摘 要: 發(fā)電企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題已威脅電力系統(tǒng)安全,、穩(wěn)定,、可靠、優(yōu)質(zhì)地運(yùn)行,。通過(guò)對(duì)發(fā)電企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息安全危險(xiǎn)分析,根據(jù)發(fā)電企業(yè)的特點(diǎn)提出了相應(yīng)的風(fēng)險(xiǎn)防范措施,。
關(guān)鍵詞: 計(jì)算機(jī)網(wǎng)絡(luò); 風(fēng)險(xiǎn)分析; 安全體系機(jī)構(gòu); 信息安全; 安全防護(hù)
隨著信息化不斷擴(kuò)展,各類網(wǎng)絡(luò)版應(yīng)用軟件得到推廣應(yīng)用,。計(jì)算機(jī)網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率,、實(shí)現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著越來(lái)越重要的作用,,計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)已逐步成為各項(xiàng)工作的重要基礎(chǔ)設(shè)施,。但病毒傳播、黑客入侵,、惡意軟件肆虐,,時(shí)刻威脅著計(jì)算機(jī)網(wǎng)絡(luò)信息,并造成嚴(yán)重危害,。新版《火力發(fā)電廠安全性評(píng)價(jià)》加入了網(wǎng)絡(luò)信息安全評(píng)價(jià)標(biāo)準(zhǔn),安評(píng)工作中計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)安全建設(shè)尤為重要,。
1 發(fā)電企業(yè)網(wǎng)絡(luò)系統(tǒng)簡(jiǎn)介
1.1 總體結(jié)構(gòu)圖
圖1是發(fā)電廠信息系統(tǒng)的結(jié)構(gòu)示意圖,。
發(fā)電廠信息系統(tǒng)由廠控二次系統(tǒng)、管理信息系統(tǒng)及相關(guān)的網(wǎng)絡(luò)和網(wǎng)絡(luò)接口構(gòu)成,。根據(jù)發(fā)電廠信息系統(tǒng)的組成,,廠控二次系統(tǒng)中包括電量計(jì)量、DCS,、輸煤除灰,、化學(xué)制水、遠(yuǎn)動(dòng),、脫硫等多個(gè)業(yè)務(wù)系統(tǒng)及其網(wǎng)絡(luò),。各廠控二次業(yè)務(wù)系統(tǒng)通過(guò)獨(dú)立的接口機(jī)連接到管理信息系統(tǒng)的實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器端,向管理信息系統(tǒng)提供實(shí)時(shí)業(yè)務(wù)的數(shù)據(jù),,供發(fā)電廠各相關(guān)管理部門使用,。
管理信息系統(tǒng)包括了EAM、財(cái)務(wù)管理,、OA,、燃料管理、生產(chǎn)管理,、實(shí)時(shí)數(shù)據(jù)庫(kù)等多個(gè)系統(tǒng)和系統(tǒng)用戶,,還有相關(guān)的網(wǎng)絡(luò)與網(wǎng)絡(luò)接口。其中,實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)器接收廠控端接口機(jī)采集的實(shí)時(shí)數(shù)據(jù),,并將數(shù)據(jù)提供給管理信息系統(tǒng)中的其他業(yè)務(wù)系統(tǒng),。
1.2 應(yīng)用系統(tǒng)
1.2.1 EAM(設(shè)備管理系統(tǒng))
EAM系統(tǒng)主要提供對(duì)電廠設(shè)備的編碼管理、電廠設(shè)備維護(hù)工作流程的管理,、電廠生產(chǎn)過(guò)程中的運(yùn)行值班情況的管理及電廠的備品備件的管理功能,。
EAM系統(tǒng)中數(shù)據(jù)主要包括用戶信息/權(quán)限、設(shè)備數(shù)據(jù),、維修管理數(shù)據(jù),、運(yùn)行管理數(shù)據(jù)、備件數(shù)據(jù)等,。因用戶信息/權(quán)限的機(jī)密性要求高,,所以EAM系統(tǒng)數(shù)據(jù)的完整性和可用性要求都為高。
1.2.2 實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)
