網(wǎng)絡(luò)化SCADA系統(tǒng)安全防御策略

        摘 要：SCADA系統(tǒng)在電力、給水、石油、化工等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制等諸多領(lǐng)域應(yīng)用廣泛。一直以來，很多工程師和管理者認(rèn)為SCADA系統(tǒng)是一個(gè)相對(duì)孤立的物理隔離的系統(tǒng)，有著強(qiáng)有力的訪問控制，是相對(duì)安全的。然而，隨著網(wǎng)絡(luò)技術(shù)和通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，SCADA系統(tǒng)逐漸發(fā)展成開放式透明運(yùn)作的標(biāo)準(zhǔn)系統(tǒng)，由此造成系統(tǒng)的安全性降低。針對(duì)當(dāng)前的開放式SCADA系統(tǒng)，本文介紹了系統(tǒng)構(gòu)成和系統(tǒng)的網(wǎng)絡(luò)化結(jié)構(gòu)特點(diǎn)，分析了系統(tǒng)可能存在的安全隱患并提出一種層次結(jié)構(gòu)的“防御圈”安全策略。該策略從企業(yè)網(wǎng)絡(luò)和SCADA網(wǎng)絡(luò)兩方面實(shí)施具體的安全防護(hù)措施。通過對(duì)“防御圈”中各個(gè)層的合理配置，可以有效地保障SCADA系統(tǒng)安全。

        1 引言

        SCADA系統(tǒng)的應(yīng)用領(lǐng)域很廣，它可以應(yīng)用于電力系統(tǒng)、給水系統(tǒng)、石油、化工等領(lǐng)域的數(shù)據(jù)采集與監(jiān)視控制以及過程控制等諸多領(lǐng)域。在SCADA系統(tǒng)發(fā)展和應(yīng)用初期，系統(tǒng)是一個(gè)相對(duì)孤立的物理隔離的系統(tǒng)，有著強(qiáng)有力的訪問控制，是相對(duì)安全的。然而，隨著網(wǎng)絡(luò)技術(shù)、通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展，SCADA系統(tǒng)逐漸發(fā)展成開放式透明運(yùn)作的標(biāo)準(zhǔn)系統(tǒng)，由此造成該系統(tǒng)的安全性降低。隨著企業(yè)信息化步伐的加快，SCADA系統(tǒng)安全問題也El益凸現(xiàn)出其重要戰(zhàn)略意義。

        2 SCADA系統(tǒng)

        SCADA(Supervisory Control And Data Acquisition)系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，是以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過程控制與調(diào)度自動(dòng)化系統(tǒng) 1 J。它可以對(duì)現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制，以實(shí)現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測(cè)量、參數(shù)調(diào)節(jié)以及各類信號(hào)報(bào)警等各項(xiàng)功能。 SCADA系統(tǒng)在電力系統(tǒng)中的應(yīng)用最為廣泛，技術(shù)發(fā)展也最為成熟。它作為能量管理系統(tǒng)(EMS系統(tǒng))的一個(gè)最主要的子系統(tǒng)，有著信息完整、提高效率、正確掌握系統(tǒng)運(yùn)行狀態(tài)、加快決策、能幫助快速診斷出系統(tǒng)故障狀態(tài)等優(yōu)勢(shì)，現(xiàn)已經(jīng)成為電力調(diào)度不可缺少的工具 4。

        SCADA在鐵道電氣化遠(yuǎn)動(dòng)系統(tǒng)上的應(yīng)用較早，在保證電氣化鐵路的安全可靠供電，提高鐵路運(yùn)輸?shù)恼{(diào)度管理水平起到了很大的作用。SCADA在石油管道工程中占有重要的地位，系統(tǒng)管理石油管道的順序控制輸送、設(shè)備監(jiān)控、數(shù)據(jù)同步傳輸記錄、監(jiān)控管道沿線及各站控系統(tǒng)運(yùn)行狀況 。除此基本功能之外，現(xiàn)在的SCADA管道系

