導(dǎo)語(yǔ)：電廠信息網(wǎng)絡(luò)安全建設(shè)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1企業(yè)信息網(wǎng)絡(luò)安全的定義及重要性

近年來(lái)，電力企業(yè)不斷發(fā)展，特別是水電企業(yè)，改變了以往一直以來(lái)封閉式的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)，利用信息網(wǎng)絡(luò)逐漸跟外界接口聯(lián)系，許多企業(yè)都建立了自己的網(wǎng)絡(luò)系統(tǒng)，如企業(yè)門(mén)戶(hù)、辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)系統(tǒng)、營(yíng)銷(xiāo)系統(tǒng)、生產(chǎn)管理系統(tǒng)等，極大提高了辦公效率，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)傳輸及共享。信息化的發(fā)展、網(wǎng)絡(luò)的普及，使辦公地點(diǎn)不緊緊局限于辦公室，遠(yuǎn)程移動(dòng)辦公成為了可能，辦公效率也大大提高，突破了時(shí)間及空間的限制，但信息化高速發(fā)展的同時(shí)也給我們帶來(lái)了嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。對(duì)此國(guó)家也非常關(guān)注，特意成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，再次體現(xiàn)出過(guò)對(duì)保障網(wǎng)絡(luò)安全、維護(hù)國(guó)家利益、推動(dòng)信息化發(fā)展的決心。由此可見(jiàn)，網(wǎng)絡(luò)安全已經(jīng)到了不可小視，必須深入探討研究的地步。

2廣蓄電廠信息網(wǎng)絡(luò)安全建設(shè)

2.1網(wǎng)絡(luò)安全區(qū)域劃分

劃分安全區(qū)域是構(gòu)建企業(yè)信息網(wǎng)絡(luò)安全的基礎(chǔ)，提高抗擊風(fēng)險(xiǎn)能力，提高可靠性和可維護(hù)性。廣蓄電廠內(nèi)網(wǎng)劃分為網(wǎng)絡(luò)核心區(qū)、外聯(lián)接入?yún)^(qū)、IDC業(yè)務(wù)區(qū)、終端接入?yún)^(qū)。網(wǎng)絡(luò)核心區(qū)域是整個(gè)電廠信息網(wǎng)絡(luò)安全的核心，它主要負(fù)責(zé)全網(wǎng)信息數(shù)據(jù)的傳輸及交換、不同區(qū)域的邊界防護(hù)。這個(gè)區(qū)域一般包括核心交換機(jī)、核心路由器、防火墻及安全防護(hù)設(shè)備等。IDC業(yè)務(wù)區(qū)主要是各業(yè)務(wù)應(yīng)用服務(wù)器設(shè)備所在區(qū)域，如企業(yè)門(mén)戶(hù)、OA系統(tǒng)、生產(chǎn)管理系統(tǒng)等各信息系統(tǒng)服務(wù)器。終端接入?yún)^(qū)即為終端設(shè)備（如：臺(tái)式機(jī)、筆記本電腦、打印機(jī)等）連入內(nèi)網(wǎng)區(qū)域。

2.2二次安防體系建設(shè)

根據(jù)國(guó)家電監(jiān)管委員會(huì)令第5號(hào)《電力二次系統(tǒng)安全防護(hù)規(guī)定》、34號(hào)《關(guān)于印發(fā)<電力二次系統(tǒng)安全防護(hù)總體方案>》的相關(guān)要求，電廠堅(jiān)持按照二次安全防護(hù)體系原則建設(shè)：

（1）安全分區(qū)：根據(jù)安全等級(jí)的劃分，將廣蓄電廠網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)又劃分為實(shí)時(shí)控制Ⅰ區(qū)和非實(shí)時(shí)控制Ⅱ區(qū)。

