TSCE安全防护解决方案

全舰计算环境TSCE安全防护解决方案

信息技术的发展导致以平台为中心的计算模式正向以网络为中心的计算模式转变,这使得未来海战将从“平台中心战”转向“网络中心战”。舰艇作为现代海战的一个基本单元,网络中心战对其综合能力提出了更高的要求。伴随“网络中心战”理念的不断完善,舰船作战系统逐步向一体化、集成化、系统化发展,最终形成全舰计算环境(TSCE,Total Ship Computing Environment),使各个系统进一步融合为一个一体化的网络,将原本独立的各个系统进行集约化管理。因此,TSCE在将原本孤立的各个系统进?#26032;?#36753;聚合后,在实现分布式计算资源共享,减少装备数量的同时,也带来了网络安全隐患。

一、全舰计算环境TSCE安全风险分析

  1. 1.网络安全风险点分析

  2. l网络结构安全性:

  3. ü各个子系统之间缺乏可靠的技术隔离手段,缺乏有效的区域隔离;存在单点问题蔓延至全网的风险;

  4. ü没有在网络边界部署访问控制设备,缺乏访问控制功能;存在越权访问的风险;

  5. l数据行为安全性:

  6. ü缺少为数据流提供明确的?#24066;?拒绝访问的能力;

  7. ü不能对进出网络的信息内容进行过滤,不能实现对应用层协议命令级的控制;

  8. l第三方接入安全性:

  9. ü缺少防止地址欺骗的技术手段;

  10. ü缺乏对网络的入?#20013;?#20026;、关键操作及安全?#24405;?#34892;为进行有效监控、定位和阻?#31995;?#33021;力;

  11. ü无法对网络攻击行为进行攻击源IP、攻击类型等信息记录,进行跟踪溯源;

  12. 2.主机安全风险点分析

  13. l全舰计算环境采用现有的商用系统,存在大量的安全漏洞,尤其是可被远程利用的漏洞;

  14. l全舰计算环境系统本身未经过安全加固,容易被黑客入侵和利用,从而导致敏感数据?#23396;?#29978;至使作战系统失效;

  15. l内部操作人员可能存在误操作的风险,对于关键的控制操作指令,一旦出现误操作,可能操作不可估量的损失;

  16. 3.应用安全风险点分析

  17. l重点主体访问应用系统的身份识别、授权访问等方面缺乏;

  18. l没有采用密码技术保证通信过程中数据的完整性;

  19. l在通信过程中的整个报文或会话过程未进行?#29992;埽?/span>

  20. l缺乏有效的软件容错能力;

   4.数据安全风险点分析

    l控制信号传输中的完整性无法得到保护;

  l服务器集中存储的敏感数据机密?#21592;?#25252;方面,存在安全风险;

二、全舰计算环境TSCE安全政策要求

l2017年6月国际海事组织第98次海安会通过提高海事安全措施的有关决议,鼓励各国政府确保不迟于2021年1月1日之后的首?#25991;甓确现?#26126;审核时,在安全管理系统应?#20174;?#32593;络风?#23637;?#29702;相关内容。 

l中国船级社(CCS)正式发布《船舶网络系统要求与安全评估指南》(以?#24405;?#31216;《指南》),该指南于2017年7月20日生效。

l网络安全法》中明确要求“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务”。从立法?#31995;?#35282;度已经确定实施信息安全等级保护的法律地位。

l等保2.0中明确要求:除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。

三、全舰计算环境TSCE安全防护建议

建议针对TSCE的各个层级进行安全防护,并加强全流程的安全管理,最终达到提升TSCE整体安全防护能力的目的。具体措施如下:

  • 对操作终端进行白名单防护

对获批准/信任的程序实行白名单管理,防止恶意软件或未经许可软件(如.DLL文件)的执行;对重要服务器(如活动目录)和其他?#29616;?#26381;务器实行白名单管理可以有效防止意?#35760;?#21462;密码、扩大权限等恶意软件的运行;

  • 对操作系统主机加固

通过主机加固系统来对操作系统进行主机加固,尽量减少拥有域管理或本地管理权限的?#27809;?#25968;量。

  • 多因子身份?#29616;?/span>

在远程登陆、进入数据库或其他敏感信息库和进行权限操作(如系统管理等)时应该实行多因子身份?#29616;ぃ?#23588;其应对最可能成为攻击目标的计算机设备进行多因子身份?#29616;ぁ?/span>

  • 通过工业防火墙实现网络分段与隔离

对TSEC进行区域划分,对各个安全区域进?#26032;?#36753;隔离防护;

  • 通过工业审计实现指令级行为审计

对TSEC?#31995;?#24037;业控制通讯数据进行监测审计,对设备运行状况、网络异常流量、关键?#24405;⒂没?#34892;为等进行监测和日志记录;

  • 通过统一监管平台实现集中记录并同步记录?#24405;?#26085;志

用于统一配置、管理、监测工控网络安全的?#24067;?#24179;台产品,并?#36828;?#21516;步记录并分析所有?#24066;?#21644;受阻的网络和终端行为;




底部导航
友情链接
联系方式
微信公众号:zkxa_6688
扫一扫,添加二维码!

联系电话:010-62631842

联系邮箱:[email protected]

联系地址:北京市海淀区知春路慎昌大厦四层

微信公众号:中科兴安工控安全

ICP备案号:京ICP备18011311号

1.21快船vs活塞
双色球复式投注中奖计算器表 重庆时时彩 欢乐生肖人工计划网站 定位胆6码高级倍投 合乐888注册账号 极速赛车计划全天精准版 北京pk赛车开奖记录 7125彩票网站是真的吗 广东时时预测软件 17年重庆时时彩骗局 六肖王中特全年无错↙ 内蒙古时时综合走势 时时彩计划 亿彩国际下载 重庆时时彩输死多少人 新疆时时大奖