发电企业信息系统安全技术分析葛利宏（内蒙古电力科学研究院，内蒙古呼和浩特010020）摘要：针对内蒙古电力系统各发电企业管理信息系统，通过对网络边界、物理层、网络层、系统层、应用层等进行分析，阐述了电厂信息系统网络安全技术，并阐述了网络安全的实现方法、软硬件设计。关键词：发电企业；管理信息系统；安全概述企业的网络基本建设完成以后，首先考虑的问题是网络应用，随着Internet的快速发展和企业上网工程的日益推广，越来越多的企业建立网站来进行对外宣传，或通过搭建独立的E-mail服务器以电子邮件的方式进行数据传输，同时电厂新机组基建MIS系统与生产MIS系统的连接、DCS与MIS的连接、SIS与MIS的连接、财务系统及物资管理系统与MIS的连接等，对信息系统安全的要求越来越高。电厂每时每刻都有大量的实时数据在网络中传输，如何有效控制信息在网络中安全传输和交换，同时如何防止其它来自企业内部和外部对信息系统的恶意破坏，都涉及到信息系统安全问题。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，信息系统一旦受到黑客攻击或中了病毒，将直接破坏电厂的核心数据库，甚至破坏生产系统。本文阐述信息安全技术主要包括：网络边界防护、物理层安全、网络层安全、平台安全等。网络边界防护是指路由器、防火墙、入侵检测系统、病毒防控系统等软硬件安全措施的部署。物理层安全是指重要设备和主干线路的冗余备份，并通过制定规范措施保障环境安全和设备安全。网络层安全包括路由策略的制定、通过规划VLAN隔离广播风暴、通过部署网管软件实现网络监测、流量控制、远程管理等。平台安全主要包括系统层安全和应用层安全。目前，内蒙古电力系统各电厂的广域网接入方式主要为2种：一是通过光缆直接接入内蒙古电力总公司的广域网系统，这样电厂可利用总公司统一的Internet出口接入互联网，网络安全也由总公司统一规划，在总公司配置统一的防火墙平台、防病毒系统、入侵检测系统、漏洞扫描、安全风险评估等，由于各发电单位局域网同在一个城域网中，单点的安全威胁或病毒泛滥会影响到其它点。二是无法直接接入总公司广域网系统的，采用向当地ISP申请DDN专线的方式接入Internet，网络边界安全要求比较高，而且总公司也无法实现安全方面的统一管理。2者虽然接入方式不同，但网络安全设计却基本相同。本文针对发电企业现有的信息系统阐述了信息系统安全技术的理论与实践。网络安全技术分析2.1网络边界安全2.1.1网络边界安全技术描述电厂的局域网系统一般处在整个信息系统的边缘，电厂通过部署路由器、防火墙、IDS（入侵检测系统）等网络边界设备接入到Internet或者作为一个分公司接入到总公司。电厂典型的网络边界安全结构为：以路由器作为线路接入设备，防火墙设备连接在路由器之后，防火墙连接电厂的内部局域网、DMZ停火区和其它应用工作区。这种结构的工作原理为：路由器通过配置路由协议、地址映射、端口映射、访问控制列表ACL等实现基本的路由策略、访问控制和内容过滤，例如可以将ACL应用到路由器的外部接口来封杀“冲击波”和“震荡波”等蠕虫病毒的端口，限制BT下载及对Internet的访问。防火墙本身具有很强的抗攻击能力，是网络边界安全的核心，防火墙和路由器之间通过双重地址翻译实现更高的安全性，这样外网要进入电厂内网需突破路由器和防火墙的双重关口。防火墙的DMZ区通常放置需要被外网的访问的堡垒主机，例如对外Web服务器、E-mail服务器、Ftp服务器等。防火墙的一个比较主要功能是远程VPN接入，远程VPN客户端通过Ipsec协议与防火墙建立隧道连接，或通过IE浏览器的方式通过SSL协议拨入，此时，防火墙作为VPN拨入服务器，可保证高速、安全的虚拟连接。由于企业关键性应用的增多，如IP语音、IP视频等，企业往往需要更高的出口带宽才能满足要求，这时可以将线路直接接入防火墙，去掉路由器，这样数据流在通过网络边界时减少了处理时间，同时防火墙的抗攻击能力要比路由器好，可以有效对抗路由器和消耗带宽类型的网络攻击，当网络用户比较多时，网络性能提高明显。内蒙古包头第二热电厂、海勃湾电厂、岱海电厂管理信息系统通过边界路由器作接入，并连接防火墙的方法实现了双重NAT和双重ACL，基本达到了网络边界安全技术的要求。2.1.2网络边界安全结构设计路由器的拓扑位置：路由器位于电厂信息系统对外出口处，作为Internet线路的接入设备，同时通过IP地址翻译、访问控制列表等使企业局域网与外部其它网络系统隔离，可以屏蔽来自网络外部对本局域网的直接访问和恶意破坏。防火墙的拓扑位置：防火墙是防御网络入侵者的最有效机制，阻挡基于网络攻击的功能也日益完善。防火墙的DMZ区可以部署企业的堡垒主机，如Web、E-mail、Ft