火電廠(chǎng)內(nèi)網(wǎng)信息安全策略探究

四川廣安發(fā)電有限責(zé)任公司 四川 廣安 638000

1 引言

在目前的信息時(shí)代，各項(xiàng)電子技術(shù)在飛速發(fā)展，而且互聯(lián)網(wǎng)技術(shù)也逐漸普及，有助于大大提升企業(yè)生產(chǎn)效率。以火電廠(chǎng)為例，在目前社會(huì)用電負(fù)荷持續(xù)增長(zhǎng)的同時(shí)，也使得火電廠(chǎng)規(guī)模在不斷擴(kuò)大。而在火電廠(chǎng)自動(dòng)化和信息化建設(shè)過(guò)程中，針對(duì)其中比較繁雜的控制系統(tǒng)，比如辦公自動(dòng)化、生產(chǎn)管理系統(tǒng)、燃料管理系統(tǒng)等，這些系統(tǒng)運(yùn)行時(shí)會(huì)在相互之間產(chǎn)生密切聯(lián)系和信息交流，同時(shí)也對(duì)上述信息交流過(guò)程中的安全性提出較高要求，也就是要保障火電廠(chǎng)內(nèi)網(wǎng)信息安全來(lái)滿(mǎn)足系統(tǒng)之間的通常交流和保密性。因此，文章就重點(diǎn)針對(duì)火電廠(chǎng)內(nèi)網(wǎng)信息安全策略進(jìn)行研究。

2 一般火電廠(chǎng)內(nèi)網(wǎng)結(jié)構(gòu)

在火電廠(chǎng)內(nèi)網(wǎng)建設(shè)和應(yīng)用中，為了保證電力二次系統(tǒng)安全，結(jié)合相應(yīng)的安全防護(hù)規(guī)定要求，原則上將火電廠(chǎng)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)分為信息管理和生產(chǎn)控制兩個(gè)部分。對(duì)于前者來(lái)說(shuō)，其主要針對(duì)火電廠(chǎng)中的所有員工進(jìn)行管理，目的就是提升管理水平來(lái)保證內(nèi)網(wǎng)信息安全。對(duì)于后者來(lái)說(shuō)，主要采取非控制性系統(tǒng)和控制性系統(tǒng)兩種系統(tǒng)來(lái)實(shí)現(xiàn)，對(duì)于此控制系統(tǒng)來(lái)說(shuō)，要求其運(yùn)行中要滿(mǎn)足99%以上的可靠性要求，而且要滿(mǎn)足一毫秒為單位的實(shí)效性要求，可以保證系統(tǒng)在運(yùn)行中的控制能力維持不變。此外，此系統(tǒng)運(yùn)行中也要求具有較高的安全性，具體地說(shuō)要求其他系統(tǒng)僅可以讀取此系統(tǒng)中的數(shù)據(jù)但是無(wú)法對(duì)其進(jìn)行操作，同時(shí)也要求非此系統(tǒng)的操作人員無(wú)法對(duì)系統(tǒng)運(yùn)行中的數(shù)據(jù)進(jìn)行修改。

3 控制、信息系統(tǒng)安全架構(gòu)與規(guī)劃

在火電廠(chǎng)中進(jìn)行綜合自動(dòng)化和信息自動(dòng)化系統(tǒng)的構(gòu)建時(shí)，需要對(duì)不同系統(tǒng)的特點(diǎn)以及不同的數(shù)據(jù)交換方式、安全性要求等因素進(jìn)行充分考慮，對(duì)現(xiàn)有的資源和通道進(jìn)行充分利用。因此在構(gòu)建火電廠(chǎng)信息系統(tǒng)的過(guò)程中，需要針對(duì)不同系統(tǒng)的特點(diǎn)和要求進(jìn)行全面和整體考慮。為了達(dá)到上述要求，需要在控制和信息系統(tǒng)規(guī)劃中堅(jiān)持對(duì)電力二次系統(tǒng)安全防護(hù)工作進(jìn)行安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離和縱向認(rèn)證的原則。還要堅(jiān)持容易操作、多重保護(hù)、適應(yīng)性和靈活性等原則。保證遵循上述原則所制定的系統(tǒng)規(guī)劃方案可以滿(mǎn)足火電廠(chǎng)需求、承受能力以及便于進(jìn)行維護(hù)和管理等，同時(shí)結(jié)合火電廠(chǎng)中不同員工對(duì)計(jì)算機(jī)信息系統(tǒng)的接收和操作能力的不同，還要盡量保證操作簡(jiǎn)單和直觀(guān)，更為地位使用對(duì)象服務(wù)。

