电厂网络安全实施方案
电厂网络安全实施方案范文第1篇
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、IDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。IDC业务区主要是各业务应用服务器设备所在区域,如企业门户、OA系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/PDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的IP地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得IP地址才能上局域网,并通过PKI系统对用户访问企业门户、OA系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLAN),并使其在局域网内隔离,限制其他VLAN成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(VPN)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台VPN设备,并设置访问条件和身份认证授权策略,如通过PKI系统进行身份认证和访问授权后才能访问电厂企业门户系统、OA系统等。使用虚拟专网(VPN)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语
电厂网络安全实施方案范文第2篇
关键词 双网;物理隔离;一线两联
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)81-0227-02
0 引言
宁夏马莲台发电厂上外网用户安全意识淡薄,随便乱点网站、下载安装,用户漏洞补丁未升级、杀毒软件未及时更新。造成局域网络ARP欺骗、网络木马攻击、网段之间不能访问连通,严重威胁企业的网络安全。按照国家信息网络等级保护相关要求,企业内外网要实现物理隔离的保护措施。所谓物理隔离,是指内部网不得直接或间接地连接公共网即国际互联网。目前可以利用防火墙、服务器、入侵监测等技术手段来抵御来自互联网的非法入侵,但至今这些技术手段都还存在许多漏洞,还不能彻底保证内网信息的绝对安全,只有使内部网和公共网实现物理隔离,才能真正使内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为企业内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理和维护。
1 某企业通信网络现状
宁夏马莲台发电厂通信网络均采用主干道冗余光纤、超五类双绞线连接到用户终端。随着内外网物理隔离需求,电厂规模的不断扩大,通信需求迅速增加,以及MIS、SIS两大系统的融合扩充,使得原有单根网线的通信网络不能满足用户需求,无法承担更加丰富强大的网络运行,对宁夏马莲台发电厂现有通讯网络实施改造刻不容缓。
2 物理隔离工作实施
我们积极开拓思路,研究可行办法,利用通信网络自身特点,本着不影响原有网络可靠
性和实用性的前提下,为了有效扩充网络通信容量,更好、更有效、安全的实现内外网络的隔离,保障我厂网络通信可靠运行。同时为节约经济成本、保持办公室内外美观整洁。通过对现有网络充分的调查分析,结合通信网络的自身特点,设计几套方案并从中选择了最优方案,实行内外网物理改造工作。其目的达到与我厂内部局域网和Internet分离。
2.1内外网分离
外网网络:购置新外网核心和二级交换机,利用原有备用光纤通道,组建与互联网相连接的外网网络。外网用户通过外网网线连接,通过统一接口访问互联网。
内部局域网:延用以前局域网服务器和数据库,配置进行其改动,与外网实现物理上的隔离。内网用户通过内网线路访问内网信息服务。
2.2 采用原有网线、电话线
在建厂之初,所有生产办公楼的通信、网络线路,都根据设计要求进行了线路布放,布放的通信、网络线路,均采用超五类网线,但没有冗余。在每个信息面板上,均设计了电话接口和网络接口各一个。
如图所示:
注:每个面板的左边是电话接口,右边是网络接口
如图所示:
超五类网线通信特性
原有的网络通信构成,使得每个面板只能接一部电话和一种网络(通过ip地址限制),这样的结构和布局给电厂内网、外网隔离工作造成影响。按照对内外网物理隔离的标准要求,将要进行重新布线工作,为每个电脑终端重新布放连接内网的网线,这样将给内外网隔离工作带来很大的难度。同时,由于楼宇建设及线路铺设都已经完成,重新布线工程非常浩大,严重影响楼内设施美观,并且也将花费高昂的工程费用。
