火電廠內(nèi)網(wǎng)信息安全策略探究

四川廣安發(fā)電有限責任公司 四川 廣安 638000

1 引言

在目前的信息時代，各項電子技術(shù)在飛速發(fā)展，而且互聯(lián)網(wǎng)技術(shù)也逐漸普及，有助于大大提升企業(yè)生產(chǎn)效率。以火電廠為例，在目前社會用電負荷持續(xù)增長的同時，也使得火電廠規(guī)模在不斷擴大。而在火電廠自動化和信息化建設(shè)過程中，針對其中比較繁雜的控制系統(tǒng)，比如辦公自動化、生產(chǎn)管理系統(tǒng)、燃料管理系統(tǒng)等，這些系統(tǒng)運行時會在相互之間產(chǎn)生密切聯(lián)系和信息交流，同時也對上述信息交流過程中的安全性提出較高要求，也就是要保障火電廠內(nèi)網(wǎng)信息安全來滿足系統(tǒng)之間的通常交流和保密性。因此，文章就重點針對火電廠內(nèi)網(wǎng)信息安全策略進行研究。

2 一般火電廠內(nèi)網(wǎng)結(jié)構(gòu)

在火電廠內(nèi)網(wǎng)建設(shè)和應(yīng)用中，為了保證電力二次系統(tǒng)安全，結(jié)合相應(yīng)的安全防護規(guī)定要求，原則上將火電廠內(nèi)部計算機網(wǎng)絡(luò)分為信息管理和生產(chǎn)控制兩個部分。對于前者來說，其主要針對火電廠中的所有員工進行管理，目的就是提升管理水平來保證內(nèi)網(wǎng)信息安全。對于后者來說，主要采取非控制性系統(tǒng)和控制性系統(tǒng)兩種系統(tǒng)來實現(xiàn)，對于此控制系統(tǒng)來說，要求其運行中要滿足99%以上的可靠性要求，而且要滿足一毫秒為單位的實效性要求，可以保證系統(tǒng)在運行中的控制能力維持不變。此外，此系統(tǒng)運行中也要求具有較高的安全性，具體地說要求其他系統(tǒng)僅可以讀取此系統(tǒng)中的數(shù)據(jù)但是無法對其進行操作，同時也要求非此系統(tǒng)的操作人員無法對系統(tǒng)運行中的數(shù)據(jù)進行修改。

3 控制、信息系統(tǒng)安全架構(gòu)與規(guī)劃

在火電廠中進行綜合自動化和信息自動化系統(tǒng)的構(gòu)建時，需要對不同系統(tǒng)的特點以及不同的數(shù)據(jù)交換方式、安全性要求等因素進行充分考慮，對現(xiàn)有的資源和通道進行充分利用。因此在構(gòu)建火電廠信息系統(tǒng)的過程中，需要針對不同系統(tǒng)的特點和要求進行全面和整體考慮。為了達到上述要求，需要在控制和信息系統(tǒng)規(guī)劃中堅持對電力二次系統(tǒng)安全防護工作進行安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離和縱向認證的原則。還要堅持容易操作、多重保護、適應(yīng)性和靈活性等原則。保證遵循上述原則所制定的系統(tǒng)規(guī)劃方案可以滿足火電廠需求、承受能力以及便于進行維護和管理等，同時結(jié)合火電廠中不同員工對計算機信息系統(tǒng)的接收和操作能力的不同，還要盡量保證操作簡單和直觀，更為地位使用對象服務(wù)。

4 火電廠內(nèi)網(wǎng)信息安全策略及實施

4.1 實現(xiàn)分區(qū)安全管控 根據(jù)各部門的重要程度，將全廠分為Ⅰ、Ⅱ、Ⅲ、Ⅳ安全分區(qū)，分別對應(yīng)實時區(qū)、非實時區(qū)、管理信息大區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，Ⅰ、Ⅱ為生產(chǎn)控制大區(qū)、Ⅲ、Ⅳ區(qū)為管理信息大區(qū)，管理信息大區(qū)在步影響生產(chǎn)控制大區(qū)的前提下，可以根據(jù)企業(yè)不同的安排進行劃分。根據(jù)應(yīng)用系統(tǒng)的實際情況，滿足總體安全要求的前提下，可以對安全區(qū)的設(shè)置進行簡化，不過要避免通過廣域網(wǎng)形成不同安全區(qū)的縱向交叉連接。

