发电企业信息系统安全技术分析19216.docx

《发电企业信息系统安全技术分析19216.docx》由会员分享，可在线阅读，更多相关《发电企业信息系统安全技术分析19216.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、发电企业信息系统安全技术分析葛利宏（内蒙古电力科学研究院，内蒙古 呼和浩特 010020）摘要：针对内蒙古电力系统各发电企业管理信息系统，通过对网络边界、物理层、网络层、系统层、应用层等进行分析，阐述了电厂信息系统网络安全技术，并阐述了网络安全的实现方法、软硬件设计。关键词：发电企企业；管理信信息系统；安安全0 概述企业的网络基本本建设完成以以后，首先考考虑的问题是是网络应用，随随着Inteernet的的快速发展和和企业上网工工程的日益推推广，越来越越多的企业建建立网站来进进行对外宣传传，或通过搭搭建独立的EE-maill服务器以电电子邮件的方方式进行数据据传输，同时时电厂新机组组基建MISS

2、系统与生产产MIS系统统的连接、DDCS与MIIS的连接、SSIS与MIIS的连接、财财务系统及物物资管理系统统与MIS的的连接等，对对信息系统安安全的要求越越来越高。电电厂每时每刻刻都有大量的的实时数据在在网络中传输输，如何有效效控制信息在在网络中安全全传输和交换换，同时如何何防止其它来来自企业内部部和外部对信信息系统的恶恶意破坏，都都涉及到信息息系统安全问问题。随着网络规模的的急剧膨胀，网网络用户的快快速增长，关关键性应用的的普及和深入入，信息系统统一旦受到黑黑客攻击或中中了病毒，将将直接破坏电电厂的核心数数据库，甚至至破坏生产系系统。本文阐阐述信息安全全技术主要包包括：网络边边界防护、物

3、物理层安全、网网络层安全、平平台安全等。网网络边界防护护是指路由器器、防火墙、入入侵检测系统统、病毒防控控系统等软硬硬件安全措施施的部署。物物理层安全是是指重要设备备和主干线路路的冗余备份份，并通过制制定规范措施施保障环境安安全和设备安安全。网络层层安全包括路路由策略的制制定、通过规规划VLANN隔离广播风风暴、通过部部署网管软件件实现网络监监测、流量控控制、远程管管理等。平台台安全主要包包括系统层安安全和应用层层安全。目前，内蒙古电电力系统各电电厂的广域网网接入方式主主要为2种：一是通过光光缆直接接入入内蒙古电力力总公司的广广域网系统，这这样电厂可利利用总公司统统一的Intternett出口

4、接入互互联网，网络络安全也由总总公司统一规规划，在总公公司配置统一一的防火墙平平台、防病毒毒系统、入侵侵检测系统、漏漏洞扫描、安安全风险评估估等，由于各各发电单位局局域网同在一一个城域网中中，单点的安安全威胁或病病毒泛滥会影影响到其它点点。二是无法法直接接入总总公司广域网网系统的，采采用向当地IISP申请DDDN专线的的方式接入IInternnet，网络络边界安全要要求比较高，而而且总公司也也无法实现安安全方面的统统一管理。22者虽然接入入方式不同，但但网络安全设设计却基本相相同。本文针针对发电企业业现有的信息息系统阐述了了信息系统安安全技术的理理论与实践。1 网络安全技术分分析2 .1 网络

5、络边界安全2.1.1 网网络边界安全全技术描述电厂的局域网系系统一般处在在整个信息系系统的边缘，电电厂通过部署署路由器、防防火墙、IDDS（入侵检检测系统）等等网络边界设设备接入到IInternnet或者作作为一个分公公司接入到总总公司。电厂典型的网络络边界安全结结构为：以路路由器作为线线路接入设备备，防火墙设设备连接在路路由器之后，防防火墙连接电电厂的内部局局域网、DMMZ停火区和和其它应用工工作区。这种结构的工作作原理为：路路由器通过配配置路由协议议、地址映射射、端口映射射、访问控制制列表ACLL等实现基本本的路由策略略、访问控制制和内容过滤滤，例如可以以将ACL应应用到路由器器的外部接口

