◆陳亞燕
水電廠信息網(wǎng)絡(luò)安全防護策略探究
◆陳亞燕
(廣東粵海樂昌峽水力發(fā)電有限公司 廣東 512200)
隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)安全受到了人們的高度重視,尤其是隨著信息化技術(shù)在水電廠信息管理和監(jiān)控系統(tǒng)中的廣泛應(yīng)用,計算機監(jiān)控系統(tǒng)成了水電廠安全生產(chǎn)、監(jiān)控運作的主要設(shè)備,更是信息網(wǎng)絡(luò)安全防控重點。但在水電廠信息監(jiān)控系統(tǒng)運轉(zhuǎn)過程中,仍存在一些網(wǎng)絡(luò)安全問題,這給水電廠信息網(wǎng)絡(luò)系統(tǒng)埋下安全隱患。為了有效提高水電廠信息網(wǎng)絡(luò)安全性能,保障水電廠穩(wěn)定運行是當前亟須考慮的問題之一。本文首先分析了水電廠監(jiān)控信息系統(tǒng)中存在的問題,其次闡述了水電廠網(wǎng)絡(luò)安全防控的重要性,并提出相對應(yīng)的防控措施,以期能有效提高水電廠網(wǎng)絡(luò)安全系統(tǒng)可靠性及應(yīng)用水平,進一步確保水電廠的正常運轉(zhuǎn)。
水電廠;監(jiān)控系統(tǒng);信息網(wǎng)絡(luò)安全問題;安全防護措施
近幾年,隨著網(wǎng)絡(luò)信息化技術(shù)在各行各業(yè)的深入應(yīng)用,信息安全問題開始出現(xiàn),這使得各行業(yè)也加強了信息網(wǎng)絡(luò)安全防控力度。而水電廠作為發(fā)電系統(tǒng)的重要組成部分,其生產(chǎn)運行管理系統(tǒng)、MIS系統(tǒng)、操作管理系統(tǒng)等各個系統(tǒng)功能的運轉(zhuǎn)都離不開信息化技術(shù),因此,為了保障水電廠正常運作,應(yīng)提高對水電廠各個信息系統(tǒng)安全性的重視,以避免各個系統(tǒng)中存在信息安全風險,同時,通過采取相對應(yīng)的安全防控措施,提升水電廠系統(tǒng)的安全性能與運行效率。
當前,水電廠的監(jiān)控信息系統(tǒng)仍存在一些網(wǎng)絡(luò)安全問題亟須解決,為此,筆者根據(jù)當前水電廠監(jiān)控信息系統(tǒng)的現(xiàn)狀,大概舉了幾個典型的網(wǎng)絡(luò)安全問題,具體如下:
防火墻作為水電廠網(wǎng)絡(luò)安全最有效的保護手段之一,其主要是由軟件與硬件所組成,在水電廠監(jiān)控信息系統(tǒng)(SIS)中,其防火墻主要是采用軟件設(shè)計,通過軟件來增強監(jiān)控系統(tǒng)的安全性能,當SIS在監(jiān)控水電廠電網(wǎng)調(diào)度信息時,防火墻便會處在一種比較被迫防衛(wèi)的處境。此時,如果水電廠不能及時對軟件防火墻進行更新,那后期防火墻只能對一些常規(guī)的病毒起到作用,但對于一些攻擊性比較強的病毒完全沒有抵抗力,這時,防火墻受到病毒攻擊的影響處境更加艱難,無法繼續(xù)保護系統(tǒng)正常運行,造成系統(tǒng)上的資料丟失,這對水電廠的調(diào)度產(chǎn)生了極大的影響。
當前,水電廠與其他設(shè)備網(wǎng)絡(luò)連接,如:與MIS系統(tǒng)、生產(chǎn)運行管理系統(tǒng)、廠內(nèi)智能控制設(shè)備、操作管理系統(tǒng)等進行連接時,由于其數(shù)據(jù)傳輸主要是選用單向的方式,無法向?qū)崟r信息監(jiān)控系統(tǒng)的服務(wù)器輸入數(shù)據(jù),在與廠內(nèi)其他智能控制設(shè)備進行連接時,如果沒有進行光電隔離,容易發(fā)生高壓或短路的情況;若與MIS系統(tǒng)網(wǎng)上連接時,由于MIS系統(tǒng)安全管理中存在很多不穩(wěn)定因素,容易收到病毒、黑客的入侵,容易給SIS帶來極大的安全隱患;此時,如果水電廠SIS網(wǎng)絡(luò)連接過程中出現(xiàn)安全漏洞,系統(tǒng)非常容易受到黑客的入侵攻擊,從而造成SIS的連接存在網(wǎng)絡(luò)安全隱患,這一常見的網(wǎng)絡(luò)連接問題對水電廠的安全、正常運轉(zhuǎn)會產(chǎn)生極大的不良影響。
