水電廠監控系統信息安全防護優化研究

李 鵬

(大唐雅安電力開發有限公司,四川雅安 625500)

0 引 言

隨著社會的不斷發展和進步,水電廠的生產運營已經逐漸向著智能化、自動化方向發展。水電廠監控信息系統作為水電廠的中樞神經系統,起到整個生產運營流程的關鍵作用。然而,隨著信息技術的不斷發展,網絡攻擊技術也愈來愈成熟和高級。因此,水電廠監控信息系統的安全問題已經日益引起人們的重視。安全一旦出現問題,不僅會造成生產經濟上的巨大損失,還會對社會穩定和人民生命財產安全造成巨大威脅。

針對水電廠監控系統在信息安全領域存在的問題,必須對網絡系統的防火墻進行優化,提升監控系統的物理隔離水準,加快網絡數據傳輸的防護進程,同時還要對監控系統防護入侵策略進行優化,才能保證水電廠監控信息系統更加安全可靠,降低潛在風險,增強對水電廠生產運營的保障力度。

1 水電廠監控系統概述

水電廠作為國民經濟的重要組成部分,其生產運營的自動化程度不斷提高,監控信息系統也在隨之發展。水電廠監控系統是水電廠自動化控制系統的核心部分,是水電廠操作者獲取和控制水電廠信息的重要工具。它的主要功能是對水電廠的運行參數進行實時監測、收集和存儲,并對這些數據進行自動化處理,依據預設好的算法規律采取必要的措施,保障水電廠的正常運行。

水電廠監控系統主要由硬件設備與軟件系統構成,硬件設備包括傳感器、控制器、執行器等,而軟件系統則包括操作系統、數據庫、應用軟件等。在實際應用中,水電廠監控系統一般包含人機界面(HMI)、數據采集與處理、數字信號處理與控制、通信管理、遠程操作等功能模塊[1]。其中,人機界面HMI是水電廠操作者與監控系統之間的橋梁,負責人機交互,顯示現場實時數據的狀態和控制命令的結果。數據采集與處理模塊是水電廠監控系統的核心部分,主要負責對各種傳感器和設備的數據進行采集、處理、分析和計算,并控制執行器對系統進行調整、控制和優化。數字信號處理與控制模塊則負責對數據進行數字化編碼,進行數據流的傳輸、分析和處理。通信管理模塊是監控系統與其他設備或系統之間的數據通信的重要部分,提供數據傳輸的環節。遠程操作模塊則允許操作者通過互聯網遠程獲取水電廠運行數據及進行遠程控制。

2 水電廠監控信息系統的網絡安全問題

2.1 網絡數據傳輸問題

水電廠監控信息系統中的網絡數據傳輸是個重要環節。傳統的網絡通信方式采用明文傳輸,存在數據被竊聽和篡改的可能性,并且這些安全威脅會對水電廠的運行和生產帶來巨大損失。因此,保障網絡數據傳輸的安全非常關鍵。為了解決這個問題,可采用數據加密技術,對傳輸的數據進行加密處理。一般來說,對于需要保護的數據,可以采用對稱加密算法或非對稱加密算法進行加密,加密后的數據在傳輸過程中即使被截取,攻擊者也無法利用這些數據進行攻擊[2]。而對于數據的完整性保護,則可以通過數字簽名技術來實現,保證接收方能夠驗證所收到數據的真實性和完整性,從而防止數據被篡改。此外,對于對數據加密解密進行重復操作的情況,可以采用密鑰協商技術,確保密鑰的安全性。在實際應用中,為了更好地保障網絡數據傳輸的安全,還需要做好網絡拓撲結構設計、提升網絡通信速度和穩定性、規范網絡訪問流程等工作。同時,還需要不斷增強網絡安全防御能力,包括制定安全策略、建立安全監控機制、加強網絡安全培訓等措施,提高網絡安全防護水平。

根據電力監控系統安全防護總體方案指導,鍋浪蹺水電站地調數據網內已劃分兩個VPN,分別是實時控制VPN和非控制生產VPN,分別供安全區I(實時控制區)、安全區Ⅱ(非控制生產區)數據上傳。站內調度數據網作為數據采集中心,由調度數據網接入地調骨干接點,實現公司的調度自動化信息經過調度數據網向地調傳送。

