|
知识路径: > 嵌入式系统的安全性知识 > 安全性基本概念 > 嵌入式系统安全方案 >
|
相关知识点:7个
|
|
|
|
|
为适应形势发展需要,行业应及时建立并不断完善各种安全保障的法规、制度,坚持依法管理工控安全。法律规范应建立在安全技术标准和实际应用的基础之上,具有宏观性、科学性、严密性和稳定性。必须明确主体、用户和其他有关实体的权利和职责,安全监管部门的权利和职责,对奖励与处罚、违法与犯罪的惩治等都应有明确的规定。同时加强人员管理教育。信息安全保密问题核心是人员的管理和教育。工控系统中存在的大量重要数据是生产单位的核心资产,为此,在考虑信息安全的综合治理时,行业首先要重点抓住人员管理这个核心。因而必须在思想品质、职业道德、监督管理、规章制度和教育培训等方面下功夫,加强对人员的思想教育和技术培训,防止人为主观入侵事件的发生,并有效阻止外来非法访问、非法入侵。
|
|
|
|
(1)采用访问控制策略。行业系统的数据保护的主要任务是保证系统资源不被非法使用和非法访问。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、系统监测和锁定控制策略,以及终端结点安全控制策略等方面的内容,一般采用基于资源的集中式控制、基于目的地址的过滤管理以及网络签证等技术来实现。
|
|
|
(2)采用加密技术。加密的目的是保护行业的数据、文件、口令和控制信息,防止信息的非授权泄漏。通过加密技术不仅可以有效地对抗截获、非法访问、破坏信息的完整性等威胁,还可以较好地解决伪造、抵赖、冒充和篡改等安全问题。
|
|
|
(3)采用反病毒技术。反病毒技术包括预防、检测和消除病毒等技术。反病毒程序常驻内存,优先控制系统,监视和判断系统中是否有病毒存在,进而阻止病毒进入系统和对系统进行破坏。针对病毒的严重性,应提高防范意识,做到所有软件必须经过严格审查,经过相应的控制程序后才能使用。
|
|
|
|
(1)把好系统设计安全关。系统设计是行业工控系统与信息工程建设的第一个环节,要遵循业务需求与安全需求同步设计的原则,消除系统结构性漏洞,打牢系统安全防护基础。
|
|
|
(2)把好产品研发与设备采购关。把好产品研发和设备采购关,能有效防止存有漏洞或后门的产品进入行业系统,是保证系统安全的重要环节。产品研发包括研发过程要规范,安全性能要达标,安全测试要同步。
|
|
|
(3)把好系统安全管理关。大量事实证明,管理漏洞是许多行业工控系统、信息系统出现故障的主要原因,确保系统安全,管理是关键,围绕系统安全管理,要重点抓好健全领导机制,完善管理制度和人员管理3项基本工作。要加强工程实施和竣工验收管理,同步跟踪工控与信息系统建设的全过程,高度重视竣工验收,随时发现和消除各种安全隐患和漏洞。
|
|
|
(4)把好系统风险评估关。定期开展安全检测和风险评估,及时发现行业工控系统存在的脆弱性和漏洞,评估可能面临的安全风险,并对发现的安全问题进行技术加固。
|
|
|
(5)把好系统威胁监测和应急响应关。为及时发现各种网络入侵攻击行为,应对重要的行业工控系统网络端结点和关键数据进行威胁监测,以掌握主机系统、邮件系统、网络和网站的运行状况和安全态势。应急响应是应对信息安全事件,防止事态扩大,堵塞漏洞,减少损失必不可少的一项重要工作。建立应急响应技术团队,制定应急响应预案,定期开展应急演练、现场取证和攻击源定位、系统和数据恢复,以及安全加固等工作。
|
|
|