发电企业信息系统安全技术分析.docx

《发电企业信息系统安全技术分析.docx》由会员分享，可在线阅读，更多相关《发电企业信息系统安全技术分析.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、发电企业信息系统安全技术分析葛利宏（内蒙古电力科学研究院，内蒙古 呼和浩特 010020）摘要：针对内蒙古电力系统各发电企业管理信息系统，通过对网络边界、物理层、网络层、系统层、应用层等进行分析，阐述了电厂信息系统网络安全技术，并阐述了网络安全的实现方法、软硬件设计。关键词：发电企业；管理信息系统；安全0 概述企业的网络基本建设完成以后，首先考虑的问题是网络应用，随着Internet的快速发展和企业上网工程的日益推广，越来越多的企业建立网站来进行对外宣传，或通过搭建独立的E-mail服务器以电子邮件的方式进行数据传输，同时电厂新机组基建MIS系统与生产MIS系统的连接、DCS与MIS的连接、S

2、IS与MIS的连接、财务系统及物资管理系统与MIS的连接等，对信息系统安全的要求越来越高。电厂每时每刻都有大量的实时数据在网络中传输，如何有效控制信息在网络中安全传输和交换，同时如何防止其它来自企业内部和外部对信息系统的恶意破坏，都涉及到信息系统安全问题。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，信息系统一旦受到黑客攻击或中了病毒，将直接破坏电厂的核心数据库，甚至破坏生产系统。本文阐述信息安全技术主要包括：网络边界防护、物理层安全、网络层安全、平台安全等。网络边界防护是指路由器、防火墙、入侵检测系统、病毒防控系统等软硬件安全措施的部署。物理层安全是指重要设备和主干线路

3、的冗余备份，并通过制定规范措施保障环境安全和设备安全。网络层安全包括路由策略的制定、通过规划VLAN隔离广播风暴、通过部署网管软件实现网络监测、流量控制、远程管理等。平台安全主要包括系统层安全和应用层安全。目前，内蒙古电力系统各电厂的广域网接入方式主要为2种：一是通过光缆直接接入内蒙古电力总公司的广域网系统，这样电厂可利用总公司统一的Internet出口接入互联网，网络安全也由总公司统一规划，在总公司配置统一的防火墙平台、防病毒系统、入侵检测系统、漏洞扫描、安全风险评估等，由于各发电单位局域网同在一个城域网中，单点的安全威胁或病毒泛滥会影响到其它点。二是无法直接接入总公司广域网系统的，采用向当

4、地ISP申请DDN专线的方式接入Internet，网络边界安全要求比较高，而且总公司也无法实现安全方面的统一管理。2者虽然接入方式不同，但网络安全设计却基本相同。本文针对发电企业现有的信息系统阐述了信息系统安全技术的理论与实践。1 网络安全技术分析2 .1 网络边界安全2.1.1 网络边界安全技术描述电厂的局域网系统一般处在整个信息系统的边缘，电厂通过部署路由器、防火墙、IDS（入侵检测系统）等网络边界设备接入到Internet或者作为一个分公司接入到总公司。电厂典型的网络边界安全结构为：以路由器作为线路接入设备，防火墙设备连接在路由器之后，防火墙连接电厂的内部局域网、DMZ停火区和其它应用工

5、作区。这种结构的工作原理为：路由器通过配置路由协议、地址映射、端口映射、访问控制列表ACL等实现基本的路由策略、访问控制和内容过滤，例如可以将ACL应用到路由器的外部接口来封杀“冲击波”和“震荡波”等蠕虫病毒的端口，限制BT下载及对Internet的访问。防火墙本身具有很强的抗攻击能力，是网络边界安全的核心，防火墙和路由器之间通过双重地址翻译实现更高的安全性，这样外网要进入电厂内网需突破路由器和防火墙的双重关口。防火墙的DMZ区通常放置需要被外网的访问的堡垒主机，例如对外Web服务器、E-mail 服务器、Ftp服务器等。防火墙的一个比较主要功能是远程VPN接入，远程VPN客户端通过Ipsec

