發(fā)電企業(yè)信息系統(tǒng)安全技術(shù)分析

2013-12-03 17:16:55 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘要：針對(duì)內(nèi)蒙古電力系統(tǒng)各發(fā)電企業(yè)管理信息系統(tǒng)，通過對(duì)網(wǎng)絡(luò)邊界、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等進(jìn)行分析，闡述了電廠信息系統(tǒng)網(wǎng)絡(luò)安全技術(shù)，并闡述了網(wǎng)絡(luò)安全的實(shí)現(xiàn)方法、軟硬件設(shè)計(jì)。關(guān)鍵詞：發(fā)電企業(yè)；

IDS（入侵檢測(cè)系統(tǒng)）等網(wǎng)絡(luò)邊界設(shè)備接入到Internet或者作為一個(gè)分公司接入到總公司。

電廠典型的網(wǎng)絡(luò)邊界安全結(jié)構(gòu)為：以路由器作為線路接入設(shè)備，防火墻設(shè)備連接在路由器之后，防火墻連接電廠的內(nèi)部局域網(wǎng)、DMZ停火區(qū)和其它應(yīng)用工作區(qū)。

這種結(jié)構(gòu)的工作原理為：路由器通過配置路由協(xié)議、地址映射、端口映射、訪問控制列表ACL等實(shí)現(xiàn)基本的路由策略、訪問控制和內(nèi)容過濾，例如可以將ACL應(yīng)用到路由器的外部接口來封殺“沖擊波”和“震蕩波”等蠕蟲病毒的端口，限制BT下載及對(duì)Internet的訪問。防火墻本身具有很強(qiáng)的抗攻擊能力，是網(wǎng)絡(luò)邊界安全的核心，防火墻和路由器之間通過雙重地址翻譯實(shí)現(xiàn)更高的安全性，這樣外網(wǎng)要進(jìn)入電廠內(nèi)網(wǎng)需突破路由器和防火墻的雙重關(guān)口。防火墻的DMZ區(qū)通常放置需要被外網(wǎng)的訪問的堡壘主機(jī)，例如對(duì)外Web服務(wù)器、E-mail 服務(wù)器、Ftp服務(wù)器等。防火墻的一個(gè)比較主要功能是遠(yuǎn)程VPN接入，遠(yuǎn)程VPN客戶端通過Ipsec協(xié)議與防火墻建立隧道連接，或通過IE瀏覽器的方式通過SSL協(xié)議撥入，此時(shí)，防火墻作為VPN撥入服務(wù)器，可保證高速、安全的虛擬連接。

由于企業(yè)關(guān)鍵性應(yīng)用的增多，如IP語音、IP視頻等，企業(yè)往往需要更高的出口帶寬才能滿足要求，這時(shí)可以將線路直接接入防火墻，去掉路由器，這樣數(shù)據(jù)流在通過網(wǎng)絡(luò)邊界時(shí)減少了處理時(shí)間，同時(shí)防火墻的抗攻擊能力要比路由器好，可以有效對(duì)抗路由器和消耗帶寬類型的網(wǎng)絡(luò)攻擊，當(dāng)網(wǎng)絡(luò)用戶比較多時(shí)，網(wǎng)絡(luò)性能提高明顯。

內(nèi)蒙古包頭第二熱電廠、海勃灣電廠、岱海電廠管理信息系統(tǒng)通過邊界路由器作接入，并連接防火墻的方法實(shí)現(xiàn)了雙重NAT和雙重ACL，基本達(dá)到了網(wǎng)絡(luò)邊界安全技術(shù)的要求。

2.1.2 網(wǎng)絡(luò)邊界安全結(jié)構(gòu)設(shè)計(jì)

路由器的拓?fù)湮恢茫郝酚善魑挥陔姀S信息系統(tǒng)對(duì)外出口處，作為Internet線路的接入設(shè)備，同時(shí)通過IP地址翻譯、訪問控制列表等使企業(yè)局域網(wǎng)與外部其它網(wǎng)絡(luò)系統(tǒng)隔離，可以屏蔽來自網(wǎng)絡(luò)外部對(duì)本局域網(wǎng)的直接訪問和惡意破壞。

防火墻的拓?fù)湮恢茫悍阑饓κ欠烙W(wǎng)絡(luò)入侵者的最有效機(jī)制，阻擋基于網(wǎng)絡(luò)攻擊的功能也日益完善。防火墻的DMZ區(qū)可以部署企業(yè)的堡壘主機(jī)，如Web、E-mail、Ftp服務(wù)器等。而且，防火墻作為網(wǎng)絡(luò)邊界安全設(shè)備可以提供基于Ipsec或SSL的VPN虛擬專網(wǎng)服務(wù)，滿足電廠與總公司的IP視頻應(yīng)用以及安全的遠(yuǎn)程撥入功能。

網(wǎng)絡(luò)邊界安全設(shè)計(jì)典型的拓?fù)浣Y(jié)構(gòu)如圖1：

圖1 網(wǎng)絡(luò)邊界安全的拓?fù)浣Y(jié)構(gòu)

2.2 物理層安全

該層次的安全包括通信線路

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