        統(tǒng)還具備泄露檢測(cè)、系統(tǒng)模擬和水擊提前保護(hù)等新功能。

        2.1 SCADA系統(tǒng)構(gòu)成

        SCADA系統(tǒng)一般由三大部分組成，包括安裝在各基層生產(chǎn)單位的遠(yuǎn)程終端設(shè)備RTU(Remote Ter-minal Unit)，實(shí)現(xiàn)現(xiàn)場(chǎng)設(shè)備和主站系統(tǒng)問的數(shù)據(jù)傳輸?shù)耐ㄐ啪W(wǎng)絡(luò)和提供人機(jī)交互接口的主站系統(tǒng)。 遠(yuǎn)程終端設(shè)備是安裝在遠(yuǎn)程現(xiàn)場(chǎng)的電子設(shè)備,用來監(jiān)視和測(cè)量安裝在遠(yuǎn)程現(xiàn)場(chǎng)的傳感器和控制器。RTU一般包括通訊處理單元、開關(guān)量采集單元、脈沖量采集單元、模擬量采集單元、開關(guān)量輸出單元、脈沖量輸出單元和模擬量輸出單元等構(gòu)成。RTU將測(cè)得的狀態(tài)或信號(hào)轉(zhuǎn)換成可在通信媒體上發(fā)送的數(shù)據(jù)格式。它還將從中央計(jì)算機(jī)發(fā)送來得數(shù)據(jù)轉(zhuǎn)換成命令，實(shí)現(xiàn)對(duì)設(shè)備的功能控制。 數(shù)據(jù)通訊系統(tǒng)用于實(shí)現(xiàn)RTu設(shè)備和主站之間數(shù)據(jù)傳輸。SCADA通訊方式比較多，大致可分為有線方式和無線方式。有線方式傳輸介質(zhì)有光纖和電纜等;無線傳輸方式有微波、電臺(tái)和衛(wèi)星等。

        主站系統(tǒng)通常是一臺(tái)計(jì)算機(jī)或者多臺(tái)計(jì)算機(jī)構(gòu) 成的網(wǎng)絡(luò)，采用UNIX或者Windows操作系統(tǒng)，為SCADA系統(tǒng)提供人機(jī)交互接口。龐大的主站系統(tǒng)一般包括通訊前置系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫系統(tǒng)、工程師工作站、生產(chǎn)調(diào)度工作站、各種監(jiān)控工作站、WEB服務(wù)器和歷史數(shù)據(jù)庫服務(wù)器等。作為SCADA主站系統(tǒng)，大的系統(tǒng)可能有幾十個(gè)上百個(gè)工作站，多個(gè)服務(wù)器。但簡(jiǎn)單的SCADA主站系統(tǒng)可能就只有一臺(tái)計(jì)算機(jī)，運(yùn)行一套軟件。

        2.2網(wǎng)絡(luò)化SCADA系統(tǒng)結(jié)構(gòu)

        SCADA系統(tǒng)自誕生之日起就與計(jì)算機(jī)技術(shù)的發(fā)展緊密相關(guān)。SCADA系統(tǒng)發(fā)展到今天已經(jīng)經(jīng)歷了從集中式系統(tǒng)向分布式系統(tǒng)，進(jìn)而向開放式網(wǎng)絡(luò)化系統(tǒng)發(fā)展的演變過程。網(wǎng)絡(luò)化的SCADA系統(tǒng)尚分布式結(jié)構(gòu)密切相 關(guān)，其主要區(qū)別在于網(wǎng)絡(luò)化的SCADA系統(tǒng)結(jié)構(gòu)是一個(gè)開放的系統(tǒng)框架，而不再是由開發(fā)商控制的私有系統(tǒng)。開放式和標(biāo)準(zhǔn)化協(xié)議的采用，不僅可以在不同系統(tǒng)間共享主站數(shù)據(jù)和功能成，實(shí)現(xiàn)多系統(tǒng)的 集成應(yīng)用，而且可以在更廣的范圍內(nèi)實(shí)現(xiàn)系統(tǒng)的分布式功能 。開放式標(biāo)準(zhǔn)協(xié)議的采用消除了以前SCADA系統(tǒng)中的很多限制。在開放式系統(tǒng)中，用戶連接和使用外圍設(shè)備(比如監(jiān)視器、打印機(jī)和磁盤 驅(qū)動(dòng)器等)變得更加容易。SCADA系統(tǒng)正逐漸發(fā)展成開放式透明運(yùn)作的標(biāo)準(zhǔn)系統(tǒng)。圖1給出了網(wǎng)絡(luò)化的SCADA系統(tǒng)結(jié)構(gòu)。

