王英连
国家能源集团鄂尔多斯煤制油公司 内蒙古 鄂尔多斯 017209
摘要:随着发电厂生产规模日益扩大,工作过程中针对计算机信息网络也越来越依赖。随着引入了越来越多的信息技术,这对发电厂信息网络安全管理也提出了更高要求。基于此,为了进一步增强发电厂信息网络安全,文章以如何提高发电厂信息网络安全管理为研究对象,首先对发电厂信息网络安全面临的威胁进行了介绍分析,随后讨论了当下发电厂信息网络安全管理存在的问题,最后结合相应问题,提出了一些针对性解决措施,以供参考。
关键词:发电厂;信息网络;安全管理
前言:如今在互联网信息时代下,很多发电厂抓住机遇,加强各种先进网络信息技术的应用,有效提升了生产效率。但随着发电厂信息系统规模日益增大,面临的网络安全形势也愈发严峻,尤其是当前的黑客技术水平在不断提升,各种黑客攻击技术层出不穷,从而对发电厂重要信息数据带来了严重的威胁,甚至导致发电厂控制系统瘫痪,对发电厂正常生产带来了非常严重的影响。因此需要提高对发电厂信息网络安全管理的重视,采取有效措施,提高信息网络安全管理水平,防止机密信息泄露丢失,避免发电厂遭受重大损失,为发电厂安全稳定生产提高良好保障。
一、发电厂信息网络安全面临的威胁分析
(一)外部网络安全威胁
发电厂信息网络系统并不是一个独立系统,基于自身生产经营需求,一般要与外部单位进行网络连接,便于内外信息资源交互共享。在这一过程中,发电厂信息网络必然会受到外部网络攻击威胁,比较常见的外部网络攻击了包括以下几种,一是“DoS攻击”,这种攻击能够阻止服务器发送服务请求,使得主机或网络无法对外界请求进行及时处理,最终导致网络服务遭受严重的破坏。在具体实施方面,主要包括畸形包、包溢出、分布式拒绝业务等。实现资源消耗、服务终止、物理破坏等,耗尽或损坏一个或多个系统的资源( CPU 周期、内存和磁盘空间),直至网络信息系统无法处理合法的程序,最终造成发电厂网络信息系统瘫痪。二是非授权访问尝试。外部网络攻击者在没有受到相关授权的情况下,针对一些被保护文件,会一直进行读写或执行尝试。在这一过程中,攻击者会在一些软件分析工具的帮助下,获取系统内部各种服务访问权限,然后可以直接登录发电厂内部服务器,开展各种破坏活动的实施。比如在服务器内植入病毒,恶意盗取删除各种重要文件等。除此之外,还会利用盗取的重要文件资料进行敲诈勒索。三是预攻击探测:外部网络攻击者为了获得网络内部的信息,经常会采用预攻击探测的方式进行外部网络攻击,比如可以采用SALAN扫描、IP半扫描方式等达到攻击目的,为发电厂网络信息安全带来非常严重的威胁。
(二)内部网络安全威胁
发电厂为了满足电力生产需求,通过需要在内部建立一个比较复杂的网络,同时在内部网络运转过程中,需要进行很多交叉访问,这进一步加大了发电厂内部网络访问权限难控制的难度,更容易受到网络安全的威胁,如何采取有效手段,隔离非法用户,禁止其与敏感的网络资源接触,已经是发电厂内部网络信息安全保护必须要解决的问题。与此同时,在发电厂内部网络中,由于一些工作人员网络安全防护意识比较差,经常随意采用一些优盘、移动硬盘进行文件的存储复制,或者随意下载一些文件,这为计算机病毒入侵提供了可乘之机,而任何单点发生病毒感染,都会在短时间内,迅速感染发电厂内部网络每一个节点。比如“fun love.4099病毒”便是在短短数天内将某发电厂服务器系统以及个人计算机进行了入侵感染,对发电厂正常生产经营带来了非常严重的影响。当发电厂安全Ⅰ区和安全Ⅱ区之间没有横向隔离时,将会使整个控制系统处于危险中,影响发电厂正常运行。尽管在当下的发电厂中,均建立了专门的服务器防病毒系统,能够有效阻止病毒对内部网络服务器带来的入侵,但很多内部工作人员的计算机并没有进行专业的病毒系统部署,因此仍存在安全信息管理漏洞,需要立足发电厂全局网络,构建立体、多层次的防病毒体系,从而有效防止计算机病毒通过网络蔓延最后入侵到控制系统,给电厂的安全运行带来威胁。
二、发电厂信息网络安全管理存在的问题
(一)网络信息安全观念有待更新
如今随着互联网信息技术的飞速发展,各种新式的病毒以及网络攻击手段层出不穷,大部分电厂相应的网络信息安全战略同样获得了有效提升。但部分发电厂尚未清晰认识到这一点,针对网络信息安全的了解依然停留在过去,缺乏对新产生的网络信息安全问题的深刻认识。如今在计算机逐渐实现“万物互联”后,以往单独局域网也逐渐被广域网所替代,因此也会面临更加严重外部网络安全袭击。与此同时,随着发电厂的不断发展,自身业务内容在不断增加,内部网络同外界接口也在逐渐增多,发电厂网络与外部网络交互越来越频繁,因此自身也会面对越来越多的外部网络攻击压力。也有一部分发电厂虽然意识到了这一问题,开始提高对外部网络防御的重视,并引入了专门的网络安全防护系统,应用了一些网络信息安全保障方式,但缺乏针对性管理防护与治理手段,难以随着网络信息安全要求的提升,不断进行自身网络架构的改变与调整,从而导致自身网络安全信息防护能力较差,难以有效抵御各种网络攻击的入侵,为发电厂安全生产经营带来了非常严重的威胁。