我们根据超五类网线自身通信特点采用“一线两联,实现内外分离”的改造方法。即减少工作量、降低改造成本又达到了内外网分离的改造目的。
目前超五类网线内部含有8芯铜芯线,在网络通信中,通常采用其中的4芯作为主要信号传输线缆,其余4芯作为信号干扰屏蔽及辅助传导,在正常通信中,并没有真正的信号传输。正是利用网络通信的这个辅助特点,我们设计将现有铺设的两根超五类网线(一根做语音电话通信,一根做网络通信),进行区分隔离,利用其中一根的4芯线缆作为内网网络通信的传输介质,另外4芯作为语音通信使用,形成语音电话、内网、外网的隔离。这样的设计大大降低了因重新铺设网络所花费各种费用及精简了工程作业,同时非常完美的满足了我们在网络隔离上的物理区分要求。
如图:
分离电话侧线路
2.3 用户终端实现双硬盘隔离
所需的软硬件:双硬盘、数据线、隔离卡、 隔离卡软件。(终端设置在睡眠状态下)
数据线通过主板连接到隔离卡,隔离卡再连接到内外网硬盘,每个硬盘独立系统。分别在两个系统安装隔离卡软件,进行内外网实时或重启切换。
3内外网物理隔离改造后经济效益
避免了因为重新布线而导致施工工程扩大、花费增加、劳动成本上升的问题,并且有效的确保了办公楼内的设施完好及美观整洁,为我厂有效节约了经济成本和劳动成本,大幅提高了工作效率,为企业网络双网改造提供了很好的案例。
4 结论
宁夏马莲台发电厂自2011年初实施内外网物理隔离以来,局域网各网段之间均未出现以前不能连接及访问现象,网速也随之相应加快。再加上宁夏马莲台发电厂去年下半年对外网进行提速措施,一致得到领导职工好评,我们信息室工作量随之减少了。我们信息室将继续一如既往为我厂生产和经营服务,加强通讯网络设备维护,保证通讯网络畅通,提高信息网络的安全。
参考文献
[1]万平国.网络隔离与网闸.计算机安全,2004.
电厂网络安全实施方案范文第3篇
关键词:李家峡水电站 计算机监控系统 改造
1、计算机监控系统改造的背景
李家峡水电站计算机监控系统于1996年正式投运,受当时国际上计算机发展水平的限制,现有工作站的配置,无论是主频、内存,还是硬盘容量等各方面指标,都与现代水电厂对计算机监控系统所要求的高速度、大容量、智能化的标准不相符,且无法完全满足电网调度部门及上级集控部门对电站实现“四遥”功能及集控功能的要求;电站于2008年立项,开始对监控系统进行系统升级改造,2010年11月完成改造并通过初步验收。
2、改造后的系统结构
2.1 总体结构
改造后系统应采用全分布开放式结构,共分为两层:厂站主控层以及现地控制单元层。两层之间采用双100MB快速以太网总线,构成高可靠冗余的网络结构。网络通讯采用高可靠的网络交换机进行连接,具有较高的传输速率和良好的抗电磁干扰能力。
2.2 网络结构
网络设备包括交换机、光纤、光纤收发器等。LAN网为100Mbps以太网系统,采用光纤作为通信介质,数据交换设备采用快速以太网交换机,计算机监控系统所有设备都连接到LAN网上。
3、系统及操作功能
3.1 系统层次
3.1.1 系统层次
厂站层系统设备包括:数据服务器、操作员工作站、工程师工作站、通讯服务器、打印服务器、语音报警/ON-CALL系统工作站等设备。
3.1.2系统控制调节方式
李家峡水电站计算机监控系统调控方式包括厂站调控方式/集控中心调控方式/西北网调控方式。
电站控制方式设有“电站AGC控制/一次调频控制/集控中心控制/西北网调控制”功能投退软开关,每台机组设有“单机AGC方式(单机成组)/单机一次调频/单机集控/单机网控”软切换开关。
3.2厂站层功能
(1)数据采集和处理功能:包括各种实时数据采集处理、数据综合处理和测点数值及状态的人工设定等功能;(2)安全监视及事件报警功能:包括全厂运行实时监视、参数越复限报警记录、事故顺序记录、故障及状态显示记录、事故追忆、趋势记录分析等功能;(3)电厂运行指导功能:包括控制操作过程监视、电站一次设备操作指导、厂用电系统操作指导、事故和故障处理指导、报警等功能;(4)监控系统异常监视功能;(5)对电站主辅设备的控制与调节功能;(6)自动发电控制(AGC);(7)自动电压控制(AVC);(8)输电线路功率监视与限制功能;(9)统计记录及生产管理功能:包括发电运行记录、主要电气设备动作及运行记录、操作记录、定值变更记录、事故和故障统计记录、参数越复限统计记录、运行日志及统计报表打印等功能;(10)系统通信功能:包括监控系统内部计算机之间的数据通信、电站与上级调度部门的通信、监控系统与其它计算机系统的