人工智能驱动的关键信息基础设施防御研究综述

关键信息基础设施(CII)是经济社会运行的神经中枢与网络安全的重要保障,但也面临着复杂多变的网络攻击和威胁。基于人工智能的网络安全防护,能够为CII防御构建灵敏的异常识别机制、自动化的事件分析引擎和精确的全局运维能力。分析CII的攻击风险,研究已有安全防护体系的形态结构,并基于SMCRC环思想构建智能CII安全体系。针对人工智能驱动的态势感知、持续监控等CII防御要点以及信任机制、威胁情报等CII防御保障的发展趋势进行综述和分析。     

核电工控系统网络安全态势感知解决方案研究

核电厂工控系统复杂多样，且各工控系统独立防护，使核电厂缺乏整体的网络安全监控和防御能力。为解决这一问题，针对核电工控系统特点、现状及国家政策法规要求，研究了核电工控系统网络安全态势感知解决方案。该方案应用了全流量回溯分析、无损漏洞检测、单向通信、日志及工控协议快速范化解析等关键技术。该方案以核电厂为单位，对核电工控系统业务零影响、全兼容，能够监控全厂工控系统资产安全状态与告警威胁趋势、感知网络安全态势、洞悉安全风险、提供综合决策与行动。通过搭建样机系统进行全系统功能测试及第三方安全评估，验证了方案的可行性、可靠性和安全性。该方案可有效提升核电工控系统网络安全整体防护能力，为未来在核电领域中的应用提供了良好实践。     

安全级DCS网络安全标准分析与实施原则研究

随着越来越多的数字技术、通信协议和软件应用于核电厂安全级分布式控制系统（DCS）,网络安全在核电厂和安全级DCS中的地位日益重要。近年来,国内外网络安全标准陆续发布。网络安全标准要求存在差异,如何选择标准要求、如何实施对应的网络安全技术需要理论支撑。通过国内外网络安全标准要求研究,给出标准实施的建议。采用对比分析方法,分析了国内外网络安全标准的差异,分析了网络安全标准要求执行的难点。结合核电安全级DCS技术背景,提出了标准要求在工程项目中应用的基本原则。考虑了安全级DCS功能安全与网络安全协调的要求。提出的原则可为安全级DCS网络安全标准要求实施、技术措施的选择提供理论依据。     

IDS产品现状与发展趋势

随着计算机技术的发展,基于网络的计算机应用系统成为主流。计算机网络在现代生活和工作中的作用愈加重要。由于现代化网络的普及,随之而来的计算机网络安全问题也不断增加,网络安全成为人们关注的焦点。为了保障网络安全,必须建立一整套安全防护体系,进行多层次、多手段的检测和防护。目前,解决网络安全问题的主要技术手段有加解密技术、防火墙技术、安全路由器等,它们在防御网络入侵方面都起到一定的作用。网络安全作为一个综合的、立体的工程,单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生,通过动态探查网络内的…     

采用纵深防御体系架构,确保核电可靠安全

核电安全关系国家安全,在建设核电厂时应优先考虑核电厂网络信息安全.由于工业网络安全有更高要求,所以工业网络开始转向基于工业防火墙/VPN技术相结合的硬件解决方案.深入分析了核电厂网络安全的主要威胁,比较全面地论述了工业网络信息安全中涉及的主要技术和解决方案,阐述了核电厂全数字化控制系统信息安全多层分布式纵深防御解决方案.采用基于硬件的信息安全技术,创建核电厂纵深防御体系架构,确保核电厂可靠安全.     

基于等级保护技术的业务平台综合安全防护体系建设

基于等级保护技术,广东联通结合当前的实际情况,通过对网络安全特性的分析,选择合适的安全模型,发展出完整的综合安全防护体系,以此作为依据实施多种安全防护技术手段,在多个方面形成网络安全合力,大幅提升网络安全防护体系的安全性和健壮性,达到全方位提高综合安全防护水平,初步形成了增值业务网络全方位立体化的安全防护体系,实现了全业务平台的综合安全管理。     

一种主动式网络安全防御系统的设计与实现

针对传统的基于被动式防御的网络安全模型及其相关产品如防火墙和防病毒软件的应用现状,提出一种全新的防护隔离、扫描诱捕、学习适应和策略更新的网络安全解决方案.该方案克服了传统网络安全模型被动式防御的缺陷,构建集成了专用安全操作系统、操作系统安全增强平台、扫描诱捕服务器、自适应防火墙和安全部件协调器等最新网络安全理论和技术部件.本文给出了主动式网络安全防御系统的设计与实现.     