6、协议与防火墙建立隧道连接，或通过IE浏览器的方式通过SSL协议拨入，此时，防火墙作为VPN拨入服务器，可保证高速、安全的虚拟连接。由于企业关键性应用的增多，如IP语音、IP视频等，企业往往需要更高的出口带宽才能满足要求，这时可以将线路直接接入防火墙，去掉路由器，这样数据流在通过网络边界时减少了处理时间，同时防火墙的抗攻击能力要比路由器好，可以有效对抗路由器和消耗带宽类型的网络攻击，当网络用户比较多时，网络性能提高明显。 内蒙古包头第二热电厂、海勃湾电厂、岱海电厂管理信息系统通过边界路由器作接入，并连接防火墙的方法实现了双重NAT和双重ACL，基本达到了网络边界安全技术的要求。2.1.2 网络边

7、界安全结构设计 路由器的拓扑位置：路由器位于电厂信息系统对外出口处，作为Internet线路的接入设备，同时通过IP地址翻译、访问控制列表等使企业局域网与外部其它网络系统隔离，可以屏蔽来自网络外部对本局域网的直接访问和恶意破坏。 防火墙的拓扑位置：防火墙是防御网络入侵者的最有效机制，阻挡基于网络攻击的功能也日益完善。防火墙的DMZ区可以部署企业的堡垒主机，如Web、E-mail、Ftp服务器等。而且，防火墙作为网络边界安全设备可以提供基于Ipsec或SSL的VPN虚拟专网服务，满足电厂与总公司的IP视频应用以及安全的远程拨入功能。网络边界安全设计典型的拓扑结构如图1： 图1 网络边界安全的拓扑

8、结构2.2 物理层安全 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。针对实际工作环境，保障网络物理层安全的措施如下：(1) 设置独立的中心机房和二级机房，由网络管理人员定期进行环境、设备检查，作好班组日志统计，建立设备台帐。(2) 光纤主干建立冗余链路，信息点设置冗余，部分硬件设备如二级交换机、光电转换接口等设置备品。(3) 网络Internet出口线路或接口只开

9、一个，开通高带宽专线，限制其他方式如ADSL、ISDN、拨号等方式与Internet连接。2.3 网络层安全该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，入侵检测的手段，网络设施防病毒，MIS与其它生产敏感系统的隔离等。网络层身份认证通过搭建ACS服务器来实现，通过网管软件并配合交换机来控制对网络资源的访问。网络远程接入通过VPN的方式来实现。选用相对安全的BIND软件来搭建DNS系统。本文重点阐述入侵检测和网络防毒。2.3.1 IDS入侵检测系统网络系统边界配置了防火墙之后，可以阻挡大部分外来黑客的

10、攻击。但是，高级的黑客可以饶过防火墙进行攻击，同时为了防范来自局域网内部的攻击或破坏，我们通常需要配置入侵检测系统。入侵检测系统的目的是提供实时的入侵检测及采取相应的防护手段，可发现违规访问、阻断网络连接、内部越权访问等，也能发现更为隐蔽的攻击。 目前，在内蒙古电力集团公司的信通中心配置了IDS系统，实现了对网络系统的实时监测。随着网络安全的部署，各发电单位会配置相应的IDS及IPS系统，作为网络安全管理的手段。2.3.2 网络防病毒系统近2年，网络病毒的传播对发电单位信息系统的危害越来越严重，随着电厂信息系统的不断膨胀、用户的增加、各相关应用如实时系统、远动、P3系统的接入，网络病毒的防御成

11、为令电厂信息工作人员十分头疼的事。“蠕虫王”、“冲击波”、“震荡波”等网络病毒造成了电厂信息系统的瘫痪。总结以前的经验教训，电厂信息系统通过以下综合的方式来实现网络病毒的防御。（1）在网络边界制定访问控制列表，对端口进行封杀；（2）在网络内部部署网络版防病毒软件，有电子邮件服务器的电厂加配电子邮件防毒部分。内蒙古电力系统各发电单位的信息系统通过部署趋势科技的防病毒软件，取得了较好的效果；（3）升级操作系统补丁，通过管理制度的方式，让系统的使用人员自动从网上升级微软操作系统的补丁；（4）制定相关的管理措施，防止厂内及厂外人员软盘、光盘、U盘等媒介将病毒引入。2.3.3 网络层安全综合措施 (1)

