电力安全|东北网调计算机网络安全研究

安防之家讯：cript>东北网调计算机网络安全研究李满坡，孙笑飞，张吉吉，孟令愚，王火召光　(国电东北公司东北电力调度通信中心，辽宁沈阳110006)东北网调自成立两年以来，计算机网络受到三次比较严重的病毒攻击，暴露出明显安全漏洞。为此东北网调重新全面审视了自己的计算机网络系统，建立了新的网络安全架构，将网络划分为外网公共区、外网安全区、内网办公区、内网生产区，大大提高了网络运行的安全水平。关键词：电力调度；计算机网络安全；反病毒信息技术的进步，使得计算机网络已成为电网调度机构的主要技术支撑平台，电力生产对计算机网络的依赖日渐加深。随着企业级广域网建设，将更多的局域网更紧密的连接起来，同时直接或间接地接入Internet，加之无法避免的数据交换和软件共享，电力生产用计算机网络不再是孤立的系统，与外界的连接将越来越紧密，越来越多样化。在这种情况下，电力生产用计算机网络受到来自Internet的安全威胁已不可避免。解决好电力生产用计算机网络的安全问题，对维护正常的生产秩序，保障电力生产的安全稳定运行具有至关重要的意义；反之，电力生产用计算机网络一旦因为安全性受到破坏，造成应用软件功能损坏、硬件损坏乃至网络崩溃等严重后果，必将对电力生产造成直接的影响，威胁到电力生产的安全稳定运行［1］。1计算机网络安全需要解决的问题对电力调度用计算机网络而言，要解决的计算机网络安全问题指的是下述几个方面上的安全问题1.1网络运行监管监管网络的数据流向和流量，根据网络的运行情况，采用硬件和软件手段调整网络结构，提高网络运行质量，使现有软件在现有硬件的条件下达到最佳运行状态，特别是要避免数据流死锁、环网故障和广播风暴等能造成网络瘫痪的恶性故障。1.2反病毒病毒对计算机网络造成的破坏是显而易见的，特别是反病毒软件的升级总是要晚于新生病毒的出现，因此新生病毒对计算机网络的破坏也就越为严重。此时系统管理员往往在手足无措的情况下等待着反病毒技术的出现，从而延误了故障处理时间，对电力生产造成影响就越持久。于2001年8月出现的CodeRed和9月的nimda病毒，东北网调均是在有公开报道的3天之内被感染，处理故障时间都在3天以上［2］。1.3防止非法入侵不良的网络运行管理和操作系统的安全漏洞是网络被非法入侵的根源。规范网络运行，及时弥补操作系统和应用软件的安全漏洞，可大大减少非法入侵的可能性。1.4备份和灾难恢复。备份工作实际上分为两个部分，一是数据备份，二是功能备份。数据备份指的是保存应用软件的开发版本和生产运行的历史数据，分离线和在线两种备份方式。功能备份是指在网络中对有重要生产意义的设备做功能冗余，待有硬件或软件故障时启用，以保证生产的连续性，特别是在发生灾难性意外时，可及早恢复或部分恢复运行系统，尽可能地减小灾难的损失，使对生产的影响降低到最小程度。2东北网调计算机网络系统结构按操作系统划分，东北网调的计算机网络主要分为两个部分：运行调度自动化系统的UNIX网络和企业信息网的WindowsNT网络。系统构成如下：(1)CC-2000调度自动化系统。由7台CompaqAlpha服务器，12台Alpha工作站和前置机构成。(2)企业信息网。由12台HP微机服务器和近100台联想微机组成。(3)网络交换设备。含13台3Com交换机，6台Cisco路由器，2台Cisco拨号服务器和1个Cisco防火墙。3网络安全解决方案针对东北网调的计算机网络现状，并参照国家经贸委《电网和电厂计算机控制系统及数据网络安全防护暂行规定》，为解决计算机网络安全问题，提出如下4点解决方案［3］：(1)改造网络，从结构上提高网络的安全水平。东北网调的计算机网络系统是二级星型网络架构，主干网采用1?000兆以太网连接，二级网为100兆连接。系统通过防火墙划分为内网和外网，内网含网调所有服务器和工作站，及与国调企业信息网和辽吉黑三省调调度自动化系统的连接，外网指的是与东北公司和辽宁省公司信息中心、辽吉黑三省调企业信息网和丰满、白山、太平湾、云峰电厂的连接，以及拨号服务器。网络改造的方案是：将生产网络与办公网络用防火墙和路由器分隔成4个区域：外网公共区、外网安全区、内网办公区、内网生产区，4个区域所含设备及功能如下：①外网公共区。含Internet出口，面向公众的拨号服务器，电网调度信息披露服务器。②外网安全区。与国调、辽吉黑企业网的连接，面向基层单位和移动办公用户的拨号服务器。③内网办公区。Web、电子邮件、办公自动化、数据上报/下发、系统软件与应用软件分发和备用服务器，近100台办公微机。④内网生产区。CC-2000服务器/工作站和前置机，与辽吉黑三省调调度自动化系统的连接，企业网数据库服务器，电能量自动采集系统服务器和工作站，备用服务器。上面4个区域的安全等级依次升高，其中，内网生产区和内网办公区之间，内网办公区和外网安全区、外网公共区之间也用防火墙分隔，外网安全和外网公共区之间禁止路由转发。这样在整个网络中，内网生产区被置于最高安全等级，提高了生产数据库/应用软件系统的运行安全性和可靠性。(2)提高数据库系统的安全等级。由于Windows操作在安全性和可靠性上的不足，使得其易受病毒攻击和非法入侵。CodeRed和nimda病毒都是基于此安全漏洞给网络造成了极大破坏。为此，将与生产关系密切的一部分数据库迁移到UNIX服务器上。同时，为便于应用软件的开发、调试和再开发工作，保留一部分WindowsNT数据库服务器，并使数据库和应用软件分离，运行在WindowsNT环境下的数据库服务器置于内网生产区，应用软件服务器置于内网办公区。(3)加强反病毒软件的运行管理。尽管反病毒软件往往对新生病毒不能及时升级，但许多传统病毒还是会造成很大破坏，对于这些病毒，反病毒软件还是很有效的。及时跟踪反病毒软件的升级进度，对减弱病毒对网络的危害是十分必要的。(4)备份与灾难恢复。数据库备份的内容如下：电力历史、关口电力历史、关口电能量、负荷预测、上报电量、关口计划及考核、频率、AGC高级应用软件运行统计数据等。数[1][2]下一页安防之家专注于各种家居的安防,监控,防盗,安防监控,安防器材,安防设备的新闻资讯和O2O电商导购服务，敬请登陆安防之家：http://anfang.jc68.com/