4 火電廠(chǎng)內(nèi)網(wǎng)信息安全策略及實(shí)施

4.1 實(shí)現(xiàn)分區(qū)安全管控 根據(jù)各部門(mén)的重要程度，將全廠(chǎng)分為Ⅰ、Ⅱ、Ⅲ、Ⅳ安全分區(qū)，分別對(duì)應(yīng)實(shí)時(shí)區(qū)、非實(shí)時(shí)區(qū)、管理信息大區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，Ⅰ、Ⅱ?yàn)樯a(chǎn)控制大區(qū)、Ⅲ、Ⅳ區(qū)為管理信息大區(qū)，管理信息大區(qū)在步影響生產(chǎn)控制大區(qū)的前提下，可以根據(jù)企業(yè)不同的安排進(jìn)行劃分。根據(jù)應(yīng)用系統(tǒng)的實(shí)際情況，滿(mǎn)足總體安全要求的前提下，可以對(duì)安全區(qū)的設(shè)置進(jìn)行簡(jiǎn)化，不過(guò)要避免通過(guò)廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。

4.2 劃分網(wǎng)絡(luò)安全域 按照一定的分類(lèi)方式對(duì)內(nèi)網(wǎng)信息系統(tǒng)進(jìn)行安全區(qū)域的劃分也是比較有效的信息阿暖措施。具體地說(shuō)就是在同一個(gè)區(qū)域中劃分相應(yīng)數(shù)量的主機(jī)，保證此區(qū)域中的主機(jī)從邏輯上屬于同一個(gè)安全方位，然后限制此范圍內(nèi)的通信權(quán)限來(lái)保證不同范圍的安全性和通信保密性。而在大型局域網(wǎng)內(nèi)部進(jìn)行不同等級(jí)安全區(qū)域的劃分過(guò)程總，需要結(jié)合安全策略和安全刮泥要求，還要在主機(jī)行政范圍和安全級(jí)別基礎(chǔ)上進(jìn)行劃分，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)中所有的WLAN技術(shù)來(lái)劃分和整合。還可以分化內(nèi)部網(wǎng)絡(luò)并進(jìn)行自網(wǎng)絡(luò)的構(gòu)建，通過(guò)物理的方式隔離各個(gè)子系統(tǒng)，通過(guò)此種物理隔離方式可以提升子網(wǎng)絡(luò)之間的安全威脅，同時(shí)也可以在不同的WLAN段中分隔信任網(wǎng)段和不信任網(wǎng)段，起到對(duì)內(nèi)網(wǎng)中信息安全威脅的隔離作用，避免局域網(wǎng)中的安全隱患威脅和影響整個(gè)內(nèi)網(wǎng)的信息安全。

4.3 嚴(yán)格落實(shí)網(wǎng)絡(luò)邊界防護(hù) 必須要安全有效的防火墻，對(duì)網(wǎng)絡(luò)進(jìn)行進(jìn)行安全管理，并將某些不安全的業(yè)務(wù)擋在外面。在電網(wǎng)和外網(wǎng)之間建立網(wǎng)絡(luò)邊界防護(hù)，能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)的隔離和訪(fǎng)問(wèn)，這是提高內(nèi)網(wǎng)安全性的主要手段之一。使用防火墻，不僅能保證安全區(qū)域內(nèi)的安全性，還會(huì)對(duì)日常網(wǎng)絡(luò)維護(hù)進(jìn)行監(jiān)管，及時(shí)發(fā)現(xiàn)故障；