遠動裝置經三層交換機(實時交換機)——實時縱向加密裝置——地調路由器設備接入地調。電能量采集、保信子站數據經三層交換機(非實時交換機)——非實時縱向加密裝置——地調路由器向地調傳輸。

2.2 網絡通信安全問題

水電廠監控信息系統中的網絡通信安全問題,是指數據在網絡中傳輸過程中可能會被竊聽、篡改、偽造等,影響水電廠的生產和運營。在現代化的水電廠系統中,網絡已經成為各個子系統之間協同工作的基礎,也成了水電廠安全的最大的威脅源。因此,如何保證水電廠網絡通信的安全,保障系統的穩定運行,是一項必須著重考慮的重要問題。為了加強水電廠網絡通信的安全,應建立完善的網絡安全管理制度,按照“誰主管誰負責,誰運營誰負責”原則,制定《計算機監控系統管理制度》《計算機網絡管理制度》《監控系統管理制度》《防病毒管理制度》《數據庫系統管理制度》。定期按要求更新密碼,采用禁止外網連接、權限登錄、加強宣貫培訓、封閉閑置的USB接口、應急預案演練等方式,確保系統安全穩定運行。此外,在網絡通信中,進一步加強數據傳輸的安全性也是很重要的。一種方法是采用虛擬專用網絡技術(VPN)來保證網絡通信的安全性,使得數據在從發源端到目的端的過程中不被竊聽、篡改或截獲;另一種方法是采用身份驗證和訪問控制技術來防止非法用戶訪問網絡資源。在此基礎上,還應該增強系統的日志管理和審計功能,及時發現并處理網絡安全事件[3]。

2.3 系統防火墻問題

系統防火墻是現代化水電廠監控信息系統中網絡安全的第一道防線,在網絡系統與互聯網連接處起著至關重要的作用,主要用于防止非法入侵和攻擊,保護系統的數據和應用等資源安全。為了提高系統防火墻的安全功能,可以從以下方面著手:

(1)采用合理的網絡拓撲結構設計,將不同功能的子網放置在各自的子網中,并設置網絡邊界,保證不同區域之間的流量只能通過防火墻進行通信。同時,采用虛擬專用網(VPN)等技術,將內部網絡與外部網絡隔離開來,有效減少系統被攻擊的風險。

(2)在防火墻上設置規則,對進出網絡的流量進行過濾和限制,設置合理的防火墻功能,可有效降低網絡被攻擊的危險性。此外,對具體的站點、IP地址、協議、端口等進行深入細致的管理,增強網絡安全保護能力。

(3)設置檢測和過濾規則,通過分析和屏蔽惡意程序、垃圾郵件、病毒和木馬等有害信息,保證通信內容的安全可靠。同時,也應該對內網與外網之間的通信進行監控,及時發現異常情況,做出相應的處理。

(4)防火墻應該設置安全日志記錄功能,記錄所有進出網絡流量以及阻攔流量的詳細信息。及時分析和處理日志數據,可以有效地提高系統對于攻擊事件的應對能力,并為后續的網絡安全分析和處理提供有用的數據支持。

2.4 工作人員安全意識問題

工作人員安全意識問題是企業信息安全管理中非常重要的一環。隨著互聯網技術的發展,網絡安全威脅日益增多,企業面臨著越來越復雜的安全挑戰。而工作人員作為企業信息系統的重要組成部分,其安全意識和安全行為直接影響著企業的安全狀況[4],因此,需要加強對工作人員安全意識問題的培訓和教育。

首先,在工程師站計算機管理中,其有權限進入鍋浪蹺水電站微機防誤系統的操作人員,應嚴格按變電運行規定及規程要求在微機防誤系統下,模擬操作及填寫、上傳、打印操作票。查看、填寫當日發電日報表、月報表及相關數據,必須經當值值班長同意或授權,禁止打開、移動、刪除計算機目錄下的所有文件夾及文件,未經系統管理員批準,禁止進行數據拷貝或外來磁盤、光盤的插入和操作,嚴禁進行與工作無關的任何操作。

