電廠信息網絡安全建設論文

時間:2022-09-08 11:10:05

導語:電廠信息網絡安全建設論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

電廠信息網絡安全建設論文

1企業信息網絡安全的定義及重要性

近年來,電力企業不斷發展,特別是水電企業,改變了以往一直以來封閉式的網絡結構和業務系統,利用信息網絡逐漸跟外界接口聯系,許多企業都建立了自己的網絡系統,如企業門戶、辦公自動化系統、財務系統、營銷系統、生產管理系統等,極大提高了辦公效率,實現數據實時傳輸及共享。信息化的發展、網絡的普及,使辦公地點不緊緊局限于辦公室,遠程移動辦公成為了可能,辦公效率也大大提高,突破了時間及空間的限制,但信息化高速發展的同時也給我們帶來了嚴重的網絡安全問題。對此國家也非常關注,特意成立中央網絡安全和信息化領導小組,再次體現出過對保障網絡安全、維護國家利益、推動信息化發展的決心。由此可見,網絡安全已經到了不可小視,必須深入探討研究的地步。

2廣蓄電廠信息網絡安全建設

2.1網絡安全區域劃分

劃分安全區域是構建企業信息網絡安全的基礎,提高抗擊風險能力,提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心,它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域,如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備(如:臺式機、筆記本電腦、打印機等)連入內網區域。

2.2二次安防體系建設

根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求,電廠堅持按照二次安全防護體系原則建設:

(1)安全分區:根據安全等級的劃分,將廣蓄電廠網絡劃分為生產控制大區和管理信息大區,其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。

(2)網絡專用:電力調度數據網在專用通道上使用獨立的網絡設備組網,采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接,在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口,將生活區網絡和辦公網絡分離,加強對網絡的統一管理和監控。

(3)橫向隔離:在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸,反向安全隔離裝置接收管理信息大區發向生產控制大區的數據,采用簽名認證、內容過濾等檢查處理,提高系統安全防護能力。

(4)縱向認證:廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署,包括縱向加密裝置、縱向防火墻等,并配置了相應的安全策略,禁用了高風險的網絡服務,實現雙向身份認證、數據加密和訪問控制。

2.3安全防護措施

(1)防火墻

在外聯接入區域同內網網絡之間設置了防火墻設備,并對防火墻制定了安全策略,對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據,對內網的訪問行為進行控制和阻斷,禁止外部用戶進入內網網絡,訪問內部機器,使所有的服務器、工作站及網絡設備都在防火墻的保護下。

(2)口令加密和訪問控制

電廠對所有用戶終端采用準入控制技術,每個用戶都以實名注冊,需通過部門賬號申請獲得IP地址才能上局域網,并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網(VLAN),并使其在局域網內隔離,限制其他VLAN成員訪問,確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等,采用專機專用配置,并賦予用戶一定的訪問存取權限、口令等安全保密措施,建立嚴格的網絡安全日志和審查系統,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。

(3)上網行為管理

上網行為管理設備直接串行部署在內網邊界區域,并制定了精細化的活動審計策略、應用軟件監控管理策略,監控及記錄用戶非法操作信息,實時掌握互聯網使用情況,防患于未然,通過上網行為管理設備進行互聯網網關控制。

(4)防病毒系統

在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能,系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立并實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。

(5)建立虛擬專網(VPN)系統

為保證網絡的安全,實現移動辦公,在核心網絡邊界區域部署了1臺VPN設備,并設置訪問條件和身份認證授權策略,如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網(VPN)系統,不僅滿足了電廠用戶遠程辦公需求,而且保證了電廠信息網絡及信息系統數據安全傳輸。

3信息網絡安全管理策略

俗話說:“三分技術,七分管理”,這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠,頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上,借鑒國內外企業對信息網絡安全管理的經驗,形成屬于自身發展的網絡安全管理策略。(1)建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組,制定完善的信息安全規章制度,規范整個電廠對網絡及信息系統的使用。(2)建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系,目的就是在發生緊急情況時,指導電廠的值班人員對突發事件及時響應并解決問題。(3)定期進行安全風險評估及加固。電廠每年進行安全風險評估分析,及時了解和掌握整個網絡的安全現狀,通過安全加固使得網絡安全系統更加健全。

4結束語

信息網絡安全是一個系統的、全局的安全管理問題,信息網絡早已涉及到電力行業生產管理的方方面面,網絡上任何一個漏洞都可能會威脅著電力系統的安全、穩定、運行,而且企業對其依賴性也日益增加,建立一套完善的、全方位、多層次的信息網絡安全體系不僅充分保障電力企業安全可靠的電力供應,而且可以實現對信息網絡的管控。

作者:陳海平 單位:調峰調頻信息通信運維中心