公司局域网硬件、系统软件与网络安全改造及研究.pdfVIP

第二届电力安全论坛 2006年第5辑 论文集(第三分册调度通信信息安全) (总第94辑) 公司局域网硬件、系统软件及网络安全改造研究 钱强 (扬州第二发电有限责任公司，江苏省扬州市225131) 摘要：本文介绍了扬州第二发电有限责任公司局域网硬件、系统软件、网络安全现状及存在的主要问题。 并结合公司MIS系统应用的实际情况。提出了网络安全改造方案．既考虑到充分利用现有计算机网络资源． 又考虑到最大程度地保障信息安全。 关键词：局域网；NIS系统；实时数据；隔离；信息安全；网管 1 电力行业现状及安全威胁 电力行业的安全有效运转直接关系到国民经济全局。怎样才能在发挥电力行业的最大效益、提高电力 行业的工作效率的同时，保护电力行业信息网络的安全? 1．1信息资产的特点 信息资源作为市场经济得重要资产，成为信息经济时代的主要特点。信息成为资产要素，成为企业信 息化推进的根本动力。同时，信息的高无形价值、低复制成本、低传播成本和强时效性等因素决定了安全 是信息资产的关键属性。安全属性是信息资产区别于其它资产的重要特点。没有安全保障的信息资产，谈 不上资产价值。 1．2信息化中的安全威胁 信息孤岛只会使信息系统功效不能充分发挥，而信息安全问题则会令信息系统彻底瘫痪1 1．．2．1缺乏信息安全意识 传统的电力行业发展重基本建设、轻信息安全。网络结构不太合理、缺乏网络安全观念，不能满足信 息安全的需求。在信息安全方面缺少有效的系统安全体系、缺少有关信息安全的管理手段、缺少防范措施、 故障恢复方法和策略以及网络实时安全监视手段。 1．2．2网络之间缺乏安全隔离 问、机密信息泄露、病毒和黑客攻击横行。甚至导致网络瘫痪，影响正常生产和办公。 1．2．3对网络内部的安全威胁缺乏防护、监控和审计机制 2公司局域网络现状 2．1网络拓扑 图1为《公司当前网络拓扑结构》，见第101页。连同生产系统在内，我公司整个计算机网络系统大致 可分为六大块，按其对电力生产的重要性依次为生产区、实时数据区、MIS(管理信息系统)区、公司互 联网服务区、DMIS区和互联网区。 公司局域网硬件、系统软件及网络安全改造研究 1)生产区是指包括DCS、DEH及各辅机程控在的生产控制系统。这一区域的设备直接担负着电力生产 的控制、协调重任。 2)实时数据区是联系生产区与MIS区的桥梁，它负责将各生产系统中的过程数据发向MIS系统中的实 时数据库服务器。数据在这个区域内是单向传输的，即只能从生产区发向MIS区。实时数据区和生产区之 间通过各自的接口机相互隔离。 a)MIS区不直接参与电力生产，但它与公司日常运作密不可分。该区域网络为全交换星型以态网。主 3500 系列、Cisco2900系列交换机。它们与主交换机之间通过光纤相连，根据实际应用需求，有的主干采用千 兆连接。有的主干采用百兆连接。楼宇内部各接人点通过超五类双绞线以百兆速率接人各楼宇内二级交换 机。目前．公司基于网络的所有应用服务都运行在这个区域内。MIS区与DMIS区、互联网服务区及互联 网区之间通过防火墙安全隔离。 4)公共互联网服务区是公司对外交流的窗口，它担负着公司对外网页发布及电子邮件服务功能。 及报表上传等。 6)互联网区是指国际互联网服务区。 2．2安全现况 在上述的六大区域中。DMIS、互联网及生产区等均为第三方提供的网络，其安全性由各自的供应商负 责。本文所述的网络安全性主要是针对MIS区、互联网服务区及实时数据区而言的。 一个安全的网络系统至少应具有防黑客攻击和防计算机病毒攻击的能力。要比较有效地解决这个问题， 需要从技术角度和管理制度两方面同时人手。 2．2．1技术防范 ①防止计算机病毒侵害 近年来计算机病毒的危害日趋严重。为防患于未然。公司安装了赛门铁克公司的诺顿企业版病毒防火 墙。并定期对其病毒搜索引擎及病毒定义码进行升级。这样从服务器到各个终端均处于