【文章內(nèi)容簡(jiǎn)介】 ，向網(wǎng)內(nèi)計(jì)算機(jī)傳播。由于病毒在網(wǎng)絡(luò)中大規(guī)模的傳播與復(fù)制，極大地消耗網(wǎng)絡(luò)資源，嚴(yán)重時(shí)有可能造成網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)風(fēng)暴甚至網(wǎng)絡(luò)癱瘓，這是影響工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主要因素之一. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室建設(shè)目的及意義面對(duì)信息安全問(wèn)題的嚴(yán)峻形勢(shì)，我國(guó) IT信息系統(tǒng)、工業(yè)控制系統(tǒng)管理工作中仍存在不少問(wèn)題，主要是對(duì) IT信息系統(tǒng)、工業(yè)控制系統(tǒng)信息安全問(wèn)題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著政府和企業(yè)的生產(chǎn)安全。如何使產(chǎn)品在整個(gè)生命周期都能滿足安全完整性等級(jí)和功能安全性要求，保證信息安全，也成為了各行業(yè)業(yè)關(guān)注的重點(diǎn)。實(shí)驗(yàn)室將針對(duì)我省信息與工業(yè)控制系統(tǒng)面臨日益嚴(yán)重的信息安全攻擊威脅等問(wèn)題，圍繞政府、電力電網(wǎng)、軌道交通、石油化工、水廠水利、煤炭運(yùn)輸?shù)裙I(yè)控制系統(tǒng)和其他領(lǐng)域的信息安全需求，建設(shè)信息與工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)與工程化平臺(tái)，開展包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、身份認(rèn)證安全、計(jì)算機(jī)病毒安全等在內(nèi)的信息安全；和防火墻、入侵檢測(cè)、VPN、網(wǎng)絡(luò)漏洞、網(wǎng)站安全等在內(nèi)的網(wǎng)絡(luò)安全；以及工業(yè)控制系統(tǒng)安全 SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)） 、安全 DCS（分布式控制系統(tǒng)） 、安全 PLC（可編程邏輯控制器） 、安全 RTU（遠(yuǎn)程終端單元）等關(guān)鍵技術(shù)和產(chǎn)品的研發(fā)及產(chǎn)業(yè)化。實(shí)驗(yàn)室尤其針對(duì)缺少工業(yè)控制系統(tǒng)安全仿真驗(yàn)證手段、工業(yè)控制系統(tǒng)未建立安全防護(hù)體系、高端工業(yè)控制系統(tǒng)及核心部件主要由外國(guó)廠商提供的現(xiàn)狀，著力實(shí)現(xiàn)工業(yè)控制系統(tǒng)“可發(fā)現(xiàn)、可防范、可替代”的目標(biāo)，提升我省工控安全核心競(jìng)爭(zhēng)力。實(shí)驗(yàn)室建立該領(lǐng)域發(fā)展趨勢(shì)和重大問(wèn)題的研究機(jī)制，制定可持續(xù)發(fā)展戰(zhàn)略，推動(dòng)工控信息安全產(chǎn)業(yè)產(chǎn)、學(xué)、研、用在優(yōu)勢(shì)資源上的協(xié)同與集成，促進(jìn)工控信息安全技術(shù)上、下 信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案 第 4 頁(yè) / 共 13 頁(yè)游的對(duì)接與耦合。 另外，實(shí)驗(yàn)室將為相關(guān)單位提供一個(gè) IT信息、工控信息安全交流、促進(jìn)產(chǎn)學(xué)研結(jié)合、加快科技創(chuàng)新與成果轉(zhuǎn)化的高層次、高水平、高規(guī)格平臺(tái)，共同開展工控信息安全關(guān)鍵技術(shù)研發(fā)、標(biāo)準(zhǔn)規(guī)范制定、有關(guān)課題研究，為我省工控信息安全事業(yè)的發(fā)展起到積極的推進(jìn)作用，促進(jìn)我省工控安全產(chǎn)業(yè)實(shí)現(xiàn)跨越式發(fā)展。3. 