（2）網(wǎng)絡(luò)專(zhuān)用：電力調(diào)度數(shù)據(jù)網(wǎng)在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，采用SDH/PDH不同通道等方式跟調(diào)度、各電廠的生產(chǎn)業(yè)務(wù)相連接，在物理層面上與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)安全隔離。對(duì)電廠的IP地址進(jìn)行調(diào)整和統(tǒng)一互聯(lián)網(wǎng)出口，將生活區(qū)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)分離，加強(qiáng)對(duì)網(wǎng)絡(luò)的統(tǒng)一管理和監(jiān)控。

（3）橫向隔離：在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用正反向安全隔離裝置。正向安全隔離裝置采用非網(wǎng)絡(luò)方式的單向數(shù)據(jù)傳輸，反向安全隔離裝置接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，采用簽名認(rèn)證、內(nèi)容過(guò)濾等檢查處理，提高系統(tǒng)安全防護(hù)能力。

（4）縱向認(rèn)證：廣蓄電廠生產(chǎn)控制大區(qū)與調(diào)度數(shù)據(jù)網(wǎng)的縱向連接進(jìn)行了安全防護(hù)硬件的部署，包括縱向加密裝置、縱向防火墻等，并配置了相應(yīng)的安全策略，禁用了高風(fēng)險(xiǎn)的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。

2.3安全防護(hù)措施

（1）防火墻

在外聯(lián)接入?yún)^(qū)域同內(nèi)網(wǎng)網(wǎng)絡(luò)之間設(shè)置了防火墻設(shè)備，并對(duì)防火墻制定了安全策略，對(duì)一些不安全的端口和協(xié)議進(jìn)行限制。通過(guò)防火墻過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，對(duì)內(nèi)網(wǎng)的訪問(wèn)行為進(jìn)行控制和阻斷，禁止外部用戶(hù)進(jìn)入內(nèi)網(wǎng)網(wǎng)絡(luò)，訪問(wèn)內(nèi)部機(jī)器，使所有的服務(wù)器、工作站及網(wǎng)絡(luò)設(shè)備都在防火墻的保護(hù)下。

（2）口令加密和訪問(wèn)控制

電廠對(duì)所有用戶(hù)終端采用準(zhǔn)入控制技術(shù)，每個(gè)用戶(hù)都以實(shí)名注冊(cè)，需通過(guò)部門(mén)賬號(hào)申請(qǐng)獲得IP地址才能上局域網(wǎng)，并通過(guò)PKI系統(tǒng)對(duì)用戶(hù)訪問(wèn)企業(yè)門(mén)戶(hù)、OA系統(tǒng)等業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)控制管理。在核心交換機(jī)中對(duì)重要業(yè)務(wù)部門(mén)劃分單獨(dú)的虛擬子網(wǎng)（VLAN），并使其在局域網(wǎng)內(nèi)隔離，限制其他VLAN成員訪問(wèn)，確保信息的保密安全。對(duì)電廠內(nèi)部的網(wǎng)絡(luò)設(shè)備交換機(jī)、防火墻等，采用專(zhuān)機(jī)專(zhuān)用配置，并賦予用戶(hù)一定的訪問(wèn)存取權(quán)限、口令等安全保密措施，建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，定時(shí)對(duì)其進(jìn)行審查分析，及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故，有效地保護(hù)網(wǎng)絡(luò)安全。

（3）上網(wǎng)行為管理

上網(wǎng)行為管理設(shè)備直接串行部署在內(nèi)網(wǎng)邊界區(qū)域，并制定了精細(xì)化的活動(dòng)審計(jì)策略、應(yīng)用軟件監(jiān)控管理策略，監(jiān)控及記錄用戶(hù)非法操作信息，實(shí)時(shí)掌握互聯(lián)網(wǎng)使用情況，防患于未然，通過(guò)上網(wǎng)行為管理設(shè)備進(jìn)行互聯(lián)網(wǎng)網(wǎng)關(guān)控制。

（4）防病毒系統(tǒng)