通信等功能;(11)自诊断及冗余切换功能;(12)软件开发及维护功能;(13)数据库功能:数据库包括:实时数据库、计算数据路、图形数据库、报表数据库、历史数据库、统计数据库、汉字库、图形符号库等,并支持快速存取和实时处理、支持数据库建立及在/离线修改等功能;(14)远程诊断与维护功能;(15)培训功能:包括操作训练;监控系统开发、维护、管理培训、控制调节的离线调试等功能;(16)人机联系:包括人机联系功能、屏幕划分、画面调用方式、画面与信息显示、信息的表达方式、点参数表等;(17)模拟光字牌、事故画面拷贝记录等功能;(18)系统运行方式与系统控制权设计;(19)经济运行;(20)系统时钟管理;(21)系统权限管理;(22)支持监控Web浏览功能,支持远程实时画面浏览。配置Web服务器,通过物理隔离装置,与系统局域网进行网络互连、访问数据。
3.3 现地控制单元层(LCU)
每台LCU均是一套完整的计算机控制系统。与系统联网时,作为监控系统的一部分,实现系统指定的功能。而当LCU与系统脱离时,则能独立运行,实现LCU的现地监控功能,并确保被控设备的安全稳定运行。
(1)机组现地控制单元功能
机组现地/远方控制方式的切换操作;机组开机顺序控制; 机组停机顺序控制;机组事故停机及紧急停机控制;机组辅助设备的控制;发电机出口断路器的分/合操作;机组有功功率调节;机组无功功率/电压调节;各种整定值和限值的设定;机组的自动/手动准同期并网操作;机组进水口闸门控制。
(2)开关站现地控制功能
开关站现地/远方控制方式的切换操作;开关站各断路器的分/合操作;开关站各隔离开关的分/合操作;开关站各接地开关的分/合操作;开关站各断路器的自动准同期合闸操作。
(3)厂用及公用系统现地控制单元具备的具体功能
厂用及公用系统LCU的现地/远方控制方式的切换操作;厂用电各电压等级系统各断路器的分/合操作;厂用电各种运行方式的确定及备用电源自动投入。
4、系统改造工程实施
系统改造工程分为两期工程,第一期工程改造设备包括:全厂上位机系统、公用及厂用电LCU、开关站LCU、线路测量盘、母线及主变测量盘、6KV厂用测量盘、6KV远程I/O盘及坝上6KV备自投盘等。第二期工程改造设备包括:四台机组LCU现地控制盘、330KV PT切换盘等。该工程施工工期为2008年6月10日至2010年11月05日,工程按期完工。
5、成功经验的推广
电厂网络安全实施方案范文第4篇
2010 年 10 月份, “超级工厂” 网络病毒在包括我国在内的多个国家肆虐,超过 45000 个工厂网络被“超级工厂”病毒感染。以伊朗为例,超过 60% 的电脑受到干扰,造成了极大的经济损失和信息危机。与传统的 “蠕虫”和 “木马”网络病毒不同,“超级工厂”病毒攻击的不仅仅是抽象的 IT 系统,它不以搜集个人信息为目的,其目标就是真正的工厂,通过对 PLC 重新编程,隐藏程序员和用户的参数设置和命令,从而达到袭击工厂关键设备和生产环节的目的。“超级工厂”病毒的出现使人们对于工厂的网络安全有了新的认识: 网络病毒不再只是导致计算机操作系统异常那么简单,而是实实在在地威胁到了工厂的控制系统内部实质。造纸厂集散控制系统 ( DCS) 系统[1]的核心架构离不开网络体系: 主控制器和分布式 IO 站点之间通过现场总线进行数据读写和诊断; 服务器通过系统总线与主控制器通信; 各种操作站,包括 web 服务器等,通过终端总线从服务器上获取数据。工厂规模越大、自动化程度越高,DCS 系统的网络规模也就会越大,复杂程度也会越高。如果还存在 MES/ERP 系统,那么整个 DCS 网络还和办公室网络、甚至 Inter-net ( 因特网) 直接链接。此外,如何还需要和成套设备的控制系统通信,DCS 系统还需要开放 OPC 等通信方式,甚至在某些特性情况下,主控制器都可能被第三方子系统访问。由于系统配置的缺陷,操作员日志缺失或者不完善,导致各种匿名访问和操作变得不可追溯。管理上的疏忽,导致未经许可的个人电脑、移动存储设备、Internet 连接接口等轻易接入到生产网络中的交换机设备上,导致各种病毒、木马程序泛滥,严重者将直接导致整个 DCS 系统崩溃。随着系统的自动化程度不断提高[2-3],由于安全配置和系统的缺失、管理制度上的不重视都将会使整个 DCS 系统置于一个危险的境地。本文以西门子PCS7 的典型配置为例,探求相关的网络安全解决方案。
2造纸厂典型 DCS 网络系统结构
2.1系统结构
