?

《工業(yè)控制系統(tǒng)信息安全》?？诙嬏剌?/p>

編者按：《工業(yè)控制系統(tǒng)信息安全》?？诙嬕延?015年11月正式發(fā)行，該刊是“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟”（ICSISIA）工作的重要內(nèi)容之一。?？鳛榻涣鞯钠脚_(tái)，從專家視點(diǎn)、行業(yè)聲音、研究分析、標(biāo)準(zhǔn)&測(cè)試&防護(hù)、技術(shù)&應(yīng)用多角度出發(fā)，集中展示了我國(guó)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的發(fā)展現(xiàn)狀、最前沿的技術(shù)和研究成果。專刊第二輯出版后，得到聯(lián)盟成員、關(guān)注和研究工控信息安全技術(shù)的專家學(xué)者以及奮斗在一線的廣大工程師的熱烈反饋，并對(duì)我們的工作給予了高度的肯定。在本期的“工業(yè)安全”專題中，特再次精選?？械牟糠謨?nèi)容，希望可以對(duì)各位讀者的工作有所幫助和啟發(fā)。

全部文章內(nèi)容請(qǐng)點(diǎn)擊：http://www.icsisia.com

《基于eID建立可信的云安全環(huán)境》（節(jié)選）

3 基于eID的可信云安全環(huán)境

自2009年起，公安部第三研究所根據(jù)公安部指示開(kāi)展網(wǎng)絡(luò)身份管理試點(diǎn)研究。在我國(guó)，eID是以密碼技術(shù)為基礎(chǔ)、以安全智能芯片為載體、由“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)身份標(biāo)識(shí)，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識(shí)別身份。“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”于2011年投入正式運(yùn)行，通過(guò)了國(guó)家密碼管理局的系統(tǒng)安全性審查及權(quán)威技術(shù)鑒定，它向用戶簽發(fā)eID時(shí)，會(huì)以用戶個(gè)人身份信息和隨機(jī)數(shù)計(jì)算出一個(gè)唯一代表用戶身份的編碼，即用戶的網(wǎng)絡(luò)身份標(biāo)識(shí)編碼（eIDcode）。該編碼不含任何個(gè)人身份信息，且不可逆推出個(gè)人身份信息。eID由一對(duì)非對(duì)稱密鑰（公鑰和私鑰）及相關(guān)電子信息文件組成，該密鑰由安全芯片內(nèi)部產(chǎn)生，通過(guò)高強(qiáng)度安全機(jī)制確保無(wú)法被讀取、復(fù)制、篡改或非法使用。eID在網(wǎng)絡(luò)上遠(yuǎn)程使用時(shí)，使用上述密鑰文件基于國(guó)家商用密碼算法（SM2/ SM3/SM4等）進(jìn)行芯片內(nèi)部的數(shù)字簽名等密碼運(yùn)算。

因此eID具有三個(gè)功能，一是網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)能在不獲取身份信息的前提下遠(yuǎn)程有效識(shí)別持有者是否“人證合一”，在此過(guò)程中eID的發(fā)行機(jī)構(gòu)是掌握持有者的身份信息的，具有保護(hù)隱私的特點(diǎn)；二是持有者能對(duì)eID進(jìn)行有效掛失（eID使用時(shí)需要輸入eID簽名密碼）；三是具有數(shù)字簽名功能，從法律上使得eID持有者的網(wǎng)絡(luò)行為不可抵賴。

基于eID具有的以上特質(zhì)，本文提出了基于eID的可信云安全環(huán)境模型（如圖1所示），主要包括以下部分:

——公安部第三研究所胡傳平

（1）eID簽發(fā)機(jī)構(gòu)：連接公安部人口庫(kù)的“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”，承擔(dān)eID簽發(fā)和管理職能。

（2）eID登記發(fā)行機(jī)構(gòu)：承擔(dān)eID載體的登記和發(fā)行職能，嚴(yán)格執(zhí)行面對(duì)面審核用戶身份和eID的現(xiàn)場(chǎng)簽發(fā)，并提供加載eID的載體的機(jī)構(gòu)。

（3）用戶：通過(guò)eID登記發(fā)行機(jī)構(gòu)面簽后，用戶持有eID載體（卡），并設(shè)置其PIN碼。

（4）云服務(wù)提供商：連接eID簽發(fā)機(jī)構(gòu)并接入云應(yīng)用的服務(wù)機(jī)構(gòu)，承擔(dān)eID網(wǎng)絡(luò)身份識(shí)別基礎(chǔ)服務(wù)和相關(guān)安全增值服務(wù)。