信息與工控系統(tǒng)安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容 信息安全實(shí)驗(yàn)室主要研究方向和實(shí)驗(yàn)內(nèi)容信息安全實(shí)驗(yàn)室使用對(duì)象主要為信息安全領(lǐng)域的安全聯(lián)盟成員，要求該實(shí)驗(yàn)室可開展針對(duì)信息安全領(lǐng)域前沿技術(shù)的相關(guān)實(shí)驗(yàn)，使聯(lián)盟成員可通過(guò)每個(gè)部分的實(shí)驗(yàn)深入理解信息安全前沿技術(shù)和過(guò)程，通過(guò)不同類型的實(shí)驗(yàn)使聯(lián)盟成員理解安全機(jī)制并具備技術(shù)應(yīng)用能力，并向聯(lián)盟成員提供可進(jìn)行深入技術(shù)研究的平臺(tái)保障。可全面開展服務(wù)器及信息系統(tǒng)進(jìn)漏洞掃描分析，并直觀顯示目標(biāo)所存在的安全隱患，并同時(shí)提供操作系統(tǒng)策略部署、數(shù)據(jù)庫(kù)安全保障等實(shí)驗(yàn)操作。涵蓋對(duì)典型木馬及主流病毒的攻擊方式進(jìn)行演技操作，分析該類型木馬或者病毒所針對(duì)的網(wǎng)絡(luò)系統(tǒng)漏洞，并提供防御方式的實(shí)驗(yàn)。同時(shí)提供應(yīng)用程序、文件管理、網(wǎng)絡(luò)事件等安全日志的審計(jì)實(shí)驗(yàn)，通過(guò)日志的管理不斷提高學(xué)生對(duì)安全日志的理解，以及審計(jì)的流程與規(guī)范。 操作系統(tǒng)安全研究方向和實(shí)驗(yàn)內(nèi)容操作系統(tǒng)是管理整個(gè)計(jì)算機(jī)硬件與軟件資源的程序，操作系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)，是保證整個(gè)互聯(lián)網(wǎng)實(shí)現(xiàn)信息資源傳遞和共享的關(guān)鍵，操作系統(tǒng)的安全性在網(wǎng)絡(luò)安全中舉足輕重。一個(gè)安全的操作系統(tǒng)能夠保障計(jì)算資源使用的保密性、完整性和可用性，可以提供對(duì)數(shù)據(jù)庫(kù)、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)等提供全方位的保護(hù)。沒(méi)有安全的操作系統(tǒng)的保護(hù)，根本談不上網(wǎng)絡(luò)系統(tǒng)的安全，更不可能有應(yīng)用軟件信息處理的安全性。因此，安全的操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。長(zhǎng)期以來(lái)我國(guó)廣泛應(yīng)用的主流操作系統(tǒng)都是從國(guó)外引進(jìn)直接使用的產(chǎn)品，這些系統(tǒng)的安全性令人擔(dān)憂。從認(rèn)識(shí)論的高度看，人們往往首先關(guān)注對(duì)操作系統(tǒng)的需要、功能，然后才被動(dòng)地從出現(xiàn)的漏洞和后門，以及不斷引起世界性的“沖擊波”和“震蕩波”等安全事件中，注意到操作系統(tǒng)本身的安全問(wèn)題。操作系統(tǒng)的結(jié)構(gòu)和機(jī)制不安全， 信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案 第 5 頁(yè) / 共 13 頁(yè)以及 PC機(jī)硬件結(jié)構(gòu)的簡(jiǎn)化，系統(tǒng)不分執(zhí)行“態(tài)” ，內(nèi)存無(wú)越界保護(hù)等等，這些因素都有可能導(dǎo)致資源配置可以被篡改，惡意程序被植入執(zhí)行，利用緩沖區(qū)溢出攻擊以及非法接管系統(tǒng)管理員權(quán)限等安全事故發(fā)生；導(dǎo)致了病毒在世界范圍內(nèi)傳播泛濫，黑客利用各種漏洞攻擊入侵，非授權(quán)者任意竊取信息資源，使得安全防護(hù)體系形成了防火墻、防病毒和入侵檢測(cè)老三樣的被動(dòng)局面。 操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)的核心軟件，操作系統(tǒng)的安全將直接決定網(wǎng)絡(luò)的安全。信息與工業(yè)控制安全實(shí)驗(yàn)室主要針對(duì) Windows、Linux、UNIX 等主流操作系統(tǒng)本身的物理安全、邏輯安全、應(yīng)用安全、管理安全、操作系統(tǒng)漏洞發(fā)現(xiàn)與檢測(cè)等方面進(jìn)行研究和實(shí)驗(yàn)。