實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)服務(wù)器負(fù)責(zé)通過(guò)多個(gè)和廠控系統(tǒng)相連的接口機(jī)收集與廠控系統(tǒng)相關(guān)的實(shí)時(shí)數(shù)據(jù),。接口機(jī)分布與各廠控系統(tǒng)現(xiàn)場(chǎng)連接,其中的實(shí)時(shí)數(shù)據(jù)來(lái)自于DCS系統(tǒng),、遠(yuǎn)動(dòng)系統(tǒng)、電量采集系統(tǒng),、輸煤除灰系統(tǒng)等,。
實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)存在與廠控系統(tǒng)、管理信息網(wǎng)絡(luò)其他業(yè)務(wù)系統(tǒng)的通信關(guān)系,。授權(quán)用戶對(duì)實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn),,采用用戶名/密碼的認(rèn)證方式,訪問(wèn)控制通過(guò)防火墻控制,。
1.3 安全分區(qū)
根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》的安全分區(qū)原則,,對(duì)發(fā)電廠信息系統(tǒng)進(jìn)行分區(qū),按照AGC接口設(shè)備,、遠(yuǎn)動(dòng)RTU,、電量計(jì)量RTU和電力市場(chǎng)報(bào)價(jià)終端與管理信息系統(tǒng)通信方式的不同,劃分成兩個(gè)分區(qū):生產(chǎn)控制大區(qū)(安全區(qū)Ⅰ和安全區(qū)Ⅱ)和管理信息大區(qū),。實(shí)時(shí)數(shù)據(jù)系統(tǒng)各組件分布于安全區(qū)I,、II和管理信息大區(qū)中,根據(jù)實(shí)時(shí)數(shù)據(jù)系統(tǒng)的結(jié)構(gòu),,將實(shí)時(shí)數(shù)據(jù)系統(tǒng)分為兩部分:
(1) 安全區(qū)I,、II的接口機(jī):用于采集來(lái)自安全區(qū)Ⅰ和安全區(qū)Ⅱ的實(shí)時(shí)系統(tǒng)數(shù)據(jù),同時(shí)將這些實(shí)時(shí)數(shù)據(jù)單向傳給管理信息大區(qū)的實(shí)時(shí)服務(wù)器,。
(2) 管理信息大區(qū)的實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器:從安全區(qū)I,、II的接口機(jī)獲取數(shù)據(jù),并與管理信息區(qū)的其他業(yè)務(wù)系統(tǒng)間進(jìn)行數(shù)據(jù)交互,。
2 網(wǎng)絡(luò)安全體系機(jī)構(gòu)
電力企業(yè)信息安全體系機(jī)構(gòu)由網(wǎng)絡(luò)安全防護(hù),、數(shù)據(jù)備份和恢復(fù),、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成[1-2],。
2.1網(wǎng)絡(luò)安全防護(hù)
2.1.1 安全域防護(hù)
管理信息系統(tǒng)劃分為服務(wù)器集群,、終端用戶、對(duì)外應(yīng)用服務(wù)器三個(gè)網(wǎng)絡(luò)安全域,,將終端用戶安全域劃分成多個(gè)子安全域,,包括財(cái)務(wù)系統(tǒng)、管理人員,、生產(chǎn)部門,、一般用戶等多個(gè)安全域;將對(duì)外提供服務(wù)的應(yīng)用服務(wù)器部署在對(duì)外應(yīng)用服務(wù)器域中,。
2.1.2 網(wǎng)絡(luò)的高可靠性
(1) 核心層網(wǎng)絡(luò)設(shè)備應(yīng)采取雙冗余結(jié)構(gòu),,兩臺(tái)核心層設(shè)備相互熱備;
(2) 關(guān)鍵終端用戶安全域接入交換設(shè)備到核心層應(yīng)采用雙鏈路冗余結(jié)構(gòu),,確保用戶接入核心層鏈路的冗余和可靠,;
(3) 對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器域和重要業(yè)務(wù)系統(tǒng)服務(wù)器域通過(guò)兩條鏈路接入核心層;
2.1.3 防病毒
(1) 發(fā)電廠管理信息大區(qū)應(yīng)統(tǒng)一部署病毒防護(hù)措施,,禁止安全區(qū)I,、II與管理信息系統(tǒng)共用一個(gè)防病毒管理服務(wù)器。
(2) 對(duì)所有系統(tǒng)的服務(wù)器,、用戶工作站都應(yīng)當(dāng)部署適當(dāng)?shù)姆啦《井a(chǎn)品的客戶端,。
(3) 在與Internet的網(wǎng)絡(luò)接口處應(yīng)當(dāng)部署防病毒網(wǎng)關(guān),防止病毒,、蠕蟲從Internet蔓延到發(fā)電廠管理信息系統(tǒng)內(nèi)部。