        網(wǎng)絡(luò)化的SCADA系統(tǒng)主要的進(jìn)步在于它采用了廣域網(wǎng)協(xié)議，比如在主站和控制設(shè)備之間使用TCP/IP協(xié)議進(jìn)行通訊。這使得主要負(fù)責(zé)與數(shù)據(jù)采集設(shè)備之間通訊的部分主站可以與SCADA系統(tǒng)主站通過WAN分離開來。對(duì)于遠(yuǎn)程終端單元設(shè)備來說，也可以通過以太網(wǎng)通訊的方式與SCADA系統(tǒng)，主站實(shí)現(xiàn)互聯(lián)互通。

        3 SCADA系統(tǒng)安全隱患

        近些年來，SCADA系統(tǒng)的發(fā)展趨勢(shì)主要體現(xiàn)在產(chǎn)品基于開放式標(biāo)準(zhǔn)協(xié)議和越來越多地采用COTS產(chǎn)品。大部分SCADA軟硬件開發(fā)商都在采用TCP/IP協(xié)議和以太網(wǎng)通訊技術(shù)。這些技術(shù)的發(fā)展使得 系統(tǒng)具有更好的兼容性，也使得不同系統(tǒng)的集成應(yīng)用和系統(tǒng)擴(kuò)展變得更加容易。但是，隨著設(shè)備接口標(biāo)準(zhǔn)化和開放式系統(tǒng)的應(yīng)用，成功實(shí)施網(wǎng)絡(luò)控制的惡意攻擊對(duì)技術(shù)性含量的要求越來越低，因而系統(tǒng) 將面臨更多的安全隱患。

        企業(yè)內(nèi)網(wǎng)是企業(yè)內(nèi)部交流的主要途徑，SCADA 系統(tǒng)已經(jīng)與企業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通，因此SCADA系統(tǒng)容易受到許多基于TCP/IP協(xié)議的攻擊威脅。許多系統(tǒng)管理者和系統(tǒng)分析師可能仍然認(rèn)為他們的 網(wǎng)絡(luò)是獨(dú)立于企業(yè)網(wǎng)絡(luò)的，不會(huì)受到外界的攻擊。另外，對(duì)于RTU和PLC等設(shè)備，通常采用無線電、電 話線或者衛(wèi)星系統(tǒng)等專業(yè)通訊網(wǎng)絡(luò)u J，這也經(jīng)常給SCADA系統(tǒng)的管理者一種安全錯(cuò)覺，認(rèn)為他們 的這些終端設(shè)備受到了非公司網(wǎng)絡(luò)連接的保護(hù)，從 而降低了對(duì)系統(tǒng)的安全防范。

        現(xiàn)代SCADA系統(tǒng)中，很多地方可能會(huì)存在安 全隱患。其中，SCADA系統(tǒng)主機(jī)和控制室最容易受到攻擊。系統(tǒng)主機(jī)收集遠(yuǎn)程終端設(shè)備采集的數(shù)據(jù)并 將其傳送到后臺(tái)數(shù)據(jù)庫，這說明網(wǎng)絡(luò)中存在SCADA 主機(jī)訪問數(shù)據(jù)庫系統(tǒng)的連接通路。同樣，網(wǎng)絡(luò)中也必然存在經(jīng)由SCADA系統(tǒng)主機(jī)最終訪問到遠(yuǎn)程終 端設(shè)備的連接路徑。這就意味著一旦企業(yè)網(wǎng)絡(luò)受到 攻擊，那么任何基于TCP/IP協(xié)議的設(shè)備或電腦系統(tǒng)都可能受到安全方面的威脅。

        由于SCADA系統(tǒng)的功能需求，網(wǎng)絡(luò)通常一直 處于連接在線狀態(tài)并允許在任何時(shí)間登陸使用，這 使得系統(tǒng)可能受到的攻擊主要包括以下幾種:

        (1) 拒絕服務(wù)(DoS)攻擊，致使SCADA服務(wù)器崩潰而無 法正常工作，導(dǎo)致操作失靈或者系統(tǒng)關(guān)機(jī);

