一、概述:电力行业现状及安全威胁
电力行业的安全有效运转直接关系到国民经济全局。怎样才能在发挥电力行业的最大效益、提高电力行业的工作效率的同时,保护电力行业信息网络的安全?
l.1 信息资产的特点
信息资源作为市场经济得重要资产,成为信息经济时代的主要特点。信息成为资产要素,成为企业信息化推进的根本动力。同时,信息的高无形价值、低复制成本、低传播成本和强时效性等因素决定了安全是信息资产的关键属性。安全属性是信息资产区别于其它资产的重要特点。没有安全保障的信息资产,谈不上资产价值。
1.2 信息化中的安全威胁
信息孤岛只会使信息系统功效不能充分发挥,而信息安全问题则会令信息系统彻底瘫痪!
1.2.1 缺乏信息安全意识
传统的电力行业发展重基本建设、轻信息安全。网络结构不太合理、缺乏网络安全观念,不能满足信息安全的需求。在信息安全方面缺少有效的系统安全体系、缺少有关信息安全的管理手段、缺少防范措施、故障恢复方法和策略以及网络实时安全监视手段。
1.2.2 网络之间缺乏安全隔离
SCADA/DCS、DMIS、MIS、互联网等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至 导致网络瘫痪,影响正常生产和办公。
1.2.3 对网络内部的安全威胁缺乏防护、监控和审计机制.
二、我公司的网络现状
2.1 网络拓扑
参见附图1《公司当前网络拓扑结构》。连同生产系统在内,我公司整个计算机网络系统大致可分为六大块,按其对电力生产的重要性依次为生产区、实时数据区、 MIS区、公司互联网服务区、DMTS区和互联网区。
生产区是指包括DCS、DEH及各辅机程控在的生产控制系统。这一区域的设备直接担负着电力生产的控制、协调重任。
实时数据区是联系生产区与MTS区的桥梁,它负责将各生产系统中的过程数据发向MIS系统中的实时数据库服务器。数据在这个区域内是单向传输的,即只能从 生产区发向MIS区。实时数据区和生产区之间通过各自的接口机相互隔离。
MIS(管理信息系统)区不直接参与电力生产,但它与公司日常运作密不可分。该区域网络为全交换星型以态网。圭要网络设备均为CISCO公司的产品。主交 换机为Cisco8540交换机,各主要楼宇内的二级交换机Cisco3500系列、Cisco2900系列交换机,它们与主交换机之间通过光纤相连,根据实际应用需求,有的主干采用千兆连接,有的主干采用百兆连接。楼宇内部各接入点通过超五类双绞线以百兆速率接入各楼宇内二级交换机。目前,公司基于网 络的所有应用服务都运行在这个区域内。MIS区与DMIS区、互联网服务区及互联网区之间通过防火墙安全隔离。
互联网服务区是公司对外交流的窗口,它担负着公司对外网页发布及电子邮件服务功能。
DMIS区是电力调度MIS系统。通过该系统,各发电公司可向调度进行设备检修申报、下载生产计划及报表上传等。
互联网区是指国际互联网服务区。
2.2 安全现况
在上述的六大区域中,DMIS、互联网及生产区等均为第三方提供的网络,其安全性由各自的供应商负责。本文所述的网络安全性主要是针对MIS区、互联网服 务区及实时数据区而言的。
一个安全的网络系统至少应具有防黑客攻击和防计算机病毒攻击的能力。要比较有效地解决这个问题,需要从技术角度和管理制度两方面同时入手。
2.2.1 技术防范
(1)防止计算机病毒侵害
近年来计算机病毒的危害日趋严重。为防患于未然,公司安装了赛门铁克公司的诺顿企业版病毒防火墙,并定期对其病毒搜索引擎及病毒定义码进行升级。这样从服务器到各个终端均处于该病毒防火墙的严密防护之下。从系统投运到目前为始,经过多次红色小球及尼姆达等多种突发性的恶性病毒的考验,从未发生过一起因为病 毒攻击而引起的网络/服务故障。
(2)防止黑客攻击
随着计算机网络应用的日益普及,人们的工作、生活也越来越依赖于计算机网络。黑客问题也越来越引起人们的重视。为确保公司内部网络的安全,同时又要方便大家使用网络资源,我们根据不同应用,将公司网络划分为六个相互隔离但又相互关联的部分:生产区、实时数据区、MIS区、公司互联网服务区、DMIS区和互 联网区。其中最主要的一个就是公司的MIS系统区,目前全公司绝大部分的管理应用服务都运行在这个系统上。
统计资料显示,绝大部分的黑客攻击可能来自于熟悉某一网络情况的内部人员,只有一小部分的攻击来自于外部人员。对此,我们采取了如下防范策略:
首先,及时安装相关补丁程序或升级程序,消除软、硬件系统存在的安全隐患。
