍵的業務、進程,對系統可靠性要求更高。
二、核心系統安全防護解決方案
(一)技術原理
Unix操作系統有一個系統調用表,包含指向每個系統調用的內存地址的指針。應用程序對資源的訪問、對硬件設備的使用、進程間的通訊都是通過系統調用接口在操作系統內核中實現的。安全內核保存了該表中與安全有關的系統調用的指針,并把這些系統調用重定向到S-NUMEN的相應代碼。當用戶或程序執行一個與安全有關的系統調用時,S-NUMEN系統調用代碼會檢查S-NUMEN數據庫。如果調用是被授權的,S-NUMEN調用原來的Unix系統調用。否則,安全內核返回權限錯誤,禁止該請求。
這種實現方式與應用級的安全產品比較有著明顯的優勢。系統入侵檢測產品作為應用層產品出于本身安全性考慮以及功能上無法到達系統保護的功能。網絡級入侵檢測產品和防火墻作為網絡級安全產品從技術原理上講不具備內網核心安全的要求。
同時,S-NUMEN產品與其他系統保護產品的優勢在于它不需要修改操作系統內核并且無需重啟系統,這種方式完全滿足現有高端服務器的要求。而其它系統保護產品不但使系統管理和支持復雜了,也會違背操作系統的供應商授權-使操作系統維護更困難,增加了巨大的開支。
(二)S-NUMEN技術特征
當防火墻、入侵檢測、VPN等網絡級安全產品不能滿足日益受到威脅的內網核心安全時,S-NUMEN作為系統級系統保護產品可以保證內網核心服務器的安全。由于來自于內、外部的網絡入侵事件頻頻發生,企業的網絡和其他重要的服務器前所未有地暴露在電腦高手及非授權內部人員的侵入和攻擊的威脅下。S-NUMEN能夠防止非授權的訪問,使內網核心服務器安全運行。
S-NUMEN是系統級安全產品,在加強操作系統安全的同時,并不對系統的內核進行修改,從而保證了關鍵業務服務器的穩定運行。除此之外,在服務器安裝S-NUMEN后,系統無需重啟,避免了服務器重啟所產生的不必要損失。
操作系統訪問控制以及操作系統漏洞的最佳策略是任務分離和最小權限原則。S-NUMEN通過RBAC(角色訪問控制)、MAC(強制訪問控制)將安全管理員的權限分離。嚴格分開系統管理員和安全管理員的權限,以控制系統管理員的權限,來防止內外人員通過非法獲得系統管理員權限破壞文件系統信息。
三、S-NUMEN產品功能
(1)數字簽名認證功能:為了達到內網核心安全的目的,S-NUMEN采用了數字簽名證書為基礎并結合訪問控制的技術。當安全內核安裝后,沒有通過數字簽名證書認證的用戶,即使獲得了管理員權限,也不能訪問被安全內核保護的資源。S-NUMEN通過接管系統所有訪問控制權限,實際上取消了“超級用戶”(root)權限,通過使用數字簽名證書認證機制,達到用戶認證目的。用戶或者其他非法入侵者即使獲得了超級用戶口令也無法訪問系統重要資源。
(2)帳號管理功能:S-NUMEN提供遠程站點的unix用戶帳戶及組管理功能。S-NUMEN在內核層基于證書進行認證,提高安全強度,所以為控制安全管理員配置的文件要用安全管理員發行的證書得到認證。
(3)口令質量控制功能:S-NUMEN為管理員提供了口令質量控制的功能,管理員可以利用這項功能實現密碼的質量控制,如:設置密碼的最大長度和最小長度,密碼中出現的特殊字符的最少數量,當口令更改后,該密碼的使用期限等。通過S-NUMEN與系統結合,S-NUMEN提供了對用戶登錄口令的管理,S-NUMEN 將口令質量控制分為兩部分:密碼更改期限&密碼登錄限制和密碼格式。
(4)網絡控制服務: S-NUMEN網絡控制具備了系統防火墻功能,該功能控制遠程對服務器IP或服務的訪問。通過功能強大的網絡服務及IP地址控制,可以很好的限制用戶訪問系統資源。S-NUMEN 提供的系統防火墻功能允許對TCP、UDP以及ICMP等數據包進行內外訪問的控制,并且可以對以用戶為主體進行網絡訪問控制。
此外,S-NUMEN還具有程序自動權限設置、Setuid 控制-特權程序控制、日志系統及設置等功能。
四、S-NUMEN系統在某電廠的應用
某電廠MIS系統項目作為某集團公司關于電廠管理信息化的重點工程,在電力行業管理信息系統應用方面具有很好的代表性。通過對運行關鍵業務的電廠生產期實施防護,給某電廠帶來了很好的效益。通過對操作系統安全級別提升,使小型機服務器安全性更好,同時使整個網絡的安全性更加健壯,核心業務運行穩定性增加,重要數據文件LOG日志安全得到保障,工作效率得到很大的提高,隨著內網核心系統防護的實施必將進一步推進某電廠信息安全的發展,從而推動某電廠系統業務的穩定運行。
【計算機安全技術在電網信息管理論文】相關文章:
計算機應用技術的信息管理整合論文06-10
計算機信息管理論文11-05
計算機信息管理論文05-16
[優]計算機信息管理論文15篇07-16
計算機信息管理論文15篇[實用]05-24
計算機信息安全論文09-15
計算機信息安全論文05-21
計算機應用技術論文06-08
計算機信息安全論文【精華】11-14
對于計算機網絡安全的入侵檢測技術分析論文11-01