火电厂信息系统中的安全防护.docVIP

火电厂信息系统中的安全防护 　　摘要：分析了调度数据网、SIS与MIS、SIS与DCS通讯中存在的安全隐患，在网络、设备及数据等三方面提出一些能够提高系统安全的防护措施。 　　关键字：二次防护、SIS、MIS、DCS、边界隔离、第一平面、第二平面。 　　中图分类号：TM621文献标识码： A 文章编号： 　　0 引言 　　随着计算机系统的迅猛发展，在电厂形成了一个复杂的计算机网络：控制网络、SIS网络、MIS网络，调度网络等等。众多的系统互连，内部网络开放，外部网络接入，从而产生了信息系统网络安全问题。如果网络和数据的安全没有保障，企业的重要信息就存在泄漏、被更改的危险。因此国家对电力数据网建设提出一系列规范与标准，形成一套非常严密、可靠的防御体系。本文在电力二次防护要求基础上，对火电厂信息系统中可能存在的漏洞进行分析，并提出相关安全加固措施，降低安全风险，全面提高网络的可靠性和对业务的保障能力。 　　 　　1 SIS系统的二次防护总体要求 　　国家经贸委在2002年6月8日颁布的《电网与电厂计算机监控系统及调度数据网络安全防护规定》第30号令中特别提出电力系统安全防护的基本原则：电力系统中，安全等级较高的系统不受安全等级较低系统的影响；电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相连；电力监控系统必须实现物理层面上与公用信息网络的安全隔离。 　　 根据《电力二次系统安全防护规定》的要求，及各相关业务系统的重要程度、数据流程和安全要求，将典型电厂二次系统分为两个大区：生产控制大区和管理信息大区。还部署了调度第一、第二平面接入网络作为生产大区与省调度中心的连接专网。 　　1.1 生产控制大区 　　安全Ⅰ区：既实时生产过程控制区，用于监控机组的安全生产运行，执行生产过程中各类设备的数据采集和直接控制。典型的控制系统有：DCS、TDM、烟气脱硫、NCS、辅助控制等。其主要使用者为调度员和运行操作人员。安全Ⅰ区是安全防护的重点与核心，安全等级极高。 　　安全Ⅱ区：既非实时控制生产区，用于监视和采集实时数据，为控制决策和结算交易等提供依据，常见的Ⅱ区系统有SIS、ERTU、电力市场等。该区域安全等级低于Ⅰ区。 　　1.2 管理信息大区 　　该安全区Ⅳ中的业务系统或功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，该区包括管理信息系统（MIS）、办公自动化系统（OA）等，该区的外部通讯边界为发电企业的广域网路及internet。SIS镜像服务器、WEB服务器也位于该区域，用于Ⅱ区的实时数据库同步。 　　1.3 调度第一、第二平面接入网络 　　国家电网调度数据网第二平面由2级自治域组成,由国调、网调、省调、地调节点组成骨干自治域(骨干网),由各级调度直调厂站组成相应接入自治域(接入网)。骨干网第一、第二平面在网络层面上相对独立,各接入网应通过2点分别接入骨干网双平面,形成独立双网、双归接入的网络模式。各电厂通过两套接入网络分别接入第一、第二平面。 　　 　　2 SIS系统安全防护 　　SIS系统通过横向安全隔离装置向位于Ⅳ区的厂级管理信息系统传送数据，数据只能由Ⅰ区传送至Ⅳ区。Ⅱ区需部署防病毒服务器和补丁升级服务器作为安全控制大区的杀毒介质。因该系统严格与外网隔离，故Ⅰ区设备还须经由Ⅰ区和Ⅱ区之间的隔离防火墙连接Ⅱ区安全服务器升级病毒库和下载补丁，Ⅱ区的设备直接访问安全服务器升级病毒库和下载补丁。而安全服务器需通过调度网络连接省调的服务器完成病毒库升级和系统补丁升级。 　　由于SIS网络可以完全隔绝来自外部系统的攻击，因此系统安全方面的隐患主要来自系统本身的故障和输入介质（DVD光驱，软盘）本身携带的病毒软件，针对以上两种安全隐患，设计了系统备份方案。根据二次防护的要求，在接口机与SIS实时/历史数据库之间设置了防火墙，从而保证了SIS应用与接口机之间的安全。此外，采用访问控制、身份认证、入侵检测等手段作为网络安全的基本措施，防止各类计算机病毒的侵害、人为的破坏和SIS实时信息数据库的数据丢失。 　　 　　3 网络安全防护 　　3.1 和控制网之间的安全防护 　　由于SIS网络在物理上和控制网络直接相连，因此必须设计完善的安全方案保证控制网络的运行不受SIS系统的影响。为此，我公司以下措施保证控制网络的安全： 　　SIS系统只从控制系统读取实时信息，不对控制系统进行任何写入的操作。 　　SIS系统只通过接口机和控制系统连接。接口机负责从控制系统中读取数据并发送到全厂实时/历史数据库。SIS系统的其他部分（客户端，服务器等）无法直接对控制系统进行操作。 　　在接口机