其次,我们充分利用CISCO网络产品的特性,做到定人、定机、定位,即某台终端只能由指定的人员在指定的接入点使用时才能接入公司局域网。再者,公司严格执行"一个窗口对外"的政策,即局域网内的所有终端必须通过统一的代理才能访部外部网络(如电力广域网和国际互联网),所有用户不得私自通过其它途径接 入外部网络。
最后,公司购买了CISCO公司的PIX防火墙及企业级路由器,分别用作公司内部网络与外部网络之间、公司内部网络与生产过程实时数据采集系统网络之间的 安全隔离屏障。这样既可以使公司内部网络的用户能自由地网上冲浪,同时又能屏蔽来自外部网络系统的攻击。
这里需要重点说明一下我们在接入公司生产过程实时数据采集系统时所做的一些安全设置。首先,各生产控制系统均通过专用的接口机作网关和实时数据服务器相连,该接口机被设计成只能单向转输数据,即只能将生产过程数据通过接口机向实时数据库传递,反之则不允许;其次实时数据采集网络与公司管理网络相对独立,它们之间通过网关连接,公司域内的用户只能访问实时数据服务器指定端口上发布的有关信息(如80端口的WEB信息及通过专用的PI客户端工具来访问服务器 5450端口的实时画面信息等),而不能访问实时服务器的其它端口,更不能直接访问各个接口机。
(3)权限管理
每个应用系统都有安全的用户权限管理模块。通过该模块对每个用户的权限加以严格控制,用户只能访问自己权限范围内的内容,所有密码都是通过加密进行传输与存储。
在信息浏览方面,我们做到每个用户有一个身份识别码,所有发布的信息均经过严格的授权。这样可保证即使是在同一台终端上,不同的用户可根据各自的权限游览到不同的信息。
2.2.2 管理制度
要想得到一个安全可靠的网络运行环境,不能只靠技术防范。俗话说:三分靠技术、七分靠管理。为此,我们也制定了一系统规章制度,尽量杜绝由于内部管理不善而形成安全漏洞。
2.2.3 目前存在的不足
(1)生产区与MIS区之间的安全隔离还不完善
按照国家及行业的有关规定,生产系统网络与管理系统网络之间应采用物理方式加以隔离,而且数据必需单向传输。规定中只提出要采用物理隔离,但到目前为止,还没有行业公认的标准物理隔离装置产品及隔离标准。因此在项目实施时,我们也只能采用目前普遍采用的接口机隔离方式来实现生产系统与管理信息系统网络间的隔离。
另外,按照目前的网络结构,各控制系统接口机在实时数据区侧是直接相连的。这样一来,各控制系统之间通过各自的接口机就连接在一起了。一旦黑客进入实时数据区并攻破接口机后就可以进入相应的控制系统。
(2)DMIS区与互联网区域之间的隔离还不完善。
目前,公司MIS系统与DMIS及互联网之间采用防火墙相互隔离(见附图1)。虽然防火墙能够将DMIS网和互联网隔离开,但防火墙不属于物理隔离设备。从这一点来讲,采用图1所示的连接方案时只是限制了DMIS网与互联网之间的通讯,但起不到隔离作用。这不符合国家最新颁布的《电网与电厂计算机监控系统及调度数据网络安全防护规定》的相关规定。
(3)缺乏对全网的安全控制与管理
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时检测、监控、报告与预警。再者,当事故发生后,也无法提供黑客 攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
(4)权限管理程度有待提高
现在每个系统都有一套独立的权限管理系统,很难统一管理。各个系统的权限管理安全性参差不齐。部分系统无法跟踪和记录用户的操作,这样在系统安全出现问题时,很难找出原因,也很难发现违规的用户。
(5)用户保密意识有待增强
目前MIS网络中通过用户名和密码来确认用户身份并赋于该用户相关的权限。但大多数用户对自己口令的保密意识不强,不是一直使用默认口令,就是用一些简单易记的口令。这样就为他人破译口令提供了方便。还有一些用户甚至将自己的口令告诉别人,让别人代自己进行业务操作等。
这些不良习惯会在无形中给公司网络信息安全带来极大的隐患。
三、整改方案
针对上述的不安全因素,提出如下整改方案。详见附图2《改造后的网络拓扑》。
3.1 生产区与MIS区之间的安全隔离
为方便应用,可考虑将实时数据库放置在MIS区,并在各控制系统接口机与实时数据服务器之间加装物理隔离装置。加装物理隔离装置后,各控制系统均相对独立,即使黑客进入实时数据区也不能轻易攻入各控制系统。
因为目前
