監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全策略實(shí)踐文檔_第1頁(yè)
監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全策略實(shí)踐文檔_第2頁(yè)
監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全策略實(shí)踐文檔_第3頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、監(jiān)控信息系統(tǒng)網(wǎng)絡(luò)安全策略實(shí)踐發(fā)表時(shí)間:2006-4-30作者:馬昂摘要:火電廠廠級(jí)監(jiān)控信息系統(tǒng)(sis)在火電廠中己經(jīng)得到了普遍的推廣,對(duì)于江蘇徐州發(fā)電有限公司(以 下簡(jiǎn)稱公司)這樣己經(jīng)運(yùn)營(yíng)多年的老廠而言,sis的應(yīng)用有其特殊性,怎樣利用現(xiàn)有網(wǎng)絡(luò)和技術(shù)開展sis 項(xiàng)日,sis與分散控制系統(tǒng)(dcs)、sis與管理信息系統(tǒng)(mis)z間的安全隔離怎樣實(shí)現(xiàn),都是在項(xiàng)日實(shí) 施中必須考慮的問(wèn)題1。一、sis的安全要求sis是集計(jì)算機(jī)、熱能動(dòng)力、電氣、自動(dòng)化等多學(xué)科交叉、專業(yè)性強(qiáng)的計(jì)算機(jī)應(yīng)用系統(tǒng),它建立企 業(yè)生產(chǎn)過(guò)程實(shí)時(shí)數(shù)據(jù)和丿力史數(shù)據(jù)庫(kù)平臺(tái),實(shí)現(xiàn)整個(gè)企業(yè)范圍內(nèi)的信息共享;以安全、經(jīng)濟(jì)運(yùn)行和提高發(fā) 電金

2、業(yè)整體效益為日標(biāo),支持金業(yè)生產(chǎn)過(guò)程綜合優(yōu)化服務(wù);同時(shí)為企業(yè)管理層的決策提供真實(shí)可靠的運(yùn) 行數(shù)據(jù)和科學(xué)、準(zhǔn)確的經(jīng)濟(jì)抬標(biāo)。sis作為dcs與misz間的橋接,為了確保生產(chǎn)的安全,必須隔離dcs 和mis網(wǎng)絡(luò)間兩類不同特性信息的傳輸。要防止黑客攻擊、非法訪問(wèn)、病毒爆發(fā)從mis網(wǎng)絡(luò)通過(guò)sis傳 輸?shù)絛cs,從而影響生產(chǎn)的正常運(yùn)行,因此,sis與dcs. sis與mis之間的網(wǎng)絡(luò)安全隔離都十分重要1。二、sis安全隔離方案及存在的問(wèn)題2.1安全隔離方案1sis和mis共用同一網(wǎng)絡(luò),系統(tǒng)z間采用防火墻等安全措施進(jìn)行隔離,其優(yōu)點(diǎn)是方便sis各種應(yīng)用 軟件從mis網(wǎng)上獲取數(shù)據(jù),并可滿足mis網(wǎng)上用戶訪問(wèn)實(shí)時(shí)數(shù)

3、據(jù)庫(kù)的需要。2. 2安全隔離方案2sis和mis分別采用獨(dú)立的網(wǎng)絡(luò),兩者z間通過(guò)sis和mis各自的數(shù)據(jù)服務(wù)器z間互聯(lián)和交換信息。 sis與mis網(wǎng)絡(luò)的中間采用物理隔離設(shè)備進(jìn)行連接,優(yōu)點(diǎn)是sis網(wǎng)絡(luò)上的應(yīng)用只需與實(shí)時(shí)/丿力史數(shù)據(jù)服務(wù) 器聯(lián)系,而mis的應(yīng)用只需與mis關(guān)系數(shù)據(jù)服務(wù)器通信,從而減少了通信的復(fù)雜性,提窩了 2個(gè)網(wǎng)絡(luò)的 獨(dú)立性和可靠性。2.3存在的問(wèn)題方案1中,因?yàn)閙is網(wǎng)絡(luò)的安全性低于電力sis,共用網(wǎng)絡(luò)顯然降低了 sis網(wǎng)絡(luò)的安全性,進(jìn)而可 能會(huì)影響到dcs的安全;方案2中sis與mis的獨(dú)立組網(wǎng)雖提高了可靠性,但在mis網(wǎng)絡(luò)與sis網(wǎng)絡(luò)之 間采用的物理隔離網(wǎng)閘設(shè)備存在網(wǎng)絡(luò)性能損