水電廠SIS主要是由交換機與通信服務(wù)器相連接,水電廠SIS網(wǎng)絡(luò)通訊的等級要比管理和操作系統(tǒng)的等級還高,為此,盡管在SIS網(wǎng)絡(luò)通訊過程中做好了安全防護,但網(wǎng)絡(luò)通訊仍要按照單向傳輸方式進行,如果能從通訊的角度換到結(jié)構(gòu)的角度去看待問題,那么,網(wǎng)絡(luò)通訊還是存在許多安全問題。比如:水電廠在SIS中,其通訊訪問過程不存在隱藏性,而是透明、公開的,它可以向任何一個編程進行訪問,而任何表明身份的計算機也可以對SIS的網(wǎng)絡(luò)通訊進行訪問,以取得水電廠監(jiān)控網(wǎng)絡(luò)通訊信息,此時,缺少安全保護措施的網(wǎng)絡(luò),很容易給網(wǎng)絡(luò)通訊數(shù)據(jù)交流埋下安全隱患。
根據(jù)上文存在的網(wǎng)絡(luò)安全問題可以看出,加強水電廠網(wǎng)絡(luò)安全防護顯得十分重要。但隨著信息技術(shù)在水電廠的深入應(yīng)用,信息網(wǎng)絡(luò)安全危險隨之增加,尤其是系統(tǒng)安全漏洞,病毒入侵、黑客攻擊、軟件安全漏洞以及數(shù)據(jù)安全存在威脅等,以上這些常見網(wǎng)絡(luò)安全問題的存在,會影響到水電廠網(wǎng)絡(luò)系統(tǒng)的正常運行,降低水電廠自動化運行、操作效率,嚴重的還會造成水電廠系統(tǒng)癱瘓,這對水電廠的發(fā)展產(chǎn)生極大的不良影響,基于此,一定要提高水電廠網(wǎng)絡(luò)信息安全的重視程度。此外,水電廠是保障人們生活與我國經(jīng)濟的重要樞紐,其各個系統(tǒng)的運行都離不開信息技術(shù),為此,加強水電廠信息網(wǎng)絡(luò)系統(tǒng)的安全防御性能,有助于確保網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定,從而提高水電廠自動化運行、生產(chǎn)操作效率,進而促進水電廠的健康發(fā)展。由此可見,網(wǎng)絡(luò)信息安全防控在水電廠中發(fā)揮了至關(guān)重要的作用。
結(jié)合上文水電廠SIS對信息網(wǎng)絡(luò)安全的需要,下文對水電廠提出了三個方面的防控措施,以期能有效提高SIS在水電廠的安全性。具體如下:
為了保障水電廠SIS系統(tǒng)的安全運轉(zhuǎn),水電廠SIS在設(shè)置硬件防控措施時,都會設(shè)置硬件隔離防護,以確保SIS的安全運轉(zhuǎn)。比如:水電廠SIS在連接廠內(nèi)其他智能控制設(shè)備時,一般會在兩個系統(tǒng)之間采用光電隔離,這樣,兩個系統(tǒng)之間除了有數(shù)據(jù)交換外,再無任何網(wǎng)絡(luò)上的聯(lián)系;在與MIS系統(tǒng)連接時,一般會采用通訊服務(wù)或路由器進行隔離,并安裝單向傳輸裝置,使MIS系統(tǒng)只能單向與通訊服務(wù)器聯(lián)系,以此規(guī)范硬件中信息流,控制MIS系統(tǒng)對水電廠SIS的訪問,進一步阻擋非法信息的入侵(如圖1)所示;此外,水電廠的內(nèi)網(wǎng)與外網(wǎng)之間也加裝物理隔離設(shè)備,當內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)時,其數(shù)據(jù)需通過內(nèi)部網(wǎng)關(guān)機上的通信進程,再通過單向物理隔離設(shè)備將數(shù)據(jù)轉(zhuǎn)到外網(wǎng),“外網(wǎng)”關(guān)機通信進程在收到內(nèi)網(wǎng)傳送過來的數(shù)據(jù)后,再將其寫入外網(wǎng)公共數(shù)據(jù)區(qū),而“外網(wǎng)”向內(nèi)網(wǎng)傳輸數(shù)據(jù)的方式一樣,但其方向相反(如圖2)所示。通過對以上硬件進行防控,能有效保護水電廠數(shù)據(jù)傳輸?shù)陌踩?,避免?shù)據(jù)傳輸過程中存在的安全隱患。
IDS入侵監(jiān)測系統(tǒng),其主要是監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運作狀況,檢測網(wǎng)絡(luò)是否受到非法入侵攻擊,并進行阻止,以保護信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的安全、完整。當前,水電廠SIS除了不斷更新防火墻之外,還增加了IDS入侵防護檢測系統(tǒng),該入侵檢測系統(tǒng)不僅能測出網(wǎng)絡(luò)中存在的病毒信息,還能根據(jù)病毒入侵信息進行等級分析,并及時做出響應(yīng),然后設(shè)置相對應(yīng)的防護策略。如:水電廠SIS受到黑客攻擊時,IDS檢測到黑客入侵攻擊行為時,傳感器便會向安全管理控制平臺發(fā)出警報,并將黑客入侵的詳細內(nèi)容通知安全管理員,同時,控制路由器斷開非法對話,以此保障SIS網(wǎng)絡(luò)的安全。由此可見,IDS入侵檢測系統(tǒng)作為維護網(wǎng)絡(luò)安全的重要防控技術(shù),其能在確保網(wǎng)絡(luò)安全的前提下,對水電廠的網(wǎng)絡(luò)運行狀態(tài)進行檢測,從而實現(xiàn)對水電廠內(nèi)的網(wǎng)絡(luò)進行實時保護。