面向电力系统网络安全的多层协同防御模型研究

为满足电力监控系统组网架构及网络安全协同防护的需求,提出一种多层次且纵深分布的主动安全协同防御模型,并从模型架构、功能机制等方面设计一整套实现方案。基于域内自防御和跨域协防的特性,通过基于灰色关联分析的最高关联度防御决策,并协同安全防护设备间协作,实现从主机层、安防设备层到网络层的网络安全多级防御。通过电力监控系统典型现场对网络安全应用场景进行实验验证,结果表明,该协同防御模型增强了各层级间安全防护能力,能够提供更高效的安全风险监测、安全事件响应及动态处置的手段。     

基于安全域的企业网络安全防护体系研究

详细分析了企业网络当前的安全现状,阐述了基于安全域的网络安全防护体系架构,结合业务系统、等级保护和系统行为三种划分方式,提出了中国石油网络的安全域划分方案,并综合分层纵深策略和基于入侵检测的动态防护策略,构建多层次、立体、动态的网络安全防护体系,为企业网络安全防护方案设计提供参考。     

网络安全管理设备在核电厂DCS中的应用

根据新修订的GB/T 22239中对安全管理中心的技术要求,提出了在分布式控制系统(DCS)中增加网络安全管理设备的方案。介绍了设备的部署方法和安全收益。对比标准,进行了合规性分析,表明该方案在安全管理中心方面基本可以满足等保四级的要求。同时,提出了现有方案的改进方法,开发与其他品牌安全设备、网络设备、DCS二层人机界面之间的通信接口,增加与DCS相适应的冗余网络切换机制,以满足核电厂DCS网络安全的设计要求。该研究为网络安全产品的开发提出了新的需求,也为核电厂DCS的网络安全设计提供了借鉴和参考。     

核电站DcS仪控系统网络信息安全产品的研究与应用

随着国内核电站的不断增多,核电站国产DCS仪控系统的可用性以及可靠性取得了重大进步,近些年来由于工业控制领域的信息安全问题频发,因此对DCS仪控系统的要求也在不断提高。依托北京广利核系统工程有限公司DCS仪控系统,笔者研究并设计了网络信息安全产品-和睦卫士网络安全系统。该网络安全系统已在红沿河核电站5号机组DCS仪控系统中应用,通过测试人员调试验证及现场使用,证明了其能够有效地应对网络战环境下复杂的信息安全威胁,并构建了积极防御、综合防范、本质安全的保障体系,为其他核电站甚至其他控制领域提供了良好的借鉴。     

广东省水利网络安全综合防御体系设计

水利作为涉及国计民生的关键信息基础设施重要行业之一,在全球严峻的网络安全形势下,水利网络安全防护工作显得更为重要。为提升水利网络安全防护水平,有效降低网络安全隐患,对当前广东省水利网络安全存在的安全隐患展开分析,分别从通信网络、应用系统、数据、管理 4 个方面系统地分析当前水利网络安全存在的问题与风险,并从管理、技术、运营三大体系对水利网络架构进行总体设计,提出具有水利特点的 “分区分域、多层防护”网络安全等级保护综合防御体系。通过部署落实相关安全策略和防护设备,可以有效提高网络安全的综合防御水平,为加强广东省水利网络安全防护和构建水利网络安全保障体系提供总体思路, 具有一定的应用意义。     

基于策略的网络安全防护系统框架研究

基于策略的安全防护技术是当前网络安全研究的重点,但适于网络环境的安全策略应用机制还很不完善。本文全面分析了实施基于策略的网络安全防护应用系统的要求,提出了一种将安全策略、安全防护行为、网络应用逻辑三者相互独立又有机结合的安全策略防护框架。针对网络应用的行为及其状态特征综合分析了应用系统、安全策略及安全防护护行为的形式化描述,制定了网络应用逻辑的监控机制和基于事件驱动的策略执行算法,实现了用策略动态控制应用系统行为的目的,增强了安全防护的灵活性和扩展性。     