物理安全主要是指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，使之免受破壞或丟失；邏輯安全主要指系統(tǒng)中信息資源的安全；管理安全主要包括各種管理的政策和機(jī)制，包括用戶賬戶控制和最小權(quán)限策略等。應(yīng)用安全可以阻止未授權(quán)的程序的安裝，可以阻止應(yīng)用程序進(jìn)行不當(dāng)?shù)南到y(tǒng)設(shè)置而使操作系統(tǒng)處于不安全的狀態(tài)，從而大大的提高了系統(tǒng)的安全性。實(shí)驗(yàn)室還將研究國(guó)內(nèi)外最新的操作系統(tǒng)防護(hù)技術(shù)，如對(duì)數(shù)據(jù)的保護(hù)引進(jìn)了內(nèi)核保護(hù)技術(shù)以防止任何非授權(quán)文件對(duì)系統(tǒng)內(nèi)核的修改,同時(shí)還采用了緩沖區(qū)益出保護(hù),可有效的防止利用緩沖區(qū)益處技術(shù)發(fā)動(dòng)的攻擊。 數(shù)據(jù)庫(kù)安全機(jī)制研究方向和實(shí)驗(yàn)內(nèi)容數(shù)據(jù)庫(kù)的安全性是指在信息系統(tǒng)的不同層次保護(hù)數(shù)據(jù)庫(kù)，防止未授權(quán)的數(shù)據(jù)訪問(wèn)，避免數(shù)據(jù)的泄漏、不合法的修改或?qū)?shù)據(jù)的破壞。數(shù)據(jù)庫(kù)在各種信 gfg息系統(tǒng)中得到廣泛的應(yīng)用，數(shù)據(jù)在信息系統(tǒng)中的價(jià)值越來(lái)越重要，數(shù)據(jù)庫(kù)系統(tǒng)的安全與保護(hù)成為一個(gè)越來(lái)越值得重要關(guān)注的方面。信息與工業(yè)控制安全實(shí)驗(yàn)室重點(diǎn)研究和建立數(shù)據(jù)庫(kù)本身的安全機(jī)制和實(shí)驗(yàn)環(huán)境。包括用戶認(rèn)證、存取權(quán)限、視圖隔離、跟蹤與審查、數(shù)據(jù)加密、數(shù)據(jù)完整性控制、數(shù)據(jù)訪問(wèn)的并發(fā)控制、數(shù)據(jù)庫(kù)的備份和恢復(fù)等方面。如數(shù)據(jù)庫(kù)用戶認(rèn)證技術(shù)，是數(shù)據(jù)庫(kù)提供的最外層安全保護(hù)措施，實(shí)驗(yàn)室重點(diǎn)對(duì)身份、生物認(rèn)證技術(shù)用于數(shù)據(jù)庫(kù)用戶標(biāo)識(shí)和鑒別方面進(jìn)行實(shí)驗(yàn)和嘗試，如智能卡技術(shù)，物理特征（指紋、虹膜等） 。再如數(shù)據(jù)庫(kù)存取控制機(jī)制，即確保只授權(quán)給有資格的用戶訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，同時(shí)令所有未被授權(quán)的人員無(wú)法接近數(shù)據(jù)。而實(shí)驗(yàn)室主要研究強(qiáng)制型存取控制機(jī)制，即對(duì)主體和客體的已分配的安全屬性進(jìn)行匹配判斷，決定主體是否有權(quán)對(duì)客體進(jìn)行進(jìn)一步的訪問(wèn)操作， 信息與工業(yè)控制安全實(shí)驗(yàn)室規(guī)劃方案 第 6 頁(yè) / 共 13 頁(yè)從而保證數(shù)據(jù)數(shù)據(jù)存儲(chǔ)控制機(jī)制。而數(shù)據(jù)加密算法也是實(shí)驗(yàn)室重點(diǎn)的研究和實(shí)驗(yàn)領(lǐng)域，包括網(wǎng)絡(luò)數(shù)據(jù)包在客戶端和服務(wù)器端之間發(fā)送的數(shù)據(jù)、存儲(chǔ)過(guò)程定義、函數(shù)定義、視圖定義、觸發(fā)器定義、默認(rèn)值定義、規(guī)則定義等數(shù)據(jù)庫(kù)對(duì)象進(jìn)行加密和解密實(shí)驗(yàn)。 身份認(rèn)證研究方向和實(shí)驗(yàn)內(nèi)容不論是信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)還是工控系統(tǒng)，不論安全性要求多高的數(shù)據(jù)，它存在就必然要有相對(duì)應(yīng)的授權(quán)人可以訪問(wèn)它，否則，保存一個(gè)任何人都無(wú)權(quán)訪問(wèn)的數(shù)據(jù)無(wú)任何意義。然而，如果沒(méi)有有效的身份認(rèn)證手段，這個(gè)有權(quán)訪問(wèn)者的身份就很容易被偽造，那么，不論投