圖1 與MIS的連接方式
圖2 內(nèi)外網(wǎng)數(shù)據(jù)傳輸圖
圖3 入侵檢測/響應(yīng)流程圖
目前,水電廠通過在安全“I區(qū)”部署一套電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知廠站終端,該終端主要是通過SNMP、SNMP trap、Syslog等技術(shù),在I區(qū)進行縱向加密裝置、橫向防火墻、互聯(lián)交換機的信息采集;在橫向防火墻使用NAT技術(shù)將I區(qū)廠站裝置IP映射成II區(qū)IP,然后通過SNMP、SNMP trap、Syslog等技術(shù),實現(xiàn)II區(qū)的縱向加密裝置、工作站的信息采集。在交換機上對網(wǎng)絡(luò)流量的鏡像,網(wǎng)絡(luò)安全態(tài)勢感知廠站終端具備以太網(wǎng)接口和流量獲取端口。I區(qū)裝置分別接入控制區(qū)交換機,非控制區(qū)交換機實現(xiàn)設(shè)備配置/日志信息以及設(shè)備流量信息的獲取?!癐區(qū)”網(wǎng)絡(luò)安全態(tài)勢感知廠站終端采集到的數(shù)據(jù)將通過II區(qū)調(diào)度數(shù)據(jù)網(wǎng)IP,向廣東中調(diào)II區(qū)的主站平臺服務(wù)器上送數(shù)據(jù)。廠站裝置還可以通過ICMP、snmp、鏡像三種來源來自動獲取站內(nèi)的資產(chǎn)信息,包括資產(chǎn)的IP地址、軟件版本、內(nèi)核信息等數(shù)據(jù)并形成拓撲結(jié)構(gòu),還可以通過手工錄入、主動錄入來手動添加資產(chǎn)。鏡像來源還可以發(fā)現(xiàn)站內(nèi)的數(shù)據(jù)通信(TCP、UDP協(xié)議)告警并上報主站。從而實現(xiàn)對水電廠各電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、“范式化”處理、數(shù)據(jù)建模和關(guān)聯(lián)分析,以便及時發(fā)現(xiàn)非法跨區(qū)互聯(lián)、網(wǎng)絡(luò)非法接入、非法移動介質(zhì)接入等各類網(wǎng)絡(luò)安全風險以及非法訪問事件,以達到網(wǎng)絡(luò)安全風險在線識別(如圖4所示)。這對促進水電廠電力監(jiān)控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全監(jiān)測,以及電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的閉環(huán)管理具有十分重要的意義。通過全面提高電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護的整體水平,提升電廠網(wǎng)絡(luò)風險預(yù)警和病毒處理能力,達到電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風險可發(fā)現(xiàn)、可控制、可溯源的目的。
圖4 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)體系結(jié)構(gòu)圖
根據(jù)上文所述可以看出,水電廠網(wǎng)絡(luò)的安全穩(wěn)定關(guān)乎水電廠的正常生產(chǎn)運轉(zhuǎn),為此,需要提高對網(wǎng)絡(luò)安全防控工作的重視程度,通過硬件隔離、IDS入侵檢測,態(tài)勢感知系統(tǒng)等安全防護來強化水電廠網(wǎng)絡(luò)病毒防御系統(tǒng),提高水電廠信息網(wǎng)絡(luò)安全管理水平及病毒防控能力,切切實實的保障水電廠各個系統(tǒng)的正常運轉(zhuǎn),由此可見,做好網(wǎng)絡(luò)信息安全防控工作對水電廠智能控制設(shè)備的正常運轉(zhuǎn)十分重要。
[1]羅光濤.水電廠監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全防控研究[J].信息與安全技術(shù),2015(07).
[2]黃開泰.水電廠信息網(wǎng)絡(luò)安全防護的探究[J].科教導刊(電子版),2018(17).
[3]季金付.發(fā)電廠廠級監(jiān)控信息系統(tǒng)的網(wǎng)絡(luò)安全防護[J].安徽電力,2013(04).