12、电厂通过配置三层交换机搭建千兆以太网，并通过设置路由策略、创建VLAN、ACL访问控制、路由协议等将内部局域网进行分段，阻止广播风暴。同可根据内部网络情况，针对电厂DCS、SIS、财务系统等制定详细的路由策略并控制VLAN间的访问。 (2)通过分析电厂各终端的关键性应用，制定VLAN策略，将不同应用的终端划分为不同的VLAN，并实现各VLAN中的DHCP应用。 (3)电厂内信息系统的远程访问应用主要集中在IP视频会议、视频监控、IP语音。通过规划一个独立的网段，远程用户通过VPN方式拨入即可。(4)与电厂的生产系统进行物理隔离，与DCS、调度自动化等系统之间加入隔离网关设备。2.3.4 发电企

13、业内部MIS系统与其它系统的接口内蒙古电力系统各发电单位MIS系统与其它应用系统安全总体规划拓扑如图2： 图2 信息系统安全总体规划拓扑2.4 系统层（网络操作系统平台）安全 操作系统因为设计和版本的问题，往往存在许多的安全漏洞；同时因为在使用中安全设置不当，也会带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下，关键在于操作系统的安全管理。为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印 机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。（1）网络服务器安全。网络服务器安全设置主要包括：帐户管理、访问控制、权限分配、

14、组策略、域管理、远程路由设置等。配置防火墙和路由器的最终目的是为了服务器的安全，对网络的入侵、攻击和恶意破坏，其针对的也是网络服务器，应用防火墙和路由器安全技术可以抵御外来攻击，而网络服务器的安全技术应用可以同时抵御来自企业网络内外部的攻击。（2）客户端安全。客户端安全主要包括：密码设置、安装客户端防病毒软件及做敏感数据的备份和加密等内容。2.5 应用层安全该层的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等；具体指提供Web服务、E-mail服务、DNS服务的网络服务器的应用软件安全和数据安全。内蒙古电力系统各发电企业的对外Web服务通常安装

15、在微软的操作系统上，利用微软公司的IIS来实现。服务器放置在防火墙的DMZ区。由于微软操作系统及应用软件自身的漏洞，Web服务器很容易被攻击。针对这种状况，发电企业在局域网内部设置了对内Web服务器，作为外部Web服务的数据备份，这样要求网络边界的防火墙及入侵检测设备具有内容过滤和预警功能。也有的发电企业通过Linux搭建Web系统来避开微软的应用软件容易被攻击的特点。E-mail服务、DNS服务基本类同于Web服务。内蒙古电力系统各发电企业数据中心在小型机上，数据库应用软件为Oracle数据库系统，通过小型机双机热备及管理员每天的巡检和定期的数据备份来保障数据方面的安全，并做到发生故障发生后

16、的手动恢复。 3 结语 信息系统安全是一项综合性的技术，内蒙古电力系统各发电单位通过网络安全技术的综合应用起到了良好的效果，减少了网络的维护量，保证了网络服务器的稳定运行及数据的安全，使信息系统更好地服务于企业的生产、经营、管理。 信息系统安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架体系、安全防范的层次结构，分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。 网络安全技术浩瀚无边，本文只是冰山一角，望读者批评指正。参考文献：1 Mark Mc Gregor.思科网络技术学院-CCNP高级路由.北京：人民邮电出版社.2002年8月2 UNIX管

17、理系列编委会.AIX系统管理与网络管理. 北京：中国人民大学出版社.2001年10月3.James Pike.Cisco网络安全.北京：清华大学出版社.2004年9月4 腾永昌.ORACLE9i数据库管理员使用大全.北京：清华大学出版社.2004年3月作者简介：葛利宏（1976-）男，工程师。毕业于上海交通大学电气工程系，现于内蒙古电力科学研究院网络技术研究所从事计算机网络系统设计开发及应用工作。长期从事发电企业信息系统工程建设。通讯地址：内蒙古呼和浩特市锡林南路211号内蒙古电力科学研究院网络技术研究所联系电话：0471-6223746 13847181618E-mail: swallow1688