4、失,這是由物理隔離網(wǎng)閘設(shè)備的工作特性(擺渡)所決定,在 數(shù)據(jù)讀取的速度上有一定限制。對(duì)于己經(jīng)在生產(chǎn)運(yùn)營(yíng)的電廠而言,建設(shè)獨(dú)立sis網(wǎng)絡(luò),投入資金較大, 施工閑難。方案1、2中,dcs、sis、mis網(wǎng)絡(luò)都采用tcp/ip協(xié)議的以太網(wǎng),雖在sis與mis之間做了安全隔 離,并未強(qiáng)調(diào)sis與dcs的隔離,但許多項(xiàng)日僅在接口機(jī)匕采用雙網(wǎng)卡的簡(jiǎn)單隔離措施,給控制系統(tǒng)網(wǎng) 絡(luò)制造了一定的安全隱患。三、sis網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)公司sis結(jié)合實(shí)際情況,采取具有自己特色的安全隔離方法,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖1。db2itk四、sis安全隔離措施4.1 sis與dcs的安全隔離考慮dcs的安全與數(shù)據(jù)采集的實(shí)時(shí)性、完整性的保證,

5、采用了 apacs+標(biāo)準(zhǔn)接口方案,dcs接口軟件 從dcs監(jiān)控軟件a imax實(shí)時(shí)數(shù)據(jù)庫(kù)獲取全部數(shù)據(jù),以高速串行通信的方式將數(shù)據(jù)發(fā)送到數(shù)采站。使用串 口通信的可靠性要絕對(duì)高于以太網(wǎng)傳輸,串口通信程序決定了串口通信的單向性,sis網(wǎng)絡(luò)無(wú)法向dcs 發(fā)送除數(shù)據(jù)采集請(qǐng)求以外的數(shù)據(jù),保證了 dcs的安全性。據(jù)現(xiàn)場(chǎng)測(cè)試結(jié)果,從sis的數(shù)據(jù)采集站到距離鮫遠(yuǎn)的現(xiàn)場(chǎng)dcs的傳輸速率可達(dá)到460. 8kbit/s,實(shí) 際應(yīng)用中采用230. 4kbit/s就可滿足數(shù)據(jù)的實(shí)時(shí)采集,全部數(shù)據(jù)更新時(shí)間小于等于2s,部分重要數(shù)據(jù)更 新時(shí)間小于等于1so4.2 sis與mis的安全隔離公司的sis采用自主開發(fā)的基于xml體

6、系結(jié)構(gòu),因使用xml和web傳輸技術(shù),web service較易穿 透防火墻,并被各種智能設(shè)備調(diào)用,使防火墻方案具備了設(shè)置非常嚴(yán)厲的安全策略的技術(shù)條件。當(dāng)用戶 對(duì)sis進(jìn)行一般訪問(wèn)時(shí),用戶面面上的數(shù)據(jù)實(shí)時(shí)刷新并不是由用戶直接從sis中的實(shí)時(shí)數(shù)據(jù)庫(kù)取得數(shù)據(jù), 而由web service服務(wù)器從數(shù)據(jù)庫(kù)中取得數(shù)據(jù),處理后通過(guò)防火墻發(fā)送給用戶,因?yàn)閤ml技術(shù)與web傳 輸技術(shù)的應(yīng)用,數(shù)據(jù)傳輸只需婆通過(guò)簡(jiǎn)單的80端口 (http端口)來(lái)完成。性能計(jì)算及經(jīng)濟(jì)成本分析采用后臺(tái)計(jì)算方式,后臺(tái)計(jì)算需要mis網(wǎng)絡(luò)上db2數(shù)據(jù)庫(kù)屮的財(cái)務(wù)、煤質(zhì) 等數(shù)據(jù),需要使用db2通信的10000和10001端口。sis在整個(gè)的應(yīng)

