火电机组网络信息安全隔离技术研究与应用

火电机组网络信息安全隔离技术研究与应用

石开乙

华电新疆五彩湾北一发电有限公司

摘要：电厂在借鉴同类型电厂良好实践的基础上，结合实际制定了网络隔离建设方案，通过网络隔离项目实施保护电厂网络敏感信息安全，全面实现了网络安全隔离，具备了安全性、经济性、先进性、实用性，同时解决了网络隔离对电厂信息化办公效率的影响，有效保障了电厂网络隔离效果，实现网络安全状况的实时监测。

关键词：火电机组；网络信息；安全隔离技术；应用

1火电机组控制系统网络安全防护特点

火电机组控制系统要以计算机为载体，用以和检测操纵机器运行的一个过程。控制系统包含联接绝大多数应用系统和系统网络的系统软件，基本功能是监管、数据收集、流程管理等。控制系统由执行机构、通讯设备、感应器以及流程管理等各类计算机设备及设备组成。由机器设备实行、控制板等现场设备组成，通过现场互联网向远程终端机器设备传送数据，根据实际操作互联网在设备控制器和操作过程智能终端中间传送实时动态。依据控制系统的应用特性，将网络安全事件分成安全性专业软件与非安全性专业软件。有关防护软件无效后，通常会导致机器设备系统损坏，会严重影响机器运行安全性，还很容易造成重大的经济损失。

因为火电机组控制系统主要用途的危害性，没法运用现有技术立即剖析控制系统网络信息安全独特的特性。受控制系统特征的危害，对可行性研究规定很高。因而，从前的隐私保护手机软件补丁包和系统软件升级日期不太适合火电机组的控制系统。对火电机组而言，升级终止系统软件很价格昂贵。除此之外，一些系统漏洞修复程序流程很有可能非常容易违背控制系统标准的设定。因而，对控制系统有很高的实用性规定，必须对火电机组的生产过程实时辨别和战略决策。尽管在传统式控制系统安全性项目的可行性层面获得了很多成效但即时易用性等方面的科研仍需要在更加严格的作业环境中进行认证在一些控制系统中，安全防范措施的改善会严重影响系统软件的即时积极响应，因而不能把从前的信息内容安全生产技术立即用于控制系统。对于火电机组控制系统存有安全隐患，应该根据测试标准剖析一些有关问题，处理安全防范有关问题。

2改造前信息安全防护情况

2.1网络安全域划分方式与安全域边界控制措施

电厂网络由七个区域组成，包括密钥交换区域、网络服务器区域、互联网技术区域、局域网区域、商业网络区域、办公连接区域和无线网络覆盖工业园区。网络防火墙仅部署在LAN和Internet区域之间的边界，用于密钥管理和安全保护。然而，VLAN保护仅在其他区域的网络交换机上进行，网络防火墙保护不根据安全区域的防水级别进行。特别是，在关键网络服务器区域前面没有严格的密钥管理，这给关键软件系统增加了非常严重的安全威胁。

2.2网络安全审计和终端设备病毒防护

在实施更新和改造之前，杀毒软件的商业版本已经过期。信息内网终端设备100台，必须统一上报采购。

2.3入侵防御系统和统一检测状态

在入侵防御系统层面，只有网络入侵防护设备部署在局域网和互联网的出入口，以抵御外部攻击，具有入侵防御系统安全防护的实际效果。然而，对于关键的软件系统，特别是内部结构，客户浏览软件系统并不能保证有效的检测服务，目前，尚未部署所有网络来保护网络，更难以将网络具体内容和行为的网络安全审计纳入集团统一的财务审计和监控平台。