在浙江宁波某造纸厂的 PCS7 系统中,采用的是典型网络架构,如图 1 所示。从图 1 可看出,造纸车间子网 ( 图 1 左侧) 和制浆车间子网 ( 图 1 右侧) 是两个相对独立的控制网络,每个网络中有独立的冗余服务器,各自的系统总线 ( 服务器和控制器之间的总线) 也是完全隔离的。两个车间都分别配置了一个工程师站,负责各自的程序管理和故障诊断。在终端总线 ( 服务器和客户端操作站之间的总线) 上,各个车间的操作站都是对应其所在车间的服务器,从服务器上获得画面和数据。但这两个车间的终端总线是连接在一起的。由于存在远程操作的需求,项目中配置了一个 Web 服务器,同时从两个车间的服务器上获取数据并到网络上。通过 Inter-net 的网络用户使用 IE 浏览器和相应的插件即可和本地操作站一样打开控制画面,如果权限分配合适,还可以进行相应的操作。为了使用的方便性,在工厂的办公室网络中还存在几台临时性的操作站。如有需要可以接入到系统总线上查看 CPU 的实时运行数据,也可以直接接在终端总线上和服务器、客户端操作站进行通信。在这个典型的网络配置中,外部 Internet、内部办公室网络都可以和控制系统网络进行数据交换。同样地,各种病毒、木马软件等也完全可以威胁到控制网络。所以,有针对性地分析不同网络的安全特点,就可以更好地采取相应的处理措施。
2.2控制网络的安全分析
在典型的 PCS7 网络体系中,控制网络主要由系统总线和终端总线两部分组成。系统总线中的通信设备包括工程师站、OS 服务器和控制器,它们之间的通信内容主要包括如下几个方面:( 1) OS 服务器和控制器之间这部分的通信主要是周期性数据请求和应答,画面上 WinCC 变量的更新和归档变量的读取属于这种通信方式,此外还存在少量的控制器上传报警信息、资产管理系统读取仪表的诊断信息等非周期性内容。( 2) 控制器和控制器之间一般控制器之间是不会有数据交换的,如果组态了通信,那都是基于链接的,数据量不大,而且都是周期性的。( 3) 工程师站和控制器之间在偶尔硬件诊断、程序更新时工程师站会和控制器进行数据交换,在正常运行时,这部分通信很少,而且和 DCS 系统正常运行无关。上述的 3 种通信中,共同的特点就是数据量相对较少,而且内容基本都是监控、诊断相关的数据。也就是说,控制网络的主要功用是承担监控层面———例如服务器等———和控制器本身的通信桥梁。所以,可靠性是这个网络最主要的安全配置目标。确保控制网络可靠,就可以让 DCS 系统控制层面一直处于安全可控的状态,避免设备损毁、人员伤亡等恶性事件发生。
2.3办公室网络的安全分析
与控制网络不同,办公室网络节点之间的通信呈现出的特点是数据量大、非周期性。各种私有数据、DCS分析数据等是这个网络的主要数据内容。另一方面,办公室网络都会直接和 Internet 相连,面临的外部攻击、病毒感染更为复杂。如何确保办公室网络中的信息安全是安全配置的重点。
2.4外部 Internet 的安全分析
外部 Internet 是一个完全开放的网络,各种通信形式都存在,对于 DCS 系统而言,完全处于不可控的状态。面对这个情况,限制外部访问是最常见的处理措施。例如以 Web 服务器而言,外部的 Web 客户端都是通过 HTTP 协议来访问 Web 站点的,所以在 Web服务器上只需要开放 HTTP 的 80 端口即可。综上所述,DCS 系统中牵涉到的不同网络有各自不同特点和安全配置重点,如何平衡各个网络的安全防御措施,以及如何优化系统安全架构是讨论的核心内容。
3网络安全措施分析
3.1安全管理体系
全厂 DCS 系统的网络安全,各种配置和相应的安全设备是必需的,但其核心内容是一套行之有效的安全管理体系。据国外统计,导致 DCS 系统崩溃的原因之中,硬件故障排在首位,而由于安全原因导致的崩溃也占了近三成。这些因为安全原因导致 DCS 系统不可用的实例在我国也很常见,如使用感染有病毒的 U 盘、安装来历不明的软件、未经许可地将个人电脑接入控制系统网络等是最为常见的威胁来源。为了控制和避免这方面的安全隐患,采取相应的技术手段是必要的。例如禁用计算机的 USB 接口,网络交换机柜上锁,计算机用户权限限制等。但这是远远不够的,所有的技术方案如果没有相应管理上的流程来保障,在面对威胁时同样形同虚设。国内有一石化公司,投入巨资建立了全厂的安全系统,但没有具体的管理体系。在一次技术升级过程中,第三方光纤供应商直接使用自己的笔记本电脑接入到了控制网络来测试光纤是否工作正常,结果导致服务器感染病毒死机,造成了巨大的损失。如果该工厂有相应的管理流程,让光纤供应商的笔记本电脑在接入网络之前要进行相关的检测,或者在升级过程中采用将可能的危险区域从这个控制网络中隔离出来等措施,就会避免网络病毒的感染。所以,在 DCS 网络安全系统建立过程中,首先需要建立的就是自上而下的安全管理规章流程和相应的应急处理预案。只有这样,后续的安全解决方案才能有制度上的保障。