其次,在使用辦公用計算機時,必須經當值值班長或系統管理員同意,并且詳細登記后方可使用。自己所建文件或文檔必須歸類到各自所屬磁盤的文件夾內,不準將文檔、文件或文件夾亂擺亂放,不得隨意打開、移除、更改與自己無關的程序及文件。除上網向國電公司上傳報表數據外,未經系統管理員同意或授權,不得上網做與國電公司報表無關的事。嚴禁更改計算機的所有設置、安裝和刪除所有程序,嚴禁更改、刪除、移動計算機內所有文件夾及文件,嚴禁外來磁盤以及光盤的插入和操作。通過此類措施,能夠大大提高員工的應急反應能力和相應的處理能力,更好地保障企業信息安全[5]。

3 水電廠監控系統安全防護優化設計

3.1 網絡系統的防火墻優化

網絡系統的防火墻優化是保障水電廠監控系統安全性的重要措施。防火墻是網絡系統的第一道防線,可有效地預防和阻攔惡意攻擊,保護系統的數據和應用等資源安全。

3.1.1 升級改進現有防火墻

對現有防火墻進行評估,了解其安全漏洞和弱點,并根據情況進行升級和改進。例如,使用最新的防火墻設備和軟件,增強網絡對攻擊、惡意代碼和病毒等威脅的防御能力,保證系統的穩定性和安全性。

3.1.2 對防火墻的規則進行優化

設置合理的防火墻規則,對進出網絡的流量進行過濾和限制,加強對不同網絡層次之間的通信管控。同時,針對常見攻擊方式和流量進行規則修訂,例如IP地址、協議、端口等進行逐一篩查管理,增強對違規訪問或不明威脅的阻止。

3.1.3 采取虛擬專用網(VPN)等技術措施

將內部網絡與外部網絡隔離開來,減少系統被攻擊的風險。采用可信安全防護設備和自主研發的安全軟件對防火墻和網絡設備進行加固和加密,提高系統的安全性和穩定性。防火墻還應該設置日志記錄功能,及時記錄所有進入或離開網絡的信息流量,并對惡意攻擊等安全事件及時處理。

3.2 提升監控系統的物理隔離水準

隨著科技的發展,監控系統在水電廠中得到廣泛應用。然而,如何保障監控系統的安全性和穩定性,是值得考慮的問題。提升監控系統的物理隔離水準是保障系統安全的重要措施。

3.2.1 對監控系統合理布局

對監控系統進行合理的規劃布局,合理分區并設置限制與控制。如果監控系統正在運行敏感的信息或應用程序,需要采取更嚴格的控制措施。例如,將具有相同密級和其他安全特征的信息或應用程序放置在獨立的區域內,并采取設置門禁、刷卡等物理隔離訪問控制措施,以確保系統的安全可靠。

3.2.2 選擇高品質的監控設備

增加攝像頭的數量及其安裝位置,采用高清晰度的監控攝像頭,增加系統的可靠性和受控性,以及有效監測攻擊和操作活動。

3.2.3 加固系統硬件和軟件安全

更換安全性能更強的存儲設備,增強對數據的保護;對監控系統中的軟件、驅動等進行管理與升級,及時修補安全漏洞,防止黑客攻擊。

3.2.4 宣傳物理隔離的重要性

向所有工作人員宣傳物理隔離的重要性和方法,引導員工自覺遵守企業安全管理規定,增強員工的安全意識和應急反應能力。

3.3 加快網絡數據傳輸的防護優化進程

網絡數據傳輸的高效、穩定和安全是保障網絡正常運行以及信息安全的必要條件。然而,在日益增多的網絡攻擊、病毒、惡意軟件等黑客攻擊下,如何加快網絡數據傳輸的防護優化進程變得尤為重要。

3.3.1 保護網絡設備的安全性

提高網絡設備的防護性能,確保設備本身的安全,須選擇符合標準的設備,加強對硬件和軟件的安全管理,對其進行加密、認證和授權等技術手段,有效地保護網絡設備的安全性。

3.3.2 設置合理的防火墻規則

采用嚴格的訪問控制和鑒別技術,限制違規訪問,防止未經授權的訪問。配置成熟的防火墻軟件,加強對流量的監管,自動發現并攔截惡意程序和異常流量,確保網絡數據的安全傳輸。同時,還應加強加密技術的應用,通過使用各種加密算法,保護數據傳輸的隱私性和機密性。例如,SSL/TLS協議、IPSec、SSH等加密技術,均可以有效保護網絡數據的安全傳輸。