3网络安全总体隔离技术方案

根据建设计划的规定，网络虚拟化部门已根据安全需求和防水等级在内部和外部网络地址中进行了信息划分。在外链区域、DMZ区域和数据传输区域新部署了网络防火墙，防水等级较高，严格控制区域间的浏览，防止未经授权的浏览；其次，在信息内网部署网络入侵防御系统机器设备，利用IDS的动态检测功能，对浏览情况、内容和应用协议进行深入检查，并识别内部网络客户和外部网络攻击对计算机软件的未授权攻击和过度使用个人行为。同时，在外部网络的互联网技术中部署IPS，以抵御来自大数据的攻击行为，在外部网的网络服务器区域前部署web防火墙，以防止对关键软件系统的web入侵；在信息外网地址部署一套在线行为机器和设备，分析主要网站的网络个人行为，发现网络、系统软件浏览和数据库服务中的敏感和非法操作；最后，根据总部对远程桌面的要求，将VPN机器和设备部署到信息外网地址进行远程访问。此外，在信息内联网上增加了一台堡垒机。对于需要实现内网系统运维管理的用户，可以根据堡垒机登录账号进行操作。

4信息内网建设

信息内网分为中心城区、网络服务器区、终端区、局域网连接区、运维服务区等，在网络防火墙上设置相应的网络对策，在不同区域进行网络隔离保护。此LAN网络防火墙已过时。

配备了两个intranet网络服务器聚合交换机，以将信息intranet服务器划分为多个区域。在网络服务器区域和核心交换机之间部署两个防火墙设备，完成核心交换机的双机发夹结构、网络服务器区域的网络防火墙和网络服务器区域中的汇聚交换机的数据备份，以确保业务管理系统的稳定可靠运行。在信息内网部署一套IDS机器设备，用于监控网络和综合运行，并尝试找出各种攻击企图、攻击行为或攻击结论，以确保网络服务器资源的安全性、保密性、数据完整性和易用性。

由于信息内网只有一台c6513核心交换机可以正常启动，电厂信息内网核心交换机将购买两台带状网络交换机。同时，将选择最新的水平虚拟技术，以提高核心交换机的稳定性和可管理性。对于聚合交换机，将采用旧方案。

为了维护内部网络机器设备的运行安全系数，在核心交换机旁悬挂一台堡垒机，作为服务器、网络、存储等设施管理端口的统一入口，屏蔽机器设备的真实管理地址和账户密码，并具有事后审计功能。

5信息外网建设

为了能简单化互联网，信息外网结构摆脱了传统三层结构，选了双层构造——接入层和核心员工层。核心员工机器设备将选购两部性能卓越、可信赖的带条状交换机。为了能简单化管理方案和网络稳定性，将于两部汇聚交换机中间挑选水准虚拟技术。与此同时，买了一定数量的聚合网络交换机。因为聚合交换机连接到AP，因而此交换机必须支持Poe。由于智能终端多，零部件分散化，聚合电源开关多。为了能简单化管理模式，电厂选了竖直虚拟技术。聚合网络交换机做为汇聚交换机的远程控制接口卡，汇聚交换机和聚合网络交换机能通过虚拟技术做为交换机进行监管。

结论

火电机组控制系统网络信息安全的多个问题分析做为控制系统的稳定性方位，伴随着火电机组经营规模多元性的提高，系统软件成本费也在慢慢提升。除采取有力措施修补常见故障外，发觉系统软件安全风险和常见故障外，还阐述了各运作的部分常见问题问题与网络热点，及其解决突发性故障水平。因为火电机组控制系统控制回路多、控制系统分散化、常见故障部位广、涉及到的机器设备和系统多，无法用单一的方式进行全部网络安全事件的检查。从单独控制系统零部件的信息看来，以控制回路为基础电源电路确诊层，为了解决火电机组控制系统的网络信息安全难题带来了新理念。

参考文献：

[1]李高平，魏东，王亮，等．火电机组协调（CCS）技术研究及应用[J]．自动化博览，2020,37(9):28-33.

[2]鲍震，齐祥柏，张东明．基于电力生产大数据平台的火电机组水岛的运行优化系统[J]．电力大数据，2019,22(7):82-86.

[3]李轩，翟桥柱，吴江，等．应用全场景可行安全约束机组组合的风电最优消纳模型及解法[J]．西安交通大学学报，2019,53(6):142-150.

[4]黄刚清．火电机组工程建设土建施工阶段安全管理探讨[J]．绿色环保建材，2019(6):144-147.