(4) 在布置獨(dú)立的電子郵件系統(tǒng)時(shí),,必須在郵件服務(wù)器前端部署郵件病毒網(wǎng)關(guān),,防止郵件病毒在辦公網(wǎng)絡(luò)中蔓延。
(5) 加強(qiáng)防病毒管理,,保證病毒特征碼的及時(shí),、全面更新,及時(shí)查看病毒查殺記錄,,掌握病毒威脅情況,。
2.1.4 防火墻
在到Internet的每個(gè)網(wǎng)絡(luò)接口處都必須部署一臺(tái)防火墻;對(duì)外應(yīng)用的服務(wù)器安全域應(yīng)連接到防火墻?;饏^(qū)(DMZ),,選用硬件防火墻,其功能,、性能,、電磁兼容性必須經(jīng)過(guò)相關(guān)測(cè)試,。防火墻應(yīng)支持DMZ功能,發(fā)電廠對(duì)外部公開的系統(tǒng)(如Web系統(tǒng),、郵件系統(tǒng))需放置在DMZ區(qū),。
2.1.5 入侵檢測(cè)系統(tǒng)
發(fā)電廠管理信息系統(tǒng)中應(yīng)部署一套入侵檢測(cè)系統(tǒng),至少應(yīng)在核心層網(wǎng)絡(luò)設(shè)備上部署一個(gè)入侵檢測(cè)系統(tǒng)的探頭,。
2.1.6 虛擬專用網(wǎng)
發(fā)電廠廠控自動(dòng)化系統(tǒng)與調(diào)度中心的通信,,應(yīng)滿足《電力二次系統(tǒng)安全防護(hù)規(guī)定》中提出的實(shí)時(shí)和非實(shí)時(shí)VPN建設(shè)的要求。穿越公用線路與發(fā)電廠管理信息系統(tǒng)進(jìn)行業(yè)務(wù)通信,、遠(yuǎn)程辦公時(shí),,應(yīng)采用VPN產(chǎn)品,以保障數(shù)據(jù)通信的安全性,。
2.1.7 主機(jī)安全加固
關(guān)鍵應(yīng)用系統(tǒng)(如財(cái)務(wù)系統(tǒng),、EAM系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng)等)的主服務(wù)器應(yīng)定期進(jìn)行主機(jī)安全加固,。主機(jī)安全加固方式包括:安全配置,、安全補(bǔ)丁、采用專用的軟件強(qiáng)化操作系統(tǒng)訪問(wèn)控制能力以及配置安全的應(yīng)用,。
2.2 備份與恢復(fù)
對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)(財(cái)務(wù)系統(tǒng),、EAM、實(shí)時(shí)數(shù)據(jù)庫(kù)系統(tǒng))數(shù)據(jù),,安排專人負(fù)責(zé)數(shù)據(jù)的備份,,確保對(duì)業(yè)務(wù)數(shù)據(jù)每
月進(jìn)行一次全備。關(guān)鍵業(yè)務(wù)系統(tǒng)需雙機(jī)備份,安排專人對(duì)備份介質(zhì)進(jìn)行保管,備份介質(zhì)必須與原數(shù)據(jù)異地存儲(chǔ),。
2.3 應(yīng)用系統(tǒng)安全
管理信息大區(qū)中應(yīng)用系統(tǒng)較多,,確保應(yīng)用的安全性是管理信息系統(tǒng)信息安全建設(shè)的重點(diǎn)內(nèi)容。包括: 訪問(wèn)控制,、賬戶與權(quán)限管理,、審計(jì)管理、輸入/輸出完整性,、加密管理,、系統(tǒng)生命周期安全管理、數(shù)據(jù)完整性等,。
2.4 信息安全管理
信息安全管理工作包含3個(gè)方面:
(1) 建立專門的組織機(jī)構(gòu)負(fù)責(zé)信息安全工作的管理,;
(2)建立專門的策略體系和管理制度體系約束人員行為;
(3) 建立專門的人員隊(duì)伍進(jìn)行具體的管理操作,。
網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程,,不能僅靠殺毒軟件、防火墻,、漏洞掃描等硬件設(shè)備的防護(hù),,還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng),,在建立以計(jì)算機(jī)網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時(shí),也應(yīng)樹立用戶的網(wǎng)絡(luò)信息安全意識(shí)才能防微杜漸,,構(gòu)建一個(gè)高效,、安全的網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn)
[1] 張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,,2003.
[2] 葛秀慧.計(jì)算機(jī)網(wǎng)絡(luò)安全管理(第二版)[M].北京:清華大學(xué)出版社,,2008.