3.2病毒防护和软件管理
对于 PCS 7 系统而言,兼容的反病毒软件有 3 种:Trend Micro OfficeScan、McAfee 和 Symantec。只有兼容的杀毒软件才能在 DCS 系统中使用,其他的杀毒软件,例如瑞星等可能会将正常的软件程序删除。防病毒软件需要及时更新病毒库。更新病毒库有单机方式和病毒服务器方式这两种方式。( 1) 单机方式从反病毒软件网站上获取相应的离线病毒库升级包,然后临时开放各个计算机的 USB 接口,将升级包拷贝到计算机上安装,或者通过网络分发到各个计算机上,然后执行升级。这个方式操作起来较为繁琐,而且安全上的风险较大。但相对成本和技术难度而言都比较有优势。( 2) 病毒服务器在 DCS 系统中配置 1 台病毒服务器,该服务器连接到 Internet,并从指定的病毒库升级网站上下载更新包。根据配置,对网络中各个反病毒软件客户端进行自动升级。这种方式需要配合防火墙使用,技术难度稍大,但病毒库升级都是自动执行,无需人为干预。与反病毒软件一样,计算机操作系统和其他相关软件也需要保持更新。在 PCS 7 中,操作系统的 Se-curity Package 和 Critical Package 是可用的,所以也可以采用单机或者升级服务器的方式来安装这些更新包。通过微软的 WSUS ( Windows Server Update Serv-ices) 软件可以在系统中搭建一个升级服务。
3.3防火墙配置
在宁波某造纸厂的网络配置中,Web 服务器是需要与 Internet 连接的。如果再配置了 WSUS 和病毒服务器,那么整个系统中至少存在 3 个通往外部的接口。再考虑到办公室网络,面向 Internet 的将是一个规模不小的 LAN。将整个工厂网络和 Internet 隔离是一个不错的选择,即将包括 Web 服务器和办公室网络在内的所有DCS 系统相关网络都通过防火墙与 Internet 断开。分析 Web 服务器和病毒服务器,其对 Internet 的访问进程是明确的,开放端口也是确定的,所以采用端口限制的防火墙规则可以起到一定的防御作用,但面对诸如 “端口复用”技术手段来实现的病毒突破则是无能为力的。同样的情况也出现在办公室网络中,不明确的访问需求和端口导致这种限制端口的手段更是无从谈起。更为严重的是,WinCC 的服务器和客户端通信,例如 Web 服务器和 OS 服务器之间的通信,其端口是变化的。所以要确保通信正常 Web 服务器对 OS 服务器要开放所有的端口,这就意味着任何突破了 Web 服务器的威胁都必将直接影响到 OS 服务器。基于此,当前网络安全领域通常的处理措施就是 “纵深防御 ( De-fense-in-Depth) ”, 即采用多种不同的方法,对目标实施层层防护,尽可能多地为攻击者 ( 黑客,恶意软件,破坏者等) 造成多重障碍。任何一种单一的防御手段都不足以保证目标的安全,而 “纵深防御” 体系中,即使外部的攻击者能够突破一种或者几种防御屏障,也很难突破所有的屏障并最终抵达防御的目标。采用防火墙搭建的 “纵深防御”结构如图 2 所示。从图 2 看出,在这个系统结构中,包括 OS 服务器/客户端/工程师站在内的控制网络都在防火墙的保护之下,而 Web 服务器等在一个 DMZ区域中,其他的办公室网络和 Web 客户端等和 Internet 一样在防火墙之外。这种配置方案中,即使 DMZ 区域因为受到病毒攻击而崩溃,控制网络依旧可以正常运行。完成这样的一个配置,在 PCS7 专用的 SecureGuide 防火墙中只需要简单的几个向导即可完成。
电厂网络安全实施方案范文第5篇
关键词:网络方案石化企业
随着科技的迅猛发展,石化企业越来越广泛地采用信息技术,使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施,其目标是建设一个先进、可靠、安全的信息通信平台,支持数据、话音和图像交换,实现传真、图片和电视会议等多种通信业务,覆盖所有网络应用,并具有完备的网络管理系统,能为用户建立面向未来的信息高速公路。
一石化企业网络建设目标
1.石化企业流程特点
石化以原油和天然气为主要原料,生产出燃料、油、石蜡等产品,满足社会需要,同时谋求企业最大经济效益。其流程是连续生产,规模宏大,由许多内部复杂关联的单元操作模块组成,单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。