3.3.3 定期進行安全漏洞掃描及人工檢查

在安全漏洞掃描中,工作人員可以通過本地或遠程掃描的方式檢測系統的安全漏洞、網絡結構、網絡設備、服務器主機、數據、用戶賬號、口令等目標,是否存在的安全風險、漏洞和威脅。在安全掃描過程中,其主要需要注重系統安全漏洞、網絡層安全漏洞和應用層安全漏三個層面的問題。其中系統安全漏洞主要包括操作系統本身不安全的因素和安全配置存在問題,網絡層安全漏洞主要關注網絡身份認證、網絡資源訪問控制、數據傳輸保密與完整性、遠程接入、域名系統、路由系統的安全和入侵檢測等,而應用層安全漏洞則考慮網絡對用戶提供服務的應用軟件安全性,包括數據庫軟件、Web服務、電子郵件系統、域名系統、交換與路由系統、防火墻及應用網管系統、業務應用軟件及其他網絡服務等。在進行人工檢查時則需要檢查操作系統的配置是否達到最優狀態,以保證網絡系統的正常運行。同時,確認操作系統自身的保護機制是否已經實現,以及相應的管理機制是否安全也是極為必要的。此外,工作人員還需要檢查操作系統為網絡提供的保護措施是否有效,并且這些措施是否被正確地配置。再者,工作人員還需要關注操作系統是否定期升級或更新,以保持其最新的安全補丁和修復程序。最后,需要注意檢查操作系統是否存在漏洞或后門,并及時采取措施加以修復。這些人工檢查內容能夠有效地提升操作系統的安全性和穩定性,以滿足信息安全體系的需求。

3.4 監控系統防護入侵策略的優化

3.4.1 入侵防御

監控系統在保障安全和維持運行方面具有重要作用,但是監控系統經常成為黑客攻擊的目標。因此,確保監控系統免受入侵,防止數據泄露和操作失誤,是至關重要的。為了優化監控系統的防護入侵策略,可以采取以下措施:

(1)建立健全的防火墻策略,設置合理的訪問控制機制,對入侵者進行鑒別和隔離。合理分類不同的網絡節點和數據流,設置不同的權限和安全性級別,最大程度限制入侵者的篡改破壞和竊取數據。

(2)加強系統日志和安全審計的監管和管理。記錄用戶訪問、修改、刪除等操作行為,完善管理制度,及時預警有可能出現的問題,并盡快采取相應的解決措施。加強設備的安全檢測和修復工作,提高系統審核的精度和效果。

(3)定期開展安全培訓和意識教育。通過多種途徑向員工宣傳安全防范知識,強化員工安全意識,并向員工介紹新的安全漏洞、病毒、攻擊技術等,引起員工對網絡安全的高度重視。

(4)加強合作伙伴和供應商的監管。與合作伙伴和供應商建立嚴格的監管和管理制度,并要求其采取相應的安全保護措施,避免安全事件對本企業造成損失和影響。

3.4.2 防病毒措施

(1)防病毒軟件應該支持多種操作系統平臺,包括:Windows9x/Me/NT/2000/XP/2003、Unix、Linux等。此外,還具備支持群件系統Lotus Notes和MS Exchange郵件服務器的實時監控和查殺毒。要求支持廣泛操作系統平臺的作用是將來可以比較容易地進行擴展。

(2)應能監測引導型病毒、內存病毒、文件病毒、蠕蟲、宏病毒、木馬、惡意Java小程序和ActiveX代碼等各種病毒,能自動回復病毒修改的注冊表,自動刪除特洛伊/木馬程序。

(3)對smtp、pop3協議郵件進行實時監控保護,并且支持對Lotus Notes和MS Exchange郵件服務器的實時監控和查殺毒,對所有進出郵件服務器的郵件進行病毒掃描。