(二)网络安全防护措施不足
在一些发电厂实际生产过程中,一些内部工作人员网络安全观念比较薄弱,在日常工作中,经常会出现以下行为,导致发电厂网络安全遭受严重威胁:一是随意装配与载入没有获得授权的软件;二是共享文档设定比较随意;三是缺乏对来源不明的邮件的警惕,经常直接进行邮件读取。上述这些行为的出现,很容易为发电厂网络信息安全埋下非常严重的隐患,导致发电厂生产机密信息泄露,为电厂生产带来了重大损失。另一方面,很多发电厂信息安全防御能力低下,残留少数隐藏的高危漏洞,因此一旦被黑客发现,很容易受到严重的网络攻击。不仅如此,由于一些发电厂在网络信息安全调控度较低,内部网与外部网络通常没有做好有效隔离,导致外部网络病毒很容易入侵内部网络,导致发电厂网络瘫痪。
(三)发电厂重生产效益轻网络信息安全
如今我国的电力体制已经得到了深入的改革发展,发电厂也失去了“垄断优势”,需要加入市场竞争,才能获得更大的生存与发展空间。尤其是随着当下发电成本逐渐增加,为了保证生产效益,降低自身生产成本,一些发电厂管理者缺乏长远目光,选择缩减网络信息安全管理预算,甚至直接取消网络信息安全部门的设置,用来降低发电厂的生产成本,导致发电厂网络信息安全管理能力被大幅度削减,安全管理人员的职权范围被压缩,难以发挥出应有的作用。还有一些发电厂在网络安全管理人员选择方面缺乏公平公正性,导致很多不具备网络安全管理能力的人员进入到发电厂内部,从而难以在发电厂网络信息安全管理方面发挥出应有的作用,致使发电厂网络信息安全管理部门形同虚设,难以为电厂生产安全保驾护航。
三、发电厂信息网络安全管理措施
(一)加强外网内网的安全隔离,有效抵御外部恶意入侵
首先针对外网,需要加强安全隔离。对于发电厂而言,本身包含着很多业务应用,而绝大多数业务应用均离不开互联网络的支持。因此为了有效抵御外部网络安全风险,需要发电厂结合自身发展实际,专门建立一套科学的外网系统,实现与外部互联网络的安全访问以及软交换通信等应用功能,从而将内部网络与外部网络从物理层面上完全隔离。为达到这一目的,需要了解当前发电厂存在哪些单位区域,以某发电厂为例,该发电厂除自身具备办公大楼作为主要单位,周边还分布有一些外部单位。结合这些单位所在的办公楼,在外部网络建设上,需要从物理层面做好路由器、防火墙、核心交换机等相关设备的配置,加强外部网络与内部网络的物理隔离,并以此为依据,做好发电厂网络拓扑设置。该网络拓扑结构如下:
首先,如图一所示,该网络拓扑结构由6部分组成,具体可分为软交换平台、发电厂机关区域、外单位区域、上联区域、云计算平台以及服务器区域。针对不同单位楼层而言,按照每个楼层30个无线用户考虑,结合实际楼层大小,在每个楼层设置了3个无线AP,更有利于实现无线用户的扩展。与此同时,结合实际外单位办公流程的实际层数以及外网信息点需要,设置了1台三层汇聚交换机与POE交换机,负责各个分区单位的有线以及无线网络传输。在此基础上,针对外部区域单位楼层,设置了千兆二层接入交换机,能够成功将各个楼层房间互联网用户网络汇聚在一起,同时这些二层接入交换机最终汇聚到该发电厂的三层汇聚交换机之上。该发电厂办公大楼采用了三层汇聚交换机和三层 POE 交换机,并通过POE向AP进行供电。在发电厂办公楼各个楼层之中,均采用千兆二层接入交换机,用于汇聚各个房间内互联网用户。在每个房间之中,采用一台百兆交换机,作为互联网接入设备使用。同时发电厂办公大楼中所有的二层接入交换机均汇聚到三层汇聚交换机上,并以实际AP数量为依据,结合POE交换机与AP的距离,采用了2 台三层 POE 交换机进行网络传输。而在服务器区域中,部署了1 台三层汇聚交换机,主要目的是进行各种类型的服务器汇聚,比如网管服务器、AAA服务器等。同时在该区域之中,还布置了1 台防火墙,主要用于隔离限制服务器区域与其他区域的访问权限。在服务器核心交换机之上,连接一台无线控制器 AC,便于对所有AP进行统一管理。并采用上网认证和上网行为管理设备,能够针对所有上网用户,进行上网行为的统一管理与审核。而在核心交换机与上述三层交换机之间,采用OSPF协议,实现交换机之间的安全互联互通,更加便于网络信息安全管理人员对其进行集中统一管理。最后,针对外联网设备,则在防火墙帮助下,实现对终端用户上网行为安全管理。