（5）線上應(yīng)用：指泛在的云服務(wù)，是基于eID進(jìn)行用戶身份識(shí)別和安全服務(wù)的云應(yīng)用。

圖1　基于eID的可信云安全環(huán)境模型

在云計(jì)算平臺(tái)中，eID通過(guò)三大特質(zhì)——即在云中能有效地證明“我是誰(shuí)（通過(guò)嚴(yán)格的面對(duì)面審核）”、“我知道什么（eID簽名密碼校驗(yàn)）”、“我擁有什么（eID卡）”——來(lái)建立云服務(wù)提供商與用戶的強(qiáng)可信關(guān)系。

而且用戶使用eID通過(guò)網(wǎng)絡(luò)向云應(yīng)用方自證身份時(shí)，應(yīng)用方會(huì)通過(guò)連接“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”的云服務(wù)提供商，請(qǐng)求驗(yàn)證核實(shí)用戶網(wǎng)絡(luò)身份的真實(shí)性和有效性。一旦用戶的eID通過(guò)驗(yàn)證，應(yīng)用方會(huì)得到一個(gè)與該應(yīng)用相對(duì)應(yīng)的用戶網(wǎng)絡(luò)身份應(yīng)用標(biāo)識(shí)編碼（appeIDcode）。雖然用戶擁有唯一的網(wǎng)絡(luò)身份標(biāo)識(shí)編碼（eIDcode），但不同的云服務(wù)提供商得到的是不同的網(wǎng)絡(luò)身份應(yīng)用標(biāo)識(shí)編碼（appeIDcode），這樣即使在云服務(wù)提供商的平臺(tái)上發(fā)生內(nèi)部人員失職、黑客攻擊及系統(tǒng)故障導(dǎo)致安全機(jī)制失效等安全問(wèn)題時(shí)，都可以避免用戶在不同云應(yīng)用中的行為數(shù)據(jù)被匯聚、分析和追蹤，最大程度地保護(hù)用戶的身份、行為等隱私信息。

同時(shí)，云服務(wù)提供商既能知道權(quán)威的用戶身份識(shí)別結(jié)果，又無(wú)需收集用戶身份信息，避免了內(nèi)盜或黑客攻擊而泄露用戶隱私的風(fēng)險(xiǎn)。

《國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全面臨的緊迫問(wèn)題分析》（節(jié)選）

——中國(guó)自動(dòng)化學(xué)會(huì)專家咨詢工作委員會(huì)羅安

3 對(duì)策分析

雖然一個(gè)封閉的控制系統(tǒng)核心比較容易劃定邊界，但這也并不表明這樣的系統(tǒng)是放在保險(xiǎn)箱里的，因?yàn)橛行┒丝谌菀妆蝗撕雎?，成為系統(tǒng)防線的薄弱環(huán)節(jié)。例如組態(tài)端口，如果通過(guò)組態(tài)端口向系統(tǒng)下裝了含有惡意攻擊的組態(tài)數(shù)據(jù)，就足以對(duì)控制系統(tǒng)造成嚴(yán)重危害。另外，如人機(jī)界面終端，其移動(dòng)存儲(chǔ)接口（如USB）就很容易成為引入攻擊的薄弱環(huán)節(jié)。有時(shí)外部攻擊并不表現(xiàn)為對(duì)系統(tǒng)數(shù)據(jù)的竊取或惡意篡改，而是簡(jiǎn)單造成網(wǎng)絡(luò)風(fēng)暴或廣播風(fēng)暴，使系統(tǒng)網(wǎng)絡(luò)陷于癱瘓，也同樣會(huì)對(duì)系統(tǒng)造成嚴(yán)重危害。另外，在很多SCADA系統(tǒng)中，遠(yuǎn)程的數(shù)據(jù)和控制命令是通過(guò)廣域網(wǎng)進(jìn)行傳輸?shù)模行┥踔镣ㄟ^(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸，這都是容易遭受攻擊的薄弱環(huán)節(jié)。

