發電企業計算機網絡信息安全與防護淺談

董珊

（徐州華潤電力有限公司,江蘇 徐州 221000）

隨著信息化不斷擴展，各類網絡版應用軟件得到推廣應用。計算機網絡在提高數據傳輸效率、實現數據集中、數據共享等方面發揮著越來越重要的作用，計算機網絡與信息系統建設已逐步成為各項工作的重要基礎設施。但病毒傳播、黑客入侵、惡意軟件肆虐，時刻威脅著計算機網絡信息，并造成嚴重危害。新版《火力發電廠安全性評價》加入了網絡信息安全評價標準，安評工作中計算機網絡和系統安全建設尤為重要。

1 發電企業網絡系統簡介

1.1 總體結構圖

圖1是發電廠信息系統的結構示意圖。

發電廠信息系統由廠控二次系統、管理信息系統及相關的網絡和網絡接口構成。根據發電廠信息系統的組成，廠控二次系統中包括電量計量、DCS、輸煤除灰、化學制水、遠動、脫硫等多個業務系統及其網絡。各廠控二次業務系統通過獨立的接口機連接到管理信息系統的實時數據庫服務器端，向管理信息系統提供實時業務的數據，供發電廠各相關管理部門使用。

管理信息系統包括了 EAM、財務管理、OA、燃料管理、生產管理、實時數據庫等多個系統和系統用戶，還有相關的網絡與網絡接口。其中，實時數據庫系統服務器接收廠控端接口機采集的實時數據，并將數據提供給管理信息系統中的其他業務系統。

1.2 應用系統

1.2.1 EAM（設備管理系統）

EAM系統主要提供對電廠設備的編碼管理、電廠設備維護工作流程的管理、電廠生產過程中的運行值班情況的管理及電廠的備品備件的管理功能。

EAM系統中數據主要包括用戶信息/權限、設備數據、維修管理數據、運行管理數據、備件數據等。因用戶信息/權限的機密性要求高，所以EAM系統數據的完整性和可用性要求都為高。

1.2.2 實時數據庫系統

實時數據庫系統服務器負責通過多個和廠控系統相連的接口機收集與廠控系統相關的實時數據。接口機分布與各廠控系統現場連接,其中的實時數據來自于DCS系統、遠動系統、電量采集系統、輸煤除灰系統等。

實時數據庫系統存在與廠控系統、管理信息網絡其他業務系統的通信關系。授權用戶對實時數據庫服務器的訪問，采用用戶名/密碼的認證方式，訪問控制通過防火墻控制。

1.3 安全分區

根據《電力二次系統安全防護規定》的安全分區原則，對發電廠信息系統進行分區，按照AGC接口設備、遠動RTU、電量計量RTU和電力市場報價終端與管理信息系統通信方式的不同，劃分成兩個分區:生產控制大區（安全區Ⅰ和安全區Ⅱ）和管理信息大區。實時數據系統各組件分布于安全區I、II和管理信息大區中，根據實時數據系統的結構，將實時數據系統分為兩部分：

(1)安全區I、II的接口機：用于采集來自安全區Ⅰ和安全區Ⅱ的實時系統數據，同時將這些實時數據單向傳給管理信息大區的實時服務器。

(2)管理信息大區的實時數據庫服務器：從安全區I、II的接口機獲取數據，并與管理信息區的其他業務系統間進行數據交互。

2 網絡安全體系機構

電力企業信息安全體系機構由網絡安全防護、數據備份和恢復、應用系統安全、信息安全管理等幾部分組成[1-2]。

2.1 網絡安全防護

2.1.1 安全域防護

管理信息系統劃分為服務器集群、終端用戶、對外應用服務器三個網絡安全域，將終端用戶安全域劃分成多個子安全域，包括財務系統、管理人員、生產部門、一般用戶等多個安全域；將對外提供服務的應用服務器部署在對外應用服務器域中。

2.1.2 網絡的高可靠性

(1)核心層網絡設備應采取雙冗余結構，兩臺核心層設備相互熱備；

(2)關鍵終端用戶安全域接入交換設備到核心層應采用雙鏈路冗余結構，確保用戶接入核心層鏈路的冗余和可靠；

(3)對關鍵業務系統服務器域和重要業務系統服務器域通過兩條鏈路接入核心層；

2.1.3 防病毒

(1)發電廠管理信息大區應統一部署病毒防護措施，禁止安全區I、II與管理信息系統共用一個防病毒管理服務器。

(2)對所有系統的服務器、用戶工作站都應當部署適當的防病毒產品的客戶端。

(3)在與Internet的網絡接口處應當部署防病毒網關，防止病毒、蠕蟲從Internet蔓延到發電廠管理信息系統內部。

(4)在布置獨立的電子郵件系統時，必須在郵件服務器前端部署郵件病毒網關，防止郵件病毒在辦公網絡中蔓延。

(5)加強防病毒管理，保證病毒特征碼的及時、全面更新，及時查看病毒查殺記錄，掌握病毒威脅情況。

2.1.4 防火墻

在到Internet的每個網絡接口處都必須部署一臺防火墻；對外應用的服務器安全域應連接到防火墻停火區(DMZ)，選用硬件防火墻，其功能、性能、電磁兼容性必須經過相關測試。防火墻應支持DMZ功能，發電廠對外部公開的系統(如Web系統、郵件系統)需放置在DMZ區。

2.1.5 入侵檢測系統

發電廠管理信息系統中應部署一套入侵檢測系統，至少應在核心層網絡設備上部署一個入侵檢測系統的探頭。

2.1.6 虛擬專用網

發電廠廠控自動化系統與調度中心的通信，應滿足《電力二次系統安全防護規定》中提出的實時和非實時VPN建設的要求。穿越公用線路與發電廠管理信息系統進行業務通信、遠程辦公時，應采用VPN產品，以保障數據通信的安全性。

2.1.7 主機安全加固

關鍵應用系統(如財務系統、EAM系統、實時數據庫系統等)的主服務器應定期進行主機安全加固。主機安全加固方式包括：安全配置、安全補丁、采用專用的軟件強化操作系統訪問控制能力以及配置安全的應用。

2.2 備份與恢復

對于關鍵業務系統（財務系統、EAM、實時數據庫系統）數據，安排專人負責數據的備份，確保對業務數據每月進行一次全備。關鍵業務系統需雙機備份,安排專人對備份介質進行保管,備份介質必須與原數據異地存儲。

2.3 應用系統安全

管理信息大區中應用系統較多，確保應用的安全性是管理信息系統信息安全建設的重點內容。包括：訪問控制、賬戶與權限管理、審計管理、輸入/輸出完整性、加密管理、系統生命周期安全管理、數據完整性等。

2.4 信息安全管理

信息安全管理工作包含3個方面：

(1)建立專門的組織機構負責信息安全工作的管理；

(2)建立專門的策略體系和管理制度體系約束人員行為；

(3)建立專門的人員隊伍進行具體的管理操作。

網絡信息安全是一個系統工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設備的防護，還要意識到計算機網絡系統是一個人機系統，在建立以計算機網絡安全硬件產品為基礎的網絡安全系統的同時，也應樹立用戶的網絡信息安全意識才能防微杜漸，構建一個高效、安全的網絡系統。

[1]張世永.網絡安全原理與應用[M].北京：科學出版社，2003.

[2]葛秀慧.計算機網絡安全管理(第二版)[M].北京：清華大學出版社，2008.