水电厂信息网络安全防护剖析.docVIP

水电厂信息网络安全防护剖析 　　摘要：电子计算机信息技术的迅速发展，决定了水电厂信息网络安全防护建立的基础，文章就水电厂信息网络安全防护的状况进行分析，重点探讨四点措施，建议从子系统、自动化系统、信息资源管理系统以及计算机病毒防御系统四个方面入手，以完善水电厂的信息网络安全。 　　关键词：水电厂；信息网络；安全防护 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)08-1759-02 　　进入21世纪以来，以电子计算机信息技术的迅速发展为标志，各地水电厂的运作效率也不断的得到提高，自动化运作的比例有了较大幅度的发展，实现了人力资源的优化利用。水电厂对自动化控制和信息化厂区的建设都十分重视，无论是从电厂监视控制系统的布设方面，还是对水情监测调整系统、工业电视系统、火灾预防系统的建立等方面都进行了精确的评估与立项设立。[1]正是由于信息网络系统在水电厂日常运作中的应用，使得水电厂的各个独立子系统联系成了一个有机的整体，也正是由于子系统间进行信息交流的需要，目前水电厂内部各子系统间的网络连接及信息交换过程中存在着潜在的信息交换及网络防护安全问题，一旦这些问题被触发，牵一发而动全身，后果不堪设想。 　　1水电厂信息网络安全防护的几点措施 　　一般来讲，水电厂作为关系到国计民生的国家重点基础设施建设项目，其投入资金都比较多，厂区内技术设备复杂，工作环境靠近河流，其信息网络安全防护也应该因地制宜，具体来讲，可以在以下几个方面进行重点防护。 　　1）基于各个子系统的特点进行综合防护设计。 　　由于水电厂内部各个子系统之间要经常进行频繁的数据交换以及信息共享，应该对信息通道以及数据资源的利用进行优化整合。水电厂信息自动化系统一般可以分为电力生产系统和信息资源控制管理系统，这两种系统在电厂中的作用角度不同，前者侧重于控制电力资源的生产，后者则较多的参与网络信息资源管理。[2] 　　对于电力资源生产系统，其设计与建造必须要满足对实时控制及可靠性的要求，对于监控计算机的选择则要求其及时跟进性达到毫秒级别，并且还要要求其他连接的子系统对于监控计算机系统内的数据只能进行单向操作，即子系统只能具备对监控计算机的数据读取功能，而不能进行数据及命令写入操作，这样就在内部避免了黑客通过子系统对主监控计算机的入侵行为。对于水情监测调整系统、工业电视系统、火灾预防系统等设备则都应该留有备份系统以供不时之需，这样就满足了较高的可靠性。此外，电厂河流梯度调整系统以及电网调度自动化系统应单独纳入电厂信息网络系统，一旦出现问题可以使得电厂间不会相互影响。对于信息资源控制管理系统，这是水电厂外部网络信息防护的重点，因为正是这一部分系统直接连入了万维网，对内其可以读取电力生产系统的数据，例如电机发电量、水电厂坝区水位以及水流量等信息，对外其直接与外界互联网进行信息交换，黑客通过攻破这个系统就可以对水电厂进行信息窃取，甚至是直接进行非法操作，造成严重后果，因此综合考虑子系统功能以及数据交换的安全性是十分必要的。 　　2）实现水电厂子系统间物理上的相互隔离，功能类型相同的自动化系统间采用专用网络连接。 　　电力生产系统和信息资源管理系统为防止信息互相影响可以采取双网同设的方法进行独立隔离，这样做无疑会增加水电厂基础设施的投资额度，但是若两个系统为节省资金而共享信息网络和电力供给资源，一旦其中的一个系统出现问题，则由于高度自动化及互联化会造成两个系统的同时故障。 　　此外，即便是同一个系统下的各个单元也应该遵守网络连入的独立与隔离原则，不建议直接进行连接，例如提到的水情监测控制系统、火灾预防控制系统以及电力机组修检系统就不能直接进行网络连接，应保持各自的运作独立性要求。而信息自动化系统单元类别下的不同部门也应该与计算机监控系统保持独立，否则就会出现信息资源管理系统的使用者直接对计算机监控系统进行访问的现象，这会形成用户修改计算机监控系统的潜在隐患。在电厂内部的各个自动化系统中，类型相同的系统如属于同一河流区域的梯度电站调度监控单元、计算机监控系统、地区电网调度单元监控中心以及网络水情自动化生成分析系统、水库流量及水位检测系统之间等都要及时迅速的交换实时信息数据，运行方式要高度可靠及快速才能完成如此复杂的任务，面对这样的情况，专用局域网的优势就能得以发挥，实现利用电力资源调度网络达到上下级网络节点系统同归的效果。[3] 　　3）水电厂信息资源管理系统接入外网的安全防护措施。 　　这个节点可以采用在水电厂信息资源管理系统或自动化网络边界与万维网的接入口之间架设安全防火墙的措施达到信息隔 离效果，辅之以相关的安全接入时限策略，最大程度的减少信息系统暴露的概率。在安全接入万维网的时限内，外网单元对内网的信息读取以及网络命令施加等