        (2)偷窺 操作者鍵盤活動(dòng)，竊取用戶名和密碼，為進(jìn)一步的攻擊做準(zhǔn)備;

        (3)安裝木馬程序，完全控制系統(tǒng)并能發(fā)出操作指令;

        (4)遠(yuǎn)程修改數(shù)據(jù)庫數(shù)據(jù)從而造成企 業(yè)數(shù)據(jù)損失;

        (5)竊取公司保密信息或數(shù)據(jù)為其他競(jìng)爭(zhēng)者所用，從而使得企業(yè)失去競(jìng)爭(zhēng)優(yōu)勢(shì);

        (6)改變預(yù)置操作或者欺騙操作者，使其認(rèn)為控制過程失控必須關(guān)閉或者重新啟動(dòng)系統(tǒng)，導(dǎo)致企業(yè)蒙受數(shù)據(jù)損失;

        (7)惡意刪除服務(wù)器上的系統(tǒng)文件或者損壞網(wǎng)絡(luò)中的其它設(shè)備部件。

        4 SCADA安全防御策略

        針對(duì)企業(yè)的SCADA系統(tǒng)存在的安全隱患，有必要實(shí)施具體的安全措施來保障系統(tǒng)的安全應(yīng)用和發(fā)展。制定適當(dāng)?shù)腟CADA安全策略需要對(duì)企業(yè)網(wǎng)絡(luò)層次結(jié)構(gòu)和SCADA系統(tǒng)結(jié)構(gòu)進(jìn)行分析，包括防火墻、代理服務(wù)器、操作系統(tǒng)、應(yīng)用軟件和工具、通訊方式和政策法規(guī)等。在SCADA系統(tǒng)中，系統(tǒng)面臨的安全威脅可能是來自互聯(lián)網(wǎng)的攻擊，也可能來自SCADA網(wǎng)絡(luò)內(nèi)部，

        圖2給出了一種典型的企業(yè)SCADA系統(tǒng)的防御策略，該策略構(gòu)成一種基于層次結(jié)構(gòu)的“防御圈”。在該“防御圈”中，防護(hù)措施分為企業(yè)網(wǎng)絡(luò)防護(hù)和SCADA網(wǎng)絡(luò)防護(hù)。企業(yè)網(wǎng)絡(luò)防護(hù)策略包括防火墻、代理服務(wù)器、操作系統(tǒng)、應(yīng)用程序和企業(yè)管理政策規(guī)定;SCADA網(wǎng)絡(luò)防護(hù)策略包括防火墻、SCADA內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)、操作系統(tǒng)、SCADA應(yīng)用程序和SCADA管理政策和規(guī)定。企業(yè)的網(wǎng)絡(luò)威脅可能來自互聯(lián)網(wǎng)，也可能來自內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī);SCADA網(wǎng)絡(luò)受到的攻擊可以來自上游，如應(yīng)用程序，也可能來自下游，如RTU設(shè)備，這就需要對(duì)該“防御圈”進(jìn)行適當(dāng)?shù)呐渲?，使“防御圈”中的各個(gè)層協(xié)調(diào)工作。

        4.1 企業(yè)網(wǎng)絡(luò)安全防護(hù)

        防火墻(Firewal1)是一項(xiàng)協(xié)助確保信息安全的 設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。正確地配置防火墻可以起到基本的防護(hù)目的，包括密碼安全、IP地址隱藏和文件保護(hù)等。但是，在缺乏操作系統(tǒng)基本安全保

        障的情況下，黑客就可以直接穿透企業(yè)內(nèi)部專用網(wǎng)絡(luò)或者進(jìn)行拒絕服務(wù)攻擊。

        代理服務(wù)器(Proxy Server)是一種重要的安全功能，它的工作主要在開放系統(tǒng)互聯(lián)模型的對(duì)話層，從而起到類似防火墻的作用。代理服務(wù)器大多被用來連接國際互聯(lián)網(wǎng)和局域網(wǎng)，就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息，它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站。但是，代理服務(wù)器不能消除應(yīng)用層攻擊的威脅。