對(duì)此，我們不能認(rèn)為工控系統(tǒng)不應(yīng)該走開(kāi)放路線，而是應(yīng)該考慮如何避免開(kāi)放所帶來(lái)的負(fù)面影響。我們現(xiàn)在還無(wú)法預(yù)見(jiàn)在工控系統(tǒng)走向更加網(wǎng)絡(luò)化的進(jìn)程中會(huì)遇到什么問(wèn)題，但可以肯定的一點(diǎn)是，我們不應(yīng)該過(guò)分強(qiáng)調(diào)開(kāi)放性，而要有分析地考慮在系統(tǒng)的哪些地方采用哪種程度的開(kāi)放技術(shù)。在控制系統(tǒng)中，網(wǎng)絡(luò)必須分層次，靠近現(xiàn)場(chǎng)控制的底層網(wǎng)絡(luò)必須具有最高的安全性、可靠性和實(shí)時(shí)性。由于底層網(wǎng)絡(luò)的功能相對(duì)簡(jiǎn)單，因此對(duì)底層網(wǎng)絡(luò)的要求不是更多更復(fù)雜的功能，對(duì)于其開(kāi)放性的考慮也不應(yīng)該把重點(diǎn)放在功能性、便利性和廣泛的互聯(lián)性方面。對(duì)于控制系統(tǒng)的底層網(wǎng)絡(luò)，我們最為關(guān)注的是現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)和重要的資產(chǎn)管理數(shù)據(jù)的快速、及時(shí)、準(zhǔn)確的傳遞，現(xiàn)場(chǎng)網(wǎng)絡(luò)的通信協(xié)議和通信機(jī)制應(yīng)該盡量簡(jiǎn)單、明確、易于檢查診斷，出現(xiàn)異常時(shí)能夠及時(shí)發(fā)現(xiàn)并快速處理，以最短的時(shí)間恢復(fù)正常。顯然，目前市場(chǎng)上有一些現(xiàn)場(chǎng)網(wǎng)絡(luò)產(chǎn)品并不符合上述原則，由于其過(guò)于龐大，技術(shù)實(shí)現(xiàn)過(guò)于復(fù)雜，對(duì)于保障控制系統(tǒng)最基礎(chǔ)的底層功能能夠安全可靠運(yùn)行就不太有利。目前的當(dāng)務(wù)之急并不是對(duì)現(xiàn)場(chǎng)層的網(wǎng)絡(luò)作加法，不斷讓其承擔(dān)更多的功能，而是要作減法，保留必要的功能并予以強(qiáng)化，使控制系統(tǒng)的最底層成為一個(gè)少而精、運(yùn)行高效、可靠、堅(jiān)固的核心，這樣才能夠在此基礎(chǔ)上建立一個(gè)功能強(qiáng)大的、完善的、規(guī)模龐大的完整系統(tǒng)。對(duì)此，一個(gè)很能說(shuō)明問(wèn)題的實(shí)例是，在有關(guān)功能安全的國(guó)際標(biāo)準(zhǔn)中，對(duì)于執(zhí)行關(guān)鍵安全功能的控制器中甚至不主張使用操作系統(tǒng)，其考慮問(wèn)題的出發(fā)點(diǎn)就在于此。

對(duì)于底層控制器的組態(tài)功能，應(yīng)予以限制，除執(zhí)行控制功能的必要參數(shù)外，盡量減少可組態(tài)部分。這樣比較便于進(jìn)行檢查，以發(fā)現(xiàn)因不當(dāng)組態(tài)所造成的威脅。對(duì)于可執(zhí)行代碼，應(yīng)該嚴(yán)格禁止對(duì)底層控制器實(shí)施下裝，這類操作是對(duì)系統(tǒng)安全的最大威脅。