在電廠的局域網(wǎng)內(nèi)部署了Symantec防病毒系統(tǒng)。Symantec系統(tǒng)具有跨平臺(tái)的技術(shù)及強(qiáng)大功能，系統(tǒng)中心是中央管理控制臺(tái)。通過(guò)該管理控制臺(tái)集中管理運(yùn)行SymantecAntiVirus企業(yè)版的服務(wù)器和客戶(hù)端；可以啟動(dòng)和調(diào)度掃描，以及設(shè)置實(shí)時(shí)防護(hù)，從而建立并實(shí)施病毒防護(hù)策略，管理病毒定義文件的更新，控制活動(dòng)病毒，管理計(jì)算機(jī)組的病毒防護(hù)、查看掃描、病毒檢測(cè)和事件歷史記錄等功能。

（5）建立虛擬專(zhuān)網(wǎng)（VPN）系統(tǒng)

為保證網(wǎng)絡(luò)的安全，實(shí)現(xiàn)移動(dòng)辦公，在核心網(wǎng)絡(luò)邊界區(qū)域部署了1臺(tái)VPN設(shè)備，并設(shè)置訪問(wèn)條件和身份認(rèn)證授權(quán)策略，如通過(guò)PKI系統(tǒng)進(jìn)行身份認(rèn)證和訪問(wèn)授權(quán)后才能訪問(wèn)電廠企業(yè)門(mén)戶(hù)系統(tǒng)、OA系統(tǒng)等。使用虛擬專(zhuān)網(wǎng)（VPN）系統(tǒng)，不僅滿(mǎn)足了電廠用戶(hù)遠(yuǎn)程辦公需求，而且保證了電廠信息網(wǎng)絡(luò)及信息系統(tǒng)數(shù)據(jù)安全傳輸。

3信息網(wǎng)絡(luò)安全管理策略

俗話說(shuō)：“三分技術(shù)，七分管理”，這在信息網(wǎng)絡(luò)安全管理方面也是適用的。事實(shí)上95%以上的計(jì)算機(jī)、網(wǎng)絡(luò)受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國(guó)內(nèi)一流的水力發(fā)電廠，頭頂上始終懸著一把信息網(wǎng)絡(luò)安全的達(dá)摩克利斯之劍。在推進(jìn)信息化道路上，借鑒國(guó)內(nèi)外企業(yè)對(duì)信息網(wǎng)絡(luò)安全管理的經(jīng)驗(yàn)，形成屬于自身發(fā)展的網(wǎng)絡(luò)安全管理策略。（1）建立完善的網(wǎng)絡(luò)信息安全管理制度。在信息網(wǎng)絡(luò)安全方面電廠成立專(zhuān)門(mén)的信息化安全小組，制定完善的信息安全規(guī)章制度，規(guī)范整個(gè)電廠對(duì)網(wǎng)絡(luò)及信息系統(tǒng)的使用。（2）建立完備的網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案。電廠建立了一套應(yīng)急預(yù)案體系，目的就是在發(fā)生緊急情況時(shí)，指導(dǎo)電廠的值班人員對(duì)突發(fā)事件及時(shí)響應(yīng)并解決問(wèn)題。（3）定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估及加固。電廠每年進(jìn)行安全風(fēng)險(xiǎn)評(píng)估分析，及時(shí)了解和掌握整個(gè)網(wǎng)絡(luò)的安全現(xiàn)狀，通過(guò)安全加固使得網(wǎng)絡(luò)安全系統(tǒng)更加健全。

4結(jié)束語(yǔ)

信息網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的安全管理問(wèn)題，信息網(wǎng)絡(luò)早已涉及到電力行業(yè)生產(chǎn)管理的方方面面，網(wǎng)絡(luò)上任何一個(gè)漏洞都可能會(huì)威脅著電力系統(tǒng)的安全、穩(wěn)定、運(yùn)行，而且企業(yè)對(duì)其依賴(lài)性也日益增加，建立一套完善的、全方位、多層次的信息網(wǎng)絡(luò)安全體系不僅充分保障電力企業(yè)安全可靠的電力供應(yīng)，而且可以實(shí)現(xiàn)對(duì)信息網(wǎng)絡(luò)的管控。

作者:陳海平 單位:調(diào)峰調(diào)頻信息通信運(yùn)維中心