        操作系統(tǒng)(Operating System)是一管理電腦硬件與軟件資源的程序，同時(shí)也是計(jì)算機(jī)系統(tǒng)的內(nèi)核與基石。操作系統(tǒng)的特點(diǎn)廣為人知，操作系統(tǒng)的漏洞可能成為黑客的首選目標(biāo)，所以應(yīng)及時(shí)升級(jí)系統(tǒng)的補(bǔ)丁文件。應(yīng)用程序(Applications)應(yīng)用層的攻擊，比如緩沖區(qū)溢出、蠕蟲、木馬程序和惡意的ActiveX代碼這些措施可以使防病毒軟件喪失保護(hù)能力，并繞過防火墻使系統(tǒng)安全受到威脅。政策和管理是安全策略的實(shí)施基礎(chǔ)。他要求用戶提升基本的安全防范意識(shí)，制定安全規(guī)定和政策并要求用戶在日常操作中加以實(shí)施。一些常見的規(guī)定如不能使用自己的生日或者名字作為密碼、密碼不能過于簡(jiǎn)單，至少應(yīng)該由字母和數(shù)字混合構(gòu)成，并且長(zhǎng)度要求超過八個(gè)字符等。

        4.2 SCADA網(wǎng)絡(luò)安全防護(hù)

        SCADA防火墻。如企業(yè)網(wǎng)絡(luò)一樣，SCADA系統(tǒng)和工業(yè)自動(dòng)化網(wǎng)絡(luò)可能受到相似的黑客攻擊。通常情況下，SCADA系統(tǒng)還會(huì)因?yàn)槠渌鼉?nèi)部軟件工具的使用或者因?yàn)闊o惡意內(nèi)部員工的操作而使得系統(tǒng)的安全受到威脅?；谶@些原因，可以部署SCADA專用防火墻。SCADA系統(tǒng)防火墻可以將SCADA系統(tǒng)網(wǎng)絡(luò)與企業(yè)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離開，在SCADA系統(tǒng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間至少提供了兩層防火墻保護(hù)，這樣可以為SCADA系統(tǒng)實(shí)現(xiàn)更高級(jí)別的安全防護(hù)。 SCADA內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)。SCADA系統(tǒng)網(wǎng)絡(luò)應(yīng)該使用自己的網(wǎng)段使其與外部網(wǎng)絡(luò)隔離。通過使用IP智能轉(zhuǎn)換和適當(dāng)?shù)姆侄坞[藏技術(shù)，可以有效地保護(hù)網(wǎng)絡(luò)間的信息傳輸安全，比如文件傳輸、打印服務(wù) 等。使用無線以太網(wǎng)和WEP協(xié)議(Wired Equivalent Protoco1)的設(shè)備應(yīng)該改變服務(wù)集標(biāo)識(shí)(SSID)的默認(rèn) 名稱，非法用戶需要知道SSID名稱并獲得正確地加密密鑰才能建立網(wǎng)絡(luò)連接和訪問網(wǎng)絡(luò)。

        SCADA服務(wù)器操作系統(tǒng)。SCADA服務(wù)器安全是SCADA系統(tǒng)安全重要組成部分。單純的依靠安裝防火墻和IP地址分段隱藏技術(shù)并不能確保系統(tǒng)安全可靠，一個(gè)有經(jīng)驗(yàn)的黑客經(jīng)常可以輕松地繞過 防火墻，甚至可以使用地址解析協(xié)議在局域網(wǎng)內(nèi)實(shí)施ARP欺騙攻擊。操作系統(tǒng)上的SCADA應(yīng)用要正常運(yùn)行，其首要前提是SCADA服務(wù)器操作系統(tǒng)的安全。操作系統(tǒng)的漏洞威脅近來趨勢(shì)有所增加，相關(guān)的調(diào)查表明，有80%的服務(wù)器安全問題和操作系統(tǒng)有關(guān)。病毒、蠕蟲、惡意代碼、間諜軟件、流氓軟件等一旦侵入服務(wù)器內(nèi)部并取得操作系統(tǒng)管理員權(quán)限，其行為不但不受控制，并且可以清除行為痕跡， 導(dǎo)致無法追查其來源。目前，以微軟Windows為代表的操作系統(tǒng)不斷發(fā)現(xiàn)漏洞，通常在漏洞被披露的1—2周內(nèi)，相應(yīng)的蠕蟲病毒就會(huì)產(chǎn)生。用戶安全意識(shí)不強(qiáng)、用戶口令選擇不慎、用戶越權(quán)訪問和用戶賬號(hào)管理不嚴(yán)格等問題都會(huì)給服務(wù)器操作系統(tǒng)的安全帶來威脅。對(duì)服務(wù)器操作系統(tǒng)及時(shí)升級(jí)補(bǔ)丁文件是抵御最新漏洞的有效方法。同時(shí)應(yīng)該修改甚至刪除默認(rèn)的空管理員賬戶。