另外，與系統(tǒng)的功能安全不同的是，僅采用技術(shù)手段還不足以保證系統(tǒng)的信息安全，有時(shí)技術(shù)手段甚至不是保證信息安全的主要措施。對(duì)于一個(gè)重要的、關(guān)鍵性的、復(fù)雜而大型的控制系統(tǒng)，必須要有一套嚴(yán)格有效的安全管理規(guī)范，并切實(shí)執(zhí)行。目前最基本的安全管理包括授權(quán)管理和身份認(rèn)證，用于保證經(jīng)過(guò)授權(quán)的人員在其授權(quán)范圍內(nèi)對(duì)系統(tǒng)進(jìn)行操作，而拒絕非授權(quán)人員的操作及授權(quán)范圍以外的操作。這一點(diǎn)雖然簡(jiǎn)單，但嚴(yán)格執(zhí)行卻并不容易。例如經(jīng)過(guò)授權(quán)的操作人員通過(guò)Password登錄系統(tǒng)后，就可以進(jìn)行系統(tǒng)操作，而這時(shí)如果其他人趁操作人員暫時(shí)離開(kāi)操作終端的機(jī)會(huì)實(shí)施惡意的破壞性操作，就會(huì)造成對(duì)系統(tǒng)的破壞。對(duì)于諸如此類的管理性漏洞，必須要認(rèn)真、仔細(xì)、周到地進(jìn)行考慮并進(jìn)行實(shí)際場(chǎng)景的模擬分析，以發(fā)現(xiàn)漏洞并制定應(yīng)對(duì)措施。在系統(tǒng)的日常運(yùn)行中，還需要定期檢查執(zhí)行情況，并對(duì)管理規(guī)程進(jìn)行審核，以評(píng)估其有效性，發(fā)現(xiàn)問(wèn)題及時(shí)修訂，保持管理規(guī)程的適用有效。

《能源行業(yè)工控系統(tǒng)信息安全現(xiàn)狀及需求分析》（節(jié)選）

——中國(guó)電力工程顧問(wèn)集團(tuán)西南電力設(shè)計(jì)院有限公司張晉賓，周四維

3 需求分析

3.1行業(yè)需求

煤炭清潔高效利用主要是發(fā)展大容量、高參數(shù)、節(jié)能環(huán)保型發(fā)電機(jī)組，由此帶來(lái)壓力容器與壓力管道的數(shù)量增多、壓力等級(jí)提升，從而使面臨的危險(xiǎn)更大?；诤穗娬疽鸦静徊捎霉た啬M系統(tǒng)，大力推廣工控系統(tǒng)的數(shù)字化，其工控系統(tǒng)的信息安全等級(jí)要求更高，需求更為急迫。當(dāng)前電廠、電網(wǎng)的數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展如火如荼，智能儀表/控制設(shè)備、無(wú)線傳感/控制網(wǎng)絡(luò)等的大量采用，電廠/電網(wǎng)內(nèi)IOT（物聯(lián)網(wǎng)）、IOS（服務(wù)互聯(lián)網(wǎng)）的推廣，正在形成泛在的傳感、泛在的計(jì)算、泛在的控制，網(wǎng)絡(luò)邊界動(dòng)態(tài)及模糊，信息管控面和量劇增，對(duì)信息安全形成更大的挑戰(zhàn)。虛擬電廠是電力行業(yè)網(wǎng)絡(luò)化繼續(xù)向前推進(jìn)的一個(gè)顯著代表，是一種新型的發(fā)電模式，是分布式發(fā)電集控或群控技術(shù)的發(fā)展。其網(wǎng)絡(luò)互聯(lián)主要是通過(guò)LAN、WAN、GPRS、ISDN或總線系統(tǒng)而實(shí)現(xiàn)。所采用的工控系統(tǒng)信息安全應(yīng)適應(yīng)虛擬電廠的地域分散性、控制的實(shí)時(shí)性和可靠性的需求。

在信息安全中，傳統(tǒng)的安全目標(biāo)三角是C（保密性）、I（完整性）和A（可用性）。對(duì)于IT應(yīng)用，其安全優(yōu)先級(jí)排列順序?yàn)镃IA；對(duì)于工控系統(tǒng)，通常認(rèn)為安全優(yōu)先順序應(yīng)為AIC。綜合能源行業(yè)因素，考慮到工控系統(tǒng)的應(yīng)用對(duì)象及其重要性，能源控制系統(tǒng)的網(wǎng)絡(luò)安全目標(biāo)不是CIA，也不是AIC，而應(yīng)是SAIC四角，即在CIA基礎(chǔ)上增加S（安全），且優(yōu)先級(jí)最高。

3.2信息安全平臺(tái)需求

傳統(tǒng)的信息安全防護(hù)是采用多層、點(diǎn)狀的防護(hù)機(jī)制，如防火墻防護(hù)、基于應(yīng)用的防護(hù)、IPS、抗病毒、端點(diǎn)防護(hù)等。從安全角度看，上述機(jī)制主要是基于狀態(tài)檢測(cè)原理，處于分割狀態(tài)，不能提供完善的防護(hù)，如7層可見(jiàn)度、基于用戶的訪問(wèn)控制等。

