监控信息系统网络安全策略实践文档

1、监控信息系统网络安全策略实践发表时间:2006-4-30作者：马昂摘要：火电厂厂级监控信息系统(sis)在火电厂中己经得到了普遍的推广，对于江苏徐州发电有限公司(以 下简称公司)这样己经运营多年的老厂而言，sis的应用有其特殊性，怎样利用现有网络和技术开展sis 项日，sis与分散控制系统(dcs)、sis与管理信息系统(mis)z间的安全隔离怎样实现，都是在项日实 施中必须考虑的问题1。一、sis的安全要求sis是集计算机、热能动力、电气、自动化等多学科交叉、专业性强的计算机应用系统，它建立企 业生产过程实时数据和丿力史数据库平台，实现整个企业范围内的信息共享;以安全、经济运行和提高发 电金

2、业整体效益为日标，支持金业生产过程综合优化服务；同时为企业管理层的决策提供真实可靠的运 行数据和科学、准确的经济抬标。sis作为dcs与misz间的桥接，为了确保生产的安全，必须隔离dcs 和mis网络间两类不同特性信息的传输。要防止黑客攻击、非法访问、病毒爆发从mis网络通过sis传 输到dcs,从而影响生产的正常运行，因此，sis与dcs. sis与mis之间的网络安全隔离都十分重要1。二、sis安全隔离方案及存在的问题2.1安全隔离方案1sis和mis共用同一网络，系统z间采用防火墙等安全措施进行隔离，其优点是方便sis各种应用 软件从mis网上获取数据，并可满足mis网上用户访问实时数

3、据库的需要。2. 2安全隔离方案2sis和mis分别采用独立的网络，两者z间通过sis和mis各自的数据服务器z间互联和交换信息。 sis与mis网络的中间采用物理隔离设备进行连接，优点是sis网络上的应用只需与实时/丿力史数据服务 器联系，而mis的应用只需与mis关系数据服务器通信，从而减少了通信的复杂性，提窩了 2个网络的 独立性和可靠性。2.3存在的问题方案1中,因为mis网络的安全性低于电力sis,共用网络显然降低了 sis网络的安全性,进而可 能会影响到dcs的安全;方案2中sis与mis的独立组网虽提高了可靠性,但在mis网络与sis网络之 间采用的物理隔离网闸设备存在网络性能损

4、失，这是由物理隔离网闸设备的工作特性(摆渡)所决定，在 数据读取的速度上有一定限制。对于己经在生产运营的电厂而言，建设独立sis网络，投入资金较大， 施工闲难。方案1、2中，dcs、sis、mis网络都采用tcp/ip协议的以太网,虽在sis与mis之间做了安全隔 离，并未强调sis与dcs的隔离，但许多项日仅在接口机匕采用双网卡的简单隔离措施，给控制系统网 络制造了一定的安全隐患。三、sis网络拓扑结构公司sis结合实际情况，采取具有自己特色的安全隔离方法，网络拓扑结构见图1。db2itk四、sis安全隔离措施4.1 sis与dcs的安全隔离考虑dcs的安全与数据采集的实时性、完整性的保证，

5、采用了 apacs+标准接口方案，dcs接口软件 从dcs监控软件a imax实时数据库获取全部数据，以高速串行通信的方式将数据发送到数采站。使用串 口通信的可靠性要绝对高于以太网传输，串口通信程序决定了串口通信的单向性，sis网络无法向dcs 发送除数据采集请求以外的数据，保证了 dcs的安全性。据现场测试结果，从sis的数据采集站到距离鮫远的现场dcs的传输速率可达到460. 8kbit/s,实 际应用中采用230. 4kbit/s就可满足数据的实时采集，全部数据更新时间小于等于2s,部分重要数据更 新时间小于等于1so4.2 sis与mis的安全隔离公司的sis采用自主开发的基于xml体

6、系结构,因使用xml和web传输技术,web service较易穿 透防火墙，并被各种智能设备调用，使防火墙方案具备了设置非常严厉的安全策略的技术条件。当用户 对sis进行一般访问时,用户面面上的数据实时刷新并不是由用户直接从sis中的实时数据库取得数据, 而由web service服务器从数据库中取得数据，处理后通过防火墙发送给用户，因为xml技术与web传 输技术的应用，数据传输只需婆通过简单的80端口 (http端口)來完成。性能计算及经济成本分析采用后台计算方式，后台计算需要mis网络上db2数据库屮的财务、煤质 等数据，需要使用db2通信的10000和10001端口。sis在整个的应

7、用中,网络传输上只简单使用到了 http和db2的3个端口，网络应用的简单化捉高了安全防范可靠性。只婆在防火墙的访问控制列表(acl) 上加以控制，就可拒绝mis中所冇不需婆使用的服务和访问，关闭端口，不ih其通过防火墙侵入sis。 acl的规则设置中,允许mis用户访问主机web service的80端口;允许sis的后台性能计算服务器访 问mis网络的db2数据库的10000和10001端口。其余访问包括icmp包(ping)在内的访问全部拒绝, 然后将acl加载在防火墙的内外以太网口上。这样，除了正常sis应用使用到的数据外，其余罪法的网 络访问、攻击被防火墙全部过滤掉，保证了 sis与

8、mis的安全隔离。4.3 sis的安全特点和病毒防护从以上的隔离措施可看出，公司的sis网络是一个sis服务网络，这样的应用在安全上冇很大优势, 因为并没冇用户计算机直接连接在sis网络中的接入，很大程度上杜绝了直接的sis用户对sis网络的 安全隐患；同时sis网络上的服务器都安装了 symantec防病毒软件，病毒定义采用于工更新的方法， 符合了 sis安全规范中对病毒防护的耍求。4.4 sis的安全测试在sis项目的鉴定中，鉴定专家组首先使用windows操作系统h带的网络测试命令ping及tracert 等指令去访问web service服务器,均不可达；而后使用languard network scanner等一些网络测试 工具，网络端口扫描软件，黑客攻击模仿软件去访问利探测防火墙后的服务器，除在访问控制列表中允 许通过特定主机的特定端口的访问可通过，其他端口的信息全部不可通过，证明包括icmp包(ping)在 内的数据包均无法从mis网络穿透防火墙访问到sis网络，病毒与一些攻击扫描无法通过防火墙从mis 网络侵入sis网络。五、结束语公司采用的sis与dcs及sis与mis的隔离方法符合sis网络安全规范，冇相对独立的sis与mis 网络，并充分利用了现冇的网络资源，避免