2.石化企业数据分类
石化企业网上数据,总体上包括:工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据,实时性很强,要求较高通信速率,一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率,才能保证良好的画面效果。
3.光缆覆盖企业全部区域
到目前为止,石化企业的计算机应用,一般都走过了起步、探索和发展3个阶段,经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案,光缆敷设一定要覆盖企业全部区域,才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用,使企业管理模式有一个较大变革。
4.完成生产和管理各项服务职能
石化企业网络建设目的,是搭建信息应用平台,为生产和管理构造一个适应竞争发展的模式,最大限度提高经济效益。在这个宏观思想指导下,所建立起来的网络系统须能支持完成生产和管理各项服务职能,如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。
5.满足企业CIMS和ERP建设需要
网络系统是石化企业信息化建设的重要基础设施,应从企业全局出发,建成一个高起点、有水平、方便使用和管理、易于升级的网络系统,以期满足企业CIMS和ERP建设需要。其建设原则应定位在:统筹规划,分步实施;集中建设,分级管理;共同开发,资源共享;不断优化,滚动发展。
二石化企业网络建设方案
1.网络设计原则
由于网络技术发展十分迅速,产品更新换代日趋缩短,所以方案设计时须采用先进、成熟技术,确保网络结构、设备和软件具有较长生命周期,保护用户投资。同时,要兼顾产品性价比,以适应石化企业信息应用发展需要。网络应充分设计的重要因素:(1)网络实施可行性;(2)性能优异性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
2.主干网类型
主干网连接各部门局域网网段,连接企业级服务器及各种远程网络设备,负责处理网间数据量传输,是石化企业全网数据交换枢纽。为此,要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性,同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理,有利于网络分段(分组)、性能优化和安全控制,同时还要考虑原有网络基础设施的充分利用,方便日常维护。目前,石化企业主干网的选型,多以ATM和星型结构的千兆快速以太网为主流。
3.网络模型确定
网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上,网络设备、网段的连接方式。就石化企业来说,分公司和下属二级生产企业的信息点总和约几千点,大体可分成3层:第一层为核心层,位于分公司计算机中心机房;第二层为中心层,位于下属二级企业计算机中心机房;第三层为接入层,包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽,应具有高性能、高可靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心,应具有较强数据交换能力,支持3层交换,基本解决二级企业路由,使二级企业信息管理相对独立,同时减少了分公司核心交换机数据处理压力。接入层为最终用户,是10/100M交换式以太网端口到桌面。
二级企业网络又可分成多级节点拓扑结构:其计算中心为中心节点;1000M主干抵达地为一级节点;企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点;非独立组网的机关处室、仪表室和车间下属各组为三级节点。节点选择原则有3条:重要程度、地理位置、所管理工作站数量。
对石化企业来说,生产管理的一个十分显著特点,是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网,应通过单设的工控机实现,目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换,在软件上通过DDE或OPC实现。
4.网络拓扑结构