因此，宜采用具有完整的、高度融合的、防范內(nèi)外威脅且減小成本的工控信息安全平臺(tái)。選擇或構(gòu)建的新型安全平臺(tái)必須具有至少以下9個(gè)方面的能力。

（1）利用威脅防范智能核集成網(wǎng)絡(luò)和端點(diǎn)安全；

（2）基于應(yīng)用和用戶角色，而不是端口和IP，對(duì)通信進(jìn)行分類；

（3）支持顆粒度可調(diào)的網(wǎng)絡(luò)分段，如基于角色或任務(wù)的訪問(wèn)等；

（4）本質(zhì)閉鎖已知威脅；

（5）檢測(cè)和預(yù)防未知惡意軟件的攻擊；

（6）阻止對(duì)端點(diǎn)的零日攻擊；

（7）具有集中管理和報(bào)告功能；

（8）支持無(wú)線和虛擬技術(shù)的安全應(yīng)用；

（9）強(qiáng)大的API和工業(yè)標(biāo)準(zhǔn)管理接口。

3.3政府管理層面的需求

信息安全是一個(gè)多維度、多學(xué)科、技術(shù)和管理并存、動(dòng)態(tài)發(fā)展的綜合體。要達(dá)到國(guó)家等級(jí)保護(hù)3至5級(jí)（特別是4級(jí)以上），或國(guó)際標(biāo)準(zhǔn)所定義的SL3級(jí)或SL4級(jí)信息安全等級(jí)，沒(méi)有國(guó)家及政府層面的介入，單憑企業(yè)的力量是難以實(shí)現(xiàn)的。

《淺談市政行業(yè)自動(dòng)化與信息系統(tǒng)的內(nèi)核安全》（節(jié)選）

——中國(guó)市政工程西南設(shè)計(jì)研究總院有限公司第十一設(shè)計(jì)研究院劉衛(wèi)民

4 操作系統(tǒng)的內(nèi)核安全加固

“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的防護(hù)原則核心目的是保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全以及業(yè)務(wù)的穩(wěn)定運(yùn)行，然而如果不能解決C2級(jí)別操作系統(tǒng)的根源問(wèn)題，其他任何安全措施就好比將城堡建在沙子上，根基出現(xiàn)問(wèn)題，任何其他防范措施都不能解決根本問(wèn)題。那么，對(duì)關(guān)鍵業(yè)務(wù)主機(jī)進(jìn)行綜合防護(hù)是目前工業(yè)領(lǐng)域安全防護(hù)的重點(diǎn)。綜合防護(hù)是結(jié)合國(guó)家信息安全等級(jí)保護(hù)工作的相關(guān)要求，對(duì)工業(yè)控制領(lǐng)域關(guān)鍵業(yè)務(wù)系統(tǒng)從主機(jī)層面實(shí)現(xiàn)對(duì)操作系統(tǒng)安全等級(jí)提升、惡意代碼防范、遠(yuǎn)程主機(jī)入侵防范、應(yīng)用安全控制、安全審計(jì)等多個(gè)層面進(jìn)行信息安全防護(hù)的過(guò)程。

目前絕大部分的監(jiān)控軟件都是運(yùn)行在一些主流的操作系統(tǒng)平臺(tái)之上，而這些操作系統(tǒng)的安全級(jí)別較低，隨著自動(dòng)化與信息化在行業(yè)內(nèi)所起的作用越來(lái)越顯著且被更多的依賴，提升操作系統(tǒng)安全等級(jí)，避免事關(guān)民生的災(zāi)難性安全事故，便是我們目前的重要任務(wù)之一。

操作系統(tǒng)安全等級(jí)提升是指采用專用軟件強(qiáng)化操作系統(tǒng)的訪問(wèn)控制能力，提升后的操作系統(tǒng)應(yīng)達(dá)到安全操作系統(tǒng)四級(jí)，此類專用軟件應(yīng)具備公安部四級(jí)安全操作系統(tǒng)測(cè)評(píng)認(rèn)證。

惡意代碼防范應(yīng)具備在操作系統(tǒng)內(nèi)核層上實(shí)現(xiàn)對(duì)未知惡意代碼攻擊的抵御能力。其他情況防范措施還包括，應(yīng)當(dāng)及時(shí)更新特征代碼，查看查殺記錄；惡意代碼更新文件的安裝應(yīng)當(dāng)經(jīng)過(guò)測(cè)試；應(yīng)禁止生產(chǎn)控制大區(qū)與管理信息大區(qū)共用一套防惡意代碼管理服務(wù)器。

