發電企業信息系統安全技術分析

2013-12-03 17:16:55 電力信息化　點擊量：評論 (0)

摘要：針對內蒙古電力系統各發電企業管理信息系統，通過對網絡邊界、物理層、網絡層、系統層、應用層等進行分析，闡述了電廠信息系統網絡安全技術，并闡述了網絡安全的實現方法、軟硬件設計。關鍵詞：發電企業；

該層次的安全包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現在通信線路的可靠性（線路備份、網管軟件、傳輸介質），軟硬件設備安全性（替換設備、拆卸設備、增加設備），設備的備份，防災害能力、防干擾能力，設備的運行環境（溫度、濕度、煙塵），不間斷電源保障，等等。

針對實際工作環境，保障網絡物理層安全的措施如下：

(1) 設置獨立的中心機房和二級機房，由網絡管理人員定期進行環境、設備檢查，作好班組日志統計，建立設備臺帳。

(2) 光纖主干建立冗余鏈路，信息點設置冗余，部分硬件設備如二級交換機、光電轉換接口等設置備品。

(3) 網絡Internet出口線路或接口只開一個，開通高帶寬專線，限制其他方式如ADSL、ISDN、撥號等方式與Internet連接。

2.3 網絡層安全

該層次的安全問題主要體現在網絡方面的安全性，包括網絡層身份認證，網絡資源的訪問控制，數據傳輸的保密與完整性，遠程接入的安全，域名系統的安全，入侵檢測的手段，網絡設施防病毒，MIS與其它生產敏感系統的隔離等。

網絡層身份認證通過搭建ACS服務器來實現，通過網管軟件并配合交換機來控制對網絡資源的訪問。網絡遠程接入通過VPN的方式來實現。選用相對安全的BIND軟件來搭建DNS系統。本文重點闡述入侵檢測和網絡防毒。

2.3.1 IDS入侵檢測系統

網絡系統邊界配置了防火墻之后，可以阻擋大部分外來黑客的攻擊。但是，高級的黑客可以饒過防火墻進行攻擊，同時為了防范來自局域網內部的攻擊或破壞，我們通常需要配置入侵檢測系統。入侵檢測系統的目的是提供實時的入侵檢測及采取相應的防護手段，可發現違規訪問、阻斷網絡連接、內部越權訪問等，也能發現更為隱蔽的攻擊。

目前，在內蒙古電力集團公司的信通中心配置了IDS系統，實現了對網絡系統的實時監測。隨著網絡安全的部署，各發電單位會配置相應的IDS及IPS系統，作為網絡安全管理的手段。

2.3.2 網絡防病毒系統

近2年，網絡病毒的傳播對發電單位信息系統的危害越來越嚴重，隨著電廠信息系統的不斷膨脹、用戶的增加、各相關應用如實時系統、遠動、P3系統的接入，網絡病毒的防御成為令電廠信息工作人員十分頭疼的事。“蠕蟲王”、“沖擊波”、“震蕩波”等網絡病毒造成了電廠信息系統的癱瘓。總結以前的經驗教訓，電廠信息系統通過以下綜合的方式來實現網絡病毒的防御。

（1）在網絡邊界制定訪問控制列表，對端口進行封殺；

（2）在網絡內部部署網絡版防病毒軟件，有電子郵