电力系统信息安全是电力系统安全运行和可靠运行的保障,是一项涉及企业资源管理系统(ERP)、OA协同办公系统、SIS厂级监控系统、主机DCS控制系统、EDPF-NT控制系统、考试系统、档案管理系统、企业邮箱在线培训考试系统、网站系统、及时通讯系统、生产监控系统、文件服务系统、视频会议系统等各项管理业务系统的多领域、复杂的大型系统工程。而电力系统中各种设备的安全稳定运行又离不开分散控制系统,即DCS系统软件的支撑。
DCS控制系统采用的国是美国美西屋电气公司的OVATION控制系统,OVATION系统采取内外网分开的方法,内网限制只有OVATION系统内的设备可以挂在数据高速公路上。OVATION系统数据经路由器防火墙与外部单向通信联系,如SIS、MIS等,有效防止各类计算机病毒的侵害。为了保证DCS内数据的安全,OVATION系统的控制器采用了CF闪存卡作为主存储器,即使掉电数据仍然不会丢失。OVATION系统的软件设置了四个用户级,通过不同的授权设置不同的操作功能以保证系统安全。
DCS系统的运行环境与计算机软件都是基于Windows操作系统,因此DCS系统的软件和计算机软件有着共通之处,如果DCS系统的软件,遭到不合理的删除、移动等等操作都将会对DCS系统的安全运行造成潜在的危害,使系统无法正常的运行,更加严重的则会导致管理人员失去对电厂运行环境和参数的实时监控能力,造成灾难性的后果。本文就DCS系统安全防护存在的问题做了以下阐述。
1. 弱口令、空口令、默认口令的存在。企业电力监控系统的操作系统和数据库系统管理用户口令复杂度不满足信息安全等级保护要求,口令长度小于8位,并存在明文存储口令的现象;服务器及操作员站系统普遍未进行加固,系统相关安全审计策略未启用等。
2. 网闸布置不合理或者未布置。企业电力监控系统的网络拓扑图不完善,存在跨安全区传输数据现象,安全设备及单向物理隔离网闸部署不正确,存在较大安全隐患。
3. 系统存在漏洞或者加装杀毒软件。网络设备由于系统的特殊性,安全漏洞问题虽然比较少见,但是也是同样存在,攻击者利用网络设备安全漏洞,通过查看、修改网络设备配置,了解网络结构,进而实施网络路由欺骗、网络数据监听等攻击。病毒防护软件都需要占用着比较大的内存,导致系统的运行速度降,对于速度有着严格要求的DCS系统来说,速度的降低有可能会导致设备的失控等一些安全隐患。
4. 调度网未使用专用通道。没有在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离或者没有调度网的安全防护没有按照调度机构的要求执行。
5. DCS系统安全防护的体制不完善。目前许多仍然没有关闭或拆除主机上不必要的软盘驱动、光盘驱动、USB接口、串行口、无线、蓝牙等;未对数据库进行及时备份及建立应急响应机制;电子间没有设置门禁系统;电子间摄像头存在明显死角;电子间湿度超标等。
根据DCS系统安全防护中存在的主要问题可采取下面的方案以保证DCS系统的安全。
1.针对弱口令、空口令、默认口令的问题,开启操作系统的密码复杂策略功能和登录失败处理功能。将默认用户更名并对口令长度及复杂度进行强度限制要求口令长度不小于8位且为字母、数字或特殊字符的混合组合,并对口令尝试次数进行限制。对服务器采取口令差异化设置,且不存在明显关联关系或可推测关系(如包含系统名称、IP地址等),修改DCS系统核心汇聚交换机密码为8位以上且为数字、字母或特殊字符的混合组合并加密存储密码。应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; 应及时删除多余的、过期的帐户,避免共享帐户的存在.
想知道后面说了什么吗?点击“阅读原文”观看全部文章内容
版权声明:
本文系“电力信息化在线”独家稿件,版权所有,原创文章谢绝转载。
——电力信息化创新战略联盟
推荐阅读:
长按识别二维码,关注我们
共有条评论 网友评论