遠(yuǎn)程主機(jī)入侵防范，生產(chǎn)控制大區(qū)服務(wù)器可以統(tǒng)一部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則，檢測(cè)發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息流中的非法連接及入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。

應(yīng)用安全控制應(yīng)當(dāng)對(duì)用戶登錄、訪問(wèn)系統(tǒng)資源等操作進(jìn)行身份鑒別及強(qiáng)制訪問(wèn)控制，防止核心命令遠(yuǎn)程惡意執(zhí)行。

安全審計(jì)生產(chǎn)控制大區(qū)的關(guān)鍵業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于遠(yuǎn)程用戶登錄到本地系統(tǒng)中的操作行為，應(yīng)該進(jìn)行嚴(yán)格的安全審計(jì)。

《智能家居管理系統(tǒng)的信息安全分析》（節(jié)選）

——公安部第三研究所檢測(cè)中心郭運(yùn)堯，沈清泓，顧健

2.2.1智能家居管理系統(tǒng)中的信息保護(hù)方法

（1）管理設(shè)備使用可信機(jī)制

管理系統(tǒng)與設(shè)備通訊數(shù)據(jù)的安全，為了有效地防止被竊聽(tīng)篡改和控制，我們可通過(guò)對(duì)設(shè)備與管理系統(tǒng)采用雙重認(rèn)證鑒別來(lái)實(shí)現(xiàn)，如圖4所示。

圖4　可信機(jī)制拓?fù)鋱D

在管理系統(tǒng)與設(shè)備之間建立可信的相互鑒別機(jī)制，可有效防止中間人的攻擊。同樣鑒別的信息或介質(zhì)必須不可偽造才能保證鑒別是可信的。在被管理設(shè)備端可設(shè)置唯一可信的管理端且建有備用通訊通道，如果檢測(cè)到非法的管理端接入，可通過(guò)備用的通信通道向可信的管理端或警用接口發(fā)送警告信息，并采取一定的措施，如斷開(kāi)非可信連接。

（2）遠(yuǎn)程可信通道

管理系統(tǒng)與遠(yuǎn)程終端通訊數(shù)據(jù)的安全，為了有效地防止被竊聽(tīng)、篡改和控制，我們可通過(guò)對(duì)遠(yuǎn)程終端與管理系統(tǒng)采用加密通訊通道實(shí)現(xiàn)（VPN、HTTPS等），如圖5所示。

圖5　遠(yuǎn)程可信通道

管理系統(tǒng)與遠(yuǎn)程管理客戶端之間的通信過(guò)程通常是，客戶端訪問(wèn)管理系統(tǒng)端，由于個(gè)人的VPN通道對(duì)于大多數(shù)使用者來(lái)說(shuō)難以承受，所以在遠(yuǎn)程管理客戶端與管理系統(tǒng)之間通過(guò)HTTPS方式管理即可滿足普通的加密通信；與客戶端和管理系統(tǒng)的通訊不同，企業(yè)提供的服務(wù)具備長(zhǎng)期穩(wěn)定和持續(xù)性，所以為其建立一條VPN通道則可行而且有效。如果其提供其他的網(wǎng)絡(luò)接口，這些接口應(yīng)該盡可能地通過(guò)非明文方式通信。

（3）建立可靠的防御機(jī)制

管理系統(tǒng)自身的安全，為了有效地防止自身被惡意攻擊，可通過(guò)在管理系統(tǒng)上增加相應(yīng)的防御模塊來(lái)實(shí)現(xiàn)。

防御機(jī)制包括自身防御，以及對(duì)被管理設(shè)備所遭受攻擊的保護(hù)兩部分。自身防御包括管理界面的防止暴力破解、自身的系統(tǒng)不存在可被利用的風(fēng)險(xiǎn)問(wèn)題、提供的是服務(wù)不被垃圾報(bào)文所攻破造成拒絕服務(wù)。與之對(duì)應(yīng)的是通過(guò)對(duì)鑒別失敗進(jìn)行合理的處理（鎖定、告警記錄日志）；及時(shí)升級(jí)系統(tǒng)，關(guān)閉不必要的任何端口，對(duì)管理界面的任何輸入均做檢查，防止（如SQL注入，XSS跨站腳本等）的攻擊；在管理系統(tǒng)中增加針對(duì)DDOS的防御模塊以抵御攻擊（SynFlood等）。