6、口来封杀“冲击波”和“震荡波”等蠕虫病毒毒的端口，限限制BT下载载及对Intternett的访问。防防火墙本身具具有很强的抗抗攻击能力，是是网络边界安安全的核心，防防火墙和路由由器之间通过过双重地址翻翻译实现更高高的安全性，这这样外网要进进入电厂内网网需突破路由由器和防火墙墙的双重关口口。防火墙的的DMZ区通通常放置需要要被外网的访访问的堡垒主主机，例如对对外Web服服务器、E-mail 服务器、FFtp服务器器等。防火墙墙的一个比较较主要功能是是远程VPNN接入，远程程VPN客户户端通过Ippsec协议议与防火墙建建立隧道连接接，或通过IIE浏览器的的方式通过SSSL协议拨拨入，此时，防防火

7、墙作为VVPN拨入服服务器，可保保证高速、安安全的虚拟连连接。由于企业关键性性应用的增多多，如IP语语音、IP视视频等，企业业往往需要更更高的出口带带宽才能满足足要求，这时时可以将线路路直接接入防防火墙，去掉掉路由器，这这样数据流在在通过网络边边界时减少了了处理时间，同同时防火墙的的抗攻击能力力要比路由器器好，可以有有效对抗路由由器和消耗带带宽类型的网网络攻击，当当网络用户比比较多时，网网络性能提高高明显。 内蒙古包包头第二热电电厂、海勃湾湾电厂、岱海海电厂管理信信息系统通过过边界路由器器作接入，并并连接防火墙墙的方法实现现了双重NAAT和双重AACL，基本本达到了网络络边界安全技技术的要求。

8、2.1.2 网网络边界安全全结构设计 路由器的的拓扑位置：路由器位于于电厂信息系系统对外出口口处，作为IInternnet线路的的接入设备，同同时通过IPP地址翻译、访访问控制列表表等使企业局局域网与外部部其它网络系系统隔离，可可以屏蔽来自自网络外部对对本局域网的的直接访问和和恶意破坏。 防火墙墙的拓扑位置置：防火墙是是防御网络入入侵者的最有有效机制，阻阻挡基于网络络攻击的功能能也日益完善善。防火墙的的DMZ区可可以部署企业业的堡垒主机机，如Webb、E-maail、Fttp服务器等等。而且，防防火墙作为网网络边界安全全设备可以提提供基于Ippsec或SSSL的VPPN虚拟专网网服务，满足足电

9、厂与总公公司的IP视视频应用以及及安全的远程程拨入功能。网络边界安全设设计典型的拓拓扑结构如图图1： 图1 网络边界安安全的拓扑结结构2.2 物理理层安全 该层层次的安全包包括通信线路路的安全，物物理设备的安安全，机房的的安全等。物物理层的安全全主要体现在在通信线路的的可靠性（线线路备份、网网管软件、传传输介质），软软硬件设备安安全性（替换换设备、拆卸卸设备、增加加设备），设设备的备份，防防灾害能力、防防干扰能力，设设备的运行环环境（温度、湿湿度、烟尘），不不间断电源保保障，等等。针对实际工作环环境，保障网网络物理层安安全的措施如如下：(1) 设置独立的中心心机房和二级级机房，由网网络管理人员

10、员定期进行环环境、设备检检查，作好班班组日志统计计，建立设备备台帐。(2) 光纤主干建立冗冗余链路，信信息点设置冗冗余，部分硬硬件设备如二二级交换机、光光电转换接口口等设置备品品。(3) 网络Interrnet出口口线路或接口口只开一个，开开通高带宽专专线，限制其其他方式如AADSL、IISDN、拨拨号等方式与与Interrnet连接接。2.3 网络络层安全该层次的安全问问题主要体现现在网络方面面的安全性，包包括网络层身身份认证，网网络资源的访访问控制，数数据传输的保保密与完整性性，远程接入入的安全，域域名系统的安安全，入侵检检测的手段，网网络设施防病病毒，MISS与其它生产产敏感系统的的隔离

