目前SIS与DCS、SIS与MIS间的网络安全隔离主要有防火墙和物理隔离2种方式,防火墙是内网(信任网络)和外网(非信任网络)间最常用的安全隔离手段,物理隔离是近几年才出现的高强度的安全防护技术
防火墙作为网络安全区之间信息的出入口,它采取包过滤、网络地址转换、应用层代理等措施对网络进行保护,能根据系统的安全策略控制出入网络的信息流。防火墙本身具有较强的抗功击能力,为网络边界保护提供了方便、灵活的访问控制机制。根据防火墙采用技术的不同,可将它分为包过滤型、代理型和网关型3种基本类型。防火墙的仔优点是技术成熟、适用性强、效率高、可选择性好、使用维护方便。不足之处是不能彻底避免安全漏洞,不能防止由于应用程序安全隐患带来的问题,无法抵御通过电子邮件等途径传播的病毒,对未知的攻击和病毒不能提供有效防护。防火墙设计的出发点是信息互通性的前提下尽力而为进行安全性控制,不能满足电力监控系统等核心系统或敏感信息的安全和保密需求。
物理隔离技术是指内部信息网络不和外部信息网络相连、从物理上断开的技术。这种方法基本杜绝了因网络互通互连造成的外部攻击或内部泄密的可能。物理隔离技术的出发点是在确保绝对隔离的前提下尽力而为实现信息互通性,因此能够构筑一道绝对安全的大门,保证关键业务和涉密网的信息安全不受破坏。在目前的技术和管理水平下,电力系统需要有一道物理隔离的大门来满足控制系统与非控制系统实现有效隔离的要求,确保控制系统和调度数据网络的安全稳定运行。
物理隔离技术的优点是安全强度高,没有穿通性TCP链接,能真正做到防攻击、防病毒,针对性很强。缺点是价格普通较高、通信效率受限、使用维护较复杂,在SIS与DCS间加装单向隔离装置后,类似OPC等标准接口将无法使用。
建议:SIS网络为独立网络,DCS和SIS之间安装防火墙(横向隔离-各接口之间不能互访,纵向认证-接口与实时数据库、功能站有专用协议),SIS和MIS之间安装物理隔离器。
