监控信息系统网络安全策略实践

       火电厂厂级监控信息系统（SIS）在火电厂中已经得到了普遍的推广，对于江苏徐州发电有限公司（以下简称公司）这样已经运营多年的老厂而言，SIS的应用有其特殊性，怎样利用现有网络和技术开展SIS项目，SIS与分散控制系统（DCS）、SIS与管理信息系统（MIS）之间的安全隔离怎样实现，都是在项目实施中必须考虑的问题[1]。

      一、SIS的安全要求

      SIS是集计算机、热能动力、电气、自动化等多学科交叉、专业性强的计算机应用系统，它建立企业生产过程实时数据和历史数据库平台，实现整个企业范围内的信息共享；以安全、经济运行和提高发电企业整体效益为目标，支持企业生产过程综合优化服务；同时为企业管理层的决策提供真实可靠的运行数据和科学、准确的经济指标。SIS作为DCS与MIS之间的桥接，为了确保生产的安全，必须隔离DCS和MIS网络间两类不同特性信息的传输。要防止黑客攻击、非法访问、病毒爆发从MIS网络通过SIS传输到DCS，从而影响生产的正常运行，因此，SIS与DCS、SIS与MIS之间的网络安全隔离都十分重要[1]。

      二、SIS安全隔离方案及存在的问题

      2.1 安全隔离方案1

      SIS和MIS共用同一网络，系统之间采用防火墙等安全措施进行隔离，其优点是方便SIS各种应用软件从MIS网上获取数据，并可满足MIS网上用户访问实时数据库的需要。

      2.2 安全隔离方案2

      SIS和MIS分别采用独立的网络，两者之间通过SIS和MIS各自的数据服务器之间互联和交换信息。SIS与MIS网络的中间采用物理隔离设备进行连接，优点是SIS网络上的应用只需与实时/历史数据服务器，而MIS的应用只需与MIS关系数据服务器通信，从而减少了通信的复杂性，提高了2个网络的独立性和可靠性。

      2.3 存在的问题

      方案1中，因为MIS网络的安全性低于电力SIS，共用网络显然降低了SIS网络的安全性，进而可能会影响到DCS的安全；方案2中SIS与MIS的独立组网虽提高了可靠性，但在MIS网络与SIS网络之间采用的物理隔离网闸设备存在网络性能损失，这是由物理隔离网闸设备的工作特性（摆渡）所决定，在数据读取的速度上有一定限制。对于已经在生产运营的电厂而言，建设独立SIS网络，投入资金较大，施工困难。

      方案1、2中，DCS、SIS、MIS网络都采用TCP/IP协议的以太网，虽在SIS与MIS之间做了安全隔离，并未强调SIS与DCS的隔离，但许多项目仅在接口机上采用双网卡的简单隔离措施，给控制系统网络制造了一定的安全隐患。

      三、SIS网络拓扑结构

      公司SIS结合实际情况，采取具有自己特色的安全隔离方法，网络拓扑结构见图1。

      四、SIS安全隔离措施

      4.1 SIS与DCS的安全隔离

      考虑DCS的安全与数据采集的实时性、完整性的保证，采用了APACS+标准接口方案，DCS接口软件从DCS监控软件AIMAX实时数据库获取全部数据，以高速串行通信的方式将数据发送到数采站。使用串口通信的可靠性要高于以太网传输，串口通信程序决定了串口通信的单向性，SIS网络无法向DCS发送除数据采集请求以外的数据，保证了DCS的安全性。

      据现场测试结果，从SIS的数据采集站到距离zui远的现场DCS的传输速率可达到460.8kbit/s，实际应用中采用230.4kbit/s就可满足数据的实时采集，全部数据更新时间小于等于2s，部分重要数据更新时间小于等于1s。

      4.2 SIS与MIS的安全隔离

      公司的SIS采用自主开发的基于XML体系结构，因使用XML和Web传输技术，Web Service较易穿透防火墙，并被各种智能设备调用，使防火墙方案具备了设置非常严厉的安全策略的技术条件。当用户对SIS进行一般访问时，用户面面上的数据实时刷新并不是由用户直接从SIS中的实时数据库取得数据，而由Web Service服务器从数据库中取得数据，处理后通过防火墙发送给用户，因为XML技术与Web传输技术的应用，数据传输只需要通过简单的80端口（HTTP端口）来完成。

      性能计算及经济成本分析采用后台计算方式，后台计算需要MIS网络上DB2数据库中的财务、煤质等数据，需要使用DB2通信的10000和10001端口。SIS在整个的应用中，网络传输上只简单使用到了HTTP和DB2的3个端口，网络应用的简单化提高了安全防范可靠性。只要在防火墙的访问控制列表（ACL）上加以控制，就可拒绝MIS中所有不需要使用的服务和访问，关闭端口，不让其通过防火墙侵入SIS。ACL的规则设置中，允许MIS用户访问主机Web Service的80端口；允许SIS的后台性能计算服务器访问MIS网络的DB2数据库的10000和10001端口。其余访问包括ICMP包（ping）在内的访问全部拒绝，然后将ACL加载在防火墙的内外以太网口上。这样，除了正常SIS应用使用到的数据外，其余非法的网络访问、攻击被防火墙全部过滤掉，保证了SIS与MIS的安全隔离。

      4.3 SIS的安全特点和病毒防护

      从以上的隔离措施可看出，公司的SIS网络是一个SIS服务网络，这样的应用在安全上有很大优势，因为并没有用户计算机直接连接在SIS网络中的接入，很大程度上杜绝了直接的SIS用户对SIS网络的安全隐患；同时SIS网络上的服务器都安装了Symantec防病毒软件，病毒定义采用手工更新的方法，符合了SIS安全规范中对病毒防护的要求。

      4.4 SIS的安全测试

      在SIS项目的鉴定中，鉴定专家组首先使用Windows操作系统自带的网络测试命令ping及tracert等指令去访问Web Service服务器，均不可达；而后使用LANguard Network Scanner等一些网络测试工具，网络端口扫描软件，黑客攻击模仿软件去访问和探测防火墙后的服务器，除在访问控制列表中允许通过特定主机的特定端口的访问可通过，其他端口的信息全部不可通过，证明包括ICMP包（ping）在内的数据包均无法从MIS网络穿透防火墙访问到SIS网络，病毒与一些攻击扫描无法通过防火墙从MIS网络侵入SIS网络。

      五、结束语

      公司采用的SIS与DCS及SIS与MIS的隔离方法符合SIS网络安全规范，有相对独立的SIS与MIS网络，并充分利用了现有的网络资源，避免了重复反搭建网络。高速串口通信在保证DCS数据的完整性、实时性的同时，保证了SIS与DCS数据传输的单向性及安全性；高性能的防火墙和合理的ACL保证了必要的网络访问能够顺畅进行，同时避免了不必要的非法访问，做到了对SIS安全有效的隔离，对于已运营的电厂投用SIS很适用。