11、等。网络层身份认证证通过搭建AACS服务器器来实现，通通过网管软件件并配合交换换机来控制对对网络资源的的访问。网络络远程接入通通过VPN的的方式来实现现。选用相对对安全的BIIND软件来来搭建DNSS系统。本文文重点阐述入入侵检测和网网络防毒。2.3.1 IIDS入侵检检测系统网络系统边界配配置了防火墙墙之后，可以以阻挡大部分分外来黑客的的攻击。但是是，高级的黑黑客可以饶过过防火墙进行行攻击，同时时为了防范来来自局域网内内部的攻击或或破坏，我们们通常需要配配置入侵检测测系统。入侵检测系系统的目的是提供供实时的入侵侵检测及采取取相应的防护护手段，可发发现违规访问问、阻断网络络连接、内部部越权访问

12、等等，也能发现现更为隐蔽的的攻击。 目前，在在内蒙古电力力集团公司的的信通中心配配置了IDSS系统，实现现了对网络系系统的实时监监测。随着网网络安全的部部署，各发电电单位会配置置相应的IDDS及IPSS系统，作为为网络安全管管理的手段。2.3.2 网络防病毒毒系统近2年，网络病病毒的传播对对发电单位信信息系统的危危害越来越严严重，随着电电厂信息系统统的不断膨胀胀、用户的增增加、各相关关应用如实时时系统、远动动、P3系统统的接入，网网络病毒的防防御成为令电电厂信息工作作人员十分头头疼的事。“蠕虫王”、“冲击波”、“震荡波”等网络病毒毒造成了电厂厂信息系统的的瘫痪。总结结以前的经验验教训，电厂厂信

13、息系统通通过以下综合合的方式来实实现网络病毒毒的防御。（1）在网络边边界制定访问问控制列表，对对端口进行封封杀；（2）在网络内内部部署网络络版防病毒软软件，有电子子邮件服务器器的电厂加配配电子邮件防防毒部分。内内蒙古电力系系统各发电单单位的信息系系统通过部署署趋势科技的的防病毒软件件，取得了较较好的效果；（3）升级操作作系统补丁，通通过管理制度度的方式，让让系统的使用用人员自动从从网上升级微微软操作系统统的补丁；（4）制定相关关的管理措施施，防止厂内内及厂外人员员软盘、光盘盘、U盘等媒媒介将病毒引引入。2.3.3 网络层安全全综合措施 (11)电厂通过过配置三层交交换机搭建千千兆以太网，并并通

14、过设置路路由策略、创创建VLANN、ACL访访问控制、路路由协议等将将内部局域网网进行分段，阻阻止广播风暴暴。同可根据据内部网络情情况，针对电电厂DCS、SSIS、财务务系统等制定定详细的路由由策略并控制制VLAN间间的访问。 (22)通过分析析电厂各终端端的关键性应应用，制定VVLAN策略略，将不同应应用的终端划划分为不同的的VLAN，并并实现各VLLAN中的DDHCP应用用。 (33)电厂内信信息系统的远远程访问应用用主要集中在在IP视频会会议、视频监监控、IP语语音。通过规规划一个独立立的网段，远远程用户通过过VPN方式式拨入即可。(4)与电厂的的生产系统进进行物理隔离离，与DCSS、调

15、度自动动化等系统之之间加入隔离离网关设备。2.3.4 发电企业内内部MIS系系统与其它系系统的接口内蒙古电力系统统各发电单位位MIS系统统与其它应用用系统安全总总体规划拓扑扑如图2： 图2 信信息系统安全全总体规划拓拓扑2.4 系统层层（网络操作作系统平台）安安全 操作系统因为为设计和版本本的问题，往往往存在许多多的安全漏洞洞；同时因为为在使用中安安全设置不当当，也会带来来安全隐患。在在没有其它更更高安全级别别的商用操作作系统可供选选择的情况下下，关键在于于操作系统的的安全管理。为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印 机安全、注册表安全、RAS安全、数据安

