發電企業信息系統安全技術分析

2013-12-03 17:16:55 電力信息化　點擊量：評論 (0)

摘要：針對內蒙古電力系統各發電企業管理信息系統，通過對網絡邊界、物理層、網絡層、系統層、應用層等進行分析，闡述了電廠信息系統網絡安全技術，并闡述了網絡安全的實現方法、軟硬件設計。關鍵詞：發電企業；

IDS（入侵檢測系統）等網絡邊界設備接入到Internet或者作為一個分公司接入到總公司。

電廠典型的網絡邊界安全結構為：以路由器作為線路接入設備，防火墻設備連接在路由器之后，防火墻連接電廠的內部局域網、DMZ停火區和其它應用工作區。

這種結構的工作原理為：路由器通過配置路由協議、地址映射、端口映射、訪問控制列表ACL等實現基本的路由策略、訪問控制和內容過濾，例如可以將ACL應用到路由器的外部接口來封殺“沖擊波”和“震蕩波”等蠕蟲病毒的端口，限制BT下載及對Internet的訪問。防火墻本身具有很強的抗攻擊能力，是網絡邊界安全的核心，防火墻和路由器之間通過雙重地址翻譯實現更高的安全性，這樣外網要進入電廠內網需突破路由器和防火墻的雙重關口。防火墻的DMZ區通常放置需要被外網的訪問的堡壘主機，例如對外Web服務器、E-mail 服務器、Ftp服務器等。防火墻的一個比較主要功能是遠程VPN接入，遠程VPN客戶端通過Ipsec協議與防火墻建立隧道連接，或通過IE瀏覽器的方式通過SSL協議撥入，此時，防火墻作為VPN撥入服務器，可保證高速、安全的虛擬連接。

由于企業關鍵性應用的增多，如IP語音、IP視頻等，企業往往需要更高的出口帶寬才能滿足要求，這時可以將線路直接接入防火墻，去掉路由器，這樣數據流在通過網絡邊界時減少了處理時間，同時防火墻的抗攻擊能力要比路由器好，可以有效對抗路由器和消耗帶寬類型的網絡攻擊，當網絡用戶比較多時，網絡性能提高明顯。

內蒙古包頭第二熱電廠、海勃灣電廠、岱海電廠管理信息系統通過邊界路由器作接入，并連接防火墻的方法實現了雙重NAT和雙重ACL，基本達到了網絡邊界安全技術的要求。

2.1.2 網絡邊界安全結構設計

路由器的拓撲位置：路由器位于電廠信息系統對外出口處，作為Internet線路的接入設備，同時通過IP地址翻譯、訪問控制列表等使企業局域網與外部其它網絡系統隔離，可以屏蔽來自網絡外部對本局域網的直接訪問和惡意破壞。

防火墻的拓撲位置：防火墻是防御網絡入侵者的最有效機制，阻擋基于網絡攻擊的功能也日益完善。防火墻的DMZ區可以部署企業的堡壘主機，如Web、E-mail、Ftp服務器等。而且，防火墻作為網絡邊界安全設備可以提供基于Ipsec或SSL的VPN虛擬專網服務，滿足電廠與總公司的IP視頻應用以及安全的遠程撥入功能。

網絡邊界安全設計典型的拓撲結構如圖1：