7、用中,網(wǎng)絡(luò)傳輸上只簡(jiǎn)單使用到了 http和db2的3個(gè)端口,網(wǎng)絡(luò)應(yīng)用的簡(jiǎn)單化捉高了安全防范可靠性。只婆在防火墻的訪問(wèn)控制列表(acl) 上加以控制,就可拒絕mis中所冇不需婆使用的服務(wù)和訪問(wèn),關(guān)閉端口,不ih其通過(guò)防火墻侵入sis。 acl的規(guī)則設(shè)置中,允許mis用戶訪問(wèn)主機(jī)web service的80端口;允許sis的后臺(tái)性能計(jì)算服務(wù)器訪 問(wèn)mis網(wǎng)絡(luò)的db2數(shù)據(jù)庫(kù)的10000和10001端口。其余訪問(wèn)包括icmp包(ping)在內(nèi)的訪問(wèn)全部拒絕, 然后將acl加載在防火墻的內(nèi)外以太網(wǎng)口上。這樣,除了正常sis應(yīng)用使用到的數(shù)據(jù)外,其余罪法的網(wǎng) 絡(luò)訪問(wèn)、攻擊被防火墻全部過(guò)濾掉,保證了 sis與

8、mis的安全隔離。4.3 sis的安全特點(diǎn)和病毒防護(hù)從以上的隔離措施可看出,公司的sis網(wǎng)絡(luò)是一個(gè)sis服務(wù)網(wǎng)絡(luò),這樣的應(yīng)用在安全上冇很大優(yōu)勢(shì), 因?yàn)椴](méi)冇用戶計(jì)算機(jī)直接連接在sis網(wǎng)絡(luò)中的接入,很大程度上杜絕了直接的sis用戶對(duì)sis網(wǎng)絡(luò)的 安全隱患;同時(shí)sis網(wǎng)絡(luò)上的服務(wù)器都安裝了 symantec防病毒軟件,病毒定義采用于工更新的方法, 符合了 sis安全規(guī)范中對(duì)病毒防護(hù)的耍求。4.4 sis的安全測(cè)試在sis項(xiàng)目的鑒定中,鑒定專家組首先使用windows操作系統(tǒng)h帶的網(wǎng)絡(luò)測(cè)試命令ping及tracert 等指令去訪問(wèn)web service服務(wù)器,均不可達(dá);而后使用languard network scanner等一些網(wǎng)絡(luò)測(cè)試 工具,網(wǎng)絡(luò)端口掃描軟件,黑客攻擊模仿軟件去訪問(wèn)利探測(cè)防火墻后的服務(wù)器,除在訪問(wèn)控制列表中允 許通過(guò)特定主機(jī)的特定端口的訪問(wèn)可通過(guò),其他端口的信息全部不可通過(guò),證明包括icmp包(ping)在 內(nèi)的數(shù)據(jù)包均無(wú)法從mis網(wǎng)絡(luò)穿透防火墻訪問(wèn)到sis網(wǎng)絡(luò),病毒與一些攻擊掃描無(wú)法通過(guò)防火墻從mis 網(wǎng)絡(luò)侵入sis網(wǎng)絡(luò)。五、結(jié)束語(yǔ)公司采用的sis與dcs及sis與mis的隔離方法符合sis網(wǎng)絡(luò)安全規(guī)范,冇相對(duì)獨(dú)立的sis與mis 網(wǎng)絡(luò),并充分利用了現(xiàn)冇的網(wǎng)絡(luò)資源,避免

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論