4.4 實(shí)現(xiàn)接入設(shè)備身份認(rèn)證管理 在內(nèi)網(wǎng)中，由于與廣域網(wǎng)存在接口，且用戶(hù)面向所有員工，各級(jí)權(quán)限不同，使得管理上的困難增加。因此，使用專(zhuān)用的加密軟件對(duì)文件進(jìn)行加密處理，這樣即使文件被拷貝，也因?yàn)椴荒鼙黄平舛３职踩臓顟B(tài)。

火電廠(chǎng)內(nèi)網(wǎng)信息安全策略是一項(xiàng)非常重要的課題，需要引起重視并加大研究，我們除了規(guī)范管理制度以外，還需要使用接入設(shè)備的身份驗(yàn)證。根據(jù)權(quán)限不同對(duì)不同的賬號(hào)進(jìn)行設(shè)定，就可以大大提高火電廠(chǎng)內(nèi)網(wǎng)信息安全性，保證生產(chǎn)、管理各項(xiàng)工作方可正常有序進(jìn)行。

4.5 開(kāi)展入侵檢測(cè)工作 針對(duì)上述防火墻應(yīng)用下所表現(xiàn)出的火電廠(chǎng)內(nèi)網(wǎng)安全漏洞問(wèn)題，也就是防火墻只能對(duì)從外網(wǎng)到內(nèi)網(wǎng)的入侵行為進(jìn)行預(yù)防的缺點(diǎn)，可以通過(guò)入侵檢測(cè)手段來(lái)防止從內(nèi)到外的惡意入侵行為。在此種方法應(yīng)用中，可以針對(duì)系統(tǒng)或網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)進(jìn)行信息收集和分析，分析其中可能存在的、不符合安全策略要求的行為或者疑似攻擊行為信息等，起到實(shí)時(shí)監(jiān)督和控制網(wǎng)絡(luò)內(nèi)部信息的作用。通過(guò)將防火墻與入侵檢測(cè)工作的配合，可以實(shí)現(xiàn)技術(shù)和動(dòng)態(tài)的內(nèi)網(wǎng)信息防護(hù)，有效保障其內(nèi)網(wǎng)的安全運(yùn)行。

4.6 做好內(nèi)網(wǎng)設(shè)備行為管控 對(duì)于內(nèi)網(wǎng)的各種設(shè)備，要及時(shí)進(jìn)行補(bǔ)丁更新、安裝有效的殺防病毒等。另外，防止各類(lèi)數(shù)據(jù)的拷貝或者丟失，要對(duì)所有的服務(wù)器進(jìn)行數(shù)據(jù)的管控。比如，無(wú)法使用USB進(jìn)行拷貝、數(shù)據(jù)瀏覽留下記錄等。

5 結(jié)語(yǔ)

在目前我國(guó)火電廠(chǎng)的建設(shè)規(guī)模不斷擴(kuò)大以及裝機(jī)容量不斷增加的同時(shí)也在不斷提升火電廠(chǎng)內(nèi)網(wǎng)建設(shè)的智能化和自動(dòng)化水平，但是隨之出現(xiàn)的就是內(nèi)網(wǎng)信息安全問(wèn)題。為了滿(mǎn)足內(nèi)網(wǎng)信息安全要求，就需要構(gòu)建安全的內(nèi)網(wǎng)信息安全體系，在保證不同系統(tǒng)和部門(mén)之間順暢信息交流的同時(shí)，還要預(yù)防各種入侵和攻擊等安全威脅，做好系統(tǒng)之間的有效隔離與防護(hù)，避免網(wǎng)絡(luò)信息安全事故的發(fā)生，保證火電廠(chǎng)內(nèi)網(wǎng)信息安全。