4.2 劃分網(wǎng)絡(luò)安全域 按照一定的分類方式對內(nèi)網(wǎng)信息系統(tǒng)進行安全區(qū)域的劃分也是比較有效的信息阿暖措施。具體地說就是在同一個區(qū)域中劃分相應(yīng)數(shù)量的主機，保證此區(qū)域中的主機從邏輯上屬于同一個安全方位，然后限制此范圍內(nèi)的通信權(quán)限來保證不同范圍的安全性和通信保密性。而在大型局域網(wǎng)內(nèi)部進行不同等級安全區(qū)域的劃分過程總，需要結(jié)合安全策略和安全刮泥要求，還要在主機行政范圍和安全級別基礎(chǔ)上進行劃分，實現(xiàn)對內(nèi)網(wǎng)中所有的WLAN技術(shù)來劃分和整合。還可以分化內(nèi)部網(wǎng)絡(luò)并進行自網(wǎng)絡(luò)的構(gòu)建，通過物理的方式隔離各個子系統(tǒng)，通過此種物理隔離方式可以提升子網(wǎng)絡(luò)之間的安全威脅，同時也可以在不同的WLAN段中分隔信任網(wǎng)段和不信任網(wǎng)段，起到對內(nèi)網(wǎng)中信息安全威脅的隔離作用，避免局域網(wǎng)中的安全隱患威脅和影響整個內(nèi)網(wǎng)的信息安全。

4.3 嚴格落實網(wǎng)絡(luò)邊界防護 必須要安全有效的防火墻，對網(wǎng)絡(luò)進行進行安全管理，并將某些不安全的業(yè)務(wù)擋在外面。在電網(wǎng)和外網(wǎng)之間建立網(wǎng)絡(luò)邊界防護，能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)的隔離和訪問，這是提高內(nèi)網(wǎng)安全性的主要手段之一。使用防火墻，不僅能保證安全區(qū)域內(nèi)的安全性，還會對日常網(wǎng)絡(luò)維護進行監(jiān)管，及時發(fā)現(xiàn)故障；

4.4 實現(xiàn)接入設(shè)備身份認證管理 在內(nèi)網(wǎng)中，由于與廣域網(wǎng)存在接口，且用戶面向所有員工，各級權(quán)限不同，使得管理上的困難增加。因此，使用專用的加密軟件對文件進行加密處理，這樣即使文件被拷貝，也因為不能被破解而保持安全的狀態(tài)。

火電廠內(nèi)網(wǎng)信息安全策略是一項非常重要的課題，需要引起重視并加大研究，我們除了規(guī)范管理制度以外，還需要使用接入設(shè)備的身份驗證。根據(jù)權(quán)限不同對不同的賬號進行設(shè)定，就可以大大提高火電廠內(nèi)網(wǎng)信息安全性，保證生產(chǎn)、管理各項工作方可正常有序進行。

4.5 開展入侵檢測工作 針對上述防火墻應(yīng)用下所表現(xiàn)出的火電廠內(nèi)網(wǎng)安全漏洞問題，也就是防火墻只能對從外網(wǎng)到內(nèi)網(wǎng)的入侵行為進行預(yù)防的缺點，可以通過入侵檢測手段來防止從內(nèi)到外的惡意入侵行為。在此種方法應(yīng)用中，可以針對系統(tǒng)或網(wǎng)絡(luò)中的關(guān)鍵點進行信息收集和分析，分析其中可能存在的、不符合安全策略要求的行為或者疑似攻擊行為信息等，起到實時監(jiān)督和控制網(wǎng)絡(luò)內(nèi)部信息的作用。通過將防火墻與入侵檢測工作的配合，可以實現(xiàn)技術(shù)和動態(tài)的內(nèi)網(wǎng)信息防護，有效保障其內(nèi)網(wǎng)的安全運行。

4.6 做好內(nèi)網(wǎng)設(shè)備行為管控 對于內(nèi)網(wǎng)的各種設(shè)備，要及時進行補丁更新、安裝有效的殺防病毒等。另外，防止各類數(shù)據(jù)的拷貝或者丟失，要對所有的服務(wù)器進行數(shù)據(jù)的管控。比如，無法使用USB進行拷貝、數(shù)據(jù)瀏覽留下記錄等。

5 結(jié)語

在目前我國火電廠的建設(shè)規(guī)模不斷擴大以及裝機容量不斷增加的同時也在不斷提升火電廠內(nèi)網(wǎng)建設(shè)的智能化和自動化水平，但是隨之出現(xiàn)的就是內(nèi)網(wǎng)信息安全問題。為了滿足內(nèi)網(wǎng)信息安全要求，就需要構(gòu)建安全的內(nèi)網(wǎng)信息安全體系，在保證不同系統(tǒng)和部門之間順暢信息交流的同時，還要預(yù)防各種入侵和攻擊等安全威脅，做好系統(tǒng)之間的有效隔離與防護，避免網(wǎng)絡(luò)信息安全事故的發(fā)生，保證火電廠內(nèi)網(wǎng)信息安全。