(4)具備實時檢測病毒的功能,同時支持手動掃描。

(5)要求支持后臺檢測,采用低資源占用檢測技術,對系統資源、網絡帶寬占用少。

(6)實時檢測并清除各種常用壓縮格式文件內部的病毒,查殺包括arj、rar、cab、cml、jar等多種格式的壓縮文件。

(7)支持對病毒的多種處理方式。根據實際情況,可分別對染毒文件進行實時查殺、刪除文件、重命名、只報告等方式,清除文件前可進行備份,對不能處理的病毒文件進行隔離。

(8)對于公共服務器的訪問,提供帶毒用戶的隔離措施。一旦發現帶毒用戶訪問或者上傳染毒文件,自動阻止其連接,防止病毒通過公共服務器大范圍傳播。

(9)提供封鎖文件訪問的功能。通過封鎖指定擴展名的方式,拒絕對所有該類型文件的訪問,以此在特殊情況下保護關鍵文件。

(10)支持用戶根據實際需要定制針對特定目標的定時掃描任務;可以根據用戶的實際情況,排除不需要掃描的對象。

(11)要求采用雙引擎技術,為查殺計算機病毒提供更全面的手段。

3.4.3 主機加固

3.4.3.1 防止程序非法終止

防止未經授權的超級用戶非法終止重要進程及后臺守護進程,保證服務器的正常運行,一些關鍵的進程如數據庫守護進程、應用程序進程等應該一直運行,不應該被終止。提供對進程的保護,可以截取發向系統的進程結束信號。被保護的進程可以正常或異常退出,但不能被非授權的用戶(包括超級用戶)終止,這就保護了誤操作造成的關鍵進程的異常終止,保障了系統的可靠性,只有通過認證的超級用戶可以結束進程。

3.4.3.2 文件的訪問控制權限

通過細化用戶的文件訪問權限規定,嚴格限制了用戶對文件的訪問權。例如可以設置保護的文件即使超級用戶也只能讀,不能進行修改,同時,還可以完整檢查文件內容是否被修改過。除此而外,還可采取訪問控制列表的方式確定用戶對文件的訪問權限,因此,每一個不同的用戶都可以對文件有不同的權限,而不僅僅限于屬主、同組者和其他用戶三種情況,這就增加了控制的靈活性。

3.4.3.3 進程管理

通過管理控制臺實時顯示連接站點的進程狀態,可以選擇進程添加/刪除訪問控制和發送信號,可實時查看當前進程和進程設置防kill保護,還可以對進程發送多種信號,方便管理員管理維護系統,及時地停止可疑程序或進程。

3.4.3.4 主動的入侵防護及審計跟蹤

當系統發生入侵行為或者違反安全的操作時,系統能利用自身功能對用戶在網絡層和系統內部對進行阻斷,并且由系統向管理員進行報警,實現主動的入侵防御功能。

3.4.3.5 權限分離及最小特權實現

操作系統訪問控制的最佳策略是權限分離和最小特權原則。通過嚴格分開系統管理員和安全管理員的權限,以控制超級用戶的權限,可有效防止內部人員的越權訪問和外部的攻擊。

3.4.3.6 先進的程序自我保護

系統使用了全球領先的內核密封技術管理內核模塊的加載/卸載,可阻斷對內核的惡意攻擊。系統還具有內核隱藏功能,它隱藏了安全內核,并自動保護自身系統程序目錄和文件,可防止安全內核程序被刪除,最大限度地降低了安全風險。

3.4.3.7 靈活的網絡訪問控制

系統提供了主機防火墻功能,系統管理員可以根據需要設計安全策略來控制基于網絡的訪問,可通過設置拒絕或允許的IP和服務管理系統的外部訪問,也可對存在漏洞的連接進行控制,阻斷外部非法訪問,避免被入侵者利用。

3.4.3.8 日志管理

系統提供了對安全日志和系統日志進行詳細的記錄和保護,內容包括產品自身的安全配置和針對保護的目標所作的操作日志、違規日志等,提供細粒度的查詢和檢索,方便進行備份、保存、統計分析。

4 結 語

網絡安全是當今社會中十分重要的一環,對于保障信息的安全和穩定具有至關重要的作用。在不斷發展的互聯網環境下,網絡安全面臨著越來越復雜和嚴峻的挑戰,因此,需要采取相應的措施,加強網絡安全保護。通過加強對硬件設備的防護、設置合理的防火墻、加強加密技術的應用等多種手段,可以有效地提高網絡安全保障水平。同時,也應該注重人才的培養和引進,提高網絡安全技能和素質,增強網絡安全人才隊伍力量,探索適合國情的網絡安全發展模式。只有這樣,才能確保網絡的安全和穩定,為推動信息化建設和數字經濟的快速發展提供保障和支撐。