        SCADA應(yīng)用程序。企業(yè)保證SCADA系統(tǒng)中的應(yīng)用程序的自身安全。應(yīng)用程序的漏洞導(dǎo)致特洛伊木馬和蠕蟲病毒可以被輕易地安裝并攻擊應(yīng)用系統(tǒng)。它們可以被用來處理數(shù)據(jù)或在服務(wù)器上發(fā)出指令。當(dāng)操作員要執(zhí)行某個(gè)指令或者點(diǎn)擊某個(gè)按鈕時(shí)，會(huì)觸發(fā)被預(yù)先植入系統(tǒng)內(nèi)的批處理文件，導(dǎo)致磁盤文件被全部刪除或者系統(tǒng)的輸，/V輸出狀態(tài)被錯(cuò)誤修改。系統(tǒng)內(nèi)部其它計(jì)算機(jī)在使用郵件服務(wù)的時(shí)候，也會(huì)被植入木馬程序或者感染計(jì)算機(jī)病毒。這些木馬程序和病毒再入侵到相鄰的SCADA應(yīng)用服務(wù)器，并等待指定的時(shí)間或者其它觸發(fā)條件司機(jī)運(yùn)行。減輕這些情況的發(fā)生的有效方法包括在運(yùn)行SCADA應(yīng)用軟件的計(jì)算機(jī)上安裝反病毒程序、系統(tǒng)管理員禁用任何未經(jīng)授權(quán)的軟件安裝和其它適用于SCADA系統(tǒng)的政策和管理規(guī)定。

        SCADA政策和管理。SCADA系統(tǒng)政策和管理措施涉及供應(yīng)商、遠(yuǎn)程訪問權(quán)限和密碼管理等內(nèi)容。SCADA系統(tǒng)政策規(guī)定可以極大的影響到SCADA網(wǎng)絡(luò)內(nèi)部設(shè)備可能受到的安全威脅。制定并堅(jiān)持執(zhí)行適當(dāng)?shù)恼吆凸芾矸ㄒ?guī)，將大大提高SCADA系統(tǒng)的安全狀態(tài)。

        5 結(jié)論

        本文在分析開放式SCADA系統(tǒng)網(wǎng)絡(luò)安全隱患的基礎(chǔ)上，提出了一種基于層次結(jié)構(gòu)的“防御圈”安 全策略。在具體實(shí)施過程中，結(jié)合企業(yè)SCADA系統(tǒng)特點(diǎn)、安全等級(jí)需求和成本控制等實(shí)際情況，可以對(duì)各個(gè)層進(jìn)行優(yōu)化合理配置，該“防御圈”策略表現(xiàn)出可行度高、防范效果好和配置靈活的特點(diǎn)。需要注意的問題是企業(yè)在布設(shè)了信息網(wǎng)絡(luò)之 后，對(duì)于網(wǎng)絡(luò)設(shè)備的正確管理和監(jiān)視將變得更為復(fù) 雜。我們必須認(rèn)識(shí)到，如果只是采取了純技術(shù)性的解決方案而不進(jìn)行密切的管理和監(jiān)視，安全防護(hù)效果會(huì)大大降低。因此，可以考慮與專業(yè)網(wǎng)絡(luò)安全公司進(jìn)行合作，或者在公司內(nèi)設(shè)立網(wǎng)絡(luò)安全專職工程師崗位，專門進(jìn)行網(wǎng)絡(luò)安全監(jiān)視和事故預(yù)防。這樣可以有效地提升已有信息安全機(jī)制的性能和作用。

        原文：《中國安全生產(chǎn)科學(xué)技術(shù)》