浅析火电厂内网信息安全策略

浅析火电厂内网信息安全策略

徐辰

甘肃大唐国际连城发电有限责任公司 730332

摘要：随着电子技术和计算机技术快速发展，计算机网络和计算机控制不断普及，提升了企业的效率。火电厂既存在一般企业的内网安全要求，又存在电力二次系统安全防护要求，其普遍重视综合自动化和信息自动化的建设，重视建立分散控制系统、监控信息系统、计算机监控系统、燃料管理系统、生产管理系统、办公自动化系统等。各个系统密切相关，彼此间需要进行信息交流。这不仅要求重视各个系统功能，而且对各系统间网络及信息交流安全也需要足够重视。

关键词：火电厂；信息网络；安全；策略

前言

火电厂内网包含生产控制和管理信息两大系统，在分析火电企业内网结构和安全隐患的基础上，探讨了内网安全策略中需要重点考虑的内容及内网安全体系结构和相关安全技术。

1电厂网络安全问题

1.1网络风险纠察

在电力单位网络安全风险中发现,网络风险进入到电厂的SIS系统；能够执行电厂辅控DCS组态软件编辑；通过广域网中暴露的PLC漏洞进入生产系统；集团互联网出口被突破能够进入到广域网；动力和环境监控系统可对相关设备进行启停控制；热泵供热系统HIMI组态控制；新疆公司广域网防火墙及准能炸药厂质量管理平台的系统控制权限漏洞等。

1.2网络安全问题总结

问题集中表现为:管理缺陷。生产控制网络及信息管理网络达成了物理隔离,但存储介质使用不规范、移动设备接入导致恶意代码扩散风险、安监等部门远程接入导致网络入侵风险、控制系统设备采购不合理导致后门风险；安全防护策略不完善。尽管将安全区域划分为Ⅰ区和Ⅱ区,不过存在的双网卡情况,导致可能存在绕过隔离装置风险。其次在隔离装置配置策略上较为不合理,存在绕过安全策略风险。最后是隔离装置在管理中不规范,存在工作人员恶意操作及误操作风险；防护不完善。安全防护装置或者软件的配置中,因为病毒特征库更新缓慢,存在新的攻击手段无法防护的风险。其次是控制器或者上位机版本更新缓慢,存在利用已知漏洞攻击网络的风险。

2火电厂网络安全防护的策略

2.1主机安全配置

主机是整体网络安全的中点部分,在安全Ⅰ、Ⅱ区个操作站中进行本机部署,根据业务需求确认需要进行保护的主机,现场业务系统离线环境下,进行安装测试并通过之后才能进行部署。主机操作系统的安全目标是,对标识系统中的用户实行身份鉴别,同时根据系统安全策略对用户操作进行控制,预防外来入侵以及用户对计算机中的资源非法访问,同时对系统运行安全进行监督,要保证操作系统的完整及安全。为了实现这些安全目标,就需要实现标识及鉴别、对访问进行控制,信道保护及安全审计等。要做好定期自查,并对报警日志进行检查,灵活应用告警模式,做好策略备份。管理中按照权限进行账户添加,并定期检查操作日志。更新管理中通过DCS厂家获取最新系统补丁包,补丁更新前做好备份工作。

2.2交换机配置

交换机的主要功能是进行VLAN的划分,对链路层进行分组隔离；其次是在路由基础上进行ACL访问控制列表的配置,从而实现包过滤。交换机要求为网管型,且自身再用户、密码及审计、web管理上安全合乎规范,同时支持端口镜像以及snmpV2、V3。进行交换机的配置中先进性管理ip以及snmp服务器设置；进行报警项及审计项设置；流控、环网；对导出备份机制进行配置。

2.3防火墙配置

防火墙主要具有三个模式,静态包过滤以及应用代理及状态检测。静态包过滤是根据数据包的标记实现对数据包的控制,相对数据逻辑简单,较容易实现,不过无法对英曾信息过滤处理,配置相对复杂。应用代理在连接中需要通过防火墙转发,对于数据包检测能力提升,但是效率降低。状态监测主要是对连接进行维护,安全性相对更高,但是对于硬件性能要求相对也较为高,适应性相对良好。防火墙实现控制是在网络连接点上进行一安区全控制点的建立,进而对数据进出进行限制；隔离是将有网络保护需求的网络和不可信任的网络隔离开来,对信息进行掩藏及防护网络风险；记录是对进出的数据进行检查,并对相关信息进行记录。

部署使用工控防火墙,在DCS不同业务域之间进行部署。部署完成后要进行线管配置,串行接入系统,选择透明工作模式；先对所有数据包传入进行阻止,需要传入再开放端口；根据业务特征以及优先级进行规则以及策略制定于规则表中的位置；根据业务发生的变化及时实现更新；启用防火墙审计功能,对审计事项进行合理设置；最后对防火墙自身安全进行保护。不过防火墙在管理及配置上难度较大,容易导致安全漏洞出现。同时,其可以进行外部风险防护,但对于内部的防护性较差、且在访问控制上效果有限,对于病毒的防范能力为零。因此防火墙要根据电厂自身安全需要进行配置。

2.4单向隔离配置

单向隔离主要包含有内部及外部、中间三个处理单元,其特点在于能够对内外网实现协议隔离及物理隔离,数据文件的无协议摆渡。单向隔离装置进行部署时,选择国家指定认证的电力专用横向单向安全隔离装置,不能在控制大区和信息大区之间直接或间接的连接。配置中先确认内外网的IP及子网掩码和网关；确定访问方向为正向还是反向；进行NAT转换地址的配置,并进行虚拟应用通道的建立；进行访问控制规则以及保温过滤规则配置；反向访问时要进行配套的发送及接收端软件,同时进行秘钥及证书的管理。

2.5安全审计及监控系统配置

主要由网络探测引擎以及数据管理中心及审计中心构成,其作用是进行用户操作行为及网络活动记录,并独立进行审查和分析预警,对安全策略变更的效果进行评价和反馈。部署中按照国家规定选择相应产品,尽可能进行上位机信息以及边界信息的采集。配置中先进行交换机镜像端口设置；进行用户管理以及权限划分；进行审计策略及告警策略定义；并进行自学习功能的配置。

结语

随着现代科技技术的发展,发电厂的运行过程中,不再是单一的电力网络,也应用了信息网络,对发电厂自动化程度提升,同时也提升了电力供应效率,但也因此存在电力安全隐患问题。本文对火电厂网络安全防护策略进行了探讨,能够为相应发电厂提供借鉴。

参考文献

[1]刘海波.水电厂电力监控系统安全防护策略浅析[J].四川水力发电,2018（a02）：66-67.

[2]明婧薇.计算机网络信息安全及其防护对策[J].电子技术与软件工程,2019（3）：209-209.

[3]李亚军.火电厂集控运行技术的相关问题分析[J].中国高新技术企业，2014，No.31233：112-114.

[4]王长军.关于火电厂集控运行技术的研究[J].中国高新技术企业，2014，No.28910：131-132.