发电企业信息系统安全技术分析

2013-12-03 17:16:55 电力信息化　点击量：评论 (0)

摘要：针对内蒙古电力系统各发电企业管理信息系统，通过对网络边界、物理层、网络层、系统层、应用层等进行分析，阐述了电厂信息系统网络安全技术，并阐述了网络安全的实现方法、软硬件设计。关键词：发电企业；

该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

针对实际工作环境，保障网络物理层安全的措施如下：

(1) 设置独立的中心机房和二级机房，由网络管理人员定期进行环境、设备检查，作好班组日志统计，建立设备台帐。

(2) 光纤主干建立冗余链路，信息点设置冗余，部分硬件设备如二级交换机、光电转换接口等设置备品。

(3) 网络Internet出口线路或接口只开一个，开通高带宽专线，限制其他方式如ADSL、ISDN、拨号等方式与Internet连接。

2.3 网络层安全

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，入侵检测的手段，网络设施防病毒，MIS与其它生产敏感系统的隔离等。

网络层身份认证通过搭建ACS服务器来实现，通过网管软件并配合交换机来控制对网络资源的访问。网络远程接入通过VPN的方式来实现。选用相对安全的BIND软件来搭建DNS系统。本文重点阐述入侵检测和网络防毒。

2.3.1 IDS入侵检测系统

网络系统边界配置了防火墙之后，可以阻挡大部分外来黑客的攻击。但是，高级的黑客可以饶过防火墙进行攻击，同时为了防范来自局域网内部的攻击或破坏，我们通常需要配置入侵检测系统。入侵检测系统的目的是提供实时的入侵检测及采取相应的防护手段，可发现违规访问、阻断网络连接、内部越权访问等，也能发现更为隐蔽的攻击。

目前，在内蒙古电力集团公司的信通中心配置了IDS系统，实现了对网络系统的实时监测。随着网络安全的部署，各发电单位会配置相应的IDS及IPS系统，作为网络安全管理的手段。

2.3.2 网络防病毒系统

近2年，网络病毒的传播对发电单位信息系统的危害越来越严重，随着电厂信息系统的不断膨胀、用户的增加、各相关应用如实时系统、远动、P3系统的接入，网络病毒的防御成为令电厂信息工作人员十分头疼的事。“蠕虫王”、“冲击波”、“震荡波”等网络病毒造成了电厂信息系统的瘫痪。总结以前的经验教训，电厂信息系统通过以下综合的方式来实现网络病毒的防御。

（1）在网络边界制定访问控制列表，对端口进行封杀；

（2）在网络内部部署网络版防病毒软件，有电子邮