地区石化企业网络拓扑结构一般分为两层:分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台;组建连接下属各分厂的网络管控中心;负责和中石油、Internet对外的统一接口。而下属分厂层,作为分公司整体网络组成部分,则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。
5.网络设备选型
网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则,是依据石化企业网络拓扑结构要求,参照其功能、性能、容量和价格等综合因素而确定。
在这一网络设备选择原则的指导下,建议选用主流网络设备厂家Cisco和3COM公司产品,因其都拥有全线网络产品,性价比良好,有着强大技术支持和售后服务能力,并对网络扩展和升级不存在后顾之忧,不仅能使石化企业有效解决网络应用问题,且可降低维护成本,提升企业管理水平。以选用Cisco网络产品为例:分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506);二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006),一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948),二级和三级节点可采用Cisco2950等网络设备。
6.网络服务器选择
服务器的选择对一个网络系统来说至关重要,它应具有较强稳定性、可靠性、保密性和安全性,同时方便操作和维护,充分考虑系统的扩充和发展。一般来说,系统主服务器可采用档次较高的SUN服务器,其他如生产(实时)数据服务器、Domino(办公自动化)服务器、服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用,通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。
7.域名的划分
传统域名的划分采用WindowsNT中WINS和DNS相结合的方式,为系统每台设备都设置域名,不仅增加网络广播信息流量,加重网络负担,降低网络性能,且不利于域名系统的维护。现在修正如下:(1)按照分公司规定域名划分方法进行厂级域名规划;(2)取消WINS系统;(3)不对分厂级以下的系统进行域名设置。
8.IP地址的分配
IP地址的划分采用分公司分配的IP地址段,分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源,其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分,必须在对网络进行全面调研的基础上,根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。
9.与Internet连接
随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源,更好服务于生产经营,以获得更大利润,现已变得越来越迫切,访问Internet事实上已成为石化企业网络功能的重要组成部分。与Internet连接,是由接入路由器、防火墙和入侵监测设备组成。为统一管理,Internet对外出口应设在分公司,由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业,它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等,也统一纳入分公司管理之下,由其信息中心来控制具体实施。如有必要,下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。
10.网络管理软件
网络管理是确保网络正常工作的重要手段,它决定某一特定段信息量,管理一个应用应怎样使用客户内存,以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView,能出色地承担起网络管理职能;3COM公司Transcend网管软件,也可为该公司的互连设备提供动态网络配置信息和运行状态信息,具有强有力的监视功能。
11.防火墙和防病毒
确保网络安全的基本方法是采用防火墙。简单讲,防火墙是用来控制信息流,通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙:包过滤、网络过滤和应用网关。在确定选择防火墙时,应首先检查环境中可用的信息流控制,主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品,都具有相当好保护性能,用以保护整个网络业务资源。防火墙设置应由分公司统一设置。