图一:发电厂网络拓扑设置示意图
另一方面,针对发电厂内网,可采取以下措施进行隔离保护:由于在该发电厂内网中,相关工作人员所在办公室位置固定,因此可以直接采用有线连接的方式,直接接入核心交换机到出口路由器,确保办公室内工作人员能够正常商务。在对办公室内终端用户进行上网认证时,可采用MAC 地址绑定、端口绑定等方式进行实现。在此基础上,在发电厂内网安全隔离过程中,还应注重做好“VLAN”规划,便于用户不受网络设备物理位置限制,自主进行网络管理的配置,减少对网络设备的移动、添加和修改的管理,使其均在同一个局域网之内,进一步提高网络的安全性。在具体进行VLAN划分时,首先应注意做好VLAN的命名,一般情况下,在同一个内部局域网中,每个VLAN都只能拥有一个唯一的名字,且不同VLAN之间命名规则需要保持一致,以便于后续VLAN的顺利添加。在设置命名规则时,可以将设备名字与设备所在的物理位置名称或者部门位置名称关联在一起,采用对字段形式进行命名。
(二)加强先进安全技术应用,提升网络结构合理性
为进一步提升电厂网络信息安全管理质量水平,还需要针对发电厂现有网络设备,加强先进分析技术应用,做好设备安全漏洞分析和检测。 比如可以采用Internet Scanner 技术,能够及时检测出网络防火墙、交换机等关键网络设备存在的安全漏洞信息,这些信息一般包含具体的地理位置,便于网络安全管理人员进行漏洞修复。尤其是对发电厂而言,基于自身实际需求,网络结构也会产生相应变化,其间会产生一些不易察觉的漏洞缺陷问题,而Internet Scanner 能够及时检测出网络结构中存在的漏洞问题,并提醒安全管理员。Internet Scanner能够对黑客攻击手段进行模拟,从而检测出网络设备中存在的问题,并及时发现外来入侵,更好地保护发电厂网络安全,防止一些关键机密信息被盗取或损坏。除此之外, Internet Scanner还能够提供一些默认的方案,针对不同系统类型以及操作系统,这些默认安全检查方案也各不相同,能够有效检测扫描出相应的漏洞。用户可以选择默认的检测方案,也可以根据自身实际需要,采用针对性方案,及时发现网络管理安全风险的信息,并采用针对性措施进行调整,更好的保护发电厂信息网络安全。
(三)开展网络信息安全培训,提高对网络信息安全管理的重视
如今在互联网时代下,信息安全的重要性日益凸显,首先需要发电厂提高对信息安全的重视,针对工作人员,需要加强信息安全教育,宣传安全生产,才能有着转变工作人员的思想,主动进行安全生产操作规程的学习,形成网络信息安全价值观念,规范自己的行为。其次,发电厂还应加强对工作人员网络信息安全的培训,除了提高其网络安全意识,还应引导其掌握一些基本的信息安全保护技术,提高安全保密意识与保密技能水平。针对发电厂内部计算机使用者,需要做好保密教育工作的开展,加强对计算机规范使用的管理,防止因个人原因,导致发电厂内计算机机密泄漏。在发电厂计算机使用者离职时,需要事先做好工作交接,针对在工作期间使用的相关机密信息资料,需要做好清理,取消或收回该计算机使用者的相关访问权限。最后,还应加强现代先进技术手段的应用,做好网络信息安全保密工作的看字,在现代信息加密技术的帮助下,实现保密工作升级。同时还应持续进行发电厂内部工作人员的保密培训,每年应当组织一次保密委员内部会议,对保密工作进行严密的部署安排。除此之外,还应立足管理层,加强网络信息安全法制宣传工作,领导干部身居要职,所需要保密的资料更多,因此需要将信息安全保密培训纳入到正常的干部培训规划中,从而有效提升领导层管理信息安全守法、用法意识,促使其采取有效措施,真正将发电厂网络信息安全管理落实到实处。
总结:
综上所述,发电厂网络系统是一个较为复杂,在信息传递过程中,无论是内网还是外网,都很容易受到黑客的恶意攻击,导致关键机密信息面临泄漏的风险。因此需要我们提高认识,立足发电厂信息安全管理现状,分析其中存在的问题,并采取有效措施,加强发电厂网络安全管理,保护信息安全,推动发电厂生产实现稳定顺利发展。
参考文献:
[1]李雨泰.发电厂信息网络安全管理系统的构建分析[J].信息系统工程,2019(01):74.
[2]杨艳辉.浅析发电厂网络信息安全管理[J]. 工程建设与设计. 2016(14).
[3]陆力瑜.浅析发电厂网络信息安全管理[J]. 数字技术与应用. 2015(07).