计算机网络安全防御与漏洞扫描技术分析

本文列举了单位网络应用面临的主要挑战,从安全审计、规则过滤和访问控制等方面对网络安全防御与漏洞扫描技术分别进行了评述。介绍了包括云数据安全防御术在内的多种技术模型和防护方案,并指出了它们的优势和不足,提出了常用的网络安全防御实施方案,并对方案可行性进行了测试验证。     

关于网络安全防御中人工智能技术应用的分析探究

本文基于现代化人工智能技术手段，介绍了关键人工智能技术积极应用至网络安全防护中的专家系统、多Agent系统及人工神经网络系统等实践，分析了计算机网络安全防御中关于网络安全态势评估与预测仿真环境的运用场景，为提高计算机网络安全管理的智能化管理水平提供了有益探索。     

核电厂仪控系统安全防护策略研究及应用

核能行业网络安全事件暴露了核电厂仪控系统缺少网络、主机、应用、数据等各方面的网络安全防护手段,一旦发生网络安全事件后果严重。基于对核电相关网络安全标准的分析,研究了白名单策略与黑名单策略的技术差异,提出了在核电厂场景应用白名单防护策略的工作方向。详细分析了程序白名单、外设白名单、工控协议白名单、工控行为白名单的基本概念、技术特点和实际应用场景;描述了白名单防护策略的具体实施方案,包括规划、设计、验证、实施和维护5个步骤,并在实际的核电站进行产品部署。经过在核电站的实践验证,采用白名单技术防护的网络区域可以有效防止恶意软件的破坏,阻止恶意报文的传输,从而保护核电厂仪控系统的安全。     

一种基于诱捕型入侵防护的主动式网络安全系统

传统的网络安全体系如防火墙、VPN、反病毒软件以及入侵检测系统（IDS）,都是基于静态、被动的网络安全防御技术,不可能对网络中的攻击和威胁做出事先主动防护。为此,提出了一种基于诱捕型主动防护技术的网络安全模型,该模型通过架设诱捕器,在让攻击远离正常网络和主机情况下,实施入侵诱骗来捕获攻击者的数据,从而预知攻击者及其攻击手段,事先设计好主动防御措施,使网络安全由被动防御转换为前瞻性的主动防护。在给出诱捕型入侵防护网络安全模型的数学描述及框架结构基础上提出了该模型的具体实现方案。     

基于白名单的煤矿网络“白环境”构建研究

为保障煤矿智能化建设,做好煤矿网络安全防护,以国能北电胜利能源有限公司为例,通过鱼骨图剖析了煤矿企业被动式防御的网络安全现状、问题及其原因,提出基于白名单构建煤矿网络“白环境”,实现主动防御。首先,在区分黑名单和白名单机制的基础上,基于白名单化繁为简的可靠技术特性,采用沙漏模型分析了将白名单机制转变白名单理念贯穿于网络安全架构中的必要性;其次,基于白名单理念,参考网络安全等级保护2.0的防护标准,设计了基于白名单技术的网络“白环境”架构,实现纵深防御、监测预警与协同防御的目标。最后,采用PDCA理论开展网络“白环境”安全运营闭环管理,为企业发展持续提供可靠的网络安全防护。     

基于MPLS VPN大型网络安全防护体系研究

当前,运营商、铁路和电力企业均采用MPLS VPN技术进行骨干网组网,网络覆盖范围扩大,承载业务越来越重要,以及新技术的快速迭代,对企业网络安全提出更高的要求。因此,研究MPLS VPN大型网络安全防护体系具有非常重要的价值。本文开展了大型企业网络安全防护体系研究,深入分析了基于MPLS VPN大型企业网络技术特点,在明确防护原则并进行风险分析的基础上,提出了针对企业网络的全局安全防护体系。从边界、网络、终端、物理和运维安全等多个维度进行安全防控体系设计,对大型企业网络安全防控具有重要意义。     

基于PPDR模型的关键应用信息系统防御体系

本文通过对关键应用信息系统存在的风险和安全隐患进行分析,采用PPDR动态网络安全模型,结合企业信息系统特点和笔者多年的信息安全管理实践,将基于安全策略的系统性能提升、安全访问区域保护、信息系统的自身防护、入侵防御和漏洞扫描体系以及响应和恢复机制等技术方法和手段综合应用,全方位构筑关键应用信息系统的动态安全防御体系,保证关键应用信息系统的可用性、可靠性和安全性.