16、全、各应用系统安全等方面制定强化安全的措施。（1）网络服务务器安全。网网络服务器安安全设置主要要包括：帐户户管理、访问问控制、权限限分配、组策策略、域管理理、远程路由由设置等。配配置防火墙和和路由器的最最终目的是为为了服务器的的安全，对网网络的入侵、攻攻击和恶意破破坏，其针对对的也是网络络服务器，应应用防火墙和和路由器安全全技术可以抵抵御外来攻击击，而网络服服务器的安全全技术应用可可以同时抵御御来自企业网网络内外部的的攻击。（2）客户端安安全。客户端端安全主要包包括：密码设设置、安装客客户端防病毒毒软件及做敏敏感数据的备备份和加密等等内容。2.5 应用用层安全该层的安全问题题主要由提供供服务所

17、采用用的应用软件件和数据的安安全性产生，包包括Web服服务、电子邮邮件系统、DDNS等；具具体指提供WWeb服务、EE-maill服务、DNNS服务的网网络服务器的的应用软件安安全和数据安安全。内蒙古电力系统统各发电企业业的对外Weeb服务通常常安装在微软软的操作系统统上，利用微微软公司的IIIS来实现现。服务器放放置在防火墙墙的DMZ区区。由于微软软操作系统及及应用软件自自身的漏洞，WWeb服务器器很容易被攻攻击。针对这这种状况，发发电企业在局局域网内部设设置了对内WWeb服务器器，作为外部部Web服务务的数据备份份，这样要求求网络边界的的防火墙及入入侵检测设备备具有内容过过滤和预警功功能。

18、也有的的发电企业通通过Linuux搭建Weeb系统来避避开微软的应应用软件容易易被攻击的特特点。E-mmail服务务、DNS服服务基本类同同于Web服服务。内蒙古电力系统统各发电企业业数据中心在在小型机上，数数据库应用软软件为Oraacle数据据库系统，通通过小型机双双机热备及管管理员每天的的巡检和定期期的数据备份份来保障数据据方面的安全全，并做到发发生故障发生生后的手动恢恢复。 3 结语 信息系统统安全是一项项综合性的技技术，内蒙古古电力系统各各发电单位通通过网络安全全技术的综合合应用起到了了良好的效果果，减少了网网络的维护量量，保证了网网络服务器的的稳定运行及及数据的安全全，使信息系系统更

19、好地服服务于企业的的生产、经营营、管理。 信息系统统安全不但需需要参考网络络安全的各项项标准以形成成合理的评估估准则，更重重要的是必须须明确网络安安全的框架体体系、安全防防范的层次结结构，分析网网络系统的各各个不安全环环节，找到安安全漏洞，做做到有的放矢矢。 网络安全全技术浩瀚无无边，本文只只是冰山一角角，望读者批批评指正。参考文献：1 Marrk Mc Gregoor.思科网网络技术学院院-CCNPP高级路由.北京：人民民邮电出版社社.20022年8月2 UNIIX管理系列列编委会.AAIX系统管管理与网络管管理. 北京京：中国人民民大学出版社社.20011年10月3.Jammes Piike.Ciisco网络络安全.北京京：清华大学学出版社.22004年99月4 腾永昌昌.ORACCLE9i数数据库管理员员使用大全.北京：清华华大学出版社社.20044年3月作者简介：葛利宏（19776-）男男，工程师。毕毕业于上海交交通大学电气气工程系，现现于内蒙古电电力科学研究究院网络技术术研究所从事事计算机网络络系统设计开开发及应用工工作。长期从从事发电企业业信息系统工工程建设。通讯地址：内蒙蒙古呼和浩特特市锡林南路路211号内内蒙古电力科科学研究院网网络技术研究究所联系电话：04471-622237466 1338471881618E-mail: swalllow16688n