发电企业信息系统安全技术分析

2013-12-03 17:16:55 电力信息化　点击量：评论 (0)

摘要：针对内蒙古电力系统各发电企业管理信息系统，通过对网络边界、物理层、网络层、系统层、应用层等进行分析，阐述了电厂信息系统网络安全技术，并阐述了网络安全的实现方法、软硬件设计。关键词：发电企业；

IDS（入侵检测系统）等网络边界设备接入到Internet或者作为一个分公司接入到总公司。

电厂典型的网络边界安全结构为：以路由器作为线路接入设备，防火墙设备连接在路由器之后，防火墙连接电厂的内部局域网、DMZ停火区和其它应用工作区。

这种结构的工作原理为：路由器通过配置路由协议、地址映射、端口映射、访问控制列表ACL等实现基本的路由策略、访问控制和内容过滤，例如可以将ACL应用到路由器的外部接口来封杀“冲击波”和“震荡波”等蠕虫病毒的端口，限制BT下载及对Internet的访问。防火墙本身具有很强的抗攻击能力，是网络边界安全的核心，防火墙和路由器之间通过双重地址翻译实现更高的安全性，这样外网要进入电厂内网需突破路由器和防火墙的双重关口。防火墙的DMZ区通常放置需要被外网的访问的堡垒主机，例如对外Web服务器、E-mail 服务器、Ftp服务器等。防火墙的一个比较主要功能是远程VPN接入，远程VPN客户端通过Ipsec协议与防火墙建立隧道连接，或通过IE浏览器的方式通过SSL协议拨入，此时，防火墙作为VPN拨入服务器，可保证高速、安全的虚拟连接。

由于企业关键性应用的增多，如IP语音、IP视频等，企业往往需要更高的出口带宽才能满足要求，这时可以将线路直接接入防火墙，去掉路由器，这样数据流在通过网络边界时减少了处理时间，同时防火墙的抗攻击能力要比路由器好，可以有效对抗路由器和消耗带宽类型的网络攻击，当网络用户比较多时，网络性能提高明显。

内蒙古包头第二热电厂、海勃湾电厂、岱海电厂管理信息系统通过边界路由器作接入，并连接防火墙的方法实现了双重NAT和双重ACL，基本达到了网络边界安全技术的要求。

2.1.2 网络边界安全结构设计

路由器的拓扑位置：路由器位于电厂信息系统对外出口处，作为Internet线路的接入设备，同时通过IP地址翻译、访问控制列表等使企业局域网与外部其它网络系统隔离，可以屏蔽来自网络外部对本局域网的直接访问和恶意破坏。

防火墙的拓扑位置：防火墙是防御网络入侵者的最有效机制，阻挡基于网络攻击的功能也日益完善。防火墙的DMZ区可以部署企业的堡垒主机，如Web、E-mail、Ftp服务器等。而且，防火墙作为网络边界安全设备可以提供基于Ipsec或SSL的VPN虚拟专网服务，满足电厂与总公司的IP视频应用以及安全的远程拨入功能。

网络边界安全设计典型的拓扑结构如图1：