计算机病毒给网络应用带来了相当大的威胁,在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中,须根据对病毒流入网络系统根源的分析,制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版),定时对全网络用户查毒杀毒,收到较好效果。
12.数据备份
石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中,网络数据安全性极为重要,一旦被破坏或丢失,将对企业正常运行带来重大影响,甚至造成难以弥补的损失。因此,数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上,适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术,正成为网络数据备份的主流。
三石化企业网络建设环境
1.机房环境设计
版权所有
(1)温度:夏季22℃±2℃,冬季20℃±2℃;(2)湿度:45%~65%;(3)照明:距地面0.8m处>300Lx;(4)噪声:<70db;(5)电磁:≯800A/m。
2.系统供电设计
(1)电压波动范围-5%~+5%,频率变化范围-0.2Hz~+0.2Hz,波形失真率≤±5%;(2)采用UPS,其容量选用设备容量之和的1.5倍。
3.系统防雷击设计
需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。
4.接地设计
(1)交流工作地的接地电阻≯4Ω(2)安全保护地的接地电阻≯4Ω(3)信号地和屏蔽地的接地电阻≯3Ω(4)防雷保护地的接地电阻≯4Ω。
四石化企业网络建设实施
1.符合实际的路由设计
符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作,在大量和反复调研基础上,完成详尽的文档,包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求,结合企业地理环境的具体情况,因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井,然后利用仪表和计量槽盒,最大限度减少地下直接掩埋或架空敷设。
2.采用结构化布线
先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上,以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间,以及厂区内的主干,采用光缆;办公楼以及车间内部,铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上,1000M主干采用单模光纤,其他网段采用多模光纤,为保证网络安全和可靠运行,单模光纤使用6芯(2/3作为备用),多模光纤使用4芯(1/2作为备用)。
3.充分利用原有网络资源版权所有
石化企业的计算机应用工作起步较早,各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案,一定要考虑充分利用原有网络资源。其利用是多方面的,光缆、用户工作站、集线器都可利用,交换机也可降级利用。这不仅仅是资金上的节省,而且也是人们心理上的期望。
4.工程组织和实施
(1)组织管理
项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。
(2)进度安排
设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。
(3)质量管理
(a)项目工程领导小组,负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调;
(b)光缆敷设管理小组,负责光缆敷设,确保工程遵循技术规范、按照进度时间要求完成施工;
(c)网络性能优化管理小组,负责工程竣工前对网络性能测试,并进行优化调试;
(d)网络安全实施管理小组,负责实施网络安全策略,实现防火墙和防病毒的落实,确保网络安全和保密;
(e)文档资料管理小组,负责提供完整和实用的文档资料,以备网络日常的管理和维护。
(4)费用预算
光缆及网络交换设备费用、光缆敷设工程费用、网络管理软硬件费用、网络安全管理软硬件费用、网络防病毒软硬件费用、网络性能测试费用。
(5)技术培训
(6)测试验收
